[发明专利]一种终端登入的方法、系统及装置

权利要求书

1、一种终端登入的方法，其特征在于，包括：在网络中设置身份标识提供者IDP；

所述身份标识提供者IDP接收来自终端的业务请求，所述业务请求用于请求用户身份信息；

所述身份标识提供者IDP对终端进行鉴权；

鉴权成功后向所述终端返回所述用户身份信息，以使得终端使用所述用户身份信息登入SP。

2、如权利要求1所述的方法，其特征在于，所述身份标识提供者IDP对终端进行鉴权前进一步包括：

所述身份标识提供者IDP发送响应给所述终端，要求所述终端提供鉴权信息；

所述终端将保存的网络鉴权上下文信息上报给所述身份标识提供者IDP，所述网络鉴权上下文信息携带用户名和共享密钥；

所述身份标识提供者IDP根据所述网络鉴权上下文信息对所述终端进行鉴权。

3、如权利要求2所述的方法，其特征在于，所述身份标识提供者IDP根据所述网络鉴权上下文信息对所述终端进行鉴权进一步包括：

所述身份标识提供者IDP根据所述网络鉴权上下文信息携带的所述用户名向AAA服务器请求终端的共享密钥；

所述身份标识提供者IDP接收来自AAA服务器返回的共享密钥；

所述身份标识提供者IDP比较所述AAA服务器返回的共享密钥和所述网络鉴权上下文信息携带的共享密钥，若相同，则鉴权成功；否则，鉴权失败。

4、如权利要求2所述的方法，其特征在于，所述共享密钥为EMASK或者是MSK或者是基于EMASK或MSK派生的共享密钥。

5、如权利要求1所述的方法，其特征在于，所述身份标识提供者IDP接收来自终端的业务请求前进一步包括：

所述终端向SP发起业务请求；

若发现用户未登入且网络支持单点登入，则所述SP返回重定向响应给所述终端，要求终端到所述身份标识提供者IDP进行鉴权。

6、如权利要求1所述的方法，其特征在于，进一步包括：

所述终端将所述用户身份信息发送给SP；

所述SP根据所述用户身份信息确认用户身份。

7、如权利要求1所述的方法，其特征在于，进一步包括：

所述SP向USI发送USI接口调用请求，所述USI接口调用请求携带所述用户身份信息；

所述USI接到所述USI接口调用请求后，根据所述USI接口调用请求中携带的用户身份信息到所述身份标识提供者IDP进行用户身份确认；

确认成功后，所述USI接收来自所述IDP的确认成功消息，所述消息中携带用户标识；

所述USI进行调用处理，向所述SP返回调用结果。

8、一种通信系统，其特征在于，所述系统包括身份标识提供者IDP，所述身份标识提供者IDP以可通信方式同终端和SP相连；

所述身份标识提供者IDP接收来自终端的业务请求，所述业务请求用于请求用户身份信息；对所述终端进行鉴权，鉴权成功后向所述终端返回用户身份信息，以使得终端使用所述用户身份信息登入所述SP。

9、如权利要求8所述的系统，其特征在于，所述终端还用于保存网络鉴权上下文信息，向所述身份标识提供者IDP上报所述保存的网络鉴权上下文信息；所述身份标识提供者IDP还用于向所述终端发送响应，要求所述终端上报其保存的网络鉴权上下文信息。

10、如权利要求9所述的系统，其特征在于，所述系统还包括AAA服务器，用于保存用户相关信息，收到来自所述身份标识提供者IDP的请求后返回其保存的用户相关信息给所述身份标识提供者IDP；

所述身份标识提供者IDP还用于向所述AAA服务器请求并接收用户相关信息。

11、如权利要求9所述的系统，其特征在于，所述系统还包括SP，用于收到来自终端的业务请求后，若发现用户未登入且网络支持单点登入，则返回重定向响应给所述终端；收到来自所述终端的用户身份信息后，根据所述身份信息确认用户身份。