技術(shù)領(lǐng)域

本發(fā)明涉及在網(wǎng)絡(luò)中進(jìn)行身份認(rèn)證技術(shù)，特別涉及一種身份安全認(rèn)證的系統(tǒng)、裝置及方法。

背景技術(shù)

隨著電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)應(yīng)用的普及，越來越多的用戶開始通過網(wǎng)絡(luò)接受服務(wù)。在通過網(wǎng)絡(luò)接受服務(wù)時，需要進(jìn)行身份認(rèn)證，目前提供服務(wù)的網(wǎng)絡(luò)大多采用用戶名和口令的方式來識別用戶身份，這就需要用戶經(jīng)常性地輸入自己的用戶名和口令。這種身份認(rèn)證方式存在著弊端：一方面，隨著用戶接受不同網(wǎng)絡(luò)提供不同服務(wù)的增多，用戶在進(jìn)行不同網(wǎng)絡(luò)認(rèn)證時，需要輸入不同的口令，這給用戶造成不必要的煩瑣過程和記憶上的困難；另一方面，用戶經(jīng)常性地在網(wǎng)絡(luò)中輸入用戶名和口令，這會相應(yīng)增加口令被惡意破解的機(jī)率，即增加用戶的隱私信息泄漏的機(jī)率。

為了克服上述缺陷，在網(wǎng)絡(luò)中提出了對用戶身份進(jìn)行管理的技術(shù)。身份管理就是對身份、對為用戶提供服務(wù)實體的認(rèn)證處理和一定范圍內(nèi)對該實體認(rèn)證相關(guān)信息所進(jìn)行的安全管理。為用戶提供服務(wù)的實體可以是任何在網(wǎng)絡(luò)中被唯一識別的事物、人、動物、設(shè)備、對象、組、組織和信息對象等。為用戶提供服務(wù)的實體在不同的應(yīng)用范圍內(nèi)可能具有多個身份。認(rèn)證過程的范圍可以是在網(wǎng)絡(luò)中設(shè)定的一個組織內(nèi)，也可以是跨越網(wǎng)絡(luò)中設(shè)定的多個組織。

由于與身份相關(guān)的信息是在網(wǎng)絡(luò)認(rèn)證過程中隨時間發(fā)生變化的，因此，必須對身份相關(guān)的信息進(jìn)行管理。為用戶提供服務(wù)實體的有些信息為非正式的且變化比較頻繁，有些為正式的且具體，比如說用戶，基于政治的組織角色以及財務(wù)賬戶通常是穩(wěn)定的。身份的屬性通常會安全地存儲于網(wǎng)絡(luò)中的令牌、目錄、訪問設(shè)備或者是網(wǎng)絡(luò)中的數(shù)據(jù)庫管理系統(tǒng)中。

身份認(rèn)證管理技術(shù)包含的任務(wù)是在安全和信息域里鞏固、管理和交換為用戶提供服務(wù)的實體信息。在網(wǎng)絡(luò)中建立身份認(rèn)證管理構(gòu)架可以使業(yè)務(wù)提供者(SP，Service?Provider)在網(wǎng)絡(luò)中通過使用授權(quán)、認(rèn)證、接入控制機(jī)制和策略管理機(jī)制為用戶提供可靠、可信和安全的業(yè)務(wù)。

目前，在網(wǎng)絡(luò)中建立的用戶身份認(rèn)證管理架構(gòu)如圖1所示，包括：開放標(biāo)識服務(wù)器(OpenID?Server)、統(tǒng)一資源定位格式(URL，Uniform?ResourceLocator)站點、用戶代理(User?Agent)和用戶(Consumer)認(rèn)證管理模塊。其中，User?Agent位于網(wǎng)絡(luò)中的用戶側(cè)，OpenID?Server、URL站點和Consumer認(rèn)證管理模塊位于網(wǎng)絡(luò)中的網(wǎng)絡(luò)側(cè)。在OpenID?Server中，存儲用戶對應(yīng)的URL，可以采用加密的方式存儲用戶對應(yīng)的URL。整個身份認(rèn)證過程就是確認(rèn)一個用戶具有一個URL的過程。具體流程為：

第一步驟，User?Agent向URL站點標(biāo)識自身的認(rèn)證(Identity)URL，即User?Agent在URL站點所設(shè)定的網(wǎng)頁中加入OpenID?Server的地址信息。

第二步驟，User?Agent向認(rèn)證管理模塊Consumer提交聲明的Identity(Claimed?Identity)，攜帶有Identity?URL和聲明Identity服務(wù)器，在進(jìn)行身份認(rèn)證之前稱為聲明的Identity，這是因為可能是User?Agent聲明的假身份。

第三步驟，Consumer認(rèn)證管理模塊為了驗證User?Agent提交聲明的Identity，到該聲明的Identity攜帶的聲明Identity服務(wù)器，即URL站點獲取到User?Agent的Identity?URL。

第四步驟，Consumer認(rèn)證管理模塊比較得到所獲取到的Identity?URL和該聲明的Identity攜帶的dentity?URL相同后，與OpenID?Server建立聯(lián)系，獲得共享密鑰(建立聯(lián)系的這個步驟可選)，交換用戶的Identity?URL和用戶的URL，在交換時，由于用戶的URL可能加密存儲在OpenID?Server中，所以可以用密鑰解密得到用戶的URL。

第五步驟，Consumer認(rèn)證管理模塊向User?Agent確認(rèn)身份，攜帶UserAgent要重定向到的OpenID?Server以及用戶的URL。

第六步驟，User?Agent通過cookie或其他認(rèn)證機(jī)制登錄到OpenIDServer，登錄時輸入用戶的URL。

第七步驟，OpenID?Server對User?Agent進(jìn)行認(rèn)證后，發(fā)送響應(yīng)信息給User?Agent，攜帶重定向回Consumer認(rèn)證管理模塊的信息。