CN102082775A - 一种用户身份管理方法、装置和系统 - Google Patents
一种用户身份管理方法、装置和系统 Download PDFInfo
- Publication number
- CN102082775A CN102082775A CN2009102416078A CN200910241607A CN102082775A CN 102082775 A CN102082775 A CN 102082775A CN 2009102416078 A CN2009102416078 A CN 2009102416078A CN 200910241607 A CN200910241607 A CN 200910241607A CN 102082775 A CN102082775 A CN 102082775A
- Authority
- CN
- China
- Prior art keywords
- network
- identifier
- user
- client
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 12
- 238000007726 management method Methods 0.000 claims abstract description 45
- 238000005516 engineering process Methods 0.000 description 14
- 238000011161 development Methods 0.000 description 13
- 230000007246 mechanism Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000010354 integration Effects 0.000 description 7
- 238000012790 confirmation Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 230000001737 promoting effect Effects 0.000 description 3
- 238000013507 mapping Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种用户身份管理方法,包括以下步骤:接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求;根据所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。本发明实施例实现了同一用户的多个账号之间的统一管理认证和单点登录,并避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络。本发明实施例同样公开了一种应用上述方法的装置和系统。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种用户身份管理方法、装置和系统。
背景技术
随着通信网络的发展和电信业务的不断普及,用户的需求已经从单纯的IT(Information Technology,信息技术)应用和CT(Communication Technology,通信技术)应用转向ICT(Information and Communication Technology,信息通信技术)融合通信,电信网与互联网之间的界限越来越模糊,互联网应用逐渐提供了部分原有电信业务能力。
为应对来自互联网的挑战,电信运营商选择IMS(IP Multimedia Subsystem,互联网协议多媒体子系统)来增强网络和业务能力。IMS提供了基于多种接入方式统一用户体验、强大的多媒体交互能力、灵活的会话控制方式。在互联网领域,基于web 2.0技术产生了大量的互联网应用,包括社区、博客和维基等,以开放化、多样化、个性化、互动性和趣味性吸引了大量的用户。IMS的通信和多媒体处理能力与互联网的开放业务相结合是电信领域的发展方向。
统一身份认证和用户隐私保护是融合业务的关键,互联网上大量存在统一身份认证的例子。以MSN为例,用户登录MSN Messenger客户端后,点击“个人空间”的链接,可直接跳转到其MSN Space中的个人空间Web页面。但是,上述跳转是基于MSN的Passport机制实现的,即用户使用同一个Email地址注册了MSN的Passport,在登录客户端时,会使用该Email地址作为账号到MSN的Passport服务器上进行身份认证,身份认证通过后,Passport服务器将向用户颁发一个凭证;当用户跳转到个人空间时,需要携带该凭证和用户账号,个人空间服务器依据该凭证对用户身份作认证。因此,上述实现机制是基于同一个用户身份、且基于联盟中各服务器对Passport颁发的凭证的认证机制实现的。此外,由于多个平台之间使用同一个Email地址进行统一身份认证,因此,互联网中还存在不同平台间用户账户保密的隐私机制。
发明人在实现本发明的过程中,发现现有技术至少存在以下缺陷:
现有的基于互联网的身份认证机制无法对同一个用户的多个身份进行统一管理和认证,对于IMS-互联网融合应用,用户在IMS网络中拥有的身份是SIP URI或TEL URI,而同一个用户已经在多个互联网应用(例如社区)上还有多个单独的身份ID,现有的身份认证机制无法对上述多个身份进行统一管理和认证,无法保证用户体验。此外,现有的身份认证机制无法实现用户的账户(身份)隐私保护,对于电信应用而言,用户的电话号码、手机号码和SIP URI都属于用户安全要求相当高的个人隐私数据,一旦泄漏上述数据,会对用户造成极大的不便,也会对电信运营商的业务开展造成影响。
发明内容
本发明实施例提供了一种用户身份管理方法、装置和系统,以实现同一用户的多个账号之间的统一管理认证和单点登录。
本发明实施例提供了一种用户身份管理方法,包括以下步骤:
接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求;
根据所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。
优选地,所述根据所述第一标识查找用户信息表之前,还包括:
在所述第一标识对应的第一网络中,对所述第一标识进行鉴权,确认所述第一标识的合法性。
优选地,所述使用第二标识访问第二网络,具体包括:
向所述客户端发送包含所述第二标识和认证凭证的重定向报文,使所述客户端仅根据所述第二标识和所述认证凭证访问所述第二网络;或者
向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭证。
优选地,所述的方法,还包括:
接收来自所述客户端的绑定请求,所述绑定请求中携带第一标识和第二标识;
在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
本发明实施例还提供了一种应用通用网关,包括:
接收模块,用于接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求;
获取模块,用于根据所述接收模块接收到的所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识;
访问模块,用于使用所述获取模块获取的所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。
优选地,所述的应用通用网关,还包括:
鉴权模块,用于在所述第一标识对应的第一网络中,对所述接收模块接收到的所述第一标识进行鉴权,确认所述第一标识的合法性。
优选地,所述访问模块,具体用于向所述客户端发送包含所述第二标识和认证凭证的重定向报文,使所述客户端仅根据所述第二标识和所述认证凭证访问所述第二网络;或者
向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭证。
优选地,所述的应用通用网关,还包括:
所述接收模块,还用于接收来自所述客户端的绑定请求,所述绑定请求中携带第一标识和第二标识;
所述鉴权模块,还用于在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
本发明实施例还提供了一种用户身份管理系统,包括:
客户端,用于向应用通用网关发送访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求;
应用通用网关,用于接收来自所述客户端的访问请求,根据所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。
优选地,所述客户端,还用于向所述应用通用网关发送绑定请求,所述绑定请求中携带第一标识和第二标识;
所述应用通用网关,用于接收来自所述客户端的绑定请求,在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
与现有技术相比,本发明实施例具有以下优点:本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做额外的改动,保证了核心网络的稳定性和安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对本发明实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一中的一种用户身份管理方法流程图;
图2为应用AUG的用户身份管理系统组网图;
图3为AUG的功能模块图;
图4为本发明实施例二中的一种用户身份管理方法流程图;
图5为本发明实施例三中的一种用户身份管理方法流程图;
图6为本发明实施例四中的一种用户身份管理方法流程图;
图7为本发明实施例五中的一种用户身份管理方法流程图;
图8为本发明实施例六中的一种用户身份管理方法流程图;
图9为本发明实施例七中的一种用户身份管理方法流程图;
图10为本发明实施例八中的一种应用通用网关结构示意图;
图11为本发明实施例九中的一种用户身份管理系统结构示意图。
具体实施方式
本发明实施例提供的技术方案中,其核心思想为在保证用户身份隐私的前提下,统一管理用户在IMS网络和互联网上多重身份的关联,为用户提供多账号关联的统一身份认证和单点登录。具体地,本发明实施例提出了在IMS网络与互联网应用之间通过身份标识映射实现用户身份统一管理和单点登录的机制,以及基于身份标识实现的在IMS域和Internet域之间相互保护用户标识隐私的机制,并基于上述机制提出ID关联机制和从IMS域访问Internet应用的访问控制机制,包括代理方式和重定向方式。
下面将结合本发明实施例中的附图,对本发明实施例的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例一中的一种用户身份管理方法流程图,包括以下步骤:
步骤101,接收来自客户端的访问请求,该访问请求中携带用户在第一网络中的第一标识以及用户对第二网络的接入需求。
步骤102,根据第一标识查找用户信息表,获取与该第一标识绑定的第二标识,并使用该第二标识访问第二网络,使第二网络向客户端提供服务。
具体地,根据第一标识查找用户信息表之前,还可以在第一标识对应的第一网络中,对第一标识进行鉴权,确认第一标识的合法性。使用第二标识访问第二网络,具体包括:向客户端发送包含第二标识和认证凭证的重定向报文,使客户端仅根据第二标识和认证凭证访问第二网络;或者向第二网络发送访问请求,该访问请求中仅携带所述第二标识和认证凭证。
第一标识和第二标识的绑定关系可以通过以下方式建立:接收来自客户端的绑定请求,该绑定请求中携带第一标识和第二标识;在第一标识对应的第一网络和第二标识对应的第二网络中,分别对第一标识和第二标识进行鉴权,并在鉴权通过后建立第一标识和第二标识的绑定关系。
本发明实施例具有以下优点:通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,并避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展。
考虑到电信网络的复杂性,本发明实施例引入了一种用户身份管理装置,即AUG(Application Universal Gateway,应用通用网关),以简化对电信网络的要求,隔离隐私要求不同的互联网域和电信域。应用AUG的用户身份管理系统组网图,如图2所示。其中,AUG连接第一网络和第二网络,用户可以通过客户端访问第一网络,也可以通过客户端访问第二网络。具体地,第一网络和第二网络可以分别为IMS网络或Internet应用网络。
如图3所示,为AUG的功能模块图,具体包括:
用户身份关联模块,用于接收来自Internet域或电信域的用户身份关联请求,在用户身份确认的基础上,建立用户身份关联表。
用户身份映射模块,用于接收客户端来自Internet域或电信域的用户身份关联请求,在确认用户身份的基础上,查询用户身份关联表,获得应用所需的用户身份信息。
用户鉴权模块,用于通过鉴权接口向IMS网络或Internet应用网络进行用户身份鉴权。
应用重定向模块,用于将用户的应用访问请求重定向到Internet应用网络。
应用接入管理模块,用于对Internet应用网络的接入控制和管理。
此外,AUG中的数据包括用户信息表和应用信息表,其中,用户信息表存储用户在IMS域中的身份与其在多个Internet应用上的账户绑定关系,应用信息表存储可接入AUG的Internet应用信息及其授权信息,包括优先级和服务提供时间段等信息。
以下结合上述应用场景,对本发明实施例一中的用户身份管理方法进行详细、具体的描述。
如图4所示,为本发明实施例二中的一种用户身份管理方法流程图,其中,用户在IMS网络中的TEL URI/SIP URI为ID1,在Internet应用(URL为http://host.domain:port)中的账户为ID2,用户通过客户端接入IMS网络后发起关联请求,该方法具体包括以下步骤:
步骤201,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包含的ID1接入IMS网络。
具体地,用户以IMS身份使用ID1请求登录客户端,并在客户端对ID1通过鉴权认证后,成功登录客户端。客户端使用ID1接入IMS网络,使IMS网络存储ID1的相关信息。
步骤202,客户端向AUG发送包含ID1和ID2的绑定请求。
具体地,用户在客户端上向AUG发起ID1和ID2的绑定请求,要求建立ID1和ID2的绑定关系。
步骤203,AUG与IMS网络进行用户鉴权,确认来自客户端的ID1的合法性。
步骤204,AUG与Internet应用网络进行用户鉴权,确认来自客户端的ID2的合法性以及ID1和ID2之间的绑定关系的有效性。
具体地,AUG使用ID2登录Internet应用网络,Internet应用网络向ID2对应的账户返回验证信息。依据Internet应用功能的不同,返回验证信息的方式也不相同。例如,对于Email类应用,Internet应用网络可以发送确认Email;对于社区类应用,Internet应用网络可以发送站内消息。
步骤205,客户端登录Internet应用网络,确认绑定事件。
具体地,用户在Internet应用网络返回的验证信息的有效期内,通过客户端登录Internet应用网络,确认本次绑定事件的有效性。
步骤206,Internet应用网络根据用户的确认情况,返回对绑定事件的反馈结果。
步骤207,AUG记录ID1和ID2之间的绑定关系。
本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做额外的改动,保证了核心网络的稳定性和安全性。
作为本发明实施例的另一应用场景,用户也可以通过客户端接入Internet应用网络后发起关联请求。如图5所示,为本发明实施例三中的一种用户身份管理方法流程图,具体包括以下步骤:
步骤301,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包含的ID2接入Internet应用网络。
具体地,在用户以Internet应用身份使用账户ID2成功登录客户端后,客户端使用ID2接入Internet应用网络,使Internet应用网络存储ID2的相关信息。
步骤302,客户端向AUG发起包含ID1和ID2的绑定请求。
步骤303,AUG向Internet应用网络确认ID2的合法性。
步骤304,AUG向IMS网络确认ID1的合法性以及ID1和ID2之间的绑定关系的有效性。
具体地,AUG使用ID1接入IMS网络,IMS网络向ID1对应的账户返回验证信息。依据用户的IMS业务种类及是否在线,返回验证信息的方式也各不相同。例如,如果用户签约了即时消息业务且当前在线,则IMS网络发送即时消息确认;如果用户签约了即时消息业务且当前在线,则IMS网络发送短信确认。
步骤305,客户端接入IMS网络,确认绑定事件。
具体地,用户在验证信息的有效期内,通过客户端接入IMS网络,确认本次绑定事件的有效性。
步骤306,IMS网络根据用户的确认情况,返回对绑定事件的反馈结果。
步骤307,AUG记录ID1和ID2之间的绑定关系。
本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做额外的改动,保证了核心网络的稳定性和安全性。
在本发明实施例的又一应用场景中,AUG记录ID1和ID2之间的绑定关系,且用户在通过客户端接入IMS网络后,用户可以通过客户端访问Internet应用网络,如图6所示,为本发明实施例四中的一种用户身份管理方法流程图,具体包括以下步骤:
步骤401,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包含的ID1接入IMS网络。
具体地,用户以IMS身份使用ID1请求登录客户端,并在客户端对ID1通过鉴权认证后,成功登录客户端。客户端使用ID1接入IMS网络,使IMS网络存储ID1的相关信息。
步骤402,客户端向AUG发起访问Internet应用网络的请求。
具体地,用户从客户端点击按钮打开浏览器,并向AUG发起Internet应用网络的访问请求,该访问请求中包含ID1。
步骤403,AUG与IMS网络进行用户鉴权,确认来自客户端的ID1的合法性。
步骤404,AUG查找用户信息表,获取ID1对应于Internet应用网络的标识ID2。
步骤405,AUG向客户端返回重定向报文。
其中,客户端浏览器接收到的重定向报文中,包括用户使用Internet业务时的标识ID2和对应于该业务的认证凭证。
步骤406,客户端向Internet应用网络发起访问请求。
其中,客户端发送的访问请求中仅携带ID2和认证凭证,不携带ID1,从而避免将ID1泄露给Internet应用网络。
步骤407,Internet应用网络认证用户身份,并向用户提供服务。
本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做额外的改动,保证了核心网络的稳定性和安全性。
在本发明实施例的再一应用场景中,AUG记录ID1和ID2之间的绑定关系,用户通过客户端接入IMS网络并通过客户端访问Internet应用网络。Internet应用网络信任来自AUG对应的IP地址、端口的访问或者AUG提供的用户身份,或者在AUG和Internet应用网络之间有安全的通信通道,例如,TLS连接或VPN。
如图7所示,为本发明实施例五中的一种用户身份管理方法流程图,具体包括以下步骤:
步骤501,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包含的ID1接入IMS网络。
具体地,用户以IMS身份使用ID1请求登录客户端,并在客户端对ID1通过鉴权认证后,成功登录客户端。客户端使用ID1接入IMS网络,使IMS网络存储ID1的相关信息。
步骤502,客户端向AUG发起访问Internet应用网络的请求。
具体地,用户从客户端点击按钮打开浏览器,并向AUG发起Internet应用网络的访问请求,该访问请求中包含ID1。
步骤503,AUG与IMS网络进行用户鉴权,确认来自客户端的ID1的合法性。
步骤504,AUG查找用户信息表,获取ID1对应于Internet应用网络的标识ID2。
步骤505,AUG向Internet应用网络发起访问请求,该访问请求中携带ID2。
具体地,AUG代理用户,以ID2的身份访问Internet应用网络,访问请求中除了携带ID2外,还可以携带ID2对应的认证凭证,但不携带ID1,从而避免将ID1泄露给Internet应用网络。
步骤506,Internet应用网络认证用户身份,并向用户提供服务。
具体地,当Internet应用网络接收到的访问请求中包含认证凭证时,Internet应用网络通过该认证凭证确认用户身份,并向用户提供服务。
本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做额外的改动,保证了核心网络的稳定性和安全性。
当AUG信任来自Internet应用网络的数据信息时,用户在通过客户端接入Internet应用网络后,可以通过客户端接入IMS网络,如图8所示,为本发明实施例六中的一种用户身份管理方法流程图,具体包括以下步骤:
步骤601,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包含的ID2接入Internet应用网络。
具体地,在用户以Internet应用身份使用账户ID2成功登录客户端后,客户端使用ID2接入Internet应用网络,使Internet应用网络存储ID2的相关信息。
步骤602,客户端向AUG发起接入IMS网络的请求。
步骤603,AUG与Internet应用网络进行用户鉴权,确认来自客户端的ID2的合法性。
步骤604,AUG查找用户信息表,获取ID2对应于IMS网络的标识ID1。
步骤605,AUG向客户端返回重定向报文。
其中,客户端浏览器接收到的重定向报文中,包括用户使用IMS网络业务时的标识ID1和对应于该业务的认证凭证。
步骤606,客户端向IMS网络发起访问请求。
其中,客户端发送的访问请求中仅携带ID1和认证凭证,不携带ID2,从而避免将ID2泄露给IMS网络。
步骤607,IMS网络认证用户身份,并向用户提供服务。
本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做额外的改动,保证了核心网络的稳定性和安全性。
当AUG信任来自Internet应用网络的数据信息,且IMS网络信任来自AUG对应的IP地址、端口的访问或者AUG提供的用户身份,或者在AUG和IMS网络之间有安全的通信通道时,用户在通过客户端接入Internet应用网络后,可以通过客户端接入IMS网络。
如图9所示,为本发明实施例七中的一种用户身份管理方法流程图,具体包括以下步骤:
步骤701,客户端接收来自用户的登录请求,允许用户登录,并使用登录请求中包含的ID2接入Internet应用网络。
具体地,在用户以Internet应用身份使用账户ID2成功登录客户端后,客户端使用ID2接入Internet应用网络,使Internet应用网络存储ID2的相关信息。
步骤702,客户端向AUG发起接入IMS网络的请求。
步骤703,AUG与Internet应用网络进行用户鉴权,确认来自客户端的ID2的合法性。
步骤704,AUG查找用户信息表,获取ID2对应于IMS网络的标识ID1。
步骤705,AUG向IMS网络发起访问请求,该访问请求中携带ID1。
具体地,AUG代理用户,以ID1的身份访问IMS网络,访问请求中除了携带ID1外,还可以携带ID1对应的认证凭证,但不携带ID2,从而避免将ID2泄露给IMS网络。
步骤706,IMS网络认证用户身份,并向用户提供服务。
具体地,当Internet应用网络接收到的访问请求中包含认证凭证时,Internet应用网络通过该认证凭证确认用户身份,并向用户提供服务。
本发明实施例通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,为Internet与IMS融合提供ICT应用的技术基础;在不损失业务体验的前提下,避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展,且上述改动均无需IMS网络和AS应用做额外的改动,保证了核心网络的稳定性和安全性。
本发明实施例在上述实施方式中提供了用户身份管理方法和多种应用场景,相应地,本发明实施例还提供了应用上述用户身份管理方法的装置和系统。
如图10所示,为本发明实施例八中的一种应用通用网关结构示意图,包括:
接收模块810,用于接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求。
获取模块820,用于根据所述接收模块810接收到的所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识。
访问模块830,用于使用所述获取模块820获取的所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。
上述访问模块830,具体用于向所述客户端发送包含所述第二标识和认证凭证的重定向报文,使所述客户端仅根据所述第二标识和所述认证凭证访问所述第二网络;或者向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭证。
鉴权模块840,用于在所述第一标识对应的第一网络中,对所述接收模块810接收到的所述第一标识进行鉴权,确认所述第一标识的合法性。
上述接收模块810,还用于接收来自所述客户端的绑定请求,所述绑定请求中携带第一标识和第二标识。
相应地,上述鉴权模块820,还用于在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
本发明实施例具有以下优点:通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,并避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展。
如图11所示,为本发明实施例九中的一种用户身份管理系统结构示意图,包括:
客户端910,用于向应用通用网关920发送访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求。
应用通用网关920,用于接收来自所述客户端910的访问请求,根据所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第二网络,使所述第二网络向所述客户端910提供服务。
上述客户端910,还用于向所述应用通用网关920发送绑定请求,所述绑定请求中携带第一标识和第二标识。
相应地,上述应用通用网关920,用于接收来自所述客户端910的绑定请求,在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
本发明实施例具有以下优点:通过建立和查询同一用户在不同网络的用户标识的绑定关系,实现了同一用户的多个账号之间的统一管理认证和单点登录,并避免将用户在第一网络中的第一标识泄露给第二网络,同时避免将用户在第二网络中的第二标识泄露给第一网络,有效保证了用户在各自域的身份不泄露,促进了业务的良性发展。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台终端设备(可以是手机,个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以集成于一体,也可以分离部署;可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (10)
1.一种用户身份管理方法,其特征在于,包括以下步骤:
接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求;
根据所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。
2.如权利要求1所述的方法,其特征在于,所述根据所述第一标识查找用户信息表之前,还包括:
在所述第一标识对应的第一网络中,对所述第一标识进行鉴权,确认所述第一标识的合法性。
3.如权利要求1所述的方法,其特征在于,所述使用第二标识访问第二网络,具体包括:
向所述客户端发送包含所述第二标识和认证凭证的重定向报文,使所述客户端仅根据所述第二标识和所述认证凭证访问所述第二网络;或者
向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭证。
4.如权利要求1所述的方法,其特征在于,还包括:
接收来自所述客户端的绑定请求,所述绑定请求中携带第一标识和第二标识;
在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
5.一种应用通用网关,其特征在于,包括:
接收模块,用于接收来自客户端的访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求;
获取模块,用于根据所述接收模块接收到的所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识;
访问模块,用于使用所述获取模块获取的所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。
6.如权利要求5所述的应用通用网关,其特征在于,还包括:
鉴权模块,用于在所述第一标识对应的第一网络中,对所述接收模块接收到的所述第一标识进行鉴权,确认所述第一标识的合法性。
7.如权利要求5所述的应用通用网关,其特征在于,
所述访问模块,具体用于向所述客户端发送包含所述第二标识和认证凭证的重定向报文,使所述客户端仅根据所述第二标识和所述认证凭证访问所述第二网络;或者
向所述第二网络发送访问请求,所述访问请求中仅携带所述第二标识和认证凭证。
8.如权利要求6所述的应用通用网关,其特征在于,还包括:
所述接收模块,还用于接收来自所述客户端的绑定请求,所述绑定请求中携带第一标识和第二标识;
所述鉴权模块,还用于在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
9.一种用户身份管理系统,其特征在于,包括:
客户端,用于向应用通用网关发送访问请求,所述访问请求中携带用户在第一网络中的第一标识以及所述用户对第二网络的接入需求;
应用通用网关,用于接收来自所述客户端的访问请求,根据所述第一标识查找用户信息表,获取与所述第一标识绑定的第二标识,并使用所述第二标识访问所述第二网络,使所述第二网络向所述客户端提供服务。
10.如权利要求9所述的系统,其特征在于,
所述客户端,还用于向所述应用通用网关发送绑定请求,所述绑定请求中携带第一标识和第二标识;
所述应用通用网关,用于接收来自所述客户端的绑定请求,在所述第一标识对应的第一网络和所述第二标识对应的第二网络中,分别对所述第一标识和所述第二标识进行鉴权,并在鉴权通过后建立所述第一标识和所述第二标识的绑定关系。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102416078A CN102082775A (zh) | 2009-11-27 | 2009-11-27 | 一种用户身份管理方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102416078A CN102082775A (zh) | 2009-11-27 | 2009-11-27 | 一种用户身份管理方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102082775A true CN102082775A (zh) | 2011-06-01 |
Family
ID=44088528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102416078A Pending CN102082775A (zh) | 2009-11-27 | 2009-11-27 | 一种用户身份管理方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102082775A (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102611705A (zh) * | 2012-03-20 | 2012-07-25 | 广东电子工业研究院有限公司 | 一种通用计算账户管理系统及其实现方法 |
| CN102651718A (zh) * | 2011-02-25 | 2012-08-29 | 腾讯科技(深圳)有限公司 | 信息传输的方法和装置 |
| CN103179089A (zh) * | 2011-12-21 | 2013-06-26 | 富泰华工业(深圳)有限公司 | 在不同软件开发平台之间访问验证身份的系统及方法 |
| CN103248699A (zh) * | 2013-05-16 | 2013-08-14 | 广西中烟工业有限责任公司 | 一种单点登录信息系统的多账号处理方法 |
| CN103428208A (zh) * | 2013-08-01 | 2013-12-04 | 清华大学 | 分布式sip重定向服务器及其构建方法 |
| CN104468487A (zh) * | 2013-09-23 | 2015-03-25 | 华为技术有限公司 | 通信认证方法及装置、终端设备 |
| WO2015085962A1 (zh) * | 2013-12-09 | 2015-06-18 | 腾讯科技(深圳)有限公司 | 一种联运中网页应用的帐号信息处理方法、装置和系统 |
| CN105429998A (zh) * | 2015-01-06 | 2016-03-23 | 李先志 | 网络安全区登录方法及装置 |
| CN105450498A (zh) * | 2014-08-08 | 2016-03-30 | 华为技术有限公司 | 一种用户关系管理方法及装置 |
| CN105812350A (zh) * | 2016-02-03 | 2016-07-27 | 北京中搜云商网络技术有限公司 | 一种跨平台单点登录系统 |
| WO2016124115A1 (zh) * | 2015-02-05 | 2016-08-11 | 阿里巴巴集团控股有限公司 | 多账号登录、通讯方法、装置和移动终端 |
| CN102651718B (zh) * | 2011-02-25 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 信息传输的方法和装置 |
| CN106487760A (zh) * | 2015-08-28 | 2017-03-08 | 百度在线网络技术(北京)有限公司 | 多账户体系的互通方法及装置 |
| CN103793420B (zh) * | 2012-10-31 | 2017-04-12 | 国际商业机器公司 | 用于跨站点数据分析的方法和系统 |
| CN107409127A (zh) * | 2015-02-27 | 2017-11-28 | 微软技术许可有限责任公司 | 针对具有多个身份的联系人的许可管理 |
| CN107770006A (zh) * | 2017-09-19 | 2018-03-06 | 安康鸿天科技开发有限公司 | 一种基于ims通信的三网融合系统 |
| WO2019017835A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
| CN110213217A (zh) * | 2018-08-23 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 数据访问方法、相关装置、网关和数据访问系统 |
| CN110609970A (zh) * | 2019-08-29 | 2019-12-24 | 北京大米科技有限公司 | 用户身份识别方法、装置、存储介质及电子设备 |
| CN115098840A (zh) * | 2022-06-24 | 2022-09-23 | 北京字跳网络技术有限公司 | 一种身份认证方法、装置、设备、介质及产品 |
| CN115866598A (zh) * | 2023-02-27 | 2023-03-28 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信接入方法 |
| WO2025050947A1 (zh) * | 2023-09-04 | 2025-03-13 | 杭州阿里云飞天信息技术有限公司 | 访问身份数据的方法、装置及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1469583A (zh) * | 2002-07-16 | 2004-01-21 | 北京创原天地科技有限公司 | 因特网上不同应用系统间用户认证信息共享的方法 |
| CN1835438A (zh) * | 2006-03-22 | 2006-09-20 | 阿里巴巴公司 | 一种在系统间实现单次登录的方法及系统 |
| CN1946022A (zh) * | 2006-10-31 | 2007-04-11 | 华为技术有限公司 | 转接第三方登陆的方法、系统及第三方网站、业务服务器 |
| CN101159557A (zh) * | 2007-11-21 | 2008-04-09 | 华为技术有限公司 | 单点登录的方法、装置及系统 |
| CN101453328A (zh) * | 2007-12-06 | 2009-06-10 | 中国移动通信集团公司 | 身份管理系统及身份认证系统 |
-
2009
- 2009-11-27 CN CN2009102416078A patent/CN102082775A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1469583A (zh) * | 2002-07-16 | 2004-01-21 | 北京创原天地科技有限公司 | 因特网上不同应用系统间用户认证信息共享的方法 |
| CN1835438A (zh) * | 2006-03-22 | 2006-09-20 | 阿里巴巴公司 | 一种在系统间实现单次登录的方法及系统 |
| CN1946022A (zh) * | 2006-10-31 | 2007-04-11 | 华为技术有限公司 | 转接第三方登陆的方法、系统及第三方网站、业务服务器 |
| CN101159557A (zh) * | 2007-11-21 | 2008-04-09 | 华为技术有限公司 | 单点登录的方法、装置及系统 |
| CN101453328A (zh) * | 2007-12-06 | 2009-06-10 | 中国移动通信集团公司 | 身份管理系统及身份认证系统 |
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102651718A (zh) * | 2011-02-25 | 2012-08-29 | 腾讯科技(深圳)有限公司 | 信息传输的方法和装置 |
| CN102651718B (zh) * | 2011-02-25 | 2016-12-14 | 腾讯科技(深圳)有限公司 | 信息传输的方法和装置 |
| CN103179089A (zh) * | 2011-12-21 | 2013-06-26 | 富泰华工业(深圳)有限公司 | 在不同软件开发平台之间访问验证身份的系统及方法 |
| CN102611705B (zh) * | 2012-03-20 | 2015-09-23 | 广东电子工业研究院有限公司 | 一种通用计算账户管理系统及其实现方法 |
| CN102611705A (zh) * | 2012-03-20 | 2012-07-25 | 广东电子工业研究院有限公司 | 一种通用计算账户管理系统及其实现方法 |
| CN103793420B (zh) * | 2012-10-31 | 2017-04-12 | 国际商业机器公司 | 用于跨站点数据分析的方法和系统 |
| CN103248699A (zh) * | 2013-05-16 | 2013-08-14 | 广西中烟工业有限责任公司 | 一种单点登录信息系统的多账号处理方法 |
| CN103428208A (zh) * | 2013-08-01 | 2013-12-04 | 清华大学 | 分布式sip重定向服务器及其构建方法 |
| CN103428208B (zh) * | 2013-08-01 | 2016-04-27 | 清华大学 | 分布式sip重定向服务器及其构建方法 |
| CN104468487B (zh) * | 2013-09-23 | 2018-10-19 | 华为技术有限公司 | 通信认证方法及装置、终端设备 |
| CN104468487A (zh) * | 2013-09-23 | 2015-03-25 | 华为技术有限公司 | 通信认证方法及装置、终端设备 |
| WO2015085962A1 (zh) * | 2013-12-09 | 2015-06-18 | 腾讯科技(深圳)有限公司 | 一种联运中网页应用的帐号信息处理方法、装置和系统 |
| CN105450498A (zh) * | 2014-08-08 | 2016-03-30 | 华为技术有限公司 | 一种用户关系管理方法及装置 |
| CN105450498B (zh) * | 2014-08-08 | 2018-09-28 | 华为技术有限公司 | 一种用户关系管理方法及装置 |
| CN105429998A (zh) * | 2015-01-06 | 2016-03-23 | 李先志 | 网络安全区登录方法及装置 |
| WO2016124115A1 (zh) * | 2015-02-05 | 2016-08-11 | 阿里巴巴集团控股有限公司 | 多账号登录、通讯方法、装置和移动终端 |
| CN107409127A (zh) * | 2015-02-27 | 2017-11-28 | 微软技术许可有限责任公司 | 针对具有多个身份的联系人的许可管理 |
| CN107409127B (zh) * | 2015-02-27 | 2020-07-28 | 微软技术许可有限责任公司 | 针对具有多个身份的联系人的许可管理 |
| CN106487760B (zh) * | 2015-08-28 | 2019-05-10 | 百度在线网络技术(北京)有限公司 | 多账户体系的互通方法及装置 |
| CN106487760A (zh) * | 2015-08-28 | 2017-03-08 | 百度在线网络技术(北京)有限公司 | 多账户体系的互通方法及装置 |
| CN105812350A (zh) * | 2016-02-03 | 2016-07-27 | 北京中搜云商网络技术有限公司 | 一种跨平台单点登录系统 |
| CN110800331A (zh) * | 2017-07-20 | 2020-02-14 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
| WO2019017835A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
| CN110800331B (zh) * | 2017-07-20 | 2023-03-10 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
| WO2019017840A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 网络验证方法、相关设备及系统 |
| CN107770006A (zh) * | 2017-09-19 | 2018-03-06 | 安康鸿天科技开发有限公司 | 一种基于ims通信的三网融合系统 |
| CN107770006B (zh) * | 2017-09-19 | 2020-06-16 | 安康鸿天科技开发有限公司 | 一种基于ims通信的三网融合系统 |
| CN110213217B (zh) * | 2018-08-23 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 数据访问方法、相关装置、网关和数据访问系统 |
| CN110213217A (zh) * | 2018-08-23 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 数据访问方法、相关装置、网关和数据访问系统 |
| CN110609970A (zh) * | 2019-08-29 | 2019-12-24 | 北京大米科技有限公司 | 用户身份识别方法、装置、存储介质及电子设备 |
| CN115098840A (zh) * | 2022-06-24 | 2022-09-23 | 北京字跳网络技术有限公司 | 一种身份认证方法、装置、设备、介质及产品 |
| CN115098840B (zh) * | 2022-06-24 | 2024-06-18 | 北京字跳网络技术有限公司 | 一种身份认证方法、装置、设备、介质及产品 |
| CN115866598A (zh) * | 2023-02-27 | 2023-03-28 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信接入方法 |
| CN115866598B (zh) * | 2023-02-27 | 2023-05-23 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信接入方法 |
| WO2025050947A1 (zh) * | 2023-09-04 | 2025-03-13 | 杭州阿里云飞天信息技术有限公司 | 访问身份数据的方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102082775A (zh) | 一种用户身份管理方法、装置和系统 | |
| US11399044B2 (en) | System and method for connecting a communication to a client | |
| CN108901022B (zh) | 一种微服务统一鉴权方法及网关 | |
| JP4782139B2 (ja) | モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム | |
| Leiba | Oauth web authorization protocol | |
| US7221935B2 (en) | System, method and apparatus for federated single sign-on services | |
| CN103188207B (zh) | 一种跨域的单点登录实现方法及系统 | |
| CN112468481B (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| JP5239341B2 (ja) | ゲートウェイ、中継方法及びプログラム | |
| US20130019297A1 (en) | System and Method for Communicating with a Client Application | |
| CN103067337B (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| CN111245791B (zh) | 一种通过反向代理实现管理和it服务的单点登录方法 | |
| US20120278854A1 (en) | System and method for device addressing | |
| US8775586B2 (en) | Granting privileges and sharing resources in a telecommunications system | |
| WO2007009343A1 (fr) | Systeme d'autorisation d'acces d'un reseau de communication et son procede | |
| Beltran et al. | User identity for WebRTC services: A matter of trust | |
| CN111786969A (zh) | 单点登录方法、装置及系统 | |
| CN103812900A (zh) | 一种数据同步方法、装置及系统 | |
| CN108781367B (zh) | 减少Cookie注入和Cookie重放攻击的方法 | |
| CN112039873A (zh) | 一种单点登录访问业务系统的方法 | |
| CN103856454B (zh) | Ip 多媒体子系统与互联网业务互通的方法及业务互通网关 | |
| CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
| US20120106399A1 (en) | Identity management system | |
| CN104113511B (zh) | 一种接入ims网络的方法、系统及相关装置 | |
| US9979722B2 (en) | Method and apparatus for processing a RTCWEB authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110601 |