身份管理方法及系統的製作方法

2023-09-20 18:34:10 2

專利名稱：身份管理方法及系統的製作方法
技術領域：
本發明涉及通信技術領域，尤其涉及一種身份管理方法及系統。
背景技術：
身份管理系統身份管理系統(identity management, IDM)不是一個新的事物，當今社會生活息息相關的戶籍身份證管理、護照管理、企業組織機構代碼管理、設備編號管理，都屬於IDM。 現在網際網路上的IDM系統，絕大部分是由服務提供商或企業提供，如電信運營商的營帳系統、淘寶網的支付寶、網路遊戲運營商的帳號管理系統等等，不同企業和不同業務的IDM系統不同。這種由服務提供商或企業提供的IDM系統，存在一些問題1)安全隱患。用戶不使用真實身份，不可溯源，有安全隱患。另外企業對用戶的隱私信息保護不夠重視，經常造成用戶身份信息洩露。2)重複註冊。各個企業各個服務，用戶需要分別註冊，使用麻煩。3) IDM系統之間信息不共享，不交互。一個IDM系統的某個用戶信息發生改變，無法同步到其他IDM系統。為此，ITU-T標準組織在2006年的SG17會議上成立了 IDM焦點工作組，提出了通用的IDM功能架構。其核心思想是在網際網路上除了用戶、服務提供商(service provider, SP)外，再引入身份提供商(identity provider，IDP)的概念，IDP專門為用戶和SP提供用戶的身份服務。IDM的系統示意圖見圖1。IDP為SP提供身份認證服務，此外還負責對用戶身份信息的管理。例如，接受用戶的註冊請求，對用戶的身份屬性進行管理(身份屬性的變更、撤銷等)，保證用戶身份信息的安全性。IDP提供的身份服務，包括如下四類1)標識。標識可以是任何可以用來代表一個實體身份的標記。例如用戶ID、 email地址、假名、組名等等。2)信任狀。身份安全憑證，通常用來鑑別一個被聲明的身份的安全參數。信任狀可以是密碼、令牌、安全提示或PKI等相關信息。例如密鑰、認證、籤名認證和密碼信息等。3)屬性。身份屬性是實體特徵的一些描述，比如實體類型、首選IP位址、域名、地址信息、電話號碼等。屬性也可以包括權限、代理列表和一些特殊限制。4)身份模式。身份模式是指用戶的聲譽、名譽、信任記錄以及歷史訪問記錄。在有多個IDP系統的情況下，用戶和SP不知道找哪個IDP提供身份服務，此時需要有一個IDP發現系統，找到合適的IDP為用戶提供服務。另外，身份信息不但涉及到用戶的隱私，而且涉及到社會安全和國家安全，必須對IDP系統進行有效監管。因此，必須設立政府層面的IDM監管中心，提供IDP發現系統功能，並承擔對IDP監管的責任。用戶申請身份服務的業務流程見圖2
(201)用戶向SP請求服務或資源，並提供IDP相關信息。(202) SP請求IDM監管中心對用戶提交的IDP伺服器的域名進行地址解析，得出用戶IDP的網絡地址。(203) IDM監管中心將IDP網絡地址發給SP。(204) SP根據網絡地址，定位到IDP。(205) IDP向用戶發送登陸界面，讓用戶輸入帳號和密碼，以及其它登錄信息，以進行驗證。(206)用戶輸入帳號和密碼，以及其它登錄信息。(207) IDP驗證通過後，向SP發送驗證通過(拒絕)的指令。(208) SP向用戶提供請求的服務。目前IDM系統一個尚未解決的主要問題是採用什麼做為身份的標識，包括用戶身份標識和IDP標識。用戶身份標識可以用用戶ID、email地址、假名、組名，隨意性很大，沒有統一的標識。另外，IDP標識用於IDP監管中心、SP、用戶對IDP伺服器的尋址，現在IDM 標準討論小組擬建議採用URL (Uniform/Universal Resource Locator，統一資源定位符， 又稱網頁地址)用於IDP尋址，但URL是以DNS域名解析系統作為基礎，全球根域名的解析權在美國，美國能夠對其它國家IDP活動進行監控，危害國家信息安全。因此有必有建立各國自控的用戶身份標識和IDP標識。標識網技術與身份標識現有網際網路廣泛使用的TCP/IP協議不支持移動性。當終端位置發生移動時，終端 IP位址將發生變化，會導致應用和連接的中斷。IP協議不支持移動性的本質原因在於IP 地址包含了身份和位置雙重屬性。IP位址的身份屬性在TCP/IP協議棧中，IP位址用來標識通信對端；IP位址的位置屬性IP位址代表用戶處於哪一個網段，是路由的基礎。固定網絡中，IP位址的位置、身份屬性合一是沒有問題的，因為終端的位置不變， IP位址就不會變化，身份屬性也不會變化。而到了移動網際網路，終端位置的移動，導致IP位址必須變化，否則沒法路由；而IP 地址的變化會導致其上層的TCP/UDP連接必須斷掉重連，從而導致業務中斷，這對於很多應用程式來說是不能接受的。標識網的概念，是將終端IP位址按身份屬性和位置屬性分離成身份標識AID和位置標識RID，具體機制如下1)以終端所在的邊緣路由器的IP位址作為終端的位置標識，稱為終端的RID，當終端位置改變時，RID發生變化。2)引入一個新的命名空間作為終端的身份標識，稱為終端的AID，終端的AID終身保持不變。3)終端只感知自身的AID，以及通信對端的AID，不感知RID信息。所有的上層連接均基於AID來建立。即用TCP/AID、UDP/AID代替TCP/IP、UDP/IP。4)終端以目的AID、源AID作為目的、源地址發出數據包，邊緣路由器收到數據包後將其中的AID轉換成RID ；RID是IP位址的格式，可以在現有網際網路上尋址到通信對端的邊緣路由器；對端邊緣路由器在將數據包中的RID再轉換成AID，發往對方終端。
AID的編碼格式，可以由服務提供商或者政府機構定義，也可以採用但不局限於 IPv4/IPv60採用IP位址編碼格式的好處，主要是現有市面上的終端無需改動，即可支持標識網。

發明內容
本發明要解決的技術問題是提供一種身份管理方法和系統以簡化身份管理。為解決以上技術問題，本發明提供一種身份管理方法，其特徵在於，該方法基於標識網實現，終端及身份管理(IDP)伺服器具有表示標識網內身份的身份標識(AID)，所述終端發起身份服務流程時，所述標識網的接入服務節點(ASN)利用終端和IDP伺服器的AID 將終端的身份服務請求發送給所述IDP伺服器，所述IDP伺服器根據所述身份服務請求實現對所述終端的身份管理。進一步地，所述終端已知所屬的IDP的情況下，所述終端和IDP伺服器的AID由所述終端在發送身份服務請求時，提供給所述ASN。進一步地，所述終端未知所屬的IDP伺服器的情況下，所述終端的AID由所述終端在發送身份服務請求時提供給所述ASN，所述ASN向監管中心(IDM)查詢為所述終端提供身份服務的IDP伺服器，獲得所述IDP的AID。進一步地，所述IDP伺服器對所述終端進行身份管理的流程包括所述IDP伺服器向所述終端發送登錄指示，所述終端輸入身份信息，所述IDP伺服器根據所述終端輸入的身份信息進行身份驗證；所述IDP伺服器通過所述ASN向所述終端發送身份服務響應，其中攜帶驗證結果。進一步地，所述身份服務包括身份認證、身份信息查詢、身份信息修改、身份信息註冊和身份信息撤銷中的任一種或多種。進一步地，所述終端向所述業務伺服器提出業務請求時，所述身份管理方法還包括所述業務伺服器發起身份認證流程，該身份認證流程包括(a)所述業務伺服器向所述IDP發送身份認證請求，其中攜帶所述終端的AID ；(b)所述IDP伺服器根據所述終端的AID檢查所述終端是否已經通過驗證，如已通過驗證則執行步驟(e)，否則向所述終端發出認證挑戰；(c)所述終端向所述IDP發送所述終端的身份信息；(d)所述IDP伺服器對所述身份信息進行驗證；(e)所述IDP伺服器向所述業務伺服器發送身份認證響應，其中攜帶所述終端的 AID及所述終端的身份認證結果；(f)所述業務伺服器根據所述終端的身份認證結果決定是否對所述終端的業務請求授權。一種身份管理系統，該系統基於標識網實現，包括終端及身份管理(IDP)伺服器， 其中所述終端，具有表示標識網內身份的身份標識(AID)，用於通過ASN向所述IDP伺服器發送身份服務請求，其中所述身份服務請求中攜帶所述終端的AID ；還用於向所述IDP 伺服器發送身份信息；所述ASN，用於根據終端的AID及IDP伺服器的AID實現所述終端與IDP伺服器之間的身份服務請求及身份服務響應的路由轉發；所述IDP伺服器，具有表示標識網內身份的AID，用於接收所述ASN轉發的身份服務請求，以及驗證所述終端發送的身份信息，還用於向所述ASN發送身份服務響應，其中攜帶所述終端的AID及驗證結果信息。進一步地，所述終端已知所屬的IDP的情況下，所述終端發送的身份服務請求中還攜帶所述IDP伺服器的AID。進一步地，該系統還包括監管中心(IDM)，所述IDM用於管理所述IDP伺服器與所屬終端的對應關係；與所述終端未知所屬的IDP伺服器的情況下，所述ASN還用於根據身份服務請求中所述終端的AID向所述IDM查詢為所述終端提供身份服務的IDP伺服器，獲得所述IDP伺服器的身份標識。進一步地，所述身份服務包括身份認證、身份信息查詢、身份信息修改、身份信息註冊和身份信息撤銷中的任一種或多種。進一步地，所述系統還包括業務伺服器，用於在所述終端提出業務請求時，向所述 IDP伺服器發送身份認證請求，其中攜帶所述終端的AID ；以及接收所述IDP伺服器發送的身份認證響應，其中攜帶所述終端的AID及所述終端的身份認證結果，還用於根據所述終端的身份認證結果決定是否對所述終端的業務請求授權；所述IDP伺服器根據所述終端的 AID決定是否向所述終端發起認證挑戰。進一步地，所述IDP伺服器檢查是否已有所述終端的身份認證結果信息，如果有， 則直接根據所述身份認證結果信息向所述業務伺服器發送身份認證響應，否則向所述終端發起認證挑戰。進一步地，所述終端根據所述IDP伺服器發送的登錄指示或所述IDP伺服器發出的認證挑戰向所述IDP伺服器發送身份信息。本發明方法和系統基於標識網實現，統一採用表示身份的AID作為身份管理的標識，可以簡化身份管理系統的管理。


圖IIDM的系統示意圖；圖2用戶申請身份服務的業務流程圖；圖3基於標識網的身份管理拓撲示意圖；圖4基於標識網的IDM系統服務流程圖1 ；圖5基於標識網的IDM系統服務流程圖2 ；圖6單點登錄服務流程圖。
具體實施例方式下面結合附圖和實施例對本發明作進一步說明本發明身份管理方法和系統基於標識網實現，終端及身份管理(IDP)伺服器具有表示標識網內身份的身份標識(AID)，所述標識網的接入服務節點(ASN)利用終端和IDP伺服器的AID實現終端與IDP伺服器之間的身份服務交互，所述IDP根據所述終端提供的身份信息實現對所述終端的身份管理。
下面將結合附圖及實施例對本發明的技術方案進行更詳細的說明。如圖3所示的拓撲示意圖描述了與本發明相關的系統架構關鍵特徵。本發明所述的基於標識網技術的身份管理系統架構(以下簡稱本架構)的主要網元和功能實體包括ASN =Access Service Node，接入服務節點。ASN維護終端與網絡的連接關係，為終端分配RID，處理切換流程，處理登記註冊流程，處理計費/鑑權流程，維護/查詢通訊對端的AID-RID映射關係。ASN封裝、路由並轉發送達終端或終端發出的數據報文。ASN收到終端麗發來的數據報文時，根據數據報文中目的地址通信對端CN的 AIDc查詢本地緩存中的AID-RID映射表查到對應的AIDc-RIDC映射條目，將RIDc作為目的地址封裝在報文頭部，將麗源地址AIDm對應的RIDm作為源地址封裝在報文頭部，並轉發到廣義轉發平面；如果沒有查到對應的AIDc-RIDc映射條目，將數據報文做隧道封裝後轉發到映射轉發平面，並向映射轉發平面發出查詢AIDc-RIDc映射關係的流程。ASN收到網絡發往終端的數據報文時，對數據報文進行解封裝處理，剝去數據報文頭部的RID封裝，保留AID作為數據報文頭部發往終端。CR =Common Router，通用路由器。路由並轉發以RID格式為源地址/目的地址的數據報文。該通用路由器的功能作用與現有技術中的路由器沒有區別。ILR/PTF Identity Location Register/Packet Transfer Function，ILR是身份位置寄存器，維護/保存本架構網絡中用戶的AID-RID映射關係。實現登記註冊功能，處理通信對端的位置查詢流程。Broke ILR主要用於拜訪ILR與歸屬ILR之間無直聯關係時，中轉ILR之間的信令。PTF是分組轉發功能。映射轉發平面在收到ASN送達的數據報文後，由PTF根據目的AID在映射轉發平面內路由並轉發。映射轉發平面內PTF節點在查到目的AID-RID的映射關係後，在數據報文頭部封裝對應的RID信息並轉發到廣義轉發平面，由廣義轉發平面路由並轉發到通信對端。IDP =Identity provider，身份服務提供商。IDP記錄本架構網絡的用戶屬性，包括用戶類別、鑑權信息、用戶服務等級等信息，產生用於鑑權、完整性保護和加密的用戶安全信息，在用戶接入時進行接入控制和授權。IDP支持終端與網絡間的雙向鑑權。IDM監控中心IDM的監管實體，為用戶和服務提供商(SP)提供IDP查詢服務，即 IDP發現功能，此外還負責對IDP伺服器的資質進行授權。與本發明相關地，本發明身份管理系統基於標識網實現，包括終端及身份管理(IDP)伺服器，其中所述終端，具有表示標識網內身份的身份標識(AID)，用於通過ASN向所述IDP伺服器發送身份服務請求，其中所述身份服務請求中攜帶所述終端的AID ；還用於向所述IDP 伺服器發送身份信息；所述ASN，用於根據終端的AID及IDP伺服器的AID實現所述終端與IDP伺服器之間的身份服務請求及身份服務響應的路由轉發；具體的路由轉發方法根據標識網的具體網絡機制確定，本發明在此不作具體闡述。
所述IDP伺服器，具有表示標識網內身份的AID，用於接收所述ASN轉發的身份服務請求，以及驗證所述終端發送的身份信息，還用於向所述ASN發送身份服務響應，其中攜帶所述終端的AID及驗證結果信息。所述終端已知所屬的IDP的情況下，所述終端發送的身份服務請求中還攜帶所述 IDP伺服器的AID。進一步地，該系統還包括監管中心(IDM)，所述IDM用於管理所述IDP伺服器與所屬終端的對應關係；與所述終端未知所屬的IDP伺服器的情況下，所述ASN還用於根據身份服務請求中所述終端的AID向所述IDM查詢為所述終端提供身份服務的IDP伺服器，獲得所述IDP伺服器的AID。本發明所說的身份服務包括身份認證、身份信息查詢、身份信息修改、身份信息註冊和身份信息撤銷中的任一種或多種。進一步地，本發明系統還包括業務伺服器，用於在所述終端提出業務請求時，向所述IDP伺服器發送身份認證請求，其中攜帶所述終端的AID;以及接收所述IDP伺服器發送的身份認證響應，其中攜帶所述終端的AID及所述終端的身份認證結果，還用於根據所述終端的身份認證結果決定是否對所述終端的業務請求授權；所述IDP伺服器根據所述終端的AID決定是否向所述終端發起認證挑戰。具體地，所述IDP伺服器檢查是否已有所述終端的身份認證結果信息，如果有，則直接根據所述身份認證結果信息向所述業務伺服器發送身份認證響應，否則向所述終端發起認證挑戰。所述終端根據所述IDP伺服器發送的登錄指示或所述IDP伺服器發出的認證挑戰向所述IDP伺服器發送身份信息。本發明身份管理方法基於標識網實現，終端及身份管理(IDP)伺服器具有表示標識網內身份的身份標識(AID)，所述終端發起身份服務流程時，所述標識網的接入服務節點 (ASN)利用終端和IDP伺服器的AID將終端的身份服務請求發送給所述IDP伺服器，所述 IDP伺服器根據所述身份服務請求實現對所述終端的身份管理。本發明所述的基於標識網技術的身份管理系統架構中，有效合法存續期間的終端用戶的身份標識AID始終保持不變。終端用戶接入網絡時，需向IDP伺服器申請身份認證服務。IDP對用戶身份的鑑權方法根據不同的網絡體制採用不同的方法，可以是對用戶接入標識AID直接鑑權，也可以是對網絡中標識用戶的其他類型的用戶識別(例如國際移動用戶識別IMSI、網絡用戶識別NAI等)進行鑑權。用戶通過了 IDP伺服器的認證，才能進入 ASN的合法用戶列表中，才可以訪問網絡資源。除了身份認證服務，用戶也可向IDP申請其他身份服務，如查詢、修改、註冊和撤銷身份信息等服務。所述IDP伺服器對所述終端進行身份管理的流程包括所述IDP伺服器向所述終端發送登錄指示，所述終端輸入身份信息，所述IDP伺服器根據所述終端輸入的身份信息進行身份驗證；所述IDP伺服器通過所述ASN向所述終端發送身份服務響應，其中攜帶驗證結果。應用實例1 所述終端已知所屬的IDP的情況下，所述終端和IDP伺服器的AID由所述終端在發送身份服務請求時提供給所述ASN。終端申請身份服務的業務流程如圖4所示，包括(401)終端M向ASN請求身份服務，並提供終端的身份標識AIDm和IDP伺服器的身份標識AIDn ；(402) ASN向IDP伺服器請求相應的身份服務。003) IDP伺服器向終端M發送登陸指示，讓終端M輸入帳號和密碼，以及其它身份信息，以進行驗證。(404)終端M輸入帳號和密碼，以及其它身份信息。(405) IDP伺服器驗證通過後，向ASN發送驗證通過(拒絕)的指令。(406) ASN向終端M提供請求的服務。所述終端未知所屬的IDP伺服器的情況下，所述終端的AID由所述終端在發送身份服務請求時提供給所述ASN，所述ASN向監管中心(IDM)查詢為所述終端提供身份服務的 IDP伺服器，獲得所述IDP的AID。終端申請身份服務的業務流程如圖5所示，包括(501)終端M向ASN請求身份服務，並提供終端的身份標識AIDm。(502)ASN請求IDM監管中心查找為終端M提供身份服務的IDP，得出IDP伺服器的身份標識AIDn。(503) IDM監管中心將IDP伺服器的標識AIDn發給ASN。(504) ASN根據標識AIDn，向IDP伺服器請求相應的身份服務。(505) IDP伺服器向終端M發送登陸指示，讓終端M輸入帳號和密碼，以及其它登錄信息，以進行驗證。(506)終端M輸入帳號和密碼，以及其它登錄信息。(507) IDP伺服器驗證通過後，向ASN發送驗證通過(拒絕)的指令。(508) ASN向終端M提供請求的服務。本發明所述的身份管理系統架構還可實現單點登錄功能，即終端在通過了 IDP的身份認證後，在終端身份有效合法存續期間，終端無需再登錄網絡即可訪問多種業務。所述終端向所述業務伺服器提出業務請求時，所述身份管理方法還包括所述業務伺服器發起身份認證流程，該身份認證流程包括(a)所述業務伺服器向所述IDP發送身份認證請求，其中攜帶所述終端的AID ；(b)所述IDP伺服器根據所述終端的AID檢查所述終端是否已經通過驗證，如已通過驗證則執行步驟(e)，否則向所述終端發出認證挑戰；(c)所述終端向所述IDP發送所述終端的身份信息；(d)所述IDP伺服器對所述身份信息進行驗證；(e)所述IDP伺服器向所述業務伺服器發送身份認證響應，其中攜帶所述終端的 AID及所述終端的身份認證結果；(f)所述業務伺服器根據所述終端的身份認證結果決定是否對所述終端的業務請求授權。應用實例3以下給出終端向3個業務伺服器請求業務的應用實例，具體流程如圖6所示，包括(601)終端向業務C(如IPTV業務)的業務伺服器提出業務請求，攜帶的參數有終端的身份標識AID;(602)業務C的業務伺服器向IDP伺服器請求身份認證服務，攜帶的參數有終端的身份標識AID;(603) IDP伺服器向終端發出認證挑戰；(604)終端向IDP伺服器請求認證，攜帶參數有終端的身份標識AID、密碼、信任狀等身份信息；(605) IDP伺服器對認證參數進行驗證；(606) IDP伺服器向業務C的業務伺服器反饋終端的認證結果，攜帶參數有終端的身份標識AID;(607)業務C的業務伺服器根據IDP伺服器的認證結果，決定對終端的業務請求是否授權；(608)如果授權，則建立終端到業務C的業務伺服器的接入鏈路；(609)開始終端和業務C的業務伺服器間的會話，或者說業務C伺服器開始給終端提供業務。(610)終端又請求業務B (如數據業務)，終端向業務B的業務伺服器提出業務請求，攜帶的參數有終端的身份標識AID ；(612)業務B的業務伺服器向IDP伺服器請求身份認證服務，攜帶的參數有終端的身份標識AID;(613) IDP伺服器檢查終端的AID，是否已經經過了驗證；(614) IDP伺服器向業務B的業務伺服器反饋終端用戶的認證結果，攜帶參數有終端的身份標識AID;(615)業務B的業務伺服器根據IDP伺服器的驗證結果，決定對終端的業務請求是否授權；(616)如果授權，則建立終端到業務B的業務伺服器的接入鏈路；(617)開始終端和業務B的業務伺服器間的會話，或者說業務B的業務伺服器開始給終端提供業務；(618)終端又請求業務A (如VOIP業務)，終端向業務A的業務伺服器提出業務請求，攜帶的參數有終端的身份標識AID ；(619)業務A的業務伺服器向IDP伺服器請求身份認證服務，攜帶的參數有終端的身份標識AID;(620) IDP伺服器檢查終端的AID，是否已經經過了驗證；(621) IDP伺服器向業務A的業務伺服器反饋終端用戶的認證結果，攜帶參數有終端的身份標識AID;(622)業務A的業務伺服器根據IDP伺服器的驗證結果，建立終端到業務A的業務伺服器的接入鏈路；(623)開始終端和業務A的業務伺服器間的會話，或者說業務A的業務伺服器開始給終端提供業務。首先，現有身份管理系統中，用戶標識沒有統一的形式，可以是用戶自己取的用戶名、email地址或手機號碼等，不同的身份管理系統，用戶標識的形式不一樣，因此，本發明方法和系統統一採用表示身份的AID做為標識，可以簡化身份管理系統的管理。其次，現有身份管理系統中的IDP標識是基於URL和DNS域名服務系統的，最終控制權在美國，採用 AID對IDP進行標識，可以保證國家信息安全。第三，現有身份管理系統的用戶標識和IDP 標識不能用於網際網路上尋址，而本發明AID可採用IPv4/IPv6形式，即IDP的標識採用AID 編碼的話，可直接用於網際網路尋址。
權利要求
1.一種身份管理方法，其特徵在於，該方法基於標識網實現，終端及身份管理(IDP)伺服器具有表示標識網內身份的身份標識(AID)，所述終端發起身份服務流程時，所述標識網的接入服務節點(ASN)利用終端和IDP伺服器的AID將終端的身份服務請求發送給所述 IDP伺服器，所述IDP伺服器根據所述身份服務請求實現對所述終端的身份管理。
2.如權利要求1所述的方法，其特徵在於所述終端已知所屬的IDP的情況下，所述終端和IDP伺服器的AID由所述終端在發送身份服務請求時，提供給所述ASN。
3.如權利要求1所述的方法，其特徵在於所述終端未知所屬的IDP伺服器的情況下， 所述終端的AID由所述終端在發送身份服務請求時提供給所述ASN，所述ASN向監管中心 (IDM)查詢為所述終端提供身份服務的IDP伺服器，獲得所述IDP伺服器的身份標識。
4.如權利要求1、2或3所述的方法，其特徵在於所述IDP伺服器對所述終端進行身份管理的流程包括所述IDP伺服器向所述終端發送登錄指示，所述終端輸入身份信息，所述IDP伺服器根據所述終端輸入的身份信息進行身份驗證；所述IDP伺服器通過所述ASN向所述終端發送身份服務響應，其中攜帶驗證結果。
5.如權利要求1所述的方法，其特徵在於所述身份服務包括身份認證、身份信息查詢、身份信息修改、身份信息註冊和身份信息撤銷中的任一種或多種。
6.如權利要求1所述的方法，其特徵在於所述終端向所述業務伺服器提出業務請求時，所述身份管理方法還包括所述業務伺服器發起身份認證流程，該身份認證流程包括(a)所述業務伺服器向所述IDP發送身份認證請求，其中攜帶所述終端的AID；(b)所述IDP伺服器根據所述終端的AID檢查所述終端是否已經通過驗證，如已通過驗證則執行步驟(e)，否則向所述終端發出認證挑戰；(c)所述終端向所述IDP發送所述終端的身份信息；(d)所述IDP伺服器對所述身份信息進行驗證；(e)所述IDP伺服器向所述業務伺服器發送身份認證響應，其中攜帶所述終端的AID及所述終端的身份認證結果；(f)所述業務伺服器根據所述終端的身份認證結果決定是否對所述終端的業務請求授權。
7.一種身份管理系統，其特徵在於，該系統基於標識網實現，包括終端及身份管理 (IDP)伺服器，其中所述終端，具有表示標識網內身份的身份標識(AID)，用於通過ASN向所述IDP伺服器發送身份服務請求，其中所述身份服務請求中攜帶所述終端的AID ；還用於向所述IDP伺服器發送身份信息；所述ASN，用於根據終端的AID及IDP伺服器的AID實現所述終端與IDP伺服器之間的身份服務請求及身份服務響應的路由轉發；所述IDP伺服器，具有表示標識網內身份的AID，用於接收所述ASN轉發的身份服務請求，以及驗證所述終端發送的身份信息，還用於向所述ASN發送身份服務響應，其中攜帶所述終端的AID及驗證結果信息。
8.如權利要求7所述的系統，其特徵在於所述終端已知所屬的IDP的情況下，所述終端發送的身份服務請求中還攜帶所述IDP伺服器的AID。
9.如權利要求7所述的系統，其特徵在於該系統還包括監管中心(IDM)，所述IDM用於管理所述IDP伺服器與所屬終端的對應關係；與所述終端未知所屬的IDP伺服器的情況下，所述ASN還用於根據身份服務請求中所述終端的AID向所述IDM查詢為所述終端提供身份服務的IDP伺服器，獲得所述IDP伺服器的身份標識。
10.如權利要求7所述的系統，其特徵在於所述身份服務包括身份認證、身份信息查詢、身份信息修改、身份信息註冊或身份信息撤銷中的任一種或多種。
11.如權利要求7所述的系統，其特徵在於，所述系統還包括業務伺服器，用於在所述終端提出業務請求時，向所述IDP伺服器發送身份認證請求，其中攜帶所述終端的AID ；以及接收所述IDP伺服器發送的身份認證響應，其中攜帶所述終端的AID及所述終端的身份認證結果，還用於根據所述終端的身份認證結果決定是否對所述終端的業務請求授權；所述IDP伺服器根據所述終端的AID決定是否向所述終端發起認證挑戰。
12.如權利要求11所述的系統，其特徵在於所述IDP伺服器檢查是否已有所述終端的身份認證結果信息，如果有，則直接根據所述身份認證結果信息向所述業務伺服器發送身份認證響應，否則向所述終端發起認證挑戰。
13.如權利要求7所述的系統，其特徵在於所述終端根據所述IDP伺服器發送的登錄指示或所述IDP伺服器發出的認證挑戰向所述IDP伺服器發送身份信息。
全文摘要
本發明公開了一種身份管理方法和系統以簡化身份管理。所述身份管理方法基於標識網實現，終端及身份管理(IDP)伺服器具有表示標識網內身份的身份標識(AID)，所述終端發起身份服務流程時，所述標識網的接入服務節點(ASN)利用終端和IDP伺服器的AID將終端的身份服務請求發送給所述IDP伺服器，所述IDP伺服器根據所述身份服務請求實現對所述終端的身份管理。本發明方法和系統基於標識網實現，統一採用表示身份的AID作為身份管理的標識，可以簡化身份管理系統的管理。
文檔編號H04L9/32GK102238148SQ201010165120
公開日2011年11月9日 申請日期2010年4月22日 優先權日2010年4月22日
發明者孫翼舟, 江華, 黃兵 申請人:中興通訊股份有限公司