技術領域

本發明涉及網絡技術領域，尤其涉及網絡身份認證服務器及其方法與系統。

背景技術

身份管理(Identity?Management，簡稱IdM)是指以網絡和相關支持技術為基礎，對用戶身份的生命周期(使用過程)以及這些身份與網絡應用服務之間的關系進行管理。例如，對訪問應用和資源的用戶進行認證或授權等。身份管理系統主要指網絡實體(用戶或者設備)的標識和屬性在網絡上進行統一管理和應用。

當前IdM系統的研究目標是將涉及網絡和業務的所有身份標識在統一的架構下進行管理和使用，從而實現全球網絡單點登陸。然而身份標識涉及到人類和自然界活動的各個層面，涉及到國家、企事業單位等不同層面機構和個人用戶的利益，人們不可能在全球范圍內使用單一類型的IdM，再加上網絡分布式特征，各不同行業對IdM所采用的技術和架構有較大差異。這導致網絡上存在多種不同類型的IdM系統，相互之間的兼容性成了很大的問題。因此IdM要形成統一的平臺，必然要求不同的IdM提供商之間，具有良好的互操作性?；ゲ僮餍?Interoperation)是指為了相互利益，獨立的IdM系統之間互相協作，進行有效信息的交換(例如，用戶信任信息)和通信等操作的能力。不同類型IdM之間身份信息的互操作性問題，是當前阻礙IdM系統進一步應用的主要技術障礙。

為了解決不同IdM的互操作性問題，越來越多的國際標準組織及各種機構都投入大量的技術力量對IdM技術的互操作性進行研究，并加緊提出各自的標準或規范，然而當前提出的許多方法的大多是基于以下兩個原理：一是有某種商業關系的兩個或多個IdM系統，兩兩進行互聯，通過二者之間建立相應的轉換模塊將各自的協議進行互換，從而達到通信雙方的信任并能夠識別相互的格式，從而實現不同IdM系統之間的互操作性。

在這種模型中，當IdM要完成與其它IdM系統的關聯則必須兩兩之間建立相應的關聯模塊，工作量呈指數增長。如果其中一個IdM系統的認證策略發生改變后，與其連接的IdM系統都必須進行相應的修改，這對身份提供商來說是極不方便的，不利于系統的擴展，成本較高。這種模型只適于解決小范圍的IdM的互通互聯，具有很大的局限性。二是提出一種新的通用身份管理系統，因為這是一種全球通用的身份管理系統，所以能夠很好的實現不同身份管理的互操作性。然而這種模型是一種新的設計，加入了許多與已有IdM系統不相兼容的新特征(例如新的命名格式)，這就勢必需要對已有的IdM系統進行較大改變，在當前階段這是不現實的。

在當前階段，我們還不能較好的實現不同IdM系統的身份提供商(Identity?Provide，IdP)之間的互聯互通。目前典型應用，如圖1所示，一個服務提供商(Service?Provider，SP)要和多個身份提供商IdP實現互聯，就需要和每個身份提供商IdP之間建立單獨的關聯模塊。服務提供商SP為了得到更多的用戶群，就必須自己開發與各個身份提供商IdP之間的關聯模塊，并且如果某個身份提供商IdP認證策略發生改變，服務提供商SP與之關聯的模塊也必須要進行相應的修改。以上方案中，對服務提供商SP來說是非常不方便的，尤其是當身份提供商IdP的數量較多時，會給服務提供商SP造成很大的負擔。

發明內容

本發明要解決的技術問題在于，針對現有技術的上述缺陷，提供一種網絡身份認證服務器及其方法與系統，其可以結合各個網站的身份認證功能，讓網站之間有一個統一的身份認證管理，以將各自的用戶結合起來，形成用戶群高度共享的平臺。

本發明解決其技術問題所采用的技術方案是：

構造一種網絡身份認證服務器，其中，包括：

服務提供商請求接收模塊，用于接收來自服務提供商的請求信息，將該請求信息進行標記，并使網絡身份認證服務器與請求的用戶建立連接；

身份提供商信息存儲模塊，用于存儲所有與網絡身份認證服務器連接的身份提供商的信息；

身份提供商選擇模塊，用于在用戶沒有綁定的身份提供商時，向用戶發送身份提供商選擇信息，提示用戶選擇身份提供商；

身份提供商請求發送模塊，在用戶選擇了身份提供商后，向所選定的身份提供商發送包含唯一標記的請求信息，將用戶重定向到選定的身份提供商進行身份認證；

認證結果反饋模塊，用于接收身份提供商反饋的認證結果，并將所述認證結果轉發給所述服務提供商。

本發明所述的網絡身份認證服務器，其中，所述身份提供商選擇模塊包括：

身份提供商綁定單元，用于在用戶沒有綁定的身份提供商時，提示用戶注冊用戶名，并選擇與一個或多個身份提供商進行綁定；