CN101006680A - 向服务提供者认证用户的系统和方法 - Google Patents
向服务提供者认证用户的系统和方法 Download PDFInfo
- Publication number
- CN101006680A CN101006680A CNA2005800280444A CN200580028044A CN101006680A CN 101006680 A CN101006680 A CN 101006680A CN A2005800280444 A CNA2005800280444 A CN A2005800280444A CN 200580028044 A CN200580028044 A CN 200580028044A CN 101006680 A CN101006680 A CN 101006680A
- Authority
- CN
- China
- Prior art keywords
- identity supplier
- acceptable
- supplier
- supported
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Abstract
一种系统、设备、计算机程序产品和方法向服务提供者提供了用户的认证。该系统包括服务提供者、终端和允许服务提供者与终端之间通信的网络。终端包括存储器、通信接口、处理器和身份提供者(IDP)应用。通信接口被配置用以:从服务提供者接收认证请求,其中认证请求包括可接受的身份提供者;以及如果可接受的身份提供者与存储在终端的存储器中的受支持的身份提供者相匹配,则向可接受的身份提供者发送认证请求。处理器被耦合到通信接口和存储器并且执行IDP应用。IDP应用被配置用以将可接受的身份提供者与存储于存储器中的受支持的身份提供者进行比较。
Description
技术领域
本发明涉及网络身份(identity)架构。更特别地,本发明涉及提供用户的单点登录认证的系统和方法。
背景技术
形成自由联盟计划(LAP)用来为联邦网络身份管理和基于身份的服务而开发开放式标准,并且正在效力于支持身份信息在商业与个人之间的私密性和安全性。LAP没有开发产品或者服务,但是定义了其它组织所遵循的标准。目标在于通过允许用户在账户之间链接他们的身份元素而无需集中地存储所有他们的个人信息来简化在用户账户激增的因特网上的交易。LAP规范面向于使用身份提供者(IDP)来向服务提供者标识用户。
LAP规范将服务提供者定义为“一种向委托人(principal)提供服务和/或货物的实体”。LAP规范还将委托人定义为“一种可以获取联邦身份的实体,该实体能够进行决策并且代表该实体完成针对该实体的认证动作。委托人的例子包括个人用户、个人群组、公司、其它法律实体或者自由架构的组成”。在LAP规范中,身份提供者被定义为一种“为委托人创建、维护和管理身份信息并且在委托圈之内向其它服务提供者提供委托人认证的的具有自由功能的实体”。在LAP规范中,具有自由功能的客户被定义为一种“具有或者知道如何获得与委托人希望与服务提供者一起使用的身份提供者有关的知识的实体”。自由身份联邦框架(ID-FF)架构概略陈述了“当用户与因特网上的服务交互时,他们常常为他们的个人用途以某一方式定制这些服务。例如,用户可以建立具有用户名和口令的账户和/或为用户想要显示什么信息以及用户想要它如何显示来设置一些偏好。每个用户网络的网络身份是构成各种账户的这些属性的整个全局集”。
用户可以具有实现各种服务的单个身份。相反而言,用户可能具有针对不同服务提供者而使用的多个身份。在LAP规范中,提供Cookie作为一种用于在需要时向每个服务提供者提供适当身份的手段。Cookie是由Web服务器向Web浏览器提供的消息并且用文本文件存储于用户的计算机上。每当Web浏览器请求来自Web服务器的页面时该消息就发送回到那一Web服务器。国际申请号PCT/US02/38575公开了将Cookie用于向每个服务提供者提供适当身份。然而,Cookie可能被无意或者有意地删除。此外,当从一些设备浏览因特网时可能允许或者可能不允许Cookie。Cookie也带来安全问题。如果在持久性的Cookie(一种在用户从系统登出时也不删除的Cookie)中高速缓存会话认证信息,并且第二用户登录到系统中并起动浏览器,则第二用户可以通过该Cookie冒充第一用户。
因此需要的是一种用于向每个服务提供者容易地提供适当身份的更可靠和更安全的方法。还需要的是一种自动地对来自服务提供者的认证请求做出响应而无需用户干预的方法。另外需要的是一种允许用户选择如下IDP的方法,该IDP提供对服务提供者认证请求的认证响应。
发明内容
本发明的一个示例性实施例涉及一种向服务提供者认证用户的方法。该方法包括:使用网络在终端处从服务提供者接收认证请求,其中认证请求包括可接受的身份提供者;在终端处将可接受的身份提供者与存储于终端的存储器中的受支持的身份提供者进行比较;以及如果可接受的身份提供者与受支持的身份提供者相匹配,则使用网络将认证请求从终端发送到可接受的身份提供者。存储器可以包括高速缓存或者非易失性存储器。受支持的身份提供者可以是默认身份提供者。该方法还可以包括在终端的高速缓存中存储受支持的身份提供者和/或选择默认身份提供者。
本发明的可选的示例性实施例也涉及一种向服务提供者认证用户的方法。该方法可以包括:
●使用网络在终端处从服务提供者接收认证请求,其中认证请求包括可接受的身份提供者,
●在终端处将可接受的身份提供者与存储于终端的存储器中的所支持的身份提供者进行比较,
●如果可接受的身份提供者与受支持的身份提供者相匹配,则向终端的用户显示可接受的身份提供者,
●选择向终端的用户显示的可接受的身份提供者,
●使用网络将认证请求从终端发送到所选择的可接受的身份提供者,
●在将可接受的身份提供者与受支持的身份提供者进行比较之前输入访问代码,
●如果可接受的身份提供者不与受支持的身份提供者相匹配,则将认证请求从终端转发到可接受的身份提供者,
●如果认证请求被转发到可接受的身份提供者,则在可接受的身份提供者处接收认证请求,
●如果在可接受的身份提供者处接收到认证请求,则在可接受的身份提供者处认证用户,
●如果在可接受的身份提供者处认证用户,则在可接受的身份提供者处创建认证响应,
●如果在可接受的身份提供者处创建认证响应,则将认证响应从可接受的身份提供者发送到终端,
●如果从可接受的身份提供者发送认证响应,则在终端处接收认证响应,
●如果接收到认证响应,则使用网络将认证响应从终端发送到服务提供者,以及
●如果在终端处接收到认证响应,则在终端的存储器中存储可接受的身份提供者。
本发明的又一示例性实施例涉及一种用于向服务提供者认证用户的计算程序产品。该计算程序产品包括计算机代码,该计算机代码被配置用以:从服务提供者接收认证请求,其中认证请求包括可接受的身份提供者;将可接受的身份提供者与受支持的身份提供者进行比较;以及如果可接受的身份提供者与受支持的身份提供者相匹配,则向可接受的身份提供者发送认证请求。该计算机程序产品还可以被配置用以在高速缓存中存储受支持的身份提供者和/或允许用户选择默认身份提供者。受支持的身份提供者可以是默认身份提供者。
本发明的又一示例性实施例涉及一种用于向服务提供者认证用户的计算机程序产品。该计算机程序产品包括计算机代码,该计算机代码被配置用以:从服务提供者接收认证请求,其中认证请求包括可接受的身份提供者;将可接受的身份提供者与受支持的身份提供者进行比较;如果可接受的身份提供者与受支持的身份提供者相匹配,则向用户显示可接受的身份提供者;允许用户选择向用户显示的可接受的身份提供者;以及向所选择的可接受的身份提供者发送认证请求。
受支持的身份提供者可以是默认身份提供者。该计算机代码还可以被配置用以:在将可接受的身份提供者与受支持的身份提供者进行比较之前针对访问代码提示用户;如果可接受的身份提供者不与受支持的身份提供者相匹配,则向可接受的身份提供者转发认证请求;如果从可接受的身份提供者发送认证响应,则接收认证响应;如果接收到认证响应,则向服务提供者发送认证响应;和/或如果接收到认证响应,则在存储器中存储可接受的身份提供者。
本发明的又一示例性实施例涉及一种用于向服务提供者认证用户的设备。该设备包括存储器、通信接口、处理器和IDP应用。通信接口被配置用以:从服务提供者接收认证请求,其中认证请求包括可接受的身份提供者;以及如果可接受的身份提供者与存储于存储器中的受支持的身份提供者相匹配,则向可接受的身份提供者发送认证请求。处理器耦合到通信接口和存储器并且执行IDP应用。IDP应用被配置用以将可接受的身份提供者与存储于存储器中的受支持的身份提供者进行比较。存储器可以包括高速缓存或者非易失性存储器。受支持的身份提供者可以是默认身份提供者。
该设备的IDP应用还可以被配置用以:在高速缓存中存储受支持的身份提供者;允许用户选择默认身份提供者;如果可接受的身份提供者与受支持的身份提供者相匹配,则向用户显示可接受的身份提供者;允许用户选择向用户显示的可接受的身份提供者;在将可接受的身份提供者与受支持的身份提供者进行比较之前针对访问代码提示用户;如果可接受的身份提供者不与受支持的身份提供者相匹配,则向可接受的身份提供者转发认证请求;如果从可接受的身份提供者发送认证响应,则接收认证响应;如果接收到认证响应,则向服务提供者发送认证响应;和/或如果接收到认证响应,则在存储器中存储可接受的身份提供者。
本发明的又一示例性实施例涉及一种用于向服务提供者认证用户的系统。该系统包括服务提供者、终端和允许服务提供者与终端之间通信的网络。终端包括存储器、通信接口、处理器和IDP应用。通信接口被配置用以:从服务提供者接收认证请求,其中认证请求包括可接受的身份提供者;以及如果可接受的身份提供者与存储于存储器中的受支持的身份提供者相匹配,则向可接受的身份提供者发送认证请求。处理器耦合到通信接口和存储器并且执行IDP应用。IDP应用被配置用以将可接受的身份提供者与存储于存储器中的受支持的身份提供者进行比较。存储器可以包括高速缓存或者非易失性存储器。受支持的身份提供者可以是默认身份提供者。
该设备的IDP应用还可以被配置用以:在高速缓存中存储受支持的身份提供者;允许用户选择默认身份提供者;如果可接受的身份提供者与受支持的身份提供者相匹配,则向用户显示可接受的身份提供者;允许用户选择向用户显示的可接受的身份提供者;在将可接受的身份提供者与受支持的身份提供者进行比较之前针对访问代码提示用户;如果可接受的身份提供者不与受支持的身份提供者相匹配,则向可接受的身份提供者转发认证请求;如果从可接受的身份提供者发送认证响应,则接收认证响应;如果接收到认证响应,则向服务提供者发送认证响应;和/或如果接收到认证响应,则在存储器中存储可接受的身份提供者。
通过察阅附图、具体描述和所附权利要求,本发明的其它主要特征和优点对于本领域技术人员来说将变得明显。
附图说明
下文将参照附图描述示例性实施例,在附图中相同的标号将表示相同的元件。
图1是根据一个示例性实施例的网络身份系统的概略图。
图2是根据一个示例性实施例的网络连通性的概略图。
图3是根据一个示例性实施例的终端的概略图。
图4是对于在根据一个示例性实施例的网络身份系统中的操作进行描绘的流程图。
图5描绘了在根据一个示例性实施例的网络身份系统中的终端处的操作顺序。
具体实施方式
术语“终端”应当理解为包括但不限于:蜂窝电话、个人数据助理(PDA),比如由PALM公司制造的蜂窝电话和PDA;即时消息接发设备(IMD)、比如由Blackberry公司制造的那些IMD;以及其它手持设备、笔记本计算机、膝上型计算机、桌上型计算机、主机计算机、多处理器系统等等。终端可以是移动的或者可以不是移动的。
无论是心血来潮还是有所计划,人们都应当能够在他们希望的时间和地点既容易又便利地使用服务和进行购物。电子商务通常要求信息的实质交换以便完成交易。这些服务和购物一般要求来自用户的信息以便启动或者完成交易。无论使用何种终端,重复地输入此类信息既不便利又阻碍电子商务的使用。特别地移动设备具有的有限输入能力使得所需信息的输入过于费时和繁琐。这里描述的示例性实施例提供一种用于以用户友好的方式提供网络身份信息的系统、终端、计算机程序产品和方法。
为了使用户的生活更加便利,终端可以存储敏感信息,包括如各种服务提供者所需要的用户身份信息。该信息可以利用用户能够定义的访问代码来加密和保护。此外,终端可以自动地或者通过用户输入人工地对从服务提供者接收的身份认证请求做出响应。此外,终端将由服务提供者定义的可接受的身份提供者与已经存储于终端中的受支持的身份提供者进行比较,使得用户将不会选择不受用户支持或者服务提供者所不接受的身份提供者。
参照图1,系统2包括通过网络10连接的用户终端4、多个服务提供者6和多个身份提供者。用户终端可以包括但不限于笔记本计算机12、蜂窝电话14、IMD 16、PDA 18、桌上型计算机20等。移动终端可以包括但不限于蜂窝电话14、PDA 18、IMD 16和笔记本计算机12。
参照图2,示出了用于各种终端4的作为例子的网络连通方法。网络10可以包括但不限于远程无线连接28、短程无线连接29和陆线连接27。陆线连接27包括但不限于电话线、缆线、电力线等。终端4可以使用各种传输技术进行通信,这些技术包括但不限于码分多址、全球移动通信系统、通用移动电信系统、时分多址、传输控制协议/因特网协议、短消息接发服务、多媒体消息接发服务、电子邮件、即时消息接发、蓝牙等。终端可以使用各种介质进行通信,这些介质包括但不限于无线电、红外线、激光、线缆连接等。网络10可以包括但不限于蜂窝电话网26和因特网30。在蜂窝电话网26中,移动终端可以通过基站22发送和接收呼叫和消息并且与服务提供者6通信。网络服务器24允许在移动终端与其它终端之间的通信。网络服务器24可以通过因特网30将移动终端与其它终端相连接。
因特网30是连接全球无数计算机和小型子网的广域网。商务、政府团体和实体、教育组织以及甚至个人发布以网站形式组织的信息或者数据。网站可以包括显示具体信息集的多个网页,并且可以包含对具有相关或者附加信息的其它网页的链接。每个网页通过统一资源定位符(URL)来标识,该URL包括含有有待访问的资源的计算机的位置或者地址,还包括该资源在那一计算机上的位置。文件或者资源的类型依赖于因特网应用协议。例如,超文本传送协议(HTTP)描述了要利用Web浏览器应用来访问的网页。受访网页可以是简单的文本文件、图像文件、音频文件、视频文件、可执行的通用网关接口应用、Java Applet或者任何其它受HTTP支持的文件。超文本传送协议安全(HTTPS)是用于因特网的标准加密通信机制。此协议一般由服务提供者6用来实现对用户终端4的安全通信以便发送敏感信息如信用卡信息或者用户名和密码的组合。
在一个示例性实施例中,如图3中所示的终端4包括显示器32、通信接口34、处理器36、IDP应用38和存储器40。显示器32呈现用于显示和用于编辑的信息,包括由IDP应用38生成的信息。终端4的确切架构并不重要。不同和附加的终端兼容设备可以结合于终端4和/或系统2中。显示器32向用户呈现IDP应用信息,可能包括由执行的IDP应用38创建的用户界面。显示器32可以针对由服务提供者或者终端4提供的服务来提供IDP应用信息。显示器32可以是薄膜晶体管(TFT)显示器、发光二极管(LED)显示器、液晶显示器(LCD)或者为本领域技术人员所知的各种不同显示器中的任何显示器。
处理器36执行来自IDP应用38的指令,还执行在处理器36之内包含的其它指令。IDP应用38自动在后台中运行。该终端可以具有多个处理器36。
应用向计算设备提供用以执行各种任务的能力,这些任务包括起草文档、与其它设备通信、预备演示、定位信息等。IDP应用38是在被执行时使终端4以预定方式进行表现的有组织的指令集。指令可以使用一个或多个编程语言来编写。高级编程语言包括C、C++、Pascal、BASIC、FORTRAN、COBOL和LISP。指令也可以用称为汇编语言的低级语言来编写。指令还可以用在执行之前不需要汇编和编译的脚本语言来编写。术语“执行”是运行应用或者实现由指令所调用的操作这一过程。处理器36执行一个指令,意味着它执行由那一指令调用的操作。IDP应用38可以用包括但不限于高级语言、脚本语言、汇编语言等的各种计算机语言来编写。此外,IDP应用38的操作可以由专用计算机、逻辑电路或者硬件电路来实现。因此,IDP应用38可以用硬件、固件、软件或者这些方法的任何组合来实施。
起动应用一般要求从永久存储器设备中取回可执行形式的应用并且将可执行的应用拷贝到临时存储器设备。该临时存储器设备一般是某一形式的随机存取存储器(RAM)。RAM中的数据是易失性的,意味着它只有在计算机开机时才保留。当计算机关机时,RAM失去它的数据。只读存储器(ROM)是指用来存储引导计算机和执行诊断的程序的特殊存储器。存储于ROM中的值无论是否断电总是在ROM中。因此,其被称为非易失性存储器。ROM最常见地用来存储必须一直都能为计算机所用的系统级程序。闪存是一类可以在称为块的存储器单元中进行擦除并且进行重新编程的持久供电的非易失性存储器。闪存是电可擦除可编程只读存储器(EEPROM)的变体,该EEPROM与闪存不同,在字节级进行擦除和重写,这使得EEPROM更新起来较为缓慢。
存储器40是用于操作系统、IDP应用38、其它应用和数据的电子保持场所,使得计算机的处理器可以快速地获取信息。终端可以具有使用不同存储器技术的多个存储器40,包括但不限于RAM、ROM、闪存等。存储器可以包括高速缓存。高速缓存可以包括但不限于用来提高性能的专用高速存储器组或者预留常规存储器部分。高速缓存为指令和数据提供临时存储区。持久性的存储器包括即使在设备被关机并且再次启动时仍然可以保留数据的所有类型的存储器。因此,持久性的存储器为非易失性的。高速缓存通常在易失性存储器中,而所有其它数据(例如IDP数据、用户数据等)存储于持久性或者非易失性存储器中。
通信接口34提供用于接收和发送通过网络10传达的呼叫、消息和任何其它信息的接口。在终端与网络10之间的通信可以借助于不具限制性的以下连接方法中的一个或多个方法:根据蓝牙标准和协议建立的链路、红外线通信链路、无线通信链路、蜂窝网络链路、物理串行连接、物理并行连接、根据传输控制协议/因特网协议和标准(TCP/IP)建立的链路等等。向终端传送内容和从终端传送内容可以使用这些连接方法中的一个或多个方法。通信接口34可以通过包括身份提供者8和服务提供者6在内的网络10同时支持与其它终端4的多个通信。
参照图4,用户终端4与服务提供者6和身份提供者6通信。用户终端4在操作62与服务提供者6进行联系以便使用网络10访问服务。在操作64,服务提供者6使用网络10向用户终端4发送认证请求。终端4在操作65使用网络16将认证请求发送到如下叙述的那样可能已经由用户选择或者由终端4自动选择的选定身份提供者8。身份提供者8判断用户终端4是否先前已经被认证。如果用户终端4先前尚未被认证,则身份提供者8向用户终端4请求可能包括用户名和密码的认证信息。用户终端4然后向身份提供者8发送认证信息。如果用户终端4先前已经被认证,则无需再次认证。因此,身份提供者8可以仅需要一次在操作66的认证。身份提供者8在操作67使用网络10向用户终端4发送认证响应。在操作68,用户终端使用网络10向服务提供者6转发认证响应。在操作70,如果认证成功则用户开始接收由服务提供者6提供的服务。在操作72,如果身份提供者8的认证成功,则身份提供者8被存储于终端4的存储器40中。如前所言,终端可以包括多个存储器40,其中包括高速缓存。因此,身份提供者8可以存储于包括高速缓存的多个存储器位置中。在一个示例性实施例中,身份提供者名称、身份提供者标识符、身份提供者URL和身份提供者版本号被存储于存储器40中。
参照图5,在一个示例性实施例中用户终端4的显示器32执行用于浏览因特网的应用。用户终端4使用网络来与位于URLwww.xyz.com的服务提供者进行通信。在操作50,服务提供者向用户终端4发送包括“使用单点登录(Use Single Sign-On)”51这一选项的认证请求。用户可以使用在终端键盘上提供的选择装置来选择这一选项。例如,上下垂直箭头可以用来突出显示选择。突出显示的选择可以使用“选择(Select)”选项和位于终端键盘上的水平箭头来选择。在不脱离本发明的精神情况下可以使用其它选择装置。服务提供者请求例如使用分配的用户名和密码在用户访问网站之前对用户进行认证。在操作52,IDP应用38检测到来自服务提供者的认证请求并且显示文本框,该文本框询问终端的用户是想要“选择登录身份提供者(Select the Sign-On Identity Provider)”53还是取消认证过程。在一个优选实施例中,用户不是人工地输入所请求的认证信息。然而,用户可以在可选的实施例中人工地输入所请求的认证信息。
用户可以通过使用位于终端键盘上的水平箭头选择“确定(OK)”按钮来选择“选择登录身份提供者(Select the Sign-On IdentityProvider)”53选项。如果用户选择“确定(OK)”选项,则IDP应用38可以向用户提示“访问代码(Access Code)”55。用户然后输入用户先前为访问IDP应用而定义的访问代码。访问代码的使用防止了未授权用户的假冒。用户然后通过使用位于终端键盘上的水平箭头选择“输入(Enter)”。
当在操作54输入正确的访问代码之后,IDP应用将由服务提供者作为认证请求的部分而发送的一个或多个可接受的身份提供者与先前已经存储于终端的存储器40中的一个或多个身份提供者进行比较。存储的身份提供者受终端支持。在一个示例性实施例中,IDP应用将所存储的身份提供者标识符与由服务提供者发送的每个可接受身份提供者的身份提供者标识符进行比较。IDP应用在操作56显示服务提供者可接受的并且受终端支持的身份提供者的列表。用户可以使用上下垂直箭头突出显示选择、然后使用位于终端键盘上的水平箭头选择“确定(OK)”选项来选择特定身份提供者。在操作58,IDP应用使用如图4中所示的操作65-68将认证请求从终端发送到所选择的身份提供者。在操作60,服务提供者发送“登录成功(Login Successful)”消息以通知终端的用户由服务提供者提供的服务是可用的。
在一些情况下,服务提供者发送不允许用户干预的认证请求。结果,用户无法选择IDP用于对认证请求做出响应。在一个示例性实施例中,IDP应用38允许用户从受支持的身份提供者的列表中选择默认身份提供者。在终端4接收的认证请求不允许用户干预的情况下,IDP应用将默认身份提供者与由服务提供者作为认证请求的部分而发送的一个或多个可接受的身份提供者进行比较。如果可接受的身份提供者之一与受终端4支持的默认身份提供者相匹配,则终端4使用网络10向默认身份提供者发送认证请求。
在一个优选实施例中,如果默认身份提供者不与可接受的身份提供者之一相匹配,则IDP应用继续将在高速缓存中存储的每个IDP与由服务提供者作为认证请求的部分而发送的一个或多个可接受的身份提供者进行比较。如果可接受的身份提供者之一与存储于高速缓存中的IDP相匹配,则终端4使用网络10向存储于高速缓存中的IDP发送认证请求。如果存储于高速缓存中的IDP都不与一个或多个可接受的身份提供者相匹配,则终端4使用网络10向默认身份提供者发送认证请求。如果服务提供者不接受来自存储于存储器40中的任何身份提供者的后续响应,则终端4向服务提供者发送一个说明没有可接受的IDP受到支持的错误消息。可选的实施例可以包括附加过程,可以以不同的次序执行这些过程和/或当在受终端4支持的默认身份提供者与一个或多个可接受的身份提供者之间没有匹配时可以不执行刚才叙述过的每个过程。
在一个示例性实施例中,在终端4处的IDP应用38在操作64从服务提供者6接收认证请求。IDP应用38将由服务提供者发送的一个或多个可接受身份提供者与存储于高速缓存中的一个或多个受支持的身份提供者进行比较。如果可接受的身份提供者之一与存储于高速缓存中的受支持的身份提供者相匹配,则终端4使用网络10向受支持的身份提供者发送认证请求而无需用户的干预。如果发现在可接受的身份提供者与受支持的身份提供者之间没有匹配,则处理可以继续,如在操作52处前面叙述的那样。
应当理解,本发明不限于这里作为例子阐述的特定实施例,而是涵盖了落入后面的权利要求的范围之内的所有这样的修改、组合和变动。本发明不限于特定操作环境。本领域技术人员将认识到本发明的系统和方法可以有利地操作于不同平台上。因此,示例性实施例的描述是用于说明性的目的而不是限制性的目的。
Claims (44)
1.一种向服务提供者认证用户的方法,所述方法包括:
使用网络在终端处从服务提供者接收认证请求,其中所述认证请求包括可接受的身份提供者;
在所述终端处将所述可接受的身份提供者与存储于所述终端的存储器中的受支持的身份提供者进行比较;以及
如果所述可接受的身份提供者与所述受支持的身份提供者相匹配,则使用所述网络将所述认证请求从所述终端发送到所述可接受的身份提供者。
2.根据权利要求1所述的方法,其中所述存储器包括高速缓存。
3.根据权利要求1所述的方法,其中所述存储器包括非易失性存储器。
4.根据权利要求1所述的方法,还包括在所述终端的高速缓存中存储所述受支持的身份提供者。
5.根据权利要求1所述的方法,其中所述受支持的身份提供者包括默认身份提供者。
6.根据权利要求1所述的方法,还包括选择默认身份提供者。
7.一种向服务提供者认证用户的方法,所述方法包括:
使用网络在终端处从服务提供者接收认证请求,其中所述认证请求包括可接受的身份提供者;
在所述终端处将所述可接受的身份提供者与存储于所述终端的存储器中的受支持的身份提供者进行比较;
如果所述可接受的身份提供者与所述受支持的身份提供者相匹配,则向所述终端的用户显示所述可接受的身份提供者;
选择向所述终端的所述用户显示的所述可接受的身份提供者;以及
使用所述网络将所述认证请求从所述终端发送到所选择的可接受的身份提供者。
8.根据权利要求7所述的方法,其中所述存储器包括高速缓存。
9.根据权利要求7所述的方法,其中所述存储器包括非易失性存储器。
10.根据权利要求7所述的方法,还包括:在将所述可接受的身份提供者与所述受支持的身份提供者进行比较之前输入访问代码。
11.根据权利要求7所述的方法,还包括:
如果所述可接受的身份提供者不与所述受支持的身份提供者相匹配,则将所述认证请求从所述终端转发到所述可接受的身份提供者;
如果所述认证请求被转发到所述可接受的身份提供者,则在所述可接受的身份提供者处接收所述认证请求;
如果在所述可接受的身份提供者处接收到所述认证请求,则在所述可接受的身份提供者处认证所述用户;
如果在所述可接受的身份提供者处认证所述用户,则在所述可接受的身份提供者处创建认证响应;
如果在所述可接受的身份提供者处创建所述认证响应,则将所述认证响应从所述可接受的身份提供者发送到所述终端;
如果从所述可接受的身份提供者发送所述认证响应,则在所述终端处接收所述认证响应;以及
如果接收到所述认证响应,则使用所述网络将所述认证响应从所述终端发送到所述服务提供者。
12.根据权利要求11所述的方法,还包括:如果在所述终端处接收到所述认证响应,则在所述终端的所述存储器中存储所述可接受的身份提供者。
13.一种用于向服务提供者认证用户的计算机程序产品,所述计算机程序产品包括:
计算机代码,配置用以:
从服务提供者接收认证请求,其中所述认证请求包括可接受的身份提供者;
将所述可接受的身份提供者与受支持的身份提供者进行比较;以及
如果所述可接受的身份提供者与所述受支持的身份提供者相匹配,则向所述可接受的身份提供者发送所述认证请求。
14.根据权利要求13所述的计算机程序产品,其中所述计算机代码还被配置用以在存储器中存储受支持的身份提供者数据。
15.根据权利要求14所述的计算机程序产品,其中所述存储器是高速缓存。
16.根据权利要求13所述的计算机程序产品,其中所述受支持的身份提供者包括默认身份提供者。
17.根据权利要求13所述的计算机程序产品,其中所述计算机代码还被配置用以允许用户选择默认身份提供者。
18.一种用于向服务提供者认证用户的计算机程序产品,所述计算机程序产品包括:
计算机代码,配置用以:
从服务提供者接收认证请求,其中所述认证请求包括可接受的身份提供者;
将所述可接受的身份提供者与受支持的身份提供者进行比较;以及
如果所述可接受的身份提供者与所述受支持的身份提供者相匹配,则向用户显示所述可接受的身份提供者;
允许用户选择向所述用户显示的所述可接受的身份提供者;以及
向所选择的可接受的身份提供者发送所述认证请求。
19.根据权利要求18所述的计算机程序产品,其中所述计算机代码还被配置用以:在将所述可接受的身份提供者与所述受支持的身份提供者进行比较之前针对访问代码提示所述用户。
20.根据权利要求18所述的计算机程序产品,其中所述计算机代码还被配置用以:
如果所述可接受的身份提供者不与所述受支持的身份提供者相匹配,则向所述可接受的身份提供者转发所述认证请求;
如果从所述可接受的身份提供者发送认证响应,则接收所述认证响应;以及
如果接收到所述认证响应,则向所述服务提供者发送所述认证响应。
21.根据权利要求20所述的计算机程序产品,其中所述计算机代码还被配置用以:如果接收到所述认证响应,则在存储器中存储所述可接受的身份提供者。
22.一种用于向服务提供者认证用户的设备,所述设备包括:
存储器;
通信接口,配置用以:
从服务提供者接收认证请求,其中所述认证请求包括可接受的身份提供者;以及
如果所述可接受的身份提供者与存储于所述存储器中的受支持的身份提供者相匹配,则向所述可接受的身份提供者发送所述认证请求;
处理器,耦合到所述通信接口和所述存储器用以执行应用;以及
所述应用被配置用以将所述可接受的身份提供者与存储于所述存储器中的所述受支持的身份提供者进行比较。
23.根据权利要求22所述的设备,其中所述存储器包括高速缓存。
24.根据权利要求22所述的设备,其中所述存储器包括非易失性存储器。
25.根据权利要求22所述的设备,其中所述应用还被配置用以在高速缓存中存储所述可接受的身份提供者。
26.根据权利要求22所述的设备,其中所述受支持的身份提供者包括默认身份提供者。
27.根据权利要求22所述的设备,其中所述应用还被配置用以允许用户选择默认身份提供者。
28.根据权利要求22所述的设备,其中所述应用还被配置用以:
如果所述可接受的身份提供者与所述受支持的身份提供者相匹配,则向用户显示所述可接受的身份提供者;以及
允许用户选择向所述用户显示的所述可接受的身份提供者。
29.根据权利要求28所述的设备,其中所述应用还被配置用以:在将所述可接受的身份提供者与所述受支持的身份提供者进行比较之前针对访问代码提示所述用户。
30.根据权利要求28所述的设备,其中所述通信接口还被配置用以:
如果所述可接受的身份提供者不与所述受支持的身份提供者相匹配,则向所述可接受的身份提供者转发所述认证请求;
如果从所述可接受的身份提供者发送认证响应,则接收所述认证响应;以及
如果接收到所述认证响应,则向所述服务提供者发送所述认证响应。
31.根据权利要求30所述的设备,其中所述应用还被配置用以:如果接收到所述认证响应,则在所述存储器中存储所述可接受的身份提供者。
32.一种用于向服务提供者认证用户的系统,所述系统包括:
服务提供者;
终端,包括:
存储器;
通信接口,配置用以:
从所述服务提供者接收认证请求,其中所述认证请求包括可接受的身份提供者;以及
如果所述可接受的身份提供者与存储于所述存储器中的受支持的身份提供者相匹配,则向所述可接受的身份提供者发送所述认证请求;
处理器,耦合到所述通信接口和所述存储器用以执行应用;
以及
所述应用被配置用以将所述可接受的身份提供者与存储于所述存储器中的所述受支持的身份提供者进行比较;以及
允许在所述服务提供者与所述终端之间进行通信的网络。
33.根据权利要求32所述的系统,其中所述网络包括无线网络。
34.根据权利要求32所述的系统,其中所述网络包括蜂窝电话网络。
35.根据权利要求32所述的系统,其中所述网络包括因特网。
36.根据权利要求32所述的系统,其中所述终端的所述存储器包括高速缓存。
37.根据权利要求32所述的系统,其中所述终端的所述存储器包括非易失性存储器。
38.根据权利要求32所述的系统,其中所述终端的所述应用还被配置用以在所述终端的高速缓存中存储所述受支持的身份提供者。
39.根据权利要求32所述的系统,其中所述终端的所述受支持的身份提供者包括默认身份提供者。
40.根据权利要求32所述的系统,其中所述终端的所述应用还被配置用以允许用户选择默认身份提供者。
41.根据权利要求32所述的系统,其中所述终端的所述应用还被配置用以:
如果所述可接受的身份提供者与所述受支持的身份提供者相匹配,则向用户显示所述可接受的身份提供者;以及
允许用户选择向所述用户显示的所述可接受的身份提供者。
42.根据权利要求41所述的系统,其中所述应用还被配置用以:在将所述可接受的身份提供者与所述受支持的身份提供者进行比较之前针对访问代码提示所述用户。
43.根据权利要求41所述的系统,其中所述终端的所述通信接口还被配置用以:
如果所述可接受的身份提供者不与所述受支持的身份提供者相匹配,则向所述可接受的身份提供者转发所述认证请求;
如果从所述可接受的身份提供者发送认证响应,则接收所述认证响应;以及
如果接收到所述认证响应,则向所述服务提供者发送所述认证响应。
44.根据权利要求43所述的系统,其中所述终端的所述应用还被配置用以:如果接收到所述认证响应,则在所述终端的所述存储器中存储所述可接受的身份提供者。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/875,974 US8499153B2 (en) | 2004-06-24 | 2004-06-24 | System and method of authenticating a user to a service provider |
| US10/875,974 | 2004-06-24 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101006680A true CN101006680A (zh) | 2007-07-25 |
Family
ID=35507466
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800280444A Pending CN101006680A (zh) | 2004-06-24 | 2005-06-24 | 向服务提供者认证用户的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8499153B2 (zh) |
| EP (1) | EP1766851B1 (zh) |
| CN (1) | CN101006680A (zh) |
| WO (1) | WO2006000898A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102171984A (zh) * | 2008-10-06 | 2011-08-31 | 诺基亚西门子通信公司 | 服务提供者访问 |
| CN101730100B (zh) * | 2009-03-17 | 2012-11-28 | 中兴通讯股份有限公司 | 身份提供实体授权服务的监管方法以及监管实体 |
| CN103155513A (zh) * | 2010-09-27 | 2013-06-12 | 诺基亚公司 | 加速认证的方法和装置 |
| CN108234386A (zh) * | 2016-12-12 | 2018-06-29 | 诺基亚技术有限公司 | 用于认证的方法和设备 |
| CN110036387A (zh) * | 2016-12-09 | 2019-07-19 | 微软技术许可有限责任公司 | 集成同意系统 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060048179A1 (en) * | 2004-08-27 | 2006-03-02 | Kortum Philip T | Method and system to access PC-based services from non-PC hardware |
| US8095179B2 (en) * | 2004-10-14 | 2012-01-10 | Nokia Corporation | Proxy smart card applications |
| US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
| US8726023B2 (en) * | 2005-02-03 | 2014-05-13 | Nokia Corporation | Authentication using GAA functionality for unidirectional network connections |
| US7721326B2 (en) * | 2005-02-10 | 2010-05-18 | France Telecom | Automatic authentication selection server |
| US7707292B2 (en) * | 2005-03-18 | 2010-04-27 | Yahoo! Inc. | Method for signing into a mobile device over a network |
| US20060218629A1 (en) * | 2005-03-22 | 2006-09-28 | Sbc Knowledge Ventures, Lp | System and method of tracking single sign-on sessions |
| US7784092B2 (en) * | 2005-03-25 | 2010-08-24 | AT&T Intellectual I, L.P. | System and method of locating identity providers in a data network |
| US7624428B2 (en) * | 2005-06-30 | 2009-11-24 | Intel Corporation | Apparatus and method for platform-independent identity manageability |
| EP1768434A1 (en) * | 2005-09-21 | 2007-03-28 | Thomson Telecom Belgium | Method and a device to suspend the access to a service |
| US7739744B2 (en) * | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
| US7657639B2 (en) * | 2006-07-21 | 2010-02-02 | International Business Machines Corporation | Method and system for identity provider migration using federated single-sign-on operation |
| US20080155664A1 (en) * | 2006-12-24 | 2008-06-26 | Zeev Lieber | Identity management system with an untrusted identity provider |
| US8074257B2 (en) | 2007-03-16 | 2011-12-06 | Felsted Patrick R | Framework and technology to enable the portability of information cards |
| US8196191B2 (en) | 2007-08-17 | 2012-06-05 | Norman James M | Coordinating credentials across disparate credential stores |
| US8863246B2 (en) * | 2007-08-31 | 2014-10-14 | Apple Inc. | Searching and replacing credentials in a disparate credential store environment |
| US20090077638A1 (en) * | 2007-09-17 | 2009-03-19 | Novell, Inc. | Setting and synching preferred credentials in a disparate credential store environment |
| US20090199277A1 (en) * | 2008-01-31 | 2009-08-06 | Norman James M | Credential arrangement in single-sign-on environment |
| US8468576B2 (en) * | 2008-02-11 | 2013-06-18 | Apple Inc. | System and method for application-integrated information card selection |
| US20090217367A1 (en) * | 2008-02-25 | 2009-08-27 | Norman James M | Sso in volatile session or shared environment |
| US8079069B2 (en) * | 2008-03-24 | 2011-12-13 | Oracle International Corporation | Cardspace history validator |
| US8074258B2 (en) * | 2008-06-18 | 2011-12-06 | Microsoft Corporation | Obtaining digital identities or tokens through independent endpoint resolution |
| US8539594B2 (en) * | 2008-12-05 | 2013-09-17 | Electronics And Telecommunications Research Institute | Apparatus and method for managing identity information |
| US8083135B2 (en) | 2009-01-12 | 2011-12-27 | Novell, Inc. | Information card overlay |
| US8632003B2 (en) | 2009-01-27 | 2014-01-21 | Novell, Inc. | Multiple persona information cards |
| US8943321B2 (en) * | 2009-10-19 | 2015-01-27 | Nokia Corporation | User identity management for permitting interworking of a bootstrapping architecture and a shared identity service |
| CN102215107B (zh) * | 2010-04-12 | 2015-09-16 | 中兴通讯股份有限公司 | 一种实现身份管理互操作的方法及系统 |
| US10367797B2 (en) * | 2013-10-28 | 2019-07-30 | The Trustees Of Columbia University In The City Of New York | Methods, systems, and media for authenticating users using multiple services |
| US10243945B1 (en) * | 2013-10-28 | 2019-03-26 | Amazon Technologies, Inc. | Managed identity federation |
| CN105337949B (zh) * | 2014-08-13 | 2019-03-15 | 中国移动通信集团重庆有限公司 | 一种SSO认证方法、web服务器、认证中心和token校验中心 |
| US9813400B2 (en) * | 2014-11-07 | 2017-11-07 | Probaris Technologies, Inc. | Computer-implemented systems and methods of device based, internet-centric, authentication |
| US10904234B2 (en) | 2014-11-07 | 2021-01-26 | Privakey, Inc. | Systems and methods of device based customer authentication and authorization |
| JP7027027B2 (ja) * | 2016-03-17 | 2022-03-01 | キヤノン株式会社 | 情報処理装置、制御方法、およびそのプログラム |
| US11019073B2 (en) * | 2017-07-23 | 2021-05-25 | AtScale, Inc. | Application-agnostic resource access control |
| US10469250B2 (en) * | 2017-12-22 | 2019-11-05 | Max Adel Rady | Physical item mapping to blockchain framework |
| US11606358B2 (en) * | 2018-09-18 | 2023-03-14 | Cyral Inc. | Tokenization and encryption of sensitive data |
| US11477197B2 (en) | 2018-09-18 | 2022-10-18 | Cyral Inc. | Sidecar architecture for stateless proxying to databases |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003100544A2 (en) * | 2002-05-24 | 2003-12-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for authenticating a user to a service of a service provider |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6446204B1 (en) * | 1997-10-31 | 2002-09-03 | Oracle Corporation | Method and apparatus for implementing an extensible authentication mechanism in a web application server |
| US6421768B1 (en) | 1999-05-04 | 2002-07-16 | First Data Corporation | Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment |
| US7188240B1 (en) * | 1999-07-15 | 2007-03-06 | International Business Machines Corporation | Method and system for encryption of web browser cache |
| EP1234084A1 (en) * | 1999-11-30 | 2002-08-28 | Bording Data A/S | An electronic key device, a system and a method of managing electronic key information |
| WO2003003194A1 (fr) * | 2001-06-27 | 2003-01-09 | Sony Corporation | Dispositif a circuit integre, dispositif de traitement de l'information, procede de gestion de memoire de support d'information, terminal mobile, dispositif a circuit integre a semi-conducteur, et procede de communication par terminal mobile |
| US7117266B2 (en) * | 2001-07-17 | 2006-10-03 | Bea Systems, Inc. | Method for providing user-apparent consistency in a wireless device |
| US7222361B2 (en) * | 2001-11-15 | 2007-05-22 | Hewlett-Packard Development Company, L.P. | Computer security with local and remote authentication |
| US7610390B2 (en) | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US7246230B2 (en) | 2002-01-29 | 2007-07-17 | Bea Systems, Inc. | Single sign-on over the internet using public-key cryptography |
| CN1252598C (zh) | 2002-09-03 | 2006-04-19 | 国际商业机器公司 | 提供身份相关的信息和防止中间人的攻击的方法和系统 |
-
2004
- 2004-06-24 US US10/875,974 patent/US8499153B2/en active Active
-
2005
- 2005-06-24 WO PCT/IB2005/001792 patent/WO2006000898A1/en active Application Filing
- 2005-06-24 CN CNA2005800280444A patent/CN101006680A/zh active Pending
- 2005-06-24 EP EP05754701.0A patent/EP1766851B1/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003100544A2 (en) * | 2002-05-24 | 2003-12-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for authenticating a user to a service of a service provider |
Non-Patent Citations (1)
| Title |
|---|
| LIBERTY ALLIANCE PROJECT: "《Liberty Alliance Project》", 15 January 2003 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102171984A (zh) * | 2008-10-06 | 2011-08-31 | 诺基亚西门子通信公司 | 服务提供者访问 |
| CN102171984B (zh) * | 2008-10-06 | 2014-06-11 | 诺基亚西门子通信公司 | 服务提供者访问 |
| US8881248B2 (en) | 2008-10-06 | 2014-11-04 | Nokia Solutions And Networks Oy | Service provider access |
| CN101730100B (zh) * | 2009-03-17 | 2012-11-28 | 中兴通讯股份有限公司 | 身份提供实体授权服务的监管方法以及监管实体 |
| CN103155513A (zh) * | 2010-09-27 | 2013-06-12 | 诺基亚公司 | 加速认证的方法和装置 |
| CN103155513B (zh) * | 2010-09-27 | 2016-01-27 | 诺基亚技术有限公司 | 加速认证的方法和装置 |
| CN110036387A (zh) * | 2016-12-09 | 2019-07-19 | 微软技术许可有限责任公司 | 集成同意系统 |
| CN108234386A (zh) * | 2016-12-12 | 2018-06-29 | 诺基亚技术有限公司 | 用于认证的方法和设备 |
| US11297057B2 (en) | 2016-12-12 | 2022-04-05 | Nokia Technologies Oy | Methods and devices for authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| US8499153B2 (en) | 2013-07-30 |
| EP1766851B1 (en) | 2019-11-06 |
| EP1766851A1 (en) | 2007-03-28 |
| WO2006000898A1 (en) | 2006-01-05 |
| US20050289341A1 (en) | 2005-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101006680A (zh) | 向服务提供者认证用户的系统和方法 | |
| JP5719871B2 (ja) | フィッシング攻撃を防ぐ方法および装置 | |
| CN103036902B (zh) | 基于二维码的登录控制方法和系统 | |
| JP6256116B2 (ja) | 通信端末、セキュアログイン方法、及びプログラム | |
| EP2684330B1 (en) | Method and system for granting access to a secured website | |
| AU2004202269B2 (en) | Architecture for connecting a remote client to a local client desktop | |
| CN106716960B (zh) | 用户认证方法和系统 | |
| US20090172077A1 (en) | Apparatus for and a Method of Delivering a Message to a User | |
| CN106716918B (zh) | 用户认证方法和系统 | |
| CN104737175A (zh) | 浏览器身份的方法及系统 | |
| CN103067378A (zh) | 基于二维码的登录控制方法和系统 | |
| US20080261562A1 (en) | System and Method for Providing Bidirectional Message Communication Services with Portable Terminals | |
| CN100465950C (zh) | 用于客户支持的web浏览器控件 | |
| CN103023907A (zh) | 获取网站信息的方法,设备及系统 | |
| US11240225B1 (en) | Single sign-on techniques | |
| US20090249078A1 (en) | Open id authentication method using identity selector | |
| CN101969426B (zh) | 分布式用户认证系统及其方法 | |
| US20230403562A1 (en) | Systems and methods for verified communication between mobile applications | |
| CN103023974B (zh) | 网站消息告知方法和装置 | |
| Cisco | Cisco BBSM 5.0 Service Pack 1 | |
| JP2002269041A (ja) | 情報配信サーバー装置 | |
| CN103023908A (zh) | 一种网站信息获取方法、设备及系统 | |
| EP4064082A1 (en) | Data injection system and method thereof | |
| US20230376953A1 (en) | Systems and methods for verified communication between mobile applications | |
| CN113660208B (zh) | 一种基于浏览器安全密码认证服务系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20070725 |