專利名稱:單點登錄的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及單點登錄的方法及系統(tǒng)。
背景技術(shù):
所謂單點登錄,也就是,用戶在相互關(guān)聯(lián)的幾個服務(wù)域中的一個服務(wù)域通過身份 認證進行登錄后,在相互關(guān)聯(lián)的其它服務(wù)域進行登錄以獲取相關(guān)服務(wù)時,便可以不再進行 身份認證?,F(xiàn)有的單點登錄方法中,通過設(shè)置的一個統(tǒng)一認證服務(wù)器對登錄相互關(guān)聯(lián)的各個 服務(wù)域的用戶進行統(tǒng)一身份認證。登錄前,用戶向相關(guān)聯(lián)的各個服務(wù)域進行注冊,注冊后相應(yīng)服務(wù)域保存用戶提供 的公共身份標識和密碼等注冊信息,并對應(yīng)注冊信息包含的公共身份標識綁定保存該用戶 在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的公共身份標識,這里將注冊信息包含的公共 身份認證標識和綁定保存的公共身份標識統(tǒng)稱為綁定信息;然后各個服務(wù)域?qū)⒔壎ㄐ畔?送給統(tǒng)一認證服務(wù)器。對于各個服務(wù)域傳送的多個相同的綁定信息,統(tǒng)一認證服務(wù)器可以 只保存一個。進行注冊后,用戶通過公共身份標識和密碼等注冊信息,在相關(guān)聯(lián)的所有服務(wù)域 中某一服務(wù)域進行第一次全局登錄,該某一服務(wù)域保存相應(yīng)公共身份標識已經(jīng)登錄的記錄 并將該記錄傳送給統(tǒng)一認證服務(wù)器,統(tǒng)一認證服務(wù)器保存該記錄,該記錄中包含該用戶進 行第一次全局登錄的公共身份標識。該用戶進行第一次全局登錄之后,便可向相關(guān)聯(lián)的其它服務(wù)域請求服務(wù),而不再 需要向相應(yīng)服務(wù)域進行身份認證。這里將所述相應(yīng)服務(wù)域稱為服務(wù)域A,所述向相關(guān)聯(lián)的其 它服務(wù)域請求服務(wù)的過程包括服務(wù)域A接收用戶輸入的包含公共身份標識的認證請求, 傳送給統(tǒng)一認證服務(wù)器,統(tǒng)一認證服務(wù)器查找與認證請求包含的公共身份標識進行綁定保 存的各個服務(wù)域公共身份標識,判斷查找到的各個公共身份標識在各自的服務(wù)域是否已經(jīng) 登錄,如果已經(jīng)登錄,則向服務(wù)域A返回認證成功信息,服務(wù)域A為該用戶提供相應(yīng)的服務(wù); 如果沒有登錄,則向服務(wù)域A返回認證失敗信息,由服務(wù)域A進行身份認證。前述判斷步驟 中,只要判斷出查找到的一個公共身份標識在其服務(wù)域已經(jīng)登錄,則向服務(wù)域A返回認證 成功信息。下面基于各個服務(wù)域的具體結(jié)構(gòu),對現(xiàn)有的單點登錄方法進行詳細說明。各個服務(wù)域都包含應(yīng)用服務(wù)器和認證服務(wù)器。用戶首先向服務(wù)域的認證服務(wù)器進 行注冊,注冊后認證服務(wù)器保存用戶提供的公共身份標識和密碼等注冊信息,并對應(yīng)注冊 信息包含的公共身份標識綁定保存該用戶在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的 公共身份標識,這里將注冊信息包含的公共身份認證標識和綁定保存的公共身份標識統(tǒng)稱 為綁定信息;然后該認證服務(wù)器將綁定信息傳送給統(tǒng)一認證服務(wù)器。對于各個服務(wù)域傳送 的多個相同的綁定信息,統(tǒng)一認證服務(wù)器可以只保存一個。進行注冊后,用戶通過公共身份標識和密碼等注冊信息,在相關(guān)聯(lián)的所有服務(wù)域中某一服務(wù)域進行第一次全局登錄,該某一服務(wù)域的認證服務(wù)器保存相應(yīng)公共身份標識已 經(jīng)登錄的記錄,并將該記錄傳送給統(tǒng)一認證服務(wù)器,統(tǒng)一認證服務(wù)器保存該記錄,該記錄中 包含該用戶進行第一次全局登錄的公共身份標識。該用戶進行第一次全局登錄之后,便可向相關(guān)聯(lián)的其它服務(wù)域的應(yīng)用服務(wù)器請求 服務(wù),而不再需要向相應(yīng)服務(wù)域的認證服務(wù)器進行身份認證。下面通過一個實例,基于各個服務(wù)域的具體結(jié)構(gòu),對現(xiàn)有的單點登錄方法進行說 明。假設(shè),相關(guān)聯(lián)的服務(wù)域為三個,包括一個IP多媒體服務(wù)(IMS, IPMultimedia Service)服務(wù)域,以及兩個TOB域新浪服務(wù)域和天涯服務(wù)域;統(tǒng)一認證服務(wù)器內(nèi)保存關(guān) 于某用戶的綁定信息為該用戶在IMS域注冊時的用戶身份標識abcOims. com,該用戶在新 浪服務(wù)域注冊時的用戶身份標識abcfeina. com,以及該用戶在天涯服務(wù)域注冊時的用戶身 份標識abcOtianya. com。并且,假設(shè)該用戶首先在新浪服務(wù)域的認證服務(wù)器通過了身份認 證,進行了登錄,并且該認證服務(wù)器還將包含abcfeina. com的已經(jīng)登錄的記錄傳送給統(tǒng)一 認證服務(wù)器進行保存。而后,若該用戶需要向IMS域的應(yīng)用服務(wù)器請求IMS服務(wù),其過程為 圖1所示,包括以下步驟步驟101,用戶登錄IMS客戶端,向IMS域的應(yīng)用服務(wù)器發(fā)起認證請求。該認證請求中攜帶用戶在新浪服務(wù)域注冊的公共身份標識,即abcfeina. com。步驟102,IMS域的應(yīng)用服務(wù)器向統(tǒng)一認證服務(wù)器發(fā)送所述認證請求。步驟103,統(tǒng)一認證服務(wù)器查找與認證請求包含的公共身份標識進行綁定保存的 各個服務(wù)域公共身份標識,判斷查找到的公共身份標識在相應(yīng)服務(wù)域是否已經(jīng)登錄,如果 已經(jīng)登錄,則向IMS域的應(yīng)用服務(wù)器返回認證成功信息,執(zhí)行步驟104 ;否則向IMS域的應(yīng) 用服務(wù)器返回認證失敗信息。本步驟所述與認證請求包含的公共身份標識進行綁定保存的各個服務(wù)域公共身 份標識為abcfeina. com禾口 abc@tianya. com。本實例中,由于查找出abcfeina. com已經(jīng)登 錄,則執(zhí)行步驟104。相反地,如果判斷出查找到的公共身份標識在相應(yīng)服務(wù)域沒有登錄,則 向IMS域的應(yīng)用服務(wù)器返回認證失敗信息,IMS域的應(yīng)用服務(wù)器向IMS域的認證服務(wù)器發(fā) 送前述的認證請求,由IMS域的認證服務(wù)器對abcOims. com進行身份認證,該認證過程需要 用戶向認證服務(wù)器輸入與abcOims. com對應(yīng)的密碼等認證信息,由認證服務(wù)器對認證信息 進行驗證。本步驟還包括若統(tǒng)一認證服務(wù)器判斷出查找到的公共身份標識在相應(yīng)服務(wù)域已 經(jīng)登錄,則保存abcOims. com已經(jīng)登錄的記錄。步驟104,IMS域的應(yīng)用服務(wù)器為abcOims. com提供相關(guān)的服務(wù)。本步驟還包括應(yīng)用服務(wù)器接收認證成功信息后,還保存abcOims. com已經(jīng)登錄 的記錄。采用現(xiàn)有的單點登錄方案,可以對相關(guān)聯(lián)的各個服務(wù)域的登錄情況進行統(tǒng)一管 理,減少了多次身份認證所花的時間,相對也減少了身份認證出錯的可能性。但是,現(xiàn)有單 點登錄的方案存在以下缺點目前的單點登錄方案存在安全性問題,一旦統(tǒng)一認證服務(wù)器遭到黑客入侵,便無 法通過統(tǒng)一認證服務(wù)器實現(xiàn)對相關(guān)聯(lián)的所有服務(wù)域進行單點登錄,導(dǎo)致單點登錄失敗,通常將這種現(xiàn)象稱為“單點失效”,這降低了單點登錄的安全性。
發(fā)明內(nèi)容
本發(fā)明提供一種單點登錄的方法,該方法能夠防止現(xiàn)有技術(shù)中因“單點失效”所造 成的在相關(guān)聯(lián)的所有服務(wù)域進行單點登錄失敗。本發(fā)明提供一種單點登錄的系統(tǒng),該系統(tǒng)能夠防止現(xiàn)有技術(shù)中因“單點失效”所造 成的在相關(guān)聯(lián)的所有服務(wù)域進行單點登錄失敗。一種單點登錄的方法,該方法在所有關(guān)聯(lián)服務(wù)域分別保存用戶的本地注冊信息, 所述本地注冊信息包括用戶在本地服務(wù)域注冊的公共身份標識;并綁定保存該用戶在與本 地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的公共身份標識;該方法還包括發(fā)起服務(wù)域接收包含公共身份標識的認證請求以及指定的信任服務(wù)域;發(fā)起服務(wù)域向所述指定的信任服務(wù)域發(fā)送所述認證請求;信任服務(wù)域查找與認證請求包含的公共身份標識進行綁定保存的本地服務(wù)域公 共身份標識,判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果是,則向發(fā)起服務(wù) 域返回認證成功信息;發(fā)起服務(wù)域接收認證成功信息后為認證請求包含的公共身份標識提供相應(yīng)的服務(wù)。一種單點登錄的系統(tǒng),該系統(tǒng)包括發(fā)起服務(wù)域和信任服務(wù)域;發(fā)起服務(wù)域和信任 服務(wù)域內(nèi)都保存了用戶的本地注冊信息,所述本地注冊信息包括用戶在本地服務(wù)域注冊的 公共身份標識;還綁定保存了該用戶在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的公共身 份標識;所述發(fā)起服務(wù)域,用于接收包含公共身份標識的認證請求以及指定的信任服務(wù) 域,向所述指定的信任服務(wù)域發(fā)送所述認證請求;接收認證成功信息后為認證請求包含的 公共身份標識提供相應(yīng)的服務(wù);所述指定的信任服務(wù)域,用于查找與認證請求包含的公共身份標識進行綁定保存 的本地服務(wù)域公共身份標識,判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果 是,則向發(fā)起服務(wù)域返回認證成功信息。從上述方案可以看出,本發(fā)明在所有關(guān)聯(lián)服務(wù)域保存用戶的本地注冊信息,并綁 定保存該用戶在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的公共身份標識,所述本地注冊 信息包括用戶在本地服務(wù)域注冊的公共身份標識;用戶在信任服務(wù)域通過身份認證登錄 后,若需要在與該信任服務(wù)域相關(guān)聯(lián)的發(fā)起服務(wù)域進行單點登錄,其過程包括發(fā)起服務(wù)域 接收包含公共身份標識的認證請求以及指定的信任服務(wù)域,向所述指定的信任服務(wù)域發(fā)送 所述認證請求;信任服務(wù)域查找與認證請求包含的公共身份標識進行綁定保存的本地服務(wù) 域公共身份標識,判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果是,則向發(fā)起 服務(wù)域返回認證成功信息;發(fā)起服務(wù)域接收認證成功信息后為認證請求包含的公共身份標 識提供相應(yīng)的服務(wù)。本發(fā)明由相關(guān)聯(lián)的各個服務(wù)域協(xié)助完成單點登錄,而不是采用現(xiàn)有的 通過統(tǒng)一認證服務(wù)器對相關(guān)聯(lián)的各個服務(wù)域進行身份認證,從而,將統(tǒng)一認證服務(wù)器的工 作分散到相關(guān)聯(lián)的各個服務(wù)域,不會出現(xiàn)現(xiàn)有技術(shù)中“單點失效”的現(xiàn)象,相應(yīng)地,避免了因“單點失效”所造成的在相關(guān)聯(lián)的所有服務(wù)域進行單點登錄失敗,從而,提高了單點登錄的 安全性。
圖1為現(xiàn)有技術(shù)中單點登錄的方法流程圖;圖2為本發(fā)明單點登錄的方法示例性流程圖;圖3為本發(fā)明單點登錄的方法流程圖實例;圖4為本發(fā)明單點登錄的系統(tǒng)結(jié)構(gòu)示意圖。
具體實施例方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白,下面結(jié)合實施例和附圖,對本 發(fā)明進一步詳細說明。本發(fā)明基于點對點(P2P,Peer to Peer)對等網(wǎng)實現(xiàn)單點登錄。P2P對等網(wǎng)是一 個分布式系統(tǒng),該系統(tǒng)中,每個個體都是獨立的,擁有自己的決策,P2P對等網(wǎng)最大的特色就 是分布式的處理,對所有個體沒有中央管理,方便了資源共享。本發(fā)明利用P2P對等網(wǎng)中各 個服務(wù)域可以共享其它服務(wù)域內(nèi)的資源,進行各個服務(wù)域之間的認證,通過各個服務(wù)域之 間的認證實現(xiàn)單點登錄,從而,將現(xiàn)有技術(shù)中統(tǒng)一認證服務(wù)器的工作分散到相關(guān)聯(lián)的各個 服務(wù)域。該方法在所有關(guān)聯(lián)服務(wù)域分別保存用戶的本地注冊信息,所述本地注冊信息包括 用戶在本地服務(wù)域注冊的公共身份標識和密碼等;并在各個服務(wù)域綁定保存該用戶在與本 地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的公共身份標識。所述公共身份標識可以為用戶在各 個服務(wù)域注冊時的賬號。用戶在各個服務(wù)域進行注冊后,通過公共身份標識和密碼等注冊信息,在相關(guān)聯(lián) 的所有服務(wù)域中某一服務(wù)域進行第一次全局登錄,該某一服務(wù)域保存相應(yīng)公共身份標識已 經(jīng)登錄的記錄,該記錄中包含該用戶第一次全局登錄的公共身份標識。該用戶進行第一次全局登錄之后,便可向相關(guān)聯(lián)的其它服務(wù)域請求服務(wù),而不再 需要向相應(yīng)服務(wù)域進行身份認證,其過程為圖2所示。這里,為了便于描述,將前述進行第 一次全局登錄的某一服務(wù)域稱為信任服務(wù)域,將之后該用戶請求服務(wù)的服務(wù)域稱為發(fā)起服 務(wù)域,圖2的流程包括以下步驟步驟201,發(fā)起服務(wù)域接收包含公共身份標識的認證請求以及指定的信任服務(wù)域。所述發(fā)起服務(wù)域為TOB服務(wù)域或IMS域,所述信任服務(wù)域為TOB服務(wù)域或IMS域。步驟202,發(fā)起服務(wù)域向所述指定的信任服務(wù)域發(fā)送所述認證請求。步驟203,信任服務(wù)域查找與認證請求包含的公共身份標識進行綁定保存的本地 服務(wù)域公共身份標識,判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果是,則向 發(fā)起服務(wù)域返回認證成功信息,執(zhí)行步驟204 ;否則,向發(fā)起服務(wù)域返回認證失敗信息。本實例中,由于能夠判斷出查找到的公共身份標識在本地服務(wù)域已經(jīng)登錄,因此 執(zhí)行步驟104。相反地,如果判斷出查找到的公共身份標識在本地服務(wù)域沒有登錄,則向發(fā) 起服務(wù)域返回認證失敗信息,發(fā)起服務(wù)域再對該用戶進行身份認證,該認證過程需要用戶 向發(fā)起服務(wù)域提供相應(yīng)的密碼等認證信息,由發(fā)起服務(wù)域?qū)φJ證信息進行驗證。
本步驟還包括若判斷出查找到的公共身份標識在本地服務(wù)域已經(jīng)登錄,則保存 認證請求包含的公共身份標識已經(jīng)登錄的記錄。步驟204,發(fā)起服務(wù)域接收認證成功信息后為認證請求包含的公共身份標識提供 相應(yīng)的服務(wù)。本步驟還包括發(fā)起服務(wù)域接收認證成功信息后,還保存認證請求包含的公共身 份標識已經(jīng)登錄的記錄。具體地,發(fā)起服務(wù)域和信任服務(wù)域都包含各自的應(yīng)用服務(wù)器、認證服務(wù)器以及信 任服務(wù)器,各個服務(wù)域的信任服務(wù)器保存了相關(guān)聯(lián)的其它信任服務(wù)器的地址,通過信任服 務(wù)器便可實現(xiàn)各個服務(wù)域之間的交互。相應(yīng)地,圖2所述的各個步驟分別為步驟201中,發(fā)起服務(wù)域的認證服務(wù)器接收用戶輸入的包含公共身份標識的認證 請求以及指定的信任服務(wù)域。步驟202中,發(fā)起服務(wù)域的認證服務(wù)器將所述認證請求以及指定的信任服務(wù)域傳 送給發(fā)起服務(wù)域的信任服務(wù)器;所述信任服務(wù)器向所述指定的信任服務(wù)域的信任服務(wù)器發(fā) 送所述認證請求。步驟203中,信任服務(wù)域的信任服務(wù)器將所述認證請求發(fā)送給信任服務(wù)域的認證 服務(wù)器,認證服務(wù)域的認證服務(wù)器查找與認證請求包含的公共身份標識進行綁定保存的本 地服務(wù)域公共身份標識,判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果已經(jīng) 登錄,則認證服務(wù)域的認證服務(wù)器經(jīng)由信任服務(wù)域的信任服務(wù)器和發(fā)起服務(wù)域的信任服務(wù) 器將認證成功信息返回給發(fā)起服務(wù)域的認證服務(wù)器;執(zhí)行步驟204 ;否則,信任服務(wù)域的認 證服務(wù)器經(jīng)由信任服務(wù)域的信任服務(wù)器和發(fā)起服務(wù)域的信任服務(wù)器將認證失敗信息返回 給發(fā)起服務(wù)域的認證服務(wù)器。本實例中,由于能夠判斷出查找到的公共身份標識在本地服務(wù)域已經(jīng)登錄,因此 執(zhí)行步驟204。相反地,如果判斷出查找到的公共身份標識在本地服務(wù)域沒有登錄,則信任 服務(wù)域的認證服務(wù)器經(jīng)由信任服務(wù)域的信任服務(wù)器和發(fā)起服務(wù)域的信任服務(wù)器將認證失 敗信息返回給發(fā)起服務(wù)域的認證服務(wù)器,發(fā)起服務(wù)域的認證服務(wù)器再對該用戶進行身份認 證,該認證過程需要用戶向發(fā)起服務(wù)域的認證服務(wù)器提供相應(yīng)的密碼等認證信息,由發(fā)起 服務(wù)域的認證服務(wù)器對認證信息進行驗證。步驟204,發(fā)起服務(wù)域的認證服務(wù)器將認證成功信息傳送給發(fā)起服務(wù)域的應(yīng)用服 務(wù)器,應(yīng)用服務(wù)器為認證請求包含的公共身份標識提供相應(yīng)的服務(wù)。本發(fā)明不通過現(xiàn)有技術(shù)中的統(tǒng)一認證服務(wù)器對相關(guān)聯(lián)的各個服務(wù)域登錄過程進 行身份認證,而由相關(guān)聯(lián)的各個服務(wù)域協(xié)助完成單點登錄。采用本發(fā)明方案,將統(tǒng)一認證 服務(wù)器的工作分散到相關(guān)聯(lián)的各個服務(wù)域,這樣,當同時需要進行身份認證的用戶過多時, 不會出現(xiàn)現(xiàn)有技術(shù)中影響統(tǒng)一認證服務(wù)器性能的問題;并且,不會出現(xiàn)現(xiàn)有技術(shù)中“單點失 效”的現(xiàn)象,相應(yīng)地,避免了因“單點失效”所造成的在相關(guān)聯(lián)的所有服務(wù)域進行單點登錄失 敗,從而,提高了單點登錄的安全性。下面通過一個具體實例對本發(fā)明單點登錄方法進行詳細說明。假設(shè),相關(guān)聯(lián)的服 務(wù)域為三個,包括一個IMS域,以及兩個TOB域新浪服務(wù)域和天涯服務(wù)域。新浪服務(wù)域的 信任服務(wù)器用信任服務(wù)器A表示,IMS域的信任服務(wù)器用信任服務(wù)器C表示,天涯服務(wù)域的 信任服務(wù)器用信任服務(wù)器B表示。新浪服務(wù)域的認證服務(wù)器用認證服務(wù)器A表示,IMS域的認證服務(wù)器用認證服務(wù)器C表示,天涯服務(wù)域的認證服務(wù)器用認證服務(wù)器B表示。認證服務(wù)器A、認證服務(wù)器B以及IMS域的歸屬用戶服務(wù)器(HSS,Home Subscriber Server)內(nèi),都保存了本地注冊信息,所述本地注冊信息包括用戶在本地服務(wù)域注冊的公共 身份標識和密碼等,還綁定保存了該用戶在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的公 共身份標識。具體地,假設(shè)認證服務(wù)器A內(nèi)保存了關(guān)于某用戶在新浪服務(wù)域的公共身份標 識abcfeina. com和密碼等注冊信息,并綁定保存了 abcOims. com和abcOtianya. com ;認證 服務(wù)器B內(nèi)保存了關(guān)于該用戶在天涯服務(wù)域的公共身份標識abcOtianya. com和密碼等注 冊信息,并綁定保存了 abc@ims. com和abcfeina. com ;HSS內(nèi)保存了關(guān)于該用戶在IMS域 的公共身份標識abc@ims. com和密碼等注冊信息,并綁定保存了 abc@tianya. com和abc@ sina.com。并且,假設(shè)發(fā)起服務(wù)域為新浪服務(wù)域,信任服務(wù)域為IMS域;也就是,假設(shè)該用戶 首先在IMS域的認證服務(wù)器C通過了身份認證,進行了登錄,并且認證服務(wù)器C還將包含 abciims. com的已經(jīng)登錄的記錄保存在HSS ;而后,若該用戶需要向新浪服務(wù)域的應(yīng)用服務(wù) 器請求郵箱服務(wù),其過程為圖3所示,包括以下步驟步驟301,用戶登錄新浪客戶端,向新浪服務(wù)域的應(yīng)用服務(wù)器發(fā)起認證請求。該認證請求中包含該用戶使用的新浪服務(wù)域的公共身份標識,本實施例中該公共 身份標識為該用戶的新浪郵箱帳號abcfeina. com。步驟302,新浪服務(wù)域的應(yīng)用服務(wù)器將認證請求發(fā)送給認證服務(wù)器A進行身份認 證,認證服務(wù)器A判斷是否有該新浪郵箱賬號登錄的記錄,如果有,則通知應(yīng)用服務(wù)器為該 新浪郵箱賬號提供相應(yīng)的服務(wù);如果沒有,則接收用戶輸入的指定的信任服務(wù)域,執(zhí)行步驟 303。本步驟所述指定的信任服務(wù)域也就是IMS域,接收指定的信任服務(wù)域的方法可以 為認證服務(wù)器A向用戶返回無登錄記錄信息,并且,要求用戶選擇采用本地服務(wù)域,即新 浪服務(wù)域進行登錄,還是選擇另一個具有信任關(guān)系的服務(wù)域進行身份認證;如果用戶選擇 采用本地服務(wù)域登錄,則用戶需要重新輸入密碼等認證信息,由認證服務(wù)器A對其進行身 份認證;如果用戶選擇采用另一個具有信任關(guān)系的服務(wù)域進行認證,則認證服務(wù)器A獲取 用戶輸入的指定的信任服務(wù)域,在本實施例中,由于用戶之前在IMS域登錄過,因此,用戶 輸入的指定信任服務(wù)域為IMS域。步驟303,認證服務(wù)器A將認證請求以及指定的信任服務(wù)域發(fā)送給信任服務(wù)器A。步驟304,信任服務(wù)器A將認證請求發(fā)送給信任服務(wù)器C。在P2P網(wǎng)絡(luò)應(yīng)用模式中,進行綁定的各個服務(wù)域可以通過歸屬于各個服務(wù)域的信 任服務(wù)器進行交互。步驟305,信任服務(wù)器C接收認證請求后,傳送給認證服務(wù)器C。該認證請求中包括abcisina. com。步驟306,認證服務(wù)器C在HSS中查找保存的與abcfeina. com綁定在一起的IMS 帳號,并判斷查找的該IMS賬號在HSS內(nèi)是否有登錄記錄,并向信任服務(wù)器C返回認證結(jié)^ ο在本實施例中,用戶在IMS進行注冊時,HSS不僅包括IMS賬號和密碼,還綁定保 存了新浪賬號以及天涯賬號abc@sina. com和abc@tianya. com。并且,HSS內(nèi)還保存了用戶登錄IMS域的登錄記錄。本步驟中,如果判斷出有登錄記錄,則向認證服務(wù)器C返回的認證結(jié)果為認證成 功信息;如果沒有登錄記錄,則向認證服務(wù)器C返回的認證結(jié)果為認證失敗信息。本實施例 中,查找出的與abcfeina. com綁定在一起的IMS帳號為abcOims. com,該IMS賬號有登錄記 錄,認證服務(wù)器C向信任服務(wù)器C返回認證成功信息??蛇x地,本發(fā)明還可以由HSS實現(xiàn)認證服務(wù)器C進行查找并且判斷查找的公共身 份標識是否有登錄記錄的功能,也就是,本步驟包括認證服務(wù)器C將認證請求路由到IMS 域的HSS,HSS查找保存的與abcfeina. com綁定在一起的IMS帳號,并判斷查找的該IMS賬 號是否有登錄記錄,然后向認證服務(wù)器C返回認證結(jié)果,認證服務(wù)器C再將認證結(jié)果傳送給 信任服務(wù)器C。步驟307,信任服務(wù)器C將認證結(jié)果返回給信任服務(wù)器A。步驟308,信任服務(wù)器A將認證結(jié)果返回給認證服務(wù)器A。本步驟還可以包括認證服務(wù)器A記錄abcfeina. com已經(jīng)登錄的登錄信息。步驟309,認證服務(wù)器A將認證結(jié)果返回給新浪服務(wù)域的應(yīng)用服務(wù)器,新浪服務(wù)域 的應(yīng)用服務(wù)器為abcfeina. com提供相應(yīng)的服務(wù)。在本實施例中,所述相應(yīng)的服務(wù),也就是郵箱服務(wù)。參見圖4,為本發(fā)明單點登錄的系統(tǒng)結(jié)構(gòu)示意圖,該系統(tǒng)包括發(fā)起服務(wù)域和信任服 務(wù)域;發(fā)起服務(wù)域和信任服務(wù)域內(nèi)都保存了用戶的本地注冊信息,所述本地注冊信息包括 用戶在本地服務(wù)域注冊的公共身份標識;還綁定保存了該用戶在與本地服務(wù)域相關(guān)聯(lián)的各 個服務(wù)域注冊時的公共身份標識;所述發(fā)起服務(wù)域,用于接收包含公共身份標識的認證請求以及指定的信任服務(wù) 域,向所述指定的信任服務(wù)域發(fā)送所述認證請求;接收認證成功信息后為認證請求包含的 公共身份標識提供相應(yīng)的服務(wù);所述指定的信任服務(wù)域,用于查找與認證請求包含的公共身份標識進行綁定保存 的本地服務(wù)域公共身份標識,判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果 是,則向發(fā)起服務(wù)域返回認證成功信息??蛇x地,所述發(fā)起服務(wù)域為TOB服務(wù)域或IMS域,所述信任服務(wù)域為TOB服務(wù)域或 IMS 域??蛇x地,所述發(fā)起服務(wù)域包括應(yīng)用服務(wù)器、第一認證服務(wù)器和第一信任服務(wù)器,所 述指定的信任服務(wù)域包括第二認證服務(wù)器和第二信任服務(wù)器;所述第一認證服務(wù)器,用于接收所述認證請求以及指定的信任服務(wù)域,傳送給所 述第一信任服務(wù)器;所述第一信任服務(wù)器,用于向所述第二信任服務(wù)器發(fā)送所述認證請求;所述第二信任服務(wù)器,用于將所述認證請求傳送給第二認證服務(wù)器;所述第二認證服務(wù)器,用于查找與認證請求包含的公共身份標識進行綁定保存的 本地服務(wù)域公共身份標識;判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果是, 則向經(jīng)由第二信任服務(wù)器和第一信任服務(wù)器將認證成功信息返回給第一認證服務(wù)器;所述第一認證服務(wù)器,還用于將認證成功信息傳送給所述應(yīng)用服務(wù)器;所述應(yīng)用服務(wù)器,用于在接收認證成功信息后,為認證請求包含的公共身份標識提供相應(yīng)的服務(wù)。可選地,所述第一信任服務(wù)器置于所述發(fā)起服務(wù)域內(nèi),或置于所述發(fā)起服務(wù)域外; 所述第二信任服務(wù)器置于所述信任服務(wù)域內(nèi),或置于所述信任服務(wù)域外。當所述發(fā)起服務(wù)域為TOB服務(wù)域,所述認證服務(wù)域為IMS域時,所述IMS域還包括 HSS;所述用戶的本地注冊信息以及該用戶在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的 公共身份標識保存在所述HSS內(nèi);所述第二認證服務(wù)器,用于在HSS內(nèi)查找與認證請求包含的公共身份標識進行綁 定保存的本地服務(wù)域公共身份標識,并判斷查找的公共身份標識在HSS內(nèi)是否有登錄記 錄,如果有,則判斷已經(jīng)登錄。以上所述的具體實施例,對本發(fā)明的目的、技術(shù)方案和有益效果進行了進一步詳 細說明,所應(yīng)理解的是,以上所述僅為本發(fā)明的具體實施例而已,并不用于限定本發(fā)明的保 護范圍,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進等,均應(yīng)包含在本 發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種單點登錄的方法,其特征在于,該方法在所有關(guān)聯(lián)服務(wù)域分別保存用戶的本地 注冊信息,所述本地注冊信息包括用戶在本地服務(wù)域注冊的公共身份標識;并綁定保存該 用戶在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的公共身份標識;該方法還包括發(fā)起服務(wù)域接收包含公共身份標識的認證請求以及指定的信任服務(wù)域;發(fā)起服務(wù)域向所述指定的信任服務(wù)域發(fā)送所述認證請求;信任服務(wù)域查找與認證請求包含的公共身份標識進行綁定保存的本地服務(wù)域公共身 份標識,判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果是,則向發(fā)起服務(wù)域返 回認證成功信息;發(fā)起服務(wù)域接收認證成功信息后為認證請求包含的公共身份標識提供相應(yīng)的服務(wù)。
2.如權(quán)利要求1所述的方法,其特征在于,所述發(fā)起服務(wù)域為WEB服務(wù)域或IP多媒體 服務(wù)IMS域,所述信任服務(wù)域為TOB服務(wù)域或IMS域。
3.如權(quán)利要求1所述的方法,其特征在于,所述認證請求以及指定的信任服務(wù)域是發(fā)起服務(wù)域的認證服務(wù)器接收的;所述發(fā)起服務(wù)域向所述指定的信任服務(wù)域發(fā)送所述認證請求包括所述認證服務(wù)器將 所述認證請求以及指定的信任服務(wù)域傳送給發(fā)起服務(wù)域的信任服務(wù)器;所述信任服務(wù)器向 所述指定的信任服務(wù)域的信任服務(wù)器發(fā)送所述認證請求;所述信任服務(wù)域查找與認證請求包含的公共身份標識進行綁定保存的本地服務(wù)域公 共身份標識包括信任服務(wù)域的信任服務(wù)器將所述認證請求發(fā)送給信任服務(wù)域的認證服務(wù) 器,認證服務(wù)域的認證服務(wù)器查找與認證請求包含的公共身份標識進行綁定保存的本地服 務(wù)域公共身份標識;由信任服務(wù)域的認證服務(wù)器判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄;所述信任服務(wù)域向發(fā)起服務(wù)域返回認證成功信息包括信任服務(wù)域的認證服務(wù)器經(jīng)由 信任服務(wù)域的信任服務(wù)器和發(fā)起服務(wù)域的信任服務(wù)器將認證成功信息返回給發(fā)起服務(wù)域 的認證服務(wù)器;所述發(fā)起服務(wù)域為認證請求包含的公共身份標識提供相應(yīng)的服務(wù)包括發(fā)起服務(wù)域的 認證服務(wù)器將認證成功信息傳送給發(fā)起服務(wù)域的應(yīng)用服務(wù)器,應(yīng)用服務(wù)器為認證請求包含 的公共身份標識提供相應(yīng)的服務(wù)。
4.如權(quán)利要求3所述的方法,其特征在于,當所述發(fā)起服務(wù)域為WEB服務(wù)域,所述認證 服務(wù)域為IMS域時,所述用戶的本地注冊信息以及該用戶在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的 公共身份標識保存在IMS域的HSS內(nèi);所述認證服務(wù)域的認證服務(wù)器查找與認證請求包含的公共身份標識進行綁定保存的 本地服務(wù)域公共身份標識包括IMS域的認證服務(wù)器在HSS內(nèi)查找與認證請求包含的公共 身份標識進行綁定保存的本地服務(wù)域公共身份標識;所述由信任服務(wù)域的認證服務(wù)器判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登 錄包括IMS域的認證服務(wù)器判斷查找的公共身份標識在HSS內(nèi)是否有登錄記錄,如果有, 則判斷已經(jīng)登錄。
5.一種單點登錄的系統(tǒng),其特征在于,該系統(tǒng)包括發(fā)起服務(wù)域和信任服務(wù)域;發(fā)起服務(wù)域和信任服務(wù)域內(nèi)都保存了用戶的本地注冊信息,所述本地注冊信息包括用戶在本地服 務(wù)域注冊的公共身份標識;還綁定保存了該用戶在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊 時的公共身份標識;所述發(fā)起服務(wù)域,用于接收包含公共身份標識的認證請求以及指定的信任服務(wù)域,向 所述指定的信任服務(wù)域發(fā)送所述認證請求;接收認證成功信息后為認證請求包含的公共身 份標識提供相應(yīng)的服務(wù);所述指定的信任服務(wù)域,用于查找與認證請求包含的公共身份標識進行綁定保存的本 地服務(wù)域公共身份標識,判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果是,則 向發(fā)起服務(wù)域返回認證成功信息。
6.如權(quán)利要求5所述的系統(tǒng),其特征在于,所述發(fā)起服務(wù)域為WEB服務(wù)域或IMS域,所 述信任服務(wù)域為WEB服務(wù)域或IMS域。
7.如權(quán)利要求5所述的系統(tǒng),其特征在于,所述發(fā)起服務(wù)域包括應(yīng)用服務(wù)器、第一認 證服務(wù)器和第一信任服務(wù)器,所述指定的信任服務(wù)域包括第二認證服務(wù)器和第二信任服務(wù) 器;所述第一認證服務(wù)器,用于接收所述認證請求以及指定的信任服務(wù)域,傳送給所述第 一信任服務(wù)器;所述第一信任服務(wù)器,用于向第二信任服務(wù)器發(fā)送所述認證請求;所述第二信任服務(wù)器,用于將所述認證請求傳送給第二認證服務(wù)器;所述第二認證服務(wù)器,用于查找與認證請求包含的公共身份標識進行綁定保存的本地 服務(wù)域公共身份標識;判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果是,則向 經(jīng)由第二信任服務(wù)器和第一信任服務(wù)器將認證成功信息返回給第一認證服務(wù)器;所述第一認證服務(wù)器,還用于將認證成功信息傳送給所述應(yīng)用服務(wù)器;所述應(yīng)用服務(wù)器,用于在接收認證成功信息后,為認證請求包含的公共身份標識提供 相應(yīng)的服務(wù)。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于,當所述發(fā)起服務(wù)域為WEB服務(wù)域,所述認證 服務(wù)域為IMS域時,所述IMS域還包括HSS ;所述用戶的本地注冊信息以及該用戶在與本地 服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的公共身份標識保存在所述HSS內(nèi);所述第二認證服務(wù)器,用于在HSS內(nèi)查找與認證請求包含的公共身份標識進行綁定保 存的本地服務(wù)域公共身份標識,并判斷查找的公共身份標識在HSS內(nèi)是否有登錄記錄,如 果有,則判斷已經(jīng)登錄。
9.如權(quán)利要求7所述的方法,其特征在于,所述第一信任服務(wù)器置于所述發(fā)起服務(wù)域 內(nèi),或置于所述發(fā)起服務(wù)域外;所述第二信任服務(wù)器置于所述信任服務(wù)域內(nèi),或置于所述信 任服務(wù)域外。
全文摘要
本發(fā)明公開了單點登錄的方法及系統(tǒng),其中,該方法在所有關(guān)聯(lián)服務(wù)域分別保存用戶的本地注冊信息,并綁定保存該用戶在與本地服務(wù)域相關(guān)聯(lián)的各個服務(wù)域注冊時的公共身份標識;該方法還包括發(fā)起服務(wù)域接收包含公共身份標識的認證請求以及指定的信任服務(wù)域,向指定的信任服務(wù)域發(fā)送認證請求;信任服務(wù)域查找與認證請求包含的公共身份標識進行綁定保存的本地服務(wù)域公共身份標識,判斷查找的公共身份標識在本地服務(wù)域是否已經(jīng)登錄,如果是,則向發(fā)起服務(wù)域返回認證成功信息;發(fā)起服務(wù)域接收認證成功信息后為認證請求包含的公共身份標識提供相應(yīng)的服務(wù)。本發(fā)明方案防止了現(xiàn)有技術(shù)中因“單點失效”所造成的在相關(guān)聯(lián)的所有服務(wù)域進行單點登錄失敗。
文檔編號H04L9/32GK102045166SQ200910235739
公開日2011年5月4日 申請日期2009年10月13日 優(yōu)先權(quán)日2009年10月13日
發(fā)明者金鵬, 陳建輝, 雷君 申請人:中國移動通信集團福建有限公司