[发明专利]身份管理系统及身份认证系统

说明书

技术领域

本发明涉及信息处理技术，尤其涉及身份管理系统及身份认证系统。

背景技术

随着信息技术和网络技术的发展，各种应用服务不断地在网上普及，用户每天需要登录到许多不同的应用系统。不同的系统出于安全因素都要求用户遵循一定的安全策略，最常见的如要求输入用户标识(Identification，简称ID)和口令。随着用户需要登录系统的增多，用户每天就得不断的重复输入自己在相应系统中的ID和口令，在极不便利的同时也增加了出错的可能性。

另一方面，随着Web服务技术的发展，各种基于Web的服务集成度不断提高，用户的一个服务请求可能会由一系列的子服务构成，而这些子服务又是动态相关的并由不同的服务提供者提供。在传统的登录模式下需要用户伴随着服务执行的进展，不断登录到相应的子服务系统中，在造成用户不便利的同时也与服务集成的透明性要求相矛盾。

基于上述情况，出现了“单点登录”(Single Sign-On)技术。单点登录是指在分布的、多服务的网络环境中，通过用户的一次性鉴别登录，即可获得访问分布式系统中所有服务的合法性身份证明，在此条件下，管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。

目前，互联网领域的单点登录技术主要是微软的.NET Passport技术。该技术是基于Cookie的单点登录技术，认证服务器与合作站点之间采用统一的用户账户作为登录凭证。这样用户在使用一个合作站点的服务时，首先登录Passport服务，然后就可以使用其他合作站点的服务了，而不用再次登录。

.NET Passport技术主要存在以下缺陷：认证服务器和服务提供商(ServiceProvider，简称SP)服务之间必须使用统一的用户账户，限制了SP的范围。实际上，在电信领域内，服务提供商是多种多样的，要求服务提供商使用与核心网相同的用户账户是不现实的；并且采用集中式的认证服务器，存在一定的安全隐患，如果认证服务器被攻击跨掉，则整个系统内的所有服务都无法使用。

发明内容

本发明的目的在于提供一种身份管理系统及身份认证系统，利用用户多个身份的映射关系，实现用户在登录了身份管理系统或某个SP设备后，当访问其他SP设备时，身份管理系统可以查询得到用户在其他SP设备上的身份信息，从而实现统一登录。

为了实现上述目的，本发明提供了一种身份管理系统，包括：

接口模块，用于所述身份管理系统与其他系统进行信息交互；

展现模块，用于提供展现页面，从用户接收用户请求消息，并向用户返回处理结果；

身份联合数据库，用于存储用户多个身份的映射关系；

身份查询模块，用于根据所述接口模块或展现模块转发的携带有服务提供商SP标识和用户标识的查询请求检索所述身份联合数据库，得到并返回所述用户标识的与所述SP标识对应的身份信息。

为了实现上述目的，本发明还提供了一种身份认证系统，包括：

用户终端，用于发送登录请求，使用SP设备提供的服务；

身份管理系统，用于管理用户多个身份的映射关系，根据SP标识和用户标识查询所述用户多个身份的映射关系，得到所述用户标识的与所述SP标识对应的用户身份；

SP设备，用于在接收到用户终端的登录请求时，根据SP标识和用户标识向所述身份管理系统查询用户身份，并使用户以查询到的用户身份登录。

本发明利用用户多个身份的映射关系，实现用户登录了身份管理系统或某个SP设备后，再访问其他SP设备时，身份管理系统可以查询得到用户在其他SP设备上的身份信息，从而实现统一登录。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为本发明的身份认证系统一实施例结构示意图；

图2为本发明的身份管理系统实施例一结构示意图；

图3为本发明的身份管理系统实施例二结构示意图；

图4为本发明的身份管理系统实施例三结构示意图；

图5为本发明的身份管理系统实施例四结构示意图。

具体实施方式