CN101998398A - 一种访问拜访地服务提供商的系统及方法 - Google Patents
一种访问拜访地服务提供商的系统及方法 Download PDFInfo
- Publication number
- CN101998398A CN101998398A CN2009101623742A CN200910162374A CN101998398A CN 101998398 A CN101998398 A CN 101998398A CN 2009101623742 A CN2009101623742 A CN 2009101623742A CN 200910162374 A CN200910162374 A CN 200910162374A CN 101998398 A CN101998398 A CN 101998398A
- Authority
- CN
- China
- Prior art keywords
- idp
- user
- visit ground
- ownership place
- ground
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供了一种访问拜访地服务提供商的系统及方法,用户访问拜访地的服务提供商时,所述拜访地的身份提供商IdP获取用户的信息后,通过拜访地的身份提供商IdP与归属地的IdP之间的接口,请求所述用户归属地IdP对所述用户进行认证,所述归属地IdP完成认证后向所述拜访地IdP返回认证结果,所述拜访地IdP将认证结果发送至所述拜访地的服务提供商,所述拜访地的服务提供商根据认证结果向所述用户提供服务;拜访地IdP与归属地的IdP之间的接口是和归属地服务提供商与归属地IdP之间的接口相同。采用本发明,解决了现有身份管理系统中用户跨越不同IdM系统访问SP的问题。
Description
技术领域
本发明涉及网络通信系统中的安全通信技术,尤其涉及一种访问拜访地服务提供商的系统及方法。
背景技术
身份管理(IdM,Identity Management)是指以网络和相关支持技术为基础,对用户身份的生命周期(使用过程),以及用户身份与网络应用服务之间的关系进行管理。例如,对访问应用和资源的用户进行认证或授权等。目前,IdM系统之间还处于一种相互独立的垂直结构,且这些IdM系统大多是针对特定的应用服务建立起来的,各个IdM系统之间无法实现互联互通,无法实现用户信息(如用户的信任信息、认证信任)的共享。
IdM系统包括用户、IdP(身份提供商)、SP(Service provide,服务提供商)。在认证过程中,只有SP和IdP之间存在信任关系,SP才能确认IdP对用户身份的认证信息是真实可靠的,才能进一步为用户提供服务。在IdM系统中,IdP作为独立运营商,实现了身份服务与应用服务的分离。通过一系列的查询/应答消息,IdP为用户提供身份注册、身份管理和身份认证等一系列服务,从而在SP和用户之间建立服务所期望的信任等级,实现用户对服务的访问。
如图1所示是现有技术IdM系统对用户进行认证的通用流程:
步骤101,用户向服务提供商SP请求提供服务;
步骤102,服务提供商SP要求用户进行身份认证;
步骤103,用户向SP发送用户ID以及所在地的IdP地址;
步骤104,SP将接收的用户ID以及所在地的IdP地址转发至IdP;
步骤105,IdP向用户发送消息,请求用户输入凭证信息;
步骤106,用户向IdP发送其凭证信息;
步骤107,IdP对用户提供的身份信息进行认证。
步骤108,IdP向SP返回认证结果。
步骤109,SP根据得到的认证结果为用户提供相应的服务。
在通用的IdM系统中,拜访地的SP通过拜访地的IdP的认证来控制用户对其资源的访问,而拜访地的IdP只能对其自身的用户进行认证,而当其它IdP的用户访问时,则被认为是非法用户,用户必须重新进行注册,这样既不方便用户也限制了SP的发展。
发明内容
本发明要解决的技术问题是提供一种访问拜访地服务提供商的系统及方法,解决了现有身份管理系统中用户跨越不同IdM系统访问SP的问题。
为了解决上述问题,本发明提供了一种访问拜访地服务提供商的方法,用户访问拜访地的服务提供商时,所述拜访地的身份提供商IdP获取用户的信息后,通过拜访地的身份提供商IdP与归属地的IdP之间的接口,请求所述用户归属地IdP对所述用户进行认证,所述归属地IdP完成认证后向所述拜访地IdP返回认证结果,所述拜访地IdP将认证结果发送至所述拜访地的服务提供商,所述拜访地的服务提供商根据认证结果向所述用户提供服务;
所述拜访地的IdP与归属地的IdP之间的接口是和归属地服务提供商与归属地IdP之间的接口相同。
进一步地,所述拜访地IdP请求所述归属地IdP进行认证是指,拜访地IdP向归属地IdP发送认证请求,携带所述用户的用户标识;
所述归属地IdP收到所述认证请求后,向所述用户获取该用户的凭证信息,然后对所述用户进行认证,并将认证结果返回至拜访地IdP。
进一步地,所述拜访地IdP收到认证结果后,将所述认证结果进行格式转换后发送至所述拜访地的服务提供商。
进一步地,所述拜访地IdP获取所述用户的信息后,根据其中的用户归属地IdP地址进行地址检查,若该IdP地址为拜访地IdP地址,则直接进行认证,否则请求所述归属地IdP进行认证。
本发明还提供一种访问拜访地服务提供商的系统,包括用户归属地IdP、拜访地IdP及拜访地的服务提供商;
所述拜访地IdP,用于收到用户的信息后,若用户不是其所在地的用户,则通过拜访地的IdP与归属地的IdP之间的接口向该用户归属地IdP发送认证请求;还用于收到认证结果后将其发送至拜访地的服务提供商;所述拜访地的IdP与归属地的IdP之间的接口是和归属地服务提供商与归属地IdP之间的接口相同;
所述归属地IdP,用于收到认证请求后对用户进行认证,并将认证结果返回至所述拜访地IdP;
所述拜访地的服务提供商,用于根据所述认证结果向所述用户提供服务。
进一步地,所述拜访地IdP,还用于收到认证结果后,将该认证结果进行格式转换后发送至所述拜访地的服务提供商。
进一步地,所述拜访地IdP收到用户的信息后,根据其中的归属地IdP地址进行地址检查,若该IdP地址为所述拜访地IdP地址,则直接进行认证,否则请求所述归属地IdP进行认证。
进一步地,所述拜访地IdP收到用户的信息后,根据其中的归属地IdP地址进行地址检查,若该IdP地址为所述拜访地IdP地址,则直接进行认证是指,所述拜访地IdP对用户进行认证,并将认证结果返回给拜访地的服务提供商。
进一步地,所述拜访地IdP收到用户的信息后,根据其中的归属地IdP地址进行地址检查,若该IdP地址为所述归属地IdP地址,请求所述归属地IdP进行认证是指:拜访地IdP携带所述用户的用户标识,通过拜访地的IdP与归属地的IdP之间的接口,向归属地IdP发送认证请求,所述归属地IdP收到所述认证请求后,向所述用户获取该用户的凭证信息,然后对所述用户进行认证,并将认证结果返回至拜访地IdP。
本发明提供了一种访问拜访地服务提供商的系统及方法,解决了现有身份管理系统中用户跨越不同IdM系统访问SP的问题;且该方法简单易行,不需更改原有IdM系统认证的通用模型和通信机制,IdM系统只需要添加转发,与转换授权机制,就能很好的解决跨IdM系统访问认证的问题,该方法的发明满足了用户需求,能够使IdM系统得到更广泛的使用。
附图说明
图1是现有技术IdM系统对用户进行认证的通用流程图;
图2是用户跨不同IdP访问SP时的各成员实例示意图;
图3是本发明用户跨不同IdP访问SP时对用户进行认证的流程图。
具体实施方式
本实施例提供一种访问拜访地服务提供商的系统,如图2所示,包括拜访地IdP、归属地IdP、拜访地的SP;当用户访问拜访地SP时,拜访地SP请求拜访地IdP(即拜访地SP所在地的IdP)对用户进行认证,拜访地IdP承担IdP的作用;由于用户不属于该拜访地的用户,拜访地IdP无法对其进行认证,于是请求归属地IdP对用户进行认证,此时,拜访地IdP表现为SP的角色。具体地,
拜访地的SP用于收到用户提供服务的请求后请求该用户进行身份认证,以及收到用户发来的用户ID和归属地IdP地址后向该SP所在地的IdP发送认证请求,携带该用户ID和归属地IdP地址;还用于收到其所在地的IdP返回的用户认证结果后根据该认证结果向用户提供相应服务。
拜访地IdP用于收到认证请求后,判断用户是否为所在地的用户,是则直接进行认证,若不是则请求该用户归属地的IdP对其进行认证,携带该用户ID;还用于收到归属地IdP返回的认证结果后,将该结果进行格式转换,转换成本系统支持的格式后发送至所在地的SP。
归属地IdP用于收到认证请求后,根据用户ID获取该用户的凭证信息,之后根据用户ID和其凭证等信息进行认证,并将认证结果返回至拜访地IdP。
拜访地IdP与归属地IdP之间的接口是和归属地的SP与归属地IdP之间的接口相同。
本实施例提供一种访问拜访地服务提供商的方法,如图3所示,包括以下步骤:
步骤301,用户终端向拜访地的SP提出提供服务请求。
步骤302,拜访地的SP服务器要求用户终端进行身份认证。
步骤303,用户根据要求提供用户ID和用户所在地IdP地址。
步骤304,拜访地的SP服务器收到用户提供的ID和注册IdP地址(即用户所在IdP地址),并转发给该SP所在地的IdP,请求认证用户。
步骤305,拜访地IdP收到拜访地的SP提供的用户的ID和IdP地址,首先进行地址检查,如果是自身,则直接进行认证,并返回认证结果。否则,转向步骤306。
步骤306,拜访地IdP系统作为SP的角色,向用户归属地IdP发送认证请求,其中携带该用户ID;
步骤307,用户归属地IdP收到认证请求,向该用户ID对应的用户发送消息,请求其输入凭证信息;
步骤308,用户向其归属地IdP发送其凭证信息;
步骤309,用户归属地IdP根据用户ID和凭证等信息进行认证。
步骤310,用户归属地IdP向拜访地IdP返回认证结果,携带用户ID。
步骤311,拜访地IdP收到用户的认证结果,并将此认证结果映射为拜访地认证结果,该映射是指将接收的认证结果进行格式转换,转换为本系统格式的认证结果。
步骤312,拜访地IdP向拜访地SP返回转化后的认证结果。
步骤313,拜访地SP根据认证结果为该用户提供相应服务。
拜访地IdP与归属地IdP之间的接口是和归属地服务提供商与归属地IdP之间的接口相同。
Claims (9)
1.一种访问拜访地服务提供商的方法,其特征在于:
用户访问拜访地的服务提供商时,所述拜访地身份提供商IdP获取用户的信息后,通过拜访地IdP与归属地的IdP之间的接口,请求所述用户归属地IdP对所述用户进行认证,所述归属地IdP完成认证后向所述拜访地IdP返回认证结果,所述拜访地IdP将认证结果发送至所述拜访地的服务提供商,所述拜访地的服务提供商根据认证结果向所述用户提供服务;
所述拜访地IdP与归属地IdP之间的接口是和归属地服务提供商与归属地IdP之间的接口相同。
2.如权利要求1所述的方法,其特征在于:
所述拜访地IdP请求所述归属地IdP进行认证是指,拜访地IdP向归属地IdP发送认证请求,携带所述用户的用户标识;
所述归属地IdP收到所述认证请求后,向所述用户获取该用户的凭证信息,然后对所述用户进行认证,并将认证结果返回至拜访地IdP。
3.如权利要求2所述的方法,其特征在于,所述方法还包括:
所述拜访地IdP收到认证结果后,将所述认证结果进行格式转换后发送至所述拜访地的服务提供商。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述拜访地IdP获取所述用户的信息后,根据其中的用户归属地IdP地址进行地址检查,若该IdP地址为拜访地IdP地址,则直接进行认证,否则请求所述归属地IdP进行认证。
5.一种访问拜访地服务提供商的系统,包括用户归属地身份提供商IdP、拜访地IdP及拜访地的服务提供商,其特征在于:
所述拜访地IdP,用于收到用户的信息后,若用户不是其所在地的用户,则通过拜访地的IdP与归属地的IdP之间的接口向该用户归属地IdP发送认证请求;还用于收到认证结果后将其发送至拜访地的服务提供商;所述拜访地IdP与归属地IdP之间的接口是和归属地服务提供商与归属地IdP之间的接口相同;
所述归属地IdP,用于收到认证请求后对用户进行认证,并将认证结果返回至所述拜访地IdP;
所述拜访地的服务提供商,用于根据所述认证结果向所述用户提供服务。
6.如权利要求5所述的系统,其特征在于:
所述拜访地IdP,还用于收到认证结果后,将该认证结果进行格式转换后发送至所述拜访地的服务提供商。
7.如权利要求5所述的系统,其特征在于:
所述拜访地IdP收到用户的信息后,根据其中的归属地IdP地址进行地址检查,若该IdP地址为所述拜访地IdP地址,则直接进行认证,否则请求所述归属地IdP进行认证。
8.如权利要求7所述的系统,其特征在于:
所述拜访地IdP收到用户的信息后,根据其中的归属地IdP地址进行地址检查,若该IdP地址为所述拜访地IdP地址,则直接进行认证是指,所述拜访地IdP对用户进行认证,并将认证结果返回给拜访地的服务提供商。
9.如权利要求7所述的系统,其特征在于:
所述拜访地IdP收到用户的信息后,根据其中的归属地IdP地址进行地址检查,若该IdP地址为所述归属地IdP地址,请求所述归属地IdP进行认证是指:拜访地IdP携带所述用户的用户标识,通过拜访地的IdP与归属地的IdP之间的接口,向归属地IdP发送认证请求,所述归属地IdP收到所述认证请求后,向所述用户获取该用户的凭证信息,然后对所述用户进行认证,并将认证结果返回至拜访地IdP。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101623742A CN101998398A (zh) | 2009-08-11 | 2009-08-11 | 一种访问拜访地服务提供商的系统及方法 |
PCT/CN2010/071187 WO2011017921A1 (zh) | 2009-08-11 | 2010-03-22 | 一种访问拜访地服务提供商的系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009101623742A CN101998398A (zh) | 2009-08-11 | 2009-08-11 | 一种访问拜访地服务提供商的系统及方法 |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610070543.XA Division CN105721163A (zh) | 2009-08-11 | 2009-08-11 | 一种访问拜访地服务提供商的系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101998398A true CN101998398A (zh) | 2011-03-30 |
Family
ID=43585897
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009101623742A Pending CN101998398A (zh) | 2009-08-11 | 2009-08-11 | 一种访问拜访地服务提供商的系统及方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN101998398A (zh) |
WO (1) | WO2011017921A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105592031A (zh) * | 2014-11-25 | 2016-05-18 | 中国银联股份有限公司 | 基于身份认证的用户登陆方法及系统 |
CN106059994A (zh) * | 2016-04-29 | 2016-10-26 | 华为技术有限公司 | 一种数据传输方法及网络设备 |
CN106257862A (zh) * | 2015-06-19 | 2016-12-28 | 中兴新能源汽车有限责任公司 | 无线充电装置认证及充电服务器认证的方法及装置 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11330546B1 (en) | 2020-12-11 | 2022-05-10 | Cisco Technology, Inc. | Controlled access to geolocation data in open roaming federations |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101388773B (zh) * | 2007-09-12 | 2011-12-07 | 中国移动通信集团公司 | 身份管理平台、业务服务器、统一登录系统及方法 |
US10594695B2 (en) * | 2007-12-10 | 2020-03-17 | Nokia Technologies Oy | Authentication arrangement |
CN101471777B (zh) * | 2007-12-29 | 2011-08-31 | 中国科学院计算技术研究所 | 一种基于域名的跨域接入控制系统及方法 |
-
2009
- 2009-08-11 CN CN2009101623742A patent/CN101998398A/zh active Pending
-
2010
- 2010-03-22 WO PCT/CN2010/071187 patent/WO2011017921A1/zh active Application Filing
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105592031A (zh) * | 2014-11-25 | 2016-05-18 | 中国银联股份有限公司 | 基于身份认证的用户登陆方法及系统 |
CN106257862A (zh) * | 2015-06-19 | 2016-12-28 | 中兴新能源汽车有限责任公司 | 无线充电装置认证及充电服务器认证的方法及装置 |
CN106257862B (zh) * | 2015-06-19 | 2019-09-17 | 中兴新能源汽车有限责任公司 | 无线充电装置认证及充电服务器认证的方法及装置 |
CN106059994A (zh) * | 2016-04-29 | 2016-10-26 | 华为技术有限公司 | 一种数据传输方法及网络设备 |
CN106059994B (zh) * | 2016-04-29 | 2020-02-14 | 华为技术有限公司 | 一种数据传输方法及网络设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2011017921A1 (zh) | 2011-02-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9197639B2 (en) | Method for sharing data of device in M2M communication and system therefor | |
CN101478396B (zh) | 一种基于私有密钥的低相关性的单向跨域身份验证方法及其应用 | |
CN102457376B (zh) | 一种云计算服务统一认证的方法和系统 | |
CN101400109B (zh) | 通用业务开放接口系统和通用业务开放方法 | |
US7752322B2 (en) | System for ubiquitous network presence and access without cookies | |
CN102171984A (zh) | 服务提供者访问 | |
CN101267304A (zh) | 一种上网权限控制方法、装置及系统 | |
WO2014026587A1 (zh) | 发现机器对机器业务的方法、设备及系统 | |
CN105141580B (zh) | 一种基于ad域的资源访问控制方法 | |
CN103179080B (zh) | 一种面向互联网用户的云电脑系统以及连接云电脑的方法 | |
CN102695167A (zh) | 移动用户身份标识管理方法和装置 | |
CN103209200A (zh) | 云服务交换系统及服务查询和交换方法 | |
KR101867576B1 (ko) | LoRaWAN 네트워크 서버와 oneM2M 플랫폼 연동 시스템 및 방법 | |
CN101998398A (zh) | 一种访问拜访地服务提供商的系统及方法 | |
CN103997479A (zh) | 一种非对称服务ip代理方法和设备 | |
CN104244243A (zh) | 终端外设控制方法、机器对机器网关及通信系统 | |
CN101471939B (zh) | Soa架构的融合业务系统中的多次用户认证鉴权方法 | |
CN105227592A (zh) | 一种互联网架构及实现方法 | |
CN103327490B (zh) | 营业网点互联网wifi接入系统及方法 | |
CN106789905A (zh) | 一种网络接入设备及方法 | |
CN102299945A (zh) | 网关配置页面登录方法、系统及门户认证服务器 | |
CN102724050A (zh) | 设备管理系统中对网关进行初始化的方法及装置 | |
CN102137102B (zh) | 一种支持多类信息发布方式的业务支撑平台实现方法 | |
CN104244242A (zh) | 一种物联网设备的网络号码编配方法和相应的认证方法 | |
CN102209011A (zh) | 多穴终端建立连接的方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110330 |