技術領域

本發明涉及移動通訊領域和互聯網領域，涉及一種統一安全認證的方法和系統。

背景技術

各種各樣的認證帳號以及各種各樣的身份信息，如論壇注冊信息，讓人們很容易就忘記和丟失已注冊的帳號或者注冊的身份信息。為了解決這樣的問題，現在很多統一認證登錄(或者叫單點認證和登錄)技術在各政府，企業和學校等機構廣泛使用。

統一認證和登錄技術是指用戶只需要記住一對帳號和密碼，只要登錄一次，便可以直接訪問各種各樣的應用服務。統一登錄技術的好處如下：

減少了用戶依次對各個應用進行登錄的操作時間，從而降低了人工操作的失誤率；

減少了用戶需要記憶的帳號和密碼對，從而提高了系統的安全性；

對多個應用統一身份管理，方便了系統管理員對用戶身份的管理操作，提高了系統的反饋性能。

統一認證和登錄技術在目前來看具有很大的優越性。但對于某些需要二次認證的敏感業務來說，仍然存在需要終端參與的認證過程，從而無法從根本上實現統一認證，另外其安全性也無法得到很好的保證。

發明內容

本發明要解決的技術問題是提供一種統一安全認證的方法和系統，以保證二次認證的安全性。

為解決以上技術問題，本發明提供一種統一安全認證的方法，該方法包括：

A、認證中心(AC)對應用服務器(ASS)進行認證后建立與所述ASS之間的安全通道；

B、所述AC對終端進行認證后，所述終端訪問所述ASS；

C、需要對所述終端二次認證時，所述ASS向所述AC獲取所述終端的身份信息，并根據所述AC通過所述安全通道返回的所述終端的身份信息進行二次認證。

進一步地，步驟A中所述AC與所述ASS建立安全通道的流程包括：

A1、所述AC向所述ASS發起安全通道協商請求，其中攜帶安全通道類型；

A2、所述ASS向所述AC發送安全通道協商響應，其中攜帶加密認證參數；

A3、所述AC收到所述ASS的響應消息后，向所述ASS返回確認消息。

進一步地，所述身份信息中心(IIC)預置各應用服務器及終端的類型信息，所述AC對所述ASS或終端進行認證后，向所述IIC查詢認證對象的類型，若IIC回復所述認證對象是應用服務器，再建立所述安全通道。

進一步地，所述IIC存儲各ASS的權限級別信息，且各終端的身份信息以分級的方式進行存儲；步驟C中，所述ASS獲取的身份信息是與所述ASS的權限級別相應級別的所述終端的身份信息。

進一步地，所述終端的身份信息包括注冊信息和業務信息，是所述終端在所述ASS注冊或訂購業務后由所述ASS經所述AC發送到所述IIC的。

進一步地，所述方法基于用戶身份標識和位置分離網絡實現，所述ASS及所述終端均具有全網唯一的接入身份標識(AID)，步驟C具體包括：

所述終端向所述ASS申請需要二次認證的業務時，所述ASS向所述AC發送終端身份信息查詢請求，其中攜帶所述ASS的AID及所述終端的AID；

所述AC向所述IIC轉發所述查詢請求，所述IIC根據所述ASS的AID查詢所述ASS的權限級別以及根據所述終端的AID查詢所述終端的身份信息，向所述AC發送查詢響應，其中攜帶所述ASS的權限級別對應的所述終端的相應的身份信息；

所述AC通過所述安全通道將所述查詢響應轉發給所述ASS；

所述ASS根據所述AC返回的所述終端的身份信息進行二次認證。

為解決以上技術問題，本發明還提供一種統一安全認證的系統，該系統包括通過網絡連接的應用服務器(ASS)、認證中心(AC)及身份信息中心(IIC)，其中，

所述ASS包括相連接的接入認證模塊、安全通道協商模塊及二次認證模塊，其中，所述接入認證模塊用于與所述AC交互完成接入認證；所述安全通道協商模塊用于與所述AC協商建立安全通道；所述二次認證模塊，用于向所述AC請求獲取需二次認證的終端的身份信息，以及根據獲取的所述終端的身份信息進行二次認證；

所述AC包括相連接的認證模塊、安全通道協商模塊及終端身份信息轉發模塊，其中，所述認證模塊用于對所述終端及應用服務器進行認證；所述安全通道協商模塊用于與所述ASS協商建立安全通道；所述終端身份信息轉發模塊，用于根據所述ASS的請求將從所述IIC獲取所述終端的身份信息通過所述安全通道轉發給所述ASS；

所述IIC，用于保存終端的身份信息以及向所述AC提供所述身份信息。