技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)通信領(lǐng)域，尤其涉及一種信息處理方法和名字映射服務(wù)器。

背景技術(shù)：

在傳輸控制協(xié)議(TCP)/網(wǎng)際協(xié)議(IP)體系中，最為核心的是網(wǎng)絡(luò)層的IP協(xié)議，通過IP地址實現(xiàn)用戶之間的相互訪問。各種應(yīng)用，如網(wǎng)絡(luò)瀏覽、郵件收發(fā)、即時通訊等，都承載在應(yīng)用層協(xié)議之上。

用戶在使用這些業(yè)務(wù)之前必須通過電信運營商提供的基礎(chǔ)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，不同的用戶可能有不同的接入方式，如各種類型數(shù)字用戶線路(xDSL)、光纖、移動接入等等。一般情況下，用戶終端都會獲取到一個IP地址，用戶此后就通過這個IP地址訪問互聯(lián)網(wǎng)上的各種應(yīng)用，這個IP地址就相當于用戶的臨時身份。

由于IP地址的前綴部分表示用戶當前所在的子網(wǎng)，當用戶位置發(fā)生變化時，必須分配不同的IP地址，否則路由器無法正確地把數(shù)據(jù)包轉(zhuǎn)發(fā)給用戶。而因為IP地址具有身份和位置的雙重屬性，同時用戶每次獲取到的IP地址不一定相同，從而無法作為用戶的長期身份標識，因此互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)必須自建一套用戶身份標識系統(tǒng)，即通常所說的用戶賬號系統(tǒng)。

由此可見，用戶在訪問互聯(lián)網(wǎng)上的應(yīng)用時存在二次認證的情況，運營商在用戶接入互聯(lián)網(wǎng)時進行一次認證，互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)在用戶訪問時進行自身的認證。

隨著信息技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)也越來越多。由于這些應(yīng)用系統(tǒng)相互獨立，用戶在使用每一個系統(tǒng)之前必須先進行注冊登記，并按照相應(yīng)的身份進行登錄，為此用戶必須記住每個應(yīng)用系統(tǒng)的用戶名和密碼，這給用戶帶來了很大的麻煩。在這種情況下，單點登錄的概念被提了出來，并得到應(yīng)用。

單點登錄(SSO，Single-Sign On)是一種方便用戶訪問多個應(yīng)用系統(tǒng)的技術(shù)，用戶只需要在登錄時進行一次認證，就可以在多個應(yīng)用系統(tǒng)之間自由訪問，不必重復(fù)輸入用戶名和密碼來確認身份。

現(xiàn)有的互聯(lián)網(wǎng)單點登錄體系中，用戶在使用單點登錄之前，必須在身份提供商(IdP，Identity Provider)處進行注冊登記，業(yè)務(wù)提供商(SP，Service Provider)的業(yè)務(wù)提供服務(wù)器依賴于身份提供商IdP的身份提供服務(wù)器的認證結(jié)果向用戶提供業(yè)務(wù)。此外由于互聯(lián)網(wǎng)的身份提供商IdP通常是分散部署的，因而，如果業(yè)務(wù)提供商SP采用單點登錄方式，那么它的業(yè)務(wù)發(fā)展規(guī)模將很大程度上取決于它所依賴的IdP注冊用戶的數(shù)量。單點登錄涉及的主要技術(shù)有：開放身份(OpenID)、Passport(通行證)、Liberty Alliance(自由聯(lián)盟)等。這里，OpenID易于使用，但存在安全隱患，不能很好地防范“釣魚”攻擊；Passport易于使用，安全性稍高，但目前僅適用于業(yè)務(wù)提供商SP內(nèi)部使用；Liberty Alliance有一定的安全性，但部署不易，用戶使用也不方便。

由于用戶在訪問互聯(lián)網(wǎng)應(yīng)用之前，需要接入運營商網(wǎng)絡(luò)，因而可以將運營商作為身份提供商IdP。運營商作為身份提供商IdP具有如下優(yōu)勢：通過運營商的接入認證，能夠很好的保證安全性，同時，運營商作為身份提供商IdP，將不需要用戶重新進行注冊登記，易于使用，并且運營商作為身份提供商IdP，相對于互聯(lián)網(wǎng)的身份提供商IdP，有一個優(yōu)質(zhì)成熟的用戶消費群體。

