CN101998360A - 建立身份管理信任的方法及身份提供方和业务提供方 - Google Patents
建立身份管理信任的方法及身份提供方和业务提供方 Download PDFInfo
- Publication number
- CN101998360A CN101998360A CN200910164095XA CN200910164095A CN101998360A CN 101998360 A CN101998360 A CN 101998360A CN 200910164095X A CN200910164095X A CN 200910164095XA CN 200910164095 A CN200910164095 A CN 200910164095A CN 101998360 A CN101998360 A CN 101998360A
- Authority
- CN
- China
- Prior art keywords
- identity provider
- provider
- trust
- idp
- trust domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种建立身份管理信任的方法及身份提供方和业务提供方,该方法包括:业务提供方接收用户访问后,判断用户使用的身份提供方是否在业务提供方的信任域内;如果用户使用的身份提供方不在业务提供方的信任域内,则业务提供方向本地信任域内的身份提供方询问用户归属身份提供方;如果业务提供方接收到身份提供方返回的用户归属身份提供方的信息,则将用户归属身份提供方加入临时信任列表以建立对用户归属身份提供方的信任。本发明实现了在额外添加设备的情况下,建立SP对任何IDP的信任关系,保证用户一次登陆任意通行的特性得以实现的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种建立身份管理(Identity Management,简称为IDM)信任的方法及身份提供方和业务提供方。
背景技术
针对业务提供方(Service Provider,简称为SP)对有限身份提供方(Identification Provider,简称为IDP)的支持,如果用户所使用的IDP(例如IDPA)不在当前SP(例如SP1)支持的范围内,则用户认证是无法完成的,用户必须使用该SP支持的IDP(例如IDP B、C、D)注册之后,才能够完成SP的认证,又或者访问支持用户使用的IDP,同时提供类似服务的SP(例如sp2)。这与IDM的目标不符。但目前已经投入使用的IDP之间因为各自利益的关系,要使IDP统一似乎不可能。
IDM是指以网络和相关支持技术为基础,对用户身份的生命周期(使用过程),以及用户身份与网络应用服务之间的关系进行管理。例如,对访问应用和资源的用户进行认证或授权等。目前,IDM系统之间还处于一种相互独立的垂直结构,且这些IDM系统大多是针对特定的应用服务建立起来的,各个IDM系统之间无法实现互联互通,无法实现用户信息(如用户的信任信息、认证信任)的共享。
互操作性(Interoperation)是指各个独立的IDM系统之间互相协作,进行有效信息(如用户的信任信息)的交换和通信等操作的能力。互操作的前提一般需要建立在IDM系统相互信任的基础上,当前IDM系统的信任关系建立一般是一对一信任建立,信任关系一般是静态的,而且存在信任关系的IDM系统一般仅限于同一个信任域内(或联盟内),跨信任域(联盟)的信任关系的建立以及基于信任链(信任路径)的信任关系建立是可以使得现有IDM系统的信任关系扩展到更大的范围,可以使得信任关系的建立更加动态、灵活和便利。
目前,主要研究的SP认证模式,都是基于固定IDP的模式,对于用户使用IDP不在SP信任范围的,则无法通行,这使得用户在某些时候需要多次登录不同IDP才能获得某SP的服务,给实际应用带来不便。
针对相关技术中SP认证模式对于用户使用IDP不在SP信任范围的,则无法通行,这使得用户在某些时候需要多次登录不同IDP才能获得某SP的服务的问题,目前尚未提出有效的解决方案。
发明内容
针对SP认证模式对于用户使用IDP不在SP信任范围的,则无法通行,这使得用户在某些时候需要多次登录不同IDP才能获得某SP的服务的问题而提出本发明,为此,本发明的主要目的在于提供一种建立IDM信任的方法,以解决上述问题。
为了实现上述目的,根据本发明的一个方面,提供了一种建立IDM信任的方法。
根据本发明的建立IDM信任的方法包括:SP接收用户访问后,判断用户使用的IDP是否在SP的信任域内;如果用户使用的IDP不在SP的信任域内,则SP向本地信任域内的IDP询问用户归属身份提供方;如果SP接收到IDP返回的IDP A的信息,则将用户归属身份提供方加入临时信任列表以建立对用户归属身份提供方的信任。
优选地,在判断用户使用的身份提供方是否在业务提供方的信任域内之后,该方法还包括:如果用户使用的身份提供方与业务提供方在同一个信任域内,则业务提供方直接使用与用户归属身份提供方的信任关系。
优选地,在业务提供方向本地信任域内的身份提供方询问用户归属身份提供方之后,该方法还包括:如果没有收到本地信任域内身份提供方返回的信息,则判断所有被询问的身份提供方是否属于并仅属于一个信任域;如果被询问的身份提供方中存在属于两个或两以上信任域的身份提供方,则判断被询问过的身份提供方是否与用户归属身份提供方在同一信任域;如果被询问过的身份提供方与用户归属身份提供方在同一个信任域,则建立对用户归属身份提供方的信任。
优选地,如果没有收到本地信任域内身份提供方返回的信息,该方法还包括:如果被询问的身份提供方在同一个信任域并且仅属于一个信任域,则中止建立对用户归属身份提供方的询问。
优选地,如果没有收到本地信任域内身份提供方返回的信息,该方法还包括:如果被询问的身份提供方中存在属于两个或两以上信任域的身份提供方,则继续向被询问的身份提供方所属其他信任域的身份提供方发送询问请求。
优选地,身份提供方收到询问时,如果组播询问的跳数超过设定的次数,则中止信任建立。
为了实现上述目的,根据本发明的另一方面,提供了一种身份提供方及业务提供方。
该业务提供方包括:接收模块,用于接收用户的访问;判断模块,用于判断用户使用的身份提供方是否在业务提供方的信任域内;组播模块,通过组播方式向本地信任域内的身份提供方询问用户归属身份提供方,寻找并建立业务提供方到用户归属身份提供方的信任路径。
优选地,组播模块还包括:组播判断模块,用于判断组播次数是否超过设定的次数。
该身份提供方包括:组播模块,用于寻找身份提供方到用户归属身份提供方的路径。
通过本发明,采用SP接收用户访问后,判断用户使用的IDP是否在SP的信任域内;如果用户使用的IDP不在SP的信任域内,则SP向本地信任域内的IDP询问用户归属身份提供方;如果SP接收到IDP返回的IDP A的信息,则将用户归属身份提供方加入临时信任列表以建立对用户归属身份提供方的信任,解决了SP认证模式对于用户使用IDP不在SP信任范围的,则无法通行,这使得用户在某些时候需要多次登录不同IDP才能获得某SP的服务的问题,进而达到了在额外添加设备的情况下,建立SP对任何IDP的信任关系,保证用户一次登陆任意通行的特性得以实现的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的建立IDM信任的方法的流程图;
图2是根据本发明实施例的基于IDP多播方式的示意图;
图3是根据本发明实施例的基于IDP多播方式的无RS情况一的流程图;
图4是根据本发明实施例的基于IDP多播方式的无RS情况二的流程图;
图5是根据本发明实施例的基于IDP多播方式的无RS情况三的流程图;
图6是根据本发明实施例的RS架构图;
图7是根据本发明实施例的基于RS查找IDP的流程图;
图8是根据本发明实施例的基于RS查找IDP方式的有RS情况一的流程图;
图9是根据本发明实施例的基于RS查找IDP方式的有RS情况二的流程图;
图10是根据本发明实施例的基于RS查找IDP方式的有RS情况三的流程图;
图11是根据本发明实施例的身份提供方的示意图;
图12是根据本发明实施例的业务提供方的示意图。
具体实施方式
功能概述
考虑到SP认证模式对于用户使用IDP不在SP信任范围的,则无法通行,这使得用户在某些时候需要多次登录不同IDP才能获得某SP的服务,本发明实施例提供了一种建立IDM信任的方法,该方法包括:SP接收用户访问后,判断用户使用的IDP是否在SP的信任域内;如果用户使用的IDP不在SP的信任域内,则SP向本地信任域内的IDP询问用户归属身份提供方;如果SP接收到IDP返回的IDP A的信息,则将用户归属身份提供方加入临时信任列表以建立对用户归属身份提供方的信任。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
方法实施例
根据本发明的实施例,提供了一种建立IDM信任的方法。
如图1所示,该方法包括如下的步骤S102至步骤S106:
步骤S102,SP接收用户访问后,判断用户使用的IDP是否在SP的信任域内;
步骤S104,如果用户使用的IDP不在SP的信任域内,则SP向本地信任域内的IDP询问用户归属身份提供方;
步骤S106,如果SP接收到IDP返回的IDP A的信息,则将用户归属身份提供方加入临时信任列表以建立对用户归属身份提供方的信任。
其中,信任域是指IDP和SP之间已经存在信任关系,则SP信任来自IDP的身份认证信息,并进行鉴权。而区域是指,SP或IDP申请注册时,所在注册地的RS所管辖的所有SP及IDP的集合为一个区域。且IDP可以与SP处于不同区域但IDP处于SP的信任域内。
下面将结合实例对本发明实施例的实现过程进行详细描述。
图2是基于SP和IDP多播方式的结构图,显示了用户请求下的IDP发现与信任建立过程,当用户使用IDP A在SP信任域内,则进入身份验证阶段,SP要求用户身份验证,用户要求IDP A进行身份验证,IDP A向SP发授权,SP进行授权认证,并决定是否提供用户服务;假如用户使用IDP A不在SP信任域内,则SP向信任域内IDP进行组播询问,假如寻得IDP A信任信息,则返回信任信息给SP,进入身份验证阶段,否则收到询问而同时处于多个信任域的IDP继续向相邻域的IDP进行组播,直到组播跳数到达限制或者没有可组播的领域或者找到IDP A为止,如果找到IDP A则沿路返回信任信息,SP对所有可能的返回信息做OR处理,然后进入身份验证流程。在此架构下,假如IDP原来不在SP信任域内,那么通过此过程SP与IDP间建立的信任关系是临时的,当服务完成,则信任关系解除,这种临时信任关系建立的依据是,信任建立的过程依据的是基于IDP的信任可传递性,在无RS的情况下,各信任对象间的信任关系建立在互相签订信任协议基础上,是固定的,那么也就意味着这样的信任关系是可靠且可传递的。而信任传递中的各IDP节点可形成IDP信任路径。通过IDP信任路径作为中介,建立了SP对用户使用IDP的信任,在用户授权下,建立用户使用IDP对SP的信任,在此过程中,中间IDP成为了信任中介。
图3至图5是基于SP和IDP多播方式三种IDP发现和信任建立的情况,每种情况又可分为发现和信任建立过程两个过程。如下进行详述。
图3是IDP A在SP信任域的情况,主要步骤如下:
发现过程为:
步骤101,用户请求SP提供服务,由于用户使用IDP A在SP信任域内,则无需进行组播即已经发现IDPA。
信任建立过程为:
步骤102,SP请求用户进行身份认证。
步骤103,用户要求IDP A进行身份认证。
步骤104,IDP A向SP提供用户授权信息。
步骤105,SP对用户授权认证,假如信息不符,则信任建立失败,拒绝服务,假如信息符合,至此双向信任关系建立完毕(但此信任关系非中介信任关系)。
图4是IDP A与SP在不同信任域,但二者所处信任域有共同的IDP的情况。
发现过程为:
步骤111,用户请求SP提供服务。
步骤112~114,由于用户使用IDP A不在SP信任域内,SP根据信任列表,向所属信任域内的所有IDP进行组播,询问IDP A,112~114是一个组播的整体。
步骤115,由于IDP D同时属于信任域1和信任域2(用户使用IDP A所属信任域),所以IDP D信任列表同时具有信任域1和2的对象(包含IDP A),至此,发现IDP A并返回IDP A的信任信息。
信任建立过程为:
步骤116,根据步骤115返回的IDP A信任信息,将IDP A加入临时信任列表。
步骤117,SP请求用户进行身份认证。
步骤118,用户要求IDP A进行身份认证。
步骤119,IDP A向SP提供用户的身份授权信息。
步骤120,SP对用户授权认证,假如信息不符,则信任建立失败,拒绝服务,假如信息符合,至此,以IDP作为中介的双向信任关系建立完毕。
图5是IDP A与SP不在同一个信任域,且二者所处信任域没有共同的IDP,但却存在一条从SP到IDP A的IDP信任路径的情况,主要步骤如下:
发现过程为:
步骤131,用户请求SP提供服务。
步骤132~133,由于用户使用IDP A不在SP信任内,所以SP根据信任列表,向所属信任域内的所有IDP进行组播,询问IDP A,122~123是一个组播的整体。
步骤134~135,由于IDP C同时属于信任域1和信任域2,且IDP A不在信任域2中,所以IDP C向除询问来源的信任域1外的信任域中的IDP进行组播,也就是对IDP D和IDP F进行组播。
步骤136,由于IDP F同时属于信任域2和信任域3(IDP A所在信任域),所以IDP F拥有IDP A的信任信息,至此发现过程结束并原路返回IDP A的信任信息。
步骤137,IDP返回的IDP A信任信息给SP。
信任建立过程为:
步骤138,根据步骤137返回的IDP A信任信息,SP将IDP A加入临时信任列表。
步骤139,SP请求用户进行身份认证。
步骤140,用户要求IDP A进行身份认证。
步骤141,IDP A向SP提供用户的身份授权信息。
步骤142,SP对用户授权认证,假如信息不符,则信任建立失败,拒绝服务,假如信息符合,至此,以IDP作为中介的双向信任关系建立完毕。
图6是RS架构图,在无RS的情况下,基于SP和IDP的组播总会有不存在SP到用户使用IDP的信任传递路径的情况,此时无法提供服务。那么,通过添加RS设备可以解决这样的问题,完全实现用户一次登陆到处通行。RS层在IDP层之上,该层应由SP、IDP运营审核机构维护。需要设立IDP的,必须先在该地注册机构注册,注册机构在RS中加入相应的IDP的注册、信任、地址和IDP所属的RS等信息。针对这些功能,RS内部就需要处理SP和RS的请求的接受请求模块,同时对请求需要进行审核的请求审核模块,当审核通过,需要有管理注册信息列表的对象注册信息列表模块,当本地注册信息列表没找到结果时,需要对RS群组播的RS询问模块。
图7是是基于RS查找IDP方案结构图,显示了在有RS设备的情况下,进行用户发现和身份建立的结构。当用户请求SP服务时,假如用户使用IDP A在SP信任域范围内,则SP进入身份验证流程,SP请求用户进行身份验证,用户要求IDP A进行身份验证,IDP A向SP发送授权,SP对授权认证,假如符合则提供服务,否则拒绝服务。当IDP A不在SP信任域范围内,则SP询问本区域RS,RS查询注册列表,假如找到则返回IDP A的信任信息给SP,SP进入身份验证流程,假如本区域RS没找到IDP A信息,则RS对RS群进行广播查询,然后对所有返回结果进行OR操作,并对SP返回一个信任信息,SP进入身份验证流程。在此结构中,唯有RS具有广播功能,SP和IDP不再需要组播功能,但是SP仍然需要一个信任列表,用以确定信任域内的IDP及相关信息。图2的情况不同,IDP不再固定属于某个信任域,每个IDP固定属于某个RS管辖,而SP的信任域范围可动态改变,甚至跨越不同区域,但是SP可询问的RS只有其所属RS,在不断询问过程中,SP可以不断的与新的IDP动态建立长期信任关系。同时,SP对RS的询问,一定会得到回应,从而必然可以找到用户使用IDP。同时,RS假如对RS群进行广播,广播后将等待所有RS的回应并进行OR操作后再返回一个结果给SP,而不是每个RS的响应都通知SP。在此过程中,等于每个SP和IDP在注册时都与RS机构签订协议,由RS机构负责信任对象的监管和作为信任中介或称为担保。
图8至图10是有RS架构下的3种IDP发现和信任建立的情况,每种情况又分为IDP发现和信任建立的两个过程,如下详述:
图8是有RS架构下,SP与用户使用IDP A在同一个信任域的情况,主要步骤如下:
发现过程为:
步骤201,用户请求SP提供服务,由于用户使用IDP A在SP信任域内,则无需进行组播即已经发现IDP A。
信任建立过程为:
步骤202,由于SP对IDP A的信任已经存在,所以向用户发出身份认证请求。
步骤203,用户要求IDP A进行身份认证。
步骤204,IDP A向SP提供用户授权信息。
步骤205,SP对用户授权信息进行认证,如果信息不符,则信任建立失败,拒绝服务,如果信任符合,则相互信任关系建立。
图9是有RS架构下,SP与用户使用IDP A不在同一个信任域,但SP和IDP A属于同一个区域的情况,主要步骤如下:
发现过程为:
步骤211,用户请求SP提供服务。
步骤212,由于IDP A不在SP信任列表,SP向区域RS(RS1)发送对IDP A的询问。
步骤213,由于IDP A在区域1内,所以RS 1返回IDP A的信任信息给SP。至此发现过程结束。
信任建立过程为:
步骤214,SP将IDP A加入信任列表。
步骤215,SP对IDP A的信任建立,向用户发出身份认证请求。
步骤216,用户要求IDP A进行身份认证。
步骤217,IDP A向SP发送用户授权信息。
步骤218,SP对用户授权信息进行认证,如果信息不符,则信任建立失败,拒绝服务,如果信任符合,则相互信任关系建立。
图10是有RS架构下,SP与用户使用IDP A不在同一个信任域,且SP和IDP A不属于同一个区域的情况,主要步骤如下:
发现过程为:
步骤221,用户请求SP服务。
步骤222,由于IDP A不在SP信任列表,SP向区域RS(RS1)发送对IDP A的询问。
步骤223~224,由于IDP A不在区域1中,所以RS1向所有RS发送对IDP A的询问,223~224是一个广播的过程。
步骤225,由于IDP A不在区域3,所以RS3返回NULL表示查找无果。
步骤226,由于IDP A在区域2,所以RS2返回IDP A信任信息给RS1。
步骤227,经过OR操作,RS1返回IDP A的信任信息给SP至此发现过程结束。
信任建立过程为:
步骤228,SP将IDP A加入信任列表。
步骤229,SP对IDP A的信任建立后,SP向用户发出身份认证请求。
步骤230,用户要求IDP A进行身份认证。
步骤231,IDP A向SP发送用户授权信息。
步骤232,SP对用户授权信息进行认证,如果信息不符,则信任建立失败,拒绝服务,如果信任符合,则相互信任关系建立。
装置实施例
根据本发明的实施例,提供了一种身份提供方和业务提供方。
图11是根据本发明实施例的身份提供方的示意图。
如图11所示,该业务提供方110包括:接收模块112、判断模块114、询问模块116、组播模块118。
其中,接收模块112,用于接收用户的访问;判断模块114,用于判断用户使用的IDP是否在SP的信任域内;询问模块116,用于向本地信任域内的IDP询问用户归属身份提供方;组播模块118,用于寻找SP到IDP A的路径。
优选地,该还可以包括组播判断模块119,用于判断组播次数是否超过设定的次数。
图12是根据本发明实施例的业务提供方的示意图。
如图12所示,该身份提供方120包括:组播模块122。
具体地,组播模块122用于寻找IDP到IDP A的路径。
从以上的描述中,可以看出,本发明实现了在额外添加设备的情况下,建立SP对任何IDP的信任关系,保证用户一次登陆任意通行的特性得以实现。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种建立身份管理信任的方法,其特征在于,包括:
业务提供方接收用户访问后,判断所述用户使用的身份提供方是否在所述业务提供方的信任域内;
如果所述用户使用的身份提供方不在所述业务提供方的信任域内,则所述业务提供方向本地信任域内的身份提供方询问用户归属身份提供方;
如果所述业务提供方接收到所述身份提供方返回的所述用户归属身份提供方的信息,则将所述用户归属身份提供方加入临时信任列表以建立对所述用户归属身份提供方的信任。
2.根据权利要求1所述的方法,其特征在于,在判断所述用户使用的身份提供方是否在所述业务提供方的信任域内之后,所述方法还包括:
如果所述用户使用的身份提供方与所述业务提供方在同一个信任域内,则所述业务提供方直接使用与所述用户归属身份提供方的信任关系。
3.根据权利要求1所述的方法,其特征在于,在所述业务提供方向本地信任域内的身份提供方询问用户归属身份提供方之后,所述方法还包括:
如果没有收到所述本地信任域内身份提供方返回的信息,则判断所有被询问的身份提供方是否属于并仅属于一个信任域;
如果所述被询问的身份提供方中存在属于两个或两以上信任域的身份提供方,则判断所述被询问过的身份提供方是否与所述用户归属身份提供方在同一信任域;
如果所述被询问过的身份提供方与所述用户归属身份提供方在同一个信任域,则建立对所述用户归属身份提供方的信任。
4.根据权利要求3所述的方法,其特征在于,如果没有收到所述本地信任域内身份提供方返回的信息,所述方法还包括:
如果所述被询问的身份提供方在同一个信任域并且仅属于一个信任域,则中止建立对所述用户归属身份提供方的询问。
5.根据权利要求3所述的方法,其特征在于,如果没有收到所述本地信任域内身份提供方返回的信息,所述方法还包括:
如果所述被询问的身份提供方中存在属于两个或两以上信任域的身份提供方,则继续向被询问的身份提供方所属其他信任域的身份提供方发送询问请求。
6.根据权利要求1至5中任一项所述的方法,其特征在于,所述身份提供方收到询问时,如果组播询问的跳数超过设定的次数,则中止所述信任建立。
7.一种业务提供方,其特征在于,包括:
接收模块,用于接收用户的访问;
判断模块,用于判断所述用户使用的身份提供方是否在所述业务提供方的信任域内;
组播模块,通过组播方式向本地信任域内的身份提供方询问用户归属身份提供方,寻找并建立所述业务提供方到所述用户归属身份提供方的信任路径。
8.根据权利要求7所述的业务提供方,其特征在于,所述组播模块还包括:
组播判断模块,用于判断组播次数是否超过设定的次数。
9.一种身份提供方,其特征在于,包括:
组播模块,用于寻找身份提供方到用户归属身份提供方的路径。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910164095.XA CN101998360B (zh) | 2009-08-11 | 2009-08-11 | 建立身份管理信任的方法及身份提供方和业务提供方 |
| EP10807867.6A EP2456120A4 (en) | 2009-08-11 | 2010-03-23 | Identity management trust establishment method, identity provider and service provider |
| JP2012524085A JP5627683B2 (ja) | 2009-08-11 | 2010-03-23 | アイデンティティ管理の信頼性を確立する方法、アイデンティティプロバイダ及びサービスプロバイダ |
| PCT/CN2010/071213 WO2011017922A1 (zh) | 2009-08-11 | 2010-03-23 | 建立身份管理信任的方法及身份提供方和业务提供方 |
| US13/257,947 US8910244B2 (en) | 2009-08-11 | 2010-03-23 | Method for establishing identity management trust, identification provider and service provider |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910164095.XA CN101998360B (zh) | 2009-08-11 | 2009-08-11 | 建立身份管理信任的方法及身份提供方和业务提供方 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101998360A true CN101998360A (zh) | 2011-03-30 |
| CN101998360B CN101998360B (zh) | 2015-05-20 |
Family
ID=43585898
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910164095.XA Expired - Fee Related CN101998360B (zh) | 2009-08-11 | 2009-08-11 | 建立身份管理信任的方法及身份提供方和业务提供方 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8910244B2 (zh) |
| EP (1) | EP2456120A4 (zh) |
| JP (1) | JP5627683B2 (zh) |
| CN (1) | CN101998360B (zh) |
| WO (1) | WO2011017922A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113127821A (zh) * | 2019-12-31 | 2021-07-16 | 远景智能国际私人投资有限公司 | 身份验证方法、装置、电子设备及存储介质 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9258344B2 (en) * | 2011-08-01 | 2016-02-09 | Intel Corporation | Multi-hop single sign-on (SSO) for identity provider (IdP) roaming/proxy |
| US9798895B2 (en) * | 2014-09-25 | 2017-10-24 | Mcafee, Inc. | Platform identity architecture with a temporary pseudonymous identity |
| GB2532248B (en) * | 2014-11-12 | 2019-05-01 | Thales Holdings Uk Plc | Network based identity federation |
| CN106559387B (zh) * | 2015-09-28 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 一种身份验证方法及装置 |
| US10846387B2 (en) | 2017-07-12 | 2020-11-24 | At&T Intellectual Property I, L.P. | Managing access based on activities of entities |
| US11330546B1 (en) | 2020-12-11 | 2022-05-10 | Cisco Technology, Inc. | Controlled access to geolocation data in open roaming federations |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070136786A1 (en) * | 2005-12-08 | 2007-06-14 | Sun Microsystems, Inc. | Enabling identity information exchange between circles of trust |
| CN101471777A (zh) * | 2007-12-29 | 2009-07-01 | 中国科学院计算技术研究所 | 一种基于域名的跨域接入控制系统及方法 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06276191A (ja) | 1993-03-19 | 1994-09-30 | Fuji Xerox Co Ltd | データ転送制御装置 |
| KR100419484B1 (ko) | 2001-09-07 | 2004-02-19 | 한국전자통신연구원 | 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법 |
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US20030177388A1 (en) * | 2002-03-15 | 2003-09-18 | International Business Machines Corporation | Authenticated identity translation within a multiple computing unit environment |
| WO2003104947A2 (en) * | 2002-06-06 | 2003-12-18 | Hardt Dick C | Distributed hierarchical identity management |
| US20040002878A1 (en) * | 2002-06-28 | 2004-01-01 | International Business Machines Corporation | Method and system for user-determined authentication in a federated environment |
| JP3800158B2 (ja) * | 2002-09-27 | 2006-07-26 | ブラザー工業株式会社 | データ送信システム、端末装置、及びプログラム |
| US7716469B2 (en) * | 2003-07-25 | 2010-05-11 | Oracle America, Inc. | Method and system for providing a circle of trust on a network |
| US7831693B2 (en) * | 2003-08-18 | 2010-11-09 | Oracle America, Inc. | Structured methodology and design patterns for web services |
| GB0405623D0 (en) * | 2004-03-12 | 2004-04-21 | British Telecomm | Controlling transactions |
| BRPI0513195A (pt) * | 2004-07-09 | 2008-04-29 | Matsushita Electric Ind Co Ltd | sistemas para administrar autenticação e autorização de usuário, e para suportar o usuário, métodos para administrar autenticação e autorização de usuário, para acessar serviços de múltiplas redes, para o controlador de autenticação processar uma mensagem de pedido de autenticação, selecionar a combinação de controladores de autenticação do resultado de busca, autenticar um usuário, e descobrir o caminho a um domìnio tendo relação empresarial com o domìnio doméstico, para o controlador de autorização processar a mensagem de pedido de autorização de serviço, e executar autorização de serviço, para um controlador de autenticação e autorização executar autenticação e autorização de serviço, para proteger o sìmbolo de usuário, e para a autoridade de controle de acesso no domìnio doméstico do usuário prover ao controlador de autenticação uma informação de perfil de assinatura limitada do usuário, para alcançar autenticação e autorização rápidas, e para alcançar registro único para acessar múltiplas redes, e, formatos para informação de capacidade de assinatura, para um sìmbolo de usuário, para um domìnio tendo relação empresarial com o domìnio doméstico de um usuário para pedir afirmação de autenticação e de autorização, e para um terminal de usuário indicar suas credenciais para acessar múltiplas redes em múltiplos domìnios administrativos |
| JP2006164174A (ja) | 2004-12-10 | 2006-06-22 | Canon Inc | 情報処理装置、ユーザ認証処理及びアクセス制御方法 |
| US7784092B2 (en) * | 2005-03-25 | 2010-08-24 | AT&T Intellectual I, L.P. | System and method of locating identity providers in a data network |
| JP2006276191A (ja) | 2005-03-28 | 2006-10-12 | Canon Inc | フラットパネル表示装置 |
| US20070097969A1 (en) * | 2005-11-02 | 2007-05-03 | Alain Regnier | Approach for discovering network resources |
| US7860882B2 (en) * | 2006-07-08 | 2010-12-28 | International Business Machines Corporation | Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations |
| US7860883B2 (en) * | 2006-07-08 | 2010-12-28 | International Business Machines Corporation | Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments |
| US20080021866A1 (en) * | 2006-07-20 | 2008-01-24 | Heather M Hinton | Method and system for implementing a floating identity provider model across data centers |
| US7657639B2 (en) * | 2006-07-21 | 2010-02-02 | International Business Machines Corporation | Method and system for identity provider migration using federated single-sign-on operation |
| JP2008226148A (ja) | 2007-03-15 | 2008-09-25 | Ricoh Co Ltd | 認証システム、中継サーバ、認証方法、およびプログラム |
| US20080235513A1 (en) * | 2007-03-19 | 2008-09-25 | Microsoft Corporation | Three Party Authentication |
| US9059986B2 (en) * | 2007-04-04 | 2015-06-16 | Motorola Solutions, Inc. | Method and apparatus to facilitate using a federation-based benefit to facilitate communications mobility |
| US8434129B2 (en) * | 2007-08-02 | 2013-04-30 | Fugen Solutions, Inc. | Method and apparatus for multi-domain identity interoperability and compliance verification |
| CN101453328A (zh) * | 2007-12-06 | 2009-06-10 | 中国移动通信集团公司 | 身份管理系统及身份认证系统 |
| JP5556180B2 (ja) | 2008-01-24 | 2014-07-23 | コニカミノルタ株式会社 | 電子証明書を用いた認証に係るネットワークシステム、認証サーバ装置および認証方法 |
| US8219802B2 (en) * | 2008-05-07 | 2012-07-10 | International Business Machines Corporation | System, method and program product for consolidated authentication |
| US8250635B2 (en) * | 2008-07-13 | 2012-08-21 | International Business Machines Corporation | Enabling authentication of openID user when requested identity provider is unavailable |
| US8099768B2 (en) * | 2008-09-18 | 2012-01-17 | Oracle America, Inc. | Method and system for multi-protocol single logout |
-
2009
- 2009-08-11 CN CN200910164095.XA patent/CN101998360B/zh not_active Expired - Fee Related
-
2010
- 2010-03-23 JP JP2012524085A patent/JP5627683B2/ja not_active Expired - Fee Related
- 2010-03-23 EP EP10807867.6A patent/EP2456120A4/en not_active Withdrawn
- 2010-03-23 US US13/257,947 patent/US8910244B2/en not_active Expired - Fee Related
- 2010-03-23 WO PCT/CN2010/071213 patent/WO2011017922A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070136786A1 (en) * | 2005-12-08 | 2007-06-14 | Sun Microsystems, Inc. | Enabling identity information exchange between circles of trust |
| CN101471777A (zh) * | 2007-12-29 | 2009-07-01 | 中国科学院计算技术研究所 | 一种基于域名的跨域接入控制系统及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113127821A (zh) * | 2019-12-31 | 2021-07-16 | 远景智能国际私人投资有限公司 | 身份验证方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5627683B2 (ja) | 2014-11-19 |
| US8910244B2 (en) | 2014-12-09 |
| CN101998360B (zh) | 2015-05-20 |
| JP2013501984A (ja) | 2013-01-17 |
| US20120131642A1 (en) | 2012-05-24 |
| WO2011017922A1 (zh) | 2011-02-17 |
| EP2456120A4 (en) | 2017-04-12 |
| EP2456120A1 (en) | 2012-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101998360A (zh) | 建立身份管理信任的方法及身份提供方和业务提供方 | |
| CN101155030B (zh) | 基于注册鉴权的网络资源整合访问方法 | |
| CN101582769B (zh) | 用户接入网络的权限设置方法和设备 | |
| US9197639B2 (en) | Method for sharing data of device in M2M communication and system therefor | |
| JP4579546B2 (ja) | 単一サインオンサービスにおけるユーザ識別子の取り扱い方法及び装置 | |
| KR100651716B1 (ko) | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 | |
| CN101188862B (zh) | 一种无线网络中的路由方法 | |
| US20080160959A1 (en) | Method for Roaming User to Establish Security Association With Visited Network Application Server | |
| WO2013180356A1 (ko) | M2m 통신에서 리소스 접근 권한 설정 방법 | |
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| JP2013175226A (ja) | リソースのデレゲーションを実行する方法およびシステム | |
| US20090113027A1 (en) | Personal network management method and personal network management apparatus | |
| CN101188604A (zh) | 一种网络用户权限鉴定方法 | |
| CN101257707B (zh) | 一种无线网络中移动终端激活业务时的路由方法 | |
| CN100365591C (zh) | 基于客户端的网络地址分配方法 | |
| CN102083066A (zh) | 统一安全认证的方法和系统 | |
| Hua et al. | Cross-domain self-authentication based consortium blockchain for autonomous valet parking system | |
| Shan et al. | Blockchain-Based Distributed Addressing for Initial Authentication in Future Network | |
| Sänger et al. | Authentication and authorization in microservice-based applications | |
| JP4872128B2 (ja) | 端末装置を使用する接続制御システム、接続制御方法 | |
| CN114024755B (zh) | 服务访问控制方法、装置、设备及计算机可读存储介质 | |
| CN102215107B (zh) | 一种实现身份管理互操作的方法及系统 | |
| US20070150511A1 (en) | Method and apparatus for handling user's attributes sharing between service providers | |
| Vlček et al. | Considerations on Secure FIPA Compliant Agent Architecture | |
| Chen et al. | Trust relationship establishment based on the existing trust |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20161207 Address after: 408402 Chongqing Nanchuan District West Street office Longhua Road No. 12 (General Chamber of Commerce Building 1 building 2-12-2) Patentee after: Chongqing hi tech Enterprise Incubator Co., Ltd. Address before: 518057 Nanshan District science and technology, Guangdong Province, South Road, No. 55, No. Patentee before: ZTE Corporation |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150520 Termination date: 20190811 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |