CN101331731B - 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 - Google Patents
由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 Download PDFInfo
- Publication number
- CN101331731B CN101331731B CN200680046924.9A CN200680046924A CN101331731B CN 101331731 B CN101331731 B CN 101331731B CN 200680046924 A CN200680046924 A CN 200680046924A CN 101331731 B CN101331731 B CN 101331731B
- Authority
- CN
- China
- Prior art keywords
- client
- authentication
- service provider
- identity
- provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 95
- 230000004044 response Effects 0.000 claims description 70
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 abstract description 8
- 238000004891 communication Methods 0.000 description 22
- 239000000344 soap Substances 0.000 description 14
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 230000002688 persistence Effects 0.000 description 5
- 238000012795 verification Methods 0.000 description 5
- 230000014509 gene expression Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000000712 assembly Effects 0.000 description 2
- 238000000429 assembly Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 241001101988 Proxys Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 230000009257 reactivity Effects 0.000 description 1
- 230000004083 survival effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了方法、系统和计算机程序产品,其通过由身份提供商根据服务提供商的认证策略来认证客户,并把满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据内,从而为认证联盟内的客户的其他实体的定制认证方法的实现提供了额外的灵活性。对联盟中的客户进行认证还可以通过由身份提供商根据身份提供商的认证策略认证客户来实现。对联盟中的客户进行认证还可以通过在身份提供商内接收来自服务提供商的规定了服务提供商的认证策略的认证请求来实现。
Description
技术领域
本发明的领域涉及数据处理,或者更具体地说,涉及对联盟(federation)中的客户(principal)进行认证的方法、系统和产品。
背景技术
联盟是被管理的安全空间的集合。联盟可以执行单次登入(sign-on)功能,其中在一个联盟安全空间内的访问管理器依赖另一个安全空间内的访问管理器执行认证服务。目前联盟访问管理器的认证过程限制在特定的访问管理器所知的或安装在其上的非定制认证方法和定制认证方法。在单次登入会话期间,对于客户的认证需求的变化,例如逐步提高的需求,通常可以用非定制的认证方法来完成,因为访问管理器一般了解如何利用非定制认证方法。但是,在联盟环境内的其他安全域内支持多个定制方法不是很容易完成的,因为现有技术中访问管理器没有设置成根据另一个安全空间或域内的实体的定制需求来执行认证。当前访问管理器的方法不足以灵活地执行认证过程中涉及的其他实体的定制认证方法。
发明内容
本发明公开了方法、系统和计算机程序产品,通过由身份提供商根据服务提供商的认证策略来认证客户,并把满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据内,为联盟内的客户认证提供了额外的灵活性。对联盟中的客户进行认证还可以通过由身份提供商根据身份提供商的认证策略认证客户来实现。对联盟中的客户进行认证还可以通过在身份提供商内从服务提供商接收一个认证请 求来实现,该认证请求规定了服务提供商的认证策略。
对联盟中的客户进行认证还可以通过如下方式实现:在服务提供商内接收客户要求访问服务提供商的资源的请求,由服务提供商确定该请求的认证证书不满足服务提供商的认证策略,以及由服务提供商向身份提供商发送一个规定了服务提供商的认证策略的认证请求。对联盟中的客户进行认证还可以通过如下方式实现:由服务提供商从身份提供商接收一个认证响应,该认证响应包括满足服务提供商的认证策略的认证证书,并将该认证证书记录在服务提供商的会话数据中。
对联盟中的客户进行认证包括由身份提供商的访问管理器来认证客户。对联盟中的客户进行认证还包括由身份提供商的认证代理来认证客户。
本发明的上述和其他目标、特征以及优点通过附图所示的示例性实施例的更具体的描述将更加明显,其中相同的附图标记通常表示本发明的示例性实施例中相同的部分。
附图说明
现在参考附图通过实例来具体描述本发明,其中:
图1示出了一个网络图,其阐释了根据本发明的实施例的对联盟中的客户进行认证的示例性系统;
图2示出了一个模块图,其阐释了根据本发明的实施例的对联盟中的客户进行认证的示例性系统;
图3示出了自动计算机器的模块图,其包括根据本发明的实施例的用于对联盟中的客户进行认证的示例性计算机;
图4示出了一个流程图,其阐释了根据本发明的实施例的用于对联盟中的客户进行认证的示例性方法;
图5示出了一个流程图,其阐释了根据本发明的实施例的用于对联盟中的客户进行认证的另一个示例性方法;
图6示出了一个流程图,其阐释了根据本发明的实施例的用于对联盟中的客户进行认证的又一个示例性方法;以及
图7A和7B示出了一个调用序列框图,其阐释了根据本发明的实施例的用于对联盟中的客户进行认证的示例性方法。
具体实施方式
下面参考附图来描述的根据本发明的实施例对联盟中的客户进行认证的示例性方法、系统和产品,首先从图1开始。图1示出了一个网络图,其阐释了根据本发明的实施例的对联盟中的客户进行认证的示例性系统。图1的系统通常操作以根据本发明的实施例对联盟中的客户进行认证,通过以下方式实现:由身份提供商根据服务提供商的认证策略来认证客户,并将满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据中。
联盟是被管理的安全空间的集合,其中资源请求的源和目标能够确定来自源的特定安全信息组是否满足目标的相关安全策略。在图1的实例中,联盟100的被管理安全空间被逻辑边界130划分成客户132、身份提供商126、以及服务提供商128,其中每个都可以是请求的源和目标。源的安全信息是否满足目标的安全策略可以由除了资源请求的源和目标之外的实体来确定。例如根据图1,资源请求的源可以是客户132,请求目标可以是服务提供商128,而且身份提供商126可以确定客户的安全信息是否满足服务提供商的安全策略。
客户是被授予安全权限或者发出有关安全性或身份的声明的任何实体。客户例如可以是通过网络浏览器提供用户名和密码来访问网络服务器上的银行服务的个人。能够作为客户的实体并不限于人。能够作为客户的实体还可以是其他实体,例如提供X.509证书来访问资源或另一网络服务的网络服务客户。在图1的实例中,客户132发出有关安全性或身份的声明以供身份提供商126认证。
认证是证实请求访问受保护的资源的实体所声称的身份的过程。通过验证由该实体提供的安全信息来证实实体的身份。安全信息是实体所提供的信息,该信息将提供安全信息的实体的身份与其他实体的身份区分开。安全信息可包括例如姓名、社会保险号、用户名和密码、 Kerberos票证、x.509证书等等。在图1的实例中,当试图访问服务提供商128或身份提供商126上的资源时,身份提供商126通过验证客户132所提供的安全信息来证实客户132的身份。
实体的安全信息可被用于创建针对实体的认证证书。认证证书表示实体在联盟的安全空间内的安全特权。认证证书描述了针对特定会话的实体,并在该会话的存续期内有效。认证证书可包括例如实体名、任何组成员、用于认证客户的安全信息的类型、以及任何其他安全属性。
服务提供商是为客户提供资源访问的实体。图1的服务提供商128能够接收客户要求访问服务提供商的资源的请求,确定该请求的认证证书不满足服务提供商的认证策略,将规定了服务提供商的认证策略的认证请求发送给身份提供商,从身份提供商接收包括了满足服务提供商的认证策略的认证证书的认证响应,并把认证证书记录在服务提供商的会话数据内。服务提供商例如可以是提供访问退休帐户信息的投资公司、提供飞行和机票数据的航空公司、提供课程信息的大学、或者对于本领域技术人员已知的任何其他服务提供商。
身份提供商是保有客户的身份信息的一个实体,并在单次登入环境下验证由客户向服务提供商提供的安全信息。图1的身份提供商126能够根据身份提供商的认证策略来认证客户,从服务提供商128接收一个规定了单次登入环境内的服务提供商的认证策略的认证请求,根据服务提供商的认证策略来认证客户,以及将满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据内。身份提供商126可以是例如雇主、大学、商业实体、或者政府机构,或者是本领域技术人员已知的其他任何身份提供商。
单次登入是一个认证序列,其消除了发生在客户上的重复行为的负担。单次登入允许已基于安全信息来认证客户的身份提供商向服务提供商提供客户的认证证书作为认证凭证。服务提供商使用由身份提供商提供的认证证书来认证客户,为客户建立一个本地有效的会话,不需要提示客户提供先前所提供的安全信息。考虑到例如雇员作为客 户,雇主作为身份提供商以及投资公司作为服务提供商,当雇员试图通过雇主的网站访问投资公司上的401k,并且雇主网站通过用户名和密码认证了雇员。在非单次登入环境下,雇员必须认证两次。在访问雇主的网站时,雇员首先通过提供用户名和密码进行认证。在投资公司授权雇员访问雇员的401k之前,投资公司要求雇员再次输入用户名和密码,由此产生第二次认证。但是在单次登入环境时,雇员仅通过向雇主提供用户名和密码而认证一次,因为投资公司可根据雇员与雇主的初始认证来授权雇员访问401k。如果投资公司要求与提供用户名和密码不同的认证方法,雇员被要求提供额外的安全信息,例如kerberos票证或x.509证书。但是在单次登入环境下,雇员不会被要求再次提供该雇员的用户名和密码。
图1的系统包括通过网络连接119,121和123互联的广域网“WAN”101、WAN103以及WAN105。图1的网络连接结构仅仅是示意性的,不起到限制作用。实际上,用于认证联盟中的客户的系统可以连接为LAN、WAN、内部网、互联网、网络(webs)、万维网本身、或者本领域技术人员已知的其他连接。这些网络是用于在整体数据处理系统内连接在一起的各种设备和计算机之间提供数据通信连接的媒介。
图1所示实例中,服务器106,107,109,111和135实现WAN101,103和105之间的网关、路由器或网桥。图1所示实例中,包括服务器106和服务器107的多个示例性设备连接到WAN101。服务器106通过有线连接113连接到网络101,而服务器107通过有线连接115连接到网络101。
图1所示实例中,包括服务器109和服务器111的多个示例性设备连接到WAN103。服务器109通过有线连接117连接到网络103,而服务器111通过有线连接125连接到网络103。
图1所示实例中,多个示例性设备连接到WAN105,所述设备包括服务器135、计算机工作站104、PDA112、便携式电脑126、能够连接到网络的移动电话110以及个人计算机102。服务器135通过 有线连接127连接到网络105,计算机工作站104通过有线连接122连接到网络105,PDA112通过无线链接114连接到网络105,能够连接到网络的移动电话110通过无线链接116连接到网络105,便携式电脑126通过无线链接118连接到网络105,并且个人计算机102通过有线连接124连接到网络105。
在图1的系统中,每个示例性设备106,107,112,104,109,111,110,126,102,135包括一个计算机处理器和耦合到处理器用于数据传输的计算机存储器。图1的身份提供商126的每个计算机106和107的计算机存储器和图1的服务提供商128的每个计算机109和111的计算机存储器具有驻留在其中的包括认证代理的计算机程序指令。认证代理通常能够通过由身份提供商根据服务提供商的认证策略来认证客户,并将满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据中,从而对联盟中的客户进行认证。
认证代理通常还能够通过由身份提供商根据身份提供商的认证策略认证客户来实现对联盟中的客户进行认证。认证代理通常还能够在身份提供商内从服务提供商接收认证请求,该认证请求规定了服务提供商的认证策略。认证代理通常还能够在服务提供商内接收客户要求访问服务提供商的资源的请求,由服务提供商确定该请求的认证证书不满足服务提供商的认证策略,以及由服务提供商向身份提供商发送一个规定了服务提供商的认证策略的认证请求。认证代理通常还能够由服务提供商接收来自身份提供商的认证响应,该认证响应包括满足服务提供商的认证策略的认证证书,并且把认证证书记录在服务提供商的会话数据内。
构成图1所示示例性系统的服务器和其他设备的设置是示意性的,不起到限制作用。根据本发明的各个实施例,有用的数据处理系统可包括额外的服务器、路由器、其他设备、以及本领域技术人员已知的图1未示出的对等结构。该数据处理系统内的网络可支持很多数据通信协议,例如包括TCP传输控制协议、IP因特网协议、HTTP超文本传输协议、WAP无线访问协议、HDTP手持设备传输协议、 以及其他本领域技术人员已知的协议。本发明的各个实施例可以在图1所示之外的许多硬件平台上实现。
为了进一步阐释,图2示出了一个模块图,其阐释了本发明的实施例的对联盟中的客户进行认证的示例性系统。图2的联盟100包括客户132、身份提供商126、以及服务提供商128。图2的联盟100执行单次登入环境。
在图2所示实例中,客户132用操作网络浏览器200的人201来表示。网络浏览器是显示网络服务器保存的或者保持在文件系统内并格式化为例如超文本标记语言“HTML”或手持设备标记语言“HDML”的文档的软件应用程序。图2的网络浏览器200能够支持请求的重定向和自动转发,使用通信协议,例如超文本传输协议“HTTP”或无线应用协议“WAP”与身份提供商126或服务提供商128进行通信。根据本发明的实施例,用于认证联盟内客户的网络浏览器包括例如微软因特网浏览器、Mozilla Firefox、Opera、NetscapeNavigator、Safari以及其他任何本领域技术人员已知的网络浏览器。
图2的客户132还可以用网络设备202表示。网络设备是支持在网络上共用的机器-机器交互的软件应用程序。网络服务202有一个描述为机器可处理格式、例如网络服务描述语言“WSDL”的公共接口。网络服务的WSDL描述规定了与网络设备交互的消息格式以及通信方法。与网络服务交互的最常用的消息格式是SOAP,其基于可扩展标记语言“XML”,而HTTP是最常用的通信方法。与网络设备交互的其他消息格式包括用于基于XML的远程过程调用的Java应用编程接口JAX-RPC”,远程XML过程调用“XML-RPC”,或任何其他本领域技术人员已知的消息格式。与网络服务交互的其他通信方法包括文件传输协议“FTP”,简单邮件传输协议“SMTP”,可扩展消息和表示协议“XMPP”,以及任何其他本领域技术人员已知的通信方法。
网络服务通过使用网络服务消息和其他网络服务通信。网络服务消息是网络服务之间交换的自洽数据单元,其符合WSDL描述所规 定的消息格式。网络服务消息一般包括XML和其他网络相关内容,例如SOAP包中所包含的多用途因特网邮件扩展“MIME”部分。
在图2所示实例中,身份提供商126包括计算机资源220,而服务提供商128包括计算机资源240。计算机资源220和240是任何信息集群,访问这类信息集群的任何计算机系统,或者在该系统上提供数据处理服务或计算的任何程序、进程或执行线程。最常见的计算机资源类型是文件,但这类资源还可包括动态创建的查询结果,例如CGI“通用网关接口”脚本的输出,Java servlet,动态服务器页面,活动服务器页面,Java服务器页面,几种语言可用的文档等等。实际上,这类资源有些类似于文件,但更通常的说是性质上相似。用文件表示的计算机资源220和240包括静态网络页面、图形文件、视频剪辑文件、音频剪辑文件等等。计算机系统表示的计算机资源220和240包括计算机或网络的任何组件,例如硬盘驱动器、打印机、显示器、存储器、计算机处理器、或者本领域技术人员已知的任何其他器件。程序、进程、或者执行线程表示的计算机资源220和240包括网络服务。
图2所示实例中身份提供商126包括访问管理器210。访问管理器210是一种网络服务,其通过向请求访问身份提供商126的资源220或单次登入服务的客户132提供认证服务、会话管理服务、以及授权服务来控制对身份管理器218的计算机资源220和单次登入服务的访问。访问管理器210基于客户提供的安全信息来认证客户,并为该客户与访问管理器210的会话创建认证证书。访问管理器210授权客户基于客户会话的认证证书来访问身份提供商126的资源220或参与到与身份管理器218的单次登入中。根据本发明的实施例,可改进对联盟内的客户的认证的访问管理器的一个实例是IBM Tivoli 访问管理器。本领域技术人员已知的其他访问管理器210也可以用于改进根据本发明的对联盟内的客户的认证。
在图2所示实例中,访问管理器210包括会话管理器212。会话管理器212可以用通过执行任务例如会话创建、会话销毁、活动超时、 更新会话数据等等管理会话数据的网络服务来表示。会话是在连接的建立、维持和释放期间包括用于各个应用程序的数据交换的软件应用程序之间的持续连接。会话可包括描述该会话的连接信息,例如会话识别符、会话参与者、会话密钥、认证证书、授权特权等等。会话可使用在被交换的数据内规定的结构来维护。例如,网络浏览器200和访问管理器210之间的HTTP交换包括一个HTTP cookie,其存储了例如识别会话数据的唯一会话识别符,例如客户的喜好或对于访问管理器210的认证证书。在图2的实例中,会话用所创建的数据结构来表示,在其持续期间存储在身份提供商126内。在图2的实例中,会话管理器212管理客户132和身份提供商126之间会话的会话数据。
图2的访问管理器210还包括认证管理器214。当客户132访问身份提供商126的资源220或者当客户132参与身份管理器218的单次登入服务时,认证管理器214可以用根据身份提供商的认证策略来认证客户132的网络服务表示。认证管理器214将客户提供的安全信息与存储在用户注册表222内的身份相关信息进行比较,通过会话管理器212将认证证书记录在客户的会话数据内。图2的认证管理器210可能需要不同类型的认证类型,这取决于哪个客户请求资源、所请求的资源220类型、或者参与单次登入的服务提供商的认证策略。例如,当客户132访问诸如电子邮件的资源时,认证管理器214要求认证所需的用户名和密码,或者当客户132在单次登入环境内访问提供投资银行服务的服务提供商时,可能要求x.509证书。
图2的身份提供商126包括用户注册表222。用户注册表222是存储了客户132的身份相关信息的数据库,所述信息可包括例如客户识别符、客户名称、电子邮件地址、物理邮寄地址、办公室位置、系统喜好、客户所属的安全组、安全特权、客户的非对称加密公钥、客户的对称加密密钥、其他身份相关的信息等等。在图2的实例中,身份提供商126的用户注册表222可由认证管理器214、认证代理216、以及身份管理器218访问。在图2的实例中,认证管理器、认证代理或者身份管理器使用直接访问协议,例如轻便目录访问协议“LDAP” 来访问用户注册表222。
图2的身份提供商126还包括身份管理器218。身份管理器218可以用针对由访问管理器210或认证代理216授权参与单次登入的客户执行单次登入服务的网络服务来表示。通过在服务提供商128和客户132之间交换网络服务消息,身份管理器218可执行身份提供商126内的单次登入服务。在图2的实例中,身份管理器218从请求客户132的单次登入认证的服务提供商128接收一个认证请求,该请求规定了服务提供商的认证策略。对于请求客户132的单次登入认证的服务提供商128,图2的身份管理器218创建一个认证响应,其包括客户与身份提供商126的会话的认证证书。通过和访问管理器210交换网络服务消息,身份管理器218可访问客户与身份提供商的当前会话的认证证书。另外,身份管理器218从用户注册表222获取客户的其他身份相关信息。本发明的实施例中,用于改进对联盟内的客户的认证的身份管理器的一个实例是IBM Tivoli 身份管理器。本领域技术人员已知的其他身份管理器218也可用于根据本发明的改进对联盟内的客户的认证。
在图2的实例中,身份提供商126包括认证代理216。认证代理216可由根据服务提供商的认证策略对于身份管理器218认证客户132的身份,并将满足服务提供商的认证策略的认证证书记录在身份提供商126的会话数据内的网络服务来表示。通过借助访问管理器210访问客户的会话数据,认证代理216确定客户与身份提供商126的当前会话的认证证书是否满足服务提供商的认证策略。如果满足了服务提供商的认证策略,认证代理通过一个网络服务消息通知身份管理器218。如果客户与身份提供商126的当前会话的认证证书不满足服务提供商的认证策略,认证代理216提示客户为该会话提供附加的安全信息,使用存储在用户注册表222中的客户身份相关信息来验证所述附加的安全信息,通过访问管理器210将满足服务提供商的认证策略的附加认证证书记录在该客户的会话数据中,并通过一个网络服务消息通知身份管理器218服务提供商的认证策略已经被满足。图2的认 证代理216与图2的实例中的访问管理器210分开实现。该实例中以独立的模块实现认证代理216是示意性的,并不限制本发明。图2的认证代理216例如作为访问管理器210内、认证管理器214内、或者本领域技术人员已知的身份提供商126的任何其他模块内的模块来实现。
在图2的实例中,服务提供商128包括访问管理器230和用户注册表242。图2的访问管理器230包括会话管理器232和认证管理器234。在图2的实例中,服务提供商128的访问管理器230、服务提供商128的会话管理器232、服务提供商128的认证管理器234、以及服务提供商128的用户注册表242都具有与身份提供商126的访问管理器210、身份提供商126的会话管理器212、身份提供商126的认证管理器214以及身份提供商126的用户注册表242相似的结构和操作方式。
图2的服务提供商128还包括一个身份管理器238。身份管理器238用对由访问管理器230授权参与单次登入的客户132执行单次登入服务的网络服务来表示。通过与身份提供商126和客户132交换安全消息,身份管理器238执行身份提供商126内的单次登入服务。在图2的实例中,身份管理器238接收客户132访问服务提供商128的资源240的请求,通过访问从用户注册表242得到的客户身份相关信息,确定该请求的认证证书是否满足服务提供商的认证策略。如果客户的请求的认证证书不满足服务提供商的认证策略,图2的身份管理器238向身份提供商126发送一个认证请求,该请求规定了服务提供商的认证策略。身份管理器238还从身份管理器238接收一个认证响应,该响应包括满足服务提供商的认证策略的认证证书,并把该认证证书记录在服务提供商与该客户的会话数据内。可用于本发明的实施例的改进认证联盟内客户的身份管理器的实例是IBM Tivoli 身份管理器。本领域技术人员已知的其他身份管理器218也可以用于改进本发明中对联盟中的客户进行认证。
根据本发明的实施例,对联盟中的客户进行认证通常用计算机实 现,即用自动计算机器来实现。在图1的系统中,例如所有节点、服务器和通信设备至少在某种程度上用计算机来实现。因此,为了进一步阐释,图3示出了自动计算机器的模块图,其包括了根据本发明的实施例的用于对联盟中的客户进行认证的示例性计算机152。图3的计算机152包括至少一个计算机处理器156或“CPU”以及随机访问存储器168“RAM”,后者通过系统总线160连接到处理器156以及计算机的其他器件。
认证代理216存储在RAM168内,它是用于由身份提供商根据服务提供商的认证策略来认证客户,并将满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据内的计算机程序指令。存储在RAM168内的还有访问管理器210,它是用于由身份提供商根据服务提供商的认证策略来认证客户的计算机程序指令。存储在RAM168中的还有身份提供商的身份管理器218,它是用于在身份提供商中接收来自服务提供商的规定了服务提供商的认证策略的认证请求的计算机程序指令。存储在RAM168中的还有服务提供商的身份管理器238,它是用于把客户访问服务提供商的资源的请求接收到服务提供商中,由服务提供商确定该请求的认证证书不满足服务提供商的认证策略,由服务提供商向身份提供商发送一个规定了服务提供商的认证策略的认证请求,由服务提供商从身份提供商接收一个认证响应,该认证响应包括满足服务提供商的认证策略的认证证书,将该认证证书记录在服务提供商的会话数据中的计算机程序指令。
存储在RAM168中的还有一个操作系统154。根据本发明的实施例,用于计算机中的操作系统包括UNIXTM,LinuxTM,MicrosoftXPTM,AIXTM,IBM的i5/OSTM,以及本领域技术人员已知的其他操作系统。图3的实例所示的操作系统154、认证代216、访问管理器210、身份提供商的身份管理器218、以及服务提供商的身份管理器238在RAM168中示出,但该类软件的许多组件一般也被存储在非易失性存储器166中。
图3的计算机152包括非易失性计算机存储器166,其通过系统 总线160耦合到处理器156和计算机152的其他组件。非易失性存储器166可实现为硬盘驱动器170、光盘驱动器172、可电擦除可编程只读存储器(称为“EEPROM”或“闪存”)存储器174、RAM驱动器未示出、或者本领域技术人员已知的任何其他类型的计算机存储器。
图3的计算机实例包括一个或多个输入/输出接口适配器178。计算机内的输入/输出接口适配器执行面向用户的输入/输出,例如通过软件驱动器和计算机硬件来控制向显示设备180、例如计算机显示屏幕的输出,以及控制从用户输入设备181、例如键盘和鼠标的用户输入。
图3的示例性计算机152包括一个通信适配器167,用来执行与其他计算机182的数据通信184。这类数据通信可以通过RS-232连接、通过外部总线例如USB、通过数据通信网络例如IP网络、以及本领域技术人员已知的其他方式串行执行。通信适配器实现硬件级的数据通信,计算机通过其直接或借助网络向另一个计算机发送通信数据。根据本发明的实施例,用于确定目标可用性的通信适配器的实例包括用于有线拨号通信的调制解调器、用于有线网络通信的以太网IEEE802.3适配器、以及用于无线网络通信的802.11b适配器。
为了进一步阐释,图4示出了一个流程图,其阐释了本发明的实施例中用于认证联盟内的客户的示例性方法。图4的方法执行基于推入协议的单次登入认证序列。基于推入的单次登入是实现单次登入认证,当客户通过身份提供商的域访问服务提供商的资源时,例如通过身份提供商的门户页面,其将被身份提供商认证后的客户重新指向到服务提供商。当客户是网络服务客户时,通过使用HTTP 302重定向的客户向服务提供商发送一个网络服务消息,身份提供商可向服务提供商提供客户的认证证书。当客户是使用网络浏览器的个人时,通过使用HTTP 302重新指向到服务提供商的客户在安全联盟标记语言“SAML”断言中包括一个指针,身份提供商可向服务提供商提供客户的认证证书。SAML是Oasis标准组织的一个标准。SAML由两种 不同的功能组成,一个断言和一个协议。SAML断言用于传输与客户相关的信息,而SAML协议是交换SAML断言的手段。
图4的方法包括由身份提供商根据身份提供商的认证策略来认证402客户,在身份提供商内从服务提供商接收420规定了服务提供商的认证策略的认证请求。图4的实例中,身份提供商的认证策略是身份提供商对请求访问资源或者参与身份提供商的单次登入的客户进行认证所需的一组要求以及相关的安全信息。身份提供商的认证策略可以要求一个客户提供安全信息,例如用户名和密码、对称加密密钥、x.509证书、Kerberos票证、或者本领域技术人员已知的任何其他安全相关的信息。身份提供商使用客户提供的安全信息来创建满足身份提供商的认证策略的认证证书。
在图4的方法中,由身份提供商根据身份提供商的认证策略400来认证402客户包括根据身份提供商的认证策略400从客户接收安全信息401。当客户用个人或者代表个人的线程或进程来表示时,根据图4的方法,从客户接收403满足身份提供商的认证策略400的安全信息401包括访问管理器通过诸如计算机屏幕或语言合成器的用户接口提示客户发送安全信息401。当客户由网络服务客户表示时,根据图4的方法,接收403安全信息401还可包括访问管理器在网络服务消息内规定身份提供商的认证策略,例如在SOAP包中包含的身份提供商的认证策略的XML表示,并且由访问管理器使用诸如HTTP的网络协议向客户传输网络服务消息。
在图4的方法中,由身份提供商根据身份提供商的认证策略400来认证402客户还包括使用存储在用户注册表222中的身份相关信息来验证404客户的安全信息401。用户注册表222是存储客户的身份相关信息的数据库,该信息可包括例如客户识别符、客户名称、电子邮件地址、物理邮件地址、办公室位置、系统喜好、客户所属的安全组、安全特权、客户的非对称加密公钥、客户的对称加密密钥、其他身份相关信息等等。验证404安全信息401可包括例如在认证序列中将客户提供的密码散列化,并将散列后的密码与之前存储在用户注册 表222中的客户的密码的散列值进行比较。验证安全信息401还可包括例如使用存储在用户注册表222中的客户的非对称加密公钥来对消息进行解密,其中该消息使用客户的非对称加密私钥来数字化签名。如果客户的安全信息401没有被验证,身份提供商的访问管理器可以返回一个HTTP 401响应,表示基于客户的安全信息已经拒绝了对身份提供商的访问。
图4的方法还包括如果客户的安全信息被验证,将满足身份提供商的认证策略400的认证证书414记录406在身份提供商的会话数据410内。将认证证书414记录406在身份提供商的会话数据410内可以通过以下手段执行:根据用户注册表222内的身份相关数据创建认证证书414,所述身份相关数据例如是客户识别符、客户所属的安全组、安全属性等等。因为图4的方法执行客户和身份提供商的初始认证序列,不存在该客户与身份提供商的先前的会话。因此根据图4的方法,将认证证书414记录406在身份提供商的会话数据410内可包括创建客户与身份提供商的会话。在图4的方法中,将认证证书414记录406在身份提供商的会话数据410内还可包括将认证证书401存储在客户与身份提供商的会话数据410中。客户与身份提供商的会话数据在该实例中被表示成一个数据结构410,该数据结构将该会话的会话识别符412与客户识别符413和认证证书414联系起来。认证证书414表示在会话持续时间中客户的安全特权。
根据图4的方法,在基于推入的单次登入环境下,当根据服务提供商的认证策略来执行认证时,除了身份提供商提供的认证证书处,服务提供商可能需要不同的认证证书来认证客户。除了直接提示客户需要额外的安全信息处,服务提供商从身份提供商请求满足服务提供商的认证策略的认证证书。
图4的方法还可包括身份提供商从服务提供商接收420一个认证请求422,该请求规定了服务提供商的认证策略424。在身份提供商内从服务提供商接收420一个认证请求422可以通过以下手段执行:在身份管理器的WSDL描述中所述的网络服务端点处把认证请求422 接收到身份提供商的身份管理器中。从服务提供商接收的规定了服务提供商的认证策略424的认证请求422可以是一个网络服务消息,该消息包括位于SOAP包内的服务提供商的认证策略的XML表示。
为了进一步阐释,图5示出了一个流程图,其阐释了本发明的实施例中用于对联盟中的客户进行认证的另一个示例性方法,该方法包括在身份提供商中接收420来自服务提供商的规定了服务提供商的认证策略的认证请求,身份提供商根据服务提供商的认证策略来认证430客户,并将满足服务提供商的认证策略的认证证书记录450在身份提供商的会话数据内。
图4的方法包括在身份提供商中接收420来自服务提供商的规定了服务提供商的认证策略424的认证请求422。身份提供商从服务提供商接收420认证请求422可以通过以下手段来执行:在身份管理器的WSDL描述中所述的网络服务端点处把认证请求422接收到身份提供商的身份管理器中。来自服务提供商的规定了服务提供商的认证策略424的认证请求422可以是一个网络服务消息,该消息包括位于SOAP包内的服务提供商的认证策略的XML表示。
当如上述参照图4所述,客户参与到基于推入的单次登入时,根据图5的方法,身份提供商从服务提供商接收420规定了服务提供商的认证策略424的认证请求422。根据图5的方法,身份提供商从服务提供商接收420规定了服务提供商的认证策略424的认证请求422还可发生在客户参与基于推入的单次登入时。基于推入的单次登入是单次登入认证的实现方式,当客户试图直接访问服务提供商上的资源时,例如通过在网络浏览器内输入服务提供商的URL或者使用书签时,其把客户重新指向到用于单次登入的身份提供商。即,客户不通过身份提供商、例如通过身份提供商的网络服务器上的门户网页访问服务提供商的资源。在基于推入的单次登入环境下,当客户请求访问服务提供商的资源时,服务提供商将向身份提供商请求认证证书。图5的请求422规定了服务提供商的认证策略424。
在图5的方法中,身份提供商根据服务提供商的认证策略来认证 430客户可以通过以下手段来执行:确定432服务提供商的认证策略是否被客户与身份提供商的会话数据410内的当前认证证书414所满足。在该实例中,客户与身份提供商的会话数据用将该会话的会话识别符412与客户识别符413和认证证书412联系起来的数据结构410表示。认证证书414表示在会话持续时间内的客户的安全特权。服务提供商的认证策略是否被客户与身份提供商的会话数据410内的当前认证证书414所满足可以由身份提供商的身份管理器确定。会话数据410可以由身份提供商的身份管理器从身份提供商的访问管理器获得。
如果服务提供商的认证策略被客户与身份提供商的会话数据410内的当前认证证书414所满足,在图5的实例中,身份提供商根据服务提供商的认证策略认证430客户包括由身份提供商向服务提供商发送438一个认证响应460,该响应包括满足服务提供商的认证策略的认证证书440。在图5的实例中,由身份提供商向服务提供商发送438一个认证响应460包括从客户与身份提供商的会话数据410读取认证证书414。在图5的实例中,由身份提供商向服务提供商发送438一个认证响应460可包括从身份提供商的身份管理器通过使用HTTP302重定向的客户向服务提供商传输一个网络服务消息。
在图5的实例中,认证响应460包括满足服务提供商的认证策略的认证证书440。认证响应460可以由SOAP包内所包含的基于XML的网络服务消息来表示。在图5的实例中,认证证书440表示成与身份提供商的单次登入会话期间客户的安全特权。认证证书440将客户识别符442与会话识别符443、用户组识别符444和认证属性识别符446联系起来。图5的认证证书440可以由安全令牌,例如IBM、微软和Verisign所开发的标题为“网络服务安全性”(WS-Security)”的网络服务规范中描述的安全令牌,或者由IBM、微软、Verisign、OpenNetwork、Layer7、Computer Associate、BEA、Oblix、Reactivity、RSA Security、Ping Identity、以及Actional所开发的标题为“网络服务信任语言”(“WS-trust”)的网络服务规范中描述的安全令牌。
如果客户与身份提供商的会话数据410内的当前认证证书414不满足服务提供商的认证策略,在图5的实例中,身份提供商根据服务提供商的认证策略来认证430客户包括由身份提供商的访问管理器认证434客户或者由身份提供商的认证代理认证436客户。在图5的方法中,身份提供商的认证代理认证436客户可以通过接收满足服务提供商的认证策略的安全信息来执行。如果客户是个人或者是代表个人的线程或进程。根据图4的方法,从客户接收403满足身份提供商的认证策略400的安全信息401可包括访问管理器通过诸如计算机屏幕或语言合成器的用户接口提示客户发送安全信息401。如果客户是网络服务客户,根据图4的方法,接收403安全信息401还可包括访问管理器在网络服务消息内规定身份提供商的认证策略,所述网络服务消息例如是SOAP包内所包含的身份提供商的认证策略的XML表示,并由访问管理器使用诸如HTTP的网络协议向客户传输网络服务消息。
根据图5的方法,由身份提供商的认证代理认证436客户还可以通过使用存储在用户注册表内的身份相关信息来验证客户的安全信息而执行。验证安全信息可包括例如在认证序列中将客户提供的密码散列化,并将散列后的密码与之前存储在用户注册表中的客户的密码的散列值进行比较。验证安全信息还可包括例如使用存储在用户注册表中的客户的非对称加密公钥对消息进行解密,其中该消息使用客户的非对称加密私钥进行数字化签名。
根据图5的方法,由身份提供商的访问管理器认证434客户的操作方式类似于通过身份提供商的认证代理来认证436客户的操作方式。在图5的方法中,由身份提供商的访问管理器认证434客户还可以通过以下手段来执行:接收满足服务提供商的认证策略的安全信息,并使用存储在用户注册表中的身份相关信息验证客户的安全信息。
如果客户与身份提供商的会话数据410中的当前认证证书414不满足服务提供商的认证策略,继续执行图5的方法,将满足服务提 供商的认证策略的认证证书440记录450在身份提供商的会话数据440中。因为不存在客户和身份提供商的先前的会话,图5的方法可能发生在客户和身份提供商的最初认证序列中。因此,根据图5的方法,将满足服务提供商的认证策略的认证证书440记录450在身份提供商的会话数据440中包括创建客户与身份提供商的会话。在图5的方法中,将满足服务提供商的认证策略的认证证书440记录450在身份提供商的会话数据440中还可包括将客户与身份提供商的会话数据410内的认证证书440作为当前认证证书414存储。客户与身份提供商的会话数据在该实例中表示为一种数据结构410,该数据结构将该会话的会话识别符412与客户识别符413和认证证书414联系起来。认证证书414表示在会话的持续时间中的客户的安全特权。
图5的方法继续执行,由身份提供商根据服务提供商的认证策略来认证430客户,这是通过由身份提供商向服务提供商发送438一个包括满足服务提供商的认证策略的认证证书440的认证响应460来实现的。由身份提供商向服务提供商发送438一个认证响应460的操作方式类似于参照图5所述的。
为了进一步阐释,图6示出了一个流程图,其阐释了根据本发明的实施例用于对联盟中的客户进行认证的又一个示例性方法,该方法包括在服务提供商内接收502客户访问服务提供商的资源的请求,由服务提供商确定504该请求的认证证书不满足服务提供商的认证策略,服务提供商向身份提供商发送一个规定了服务提供商的认证策略的认证请求,服务提供商从身份提供商接收520认证响应,该认证响应包括满足服务提供商的认证策略的认证证书,并把该认证证书记录530记录在服务提供商的会话数据内。
图6的方法包括在服务提供商内接收502客户访问服务提供商的资源的请求500。如果客户由网络服务客户来表示,根据图6的方法,在服务提供商内接收502客户访问服务提供商的资源的请求500可以通过以下手段来执行:在访问管理器的WSDL描述中所述的网络服务端点处将安全信息接收到发送给服务提供商的访问管理器的网络 服务消息中。如果客户由操作网络浏览器的人来表示,根据图6的方法,在服务提供商内接收502客户访问服务提供商的资源的请求500,可利用通过诸如计算机屏幕或语言合成器的用户接口提示客户发送安全信息来执行。
当从网络服务客户或操作网络浏览器的人接收安全信息之后,根据图6的方法,在服务提供商内接收502客户访问服务提供商的资源的请求500还可以通过根据用户注册表内的身份相关数据来创建一个认证证书503来实现。这类身份相关数据可包括例如客户识别符、该客户所属的安全组、安全属性、以及类似数据。根据图6的方法,在服务提供商内接收502客户访问服务提供商的资源的请求500还可通过访问管理器向服务提供商的身份管理器传输客户的资源请求500来实现,该请求500包括客户的认证证书503。
在图6的实例中,客户访问服务提供商的资源的请求500包括客户的认证证书503。资源请求500可以由SOAP包内所包含的基于XML的网络服务消息来表示。认证证书503表示在客户与身份提供商的会话持续时间中的客户的安全特权。图6的认证证书503可以用安全令牌表示,如标题为“WS-安全”和“WS-信任”的网络服务描述中所述的安全令牌。
图6的方法包括由服务提供商确定504请求500的认证证书503不满足服务提供商的认证策略506。根据图6的方法,服务提供商确定504请求500的认证证书503不满足服务提供商的认证策略506可以以下手段来实现:将用于认证客户的安全信息类型作为请求500的指定的认证证书503与服务提供商的认证策略506所要求的安全信息类型进行比较,如在网络服务的WSDL描述中所规定的。在图6的方法中,请求500的认证证书503是否满足服务提供商的认证策略506可以由服务提供商内的身份管理器来确定。
在图6的实例中,服务提供商的认证策略506是服务提供商验证客户请求访问资源或参与身份提供商的单次登入所需的一组要求以及相关的安全信息。服务提供商的认证策略可能需要客户提供安全信 息,例如用户名和密码、对称加密密钥、x.509证书、Kerberos票证、或者本领域技术人员已知的任何其他相关安全信息。服务提供商使用客户提供的安全信息来创建满足服务提供商的认证策略的认证证书。
图6的方法包括:如果请求500的认证证书503不满足服务提供商的认证策略506,则服务提供商向身份提供商发送510一个规定了服务提供商的认证策略424的认证请求422。根据图6的方法,服务提供商向身份提供商发送510规定了服务提供商的认证策略424的认证请求422可以通过以下方式实现:在服务提供商的身份管理器内创建网络服务消息。根据图6的方法,服务提供商向身份提供商发送510规定了服务提供商的认证策略424的认证请求422可以通过以下方式实现:从身份提供商的身份管理器通过使用HTTP 302重定向的客户向服务提供商传输一个网络服务消息。
图6的实例中,认证请求422规定了服务提供商的认证策略424。认证响应460可以表示为SOAP包内所包含的基于XML的网络服务消息。图6的实例中规定的服务提供商的认证策略424是服务提供商验证客户请求访问资源或参与身份提供商的单次登入所需的一组要求以及相关的安全信息。服务提供商的认证策略可能要求客户提供安全信息,例如用户名和密码、对称加密密钥、x.509证书、Kerberos票证、或者本领域技术人员已知的任何其他相关安全信息。服务提供商使用客户提供的安全信息来创建满足服务提供商的认证策略的认证证书。
图6的方法包括如果请求500的认证证书503不满足服务提供商的认证策略506,服务提供商从身份提供商接收520一个认证响应460,该认证响应包括满足服务提供商的认证策略506的认证证书440。服务提供商从身份提供商接收520认证响应460可以通过以下方式实现:在身份管理器的WSDL描述中所述的网络服务端点处接收把一个网络服务消息接收到服务提供商的身份管理器。
图6的实例中,认证响应460包括满足服务提供商的认证策略的认证证书440。认证响应460可以表示为SOAP包内所包含的基于 XML网络的服务消息。图6的实例中,认证证书440表示与身份提供商的单次登入会话持续时间内的客户的安全特权。图6的认证证书440可以表示为安全令牌,例如网络服务规范中所述的标题为“WS-安全”或“WS-信任”的安全令牌。
图6的方法包括在服务提供商的会话数据540中记录530认证证书544。因为客户与身份提供商可能不存在先前的会话,图6的方法可发生在客户与服务提供商的初始认证序列期间。因此,在服务提供商的会话数据540内记录530认证证书544可包括创建客户与服务提供商的会话。在图6的方法中,在服务提供商的会话数据540内记录530认证证书544还可包括在客户与身份提供商的会话数据540中存储认证证书544。该实例中,客户与身份提供商的会话数据540被表示为一个数据结构540,该数据结构将该会话的会话识别符542与客户识别符543和认证证书544联系起来。认证证书544表示在会话持续时间内的客户的安全特权。
为了进一步阐释,图7A和7B示出了一个调用序列框图,其阐释了根据本发明的实施例的用于对联盟中的客户进行认证的示例性方法。图7B是图7A中开始的调用序列框图的继续。在图7A的实例中,根据本发明的实施例,对联盟中的客户进行认证包括客户132、身份提供商126、以及服务提供商128。图7A的实例中的客户132被表示成基于推入的单次登入环境下操作网络浏览器的人。图7A的实例中的身份提供商126包括访问管理器210、身份管理器218以及认证代理216。图7A的实例中的服务提供商128包括访问管理器230、身份管理器238和计算机资源240。访问管理器230为资源240提供授权服务。
在图7A的实例中,客户132向服务提供商128的访问管理器230发送资源请求600。资源请求600是访问资源240的请求。根据图7A的实例,资源请求600可以用对特定的统一资源定位符“URL”的HTTP请求来表示。URL是资源、例如文件或图象的标准地址名称。根据本发明的实施例的HTTP请求包括例如 “http://www.serviceprovider.com/resource”。
在图7A的实例中,访问管理器230授权602客户参与单次登入。不是所有的客户都可被授权参与单次登入服务提供商128。因此根据图7A的实施例,访问管理器230根据客户提供的或者从用户注册表访问的身份相关信息确定是否授权602客户参与单次登入。例如考虑到当雇主作为身份提供商时,雇员访问投资公司网站的401k。投资公司可以向雇员的雇主发布用于雇主的雇员们单次登入的唯一网站。访问该雇主独有的投资公司网页的个人声称该个人是授权参与单次登入的雇员。
在图7A的方法中,访问管理器210向客户132发送单次登入请求604。单次登入请求604是访问管理器230向身份管理器238发送的为客户132提供单次登入服务的一个请求。单次登入请求604可以表示成基于XML的网络服务消息,该消息包括客户132的身份相关信息。
在图7A的实例中,客户132向身份管理器238发送单次登入请求606。单次登入请求606是单次登入请求604的HTTP 302重定向。HTTP 302重定向是具有状态代码302的HTTP响应,其导致网络浏览器暂时去向另一个位置以获得网络资源。
在图7A的实例中,接收单次登入请求606之后,身份管理器238定位610身份提供商126为客户132提供单次登入。身份管理器238可以首先通过提示客户132从列表中选择一个身份提供商126来定位610客户的身份提供商。随后服务提供商128可以存储与客户132的一个cookie,便于身份提供商126的自动选择。身份管理器238还可通过在一个数据库内查询身份提供商来定位610客户的身份提供商,该数据库包括已经和服务提供商128建立关系的身份提供商。
在图7A的实例中,身份管理器238还选择612服务提供商的认证策略。选择612服务提供商的认证策略可以通过基于为客户证证书的身份提供商126选择一个认证策略来实现。份管理器可能对于不同的身份提供商需要不同的认证 提供商比起一些身份提供商可能更信任另外一些身份提供商。身份提供商238可以从一个数据库获得特定服务提供商所需的认证策略,该数据库包括已经和服务提供商128建立关系的身份提供商。服务提供商的认证策略是服务提供商对请求访问资源或参与和身份提供商的单次登入的客户进行认证所需的一组要求和相关的安全信息。服务提供商的认证策略可能要求客户提供安全信息,例如用户名和密码、对称加密密钥、x.509证书、Keberos票证、或者本领域技术人员已知的任何其他安全相关信息。服务提供商使用客户提供的安全信息来创建满足服务提供商的认证策略的认证证书。
在图7A的方法中,身份管理器238创建614规定了服务提供商的认证策略的认证请求。根据图7A的实例,创建614规定了服务提供商的认证策略的认证请求可包括对网络服务消息内的服务提供商的认证策略的XML表示进行编码,该消息根据由Versign、Microsoft、Sonic Software、IBM和SAP共同开发的标题为“网络服务策略框架”(“WS-策略”)的网络服务规范或者由Microsoft、Versign、IBM和RSA安全联盟开发的标题为“网络服务安全策略语言”(“WS-安全策略”)的网络服务规范来规定。
图7A的实例中,身份管理器238向客户132发送认证请求615。认证请求615规定了服务提供商的认证策略。客户132向身份管理器218发送认证请求617。图7A的实例中,认证请求617是认证请求615的HTTP 302重定向。每个认证请求617用SOAP包中所包含的基于XML的网络服务消息表示。
在图7A的方法中,在接收认证请求617之后,身份管理器218证实616认证请求,并提取618服务提供商的认证策略。证实616认证请求可以通过验证该认证请求的数字签名是服务提供商128的身份管理器238的数字签名来执行。身份管理器218可通过使用身份管理器238的非对称加密公钥解密该签名来验证认证请求的数字签名。根据图7A的实例,可以通过从网络服务消息读取认证策略的XML表示来提取服务提供商的认证策略。
在图7A的实例中,身份管理器218向客户132传输服务提供商的认证策略620。客户132向认证代理216发送服务提供商的认证策略622。服务提供商的认证策略622是服务提供商的认证策略620的HTTP 302重定向。服务提供商的认证策略620和622可以用SOAP包内所包含的认证策略的XML表示的网络服务消息来表示。
在图7A的方法中,认证代理216向客户132发送对安全信息的请求624。对安全信息的请求624可以通过提示操作网络浏览器的个人提供在单次登入环境下先前没有提供的附加安全信息来实现。所请求的安全信息包括例如用户名、密码、社会保险号、Kerberos票证、x.509证书等等。
现在参照图7B:客户132向认证代理216发送安全信息响应626。安全信息响应626可以使用客户132和认证代理216之间的安全连接来发送,例如安全套接字层“SSL”协议或传输层安全“TLS”协议。
在图7B的实例中,认证代理216证实628安全信息响应626。证实628可以通过将客户132提供的安全信息与存储在用户注册表内的身份相关数据进行比较来实现。例如,如果提供给认证代理的密码的散列形式与先前存储在用户注册表中的客户密码的散列形式相匹配,则可以证实该客户。
在图7B的方法中,认证代理216向客户132发送一个认证成功响应630。认证成功响应630表示认证代理216证实了客户132所提供的安全信息。客户132向身份管理器218发送认证成功响应630。认证成功响应632是认证成功响应630的一个HTTP 302重定向。图7B的例子中的认证成功响应630和632可以用包含客户的身份和安全相关信息的网络服务消息来表示。
在图7B的方法中,身份管理器218创建634包括了认证证书的认证响应638。创建634认证响应638可以通过在网络服务消息内嵌入认证证书来实现。可以基于存储在用户注册表内的客户提供的安全信息和身份相关信息,例如客户识别符、客户的授权属性、客户所属的组、用于认证用户的安全信息类型等等来创建认证证书。
在图7B的实例中,身份管理器218向访问管理器210传输认证响应638。认证响应638可以用基于XML的网络服务消息来表示。认证证书可以在认证响应638内作为安全令牌来实现,例如标题为“WS-安全”和“WS-信任”的网络服务规范中所述的以及包含在SOAP包内的这些安全令牌。在图7B的实例中,身份管理器218向身份提供商126的访问管理器210发送认证响应638。
在图7B的方法中,访问管理器210创建客户132与身份提供商126的本地会话,并将认证响应638的认证证书记录642在客户132和身份提供商126的会话数据内。
在图7B的实例中,访问管理器210向客户132发送认证响应644。认证响应644是从身份管理器218转发给访问管理器210的认证响应638。在图7B的实例中,客户132向身份管理器238发送认证响应646。图7B的认证响应646是认证响应644的HTTP 302重定向。
在图7B的实例中,身份管理器238证实648认证响应646。证实648认证响应可以通过由认证响应的发起者验证认证请求的数字签名是身份管理器218的数字签名来实现的。身份管理器238可以通过使用身份管理器218的非对称加密公钥解密签名来证实认证请求的数字签名。
在图7B的方法中,身份管理器238在客户与服务提供商128的会话期间,创建650规定了客户的特权的本地认证证书。身份管理器238基于包含在认证响应646内的认证证书来创建650本地认证证书。身份管理器238通过读取包含在SOAP包内的认证证书的XML表示来提取该响应646的认证证书。
在图7B的实例中,身份管理器238响应图7A的单次登入请求606,向访问管理器230发送单次登入响应652。单次登入响应652可以用基于XML的网络服务消息来表示。在图7B的实例中,单次登入响应652包括本地认证证书652,例如客户名称、安全属性、用于认证客户的安全信息的类型等等。
在图7B的实例中,访问管理器230创建654客户132与服务提 供商126的会话。客户132与服务提供商128的会话用服务提供商128内的数据结构来表示。访问管理器230把本地认证证书存储在客户132与服务提供商128的会话数据内。访问管理器230授权客户132基于存储在会话数据内的本地认证证书来访问资源240。
在图7B的方法中,访问管理器230向客户132发送资源请求656。资源请求656是由图7A中的访问管理器230为单次登入处理所截取的资源请求600的拷贝。客户132向资源240发送资源请求658。资源请求658是从客户132到资源240的资源请求656的HTTP 302重定向。
在图7B的实例中,资源240通过向客户132发送资源请求660来响应资源请求658。资源响应660是与图7A的客户的资源请求600配对的响应。在图7A和7B的调用序列中,客户由操作网络浏览器的个人来表示。因此资源响应660可以通过使用HTML、JSP、CGI脚本等等的静态或动态网络内容来表示。在图7A和7B的调用序列中实施客户是示意性的,而不是限制性的。根据图7A和7B的调用序列,客户132可以用网络服务来表示。在该情况下,资源响应660可以用程序、进程或执行线程所提供的数据处理结果来表示。
本发明的示例性实施例主要在用于对联盟中的客户进行认证的完全功能性计算机系统的环境下描述。但是本领域技术人员能够了解,本发明还可以嵌入到位于信号承载介质上的计算机程序产品中以用于任何适当的数据处理系统。这类信号承载介质是机器可读信息的传输介质或可记录介质,包括磁介质、光介质或其他适当的介质。可记录介质的实例包括硬盘驱动器或盘盒中的磁盘、用于光驱的光盘、磁带、以及本领域技术人员已知的其他介质。传输媒介的实例包括用于语音通信的电话网络和数字数据通信网络,例如以太网、以及使用因特网协议的网络、以及万维网。本领域技术人员很容易意识到具有适当编程方法的任何计算机系统都能够执行嵌入程序产品的本发明的方法的步骤。本领域技术人员很容易意识到尽管说明书中描述的一些示例性实施例面向在计算机硬件上安装和执行的软件,但作为固件 或硬件描述的替代实施例也在本发明的范围内。
根据上述描述,应该理解可以在本发明的不同实施例中加以修正和改变,而没有偏离其实质。本说明书的说明仅是示意性的,不应理解为限制性的。本发明的范围仅由下述权利要求书所限定。
Claims (7)
1.一种对联盟内的客户进行认证的方法,该方法包括:
在身份提供商内接收来自服务提供商的规定了服务提供商的认证策略的认证请求,其中该认证请求是由服务提供商响应于在服务提供商内接收客户要访问服务提供商的资源的请求并且服务提供商确定该请求的认证证书不满足服务提供商的认证策略而向身份提供商发送的;
由身份提供商根据服务提供商的认证策略来认证客户;以及
将满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据中。
2.如权利要求1的方法,还包括由身份提供商根据身份提供商的认证策略来认证客户。
3.如权利要求1的方法,其中认证客户还包括由身份提供商的访问管理器来认证客户。
4.如权利要求1的方法,其中认证客户还包括由身份提供商的认证代理来认证客户。
5.如权利要求1的方法,还包括:
由服务提供商从身份提供商接收认证响应,该认证响应包括满足服务提供商的认证策略的认证证书;以及
将认证证书记录在服务提供商的会话数据中。
6.一种用于对联盟内的客户进行认证的系统,该系统包括:
用于在身份提供商内接收来自服务提供商的规定了服务提供商的认证策略的认证请求的装置,其中该认证请求是由服务提供商响应于在服务提供商内接收客户要访问服务提供商的资源的请求并且服务提供商确定该请求的认证证书不满足服务提供商的认证策略而向身份提供商发送的;
用于由身份提供商根据服务提供商的认证策略来认证客户的装置;以及
用于将满足服务提供商的认证策略的认证证书记录在身份提供商的会话数据中的装置。
7.如权利要求6的系统,还包括:
用于由服务提供商从身份提供商接收一个认证响应的装置,该认证响应包括满足服务提供商的认证策略的认证证书;以及
用于将认证证书记录在服务提供商的会话数据中的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/304,945 | 2005-12-15 | ||
US11/304,945 US8418234B2 (en) | 2005-12-15 | 2005-12-15 | Authentication of a principal in a federation |
PCT/EP2006/069652 WO2007068716A1 (en) | 2005-12-15 | 2006-12-13 | Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101331731A CN101331731A (zh) | 2008-12-24 |
CN101331731B true CN101331731B (zh) | 2012-11-28 |
Family
ID=37943790
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200680046924.9A Expired - Fee Related CN101331731B (zh) | 2005-12-15 | 2006-12-13 | 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 |
Country Status (7)
Country | Link |
---|---|
US (1) | US8418234B2 (zh) |
EP (1) | EP1961185A1 (zh) |
JP (1) | JP5052523B2 (zh) |
CN (1) | CN101331731B (zh) |
CA (1) | CA2633311C (zh) |
TW (1) | TWI400922B (zh) |
WO (1) | WO2007068716A1 (zh) |
Families Citing this family (82)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8270947B2 (en) * | 2005-12-19 | 2012-09-18 | Motorola Solutions, Inc. | Method and apparatus for providing a supplicant access to a requested service |
US8046821B2 (en) * | 2006-02-13 | 2011-10-25 | Qualcomm Incorporated | Mechanism and method for controlling network access to a service provider |
JP2007304994A (ja) * | 2006-05-12 | 2007-11-22 | Canon Inc | 情報処理装置及び方法 |
US8069476B2 (en) * | 2006-06-01 | 2011-11-29 | Novell, Inc. | Identity validation |
US20070294253A1 (en) * | 2006-06-20 | 2007-12-20 | Lyle Strub | Secure domain information protection apparatus and methods |
US8042160B1 (en) * | 2006-06-22 | 2011-10-18 | Sprint Communications Company L.P. | Identity management for application access |
US7926089B2 (en) * | 2006-07-14 | 2011-04-12 | Hewlett-Packard Development Company, L.P. | Router for managing trust relationships |
US8387108B1 (en) * | 2006-10-31 | 2013-02-26 | Symantec Corporation | Controlling identity disclosures |
US8590027B2 (en) * | 2007-02-05 | 2013-11-19 | Red Hat, Inc. | Secure authentication in browser redirection authentication schemes |
US8510431B2 (en) * | 2007-07-13 | 2013-08-13 | Front Porch, Inc. | Method and apparatus for internet traffic monitoring by third parties using monitoring implements transmitted via piggybacking HTTP transactions |
US8214486B2 (en) * | 2007-07-13 | 2012-07-03 | Front Porch, Inc. | Method and apparatus for internet traffic monitoring by third parties using monitoring implements |
US8478862B2 (en) * | 2007-07-13 | 2013-07-02 | Front Porch, Inc. | Method and apparatus for internet traffic monitoring by third parties using monitoring implements |
US7953851B2 (en) * | 2007-07-13 | 2011-05-31 | Front Porch, Inc. | Method and apparatus for asymmetric internet traffic monitoring by third parties using monitoring implements |
US20090031394A1 (en) * | 2007-07-24 | 2009-01-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and systems for inter-resource management service type descriptions |
FI121646B (fi) * | 2007-08-08 | 2011-02-15 | Teliasonera Finland Oyj | Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan |
US8196191B2 (en) * | 2007-08-17 | 2012-06-05 | Norman James M | Coordinating credentials across disparate credential stores |
US8863246B2 (en) * | 2007-08-31 | 2014-10-14 | Apple Inc. | Searching and replacing credentials in a disparate credential store environment |
US20090077638A1 (en) * | 2007-09-17 | 2009-03-19 | Novell, Inc. | Setting and synching preferred credentials in a disparate credential store environment |
US7941863B1 (en) * | 2007-09-27 | 2011-05-10 | Symantec Corporation | Detecting and preventing external modification of passwords |
WO2009074709A1 (en) * | 2007-12-10 | 2009-06-18 | Nokia Corporation | Authentication arrangement |
US20090199277A1 (en) * | 2008-01-31 | 2009-08-06 | Norman James M | Credential arrangement in single-sign-on environment |
US20090217367A1 (en) * | 2008-02-25 | 2009-08-27 | Norman James M | Sso in volatile session or shared environment |
DE102008011191A1 (de) * | 2008-02-26 | 2009-08-27 | Abb Research Ltd. | Client/Server-System zur Kommunikation gemäß dem Standardprotokoll OPC UA und mit Single Sign-On Mechanismen zur Authentifizierung sowie Verfahren zur Durchführung von Single Sign-On in einem solchen System |
US8418222B2 (en) * | 2008-03-05 | 2013-04-09 | Microsoft Corporation | Flexible scalable application authorization for cloud computing environments |
US8196175B2 (en) * | 2008-03-05 | 2012-06-05 | Microsoft Corporation | Self-describing authorization policy for accessing cloud-based resources |
EP2107757A1 (en) * | 2008-03-31 | 2009-10-07 | British Telecommunications Public Limited Company | Identity management |
US8726358B2 (en) * | 2008-04-14 | 2014-05-13 | Microsoft Corporation | Identity ownership migration |
US8732452B2 (en) | 2008-06-23 | 2014-05-20 | Microsoft Corporation | Secure message delivery using a trust broker |
US9736153B2 (en) | 2008-06-27 | 2017-08-15 | Microsoft Technology Licensing, Llc | Techniques to perform federated authentication |
US8910257B2 (en) | 2008-07-07 | 2014-12-09 | Microsoft Corporation | Representing security identities using claims |
US9009838B2 (en) * | 2008-07-24 | 2015-04-14 | Front Porch, Inc. | Method and apparatus for effecting an internet user's privacy directive |
US20100077457A1 (en) * | 2008-09-23 | 2010-03-25 | Sun Microsystems, Inc. | Method and system for session management in an authentication environment |
WO2010040393A1 (en) * | 2008-10-08 | 2010-04-15 | Nokia Siemens Networks Oy | Method for providing access to a service |
US8275984B2 (en) * | 2008-12-15 | 2012-09-25 | Microsoft Corporation | TLS key and CGI session ID pairing |
US9059979B2 (en) | 2009-02-27 | 2015-06-16 | Blackberry Limited | Cookie verification methods and apparatus for use in providing application services to communication devices |
US20100251353A1 (en) * | 2009-03-25 | 2010-09-30 | Novell, Inc. | User-authorized information card delegation |
US20100293604A1 (en) * | 2009-05-14 | 2010-11-18 | Microsoft Corporation | Interactive authentication challenge |
US20100306052A1 (en) * | 2009-05-29 | 2010-12-02 | Zachary Edward Britton | Method and apparatus for modifying internet content through redirection of embedded objects |
FR2950775B1 (fr) * | 2009-09-30 | 2011-10-21 | Alcatel Lucent | Dispositif et procede de gestion automatisee d'identites et de profils d'usagers d'equipements de communication |
EP2504967A1 (en) * | 2009-11-23 | 2012-10-03 | Nokia Siemens Networks Oy | Service access control |
US9509791B2 (en) | 2010-01-07 | 2016-11-29 | Oracle International Corporation | Policy-based exposure of presence |
US20110167479A1 (en) * | 2010-01-07 | 2011-07-07 | Oracle International Corporation | Enforcement of policies on context-based authorization |
US20110166943A1 (en) * | 2010-01-07 | 2011-07-07 | Oracle International Corporation | Policy-based advertisement engine |
US20110196728A1 (en) * | 2010-02-05 | 2011-08-11 | Oracle International Corporation | Service level communication advertisement business |
US9467858B2 (en) | 2010-02-05 | 2016-10-11 | Oracle International Corporation | On device policy enforcement to secure open platform via network and open network |
US9495521B2 (en) * | 2010-02-05 | 2016-11-15 | Oracle International Corporation | System self integrity and health validation for policy enforcement |
US9282097B2 (en) * | 2010-05-07 | 2016-03-08 | Citrix Systems, Inc. | Systems and methods for providing single sign on access to enterprise SAAS and cloud hosted applications |
US8881247B2 (en) | 2010-09-24 | 2014-11-04 | Microsoft Corporation | Federated mobile authentication using a network operator infrastructure |
JP5289480B2 (ja) * | 2011-02-15 | 2013-09-11 | キヤノン株式会社 | 情報処理システム、情報処理装置の制御方法、およびそのプログラム。 |
US9130935B2 (en) * | 2011-05-05 | 2015-09-08 | Good Technology Corporation | System and method for providing access credentials |
US20130007867A1 (en) * | 2011-06-30 | 2013-01-03 | Cisco Technology, Inc. | Network Identity for Software-as-a-Service Authentication |
CN102938757B (zh) * | 2011-08-15 | 2017-12-08 | 中兴通讯股份有限公司 | 共享网络中用户数据的方法和身份提供服务器 |
US9117062B1 (en) * | 2011-12-06 | 2015-08-25 | Amazon Technologies, Inc. | Stateless and secure authentication |
EP2798869A4 (en) * | 2011-12-30 | 2015-09-02 | Intel Corp | DEVICE AND METHOD FOR PROVIDING IDENTITIES OVER RADIO |
US8806589B2 (en) * | 2012-06-19 | 2014-08-12 | Oracle International Corporation | Credential collection in an authentication server employing diverse authentication schemes |
US9497270B2 (en) * | 2012-08-30 | 2016-11-15 | Novell, Inc. | Federated timeout |
WO2014049709A1 (ja) | 2012-09-26 | 2014-04-03 | 株式会社 東芝 | ポリシ管理システム、idプロバイダシステム及びポリシ評価装置 |
US9258298B2 (en) | 2013-03-04 | 2016-02-09 | Arris Enterprises, Inc. | Simplified configuration of a network device |
US10908937B2 (en) | 2013-11-11 | 2021-02-02 | Amazon Technologies, Inc. | Automatic directory join for virtual machine instances |
US10511566B2 (en) | 2013-11-11 | 2019-12-17 | Amazon Technologies, Inc. | Managed directory service with extension |
US9736159B2 (en) | 2013-11-11 | 2017-08-15 | Amazon Technologies, Inc. | Identity pool bridging for managed directory services |
US9407615B2 (en) * | 2013-11-11 | 2016-08-02 | Amazon Technologies, Inc. | Single set of credentials for accessing multiple computing resource services |
EP3100195B1 (en) * | 2014-01-31 | 2021-05-19 | British Telecommunications public limited company | Access control system |
US9454773B2 (en) | 2014-08-12 | 2016-09-27 | Danal Inc. | Aggregator system having a platform for engaging mobile device users |
US10154082B2 (en) | 2014-08-12 | 2018-12-11 | Danal Inc. | Providing customer information obtained from a carrier system to a client device |
US9461983B2 (en) * | 2014-08-12 | 2016-10-04 | Danal Inc. | Multi-dimensional framework for defining criteria that indicate when authentication should be revoked |
US10509663B1 (en) | 2015-02-04 | 2019-12-17 | Amazon Technologies, Inc. | Automatic domain join for virtual machine instances |
US10855725B2 (en) * | 2016-06-02 | 2020-12-01 | Microsoft Technology Licensing, Llc | Hardware-based virtualized security isolation |
US10783518B1 (en) | 2016-06-29 | 2020-09-22 | Wells Fargo Bank, N.A | Systems and methods for third party token based authentication |
US10334434B2 (en) * | 2016-09-08 | 2019-06-25 | Vmware, Inc. | Phone factor authentication |
US10326671B2 (en) * | 2016-10-18 | 2019-06-18 | Airwatch Llc | Federated mobile device management |
US10862831B2 (en) * | 2017-08-03 | 2020-12-08 | Digital 14 Llc | System, method, and computer program product providing end-to-end security of centrally accessible group membership information |
WO2019061076A1 (en) | 2017-09-27 | 2019-04-04 | Huawei Technologies Co., Ltd. | AUTHENTICATION PROTOCOL BASED ON A CONFIDENTIAL EXECUTION ENVIRONMENT |
US10667135B2 (en) | 2018-01-11 | 2020-05-26 | Cisco Technology, Inc. | Dynamic policy-based on-boarding of devices in enterprise environments |
US20200145459A1 (en) * | 2018-11-01 | 2020-05-07 | Intuit Inc. | Centralized authentication and authorization |
WO2020098941A1 (en) * | 2018-11-15 | 2020-05-22 | Huawei Technologies Co., Ltd. | Automatic digital identification system integrated between consumer devices and backend services |
CN109547460B (zh) * | 2018-12-12 | 2020-12-04 | 重庆邮电大学 | 面向身份联盟的多粒度联合身份认证方法 |
US11882120B2 (en) * | 2019-07-30 | 2024-01-23 | Hewlett Packard Enterprise Development Lp | Identity intermediary service authorization |
US11689919B2 (en) * | 2021-01-21 | 2023-06-27 | Cisco Technology, Inc. | Dynamic exchange of metadata |
USD1009057S1 (en) * | 2021-03-23 | 2023-12-26 | Evernorth Strategic Development, Inc. | Display screen or portion thereof with a graphical user interface |
JP2023017196A (ja) * | 2021-07-26 | 2023-02-07 | 富士通株式会社 | 認証装置および認証方法 |
US12003499B2 (en) * | 2021-11-24 | 2024-06-04 | Gerald Sindell | Universal, hierarchally-outsourced multi-phased authentication framework with a central global database |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5604490A (en) * | 1994-09-09 | 1997-02-18 | International Business Machines Corporation | Method and system for providing a user access to multiple secured subsystems |
US5774551A (en) * | 1995-08-07 | 1998-06-30 | Sun Microsystems, Inc. | Pluggable account management interface with unified login and logout and multiple user authentication services |
JP2000215172A (ja) * | 1999-01-20 | 2000-08-04 | Nec Corp | 個人認証システム |
US6668327B1 (en) * | 1999-06-14 | 2003-12-23 | Sun Microsystems, Inc. | Distributed authentication mechanisms for handling diverse authentication systems in an enterprise computer system |
US6892307B1 (en) * | 1999-08-05 | 2005-05-10 | Sun Microsystems, Inc. | Single sign-on framework with trust-level mapping to authentication requirements |
US7487531B1 (en) * | 1999-12-10 | 2009-02-03 | Sedna Patent Services, Llc | Method and apparatus of load sharing and improving fault tolerance in an interactive video distribution system |
US6754829B1 (en) * | 1999-12-14 | 2004-06-22 | Intel Corporation | Certificate-based authentication system for heterogeneous environments |
WO2002044923A1 (en) * | 2000-11-30 | 2002-06-06 | Webtone Technologies, Inc. | Web session collaboration |
US7277922B1 (en) * | 2001-04-10 | 2007-10-02 | At&T Bls Intellectual Property, Inc | Completion of internet session notification service |
US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
US20040002878A1 (en) | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
US7444414B2 (en) * | 2002-07-10 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Secure resource access in a distributed environment |
US20040073629A1 (en) * | 2002-10-10 | 2004-04-15 | International Business Machines Corporation | Method of accessing internet resources through a proxy with improved security |
US6810480B1 (en) * | 2002-10-21 | 2004-10-26 | Sprint Communications Company L.P. | Verification of identity and continued presence of computer users |
WO2004075035A1 (en) * | 2003-02-21 | 2004-09-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Service provider anonymization in a single sign-on system |
US7290278B2 (en) * | 2003-10-02 | 2007-10-30 | Aol Llc, A Delaware Limited Liability Company | Identity based service system |
US8522039B2 (en) * | 2004-06-09 | 2013-08-27 | Apple Inc. | Method and apparatus for establishing a federated identity using a personal wireless device |
US7788729B2 (en) * | 2005-03-04 | 2010-08-31 | Microsoft Corporation | Method and system for integrating multiple identities, identity mechanisms and identity providers in a single user paradigm |
US7739744B2 (en) * | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
-
2005
- 2005-12-15 US US11/304,945 patent/US8418234B2/en not_active Expired - Fee Related
-
2006
- 2006-12-04 TW TW095144897A patent/TWI400922B/zh not_active IP Right Cessation
- 2006-12-13 WO PCT/EP2006/069652 patent/WO2007068716A1/en active Application Filing
- 2006-12-13 EP EP06830586A patent/EP1961185A1/en not_active Withdrawn
- 2006-12-13 CA CA2633311A patent/CA2633311C/en not_active Expired - Fee Related
- 2006-12-13 CN CN200680046924.9A patent/CN101331731B/zh not_active Expired - Fee Related
- 2006-12-13 JP JP2008544994A patent/JP5052523B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
WO2007068716A1 (en) | 2007-06-21 |
US8418234B2 (en) | 2013-04-09 |
TW200810460A (en) | 2008-02-16 |
JP5052523B2 (ja) | 2012-10-17 |
CN101331731A (zh) | 2008-12-24 |
US20070143829A1 (en) | 2007-06-21 |
CA2633311A1 (en) | 2007-06-21 |
TWI400922B (zh) | 2013-07-01 |
EP1961185A1 (en) | 2008-08-27 |
JP2009519530A (ja) | 2009-05-14 |
CA2633311C (en) | 2015-05-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101331731B (zh) | 由身份提供商对联盟内的客户进行定制认证的方法、装置和程序产品 | |
US10333941B2 (en) | Secure identity federation for non-federated systems | |
JP4782986B2 (ja) | パブリックキー暗号法を用いたインターネット上でのシングルサインオン | |
KR100800339B1 (ko) | 제휴 환경에서 사용자에 의해 결정된 인증 및 단일 사인온을 위한 방법 및 시스템 | |
US8819253B2 (en) | Network message generation for automated authentication | |
JP4965558B2 (ja) | ピアツーピア認証及び権限付与 | |
US7412720B1 (en) | Delegated authentication using a generic application-layer network protocol | |
US20070056025A1 (en) | Method for secure delegation of trust from a security device to a host computer application for enabling secure access to a resource on the web | |
EP2078405A1 (en) | Secure access | |
Yeh et al. | Applying lightweight directory access protocol service on session certification authority | |
Jeong et al. | A study on the xml-based single sign-on system supporting mobile and ubiquitous service environments | |
KR101190057B1 (ko) | 아이덴터티 제공자 서버를 이용한 사용자 인증 시스템 및 그 방법 | |
Boettcher et al. | Unleash the power of single sign-on with Microsoft and SAP | |
KR20100003096A (ko) | 사용자 중심의 인터넷 서버간 동적 신뢰 관계 형성 방법과이를 이용한 사용자 아이덴터티 정보 관리 방법 | |
Peldius | Security Architecture for Web Services | |
Hassan | Conceptual Design of Identity Management in a profile-based access control | |
GB2388284A (en) | Message generation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20121128 Termination date: 20181213 |
|
CF01 | Termination of patent right due to non-payment of annual fee |