专利名称:一种网络身份认证服务器及其认证方法与系统的制作方法
技术领域:
本发明涉及网络技术领域,尤其涉及网络身份认证服务器及其方法与系统。
背景技术:
身份管理(Identity Management,简称IdM)是指以网络和相关支持技术为基础, 对用户身份的生命周期(使用过程)以及这些身份与网络应用服务之间的关系进行管理。 例如,对访问应用和资源的用户进行认证或授权等。身份管理系统主要指网络实体(用户 或者设备)的标识和属性在网络上进行统一管理和应用。当前IdM系统的研究目标是将涉及网络和业务的所有身份标识在统一的架构下 进行管理和使用,从而实现全球网络单点登陆。然而身份标识涉及到人类和自然界活动的 各个层面,涉及到国家、企事业单位等不同层面机构和个人用户的利益,人们不可能在全球 范围内使用单一类型的IdM,再加上网络分布式特征,各不同行业对IdM所采用的技术和架 构有较大差异。这导致网络上存在多种不同类型的IdM系统,相互之间的兼容性成了很大 的问题。因此IdM要形成统一的平台,必然要求不同的IdM提供商之间,具有良好的互操作 性。互操作性(Interoperation)是指为了相互利益,独立的IdM系统之间互相协作,进行 有效信息的交换(例如,用户信任信息)和通信等操作的能力。不同类型IdM之间身份信 息的互操作性问题,是当前阻碍IdM系统进一步应用的主要技术障碍。为了解决不同IdM的互操作性问题,越来越多的国际标准组织及各种机构都投入 大量的技术力量对IdM技术的互操作性进行研究,并加紧提出各自的标准或规范,然而当 前提出的许多方法的大多是基于以下两个原理一是有某种商业关系的两个或多个IdM系 统,两两进行互联,通过二者之间建立相应的转换模块将各自的协议进行互换,从而达到通 信双方的信任并能够识别相互的格式,从而实现不同IdM系统之间的互操作性。在这种模型中,当IdM要完成与其它IdM系统的关联则必须两两之间建立相应的 关联模块,工作量呈指数增长。如果其中一个IdM系统的认证策略发生改变后,与其连接的 IdM系统都必须进行相应的修改,这对身份提供商来说是极不方便的,不利于系统的扩展, 成本较高。这种模型只适于解决小范围的IdM的互通互联,具有很大的局限性。二是提出 一种新的通用身份管理系统,因为这是一种全球通用的身份管理系统,所以能够很好的实 现不同身份管理的互操作性。然而这种模型是一种新的设计,加入了许多与已有IdM系统 不相兼容的新特征(例如新的命名格式),这就势必需要对已有的IdM系统进行较大改变, 在当前阶段这是不现实的。在当前阶段,我们还不能较好的实现不同IdM系统的身份提供商(Identity Provide, IdP)之间的互联互通。目前典型应用,如图1所示,一个服务提供商(Service Provider, SP)要和多个身份提供商IdP实现互联,就需要和每个身份提供商IdP之间建立 单独的关联模块。服务提供商SP为了得到更多的用户群,就必须自己开发与各个身份提供 商IdP之间的关联模块,并且如果某个身份提供商IdP认证策略发生改变,服务提供商SP 与之关联的模块也必须要进行相应的修改。以上方案中,对服务提供商SP来说是非常不方便的,尤其是当身份提供商IdP的数量较多时,会给服务提供商SP造成很大的负担。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种网络身份认 证服务器及其方法与系统,其可以结合各个网站的身份认证功能,让网站之间有一个统一 的身份认证管理,以将各自的用户结合起来,形成用户群高度共享的平台。本发明解决其技术问题所采用的技术方案是构造一种网络身份认证服务器,其中,包括 服务提供商请求接收模块,用于接收来自服务提供商的请求信息,将该请求信息 进行标记,并使网络身份认证服务器与请求的用户建立连接;身份提供商信息存储模块,用于存储所有与网络身份认证服务器连接的身份提供 商的信息;身份提供商选择模块,用于在用户没有绑定的身份提供商时,向用户发送身份提 供商选择信息,提示用户选择身份提供商;身份提供商请求发送模块,在用户选择了身份提供商后,向所选定的身份提供商 发送包含唯一标记的请求信息,将用户重定向到选定的身份提供商进行身份认证;认证结果反馈模块,用于接收身份提供商反馈的认证结果,并将所述认证结果转 发给所述服务提供商。本发明所述的网络身份认证服务器,其中,所述身份提供商选择模块包括身份提供商绑定单元,用于在用户没有绑定的身份提供商时,提示用户注册用户 名,并选择与一个或多个身份提供商进行绑定;绑定判断单元,用于在用户已经有绑定的身份提供商时,提示用户输入绑定时所 注册的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。本发明所述的网络身份认证服务器,其中,所述身份提供商选择模块中还包括身 份提供商默认设置单元,用于供用户设定默认的身份提供商;所述身份提供商请求发送模块,在用户已经设置有默认的身份提供商时,直接向 所选定的身份提供商发送包含所述标记的请求信息,将用户重定向到选定的身份提供商进 行身份认证。本发明所述的网络身份认证服务器,其中,还包括密码箱,用于存储用户在默认绑 定身份提供商注册的用户名和密码;以及代理注册模块,用于在用户输入了在网络身份认证服务器注册的用户名和密码 后,查询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默 认绑定的身份提供商进行认证。本发明还提供了一种网络身份认证系统,包括用户、服务提供商和身份提供商,其 中,还包括前面所述的网络身份认证服务器;其中,所述用户,向所述服务提供商发送通过网络身份认证服务器认证方式登陆的请 求;所述服务提供商,将所述用户重定向至所述网络身份认证服务器,并在接收到网 络身份认证服务器转发回来的认证结果后,为所述用户提供服务;
所述网络身份认证服务器,要求所述用户选择进行登陆的身份提供商,并在用户做出选择后,将用户重定向至选定的身份提供商,并在身份提供商反馈认证结果后,将认证 结果再转发至服务提供商;所述身份提供商,要求用户输入在身份提供商注册的用户名和密码,并在用户输 入用户名和密码后,向用户及网络身份认证服务器反馈认证结果。本发明所述的网络身份认证系统,其中,所述网络身份认证服务器包括用户身份 属性信息存储模块,用于存储用户身份属性信息,构成一个独立的身份提供商,为所述服务 提供商提供身份认证功能。本发明还提供了一种基于前述网络身份认证系统的网络身份认证方法,其中,包 括以下步骤A、服务提供商在用户选择通过网络身份认证服务器认证方式登陆时,将用户直接 定向到网络身份认证服务器页面;B、网络身份认证服务器接收来自服务提供商的请求信息,生成与每个服务提供商 发送的请求信息唯一对应的标记,并与请求的用户建立连接;C、用户在网络身份认证服务器上没有用户名时,网络身份认证服务器向用户发送 身份提供商选择信息,提示用户选择身份提供商;D、在用户选择了身份提供商后,向所选定的身份提供商发送包含所述标记的请求 信息,将用户重定向到选定的身份提供商进行身份认证;E、网络身份认证服务器接收身份提供商反馈的认证结果,并将所述认证结果转发 给所述服务提供商。本发明所述的网络身份认证方法,其中,所述步骤C还包括网络身份认证服务器在用户没有绑定的身份提供商时,提示用户注册用户名,并 选择与一个或多个身份提供商进行绑定;网络身份认证服务器在用户已经有绑定的身份提供商时,提示用户输入绑定时所 注册的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。