身份管理平台、业务服务器、登录系统及方法、联合方法

摘要

本发明涉及一种身份管理平台、业务服务器、建立身份联合方法、统一登录系统及方法。该身份管理平台包括信息接收模块、联合管理模块、信息发送模块；该业务服务器包括信息接收模块、登录管理模块、信息发送模块；该统一登录系统，包括身份管理平台、业务服务器和身份联合数据库；身份联合及登录方法通过将用户在身份管理平台与业务服务器的身份信息进行联合，实现统一登录。本发明能够实现用户在建立身份联合信息后，进行业务访问时无需用户再次进行繁琐的身份认证过程，减少用户业务访问时的繁琐操作；且能够保证用户身份信息等重要信息的安全性、可靠性。

说明书

技术领域

本发明涉及一种身份管理平台，尤其是一种用于管理用户的身份联合信息的管理平台；本发明还涉及一种业务服务器，尤其是一种能够根据自动查询到的终端身份信息自动完成登录的业务服务器；本发明还涉及一种统一登录系统，尤其是一种能够完成终端统一登录的系统；本发明还涉及一种建立身份联合的方法和一种统一登录方法，尤其是一种终端在完成身份联合后进行业务访问时，网络侧自动完成终端登录的方法。

背景技术

所谓单点登录就是在分布的、多服务的网络环境中，通过用户的一次性鉴别登录，即可获得访问分布式系统中所有服务的合法性身份证明；在此条件下，管理员无需修改或干涉用户登录，就能方便地进行安全控制。因此，单点登录的关键是如何实现用户通过一次鉴别登录过程，就能够向其他服务提供自己的身份证明。

目前，互联网领域内“Microsoft.NET Passport”采用单点登录技术，允许用户成功完成一次登录后，便可随意访问微软及其合作伙伴的联盟网站，并订阅各种服务。“.NET Passport”是基于Cookie的单点登录技术，所谓Cookie是Web服务器保存在终端上的一段文本，Cookie允许一个Web站点在用户的终端上保存信息并且随后再取回它。“Passport server”与合作站点之间采用统一的用户账户作为登录凭证，当用户使用一个合作站点的服务时，首先登录“Passport服务”，然后便可以使用其他合作站点的服务，而不用再次进行登录。“.NET Passport”采用集中式认证，所有的认证都集中到“Passport”认证服务器。“.Net Passport”技术仅对用户进行单点身份认证，但是否允许用户访问某个特定的Web服务，则由内容授权程序来确定。用户进行一次登录后就能通过所有“Passport”合作站点的身份验证，不需要对每个站点的应用系统进行多次重复登录。

上述单点统一登录方法存在以下缺陷：

1、认证服务器和业务服务器之间必须使用统一的用户帐户，而在现有的电信领域内，业务服务器是多种多样的，要求各个业务服务器使用与核心网相同的用户帐户将限制业务服务器的服务范围；

2、由于采用集中式的认证服务器，存在一定的安全隐患；若认证服务器因某种原因而无法正常工作，则整个系统内的所有服务都将无法使用。

发明内容

本发明的第一个方面是提供一种身份管理平台，完成对终端的身份信息进行统一管理，增加身份信息的安全性、可靠性。

本发明的第二个方面是提供一种业务服务器，以实现根据终端的身份信息自动完成终端的登录。

本发明的第三个方面是提供一种统一登录系统，实现终端的统一登录，提高网络资源利用率。

本发明的第四方面是提供一种建立身份联合的方法，完成用户在业务服务器与身份管理平台上身份信息的联合。

本发明的第五个方面是提供一种统一登录方法，完成终端的统一登录过程，避免用户重复操作。

本发明一个方面通过一些实施例提供了如下的技术方案：

一种身份管理平台，包括信息接收模块，用于接收终端发送的身份联合请求信息、业务服务器通过终端发送的登录业务服务器所用的用户名、密码以及所述业务服务器标识信息；联合管理模块，用于根据接收到的所述身份联合请求信息建立用户身份联合，根据所述业务服务器发送的所述用户名、密码以及所述业务服务器标识信息查询身份联合信息；信息发送模块，用于通过所述终端向所述业务服务器发送查找到的身份联合信息。

本发明一个方面的实施例所涉及的身份管理平台，可有效地对终端的身份信息进行管理，增加信息的安全性、可靠性。

本发明二个方面通过另一些实施例提供了如下的技术方案：

一种业务服务器，包括信息接收模块，用于接收所述终端发送的业务服务请求信息和身份管理平台通过所述终端发送的身份联合信息，所述业务服务请求信息包括登录所述业务服务器所用的用户名和密码；登录管理模块，与所述信息接收模块连接，用于记录所述终端登录信息；信息发送模块，与所述登录管理模块连接，用于通过所述终端向所述身份管理平台发送建立身份联合所用与所述业务服务器对应的用户名、所述业务服务器标识。

本发明二个方面的实施例所涉及的业务服务器，能够在终端请求业务服务时，自动查询所述身份信息，完成所述终端的登录，方便实用。

本发明三个方面通过另一些实施例提供了如下的技术方案：

一种统一登录系统，包括身份管理平台、业务服务器和身份联合数据库；其中，所述身份管理平台，用于根据所述业务服务器发送的用户名，建立身份联合信息，在所述身份联合数据库中查询与所述业务服务器对应的身份联合信息；所述业务服务器，根据所述终端发送的业务服务请求信息向所述身份管理平台查询对应的身份联合信息；所述身份联合数据库用于存储用户的身份联合信息。

本发明三个方面的实施例所涉及的统一登录系统，能够在终端通过GPRS接入网络后，自动完成终端在所要访问的业务服务器上的登录，节省网络资源，提高了网络资源的利用率。

本发明第四个方面通过另一些实施例提供了如下的技术方案：

一种身份联合方法，包括身份管理平台接收到终端发送的身份联合请求信息；所述身份管理平台根据接收到的经过业务服务器验证的用户名与密码，建立所述终端在所述业务服务器上的身份信息和在所述身份管理平台上的身份信息的身份联合信息。

本发明第四方面的实施例所涉及的建立身份联合的方法，实现对用户在业务服务器与身份管理平台的身份联合，方便用户进行统一登录。

本发明第五个方面通过另一些实施例提供了如下的技术方案：

一种统一登录的方法，包括在身份管理平台建立用户身份联合后，终端向业务服务器发送业务服务请求信息；所述业务服务器将所述终端重定向连接到身份管理平台，通过所述身份管理平台查询所述终端的登录信息；若所述终端存储有所述登录信息，则通过所述身份管理平台根据身份联合信息获取所述终端在所述业务服务器上的用户名信息，允许所述终端登录；若所述终端没有存储所述登录信息，则所述业务服务器根据终端发送的用户名和密码信息允许所述终端登录，并且通过所述身份管理平台在所述终端上记录所述终端的登录信息。

本发明第五方面的实施例所涉及的统一登录方法，用户只需在接入IMS核心网时进行一次身份认证，而在以后进行的其他业务访问的时候便无需用户再次进行繁琐的身份认证输入过程，此过程由网络自行完成，减少了用户进行业务访问时的繁琐操作。

附图说明

图1为本发明身份管理平台实施例一结构示意图；

图2为本发明身份管理平台实施例二结构示意图；

图3为本发明身份管理平台实施例三结构示意图；

图4为本发明业务服务器实施例一结构示意图；

图5为本发明业务服务器实施例二结构示意图；

图6为本发明业务服务器实施例三结构示意图；

图7为本发明统一登录系统结构示意图；

图8为本发明建立身份联合流程示意图；

图9为发明图8中步骤104的具体流程示意图；

图10为本发明建立身份联合的信令流程示意图；

图11为本发明统一登录方法实施例一流程示意图；

图12为本发明图11中步骤200的具体流程示意图；

图13为本发明图11中步骤300的具体流程示意图；

图14为本发明用户登录业务服务器实施例一的信令示意图；

图15为本发明图11中步骤400的具体流程示意图；

图16为本发明图15中步骤404的具体流程示意图；

图17为本发明用户登录业务服务器实施例二的信令示意图。

具体实施方式

下面结合附图和具体实施例进一步说明本发明的技术方案。

如图1所示，一种身份管理平台1，包括：信息接收模块11，用于接收终端发送的身份联合请求信息、业务服务器通过终端发送的登录业务服务器所用用户名、密码以及所述业务服务器标识信息；联合管理模块12，与信息接收模块11连接，根据接收到的所述身份联合请求信息建立用户身份联合，根据所述业务服务器发送的所述用户名、密码以及所述业务服务器标识信息查询身份联合信息；信息发送模块13，与联合管理模块12连接，用于通过所述终端向所述业务服务器发送查找到的身份联合信息。

用户在身份管理平台1上的自服务页面上点击身份联合请求后，信息接收模块11接收到终端发送的身份联合请求信息，通过自服务页面内嵌的业务服务器的登录页面接收用户输入的用于登录业务服务器的用户名和密码信息后，将终端重定向连接到业务服务器上，并将用户名和密码通过信息发送模块13一同发送给业务服务器，业务服务器允许终端登录后，联合管理模块12将身份联合信息保存在身份联合数据库中，并在终端浏览器上的Cookie信息中保存业户的登录信息，完成身份联合，即用户在业务服务器上的身份信息与在身份管理平台上身份信息完成身份联合。

当进行完身份联合后，用户尚未登录到完成身份联合的业务服务器时，用户通过终端浏览器向所要访问的业务服务器发送用户名、密码，业务服务器将接收的信息以及业务服务器标识等信息通过浏览器发送给身份管理平台1，请求身份管理平台1记录此次登录信息，身份管理平台1的信息接收模块11接收到该信息后，根据联合管理模块12记录的终端上次登录时间验证此次登录的合法性，验证成功后，联合管理模块12记录终端在业务服务器上的登录信息。

当进行完身份联合后，且用户在一业务服务器上已经成功登录的情况下，用户通过浏览器再登录到其他业务服务器时，业务服务器向身份管理平台1查询用户在该业务服务器上的对应的身份信息，包括登录所用的用户名信息；信息接收模块11接收查询信息后，通过联合管理模块12查询所需信息，并将查询得到的登录业务服务器所用的用户名等信息通过信息发送模块13返回给业务服务器。

本实施例所提供的身份管理平台用于对用户的身份信息进行有效地管理，为业务服务器提供用户身份信息，既实现了统一登录的目的，而且保证了信息的安全性。

进一步地，如图2所示，联合管理模块12包括：查询子模块121，与信息接收模块11、信息发送模块13连接，用于根据所述身份联合查询请求信息在身份联合数据库中查询业务服务器对应的用户身份信息；登录记录子模块122，与查询子模块121连接，用于在所述终端的Cookie信息中记录用户的登录信息。

联合管理模块12用于记录、查询身份联合信息和用户的登录信息，具体地，查询子模块121用于在建立身份联合时，在身份联合数据库中保存身份联合信息；在业务服务器向身份管理平台1查询身份联合信息，根据身份联合信息中的登录业务服务器所用的用户名进行自动登录时，查询子模块121用于在身份联合数据库中查询所需身份信息；终端在登录到业务服务器上后，登录记录子模块122用于在终端浏览器上的Cookie信息中记录用户的登录信息。

再进一步地，如图3所示，为了保证传送的信息的安全性，避免重放攻击，联合管理模块12还可包括：加解密子模块123，与信息接收模块11、查询子模块121连接，用于对与所述业务服务器之间的通信信息进行加解密处理，所述通信信息包括登录业务服务器所用用户名、所述业务服务器标识信息、时间戳；时间戳子模块124，与加解密子模块123连接，用于生成并存储用于标识信息合法性的时间戳信息。时间戳子模块124记录发生操作时的系统时间作为时间戳，加入到发送的信息中，以标识此次操作的发生时刻，避免攻击者恶意重放攻击；身份管理平台与业务服务器之间享有共享密钥，加解密模块123通过对查询到的用户身份信息、时间戳等重要信息的加密处理进一步保证信息的安全性，防止他人盗用。

本实施例提供的联合管理模块通过对业务服务器发送的时间戳信息进行验证，保证了进行用户身份信息查询的可靠性和安全性，确保所查找的用户身份信息为所发送服务访问的终端的合法身份；通过身份管理平台实现了对终端的身份信息的统一管理，在网络侧根据信息间相互的对应关系进行查询，既确保了信息的安全性，可靠性，又节省的网络资源。

如图4所示，一种业务服务器2，包括：信息接收模块21，用于接收所述终端发送的业务服务请求信息和身份管理平台通过所述终端发送的身份联合信息，所述业务服务请求信息包括登录所述业务服务器所用用户名和密码；登录管理模块22，与信息接收模块21连接，用于记录所述终端登录信息；信息发送模块23，与登录管理模块22连接，用于通过所述终端向所述身份管理平台发送建立身份联合所用与所述业务服务器对应的用户名、所述业务服务器标识。

业务服务器2的信息接收模块21接收到身份管理平台通过终端发送的用户名和密码，要求进行身份联合时，登录管理模块22根据接收到的用户名和密码判断允许用户登录后，将在终端浏览器上的Cookie信息中保存用户的登录信息，表明该终端已经成功登录到本业务服务器上；然后，通过信息发送模块23向身份管理平台发送反馈信息，表示允许建立身份联合。

成功建立身份联合后，用户尚未登录到完成身份联合的业务服务器时，用户选择在业务服务器端进行登录，业务服务器2的信息接收模块21接收到登录请求信息后，登录管理模块22记录用户的登录信息，用以表明终端已经登录到该业务服务器上；登录管理模块22再判断该用户是否已经建立身份联合，若判断得知用户已经建立身份联合，则将终端在业务服务器上的登录信息通过信息发送模块23反馈给身份管理平台，身份管理平台也将记录用户的此次登录信息。

当进行完身份联合后，且用户在一业务服务器上已经成功登录的情况下，用户通过浏览器再登录到其他业务服务器时，业务服务器2的信息接收模块21接收到业务服务请求信息后，登录管理模块22判断得知用户已经登录到其他的业务服务器上，则将向身份管理平台查询用户登录本业务服务器对应的用户名信息，信息发送模块23通过终端浏览器向身份管理平台发送查询信息，查询得到所需用户名信息后，允许用户登录。

进一步地，如图5所示，登录管理模块22包括：第一查询子模块221，与信息接收模块21连接，用于查询所述终端的身份联合状态信息，在所述终端Cookie信息中查询所述终端登录信息；第二查询子模块222，与第一查询子模块221、信息发送模块23连接，用于查询用户身份联合信息；登录记录子模块223，与第一查询子模块221连接，用于在所述终端的Cookie信息中保存登录信息。具体地，业务服务器2的信息接收模块21接收到业务请求信息后，第一查询子模块221首先查询终端浏览器上的Cookie信息中是否存储有登录到该业务服务器的登录信息，若有，则结束，并为用户提供业务服务；若没有相应的登录信息，则第一查询子模块221再判断该用户是否已经建立身份联合，通过查询业务服务器的身份联合标识号信息判断得知该用户已经建立身份联合，则通过第二查询模块222向身份管理平台查询与该业务服务器对应的用户身份信息；得到所需用户名等信息后，允许终端登录，并通过登录记录子模块223在终端的Cookie信息中保存登录信息，用以表明终端已经成功登录到该业务服务器。

再进一步地，如图6所示，为了保证传送的信息的安全性，避免重放攻击，登录管理模块22还包括：加解密子模块224，与信息接收模块21、第一查询子模块221连接，用于对与所述业务服务器之间的通信信息进行加解密处理，所述通信信息包括登录业务服务器所用用户名、所述业务服务器标识信息、时间戳；时间戳子模块225，与加解密子模块224连接，用于生成并存储用于标识信息合法性的时间戳信息。时间戳子模块225记录发生操作时的系统时间作为时间戳，加入到发送的信息中，以标识此次操作的发生时刻，避免攻击者恶意重放攻击；业务服务器与身份管理平台之间享有共享密钥，加解密子模块224通过对查询到的用户身份信息、时间戳等重要信息的加密处理进一步保证信息的安全性，防止他人盗用。

上述实施例提供的业务服务器，能够自动向身份管理平台查询用户的身份信息完成终端的登录过程；终端登录业务服务器时无需进行繁琐的用户身份认证过程，实现终端的统一登录。

如图7所示，一种统一登录系统，包括身份管理平台1、业务服务器2和身份联合数据库3；其中身份管理平台1，用于根据业务服务器2发送的用户名，建立身份联合信息，在身份联合数据库3中查询与业务服务器2对应的身份联合信息；业务服务器2，根据终端发送的业务服务请求信息向身份管理平台1查询对应的身份联合信息；身份联合数据库3，与身份管理平台1连接，用于存储用户的身份联合信息。

本实施例所提供的统一登录系统中，终端在进行统一登录前需完成身份信息联合，建立用户在身份管理平台1上身份信息与在业务服务器2上的身份信息之间的联合信息，存储在身份联合数据库3中；终端要对业务服务器2进行业务访问时，业务服务器2通过身份管理平台1自动查询终端登录业务服务器2所需的身份信息，身份管理平台1查询身份联合数据库3得到所要用户的身份信息后，反馈给业务服务器2，业务服务器2根据身份联合信息允许终端登录。

具体地，身份管理平台1包括：信息接收模块11，用于接收终端发送的身份联合请求信息、业务服务器通过终端发送的登录业务服务器所用用户名、密码以及所述业务服务器标识信息；联合管理模块12，与信息接收模块11连接，根据接收到的所述身份联合请求信息建立用户身份联合，根据所述业务服务器发送的所述用户名、密码以及所述业务服务器标识信息查询身份联合信息；信息发送模块13，与联合管理模块12连接，用于通过所述终端向所述业务服务器发送查找到的身份联合信息。

用户在身份管理平台1上的自服务页面上点击身份联合请求后，信息接收模块11接收到终端发送的身份联合请求信息，通过自服务页面内嵌的业务服务器的登录页面接收用户输入的用于登录业务服务器的用户名和密码信息后，将终端重定向连接到业务服务器上，并将用户名和密码通过信息发送模块13一同发送给业务服务器，业务服务器允许终端登录后，联合管理模块12将身份联合信息保存在身份联合数据库中，并在终端浏览器上的Cookie信息中保存业户的登录信息，完成身份联合，用户在业务服务器上的身份信息与在身份管理平台上身份信息完成身份联合。

当进行完身份联合后，用户尚未登录到完成身份联合的业务服务器时，用户通过终端浏览器向所要访问的业务服务器发送用户名、密码，业务服务器将接收的信息以及业务服务器标识等信息通过浏览器发送给身份管理平台1，请求身份管理平台1记录此次登录信息，身份管理平台1的信息接收模块11接收到该信息后，根据联合管理模块12记录的终端登录信息验证此次登录的合法性，验证成功后，联合管理模块12记录终端在业务服务器上的登录信息。当进行完身份联合后，且用户在一业务服务器上已经成功登录的情况下，用户通过浏览器再登录到其他业务服务器时，业务服务器向身份管理平台1查询用户在该业务服务器上的对应的身份信息，包括登录所用的用户名信息；信息接收模块11接收查询信息后，通过联合管理模块12查询所需信息，并将查询得到的登录业务服务器所用的用户名等信息返回给业务服务器。

进一步地，联合管理模块12包括：查询子模块121，与信息接收模块11、信息发送模块13连接，用于根据所述身份联合查询请求信息在身份联合数据库中查询业务服务器对应的用户身份信息；登录记录子模块122，与查询子模块121连接，用于在所述终端的Cookie信息中记录用户的登录信息。联合管理模块12用于记录、查询身份联合信息和用户的登录信息，具体地，查询子模块121用于在建立身份联合时，在身份联合数据库中保存身份联合信息；在业务服务器向身份管理平台1查询身份联合信息，根据身份联合信息中的登录业务服务器所用的用户名进行自动登录时，查询子模块121用于在身份联合数据库中查询所需身份信息；终端在登录到业务服务器上后，登录记录子模块122用于在终端浏览器上的Cookie信息中记录用户的登录信息。

再进一步地，为了保证传送的信息的安全性，避免重放攻击，联合管理模块12还可包括：加解密子模块123，与信息接收模块11、查询子模块121连接，用于对与所述业务服务器之间的通信信息进行加解密处理，所述通信信息包括登录业务服务器所用的用户名、所述业务服务器标识信息、时间戳；时间戳子模块124，与加解密子模块123连接，用于生成并存储用于标识信息合法性的时间戳信息。时间戳子模块124记录发生操作时的系统时间作为时间戳，加入到发送的信息中，以标识此次操作的发生时刻，避免攻击者恶意重放攻击；身份管理平台与业务服务器之间享有共享密钥，加解密模块123通过对查询到的用户身份信息、时间戳等重要信息的加密处理进一步保证信息的安全性，防止他人盗用。

业务服务器2，包括：信息接收模块21，用于接收所述终端发送的业务服务请求信息和身份管理平台通过所述终端发送的身份联合信息，所述业务服务请求信息包括登录所述业务服务器所用用户名和密码；登录管理模块22，与信息接收模块21连接，用于记录所述终端登录信息；信息发送模块23，与登录管理模块22连接，用于通过所述终端向所述身份管理平台发送建立身份联合所用与所述业务服务器对应的用户名、所述业务服务器标识。

业务服务器2的信息接收模块21接收到身份管理平台通过终端发送的用户名和密码。要求进行身份联合时，登录管理模块22根据接收到的用户名和密码判断允许用户登录后，将在终端浏览器上的Cookie信息中保存用户的登录信息，表明该终端已经成功登录到本业务服务器上；然后，通过信息发送模块23向身份管理平台发送反馈信息，表示允许建立身份联合。

成功建立身份联合后，用户尚未登录到完成身份联合的业务服务器时，用户选择在业务服务器端进行登录，业务服务器2的信息接收模块21接收到登录请求信息后，登录管理模块22记录用户的登录信息，用以表明终端已经登录到该业务服务器上；登录管理模块22再判断该用户是否已经建立身份联合，若判断得知用户已经建立身份联合，则将终端在业务服务器上的登录信息通过信息发送模块23反馈给身份管理平台，身份管理平台也将记录用户的此次登录信息。当进行完身份联合后，且用户在一业务服务器上已经成功登录的情况下，用户通过浏览器再登录到其他业务服务器时，业务服务器2的信息接收模块21接收到业务服务请求信息后，登录管理模块22判断得知用户已经登录到其他的业务服务器上，则将向身份管理平台查询用户登录本业务服务器对应的用户名信息，信息发送模块23通过终端浏览器向身份管理平台发送查询信息，查询得到所需用户名信息后，允许用户登录。

进一步地，登录管理模块22包括：第一查询子模块221，与信息接收模块21连接，用于查询所述终端的身份联合状态信息，在所述终端Cookie信息中查询所述终端登录信息；第二查询子模块222，与第一查询子模块221、信息发送模块23连接，用于查询用户身份联合信息；登录记录子模块223，与第一查询子模块221连接，用于在所述终端的Cookie信息中保存登录信息。具体地，业务服务器2的信息接收模块21接收到业务请求信息后，第一查询子模块221首先查询终端浏览器上的Cookie信息中是否存储有登录到该业务服务器的登录信息，若有，则结束，并为用户提供业务服务；若没有相应的登录信息，则第一查询子模块221再判断该用户是否已经建立身份联合，通过查询业务服务器的身份联合标识号信息判断得知该用户已经建立身份联合，则通过第二查询模块222向身份管理平台查询与该业务服务器对应的用户身份信息；得到所需用户名等信息后，允许终端登录，并通过登录记录子模块223在终端的Cookie信息中保存登录信息，用以表明终端已经成功登录到该业务服务器。

再进一步地，为了保证传送的信息的安全性，避免重放攻击，登录管理模块22还包括：加解密子模块224，与信息接收模块21、第一查询子模块221连接，用于对与所述业务服务器之间的通信信息进行加解密处理，所述通信信息包括登录业务服务器所用用户名、所述业务服务器标识信息、时间戳；时间戳子模块225，与加解密子模块224连接，用于生成并存储用于标识信息合法性的时间戳信息。时间戳子模块225记录发生操作时的系统时间作为时间戳，加入到发送的信息中，以标识此次操作的发生时刻，避免攻击者恶意重放攻击；业务服务器与身份管理平台之间享有共享密钥，加解密子模块224通过对查询到的用户身份信息、时间戳等重要信息的加密处理进一步保证信息的安全性，防止他人盗用。

综上，本实施例所提供的统一登录系统包括前述所涉及的身份管理平台和业务服务器，所述终端包括手机、个人数码助理(Personal DigitalAssistant；以下简称：PDA)一般是指掌上电脑、以及使用GPRS上网卡的计算机，终端使用的应用程序可以应用会话初始协议(Session InitiationProtocol；以下简称：SIP)软终端或浏览器等。

该系统为用户进行业务服务提供了统一的登录功能，避免了现有技术中用户进行反复的登录认证过程；且确保了登录过程的安全性与可靠性，节省了网络资源，提高了网络资源利用率、网络登录速度。

用户进行统一登录，必须首先建立起用户在身份管理平台的身份信息和业务服务器的身份信息之间的关联关系，建立身份联合的过程具体包括身份管理平台接收到终端发送的身份联合请求信息；所述身份管理平台根据接收到的经过业务服务器验证的用户名与密码，建立所述终端在所述业务服务器上的身份信息和在所述身份管理平台上的身份信息的联合信息。身份管理平台用于管理用户在各个业务服务器上的身份信息和在管理平台上的身份信息的身份联合信息，当用户要访问某个业务服务器时，业务服务器向管理平台查询身份联合信息，完成登录。

如图8所示，建立身份联合过程具体包括：

步骤101、终端登录到身份管理平台后，向身份管理平台发送身份联合请求信息；

步骤102、身份管理平台记录当前系统时间作为时间戳信息，并将时间戳信息存储在身份管理平台的时间戳列表中；

步骤103、终端通过身份管理平台向业务服务器发送用户名和密码，访问业务服务器的统一资源定位器地址(以下简称：URL)包括时间戳信息；

步骤104、业务服务器对终端发送的用户名和密码进行认证后，将终端重定向连接到身份管理平台，身份管理平台保存用户的身份联合信息。

在身份管理平台上建立身份联合，使其保存用户身份联合信息，首先应登录到身份管理平台，登录时，用户通过输入登录身份管理平台所用用户名进行登录；成功登录身份管理平台后，终端通过身份管理平台提供的自服务页面向身份管理平台发送身份联合请求信息，身份管理平台的用户自服务页面上提供各业务服务器的身份联合功能；用户登录身份管理平台以后，点击业务服务器的身份联合链接，请求建立身份管理平台的用户身份和业务服务器的用户身份之间的联合；身份管理平台接收到用户的身份联合请求信息后，首先记录当前的系统时间，将其作为时间戳，并将时间戳存储在身份管理平台的时间戳列表中；将生成的时间戳加入到终端访问业务服务器所用的URL中后，身份管理平台页面内嵌入了业务服务器的登录页面，提示用户输入登录业务服务器所用的用户名和密码，根据URL向业务服务器发送业务请求，业务服务器对接收到的用户名和密码进行认证；认证通过后，将浏览器重定向到身份管理平台页面上，身份管理平台保存身份联合信息，即身份管理平台存储有用户在身份管理平台上的身份信息(如手机号)和在业务服务器上的身份信息的关联关系信息；用户的身份信息联合建立成功。

进一步地，如图9所示，步骤104中业务服务器对终端发送的用户名和密码进行认证后，将终端重定向连接到身份管理平台，身份管理平台保存用户的身份联合信息，具体包括：

步骤1041、业务服务器向终端发送第一重定向信息；

所述第一重定向信息包括登录身份管理平台的URL信息、业务服务器标识信息以及经过加密的业务服务器标识信息、用户名和时间戳的联合信息；

步骤1042、终端与身份管理平台建立连接，并向身份管理平台返回重定向信息；

步骤1043、身份管理平台对重定向信息进行解密，并验证时间戳信息是否储存在时间戳列表中，若没有，则执行步骤1045；否则，执行步骤1044；

步骤1044、保存用于登录业务服务器的用户名、业务服务器标识信息等身份联合信息；

步骤1045、结束。

业务服务器和身份管理平台通过时间戳来标识操作的合法性，避免重放攻击；身份管理平台利用共享密钥对经过加密的信息进行解密，并通过时间戳列表判断业务服务器返回的时间戳是否为身份管理平台为其分配的时间戳，若一致，则表明该业务服务器便是为要进行身份联合的业务服务器，身份管理平台保存登录该业务服务器所用的用户名，建立起用于登录身份管理平台所用用户身份信息和用于登录业务服务器所用身份信息的关联信息。

如图10为建立身份联合的信令流程示意图，包括：

步骤a1、终端登录到身份管理平台；

步骤b1、访问自服务页面，要求进行身份联合；

步骤c1、身份管理平台生成时间戳，并将其存储在时间戳列表中；

步骤d1、用户通过身份管理平台内嵌的业务服务器登录页面，输入用户名和密码，身份管理平台在业务服务器的访问URL内插入时间戳；

步骤e1、业务服务器对用户身份进行认证，认证通过后重定向到身份管理平台；

步骤f1、终端的浏览器重新连接身份管理平台，并携带第一重定向信息；

步骤g1、身份管理平台对第一重定向信息进行验证，验证通过后，保存用户身份的联合信息。

如图11所示为本发明统一登录方法的一实施例流程图，如图所示包括：

步骤100、终端向业务服务器发送业务服务请求信息；

步骤200、业务服务器将终端重定向连接到身份管理平台，通过身份管理平台查询终端的登录信息，若终端存储有登录信息，则执行步骤300；若终端没有存储登录信息，则执行步骤400；

步骤300、通过身份管理平台根据身份联合信息获取终端在业务服务器上的用户名信息，允许终端登录；

步骤400、业务服务器根据终端发送的用户名和密码信息允许终端登录，并且通过身份管理平台在终端上记录终端的登录信息。

终端接入网络可以通过不同方式接入，即可以通过GPRS接入，以及非GPRS接入，如WLAN、宽带接入或局域网接入等。当用户通过终端浏览器向业务服务器发送业务服务请求信息，准备进行业务访问时，业务服务器先不提示用户输入用户名和密码进行登录，而是建立终端与身份管理平台的连接，通过身份管理平台查询终端的登录信息，判断终端是否已经登录到其他的业务服务器上，若判断得知终端并没有登录到其他业务服务器，则业务服务器提示用户输入用户名和密码进行登录，为用户提供服务，并且身份管理平台记录用户的在业务服务器上的登录信息；若判断得知终端已经在其他的业务服务器登录了，则通过身份管理平台根据身份联合信息获取终端在其所要访问的业务服务器上的用户名；在建立用户身份联合时，将会保存用户在身份管理平台上和在各个业务服务器山过的身份的关联信息；业务服务器接收到身份管理平台发送的用户名信息后，允许终端进行登录，因为用户身份联合信息中保存的登录业务服务器所用的用户名信息是合法的，所以身份管理平台回送的用户名信息也应是合法的。

纯超文体传输协议(以下简称：HTTP)业务的统一登录流程中，用户将在业务服务器上的身份与身份管理平台上的身份进行联合，并且各业务服务器统一通过身份管理平台在终端的Cookie中记录用户的登录信息，包括已登录的业务服务器网站和该网站上的用户名。用户访问业务服务器时，业务服务器通过身份管理平台来检查用户是否已登录身份管理平台或其他业务服务器，若已登录，身份管理平台查询身份联合信息得到用户在此业务服务器上的身份信息，实现自动登录，避免用户再次进行输入用户名、密码的繁琐操作。

建立用户身份联合后，终端向业务服务器发送业务服务请求后，业务服务器将终端重定向连接到身份管理平台，通过身份管理平台查询终端的登录信息，具体包括：业务服务器读取终端的Cookie信息，判断终端是否已经登录到业务服务器，若已登录，则结束；否则，通过身份管理平台查询终端的Cookie信息中是否存储有登录信息。终端在登录到业务服务器上后，业务服务器将在终端的Cookie信息中记录登录信息，以表明终端已经登录到该业务服务器上。

再进一步地，通过身份管理平台查询终端的Cookie信息中是否存储有登录信息，如图12所示，包括：

步骤201、业务服务器记录当前系统时间作为时间戳信息，并将时间戳信息存储在业务服务器的时间戳列表中，向终端发送第二重定向信息；

第二重定向信息包括登录身份管理平台的URL信息、业务服务器标识信息、以及经过加密的业务服务器标识信息和时间戳的联合信息；

步骤202、终端根据第二重定向信息中的身份管理平台的URL信息与身份管理平台建立连接；

步骤203、身份管理平台对终端发送的第二重定向信息进行解密，验证第二重定向信息是否由业务服务器发起；

步骤204、验证通过后，身份管理平台读取终端上的Cookie信息中存储的登录信息。

业务服务器记录并存储时间戳信息，作为用于判断接收信息的合法性；业务服务器将终端重定向到身份管理平台，终端通过浏览器根据登录身份管理平台所用URL信息与身份管理平台建立连接；为保证信息的安全性，重定向信息经过加密，业务服务器应用共享密钥对其进行解密，验证得到该重定向信息是由业务服务器发起的，然后，身份管理平台便读取终端的Cookie信息中的登录信息，判断是否已经登录到其他业务服务器，若终端的Cookie信息中有终端的登录信息，则表明终端已经登录到其他的业务服务器上了，则通过身份管理平台根据身份联合信息获取终端在所要访问的业务服务器上的用户名信息，允许终端登录，具体如图13所示：

步骤301、身份管理平台在身份联合数据库中查询终端在业务服务器对应的用户名信息；

步骤302、身份管理平台向终端发送第三重定向信息；

所述第三重定向信息包括业务服务器标识信息以及经过加密的用户名和时间戳的联合信息；

步骤303、终端根据第三重定向信息与业务服务器建立连接；

步骤304、业务服务器对终端发送的第三重定向信息进行解密，并验证时间戳信息是否储存在时间戳列表中，若没有，则执行步骤306，否则，执行步骤305；

步骤305、根据用户名信息允许终端登录；

步骤306、结束。

因为身份管理平台的身份联合数据库中已经存储有用户身份联合信息，因此可以查询到登录所要访问的业务服务器所用的用户名信息，身份管理平台重定向到业务服务器，终端通过浏览器接入业务服务器页面后，通过查询到的用户名进行登录。为保证信息安全，重定向信息同样要经过加密处理。

如图14所示，当已经建立用户身份信息联合，且已经登录到一个业务服务器上的情况下，用户登录所要访问的业务服务器的完整信令流程为：

步骤a2、终端通过浏览器向第二业务服务器发送业务服务请求信息；

步骤b2、业务服务器读取终端上的Cookie信息，得知终端尚未登录到第二业务服务器；

步骤c2、业务服务器生成时间戳，并将其存储在时间戳列表中；

步骤d2、业务服务器将链接重定向到身份管理平台；

步骤e2、身份管理平台查询终端是否已经登录到其他的业务服务器，查询得知终端已经登录到经过身份联合的第一业务服务器；

步骤f2、身份管理平台在身份联合数据库中查询终端所要访问的第二业务服务器的用户名信息；

步骤g2、将链接重定向到第二业务服务器，第二业务服务器对重定向信息中的时间戳进行验证，验证通过后，根据查询到的用户名允许用户登录。

登录成功后，为避免占用系统资源，应删除时间戳列表中的时间戳信息。

用户在各业务服务器上已完成身份联合，并且已登录了某业务服务器(如第一业务服务器)，用户再直接访问其他业务服务器(如第二业务服务器)时，第二业务服务器将用户访问请求重定向到身份管理平台。身份管理平台读取用户Cookie得知用户已登录到第一业务服务器，然后查询身份联合记录得到用户在第二业务服务器上的身份。第二业务服务器从身份管理平台得到用户的身份后，可以直接为用户提供服务，简化了用户手动登录的流程。

如图15所示，当终端进行统一登录过程中，执行步骤200业务服务器将终端重定向连接到身份管理平台，通过身份管理平台查询终端的登录信息后，但终端的Cookie信息中并没存储有登录信息，则业务服务器根据终端发送的用户名和密码信息允许终端登录，并且通过身份管理平台在终端上记录终端的登录信息，具体包括：

步骤401、业务服务器根据终端发送的用户名和密码，判断允许终端登录到业务服务器；

步骤402、业务服务器在终端的Cookie信息中记录登录信息；

步骤403、业务服务器根据业务服务器上存储的用户信息身份联合标识判断终端是否已完成身份联合；

步骤404、判断成功后，通过身份管理平台在终端的Cookie信息中记录终端的登录信息。

因为终端并没有登录到其他的业务服务器，用户选择通过业务服务器进行登录后，业务服务器提示用户输入用户名和密码进行登录，登录成功后，业务服务器在终端的Cookie信息中存储登录信息了；业务服务器器再通过判断业务服务器上存储的用户信息身份联合标识判断终端是否已完成身份联合，用户信息身份联合标识是指存储在业务服务器数据库中的一个用于标识终端是否已经进行身份联合的字段。判断得知终端已经进行身份联合，则身份管理平台还要在终端的Cookie信息中存储用户的登录信息。

进一步地，身份管理平台在终端的Cookie信息中记录终端的登录信息，如图16所示，包括：

步骤4041、业务服务器记录当前系统时间作为时间戳信息，向终端发送第四重定向信息；

所述第四重定向信息包括登录身份管理平台的URL信息、业务服务器标识信息、以及经过加密处理的业务服务器标识信息、用户名信息和时间戳信息的联合信息；

步骤4042、终端根据第四重定向信息中的身份管理平台的URL信息与身份管理平台建立连接；

步骤4043、身份管理平台对终端发送的第四重定向信息进行解密，判断时间戳是否晚于前一次登录业务服务器的时间，若是，则执行步骤4045，若不是，则执行步骤4044；

步骤4044、身份管理平台记录时间戳，并在终端上的Cookie信息中记录登录信息；

步骤4045、结束。

本实施例提供一在身份管理平台上建立用户身份联合后，且用户没有登录身份管理平台或任一个业务服务器上的情况下，用户选择通过业务服务器进行出示登录的实施方式，用户选择在业务服务器登录，则需要输入用户名和密码。登录成功后，业务服务器需要将连接重定向到身份管理平台，由身份管理平台写Cookie记录用户的登录信息，身份管理平台写完Cookie以后，将链接再重定向到业务服务器，由业务服务器继续提供服务；业务服务器把连接重定向到身份管理平台时，携带了用户此次登录业务服务器的时间，身份管理平台在写Cookie之前，需要判断用户此次登录业务服务器的时间是否晚于上次的登录时间，只有此次登录时间晚于上次登录时间，才能在Cookie中记录登录短信息，并且在数据库中记录此次登录的时间；否则忽略此次操作，其具体信令流程如图17所示：

步骤a3、终端通过浏览器向业务服务器发送业务服务请求信息；

步骤b3、业务服务器读取终端上的Cookie信息，得知终端尚未登录到业务服器；

步骤c3、用户选择通过业务服务器登录，并输入用户名和密码；

步骤d3、业务服务器在终端的Cookie信息中保存登录信息；

步骤e3、业务服务器判断得知用户已经进行身份联合；

步骤f3、将连接重定向到身份管理平台；

步骤g3、身份管理平台在终端的Cookie信息中保存用户登录信息。

上述所述的统一登录的方法实施例中，在进行统一登录成功之后，业务服务器和身份管理平台将在终端浏览器上的cookie中保存终端的登录信息，登录信息包括用户名、登录时间、有效期等，Cookie的有效期为固定时间，例如1小时等。对重定向信息进行加密是通过H3函数完成。H3函数基于密钥采用3DES等对称加密算法对所有输入参数进行加密和解密。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。