CN102045166B - 单点登录的方法及系统 - Google Patents
单点登录的方法及系统 Download PDFInfo
- Publication number
- CN102045166B CN102045166B CN200910235739.XA CN200910235739A CN102045166B CN 102045166 B CN102045166 B CN 102045166B CN 200910235739 A CN200910235739 A CN 200910235739A CN 102045166 B CN102045166 B CN 102045166B
- Authority
- CN
- China
- Prior art keywords
- service
- territory
- domain
- trust
- common identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了单点登录的方法及系统,其中,该方法在所有关联服务域分别保存用户的本地注册信息,并绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识;该方法还包括:发起服务域接收包含公共身份标识的认证请求以及指定的信任服务域,向指定的信任服务域发送认证请求;信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,判断查找的公共身份标识在本地服务域是否已经登录,如果是,则向发起服务域返回认证成功信息;发起服务域接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务。本发明方案防止了现有技术中因“单点失效”所造成的在相关联的所有服务域进行单点登录失败。
Description
技术领域
本发明涉及通信技术领域,尤其涉及单点登录的方法及系统。
背景技术
所谓单点登录,也就是,用户在相互关联的几个服务域中的一个服务域通过身份认证进行登录后,在相互关联的其它服务域进行登录以获取相关服务时,便可以不再进行身份认证。
现有的单点登录方法中,通过设置的一个统一认证服务器对登录相互关联的各个服务域的用户进行统一身份认证。
登录前,用户向相关联的各个服务域进行注册,注册后相应服务域保存用户提供的公共身份标识和密码等注册信息,并对应注册信息包含的公共身份标识绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识,这里将注册信息包含的公共身份认证标识和绑定保存的公共身份标识统称为绑定信息;然后各个服务域将绑定信息传送给统一认证服务器。对于各个服务域传送的多个相同的绑定信息,统一认证服务器可以只保存一个。
进行注册后,用户通过公共身份标识和密码等注册信息,在相关联的所有服务域中某一服务域进行第一次全局登录,该某一服务域保存相应公共身份标识已经登录的记录并将该记录传送给统一认证服务器,统一认证服务器保存该记录,该记录中包含该用户进行第一次全局登录的公共身份标识。
该用户进行第一次全局登录之后,便可向相关联的其它服务域请求服务,而不再需要向相应服务域进行身份认证。这里将所述相应服务域称为服务域A,所述向相关联的其它服务域请求服务的过程包括:服务域A接收用户输入的包含公共身份标识的认证请求,传送给统一认证服务器,统一认证服务器查找与认证请求包含的公共身份标识进行绑定保存的各个服务域公共身份标识,判断查找到的各个公共身份标识在各自的服务域是否已经登录,如果已经登录,则向服务域A返回认证成功信息,服务域A为该用户提供相应的服务;如果没有登录,则向服务域A返回认证失败信息,由服务域A进行身份认证。前述判断步骤中,只要判断出查找到的一个公共身份标识在其服务域已经登录,则向服务域A返回认证成功信息。
下面基于各个服务域的具体结构,对现有的单点登录方法进行详细说明。
各个服务域都包含应用服务器和认证服务器。用户首先向服务域的认证服务器进行注册,注册后认证服务器保存用户提供的公共身份标识和密码等注册信息,并对应注册信息包含的公共身份标识绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识,这里将注册信息包含的公共身份认证标识和绑定保存的公共身份标识统称为绑定信息;然后该认证服务器将绑定信息传送给统一认证服务器。对于各个服务域传送的多个相同的绑定信息,统一认证服务器可以只保存一个。
进行注册后,用户通过公共身份标识和密码等注册信息,在相关联的所有服务域中某一服务域进行第一次全局登录,该某一服务域的认证服务器保存相应公共身份标识已经登录的记录,并将该记录传送给统一认证服务器,统一认证服务器保存该记录,该记录中包含该用户进行第一次全局登录的公共身份标识。
该用户进行第一次全局登录之后,便可向相关联的其它服务域的应用服务器请求服务,而不再需要向相应服务域的认证服务器进行身份认证。
下面通过一个实例,基于各个服务域的具体结构,对现有的单点登录方法进行说明。
假设,相关联的服务域为三个,包括一个IP多媒体服务(IMS,IPMultimedia Service)服务域,以及两个WEB域:新浪服务域和天涯服务域;统一认证服务器内保存关于某用户的绑定信息为:该用户在IMS域注册时的用户身份标识abcims.com,该用户在新浪服务域注册时的用户身份标识abcsina.com,以及该用户在天涯服务域注册时的用户身份标识abctianya.com。并且,假设该用户首先在新浪服务域的认证服务器通过了身份认证,进行了登录,并且该认证服务器还将包含abcsina.com的已经登录的记录传送给统一认证服务器进行保存。而后,若该用户需要向IMS域的应用服务器请求IMS服务,其过程为图1所示,包括以下步骤:
步骤101,用户登录IMS客户端,向IMS域的应用服务器发起认证请求。
该认证请求中携带用户在新浪服务域注册的公共身份标识,即abcsina.com。
步骤102,IMS域的应用服务器向统一认证服务器发送所述认证请求。
步骤103,统一认证服务器查找与认证请求包含的公共身份标识进行绑定保存的各个服务域公共身份标识,判断查找到的公共身份标识在相应服务域是否已经登录,如果已经登录,则向IMS域的应用服务器返回认证成功信息,执行步骤104;否则向IMS域的应用服务器返回认证失败信息。
本步骤所述与认证请求包含的公共身份标识进行绑定保存的各个服务域公共身份标识为abcsina.com和abctianya.com。本实例中,由于查找出abcsina.com已经登录,则执行步骤104。相反地,如果判断出查找到的公共身份标识在相应服务域没有登录,则向IMS域的应用服务器返回认证失败信息,IMS域的应用服务器向IMS域的认证服务器发送前述的认证请求,由IMS域的认证服务器对abcims.com进行身份认证,该认证过程需要用户向认证服务器输入与abcims.com对应的密码等认证信息,由认证服务器对认证信息进行验证。
本步骤还包括:若统一认证服务器判断出查找到的公共身份标识在相应服务域已经登录,则保存abcims.com已经登录的记录。
步骤104,IMS域的应用服务器为abcims.com提供相关的服务。
本步骤还包括:应用服务器接收认证成功信息后,还保存abcims.com已经登录的记录。
采用现有的单点登录方案,可以对相关联的各个服务域的登录情况进行统一管理,减少了多次身份认证所花的时间,相对也减少了身份认证出错的可能性。但是,现有单点登录的方案存在以下缺点:
目前的单点登录方案存在安全性问题,一旦统一认证服务器遭到黑客入侵,便无法通过统一认证服务器实现对相关联的所有服务域进行单点登录,导致单点登录失败,通常将这种现象称为“单点失效”,这降低了单点登录的安全性。
发明内容
本发明提供一种单点登录的方法,该方法能够防止现有技术中因“单点失效”所造成的在相关联的所有服务域进行单点登录失败。
本发明提供一种单点登录的系统,该系统能够防止现有技术中因“单点失效”所造成的在相关联的所有服务域进行单点登录失败。
一种单点登录的方法,该方法在所有关联服务域分别保存用户的本地注册信息,所述本地注册信息包括用户在本地服务域注册的公共身份标识;并绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识;
该方法还包括:
发起服务域接收包含公共身份标识的认证请求以及指定的信任服务域;
发起服务域向所述指定的信任服务域发送所述认证请求;
信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,判断查找的公共身份标识在本地服务域是否已经登录,如果是,则向发起服务域返回认证成功信息;
发起服务域接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务。
一种单点登录的系统,该系统包括发起服务域和信任服务域;发起服务域和信任服务域内都保存了用户的本地注册信息,所述本地注册信息包括用户在本地服务域注册的公共身份标识;还绑定保存了该用户在与本地服务域相关联的各个服务域注册时的公共身份标识;
所述发起服务域,用于接收包含公共身份标识的认证请求以及指定的信任服务域,向所述指定的信任服务域发送所述认证请求;接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务;
所述指定的信任服务域,用于查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,判断查找的公共身份标识在本地服务域是否已经登录,如果是,则向发起服务域返回认证成功信息。
从上述方案可以看出,本发明在所有关联服务域保存用户的本地注册信息,并绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识,所述本地注册信息包括用户在本地服务域注册的公共身份标识;用户在信任服务域通过身份认证登录后,若需要在与该信任服务域相关联的发起服务域进行单点登录,其过程包括:发起服务域接收包含公共身份标识的认证请求以及指定的信任服务域,向所述指定的信任服务域发送所述认证请求;信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,判断查找的公共身份标识在本地服务域是否已经登录,如果是,则向发起服务域返回认证成功信息;发起服务域接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务。本发明由相关联的各个服务域协助完成单点登录,而不是采用现有的通过统一认证服务器对相关联的各个服务域进行身份认证,从而,将统一认证服务器的工作分散到相关联的各个服务域,不会出现现有技术中“单点失效”的现象,相应地,避免了因“单点失效”所造成的在相关联的所有服务域进行单点登录失败,从而,提高了单点登录的安全性。
附图说明
图1为现有技术中单点登录的方法流程图;
图2为本发明单点登录的方法示例性流程图;
图3为本发明单点登录的方法流程图实例;
图4为本发明单点登录的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施例和附图,对本发明进一步详细说明。
本发明基于点对点(P2P,Peer to Peer)对等网实现单点登录。P2P对等网是一个分布式系统,该系统中,每个个体都是独立的,拥有自己的决策,P2P对等网最大的特色就是分布式的处理,对所有个体没有中央管理,方便了资源共享。本发明利用P2P对等网中各个服务域可以共享其它服务域内的资源,进行各个服务域之间的认证,通过各个服务域之间的认证实现单点登录,从而,将现有技术中统一认证服务器的工作分散到相关联的各个服务域。
该方法在所有关联服务域分别保存用户的本地注册信息,所述本地注册信息包括用户在本地服务域注册的公共身份标识和密码等;并在各个服务域绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识。所述公共身份标识可以为用户在各个服务域注册时的账号。
用户在各个服务域进行注册后,通过公共身份标识和密码等注册信息,在相关联的所有服务域中某一服务域进行第一次全局登录,该某一服务域保存相应公共身份标识已经登录的记录,该记录中包含该用户第一次全局登录的公共身份标识。
该用户进行第一次全局登录之后,便可向相关联的其它服务域请求服务,而不再需要向相应服务域进行身份认证,其过程为图2所示。这里,为了便于描述,将前述进行第一次全局登录的某一服务域称为信任服务域,将之后该用户请求服务的服务域称为发起服务域,图2的流程包括以下步骤:
步骤201,发起服务域接收包含公共身份标识的认证请求以及指定的信任服务域。
所述发起服务域为WEB服务域或IMS域,所述信任服务域为WEB服务域或IMS域。
步骤202,发起服务域向所述指定的信任服务域发送所述认证请求。
步骤203,信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,判断查找的公共身份标识在本地服务域是否已经登录,如果是,则向发起服务域返回认证成功信息,执行步骤204;否则,向发起服务域返回认证失败信息。
本实例中,由于能够判断出查找到的公共身份标识在本地服务域已经登录,因此执行步骤104。相反地,如果判断出查找到的公共身份标识在本地服务域没有登录,则向发起服务域返回认证失败信息,发起服务域再对该用户进行身份认证,该认证过程需要用户向发起服务域提供相应的密码等认证信息,由发起服务域对认证信息进行验证。
本步骤还包括:若判断出查找到的公共身份标识在本地服务域已经登录,则保存认证请求包含的公共身份标识已经登录的记录。
步骤204,发起服务域接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务。
本步骤还包括:发起服务域接收认证成功信息后,还保存认证请求包含的公共身份标识已经登录的记录。
具体地,发起服务域和信任服务域都包含各自的应用服务器、认证服务器以及信任服务器,各个服务域的信任服务器保存了相关联的其它信任服务器的地址,通过信任服务器便可实现各个服务域之间的交互。相应地,图2所述的各个步骤分别为:
步骤201中,发起服务域的认证服务器接收用户输入的包含公共身份标识的认证请求以及指定的信任服务域。
步骤202中,发起服务域的认证服务器将所述认证请求以及指定的信任服务域传送给发起服务域的信任服务器;所述信任服务器向所述指定的信任服务域的信任服务器发送所述认证请求。
步骤203中,信任服务域的信任服务器将所述认证请求发送给信任服务域的认证服务器,认证服务域的认证服务器查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,判断查找的公共身份标识在本地服务域是否已经登录,如果已经登录,则认证服务域的认证服务器经由信任服务域的信任服务器和发起服务域的信任服务器将认证成功信息返回给发起服务域的认证服务器;执行步骤204;否则,信任服务域的认证服务器经由信任服务域的信任服务器和发起服务域的信任服务器将认证失败信息返回给发起服务域的认证服务器。
本实例中,由于能够判断出查找到的公共身份标识在本地服务域已经登录,因此执行步骤204。相反地,如果判断出查找到的公共身份标识在本地服务域没有登录,则信任服务域的认证服务器经由信任服务域的信任服务器和发起服务域的信任服务器将认证失败信息返回给发起服务域的认证服务器,发起服务域的认证服务器再对该用户进行身份认证,该认证过程需要用户向发起服务域的认证服务器提供相应的密码等认证信息,由发起服务域的认证服务器对认证信息进行验证。
步骤204,发起服务域的认证服务器将认证成功信息传送给发起服务域的应用服务器,应用服务器为认证请求包含的公共身份标识提供相应的服务。
本发明不通过现有技术中的统一认证服务器对相关联的各个服务域登录过程进行身份认证,而由相关联的各个服务域协助完成单点登录。采用本发明方案,将统一认证服务器的工作分散到相关联的各个服务域,这样,当同时需要进行身份认证的用户过多时,不会出现现有技术中影响统一认证服务器性能的问题;并且,不会出现现有技术中“单点失效”的现象,相应地,避免了因“单点失效”所造成的在相关联的所有服务域进行单点登录失败,从而,提高了单点登录的安全性。
下面通过一个具体实例对本发明单点登录方法进行详细说明。假设,相关联的服务域为三个,包括一个IMS域,以及两个WEB域:新浪服务域和天涯服务域。新浪服务域的信任服务器用信任服务器A表示,IMS域的信任服务器用信任服务器C表示,天涯服务域的信任服务器用信任服务器B表示。新浪服务域的认证服务器用认证服务器A表示,IMS域的认证服务器用认证服务器C表示,天涯服务域的认证服务器用认证服务器B表示。
认证服务器A、认证服务器B以及IMS域的归属用户服务器(HSS,Home Subscriber Server)内,都保存了本地注册信息,所述本地注册信息包括用户在本地服务域注册的公共身份标识和密码等,还绑定保存了该用户在与本地服务域相关联的各个服务域注册时的公共身份标识。具体地,假设认证服务器A内保存了关于某用户在新浪服务域的公共身份标识abcsina.com和密码等注册信息,并绑定保存了abcims.com和abctianya.com;认证服务器B内保存了关于该用户在天涯服务域的公共身份标识abctianya.com和密码等注册信息,并绑定保存了abcims.com和abcsina.com;HSS内保存了关于该用户在IMS域的公共身份标识abcims.com和密码等注册信息,并绑定保存了abctianya.com和abcsina.com。
并且,假设发起服务域为新浪服务域,信任服务域为IMS域;也就是,假设该用户首先在IMS域的认证服务器C通过了身份认证,进行了登录,并且认证服务器C还将包含abcims.com的已经登录的记录保存在HSS;而后,若该用户需要向新浪服务域的应用服务器请求邮箱服务,其过程为图3所示,包括以下步骤:
步骤301,用户登录新浪客户端,向新浪服务域的应用服务器发起认证请求。
该认证请求中包含该用户使用的新浪服务域的公共身份标识,本实施例中该公共身份标识为该用户的新浪邮箱帐号abcsina.com。
步骤302,新浪服务域的应用服务器将认证请求发送给认证服务器A进行身份认证,认证服务器A判断是否有该新浪邮箱账号登录的记录,如果有,则通知应用服务器为该新浪邮箱账号提供相应的服务;如果没有,则接收用户输入的指定的信任服务域,执行步骤303。
本步骤所述指定的信任服务域也就是IMS域,接收指定的信任服务域的方法可以为:认证服务器A向用户返回无登录记录信息,并且,要求用户选择采用本地服务域,即新浪服务域进行登录,还是选择另一个具有信任关系的服务域进行身份认证;如果用户选择采用本地服务域登录,则用户需要重新输入密码等认证信息,由认证服务器A对其进行身份认证;如果用户选择采用另一个具有信任关系的服务域进行认证,则认证服务器A获取用户输入的指定的信任服务域,在本实施例中,由于用户之前在IMS域登录过,因此,用户输入的指定信任服务域为IMS域。
步骤303,认证服务器A将认证请求以及指定的信任服务域发送给信任服务器A。
步骤304,信任服务器A将认证请求发送给信任服务器C。
在P2P网络应用模式中,进行绑定的各个服务域可以通过归属于各个服务域的信任服务器进行交互。
步骤305,信任服务器C接收认证请求后,传送给认证服务器C。
该认证请求中包括abcsina.com。
步骤306,认证服务器C在HSS中查找保存的与abcsina.com绑定在一起的IMS帐号,并判断查找的该IMS账号在HSS内是否有登录记录,并向信任服务器C返回认证结果。
在本实施例中,用户在IMS进行注册时,HSS不仅包括IMS账号和密码,还绑定保存了新浪账号以及天涯账号:abcsina.com和abctianya.com。并且,HSS内还保存了用户登录IMS域的登录记录。
本步骤中,如果判断出有登录记录,则向认证服务器C返回的认证结果为认证成功信息;如果没有登录记录,则向认证服务器C返回的认证结果为认证失败信息。本实施例中,查找出的与abcsina.com绑定在一起的IMS帐号为abcims.com,该IMS账号有登录记录,认证服务器C向信任服务器C返回认证成功信息。
可选地,本发明还可以由HSS实现认证服务器C进行查找并且判断查找的公共身份标识是否有登录记录的功能,也就是,本步骤包括:认证服务器C将认证请求路由到IMS域的HSS,HSS查找保存的与abcsina.com绑定在一起的IMS帐号,并判断查找的该IMS账号是否有登录记录,然后向认证服务器C返回认证结果,认证服务器C再将认证结果传送给信任服务器C。
步骤307,信任服务器C将认证结果返回给信任服务器A。
步骤308,信任服务器A将认证结果返回给认证服务器A。
本步骤还可以包括:认证服务器A记录abcsina.com已经登录的登录信息。
步骤309,认证服务器A将认证结果返回给新浪服务域的应用服务器,新浪服务域的应用服务器为abcsina.com提供相应的服务。
在本实施例中,所述相应的服务,也就是邮箱服务。
参见图4,为本发明单点登录的系统结构示意图,该系统包括发起服务域和信任服务域;发起服务域和信任服务域内都保存了用户的本地注册信息,所述本地注册信息包括用户在本地服务域注册的公共身份标识;还绑定保存了该用户在与本地服务域相关联的各个服务域注册时的公共身份标识;
所述发起服务域,用于接收包含公共身份标识的认证请求以及指定的信任服务域,向所述指定的信任服务域发送所述认证请求;接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务;
所述指定的信任服务域,用于查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,判断查找的公共身份标识在本地服务域是否已经登录,如果是,则向发起服务域返回认证成功信息。
可选地,所述发起服务域为WEB服务域或IMS域,所述信任服务域为WEB服务域或IMS域。
可选地,所述发起服务域包括应用服务器、第一认证服务器和第一信任服务器,所述指定的信任服务域包括第二认证服务器和第二信任服务器;
所述第一认证服务器,用于接收所述认证请求以及指定的信任服务域,传送给所述第一信任服务器;
所述第一信任服务器,用于向所述第二信任服务器发送所述认证请求;
所述第二信任服务器,用于将所述认证请求传送给第二认证服务器;
所述第二认证服务器,用于查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识;判断查找的公共身份标识在本地服务域是否已经登录,如果是,则向经由第二信任服务器和第一信任服务器将认证成功信息返回给第一认证服务器;
所述第一认证服务器,还用于将认证成功信息传送给所述应用服务器;
所述应用服务器,用于在接收认证成功信息后,为认证请求包含的公共身份标识提供相应的服务。
可选地,所述第一信任服务器置于所述发起服务域内,或置于所述发起服务域外;所述第二信任服务器置于所述信任服务域内,或置于所述信任服务域外。
当所述发起服务域为WEB服务域,所述认证服务域为IMS域时,所述IMS域还包括HSS;所述用户的本地注册信息以及该用户在与本地服务域相关联的各个服务域注册时的公共身份标识保存在所述HSS内;
所述第二认证服务器,用于在HSS内查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,并判断查找的公共身份标识在HSS内是否有登录记录,如果有,则判断已经登录。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种单点登录的方法,其特征在于,该方法基于点对点P2P对等网实现单点登录,在所有关联服务域分别保存用户的本地注册信息,所述本地注册信息包括用户在本地服务域注册的公共身份标识;并绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识;
该方法还包括:
发起服务域接收包含公共身份标识的认证请求以及指定的信任服务域;
发起服务域向所述指定的信任服务域发送所述认证请求;
信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,判断查找的公共身份标识在本地服务域是否已经登录,如果是,则向发起服务域返回认证成功信息;
发起服务域接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务。
2.如权利要求1所述的方法,其特征在于,所述发起服务域为WEB服务域或IP多媒体服务IMS域,所述信任服务域为WEB服务域或IMS域。
3.如权利要求1所述的方法,其特征在于,
所述认证请求以及指定的信任服务域是发起服务域的认证服务器接收的;
所述发起服务域向所述指定的信任服务域发送所述认证请求包括:所述认证服务器将所述认证请求以及指定的信任服务域传送给发起服务域的信任服务器;所述信任服务器向所述指定的信任服务域的信任服务器发送所述认证请求;
所述信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识包括:信任服务域的信任服务器将所述认证请求发送给信任服务域的认证服务器,信任服务域的认证服务器查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识;
由信任服务域的认证服务器判断查找的公共身份标识在本地服务域是否已经登录;
所述信任服务域向发起服务域返回认证成功信息包括:信任服务域的认证服务器经由信任服务域的信任服务器和发起服务域的信任服务器将认证成功信息返回给发起服务域的认证服务器;
所述发起服务域为认证请求包含的公共身份标识提供相应的服务包括:发起服务域的认证服务器将认证成功信息传送给发起服务域的应用服务器,应用服务器为认证请求包含的公共身份标识提供相应的服务。
4.如权利要求3所述的方法,其特征在于,当所述发起服务域为WEB服务域,所述信任服务域为IMS域时,
所述用户的本地注册信息以及该用户在与本地服务域相关联的各个服务域注册时的公共身份标识保存在IMS域的HSS内;
所述信任服务域的认证服务器查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识包括:IMS域的认证服务器在HSS内查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识;
所述由信任服务域的认证服务器判断查找的公共身份标识在本地服务域是否已经登录包括:IMS域的认证服务器判断查找的公共身份标识在HSS内是否有登录记录,如果有,则判断已经登录。
5.一种单点登录的系统,其特征在于,该系统包括发起服务域和信任服务域;发起服务域和信任服务域内都保存了用户的本地注册信息,所述本地注册信息包括用户在本地服务域注册的公共身份标识;还绑定保存了该用户在与本地服务域相关联的各个服务域注册时的公共身份标识;
所述发起服务域,用于接收包含公共身份标识的认证请求以及指定的信任服务域,向所述指定的信任服务域发送所述认证请求;接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务;
所述指定的信任服务域,用于查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,判断查找的公共身份标识在本地服务域是否已经登录,如果是,则向发起服务域返回认证成功信息。
6.如权利要求5所述的系统,其特征在于,所述发起服务域为WEB服务域或IMS域,所述信任服务域为WEB服务域或IMS域。
7.如权利要求5所述的系统,其特征在于,所述发起服务域包括应用服务器、第一认证服务器和第一信任服务器,所述指定的信任服务域包括第二认证服务器和第二信任服务器;
所述第一认证服务器,用于接收所述认证请求以及指定的信任服务域,传送给所述第一信任服务器;
所述第一信任服务器,用于向第二信任服务器发送所述认证请求;
所述第二信任服务器,用于将所述认证请求传送给第二认证服务器;
所述第二认证服务器,用于查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识;判断查找的公共身份标识在本地服务域是否已经登录,如果是,则经由第二信任服务器和第一信任服务器将认证成功信息返回给第一认证服务器;
所述第一认证服务器,还用于将认证成功信息传送给所述应用服务器;
所述应用服务器,用于在接收认证成功信息后,为认证请求包含的公共身份标识提供相应的服务。
8.如权利要求7所述的系统,其特征在于,当所述发起服务域为WEB服务域,所述信任服务域为IMS域时,所述IMS域还包括HSS;所述用户的本地注册信息以及该用户在与本地服务域相关联的各个服务域注册时的公共身份标识保存在所述HSS内;
所述第二认证服务器,用于在HSS内查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识,并判断查找的公共身份标识在HSS内是否有登录记录,如果有,则判断已经登录。
9.如权利要求7所述的系统,其特征在于,所述第一信任服务器置于所述发起服务域内,或置于所述发起服务域外;所述第二信任服务器置于所述信任服务域内,或置于所述信任服务域外。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910235739.XA CN102045166B (zh) | 2009-10-13 | 2009-10-13 | 单点登录的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910235739.XA CN102045166B (zh) | 2009-10-13 | 2009-10-13 | 单点登录的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102045166A CN102045166A (zh) | 2011-05-04 |
| CN102045166B true CN102045166B (zh) | 2014-07-02 |
Family
ID=43910987
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910235739.XA Active CN102045166B (zh) | 2009-10-13 | 2009-10-13 | 单点登录的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102045166B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067337B (zh) * | 2011-10-19 | 2017-02-15 | 中兴通讯股份有限公司 | 一种身份联合的方法、IdP、SP及系统 |
| CN103188207B (zh) * | 2011-12-27 | 2016-07-13 | 北大方正集团有限公司 | 一种跨域的单点登录实现方法及系统 |
| CN103873427A (zh) * | 2012-12-07 | 2014-06-18 | 广州爱游信息科技有限公司 | 权限管理方法及系统 |
| CN103906175A (zh) * | 2012-12-26 | 2014-07-02 | 中国移动通信集团广东有限公司 | 接入ims 核心网的方法及装置、icgw 网关 |
| CN106790209B (zh) * | 2017-01-03 | 2019-12-24 | 北京并行科技股份有限公司 | 一种登录认证方法及系统 |
| CN107770006B (zh) * | 2017-09-19 | 2020-06-16 | 安康鸿天科技开发有限公司 | 一种基于ims通信的三网融合系统 |
| CN114884687A (zh) * | 2022-03-21 | 2022-08-09 | 中国人寿保险股份有限公司 | 用户认证方法、装置、电子设备及存储介质 |
| CN115022047B (zh) * | 2022-06-02 | 2024-04-19 | 鸬鹚科技(深圳)有限公司 | 基于多云网关的账户登录方法、装置、计算机设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1897523A (zh) * | 2006-06-26 | 2007-01-17 | 北京金山软件有限公司 | 一种实现单点登录的系统及方法 |
| CN101026481A (zh) * | 2006-02-21 | 2007-08-29 | 华为技术有限公司 | 一种集中用户安全管理方法及装置 |
| CN101042699A (zh) * | 2007-04-28 | 2007-09-26 | 华中科技大学 | 基于访问控制的安全搜索引擎系统 |
| CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
-
2009
- 2009-10-13 CN CN200910235739.XA patent/CN102045166B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026481A (zh) * | 2006-02-21 | 2007-08-29 | 华为技术有限公司 | 一种集中用户安全管理方法及装置 |
| CN1897523A (zh) * | 2006-06-26 | 2007-01-17 | 北京金山软件有限公司 | 一种实现单点登录的系统及方法 |
| CN101042699A (zh) * | 2007-04-28 | 2007-09-26 | 华中科技大学 | 基于访问控制的安全搜索引擎系统 |
| CN101075875A (zh) * | 2007-06-14 | 2007-11-21 | 中国电信股份有限公司 | 在门户/系统之间实现单点登录的方法及其系统 |
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102045166A (zh) | 2011-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102045166B (zh) | 单点登录的方法及系统 | |
| US9356928B2 (en) | Mechanisms to use network session identifiers for software-as-a-service authentication | |
| US8850553B2 (en) | Service binding | |
| CN101399813B (zh) | 身份联合方法 | |
| JP5010608B2 (ja) | リモートリソースとの安全な対話型接続の生成 | |
| US8978100B2 (en) | Policy-based authentication | |
| EP2705642B1 (en) | System and method for providing access credentials | |
| US7673001B1 (en) | Enterprise management of public instant message communications | |
| CN102790808B (zh) | 一种域名解析方法和系统、一种客户端 | |
| WO2017016252A1 (zh) | 令牌生成并认证的方法及认证服务器 | |
| US20110060694A1 (en) | Distributed secure anonymous conferencing | |
| US20090013063A1 (en) | Method for enabling internet access to information hosted on csd | |
| CN102104483B (zh) | 一种基于负载均衡的单点登录方法、系统和负载均衡设备 | |
| US20070100944A1 (en) | Uniform resource identifier decoration to enable connectivity for instant messaging providers serving non-authoritative namespaces | |
| US20070297430A1 (en) | Terminal reachability | |
| US20110107414A1 (en) | System and Method for Location Assisted Virtual Private Networks | |
| US9973590B2 (en) | User identity differentiated DNS resolution | |
| US11838269B2 (en) | Securing access to network devices utilizing authentication and dynamically generated temporary firewall rules | |
| JP2016523416A (ja) | アカウントログイン方法、デバイス及びシステム | |
| US9954839B2 (en) | Systems and methods for providing distributed authentication of service requests by identity management components | |
| US9246906B1 (en) | Methods for providing secure access to network resources and devices thereof | |
| CN109347864B (zh) | 基于虚拟专用网络的单点登录方法及装置 | |
| US9774588B2 (en) | Single sign off handling by network device in federated identity deployment | |
| JP2017523508A (ja) | セキュアな統合型クラウドストレージ | |
| WO2010119626A1 (ja) | Id認証システム、方法及びプログラムが格納された非一時的なコンピュータ可読媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |