專利名稱:?jiǎn)吸c(diǎn)登錄的方法����、系統(tǒng)和信息處理方法、系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域�����,尤其涉及一種單點(diǎn)登錄的方法、單點(diǎn)登錄的系統(tǒng)��、信息·處理方法����、信息處理裝置、身份提供服務(wù)器�、業(yè)務(wù)提供服務(wù)器和名字映射服務(wù)器。
背景技術(shù):
在傳輸控制協(xié)議(TCP)/網(wǎng)際協(xié)議(IP)體系中���,最為核心的是網(wǎng)絡(luò)層的IP協(xié)議��,通過(guò)IP地址實(shí)現(xiàn)用戶之間的相互訪問(wèn)�。各種應(yīng)用����,如網(wǎng)絡(luò)瀏覽、郵件收發(fā)��、即時(shí)通訊等�,都承載在應(yīng)用層協(xié)議之上。用戶在使用這些業(yè)務(wù)之前必須通過(guò)電信運(yùn)營(yíng)商提供的基礎(chǔ)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)��,不同的用戶可能有不同的接入方式,如各種類型數(shù)字用戶線路(xDSL)��、光纖����、移動(dòng)接入等等���。一般情況下���,用戶終端都會(huì)獲取到一個(gè)IP地址,用戶此后就通過(guò)這個(gè)IP地址訪問(wèn)互聯(lián)網(wǎng)上的各種應(yīng)用���,這個(gè)IP地址就相當(dāng)于用戶的臨時(shí)身份�。由于IP地址的前綴部分表示用戶當(dāng)前所在的子網(wǎng)��,當(dāng)用戶位置發(fā)生變化時(shí)����,必須分配不同的IP地址,否則路由器無(wú)法正確地把數(shù)據(jù)包轉(zhuǎn)發(fā)給用戶���。而因?yàn)镮P地址具有身份和位置的雙重屬性����,同時(shí)用戶每次獲取到的IP地址不一定相同,從而無(wú)法作為用戶的長(zhǎng)期身份標(biāo)識(shí)���,因此互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)必須自建一套用戶身份標(biāo)識(shí)系統(tǒng)���,即通常所說(shuō)的用戶賬號(hào)系統(tǒng)。由此可見(jiàn)��,用戶在訪問(wèn)互聯(lián)網(wǎng)上的應(yīng)用時(shí)存在二次認(rèn)證的情況��,運(yùn)營(yíng)商在用戶接入互聯(lián)網(wǎng)時(shí)進(jìn)行一次認(rèn)證����,互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)在用戶訪問(wèn)時(shí)進(jìn)行自身的認(rèn)證。隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展���,互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)也越來(lái)越多��。由于這些應(yīng)用系統(tǒng)相互獨(dú)立�����,用戶在使用每一個(gè)系統(tǒng)之前必須先進(jìn)行注冊(cè)登記��,并按照相應(yīng)的身份進(jìn)行登錄��,為此用戶必須記住每個(gè)應(yīng)用系統(tǒng)的用戶名和密碼���,這給用戶帶來(lái)了很大的麻煩�。在這種情況下���,單點(diǎn)登錄的概念被提了出來(lái),并得到應(yīng)用�。單點(diǎn)登錄(SSO, Single-Sign On)是一種方便用戶訪問(wèn)多個(gè)應(yīng)用系統(tǒng)的技術(shù),用戶只需要在登錄時(shí)進(jìn)行一次認(rèn)證,就可以在多個(gè)應(yīng)用系統(tǒng)之間自由訪問(wèn)�,不必重復(fù)輸入用戶名和密碼來(lái)確認(rèn)身份。現(xiàn)有的互聯(lián)網(wǎng)單點(diǎn)登錄體系中�,用戶在使用單點(diǎn)登錄之前,必須在身份提供商(IdP, Identity Provider)處進(jìn)行注冊(cè)登記���,業(yè)務(wù)提供商(SP, Service Provider)的業(yè)務(wù)提供服務(wù)器依賴于身份提供商IdP的身份提供服務(wù)器的認(rèn)證結(jié)果向用戶提供業(yè)務(wù)��。此外由于互聯(lián)網(wǎng)的身份提供商IdP通常是分散部署的�,因而���,如果業(yè)務(wù)提供商SP采用單點(diǎn)登錄方式����,那么它的業(yè)務(wù)發(fā)展規(guī)模將很大程度上取決于它所依賴的IdP注冊(cè)用戶的數(shù)量。單點(diǎn)登錄涉及的主要技術(shù)有開(kāi)放身份(OpenID)�、Passport (通行證)、Liberty Alliance(自由聯(lián)盟)等�。這里,OpenID易于使用�,但存在安全隱患,不能很好地防范“釣魚(yú)”攻擊�����;Passport易于使用���,安全性稍高���,但目前僅適用于業(yè)務(wù)提供商SP內(nèi)部使用;Liberty Alliance有一定的安全性�����,但部署不易��,用戶使用也不方便����。由于用戶在訪問(wèn)互聯(lián)網(wǎng)應(yīng)用之前�,需要接入運(yùn)營(yíng)商網(wǎng)絡(luò)��,因而可以將運(yùn)營(yíng)商作為身份提供商IdP����。運(yùn)營(yíng)商作為身份提供商IdP具有如下優(yōu)勢(shì)通過(guò)運(yùn)營(yíng)商的接入認(rèn)證,能夠很好的保證安全性��,同時(shí)�,運(yùn)營(yíng)商作為身份提供商IdP���,將不需要用戶重新進(jìn)行注冊(cè)登記�,易于使用�,并且運(yùn)營(yíng)商作為身份提供商IdP,相對(duì)于互聯(lián)網(wǎng)的身份提供商IdP��,有一個(gè)優(yōu)質(zhì)成熟的用戶消費(fèi)群體��。
當(dāng)前���,IP地址具有雙重屬性的缺陷����,帶來(lái)了移動(dòng)性和安全性問(wèn)題,已經(jīng)成為了制約互聯(lián)網(wǎng)產(chǎn)業(yè)進(jìn)一步發(fā)展的瓶頸�。為了解決這個(gè)問(wèn)題,業(yè)界提出了 HIPOtoSt Identity Protocol,主機(jī)標(biāo)識(shí)協(xié)議)和 LISP (Locator/Identifier Separation Protocol,位置 / 標(biāo)識(shí)分離協(xié)議)技術(shù)等���。這些技術(shù)的共同點(diǎn)是引入了兩類編碼代表用戶身份的身份編碼和代表用戶位置的位置編碼���,每個(gè)用戶都既有一個(gè)身份編碼又有一個(gè)位置編碼,用戶基于身份編碼和對(duì)端發(fā)生通信���,當(dāng)用戶位置發(fā)生變化時(shí)����,用戶的身份編碼保持不變�,而用戶的位置編碼將隨之變化。這樣��,通過(guò)用戶身份編碼就可以始終對(duì)應(yīng)到用戶��,而不會(huì)存在IP地址二義性的問(wèn)題����。
但在現(xiàn)有的身份位置分離網(wǎng)絡(luò)技術(shù)中�����,用戶身份編碼只用于在網(wǎng)絡(luò)層標(biāo)識(shí)用戶身份����,因而用戶訪問(wèn)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)仍然需要多次注冊(cè)認(rèn)證�����。另一方面��,由于用戶在大量不同的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)中注冊(cè)賬號(hào)�,通常為了方便起見(jiàn),用戶注冊(cè)的賬號(hào)具有一定的規(guī)律性��,那么很容易就導(dǎo)致用戶的身份隱私信息被泄露�����。發(fā)明內(nèi)容
本發(fā)明提供了一種單點(diǎn)登錄的方法�、單點(diǎn)登錄的系統(tǒng)���、信息處理方法���、信息處理裝置�����、身份提供服務(wù)器����、業(yè)務(wù)提供服務(wù)器和名字映射服務(wù)器���,以解決用戶訪問(wèn)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)需進(jìn)行多次注冊(cè)認(rèn)證的問(wèn)題�����。
本發(fā)明提供了一種單點(diǎn)登錄的方法�,該方法包括
身份提供服務(wù)器確認(rèn)用戶通過(guò)接入認(rèn)證���;
所述身份提供服務(wù)器根據(jù)自身和所述用戶欲訪問(wèn)的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對(duì)用戶的斷言信息���,并向所述業(yè)務(wù)提供服務(wù)器發(fā)送所述斷言信息。
優(yōu)選地��,所述身份提供服務(wù)器根據(jù)自身和所述用戶欲訪問(wèn)的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對(duì)用戶的斷言信息之前�,所述方法還包括
所述身份提供服務(wù)器在接收到所述業(yè)務(wù)提供服務(wù)器發(fā)送的認(rèn)證請(qǐng)求或所述用戶發(fā)送的業(yè)務(wù)訪問(wèn)請(qǐng)求后�,檢查是否存在所述共享密鑰���,若不存在���,則在所述業(yè)務(wù)提供服務(wù)器通過(guò)認(rèn)證后,生成所述共享密鑰����。
優(yōu)選地,所述身份提供服務(wù)器生成對(duì)用戶的斷言信息之前���,所述方法還包括
所述身份提供服務(wù)器為所述用戶獲得假名及與所述假名對(duì)應(yīng)的生存期�。
優(yōu)選地�����,所述身份提供服務(wù)器為所述用戶獲得假名及與所述假名對(duì)應(yīng)的生存期�����, 包括
所述身份提供服務(wù)器根據(jù)所述用戶的匿名服務(wù)請(qǐng)求向名字映射服務(wù)器(^S)發(fā)送匿名身份請(qǐng)求��,以及接收所述匪S返回的根據(jù)所述匿名身份請(qǐng)求生成的該用戶的假名及與所述假名對(duì)應(yīng)的生存期����。
優(yōu)選地,所述身份提供服務(wù)器為所述用戶獲得假名及與所述假名對(duì)應(yīng)的生存期之后��,所述方法還包括
所述身份提供服務(wù)器接收所述用戶發(fā)送的攜帶指定用戶名及相應(yīng)生存期的匿名更新請(qǐng)求��,并向所述NMS發(fā)送所述匿名更新請(qǐng)求�,以及接收所述NMS返回的更新結(jié)果。優(yōu)選地���,所述斷言信息中攜帶有隨機(jī)數(shù)�����、所述身份提供服務(wù)器的身份信息��、所述業(yè)務(wù)提供服務(wù)器的身份信息��、所述用戶的身份信息�、簽名算法以及所述身份提供服務(wù)器根據(jù)所述共享密鑰計(jì)算出的簽名結(jié)果���;其中�,所述用戶的身份信息包括所述假名或所述指定用戶名。本發(fā)明還提供了一種單點(diǎn)登錄的方法�,該方法包括業(yè)務(wù)提供服務(wù)器接收身份提供服務(wù)器發(fā)送的對(duì)欲訪問(wèn)所述業(yè)務(wù)提供服務(wù)器的用戶的斷言信息;所述業(yè)務(wù)提供服務(wù)器根據(jù)自身和所述身份提供服務(wù)器之間的共享密鑰驗(yàn)證所述 斷言信息�。