[发明专利]提高网络身份认证安全性的方法和装置

说明书

本申请是华为技术有限公司于2008年04月26日提交中国专利局、申请号为200810094877.6、发明名称为“提高网络身份认证安全性的方法和装置”的发明专利申请的分案申请。 

技术领域

本发明涉及通信技术领域，特别涉及一种提高网络身份认证安全性的方法和装置。 

背景技术

Web Service（服务）是描述一些操作的接口，可以使用标准化的XML（eXtensible Markup Language，可扩展标记语言）消息传递机制通过网络访问这些操作。一个Web Service可以单独或协同其它Web Service一起用于实现复杂的功能或商业交易。 

终端可能会使用多种Web Service，但并不是所有服务都位于其网络运营商的信任域内。为了提高终端的用户体验，现有技术提供了一种身份联合方式，即网络身份，用来描述在多种网络服务中，使提供给终端的状态或数据保持一致。 

网络身份消息交换中，会涉及四个实体：SP（Service Provider，服务提供商）、IDP（Identity Provider，身份提供商）、DS（Discovery Service，发现服务）和AP（Attribute Provider，属性提供商）。其中，SP是为主体用户提供服务和/或货物的实体。IDP用于生成、维护和管理主体用户的身份信息，并且能够为某认证域（甚至信任圈）中的其他服务提供商提供认证断言。DS允许不同的实体（如服务提供商）动态地发现一个主体的已注册的服务。例如，当DS确定了所需服务的类型，且符合用户设定的权限，表示该实体上的信息允许向相关实体提供，DS将会向相关实体回复一个服务描述，包括所需的实体服务的WSDL（Web Service Description Language，Web服务描述语言）。DS还可以用作安全记号服务，向请求者发送该安全记号，请求者在向DS请求服务时，需要出示这个记号。AP用于提供某个主体用户的属性。 

现有技术中，一个主体用户使用某个SP完成某项业务时，需要通过IDP的身份认证，以及属性提供商提供给SP所需查询的属性（例如，主体用户的位置信息）共同完成服务。通 过用户在IDP上完成认证工作，信任圈内的其他实体能够利用IDP对用户的认证信息，通过NI（Network Identity，网络身份）对用户身份进行识别，并在此基础上对用户的Attibute信息进行获取，并基于此开展相关的业务应用。主体用户请求服务以及NI认证过程如下： 

1）主体用户用HTTP向SP发起一个请求； 

2）SP接收到主体用户发起的请求后，向IDP发送核对该主体用户的认证状态的请求； 

3）IDP收到SP发送的请求后，向SP返回回复请求，该回复请求包括一个描述用户认证状态的认证断言，还可以包括访问主体用户的发现服务实体所需的bootstrap信息（可选项）； 

如果SP处没有有效的SSO（Single Sign－On，单点登录）内容给主体用户，主体用户需要在IDP认证以便建立一个合法的SSO会话； 

4）SP使用来自IDP的bootstrap信息向主体用户的发现服务实体询问某个特定属性提供商； 

5）发现服务实体向SP返回一个认证断言，包括主体用户的属性提供商的地址信息； 

6）SP使用认证断言中的地址信息访问属性提供商，从属性提供商处请求查询属性或有关属性的操作（例如，删除或修改属性）； 

7）属性提供商向SP返回回复信息； 

8）SP收到属性提供商的回复信息后，允许或拒绝该主体用户的请求。 

其中，IDP对主体用户的认证需要调用外部认证服务器，如LDAP（Light Directory Access Protocol，轻量级目录访问协议）或关系数据库及附加在关系数据库上的访问控制协议。 

在对现有技术进行分析后，发明人发现： 

由于网络中既存在信任圈又存在非信任圈，用户在向SP请求业务时，可能涉及到信任圈与非信任圈的切换问题，上述现有技术还无法实现信任圈与非信任圈的无缝切换，当从信任圈切换到非信任圈时，有可能造成业务中断。另外，用户请求业务时，有可能面临虚假SP，会使用户的身份信息等暴露，给用户带来损失，存在较大的安全漏洞。 

发明内容

为了提高网络身份认证的安全性，一方面，本发明实施例提供了一种提高网络身份认证安全性的方法，应用于web服务，所述方法包括：