本发明所述的网络身份认证方法,其中,所述步骤C还包括用户设定默认的身份提供商,网络身份认证服务器在用户已经设置有默认的身份 提供商时,直接向所选定的身份提供商发送包含所述标记的请求信息,将用户重定向到选 定的身份提供商进行身份认证。本发明所述的网络身份认证方法,其中,所述步骤C还包括将用户在默认绑定身份提供商注册的用户名和密码存储在网络身份认证服务器 中,网络身份认证服务器在用户输入了在网络身份认证服务器注册的用户名和密码后,查 询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默认绑 定的身份提供商进行认证。本发明在现有的代理服务器的基础上,建立与服务提供商和身份提供商之间的接 口,可以结合各个网站的身份认证功能,将数目众多的中小型身份管理系统联合起来,形成 用户群高度共享的平台,从而能够突破用户数量的限制,快速有效的为众多中小服务提供 商提供身份认证,提升服务的竞争力,也方便注册用户享受更多业务。
下面将结合附图及实施例对本发明作进一步说明,附图中图1是现有技术中的网络身份认证系统原理框图;图2是本发明实施例的网络身份认证服务器及其与用户、身份提供商和服务提供商连接的原理框图;图3是本发明实施例的网络身份认证系统交互原理图;图4是本发明实施例的用户在网络身份认证服务器拥有用户名和密码情况下的 流程图;图5是本发明实施例的用户在网络身份认证服务器没有用户名情况下的流程图;图6是本发明实施例的用户在网络身份认证服务器只有用户名没有密码情况下 的流程图。
具体实施例方式下面结合图示,对本发明的优选实施例作详细介绍。本发明较佳实施例的网络身份认证服务器原理框图如图2所示,其包括服务提供 商请求接收模块、身份提供商信息存储模块、身份提供商选择模块、身份提供商请求发送模 块和认证结果反馈模。其中,服务提供商请求接收模块接收来自服务提供商的请求信息,生 成与每个服务提供商发送的请求信息唯一对应的标记,以将该请求信息进行标记,并使得 网络身份认证服务器与请求的用户建立连接。身份提供商信息存储模块用于存储所有与网 络身份认证服务器连接的身份提供商的信息。身份提供商选择模块在用户没有绑定的身份 提供商时,向用户发送身份提供商选择信息,提示用户选择身份提供商。身份提供商请求 发送模块在用户选择了身份提供商后,向所选定的身份提供商发送包含唯一标记的请求信 息,将用户重定向到选定的身份提供商进行身份认证。认证结果反馈模块接收身份提供商 反馈的认证结果,并将认证结果转发给服务提供商。其中,服务提供商传递给网络身份认证服务器的请求信息中至少包括以下四个参 数服务提供商用户名、用户随机号、返回地址和信息摘要(message-digest algorithm 5, MD5)。其中,MD5摘要被广泛用于加密和解密技术上,它可以说是文件的“数字指纹”,任何 一个文件,无论是可执行程序、图像文件、临时文件或者其他任何类型的文件,也不管它体 积多大,都有且只有一个独一无二的MD5信息值,并且如果这个文件被修改过,它的MD5值 也将随之改变。因此,我们可以通过对比同一文件的MD5值,来校验这个文件是否被“篡改” 过。这四个参数能确保在用户身份认证完成后,网络身份认证服务器能顺利将认证结 果发送回服务提供商,通过预共享密钥对所传递的信息进行加密。由于密钥只有代理服务 器和服务提供商知道,可以保证在他们之间传递的信息的真实性与完整性。而服务提供商 则通过用户随机号识别该认证针对的是哪一个用户,当然服务提供商在将这个用户随机号 发送给网络身份认证服务器的同时,本身也必须有保存一份。网络身份认证服务器发送给 服务提供商的不单是一个对用户的身份认证结果,同时也可以包含该用户的属性信息。而 服务提供商则可以根据对用户的认证结果,再开展本身网站的业务。服务提供商可以将接 收到的用户属性与自身用户信息库做一个衔接,做到数据同步。
网络身份认证服务器作为服务提供商与身份提供商之间的桥梁,不仅与服务提供 商之间具有接口,同时还与身份提供商之间具有接口。在网络身份认证服务器与身份提供 商的交互中,并不需要把服务提供商的相关信息发送给身份认证上,其要做的是让身份提 供商在对用户的认证登录事务处理中,只相当于接受网络身份认证服务器的用户认证请 求,而不是接收来自各个服务提供商的认证请求。因此,网络身份认证服务器在接收到服务提供商的请求信息后,生成与每个服务 提供商发送的请求信息唯一对应的标记。身份提供商请求发送模块在用户选择了身份提供 商后,向所选定的身份提供商发送包含标记的请求信息,将用户重定向到选定的身份提供 商进行身份认证。在身份提供商认证完成后,反馈给网络身份认证服务器的认证结果中,也 包含这一标记,因此网络身份认证服务器能知道该次认证是为哪一个服务提供商服务的。 认证结果反馈模块接收身份提供商反馈的认证结果,对信息进行完整性认证,如果认证结 果是正确的,用户已经在身份提供商页面完成了登录,那么代理服务器将取出服务提供商 请求信息中的标记,通过它找到发送这次请求的服务提供商的相关信息,将认证结果转发 给相应的服务提供商。
在进一步的实施例中,网络身份认证服务器中的身份提供商选择模块包括身份提 供商绑定单元和绑定判断单元。其中,身份提供商绑定单元在用户没有绑定的身份提供商 时,如用户是第一次使用网络身份认证服务器,在用户选择IDP时,弹出绑定用户输入页 面,提示用户注册用户名,并选择与一个或多个身份提供商进行绑定。绑定判断单元在用户 已经有绑定的身份提供商时,如已经绑定有身份提供商的用户再次使用本网络身份认证服 务器,则提示用户输入绑定时所注册的用户名,获得绑定的身份提供商名单,并从中选择需 要的身份提供商。若用户所绑定的服务提供商只有一个,则网络身份认证服务器自动转向 到该服务提供商的页面进行身份认证,而不需要用户进行选择。有些时候,用户希望的是每次在请求服务提供商服务的时候,都能通过用这个身 份提供商的身份信息来获得认证。在进一步的实施例中,在网络身份认证服务器的身份提供商选择模块中还包括身 份提供商默认设置单元,用于供用户设定默认的身份提供商。身份提供商请求发送模块在 用户已经设置有默认的身份提供商时,可省略让用户选择身份提供商的操作,直接向所选 定的身份提供商发送包含标记的请求信息,将用户重定向到选定的身份提供商进行身份认 证。这种情况下,认证流程就可以得到简化,让用户可以得到快速的服务。而且由于这个过 程是在网络身份认证服务器内部完成。在人机交互界面上,用户只感受到从服务提供商页 面,直接跳转到身份提供商页面,用户并不会感觉到停滞,这就增加了认证操作的友好性。在进一步的实施例中,网络身份认证服务器还包括密码箱以及代理注册模块。其 中密码箱用于存储用户在默认绑定身份提供商注册的用户名和密码。代理注册模块用于在 用户输入了在网络身份认证服务器注册的用户名和密码后,查询用户对应的密码箱,得到 用户在默认身份提供商注册的用户名和密码、并发送至默认绑定的身份提供商进行认证。 这样就不需要用户再次输入在身份提供商注册的用户名和密码,而只需要在网络身份认证 服务器页面输入在网络身份认证服务器注册的用户名和密码,即可完成整个认证过程。其中密码箱配置过程可如下首先,用户进入网络身份认证服务器的个人管理中, 开始密码箱功能的管理。用户需要为每个已经有注册账户的身份提供商创建一张身份卡。身份卡必须包含两个信息,该身份提供商的用户名与密码。当然,在完成了身份卡的创建之后,用户需要为这张身份卡定义一个名字,允许的话可以增加备注信息。这样,用户以后可 以很方便地找到这张身份卡,并能很快知道它的相关信息。在下一次进行身份提供商登录认证操作的时候,用户可以从属于自己的身份卡信息库里面,很轻松地抽取一张身份卡,而 代理服务器则会使用这张身份卡的信息帮助用户自动到身份提供商登录认证,用户不再需 要输入身份信息这一繁琐的操作。这个功能在于可以很方便的帮助用户管理多个身份信息,在互联网上,有些网站 的身份认证是比较需要具有权威性的,用户需要提供的是比较真实的,与自己切身相关的 信息。而某些网站,例如对于用户来讲,属于趋向于娱乐性比较多的,那么用户并不需要提 供过多对自己比较重要的身份信息。对于需要提供不同身份信息的用户来讲,身份信息卡 的功能就恰恰能够满足用户的需求,让用户灵活提供自己的身份信息进行认证登录。其中, 身份信息卡选择过程可以忽略。本发明的另一实施例中,还提供了一种网络身份认证系统,包括用户、服务提供商 和身份提供商,还包括前面任一实施例中所述的网络身份认证服务器。其中,用户、服务提 供商、身份提供商与网络身份认证服务器之间的信息交互流程如图3所示,其中包括S11、用户访问服务提供商网站,开始认证过程;S12、用户选择通过代理服务器认证方式登录,服务提供商直接将用户浏览器重定 向到网络身份认证服务器页面;S13、a)要求用户选择哪家身份提供商进行登录;b)用户选择身份提供商;S14、网络身份认证服务器将用户重定向到所选择的身份提供商;S15、a)身份提供商要求用户输入用户名密码;b)用户输入用户名密码;c)身份提 供商认证用户信息;S16、身份提供商弹出认证结果给用户;S17、身份提供商将认证结果返回给代理服务器;S18、网络身份认证服务器将认证结果返回给服务提供商;S19、服务提供商根据认证结果为用户提供服务。其中用户、服务提供商、身份提供商与网络身份认证服务器之间所传递信息可参 见前述各网络身份认证服务器的实施例,在此不再赘述。在进一步的实施例中,以上网络身份认证系统中的网络身份认证服务器包括用户 身份属性信息存储模块,用于存储用户身份属性信息,构成一个独立的身份提供商,为服务 提供商提供身份认证功能。即,网络身份认证服务器可以经过扩展,成为独立的认证提供 商,为SP提供用户身份认证功能。用户在使用网络身份认证服务器的扩展功能时,也可以 在网络身份认证服务器登记自己的身份属性信息,结合用户在网络身份认证服务器的用户 名和密码,可以构成一个完整的认证提供商,为服务提供商提供身份认证功能。在本发明进一步的实施例中,还提供了一种基于以上网络身份认证服务器及其认 证系统的网络身份认证方法,包括以下步骤1)服务提供商在用户选择通过网络身份认证 服务器认证方式登陆时,将用户直接定向到网络身份认证服务器页面;2)网络身份认证服 务器接收来自服务提供商的请求信息,生成与每个服务提供商发送的请求信息唯一对应的 标记,并与请求的用户建立连接;3)用户在网络身份认证服务器上没有用户名时,网络身份认证服务器向用户发送身份提供商选择信息,提示用户选择身份提供商;4)在用户选择 了身份提供商后,向所选定的身份提供商发送包含标记的请求信息,将用户重定向到选定 的身份提供商进行身份认证;网络身份认证服务器接收身份提供商反馈的认证结果,并将 认证结果转发给服务提供商。其中的步骤“3)用户在网络身份认证服务器上没有用户名时,向用户发送身份提 供商选择信息,提示用户选择身份提供商”只是该方法中的一种情况,即“用户在网络身份 认证服务器没有用户名和密码时”,在这种情况下认证的详细流程图如图5所示。另外还存 在两种情况1、用户在网络身份认证服务器拥有用户名和密码,如图4所示;2、用户在网络 身份认证服务器只有用户名没有密码,如图6所示。以下对实施例的本网络身份认证方法作详细描述用户在网络身份认证服务器拥有用户名和密码是认证的详细流程图如图4所示, 包括以下步骤S41、用户访问服务提供商,服务提供商在用户选择通过网络身份认证服务器认证 方式登陆时,将用户直接定向到网络身份认证服务器页面;S42、网络身份认证服务器判断用户在网络身份认证服务器是否有注册用户名,如 果 没有,则转向流程一进行操作,如图5所示;S43、如果用户在网络身份认证服务器有用户名,则网络身份认证服务器提再次判 断用户在网络身份认证服务器是否有密码,如果没有,则转向流程二执行,如图6所示;S44、如果用户在网络身份认证服务器同时有用户名和密码,则提示用户输入用户 名和密码;S45、网络身份认证服务器判断用户绑定的身份提供商是否唯一;S46、如果网络身份认证服务器判断用户绑定的身份提供商唯一,则跳转至绑定的 身份提供商,执行步骤S410;S47、如果网络身份认证服务器判断用户绑定的身份提供商不唯一,则判断是否有 默认的身份提供商;S48、如果用户在网络身份认证服务器中设置有默认的身份提供商,则网络身份认 证服务器直接跳转到默认的身份提供商,执行步骤S410 ;S49、如果用户在网络身份认证服务器中没有设置默认的身份提供商,则网络身份 认证服务器向用户提供绑定的身份提供商列表,用户从中选择一个身份提供商,然后网络 身份认证服务器跳转到选择的身份提供商,执行步骤S410 ;S410、网络身份认证服务器判断是否存储有相应用户所选择的身份提供商的用户 名和密码;S411、如果网络身份认证服务器上存储有被选择的身份提供商的用户名和密码, 则直接执行步骤S413 ;S412、如果网络身份认证服务器上没有存储被选择的目标身份提供商的用户名和 密码,则提示用户输入目标身份提供商的用户名和密码,执行步骤S413 ;S413、网络身份认证服务器完成身份认证,将认证结果返回给网络身份认证服务
ο其中流程一的执行过程如图5所示,包括如下步骤
S51、网络身份认证服务器提供身份提供商列表供用户选择;S52、用户从中选择一个身份提供商; S53、网络身份认证服务器将用户重定向至所选择的身份提供商;S54、身份提供商提示用户输入用户名和密码;S55、用户输入用户名和密码后,身份提供商完成身份认证,并将认证结果返回给 网络身份认证服务器。流程二的执行过程如图6所示,包括如下步骤S61、用户输入在网络身份认证服务器中注册的用户名;S62、网络身份认证服务器判断所用户绑定的身份提供商是否唯一;S63、如果网络身份认证服务器判断所用户绑定的身份提供商唯一,则跳转至绑定 的身份提供商,执行步骤S67;S64、如果网络身份认证服务器判断所用户绑定的身份提供商不唯一,则判断是否 有默认的身份提供商,执行步骤S67 ;S65、如果有默认的身份提供商,则跳转到默认的身份提供商,执行步骤S67 ;S66、如果没有默认的身份提供商,则向用户提供绑定的身份提供商列表,用户从 中选择一个身份提供商,然后跳转到选择的身份提供商,执行步骤S67 ;S67、网络身份认证服务器提示用户输入目标身份提供商的用户名和密码;S68、网络身份认证服务器完成身份认证,并将认证结果返回给网络身份认证服务 器。以上步骤中,网络身份认证服务器的身份提供商绑定单元在用户没有绑定的身份 提供商时,如用户是第一次使用网络身份认证服务器,在用户选择IDP时,弹出绑定用户输 入页面,提示用户注册用户名,并选择与一个或多个身份提供商进行绑定。绑定判断单元在 用户已经有绑定的身份提供商时,如已经绑定有身份提供商的用户再次使用本网络身份认 证服务器,则提示用户输入绑定时所注册的用户名,获得绑定的身份提供商名单,并从中选 择需要的身份提供商。若用户所绑定的服务提供商只有一个,则网络身份认证服务器自动 转向到该服务提供商的页面进行身份认证,而不需要用户进行选择。以上步骤中,用户设定默认的身份提供商,网络身份认证服务器在用户已经设置 有默认的身份提供商时,直接向所选定的身份提供商发送包含标记的请求信息,将用户重 定向到选定的身份提供商进行身份认证。这种情况下,认证流程就可以得到简化,让用户可 以得到快速的服务。而且由于这个过程是在网络身份认证服务器内部完成。在人机交互界 面上,用户只感受到从服务提供商页面直接跳转到身份提供商页面,用户并不会感觉到停 滞,这就增加了认证操作的友好性。以上步骤中,将用户在默认绑定身份提供商注册的用户名和密码存储在网络身份 认证服务器中,网络身份认证服务器在用户输入了在网络身份认证服务器注册的用户名和 密码后,查询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送 至默认绑定的身份提供商进行认证。即用户访问服务提供商,选择通过网络身份认证服务 器认证方式登录。服务提供商直接将用户浏览器重定向到网络身份认证服务器页面,用户 输入在网络身份认证服务器注册的用户名和密码,网络身份认证服务器查询用户对应的密 码箱,得到用户名和密码,然后将用户名和密码发送到绑定的身份提供商进行认证。身份提供商认证完成后,返回认证结果给网络身份认证服务器,网络身份认证服务器转发认证结 果给服务提供商。当前互联网上有两类身份提供商一类是占绝对优势的身份提供商,如腾迅等,另 一类是数量总多的中小型网站的身份管理系统,如游戏网站、社交网站等,他们单个网站注 册用户数量有限,但若能够结成联盟,将会具有庞大的用户群。本发明则在现有的代理服务器的基础上,建立与服务提供商和身份提供商之间的 接口,可以结合各个网站的身份认证功能,将数目众多的中小型身份管理系统联合起来,形 成用户群高度共享的平台,从而能够突破用户数量的限制,快速有效的为众多中小服务提 供商提供身份认证,提升服务的竞争力,也方便注册用户享受更多业务。而目前存在的代理服务器,往往是某个服务提供商为扩展用户群而增加的模块。 该模块归属该服务提供商,为其他身份提供商用户接入该服务提供商提供认证中介。这种 代理服务器与某个服务提供商绑定在一起,并不能为不同运营商的服务提供商提供平台式 服务,其接口往往是私有接口,没有建立在国际主流标准基础上,因此协商流程与本发明有 很大不同。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换, 而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
权利要求
一种网络身份认证服务器,其特征在于,包括服务提供商请求接收模块,用于接收来自服务提供商的请求信息,将该请求信息进行标记,并使网络身份认证服务器与请求的用户建立连接;身份提供商信息存储模块,用于存储所有与网络身份认证服务器连接的身份提供商的信息;身份提供商选择模块,用于在用户没有绑定的身份提供商时,向用户发送身份提供商选择信息,提示用户选择身份提供商;身份提供商请求发送模块,在用户选择了身份提供商后,向所选定的身份提供商发送包含唯一标记的请求信息,将用户重定向到选定的身份提供商进行身份认证;认证结果反馈模块,用于接收身份提供商反馈的认证结果,并将所述认证结果转发给所述服务提供商。
2.根据权利要求1所述的网络身份认证服务器,其特征在于,所述身份提供商选择模 块包括身份提供商绑定单元,用于在用户没有绑定的身份提供商时,提示用户注册用户名,并 选择与一个或多个身份提供商进行绑定;绑定判断单元,用于在用户已经有绑定的身份提供商时,提示用户输入绑定时所注册 的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。
3.根据权利要求2所述的网络身份认证服务器,其特征在于,所述身份提供商选择模 块中还包括身份提供商默认设置单元,用于供用户设定默认的身份提供商;所述身份提供商请求发送模块,在用户已经设置有默认的身份提供商时,直接向所选 定的身份提供商发送包含所述标记的请求信息,将用户重定向到选定的身份提供商进行身 份认证。
4.根据权利要求1至3中任一项所述的网络身份认证服务器,其特征在于,还包括密码 箱,用于存储用户在默认绑定身份提供商注册的用户名和密码;以及代理注册模块,用于在用户输入了在网络身份认证服务器注册的用户名和密码后,查 询用户对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默认绑 定的身份提供商进行认证。
5.一种网络身份认证系统,包括用户、服务提供商和身份提供商,其特征在于,还包括 权利要求1-4中任一项所述的网络身份认证服务器;其中,所述用户,向所述服务提供商发送通过网络身份认证服务器认证方式登陆的请求; 所述服务提供商,将所述用户重定向至所述网络身份认证服务器,并在接收到网络身 份认证服务器转发回来的认证结果后,为所述用户提供服务;所述网络身份认证服务器,要求所述用户选择进行登陆的身份提供商,并在用户做出 选择后,将用户重定向至选定的身份提供商,并在身份提供商反馈认证结果后,将认证结果 再转发至服务提供商;所述身份提供商,要求用户输入在身份提供商注册的用户名和密码,并在用户输入用 户名和密码后,向用户及网络身份认证服务器反馈认证结果。
6.根据权利要求5所述的网络身份认证系统,其特征在于,所述网络身份认证服务器 包括用户身份属性信息存储模块,用于存储用户身份属性信息,构成一个独立的身份提供商,为所述服务提供商提供身份认证功能。
7.一种基于权利要求5所述的网络身份认证系统的网络身份认证方法,其特征在于, 包括以下步骤A、服务提供商在用户选择通过网络身份认证服务器认证方式登陆时,将用户直接定向 到网络身份认证服务器页面;B、网络身份认证服务器接收来自服务提供商的请求信息,生成与每个服务提供商发送 的请求信息唯一对应的标记,并与请求的用户建立连接;C、用户在网络身份认证服务器上没有用户名时,网络身份认证服务器向用户发送身份 提供商选择信息,提示用户选择身份提供商;D、在用户选择了身份提供商后,向所选定的身份提供商发送包含所述标记的请求信 息,将用户重定向到选定的身份提供商进行身份认证;E、网络身份认证服务器接收身份提供商反馈的认证结果,并将所述认证结果转发给所 述服务提供商。
8.根据权利要求7所述的网络身份认证方法,其特征在于,所述步骤C还包括网络身份认证服务器在用户没有绑定的身份提供商时,提示用户注册用户名,并选择 与一个或多个身份提供商进行绑定;网络身份认证服务器在用户已经有绑定的身份提供商时,提示用户输入绑定时所注册 的用户名,获得绑定的身份提供商名单,并从中选择需要的身份提供商。
9.根据权利要求8所述的网络身份认证方法,其特征在于,所述步骤C还包括用户设定默认的身份提供商,网络身份认证服务器在用户已经设置有默认的身份提供 商时,直接向所选定的身份提供商发送包含所述标记的请求信息,将用户重定向到选定的 身份提供商进行身份认证。
10.根据权利要求9所述的网络身份认证方法,其特征在于,所述步骤C还包括将用户在默认绑定身份提供商注册的用户名和密码存储在网络身份认证服务器中,网 络身份认证服务器在用户输入了在网络身份认证服务器注册的用户名和密码后,查询用户 对应的密码箱,得到用户在默认身份提供商注册的用户名和密码、并发送至默认绑定的身 份提供商进行认证。
全文摘要
本发明涉及一种网络身份认证服务器及其认证方法与系统,其中网络身份认证服务器包括服务提供商请求接收模块、身份提供商信息存储模块、身份提供商选择模块、身份提供商请求发送模块和认证结果反馈模块。服务提供商将用户重定向至网络身份认证服务器,并在接收到网络身份认证服务器转发回来的认证结果后,为用户提供服务;网络身份认证服务器要求用户选择进行登陆的身份提供商,并在用户选择后,将用户重定向至选定的身份提供商,并在身份提供商反馈认证结果后,将认证结果转发至服务提供商。本发明的网络身份认证服务器及其方法与系统可以将数目众多的中小型身份管理系统联合起来,快速有效地为众多中小服务提供商提供身份认证。
文档编号H04L29/06GK101867589SQ20101023280
公开日2010年10月20日 申请日期2010年7月21日 优先权日2010年7月21日
发明者余少锋, 储颖, 纪震, 陈剑勇 申请人:深圳大学