CN100590631C - 用于安全绑定注册名称标识符简表的方法和系统 - Google Patents
用于安全绑定注册名称标识符简表的方法和系统 Download PDFInfo
- Publication number
- CN100590631C CN100590631C CN200580042212A CN200580042212A CN100590631C CN 100590631 C CN100590631 C CN 100590631C CN 200580042212 A CN200580042212 A CN 200580042212A CN 200580042212 A CN200580042212 A CN 200580042212A CN 100590631 C CN100590631 C CN 100590631C
- Authority
- CN
- China
- Prior art keywords
- user
- combined entity
- service provider
- name identifier
- register name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
提供了一种方法、系统、设备和计算机程序产品,其用于改进联合计算环境内的注册名称标识符简表,从而使得所述注册名称标识符简表得到增强,以便更安全地在所述联合计算环境内诸如身份提供商和服务提供商的两个联合实体之间进行绑定。在第一联合实体向第二联合实体发送对当事人的注册名称标识符请求之后,所述第二联合实体为所述当事人执行认证操作。响应于成功完成所述认证操作,所述第二联合实体为所述当事人注册或修改已从所接收到的注册名称标识符请求中提取的名称标识符。
Description
技术领域
本发明涉及改进的数据处理系统,并且特别涉及用于多计算机数据传输的方法和设备。更特别地,本发明针对联网计算机系统。
背景技术
企业通常期望遍及各种网络(包括因特网)以用户友好的方式为授权用户提供对受保护资源的安全访问。尽管提供安全的认证机制降低了对受保护资源的未授权访问的风险,然而那些认证机制可能成为访问受保护资源的屏障。用户通常期望能够从与一种应用交互改变到另一种应用而不考虑对支持那些应用的各个特定系统进行保护的认证屏障。
随着用户变得越来越复杂化,他们期望计算机系统协调其动作以便减轻用户的负担。这些类型的期望也应用于认证过程。用户可能假设:一旦其已由某计算机系统认证,该认证就应当在该用户的整个工作会话期或者至少在一段特定的时期中有效,而不考虑对于用户几乎无形的各种计算机体系结构边界。企业通常试图在其所部署的系统的操作特性方面实现这些期望,以便不但安抚用户,而且增加用户效率(无论用户效率涉及雇员生产率或顾客满意)。
更确切地说,在现有的计算环境下(其中很多应用具有可通过普通浏览器访问的基于Web的用户接口),对于从一个基于Web的应用到另一个基于Web的应用的移动,用户期望更多的用户友好以及低的或很少的屏障。在这种情况下,用户继而期望能够从与一个因特网域上的应用的交互跳到另一个域上的另一种应用,而不考虑保护各个特定域的认证屏障。然而,即使很多系统通过易于使用的、基于Web的接口提供了安全认证,用户仍然可能被迫考虑妨碍用户经过一组域进行访问的多个认证过程。使用户在特定的时帧中经受多个认证过程可能较大地影响用户的效率。
例如,已经使用各种技术来减少用户和计算机系统管理员上的认证负担。这些技术通常被描述为“一次性登录(single-sign-on)”(SSO)过程,因为它们具有共同的目的:在用户已经完成登录操作(即已被认证)之后,随后不要求用户执行另一认证操作。因此,目标是在特定的用户会话期间将要求用户仅完成一次认证过程。
为了降低用户管理的成本并改进企业之间的互操作性,已经创建了联合计算空间。联合是遵守特定的互操作性标准的企业的松耦合联系;联合为该联合内的用户提供了那些企业之间关于某些计算操作的信任机制。例如,联合伙伴可以充当用户的家乡域或身份提供商。在相同联合内的其它伙伴可以依赖于用户的身份提供商来对用户的认证凭证进行基本管理,例如,接受由用户的身份提供商提供的一次性登录权标。
随着企业移至支持联合业务交互,这些企业应当提供反映了两种业务之间增加的协作的用户体验。如以上所指出的,用户可以向充当身份提供商的一方进行认证,并且然后一次性登录到充当服务提供商的联合业务伙伴。结合该一次性登录功能性,应当还支持附加的用户生命周期功能性,例如帐户链接/解链接以及一次性退出(single-sign-off)。
帐户链接是这样的过程,即不同服务提供商处的两个或更多的用户帐户通过该过程被绑定到单个用户。该绑定可以基于用户的公开身份或类似的标识符(有时被称为公用唯一标识符或全局唯一用户标识符),其可以容易地与用户关联;该绑定可以基于笔名(也被称为别名)。
在由Liberty Alliance Project(自由联盟计划)所定义的简表(profile)内支持帐户链接。根据Liberty Alliance(自由联盟)规范,Liberty(自由)简表是用于单客户机类型的、消息内容规范和消息传输机制规范的组合。Liberty Alliance规范将这些各种简表分组成类别。一次性登录和联合简表是服务提供商通过其从促进一次性登录和身份联合的任何身份提供商获得认证断言(assertion)的那些简表。身份提供商是这样的实体,即该实体创建、维护和管理关于当事人(principal)的身份信息,并且向与之具有信任关系的其它服务提供商提供当事人认证。服务提供商是向当事人提供服务和/或物品的实体,该实体是可以获取联合身份以便代表其执行联合动作的实体,例如单个用户、公司或联合的某一其它组成部分。一次性注销简表是通过其将经认证的会话终止通知服务提供商和身份提供商的那些简表。名称注册简表是服务提供商和身份提供商通过其来指定当彼此就当事人进行通信时将要使用的名称标识符的那些简表。
特别地,Liberty Alliance Project已定义了“注册名称标识符”(RNI)简表,其将用于建立帐户链接。注册名称标识符简表是服务提供商或身份提供商可以通过其为当事人注册或改变名称标识符的那些简表。
然而,注册名称标识符简表并未充分标识帐户链接操作所基于的、用户到本地帐户的初始绑定。更具体地,Liberty Alliance规范在一个非常特殊的实例下提供了用于安全帐户链接的场景:当从服务提供商到身份提供商启动时,在用户已经向服务提供商进行认证之后,用户由此被要求与身份提供商进行会话。通过在一次性登录请求中将元素“Federate(联合)”设置为布尔“true(真)”值来启动该场景;作为响应,身份提供商向已在该处认证过用户的服务提供商发送一次性登录响应,其反过来又要求服务提供商甚至在用户具有有效会话的时候也应当能够接纳一次性登录响应。
该场景引起若干实现问题。例如,其可能导致对用户的会话凭证进行不适当的重置,因为必须立即重置会话凭证以指示该用户已经从身份提供商通过一次性登录操作进行认证,而不是与服务提供商进行直接认证,即并非是在一次性登录操作之前可能已经完成的认证方法;如果没有适当地重置用户的会话凭证,那么就已潜在地危及安全,因为该用户可能采取服务提供商为直接认证的用户授权的但并非为已进行一次性登录操作的用户授权的动作。
Liberty Alliance规范所描述的“注册名称标识符”简表仅在已经完成该初始联合操作时才允许帐户绑定/重新绑定(由服务提供商进行绑定/重新绑定,并且仅由身份提供商进行重新绑定)。因此,拥有这样的方法和系统将是有利的,即在该方法和系统中企业可以实现这样的注册名称标识符简表,使得该注册名称标识符简表充分标识帐户链接操作所基于的、用户到本地帐户的初始绑定。
发明内容
给出了一种方法、系统、设备和计算机程序产品,所述方法、系统、设备和计算机程序产品用于改进联合计算环境内的注册名称标识符简表,从而使得所述注册名称标识符简表得到增强,以便更安全地在所述联合计算环境内的两个联合实体(例如身份提供商与服务提供商)之间进行绑定。在第一联合实体向第二联合实体发送对当事人的注册名称标识符请求之后,所述第二联合实体为所述当事人执行认证操作。响应于成功完成所述认证操作,所述第二联合实体为所述当事人注册或修改已从所接收到的注册名称标识符请求中提取的名称标识符。
从第一方面来看,本发明提供了一种用于在联合计算环境内执行操作的方法,所述方法包括:在所述联合计算环境内的第二联合实体处从第一联合实体接收对当事人的注册名称标识符请求;响应于接收到对所述当事人的注册名称标识符请求,为所述当事人在所述第二联合实体处执行认证操作;响应于成功完成所述认证操作,在所述第二联合实体处注册或修改来自所接收到的注册名称标识符请求的名称标识符;以及将对于所述注册名称标识符请求的注册名称标识符响应从所述第二联合实体发送至所述第一联合实体。
优选地,本发明提供了一种方法,其中所述第一联合实体是身份提供商,并且所述第二联合实体是服务提供商。
优选地,本发明提供了一种方法,其中所述第一联合实体是服务提供商,并且所述第二联合实体是身份提供商。
优选地,本发明提供了一种方法,其进一步包括:将所述第一联合实体处用于所述当事人的第一帐户与所述第二联合实体处用于所述当事人的第二帐户进行链接,从而使得可以由所述第二联合实体将关于所述第一联合实体的信息提供给所述当事人。
优选地,本发明提供了一种方法,其进一步包括:将所述第一联合实体处用于所述当事人的第一帐户与所述第二联合实体处用于所述当事人的第二帐户进行链接,从而使得所述第一联合实体和所述第二联合实体可以代表所述当事人执行一次性登录操作。
优选地,本发明提供了一种方法,其进一步包括:由所述第二联合实体直接与所述当事人进行交互,以便执行所述认证操作。
优选地,本发明提供了一种方法,其进一步包括:基于已连同所述注册名称标识符请求一起从所述第一联合实体接收到的一次性登录信息,在所述第二联合实体处将一次性登录操作执行为所述认证操作。
优选地,本发明提供了一种方法,其进一步包括:由所述第二联合实体从所述第一联合实体请求一次性登录信息,以便执行所述认证操作。
优选地,本发明提供了一种方法,其进一步包括:当在所述第二联合实体处接收对所述当事人的注册名称标识符请求之前,在所述第二联合实体处从所述第一联合实体接收一次性登录请求。
从第二方面来看,本发明提供了一种用于在联合计算环境内执行操作的设备,所述设备包括:用于在所述联合计算环境内的第二联合实体处从第一联合实体接收对当事人的注册名称标识符请求的装置;用于响应于接收到对所述当事人的注册名称标识符请求,为所述当事人在所述第二联合实体处执行认证操作的装置;用于响应于成功完成所述认证操作,在所述第二联合实体处注册或修改来自所接收到的注册名称标识符请求的名称标识符的装置;以及用于将对于所述注册名称标识符请求的注册名称标识符响应从所述第二联合实体发送至所述第一联合实体的装置。
优选地,本发明提供了一种设备,其中所述第一联合实体是身份提供商,并且所述第二联合实体是服务提供商。
优选地,本发明提供了一种设备,其中所述第一联合实体是服务提供商,并且所述第二联合实体是身份提供商。
优选地,本发明提供了一种设备,其进一步包括:用于将所述第一联合实体处用于所述当事人的第一帐户与所述第二联合实体处用于所述当事人的第二帐户进行链接,以便可以由所述第二联合实体将关于所述第一联合实体的信息提供给所述当事人的装置。
优选地,本发明提供了一种设备,其进一步包括:用于将所述第一联合实体处用于所述当事人的第一帐户与所述第二联合实体处用于所述当事人的第二帐户进行链接,以便所述第一联合实体和所述第二联合实体可以代表所述当事人执行一次性登录操作的装置。
优选地,本发明提供了一种设备,其进一步包括:用于由所述第二联合实体直接与所述当事人进行交互,以便执行所述认证操作的装置。
优选地,本发明提供了一种设备,其进一步包括:用于基于已连同所述注册名称标识符请求一起从所述第一联合实体接收到的一次性登录信息,在所述第二联合实体处将一次性登录操作执行为所述认证操作的装置。
优选地,本发明提供了一种设备,其进一步包括:用于由所述第二联合实体从所述第一联合实体请求一次性登录信息,以便执行所述认证操作的装置。
优选地,本发明提供了一种设备,其进一步包括:用于当在所述第二联合实体处接收对所述当事人的注册名称标识符请求之前,在所述第二联合实体处从所述第一联合实体接收一次性登录请求的装置。
从第三方面来看,本发明提供了一种可直接加载到数字计算机的内部存储器的计算机程序产品,所述计算机程序产品包括当在计算机上运行所述产品时用于实现如上所述的本发明的软件代码部分。
附图说明
在所附权利要求中阐述了被认为是本发明的特色的新颖性特征。当结合附图阅读时,参照以下详细描述将最好地理解本发明本身及其其它的目的和优点,其中:
图1A描绘了数据处理系统的典型网络,每个数据处理系统均可以实现本发明;
图1B描绘了在可以实现本发明的数据处理系统内可以使用的典型的计算机体系结构;
图1C描绘了说明可以在客户机试图访问位于服务器的受保护资源时使用的典型认证过程的数据流程图;
图1D描绘了说明可以在其中实现本发明的、典型的基于Web的环境的网络图;
图1E描绘了说明典型的联机事务的例子的框图,该联机事务可以要求来自用户的多个认证操作;
图2A-2B描绘了说明如Liberty Alliance规范内所定义的、基于HTTP重定向(HTTP-redirect-based)的注册名称标识符简表的数据流程图;
