单点登录的方法及系统技术方案

本发明专利技术公开了单点登录的方法及系统，其中，该方法在所有关联服务域分别保存用户的本地注册信息，并绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识；该方法还包括：发起服务域接收包含公共身份标识的认证请求以及指定的信任服务域，向指定的信任服务域发送认证请求；信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识，判断查找的公共身份标识在本地服务域是否已经登录，如果是，则向发起服务域返回认证成功信息；发起服务域接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务。本发明专利技术方案防止了现有技术中因“单点失效”所造成的在相关联的所有服务域进行单点登录失败。

【技术实现步骤摘要】

本专利技术涉及通信
，尤其涉及单点登录的方法及系统。
技术介绍
所谓单点登录，也就是，用户在相互关联的几个服务域中的一个服务域通过身份认证进行登录后，在相互关联的其它服务域进行登录以获取相关服务时，便可以不再进行身份认证。现有的单点登录方法中，通过设置的一个统一认证服务器对登录相互关联的各个服务域的用户进行统一身份认证。登录前，用户向相关联的各个服务域进行注册，注册后相应服务域保存用户提供的公共身份标识和密码等注册信息，并对应注册信息包含的公共身份标识绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识，这里将注册信息包含的公共身份认证标识和绑定保存的公共身份标识统称为绑定信息；然后各个服务域将绑定信息传送给统一认证服务器。对于各个服务域传送的多个相同的绑定信息，统一认证服务器可以只保存一个。进行注册后，用户通过公共身份标识和密码等注册信息，在相关联的所有服务域中某一服务域进行第一次全局登录，该某一服务域保存相应公共身份标识已经登录的记录并将该记录传送给统一认证服务器，统一认证服务器保存该记录，该记录中包含该用户进行第一次全局登录的公共身份标识。该用户进行第一次全局登录之后，便可向相关联的其它服务域请求服务，而不再需要向相应服务域进行身份认证。这里将所述相应服务域称为服务域A，所述向相关联的其它服务域请求服务的过程包括：服务域A接收用户输入的包含公共身份标识的认证请求，传送给统一认证服务器，统一认证服务器查找与认证请求包含的公共身份标识进行绑定保存的各个服务域公共身份标识，判断查找到的各个公共身份标识在各自的服务域是否已经登录，如果已经登录，则向服务域A返回认证成功信息，服务域A为该用户提供相应的服务；如果没有登录，则向服务域A返回认证失败信息，由服务域A进行身份认证。前述判断步骤中，只要判断出查找到的一个公共身份标识在其服务域已经登录，则向服务域A返回认证成功信息。下面基于各个服务域的具体结构，对现有的单点登录方法进行详细说明。各个服务域都包含应用服务器和认证服务器。用户首先向服务域的认证服务器进行注册，注册后认证服务器保存用户提供的公共身份标识和密码等注册信息，并对应注册信息包含的公共身份标识绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识，这里将注册信息包含的公共身份认证标识和绑定保存的公共身份标识统称为绑定信息；然后该认证服务器将绑定信息传送给统一认证服务器。对于各个服务域传送的多个相同的绑定信息，统一认证服务器可以只保存一个。进行注册后，用户通过公共身份标识和密码等注册信息，在相关联的所有服务域-->中某一服务域进行第一次全局登录，该某一服务域的认证服务器保存相应公共身份标识已经登录的记录，并将该记录传送给统一认证服务器，统一认证服务器保存该记录，该记录中包含该用户进行第一次全局登录的公共身份标识。该用户进行第一次全局登录之后，便可向相关联的其它服务域的应用服务器请求服务，而不再需要向相应服务域的认证服务器进行身份认证。下面通过一个实例，基于各个服务域的具体结构，对现有的单点登录方法进行说明。假设，相关联的服务域为三个，包括一个IP多媒体服务(IMS，IPMultimedia Service)服务域，以及两个WEB域：新浪服务域和天涯服务域；统一认证服务器内保存关于某用户的绑定信息为：该用户在IMS域注册时的用户身份标识abc@ims.com，该用户在新浪服务域注册时的用户身份标识abc@sina.com，以及该用户在天涯服务域注册时的用户身份标识abc@tianya.com。并且，假设该用户首先在新浪服务域的认证服务器通过了身份认证，进行了登录，并且该认证服务器还将包含abc@sina.com的已经登录的记录传送给统一认证服务器进行保存。而后，若该用户需要向IMS域的应用服务器请求IMS服务，其过程为图1所示，包括以下步骤：步骤101，用户登录IMS客户端，向IMS域的应用服务器发起认证请求。该认证请求中携带用户在新浪服务域注册的公共身份标识，即abc@sina.com。步骤102，IMS域的应用服务器向统一认证服务器发送所述认证请求。步骤103，统一认证服务器查找与认证请求包含的公共身份标识进行绑定保存的各个服务域公共身份标识，判断查找到的公共身份标识在相应服务域是否已经登录，如果已经登录，则向IMS域的应用服务器返回认证成功信息，执行步骤104；否则向IMS域的应用服务器返回认证失败信息。本步骤所述与认证请求包含的公共身份标识进行绑定保存的各个服务域公共身份标识为abc@sina.com和abc@tianya.com。本实例中，由于查找出abc@sina.com已经登录，则执行步骤104。相反地，如果判断出查找到的公共身份标识在相应服务域没有登录，则向IMS域的应用服务器返回认证失败信息，IMS域的应用服务器向IMS域的认证服务器发送前述的认证请求，由IMS域的认证服务器对abc@ims.com进行身份认证，该认证过程需要用户向认证服务器输入与abc@ims.com对应的密码等认证信息，由认证服务器对认证信息进行验证。本步骤还包括：若统一认证服务器判断出查找到的公共身份标识在相应服务域已经登录，则保存abc@ims.com已经登录的记录。步骤104，IMS域的应用服务器为abc@ims.com提供相关的服务。本步骤还包括：应用服务器接收认证成功信息后，还保存abc@ims.com已经登录的记录。采用现有的单点登录方案，可以对相关联的各个服务域的登录情况进行统一管理，减少了多次身份认证所花的时间，相对也减少了身份认证出错的可能性。但是，现有单点登录的方案存在以下缺点：目前的单点登录方案存在安全性问题，一旦统一认证服务器遭到黑客入侵，便无法通过统一认证服务器实现对相关联的所有服务域进行单点登录，导致单点登录失败，通-->常将这种现象称为“单点失效”，这降低了单点登录的安全性。
技术实现思路
本专利技术提供一种单点登录的方法，该方法能够防止现有技术中因“单点失效”所造成的在相关联的所有服务域进行单点登录失败。本专利技术提供一种单点登录的系统，该系统能够防止现有技术中因“单点失效”所造成的在相关联的所有服务域进行单点登录失败。一种单点登录的方法，该方法在所有关联服务域分别保存用户的本地注册信息，所述本地注册信息包括用户在本地服务域注册的公共身份标识；并绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识；该方法还包括：发起服务域接收包含公共身份标识的认证请求以及指定的信任服务域；发起服务域向所述指定的信任服务域发送所述认证请求；信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识，判断查找的公共身份标识在本地服务域是否已经登录，如果是，则向发起服务域返回认证成功信息；发起服务域接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务。一种单点登录的系统，该系统包括发起服务域和信任服务域；发起服务域和信任服务域内都保存了用户的本地注册信息，所述本地注册信息包括用户在本地服务域注册的公共身份标识；还绑定保存了该用户在与本地服务域相关联的各个服务域注册时的公共身份标识；所述发起服务域，用于接收包含公共身份标识的认证请求本文档来自技高网...

【技术保护点】
一种单点登录的方法，其特征在于，该方法在所有关联服务域分别保存用户的本地注册信息，所述本地注册信息包括用户在本地服务域注册的公共身份标识；并绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识；该方法还包括：发起服务域接收包含公共身份标识的认证请求以及指定的信任服务域；发起服务域向所述指定的信任服务域发送所述认证请求；信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识，判断查找的公共身份标识在本地服务域是否已经登录，如果是，则向发起服务域返回认证成功信息；发起服务域接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务。

【技术特征摘要】
1.一种单点登录的方法，其特征在于，该方法在所有关联服务域分别保存用户的本地注册信息，所述本地注册信息包括用户在本地服务域注册的公共身份标识；并绑定保存该用户在与本地服务域相关联的各个服务域注册时的公共身份标识；该方法还包括：发起服务域接收包含公共身份标识的认证请求以及指定的信任服务域；发起服务域向所述指定的信任服务域发送所述认证请求；信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识，判断查找的公共身份标识在本地服务域是否已经登录，如果是，则向发起服务域返回认证成功信息；发起服务域接收认证成功信息后为认证请求包含的公共身份标识提供相应的服务。2.如权利要求1所述的方法，其特征在于，所述发起服务域为WEB服务域或IP多媒体服务IMS域，所述信任服务域为WEB服务域或IMS域。3.如权利要求1所述的方法，其特征在于，所述认证请求以及指定的信任服务域是发起服务域的认证服务器接收的；所述发起服务域向所述指定的信任服务域发送所述认证请求包括：所述认证服务器将所述认证请求以及指定的信任服务域传送给发起服务域的信任服务器；所述信任服务器向所述指定的信任服务域的信任服务器发送所述认证请求；所述信任服务域查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识包括：信任服务域的信任服务器将所述认证请求发送给信任服务域的认证服务器，认证服务域的认证服务器查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识；由信任服务域的认证服务器判断查找的公共身份标识在本地服务域是否已经登录；所述信任服务域向发起服务域返回认证成功信息包括：信任服务域的认证服务器经由信任服务域的信任服务器和发起服务域的信任服务器将认证成功信息返回给发起服务域的认证服务器；所述发起服务域为认证请求包含的公共身份标识提供相应的服务包括：发起服务域的认证服务器将认证成功信息传送给发起服务域的应用服务器，应用服务器为认证请求包含的公共身份标识提供相应的服务。4.如权利要求3所述的方法，其特征在于，当所述发起服务域为WEB服务域，所述认证服务域为IMS域时，所述用户的本地注册信息以及该用户在与本地服务域相关联的各个服务域注册时的公共身份标识保存在IMS域的HSS内；所述认证服务域的认证服务器查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识包括：IMS域的认证服务器在HSS内查找与认证请求包含的公共身份标识进行绑定保存的本地服务域公共身份标识；所述由信任服务域的认证服务器判断查找的公共身份标识在本地服务...

【专利技术属性】
技术研发人员：金鹏，雷君，陈建辉，
申请(专利权)人：中国移动通信集团福建有限公司，
类型：发明
国别省市：35[中国|福建]