CN101567878B - 提高网络身份认证安全性的方法 - Google Patents
提高网络身份认证安全性的方法 Download PDFInfo
- Publication number
- CN101567878B CN101567878B CN2008100948776A CN200810094877A CN101567878B CN 101567878 B CN101567878 B CN 101567878B CN 2008100948776 A CN2008100948776 A CN 2008100948776A CN 200810094877 A CN200810094877 A CN 200810094877A CN 101567878 B CN101567878 B CN 101567878B
- Authority
- CN
- China
- Prior art keywords
- authentication
- terminal use
- network
- idp
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Abstract
本发明公开了一种提高网络身份认证安全性的方法和装置,以及一种实现单点登录过程无缝切换的方法和装置,应用于web服务,属于通信技术领域。所述提高网络身份认证安全性的方法通过对SP和终端用户进行网络身份认证,或者根据SP访问权限信息控制网络身份认证,提高了网络身份认证的安全性,且可以控制SP对终端用户属性信息的获取,从而使SP对终端用户提供不同的服务。所述实现单点登录过程无缝切换的方法通过SP归属的IDP对终端用户进行网络身份认证或者SP对终端用户进行鉴权,实现了单点登录过程中的无缝切换。所述装置为身份提供商装置和服务提供商装置。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种提高网络身份认证安全性的方法。
背景技术
Web Service(服务)是描述一些操作的接口,可以使用标准化的XML(eXtensible MarkupLanguage,可扩展标记语言)消息传递机制通过网络访问这些操作。一个Web Service可以单独或协同其它Web Service一起用于实现复杂的功能或商业交易。
终端可能会使用多种Web Service,但并不是所有服务都位于其网络运营商的信任域内。为了提高终端的用户体验,现有技术提供了一种身份联合方式,即网络身份,用来描述在多种网络服务中,使提供给终端的状态或数据保持一致。
网络身份消息交换中,会涉及四个实体:SP(Service Provider,服务提供商)、IDP(IdentityProvider,身份提供商)、DS(Discovery Service,发现服务)和AP(Attribute Provider,属性提供商)。其中,SP是为主体用户提供服务和/或货物的实体。IDP用于生成、维护和管理主体用户的身份信息,并且能够为某认证域(甚至信任圈)中的其他服务提供商提供认证断言。DS允许不同的实体(如服务提供商)动态地发现一个主体的已注册的服务。例如,当DS确定了所需服务的类型,且符合用户设定的权限,表示该实体上的信息允许向相关实体提供,DS将会向相关实体回复一个服务描述,包括所需的实体服务的WSDL(Web ServiceDescription Language,Web服务描述语言)。DS还可以用作安全记号服务,向请求者发送该安全记号,请求者在向DS请求服务时,需要出示这个记号。AP用于提供某个主体用户的属性。
现有技术中,一个主体用户使用某个SP完成某项业务时,需要通过IDP的身份认证,以及属性提供商提供给SP所需查询的属性(例如,主体用户的位置信息)共同完成服务。通过用户在IDP上完成认证工作,信任圈内的其他实体能够利用IDP对用户的认证信息,通过NI(Network Identity,网络身份)对用户身份进行识别,并在此基础上对用户的Attibute信息进行获取,并基于此开展相关的业务应用。主体用户请求服务以及NI认证过程如下:
1)主体用户用HTTP向SP发起一个请求;
2)SP接收到主体用户发起的请求后,向IDP发送核对该主体用户的认证状态的请求;
3)IDP收到SP发送的请求后,向SP返回回复请求,该回复请求包括一个描述用户认证状态的认证断言,还可以包括访问主体用户的发现服务实体所需的bootstrap信息(可选项);
如果SP处没有有效的SSO(Single Sign-On,单点登录)内容给主体用户,主体用户需要在IDP认证以便建立一个合法的SSO会话;
4)SP使用来自IDP的bootstrap信息向主体用户的发现服务实体询问某个特定属性提供商;
5)发现服务实体向SP返回一个认证断言,包括主体用户的属性提供商的地址信息;
6)SP使用认证断言中的地址信息访问属性提供商,从属性提供商处请求查询属性或有关属性的操作(例如,删除或修改属性);
7)属性提供商向SP返回回复信息;
8)SP收到属性提供商的回复信息后,允许或拒绝该主体用户的请求。
其中,IDP对主体用户的认证需要调用外部认证服务器,如LDAP(Light Directory AccessProtocol,轻量级目录访问协议)或关系数据库及附加在关系数据库上的访问控制协议。
在对现有技术进行分析后,发明人发现:
由于网络中既存在信任圈又存在非信任圈,用户在向SP请求业务时,可能涉及到信任圈与非信任圈的切换问题,上述现有技术还无法实现信任圈与非信任圈的无缝切换,当从信任圈切换到非信任圈时,有可能造成业务中断。另外,用户请求业务时,有可能面临虚假SP,会使用户的身份信息等暴露,给用户带来损失,存在较大的安全漏洞。
发明内容
为了提高网络身份认证的安全性,一方面,本发明实施例提供了一种提高网络身份认证安全性的方法,应用于web服务,所述方法包括:
服务提供商SP接收终端用户发起的认证请求,所述认证请求中携带所述终端用户指定的第一身份提供商IDP的标识信息;
所述SP向所述第一IDP发起网络身份认证请求,所述第一IDP接收所述网络身份认证请求;
如果所述第一IDP是所述SP归属的IDP且是所述终端用户归属的IDP,则所述第一IDP对所述终端用户进行网络身份认证,并将第一认证结果返回给所述SP,所述第一认证结果包括所述第一IDP对所述SP进行网络身份认证后得到的所述SP的网络身份认证结果和所述终端用户的网络身份认证结果;
