專(zhuān)利名稱:一種終端登入的方法�、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,特別是關(guān)于一種終端登入的方法����、系統(tǒng)及裝置。
背景技術(shù):
自由聯(lián)盟Liberty Alliance是定義單點(diǎn)登入技術(shù)Single Sign-On ( SSO )的 標(biāo)準(zhǔn)組織���,SSO指通過(guò)在業(yè)務(wù)提供商Service Provider ( SP )之間建立安全信任 圈���,用戶在信任圈內(nèi)的任一特殊SP登入(該特殊SP稱為身份標(biāo)識(shí)提供者IDP, ID Provider)�����,則用戶在信任圈內(nèi)其他SP的登入都可不需要用戶再次輸入用 戶名�����、密碼等���,從而簡(jiǎn)化了用戶登入SP的過(guò)程�����。隨著用戶使用業(yè)務(wù)的增多��, 而基本上每一個(gè)業(yè)務(wù)提供商都有自己的用戶管理系統(tǒng)��,使得用戶在每個(gè)SP上 都要有一個(gè)身份信息(如用戶名�、密碼)��,這樣用戶需要管理的用戶名和密碼
數(shù)量也隨之增多��;用戶在每個(gè)SP登入都會(huì)需要輸入對(duì)應(yīng)的用戶名�、密碼,給 用戶造成使用上的不便�����,SSO技術(shù)的提出很好的解決問(wèn)題��,但由于SP之間缺 乏信任關(guān)系,這樣的信任圈很難形成��,因此目前SSO技術(shù)并沒(méi)有的到廣泛的 使用����。
通用業(yè)務(wù)接口系統(tǒng)Universal Services Interface ( USI)是微波接入全球互 通網(wǎng)纟各AVorldwide Interoperability Microwave Access ( WiMAX )將業(yè)務(wù)能力開(kāi) 放給網(wǎng)內(nèi)或網(wǎng)外的SP的接口系統(tǒng)。通過(guò)調(diào)用USI系統(tǒng)提供的業(yè)務(wù)接口 ���, SP可 開(kāi)發(fā)針對(duì)使用WiMAX進(jìn)行接入的用戶的業(yè)務(wù)變的更簡(jiǎn)單���,可以更加方便的為 使用WiMAX進(jìn)行接入的用戶提供個(gè)性化的服務(wù)。WiMAX網(wǎng)絡(luò)通過(guò)USI系統(tǒng) 開(kāi)放的接口包括QoS�、計(jì)費(fèi)、位置服務(wù)等��。
在SP調(diào)用USI接口時(shí)��,需要攜帶用戶的身份標(biāo)識(shí)����,這個(gè)身份標(biāo)識(shí)是網(wǎng)絡(luò)分 配給用戶,并提供給SP用于讓SP調(diào)用網(wǎng)絡(luò)提供的接口時(shí)標(biāo)識(shí)操作的對(duì)象(用 戶)����,為了網(wǎng)絡(luò)安全,網(wǎng)絡(luò)分配給用戶的標(biāo)識(shí)在使用時(shí)要經(jīng)過(guò)網(wǎng)絡(luò)認(rèn)證��,以確保用戶標(biāo)識(shí)和用戶的真實(shí)身份是一致的����,同時(shí)用戶在使用SP業(yè)務(wù)時(shí)也需要經(jīng)過(guò) SP的認(rèn)證。
現(xiàn)有技術(shù)中��,WiMAX網(wǎng)絡(luò)中不能實(shí)現(xiàn)基于單點(diǎn)登入技術(shù)的終端登入����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種終端登入的方法、系統(tǒng)及裝置����,以實(shí)現(xiàn)基于單點(diǎn)登 入技術(shù)的終端登入。
本發(fā)明實(shí)施例提供的一種終端登入的方法����,包括在網(wǎng)絡(luò)中設(shè)置身份標(biāo)識(shí) 提供者IDP;
所述身份標(biāo)識(shí)提供者IDP接收來(lái)自終端的業(yè)務(wù)請(qǐng)求,所述業(yè)務(wù)請(qǐng)求用于請(qǐng) 求用戶身份信息���;
所述身份標(biāo)識(shí)提供者I DP對(duì)終端進(jìn)行鑒權(quán)���;
鑒權(quán)成功后向所述終端返回所述用戶身份信息����,以使得終端使用所述用戶 身份信息登入SP�。
本發(fā)明實(shí)施例還提供一種通信系統(tǒng),所述系統(tǒng)包括身份標(biāo)識(shí)提供者IDP����, 所述身份標(biāo)識(shí)提供者IDP以可通信方式同終端和SP相連;
所述身份標(biāo)識(shí)提供者IDP接收來(lái)自終端的業(yè)務(wù)請(qǐng)求��,所述業(yè)務(wù)請(qǐng)求用于請(qǐng) 求用戶身份信息���;對(duì)所述終端進(jìn)行鑒權(quán)�,鑒權(quán)成功后向所述終端返回用戶身份 信息���,以使得終端使用所述用戶身份信息登入SP�。
本發(fā)明實(shí)施例還提供一種身份標(biāo)識(shí)提供者�,包括
接收模塊用于接收來(lái)自終端的業(yè)務(wù)請(qǐng)求;
鑒權(quán)模塊用于對(duì)所述終端進(jìn)行鑒權(quán)�;
發(fā)送模塊用于若所述鑒權(quán)模塊對(duì)所述終端鑒權(quán)成功,則發(fā)送成功消息給 所述終端�,所述成功消息中攜帶用戶身份信息。
本發(fā)明實(shí)施例中,通過(guò)在網(wǎng)絡(luò)中引入IDP實(shí)體���,終端向所述IDP發(fā)送業(yè)務(wù) 請(qǐng)求���,所述的IDP對(duì)終端進(jìn)行鑒權(quán)�����,若鑒權(quán)通過(guò)���,則向所述終端返回用戶身份 信息��,則終端可使用所述用戶身份信息登入SP��。
圖1為本發(fā)明實(shí)施例提供的一種終端登入方法的流程示意圖��; 圖2為本發(fā)明實(shí)施例提供的一種終端登入的方法的流程示意圖�; 圖3為本發(fā)明實(shí)施例提供的一種SP調(diào)用USI接口的流程示意圖�; 圖4為本發(fā)明實(shí)施例提供的一種身份標(biāo)識(shí)提供者的結(jié)構(gòu)示意圖。
具體實(shí)施例方式
下面�����,結(jié)合附圖對(duì)本發(fā)明實(shí)施例進(jìn)行詳細(xì)說(shuō)明。
如圖l所示�,為本發(fā)明實(shí)施例提供的一種終端登入的方法,該方法具體包 括在網(wǎng)絡(luò)中設(shè)置身份標(biāo)識(shí)提供者IDP;
步驟IOO�����、所述身份標(biāo)識(shí)提供者IDP接收來(lái)自終端的業(yè)務(wù)請(qǐng)求�,所述業(yè)務(wù)請(qǐng) 求用于請(qǐng)求用戶身份信息;
步驟IOI ����、所述身份標(biāo)識(shí)提供者IDP對(duì)終端進(jìn)行鑒權(quán);
步驟102�、鑒權(quán)成功后向所述終端返回所述用戶身份信息,以使得終端使 用所述用戶身份信息登入SP�����。
本發(fā)明實(shí)施例中����,在網(wǎng)絡(luò)中引入IDP實(shí)體,終端向所述IDP發(fā)送業(yè)務(wù)請(qǐng)求����, 所述的IDP對(duì)終端進(jìn)行鑒權(quán),若鑒權(quán)通過(guò),則向所述終端返回用戶身份信息�, 則終端可以使用所述用戶身份信息登入SP。
下面具體以在WiMAX網(wǎng)絡(luò)中實(shí)現(xiàn)基于單點(diǎn)登入技術(shù)的終端登入為例進(jìn)行 詳細(xì)說(shuō)明�,如圖2所示,為本發(fā)明實(shí)施例提供的一種WiMAX網(wǎng)絡(luò)中利用單點(diǎn)登 入技術(shù)實(shí)現(xiàn)終端登入的方法�,在WiMAX網(wǎng)絡(luò)中設(shè)置身份標(biāo)識(shí)提供者IDP,該方 法具體包括
步驟200、終端進(jìn)行網(wǎng)絡(luò)接入�,保存網(wǎng)絡(luò)鑒權(quán)上下文信息。
本發(fā)明實(shí)施例中����,終端進(jìn)行入網(wǎng)過(guò)程����,接入網(wǎng)絡(luò),保存網(wǎng)絡(luò)鑒權(quán)上下文信 息�,所述網(wǎng)絡(luò)鑒權(quán)上下文信息包括不限于共享密鑰,如主會(huì)話密鑰MasterSession Key ( MSK)或是擴(kuò)展主會(huì)話密鑰Extended Master Session Key (EMSK);用戶名�����,如々I名網(wǎng)纟各4妻入標(biāo)識(shí)pseudonyms Network Access Identifier (p-NAI)或OuterNAI或是NAI;進(jìn)一步的還可以保存其他鑒權(quán)上下文信息�����。
步驟201、終端向SP發(fā)起業(yè)務(wù)請(qǐng)求���,如可以是HTTP業(yè)務(wù)請(qǐng)求���。
步驟202、 SP發(fā)送重定向響應(yīng)給所述終端�����,要求所述終端將所述業(yè)務(wù)請(qǐng)求 發(fā)送給IDP進(jìn)行鑒權(quán)��。
本發(fā)明實(shí)施例中���,所述SP收到終端的所述業(yè)務(wù)請(qǐng)求���,若SP發(fā)現(xiàn)用戶沒(méi)有登 入,且網(wǎng)絡(luò)支持單點(diǎn)登入功能���,則可以向用戶返回重定向響應(yīng)�����,如可以是 Redirect HTTP響應(yīng)��,所述重定向響應(yīng)中攜帶的重定向目的地址可填寫(xiě)為網(wǎng)絡(luò)的 IDP的地址����,如可以是所述IDP的IP地址等,要求所述終端將所述業(yè)務(wù)請(qǐng)求發(fā)送 給IDP進(jìn)行鑒權(quán)�。
步驟203、所述終端向所述IDP發(fā)起業(yè)務(wù)請(qǐng)求����。
步驟204、可選的��,若所述IDP發(fā)現(xiàn)終端沒(méi)有在IDP登入���,返回響應(yīng)要求所 述終端提供鑒權(quán)信息。
本發(fā)明實(shí)施例中����,可選的,若IDP發(fā)現(xiàn)用戶沒(méi)有登入�,如可以向用戶返回 HTTP Unauthorized消息,要求終端上報(bào)網(wǎng)絡(luò)鑒權(quán)上下文信息���。
步驟205����、可選的,終端將所述網(wǎng)絡(luò)鑒權(quán)上下文信息上報(bào)給所述IDP��。
本發(fā)明實(shí)施例中���,終端可以通過(guò)Http Get Authorization消息將所述網(wǎng)絡(luò)鑒權(quán) 上下文信息上報(bào)給所述IDP�����,其中將所述假名NAI (p-NAI)或是OuterNAI或是 NAI作為用戶名�,EMSK或者是MSK或者是這兩個(gè)密鑰的派生密鑰作為共享密
步驟206�����、可選的����,所述IDP向AAA服務(wù)器請(qǐng)求用戶相關(guān)信息。本發(fā)明實(shí)施例中����,所述IDP收到終端上報(bào)的網(wǎng)絡(luò)鑒權(quán)上下文信息后,可選 的��,所述IDP在對(duì)所述網(wǎng)絡(luò)鑒權(quán)上下文信息進(jìn)行鑒權(quán)前可以向認(rèn)證、授權(quán)和計(jì)
費(fèi)月艮務(wù)器Authentication�、 Authorization and Accounting Server (AAA服務(wù)器 AAA Server)進(jìn)一步請(qǐng)求用戶相關(guān)信息,如可以是根據(jù)終端提供的用戶名(如 所述的假名NAI或NAI)向AAA服務(wù)器查詢用戶的共享密鑰(如EMSK或者 MSK),以及進(jìn)一步的可以查詢需要的其他鑒權(quán)上下文信息�����。所述IDP接收來(lái) 自所述AAA月l務(wù)器的用戶相關(guān)信息�。
步驟207、 IDP鑒權(quán)通過(guò)后����,向終端返回用戶身份信息
所述IDP根據(jù)AAA服務(wù)器返回的用戶相關(guān)信息對(duì)終端進(jìn)行鑒權(quán),如若AAA 服務(wù)器返回的共享密鑰同所述網(wǎng)絡(luò)鑒權(quán)上下文信息中攜帶的共享密鑰相同�����,則 鑒權(quán)成功���,否則,鑒權(quán)失敗�����。本發(fā)明實(shí)施例中��,鑒權(quán)通過(guò)后,所述IDP向用戶 返回成功消息��,所述消息中可攜帶用戶身份信息����,本發(fā)明實(shí)施例中,所述返回 的用戶身份信息可以是根據(jù)自由聯(lián)盟單點(diǎn)登入技術(shù)定義的格式攜帶用戶身份 信息���,這里�,所述SP與所述IDP屬于同一個(gè)信任圈��。
優(yōu)選的��,本發(fā)明實(shí)施例中��,為了節(jié)約空口流量�,返回的用戶身份信息還可 以是索引或是URL地址。
步驟208�、終端收到來(lái)自IDP的所述成功消息,將其攜帶的用戶身份信息發(fā) 送給所述SP����, SP根據(jù)所述用戶身份信息確定用戶身份。
本發(fā)明實(shí)施例中����,SP可根據(jù)與所述IDP預(yù)先建立的信任信息���,對(duì)所述用戶 身份信息進(jìn)行鑒權(quán),如果鑒權(quán)通過(guò)�,則SP可以確定用戶的身份信息,利用單點(diǎn) 登入技術(shù)����,終端使用所述用戶身份信息完成了在SP上的登入。
步驟209����、可選的,若所述用戶身份信息是索引或是URL地址�����,則所述SP 可以利用所述索引或URL地址到所述IDP請(qǐng)求獲取用戶身份信息�����,所述IDP接到 所述請(qǐng)求后根據(jù)所述索引或URL地址將用戶身份信息發(fā)送給所述SP��。步驟210��、可選的�����,所述SP向所述終端發(fā)送業(yè)務(wù)響應(yīng)�,如可以是HTTP響應(yīng)。
本發(fā)明實(shí)施例中�����,終端在登入SP前先根據(jù)網(wǎng)絡(luò)鑒權(quán)上下文信息登入IDP��, 從IDP獲取用戶身份信息��,這里���,IDP同SP屬于同一個(gè)信任圈����,這樣終端可以 利用單點(diǎn)登入技術(shù)�,使用所述用戶身份信息實(shí)現(xiàn)在SP上的登入。
進(jìn)一步的�,本發(fā)明實(shí)施例中,所述終端完成在SP上登入后,可以執(zhí)行后 續(xù)的SP調(diào)用USI接口的流程��,參見(jiàn)圖3����,具體如下
步驟300- 301、 SP觸發(fā)USI接口調(diào)用���,向所述USI發(fā)送USI接口調(diào)用請(qǐng) 求�,所述USI接口調(diào)用請(qǐng)求攜帶IDP提供的用戶身份信息�,該用戶身份信息作 為用戶標(biāo)識(shí)。
步驟302���、所述USI接到所述USI接口調(diào)用請(qǐng)求后����,根據(jù)所述USI接口調(diào) 用請(qǐng)求中攜帶的用戶身份信息到IDP進(jìn)行用戶身份確認(rèn)��。 步驟303���、若所述USI確認(rèn)成功��,則返回用戶標(biāo)識(shí)�����。
本發(fā)明實(shí)施例中���,所述USI根據(jù)自身保存的用戶身份信息確認(rèn)所述USI 接口調(diào)用請(qǐng)求中攜帶的用戶身份信息是否一致,若一致�,則確認(rèn)成功,返回用 戶標(biāo)識(shí)��,否則�����,確認(rèn)失敗�。確認(rèn)成功后,所述IDP返回確認(rèn)成功消息��,所述消 息中攜帶用戶標(biāo)識(shí)����,如假名NAI或是Outer NAI或是NAI。
步驟304��、若USI收到來(lái)自所述IDP的確認(rèn)成功消息����,則進(jìn)行USI的調(diào)用 處理��。
步驟305��、所述USI向所述SP返回USI接口調(diào)用結(jié)果���。
這樣,終端完成了入網(wǎng)后在IDP上實(shí)現(xiàn)用戶登入����,利用單點(diǎn)登入技術(shù),終
端就可以使用從所述IDP上獲取的用戶身份信息在SP上登入��,這時(shí)終端可以
不用再輸入用戶名和密碼�����,根據(jù)IDP下發(fā)的用戶身份信息即可完成在SP上的
登入��,簡(jiǎn)化用戶登入的操作�����,提升了用戶的業(yè)務(wù)感知度�。由于IDP屬于WiMAX
網(wǎng)絡(luò)實(shí)體���,相當(dāng)于IDP向SP提供了通過(guò)網(wǎng)絡(luò)鑒權(quán)的用戶身份信息,SP在調(diào)
用USI接口時(shí)可以攜帶IDP提供的用戶身份信息作為用戶的身份標(biāo)識(shí)�����。
本發(fā)明實(shí)施例還提供了 一種通信系統(tǒng)����,所述系統(tǒng)包括身份標(biāo)識(shí)提供者IDP,所述身份標(biāo)識(shí)提供者IDP以可通信方式同終端和SP相連��;
所述身份標(biāo)識(shí)提供者IDP接收來(lái)自終端的業(yè)務(wù)請(qǐng)求����,所述業(yè)務(wù)請(qǐng)求用于請(qǐng) 求用戶身份信息;對(duì)所述終端進(jìn)行鑒權(quán)����,鑒權(quán)成功后向所述終端返回用戶身份 信息,以使得終端使用所述用戶身份信息登入SP��。
進(jìn)一步的�,本發(fā)明實(shí)施例中,所述終端還用于保存網(wǎng)絡(luò)鑒權(quán)上下文信息����, 向所述身份標(biāo)識(shí)提供者IDP上報(bào)所述保存的網(wǎng)絡(luò)鑒權(quán)上下文信息�;所述身份標(biāo) 識(shí)提供者IDP還用于向所述終端發(fā)送響應(yīng)�,要求所述終端上報(bào)其保存的網(wǎng)絡(luò)鑒 權(quán)上下文信息。
進(jìn)一步的�����,本發(fā)明實(shí)施例中�����,所述系統(tǒng)還包括AAA服務(wù)器�����,用于保存用 戶相關(guān)信息��,收到來(lái)自所述身份標(biāo)識(shí)提供者IDP的請(qǐng)求后返回其保存的用戶相 關(guān)信息給所述身份標(biāo)識(shí)提供者IDP;
所述身份標(biāo)識(shí)提供者IDP還用于向所述AAA服務(wù)器請(qǐng)求并接收用戶相關(guān)
j呂息�。
進(jìn)一步的,本發(fā)明實(shí)施例中�����,所述系統(tǒng)還包括SP�,用于收到來(lái)自終端的 業(yè)務(wù)請(qǐng)求后�,若發(fā)現(xiàn)用戶未登入����,且網(wǎng)絡(luò)支持單點(diǎn)登入,則返回重定向響應(yīng)給 所述終端��;收到來(lái)自所述終端的用戶身份信息后�����,根據(jù)所述身份信息確認(rèn)用戶 身份�。
進(jìn)一步的�����,本發(fā)明實(shí)施例中�,所述系統(tǒng)還包括USI, 所述SP還用于向所述USI發(fā)送USI接口調(diào)用請(qǐng)求����,接收來(lái)自所述USI的 接口調(diào)用結(jié)果;
所述USI用于接收來(lái)自所述SP的USI接口調(diào)用請(qǐng)求�����,根據(jù)所述USI接口 調(diào)用請(qǐng)求中攜帶的用戶身份信息到所述身份標(biāo)識(shí)提供者IDP進(jìn)行用戶身份確 認(rèn),接收來(lái)自所述身份標(biāo)識(shí)提供者IDP的確認(rèn)成功消息�,進(jìn)行接口調(diào)用處理, 向所述SP返回接口調(diào)用結(jié)果�;
所述身份標(biāo)識(shí)提供者IDP還用于接收來(lái)自所述USI的用戶身份信息,進(jìn)行 用戶身份確認(rèn)�����,向所述USI返回確認(rèn)成功消息����,所述確認(rèn)成功消息中攜帶用戶標(biāo)識(shí)。
本發(fā)明實(shí)施例中�,終端在登入SP前先登入IDP,從IDP獲取用戶身份信息, 這里���,IDP同SP屬于同一個(gè)信任圈��,這樣終端可以利用單點(diǎn)登入技術(shù)�,使用所 述用戶身份信息實(shí)現(xiàn)在SP上的登入�����。
進(jìn)一步的�,如圖4所示�,為本發(fā)明實(shí)施例提供的一種身份標(biāo)識(shí)提供者�����,所 述身份標(biāo)識(shí)提供者包括
接收模塊400:用于接收來(lái)自終端的業(yè)務(wù)請(qǐng)求����,所述業(yè)務(wù)請(qǐng)求用于請(qǐng)求用 戶身份信息;
鑒權(quán)模塊402:用于對(duì)所述終端進(jìn)行鑒權(quán)����;
發(fā)送模塊404:用于若所述鑒權(quán)模塊對(duì)所述終端鑒權(quán)成功,則發(fā)送成功消
息給所述終端����,所述成功消息中攜帶用戶身份信息�����。
進(jìn)一步的����,本發(fā)明實(shí)施例中,所述的鑒權(quán)^i塊402進(jìn)一步包括 第一信息獲取模塊4021:用于向所述終端請(qǐng)求網(wǎng)絡(luò)鑒權(quán)上下文信息�����,接收
來(lái)自所述終端的網(wǎng)絡(luò)鑒權(quán)上下文信息;
第二信息獲取^莫塊4022:用于向AAA服務(wù)器請(qǐng)求所述終端的用戶相關(guān)信
息����,接收來(lái)自所述AAA服務(wù)器的用戶相關(guān)信息;
鑒權(quán)子模塊4023:用于根據(jù)所述第二信息獲取模塊獲取的用戶相關(guān)信息和
所述第 一信息獲取模塊獲取的網(wǎng)絡(luò)鑒權(quán)上下文信息對(duì)所述終端進(jìn)行鑒權(quán)�����,若鑒
權(quán)成功�,觸發(fā)所述發(fā)送模塊404發(fā)送成功消息給所述終端。
進(jìn)一步的����,本發(fā)明實(shí)施例中,所述身份標(biāo)識(shí)提供者還可包括 用戶身份信息提供模塊406:用于接收來(lái)自SP的攜帶有索引或URL地址
的請(qǐng)求�,根據(jù)所述索引或URL地址向所述SP提供用戶身份信息。 進(jìn)一步的���,本發(fā)明實(shí)施例中���,所述身份標(biāo)識(shí)提供者還可包括 用戶身份確認(rèn)模塊408:用于接收來(lái)自SP的用戶身份確認(rèn)請(qǐng)求,根據(jù)所
述身份標(biāo)識(shí)提供者保存的用戶身份信息進(jìn)行用戶身份確認(rèn),確認(rèn)成功后返回用
戶標(biāo)識(shí)給所述SP���。本發(fā)明實(shí)施例中���,所述身份標(biāo)識(shí)提供者在收到來(lái)自終端的業(yè)務(wù)請(qǐng)求后,對(duì) 所述終端進(jìn)行鑒權(quán)���,若鑒權(quán)成功可向終端返回用戶身份信息����,則所述終端可使 用所述用戶身份信息實(shí)現(xiàn)基于單點(diǎn)登入技術(shù)的終端登入����。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟 是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可以存儲(chǔ)于計(jì)算機(jī)可讀
取存儲(chǔ)介質(zhì)中���,該程序在執(zhí)行時(shí)����,包括如下步驟
身份標(biāo)識(shí)提供者IDP接收來(lái)自終端的業(yè)務(wù)請(qǐng)求���,所述業(yè)務(wù)請(qǐng)求用于請(qǐng)求用 戶身份信息;
所述身份標(biāo)識(shí)提供者IDP對(duì)終端進(jìn)行鑒權(quán);
鑒權(quán)成功后向所述終端返回所述用戶身份信息��。
所述的存儲(chǔ)介質(zhì)���,如ROM/RAM���、磁碟、光盤(pán)等�。
顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā) 明的精神和范圍����。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及 其等同技術(shù)的范圍之內(nèi)�,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。
權(quán)利要求
1�、一種終端登入的方法,其特征在于��,包括在網(wǎng)絡(luò)中設(shè)置身份標(biāo)識(shí)提供者IDP�;所述身份標(biāo)識(shí)提供者IDP接收來(lái)自終端的業(yè)務(wù)請(qǐng)求,所述業(yè)務(wù)請(qǐng)求用于請(qǐng)求用戶身份信息��;所述身份標(biāo)識(shí)提供者IDP對(duì)終端進(jìn)行鑒權(quán)����;鑒權(quán)成功后向所述終端返回所述用戶身份信息���,以使得終端使用所述用戶身份信息登入SP。
2��、 如權(quán)利要求1所述的方法����,其特征在于,所述身份標(biāo)識(shí)提供者IDP對(duì)終 端進(jìn)行鑒權(quán)前進(jìn)一步包括所述身份標(biāo)識(shí)提供者IDP發(fā)送響應(yīng)給所述終端�����,要求所述終端提供鑒權(quán)信自.所述終端將保存的網(wǎng)絡(luò)鑒權(quán)上下文信息上報(bào)給所述身份標(biāo)識(shí)提供者IDP, 所述網(wǎng)絡(luò)鑒權(quán)上下文信息攜帶用戶名和共享密鑰��;所述身份標(biāo)識(shí)提供者IDP根據(jù)所述網(wǎng)絡(luò)鑒權(quán)上下文信息對(duì)所述終端進(jìn)行鑒權(quán)�。
3、 如權(quán)利要求2所述的方法�����,其特征在于�,所述身份標(biāo)識(shí)提供者IDP根據(jù)所述身份標(biāo)識(shí)提供者IDP根據(jù)所述網(wǎng)絡(luò)鑒權(quán)上下文信息攜帶的所述用戶名向AAA服務(wù)器請(qǐng)求終端的共享密鑰;所述身份標(biāo)識(shí)提供者IDP接收來(lái)自AAA服務(wù)器返回的共享密鑰���; 所述身份標(biāo)識(shí)提供者IDP比較所述AAA服務(wù)器返回的共享密鑰和所述網(wǎng)絡(luò)鑒權(quán)上下文信息攜帶的共享密鑰�,若相同����,則鑒權(quán)成功;否則�,鑒權(quán)失敗。
4���、 如權(quán)利要求2所述的方法�����,其特征在于�,所述共享密鑰為EMASK或者 是MSK或者是基于EMASK或MSK派生的共享密鑰���。
5��、 如權(quán)利要求1所述的方法���,其特征在于,所述身份標(biāo)識(shí)提供者IDP接收 來(lái)自終端的業(yè)務(wù)請(qǐng)求前進(jìn)一步包括所述終端向SP發(fā)起業(yè)務(wù)請(qǐng)求�����;若發(fā)現(xiàn)用戶未登入且網(wǎng)絡(luò)支持單點(diǎn)登入,則所述SP返回重定向響應(yīng)給所述 終端��,要求終端到所述身份標(biāo)識(shí)提供者IDP進(jìn)行鑒權(quán)���。
6���、 如權(quán)利要求1所述的方法,其特征在于�����,進(jìn)一步包括 所述終端將所述用戶身份信息發(fā)送給SP; 所述SP根據(jù)所述用戶身份信息確認(rèn)用戶身份����。
7、 如權(quán)利要求1所述的方法�����,其特征在于�,進(jìn)一步包括 所述SP向USI發(fā)送USM妄口調(diào)用請(qǐng)求,所述USLt妄口調(diào)用請(qǐng)求攜帶所述用戶身份信息�;所述USI接到所述USI接口調(diào)用請(qǐng)求后���,根據(jù)所述USI接口調(diào)用請(qǐng)求中攜帶 的用戶身份信息到所述身份標(biāo)識(shí)提供者IDP進(jìn)行用戶身份確認(rèn);確認(rèn)成功后�����,所述USI接收來(lái)自所述IDP的確認(rèn)成功消息�����,所述消息中攜帶 用戶標(biāo)識(shí)��;所述USI進(jìn)行調(diào)用處理�,向所述SP返回調(diào)用結(jié)果�����。
8���、 一種通信系統(tǒng)����,其特征在于���,所述系統(tǒng)包括身份標(biāo)識(shí)提供者IDP,所 述身份標(biāo)識(shí)提供者IDP以可通信方式同終端和SP相連�����;所述身份標(biāo)識(shí)提供者IDP接收來(lái)自終端的業(yè)務(wù)請(qǐng)求�����,所述業(yè)務(wù)請(qǐng)求用于請(qǐng) 求用戶身份信息�;對(duì)所述終端進(jìn)行鑒權(quán),鑒權(quán)成功后向所述終端返回用戶身份 信息�����,以使得終端使用所述用戶身份信息登入所述SP�。
9、 如權(quán)利要求8所述的系統(tǒng)����,其特征在于,所述終端還用于保存網(wǎng)絡(luò)鑒 權(quán)上下文信息����,向所述身份標(biāo)識(shí)提供者IDP上報(bào)所述保存的網(wǎng)絡(luò)鑒權(quán)上下文信其保存的網(wǎng)絡(luò)鑒權(quán)上下文信息。
10、 如權(quán)利要求9所述的系統(tǒng)����,其特征在于,所述系統(tǒng)還包括AAA服務(wù)器�����,用于保存用戶相關(guān)信息���,收到來(lái)自所述身份標(biāo)識(shí)提供者IDP的請(qǐng)求后返回其保存的用戶相關(guān)信息給所述身份標(biāo)識(shí)提供者IDP;所述身份標(biāo)識(shí)提供者IDP還用于向所述AAA服務(wù)器請(qǐng)求并接收用戶相關(guān) 信息。
11�����、 如權(quán)利要求9所述的系統(tǒng)����,其特征在于,所述系統(tǒng)還包括SP,用于 收到來(lái)自終端的業(yè)務(wù)請(qǐng)求后���,若發(fā)現(xiàn)用戶未登入且網(wǎng)絡(luò)支持單點(diǎn)登入���,則返回 重定向響應(yīng)給所述終端;收到來(lái)自所述終端的用戶身份信息后,根據(jù)所述身份 信息確認(rèn)用戶身份����。
12、 如權(quán)利要求11所述的系統(tǒng)����,其特征在于,所述系統(tǒng)還包括USI; 所述SP還用于向所述USI發(fā)送USI接口調(diào)用請(qǐng)求����,接收來(lái)自所述USI的接口調(diào)用結(jié)果;所述USI用于接收來(lái)自所述SP的USI接口調(diào)用請(qǐng)求����,根據(jù)所述USI接口 調(diào)用請(qǐng)求中攜帶的用戶身份信息到所述身份標(biāo)識(shí)提供者IDP進(jìn)行用戶身份確 認(rèn),接收來(lái)自所述身份標(biāo)識(shí)提供者IDP的確認(rèn)成功消息�����,進(jìn)行接口調(diào)用處理��, 向所述SP返回接口調(diào)用結(jié)果�;所述身份標(biāo)識(shí)提供者IDP還用于接收來(lái)自所述USI的用戶身份信息,進(jìn)行 用戶身份確認(rèn)�����,向所述USI返回確認(rèn)成功消息,所述確認(rèn)成功消息中攜帶用戶 標(biāo)識(shí)���。
13�、 一種身份標(biāo)識(shí)提供者���,其特征在于���,包括 接收模塊用于接收來(lái)自終端的業(yè)務(wù)請(qǐng)求; 鑒權(quán)模塊用于對(duì)所述終端進(jìn)行鑒權(quán)����;發(fā)送模塊用于若所述鑒權(quán)模塊對(duì)所述終端鑒權(quán)成功���,則發(fā)送成功消息給 所述終端��,所述成功消息中攜帶用戶身份信息����。
14�����、 如權(quán)利要求13所述的身份標(biāo)識(shí)提供者,其特征在于�,所述的鑒權(quán)模 塊進(jìn)一步包括第一信息獲取模塊用于向所述終端請(qǐng)求網(wǎng)絡(luò)鑒權(quán)上下文信息,接收來(lái)自所述終端的網(wǎng)絡(luò)鑒權(quán)上下文信息�����;第二信息獲取^f莫塊用于向AAA服務(wù)器請(qǐng)求所述終端的用戶相關(guān)信息�, 接收來(lái)自所述AAA服務(wù)器的用戶相關(guān)信息;鑒權(quán)子模塊用于根據(jù)所述第二信息獲取模塊獲取的用戶相關(guān)信息和所述 第一信息獲取模塊獲取的網(wǎng)絡(luò)鑒權(quán)上下文信息對(duì)所述終端進(jìn)行鑒權(quán)���,若鑒權(quán)成 功���,觸發(fā)所述發(fā)送^t塊發(fā)送成功消息給所述終端。
15����、 如權(quán)利要求13所述的身份標(biāo)識(shí)提供者,其特征在于�,所述身份標(biāo)識(shí) 提供者還包括用戶身份信息提供模塊用于接收來(lái)自SP的攜帶有索引或URL地址的請(qǐng)
16、 如權(quán)利要求13所述的身份標(biāo)識(shí)提供者��,其特征在于���,所述身份標(biāo)識(shí) 提供者還包括用戶身份確認(rèn)模塊用于接收來(lái)自SP的用戶身份確認(rèn)請(qǐng)求�,根據(jù)所述身 識(shí)給所述SP。
全文摘要
本發(fā)明實(shí)施例提供了一種終端登入的方法�����、系統(tǒng)和裝置�����,該終端登入的方法包括在網(wǎng)絡(luò)中設(shè)置身份標(biāo)識(shí)提供者IDP��;所述身份標(biāo)識(shí)提供者IDP接收來(lái)自終端的業(yè)務(wù)請(qǐng)求����,所述業(yè)務(wù)請(qǐng)求用于請(qǐng)求用戶身份信息;所述身份標(biāo)識(shí)提供者IDP對(duì)終端進(jìn)行鑒權(quán)����;鑒權(quán)成功后向所述終端返回所述用戶身份信息��,以使得終端使用所述用戶身份信息登入SP����。這樣�,通過(guò)在網(wǎng)絡(luò)中引入IDP實(shí)體�����,終端向所述IDP發(fā)送業(yè)務(wù)請(qǐng)求���,所述的IDP對(duì)終端進(jìn)行鑒權(quán)���,若鑒權(quán)通過(guò),則向所述終端返回用戶身份信息���,則終端可使用所述用戶身份信息登入SP�。
文檔編號(hào)H04L9/32GK101521611SQ20081006549
公開(kāi)日2009年9月2日 申請(qǐng)日期2008年2月29日 優(yōu)先權(quán)日2008年2月29日
發(fā)明者彭程暉, 李波杰, 梁文亮 申請(qǐng)人:華為技術(shù)有限公司