图3A描绘了说明增强的基于HTTP重定向的注册名称标识符(RNI)简表的数据流程图,包括通用认证步骤,依照本发明的实施例其由身份提供商启动;
图3B描绘了说明增强的基于HTTP重定向的注册名称标识符(RNI)简表的数据流程图,包括直接认证步骤,依照本发明的实施例其由身份提供商启动;
图3C描绘了说明增强的基于HTTP重定向的注册名称标识符(RNI)简表的数据流程图,包括用于认证的预备性一次性登录操作,依照本发明的实施例其由身份提供商启动;
图3D描绘了说明增强的基于HTTP重定向的注册名称标识符(RNI)简表的数据流程图,包括用于认证的推进式(push-type)一次性登录操作,依照本发明的实施例其由身份提供商启动;
图3E描绘了说明增强的基于HTTP重定向的注册名称标识符(RNI)简表的数据流程图,包括用于认证的牵引式(pull-type)一次性登录操作,依照本发明的实施例其由身份提供商启动;
图3F描绘了说明增强的基于HTTP重定向的注册名称标识符(RNI)简表的数据流程图,包括通用认证步骤,依照本发明的实施例其由服务提供商启动;
图4A描绘了说明增强的基于HTTP重定向的注册名称标识符简表的数据流程图,依照本发明的实施例其由身份提供商启动,以便执行帐户链接操作,视情况随后进行一次性登录操作;以及
图4B描绘了说明增强的基于HTTP重定向的注册名称标识符简表的数据流程图,依照本发明的实施例其由服务提供商启动,以便执行帐户链接操作,视情况随后进行一次性登录操作。
具体实施方式
通常,可以包括或涉及本发明的设备包括广泛的各种数据处理技术。因此,作为背景,在较详细地描述本发明之前,对分布式数据处理系统内的硬件和软件组件的典型组织进行描述。
现参照附图,图1A描绘了数据处理系统的典型网络,每个数据处理系统均可以实现本发明。分布式数据处理系统100含有网络101,其是可以用于对分布式数据处理系统100内连在一起的各种设备和计算机之间提供通信链路的介质。网络101可以包括永久连接,例如导线或光缆,或者通过电话或无线通信形成的临时连接。在所描绘的例子中,服务器102和服务器103连同存储单元104连接至网络101。另外,客户机105-107也连接至网络101。客户机105-107和服务器102-103可以由各种计算设备表示,例如大型计算机、个人计算机、个人数字助理(PDA)等。分布式数据处理系统100可以包括未显示的附加服务器、客户机、路由器、其它设备,以及对等体系结构。
在所描绘的例子中,分布式数据处理系统100可以包括因特网,其中网络101表示使用各种协议(例如LDAP(轻型目录访问协议)、TCP/IP(传输控制协议/网际协议)、HTTP(超文本传输协议)等)彼此通信的网络和网关的全球集合。当然,分布式数据处理系统100还可以包括很多不同类型的网络,举例来说,像内联网、局域网(LAN)或广域网(WAN)。例如,服务器102直接支持客户机109和网络110,其并入无线通信链路。网络启动的电话111通过无线链路112连接至网络110,并且PDA 113通过无线链路114连接至网络110。电话111和PDA 113还可以使用适当的技术(例如BluetoothTM(蓝牙)无线技术)经无线链路115在它们自己之间直接传输数据,从而创建所谓的个人区域网或个人ad-hoc(特定)网络。以类似的方式,PDA 113可以经由无线通信链路116将数据传输至PDA107。
本发明可以实现于各种硬件平台和软件环境。图1A旨在作为不同种类的计算环境的例子,而非作为对本发明的体系结构限制。
现参照图1B,该图描绘了诸如图1A中所示的那些数据处理系统的典型的计算机体系结构,本发明可以实现于其中。数据处理系统120含有连接至内部系统总线123的一个或多个中央处理器(CPU)122,其与随机访问存储器(RAM)124、只读存储器126以及输入/输出适配器128互连,其中输入/输出适配器128支持各种I/O设备,例如打印机130、磁盘机132,或者未显示的其它设备,例如音频输出系统等。系统总线123还连接提供对通信链路136的访问的通信适配器134。用户接口适配器148连接各种用户设备,例如键盘140和鼠标142,或者未显示的其它设备,例如触摸屏、记录笔、扩音器等。显示适配器144将系统总线123连接至显示设备146。
本领域的普通技术人员可以理解,图1B中的硬件可以取决于系统实现而变化。例如,系统可以具有一个或多个处理器,例如基于
的处理器以及数字信号处理器(DSP),以及一种或多种类型的易失性和非易失性存储器。可以在除了图1B中所描绘的硬件之外或代替该硬件而使用其它的外围设备。所描绘的例子并不意味着暗示关于本发明的体系结构限制。
除了能够实现于各种硬件平台之外,本发明还可以实现于各种软件环境中。典型的操作系统可以用于控制各数据处理系统内的程序执行。例如,一个设备可以运行
操作系统,而另一设备含有简单的
运行时环境。代表性的计算机平台可以包括浏览器,其是用于访问各种格式下的超文本文档(例如图形文件、字处理文件、可扩展标记语言(XML)、超文本标记语言(HTML)、手持设备标记语言(HDML)、无线标记语言(WML)以及各种其它格式和类型的文件)的众所周知的软件应用。还应当注意,图1A中所示的分布式数据处理系统被设想为完全能够支持各种对等子网和对等服务。
现参照图1C,数据流程图说明了可以在客户机试图访问位于服务器的受保护资源时使用的典型的认证过程。如所说明的,通过在客户工作站上执行的用户的Web浏览器,在客户工作站150的用户在计算机网络上搜索对服务器151上受保护资源的访问。受保护或受控制的资源是对其控制或限制访问的资源(应用、对象、文档、页面、文件、可执行代码或其它的计算资源、通信型资源等)。受保护资源由统一资源定位符(URL),或者更一般地,由统一资源标识符(URI)标识,其仅可以由认证和/或授权用户访问。计算机网络可以是因特网、内联网或其它网络,如图1A或图1B中所示,并且服务器可以是Web应用服务器(WAS)、服务器应用、小服务程序(servlet)过程等。
当用户请求服务器端受保护资源(例如域“ibm.com”内的Web页面)时启动该过程(步骤152)。术语“服务器端”和“客户端”分别指位于联网环境内的服务器或客户机的动作或实体。Web浏览器(或关联应用或小应用程序(applet))生成HTTP请求(步骤153),其被发送至作为域“ibm.com”的主机的Web服务器。术语“请求”和“响应”应被理解为包括这样的数据格式化,即该数据格式化适于传输特定操作中所涉及的信息,例如消息、通信协议信息或其它的关联信息。
服务器确定其不具有对客户机的有效会话(步骤154),因此服务器启动并且完成服务器与客户机之间的SSL(安全套接层)会话的建立(步骤155),该会话需要在客户机与服务器之间多次传输信息。在建立SSL会话之后,在SSL会话内传输随后的通信消息;由于SSL会话内的加密通信消息,任何秘密信息均保持安全。
然而,在允许用户访问受保护资源之前,服务器需要确定用户的身份,因此服务器通过向客户机发送某种类型的认证询问来要求用户执行认证过程(步骤156)。认证询问可以具有多种格式,例如HTML表单。用户然后提供所请求的或所要求的信息(步骤157),例如用户名或其它类型的用户标识符,以及关联口令或其它形式的秘密信息。
将认证响应信息发送给服务器(步骤158),服务器在此处认证用户或客户机(步骤159),例如,通过检索先前提交的注册信息并且将所给出的认证信息与用户的存储信息进行匹配。假设认证成功,则为经认证的用户或客户机建立有效会话。服务器为客户机创建会话标识符,并且会话内来自客户机的任何随后的请求消息都将伴随该会话标识符。
服务器然后检索最初请求的Web页面并且将HTTP响应消息发送至客户机(步骤160),由此实现用户对受保护资源的初始请求。在此处,用户可以通过点击浏览器窗口内的超文本链接来请求“ibm.com”内的另一页面(步骤161),并且浏览器将另一HTTP请求消息发送至服务器(步骤162)。在此处,服务器识别出用户具有有效会话(步骤163),因为在HTTP请求消息中将用户的会话标识符返回给了服务器,并且在另一HTTP响应消息中,服务器将所请求的Web页面发送回客户机(步骤164)。尽管图1C描绘了典型的现有技术过程,然而应当注意,可以描绘其它可选的会话状态管理技术,例如URL重写或使用网络跟踪器标识具有有效会话的用户,其可以包括使用与用于提供对认证的证明相同的网络跟踪器。
现参照图1D,网络图说明了可以在其中实现本发明的、典型的基于Web的环境。在该环境中,位于客户机171的浏览器170的用户想要访问DNS域173中Web应用服务器172上的、或者DNS域175中Web应用服务器174上的受保护资源。
以类似于图1C中所示的方式,用户可以请求位于多个域之一的受保护资源。图1C仅示出了位于特定域的单个服务器,与图1C形成对比,图1D中的每个域都具有多个服务器。特别地,每个域可以具有关联的认证服务器176和177。
在该例中,当客户机171发布对位于域173的受保护资源的请求之后,Web应用服务器172确定其不具有对客户机171的有效会话,并且其请求认证服务器176执行与客户机171的适当的认证操作。认证服务器176将认证操作的结果传达至Web应用服务器172。如果成功认证了用户(或代表用户的浏览器170或客户机171),那么Web应用服务器172为客户机171建立会话,并且返回所请求的受保护资源。通常,一旦认证服务器对用户进行了认证,就可以设置网络跟踪器并且将其存储在浏览器中的网络跟踪器高速缓存中。图1D仅仅是这样一种方式的例子,即以该方式可以在多个服务器间共享域的处理资源,特别是为了执行认证操作。
以类似的方式,当客户机171发布对位于域175的受保护资源的请求之后,认证服务器177执行与客户机171的适当的认证操作,此后Web应用服务器174为客户机171建立会话,并且返回所请求的受保护资源。因此,图1D说明客户机171可以在不同的域中具有多个并行会话,然而却被要求完成多个认证操作以建立那些并行会话。
现参照图1E,框图描绘了典型的联机事务的例子,其可以要求来自用户的多个认证操作。再次参照图1C和图1D,在获得对受控资源的访问之前,可以要求用户完成认证操作,如图1C所示。尽管图1C未示出,然而可以将认证管理器部署在服务器151上以检索和采用认证用户所需要的用户信息。如图1D所示,用户可以在不同的域173和175内具有多个当前会话,并且尽管图1D中未示出它们,然而每个域均可以代替认证服务器或除了认证服务器之外而采用认证管理器。以类似的方式,图1E还描绘了一组域,其每一个均支持某种类型的认证管理器。图1E说明了用户在访问要求用户对每个域完成认证操作的多个域时可能经历的一些困难。
可以在ISP域191注册用户190,ISP域191可以支持为了完成关于域191的事务而认证用户190的认证管理器192。ISP域191可以是因特网服务提供商(ISP),其提供因特网连接服务、电子邮件服务,以及可能的其它电子商务服务。可选地,ISP域191可以是用户190经常访问的因特网门户。
类似地,域193、195以及197代表典型的Web服务提供商。政府域193支持为了完成各种政府相关的事务而认证用户的认证管理器194。银行业域195支持为了完成与联机银行的事务而认证用户的认证管理器196。电子商务域197支持为了完成联机采购而认征用户的认证管理器198。
如先前所指出的,当用户通过访问位于不同域的资源而试图从因特网或万维网内的一个域移至另一个域时,用户可能遭受多个用户认证请求或要求,其可能极大地减慢经过一组域的用户进度。将图1E用作示例性环境,用户190可能涉及与电子商务域197的复杂的联机事务,在该域197中用户正试图购买限于至少18岁以及具有有效驾驶执照、有效信用卡以及美国银行帐户的用户的联机服务。该联机事务可能涉及域191、193、195和197。
通常,用户可能不保留在参与典型的联机事务的各个域内的身份和/或属性。在该例中,用户190可能已经向用户的ISP注册了他的或她的身份,但是为了完成联机事务,该用户可能还被要求向域193、195和197进行认证。如果每个域都不保留该用户的身份,那么该用户的联机事务可能失败。即使该用户可以被每个域认证,也不保证不同的域可以在它们自己之间传输信息以便完成用户的事务。
给定某当前技术的前述简短描述,其余附图的描述涉及本发明可以在其中操作的联合计算机环境。然而,在较为详细地讨论本发明之前,将介绍一些术语。
术语:
术语“实体”或“方”一般涉及组织、个人或代表组织、个人或另一系统操作的系统。术语“域”意味着网络环境内的附加特性,但是术语“实体”、“方”以及“域”可以互换使用。例如,术语“域”还可以指DNS(域名系统)域,或者更一般地,指的是包括作为通往外部实体的逻辑单元而出现的各种设备和应用在内的数据处理系统。
应当将术语“请求”和“响应”理解为包括这样的数据格式化,即该数据格式化适于传输特定操作中所涉及的信息,例如消息、通信协议信息或其它关联信息。受保护资源是对其控制或限制访问的资源(应用、对象、文档、页面、文件、可执行代码或其它的计算资源、通信型资源等)。
权标提供了成功操作的直接证据,并且其由执行操作的实体产生,例如,在成功认证操作之后生成认证权标。Kerberos权标是可以在本发明中使用的认证权标的一个例子。可以在Kohl等人的“The Kerberos NetworkAuthentication Service(V5)”,Internet Engineering Task Force(IETF)Request for Comments(RFC)1510,09/1993中找到关于Kerberos的更多信息。
断言提供了某一动作的间接证据。断言可以提供身份、认证、属性、授权判定或其它信息和/或操作的间接证据。认证断言提供了非认证服务而是监听认证服务的实体作出的认证的间接证据。
安全断言标记语言(SAML)断言是可以在本发明内使用的、可能的断言格式的例子。结构化信息标准促进组织(OASIS)已经发布了SAML,该组织是非营利的全球组织。在“Assertions and Protocol for the OASISSecurity Assertion Markup Language(SAML)”,Committee Specification01,05/31/2002中,SAML被描述如下:
安全断言标记语言(SAML)是用于交换安全信息的、基于XML的框架。以关于主体的断言的形式表达该安全信息,其中主体是在某安全域中具有身份的实体(要么是人要么是计算机)。主体的典型例子是人,在特定的因特网DNS域中通过他的或她的电子邮件地址而被标识。断言可以传送关于由主体所执行的认证行为的信息、主体的属性,以及关于是否允许主体访问某些资源的授权判定。断言被表示为XML构造,并且具有嵌套结构,由此,单个断言可以含有关于认证、授权以及属性的若干不同的内部声明。注意到,含有认证声明的断言仅仅描述先前发生的认证的行为。由SAML机构(即认证机构、属性机构、以及策略判定点)发布断言。SAML定义了这样的协议,即客户机通过该协议可以请求来自SAML机构的断言,并且从其得到响应。该协议(包括基于XML的请求和响应消息格式)可以被绑定到很多不同的基础通信和传输协议;SAML当前定义了一种绑定,通过HTTP到SOAP。SAML机构可以在创建其响应时使用各种信息源,例如作为请求中的输入而接收到的外部策略存储和断言。因而,当客户机总是消费断言时,SAML机构可以兼当断言的产生者和消费者。
SAML规范声明断言是提供发布者所作出的一个或多个声明的信息包。SAML允许发布者作出三种不同的断言声明:认证,其中在特定的时间由特定的装置认证指定主体;授权,其中已经批准或拒绝对允许指定主体访问指定资源的请求;以及属性,其中指定主体与所提供的属性关联。如以下进一步所讨论的,必要时可以将各种断言格式转换为其它的断言格式。
认证是确认由用户或代表用户提供的一组凭证的过程。通过检验用户所知道的事物、用户所具有的事物,或者用户是什么,即关于用户的一些物理特征,来实现认证。用户所知道的事物可以包括共享的秘密,例如用户的口令,或者通过检验仅为特定用户所知的事物,例如用户的密钥。用户所具有的事物可以包括智能卡或硬件权标。关于用户的某物理特征可以包括生物统计输入,例如指纹或视网膜图。
认证凭证是在各种认证协议中使用的一组询问/响应信息。例如,用户名和口令组合是认证凭证最常见的形式。认证凭证的其它形式可以包括各种形式的询问/响应信息、公钥基础设施(PKI)证书、智能卡、生物统计等。认证凭证区别于认证断言:认证凭证由用户呈现作为与认证服务器或服务的认证协议序列的一部分,而认证断言是关于对用户的认证凭证成功呈现和确认的声明,必要时随后在实体间转移。
注册名称标识符简表:
如上所述,Liberty Alliance Proiect已经定义了注册名称标识符简表,其将用于建立帐户链接。根据现有技术Liberty Alliance规范,Liberty简表是用于单客户机类型的、消息内容规范和消息传输机制规范的组合。注册名称标识符简表是服务提供商或身份提供商通过其可以为当事人注册或改变名称标识符的那些简表,在图2A和2B中对其进行了说明。
现参照图2A,数据流程图描绘了基于HTTP重定向的注册名称标识符简表,如现有技术Liberty Alliance规范内所定义的,其由身份提供商启动。由于对现有技术Liberty Alliance规范的实现来说特有的各种原因,身份提供商可以改变(即注册)已由身份提供商分派给当事人的名称标识符,称为“<lib:IDPProvidedNameIdentifier>”;以图2A中所示的方式,由身份提供商将新近分派的名称标识符传输至服务提供商。
通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机,也称为用户代理,例如Web浏览器应用,基于HTTP重定向的注册名称标识符简表开始于身份提供商(步骤202)。基于HTTP重定向的注册名称标识符简表不能够由身份提供商自行启动;其必须由身份提供商与另一实体(要么用户代理要么服务提供商)之间某种类型的消息或交互触发,尽管图2A中并未示出该消息。重定向消息将客户机重定向到位于服务提供商的注册名称标识符服务的适当位置,例如,如重定向消息的“Location(位置)”标题内的统一资源标识符(URI)所标识的。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有如现有技术Liberty Alliance规范内所定义的“<lib:RegisterNameIdentifierRequest>”协议消息。
响应于接收到来自身份提供商的重定向消息,如来自身份提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至位于服务提供商的注册名称标识符服务(步骤204)。以这种方式,客户机访问位于服务提供商的注册名称标识符服务,因为HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentffierRequest>”消息。因此,服务提供商处理注册名称标识符请求消息(步骤206),从而注册由身份提供商分派给当事人的名称标识符。
在处理了注册名称标识符请求消息之后,位于服务提供商的注册名称标识符服务通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机来进行响应(步骤208)。使用由身份提供商在注册名称标识符请求消息内的“RegisterNameIdentifierServiceRetureURL”元数据元素中提供的返回URI,重定向消息将客户机重定向到身份提供商。在重定向消息的“Location”HTTP标题中指定返回URI。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有如现有技术Liberty Alliance规范内所定义的“<lib:RegisterNameIdentifierResponse>”协议消息。
响应于接收到来自服务提供商的重定向消息,如来自服务提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至身份提供商(步骤210),从而终止过程。客户机启动完成在身份提供商的注册名称标识符操作,因为从客户机到身份提供商的HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentifierResponse>”消息。如上所述,基于HTTP重定向的注册名称标识符简表不能够由身份提供商自行启动,并且必须由身份提供商与另一实体(要么是用户代理要么是服务提供商)之间某种类型的消息或交互触发;因此,可以在身份提供商接收到注册名称标识符响应消息之后完成附加的处理步骤(图2A中未示出)。
现参照图2B,数据流程图描绘了基于HTTP重定向的注册名称标识符简表,如现有技术Liberty Alliance规范内所定义的,其由服务提供商启动。由于对现有技术Liberty Alliance规范的实现来说特有的各种原因,服务提供商可以改变(即注册)已由服务提供商提供给当事人的名称标识符,称为“<lib:SPProvidedNameIdentifier>”;以图2B中所示的方式,由服务提供商将新近分派的名称标识符传输至身份提供商。服务提供商提供的名称标识符是这样的名称标识符,即当身份提供商与服务提供商就特定当事人进行通信时,服务提供商期望身份提供商使用该名称标识符;直到服务提供商向身份提供商注册服务提供商提供的名称标识符,身份提供商在涉及特定当事人时都将继续使用当前所分派的身份提供商提供的名称标识符。
通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送给客户机,也称为用户代理,例如Web浏览器应用,基于HTTP重定向的注册名称标识符简表开始于服务提供商(步骤222)。基于HTTP重定向的注册名称标识符简表可以由服务提供商自行启动;图2B中并未示出启动该过程之前在服务提供商与另一实体(要么是用户代理要么是身份提供商)之间的其它可能的消息或交互。重定向消息将客户机重定向到位于服务提供商的注册名称标识符服务的适当位置,例如,如重定向消息的“Location”标题内的URI所标识的。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有如现有技术Liberty Alliance规范内所定义的“<lib:RegisterNameIdentifierRequest>”协议消息。
响应于接收到来自服务提供商的重定向消息,如来自服务提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至位于身份提供商的注册名称标识符服务(步骤224)。以这种方式,客户机访问位于身份提供商的注册名称标识符服务,因为HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentffierRequest>”消息。因此,身份提供商处理注册名称标识符请求消息(步骤226),从而注册由服务提供商提供的名称标识符。
在处理了注册名称标识符请求消息之后,位于身份提供商的注册名称标识符服务通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机来进行响应(步骤228)。重定向消息将客户机重定向到服务提供商,例如,使用由服务提供商在注册名称标识符请求消息内提供的返回URI。在重定向消息的“Location”HTTP标题中指定返回URI。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有如现有技术Liberty Alliance规范内所定义的“<lib:RegisterNameIdentifierResponse>”协议消息。
响应于接收到来自身份提供商的重定向消息,如来自身份提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至服务提供商(步骤230),从而终止过程。客户机启动完成在服务提供商的注册名称标识符操作,因为从客户机到服务提供商的HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentffierResponse>”消息。可以在服务提供商接收到注册名称标识符响应消息之后完成附加的处理步骤(图2B中未示出)。
如以上关于图2A和图2B所讨论的,注册名称标识符简表是这样的那些简表,即依照现有技术Liberty Alliance规范,服务提供商可以通过该简表请求为当事人注册名称标识符,或者身份提供商或身份提供商可以通过该简表为当事人改变名称标识符。
由现有技术Liberty Alliance规范定义的注册名称标识符简表具有两种协议实现-基于HTTP重定向的实现和基于SOAP/HTTP的实现。如上所述,在基于HTTP重定向的捆绑的情况下,想要调用注册名称标识符的实体或一方必须等待来自用户的输入HTTP请求;换句话说,基于HTTP重定向的注册名称标识符简表不能够被自行启动。因此,在利用HTTPGET完成并且返回控制以允许实现初始HTTP请求之前,将注册名称标识符数据流置于HTTP响应中,例如,包括启动更多基于HTTP重定向的GET。
将该场景内的注册名称标识符数据流的启动绑定到位于启动实体或启动方的用户。因此,如果从身份提供商触发注册名称标识符简表,那么在身份提供商,在对用户有效的、经认证的会话范围内触发该数据流。然而,注册名称标识符简表并不要求用户对于注册名称标识符简表的范围而认证于或一次性登录到服务提供商。同样地,存在隐含的假设,即如果从服务提供商调用这些数据流,那么用户已认证于身份提供商,并且因而已执行到服务提供商的一次性登录;这是错误的假设,因为即使在联合之后,现有技术Liberty Alliance规范也不要求服务提供商放弃认证用户的所有权利。
在任一场景中,均不存在将如在身份(服务)提供商处启动的、用户的注册名称标识符请求绑定到如在服务(身份)提供商处已知的用户。这意味着不能保证请求实际上是用于为之执行请求的用户;另外,也不能保证用户或恶意方不重放或用别的方式滥用请求。
增强的注册名称标识符简表:
本发明针对如Liberty Alliance规范中所描述的注册名称标识符简表中的上述不足之处,通过要求用户在双方(即身份提供商和服务提供商)均具有有效的会话,以便完成基于HTTP重定向的注册名称标识符流程。如以下关于图3A和图3B较为详细说明的,该方法要求用户(推测为之发生注册名称标识符操作的当事人)在注册名称标识符操作期间向身份提供商和服务提供商二者进行认证(或执行一次性登录操作)。尽管图3A和图3B内所说明的示例性实施例采用了基于HTTP的通信,然而本发明并不限于基于HTTP的通信,并且可以采用其它的通信协议。
