身份管理系统的制作方法
【技术领域】
[0001]本公开涉及一种身份管理系统。具体来说,本发明涉及可在分布式系统中使用的可缩放身份管理系统。
【背景技术】
[0002]身份和访问管理(IDM)是基于计算的系统和网络的重要组件。IDM的目的是允许合法用户访问资源。IDM系统已经在这些年中演进,从集中式到分布式访问控制、从多个登录到单个注册机制、从后端联合到前端联合等。IDM适当的性质取决于整个系统的性质。
[0003]分布式系统(比如云)的引入带来IDM系统的新的特征和挑战。云提供无限资源的提取给消费者。使用称为多租赁的概念,云的资源在消费者(租户)之间共享。这允许多个租户以按使用支付为基础来共享(使用)相同的物理资源。云系统的主要特性之一是可缩放性和弹性。可缩放性确保云提取的资源基于系统的负载增加或降低(横向缩放)它们的容量。为了确保此,基于云的服务以模块型式来设计,使得每个服务能够通过增加或者删除那个服务的实例来被缩放。这也应用至身份和访问管理系统。
[0004]在云中,云服务提供者(CSP)将要求容易的方式来控制对系统中资源的访问。致力于这个要求的一个方式是通过集中式IDM解决方案。集中式访问控制的一个可能的方法在图1中示出,图1是包括客户101、身份服务器102和两个服务提供者103、104的网络100的元件的示意图。如果客户101希望访问由服务提供者中的一个103提供的服务,它通过身份服务器102验证自身。作为验证过程的结果,断言令牌被返回至客户101。这个令牌随后由客户101使用以提供身份(和/或使用请求的服务的授权)的证明给服务提供者103,其能够被认为作身份消费者。可以是客户能够访问不同的服务,例如从另一个服务提供者104,而不首先必须获得特定的断g令牌。
[0005]这个方法由许多计算机系统广泛使用。典型的网络验证协议在用户-服务器型式中提供相互验证(即,用户和服务器彼此验证)。一个可能的方法涉及通过验证服务器的用户验证,从而接收对于具体服务的“票”。所述“票”被进一步用于访问所期望的服务。这个方法的缺点是集中式的验证服务器,其表现单点故障。
[0006]相比之下,分布式验证机制通常允许用户以及依赖于身份的证明的当事者(身份消费者)来从身份提供者的集合挑选用于验证的身份提供者。这消除对具有用于用户验证的单个身份提供者的需要。关于这个方法的问题是信任锚的建立一一即,由身份消费者建立身份提供者的信任。
[0007]集中式身份系统提供对于系统的容易的维护和控制。但是,归因于单点故障的问题,集中化对于云和分布式系统不是好的选择。在云准备系统(应用)中,所有组件应该是弹性的和横向可缩放的。当前可用的集中式身份管理系统没有实现这个性质。实现集中式身份系统的控制灵活性和分布式系统的可缩放性两者因此将是所期望的。
【发明内容】
[0008]依照本发明的一个方面,提供了一种具有多个IDM组件的网络中的客户装置。所述客户装置包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器生成对于验证的请求以及经由可操作地连接至所述处理器的输入/输出单元来公布所述验证请求至所述网络。所述验证请求使用公布-预订消息模式公布。所述指令进一步促使所述处理器从所述网络中的IDM组件中的一个接收验证启动消息,以及协商来自所述IDM组件的验证信息的接收。每个IDM组件可以具有关于所述验证过程的它自己的性能的集合。
[0009]所述指令可以被配置成促使所述处理器请求来自所述网络中服务提供者的服务以及发送所述验证信息至所述服务提供者。所述验证信息可以包括断言令牌,其是可选地服务特定的。
[0010]来自所述IDM组件的验证启动消息可以包括所述IDM组件的证书,以及所述指令可以被配置成促使所述处理器检验所述证书。所述协商可以包括与所述IDM组件的安全会话的建立。
[0011]验证请求可以包括所述客户装置的操作参数。这可以包括所述客户装置的性能(例如,所述客户装置是移动的或者支持具体的验证协议)或者偏好(例如,IDM组件应该位于具体的区域中,IDM组件应该支持两个因子验证机制)。
[0012]依照本发明的另一个方面,提供了一种具有多个IDM组件的网络中的IDM组件。所述IDM组件包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器经由输入/输出单元预订在所述网络中公布的验证请求。所述指令进一步促使所述处理器接收由客户装置公布的验证请求,启动与所述客户装置的协商,以及验证所述客户装置或者所述客户装置的用户。
[0013]客户装置的验证可以包括发送断言令牌至所述客户装置。
[0014]指令可以被配置成促使所述处理器从所述网络中的服务提供者接收检验请求,所述检验请求包括所述客户装置或者用户的标识符或者所述断言令牌,以及检验至所述服务提供者的所述客户装置或者用户的验证或者所述断言令牌。所述IDM组件通过预订所述网络中公布的检验请求可以得到所述检验请求,如此从所述服务提供者接收的检验请求是使用公布-预订消息模式的由所述服务提供者公布的检验请求。
[0015]对所述验证请求(和/或检验请求)的预订可以是在所述网络中的代理者。所公布的验证请求和/或检验请求可以从所述代理者被接收。所述预订可以包括所述IDM组件的性能的细节,比如所述IDM组件的区域、对所述IDM组件可用的验证协议、IDM组件的可用性、当前正由IDM组件处理的验证的数量。
[0016]所述验证协商可以包括发送证书至所述客户装置。所述证书可以从信任的域中的认证管理机构得到。所述指令可以被配置成促使所述处理器与所述网络中的其它IDM组件共享验证状态。换言之,每个IDM组件能够独立地工作,需要与其它此类IDM组件仅共享所述验证状态。
[0017]因此,认证管理机构能够有效地“委派”验证至分布式IDM组件。由于来自信任的域的所述证书,所述IDM组件能够由所述客户信任。但是,所述客户不需要知道联系哪个IDM组件,以及仅需要公布验证请求,其被转发(可选地由代理者)以及允许最适当的IDM节点的选择。一个IDM组件因此能够选自具有各不相同的性能的多个IDM组件,而所述用户不需要作出这个选择。所述IDM组件能够共享验证状态。这通过解耦合所述验证过程而移除所述用户与所述IDM组件之间的捆绑:断言生成和检验步骤可以由不同组件实施。此外,所述IDM组件可以预订特定格式的验证请求,例如,那些在其中所述客户指定操作的偏好以及它的身份的,其帮助对于所述IDM组件开始与所述客户的协商的稍后阶段。
[0018]依照本发明的另一个方面,提供了一种具有分布式IDM组件的网络中的服务提供者。所述服务提供者包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器经由输入/输出装置从所述网络中的客户装置接收服务请求,所述服务请求包括所述客户的验证和/或断言令牌和所述网络中的IDM组件中的一个的标识。所述指令进一步被配置成促使所述处理器发送检验请求至所述IDM组件,从所述IDM组件接收所述用户验证和/或断言令牌的检验,以及递送所请求的服务至所述客户装置。
[0019]备选地,所述服务提供者可以通过公布检验请求而不是直接联系所述IDM组件来请求检验。因此,依照本发明的另一个方面提供了一种具有分布式IDM组件的网络中的服务提供者。所述服务提供者包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器经由输入/输出装置从所述网络中的客户装置接收服务请求,所述服务请求包括所述客户的验证和/或断言令牌。所述指令进一步被配置成促使所述处理器公布检验请求至所述网络,从所述网络中的IDM组件中的一个接收所述用户验证和/或断言令牌的检验,以及递送所请求的服务至所述客户装置。
[0020]依照本发明的另一个方面提供了一种具有分布式IDM组件的网络中的会合(RV)节点或者代理者。所述代理者包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器经由输入/输出装置从所述IDM组件中的至少一个接收对验证请求的预订(813)。所述指令进一步被配置成促使所述处理器接收由所述网络中客户装置公布的验证请求,确定所述预订是否匹配所公布的验证请求,以及转发所述验证请求至所述至少一个IDM组件中的一个。
[0021]所述指令可以被配置成促使所述处理器来确定包括在所述预订中的所述IDM组件的性能是否适合于所述验证请求。
[0022]所述指令可以配置成促使所述处理器从所述IDM组件或者所述网络中的另一个IDM组件接收对检验请求的预订,接收由所述网络中服务提供者公布的检验请求,确定所述预订是否匹配所公布的检验请求,以及