[发明专利]一种身份联合的方法、IdP、SP及系统

说明书

技术领域

本发明涉及网络通信领域，尤其涉及一种身份联合的方法、IdP、SP及系统。

背景技术

在TCP/IP体系中，最为核心的是网络层的IP协议，通过IP地址实现用户之间的相互访问。各种应用，如网络浏览、邮件收发、即时通讯等，都承载在应用层协议之上。

用户在使用这些业务之前必须通过电信运营商提供的基础网络接入互联网，不同的用户可能有不同的接入方式，如xDSL、光纤、移动接入等等。一般情况下，用户终端都会获取到一个IP地址，用户此后就通过这个IP地址访问互联网上的各种应用，这个IP地址就相当于用户的临时身份。

由于IP地址的前缀部分表示用户当前所在的子网，当用户位置发生变化时，必须分配不同的IP地址，否则路由器无法正确地把数据包转发给用户。而因为IP地址具有身份和位置的双重属性，同时用户每次获取到的IP地址不一定相同，从而无法作为用户的长期身份标识，因此互联网上的应用系统必须自建一套用户身份标识系统，即通常所说的用户账号系统。

由此可见，用户在访问互联网上的应用时存在二次认证的情况，运营商在用户接入互联网时进行一次认证，互联网上的应用系统在用户访问时进行自身的认证。

随着信息技术和网络技术的迅猛发展，互联网上的应用系统也越来越多。由于这些应用系统相互独立，用户在使用每一个系统之前必须先进行注册登记，并按照相应的身份进行登录，为此用户必须记住每个应用系统的用户名和密码，这给用户带来了很大的麻烦。

发明内容

本发明要解决的技术问题是提供一种身份联合的方法、IdP、SP及系统，使得运营商既可以为用户提供单点登录业务。

为解决上述技术问题，本发明提供了一种身份联合的方法，包括：

终端在访问业务提供服务器(SP)提供的业务过程中，位于运营商网络的身份提供服务器(IdP)在确认终端通过认证后，为该终端用户生成该终端用户在IdP的身份标识，关联该终端用户在IdP的身份标识和SP的身份标识，生成肯定断言发送给SP；

SP在接收到肯定断言并验证其合法性通过后，检查如果不存在关联的本地账号，则向用户发起要求登录的挑战，用户登录成功后，SP将终端用户在SP本地的身份标识、IdP的身份标识，以及终端用户在IdP的身份标识进行关联。

进一步地，所述IdP生成的终端用户在IdP的身份标识是永久身份标识或者是临时身份标识。

进一步地，所述IdP生成的用户在IdP的身份标识是临时身份标识时，所述IdP还为该临时身份标识生成生命期。

进一步地，所述IdP确认终端通过认证后，为该终端用户生成该终端用户在IdP的身份标识包括：

所述IdP确认终端通过认证后，主动为该终端用户生成该终端用户在IdP的身份标识；或者，

所述IdP在与SP建立安全关联，并确认终端通过认证后，在接收到SP发送的认证请求后再为该终端用户生成该终端用户在IdP的身份标识。

进一步地，所述SP向用户发起要求登录的挑战之前，所述方法还包括：

SP先询问用户是否愿意关联本地账号，在用户同意后，向用户发起要求登录的挑战。

进一步地，IdP确认终端通过认证前，所述方法还包括：终端与接入服务节点(ASR)以及认证中心进行接入认证后，与所述ASR生成主会话密钥；

所述IdP在对终端进行认证时，通过终端的接入标识和主会话密钥对终端进行认证。

进一步地，所述SP发送的认证请求中包括随机数，所述随机数用于临时标识用户在SP的身份信息和用于防范重放攻击。

进一步地，所述IdP主动为该终端用户生成该终端用户在IdP的身份标识，生成肯定断言发送给SP，所述肯定断言中包括随机数，所述随机数用于防范重放攻击。

进一步地，终端再次访问该SP提供的业务时，IdP不再与该终端交互进行认证，SP不再要求该终端用户登录。

为解决上述技术问题，本发明还提供了一种实现身份联合的身份提供服务器(IdP)，所述IdP位于运营商网络，包括认证模块、身份标识生成模块、关联模块和断言生成模块，其中：

所述认证模块，用于终端在访问业务提供服务器(SP)提供的业务过程中，确认终端是否通过认证；

所述身份标识生成模块，用于在认证模块确认终端通过认证后，为该终端用户生成该终端用户在IdP的身份标识；

所述关联模块，用于关联该终端用户在IdP的身份标识和SP的身份标识；