如果所述第一IDP不是所述SP归属的IDP,则所述第一IDP返回不支持对所述终端用户进行网络身份认证的第二认证结果给所述SP,所述SP将所述第二认证结果和所述SP归属的第二IDP信息返回给所述终端用户,所述终端用户向所述SP归属的第二IDP发起网络身份认证请求,当所述第二IDP是所述终端用户归属的IDP时,所述第二IDP对所述终端用户进行网络身份认证后,返回认证结果给所述终端用户。
本发明实施例通过在单点登录过程中对终端用户和SP均进行网络身份认证的方式,提高了终端用户和SP之间的安全性;采用SP归属的IDP对终端用户进行网络身份认证或SP对终端用户进行业务鉴权请求的方式,实现单点登录过程中的无缝切换,提高了终端用户体验;通过SP的访问权限信息控制对终端用户进行网络身份认证,可以控制SP对终端用户的属性信息的获取,从而使SP对终端用户提供不同的服务。
附图说明
图1是本发明实施例1提供的提高网络身份认证安全性的方法流程示意图;
图2是本发明实施例2提供的实现单点登录过程无缝切换的方法流程示意图;
图3是本发明实施例3提供的实现单点登录过程无缝切换的方法流程示意图;
图4是本发明实施例4提供的实现单点登录过程无缝切换的方法流程示意图;
图5是本发明实施例5提供的提高网络身份认证安全性的方法流程示意图;
图6是本发明实施例6提供的身份提供商装置的一个结构示意图;
图7是本发明实施例6提供的身份提供商装置的另一个结构示意图;
图8是本发明实施例7提供的服务提供商装置的结构示意图;
图9是本发明实施例8提供的身份提供商装置的结构示意图;
图10是本发明实施例9提供的服务提供商装置的一个结构示意图;
图11是本发明实施例9提供的服务提供商装置的另一个结构示意图;
图12是本发明实施例10提供的服务提供商装置的一个结构示意图;
图13是本发明实施例10提供的服务提供商装置的另一个结构示意图;
图14是本发明实施例11提供的身份提供商装置的一个结构示意图;
图15是本发明实施例11提供的身份提供商装置的另一个结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例通过在单点登录过程中对终端用户和SP均进行网络身份认证的方式,提高了终端用户和SP之间的安全性;采用SP归属的IDP对终端用户进行网络身份认证或SP对终端用户进行业务鉴权请求的方式,实现单点登录过程中的无缝切换,提高了终端用户体验;通过SP的访问权限信息控制对终端用户进行网络身份认证,可以控制SP对终端用户的属性信息的获取,从而使SP对终端用户提供不同的服务。
实施例1
本发明实施例提供了一种提高网络身份认证安全性的方法,包括:IDP对SP和终端用户进行网络身份认证,并将认证结果返回给SP,该认证结果包括SP的网络身份认证结果和用的网络身份认证结果。参见图1,图1中所示的实体设备均位于信任圈中,该方法具体包括:
101:终端用户向SP发起一个认证请求,该请求中携带终端用户的认证信息、终端用户指定的IDP的标识信息,以及需要SP返回SP的网络身份认证结果的标识信息。
102:SP接收到该认证请求后,根据其中的IDP标识信息,向对应的IDP请求对终端用户进行网络身份认证,同时SP还可以在该请求中携带SP的身份认证信息,请求IDP对SP进行网络身份认证。
在实际应用中,SP也可以在102之前或者101之前完成向IDP进行网络身份认证的过程,当在102之前SP已完成向IDP进行网络身份认证的过程时,102中SP发起的网络身份认证请求中可以不携带SP的身份认证信息。在本实施例中SP同时向IDP请求对终端用户和SP进行网络身份认证。
103:IDP收到SP发来的请求后,根据已保存的终端用户信息和SP的信息,对终端用户和SP进行网络身份认证,并返回认证结果,该认证结果包括一个描述终端用户认证状态的认证断言,以及IDP对SP进行网络身份认证的结果。
其中,进一步地,IDP返回的认证结果中还可以包括:SP访问终端用户的DS所需的引导(bootstrap)信息。
104:SP收到IDP返回的认证结果后,将该认证结果返回给终端用户,其中包含对终端用户的认证结果,以及对SP的认证结果。
105:终端用户发送消息给IDP,向IDP核对SP的认证状态,该消息中包含SP的认证结果。
106:IDP收到该消息后,返回响应,其中包括一个描述SP认证状态的认证断言。在本实施例中,IDP返回的响应中指明核对后的结果为该SP为合法的SP。
终端用户在得到IDP返回的SP为合法的SP的确认结果后,进一步地,还可以向SP请求业务,即上述方法还包括:
107:终端用户向SP发起一个业务请求,该业务请求中包含终端用户需要在SP进行的相关操作等等,例如,终端用户在该SP提供的网上商城中买东西。
108:SP根据103中IDP返回的引导信息,向相应的DS询问终端用户对应的属性提供商AP。
109:该DS返回一个认证断言给SP,其中,包括相应的AP信息,如某个AP的地址信息。
110:SP收到该认证断言后,根据其中的AP信息,访问相应的AP,请求终端用户的属性信息。
111:该AP返回终端用户的属性信息给SP,如终端用户的姓名、性别、年龄、地址和电话等等。
112:SP收到终端用户的属性信息后,根据该属性信息向终端用户提供业务。
进一步地,在103中IDP还可以根据SP发来的SP访问权限信息控制对终端用户的网络身份认证,如判断该SP是否被允许请求认证,如果是,则对该SP和终端用户进行网络身份认证;否则,拒绝该SP发来的网络身份认证请求。其中,SP访问权限信息通常为终端用户发来的SP访问控制列表,包括终端用户信赖的SP和终端用户不信赖的SP,以及不同的SP具有不同的访问权限等信息。例如,SP1可以访问终端用户的姓名、年龄和地址,SP2可以访问终端用户的姓名和电话等等。IDP通过维护SP访问控制列表,可以控制SP获取终端用户的属性信息,从而给终端用户提供不同的业务。
为了避免出现重放攻击,进一步地,IDP还可以预先获取SP的一次性信息,如102中SP将发起请求的时间作为一次性信息携带在网络身份认证请求中发给IDP,相应地,103中IDP还可以利用获取的SP的一次性信息加密对终端用户进行网络身份认证得到的认证结果,并将加密后的信息返回给SP;SP收到该加密后的信息后,进行解码可以得到该认证结果。
本实施例通过对终端用户和SP进行网络身份认证(双向认证),提高了网络身份认证的安全性,与现有技术相比,避免了虚假SP使用户的身份信息等暴露给用户带来损失,解决了终端用户与SP之间的安全漏洞。通过在IDP维护SP访问权限信息,可以控制SP对终端用户的属性信息的获取,从而可以给终端用户提供不同的服务。IDP通过获取SP的一次性信息并对认证结果加密,可以避免出现重放攻击,进一步提高了网络身份认证的安全性。
实施例2
本发明实施例还提供了一种实现单点登录过程无缝切换的方法,应用于web服务,包括:当SP向终端用户指定的IDP请求网络身份认证并且得到IDP不支持该认证的结果后,SP归属的IDP接收该终端用户发来的网络身份认证请求;SP归属的IDP对该终端用户进行网络身份认证后,返回认证结果给终端用户。参见图2,身份提供商A为SP的归属IDP,身份提供商B为终端用户指定的IDP(通常为默认的),终端用户既在身份提供商A的信任圈内,又在身份提供商B的信任圈内,本实施例属于交叉信任圈的应用场景,该方法具体包括:
201:终端用户向SP发起一个认证请求,该请求中携带终端用户的认证信息和终端用户指定的IDP的标识信息,在本实施例中终端用户指定的IDP为IDP B。
202:SP收到该认证请求后,根据其中的IDP的标识信息,向对应的IDP B请求对终端用户进行网络身份认证。
203:IDP B收到SP发来的请求后,根据已保存的终端用户信息对终端用户进行网络身份认证,并返回认证结果给SP,该认证结果包括一个描述终端用户认证状态的认证断言。在本实施例中,由于IDP B不是SP归属的IDP,不支持对该终端用户进行网络身份认证,因此IDP B在返回的认证结果中指明自己不是SP归属的IDP,无法完成认证。
进一步地,IDP返回的认证结果中还可以包括:SP访问终端用户的DS所需的引导信息。
204:SP收到IDP B返回的认证结果后,回复响应给终端用户,该响应中包含上述认证结果和SP所归属的IDP信息。在本实施例中,SP归属的IDP为IDPA。
205:终端用户收到SP的响应后,向SP所归属的IDP发起网络身份认证请求,在本实施例中向IDPA发起网络身份认证请求。
206:IDPA收到该网络身份认证请求后,对终端用户进行网络身份认证,并返回认证结果给终端用户。
205和206为终端用户单点登录的过程,登录成功后,IDPA返回给终端用户的认证结果为NI信息,如NI标识,终端用户使用该NI标识可以不用每次请求业务时都向IDP重新进行网络身份认证,只需SP向IDP核对验证该NI标识即可。
207:终端用户收到IDPA返回的认证结果后,向SP发起一个业务请求,该业务请求中包含IDPA返回的认证结果。
208:SP收到终端用户发来的业务请求后,向IDP A核对终端用户的认证结果,即核对终端用户的NI信息;
209:IDPA收到SP发来的核对请求后,回复响应给SP,该响应中包括一个描述终端用户认证状态的认证断言,即核对的结果,在本实施例中,IDPA核对的终端用户的NI信息的结果为终端用户的NI信息是正确的。进一步地,SP还可以从IDP A处获取访问终端用户的发现服务DS所需的引导信息,即IDP A可以在该响应中携带引导信息;相应地,上述方法还包括:
210:SP收到IDPA返回的响应后,根据其中的引导信息访问相应的DS,请求获取属性提供商AP的信息。
211:DS收到该请求后,返回一个认证断言给SP,其中包括相应的AP的信息。
212:SP根据收到的AP的信息,访问相应的AP,请求获取终端用户的属性信息。
213:AP返回响应给SP,该响应中包含终端用户的属性信息。
214:SP收到该响应后,回复响应给终端用户,并根据得到的终端用户的属性信息向终端用户提供业务。
进一步地,202中SP还可以在网络身份认证请求中携带标识信息,该标识信息用于要求返回SP的网络身份认证结果,相应地,203中IDP B根据该标识信息对SP进行网络身份认证,并在返回的认证结果中携带对SP的网络身份身份认证的结果。从而可以防止虚假的SP向终端用户提供业务,给终端用户带来损失。
本实施例适用于SP有归属的IDP的应用场景,当终端用户指定的IDP无法完成网络身份认证时,通过终端用户在SP归属的IDP进行网络身份认证,实现了单点登录过程中无缝切换的目的。与现有技术相比,避免了切换过程中业务中断给终端用户带来损失。通过IDP对SP进行网络身份认证,可以识别虚假的SP,避免用户的身份信息等暴露给用户带来损失,解决了终端用户与SP之间的安全漏洞。
实施例3
本实施例与实施例2类似,属于无交叉信任圈的应用场景,参见图3,身份提供商A为SP归属的IDP,身份提供商B为终端用户指定的IDP(通常为默认的),终端用户在身份提供商B的信任圈内,SP在身份提供商A的信任圈内,且两个信任圈不交叉,则终端用户无法在SP归属的IDP处完成认证。本发明实施例还提供了一种实现单点登录过程无缝切换的方法,该方法具体包括:
步骤301至306与实施例2中的201至206相同,此处不再赘述。在本实施例中,由于SP归属的IDPA不是终端用户归属的IDP,因此306中IDPA返回给终端用户的认证结果为认证失败的结果。
307:终端用户收到IDPA返回的认证结果后,进一步地,还可以向IDPB请求SP访问终端用户的DS所需的引导信息。
308:IDP B收到终端用户发来的请求后,回复响应给终端用户,其中包括SP访问DS所需的引导信息。
309:终端用户收到IDP B返回的响应后,向SP发起一个业务鉴权请求,其中包括终端用户信息、密码信息等内容,还可以携带上述引导信息。
310:SP收到终端用户的业务鉴权请求后,根据其中的引导信息访问相应的DS,请求获取终端用户对应的属性提供商AP。
311:该DS收到SP的请求后,返回一个认证断言给SP,其中包括相应的AP信息,例如某个AP的地址信息。
312:SP收到该认证断言后,根据其中的AP信息,访问相应的AP,请求获取终端用户的属性信息。
313:该AP返回终端用户的属性信息给SP,如终端用户的姓名、性别、年龄、地址和电话等等。
314:SP收到终端用户的属性信息后,根据该属性信息向终端用户提供业务。
进一步地,本实施例中SP还可以在网络身份认证请求中携带标识信息,该标识信息用于要求返回SP的网络身份认证结果,相应地,IDP B或IDP A根据该标识信息对SP进行网络身份认证,并在返回的认证结果中携带对SP的网络身份身份认证的结果,从而可以防止虚假的SP向终端用户提供业务,给终端用户带来损失。
本实施例适用于SP归属的IDP不是终端用户归属的IDP的应用场景,当终端用户指定的IDP以及SP归属的IDP均无法完成终端用户的网络身份认证时,通过SP对终端用户进行业务鉴权,实现了单点登录过程中无缝切换的目的。与现有技术相比,避免了切换过程中业务中断给终端用户带来损失。通过IDP对SP进行网络身份认证,可以识别虚假的SP,避免用户的身份信息等暴露给用户带来损失,解决了终端用户与SP之间的安全漏洞。
实施例4
本发明实施例还提供了一种实现单点登录过程无缝切换的方法,应用于web服务,包括:当SP没有归属的IDP时,SP接收终端用户发来的业务鉴权请求;SP对终端用户进行鉴权,并返回鉴权结果给终端用户。参见图4,身份提供商为终端用户指定的IDP(通常为默认的),终端用户在身份提供商的信任圈内,SP没有归属的IDP,在非信任圈内,本实施例属于交叉信任圈与非信任圈切换的应用场景,该方法具体包括:
401:终端用户向SP发起一个业务请求。
402:SP接收到该业务请求后,发现该SP没有归属的IDP,即不支持IDP认证,则向终端用户返回响应,要求用户进行鉴权。
进一步地,终端用户可以在401或402之前,向IDP请求SP访问DP所需要的引导信息,如401’,相应地,IDP收到SP的请求之后,向终端用户回复响应,其中包括SP访问终端用户的DS所需的引导信息,如402’。
403:终端用户收到SP的响应后,向SP发起一个业务鉴权请求,其中包括终端用户信息、密码信息等内容,进一步地,还可以包括上述引导信息。
404:SP收到终端用户的业务鉴权请求后,对终端用户进行业务鉴权,此时SP可以直接返回业务鉴权的结果给终端用户,也可以先获取终端用户的属性信息,然后再返回业务鉴权的结果,在本实施例中,SP根据上述引导信息,访问相应的DS,请求获取终端用户对应的AP的信息。
405:DS返回一个认证断言给SP,其中包括相应AP的信息,如某个AP的地址信息。
406:SP收到该认证断言后,根据其中的AP信息,访问相应的AP,请求获取终端用户的属性信息。
407:AP收到SP的请求后,返回终端用户的属性信息给SP。
408:SP收到终端用户的属性信息后,返回响应给终端用户,并根据该属性信息向终端用户提供业务。
本实施例适用于SP无归属的IDP的应用场景,当终端用户得到SP返回的不支持IDP认证的结果后,通过SP对终端用户进行业务鉴权,实现了单点登录过程中无缝切换的目的。与现有技术相比,避免了切换过程中业务中断给终端用户带来损失。
实施例5
本发明实施例还提供了一种提高网络身份认证安全性的方法,应用于web服务,包括:IDP接收SP发来的对终端用户进行网络身份认证的请求;IDP根据该请求中携带的SP访问权限信息对终端用户进行网络身份认证,并返回认证结果给该SP。参见图5,IDP维护一个SP的访问控制列表,控制SP获取终端用户的属性信息,该方法具体包括:
501:终端用户向IDP发起网络身份认证请求,该请求中携带有终端用户设定的SP访问权限信息,在本实施例中为SP的访问控制列表。例如,该列表中包括两个信赖的SP:SP1和SP2,且SP1可以访问终端用户的姓名、年龄和地址,SP2可以访问终端用户的姓名和电话等等,以及一个不信赖的SP3,该SP3不能向IDP请求网络身份认证等等。
502:IDP收到该网络身份认证请求后,对终端用户进行网络身份认证,并保存终端用户设定的SP访问权限信息,并将认证后的结果返回给终端用户。
501和502为终端用户单点登录的过程,登录成功后,IDP返回给终端用户的认证结果为NI信息,如NI标识,终端用户使用该NI标识可以不用每次请求业务时都向IDP重新进行网络身份认证,只需SP向IDP核对验证该NI标识即可。
503:终端用户收到IDP的认证结果后,向SP发起一个业务请求,该请求中包括携带终端用户的身份认证信息、终端用户指定的IDP的标识信息。
504:SP接收到该业务请求后,根据其中的IDP标识信息,向对应的IDP请求对终端用户进行网络身份认证。
505:IDP收到SP发来的网络身份认证请求后,根据已保存的SP的访问控制列表判断该SP身份被允许请求认证,如果是,则对终端用户进行网络身份认证,并将认证结果返回给SP;否则,拒绝该SP的网络身份认证请求。在本实施例中,该SP为终端用户信赖的SP,则返回认证结果给该SP。
其中,IDP对终端用户进行网络身份认证是指核对SP发来的终端用户的NI信息,即终端用户已登录到web服务系统,此时只需核对终端用户的网络身份即可,不用重新对其进行认证。
进一步地,IDP返回的认证结果中还可以包括SP访问终端用户的DS所需的引导信息。
506:SP收到IDP返回的认证结果后,根据上述引导信息访问相应的DS,请求获取终端用户对应的属性提供商AP的信息。
507:DS收到该请求后,返回一个认证断言给SP,其中包括相应AP的信息,如某个AP的地址信息。
508:SP收到该认证断言后,根据其中的AP信息,访问相应的AP,请求获取终端用户的属性信息。
509:AP收到该请求后,返回终端用户的属性信息给SP。
510:SP收到AP返回的终端用户的属性信息后,返回响应给终端用户,并根据该属性信息向终端用户提供业务。
进一步地,504中SP还可以在网络身份认证请求中携带标识信息,该标识信息用于要求返回SP的网络身份认证结果,相应地,505中IDP根据该标识信息对SP进行网络身份认证,并在返回的认证结果中携带对SP的网络身份身份认证的结果。从而可以防止虚假的SP向终端用户提供业务,给终端用户带来损失。
为了避免出现重放攻击,进一步地,IDP还可以预先获取SP的一次性信息,如504中SP将发起请求的时间作为一次性信息携带在网络身份认证请求中发给IDP,相应地,505中IDP还可以利用获取的SP的一次性信息加密对终端用户进行网络身份认证得到的认证结果,并将加密后的信息返回给SP;SP收到该加密后的信息后,进行解码可以得到该认证结果。
进一步地,506中SP收到IDP返回的认证结果后,还可以删除该认证结果中的终端用户的信息,不在本地缓存该信息,从而可以极大地减轻SP数据信息的维护,以及SP的数据存储量,减少了安全漏洞,并且减少了终端用户信息的存放位置,免除了终端用户针对SP的注册过程。
本实施例通过在IDP维护SP访问权限信息,可以控制SP对终端用户的属性信息的获取,从而可以给终端用户提供不同的服务。通过IDP对SP进行网络身份认证,可以识别虚假的SP,避免用户的身份信息等暴露给用户带来损失,解决了终端用户与SP之间的安全漏洞。IDP通过获取SP的一次性信息并对认证结果加密,可以避免出现重放攻击,进一步提高了网络身份认证的安全性。通过删除认证结果中的终端用户的信息,减轻了SP数据信息的维护,以及SP的数据存储量,减少了安全漏洞,并且减少了终端用户信息的存放位置,免除了终端用户针对SP的注册过程。
实施例6
参见图6,本发明实施例提供了一种身份提供商装置,应用于web服务,该装置包括:
认证模块601,用于对SP和终端用户进行网络身份认证;
发送模块602,用于将认证模块601得到的认证结果返回给SP,认证结果包括终端用户的网络身份认证结果和SP的网络身份认证结果。
进一步地,参见图7,图6所示的装置还包括:
第一接收模块603,用于接收SP发来的网络身份认证请求,网络身份认证请求中包含SP的身份认证信息和终端用户的身份认证信息;
相应地,认证模块601具体用于当第一接收模块603收到网络身份认证请求后,根据SP的身份认证信息和终端用户的身份认证信息,对SP和终端用户进行网络身份认证。
或者,图6所示的装置还包括:
第二接收模块604,用于接收SP发来的网络身份认证请求,网络身份认证请求中包含标识信息和终端用户的身份认证信息,标识信息用于要求返回SP的网络身份认证结果;
相应地,认证模块601具体包括:
第一认证单元,用于对SP进行网络身份认证;
第二认证单元,用于当第二接收模块604收到网络身份认证请求后,根据终端用户的身份认证信息,对终端用户进行网络身份认证。
进一步地,图6所示的装置还包括:
核对模块605,用于接收到终端用户发来的核实SP的网络身份认证结果的请求后,对SP的网络身份认证结果进行核实,并返回核实的结果给终端用户。
另外,参见图7,图6所示的装置还包括:
第三接收模块606,用于接收SP发来的网络身份认证请求;
处理模块607,用于当第三接收模块收到网络身份认证请求后,根据该请求中的SP访问权限信息判断SP是否被允许请求认证,如果是,则触发认证模块工作;否则,拒绝SP的请求。
另外,参见图7,图6所示的装置还包括:
获取模块608,用于获取来自SP的一次性信息;
相应地,发送模块602具体包括:
加密单元,用于根据获取模块获取的一次性信息对认证模块得到的认证结果进行加密;
发送单元,用于返回加密单元加密后的信息给SP。
本实施例通过对终端用户和SP进行网络身份认证(双向认证),提高了网络身份认证的安全性,与现有技术相比,避免了虚假SP使用户的身份信息等暴露给用户带来损失,解决了终端用户与SP之间的安全漏洞。通过维护SP访问权限信息,可以控制SP对终端用户的属性信息的获取,从而可以给终端用户提供不同的服务。通过获取SP的一次性信息并对认证结果加密,可以避免出现重放攻击,进一步提高了网络身份认证的安全性。
实施例7
参见图8,本发明实施例还提供了一种服务提供商装置,应用于web服务,该装置包括:
接收模块801,用于接收终端用户发来的业务请求,业务请求中包含标识信息和终端用户的身份认证信息,标识信息用于要求返回服务提供商的网络身份认证结果;
发送模块802,用于向IDP发起网络身份认证请求,并在网络身份认证请求中携带标识信息和终端用户的身份认证信息。
进一步地,图8所示的装置中发送模块802具体包括:
发送单元,用于向IDP发起网络身份认证请求,并在网络身份认证请求中携带标识信息、终端用户的身份认证信息和服务提供商的身份认证信息。
进一步地,图8所示的装置中发送模块802还包括:
一次性信息发送单元,用于发送服务提供商的一次性信息给IDP;
相应地,该装置还包括:
解密模块803,用于当装置收到IDP发来的根据一次性信息得到的加密信息后,进行解密。
本实施例通过发送标识信息给IDP,使IDP对SP也进行网络身份认证,提高了网络身份认证的安全性,与现有技术相比,避免了虚假SP使用户的身份信息等暴露给用户带来损失,解决了终端用户与SP之间的安全漏洞。通过发送SP的一次性信息给IDP,使IDP根据该信息对认证结果加密,可以避免出现重放攻击,进一步提高了网络身份认证的安全性。
实施例8
参见图9,本发明实施例还提供了一种身份提供商装置,应用于web服务,该身份提供商为SP归属的身份提供商,该装置包括:
接收模块901,用于接收终端用户发来的网络身份认证请求;
认证模块902,用于在接收模块901接收到网络身份认证请求后,对终端用户进行网络身份认证,并返回认证结果给终端用户。
本实施例适用于终端用户指定的IDP无法完成对终端用户进行网络身份认证的场景,通过以SP归属的身份提供商对终端用户进行网络身份认证,实现了单点登录过程中的无缝切换。
实施例9
参见图10,本发明实施例还提供了一种服务提供商装置,该装置包括:
接收模块1001,用于接收终端用户发来的业务请求;还用于接收终端用户指定的IDP返回不支持认证的结果,结果中指明终端用户指定的IDP不是SP归属的IDP;
发送模块1002,用于在接收模块1001收到业务请求后,向终端用户指定的IDP发起网络身份认证请求,在接收模块收到结果后,回复响应给终端用户,响应中携带SP归属的IDP信息。
进一步地,参见图11,接收模块1001还用于当SP归属的IDP不是终端用户归属的IDP时,接收终端用户发来的业务鉴权请求;
相应地,上述装置还包括:
业务鉴权模块1003,用于在接收模块1001接收到业务鉴权请求后,对终端用户进行鉴权,并返回鉴权结果给终端用户。
本实施例适用于终端用户指定的IDP无法完成对终端用户进行网络身份认证的场景,通过返回SP归属的IDP信息给终端用户,使终端用户可以向SP归属的IDP发起网络身份认证,实现了单点登录过程中的无缝切换。当SP归属的IDP不是终端用户归属的IDP时,通过对终端用户进行业务鉴权,进一步实现了单点登录过程中的无缝切换。
实施例10
参见图12,本发明实施例还提供了一种服务提供商装置,应用于web服务,该服务提供商没有归属的IDP,该装置包括:
接收模块1201,用于接收终端用户发来的业务鉴权请求;
业务鉴权模块1202,用于当接收模块1201收到业务鉴权请求后,对终端用户进行鉴权,并返回鉴权结果给终端用户。
进一步地,参见图13,接收模块1201还用于接收终端用户发来的业务请求;
相应地,上述装置还包括:
发送模块1203,用于当接收模块1201收到业务请求后,向终端用户返回响应,响应中指明服务提供商没有归属的IDP。
本实施例适用于SP无归属的IDP的场景,通过对终端用户进行业务鉴权,实现了单点登录过程中的无缝切换。
实施例11
参见图14,本发明实施例还提供了一种身份提供商装置,应用于web服务,该装置包括:
接收模块1401,用于接收SP发来的对终端用户进行网络身份认证的请求;
控制模块1402,用于当接收模块1401收到请求后,根据预设的SP访问权限信息判断SP是否被允许请求认证,如果是,则对终端用户进行网络身份认证,返回认证结果给SP;否则,拒绝SP的请求。
