转发所述检验请求至所述IDM组件。
[0023]依照本发明的另一个方面提供了一种验证具有多个IDM组件的网络中的客户装置的方法。所述方法包括,在所述客户端装置,使用公布-预订消息模式公布验证请求至所述网络。所述客户装置从所述网络中的IDM组件中的一个接收验证启动消息,以及协商来自所述IDM组件的验证信息的接收,所述验证信息可选地包括断言令牌。所述客户装置可以从所述网络中的服务提供者请求服务以及发送所述断言令牌至所述服务提供者以提供对于服务递送的授权(要求权的证明)。
[0024]依照本发明的另一个方面提供了一种验证具有多个IDM组件的网络中的客户装置的方法。所述方法包括,在所述IDM组件中的一个,预订所述网络中的验证请求。所述IDM组件接收由客户装置公布的验证请求,启动与所述客户装置的协商,以及验证所述客户装置,在所述协商之后可选地发送断言令牌至所述客户装置。
[0025]所述IDM组件可以从所述网络中的服务提供者(202)接收检验请求,所述检验请求包括所述客户装置的标识符或者所述断言令牌,以及检验至所述服务提供者的断言令牌或者所述客户装置的验证。作为预订所述网络中公布的检验请求的结果,所述检验请求可以被接收,在此情形下,从所述服务提供者接收的所述检验请求是由所述服务提供者公布的检验请求。
[0026]所述方法可以包括所述IDM组件在所述网络中的代理者预订所述验证请求,以及从所述代理者接收所公布的验证请求。
[0027]所述方法可以包括在所述网络中的IDM组件之间分配信息。
[0028]依照本发明的另一个方面提供了一种在具有多个IDM组件的网络中提供服务的方法。所述方法包括,在服务提供者,从所述网络中的客户装置接收服务请求,所述服务请求包括所述网络中IDM组件中的一个的标识和断言令牌和/或所述客户的验证。所述服务提供者发送检验请求至所述IDM组件,从所述IDM组件接收所述客户验证和/或断言令牌的检验,以及递送所请求的服务至所述客户装置。
[0029]依照本发明的另一个方面提供了一种在具有多个IDM组件的网络中提供服务的方法。所述方法包括,在服务提供者,从所述网络中的客户装置接收服务请求,所述服务请求包括所述客户的验证和/或断言令牌。所述服务提供者公布检验请求至所述网络中,从所述IDM组件中的一个接收所述客户验证和/或断言令牌的检验,以及递送所请求的服务至所述客户装置。
[0030]依照本发明的另一个方面提供了一种在具有分布式IDM组件的网络中代理验证请求的方法。所述方法包括在代理者从所述网络中的IDM组件接收对验证请求的预订。所述代理者进一步接收由所述网络中的客户装置公布的验证请求,确定所述预订是否匹配所公布的验证请求,以及转发所述验证请求至所述IDM组件。所述方法可以进一步包括所述IDM组件将接收的验证请求与预订的IDM组件的性能匹配。
[0031]依照本发明的另一个方面提供了一种验证在具有多个IDM组件的网络中的客户装置的方法。所述方法包括所述IDM组件中的一个或更多个预订由客户装置公布的验证请求,以及所述客户装置公布验证请求至所述网络中。所述方法进一步包括所述网络或者代理者选择最适当的IDM组件以处理所公布的验证请求以及转发所述验证请求至所选择的IDM组件,以及操作所选择的IDM组件来与所述客户装置协商以及验证所述客户装置。
[0032]选择(404)最适当的IDM组件以处理所公布的验证请求以及转发所述验证请求至所选择的IDM组件的步骤可以在所述网络中的代理者被实施。所述一个或更多IDM组件可以在所述代理者预订验证请求。所述代理者可以将接收的验证请求与预订的IDM组件的性能匹配。
[0033]所述网络可以包括多个代理者,以及所述方法可以进一步包括监视通过所有所述代理者和/或IDM组件的业务,识别什么时候至一个或者更多IDM组件的业务超过了预定的阈值,以及供应另外的IDM组件。
[0034]所述客户装置的验证可以包括从所述IDM组件发送断言令牌至所述客户装置。所述方法可以进一步包括所述客户装置请求来自所述网络中的服务提供者(202)的服务(409)以及发送所述断言令牌至所述服务提供者以提供对于服务递送的授权。
[0035]所述服务提供者可以公布检验请求至所述网络。一个或更多IDM组件可以预订检验请求。可以选择处理所述检验请求的最适当的IDM组件,所述检验请求被转发至所选择的IDM组件;以及所选择的IDM组件被操作以与所述服务提供者协商以及检验至所述服务提供者的所述断言令牌。
[0036]本发明还提供一种计算机程序,其包括计算机可读代码,所述代码当在装置上运行时促使所述装置表现为以上所描述的装置。
[0037]本发明还提供一种计算机程序,其包括计算机可读代码,所述代码当在装置上运行时促使所述装置执行以上所描述的方法。
[0038]本发明还提供一种存储器,其包括如以上描述的计算机程序以及计算机可读部件,所述计算机程序存储在所述部件上。所述存储器可以以计算机程序产品的形式被布置。
[0039]本发明还提供一种容器或者载体,其包括以上所描述的客户装置。
【附图说明】
[0040]现在将仅以示例的方式以及参考附图来描述本发明一些优选的实施例,其中:
[0041]图1是具有集中式身份管理提供者的网络的元件的示意图;
[0042]图2是具有分布式IDM系统的网络的元件的示意图;
[0043]图3是具有备选的检验路径的类似于图2的网络的元件的示意图;
[0044]图4是示出用于图3的网络中服务供应的实现的示例工作流程的信令图;
[0045]图5A和5B是示出客户装置的备选实现的示意图;
[0046]图6A和6B是示出IDM组件的备选实现的示意图;
[0047]图7A和7B是示出服务提供者的备选实现的示意图;
[0048]图8A和8B是示出会合(RV)点的备选实现的示意图;以及
[0049]图9是示出包括客户装置的载体的示意图。
【具体实施方式】
[0050]图2是具有分布式身份管理(IDM)系统的网络200的元件的示意图。所述分布式IDM系统利用消息导向的构架,比如公布-预订模式。公布/预订是由公布者(发送者)和预订者(接收者)组成的消息模式。公布者公布消息(信息)而不知道谁将消费消息:消息不被发送至特定接收者。预订者基于特定的主题或兴趣来消费消息。许多公布/预订范例包括公布者与预订者之间中的代理者以实行消息的过滤。预订者向代理者登记,所述代理者一般被称为会合(RV)点。
[0051 ]图2的网络200包括客户201以及一个或更多服务提供者202、203。另外,网络包括多个IDM组件204、205、206和一个或更多RV点(代理者)207、208。
[0052]IDM组件204-206共同地表现分布式验证提供者。单独的IDM组件204、205可以预订S1RV点207、208中的一个或更多以确认这些IDM组件可用来提供对于一些或者所有用户的验证。例如,一个IDM组件204可以可用来验证具体区域中的用户,或者操作具体验证协议的用户,或者甚至直到预先确定的最大量的多个用户。发送至RV点207、208的预订包括可以包括任何此类约束的细节。
[0053]当用户希望访问服务,客户201公布对于验证的请求S2。请求可以包括客户和/或用户的身份,以及还可以包括所述服务(对于所述服务,验证被要求)的指示。公布的请求由至少一个RV点(代理者)207接收,其登记请求。将领会,验证能够被应用至涉及能够被验证的装置的任何东西:示例包括SIM(以任何形式)、预订或者单独的人或者物,但不限于此类实体。
[0054]RV 207维持来自一个或更多IDM组件的预订,以及搜索在预订的要求(例如,用户位于的区域)与验证请求的细节之间的匹配。当匹配被找到,RV 207委派客户的希望请求至IDM组件中的一个204。IDM组件204直接与客户201通信以及执行协商和验证操作S3,促使(如果成功)至客户201的断言令牌的递送。将领会,可以存在一个或许多潜在的IDM组件204、205,它们所有都有能力解决相同的验证请求。这确保身份操作的高可用性。如果必需,RV 207挑选一个IDM组件(在许多登记的预订者间)以用于具体客户请求。在多于一个IDMRV接收验证请求的相同公布的情况中,它们可以在它们自身间协商以选择IDM组件。
[0055]在完成验证过程后,客户201接收一些形式的验证信息,其可以包括断言令牌。客户形成服务请求S4至服务提供者(身份消费者)202中的一个,使用断言令牌作为身份的证明。服务又检验断言