专利名称:身份管理方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种身份管理方法及系统。
背景技术:
身份管理系统身份管理系统(identity management, IDM)不是一个新的事物,当今社会生活息息相关的户籍身份证管理、护照管理、企业组织机构代码管理、设备编号管理,都属于IDM。 现在互联网上的IDM系统,绝大部分是由服务提供商或企业提供,如电信运营商的营帐系统、淘宝网的支付宝、网络游戏运营商的帐号管理系统等等,不同企业和不同业务的IDM系统不同。这种由服务提供商或企业提供的IDM系统,存在一些问题1)安全隐患。用户不使用真实身份,不可溯源,有安全隐患。另外企业对用户的隐私信息保护不够重视,经常造成用户身份信息泄露。2)重复注册。各个企业各个服务,用户需要分别注册,使用麻烦。3) IDM系统之间信息不共享,不交互。一个IDM系统的某个用户信息发生改变,无法同步到其他IDM系统。为此,ITU-T标准组织在2006年的SG17会议上成立了 IDM焦点工作组,提出了通用的IDM功能架构。其核心思想是在互联网上除了用户、服务提供商(service provider, SP)外,再引入身份提供商(identity provider,IDP)的概念,IDP专门为用户和SP提供用户的身份服务。IDM的系统示意图见图1。IDP为SP提供身份认证服务,此外还负责对用户身份信息的管理。例如,接受用户的注册请求,对用户的身份属性进行管理(身份属性的变更、撤销等),保证用户身份信息的安全性。IDP提供的身份服务,包括如下四类1)标识。标识可以是任何可以用来代表一个实体身份的标记。例如用户ID、 email地址、假名、组名等等。2)信任状。身份安全凭证,通常用来鉴别一个被声明的身份的安全参数。信任状可以是密码、令牌、安全提示或PKI等相关信息。例如密钥、认证、签名认证和密码信息等。3)属性。身份属性是实体特征的一些描述,比如实体类型、首选IP地址、域名、地址信息、电话号码等。属性也可以包括权限、代理列表和一些特殊限制。4)身份模式。身份模式是指用户的声誉、名誉、信任记录以及历史访问记录。在有多个IDP系统的情况下,用户和SP不知道找哪个IDP提供身份服务,此时需要有一个IDP发现系统,找到合适的IDP为用户提供服务。另外,身份信息不但涉及到用户的隐私,而且涉及到社会安全和国家安全,必须对IDP系统进行有效监管。因此,必须设立政府层面的IDM监管中心,提供IDP发现系统功能,并承担对IDP监管的责任。用户申请身份服务的业务流程见图2
(201)用户向SP请求服务或资源,并提供IDP相关信息。(202) SP请求IDM监管中心对用户提交的IDP服务器的域名进行地址解析,得出用户IDP的网络地址。(203) IDM监管中心将IDP网络地址发给SP。(204) SP根据网络地址,定位到IDP。(205) IDP向用户发送登陆界面,让用户输入帐号和密码,以及其它登录信息,以进行验证。(206)用户输入帐号和密码,以及其它登录信息。(207) IDP验证通过后,向SP发送验证通过(拒绝)的指令。(208) SP向用户提供请求的服务。目前IDM系统一个尚未解决的主要问题是采用什么做为身份的标识,包括用户身份标识和IDP标识。用户身份标识可以用用户ID、email地址、假名、组名,随意性很大,没有统一的标识。另外,IDP标识用于IDP监管中心、SP、用户对IDP服务器的寻址,现在IDM 标准讨论小组拟建议采用URL (Uniform/Universal Resource Locator,统一资源定位符, 又称网页地址)用于IDP寻址,但URL是以DNS域名解析系统作为基础,全球根域名的解析权在美国,美国能够对其它国家IDP活动进行监控,危害国家信息安全。因此有必有建立各国自控的用户身份标识和IDP标识。标识网技术与身份标识现有因特网广泛使用的TCP/IP协议不支持移动性。