技术领域

本发明涉及网络通信领域， 尤其涉及一种单点登录的方法、 单点登录的 系统、 信息处理方法、 信息处理系统、 身份提供服务器、 业务提供服务器和 名字映射服务器。 背景技术

在传输控制协议（TCP ) /网际协议（IP )体系中， 最为核心的是网络层 的 IP协议， 通过 IP地址实现用户之间的相互访问。 各种应用， 如网络浏览、 邮件收发、 即时通讯等， 都承载在应用层协议之上。

用户在使用这些业务之前必须通过电信运营商 提供的基础网络接入互联 网， 不同的用户可能有不同的接入方式， 如各种类型数字用户线路（xDSL ) 、 光纤、 移动接入等等。 一般情况下， 用户终端都会获取到一个 IP地址， 用户 此后就通过这个 IP地址访问互联网上的各种应用， 这个 IP地址就相当于用 户的临时身份。

由于 IP地址的前缀部分表示用户当前所在的子网， 当用户位置发生变化 时， 必须分配不同的 IP地址， 否则路由器无法正确地把数据包转发给用户。 而因为 IP地址具有身份和位置的双重属性， 同时用户每次获取到的 IP地址 不一定相同， 从而无法作为用户的长期身份标识， 因此互联网上的应用系统 必须自建一套用户身份标识系统， 即通常所说的用户账号系统。

由此可见， 用户在访问互联网上的应用时存在二次认证的 情况， 运营商 在用户接入互联网时进行一次认证， 互联网上的应用系统在用户访问时进行 自身的认证。

随着信息技术和网络技术的迅猛发展，互联网 上的应用系统也越来越多。 由于这些应用系统相互独立， 用户在使用每一个系统之前必须先进行注册登 记， 并按照相应的身份进行登录， 为此用户必须记住每个应用系统的用户名 和密码， 这给用户带来了很大的麻烦。 在这种情况下， 单点登录的概念被提 了出来， 并得到应用。

单点登录（SSO, Single-Sign On )是一种方便用户访问多个应用系统的 技术， 用户只需要在登录时进行一次认证， 就可以在多个应用系统之间自由 访问， 不必重复输入用户名和密码来确认身份。

相关技术的互联网单点登录体系中， 用户在使用单点登录之前， 必须在 身份提供商（IdP, Identity Provider )处进行注册登记，业务提供商（SP, Service Provider )的业务提供服务器依赖于身份提供商 IdP的身份提供服务器的认证 结果向用户提供业务。 此外由于互联网的身份提供商 IdP通常是分散部署的， 因而，如果业务提供商 SP釆用单点登录方式， 那么它的业务发展规模将很大 程度上取决于它所依赖的 IdP注册用户的数量。单点登录涉及的主要技术 有： 开放身份 ( OpenID ) 、 Passport (通行证） 、 Liberty Alliance (自由联盟）等。 这里， OpenID易于使用， 但存在安全隐患， 不能很好地防范 "钓鱼" 攻击； Passport易于使用， 安全性稍高， 但目前仅适用于业务提供商 SP内部使用； Liberty Alliance有一定的安全性， 但部署不易， 用户使用也不方便。

由于用户在访问互联网应用之前， 需要接入运营商网络， 因而可以将运 营商作为身份提供商 IdP。运营商作为身份提供商 IdP具有如下优势： 通过运 营商的接入认证，能够很好的保证安全性，同 时，运营商作为身份提供商 IdP, 将不需要用户重新进行注册登记，易于使用， 并且运营商作为身份提供商 IdP, 相对于互联网的身份提供商 IdP, 有一个优质成熟的用户消费群体。

当前， IP地址具有双重属性的缺陷， 带来了移动性和安全性问题， 已经 成为了制约互联网产业进一步发展的瓶颈。 为了解决这个问题， 业界提出了 HIP( Host Identity Protocol,主机标识协议 )和 LISP( Locator/Identifier Separation Protocol,位置 /标识分离协议）技术等。这些技术的共同点� �引入了两类编码： 代表用户身份的身份编码和代表用户位置的位 置编码， 每个用户都既有一个 身份编码又有一个位置编码， 用户基于身份编码和对端发生通信， 当用户位 置发生变化时， 用户的身份编码保持不变， 而用户的位置编码将随之变化。 这样， 通过用户身份编码就可以始终对应到用户， 而不会存在 IP地址二义性 的问题。

但在相关的身份位置分离网络技术中， 用户身份编码只用于在网络层标 识用户身份， 因而用户访问互联网应用系统仍然需要多次注 册认证。 另一方 面， 由于用户在大量不同的互联网应用系统中注册 账号， 通常为了方便起见， 用户注册的账号具有一定的规律性， 那么很容易就导致用户的身份隐私信息 被泄露。 发明内容

本发明实施例提供了一种单点登录的方法、 单点登录的系统、 信息处理 方法、 信息处理系统、 身份提供服务器、 业务提供服务器和名字映射服务器， 以解决用户访问互联网应用系统需进行多次注 册认证的问题。

本发明实施例提供了一种单点登录的方法， 该方法包括：

身份提供服务器确认用户通过接入认证；

所述身份提供服务器根据自身和所述用户欲访 问的业务提供服务器间的 共享密钥生成对用户的断言信息， 并向所述业务提供服务器发送所述断言信 息。

优选地， 所述身份提供服务器根据自身和所述用户欲访 问的业务提供服 务器间的共享密钥生成对用户的断言信息之前 ， 所述方法还包括：

所述身份提供服务器在接收到所述业务提供服 务器发送的认证请求或所 述用户发送的业务访问请求后， 检查是否存在所述共享密钥， 若不存在， 则 在所述业务提供服务器通过认证后， 生成所述共享密钥。

优选地， 所述身份提供服务器生成对用户的断言信息之 前， 所述方法还 包括：

优选地， 所述身份提供服务器为所述用户获得假名及与 所述假名对应的 生存期， 包括：

所述身份提供服务器根据所述用户的匿名服务 请求向名字映射服务器

( NMS )发送匿名身份请求， 以及接收所述 NMS返回的根据所述匿名身份 请求生成的该用户的假名及与所述假名对应的 生存期。

优选地， 所述身份提供服务器为所述用户获得假名及与 所述假名对应的 生存期之后， 所述方法还包括： 所述身份提供服务器接收所述用户发送的携带 指定用户名及相应生存期 的匿名更新请求，并向所述 NMS发送所述匿名更新请求，以及接收所述 NMS 返回的更新结果。

优选地， 所述断言信息中携带有随机数、 所述身份提供服务器的身份信 息、 所述业务提供服务器的身份信息、 所述用户的身份信息、 签名算法以及 所述身份提供服务器根据所述共享密钥计算出 的签名结果； 其中， 所述用户 的身份信息包括所述假名或所述指定用户名。 本发明实施例还提供了一种单点登录的方法， 该方法包括：

业务提供服务器接收身份提供服务器发送的对 欲访问所述业务提供服务 器的用户的断言信息； 所述业务提供服务器根据自身和所述身份提供 服务器之间的共享密钥验 证所述断言信息。 优选地， 所述业务提供服务器根据自身和所述身份提供 服务器之间的共 享密钥验证所述断言信息之后， 所述方法还包括：

如果验证通过， 则所述业务提供服务器创建与所述断言信息中 包含的用 户的身份信息对应的条目， 并向所述用户提供业务； 所述用户的身份信息为 所述用户的^^名或指定用户名。

优选地， 所述业务提供服务器接收身份提供服务器发送 的对欲访问所述 业务提供服务器的用户的断言信息之前， 所述方法还包括：

所述业务提供服务器接收到所述用户发送的业 务访问请求之后， 生成随 机数， 并向所述身份提供服务器发送携带所述随机数 的认证请求。

优选地， 所述断言信息中携带有所述随机数、 所述身份提供服务器的身 份信息、 所述业务提供服务器的身份信息、 所述用户的身份信息、 签名算法 以及所述身份提供服务器根据所述共享密钥计 算出的签名结果；

所述业务提供服务器根据自身和所述身份提供 服务器之间的共享密钥验 证所述断言信息， 包括： 所述业务提供服务器根据所述身份提供服务器 的身份信息、 所述业务提 供服务器的身份信息、 所述用户的身份信息、 所述签名算法和所述共享密钥 计算出签名结果， 并比较自己计算出的签名结果与所述身份提供 服务器计算 出的签名结果是否一致； 以及

判断所述随机数的生成时间是否是当前最近的 且所述随机数是否唯一。 本发明实施例还提供了一种信息处理方法， 该方法包括：

名字映射服务器（NMS )接收身份提供服务器发送的匿名身份请求， 所 述匿名身份请求中携带有用户的身份标识；

所述 NMS根据所述匿名身份请求生成与该身份标识对 应的用户的假名 及与所述假名对应的生存期， 并向所述身份提供服务器返回所述用户的假名 及与所述假名对应的生存期。

优选地，所述 NMS向所述身份提供服务器发送所述用户的假名 及与所述 假名对应的生存期之后， 所述方法还包括：

所述 NMS接收所述身份提供服务器发送的来自所述用 户的携带指定用 户名及相应生存期的匿名更新请求， 根据匿名更新请求进行更新处理， 并返 回更新结果。

本发明实施例还提供了一种身份提供服务器， 该身份提供服务器包括： 确认模块， 其设置为： 确认用户通过接入认证；

断言信息处理模块， 其设置为： 在所述确认模块确认用户通过接入认证 后， 根据所述身份提供服务器和所述用户欲访问的 业务提供服务器间的共享 密钥生成对用户的断言信息， 并向所述业务提供服务器发送所述断言信息。

优选地， 所述身份提供服务器还包括：

密钥生成模块， 其设置为： 在断言信息处理模块生成对用户的断言信息 之前， 在接收到所述业务提供服务器发送的认证请求 或所述用户发送的业务 访问请求后， 检查是否存在所述共享密钥， 若不存在， 则在所述业务提供服 务器通过认证后， 生成所述共享密钥。

优选地， 所述身份提供服务器还包括：

获得模块， 其设置为： 在所述确认模块确认所述用户通过接入认证之 后， 所述断言信息处理模块生成对用户的断言信息 之前， 为所述用户获得假名及 与所述假名对应的生存期。

优选地， 所述获得模块， 是设置为： 根据所述用户的匿名服务请求向名 字映射服务器（NMS )发送匿名身份请求， 以及接收所述 NMS返回的根据 所述匿名身份请求生成的该用户的假名及与所 述假名对应的生存期。

优选地， 所述获得模块， 还其设置为： 接收所述用户发送的携带指定用 户名及相应生存期的匿名更新请求， 并向所述 NMS发送所述匿名更新请求， 以及接收所述 NMS返回的更新结果。

优选地， 所述断言信息中携带有随机数、 所述身份提供服务器的身份信 息、 所述业务提供服务器的身份信息、 所述用户的身份信息、 签名算法以及 所述身份提供服务器根据所述共享密钥计算出 的签名结果； 其中， 所述用户 的身份信息包括所述假名或所述指定用户名。

本发明实施例还提供了一种业务提供服务器， 该业务提供服务器包括： 接收模块， 其设置为： 接收身份提供服务器发送的对欲访问所述业务 提 供 Λ良务器的用户的断言信息；

验证模块， 其设置为： 根据所述业务提供服务器和所述身份提供服务 器 之间的共享密钥验证所述断言信息。

优选地， 所述业务提供服务器还包括：

业务提供模块， 其设置为： 所述验证模块验证通过所述断言信息后， 创 建与所述断言信息中包含的用户的身份信息对 应的条目， 并向所述用户提供 业务。

本发明实施例提供了一种名字映射服务器（NMS ) ， 该 NMS包括： 接收模块， 其设置为： 接收身份提供服务器发送的匿名身份请求， 所述 匿名身份请求中携带有用户的身份标识；

生成发送模块， 其设置为： 根据所述接收模块接收的所述匿名身份请求 身份提供服务器返回所述用户的假名及与所述 假名对应的生存期。

优选地， 所述生成发送模块， 还设置为： 接收所述身份提供服务器发送 的来自所述用户的携带指定用户名及相应生存 期的匿名更新请求， 根据匿名 更新请求进行更新处理， 并返回更新结果。

本发明实施例还提供了一种信息处理系统， 该系统包括上述身份提供服 务器和上述名字映射服务器。

本发明实施例还提供了一种单点登录系统， 该系统包括上述身份提供服 务器和上述业务提供服务器。

本发明实施例还提供了一种单点登录系统， 该系统包括上述身份提供服 务器、 上述名字映射服务器和上述业务提供服务器。

本发明实施例， 通过重利用接入认证， 很好地解决了用户访问互联网多 次注册认证的问题， 通过生成假名对用户隐私起到了保护的作用， 避免了用 户隐私的泄露。 附图概述

图 1为本发明实施例所涉及的网元架构示意图；

图 2为本发明单点登录方法实施例的流程图；

图 3为本发明由业务提供服务器发起的单点登录� �法实施例的信令流程 图；

图 4为本发明由身份提供服务器发起的单点登录� �法实施例的信令流程 图；

图 5为本发明身份提供服务器实施例的结构示意� �；

图 6为本发明业务提供服务器实施例的结构示意� �；

图 7为本发明名字映射服务器实施例的结构示意� �；

图 8为本发明信息处理装置实施例的结构示意图� �

图 9为本发明单点登录系统实施例的结构示意图� � 本发明的较佳实施方式

下文中将结合附图对本发明的实施例进行详细 说明。 需要说明的是， 在 不冲突的情况下， 本申请中的实施例及实施例中的特征可以相互 任意组合。 首先介绍一下本发明实施例所涉及的网元架构 ， 如图 1所示， 该架构包 括用户终端（Mobile Node, MN ) 101、 接入服务节点（ Access Service Node , ASN ) 102、 认证中心 103、 身份提供商 （Identity Provider, IdP ) 的身份提供 服务器 104、 名字映射服务器（Name Mapping Server, NMS ) 105、 互联服务 节点 ( Interconnect Service Node, ISN ) 106和业务提供商 ( Service Provider, SP ) 的业务提供服务器 107, 其中：

接入网络的 MN可以是移动终端、 固定终端中的一种或多种， 如手机、 固定电话、 电脑和应用服务器等；

ASN, 设置为： 为用户终端提供接入服务、 维护终端与网络的连接， 为 终端分配路由标识（ Routing Identifier, RID ) , 并到身份位置寄存器（ILR ) /报文转发功能实体（ PTF )登记注册和查询终端的 RID,维护接入标识（ Access Identifier, AID ) -RID映射信息， 以及实现数据报文的路由和转发；

认证中心， 设置为： 记录本网络用户的属性信息如用户类别、 认证信息 和用户服务等级等， 完成对终端的接入认证和授权， 还可具有计费功能。 认 证中心支持终端与网络间的双向认证， 可产生用于认证、 完整性保护和机密 性保护的用户安全信息；

身份提供服务器向业务提供服务器提供对用户 的断言信息， 并对业务提 供服务器进行认证， 检查业务提供服务器的合法性； 通过与认证中心的接口 查询用户相应的属性信息， 通过与 NMS的接口， 提供用户的假名服务；

NMS根据身份提供服务器提供的用户身份产生假 名，作为用户的替代身 份， 并创建假名和用户身份信息、 业务提供服务器统一资源定位符（URL ) 、 生存期 （ lifetime )对应的条目， 如果用户修改假名以及假名的 lifetime, 则 NMS在接收到身份提供服务器的匿名更新请求后 ， 也将此信息进行更新； 其中， NMS和身份提供服务器可以分别单独部署， 也可以将 NMS作为 身份提供服务器的功能模块进行部署；

ISN, 用于查询、 维护本网络终端的 AID-RID映射信息， 封装、 路由和 转发本网络与传统 IP网络之间往来的数据 文、 实现本网络与传统 IP网络 之间的互联互通功能， 其中包括格式转换模块， 用于将传统 IP网络发来的数 据报文中包含的本网络终端的 IPv4/IPv6地址转换成对应的 AID ,以及将本网 络终端的 AID转换成 IPv4/IPv6地址格式后， 再发送到传统 IP网络的终端； 业务提供服务器， 是互联网上为用户提供业务的应用系统。

本发明实施例提供了一种单点登录的方法， 该方法从身份提供服务器侧 进行描述， 该方法包括：

步骤 11、 身份提供服务器确认用户通过接入认证；

身份提供服务器根据用户的身份标识确认用户 通过接入认证；

步骤 12、 所述身份提供服务器根据自身和所述用户欲访 问的业务提供服 务器间的共享密钥生成对用户的断言信息， 并向所述业务提供服务器发送所 述断言信息。

本发明实施例还提供了一种单点登录的方法， 该方法从业务提供服务器 侧进行描述， 该方法包括：

步骤 21、 业务提供服务器接收身份提供服务器发送的对 欲访问所述业务 提供服务器的用户的断言信息；

步骤 22、 所述业务提供服务器根据自身和所述身份提供 服务器之间的共 享密钥险证所述断言信息。

上述业务提供服务器利用身份提供服务器发送 的断言信息进行认证， 使 得用户访问互联网应用系统不需要进行多次注 册认证， 同时， 为了避免用户 隐私泄露， 本发明实施例又提供了一种信息处理方法， 该方法从名字映射服 务器侧进行描述， 该方法包括：

步骤 31、 名字映射服务器（NMS )接收身份提供服务器发送的匿名身份 请求， 所述匿名身份请求中携带有用户的身份标识；

步骤 32、 所述 NMS根据所述匿名身份请求生成与该身份标识对 应的用 户的假名及与所述假名对应的生存期， 并向所述身份提供服务器返回所述用 户的假名及与所述艮名对应的生存期。 为了更清楚地描述本发明实施例的单点登录方 法， 下面从身份提供服务 器、 业务提供服务器和名字映射服务器三者交互的 角度进行描述， 如图 2所 示， 为本发明单点登录方法实施例的流程图， 所述方法包括以下步骤：

步骤 201、 身份提供服务器在接收到业务提供服务器的认 证请求或者用 户的业务访问请求后， 检查是否存在它自身和业务提供服务器间的共 享密钥 Ks, 如果不存在， 则认证业务提供服务器， 认证成功后， 生成共享密钥 Ks; 其中， 所述认证方法包括但不限于： 预共享密钥、 TLS、 公钥基础结构 ( PKI ) 、 协议安全性（IPsec )等技术， 由于其均为现有技术， 这里不再赘 述。

步骤 202、 身份提供服务器确认用户通过接入认证， 并根据用户的匿名 服务请求通过名字映射服务器产生假名的方式 对用户身份进行保护， 同时为 业务提供服务器生成对该用户的断言信息；

步骤 203、 业务提供服务器接收到身份提供服务器发送的 断言信息后， 对断言信息进行验证， 如果验证通过， 则创建用户假名对应的条目， 并向用 户提供业务。

上述单点登录方法， 通过重利用接入认证和假名， 很好地解决了用户访 问互联网应用系统需多次注册认证和身份隐私 泄露的问题。

如图 3所示， 为本发明由业务提供服务器发起的单点登录方 法实施例的 信令流程图， 所述方法包括：

步骤 301、 MN、 ASN以及认证中心之间进行接入认证， 认证通过后， 身 份位置分离网络为用户分配接入标识 AID;

此后， 用户终端发送的报文通过 AID进行传输， ASN为用户分配 RID, 并通过 RID进行路由选路找到 ISN, ISN从报文中获取用户的 AID, 并转换 成 IPv4/IPv6地址发送到传统 IP网络。

步骤 302、 MN向业务提供服务器发起业务访问请求；

步骤 303、 用户在业务提供服务器页面上选择身份提供服 务器， 业务提 供服务器根据当前时间戳生成随机数 R1 ,作为用户在业务提供服务器的临时 标识， 并构建认证请求消息， 消息中携带业务提供服务器 URL、 身份提供服 务器 URL和随机数 R1 ;

步骤 304、业务提供服务器将认证请求消息通过超文 本传输协议 ( HTTP ) 重定向到身份提供服务器；

步骤 305、 用户通过终端向身份提供服务器发送匿名服务 请求； 步骤 306、 身份提供服务器从报文中获取用户的接入标识 AID, 确认用 户通过接入认证； 并检查它自身和业务提供服务器间是否存在共 享密钥 Ks, 如果不存在， 则认证业务提供服务器， 认证成功后， 生成共享密钥 Ks; 确定 不存在用户对应的假名或对应的假名生存期 （lifetime )过期；

其中， 身份提供服务器认证业务提供服务器的方式包 括但不限于预共享 密钥、 PKI、 TLS或者 IPsec等等认证方式。 由于其均为现有技术， 因此这里 不再赘述；

步骤 307、 身份提供服务器向 NMS发送匿名身份请求消息， 请求消息中 携带用户的 AID、 业务提供服务器的 URL;

步骤 308、 NMS接收到匿名身份请求消息后， 生成随机数 R2 以及默认 的 lifetime, R2作为相应用户的假名， 并构建一条 MN的 AID、 业务提供服 务器 URL和 R2、 lifetime对应的条目， 如表 1所示；

表 1 MN对应的条目

步骤 309、 NMS向身份提供服务器发送匿名身份响应消息， 响应消息中 携带用户的 AID、 业务提供服务器 URL和随机数 R2以及 lifetime;

步骤 310、 身份提供服务器向用户终端发送匿名服务响应 消息， 响应消 息中携带业务提供服务器 URL、 随机数 R2和 lifetime;

步骤 311、 用户通过终端向身份提供服务器发送指定的用 户名及其 lifetime; 用户可将随机数 R2修改为指定的用户名即期望展现的用户名 ,并指定期 望的 lifetime;

步骤 312、 身份提供服务器向 NMS发送匿名更新请求消息， 消息中携带 用户的 AID、 随机数 R2、 用户指定的假名和 lifetime;

步骤 313、 NMS在添加用户指定的假名和更新 lifetime后， 向身份提供服 务器发送匿名更新响应消息， 消息中携带更新成功或失败的结果；

步骤 314、 身份提供服务器构建认证响应消息， 认证响应消息中包含断 言信息， 该断言信息中携带随机数 Rl、 业务提供服务器 URL、 身份提供服 务器 URL、 NMS生成的假名 R2或者用户指定的用户名、 签名算法、 以及 Ks的签名结果；

此处的签名结果为身份提供服务器根据业务提 供服务器 URL、身份提供 服务器 URL、 NMS生成的假名 R2或者用户指定的用户名、共享密钥使用签 名算法计算出的签名结果； 本实施例中的身份提供服务器 URL代表身份提供服务器的身份信息； 业务提供服务器 URL代表业务提供服务器的身份信息； NMS生成的假名 R2 或者用户指定的用户名代表用户的身份信息； 随机数 R1用于防止重放攻击； 步骤 315、 身份提供服务器通过 HTTP重定向将认证响应消息发送到业 务提供服务器；

步骤 316、 业务提供服务器通过和身份提供服务器之间的 共享密钥 Ks验 证断言的完整性， 以及检查 R1是否是最近生成， 是否重复等； 业务提供服务器根据断言信息中携带的业务提 供服务器 URL、身份提供 服务器 URL、 NMS生成的假名 R2或者用户指定的用户名和与身份提供服务 器协商的共享密钥使用断言信息中携带的签名 算法计算出签名结果， 并将该 签名结果和断言信息中携带的签名结果进行比 较， 若二者一致， 则断言完整； 同时，根据 R1的生成时间判断其是否是最近生成且是否重� ��； 若是最近生成 且不重复， 则险证通过。

步骤 317、 在上述验证通过后， 业务提供服务器为用户 MN创建随机数 R2或者指定用户名的条目； 步骤 318、 业务提供服务器向用户返回业务访问响应， 以 R2或者用户名 作为用户在业务提供服务器的标识向用户提供 业务。

如图 4所示， 为本发明由身份提供服务器发起的单点登录方 法实施例的 信令流程图， 该方法包括以下步骤：

步骤 401、 MN、 ASN以及认证中心之间进行接入认证， 认证通过后， 身 份位置分离网络为用户分配接入标识 AID;

此后， 用户终端发送的报文通过 AID进行传输， ASN为用户分配 RID, 并通过 RID进行路由选路找到 ISN, ISN从报文中获取用户的 AID, 并转换 成 IPv4/IPv6地址发送到传统 IP网络。

步骤 402、 MN向身份提供服务器发起业务访问请求；

步骤 403、 MN在身份提供服务器页面上选择将要访问的业� ��， 并向身份 提供服务器发送匿名服务请求；

步骤 404、 身份提供服务器从报文中获取到用户的接入标 识 AID, 确认 用户通过接入认证； 并检查它自身和业务提供服务器间是否存在共 享密钥 Ks, 如果不存在， 则认证业务提供服务器， 认证通过后， 生成共享密钥 Ks。 检查不存在 AID对应的假名或对应的假名 lifetime过期；

步骤 405、 身份提供服务器根据用户的匿名服务请求， 向 NMS发送匿名 身份请求消息， 请求消息中携带用户的 AID、 业务提供服务器 URL;

步骤 406、 NMS接收到匿名身份请求消息后， 生成随机数 R2以及默认 的 lifetime, 作为相应用户的假名， 并构建一条 MN的 AID、 业务提供服务器 URL和 R2、 lifetime对应的条目， 如表 1所示；

步骤 407、 NMS向身份提供服务器发送匿名身份响应消息， 响应消息中 携带用户的 AID、 业务提供服务器 URL、 随机数 R2以及 lifetime;

步骤 408、 身份提供服务器向用户发送匿名服务响应消息 ， 响应消息中 携带业务提供服务器 URL、 随机数 R2和 lifetime;

步骤 409、 用户通过终端向身份提供服务器发送指定的用 户名及其 lifetime; 用户可将随机数 R2修改为指定的用户名即期望展现的用户名 ,并指定期 望的 lifetime;

步骤 410、 身份提供服务器向 NMS发送匿名更新请求消息， 消息中携带 用户的 AID、 随机数 R2、 用户指定的假名和 lifetime;

步骤 411、 NMS在添加用户指定的假名和更新完 lifetime后， 向身份提供 服务器发送匿名更新响应消息， 消息中携带更新成功或失败的结果；

步骤 412、 身份提供服务器根据当前时间戳生成随机数 R1 , 构建认证响 应消息， 认证响应消息中包含断言信息， 该断言信息中携带随机数 Rl、 业务 提供服务器 URL、 身份提供服务器 URL、 NMS生成的假名 R2或者用户指 定的用户名、 签名算法、 以及 Ks的签名结果；

步骤 413、 身份提供服务器通过 HTTP重定向将认证响应消息发送到业 务提供服务器；

步骤 414、 业务提供服务器通过和身份提供服务器之间的 共享密钥 Ks验 证断言的完整性， 以及检查 R1是否是最近生成， 是否重复等；

步骤 415、 在上述验证通过后， 业务提供服务器为用户 MN创建随机数 R2或者指定用户名的条目；

步骤 416、 业务提供服务器向用户返回业务访问响应， 以 R2或者用户名 作为用户在业务提供服务器的标识向用户提供 业务。

由于本实施例中的步骤 403- 416和上述实施例中的步骤 305-318的处理 相似， 因此本实施例中不再赘述。

如图 5所示， 为本发明身份提供服务器实施例的结构示意图 ， 该身份提 供服务器包括确认模块 51和断言信息处理模块 52, 其中：

确认模块 51 , 设置为确认用户通过接入认证；

断言信息处理模块 52, 设置为在所述确认模块 51确认用户通过接入认 证后， 根据所述身份提供服务器和所述用户欲访问的 业务提供服务器间的共 享密钥生成对用户的断言信息，并向所述业务 提供服务器发送所述断言信息。 另外， 所述身份提供服务器还包括： 密钥生成模块， 设置为在断言信息 处理模块生成对用户的断言信息之前， 在接收到所述业务提供服务器发送的 认证请求或所述用户发送的业务访问请求后， 检查是否存在所述共享密钥， 若不存在， 则在所述业务提供服务器通过认证后， 生成所述共享密钥。

为了避免用户的身份信息泄露， 所述身份提供服务器还包括： 获得模块， 设置为在所述确认模块确认所述用户通过接入 认证之后， 所述断言信息处理 模块生成对用户的断言信息之前， 为所述用户获得假名及与所述假名对应的 生存期。 具体地， 所述获得模块， 是设置为根据所述用户的匿名服务请求向 名字映射服务器（NMS )发送匿名身份请求， 以及接收所述 NMS返回的根 据所述匿名身份请求生成的该用户的假名及与 所述假名对应的生存期。另夕卜， 用户还可以修改用户名， 故所述获得模块， 还设置为接收所述用户发送的携 带指定用户名及相应生存期的匿名更新请求， 并向所述 NMS发送所述匿名更 新请求， 以及接收所述 NMS返回的更新结果。

其中， 所述断言信息中携带有随机数、 所述身份提供服务器的身份信息、 所述业务提供服务器的身份信息、 所述用户的身份信息、 签名算法以及所述 身份提供服务器根据所述共享密钥计算出的签 名结果； 其中， 所述用户的身 份信息包括所述假名或所述指定用户名。

上述业务提供服务器在确认用户通过接入认证 后， 向业务提供服务器提 供对该用户的断言信息， 使得用户在访问业务提供服务器时， 不需要输入认 证信息成为可能。

如图 6所示， 为本发明业务提供服务器实施例的结构示意图 ， 该业务提 供服务器包括接收模块 61和验证模块 62 , 其中：

接收模块 61 , 设置为接收身份提供服务器发送的对欲访问所 述业务提供 服务器的用户的断言信息；

验证模块 62, 设置为根据所述业务提供服务器和所述身份提 供服务器之 间的共享密钥险证所述断言信息。

另外， 所述业务提供服务器还包括： 业务提供模块， 设置为所述验证模 块验证通过所述断言信息后， 创建与所述断言信息中包含的用户的身份信息 对应的条目， 并向所述用户提供业务。

上述验证模块根据断言信息中携带的业务提供 服务器 URL、身份提供服 务器 URL、 NMS生成的假名 R2或者用户指定的用户名和与身份提供服务器 协商的共享密钥使用断言信息中携带的签名算 法计算出签名结果， 并将该签 名结果和断言信息中携带的签名结果进行比较 ， 若二者一致， 则断言完整； 同时，根据 R1的生成时间判断其是否是最近生成且是否重� ��； 若是最近生成 且不重复， 则险证通过。

上述业务提供服务器， 根据身份提供服务器发送的对用户的断言信息 完 成用户的单点登录， 且有效保护了用户的隐私。

如图 7 所示， 为本发明名字映射服务器实施例的结构示意图 ， 该 NMS 包括接收模块 71和生成发送模块 72 , 其中：

接收模块 71 , 设置为接收身份提供服务器发送的匿名身份请 求， 所述匿 名身份请求中携带有用户的身份标识；

生成发送模块 72, 设置为根据所述接收模块接收的所述匿名身份 请求生 份提供服务器返回所述用户的假名及与所述假 名对应的生存期。

另外， 为了可以对用户的假名进行修改， 所述生成发送模块， 还设置为 接收所述身份提供服务器发送的来自所述用户 的携带指定用户名及相应生存 期的匿名更新请求， 根据匿名更新请求进行更新处理， 并返回更新结果。

其中， 图 7所示的名字映射服务器和图 5所示的身份提供服务器可以合 设， 二者合设后的装置如图 8所示， 该装置中相关模块的功能与图 5和图 7 中相应模块的功能相同， 此处不再赘述。

对应上述隐私增强的单点登录方法， 本发明实施例还提供了一种单点登 录系统， 如图 9所示， 该系统包括业务提供服务器 91、 身份提供服务器 92 和名字映射服务器 93 , 该系统中相关模块的功能与图 5-图 7中相应模块的功 能相同， 此处不再赘述。

总之， 本发明实施例中， 身份提供服务器在接收到业务提供服务器的认 证请求或者用户的业务访问请求后，检查是否 存在共享密钥 Ks,如果不存在， 则认证业务提供服务器， 认证通过后， 生成共享密钥 Ks, 身份提供服务器根 据用户的身份标识确认用户通过接入认证， 并根据用户的匿名服务请求通过 名字映射服务器（ NMS , Name Mapping Server )产生假名的方式对用户身份 进行保护， 同时为业务提供服务器生成该用户的断言信息 ， 业务提供服务器 接收到身份提供服务器的断言信息后， 验证断言信息的合法性， 如果验证通 过， 则创建假名对应的条目， 并向用户提供业务。

当然， 如果只需要解决多次认证的问题， 上述系统中可以不包含名字映 射服务器， 相应地， 身份提供服务器中也不需要包含获得模块。

本领域普通技术人员可以理解上述方法中的 全部或部分步骤可通过程序 来指令相关硬件完成， 上述程序可以存储于计算机可读存储介质中， 如只读 存储器、 磁盘或光盘等。 可选地， 上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。 相应地， 上述实施例中的各模块 /单元可以釆用 硬件的形式实现， 也可以釆用软件功能模块的形式实现。 本发明不限制于任 何特定形式的硬件和软件的结合。

以上实施例仅用以说明本发明的技术方案而非 限制， 仅仅参照较佳实施 例对本发明进行了详细说明。 本领域的普通技术人员应当理解， 可以对本发 明的技术方案进行修改或者等同替换， 而不脱离本发明技术方案的精神和范 围， 均应涵盖在本发明的权利要求范围当中。

工业实用性 本发明实施例， 通过重利用接入认证， 很好地解决了用户访问互联网多 次注册认证的问题， 通过生成假名对用户隐私起到了保护的作用， 避免了用 户隐私的泄露。