優(yōu)選地,所述業(yè)務(wù)提供服務(wù)器根據(jù)自身和所述身份提供服務(wù)器之間的共享密鑰驗(yàn)證所述斷言信息之后����,所述方法還包括如果驗(yàn)證通過(guò),則所述業(yè)務(wù)提供服務(wù)器創(chuàng)建與所述斷言信息中包含的用戶的身份信息對(duì)應(yīng)的條目�,并向所述用戶提供業(yè)務(wù);所述用戶的身份信息為所述用戶的假名或指定用戶名����。優(yōu)選地,所述業(yè)務(wù)提供服務(wù)器接收身份提供服務(wù)器發(fā)送的對(duì)欲訪問(wèn)所述業(yè)務(wù)提供服務(wù)器的用戶的斷言信息之前����,所述方法還包括所述業(yè)務(wù)提供服務(wù)器接收到所述用戶發(fā)送的業(yè)務(wù)訪問(wèn)請(qǐng)求之后,生成隨機(jī)數(shù)��,并向所述身份提供服務(wù)器發(fā)送攜帶所述隨機(jī)數(shù)的認(rèn)證請(qǐng)求���。優(yōu)選地�����,所述斷言信息中攜帶有所述隨機(jī)數(shù)�、所述身份提供服務(wù)器的身份信息���、所述業(yè)務(wù)提供服務(wù)器的身份信息��、所述用戶的身份信息���、簽名算法以及所述身份提供服務(wù)器根據(jù)所述共享密鑰計(jì)算出的簽名結(jié)果;所述業(yè)務(wù)提供服務(wù)器根據(jù)自身和所述身份提供服務(wù)器之間的共享密鑰驗(yàn)證所述斷言信息����,包括所述業(yè)務(wù)提供服務(wù)器根據(jù)所述身份提供服務(wù)器的身份信息、所述業(yè)務(wù)提供服務(wù)器的身份信息���、所述用戶的身份信息�、所述簽名算法和所述共享密鑰計(jì)算出簽名結(jié)果����,并比較自己計(jì)算出的簽名結(jié)果與所述身份提供服務(wù)器計(jì)算出的簽名結(jié)果是否一致;以及判斷所述隨機(jī)數(shù)的生成時(shí)間是否是當(dāng)前最近的且所述隨機(jī)數(shù)是否唯一��。本發(fā)明還提供了一種信息處理方法��,該方法包括名字映射服務(wù)器(NMS)接收身份提供服務(wù)器發(fā)送的匿名身份請(qǐng)求,所述匿名身份請(qǐng)求中攜帶有用戶的身份標(biāo)識(shí)�����;所述匪S根據(jù)所述匿名身份請(qǐng)求生成與該身份標(biāo)識(shí)對(duì)應(yīng)的用戶的假名及與所述假名對(duì)應(yīng)的生存期�����,并向所述身份提供服務(wù)器返回所述用戶的假名及與所述假名對(duì)應(yīng)的生存期�����。優(yōu)選地���,所述NMS向所述身份提供服務(wù)器發(fā)送所述用戶的假名及與所述假名對(duì)應(yīng)的生存期之后����,所述方法還包括所述匪S接收所述身份提供服務(wù)器發(fā)送的來(lái)自所述用戶的攜帶指定用戶名及相應(yīng)生存期的匿名更新請(qǐng)求���,根據(jù)匿名更新請(qǐng)求進(jìn)行更新處理�,并返回更新結(jié)果�。
本發(fā)明還提供了一種身份提供服務(wù)器,該身份提供服務(wù)器包括
確認(rèn)模塊��,用于確認(rèn)用戶通過(guò)接入認(rèn)證;
斷言信息處理模塊����,用于在所述確認(rèn)模塊確認(rèn)用戶通過(guò)接入認(rèn)證后��,根據(jù)所述身份提供服務(wù)器和所述用戶欲訪問(wèn)的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對(duì)用戶的斷言信息��, 并向所述業(yè)務(wù)提供服務(wù)器發(fā)送所述斷言信息��。
優(yōu)選地�����,所述身份提供服務(wù)器還包括
密鑰生成模塊��,用于在斷言信息處理模塊生成對(duì)用戶的斷言信息之前���,在接收到所述業(yè)務(wù)提供服務(wù)器發(fā)送的認(rèn)證請(qǐng)求或所述用戶發(fā)送的業(yè)務(wù)訪問(wèn)請(qǐng)求后�,檢查是否存在所述共享密鑰�����,若不存在���,則在所述業(yè)務(wù)提供服務(wù)器通過(guò)認(rèn)證后�,生成所述共享密鑰。
優(yōu)選地����,所述身份提供服務(wù)器還包括
獲得模塊,用于在所述確認(rèn)模塊確認(rèn)所述用戶通過(guò)接入認(rèn)證之后�,所述斷言信息處理模塊生成對(duì)用戶的斷言信息之前,為所述用戶獲得假名及與所述假名對(duì)應(yīng)的生存期��。
優(yōu)選地���,所述獲得模塊���,是用于根據(jù)所述用戶的匿名服務(wù)請(qǐng)求向名字映射服務(wù)器 (WS)發(fā)送匿名身份請(qǐng)求,以及接收所述WS返回的根據(jù)所述匿名身份請(qǐng)求生成的該用戶的假名及與所述假名對(duì)應(yīng)的生存期����。
優(yōu)選地,所述獲得模塊����,還用于接收所述用戶發(fā)送的攜帶指 定用戶名及相應(yīng)生存期的匿名更新請(qǐng)求,并向所述NMS發(fā)送所述匿名更新請(qǐng)求��,以及接收所述NMS返回的更新結(jié)果O
優(yōu)選地,所述斷言信息中攜帶有隨機(jī)數(shù)�、所述身份提供服務(wù)器的身份信息、所述業(yè)務(wù)提供服務(wù)器的身份信息��、所述用戶的身份信息�����、簽名算法以及所述身份提供服務(wù)器根據(jù)所述共享密鑰計(jì)算出的簽名結(jié)果�����;其中�����,所述用戶的身份信息包括所述假名或所述指定用戶名���。
本發(fā)明還提供了一種業(yè)務(wù)提供服務(wù)器,該業(yè)務(wù)提供服務(wù)器包括
接收模塊�,用于接收身份提供服務(wù)器發(fā)送的對(duì)欲訪問(wèn)所述業(yè)務(wù)提供服務(wù)器的用戶的斷言信息;
驗(yàn)證模塊����,用于根據(jù)所述業(yè)務(wù)提供服務(wù)器和所述身份提供服務(wù)器之間的共享密鑰驗(yàn)證所述斷言信息���。
