CN103067337B - 一种身份联合的方法、IdP、SP及系统 - Google Patents
一种身份联合的方法、IdP、SP及系统 Download PDFInfo
- Publication number
- CN103067337B CN103067337B CN201110318815.0A CN201110318815A CN103067337B CN 103067337 B CN103067337 B CN 103067337B CN 201110318815 A CN201110318815 A CN 201110318815A CN 103067337 B CN103067337 B CN 103067337B
- Authority
- CN
- China
- Prior art keywords
- identity
- idp
- terminal
- user
- terminal use
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种身份联合的方法、IdP、SP及系统,使得运营商既可以为用户提供单点登录业务。所述方法包括:终端在访问SP提供的业务过程中,位于运营商网络的IdP在确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识,关联该终端用户在IdP的身份标识和SP的身份标识,生成肯定断言发送给SP;SP在接收到肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战,用户登录成功后,SP将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联。该方法一方面提高了安全性,另一方面,保证了用户业务的连续性,提高用户体验。
Description
技术领域
本发明涉及网络通信领域,尤其涉及一种身份联合的方法、IdP、SP及系统。
背景技术
在TCP/IP体系中,最为核心的是网络层的IP协议,通过IP地址实现用户之间的相互访问。各种应用,如网络浏览、邮件收发、即时通讯等,都承载在应用层协议之上。
用户在使用这些业务之前必须通过电信运营商提供的基础网络接入互联网,不同的用户可能有不同的接入方式,如xDSL、光纤、移动接入等等。一般情况下,用户终端都会获取到一个IP地址,用户此后就通过这个IP地址访问互联网上的各种应用,这个IP地址就相当于用户的临时身份。
由于IP地址的前缀部分表示用户当前所在的子网,当用户位置发生变化时,必须分配不同的IP地址,否则路由器无法正确地把数据包转发给用户。而因为IP地址具有身份和位置的双重属性,同时用户每次获取到的IP地址不一定相同,从而无法作为用户的长期身份标识,因此互联网上的应用系统必须自建一套用户身份标识系统,即通常所说的用户账号系统。
由此可见,用户在访问互联网上的应用时存在二次认证的情况,运营商在用户接入互联网时进行一次认证,互联网上的应用系统在用户访问时进行自身的认证。
随着信息技术和网络技术的迅猛发展,互联网上的应用系统也越来越多。由于这些应用系统相互独立,用户在使用每一个系统之前必须先进行注册登记,并按照相应的身份进行登录,为此用户必须记住每个应用系统的用户名和密码,这给用户带来了很大的麻烦。
发明内容
本发明要解决的技术问题是提供一种身份联合的方法、IdP、SP及系统,使得运营商既可以为用户提供单点登录业务。
为解决上述技术问题,本发明提供了一种身份联合的方法,包括:
终端在访问业务提供服务器(SP)提供的业务过程中,位于运营商网络的身份提供服务器(IdP)在确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识,关联该终端用户在IdP的身份标识和SP的身份标识,生成肯定断言发送给SP;
SP在接收到肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战,用户登录成功后,SP将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联。
进一步地,所述IdP生成的终端用户在IdP的身份标识是永久身份标识或者是临时身份标识。
进一步地,所述IdP生成的用户在IdP的身份标识是临时身份标识时,所述IdP还为该临时身份标识生成生命期。
进一步地,所述IdP确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识包括:
所述IdP确认终端通过认证后,主动为该终端用户生成该终端用户在IdP的身份标识;或者,
所述IdP在与SP建立安全关联,并确认终端通过认证后,在接收到SP发送的认证请求后再为该终端用户生成该终端用户在IdP的身份标识。
进一步地,所述SP向用户发起要求登录的挑战之前,所述方法还包括:
SP先询问用户是否愿意关联本地账号,在用户同意后,向用户发起要求登录的挑战。
进一步地,IdP确认终端通过认证前,所述方法还包括:终端与接入服务节点(ASR)以及认证中心进行接入认证后,与所述ASR生成主会话密钥;
所述IdP在对终端进行认证时,通过终端的接入标识和主会话密钥对终端进行认证。
进一步地,所述SP发送的认证请求中包括随机数,所述随机数用于临时标识用户在SP的身份信息和用于防范重放攻击。
进一步地,所述IdP主动为该终端用户生成该终端用户在IdP的身份标识,生成肯定断言发送给SP,所述肯定断言中包括随机数,所述随机数用于防范重放攻击。
进一步地,终端再次访问该SP提供的业务时,IdP不再与该终端交互进行认证,SP不再要求该终端用户登录。
为解决上述技术问题,本发明还提供了一种实现身份联合的身份提供服务器(IdP),所述IdP位于运营商网络,包括认证模块、身份标识生成模块、关联模块和断言生成模块,其中:
所述认证模块,用于终端在访问业务提供服务器(SP)提供的业务过程中,确认终端是否通过认证;
所述身份标识生成模块,用于在认证模块确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识;
所述关联模块,用于关联该终端用户在IdP的身份标识和SP的身份标识;
所述断言生成模块,用于生成肯定断言并发送给SP。
进一步地,所述身份标识生成模块为所述终端用户生成的该终端用户在IdP的身份标识是永久身份标识;或者
所述身份标识生成模块为所述终端用户生成的该终端用户在IdP的身份标识是临时身份标识,并生成该临时身份标识的生命期。
进一步地,所述身份标识生成模块是用于采用以下方式在认证模块确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识:
所述身份标识生成模块在认证模块确认终端通过认证后,主动为该终端用户生成该终端用户在IdP的身份标识;或者,
所述身份标识生成模块在所述IdP与SP建立安全关联,并确认终端通过认证后,在接收到SP发送的认证请求后再为该终端用户生成该终端用户在IdP的身份标识。
进一步地,所述认证模块是用于采用以下方式对终端进行认证:通过终端的接入标识和主会话密钥对终端进行认证,所述主会话密钥是终端与接入服务节点(ASR)以及认证中心进行接入认证后生成的。
进一步地,所述断言生成模块生成的肯定断言中包括随机数,所述随机数用于防范重放攻击。
为解决上述技术问题,本发明还提供了一种实现身份联合的业务提供服务器(SP),包括认证检查模块、关联模块,其中:
所述认证检查模块,用于在接收到身份提供服务器(IdP)发送的肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战;
所述关联模块,用于在用户登录成功后,将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联。
进一步地,所述认证检查模块,还用于向用户发起要求登录的挑战之前,先询问用户是否愿意关联本地账号,在用户同意后,向用户发起要求登录的挑战。
进一步地,所述认证检查模块还用于在IdP与SP建立安全关联后向IdP发送认证请求,所述认证请求中包括随机数,所述随机数用于临时标识用户在SP的身份信息和用于防范重放攻击。
为解决上述技术问题,本发明还提供了一种实现身份联合的系统,包括位于运营商网络的身份提供服务器(IdP)和业务提供服务器(SP),其中:
所述IdP,用于终端在访问SP提供的业务过程中,在确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识,关联该终端用户在IdP的身份标识和SP的身份标识,生成肯定断言发送给SP;
所述SP,用于在接收到肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战,用户登录成功后,SP将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联。
本发明实施例将IdP部署在运营商网络中,并将用户在运营商承载层的身份和用户在SP业务层的身份进行关联,从而实现用户在运营商处的身份标识与在SP处的身份标识之间的联合。用户在运营商承载层的身份可以是终端标识(如移动网络中的IMSI、MSISDN等),也可以是固网中的ADSL账号等。本发明结合身份联合技术,使得运营商既能为用户提供单点登录业务,而用户又能继承原有的账号信息。一方面提高了安全性,另一方面,保证了用户业务的连续性,提高用户体验。
附图说明
图1为本发明所涉及的网元架构示意图;
图2为本发明实施例1身份联合的方法流程示意图;
图3为本发明实施例2由SP发起的身份联合的方法流程示意图;
图4为本发明实施例3由IdP发起的身份联合的方法流程示意图;
图5为本发明实施例4中IdP和SP的结构示意图。
具体实施方式
由于用户在访问互联网应用之前,天然地需要接入运营商网络,因而可以将身份提供服务器部署在运营商网络中。具有如下优势:通过运营商网络的接入认证,能够很好的保证安全性,同时,将身份提供服务器IdP部署在运营商网络,将不需要用户重新进行注册登记,易于使用,并且具有优质成熟的用户消费群体。
另一方面,由于用户在主要不同的互联网应用系统中可能已经存在注册账号,并且该注册账号已经携带了一些对用户有用的信息,这种情况下,用户通常希望能够在结合使用单点登录技术便利性的情况下,继续使用原有账号里的相关信息。
因此,当身份管理技术中的身份提供服务器IdP部署在运营商网络中时,可以结合身份联合技术,将用户在运营商承载层的身份与用户在互联网应用系统的应用账号身份进行临时或永久关联,这样运营商既能为用户提供单点登录业务,而用户又能继承原有的账号信息,一方面提高了安全性,另一方面,保证了用户业务的连续性,提高用户体验。
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
为了更好的理解本发明,首先介绍一下本发明所涉及的网元架构。图1为本发明所涉及的网元架构示意图。
网元101为用户终端UE(User Equipment),接入网络的终端可以是移动终端、固定终端中的一种或多种,如手机、固定电话、电脑和应用服务器等;
网元102为接入服务路由器ASR(Access Service Router),用于为用户终端提供接入服务、维护终端与网络的连接,为终端分配RID(Routing Identifier,路由标识),并到ILR/PTF登记注册和查询终端的RID,维护AID(Access Identifier,接入标识)-RID映射信息,以及实现数据报文的路由和转发;
网元103为认证中心,用于记录本网络终端用户的属性信息如用户类别、认证信息和用户服务等级等,完成对终端的接入认证和授权,还可具有计费功能。认证中心支持终端与网络间的双向认证,可产生用于认证、完整性保护和机密性保护的用户安全信息;
网元104为身份提供服务器IdP(Identity Provider),向业务提供服务器SP提供对终端用户的认证断言,并向SP进行认证,检查SP的合法性。通过与认证中心的接口查询终端用户相应的属性信息,通过与名字映射服务器NMS的接口,提供终端用户的假名服务;
网元105为互联服务路由器ISR(Interconnect Service Router),用于查询、维护本网络终端的AID-RID映射信息,封装、路由和转发本网络与传统IP网络之间往来的数据报文、实现本网络与传统IP网络之间的互联互通功能,其中包括格式转换模块,用于将传统IP网络发来的数据报文中包含的本网络终端的IPv4/IPv6地址转换成对应的AID,以及将本网络终端的AID转换成IPv4/IPv6地址格式后,再发送到传统IP网络的终端;
网元106为业务提供服务器SP(Service Provider),是互联网上为终端用户提供业务的应用系统。
其中身份提供服务器IdP和业务提供服务器SP的具体描述参见实施例4及附图5。
实施例1
图2为本发明实施例身份联合的方法流程示意图,如图2所示,所述方法包括以下步骤:
步骤201:终端在访问SP提供的业务过程中,位于运营商网络的IdP确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识,并关联该终端用户在IdP的身份标识与该SP的身份标识,生成肯定断言发送给SP;
具体地,肯定断言中包含SP的身份标识、IdP的身份标识和终端用户在IdP的身份标识,以及认证结果(只要接收到肯定断言就认为终端认证成功)、签名算法、签名结果等等,目的是告诉SP,该用户或终端已经成功通过了IdP的认证,是可信的,并且这些身份信息,SP可以用于随后的本地关联过程。而上述的身份标识、签名信息等是为了让SP验证断言消息的完整性,也就是断言消息没有被篡改、伪造,是合法的断言消息。
IdP将SP的身份标识与终端用户在IdP的身份标识进行关联后,用户下次再访问该SP提供的业务时,IdP可不再对其进行认证。
生成的终端用户在IdP的身份标识可以是永久标识也可以是临时标识,如果是临时标识,还可以为该临时身份标识生成生命期。
终端在访问SP提供的业务过程中,IdP确认终端通过认证后,IdP可以主动生成该终端用户在IdP的身份标识;或者,终端在访问SP提供的业务过程中,IdP可以在与SP建立安全关联,接收到SP发送的认证请求后再生成该终端用户在IdP的身份标识并进行关联。
步骤202:SP在接收到肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战,用户登录成功后,SP将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联。
SP在接收到肯定断言并验证其合法性通过后,检查如果存在关联的本地账号,则直接为该用户提供业务。在检查如果不存在关联的本地账号时,向用户发起要求登录的挑战之前,SP可以先询问用户是否愿意关联本地账号,如果用户同意,则进行关联,如果用户不同意,则进行正常的登录流程。
通过上述流程从而实现用户在运营商处的身份标识与在SP处的身份标识之间的联合。这样运营商既能为用户提供单点登录业务,而用户又能继承原有的账号信息。关联后,用户再访问相同的SP时,IdP不再与UE进行交互认证过程,本地确认该UE已经认证通过后,重定向到SP,SP根据关联账号信息为UE提供业务,不再要求UE进行登录。用户减少登录次数或者不再需要输入用户名密码进行登录,提高了安全性。另一方面,由于进行了关联,保证了用户业务的连续性,提高了用户体验。
实施例2
图3为由SP发起的实现实施例2流程的示意图,如图3所示,包括以下步骤:
步骤301:用户终端UE和接入服务节点ASR,以及认证中心之间进行接入认证,认证通过后,身份位置分离网络为用户分配接入标识AID;
此后,用户终端发送的报文通过AID进行传输,ASR为终端用户分配RID,并通过RID进行路由选路找到ISR,ISR从报文中获取终端用户的AID,并转换成IPv4/IPv6地址发送到传统IP网络。
步骤302:UE和ASR根据用户接入认证派生出主会话密钥MSK,用于随后的终端认证;
步骤303:UE向SP发起业务访问请求;
步骤304:SP获取相应IdP地址,并生成认证请求消息;
注,获取IdP地址的方式,可以通过UE选择或IdP发现机制等实现。
步骤305:SP建立自身和IdP之间的安全关联(SA),双方生成用于随后进行肯定断言消息签名和验证的共享密钥;
步骤306:SP将认证请求消息重定向到IdP,重定向消息中包含认证请求断言,断言中包括SP身份标识、IdP身份标识,随机数nonce;
该随机数nonce用于临时标识用户在SP的身份信息,以及用于防范重放攻击。
步骤307:IdP通过终端标识AID和主会话密钥MSK对终端UE进行认证;
由于IdP和ASR同在标识网域内,因此可以安全地从ASR获取到主会话密钥MSK。
此外,由于UE和网络之间已经通过接入认证协商出会话密钥(如机密性密钥CK/完整性密钥IK)等,因此UE和IdP之间的通信是受到保护的。
步骤308:IdP确认终端通过认证,则生成该终端用户的临时身份标识(或永久身份标识)UEidp,并将终端标识(如AID、MSISDN等)、SP身份标识(Identity)、IdP生成的终端用户在IdP的临时身份标识UEidp进行关联(如下表),并产生经过签名的SAML肯定断言;
注,如果UEidp为终端永久标识,则lifetime字段值为null。
步骤309:IdP将SAML肯定断言重定向到SP,肯定断言中携带IdP身份标识、终端用户在IdP的临时身份标识UEidp、lifetime、SP的身份标识、随机数nonce;
步骤310:SP检查SAML肯定断言合法性,验证通过后,检查该UEidp在SP上是否有关联的SP本地用户账号,如果没有,则提示用户是否关联账号,若关联,则要求用户登录;
检查过程如下:1)随机数nonce、SP身份标识和IdP身份标识与请求认证的身份标识是否一致;2)随机数nonce是否重复接收到;3)通过签名验证断言消息本身是否被篡改,若上述检查都通过,则确认肯定断言消息验证通过。否则验证失败。
步骤311:SP向用户终端发起要求登录的挑战;
步骤312:用户终端向SP发起用户登录响应,响应中可能为用户名/口令,或令牌等登录方式;
步骤313:用户登录成功后,SP将IdP身份标识、终端用户在SP上的身份标识、终端用户在IdP上的临时身份标识进行关联(如下表);
步骤314:SP向用户终端返回业务访问响应,此后,在lifetime生命周期内,通过IdP单点登录的终端不需要重新在SP输入用户名/口令、或令牌等就可以直接使用原有账户进行操作等。
实施例3
图4为由SP发起的实现实施例2流程的示意图,如图4所示,包括以下步骤:
步骤401:用户终端UE和接入服务节点ASR,以及认证中心之间进行接入认证,认证通过后,身份位置分离网络为用户分配接入标识AID;
此后,终端用户发送的报文通过AID进行传输,ASR为终端用户分配RID,并通过RID进行路由选路找到ISR,ISR从报文中获取终端用户的AID,并转换成IPv4/IPv6地址发送到传统IP网络。
步骤402:UE和ASR根据用户接入认证派生出主会话密钥MSK;
步骤403:UE向IdP发起业务访问请求;
步骤404:UE在IdP提供的界面上选择将要访问的SP;
步骤405:IdP和SP之间建立安全关联,双方生成用于随后进行肯定断言消息签名的共享密钥;
步骤406:IdP通过终端标识AID和主会话密钥MSK对终端UE进行认证;
由于IdP和ASR同在标识网域内,因此可以安全地从ASR获取到主会话密钥MSK。
此外,由于UE和网络之间已经通过接入认证协商出会话密钥(如机密性密钥CK/完整性密钥IK)等,因此UE和IdP之间的通信是受到保护的。
步骤407:IdP确认终端通过认证,则生成该终端用户在IdP的临时身份标识(或永久身份标识)UEidp,并将终端标识(如AID、MSISDN等)、SP身份标识、终端用户在IdP上的临时或永久身份标识UEidp进行关联(如下表),并产生经过签名的SAML肯定断言;
步骤408:IdP将SAML肯定断言重定向到SP,断言中携带IdP身份标识、终端用户在IdP上的临时身份标识UEidp、lifetime、SP的身份标识、随机数nonce;
本实施例中随机数是由IdP生成的。由于肯定断言中携带了UE或用户的身份,因此,本实施例中随机数仅用于让SP通过接收到的随机数是否重复来判断肯定断言消息是否被攻击者利用进行重放攻击。
步骤409:SP检查SAML肯定断言合法性,验证通过后,检查该UEidp在SP上是否有关联的SP本地用户账号,如果没有,则提示用户是否关联账号,若关联,则要求用户登录;
检查过程如下:1)SP身份标识、IdP身份标识与SP上存储的SP和IdP身份标识是否一致;2)随机数nonce是否重复接收到;3)通过签名验证断言消息本身是否被篡改,若上述检查都通过,则确认肯定断言消息验证通过。否则验证失败。
步骤410:SP向用户终端发起要求登录的挑战;
步骤411:用户终端向SP发起用户登录响应,响应中可能为用户名/口令,或令牌等登录方式;
步骤412:用户登录成功后,SP将IdP身份标识、终端用户在SP上的身份标识、终端用户在IdP上的临时身份标识进行关联(如下表);
步骤413:SP向用户终端返回业务访问响应,此后,在lifetime生命周期内,通过IdP单点登录的终端不需要重新在SP输入用户名/口令、或令牌等就可以直接使用原有账户进行操作等。
实施例4
本实施例介绍实现上述方法的IdP和SP,以及包含该IdP和SP的系统。如图5所示,该实现身份联合的系统,包括位于运营商网络的身份提供服务器(IdP)和业务提供服务器(SP),其中:
该IdP,用于终端在访问SP提供的业务过程中,在确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识,关联该终端用户在IdP的身份标识和SP的身份标识,生成肯定断言发送给SP;
该SP,用于在接收到肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战,用户登录成功后,SP将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联。
具体地,IdP包括认证模块、身份标识生成模块、第一关联模块和断言生成模块,其中:
该认证模块,用于终端在访问SP提供的业务过程中,确认终端是否通过认证;
该身份标识生成模块,用于在认证模块确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识;
该第一关联模块,用于关联该终端用户在IdP的身份标识和SP的身份标识;
该断言生成模块,用于生成肯定断言并发送给SP。
优选地,身份标识生成模块为所述终端用户生成的该终端用户在IdP的身份标识是永久身份标识;或者,为所述终端用户生成的该终端用户在IdP的身份标识是临时身份标识,并生成该临时身份标识的生命期。
优选地,该身份标识生成模块是用于采用以下方式在认证模块确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识:在认证模块确认终端通过认证后,主动为该终端用户生成该终端用户在IdP的身份标识;或者,在IdP与SP建立安全关联,并确认终端通过认证后,在接收到SP发送的认证请求后再为该终端用户生成该终端用户在IdP的身份标识。
优选地,该认证模块是用于采用以下方式对终端进行认证:通过终端的接入标识和主会话密钥对终端进行认证,所述主会话密钥是终端与接入服务节点(ASR)以及认证中心进行接入认证后生成的。
优选地,该断言生成模块生成的肯定断言中包括用于防范重放攻击的随机数。
SP包括认证检查模块、第二关联模块,其中:
该认证检查模块,用于在接收到IdP发送的肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战;
该第二关联模块,用于在用户登录成功后,将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联。
优选地,所述认证检查模块,还用于向用户发起要求登录的挑战之前,先询问用户是否愿意关联本地账号,在用户同意后,向用户发起要求登录的挑战。
优选地,所述认证检查模块还用于在IdP与SP建立安全关联后向IdP发送认证请求,所述认证请求中包括随机数,所述随机数用于临时标识用户在SP的身份信息和用于防范重放攻击。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (18)
1.一种身份联合的方法,包括:
终端在访问业务提供服务器SP提供的业务过程中,位于运营商网络的身份提供服务器IdP在确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识,关联该终端用户在IdP的身份标识和SP的身份标识,生成肯定断言发送给SP;
SP在接收到肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战,用户登录成功后,SP将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联;
IdP确认终端通过认证前,所述方法还包括:终端与接入服务节点ASR以及认证中心进行接入认证后,与所述ASR生成主会话密钥;
所述IdP在对终端进行认证时,通过终端的接入标识和主会话密钥对终端进行认证。
2.如权利要求1所述的方法,其特征在于:
所述IdP生成的终端用户在IdP的身份标识是永久身份标识或者是临时身份标识。
3.如权利要求2所述的方法,其特征在于:
所述IdP生成的用户在IdP的身份标识是临时身份标识时,所述IdP还为该临时身份标识生成生命期。
4.如权利要求1或2或3所述的方法,其特征在于:
所述IdP确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识包括:
所述IdP确认终端通过认证后,主动为该终端用户生成该终端用户在IdP的身份标识;或者,
所述IdP在与SP建立安全关联,并确认终端通过认证后,在接收到SP发送的认证请求后再为该终端用户生成该终端用户在IdP的身份标识。
5.如权利要求1或2或3所述的方法,其特征在于:
所述SP向用户发起要求登录的挑战之前,所述方法还包括:
SP先询问用户是否愿意关联本地账号,在用户同意后,向用户发起要求登录的挑战。
6.如权利要求4所述的方法,其特征在于:
所述SP发送的认证请求中包括随机数,所述随机数用于临时标识用户在SP的身份信息和用于防范重放攻击。
7.如权利要求4所述的方法,其特征在于:
所述IdP主动为该终端用户生成该终端用户在IdP的身份标识,生成肯定断言发送给SP,所述肯定断言中包括随机数,所述随机数用于防范重放攻击。
8.如权利要求1或2或3所述的方法,其特征在于:
终端再次访问该SP提供的业务时,IdP不再与该终端交互进行认证,SP不再要求该终端用户登录。
9.一种实现身份联合的身份提供服务器IdP,所述IdP位于运营商网络,包括认证模块、身份标识生成模块、关联模块和断言生成模块,其中:
所述认证模块,用于终端在访问业务提供服务器SP提供的业务过程中,确认终端是否通过认证;
所述身份标识生成模块,用于在认证模块确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识;
所述关联模块,用于关联该终端用户在IdP的身份标识和SP的身份标识;
所述断言生成模块,用于生成肯定断言并发送给SP;
所述认证模块是用于采用以下方式对终端进行认证:通过终端的接入标识和主会话密钥对终端进行认证,所述主会话密钥是终端与接入服务节点ASR以及认证中心进行接入认证后生成的。
10.如权利要求9所述的身份提供服务器,其特征在于:
所述身份标识生成模块为所述终端用户生成的该终端用户在IdP的身份标识是永久身份标识;或者
所述身份标识生成模块为所述终端用户生成的该终端用户在IdP的身份标识是临时身份标识,并生成该临时身份标识的生命期。
11.如权利要求9或10所述的身份提供服务器,其特征在于:
所述身份标识生成模块是用于采用以下方式在认证模块确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识:
所述身份标识生成模块在认证模块确认终端通过认证后,主动为该终端用户生成该终端用户在IdP的身份标识;或者,
所述身份标识生成模块在所述IdP与SP建立安全关联,并确认终端通过认证后,在接收到SP发送的认证请求后再为该终端用户生成该终端用户在IdP的身份标识。
12.如权利要求11所述的身份提供服务器,其特征在于:
所述断言生成模块生成的肯定断言中包括随机数,所述随机数用于防范重放攻击。
13.一种实现身份联合的业务提供服务器SP,包括认证检查模块、关联模块,其中:
所述认证检查模块,用于在接收到身份提供服务器IdP发送的肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战;
所述关联模块,用于在用户登录成功后,将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联;
所述IdP包括认证模块,其中:
所述认证模块是用于采用以下方式对终端进行认证:通过终端的接入标识和主会话密钥对终端进行认证,所述主会话密钥是终端与接入服务节点ASR以及认证中心进行接入认证后生成的。
14.如权利要求13所述的业务提供服务器,其特征在于:
所述认证检查模块,还用于向用户发起要求登录的挑战之前,先询问用户是否愿意关联本地账号,在用户同意后,向用户发起要求登录的挑战。
15.如权利要求13或14所述的业务提供服务器,其特征在于:
所述认证检查模块还用于在IdP与SP建立安全关联后向IdP发送认证请求,所述认证请求中包括随机数,所述随机数用于临时标识用户在SP的身份信息和用于防范重放攻击。
16.一种实现身份联合的系统,包括位于运营商网络的身份提供服务器IdP和业务提供服务器SP,其中:
所述IdP,用于终端在访问SP提供的业务过程中,在确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识,关联该终端用户在IdP的身份标识和SP的身份标识,生成肯定断言发送给SP;
所述SP,用于在接收到肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战,用户登录成功后,SP将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联;
所述IdP包括认证模块,其中:
所述认证模块是用于采用以下方式对终端进行认证:通过终端的接入标识和主会话密钥对终端进行认证,所述主会话密钥是终端与接入服务节点ASR以及认证中心进行接入认证后生成的。
17.如权利要求16所述的系统,其特征在于:
所述IdP包括身份标识生成模块、第一关联模块和断言生成模块,其中:
所述认证模块,用于终端在访问SP提供的业务过程中,确认终端是否通过认证;
所述身份标识生成模块,用于在认证模块确认终端通过认证后,为该终端用户生成该终端用户在IdP的身份标识;
所述第一关联模块,用于关联该终端用户在IdP的身份标识和SP的身份标识;
所述断言生成模块,用于生成肯定断言并发送给SP。
18.如权利要求16或17所述的系统,其特征在于:
所述SP包括认证检查模块、第二关联模块,其中:
所述认证检查模块,用于在接收到身份提供服务器IdP发送的肯定断言并验证其合法性通过后,检查如果不存在关联的本地账号,则向用户发起要求登录的挑战;
所述第二关联模块,用于在用户登录成功后,将终端用户在SP本地的身份标识、IdP的身份标识,以及终端用户在IdP的身份标识进行关联。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110318815.0A CN103067337B (zh) | 2011-10-19 | 2011-10-19 | 一种身份联合的方法、IdP、SP及系统 |
PCT/CN2012/082471 WO2013056619A1 (zh) | 2011-10-19 | 2012-09-29 | 一种身份联合的方法、IdP、SP及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110318815.0A CN103067337B (zh) | 2011-10-19 | 2011-10-19 | 一种身份联合的方法、IdP、SP及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103067337A CN103067337A (zh) | 2013-04-24 |
CN103067337B true CN103067337B (zh) | 2017-02-15 |
Family
ID=48109803
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110318815.0A Expired - Fee Related CN103067337B (zh) | 2011-10-19 | 2011-10-19 | 一种身份联合的方法、IdP、SP及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN103067337B (zh) |
WO (1) | WO2013056619A1 (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103595618B (zh) * | 2013-11-08 | 2016-12-14 | 北京奇立软件技术有限公司 | 一种用于保持即时通信会话连续性的方法、服务器及系统 |
US9525664B2 (en) * | 2014-02-28 | 2016-12-20 | Symantec Corporation | Systems and methods for providing secure access to local network devices |
US9736165B2 (en) | 2015-05-29 | 2017-08-15 | At&T Intellectual Property I, L.P. | Centralized authentication for granting access to online services |
US9648034B2 (en) * | 2015-09-05 | 2017-05-09 | Nudata Security Inc. | Systems and methods for detecting and scoring anomalies |
CN108781361B (zh) | 2016-03-15 | 2020-09-08 | 华为技术有限公司 | 用于处理数据包的方法及设备 |
CN106209785A (zh) * | 2016-06-28 | 2016-12-07 | 浪潮电子信息产业股份有限公司 | 一种多账户绑定方法、装置及系统 |
CN107770770A (zh) * | 2016-08-16 | 2018-03-06 | 电信科学技术研究院 | 一种接入认证方法、ue和接入设备 |
CN107872455A (zh) * | 2017-11-09 | 2018-04-03 | 武汉虹旭信息技术有限责任公司 | 一种跨域单点登录系统及其方法 |
CN109388937B (zh) * | 2018-11-05 | 2022-07-12 | 用友网络科技股份有限公司 | 一种多因子身份认证的单点登录方法及登录系统 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
CN1866822A (zh) * | 2005-05-16 | 2006-11-22 | 联想(北京)有限公司 | 一种统一认证的实现方法 |
CN101388773A (zh) * | 2007-09-12 | 2009-03-18 | 中国移动通信集团公司 | 身份管理平台、业务服务器、统一登录系统及方法 |
CN101399813A (zh) * | 2007-09-24 | 2009-04-01 | 中国移动通信集团公司 | 身份联合方法 |
CN101998407A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
CN102045166A (zh) * | 2009-10-13 | 2011-05-04 | 中国移动通信集团福建有限公司 | 单点登录的方法及系统 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040002878A1 (en) * | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
CN101719238B (zh) * | 2009-11-30 | 2013-09-18 | 中国建设银行股份有限公司 | 一种统一身份管理、认证和授权的方法及系统 |
CN101729540B (zh) * | 2009-12-02 | 2012-06-06 | 江西省电力信息通讯有限公司 | 基于应用层身份信息同步单点登录方法 |
CN102111410B (zh) * | 2011-01-13 | 2013-07-03 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
-
2011
- 2011-10-19 CN CN201110318815.0A patent/CN103067337B/zh not_active Expired - Fee Related
-
2012
- 2012-09-29 WO PCT/CN2012/082471 patent/WO2013056619A1/zh active Application Filing
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1805336A (zh) * | 2005-01-12 | 2006-07-19 | 北京航空航天大学 | 面向asp模式的单一登录方法及系统 |
CN1866822A (zh) * | 2005-05-16 | 2006-11-22 | 联想(北京)有限公司 | 一种统一认证的实现方法 |
CN101388773A (zh) * | 2007-09-12 | 2009-03-18 | 中国移动通信集团公司 | 身份管理平台、业务服务器、统一登录系统及方法 |
CN101399813A (zh) * | 2007-09-24 | 2009-04-01 | 中国移动通信集团公司 | 身份联合方法 |
CN101998407A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
CN102045166A (zh) * | 2009-10-13 | 2011-05-04 | 中国移动通信集团福建有限公司 | 单点登录的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
WO2013056619A1 (zh) | 2013-04-25 |
CN103067337A (zh) | 2013-04-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
CN1943203B (zh) | 用于验证实体的第一标识和第二标识的方法 | |
EP3120591B1 (en) | User identifier based device, identity and activity management system | |
US20160105410A1 (en) | OMA DM Based Terminal Authentication Method, Terminal and Server | |
US20120167185A1 (en) | Registration and network access control | |
CA2557143C (en) | Trust inheritance in network authentication | |
CN103023856B (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
WO2007128134A1 (en) | Secure wireless guest access | |
CN108011873A (zh) | 一种基于集合覆盖的非法连接判断方法 | |
US20130086634A1 (en) | Grouping Multiple Network Addresses of a Subscriber into a Single Communication Session | |
CN103051594A (zh) | 一种标识网端到端安全建立的方法、网络侧设备及系统 | |
CN110474922A (zh) | 一种通信方法、pc系统及接入控制路由器 | |
WO2011082583A1 (zh) | 数据报文分类处理的实现方法、网络、终端及互通服务节点 | |
WO2011088694A1 (zh) | 一种在公共设备上接入网络的方法及系统 | |
WO2013023475A1 (zh) | 共享网络中用户数据的方法和身份提供服务器 | |
CN102694779B (zh) | 组合认证系统及认证方法 | |
KR20120044381A (ko) | 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치 | |
CN117278988A (zh) | 一种5g高安全专网应用可信身份双重认证接入方法、网元和系统 | |
WO2011131002A1 (zh) | 身份管理方法及系统 | |
CN106453400B (zh) | 一种认证方法及系统 | |
CN109361659A (zh) | 一种认证方法及装置 | |
CN103200147B (zh) | 第三方业务的请求方法及装置 | |
US20140033282A1 (en) | Putting in place a security association of gba type for a terminal in a mobile telecommunications network | |
JP2006229699A (ja) | セッション制御サービス提供システム | |
US9668130B2 (en) | Putting in place a security association of GBA type for a terminal in a mobile telecommunications network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170215 Termination date: 20191019 |