专利名称:一种用户身份管理方法、装置和系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种用户身份管理方法、装置和系统。
背景技术:
随着通信网络的发展和电信业务的不断普及,用户的需求已经从单纯的 IT (Information Technology, f言;窗、技术)应用禾口 CT (Communication Technology,通/[言技 术)应用转向 ICT(Information and Communication Technology,信;|、ilf言技术)融合通 信,电信网与互联网之间的界限越来越模糊,互联网应用逐渐提供了部分原有电信业务能 力。为应对来自互联网的挑战,电信运营商选择IMS(IP Multimedia Subsystem,互联 网协议多媒体子系统)来增强网络和业务能力。IMS提供了基于多种接入方式统一用户体 验、强大的多媒体交互能力、灵活的会话控制方式。在互联网领域,基于web 2.0技术产生 了大量的互联网应用,包括社区、博客和维基等,以开放化、多样化、个性化、互动性和趣味 性吸引了大量的用户。IMS的通信和多媒体处理能力与互联网的开放业务相结合是电信领 域的发展方向。统一身份认证和用户隐私保护是融合业务的关键,互联网上大量存在统一身份认 证的例子。以MSN为例,用户登录MSN Messenger客户端后,点击“个人空间”的链接,可直接 跳转到其MSN Space中的个人空间Web页面。但是,上述跳转是基于MSN的Passport机制 实现的,即用户使用同一个Email地址注册了 MSN的Passport,在登录客户端时,会使用该 Email地址作为账号到MSN的Passport服务器上进行身份认证,身份认证通过后,Passport 服务器将向用户颁发一个凭证;当用户跳转到个人空间时,需要携带该凭证和用户账号,个 人空间服务器依据该凭证对用户身份作认证。因此,上述实现机制是基于同一个用户身份、 且基于联盟中各服务器对Passport颁发的凭证的认证机制实现的。此外,由于多个平台之 间使用同一个Email地址进行统一身份认证,因此,互联网中还存在不同平台间用户账户 保密的隐私机制。发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷现有的基于互联网的身份认证机制无法对同一个用户的多个身份进行统一管理 和认证,对于IMS-互联网融合应用,用户在IMS网络中拥有的身份是SIP URI或TEL URI, 而同一个用户已经在多个互联网应用(例如社区)上还有多个单独的身份ID,现有的身份 认证机制无法对上述多个身份进行统一管理和认证,无法保证用户体验。此外,现有的身份 认证机制无法实现用户的账户(身份)隐私保护,对于电信应用而言,用户的电话号码、手 机号码和SIP URI都属于用户安全要求相当高的个人隐私数据,一旦泄漏上述数据,会对用 户造成极大的不便,也会对电信运营商的业务开展造成影响。
发明内容
本发明实施例提供了一种用户身份管理方法、装置和系统,以实现同一用户的多个账号之间的统一管理认证和单点登录。本发明实施例提供了一种用户身份管理方法,包括以下步骤接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中的第一标识 以及所述用户对第二网络的接入需求;根据所述第一标识查找用户信息表,获取与所述第一 标识绑定的第二标识,并使 用所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。优选地,所述根据所述第一标识查找用户信息表之前,还包括在所述第一标识对应的第一网络中,对所述第一标识进行鉴权,确认所述第一标 识的合法性。优选地,所述使用第二标识访问第二网络,具体包括向所述客户端发送包含所述第二标识和认证凭证的重定向报文,使所述客户端仅 根据所述第二标识和所述认证凭证访问所述第二网络;或者向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭 证。优选地,所述的方法,还包括接收来自所述客户端的绑定请求,所述绑定请求中携带第一标识和第二标识;在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述 第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的 绑定关系。本发明实施例还提供了一种应用通用网关,包括接收模块,用于接收来自客户端的访问请求,所述访问请求中携带用户在第一网 络中的第一标识以及所述用户对第二网络的接入需求;获取模块,用于根据所述接收模块接收到的所述第一标识查找用户信息表,获取 与所述第一标识绑定的第二标识;访问模块,用于使用所述获取模块获取的所述第二标识访问所述第二网络,使所 述第二网络向所述客户端提供服务。优选地,所述的应用通用网关,还包括鉴权模块,用于在所述第一标识对应的第一网络中,对所述接收模块接收到的所 述第一标识进行鉴权,确认所述第一标识的合法性。优选地,所述访问模块,具体用于向所述客户端发送包含所述第二标识和认证凭 证的重定向报文,使所述客户端仅根据所述第二标识和所述认证凭证访问所述第二网络; 或者向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭 证。优选地,所述的应用通用网关,还包括所述接收模块,还用于接收来自所述客户端的绑定请求,所述绑定请求中携带第 一标识和第二标识;所述鉴权模块,还用于在所述第一标识对应的第一网络和所述第二标识对应的第 二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所 述第二标识的绑定关系。本发明实施例还提供了一种用户身份管理系统,包括客户端,用于向应用通用网关发送访问请求,所述访问请求中携带用户在第一网 络中的第一标识以及所述用户对第二网络的接入需求;应用通用网关,用于接收来自所述客户端的访问请求,根据所述第一标识查找用 户信息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第二网络, 使所述第二网络向所述客户端提供服务。优选地,所述客户端,还用于向所述应用通用网关发送绑定请求,所述绑定请求中 携带第一标识和第二标识;所述应用通用网关,用于接收来自所述客户端的绑定请求,在所述第一标识对应 的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行 鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。与现有技术相比,本发明实施例具有以下优点本发明实施例通过建立和查询同 一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认 证和单点登录,为Internet与IMS融合提供ICT应用的技术基础;在不损失业务体验的前 提下,避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络 中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良 性发展,且上述改动均无需IMS网络和AS应用做额外的改动,保证了核心网络的稳定性和 安全性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对本发明实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅 仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提 下,还可以根据这些附图获得其他的附图。图1为本发明实施例一中的一种用户身份管理方法流程图;图2为应用AUG的用户身份管理系统组网图;图3为AUG的功能模块图;图4为本发明实施例二中的一种用户身份管理方法流程图;图5为本发明实施例三中的一种用户身份管理方法流程图;图6为本发明实施例四中的一种用户身份管理方法流程图;图7为本发明实施例五中的一种用户身份管理方法流程图;图8为本发明实施例六中的一种用户身份管理方法流程图;图9为本发明实施例七中的一种用户身份管理方法流程图;图10为本发明实施例八中的一种应用通用网关结构示意图;图11为本发明实施例九中的一种用户身份管理系统结构示意图。
具体实施例方式本发明实施例提供的技术方案中,其核心思想为在保证用户身份隐私的前提下,统一管理用户在IMS网络和互联网上多重身份的关联,为用户提供多账号关联的统一身份 认证和单点登录。具体地,本发明实施例提出了在IMS网络与互联网应用之间通过身份标 识映射实现用户身份统一管理和单点登录的机制,以及基于身份标识实现的在IMS域和 Internet域之间相互保护用户标识隐私的机制,并基于上述机制提出ID关联机制和从IMS 域访问Internet应用的访问控制机制,包括代理方式和重定向方式。 下面将结合本发明实施例中的附图,对本发明实施例的技术方案进行清楚、完整 地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发 明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例,都属于本发明保护的范围。如图1所示,为本发明实施例一中的一种用户身份管理方法流程图,包括以下步 骤步骤101,接收来自客户端的访问请求,该访问请求中携带用户在第一网络中的第 一标识以及用户对第二网络的接入需求。步骤102,根据第一标识查找用户信息表,获取与该第一标识绑定的第二标识,并 使用该第二标识访问第二网络,使第二网络向客户端提供服务。具体地,根据第一标识查找用户信息表之前,还可以在第一标识对应的第一网络 中,对第一标识进行鉴权,确认第一标识的合法性。使用第二标识访问第二网络,具体包括 向客户端发送包含第二标识和认证凭证的重定向报文,使客户端仅根据第二标识和认证凭 证访问第二网络;或者向第二网络发送访问请求,该访问请求中仅携带所述第二标识和认 证凭证。第一标识和第二标识的绑定关系可以通过以下方式建立接收来自客户端的绑定 请求,该绑定请求中携带第一标识和第二标识;在第一标识对应的第一网络和第二标识对 应的第二网络中,分别对第一标识和第二标识进行鉴权,并在鉴权通过后建立第一标识和 第二标识的绑定关系。本发明实施例具有以下优点通过建立和查询同一用户在不同网络的用户标识的 绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,并避免将用户在 第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给 第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展。考虑到电信网络的复杂性,本发明实施例引入了一种用户身份管理装置,即 AUG (Application Universal Gateway,应用通用网关),以简化对电信网络的要求,隔离隐 私要求不同的互联网域和电信域。应用AUG的用户身份管理系统组网图,如图2所示。其 中,AUG连接第一网络和第二网络,用户可以通过客户端访问第一网络,也可以通过客户端 访问第二网络。具体地,第一网络和第二网络可以分别为IMS网络或Internet应用网络。如图3所示,为AUG的功能模块图,具体包括用户身份关联模块,用于接收来自Internet域或电信域的用户身份关联请求,在 用户身份确认的基础上,建立用户身份关联表。用户身份映射模块,用于接收客户端来自Internet域或电信域的用户身份关联 请求,在确认用户身份的基础上,查询用户身份关联表,获得应用所需的用户身份信息。用户鉴权模块,用于通过鉴权接口向IMS网络或Internet应用网络进行用户身份鉴权。
应用重定向模块,用于将用户的应用访问请求重定向到Internet应用网络。应用接入管理模块,用于对Internet应用网络的接入控制和管理。此外,AUG中的数据包括用户信息表和应用信息表,其中,用户信息表存储用户在 IMS域中的身份与其在多个Internet应用上的账户绑定关系,应用信息表存储可接入AUG 的Internet应用信息及其授权信息,包括优先级和服务提供时间段等信息。以下结合上述应用场景,对本发明实施例一中的用户身份管理方法进行详细、具 体的描述。如图4所示,为本发明实施例二中的一种用户身份管理方法流程图,其中,用 户在 IMS 网络中的 TEL URI/SIP URI 为 IDl,在 Internet 应用(URL 为 http://host. domain:port)中的账户为ID2,用户通过客户端接入IMS网络后发起关联请求,该方法具体 包括以下步骤步骤201,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包 含的IDl接入IMS网络。具体地,用户以IMS身份使用IDl请求登录客户端,并在客户端对IDl通过鉴权认 证后,成功登录客户端。客户端使用IDl接入IMS网络,使IMS网络存储IDl的相关信息。步骤202,客户端向AUG发送包含IDl和ID2的绑定请求。具体地,用户在客户端上向AUG发起IDl和ID2的绑定请求,要求建立IDl和ID2 的绑定关系。步骤203,AUG与IMS网络进行用户鉴权,确认来自客户端的IDl的合法性。步骤204,AUG与Internet应用网络进行用户鉴权,确认来自客户端的ID2的合法 性以及IDl和ID2之间的绑定关系的有效性。具体地,AUG使用ID2登录Internet应用网络,Internet应用网络向ID2对应的 账户返回验证信息。依据Internet应用功能的不同,返回验证信息的方式也不相同。例如, 对于Email类应用,Internet应用网络可以发送确认Email ;对于社区类应用,Internet应 用网络可以发送站内消息。步骤205,客户端登录Internet应用网络,确认绑定事件。具体地,用户在Internet应用网络返回的验证信息的有效期内,通过客户端登录 Internet应用网络,确认本次绑定事件的有效性。步骤206,Internet应用网络根据用户的确认情况,返回对绑定事件的反馈结果。步骤207,AUG记录IDl和ID2之间的绑定关系。本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现 了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT 应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露 给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户 在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做 额外的改动,保证了核心网络的稳定性和安全性。作为本发明实施例的另一应用场景,用户也可以通过客户端接入Internet应用 网络后发起关联请求。如图5所示,为本发明实施例三中的一种用户身份管理方法流程图,具体包括以 下步骤步骤301,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包 含的ID2接入Internet应用网络。具体地,在用户以Internet应用身份使用账户ID2成功登录客户端后,客户端使 用ID2接入Internet应用网络,使Internet应用网络存储ID2的相关信息。步骤302,客户端向AUG发起包含IDl和ID2的绑定请求。步骤303,AUG向Internet应用网络确认ID2的合法性。步骤304,AUG向IMS网络确认IDl的合法性以及IDl和ID2之间的绑定关系的有效性。具体地,AUG使用IDl接入IMS网络,IMS网络向IDl对应的账户返回验证信息。 依据用户的IMS业务种类及是否在线,返回验证信息的方式也各不相同。例如,如果用户签 约了即时消息业务且当前在线,则IMS网络发送即时消息确认;如果用户签约了即时消息 业务且当前在线,则IMS网络发送短信确认。步骤305,客户端接入IMS网络,确认绑定事件。具体地,用户在验证信息的有效期内,通过客户端接入IMS网络,确认本次绑定事 件的有效性。步骤306,IMS网络根据用户的确认情况,返回对绑定事件的反馈结果。步骤307,AUG记录IDl和ID2之间的绑定关系。本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现 了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT 应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露 给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户 在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做 额外的改动,保证了核心网络的稳定性和安全性。在本发明实施例的又一应用场景中,AUG记录IDl和ID2之间的绑定关系,且用户 在通过客户端接入IMS网络后,用户可以通过客户端访问Internet应用网络,如图6所示, 为本发明实施例四中的一种用户身份管理方法流程图,具体包括以下步骤步骤401,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包 含的IDl接入IMS网络。具体地,用户以IMS身份使用IDl请求登录客户端,并在客户端对IDl通过鉴权认 证后,成功登录客户端。客户端使用IDl接入IMS网络,使IMS网络存储IDl的相关信息。步骤402,客户端向AUG发起访问Internet应用网络的请求。具体地,用户从客户端点击按钮打开浏览器,并向AUG发起Internet应用网络的 访问请求,该访问请求中包含IDl。步骤403,AUG与IMS网络进行用户鉴权,确认来自客户端的IDl的合法性。步骤404,AUG查找用户信息表,获取IDl对应于Internet应用网络的标识ID2。步骤405,AUG向客户端返回重定向报文。其中,客户端浏览器接收到的重定向报文中,包括用户使用Internet业务时的标 识ID2和对应于该业务的认证凭证。
步骤406,客户端向Internet应用网络发起访问请求。
其中,客户端发送的访问请求中仅携带ID2和认证凭证,不携带ID1,从而避免将 IDl泄露给Internet应用网络。步骤407,Internet应用网络认证用户身份,并向用户提供服务。本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现 了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT 应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露 给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户 在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做 额外的改动,保证了核心网络的稳定性和安全性。在本发明实施例的再一应用场景中,AUG记录IDl和ID2之间的绑定关系,用户通 过客户端接入IMS网络并通过客户端访问Internet应用网络。Internet应用网络信任来 自AUG对应的IP地址、端口的访问或者AUG提供的用户身份,或者在AUG和Internet应用 网络之间有安全的通信通道,例如,TLS连接或VPN。如图7所示,为本发明实施例五中的一种用户身份管理方法流程图,具体包括以 下步骤步骤501,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包 含的IDl接入IMS网络。具体地,用户以IMS身份使用IDl请求登录客户端,并在客户端对IDl通过鉴权认 证后,成功登录客户端。客户端使用IDl接入IMS网络,使IMS网络存储IDl的相关信息。步骤502,客户端向AUG发起访问Internet应用网络的请求。具体地,用户从客户端点击按钮打开浏览器,并向AUG发起Internet应用网络的 访问请求,该访问请求中包含IDl。步骤503,AUG与IMS网络进行用户鉴权,确认来自客户端的IDl的合法性。步骤504,AUG查找用户信息表,获取IDl对应于Internet应用网络的标识ID2。步骤505,AUG向Internet应用网络发起访问请求,该访问请求中携带ID2。具体地,AUG代理用户,以ID2的身份访问Internet应用网络,访问请求中除了携 带ID2外,还可以携带ID2对应的认证凭证,但不携带IDl,从而避免将IDl泄露给Internet 应用网络。步骤506,Internet应用网络认证用户身份,并向用户提供服务。具体地,当Internet应用网络接收到的访问请求中包含认证凭证时,Internet应 用网络通过该认证凭证确认用户身份,并向用户提供服务。本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现 了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT 应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露 给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户 在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做 额外的改动,保证了核心网络的稳定性和安全性。当AUG信任来自Internet应用网络的数据信息时,用户在通过客户端接入Internet应用网络后,可以通过客户端接入IMS网络,如图8所示,为本发明实施例六中的 一种用户身份管理方法流程图,具体包括以下步骤步骤601,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包 含的ID2接入Internet应用网络。具体地,在用户以Internet应用身份使用账户ID2成功登录客户端后,客户端使 用ID2接入Internet应用网络,使Internet应用网络存储ID2的相关信息。步骤602,客户端向AUG发起接入IMS网络的请求。步骤603,AUG与Internet应用网络进行用户鉴权,确认来自客户端的ID2的合法性。步骤604,AUG查找用户信息表,获取ID2对应于IMS网络的标识IDl。步骤605,AUG向客户端返回重定向报文。其中,客户端浏览器接收到的重定向报文中,包括用户使用IMS网络业务时的标 识IDl和对应于该业务的认证凭证。步骤606,客户端向IMS网络发起访问请求。其中,客户端发送的访问请求中仅携带IDl和认证凭证,不携带ID2,从而避免将 ID2泄露给IMS网络。步骤607,IMS网络认证用户身份,并向用户提供服务。本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现 了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT 应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露 给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户 在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做 额外的改动,保证了核心网络的稳定性和安全性。当AUG信任来自Internet应用网络的数据信息,且IMS网络信任来自AUG对应的 IP地址、端口的访问或者AUG提供的用户身份,或者在AUG和IMS网络之间有安全的通信通 道时,用户在通过客户端接入Internet应用网络后,可以通过客户端接入IMS网络。如图9所示,为本发明实施例七中的一种用户身份管理方法流程图,具体包括以 下步骤步骤701,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包 含的ID2接入Internet应用网络。具体地,在用户以Internet应用身份使用账户ID2成功登录客户端后,客户端使 用ID2接入Internet应用网络,使Internet应用网络存储ID2的相关信息。步骤702,客户端向AUG发起接入IMS网络的请求。步骤703,AUG与Internet应用网络进行用户鉴权,确认来自客户端的ID2的合法性。步骤704,AUG查找用户信息表,获取ID2对应于IMS网络的标识IDl。步骤705,AUG向IMS网络发起访问请求,该访问请求中携带IDl。 具体地,AUG代理用户,以IDl的身份访问IMS网络,访问请求中除了携带IDl夕卜, 还可以携带IDl对应的认证凭证,但不携带ID2,从而避免将ID2泄露给IMS网络。
步骤706,IMS网络认证用户身份,并向用户提供服务。 具体地,当Internet应用网络接收到的访问请求中包含认证凭证时,Internet应 用网络通过该认证凭证确认用户身份,并向用户提供服务。本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现 了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT 应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露 给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户 在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做 额外的改动,保证了核心网络的稳定性和安全性。本发明实施例在上述实施方式中提供了用户身份管理方法和多种应用场景,相应 地,本发明实施例还提供了应用上述用户身份管理方法的装置和系统。如图10所示,为本发明实施例八中的一种应用通用网关结构示意图,包括接收模块810,用于接收来自客户端的访问请求,所述访问请求中携带用户在第一 网络中的第一标识以及所述用户对第二网络的接入需求。获取模块820,用于根据所述接收模块810接收到的所述第一标识查找用户信息 表,获取与所述第一标识绑定的第二标识。访问模块830,用于使用所述获取模块820获取的所述第二标识访问所述第二网 络,使所述第二网络向所述客户端提供服务。上述访问模块830,具体用于向所述客户端发送包含所述第二标识和认证凭证的 重定向报文,使所述客户端仅根据所述第二标识和所述认证凭证访问所述第二网络;或者 向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭证。鉴权模块840,用于在所述第一标识对应的第一网络中,对所述接收模块810接收 到的所述第一标识进行鉴权,确认所述第一标识的合法性。上述接收模块810,还用于接收来自所述客户端的绑定请求,所述绑定请求中携带 第一标识和第二标识。相应地,上述鉴权模块820,还用于在所述第一标识对应的第一网络和所述第二标 识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建 立所述第一标识和所述第二标识的绑定关系。本发明实施例具有以下优点通过建立和查询同一用户在不同网络的用户标识的 绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,并避免将用户在 第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给 第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展。如图11所示,为本发明实施例九中的一种用户身份管理系统结构示意图,包括客户端910,用于向应用通用网关920发送访问请求,所述访问请求中携带用户在 第一网络中的第一标识以及所述用户对第二网络的接入需求。应用通用网关920,用于接收来自所述客户端910的访问请求,根据所述第一标识 查找用户信息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第 二网络,使所述第二网络向所述客户端910提供服务。上述客户端910,还用于向所述应用通用网关920发送绑定请求,所述绑定请求中携带第一标识和第二标识。相应地,上述应用通用网关920,用于接收来自所述客户端910的绑定请求,在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所 述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。本发明实施例具有以下优点通过建立和查询同一用户在不同网络的用户标识的 绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,并避免将用户在 第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给 第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展。通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助 软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更 佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出 贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中, 包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备 等)执行本发明各个实施例所述的方法。以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人 员来说,在不脱离本发明实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润 饰也应视本发明的保护范围。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分 布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上 述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆 分成多个子模块。上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领 域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种用户身份管理方法,其特征在于,包括以下步骤接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中的第一标识以及 所述用户对第二网络的接入需求;根据所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识,并使用所 述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。
2.如权利要求1所述的方法,其特征在于,所述根据所述第一标识查找用户信息表之 前,还包括在所述第一标识对应的第一网络中,对所述第一标识进行鉴权,确认所述第一标识的 合法性。
3.如权利要求1所述的方法,其特征在于,所述使用第二标识访问第二网络,具体包括向所述客户端发送包含所述第二标识和认证凭证的重定向报文,使所述客户端仅根据 所述第二标识和所述认证凭证访问所述第二网络;或者向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭证。
4.如权利要求1所述的方法,其特征在于,还包括接收来自所述客户端的绑定请求,所述绑定请求中携带第一标识和第二标识; 在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一 标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
5.一种应用通用网关,其特征在于,包括接收模块,用于接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中 的第一标识以及所述用户对第二网络的接入需求;获取模块,用于根据所述接收模块接收到的所述第一标识查找用户信息表,获取与所 述第一标识绑定的第二标识;访问模块,用于使用所述获取模块获取的所述第二标识访问所述第二网络,使所述第 二网络向所述客户端提供服务。
6.如权利要求5所述的应用通用网关,其特征在于,还包括鉴权模块,用于在所述第一标识对应的第一网络中,对所述接收模块接收到的所述第 一标识进行鉴权,确认所述第一标识的合法性。
7.如权利要求5所述的应用通用网关,其特征在于,所述访问模块,具体用于向所述客户端发送包含所述第二标识和认证凭证的重定向报 文,使所述客户端仅根据所述第二标识和所述认证凭证访问所述第二网络;或者向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭证。
8.如权利要求6所述的应用通用网关,其特征在于,还包括所述接收模块,还用于接收来自所述客户端的绑定请求,所述绑定请求中携带第一标 识和第二标识;所述鉴权模块,还用于在所述第一标识对应的第一网络和所述第二标识对应的第二网 络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识 和所述第二标识的绑定关系。
9.一种用户身份管理系统,其特征在于,包括客户端,用于向应用通用网关发送访问请求,所述访问请求中携带用户在第一网络中 的第一标识以及所述用户对第二网络的接入需求;应用通用网关,用于接收来自所述客户端的访问请求,根据所述第一标识查找用户信 息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第二网络,使所 述第二网络向所述客户端提供服务。
10.如权利要求9所述的系统,其特征在于,所述客户端,还用于向所述应用通用网关发送绑定请求,所述绑定请求中携带第一标 识和第二标识;所述应用通用网关,用于接收来自所述客户端的绑定请求,在所述第一标识对应的第 一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴 权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
全文摘要
本发明实施例公开了一种用户身份管理方法,包括以下步骤接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求;根据所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。本发明实施例实现了同一用户的多个账号之间的统一管理认证和单点登录,并避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络。本发明实施例同样公开了一种应用上述方法的装置和系统。
文档编号H04L12/66GK102082775SQ20091024160
公开日2011年6月1日 申请日期2009年11月27日 优先权日2009年11月27日
发明者刘利军, 彭华熹, 杨波, 路晓明 申请人:中国移动通信集团公司