優(yōu)選地,所述業(yè)務(wù)提供服務(wù)器還包括
業(yè)務(wù)提供模塊�,用于所述驗(yàn)證模塊驗(yàn)證通過(guò)所述斷言信息后,創(chuàng)建與所述斷言信息中包含的用戶的身份信息對(duì)應(yīng)的條目�����,并向所述用戶提供業(yè)務(wù)����。
本發(fā)明提供了一種名字映射服務(wù)器(WS),該匪S包括
接收模塊�,用于接收身份提供服務(wù)器發(fā)送的匿名身份請(qǐng)求,所述匿名身份請(qǐng)求中攜帶有用戶的身份標(biāo)識(shí)���;
生成發(fā)送模塊���,用于根據(jù)所述接收模塊接收的所述匿名身份請(qǐng)求生成與該身份標(biāo)識(shí)對(duì)應(yīng)的用戶的假名及與所述假名對(duì)應(yīng)的生存期,并向所述身份提供服務(wù)器返回所述用戶的假名及與所述假名對(duì)應(yīng)的生存期���。
優(yōu)選地���,所述生成發(fā)送模塊�,還用于接收所述身份提供服務(wù)器發(fā)送的來(lái)自所述用戶的攜帶指定用戶名及相應(yīng)生存期的匿名更新請(qǐng)求����,根據(jù)匿名更新請(qǐng)求進(jìn)行更新處理,并返回更新結(jié)果����。
本發(fā)明還提供了一種信息處理裝置,該系統(tǒng)包括上述身份提供服務(wù)器和上述名字映射服務(wù)器����。本發(fā)明還提供了一種單點(diǎn)登錄系統(tǒng)����,該系統(tǒng)包括上述身份提供服務(wù)器和上述業(yè)務(wù)提供服務(wù)器。本發(fā)明還提供了一種單點(diǎn)登錄系統(tǒng)����,該系統(tǒng)包括上述身份提供服務(wù)器、上述名字映射服務(wù)器和上述業(yè)務(wù)提供服務(wù)器��。本發(fā)明實(shí)施例��,通過(guò)重利用接入認(rèn)證����,很好地解決了用戶訪問(wèn)互聯(lián)網(wǎng)多次注冊(cè)認(rèn)證的問(wèn)題���,通過(guò)生成假名對(duì)用戶隱私起到了保護(hù)的作用,避免了用戶隱私的泄露�。
圖1為本發(fā)明實(shí)施例所涉及的網(wǎng)元架構(gòu)示意圖;
圖2為本發(fā)明單點(diǎn)登錄方法實(shí)施例的流程圖����;圖3為本發(fā)明由業(yè)務(wù)提供服務(wù)器發(fā)起的單點(diǎn)登錄方法實(shí)施例的信令流程圖;圖4為本發(fā)明由身份提供服務(wù)器發(fā)起的單點(diǎn)登錄方法實(shí)施例的信令流程圖�;圖5為本發(fā)明身份提供服務(wù)器實(shí)施例的結(jié)構(gòu)示意圖;圖6為本發(fā)明業(yè)務(wù)提供服務(wù)器實(shí)施例的結(jié)構(gòu)示意圖��;圖7為本發(fā)明名字映射服務(wù)器實(shí)施例的結(jié)構(gòu)示意圖���;圖8為本發(fā)明信息處理裝置實(shí)施例的結(jié)構(gòu)示意圖���;圖9為本發(fā)明單點(diǎn)登錄系統(tǒng)實(shí)施例的結(jié)構(gòu)示意圖。
具體實(shí)施例方式為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說(shuō)明���。需要說(shuō)明的是���,在不沖突的情況下���,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合。為了更好地理解本發(fā)明��,首先介紹一下本發(fā)明實(shí)施例所涉及的網(wǎng)元架構(gòu)���,如圖1所示����,該架構(gòu)包括用戶終端(Mobile Node, MN) 101���、接入服務(wù)節(jié)點(diǎn)(Access Service Node,ASN) 102、認(rèn)證中心103����、身份提供商(Identity Provider, IdP)的身份提供服務(wù)器104、名字映射服務(wù)器(Name Mapping Server, NMS) 105�、互聯(lián)服務(wù)節(jié)點(diǎn)(Interconnect ServiceNode, ISN) 106和業(yè)務(wù)提供商(Service Provider, SP)的業(yè)務(wù)提供服務(wù)器107,其中接入網(wǎng)絡(luò)的麗可以是移動(dòng)終端、固定終端中的一種或多種�,如手機(jī)、固定電話、電腦和應(yīng)用服務(wù)器等���;ASN�,用于為用戶終端提供接入服務(wù)��、維護(hù)終端與網(wǎng)絡(luò)的連接�����,為終端分配路由標(biāo)識(shí)(Routing Identifier, RID)��,并到身份位置寄存器(ILR) /報(bào)文轉(zhuǎn)發(fā)功能實(shí)體(PTF)登記注冊(cè)和查詢終端的RID���,維護(hù)接入標(biāo)識(shí)(Access Identifier, AID) -RID映射信息�,以及實(shí)現(xiàn)數(shù)據(jù)報(bào)文的路由和轉(zhuǎn)發(fā)��;認(rèn)證中心����,用于記錄本網(wǎng)絡(luò)用戶的屬性信息如用戶類別、認(rèn)證信息和用戶服務(wù)等級(jí)等�����,完成對(duì)終端的接入認(rèn)證和授權(quán),還可具有計(jì)費(fèi)功能���。認(rèn)證中心支持終端與網(wǎng)絡(luò)間的雙向認(rèn)證�����,可產(chǎn)生用于認(rèn)證���、完整性保護(hù)和機(jī)密性保護(hù)的用戶安全信息;身份提供服務(wù)器向業(yè)務(wù)提供服務(wù)器提供對(duì)用戶的斷言信息�,并對(duì)業(yè)務(wù)提供服務(wù)器進(jìn)行認(rèn)證,檢查業(yè)務(wù)提供服務(wù)器的合法性���;通過(guò)與認(rèn)證中心的接口查詢用戶相應(yīng)的屬性信息�����,通過(guò)與匪S的接口���,提供用戶的假名服務(wù)�����;
