WO2009129753A1

WO2009129753A1 - 提高网络身份认证安全性的方法和装置

Info

Publication number: WO2009129753A1
Application number: PCT/CN2009/071463
Authority: WO
Inventors: 陈国乔; 杨健; 王雷; 张惠萍; 董挺
Original assignee: 华为技术有限公司
Priority date: 2008-04-26
Filing date: 2009-04-24
Publication date: 2009-10-29
Also published as: CN101567878A; CN102739664A; CN101567878B; CN102739664B

Description

提高网络身份认证安全性的方法和装置本申请要求于 2008年 4月 26日提交中国专利局、申请号为 200810094877.6、发明名称为 "提高网络身份认证安全性的方法和装置" 的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

说

技术领域

本发明涉及通信技术领域，特别涉及一种提高网络身份认证安全性的方法和装置。背景技术书

Web Service (服务）是描述一些操作的接口，可以使用标准化的 XML (extensible Markup Language, 可扩展标记语言）消息传递机制通过网络访问这些操作。一个 Web Service可以单独或协同其它 Web Service一起用于实现复杂的功能或商业交易。

终端可能会使用多种 Web Service, 但并不是所有服务都位于其网络运营商的信任域内。为了提高终端的用户体验，现有技术提供了一种身份联合方式，即网络身份，用来描述在多种网络服务中，使提供给终端的状态或数据保持一致。

网络身份消息交换中，会涉及四个实体： SP ( Service Provider,服务提供商）、 IDP (Identity Provider, 身份提供商）、 DS (Discovery Service, 发现服务）禾 P AP (Attribute Provider, 属性提供商）。其中， SP是为主体用户提供服务和 /或货物的实体。 IDP用于生成、维护和管理主体用户的身份信息，并且能够为某认证域（甚至信任圈）中的其他服务提供商提供认证断言。 DS允许不同的实体（如服务提供商）动态地发现一个主体的已注册的服务。例如，当 DS确定了所需服务的类型，且符合用户设定的权限，表示该实体上的信息允许向相关实体提供， DS 将会向相关实体回复一个服务描述，包括所需的实体服务的 WSDL ( Web Service Description Language, Web服务描述语言）。 DS还可以用作安全记号服务，向请求者发送该安全记号，请求者在向 DS请求服务时，需要出示这个记号。 AP用于提供某个主体用户的属性。

现有技术中，一个主体用户使用某个 SP完成某项业务时，需要通过 IDP的身份认证，以及属性提供商提供给 SP所需查询的属性（例如，主体用户的位置信息）共同完成服务。通过用户在 IDP上完成认证工作，信任圈内的其他实体能够利用 IDP对用户的认证信息，通过 NI (Network Identity, 网络身份）对用户身份进行识别，并在此基础上对用户的 Attibute信息进行获取，并基于此开展相关的业务应用。主体用户请求服务以及 NI认证过程如下：

1 ) 主体用户用 HTTP向 SP发起一个请求；

2) SP接收到主体用户发起的请求后，向 IDP发送核对该主体用户的认证状态的请求；

3 ) IDP收到 SP发送的请求后，向 SP返回回复请求，该回复请求包括一个描述用户认证状态的认证断言，还可以包括访问主体用户的发现服务实体所需的 bootstrap信息（可选项）；如果 SP处没有有效的 SSO ( Single Sign— 0n，单点登录）内容给主体用户，主体用户需要在 IDP认证以便建立一个合法的 SS0会话；

4) SP使用来自 IDP的 bootstrap信息向主体用户的发现服务实体询问某个特定属性提供商；

5 ) 发现服务实体向 SP返回一个认证断言，包括主体用户的属性提供商的地址信息；

6) SP 使用认证断言中的地址信息访问属性提供商，从属性提供商处请求查询属性或有关属性的操作（例如，删除或修改属性）；

7) 属性提供商向 SP返回回复信息；

8) SP收到属性提供商的回复信息后，允许或拒绝该主体用户的请求。

其中， IDP对主体用户的认证需要调用外部认证服务器，如 LDAP (Light Directory Access Protocol, 轻量级目录访问协议）或关系数据库及附加在关系数据库上的访问控制协议。

在对现有技术进行分析后，发明人发现：

由于网络中既存在信任圈又存在非信任圈，用户在向 SP请求业务时，可能涉及到信任圈与非信任圈的切换问题，上述现有技术还无法实现信任圈与非信任圈的无缝切换，当从信任圈切换到非信任圈时，有可能造成业务中断。另外，用户请求业务时，有可能面临虚假 SP，会使用户的身份信息等暴露，给用户带来损失，存在较大的安全漏洞。发明内容

为了提高网络身份认证的安全性，一方面，本发明实施例提供了一种提高网络身份认证安全性的方法，应用于 web服务，所述方法包括：

对服务提供商 SP和终端用户进行网络身份认证；

将认证结果返回给所述 SP，所述认证结果包括所述 SP的网络身份认证结果和所述终端用户的网络身份认证结果。另一方面，本发明实施例还提供了一种身份提供商装置，应用于 web服务，所述装置包括：

认证模块，用于对 SP和终端用户进行网络身份认证；

发送模块，用于将所述认证模块得到的认证结果返回给所述 SP，所述认证结果包括所述终端用户的网络身份认证结果和所述 SP的网络身份认证结果。

再一方面，本发明实施例还提供了一种服务提供商装置，应用于 web服务，所述装置包括：

认证模块，用于对 SP和终端用户进行网络身份认证；

为了实现单点登录过程中的无缝切换，一方面，本发明实施例提供了一种实现单点登录过程无缝切换的方法，应用于 web服务，所述方法包括：

当 SP向终端用户指定的 IDP请求网络身份认证并且得到所述 IDP不支持所述认证的结果后，所述 SP归属的 IDP接收所述终端用户发来的网络身份认证请求；

所述 SP归属的 IDP对所述终端用户进行网络身份认证后，返回认证结果给所述终端用户。

另一方面，本发明实施例还提供了一种实现单点登录过程无缝切换的方法，应用于 web 服务，所述方法包括：

当自身没有归属的 IDP时，接收终端用户发来的业务鉴权请求；

对所述终端用户进行鉴权，并返回鉴权结果给所述终端用户。

再一方面，本发明实施例还提供了一种身份提供商装置，应用于 web服务，所述身份提供商为 SP归属的身份提供商，所述装置包括：

接收模块，用于接收终端用户发来的网络身份认证请求；

认证模块，用于在所述接收模块接收到所述网络身份认证请求后，对所述终端用户进行网络身份认证，并返回认证结果给所述终端用户。

又一方面，本发明实施例还提供了一种服务提供商装置，所述装置包括：

接收模块，用于接收终端用户发来的业务请求；还用于接收所述终端用户指定的 IDP返回不支持所述认证的结果，所述结果中指明所述终端用户指定的 IDP不是所述 SP归属的 IDP; 发送模块，用于在所述接收模块收到所述业务请求后，向所述终端用户指定的 IDP发起网络身份认证请求，在所述接收模块收到所述结果后，回复响应给所述终端用户，所述响应中携带所述 SP归属的 IDP信息。

为了控制 SP对终端用户属性信息的获取，一方面，本发明实施例提供了一种提高网络身份认证安全性的方法，应用于 web服务，所述方法包括：

接收 SP发来的对终端用户进行网络身份认证的请求，所述请求中包括服务提供商的访问权限信息；

根据所述访问权限信息，对所述终端用户进行网络身份认证，返回认证结果。

另一方面，本发明实施例还提供了一种服务提供商装置，应用于 web服务，所述服务提供商没有归属的 IDP，所述装置包括：

接收模块，用于接收终端用户发来的业务鉴权请求；

业务鉴权模块，用于当所述接收模块收到所述业务鉴权请求后，对所述终端用户进行鉴权，并返回鉴权结果给所述终端用户。

再一方面，本发明实施例还提供了一种身份提供商装置，应用于 web服务，所述装置包括：

接收模块，用于接收 SP发来的对终端用户进行网络身份认证的请求，所述请求中包括服务提供商的访问权限信息；

控制模块，用于当所述接收模块收到所述请求后，根据所述访问权限信息对所述终端用户进行网络身份认证，并返回认证结果给所述 SP。

本发明实施例通过在单点登录过程中对终端用户和 SP均进行网络身份认证的方式，提高了终端用户和 SP之间的安全性；采用 SP归属的 IDP对终端用户进行网络身份认证或 SP对终端用户进行业务鉴权请求的方式，实现单点登录过程中的无缝切换，提高了终端用户体验; 通过 SP的访问权限信息控制对终端用户进行网络身份认证，可以控制 SP对终端用户的属性信息的获取，从而使 SP对终端用户提供不同的服务。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图 1是本发明实施例提供的提高网络身份认证安全性的方法流程示意图；

图 2是本发明实施例提供的实现单点登录过程无缝切换的方法第一种流程示意图；图 3是本发明实施例提供的实现单点登录过程无缝切换的方法第二种流程示意图；图 4是本发明实施例提供的实现单点登录过程无缝切换的方法第三种流程示意图；图 5是本发明实施例提供的提高网络身份认证安全性的方法流程示意图；

图 6是本发明实施例提供的身份提供商装置的第一种结构示意图；

图 7是本发明实施例提供的身份提供商装置的第二种结构示意图；

图 8是本发明实施例提供的服务提供商装置的第一种结构示意图；

图 9是本发明实施例提供的身份提供商装置的第三种结构示意图；

图 10是本发明实施例提供的服务提供商装置的第二种结构示意图；

图 11是本发明实施例提供的服务提供商装置的第三种结构示意图；

图 12是本发明实施例提供的服务提供商装置的第四种结构示意图；

图 13是本发明实施例提供的服务提供商装置的第五种结构示意图；

图 14是本发明实施例提供的身份提供商装置的第四种结构示意图；

图 15是本发明实施例提供的身份提供商装置的第五种结构示意图；

图 16是本发明实施例提供的提高网络身份认证安全性的***的第一种结构示意图；图 17是本发明实施例提供的实现单点登录过程无缝切换的***的结构示意图；图 18是本发明实施例提供的提高网络身份认证安全性的***的第二种结构示意图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明实施例通过在单点登录过程中对终端用户和 SP均进行网络身份认证的方式，提高了终端用户和 SP之间的安全性；采用 SP归属的 IDP对终端用户进行网络身份认证或 SP对终端用户进行业务鉴权请求的方式，实现单点登录过程中的无缝切换，提高了终端用户体验; 通过 SP的访问权限信息控制对终端用户进行网络身份认证，可以控制 SP对终端用户的属性信息的获取，从而使 SP对终端用户提供不同的服务。本发明实施例提供了一种提高网络身份认证安全性的方法，包括： IDP对 SP和终端用户进行网络身份认证，并将认证结果返回给 SP，该认证结果包括 SP的网络身份认证结果和用的网络身份认证结果。参见图 1，图 1中所示的实体设备均位于信任圈中，该方法具体包括： 101：终端用户向 SP发起一个认证请求，该请求中携带终端用户的认证信息、终端用户指定的 IDP的标识信息，以及需要 SP返回 SP的网络身份认证结果的标识信息。

102： SP接收到该认证请求后，根据其中的 IDP标识信息，向对应的 IDP请求对终端用户进行网络身份认证，同时 SP还可以在该请求中携带 SP的身份认证信息，请求 IDP对 SP 进行网络身份认证。

在实际应用中， SP也可以在 102之前或者 101之前完成向 IDP进行网络身份认证的过程，当在 102之前 SP已完成向 IDP进行网络身份认证的过程时， 102中 SP发起的网络身份认证请求中可以不携带 SP的身份认证信息。在本实施例中 SP同时向 IDP请求对终端用户和 SP 进行网络身份认证。

103： IDP收到 SP发来的请求后，根据已保存的终端用户信息和 SP的信息，对终端用户和 SP进行网络身份认证，并返回认证结果，该认证结果包括一个描述终端用户认证状态的认证断言，以及 IDP对 SP进行网络身份认证的结果。

其中，进一步地， IDP返回的认证结果中还可以包括： SP访问终端用户的 DS所需的引导（bootstrap) 信息。

104： SP收到 IDP返回的认证结果后，将该认证结果返回给终端用户，其中包含对终端用户的认证结果，以及对 SP的认证结果。

105：终端用户发送消息给 IDP，向 IDP核对 SP的认证状态，该消息中包含 SP的认证结果。

106： IDP收到该消息后，返回响应，其中包括一个描述 SP认证状态的认证断言。在本实施例中， IDP返回的响应中指明核对后的结果为该 SP为合法的 SP。

终端用户在得到 IDP返回的 SP为合法的 SP的确认结果后，进一步地，还可以向 SP请求业务，即上述方法还包括：

107：终端用户向 SP发起一个业务请求，该业务请求中包含终端用户需要在 SP进行的相关操作等等，例如，终端用户在该 SP提供的网上商城中买东西。

108： SP根据 103中 IDP返回的引导信息，向相应的 DS询问终端用户对应的属性提供商 AP。

109：该 DS返回一个认证断言给 SP，其中，包括相应的 AP信息，如某个 AP的地址信息。

110： SP收到该认证断言后，根据其中的 AP信息，访问相应的 AP，请求终端用户的属性信息。

111：该 AP返回终端用户的属性信息给 SP，如终端用户的姓名、性别、年龄、地址和电话等等。

112： SP收到终端用户的属性信息后，根据该属性信息向终端用户提供业务。

进一步地，在 103中 IDP还可以根据 SP发来的 SP访问权限信息控制对终端用户的网络身份认证，如判断该 SP是否被允许请求认证，如果是，则对该 SP和终端用户进行网络身份认证；否则，拒绝该 SP发来的网络身份认证请求。其中， SP访问权限信息通常为终端用户发来的 SP访问控制列表，包括终端用户信赖的 SP和终端用户不信赖的 SP，以及不同的 SP 具有不同的访问权限等信息。例如， SP1 可以访问终端用户的姓名、年龄和地址， SP2可以访问终端用户的姓名和电话等等。 IDP通过维护 SP访问控制列表，可以控制 SP获取终端用户的属性信息，从而给终端用户提供不同的业务。

为了避免出现重放攻击，进一步地， IDP还可以预先获取 SP的一次性信息，如 102中 SP将发起请求的时间作为一次性信息携带在网络身份认证请求中发给 IDP，相应地， 103中 IDP还可以利用获取的 SP的一次性信息加密对终端用户进行网络身份认证得到的认证结果，并将加密后的信息返回给 SP; SP收到该加密后的信息后，进行解码可以得到该认证结果。

本实施例通过对终端用户和 SP进行网络身份认证（双向认证），提高了网络身份认证的安全性，与现有技术相比，避免了虚假 SP使用户的身份信息等暴露给用户带来损失，解决了终端用户与 SP之间的安全漏洞。通过在 IDP维护 SP访问权限信息，可以控制 SP对终端用户的属性信息的获取，从而可以给终端用户提供不同的服务。 IDP通过获取 SP的一次性信息并对认证结果加密，可以避免出现重放攻击，进一步提高了网络身份认证的安全性。本发明实施例还提供了一种实现单点登录过程无缝切换的方法，应用于 web服务，包括: 当 SP向终端用户指定的 IDP请求网络身份认证并且得到 IDP不支持该认证的结果后， SP归属的 IDP接收该终端用户发来的网络身份认证请求； SP归属的 IDP对该终端用户进行网络身份认证后，返回认证结果给终端用户。参见图 2，身份提供商 A为 SP的归属 IDP，身份提供商 B为终端用户指定的 IDP (通常为默认的），终端用户既在身份提供商 A的信任圈内，又在身份提供商 B的信任圈内，本实施例属于交叉信任圈的应用场景，该方法具体包括：

201：终端用户向 SP发起一个认证请求，该请求中携带终端用户的认证信息和终端用户指定的 IDP的标识信息，在本实施例中终端用户指定的 IDP为 IDP B。

202： SP收到该认证请求后，根据其中的 IDP的标识信息，向对应的 IDP B请求对终端用户进行网络身份认证。

203： IDP B收到 SP发来的请求后，根据已保存的终端用户信息对终端用户进行网络身份认证，并返回认证结果给 SP，该认证结果包括一个描述终端用户认证状态的认证断言。在本实施例中，由于 IDP B不是 SP归属的 IDP，不支持对该终端用户进行网络身份认证，因此 IDP B在返回的认证结果中指明自己不是 SP归属的 IDP，无法完成认证。

进一步地， IDP返回的认证结果中还可以包括： SP访问终端用户的 DS所需的引导信息。

204： SP收到 IDP B返回的认证结果后，回复响应给终端用户，该响应中包含上述认证结果和 SP所归属的 IDP信息。在本实施例中， SP归属的 IDP为 IDP A。

205：终端用户收到 SP的响应后，向 SP所归属的 IDP发起网络身份认证请求，在本实施例中向 IDP A发起网络身份认证请求。

206： IDP A收到该网络身份认证请求后，对终端用户进行网络身份认证，并返回认证结果给终端用户。

205和 206为终端用户单点登录的过程，登录成功后， IDP A返回给终端用户的认证结果为 NI信息，如 NI标识，终端用户使用该 I标识可以不用每次请求业务时都向 IDP重新进行网络身份认证，只需 SP向 IDP核对验证该 NI标识即可。

207：终端用户收到 IDP A返回的认证结果后，向 SP发起一个业务请求，该业务请求中包含 IDP A返回的认证结果。

208： SP收到终端用户发来的业务请求后，向 IDP A核对终端用户的认证结果，即核对终端用户的 NI信息；

209： IDP A收到 SP发来的核对请求后，回复响应给 SP，该响应中包括一个描述终端用户认证状态的认证断言，即核对的结果，在本实施例中， IDP A核对的终端用户的 NI信息的结果为终端用户的 NI信息是正确的。进一步地， SP还可以从 IDP A处获取访问终端用户的发现服务 DS所需的引导信息，即 IDP A可以在该响应中携带引导信息；相应地，上述方法还包括：

210： SP收到 IDP A返回的响应后，根据其中的引导信息访问相应的 DS，请求获取属性提供商 AP的信息。

211： DS收到该请求后，返回一个认证断言给 SP，其中包括相应的 AP的信息。

212： SP根据收到的 AP的信息，访问相应的 AP，请求获取终端用户的属性信息。

213： AP返回响应给 SP，该响应中包含终端用户的属性信息。

214： SP 收到该响应后，回复响应给终端用户，并根据得到的终端用户的属性信息向终端用户提供业务。

进一步地， 202中 SP还可以在网络身份认证请求中携带标识信息，该标识信息用于要求返回 SP的网络身份认证结果，相应地， 203中 IDP B根据该标识信息对 SP进行网络身份认证，并在返回的认证结果中携带对 SP的网络身份身份认证的结果。从而可以防止虚假的 SP 向终端用户提供业务，给终端用户带来损失。

本实施例适用于 SP有归属的 IDP的应用场景，当终端用户指定的 IDP无法完成网络身份认证时，通过终端用户在 SP归属的 IDP进行网络身份认证，实现了单点登录过程中无缝切换的目的。与现有技术相比，避免了切换过程中业务中断给终端用户带来损失。通过 IDP 对 SP进行网络身份认证，可以识别虚假的 SP，避免用户的身份信息等暴露给用户带来损失，解决了终端用户与 SP之间的安全漏洞。本实施例与图 2所示的实施例类似，属于无交叉信任圈的应用场景，参见图 3，身份提供商 A为 SP归属的 IDP，身份提供商 B为终端用户指定的 IDP (通常为默认的），终端用户在身份提供商 B的信任圈内， SP在身份提供商 A的信任圈内，且两个信任圈不交叉，则终端用户无法在 SP归属的 IDP处完成认证。本发明实施例还提供了一种实现单点登录过程无缝切换的方法，该方法具体包括：

步骤 301至 306与图 2所示的实施例中的 201至 206相同，此处不再赘述。在本实施例中，由于 SP归属的 IDP A不是终端用户归属的 IDP，因此 306中 IDP A返回给终端用户的认证结果为认证失败的结果。

307：终端用户收到 IDP A返回的认证结果后，进一步地，还可以向 IDP B请求 SP访问终端用户的 DS所需的引导信息。

308： IDP B收到终端用户发来的请求后，回复响应给终端用户，其中包括 SP访问 DS 所需的引导信息。

309：终端用户收到 IDP B返回的响应后，向 SP发起一个业务鉴权请求，其中包括终端用户信息、密码信息等内容，还可以携带上述引导信息。

310： SP收到终端用户的业务鉴权请求后，根据其中的引导信息访问相应的 DS，请求获取终端用户对应的属性提供商 AP。

311：该 DS收到 SP的请求后，返回一个认证断言给 SP，其中包括相应的 AP信息，例如某个 AP的地址信息。

312： SP收到该认证断言后，根据其中的 AP信息，访问相应的 AP，请求获取终端用户的属性信息。

313：该 AP返回终端用户的属性信息给 SP，如终端用户的姓名、性别、年龄、地址和电话等等。

314： SP收到终端用户的属性信息后，根据该属性信息向终端用户提供业务。

进一步地，本实施例中 SP还可以在网络身份认证请求中携带标识信息，该标识信息用于要求返回 SP的网络身份认证结果，相应地， IDP B或 IDP A根据该标识信息对 SP进行网络身份认证，并在返回的认证结果中携带对 SP的网络身份身份认证的结果，从而可以防止虚假的 SP向终端用户提供业务，给终端用户带来损失。

本实施例适用于 SP归属的 IDP不是终端用户归属的 IDP的应用场景，当终端用户指定的 IDP以及 SP归属的 IDP均无法完成终端用户的网络身份认证时，通过 SP对终端用户进行业务鉴权，实现了单点登录过程中无缝切换的目的。与现有技术相比，避免了切换过程中业务中断给终端用户带来损失。通过 IDP对 SP进行网络身份认证，可以识别虚假的 SP，避免用户的身份信息等暴露给用户带来损失，解决了终端用户与 SP之间的安全漏洞。本发明实施例还提供了一种实现单点登录过程无缝切换的方法，应用于 web服务，包括：当 SP没有归属的 IDP时， SP接收终端用户发来的业务鉴权请求； SP对终端用户进行鉴权，并返回鉴权结果给终端用户。参见图 4，身份提供商为终端用户指定的 IDP (通常为默认的），终端用户在身份提供商的信任圈内， SP没有归属的 IDP，在非信任圈内，本实施例属于交叉信任圈与非信任圈切换的应用场景，该方法具体包括：

401：终端用户向 SP发起一个业务请求。

402： SP接收到该业务请求后，发现该 SP没有归属的 IDP，即不支持 IDP认证，则向终端用户返回响应，要求用户进行鉴权。

进一步地，终端用户可以在 401或 402之前，向 IDP请求 SP访问 DP所需要的引导信息，如 401'，相应地， IDP收到 SP的请求之后，向终端用户回复响应，其中包括 SP访问终端用户的 DS所需的引导信息，如 402'。

403：终端用户收到 SP的响应后，向 SP发起一个业务鉴权请求，其中包括终端用户信息、密码信息等内容，进一步地，还可以包括上述引导信息。

404： SP收到终端用户的业务鉴权请求后，对终端用户进行业务鉴权，此时 SP可以直接返回业务鉴权的结果给终端用户，也可以先获取终端用户的属性信息，然后再返回业务鉴权的结果，在本实施例中， SP根据上述引导信息，访问相应的 DS，请求获取终端用户对应的 AP的信息。

405： DS返回一个认证断言给 SP，其中包括相应 AP的信息，如某个 AP的地址信息。 406： SP收到该认证断言后，根据其中的 AP信息，访问相应的 AP，请求获取终端用户的属性信息。

407： AP收到 SP的请求后，返回终端用户的属性信息给 SP。

408： SP 收到终端用户的属性信息后，返回响应给终端用户，并根据该属性信息向终端用户提供业务。

本实施例适用于 SP无归属的 IDP的应用场景，当终端用户得到 SP返回的不支持 IDP认证的结果后，通过 SP对终端用户进行业务鉴权，实现了单点登录过程中无缝切换的目的。与现有技术相比，避免了切换过程中业务中断给终端用户带来损失。本发明实施例还提供了一种提高网络身份认证安全性的方法，应用于 web服务，包括： IDP接收 SP发来的对终端用户进行网络身份认证的请求； IDP根据该请求中携带的 SP访问权限信息对终端用户进行网络身份认证，并返回认证结果给该 SP。参见图 5， IDP维护一个 SP的访问控制列表，控制 SP获取终端用户的属性信息，该方法具体包括：

501：终端用户向 IDP发起网络身份认证请求，该请求中携带有终端用户设定的 SP访问权限信息，在本实施例中为 SP 的访问控制列表。例如，该列表中包括两个信赖的 SP: SP1 和 SP2，且 SPl可以访问终端用户的姓名、年龄和地址， SP2可以访问终端用户的姓名和电话等等，以及一个不信赖的 SP3，该 SP3不能向 IDP请求网络身份认证等等。

502： IDP收到该网络身份认证请求后，对终端用户进行网络身份认证，并保存终端用户设定的 SP访问权限信息，并将认证后的结果返回给终端用户。

501和 502为终端用户单点登录的过程，登录成功后， IDP返回给终端用户的认证结果为 NI信息，如 NI标识，终端用户使用该 NI标识可以不用每次请求业务时都向 IDP重新进行网络身份认证，只需 SP向 IDP核对验证该 NI标识即可。

503：终端用户收到 IDP的认证结果后，向 SP发起一个业务请求，该请求中包括携带终端用户的身份认证信息、终端用户指定的 IDP的标识信息。

504： SP接收到该业务请求后，根据其中的 IDP标识信息，向对应的 IDP请求对终端用户进行网络身份认证。

505： IDP收到 SP发来的网络身份认证请求后，根据已保存的 SP的访问控制列表判断该 SP 身份被允许请求认证，如果是，则对终端用户进行网络身份认证，并将认证结果返回给 SP; 否则，拒绝该 SP的网络身份认证请求。在本实施例中，该 SP为终端用户信赖的 SP，则返回认证结果给该 SP。

其中， IDP对终端用户进行网络身份认证是指核对 SP发来的终端用户的 I信息，即终端用户已登录到 web服务***，此时只需核对终端用户的网络身份即可，不用重新对其进行认证

进一步地， IDP返回的认证结果中还可以包括 SP访问终端用户的 DS所需的引导信息。 506： SP收到 IDP返回的认证结果后，根据上述引导信息访问相应的 DS，请求获取终端用户对应的属性提供商 AP的信息。

507： DS收到该请求后，返回一个认证断言给 SP，其中包括相应 AP的信息，如某个 AP 的地址信息。

508： SP收到该认证断言后，根据其中的 AP信息，访问相应的 AP，请求获取终端用户的属性信息。

509： AP收到该请求后，返回终端用户的属性信息给 SP。

510： SP收到 AP返回的终端用户的属性信息后，返回响应给终端用户，并根据该属性信息向终端用户提供业务。

进一步地， 504中 SP还可以在网络身份认证请求中携带标识信息，该标识信息用于要求返回 SP的网络身份认证结果，相应地， 505中 IDP根据该标识信息对 SP进行网络身份认证，并在返回的认证结果中携带对 SP的网络身份身份认证的结果。从而可以防止虚假的 SP向终端用户提供业务，给终端用户带来损失。

为了避免出现重放攻击，进一步地， IDP还可以预先获取 SP的一次性信息，如 504中

SP将发起请求的时间作为一次性信息携带在网络身份认证请求中发给 IDP，相应地， 505中 IDP还可以利用获取的 SP的一次性信息加密对终端用户进行网络身份认证得到的认证结果，并将加密后的信息返回给 SP; SP收到该加密后的信息后，进行解码可以得到该认证结果。

进一步地， 506中 SP收到 IDP返回的认证结果后，还可以删除该认证结果中的终端用户的信息，不在本地缓存该信息，从而可以极大地减轻 SP数据信息的维护，以及 SP的数据存储量，减少了安全漏洞，并且减少了终端用户信息的存放位置，免除了终端用户针对 SP的注册过程。

本实施例通过在 IDP维护 SP访问权限信息，可以控制 SP对终端用户的属性信息的获取，从而可以给终端用户提供不同的服务。通过 IDP对 SP进行网络身份认证，可以识别虚假的 SP，避免用户的身份信息等暴露给用户带来损失，解决了终端用户与 SP之间的安全漏洞。 IDP 通过获取 SP的一次性信息并对认证结果加密，可以避免出现重放攻击，进一步提高了网络身份认证的安全性。通过删除认证结果中的终端用户的信息，减轻了 SP数据信息的维护，以及 SP的数据存储量，减少了安全漏洞，并且减少了终端用户信息的存放位置，免除了终端用户针对 SP的注册过程。参见图 6，本发明实施例提供了一种身份提供商装置，应用于 web服务，该装置包括：认证模块 601，用于对 SP和终端用户进行网络身份认证；

发送模块 602，用于将认证模块 601得到的认证结果返回给 SP，认证结果包括终端用户的网络身份认证结果和 SP的网络身份认证结果。

进一步地，参见图 7，图 6所示的装置还包括：

第一接收模块 603，用于接收 SP 发来的网络身份认证请求，网络身份认证请求中包含 SP的身份认证信息和终端用户的身份认证信息；

相应地，认证模块 601具体用于当第一接收模块 603收到网络身份认证请求后，根据 SP 的身份认证信息和终端用户的身份认证信息，对 SP和终端用户进行网络身份认证。

或者，图 6所示的装置还包括：

第二接收模块，用于接收 SP发来的网络身份认证请求，网络身份认证请求中包含标识信息和终端用户的身份认证信息，标识信息用于要求返回 SP的网络身份认证结果；

相应地，认证模块 601具体包括：

第一认证单元，用于对 SP进行网络身份认证；

第二认证单元，用于当第二接收模块 604收到网络身份认证请求后，根据终端用户的身份认证信息，对终端用户进行网络身份认证。

进一步地，图 6所示的装置还包括：

核对模块，用于接收到终端用户发来的核实 SP的网络身份认证结果的请求后，对 SP的网络身份认证结果进行核实，并返回核实的结果给终端用户。

另外，参见图 7，图 6所示的装置还包括：

第三接收模块 604，用于接收 SP发来的网络身份认证请求；

处理模块 605，用于当第三接收模块收到网络身份认证请求后，根据该请求中的 SP访问权限信息判断 SP是否被允许请求认证，如果是，则触发认证模块工作；否则，拒绝 SP的请求。

另外，参见图 7，图 6所示的装置还包括：获取模块，用于获取来自 SP的一次性信息；

相应地，发送模块 602具体包括：

加密单元，用于根据获取模块获取的一次性信息对认证模块得到的认证结果进行加密；发送单元，用于返回加密单元加密后的信息给 SP。

本实施例通过对终端用户和 SP进行网络身份认证（双向认证），提高了网络身份认证的安全性，与现有技术相比，避免了虚假 SP使用户的身份信息等暴露给用户带来损失，解决了终端用户与 SP之间的安全漏洞。通过维护 SP访问权限信息，可以控制 SP对终端用户的属性信息的获取，从而可以给终端用户提供不同的服务。通过获取 SP的一次性信息并对认证结果加密，可以避免出现重放攻击，进一步提高了网络身份认证的安全性。参见图 8，本发明实施例还提供了一种服务提供商装置，应用于 web服务，该装置包括: 接收模块 801，用于接收终端用户发来的业务请求，业务请求中包含标识信息和终端用户的身份认证信息，标识信息用于要求返回服务提供商的网络身份认证结果；

发送模块 802，用于向 IDP发起网络身份认证请求，并在网络身份认证请求中携带标识信息和终端用户的身份认证信息。

进一步地，图 8所示的装置中发送模块 802具体包括：

发送单元，用于向 IDP发起网络身份认证请求，并在网络身份认证请求中携带标识信息、终端用户的身份认证信息和服务提供商的身份认证信息。

进一步地，图 8所示的装置中发送模块 802还包括：

一次性信息发送单元，用于发送服务提供商的一次性信息给 IDP;

相应地，该装置还包括：

解密模块，用于当装置收到 IDP发来的根据一次性信息得到的加密信息后，进行解密。本实施例通过发送标识信息给 IDP，使 IDP对 SP也进行网络身份认证，提高了网络身份认证的安全性，与现有技术相比，避免了虚假 SP使用户的身份信息等暴露给用户带来损失，解决了终端用户与 SP之间的安全漏洞。通过发送 SP的一次性信息给 IDP，使 IDP根据该信息对认证结果加密，可以避免出现重放攻击，进一步提高了网络身份认证的安全性。参见图 9，本发明实施例还提供了一种身份提供商装置，应用于 web服务，该身份提供商为 SP归属的身份提供商，该装置包括：

接收模块 901，用于接收终端用户发来的网络身份认证请求；认证模块 902，用于在接收模块 901接收到网络身份认证请求后，对终端用户进行网络身份认证，并返回认证结果给终端用户。

本实施例适用于终端用户指定的 IDP无法完成对终端用户进行网络身份认证的场景，通过以 SP 归属的身份提供商对终端用户进行网络身份认证，实现了单点登录过程中的无缝切换。参见图 10，本发明实施例还提供了一种服务提供商装置，该装置包括：

接收模块 1001，用于接收终端用户发来的业务请求；还用于接收终端用户指定的 IDP返回不支持认证的结果，结果中指明终端用户指定的 IDP不是 SP归属的 IDP;

发送模块 1002，用于在接收模块 1001收到业务请求后，向终端用户指定的 IDP发起网络身份认证请求，在接收模块收到结果后，回复响应给终端用户，响应中携带 SP归属的 IDP 信息。

进一步地，参见图 11，接收模块 1001还用于当 SP归属的 IDP不是终端用户归属的 IDP 时，接收终端用户发来的业务鉴权请求；

相应地，上述装置还包括：

业务鉴权模块 1003，用于在接收模块 1001接收到业务鉴权请求后，对终端用户进行鉴权，并返回鉴权结果给终端用户。

本实施例适用于终端用户指定的 IDP无法完成对终端用户进行网络身份认证的场景，通过返回 SP归属的 IDP信息给终端用户，使终端用户可以向 SP归属的 IDP发起网络身份认证，实现了单点登录过程中的无缝切换。当 SP归属的 IDP不是终端用户归属的 IDP时，通过对终端用户进行业务鉴权，进一步实现了单点登录过程中的无缝切换。参见图 12，本发明实施例还提供了一种服务提供商装置，应用于 web服务，该服务提供商没有归属的 IDP，该装置包括：

接收模块 1201，用于接收终端用户发来的业务鉴权请求；

业务鉴权模块 1202，用于当接收模块 1201收到业务鉴权请求后，对终端用户进行鉴权，并返回鉴权结果给终端用户。

进一步地，参见图 13，接收模块 1201还用于接收终端用户发来的业务请求；

相应地，上述装置还包括：

发送模块 1203，用于当接收模块 1201 收到业务请求后，向终端用户返回响应，响应中指明服务提供商没有归属的 IDP。

本实施例适用于 SP无归属的 IDP的场景，通过对终端用户进行业务鉴权，实现了单点登录过程中的无缝切换。参见图 14，本发明实施例还提供了一种身份提供商装置，应用于 web服务，该装置包括: 接收模块 1401，用于接收 SP发来的对终端用户进行网络身份认证的请求；

控制模块 1402，用于当接收模块 1401 收到请求后，根据预设的 SP访问权限信息判断 SP是否被允许请求认证，如果是，则对终端用户进行网络身份认证，返回认证结果给 SP; 否则，拒绝 SP的请求。

进一步地，参见图 15，上述装置还包括：

加密处理模块 1403，用于根据接收模块收到的请求中包含的 SP的一次性信息，加密控制模块得到的认证结果，并返回加密后的信息给 SP。

本实施例通过维护 SP访问权限信息，可以控制 SP对终端用户的属性信息的获取，从而可以给终端用户提供不同的服务。通过获取 SP的一次性信息并对认证结果加密，可以避免出现重放攻击，进一步提高了网络身份认证的安全性。参见图 16，本发明实施例还提供了一种提高网络身份认证安全性的***，应用于 web服务，包括 SP装置 1601和 IDP装置 1602;

SP装置 1601，用于接收终端用户发来的业务请求，该业务请求中包含标识信息和终端用户的身份认证信息，向 IDP装置 1602发起网络身份认证请求，并在该网络身份认证请求中携带上述标识信息和终端用户的身份认证信息，该标识信息用于要求返回 SP的网络身份认证结果；

IDP装置 1602，用于对 SP进行网络身份认证，当接收到 SP装置 1601发来的包含标识信息和终端用户的身份认证信息的网络身份认证请求后，对终端用户进行网络身份认证，将得到的终端用户的网络身份认证结果和 SP的网络身份认证结果返回给 SP装置 1601。参见图 17，本发明实施例还提供了一种实现单点登录过程无缝切换的***，应用于 web 服务，包括 SP装置 1701、终端用户指定的第一 IDP装置 1702和 SP归属的第二 IDP装置 1703 ;

SP装置 1701，用于接收终端用户发来的业务请求，向终端用户指定的第一 IDP装置 1702 发起网络身份认证请求，接收第一 IDP装置 1702返回不支持认证的结果，回复响应给终端用户，响应中携带 SP归属的 IDP信息；

第一 IDP装置 1702，用于接收 SP装置 1701发来的网络身份认证请求，返回不支持认证的结果给 SP装置 1701，该结果中指明终端用户指定的 IDP不是 SP归属的 IDP;

第二 IDP装置 1703，用于接收终端用户发来的网络身份认证请求，对终端用户进行网络身份认证，返回认证结果给终端用户。参见图 18，本发明实施例还提供了一种提高网络身份认证安全性的***，应用于 web服务，包括 SP装置 1801和 IDP装置 1802;

SP装置 1801，用于发送对终端用户进行网络身份认证的请求给 IDP装置，该请求中包括 SP的访问权限信息；

IDP装置 1802，用于接收 SP装置 1801发来的对终端用户进行网络身份认证的请求，根据访问权限信息对终端用户进行网络身份认证，并返回认证结果给 SP装置 1801。本领域普通技术人员可以理解，实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1 . 一种提高网络身份认证安全性的方法，其特征在于，应用于 web 服务，所述方法包括：

对服务提供商 SP和终端用户进行网络身份认证；

将认证结果返回给所述 SP，所述认证结果包括所述 SP的网络身份认证结果和所述终端用户的网络身份认证结果。

2. 根据权利要求 1所述的提高网络身份认证安全性的方法，其特征在于，所述对服务提供商 SP和终端用户进行网络身份认证之前，还包括：

所述终端用户向所述 SP发起业务请求，所述业务请求中携带标识信息和所述终端用户的身份认证信息，所述标识信息用于要求返回 SP的网络身份认证结果。

3. 根据权利要求 2所述的提高网络身份认证安全性的方法，其特征在于，所述方法还包括：

所述 SP收到所述业务请求后，发起网络身份认证请求，并在所述网络身份认证请求中携带所述标识信息、所述终端用户的身份认证信息和所述 SP的身份认证信息；

相应地，所述对服务提供商 SP和终端用户进行网络身份认证，具体包括：

接收所述网络身份认证请求，

根据所述 SP的身份认证信息对所述 SP进行网络身份认证，

根据所述终端用户的身份认证信息，对终端用户进行网络身份认证。

4. 根据权利要求 2所述的提高网络身份认证安全性的方法，其特征在于，所述方法还包括：

接收所述终端用户发来的核实所述 SP的网络身份认证结果的请求，所述请求中包含所述终端用户从所述 SP返回的响应中提取的所述 SP的网络身份认证结果；

对所述 SP的网络身份认证结果进行核实后，返回核实的结果给所述终端用户。

5. 一种实现单点登录过程无缝切换的方法，其特征在于，应用于 web 服务，所述方法包括：当服务提供商 SP向终端用户指定的身份提供商 IDP请求网络身份认证并且得到所述 IDP 不支持所述认证的结果后，所述 SP归属的 IDP接收所述终端用户发来的网络身份认证请求; 所述 SP归属的 IDP对所述终端用户进行网络身份认证后，返回认证结果给所述终端用户。

6. 根据权利要求 5所述的实现单点登录过程无缝切换的方法，其特征在于，所述方法还包括：

所述终端用户指定的 IDP接收所述 SP发来的网络身份认证请求，对所述终端用户进行网络身份认证，并返回不支持所述认证的结果给所述 SP，所述结果中指明所述终端用户指定的 IDP不是所述 SP归属的 IDP；

所述 SP收到所述结果后，回复响应给所述终端用户，所述响应中携带所述 SP归属的 IDP 信息。

7. 根据权利要求 6所述的实现单点登录过程无缝切换的方法，其特征在于，所述方法还包括：

所述网络身份认证请求中携带要求返回所述 SP的网络身份认证结果的标识信息；所述终端用户指定的 IDP根据所述标识信息对所述 SP进行网络身份认证，并在所述结果中携带所述 SP的网络身份认证结果。

8. 根据权利要求 5所述的实现单点登录过程无缝切换的方法，其特征在于，所述方法还包括：

当所述 SP归属的 IDP不是所述终端用户归属的 IDP时，所述终端用户接收所述 SP返回的认证失败的结果；

所述终端用户向所述 SP发起业务鉴权请求；

所述 SP接收到所述业务鉴权请求后，对所述终端用户进行鉴权，并返回鉴权结果给所述终端用户。

9. 根据权利要求 8所述的实现单点登录过程无缝切换的方法，其特征在于，所述方法还包括：

所述终端用户向自身归属的 IDP获取引导信息；相应地，所述终端用户还在所述业务鉴权请求中携带所述引导信息。

10. 一种提高网络身份认证安全性的方法，其特征在于，应用于 web服务，所述方法包括：

接收服务提供商 SP发来的对终端用户进行网络身份认证的请求，所述请求中包括服务提供商的访问权限信息；

11 . 根据权利要求 10所述的提高网络身份认证安全性的方法，其特征在于，所述方法还包括：

所述请求中携带要求返回所述 SP的网络身份认证结果的标识信息；

根据所述标识信息对所述 SP进行网络身份认证，并在所述认证结果中携带所述 SP的网络身份认证结果。

12. 根据权利要求 10所述的提高网络身份认证安全性的方法，其特征在于，所述认证结果包括引导信息，所述引导信息包括所述 SP的访问权限信息，所述方法还包括：

所述 SP根据所述引导信息访问相应的发现服务 DS;

所述 DS根据所述 SP的访问权限信息提供相应的 AP的信息给所述 SP。

13. 一种身份提供商装置，其特征在于，应用于 web服务，所述装置包括：

认证模块，用于对服务提供商 SP和终端用户进行网络身份认证；

14. 根据权利要求 13所述的身份提供商装置，其特征在于，所述装置还包括：第一接收模块，用于接收所述 SP发来的网络身份认证请求，所述网络身份认证请求中包含所述 SP的身份认证信息和所述终端用户的身份认证信息；

相应地，所述认证模块具体用于当所述第一接收模块收到所述网络身份认证请求后，根据所述 SP的身份认证信息和所述终端用户的身份认证信息，对所述 SP和终端用户进行网络身份认证。

15. 根据权利要求 13所述的身份提供商装置，其特征在于，所述装置还包括：第二接收模块，用于接收所述 SP发来的网络身份认证请求，所述网络身份认证请求中包含标识信息和所述终端用户的身份认证信息，所述标识信息用于要求返回 SP的网络身份认证结果；

相应地，所述认证模块具体包括：

第一认证单元，用于对所述 SP进行网络身份认证；

第二认证单元，用于当所述第二接收模块收到所述网络身份认证请求后，根据所述终端用户的身份认证信息，对所述终端用户进行网络身份认证。

16. 根据权利要求 13所述的身份提供商装置，其特征在于，所述装置还包括：核对模块，用于接收到所述终端用户发来的核实所述 SP的网络身份认证结果的请求后，对所述 SP的网络身份认证结果进行核实，并返回核实的结果给所述终端用户。

17. 一种服务提供商装置，其特征在于，应用于 web服务，所述装置包括：

接收模块，用于接收终端用户发来的业务请求，所述业务请求中包含标识信息和所述终端用户的身份认证信息，所述标识信息用于要求返回所述服务提供商的网络身份认证结果；发送模块，用于向身份提供商 IDP发起网络身份认证请求，并在所述网络身份认证请求中携带所述标识信息和所述终端用户的身份认证信息。

18. 根据权利要求 17所述的服务提供商装置，其特征在于，所述发送模块具体包括：发送单元，用于向 IDP发起网络身份认证请求，并在所述网络身份认证请求中携带所述标识信息、所述终端用户的身份认证信息和所述服务提供商的身份认证信息。

19. 一种身份提供商装置，其特征在于，应用于 web服务，所述身份提供商为服务提供商 SP归属的身份提供商，所述装置包括：

接收模块，用于接收终端用户发来的网络身份认证请求；

20. 一种服务提供商装置，其特征在于，应用于 web服务，所述装置包括：接收模块，用于接收终端用户发来的业务请求；还用于接收所述终端用户指定的身份提供商 IDP返回不支持所述认证的结果，所述结果中指明所述终端用户指定的 IDP不是所述 SP 归属的 IDP;

发送模块，用于在所述接收模块收到所述业务请求后，向所述终端用户指定的 IDP发起网络身份认证请求，在所述接收模块收到所述结果后，回复响应给所述终端用户，所述响应中携带所述 SP归属的 IDP信息。

21. 根据权利要求 20所述的服务提供商装置，其特征在于，所述接收模块还用于当所述 SP归属的 IDP不是所述终端用户归属的 IDP时，接收所述终端用户发来的业务鉴权请求；所述装置还包括：

业务鉴权模块，用于在所述接收模块接收到所述业务鉴权请求后，对所述终端用户进行鉴权，并返回鉴权结果给所述终端用户。

22. 一种身份提供商装置，其特征在于，应用于 web服务，所述装置包括：

接收模块，用于接收服务提供商 SP发来的对终端用户进行网络身份认证的请求，所述请求中包括服务提供商的访问权限信息；

23. 一种提高网络身份认证安全性的***，其特征在于，应用于 web服务，所述***包括服务提供商 SP装置和身份提供商 IDP装置；

所述 SP装置，用于接收终端用户发来的业务请求，所述业务请求中包含标识信息和所述终端用户的身份认证信息，向所述 IDP装置发起网络身份认证请求，并在所述网络身份认证请求中携带所述标识信息和所述终端用户的身份认证信息，所述标识信息用于要求返回所述服务提供商的网络身份认证结果；

所述 IDP装置，用于对所述服务提供商进行网络身份认证，当接收到所述 SP装置发来的包含标识信息和所述终端用户的身份认证信息的网络身份认证请求后，对所述终端用户进行网络身份认证，将得到的所述终端用户的网络身份认证结果和所述服务提供商的网络身份认证结果返回给所述 SP装置。

24. 一种实现单点登录过程无缝切换的***，其特征在于，应用于 web服务，所述*** 包括服务提供商 SP装置、终端用户指定的第一身份提供商 IDP装置和所述服务提供商归属的第二 IDP装置；

所述 SP装置，用于接收终端用户发来的业务请求，向所述终端用户指定的身份提供商发起网络身份认证请求，接收所述终端用户指定的身份提供商返回不支持所述认证的结果，回复响应给所述终端用户，所述响应中携带所述服务提供商归属的身份提供商信息；

所述第一 IDP装置，用于接收所述 SP装置发来的网络身份认证请求，返回不支持所述认证的结果给所述 SP装置，所述结果中指明所述终端用户指定的身份提供商不是所述服务提供商归属的身份提供商；

所述第二 IDP装置，用于接收所述终端用户发来的网络身份认证请求，对所述终端用户进行网络身份认证，返回认证结果给所述终端用户。

25. 一种提高网络身份认证安全性的***，其特征在于，应用于 web服务，所述***包括服务提供商 SP装置和身份提供商 IDP装置；

所述 SP装置，用于发送对终端用户进行网络身份认证的请求给所述 IDP装置，所述请求中包括服务提供商的访问权限信息；

所述 IDP装置，用于接收所述 SP装置发来的对终端用户进行网络身份认证的请求，根据所述访问权限信息对所述终端用户进行网络身份认证，并返回认证结果给所述 SP装置。