[发明专利]一种安全连接的方法、系统及网元

权利要求书

1.一种安全连接的方法，包括：

终端(UE)在访问业务提供服务器(SP)提供的业务过程中，与该SP共享第一密钥的具有票据服务器(TGS)功能的身份提供服务器(IdP)在接收到该SP发送的重定向消息后，将该UE重定向到认证服务器(AS)进行认证，该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP，该IdP与AS共享第二密钥，该重定向消息中包含认证请求信息，所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息；

该IdP根据从经由UE传递的来自AS的第一票据中的信息判断该UE是否通过AS的认证，如果通过，则生成第二票据，经该UE传递给SP，由SP根据该第二票据中的内容，完成对该UE的认证。

2.如权利要求1所述的方法，其特征在于：

所述SP位于身份位置分离网络内时，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括：身份位置分离网络为该UE分配的接入标识(AID)。

3.如权利要求1所述的方法，其特征在于：

所述SP位于身份位置分离网络外时，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括：ISR为该UE分配的与该UE的AID对应的IP地址和端口号。

4.如权利要求3所述的方法，其特征在于：

所述IdP在接收到该SP发送的重定向消息后，所述方法还包括：

所述IdP根据UE的身份信息从IP地址池中查询UE的AID，利用所述UE的AID将所述UE重定向到AS进行认证。

5.如权利要求1-4中任一权利要求所述的方法，其特征在于：

所述IdP在将UE重定向到AS之前，所述方法还包括：

所述IdP先与该UE协商认证能力，确认UE支持Kerberos认证。

6.如权利要求1-4中任一权利要求所述的方法，其特征在于：

所述IdP根据从经由UE传递的来自AS的第一票据中的信息判断UE是否通过AS的认证，包括：

该IdP从经由UE传递的来自AS的第一票据中获取以下信息：UE认证结果、该UE的身份信息、该AS的身份信息、该IdP的身份信息以及时间戳，验证该UE的身份信息、该AS的身份信息、该IdP的身份信息是否与本地保存的一致，以及时间戳是否在限定范围内，如果验证通过，则确认该UE通过AS的认证，所述UE的身份信息包括UE的AID。

7.如权利要求1-4中任一权利要求所述的方法，其特征在于：

所述IdP生成的第二票据包括：认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。

8.如权利要求7所述的方法，其特征在于：

所述SP位于身份位置分离网络外时，所述IdP将所述UE的AID对应的IP地址和端口号作为该UE的身份信息。

9.如权利要求7所述的方法，其特征在于：

所述SP根据该第二票据中的内容，完成对该UE的认证，包括：

所述SP用与IdP的共享密钥得到第二票据，从该第二票据中获取UE认证结果、该IdP的身份信息、该UE的身份信息、时间戳，比较该UE的身份信息、该IdP的身份信息、该SP的身份信息是否与本地保存的一致，以及时间戳是否在限定范围内，若都通过，则确认该UE通过所述IdP的认证。