专利名称:身份管理系统及身份认证系统的制作方法
技术领域:
本发明涉及信息处理技术,尤其涉及身份管理系统及身份认证系统。
背景技术:
随着信息技术和网络技术的发展,各种应用服务不断地在网上普及,用 户每天需要登录到许多不同的应用系统。不同的系统出于安全因素都要求用
户遵循一定的安全策略,最常见的如要求输入用户标识(Identification,简称 ID)和口令。随着用户需要登录系统的增多,用户每天就得不断的重复输入 自己在相应系统中的ID和口令,在极不便利的同时也增加了出错的可能性。
另一方面,随着Web服务技术的发展,各种基于Web的服务集成度不 断提高,用户的一个服务请求可能会由一系列的子服务构成,而这些子服务 又是动态相关的并由不同的服务提供者提供。在传统的登录模式下需要用户 伴随着服务执行的进展,不断登录到相应的子服务系统中,在造成用户不便 利的同时也与月l务集成的透明性要求相矛盾。
基于上述情况,出现了 "单点登录"(Smgle Sign-0n)技术。单点登录是 指在分布的、多服务的网络环境中,通过用户的一次性鉴别登录,即可获得
访问分布式系统中所有服务的合法性身份证明,在此条件下,管理员无需修 改或干涉用户登录就能方便的实施希望得到的安全控制。
目前,互联网领域的单点登录技术主要是微软的.NETPassport技术。该 技术是基于Cookie的单点登录技术,认证服务器与合作站点之间采用统一的 用户账户作为登录凭证。这样用户在使用一个合作站点的服务时,首先登录 Passport服务,然后就可以使用其他合作站点的服务了,而不用再次登录。
.NET Passport技术主要存在以下缺陷认证服务器和服务提供商(ServiceProvider,简称SP)服务之间必须使用统一的用户账户,限制了SP的范围。 实际上,在电信领域内,服务提供商是多种多样的,要求服务提供商使用与 核心网相同的用户账户是不现实的;并且采用集中式的认证服务器,存在一 定的安全隐患,如果认证服务器被攻击跨掉,则整个系统内的所有服务都无 法使用。
发明内容
本发明的目的在于提供一种身份管理系统及身份认证系统,利用用户多 个身份的映射关系,实现用户在登录了身份管理系统或某个SP设备后,当访 问其他SP设备时,身份管理系统可以查询得到用户在其他SP设备上的身份
信息,从而实现统一登录。
为了实现上述目的,本发明提供了一种身份管理系统,包括 接口模块,用于所述身份管理系统与其他系统进行信息交互; 展现模块,用于提供展现页面,从用户接收用户请求消息,并向用户返 回处理结果;
身份联合数据库,用于存储用户多个身份的映射关系;
身份查询模块,用于根据所述接口模块或展现模块转发的携带有服务提
供商SP标识和用户标识的查询请求检索所述身份联合数据库,得到并返回所
述用户标识的与所述SP标识对应的身份信息。
为了实现上述目的,本发明还提供了一种身份认证系统,包括 用户终端,用于发送登录请求,使用SP设备提供的服务; 身份管理系统,用于管理用户多个身份的映射关系,根据SP标识和用户
标识查询所述用户多个身份的映射关系,得到所述用户标识的与所述SP标识
对应的用户身份;
SP设备,用于在接收到用户终端的登录请求时,根据SP标识和用户标 识向所述身份管理系统查询用户身份,并使用户以查询到的用户身份登录。本发明利用用户多个身份的映射关系,实现用户登录了身Y分管理系统或 某个SP设备后,再访问其他SP设备时,身份管理系统可以查询得到用户在
其他SP设备上的身份信息,从而实现统一登录。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明的身份认证系统一实施例结构示意图; 图2为本发明的身份管理系统实施例一结构示意图; 图3为本发明的身份管理系统实施例二结构示意图; 图4为本发明的身份管理系统实施例三结构示意图; 图5为本发明的身份管理系统实施例四结构示意图。
具体实施例方式
如图1所示,为本发明的身份认证系统一实施例结构示意图。本实施例 包括用户终端l、身份管理系统2及SP设备3。用户终端l用于发送登录请 求及使用身份管理系统2及SP设备3提供的服务。身份管理系统2用于管理 用户多个身份的映射关系,根据SP标识和用户标识查询用户多个身份的映射 关系,得到用户标识的各身份中与SP标识对应的用户身份。SP设备3用于 在接收到用户终端1的登录请求时,根据SP标识和用户标识向身份管理系统 2查询用户身份,并使用户以查询到的用户身份登录;若未查询到用户身份, 则采用普通的登录流程(例如,提示用户输入用户名、密码进行登录)。
用户的多个身份可包括用户在身份认证系统的身份以及在多个SP设备3 处的身份。用户在身份管理系统2上的身份可以为用户手机号码或注册的其 他用户标识,只要该用户标识在身份管理系统2是唯一的。用户在各SP设备 3的身份信息可遵从各SP设备3的相应规定使用数字、字母、符号或其结合。 同一用户的多个身份绑定在一起,身份管理系统2记录该绑定关系,并记录
6样,身份管理系统2就可根据用户标识及SP
标识查找到相应的身份。用户在各SP设备3处的身份以及在身份管理系统2
的身份可以相同也可以不同。
本实施例实现了用户在登录了身份管理系统或某个SP设备后,再访问其 他SP设备时,用户不必再输入身份认证信息,SP设备可以向身份管理系统 查询用户身份,身份管理系统根据SP标识和用户标识查询用户多个身份的映 射关系,得到用户在其他SP设备上的身份信息并告知相应SP设备,从而实 现统一登录。
如图2所示,为本发明的身份管理系统实施例一结构示意图。本实施例 包括接口模块20、展现模块21、身份联合数据库23及身份查询模块22。 接口模块20用于身份管理系统与其他系统进行信息交互,根据接口模块20 所要支持的通信协议的种类,接口模块20可包括多个子模块,每个子模块用 于支持不同协议的通信。展现模块21用于提供展现页面,接收用户请求消息, 将用户请求消息转发至身份查询模块22处理,并将处理结果通过展现模块 21向用户返回。身份联合数据库23用于存储用户多个身份的映射关系。身 份查询模块22用于根据接口模块20或展现模块21转发的携带有服务提供商 SP标识和用户标识的查询请求检索身份联合数据库23 ,得到并返回该用户标 识的与SP标识对应的身份信息。
本实施例实现了根据SP标识和用户标识查询用户多个身份的映射关系, 得到用户在其他SP设备上的身份信息并告知相应SP设备;用户在登录了身 份管理系统或某个SP设备后,再访问其他SP设备时,用户不必再输入身份 认证信息,SP设备可以向身份管理系统查询用户身份,从而实现统一登录。
如图3所示,为本发明的身份管理系统实施例二结构示意图。本实施例 在图2所示实施例的基础上进一步加入了身份处理模块24和加解密模块25。 身份处理模块24用于根据接口模块20或展现模块21转发的消息对身份联合 数据库23存储的用户多个身份的映射关系进行新增、修改或删除操作。身份
7查询模块22及身份处理模块24通过加解密模块25与接口模块20或展现模 块21连接。加解密模块25用于对接口模块20或展现模块21转发的加密消 息进行解密,并将解密后的消息转发给身份处理模块24和身份查询模块22 处理,以及将身份处理模块24和身份查询模块22发送的需要加密的消息进 行加密处理,并将加密后的消息发送至接口模块20或展现模块21。对于接 口模块20或展现模块21从外部接收的明文消息以及身份处理模块24和身份 查询模块22需要向外部发送的不需要加密的消息,也可发送至加解密模块 25,由加解密模块25直接向相应模块转发。本实施例支持用户身份映射关系 的新增、修改和删除;可以对消息进行加解密,增强了系统的安全性。
如图4所示,为本发明的身份管理系统实施例三结构示意图。
本实施例进一步加入了时间戳模块26,该模块用于分配及管理时间戳, 并根据解密后的消息携带的时间戳对消息进行合法性验证。通过在消息中加 入时间戳,同一时间戳只会合法地出现一次,从而可防止重放攻击。
本实施例的时间戳模块26具体包括时间戳数据库261、时间戳分配模块 262、时间戳管理模块263及验证模块264。时间戳数据库261用于存储当前 有效的时间戳;时间戳分配模块262用于分配时间戳并将分配的时间戳存储 到时间戳数据库261中;时间戳管理模块263用于删除时间戳数据库261中 有效期期满的时间戳;验证模块264用于将解密后的消息携带的时间戳与时 间戳数据库261存储的时间戳进行对比,判断待验证消息携带的时间戳是否 有效,若有效则消息合法。
接口模块20或展现模块21从外部接收到的明文消息直接转发至身份查 询模块22或身份处理模块24处理。身份查询模块22和身份处理模块24需 要发送至接口模块20或展现模块21的不需加密的消息直接发送至接口模块 20或展现模块21。
接口模块20进一步包括采用远程拨入用户认证服务(Remote Authentication Dial Up Service,简称RADIUS )协议的第 一接口子模块201 ,采用超文本传输协议(Hyper Text Transmission Protocol,简称HTTP协议) 的第二接口子模块202及采用套接字(Socket)方式的第三接口子模块203。 根据身份管理系统2与其他系统进行信息交互的需求,接口模块20还可提供 支持其他协议(例如私有协议等)的子模块。
采用RADIUS协议的第一接口子模块201用于与GPRS网关支持节点 (Gateway GPRS Supporting Node,简称GGSN)进行通信。当用户通过GPRS 方式接入时,GGSN可通过第一接口子模块201将用户的手机号和IP地址发 送至身份管理系统。采用HTTP协议的第二接口子模块202用于与SP设备通 信。SP设备接收到通过GPRS方式接入的用户的登录请求后,可通过第二接 口子模块202向身份管理系统发送携带有SP标识和用户的IP地址的查询请 求,查询用户身份。身份管理系统可根据用户IP地址以及用户手机号码与IP 地址的绑定关系得到用户的手机号码,并进而根据用户多个身份的映射关系
信息返回至SP设备,从而实现用户通过GPRS接入后,登录SP设备时不需 输入SP设备处的身份认证信息就可登录SP设备,实现统一登录。
采用Socket方式的第三接口子模块203用于与会话初始协议(Session Initiation Protocol,简称SIP)客户端通信。身份管理系统作为服务端可与安 装有SIP客户端的用户终端采用TCP Socket进行通讯。SIP客户端可通过第 三接口子模块203向身份管理系统请求时间戳。第三接口子模块203将该请 求转发至时间戳分配模块262。时间戳分配模块262分配时间戳并将分配的 时间戳存储到时间戳数据库261中,并发送至加解密模块25进行加密。加解 密模块25将加密的时间戳通过第三接口子模块203返回SIP客户端。SIP客 户端对加密时间戳解密,并对时间戳和用户使用该SIP客户端时使用的用户 标识加密得到令牌,并在通过浏览器向SP设备请求服务时携带该令牌。SP 设备可通过第二接口子模块202向身份管理系统查询用户身份,查询请求携 带有SP标识和令牌。第二接口子模块202将查询请求转发至加解密模块25,
9加解密模块25对令牌进行解密,并将解密后的查询请求发送至时间戳模块
26的验证模块264进行验证。验证模块264从解密后的查询请求中提取时间 戳,将其与时间戳数据库261中存储的时间戳进行比对,判断时间戳是否有 效,若有效,则将请求转发至身份查询模块22。身份查询模块22根据SP标 识及用户标识查询与该用户标识和SP标识对应的身份信息,并将查询结果通 过第二接口子模块202返回SP设备,从而实现用户通过SIP客户端访问SP 业务时,不需用户输入SP设备处的身份认证信息就可登录SP设备,实现统 一登录。所述接口模块20可以仅包括第一接口子模块201、第二接口子模块 202、第三接口子模块203中的一个或者多个。
如图5所示,为本发明的身份管理系统实施例四结构示意图。本实施例 进一步加入了用户登录模块27、 Cookie管理模块28及用户注册模块29,接 口模块20进一步加入了用于与短信网关通信的第四接口子模块204。
用户登录模块27用于用户直接登录身份管理系统,该模块根据展现模块 21转发的用户登录验证信息进行登录验证,并通过展现才莫块21向用户返回 验证结果。Cookie管理模块28用于读取用户终端上的Cookie文件,根据读 取的信息判断用户是否已登录;以及在用户登录后将用户登录信息记录到用 户终端的Cookie文件中。用户注册模块29用于用户注册以及创建和修改用 户的注册信息。
用户登录模块27接收到展现模块21转发的登录请求后可先调用Cookie 管理模块28读取Cookie,判断用户是否已登录身份管理系统,若已登录则向 用户返回已登录信息,并继续提供其他的服务;若未登录,则由用户登录模 块27执行普通的登录流程。例如,用户登录模块27通过展现模块21发送登 录页面,提示用户输入手机号;用户填写了自己的手机号后,展现模块21将 手机号发送至用户登录模块27;用户登录模块27生成用于验证手机号是否 正确的随机验证码,通过第四接口子模块204发送至短信网关,并由短信网 关向用户填写的手机号码发送随机验证码;同时用户登录模块27通过展现模块21提示用户输入验证码;用户收到验证码以后,输入验证码;展现模块 21将用户输入的验证码转发至用户登录模块27;用户登陆模块27检查验证 码是否正确,若验证码正确,则允许用户登录,并通知Cookie管理模块28 将登录状态记录到用户终端的Cookie文件中,若不正确,则退出登录流程。
当然,本发明第一至第三实施方式中同样可以包括用户登录模块27和 Cookie管理模块2,其所起作用与在第四实施方式中所起作用相同。
本发明利用用户多个身份的映射关系,实现用户登录了身份管理系统或 某个SP设备后,再访问其他SP设备时,身份管理系统可以查询得到用户在 其他SP设备上的身份信息,从而实现统一登录。SP设备可以保存自己的认 证系统,当SP设备接收不到身份管理系统返回的用户身份信息时,会执行普
通的登录流程,这样,即使认证服务器被攻击,也只有统一登录服务受到影
响,用户仍然可以使用各个SP设备提供的服务。
最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其 限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术 人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或 者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技
术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1、一种身份管理系统,其特征在于,包括接口模块,用于所述身份管理系统与其他系统进行信息交互;展现模块,用于提供展现页面,从用户接收用户请求消息,并向用户返回处理结果;身份联合数据库,用于存储用户多个身份的映射关系;身份查询模块,用于根据所述接口模块或展现模块转发的携带有服务提供商SP标识和用户标识的查询请求检索所述身份联合数据库,得到并返回所述用户标识的与所述SP标识对应的身份信息。
2、 根据权利要求1所述的身份管理系统,其特征在于,还包括身份 处理模块,用于根据所述接口模块或展现模块转发的消息对所述身份联合数 据库存储的用户多个身份的映射关系进行新增、修改或删除操作。
3、 根据权利要求2所述的身份管理系统,其特征在于,所述身份查询 模块及身份处理模块通过加解密模块与所述接口模块或展现模块连接,所述 加解密模块用于对所述接口模块或展现模块转发的加密消息进行解密,并将 解密后的消息转发给所述身份查询模块及身份处理模块,以及将所述身份查 询模块及身份处理模块发送的消息进行加密,并将加密后的消息发送至所述 接口模块或展现模块。
4、 根据权利要求3所述的身份管理系统,其特征在于,还包括时间 戳模块,用于分配及管理时间戳,并根据解密后的消息携带的时间戳对消息 进行合法性验证。
5、 根据权利要求4所述的身份管理系统,其特征在于,所述时间戳模 块包括时间戳数据库,用于存储当前有效的时间戳;时间戳分配模块,用于分配时间戳,并将分配的时间戳存储到所述时间 戳数据库中;时间戳管理模块,用于删除所述时间戳数据库中有效期期满的时间戳;验证模块,用于将解密后的消息携带的时间戳与所述时间戳数据库存储 的时间戳进行对比,判断所述消息携带的时间戳是否有效。
6、 根据权利要求1所述的身份管理系统,其特征在于,还包括用户登 录模块,用于根据所述展现模块转发的用户登录验证信息进行登录验证,并 通过所述展现模块返回验证结果。
7、 根据权利要求1所述的身份管理系统,其特征在于,还包括Cookie 管理模块,用于读取用户终端上的Cookie文件,根据读取的信息判断用户是 否已登录;以及在用户登录后将用户登录信息记录到用户终端的Cookie文件 中。
8、 根据权利要求1所述的身份管理系统,其特征在于,还包括用户 注册模块,用于用户注册以及创建和修改用户的注册信息。
9、 根据权利要求1所述的身份管理系统,其特征在于,所述接口模块 包括采用RADIUS协议的第 一接口子模块,采用HTTP协议的第二接口子 模块及采用Socket协议的第三接口子模块。
10、 一种身份认证系统,其特征在于,包括 用户终端,用于发送登录请求,使用SP设备提供的服务; 身份管理系统,用于管理用户多个身份的映射关系,根据SP标识和用户标识查询所述用户多个身^f分的映射关系,得到所述用户标识的与所述SP标识 对应的用户身份;SP设备,用于在接收到用户终端的登录请求时,根据SP标识和用户标 识向所述身份管理系统查询用户身份,并使用户以查询到的用户身份登录。
全文摘要
本发明涉及一种身份管理系统,包括接口模块,用于与其他系统进行信息交互;展现模块,用于提供展现页面,从用户接收用户请求消息,并向用户返回处理结果;身份联合数据库,用于存储用户多个身份的映射关系;身份查询模块,用于根据服务提供商SP标识和用户标识检索身份联合数据库,得到并返回对应的身份信息。本发明还涉及一种身份认证系统,包括用户终端,身份管理系统及SP设备。本发明利用用户多个身份的映射关系,实现用户登录了身份管理系统或某个SP设备后,再访问其他SP设备时,身份管理系统可以查询得到用户在其他SP设备上的身份信息,从而实现统一登录。
文档编号H04L9/32GK101453328SQ200710178878
公开日2009年6月10日 申请日期2007年12月6日 优先权日2007年12月6日
发明者刘利军, 刘宝义, 杨放春, 森 苏, 耀 赵, 华 邹, 冰 魏 申请人:中国移动通信集团公司;北京邮电大学