本申請是華為技術有限公司于2008年04月26日提交中國專利局、申請號為200810094877.6、發明名稱為“提高網絡身份認證安全性的方法和裝置”的發明專利申請的分案申請。?

技術領域

本發明涉及通信技術領域，特別涉及一種提高網絡身份認證安全性的方法和裝置。?

背景技術

Web?Service（服務）是描述一些操作的接口，可以使用標準化的XML（eXtensible?Markup?Language，可擴展標記語言）消息傳遞機制通過網絡訪問這些操作。一個Web?Service可以單獨或協同其它Web?Service一起用于實現復雜的功能或商業交易。?

終端可能會使用多種Web?Service，但并不是所有服務都位于其網絡運營商的信任域內。為了提高終端的用戶體驗，現有技術提供了一種身份聯合方式，即網絡身份，用來描述在多種網絡服務中，使提供給終端的狀態或數據保持一致。?

網絡身份消息交換中，會涉及四個實體：SP（Service?Provider，服務提供商）、IDP（Identity?Provider，身份提供商）、DS（Discovery?Service，發現服務）和AP（Attribute?Provider，屬性提供商）。其中，SP是為主體用戶提供服務和/或貨物的實體。IDP用于生成、維護和管理主體用戶的身份信息，并且能夠為某認證域（甚至信任圈）中的其他服務提供商提供認證斷言。DS允許不同的實體（如服務提供商）動態地發現一個主體的已注冊的服務。例如，當DS確定了所需服務的類型，且符合用戶設定的權限，表示該實體上的信息允許向相關實體提供，DS將會向相關實體回復一個服務描述，包括所需的實體服務的WSDL（Web?Service?Description?Language，Web服務描述語言）。DS還可以用作安全記號服務，向請求者發送該安全記號，請求者在向DS請求服務時，需要出示這個記號。AP用于提供某個主體用戶的屬性。?

現有技術中，一個主體用戶使用某個SP完成某項業務時，需要通過IDP的身份認證，以及屬性提供商提供給SP所需查詢的屬性（例如，主體用戶的位置信息）共同完成服務。通?過用戶在IDP上完成認證工作，信任圈內的其他實體能夠利用IDP對用戶的認證信息，通過NI（Network?Identity，網絡身份）對用戶身份進行識別，并在此基礎上對用戶的Attibute信息進行獲取，并基于此開展相關的業務應用。主體用戶請求服務以及NI認證過程如下：?

1）主體用戶用HTTP向SP發起一個請求；?

2）SP接收到主體用戶發起的請求后，向IDP發送核對該主體用戶的認證狀態的請求；?

3）IDP收到SP發送的請求后，向SP返回回復請求，該回復請求包括一個描述用戶認證狀態的認證斷言，還可以包括訪問主體用戶的發現服務實體所需的bootstrap信息（可選項）；?

如果SP處沒有有效的SSO（Single?Sign－On，單點登錄）內容給主體用戶，主體用戶需要在IDP認證以便建立一個合法的SSO會話；?

4）SP使用來自IDP的bootstrap信息向主體用戶的發現服務實體詢問某個特定屬性提供商；?

5）發現服務實體向SP返回一個認證斷言，包括主體用戶的屬性提供商的地址信息；?

6）SP使用認證斷言中的地址信息訪問屬性提供商，從屬性提供商處請求查詢屬性或有關屬性的操作（例如，刪除或修改屬性）；?

7）屬性提供商向SP返回回復信息；?

8）SP收到屬性提供商的回復信息后，允許或拒絕該主體用戶的請求。?

其中，IDP對主體用戶的認證需要調用外部認證服務器，如LDAP（Light?Directory?Access?Protocol，輕量級目錄訪問協議）或關系數據庫及附加在關系數據庫上的訪問控制協議。?

在對現有技術進行分析后，發明人發現：?

由于網絡中既存在信任圈又存在非信任圈，用戶在向SP請求業務時，可能涉及到信任圈與非信任圈的切換問題，上述現有技術還無法實現信任圈與非信任圈的無縫切換，當從信任圈切換到非信任圈時，有可能造成業務中斷。另外，用戶請求業務時，有可能面臨虛假SP，會使用戶的身份信息等暴露，給用戶帶來損失，存在較大的安全漏洞。?

發明內容

為了提高網絡身份認證的安全性，一方面，本發明實施例提供了一種提高網絡身份認證安全性的方法，應用于web服務，所述方法包括：?