專利名稱:一種身份安全認(rèn)證的系統(tǒng)�、裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在網(wǎng)絡(luò)中進(jìn)行身份認(rèn)證技術(shù)�����,特別涉及一種身份安全認(rèn)證的 系統(tǒng)����、裝置及方法。
背景技術(shù):
隨著電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)應(yīng)用的普及��,越來越多的用戶開始通過網(wǎng)絡(luò)接 受服務(wù)�����。在通過網(wǎng)絡(luò)接受服務(wù)時(shí)�����,需要進(jìn)行身份認(rèn)證���,目前提供服務(wù)的網(wǎng)絡(luò) 大多采用用戶名和口令的方式來識別用戶身份����,這就需要用戶經(jīng)常性地輸入
自己的用戶名和口令��。這種身份認(rèn)證方式存在著弊端 一方面�����,隨著用戶接 受不同網(wǎng)絡(luò)提供不同服務(wù)的增多��,用戶在進(jìn)行不同網(wǎng)絡(luò)認(rèn)證時(shí)���,需要輸入不 同的口令���,這給用戶造成不必要的煩瑣過程和記憶上的困難;另一方面���,用 戶經(jīng)常性地在網(wǎng)絡(luò)中輸入用戶名和口令����,這會相應(yīng)增加口令被惡意破解的機(jī) 率����,即增加用戶的隱私信息泄漏的機(jī)率。
為了克服上述缺陷����,在網(wǎng)絡(luò)中提出了對用戶身份進(jìn)行管理的技術(shù)��。身份 管理就是對身份�����、對為用戶提供服務(wù)實(shí)體的認(rèn)證處理和一定范圍內(nèi)對該實(shí)體 認(rèn)證相關(guān)信息所進(jìn)行的安全管理�。為用戶提供服務(wù)的實(shí)體可以是任何在網(wǎng)絡(luò) 中被唯一識別的事物���、人��、動(dòng)物����、設(shè)備��、對象����、組、組織和信息對象等��。為 用戶提供服務(wù)的實(shí)體在不同的應(yīng)用范圍內(nèi)可能具有多個(gè)身份�。認(rèn)證過程的范 圍可以是在網(wǎng)絡(luò)中設(shè)定的 一個(gè)組織內(nèi)�,也可以是跨越網(wǎng)絡(luò)中設(shè)定的多個(gè)組 織��。
由于與身份相關(guān)的信息是在網(wǎng)絡(luò)認(rèn)證過程中隨時(shí)間發(fā)生變化的�����,因此�����, 必須對身份相關(guān)的信息進(jìn)行管理����。為用戶提供服務(wù)實(shí)體的有些信息為非正式 的且變化比較頻繁�����,有些為正式的且具體���,比如說用戶����,基于政治的組織角色以及財(cái)務(wù)賬戶通常是穩(wěn)定的����。身份的屬性通常會安全地存儲于網(wǎng)絡(luò)中的令 牌���、目錄、訪問設(shè)備或者是網(wǎng)絡(luò)中的數(shù)據(jù)庫管理系統(tǒng)中�。
身份認(rèn)證管理技術(shù)包含的任務(wù)是在安全和信息域里鞏固、管理和交換為 用戶提供服務(wù)的實(shí)體信息�����。在網(wǎng)絡(luò)中建立身份認(rèn)證管理構(gòu)架可以使業(yè)務(wù)提供
者(SP����, Service Provider)在網(wǎng)絡(luò)中通過使用授權(quán)、認(rèn)證�、接入控制機(jī)制和 策略管理機(jī)制為用戶提供可靠、可信和安全的業(yè)務(wù)��。
目前��,在網(wǎng)絡(luò)中建立的用戶身份認(rèn)證管理架構(gòu)如圖l所示����,包括開放 標(biāo)識服務(wù)器(OpenID Server)、統(tǒng)一資源定位格式(URL, Uniform Resource Locator )站點(diǎn)�、用戶代理(User Agent)和用戶(Consumer )認(rèn)證管理模塊���。 其中,User Agent位于網(wǎng)絡(luò)中的用戶側(cè)�,OpenID Server、 URL站點(diǎn)和Consumer 認(rèn)證管理模塊位于網(wǎng)絡(luò)中的網(wǎng)絡(luò)側(cè)�����。在OpenID Server中�,存儲用戶對應(yīng)的 URL,可以采用加密的方式存儲用戶對應(yīng)的URL��。整個(gè)身份認(rèn)證過程就是 確認(rèn)一個(gè)用戶具有一個(gè)URL的過程����。具體流程為
第 一步驟,User Agent向URL站點(diǎn)標(biāo)識自身的認(rèn)證(Identity ) URL, 即User Agent在URL站點(diǎn)所設(shè)定的網(wǎng)頁中加入OpenID Server的地址信息�。
第二步驟,User Agent向認(rèn)證管理模塊Consumer提交聲明的Identity (Claimed Identity ),攜帶有Identity URL和聲明Identity服務(wù)器��,在進(jìn)行 身份認(rèn)證之前稱為聲明的Identity,這是因?yàn)榭赡苁荱ser Agent聲明的假身 份���。
第三步驟���,Consumer認(rèn)證管理模塊為了驗(yàn)證User Agent提交聲明的 Identity,到該聲明的Identity攜帶的聲明Identity服務(wù)器��,即URL站點(diǎn)獲取 到User Agent的Identity URL�。
第四步驟��,Consumer認(rèn)證管理模塊比較得到所獲取到的Identity URL 和該聲明的Identity攜帶的dentity URL相同后�,與OpenID Server建立聯(lián)系, 獲得共享密鑰(建立聯(lián)系的這個(gè)步驟可選)��,交換用戶的Identity URL和用 戶的URL,在交換時(shí)�,由于用戶的URL可能加密存儲在OpenID Server中, 所以可以用密鑰解密得到用戶的URL���。第五步驟����,Consumer認(rèn)證管理模塊向User Agent確認(rèn)身份�����,攜帶User Agent要重定向到的OpenID Server以及用戶的URL��。
第六步驟���,User Agent通過cookie或其他認(rèn)證機(jī)制登錄到OpenID Server,登錄時(shí)輸入用戶的URL�。
第七步驟,OpenID Server對User Agent進(jìn)行認(rèn)證后��,發(fā)送響應(yīng)信息給 User Agent�,攜帶重定向回Consumer認(rèn)證管理模塊的信息。
OpenID Server對User Agent進(jìn)行認(rèn)證時(shí)����,比較自己存儲的用戶的URL (如果是加密存儲,可以解密后得到用戶的URL)和User Agent登錄時(shí)輸 入的URL相比較����,如果相同,認(rèn)證通過���。
第八步驟,User Agent將響應(yīng)消息發(fā)送給Consumer認(rèn)證管理模塊��。
這樣�,就完成了對User Agent的身份認(rèn)證,User Agent可以在網(wǎng)絡(luò)中進(jìn) 行相關(guān)業(yè)務(wù)的請求��,網(wǎng)絡(luò)側(cè)可以對用戶請求的業(yè)務(wù)進(jìn)行處理����。在圖l所示的 架構(gòu)中��,OpenID Server和URL站點(diǎn)在同一個(gè)服務(wù)器上或完全分離�。
圖1所示的架構(gòu)是采用URL對用戶的身份進(jìn)行認(rèn)證的��,所以只適用于 互聯(lián)網(wǎng)�����,不適用于移動(dòng)網(wǎng)���。另外����,對用戶身份認(rèn)證的手段單一�����,只能采用 URL對用戶身份認(rèn)證����。
圖1所示的架構(gòu)在認(rèn)證用戶身份時(shí),無法滿足對用戶身份隱私性保護(hù)的 需求���。網(wǎng)絡(luò)側(cè)對所存儲用戶身份信息的隱私保護(hù)�����,是通過加密用戶身份信息 方式來實(shí)現(xiàn)�����,但是這種方式帶來效率低下和復(fù)雜密鑰管理等問題����,且保護(hù)用 戶身份信息隱私的安全性不高。另外���,在認(rèn)證用戶身份時(shí)�,還是采用用戶真 實(shí)的URL認(rèn)證�����,這會降低用戶身份認(rèn)證的安全性���。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供 一 種身份安全認(rèn)證的系統(tǒng),該系統(tǒng)不僅能夠提高用戶 身份認(rèn)證的安全性��,而且有效地保護(hù)用戶身份信息的隱私。
本發(fā)明實(shí)施例還提供一種身份安全認(rèn)證的裝置�����,該裝置不僅能夠提高用 戶身份認(rèn)證的安全性�,而且有效地保護(hù)用戶身份信息的隱私。本發(fā)明實(shí)施例提供一種身份安全認(rèn)證的方法���,該方法不僅能夠提高身份 認(rèn)證的安全性����,而且有效地保護(hù)用戶身份信息的隱私�����。
根據(jù)上述目的���,本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的
一種身份安全認(rèn)證的系統(tǒng)����,包括身份認(rèn)證中心��、用戶身份認(rèn)證中心和業(yè) 務(wù)處理單元��,其中,
所述身份認(rèn)證中心���,用于為用戶身份認(rèn)證中心分配用戶身份認(rèn)證中心標(biāo) 識����,為業(yè)務(wù)處理單元分配標(biāo)識��;
所述用戶身份認(rèn)證中心�����,用于對用戶注冊�,分配唯一標(biāo)識用戶的用戶虛 擬身份,發(fā)送該用戶虛擬身份和所述用戶身份認(rèn)證中心標(biāo)識給所述用戶�;
所述業(yè)務(wù)處理單元,用于接收業(yè)務(wù)處理請求�,根據(jù)該請求攜帶的虛擬身 份標(biāo)識和用戶身份認(rèn)證中心標(biāo)識對用戶認(rèn)證,處理該業(yè)務(wù)請求���。
一種身份安全認(rèn)證的方法���,該方法包括
用戶身份認(rèn)證中心對用戶注冊��,為用戶分配唯一標(biāo)識用戶的用戶虛擬標(biāo)
識;
接收用戶發(fā)送的業(yè)務(wù)請求�����,根據(jù)該請求攜帶的用戶身份認(rèn)證中心標(biāo)識和 該用戶虛擬標(biāo)識處理該業(yè)務(wù)請求���。
一種控制用戶身份認(rèn)證的裝置���,包括用戶身份認(rèn)證中心單元、業(yè)務(wù)處理 控制單元和身份認(rèn)證管理單元����,其中,
用戶身份認(rèn)證中心單元�,用于為用戶身份認(rèn)證中心分配標(biāo)識,管理和認(rèn) 證用戶身份認(rèn)證中心����,設(shè)置用戶身份認(rèn)證中心的交互策略;
業(yè)務(wù)處理控制單元���,用于為提供業(yè)務(wù)處理的實(shí)體分配標(biāo)識�,管理和認(rèn)證 提供業(yè)務(wù)處理的實(shí)體����,對提供業(yè)務(wù)處理的實(shí)體進(jìn)行認(rèn)證����,設(shè)置提供業(yè)務(wù)處理 的實(shí)體的交互策略�;
所述身份認(rèn)證管理單元,用于控制用戶身份認(rèn)證中心單元和業(yè)務(wù)處理控 制單元之間的交互�����。
從上述方案可以看出����,本發(fā)明實(shí)施例在網(wǎng)絡(luò)中設(shè)置對用戶的不同業(yè)務(wù)類 型認(rèn)證的用戶身份認(rèn)證中心,且通過身份認(rèn)證中心控制管理用戶身份認(rèn)證中心和處理不同類型業(yè)務(wù)的業(yè)務(wù)處理單元��,不同類型業(yè)務(wù)的業(yè)務(wù)請求釆用對應(yīng) 的用戶身份信息認(rèn)證����。因此,本發(fā)明實(shí)施例由于可以按照業(yè)務(wù)類型分別存儲 用戶身份信息����,所以有效地保護(hù)用戶身份信息的隱私。另夕卜��,在用戶注冊后,
用戶身份認(rèn)證中心為用戶分配唯一標(biāo)識用戶的虛擬身份標(biāo)識(UVID�, User Virtual Identity),用戶直接采用該UVID向業(yè)務(wù)處理單元發(fā)送業(yè)務(wù)請求��, 業(yè)務(wù)處理單元根據(jù)該UVID認(rèn)證后�����,處理該業(yè)務(wù)請求�。因此,本發(fā)明實(shí)施例 由于在發(fā)起不同類型業(yè)務(wù)的業(yè)務(wù)請求時(shí)��,攜帶的為UVID,所以不僅提高用難�����。
圖1為現(xiàn)有技術(shù)在網(wǎng)絡(luò)中建立的用戶身份認(rèn)證管理架構(gòu)示意圖�����; 圖2為本發(fā)明實(shí)施例在網(wǎng)絡(luò)中建立的用戶身份認(rèn)證管理架構(gòu)示意圖����; 圖3為本發(fā)明實(shí)施例在網(wǎng)絡(luò)中進(jìn)行用戶身份認(rèn)證的方法流程圖; 圖4為本發(fā)明實(shí)施例SP處理業(yè)務(wù)請求的方法流程圖��; 圖5為本發(fā)明實(shí)施例的控制用戶身份認(rèn)證的裝置示意圖。
具體實(shí)施例方式
為使本發(fā)明的目的�����、技術(shù)方案和優(yōu)點(diǎn)更加清楚�,下面結(jié)合附圖對本發(fā)明 實(shí)施例作進(jìn)一步的詳細(xì)描述。
本發(fā)明實(shí)施例在網(wǎng)絡(luò)中建立用戶身份認(rèn)證管理架構(gòu)����,該架構(gòu)可以按照業(yè) 務(wù)類型分別管理一個(gè)用戶的不同用戶身份信息,有效地保護(hù)用戶身份信息的 隱私����;在進(jìn)行業(yè)務(wù)處理前的認(rèn)證時(shí),采用分配的用戶虛擬身份UVID認(rèn)證���, 提高用戶身份認(rèn)證的效率和安全性��。
圖2為本發(fā)明實(shí)施例在網(wǎng)絡(luò)中建立的用戶身份認(rèn)證管理架構(gòu)示意圖�,包 括用戶身份認(rèn)證中心(UIAC, User Identity Authentication Center )�、身份 認(rèn)證中心(IDAC, Identity Authentication Center )和業(yè)務(wù)處理單元,其中��,UIAC���,用于對用戶注冊��,分配唯一標(biāo)識用戶的UVID�,發(fā)送UVID和所 述UIAC標(biāo)識給所述用戶;
業(yè)務(wù)處理單元�,用于接收業(yè)務(wù)處理請求��,根據(jù)該請求攜帶的UVID和 UIAC標(biāo)識對用戶認(rèn)證���,處理該業(yè)務(wù)請求�;
IDAC,用于管理UIAC,分配UIAC標(biāo)識���,管理業(yè)務(wù)處理單元����,分配業(yè) 務(wù)處理單元標(biāo)識�。
在本發(fā)明實(shí)施例中,該管理架構(gòu)還包括用戶����,用于向UIAC注冊,接收 UIAC發(fā)送的UVID和UIAC標(biāo)識�����;向業(yè)務(wù)處理單元發(fā)送攜帶UVID和UIAC 標(biāo)識的業(yè)務(wù)請求。
在本實(shí)施例中���,UIAC可以具有多個(gè)�����,分別存儲用戶的不同類型業(yè)務(wù)的 用戶身份信息����,分別針對用戶不同類型業(yè)務(wù)的用戶身份信息�,對用戶認(rèn)證。
多個(gè)UIAC之間直接進(jìn)行交互��,在一個(gè)UIAC第一次對用戶注冊時(shí)給用 戶分配UVID后���,其他UIAC再對用戶針對其他類型業(yè)務(wù)的身份信息注冊時(shí)�, 不給用戶分配UVID,其他UIAC進(jìn)行交互獲知已經(jīng)給用戶分配了 UVID, 且將該UVID和存儲的相類型業(yè)務(wù)的用戶身份信息相關(guān)聯(lián)���。
在本實(shí)施例中�,業(yè)務(wù)處理單元為SP,當(dāng)然���,也可以包括網(wǎng)絡(luò)和/或網(wǎng)絡(luò) 中的設(shè)備��。
在本實(shí)施例中����,業(yè)務(wù)處理單元的身份信息以及權(quán)限級別可以存儲在 IDAC中��,用于直接對業(yè)務(wù)處理單元進(jìn)行認(rèn)證�����,或提供給相應(yīng)的UIAC����。
在ID AC中�,具體包括用戶身份認(rèn)證中心單元(UIACU, User Identity
Authentication Center Unit),用于對至少 一 個(gè)UIAC進(jìn)行控制管理����;網(wǎng)絡(luò)身
份管理單元(NIDU, Network Identity Unit)���,用于對網(wǎng)絡(luò)身份信息進(jìn)行控
制管理��;設(shè)備身份管理單元(DIDU, Device Identity Unit)��,用于對網(wǎng)絡(luò)中
的設(shè)備身份信息進(jìn)行管理控制���;業(yè)務(wù)提供者身份管理單元(SPIDU, Service
Provider Identity Unit),用于對業(yè)務(wù)提供者身份信息進(jìn)行管理控制���;身份認(rèn)
證管理單元(IDAMU, Identity Authentication Manage Unit)�����,用于控制實(shí)
現(xiàn)UIACU���、 NIDU���、 DIDU 、 SPIDU分別和ID AMU之間的信息交互����。在本實(shí)施例中,UIACU可以具有多個(gè)���,分別對應(yīng)控制管理不同的UIAC���。 相應(yīng)地�,NIDU也可以具有多個(gè)�����,DIDU也可以具有多個(gè)�,分別管理控制存 儲不同設(shè)備身份信息的不同設(shè)備;SPIDU也可以具有多個(gè)�����,分別管理控制存 儲不同SP身份信息的SP�����。
在本實(shí)施例中�����,IDAC也可以只包括SPIDU�����。
在本實(shí)施例中�����,NIDU���、 DIDU和SPIDU可以統(tǒng)稱為業(yè)務(wù)處理控制單元���, 當(dāng)IDAC只包括SPIDU時(shí),該業(yè)務(wù)處理控制單元可以只包括SPIDU��。 以下對圖2中的各個(gè)功能模塊進(jìn)行詳細(xì)敘述�����。
IDAC是網(wǎng)絡(luò)中最高權(quán)威認(rèn)證管理單元��,直接管理控制各個(gè)業(yè)務(wù)處理單 元以及各個(gè)UIAC�����,用戶通過UIAC可以與IDAC進(jìn)行交互���。
IDAC提供的功能為可以認(rèn)證SP身份��、網(wǎng)絡(luò)身份��、設(shè)備身份以及UIAC 身份��;能夠存儲并管理SP身份信息�����、網(wǎng)絡(luò)身份信息�、設(shè)備身份信息以及UIAC 身份信息,存儲時(shí)可以集中存儲或分別存儲在不同的相應(yīng)單元中����,存儲的形 式可以是身份信息列表,也可以直接存儲到不同的相應(yīng)單元中�;能夠?qū)崿F(xiàn)不 同身份信息的交互,如將管理的SP列表發(fā)送給UIAC���,實(shí)現(xiàn)業(yè)務(wù)處理單元 和UIAC之間的信息交互。
UIAC���, 一般可以按照業(yè)務(wù)類型劃分����,這使得用戶身份信息可以按照業(yè)
務(wù)類型分別存儲在不同的UIAC中,對應(yīng)的唯一標(biāo)識用戶的UVID也可以存
儲在不同的UIAC中��。也就是說�����,每個(gè)UIAC中存儲的為用戶部分身份信息�����,
因此可以很好保護(hù)用戶身份信息的隱私�。每個(gè)UIAC都有 一個(gè)標(biāo)識,由IDAC
中的UIACU對UIAC認(rèn)證并分配�����。UIAC中存儲有能夠提供該業(yè)務(wù)類型的
業(yè)務(wù)處理單元列表�����,如SP列表���,該列表可以從IDAC中獲得或直接與SP
交互�,從SP獲取到���。UIAC可以和用戶之間按照設(shè)定的認(rèn)證方法對用戶的
注冊進(jìn)行認(rèn)證���,如可以采用AKA��, PKI等認(rèn)證方法�����,也可以4艮據(jù)用戶業(yè)務(wù)
類型要求的安全級別來確定認(rèn)證方法��,進(jìn)行認(rèn)證����。當(dāng)認(rèn)證通過后�,UIAC給
該用戶分配一個(gè)唯一的UVID以及有效期,且與存儲的SP列表相關(guān)聯(lián)���,該
有效期一般按照業(yè)務(wù)類型的安全等級來設(shè)定���,業(yè)務(wù)類型的安全等級越高,UVID的有效期越短���。為用戶提供其他類型業(yè)務(wù)服務(wù)的UIAC可以與為用戶 認(rèn)證過的UIAC中獲取到該UIAC為該用戶分配的UVID���。當(dāng)用戶下次再到 另一個(gè)UIAC中注冊時(shí),注冊成功后存儲對應(yīng)業(yè)務(wù)類型的用戶身份信息到該 UIAC中�����,該UIAC不用再次為用戶分配UVID��。當(dāng)UVID的有效期滿時(shí)或 者用戶身份信息變更時(shí)�����,用戶可以向當(dāng)前UIAC申請更新UVID或者更新自 己的身份信息����。當(dāng)用戶在注冊后,需要申請業(yè)務(wù)時(shí)��,可以向處理該類型業(yè)務(wù) 的業(yè)務(wù)處理單元發(fā)送攜帶UVID和UIAC標(biāo)識的業(yè)務(wù)請求�,由業(yè)務(wù)處理單元 處理該業(yè)務(wù)請求。
在本實(shí)施例中�,UIAC可以獲取用戶身份信息模塊和發(fā)送用戶身份信息 模塊,其中�,所述獲取用戶身份信息模塊;用于獲取用戶身份信息�����,所述發(fā) 送用戶身份信息模塊,用于將用戶身份信息發(fā)送給對應(yīng)的業(yè)務(wù)處理單元��。
SP����,用SP標(biāo)識進(jìn)行識別,即SPID由IDAC中的SPIDU分配���,SP可以 存儲SP身份信息以及SP列表��,并且按照SP可以提供的業(yè)務(wù)類型將SP身 份分類且與UVID和UIAC標(biāo)識相關(guān)聯(lián)�����,將SP列表在發(fā)送給對應(yīng)的UIAC�����。 接收到業(yè)務(wù)請求的SP可以對該業(yè)務(wù)請求攜帶的UVID和UIAC標(biāo)識進(jìn)行認(rèn) 證���,查詢并獲取需要申請業(yè)務(wù)的用戶身份信息。如果該SP具備本地?cái)?shù)據(jù)庫, 且具有下載用戶身份信息的權(quán)限級別�,該權(quán)限級別可以由IDAC中的SPIDU 根據(jù)SP的級別進(jìn)行分配,能夠直接從UIAC中獲取用戶身份信息并加密保 存到本地�����,還可以對用戶身份信息進(jìn)行定期更新��。另外�����,UIAC也可以直接 和對應(yīng)的SP進(jìn)行關(guān)聯(lián)�����,保證SP中的用戶身份信息為用戶的最新身份信息�。
UIACU�����,用于處理與UIAC相關(guān)的業(yè)務(wù)�����,如對UIAC進(jìn)行認(rèn)證和分配 UIAC標(biāo)識,向UIAC發(fā)送業(yè)務(wù)處理單元列表等����,位于IDAC中,是IDAC 管理和控制UIAC的一個(gè)邏輯模塊���。
NIDU��,用于處理與網(wǎng)絡(luò)相關(guān)的業(yè)務(wù)�����,如認(rèn)證網(wǎng)絡(luò)身份����、存儲并管理網(wǎng) 絡(luò)身份信息等���,是IDAC管理和控制網(wǎng)絡(luò)的 一 個(gè)邏輯模塊��。
DIDU,用于處理與網(wǎng)絡(luò)中設(shè)備相關(guān)的業(yè)務(wù)����,如認(rèn)證設(shè)備身份�����、存儲并 管理設(shè)備身份信息等,是IDAC管理和控制網(wǎng)絡(luò)中設(shè)備的 一個(gè)邏輯模塊�。SPIDU,用于處理與業(yè)務(wù)提供者單元相關(guān)的業(yè)務(wù),如認(rèn)證SP身份���、存 儲并管理SP身份信息等,是IDAC管理和控制業(yè)務(wù)提供者單元的一個(gè)邏輯 模塊�。
IDAMU,用于對UIACU���、 NIDU�、 DIDU和SPIDU之間的信息交互進(jìn) 行控制�����,是IDAC統(tǒng)一管理UIACU����、 NIDU、 DIDU和SPIDU的一個(gè)邏輯模 塊���。
本發(fā)明實(shí)施例還提供一種在網(wǎng)絡(luò)中進(jìn)行用戶身份認(rèn)證的方法�����,如圖3所 示�,其具體步驟為
步驟300、 UIAC接收到用戶注冊���,對用戶進(jìn)行認(rèn)證�。 認(rèn)證方法可以采用現(xiàn)有的AKA和PKI�����,或者獲取用戶注冊的業(yè)務(wù)類型���,
根據(jù)設(shè)定的業(yè)務(wù)類型安全級別對應(yīng)的認(rèn)證方法進(jìn)行認(rèn)證����。
在本步驟中�����,用戶發(fā)起業(yè)務(wù)注冊時(shí)����,到處理該業(yè)務(wù)類型的UIAC進(jìn)行認(rèn)
證���,也就是該UIAC存儲有對應(yīng)該業(yè)務(wù)類型的用戶身份信息,這不是用戶全
部的身份信息��,便于保護(hù)用戶身份信息的隱私�。
步驟301、用戶通過認(rèn)證后���,UIAC判斷該用戶是否已經(jīng)分配了 UVID,
如果是�,執(zhí)行步驟302;如果否���,執(zhí)行步驟303。
在本實(shí)施例中���,有幾種方式可以判斷該用戶是否已經(jīng)被分配了 UVID�。 第一種方式���,UIAC可以訪問為用戶分配了 UVID的UIAC�����,確定該用
戶的用戶身份信息是否關(guān)聯(lián)有UVID�����,如果是�����,則確定該用戶已經(jīng)分配了
UVID;
第二種方式�,在該用戶被分配了 UVID時(shí),由為該用戶分配UVID的 UIAC通過IDAC確定對該用戶的其他部分用戶身份信息進(jìn)行管理的UIAC, 直接將該UVID發(fā)送給對該用戶的其他部分用戶身份信息進(jìn)行管理的 UIAC,對該用戶的其他部分用戶身份信息進(jìn)行管理的UIAC將接收到的 UVID與所存儲的該用戶部分的身份信息進(jìn)行關(guān)聯(lián)���,從而可以確定出該用戶 是否分配了 UVID����。
步驟302���、 UIAC向該用戶返回注冊通過消息�����,攜帶已經(jīng)為用戶分配的UVID和UIAC標(biāo)識�����,轉(zhuǎn)入步驟304�。
步驟3G3、 UIAC給該用戶分配UVID后�����,向該用戶返回注冊通過消息����, 攜帶UVID和UIAC標(biāo)識,轉(zhuǎn)入步驟304���。
在給該用戶分配UVID后���,可以將該UVID直接將該UVID發(fā)送給管理 用戶其他部分身份信息的UIAC。
步驟304����、用戶接收到注冊通過消息后�����,向業(yè)務(wù)處理單元發(fā)送攜帶UIAC 標(biāo)識和UVID的業(yè)務(wù)請求���,業(yè)務(wù)處理單元接收到該業(yè)務(wù)請求后�,處理該業(yè)務(wù) 請求。
在本實(shí)施例中��,為用戶分配的UVID還可以具有有效期限����,在步驟301 中,還可以進(jìn)一步判斷為用戶分配的UVID的有效期限是否到達(dá)��,如果是��, 則直接執(zhí)行303�����,否則�,執(zhí)行步驟302。
以下以業(yè)務(wù)處理單元是SP為例詳細(xì)介紹業(yè)務(wù)處理單元接收到業(yè)務(wù)請求 時(shí)����,如何進(jìn)行處理的過程。
圖4為本發(fā)明實(shí)施例SP處理業(yè)務(wù)請求的方法流程圖��,其具體步驟為
步驟401���、 SP接收到用戶發(fā)送的業(yè)務(wù)請求����,該請求包含用戶的UVID和 UIAC標(biāo)識。
步驟402����、 SP對該業(yè)務(wù)請求進(jìn)行認(rèn)證,認(rèn)證通過后�,執(zhí)行步驟403。 進(jìn)行認(rèn)證的過程有兩種方式
一種方式�����,SP擁有本地?cái)?shù)據(jù)庫且下載用戶身份信息的權(quán)限級別��,這時(shí)��, SP存儲有UVID和UIAC標(biāo)識對應(yīng)的所服務(wù)用戶的身份信息(該身份信息 從UIAC獲取)���,直接進(jìn)行認(rèn)證����,認(rèn)證采用的方法可以為現(xiàn)有4支術(shù)���。
第二種方式����,SP沒有存儲UVID和UIAC標(biāo)識對應(yīng)的用戶身份信息�����, 則向具有該業(yè)務(wù)請求攜帶UIAC標(biāo)識的UIAC發(fā)送攜帶包含SP標(biāo)識和UVID 的用戶身份信息查詢請求���,UIAC判斷所存儲的業(yè)務(wù)處理單元列表中是否有 該SP標(biāo)識對應(yīng)的SP且該SP是否有權(quán)限獲得用戶的身份信息�����,如果是����,則 發(fā)送用戶的身份信息給SP(在發(fā)送時(shí)�����,可以釆用加密手段保護(hù)用戶身份信 息的安全傳送)���,SP根據(jù)獲得的用戶身份信息進(jìn)行認(rèn)證�;否則,則給SP返回認(rèn)證失敗消息�,此次認(rèn)證失敗。
采用這兩種方式的情況不同��,當(dāng)SP接收到用戶發(fā)送的業(yè)務(wù)請求后�����,會
判斷是否存儲有該UVID和該UIAC對應(yīng)的用戶身份信息�,如果是,采用第 一種方式進(jìn)行���;如果否��,則有三種可能�����,第一種可能是SP第一次處理該用 戶的業(yè)務(wù)請求�����,另 一種是SP沒有本地?cái)?shù)據(jù)庫且有下載用戶身份信息的權(quán)限���, 再一種是SP沒有下載用戶身份信息的權(quán)限級別,這時(shí)都可以采用第二種方 式進(jìn)行���。
步驟403�����、 SP向用戶發(fā)送用戶認(rèn)證成功信息�����,執(zhí)行該業(yè)務(wù)請求���。
在本發(fā)明實(shí)施例中,用戶還可以對存儲在UIAC中的用戶身份信息進(jìn)行 更新����,即發(fā)送攜帶用戶更新后身份信息的更新身份信息請求給UIAC, UIAC 更新存儲的用戶身份信息,且對應(yīng)于用戶UVID將更新的身份信息發(fā)送給 IDAC��,以便IDAC中相應(yīng)的UIACU管理�,或直接提供給業(yè)務(wù)處理單元在處 理業(yè)務(wù)請求時(shí)進(jìn)行認(rèn)證。
本發(fā)明實(shí)施例還提供一種控制用戶身份認(rèn)證的裝置�����,如圖5所示,該裝 置包括UIACU��、業(yè)務(wù)處理控制單元和IDAMU,其中�,
所述UIACU,用于為UIACU分配標(biāo)識,管理和認(rèn)證UIACU���,設(shè)置 UIACU的交互策略��;
所述業(yè)務(wù)處理控制單元�,用于為提供業(yè)務(wù)處理的實(shí)體分配標(biāo)識����,管理和 認(rèn)證提供業(yè)務(wù)處理的實(shí)體,對提供業(yè)務(wù)處理的實(shí)體進(jìn)行認(rèn)證�����,設(shè)置提供業(yè)務(wù) 處理的實(shí)體的交互策略��;
所述IDAMU,用于控制用戶身份認(rèn)證中心單元和業(yè)務(wù)處理控制單元之 間的交互�。
在本實(shí)施例中,提供業(yè)務(wù)處理的實(shí)體可以為SP,也可以為提供業(yè)務(wù)服 務(wù)的網(wǎng)絡(luò)或設(shè)備�。當(dāng)然,提供業(yè)務(wù)處理的實(shí)體最好為SP��。
在本實(shí)施例中,業(yè)務(wù)處理控制單元可以只包括SPIDU,也可以包括 SPIDU�、 NIDU或/和DIDU,其中,
NIDU,用于對網(wǎng)絡(luò)身份信息進(jìn)行控制和管理����,為網(wǎng)絡(luò)分配標(biāo)識�,為網(wǎng)絡(luò)設(shè)置信息交互策略;
DIDU, Device Identity Unit,用于對網(wǎng)絡(luò)中的i殳備身份信息進(jìn)行管理控 制���,為設(shè)備分配標(biāo)識�,為設(shè)備設(shè)置信息交互策略���;
SPIDU, Service Provider Identity Unit,用于對SP身份信息進(jìn)行管理和 控制�,為SP分配標(biāo)識��,為SP設(shè)置信息交互策略��;
ID AMU, Identity Authentication Center Unit,用于控制實(shí)現(xiàn)UIACU�、 NIDU、 DIDU ����、 SPIDU分別和IDAMU之間的信息交互�。
在本實(shí)施例中�,NIDU、 DIDU和SPIDU可以稱為業(yè)務(wù)處理控制單元����, 分別對不同的業(yè)務(wù)處理單元進(jìn)行處理。當(dāng)然����,當(dāng)業(yè)務(wù)處理單元僅僅包括SP 時(shí),業(yè)務(wù)處理控制單元也包括SPIDU�。
在本實(shí)施例中,網(wǎng)絡(luò)實(shí)際上可以為提供業(yè)務(wù)服務(wù)的網(wǎng)絡(luò)�����,如英特網(wǎng)絡(luò)或 下一代網(wǎng)絡(luò)�����,還可以為局域網(wǎng)等�����。
從上述方案可以看出����,本發(fā)明實(shí)施例提供的系統(tǒng)��、方法及裝置可以帶來 如下的技術(shù)效果
UIAC和用戶之間的認(rèn)證方法可以協(xié)商��,所以圖2所示的系統(tǒng)可以適用 于各種網(wǎng)絡(luò)環(huán)境�����,即對各種網(wǎng)絡(luò)環(huán)境下的用戶身份信息進(jìn)行安全管理和保 護(hù);
UIAC為用戶分配唯一標(biāo)識用戶的UVID,用戶不需要再記憶多個(gè)接入 不同業(yè)務(wù)處理單元的口令����,不會給用戶造成不必要的煩瑣過程和記憶上的困 難;
用戶的身份信息按照業(yè)務(wù)類型在不同的UIAC中存儲�,即分布式存儲用 戶的身份信息,更有效地保證了用戶身份信息的隱私���;
用戶能夠方便地管理自己的身份信息��,例如信息的更新�,為自己的信息 設(shè)定訪問權(quán)限等�。
以上是對本發(fā)明具體實(shí)施例的說明,在具體的實(shí)施過程中可對本發(fā)明的 方法進(jìn)行適當(dāng)?shù)母倪M(jìn)�,以適應(yīng)具體情況的具體需要��。因此可以理解��,根據(jù)本 發(fā)明的具體實(shí)施方式
只是起示范作用��,并不用以限制本發(fā)明的保護(hù)范圍����。
權(quán)利要求
1�����、一種身份安全認(rèn)證的系統(tǒng)�����,其特征在于��,包括身份認(rèn)證中心���、用戶身份認(rèn)證中心和業(yè)務(wù)處理單元��,其中���,所述身份認(rèn)證中心����,用于為用戶身份認(rèn)證中心分配用戶身份認(rèn)證中心標(biāo)識����,為業(yè)務(wù)處理單元分配標(biāo)識;所述用戶身份認(rèn)證中心�����,用于對用戶注冊���,分配唯一標(biāo)識用戶的用戶虛擬身份,發(fā)送該用戶虛擬身份和所述用戶身份認(rèn)證中心標(biāo)識給所述用戶�����;所述業(yè)務(wù)處理單元��,用于接收業(yè)務(wù)處理請求�,根據(jù)該請求攜帶的虛擬身份標(biāo)識和用戶身份認(rèn)證中心標(biāo)識對用戶認(rèn)證,處理該業(yè)務(wù)請求�����。
1、 一種身份安全認(rèn)證的系統(tǒng)���,其特征在于�����,包括身份認(rèn)證中心���、用戶 身份認(rèn)證中心和業(yè)務(wù)處理單元,其中�,所述身份認(rèn)證中心,用于為用戶身份認(rèn)證中心分配用戶身份認(rèn)證中心標(biāo)識��,為業(yè)務(wù)處理單元分配標(biāo)識�����;所述用戶身份認(rèn)證中心�����,用于對用戶注冊�����,分配唯一標(biāo)識用戶的用戶虛 擬身份,發(fā)送該用戶虛擬身份和所述用戶身份認(rèn)證中心標(biāo)識給所述用戶��;所述業(yè)務(wù)處理單元���,用于接收業(yè)務(wù)處理請求�,根據(jù)該請求攜帶的虛擬身 份標(biāo)識和用戶身份認(rèn)證中心標(biāo)識對用戶認(rèn)證����,處理該業(yè)務(wù)請求。
2����、 如權(quán)利要求l所述的系統(tǒng),其特征在于����,包括至少一個(gè)用戶身份認(rèn) 證中心�,所述用戶身份認(rèn)證中心用于對用戶不同類型業(yè)務(wù)分別進(jìn)行注冊。
3�、 如權(quán)利要求l所述的系統(tǒng),其特征在于�,所述用戶身份認(rèn)證中心包 括獲取用戶身份信息模塊和發(fā)送用戶身份信息模塊,其中,所述獲取用戶身份信息模塊����,用于獲取用戶身份信息, 所述發(fā)送用戶身份信息模塊�����,用于將用戶身份信息發(fā)送給對應(yīng)的業(yè)務(wù)處 理單元�。
4、 如權(quán)利要求l所述的系統(tǒng)�����,其特征在于�,所述身份認(rèn)證中心包括用 戶身份認(rèn)證中心單元、業(yè)務(wù)處理控制單元和身份認(rèn)證管理單元�,其中,用戶身份認(rèn)證中心單元���,用于為用戶身^f分認(rèn)證中心分配標(biāo)識���,管理和認(rèn) 證用戶身份認(rèn)證中心,設(shè)置用戶身份認(rèn)證中心的交互策略���;業(yè)務(wù)處理控制單元�,用于為業(yè)務(wù)處理單元分配標(biāo)識,管理和認(rèn)證業(yè)務(wù)處 理單元�����,對業(yè)務(wù)處理單元進(jìn)行認(rèn)證��,設(shè)置業(yè)務(wù)處理單元的交互策略��;所述身份認(rèn)證管理單元��,用于控制用戶身份認(rèn)證中心單元和業(yè)務(wù)處理控 制單元之間的交互��。
5�����、 如權(quán)利要求1或4所述的系統(tǒng)�,其特征在于,所述業(yè)務(wù)處理單元包 括業(yè)務(wù)提供者���。
6、 如權(quán)利要求5所述的系統(tǒng)���,其特征在于��,所述業(yè)務(wù)處理控制單元包 括業(yè)務(wù)提供者管理單元���,用于認(rèn)證和管理業(yè)務(wù)提供者����,為業(yè)務(wù)提供者分配業(yè) 務(wù)提供者標(biāo)識���,設(shè)置業(yè)務(wù)提供者的交互策略�。
7�、 如權(quán)利要求1或4所述的系統(tǒng),其特征在于�����,所述業(yè)務(wù)處理單元包 括網(wǎng)絡(luò)和/或設(shè)備�。
8、 如權(quán)利要求7所述的系統(tǒng)�����,其特征在于����,所述業(yè)務(wù)處理控制單元還 包括網(wǎng)絡(luò)身份管理單元和/或設(shè)備身份管理單元����,其中���,所述網(wǎng)絡(luò)身份管理單元��,用于認(rèn)證和管理網(wǎng)絡(luò)身份��,為網(wǎng)絡(luò)分配網(wǎng)絡(luò)身 份標(biāo)識��,設(shè)置網(wǎng)絡(luò)身份的交互策略��;所述設(shè)備身份管理單元�,用于認(rèn)證和管理設(shè)備身份�����,為設(shè)備分配設(shè)備身 份標(biāo)識�����,設(shè)置設(shè)備的交互策略���。
9����、 一種身份安全認(rèn)證的方法�����,其特征在于����,該方法包括用戶身份認(rèn)證中心對用戶注冊,為用戶分配唯一標(biāo)識用戶的用戶虛擬標(biāo)識��;接收用戶發(fā)送的業(yè)務(wù)請求��,根據(jù)該請求攜帶的用戶身份認(rèn)證中心標(biāo)識和 該用戶虛擬標(biāo)識處理該業(yè)務(wù)請求����。
10、 如權(quán)利要求9所述的方法����,其特征在于,所述用戶身份認(rèn)證中心針 對用戶的不同業(yè)務(wù)類型分類��,對用戶不同類型業(yè)務(wù)注冊。
11���、 如權(quán)利要求10所述的方法����,其特征在于�����,所述用戶身份認(rèn)證中心 對用戶不同類型業(yè)務(wù)注冊的方式���,對應(yīng)于不同業(yè)務(wù)類型安全級別進(jìn)行設(shè)置�。
12��、 如權(quán)利要求9所述的方法��,其特征在于���,所述為用戶分配唯一標(biāo)識 用戶的用戶虛擬標(biāo)識前�,還包括判斷該用戶是否已經(jīng)被分配了用戶虛擬標(biāo)識��,如果否,為用戶分配用戶 虛擬標(biāo)識�;如果是,為用戶不分配用戶虛擬標(biāo)識�����。
13�、 如權(quán)利要求12所述的方法���,其特征在于�����,所述為用戶不分配用戶 虛擬標(biāo)識前����,還包括判斷該用戶虛擬標(biāo)識是否在設(shè)定的有效期內(nèi)���,如果是����,繼續(xù)執(zhí)行為用戶不分配用戶虛擬標(biāo)識的步驟�����;如果否,為用戶重新分配用戶虛擬標(biāo)識�����。
14���、 如權(quán)利要求9所述的方法���,其特征在于,所述根據(jù)該請求攜帶的用 戶身份認(rèn)證中心標(biāo)識和該用戶虛擬標(biāo)識處理該業(yè)務(wù)請求為判斷是否存儲有該用戶虛擬標(biāo)識和對應(yīng)的用戶身份信息��,如果是��,根據(jù) 該信息對用戶認(rèn)證��,執(zhí)行該業(yè)務(wù)請求���;如果否��,向具有該用戶身份認(rèn)證中心標(biāo)識的用戶身份認(rèn)證中心發(fā)送查詢 請求���,用戶身份認(rèn)證中心確定存儲有該用戶虛擬標(biāo)識對應(yīng)的用戶身份信息�, 發(fā)送用戶身份信息�,根據(jù)接收的該信息對用戶認(rèn)證,執(zhí)行該業(yè)務(wù)請求���。
15�、 一種控制用戶身份認(rèn)證的裝置����,其特征在于,包括用戶身份認(rèn)證中 心單元����、業(yè)務(wù)處理控制單元和身份認(rèn)證管理單元��,其中�����,所述用戶身份認(rèn)證中心單元�,用于為用戶身份認(rèn)證中心分配標(biāo)識,管理 和認(rèn)證用戶身份認(rèn)證中心���,設(shè)置用戶身份認(rèn)證中心的交互策略��;所述業(yè)務(wù)處理控制單元�,用于為提供業(yè)務(wù)處理的實(shí)體分配標(biāo)識,管理和 認(rèn)證提供業(yè)務(wù)處理的實(shí)體�����,對提供業(yè)務(wù)處理的實(shí)體進(jìn)行認(rèn)證�����,設(shè)置提供業(yè)務(wù) 處理的實(shí)體的交互策略����;所述身份認(rèn)證管理單元,用于控制用戶身份認(rèn)證中心單元和業(yè)務(wù)處理控 制單元之間的交互���。
16�����、 如權(quán)利要求15所述的裝置����,其特征在于����,所述業(yè)務(wù)處理控制單元 包括業(yè)務(wù)提供者管理單元����。
全文摘要
一種身份安全認(rèn)證的系統(tǒng)�����、裝置及方法����,該系統(tǒng)包括身份認(rèn)證中心、用戶身份認(rèn)證中心和業(yè)務(wù)處理單元��,其中��,所述用戶身份認(rèn)證中心�,用于為身份認(rèn)證中心分配身份認(rèn)證中心標(biāo)識����,為業(yè)務(wù)處理單元分配標(biāo)識;所述身份認(rèn)證中心��,用于對用戶注冊���,分配唯一標(biāo)識用戶的用戶虛擬標(biāo)識���,發(fā)送該用戶虛擬標(biāo)識和分配的用戶身份認(rèn)證中心標(biāo)識給該用戶�;所述業(yè)務(wù)處理單元��,用于接收業(yè)務(wù)請求��,根據(jù)該請求攜帶的用戶虛擬標(biāo)識和用戶身份認(rèn)證中心標(biāo)識對用戶認(rèn)證�����,處理該業(yè)務(wù)請求�。本發(fā)明不僅能夠提高用戶身份認(rèn)證的安全性,而且有效地保護(hù)用戶身份信息的隱私���。
文檔編號H04L9/08GK101291220SQ20071010049
公開日2008年10月22日 申請日期2007年4月16日 優(yōu)先權(quán)日2007年4月16日
發(fā)明者丁小燕, 劉宏偉, 莊小君 申請人:華為技術(shù)有限公司