專利名稱:提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法和裝置的制作方法
提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法和裝置技術(shù)領(lǐng)域木發(fā)明涉及通信技術(shù)領(lǐng)域��,特別涉及一種提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法和裝置���。
技術(shù)背景Web Service (服務(wù))是描述一些操作的接口 �����,可以使用標(biāo)準(zhǔn)化的XML (extensible Markup Language,可擴(kuò)展標(biāo)記語言)消息傳遞機(jī)制通過網(wǎng)絡(luò)訪問這些操作����。 一個Web Service可以單 獨(dú)或協(xié)同其它Web Service —起用于實現(xiàn)復(fù)雜的功能或商業(yè)交易。終端可能會使用多種Web Service,但并不是所有服務(wù)都位于其網(wǎng)絡(luò)運(yùn)營商的信任域內(nèi)�����。 為了提高終端的用戶體驗��,現(xiàn)有技術(shù)提供了一種身份聯(lián)合方式����,即網(wǎng)絡(luò)身份����,用來描述在多 種網(wǎng)絡(luò)服務(wù)中,使提供給終端的狀態(tài)或數(shù)據(jù)保持一致�。網(wǎng)絡(luò)身份消息交換中,會涉及四個實體SP(Service Provider,服務(wù)提供商)��、EDP (Identity Provider,身份提供商)�����、DS (Discovery Service,發(fā)現(xiàn)服務(wù))和AP (Attribute Provider,屬性 提供商)。其中���,SP是為主體用戶提供服務(wù)和/或貨物的實體�����。IDP用于生成����、維護(hù)和管理主 體用戶的身份信息�����,并且能夠為某認(rèn)證域(甚至信任圈)中的其他服務(wù)提供商提供認(rèn)證斷言���。 DS允許不同的實體(如服務(wù)提供商)動態(tài)地發(fā)現(xiàn)一個主體的已注冊的服務(wù)��。例如����,當(dāng)DS確 定了所需服務(wù)的類型��,且符合用戶設(shè)定的權(quán)限,表示該實體上的信息允許向相關(guān)實體提供�, DS將會向相關(guān)實體回復(fù)一個服務(wù)描述,包括所需的實體服務(wù)的WSDL (Web Service Description Language, Web服務(wù)描述語言)��。DS還可以用作安全記號服務(wù)��,向請求者發(fā)送該 安全記號����,請求者在向DS請求服務(wù)時,需要出示這個記號��。AP用于提供某個主體用戶的屬 性?�,F(xiàn)有技術(shù)中���, 一個主體用戶使用某個SP完成某項業(yè)務(wù)時,需要通過IDP的身份認(rèn)證���, 以及屬性提供商提供給SP所需査詢的屬性(例如��,主體用戶的位置信息)共同完成服務(wù)�。通 過用戶在IDP上完成認(rèn)證工作��,信任圈內(nèi)的其他實體能夠利用IDP對用戶的認(rèn)證信息,通過 M (Network Identity,網(wǎng)絡(luò)身份)對用戶身份進(jìn)行識別�����,并在此基礎(chǔ)上對用戶的Attibute信 息進(jìn)行獲取�����,并基于此開展相關(guān)的業(yè)務(wù)應(yīng)用�����。主體用戶請求服務(wù)以及NI認(rèn)證過程如下1)主體用戶用HTTP向SP發(fā)起一個請求�����;2) SP接收到主體用戶發(fā)起的請求后��,向IDP發(fā)送核對該主體用戶的認(rèn)證狀態(tài)的請求�����;
3) IDP收到SP發(fā)送的請求后����,向SP返回回復(fù)請求�,該回復(fù)請求包括一個描述用戶認(rèn)證狀態(tài)的認(rèn)證斷言����,還可以包括訪問主體用戶的發(fā)現(xiàn)服務(wù)實體所需的bootstrap信息(可選項);
如果SP處沒有有效的SSO (Single Sign—On�����,單點(diǎn)登錄)內(nèi)容給主體用戶����,主體用戶需要在IDP認(rèn)證以便建立一個合法的SSO會話;
4) SP使用來自IDP的bootstrap信息向主體用戶的發(fā)現(xiàn)服務(wù)實休詢問某個特定屬性提供
商���;
5) 發(fā)現(xiàn)服務(wù)實體向SP返回一個認(rèn)證斷言�,包括主體用戶的屬性提供商的地址信息�����;
6) SP使用認(rèn)證斷言中的地址信息訪問屬性提供商�,從屬性提供商處請求查詢屬性或有關(guān)屬性的操作(例如�,刪除或修改屬性);
7) 屬性提供商向SP返回回復(fù)信息��;
8) SP收到屬性提供商的回復(fù)信息后,允許或拒絕該主體用戶的請求���。
其中��,IDP對主體用戶的認(rèn)證需要調(diào)用外部認(rèn)證服務(wù)器��,如LDAP (Li扭t Directory AccessProtocol,輕量級目錄訪問協(xié)議)或關(guān)系數(shù)據(jù)庫及附加在關(guān)系數(shù)據(jù)庫上的訪問控制協(xié)議�����。在對現(xiàn)有技術(shù)進(jìn)行分析后�����,發(fā)明人發(fā)現(xiàn)
由于網(wǎng)絡(luò)中既存在信任圈又存在非信任圈�����,用戶在向SP請求業(yè)務(wù)時��,可能涉及到信任圈與非信任圈的切換問題��,上述現(xiàn)有技術(shù)還無法實現(xiàn)信任圈與非信任圈的無縫切換�,當(dāng)從信任圈切換到非信任圈時,有可能造成業(yè)務(wù)中斷����。另外,用戶請求業(yè)務(wù)時��,有可能面臨虛假SP��,會使用戶的身份信息等暴露��,給用戶帶來損失����,存在較大的安全漏洞。
發(fā)明內(nèi)容
為了提髙網(wǎng)絡(luò)身份認(rèn)證的安全性�, 一方面,本發(fā)明實施例提供了一種提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法���,應(yīng)用于web服務(wù)����,所述方法包括
對服務(wù)提供商SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證���;
將認(rèn)證結(jié)果返回給所述SP,所述認(rèn)證結(jié)果包括所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果和所述終端
用戶的網(wǎng)絡(luò)身份認(rèn)證結(jié)果�。
另一方面����,本發(fā)明實施例還提供了一種身份提供商裝置��,應(yīng)用于web服務(wù)���,所述裝置包
括
認(rèn)證模塊�����,用于對SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證
發(fā)送模塊���,用于將所述認(rèn)證模塊得到的認(rèn)證結(jié)果返回給所述SP,所述認(rèn)證結(jié)果'包括所述終端用戶的網(wǎng)絡(luò)身份認(rèn)證結(jié)果和所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果�。
再一方面,本發(fā)明實施例還提供了一種服務(wù)提供商裝置�,應(yīng)用于web服務(wù),所述裝置包
括
認(rèn)證模塊����,用于對SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證;
發(fā)送模塊��,用于將所述認(rèn)證模塊得到的認(rèn)證結(jié)果返回給所述SP,所述認(rèn)證結(jié)果包括所述
終端用戶的網(wǎng)絡(luò)身份認(rèn)證結(jié)果和所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果���。
為了實現(xiàn)單點(diǎn)登錄過程中的無縫切換���, 一方面,本發(fā)明實施例提供了一種實現(xiàn)單點(diǎn)登錄
過程無縫切換的方法�����,應(yīng)用于web服務(wù)��,所述方法包括
當(dāng)SP向終端用戶指定的IDP請求網(wǎng)絡(luò)身份認(rèn)證并且得到所述IDP不支持所述認(rèn)證的結(jié)
果后��,所述SP歸屬的IDP接收所述終端用戶發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求���;
所述SP歸屬的IDP對所述終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證后�,返回認(rèn)證結(jié)果給所述終端用戶����。
另一方面,本發(fā)明實施例還提供了一種實現(xiàn)單點(diǎn)登錄過程無縫切換的方法�����,應(yīng)用于web
服務(wù),所述方法包括
當(dāng)自身沒有歸屬的IDP時����,接收終端用戶發(fā)來的業(yè)務(wù)鑒權(quán)請求;
對所述終端用戶進(jìn)行鑒權(quán)����,并返回鑒權(quán)結(jié)果給所述終端用戶。
再一方面��,本發(fā)明實施例還提供了一種身份提供商裝置����,應(yīng)用于web服務(wù),所述身份提
供商為SP歸屬的身份提供商�,所述裝置包括
接收模塊,用于接收終端用戶發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求
認(rèn)證模塊�,用于在所述接收模塊接收到所述網(wǎng)絡(luò)身份認(rèn)證請求后,對所述終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�����,并返回認(rèn)證結(jié)果給所述終端用戶���。
又一方面����,本發(fā)明實施例還提供了一種服務(wù)提供商裝置,所述裝置包括接收模塊�����,用于接收終端用戶發(fā)來的業(yè)務(wù)請求��;還用于接收所述終端用戶指定的IDP返回不支持所述認(rèn)證的結(jié)果����,所述結(jié)果中指明所述終端用戶指定的IDP不是所述SP歸屬的IDP;
發(fā)送模塊,用于在所述接收模塊收到所述業(yè)務(wù)請求后���,向所述終端用戶指定的IDP發(fā)起
網(wǎng)絡(luò)身份認(rèn)證請求���,在所述接收模塊收到所述結(jié)果后,回復(fù)響應(yīng)給所述終端用戶���,所述響應(yīng)
中攜帶所述SP歸屬的IDP信息�����。
為了控制SP對終端用戶屬性信息的獲取���, 一方面���,本發(fā)明實施例提供了一種提髙網(wǎng)絡(luò)身份認(rèn)證安全性的方法,應(yīng)用于web服務(wù)��,所述方法包括-
接收SP發(fā)來的對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的請求���,所述請求中包括服務(wù)提供商的訪問權(quán)限信息;
根據(jù)所述訪問權(quán)限信息����,對所述終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,返回認(rèn)證結(jié)果�����。另一方面��,本發(fā)明實施例還提供了一種服務(wù)提供商裝置�����,應(yīng)用于web服務(wù)���,所述服務(wù)提供商沒有歸屬的IDP����,所述裝置包括
接收模塊,用于接收終端用戶發(fā)來的業(yè)務(wù)鑒權(quán)請求
業(yè)務(wù)鑒權(quán)模塊����,用于當(dāng)所述接收模塊收到所述業(yè)務(wù)鑒權(quán)請求后,對所述終端用戶進(jìn)行鑒權(quán)�����,并返回鑒權(quán)結(jié)果給所述終端用戶�����。
再一方面�����,本發(fā)明實施例還提供了一種身份提供商裝置�����,應(yīng)用于web服務(wù)��,所述裝置包
括
接收模塊,用于接收SP發(fā)來的對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的請求�,所述請求中包括服務(wù)提供商的訪問權(quán)限信息;
控制模塊�,用于當(dāng)所述接收模塊收到所述請求后,根據(jù)所述訪問權(quán)限信息對所述終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證��,并返回認(rèn)證結(jié)果給所述SP����。
本發(fā)明實施例通過在單點(diǎn)登錄過程中對終端用戶和SP均進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的方式�����,提髙了終端用戶和SP之間的安全性�;采用SP歸屬的IDP對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證或SP對終端用戶進(jìn)行業(yè)務(wù)鑒權(quán)請求的方式,實現(xiàn)單點(diǎn)登錄過程中的無縫切換�,提髙了終端用戶體驗;通過SP的訪問權(quán)限信息控制對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,可以控制SP對終端用戶的屬性信息的獲取�����,從而使SP對終端用戶提供不同的服務(wù)�。
圖1是本發(fā)明實施例1提供的提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法流程示意圖
圖2是本發(fā)明實施例2提供的實現(xiàn)單點(diǎn)登錄過程無縫切換的方法流程示意圖
圖3是本發(fā)明實施例3提供的實現(xiàn)單點(diǎn)登錄過程無縫切換的方法流程示意圖
圖4是本發(fā)明實施例4提供的實現(xiàn)單點(diǎn)登錄過程無縫切換的方法流程示意圖
圖5是本發(fā)明實施例5提供的提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法流程示意圖6是本發(fā)明實施例6提供的身份提供商裝置的一個結(jié)構(gòu)示意圖7是本發(fā)明實施例6提供的身份提供商裝置的另一個結(jié)構(gòu)示意圖8是本發(fā)明實施例7提供的服務(wù)提供商裝置的結(jié)構(gòu)示意圖9是本發(fā)明實施例8提供的身份提供商裝置的結(jié)構(gòu)示意圖10是本發(fā)明實施例9提供的服務(wù)提供商裝置的一個結(jié)構(gòu)示意圖;圖11是本發(fā)明實施例9提供的服務(wù)提供商裝置的另一個結(jié)構(gòu)示意圖�����;圖12是本發(fā)明實施例IO提供的服務(wù)提供商裝置的一個結(jié)構(gòu)示意圖;圖13是本發(fā)明實施例IO提供的服務(wù)提供商裝置的另一個結(jié)構(gòu)示意圖;圖14是本發(fā)明實施例11提供的身份提供商裝置的一個結(jié)構(gòu)示意圖;圖15是本發(fā)明實施例11提供的身份提供商裝置的另一個結(jié)構(gòu)示意圖���。
具體實施例方式
為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對本發(fā)明實施方式作進(jìn)一步地詳細(xì)描述��。
本發(fā)明實施例通過在單點(diǎn)登錄過程中對終端用戶和SP均進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的方式�����,提髙了終端用戶和SP之間的安全性��;采用SP歸屬的IDP對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證或SP對終端用戶進(jìn)行業(yè)務(wù)鑒權(quán)請求的方式�����,實現(xiàn)單點(diǎn)登錄過程中的無縫切換�����,提高了終端用戶體驗通過SP的訪問權(quán)限信息控制對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證��,可以控制SP對終端用戶的屬性信息的獲取���,從而使SP對終端用戶提供不同的服務(wù)��。
實施例1
本發(fā)明實施例提供了一種提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法���,包括IDP對SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,并將認(rèn)證結(jié)果返回給SP����,該認(rèn)證結(jié)果包括SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果和用
的網(wǎng)絡(luò)身份認(rèn)證結(jié)果。參見圖l��,圖l中所示的實體設(shè)備均位于信任圈中���,該方法具體包括101:終端用戶向SP發(fā)起一個認(rèn)證請求,該請求中攜帶終端用戶的認(rèn)證信息�����、終端用戶
指定的IDP的標(biāo)識信息��,以及需要SP返回SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果的標(biāo)識信息���。
102: SP接收到該認(rèn)證請求后����,根據(jù)其中的IDP標(biāo)識信息,向?qū)?yīng)的IDP請求對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證���,同時SP還可以在該請求中攜帶SP的身份認(rèn)證信息��,請求IDP對SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證��。
在實際應(yīng)用中�����,SP也可以在102之前或者101之前完成向IDP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的過程�,當(dāng)在102之前SP已完成向IDP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的過程時�,102中SP發(fā)起的網(wǎng)絡(luò)身份認(rèn)證請求中可以不攜帶SP的身份認(rèn)證信息。在本實施例中SP同時向IDP請求對終端用戶和SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�����。
103: IDP收到SP發(fā)來的請求后���,根據(jù)已保存的終端用戶信息和SP的信息�,對終端用戶和SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,并返回認(rèn)證結(jié)果�����,該認(rèn)證結(jié)果包括一個描述終端用戶認(rèn)證狀態(tài)的認(rèn)證斷言�����,以及IDP對SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的結(jié)果�����。其中�����,進(jìn)一步地����,IDP返回的認(rèn)證結(jié)果中還可以包括SP訪問終端用戶的DS所需的引導(dǎo)(bootstrap)信息。
104: SP收到IDP返回的認(rèn)證結(jié)果后�����,將該認(rèn)證結(jié)果返回給終端用戶�,其中包含對終端用戶的認(rèn)證結(jié)果,以及對SP的認(rèn)證結(jié)果�。
105:終端用戶發(fā)送消息給IDP,向IDP核對SP的認(rèn)證狀態(tài)�,該消息中包含SP的認(rèn)證結(jié)果。
106: IDP收到該消息后����,返回響應(yīng),其中包括一個描述SP認(rèn)證狀態(tài)的認(rèn)證斷言��。在本實施例中���,IDP返回的響應(yīng)中指明核對后的結(jié)果為該SP為合法的SP����。
終端用戶在得到IDP返回的SP為合法的SP的確認(rèn)結(jié)果后�,進(jìn)一步地,還可以向SP請求業(yè)務(wù)��,即上述方法還包括
107:終端用戶向SP發(fā)起一個業(yè)務(wù)請求���,該業(yè)務(wù)請求中包含終端用戶需要在SP進(jìn)行的相關(guān)操作等等���,例如���,終端用戶在該SP提供的網(wǎng)上商城中買東西。
108: SP根據(jù)103中IDP返回的引導(dǎo)信息��,向相應(yīng)的DS詢問終端用戶對應(yīng)的屬性提供商AP��。
109:該DS返回一個認(rèn)證斷言給SP��,其中����,包括相應(yīng)的AP信息,如某個AP的地址信息���。
110: SP收到該認(rèn)證斷言后�,根據(jù)其中的AP信息��,訪問相應(yīng)的AP�����,請求終端用戶的屬性信息�。
111:該AP返回終端用戶的屬性信息給SP,如終端用戶的姓名��、性別��、年齡����、地址和電話等等。
112: SP收到終端用戶的屬性信息后���,根據(jù)該屬性信息向終端用戶提供業(yè)務(wù)���。
進(jìn)一歩地,在103中IDP還可以根據(jù)SP發(fā)來的SP訪問權(quán)限信息控制對終端用戶的網(wǎng)絡(luò)身份認(rèn)證,如判斷該SP是否被允許請求認(rèn)證�,如果是�,則對該SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證;否則�,拒絕該SP發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求。其中�,SP訪問權(quán)限信息通常為終端用戶發(fā)來的SP訪問控制列表����,包括終端用戶信賴的SP和終端用戶不信賴的SP,以及不同的SP具有不同的訪問權(quán)限等信息。例如,SP1可以訪問終端用戶的姓名�����、年齡和地址�����,SP2可以訪問終端用戶的姓名和電話等等���。IDP通過維護(hù)SP訪問控制列表����,可以控制SP獲取終端用戶的屬性信息���,從而給終端用戶提供不同的業(yè)務(wù)��。
為了避免出現(xiàn)重放攻擊����,進(jìn)一步地����,IDP還可以預(yù)先獲取SP的一次性信息,如102中SP將發(fā)起請求的時間作為一次性信息攜帶在網(wǎng)絡(luò)身份認(rèn)證請求中發(fā)給IDP���,相應(yīng)地���,103中IDP還可以利用獲取的SP的一次性信息加密對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證得到的認(rèn)證結(jié)果��,
并將加密后的信息返回給SP; SP收到該加密后的信息后�����,進(jìn)行解碼可以得到該認(rèn)證結(jié)果�。
本實施例通過對終端用戶和SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證(雙向認(rèn)證)�,提高了網(wǎng)絡(luò)身份認(rèn)證的安全性,與現(xiàn)有技術(shù)相比�����,避免了虛假SP使用戶的身份信息等暴露給用戶帶來損失���,解決了終端用戶與SP之間的安全漏洞。通過在IDP維護(hù)SP訪問權(quán)限信息����,可以控制SP對終端用戶的屬性信息的獲取,從而可以給終端用戶提供不同的服務(wù)�。IDP通過獲取SP的一次性信息并對認(rèn)證結(jié)果加密,可以避免出現(xiàn)重放攻擊��,進(jìn)一步提高了網(wǎng)絡(luò)身份認(rèn)證的安全性。
實施例2
本發(fā)明實施例還提供了一種實現(xiàn)單點(diǎn)登錄過程無縫切換的方法���,應(yīng)用于web服務(wù)��,包括當(dāng)SP向終端用戶指定的IDP請求網(wǎng)絡(luò)身份認(rèn)證并且得到IDP不支持該認(rèn)證的結(jié)果后�,SP歸屬的IDP接收該終端用戶發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求;SP歸屬的IDP對該終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證后����,返回認(rèn)證結(jié)果給終端用戶。參見圖2�,身份提供商A為SP的歸屬IDP,身份提供商B為終端用戶指定的IDP (通常為默認(rèn)的)���,終端用戶既在身份提供商A的信任圈內(nèi)�����,又在身份提供商B的信任圈內(nèi)�����,本實施例屬于交叉信任圈的應(yīng)用場景����,該方法具體包括
201:終端用戶向SP發(fā)起一個認(rèn)證請求,該請求中攜帶終端用戶的認(rèn)證信息和終端用戶指定的IDP的標(biāo)識信息��,在本實施例中終端用戶指定的IDP為IDPB����。
202: SP收到該認(rèn)證請求后,根據(jù)其中的IDP的標(biāo)識信息��,向?qū)?yīng)的IDPB請求對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證����。
203: IDP B收到SP發(fā)來的請求后,根據(jù)已保存的終端用戶信息對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證��,并返回認(rèn)證結(jié)果給SP�����,該認(rèn)證結(jié)果包括一個描述終端用戶認(rèn)證狀態(tài)的認(rèn)證斷言�。在本實施例中�,由于IDPB不是SP歸屬的IDP,不支持對該終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證���,因此IDPB在返回的認(rèn)證結(jié)果中指明自己不是SP歸屬的IDP�����,無法完成認(rèn)證�。
進(jìn)一步地,IDP返回的認(rèn)證結(jié)果中還可以包括SP訪問終端用戶的DS所需的引導(dǎo)信息����。
204: SP收到IDP B返回的認(rèn)證結(jié)果后,回復(fù)響應(yīng)給終端用戶��,該響應(yīng)中包含上述認(rèn)證結(jié)果和SP所歸屬的IDP信息��。在本實施例中�����,SP歸屬的IDP為IDP A�。
205:終端用戶收到SP的響應(yīng)后,向SP所歸屬的IDP發(fā)起網(wǎng)絡(luò)身份認(rèn)證請求�����,在本實施例中向IDPA發(fā)起網(wǎng)絡(luò)身份認(rèn)證請求���。
206: IDPA收到該網(wǎng)絡(luò)身份認(rèn)證請求后���,對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證����,并返回認(rèn)證結(jié)果給終端用戶���。205和206為終端用戶單點(diǎn)登錄的過程����,登錄成功后�,IDPA返回給終端用戶的認(rèn)證結(jié)果為NI信息,如NI標(biāo)識���,終端用戶使用該NI標(biāo)識可以不用每次請求業(yè)務(wù)時都向IDP重新進(jìn)行網(wǎng)絡(luò)身份認(rèn)證��,只需SP向IDP核對驗證該NI標(biāo)識即可���。
207:終端用戶收到IDPA返回的認(rèn)證結(jié)果后,向SP發(fā)起一個業(yè)務(wù)請求���,該業(yè)務(wù)請求中包含IDP A返回的認(rèn)證結(jié)果。
208: SP收到終端用戶發(fā)來的業(yè)務(wù)請求后���,向IDP A核對終端用戶的認(rèn)證結(jié)果�,即核對終端用戶的NI信息;
209: IDPA收到SP發(fā)來的核對請求后����,回復(fù)響應(yīng)給SP,該響應(yīng)中包括一個描述終端用戶認(rèn)證狀態(tài)的認(rèn)證斷言,即核對的結(jié)果����,在本實施例中,IDPA核對的終端用戶的NI信息的結(jié)果為終端用戶的NI信息是正確的�。進(jìn)一步地,SP還可以從IDP A處獲取訪問終端用戶的發(fā)現(xiàn)服務(wù)DS所需的引導(dǎo)信息��,即IDP A可以在該響應(yīng)中攜帶引導(dǎo)信息���;相應(yīng)地����,上述方法還包括
210: SP收到IDPA返回的響應(yīng)后��,根據(jù)其中的引導(dǎo)信息訪問相應(yīng)的DS,請求獲取屬性提供商AP的信息�。
211: DS收到該請求后,返回一個認(rèn)證斷言給SP,其中包括相應(yīng)的AP的信息��。212: SP根據(jù)收到的AP的信息�����,訪問相應(yīng)的AP�,請求獲取終端用戶的屬性信息。213: AP返回響應(yīng)給SP��,該響應(yīng)中包含終端用戶的屬性信息�。
214: SP收到該響應(yīng)后,回復(fù)響應(yīng)給終端用戶�����,并根據(jù)得到的終端用戶的屬性信息向終端用戶提供業(yè)務(wù)���。
進(jìn)一歩地�,202中SP還可以在網(wǎng)絡(luò)身份認(rèn)證請求中攜帶標(biāo)識信息�,該標(biāo)識信息用于要求返回SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果,相應(yīng)地�����,203中IDP B根據(jù)該標(biāo)識信息對SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,并在返回的認(rèn)證結(jié)果中攜帶對SP的網(wǎng)絡(luò)身份身份認(rèn)證的結(jié)果����。從而可以防止虛假的SP向終端用戶提供業(yè)務(wù)����,給終端用戶帶來損失。
本實施例適用于SP有歸屬的IDP的應(yīng)用場景�����,當(dāng)終端用戶指定的IDP無法完成網(wǎng)絡(luò)身份認(rèn)證時��,通過終端用戶在SP歸屬的IDP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�����,實現(xiàn)了單點(diǎn)登錄過程中無縫切換的目的���。與現(xiàn)有技術(shù)相比���,避免了切換過程中業(yè)務(wù)中斷給終端用戶帶來損失。通過IDP對SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證���,可以識別虛假的SP�����,避免用戶的身份信息等暴露給用戶帶來損失��,解決了終端用戶與SP之間的安全漏洞���。
實施例3本實施例與實施例2類1以���,屬于無交叉信任圈的應(yīng)用場景,參見圖3��,身份提供商A為SP歸屬的EDP���,身份提供商B為終端用戶指定的IDP (通常為默認(rèn)的)�����,終端用戶在身份提供商B的信任圈內(nèi)�,SP在身份提供商A的信任圈內(nèi)���,且兩個信任圈不交叉�����,則終端用戶無法在SP歸屬的IDP處完成認(rèn)證�。本發(fā)明實施例還提供了一種實現(xiàn)單點(diǎn)登錄過程無縫切換的方法,該方法具體包括
歩驟301至306與頭'施例2中的201至206相同��,此處不再贅述�����。在本實施例中�����,由于SP歸屬的IDPA不是終端用戶歸屬的IDP,因此306中IDP A返回給終端用戶的認(rèn)證結(jié)果為認(rèn)證失敗的結(jié)果����。
307:終端用戶收到IDPA返回的認(rèn)證結(jié)果后����,進(jìn)一步地,還可以向IDPB請求SP訪問終端用戶的DS所需的引導(dǎo)信息�����。
308: IDP B收到終端用戶發(fā)來的請求后,回復(fù)響應(yīng)給終端用戶����,其中包括SP訪問DS所需的引導(dǎo)信息。
309:終端用戶收到IDPB返回的響應(yīng)后��,向SP發(fā)起一個業(yè)務(wù)鑒權(quán)請求�����,其中包括終端用戶信息��、密碼信息等內(nèi)容�����,還可以攜帶上述引導(dǎo)信息����。
310: SP收到終端用戶的業(yè)務(wù)鑒權(quán)請求后,根據(jù)其中的引導(dǎo)信息訪問相應(yīng)的DS���,請求獲取終端用戶對應(yīng)的屬性提供商AP����。
311:該DS收到SP的請求后,返回一個認(rèn)證斷言給SP��,其中包括相應(yīng)的AP信息�����,例如某個AP的地址信息�����。
312: SP收到該認(rèn)證斷言后��,根據(jù)其中的AP信息�,訪問相應(yīng)的AP,請求獲取終端用戶的屬性信息��。
313:該AP返回終端用戶的屬性信息給SP�,如終端用戶的姓名、性別�����、年齡���、地址和電話等等�����。
314: SP收到終端用戶的屬性信息后���,根據(jù)該屬性信息向終端用戶提供業(yè)務(wù)��。進(jìn)一歩地�����,本實施例中SP還可以在網(wǎng)絡(luò)身份認(rèn)證請求中攜帶標(biāo)識信息��,該標(biāo)識信息用于要求返回SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果�����,相應(yīng)地����,IDPB或IDPA根據(jù)該標(biāo)識信息對SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證����,并在返回的認(rèn)證結(jié)果中攜帶對SP的網(wǎng)絡(luò)身份身份認(rèn)證的結(jié)果,從而可以防止虛假的SJ*向終端用戶提供業(yè)務(wù)��,給終端用戶帶來損失。
本實施例適用于SP歸屬的IDP不是終端用戶歸屬的IDP的應(yīng)用場景���,當(dāng)終端用戶指定的IDP以及SP歸屬的IDP均無法完成終端用戶的網(wǎng)絡(luò)身份認(rèn)證時��,通過SP對終端用戶進(jìn)行業(yè)務(wù)鑒權(quán)���,實現(xiàn)了單點(diǎn)登錄過程中無縫切換的目的。與現(xiàn)有技術(shù)相比�,避免了切換過程中業(yè)務(wù)中斷給終端用戶帶來損失。通過IDP對SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證����,可以識別虛假的SP�,避免用戶的身份信息等暴露給用戶帶來損失,解決了終端用戶與SP之間的安全漏洞���。
實施例4
本發(fā)明實施例還提供了一種實現(xiàn)單點(diǎn)登錄過程無縫切換的方法�����,應(yīng)用于web服務(wù)��,包括:當(dāng)SP沒有歸屬的IDP時��,SP接收終端用戶發(fā)來的業(yè)務(wù)鑒權(quán)請求���;SP對終端用戶進(jìn)行鑒權(quán)�,并返回鑒權(quán)結(jié)果給終端用戶���。參見圖4��,身份提供商為終端用戶指定的IDP(通常為默認(rèn)的)�����,終端用戶在身份提供商的信任圈內(nèi)����,SP沒有歸屬的IDP����,在非信任圈內(nèi),本實施例屬于交叉信任圈與非信任圈切換的應(yīng)用場景�,該方法具體包括
401:終端用戶向SP發(fā)起一個業(yè)務(wù)請求。
402: SP接收到該業(yè)務(wù)請求后��,發(fā)現(xiàn)該SP沒有歸屬的IDP,即不支持IDP認(rèn)證��,則向終端用戶返回響應(yīng)����,要求用戶進(jìn)行鑒權(quán)。
進(jìn)一步地��,終端用戶可以在401或402之前�,向IDP請求SP訪問DP所需要的引導(dǎo)信息,如401'����,相應(yīng)地,IDP收到SP的請求之后����,向終端用戶回復(fù)響應(yīng),其中包括SP訪問終端用戶的DS所需的引導(dǎo)信息���,如402'。
403:終端用戶收到SP的響應(yīng)后�,向SP發(fā)起一個業(yè)務(wù)鑒權(quán)請求,其中包括終端用戶信息�、密碼信息等內(nèi)容,進(jìn)一歩地,還可以包括上述引導(dǎo)信息�。
404: SP收到終端用戶的業(yè)務(wù)鑒權(quán)請求后,對終端用戶進(jìn)行業(yè)務(wù)鑒權(quán)�����,此時SP可以直接返回業(yè)務(wù)鑒權(quán)的結(jié)果給終端用戶�,也可以先獲取終端用戶的屬性信息,然后再返回業(yè)務(wù)鑒權(quán)的結(jié)果�����,在本實施例中�����,SP根據(jù)上述引導(dǎo)信息���,訪問相應(yīng)的DS,請求獲取終端用戶對應(yīng)的AP的信息�����。
405: DS返回一個認(rèn)證斷言給SP,其中包括相應(yīng)AP的信息���,如某個AP的地址信息。406: SP收到該認(rèn)證斷言后,根據(jù)其中的AP信息���,訪問相應(yīng)的AP����,請求獲取終端用戶的屬性信息��。
407: AP收到SP的請求后���,返回終端用戶的屬性信息給SP��。
408: SP收到終端用戶的屬性信息后����,返回響應(yīng)給終端用戶���,并根據(jù)該屬性信息向終端用戶提供業(yè)務(wù)�。
本實施例適用于SP無歸屬的IDP的應(yīng)用場景�����,當(dāng)終端用戶得到SP返回的不支持IDP認(rèn)證的結(jié)果后����,通過SP對終端用戶進(jìn)行業(yè)務(wù)鑒權(quán),實現(xiàn)了單點(diǎn)登錄過程中無縫切換的目的���。與現(xiàn)有技術(shù)相比����,避免了切換過程中業(yè)務(wù)中斷給終端用戶帶來損失�。實施例5
本發(fā)明實施例還提供了一種提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法,應(yīng)用于web服務(wù)���,包括IDP接收SP發(fā)來的對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的請求����;IDP根據(jù)該請求中攜帶的SP訪問權(quán)限信息對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�����,并返回認(rèn)證結(jié)果給該SP���。參見圖5��, IDP維護(hù)一個SP的訪問控制列表����,控制SP獲取終端用戶的屬性信息,該方法具體包括
501:終端用戶向IDP發(fā)起網(wǎng)絡(luò)身份認(rèn)證請求�����,該請求中攜帶有終端用戶設(shè)定的SP訪問
權(quán)限信息�����,在本實施例中為SP的訪問控制列表����。例如,該列表中包括兩個信賴的SP: SP1
和SP2����,且SP1可以訪問終端用戶的姓名、年齡和地址�����,SP2可以訪問終端用戶的姓名和電話等等��,以及一個不信賴的SP3��,該SP3不能向IDP請求網(wǎng)絡(luò)身份認(rèn)證等等。
502: IDP收到該網(wǎng)絡(luò)身份認(rèn)證請求后�,對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證��,并保存終端用戶設(shè)定的SP訪問權(quán)限信息���,并將認(rèn)證后的結(jié)果返回給終端用戶��。
501和502為終端用戶單點(diǎn)登錄的過程��,登錄成功后����,IDP返回給終端用戶的認(rèn)證結(jié)果為NI信息���,如NI標(biāo)識�����,終端用戶使用該NI標(biāo)識可以不用每次請求業(yè)務(wù)時都向IDP重新進(jìn)行網(wǎng)絡(luò)身份認(rèn)證��,只需SP向IDP核對驗證該NI標(biāo)識即可���。
503:終端用戶收到IDP的認(rèn)證結(jié)果后�����,向SP發(fā)起一個業(yè)務(wù)請求���,該請求中包括攜帶終端用戶的身份認(rèn)證信息、終端用戶指定的IDP的標(biāo)識信息����。
504: SP接收到該業(yè)務(wù)請求后,根據(jù)其中的IDP標(biāo)識信息�����,向?qū)?yīng)的IDP請求對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證���。
505: IDP收到SP發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求后�����,根據(jù)已保存的SP的訪問控制列表判斷該SP身份被允許請求認(rèn)證����,如果是����,則對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證����,并將認(rèn)證結(jié)果返回給SP;否則�����,拒絕該SP的網(wǎng)絡(luò)身份認(rèn)證請求����。在本實施例中����,該SP為終端用戶信賴的SP,則返回認(rèn)證結(jié)果給該SP�。
其中,IDP對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證是指核對SP發(fā)來的終端用戶的NI信息�����,即終端用戶已登錄到web服務(wù)系統(tǒng)���,此時只需核對終端用戶的網(wǎng)絡(luò)身份即可�����,不用重新對其進(jìn)行認(rèn)證�。
進(jìn)一歩地,IDP返回的認(rèn)證結(jié)果中還可以包括SP訪問終端用戶的DS所需的引導(dǎo)信息�。506: SP收到IDP返回的認(rèn)證結(jié)果后,根據(jù)上述引導(dǎo)信息訪問相應(yīng)的DS��,請求獲取終端用戶對應(yīng)的屬性提供商AP的信息�。
507: DS收到該請求后,返回一個認(rèn)證斷言給SP���,其中包括相應(yīng)AP的信息��,如某個AP的地址信息�。
508: SP收到該認(rèn)證斷言后�����,根據(jù)其中的AP信息���,訪問相應(yīng)的AP�,請求獲取終端用戶的屬性信息。
509: AP收到該請求后�,返回終端用戶的屬性信息給SP。
510: SP收到AP返回的終端用戶的屬性信息后��,返回響應(yīng)給終端用戶�,并根據(jù)該屬性信息向終端用戶提供業(yè)務(wù)。
進(jìn)一歩地�����,504中SP還可以在網(wǎng)絡(luò)身份認(rèn)證請求中攜帶標(biāo)識信息�,該標(biāo)識信息用于要求返回SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果�,相應(yīng)地,505中IDP根據(jù)該標(biāo)識信息對SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�,并在返回的認(rèn)證結(jié)果中攜帶對SP的網(wǎng)絡(luò)身份身份認(rèn)證的結(jié)果。從而可以防止虛假的SP向終端用戶提供業(yè)務(wù)��,給終端用戶帶來損失����。
為了避免出現(xiàn)重放攻擊,進(jìn)一步地�,IDP還可以預(yù)先獲取SP的一次性信息,如504中SP將發(fā)起請求的時間作為一次性信息攜帶在網(wǎng)絡(luò)身份認(rèn)證請求中發(fā)給IDP�,相應(yīng)地,505中IDP還可以利用獲取的SP的一次性信息加密對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證得到的認(rèn)證結(jié)果,并將加密后的信息返回給SP; SP收到該加密后的信息后�����,進(jìn)行解碼可以得到該認(rèn)證結(jié)果��。
進(jìn)一步地��,506中SP收到IDP返回的認(rèn)證結(jié)果后�����,還可以刪除該認(rèn)證結(jié)果中的終端用戶的信息�,不在本地緩存該信息,從而可以極大地減輕SP數(shù)據(jù)信息的維護(hù)����,以及SP的數(shù)據(jù)存儲量,減少了安全漏洞����,并且減少了終端用戶信息的存放位置,免除了終端用戶針對SP的注冊過程�����。
本實施例通過在IDP維護(hù)SP訪問權(quán)限信息,可以控制SP對終端用戶的屬性信息的獲取�����,從而可以給終端用戶提供不同的服務(wù)���。通過IDP對SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證����,可以識別虛假的SP���,避免用戶的身份信息等暴露給用戶帶來損失�����,解決了終端用戶與SP之間的安全漏洞。IDP通過獲取SP的一次性信息并對認(rèn)證結(jié)果加密�,可以避免出現(xiàn)重放攻擊,進(jìn)一步提髙了網(wǎng)絡(luò)身份認(rèn)證的安全性���。通過刪除認(rèn)證結(jié)果中的終端用戶的信息���,減輕了SP數(shù)據(jù)信息的維護(hù),以及SP的數(shù)據(jù)存儲量,減少了安全漏洞���,并且減少了終端用戶信息的存放位置�����,免除了終端用戶針對SP的注冊過程�����。
實施例6
參見圖6��,本發(fā)明實施例提供了一種身份提供商裝置���,應(yīng)用于web服務(wù),該裝置包括認(rèn)證模塊601����,用于對SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證;
發(fā)送模塊602����,用于將認(rèn)證模塊601得到的認(rèn)證結(jié)果返回給SP,認(rèn)證結(jié)果包括終端用戶的網(wǎng)絡(luò)身份認(rèn)證結(jié)果和SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果�����。進(jìn)一歩地,參見圖7����,圖6所示的裝置還包括
第一接收模塊603,用于接收SP發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求��,網(wǎng)絡(luò)身份認(rèn)證請求中包含SP的身份認(rèn)證信息和終端用戶的身份認(rèn)證信息�;
相應(yīng)地,認(rèn)證模塊601具體用于當(dāng)?shù)谝唤邮漳K603收到網(wǎng)絡(luò)身份認(rèn)證請求后���,根據(jù)SP的身份認(rèn)證信息和終端用戶的身份認(rèn)證信息�����,對SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證���。
或者,圖6所示的裝置還包括
第二接收模塊604���,用于接收SP發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求,網(wǎng)絡(luò)身份認(rèn)證請求中包含標(biāo)識信息和終端用戶的身份認(rèn)證信息���,標(biāo)識信息用于要求返回SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果�;相應(yīng)地,認(rèn)證模塊601具體包括第一認(rèn)證單元���,用于對SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證���;
第二認(rèn)證單元,用于當(dāng)?shù)诙邮漳K604收到網(wǎng)絡(luò)身份認(rèn)證請求后�����,根據(jù)終端用戶的身份認(rèn)證信息����,對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證。進(jìn)一歩地����,圖6所示的裝置還包括
核對模塊605,用于接收到終端用戶發(fā)來的核實SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果的請求后����,對SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果進(jìn)行核實,并返回核實的結(jié)果給終端用戶��。另外,參見圖7����,圖6所示的裝置還包括第三接收模塊606,用于接收SP發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求�;
處理模塊607,用于當(dāng)?shù)谌邮漳K收到網(wǎng)絡(luò)身份認(rèn)證請求后��,根據(jù)該請求中的SP訪問權(quán)限信息判斷SP是否被允許請求認(rèn)證�,如果是,則觸發(fā)認(rèn)證模塊工作���;否則����,拒絕SP的請求�。
另外,參見圖7�����,圖6所示的裝置還包括獲取模塊608��,用于獲取來自SP的一次性信息���;
相應(yīng)地�����,發(fā)送模塊602具體包括
加密單元����,用于根據(jù)獲取模塊獲取的一次性信息對認(rèn)證模塊得到的認(rèn)證結(jié)果進(jìn)行加密��;發(fā)送單元�,用于返回加密單元加密后的信息給SP。
本實施例通過對終端用戶和SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證(雙向認(rèn)證)�,提高了網(wǎng)絡(luò)身份認(rèn)證的安全性,與現(xiàn)有技術(shù)相比����,避免了虛假SP使用戶的身份信息等暴露給用戶帶來損失,解決了終端用戶與SP之間的安全漏洞����。通過維護(hù)SP訪問權(quán)限信息,可以控制SP對終端用戶的屬性信息的獲取����,從而可以給終端用戶提供不同的服務(wù)���。通過獲取SP的一次性信息并對認(rèn)證結(jié)果加密,可以避免出現(xiàn)重放攻擊�����,進(jìn)一歩提高了網(wǎng)絡(luò)身份認(rèn)證的安全性�。
實施例7
參見圖8,本發(fā)明實施例還提供了一種服務(wù)提供商裝置��,應(yīng)用于web服務(wù)��,該裝置包括:
接收模塊801�,用于接收終端用戶發(fā)來的業(yè)務(wù)請求,業(yè)務(wù)請求中包含標(biāo)識信息和終端用戶的身份認(rèn)證信息�����,標(biāo)識信息用于要求返回服務(wù)提供商的網(wǎng)絡(luò)身份認(rèn)證結(jié)果���;
發(fā)送模塊802���,用于向IDP發(fā)起網(wǎng)絡(luò)身份認(rèn)證請求,并在網(wǎng)絡(luò)身份認(rèn)證請求中攜帶標(biāo)識信息和終端用戶的身份認(rèn)證信息。
進(jìn)一歩地�����,圖8所示的裝置中發(fā)送模塊802具體包括-
發(fā)送單元��,用于向IDP發(fā)起網(wǎng)絡(luò)身份認(rèn)證請求�����,并在網(wǎng)絡(luò)身份認(rèn)證請求中攜帶標(biāo)識信息����、終端用戶的身份認(rèn)證信息和服務(wù)提供商的身份認(rèn)證信息����。進(jìn)一步地,圖8所示的裝置中發(fā)送模塊802還包括一次性信息發(fā)送單元�����,用于發(fā)送服務(wù)提供商的一次性信息給IDP;
相應(yīng)地��,該裝置還包括
解密模塊803����,用于當(dāng)裝置收到IDP發(fā)來的根據(jù)一次性信息得到的加密信息后���,進(jìn)行解密。
本實施例通過發(fā)送標(biāo)識信息給IDP��,使IDP對SP也進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�,提髙了網(wǎng)絡(luò)身份認(rèn)證的安全性,與現(xiàn)有技術(shù)相比�����,避^了虛假SP使用戶的身份信息等暴露給用戶帶來損失�����,解決了終端用戶與SP之間的安全漏洞��。通過發(fā)送SP的一次性信息給IDP���,使IDP根據(jù)該信息對認(rèn)證結(jié)果加密�����,可以避免出現(xiàn)重放攻擊���,進(jìn)一歩提高了網(wǎng)絡(luò)身份認(rèn)證的安全性���。
實施例8
參見圖9,本發(fā)明實施例還提供了一種身份提供商裝置,應(yīng)用于web服務(wù)���,該身份提供商為SP歸屬的身份提供商�,該裝置包括
接收模塊901����,用于接收終端用戶發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求����;
認(rèn)證模塊902,用于在接收模塊901接收到網(wǎng)絡(luò)身份認(rèn)證請求后�,對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,并返回認(rèn)證結(jié)果給終端用戶�。
本實施例適用于終端用戶指定的IDP無法完成對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的場景,通過以SP歸屬的身份提供商對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�,實現(xiàn)了單點(diǎn)登錄過程中的無縫切換。實施例9
參見圖10�,本發(fā)明實施例還提供了一種服務(wù)提供商裝置,該裝置包括
接收模塊1001,用于接收終端用戶發(fā)來的業(yè)務(wù)請求����;還用于接收終端用戶指定的IDP返
回不支持認(rèn)證的結(jié)果����,結(jié)果中指明終端用戶指定的IDP不是SP歸屬的IDP;
發(fā)送模塊1002�����,用于在接收模塊1001收到業(yè)務(wù)請求后��,向終端用戶指定的IDP發(fā)起網(wǎng)
絡(luò)身份認(rèn)證請求���,在接收模塊收到結(jié)果后��,回復(fù)響應(yīng)給終端用戶�����,響應(yīng)中攜帶SP歸屬的IDP
信息o
進(jìn)一歩地���,參見圖ll,接收模塊1001還用于當(dāng)SP歸屬的IDP不是終端用戶歸屬的IDP時����,接收終端用戶發(fā)來的業(yè)務(wù)鑒權(quán)請求����;相應(yīng)地����,上述裝置還包括
業(yè)務(wù)鑒權(quán)模塊1003,用于在接收模塊1001接收到業(yè)務(wù)鑒權(quán)請求后,對終端用戶進(jìn)行鑒權(quán)���,并返回鑒權(quán)結(jié)果給終端用戶�。
本實施例適用于終端用戶指定的IDP無法完成對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的場景���,通過返回SP歸屬的IDP信息給終端用戶,使終端用戶可以向SP歸屬的IDP發(fā)起網(wǎng)絡(luò)身份認(rèn)證�,實現(xiàn)了單點(diǎn)登錄過程中的無縫切換。當(dāng)SP歸屬的IDP不是終端用戶歸屬的IDP時��,通過對終端用戶進(jìn)行業(yè)務(wù)鑒權(quán)��,進(jìn)一步實現(xiàn)了單點(diǎn)登錄過程中的無縫切換��。
實施例10
參見圖12����,本發(fā)明實施例還提供了一種服務(wù)提供商裝置�,應(yīng)用于web服務(wù)�����,該服務(wù)提供商沒有歸屬的1DP�����,該裝置包括
接收模塊1201,用于接收終端用戶發(fā)來的業(yè)務(wù)鑒權(quán)請求�;
業(yè)務(wù)鑒權(quán)模塊1202,用于當(dāng)接收模塊1201收到業(yè)務(wù)鑒權(quán)請求后����,對終端用戶進(jìn)行鑒權(quán),并返回鑒權(quán)結(jié)果給終端用戶�。
進(jìn)一步地,參見圖13�,接收模塊1201還用于接收終端用戶發(fā)來的業(yè)務(wù)請求;
相應(yīng)地����,上述裝置還包括
發(fā)送模塊1203,用于當(dāng)接收模塊1201收到業(yè)務(wù)請求后�,向終端用戶返回響應(yīng),響應(yīng)中指明服務(wù)提供商沒有歸屬的IDP��。
本實施例適用于SP無歸屬的IDP的場景,通過對終端用戶進(jìn)行業(yè)務(wù)鑒權(quán)�,實現(xiàn)了單點(diǎn)登錄過程中的無縫切換。實施例11
參見圖14�����,本發(fā)明實施例還提供了一種身份提供商裝置���,應(yīng)用于web服務(wù)��,該裝置包括:
接收模塊1401,用于接收SP發(fā)來的對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的請求�;
控制模塊1402����,用于當(dāng)接收模塊1401收到請求后,根據(jù)預(yù)設(shè)的SP訪問權(quán)限信息判斷
SP是否被允許請求認(rèn)證����,如果是��,則對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證����,返回認(rèn)證結(jié)果給SP:
否則�,拒絕SP的請求�。
.進(jìn)一步地,參見圖15���,上述裝置還包括
加密處理模塊1403�����,用于根據(jù)接收模塊收到的請求中包含的SP的一次性信息�,加密控制模塊得到的認(rèn)證結(jié)果�����,并返回加密后的信息給SP��。
本實施例通過維護(hù)SP訪問權(quán)限信息����,可以控制SP對終端用戶的屬性信息的獲取,從而可以給終端用戶提供不同的服務(wù)��。通過獲取SP的一次性信息并對認(rèn)證結(jié)果加密����,可以避免出現(xiàn)重放攻擊��,進(jìn)一步提高了網(wǎng)絡(luò)身份認(rèn)證的安全性�。
本發(fā)明實施例可以利用軟件實現(xiàn)�����,相應(yīng)的軟件程序可以存儲在可讀取的存儲介質(zhì)中��,例如�����,計算機(jī)的硬盤�、緩存或光盤中。
以上所述僅為本發(fā)明的較佳實施例���,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi)���,所作的任何修改、等同替換�、改進(jìn)等�����,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)�。
權(quán)利要求
1.一種提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法���,其特征在于�,應(yīng)用于web服務(wù)�����,所述方法包括對服務(wù)提供商SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�;將認(rèn)證結(jié)果返回給所述SP,所述認(rèn)證結(jié)果包括所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果和所述終端用戶的網(wǎng)絡(luò)身份認(rèn)證結(jié)果�。
2. 根據(jù)權(quán)利要求1所述的提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法,其特征在于��,所述對服務(wù)提 供商SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證之前�,還包括所述終端用戶向所述SP發(fā)起業(yè)務(wù)請求,所述業(yè)務(wù)請求中攜帶標(biāo)識信息和所述終端用戶的 身份認(rèn)證信息,所述標(biāo)識信息用于要求返回SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果�。
3. 根據(jù)權(quán)利要求2所述的提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法,其特征在于�,所述方法還包括所述SP收到所述業(yè)務(wù)請求后,發(fā)起網(wǎng)絡(luò)身份認(rèn)證請求,并在所述網(wǎng)絡(luò)身份認(rèn)證請求中攜 帶所述標(biāo)識信息��、所述終端用戶的身份認(rèn)證信息和所述SP的身份認(rèn)證信息��; 相應(yīng)地���,所述對服務(wù)提供商SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�,具體包括 收到所述網(wǎng)絡(luò)身份認(rèn)證請求后��,根據(jù)所述SP的身份認(rèn)證信息和所述終端用戶的身份認(rèn)證 信息�����,對所述SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�����。
4. 根據(jù)權(quán)利要求2所述的提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法����,其特征在于,所述方法還包括所述SP收到所述業(yè)務(wù)請求后��,發(fā)起網(wǎng)絡(luò)身份認(rèn)證請求�����,并在所述網(wǎng)絡(luò)身份認(rèn)證請求中攜 帶所述標(biāo)識信息和所述終端用戶的身份汄證信息�����;相應(yīng)地�,所述對服務(wù)提供商SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,具體包括 對所述SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證��;收到所述網(wǎng)絡(luò)身份認(rèn)證請求后���,根據(jù)所述終端用戶的身份認(rèn)證信息���,對所述終端用戶進(jìn) 行網(wǎng)絡(luò)身份認(rèn)證。
5. 根據(jù)權(quán)利要求2所述的提髙網(wǎng)絡(luò)身份認(rèn)證安全性的方法����,其特征在于,所述方法還包括接收所述終端用戶發(fā)來的核實所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果的請求,所述請求中包含所述 終端用戶從所述SP返回的響應(yīng)中提取的所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果���;對所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果進(jìn)行核實后���,返回核實的結(jié)果給所述終端用戶���。
6. —種實現(xiàn)單點(diǎn)登錄過程無縫切換的方法,其特征在于����,應(yīng)用于web服務(wù),所述方法 包括.-當(dāng)SP向終端用戶指定的IDP請求網(wǎng)絡(luò)身份認(rèn)證并且得到所述IDP不支持所述認(rèn)證的結(jié) 果后�����,所述SP歸屬的IDP接收所述終端用戶發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求所述SP歸屬的IDP對所述終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證后���,返回認(rèn)證結(jié)果給所述終端用戶�����。
7. 根據(jù)權(quán)利要求6所述的實現(xiàn)單點(diǎn)登錄過程無縫切換的方法�����,其特征在于�,所述方法還包括所述終端用戶指定的IDP接收所述SP發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求�,對所還終端用戶進(jìn)行 網(wǎng)絡(luò)身份認(rèn)證,并返回不支持所述認(rèn)證的結(jié)果給所述SP�,所述結(jié)果中指明所述終端用戶指定 的IDP不是所述SP歸屬的IDP;所述SP收到所述結(jié)果后���,回復(fù)響應(yīng)給所述終端用戶,所述響應(yīng)中攜帶所述SP歸屬的IDP 信息�����。
8. 根據(jù)權(quán)利要求7所述的實現(xiàn)單點(diǎn)登錄過程無縫切換的方法�,其特征在于���,所述方法還包括所述網(wǎng)絡(luò)身份認(rèn)證請求中攜帶要求返回所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果的標(biāo)識信息��; 所述終端用戶指定的IDP根據(jù)所述標(biāo)識信息對所述SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�,并在所述結(jié) 果中攜帶所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果����。
9. 根據(jù)權(quán)利要求6所述的實現(xiàn)單點(diǎn)登錄過程無縫切換的方法,其特征在于��,所述方法還 包括當(dāng)所述SP歸屬的IDP不是所述終端用戶歸屬的IDP時��,所述終端用戶接收所述SP返回的認(rèn)證失敗的結(jié)果�����;所述終端用戶向所述SP發(fā)起業(yè)務(wù)鑒權(quán)請求;所述SP接收到所述業(yè)務(wù)鑒權(quán)請求后���,對所述終端用戶進(jìn)行鑒權(quán)����,并返回鑒權(quán)結(jié)果給所述 終端用戶��。
10. 根據(jù)權(quán)利要求9所述的實現(xiàn)單點(diǎn)登錄過程無縫切換的方法�����,其特征在于�����,所述方法 還包括所述終端用戶向自身歸屬的IDP獲取引導(dǎo)信息�����;相應(yīng)地�����,所述終端用戶還在所述業(yè)務(wù)鑒權(quán)請求中攜帶所述引導(dǎo)信息����。
11. 一種實現(xiàn)單點(diǎn)登錄過程無縫切換的方法�����,其特征在于�����,應(yīng)用于web服務(wù),所述方法 包括當(dāng)自身沒有歸屬的IDP時���,接收終端用戶發(fā)來的業(yè)務(wù)鑒權(quán)請求���; 對所述終端用戶進(jìn)行鑒權(quán),并返回鑒權(quán)結(jié)果給所述終端用戶�。
12. 根據(jù)權(quán)利要求11所述的實現(xiàn)單點(diǎn)登朵過程無縫切換的方法,其特征在于�,所述方法 還包括接收所述終端用戶發(fā)來的業(yè)務(wù)請求,向所述終端用戶返回響應(yīng)����,所述響應(yīng)中指明自身沒 有歸屬的IDP;相應(yīng)地,所述接收終端用戶發(fā)來的業(yè)務(wù)鑒權(quán)請求�,具體為 接收所述終端用戶在收到所述響應(yīng)后發(fā)來的業(yè)務(wù)鑒權(quán)請求��。
13. 根據(jù)權(quán)利要求ll所述的實現(xiàn)單點(diǎn)登錄過程無縫切換的方法����,其特征在于����,所述方法 還包括所述業(yè)務(wù)鑒權(quán)請求中攜帶所述終端用戶向自身婦屬的IDP獲取的引導(dǎo)信息。
14. 一種提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法����,其特征在于,應(yīng)用于web服務(wù)�����,所述方法包括接收SP發(fā)來的對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的請求�����,所述請求中包括服務(wù)提供商的訪問 權(quán)限信息�;根據(jù)所述訪問權(quán)限信息,對所述終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�����,返回認(rèn)證結(jié)果。
15. 根據(jù)權(quán)利要求14所述的提卨網(wǎng)絡(luò)身份認(rèn)證安全性的方法�����,其特征在于��,所述方法還 包括所述請求中攜帶要求返冋所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果的標(biāo)識信息����; 根據(jù)所述標(biāo)識信息對所述SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,并在所述認(rèn)證結(jié)果中攜帶所述SP的網(wǎng) 絡(luò)身份認(rèn)證結(jié)果��。
16. 根據(jù)權(quán)利要求14所述的提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法��,其特征在于����,所述汄證結(jié) 果包括引導(dǎo)信息���,所述引導(dǎo)信息包括所述SP的訪問權(quán)限信息�,所述方法還包括所述SP根據(jù)所述引導(dǎo)信息訪問相應(yīng)的發(fā)現(xiàn)服務(wù)DS;所述DS根據(jù)所述SP的訪問權(quán)限信息提供相應(yīng)的AP的信息給所述SP�����。
17. -種身份提供商裝置,其特征在于���,應(yīng)用于web服務(wù)���,所述裝置包括 認(rèn)證模塊,用于對SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�����;發(fā)送模塊�,用于將所述認(rèn)證模塊得到的認(rèn)證結(jié)果返回給所述SP,所述認(rèn)證結(jié)果包括所述 終端用戶的網(wǎng)絡(luò)身份認(rèn)證結(jié)果和所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果��。
18. 根據(jù)權(quán)利要求17所述的身份提供商裝置��,其特征在于�����,所述裝置還包括 第一接收模塊���,用于接收所述SP發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求�,所述網(wǎng)絡(luò)身份認(rèn)證請求中包含所述SP的身份認(rèn)證信息和所述終端用戶的身份認(rèn)證信息;相應(yīng)地��,所述認(rèn)證模塊具體用于當(dāng)所述第一接收模塊收到所述網(wǎng)絡(luò)身份認(rèn)證請求后���,根 據(jù)所述SP的身份汄證信息和所述終端用戶的身份認(rèn)證信息��,對所述SP和終端用戶進(jìn)行網(wǎng)絡(luò) 身份認(rèn)證�����。
19. 根據(jù)權(quán)利要求17所述的身份提供商裝置�,其特征在于�,所述裝置還包括 第二接收模塊,用于接收所述SP發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求����,所述網(wǎng)絡(luò)身份認(rèn)證請求中包含標(biāo)識信息和所述終端用戶的身份認(rèn)證信息,所述標(biāo)識信息用于要求返回SP的網(wǎng)絡(luò)身份認(rèn)證 結(jié)果��;相應(yīng)地���,所述認(rèn)證模塊具體包括第一認(rèn)證單元,用于對所述SP進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�;第二認(rèn)證單元,用于當(dāng)所述第二接收模塊收到所述網(wǎng)絡(luò)身份認(rèn)證請求后,根據(jù)所述終端 用戶的身份認(rèn)證信息��,對所述終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證�。
20. 根據(jù)權(quán)利要求17所述的身份提供商裝置,其特征在于�,所述裝置還包括 核對模塊,用于接收到所述終端用戶發(fā)來的核實所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果的請求后�����,對所述SP的網(wǎng)絡(luò)身份認(rèn)證結(jié)果進(jìn)行核實���,并返回核實的結(jié)果給所述終端用戶�。
21. —種服務(wù)提供商裝置����,其特征在于,應(yīng)用于web服務(wù)�����,所述裝置包括接收模塊�����,用于接收終端用戶發(fā)來的業(yè)務(wù)請求,所述業(yè)務(wù)請求中包含標(biāo)識信息和所述終端幣戶的身份認(rèn)證信息�,所述標(biāo)識信息用于要求返回所述服務(wù)提供商的網(wǎng)絡(luò)身份認(rèn)證結(jié)果;發(fā)送模塊��,用于向IDP發(fā)起網(wǎng)絡(luò)身份認(rèn)證請求�,并在所述網(wǎng)絡(luò)身份認(rèn)證請求中攜帶所述 標(biāo)W信息和所述終端用戶的身份認(rèn)證信息。
22. 根據(jù)權(quán)利要求21所述的服務(wù)提供商裝置�����,其特征在于���,所述發(fā)送模塊具體包括 發(fā)送單元����,用于向IDP發(fā)起網(wǎng)絡(luò)身份認(rèn)證請求�����,并在所述網(wǎng)絡(luò)身份認(rèn)證請求中攜帶所述標(biāo)識信息�、所述終端用戶的身份認(rèn)證信息和所述服務(wù)提供商的身份認(rèn)證信息。
23. —種身份提供商裝置��,其特征在于���,應(yīng)用于web服務(wù)�����,所述身份提供商為SP歸屬 的身份提供商��,所述裝置包括-接收模塊����,用于接收終端用戶發(fā)來的網(wǎng)絡(luò)身份認(rèn)證請求�����;認(rèn)證模塊�����,用于在所述接收模塊接收到所述網(wǎng)絡(luò)身份認(rèn)證請求后����,對所述終端用戶進(jìn)行 網(wǎng)絡(luò)身份認(rèn)證,并返回汄證結(jié)果給所述終端用戶��。
24. —種服務(wù)提供商裝置���,其特征在于���,應(yīng)用于web服務(wù)��,所述裝置包括 接收模塊�����,用于接收終端用戶發(fā)來的業(yè)務(wù)請求還用于接收所述終端用戶指定的IDP返回不支持所述認(rèn)證的結(jié)果,所述結(jié)果中指明所述終端用戶指定的IDP不是所述SP歸屬的IDP;發(fā)送模塊��,用r-在所述接收模塊收到所述業(yè)務(wù)請求后����,向所述終端用戶指定的IDP發(fā)起 網(wǎng)絡(luò)身份認(rèn)證請求��,在所述接收模塊收到所述結(jié)果后���,回復(fù)響應(yīng)給所述終端用戶��,所述響應(yīng) 中攜帶所述SP歸屬的IDP信息����。
25. 根據(jù)權(quán)利要求24所述的服務(wù)提供商裝置��,其特征在于,所述接收模塊還用于當(dāng)所述 SP歸屬的IDP不是所述終端用戶歸屬的IDP時���,接收所述終端用戶發(fā)來的業(yè)務(wù)鑒權(quán)請求;所述裝置還包括業(yè)務(wù)鑒權(quán)模塊��,用于在所述接收模塊接收到所述業(yè)務(wù)鑒權(quán)請求后��,對所述終端用戶進(jìn)行 鑒權(quán)���,并返回鑒權(quán)結(jié)果給所述終端用戶���。
26. —種服務(wù)提供商裝置,其特征在于����,應(yīng)用于web服務(wù),所述服務(wù)提供商沒有歸屬的 IDP���,所述裝置包括-接收模塊���,用于接收終端用戶發(fā)來的業(yè)務(wù)鑒權(quán)請求;業(yè)務(wù)鑒權(quán)模塊���,用于當(dāng)所述接收模塊收到所述業(yè)務(wù)鑒權(quán)請求后����,對所述終端用戶進(jìn)行鑒 權(quán),并返回鑒權(quán)結(jié)果給所述終端用戶�����。
27. 根據(jù)權(quán)利要求26所述的服務(wù)提供商裝置�,其特征在于,所述接收模塊還用于接收所 述終端用戶發(fā)來的業(yè)務(wù)請求��;相應(yīng)地����,所述裝置還包括發(fā)送模塊,用于當(dāng)所述接收模塊收到所述業(yè)務(wù)請求后���,向所述終端用戶返回響應(yīng)��,所述 響應(yīng)中指明所述服務(wù)提供商沒有歸屬的IDP�。
28. —種身份提供商裝置�,其特征在于,應(yīng)用于web服務(wù),所述裝置包括 接收模塊�,用于接收SP發(fā)來的對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證的請求,所述請求中包括服務(wù)提供商的訪問權(quán)限信息�;控制模塊,用于當(dāng)所述接收模塊收到所述請求后��,根據(jù)所述訪問權(quán)限信息對所述終端用 戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證��,并返回認(rèn)證結(jié)果給所述SP�����。
全文摘要
本發(fā)明公開了一種提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法和裝置����,以及一種實現(xiàn)單點(diǎn)登錄過程無縫切換的方法和裝置�����,應(yīng)用于web服務(wù)�����,屬于通信技術(shù)領(lǐng)域��。所述提高網(wǎng)絡(luò)身份認(rèn)證安全性的方法通過對SP和終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證,或者根據(jù)SP訪問權(quán)限信息控制網(wǎng)絡(luò)身份認(rèn)證��,提高了網(wǎng)絡(luò)身份認(rèn)證的安全性�����,且可以控制SP對終端用戶屬性信息的獲取��,從而使SP對終端用戶提供不同的服務(wù)�����。所述實現(xiàn)單點(diǎn)登錄過程無縫切換的方法通過SP歸屬的IDP對終端用戶進(jìn)行網(wǎng)絡(luò)身份認(rèn)證或者SP對終端用戶進(jìn)行鑒權(quán)��,實現(xiàn)了單點(diǎn)登錄過程中的無縫切換�。所述裝置為身份提供商裝置和服務(wù)提供商裝置。
文檔編號H04L9/32GK101567878SQ20081009487
公開日2009年10月28日 申請日期2008年4月26日 優(yōu)先權(quán)日2008年4月26日
發(fā)明者張惠萍, 健 楊, 雷 王, 挺 董, 陳國喬 申請人:華為技術(shù)有限公司