NMS根據(jù)身份提供服務(wù)器提供的用戶身份產(chǎn)生假名,作為用戶的替代身份���,并創(chuàng)建假名和用戶身份信息��、業(yè)務(wù)提供服務(wù)器統(tǒng)一資源定位符(URL)���、生存期(lifetime)對(duì)應(yīng)的條目,如果用戶修改假名以及假名的lifetime�����,則匪S在接收到身份提供服務(wù)器的匿名更新請(qǐng)求后����,也將此信息進(jìn)行更新;
其中���,NMS和身份提供服務(wù)器可以分別單獨(dú)部署���,也可以將NMS作為身份提供服務(wù)器的功能模塊進(jìn)行部署;
ISN��,用于查詢�����、維護(hù)本網(wǎng)絡(luò)終端的AID-RID映射信息,封裝�、路由和轉(zhuǎn)發(fā)本網(wǎng)絡(luò)與傳統(tǒng)IP網(wǎng)絡(luò)之間往來(lái)的數(shù)據(jù)報(bào)文、實(shí)現(xiàn)本網(wǎng)絡(luò)與傳統(tǒng)IP網(wǎng)絡(luò)之間的互聯(lián)互通功能����,其中包括格式轉(zhuǎn)換模塊,用于將傳統(tǒng)IP網(wǎng)絡(luò)發(fā)來(lái)的數(shù)據(jù)報(bào)文中包含的本網(wǎng)絡(luò)終端的IPv4/IPv6地址轉(zhuǎn)換成對(duì)應(yīng)的AID�����,以及將本網(wǎng)絡(luò)終端的AID轉(zhuǎn)換成IPv4/IPv6地址格式后�����,再發(fā)送到傳統(tǒng)IP網(wǎng)絡(luò)的終端�;
業(yè)務(wù)提供服務(wù)器,是互聯(lián)網(wǎng)上為用戶提供業(yè)務(wù)的應(yīng)用系統(tǒng)����。
本發(fā)明實(shí)施例提供了一種單點(diǎn)登錄的方法,該方法從身份提供服務(wù)器側(cè)進(jìn)行描述����,該方法包括
步驟11、身份提供服務(wù)器確認(rèn)用戶通過(guò)接入認(rèn)證�����;
身份提供服務(wù)器根據(jù)用戶的身份標(biāo)識(shí)確認(rèn)用戶通過(guò)接入認(rèn)證�;
步驟12、所述身份提供服務(wù)器根據(jù)自身和所述用戶欲訪問(wèn)的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對(duì)用戶的斷言信息�����,并向所述業(yè)務(wù)提供服務(wù)器發(fā)送所述斷言信息�。
本發(fā)明實(shí)施例還提供了一種單點(diǎn)登錄的方法,該方法從業(yè)務(wù)提供服務(wù)器側(cè)進(jìn)行描述�,該方法包括
步驟21、業(yè)務(wù)提供服務(wù)器接收身份提供服務(wù)器發(fā)送的對(duì)欲訪問(wèn)所述業(yè)務(wù)提供服務(wù)器的用戶的斷言信息�;
步驟22、所述業(yè)務(wù)提供服務(wù)器根據(jù)自身和所述身份提供服務(wù)器之間的共享密鑰驗(yàn)證所述斷言信息�。
上述業(yè)務(wù)提供服務(wù)器利用身份提供服務(wù)器發(fā)送的斷言信息進(jìn)行認(rèn)證,使得用戶訪問(wèn)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)不需要進(jìn)行多次注冊(cè)認(rèn)證�,同時(shí),為了避免用戶隱私泄露����,本發(fā)明實(shí)施例又提供了一種信息處理方法,該方法從名字映射服務(wù)器側(cè)進(jìn)行描述�,該方法包括
步驟31����、名字映射服務(wù)器(^S)接收身份提供服務(wù)器發(fā)送的匿名身份請(qǐng)求�,所述匿名身份請(qǐng)求中攜帶有用戶的身份標(biāo)識(shí);
步驟32���、所述NMS根據(jù)所述匿名身份請(qǐng)求生成與該身份標(biāo)識(shí)對(duì)應(yīng)的用戶的假名及與所述假名對(duì)應(yīng)的生存期�����,并向所述身份提供服務(wù)器返回所述用戶的假名及與所述假名對(duì)應(yīng)的生存期���。
為了更清楚地描述本發(fā)明實(shí)施例的單點(diǎn)登錄方法,下面從身份提供服務(wù)器�、業(yè)務(wù)提供服務(wù)器和名字映射服務(wù)器三者交互的角度進(jìn)行描述,如圖2所示�,為本發(fā)明單點(diǎn)登錄方法實(shí)施例的流程圖,所述方法包括以下步驟
步驟201����、身份提供服務(wù)器在接收到業(yè)務(wù)提供服務(wù)器的認(rèn)證請(qǐng)求或者用戶的業(yè)務(wù)訪問(wèn)請(qǐng)求后,檢查是否存在它自身和業(yè)務(wù)提供服務(wù)器間的共享密鑰Ks��,如果不存在,則認(rèn)證業(yè)務(wù)提供服務(wù)器���,認(rèn)證成功后����,生成共享密鑰Ks ��;進(jìn)一步地����,所述認(rèn)證方法包括但不限于預(yù)共享密鑰�、TLS、公鑰基礎(chǔ)結(jié)構(gòu)(PKI)�、協(xié)議安全性(IPsec)等技術(shù),由于其均為現(xiàn)有技術(shù)�����,這里不再贅述��。步驟202����、身份提供服務(wù)器確認(rèn)用戶通過(guò)接入認(rèn)證,并根據(jù)用戶的匿名服務(wù)請(qǐng)求通過(guò)名字映射服務(wù)器產(chǎn)生假名的方式對(duì)用戶身份進(jìn)行保護(hù)�,同時(shí)為業(yè)務(wù)提供服務(wù)器生成對(duì)該用戶的斷言信息���;步驟203、業(yè)務(wù)提供服務(wù)器接收到身份提供服務(wù)器發(fā)送的斷言信息后��,對(duì)斷言信息進(jìn)行驗(yàn)證�,如果驗(yàn)證通過(guò),則創(chuàng)建用戶假名對(duì)應(yīng)的條目���,并向用戶提供業(yè)務(wù)�。上述單點(diǎn)登錄方法�,通過(guò)重利用接入認(rèn)證和假名,很好地解決了用戶訪問(wèn)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)需多次注冊(cè)認(rèn)證和身份隱私泄露的問(wèn)題���。
如圖3所示����,為本發(fā)明由業(yè)務(wù)提供服務(wù)器發(fā)起的單點(diǎn)登錄方法實(shí)施例的信令流程圖���,所述方法包括步驟301���、MN、ASN以及認(rèn)證中心之間進(jìn)行接入認(rèn)證,認(rèn)證通過(guò)后�����,身份位置分離網(wǎng)絡(luò)為用戶分配接入標(biāo)識(shí)AID ���;此后���,用戶終端發(fā)送的報(bào)文通過(guò)AID進(jìn)行傳輸��,ASN為用戶分配RID�,并通過(guò)RID進(jìn)行路由選路找到ISN,ISN從報(bào)文中獲取用戶的AID�,并轉(zhuǎn)換成IPv4/IPv6地址發(fā)送到傳統(tǒng)IP網(wǎng)絡(luò)。步驟302��、MN向業(yè)務(wù)提供服務(wù)器發(fā)起業(yè)務(wù)訪問(wèn)請(qǐng)求����;步驟303、用戶在業(yè)務(wù)提供服務(wù)器頁(yè)面上選擇身份提供服務(wù)器�,業(yè)務(wù)提供服務(wù)器根據(jù)當(dāng)前時(shí)間戳生成隨機(jī)數(shù)nonce,作為用戶在業(yè)務(wù)提供服務(wù)器的臨時(shí)標(biāo)識(shí)���,并構(gòu)建認(rèn)證請(qǐng)求消息�����,消息中攜帶業(yè)務(wù)提供服務(wù)器URL��、身份提供服務(wù)器URL和隨機(jī)數(shù)nonce �;步驟304、業(yè)務(wù)提供服務(wù)器將認(rèn)證請(qǐng)求消息通過(guò)超文本傳輸協(xié)議(HTTP)重定向到身份提供服務(wù)器��;步驟305��、用戶通過(guò)終端向身份提供服務(wù)器發(fā)送匿名服務(wù)請(qǐng)求�;步驟306、身份提供服務(wù)器從報(bào)文中獲取用戶的接入標(biāo)識(shí)AID�����,確認(rèn)用戶通過(guò)接入認(rèn)證����;并檢查它自身和業(yè)務(wù)提供服務(wù)器間是否存在共享密鑰Ks,如果不存在�,則認(rèn)證業(yè)務(wù)提供服務(wù)器,認(rèn)證成功后���,生成共享密鑰Ks;確定不存在用戶對(duì)應(yīng)的假名或?qū)?yīng)的假名生存期(lifetime)過(guò)期��;其中���,身份提供服務(wù)器認(rèn)證業(yè)務(wù)提供服務(wù)器的方式包括但不限于預(yù)共享密鑰��、PK1����、TLS或者IPsec等等認(rèn)證方式�。由于其均為現(xiàn)有技術(shù),因此這里不再贅述���;步驟307、身份提供服務(wù)器向匪S發(fā)送匿名身份請(qǐng)求消息��,請(qǐng)求消息中攜帶用戶的AID�����、業(yè)務(wù)提供服務(wù)器的URL �����;步驟308、匪S接收到匿名身份請(qǐng)求消息后�,生成隨機(jī)數(shù)Rand以及默認(rèn)的lifetime,Rand作為相應(yīng)用戶的假名�,并構(gòu)建一條MN的AID、業(yè)務(wù)提供服務(wù)器URL和Rand��、lifetime對(duì)應(yīng)的條目����,如表I所示;表I麗對(duì)應(yīng)的條目
權(quán)利要求
1.一種單點(diǎn)登錄的方法�,該方法包括 身份提供服務(wù)器確認(rèn)用戶通過(guò)接入認(rèn)證; 所述身份提供服務(wù)器根據(jù)自身和所述用戶欲訪問(wèn)的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對(duì)用戶的斷言信息�,并向所述業(yè)務(wù)提供服務(wù)器發(fā)送所述斷言信息。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于 所述身份提供服務(wù)器根據(jù)自身和所述用戶欲訪問(wèn)的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對(duì)用戶的斷言信息之前,所述方法還包括 所述身份提供服務(wù)器在接收到所述業(yè)務(wù)提供服務(wù)器發(fā)送的認(rèn)證請(qǐng)求或所述用戶發(fā)送的業(yè)務(wù)訪問(wèn)請(qǐng)求后�,檢查是否存在所述共享密鑰,若不存在�����,則在所述業(yè)務(wù)提供服務(wù)器通過(guò)認(rèn)證后����,生成所述共享密鑰��。
3.根據(jù)權(quán)利要求1或2所述的方法��,其特征在于 所述身份提供服務(wù)器生成對(duì)用戶的斷言信息之前�,所述方法還包括 所述身份提供服務(wù)器為所述用戶獲得假名及與所述假名對(duì)應(yīng)的生存期�����。
4.根據(jù)權(quán)利要求3所述的方法����,其特征在于 所述身份提供服務(wù)器為所述用戶獲得假名及與所述假名對(duì)應(yīng)的生存期,包括 所述身份提供服務(wù)器根據(jù)所述用戶的匿名服務(wù)請(qǐng)求向名字映射服務(wù)器(^S)發(fā)送匿名身份請(qǐng)求����,以及接收所述匪S返回的根據(jù)所述匿名身份請(qǐng)求生成的該用戶的假名及與所述假名對(duì)應(yīng)的生存期���。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于 所述身份提供服務(wù)器為所述用戶獲得假名及與所述假名對(duì)應(yīng)的生存期之后�����,所述方法還包括 所述身份提供服務(wù)器接收所述用戶發(fā)送的攜帶指定用戶名及相應(yīng)生存期的匿名更新請(qǐng)求,并向所述WS發(fā)送所述匿名更新請(qǐng)求���,以及接收所述WS返回的更新結(jié)果����。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在于 所述斷言信息中攜帶有隨機(jī)數(shù)��、所述身份提供服務(wù)器的身份信息���、所述業(yè)務(wù)提供服務(wù)器的身份信息���、所述用戶的身份信息、簽名算法以及所述身份提供服務(wù)器根據(jù)所述共享密鑰計(jì)算出的簽名結(jié)果���;其中�,所述用戶的身份信息包括所述假名或所述指定用戶名����。
7.一種單點(diǎn)登錄的方法,該方法包括 業(yè)務(wù)提供服務(wù)器接收身份提供服務(wù)器發(fā)送的對(duì)欲訪問(wèn)所述業(yè)務(wù)提供服務(wù)器的用戶的斷言信息��; 所述業(yè)務(wù)提供服務(wù)器根據(jù)自身和所述身份提供服務(wù)器之間的共享密鑰驗(yàn)證所述斷言信息。
8.根據(jù)權(quán)利要求7所述的方法���,其特征在于 所述業(yè)務(wù)提供服務(wù)器根據(jù)自身和所述身份提供服務(wù)器之間的共享密鑰驗(yàn)證所述斷言信息之后�,所述方法還包括 如果驗(yàn)證通過(guò)��,則所述業(yè)務(wù)提供服務(wù)器創(chuàng)建與所述斷言信息中包含的用戶的身份信息對(duì)應(yīng)的條目��,并向所述用戶提供業(yè)務(wù)���;所述用戶的身份信息為所述用戶的假名或指定用戶名����。
9.根據(jù)權(quán)利要求7或8所述的方法���,其特征在于所述業(yè)務(wù)提供服務(wù)器接收身份提供服務(wù)器發(fā)送的對(duì)欲訪問(wèn)所述業(yè)務(wù)提供服務(wù)器的用戶的斷言信息之前�,所述方法還包括 所述業(yè)務(wù)提供服務(wù)器接收到所述用戶發(fā)送的業(yè)務(wù)訪問(wèn)請(qǐng)求之后�����,生成隨機(jī)數(shù)����,并向所述身份提供服務(wù)器發(fā)送攜帶所述隨機(jī)數(shù)的認(rèn)證請(qǐng)求。
10.根據(jù)權(quán)利要求9所述的方法��,其特征在于 所述斷言信息中攜帶有所述隨機(jī)數(shù)�、所述身份提供服務(wù)器的身份信息、所述業(yè)務(wù)提供服務(wù)器的身份信息�����、所述用戶的身份信息���、簽名算法以及所述身份提供服務(wù)器根據(jù)所述共享密鑰計(jì)算出的簽名結(jié)果�; 所述業(yè)務(wù)提供服務(wù)器根據(jù)自身和所述身份提供服務(wù)器之間的共享密鑰驗(yàn)證所述斷言信息����,包括 所述業(yè)務(wù)提供服務(wù)器根據(jù)所述身份提供服務(wù)器的身份信息、所述業(yè)務(wù)提供服務(wù)器的身份信息�����、所述用戶的身份信息��、所述簽名算法和所述共享密鑰計(jì)算出簽名結(jié)果��,并比較自己計(jì)算出的簽名結(jié)果與所述身份提供服務(wù)器計(jì)算出的簽名結(jié)果是否一致;以及判斷所述隨機(jī)數(shù)的生成時(shí)間是否是當(dāng)前最近的且所述隨機(jī)數(shù)是否唯一����。
11.一種信息處理方法,該方法包括 名字映射服務(wù)器(^S)接收身份提供服務(wù)器發(fā)送的匿名身份請(qǐng)求��,所述匿名身份請(qǐng)求中攜帶有用戶的身份標(biāo)識(shí)�; 所述匪S根據(jù)所述匿名身份請(qǐng)求生成與該身份標(biāo)識(shí)對(duì)應(yīng)的用戶的假名及與所述假名對(duì)應(yīng)的生存期,并向所述身份提供服務(wù)器返回所述用戶的假名及與所述假名對(duì)應(yīng)的生存期�。
12.根據(jù)權(quán)利要求11所述的方法,其特征在于 所述匪S向所述身份提供服務(wù)器發(fā)送所述用戶的假名及與所述假名對(duì)應(yīng)的生存期之后��,所述方法還包括 所述匪S接收所述身份提供服務(wù)器發(fā)送的來(lái)自所述用戶的攜帶指定用戶名及相應(yīng)生存期的匿名更新請(qǐng)求�,根據(jù)匿名更新請(qǐng)求進(jìn)行更新處理,并返回更新結(jié)果����。
13.一種身份提供服務(wù)器,該身份提供服務(wù)器包括 確認(rèn)模塊�����,用于確認(rèn)用戶通過(guò)接入認(rèn)證����; 斷言信息處理模塊,用于在所述確認(rèn)模塊確認(rèn)用戶通過(guò)接入認(rèn)證后,根據(jù)所述身份提供服務(wù)器和所述用戶欲訪問(wèn)的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對(duì)用戶的斷言信息���,并向所述業(yè)務(wù)提供服務(wù)器發(fā)送所述斷言信息。
14.根據(jù)權(quán)利要求13所述的身份提供服務(wù)器��,其特征在于���,所述身份提供服務(wù)器還包括 密鑰生成模塊�,用于在斷言信息處理模塊生成對(duì)用戶的斷言信息之前�����,在接收到所述業(yè)務(wù)提供服務(wù)器發(fā)送的認(rèn)證請(qǐng)求或所述用戶發(fā)送的業(yè)務(wù)訪問(wèn)請(qǐng)求后���,檢查是否存在所述共享密鑰�,若不存在���,則在所述業(yè)務(wù)提供服務(wù)器通過(guò)認(rèn)證后���,生成所述共享密鑰。
