著录项信息
专利名称 | 身份联合方法 |
申请号 | CN200710122355.8 | 申请日期 | 2007-09-24 |
法律状态 | 授权 | 申报国家 | 中国 |
公开/公告日 | 2009-04-01 | 公开/公告号 | CN101399813 |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04L29/06 | IPC分类号 | H04L29/06;G06F17/30查看分类表>
|
申请人 | 中国移动通信集团公司;北京邮电大学 | 申请人地址 | 北京市西城区金融大街***
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 中国移动通信集团公司,北京邮电大学 | 当前权利人 | 中国移动通信集团公司,北京邮电大学 |
发明人 | 刘利军;魏冰;杨放春;赵耀;刘宝义;苏森;邹华 |
代理机构 | 北京鑫媛睿博知识产权代理有限公司 | 代理人 | 龚家骅 |
摘要
本发明涉及一种身份联合方法,包括:用户终端登录服务提供商设备;服务提供商设备向用户终端发送重定向请求,重定向请求携带有身份管理设备地址信息、服务提供商标识及用户身份信息;用户终端根据重定向请求,连接身份管理设备,将服务提供商标识及用户身份信息发送至身份管理设备;身份管理设备保存用户终端登录身份管理设备的登录身份与用户身份信息及服务提供商标识的映射关系。本发明实现了建立用户在多个SP的用户身份与用户在身份管理设备的身份之间的映射关系,利用该映射关系,用户登录了身份管理设备或某个SP后,再访问其他SP时,身份管理设备可以查询得到用户在其他SP上的身份信息,从而实现统一登录。
1.一种身份联合方法,其特征在于,包括:
用户终端登录服务提供商设备;
所述服务提供商设备向所述用户终端发送重定向请求,所述重定向请求携带有身份管理设备地址信息、服务提供商标识及用户身份信息;
所述用户终端根据所述重定向请求,连接所述身份管理设备,将所述服务提供商标识及所述用户身份信息发送至所述身份管理设备;
所述身份管理设备保存所述用户终端登录所述身份管理设备的登录身份与所述用户身份信息及服务提供商标识的映射关系。
2.根据权利要求1所述的身份联合方法,其特征在于,所述用户终端登录服务提供商设备具体为:所述用户终端向所述服务提供商设备发送用户身份认证信息;所述服务提供商设备对所述用户身份认证信息进行认证,若认证通过,则允许所述用户终端登录所述服务提供商设备。
3.根据权利要求1所述的身份联合方法,其特征在于,用户终端登录服务提供商设备之前还包括:
所述用户终端向所述身份管理设备发送携带有所述服务提供商标识的身份联合请求;
所述身份管理设备向所述用户终端返回对应的登录页面。
4.根据权利要求3所述的身份联合方法,其特征在于,所述用户终端向所述身份管理设备发送携带有所述服务提供商标识的身份联合请求之前还包括,所述用户终端登录所述身份管理设备。
5.根据权利要求1所述的身份联合方法,其特征在于,所述用户终端登录服务提供商设备之前还包括:
所述用户终端向所述服务提供商设备发送服务请求;
所述服务提供商设备判断所述用户终端是否已登录所述服务提供商设备,若是,提供服务,否则,向所述身份管理设备查询所述用户终端是否已 登录其他服务提供商设备,若未登录,则执行用户终端登录所述服务提供商设备的步骤。
6.根据权利要求1所述的身份联合方法,其特征在于,所述用户终端登录服务提供商设备之前还包括:
所述用户终端向所述服务提供商设备发送服务请求;
所述服务提供商设备判断所述用户终端是否已登录所述服务提供商设备,若是,提供服务,否则,向所述身份管理设备查询所述用户终端是否已登录其他服务提供商设备,若未登录,则向用户终端发送登录方式选择提示信息,并接收所述用户终端返回的登录方式选择信息。
7.根据权利要求5或6所述的身份联合方法,其特征在于,所述服务提供商设备向所述身份管理设备查询所述用户终端是否已登录其他服务提供商设备具体为:
所述服务提供商设备向所述用户终端发送携带有身份管理设备地址信息、服务提供商标识的重定向请求;
所述用户终端根据所述重定向请求连接所述身份管理设备,将所述服务提供商标识发送至所述身份管理设备;
所述身份管理设备判断所述用户终端是否已登录其他服务提供商设备,若未登录,则向所述用户终端发送携带有未登录信息及所述服务提供商标识的重定向请求,所述用户终端根据所述重定向请求连接所述服务提供商设备,将所述未登录信息发送至所述服务提供商设备。
8.根据权利要求5或6所述的身份联合方法,其特征在于,所述服务提供商设备向所述身份管理设备查询所述用户终端是否已登录其他服务提供商设备具体为:
所述服务提供商设备记录当前时间作为第一时间戳,并将所述第一时间戳加入时间戳列表;
所述服务提供商设备向所述用户终端发送携带有身份管理设备地址信 息、服务提供商标识及所述第一时间戳的重定向请求;
所述用户终端根据所述重定向请求连接所述身份管理设备,将所述服务提供商标识及所述第一时间戳发送至所述身份管理设备;
所述身份管理设备判断所述用户终端是否已登录其他服务提供商设备,若未登录,则向所述用户终端发送携带有未登录信息、所述服务提供商标识及所述第一时间戳的重定向请求;
所述用户终端根据所述重定向请求连接所述服务提供商设备,将所述未登录信息及所述第一时间戳发送至所述服务提供商设备;
所述服务提供商设备检验所述第一时间戳是否有效,若有效,则根据所述未登录信息判断得到所述用户终端未登录其他服务提供商设备。
9.根据权利要求6所述的身份联合方法,其特征在于,当所述登录方式选择信息为在所述服务提供商设备上登录时,在所述用户终端登录服务提供商设备之前,所述服务提供商设备向所述用户终端发送登录页面。
10.根据权利要求6所述的身份联合方法,其特征在于,当所述登录方式选择信息为在所述服务提供商设备上登录时,在所述服务提供商设备向所述用户终端发送重定向请求之前还包括,所述服务提供商设备判断所述用户终端是否已将所述服务提供商处的用户身份进行联合,若已联合,则所述服务提供商设备提供服务,否则,执行所述发送重定向请求的步骤。
11.根据权利要求6所述的身份联合方法,其特征在于,当所述登录方式选择信息为在所述服务提供商设备上登录时,在所述身份管理设备保存所述用户终端登录所述身份管理设备的登录身份与所述用户身份信息及服务提供商标识的映射关系之前还包括:所述用户终端登录所述身份管理设备。
12.根据权利要求6所述的身份联合方法,其特征在于,当所述登录方式选择信息为在所述身份管理设备上登录时,所述用户终端登录服务提供商设备之前还包括:所述服务提供商设备向所述用户终端发送携带有身份管理设备地址信息及服务提供商标识的重定向请求;所述用户终端根据该重定向 请求连接所述身份管理设备,将所述服务提供商标识发送至所述身份管理设备;所述用户终端登录所述身份管理设备;所述身份管理设备判断所述用户终端是否已联合与所述服务提供商标识对应的用户身份信息,若未联合,则向所述用户终端发送所述服务提供商设备的登录页面;
所述身份管理设备保存所述用户终端登录所述身份管理设备的登录身份与所述用户身份信息及服务提供商标识的映射关系之后还包括:所述身份管理设备向所述用户终端发送携带有所述服务提供商标识、用户身份信息及联合成功信息的重定向请求;所述用户终端根据该重定向请求连接所述服务提供商设备,并将所述用户身份信息及联合成功信息发送至所述服务提供商设备;所述服务提供商设备记录所述用户身份已完成身份联合。
13.根据权利要求6所述的身份联合方法,其特征在于,当所述登录方式选择信息为在所述身份管理设备登录时,所述用户终端登录服务提供商设备之前还包括:所述服务提供商设备记录当前时间作为第二时间戳,并将所述第二时间戳加入时间戳列表,向所述用户终端发送携带有身份管理设备地址信息、服务提供商标识及所述第二时间戳的重定向请求;所述用户终端根据该重定向请求连接所述身份管理设备,将所述服务提供商标识及所述第二时间戳发送至所述身份管理设备;所述用户终端登录所述身份管理设备;所述身份管理设备判断所述用户终端是否已联合与所述服务提供商标识对应的用户身份信息,若未联合,则向所述用户终端发送所述服务提供商设备的登录页面;
所述身份管理设备保存所述用户终端登录所述身份管理设备的登录身份与所述用户身份信息及服务提供商标识的映射关系之后还包括:所述身份管理设备向所述用户终端发送携带有所述服务提供商标识、用户身份信息、联合成功信息及所述第二时间戳的重定向请求;所述用户终端根据该重定向请求连接所述服务提供商设备,并将所述用户身份信息、联合成功信息及所述第二时间戳发送至所述服务提供商设备;所述服务提供商设备检查所述第二 时间戳是否有效,若有效,则记录所述用户身份已完成身份联合。
14.根据权利要求5或6所述的身份联合方法,其特征在于,所述服务提供商设备在所述用户终端记录所述用户身份信息以及有效期;所述服务提供商设备根据该记录判断所述用户终端是否已登录所述服务提供商设备。
15.根据权利要求3所述的身份联合方法,其特征在于,所述身份管理设备在向所述用户终端返回对应的登录页面之前,记录当前时间作为第一时间戳,并将所述第一时间戳加入时间戳列表;所述登录页面及重定向请求携带有所述第一时间戳,所述用户终端根据所述身份管理设备地址信息向所述身份管理设备发送所述服务提供商标识及所述用户身份信息时还发送所述第一时间戳;所述身份管理设备保存所述用户终端登录所述身份管理设备的登录身份与所述用户身份信息及所述服务提供商标识的映射关系之前,检查所述第一时间戳是否有效,在所述第一时间戳有效时执行所述保存的步骤。
16.根据权利要求4、11、12或13所述的身份联合方法,其特征在于,所述用户终端登录所述身份管理设备具体为:
所述用户终端向所述身份管理设备发送用户标识;
所述身份管理设备检查所述用户标识是否已注册,若已注册,生成随机验证码,采用另一种通信方式根据所述用户标识向所述用户终端发送所述随机验证码;并向所述用户终端发送输入验证码的提示信息;
所述用户终端向所述身份管理设备发送所述随机验证码;
所述身份管理设备检查所述随机验证码是否正确,若验证码正确,则允许所述用户终端登录所述身份管理设备。
17.根据权利要求16所述的身份联合方法,其特征在于,所述身份管理设备在所述用户终端记录所述用户标识及有效期;所述用户终端向所述身份管理设备发送用户标识之前,所述身份管理设备根据该记录判断所述用户终端是否已登录,若未登录,则提示用户输入用户标识。
身份联合方法
技术领域
[0001] 本发明涉及通信技术,尤其涉及建立用户多个身份的映射关系的身份联合方法。
背景技术
[0002] 随着信息技术和网络技术的发展,各种应用服务不断地在网上普及,用户每天需要登录到许多不同的应用系统。不同的系统出于安全因素都要求用户遵循一定的安全策略,最常见的如要求输入用户名和密钥。随着用户需要登录系统的增多,用户每天就得不断的重复输入自己在相应系统中的用户名和密码,在极不便利的同时也增加了出错的可能性。
[0003] 另一方面,随着Web服务技术的发展,各种基于Web的服务集成度不断提高,用户的一个服务请求可能会由一系列的子服务构成,而这些子服务又是动态相关的并由不同的服务提供者提供。在传统的登录模式下需要用户伴随着服务执行的进展,不断登录到相应的子服务系统中,在造成用户不便利的同时也与服务集成的透明性要求相矛盾。
[0004] 基于上述情况,出现了“单点登录”(Single Sign-On)技术。单点登录是指在分布的、多服务的网络环境中,通过用户的一次性鉴别登录,即可获得访问分布式系统中所有服务的合法性身份证明,在此条件下,管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。
[0005] 目前,互联网领域的单点登录技术主要是微软的.NET Passport技术。该技术是基于Cookie的单点登录技术,认证服务器与合作站点之间采用统一的用户账户作为登录凭证。这样用户在使用一个合作站点的服务时,首先登录Passport服务,然后就可以使用其他合作站点的服务了,而不用再次登录。
[0006] .NET Passport技术主要存在以下缺陷:认证服务器和服务提供商(ServiceProvider,简称SP)服务之间必须使用统一的用户帐户,限制了SP的范围。实际上,在电信领域内,服务提供商是多种多样的,要求服务提供商使用与核心网相同的用户账户是不现实的。
发明内容
[0007] 本发明的目的在于,提供一种身份联合方法,建立用户多个身份之间的映射关系。
[0008] 为了实现上述目的,本发明提供了一种身份联合方法,包括:
[0009] 用户终端登录服务提供商设备;
[0010] 所述服务提供商设备向所述用户终端发送重定向请求,所述重定向请求携带有身份管理设备地址信息、服务提供商标识及用户身份信息;
[0011] 所述用户终端根据所述重定向请求,连接所述身份管理设备,将所述服务提供商标识及所述用户身份信息发送至所述身份管理设备;
[0012] 所述身份管理设备保存所述用户终端登录所述身份管理设备的登录身份与所述用户身份信息及服务提供商标识的映射关系。
[0013] 本发明实现了建立用户在多个SP的用户身份与用户在身份管理设备的身份之间的映射关系,利用该映射关系,用户登录了身份管理设备或某个SP后,再访问其他SP时,身份管理设备可以查询得到用户在其他SP上的身份信息,从而实现统一登录。
[0014] 下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
[0015] 图1为本发明的身份联合方法实施例一流程图;
[0016] 图2为本发明的身份联合方法实施例二流程图;
[0017] 图3为本发明的身份联合方法实施例三流程图;
[0018] 图4为本发明的身份联合方法实施例四流程图;
[0019] 图5为本发明的身份联合方法实施例五流程图;
[0020] 图6为本发明的身份联合方法实施例六流程图;
[0021] 图7为本发明的身份联合方法实施例七流程图;
[0022] 图8为本发明的身份联合方法的用户终端登录身份管理设备的流程图。
具体实施方式
[0023] 根据应用场景和网络环境,本发明可应用的网络包括通用分组无线业务(General Packet Radio Service,简称GPRS)网、因特网多媒体子网 (InternetMultimedia Subsystem,简称IMS)等移动网络环境,以及无限局域网(WirelessLocal Area Network,简称WLAN)、宽带接入和局域网接入等在内的普通互联网接入。此外,本发明的技术方案可支持超文本传输协议(Hypertext TransferProtocol,简称HTTP)业务、无线应用协议(Wireless Application Protocol,简称WAP)业务和会话起始协议(Session Initiation Protocol,简称SIP)业务等。
[0024] 本发明涉及的设备包括用户终端、身份管理设备以及SP设备。用户通过用户终端登录身份管理设备及SP设备,使用相关业务。身份管理设备可位于移动核心网中,它实现对用户多种身份之间的联合映射,以及向SP设备提供查询和注册绑定用户身份的功能。SP设备为用户提供相应的服务。
[0025] 本发明的技术方案通过建立同一用户的多个不同身份之间的相互映射关系,使得用户在登录一个SP设备或登录身份管理设备后,可以在多个SP设备上使用对应的身份自动完成登录,而不需多次输入身份认证信息。用户在核心网中的身份与他在SP上的身份可以不相同,用户在不同SP上的身份也可以不相同。
[0026] 如图1所示,为本发明的身份联合方法实施例一流程图,包括如下步骤:
[0027] 步骤101、用户终端登录SP设备;
[0028] 步骤102、SP设备向用户终端发送重定向请求,该重定向请求携带有身份管理设备地址信息、SP标识及用户身份信息;
[0029] 步骤103、用户终端根据重定向请求,连接身份管理设备,将SP标识及用户身份信息发送至身份管理设备;
[0030] 步骤104、身份管理设备保存用户终端登录该身份管理设备的登录身份与用户身份信息及服务提供商标识的映射关系。
[0031] 本实施例实现了用户登录SP设备后,SP设备将用户在该SP的身份信息告知身份管理设备,并由身份管理设备存储身份映射关系,从而,可以建立用户在多个SP的用户身份与用户在身份管理设备的身份之间的映射关系;借助该映射关系,用户登录了身份管理设备或某个SP后,再访问其他SP时,身份管理设备可以查询得到用户在其他SP上的身份信息,从而实现统一登录。
[0032] 用户登录请求到达SP设备时,SP设备可先读取Cookie判断用户是否已登录该SP,若未登录,则可向身份管理设备请求用户的身份信息。身份管理设备判断用户是否已登录身份管理设备或某个SP设备,若是,则查询相应的用户身份并向SP设备返回,否则,用户需要通过普通的登录流程登录SP设备,例如,向SP设备提供用户名及密码信息,由SP设备进行登录认证。
[0033] 身份管理设备在用户登录了身份管理设备或某个SP设备后,才能提供身份查询,因此,需要对用户登录身份管理设备或SP的情况进行记录。
[0034] 当用户初次登录的是身份管理设备时,需提供该用户在身份管理设备处的身份认证信息,可包括用户名和密码。身份管理设备可根据该身份认证信息对用户进行认证,若认证通过则允许用户登录,并对用户的登录情况进行记录,以便用户在此后登录SP设备时,身份管理设备可根据该记录获知用户已登录身份管理设备,进而在用户登录SP时提供相应的用户身份。
[0035] 当用户初次登录的是SP设备时,由于用户未登录身份管理设备或其他的SP设备,因此需要进行普通的登录流程。用户提供在该SP处的身份认证信息,SP设备根据该身份认证信息进行认证,认证通过后,允许用户登录,并需要告知身份管理设备该用户已登录该SP设备;身份管理设备进行记录,以便用户在此后登录其它SP设备时,身份管理设备可根据该记录获知用户已登录该SP,进而可在用户登录其他SP时提供相应的用户身份。
[0036] 在一实施例中,用户在身份管理设备上的身份为其用户标识,例如,用户的手机号码。用户在各SP的身份信息可遵从各SP的相应规定使用数字、字母、符号或其结合。
[0037] 身份联合至少可在三种方式中发生:1.用户登录SP以后,SP发现用户尚未进行身份联合,建议用户进行此操作;2.用户在登录SP时,选择通过身份管理设备采用用户标识(例如,手机号)登录,身份管理设备发现该用户尚未建立与此SP的身份联合记录时提示用户进行;3.用户登录了身份管理设备,在该设备提供的自服务页面上可直接进行身份联合操作。
[0038] 如图2所示,为本发明的身份联合方法实施例二流程图。本实施例中,用户登录身份管理设备,并通过该设备发起用户身份联合。本实施例包括如下步骤:
[0039] 步骤201、用户终端登录身份管理设备;
[0040] 步骤202、用户终端向身份管理设备发送携带有SP标识的身份联合请求;
[0041] 步骤203、身份管理设备向用户终端返回SP标识对应的登录页面;
[0042] 身份管理设备可通过在向用户终端返回的页面中嵌入SP的登录页面的方式向用户终端返回SP标识对应得登录页面。
[0043] 步骤204、用户终端登录SP设备;
[0044] 用户终端向SP设备发送用户身份认证信息,例如用户名和密码;SP设备对用户身份进行认证,若认证通过,则允许用户终端登录;继续后续流程;
[0045] 步骤205、SP向用户终端发送重定向请求,重定向请求携带有身份管理设备的地址信息、SP标识以及用户身份信息(如用户名);
[0046] 步骤206、用户终端根据重定向请求连接身份管理设备,并将SP标识及用户身份信息发送至身份管理设备;
[0047] 步骤207、身份管理设备保存用户的身份联合信息,即保存用户在身份管理设备的登录身份(例如,手机号码)与用户身份信息(如用户名)及SP标识的映射关系。
[0048] 本实施例实现了用户通过登录身份管理设备发起身份联合,建立用户在多个SP的用户身份与用户在身份管理设备的身份之间的映射关系。
[0049] 如图3所示,为本发明的身份联合方法实施例三流程图。本实施例中,用户登录SP后,由SP发起身份联合。本实施例包括如下步骤:
[0050] 步骤301、用户终端向SP设备发送服务请求;
[0051] 步骤302、SP设备判断用户终端是否已登录该SP设备,若是,提供服务,否则,执行步骤303;
[0052] 步骤303、SP设备向身份管理设备查询该用户终端是否已登录其他SP设备,若未登录,则执行步骤304;
[0053] 步骤304、SP设备向用户终端发送登录页面;
[0054] 步骤305、用户终端向SP设备返回身份认证信息;
[0055] 步骤306、SP设备对用户身份进行认证,若认证通过,执行步骤307;
[0056] 步骤307、SP设备判断用户是否已身份联合,若用户尚未联合,则执行步骤308,若已联合,SP直接提供服务;
[0057] 步骤308、SP设备向用户终端发送重定向请求,该重定向请求携带有身份管理设备的地址信息,SP标识以及用户身份信息(如用户名);
[0058] 步骤309、用户终端根据重定向请求连接身份管理设备,并将SP标识及用户身份信息发送至身份管理设备;
[0059] 步骤310、身份管理设备提示用户登录,用户终端登录身份管理设备;
[0060] 步骤311、身份管理设备保存用户的身份联合信息,即保存用户在身份管理设备的登录身份(例如,手机号码)与用户身份信息(如用户名)及SP标识的映射关系;
[0061] 步骤312、身份联合成功以后,身份管理设备向用户终端发送重定向请求,重定向请求携带有SP标识、用户身份信息及身份联合成功信息;
[0062] 步骤313、用户终端根据重定向请求连接SP设备,将用户身份信息及联合成功信息发送至SP设备;
[0063] 步骤314、SP设备记录该用户身份已完成身份联合。
[0064] 本实施例实现了用户登录SP后由SP发起身份联合,建立用户在该SP的用户身份与用户在身份管理设备的身份之间的映射关系。
[0065] 如图4所示,为本发明的身份联合方法实施例四流程图。本实施例中,用户通过身份管理设备采用用户标识(如手机号)登录,并由身份管理设备发起身份联合。本实施例包括如下步骤:
[0066] 步骤401、用户终端向SP设备发送服务请求;
[0067] 步骤402、SP设备判断用户终端是否已登录该SP设备,若是,提供服务,否则,执行步骤403;
[0068] 步骤403、SP设备向所述身份管理设备查询该用户终端是否已登录其他SP设备,若未登录,则执行步骤404;
[0069] 步骤404、SP设备向用户终端发送携带有身份管理设备地址信息及SP标识的重定向请求;
[0070] 步骤405、用户终端根据该重定向请求连接身份管理设备,将SP标识发送至身份管理设备;
[0071] 步骤406、所述用户终端登录身份管理设备;
[0072] 步骤407、身份管理设备判断用户终端是否已对SP标识对应的用户身份信息进行身份联合,若未联合,则执行步骤408;
[0073] 步骤408、身份管理设备向用户终端发送SP标识对应的登录页面;
[0074] 步骤409、用户终端向SP设备发送身份认证信息;
[0075] 步骤410、SP设备对用户身份进行认证,若认证通过,执行步骤411;
[0076] 步骤411、SP设备向用户终端发送重定向请求,该重定向请求携带有身份管理设备的地址信息,SP标识以及用户身份信息(如用户名);
[0077] 步骤412、用户终端根据重定向请求连接身份管理设备,并将SP标识及用户身份信息发送至身份管理设备;
[0078] 步骤413、身份管理设备保存用户的身份联合信息,即保存用户在身份管理设备的登录身份(例如,手机号码)与用户身份信息(如用户名)及SP标识的映射关系;
[0079] 步骤414、身份联合成功以后,身份管理设备向用户终端发送重定向请求,重定向请求携带有SP标识、用户身份信息及身份联合成功信息;
[0080] 步骤415、用户终端根据重定向请求连接SP设备,将用户身份信息及联合成功信息发送至SP设备;
[0081] 步骤416、SP设备记录该用户身份已完成身份联合。
[0082] 本实施例实现了用户通过身份管理设备登录SP的过程中由身份管理设备发起身份联合,建立用户在该SP的用户身份与用户在身份管理设备的身份之间的映射关系。
[0083] 在身份联合过程中可采用时间戳增强安全性。
[0084] 如图5所示,为本发明实施例五流程图,包括如下步骤:
[0085] 步骤501、用户登录身份管理设备;
[0086] 步骤502、用户访问身份管理设备的自服务页面,点击身份联合的链接,希望联合SP1的身份;
[0087] 步骤503、身份管理设备记录当前时间作为时间戳,并加入时间戳列表;
[0088] 步骤504、身份管理设备的页面内嵌入SP1的登录页面,用户在SP1的登录页面上输入用户名和密码,身份管理设备在SP的通用资源定位符(Universal Resource Locator,简称URL)内插入时间戳;
[0089] 步骤505、SP1设备对用户身份进行认证,认证通过后继续后续流程;
[0090] 步骤506、SP1设备将请求重定向返回到身份管理设备,重定向的参数包括:身份管理设备身份联合的URL,SP1标识,以及采用H3函数对SP标识、用户名和时间戳进行加密的值;
[0091] 步骤507、浏览器重新连接身份管理设备,并携带重定向的参数;
[0092] 步骤508、身份管理设备解密各参数并验证参数是否有效,并检查时间戳是否有效,无效则拒绝,有效则保存用户的身份联合信息,即关联用户在SP1的身份与身份管理设备上的手机号,然后删除时间戳。
[0093] 本实施例在用户通过身份管理设备发起身份联合的过程中,加入了时间戳,增强了安全性。
[0094] 如图6所示,为本发明实施例六流程图。本实施例包括如下步骤:
[0095] 步骤601、用户通过用户终端的浏览器访问SP1,此时用户尚未登录;
[0096] 步骤602、SP1先读取用户的Cookie,判断用户是否已登录;此时,用户尚未登录SP;
[0097] SP1尝试采用统一登录方案,向身份管理设备查询用户是否已登录其他SP;
[0098] 步骤603、SP1记录当前时间作为时间戳1,并加入时间戳列表;
[0099] 步骤604、SP1将请求重定向到身份管理设备,携带的参数包括:身份管理设备统一登录URL,SP1标识,以及采用H3函数对SP1标识和时间戳1加密后的计算值;
[0100] 步骤605、浏览器根据重定向请求,自动连接身份管理设备的统一登录URL,并且将SP1标识和加密结果发送给身份管理设备;
[0101] 步骤606、身份管理设备首先解密参数,验证请求是否由SP1发起,若参数正确,则读取用户的Cookie,判断用户是否已登录其他SP;
[0102] 步骤607、用户此时尚未登录任何SP,因此身份管理设备通过重定向的方式,向SP1返回“未登录”的查询结果;重定向的参数包括:SP1网址,以及采用H3函数对查询结果(“未登录”)和时间戳1进行加密的结果;
[0103] 步骤608、浏览器根据重定向请求,自动连接SP1网址,并将加密结果发送给SP1设备;SP1设备解密参数,判断时间戳1有效,并提取出查询结果“未登录”;
[0104] 步骤609、SP1设备让用户选择登录,登录方式可以是在SP登录,也可以在身份管理设备使用手机号登录;用户选择在SP登录,SP设备向用户终端发送登录页面,用户在登录页面输入用户名和密码由用户终端向SP设备返回;
[0105] 步骤610、SP1设备对用户进行认证,通过以后,写Cookie记录用户的登录信息,有效期为当前会话;然后,SP1设备判断用户是否已身份联合;若用户尚未联合,则提示用户进行身份联合;若用户选择进行身份联合,则继续后续流程,否则SP1直接提供服务;
[0106] 步骤611、若用户选择进行身份联合,则SP1记录当前时间作为时间戳2,并将请求重定向到身份管理设备,重定向参数包括:身份管理设备的身份联合URL,SP1标识,以及采用H3函数对SP1标识、用户名和时间戳2的加密结果;
[0107] 步骤612、浏览器自动连接身份管理设备的身份联合URL,并将SP1标识和加密结果发送给身份管理设备;
[0108] 步骤613、身份管理设备取出各参数并验证操作是否由SP1发起;若参数正确则记录时间戳2;
[0109] 步骤614、由于此时用户尚未登录身份管理设备,因此身份管理设备要求用户进行登录;用户登录身份管理设备;
[0110] 步骤615、用户成功登录后,身份管理设备写Cookie记录用户已登录SP和身份管理设备,并更新数据库中的身份联合信息,将用户在SP1的用户名与身份管理设备上的手机号进行关联;
[0111] 步骤616、身份联合成功以后,身份管理设备将操作结果和时间戳2采用H3函数进行加密,然后将SP1的网址及加密结果作为重定向参数,将连接重定向到SP1设备;
[0112] 步骤617、浏览器重新连接SP1设备,将加密结果发送给SP1设备;
[0113] 步骤618、SP1设备解密各参数并验证时间戳2是否有效,然后更新用户信息,记录用户已进行身份联合。
[0114] 本实施例实现了用户登录SP的过程中由SP设备发起身份联合,建立用户在该SP的用户身份与用户在身份管理设备的身份之间的映射关系,并在流程中加入了时间戳,可有效防止攻击者进行重放攻击,增强了安全性。
[0115] 如图7所示,为本发明实施例七流程图。本实施例包括如下步骤:
[0116] 步骤701、用户访问SP1,此时用户尚未登录;
[0117] 步骤702、SP1设备读取Cookie来判断用户是否已登录,若未登录则执行统一登录流程,由身份管理设备读取用户的Cookie来判断用户是否已登录其他SP;这里省略了具体流程,参见图6所示实施例的步骤603~608;
[0118] 步骤703、由于用户尚未登录身份管理设备或任何SP,因此SP1设备让用户选择登录方式,登录方式可以是在SP1登录,也可以在身份管理设备使用手机号登录;用户此时选择使用手机号登录;
[0119] 步骤704、SP1设备记录当前时间作为时间戳1,并加入时间戳列表;时间戳1的作用是确保用户登录身份管理设备的操作是由SP1发起的,防止攻击者进行重放攻击;
[0120] 步骤705、SP1设备将请求重定向到身份管理设备,让用户采用手机号进行登录;
重定向的参数包括:身份管理设备的登录URL,SP1标识,以及采用H3函数对SP1标识和时间戳1加密后的值;
[0121] 步骤706、浏览器重新连接身份管理设备,并将重定向参数发送给身份管理设备;
[0122] 步骤707、身份管理设备需要验证此登录操作是否由SP1发起;参数验证通过后,身份管理设备要求用户进行登录;用户登录身份管理设备;
[0123] 步骤708、用户成功登录了身份管理设备以后,身份管理设备查询身份联合记录,发现用户尚未联合SP1的身份,提示用户须完成身份联合;
[0124] 步骤709、若用户选择进行身份联合,身份管理设备记录当前时间作为时间戳2,并加入时间戳列表,然后在身份管理设备页面中嵌入SP1的登录页面以验证用户的SP1身份;
[0125] 步骤710、用户向SP1的登录页面输入用户名和密码,登录SP1;身份管理设备在嵌入的SP1登录链接中,插入了时间戳2;
[0126] 步骤711、SP1设备验证用户名和密码是否正确,若正确,则通过重定向方式将登录结果传递给身份管理设备,重定向参数包括:身份管理设备的身份联合URL,SP1标识,采用H3函数对SP1标识、用户名和时间戳2加密的值;
[0127] 步骤712、浏览器重新连接身份管理设备,并将SP1标识及加密结果发送给身份管理设备;
[0128] 步骤713、身份管理设备取出各参数,检查时间戳2是否存在于时间戳列表,不存在则拒绝,否则保存用户身份联合信息,把用户在SP1上的用户名和身份管理设备上的手机号关联起来,并且删除时间戳列表中的时间戳2;
[0129] 步骤714、身份联合成功以后,由于用户的操作是希望登录SP1,因此身份管理设备将连接重定向到SP1,返回登录成功信息;由于登录过程中,用户同时完成了身份联合操作,因此重定向操作中携带身份联合操作结果,重定向参数包括:SP1的URL,以及采用H3函数对用户名、身份联合结果(成功)和时间戳1进行加密的值;
[0130] 步骤715、浏览器连接SP1,并将加密结果发送给SP1;
[0131] 步骤716、SP1取出各参数,检查时间戳1是否存在于时间戳列表中,若不存在则拒绝操作;否则,在Cookie中记录用户登录信息,并且删除列表中的时间戳1,Cookie的有效期可为固定时间,比如1小时;由于用户在登录过程中完成了身份联合,因此SP1同时更新用户数据,记录该用户已进行身份联合。
[0132] 本实施例实现了用户通过身份管理设备登录SP的过程中由身份管理设备发起身份联合,建立用户在该SP的用户身份与用户在身份管理设备的身份之间的映射关系,并在流程中加入了时间戳,可有效防止攻击者进行重放攻击,增强了安全性。
[0133] 如图8所示,为本发明的身份联合方法的用户终端登录身份管理设备的流程图,包括如下步骤:
[0134] 步骤801、用户通过用户终端的浏览器访问身份管理设备;
[0135] 步骤802、身份管理设备首先需要检查Cookie记录来判断用户是否登录;若已登录,则执行用户终端登录身份管理设备之后步骤,若未登录,执行步骤803;
[0136] 步骤803、用户尚未登录,身份管理设备提示用户输入用户标识,例如手机号;
[0137] 步骤804、用户终端向身份管理设备发送用户标识;
[0138] 步骤805、身份管理设备检查此用户标识是否已注册;若未注册,则可进入注册流程;若注册了,则进入登录流程;用户已注册,此时身份管理设备进入登录流程并生成随机验证码,用于验证手机号是否正确;
[0139] 步骤806、身份管理设备通过另一种通信方式,如短信方式,向用户填写的手机号码发送随机验证码;
[0140] 步骤807、身份管理设备提示用户输入验证码;
[0141] 步骤808、用户终端向身份管理设备发送验证码;
[0142] 步骤809、身份管理设备检查验证码是否正确,若错误表明手机号码不正确,则退出登录流程,若验证码正确,身份管理设备允许用户登录,并记录Cookie标识用户身份,Cookie有效期可为固定时间,比如1小时。
[0143] 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
法律信息
- 2011-08-17
- 2009-05-27
- 2009-04-01
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2005-03-09
|
2003-09-02
| | |
2
| |
2006-04-12
|
2004-03-04
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |