CN101567785B - 网络服务中的票据认证方法、系统及实体 - Google Patents

网络服务中的票据认证方法、系统及实体 Download PDF

Info

Publication number
CN101567785B
CN101567785B CN2008100940011A CN200810094001A CN101567785B CN 101567785 B CN101567785 B CN 101567785B CN 2008100940011 A CN2008100940011 A CN 2008100940011A CN 200810094001 A CN200810094001 A CN 200810094001A CN 101567785 B CN101567785 B CN 101567785B
Authority
CN
China
Prior art keywords
bill
network service
bill identification
request person
service request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2008100940011A
Other languages
English (en)
Other versions
CN101567785A (zh
Inventor
王雷
杨健
陈国乔
董挺
张惠萍
范姝男
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
XFusion Digital Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN2008100940011A priority Critical patent/CN101567785B/zh
Priority to PCT/CN2009/071234 priority patent/WO2009129719A1/zh
Priority to EP09735708.1A priority patent/EP2207303B1/en
Publication of CN101567785A publication Critical patent/CN101567785A/zh
Priority to US12/909,986 priority patent/US20110035794A1/en
Application granted granted Critical
Publication of CN101567785B publication Critical patent/CN101567785B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/342Cards defining paid or billed services or quantities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/04Payment circuits
    • G06Q20/042Payment circuits characterized in that the payment protocol involves at least one cheque
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/14Payment architectures specially adapted for billing systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/04Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by paper currency
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开了一种网络服务中的票据认证方法、系统及实体,涉及对网络服务的用户登录票据进行认证的技术,解决现有技术中不能对票据进行统一管理的问题。本发明实施例通过票据认证实体来维护票据,所有的网络服务提供者都需要通过票据认证实体对票据进行认证,并由网络服务提供者将认证结果返回给网络服务请求者。本发明实施例主要用在网络服务提供者中,例如:IdP、ID-WSF发现服务和AP等。

Description

网络服务中的票据认证方法、系统及实体
技术领域
本发明涉及网络服务领域,尤其涉及采用自由联盟提供网络服务时,对于网络服务的用户登录票据进行认证的方法,以及在网络服务过程中采用方法的票据认证系统。
背景技术
单点登录(SSO,Single Sign-on)是一种方便用户访问多个服务提供者(SP,Service Provider)的技术,用户只需通过用户名和密码登录一次SP,就可以在多个缔结成信任联盟的SP间自由穿梭,不必每访问一个SP就输入一次用户名和密码。
采用单点登录的情况下,用户登录SP的消息交换和处理过程包括:首先由用户通过用户代理向SP发送登录请求,SP获得合适的身份提供者(IdP,IdentityProvider)地址,并将该IdP地址返回给用户代理;然后由用户通过用户代理向IdP地址对应的IdP发送访问请求,IdP处理接收到的访问请求,并对没有被认证的用户进行认证,以生成一个生存期短暂的SAML(Security AssertionMarkup Language,安全性断言标记语言)认证断言缓存在IdP中,并将SAMLartifact(辅件)的URI返回给用户代理;用户代理将SAML artifact出示给SP,以请求SP通过认证并允许用户接入。为了确认本次用户访问的权限,SP若需要允许用户接入,则需要将获取到的SAML artifact向IdP进行确认,并根据IdP返回的响应允许或者拒绝用户最初的访问其资源的请求。
在某些情况下,如果对于用户在一次单点登录后,需要访问其他的SP,或者访问同一SP中需要不同权限的资源时,SP在通过IdP对获取到的SAMLartifact进行确认还需要通过其他的服务器进行确认,如图1所示,SP需要获取用户身份属性,其认证过程包括如下步骤:
1、SP作为网络服务请求者(WSR,Web Service Requester)向IdP发起一个认证请求,请求对用户的SAML artifact进行认证。
2、IdP对用户的SAML artifact认证通过后,生成一个SAML断言,并向所述SP返回该SAML断言,同时返回用户的ID-WSF发现服务的资源参考(resourceoffering),SP可以利用该资源参考访问到ID-WSF发现服务。
3、由于上述的SAML断言是对应上述资源参考的,所以,SP将IdP提供的资源参考和SAML断言绑定,并请求对应的ID-WSF发现服务提供AP的资源参考。
4、ID-WSF发现服务对SP提供的SAML断言进行认证,认证通过后,生成一个响应消息,内容包含AP的资源参考和一个新的SAML断言。
5、ID-WSF发现服务把这个响应消息发给SP。
6、SP使用ID-WSF发现服务提供的资源参考和SAML断言,通过AP的认证,并向AP请求所需的属性信息。
7、AP对SP进行认证,生成一个含有SP所需属性的响应消息。
8、AP把响应消息发给SP。
在实现上述认证的过程中,发明人发现现有技术中至少存在如下问题:IdP和ID-WSF发现服务等网络服务提供者(WSP,Web Service Provider)都需要单独生成一个SAML断言,以供进行下一步访问的设备对所生成的断言进行认证。
上述的SAML断言就是一个需要认证的票据,为了能够完成上述功能,需要IdP和以及ID-WSF发现服务同时具有票据生成和维护功能,导致IdP和ID-WSF发现服务逻辑功能较为复杂,并且对于票据不能进行集中管理维护。
发明内容
本发明的实施例提供一种网络服务中的票据认证方法、系统及实体,能够对票据进行集中管理。
为达到上述目的,本发明的实施例采用如下技术方案:
一种网络服务中的票据认证方法,包括:
接收到网络服务请求者提供的票据;
将所述票据发送到票据认证实体进行认证;
接收到票据认证实体返回的认证结果;
将所述认证结果发送给网络服务请求者;
在票据认证实体对所述的票据认证通过后生成资源,所述生成的资源包括:请求访问网络服务请求者的用户的属性;
将该资源发送给网络服务请求者。
一种网络服务中的票据认证方法,包括:
接收到网络服务请求者提供的票据;
将所述票据发送到票据认证实体进行认证;
接收到票据认证实体返回的认证结果;
生成一个响应消息,该响应消息中包含所述认证结果,并且在认证结果为通过时,该响应消息还包含资源参考;
将所述响应消息发送给网络服务请求者;
所述网络服务请求者请求所述资源参考对应的服务实体提供相应资源,并将所述票据提供给所述服务实体。
一种网络服务中的票据认证系统,包括:
网络服务请求者,用于向网络服务提供者提供票据;
网络服务提供者,用于接收网络服务请求者的票据,并将所述票据发送到票据认证实体,并将认证结果发送给网络服务请求者;
票据认证实体,用于对发送到该票据认证实体票据进行认证,并将认证结果返回给网络服务提供者;
所述网络服务提供者还用于在票据认证实体对所述的票据认证通过后生成资源,并将该资源发送给网络服务请求者,所述生成的资源包括:请求访问网络服务请求者的用户的属性。
一种网络服务中的票据认证系统,包括:
网络服务请求者,用于向网络服务提供者提供票据;
网络服务提供者,用于接收网络服务请求者的票据,并将所述票据发送到票据认证实体,并将认证结果发送给网络服务请求者;
票据认证实体,用于对发送到该票据认证实体票据进行认证,并将认证结果返回给网络服务提供者;
所述网络服务提供者还用于在票据认证实体对所述的票据认证通过后生成资源参考,并将该资源参考发送给网络服务请求者;
所述网络服务请求者请求所述资源参考对应的服务实体提供相应资源,并将所述票据提供给所述服务实体。
一种网络服务提供者,包括:
接收单元,用于接收网络服务请求者提供的票据;
发送单元,用于将所述票据发送到票据认证实体进行认证;
所述接收单元还用于接收到票据认证实体返回的认证结果;
所述发送单元还用于将所述认证结果发送给网络服务请求者;
资源生成单元,用于在票据认证实体对所述的票据认证通过后生成资源,所述生成的资源包括:请求访问网络服务请求者的用户的属性;
所述发送单元还用于将所述资源发送给网络服务请求者。
一种网络服务提供者,包括:
接收单元,用于接收网络服务请求者提供的票据;
发送单元,用于将所述票据发送到票据认证实体进行认证;
所述接收单元还用于接收到票据认证实体返回的认证结果;
所述发送单元还用于将所述认证结果发送给网络服务请求者;
资源参考生成单元,用于在票据认证实体对所述的票据认证通过后生成资源参考;
所述发送单元还用于将所述资源参考发送给网络服务请求者。
本发明实施例提供的网络服务中的票据认证方法、系统及实体,在都只需要对网络服务请求者提供的票据进行认证,不需要对其他实体重新生成的票据进行认证,故而可以统一通过票据认证实体具体完成认证过程,而网络服务提供者只需要传送其中的票据和认证结果。与现有技术相比,本发明实施例由票据认证实体对票据进行统一的管理和维护,能够集中管理票据。并且本发明实施例中采用了票据认证实体统一管理和维护票据的方案,网络服务提供者不需要重新生成票据,即不需要生成另一个SAML断言,所以采用本发明实施例,能够简化网络服务提供者的逻辑功能。
附图说明
图1为现有技术中票据认证的流程图;
图2为本发明实施例1网络服务中的票据认证方法的流程图;
图3为本发明实施例1网络服务中的票据认证系统的结构图;
图4为本发明实施例1中网络服务提供者的框图;
图5为本发明实施例1中票据认证实体的框图;
图6为本发明实施例2网络服务中的票据认证方法的流程图;
图7为本发明实施例3网络服务中的票据认证方法的流程图;
图8为本发明实施例4网络服务中的票据认证方法的流程图。
具体实施方式
下面结合附图对本发明实施例网络服务中的票据认证方法、系统及实体进行详细描述。
实施例1:
本实施例提供一种网络服务中的票据认证方法,如图2所示,该票据认证方法包括如下步骤:
201、如果用户请求服务提供者提供相应服务,而该服务需要由网络服务提供者对用户进行认证,服务提供者会作为网络服务请求者向网络服务提供者发送认证请求,该认证请求中包含网络服务请求者提供的票据。
202、网络服务提供者将所述票据发送到票据认证实体,以供票据认证实体对所述票据进行认证。
203、票据认证实体完成认证后,向网络服务提供者返回认证结果。
204、所述网络服务提供者接收到票据认证实体返回的认证结果后,将所述认证结果发送给网络服务请求者,从而完成对用户的票据进行认证的过程。
对应于上述网络服务中的票据认证方法,本实施例还提供一种网络服务中的票据认证系统,如图3所示,该票据认证系统包括:网络服务请求者31、网络服务提供者32和票据认证实体33。
其中,网络服务请求者31向网络服务提供者32提供票据;网络服务提供者32接收到网络服务请求者31的票据后,将票据发送到到票据认证实体33,票据认证实体33对发送到该票据进行认证,并将认证结果返回给网络服务提供者32,所述网络服务提供者32将所述认证结果发送给网络服务请求者31。
如图4所示,本实施例中所用到的网络服务提供者包括:接收单元41和发送单元42。其中接收单元41用于接收网络服务请求者提供的票据,发送单元用于将所述票据发送到票据认证实体。在票据认证实体完成对票据的认证后向网络服务提供者返回认证结果,网络服务提供者通过所述接收单元41接收到票据认证实体返回的认证结果,并通过所述发送单元42将所述认证结果发送给网络服务请求者。
如图5所示,本实施例中所采用的票据认证实体包括:接收单元51、认证单元52和发送单元53。其中接收单元51用于接收网络服务提供者发送来的票据;再通过认证单元52对所述票据进行认证,并将认证结果通过发送单元53发送到网络服务提供者。
本实施例只需要对网络服务请求者提供的票据进行认证,不需要对其他实体重新生成的票据进行认证,故而可以统一通过票据认证实体具体完成认证过程,而网络服务提供者只需要传送其中的票据和认证结果。本实施例由票据认证实体对票据进行统一的管理和维护,能够集中管理票据。并且本实施例采用了票据认证实体统一管理和维护票据的方案,网络服务提供者不需要重新生成票据,即不需要生成另一个SAML断言,简化了网络服务提供者的逻辑功能。
实施例2:
本实施例以图1中的获取用户身份属性作为应用场景,在该应用场景中,SP作为网络服务请求者,而IdP、ID-WSF发现服务和AP均作为网络服务提供者,由于IdP本身具有认证功能,故而本实施例同时将IdP作为票据认证实体。如图6所示,在该应用场景中,网络服务中的票据认证方法如下:
601、SP作为网络服务请求者向IdP发起一个认证请求,请求对用户的SAMLAssertion(断言)进行认证,这里的SAML断言就相当于用户提供的票据。
602、IdP对用户的SAML断言进行认证,并将认证结果发送给SP,如果认证结果为通过,还需要向所述SP返回用户的ID-WSF发现服务的资源参考。
上述步骤601和602已经完成了IdP对于用户的认证过程,但由于还需要获取用户身份属性,故而在步骤602中向SP返回了用户的ID-WSF发现服务的资源参考,通过ID-WSF发现服务可以找到AP,以便从AP中获取属性。
603、SP根据IdP提供的资源参考请求对应的ID-WSF发现服务提供AP的资源参考,同时将用户的SAML断言(即票据)提供给ID-WSF发现服务。
604、ID-WSF发现服务将所述的SAML断言发送到IdP,请求IdP对所述的票据进行认证。
605、IdP对所述的票据进行认证,并向ID-WSF发现服务返回认证结果。
606、ID-WSF发现服务生成一个响应消息,该响应消息中包含所述SAML断言的认证结果,并且在认证结果为通过时,该响应消息还包含AP的资源参考。
607、ID-WSF发现服务把步骤606中的响应消息发给SP。
通过上述步骤603至步骤607,ID-WSF发现服务已经完成了对于SP请求AP的资源参考进行的认证,同时向SP返回了AP的资源参考。
608、SP向ID-WSF发现服务提供的资源参考对应的AP请求所需的属性信息,并向所述AP提供所述SAML断言。
609、AP将所述的SAML断言发送到IdP,请求IdP对所述的票据进行认证。
610、IdP对所述的票据进行认证,并向AP返回认证结果。
611、AP生成一个响应消息,该响应消息中包含所述SAML断言的认证结果,并且在认证结果为通过时,该响应消息还包含SP所需属性。
612、AP把步骤611中的响应消息发给SP。
通过上述步骤608至步骤612,AP已经完成了对于SP请求用户属性进行的认证,并且向SP返回了SP所需属性。在实际运用时,本实施例可能需要的是除了属性以外的其他资源,例如:用户的业务制定状况等,所需资源发生变化时,其具体认证过程和步骤608至612相同,指示SP初始请求的资源和最后返回资源发生了改变。
对应于上述网络服务中的票据认证方法,本实施例还提供一种网络服务中的票据认证系统,该票据认证系统基本框架由多个图3中描述的票据认证系统共同组成。
本实施例中的票据认证系统包括:IdP、SP、ID-WSF发现服务以及AP,该系统的具体工作流程如图6所示。其中,该系统中的票据认证实体由IdP实现,IdP、ID-WSF发现服务以及AP据需要实现网络服务提供者的功能,而SP实现网络服务请求者的功能。
本实施例中,由IdP和ID-WSF发现服务实现的网络服务提供者,需要在所述的票据认证通过后生成资源参考,并将该资源参考发送给SP,例如:IdP需要生成ID-WSF发现服务的资源参考,ID-WSF发现服务需要生成AP的资源参考。这样SP才能请求所述资源参考对应的服务实体提供相应资源,并将所述票据提供给所述服务实体。故而,相对于图4所描述的网络服务提供者而言,本实施例中的网络服务提供者还需要增加一个资源参考生成单元,以便生成相应的资源参考。
本实施例中,由AP实现的网络服务提供者,需要在所述的票据认证通过后生成资源,并将该资源发送给网络服务请求者,本实施例中AP生成的资源就是SP所需要的属性。相对于图4所描述的网络服务提供者而言,本实施例中的网络服务提供者还需要增加一个资源生成单元,以便生成相应的资源。
实施例3:
本实施例也是以图1中的获取用户身份属性作为应用场景,在该应用场景中,同样由SP作为网络服务请求者,IdP、ID-WSF发现服务和AP均作为网络服务提供者,IdP作为票据认证实体。如图7所示,在该应用场景中,网络服务中的票据认证方法如下:
701、SP作为网络服务请求者向IdP发起一个认证请求,请求对用户的SAML断言进行认证,这里的SAML断言就相当于用户提供的票据。
702、IdP对用户的SAML断言进行认证,并将认证结果发送给SP,如果认证结果为通过,还需要向所述SP返回用户的ID-WSF发现服务的资源参考,以及IdP为SP分配的票据。
上述步骤701和702已经完成了IdP对于用户的认证过程,但由于还需要获取用户身份属性,故而在步骤702中向SP返回了用户的ID-WSF发现服务的资源参考,通过ID-WSF发现服务可以找到AP,以便从AP中获取属性。
同时为了进一步提高SP访问ID-WSF发现服务以及其他网络服务提供者时的安全,本实施例中还向SP返回了SP的票据,以便后续流程对其认证。
703、SP根据IdP提供的资源参考请求对应的ID-WSF发现服务提供AP的资源参考,同时将用户的票据和SP的票据提供给ID-WSF发现服务。
704、ID-WSF发现服务将所述用户的票据和SP的票据发送到IdP,请求IdP对所述的票据进行认证。
705、IdP对所述的票据进行认证,并向ID-WSF发现服务返回认证结果。
706、ID-WSF发现服务生成一个响应消息,该响应消息中包含所述票据的认证结果,并且在认证结果为通过时,该响应消息还包含AP的资源参考。
707、ID-WSF发现服务把步骤706中的响应消息发给SP。
通过上述步骤703至步骤707,ID-WSF发现服务已经完成了对于SP请求AP的资源参考进行的认证,同时向SP返回了AP的资源参考。
708、SP向ID-WSF发现服务提供的资源参考对应的AP请求所需的属性信息,并向所述AP提供所述用户的票据和SP的票据。
709、AP将所述用户的票据和SP的票据发送到IdP,请求IdP对所述的票据进行认证。
710、IdP对所述的票据进行认证,并向AP返回认证结果。
711、AP生成一个响应消息,该响应消息中包含所述票据的认证结果,并且在认证结果为通过时,该响应消息还包含SP所需属性。
712、AP把步骤711中的响应消息发给SP。
通过上述步骤708至步骤712,AP已经完成了对于SP请求用户属性进行的认证,并且向SP返回了SP所需属性。在实际运用时,本实施例可能需要的是除了属性以外的其他资源,例如:用户的业务制定状况等,所需资源发生变化时,其具体认证过程和步骤708至712相同,指示SP初始请求的资源和最后返回资源发生了改变。
在上述步骤703至步骤712中,增加了对SP的票据进行认证,使得在访问ID-WSF发现服务和AP时,能够更好地保证本次信息交互的安全。
对应于上述网络服务中的票据认证方法,本实施例还提供一种网络服务中的票据认证系统,该票据认证系统基本框架由多个图3中描述的票据认证系统共同组成。
本实施例中的票据认证系统包括:IdP、SP、ID-WSF发现服务以及AP,该系统的具体工作流程如图7所示。其中,该系统中的票据认证实体由IdP实现,IdP、ID-WSF发现服务以及AP据需要实现网络服务提供者的功能,而SP实现网络服务请求者的功能。
本实施例中作为网络服务提供者的IdP在所述票据认证通过后,生成SP的票据,并将该票据发送给SP,以便在以后的认证中同时对SP的票据进行认证。
在实施例2和实施例3中,包括IdP、ID-WSF发现服务和AP在内,均需要通过IdP对票据进行认证,由于IdP在目前已经设定了对票据进行认证的功能,这样可以减少对于其他实体逻辑功能的修改,并且节约网络改造成本。
在实际运用时,对票据进行认证还可以通过一个单独的实体来完成,例如通过一个单独的公共认证查询数据库,这样所有的网络服务提供者都需要到该公共认证查询数据库对票据认证,这样一来可以简化IdP的逻辑功能,但相对于通过IdP进行认证的方式而言,这种认证方式由于缺少IdP的管理,使得公共认证查询数据库处于公开状态,其安全性不如通过IdP进行认证。
实施例4:
本实施例为通过公共认证查询数据库对票据认证,也是以图1中的获取用户身份属性作为应用场景,在该应用场景中,由SP作为网络服务请求者,IdP、ID-WSF发现服务和AP均作为网络服务提供者,由公共认证查询数据库作为票据认证实体。如图8所示,在该应用场景中,网络服务中的票据认证方法如下:
801、SP作为网络服务请求者向IdP发起一个认证请求,请求对用户的SAML断言进行认证,这里的SAML断言就相当于用户的票据。
802、IdP将所述用户的票据发送到公共认证查询数据库。
803、公共认证查询数据库对用户的票据进行认证,并将认证结果返给IdP。
804、IdP将认证结果发送给SP,如果认证结果为通过,还需要向所述SP返回用户的ID-WSF发现服务的资源参考,以及IdP为SP分配的票据。
805、将IdP为SP分配的票据发给公共认证查询数据库,由公共认证查询数据库保存所述SP的票据。
上述步骤801和805已经完成了IdP对于用户的认证过程,但由于还需要获取用户身份属性,故而在步骤804中向SP返回了用户的ID-WSF发现服务的资源参考,通过ID-WSF发现服务可以找到AP,以便从AP中获取属性。
同时,为了进一步提高SP访问ID-WSF发现服务以及其他网络服务提供者时的安全,本实施例中还向SP返回了SP的票据,并将SP的票据发送给了公共认证查询数据库,以便后续流程对其认证。
806、SP根据IdP提供的资源参考请求对应的ID-WSF发现服务提供AP的资源参考,同时将用户的票据和SP的票据提供给ID-WSF发现服务。
807、ID-WSF发现服务将所述用户的票据和SP的票据发送到公共认证查询数据库,请求公共认证查询数据库对所述的票据进行认证。
808、公共认证查询数据库对所述的票据进行认证,并向ID-WSF发现服务返回认证结果。
809、ID-WSF发现服务生成一个响应消息,该响应消息中包含所述票据的认证结果,并且在认证结果为通过时,该响应消息还包含AP的资源参考。
810、ID-WSF发现服务把步骤809中的响应消息发给SP。
通过上述步骤806至步骤810,ID-WSF发现服务已经完成了对于SP请求AP的资源参考进行的认证,同时向SP返回了AP的资源参考。
811、SP向ID-WSF发现服务提供的资源参考对应的AP请求所需的属性信息,并向所述AP提供所述用户的票据和SP的票据。
812、AP将所述用户的票据和SP的票据发送到公共认证查询数据库,请求公共认证查询数据库对所述的票据进行认证。
813、公共认证查询数据库对所述的票据进行认证,并向AP返回认证结果。
814、AP生成一个响应消息,该响应消息中包含所述票据的认证结果,并且在认证结果为通过时,该响应消息还包含SP所需属性。
815、AP把步骤814中的响应消息发给SP。
通过上述步骤811至步骤815,AP已经完成了对于SP请求用户属性进行的认证,并且向SP返回了SP所需属性。在实际运用时,本实施例可能需要的是除了属性以外的其他资源,例如:用户的业务制定状况等,所需资源发生变化时,其具体认证过程和步骤811至815相同,指示SP初始请求的资源和最后返回资源发生了改变。
在上述步骤806至步骤815中,需要同时对用户的票据和SP的票据进行认证,使得在访问ID-WSF发现服务和AP时,能够更好地保证本次信息交互的安全。
本实施例采用公共认证查询数据库进行认证的方式,也适用于不需要对SP的票据进行认证的情况,这样在具体实现时,就不需要生成SP的票据,也不需要传送SP的票据,同时公共认证查询数据库也不需要保存SP的票据。
对应于上述网络服务中的票据认证方法,本实施例还提供一种网络服务中的票据认证系统,该票据认证系统基本框架由多个图3中描述的票据认证系统共同组成。
本实施例中的票据认证系统包括:IdP、SP、ID-WSF发现服务、AP以及公共认证查询数据库,该系统的具体工作流程如图8所示。其中,该系统中的票据认证实体由公共认证查询数据库实现,IdP、ID-WSF发现服务以及AP据需要实现网络服务提供者的功能,而SP实现网络服务请求者的功能。
本实施例中作为网络服务提供者的IdP在所述票据认证通过后,生成SP的票据,并将该票据发送给SP,以便在以后的认证中同时对SP的票据进行认证。
上述所有实施例中还可以将SAML artifact(辅件)作为用户的票据或者SP的票据。
上述实施例2、实施例3和实施例4中,SP都不需要将票据和对应的资源参考进行绑定,这样可以减轻SP的数据处理负荷。
本发明实施例主要用在网络服务提供者中,例如:IdP、ID-WSF发现服务和AP等。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台设备(可以是服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (20)

1.一种网络服务中的票据认证方法,其特征在于包括:
接收到网络服务请求者提供的票据;
将所述票据发送到票据认证实体进行认证;
接收到票据认证实体返回的认证结果;
将所述认证结果发送给网络服务请求者;
在票据认证实体对所述的票据认证通过后生成资源,所述生成的资源包括:请求访问网络服务请求者的用户的属性;
将该资源发送给网络服务请求者。
2.根据权利要求1所述的网络服务中的票据认证方法,其特征在于,所述票据包括请求访问网络服务请求者的用户向网络服务请求者提供的票据,或者
所述票据包括请求访问网络服务请求者的用户向网络服务请求者提供的票据,以及网络服务请求者自身的票据。
3.根据权利要求2所述的网络服务中的票据认证方法,其特征在于,所述网络服务请求者自身的票据由身份提供者生成。
4.根据权利要求1所述的网络服务中的票据认证方法,其特征在于,所述票据认证实体为身份提供者或者公共认证查询数据库。
5.根据权利要求1至4中任意一项所述的网络服务中的票据认证方法,其特征在于,所述票据为安全性断言标记语言辅件,或者为安全性断言标记语言断言。
6.一种网络服务中的票据认证方法,其特征在于包括:
接收到网络服务请求者提供的票据;
将所述票据发送到票据认证实体进行认证;
接收到票据认证实体返回的认证结果;
生成一个响应消息,该响应消息中包含所述认证结果,并且在认证结果为通过时,该响应消息还包含资源参考;
将所述响应消息发送给网络服务请求者;
所述网络服务请求者请求所述资源参考对应的服务实体提供相应资源,并将所述票据提供给所述服务实体。
7.根据权利要求6所述的网络服务中的票据认证方法,其特征在于,所述票据包括请求访问网络服务请求者的用户向网络服务请求者提供的票据,或者
所述票据包括请求访问网络服务请求者的用户向网络服务请求者提供的票据,以及网络服务请求者自身的票据。
8.根据权利要求7所述的网络服务中的票据认证方法,其特征在于,所述网络服务请求者自身的票据由身份提供者生成。
9.根据权利要求6所述的网络服务中的票据认证方法,其特征在于,所述票据认证实体为身份提供者或者公共认证查询数据库。
10.根据权利要求6至9中任意一项所述的网络服务中的票据认证方法,其特征在于,所述票据为安全性断言标记语言辅件,或者为安全性断言标记语言断言。
11.一种网络服务中的票据认证系统,其特征在于包括:
网络服务请求者,用于向网络服务提供者提供票据;
网络服务提供者,用于接收网络服务请求者的票据,并将所述票据发送到票据认证实体,并将认证结果发送给网络服务请求者;
票据认证实体,用于对发送到该票据认证实体票据进行认证,并将认证结果返回给网络服务提供者;
所述网络服务提供者还用于在票据认证实体对所述的票据认证通过后生成资源,并将该资源发送给网络服务请求者,所述生成的资源包括:请求访问网络服务请求者的用户的属性。
12.根据权利要求11所述的网络服务中的票据认证系统,其特征在于,所述网络服务提供者为身份提供者,所述身份提供者还用于在票据认证实体对所述的票据认证通过后,生成网络服务请求者的票据,并将该票据发送给网络服务请求者。
13.根据权利要求11所述的网络服务中的票据认证系统,其特征在于,所述票据认证实体由身份验证提供者实现,或者由公共认证查询数据库实现。
14.一种网络服务中的票据认证系统,其特征在于包括:
网络服务请求者,用于向网络服务提供者提供票据;
网络服务提供者,用于接收网络服务请求者的票据,并将所述票据发送到票据认证实体,并将认证结果发送给网络服务请求者;
票据认证实体,用于对发送到该票据认证实体票据进行认证,并将认证结果返回给网络服务提供者;
所述网络服务提供者还用于在票据认证实体对所述的票据认证通过后生成资源参考,并将该资源参考发送给网络服务请求者;
所述网络服务请求者请求所述资源参考对应的服务实体提供相应资源,并将所述票据提供给所述服务实体。
15.根据权利要求14所述的网络服务中的票据认证系统,其特征在于,所述网络服务提供者为身份提供者,所述身份提供者还用于在票据认证实体对所述的票据认证通过后,生成网络服务请求者的票据,并将该票据发送给网络服务请求者。
16.根据权利要求14所述的网络服务中的票据认证系统,其特征在于,所述票据认证实体由身份验证提供者实现,或者由公共认证查询数据库实现。
17.一种网络服务提供者,其特征在于包括:
接收单元,用于接收网络服务请求者提供的票据;
发送单元,用于将所述票据发送到票据认证实体进行认证;
所述接收单元还用于接收到票据认证实体返回的认证结果;
所述发送单元还用于将所述认证结果发送给网络服务请求者;
资源生成单元,用于在票据认证实体对所述的票据认证通过后生成资源,所述生成的资源包括:请求访问网络服务请求者的用户的属性;
所述发送单元还用于将所述资源发送给网络服务请求者。
18.根据权利要求17所述的网络服务提供者,其特征在于,所述网络服务提供者为属性提供者,或者统一网络服务框架发现服务。
19.一种网络服务提供者,其特征在于包括:
接收单元,用于接收网络服务请求者提供的票据;
发送单元,用于将所述票据发送到票据认证实体进行认证;
所述接收单元还用于接收到票据认证实体返回的认证结果;
所述发送单元还用于将所述认证结果发送给网络服务请求者;
资源参考生成单元,用于在票据认证实体对所述的票据认证通过后生成资源参考;
所述发送单元还用于将所述资源参考发送给网络服务请求者。
20.根据权利要求19所述的网络服务提供者,其特征在于,所述网络服务提供者为属性提供者,或者统一网络服务框架发现服务。
CN2008100940011A 2008-04-25 2008-04-25 网络服务中的票据认证方法、系统及实体 Active CN101567785B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN2008100940011A CN101567785B (zh) 2008-04-25 2008-04-25 网络服务中的票据认证方法、系统及实体
PCT/CN2009/071234 WO2009129719A1 (zh) 2008-04-25 2009-04-10 网络服务中的票据认证方法、系统及实体
EP09735708.1A EP2207303B1 (en) 2008-04-25 2009-04-10 Method, system and entity for bill authentication in network serving
US12/909,986 US20110035794A1 (en) 2008-04-25 2010-10-22 Method and entity for authenticating tokens for web services

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008100940011A CN101567785B (zh) 2008-04-25 2008-04-25 网络服务中的票据认证方法、系统及实体

Publications (2)

Publication Number Publication Date
CN101567785A CN101567785A (zh) 2009-10-28
CN101567785B true CN101567785B (zh) 2011-11-02

Family

ID=41216424

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008100940011A Active CN101567785B (zh) 2008-04-25 2008-04-25 网络服务中的票据认证方法、系统及实体

Country Status (4)

Country Link
US (1) US20110035794A1 (zh)
EP (1) EP2207303B1 (zh)
CN (1) CN101567785B (zh)
WO (1) WO2009129719A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9407603B2 (en) 2010-06-25 2016-08-02 Salesforce.Com, Inc. Methods and systems for providing context-based outbound processing application firewalls
US9350705B2 (en) * 2010-06-25 2016-05-24 Salesforce.Com, Inc. Methods and systems for providing a token-based application firewall correlation
US8966572B2 (en) * 2011-09-30 2015-02-24 Oracle International Corporation Dynamic identity context propagation
US10193878B2 (en) 2013-10-31 2019-01-29 Hewlett Packard Enterprise Development Lp Using application level authentication for network login
US11232435B2 (en) * 2016-06-01 2022-01-25 Mastercard International Incorporated Systems and methods for use in facilitating network transactions
CN107194239A (zh) * 2017-05-24 2017-09-22 郑州云海信息技术有限公司 一种权限管理方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004038646A (ja) * 2002-07-04 2004-02-05 Bank Of Tokyo-Mitsubishi Ltd 認証システム、及びこの認証システムに用いる認証装置とサイト提供装置
CN1929377A (zh) * 2006-01-04 2007-03-14 华为技术有限公司 一种通信认证查询方法和系统
CN101060520A (zh) * 2006-04-21 2007-10-24 盛趣信息技术(上海)有限公司 基于Token的SSO认证系统

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7373515B2 (en) * 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US20050108575A1 (en) * 2003-11-18 2005-05-19 Yung Chong M. Apparatus, system, and method for faciliating authenticated communication between authentication realms
US8543814B2 (en) * 2005-01-12 2013-09-24 Rpx Corporation Method and apparatus for using generic authentication architecture procedures in personal computers
US7574500B2 (en) * 2005-02-14 2009-08-11 Reactivity, Inc. Establishing a cache expiration time to be associated with newly generated output by determining module- specific cache expiration times for a plurality of processing modules
US20060235795A1 (en) * 2005-04-19 2006-10-19 Microsoft Corporation Secure network commercial transactions
US7836298B2 (en) * 2005-12-23 2010-11-16 International Business Machines Corporation Secure identity management
US7502761B2 (en) * 2006-02-06 2009-03-10 Yt Acquisition Corporation Method and system for providing online authentication utilizing biometric data
JP4863777B2 (ja) * 2006-06-07 2012-01-25 富士通株式会社 通信処理方法及びコンピュータ・システム
US7657639B2 (en) * 2006-07-21 2010-02-02 International Business Machines Corporation Method and system for identity provider migration using federated single-sign-on operation
US8347403B2 (en) * 2006-12-19 2013-01-01 Canon Kabushiki Kaisha Single point authentication for web service policy definition
US20080168539A1 (en) * 2007-01-05 2008-07-10 Joseph Stein Methods and systems for federated identity management
CN100550738C (zh) * 2007-02-06 2009-10-14 上海交通大学 一种分布式网络的认证方法和系统
CN101277234A (zh) * 2007-03-28 2008-10-01 华为技术有限公司 一种家庭网络及登录方法
US8141139B2 (en) * 2007-11-14 2012-03-20 International Business Machines Corporation Federated single sign-on (F-SSO) request processing using a trust chain having a custom module
CN101163010B (zh) * 2007-11-14 2010-12-08 华为软件技术有限公司 对请求消息的鉴权方法和相关设备
CN101207482B (zh) * 2007-12-13 2010-07-21 深圳市戴文科技有限公司 一种实现单点登录的方法及系统
US8789149B2 (en) * 2007-12-20 2014-07-22 The Directv Group, Inc. Method and apparatus for communicating between a user device and a user device locating module to allow a partner service to be provided to a user device
CN101242272B (zh) * 2008-03-11 2010-10-06 南京邮电大学 基于移动代理和断言的网格跨域安全平台的实现方法
US8621598B2 (en) * 2008-03-12 2013-12-31 Intuit Inc. Method and apparatus for securely invoking a rest API
US8189220B2 (en) * 2008-03-31 2012-05-29 Hewlett-Packard Development Company, L.P. Remote printing system using federated identity web services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004038646A (ja) * 2002-07-04 2004-02-05 Bank Of Tokyo-Mitsubishi Ltd 認証システム、及びこの認証システムに用いる認証装置とサイト提供装置
CN1929377A (zh) * 2006-01-04 2007-03-14 华为技术有限公司 一种通信认证查询方法和系统
CN101060520A (zh) * 2006-04-21 2007-10-24 盛趣信息技术(上海)有限公司 基于Token的SSO认证系统

Also Published As

Publication number Publication date
EP2207303A1 (en) 2010-07-14
US20110035794A1 (en) 2011-02-10
WO2009129719A1 (zh) 2009-10-29
EP2207303B1 (en) 2013-06-19
EP2207303A4 (en) 2012-02-22
CN101567785A (zh) 2009-10-28

Similar Documents

Publication Publication Date Title
CN104301418B (zh) 一种基于saml的跨域单点登录系统及登录方法
US7631346B2 (en) Method and system for a runtime user account creation operation within a single-sign-on process in a federated computing environment
CN101567785B (zh) 网络服务中的票据认证方法、系统及实体
US11356458B2 (en) Systems, methods, and computer program products for dual layer federated identity based access control
EP2689372A1 (en) User to user delegation service in a federated identity management environment
CN106341428A (zh) 一种跨域访问控制方法和系统
CN101707594A (zh) 基于单点登录的网格认证信任模型
CN108881218B (zh) 一种基于云存储管理平台的数据安全增强方法及系统
CN101321068A (zh) 实现双重身份认证的方法及装置
CN112468481A (zh) 一种基于CAS的单页和多页web应用身份集成认证方法
CN102025495A (zh) 基于saml2.0的身份认证和管理
CN109962892A (zh) 一种登录应用的认证方法及客户端、服务器
CN103986734A (zh) 一种适用于高安全性业务系统的鉴权管理方法和系统
Schanzenbach et al. ZKlaims: Privacy-preserving attribute-based credentials using non-interactive zero-knowledge techniques
CN109495486A (zh) 一种基于JWT的单页Web应用集成CAS的方法
CN102420808B (zh) 一种在电信网上营业厅实现单点登录的方法
CN108243164B (zh) 一种电子政务云计算跨域访问控制方法和系统
CN103118025A (zh) 基于入网认证的单点登录方法、装置及认证服务器
Chen et al. Design of web service single sign-on based on ticket and assertion
CN109861982A (zh) 一种身份认证的实现方法及装置
Li et al. A multi-protocol authentication shibboleth framework and implementation for identity federation
Johnson et al. Rethinking Single Sign-On: A Reliable and Privacy-Preserving Alternative with Verifiable Credentials
James Web single sign-on systems
Ardagna et al. CAS++: an open source single sign-on solution for secure e-services
Kivinen OpenID Connect Provider Certification

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20211221

Address after: 450046 Floor 9, building 1, Zhengshang Boya Plaza, Longzihu wisdom Island, Zhengdong New Area, Zhengzhou City, Henan Province

Patentee after: xFusion Digital Technologies Co., Ltd.

Address before: 518129 headquarters building of Bantian HUAWEI base, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

TR01 Transfer of patent right