15.根據(jù)權(quán)利要求14所述的身份提供服務(wù)器��,其特征在于,所述身份提供服務(wù)器還包括 獲得模塊���,用于在所述確認(rèn)模塊確認(rèn)所述用戶通過(guò)接入認(rèn)證之后��,所述斷言信息處理模塊生成對(duì)用戶的斷言信息之前����,為所述用戶獲得假名及與所述假名對(duì)應(yīng)的生存期����。
16.根據(jù)權(quán)利要求15所述的身份提供服務(wù)器,其特征在于 所述獲得模塊���,是用于根據(jù)所述用戶的匿名服務(wù)請(qǐng)求向名字映射服務(wù)器(^S)發(fā)送匿名身份請(qǐng)求��,以及接收所述匪S返回的根據(jù)所述匿名身份請(qǐng)求生成的該用戶的假名及與所述假名對(duì)應(yīng)的生存期�。
17.根據(jù)權(quán)利要求16所述的身份提供服務(wù)器����,其特征在于 所述獲得模塊,還用于接收所述用戶發(fā)送的攜帶指定用戶名及相應(yīng)生存期的匿名更新請(qǐng)求��,并向所述WS發(fā)送所述匿名更新請(qǐng)求�����,以及接收所述WS返回的更新結(jié)果。
18.根據(jù)權(quán)利要求17所述的身份提供服務(wù)器����,其特征在于 所述斷言信息中攜帶有隨機(jī)數(shù)�、所述身份提供服務(wù)器的身份信息、所述業(yè)務(wù)提供服務(wù)器的身份信息�、所述用戶的身份信息、簽名算法以及所述身份提供服務(wù)器根據(jù)所述共享密鑰計(jì)算出的簽名結(jié)果�����;其中����,所述用戶的身份信息包括所述假名或所述指定用戶名。
19.一種業(yè)務(wù)提供服務(wù)器�,該業(yè)務(wù)提供服務(wù)器包括 接收模塊,用于接收身份提供服務(wù)器發(fā)送的對(duì)欲訪問(wèn)所述業(yè)務(wù)提供服務(wù)器的用戶的斷言信息�����; 驗(yàn)證模塊�����,用于根據(jù)所述業(yè)務(wù)提供服務(wù)器和所述身份提供服務(wù)器之間的共享密鑰驗(yàn)證所述斷言信息。
20.根據(jù)權(quán)利要求19所述的業(yè)務(wù)提供服務(wù)器�,其特征在于,所述業(yè)務(wù)提供服務(wù)器還包括 業(yè)務(wù)提供模塊�����,用于所述驗(yàn)證模塊驗(yàn)證通過(guò)所述斷言信息后��,創(chuàng)建與所述斷言信息中包含的用戶的身份信息對(duì)應(yīng)的條目�,并向所述用戶提供業(yè)務(wù)。
21.一種名字映射服務(wù)器(WS)����,該匪S包括 接收模塊,用于接收身份提供服務(wù)器發(fā)送的匿名身份請(qǐng)求�����,所述匿名身份請(qǐng)求中攜帶有用戶的身份標(biāo)識(shí)���; 生成發(fā)送模塊�,用于根據(jù)所述接收模塊接收的所述匿名身份請(qǐng)求生成與該身份標(biāo)識(shí)對(duì)應(yīng)的用戶的假名及與所述假名對(duì)應(yīng)的生存期���,并向所述身份提供服務(wù)器返回所述用戶的假名及與所述假名對(duì)應(yīng)的生存期����。
22.根據(jù)權(quán)利要求21所述的匪S,其特征在于 所述生成發(fā)送模塊����,還用于接收所述身份提供服務(wù)器發(fā)送的來(lái)自所述用戶的攜帶指定用戶名及相應(yīng)生存期的匿名更新請(qǐng)求,根據(jù)匿名更新請(qǐng)求進(jìn)行更新處理����,并返回更新結(jié)果�。
23.一種信息處理裝置,該系統(tǒng)包括權(quán)利要求16-18任一權(quán)利要求所述的身份提供服務(wù)器和權(quán)利要求21-22任一權(quán)利要求所述的名字映射服務(wù)器�。
24.一種單點(diǎn)登錄系統(tǒng),該系統(tǒng)包括權(quán)利要求13-18任一權(quán)利要求所述的身份提供服務(wù)器和權(quán)利要求19-20任一權(quán)利要求所述的業(yè)務(wù)提供服務(wù)器��。
25.一種單點(diǎn)登錄系統(tǒng)����,該系統(tǒng)包括權(quán)利要求16-18任一權(quán)利要求所述的身份提供服務(wù)器、權(quán)利要求21-22任一權(quán)利要求所述的名字映射服務(wù)器和權(quán)利要求19-20任一權(quán)利要求所述的業(yè)務(wù)提供服務(wù)器��。
全文摘要
本發(fā)明提供了一種單點(diǎn)登錄的方法����、單點(diǎn)登錄的系統(tǒng)�����、信息處理方法��、信息處理裝置�����、身份提供服務(wù)器��、業(yè)務(wù)提供服務(wù)器和名字映射服務(wù)器��,其中�,單點(diǎn)登錄的方法包括身份提供服務(wù)器確認(rèn)用戶通過(guò)接入認(rèn)證�;所述身份提供服務(wù)器根據(jù)自身和所述用戶欲訪問(wèn)的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對(duì)用戶的斷言信息,并向所述業(yè)務(wù)提供服務(wù)器發(fā)送所述斷言信息�。本發(fā)明實(shí)施例,通過(guò)重利用接入認(rèn)證��,很好地解決了用戶訪問(wèn)互聯(lián)網(wǎng)多次注冊(cè)認(rèn)證的問(wèn)題����,通過(guò)生成假名對(duì)用戶隱私起到了保護(hù)的作用����,避免了用戶隱私的泄露�����。
文檔編號(hào)H04L9/32GK103023856SQ20111027949
公開(kāi)日2013年4月3日 申請(qǐng)日期2011年9月20日 優(yōu)先權(quán)日2011年9月20日
發(fā)明者夏正雪, 韋銀星 申請(qǐng)人:中興通訊股份有限公司