进一步地,参见图15,上述装置还包括:
加密处理模块1403,用于根据接收模块收到的请求中包含的SP的一次性信息,加密控制模块得到的认证结果,并返回加密后的信息给SP。
本实施例通过维护SP访问权限信息,可以控制SP对终端用户的属性信息的获取,从而可以给终端用户提供不同的服务。通过获取SP的一次性信息并对认证结果加密,可以避免出现重放攻击,进一步提高了网络身份认证的安全性。
本发明实施例可以利用软件实现,相应的软件程序可以存储在可读取的存储介质中,例如,计算机的硬盘、缓存或光盘中。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种提高网络身份认证安全性的方法,其特征在于,应用于web服务,所述方法包括:
服务提供商SP接收终端用户发起的认证请求,所述认证请求中携带所述终端用户指定的第一身份提供商IDP的标识信息;
所述SP向所述第一IDP发起网络身份认证请求,所述第一IDP接收所述网络身份认证请求;
如果所述第一IDP是所述SP归属的IDP且是所述终端用户归属的IDP,则所述第一IDP对所述终端用户进行网络身份认证,并将第一认证结果返回给所述SP,所述第一认证结果包括所述第一IDP对所述SP进行网络身份认证后得到的所述SP的网络身份认证结果和所述终端用户的网络身份认证结果;
如果所述第一IDP不是所述SP归属的IDP,则所述第一IDP返回不支持对所述终端用户进行网络身份认证的第二认证结果给所述SP,所述SP将所述第二认证结果和所述SP归属的第二IDP信息返回给所述终端用户,所述终端用户向所述SP归属的第二IDP发起网络身份认证请求,当所述第二IDP是所述终端用户归属的IDP时,所述第二IDP对所述终端用户进行网络身份认证后,返回认证结果给所述终端用户。
2.根据权利要求1所述的提高网络身份认证安全性的方法,其特征在于,服务提供商SP接收终端用户发起的认证请求之前,还包括:
所述终端用户向所述SP发起认证请求,所述认证请求中携带标识信息和所述终端用户的身份认证信息,所述标识信息用于要求返回SP的网络身份认证结果。
3.根据权利要求2所述的提高网络身份认证安全性的方法,其特征在于,所述SP向所述第一IDP发起的网络身份认证请求中携带所述标识信息、所述终端用户的身份认证信息和所述SP的身份认证信息;
相应地,所述第一IDP对所述终端用户进行网络身份认证,并将第一认证结果返回给所述SP,所述第一认证结果包括所述第一IDP对所述SP进行网络身份认证后得到的所述SP的网络身份认证结果和所述终端用户的网络身份认证结果,具体包括:
所述第一IDP根据所述SP的身份认证信息和所述终端用户的身份认证信息,对所述SP和终端用户进行网络身份认证,并将第一认证结果返回给所述SP,所述第一认证结果包括所述SP的网络身份认证结果和所述终端用户的网络身份认证结果。
4.根据权利要求2所述的提高网络身份认证安全性的方法,其特征在于,所述SP向所述第一IDP发起的网络身份认证请求中携带所述标识信息和所述终端用户的身份认证信息;
相应地,所述第一IDP接收所述网络身份认证请求之前,还包括:
所述第一IDP对所述SP进行网络身份认证;
所述第一IDP对所述终端用户进行网络身份认证,具体包括:
所述第一IDP根据所述终端用户的身份认证信息,对所述终端用户进行网络身份认证。
5.根据权利要求2所述的提高网络身份认证安全性的方法,其特征在于,所述将第一认证结果返回给所述SP之后,还包括:
所述第一IDP接收所述终端用户发来的核实所述SP的网络身份认证结果的请求,所述请求中包含所述终端用户从所述SP返回的响应中提取的所述SP的网络身份认证结果;
所述第一IDP对所述SP的网络身份认证结果进行核实后,返回核实的结果给所述终端用户。
6.根据权利要求1所述的提高网络身份认证安全性的方法,其特征在于,如果所述第一IDP不是所述SP归属的IDP,且所述网络身份认证请求中携带要求返回所述SP的网络身份认证结果的标识信息,则所述第一IDP返回不支持对所述终端用户进行网络身份认证的第二认证结果给所述SP,包括:
所述第一IDP根据所述标识信息对所述SP进行网络身份认证,返回不支持对所述终端用户进行网络身份认证的第二认证结果给所述SP,并在所述第二认证结果中携带所述SP的网络身份认证结果。
7.根据权利要求1所述的提高网络身份认证安全性的方法,其特征在于,所述终端用户向所述SP归属的第二IDP发起网络身份认证请求之后,还包括:
当所述第二IDP不是所述终端用户归属的IDP时,所述第二IDP返回认证失败的结果给所述终端用户;
所述终端用户向所述SP发起业务鉴权请求;
所述SP接收到所述业务鉴权请求后,对所述终端用户进行鉴权,并返回鉴权结果给所述终端用户。
8.根据权利要求7所述的提高网络身份认证安全性的方法,其特征在于,所述方法还包括:
所述终端用户向自身归属的IDP获取引导信息,并在所述业务鉴权请求中携带所述引导信息;
相应地,所述SP接收到所述业务鉴权请求后,对所述终端用户进行鉴权,并返回鉴权结果给所述终端用户,包括:
所述SP根据所述业务鉴权请求中的引导信息访问相应的发现服务DS,并接收所述DS返回的认证断言,根据所述认证断言中的属性提供商AP信息从相应的AP获取所述终端用户的属性信息,根据所述属性信息向所述终端用户提供业务。
9.根据权利要求1所述的提高网络身份认证安全性的方法,其特征在于,所述服务提供商SP接收终端用户发起的认证请求之后,还包括:
当所述SP没有归属的IDP时,所述SP返回响应给所述终端用户,要求进行鉴权,并接收所述终端用户发来的业务鉴权请求;
所述SP对所述终端用户进行鉴权,并返回鉴权结果给所述终端用户。
10.根据权利要求9所述的提高网络身份认证安全性的方法,其特征在于,所述业务鉴权请求中携带所述终端用户向自身归属的IDP获取的引导信息;
相应地,所述SP对所述终端用户进行鉴权,并返回鉴权结果给所述终端用户,包括:
所述SP根据所述业务鉴权请求中的引导信息访问相应的发现服务DS,并接收所述DS返回的认证断言,根据所述认证断言中的属性提供商AP信息从相应的AP获取所述终端用户的属性信息,根据所述属性信息向所述终端用户提供业务。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100948776A CN101567878B (zh) | 2008-04-26 | 2008-04-26 | 提高网络身份认证安全性的方法 |
| CN201210208475.0A CN102739664B (zh) | 2008-04-26 | 2008-04-26 | 提高网络身份认证安全性的方法和装置 |
| PCT/CN2009/071463 WO2009129753A1 (zh) | 2008-04-26 | 2009-04-24 | 提高网络身份认证安全性的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100948776A CN101567878B (zh) | 2008-04-26 | 2008-04-26 | 提高网络身份认证安全性的方法 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210208475.0A Division CN102739664B (zh) | 2008-04-26 | 2008-04-26 | 提高网络身份认证安全性的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101567878A CN101567878A (zh) | 2009-10-28 |
| CN101567878B true CN101567878B (zh) | 2012-07-25 |
Family
ID=41216446
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100948776A Active CN101567878B (zh) | 2008-04-26 | 2008-04-26 | 提高网络身份认证安全性的方法 |
| CN201210208475.0A Active CN102739664B (zh) | 2008-04-26 | 2008-04-26 | 提高网络身份认证安全性的方法和装置 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210208475.0A Active CN102739664B (zh) | 2008-04-26 | 2008-04-26 | 提高网络身份认证安全性的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (2) | CN101567878B (zh) |
| WO (1) | WO2009129753A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102215107B (zh) * | 2010-04-12 | 2015-09-16 | 中兴通讯股份有限公司 | 一种实现身份管理互操作的方法及系统 |
| CN102238148B (zh) * | 2010-04-22 | 2015-10-21 | 中兴通讯股份有限公司 | 身份管理方法及系统 |
| CN101867589B (zh) * | 2010-07-21 | 2012-11-28 | 深圳大学 | 一种网络身份认证服务器及其认证方法与系统 |
| US9536074B2 (en) | 2011-02-28 | 2017-01-03 | Nokia Technologies Oy | Method and apparatus for providing single sign-on for computation closures |
| CN102413198A (zh) * | 2011-09-30 | 2012-04-11 | 山东中创软件工程股份有限公司 | 一种基于安全标记的访问控制方法和相关系统 |
| CN103078834A (zh) * | 2011-10-26 | 2013-05-01 | 中兴通讯股份有限公司 | 一种安全连接的方法、系统及网元 |
| CN109040032B (zh) * | 2013-11-15 | 2021-02-23 | 华为终端有限公司 | 一种网络访问控制方法及装置 |
| EP3316512B1 (en) | 2015-09-28 | 2020-12-02 | Guangdong Oppo Mobile Telecommunications Corp., Ltd. | User identity authentication method and device |
| CN109863490A (zh) * | 2016-10-18 | 2019-06-07 | 惠普发展公司有限责任合伙企业 | 生成包括保证分数的认证断言 |
| CN109088890A (zh) * | 2018-10-18 | 2018-12-25 | 国网电子商务有限公司 | 一种身份认证方法、相关装置及系统 |
| CN110134859B (zh) * | 2019-04-02 | 2021-05-07 | 中国科学院数据与通信保护研究教育中心 | 一种个人信息管理方法及系统 |
| CN111177686B (zh) * | 2019-12-31 | 2022-07-29 | 华为云计算技术有限公司 | 一种身份认证方法、装置及相关设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1554053A (zh) * | 2002-05-20 | 2004-12-08 | ������������ʽ���� | 服务提供系统和服务提供方法 |
| CN1816822A (zh) * | 2003-08-11 | 2006-08-09 | 索尼株式会社 | 验证方法、验证系统和验证服务器 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020116637A1 (en) * | 2000-12-21 | 2002-08-22 | General Electric Company | Gateway for securely connecting arbitrary devices and service providers |
| US20040030887A1 (en) * | 2002-08-07 | 2004-02-12 | Harrisville-Wolff Carol L. | System and method for providing secure communications between clients and service providers |
| US8214887B2 (en) * | 2005-03-20 | 2012-07-03 | Actividentity (Australia) Pty Ltd. | Method and system for providing user access to a secure application |
| CN101051896B (zh) * | 2006-04-07 | 2011-01-05 | 华为技术有限公司 | 一种认证方法和系统 |
-
2008
- 2008-04-26 CN CN2008100948776A patent/CN101567878B/zh active Active
- 2008-04-26 CN CN201210208475.0A patent/CN102739664B/zh active Active
-
2009
- 2009-04-24 WO PCT/CN2009/071463 patent/WO2009129753A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1554053A (zh) * | 2002-05-20 | 2004-12-08 | ������������ʽ���� | 服务提供系统和服务提供方法 |
| CN1816822A (zh) * | 2003-08-11 | 2006-08-09 | 索尼株式会社 | 验证方法、验证系统和验证服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101567878A (zh) | 2009-10-28 |
| CN102739664A (zh) | 2012-10-17 |
| WO2009129753A1 (zh) | 2009-10-29 |
| CN102739664B (zh) | 2016-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101567878B (zh) | 提高网络身份认证安全性的方法 | |
| KR100644616B1 (ko) | 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템 | |
| RU2297037C2 (ru) | Управление защищенной линией связи в динамических сетях | |
| EP2643955B1 (en) | Methods for authorizing access to protected content | |
| US7240362B2 (en) | Providing identity-related information and preventing man-in-the-middle attacks | |
| EP1595190B1 (en) | Service provider anonymization in a single sign-on system | |
| KR101063368B1 (ko) | 연합 환경에서 신원 제공자를 위한 디지털 권리 관리(drm) 강화 정책 관리 | |
| US7860882B2 (en) | Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations | |
| US20100017604A1 (en) | Method, system and device for synchronizing between server and mobile device | |
| US9419974B2 (en) | Apparatus and method for performing user authentication by proxy in wireless communication system | |
| EP2747369A1 (en) | A system and method of dynamic issuance of privacy preserving credentials | |
| JP2005538434A (ja) | 連携型(フェデレーテッド)環境におけるユーザ判定による認証のための方法およびシステム | |
| US11165768B2 (en) | Technique for connecting to a service | |
| US7080409B2 (en) | Method for deployment of a workable public key infrastructure | |
| EP2957064B1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
| CN107634973B (zh) | 一种服务接口安全调用方法 | |
| CN103023856A (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
| WO2022033350A1 (zh) | 注册服务的方法及设备 | |
| Alsaleh et al. | Enhancing consumer privacy in the liberty alliance identity federation and web services frameworks | |
| Close | Web-key: Mashing with permission | |
| JP2002007355A (ja) | パスワードを用いた通信方法 | |
| Agrawal et al. | A conceptual approach to information security in financial account aggregation | |
| KR100697344B1 (ko) | 유무선 통합 네트워크 환경에서의 단일인증 방법 및 이를위한 시스템 | |
| US20240137221A1 (en) | Implementation of one-touch login service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |