專利名稱:身份管理方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域�����,尤其涉及一種身份管理方法及系統(tǒng)���。
背景技術(shù):
身份管理系統(tǒng)身份管理系統(tǒng)(identity management, IDM)不是一個新的事物�����,當(dāng)今社會生活息息相關(guān)的戶籍身份證管理���、護照管理、企業(yè)組織機構(gòu)代碼管理����、設(shè)備編號管理���,都屬于IDM。 現(xiàn)在互聯(lián)網(wǎng)上的IDM系統(tǒng)����,絕大部分是由服務(wù)提供商或企業(yè)提供�,如電信運營商的營帳系統(tǒng)、淘寶網(wǎng)的支付寶�、網(wǎng)絡(luò)游戲運營商的帳號管理系統(tǒng)等等,不同企業(yè)和不同業(yè)務(wù)的IDM系統(tǒng)不同�。這種由服務(wù)提供商或企業(yè)提供的IDM系統(tǒng),存在一些問題1)安全隱患�。用戶不使用真實身份,不可溯源����,有安全隱患。另外企業(yè)對用戶的隱私信息保護不夠重視��,經(jīng)常造成用戶身份信息泄露���。2)重復(fù)注冊���。各個企業(yè)各個服務(wù)��,用戶需要分別注冊�,使用麻煩��。3) IDM系統(tǒng)之間信息不共享�����,不交互�����。一個IDM系統(tǒng)的某個用戶信息發(fā)生改變���,無法同步到其他IDM系統(tǒng)����。為此��,ITU-T標(biāo)準(zhǔn)組織在2006年的SG17會議上成立了 IDM焦點工作組�,提出了通用的IDM功能架構(gòu)。其核心思想是在互聯(lián)網(wǎng)上除了用戶��、服務(wù)提供商(service provider, SP)外,再引入身份提供商(identity provider��,IDP)的概念���,IDP專門為用戶和SP提供用戶的身份服務(wù)����。IDM的系統(tǒng)示意圖見圖1��。IDP為SP提供身份認(rèn)證服務(wù)����,此外還負(fù)責(zé)對用戶身份信息的管理����。例如,接受用戶的注冊請求���,對用戶的身份屬性進行管理(身份屬性的變更�����、撤銷等)���,保證用戶身份信息的安全性��。IDP提供的身份服務(wù)���,包括如下四類1)標(biāo)識。標(biāo)識可以是任何可以用來代表一個實體身份的標(biāo)記����。例如用戶ID、 email地址��、假名��、組名等等�。2)信任狀。身份安全憑證�����,通常用來鑒別一個被聲明的身份的安全參數(shù)����。信任狀可以是密碼、令牌����、安全提示或PKI等相關(guān)信息�。例如密鑰�����、認(rèn)證���、簽名認(rèn)證和密碼信息等����。3)屬性��。身份屬性是實體特征的一些描述��,比如實體類型��、首選IP地址���、域名、地址信息�����、電話號碼等。屬性也可以包括權(quán)限�、代理列表和一些特殊限制。4)身份模式�����。身份模式是指用戶的聲譽�����、名譽�����、信任記錄以及歷史訪問記錄����。在有多個IDP系統(tǒng)的情況下,用戶和SP不知道找哪個IDP提供身份服務(wù)�����,此時需要有一個IDP發(fā)現(xiàn)系統(tǒng)���,找到合適的IDP為用戶提供服務(wù)�。另外,身份信息不但涉及到用戶的隱私�,而且涉及到社會安全和國家安全,必須對IDP系統(tǒng)進行有效監(jiān)管�����。因此���,必須設(shè)立政府層面的IDM監(jiān)管中心��,提供IDP發(fā)現(xiàn)系統(tǒng)功能���,并承擔(dān)對IDP監(jiān)管的責(zé)任。用戶申請身份服務(wù)的業(yè)務(wù)流程見圖2
(201)用戶向SP請求服務(wù)或資源���,并提供IDP相關(guān)信息��。(202) SP請求IDM監(jiān)管中心對用戶提交的IDP服務(wù)器的域名進行地址解析�,得出用戶IDP的網(wǎng)絡(luò)地址����。(203) IDM監(jiān)管中心將IDP網(wǎng)絡(luò)地址發(fā)給SP。(204) SP根據(jù)網(wǎng)絡(luò)地址�����,定位到IDP��。(205) IDP向用戶發(fā)送登陸界面��,讓用戶輸入帳號和密碼����,以及其它登錄信息,以進行驗證��。(206)用戶輸入帳號和密碼�����,以及其它登錄信息����。(207) IDP驗證通過后,向SP發(fā)送驗證通過(拒絕)的指令�����。(208) SP向用戶提供請求的服務(wù)。目前IDM系統(tǒng)一個尚未解決的主要問題是采用什么做為身份的標(biāo)識��,包括用戶身份標(biāo)識和IDP標(biāo)識��。用戶身份標(biāo)識可以用用戶ID����、email地址、假名�、組名,隨意性很大�����,沒有統(tǒng)一的標(biāo)識���。另外��,IDP標(biāo)識用于IDP監(jiān)管中心���、SP、用戶對IDP服務(wù)器的尋址��,現(xiàn)在IDM 標(biāo)準(zhǔn)討論小組擬建議采用URL (Uniform/Universal Resource Locator��,統(tǒng)一資源定位符�, 又稱網(wǎng)頁地址)用于IDP尋址,但URL是以DNS域名解析系統(tǒng)作為基礎(chǔ)���,全球根域名的解析權(quán)在美國����,美國能夠?qū)ζ渌鼑襂DP活動進行監(jiān)控���,危害國家信息安全���。因此有必有建立各國自控的用戶身份標(biāo)識和IDP標(biāo)識。標(biāo)識網(wǎng)技術(shù)與身份標(biāo)識現(xiàn)有因特網(wǎng)廣泛使用的TCP/IP協(xié)議不支持移動性��。當(dāng)終端位置發(fā)生移動時��,終端 IP地址將發(fā)生變化�����,會導(dǎo)致應(yīng)用和連接的中斷�。IP協(xié)議不支持移動性的本質(zhì)原因在于IP 地址包含了身份和位置雙重屬性。IP地址的身份屬性在TCP/IP協(xié)議棧中����,IP地址用來標(biāo)識通信對端�����;IP地址的位置屬性IP地址代表用戶處于哪一個網(wǎng)段��,是路由的基礎(chǔ)���。固定網(wǎng)絡(luò)中,IP地址的位置�、身份屬性合一是沒有問題的,因為終端的位置不變�, IP地址就不會變化,身份屬性也不會變化�。而到了移動互聯(lián)網(wǎng),終端位置的移動�,導(dǎo)致IP地址必須變化,否則沒法路由�����;而IP 地址的變化會導(dǎo)致其上層的TCP/UDP連接必須斷掉重連�,從而導(dǎo)致業(yè)務(wù)中斷,這對于很多應(yīng)用程序來說是不能接受的�����。標(biāo)識網(wǎng)的概念,是將終端IP地址按身份屬性和位置屬性分離成身份標(biāo)識AID和位置標(biāo)識RID��,具體機制如下1)以終端所在的邊緣路由器的IP地址作為終端的位置標(biāo)識�,稱為終端的RID�����,當(dāng)終端位置改變時��,RID發(fā)生變化�。2)引入一個新的命名空間作為終端的身份標(biāo)識,稱為終端的AID����,終端的AID終身保持不變。3)終端只感知自身的AID����,以及通信對端的AID,不感知RID信息���。所有的上層連接均基于AID來建立�。即用TCP/AID、UDP/AID代替TCP/IP��、UDP/IP�����。4)終端以目的AID��、源AID作為目的�、源地址發(fā)出數(shù)據(jù)包,邊緣路由器收到數(shù)據(jù)包后將其中的AID轉(zhuǎn)換成RID ��;RID是IP地址的格式����,可以在現(xiàn)有互聯(lián)網(wǎng)上尋址到通信對端的邊緣路由器;對端邊緣路由器在將數(shù)據(jù)包中的RID再轉(zhuǎn)換成AID��,發(fā)往對方終端���。
AID的編碼格式��,可以由服務(wù)提供商或者政府機構(gòu)定義�,也可以采用但不局限于 IPv4/IPv60采用IP地址編碼格式的好處�,主要是現(xiàn)有市面上的終端無需改動�����,即可支持標(biāo)識網(wǎng)��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種身份管理方法和系統(tǒng)以簡化身份管理���。為解決以上技術(shù)問題,本發(fā)明提供一種身份管理方法���,其特征在于,該方法基于標(biāo)識網(wǎng)實現(xiàn)�����,終端及身份管理(IDP)服務(wù)器具有表示標(biāo)識網(wǎng)內(nèi)身份的身份標(biāo)識(AID)���,所述終端發(fā)起身份服務(wù)流程時����,所述標(biāo)識網(wǎng)的接入服務(wù)節(jié)點(ASN)利用終端和IDP服務(wù)器的AID 將終端的身份服務(wù)請求發(fā)送給所述IDP服務(wù)器�,所述IDP服務(wù)器根據(jù)所述身份服務(wù)請求實現(xiàn)對所述終端的身份管理。進一步地�����,所述終端已知所屬的IDP的情況下,所述終端和IDP服務(wù)器的AID由所述終端在發(fā)送身份服務(wù)請求時�����,提供給所述ASN����。進一步地,所述終端未知所屬的IDP服務(wù)器的情況下���,所述終端的AID由所述終端在發(fā)送身份服務(wù)請求時提供給所述ASN�,所述ASN向監(jiān)管中心(IDM)查詢?yōu)樗鼋K端提供身份服務(wù)的IDP服務(wù)器�,獲得所述IDP的AID。進一步地�����,所述IDP服務(wù)器對所述終端進行身份管理的流程包括所述IDP服務(wù)器向所述終端發(fā)送登錄指示����,所述終端輸入身份信息,所述IDP服務(wù)器根據(jù)所述終端輸入的身份信息進行身份驗證;所述IDP服務(wù)器通過所述ASN向所述終端發(fā)送身份服務(wù)響應(yīng)����,其中攜帶驗證結(jié)果。進一步地�,所述身份服務(wù)包括身份認(rèn)證、身份信息查詢�、身份信息修改、身份信息注冊和身份信息撤銷中的任一種或多種���。進一步地�,所述終端向所述業(yè)務(wù)服務(wù)器提出業(yè)務(wù)請求時���,所述身份管理方法還包括所述業(yè)務(wù)服務(wù)器發(fā)起身份認(rèn)證流程,該身份認(rèn)證流程包括(a)所述業(yè)務(wù)服務(wù)器向所述IDP發(fā)送身份認(rèn)證請求�����,其中攜帶所述終端的AID �����;(b)所述IDP服務(wù)器根據(jù)所述終端的AID檢查所述終端是否已經(jīng)通過驗證�,如已通過驗證則執(zhí)行步驟(e),否則向所述終端發(fā)出認(rèn)證挑戰(zhàn);(c)所述終端向所述IDP發(fā)送所述終端的身份信息���;(d)所述IDP服務(wù)器對所述身份信息進行驗證�����;(e)所述IDP服務(wù)器向所述業(yè)務(wù)服務(wù)器發(fā)送身份認(rèn)證響應(yīng)��,其中攜帶所述終端的 AID及所述終端的身份認(rèn)證結(jié)果�;(f)所述業(yè)務(wù)服務(wù)器根據(jù)所述終端的身份認(rèn)證結(jié)果決定是否對所述終端的業(yè)務(wù)請求授權(quán)����。一種身份管理系統(tǒng),該系統(tǒng)基于標(biāo)識網(wǎng)實現(xiàn)���,包括終端及身份管理(IDP)服務(wù)器�, 其中所述終端��,具有表示標(biāo)識網(wǎng)內(nèi)身份的身份標(biāo)識(AID)�,用于通過ASN向所述IDP服務(wù)器發(fā)送身份服務(wù)請求,其中所述身份服務(wù)請求中攜帶所述終端的AID ���;還用于向所述IDP 服務(wù)器發(fā)送身份信息���;所述ASN�,用于根據(jù)終端的AID及IDP服務(wù)器的AID實現(xiàn)所述終端與IDP服務(wù)器之間的身份服務(wù)請求及身份服務(wù)響應(yīng)的路由轉(zhuǎn)發(fā)�;所述IDP服務(wù)器,具有表示標(biāo)識網(wǎng)內(nèi)身份的AID�,用于接收所述ASN轉(zhuǎn)發(fā)的身份服務(wù)請求,以及驗證所述終端發(fā)送的身份信息��,還用于向所述ASN發(fā)送身份服務(wù)響應(yīng)���,其中攜帶所述終端的AID及驗證結(jié)果信息����。進一步地�,所述終端已知所屬的IDP的情況下,所述終端發(fā)送的身份服務(wù)請求中還攜帶所述IDP服務(wù)器的AID��。進一步地�����,該系統(tǒng)還包括監(jiān)管中心(IDM)�,所述IDM用于管理所述IDP服務(wù)器與所屬終端的對應(yīng)關(guān)系����;與所述終端未知所屬的IDP服務(wù)器的情況下�,所述ASN還用于根據(jù)身份服務(wù)請求中所述終端的AID向所述IDM查詢?yōu)樗鼋K端提供身份服務(wù)的IDP服務(wù)器�,獲得所述IDP服務(wù)器的身份標(biāo)識。進一步地�,所述身份服務(wù)包括身份認(rèn)證、身份信息查詢�����、身份信息修改�����、身份信息注冊和身份信息撤銷中的任一種或多種�。進一步地,所述系統(tǒng)還包括業(yè)務(wù)服務(wù)器�����,用于在所述終端提出業(yè)務(wù)請求時����,向所述 IDP服務(wù)器發(fā)送身份認(rèn)證請求,其中攜帶所述終端的AID ��;以及接收所述IDP服務(wù)器發(fā)送的身份認(rèn)證響應(yīng),其中攜帶所述終端的AID及所述終端的身份認(rèn)證結(jié)果�����,還用于根據(jù)所述終端的身份認(rèn)證結(jié)果決定是否對所述終端的業(yè)務(wù)請求授權(quán)����;所述IDP服務(wù)器根據(jù)所述終端的 AID決定是否向所述終端發(fā)起認(rèn)證挑戰(zhàn)。進一步地����,所述IDP服務(wù)器檢查是否已有所述終端的身份認(rèn)證結(jié)果信息,如果有�, 則直接根據(jù)所述身份認(rèn)證結(jié)果信息向所述業(yè)務(wù)服務(wù)器發(fā)送身份認(rèn)證響應(yīng),否則向所述終端發(fā)起認(rèn)證挑戰(zhàn)�����。進一步地�,所述終端根據(jù)所述IDP服務(wù)器發(fā)送的登錄指示或所述IDP服務(wù)器發(fā)出的認(rèn)證挑戰(zhàn)向所述IDP服務(wù)器發(fā)送身份信息。本發(fā)明方法和系統(tǒng)基于標(biāo)識網(wǎng)實現(xiàn)��,統(tǒng)一采用表示身份的AID作為身份管理的標(biāo)識���,可以簡化身份管理系統(tǒng)的管理����。
圖IIDM的系統(tǒng)示意圖����;圖2用戶申請身份服務(wù)的業(yè)務(wù)流程圖;圖3基于標(biāo)識網(wǎng)的身份管理拓?fù)涫疽鈭D�����;圖4基于標(biāo)識網(wǎng)的IDM系統(tǒng)服務(wù)流程圖1 �;圖5基于標(biāo)識網(wǎng)的IDM系統(tǒng)服務(wù)流程圖2 ;圖6單點登錄服務(wù)流程圖��。
具體實施例方式下面結(jié)合附圖和實施例對本發(fā)明作進一步說明本發(fā)明身份管理方法和系統(tǒng)基于標(biāo)識網(wǎng)實現(xiàn)�����,終端及身份管理(IDP)服務(wù)器具有表示標(biāo)識網(wǎng)內(nèi)身份的身份標(biāo)識(AID)��,所述標(biāo)識網(wǎng)的接入服務(wù)節(jié)點(ASN)利用終端和IDP服務(wù)器的AID實現(xiàn)終端與IDP服務(wù)器之間的身份服務(wù)交互����,所述IDP根據(jù)所述終端提供的身份信息實現(xiàn)對所述終端的身份管理。
下面將結(jié)合附圖及實施例對本發(fā)明的技術(shù)方案進行更詳細(xì)的說明��。如圖3所示的拓?fù)涫疽鈭D描述了與本發(fā)明相關(guān)的系統(tǒng)架構(gòu)關(guān)鍵特征。本發(fā)明所述的基于標(biāo)識網(wǎng)技術(shù)的身份管理系統(tǒng)架構(gòu)(以下簡稱本架構(gòu))的主要網(wǎng)元和功能實體包括ASN =Access Service Node�����,接入服務(wù)節(jié)點���。ASN維護終端與網(wǎng)絡(luò)的連接關(guān)系���,為終端分配RID,處理切換流程��,處理登記注冊流程�����,處理計費/鑒權(quán)流程�,維護/查詢通訊對端的AID-RID映射關(guān)系。ASN封裝����、路由并轉(zhuǎn)發(fā)送達(dá)終端或終端發(fā)出的數(shù)據(jù)報文。ASN收到終端麗發(fā)來的數(shù)據(jù)報文時�����,根據(jù)數(shù)據(jù)報文中目的地址通信對端CN的 AIDc查詢本地緩存中的AID-RID映射表查到對應(yīng)的AIDc-RIDC映射條目,將RIDc作為目的地址封裝在報文頭部�,將麗源地址AIDm對應(yīng)的RIDm作為源地址封裝在報文頭部����,并轉(zhuǎn)發(fā)到廣義轉(zhuǎn)發(fā)平面;如果沒有查到對應(yīng)的AIDc-RIDc映射條目�,將數(shù)據(jù)報文做隧道封裝后轉(zhuǎn)發(fā)到映射轉(zhuǎn)發(fā)平面,并向映射轉(zhuǎn)發(fā)平面發(fā)出查詢AIDc-RIDc映射關(guān)系的流程���。ASN收到網(wǎng)絡(luò)發(fā)往終端的數(shù)據(jù)報文時����,對數(shù)據(jù)報文進行解封裝處理��,剝?nèi)?shù)據(jù)報文頭部的RID封裝�,保留AID作為數(shù)據(jù)報文頭部發(fā)往終端。CR =Common Router�����,通用路由器�����。路由并轉(zhuǎn)發(fā)以RID格式為源地址/目的地址的數(shù)據(jù)報文。該通用路由器的功能作用與現(xiàn)有技術(shù)中的路由器沒有區(qū)別�。ILR/PTF Identity Location Register/Packet Transfer Function,ILR是身份位置寄存器�����,維護/保存本架構(gòu)網(wǎng)絡(luò)中用戶的AID-RID映射關(guān)系�����。實現(xiàn)登記注冊功能����,處理通信對端的位置查詢流程。Broke ILR主要用于拜訪ILR與歸屬ILR之間無直聯(lián)關(guān)系時���,中轉(zhuǎn)ILR之間的信令����。PTF是分組轉(zhuǎn)發(fā)功能��。映射轉(zhuǎn)發(fā)平面在收到ASN送達(dá)的數(shù)據(jù)報文后���,由PTF根據(jù)目的AID在映射轉(zhuǎn)發(fā)平面內(nèi)路由并轉(zhuǎn)發(fā)����。映射轉(zhuǎn)發(fā)平面內(nèi)PTF節(jié)點在查到目的AID-RID的映射關(guān)系后,在數(shù)據(jù)報文頭部封裝對應(yīng)的RID信息并轉(zhuǎn)發(fā)到廣義轉(zhuǎn)發(fā)平面�,由廣義轉(zhuǎn)發(fā)平面路由并轉(zhuǎn)發(fā)到通信對端。IDP =Identity provider�����,身份服務(wù)提供商��。IDP記錄本架構(gòu)網(wǎng)絡(luò)的用戶屬性����,包括用戶類別���、鑒權(quán)信息��、用戶服務(wù)等級等信息�,產(chǎn)生用于鑒權(quán)��、完整性保護和加密的用戶安全信息����,在用戶接入時進行接入控制和授權(quán)�。IDP支持終端與網(wǎng)絡(luò)間的雙向鑒權(quán)�����。IDM監(jiān)控中心IDM的監(jiān)管實體��,為用戶和服務(wù)提供商(SP)提供IDP查詢服務(wù)�����,即 IDP發(fā)現(xiàn)功能����,此外還負(fù)責(zé)對IDP服務(wù)器的資質(zhì)進行授權(quán)。與本發(fā)明相關(guān)地�����,本發(fā)明身份管理系統(tǒng)基于標(biāo)識網(wǎng)實現(xiàn)����,包括終端及身份管理(IDP)服務(wù)器,其中所述終端��,具有表示標(biāo)識網(wǎng)內(nèi)身份的身份標(biāo)識(AID),用于通過ASN向所述IDP服務(wù)器發(fā)送身份服務(wù)請求�,其中所述身份服務(wù)請求中攜帶所述終端的AID ;還用于向所述IDP 服務(wù)器發(fā)送身份信息��;所述ASN��,用于根據(jù)終端的AID及IDP服務(wù)器的AID實現(xiàn)所述終端與IDP服務(wù)器之間的身份服務(wù)請求及身份服務(wù)響應(yīng)的路由轉(zhuǎn)發(fā)���;具體的路由轉(zhuǎn)發(fā)方法根據(jù)標(biāo)識網(wǎng)的具體網(wǎng)絡(luò)機制確定�,本發(fā)明在此不作具體闡述��。
所述IDP服務(wù)器���,具有表示標(biāo)識網(wǎng)內(nèi)身份的AID,用于接收所述ASN轉(zhuǎn)發(fā)的身份服務(wù)請求���,以及驗證所述終端發(fā)送的身份信息���,還用于向所述ASN發(fā)送身份服務(wù)響應(yīng),其中攜帶所述終端的AID及驗證結(jié)果信息����。所述終端已知所屬的IDP的情況下�,所述終端發(fā)送的身份服務(wù)請求中還攜帶所述 IDP服務(wù)器的AID�。進一步地,該系統(tǒng)還包括監(jiān)管中心(IDM)��,所述IDM用于管理所述IDP服務(wù)器與所屬終端的對應(yīng)關(guān)系�����;與所述終端未知所屬的IDP服務(wù)器的情況下���,所述ASN還用于根據(jù)身份服務(wù)請求中所述終端的AID向所述IDM查詢?yōu)樗鼋K端提供身份服務(wù)的IDP服務(wù)器�,獲得所述IDP服務(wù)器的AID�����。本發(fā)明所說的身份服務(wù)包括身份認(rèn)證��、身份信息查詢����、身份信息修改、身份信息注冊和身份信息撤銷中的任一種或多種�。進一步地,本發(fā)明系統(tǒng)還包括業(yè)務(wù)服務(wù)器��,用于在所述終端提出業(yè)務(wù)請求時,向所述IDP服務(wù)器發(fā)送身份認(rèn)證請求���,其中攜帶所述終端的AID;以及接收所述IDP服務(wù)器發(fā)送的身份認(rèn)證響應(yīng)���,其中攜帶所述終端的AID及所述終端的身份認(rèn)證結(jié)果,還用于根據(jù)所述終端的身份認(rèn)證結(jié)果決定是否對所述終端的業(yè)務(wù)請求授權(quán)�����;所述IDP服務(wù)器根據(jù)所述終端的AID決定是否向所述終端發(fā)起認(rèn)證挑戰(zhàn)�。具體地,所述IDP服務(wù)器檢查是否已有所述終端的身份認(rèn)證結(jié)果信息�����,如果有���,則直接根據(jù)所述身份認(rèn)證結(jié)果信息向所述業(yè)務(wù)服務(wù)器發(fā)送身份認(rèn)證響應(yīng),否則向所述終端發(fā)起認(rèn)證挑戰(zhàn)����。所述終端根據(jù)所述IDP服務(wù)器發(fā)送的登錄指示或所述IDP服務(wù)器發(fā)出的認(rèn)證挑戰(zhàn)向所述IDP服務(wù)器發(fā)送身份信息。本發(fā)明身份管理方法基于標(biāo)識網(wǎng)實現(xiàn)���,終端及身份管理(IDP)服務(wù)器具有表示標(biāo)識網(wǎng)內(nèi)身份的身份標(biāo)識(AID)��,所述終端發(fā)起身份服務(wù)流程時�����,所述標(biāo)識網(wǎng)的接入服務(wù)節(jié)點 (ASN)利用終端和IDP服務(wù)器的AID將終端的身份服務(wù)請求發(fā)送給所述IDP服務(wù)器����,所述 IDP服務(wù)器根據(jù)所述身份服務(wù)請求實現(xiàn)對所述終端的身份管理。本發(fā)明所述的基于標(biāo)識網(wǎng)技術(shù)的身份管理系統(tǒng)架構(gòu)中���,有效合法存續(xù)期間的終端用戶的身份標(biāo)識AID始終保持不變�。終端用戶接入網(wǎng)絡(luò)時�,需向IDP服務(wù)器申請身份認(rèn)證服務(wù)。IDP對用戶身份的鑒權(quán)方法根據(jù)不同的網(wǎng)絡(luò)體制采用不同的方法��,可以是對用戶接入標(biāo)識AID直接鑒權(quán)�����,也可以是對網(wǎng)絡(luò)中標(biāo)識用戶的其他類型的用戶識別(例如國際移動用戶識別IMSI�����、網(wǎng)絡(luò)用戶識別NAI等)進行鑒權(quán)。用戶通過了 IDP服務(wù)器的認(rèn)證��,才能進入 ASN的合法用戶列表中�����,才可以訪問網(wǎng)絡(luò)資源�。除了身份認(rèn)證服務(wù),用戶也可向IDP申請其他身份服務(wù)���,如查詢��、修改���、注冊和撤銷身份信息等服務(wù)。所述IDP服務(wù)器對所述終端進行身份管理的流程包括所述IDP服務(wù)器向所述終端發(fā)送登錄指示�,所述終端輸入身份信息,所述IDP服務(wù)器根據(jù)所述終端輸入的身份信息進行身份驗證����;所述IDP服務(wù)器通過所述ASN向所述終端發(fā)送身份服務(wù)響應(yīng)�,其中攜帶驗證結(jié)果。應(yīng)用實例1 所述終端已知所屬的IDP的情況下��,所述終端和IDP服務(wù)器的AID由所述終端在發(fā)送身份服務(wù)請求時提供給所述ASN。終端申請身份服務(wù)的業(yè)務(wù)流程如圖4所示�����,包括(401)終端M向ASN請求身份服務(wù)���,并提供終端的身份標(biāo)識AIDm和IDP服務(wù)器的身份標(biāo)識AIDn ����;(402) ASN向IDP服務(wù)器請求相應(yīng)的身份服務(wù)�。003) IDP服務(wù)器向終端M發(fā)送登陸指示,讓終端M輸入帳號和密碼�����,以及其它身份信息���,以進行驗證�����。(404)終端M輸入帳號和密碼�,以及其它身份信息。(405) IDP服務(wù)器驗證通過后���,向ASN發(fā)送驗證通過(拒絕)的指令�����。(406) ASN向終端M提供請求的服務(wù)�����。所述終端未知所屬的IDP服務(wù)器的情況下���,所述終端的AID由所述終端在發(fā)送身份服務(wù)請求時提供給所述ASN,所述ASN向監(jiān)管中心(IDM)查詢?yōu)樗鼋K端提供身份服務(wù)的 IDP服務(wù)器���,獲得所述IDP的AID���。終端申請身份服務(wù)的業(yè)務(wù)流程如圖5所示,包括(501)終端M向ASN請求身份服務(wù)����,并提供終端的身份標(biāo)識AIDm。(502)ASN請求IDM監(jiān)管中心查找為終端M提供身份服務(wù)的IDP���,得出IDP服務(wù)器的身份標(biāo)識AIDn���。(503) IDM監(jiān)管中心將IDP服務(wù)器的標(biāo)識AIDn發(fā)給ASN。(504) ASN根據(jù)標(biāo)識AIDn���,向IDP服務(wù)器請求相應(yīng)的身份服務(wù)����。(505) IDP服務(wù)器向終端M發(fā)送登陸指示����,讓終端M輸入帳號和密碼,以及其它登錄信息��,以進行驗證�����。(506)終端M輸入帳號和密碼��,以及其它登錄信息�。(507) IDP服務(wù)器驗證通過后,向ASN發(fā)送驗證通過(拒絕)的指令�。(508) ASN向終端M提供請求的服務(wù)。本發(fā)明所述的身份管理系統(tǒng)架構(gòu)還可實現(xiàn)單點登錄功能,即終端在通過了 IDP的身份認(rèn)證后�,在終端身份有效合法存續(xù)期間,終端無需再登錄網(wǎng)絡(luò)即可訪問多種業(yè)務(wù)���。所述終端向所述業(yè)務(wù)服務(wù)器提出業(yè)務(wù)請求時�,所述身份管理方法還包括所述業(yè)務(wù)服務(wù)器發(fā)起身份認(rèn)證流程�����,該身份認(rèn)證流程包括(a)所述業(yè)務(wù)服務(wù)器向所述IDP發(fā)送身份認(rèn)證請求��,其中攜帶所述終端的AID �;(b)所述IDP服務(wù)器根據(jù)所述終端的AID檢查所述終端是否已經(jīng)通過驗證,如已通過驗證則執(zhí)行步驟(e)����,否則向所述終端發(fā)出認(rèn)證挑戰(zhàn);(c)所述終端向所述IDP發(fā)送所述終端的身份信息��;(d)所述IDP服務(wù)器對所述身份信息進行驗證����;(e)所述IDP服務(wù)器向所述業(yè)務(wù)服務(wù)器發(fā)送身份認(rèn)證響應(yīng),其中攜帶所述終端的 AID及所述終端的身份認(rèn)證結(jié)果���;(f)所述業(yè)務(wù)服務(wù)器根據(jù)所述終端的身份認(rèn)證結(jié)果決定是否對所述終端的業(yè)務(wù)請求授權(quán)��。應(yīng)用實例3以下給出終端向3個業(yè)務(wù)服務(wù)器請求業(yè)務(wù)的應(yīng)用實例�����,具體流程如圖6所示�,包括(601)終端向業(yè)務(wù)C(如IPTV業(yè)務(wù))的業(yè)務(wù)服務(wù)器提出業(yè)務(wù)請求����,攜帶的參數(shù)有終端的身份標(biāo)識AID;(602)業(yè)務(wù)C的業(yè)務(wù)服務(wù)器向IDP服務(wù)器請求身份認(rèn)證服務(wù),攜帶的參數(shù)有終端的身份標(biāo)識AID;(603) IDP服務(wù)器向終端發(fā)出認(rèn)證挑戰(zhàn)���;(604)終端向IDP服務(wù)器請求認(rèn)證�����,攜帶參數(shù)有終端的身份標(biāo)識AID�、密碼����、信任狀等身份信息;(605) IDP服務(wù)器對認(rèn)證參數(shù)進行驗證�;(606) IDP服務(wù)器向業(yè)務(wù)C的業(yè)務(wù)服務(wù)器反饋終端的認(rèn)證結(jié)果��,攜帶參數(shù)有終端的身份標(biāo)識AID;(607)業(yè)務(wù)C的業(yè)務(wù)服務(wù)器根據(jù)IDP服務(wù)器的認(rèn)證結(jié)果��,決定對終端的業(yè)務(wù)請求是否授權(quán)�;(608)如果授權(quán)�����,則建立終端到業(yè)務(wù)C的業(yè)務(wù)服務(wù)器的接入鏈路�����;(609)開始終端和業(yè)務(wù)C的業(yè)務(wù)服務(wù)器間的會話��,或者說業(yè)務(wù)C服務(wù)器開始給終端提供業(yè)務(wù)��。(610)終端又請求業(yè)務(wù)B (如數(shù)據(jù)業(yè)務(wù))���,終端向業(yè)務(wù)B的業(yè)務(wù)服務(wù)器提出業(yè)務(wù)請求�,攜帶的參數(shù)有終端的身份標(biāo)識AID ��;(612)業(yè)務(wù)B的業(yè)務(wù)服務(wù)器向IDP服務(wù)器請求身份認(rèn)證服務(wù)�����,攜帶的參數(shù)有終端的身份標(biāo)識AID;(613) IDP服務(wù)器檢查終端的AID,是否已經(jīng)經(jīng)過了驗證�;(614) IDP服務(wù)器向業(yè)務(wù)B的業(yè)務(wù)服務(wù)器反饋終端用戶的認(rèn)證結(jié)果,攜帶參數(shù)有終端的身份標(biāo)識AID;(615)業(yè)務(wù)B的業(yè)務(wù)服務(wù)器根據(jù)IDP服務(wù)器的驗證結(jié)果���,決定對終端的業(yè)務(wù)請求是否授權(quán)����;(616)如果授權(quán)����,則建立終端到業(yè)務(wù)B的業(yè)務(wù)服務(wù)器的接入鏈路��;(617)開始終端和業(yè)務(wù)B的業(yè)務(wù)服務(wù)器間的會話�,或者說業(yè)務(wù)B的業(yè)務(wù)服務(wù)器開始給終端提供業(yè)務(wù);(618)終端又請求業(yè)務(wù)A (如VOIP業(yè)務(wù))���,終端向業(yè)務(wù)A的業(yè)務(wù)服務(wù)器提出業(yè)務(wù)請求�,攜帶的參數(shù)有終端的身份標(biāo)識AID �;(619)業(yè)務(wù)A的業(yè)務(wù)服務(wù)器向IDP服務(wù)器請求身份認(rèn)證服務(wù),攜帶的參數(shù)有終端的身份標(biāo)識AID;(620) IDP服務(wù)器檢查終端的AID�,是否已經(jīng)經(jīng)過了驗證;(621) IDP服務(wù)器向業(yè)務(wù)A的業(yè)務(wù)服務(wù)器反饋終端用戶的認(rèn)證結(jié)果����,攜帶參數(shù)有終端的身份標(biāo)識AID;(622)業(yè)務(wù)A的業(yè)務(wù)服務(wù)器根據(jù)IDP服務(wù)器的驗證結(jié)果�����,建立終端到業(yè)務(wù)A的業(yè)務(wù)服務(wù)器的接入鏈路�;(623)開始終端和業(yè)務(wù)A的業(yè)務(wù)服務(wù)器間的會話�,或者說業(yè)務(wù)A的業(yè)務(wù)服務(wù)器開始給終端提供業(yè)務(wù)。首先�,現(xiàn)有身份管理系統(tǒng)中,用戶標(biāo)識沒有統(tǒng)一的形式����,可以是用戶自己取的用戶名、email地址或手機號碼等�����,不同的身份管理系統(tǒng)���,用戶標(biāo)識的形式不一樣�����,因此��,本發(fā)明方法和系統(tǒng)統(tǒng)一采用表示身份的AID做為標(biāo)識���,可以簡化身份管理系統(tǒng)的管理���。其次,現(xiàn)有身份管理系統(tǒng)中的IDP標(biāo)識是基于URL和DNS域名服務(wù)系統(tǒng)的���,最終控制權(quán)在美國��,采用 AID對IDP進行標(biāo)識���,可以保證國家信息安全��。第三����,現(xiàn)有身份管理系統(tǒng)的用戶標(biāo)識和IDP 標(biāo)識不能用于互聯(lián)網(wǎng)上尋址,而本發(fā)明AID可采用IPv4/IPv6形式����,即IDP的標(biāo)識采用AID 編碼的話,可直接用于互聯(lián)網(wǎng)尋址����。
權(quán)利要求
1.一種身份管理方法���,其特征在于,該方法基于標(biāo)識網(wǎng)實現(xiàn)����,終端及身份管理(IDP)服務(wù)器具有表示標(biāo)識網(wǎng)內(nèi)身份的身份標(biāo)識(AID),所述終端發(fā)起身份服務(wù)流程時����,所述標(biāo)識網(wǎng)的接入服務(wù)節(jié)點(ASN)利用終端和IDP服務(wù)器的AID將終端的身份服務(wù)請求發(fā)送給所述 IDP服務(wù)器,所述IDP服務(wù)器根據(jù)所述身份服務(wù)請求實現(xiàn)對所述終端的身份管理��。
2.如權(quán)利要求1所述的方法���,其特征在于所述終端已知所屬的IDP的情況下�����,所述終端和IDP服務(wù)器的AID由所述終端在發(fā)送身份服務(wù)請求時���,提供給所述ASN。
3.如權(quán)利要求1所述的方法,其特征在于所述終端未知所屬的IDP服務(wù)器的情況下���, 所述終端的AID由所述終端在發(fā)送身份服務(wù)請求時提供給所述ASN�,所述ASN向監(jiān)管中心 (IDM)查詢?yōu)樗鼋K端提供身份服務(wù)的IDP服務(wù)器��,獲得所述IDP服務(wù)器的身份標(biāo)識����。
4.如權(quán)利要求1、2或3所述的方法���,其特征在于所述IDP服務(wù)器對所述終端進行身份管理的流程包括所述IDP服務(wù)器向所述終端發(fā)送登錄指示��,所述終端輸入身份信息��,所述IDP服務(wù)器根據(jù)所述終端輸入的身份信息進行身份驗證��;所述IDP服務(wù)器通過所述ASN向所述終端發(fā)送身份服務(wù)響應(yīng),其中攜帶驗證結(jié)果�。
5.如權(quán)利要求1所述的方法,其特征在于所述身份服務(wù)包括身份認(rèn)證�、身份信息查詢、身份信息修改�����、身份信息注冊和身份信息撤銷中的任一種或多種。
6.如權(quán)利要求1所述的方法���,其特征在于所述終端向所述業(yè)務(wù)服務(wù)器提出業(yè)務(wù)請求時��,所述身份管理方法還包括所述業(yè)務(wù)服務(wù)器發(fā)起身份認(rèn)證流程��,該身份認(rèn)證流程包括(a)所述業(yè)務(wù)服務(wù)器向所述IDP發(fā)送身份認(rèn)證請求����,其中攜帶所述終端的AID����;(b)所述IDP服務(wù)器根據(jù)所述終端的AID檢查所述終端是否已經(jīng)通過驗證,如已通過驗證則執(zhí)行步驟(e)��,否則向所述終端發(fā)出認(rèn)證挑戰(zhàn)�����;(c)所述終端向所述IDP發(fā)送所述終端的身份信息�;(d)所述IDP服務(wù)器對所述身份信息進行驗證;(e)所述IDP服務(wù)器向所述業(yè)務(wù)服務(wù)器發(fā)送身份認(rèn)證響應(yīng)���,其中攜帶所述終端的AID及所述終端的身份認(rèn)證結(jié)果�;(f)所述業(yè)務(wù)服務(wù)器根據(jù)所述終端的身份認(rèn)證結(jié)果決定是否對所述終端的業(yè)務(wù)請求授權(quán)。
7.一種身份管理系統(tǒng)��,其特征在于����,該系統(tǒng)基于標(biāo)識網(wǎng)實現(xiàn),包括終端及身份管理 (IDP)服務(wù)器��,其中所述終端�����,具有表示標(biāo)識網(wǎng)內(nèi)身份的身份標(biāo)識(AID)�����,用于通過ASN向所述IDP服務(wù)器發(fā)送身份服務(wù)請求�,其中所述身份服務(wù)請求中攜帶所述終端的AID ;還用于向所述IDP服務(wù)器發(fā)送身份信息�;所述ASN���,用于根據(jù)終端的AID及IDP服務(wù)器的AID實現(xiàn)所述終端與IDP服務(wù)器之間的身份服務(wù)請求及身份服務(wù)響應(yīng)的路由轉(zhuǎn)發(fā)����;所述IDP服務(wù)器,具有表示標(biāo)識網(wǎng)內(nèi)身份的AID���,用于接收所述ASN轉(zhuǎn)發(fā)的身份服務(wù)請求���,以及驗證所述終端發(fā)送的身份信息,還用于向所述ASN發(fā)送身份服務(wù)響應(yīng)����,其中攜帶所述終端的AID及驗證結(jié)果信息。
8.如權(quán)利要求7所述的系統(tǒng)��,其特征在于所述終端已知所屬的IDP的情況下�����,所述終端發(fā)送的身份服務(wù)請求中還攜帶所述IDP服務(wù)器的AID��。
9.如權(quán)利要求7所述的系統(tǒng)����,其特征在于該系統(tǒng)還包括監(jiān)管中心(IDM),所述IDM用于管理所述IDP服務(wù)器與所屬終端的對應(yīng)關(guān)系��;與所述終端未知所屬的IDP服務(wù)器的情況下,所述ASN還用于根據(jù)身份服務(wù)請求中所述終端的AID向所述IDM查詢?yōu)樗鼋K端提供身份服務(wù)的IDP服務(wù)器�,獲得所述IDP服務(wù)器的身份標(biāo)識。
10.如權(quán)利要求7所述的系統(tǒng)����,其特征在于所述身份服務(wù)包括身份認(rèn)證、身份信息查詢�、身份信息修改、身份信息注冊或身份信息撤銷中的任一種或多種�����。
11.如權(quán)利要求7所述的系統(tǒng)�,其特征在于,所述系統(tǒng)還包括業(yè)務(wù)服務(wù)器����,用于在所述終端提出業(yè)務(wù)請求時,向所述IDP服務(wù)器發(fā)送身份認(rèn)證請求�����,其中攜帶所述終端的AID ��;以及接收所述IDP服務(wù)器發(fā)送的身份認(rèn)證響應(yīng)��,其中攜帶所述終端的AID及所述終端的身份認(rèn)證結(jié)果�����,還用于根據(jù)所述終端的身份認(rèn)證結(jié)果決定是否對所述終端的業(yè)務(wù)請求授權(quán)��;所述IDP服務(wù)器根據(jù)所述終端的AID決定是否向所述終端發(fā)起認(rèn)證挑戰(zhàn)�。
12.如權(quán)利要求11所述的系統(tǒng),其特征在于所述IDP服務(wù)器檢查是否已有所述終端的身份認(rèn)證結(jié)果信息��,如果有�����,則直接根據(jù)所述身份認(rèn)證結(jié)果信息向所述業(yè)務(wù)服務(wù)器發(fā)送身份認(rèn)證響應(yīng)�����,否則向所述終端發(fā)起認(rèn)證挑戰(zhàn)�。
13.如權(quán)利要求7所述的系統(tǒng),其特征在于所述終端根據(jù)所述IDP服務(wù)器發(fā)送的登錄指示或所述IDP服務(wù)器發(fā)出的認(rèn)證挑戰(zhàn)向所述IDP服務(wù)器發(fā)送身份信息����。
全文摘要
本發(fā)明公開了一種身份管理方法和系統(tǒng)以簡化身份管理。所述身份管理方法基于標(biāo)識網(wǎng)實現(xiàn)��,終端及身份管理(IDP)服務(wù)器具有表示標(biāo)識網(wǎng)內(nèi)身份的身份標(biāo)識(AID),所述終端發(fā)起身份服務(wù)流程時�����,所述標(biāo)識網(wǎng)的接入服務(wù)節(jié)點(ASN)利用終端和IDP服務(wù)器的AID將終端的身份服務(wù)請求發(fā)送給所述IDP服務(wù)器�����,所述IDP服務(wù)器根據(jù)所述身份服務(wù)請求實現(xiàn)對所述終端的身份管理���。本發(fā)明方法和系統(tǒng)基于標(biāo)識網(wǎng)實現(xiàn)�,統(tǒng)一采用表示身份的AID作為身份管理的標(biāo)識��,可以簡化身份管理系統(tǒng)的管理�。
文檔編號H04L9/32GK102238148SQ201010165120
公開日2011年11月9日 申請日期2010年4月22日 優(yōu)先權(quán)日2010年4月22日
發(fā)明者孫翼舟, 江華, 黃兵 申請人:中興通訊股份有限公司