当终端位置发生移动时,终端 IP地址将发生变化,会导致应用和连接的中断。IP协议不支持移动性的本质原因在于IP 地址包含了身份和位置双重属性。IP地址的身份属性在TCP/IP协议栈中,IP地址用来标识通信对端;IP地址的位置属性IP地址代表用户处于哪一个网段,是路由的基础。固定网络中,IP地址的位置、身份属性合一是没有问题的,因为终端的位置不变, IP地址就不会变化,身份属性也不会变化。而到了移动互联网,终端位置的移动,导致IP地址必须变化,否则没法路由;而IP 地址的变化会导致其上层的TCP/UDP连接必须断掉重连,从而导致业务中断,这对于很多应用程序来说是不能接受的。标识网的概念,是将终端IP地址按身份属性和位置属性分离成身份标识AID和位置标识RID,具体机制如下1)以终端所在的边缘路由器的IP地址作为终端的位置标识,称为终端的RID,当终端位置改变时,RID发生变化。2)引入一个新的命名空间作为终端的身份标识,称为终端的AID,终端的AID终身保持不变。3)终端只感知自身的AID,以及通信对端的AID,不感知RID信息。所有的上层连接均基于AID来建立。即用TCP/AID、UDP/AID代替TCP/IP、UDP/IP。4)终端以目的AID、源AID作为目的、源地址发出数据包,边缘路由器收到数据包后将其中的AID转换成RID ;RID是IP地址的格式,可以在现有互联网上寻址到通信对端的边缘路由器;对端边缘路由器在将数据包中的RID再转换成AID,发往对方终端。
AID的编码格式,可以由服务提供商或者政府机构定义,也可以采用但不局限于 IPv4/IPv60采用IP地址编码格式的好处,主要是现有市面上的终端无需改动,即可支持标识网。
发明内容
本发明要解决的技术问题是提供一种身份管理方法和系统以简化身份管理。为解决以上技术问题,本发明提供一种身份管理方法,其特征在于,该方法基于标识网实现,终端及身份管理(IDP)服务器具有表示标识网内身份的身份标识(AID),所述终端发起身份服务流程时,所述标识网的接入服务节点(ASN)利用终端和IDP服务器的AID 将终端的身份服务请求发送给所述IDP服务器,所述IDP服务器根据所述身份服务请求实现对所述终端的身份管理。进一步地,所述终端已知所属的IDP的情况下,所述终端和IDP服务器的AID由所述终端在发送身份服务请求时,提供给所述ASN。进一步地,所述终端未知所属的IDP服务器的情况下,所述终端的AID由所述终端在发送身份服务请求时提供给所述ASN,所述ASN向监管中心(IDM)查询为所述终端提供身份服务的IDP服务器,获得所述IDP的AID。进一步地,所述IDP服务器对所述终端进行身份管理的流程包括所述IDP服务器向所述终端发送登录指示,所述终端输入身份信息,所述IDP服务器根据所述终端输入的身份信息进行身份验证;所述IDP服务器通过所述ASN向所述终端发送身份服务响应,其中携带验证结果。进一步地,所述身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册和身份信息撤销中的任一种或多种。进一步地,所述终端向所述业务服务器提出业务请求时,所述身份管理方法还包括所述业务服务器发起身份认证流程,该身份认证流程包括(a)所述业务服务器向所述IDP发送身份认证请求,其中携带所述终端的AID ;(b)所述IDP服务器根据所述终端的AID检查所述终端是否已经通过验证,如已通过验证则执行步骤(e),否则向所述终端发出认证挑战;(c)所述终端向所述IDP发送所述终端的身份信息;(d)所述IDP服务器对所述身份信息进行验证;(e)所述IDP服务器向所述业务服务器发送身份认证响应,其中携带所述终端的 AID及所述终端的身份认证结果;(f)所述业务服务器根据所述终端的身份认证结果决定是否对所述终端的业务请求授权。一种身份管理系统,该系统基于标识网实现,包括终端及身份管理(IDP)服务器, 其中所述终端,具有表示标识网内身份的身份标识(AID),用于通过ASN向所述IDP服务器发送身份服务请求,其中所述身份服务请求中携带所述终端的AID ;还用于向所述IDP 服务器发送身份信息;所述ASN,用于根据终端的AID及IDP服务器的AID实现所述终端与IDP服务器之间的身份服务请求及身份服务响应的路由转发;所述IDP服务器,具有表示标识网内身份的AID,用于接收所述ASN转发的身份服务请求,以及验证所述终端发送的身份信息,还用于向所述ASN发送身份服务响应,其中携带所述终端的AID及验证结果信息。进一步地,所述终端已知所属的IDP的情况下,所述终端发送的身份服务请求中还携带所述IDP服务器的AID。进一步地,该系统还包括监管中心(IDM),所述IDM用于管理所述IDP服务器与所属终端的对应关系;与所述终端未知所属的IDP服务器的情况下,所述ASN还用于根据身份服务请求中所述终端的AID向所述IDM查询为所述终端提供身份服务的IDP服务器,获得所述IDP服务器的身份标识。进一步地,所述身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册和身份信息撤销中的任一种或多种。进一步地,所述系统还包括业务服务器,用于在所述终端提出业务请求时,向所述 IDP服务器发送身份认证请求,其中携带所述终端的AID ;以及接收所述IDP服务器发送的身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果,还用于根据所述终端的身份认证结果决定是否对所述终端的业务请求授权;所述IDP服务器根据所述终端的 AID决定是否向所述终端发起认证挑战。进一步地,所述IDP服务器检查是否已有所述终端的身份认证结果信息,如果有, 则直接根据所述身份认证结果信息向所述业务服务器发送身份认证响应,否则向所述终端发起认证挑战。进一步地,所述终端根据所述IDP服务器发送的登录指示或所述IDP服务器发出的认证挑战向所述IDP服务器发送身份信息。本发明方法和系统基于标识网实现,统一采用表示身份的AID作为身份管理的标识,可以简化身份管理系统的管理。
图IIDM的系统示意图;图2用户申请身份服务的业务流程图;图3基于标识网的身份管理拓扑示意图;图4基于标识网的IDM系统服务流程图1 ;图5基于标识网的IDM系统服务流程图2 ;图6单点登录服务流程图。
具体实施例方式下面结合附图和实施例对本发明作进一步说明本发明身份管理方法和系统基于标识网实现,终端及身份管理(IDP)服务器具有表示标识网内身份的身份标识(AID),所述标识网的接入服务节点(ASN)利用终端和IDP服务器的AID实现终端与IDP服务器之间的身份服务交互,所述IDP根据所述终端提供的身份信息实现对所述终端的身份管理。
下面将结合附图及实施例对本发明的技术方案进行更详细的说明。如图3所示的拓扑示意图描述了与本发明相关的系统架构关键特征。本发明所述的基于标识网技术的身份管理系统架构(以下简称本架构)的主要网元和功能实体包括ASN =Access Service Node,接入服务节点。ASN维护终端与网络的连接关系,为终端分配RID,处理切换流程,处理登记注册流程,处理计费/鉴权流程,维护/查询通讯对端的AID-RID映射关系。ASN封装、路由并转发送达终端或终端发出的数据报文。ASN收到终端丽发来的数据报文时,根据数据报文中目的地址通信对端CN的 AIDc查询本地缓存中的AID-RID映射表查到对应的AIDc-RIDC映射条目,将RIDc作为目的地址封装在报文头部,将丽源地址AIDm对应的RIDm作为源地址封装在报文头部,并转发到广义转发平面;如果没有查到对应的AIDc-RIDc映射条目,将数据报文做隧道封装后转发到映射转发平面,并向映射转发平面发出查询AIDc-RIDc映射关系的流程。ASN收到网络发往终端的数据报文时,对数据报文进行解封装处理,剥去数据报文头部的RID封装,保留AID作为数据报文头部发往终端。CR =Common Router,通用路由器。路由并转发以RID格式为源地址/目的地址的数据报文。该通用路由器的功能作用与现有技术中的路由器没有区别。ILR/PTF Identity Location Register/Packet Transfer Function,ILR是身份位置寄存器,维护/保存本架构网络中用户的AID-RID映射关系。实现登记注册功能,处理通信对端的位置查询流程。Broke ILR主要用于拜访ILR与归属ILR之间无直联关系时,中转ILR之间的信令。PTF是分组转发功能。映射转发平面在收到ASN送达的数据报文后,由PTF根据目的AID在映射转发平面内路由并转发。映射转发平面内PTF节点在查到目的AID-RID的映射关系后,在数据报文头部封装对应的RID信息并转发到广义转发平面,由广义转发平面路由并转发到通信对端。IDP =Identity provider,身份服务提供商。IDP记录本架构网络的用户属性,包括用户类别、鉴权信息、用户服务等级等信息,产生用于鉴权、完整性保护和加密的用户安全信息,在用户接入时进行接入控制和授权。IDP支持终端与网络间的双向鉴权。IDM监控中心IDM的监管实体,为用户和服务提供商(SP)提供IDP查询服务,即 IDP发现功能,此外还负责对IDP服务器的资质进行授权。与本发明相关地,本发明身份管理系统基于标识网实现,包括终端及身份管理(IDP)服务器,其中所述终端,具有表示标识网内身份的身份标识(AID),用于通过ASN向所述IDP服务器发送身份服务请求,其中所述身份服务请求中携带所述终端的AID ;还用于向所述IDP 服务器发送身份信息;所述ASN,用于根据终端的AID及IDP服务器的AID实现所述终端与IDP服务器之间的身份服务请求及身份服务响应的路由转发;具体的路由转发方法根据标识网的具体网络机制确定,本发明在此不作具体阐述。
所述IDP服务器,具有表示标识网内身份的AID,用于接收所述ASN转发的身份服务请求,以及验证所述终端发送的身份信息,还用于向所述ASN发送身份服务响应,其中携带所述终端的AID及验证结果信息。所述终端已知所属的IDP的情况下,所述终端发送的身份服务请求中还携带所述 IDP服务器的AID。进一步地,该系统还包括监管中心(IDM),所述IDM用于管理所述IDP服务器与所属终端的对应关系;与所述终端未知所属的IDP服务器的情况下,所述ASN还用于根据身份服务请求中所述终端的AID向所述IDM查询为所述终端提供身份服务的IDP服务器,获得所述IDP服务器的AID。本发明所说的身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册和身份信息撤销中的任一种或多种。进一步地,本发明系统还包括业务服务器,用于在所述终端提出业务请求时,向所述IDP服务器发送身份认证请求,其中携带所述终端的AID;以及接收所述IDP服务器发送的身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果,还用于根据所述终端的身份认证结果决定是否对所述终端的业务请求授权;所述IDP服务器根据所述终端的AID决定是否向所述终端发起认证挑战。具体地,所述IDP服务器检查是否已有所述终端的身份认证结果信息,如果有,则直接根据所述身份认证结果信息向所述业务服务器发送身份认证响应,否则向所述终端发起认证挑战。所述终端根据所述IDP服务器发送的登录指示或所述IDP服务器发出的认证挑战向所述IDP服务器发送身份信息。本发明身份管理方法基于标识网实现,终端及身份管理(IDP)服务器具有表示标识网内身份的身份标识(AID),所述终端发起身份服务流程时,所述标识网的接入服务节点 (ASN)利用终端和IDP服务器的AID将终端的身份服务请求发送给所述IDP服务器,所述 IDP服务器根据所述身份服务请求实现对所述终端的身份管理。本发明所述的基于标识网技术的身份管理系统架构中,有效合法存续期间的终端用户的身份标识AID始终保持不变。终端用户接入网络时,需向IDP服务器申请身份认证服务。IDP对用户身份的鉴权方法根据不同的网络体制采用不同的方法,可以是对用户接入标识AID直接鉴权,也可以是对网络中标识用户的其他类型的用户识别(例如国际移动用户识别IMSI、网络用户识别NAI等)进行鉴权。用户通过了 IDP服务器的认证,才能进入 ASN的合法用户列表中,才可以访问网络资源。除了身份认证服务,用户也可向IDP申请其他身份服务,如查询、修改、注册和撤销身份信息等服务。所述IDP服务器对所述终端进行身份管理的流程包括所述IDP服务器向所述终端发送登录指示,所述终端输入身份信息,所述IDP服务器根据所述终端输入的身份信息进行身份验证;所述IDP服务器通过所述ASN向所述终端发送身份服务响应,其中携带验证结果。应用实例1 所述终端已知所属的IDP的情况下,所述终端和IDP服务器的AID由所述终端在发送身份服务请求时提供给所述ASN。终端申请身份服务的业务流程如图4所示,包括(401)终端M向ASN请求身份服务,并提供终端的身份标识AIDm和IDP服务器的身份标识AIDn ;(402) ASN向IDP服务器请求相应的身份服务。003) IDP服务器向终端M发送登陆指示,让终端M输入帐号和密码,以及其它身份信息,以进行验证。(404)终端M输入帐号和密码,以及其它身份信息。(405) IDP服务器验证通过后,向ASN发送验证通过(拒绝)的指令。(406) ASN向终端M提供请求的服务。所述终端未知所属的IDP服务器的情况下,所述终端的AID由所述终端在发送身份服务请求时提供给所述ASN,所述ASN向监管中心(IDM)查询为所述终端提供身份服务的 IDP服务器,获得所述IDP的AID。终端申请身份服务的业务流程如图5所示,包括(501)终端M向ASN请求身份服务,并提供终端的身份标识AIDm。(502)ASN请求IDM监管中心查找为终端M提供身份服务的IDP,得出IDP服务器的身份标识AIDn。(503) IDM监管中心将IDP服务器的标识AIDn发给ASN。(504) ASN根据标识AIDn,向IDP服务器请求相应的身份服务。(505) IDP服务器向终端M发送登陆指示,让终端M输入帐号和密码,以及其它登录信息,以进行验证。(506)终端M输入帐号和密码,以及其它登录信息。(507) IDP服务器验证通过后,向ASN发送验证通过(拒绝)的指令。(508) ASN向终端M提供请求的服务。本发明所述的身份管理系统架构还可实现单点登录功能,即终端在通过了 IDP的身份认证后,在终端身份有效合法存续期间,终端无需再登录网络即可访问多种业务。所述终端向所述业务服务器提出业务请求时,所述身份管理方法还包括所述业务服务器发起身份认证流程,该身份认证流程包括(a)所述业务服务器向所述IDP发送身份认证请求,其中携带所述终端的AID ;(b)所述IDP服务器根据所述终端的AID检查所述终端是否已经通过验证,如已通过验证则执行步骤(e),否则向所述终端发出认证挑战;(c)所述终端向所述IDP发送所述终端的身份信息;(d)所述IDP服务器对所述身份信息进行验证;(e)所述IDP服务器向所述业务服务器发送身份认证响应,其中携带所述终端的 AID及所述终端的身份认证结果;(f)所述业务服务器根据所述终端的身份认证结果决定是否对所述终端的业务请求授权。应用实例3以下给出终端向3个业务服务器请求业务的应用实例,具体流程如图6所示,包括(601)终端向业务C(如IPTV业务)的业务服务器提出业务请求,携带的参数有终端的身份标识AID;(602)业务C的业务服务器向IDP服务器请求身份认证服务,携带的参数有终端的身份标识AID;(603) IDP服务器向终端发出认证挑战;(604)终端向IDP服务器请求认证,携带参数有终端的身份标识AID、密码、信任状等身份信息;(605) IDP服务器对认证参数进行验证;(606) IDP服务器向业务C的业务服务器反馈终端的认证结果,携带参数有终端的身份标识AID;(607)业务C的业务服务器根据IDP服务器的认证结果,决定对终端的业务请求是否授权;(608)如果授权,则建立终端到业务C的业务服务器的接入链路;(609)开始终端和业务C的业务服务器间的会话,或者说业务C服务器开始给终端提供业务。(610)终端又请求业务B (如数据业务),终端向业务B的业务服务器提出业务请求,携带的参数有终端的身份标识AID ;(612)业务B的业务服务器向IDP服务器请求身份认证服务,携带的参数有终端的身份标识AID;(613) IDP服务器检查终端的AID,是否已经经过了验证;(614) IDP服务器向业务B的业务服务器反馈终端用户的认证结果,携带参数有终端的身份标识AID;(615)业务B的业务服务器根据IDP服务器的验证结果,决定对终端的业务请求是否授权;(616)如果授权,则建立终端到业务B的业务服务器的接入链路;(617)开始终端和业务B的业务服务器间的会话,或者说业务B的业务服务器开始给终端提供业务;(618)终端又请求业务A (如VOIP业务),终端向业务A的业务服务器提出业务请求,携带的参数有终端的身份标识AID ;(619)业务A的业务服务器向IDP服务器请求身份认证服务,携带的参数有终端的身份标识AID;(620) IDP服务器检查终端的AID,是否已经经过了验证;(621) IDP服务器向业务A的业务服务器反馈终端用户的认证结果,携带参数有终端的身份标识AID;(622)业务A的业务服务器根据IDP服务器的验证结果,建立终端到业务A的业务服务器的接入链路;(623)开始终端和业务A的业务服务器间的会话,或者说业务A的业务服务器开始给终端提供业务。首先,现有身份管理系统中,用户标识没有统一的形式,可以是用户自己取的用户名、email地址或手机号码等,不同的身份管理系统,用户标识的形式不一样,因此,本发明方法和系统统一采用表示身份的AID做为标识,可以简化身份管理系统的管理。其次,现有身份管理系统中的IDP标识是基于URL和DNS域名服务系统的,最终控制权在美国,采用 AID对IDP进行标识,可以保证国家信息安全。第三,现有身份管理系统的用户标识和IDP 标识不能用于互联网上寻址,而本发明AID可采用IPv4/IPv6形式,即IDP的标识采用AID 编码的话,可直接用于互联网寻址。
权利要求
1.一种身份管理方法,其特征在于,该方法基于标识网实现,终端及身份管理(IDP)服务器具有表示标识网内身份的身份标识(AID),所述终端发起身份服务流程时,所述标识网的接入服务节点(ASN)利用终端和IDP服务器的AID将终端的身份服务请求发送给所述 IDP服务器,所述IDP服务器根据所述身份服务请求实现对所述终端的身份管理。
2.如权利要求1所述的方法,其特征在于所述终端已知所属的IDP的情况下,所述终端和IDP服务器的AID由所述终端在发送身份服务请求时,提供给所述ASN。
3.如权利要求1所述的方法,其特征在于所述终端未知所属的IDP服务器的情况下, 所述终端的AID由所述终端在发送身份服务请求时提供给所述ASN,所述ASN向监管中心 (IDM)查询为所述终端提供身份服务的IDP服务器,获得所述IDP服务器的身份标识。
4.如权利要求1、2或3所述的方法,其特征在于所述IDP服务器对所述终端进行身份管理的流程包括所述IDP服务器向所述终端发送登录指示,所述终端输入身份信息,所述IDP服务器根据所述终端输入的身份信息进行身份验证;所述IDP服务器通过所述ASN向所述终端发送身份服务响应,其中携带验证结果。
5.如权利要求1所述的方法,其特征在于所述身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册和身份信息撤销中的任一种或多种。
6.如权利要求1所述的方法,其特征在于所述终端向所述业务服务器提出业务请求时,所述身份管理方法还包括所述业务服务器发起身份认证流程,该身份认证流程包括(a)所述业务服务器向所述IDP发送身份认证请求,其中携带所述终端的AID;(b)所述IDP服务器根据所述终端的AID检查所述终端是否已经通过验证,如已通过验证则执行步骤(e),否则向所述终端发出认证挑战;(c)所述终端向所述IDP发送所述终端的身份信息;(d)所述IDP服务器对所述身份信息进行验证;(e)所述IDP服务器向所述业务服务器发送身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果;(f)所述业务服务器根据所述终端的身份认证结果决定是否对所述终端的业务请求授权。
7.一种身份管理系统,其特征在于,该系统基于标识网实现,包括终端及身份管理 (IDP)服务器,其中所述终端,具有表示标识网内身份的身份标识(AID),用于通过ASN向所述IDP服务器发送身份服务请求,其中所述身份服务请求中携带所述终端的AID ;还用于向所述IDP服务器发送身份信息;所述ASN,用于根据终端的AID及IDP服务器的AID实现所述终端与IDP服务器之间的身份服务请求及身份服务响应的路由转发;所述IDP服务器,具有表示标识网内身份的AID,用于接收所述ASN转发的身份服务请求,以及验证所述终端发送的身份信息,还用于向所述ASN发送身份服务响应,其中携带所述终端的AID及验证结果信息。
8.如权利要求7所述的系统,其特征在于所述终端已知所属的IDP的情况下,所述终端发送的身份服务请求中还携带所述IDP服务器的AID。
9.如权利要求7所述的系统,其特征在于该系统还包括监管中心(IDM),所述IDM用于管理所述IDP服务器与所属终端的对应关系;与所述终端未知所属的IDP服务器的情况下,所述ASN还用于根据身份服务请求中所述终端的AID向所述IDM查询为所述终端提供身份服务的IDP服务器,获得所述IDP服务器的身份标识。
10.如权利要求7所述的系统,其特征在于所述身份服务包括身份认证、身份信息查询、身份信息修改、身份信息注册或身份信息撤销中的任一种或多种。
11.如权利要求7所述的系统,其特征在于,所述系统还包括业务服务器,用于在所述终端提出业务请求时,向所述IDP服务器发送身份认证请求,其中携带所述终端的AID ;以及接收所述IDP服务器发送的身份认证响应,其中携带所述终端的AID及所述终端的身份认证结果,还用于根据所述终端的身份认证结果决定是否对所述终端的业务请求授权;所述IDP服务器根据所述终端的AID决定是否向所述终端发起认证挑战。
12.如权利要求11所述的系统,其特征在于所述IDP服务器检查是否已有所述终端的身份认证结果信息,如果有,则直接根据所述身份认证结果信息向所述业务服务器发送身份认证响应,否则向所述终端发起认证挑战。
13.如权利要求7所述的系统,其特征在于所述终端根据所述IDP服务器发送的登录指示或所述IDP服务器发出的认证挑战向所述IDP服务器发送身份信息。
全文摘要
本发明公开了一种身份管理方法和系统以简化身份管理。所述身份管理方法基于标识网实现,终端及身份管理(IDP)服务器具有表示标识网内身份的身份标识(AID),所述终端发起身份服务流程时,所述标识网的接入服务节点(ASN)利用终端和IDP服务器的AID将终端的身份服务请求发送给所述IDP服务器,所述IDP服务器根据所述身份服务请求实现对所述终端的身份管理。本发明方法和系统基于标识网实现,统一采用表示身份的AID作为身份管理的标识,可以简化身份管理系统的管理。
文档编号H04L9/32GK102238148SQ201010165120
公开日2011年11月9日 申请日期2010年4月22日 优先权日2010年4月22日
发明者孙翼舟, 江华, 黄兵 申请人:中兴通讯股份有限公司