一種身份安全認證的系統、裝置及方法

2023-06-03 02:37:01 1

專利名稱：一種身份安全認證的系統、裝置及方法
技術領域：
本發明涉及在網絡中進行身份認證技術，特別涉及一種身份安全認證的 系統、裝置及方法。
背景技術：
隨著電信網絡和網際網路應用的普及，越來越多的用戶開始通過網絡接 受服務。在通過網絡接受服務時，需要進行身份認證，目前提供服務的網絡 大多採用用戶名和口令的方式來識別用戶身份，這就需要用戶經常性地輸入
自己的用戶名和口令。這種身份認證方式存在著弊端 一方面，隨著用戶接 受不同網絡提供不同服務的增多，用戶在進行不同網絡認證時，需要輸入不 同的口令，這給用戶造成不必要的煩瑣過程和記憶上的困難；另一方面，用 戶經常性地在網絡中輸入用戶名和口令，這會相應增加口令被惡意破解的機 率，即增加用戶的隱私信息洩漏的機率。
為了克服上述缺陷，在網絡中提出了對用戶身份進行管理的技術。身份 管理就是對身份、對為用戶提供服務實體的認證處理和一定範圍內對該實體 認證相關信息所進行的安全管理。為用戶提供服務的實體可以是任何在網絡 中被唯一識別的事物、人、動物、設備、對象、組、組織和信息對象等。為 用戶提供服務的實體在不同的應用範圍內可能具有多個身份。認證過程的範 圍可以是在網絡中設定的 一個組織內，也可以是跨越網絡中設定的多個組 織。
由於與身份相關的信息是在網絡認證過程中隨時間發生變化的，因此， 必須對身份相關的信息進行管理。為用戶提供服務實體的有些信息為非正式 的且變化比較頻繁，有些為正式的且具體，比如說用戶，基於政治的組織角色以及財務帳戶通常是穩定的。身份的屬性通常會安全地存儲於網絡中的令 牌、目錄、訪問設備或者是網絡中的資料庫管理系統中。
身份認證管理技術包含的任務是在安全和信息域裡鞏固、管理和交換為 用戶提供服務的實體信息。在網絡中建立身份認證管理構架可以使業務提供
者(SP， Service Provider)在網絡中通過使用授權、認證、接入控制機制和 策略管理機制為用戶提供可靠、可信和安全的業務。
目前，在網絡中建立的用戶身份認證管理架構如圖l所示，包括開放 標識伺服器(OpenID Server)、統一資源定位格式(URL, Uniform Resource Locator )站點、用戶代理(User Agent)和用戶(Consumer )認證管理模塊。 其中，User Agent位於網絡中的用戶側，OpenID Server、 URL站點和Consumer 認證管理模塊位於網絡中的網絡側。在OpenID Server中，存儲用戶對應的 URL,可以採用加密的方式存儲用戶對應的URL。整個身份認證過程就是 確認一個用戶具有一個URL的過程。具體流程為
第 一步驟，User Agent向URL站點標識自身的認證(Identity ) URL, 即User Agent在URL站點所設定的網頁中加入OpenID Server的地址信息。
第二步驟，User Agent向認證管理模塊Consumer提交聲明的Identity (Claimed Identity ),攜帶有Identity URL和聲明Identity伺服器，在進行 身份認證之前稱為聲明的Identity,這是因為可能是User Agent聲明的假身 份。
第三步驟，Consumer認證管理模塊為了驗證User Agent提交聲明的 Identity,到該聲明的Identity攜帶的聲明Identity伺服器，即URL站點獲取 到User Agent的Identity URL。
第四步驟，Consumer認證管理模塊比較得到所獲取到的Identity URL 和該聲明的Identity攜帶的dentity URL相同後，與OpenID Server建立聯繫， 獲得共享密鑰(建立聯繫的這個步驟可選)，交換用戶的Identity URL和用 戶的URL,在交換時，由於用戶的URL可能加密存儲在OpenID Server中， 所以可以用密鑰解密得到用戶的URL。第五步驟，Consumer認證管理模塊向User Agent確認身份，攜帶User Agent要重定向到的OpenID Server以及用戶的URL。
第六步驟，User Agent通過cookie或其他認證機制登錄到OpenID Server,登錄時輸入用戶的URL。
第七步驟，OpenID Server對User Agent進行認證後，發送響應信息給 User Agent，攜帶重定向回Consumer認證管理模塊的信息。
OpenID Server對User Agent進行認證時，比較自己存儲的用戶的URL (如果是加密存儲，可以解密後得到用戶的URL)和User Agent登錄時輸 入的URL相比較，如果相同，認證通過。
第八步驟，User Agent將響應消息發送給Consumer認證管理模塊。
這樣，就完成了對User Agent的身份認證，User Agent可以在網絡中進 行相關業務的請求，網絡側可以對用戶請求的業務進行處理。在圖l所示的 架構中，OpenID Server和URL站點在同一個伺服器上或完全分離。
圖1所示的架構是採用URL對用戶的身份進行認證的，所以只適用於 網際網路，不適用於移動網。另外，對用戶身份認證的手段單一，只能採用 URL對用戶身份認證。
圖1所示的架構在認證用戶身份時，無法滿足對用戶身份隱私性保護的 需求。網絡側對所存儲用戶身份信息的隱私保護，是通過加密用戶身份信息 方式來實現，但是這種方式帶來效率低下和複雜密鑰管理等問題，且保護用 戶身份信息隱私的安全性不高。另外，在認證用戶身份時，還是採用用戶真 實的URL認證，這會降低用戶身份認證的安全性。

發明內容
本發明實施例提供 一 種身份安全認證的系統，該系統不僅能夠提高用戶 身份認證的安全性，而且有效地保護用戶身份信息的隱私。
本發明實施例還提供一種身份安全認證的裝置，該裝置不僅能夠提高用 戶身份認證的安全性，而且有效地保護用戶身份信息的隱私。本發明實施例提供一種身份安全認證的方法，該方法不僅能夠提高身份 認證的安全性，而且有效地保護用戶身份信息的隱私。
根據上述目的，本發明實施例的技術方案是這樣實現的
一種身份安全認證的系統，包括身份認證中心、用戶身份認證中心和業 務處理單元，其中，
所述身份認證中心，用於為用戶身份認證中心分配用戶身份認證中心標 識，為業務處理單元分配標識；
所述用戶身份認證中心，用於對用戶註冊，分配唯一標識用戶的用戶虛 擬身份，發送該用戶虛擬身份和所述用戶身份認證中心標識給所述用戶；
所述業務處理單元，用於接收業務處理請求，根據該請求攜帶的虛擬身 份標識和用戶身份認證中心標識對用戶認證，處理該業務請求。
一種身份安全認證的方法，該方法包括
用戶身份認證中心對用戶註冊，為用戶分配唯一標識用戶的用戶虛擬標
識；
接收用戶發送的業務請求，根據該請求攜帶的用戶身份認證中心標識和 該用戶虛擬標識處理該業務請求。
一種控制用戶身份認證的裝置，包括用戶身份認證中心單元、業務處理 控制單元和身份認證管理單元，其中，
用戶身份認證中心單元，用於為用戶身份認證中心分配標識，管理和認 證用戶身份認證中心，設置用戶身份認證中心的交互策略；
業務處理控制單元，用於為提供業務處理的實體分配標識，管理和認證 提供業務處理的實體，對提供業務處理的實體進行認證，設置提供業務處理 的實體的交互策略；
所述身份認證管理單元，用於控制用戶身份認證中心單元和業務處理控 制單元之間的交互。
從上述方案可以看出，本發明實施例在網絡中設置對用戶的不同業務類 型認證的用戶身份認證中心，且通過身份認證中心控制管理用戶身份認證中心和處理不同類型業務的業務處理單元，不同類型業務的業務請求釆用對應 的用戶身份信息認證。因此，本發明實施例由於可以按照業務類型分別存儲 用戶身份信息，所以有效地保護用戶身份信息的隱私。另夕卜，在用戶註冊後，
用戶身份認證中心為用戶分配唯一標識用戶的虛擬身份標識(UVID， User Virtual Identity),用戶直接採用該UVID向業務處理單元發送業務請求， 業務處理單元根據該UVID認證後，處理該業務請求。因此，本發明實施例 由於在發起不同類型業務的業務請求時，攜帶的為UVID,所以不僅提高用難。


圖1為現有技術在網絡中建立的用戶身份認證管理架構示意圖； 圖2為本發明實施例在網絡中建立的用戶身份認證管理架構示意圖； 圖3為本發明實施例在網絡中進行用戶身份認證的方法流程圖； 圖4為本發明實施例SP處理業務請求的方法流程圖； 圖5為本發明實施例的控制用戶身份認證的裝置示意圖。
具體實施例方式
為使本發明的目的、技術方案和優點更加清楚，下面結合附圖對本發明 實施例作進一步的詳細描述。
本發明實施例在網絡中建立用戶身份認證管理架構，該架構可以按照業 務類型分別管理一個用戶的不同用戶身份信息，有效地保護用戶身份信息的 隱私；在進行業務處理前的認證時，採用分配的用戶虛擬身份UVID認證， 提高用戶身份認證的效率和安全性。
圖2為本發明實施例在網絡中建立的用戶身份認證管理架構示意圖，包 括用戶身份認證中心(UIAC, User Identity Authentication Center )、身份 認證中心(IDAC, Identity Authentication Center )和業務處理單元，其中，UIAC，用於對用戶註冊，分配唯一標識用戶的UVID，發送UVID和所 述UIAC標識給所述用戶；
業務處理單元，用於接收業務處理請求，根據該請求攜帶的UVID和 UIAC標識對用戶認證，處理該業務請求；
IDAC,用於管理UIAC,分配UIAC標識，管理業務處理單元，分配業 務處理單元標識。
在本發明實施例中，該管理架構還包括用戶，用於向UIAC註冊，接收 UIAC發送的UVID和UIAC標識；向業務處理單元發送攜帶UVID和UIAC 標識的業務請求。
在本實施例中，UIAC可以具有多個，分別存儲用戶的不同類型業務的 用戶身份信息，分別針對用戶不同類型業務的用戶身份信息，對用戶認證。
多個UIAC之間直接進行交互，在一個UIAC第一次對用戶註冊時給用 戶分配UVID後，其他UIAC再對用戶針對其他類型業務的身份信息註冊時， 不給用戶分配UVID,其他UIAC進行交互獲知已經給用戶分配了 UVID, 且將該UVID和存儲的相類型業務的用戶身份信息相關聯。
在本實施例中，業務處理單元為SP，當然，也可以包括網絡和/或網絡 中的設備。
在本實施例中，業務處理單元的身份信息以及權限級別可以存儲在 IDAC中，用於直接對業務處理單元進行認證，或提供給相應的UIAC。
在ID AC中，具體包括用戶身份認證中心單元(UIACU, User Identity
Authentication Center Unit)，用於對至少 一 個UIAC進行控制管理；網絡身
份管理單元(NIDU， Network Identity Unit)，用於對網絡身份信息進行控
制管理；設備身份管理單元(DIDU, Device Identity Unit)，用於對網絡中
的設備身份信息進行管理控制；業務提供者身份管理單元(SPIDU, Service
Provider Identity Unit),用於對業務提供者身份信息進行管理控制；身份認
證管理單元(IDAMU， Identity Authentication Manage Unit)，用於控制實
現UIACU、 NIDU、 DIDU 、 SPIDU分別和ID AMU之間的信息交互。在本實施例中，UIACU可以具有多個，分別對應控制管理不同的UIAC。 相應地，NIDU也可以具有多個，DIDU也可以具有多個，分別管理控制存 儲不同設備身份信息的不同設備；SPIDU也可以具有多個，分別管理控制存 儲不同SP身份信息的SP。
在本實施例中，IDAC也可以只包括SPIDU。
在本實施例中，NIDU、 DIDU和SPIDU可以統稱為業務處理控制單元， 當IDAC只包括SPIDU時，該業務處理控制單元可以只包括SPIDU。 以下對圖2中的各個功能模塊進行詳細敘述。
IDAC是網絡中最高權威認證管理單元，直接管理控制各個業務處理單 元以及各個UIAC，用戶通過UIAC可以與IDAC進行交互。
IDAC提供的功能為可以認證SP身份、網絡身份、設備身份以及UIAC 身份；能夠存儲並管理SP身份信息、網絡身份信息、設備身份信息以及UIAC 身份信息，存儲時可以集中存儲或分別存儲在不同的相應單元中，存儲的形 式可以是身份信息列表，也可以直接存儲到不同的相應單元中；能夠實現不 同身份信息的交互，如將管理的SP列表發送給UIAC，實現業務處理單元 和UIAC之間的信息交互。
UIAC， 一般可以按照業務類型劃分，這使得用戶身份信息可以按照業
務類型分別存儲在不同的UIAC中，對應的唯一標識用戶的UVID也可以存
儲在不同的UIAC中。也就是說，每個UIAC中存儲的為用戶部分身份信息，
因此可以很好保護用戶身份信息的隱私。每個UIAC都有 一個標識，由IDAC
中的UIACU對UIAC認證並分配。UIAC中存儲有能夠提供該業務類型的
業務處理單元列表，如SP列表，該列表可以從IDAC中獲得或直接與SP
交互，從SP獲取到。UIAC可以和用戶之間按照設定的認證方法對用戶的
註冊進行認證，如可以採用AKA， PKI等認證方法，也可以4艮據用戶業務
類型要求的安全級別來確定認證方法，進行認證。當認證通過後，UIAC給
該用戶分配一個唯一的UVID以及有效期，且與存儲的SP列表相關聯，該
有效期一般按照業務類型的安全等級來設定，業務類型的安全等級越高，UVID的有效期越短。為用戶提供其他類型業務服務的UIAC可以與為用戶 認證過的UIAC中獲取到該UIAC為該用戶分配的UVID。當用戶下次再到 另一個UIAC中註冊時，註冊成功後存儲對應業務類型的用戶身份信息到該 UIAC中，該UIAC不用再次為用戶分配UVID。當UVID的有效期滿時或 者用戶身份信息變更時，用戶可以向當前UIAC申請更新UVID或者更新自 己的身份信息。當用戶在註冊後，需要申請業務時，可以向處理該類型業務 的業務處理單元發送攜帶UVID和UIAC標識的業務請求，由業務處理單元 處理該業務請求。
在本實施例中，UIAC可以獲取用戶身份信息模塊和發送用戶身份信息 模塊，其中，所述獲取用戶身份信息模塊；用於獲取用戶身份信息，所述發 送用戶身份信息模塊，用於將用戶身份信息發送給對應的業務處理單元。
SP，用SP標識進行識別，即SPID由IDAC中的SPIDU分配，SP可以 存儲SP身份信息以及SP列表，並且按照SP可以提供的業務類型將SP身 份分類且與UVID和UIAC標識相關聯，將SP列表在發送給對應的UIAC。 接收到業務請求的SP可以對該業務請求攜帶的UVID和UIAC標識進行認 證，查詢並獲取需要申請業務的用戶身份信息。如果該SP具備本地資料庫， 且具有下載用戶身份信息的權限級別，該權限級別可以由IDAC中的SPIDU 根據SP的級別進行分配，能夠直接從UIAC中獲取用戶身份信息並加密保 存到本地，還可以對用戶身份信息進行定期更新。另外，UIAC也可以直接 和對應的SP進行關聯，保證SP中的用戶身份信息為用戶的最新身份信息。
UIACU，用於處理與UIAC相關的業務，如對UIAC進行認證和分配 UIAC標識，向UIAC發送業務處理單元列表等，位於IDAC中，是IDAC 管理和控制UIAC的一個邏輯模塊。
NIDU，用於處理與網絡相關的業務，如認證網絡身份、存儲並管理網 絡身份信息等，是IDAC管理和控制網絡的 一 個邏輯模塊。
DIDU,用於處理與網絡中設備相關的業務，如認證設備身份、存儲並 管理設備身份信息等，是IDAC管理和控制網絡中設備的 一個邏輯模塊。SPIDU,用於處理與業務提供者單元相關的業務，如認證SP身份、存 儲並管理SP身份信息等，是IDAC管理和控制業務提供者單元的一個邏輯 模塊。
IDAMU，用於對UIACU、 NIDU、 DIDU和SPIDU之間的信息交互進 行控制，是IDAC統一管理UIACU、 NIDU、 DIDU和SPIDU的一個邏輯模 塊。
本發明實施例還提供一種在網絡中進行用戶身份認證的方法，如圖3所 示，其具體步驟為
步驟300、 UIAC接收到用戶註冊，對用戶進行認證。 認證方法可以採用現有的AKA和PKI，或者獲取用戶註冊的業務類型，
根據設定的業務類型安全級別對應的認證方法進行認證。
在本步驟中，用戶發起業務註冊時，到處理該業務類型的UIAC進行認
證，也就是該UIAC存儲有對應該業務類型的用戶身份信息，這不是用戶全
部的身份信息，便於保護用戶身份信息的隱私。
步驟301、用戶通過認證後，UIAC判斷該用戶是否已經分配了 UVID,
如果是，執行步驟302;如果否，執行步驟303。
在本實施例中，有幾種方式可以判斷該用戶是否已經被分配了 UVID。 第一種方式，UIAC可以訪問為用戶分配了 UVID的UIAC，確定該用
戶的用戶身份信息是否關聯有UVID，如果是，則確定該用戶已經分配了
UVID;
第二種方式，在該用戶被分配了 UVID時，由為該用戶分配UVID的 UIAC通過IDAC確定對該用戶的其他部分用戶身份信息進行管理的UIAC, 直接將該UVID發送給對該用戶的其他部分用戶身份信息進行管理的 UIAC,對該用戶的其他部分用戶身份信息進行管理的UIAC將接收到的 UVID與所存儲的該用戶部分的身份信息進行關聯，從而可以確定出該用戶 是否分配了 UVID。
步驟302、 UIAC向該用戶返回註冊通過消息，攜帶已經為用戶分配的UVID和UIAC標識，轉入步驟304。
步驟3G3、 UIAC給該用戶分配UVID後，向該用戶返回註冊通過消息， 攜帶UVID和UIAC標識，轉入步驟304。
在給該用戶分配UVID後，可以將該UVID直接將該UVID發送給管理 用戶其他部分身份信息的UIAC。
步驟304、用戶接收到註冊通過消息後，向業務處理單元發送攜帶UIAC 標識和UVID的業務請求，業務處理單元接收到該業務請求後，處理該業務 請求。
在本實施例中，為用戶分配的UVID還可以具有有效期限，在步驟301 中，還可以進一步判斷為用戶分配的UVID的有效期限是否到達，如果是， 則直接執行303，否則，執行步驟302。
以下以業務處理單元是SP為例詳細介紹業務處理單元接收到業務請求 時，如何進行處理的過程。
圖4為本發明實施例SP處理業務請求的方法流程圖，其具體步驟為
步驟401、 SP接收到用戶發送的業務請求，該請求包含用戶的UVID和 UIAC標識。
步驟402、 SP對該業務請求進行認證，認證通過後，執行步驟403。 進行認證的過程有兩種方式
一種方式，SP擁有本地資料庫且下載用戶身份信息的權限級別，這時， SP存儲有UVID和UIAC標識對應的所服務用戶的身份信息(該身份信息 從UIAC獲取)，直接進行認證，認證採用的方法可以為現有4支術。
第二種方式，SP沒有存儲UVID和UIAC標識對應的用戶身份信息， 則向具有該業務請求攜帶UIAC標識的UIAC發送攜帶包含SP標識和UVID 的用戶身份信息查詢請求，UIAC判斷所存儲的業務處理單元列表中是否有 該SP標識對應的SP且該SP是否有權限獲得用戶的身份信息，如果是，則 發送用戶的身份信息給SP(在發送時，可以釆用加密手段保護用戶身份信 息的安全傳送)，SP根據獲得的用戶身份信息進行認證；否則，則給SP返回認證失敗消息，此次認證失敗。
採用這兩種方式的情況不同，當SP接收到用戶發送的業務請求後，會
判斷是否存儲有該UVID和該UIAC對應的用戶身份信息，如果是，採用第 一種方式進行；如果否，則有三種可能，第一種可能是SP第一次處理該用 戶的業務請求，另 一種是SP沒有本地資料庫且有下載用戶身份信息的權限， 再一種是SP沒有下載用戶身份信息的權限級別，這時都可以採用第二種方 式進行。
步驟403、 SP向用戶發送用戶認證成功信息，執行該業務請求。
在本發明實施例中，用戶還可以對存儲在UIAC中的用戶身份信息進行 更新，即發送攜帶用戶更新後身份信息的更新身份信息請求給UIAC, UIAC 更新存儲的用戶身份信息，且對應於用戶UVID將更新的身份信息發送給 IDAC，以便IDAC中相應的UIACU管理，或直接提供給業務處理單元在處 理業務請求時進行認證。
本發明實施例還提供一種控制用戶身份認證的裝置，如圖5所示，該裝 置包括UIACU、業務處理控制單元和IDAMU,其中，
所述UIACU,用於為UIACU分配標識，管理和認證UIACU，設置 UIACU的交互策略；
所述業務處理控制單元，用於為提供業務處理的實體分配標識，管理和 認證提供業務處理的實體，對提供業務處理的實體進行認證，設置提供業務 處理的實體的交互策略；
所述IDAMU,用於控制用戶身份認證中心單元和業務處理控制單元之 間的交互。
在本實施例中，提供業務處理的實體可以為SP,也可以為提供業務服 務的網絡或設備。當然，提供業務處理的實體最好為SP。
在本實施例中，業務處理控制單元可以只包括SPIDU,也可以包括 SPIDU、 NIDU或/和DIDU,其中，
NIDU,用於對網絡身份信息進行控制和管理，為網絡分配標識，為網絡設置信息交互策略；
DIDU, Device Identity Unit,用於對網絡中的i殳備身份信息進行管理控 制，為設備分配標識，為設備設置信息交互策略；
SPIDU, Service Provider Identity Unit,用於對SP身份信息進行管理和 控制，為SP分配標識，為SP設置信息交互策略；
ID AMU, Identity Authentication Center Unit,用於控制實現UIACU、 NIDU、 DIDU 、 SPIDU分別和IDAMU之間的信息交互。
在本實施例中，NIDU、 DIDU和SPIDU可以稱為業務處理控制單元， 分別對不同的業務處理單元進行處理。當然，當業務處理單元僅僅包括SP 時，業務處理控制單元也包括SPIDU。
在本實施例中，網絡實際上可以為提供業務服務的網絡，如英特網絡或 下一代網絡，還可以為區域網等。
從上述方案可以看出，本發明實施例提供的系統、方法及裝置可以帶來 如下的技術效果
UIAC和用戶之間的認證方法可以協商，所以圖2所示的系統可以適用 於各種網絡環境，即對各種網絡環境下的用戶身份信息進行安全管理和保 護；
UIAC為用戶分配唯一標識用戶的UVID,用戶不需要再記憶多個接入 不同業務處理單元的口令，不會給用戶造成不必要的煩瑣過程和記憶上的困 難；
用戶的身份信息按照業務類型在不同的UIAC中存儲，即分布式存儲用 戶的身份信息，更有效地保證了用戶身份信息的隱私；
用戶能夠方便地管理自己的身份信息，例如信息的更新，為自己的信息 設定訪問權限等。
以上是對本發明具體實施例的說明，在具體的實施過程中可對本發明的 方法進行適當的改進，以適應具體情況的具體需要。因此可以理解，根據本 發明的具體實施方式
只是起示範作用，並不用以限制本發明的保護範圍。
權利要求
1、一種身份安全認證的系統，其特徵在於，包括身份認證中心、用戶身份認證中心和業務處理單元，其中，所述身份認證中心，用於為用戶身份認證中心分配用戶身份認證中心標識，為業務處理單元分配標識；所述用戶身份認證中心，用於對用戶註冊，分配唯一標識用戶的用戶虛擬身份，發送該用戶虛擬身份和所述用戶身份認證中心標識給所述用戶；所述業務處理單元，用於接收業務處理請求，根據該請求攜帶的虛擬身份標識和用戶身份認證中心標識對用戶認證，處理該業務請求。
1、 一種身份安全認證的系統，其特徵在於，包括身份認證中心、用戶 身份認證中心和業務處理單元，其中，所述身份認證中心，用於為用戶身份認證中心分配用戶身份認證中心標識，為業務處理單元分配標識；所述用戶身份認證中心，用於對用戶註冊，分配唯一標識用戶的用戶虛 擬身份，發送該用戶虛擬身份和所述用戶身份認證中心標識給所述用戶；所述業務處理單元，用於接收業務處理請求，根據該請求攜帶的虛擬身 份標識和用戶身份認證中心標識對用戶認證，處理該業務請求。
2、 如權利要求l所述的系統，其特徵在於，包括至少一個用戶身份認 證中心，所述用戶身份認證中心用於對用戶不同類型業務分別進行註冊。
3、 如權利要求l所述的系統，其特徵在於，所述用戶身份認證中心包 括獲取用戶身份信息模塊和發送用戶身份信息模塊，其中，所述獲取用戶身份信息模塊，用於獲取用戶身份信息， 所述發送用戶身份信息模塊，用於將用戶身份信息發送給對應的業務處 理單元。
4、 如權利要求l所述的系統，其特徵在於，所述身份認證中心包括用 戶身份認證中心單元、業務處理控制單元和身份認證管理單元，其中，用戶身份認證中心單元，用於為用戶身^f分認證中心分配標識，管理和認 證用戶身份認證中心，設置用戶身份認證中心的交互策略；業務處理控制單元，用於為業務處理單元分配標識，管理和認證業務處 理單元，對業務處理單元進行認證，設置業務處理單元的交互策略；所述身份認證管理單元，用於控制用戶身份認證中心單元和業務處理控 制單元之間的交互。
5、 如權利要求1或4所述的系統，其特徵在於，所述業務處理單元包 括業務提供者。
6、 如權利要求5所述的系統，其特徵在於，所述業務處理控制單元包 括業務提供者管理單元，用於認證和管理業務提供者，為業務提供者分配業 務提供者標識，設置業務提供者的交互策略。
7、 如權利要求1或4所述的系統，其特徵在於，所述業務處理單元包 括網絡和/或設備。
8、 如權利要求7所述的系統，其特徵在於，所述業務處理控制單元還 包括網絡身份管理單元和/或設備身份管理單元，其中，所述網絡身份管理單元，用於認證和管理網絡身份，為網絡分配網絡身 份標識，設置網絡身份的交互策略；所述設備身份管理單元，用於認證和管理設備身份，為設備分配設備身 份標識，設置設備的交互策略。
9、 一種身份安全認證的方法，其特徵在於，該方法包括用戶身份認證中心對用戶註冊，為用戶分配唯一標識用戶的用戶虛擬標識；接收用戶發送的業務請求，根據該請求攜帶的用戶身份認證中心標識和 該用戶虛擬標識處理該業務請求。
10、 如權利要求9所述的方法，其特徵在於，所述用戶身份認證中心針 對用戶的不同業務類型分類，對用戶不同類型業務註冊。
11、 如權利要求10所述的方法，其特徵在於，所述用戶身份認證中心 對用戶不同類型業務註冊的方式，對應於不同業務類型安全級別進行設置。
12、 如權利要求9所述的方法，其特徵在於，所述為用戶分配唯一標識 用戶的用戶虛擬標識前，還包括判斷該用戶是否已經被分配了用戶虛擬標識，如果否，為用戶分配用戶 虛擬標識；如果是，為用戶不分配用戶虛擬標識。
13、 如權利要求12所述的方法，其特徵在於，所述為用戶不分配用戶 虛擬標識前，還包括判斷該用戶虛擬標識是否在設定的有效期內，如果是，繼續執行為用戶不分配用戶虛擬標識的步驟；如果否，為用戶重新分配用戶虛擬標識。
14、 如權利要求9所述的方法，其特徵在於，所述根據該請求攜帶的用 戶身份認證中心標識和該用戶虛擬標識處理該業務請求為判斷是否存儲有該用戶虛擬標識和對應的用戶身份信息，如果是，根據 該信息對用戶認證，執行該業務請求；如果否，向具有該用戶身份認證中心標識的用戶身份認證中心發送查詢 請求，用戶身份認證中心確定存儲有該用戶虛擬標識對應的用戶身份信息， 發送用戶身份信息，根據接收的該信息對用戶認證，執行該業務請求。
15、 一種控制用戶身份認證的裝置，其特徵在於，包括用戶身份認證中 心單元、業務處理控制單元和身份認證管理單元，其中，所述用戶身份認證中心單元，用於為用戶身份認證中心分配標識，管理 和認證用戶身份認證中心，設置用戶身份認證中心的交互策略；所述業務處理控制單元，用於為提供業務處理的實體分配標識，管理和 認證提供業務處理的實體，對提供業務處理的實體進行認證，設置提供業務 處理的實體的交互策略；所述身份認證管理單元，用於控制用戶身份認證中心單元和業務處理控 制單元之間的交互。
16、 如權利要求15所述的裝置，其特徵在於，所述業務處理控制單元 包括業務提供者管理單元。
全文摘要
一種身份安全認證的系統、裝置及方法，該系統包括身份認證中心、用戶身份認證中心和業務處理單元，其中，所述用戶身份認證中心，用於為身份認證中心分配身份認證中心標識，為業務處理單元分配標識；所述身份認證中心，用於對用戶註冊，分配唯一標識用戶的用戶虛擬標識，發送該用戶虛擬標識和分配的用戶身份認證中心標識給該用戶；所述業務處理單元，用於接收業務請求，根據該請求攜帶的用戶虛擬標識和用戶身份認證中心標識對用戶認證，處理該業務請求。本發明不僅能夠提高用戶身份認證的安全性，而且有效地保護用戶身份信息的隱私。
文檔編號H04L9/08GK101291220SQ20071010049
公開日2008年10月22日 申請日期2007年4月16日 優先權日2007年4月16日
發明者丁小燕, 劉宏偉, 莊小君 申請人:華為技術有限公司