CN101867589B - 一种网络身份认证服务器及其认证方法与系统 - Google Patents
一种网络身份认证服务器及其认证方法与系统 Download PDFInfo
- Publication number
- CN101867589B CN101867589B CN2010102328027A CN201010232802A CN101867589B CN 101867589 B CN101867589 B CN 101867589B CN 2010102328027 A CN2010102328027 A CN 2010102328027A CN 201010232802 A CN201010232802 A CN 201010232802A CN 101867589 B CN101867589 B CN 101867589B
- Authority
- CN
- China
- Prior art keywords
- user
- identity provider
- network identification
- authentication server
- provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明涉及一种网络身份认证服务器及其认证方法与系统,其中网络身份认证服务器包括服务提供商请求接收模块、身份提供商信息存储模块、身份提供商选择模块、身份提供商请求发送模块和认证结果反馈模。服务提供商将用户重定向至网络身份认证服务器,并在接收到网络身份认证服务器转发回来的认证结果后,为用户提供服务;网络身份认证服务器要求用户选择进行登陆的身份提供商,并在用户选择后,将用户重定向至选定的身份提供商,并在身份提供商反馈认证结果后,将认证结果转发至服务提供商。本发明的网络身份认证服务器及其方法与系统可以将数目众多的中小型身份管理系统联合起来,快速有效地为众多中小服务提供商提供身份认证。
Description
技术领域
本发明涉及网络技术领域,尤其涉及网络身份认证服务器及其方法与系统。
背景技术
身份管理(Identity Management,简称IdM)是指以网络和相关支持技术为基础,对用户身份的生命周期(使用过程)以及这些身份与网络应用服务之间的关系进行管理。例如,对访问应用和资源的用户进行认证或授权等。身份管理系统主要指网络实体(用户或者设备)的标识和属性在网络上进行统一管理和应用。
当前IdM系统的研究目标是将涉及网络和业务的所有身份标识在统一的架构下进行管理和使用,从而实现全球网络单点登陆。然而身份标识涉及到人类和自然界活动的各个层面,涉及到国家、企事业单位等不同层面机构和个人用户的利益,人们不可能在全球范围内使用单一类型的IdM,再加上网络分布式特征,各不同行业对IdM所采用的技术和架构有较大差异。这导致网络上存在多种不同类型的IdM系统,相互之间的兼容性成了很大的问题。因此IdM要形成统一的平台,必然要求不同的IdM提供商之间,具有良好的互操作性。互操作性(Interoperation)是指为了相互利益,独立的IdM系统之间互相协作,进行有效信息的交换(例如,用户信任信息)和通信等操作的能力。不同类型IdM之间身份信息的互操作性问题,是当前阻碍IdM系统进一步应用的主要技术障碍。
为了解决不同IdM的互操作性问题,越来越多的国际标准组织及各种机构都投入大量的技术力量对IdM技术的互操作性进行研究,并加紧提出各自的标准或规范,然而当前提出的许多方法的大多是基于以下两个原理:一是有某种商业关系的两个或多个IdM系统,两两进行互联,通过二者之间建立相应的转换模块将各自的协议进行互换,从而达到通信双方的信任并能够识别相互的格式,从而实现不同IdM系统之间的互操作性。
在这种模型中,当IdM要完成与其它IdM系统的关联则必须两两之间建立相应的关联模块,工作量呈指数增长。如果其中一个IdM系统的认证策略发生改变后,与其连接的IdM系统都必须进行相应的修改,这对身份提供商来说是极不方便的,不利于系统的扩展,成本较高。这种模型只适于解决小范围的IdM的互通互联,具有很大的局限性。二是提出一种新的通用身份管理系统,因为这是一种全球通用的身份管理系统,所以能够很好的实现不同身份管理的互操作性。然而这种模型是一种新的设计,加入了许多与已有IdM系统不相兼容的新特征(例如新的命名格式),这就势必需要对已有的IdM系统进行较大改变,在当前阶段这是不现实的。
在当前阶段,我们还不能较好的实现不同IdM系统的身份提供商(Identity Provide,IdP)之间的互联互通。目前典型应用,如图1所示,一个服务提供商(Service Provider,SP)要和多个身份提供商IdP实现互联,就需要和每个身份提供商IdP之间建立单独的关联模块。服务提供商SP为了得到更多的用户群,就必须自己开发与各个身份提供商IdP之间的关联模块,并且如果某个身份提供商IdP认证策略发生改变,服务提供商SP与之关联的模块也必须要进行相应的修改。以上方案中,对服务提供商SP来说是非常不方便的,尤其是当身份提供商IdP的数量较多时,会给服务提供商SP造成很大的负担。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种网络身份认证服务器及其方法与系统,其可以结合各个网站的身份认证功能,让网站之间有一个统一的身份认证管理,以将各自的用户结合起来,形成用户群高度共享的平台。
本发明解决其技术问题所采用的技术方案是:
构造一种网络身份认证服务器,其中,包括:
服务提供商请求接收模块,用于接收来自服务提供商的请求信息,将该请求信息进行标记,并使网络身份认证服务器与请求的用户建立连接;
身份提供商信息存储模块,用于存储所有与网络身份认证服务器连接的身份提供商的信息;
身份提供商选择模块,用于在用户没有绑定的身份提供商时,向用户发送身份提供商选择信息,提示用户选择身份提供商;
身份提供商请求发送模块,在用户选择了身份提供商后,向所选定的身份提供商发送包含唯一标记的请求信息,将用户重定向到选定的身份提供商进行身份认证;
认证结果反馈模块,用于接收身份提供商反馈的认证结果,并将所述认证结果转发给所述服务提供商。
本发明所述的网络身份认证服务器,其中,所述身份提供商选择模块包括:
身份提供商绑定单元,用于在用户没有绑定的身份提供商时,提示用户注册用户名,并选择与一个或多个身份提供商进行绑定;
绑定判断单元,用于在用户已经有绑定的身份提供商时,提示用户输入绑定时所注册的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。
本发明所述的网络身份认证服务器,其中,所述身份提供商选择模块中还包括身份提供商默认设置单元,用于供用户设定默认的身份提供商;
所述身份提供商请求发送模块,在用户已经设置有默认的身份提供商时,直接向所选定的身份提供商发送包含所述标记的请求信息,将用户重定向到选定的身份提供商进行身份认证。
本发明所述的网络身份认证服务器,其中,还包括密码箱,用于存储用户在默认绑定身份提供商注册的用户名和密码;以及
代理注册模块,用于在用户输入了在网络身份认证服务器注册的用户名和密码后,查询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默认绑定的身份提供商进行认证。
本发明还提供了一种网络身份认证系统,包括用户、服务提供商和身份提供商,其中,还包括前面所述的网络身份认证服务器;其中,
所述用户,向所述服务提供商发送通过网络身份认证服务器认证方式登陆的请求;
所述服务提供商,将所述用户重定向至所述网络身份认证服务器,并在接收到网络身份认证服务器转发回来的认证结果后,为所述用户提供服务;
所述网络身份认证服务器,要求所述用户选择进行登陆的身份提供商,并在用户做出选择后,将用户重定向至选定的身份提供商,并在身份提供商反馈认证结果后,将认证结果再转发至服务提供商;
所述身份提供商,要求用户输入在身份提供商注册的用户名和密码,并在用户输入用户名和密码后,向用户及网络身份认证服务器反馈认证结果。
本发明所述的网络身份认证系统,其中,所述网络身份认证服务器包括用户身份属性信息存储模块,用于存储用户身份属性信息,构成一个独立的身份提供商,为所述服务提供商提供身份认证功能。
本发明还提供了一种基于前述网络身份认证系统的网络身份认证方法,其中,包括以下步骤:
A、服务提供商在用户选择通过网络身份认证服务器认证方式登陆时,将用户直接定向到网络身份认证服务器页面;
B、网络身份认证服务器接收来自服务提供商的请求信息,生成与每个服务提供商发送的请求信息唯一对应的标记,并与请求的用户建立连接;
C、用户在网络身份认证服务器上没有用户名时,网络身份认证服务器向用户发送身份提供商选择信息,提示用户选择身份提供商;
D、在用户选择了身份提供商后,向所选定的身份提供商发送包含所述标记的请求信息,将用户重定向到选定的身份提供商进行身份认证;
E、网络身份认证服务器接收身份提供商反馈的认证结果,并将所述认证结果转发给所述服务提供商。
本发明所述的网络身份认证方法,其中,所述步骤C还包括:
网络身份认证服务器在用户没有绑定的身份提供商时,提示用户注册用户名,并选择与一个或多个身份提供商进行绑定;
网络身份认证服务器在用户已经有绑定的身份提供商时,提示用户输入绑定时所注册的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。
本发明所述的网络身份认证方法,其中,所述步骤C还包括:
用户设定默认的身份提供商,网络身份认证服务器在用户已经设置有默认的身份提供商时,直接向所选定的身份提供商发送包含所述标记的请求信息,将用户重定向到选定的身份提供商进行身份认证。
本发明所述的网络身份认证方法,其中,所述步骤C还包括:
将用户在默认绑定身份提供商注册的用户名和密码存储在网络身份认证服务器中,网络身份认证服务器在用户输入了在网络身份认证服务器注册的用户名和密码后,查询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默认绑定的身份提供商进行认证。
本发明在现有的代理服务器的基础上,建立与服务提供商和身份提供商之间的接口,可以结合各个网站的身份认证功能,将数目众多的中小型身份管理系统联合起来,形成用户群高度共享的平台,从而能够突破用户数量的限制,快速有效的为众多中小服务提供商提供身份认证,提升服务的竞争力,也方便注册用户享受更多业务。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是现有技术中的网络身份认证系统原理框图;
图2是本发明实施例的网络身份认证服务器及其与用户、身份提供商和服务提供商连接的原理框图;
图3是本发明实施例的网络身份认证系统交互原理图;
图4是本发明实施例的用户在网络身份认证服务器拥有用户名和密码情况下的流程图;
图5是本发明实施例的用户在网络身份认证服务器没有用户名情况下的流程图;
图6是本发明实施例的用户在网络身份认证服务器只有用户名没有密码情况下的流程图。
具体实施方式
下面结合图示,对本发明的优选实施例作详细介绍。
本发明较佳实施例的网络身份认证服务器原理框图如图2所示,其包括服务提供商请求接收模块、身份提供商信息存储模块、身份提供商选择模块、身份提供商请求发送模块和认证结果反馈模。其中,服务提供商请求接收模块接收来自服务提供商的请求信息,生成与每个服务提供商发送的请求信息唯一对应的标记,以将该请求信息进行标记,并使得网络身份认证服务器与请求的用户建立连接。身份提供商信息存储模块用于存储所有与网络身份认证服务器连接的身份提供商的信息。身份提供商选择模块在用户没有绑定的身份提供商时,向用户发送身份提供商选择信息,提示用户选择身份提供商。身份提供商请求发送模块在用户选择了身份提供商后,向所选定的身份提供商发送包含唯一标记的请求信息,将用户重定向到选定的身份提供商进行身份认证。认证结果反馈模块接收身份提供商反馈的认证结果,并将认证结果转发给服务提供商。
其中,服务提供商传递给网络身份认证服务器的请求信息中至少包括以下四个参数:服务提供商用户名、用户随机号、返回地址和信息摘要(message-digest algorithm 5,MD5)。其中,MD5摘要被广泛用于加密和解密技术上,它可以说是文件的“数字指纹”,任何一个文件,无论是可执行程序、图像文件、临时文件或者其他任何类型的文件,也不管它体积多大,都有且只有一个独一无二的MD5信息值,并且如果这个文件被修改过,它的MD5值也将随之改变。因此,我们可以通过对比同一文件的MD5值,来校验这个文件是否被“篡改”过。
这四个参数能确保在用户身份认证完成后,网络身份认证服务器能顺利将认证结果发送回服务提供商,通过预共享密钥对所传递的信息进行加密。由于密钥只有代理服务器和服务提供商知道,可以保证在他们之间传递的信息的真实性与完整性。而服务提供商则通过用户随机号识别该认证针对的是哪一个用户,当然服务提供商在将这个用户随机号发送给网络身份认证服务器的同时,本身也必须有保存一份。网络身份认证服务器发送给服务提供商的不单是一个对用户的身份认证结果,同时也可以包含该用户的属性信息。而服务提供商则可以根据对用户的认证结果,再开展本身网站的业务。服务提供商可以将接收到的用户属性与自身用户信息库做一个衔接,做到数据同步。
网络身份认证服务器作为服务提供商与身份提供商之间的桥梁,不仅与服务提供商之间具有接口,同时还与身份提供商之间具有接口。在网络身份认证服务器与身份提供商的交互中,并不需要把服务提供商的相关信息发送给身份认证上,其要做的是让身份提供商在对用户的认证登录事务处理中,只相当于接受网络身份认证服务器的用户认证请求,而不是接收来自各个服务提供商的认证请求。
因此,网络身份认证服务器在接收到服务提供商的请求信息后,生成与每个服务提供商发送的请求信息唯一对应的标记。身份提供商请求发送模块在用户选择了身份提供商后,向所选定的身份提供商发送包含标记的请求信息,将用户重定向到选定的身份提供商进行身份认证。在身份提供商认证完成后,反馈给网络身份认证服务器的认证结果中,也包含这一标记,因此网络身份认证服务器能知道该次认证是为哪一个服务提供商服务的。认证结果反馈模块接收身份提供商反馈的认证结果,对信息进行完整性认证,如果认证结果是正确的,用户已经在身份提供商页面完成了登录,那么代理服务器将取出服务提供商请求信息中的标记,通过它找到发送这次请求的服务提供商的相关信息,将认证结果转发给相应的服务提供商。
在进一步的实施例中,网络身份认证服务器中的身份提供商选择模块包括身份提供商绑定单元和绑定判断单元。其中,身份提供商绑定单元在用户没有绑定的身份提供商时,如用户是第一次使用网络身份认证服务器,在用户选择IDP时,弹出绑定用户输入页面,提示用户注册用户名,并选择与一个或多个身份提供商进行绑定。绑定判断单元在用户已经有绑定的身份提供商时,如已经绑定有身份提供商的用户再次使用本网络身份认证服务器,则提示用户输入绑定时所注册的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。若用户所绑定的服务提供商只有一个,则网络身份认证服务器自动转向到该服务提供商的页面进行身份认证,而不需要用户进行选择。
有些时候,用户希望的是每次在请求服务提供商服务的时候,都能通过用这个身份提供商的身份信息来获得认证。
在进一步的实施例中,在网络身份认证服务器的身份提供商选择模块中还包括身份提供商默认设置单元,用于供用户设定默认的身份提供商。身份提供商请求发送模块在用户已经设置有默认的身份提供商时,可省略让用户选择身份提供商的操作,直接向所选定的身份提供商发送包含标记的请求信息,将用户重定向到选定的身份提供商进行身份认证。这种情况下,认证流程就可以得到简化,让用户可以得到快速的服务。而且由于这个过程是在网络身份认证服务器内部完成。在人机交互界面上,用户只感受到从服务提供商页面,直接跳转到身份提供商页面,用户并不会感觉到停滞,这就增加了认证操作的友好性。
在进一步的实施例中,网络身份认证服务器还包括密码箱以及代理注册模块。其中密码箱用于存储用户在默认绑定身份提供商注册的用户名和密码。代理注册模块用于在用户输入了在网络身份认证服务器注册的用户名和密码后,查询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默认绑定的身份提供商进行认证。这样就不需要用户再次输入在身份提供商注册的用户名和密码,而只需要在网络身份认证服务器页面输入在网络身份认证服务器注册的用户名和密码,即可完成整个认证过程。
其中密码箱配置过程可如下:首先,用户进入网络身份认证服务器的个人管理中,开始密码箱功能的管理。用户需要为每个已经有注册账户的身份提供商创建一张身份卡。身份卡必须包含两个信息,该身份提供商的用户名与密码。当然,在完成了身份卡的创建之后,用户需要为这张身份卡定义一个名字,允许的话可以增加备注信息。这样,用户以后可以很方便地找到这张身份卡,并能很快知道它的相关信息。在下一次进行身份提供商登录认证操作的时候,用户可以从属于自己的身份卡信息库里面,很轻松地抽取一张身份卡,而代理服务器则会使用这张身份卡的信息帮助用户自动到身份提供商登录认证,用户不再需要输入身份信息这一繁琐的操作。
这个功能在于可以很方便的帮助用户管理多个身份信息,在互联网上,有些网站的身份认证是比较需要具有权威性的,用户需要提供的是比较真实的,与自己切身相关的信息。而某些网站,例如对于用户来讲,属于趋向于娱乐性比较多的,那么用户并不需要提供过多对自己比较重要的身份信息。对于需要提供不同身份信息的用户来讲,身份信息卡的功能就恰恰能够满足用户的需求,让用户灵活提供自己的身份信息进行认证登录。其中,身份信息卡选择过程可以忽略。
本发明的另一实施例中,还提供了一种网络身份认证系统,包括用户、服务提供商和身份提供商,还包括前面任一实施例中所述的网络身份认证服务器。其中,用户、服务提供商、身份提供商与网络身份认证服务器之间的信息交互流程如图3所示,其中包括:
S11、用户访问服务提供商网站,开始认证过程;
S12、用户选择通过代理服务器认证方式登录,服务提供商直接将用户浏览器重定向到网络身份认证服务器页面;
S13、a)要求用户选择哪家身份提供商进行登录;b)用户选择身份提供商;
S14、网络身份认证服务器将用户重定向到所选择的身份提供商;
S15、a)身份提供商要求用户输入用户名密码;b)用户输入用户名密码;c)身份提供商认证用户信息;
S16、身份提供商弹出认证结果给用户;
S17、身份提供商将认证结果返回给代理服务器;
S18、网络身份认证服务器将认证结果返回给服务提供商;
S19、服务提供商根据认证结果为用户提供服务。
其中用户、服务提供商、身份提供商与网络身份认证服务器之间所传递信息可参见前述各网络身份认证服务器的实施例,在此不再赘述。
在进一步的实施例中,以上网络身份认证系统中的网络身份认证服务器包括用户身份属性信息存储模块,用于存储用户身份属性信息,构成一个独立的身份提供商,为服务提供商提供身份认证功能。即,网络身份认证服务器可以经过扩展,成为独立的认证提供商,为SP提供用户身份认证功能。用户在使用网络身份认证服务器的扩展功能时,也可以在网络身份认证服务器登记自己的身份属性信息,结合用户在网络身份认证服务器的用户名和密码,可以构成一个完整的认证提供商,为服务提供商提供身份认证功能。
在本发明进一步的实施例中,还提供了一种基于以上网络身份认证服务器及其认证系统的网络身份认证方法,包括以下步骤:1)服务提供商在用户选择通过网络身份认证服务器认证方式登陆时,将用户直接定向到网络身份认证服务器页面;2)网络身份认证服务器接收来自服务提供商的请求信息,生成与每个服务提供商发送的请求信息唯一对应的标记,并与请求的用户建立连接;3)用户在网络身份认证服务器上没有用户名时,网络身份认证服务器向用户发送身份提供商选择信息,提示用户选择身份提供商;4)在用户选择了身份提供商后,向所选定的身份提供商发送包含标记的请求信息,将用户重定向到选定的身份提供商进行身份认证;网络身份认证服务器接收身份提供商反馈的认证结果,并将认证结果转发给服务提供商。
其中的步骤“3)用户在网络身份认证服务器上没有用户名时,向用户发送身份提供商选择信息,提示用户选择身份提供商”只是该方法中的一种情况,即“用户在网络身份认证服务器没有用户名和密码时”,在这种情况下认证的详细流程图如图5所示。另外还存在两种情况:1、用户在网络身份认证服务器拥有用户名和密码,如图4所示;2、用户在网络身份认证服务器只有用户名没有密码,如图6所示。
以下对实施例的本网络身份认证方法作详细描述:
用户在网络身份认证服务器拥有用户名和密码是认证的详细流程图如图4所示,包括以下步骤:
S41、用户访问服务提供商,服务提供商在用户选择通过网络身份认证服务器认证方式登陆时,将用户直接定向到网络身份认证服务器页面;
S42、网络身份认证服务器判断用户在网络身份认证服务器是否有注册用户名,如果没有,则转向流程一进行操作,如图5所示;
S43、如果用户在网络身份认证服务器有用户名,则网络身份认证服务器提再次判断用户在网络身份认证服务器是否有密码,如果没有,则转向流程二执行,如图6所示;
S44、如果用户在网络身份认证服务器同时有用户名和密码,则提示用户输入用户名和密码;
S45、网络身份认证服务器判断用户绑定的身份提供商是否唯一;
S46、如果网络身份认证服务器判断用户绑定的身份提供商唯一,则跳转至绑定的身份提供商,执行步骤S410;
S47、如果网络身份认证服务器判断用户绑定的身份提供商不唯一,则判断是否有默认的身份提供商;
S48、如果用户在网络身份认证服务器中设置有默认的身份提供商,则网络身份认证服务器直接跳转到默认的身份提供商,执行步骤S410;
S49、如果用户在网络身份认证服务器中没有设置默认的身份提供商,则网络身份认证服务器向用户提供绑定的身份提供商列表,用户从中选择一个身份提供商,然后网络身份认证服务器跳转到选择的身份提供商,执行步骤S410;
S410、网络身份认证服务器判断是否存储有相应用户所选择的身份提供商的用户名和密码;
S411、如果网络身份认证服务器上存储有被选择的身份提供商的用户名和密码,则直接执行步骤S413;
S412、如果网络身份认证服务器上没有存储被选择的目标身份提供商的用户名和密码,则提示用户输入目标身份提供商的用户名和密码,执行步骤S413;
S413、网络身份认证服务器完成身份认证,将认证结果返回给网络身份认证服务器。
其中流程一的执行过程如图5所示,包括如下步骤:
S51、网络身份认证服务器提供身份提供商列表供用户选择;
S52、用户从中选择一个身份提供商;
S53、网络身份认证服务器将用户重定向至所选择的身份提供商;
S54、身份提供商提示用户输入用户名和密码;
S55、用户输入用户名和密码后,身份提供商完成身份认证,并将认证结果返回给网络身份认证服务器。
流程二的执行过程如图6所示,包括如下步骤:
S61、用户输入在网络身份认证服务器中注册的用户名;
S62、网络身份认证服务器判断所用户绑定的身份提供商是否唯一;
S63、如果网络身份认证服务器判断所用户绑定的身份提供商唯一,则跳转至绑定的身份提供商,执行步骤S67;
S64、如果网络身份认证服务器判断所用户绑定的身份提供商不唯一,则判断是否有默认的身份提供商,执行步骤S67;
S65、如果有默认的身份提供商,则跳转到默认的身份提供商,执行步骤S67;
S66、如果没有默认的身份提供商,则向用户提供绑定的身份提供商列表,用户从中选择一个身份提供商,然后跳转到选择的身份提供商,执行步骤S67;
S67、网络身份认证服务器提示用户输入目标身份提供商的用户名和密码;
S68、网络身份认证服务器完成身份认证,并将认证结果返回给网络身份认证服务器。
以上步骤中,网络身份认证服务器的身份提供商绑定单元在用户没有绑定的身份提供商时,如用户是第一次使用网络身份认证服务器,在用户选择IDP时,弹出绑定用户输入页面,提示用户注册用户名,并选择与一个或多个身份提供商进行绑定。绑定判断单元在用户已经有绑定的身份提供商时,如已经绑定有身份提供商的用户再次使用本网络身份认证服务器,则提示用户输入绑定时所注册的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。若用户所绑定的服务提供商只有一个,则网络身份认证服务器自动转向到该服务提供商的页面进行身份认证,而不需要用户进行选择。
以上步骤中,用户设定默认的身份提供商,网络身份认证服务器在用户已经设置有默认的身份提供商时,直接向所选定的身份提供商发送包含标记的请求信息,将用户重定向到选定的身份提供商进行身份认证。这种情况下,认证流程就可以得到简化,让用户可以得到快速的服务。而且由于这个过程是在网络身份认证服务器内部完成。在人机交互界面上,用户只感受到从服务提供商页面直接跳转到身份提供商页面,用户并不会感觉到停滞,这就增加了认证操作的友好性。
以上步骤中,将用户在默认绑定身份提供商注册的用户名和密码存储在网络身份认证服务器中,网络身份认证服务器在用户输入了在网络身份认证服务器注册的用户名和密码后,查询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默认绑定的身份提供商进行认证。即用户访问服务提供商,选择通过网络身份认证服务器认证方式登录。服务提供商直接将用户浏览器重定向到网络身份认证服务器页面,用户输入在网络身份认证服务器注册的用户名和密码,网络身份认证服务器查询用户对应的密码箱,得到用户名和密码,然后将用户名和密码发送到绑定的身份提供商进行认证。身份提供商认证完成后,返回认证结果给网络身份认证服务器,网络身份认证服务器转发认证结果给服务提供商。
当前互联网上有两类身份提供商:一类是占绝对优势的身份提供商,如腾迅等,另一类是数量总多的中小型网站的身份管理系统,如游戏网站、社交网站等,他们单个网站注册用户数量有限,但若能够结成联盟,将会具有庞大的用户群。
本发明则在现有的代理服务器的基础上,建立与服务提供商和身份提供商之间的接口,可以结合各个网站的身份认证功能,将数目众多的中小型身份管理系统联合起来,形成用户群高度共享的平台,从而能够突破用户数量的限制,快速有效的为众多中小服务提供商提供身份认证,提升服务的竞争力,也方便注册用户享受更多业务。
而目前存在的代理服务器,往往是某个服务提供商为扩展用户群而增加的模块。该模块归属该服务提供商,为其他身份提供商用户接入该服务提供商提供认证中介。这种代理服务器与某个服务提供商绑定在一起,并不能为不同运营商的服务提供商提供平台式服务,其接口往往是私有接口,没有建立在国际主流标准基础上,因此协商流程与本发明有很大不同。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
Claims (10)
1.一种网络身份认证服务器,其特征在于,包括:
服务提供商请求接收模块,用于接收来自服务提供商的请求信息,生成与每个服务提供商发送的请求信息唯一对应的标记,将该请求信息进行标记,并使网络身份认证服务器与请求的用户建立连接;
身份提供商信息存储模块,用于存储所有与网络身份认证服务器连接的身份提供商的信息;
身份提供商选择模块,用于在用户没有绑定的身份提供商时,向用户发送身份提供商选择信息,提示用户选择身份提供商;
身份提供商请求发送模块,在用户选择了身份提供商后,向所选定的身份提供商发送包含唯一标记的请求信息,将用户重定向到选定的身份提供商进行身份认证;
认证结果反馈模块,用于接收身份提供商反馈的认证结果,并将所述认证结果转发给所述服务提供商。
2.根据权利要求1所述的网络身份认证服务器,其特征在于,所述身份提供商选择模块包括:
身份提供商绑定单元,用于在用户没有绑定的身份提供商时,提示用户注册用户名,并选择与一个或多个身份提供商进行绑定;
绑定判断单元,用于在用户已经有绑定的身份提供商时,提示用户输入绑定时所注册的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。
3.根据权利要求2所述的网络身份认证服务器,其特征在于,所述身份提供商选择模块中还包括身份提供商默认设置单元,用于供用户设定默认的身份提供商;
所述身份提供商请求发送模块,在用户已经设置有默认的身份提供商时,直接向所选定的身份提供商发送包含所述标记的请求信息,将用户重定向到选定的身份提供商进行身份认证。
4.根据权利要求1至3中任一项所述的网络身份认证服务器,其特征在于,还包括密码箱,用于存储用户在默认绑定身份提供商注册的用户名和密码;以及
代理注册模块,用于在用户输入了在网络身份认证服务器注册的用户名和密码后,查询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默认绑定的身份提供商进行认证。
5.一种网络身份认证系统,包括用户、服务提供商和身份提供商,其特征在于,还包括权利要求1-4中任一项所述的网络身份认证服务器;其中,
所述用户,向所述服务提供商发送通过网络身份认证服务器认证方式登陆的请求;
所述服务提供商,将所述用户重定向至所述网络身份认证服务器,并在接收到网络身份认证服务器转发回来的认证结果后,为所述用户提供服务;
所述网络身份认证服务器,要求所述用户选择进行登陆的身份提供商,并在用户做出选择后,将用户重定向至选定的身份提供商,并在身份提供商反馈认证结果后,将认证结果再转发至服务提供商;
所述身份提供商,要求用户输入在身份提供商注册的用户名和密码,并在用户输入用户名和密码后,向用户及网络身份认证服务器反馈认证结果。
6.根据权利要求5所述的网络身份认证系统,其特征在于,所述网络身份认证服务器包括用户身份属性信息存储模块,用于存储用户身份属性信息,构成一个独立的身份提供商,为所述服务提供商提供身份认证功能。
7.一种基于权利要求5所述的网络身份认证系统的网络身份认证方法,其特征在于,包括以下步骤:
A、服务提供商在用户选择通过网络身份认证服务器认证方式登陆时,将用户直接定向到网络身份认证服务器页面;
B、网络身份认证服务器接收来自服务提供商的请求信息,生成与每个服务提供商发送的请求信息唯一对应的标记,并与请求的用户建立连接;
C、用户在网络身份认证服务器上没有用户名时,网络身份认证服务器向用户发送身份提供商选择信息,提示用户选择身份提供商;
D、在用户选择了身份提供商后,向所选定的身份提供商发送包含所述标记的请求信息,将用户重定向到选定的身份提供商进行身份认证;
E、网络身份认证服务器接收身份提供商反馈的认证结果,并将所述认证结果转发给所述服务提供商。
8.根据权利要求7所述的网络身份认证方法,其特征在于,所述步骤C还包括:
网络身份认证服务器在用户没有绑定的身份提供商时,提示用户注册用户名,并选择与一个或多个身份提供商进行绑定;
网络身份认证服务器在用户已经有绑定的身份提供商时,提示用户输入绑定时所注册的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。
9.根据权利要求8所述的网络身份认证方法,其特征在于,所述步骤C还包括:
用户设定默认的身份提供商,网络身份认证服务器在用户已经设置有默认的身份提供商时,直接向所选定的身份提供商发送包含所述标记的请求信息,将用户重定向到选定的身份提供商进行身份认证。
10.根据权利要求9所述的网络身份认证方法,其特征在于,所述步骤C还包括:
将用户在默认绑定身份提供商注册的用户名和密码存储在网络身份认证服务器中,网络身份认证服务器在用户输入了在网络身份认证服务器注册的用户名和密码后,查询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默认绑定的身份提供商进行认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102328027A CN101867589B (zh) | 2010-07-21 | 2010-07-21 | 一种网络身份认证服务器及其认证方法与系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102328027A CN101867589B (zh) | 2010-07-21 | 2010-07-21 | 一种网络身份认证服务器及其认证方法与系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101867589A CN101867589A (zh) | 2010-10-20 |
| CN101867589B true CN101867589B (zh) | 2012-11-28 |
Family
ID=42959154
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102328027A Expired - Fee Related CN101867589B (zh) | 2010-07-21 | 2010-07-21 | 一种网络身份认证服务器及其认证方法与系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101867589B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102437914B (zh) * | 2010-12-08 | 2013-12-04 | 袁永亮 | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 |
| CN102025633B (zh) * | 2010-12-16 | 2013-09-18 | 北京星网锐捷网络技术有限公司 | 基于web认证的路由方法、认证请求接收设备及认证系统 |
| CN103139181B (zh) * | 2011-12-01 | 2016-03-30 | 华为技术有限公司 | 一种开放式认证的授权方法、装置和系统 |
| CN102882853A (zh) * | 2012-09-05 | 2013-01-16 | 孙银海 | 一种互联网用户身份验证的系统和方法 |
| CN103763102B (zh) * | 2013-12-31 | 2018-09-28 | 上海斐讯数据通信技术有限公司 | 一种基于消息推送的wifi安全管理系统及管理方法 |
| CN105592031B (zh) * | 2014-11-25 | 2019-07-19 | 中国银联股份有限公司 | 基于身份认证的用户登陆方法及系统 |
| CN106131833B (zh) * | 2016-06-28 | 2019-10-01 | 中国联合网络通信集团有限公司 | 基于身份识别卡的互联互通认证方法及系统 |
| CN110235424B (zh) * | 2017-01-20 | 2022-03-08 | 三星电子株式会社 | 用于在通信系统中提供和管理安全信息的设备和方法 |
| CN114285614A (zh) * | 2021-12-16 | 2022-04-05 | 北京安捷金科信息技术有限公司 | 身份认证方法、身份认证系统和可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1539106A (zh) * | 2001-07-12 | 2004-10-20 | 诺基亚公司 | 互联网协议的模块化鉴权和授权方案 |
| CN101567878A (zh) * | 2008-04-26 | 2009-10-28 | 华为技术有限公司 | 提高网络身份认证安全性的方法和装置 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101090397B (zh) * | 2006-06-13 | 2010-12-15 | 国际商业机器公司 | 用于在客户机与服务器之间进行事务的方法、设备和计算机系统 |
-
2010
- 2010-07-21 CN CN2010102328027A patent/CN101867589B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1539106A (zh) * | 2001-07-12 | 2004-10-20 | 诺基亚公司 | 互联网协议的模块化鉴权和授权方案 |
| CN101567878A (zh) * | 2008-04-26 | 2009-10-28 | 华为技术有限公司 | 提高网络身份认证安全性的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101867589A (zh) | 2010-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101867589B (zh) | 一种网络身份认证服务器及其认证方法与系统 | |
| CN100438516C (zh) | 网络连接系统、网络连接方法、及所使用的交换机 | |
| US7221935B2 (en) | System, method and apparatus for federated single sign-on services | |
| CN100592827C (zh) | 用于联合单点登录服务的系统、方法和设备 | |
| CN101399813B (zh) | 身份联合方法 | |
| CN108901022A (zh) | 一种微服务统一鉴权方法及网关 | |
| CN101414907B (zh) | 一种基于用户身份授权访问网络的方法和系统 | |
| CN101014958A (zh) | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 | |
| CN1901448B (zh) | 通信网络中接入认证的系统及实现方法 | |
| CN106162574A (zh) | 集群系统中应用统一鉴权方法、服务器与终端 | |
| CN101001144B (zh) | 一种实体认证中心实现认证的方法 | |
| EP3477561A1 (en) | System for goods delivery | |
| CN102868670A (zh) | 一种移动用户统一注册登录的系统及注册、登录方法 | |
| CN101420416A (zh) | 身份管理平台、业务服务器、登录系统及方法、联合方法 | |
| CN104836782B (zh) | 服务器、客户端以及数据访问方法和系统 | |
| CN104702608A (zh) | WiFi共享系统 | |
| CN103500380A (zh) | 一种基于rest架构的综合资源管理平台系统 | |
| CN103310308A (zh) | 一种资源管理方法及服务器 | |
| CN103856454B (zh) | Ip 多媒体子系统与互联网业务互通的方法及业务互通网关 | |
| CN102377737A (zh) | 一种多帐户访问交互式邮件存取协议服务器的系统及方法 | |
| CN102420808A (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN110363423A (zh) | 一种旅游信息管理方法、服务器及系统 | |
| CN105792167B (zh) | 一种初始化可信执行环境的方法及装置、设备 | |
| CN103489023A (zh) | 一种基于条码的数据交换方法 | |
| CN100561912C (zh) | 基于群签名的移动代理安全路由方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121128 Termination date: 20190721 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |