提高网络身份认证安全性的方法和装置的制作方法

专利名称：提高网络身份认证安全性的方法和装置的制作方法
提高网络身份认证安全性的方法和装置技术领域木发明涉及通信技术领域，特别涉及一种提高网络身份认证安全性的方法和装置。
技术背景Web Service (服务)是描述一些操作的接口 ，可以使用标准化的XML (extensible Markup Language,可扩展标记语言)消息传递机制通过网络访问这些操作。 一个Web Service可以单 独或协同其它Web Service —起用于实现复杂的功能或商业交易。终端可能会使用多种Web Service,但并不是所有服务都位于其网络运营商的信任域内。 为了提高终端的用户体验，现有技术提供了一种身份联合方式，即网络身份，用来描述在多 种网络服务中，使提供给终端的状态或数据保持一致。网络身份消息交换中，会涉及四个实体SP(Service Provider,服务提供商)、EDP (Identity Provider,身份提供商)、DS (Discovery Service,发现服务)和AP (Attribute Provider,属性 提供商)。其中，SP是为主体用户提供服务和/或货物的实体。IDP用于生成、维护和管理主 体用户的身份信息，并且能够为某认证域(甚至信任圈)中的其他服务提供商提供认证断言。 DS允许不同的实体(如服务提供商)动态地发现一个主体的已注册的服务。例如，当DS确 定了所需服务的类型，且符合用户设定的权限，表示该实体上的信息允许向相关实体提供， DS将会向相关实体回复一个服务描述，包括所需的实体服务的WSDL (Web Service Description Language, Web服务描述语言)。DS还可以用作安全记号服务，向请求者发送该 安全记号，请求者在向DS请求服务时，需要出示这个记号。AP用于提供某个主体用户的属 性。现有技术中， 一个主体用户使用某个SP完成某项业务时，需要通过IDP的身份认证， 以及属性提供商提供给SP所需査询的属性(例如，主体用户的位置信息)共同完成服务。通 过用户在IDP上完成认证工作，信任圈内的其他实体能够利用IDP对用户的认证信息，通过 M (Network Identity,网络身份)对用户身份进行识别，并在此基础上对用户的Attibute信 息进行获取，并基于此开展相关的业务应用。主体用户请求服务以及NI认证过程如下1)主体用户用HTTP向SP发起一个请求；2) SP接收到主体用户发起的请求后，向IDP发送核对该主体用户的认证状态的请求；
3) IDP收到SP发送的请求后，向SP返回回复请求，该回复请求包括一个描述用户认证状态的认证断言，还可以包括访问主体用户的发现服务实体所需的bootstrap信息(可选项)；
如果SP处没有有效的SSO (Single Sign—On，单点登录)内容给主体用户，主体用户需要在IDP认证以便建立一个合法的SSO会话；
4) SP使用來自IDP的bootstrap信息向主体用户的发现服务实休询问某个特定属性提供
商；
5) 发现服务实体向SP返回一个认证断言，包括主体用户的属性提供商的地址信息；
6) SP使用认证断言中的地址信息访问属性提供商，从属性提供商处请求查询属性或有关属性的操作(例如，删除或修改属性)；
7) 属性提供商向SP返回回复信息；
8) SP收到属性提供商的回复信息后，允许或拒绝该主体用户的请求。
其中，IDP对主体用户的认证需要调用外部认证服务器，如LDAP (Li扭t Directory AccessProtocol,轻量级目录访问协议)或关系数据库及附加在关系数据库上的访问控制协议。在对现有技术进行分析后，发明人发现
由于网络中既存在信任圈又存在非信任圈，用户在向SP请求业务时，可能涉及到信任圈与非信任圈的切换问题，上述现有技术还无法实现信任圈与非信任圈的无缝切换，当从信任圈切换到非信任圈时，有可能造成业务中断。另外，用户请求业务时，有可能面临虚假SP，会使用户的身份信息等暴露，给用户带来损失，存在较大的安全漏洞。

发明内容
为了提髙网络身份认证的安全性， 一方面，本发明实施例提供了一种提高网络身份认证安全性的方法，应用于web服务，所述方法包括
对服务提供商SP和终端用户进行网络身份认证；
将认证结果返回给所述SP，所述认证结果包括所述SP的网络身份认证结果和所述终端
用户的网络身份认证结果。
另一方面，本发明实施例还提供了一种身份提供商装置，应用于web服务，所述装置包
括
认证模块，用于对SP和终端用户进行网络身份认证
发送模块，用于将所述认证模块得到的认证结果返回给所述SP，所述认证结果'包括所述终端用户的网络身份认证结果和所述SP的网络身份认证结果。
再一方面，本发明实施例还提供了一种服务提供商装置，应用于web服务，所述装置包
括
认证模块，用于对SP和终端用户进行网络身份认证；
发送模块，用于将所述认证模块得到的认证结果返回给所述SP，所述认证结果包括所述
终端用户的网络身份认证结果和所述SP的网络身份认证结果。
为了实现单点登录过程中的无缝切换， 一方面，本发明实施例提供了一种实现单点登录
过程无缝切换的方法，应用于web服务，所述方法包括
当SP向终端用户指定的IDP请求网络身份认证并且得到所述IDP不支持所述认证的结
果后，所述SP归属的IDP接收所述终端用户发来的网络身份认证请求；
所述SP归属的IDP对所述终端用户进行网络身份认证后，返回认证结果给所述终端用户。
另一方面，本发明实施例还提供了一种实现单点登录过程无缝切换的方法，应用于web
服务，所述方法包括
当自身没有归属的IDP时，接收终端用户发来的业务鉴权请求;
对所述终端用户进行鉴权，并返回鉴权结果给所述终端用户。
再一方面，本发明实施例还提供了一种身份提供商装置，应用于web服务，所述身份提
供商为SP归属的身份提供商，所述装置包括
接收模块，用于接收终端用户发来的网络身份认证请求
认证模块，用于在所述接收模块接收到所述网络身份认证请求后，对所述终端用户进行网络身份认证，并返回认证结果给所述终端用户。
又一方面，本发明实施例还提供了一种服务提供商装置，所述装置包括接收模块，用于接收终端用户发来的业务请求；还用于接收所述终端用户指定的IDP返回不支持所述认证的结果，所述结果中指明所述终端用户指定的IDP不是所述SP归属的IDP;
发送模块，用于在所述接收模块收到所述业务请求后，向所述终端用户指定的IDP发起
网络身份认证请求，在所述接收模块收到所述结果后，回复响应给所述终端用户，所述响应
中携带所述SP归属的IDP信息。
为了控制SP对终端用户属性信息的获取， 一方面，本发明实施例提供了一种提髙网络身份认证安全性的方法，应用于web服务，所述方法包括-
接收SP发來的对终端用户进行网络身份认证的请求，所述请求中包括服务提供商的访问权限信息；
根据所述访问权限信息，对所述终端用户进行网络身份认证，返回认证结果。另一方面，本发明实施例还提供了一种服务提供商装置，应用于web服务，所述服务提供商没有归属的IDP，所述装置包括
接收模块，用于接收终端用户发来的业务鉴权请求
业务鉴权模块，用于当所述接收模块收到所述业务鉴权请求后，对所述终端用户进行鉴权，并返回鉴权结果给所述终端用户。
再一方面，本发明实施例还提供了一种身份提供商装置，应用于web服务，所述装置包
括
接收模块，用于接收SP发来的对终端用户进行网络身份认证的请求，所述请求中包括服务提供商的访问权限信息；
控制模块，用于当所述接收模块收到所述请求后，根据所述访问权限信息对所述终端用户进行网络身份认证，并返回认证结果给所述SP。
本发明实施例通过在单点登录过程中对终端用户和SP均进行网络身份认证的方式，提髙了终端用户和SP之间的安全性；采用SP归属的IDP对终端用户进行网络身份认证或SP对终端用户进行业务鉴权请求的方式，实现单点登录过程中的无缝切换，提髙了终端用户体验;通过SP的访问权限信息控制对终端用户进行网络身份认证，可以控制SP对终端用户的属性信息的获取，从而使SP对终端用户提供不同的服务。


图1是本发明实施例1提供的提高网络身份认证安全性的方法流程示意图
图2是本发明实施例2提供的实现单点登录过程无缝切换的方法流程示意图
图3是本发明实施例3提供的实现单点登录过程无缝切换的方法流程示意图
图4是本发明实施例4提供的实现单点登录过程无缝切换的方法流程示意图
图5是本发明实施例5提供的提高网络身份认证安全性的方法流程示意图6是本发明实施例6提供的身份提供商装置的一个结构示意图7是本发明实施例6提供的身份提供商装置的另一个结构示意图8是本发明实施例7提供的服务提供商装置的结构示意图9是本发明实施例8提供的身份提供商装置的结构示意图10是本发明实施例9提供的服务提供商装置的一个结构示意图；图11是本发明实施例9提供的服务提供商装置的另一个结构示意图；图12是本发明实施例IO提供的服务提供商装置的一个结构示意图；图13是本发明实施例IO提供的服务提供商装置的另一个结构示意图；图14是本发明实施例11提供的身份提供商装置的一个结构示意图；图15是本发明实施例11提供的身份提供商装置的另一个结构示意图。
具体实施例方式
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。
本发明实施例通过在单点登录过程中对终端用户和SP均进行网络身份认证的方式，提髙了终端用户和SP之间的安全性；采用SP归属的IDP对终端用户进行网络身份认证或SP对终端用户进行业务鉴权请求的方式，实现单点登录过程中的无缝切换，提高了终端用户体验通过SP的访问权限信息控制对终端用户进行网络身份认证，可以控制SP对终端用户的属性信息的获取，从而使SP对终端用户提供不同的服务。
实施例1
本发明实施例提供了一种提高网络身份认证安全性的方法，包括IDP对SP和终端用户进行网络身份认证，并将认证结果返回给SP，该认证结果包括SP的网络身份认证结果和用
的网络身份认证结果。参见图l，图l中所示的实体设备均位于信任圈中，该方法具体包括101:终端用户向SP发起一个认证请求，该请求中携带终端用户的认证信息、终端用户
指定的IDP的标识信息，以及需要SP返回SP的网络身份认证结果的标识信息。
102: SP接收到该认证请求后，根据其中的IDP标识信息，向对应的IDP请求对终端用户进行网络身份认证，同时SP还可以在该请求中携带SP的身份认证信息，请求IDP对SP进行网络身份认证。
在实际应用中，SP也可以在102之前或者101之前完成向IDP进行网络身份认证的过程，当在102之前SP已完成向IDP进行网络身份认证的过程时，102中SP发起的网络身份认证请求中可以不携带SP的身份认证信息。在本实施例中SP同时向IDP请求对终端用户和SP进行网络身份认证。
103: IDP收到SP发来的请求后，根据已保存的终端用户信息和SP的信息，对终端用户和SP进行网络身份认证，并返回认证结果，该认证结果包括一个描述终端用户认证状态的认证断言，以及IDP对SP进行网络身份认证的结果。其中，进一步地，IDP返回的认证结果中还可以包括SP访问终端用户的DS所需的引导(bootstrap)信息。
104: SP收到IDP返回的认证结果后，将该认证结果返回给终端用户，其中包含对终端用户的认证结果，以及对SP的认证结果。
105:终端用户发送消息给IDP，向IDP核对SP的认证状态，该消息中包含SP的认证结果。
106: IDP收到该消息后，返回响应，其中包括一个描述SP认证状态的认证断言。在本实施例中，IDP返回的响应中指明核对后的结果为该SP为合法的SP。
终端用户在得到IDP返回的SP为合法的SP的确认结果后，进一步地，还可以向SP请求业务，即上述方法还包括
107:终端用户向SP发起一个业务请求，该业务请求中包含终端用户需要在SP进行的相关操作等等，例如，终端用户在该SP提供的网上商城中买东西。
108: SP根据103中IDP返回的引导信息，向相应的DS询问终端用户对应的属性提供商AP。
109:该DS返回一个认证断言给SP，其中，包括相应的AP信息，如某个AP的地址信息。
110: SP收到该认证断言后，根据其中的AP信息，访问相应的AP，请求终端用户的属性信息。
111:该AP返回终端用户的属性信息给SP，如终端用户的姓名、性别、年龄、地址和电话等等。
112: SP收到终端用户的属性信息后，根据该属性信息向终端用户提供业务。
进一歩地，在103中IDP还可以根据SP发来的SP访问权限信息控制对终端用户的网络身份认证，如判断该SP是否被允许请求认证，如果是，则对该SP和终端用户进行网络身份认证；否则，拒绝该SP发来的网络身份认证请求。其中，SP访问权限信息通常为终端用户发来的SP访问控制列表，包括终端用户信赖的SP和终端用户不信赖的SP，以及不同的SP具有不同的访问权限等信息。例如，SP1可以访问终端用户的姓名、年龄和地址，SP2可以访问终端用户的姓名和电话等等。IDP通过维护SP访问控制列表，可以控制SP获取终端用户的属性信息，从而给终端用户提供不同的业务。
为了避免出现重放攻击，进一步地，IDP还可以预先获取SP的一次性信息，如102中SP将发起请求的时间作为一次性信息携带在网络身份认证请求中发给IDP，相应地，103中IDP还可以利用获取的SP的一次性信息加密对终端用户进行网络身份认证得到的认证结果，
并将加密后的信息返回给SP; SP收到该加密后的信息后，进行解码可以得到该认证结果。
本实施例通过对终端用户和SP进行网络身份认证(双向认证)，提高了网络身份认证的安全性，与现有技术相比，避免了虚假SP使用户的身份信息等暴露给用户带来损失，解决了终端用户与SP之间的安全漏洞。通过在IDP维护SP访问权限信息，可以控制SP对终端用户的属性信息的获取，从而可以给终端用户提供不同的服务。IDP通过获取SP的一次性信息并对认证结果加密，可以避免出现重放攻击，进一步提高了网络身份认证的安全性。
实施例2
本发明实施例还提供了一种实现单点登录过程无缝切换的方法，应用于web服务，包括当SP向终端用户指定的IDP请求网络身份认证并且得到IDP不支持该认证的结果后，SP归属的IDP接收该终端用户发来的网络身份认证请求;SP归属的IDP对该终端用户进行网络身份认证后，返回认证结果给终端用户。参见图2，身份提供商A为SP的归属IDP，身份提供商B为终端用户指定的IDP (通常为默认的)，终端用户既在身份提供商A的信任圈内，又在身份提供商B的信任圈内，本实施例属于交叉信任圈的应用场景，该方法具体包括
201:终端用户向SP发起一个认证请求，该请求中携带终端用户的认证信息和终端用户指定的IDP的标识信息，在本实施例中终端用户指定的IDP为IDPB。
202: SP收到该认证请求后，根据其中的IDP的标识信息，向对应的IDPB请求对终端用户进行网络身份认证。
203: IDP B收到SP发来的请求后，根据已保存的终端用户信息对终端用户进行网络身份认证，并返回认证结果给SP，该认证结果包括一个描述终端用户认证状态的认证断言。在本实施例中，由于IDPB不是SP归属的IDP，不支持对该终端用户进行网络身份认证，因此IDPB在返回的认证结果中指明自己不是SP归属的IDP，无法完成认证。
进一步地，IDP返回的认证结果中还可以包括SP访问终端用户的DS所需的引导信息。
204: SP收到IDP B返回的认证结果后，回复响应给终端用户，该响应中包含上述认证结果和SP所归属的IDP信息。在本实施例中，SP归属的IDP为IDP A。
205:终端用户收到SP的响应后，向SP所归属的IDP发起网络身份认证请求，在本实施例中向IDPA发起网络身份认证请求。
206: IDPA收到该网络身份认证请求后，对终端用户进行网络身份认证，并返回认证结果给终端用户。205和206为终端用户单点登录的过程，登录成功后，IDPA返回给终端用户的认证结果为NI信息，如NI标识，终端用户使用该NI标识可以不用每次请求业务时都向IDP重新进行网络身份认证，只需SP向IDP核对验证该NI标识即可。
207:终端用户收到IDPA返回的认证结果后，向SP发起一个业务请求，该业务请求中包含IDP A返回的认证结果。
208: SP收到终端用户发来的业务请求后，向IDP A核对终端用户的认证结果，即核对终端用户的NI信息；
209: IDPA收到SP发来的核对请求后，回复响应给SP,该响应中包括一个描述终端用户认证状态的认证断言，即核对的结果，在本实施例中，IDPA核对的终端用户的NI信息的结果为终端用户的NI信息是正确的。进一步地，SP还可以从IDP A处获取访问终端用户的发现服务DS所需的引导信息，即IDP A可以在该响应中携带引导信息；相应地，上述方法还包括
210: SP收到IDPA返回的响应后，根据其中的引导信息访问相应的DS,请求获取属性提供商AP的信息。
211: DS收到该请求后，返回一个认证断言给SP，其中包括相应的AP的信息。212: SP根据收到的AP的信息，访问相应的AP，请求获取终端用户的属性信息。213: AP返回响应给SP，该响应中包含终端用户的属性信息。
214: SP收到该响应后，回复响应给终端用户，并根据得到的终端用户的属性信息向终端用户提供业务。
进一歩地，202中SP还可以在网络身份认证请求中携带标识信息，该标识信息用于要求返回SP的网络身份认证结果，相应地，203中IDP B根据该标识信息对SP进行网络身份认证，并在返回的认证结果中携带对SP的网络身份身份认证的结果。从而可以防止虚假的SP向终端用户提供业务，给终端用户带来损失。
本实施例适用于SP有归属的IDP的应用场景，当终端用户指定的IDP无法完成网络身份认证时，通过终端用户在SP归属的IDP进行网络身份认证，实现了单点登录过程中无缝切换的目的。与现有技术相比，避免了切换过程中业务中断给终端用户带来损失。通过IDP对SP进行网络身份认证，可以识别虚假的SP，避免用户的身份信息等暴露给用户带来损失，解决了终端用户与SP之间的安全漏洞。
实施例3本实施例与实施例2类1以，属于无交叉信任圈的应用场景，参见图3，身份提供商A为SP归属的EDP，身份提供商B为终端用户指定的IDP (通常为默认的)，终端用户在身份提供商B的信任圈内，SP在身份提供商A的信任圈内，且两个信任圈不交叉，则终端用户无法在SP归属的IDP处完成认证。本发明实施例还提供了一种实现单点登录过程无缝切换的方法，该方法具体包括
歩骤301至306与头'施例2中的201至206相同，此处不再赘述。在本实施例中，由于SP归属的IDPA不是终端用户归属的IDP,因此306中IDP A返回给终端用户的认证结果为认证失败的结果。
307:终端用户收到IDPA返回的认证结果后，进一步地，还可以向IDPB请求SP访问终端用户的DS所需的引导信息。
308: IDP B收到终端用户发来的请求后，回复响应给终端用户，其中包括SP访问DS所需的引导信息。
309:终端用户收到IDPB返回的响应后，向SP发起一个业务鉴权请求，其中包括终端用户信息、密码信息等内容，还可以携带上述引导信息。
310: SP收到终端用户的业务鉴权请求后，根据其中的引导信息访问相应的DS，请求获取终端用户对应的属性提供商AP。
311:该DS收到SP的请求后，返回一个认证断言给SP，其中包括相应的AP信息，例如某个AP的地址信息。
312: SP收到该认证断言后，根据其中的AP信息，访问相应的AP,请求获取终端用户的属性信息。
313:该AP返回终端用户的属性信息给SP，如终端用户的姓名、性别、年龄、地址和电话等等。
314: SP收到终端用户的属性信息后，根据该属性信息向终端用户提供业务。进一歩地，本实施例中SP还可以在网络身份认证请求中携带标识信息，该标识信息用于要求返回SP的网络身份认证结果，相应地，IDPB或IDPA根据该标识信息对SP进行网络身份认证，并在返回的认证结果中携带对SP的网络身份身份认证的结果，从而可以防止虚假的SJ*向终端用户提供业务，给终端用户带来损失。
本实施例适用于SP归属的IDP不是终端用户归属的IDP的应用场景，当终端用户指定的IDP以及SP归属的IDP均无法完成终端用户的网络身份认证时，通过SP对终端用户进行业务鉴权，实现了单点登录过程中无缝切换的目的。与现有技术相比，避免了切换过程中业务中断给终端用户带来损失。通过IDP对SP进行网络身份认证，可以识别虚假的SP，避免用户的身份信息等暴露给用户带来损失，解决了终端用户与SP之间的安全漏洞。
实施例4
本发明实施例还提供了一种实现单点登录过程无缝切换的方法，应用于web服务，包括:当SP没有归属的IDP时，SP接收终端用户发来的业务鉴权请求；SP对终端用户进行鉴权，并返回鉴权结果给终端用户。参见图4，身份提供商为终端用户指定的IDP(通常为默认的)，终端用户在身份提供商的信任圈内，SP没有归属的IDP，在非信任圈内，本实施例属于交叉信任圈与非信任圈切换的应用场景，该方法具体包括
401:终端用户向SP发起一个业务请求。
402: SP接收到该业务请求后，发现该SP没有归属的IDP，即不支持IDP认证，则向终端用户返回响应，要求用户进行鉴权。
进一步地，终端用户可以在401或402之前，向IDP请求SP访问DP所需要的引导信息，如401'，相应地，IDP收到SP的请求之后，向终端用户回复响应，其中包括SP访问终端用户的DS所需的引导信息，如402'。
403:终端用户收到SP的响应后，向SP发起一个业务鉴权请求，其中包括终端用户信息、密码信息等内容，进一歩地，还可以包括上述引导信息。
404: SP收到终端用户的业务鉴权请求后，对终端用户进行业务鉴权，此时SP可以直接返回业务鉴权的结果给终端用户，也可以先获取终端用户的属性信息，然后再返回业务鉴权的结果，在本实施例中，SP根据上述引导信息，访问相应的DS,请求获取终端用户对应的AP的信息。
405: DS返回一个认证断言给SP,其中包括相应AP的信息，如某个AP的地址信息。406: SP收到该认证断言后，根据其中的AP信息，访问相应的AP，请求获取终端用户的属性信息。
407: AP收到SP的请求后，返回终端用户的属性信息给SP。
408: SP收到终端用户的属性信息后，返回响应给终端用户，并根据该属性信息向终端用户提供业务。
本实施例适用于SP无归属的IDP的应用场景，当终端用户得到SP返回的不支持IDP认证的结果后，通过SP对终端用户进行业务鉴权，实现了单点登录过程中无缝切换的目的。与现有技术相比，避免了切换过程中业务中断给终端用户带来损失。实施例5
本发明实施例还提供了一种提高网络身份认证安全性的方法，应用于web服务，包括IDP接收SP发来的对终端用户进行网络身份认证的请求；IDP根据该请求中携带的SP访问权限信息对终端用户进行网络身份认证，并返回认证结果给该SP。参见图5， IDP维护一个SP的访问控制列表，控制SP获取终端用户的属性信息，该方法具体包括
501:终端用户向IDP发起网络身份认证请求，该请求中携带有终端用户设定的SP访问
权限信息，在本实施例中为SP的访问控制列表。例如，该列表中包括两个信赖的SP: SP1
和SP2，且SP1可以访问终端用户的姓名、年龄和地址，SP2可以访问终端用户的姓名和电话等等，以及一个不信赖的SP3，该SP3不能向IDP请求网络身份认证等等。
502: IDP收到该网络身份认证请求后，对终端用户进行网络身份认证，并保存终端用户设定的SP访问权限信息，并将认证后的结果返回给终端用户。
501和502为终端用户单点登录的过程，登录成功后，IDP返回给终端用户的认证结果为NI信息，如NI标识，终端用户使用该NI标识可以不用每次请求业务时都向IDP重新进行网络身份认证，只需SP向IDP核对验证该NI标识即可。
503:终端用户收到IDP的认证结果后，向SP发起一个业务请求，该请求中包括携带终端用户的身份认证信息、终端用户指定的IDP的标识信息。
504: SP接收到该业务请求后，根据其中的IDP标识信息，向对应的IDP请求对终端用户进行网络身份认证。
505: IDP收到SP发来的网络身份认证请求后，根据已保存的SP的访问控制列表判断该SP身份被允许请求认证，如果是，则对终端用户进行网络身份认证，并将认证结果返回给SP;否则，拒绝该SP的网络身份认证请求。在本实施例中，该SP为终端用户信赖的SP，则返回认证结果给该SP。
其中，IDP对终端用户进行网络身份认证是指核对SP发来的终端用户的NI信息，即终端用户已登录到web服务系统，此时只需核对终端用户的网络身份即可，不用重新对其进行认证。
进一歩地，IDP返回的认证结果中还可以包括SP访问终端用户的DS所需的引导信息。506: SP收到IDP返回的认证结果后，根据上述引导信息访问相应的DS，请求获取终端用户对应的属性提供商AP的信息。
507: DS收到该请求后，返回一个认证断言给SP，其中包括相应AP的信息，如某个AP的地址信息。
508: SP收到该认证断言后，根据其中的AP信息，访问相应的AP，请求获取终端用户的属性信息。
509: AP收到该请求后，返回终端用户的属性信息给SP。
510: SP收到AP返回的终端用户的属性信息后，返回响应给终端用户，并根据该属性信息向终端用户提供业务。
进一歩地，504中SP还可以在网络身份认证请求中携带标识信息，该标识信息用于要求返回SP的网络身份认证结果，相应地，505中IDP根据该标识信息对SP进行网络身份认证，并在返回的认证结果中携带对SP的网络身份身份认证的结果。从而可以防止虚假的SP向终端用户提供业务，给终端用户带来损失。
为了避免出现重放攻击，进一步地，IDP还可以预先获取SP的一次性信息，如504中SP将发起请求的时间作为一次性信息携带在网络身份认证请求中发给IDP，相应地，505中IDP还可以利用获取的SP的一次性信息加密对终端用户进行网络身份认证得到的认证结果，并将加密后的信息返回给SP; SP收到该加密后的信息后，进行解码可以得到该认证结果。
进一步地，506中SP收到IDP返回的认证结果后，还可以删除该认证结果中的终端用户的信息，不在本地缓存该信息，从而可以极大地减轻SP数据信息的维护，以及SP的数据存储量，减少了安全漏洞，并且减少了终端用户信息的存放位置，免除了终端用户针对SP的注册过程。
本实施例通过在IDP维护SP访问权限信息，可以控制SP对终端用户的属性信息的获取，从而可以给终端用户提供不同的服务。通过IDP对SP进行网络身份认证，可以识别虚假的SP，避免用户的身份信息等暴露给用户带来损失，解决了终端用户与SP之间的安全漏洞。IDP通过获取SP的一次性信息并对认证结果加密，可以避免出现重放攻击，进一步提髙了网络身份认证的安全性。通过删除认证结果中的终端用户的信息，减轻了SP数据信息的维护，以及SP的数据存储量，减少了安全漏洞，并且减少了终端用户信息的存放位置，免除了终端用户针对SP的注册过程。
实施例6
参见图6，本发明实施例提供了一种身份提供商装置，应用于web服务，该装置包括认证模块601，用于对SP和终端用户进行网络身份认证；
发送模块602，用于将认证模块601得到的认证结果返回给SP，认证结果包括终端用户的网络身份认证结果和SP的网络身份认证结果。进一歩地，参见图7，图6所示的装置还包括
第一接收模块603，用于接收SP发来的网络身份认证请求，网络身份认证请求中包含SP的身份认证信息和终端用户的身份认证信息；
相应地，认证模块601具体用于当第一接收模块603收到网络身份认证请求后，根据SP的身份认证信息和终端用户的身份认证信息，对SP和终端用户进行网络身份认证。
或者，图6所示的装置还包括
第二接收模块604，用于接收SP发来的网络身份认证请求，网络身份认证请求中包含标识信息和终端用户的身份认证信息，标识信息用于要求返回SP的网络身份认证结果；相应地，认证模块601具体包括第一认证单元，用于对SP进行网络身份认证；
第二认证单元，用于当第二接收模块604收到网络身份认证请求后，根据终端用户的身份认证信息，对终端用户进行网络身份认证。进一歩地，图6所示的装置还包括
核对模块605，用于接收到终端用户发来的核实SP的网络身份认证结果的请求后，对SP的网络身份认证结果进行核实，并返回核实的结果给终端用户。另外，参见图7，图6所示的装置还包括第三接收模块606，用于接收SP发来的网络身份认证请求；
处理模块607，用于当第三接收模块收到网络身份认证请求后，根据该请求中的SP访问权限信息判断SP是否被允许请求认证，如果是，则触发认证模块工作；否则，拒绝SP的请求。
另外，参见图7，图6所示的装置还包括获取模块608，用于获取来自SP的一次性信息；
相应地，发送模块602具体包括
加密单元，用于根据获取模块获取的一次性信息对认证模块得到的认证结果进行加密；发送单元，用于返回加密单元加密后的信息给SP。
本实施例通过对终端用户和SP进行网络身份认证(双向认证)，提高了网络身份认证的安全性，与现有技术相比，避免了虚假SP使用户的身份信息等暴露给用户带来损失，解决了终端用户与SP之间的安全漏洞。通过维护SP访问权限信息，可以控制SP对终端用户的属性信息的获取，从而可以给终端用户提供不同的服务。通过获取SP的一次性信息并对认证结果加密，可以避免出现重放攻击，进一歩提高了网络身份认证的安全性。
实施例7
参见图8，本发明实施例还提供了一种服务提供商装置，应用于web服务，该装置包括:
接收模块801，用于接收终端用户发来的业务请求，业务请求中包含标识信息和终端用户的身份认证信息，标识信息用于要求返回服务提供商的网络身份认证结果；
发送模块802，用于向IDP发起网络身份认证请求，并在网络身份认证请求中携带标识信息和终端用户的身份认证信息。
进一歩地，图8所示的装置中发送模块802具体包括-
发送单元，用于向IDP发起网络身份认证请求，并在网络身份认证请求中携带标识信息、终端用户的身份认证信息和服务提供商的身份认证信息。进一步地，图8所示的装置中发送模块802还包括一次性信息发送单元，用于发送服务提供商的一次性信息给IDP;
相应地，该装置还包括
解密模块803，用于当装置收到IDP发来的根据一次性信息得到的加密信息后，进行解密。
本实施例通过发送标识信息给IDP，使IDP对SP也进行网络身份认证，提髙了网络身份认证的安全性，与现有技术相比，避^了虚假SP使用户的身份信息等暴露给用户带来损失，解决了终端用户与SP之间的安全漏洞。通过发送SP的一次性信息给IDP，使IDP根据该信息对认证结果加密，可以避免出现重放攻击，进一歩提高了网络身份认证的安全性。
实施例8
参见图9,本发明实施例还提供了一种身份提供商装置，应用于web服务，该身份提供商为SP归属的身份提供商，该装置包括
接收模块901，用于接收终端用户发来的网络身份认证请求；
认证模块902，用于在接收模块901接收到网络身份认证请求后，对终端用户进行网络身份认证，并返回认证结果给终端用户。
本实施例适用于终端用户指定的IDP无法完成对终端用户进行网络身份认证的场景，通过以SP归属的身份提供商对终端用户进行网络身份认证，实现了单点登录过程中的无缝切换。实施例9
参见图10，本发明实施例还提供了一种服务提供商装置，该装置包括
接收模块1001,用于接收终端用户发来的业务请求；还用于接收终端用户指定的IDP返
回不支持认证的结果，结果中指明终端用户指定的IDP不是SP归属的IDP;
发送模块1002，用于在接收模块1001收到业务请求后，向终端用户指定的IDP发起网
络身份认证请求，在接收模块收到结果后，回复响应给终端用户，响应中携带SP归属的IDP
信息o
进一歩地，参见图ll，接收模块1001还用于当SP归属的IDP不是终端用户归属的IDP时，接收终端用户发來的业务鉴权请求；相应地，上述装置还包括
业务鉴权模块1003,用于在接收模块1001接收到业务鉴权请求后，对终端用户进行鉴权，并返回鉴权结果给终端用户。
本实施例适用于终端用户指定的IDP无法完成对终端用户进行网络身份认证的场景，通过返回SP归属的IDP信息给终端用户，使终端用户可以向SP归属的IDP发起网络身份认证，实现了单点登录过程中的无缝切换。当SP归属的IDP不是终端用户归属的IDP时，通过对终端用户进行业务鉴权，进一步实现了单点登录过程中的无缝切换。
实施例10
参见图12，本发明实施例还提供了一种服务提供商装置，应用于web服务，该服务提供商没有归属的1DP，该装置包括
接收模块1201,用于接收终端用户发来的业务鉴权请求；
业务鉴权模块1202，用于当接收模块1201收到业务鉴权请求后，对终端用户进行鉴权，并返回鉴权结果给终端用户。
进一步地，参见图13，接收模块1201还用于接收终端用户发来的业务请求；
相应地，上述装置还包括
发送模块1203，用于当接收模块1201收到业务请求后，向终端用户返回响应，响应中指明服务提供商没有归属的IDP。
本实施例适用于SP无归属的IDP的场景，通过对终端用户进行业务鉴权，实现了单点登录过程中的无缝切换。实施例11
参见图14，本发明实施例还提供了一种身份提供商装置，应用于web服务，该装置包括:
接收模块1401,用于接收SP发来的对终端用户进行网络身份认证的请求；
控制模块1402，用于当接收模块1401收到请求后，根据预设的SP访问权限信息判断
SP是否被允许请求认证，如果是，则对终端用户进行网络身份认证，返回认证结果给SP:
否则，拒绝SP的请求。
.进一步地，参见图15，上述装置还包括
加密处理模块1403，用于根据接收模块收到的请求中包含的SP的一次性信息，加密控制模块得到的认证结果，并返回加密后的信息给SP。
本实施例通过维护SP访问权限信息，可以控制SP对终端用户的属性信息的获取，从而可以给终端用户提供不同的服务。通过获取SP的一次性信息并对认证结果加密，可以避免出现重放攻击，进一步提高了网络身份认证的安全性。
本发明实施例可以利用软件实现，相应的软件程序可以存储在可读取的存储介质中，例如，计算机的硬盘、缓存或光盘中。
以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
权利要求
1.一种提高网络身份认证安全性的方法，其特征在于，应用于web服务，所述方法包括对服务提供商SP和终端用户进行网络身份认证；将认证结果返回给所述SP，所述认证结果包括所述SP的网络身份认证结果和所述终端用户的网络身份认证结果。
2. 根据权利要求1所述的提高网络身份认证安全性的方法，其特征在于，所述对服务提 供商SP和终端用户进行网络身份认证之前，还包括所述终端用户向所述SP发起业务请求,所述业务请求中携带标识信息和所述终端用户的 身份认证信息，所述标识信息用于要求返回SP的网络身份认证结果。
3. 根据权利要求2所述的提高网络身份认证安全性的方法，其特征在于，所述方法还包括所述SP收到所述业务请求后，发起网络身份认证请求，并在所述网络身份认证请求中携 带所述标识信息、所述终端用户的身份认证信息和所述SP的身份认证信息； 相应地，所述对服务提供商SP和终端用户进行网络身份认证，具体包括 收到所述网络身份认证请求后，根据所述SP的身份认证信息和所述终端用户的身份认证 信息，对所述SP和终端用户进行网络身份认证。
4. 根据权利要求2所述的提高网络身份认证安全性的方法，其特征在于，所述方法还包括所述SP收到所述业务请求后，发起网络身份认证请求，并在所述网络身份认证请求中携 带所述标识信息和所述终端用户的身份汄证信息；相应地，所述对服务提供商SP和终端用户进行网络身份认证，具体包括 对所述SP进行网络身份认证；收到所述网络身份认证请求后，根据所述终端用户的身份认证信息，对所述终端用户进 行网络身份认证。
5. 根据权利要求2所述的提髙网络身份认证安全性的方法，其特征在于，所述方法还包括接收所述终端用户发来的核实所述SP的网络身份认证结果的请求,所述请求中包含所述 终端用户从所述SP返回的响应中提取的所述SP的网络身份认证结果；对所述SP的网络身份认证结果进行核实后，返回核实的结果给所述终端用户。
6. —种实现单点登录过程无缝切换的方法，其特征在于，应用于web服务，所述方法 包括.-当SP向终端用户指定的IDP请求网络身份认证并且得到所述IDP不支持所述认证的结 果后，所述SP归属的IDP接收所述终端用户发來的网络身份认证请求所述SP归属的IDP对所述终端用户进行网络身份认证后，返回认证结果给所述终端用户。
7. 根据权利要求6所述的实现单点登录过程无缝切换的方法，其特征在于，所述方法还包括所述终端用户指定的IDP接收所述SP发來的网络身份认证请求，对所还终端用户进行 网络身份认证，并返回不支持所述认证的结果给所述SP，所述结果中指明所述终端用户指定 的IDP不是所述SP归属的IDP;所述SP收到所述结果后，回复响应给所述终端用户，所述响应中携带所述SP归属的IDP 信息。
8. 根据权利要求7所述的实现单点登录过程无缝切换的方法，其特征在于，所述方法还包括所述网络身份认证请求中携带要求返回所述SP的网络身份认证结果的标识信息； 所述终端用户指定的IDP根据所述标识信息对所述SP进行网络身份认证，并在所述结 果中携带所述SP的网络身份认证结果。
9. 根据权利要求6所述的实现单点登录过程无缝切换的方法，其特征在于，所述方法还 包括当所述SP归属的IDP不是所述终端用户归属的IDP时，所述终端用户接收所述SP返回的认证失败的结果；所述终端用户向所述SP发起业务鉴权请求；所述SP接收到所述业务鉴权请求后，对所述终端用户进行鉴权，并返回鉴权结果给所述 终端用户。
10. 根据权利要求9所述的实现单点登录过程无缝切换的方法，其特征在于，所述方法 还包括所述终端用户向自身归属的IDP获取引导信息；相应地，所述终端用户还在所述业务鉴权请求中携带所述引导信息。
11. 一种实现单点登录过程无缝切换的方法，其特征在于，应用于web服务，所述方法 包括当自身没有归属的IDP时，接收终端用户发来的业务鉴权请求； 对所述终端用户进行鉴权，并返回鉴权结果给所述终端用户。
12. 根据权利要求11所述的实现单点登朵过程无缝切换的方法，其特征在于，所述方法 还包括接收所述终端用户发来的业务请求，向所述终端用户返回响应，所述响应中指明自身没 有归属的IDP;相应地，所述接收终端用户发来的业务鉴权请求，具体为 接收所述终端用户在收到所述响应后发来的业务鉴权请求。
13. 根据权利要求ll所述的实现单点登录过程无缝切换的方法，其特征在于，所述方法 还包括所述业务鉴权请求中携带所述终端用户向自身妇属的IDP获取的引导信息。
14. 一种提高网络身份认证安全性的方法，其特征在于，应用于web服务，所述方法包括接收SP发來的对终端用户进行网络身份认证的请求，所述请求中包括服务提供商的访问 权限信息；根据所述访问权限信息，对所述终端用户进行网络身份认证，返回认证结果。
15. 根据权利要求14所述的提卨网络身份认证安全性的方法，其特征在于，所述方法还 包括所述请求中携带要求返冋所述SP的网络身份认证结果的标识信息； 根据所述标识信息对所述SP进行网络身份认证，并在所述认证结果中携带所述SP的网 络身份认证结果。
16. 根据权利要求14所述的提高网络身份认证安全性的方法，其特征在于，所述汄证结 果包括引导信息，所述引导信息包括所述SP的访问权限信息，所述方法还包括所述SP根据所述引导信息访问相应的发现服务DS;所述DS根据所述SP的访问权限信息提供相应的AP的信息给所述SP。
17. -种身份提供商装置，其特征在于，应用于web服务，所述装置包括 认证模块，用于对SP和终端用户进行网络身份认证；发送模块，用于将所述认证模块得到的认证结果返回给所述SP，所述认证结果包括所述 终端用户的网络身份认证结果和所述SP的网络身份认证结果。
18. 根据权利要求17所述的身份提供商装置，其特征在于，所述装置还包括 第一接收模块，用于接收所述SP发来的网络身份认证请求，所述网络身份认证请求中包含所述SP的身份认证信息和所述终端用户的身份认证信息；相应地，所述认证模块具体用于当所述第一接收模块收到所述网络身份认证请求后，根 据所述SP的身份汄证信息和所述终端用户的身份认证信息，对所述SP和终端用户进行网络 身份认证。
19. 根据权利要求17所述的身份提供商装置，其特征在于，所述装置还包括 第二接收模块，用于接收所述SP发来的网络身份认证请求，所述网络身份认证请求中包含标识信息和所述终端用户的身份认证信息，所述标识信息用于要求返回SP的网络身份认证 结果；相应地，所述认证模块具体包括第一认证单元，用于对所述SP进行网络身份认证；第二认证单元，用于当所述第二接收模块收到所述网络身份认证请求后，根据所述终端 用户的身份认证信息，对所述终端用户进行网络身份认证。
20. 根据权利要求17所述的身份提供商装置，其特征在于，所述装置还包括 核对模块，用于接收到所述终端用户发来的核实所述SP的网络身份认证结果的请求后，对所述SP的网络身份认证结果进行核实，并返回核实的结果给所述终端用户。
21. —种服务提供商装置，其特征在于，应用于web服务，所述装置包括接收模块，用于接收终端用户发來的业务请求，所述业务请求中包含标识信息和所述终端币户的身份认证信息，所述标识信息用于要求返回所述服务提供商的网络身份认证结果；发送模块，用于向IDP发起网络身份认证请求，并在所述网络身份认证请求中携带所述 标W信息和所述终端用户的身份认证信息。
22. 根据权利要求21所述的服务提供商装置，其特征在于，所述发送模块具体包括 发送单元，用于向IDP发起网络身份认证请求，并在所述网络身份认证请求中携带所述标识信息、所述终端用户的身份认证信息和所述服务提供商的身份认证信息。
23. —种身份提供商装置，其特征在于，应用于web服务，所述身份提供商为SP归属 的身份提供商，所述装置包括-接收模块，用于接收终端用户发来的网络身份认证请求；认证模块，用于在所述接收模块接收到所述网络身份认证请求后，对所述终端用户进行 网络身份认证，并返回汄证结果给所述终端用户。
24. —种服务提供商装置，其特征在于，应用于web服务，所述装置包括 接收模块，用于接收终端用户发来的业务请求还用于接收所述终端用户指定的IDP返回不支持所述认证的结果,所述结果中指明所述终端用户指定的IDP不是所述SP归属的IDP;发送模块，用r-在所述接收模块收到所述业务请求后，向所述终端用户指定的IDP发起 网络身份认证请求，在所述接收模块收到所述结果后，回复响应给所述终端用户，所述响应 中携带所述SP归属的IDP信息。
25. 根据权利要求24所述的服务提供商装置，其特征在于，所述接收模块还用于当所述 SP归属的IDP不是所述终端用户归属的IDP时，接收所述终端用户发来的业务鉴权请求；所述装置还包括业务鉴权模块，用于在所述接收模块接收到所述业务鉴权请求后，对所述终端用户进行 鉴权，并返回鉴权结果给所述终端用户。
26. —种服务提供商装置，其特征在于，应用于web服务，所述服务提供商没有归属的 IDP，所述装置包括-接收模块，用于接收终端用户发来的业务鉴权请求；业务鉴权模块，用于当所述接收模块收到所述业务鉴权请求后，对所述终端用户进行鉴 权，并返回鉴权结果给所述终端用户。
27. 根据权利要求26所述的服务提供商装置，其特征在于，所述接收模块还用于接收所 述终端用户发来的业务请求；相应地，所述装置还包括发送模块，用于当所述接收模块收到所述业务请求后，向所述终端用户返回响应，所述 响应中指明所述服务提供商没有归属的IDP。
28. —种身份提供商装置，其特征在于，应用于web服务，所述装置包括 接收模块，用于接收SP发来的对终端用户进行网络身份认证的请求，所述请求中包括服务提供商的访问权限信息；控制模块，用于当所述接收模块收到所述请求后，根据所述访问权限信息对所述终端用 户进行网络身份认证，并返回认证结果给所述SP。
全文摘要
本发明公开了一种提高网络身份认证安全性的方法和装置，以及一种实现单点登录过程无缝切换的方法和装置，应用于web服务，属于通信技术领域。所述提高网络身份认证安全性的方法通过对SP和终端用户进行网络身份认证，或者根据SP访问权限信息控制网络身份认证，提高了网络身份认证的安全性，且可以控制SP对终端用户属性信息的获取，从而使SP对终端用户提供不同的服务。所述实现单点登录过程无缝切换的方法通过SP归属的IDP对终端用户进行网络身份认证或者SP对终端用户进行鉴权，实现了单点登录过程中的无缝切换。所述装置为身份提供商装置和服务提供商装置。
文档编号H04L9/32GK101567878SQ20081009487
公开日2009年10月28日 申请日期2008年4月26日 优先权日2008年4月26日
发明者张惠萍, 健 杨, 雷 王, 挺 董, 陈国乔 申请人:华为技术有限公司