CN101291220B - 一种身份安全认证的***、装置及方法 - Google Patents
一种身份安全认证的***、装置及方法 Download PDFInfo
- Publication number
- CN101291220B CN101291220B CN2007101004921A CN200710100492A CN101291220B CN 101291220 B CN101291220 B CN 101291220B CN 2007101004921 A CN2007101004921 A CN 2007101004921A CN 200710100492 A CN200710100492 A CN 200710100492A CN 101291220 B CN101291220 B CN 101291220B
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- sign
- authenticating
- center
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Abstract
一种身份安全认证的***、装置及方法,该***包括身份认证中心、用户身份认证中心和业务处理单元,其中,所述用户身份认证中心,用于为身份认证中心分配身份认证中心标识,为业务处理单元分配标识;所述身份认证中心,用于对用户注册,分配唯一标识用户的用户虚拟标识,发送该用户虚拟标识和分配的用户身份认证中心标识给该用户;所述业务处理单元,用于接收业务请求,根据该请求携带的用户虚拟标识和用户身份认证中心标识对用户认证,处理该请求。本发明不仅能够提高用户身份认证的安全性,而且有效地保护用户身份信息的隐私。
Description
技术领域
本发明涉及在网络中进行身份认证技术,特别涉及一种身份安全认证的***、装置及方法。
背景技术
随着电信网络和互联网络应用的普及,越来越多的用户开始通过网络接受服务。在通过网络接受服务时,需要进行身份认证,目前提供服务的网络大多采用用户名和口令的方式来识别用户身份,这就需要用户经常性地输入自己的用户名和口令。这种身份认证方式存在着弊端:一方面,随着用户接受不同网络提供不同服务的增多,用户在进行不同网络认证时,需要输入不同的口令,这给用户造成不必要的烦琐过程和记忆上的困难;另一方面,用户经常性地在网络中输入用户名和口令,这会相应增加口令被恶意破解的机率,即增加用户的隐私信息泄漏的机率。
为了克服上述缺陷,在网络中提出了对用户身份进行管理的技术。身份管理就是对身份、对为用户提供服务实体的认证处理和一定范围内对该实体认证相关信息所进行的安全管理。为用户提供服务的实体可以是任何在网络中被唯一识别的事物、人、动物、设备、对象、组、组织和信息对象等。为用户提供服务的实体在不同的应用范围内可能具有多个身份。认证过程的范围可以是在网络中设定的一个组织内,也可以是跨越网络中设定的多个组织。
由于与身份相关的信息是在网络认证过程中随时间发生变化的,因此,必须对身份相关的信息进行管理。为用户提供服务实体的有些信息为非正式的且变化比较频繁,有些为正式的且具体,比如说用户,基于政治的组织角色以及财务账户通常是稳定的。身份的属性通常会安全地存储于网络中的令牌、目录、访问设备或者是网络中的数据库管理***中。
身份认证管理技术包含的任务是在安全和信息域里巩固、管理和交换为用户提供服务的实体信息。在网络中建立身份认证管理构架可以使业务提供者(SP,Service Provider)在网络中通过使用授权、认证、接入控制机制和策略管理机制为用户提供可靠、可信和安全的业务。
目前,在网络中建立的用户身份认证管理架构如图1所示,包括:开放标识服务器(OpenID Server)、统一资源定位格式(URL,Uniform ResourceLocator)站点、用户代理(User Agent)和用户(Consumer)认证管理模块。其中,User Agent位于网络中的用户侧,OpenID Server、URL站点和Consumer认证管理模块位于网络中的网络侧。在OpenID Server中,存储用户对应的URL,可以采用加密的方式存储用户对应的URL。整个身份认证过程就是确认一个用户具有一个URL的过程。具体流程为:
第一步骤,User Agent向URL站点标识自身的认证(Identity)URL,即User Agent在URL站点所设定的网页中加入OpenID Server的地址信息。
第二步骤,User Agent向认证管理模块Consumer提交声明的Identity(Claimed Identity),携带有Identity URL和声明Identity服务器,在进行身份认证之前称为声明的Identity,这是因为可能是User Agent声明的假身份。
第三步骤,Consumer认证管理模块为了验证User Agent提交声明的Identity,到该声明的Identity携带的声明Identity服务器,即URL站点获取到User Agent的Identity URL。
第四步骤,Consumer认证管理模块比较得到所获取到的Identity URL和该声明的Identity携带的dentity URL相同后,与OpenID Server建立联系,获得共享密钥(建立联系的这个步骤可选),交换用户的Identity URL和用户的URL,在交换时,由于用户的URL可能加密存储在OpenID Server中,所以可以用密钥解密得到用户的URL。
第五步骤,Consumer认证管理模块向User Agent确认身份,携带UserAgent要重定向到的OpenID Server以及用户的URL。
第六步骤,User Agent通过cookie或其他认证机制登录到OpenIDServer,登录时输入用户的URL。
第七步骤,OpenID Server对User Agent进行认证后,发送响应信息给User Agent,携带重定向回Consumer认证管理模块的信息。
OpenID Server对User Agent进行认证时,比较自己存储的用户的URL(如果是加密存储,可以解密后得到用户的URL)和User Agent登录时输入的URL相比较,如果相同,认证通过。
第八步骤,User Agent将响应消息发送给Consumer认证管理模块。
这样,就完成了对User Agent的身份认证,User Agent可以在网络中进行相关业务的请求,网络侧可以对用户请求的业务进行处理。在图1所示的架构中,OpenID Server和URL站点在同一个服务器上或完全分离。
图1所示的架构是采用URL对用户的身份进行认证的,所以只适用于互联网,不适用于移动网。另外,对用户身份认证的手段单一,只能采用URL对用户身份认证。
图1所示的架构在认证用户身份时,无法满足对用户身份隐私性保护的需求。网络侧对所存储用户身份信息的隐私保护,是通过加密用户身份信息方式来实现,但是这种方式带来效率低下和复杂密钥管理等问题,且保护用户身份信息隐私的安全性不高。另外,在认证用户身份时,还是采用用户真实的URL认证,这会降低用户身份认证的安全性。
发明内容
本发明实施例提供一种身份安全认证的***,该***不仅能够提高用户身份认证的安全性,而且有效地保护用户身份信息的隐私。
本发明实施例还提供一种身份安全认证的装置,该装置不仅能够提高用户身份认证的安全性,而且有效地保护用户身份信息的隐私。
本发明实施例提供一种身份安全认证的方法,该方法不仅能够提高身份认证的安全性,而且有效地保护用户身份信息的隐私。
根据上述目的,本发明实施例的技术方案是这样实现的:
一种身份安全认证的***,包括身份认证中心、用户身份认证中心和业务处理单元,其中,
所述身份认证中心,用于为用户身份认证中心分配用户身份认证中心标识,为业务处理单元分配标识;所述用户身份认证中心,用于对用户注册,分配唯一标识用户的用户虚拟身份标识,发送该用户虚拟身份标识和所述用户身份认证中心标识给所述用户;
所述业务处理单元,用于接收业务请求,根据该请求携带的虚拟身份标识和用户身份认证中心标识对用户认证,处理该请求。
一种身份安全认证的方法,身份认证中心为用户身份认证中心分配用户身份认证中心标识,为业务处理单元分配标识;该方法还包括:用户身份认证中心对用户注册,为用户分配唯一标识用户的用户虚拟身份标识后,发送该用户虚拟身份标识和所述用户身份认证中心标识给所述用户;业务处理单元接收用户发送的业务请求,根据该请求携带的用户身份认证中心标识和该用户虚拟身份标识处理该请求。
一种控制用户身份认证的装置,包括用户身份认证中心单元、业务处理控制单元和身份认证管理单元,其中,
用户身份认证中心单元,用于为用户身份认证中心分配标识,管理和认证用户身份认证中心,设置用户身份认证中心的交互策略;
业务处理控制单元,用于为提供业务处理的实体分配标识,管理和认证提供业务处理的实体,设置提供业务处理的实体的交互策略;
所述身份认证管理单元,用于控制用户身份认证中心单元和业务处理控制单元之间的交互。
从上述方案可以看出,本发明实施例在网络中设置对用户的不同业务类型认证的用户身份认证中心,且通过身份认证中心控制管理用户身份认证中心和处理不同类型业务的业务处理单元,不同类型业务的业务请求采用对应的用户身份信息认证。因此,本发明实施例由于可以按照业务类型分别存储用户身份信息,所以有效地保护用户身份信息的隐私。另外,在用户注册后,用户身份认证中心为用户分配唯一标识用户的虚拟身份标识(UVID,UserVirtual Identity),用户直接采用该UVID向业务处理单元发送业务请求,业务处理单元根据该UVID认证后,处理该业务请求。因此,本发明实施例由于在发起不同类型业务的业务请求时,携带的为UVID,所以不仅提高用户身份认证的安全性,而且不会给用户造成不必要的烦琐过程和记忆上的困难。
附图说明
图1为现有技术在网络中建立的用户身份认证管理架构示意图;
图2为本发明实施例在网络中建立的用户身份认证管理架构示意图;
图3为本发明实施例在网络中进行用户身份认证的方法流程图;
图4为本发明实施例SP处理业务请求的方法流程图;
图5为本发明实施例的控制用户身份认证的装置示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明实施例作进一步的详细描述。
本发明实施例在网络中建立用户身份认证管理架构,该架构可以按照业务类型分别管理一个用户的不同用户身份信息,有效地保护用户身份信息的隐私;在进行业务处理前的认证时,采用分配的用户虚拟身份UVID认证,提高用户身份认证的效率和安全性。
图2为本发明实施例在网络中建立的用户身份认证管理架构示意图,包括:用户身份认证中心(UIAC,User Identity Authentication Center)、身份认证中心(IDAC,Identity Authentication Center)和业务处理单元,其中,
UIAC,用于对用户注册,分配唯一标识用户的UVID,发送UVID和所述UIAC标识给所述用户;
业务处理单元,用于接收业务处理请求,根据该请求携带的UVID和UIAC标识对用户认证,处理该业务请求;
IDAC,用于管理UIAC,分配UIAC标识,管理业务处理单元,分配业务处理单元标识。
在本发明实施例中,该管理架构还包括用户,用于向UIAC注册,接收UIAC发送的UVID和UIAC标识;向业务处理单元发送携带UVID和UIAC标识的业务请求。
在本实施例中,UIAC可以具有多个,分别存储用户的不同类型业务的用户身份信息,分别针对用户不同类型业务的用户身份信息,对用户认证。
多个UIAC之间直接进行交互,在一个UIAC第一次对用户注册时给用户分配UVID后,其他UIAC再对用户针对其他类型业务的身份信息注册时,不给用户分配UVID,其他UIAC进行交互获知已经给用户分配了UVID,且将该UVID和存储的相类型业务的用户身份信息相关联。
在本实施例中,业务处理单元为SP,当然,也可以包括网络和/或网络中的设备。
在本实施例中,业务处理单元的身份信息以及权限级别可以存储在IDAC中,用于直接对业务处理单元进行认证,或提供给相应的UIAC。
在IDAC中,具体包括:用户身份认证中心单元(UIACU,User IdentityAuthentication Center Unit),用于对至少一个UIAC进行控制管理;网络身份管理单元(NIDU,Network Identity Unit),用于对网络身份信息进行控制管理;设备身份管理单元(DIDU,Device Identity Unit),用于对网络中的设备身份信息进行管理控制;业务提供者身份管理单元(SPIDU,ServiceProvider Identity Unit),用于对业务提供者身份信息进行管理控制;身份认证管理单元(IDAMU,Identity Authentication Manage Unit),用于控制实现UIACU、NIDU、DIDU、SPIDU分别和IDAMU之间的信息交互。
在本实施例中,UIACU可以具有多个,分别对应控制管理不同的UIAC。相应地,NIDU也可以具有多个,DIDU也可以具有多个,分别管理控制存储不同设备身份信息的不同设备;SPIDU也可以具有多个,分别管理控制存储不同SP身份信息的SP。
在本实施例中,IDAC也可以只包括SPIDU。
在本实施例中,NIDU、DIDU和SPIDU可以统称为业务处理控制单元,当IDAC只包括SPIDU时,该业务处理控制单元可以只包括SPIDU。
以下对图2中的各个功能模块进行详细叙述。
IDAC是网络中最高权威认证管理单元,直接管理控制各个业务处理单元以及各个UIAC,用户通过UIAC可以与IDAC进行交互。
IDAC提供的功能为:可以认证SP身份、网络身份、设备身份以及UIAC身份;能够存储并管理SP身份信息、网络身份信息、设备身份信息以及UIAC身份信息,存储时可以集中存储或分别存储在不同的相应单元中,存储的形式可以是身份信息列表,也可以直接存储到不同的相应单元中;能够实现不同身份信息的交互,如将管理的SP列表发送给UIAC,实现业务处理单元和UIAC之间的信息交互。
UIAC,一般可以按照业务类型划分,这使得用户身份信息可以按照业务类型分别存储在不同的UIAC中,对应的唯一标识用户的UVID也可以存储在不同的UIAC中。也就是说,每个UIAC中存储的为用户部分身份信息,因此可以很好保护用户身份信息的隐私。每个UIAC都有一个标识,由IDAC中的UIACU对UIAC认证并分配。UIAC中存储有能够提供该业务类型的业务处理单元列表,如SP列表,该列表可以从IDAC中获得或直接与SP交互,从SP获取到。UIAC可以和用户之间按照设定的认证方法对用户的注册进行认证,如可以采用AKA,PKI等认证方法,也可以根据用户业务类型要求的安全级别来确定认证方法,进行认证。当认证通过后,UIAC给该用户分配一个唯一的UVID以及有效期,且与存储的SP列表相关联,该有效期一般按照业务类型的安全等级来设定,业务类型的安全等级越高,UVID的有效期越短。为用户提供其他类型业务服务的UIAC可以与为用户认证过的UIAC中获取到该UIAC为该用户分配的UVID。当用户下次再到另一个UIAC中注册时,注册成功后存储对应业务类型的用户身份信息到该UIAC中,该UIAC不用再次为用户分配UVID。当UVID的有效期满时或者用户身份信息变更时,用户可以向当前UIAC申请更新UVID或者更新自己的身份信息。当用户在注册后,需要申请业务时,可以向处理该类型业务的业务处理单元发送携带UVID和UIAC标识的业务请求,由业务处理单元处理该业务请求。
在本实施例中,UIAC可以获取用户身份信息模块和发送用户身份信息模块,其中,所述获取用户身份信息模块;用于获取用户身份信息,所述发送用户身份信息模块,用于将用户身份信息发送给对应的业务处理单元。
SP,用SP标识进行识别,即SPID由IDAC中的SPIDU分配,SP可以存储SP身份信息以及SP列表,并且按照SP可以提供的业务类型将SP身份分类且与UVID和UIAC标识相关联,将SP列表在发送给对应的UIAC。接收到业务请求的SP可以对该业务请求携带的UVID和UIAC标识进行认证,查询并获取需要申请业务的用户身份信息。如果该SP具备本地数据库,且具有下载用户身份信息的权限级别,该权限级别可以由IDAC中的SPIDU根据SP的级别进行分配,能够直接从UIAC中获取用户身份信息并加密保存到本地,还可以对用户身份信息进行定期更新。另外,UIAC也可以直接和对应的SP进行关联,保证SP中的用户身份信息为用户的最新身份信息。
UIACU,用于处理与UIAC相关的业务,如对UIAC进行认证和分配UIAC标识,向UIAC发送业务处理单元列表等,位于IDAC中,是IDAC管理和控制UIAC的一个逻辑模块。
NIDU,用于处理与网络相关的业务,如认证网络身份、存储并管理网络身份信息等,是IDAC管理和控制网络的一个逻辑模块。
DIDU,用于处理与网络中设备相关的业务,如认证设备身份、存储并管理设备身份信息等,是IDAC管理和控制网络中设备的一个逻辑模块。
SPIDU,用于处理与业务提供者单元相关的业务,如认证SP身份、存储并管理SP身份信息等,是IDAC管理和控制业务提供者单元的一个逻辑模块。
IDAMU,用于对UIACU、NIDU、DIDU和SPIDU之间的信息交互进行控制,是IDAC统一管理UIACU、NIDU、DIDU和SPIDU的一个逻辑模块。
本发明实施例还提供一种在网络中进行用户身份认证的方法,如图3所示,其具体步骤为:
步骤300、UIAC接收到用户注册,对用户进行认证。
认证方法可以采用现有的AKA和PKI,或者获取用户注册的业务类型,根据设定的业务类型安全级别对应的认证方法进行认证。
在本步骤中,用户发起业务注册时,到处理该业务类型的UIAC进行认证,也就是该UIAC存储有对应该业务类型的用户身份信息,这不是用户全部的身份信息,便于保护用户身份信息的隐私。
步骤301、用户通过认证后,UIAC判断该用户是否已经分配了UVID,如果是,执行步骤302;如果否,执行步骤303。
在本实施例中,有几种方式可以判断该用户是否已经被分配了UVID。
第一种方式,UIAC可以访问为用户分配了UVID的UIAC,确定该用户的用户身份信息是否关联有UVID,如果是,则确定该用户已经分配了UVID;
第二种方式,在该用户被分配了UVID时,由为该用户分配UVID的UIAC通过IDAC确定对该用户的其他部分用户身份信息进行管理的UIAC,直接将该UVID发送给对该用户的其他部分用户身份信息进行管理的UIAC,对该用户的其他部分用户身份信息进行管理的UIAC将接收到的UVID与所存储的该用户部分的身份信息进行关联,从而可以确定出该用户是否分配了UVID。
步骤302、UIAC向该用户返回注册通过消息,携带已经为用户分配的UVID和UIAC标识,转入步骤304。
步骤303、UIAC给该用户分配UVID后,向该用户返回注册通过消息,携带UVID和UIAC标识,转入步骤304。
在给该用户分配UVID后,可以将该UVID直接将该UVID发送给管理用户其他部分身份信息的UIAC。
步骤304、用户接收到注册通过消息后,向业务处理单元发送携带UIAC标识和UVID的业务请求,业务处理单元接收到该业务请求后,处理该业务请求。
在本实施例中,为用户分配的UVID还可以具有有效期限,在步骤301中,还可以进一步判断为用户分配的UVID的有效期限是否到达,如果是,则直接执行303,否则,执行步骤302。
以下以业务处理单元是SP为例详细介绍业务处理单元接收到业务请求时,如何进行处理的过程。
图4为本发明实施例SP处理业务请求的方法流程图,其具体步骤为:
步骤401、SP接收到用户发送的业务请求,该请求包含用户的UVID和UIAC标识。
步骤402、SP对该业务请求进行认证,认证通过后,执行步骤403。
进行认证的过程有两种方式:
一种方式,SP拥有本地数据库且下载用户身份信息的权限级别,这时,SP存储有UVID和UIAC标识对应的所服务用户的身份信息(该身份信息从UIAC获取),直接进行认证,认证采用的方法可以为现有技术。
第二种方式,SP没有存储UVID和UIAC标识对应的用户身份信息,则向具有该业务请求携带UIAC标识的UIAC发送携带包含SP标识和UVID的用户身份信息查询请求,UIAC判断所存储的业务处理单元列表中是否有该SP标识对应的SP且该SP是否有权限获得用户的身份信息,如果是,则发送用户的身份信息给SP(在发送时,可以采用加密手段保护用户身份信息的安全传送),SP根据获得的用户身份信息进行认证;否则,则给SP返回认证失败消息,此次认证失败。
采用这两种方式的情况不同,当SP接收到用户发送的业务请求后,会判断是否存储有该UVID和该UIAC对应的用户身份信息,如果是,采用第一种方式进行;如果否,则有三种可能,第一种可能是SP第一次处理该用户的业务请求,另一种是SP没有本地数据库且有下载用户身份信息的权限,再一种是SP没有下载用户身份信息的权限级别,这时都可以采用第二种方式进行。
步骤403、SP向用户发送用户认证成功信息,执行该业务请求。
在本发明实施例中,用户还可以对存储在UIAC中的用户身份信息进行更新,即发送携带用户更新后身份信息的更新身份信息请求给UIAC,UIAC更新存储的用户身份信息,且对应于用户UVID将更新的身份信息发送给IDAC,以便IDAC中相应的UIACU管理,或直接提供给业务处理单元在处理业务请求时进行认证。
本发明实施例还提供一种控制用户身份认证的装置,如图5所示,该装置包括:UIACU、业务处理控制单元和IDAMU,其中,
所述UIACU,用于为UIACU分配标识,管理和认证UIACU,设置UIACU的交互策略;
所述业务处理控制单元,用于为提供业务处理的实体分配标识,管理和认证提供业务处理的实体,对提供业务处理的实体进行认证,设置提供业务处理的实体的交互策略;
所述IDAMU,用于控制用户身份认证中心单元和业务处理控制单元之间的交互。
在本实施例中,提供业务处理的实体可以为SP,也可以为提供业务服务的网络或设备。当然,提供业务处理的实体最好为SP。
在本实施例中,业务处理控制单元可以只包括SPIDU,也可以包括SPIDU、NIDU或/和DIDU,其中,
NIDU,用于对网络身份信息进行控制和管理,为网络分配标识,为网络设置信息交互策略;
DIDU,Device Identity Unit,用于对网络中的设备身份信息进行管理控制,为设备分配标识,为设备设置信息交互策略;
SPIDU,Service ProviderIdentity Unit,用于对SP身份信息进行管理和控制,为SP分配标识,为SP设置信息交互策略;
IDAMU,Identity Authentication Center Unit,用于控制实现UIACU、NIDU、DIDU、SPIDU分别和IDAMU之间的信息交互。
在本实施例中,NIDU、DIDU和SPIDU可以称为业务处理控制单元,分别对不同的业务处理单元进行处理。当然,当业务处理单元仅仅包括SP时,业务处理控制单元也包括SPIDU。
在本实施例中,网络实际上可以为提供业务服务的网络,如英特网络或下一代网络,还可以为局域网等。
从上述方案可以看出,本发明实施例提供的***、方法及装置可以带来如下的技术效果:
UIAC和用户之间的认证方法可以协商,所以图2所示的***可以适用于各种网络环境,即对各种网络环境下的用户身份信息进行安全管理和保护;
UIAC为用户分配唯一标识用户的UVID,用户不需要再记忆多个接入不同业务处理单元的口令,不会给用户造成不必要的烦琐过程和记忆上的困难;
用户的身份信息按照业务类型在不同的UIAC中存储,即分布式存储用户的身份信息,更有效地保证了用户身份信息的隐私;
用户能够方便地管理自己的身份信息,例如信息的更新,为自己的信息设定访问权限等。
以上是对本发明具体实施例的说明,在具体的实施过程中可对本发明的方法进行适当的改进,以适应具体情况的具体需要。因此可以理解,根据本发明的具体实施方式只是起示范作用,并不用以限制本发明的保护范围。
Claims (16)
1.一种身份安全认证的***,其特征在于,包括身份认证中心、用户身份认证中心和业务处理单元,其中,
所述身份认证中心,用于为用户身份认证中心分配用户身份认证中心标识,为业务处理单元分配标识;
所述用户身份认证中心,用于对用户注册,分配唯一标识用户的用户虚拟身份标识,发送该用户虚拟身份标识和所述用户身份认证中心标识给所述用户;
所述业务处理单元,用于接收业务请求,根据该请求携带的虚拟身份标识和用户身份认证中心标识对用户认证,处理该请求。
2.如权利要求1所述的***,其特征在于,包括至少一个用户身份认证中心,所述用户身份认证中心用于对用户不同类型业务分别进行注册。
3.如权利要求1所述的***,其特征在于,所述用户身份认证中心包括获取用户身份信息模块和发送用户身份信息模块,其中,
所述获取用户身份信息模块,用于获取用户身份信息,
所述发送用户身份信息模块,用于将用户身份信息发送给对应的业务处理单元。
4.如权利要求1所述的***,其特征在于,所述身份认证中心包括用户身份认证中心单元、业务处理控制单元和身份认证管理单元,其中,
用户身份认证中心单元,用于为用户身份认证中心分配标识,管理和认证用户身份认证中心,设置用户身份认证中心的交互策略;
业务处理控制单元,用于为业务处理单元分配标识,管理和认证业务处理单元,设置业务处理单元的交互策略;
所述身份认证管理单元,用于控制用户身份认证中心单元和业务处理控制单元之间的交互。
5.如权利要求4所述的***,其特征在于,所述业务处理单元包括业务提供者。
6.如权利要求5所述的***,其特征在于,所述业务处理控制单元包括业务提供者身份管理单元,用于认证和管理业务提供者,为业务提供者分配业务提供者标识,设置业务提供者的交互策略。
7.如权利要求4所述的***,其特征在于,所述业务处理单元包括网络和/或设备。
8.如权利要求7所述的***,其特征在于,所述业务处理控制单元还包括网络身份管理单元和/或设备身份管理单元,其中,
所述网络身份管理单元,用于认证和管理网络身份,为网络分配网络身份标识,设置网络身份的交互策略;
所述设备身份管理单元,用于认证和管理设备身份,为设备分配设备身份标识,设置设备的交互策略。
9.一种身份安全认证的方法,其特征在于,身份认证中心为用户身份认证中心分配用户身份认证中心标识,为业务处理单元分配标识;该方法还包括:
用户身份认证中心对用户注册,为用户分配唯一标识用户的用户虚拟身份标识后,发送该用户虚拟身份标识和所述用户身份认证中心标识给所述用户;
业务处理单元接收用户发送的业务请求,根据该请求携带的用户身份认证中心标识和该用户虚拟身份标识处理该请求。
10.如权利要求9所述的方法,其特征在于,所述用户身份认证中心针对用户的不同业务类型分类,对用户不同类型业务注册。
11.如权利要求10所述的方法,其特征在于,所述用户身份认证中心对用户不同类型业务注册的方式,对应于不同业务类型安全级别进行设置。
12.如权利要求9所述的方法,其特征在于,所述为用户分配唯一标识用户的用户虚拟身份标识前,还包括:
判断该用户是否已经被分配了用户虚拟身份标识,如果否,为用户分配用户虚拟身份标识;如果是,为用户不分配用户虚拟身份标识。
13.如权利要求12所述的方法,其特征在于,所述为用户不分配用户虚拟身份标识前,还包括:
判断该用户虚拟身份标识是否在设定的有效期内,如果是,继续执行为用户不分配用户虚拟身份标识的步骤;如果否,为用户重新分配用户虚拟身份标识。
14.如权利要求9所述的方法,其特征在于,所述根据该请求携带的用户身份认证中心标识和该用户虚拟身份标识处理该请求为:
判断是否存储有该用户虚拟身份标识和对应的用户身份信息,如果是,根据该信息对用户认证,执行该请求;
如果否,向具有该用户身份认证中心标识的用户身份认证中心发送查询请求,用户身份认证中心确定存储有该用户虚拟身份标识对应的用户身份信息,发送用户身份信息,根据接收的该信息对用户认证,执行该请求。
15.一种控制用户身份认证的装置,其特征在于,包括用户身份认证中心单元、业务处理控制单元和身份认证管理单元,其中,
所述用户身份认证中心单元,用于为用户身份认证中心分配标识,管理和认证用户身份认证中心,设置用户身份认证中心的交互策略;
所述业务处理控制单元,用于为提供业务处理的实体分配标识,管理和认证提供业务处理的实体,设置提供业务处理的实体的交互策略;
所述身份认证管理单元,用于控制用户身份认证中心单元和业务处理控制单元之间的交互。
16.如权利要求15所述的装置,其特征在于,所述业务处理控制单元包括业务提供者身份管理单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101004921A CN101291220B (zh) | 2007-04-16 | 2007-04-16 | 一种身份安全认证的***、装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101004921A CN101291220B (zh) | 2007-04-16 | 2007-04-16 | 一种身份安全认证的***、装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101291220A CN101291220A (zh) | 2008-10-22 |
| CN101291220B true CN101291220B (zh) | 2010-08-18 |
Family
ID=40035321
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101004921A Expired - Fee Related CN101291220B (zh) | 2007-04-16 | 2007-04-16 | 一种身份安全认证的***、装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101291220B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102333092B (zh) * | 2011-09-30 | 2014-05-28 | 北京亿赞普网络技术有限公司 | 一种网络用户识别的方法及其应用服务器 |
| CN103281680B (zh) * | 2013-05-07 | 2015-11-18 | 杭州东信北邮信息技术有限公司 | 实现按需精确营销并保护用户隐私的统一通信***和方法 |
| CN104980428B (zh) * | 2015-04-28 | 2018-09-04 | 腾讯科技(深圳)有限公司 | 一种网络通信方法、装置和*** |
| CN110166246B (zh) * | 2016-03-30 | 2022-07-08 | 创新先进技术有限公司 | 基于生物特征的身份注册、认证的方法和装置 |
| WO2018098950A1 (zh) * | 2016-12-02 | 2018-06-07 | 华为技术有限公司 | 终端中本地授权凭证的使用方法及装置 |
| CN112491836B (zh) * | 2020-11-16 | 2022-04-22 | 新华三技术有限公司合肥分公司 | 通信***、方法、装置及电子设备 |
| CN112100682B (zh) * | 2020-11-23 | 2021-02-19 | 北京软通智慧城市科技有限公司 | 身份信息保护***和方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1656773A (zh) * | 2002-05-24 | 2005-08-17 | 艾利森电话股份有限公司 | 用于对服务供应商的服务验证用户的方法 |
| CN1917711A (zh) * | 2006-08-29 | 2007-02-21 | ***通信集团公司 | 用户标识信息处理方法 |
-
2007
- 2007-04-16 CN CN2007101004921A patent/CN101291220B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1656773A (zh) * | 2002-05-24 | 2005-08-17 | 艾利森电话股份有限公司 | 用于对服务供应商的服务验证用户的方法 |
| CN1917711A (zh) * | 2006-08-29 | 2007-02-21 | ***通信集团公司 | 用户标识信息处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101291220A (zh) | 2008-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11397829B2 (en) | Method for handling privacy data | |
| CN101409592B (zh) | 一种基于条件接收卡实现多应用业务的方法、***及装置 | |
| CN100596361C (zh) | 信息***或设备的安全防护***及其工作方法 | |
| CN101507233B (zh) | 用于提供对于应用程序和基于互联网的服务的可信单点登录访问的方法和设备 | |
| KR101565828B1 (ko) | 자기통제 강화형 디지털 아이덴터티 공유 장치 및 그 방법 | |
| CN101291220B (zh) | 一种身份安全认证的***、装置及方法 | |
| CN107483491A (zh) | 一种云环境下分布式存储的访问控制方法 | |
| US8578452B2 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud computing system | |
| CN111049835B (zh) | 分布式公共证书服务网络的统一身份管理*** | |
| JP2009519557A (ja) | 資源が限られている装置におけるオフライン認証方法 | |
| CN101405759A (zh) | 用户中心私人数据管理的方法和设备 | |
| JP2007110377A (ja) | ネットワークシステム | |
| CN101540757A (zh) | 网络认证方法、***和认证设备 | |
| CN101291221B (zh) | 一种用户身份隐私性保护的方法及通信***、装置 | |
| CN106921678A (zh) | 一种集成异构舰载信息***的统一安全认证平台 | |
| US20040186998A1 (en) | Integrated security information management system and method | |
| JP3770173B2 (ja) | 共通鍵管理システムおよび共通鍵管理方法 | |
| Vossaert et al. | User-centric identity management using trusted modules | |
| KR100639992B1 (ko) | 클라이언트 모듈을 안전하게 배포하는 보안 장치 및 그방법 | |
| Yee et al. | Ensuring privacy for e-health services | |
| JP2001202332A (ja) | 認証プログラム管理システム | |
| CN109905365B (zh) | 一种可分布式部署的单点登录及服务授权***和方法 | |
| CN109600220B (zh) | 用于Java卡的可信服务管理方法和*** | |
| CN109598114B (zh) | 跨平台统一用户账户管理方法及*** | |
| CN113746630A (zh) | 区块链证书管理方法、装置、联盟链及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100818 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |