专利名称:一种实现身份管理互操作的方法及系统的制作方法
技术领域:
本发明涉及网络安全和通信领域,更具体地是涉及一种实现身份管理互操作的方法及系统。
背景技术:
服务提供者(Service Provider,简称SP)对有限身份提供者 (IdentityProvider,简称IDP)的提供支持,如果用户所使用的IDP (例如IDP A)不在当前 SP (例如SPl)支持的范围内,则用户认证是无法完成的,用户必须使用该SP支持的IDP (例如IDP B、C、D)注册之后,才能够完成SP的认证,或者用户还可以访问支持此用户使用的属于可提供类似服务的其它SP(例如SP2)的IDP,得到类似服务。这与身份管理(Identity Management,简称IDM)的目标不符。但目前已经投入使用的IDP之间因为各自利益的关系, 不能实现不同IDP的统一。身份管理是指以网络和相关支持技术为基础,对用户身份的生命周期(使用过程),以及用户身份与网络应用服务之间的关系进行管理。例如,对访问应用和资源的用户进行认证或授权等。目前,IDM系统之间还处于一种相互独立的垂直结构,且这些IDM系统大多是针对特定的应用服务建立起来的,各个IDM系统之间无法实现互联互通,无法实现用户信息(如用户的信任信息、认证信任)的共享。互操作性(Interoperation)是指各个独立的IDM系统之间互相协作,进行有效信息(如用户的信任信息)的交换和通信等操作的能力。互操作的前提一般需要建立在IDM 系统相互信任的基础上,当前IDM系统的信任关系建立一般是一对一信任建立,信任关系一般是静态的,而且存在信任关系的IDM系统一般仅限于同一个信任域内(或联盟内)。目前,主要研究的SP认证模式,都是基于固定IDP的模式,对于用户使用IDP不在 SP信任范围内的,则无法通行,例如用户向SP请求服务,用户未在此SP所属的IDP上进行身份注册的情况下,此SP将不能向此用户提供服务,这使得用户在某些时候需要多次登录不同IDP才能获得此SP的服务,给实际应用带来不便。
发明内容
本发明要解决的技术问题是提供一种实现身份管理互操作的方法及系统,在不改变现有身份管理系统内部认证方法的情况下,实现不同信任域之间的信任关系互操作,方便用户使用。为了解决上述问题,本发明提供了一种实现身份管理互操作的方法,包括用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,身份管理中心选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点,所述备用认证点对所述用户进行成功认证后由所述服务提供者为所述用户提供服务。进一步地,上述方法还可以具有以下特点
5
所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点。进一步地,上述方法还可以具有以下特点两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。进一步地,上述方法还可以具有以下特点所述身份管理中心所维护的身份提供者根据需要与所述身份管理中心建立直连信任路径,并且所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径; 所述身份管理中心选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述身份管理中心具有直接或者间接信任关系的身份提供者作为备用认证点。进一步地,上述方法还可以具有以下特点身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。进一步地,上述方法还可以具有以下特点所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点。进一步地,上述方法还可以具有以下特点两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。为了解决上述技术问题,本发明还提供了一种实现身份管理互操作的系统,包括身份管理中心;所述身份管理中心,用于管理多个身份提供者;还用于在用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点;作为备用认证点的身份提供者,用于对所述用户进行成功认证后通知所述服务提供者所属身份提供者;所述服务提供者所属身份提供者,用于收到所述备用认证点的通知后,通知所述服务提供者为用户提供服务。进一步地,上述系统还可以具有以下特点
所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径;所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点;其中, 两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。进一步地,上述系统还可以具有以下特点所述身份管理中心所维护的身份提供者,用于根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心,还用于在所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径的情况下选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;其中,身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。进一步地,上述系统还可以具有以下特点所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点; 其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。本发明可以在不需要改变现有身份管理系统内部认证方法的情况下,实现不同信任域之间的信任关系互操作,方便用户使用。
图1是实施例一中实现身份管理互操作的方法示意图;图2是具体实施例一中IDMC实现身份管理中各组成部分关系示意图;图3是实施例二中实现身份管理互操作的方法示意图;图4是具体实施例二中IDMC实现身份管理中各组成部分关系示意图;图5是具体实施例三中IDMC实现身份管理中各组成部分关系示意图。
具体实施例方式
7
本发明中实现身份管理互操作的系统,包括服务提供者,身份管理中心(Identity Management Center,简称IdMC),此身份管理中心可以是权威的第三方机构,此身份管理中心所维护的部分或全部身份提供者属于不同的信任域。用户可以在此身份管理中心所维护的身份提供者中部分身份提供者上进行注册。服务提供者所属的身份提供者可以是一个也可以是多个。身份管理中心,用于管理多个身份提供者;为每个用户维护一个用户数据库用于存储该用户在各个不同身份提供者注册的身份信息。身份管理中心,还用于在用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点。所述作为备用认证点的身份提供者,用于对所述用户进行成功认证后通知所述服务提供者所属身份提供者。所述服务提供者所属身份提供者,用于收到所述备用认证点的通知后,通知所述服务提供者为用户提供服务。此系统中由于身份管理中心的引入,用户在向服务提供者请求服务后,服务提供者所属身份提供者上进行身份认证失败后,无需重新登陆,而是由身份管理中心迅速发现用户已注册过的身份提供者,由此身份提供者提供认证后直接获得服务,并可以获得更大范围的单点登录。此系统基于已有的IdM系统,不需要改变各个IdM系统内部的认证方法和技术,具有很好的兼容性。在一种实现方式中,此信任关系是指身份提供者之间的信任关系。所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径;所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点;其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。在另一种实现方式中,此信任关系是指身份提供者与身份管理中心的信任关系, 即身份提供者根据系统需要可以建立与身份管理中心的信任关系。所述身份管理中心所维护的身份提供者,用于根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心,还用于在所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径的情况下选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;其中,身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。在另一种实现方式中,可以同时考虑上述两种信任关系,所述身份管理中心的信任关系管理模块维护身份提供者之间的信任关系以及身份提供者与身份管理中心之间的信任关系。所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。对应上述系统,实现身份管理互操作的方法包括用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,身份管理中心选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点,所述备用认证点对所述用户进行成功认证后由所述服务提供者为用户提供服务。实施例一实施例一中身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点。其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或其它身份提供者间的直连信任路径能够建立起间接信任路径。如图1所示,具体包括以下步骤步骤101,用户向SP请求服务。用户可以在身份管理中心注册一个帐号(可称为IdMC账号),用户在向SP发起请求时,携带此帐号。步骤102,SP请求其所属的IdM系统的IdP (受访地IdP)对用户进行身份认证。SP发起请求时携带此用户的IdMC账号。步骤103,用户未在此受访地IdP上进行身份注册的情况下(例如受访地IdP与用户已进行身份注册的IdP不在同一信任域中),受访地IdP无法识别IdMC账号,将此请求消息发送至IdMC (例如通过发现或重定向机制发送)。步骤104,IdMC收到此消息后,根据IdMC账号查找该用户的数据库,在所述用户
9已经进行身份注册的IdP中选择一个与受访地IdP具有直接信任关系或者间接信任关系的 IdP作为备用认证点。身份管理中心所维护的部分或全部身份提供者属于不同的信任域;两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或其它身份提供者间的直连信任路径能够建立起间接信任路径。步骤105,IdMC向选定的备用认证点发送认证断言(authenticationassertion), 并携带所述用户在此IdP上注册的账户信息。步骤106,备用认证点对用户的身份信息进行认证,认证成功后,将认证结果转发给受访地IdP。步骤107,受访地IdP收到认证IdP的认证结果后,因为两者有信任关系,因此验证通过该认证结果,并通知SP可以向用户提供服务。步骤108,SP收到受访地IdP的通知后,向所述用户提供此用户所请求的服务。下面以具体实施例一详细说明本实施例一。图2示出了本具体实施例中IDMC维护的各SP及IDP的关系以及IDP之间的关系。 IDMC维护的SP中包括SP1、SP2、SP3,不同SP具有提供不同认证服务的身份提供者(IDP)。 用户A在IDMC管理系统中注册有IDMC标识即IDMC-ID (例如为5784939238990),用户A还在每个SP上注册有身份标识。SPl提供的服务为电子邮箱服务,为SPl提供身份认证功能的IDP1,IDP2,IDP3属于同一信任域,用户A在此SPl中的标识为zhangsan@126. com。SP2 提供的服务为移动电话服务,为SP2提供身份认证功能的IDP3、IDP4、IDP5属于同一信任域,用户A在SP2中的标识为手机号码(130XXXXXXXX)。SP3所提供的服务为即时通信服务 (例如QQ、MSN等即时通信工具),为SP3提供身份认证功能的IDP6、IDP7、IDP8属于同一信任域,用户A在SP3中的标识为即时通信帐号。同一信任域内的两两IDP具有直连信任路径。用户A根据需要在IDMC管理的一个或多个IDP上进行身份注册,图中表示各IDP的圆有填充时表示此用户已在此IDP上进行了身份注册,无填充时表示此用户未在此IDP上进行了身份注册。IDP根据需要与其它信任域的IDP建立直连信任路径,图中两IDP间的连接线表示此两IDP建立了直连信任路径。用户A使用在IDMC注册的帐号IdMC_ID访问SP1,SPl向其身份提供者IDPl请求对用户A进行认证,因用户A未在IDPl上进行身份注册,IDPl无法完成认证,通过一定的发现或重定向机制发送消息至IDMC,IDMC通过IDMC-ID在用户A已进行身份注册的其它 IDP中选择一个与IDPl具有直接或间接信任关系的IDP作为备用认证点,生成认证令牌后, 向备用认证点发送认证令牌,备用认证点对用户A认证通过后,向IDPl发送认证成功结果, IDPl通知SPl向用户A提供服务。IDMC选择备用认证点的方式可以是以下方式中的一种(1)通过位于同一信任域内IDP间的直接信任关系用户A在IDP2上已进行身份注册,IDPl与IDP2位于同一信任域,两者之间具有直连信任路径从而具有直接信任关系,IDMC判断IDP2是用户A已进行身份注册的IDP并查询到IDPl与IDP2之间的直接信任关系,选择IDP2为备用认证点。(2)通过位于不同信任域内IDP间的直接信任关系
用户A在IDP4上已进行身份注册,IDPl与IDP4虽然位于不同的信任域,两者之间具有直连信任路径从而具有直接信任关系,IDMC判断IDP4是用户A已进行身份注册的 IDP并查询到IDPl与IDP4之间的直接信任关系,选择IDP4为备用认证点。(3)通过位于不同信任域的交集身份提供者构建起的间接信任路径用户A在IDP4上已进行身份注册,IDPl与IDP4位于不同的信任域,两者所在信任域具有交集即IDP3,IDPl与IDP4经由IDP3作为中间节点具有间接信任关系(即 IDP1-IDP3-IDP4的路径构成的间接信任关系),IDMC判断IDP4是用户A已进行身份注册的IDP并查询到IDPl与IDP4之间的间接信任关系,选择IDP4为备用认证点。(4)通过不同信任域内与其它身份提供者间的直连信任路径构建起的间接信任路径用户A在IDP7上已进行身份注册,IDPl与IDP7位于不同的信任域,两者所在信任域没有交集,IDPl与IDP7经由IDP4作为中间节点以及IDPl与IDP4的直连信任路径以及IDP4与IDP7的直连信任路径,从而具有间接信任关系(即IDP1-IDP4-IDP7的路径构成的间接信任关系),IDMC判断IDP7是用户A已进行身份注册的IDP并查询到IDPl与IDP7 之间的间接信任关系,选择IDP7为备用认证点。(5)通过不同信任域内信任域间的交集身份提供者和与其它身份提供者间的直连信任路径构建起的间接信任路径用户A在IDP7上已进行身份注册,IDPl与IDP7位于不同的信任域,两者所在信任域没有交集,IDPl与IDP7经由IDP3和IDP4作为中间节点,以及IDPl与IDP3的直连信任路径,以及位于同一信任域内的IDP3与IDP4的直连信任路径,以及位于不同信任域内的 IDP4与IDP7的直连信任路径从而具有间接信任关系(即IDP1-IDP3-IDP4-IDP7的路径构成的间接信任关系),IDMC判断IDP7是用户A已进行身份注册的IDP并通过IDPl与IDP7 之间的间接信任关系,选择IDP7为备用认证点。在本例中,IDMC管理下的IDP之间可建立起信任关系,用户在请求服务的SP的 IdP上没有进行身份注册,但只要该IDP与IDMC管理下的与此IDP具有信任关系的另一 IDP 具有信任关系,即认证通过,直接从SP获得所请求的服务。本例为用户身份验证提供了一种新的方式,使用户可以实现单点快速登录。实施例二 实施例二中,身份管理中心所维护的身份提供者根据需要与所述身份管理中心建立直连信任路径,并且所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述身份管理中心具有直接或者间接信任关系的身份提供者作为备用认证点。身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。如图3所示,具体包括以下步骤步骤301,用户向SP请求服务;
11
用户可以在身份管理中心注册一个帐号(可称为IdMC账号),用户在向SP发起请求时,携带此帐号。步骤302,SP请求其所属的IdM系统的IdP (受访地IdP)对用户进行身份认证。SP发起请求时携带此用户的IdMC账号。步骤303,用户未在此受访地IdP上进行身份注册的情况下(例如受访地IdP与用户已进行身份注册的IdP不在同一信任域中),受访地IdP无法识别IdMC账号,将此请求消息发送至IdMC (例如通过发现或重定向机制发送)。 步骤304,IdMC收到此消息后,根据IdMC账号查找该用户的数据库,在所述用户已经进行身份注册的IdP中选择一个与IdMC具有直接信任关系或者间接信任关系的IdP作为备用认证点。身份管理中心所维护的部分或全部身份提供者属于不同的信任域;身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。步骤305-308与步骤105至108相同。下面以具体的实施例二详细说明本实施例二。图4示出了本具体实施例中IDMC维护的各SP及IDP的关系以及IDP之间的关系。 IDMC维护的SP中包括SP1、SP2、SP3,不同SP具有提供不同认证服务的身份提供者(IDP)。 用户A在IDMC管理系统中注册有IDMC标识即IDMC-ID (例如为5784939238990),用户A还在每个SP上注册有身份标识。SPl提供的服务为电子邮箱服务,为SPl提供身份认证功能的IDP1,IDP2,IDP3属于同一信任域,用户A在此SPl中的标识为zhangsan@126. com。SP2 提供的服务为移动电话服务,为SP2提供身份认证功能的IDP3、IDP4、IDP5、IDP6属于同一信任域,用户A在SP2中的标识为手机号码(130XXXXXXXX)。SP3所提供的服务为即时通信服务(例如QQ、MSN等即时通信工具),为SP3提供身份认证功能的IDP6、IDP7、IDP8属于同一信任域,用户A在SP3中的标识为即时通信帐号。同一信任域内的两两IDP具有直连信任路径。用户A根据需要在IDMC管理的一个或多个IDP上进行身份注册,图中表示各IDP 的圆有填充时表示此用户已在此IDP上进行了身份注册,无填充时表示此用户未在此IDP 上进行了身份注册。IDP根据需要与IDMC建立直连信任路径,图中表示IDP的圆外加有正方形框的表示此IDP与IDMC建立有直连信任路径。用户A使用在IDMC注册的帐号IdMC_ID访问SP1,SPl向其身份提供者IDPl请求对用户A进行认证,因用户A未在IDPl上进行身份注册,IDPl无法完成认证,IDPl已与IDMC 建立起直连信任关系,通过一定的发现或重定向机制发送消息至IDMC,IDMC通过IDMC-ID 在用户A已进行身份注册的其它IDP中选择一个与IDMC具有直接或间接信任关系的IDP 作为备用认证点,生成认证令牌后,向备用认证点发送认证令牌,备用认证点对用户A认证通过后,向IDPl发送认证成功结果,IDPl通知SPl向用户A提供服务。IDMC选择备用认证点的方式可以是以下方式中的一种(1)通过与IDMC的直接信任关系用户A在IDP5上已进行身份注册,并且IDP5与IDMC建立具有直连信任路径具有直接信任关系,IDMC判断IDP5是用户A已进行身份注册的IDP并查询到IDP5与本身之间的直接信任关系,选择IDP5为备用认证点。(2)通过IDPl与IDMC的间接信任关系,并且以与IDPl位于同一信任域的其他IDP 作为中间节点用户A在IDP2上已进行身份注册,IDP3与IDMC建立具有直连信任路径,IDP3 与IDPl位于同一信任域具有直连信任路径,所以IDP2经由IDP3以及IDP2与IDP3的直连信任路径,以及IDP3与IDMC建立具有直连信任路径与IDMC具有间接信任关系(即 IDP2-IDP3-IDMC路径构成的间接信任关系),IDMC判断IDP2是用户A已进行身份注册的 IDP并查询到IDP2与本身之间的间接信任关系,选择IDP2为备用认证点。(2)通过IDPl与IDMC的间接信任关系,并且以与IDPl位于不同信任域的其他IDP 作为中间节点用户A在IDP7上已进行身份注册,IDP7与IDPl位于不同信任域,IDP3与IDMC 建立具有直连信任路径,IDP3与IDP6位于同一信任域,IDP6与IDP7位于同一信任域, IDP6为两个信任域的交集,所以IDP7经由IDP7与IDP6的直连信任路径,以及IDP6与 IDP3的直连信任路径,IDP3与IDMC的直连信任路径能够与IDMC建立起间接信任关系(即 IDP7-IDP6-IDP3-IDMC路径构成的间接信任关系),IDMC判断IDP7是用户A已进行身份注册的IDP并查询到IDP7与本身之间的间接信任关系,选择IDP7为备用认证点。本例中,IDP与IDMC之间可建立起直连信任路径,IDMC则作为信任中介,用户在请求服务的SP的IdP上没有进行身份注册,但只要另一用户已进行身份注册的IDP与IDMC 具有直接或间接信任关系,即认证通过,直接从SP获得所请求的服务。本例为用户身份验证提供了一种新的方式,使用户可以实现单点快速登录。实施例三实施例二中结合了实施例一和实施例二的应用条件。所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点。两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。本实施三中,根据两个IDP间的直接信任关系选择备用认证点的方法与实施例中描述的相同,此处不再赘述。下面以具体实施例三详细说明本实施例三。图5示出了本具体实施例中IDMC维护的各SP及IDP的关系以及IDP之间的关系。 IDMC维护的SP中包括SP1、SP2、SP3,不同SP具有提供不同认证服务的身份提供者(IDP)。 用户A在IDMC管理系统中注册有IDMC标识即IDMC-ID (例如为5784939238990),用户A还在每个SP上注册有身份标识。SPl提供的服务为电子邮箱服务,为SPl提供身份认证功能的IDP1,IDP2,IDP3属于同一信任域,用户A在此SPl中的标识为zhangsan@126. com。SP2 提供的服务为移动电话服务,为SP2提供身份认证功能的IDP4、IDP5属于同一信任域,用户
13A在SP2中的标识为手机号码(130XXXXXXXX)。SP3所提供的服务为即时通信服务(例如 QQ、MSN等即时通信工具),为SP3提供身份认证功能的IDP6、IDP7、IDP8属于同一信任域, 用户A在SP3中的标识为即时通信帐号。同一信任域内的两两IDP具有直连信任路径。用户A根据需要在IDMC管理的一个或多个IDP上进行身份注册,图中表示各IDP 的圆有填充时表示此用户已在此IDP上进行了身份注册,无填充时表示此用户未在此IDP 上进行了身份注册。IDP根据需要与其它IDP建立直连信任路径,图中两IDP间的连接线表示此两IDP 建立了直连信任路径。IDP根据需要与IDMC建立直连信任路径,图中表示IDP的圆外加有正方形框的表示此IDP与IDMC建立有直连信任路径。用户A使用在IDMC注册的帐号IdMC_ID访问SP1,SPl向其身份提供者IDPl请求对用户A进行认证,因用户A未在IDPl上进行身份注册,IDPl无法完成认证,通过一定的发现或重定向机制发送消息至IDMC,IDMC通过IDMC-ID在用户A已进行身份注册的其它 IDP中选择一个与IDPl具有直接或间接信任关系的IDP作为备用认证点,生成认证令牌后, 向备用认证点发送认证令牌,备用认证点对用户A认证通过后,向IDPl发送认证成功结果, IDPl通知SPl向用户A提供服务。IDMC选择备用认证点的方式可以是以下方式用户A在IDP8上已进行身份注册,IDPl与IDMC不具有直连信任路径,但IDPl与 IDP4具有直连信任路径,IDP4与IDMC具有直连信任路径,IDP7与IDMC具有直连信任路径, IDMC可以作为连接IDP4和IDP7的中间节点,IDP7与IDP8具有直连信任路径,所以IDMC 判断IDP8是用户A已进行身份注册的IDP并查询到IDPl与IDP8具有间接信任关系,即 IDP1-IDP4-IDMC-IDP7-IDP8路径构成的间接信任关系,选择IDP8为备用认证点。实施例三结合了实施例一和实施例二的优点,使IDMC选择备用认证点的方式更多样化。以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、 等同替换、改进等,均应包含在本发明的权利要求范围之内。
权利要求
1.一种实现身份管理互操作的方法,其特征在于,包括用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,身份管理中心选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点,所述备用认证点对所述用户进行成功认证后由所述服务提供者为所述用户提供服务。
2.如权利要求1所述的方法,其特征在于,所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点。
3.如权利要求2所述的方法,其特征在于,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。
4.如权利要求1所述的方法,其特征在于,所述身份管理中心所维护的身份提供者根据需要与所述身份管理中心建立直连信任路径,并且所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述身份管理中心具有直接或者间接信任关系的身份提供者作为备用认证点。
5.如权利要求4所述的方法,其特征在于,身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。
6.如权利要求1所述的方法,其特征在于,所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点。
7.如权利要求6所述的方法,其特征在于,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。
8.一种实现身份管理互操作的系统,其特征在于,包括身份管理中心;所述身份管理中心,用于管理多个身份提供者;还用于在用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点。作为备用认证点的身份提供者,用于对所述用户进行成功认证后通知所述服务提供者所属身份提供者;所述服务提供者所属身份提供者,用于收到所述备用认证点的通知后,通知所述服务提供者为用户提供服务。
9.如权利要求8所述的系统,其特征在于,所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径;所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点;其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。
10.如权利要求8所述的系统,其特征在于,所述身份管理中心所维护的身份提供者,用于根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心,还用于在所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径的情况下选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;其中,身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。
11.如权利要求8所述的系统,其特征在于,所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。
全文摘要
本发明提供了一种实现身份管理互操作的方法及系统,此方法包括用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,身份管理中心选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点,所述备用认证点对所述用户进行成功认证后由所述服务提供者为所述用户提供服务。本发明可以在不需要改变现有身份管理系统内部认证方法的情况下,实现不同信任域之间的信任关系互操作,方便用户使用。
文档编号H04L29/06GK102215107SQ20101016121
公开日2011年10月12日 申请日期2010年4月12日 优先权日2010年4月12日
发明者林兆骥, 袁泉, 陈剑勇 申请人:中兴通讯股份有限公司