CN102238148B - 身份管理方法及系统 - Google Patents

身份管理方法及系统 Download PDF

Info

Publication number
CN102238148B
CN102238148B CN201010165120.9A CN201010165120A CN102238148B CN 102238148 B CN102238148 B CN 102238148B CN 201010165120 A CN201010165120 A CN 201010165120A CN 102238148 B CN102238148 B CN 102238148B
Authority
CN
China
Prior art keywords
identity
terminal
idp
described terminal
aid
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201010165120.9A
Other languages
English (en)
Other versions
CN102238148A (zh
Inventor
孙翼舟
黄兵
江华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongka Digital Technology Kunshan Co ltd
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201010165120.9A priority Critical patent/CN102238148B/zh
Priority to PCT/CN2010/078832 priority patent/WO2011131002A1/zh
Publication of CN102238148A publication Critical patent/CN102238148A/zh
Application granted granted Critical
Publication of CN102238148B publication Critical patent/CN102238148B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers

Abstract

本发明公开了一种身份管理方法和系统以简化身份管理。所述身份管理方法基于标识网实现,终端及身份管理(IDP)服务器具有表示标识网内身份的身份标识(AID),所述终端发起身份服务流程时,所述标识网的接入服务节点(ASN)利用终端和IDP服务器的AID将终端的身份服务请求发送给所述IDP服务器,所述IDP服务器根据所述身份服务请求实现对所述终端的身份管理。本发明方法和系统基于标识网实现,统一采用表示身份的AID作为身份管理的标识,可以简化身份管理系统的管理。

Description

身份管理方法及系统
技术领域
本发明涉及通信技术领域,尤其涉及一种身份管理方法及系统。
背景技术
身份管理系统
身份管理系统(identity management,IDM)不是一个新的事物,当今社会生活息息相关的户籍身份证管理、护照管理、企业组织机构代码管理、设备编号管理,都属于IDM。现在互联网上的IDM系统,绝大部分是由服务提供商或企业提供,如电信运营商的营帐系统、淘宝网的支付宝、网络游戏运营商的帐号管理系统等等,不同企业和不同业务的IDM系统不同。
这种由服务提供商或企业提供的IDM系统,存在一些问题:
1)安全隐患。用户不使用真实身份,不可溯源,有安全隐患。另外企业对用户的隐私信息保护不够重视,经常造成用户身份信息泄露。
2)重复注册。各个企业各个服务,用户需要分别注册,使用麻烦。
3)IDM系统之间信息不共享,不交互。一个IDM系统的某个用户信息发生改变,无法同步到其他IDM系统。
为此,ITU-T标准组织在2006年的SG17会议上成立了IDM焦点工作组,提出了通用的IDM功能架构。其核心思想是在互联网上除了用户、服务提供商(service provider,SP)外,再引入身份提供商(identity provider,IDP)的概念,IDP专门为用户和SP提供用户的身份服务。IDM的系统示意图见图1。
IDP为SP提供身份认证服务,此外还负责对用户身份信息的管理。例如,接受用户的注册请求,对用户的身份属性进行管理(身份属性的变更、撤销等),保证用户身份信息的安全性。
IDP提供的身份服务,包括如下四类:
1)标识。标识可以是任何可以用来代表一个实体身份的标记。例如:用户ID、email地址、假名、组名等等。
2)信任状。身份安全凭证,通常用来鉴别一个被声明的身份的安全参数。信任状可以是密码、令牌、安全提示或PKI等相关信息。例如:密钥、认证、签名认证和密码信息等。
3)属性。身份属性是实体特征的一些描述,比如实体类型、首选IP地址、域名、地址信息、电话号码等。属性也可以包括权限、代理列表和一些特殊限制。
4)身份模式。身份模式是指用户的声誉、名誉、信任记录以及历史访问记录。
在有多个IDP系统的情况下,用户和SP不知道找哪个IDP提供身份服务,此时需要有一个IDP发现系统,找到合适的IDP为用户提供服务。另外,身份信息不但涉及到用户的隐私,而且涉及到社会安全和国家安全,必须对IDP系统进行有效监管。因此,必须设立政府层面的IDM监管中心,提供IDP发现系统功能,并承担对IDP监管的责任。
用户申请身份服务的业务流程见图2:
(201)用户向SP请求服务或资源,并提供IDP相关信息。
(202)SP请求IDM监管中心对用户提交的IDP服务器的域名进行地址解析,得出用户IDP的网络地址。
(203)IDM监管中心将IDP网络地址发给SP。
(204)SP根据网络地址,定位到IDP。
(205)IDP向用户发送登陆界面,让用户输入帐号和密码,以及其它登录信息,以进行验证。
(206)用户输入帐号和密码,以及其它登录信息。
(207)IDP验证通过后,向SP发送验证通过(拒绝)的指令。
(208)SP向用户提供请求的服务。
目前IDM系统一个尚未解决的主要问题是采用什么做为身份的标识,包括用户身份标识和IDP标识。用户身份标识可以用用户ID、email地址、假名、组名,随意性很大,没有统一的标识。另外,IDP标识用于IDP监管中心、SP、用户对IDP服务器的寻址,现在IDM标准讨论小组拟建议采用URL(Uniform/Universal Resource Locator,统一资源定位符,又称网页地址)用于IDP寻址,但URL是以DNS域名解析系统作为基础,全球根域名的解析权在美国,美国能够对其它国家IDP活动进行监控,危害国家信息安全。因此有必有建立各国自控的用户身份标识和IDP标识。
标识网技术与身份标识
现有因特网广泛使用的TCP/IP协议不支持移动性。当终端位置发生移动时,终端IP地址将发生变化,会导致应用和连接的中断。IP协议不支持移动性的本质原因在于IP地址包含了身份和位置双重属性。
IP地址的身份属性:在TCP/IP协议栈中,IP地址用来标识通信对端;
IP地址的位置属性:IP地址代表用户处于哪一个网段,是路由的基础。
固定网络中,IP地址的位置、身份属性合一是没有问题的,因为终端的位置不变,IP地址就不会变化,身份属性也不会变化。
而到了移动互联网,终端位置的移动,导致IP地址必须变化,否则没法路由;而IP地址的变化会导致其上层的TCP/UDP连接必须断掉重连,从而导致业务中断,这对于很多应用程序来说是不能接受的。
标识网的概念,是将终端IP地址按身份属性和位置属性分离成身份标识AID和位置标识RID,具体机制如下:
1)以终端所在的边缘路由器的IP地址作为终端的位置标识,称为终端的RID,当终端位置改变时,RID发生变化。
2)引入一个新的命名空间作为终端的身份标识,称为终端的AID,终端的AID终身保持不变。
3)终端只感知自身的AID,以及通信对端的AID,不感知RID信息。所有的上层连接均基于AID来建立。即用TCP/AID、UDP/AID代替TCP/IP、UDP/IP。
4)终端以目的AID、源AID作为目的、源地址发出数据包,边缘路由器收到数据包后将其中的AID转换成RID;RID是IP地址的格式,可以在现有互联网上寻址到通信对端的边缘路由器;对端边缘路由器在将数据包中的RID再转换成AID,发往对方终端。
AID的编码格式,可以由服务提供商或者政府机构定义,也可以采用但不局限于:IPv4/IPv6。采用IP地址编码格式的好处,主要是现有市面上的终端无需改动,即可支持标识网。
发明内容
本发明要解决的技术问题是提供一种身份管理方法和系统以简化身份管理。
为解决以上技术问题,本发明提供一种身份管理方法,其特征在于,该方法基于标识网实现,终端及身份管理(IDP)服务器具有表示标识网内身份的身份标识(AID),所述终端发起身份服务流程时,所述标识网的接入服务节点(ASN)利用终端和IDP服务器的AID将终端的身份服务请求发送给所述IDP服务器,所述IDP服务器根据所述身份服务请求实现对所述终端的身份管理。
进一步地,所述终端已知所属的IDP的情况下,所述终端和IDP服务器的AID由所述终端在发送身份服务请求时,提供给所述ASN。
进一步地,所述终端未知所属的IDP服务器的情况下,所述终端的AID由所述终端在发送身份服务请求时提供给所述ASN,所述ASN向监管中心(IDM)查询为所述终端提供身份服务的IDP服务器,获得所述IDP的AID。
进一步地,所述IDP服务器对所述终端进行身份管理的流程包括:
所述IDP服务器向所述终端发送登录指示,所述终端输入身份信息,所述IDP服务器根据所述终端输入的身份信息进行身份验证;
所述IDP服务器通过所述ASN向所述终端发送身份服务响应,其中携带验证结果。
进一步地,所述身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册和身份信息撤销中的任一种或多种。
进一步地,所述终端向所述业务服务器提出业务请求时,所述身份管理方法还包括所述业务服务器发起身份认证流程,该身份认证流程包括:
(a)所述业务服务器向所述IDP发送身份认证请求,其中携带所述终端的AID;
(b)所述IDP服务器根据所述终端的AID检查所述终端是否已经通过验证,如已通过验证则执行步骤(e),否则向所述终端发出认证挑战;
(c)所述终端向所述IDP发送所述终端的身份信息;
(d)所述IDP服务器对所述身份信息进行验证;
(e)所述IDP服务器向所述业务服务器发送身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果;
(f)所述业务服务器根据所述终端的身份认证结果决定是否对所述终端的业务请求授权。
一种身份管理系统,该系统基于标识网实现,包括终端及身份管理(IDP)服务器,其中:
所述终端,具有表示标识网内身份的身份标识(AID),用于通过ASN向所述IDP服务器发送身份服务请求,其中所述身份服务请求中携带所述终端的AID;还用于向所述IDP服务器发送身份信息;
所述ASN,用于根据终端的AID及IDP服务器的AID实现所述终端与IDP服务器之间的身份服务请求及身份服务响应的路由转发;
所述IDP服务器,具有表示标识网内身份的AID,用于接收所述ASN转发的身份服务请求,以及验证所述终端发送的身份信息,还用于向所述ASN发送身份服务响应,其中携带所述终端的AID及验证结果信息。
进一步地,所述终端已知所属的IDP的情况下,所述终端发送的身份服务请求中还携带所述IDP服务器的AID。
进一步地,该系统还包括监管中心(IDM),所述IDM用于管理所述IDP服务器与所属终端的对应关系;与所述终端未知所属的IDP服务器的情况下,所述ASN还用于根据身份服务请求中所述终端的AID向所述IDM查询为所述终端提供身份服务的IDP服务器,获得所述IDP服务器的身份标识。
进一步地,所述身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册和身份信息撤销中的任一种或多种。
进一步地,所述系统还包括业务服务器,用于在所述终端提出业务请求时,向所述IDP服务器发送身份认证请求,其中携带所述终端的AID;以及接收所述IDP服务器发送的身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果,还用于根据所述终端的身份认证结果决定是否对所述终端的业务请求授权;所述IDP服务器根据所述终端的AID决定是否向所述终端发起认证挑战。
进一步地,所述IDP服务器检查是否已有所述终端的身份认证结果信息,如果有,则直接根据所述身份认证结果信息向所述业务服务器发送身份认证响应,否则向所述终端发起认证挑战。
进一步地,所述终端根据所述IDP服务器发送的登录指示或所述IDP服务器发出的认证挑战向所述IDP服务器发送身份信息。
本发明方法和系统基于标识网实现,统一采用表示身份的AID作为身份管理的标识,可以简化身份管理系统的管理。
附图说明
图1IDM的系统示意图;
图2用户申请身份服务的业务流程图;
图3基于标识网的身份管理拓扑示意图;
图4基于标识网的IDM系统服务流程图1;
图5基于标识网的IDM系统服务流程图2;
图6单点登录服务流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步说明
本发明身份管理方法和系统基于标识网实现,终端及身份管理(IDP)服务器具有表示标识网内身份的身份标识(AID),所述标识网的接入服务节点(ASN)利用终端和IDP服务器的AID实现终端与IDP服务器之间的身份服务交互,所述IDP根据所述终端提供的身份信息实现对所述终端的身份管理。
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。
如图3所示的拓扑示意图描述了与本发明相关的系统架构关键特征。
本发明所述的基于标识网技术的身份管理系统架构(以下简称本架构)的主要网元和功能实体包括:
ASN:Access Service Node,接入服务节点。ASN维护终端与网络的连接关系,为终端分配RID,处理切换流程,处理登记注册流程,处理计费/鉴权流程,维护/查询通讯对端的AID-RID映射关系。
ASN封装、路由并转发送达终端或终端发出的数据报文。
ASN收到终端MN发来的数据报文时,根据数据报文中目的地址通信对端CN的AIDc查询本地缓存中的AID-RID映射表:查到对应的AIDc-RIDc映射条目,将RIDc作为目的地址封装在报文头部,将MN源地址AIDm对应的RIDm作为源地址封装在报文头部,并转发到广义转发平面;如果没有查到对应的AIDc-RIDc映射条目,将数据报文做隧道封装后转发到映射转发平面,并向映射转发平面发出查询AIDc-RIDc映射关系的流程。
ASN收到网络发往终端的数据报文时,对数据报文进行解封装处理,剥去数据报文头部的RID封装,保留AID作为数据报文头部发往终端。
CR:Common Router,通用路由器。路由并转发以RID格式为源地址/目的地址的数据报文。该通用路由器的功能作用与现有技术中的路由器没有区别。
ILR/PTF:Identity Location Register/Packet Transfer Function,ILR是身份位置寄存器,维护/保存本架构网络中用户的AID-RID映射关系。实现登记注册功能,处理通信对端的位置查询流程。Broke ILR主要用于拜访ILR与归属ILR之间无直联关系时,中转ILR之间的信令。
PTF是分组转发功能。映射转发平面在收到ASN送达的数据报文后,由PTF根据目的AID在映射转发平面内路由并转发。映射转发平面内PTF节点在查到目的AID-RID的映射关系后,在数据报文头部封装对应的RID信息并转发到广义转发平面,由广义转发平面路由并转发到通信对端。
IDP:Identity provider,身份服务提供商。IDP记录本架构网络的用户属性,包括用户类别、鉴权信息、用户服务等级等信息,产生用于鉴权、完整性保护和加密的用户安全信息,在用户接入时进行接入控制和授权。IDP支持终端与网络间的双向鉴权。
IDM监控中心:IDM的监管实体,为用户和服务提供商(SP)提供IDP查询服务,即IDP发现功能,此外还负责对IDP服务器的资质进行授权。
与本发明相关地,
本发明身份管理系统基于标识网实现,包括终端及身份管理(IDP)服务器,其中:
所述终端,具有表示标识网内身份的身份标识(AID),用于通过ASN向所述IDP服务器发送身份服务请求,其中所述身份服务请求中携带所述终端的AID;还用于向所述IDP服务器发送身份信息;
所述ASN,用于根据终端的AID及IDP服务器的AID实现所述终端与IDP服务器之间的身份服务请求及身份服务响应的路由转发;
具体的路由转发方法根据标识网的具体网络机制确定,本发明在此不作具体阐述。
所述IDP服务器,具有表示标识网内身份的AID,用于接收所述ASN转发的身份服务请求,以及验证所述终端发送的身份信息,还用于向所述ASN发送身份服务响应,其中携带所述终端的AID及验证结果信息。
所述终端已知所属的IDP的情况下,所述终端发送的身份服务请求中还携带所述IDP服务器的AID。
进一步地,该系统还包括监管中心(IDM),所述IDM用于管理所述IDP服务器与所属终端的对应关系;与所述终端未知所属的IDP服务器的情况下,所述ASN还用于根据身份服务请求中所述终端的AID向所述IDM查询为所述终端提供身份服务的IDP服务器,获得所述IDP服务器的AID。
本发明所说的身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册和身份信息撤销中的任一种或多种。
进一步地,本发明系统还包括业务服务器,用于在所述终端提出业务请求时,向所述IDP服务器发送身份认证请求,其中携带所述终端的AID;以及接收所述IDP服务器发送的身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果,还用于根据所述终端的身份认证结果决定是否对所述终端的业务请求授权;所述IDP服务器根据所述终端的AID决定是否向所述终端发起认证挑战。
具体地,所述IDP服务器检查是否已有所述终端的身份认证结果信息,如果有,则直接根据所述身份认证结果信息向所述业务服务器发送身份认证响应,否则向所述终端发起认证挑战。
所述终端根据所述IDP服务器发送的登录指示或所述IDP服务器发出的认证挑战向所述IDP服务器发送身份信息。
本发明身份管理方法基于标识网实现,终端及身份管理(IDP)服务器具有表示标识网内身份的身份标识(AID),所述终端发起身份服务流程时,所述标识网的接入服务节点(ASN)利用终端和IDP服务器的AID将终端的身份服务请求发送给所述IDP服务器,所述IDP服务器根据所述身份服务请求实现对所述终端的身份管理。
本发明所述的基于标识网技术的身份管理系统架构中,有效合法存续期间的终端用户的身份标识AID始终保持不变。终端用户接入网络时,需向IDP服务器申请身份认证服务。IDP对用户身份的鉴权方法根据不同的网络体制采用不同的方法,可以是对用户接入标识AID直接鉴权,也可以是对网络中标识用户的其他类型的用户识别(例如国际移动用户识别IMSI、网络用户识别NAI等)进行鉴权。用户通过了IDP服务器的认证,才能进入ASN的合法用户列表中,才可以访问网络资源。
除了身份认证服务,用户也可向IDP申请其他身份服务,如查询、修改、注册和撤销身份信息等服务。
所述IDP服务器对所述终端进行身份管理的流程包括:
所述IDP服务器向所述终端发送登录指示,所述终端输入身份信息,所述IDP服务器根据所述终端输入的身份信息进行身份验证;
所述IDP服务器通过所述ASN向所述终端发送身份服务响应,其中携带验证结果。
应用实例1:
所述终端已知所属的IDP的情况下,所述终端和IDP服务器的AID由所述终端在发送身份服务请求时提供给所述ASN。终端申请身份服务的业务流程如图4所示,包括:
(401)终端M向ASN请求身份服务,并提供终端的身份标识AIDm和IDP服务器的身份标识AIDn;
(402)ASN向IDP服务器请求相应的身份服务。
(403)IDP服务器向终端M发送登陆指示,让终端M输入帐号和密码,以及其它身份信息,以进行验证。
(404)终端M输入帐号和密码,以及其它身份信息。
(405)IDP服务器验证通过后,向ASN发送验证通过(拒绝)的指令。
(406)ASN向终端M提供请求的服务。
所述终端未知所属的IDP服务器的情况下,所述终端的AID由所述终端在发送身份服务请求时提供给所述ASN,所述ASN向监管中心(IDM)查询为所述终端提供身份服务的IDP服务器,获得所述IDP的AID。终端申请身份服务的业务流程如图5所示,包括:
(501)终端M向ASN请求身份服务,并提供终端的身份标识AIDm。
(502)ASN请求IDM监管中心查找为终端M提供身份服务的IDP,得出IDP服务器的身份标识AIDn。
(503)IDM监管中心将IDP服务器的标识AIDn发给ASN。
(504)ASN根据标识AIDn,向IDP服务器请求相应的身份服务。
(505)IDP服务器向终端M发送登陆指示,让终端M输入帐号和密码,以及其它登录信息,以进行验证。
(506)终端M输入帐号和密码,以及其它登录信息。
(507)IDP服务器验证通过后,向ASN发送验证通过(拒绝)的指令。
(508)ASN向终端M提供请求的服务。
本发明所述的身份管理系统架构还可实现单点登录功能,即终端在通过了IDP的身份认证后,在终端身份有效合法存续期间,终端无需再登录网络即可访问多种业务。
所述终端向所述业务服务器提出业务请求时,所述身份管理方法还包括所述业务服务器发起身份认证流程,该身份认证流程包括:
(a)所述业务服务器向所述IDP发送身份认证请求,其中携带所述终端的AID;
(b)所述IDP服务器根据所述终端的AID检查所述终端是否已经通过验证,如已通过验证则执行步骤(e),否则向所述终端发出认证挑战;
(c)所述终端向所述IDP发送所述终端的身份信息;
(d)所述IDP服务器对所述身份信息进行验证;
(e)所述IDP服务器向所述业务服务器发送身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果;
(f)所述业务服务器根据所述终端的身份认证结果决定是否对所述终端的业务请求授权。
应用实例3
以下给出终端向3个业务服务器请求业务的应用实例,具体流程如图6所示,包括:
(601)终端向业务C(如IPTV业务)的业务服务器提出业务请求,携带的参数有终端的身份标识AID;
(602)业务C的业务服务器向IDP服务器请求身份认证服务,携带的参数有终端的身份标识AID;
(603)IDP服务器向终端发出认证挑战;
(604)终端向IDP服务器请求认证,携带参数有终端的身份标识AID、密码、信任状等身份信息;
(605)IDP服务器对认证参数进行验证;
(606)IDP服务器向业务C的业务服务器反馈终端的认证结果,携带参数有终端的身份标识AID;
(607)业务C的业务服务器根据IDP服务器的认证结果,决定对终端的业务请求是否授权;
(608)如果授权,则建立终端到业务C的业务服务器的接入链路;
(609)开始终端和业务C的业务服务器间的会话,或者说业务C服务器开始给终端提供业务。
(610)终端又请求业务B(如数据业务),终端向业务B的业务服务器提出业务请求,携带的参数有终端的身份标识AID;
(612)业务B的业务服务器向IDP服务器请求身份认证服务,携带的参数有终端的身份标识AID;
(613)IDP服务器检查终端的AID,是否已经经过了验证;
(614)IDP服务器向业务B的业务服务器反馈终端用户的认证结果,携带参数有终端的身份标识AID;
(615)业务B的业务服务器根据IDP服务器的验证结果,决定对终端的业务请求是否授权;
(616)如果授权,则建立终端到业务B的业务服务器的接入链路;
(617)开始终端和业务B的业务服务器间的会话,或者说业务B的业务服务器开始给终端提供业务;
(618)终端又请求业务A(如VOIP业务),终端向业务A的业务服务器提出业务请求,携带的参数有终端的身份标识AID;
(619)业务A的业务服务器向IDP服务器请求身份认证服务,携带的参数有终端的身份标识AID;
(620)IDP服务器检查终端的AID,是否已经经过了验证;
(621)IDP服务器向业务A的业务服务器反馈终端用户的认证结果,携带参数有终端的身份标识AID;
(622)业务A的业务服务器根据IDP服务器的验证结果,建立终端到业务A的业务服务器的接入链路;
(623)开始终端和业务A的业务服务器间的会话,或者说业务A的业务服务器开始给终端提供业务。
首先,现有身份管理系统中,用户标识没有统一的形式,可以是用户自己取的用户名、email地址或手机号码等,不同的身份管理系统,用户标识的形式不一样,因此,本发明方法和系统统一采用表示身份的AID做为标识,可以简化身份管理系统的管理。其次,现有身份管理系统中的IDP标识是基于URL和DNS域名服务系统的,最终控制权在美国,采用AID对IDP进行标识,可以保证国家信息安全。第三,现有身份管理系统的用户标识和IDP标识不能用于互联网上寻址,而本发明AID可采用IPv4/IPv6形式,即IDP的标识采用AID编码的话,可直接用于互联网寻址。

Claims (13)

1.一种身份管理方法,其特征在于,该方法基于标识网实现,终端及身份管理IDP服务器具有表示标识网内身份的身份标识AID,所述终端发起身份服务流程时,所述标识网的接入服务节点ASN利用终端和IDP服务器的AID将终端的身份服务请求发送给所述IDP服务器,所述IDP服务器根据所述身份服务请求实现对所述终端的身份管理;所述AID采用IPv4/IPv6形式。
2.如权利要求1所述的方法,其特征在于:所述终端已知所属的IDP的情况下,所述终端和IDP服务器的AID由所述终端在发送身份服务请求时,提供给所述ASN。
3.如权利要求1所述的方法,其特征在于:所述终端未知所属的IDP服务器的情况下,所述终端的AID由所述终端在发送身份服务请求时提供给所述ASN,所述ASN向监管中心IDM查询为所述终端提供身份服务的IDP服务器,获得所述IDP服务器的身份标识。
4.如权利要求1、2或3所述的方法,其特征在于:所述IDP服务器对所述终端进行身份管理的流程包括:
所述IDP服务器向所述终端发送登录指示,所述终端输入身份信息,所述IDP服务器根据所述终端输入的身份信息进行身份验证;
所述IDP服务器通过所述ASN向所述终端发送身份服务响应,其中携带验证结果。
5.如权利要求1所述的方法,其特征在于:所述身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册和身份信息撤销中的任一种或多种。
6.如权利要求1所述的方法,其特征在于:所述终端向业务服务器提出业务请求时,所述身份管理方法还包括所述业务服务器发起身份认证流程,该身份认证流程包括:
(a)所述业务服务器向所述IDP发送身份认证请求,其中携带所述终端的AID;
(b)所述IDP服务器根据所述终端的AID检查所述终端是否已经通过验证,如已通过验证则执行步骤(e),否则向所述终端发出认证挑战;
(c)所述终端向所述IDP发送所述终端的身份信息;
(d)所述IDP服务器对所述身份信息进行验证;
(e)所述IDP服务器向所述业务服务器发送身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果;
(f)所述业务服务器根据所述终端的身份认证结果决定是否对所述终端的业务请求授权。
7.一种身份管理系统,其特征在于,该系统基于标识网实现,包括终端及身份管理IDP服务器,其中:
所述终端,具有表示标识网内身份的身份标识AID,用于通过ASN向所述IDP服务器发送身份服务请求,其中所述身份服务请求中携带所述终端的AID;还用于向所述IDP服务器发送身份信息;
所述ASN,用于根据终端的AID及IDP服务器的AID实现所述终端与IDP服务器之间的身份服务请求及身份服务响应的路由转发;
所述IDP服务器,具有表示标识网内身份的AID,用于接收所述ASN转发的身份服务请求,以及验证所述终端发送的身份信息,还用于向所述ASN发送身份服务响应,其中携带所述终端的AID及验证结果信息;所述AID采用IPv4/IPv6形式。
8.如权利要求7所述的系统,其特征在于:所述终端已知所属的IDP的情况下,所述终端发送的身份服务请求中还携带所述IDP服务器的AID。
9.如权利要求7所述的系统,其特征在于:该系统还包括监管中心IDM,所述IDM用于管理所述IDP服务器与所属终端的对应关系;与所述终端未知所属的IDP服务器的情况下,所述ASN还用于根据身份服务请求中所述终端的AID向所述IDM查询为所述终端提供身份服务的IDP服务器,获得所述IDP服务器的身份标识。
10.如权利要求7所述的系统,其特征在于:所述身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册或身份信息撤销中的任一种或多种。
11.如权利要求7所述的系统,其特征在于,所述系统还包括业务服务器,用于在所述终端提出业务请求时,向所述IDP服务器发送身份认证请求,其中携带所述终端的AID;以及接收所述IDP服务器发送的身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果,还用于根据所述终端的身份认证结果决定是否对所述终端的业务请求授权;所述IDP服务器根据所述终端的AID决定是否向所述终端发起认证挑战。
12.如权利要求11所述的系统,其特征在于:所述IDP服务器检查是否已有所述终端的身份认证结果信息,如果有,则直接根据所述身份认证结果信息向所述业务服务器发送身份认证响应,否则向所述终端发起认证挑战。
13.如权利要求7所述的系统,其特征在于:所述终端根据所述IDP服务器发送的登录指示或所述IDP服务器发出的认证挑战向所述IDP服务器发送身份信息。
CN201010165120.9A 2010-04-22 2010-04-22 身份管理方法及系统 Active CN102238148B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201010165120.9A CN102238148B (zh) 2010-04-22 2010-04-22 身份管理方法及系统
PCT/CN2010/078832 WO2011131002A1 (zh) 2010-04-22 2010-11-17 身份管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010165120.9A CN102238148B (zh) 2010-04-22 2010-04-22 身份管理方法及系统

Publications (2)

Publication Number Publication Date
CN102238148A CN102238148A (zh) 2011-11-09
CN102238148B true CN102238148B (zh) 2015-10-21

Family

ID=44833668

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010165120.9A Active CN102238148B (zh) 2010-04-22 2010-04-22 身份管理方法及系统

Country Status (2)

Country Link
CN (1) CN102238148B (zh)
WO (1) WO2011131002A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103078932B (zh) * 2012-12-31 2016-01-27 中国移动通信集团江苏有限公司 一种实现通用单点登录的方法、装置和系统
CN105703931A (zh) * 2014-11-26 2016-06-22 中兴通讯股份有限公司 一种标识网网络冗余备份方法及装置
CN105743883B (zh) * 2016-01-21 2019-06-21 兴唐通信科技有限公司 一种网络应用的身份属性获取方法及装置
CN110247917B (zh) * 2019-06-20 2021-09-10 北京百度网讯科技有限公司 用于认证身份的方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1554053A (zh) * 2002-05-20 2004-12-08 ������������ʽ���� 服务提供系统和服务提供方法
CN1656773A (zh) * 2002-05-24 2005-08-17 艾利森电话股份有限公司 用于对服务供应商的服务验证用户的方法
CN101277513A (zh) * 2007-03-27 2008-10-01 厦门致晟科技有限公司 无线移动终端通讯加密的方法
CN101567878A (zh) * 2008-04-26 2009-10-28 华为技术有限公司 提高网络身份认证安全性的方法和装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7802295B2 (en) * 2003-08-11 2010-09-21 Sony Corporation Authentication method, authentication system, and authentication server
CN100428719C (zh) * 2006-01-23 2008-10-22 北京交通大学 一种基于身份与位置分离的互联网接入方法
CN100521660C (zh) * 2007-09-13 2009-07-29 北京交通大学 一种一体化网络移动切换管理的实现方法
CN101119206B (zh) * 2007-09-13 2011-03-02 北京交通大学 基于标识的一体化网络终端统一接入控制方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1554053A (zh) * 2002-05-20 2004-12-08 ������������ʽ���� 服务提供系统和服务提供方法
CN1656773A (zh) * 2002-05-24 2005-08-17 艾利森电话股份有限公司 用于对服务供应商的服务验证用户的方法
CN101277513A (zh) * 2007-03-27 2008-10-01 厦门致晟科技有限公司 无线移动终端通讯加密的方法
CN101567878A (zh) * 2008-04-26 2009-10-28 华为技术有限公司 提高网络身份认证安全性的方法和装置

Also Published As

Publication number Publication date
WO2011131002A1 (zh) 2011-10-27
CN102238148A (zh) 2011-11-09

Similar Documents

Publication Publication Date Title
CN105307108B (zh) 一种物联网信息交互通信方法及系统
AU2020202168B2 (en) Method and system related to authentication of users for accessing data networks
EP2512087B1 (en) Method and system for accessing network through public device
CN105306612A (zh) 获取终端在网络中的标识的方法及管理网元
CN106790251B (zh) 用户接入方法和用户接入系统
CN102045163A (zh) 一种匿名通信的溯源方法及系统
CN103023856A (zh) 单点登录的方法、系统和信息处理方法、系统
CN108990062B (zh) 智能安全Wi-Fi管理方法和系统
KR20020091791A (ko) 통신시스템 관리서버, 무선서버, 모바일 관리서버,정보관리서버
CN102238148B (zh) 身份管理方法及系统
US10791464B2 (en) Method for establishing a secure connection
US20160337859A1 (en) System, methods and apparatuses for providing network access security control
CN101309157B (zh) 一种组播业务管理方法及其装置
CN104253798A (zh) 一种网络安全监控方法和系统
US20130125246A1 (en) Method and system for accessing network on public device
CN103516760A (zh) 一种虚拟网络系统接入方法、装置及系统
CN104883339A (zh) 一种用户隐私保护的方法、设备和系统
EP2127198B1 (en) Authentication and encryption protocol in wireless communications system
CN101031133B (zh) 一种确定移动节点归属的家乡代理的方法及装置
US11196666B2 (en) Receiver directed anonymization of identifier flows in identity enabled networks
CN101355578B (zh) 基于radius和diameter协议的移动ip应用的兼容方法及系统
CN102487386B (zh) 身份位置分离网络的阻断方法和系统
CN114143113B (zh) 适用于IPv6/IPv4访问服务的安全溯源装置及方法
CN107707685A (zh) 一种无线路由器访问控制方法
EP3879866B1 (en) Method for establishing a secure connection for the internet of things

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201216

Address after: Room 705, 7 / F, room 9, 1699, Zuchongzhi South Road, Kunshan City, Suzhou City, Jiangsu Province

Patentee after: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd.

Address before: 518057 Ministry of justice, Zhongxing building, South Science and technology road, Nanshan District hi tech Industrial Park, Shenzhen, Guangdong

Patentee before: ZTE Corp.

CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: 215300 rooms 107 and 108, area C, 55 Xiaxi street, Kunshan Development Zone, Suzhou City, Jiangsu Province

Patentee after: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd.

Address before: Room 705, 7 / F, room 9, 1699, Zuchongzhi South Road, Kunshan City, Suzhou City, Jiangsu Province

Patentee before: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20231108

Address after: Room 315, Room 1, Third Avenue, Kunshan Development Zone, Suzhou City, Jiangsu Province, 215335

Patentee after: Zhongka Digital Technology (Kunshan) Co.,Ltd.

Address before: 215300 rooms 107 and 108, area C, 55 Xiaxi street, Kunshan Development Zone, Suzhou City, Jiangsu Province

Patentee before: Kunshan chuangzhihui Intellectual Property Operation Co.,Ltd.