现参照图3A,数据流程图描绘了增强的基于HTTP重定向的注册名称标识符(RNI)简表,包括通用认证步骤,依照本发明的实施例其由身份提供商启动。以类似于图2A中所示的方式,图3A描绘了这样的过程,即身份提供商可以通过该过程来改变(即注册)已由身份提供商分派给位于所选择的服务提供商的当事人的名称标识符,称为“<lib:IDPProvidedNameIdentifier>”,其可能出于各种实现特有的原因而出现。然而,图3A中所示的过程与图2A中所示的过程不同之处在于包括了附加的认证步骤,如下文所讨论的。
该数据流的前提是:用户已经链接了身份提供商和服务提供商处的用户帐户(步骤302),并且用户已经向身份提供商进行认证(步骤304)。对于步骤302,要求仅仅是已在最小值对“<lib:IDPProvidedNameIdentifier>”进行了设置。在该处理中的此处,本发明不要求存在“<lib:SPProvidedNameIdentifier>”。对于步骤304,要求仅仅是用户已在某一先前的时间点向身份提供商进行认证,并且当前与身份提供商具有有效的会话。本发明对于建立该会话的原因不作要求;例如,不要求已经出于除执行注册名称标识符简表以外的某种目的而建立了该会话,也不要求出于执行注册名称标识符简表的目的而明确地创建该会话。
通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机,也称为用户代理,例如Web浏览器应用,增强的基于HTTP重定向的注册名称标识符简表开始于身份提供商(步骤306)。该消息可以已由若干不同的情形触发,例如用户明确请求重置其标识符,或身份提供商已设置了某种基于管理员的触发器,或者各种其它类似的事件。重定向消息将客户机重定向到位于服务提供商的注册名称标识符服务的适当位置,例如,如重定向消息的“Location”标题内的URI所标识的。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有“<lib:RegisterNameIdentifierRequest>”协议消息。
响应于接收到来自身份提供商的重定向消息,如来自身份提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至位于服务提供商的注册名称标识符服务(步骤308)。以这种方式,客户机访问位于服务提供商的注册名称标识符服务,因为HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentifferRequest>”消息。
与图2A中所示的过程形成对比,服务提供商与用户、客户机或用户代理执行认证操作(步骤310);可以假设已要求用户/客户机完成与身份提供商的认证操作。如果在步骤310未成功完成认证操作,那么服务提供商可以立即将失败响应返回给身份提供商,从而终止过程。
在步骤310,要求用户/客户机完成附加的认证操作,即除了身份提供商可能已要求的任何认证操作之外,从而使得服务提供商可以确保所接收到的注册名称标识符请求是绑定的或可信的;否则,服务提供商可能不确定所接收到的注册名称标识符请求消息并非源自恶意用户/系统,并且服务提供商不能够确定客户机正在为关联的终端用户执行RNI请求。通常,允许任何的随机用户为任何其他的随机用户传送RNI请求并非好的习惯。在本发明的情况下,作为注册名称标识符简表的一部分,在身份提供商和服务提供商两处的强制认证或一次性登录帮助确保在身份提供商和服务提供商两处均维持用户到RNI请求的安全绑定。
在任何情况下,如果会话已在服务提供商处对用户存在,那么不要求服务提供商建立新的会话;其可以选择依赖于先前存在的会话。然而还应当注意,在用户可能具有与单个服务提供商关联的多个身份提供商的场景中,服务提供商可以选择为用户重新建立会话,从而确保在其内执行注册名称标识符简表的会话被明确绑定到已启动注册名称标识符的身份提供商。
假设在步骤310成功完成了认证操作,服务提供商然后处理注册名称标识符请求消息(步骤312),从而注册由身份提供商分派给当事人的名称标识符。服务提供商视情况终止在服务提供商处创建的用户/客户机会话(步骤314)。
在处理了注册名称标识符请求消息之后,位于服务提供商的注册名称标识符服务通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机来进行响应(步骤316)。使用先前由身份提供商提供给服务提供商的返回URI,重定向消息将客户机重定向到身份提供商。在重定向消息的“Location”HTTP标题中指定返回URI。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有“<lib:RegisterNameIdentifierResponse>”协议消息。
响应于接收到来自服务提供商的重定向消息,如来自服务提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至身份提供商(步骤318),从而终止过程。客户机启动完成在身份提供商的注册名称标识符操作,因为从客户机到身份提供商的HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentifierResponse>”消息。可以在身份提供商接收到注册名称标识符响应消息之后完成附加的处理步骤(图3A中未示出)。
步骤310可以包括用于认证的若干不同的可选实现:(1)通过服务提供商与用户的直接认证;(2)预备性一次性登录操作,其在将注册名称标识符请求从身份提供商发送至服务提供商之前完成;(3)一次性登录操作,其由服务提供商触发,即从服务提供商将其发送回身份提供商用于完成,因而实现牵引式一次性登录操作;或者(4)一次性登录操作,其基于将一次性登录信息包括在从身份提供商到服务提供商的注册名称标识符请求内,从而实现推进式一次性登录操作。图3B-3E中说明了这些可选方案。
现参照图3B,数据流程图描绘了增强的基于HTTP重定向的注册名称标识符(RNI)简表,包括直接认证步骤,依照本发明的实施例其由身份提供商启动。以类似于图3A中所示的方式,图3B描绘了这样的过程,即身份提供商可以通过该过程来改变(即注册)已由身份提供商分派给位于所选择的服务提供商的当事人的名称标识符;同样的参考数字标识相似的元件。然而,鉴于图3A描绘了通用认证步骤310,图3B中所示的过程与图3A中所示的过程不同之处在于:包括了在客户机、用户或用户代理以及服务提供商之间的直接认证操作(步骤320)。
现参照图3C,数据流程图描绘了增强的基于HTTP重定向的注册名称标识符(RNI)简表,包括用于认证的预备性一次性登录操作,依照本发明的实施例其由身份提供商启动。以类似于图3A中所示的方式,图3C描绘了这样的过程,即身份提供商可以通过该过程来改变(即注册)已由身份提供商分派给位于所选择的服务提供商的当事人的名称标识符;同样的参考数字标识相似的元件。然而,鉴于图3A描绘了通用认证步骤310,图3C中所示的过程与图3A中所示的过程不同之处在于包括了特殊的认证操作,如下文所讨论的。
本发明不排除在服务提供商与用户/客户机之间的直接认证操作,由此,服务提供商直接向用户/客户机提示认证凭证,例如图3B中所说明的操作。然而,图3A中的步骤310优选地通过从身份提供商到服务提供商的一次性登录操作来实现,从而使得步骤310不需要用户交互;图3C描绘了采用一次性登录操作的一个实施例,并且图3D-3E描绘了采用一次性登录操作的其它实施例。
参照图3C,在身份提供商已确定为用户启动与特定服务提供商的注册名称标识符简表之后,身份提供商首先向服务提供商执行一次性登录操作。身份提供商将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机,也称为用户代理,例如Web浏览器应用(步骤330)。响应于接收到来自身份提供商的重定向消息,如来自身份提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至服务提供商(步骤332)。服务提供商处理一次性登录请求(步骤334),例如,通过确认来自身份提供商的认证权标。假设成功完成一次性登录操作,那么服务提供商通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机来进行响应(步骤336)。使用先前由身份提供商提供给服务提供商的返回URI,重定向消息将客户机重定向到身份提供商;在重定向消息的“Location”HTTP标题中指定返回URI。响应于接收到来自服务提供商的重定向消息,如来自服务提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至身份提供商(步骤338),从而终止认证/一次性登录操作。
在图3C所示的实施例中,当此后将RNI请求从身份提供商经由客户机发送给服务提供商的时候,由于先前的一次性登录操作,服务提供商将已经具有对用户的有效会话,并且服务提供商不需要以图3A中所示的方式执行与用户的认证操作。
本发明对于图3D中所示的推进式一次性登录操作以及图3E中所示的牵引式一次性登录操作均适用。在推进式一次性登录操作的情况下,身份提供商随发送至服务提供商的注册名称标识符请求嵌入某种形式的认证权标;如果会话尚未存在,则这允许服务提供商基于随注册名称标识符请求所包括的信息为用户构建会话。在牵引式一次性登录操作的情况下,服务提供商中断注册名称标识符处理以启动对身份提供商的一次性登录请求。一旦完成了牵引式一次性登录操作,服务提供商就能够重新开始处理注册名称标识符请求。
现参照图3D,数据流程图描绘了增强的基于HTTP重定向的注册名称标识符(RNI)简表,包括用于认证的推进式一次性登录操作,依照本发明的实施例其由身份提供商启动。以类似于图3A中所示的方式,图3D描绘了这样的过程,即身份提供商可以通过该过程来改变(即注册)已由身份提供商分派给位于所选择的服务提供商的当事人的名称标识符;同样的参考数字标识相似的元件。然而,鉴于图3A描绘了通用认证步骤310,图3D中所示的过程与图3A中所示的过程不同之处在于包括了特殊的认证操作,如下文所讨论的。
参照图3D,图3D中的步骤340和342类似于图3A中所示的步骤306和308;然而,步骤340和342不同于步骤306和308,因为身份提供商将一次性登录信息连同HTTP重定向消息中的RNI请求推至客户机(步骤340)。响应于接收到来自身份提供商的重定向消息,如来自身份提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至位于服务提供商的注册名称标识符服务(步骤342);从客户机到服务提供商的消息还含有一次性登录信息。当服务提供商处理请求时,假设可以确认一次性登录请求,当在步骤312处理RNI请求之前,服务提供商基于一次性登录信息为用户建立会话(步骤344)。
现参照图3E,数据流程图描绘了增强的基于HTTP重定向的注册名称标识符(RNI)简表,包括用于认证的牵引式一次性登录操作,依照本发明的实施例其由身份提供商启动。以类似于图3A中所示的方式,图3E描绘了这样的过程,即身份提供商可以通过该过程来改变(即注册)已由身份提供商分派给位于所选择的服务提供商的当事人的名称标识符;同样的参考数字标识相似的元件。然而,鉴于图3A描绘了通用认证步骤310,图3E中所示的过程与图3A中所示的过程不同之处在于包括了特殊的认证操作,如下文所讨论的。
参照图3E,当在步骤308服务提供商已从特定的身份提供商为用户接收到对注册名称标识符简表的请求之后,服务提供商暂停对RNI请求的处理,以便与身份提供商执行牵引式一次性登录操作。服务提供商将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机(步骤350)。响应于接收到来自服务提供商的重定向消息,如来自服务提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至身份提供商(步骤352)。
身份提供商处理请求以获得一次性登录信息(步骤354),例如,通过为服务提供商生成认证权标。身份提供商通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机来进行响应(步骤356),其中重定向消息含有所请求的一次性登录信息。使用先前由服务提供商提供给身份提供商的返回URI,重定向消息将客户机重定向到服务提供商;在重定向消息的“Location”HTTP标题中指定返回URI。响应于接收到来自服务提供商的重定向消息,如来自身份提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至服务提供商(步骤358)。当服务提供商处理请求时,假设可以确认一次性登录信息,当在步骤312重新开始处理RNI请求之前,服务提供商基于一次性登录信息为用户建立会话(步骤359)。以这种方式,服务提供商中断注册名称标识符处理以启动对身份提供商的牵引式一次性登录请求。一旦完成了牵引式一次性登录操作,服务提供商就能够重新开始处理注册名称标识符请求。
现参照图3F,数据流程图描绘了增强的基于HTTP重定向的注册名称标识符简表,包括通用认证步骤,依照本发明的实施例其由服务提供商启动。以类似于图2B中所示的方式,图3F描绘了这样的过程,即服务提供商可以通过该过程来设置或改变(即注册)已由服务提供商提供给当事人的名称标识符,称为“<lib:SPProvidedNameIdentifier>”,其可能出于各种实现特有的原因而出现。然而,图3F中所示的过程与图2B中所示的过程不同之处在于包括了附加的认证步骤,如下文所讨论的。
该数据流的前提是:用户已经链接了身份提供商和服务提供商处的用户帐户(步骤362),并且用户已经向服务提供商进行认证(步骤364)。对于步骤362,要求仅仅是已在最小值对“<lib:IdPProvidedNameIdentifier>”进行了设置。本发明不要求在该处理中的此处存在“<lib:SPProvidedNameIdentifier>”。对于步骤364,要求仅仅是用户已在某一先前的时间点向服务提供商进行认证,并且当前与服务提供商具有有效的会话。本发明对于建立该会话的原因不作要求。例如,本发明不要求已经出于除执行注册名称标识符简表以外的某种目的建立了该会话,也不要求出于执行注册名称标识符简表的目的而明确地创建会话。另外,本发明对于如何在服务提供商处创建会话不作要求;例如,不要求也不限制基于来自相应的身份提供商的一次性登录操作而创建该会话,同样不要求也不限制由服务提供商通过直接认证操作来创建会话。
通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机,增强的基于HTTP重定向的注册名称标识符简表开始于服务提供商(步骤366)。重定向消息将客户机重定向到位于身份提供商的注册名称标识符服务的适当位置,例如,如重定向消息的“Location”标题内的URI所标识的。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有“<lib:RegisterNameIdentifierRequest>”协议消息。
响应于接收到来自服务提供商的重定向消息,如来自服务提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至位于身份提供商的注册名称标识符服务(步骤368)。以这种方式,客户机访问位于身份提供商的注册名称标识符服务,因为HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentifierRequest>”消息。
与图2B中所示的过程形成对比,如果身份提供商不具有与用户的有效会话,则身份提供商与用户、客户机或用户代理执行认证操作(步骤370);可以假设已经要求用户/客户机完成与服务提供商的认证操作。身份提供商可能出于各种原因而不具有对用户有效的会话:(1)可能已经终止了先前的会话;用户可能在未与身份提供商预先交互的情况下就已经直接与服务提供商执行了认证操作;或者(3)用户已通过不同的身份提供商执行了对服务提供商的一次性登录操作;或者出于某种其它的原因。如果在步骤370没有成功完成认证操作,那么身份提供商可以立即将失败响应返回给服务提供商,从而终止过程。
在步骤370,要求用户/客户机完成附加的认证操作,即除了服务提供商可能已要求的任何认证操作之外,从而使得身份提供商可以确保所接收到的注册名称标识符请求是绑定的或可信的;否则,身份提供商可能不确定所接收到的注册名称标识符请求消息并非源自恶意用户/系统,并且身份提供商不能够确定客户机正在为关联的终端用户执行RNI请求。通常,允许任何的随机用户为任何其他的随机用户传送RNI请求并非好的习惯。在本发明的情况下,作为注册名称标识符简表的一部分,在身份提供商和服务提供商两处的强制认证或一次性登录帮助确保在身份提供商和服务提供商两处均维持用户到RNI请求的安全绑定。
假设在步骤370成功完成了认证操作,身份提供商然后处理注册名称标识符请求消息(步骤372),从而注册由服务提供商提供给当事人的名称标识符。优选地仅当只是为了执行注册名称标识符简表而创建该会话时,身份提供商视情况终止在身份提供商处创建的用户/客户机会话(步骤374)。应当注意,通常,身份提供商将不终止该会话,特别是如果在启动注册名称标识符简表之前会话就预先存在的话。
在处理了注册名称标识符请求消息之后,位于身份提供商的注册名称标识符服务通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机来进行响应(步骤376)。使用先前由服务提供商提供给身份提供商的返回URI,重定向消息将客户机重定向到服务提供商。在重定向消息的“Location”HTTP标题中指定返回URI。重定向消息的“Location”HTTP标题中还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有“<lib:RegisterNameIdentifierResponse>”协议消息。
响应于接收到来自身份提供商的重定向消息,如来自身份提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至服务提供商(步骤378),从而终止过程。客户机启动完成在服务提供商的注册名称标识符操作,因为从客户机到服务提供商的HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentifierResponse>”消息。可以在服务提供商接收到注册名称标识符响应消息之后完成附加的处理步骤(图3F中未示出)。
用于联合的增强的注册名称标识符简表:
如以上关于图2A和图2B所讨论的,注册名称标识符简表是这样的那些简表,即依照现有技术Liberty Alliance规范,服务提供商可以通过该简表请求为当事人注册名称标识符,或者身份提供商或服务提供商可以通过该简表为当事人改变名称标识符。如上所述,如现有技术Liberty Alliance规范中所描述的,注册名称标识符简表不允许身份提供商触发对名称标识符的初始设置;换句话说,注册名称标识符简表不能够用于链接先前未链接的帐户,也称为对联合帐户的操作。仅可以在预先存在的帐户链接的场景(即联合场景)内调用这些简表。仅可以在专门化一次性登录简表(常称为联合简表)的范围内通过服务提供商来调用初始帐户链接过程。
本发明针对这一不足,通过允许身份提供商触发注册名称标识符简表来达到建立初始帐户链接的目的。该方法要求用户(推测正为之执行注册名称标识符简表的当事人)在初始注册名称标识符操作期间明确地向身份提供商和服务提供商二者进行认证,如下文关于图4A和图4B较为详细说明的。尽管图4A和图4B内所说明的示例性实施例采用基于HTTP的通信,然而本发明并不限于基于HTTP的通信,并且可以采用其它的通信协议。
现参照图4A,数据流程图描绘了增强的基于HTTP重定向的注册名称标识符简表,依照本发明的实施例,其由身份提供商启动以便执行帐户链接操作,视情况随后进行一次性登录操作。以类似于图3A中所示的方式,图4A描绘了身份提供商可以通过其为当事人注册新的名称标识符的过程,其中当前在身份提供商处不存在用于具有给定服务提供商的当事人的名称标识符;在现有技术Liberty Alliance规范中并未指定该功能性。另外,图4A描绘了说明以下例子的附加处理步骤,即在该例中,本发明的增强的基于HTTP重定向的注册名称标识符简表被合并到一组事务中,在这组事务中,身份提供商处的用户帐户和服务提供商处的用户帐户被链接到一起。在已执行了帐户链接操作之后,身份提供商可以启动与依赖于所链接的帐户的服务提供商的一次性登录操作。
该过程开始于客户机对位于身份提供商的受保护或受控制的资源发送HTTP请求消息(步骤402),举例来说,如登录Web页面。身份提供商随后要求客户机完成认证操作(步骤404),此后身份提供商将响应返回给客户机(步骤406)。在该例中,身份提供商返回对联合可选方案的提供;这些联合可选方案可以是在相同的联合内与身份提供商互操作的一列服务提供商。
例如,身份提供商可以返回这样的Web页面,即该Web页面含有在联合计算环境内与身份提供商交互的一列第三方门户;所返回的Web页面表示允许用户从该列第三方门户选择第三方门户的表单。客户机的用户(联合内的当事人)先前可能已经或可能尚未在第三方门户之一建立用户帐户;然而,假设用户已经在第三方门户之一建立了用户帐户,所返回的Web页面是允许用户将第三方门户处的用户帐户与身份提供商处的用户帐户进行链接的表单。换句话说,由客户机从身份提供商接收到的Web页面允许用户启动帐户链接操作,以便随后将第三方门户链接到相对于用户的身份提供商。客户机的用户可以选择第三方门户,例如,通过在被格式化为表单并且在Web浏览器的窗口内被呈现给用户的Web页面中选择复选框,其中复选框与表示由服务提供商所操作的域的特定第三方门户关联。在选择了诸如“OK(好)”按钮或“Submit(提交)”按钮这样的特定控制时,来自该表单的适当内容被从客户机发送至身份提供商,例如,在HTTPPost消息内,从而指示用户期望联合身份提供商处的用户帐户与所选择的服务提供商(步骤408)。
在从客户机接收到启动联合操作的请求之后,身份提供商构建注册名称标识符请求消息(步骤410)。然后通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机,本发明的增强的基于HTTP重定向的注册名称标识符简表开始于身份提供商(步骤412)。重定向消息将客户机重定向到位于服务提供商的注册名称标识符服务的适当位置,例如,如重定向消息的“Location”标题内的URI所标识的。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有先前在步骤410构建的“<lib:RegisterNameIdentifierRequest>”协议消息。
响应于接收到来自身份提供商的重定向消息,如来自身份提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至位于服务提供商的注册名称标识符服务(步骤414)。如果用户尚不具有与服务提供商的有效会话,则服务提供商收集用户的认证凭证(例如,用户名和口令)并确认这些凭证(步骤416),由此要求附加的用户交互,即除了身份提供商可能已要求的任何交互之外。要求该交互以便服务提供商可以确定为其请求联合/注册名称标识符的用户的本地身份。不要求服务提供商响应于该认证请求而为用户建立会话;为了确定用户的身份和真实性,服务提供商可以简单确认给出的凭证。因此,为了完成该注册名称标识符简表,不要求服务提供商为用户管理会话,因为在单个HTTP请求/响应对的范围内完成了服务提供商侧的功能性。
应当注意,在某些情况下,用户会已经在服务提供商处建立了帐户。然而,如果用户在服务提供商处并不具有预先存在的帐户,则响应于该认证/RNI请求,服务提供商可以选择为用户创建帐户;一旦建立了该帐户,剩余的RNI处理就会如图4A中所示进行,即联合服务提供商处的用户帐户和身份提供商处的用户帐户。
步骤416的一部分还可以包括与用户的服务提供商交互,由此,服务提供商可以选择将对联合的请求通知用户,例如,通过提供专门格式化的Web页面,其含有消息如:
你正在试图将你与我们的帐户与身份提供商“X”联合/链接。通过将你的登录信息提供给我们,你同意该链接。一旦已建立该链接,你将能够从身份提供商“X”对你的本地帐户执行一次性登录操作。如果你不希望完成该动作,选择“CANCEL(取消)”。
来自用户的取消请求立即向身份提供商生成失败响应。可以作为来自服务提供商的登录请求的一部分而呈现该页面,从而向用户解释为何正在请求用户的认证凭证。
如果因为用户与服务提供商具有预先存在的有效会话而不要求明确的用户交互用于收集认证凭证,那么服务提供商可以使用步骤416来征求用户的“consent to federate(同意联合)”,其是仅在现有技术Liberty Alliance规范的SSO-联合简表内所定义的动作。应当注意,在用于注册名称标识符简表的现有技术Liberty Alliance规范下,该场景(即其中尚未链接帐户;用户已经向身份提供商进行认证,并且视情况已经向服务提供商进行认证;并且用户请求来自身份提供商的帐户链接)是不可能的。
还应当注意,因为尚未联合用户的服务提供商帐户和用户的身份提供商帐户,所以从身份提供商到服务提供商的一次性登录操作是不可能的;用户必须将认证凭证/身份信息直接呈现给服务提供商。有可能用户已将服务提供商处的用户帐户与不同的身份提供商联合,在这种情况下,来自这一其它身份提供商的一次性登录操作是可能的。因此,可选地,可以将谢绝服务提供商与请求的身份提供商之间的新联合的某一选项呈现给用户,例如,遵从服务提供商处的用户帐户与不同身份提供商的预先存在的联合。
如果在已通过来自不同身份提供商的一次性登录操作而建立的会话的上下文中,于服务提供商处接收到注册名称标识符请求消息,那么在继续进行注册名称标识符处理之前,服务提供商可以选择为认证凭证重新提示用户。在一场景中这是值得期望的,该场景的例子如下:用户具有与服务提供商的两个不同的帐户,一个链接到作为其身份提供商的、用户的雇主,并且一个作为用户的个人帐户且未与其雇主链接。如果用户然后希望与不同的身份提供商(例如,用户的银行)链接该第二个人帐户,那么服务提供商必须小心以确保从银行接收到的任何注册名称标识符请求消息是正确地与用户的个人帐户链接的。因而,如果用户试图在他与来自其雇主的服务提供商具有有效会话时将其银行和个人帐户联合,则由服务提供商负责确保完成适当的帐户链接。
如果用户试图联合已与不同的身份提供商联合的帐户,则应当提示用户,例如,通过提供专门格式化的Web页面,其含有消息如:
你当前与身份提供商“X”联合-你希望现在与身份提供商“Y”联合?
用户可能具有与单个服务提供商关联的多个身份提供商。尽管这不是常见事件,然而这可能发生,例如,当用户对于这样的服务提供商具有帐户时,即该服务提供商由充当用户的身份提供商的用户的雇主赞助,或以某种方式附属于充当用户的身份提供商的用户的雇主;用户可能甚至未意识到服务提供商资源并非由身份提供商提供。用户还可能对于相同的服务提供商具有个人帐户;例如,除了通过用户个人帐户的个人交易服务之外,服务提供商还可以通过用户的雇主提供股票选择权(stock option)管理。
假设在步骤416成功完成了认证/识别操作,服务提供商然后处理注册名称标识符请求消息(步骤418),从而注册由身份提供商分派给当事人的名称标识符,并且链接当事人的身份,以便通过身份提供商所持有的信息将用户的帐户链接到一起。服务提供商视情况终止可能已在服务提供商处创建的任何用户/客户机会话(步骤420)。
在处理了注册名称标识符请求消息之后,位于服务提供商的注册名称标识符服务通过将HTTP重定向消息(具有状态/原因代码“302”的HTTP响应消息)发送至客户机来进行响应(步骤422)。该消息还可以包括某种形式的、客户端维护的信息(例如HTTP网络跟踪器),其由服务提供商设置,并且将身份提供商标识为用户的身份提供商;这将立即使用户能够执行从身份提供商到服务提供商的一次性登录操作。
使用先前由身份提供商提供给服务提供商的返回URI,重定向消息将客户机重定向到身份提供商。在重定向消息的“Location”HTTP标题中指定返回URI。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有“<lib:RegisterNameIdentifierResponse>”协议消息。
响应于接收到来自服务提供商的重定向消息,如来自服务提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至身份提供商(步骤424)。客户机启动完成在身份提供商的注册名称标识符操作,因为从客户机到身份提供商的HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentifierResponse>”消息。身份提供商处理通过客户机被重定向的、来自服务提供商的注册名称标识符响应消息(步骤426)。
假设来自服务提供商的响应指示成功的注册名称标识符操作,身份提供商为最初在步骤408请求的联合操作而将响应发送至客户机(步骤428);该响应可以含有对成功完成帐户链接操作的指示以及到位于服务提供商的联合资源的链接,例如,以嵌于Web页面内的超级链接的形式,该Web页面被返回给正在客户机上执行的Web浏览器。
用户然后可以操作客户机处的Web浏览器,以便选择或访问如已从身份提供商接收到的Web页面内所提供的、位于服务提供商的受控制或受保护的资源,并且客户机为所请求的资源将HTTP请求消息发送至服务提供商(步骤430)。假设身份提供商和服务提供商处的用户帐户现在链接在一起,服务提供商可以与客户机和/或身份提供商交互以执行认证操作(步骤432);例如,身份提供商可以按照服务提供商经由客户机通过HTTP重定向消息所请求的来提供认证权标。假设认证操作成功,服务提供商将HTTP响应消息发送至客户机(步骤434)。从服务提供商到客户机的响应可以是表示基于用户的身份专供用户使用的第三方门户服务的Web页面;换句话说,Web页面优选地含有为用户专门定制的信息内容。另外,Web页面可以包括以联合方式通往位于身份提供商的受保护或受控制的资源的链接。
如上所述,要是已经创建了会话,则步骤420是任选的但却优选地包括在本发明的注册名称标识符简表内;如果在步骤420创建了且没有终止用于注册名称标识符操作的会话,那么在步骤430可能出于以下原因由服务提供商生成未定义的结果。在步骤430,在从客户机到服务提供商的后续请求期间,服务提供商可能意识到该请求曾源自于相同的客户机,例如,由于伴随来自客户机的请求的HTTP网络跟踪器,其中该HTTP网络跟踪器含有会话标识符,其中该会话被绑定到用户,如同直接向服务提供商进行认证一样。如果未终止先前的会话,那么服务提供商可能将HTTP网络跟踪器内的会话标识符识别为有效的会话标识符,由此使得服务提供商使用与先前构造的会话关联的信息对客户机进行响应;然而,该信息是失效的。如果先前建立的会话包括用户帐户信息的子集的副本,那么服务提供商基于来自用户帐户的信息的该子集返回响应,但在构建了先前所建立的会话之后,服务提供商处的用户帐户变成与身份提供商处的用户帐户联合。因而,服务提供商应当使用在服务提供商为用户执行注册名称标识符操作之后所建立的、在服务提供商处的用户帐户中的信息对来自客户机的后续请求进行响应,从而使得用户接收到可能具有联合信息的响应;确保利用最新的用户帐户信息的一种方法是确保在步骤420终止先前的会话,或者在步骤420中从未建立会话。
例如,服务提供商可以为具有与身份提供商联合的帐户的用户提供对电子商务域内的某些服务的购买动机。如果服务提供商准备使用失效的用户帐户信息,那么用户将不接收此类动机,直到服务提供商处的用户的下一会话为止,即用户对服务提供商所操作的电子商务域随后的访问。然而,在用户的帐户已被链接到一起之后,该动机应当尽可能快地对用户可用。通过终止早先的会话,避免了该场景。
现参照图4B,数据流程图描绘了增强的基于HTTP重定向的注册名称标识符简表,依照本发明的实施例,其由服务提供商启动以便执行帐户链接操作,视情况随后进行一次性登录操作。以类似于图3B中所示的方式,图4B描绘了服务提供商可以通过其为当事人注册新的名称标识符的过程,其中当前在身份提供商处不存在用于具有给定服务提供商的当事人的名称标识符;在现有技术Liberty Alliance规范中并未指定该功能性。另外,图4A描绘了说明以下例子的附加处理步骤,即在该例中,本发明的增强的基于HTTP重定向的注册名称标识符简表被合并到一组事务中,在这组事务中,身份提供商处的用户帐户和服务提供商处的用户帐户被链接到一起。在已执行帐户链接操作之后,身份提供商可以启动与依赖于所链接的帐户的服务提供商的一次性登录操作。
该过程开始于客户机对位于服务提供商的受保护或受控制的资源发送HTTP请求消息(步骤452),举例来说,如登录Web页面。服务提供商随后要求客户机完成认证操作(步骤454),此后服务提供商将响应返回给客户机(步骤456)。在该例中,服务提供商返回对联合可选方案的提供;这些联合可选方案可以是在相同的联合中与服务提供商互操作的一列身份提供商。
例如,服务提供商可以返回这样的Web页面,即该Web页面含有在联合计算环境内与服务提供商交互的一列第三方门户;所返回的Web页面表示允许用户从该列第三方门户选择第三方门户的表单。客户机的用户(联合内的当事人)先前可能已经或可能尚未在第三方门户之一建立用户帐户;然而,假设用户已经在第三方门户之一建立了用户帐户,所返回的Web页面是允许用户将第三方门户处的用户帐户与身份提供商处的用户帐户进行链接的表单。换句话说,由客户机从服务提供商接收到的Web页面允许用户启动帐户链接操作,以便随后将第三方门户链接到相对于用户的服务提供商。客户机的用户可以选择第三方门户,例如,通过在被格式化为表单并且在Web浏览器的窗口内被呈现给用户的Web页面中选择复选框,其中复选框与表示由身份提供商所操作的域的特定第三方门户关联。在选择了诸如“OK”按钮或“Submit”按钮这样的特定控制时,来自该表单的适当内容被从客户机发送至服务提供商,例如,在HTTP Post消息内,从而指示用户期望联合服务提供商处的用户帐户与所选择的身份提供商(步骤458)。
在从客户机接收到启动联合操作的请求之后,服务提供商构建注册名称标识符请求消息(步骤460)。然后通过将HTTP重定向消息(具有状况/原因代码“302”的HTTP响应消息)发送至客户机,本发明的增强的基于HTTP重定向的注册名称标识符简表开始于服务提供商(步骤462)。重定向消息将客户机重定向到位于身份提供商的注册名称标识符服务的适当位置,例如,如重定向消息的“Location”标题内的URI所标识的。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有先前在步骤460构建的“<lib:RegisterNameIdentifierRequest>”协议消息。
响应于接收到来自服务提供商的重定向消息,如来自服务提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至位于身份提供商的注册名称标识符服务(步骤464)。如果用户尚不具有与身份提供商的有效会话,则身份提供商收集用户的认证凭证(例如,用户名和口令)并确认这些凭证(步骤466),由此要求附加的用户交互,即除了服务提供商可能已要求的任何交互之外。要求该交互以便身份提供商可以确定为其请求联合/注册名称标识符的用户的本地身份。不要求身份提供商响应于该认证请求而为用户建立会话;然而,身份提供商应当为用户创建会话,因为响应将被发送至服务提供商,其可能出于一次性登录的目的而被服务提供商使用。
应当注意,在某些情况下,用户会已经在身份提供商处建立了帐户。然而,如果用户在身份提供商处并不具有预先存在的帐户,则响应于该认证/RNI请求,身份提供商可以选择为用户创建帐户;一旦建立了该帐户,剩余的RNI处理就将如图4B中所示进行,即联合身份提供商处的用户帐户与服务提供商处的用户帐户。
步骤466的一部分还可以包括与用户的身份提供商交互,由此,身份提供商可以选择将对联合的请求通知用户,例如,通过提供专门格式化的Web页面,其含有消息如:
你正在试图将你与我们的帐户与服务提供商“X”联合/链接。通过将你的登录信息提供给我们,你同意该链接。一旦已建立该链接,你将能够从服务提供商“X”对你的本地帐户执行一次性登录操作。如果你不希望完成该动作,选择“CANCEL”。
来自用户的取消请求立即向服务提供商生成失败响应。可以作为来自身份提供商的登录请求的一部分而呈现该页面,从而向用户解释为何正在请求用户的认证凭证。
如果因为用户与身份提供商具有预先存在的有效会话而不要求明确的用户交互用于收集认证凭证,则身份提供商可以使用步骤466来征求用户的“consent to federate”。应当注意,在用于注册名称标识符简表的现有技术Liberty Alliance规范的情况下,该场景(即其中尚未链接帐户;用户已经向服务提供商进行认证,并且视情况已经向身份提供商进行认证;并且用户请求来自身份提供商的帐户链接)是不可能的。
应当注意,有可能用户已将身份提供商处的用户帐户与其它的服务提供商联合;然而,这不应当影响用户将(另一)服务提供商帐户与该身份提供商联合的请求。在这种情况下,将谢绝与该服务提供商联合的某选项呈现给用户是值得期望的。
假设在步骤466成功完成了认证/识别操作,身份提供商然后处理注册名称标识符请求消息(步骤468),从而注册由服务提供商分派给当事人的名称标识符(“SPProvidedNameIdentifier”)。应当注意,由于现有技术Liberty Alliance规范要求脱离链接的帐户具有最小的“IdPProvidedNameIdentifier”,因此身份提供商还将创建该名称标识符值,为用户注册该名称标识符值,并且试图将其返回给服务提供商。这允许链接当事人的身份,以便通过身份提供商和服务提供商所持有的信息将用户的帐户链接到一起。身份提供商然后视情况终止可能已在身份提供商处创建的任何用户/客户机会话(步骤470)。
在处理了注册名称标识符请求消息之后,位于身份提供商的注册名称标识符服务通过将HTTP重定向信息(具有状况/原因代码“302”的HTTP响应消息)发送至客户机来进行响应(步骤472)。该消息还包括身份提供商的名称标识符(“IdPProvidedNameIdentifier”);这允许服务提供商使用“IdPProvidedNameIdentifier”数据值与身份提供商进行关于用户的对话。
使用先前由服务提供商提供给身份提供商的返回URI,重定向消息将客户机重定向到服务提供商。在重定向消息的“Location”HTTP标题中指定返回URI。重定向消息的“Location”HTTP标题还包括查询部分,例如,附于URI并在URI内用“?”字符区分,其含有“<lib:RegisterNameIdentifierResponse>”协议消息。
响应于接收到来自身份提供商的重定向消息,如来自身份提供商的HTTP重定向消息中的URI所指示的,客户机将HTTP Get消息发送至服务提供商(步骤474)。客户机启动完成在身份提供商的注册名称标识符操作,因为从客户机到身份提供商的HTTP Get消息中的URI仍然含有所附的“<lib:RegisterNameIdentifierResponse>”消息。身份提供商处理通过客户机被重定向的、来自服务提供商的注册名称标识符响应消息(步骤476)。
假设来自身份提供商的响应指示成功的注册名称标识符操作,服务提供商为最初在步骤458请求的联合操作而将响应发送至客户机(步骤478);该响应可以含有对成功完成帐户链接操作的指示以及到位于服务提供商的联合资源的链接,例如,以嵌于Web页面内的超级链接的形式,该Web页面被返回给正在客户机上执行的Web浏览器。
用户然后可以操作客户机处的Web浏览器,以便选择或访问位于服务提供商的受控制或受保护的资源(步骤480)。假设现在身份提供商和服务提供商处的用户帐户链接在一起,身份提供商可以与客户机和/或服务提供商交互以执行认证操作(步骤482);例如,身份提供商可以按照服务提供商经由客户机通过HTTP重定向消息所请求的来提供认证权标。假设认证操作成功,服务提供商将HTTP响应消息发送至客户机(步骤484)。从服务提供商到客户机的响应可以是表示基于用户的身份专供用户使用的第三方门户服务的Web页面;换句话说,该Web页面优选地含有为用户专门定制的信息内容。另外,Web页面可以包括以联合方式通往位于服务提供商的受保护或受控制的资源的链接。
如上所述,步骤470是任选的。如果服务提供商准备随后为用户管理会话,则身份提供商不应该终止该会话。遵循这一点是因为服务提供商应该确保该会话被绑定到身份提供商并且是可控制的,例如利用身份提供商启动的一次性注销请求。如果终止身份提供商会话,那么这是不可能的。
结论:
鉴于以上所提供的对本发明的详细描述,本发明的优点应当是显而易见的。利用现有技术Liberty Alliance规范中的注册名称标识符简表,恶意用户可能充当身份提供商或服务提供商来诱骗关于用户帐户的注册名称标识符操作,由此创造使恶意用户能够访问用户帐户的条件。在本发明的情况下,在注册名称标识符操作期间要求附加的认证操作,从而使注册名称标识符简表更加安全,以便服务提供商或身份提供商可以信任由身份提供商或服务提供商所接收的一次性登录事件。
此外,本发明提供了安全的注册名称标识符简表,其允许在一次性登录操作的流程之外启动对用户的安全帐户绑定,并且允许由身份提供商或由服务提供商启动该绑定。现有技术Liberty Alliance规范中并未描述该特征,并且将不可能在这样的系统中包括该特征,即该系统依照现有技术Liberty Alliance规范实现,并且也不要求附加的操作以迫使服务提供商响应于来自身份提供商的用户请求而请求联合/一次性登录操作。
重要的是要注意,虽然已在完全起作用的数据处理系统的上下文中描述了本发明,但是本领域的普通技术人员将理解到,本发明的过程能够以计算机可读介质中指令的形式和各种其它的形式分布,而不考虑实际用于实现该分布的信号承载介质的特定类型。计算机可读介质的例子包括诸如EPROM、ROM、磁带、纸张、软盘、硬盘驱动器、RAM和CD-ROM的介质,以及诸如数字和模拟通信链路的传输型介质。
通常将方法设想成导致所期望的结果的、一系列自相容的步骤。这些步骤需要对物理量的物理操纵。通常,虽然并不一定,但是这些量采用能够被存储、传输、组合、比较以及用别的方式操纵的、电的或磁的信号的形式。有时(主要出于通用的原因)将这些信号称为比特、数值、参数、项目、元素、对象、符号、字符、条款、数字等是方便的。然而,应当注意,所有这些术语和类似的术语都将与适当的物理量关联,并且只是应用于这些量的方便的标记。
已经出于说明的目的给出了对本发明的描述,其并不旨在穷举或限于所公开的实施例。很多修改和变型对本领域的普通技术人员将是显而易见的。选择实施例来解释本发明的原理及其实际应用,并且使本领域的普通技术人员理解本发明,以便用可能适于其它所设想的用途的各种修改来实现各种实施例。
Claims (18)
1.一种用于在联合计算环境内执行操作的方法,所述方法包括:
在所述联合计算环境内的第二联合实体处从第一联合实体接收对当事人的注册名称标识符请求;
响应于接收到对所述当事人的注册名称标识符请求,为所述当事人在所述第二联合实体处执行认证操作;
响应于成功完成所述认证操作,在所述第二联合实体处注册或修改来自所接收到的注册名称标识符请求的名称标识符;以及
将对于所述注册名称标识符请求的注册名称标识符响应从所述第二联合实体发送至所述第一联合实体。
2.根据权利要求1的方法,其中所述第一联合实体是身份提供商,并且所述第二联合实体是服务提供商。
3.根据权利要求1的方法,其中所述第一联合实体是服务提供商,并且所述第二联合实体是身份提供商。
4.根据权利要求1的方法,其进一步包括:
将所述第一联合实体处用于所述当事人的第一帐户与所述第二联合实体处用于所述当事人的第二帐户进行链接,从而使得可以由所述第二联合实体将关于所述第一联合实体的信息提供给所述当事人。
5.根据权利要求1的方法,其进一步包括:
将所述第一联合实体处用于所述当事人的第一帐户与所述第二联合实体处用于所述当事人的第二帐户进行链接,从而使得所述第一联合实体和所述第二联合实体可以代表所述当事人执行一次性登录操作。
6.根据权利要求1的方法,其进一步包括:
由所述第二联合实体直接与所述当事人进行交互,以便执行所述认证操作。
7.根据权利要求1的方法,其进一步包括:
基于已连同所述注册名称标识符请求一起从所述第一联合实体接收到的一次性登录信息,在所述第二联合实体处将一次性登录操作执行为所述认证操作。
8.根据权利要求1的方法,其进一步包括:
由所述第二联合实体从所述第一联合实体请求一次性登录信息,以便执行所述认证操作。
9.根据权利要求1的方法,其进一步包括:
当在所述第二联合实体处接收对所述当事人的注册名称标识符请求之前,在所述第二联合实体处从所述第一联合实体接收一次性登录请求。
10.一种用于在联合计算环境内执行操作的设备,所述设备包括:
用于在所述联合计算环境内的第二联合实体处从第一联合实体接收对当事人的注册名称标识符请求的装置;
用于响应于接收到对所述当事人的注册名称标识符请求,为所述当事人在所述第二联合实体处执行认证操作的装置;
用于响应于成功完成所述认证操作,在所述第二联合实体处注册或修改来自所接收到的注册名称标识符请求的名称标识符的装置;以及
用于将对于所述注册名称标识符请求的注册名称标识符响应从所述第二联合实体发送至所述第一联合实体的装置。
11.根据权利要求10的设备,其中所述第一联合实体是身份提供商,并且所述第二联合实体是服务提供商。
12.根据权利要求10的设备,其中所述第一联合实体是服务提供商,并且所述第二联合实体是身份提供商。
13.根据权利要求10的设备,其进一步包括:
用于将所述第一联合实体处用于所述当事人的第一帐户与所述第二联合实体处用于所述当事人的第二帐户进行链接,以便可以由所述第二联合实体将关于所述第一联合实体的信息提供给所述当事人的装置。
14.根据权利要求10的设备,其进一步包括:
用于将所述第一联合实体处用于所述当事人的第一帐户与所述第二联合实体处用于所述当事人的第二帐户进行链接,以便所述第一联合实体和所述第二联合实体可以代表所述当事人执行一次性登录操作的装置。
15.根据权利要求10的设备,其进一步包括:
用于由所述第二联合实体直接与所述当事人进行交互,以便执行所述认证操作的装置。
16.根据权利要求10的设备,其进一步包括:
用于基于已连同所述注册名称标识符请求一起从所述第一联合实体接收到的一次性登录信息,在所述第二联合实体处将一次性登录操作执行为所述认证操作的装置。
17.根据权利要求10的设备,其进一步包括:
用于由所述第二联合实体从所述第一联合实体请求一次性登录信息,以便执行所述认证操作的装置。
18.根据权利要求10的设备,其进一步包括:
用于当在所述第二联合实体处接收对所述当事人的注册名称标识符请求之前,在所述第二联合实体处从所述第一联合实体接收一次性登录请求的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/010,228 US9143502B2 (en) | 2004-12-10 | 2004-12-10 | Method and system for secure binding register name identifier profile |
| US11/010,228 | 2004-12-10 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101073087A CN101073087A (zh) | 2007-11-14 |
| CN100590631C true CN100590631C (zh) | 2010-02-17 |
Family
ID=35841774
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200580042212A Active CN100590631C (zh) | 2004-12-10 | 2005-11-24 | 用于安全绑定注册名称标识符简表的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9143502B2 (zh) |
| EP (1) | EP1839224B1 (zh) |
| JP (1) | JP2008523486A (zh) |
| CN (1) | CN100590631C (zh) |
| TW (1) | TWI380663B (zh) |
| WO (1) | WO2006061326A1 (zh) |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006019275A1 (en) | 2004-08-18 | 2006-02-23 | Sk Telecom Co., Ltd. | Method for providing contents in a mobile communication system and apparatus thereof |
| US7742444B2 (en) | 2005-03-15 | 2010-06-22 | Qualcomm Incorporated | Multiple other sector information combining for power control in a wireless communication system |
| US7784092B2 (en) * | 2005-03-25 | 2010-08-24 | AT&T Intellectual I, L.P. | System and method of locating identity providers in a data network |
| US8750908B2 (en) | 2005-06-16 | 2014-06-10 | Qualcomm Incorporated | Quick paging channel with reduced probability of missed page |
| US9055552B2 (en) | 2005-06-16 | 2015-06-09 | Qualcomm Incorporated | Quick paging channel with reduced probability of missed page |
| US20090207790A1 (en) | 2005-10-27 | 2009-08-20 | Qualcomm Incorporated | Method and apparatus for settingtuneawaystatus in an open state in wireless communication system |
| WO2007142675A2 (en) | 2005-10-27 | 2007-12-13 | Qualcomm Incorporated | A method and apparatus for governing f-pbch0 upon entering an active state in wireless communication system |
| US20070150942A1 (en) * | 2005-12-23 | 2007-06-28 | Cartmell Brian R | Centralized identity verification and/or password validation |
| EP2135437A4 (en) * | 2007-04-04 | 2013-08-14 | Motorola Solutions Inc | METHOD AND APPARATUS USING FEDERATION-BASED BENEFIT TO FACILITATE COMMUNICATIONS MOBILITY |
| EP2357627B1 (en) * | 2007-12-21 | 2012-10-31 | Koninklijke KPN N.V. | Emergency system and method |
| US8302168B2 (en) * | 2008-01-18 | 2012-10-30 | Hewlett-Packard Development Company, L.P. | Push artifact binding for communication in a federated identity system |
| US8726358B2 (en) * | 2008-04-14 | 2014-05-13 | Microsoft Corporation | Identity ownership migration |
| EP2338262B1 (en) * | 2008-10-06 | 2012-12-12 | Nokia Siemens Networks OY | Service provider access |
| EP2199907A1 (en) * | 2008-12-22 | 2010-06-23 | Koninklijke Philips Electronics N.V. | Method for exchanging data |
| US20100241716A1 (en) * | 2009-03-17 | 2010-09-23 | Tayo Dare Akadiri | System for interconnecting manifold entities across a real-time Meshed Information Exchange network |
| CN101926675B (zh) | 2009-10-30 | 2012-08-08 | 华为技术有限公司 | 一种远程获取用户生理检测数据的方法、装置及系统 |
| US8646057B2 (en) * | 2010-03-10 | 2014-02-04 | Verizon Patent And Licensing Inc. | Authentication and authorization of user and access to network resources using openid |
| JP5648833B2 (ja) * | 2010-07-21 | 2015-01-07 | 独立行政法人情報通信研究機構 | 個人id統合サーバシステム及び個人id統合サーバ及びハードウェアid登録サーバ |
| US8474017B2 (en) * | 2010-07-23 | 2013-06-25 | Verizon Patent And Licensing Inc. | Identity management and single sign-on in a heterogeneous composite service scenario |
| US20120084844A1 (en) * | 2010-09-30 | 2012-04-05 | Jeremy Ray Brown | Federation credential reset |
| WO2012119015A1 (en) * | 2011-03-01 | 2012-09-07 | General Instrument Corporation | Providing subscriber consent in an operator exchange |
| US9191381B1 (en) * | 2011-08-25 | 2015-11-17 | Symantec Corporation | Strong authentication via a federated identity protocol |
| US9258311B2 (en) * | 2011-09-30 | 2016-02-09 | Oracle International Corporation | Virtual federation of remote portals |
| US9025960B2 (en) * | 2012-03-07 | 2015-05-05 | Futurewei Technologies, Inc. | Extending EPON multi-point control protocol to run on ethernet PON over coax networks |
| CA2866500C (en) * | 2012-04-01 | 2016-08-30 | Authentify, Inc. | Secure authentication in a multi-party system |
| DE102012205904A1 (de) * | 2012-04-11 | 2013-10-17 | Deutsche Post Ag | Sichere Generierung eines Nutzerkontos in einem Dienstserver |
| CN103595699B (zh) * | 2012-08-17 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 一种管理账号的方法、系统及装置 |
| US9338119B2 (en) * | 2012-08-28 | 2016-05-10 | Alcatel Lucent | Direct electronic mail |
| US10452769B1 (en) | 2012-08-31 | 2019-10-22 | United Services Automobile Association (Usaa) | Concurrent display of application between devices |
| CN103051626B (zh) * | 2012-12-21 | 2016-09-28 | 华为技术有限公司 | 一种认证方法及网络设备 |
| CN104601736B (zh) | 2013-10-30 | 2018-10-23 | 腾讯科技(深圳)有限公司 | 一种短url服务的实现方法及装置 |
| DE102014206325A1 (de) * | 2014-04-02 | 2015-10-08 | Bundesdruckerei Gmbh | Verteiltes Authentifizierungssystem |
| US20160065552A1 (en) * | 2014-08-28 | 2016-03-03 | Drfirst.Com, Inc. | Method and system for interoperable identity and interoperable credentials |
| US9807079B2 (en) * | 2014-10-23 | 2017-10-31 | Palo Alto Network, Inc. | Single sign on proxy for regulating access to a cloud service |
| JP6358947B2 (ja) * | 2014-12-19 | 2018-07-18 | エイチ・シー・ネットワークス株式会社 | 認証システム |
| US9386006B1 (en) * | 2015-03-02 | 2016-07-05 | Citrix Systems, Inc. | Authentication mechanism for domain redirection of a representational state transfer (REST)-compliant client |
| US9961070B2 (en) | 2015-09-11 | 2018-05-01 | Drfirst.Com, Inc. | Strong authentication with feeder robot in a federated identity web environment |
| JP6342441B2 (ja) * | 2016-03-09 | 2018-06-13 | 株式会社東芝 | 認証処理装置および認証システム |
| US10419410B2 (en) * | 2016-12-15 | 2019-09-17 | Seagate Technology Llc | Automatic generation of unique identifiers for distributed directory management users |
| CN108964885B (zh) * | 2017-05-27 | 2021-03-05 | 华为技术有限公司 | 鉴权方法、装置、系统和存储介质 |
| US11323431B2 (en) | 2019-01-31 | 2022-05-03 | Citrix Systems, Inc. | Secure sign-on using personal authentication tag |
| US11438331B1 (en) * | 2019-06-21 | 2022-09-06 | Early Warning Services, Llc | Digital identity sign-in |
| US10645076B1 (en) * | 2019-08-07 | 2020-05-05 | Capital One Services, Llc | Automatic identity management with third party service providers |
| US20220286447A1 (en) * | 2021-03-08 | 2022-09-08 | Cisco Technology, Inc. | Providing security services via federation-based network during roaming |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7290288B2 (en) * | 1997-06-11 | 2007-10-30 | Prism Technologies, L.L.C. | Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network |
| US7058817B1 (en) * | 1999-07-02 | 2006-06-06 | The Chase Manhattan Bank | System and method for single sign on process for websites with multiple applications and services |
| US7194764B2 (en) * | 2000-07-10 | 2007-03-20 | Oracle International Corporation | User authentication |
| US7137141B1 (en) * | 2000-08-16 | 2006-11-14 | International Business Machines Corporation | Single sign-on to an underlying operating system application |
| US7185364B2 (en) * | 2001-03-21 | 2007-02-27 | Oracle International Corporation | Access system interface |
| US7231661B1 (en) * | 2001-06-21 | 2007-06-12 | Oracle International Corporation | Authorization services with external authentication |
| US7505760B2 (en) * | 2001-07-06 | 2009-03-17 | Nokia Corporation | Method and apparatus for the superdistribution of content in a network including stationary and mobile stations |
| US7266839B2 (en) * | 2001-07-12 | 2007-09-04 | J P Morgan Chase Bank | System and method for providing discriminated content to network users |
| US7243369B2 (en) * | 2001-08-06 | 2007-07-10 | Sun Microsystems, Inc. | Uniform resource locator access management and control system and method |
| US7610390B2 (en) | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
| US20060155993A1 (en) * | 2003-02-21 | 2006-07-13 | Axel Busboon | Service provider anonymization in a single sign-on system |
| US7428750B1 (en) * | 2003-03-24 | 2008-09-23 | Microsoft Corporation | Managing multiple user identities in authentication environments |
| US7188252B1 (en) * | 2003-06-10 | 2007-03-06 | Microsoft Corporation | User editable consent |
| US7209734B2 (en) * | 2003-06-30 | 2007-04-24 | Oracle International Corporation | Virtual mobile service provider |
| US20050063333A1 (en) * | 2003-09-23 | 2005-03-24 | Sbc Knowledge Ventures, L.P. | System and method for accessing network and data services |
| US7389273B2 (en) * | 2003-09-25 | 2008-06-17 | Scott Andrew Irwin | System and method for federated rights management |
| US20050124320A1 (en) * | 2003-12-09 | 2005-06-09 | Johannes Ernst | System and method for the light-weight management of identity and related information |
| US8051472B2 (en) * | 2003-12-17 | 2011-11-01 | Oracle International Corporation | Method and apparatus for personalization and identity management |
| ATE388570T1 (de) * | 2004-05-19 | 2008-03-15 | Alcatel Lucent | Verfahren zur bereitstellung eines signierungsschlüssels zur digitalen signierung, überprüfung oder verschlüsselung von daten |
-
2004
- 2004-12-10 US US11/010,228 patent/US9143502B2/en active Active
-
2005
- 2005-11-24 WO PCT/EP2005/056204 patent/WO2006061326A1/en active Application Filing
- 2005-11-24 CN CN200580042212A patent/CN100590631C/zh active Active
- 2005-11-24 EP EP05811102.2A patent/EP1839224B1/en active Active
- 2005-11-24 JP JP2007544877A patent/JP2008523486A/ja active Pending
- 2005-12-02 TW TW94142617A patent/TWI380663B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006061326A1 (en) | 2006-06-15 |
| EP1839224A1 (en) | 2007-10-03 |
| TWI380663B (en) | 2012-12-21 |
| TW200635326A (en) | 2006-10-01 |
| CN101073087A (zh) | 2007-11-14 |
| US9143502B2 (en) | 2015-09-22 |
| JP2008523486A (ja) | 2008-07-03 |
| US20060129816A1 (en) | 2006-06-15 |
| EP1839224B1 (en) | 2016-02-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100590631C (zh) | 用于安全绑定注册名称标识符简表的方法和系统 | |
| CN100461667C (zh) | 与异类联合体环境中验证声明相关的拥有证明操作方法和设备 | |
| CN100568256C (zh) | 用于运行时刻用户帐户创建操作的方法 | |
| CN100388278C (zh) | 在异构联合环境中统一注销的方法和系统 | |
| US8561161B2 (en) | Method and system for authentication in a heterogeneous federated environment | |
| CN1726690B (zh) | 用于异构型联合环境中的本机认证协议的方法和系统 | |
| US8006289B2 (en) | Method and system for extending authentication methods | |
| US8607322B2 (en) | Method and system for federated provisioning | |
| CN100405397C (zh) | 在联合环境执行注册中介和重定优先级操作的方法和系统 | |
| CN100547992C (zh) | 管理用户属性信息的方法和数据处理系统 | |
| CN100534092C (zh) | 用于执行认证操作的方法及其装置 | |
| US8151317B2 (en) | Method and system for policy-based initiation of federation management | |
| US20060218628A1 (en) | Method and system for enhanced federated single logout | |
| US20040128541A1 (en) | Local architecture for federated heterogeneous system | |
| US20040128546A1 (en) | Method and system for attribute exchange in a heterogeneous federated environment | |
| KR100992016B1 (ko) | 데이터 프로세싱 시스템 내에 연합 기능성을 제공하는 방법및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |