CN101388773B - 身份管理平台、业务服务器、统一登录***及方法 - Google Patents
身份管理平台、业务服务器、统一登录***及方法 Download PDFInfo
- Publication number
- CN101388773B CN101388773B CN2007101216747A CN200710121674A CN101388773B CN 101388773 B CN101388773 B CN 101388773B CN 2007101216747 A CN2007101216747 A CN 2007101216747A CN 200710121674 A CN200710121674 A CN 200710121674A CN 101388773 B CN101388773 B CN 101388773B
- Authority
- CN
- China
- Prior art keywords
- information
- identity
- terminal
- service server
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种身份管理平台,包括信息接收模块、查询模块及信息发送模块。本发明还涉及一种业务服务器,包括信息接收模块、查询模块、信息发送模块。本发明还涉及一种统一登录***,包括终端,身份管理平台、远程用户拨号认证***服务器、身份联合数据库以及业务服务器。本发明还涉及一种统一登录的方法。本发明所提供的身份管理平台、业务服务器、统一登录***及方法能够实现用户在接入GPRS网络进行一次身份认证后,进行业务访问时无需用户再次进行繁琐的身份认证过程,减少用户业务访问时的繁琐操作,给用户良好体验;且能够保证用户身份信息等重要信息的安全性、可靠性。
Description
技术领域
本发明涉及一种身份管理平台,尤其是一种用于管理终端身份信息的管理平台;本发明还涉及一种业务服务器,尤其是一种能够根据终端的身份信息自动完成登录的业务服务器;本发明还涉及一种统一登录***,尤其是一种能够完成终端统一登录的***;本发明还涉及一种统一登录方法,尤其是一种终端在进行业务访问时,网络侧自动完成终端登录的方法。
背景技术
目前,统一登录认证尚处于研究阶段,实际应用也仅局限于局部领域,例如在业务领域的单点登录和限于插卡式的终端的鉴权认证。在标准组织中,对采用网络附着子***(Network Attachment Subsystem;以下简称:NASS)与IP多媒体***(IP Multimedia Subsystem;以下简称:IMS)的绑定认证,通常是通过网络层的位置信息的认证来完成IMS的用户认证。为了适应向纯IMS***演进的过渡过程中混合网络并存的情况,提出了Early IMS***,IMS网络认证基于通用分组无线业务(General Packet RadioService;以下简称:GPRS)的认证结果,即GPRS认证结束后,GPRS网关支持节点(Gateway GPRS Supporting Node;以下简称:GGSN)将建立用户客户识别码(International Mobile Subscriber Identification Number;以下简称:IMSI)与为用户分配的IP之间的绑定信息;用户登录IMS网络时,S-CSCF仅需检查该用户的IP地址是否是一个已登录的地址,即可完成IMS网络的认证流程。在Early IMS中,核心网的认证过程信任GPRS接入网的认证结果,但其仅仅用于IMS认证传统的2.5G终端,而如果用户需要访问业务,还需要在业务层进行再次认证,也就是说用户在GPRS接入过程中,经过了一次认证过程;接入IMS网络后,使用服务提供商(Service Provider;以下简称:SP)提供的服务的过程中还需要再次认证,认证过程繁琐,且影响用户体验。
发明内容
本发明的第一个方面是提供一种身份管理平台,完成对终端的身份信息进行统一管理,增加身份信息的安全性、可靠性。
本发明的第二个方面是提供一种业务服务器,以实现根据终端的身份信息自动完成终端的登录。
本发明的第三个方面是提供一种统一登录***,实现终端的统一登录,提高网络资源利用率。
本发明的第四个方面是提供一种统一登录方法,完成终端的统一登录过程,避免用户重复操作。
本发明第一个方面通过一些实施例提供了如下的技术方案:
一种身份管理平台,包括信息接收模块,用于接收业务服务器发送的用户身份请求信息,所述用户身份请求信息包括终端的IP地址信息、所述业务服务器的标识信息及服务标识信息;查询模块,与所述信息接收模块连接,用于根据用户身份请求信息查询所述终端的身份信息,其中,所述查询模块包括:第一查询子模块,与所述信息接收模块连接,用于根据接收到的所述终端的IP地址信息,在远程用户拨号认证***服务器上查询所述IP地址信息对应的手机号信息;第二查询子模块,与所述第一查询子模块、所述信息发送模块连接,用于根据所述手机号信息、所述业务服务器的标识信息及服务标识信息,到身份联合数据库中查询所述手机号信息、所述业务服务器的标识信息及服务标识信息对应的身份信息,并将所述身份信息发送给所述信息发送模块;信息发送模块,与所述查询模块连接,用于向所述业务服务器发送查询结果信息。
本发明第一个方面实施例所涉及的身份管理平台,可有效地对终端的身份信息进行管理,增加信息的安全性、可靠性。
本发明第二个方面通过另一些实施例提供了如下的技术方案:
一种业务服务器,包括信息接收模块,用于接收终端发送的服务请求信息和身份管理平台发送的所述终端的身份信息;查询模块,与所述信息接收模块连接,用于读取所述终端的cookie信息中的登录信息,判断所述终端是否已经登录,若终端已经登录或携带有登录信息,则完成登录,若未登录,根据所述终端的IP地址信息、所述业务服务器的标识信息及服务标识信息,在所述身份管理平台中查询所述终端的身份信息;信息发送模块,与 所述查询模块连接,用于向所述身份管理平台发送用户身份请求信息。
本发明第二个方面实施例所涉及的业务服务器,能够在终端请求业务服务时,自动查询所述身份信息,完成所述终端的登录,方便实用。
本发明第三个方面通过另一些实施例提供了如下的技术方案:
一种统一登录***,包括可接入GPRS网络的终端,还包括远程用户拨号认证***服务器,用于存储与所述终端的IP地址信息对应的手机号信息;身份联合数据库,用于存储与所述终端的手机号信息、业务服务器的标识信息及服务标识信息对应的身份信息;身份管理平台,用于根据终端的IP地址信息在所述远程用户拨号认证***服务器上查询对应的手机号信息,并根据查询到的所述手机号信息、业务服务器的标识信息及服务标识信息,在所述身份联合数据库上查询所述终端的身份信息;业务服务器,用于根据所述终端的IP地址信息到所述身份管理平台上查询所述终端的身份信息。
本发明第三个方面实施例所涉及的统一登录***,能够在终端通过GPRS接入网络后,自动完成终端在所要访问的业务服务器上的登录,节省网络资源,提高了网络资源的利用率。
本发明第四个方面通过另一些实施例提供了如下的技术方案:
一种统一登录的方法,包括终端通过GPRS接入网络后,向业务服务器发送服务请求信息;所述业务服务器接收到所述服务请求信息后,读取所述终端的cookie信息中的登录信息,判断所述终端是否已经登录,若终端已经登录或携带有登录信息,则完成登录,若未登录,向身份管理平台发送用户身份请求信息,所述用户身份请求信息包括所述终端的IP地址信息、所述业务服务器的标识信息及服务标识信息;所述身份管理平台根据接收到的所述终端的IP地址信息,获取所述IP地址信息对应的手机号信息,根据所述手机号信息、所述业务服务器的标识信息及服务标识信息,到身份联合数据库中查询所述手机号信息、所述业务服务器的标识信息及服务标识信息对应的身份信息,并发送给所述业务服务器;所述业务服务器根据接收到的所述身份信息,判断是否允许所述终端登录到所述业务服务器。
本发明第四方面实施例所涉及的统一登录方法,用户只需在接入GPRS网络的时进行一次身份认证,而在以后进行的其他业务访问的时候便无需用户再次进行繁琐的身份认证输入过程,此过程由网络自行完成,减少了用户进行业 务访问时的繁琐操作,给用户良好体验。
下面结合附图和具体实施例进一步说明本发明的技术方案。
附图说明
图1为本发明身份管理平台结构示意图;
图2为本发明业务服务器一实施例结构示意图;
图3为本发明业务服务器另一实施例结构示意图;
图4为本发明统一登录***一实施例结构示意图;
图5为本发明统一登录***另一实施例结构示意图;
图6为本发明统一登录***再一实施例结构示意图;
图7为本发明统一登录方法一实施例流程示意图;
图8为本发明统一登录方法另一实施例流程示意图;
图9为本发明统一登录方法中验证流程示意图;
图10为本发明统一登录方法信令示意图。
具体实施方式
如图1所示,一种身份管理平台1,包括信息接收模块11,用于接收业务服务器发送的用户身份请求信息,所述用户身份请求信息包括终端的IP地址信息、所述业务服务器的标识信息及服务标识信息;查询模块12,与信息接收模块11连接,用于根据所述用户身份请求信息查询所述终端的身份信息;信息发送模块13,与查询模块12连接,用于向所述业务服务器发送查询结果信息。
身份管理平台1用于对终端的统一登录进行身份信息的管理,当用户通过终端访问业务服务器上的服务后,业务服务器向身份管理平台1发送用户的身份请求信息,请求用户的身份信息,当信息接收模块11接收到业务服务器器发送的用户身份请求信息查询请求后,由查询模块12根据身份请求信息查询用户的身份信息,查询结束后,将身份信息发送给业务服务器。
进一步地,查询模块12具体包括第一查询子模块121,与所述信息接收模块11连接,用于根据接收到的所述用户身份请求信息中包含的所述终端的IP地址信息,在远程用户拨号认证***服务器上查询所述IP地址信息对应的手机号信息;第二查询子模块122,与第一查询子模块121、信息发送模块13连接,用于根据所述手机号信息、业务服务器的标识信息及服务标识信息,到身份联合数据库中查询对应的身份信息,并将所述身份信息发送给所述信息发送模块13。当信息接收模块11接收到终端的用户身份请求信息查询请求后,将分别调用第一查询子模块121与第二查询子模块122,通过终端的IP地址信息查询手机号,再由所述手机号查询身份信息,最后将得到的终端的身份信息返回。通过身份管理平台实现了对终端的身份信息的统一管理,在网络侧根据信息间相互的对应关系进行查询,既确保了信息的安全性,可靠性,又节省的网络资源。
如图2所示,一种业务服务器2,包括信息接收模块21,用于接收终端发送的服务请求信息和身份管理平台发送的所述终端的身份信息;查询模块22,与所述信息接收模块21连接,用于根据所述终端的IP地址信息到所述身份管理平台中查询所述终端的身份信息;信息发送模块23,与所述查询模块22连接,用于向所述身份管理平台发送用户身份请求信息。
业务服务器2为终端提供业务服务,在提供有效的服务之前,终端应先登录到业务服务器上,信息接收模块21接收终端的服务请求信息,调用查询模块22对所述服务请求信息进行分析判断,具体地,所述查询模块22包括IP地址信息获取子模块221与所述信息接收模块21连接,用于获取所述终端的IP地址信息;身份信息查询子模块224与所述IP地址信息获取子模块221、信息发送模块23连接,用于根据所述IP地址信息、所述业务服务器的标识信息及服务标识信息,在所述身份管理平台中查询所述终端的身份信息。IP地址信息获取子模块221获取到终端的IP地址后,将终端的IP地址信息发送给身份信息查询子模块224,身份信息查询子模块224将查询所用的终端的IP地址、业务服务器自身的 标识信息及用户所要访问的服务标识信息通过信息发送模块23一同发往身份管理平台,查询用户的身份信息。
查询模块22中还可包括Cookie信息读写子模块222和身份标记码信息读取子模块223。Cookie信息读写子模块222与IP地址信息获取子模块221连接,用于读取终端的cookie信息中的登录信息,判断终端是否已经登录,并在所述cookie信息中记录终端的登录信息;Cookie信息读写子模块222读取终端上浏览器中存储的cookie信息,因为cookie信息中记录有终端的登录信息,因此可以通过读取其中信息得知终端是否已经登录成功;Cookie信息读写子模块222还负责在终端登录成功后,在cookie信息中记录所述终端的登录信息;所谓Cookie是Web服务器保存在终端上的一段文本,Cookie允许一个Web站点在用户的终端上保存信息并且随后再取回它;身份标记码信息读取子模块223与IP地址信息获取子模块221连接,用于读取所述终端的统一资源***信息中的身份标记码信息;若Cookie信息读写子模块222判断cookie信息没有所述终端的登录信息,身份标记码信息读取子模块223继续判断所述终端的统一资源***信息中是否有身份标记码信息,若没有,则与IP地址信息获取子模块221、信息发送模块23连接的身份信息查询子模块224根据IP地址信息获取子模块221得到的终端的IP地址信息,并携带业务服务器的标识信息及终端所要要访问的服务所对应的服务标识信息,通过信息发送模块23发送给身份管理平台查询所述终端的身份信息;信息接收模块21接收到所述终端的身份信息查询结果后,根据身份信息完成所述终端的登录。
进一步地,为确保没有其他终端通过IP地址欺骗而获得非法业务服务,如图3所示,所述业务服务器2还包括验证模块24,与所述信息发送模块23连接,用于对所述终端的IP地址信息进行验证。具体地,验证模块24包括业务地址信息获取子模块241,与所述信息接收模块21连接,用于获取所述终端所要访问的业务地址信息;随机数子模块242,与所述业务地址信息获取子模块241、信息发送模块23连接,生成用于验证所用随机数;验证子模块243与所述随机数子模 块242连接,用于对所述终端返回的随机数与所述业务服务器发送给所述终端的随机数进行验证。业务地址信息获取子模块241取得终端所要访问的业务地址信息,随机数子模块242生成一随机数,与所述业务地址信息一起通过信息发送模块2 3发送给所述终端,再由验证子模块243将终端返回的随机数与发送给终端的随机数进行对比验证,通过验证随机数的重定向功能保证终端的身份合法性。
如图4所示,一种统一登录***,包括可接入GPRS网络的终端5,还包括身份管理平台1,用于根据终端的IP地址信息在所述远程用户拨号认证***服务器上查询对应的手机号信息,并根据查询到的所述手机号信息、业务服务器的标识信息及服务标识信息,在所述身份联合数据库上查询所述终端的身份信息;远程用户拨号认证***服务器3,与所述身份管理平台1连接,用于存储与所述终端5的IP地址信息对应的手机号信息;身份联合数据库4,与所述身份管理平台1连接,用于存储与所述终端5的手机号信息、业务服务器的标识信息及服务标识信息对应的身份信息;业务服务器2,与所述终端5、所述身份管理平台1连接,用于根据所述终端的IP地址信息到所述身份管理平台上查询所述终端的身份信息。
如图5所示,统一登录***中包括的身份管理平台1,包括信息接收模块11,用于接收业务服务器发送的用户身份请求信息,用户身份请求信息包括终端的IP地址信息、所述业务服务器的标识信息及服务标识信息;查询模块12与信息接收模块11连接,用于根据用户身份请求信息查询终端的的身份信息;信息发送模块13与查询模块12连接,用于向业务服务器发送查询结果信息。进一步地,查询模块12具体包括第一查询子模块121,与信息接收模块11连接,用于根据接收到的所述用户身份请求信息中包含的所述终端的IP地址信息,到远程用户拨号认证***服务器查询所述IP地址信息对应的手机号信息;第二查询子模块122,与第一查询子模块121、信息发送模块13连接,用于根据所述手机号信息,到身份联合数据库中查询所述手机号信息、业务服务器的标识信息及服务标识信息对应的身份信息,并将所述身份信息通过信息发送模 块13发送给业务服务器。
所述的业务服务器2,包括信息接收模块21,用于接收终端发送的服务请求信息和身份管理平台发送的所述终端的身份信息;查询模块22,与信息接收模块21连接,用于根据所述终端的IP地址信息到所述身份管理平台中查询所述终端的身份信息;信息发送模块23,与查询模块22连接,用于向所述身份管理平台发送用户身份请求信息。具体地,查询模块22IP包括地址信息获取子模块221与所述信息接收模块21连接,用于获取所述终端的IP地址信息;身份信息查询子模块224与所述IP地址信息获取子模块221、信息发送模块23连接,用于根据所述IP地址信息、所述业务服务器的标识信息及服务标识信息,在所述身份管理平台中查询所述终端的身份信息。地址信息获取子模块221获取到终端的IP地址后,将终端的IP地址信息发送给身份信息查询子模块224,身份信息查询子模块224将查询所用的终端的IP地址、业务服务器自身的标识信息及用户所要访问的服务标识信息一同发往身份管理平台,查询用户的身份信息。
查询模块22中还可包括Cookie信息读写子模块222和身份标记码信息读取子模块223。Cookie信息读写子模块222与IP地址信息获取子模块221连接,用于读取终端的cookie信息中的登录信息,判断终端是否已经登录,并在所述cookie信息中记录终端的登录信息;Cookie信息读写子模块222读取终端上浏览器中存储的cookie信息,因为cookie信息中记录有终端的登录信息,因此可以通过读取其中信息得知终端是否已经登录成功;Cookie信息读写子模块222还负责在终端登录成功后,在cookie信息中记录所述终端的登录信息;身份标记码信息读取子模块223,与IP地址信息获取子模块221连接,用于读取所述终端的统一资源***信息中的身份标记码信息;若Cookie信息读写子模块222判断cookie信息没有所述终端的登录信息,身份标记码信息读取子模块223继续判断所述终端的统一资源***信息中是否有身份标记码信息,若没有,则与所述IP地址信息获取子模块221、信息发送模块23连接的身份信息查询子模块224根据IP地址信息获取子模块221得到的终端的IP地址信息,并携带业务服务器的标识信息及 终端所要要访问的服务所对应的服务标识信息,通过信息发送模块23发送给身份管理平台1查询所述终端的身份信息;信息接收模块21接收到所述终端的身份信息查询结果后,根据身份信息完成所述终端的登录。
如图6所示,进一步地,为确保没有其他终端通过IP地址欺骗,而获得非法业务服务,所述业务服务器2还包括验证模块24,与信息发送模块23连接,用于对所述终端的IP地址信息进行验证。具体地,验证模块24包括业务地址信息获取子模块241,与所述信息接收模块21连接,用于获取所述终端所要访问的业务地址信息;随机数子模块242,与所述业务地址信息获取子模块241、信息发送模块23连接,生成用于验证所用随机数;验证子模块243与所述随机数子模块242连接,用于对所述终端返回的随机数与所述业务服务器发送给所述终端的随机数进行验证。业务地址信息获取子模块241取得终端所要访问的业务地址信息,随机数子模块242生成一随机数,与所述业务地址信息一起通过信息发送模块23发送给所述终端,再由验证子模块243将终端返回的随机数与发送给终端的随机数进行对比验证,通过验证随机数的重定向功能保证终端的身份合法性。
综上,本实施例所提供的统一登录***包括了实施例一中涉及的身份管理平台1和实施例二中涉及的业务服务器2,所述终端包括手机、个人数码助理(Personal Digital Assistant;以下简称:PDA)一般是指掌上电脑、以及使用GPRS上网卡的计算机,终端使用的应用程序可以应用会话初始协议(SessionInitiation Protocol;以下简称:SIP)软终端或浏览器等。该***为用户进行业务服务提供了统一的登录功能,避免了现有技术中用户进行反复的登录认证过程,给用户良好体验;且确保了登录过程的安全性与可靠性,节省了网络资源,提高了网络资源利用率、网络登录速度。
如图7所示,一种统一登录的方法,包括步骤100、终端通过GPRS接入网络后,向业务服务器发送服务请求信息;步骤200、所述业务服务器接收到所述服务请求信息后,向身份管理平台发送用户身份请求信息,所述用户身份请求信息包括所述终端的IP地址信息、所述业务服务器的标识信息及服务标识信息; 步骤300、所述身份管理平台根据接收到的所述终端的IP地址信息、所述业务服务器的标识信息及的服务标识信息,查询所述终端的身份信息,并发送给所述业务服务器;步骤400、所述业务服务器根据接收到所述身份信息,判断是否允许所述终端登录到所述业务服务器。
终端通过GPRS接入互联网时,首先要进行用户身份信息的认证,在接入成功后,终端再通过浏览器或SIP软终端来访问超文本传输协议(Hyper TextTransfer Protocol;以下简称:HTTP)业务时,业务服务器将根据终端的IP地址向身份管理平台查询该终端的身份信息;同时也将终端所要访问的业务服务器的标识信息和对应的服务标识信息一同发送给身份管理平台;身份管理平台通过查询身份联合数据库得到终端的身份信息后,返回给业务服务器,业务服务器接收到该身份信息后,将终端接入到所述业务服务,并为其提供服务,从而实现统一登录。
本实施例提供的终端统一登录的方法,在终端通过GPRS接入到互联网以后,在进行服务访问的时候,业务服务器无需用户再次输入认证信息,而是通过终端的IP地址信息向身份管理平台查询该用户的身份信息,在成功得到所述身份信息后,将自动完成终端的登录过程,用户只需在接入GPRS网络的时进行一次身份认证,而在以后进行的其他业务访问的时候便无需用户再次进行繁琐的身份认证输入过程,此过程由网络自行完成,减少了用户进行业务访问时的繁琐操作,给用户良好体验。
基于上述实施例,如图8所示,进一步地,步骤300、所述身份管理平台根据接收到的所述终端的IP地址信息、所述业务服务器的标识信息及的服务标识信息,查询所述终端的身份信息,并发送给所述业务服务器具体包括:步骤3001、所述身份管理平台根据接收到的所述终端的IP地址信息,在远程用户拨号认证***服务器上查询所述IP地址信息对应的手机号信息;步骤3002、所述身份管理平台根据所述手机号信息、所述业务服务器的标识信息及服务标识信息,在身份联合数据库中查询所述手机号信息、所述业务服务器的标识信息及服务标 识信息对应的身份信息,并将所述身份信息返回给所述业务服务器。
身份管理平台是通过与其他网络实体的交互,完成终端的身份信息的查询,具体为身份管理平台在接收到终端的IP地址信息后,将根据所述IP地址信息到远程用户拨号认证***服务器查询所述终端对应的手机号信息;用户登录GPRS时,在远程用户拨号认证***服务器中便记录终端的IP地址和手机号的绑定信息,并且,IP地址被重新分配以后,远程用户拨号认证***服务器中的绑定信息也能够被实时地更新;在得到终端的手机号后,再根据所述手机号信息、业务服务器的标识信息及服务标识信息将到身份联合数据库中查询对应的身份信息,并将所述身份信息返回给所述业务服务器;身份联合数据库中存储有手机号信息、业务服务器标识信息、服务标识信息与用户的身份信息的对应关系。
在进行统一登录的过程中,若出现以下情况,例如所述业务服务器接收到所述服务请求信息后,向身份管理平台发送用户身份请求信息之前,所述业务服务器将首先读取终端浏览器上存储的cookie信息,若记录表示所述终端已经登录到所述业务服务器,无需再登录,则将结束统一登录流程。还有,所述业务服务器接收到所述服务请求信息后,向身份管理平台发送用户身份请求信息之前,所述业务服务器将判断所述终端的统一资源***信息中是否携带有身份标记码信息,若有,则根据该身份标记码信息进行登录,并结束统一登录流程;当所述身份管理平台到远程用户拨号认证***服务器查询所述终端对应的手机号信息时,所述远程用户拨号认证***服务器中并没有存储该信息,则返回查询失败信息,结束统一登录流程,业务服务器将提示用户输入身份信息进行登录;再有,若身份联合数据库中没有存储有手机号信息、业务服务器标识信息及服务标识信息对应的用户的身份信息,则返回查询失败信息,结束统一登录流程,业务服务器将提示用户输入身份信息进行登录。在进行统一登录成功之后,所述业务服务器将在终端浏览器上的cookie中保存所述终端的登录信息,登录信息包括用户名、登录时间、有效期等,Cookie的有效期为固定时间,例如1小时等,在进行用户身份信息查询过程中,并没有暴露用户的手机号,在 提供便利的同时,也保护了用户的隐私。
如图9所示,基于上述统一登录方法的实施例,但与其不同之处在于所述业务服务器接收到所述服务请求信息后,向身份管理平台发送用户身份请求信息之前,还包括防止IP地址欺骗的验证过程,具体为步骤1000、所述业务服务器记录所述终端所要访问的业务地址信息并生成所述随机数;步骤1 001、所述业务服务器向所述终端返回重定向信息,所述重定向信息中包含有业务地址信息、随机数;步骤1002、所述终端接收到所述重定向信息后,根据所述业务地址信息进行重新登录,并将所述随机数返回给所述业务服务器;步骤1003、所述业务服务器验证所述终端返回的随机数与所述业务服务器发送给所述终端的随机数是否一致,若一致,则验证成功;否则,验证失败。业务服务器收到终端的服务请求信息以后,并不立刻进行统一登录提供服务,而是先记录终端所要访问的业务(网页地址),并生成一随机数,返回重定向信息,所述重定向信息中携带了该业务服务器内的一个登录访问页面的地址(如一个HTTPS的登录页面地址),以及所述随机数,该随机数用来标识该终端的此次访问操作,避免恶意攻击等。终端的浏览器收到业务服务器返回的重定向信息后,自动重新连接重定向地址,并将随机数发送回去,业务服务器再将返回的随机数与所发送的随机数相对比,一致则验证通过。通过重定向访问过程,业务服务器可确保该访问请求来自真实用户的地址。本实施例所提供的防止IP地址欺骗的验证过程,在进行统一登录过程之前完成,既保证了所要进行统一登录的终端的身份合法性,避免了其他非法用户通过IP地址欺骗获得非法服务,而且该验证过程不影响后续统一登录流程的进行。
如图10所示,一个终端统一登录方法的优选实施例包括如下步骤:
步骤a、终端通过GPRS接入;终端通过GPRS接入网络后,远程用户拨号认证***服务器记录了终端的IP地址信息;
步骤b、终端向业务服务器发送服务请求信息;
步骤c、业务服务器接收终端发送的服务请求信息,先查询终端浏览器上的 cookie信息,判断终端是否已经登录到业务服务器,或检查终端的统一资源***信息中是否携带登录信息,若终端已经登录或携带有登录信息,则完成登录,否则,执行步骤d;
步骤d、业务服务器向所述终端返回重定向信息,所述重定向信息中包含有业务地址信息、随机数;
步骤e、终端返回接收到的随机数;
步骤f、业务服务器对终端返回的随机数进行验证;
步骤g、业务服务器向身份管理平台发送用户身份请求信息;
步骤h、身份管理平台到远程用户拨号认证***服务器上查找终端IP地址信息对应的手机号信息;
步骤i、身份管理平台根据手机号信息、业务服务器的标识信息、服务器标识信息到身份联合数据库中查询对应的身份信息;
步骤j、身份管理平台将查找的身份信息发送给业务服务器;
步骤k、业务服务器根据身份信息完成终端的登录。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (17)
1.一种身份管理平台,其特征在于,包括:
信息接收模块,用于接收业务服务器发送的用户身份请求信息,所述用户身份请求信息包括终端的IP地址信息、所述业务服务器的标识信息及服务标识信息;
查询模块,与所述信息接收模块连接,用于根据用户身份请求信息查询所述终端的身份信息,其中,所述查询模块包括:
第一查询子模块,与所述信息接收模块连接,用于根据接收到的所述终端的IP地址信息,在远程用户拨号认证***服务器上查询所述IP地址信息对应的手机号信息;
第二查询子模块,与所述第一查询子模块、信息发送模块连接,用于根据所述手机号信息、所述业务服务器的标识信息及服务标识信息,到身份联合数据库中查询所述手机号信息、所述业务服务器的标识信息及服务标识信息对应的身份信息,并将所述身份信息发送给所述信息发送模块;
信息发送模块,与所述查询模块连接,用于向所述业务服务器发送查询结果信息。
2.一种业务服务器,其特征在于,包括:
信息接收模块,用于接收终端发送的服务请求信息和身份管理平台发送的所述终端的身份信息;
查询模块,与所述信息接收模块连接,用于读取所述终端的cookie信息中的登录信息,判断所述终端是否已经登录,若终端已经登录或携带有登录信息,则完成登录,若未登录,根据所述终端的IP地址信息、所述业务服务器的标识信息及服务标识信息,在所述身份管理平台中查询所述终端的身份信息;
信息发送模块,与所述查询模块连接,用于向所述身份管理平台发送用户身份请求信息。
3.根据权利要求2所述的业务服务器,其特征在于,所述查询模块包括:
IP地址信息获取子模块,与所述信息接收模块连接,用于获取所述终端的IP地址信息;
身份信息查询子模块,与所述IP地址信息获取子模块、信息发送模块连接,用于根据所述IP地址信息、所述业务服务器的标识信息及服务标识信息,在所述身份管理平台中查询所述终端的身份信息。
4.根据权利要求3所述的业务服务器,其特征在于,所述查询模块还包括:
Cookie信息读写子模块,与所述IP地址信息获取子模块连接,用于读取所述终端的cookie信息中的登录信息,判断所述终端是否已经登录,并在所述cookie信息中记录所述终端的登录信息;
身份标记码信息读取子模块,与所述IP地址信息获取子模块连接,用于读取所述终端的统一资源***信息中的身份标记码信息;
所述Cookie信息读写子模块读取终端的cookie信息,判断终端是否已经登录,若没登录,则所述身份标记码信息读取子模块再判断所述终端的统一资源***信息中是否有身份标记码信息,若没有,则所述身份信息查询子模块在所述身份管理平台中查询所述终端的身份信息;所述Cookie信息读写子模块还负责在终端登录成功后,在cookie信息中记录所述终端的登录信息。
5.根据权利要求2或3所述的业务服务器,其特征在于,还包括验证模块,与所述信息发送模块连接,用于对所述终端的IP地址信息进行验证。
6.根据权利要求5所述的业务服务器,其特征在于,所述验证模块包括:
业务地址信息获取子模块,与所述信息接收模块连接,用于获取所述终端所要访问的业务地址信息;
随机数子模块,与所述业务地址信息获取子模块、信息发送模块连接,生成用于验证所用随机数;
验证子模块,与所述随机数子模块连接,用于对所述终端返回的随机数与所述业务服务器发送给所述终端的随机数进行验证;
所述业务地址信息获取子模块取得终端所要访问的业务地址信息,所述 随机数子模块生成一随机数,与所述业务地址信息一起通过所述信息发送模块发送给所述终端,再由所述验证子模块将所述终端返回的随机数与发送给所述终端的随机数进行对比验证。
7.一种统一登录***,包括终端,其特征在于,还包括:身份管理平台、远程用户拨号认证***服务器、身份联合数据库和业务服务器;其中
所述身份管理平台,用于根据终端的IP地址信息在所述远程用户拨号认证***服务器上查询对应的手机号信息,并根据查询到的所述手机号信息、业务服务器的标识信息及服务标识信息,在所述身份联合数据库上查询所述终端的身份信息;
所述远程用户拨号认证***服务器,用于存储与所述终端的IP地址信息对应的手机号信息;
所述身份联合数据库,用于存储与所述终端的手机号信息、业务服务器的标识信息及服务标识信息对应的身份信息;
所述业务服务器,用于根据所述终端的IP地址信息到所述身份管理平台上查询所述终端的身份信息。
8.根据权利要求7所述的***,其特征在于,所述身份管理平台为权利要求1中所述的身份管理平台,和/或所述业务服务器为权利要求2至6中任一所述的业务服务器。
9.一种统一登录的方法,其特征在于,包括:
终端接入网络后,向业务服务器发送服务请求信息;
所述业务服务器接收到所述服务请求信息后,读取所述终端的cookie信息中的登录信息,判断所述终端是否已经登录,若终端已经登录或携带有登录信息,则完成登录,若未登录,向身份管理平台发送用户身份请求信息,所述用户身份请求信息包括所述终端的IP地址信息、所述业务服务器的标识信息及服务标识信息;
所述身份管理平台根据接收到的所述终端的IP地址信息,获取所述IP地 址信息对应的手机号信息,根据所述手机号信息、所述业务服务器的标识信息及服务标识信息,到身份联合数据库中查询所述手机号信息、所述业务服务器的标识信息及服务标识信息对应的身份信息,并发送给所述业务服务器;
所述业务服务器根据接收到的所述身份信息,判断是否允许所述终端登录到所述业务服务器。
10.根据权利要求9所述的方法,其特征在于,所述身份管理平台根据接收到的所述终端的IP地址信息、所述业务服务器的标识信息及服务标识信息,查询所述终端的身份信息,并发送给所述业务服务器包括:
所述身份管理平台根据接收到的所述终端的IP地址信息,在远程用户拨号认证***服务器上查询所述IP地址信息对应的手机号信息;
所述身份管理平台根据所述手机号信息、所述业务服务器的标识信息及服务标识信息,在身份联合数据库中查询所述手机号信息、所述业务服务器的标识信息及服务标识信息对应的身份信息,并将所述身份信息返回给所述业务服务器。
11.根据权利要求9所述的方法,其特征在于:所述业务服务器接收到所述服务请求信息后,向身份管理平台发送用户身份请求信息之前,还包括所述业务服务器读取所述终端的cookie信息,若所述终端已经登录到所述业务服务器,则结束。
12.根据权利要求9所述的方法,其特征在于:所述业务服务器接收到所述服务请求信息后,向身份管理平台发送用户身份请求信息之前,还包括所述业务服务器判断所述终端的统一资源***信息中若携带有身份标记码信息,则根据所述身份标记码信息进行登录。
13.根据权利要求9所述的方法,其特征在于,所述业务服务器接收到所述服务请求信息后,向身份管理平台发送用户身份请求信息之前,还包括验证终端IP地址信息。
14.根据权利要求13所述的方法,其特征在于,所述验证终端IP地址信 息包括:
所述业务服务器记录所述终端所要访问的业务地址信息并生成随机数:
所述业务服务器向所述终端返回重定向信息,所述重定向信息中包含有业务地址信息及随机数:
所述终端接收到所述重定向信息后,根据所述业务地址信息进行登录,并将所述随机数返回给所述业务服务器;
所述业务服务器验证所述终端返回的随机数与所述业务服务器发送给所述终端的随机数是否一致,若一致,则验证成功;否则,验证失败。
15.根据权利要求10所述的方法,其特征在于:所述身份管理平台根据接收到的所述终端的IP地址信息,在远程用户拨号认证***服务器上查询所述IP地址信息对应的手机号信息之后,还包括若所述远程用户拨号认证***服务器中无所述对应的手机号信息,则返回查询失败信息并结束。
16.根据权利要求10所述的方法,其特征在于:所述身份管理平台根据所述手机号信息、所述业务服务器的标识信息及服务标识信息,在身份联合数据库中查询所述手机号信息、所述业务服务器的标识信息及服务标识信息对应的身份信息之后,还包括若所述身份联合数据库中无所述对应的身份信息,则返回查询失败信息并结束。
17.根据权利要求9所述的方法,其特征在于:所述业务服务器根据接收到的所述身份信息,判断是否允许所述终端登录到所述业务服务器之后,还包括若登录成功,则所述业务服务器在所述终端的cookie中保存所述终端的登录信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101216747A CN101388773B (zh) | 2007-09-12 | 2007-09-12 | 身份管理平台、业务服务器、统一登录***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101216747A CN101388773B (zh) | 2007-09-12 | 2007-09-12 | 身份管理平台、业务服务器、统一登录***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101388773A CN101388773A (zh) | 2009-03-18 |
| CN101388773B true CN101388773B (zh) | 2011-12-07 |
Family
ID=40477969
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101216747A Active CN101388773B (zh) | 2007-09-12 | 2007-09-12 | 身份管理平台、业务服务器、统一登录***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101388773B (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101998398A (zh) * | 2009-08-11 | 2011-03-30 | 中兴通讯股份有限公司 | 一种访问拜访地服务提供商的***及方法 |
| CN102215107B (zh) * | 2010-04-12 | 2015-09-16 | 中兴通讯股份有限公司 | 一种实现身份管理互操作的方法及*** |
| US8396997B2 (en) | 2011-01-31 | 2013-03-12 | Fan Luk TSANG | System and method for surveillance |
| CN102736571B (zh) * | 2011-04-13 | 2015-06-17 | 上海板机电气制造有限公司 | 一种基于ias的连续压机人机界面数据交互方法和*** |
| CN102333092B (zh) * | 2011-09-30 | 2014-05-28 | 北京亿赞普网络技术有限公司 | 一种网络用户识别的方法及其应用服务器 |
| CN103067337B (zh) * | 2011-10-19 | 2017-02-15 | 中兴通讯股份有限公司 | 一种身份联合的方法、IdP、SP及*** |
| CN103107976A (zh) * | 2011-11-10 | 2013-05-15 | 中国电信股份有限公司 | Cp/sp认证用户身份的方法、***及认证支撑装置 |
| CN102710621B (zh) * | 2012-05-22 | 2016-06-08 | 中兴通讯股份有限公司 | 一种用户认证方法和*** |
| CN102833704A (zh) * | 2012-07-06 | 2012-12-19 | 上海安达通信息安全技术股份有限公司 | 一种基于短信认证的漫游上网***及方法 |
| CN103780654B (zh) * | 2012-10-24 | 2018-05-18 | 华为技术有限公司 | 业务请求处理方法、用户终端、业务路由器及网络*** |
| CN103905395B (zh) * | 2012-12-27 | 2017-03-22 | ***通信集团陕西有限公司 | 一种基于重定向的web访问控制方法及*** |
| CN103118030A (zh) * | 2013-02-22 | 2013-05-22 | 浪潮电子信息产业股份有限公司 | 一种基于桌面云的身份认证方法 |
| CN104468850A (zh) * | 2013-09-12 | 2015-03-25 | 中兴通讯股份有限公司 | 标识信息处理方法及装置 |
| FR3013475B1 (fr) * | 2013-11-19 | 2017-05-19 | Oberthur Technologies | Procede et dispositifs d'authentification pour acceder a un compte utilisateur d'un service sur un reseau de donnees |
| CN105337990B (zh) * | 2015-11-20 | 2019-06-21 | 北京奇虎科技有限公司 | 用户身份的校验方法及装置 |
| CN105847066B (zh) * | 2016-05-24 | 2019-07-09 | 北京瑞星网安技术股份有限公司 | 服务器、终端数据传输处理方法及终端网络管理方法 |
| CN107454111A (zh) * | 2017-09-29 | 2017-12-08 | 南京中高知识产权股份有限公司 | 安全认证设备及其工作方法 |
| CN107733939A (zh) * | 2017-12-12 | 2018-02-23 | 柳州市北龟农业科技孵化器有限公司 | 一种网络咨询服务平台 |
| CN109413032B (zh) * | 2018-09-03 | 2023-04-07 | 中国平安人寿保险股份有限公司 | 一种单点登录方法、计算机可读存储介质及网关 |
| CN111064695A (zh) * | 2018-10-17 | 2020-04-24 | 联易软件有限公司 | 一种认证方法及认证*** |
| CN110750766B (zh) * | 2019-10-12 | 2022-11-04 | 深圳平安医疗健康科技服务有限公司 | 权限验证方法、装置、计算机设备和存储介质 |
| CN114765548B (zh) * | 2020-12-30 | 2023-09-05 | 成都鼎桥通信技术有限公司 | 目标业务的处理方法及装置 |
| CN114973471A (zh) * | 2021-05-12 | 2022-08-30 | 中移互联网有限公司 | 一种门禁认证方法、装置、电子设备及存储介质 |
| CN113343273B (zh) * | 2021-06-30 | 2022-12-30 | 重庆渝高科技产业(集团)股份有限公司 | 一种用户登陆方法、第一服务器及计算机可读存储介质 |
| CN113660266B (zh) * | 2021-08-16 | 2022-11-15 | 平安科技(深圳)有限公司 | 登录失败的处理方法、装置、设备及存储介质 |
| CN115051876A (zh) * | 2022-08-12 | 2022-09-13 | 中兴通讯股份有限公司 | 通信方法、xr联动通信***、运行控制装置及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1436007A (zh) * | 2002-02-02 | 2003-08-13 | 华为技术有限公司 | 移动通信***中用户标识的查询方法及*** |
| CN1780206A (zh) * | 2004-11-23 | 2006-05-31 | 华为技术有限公司 | 互联网身份认证方法及*** |
-
2007
- 2007-09-12 CN CN2007101216747A patent/CN101388773B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1436007A (zh) * | 2002-02-02 | 2003-08-13 | 华为技术有限公司 | 移动通信***中用户标识的查询方法及*** |
| CN1780206A (zh) * | 2004-11-23 | 2006-05-31 | 华为技术有限公司 | 互联网身份认证方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101388773A (zh) | 2009-03-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101388773B (zh) | 身份管理平台、业务服务器、统一登录***及方法 | |
| CN101420416B (zh) | 身份管理平台、业务服务器、登录***及方法、联合方法 | |
| CN103023918B (zh) | 为多个网络服务统一提供登录的方法、***和装置 | |
| CN106685998B (zh) | 一种基于cas统一认证服务中间件的sso认证方法 | |
| US7530099B2 (en) | Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation | |
| CN104253686B (zh) | 账号登录的方法、设备及*** | |
| US8412156B2 (en) | Managing automatic log in to internet target resources | |
| CN101426009A (zh) | 身份管理平台、业务服务器、统一登录***及方法 | |
| CN104426862B (zh) | 实现跨域请求登录的方法、***及浏览器 | |
| CN103634301B (zh) | 客户端及其访问服务器中用户存储的私有数据的方法 | |
| CN103475726B (zh) | 一种虚拟桌面管理方法、服务器和客户端 | |
| US20100049790A1 (en) | Virtual Identity System and Method for Web Services | |
| CN104158818B (zh) | 一种单点登录方法及*** | |
| CN110213223A (zh) | 业务管理方法、装置、***、计算机设备和存储介质 | |
| CN101656711A (zh) | 网站信息验证***及方法 | |
| CN108259431A (zh) | 多应用间共享账号信息的方法、装置及*** | |
| CN102171984A (zh) | 服务提供者访问 | |
| CN108259457B (zh) | 一种web认证方法及装置 | |
| CN101656609A (zh) | 一种单点登录方法、***及装置 | |
| KR20180105653A (ko) | 데이터 프로세싱 및 계층적인 도메인 네임 시스템 존 파일들을 위한 방법, 장치 및 컴퓨터 프로그램 | |
| CN108289101A (zh) | 信息处理方法及装置 | |
| CN109819033A (zh) | 一种资源文件加载方法及*** | |
| CN104836812A (zh) | 一种Portal认证方法、装置及*** | |
| CN103634111B (zh) | 单点登录方法和***及单点登录客户端 | |
| US7093019B1 (en) | Method and apparatus for providing an automated login process |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |