专利名称:用于身份网络中隐私管理的方法、用于其的物理实体和计算机程序的制作方法
用于身份网络中隐私管理的方法、用于其的物理实体和计
算机程序本发明涉及身份网络中的隐私管理。具体而言,本发明涉及用于执行身份网络中的隐私管理的方法、配置用于其的物理实体及包括配置成在计算机上执行时使得所述计算机执行上述方法的指令的计算机程序。本发明可显然用于管理使用计算机网络中提供的服务的系统或用户的身份及与其相关联的属性。在电信和计算机网络中,身份网络包括身份提供商和多个服务提供商,形成了有时所谓的信任圈。主体(principal)是用户的更常规术语,是其身份能够进行认证的系统实体。主体例如可以是单独的用户、一组个体、诸如企业等组织实体、或网络组件。身份提供商是配置成代表主体管理身份信息的系统实体。身份提供商能够将主体认证的断定提供到服务提供商。因此,在主体例如想访问服务提供商提供的服务时,服务提供商能够在使得服务提供商所提供的服务能够由主体使用前,求助于身份网络的身份提供商进行所述主体的认证。例如,自由联盟(Liberty Alliance) (http//www. projectliberty. org/或美国新泽西州皮斯卡塔韦(Piscataway)的 Liberty Alliance Project c/o IEEE-ISTO)发布了一组规范,公开了用于在电信和计算机网络中基于身份管理来提供服务的框架。这些规范之一是身份联合框架(Identity Federation Framework, ID-FF),该框架定义用于对主体跨多个服务提供商进行单次登入(sign-on)认证的方法。换而言之,通过在访问在多个网站提供的服务之前认证一次,此类框架使得用户能够访问跨诸如因特网等计算机网络提供的服务。自由联盟发布的又一规范或框架是自由身份Web服务框架(Liberty Identity Web-Services Framework)规范集合,或简称为ID-WSF。除ID-FF的单次登入服务外, ID-WSF使得一些服务提供商能够存储主体的属性,其中,属性与主体的身份有关,并且还使得由也称为消费者或web服务消费者(WSC)的其它服务提供商能够检索这些属性中的一些属性。在符合ID-WSF规范的身份网络中,当服务提供商具有与主体相关联的一些信息或资源时,在主体同意的条件下,信息或资源可能能够与其它服务提供商共享。在此示范身份网络实现中,发现服务可由服务提供商用于注册与主体相关联的身份资源,以便其它服务提供商或WSC能够发现和使用它们。在本上下文中,主体应能够控制服务提供商上存储的或由其提供的且与主体相关联的哪些资源能够或不能够由其它服务提供商共享或使用。从主体的角度而言,此类控制任务一般称为隐私管理。换而言之,隐私是与主体的偏好相符的主体信息的适当处理。服务提供商负责满足主体的隐私设置和偏好。考虑到减少主体上的操作负担的需要,合乎需要的是提供使得用户或主体能够方便地管理身份网络内其隐私设置的方法、物理实体和计算机程序。 [发明内容]为了满足或至少部分满足这些目的,在独立权利要求中定义了控制器、方法和计算机程序。在从属权利要求中定义了有利的实施例。在一个实施例中,一种控制器用于至少一个主体的身份网络中的隐私管理。在本上下文中,身份网络是至少包括身份提供商、发现服务提供商和主体能够与其进行事务的服务提供商的计算机网络;主体是其身份能够被认证的系统实体。身份资源是与身份或一组身份有关的数据,或者是与身份或一组身份相关联的服务。控制器配置用于查询身份网络的发现服务提供商以获得与身份网络中可用的且与主体的身份相关联的身份资源有关的信息。控制器还配置用于从发现服务提供商接收可对寻址身份网络中可用的且与主体的身份相关联的身份资源的属性有用的信息,此处称为寻址信息。此外,控制器还配置用于基于寻址信息,与服务提供商交互以创建、读取、修改或删除管控身份网络中可用的且与主体的身份相关联的身份资源的使用的属性。所述属性在此称为隐私属性。在本上下文中,控制器可以是服务器计算机,或者可以在服务器计算机上被主管。 身份提供商是指派到身份网络内系统实体的角色。身份提供商代表主体存储和管理身份信息,并且提供断定以认证主体(在诸如服务提供商等其它提供商请求如此做时)。系统实体是计算机系统或网络系统的要素,它在计算机实现的过程(例如对某个角色适当的过程) 能够在该要素上操作的意义上能够是活动的。身份并且更具体地说主体的身份是主体的特性之一,它标识主体,或者以某种方式映射到主体以标识主体。发现服务提供商是指派到身份网络内系统实体的角色。发现服务提供商能够识别服务,即发现服务,或更一般地说,识别身份网络中服务提供商上或从所述服务提供商可用的资源。服务例如可以是可发现的,这是因为它已指派有服务类型统一资源标识符(URI)。 发现服务提供商用于识别资源,包括与主体的身份相关联的服务和数据。服务提供商是指派到系统实体的角色,它一般涉及提供与主体有关或用于主体的服务。服务的提供是一种技术和经济活动,它例如可导致通过销售的实物的所有权、计算机配置的技术特性的修改等。服务可以是web服务。认证是以指定或理解的信任度确认诸如主体等系统实体的断定的身份的过程。管控身份资源的使用的属性是指定与身份资源相关联的许可的属性,即,授予系统实体的与身份资源上可执行的或关联于身份资源可执行的操作有关的特权。控制器提供控制点以在中央管理身份网络中可用的且与主体相关联的身份资源有关联的隐私设置。因此,想知道哪些信息存储在身份网络的哪个系统实体上的用户(或更一般来说,主体)无需搜查身份网络内每个单一系统实体或服务提供商。相反,由于有了控制器,能够获得、即检索或读取并控制其身份资源的视图。也就是说,控制器配置成查询身份网络的发现服务提供商以收集可对寻址与主体相关联的身份资源有用的寻址信息。之后,交互可基于寻址信息、即使用寻址信息来进行,以便管理与身份网络内主体相关联的身份资源的隐私属性或设置。下述内容可有助于完全理解本发明提出和解决的问题。基于例如自由身份治理框架(Liberty Identity Governance Framework, IGF)(参阅从 http://www.projectliberty. org 可获得的自由联盟项目,An Overview of the Id Governance Framework,版本 1. 0,2007,文件名overview-id-governance-framework-v 1. 0. pdf),管理与主体相关联的身份资源有关的隐私策略的解决方案能够是提供某些属性的保管人,以便提供允许属性的用户建立一些隐私偏好并因此允许形成隐私策略的web门户。然而,这将要求用户访问每个服务提供商以输入与服务提供商上主管的身份资源相关联的其隐私偏好。这将也要求用户适应这些不同的web门户的每个门户以管理网络内分散的属性。另外,不能保证能够成功识别和控制与一些身份资源相关联且用户未注意到的一些属性。在本发明中,控制器提供中央化控制点以获得身份网络中可用且与主体相关联的身份资源的相符视图。身份网络中用于分布式隐私管理的控制点因此提供到用户(或更一般地说,主体)。本发明未将其应用限于自由联盟(Liberty Alliance)框架。它可在其它身份网络中使用和应用,例如计算机实现的社交网络或基于例如但不限于所谓的OpenID或 OpenSocial框架等其它身份框架的身份网络。OpenID是因特网上用于以用户为中心的身份的框架,由总部在美国圣拉蒙(San Ramon)的OpenId inundation来维护(Slhttp:// openid.net/)。OpenSocial提供一组应用编程接口(API)以帮助基于web的社交网络应用共享其社交数据,并且由总部在美国旧金山的OpenSocial Rnmdation来维护(另见 http://www. opensocial. org/)0在一个实施例中,控制器配置成查询发现服务提供商、接收寻址信息、以及与服务提供商交互以管理与主体相关联的隐私属性,而不从主体接收指它进行此操作的特定请求。用于隐私管理的规则在此实施例中存储在控制器上,所述存储作为与主体基于其偏好而定义这些准则的以前通信的结果,或者作为控制器中默认配置的结果。这使得能够执行隐私管理而无需主体干预或更少的干预。在一个实施例中,控制器还配置用于在查询前从主体接收检索与身份网络中可用且与主体的身份相关联的身份资源有关的信息的请求。这使得控制器能够响应主体的明确请求,在主体请求时代表主体收集寻址信息和管理隐私设置。在一个实施例中,控制器还配置用于从身份网络的至少一个服务提供商获得与至少一个服务提供商中与主体的身份相关联的身份资源的使用有关的信息,此处称为使用信肩、ο此实施例使得主体能够获得与其身份相关联的身份资源的动态视图。可获得的视图在以下意义上是动态的主体能够获得有关身份资源已由哪些服务提供商如何使用和何时使用(即在至少某个时间期期间何时使用)的信息。主体因此能够收集有关身份资源的使用的信息(只要所述使用涉及它们)。主体随后可因为和/或基于此知识,决定是否采取措施以修改其隐私设置。使用的历史检索可在控制器从主体接收明确请求时执行。备选的是,控制器可基于与主体的初始交互或基于默认设置,事先配置成检索身份网络内的且与主体相关联的身份资源的使用历史。使用信息可明显包括与以下一项或多项有关的信息身份资源的类型、身份资源的属性值、对身份资源的访问的时间戳以及访问、已访问、使用或已使用身份资源或预订或已预订身份资源的服务提供商的标识符。本发明还涉及由控制器为至少一个主体所执行的用于身份网络中的隐私管理的
6方法。该方法包括以下步骤查询身份网络的发现服务提供商以获得与身份网络中可用的且与主体的身份相关联的身份资源有关的信息。该方法还包括以下步骤从发现服务提供商接收可对寻址身份网络中可用且与主体的身份相关联的身份资源的属性有用的信息,此处称为寻址信息。该方法还包括以下步骤基于寻址信息,与服务提供商交互以创建、读取、 修改或删除管控身份网络中可用且与主体的身份相关联的身份资源的使用的属性,所述属性在此称为隐私属性。本发明还涉及一种包括指令的计算机程序,所述指令配置成在计算机或上述控制器上执行时分别使得所述计算机或所述控制器执行上述方法。本发明还涉及包括此类计算机程序的计算机程序产品或计算机可读媒体。现在将连同附图,描述本发明的实施例,其中
图1示意示出本发明的一个实施例中涉及控制器的网络配置;图2是示出根据本发明的一个实施例的方法中由控制器12执行的步骤的流程图;图3示意示出本发明的一个实施例中的控制器,其明显配置用于执行图2所示的方法;图4是本发明的方法的一个实施例的流程图;图5示意示出本发明的一个实施例中的控制器,其明显配置用于执行图4所示的方法;图6是本发明的方法的一个实施例的流程图;图7示意示出本发明的一个实施例中的控制器,其明显配置用于执行图6所示的方法;图8是本发明的方法的一个实施例的流程图,带有获得有关与主体的身份相关联的身份资源的使用的使用信息的步骤;图9示意示出本发明的控制器12的一个实施例,其明显配置用于执行图8所示的方法;图IOa和IOb是本发明的一个实施例的顺序图,它们可分别源于参照图4和6及参照图5和7所述实施例的组合;图11是本发明的一实施例的顺序图,带有身份资源使用检索;图12是示出本发明的一个实施例中充当web服务消费者(WSC)的服务提供商向充当web服务提供商(WSP)的服务提供商请求使用身份资源的顺序图;图13是与WSP上访问的身份资源信息有关的日志的结构的示例;图14是示出在一个实施例中使用追踪操作来检索身份资源使用的历史的顺序图;图15是示出在一个实施例中设置隐私偏好的顺序图;图16是示出在一个实施例中由WSP中的控制器来设置隐私偏好的顺序图;以及图17是示出一个实施例中控制器查询与身份资源相关联的隐私策略的顺序图。[具体实施方式
]现在将连同特定实施例描述本发明。可注意到,这些特定实施例用于向技术人员提供更好的理解,而无意以任何方式限制由随附权利要求定义的本发明的范围。图1示意示出根据本发明一实施例的涉及控制器12的网络配置。控制器12也能够称为隐私控制器12。身份网络10或信任圈包括控制器12、身份提供商14、发现服务(此)提供商16 及服务提供商18。身份网络10的每个要素可形成服务器计算机形式的网络节点。如上所述,身份提供商14配置成代表主体20来存储和管理身份信息,并且提供断定以认证主体 20 (当诸如服务提供商18等其它提供商要求如此做时)。DS提供商16能够识别(即发现) 身份网络10中服务提供商18上或从服务提供商18可用的身份资源。服务提供商18负责提供与主体20有关或用于主体20的服务。主体20与服务提供商18之间的双箭头示出事务能够在主体20与服务提供商18之间进行。虽然在图1中只示出一个服务提供商18,但在身份网络10中可提供多于一个服务提供商18。服务提供商18可例如是web服务提供商。同样地,虽然仅一个主体20示为与身份网络10的服务提供商18交互,但多于一个主体20可与身份网络10的服务提供商18交互。DS提供商16例如可在电信运营商所管理的网络节点中被主管。在一个实施例中, DS提供商16可与身份提供商14并置在一起。控制器12配置用于查询(s2)DS提供商16以获得有关身份网络10中可用且与主体的身份相关联的身份资源的信息。在响应中,DS提供商16向控制器12发送(s4)可对寻址身份网络10中可用且与主体的身份相关联的身份资源的属性有用的寻址信息。随后, 控制器12能够使用寻址信息与服务提供商18交互(s6),以创建、读取、修改或删除管控身份网络10中可用且与主体的身份相关联的身份资源的使用的隐私属性。虽然图1中未示出,但以下交换或交互(i)到(iv)也可在身份网络10中进行(i)主体20和控制器12可进行通信,因为控制器12可使得信息可用于主体20。 在响应中,主体20可指示控制器12采取进一步措施,例如查询DS提供商16或与服务提供商18交互。如果主体是与计算机交互的用户,或者关联于与计算机交互的用户,则这可采用计算机显示器上生成的图形用户界面的形式。(ii)诸如web服务提供商(WSP)等服务提供商18可向DS提供商16通知,它存储有关主体20的身份属性。这是注册操作。也就是说,身份网络10的服务提供商18可向 DS提供商16注册,或在一个实施例中必须向DS提供商16注册其身份资源。(iii)诸如web服务消费者(WSC)等服务提供商18可查询DS提供商16以发现存储有关主体的身份的一些身份资源的服务提供商18。WSC还可要求DS提供商16提供证书以访问身份资源。这是发现操作。(iv)诸如web服务消费者(WSC)等服务提供商可使用检索到的证书来尝试访问服务提供商18中存储的或由其提供的身份资源(或其属性)。这是查询操作。在一个实施例中,控制器12充当符合Liberty的服务提供商18,如身份网络10 或信任圈(CoT) 10内的web服务提供商(WSP)。因此,控制器12需要代表主体20针对CoT 10被认证以便获得对CoT实体的访问权。所述认证例如可遵循Liberty ID-FF(Web重定向,SOAP简档等)或Liberty ID-WSF(认证服务或单次登入服务)中描述的任何方法之一来执行。也可使用其它认证方法。因此,控制器12获得到DS提供商16的端点引用(EPR) 和访问它的证书。此过程有时称为DS自举。图2是示出本发明的方法的一个实施例中由控制器12执行的步骤的流程图。控制器12查询(s2)身份网络10的DS提供商16以获得有关身份网络10中可用且与主体的身份相关联的身份资源的信息。随后,它从DS提供商16接收(s4)可对寻址身份网络10 中可用且与主体的身份相关联的身份资源的属性有用的寻址信息。随后,它可与服务提供商18交互(s6)以创建、读取、修改或删除隐私属性。图3示意示出本发明的一个实施例中的控制器12。控制器12包括分别配置成执行图2所示步骤s2、s4和s6的查询器12a、接收器1 和交互器12c。源于查询器12a的箭头示出查询器1 配置成发送(W)查询到DS提供商16。同样地,到达接收器12b的箭头示出接收器12b配置成从DS提供商16接收(s4)响应查询的寻址信息。如交互器12c 右侧的双箭头所示,从接收器12b到交互器12c的箭头示出交互器12c配置成使用寻址信息与服务提供商18交互(s6)。在步骤s2和s4的一个实施例中,控制器12为主体20使用空查询来查询(s2)或者配置成查询(W)DS提供商16,这导致来自DS提供商16的回复,包括可对寻址与服务提供商18中主体20相关联的身份资源的可用属性有用的信息。该信息随后变得可用,由控制器I2呈现或发送以便由主体20使用。这为最终用户提供用户友好的解决方案,以便管理沿多个网络实体分散的其身份有关信息的隐私方面,并且同时它将实现影响降到最低。用户无需为了知道存储了什么信息而要搜查存储有关它们的信息的每一个服务提供商18。在一个实施例中,控制器12在能够执行步骤s2之前,需要在信任圈10内被认证。 做出必要改变后,这适用于本发明的其它实施例。图4是根据本发明的方法的一个实施例的流程图,它不同于图2所示的流程图,因为在查询(W) DS提供商16的步骤之前,控制器12接收(si)来自主体20的请求。它是检索有关身份网络10中可用且与主体的身份相关联的身份资源的信息的请求。图5示意示出本发明的一个实施例中的控制器12,该控制器与图3所示控制器12 不同,因为还提供第一接收器12d以执行如图4所示的接收步骤Si。图3的接收器12b在图5中称为第二接收器12b。图4和5所示实施例使得主体20能够知道其身份资源在身份网络10内何处存储, 即,主体能够从何处获得其身份资源(即,与其身份相关联的身份资源)的快照。图6是本发明的方法的一个实施例的流程图,该实施例不同于图2所示的实施例, 因为在接收s4与交互s6的步骤之间,还提供了至少两个步骤。即,执行使得寻址信息可用于主体20的步骤s5a和从主体20接收创建、读取、修改或删除隐私属性的请求的步骤s5b。 随后,控制器12基于步骤s5b中从主体20收到的请求,执行与服务提供商交互的步骤s6。图7示意示出配置用于执行图6所示方法的本发明的控制器12的一个实施例。也就是说,公布器1 和第三接收器12f被提供以执行如参照图6所述的步骤sfe和s5b。分别参照图4和6和图5和7所述的实施例可组合。也就是说,包括步骤sl、s2、 s4、s5a、s5b和s6的实施例和包括第一接收器12d、查询器12a、第二接收器12b、公布器12e、第三接收器12f及交互器12c的控制器12的实施例在本发明的范围内。图IOa和IOb 示出与此类实施例有关的顺序图。主体20向控制器12发送(si)请求,以检索与所述主体20相关联且在身份网络 10或信任圈(CoT)IO内存储的身份资源集合的视图(图10,“0检索静态视图”)。随后, 控制器12查询(s2)DS提供商16以了解CoT 10中主体20相关联的所有身份资源(图 10a, " 1 disco: Query”)。这明显可通过使用空查询请求消息来实现。如在Hodges,J.和 Cahill, C. (Eds.)的“Liberty ID-ffSF Discovery Service Specification,,(版本 2· 0, Liberty Alliance Project, 2006 年 7 月,文件名:liberty-idwsf-disco-svc-v2. 0. pdf, 通过 URL http://www. projectliberty. org/可得至Ij,此处称为[LibertyDisco])中所述的,“< 查询 > 请求消息在极少情况下是空的。此类请求指示请求者正在请求所有可用的 ID-WSF EPR,而不考虑安全机制或服务类型。(A<Query>request message is empty in the minimal case. Such a request indicates the requester is requesting all available ID-WSF EPRs, regardless of security mechanisms or service types.)"(第 32 页,第 "3. 3. 2. <Query>Message,,节)。在接收请求后,DS提供商16在内部查找与主体的身份相关联的身份资源的位置 (图10a,“2查找资源”)。因此,DS提供商16向充当WSP的控制器12发送回(s4)响应, 该响应包括可用的身份资源的属性的位置(EPR)(这是寻址信息的特定实施例)和访问它的证书(图10a,“3 disco:QueryResponse") ο控制器12使得此信息可用(s5a)于主体 (或者向主体呈现信息,或者在一个实施例中向主体发送信息)(图10a,“4可用的身份信息”)。步骤“1 disco:Query”、“2 查找资源”和 “3 discoQueryResponse” 因此可建立在 [LibertyDisco]中所述的机制上。随后,主体20可请求进一步的信息,如身份资源的特定属性的当前值。因此,主体 20指定该身份资源,并且指示(s5b)控制器12检索与此身份资源相关联的值(图10b,“5获得有关身份资源的详细信息”)。充当WSC的控制器12使用前一步骤中检索的Era和证书, 查询(s6)存储选定身份资源的WSP(图10b,"6 dst:Query”)。为此,可使用Kellon^ki, S.和 Kainulainen,J,(Eds.)的‘‘Liberty ID-ffSF Data Services Template"(版本 2. 1, Liberty Alliance Pro ject,2006 年 7 月,文件名liberty-idwsf-dst_v2· 1. pdf,通过URL http://www. projectliberty. org/可得到,此处称为[LibertyDST])中所述的自由数据服务模板(Liberty Data Service Template,DST)协议的查询操作。[LibertyDST]是Liberty 协议,其允许WSC访问WSP以便代表主体20来查询、更新或取消主体的数据。在请求到达时,WSP实施隐私策略,并且如果策略允许,则释放请求的信息。换而言之,WSP在它们释放任何身份资源前实施隐私策略(图10b,"7隐私实施和资源值释放”)。 遵循DST协议,响应被发送回控制器12 ( “8 dst QueryResponse”)。最后,控制器12使得信息可用于主体20 (或向主体20呈现信息,或者在一个实施例中,向主体发送信息)(“9 有关身份资源的详细信息”)。随后,主体20可执行有关身份资源的进一步管理操作(“10有关身份资源的管理”),例如更新("11a dst:Update")或取消("lib dst:Delete")信息。这些操作因此可建立在[LibertyDST]中描述的机制上。由于上述操作可基于[LibertyDisco]和[LibertyDST]中所述的机制,因此,本发明的一些实施例可基于现有协议来实现,并且因此易于执行。图8是本发明的方法的一个实施例的流程图,该实施例不同于图2所示的实施例, 因为获得使用信息的又一步骤s7在交互s6的步骤之后提供。步骤s7是从身份网络10的至少一个服务提供商18获得有关所述至少一个服务提供商18中与主体的身份相关联的身份资源的使用的使用信息。获得此类使用信息、或者消费信息,使得主体能够知道与主体相关联的身份资源已如何由服务提供商18使用。主体20能够获知哪些数据已在哪些服务提供商18之间交换。因此,用户无需为了知道正在存储什么信息并且此外哪些实体已请求和检索信息而搜查存储有关它们的信息的每一个服务提供商18。图9示意示出本发明的控制器12的一个实施例,该控制器与图3所示的控制器12 不同,因为提供了获得器12g以执行参照图8所述的步骤S7。图11示出如参照图8和9所述的本发明的实施例的实现的示例,带有身份资源使用/消费检索,即,动态视图检索,其中,主体20检索其身份资源之一的使用历史。此处假设控制器12已获得可对寻址身份网络10或CoT 10中与主体20相关联的身份资源的属性有用的寻址信息。现在,主体20想知道与所述主体20相关联的身份资源之一的使用历史,并且为了该目的,它指定身份资源,并将此信息发送到控制器12 (图11, “0获得使用的历史”)。控制器12随后检索(s7)请求的信息(“1检索使用的历史”),该信息随后变得可用于主体20,或向主体呈现,或者在一个实施例中向主体发送(“2有关使用的历史的详细信息”)。变得可用、呈现或发送的信息可包括有关身份资源类型和值、访问的时间戳及过去已使用该身份资源的WSC的详细信息。进一步的信息在可用时可呈现,如 WSC 18已代表其使用身份资源的主体20 (如果有)、WSC 18所做的隐私承诺或在释放所述信息时WSP 18施加的条件。控制器12可通过不同方式(其在后面也将称为方案)来检索使用历史(图11,步骤1),例如(A)使用如在 Le Van Gong, H. (Ed)的 “Liberty ID-ffSF Accounting Service"(版本 1. 0-03 修订版 5,Liberty Alliance Project, 2007 年 10 月,http:// www. projectliberty. org/,文件名:draft-liberty-idwsf-acct-vl. 0-03. pdf,此处禾尔为 [LibertyAccount])中定义的Liberty ID-WSF记帐服务机制。释放信息的WSP 18充当记帐客户端,并且控制器12充当记帐服务器。通过扩展[LibertyAccoimt]中定义的 < 事件> 复合类型,可定义新事件类型。此新事件类型包括与身份资源的使用有关的信息。此解决方案可使用Liberty框架中定义的机制,并且因此无需扩展或适应。(B)使用如在 Sampo Kellomiki 的"Liberty ID-ffSF Subscriptions and Notifications,,(版本 L 0, Liberty Alliance Project, http://www. pro jectliberty. org/,文件名liberty-idwsf-subs-vl. 0. pdf,此处称为[LibertySubs])中定义的预订 / 通知机制。这些机制使得WSC 18能够预订WSP 18上的不同事件。通常,这些事件与个人信息更新有关,但不排除其它事件。因此,控制器12可预订监护主体的身份资源的任何WSP 18中的通知。因此,当WSP 18释放这些资源中的一些时,WSP 18向控制器12发送通知。 此解决方案也可使用Liberty框架中定义的机制,并且因此无需扩展或适应。(C)扩展如[LibertyDST](上面引用的)中所述的DST协议机制。此处假设每个 WSP 18如在记帐服务中一样考虑身份资源的释放。然而,控制器12应能够请求记帐信息(拉模式)。记帐信息可视为Liberty简档包含的信息的扩展日志添加有关身份信息消费的相关数据。因此,在此方案中,DST协议用于访问身份资源,并且为该目的,[LibertyDST] 可扩展带有新操作追踪。此操作允许WSC 18请求WSP 18传送有关某一主体的身份资源的使用信息。方案(A)、⑶和(C)可进一步讨论如下。方案(C)是有利的,因为它可由控制器12启动(拉模式)。这意味着信息在控制器12无论何时想检索时便可检索,并且受限于控制器12请求的内容。因此,可扩展性或性能问题不会出现。然而,此方案在应用到自由联盟框架时要求所述框架的适应。方案(B)是有利的,因为在应用到自由联盟框架时,它不要求框架的适应。换而言之,它已经符合Liberty。关于可扩展性和性能,每次访问WSP 18时,此方案需要每身份资源和每主体20发送一个通知。方案(A)与方案(B)在应用到自由联盟框架和与其符合性的方面具有相同的优点。另外,它还改进了性能,因为它允许通过设置阈值来降低生成的消息量。例如,通知可在每访问规则中发送,即,WSP用关于访问的所有身份信息的信息向一个单独帐户发送,由此减少消息量。在控制器侧,可扩展性或性能问题不会出现,因为控制器12可仅接收与它工作所代表的主体20有关的消息。从功能角度而言,方案(C)比其它两个方案更有利,这是因为方案(C)能够提供拉模式。然而,如上所述,方案(C)在应用到自由联盟框架时,需要适应,所述框架的适应。方案(C)因此在此处进行进一步描述。如上所述,方案(C)是使用[LibertyDST]中公开的Liberty DST扩展来检索身份资源使用历史。此处,假设无论何时与主体20相关联的身份资源的一些属性由WSC 18访问,存储或提供身份资源访问的WSP 18便用日志记录事务。此日志信息可例如用于将来审计。图 12示出WSC 18向WSP 18请求使用身份资源。日志操作(图12 “2b日志事务”)也已示出。在日志操作或日志事务期间,WSP 18用日志记录事务以用于将来审计,包括有关身份资源的哪些信息已释放,此信息与哪个主体20有关,请求方是谁(WSC 18和WSC 18工作所代表的主体20)及任何其它相关信息。要用日志记录的信息可明显包括(i)UserlD,以便知道使用的信息与哪个主体20有关。这是WSP 18中主体20的标识符或别名。(ii) Information_type,以便知道哪些身份信息已被访问,即,身份资源的哪些属性已被使用。(iii)WSC,以便知道哪个WSC请求了该信息。(iv)其它信息,如访问的时间。可对日志有用的其它信息段包括检索的信息的预期使用、WSC 18是否要与第三方共享信息、以及WSC18所做的有关请求的信息的将来使用的承诺。另外,WSP 18也可用日志记录WSC 18正在代表其请求身份信息的主体20 (如果有)。在计算机实现的社交网络应用的上下文中,此信息特别相关。图13是WSP 18上与已访问的身份资源信息有关的日志的数据结构的示例。如图13所示,日志记录的信息是Liberty简档包含的信息的扩展,日志添加有关信息消费的相关信息。因此,相同的机制可用于访问它们两者,即,[LibertyDST]中所述的机制。此机制允许从WSP 18创建、查询、修改和删除主体的身份信息。[LibertyDST]可扩展带有新操作追踪。如参照图14将解释的,此操作允许WSC 18 (控制器12在此情况下充当WSC)检索有关某一主体的身份资源的使用信息。图14是示出使用追踪操作检索身份资源使用的历史的顺序图。对现有Liberty实体的影响可如下所述。它取决于选定方案-方案(B)可建立在符合Liberty的机制上,并因此不一定对WSP18带来任何影响。通过定义有关隐私事件的新预订,可使用和扩展该解决方案。-方案(A)建立在符合Liberty的机制上,并因此不一定带来任何影响。-方案(C)引入了对Liberty实体和协议的几处修改〇添加了新的追踪操作。因此,扩展了 [LibertyDST],并且相应地修改了 XMLSchema0〇与身份信息的使用和释放有关的WSP日志事务。此机制不一定影响或修改现有 Liberty 规范。〇WSP和WSC支持新的追踪操作。这意味着扩展WSP/WSC实现以理解和管理新的 DST操作。ODS 16支持新的追踪操作。这意味着扩展DS实现以理解和管理新的DST操作。现在将更详细地描述基于寻址信息与服务提供商18交互(s6)以创建、读取、修改或删除隐私属性的步骤的进一步实施例。步骤s6与隐私设置的管理有关。在这点假设控制器12已检索用于寻址身份网络10或CoT 10中与主体20相关联的身份资源的属性的寻址信息。现在主体20想要设置隐私偏好以管控与所述主体20相关联并存储在WSP 18中的身份资源的使用和释放。控制器12向主体20显示不同的选项,并允许主体20配置不同参数,例如在哪些条件下能够释放身份信息。当完成时,控制器12在适当的WSP 18中设置结果的隐私策略,而该WSP将实施该策略。图15示出一个实施例中涉及的流程的概述。换而言之,图15示出主体20如何设置隐私偏好以管控其身份信息的使用和释放。主体20应能够设置其关于与它们相关联且在CoT 10中分布的身份资源的使用的偏好。参与隐私偏好设置的变量可包括请求者、资源、操作、许可和主体。主体20无需明确被指明,因为它是控制器12的使用者。请求者可以是来自CoT 10的任何WSC 18。此信息可扩展到WSC 18代表其正在请求身份信息的主体20。资源是要保护的身份资源的属性的标识符。操作的值可以是任何WSC能够请求的值。例如,在使用自由联盟框架的情况下,操作的值可以是在DST协议中定义的值,即 query (查询)、create (创建)delete (删除)、modify (修改)和 subscribe (预订)。如果使用基于带有追踪操作的扩展DST协议(参阅上述方案(C))来收集主体的身份信息历史的方案,则隐私策略可包括用于操作变量的追踪值。在需要时,该解决方案可扩展到新操作。许可可设为grant (授予)、refuse (拒绝)或askMe (询问我)。所谓的askMe 许可可在用户优选在每调用基础上做出决定时使用。这可借助于Aarts,R.和Madsen,P. (Eds.)的"Liberty ID-ffSF Interaction Service Specification”(版本 2· 0-04, Liberty Alliance Pro ject,2005 年 9 月,此处称为[Libertylnteract])中定义的自由交互服务(Liberty Interaction Service)来实现。为了改进解决方案的可使用性,可引入一些选项(通配符)all possible values (所有可能值)、none (无)或a specific user-selected subset (特定用户选定子集)。这些值由主体20设置,并随后发送回控制器12(图15,步骤0),并且因此涉及主体20和其身份资源之一的新隐私策略在控制器12中创建。此基本隐私策略可通过能够释放信息的进一步条件的指定而得以增强。现在更详细描述一个实施例中的隐私策略及其与隐私资源的关联。一旦主体20已设置关于身份资源的隐私偏好,结果的隐私策略便可发送到存储该身份资源的WSP 18。为了如此做,WSP 18可在其接口中宣布它管理有关隐私偏好的信息,并且因此对目标身份简档的扩展可能是需要的。此方案允许将身份资源与管控其使用和释放的策略(粘合策略)保持在一起。除此之外,它建立在Liberty规范中的现有特征上。扩展可定义一次,并且它随后可添加到任何身份简档。此扩展带来了对标准LAP ID-SIS 身份服务的修改。无论特定ID-SIS WSP如何,此扩展是相同的。一旦WSP 18允许有关隐私偏好的操作,控制器12便可利用DST协议的机制来查询、创建、更新或删除WSP 18中的隐私策略。因此,控制器12遵循Liberty DST协议而发送主体创建的隐私策略到WSP18(对于详细描述,请参阅下面参照图16和17的描述)。现在将更详细描述主体20可如何表达其隐私偏好。主体20可使用不同方式来表达其隐私偏好。首先,它们能够选择出自几个预定义隐私策略中的一个,并将其与身份资源相关联。这些预定义的隐私策略可以在自然语言中描述,使得非技术熟练的用户能够理解它们。此自然语言描述映射到隐私策略表达语言中描述的特定策略实现。这些策略是分层的,使得用户更容易在它们之间进行比较并选择更适合其需要的策略。由于用户不必处理策略细节,因此方案从其简单性和可使用性而受益。还可允许主体20定义隐私策略的每个细节。此方案在偏好的描述方面提供很大的灵活性,并且可提供为高级选项。现在将更详细描述一个实施例中控制器12如何在WSP 18中设置隐私偏好。这对应于图16中的步骤1,即,控制器12可如何关联和发送隐私策略到存储它管控的身份资源的WSP 18。控制器12接收主体偏好并且将它们转换为适合的隐私策略。借助于DST创建 /修改(DST Create/Modify)消息,将新的隐私策略发送到存储资源的WSP。通过使用Liberty身份简档的扩展,可将隐私策略与身份资源相关联。 [LibertyDST]提供创建或更新WSP 18中存储的身份资源的机制。因此,[LibertyDST]上的建立可用于允许控制器12设置与身份资源相关联的隐私策略。为了实现此机制,控制器12可充当Liberty WSC 18的角色,并且可将隐私策略包括为创建(Create)或修改(Modify)要素的一部分,其作为[LibertyDST]的部分而被发送到WSP 18。此机制建立在[LibertyDST]上,因为该策略可作为消息的正文部分中的任何其它信息而被携带。在策略到达时,即在接收创建/修改(Create/Modify)消息(图16所示的修改消息,“1 dst:Modify")时,WSP 18检索(即提取)该策略信息并存储它。现在将参照图17,更详细地描述一个实施例中控制器12如何从服务提供商18检索隐私偏好。 控制器12可使用与用于设置它们的机制相同的机制,即,使用DST协议,检索与身份资源相关联的隐私策略。然而,在此情况下,控制器12可使用查询(Query)操作。一旦策略已检索到,控制器12便将它转换为隐私偏好,以便主体能够理解它。图17示出控制器 12查询与身份资源相关联的隐私策略。控制器12查询与特定身份资源相关联的隐私策略。最终,关于隐私策略实施,某个WSC 18请求由主体20设置的隐私策略所管控的身份资源。提供该身份资源的WSP 18实施策略,由此决定是否可释放该身份资源,并且一旦释放该信息,便对请求者施加某些条件。在私 站1 11·,R.等人的“A framework for policy-based admission control" (IETF RFC 2753,2000 年 1 月)中可发现有关实施隐私策略要遵循的步骤的一般指导。换而言之,WSP查找与身份资源相关联的隐私策略,并在能够释放它时将它发送回。在一个实施例中,WSP 18存储和检索隐私策略。执行这些操作的方式取决于WSP 实现。然而,WSP 18可将此信息作为DST创建/修改(Create/Modify)消息来接收,并且它们可将它作为DSTQueryResponse消息来释放。因此,WSP应能够从DST消息来检索此信息/将此信息包括到DST消息中。在一个实施例中,WSP 18为隐私策略实施而实现策略实施点(Policy Enforcement Point)。此策略实施点拦截对身份资源的请求,并决定隐私策略的应用。在一个实施例中,可遵循如[LibertyDST]的第4. 4. 5节中定义的处理规则。在一个实施例中,控制器12能够使用[LibertyDST]在WSP中创建/修改/查询隐私策略。虽然[LibertyDST]无需一定被修改,但控制器12应能够添加隐私策略到创建 /修改(Create/Modify)消息和从QueryResponse消息来检索隐私策略。在一个实施例中,提供了如Liberty ID-SIS规范所定义的身份数据服务的扩展。 此扩展为管控简档内包含的信息的使用和释放的隐私策略定义了容器。扩展包括在支持隐私策略管理的任何数据服务中。根据本发明,包括控制器、身份提供商、发现服务提供商及服务提供商的物理实体可包括或存储包含指令的计算机程序,使得计算机程序在物理实体上执行时,执行根据本发明的实施例的步骤和过程。本发明还涉及用于执行根据本发明的方法的此类计算机程序和存储用于执行根据本发明的方法的计算机程序的任何计算机可读媒体。在术语“查询器”、“接收器”、“交互器”、“第一接收器”、“第二接收器”、“公布器”、 “第三接收器”及“获得器”在此使用的情况下,对这些要素可如何分布及要素可如何聚集未进行限制。也就是说,这此要素的构成部分可分布在用于产生预期功能的不同软件或硬件组件或装置中。多个不同的要素也可聚集以用于提供预期功能性。控制器的任何上述要素之一可在硬件、软件、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、固件或诸如此类中实现。在本发明的进一步实施例中,上述查询器、接收器、交互器、第一接收器、第二接收器、公布器、第三接收器及获得器的任何一个分别替代为查询部件、接收部件、交互部件、第一接收部件、第二接收部件、公布部件、第三接收部件及获得部件,或者分别替代为查询单元、接收单元、交互单元、第一接收单元、第二接收单元、公布单元、第三接收单元及获得单元,以便执行查询器、接收器、交互器、第一接收器、第二接收器、公布器、第三接收器及获得器的功能。在本发明的进一步实施例中,上述步骤的任何一个可使用计算机可读指令来实现,例如,以计算机可理解的过程、方法或诸如此类的形式,在任何种类的计算机语言中和/ 或在固件、集成电路或诸如此类上的嵌入式软件的形式中。虽然本发明已经基于详细的示例来描述,但这些详细的示例只用于向技术人员提供更好的理解,而无意限于限制本发明的范围。本发明的范围反而是由随附权利要求来定义的。
权利要求
1.一种用于至少一个主体00)的用于身份网络(10)中的隐私管理的控制器(12),其中身份网络(10)是至少包括身份提供商(14)、发现服务提供商(16)和所述主体00)能够与其进行事务的服务提供商(1 的计算机网络; 主体OO)是其身份能够被认证的系统实体;身份资源是与身份或一组身份有关的数据,或者是与身份或一组身份相关联的服务;以及所述控制器(12)配置用于查询(S2)所述身份网络(10)的发现服务提供商(16)以获得与所述身份网络(10)中可用的且与所述主体00)的身份相关联的身份资源有关的信息;从所述发现服务提供商(16)接收(S4)可对寻址所述身份网络(10)中可用的且与所述主体00)的身份相关联的身份资源的属性有用的信息,此处称为寻址信息;以及基于所述寻址信息,与服务提供商(18)交互(S6)以创建、读取、修改或删除管控所述身份网络(10)中可用的且与所述主体OO)的身份相关联的身份资源的使用的属性,所述属性在此称为隐私属性。
2.如权利要求1所述的控制器(12),还配置用于,在查询(S》前,从所述主体OO)接收(Si)检索与所述身份网络(10)中可用的且与所述主体OO)的身份相关联的身份资源有关的信息的请求。
3.如权利要求1或2所述的控制器(12),还配置用于在接收(S4)之后和交互(S6)之、r -刖,使得(S5a)所述寻址信息可用于所述主体OO);以及从所述主体OO)接收(S5b)创建、读取、修改或删除所述隐私属性的请求;以及其中与所述服务提供商(18)交互(S6)以创建、读取、修改或删除所述隐私属性是基于从所述主体OO)接收的创建、读取、修改或删除所述隐私属性的请求。
4.如前面权利要求任一项所述的控制器(12),其中交互(S6)通过使用数据服务模板协议来执行。
5.如前面权利要求任一项所述的控制器(12),还配置用于从所述身份网络(10)的至少一个服务提供商(18)获得(S7)与所述至少一个服务提供商(1 中所述主体OO)的身份相关联的身份资源的使用有关的信息,此处称为使用信肩、ο
6.如权利要求5所述的控制器(12),其中所述使用信息包括与以下至少之一有关的信息身份资源的类型、身份资源的属性值、对所述身份资源的访问的时间戳以及访问、已访问、使用或已使用所述身份资源或预订或已预订所述身份资源的服务提供商(18)的标识符。
7.如前面权利要求任一项所述的控制器(12),是web服务提供商。
8.—种由控制器(12)为至少一个主体OO)执行的用于身份网络(10)中的隐私管理的方法,其中身份网络(10)是至少包括身份提供商(14)、发现服务提供商(16)和所述主体OO)能够与其进行事务的服务提供商(1 的计算机网络;主体00)是其身份能够被认证的系统实体;身份资源是与身份或一组身份有关的数据,或者是与身份或一组身份相关联的服务;以及所述方法包括查询(S2)所述身份网络(10)的发现服务提供商(16)以获得与所述身份网络(10)中可用的且与所述主体00)的身份相关联的身份资源有关的信息;从所述发现服务提供商(16)接收(S4)可对寻址所述身份网络(10)中可用的且与所述主体00)的身份相关联的身份资源的属性有用的信息,此处称为寻址信息;以及基于所述寻址信息,与服务提供商(18)交互(S6)以创建、读取、修改或删除管控所述身份网络(10)中可用的且与所述主体00)的身份相关联的身份资源的使用的属性,所述属性在此称为隐私属性。
9.如权利要求8所述的方法,还包括,在查询(S》前,从所述主体OO)接收(Si)检索与所述身份网络(10)中可用的且与所述主体OO)的身份相关联的身份资源有关的信息的请求。
10.如权利要求8或9所述的方法,还包括在接收(S4)之后和交互(S6)之前, 使得(S5a)所述寻址信息可用于所述主体OO);以及从所述主体OO)接收(S5b)创建、读取、修改或删除所述隐私属性的请求;以及其中与所述服务提供商(18)交互(S6)以创建、读取、修改或删除所述隐私属性是基于从所述主体OO)接收的创建、读取、修改或删除所述隐私属性的请求。
11.如权利要求8到10的任一项所述的方法,其中交互(S6)通过使用数据服务模板协议来执行。
12.如权利要求8到11的任一项所述的方法,还包括从所述身份网络(10)的至少一个服务提供商(18)获得(S7)与所述至少一个服务提供商(1 中所述主体OO)的身份相关联的身份资源的使用有关的信息,此处称为使用信肩、ο
13.如权利要求12所述的方法,其中所述使用信息包括与以下至少之一有关的信息 身份资源的类型、身份资源的属性值、对所述身份资源的访问的时间戳以及访问、已访问、 使用或已使用所述身份资源或预订或已预订所述身份资源的服务提供商(18)的标识符。
14.一种计算机程序,包括指令,所述指令配置成在计算机上执行时使得所述计算机执行根据权利要求8到13的任一项的方法。
15.一种计算机程序产品或计算机可读媒体,包括如权利要求14所述的计算机程序。
全文摘要
一种控制器(12)用于主体(20)的身份网络(10)中的隐私管理。身份网络(10)是至少包括身份提供商(14)、发现服务提供商(16)和主体(20)能够与其进行事务的服务提供商(18)的计算机网络。主体(20)是其身份能够被认证的系统实体。身份资源(14)是与身份或一组身份有关的数据,或者是与身份或一组身份相关联的服务。控制器(12)查询发现服务提供商以获得有关可用身份资源(14)的信息,它接收回用于寻址身份资源(14)的属性的寻址信息,随后它基于寻址信息与服务提供商(18)交互以创建、读取、修改或删除管控身份资源(14)的使用的隐私属性。
文档编号H04L29/06GK102439936SQ200980158679
公开日2012年5月2日 申请日期2009年4月8日 优先权日2009年4月8日
发明者B·桑米古尔冈萨莱斯, J·C·耶尔莫加西亚, J·M·德尔阿拉莫拉米罗, M·A·蒙贾斯洛伦特 申请人:瑞典爱立信有限公司, 马德里理工大学