當前，IP地址具有雙重屬性的缺陷，帶來了移動性和安全性問題，已經(jīng)成為了制約互聯(lián)網(wǎng)產(chǎn)業(yè)進一步發(fā)展的瓶頸。為了解決這個問題，業(yè)界提出了HIP(Host Identity Protocol，主機標識協(xié)議)和LISP(Locator/Identifier Separation Protocol，位置/標識分離協(xié)議)技術(shù)等。這些技術(shù)的共同點是引入了兩類編碼：代表用戶身份的身份編碼和代表用戶位置的位置編碼，每個用戶都既有一個身份編碼又有一個位置編碼，用戶基于身份編碼和對端發(fā)生通信，當用戶位置發(fā)生變化時，用戶的身份編碼保持不變，而用戶的位置編碼將隨之變化。這樣，通過用戶身份編碼就可以始終對應(yīng)到用戶，而不會存在IP地址二義性的問題。

但在現(xiàn)有的身份位置分離網(wǎng)絡(luò)技術(shù)中，用戶身份編碼只用于在網(wǎng)絡(luò)層標識用戶身份，因而用戶訪問互聯(lián)網(wǎng)應(yīng)用系統(tǒng)仍然需要多次注冊認證。另一方面，由于用戶在大量不同的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)中注冊賬號，通常為了方便起見，用戶注冊的賬號具有一定的規(guī)律性，那么很容易就導(dǎo)致用戶的身份隱私信息被泄露。

技術(shù)實現(xiàn)要素：

本發(fā)明提供了一種信息處理方法和名字映射服務(wù)器，以解決用戶訪問互聯(lián)網(wǎng)應(yīng)用系統(tǒng)需進行多次注冊認證的問題。

本文提供了一種信息處理方法，該方法包括：

名字映射服務(wù)器(NMS)接收身份提供服務(wù)器發(fā)送的匿名身份請求，所述匿名身份請求中攜帶有用戶的身份標識；

所述NMS根據(jù)所述匿名身份請求生成與該身份標識對應(yīng)的用戶的假名及與所述假名對應(yīng)的生存期，并向所述身份提供服務(wù)器返回所述用戶的假名及與所述假名對應(yīng)的生存期。

可選地，上述方法中，所述NMS向所述身份提供服務(wù)器發(fā)送所述用戶的假名及與所述假名對應(yīng)的生存期之后，所述方法還包括：

所述NMS接收所述身份提供服務(wù)器發(fā)送的來自所述用戶的攜帶指定用戶名及相應(yīng)生存期的匿名更新請求，根據(jù)匿名更新請求進行更新處理，并返回更新結(jié)果。

本文還公開了一種名字映射服務(wù)器(NMS)，該NMS包括：

接收模塊，用于接收身份提供服務(wù)器發(fā)送的匿名身份請求，所述匿名身份請求中攜帶有用戶的身份標識；

生成發(fā)送模塊，用于根據(jù)所述接收模塊接收的所述匿名身份請求生成與該身份標識對應(yīng)的用戶的假名及與所述假名對應(yīng)的生存期，并向所述身份提供服務(wù)器返回所述用戶的假名及與所述假名對應(yīng)的生存期。

可選地，上述NMS中，所述生成發(fā)送模塊，還用于接收所述身份提供服務(wù)器發(fā)送的來自所述用戶的攜帶指定用戶名及相應(yīng)生存期的匿名更新請求，根據(jù)匿名更新請求進行更新處理，并返回更新結(jié)果。

本發(fā)明實施例，通過重利用接入認證，很好地解決了用戶訪問互聯(lián)網(wǎng)多次注冊認證的問題，通過生成假名對用戶隱私起到了保護的作用，避免了用戶隱私的泄露。

附圖說明

圖1為本發(fā)明實施例所涉及的網(wǎng)元架構(gòu)示意圖；

圖2為本發(fā)明單點登錄方法實施例的流程圖；

圖3為本發(fā)明由業(yè)務(wù)提供服務(wù)器發(fā)起的單點登錄方法實施例的信令流程圖；

圖4為本發(fā)明由身份提供服務(wù)器發(fā)起的單點登錄方法實施例的信令流程圖；

圖5為本發(fā)明身份提供服務(wù)器實施例的結(jié)構(gòu)示意圖；

圖6為本發(fā)明業(yè)務(wù)提供服務(wù)器實施例的結(jié)構(gòu)示意圖；

圖7為本發(fā)明名字映射服務(wù)器實施例的結(jié)構(gòu)示意圖；

圖8為本發(fā)明信息處理裝置實施例的結(jié)構(gòu)示意圖；

圖9為本發(fā)明單點登錄系統(tǒng)實施例的結(jié)構(gòu)示意圖。

具體實施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白，下文中將結(jié)合附圖對本發(fā)明的實施例進行詳細說明。需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互任意組合。

為了更好地理解本發(fā)明，首先介紹一下本發(fā)明實施例所涉及的網(wǎng)元架構(gòu)，如圖1所示，該架構(gòu)包括用戶終端(Mobile Node，MN)101、接入服務(wù)節(jié)點(Access Service Node，ASN)102、認證中心103、身份提供商(Identity Provider，IdP)的身份提供服務(wù)器104、名字映射服務(wù)器(Name Mapping Server，NMS)105、互聯(lián)服務(wù)節(jié)點(Interconnect Service Node，ISN)106和業(yè)務(wù)提供商(Service Provider，SP)的業(yè)務(wù)提供服務(wù)器107，其中：

接入網(wǎng)絡(luò)的MN可以是移動終端、固定終端中的一種或多種，如手機、固定電話、電腦和應(yīng)用服務(wù)器等；

ASN，用于為用戶終端提供接入服務(wù)、維護終端與網(wǎng)絡(luò)的連接，為終端分配路由標識(Routing Identifier，RID)，并到身份位置寄存器(ILR)/報文轉(zhuǎn)發(fā)功能實體(PTF)登記注冊和查詢終端的RID，維護接入標識(Access Identifier，AID)-RID映射信息，以及實現(xiàn)數(shù)據(jù)報文的路由和轉(zhuǎn)發(fā)；

認證中心，用于記錄本網(wǎng)絡(luò)用戶的屬性信息如用戶類別、認證信息和用戶服務(wù)等級等，完成對終端的接入認證和授權(quán)，還可具有計費功能。認證中心支持終端與網(wǎng)絡(luò)間的雙向認證，可產(chǎn)生用于認證、完整性保護和機密性保護的用戶安全信息；

身份提供服務(wù)器向業(yè)務(wù)提供服務(wù)器提供對用戶的斷言信息，并對業(yè)務(wù)提供服務(wù)器進行認證，檢查業(yè)務(wù)提供服務(wù)器的合法性；通過與認證中心的接口查詢用戶相應(yīng)的屬性信息，通過與NMS的接口，提供用戶的假名服務(wù)；

NMS根據(jù)身份提供服務(wù)器提供的用戶身份產(chǎn)生假名，作為用戶的替代身份，并創(chuàng)建假名和用戶身份信息、業(yè)務(wù)提供服務(wù)器統(tǒng)一資源定位符(URL)、生存期(lifetime)對應(yīng)的條目，如果用戶修改假名以及假名的lifetime，則NMS在接收到身份提供服務(wù)器的匿名更新請求后，也將此信息進行更新；

其中，NMS和身份提供服務(wù)器可以分別單獨部署，也可以將NMS作為身份提供服務(wù)器的功能模塊進行部署；

ISN，用于查詢、維護本網(wǎng)絡(luò)終端的AID-RID映射信息，封裝、路由和轉(zhuǎn)發(fā)本網(wǎng)絡(luò)與傳統(tǒng)IP網(wǎng)絡(luò)之間往來的數(shù)據(jù)報文、實現(xiàn)本網(wǎng)絡(luò)與傳統(tǒng)IP網(wǎng)絡(luò)之間的互聯(lián)互通功能，其中包括格式轉(zhuǎn)換模塊，用于將傳統(tǒng)IP網(wǎng)絡(luò)發(fā)來的數(shù)據(jù)報文中包含的本網(wǎng)絡(luò)終端的IPv4/IPv6地址轉(zhuǎn)換成對應(yīng)的AID，以及將本網(wǎng)絡(luò)終端的AID轉(zhuǎn)換成IPv4/IPv6地址格式后，再發(fā)送到傳統(tǒng)IP網(wǎng)絡(luò)的終端；

業(yè)務(wù)提供服務(wù)器，是互聯(lián)網(wǎng)上為用戶提供業(yè)務(wù)的應(yīng)用系統(tǒng)。

本發(fā)明實施例提供了一種單點登錄的方法，該方法從身份提供服務(wù)器側(cè)進行描述，該方法包括：

步驟11、身份提供服務(wù)器確認用戶通過接入認證；

身份提供服務(wù)器根據(jù)用戶的身份標識確認用戶通過接入認證；

步驟12、所述身份提供服務(wù)器根據(jù)自身和所述用戶欲訪問的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對用戶的斷言信息，并向所述業(yè)務(wù)提供服務(wù)器發(fā)送所述斷言信息。

本發(fā)明實施例還提供了一種單點登錄的方法，該方法從業(yè)務(wù)提供服務(wù)器側(cè)進行描述，該方法包括：

步驟21、業(yè)務(wù)提供服務(wù)器接收身份提供服務(wù)器發(fā)送的對欲訪問所述業(yè)務(wù)提供服務(wù)器的用戶的斷言信息；

步驟22、所述業(yè)務(wù)提供服務(wù)器根據(jù)自身和所述身份提供服務(wù)器之間的共享密鑰驗證所述斷言信息。

上述業(yè)務(wù)提供服務(wù)器利用身份提供服務(wù)器發(fā)送的斷言信息進行認證，使得用戶訪問互聯(lián)網(wǎng)應(yīng)用系統(tǒng)不需要進行多次注冊認證，同時，為了避免用戶隱私泄露，本發(fā)明實施例又提供了一種信息處理方法，該方法從名字映射服務(wù)器側(cè)進行描述，該方法包括：

步驟31、名字映射服務(wù)器(NMS)接收身份提供服務(wù)器發(fā)送的匿名身份請求，所述匿名身份請求中攜帶有用戶的身份標識；

步驟32、所述NMS根據(jù)所述匿名身份請求生成與該身份標識對應(yīng)的用戶的假名及與所述假名對應(yīng)的生存期，并向所述身份提供服務(wù)器返回所述用戶的假名及與所述假名對應(yīng)的生存期。

為了更清楚地描述本發(fā)明實施例的單點登錄方法，下面從身份提供服務(wù)器、業(yè)務(wù)提供服務(wù)器和名字映射服務(wù)器三者交互的角度進行描述，如圖2所示，為本發(fā)明單點登錄方法實施例的流程圖，所述方法包括以下步驟：

步驟201、身份提供服務(wù)器在接收到業(yè)務(wù)提供服務(wù)器的認證請求或者用戶的業(yè)務(wù)訪問請求后，檢查是否存在它自身和業(yè)務(wù)提供服務(wù)器間的共享密鑰Ks，如果不存在，則認證業(yè)務(wù)提供服務(wù)器，認證成功后，生成共享密鑰Ks；

進一步地，所述認證方法包括但不限于：預(yù)共享密鑰、TLS、公鑰基礎(chǔ)結(jié)構(gòu)(PKI)、協(xié)議安全性(IPsec)等技術(shù)，由于其均為現(xiàn)有技術(shù)，這里不再贅述。

步驟202、身份提供服務(wù)器確認用戶通過接入認證，并根據(jù)用戶的匿名服務(wù)請求通過名字映射服務(wù)器產(chǎn)生假名的方式對用戶身份進行保護，同時為業(yè)務(wù)提供服務(wù)器生成對該用戶的斷言信息；

步驟203、業(yè)務(wù)提供服務(wù)器接收到身份提供服務(wù)器發(fā)送的斷言信息后，對斷言信息進行驗證，如果驗證通過，則創(chuàng)建用戶假名對應(yīng)的條目，并向用戶提供業(yè)務(wù)。

上述單點登錄方法，通過重利用接入認證和假名，很好地解決了用戶訪問互聯(lián)網(wǎng)應(yīng)用系統(tǒng)需多次注冊認證和身份隱私泄露的問題。

如圖3所示，為本發(fā)明由業(yè)務(wù)提供服務(wù)器發(fā)起的單點登錄方法實施例的信令流程圖，所述方法包括：

步驟301、MN、ASN以及認證中心之間進行接入認證，認證通過后，身份位置分離網(wǎng)絡(luò)為用戶分配接入標識AID；

此后，用戶終端發(fā)送的報文通過AID進行傳輸，ASN為用戶分配RID，并通過RID進行路由選路找到ISN，ISN從報文中獲取用戶的AID，并轉(zhuǎn)換成IPv4/IPv6地址發(fā)送到傳統(tǒng)IP網(wǎng)絡(luò)。

步驟302、MN向業(yè)務(wù)提供服務(wù)器發(fā)起業(yè)務(wù)訪問請求；

步驟303、用戶在業(yè)務(wù)提供服務(wù)器頁面上選擇身份提供服務(wù)器，業(yè)務(wù)提供服務(wù)器根據(jù)當前時間戳生成隨機數(shù)nonce，作為用戶在業(yè)務(wù)提供服務(wù)器的臨時標識，并構(gòu)建認證請求消息，消息中攜帶業(yè)務(wù)提供服務(wù)器URL、身份提供服務(wù)器URL和隨機數(shù)nonce；

步驟304、業(yè)務(wù)提供服務(wù)器將認證請求消息通過超文本傳輸協(xié)議(HTTP)重定向到身份提供服務(wù)器；

步驟305、用戶通過終端向身份提供服務(wù)器發(fā)送匿名服務(wù)請求；

步驟306、身份提供服務(wù)器從報文中獲取用戶的接入標識AID，確認用戶通過接入認證；并檢查它自身和業(yè)務(wù)提供服務(wù)器間是否存在共享密鑰Ks，如果不存在，則認證業(yè)務(wù)提供服務(wù)器，認證成功后，生成共享密鑰Ks；確定不存在用戶對應(yīng)的假名或?qū)?yīng)的假名生存期(lifetime)過期；

其中，身份提供服務(wù)器認證業(yè)務(wù)提供服務(wù)器的方式包括但不限于預(yù)共享密鑰、PKI、TLS或者IPsec等等認證方式。由于其均為現(xiàn)有技術(shù)，因此這里不再贅述；

步驟307、身份提供服務(wù)器向NMS發(fā)送匿名身份請求消息，請求消息中攜帶用戶的AID、業(yè)務(wù)提供服務(wù)器的URL；

步驟308、NMS接收到匿名身份請求消息后，生成隨機數(shù)Rand以及默認的lifetime，Rand作為相應(yīng)用戶的假名，并構(gòu)建一條MN的AID、業(yè)務(wù)提供服務(wù)器URL和Rand、lifetime對應(yīng)的條目，如表1所示；

表1 MN對應(yīng)的條目

步驟309、NMS向身份提供服務(wù)器發(fā)送匿名身份響應(yīng)消息，響應(yīng)消息中攜帶用戶的AID、業(yè)務(wù)提供服務(wù)器URL和隨機數(shù)Rand以及l(fā)ifetime；

步驟310、身份提供服務(wù)器向用戶終端發(fā)送匿名服務(wù)響應(yīng)消息，響應(yīng)消息中攜帶業(yè)務(wù)提供服務(wù)器URL、隨機數(shù)Rand和lifetime；

步驟311、用戶通過終端向身份提供服務(wù)器發(fā)送指定的用戶名及其lifetime；

用戶可將隨機數(shù)Rand修改為指定的用戶名即期望展現(xiàn)的用戶名，并指定期望的lifetime；

步驟312、身份提供服務(wù)器向NMS發(fā)送匿名更新請求消息，消息中攜帶用戶的AID、隨機數(shù)Rand、用戶指定的假名和lifetime；

步驟313、NMS在添加用戶指定的假名和更新lifetime后，向身份提供服務(wù)器發(fā)送匿名更新響應(yīng)消息，消息中攜帶更新成功或失敗的結(jié)果；

步驟314、身份提供服務(wù)器構(gòu)建認證響應(yīng)消息，認證響應(yīng)消息中包含斷言信息，該斷言信息中攜帶隨機數(shù)nonce、業(yè)務(wù)提供服務(wù)器URL、身份提供服務(wù)器URL、NMS生成的假名Rand或者用戶指定的用戶名、簽名算法、以及Ks的簽名結(jié)果；

此處的簽名結(jié)果為身份提供服務(wù)器根據(jù)業(yè)務(wù)提供服務(wù)器URL、身份提供服務(wù)器URL、NMS生成的假名Rand或者用戶指定的用戶名、共享密鑰使用簽名算法計算出的簽名結(jié)果；

本實施例中的身份提供服務(wù)器URL代表身份提供服務(wù)器的身份信息；業(yè)務(wù)提供服務(wù)器URL代表業(yè)務(wù)提供服務(wù)器的身份信息；NMS生成的假名Rand或者用戶指定的用戶名代表用戶的身份信息；隨機數(shù)nonce用于防止重放攻擊；

步驟315、身份提供服務(wù)器通過HTTP重定向?qū)⒄J證響應(yīng)消息發(fā)送到業(yè)務(wù)提供服務(wù)器；

步驟316、業(yè)務(wù)提供服務(wù)器通過和身份提供服務(wù)器之間的共享密鑰Ks驗證斷言的完整性，以及檢查nonce是否是最近生成，是否重復(fù)等；

業(yè)務(wù)提供服務(wù)器根據(jù)斷言信息中攜帶的業(yè)務(wù)提供服務(wù)器URL、身份提供服務(wù)器URL、NMS生成的假名Rand或者用戶指定的用戶名和與身份提供服務(wù)器協(xié)商的共享密鑰使用斷言信息中攜帶的簽名算法計算出簽名結(jié)果，并將該簽名結(jié)果和斷言信息中攜帶的簽名結(jié)果進行比較，若二者一致，則斷言完整；同時，根據(jù)nonce的生成時間判斷其是否是最近生成且是否重復(fù)；若是最近生成且不重復(fù)，則驗證通過。

步驟317、在上述驗證通過后，業(yè)務(wù)提供服務(wù)器為用戶MN創(chuàng)建隨機數(shù)Rand或者指定用戶名的條目；

步驟318、業(yè)務(wù)提供服務(wù)器向用戶返回業(yè)務(wù)訪問響應(yīng)，以Rand或者用戶名作為用戶在業(yè)務(wù)提供服務(wù)器的標識向用戶提供業(yè)務(wù)。

如圖4所示，為本發(fā)明由身份提供服務(wù)器發(fā)起的單點登錄方法實施例的信令流程圖，該方法包括以下步驟：

步驟401、MN、ASN以及認證中心之間進行接入認證，認證通過后，身份位置分離網(wǎng)絡(luò)為用戶分配接入標識AID；

此后，用戶終端發(fā)送的報文通過AID進行傳輸，ASN為用戶分配RID，并通過RID進行路由選路找到ISN，ISN從報文中獲取用戶的AID，并轉(zhuǎn)換成IPv4/IPv6地址發(fā)送到傳統(tǒng)IP網(wǎng)絡(luò)。

步驟402、MN向身份提供服務(wù)器發(fā)起業(yè)務(wù)訪問請求；

步驟403、MN在身份提供服務(wù)器頁面上選擇將要訪問的業(yè)務(wù)，并向身份提供服務(wù)器發(fā)送匿名服務(wù)請求；

步驟404、身份提供服務(wù)器從報文中獲取到用戶的接入標識AID，確認用戶通過接入認證；并檢查它自身和業(yè)務(wù)提供服務(wù)器間是否存在共享密鑰Ks，如果不存在，則認證業(yè)務(wù)提供服務(wù)器，認證通過后，生成共享密鑰Ks。檢查不存在AID對應(yīng)的假名或?qū)?yīng)的假名lifetime過期；

步驟405、身份提供服務(wù)器根據(jù)用戶的匿名服務(wù)請求，向NMS發(fā)送匿名身份請求消息，請求消息中攜帶用戶的AID、業(yè)務(wù)提供服務(wù)器URL；

步驟406、NMS接收到匿名身份請求消息后，生成隨機數(shù)Rand以及默認的lifetime，作為相應(yīng)用戶的假名，并構(gòu)建一條MN的AID、業(yè)務(wù)提供服務(wù)器URL和Rand、lifetime對應(yīng)的條目，如表1所示；

步驟407、NMS向身份提供服務(wù)器發(fā)送匿名身份響應(yīng)消息，響應(yīng)消息中攜帶用戶的AID、業(yè)務(wù)提供服務(wù)器URL、隨機數(shù)Rand以及l(fā)ifetime；

步驟408、身份提供服務(wù)器向用戶發(fā)送匿名服務(wù)響應(yīng)消息，響應(yīng)消息中攜帶業(yè)務(wù)提供服務(wù)器URL、隨機數(shù)Rand和lifetime；

步驟409、用戶通過終端向身份提供服務(wù)器發(fā)送指定的用戶名及其lifetime；

用戶可將隨機數(shù)Rand修改為指定的用戶名即期望展現(xiàn)的用戶名，并指定期望的lifetime；

步驟410、身份提供服務(wù)器向NMS發(fā)送匿名更新請求消息，消息中攜帶用戶的AID、隨機數(shù)Rand、用戶指定的假名和lifetime；

步驟411、NMS在添加用戶指定的假名和更新完lifetime后，向身份提供服務(wù)器發(fā)送匿名更新響應(yīng)消息，消息中攜帶更新成功或失敗的結(jié)果；

步驟412、身份提供服務(wù)器根據(jù)當前時間戳生成隨機數(shù)nonce，構(gòu)建認證響應(yīng)消息，認證響應(yīng)消息中包含斷言信息，該斷言信息中攜帶隨機數(shù)nonce、業(yè)務(wù)提供服務(wù)器URL、身份提供服務(wù)器URL、NMS生成的假名Rand或者用戶指定的用戶名、簽名算法、以及Ks的簽名結(jié)果；

步驟413、身份提供服務(wù)器通過HTTP重定向?qū)⒄J證響應(yīng)消息發(fā)送到業(yè)務(wù)提供服務(wù)器；

步驟414、業(yè)務(wù)提供服務(wù)器通過和身份提供服務(wù)器之間的共享密鑰Ks驗證斷言的完整性，以及檢查nonce是否是最近生成，是否重復(fù)等；

步驟415、在上述驗證通過后，業(yè)務(wù)提供服務(wù)器為用戶MN創(chuàng)建隨機數(shù)Rand或者指定用戶名的條目；

步驟416、業(yè)務(wù)提供服務(wù)器向用戶返回業(yè)務(wù)訪問響應(yīng)，以Rand或者用戶名作為用戶在業(yè)務(wù)提供服務(wù)器的標識向用戶提供業(yè)務(wù)。

由于本實施例中的步驟403-416和上述實施例中的步驟305-318的處理相似，因此本實施例中不再贅述。

如圖5所示，為本發(fā)明身份提供服務(wù)器實施例的結(jié)構(gòu)示意圖，該身份提供服務(wù)器包括確認模塊51和斷言信息處理模塊52，其中：

確認模塊，用于確認用戶通過接入認證；

斷言信息處理模塊，用于在所述確認模塊確認用戶通過接入認證后，根據(jù)所述身份提供服務(wù)器和所述用戶欲訪問的業(yè)務(wù)提供服務(wù)器間的共享密鑰生成對用戶的斷言信息，并向所述業(yè)務(wù)提供服務(wù)器發(fā)送所述斷言信息。

另外，所述身份提供服務(wù)器還包括：密鑰生成模塊，用于在斷言信息處理模塊生成對用戶的斷言信息之前，在接收到所述業(yè)務(wù)提供服務(wù)器發(fā)送的認證請求或所述用戶發(fā)送的業(yè)務(wù)訪問請求后，檢查是否存在所述共享密鑰，若不存在，則在所述業(yè)務(wù)提供服務(wù)器通過認證后，生成所述共享密鑰。

為了避免用戶的身份信息泄露，所述身份提供服務(wù)器還包括：獲得模塊，用于在所述確認模塊確認所述用戶通過接入認證之后，所述斷言信息處理模塊生成對用戶的斷言信息之前，為所述用戶獲得假名及與所述假名對應(yīng)的生存期。具體地，所述獲得模塊，是用于根據(jù)所述用戶的匿名服務(wù)請求向名字映射服務(wù)器(NMS)發(fā)送匿名身份請求，以及接收所述NMS返回的根據(jù)所述匿名身份請求生成的該用戶的假名及與所述假名對應(yīng)的生存期。另外，用戶還可以修改用戶名，故所述獲得模塊，還用于接收所述用戶發(fā)送的攜帶指定用戶名及相應(yīng)生存期的匿名更新請求，并向所述NMS發(fā)送所述匿名更新請求，以及接收所述NMS返回的更新結(jié)果。

其中，所述斷言信息中攜帶有隨機數(shù)、所述身份提供服務(wù)器的身份信息、所述業(yè)務(wù)提供服務(wù)器的身份信息、所述用戶的身份信息、簽名算法以及所述身份提供服務(wù)器根據(jù)所述共享密鑰計算出的簽名結(jié)果；其中，所述用戶的身份信息包括所述假名或所述指定用戶名。

上述業(yè)務(wù)提供服務(wù)器在確認用戶通過接入認證后，向業(yè)務(wù)提供服務(wù)器提供對該用戶的斷言信息，使得用戶在訪問業(yè)務(wù)提供服務(wù)器時，不需要輸入認證信息成為可能。

如圖6所示，為本發(fā)明業(yè)務(wù)提供服務(wù)器實施例的結(jié)構(gòu)示意圖，該業(yè)務(wù)提供服務(wù)器包括接收模塊61和驗證模塊62，其中：

接收模塊，用于接收身份提供服務(wù)器發(fā)送的對欲訪問所述業(yè)務(wù)提供服務(wù)器的用戶的斷言信息；

驗證模塊，用于根據(jù)所述業(yè)務(wù)提供服務(wù)器和所述身份提供服務(wù)器之間的共享密鑰驗證所述斷言信息。

另外，所述業(yè)務(wù)提供服務(wù)器還包括：業(yè)務(wù)提供模塊，用于所述驗證模塊驗證通過所述斷言信息后，創(chuàng)建與所述斷言信息中包含的用戶的身份信息對應(yīng)的條目，并向所述用戶提供業(yè)務(wù)。

上述驗證模塊根據(jù)斷言信息中攜帶的業(yè)務(wù)提供服務(wù)器URL、身份提供服務(wù)器URL、NMS生成的假名Rand或者用戶指定的用戶名和與身份提供服務(wù)器協(xié)商的共享密鑰使用斷言信息中攜帶的簽名算法計算出簽名結(jié)果，并將該簽名結(jié)果和斷言信息中攜帶的簽名結(jié)果進行比較，若二者一致，則斷言完整；同時，根據(jù)nonce的生成時間判斷其是否是最近生成且是否重復(fù)；若是最近生成且不重復(fù)，則驗證通過。

上述業(yè)務(wù)提供服務(wù)器，根據(jù)身份提供服務(wù)器發(fā)送的對用戶的斷言信息完成用戶的單點登錄，且有效保護了用戶的隱私。

如圖7所示，為本發(fā)明名字映射服務(wù)器實施例的結(jié)構(gòu)示意圖，該NMS包括接收模塊71和生成發(fā)送模塊72，其中：

接收模塊，用于接收身份提供服務(wù)器發(fā)送的匿名身份請求，所述匿名身份請求中攜帶有用戶的身份標識；

生成發(fā)送模塊，用于根據(jù)所述接收模塊接收的所述匿名身份請求生成與該身份標識對應(yīng)的用戶的假名及與所述假名對應(yīng)的生存期，并向所述身份提供服務(wù)器返回所述用戶的假名及與所述假名對應(yīng)的生存期。

另外，為了可以對用戶的假名進行修改，所述生成發(fā)送模塊，還用于接收所述身份提供服務(wù)器發(fā)送的來自所述用戶的攜帶指定用戶名及相應(yīng)生存期的匿名更新請求，根據(jù)匿名更新請求進行更新處理，并返回更新結(jié)果。

進一步地，圖7所示的名字映射服務(wù)器和圖5所示的身份提供服務(wù)器可以合設(shè)，二者合設(shè)后的裝置如圖8所示，該裝置中相關(guān)模塊的功能與圖5和圖7中相應(yīng)模塊的功能相同，此處不再贅述。

對應(yīng)上述隱私增強的單點登錄方法，本發(fā)明實施例還提供了一種單點登錄系統(tǒng)，如圖9所示，該系統(tǒng)包括業(yè)務(wù)提供服務(wù)器91、身份提供服務(wù)器92和名字映射服務(wù)器93，該系統(tǒng)中相關(guān)模塊的功能與圖5-圖7中相應(yīng)模塊的功能相同，此處不再贅述。

總之，本發(fā)明實施例中，身份提供服務(wù)器在接收到業(yè)務(wù)提供服務(wù)器的認證請求或者用戶的業(yè)務(wù)訪問請求后，檢查是否存在共享密鑰Ks，如果不存在，則認證業(yè)務(wù)提供服務(wù)器，認證通過后，生成共享密鑰Ks，身份提供服務(wù)器根據(jù)用戶的身份標識確認用戶通過接入認證，并根據(jù)用戶的匿名服務(wù)請求通過名字映射服務(wù)器(NMS，Name Mapping Server)產(chǎn)生假名的方式對用戶身份進行保護，同時為業(yè)務(wù)提供服務(wù)器生成該用戶的斷言信息，業(yè)務(wù)提供服務(wù)器接收到身份提供服務(wù)器的斷言信息后，驗證斷言信息的合法性，如果驗證通過，則創(chuàng)建假名對應(yīng)的條目，并向用戶提供業(yè)務(wù)。

當然，如果只需要解決多次認證的問題，上述系統(tǒng)中可以不包含名字映射服務(wù)器，相應(yīng)地，身份提供服務(wù)器中也不需要包含獲得模塊。

本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成，上述程序可以存儲于計算機可讀存儲介質(zhì)中，如只讀存儲器、磁盤或光盤等?？蛇x地，上述實施例的全部或部分步驟也可以使用一個或多個集成電路來實現(xiàn)。相應(yīng)地，上述實施例中的各模塊/單元可以采用硬件的形式實現(xiàn)，也可以采用軟件功能模塊的形式實現(xiàn)。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合。

以上實施例僅用以說明本發(fā)明的技術(shù)方案而非限制，僅僅參照較佳實施例對本發(fā)明進行了詳細說明。本領(lǐng)域的普通技術(shù)人員應(yīng)當理解，可以對本發(fā)明的技術(shù)方案進行修改或者等同替換，而不脫離本發(fā)明技術(shù)方案的精神和范圍，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當中。