專利名稱:身份管理系統(tǒng)及身份認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息處理技術(shù),尤其涉及身份管理系統(tǒng)及身份認(rèn)證系統(tǒng)。
背景技術(shù):
隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,各種應(yīng)用服務(wù)不斷地在網(wǎng)上普及,用 戶每天需要登錄到許多不同的應(yīng)用系統(tǒng)。不同的系統(tǒng)出于安全因素都要求用
戶遵循一定的安全策略,最常見的如要求輸入用戶標(biāo)識(Identification,簡稱 ID)和口令。隨著用戶需要登錄系統(tǒng)的增多,用戶每天就得不斷的重復(fù)輸入 自己在相應(yīng)系統(tǒng)中的ID和口令,在極不便利的同時(shí)也增加了出錯(cuò)的可能性。
另一方面,隨著Web服務(wù)技術(shù)的發(fā)展,各種基于Web的服務(wù)集成度不 斷提高,用戶的一個(gè)服務(wù)請求可能會(huì)由一系列的子服務(wù)構(gòu)成,而這些子服務(wù) 又是動(dòng)態(tài)相關(guān)的并由不同的服務(wù)提供者提供。在傳統(tǒng)的登錄模式下需要用戶 伴隨著服務(wù)執(zhí)行的進(jìn)展,不斷登錄到相應(yīng)的子服務(wù)系統(tǒng)中,在造成用戶不便 利的同時(shí)也與月l務(wù)集成的透明性要求相矛盾。
基于上述情況,出現(xiàn)了 "單點(diǎn)登錄"(Smgle Sign-0n)技術(shù)。單點(diǎn)登錄是 指在分布的、多服務(wù)的網(wǎng)絡(luò)環(huán)境中,通過用戶的一次性鑒別登錄,即可獲得
訪問分布式系統(tǒng)中所有服務(wù)的合法性身份證明,在此條件下,管理員無需修 改或干涉用戶登錄就能方便的實(shí)施希望得到的安全控制。
目前,互聯(lián)網(wǎng)領(lǐng)域的單點(diǎn)登錄技術(shù)主要是微軟的.NETPassport技術(shù)。該 技術(shù)是基于Cookie的單點(diǎn)登錄技術(shù),認(rèn)證服務(wù)器與合作站點(diǎn)之間采用統(tǒng)一的 用戶賬戶作為登錄憑證。這樣用戶在使用一個(gè)合作站點(diǎn)的服務(wù)時(shí),首先登錄 Passport服務(wù),然后就可以使用其他合作站點(diǎn)的服務(wù)了,而不用再次登錄。
.NET Passport技術(shù)主要存在以下缺陷認(rèn)證服務(wù)器和服務(wù)提供商(ServiceProvider,簡稱SP)服務(wù)之間必須使用統(tǒng)一的用戶賬戶,限制了SP的范圍。 實(shí)際上,在電信領(lǐng)域內(nèi),服務(wù)提供商是多種多樣的,要求服務(wù)提供商使用與 核心網(wǎng)相同的用戶賬戶是不現(xiàn)實(shí)的;并且采用集中式的認(rèn)證服務(wù)器,存在一 定的安全隱患,如果認(rèn)證服務(wù)器被攻擊跨掉,則整個(gè)系統(tǒng)內(nèi)的所有服務(wù)都無 法使用。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種身份管理系統(tǒng)及身份認(rèn)證系統(tǒng),利用用戶多 個(gè)身份的映射關(guān)系,實(shí)現(xiàn)用戶在登錄了身份管理系統(tǒng)或某個(gè)SP設(shè)備后,當(dāng)訪 問其他SP設(shè)備時(shí),身份管理系統(tǒng)可以查詢得到用戶在其他SP設(shè)備上的身份
信息,從而實(shí)現(xiàn)統(tǒng)一登錄。
為了實(shí)現(xiàn)上述目的,本發(fā)明提供了一種身份管理系統(tǒng),包括 接口模塊,用于所述身份管理系統(tǒng)與其他系統(tǒng)進(jìn)行信息交互; 展現(xiàn)模塊,用于提供展現(xiàn)頁面,從用戶接收用戶請求消息,并向用戶返 回處理結(jié)果;
身份聯(lián)合數(shù)據(jù)庫,用于存儲(chǔ)用戶多個(gè)身份的映射關(guān)系;
身份查詢模塊,用于根據(jù)所述接口模塊或展現(xiàn)模塊轉(zhuǎn)發(fā)的攜帶有服務(wù)提
供商SP標(biāo)識和用戶標(biāo)識的查詢請求檢索所述身份聯(lián)合數(shù)據(jù)庫,得到并返回所
述用戶標(biāo)識的與所述SP標(biāo)識對應(yīng)的身份信息。
為了實(shí)現(xiàn)上述目的,本發(fā)明還提供了一種身份認(rèn)證系統(tǒng),包括 用戶終端,用于發(fā)送登錄請求,使用SP設(shè)備提供的服務(wù); 身份管理系統(tǒng),用于管理用戶多個(gè)身份的映射關(guān)系,根據(jù)SP標(biāo)識和用戶
標(biāo)識查詢所述用戶多個(gè)身份的映射關(guān)系,得到所述用戶標(biāo)識的與所述SP標(biāo)識
對應(yīng)的用戶身份;
SP設(shè)備,用于在接收到用戶終端的登錄請求時(shí),根據(jù)SP標(biāo)識和用戶標(biāo) 識向所述身份管理系統(tǒng)查詢用戶身份,并使用戶以查詢到的用戶身份登錄。本發(fā)明利用用戶多個(gè)身份的映射關(guān)系,實(shí)現(xiàn)用戶登錄了身Y分管理系統(tǒng)或 某個(gè)SP設(shè)備后,再訪問其他SP設(shè)備時(shí),身份管理系統(tǒng)可以查詢得到用戶在
其他SP設(shè)備上的身份信息,從而實(shí)現(xiàn)統(tǒng)一登錄。
下面通過附圖和實(shí)施例,對本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述。
圖1為本發(fā)明的身份認(rèn)證系統(tǒng)一實(shí)施例結(jié)構(gòu)示意圖; 圖2為本發(fā)明的身份管理系統(tǒng)實(shí)施例一結(jié)構(gòu)示意圖; 圖3為本發(fā)明的身份管理系統(tǒng)實(shí)施例二結(jié)構(gòu)示意圖; 圖4為本發(fā)明的身份管理系統(tǒng)實(shí)施例三結(jié)構(gòu)示意圖; 圖5為本發(fā)明的身份管理系統(tǒng)實(shí)施例四結(jié)構(gòu)示意圖。
具體實(shí)施例方式
如圖1所示,為本發(fā)明的身份認(rèn)證系統(tǒng)一實(shí)施例結(jié)構(gòu)示意圖。本實(shí)施例 包括用戶終端l、身份管理系統(tǒng)2及SP設(shè)備3。用戶終端l用于發(fā)送登錄請 求及使用身份管理系統(tǒng)2及SP設(shè)備3提供的服務(wù)。身份管理系統(tǒng)2用于管理 用戶多個(gè)身份的映射關(guān)系,根據(jù)SP標(biāo)識和用戶標(biāo)識查詢用戶多個(gè)身份的映射 關(guān)系,得到用戶標(biāo)識的各身份中與SP標(biāo)識對應(yīng)的用戶身份。SP設(shè)備3用于 在接收到用戶終端1的登錄請求時(shí),根據(jù)SP標(biāo)識和用戶標(biāo)識向身份管理系統(tǒng) 2查詢用戶身份,并使用戶以查詢到的用戶身份登錄;若未查詢到用戶身份, 則采用普通的登錄流程(例如,提示用戶輸入用戶名、密碼進(jìn)行登錄)。
用戶的多個(gè)身份可包括用戶在身份認(rèn)證系統(tǒng)的身份以及在多個(gè)SP設(shè)備3 處的身份。用戶在身份管理系統(tǒng)2上的身份可以為用戶手機(jī)號碼或注冊的其 他用戶標(biāo)識,只要該用戶標(biāo)識在身份管理系統(tǒng)2是唯一的。用戶在各SP設(shè)備 3的身份信息可遵從各SP設(shè)備3的相應(yīng)規(guī)定使用數(shù)字、字母、符號或其結(jié)合。 同一用戶的多個(gè)身份綁定在一起,身份管理系統(tǒng)2記錄該綁定關(guān)系,并記錄
6樣,身份管理系統(tǒng)2就可根據(jù)用戶標(biāo)識及SP
標(biāo)識查找到相應(yīng)的身份。用戶在各SP設(shè)備3處的身份以及在身份管理系統(tǒng)2
的身份可以相同也可以不同。
本實(shí)施例實(shí)現(xiàn)了用戶在登錄了身份管理系統(tǒng)或某個(gè)SP設(shè)備后,再訪問其 他SP設(shè)備時(shí),用戶不必再輸入身份認(rèn)證信息,SP設(shè)備可以向身份管理系統(tǒng) 查詢用戶身份,身份管理系統(tǒng)根據(jù)SP標(biāo)識和用戶標(biāo)識查詢用戶多個(gè)身份的映 射關(guān)系,得到用戶在其他SP設(shè)備上的身份信息并告知相應(yīng)SP設(shè)備,從而實(shí) 現(xiàn)統(tǒng)一登錄。
如圖2所示,為本發(fā)明的身份管理系統(tǒng)實(shí)施例一結(jié)構(gòu)示意圖。本實(shí)施例 包括接口模塊20、展現(xiàn)模塊21、身份聯(lián)合數(shù)據(jù)庫23及身份查詢模塊22。 接口模塊20用于身份管理系統(tǒng)與其他系統(tǒng)進(jìn)行信息交互,根據(jù)接口模塊20 所要支持的通信協(xié)議的種類,接口模塊20可包括多個(gè)子模塊,每個(gè)子模塊用 于支持不同協(xié)議的通信。展現(xiàn)模塊21用于提供展現(xiàn)頁面,接收用戶請求消息, 將用戶請求消息轉(zhuǎn)發(fā)至身份查詢模塊22處理,并將處理結(jié)果通過展現(xiàn)模塊 21向用戶返回。身份聯(lián)合數(shù)據(jù)庫23用于存儲(chǔ)用戶多個(gè)身份的映射關(guān)系。身 份查詢模塊22用于根據(jù)接口模塊20或展現(xiàn)模塊21轉(zhuǎn)發(fā)的攜帶有服務(wù)提供商 SP標(biāo)識和用戶標(biāo)識的查詢請求檢索身份聯(lián)合數(shù)據(jù)庫23 ,得到并返回該用戶標(biāo) 識的與SP標(biāo)識對應(yīng)的身份信息。
本實(shí)施例實(shí)現(xiàn)了根據(jù)SP標(biāo)識和用戶標(biāo)識查詢用戶多個(gè)身份的映射關(guān)系, 得到用戶在其他SP設(shè)備上的身份信息并告知相應(yīng)SP設(shè)備;用戶在登錄了身 份管理系統(tǒng)或某個(gè)SP設(shè)備后,再訪問其他SP設(shè)備時(shí),用戶不必再輸入身份 認(rèn)證信息,SP設(shè)備可以向身份管理系統(tǒng)查詢用戶身份,從而實(shí)現(xiàn)統(tǒng)一登錄。
如圖3所示,為本發(fā)明的身份管理系統(tǒng)實(shí)施例二結(jié)構(gòu)示意圖。本實(shí)施例 在圖2所示實(shí)施例的基礎(chǔ)上進(jìn)一步加入了身份處理模塊24和加解密模塊25。 身份處理模塊24用于根據(jù)接口模塊20或展現(xiàn)模塊21轉(zhuǎn)發(fā)的消息對身份聯(lián)合 數(shù)據(jù)庫23存儲(chǔ)的用戶多個(gè)身份的映射關(guān)系進(jìn)行新增、修改或刪除操作。身份
7查詢模塊22及身份處理模塊24通過加解密模塊25與接口模塊20或展現(xiàn)模 塊21連接。加解密模塊25用于對接口模塊20或展現(xiàn)模塊21轉(zhuǎn)發(fā)的加密消 息進(jìn)行解密,并將解密后的消息轉(zhuǎn)發(fā)給身份處理模塊24和身份查詢模塊22 處理,以及將身份處理模塊24和身份查詢模塊22發(fā)送的需要加密的消息進(jìn) 行加密處理,并將加密后的消息發(fā)送至接口模塊20或展現(xiàn)模塊21。對于接 口模塊20或展現(xiàn)模塊21從外部接收的明文消息以及身份處理模塊24和身份 查詢模塊22需要向外部發(fā)送的不需要加密的消息,也可發(fā)送至加解密模塊 25,由加解密模塊25直接向相應(yīng)模塊轉(zhuǎn)發(fā)。本實(shí)施例支持用戶身份映射關(guān)系 的新增、修改和刪除;可以對消息進(jìn)行加解密,增強(qiáng)了系統(tǒng)的安全性。
如圖4所示,為本發(fā)明的身份管理系統(tǒng)實(shí)施例三結(jié)構(gòu)示意圖。
本實(shí)施例進(jìn)一步加入了時(shí)間戳模塊26,該模塊用于分配及管理時(shí)間戳, 并根據(jù)解密后的消息攜帶的時(shí)間戳對消息進(jìn)行合法性驗(yàn)證。通過在消息中加 入時(shí)間戳,同一時(shí)間戳只會(huì)合法地出現(xiàn)一次,從而可防止重放攻擊。
本實(shí)施例的時(shí)間戳模塊26具體包括時(shí)間戳數(shù)據(jù)庫261、時(shí)間戳分配模塊 262、時(shí)間戳管理模塊263及驗(yàn)證模塊264。時(shí)間戳數(shù)據(jù)庫261用于存儲(chǔ)當(dāng)前 有效的時(shí)間戳;時(shí)間戳分配模塊262用于分配時(shí)間戳并將分配的時(shí)間戳存儲(chǔ) 到時(shí)間戳數(shù)據(jù)庫261中;時(shí)間戳管理模塊263用于刪除時(shí)間戳數(shù)據(jù)庫261中 有效期期滿的時(shí)間戳;驗(yàn)證模塊264用于將解密后的消息攜帶的時(shí)間戳與時(shí) 間戳數(shù)據(jù)庫261存儲(chǔ)的時(shí)間戳進(jìn)行對比,判斷待驗(yàn)證消息攜帶的時(shí)間戳是否 有效,若有效則消息合法。
接口模塊20或展現(xiàn)模塊21從外部接收到的明文消息直接轉(zhuǎn)發(fā)至身份查 詢模塊22或身份處理模塊24處理。身份查詢模塊22和身份處理模塊24需 要發(fā)送至接口模塊20或展現(xiàn)模塊21的不需加密的消息直接發(fā)送至接口模塊 20或展現(xiàn)模塊21。
接口模塊20進(jìn)一步包括采用遠(yuǎn)程撥入用戶認(rèn)證服務(wù)(Remote Authentication Dial Up Service,簡稱RADIUS )協(xié)議的第 一接口子模塊201 ,采用超文本傳輸協(xié)議(Hyper Text Transmission Protocol,簡稱HTTP協(xié)議) 的第二接口子模塊202及采用套接字(Socket)方式的第三接口子模塊203。 根據(jù)身份管理系統(tǒng)2與其他系統(tǒng)進(jìn)行信息交互的需求,接口模塊20還可提供 支持其他協(xié)議(例如私有協(xié)議等)的子模塊。
采用RADIUS協(xié)議的第一接口子模塊201用于與GPRS網(wǎng)關(guān)支持節(jié)點(diǎn) (Gateway GPRS Supporting Node,簡稱GGSN)進(jìn)行通信。當(dāng)用戶通過GPRS 方式接入時(shí),GGSN可通過第一接口子模塊201將用戶的手機(jī)號和IP地址發(fā) 送至身份管理系統(tǒng)。采用HTTP協(xié)議的第二接口子模塊202用于與SP設(shè)備通 信。SP設(shè)備接收到通過GPRS方式接入的用戶的登錄請求后,可通過第二接 口子模塊202向身份管理系統(tǒng)發(fā)送攜帶有SP標(biāo)識和用戶的IP地址的查詢請 求,查詢用戶身份。身份管理系統(tǒng)可根據(jù)用戶IP地址以及用戶手機(jī)號碼與IP 地址的綁定關(guān)系得到用戶的手機(jī)號碼,并進(jìn)而根據(jù)用戶多個(gè)身份的映射關(guān)系
信息返回至SP設(shè)備,從而實(shí)現(xiàn)用戶通過GPRS接入后,登錄SP設(shè)備時(shí)不需 輸入SP設(shè)備處的身份認(rèn)證信息就可登錄SP設(shè)備,實(shí)現(xiàn)統(tǒng)一登錄。
采用Socket方式的第三接口子模塊203用于與會(huì)話初始協(xié)議(Session Initiation Protocol,簡稱SIP)客戶端通信。身份管理系統(tǒng)作為服務(wù)端可與安 裝有SIP客戶端的用戶終端采用TCP Socket進(jìn)行通訊。SIP客戶端可通過第 三接口子模塊203向身份管理系統(tǒng)請求時(shí)間戳。第三接口子模塊203將該請 求轉(zhuǎn)發(fā)至?xí)r間戳分配模塊262。時(shí)間戳分配模塊262分配時(shí)間戳并將分配的 時(shí)間戳存儲(chǔ)到時(shí)間戳數(shù)據(jù)庫261中,并發(fā)送至加解密模塊25進(jìn)行加密。加解 密模塊25將加密的時(shí)間戳通過第三接口子模塊203返回SIP客戶端。SIP客 戶端對加密時(shí)間戳解密,并對時(shí)間戳和用戶使用該SIP客戶端時(shí)使用的用戶 標(biāo)識加密得到令牌,并在通過瀏覽器向SP設(shè)備請求服務(wù)時(shí)攜帶該令牌。SP 設(shè)備可通過第二接口子模塊202向身份管理系統(tǒng)查詢用戶身份,查詢請求攜 帶有SP標(biāo)識和令牌。第二接口子模塊202將查詢請求轉(zhuǎn)發(fā)至加解密模塊25,
9加解密模塊25對令牌進(jìn)行解密,并將解密后的查詢請求發(fā)送至?xí)r間戳模塊
26的驗(yàn)證模塊264進(jìn)行驗(yàn)證。驗(yàn)證模塊264從解密后的查詢請求中提取時(shí)間 戳,將其與時(shí)間戳數(shù)據(jù)庫261中存儲(chǔ)的時(shí)間戳進(jìn)行比對,判斷時(shí)間戳是否有 效,若有效,則將請求轉(zhuǎn)發(fā)至身份查詢模塊22。身份查詢模塊22根據(jù)SP標(biāo) 識及用戶標(biāo)識查詢與該用戶標(biāo)識和SP標(biāo)識對應(yīng)的身份信息,并將查詢結(jié)果通 過第二接口子模塊202返回SP設(shè)備,從而實(shí)現(xiàn)用戶通過SIP客戶端訪問SP 業(yè)務(wù)時(shí),不需用戶輸入SP設(shè)備處的身份認(rèn)證信息就可登錄SP設(shè)備,實(shí)現(xiàn)統(tǒng) 一登錄。所述接口模塊20可以僅包括第一接口子模塊201、第二接口子模塊 202、第三接口子模塊203中的一個(gè)或者多個(gè)。
如圖5所示,為本發(fā)明的身份管理系統(tǒng)實(shí)施例四結(jié)構(gòu)示意圖。本實(shí)施例 進(jìn)一步加入了用戶登錄模塊27、 Cookie管理模塊28及用戶注冊模塊29,接 口模塊20進(jìn)一步加入了用于與短信網(wǎng)關(guān)通信的第四接口子模塊204。
用戶登錄模塊27用于用戶直接登錄身份管理系統(tǒng),該模塊根據(jù)展現(xiàn)模塊 21轉(zhuǎn)發(fā)的用戶登錄驗(yàn)證信息進(jìn)行登錄驗(yàn)證,并通過展現(xiàn)才莫塊21向用戶返回 驗(yàn)證結(jié)果。Cookie管理模塊28用于讀取用戶終端上的Cookie文件,根據(jù)讀 取的信息判斷用戶是否已登錄;以及在用戶登錄后將用戶登錄信息記錄到用 戶終端的Cookie文件中。用戶注冊模塊29用于用戶注冊以及創(chuàng)建和修改用 戶的注冊信息。
用戶登錄模塊27接收到展現(xiàn)模塊21轉(zhuǎn)發(fā)的登錄請求后可先調(diào)用Cookie 管理模塊28讀取Cookie,判斷用戶是否已登錄身份管理系統(tǒng),若已登錄則向 用戶返回已登錄信息,并繼續(xù)提供其他的服務(wù);若未登錄,則由用戶登錄模 塊27執(zhí)行普通的登錄流程。例如,用戶登錄模塊27通過展現(xiàn)模塊21發(fā)送登 錄頁面,提示用戶輸入手機(jī)號;用戶填寫了自己的手機(jī)號后,展現(xiàn)模塊21將 手機(jī)號發(fā)送至用戶登錄模塊27;用戶登錄模塊27生成用于驗(yàn)證手機(jī)號是否 正確的隨機(jī)驗(yàn)證碼,通過第四接口子模塊204發(fā)送至短信網(wǎng)關(guān),并由短信網(wǎng) 關(guān)向用戶填寫的手機(jī)號碼發(fā)送隨機(jī)驗(yàn)證碼;同時(shí)用戶登錄模塊27通過展現(xiàn)模塊21提示用戶輸入驗(yàn)證碼;用戶收到驗(yàn)證碼以后,輸入驗(yàn)證碼;展現(xiàn)模塊 21將用戶輸入的驗(yàn)證碼轉(zhuǎn)發(fā)至用戶登錄模塊27;用戶登陸模塊27檢查驗(yàn)證 碼是否正確,若驗(yàn)證碼正確,則允許用戶登錄,并通知Cookie管理模塊28 將登錄狀態(tài)記錄到用戶終端的Cookie文件中,若不正確,則退出登錄流程。
當(dāng)然,本發(fā)明第一至第三實(shí)施方式中同樣可以包括用戶登錄模塊27和 Cookie管理模塊2,其所起作用與在第四實(shí)施方式中所起作用相同。
本發(fā)明利用用戶多個(gè)身份的映射關(guān)系,實(shí)現(xiàn)用戶登錄了身份管理系統(tǒng)或 某個(gè)SP設(shè)備后,再訪問其他SP設(shè)備時(shí),身份管理系統(tǒng)可以查詢得到用戶在 其他SP設(shè)備上的身份信息,從而實(shí)現(xiàn)統(tǒng)一登錄。SP設(shè)備可以保存自己的認(rèn) 證系統(tǒng),當(dāng)SP設(shè)備接收不到身份管理系統(tǒng)返回的用戶身份信息時(shí),會(huì)執(zhí)行普
通的登錄流程,這樣,即使認(rèn)證服務(wù)器被攻擊,也只有統(tǒng)一登錄服務(wù)受到影
響,用戶仍然可以使用各個(gè)SP設(shè)備提供的服務(wù)。
最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對其 限制;盡管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù) 人員應(yīng)當(dāng)理解其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改,或 者對其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換,并不使相應(yīng)技
術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍。
權(quán)利要求
1、一種身份管理系統(tǒng),其特征在于,包括接口模塊,用于所述身份管理系統(tǒng)與其他系統(tǒng)進(jìn)行信息交互;展現(xiàn)模塊,用于提供展現(xiàn)頁面,從用戶接收用戶請求消息,并向用戶返回處理結(jié)果;身份聯(lián)合數(shù)據(jù)庫,用于存儲(chǔ)用戶多個(gè)身份的映射關(guān)系;身份查詢模塊,用于根據(jù)所述接口模塊或展現(xiàn)模塊轉(zhuǎn)發(fā)的攜帶有服務(wù)提供商SP標(biāo)識和用戶標(biāo)識的查詢請求檢索所述身份聯(lián)合數(shù)據(jù)庫,得到并返回所述用戶標(biāo)識的與所述SP標(biāo)識對應(yīng)的身份信息。
2、 根據(jù)權(quán)利要求1所述的身份管理系統(tǒng),其特征在于,還包括身份 處理模塊,用于根據(jù)所述接口模塊或展現(xiàn)模塊轉(zhuǎn)發(fā)的消息對所述身份聯(lián)合數(shù) 據(jù)庫存儲(chǔ)的用戶多個(gè)身份的映射關(guān)系進(jìn)行新增、修改或刪除操作。
3、 根據(jù)權(quán)利要求2所述的身份管理系統(tǒng),其特征在于,所述身份查詢 模塊及身份處理模塊通過加解密模塊與所述接口模塊或展現(xiàn)模塊連接,所述 加解密模塊用于對所述接口模塊或展現(xiàn)模塊轉(zhuǎn)發(fā)的加密消息進(jìn)行解密,并將 解密后的消息轉(zhuǎn)發(fā)給所述身份查詢模塊及身份處理模塊,以及將所述身份查 詢模塊及身份處理模塊發(fā)送的消息進(jìn)行加密,并將加密后的消息發(fā)送至所述 接口模塊或展現(xiàn)模塊。
4、 根據(jù)權(quán)利要求3所述的身份管理系統(tǒng),其特征在于,還包括時(shí)間 戳模塊,用于分配及管理時(shí)間戳,并根據(jù)解密后的消息攜帶的時(shí)間戳對消息 進(jìn)行合法性驗(yàn)證。
5、 根據(jù)權(quán)利要求4所述的身份管理系統(tǒng),其特征在于,所述時(shí)間戳模 塊包括時(shí)間戳數(shù)據(jù)庫,用于存儲(chǔ)當(dāng)前有效的時(shí)間戳;時(shí)間戳分配模塊,用于分配時(shí)間戳,并將分配的時(shí)間戳存儲(chǔ)到所述時(shí)間 戳數(shù)據(jù)庫中;時(shí)間戳管理模塊,用于刪除所述時(shí)間戳數(shù)據(jù)庫中有效期期滿的時(shí)間戳;驗(yàn)證模塊,用于將解密后的消息攜帶的時(shí)間戳與所述時(shí)間戳數(shù)據(jù)庫存儲(chǔ) 的時(shí)間戳進(jìn)行對比,判斷所述消息攜帶的時(shí)間戳是否有效。
6、 根據(jù)權(quán)利要求1所述的身份管理系統(tǒng),其特征在于,還包括用戶登 錄模塊,用于根據(jù)所述展現(xiàn)模塊轉(zhuǎn)發(fā)的用戶登錄驗(yàn)證信息進(jìn)行登錄驗(yàn)證,并 通過所述展現(xiàn)模塊返回驗(yàn)證結(jié)果。
7、 根據(jù)權(quán)利要求1所述的身份管理系統(tǒng),其特征在于,還包括Cookie 管理模塊,用于讀取用戶終端上的Cookie文件,根據(jù)讀取的信息判斷用戶是 否已登錄;以及在用戶登錄后將用戶登錄信息記錄到用戶終端的Cookie文件 中。
8、 根據(jù)權(quán)利要求1所述的身份管理系統(tǒng),其特征在于,還包括用戶 注冊模塊,用于用戶注冊以及創(chuàng)建和修改用戶的注冊信息。
9、 根據(jù)權(quán)利要求1所述的身份管理系統(tǒng),其特征在于,所述接口模塊 包括采用RADIUS協(xié)議的第 一接口子模塊,采用HTTP協(xié)議的第二接口子 模塊及采用Socket協(xié)議的第三接口子模塊。
10、 一種身份認(rèn)證系統(tǒng),其特征在于,包括 用戶終端,用于發(fā)送登錄請求,使用SP設(shè)備提供的服務(wù); 身份管理系統(tǒng),用于管理用戶多個(gè)身份的映射關(guān)系,根據(jù)SP標(biāo)識和用戶標(biāo)識查詢所述用戶多個(gè)身^f分的映射關(guān)系,得到所述用戶標(biāo)識的與所述SP標(biāo)識 對應(yīng)的用戶身份;SP設(shè)備,用于在接收到用戶終端的登錄請求時(shí),根據(jù)SP標(biāo)識和用戶標(biāo) 識向所述身份管理系統(tǒng)查詢用戶身份,并使用戶以查詢到的用戶身份登錄。
全文摘要
本發(fā)明涉及一種身份管理系統(tǒng),包括接口模塊,用于與其他系統(tǒng)進(jìn)行信息交互;展現(xiàn)模塊,用于提供展現(xiàn)頁面,從用戶接收用戶請求消息,并向用戶返回處理結(jié)果;身份聯(lián)合數(shù)據(jù)庫,用于存儲(chǔ)用戶多個(gè)身份的映射關(guān)系;身份查詢模塊,用于根據(jù)服務(wù)提供商SP標(biāo)識和用戶標(biāo)識檢索身份聯(lián)合數(shù)據(jù)庫,得到并返回對應(yīng)的身份信息。本發(fā)明還涉及一種身份認(rèn)證系統(tǒng),包括用戶終端,身份管理系統(tǒng)及SP設(shè)備。本發(fā)明利用用戶多個(gè)身份的映射關(guān)系,實(shí)現(xiàn)用戶登錄了身份管理系統(tǒng)或某個(gè)SP設(shè)備后,再訪問其他SP設(shè)備時(shí),身份管理系統(tǒng)可以查詢得到用戶在其他SP設(shè)備上的身份信息,從而實(shí)現(xiàn)統(tǒng)一登錄。
文檔編號H04L9/32GK101453328SQ200710178878
公開日2009年6月10日 申請日期2007年12月6日 優(yōu)先權(quán)日2007年12月6日
發(fā)明者劉利軍, 劉寶義, 楊放春, 森 蘇, 耀 趙, 華 鄒, 冰 魏 申請人:中國移動(dòng)通信集團(tuán)公司;北京郵電大學(xué)