多帳號一鍵登錄及認證機制的制作方法
【技術領域】
[0001]本發(fā)明涉及多賬號角色的統(tǒng)一登錄認證技術領域,尤其涉及多賬號一鍵登錄訪問權限和多賬號認證賦予用戶權限訪問數(shù)據(jù)庫資源機制����。
【背景技術】
[0002]多賬號角色的統(tǒng)一登錄認證簡單說就是在分布的�、多服務的網絡環(huán)境中��,通過用戶的一次性鑒別登錄�,獲得訪問分布式系統(tǒng)中所有服務的合法性身份證明。隨著信息技術和網絡技術的發(fā)展�,各種應用服務不斷地在網上普及,用戶每天需要登錄到許多不同的應用系統(tǒng)���。隨著用戶需要登錄系統(tǒng)的增多��,用戶每天就得不斷的重復輸入自己在相應系統(tǒng)中的ID和口令�,在極不便利的同時也增加了出錯的可能性����。為避免這種尷尬,用戶一般會簡化密碼�,或者在多個系統(tǒng)中使用相同的口令,或者創(chuàng)建一個口令“列表”��,這些都使登錄信息受到非法截獲和破壞的可能性增大���,安全性也就會相應降低���。當這些安全風險逐步反映出來�,管理員增加一些新的安全措施的時候���,這些措施卻會減少系統(tǒng)的可用性�����,并且會增大系統(tǒng)管理的復雜度�����。
[0003]隨著Web服務技術的發(fā)展,各種基于Web的服務集成度不斷提高���,用戶的一個服務請求可能會由一系列的子服務構成����,而這些子服務又是動態(tài)相關的并由不同的服務提供者提供����。在傳統(tǒng)的登錄模式下需要用戶伴隨著服務執(zhí)行的進展,不斷登錄到相應的子服務系統(tǒng)中��,在造成用戶不便利的同時也與服務集成的透明性要求相矛盾?��;谏鲜銮闆r�,人們提出了這樣的需求:網絡用戶可以基于最初訪問網絡時的一次身份驗證�,對所有被授權的網絡資源進行無縫的訪問,即所謂的多賬號角色的統(tǒng)一登錄認證登錄��。
[0004]系統(tǒng)實施多賬號一鍵登錄及認證機制的好處:在系統(tǒng)的應用程序層實現(xiàn)多賬號角色的統(tǒng)一登錄認證�����,對系統(tǒng)的訪問權限實現(xiàn)了簡單�、安全、高效的管理�,極大地降低了多賬號角色登錄認證的負擔和代價,而且使系統(tǒng)多賬號角色登錄認證更加符合應用系統(tǒng)的業(yè)務管理規(guī)范降低了對系統(tǒng)管理員的要求�����,進一步降低了系統(tǒng)權限管理的負擔和代價����。
【發(fā)明內容】
[0005]為了克服現(xiàn)有的涉及多賬號角色的統(tǒng)一登錄認證技術領域的不足,本發(fā)明提供一種多賬號一鍵登錄訪問權限和多賬號認證賦予用戶權限訪問數(shù)據(jù)庫資源機制�。引入身份聯(lián)合�,建立同一用戶的多個不同賬號之間的相互映射關系�����。移動核心網絡新增身份聯(lián)合服務器(IDMP)�����,維護用戶的核心網身份與SP身份的身份聯(lián)合信息��,用戶訪問某個業(yè)務時���,業(yè)務通過IDMP查詢用戶是否已登錄核心網或者其他業(yè)務�����,如已登錄�����,則IDMP通過身份映射關系得到該用戶在該業(yè)務上的身份信息,從而完成用戶使用業(yè)務時的登錄過程�。
[0006]本發(fā)明解決其技術問題所采用的技術方案是:提出一種新的功能實體,即身份聯(lián)合服務器(IDMP)t3IDMP位于移動核心網中�,它實現(xiàn)了對用戶多種身份之間的聯(lián)合映射��,以及向SP提供查詢和注冊綁定用戶身份的功能��。IDMP處于統(tǒng)一登錄認證的樞紐位置�,SIP終端��、瀏覽器通過IDMP統(tǒng)一認證��,IDMP與GGSN和Web SP進行信息交互���,使得用戶只需登錄一次即可全網使用業(yè)務��。IDMP內部可分為兩個邏輯實體:IDMP服務器(包含Portal)和數(shù)據(jù)庫���。IDMP服務器負責實現(xiàn)統(tǒng)一登錄、統(tǒng)一鑒權和身份聯(lián)合的功能�,其中Portal向用戶提供統(tǒng)一登錄的自服務頁面,如通過Portal來創(chuàng)建和維護身份聯(lián)合信息�,或者通過Portal來登錄其他SP。數(shù)據(jù)庫負責存儲用戶的身份聯(lián)合信息�。
[0007]本發(fā)明的有益效果是,采用多賬號一鍵登錄及認證機制��,簡單說就是在分布的�����、多服務的網絡環(huán)境中,通過用戶的一次性鑒別登錄�,即可獲得訪問分布式系統(tǒng)中所有服務的合法性身份證明,在此條件下����,管理員無需修改或干涉用戶登錄就能方便的實施希望得到的安全控制。多賬號一鍵登錄及認證機制就重放攻擊����,傳輸安全等問題,加入了時間戳����、加密機制,用于系統(tǒng)的安全�。將認證由各個站點獨立完成改為集中式認證,各個業(yè)務提供站點采用統(tǒng)一的用戶身份���,并且整個過程對用戶透明����,使得在Internet上分散的原屬于各個站點的用戶資源可以被所有合作站點共享使用��,為Web服務走向開放和協(xié)作提供了條件和基礎���。
【附圖說明】
[0008]下面結合附圖和實施例對本發(fā)明進一步說明����。
[0009]圖1為本發(fā)明實例多賬號發(fā)起身份聯(lián)合流程圖圖�����。
[0010]圖2為本發(fā)明實例多賬號單點登錄流程圖圖�。
[0011 ]圖3為本發(fā)明實例多賬號登錄處理流程簡圖。
[0012]圖4為本發(fā)明實例多賬號登錄流程示意圖��。
[0013]圖5為本發(fā)明實例多賬號登出流程示意圖�����。
【具體實施方式】
[0014]在圖4中���,表示了多賬號一鍵登錄及認證機制的登錄流程��。業(yè)務對每個達到(且尚未登錄)的用戶請求依次做如下判斷:是否由軟終端啟動瀏覽器以后來訪問的����,是否采用GPRS接入。對于每個判斷�����,如果是���,則向IDMP查詢用戶身份�����,否則做下一個判斷�����。如果通過IDMP成功查詢得到用戶身份�����,則統(tǒng)一登錄流程執(zhí)行結束��,業(yè)務得到了用戶身份�����,并向用戶提供服務�����;如果IDMP查詢失敗����,說明該用戶沒有進行身份聯(lián)合���,則采用普通的方式登錄���,即讓用戶輸入用戶名和密碼,也可采用手機號登錄��。若三次判斷均為失敗���,則采用普通方式登錄�����。詳細流程如下:
[0015]1.用戶請求到達Web SP,Web SP首先通過Cookie來判斷該用戶是否已登錄��,已登錄用戶的Cookie記錄中會保存用戶的身份信息和登錄信息���,如用戶名��、登錄時間����、有效期等�����。若Cookie中無記錄����,則SP檢查用戶是否已通過軟終端登錄了頂S網絡,檢查方法是判斷URL中是否攜帶了頂PU��,若有��,則向IDMP查詢�����。
[0016]2.SP把URL中的頂PU發(fā)送給IDMP���,查詢該用戶對應該SP的身份����。IDMP查詢身份聯(lián)合記錄得到用戶對應該SP的身份信息。IDMP返回查詢結果���。若查詢成功�����,返回結果是該用戶在此SP上的用戶名,否則結果是查詢失敗�。若請求中無IMPU,則SP檢查用戶是否采用GPRS接入���,檢查方法是向IDMP發(fā)送IP地址來查詢用戶身份���。若用戶采用GPRS接入,那么移動核心網的Radius服務器中將記錄用戶的手機號與IP地址之間的綁定信息����;IDMP從Radius服務器查詢用戶的IP地址可得到用戶的手機號。
[0017]3.1DMP得到用戶的手機號以后��,根據(jù)身份聯(lián)合記錄可以進一步得到該用戶在此SP上的身份信息����。IDMP返回查詢結果����。若查詢成功���,返回結果是該用戶在此SP上的用戶名����,否則結果是查詢失敗���。若用戶未采用GPRS接入�����,則SP檢查該用戶是否登錄了其他SP或者Portal�,檢查方法是統(tǒng)一由Portal在Cookie中保存用戶的登錄信息���。
[0018]4.PortaI收到重定向請求以后��,讀取Cookie判斷用戶是否已登錄其他SP或者Portal�。若用戶已登錄�,則進一步根據(jù)身份聯(lián)合信息得到用戶對應該SP的身份����。IDMP返回查詢結果��。若查詢成功�,返回結果是該用戶在此SP上的用戶名,否則結果是查詢失敗���。
[0019]5.若統(tǒng)一登錄成功�����,則SP在Cookie中保存用戶的登錄信息,包括用戶名�、登錄時間和有效期等,設定Cookie的有效期為固定時間���,比如I小時�����。否則�,SP讓用戶手動登錄或采用手機號登錄�。
【主權項】
1.多賬號一鍵登錄及認證機制�,其特征是:基于多賬號一鍵登錄訪問權限��,基于多賬號認證賦予用戶權限訪問數(shù)據(jù)庫資源機制;簡單說就是在分布的����、多服務的網絡環(huán)境中,通過用戶的一次性鑒別登錄��,即可獲得訪問分布式系統(tǒng)中所有服務的合法性身份證明����,在此條件下,管理員無需修改或干涉用戶登錄就能方便的實施希望得到的安全控制���。多賬號一鍵登錄及認證機制就重放攻擊����、傳輸安全等問題��,加入了時間戳����、加密機制用于系統(tǒng)的安全。2.根據(jù)權利要求1所述的基于多賬號一鍵登錄訪問權限��,其特征是:引入身份聯(lián)合,建立同一用戶的多個不同身份之間的相互映射關系���。移動核心網絡新增身份聯(lián)合服務器(IDMP)����,維護用戶的核心網身份與SP身份的身份聯(lián)合信息����。用戶訪問某個業(yè)務時,業(yè)務通過IDMP查詢用戶是否已登錄核心網或者其他業(yè)務�����,如已登錄�,則IDMP通過身份映射關系得到該用戶在該業(yè)務上的身份信息��,從而完成用戶使用業(yè)務時的登錄過程�。3.根據(jù)權利要求1所述的基于多賬號認證賦予用戶權限訪問數(shù)據(jù)庫資源機制,其特征是:提出一種新的功能實體�,即身份聯(lián)合服務器(IDMP),它實現(xiàn)了對用戶多種身份之間的聯(lián)合映射��,以及向SP提供查詢和注冊綁定用戶身份的功能���。IDMP處于統(tǒng)一登錄認證的樞紐位置����,SIP終端、瀏覽器通過IDMP統(tǒng)一認證����,IDMP與GGSN和Web SP進行信息交互,使得用戶只需登錄一次即可全網使用業(yè)務���。IDMP內部可分為兩個邏輯實體:IDMP服務器(包含Portal)和數(shù)據(jù)庫����。IDMP服務器負責實現(xiàn)統(tǒng)一登錄�����、統(tǒng)一鑒權和身份聯(lián)合的功能���,數(shù)據(jù)庫負責存儲用戶的身份聯(lián)合信息�。
【專利摘要】一種多賬號一鍵登錄及認證機制�,涉及多賬號角色的統(tǒng)一登錄認證技術領域,尤其涉及多賬號一鍵登錄訪問權限和多賬號認證賦予用戶權限訪問數(shù)據(jù)庫資源機制����。在分布的����、多服務的網絡環(huán)境中����,通過用戶一次性鑒別登錄,獲得訪問系統(tǒng)中所有服務的合法性身份證明��,管理員無需修改或干涉用戶登錄就能方便的安全控制�����。本發(fā)明的實施例提供一種多賬號一鍵登錄訪問權限���,一種多賬號認證賦予用戶權限訪問數(shù)據(jù)庫資源機制��。提出身份聯(lián)合服務器,實現(xiàn)了對用戶多種身份之間的聯(lián)合映射�����,及向SP提供查詢和注冊綁定用戶身份����。將認證由各個站點獨立完成改為集中式認證�,使在Internet上分散的用戶資源可以被合作站點共享使用�,為Web服務的開放和協(xié)作提供了條件和基礎。
【IPC分類】H04L29/06
【公開號】CN105577667
【申請?zhí)枴緾N201510995538
【發(fā)明人】葉君玉
【申請人】上海贊越軟件服務中心
【公開日】2016年5月11日
【申請日】2015年12月28日