CN102215107B - 一种实现身份管理互操作的方法及系统 - Google Patents
一种实现身份管理互操作的方法及系统 Download PDFInfo
- Publication number
- CN102215107B CN102215107B CN201010161215.3A CN201010161215A CN102215107B CN 102215107 B CN102215107 B CN 102215107B CN 201010161215 A CN201010161215 A CN 201010161215A CN 102215107 B CN102215107 B CN 102215107B
- Authority
- CN
- China
- Prior art keywords
- identity
- direct
- identity provider
- management center
- provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 101100119887 Arabidopsis thaliana FDM1 gene Proteins 0.000 description 45
- 101150004970 IDP1 gene Proteins 0.000 description 45
- 101100452035 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) IDP3 gene Proteins 0.000 description 19
- 101100119888 Arabidopsis thaliana FDM2 gene Proteins 0.000 description 14
- 101150067473 IDP2 gene Proteins 0.000 description 14
- 101150046722 idh1 gene Proteins 0.000 description 14
- 238000010586 diagram Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 230000000977 initiatory effect Effects 0.000 description 4
- 230000015572 biosynthetic process Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000013517 stratification Methods 0.000 description 1
Abstract
本发明提供了一种实现身份管理互操作的方法及系统,此方法包括:用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,身份管理中心选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点,所述备用认证点对所述用户进行成功认证后由所述服务提供者为所述用户提供服务。本发明可以在不需要改变现有身份管理系统内部认证方法的情况下,实现不同信任域之间的信任关系互操作,方便用户使用。
Description
技术领域
本发明涉及网络安全和通信领域,更具体地是涉及一种实现身份管理互操作的方法及系统。
背景技术
服务提供者(Service Provider,简称SP)对有限身份提供者(IdentityProvider,简称IDP)的提供支持,如果用户所使用的IDP(例如IDP A)不在当前SP(例如SP1)支持的范围内,则用户认证是无法完成的,用户必须使用该SP支持的IDP(例如IDP B、C、D)注册之后,才能够完成SP的认证,或者用户还可以访问支持此用户使用的属于可提供类似服务的其它SP(例如SP2)的IDP,得到类似服务。这与身份管理(Identity Management,简称IDM)的目标不符。但目前已经投入使用的IDP之间因为各自利益的关系,不能实现不同IDP的统一。
身份管理是指以网络和相关支持技术为基础,对用户身份的生命周期(使用过程),以及用户身份与网络应用服务之间的关系进行管理。例如,对访问应用和资源的用户进行认证或授权等。目前,IDM系统之间还处于一种相互独立的垂直结构,且这些IDM系统大多是针对特定的应用服务建立起来的,各个IDM系统之间无法实现互联互通,无法实现用户信息(如用户的信任信息、认证信任)的共享。
互操作性(Interoperation)是指各个独立的IDM系统之间互相协作,进行有效信息(如用户的信任信息)的交换和通信等操作的能力。互操作的前提一般需要建立在IDM系统相互信任的基础上,当前IDM系统的信任关系建立一般是一对一信任建立,信任关系一般是静态的,而且存在信任关系的IDM系统一般仅限于同一个信任域内(或联盟内)。
目前,主要研究的SP认证模式,都是基于固定IDP的模式,对于用户使用IDP不在SP信任范围内的,则无法通行,例如用户向SP请求服务,用户未在此SP所属的IDP上进行身份注册的情况下,此SP将不能向此用户提供服务,这使得用户在某些时候需要多次登录不同IDP才能获得此SP的服务,给实际应用带来不便。
发明内容
本发明要解决的技术问题是提供一种实现身份管理互操作的方法及系统,在不改变现有身份管理系统内部认证方法的情况下,实现不同信任域之间的信任关系互操作,方便用户使用。
为了解决上述问题,本发明提供了一种实现身份管理互操作的方法,包括:用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,身份管理中心选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点,所述备用认证点对所述用户进行成功认证后由所述服务提供者为所述用户提供服务。
进一步地,上述方法还可以具有以下特点:
所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点。
进一步地,上述方法还可以具有以下特点:
两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。
进一步地,上述方法还可以具有以下特点:
所述身份管理中心所维护的身份提供者根据需要与所述身份管理中心建立直连信任路径,并且所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述身份管理中心具有直接或者间接信任关系的身份提供者作为备用认证点。
进一步地,上述方法还可以具有以下特点:
身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。
进一步地,上述方法还可以具有以下特点:
所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点。
进一步地,上述方法还可以具有以下特点:
两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。
为了解决上述技术问题,本发明还提供了一种实现身份管理互操作的系统,包括身份管理中心;所述身份管理中心,用于管理多个身份提供者;还用于在用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点;作为备用认证点的身份提供者,用于对所述用户进行成功认证后通知所述服务提供者所属身份提供者;所述服务提供者所属身份提供者,用于收到所述备用认证点的通知后,通知所述服务提供者为用户提供服务。
进一步地,上述系统还可以具有以下特点:
所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径;所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点;其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。
进一步地,上述系统还可以具有以下特点:
所述身份管理中心所维护的身份提供者,用于根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心,还用于在所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径的情况下选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;其中,身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。
进一步地,上述系统还可以具有以下特点:
所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。
本发明可以在不需要改变现有身份管理系统内部认证方法的情况下,实现不同信任域之间的信任关系互操作,方便用户使用。
附图说明
图1是实施例一中实现身份管理互操作的方法示意图;
图2是具体实施例一中IDMC实现身份管理中各组成部分关系示意图;
图3是实施例二中实现身份管理互操作的方法示意图;
图4是具体实施例二中IDMC实现身份管理中各组成部分关系示意图;
图5是具体实施例三中IDMC实现身份管理中各组成部分关系示意图。
具体实施方式
本发明中实现身份管理互操作的系统,包括服务提供者,身份管理中心(Identity Management Center,简称IdMC),此身份管理中心可以是权威的第三方机构,此身份管理中心所维护的部分或全部身份提供者属于不同的信任域。用户可以在此身份管理中心所维护的身份提供者中部分身份提供者上进行注册。服务提供者所属的身份提供者可以是一个也可以是多个。
身份管理中心,用于管理多个身份提供者;为每个用户维护一个用户数据库用于存储该用户在各个不同身份提供者注册的身份信息。
身份管理中心,还用于在用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点。
所述作为备用认证点的身份提供者,用于对所述用户进行成功认证后通知所述服务提供者所属身份提供者。
所述服务提供者所属身份提供者,用于收到所述备用认证点的通知后,通知所述服务提供者为用户提供服务。
此系统中由于身份管理中心的引入,用户在向服务提供者请求服务后,服务提供者所属身份提供者上进行身份认证失败后,无需重新登陆,而是由身份管理中心迅速发现用户已注册过的身份提供者,由此身份提供者提供认证后直接获得服务,并可以获得更大范围的单点登录。此系统基于已有的IdM系统,不需要改变各个IdM系统内部的认证方法和技术,具有很好的兼容性。
在一种实现方式中,此信任关系是指身份提供者之间的信任关系。
所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径;
所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点;
其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。
在另一种实现方式中,此信任关系是指身份提供者与身份管理中心的信任关系,即身份提供者根据系统需要可以建立与身份管理中心的信任关系。
所述身份管理中心所维护的身份提供者,用于根据需要与所述身份管理中心建立直连信任路径;
所述身份管理中心,还用于在所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径的情况下选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;
其中,身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。
在另一种实现方式中,可以同时考虑上述两种信任关系,所述身份管理中心的信任关系管理模块维护身份提供者之间的信任关系以及身份提供者与身份管理中心之间的信任关系。
所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;
所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;
其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。
对应上述系统,实现身份管理互操作的方法包括:用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,身份管理中心选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点,所述备用认证点对所述用户进行成功认证后由所述服务提供者为用户提供服务。
实施例一:
实施例一中身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点。
其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或其它身份提供者间的直连信任路径能够建立起间接信任路径。
如图1所示,具体包括以下步骤:
步骤101,用户向SP请求服务。
用户可以在身份管理中心注册一个帐号(可称为IdMC账号),用户在向SP发起请求时,携带此帐号。
步骤102,SP请求其所属的IdM系统的IdP(受访地IdP)对用户进行身份认证。
SP发起请求时携带此用户的IdMC账号。
步骤103,用户未在此受访地IdP上进行身份注册的情况下(例如受访地IdP与用户已进行身份注册的IdP不在同一信任域中),受访地IdP无法识别IdMC账号,将此请求消息发送至IdMC(例如通过发现或重定向机制发送)。
步骤104,IdMC收到此消息后,根据IdMC账号查找该用户的数据库,在所述用户已经进行身份注册的IdP中选择一个与受访地IdP具有直接信任关系或者间接信任关系的IdP作为备用认证点。
身份管理中心所维护的部分或全部身份提供者属于不同的信任域;两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或其它身份提供者间的直连信任路径能够建立起间接信任路径。
步骤105,IdMC向选定的备用认证点发送认证断言(authenticationassertion),并携带所述用户在此IdP上注册的账户信息。
步骤106,备用认证点对用户的身份信息进行认证,认证成功后,将认证结果转发给受访地IdP。
步骤107,受访地IdP收到认证IdP的认证结果后,因为两者有信任关系,因此验证通过该认证结果,并通知SP可以向用户提供服务。
步骤108,SP收到受访地IdP的通知后,向所述用户提供此用户所请求的服务。
下面以具体实施例一详细说明本实施例一。
图2示出了本具体实施例中IDMC维护的各SP及IDP的关系以及IDP之间的关系。IDMC维护的SP中包括SP1、SP2、SP3,不同SP具有提供不同认证服务的身份提供者(IDP)。用户A在IDMC管理系统中注册有IDMC标识即IDMC-ID(例如为5784939238990),用户A还在每个SP上注册有身份标识。SP1提供的服务为电子邮箱服务,为SP1提供身份认证功能的IDP1,IDP2,IDP3属于同一信任域,用户A在此SP1中的标识为zhangsan126.com。SP2提供的服务为移动电话服务,为SP2提供身份认证功能的IDP3、IDP4、IDP5属于同一信任域,用户A在SP2中的标识为手机号码(130XXXXXXXX)。SP3所提供的服务为即时通信服务(例如QQ、MSN等即时通信工具),为SP3提供身份认证功能的IDP6、IDP7、IDP8属于同一信任域,用户A在SP3中的标识为即时通信帐号。同一信任域内的两两IDP具有直连信任路径。用户A根据需要在IDMC管理的一个或多个IDP上进行身份注册,图中表示各IDP的圆有填充时表示此用户已在此IDP上进行了身份注册,无填充时表示此用户未在此IDP上进行了身份注册。IDP根据需要与其它信任域的IDP建立直连信任路径,图中两IDP间的连接线表示此两IDP建立了直连信任路径。
用户A使用在IDMC注册的帐号IdMC_ID访问SP1,SP1向其身份提供者IDP1请求对用户A进行认证,因用户A未在IDP1上进行身份注册,IDP1无法完成认证,通过一定的发现或重定向机制发送消息至IDMC,IDMC通过IDMC-ID在用户A已进行身份注册的其它IDP中选择一个与IDP1具有直接或间接信任关系的IDP作为备用认证点,生成认证令牌后,向备用认证点发送认证令牌,备用认证点对用户A认证通过后,向IDP1发送认证成功结果,IDP1通知SP1向用户A提供服务。
IDMC选择备用认证点的方式可以是以下方式中的一种:
(1)通过位于同一信任域内IDP间的直接信任关系:
用户A在IDP2上已进行身份注册,IDP1与IDP2位于同一信任域,两者之间具有直连信任路径从而具有直接信任关系,IDMC判断IDP2是用户A已进行身份注册的IDP并查询到IDP1与IDP2之间的直接信任关系,选择IDP2为备用认证点。
(2)通过位于不同信任域内IDP间的直接信任关系:
用户A在IDP4上已进行身份注册,IDP1与IDP4虽然位于不同的信任域,两者之间具有直连信任路径从而具有直接信任关系,IDMC判断IDP4是用户A已进行身份注册的IDP并查询到IDP1与IDP4之间的直接信任关系,选择IDP4为备用认证点。
(3)通过位于不同信任域的交集身份提供者构建起的间接信任路径:
用户A在IDP4上已进行身份注册,IDP1与IDP4位于不同的信任域,两者所在信任域具有交集即IDP3,IDP1与IDP4经由IDP3作为中间节点具有间接信任关系(即IDP1-IDP3-IDP4的路径构成的间接信任关系),IDMC判断IDP4是用户A已进行身份注册的IDP并查询到IDP1与IDP4之间的间接信任关系,选择IDP4为备用认证点。
(4)通过不同信任域内与其它身份提供者间的直连信任路径构建起的间接信任路径:
用户A在IDP7上已进行身份注册,IDP1与IDP7位于不同的信任域,两者所在信任域没有交集,IDP1与IDP7经由IDP4作为中间节点以及IDP1与IDP4的直连信任路径以及IDP4与IDP7的直连信任路径,从而具有间接信任关系(即IDP1-IDP4-IDP7的路径构成的间接信任关系),IDMC判断IDP7是用户A已进行身份注册的IDP并查询到IDP1与IDP7之间的间接信任关系,选择IDP7为备用认证点。
(5)通过不同信任域内信任域间的交集身份提供者和与其它身份提供者间的直连信任路径构建起的间接信任路径:
用户A在IDP7上已进行身份注册,IDP1与IDP7位于不同的信任域,两者所在信任域没有交集,IDP1与IDP7经由IDP3和IDP4作为中间节点,以及IDP1与IDP3的直连信任路径,以及位于同一信任域内的IDP3与IDP4的直连信任路径,以及位于不同信任域内的IDP4与IDP7的直连信任路径从而具有间接信任关系(即IDP1-IDP3-IDP4-IDP7的路径构成的间接信任关系),IDMC判断IDP7是用户A已进行身份注册的IDP并通过IDP1与IDP7之间的间接信任关系,选择IDP7为备用认证点。
在本例中,IDMC管理下的IDP之间可建立起信任关系,用户在请求服务的SP的IdP上没有进行身份注册,但只要该IDP与IDMC管理下的与此IDP具有信任关系的另一IDP具有信任关系,即认证通过,直接从SP获得所请求的服务。本例为用户身份验证提供了一种新的方式,使用户可以实现单点快速登录。
实施例二:
实施例二中,身份管理中心所维护的身份提供者根据需要与所述身份管理中心建立直连信任路径,并且所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述身份管理中心具有直接或者间接信任关系的身份提供者作为备用认证点。
身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。
如图3所示,具体包括以下步骤:
步骤301,用户向SP请求服务;
用户可以在身份管理中心注册一个帐号(可称为IdMC账号),用户在向SP发起请求时,携带此帐号。
步骤302,SP请求其所属的IdM系统的IdP(受访地IdP)对用户进行身份认证。
SP发起请求时携带此用户的IdMC账号。
步骤303,用户未在此受访地IdP上进行身份注册的情况下(例如受访地IdP与用户已进行身份注册的IdP不在同一信任域中),受访地IdP无法识别IdMC账号,将此请求消息发送至IdMC(例如通过发现或重定向机制发送)。
步骤304,IdMC收到此消息后,根据IdMC账号查找该用户的数据库,在所述用户已经进行身份注册的IdP中选择一个与IdMC具有直接信任关系或者间接信任关系的IdP作为备用认证点。
身份管理中心所维护的部分或全部身份提供者属于不同的信任域;身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。
步骤305-308与步骤105至108相同。
下面以具体的实施例二详细说明本实施例二。
图4示出了本具体实施例中IDMC维护的各SP及IDP的关系以及IDP之间的关系。IDMC维护的SP中包括SP1、SP2、SP3,不同SP具有提供不同认证服务的身份提供者(IDP)。用户A在IDMC管理系统中注册有IDMC标识即IDMC-ID(例如为5784939238990),用户A还在每个SP上注册有身份标识。SP1提供的服务为电子邮箱服务,为SP1提供身份认证功能的IDP1,IDP2,IDP3属于同一信任域,用户A在此SP1中的标识为zhangsan126.com。SP2提供的服务为移动电话服务,为SP2提供身份认证功能的IDP3、IDP4、IDP5、IDP6属于同一信任域,用户A在SP2中的标识为手机号码(130XXXXXXXX)。SP3所提供的服务为即时通信服务(例如QQ、MSN等即时通信工具),为SP3提供身份认证功能的IDP6、IDP7、IDP8属于同一信任域,用户A在SP3中的标识为即时通信帐号。同一信任域内的两两IDP具有直连信任路径。用户A根据需要在IDMC管理的一个或多个IDP上进行身份注册,图中表示各IDP的圆有填充时表示此用户已在此IDP上进行了身份注册,无填充时表示此用户未在此IDP上进行了身份注册。IDP根据需要与IDMC建立直连信任路径,图中表示IDP的圆外加有正方形框的表示此IDP与IDMC建立有直连信任路径。
用户A使用在IDMC注册的帐号IdMC_ID访问SP1,SP1向其身份提供者IDP1请求对用户A进行认证,因用户A未在IDP1上进行身份注册,IDP1无法完成认证,IDP1已与IDMC建立起直连信任关系,通过一定的发现或重定向机制发送消息至IDMC,IDMC通过IDMC-ID在用户A已进行身份注册的其它IDP中选择一个与IDMC具有直接或间接信任关系的IDP作为备用认证点,生成认证令牌后,向备用认证点发送认证令牌,备用认证点对用户A认证通过后,向IDP1发送认证成功结果,IDP1通知SP1向用户A提供服务。
IDMC选择备用认证点的方式可以是以下方式中的一种:
(1)通过与IDMC的直接信任关系:
用户A在IDP5上已进行身份注册,并且IDP5与IDMC建立具有直连信任路径具有直接信任关系,IDMC判断IDP5是用户A已进行身份注册的IDP并查询到IDP5与本身之间的直接信任关系,选择IDP5为备用认证点。
(2)通过IDP1与IDMC的间接信任关系,并且以与IDP1位于同一信任域的其他IDP作为中间节点:
用户A在IDP2上已进行身份注册,IDP3与IDMC建立具有直连信任路径,IDP3与IDP1位于同一信任域具有直连信任路径,所以IDP2经由IDP3以及IDP2与IDP3的直连信任路径,以及IDP3与IDMC建立具有直连信任路径与IDMC具有间接信任关系(即IDP2-IDP3-IDMC路径构成的间接信任关系),IDMC判断IDP2是用户A已进行身份注册的IDP并查询到IDP2与本身之间的间接信任关系,选择IDP2为备用认证点。
(2)通过IDP1与IDMC的间接信任关系,并且以与IDP1位于不同信任域的其他IDP作为中间节点:
用户A在IDP7上已进行身份注册,IDP7与IDP1位于不同信任域,IDP3与IDMC建立具有直连信任路径,IDP3与IDP6位于同一信任域,IDP6与IDP7位于同一信任域,IDP6为两个信任域的交集,所以IDP7经由IDP7与IDP6的直连信任路径,以及IDP6与IDP3的直连信任路径,IDP3与IDMC的直连信任路径能够与IDMC建立起间接信任关系(即IDP7-IDP6-IDP3-IDMC路径构成的间接信任关系),IDMC判断IDP7是用户A已进行身份注册的IDP并查询到IDP7与本身之间的间接信任关系,选择IDP7为备用认证点。
本例中,IDP与IDMC之间可建立起直连信任路径,IDMC则作为信任中介,用户在请求服务的SP的IdP上没有进行身份注册,但只要另一用户已进行身份注册的IDP与IDMC具有直接或间接信任关系,即认证通过,直接从SP获得所请求的服务。本例为用户身份验证提供了一种新的方式,使用户可以实现单点快速登录。
实施例三:
实施例二中结合了实施例一和实施例二的应用条件。所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点。两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;
两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。
本实施三中,根据两个IDP间的直接信任关系选择备用认证点的方法与实施例中描述的相同,此处不再赘述。下面以具体实施例三详细说明本实施例三。
图5示出了本具体实施例中IDMC维护的各SP及IDP的关系以及IDP之间的关系。IDMC维护的SP中包括SP1、SP2、SP3,不同SP具有提供不同认证服务的身份提供者(IDP)。用户A在IDMC管理系统中注册有IDMC标识即IDMC-ID(例如为5784939238990),用户A还在每个SP上注册有身份标识。SP1提供的服务为电子邮箱服务,为SP1提供身份认证功能的IDP1,IDP2,IDP3属于同一信任域,用户A在此SP1中的标识为zhangsan126.com。SP2提供的服务为移动电话服务,为SP2提供身份认证功能的IDP4、IDP5属于同一信任域,用户A在SP2中的标识为手机号码(130XXXXXXXX)。SP3所提供的服务为即时通信服务(例如QQ、MSN等即时通信工具),为SP3提供身份认证功能的IDP6、IDP7、IDP8属于同一信任域,用户A在SP3中的标识为即时通信帐号。同一信任域内的两两IDP具有直连信任路径。
用户A根据需要在IDMC管理的一个或多个IDP上进行身份注册,图中表示各IDP的圆有填充时表示此用户已在此IDP上进行了身份注册,无填充时表示此用户未在此IDP上进行了身份注册。
IDP根据需要与其它IDP建立直连信任路径,图中两IDP间的连接线表示此两IDP建立了直连信任路径。
IDP根据需要与IDMC建立直连信任路径,图中表示IDP的圆外加有正方形框的表示此IDP与IDMC建立有直连信任路径。
用户A使用在IDMC注册的帐号IdMC_ID访问SP1,SP1向其身份提供者IDP1请求对用户A进行认证,因用户A未在IDP1上进行身份注册,IDP1无法完成认证,通过一定的发现或重定向机制发送消息至IDMC,IDMC通过IDMC-ID在用户A已进行身份注册的其它IDP中选择一个与IDP1具有直接或间接信任关系的IDP作为备用认证点,生成认证令牌后,向备用认证点发送认证令牌,备用认证点对用户A认证通过后,向IDP1发送认证成功结果,IDP1通知SP1向用户A提供服务。
IDMC选择备用认证点的方式可以是以下方式:
用户A在IDP8上已进行身份注册,IDP1与IDMC不具有直连信任路径,但IDP1与IDP4具有直连信任路径,IDP4与IDMC具有直连信任路径,IDP7与IDMC具有直连信任路径,IDMC可以作为连接IDP4和IDP7的中间节点,IDP7与IDP8具有直连信任路径,所以IDMC判断IDP8是用户A已进行身份注册的IDP并查询到IDP1与IDP8具有间接信任关系,即IDP1-IDP4-IDMC-IDP7-IDP8路径构成的间接信任关系,选择IDP8为备用认证点。
实施例三结合了实施例一和实施例二的优点,使IDMC选择备用认证点的方式更多样化。
以上所述仅为本发明的实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
Claims (10)
1.一种实现身份管理互操作的方法,其特征在于,包括:
用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,身份管理中心选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点,所述备用认证点对所述用户进行成功认证后由所述服务提供者为所述用户提供服务;
所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径;
所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点。
2.如权利要求1所述的方法,其特征在于,
两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;
两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。
3.如权利要求1所述的方法,其特征在于,
所述身份管理中心所维护的身份提供者根据需要与所述身份管理中心建立直连信任路径,并且所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径;所述身份管理中心选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述身份管理中心具有直接或者间接信任关系的身份提供者作为备用认证点。
4.如权利要求3所述的方法,其特征在于,
身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;
位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。
5.如权利要求1所述的方法,其特征在于,
所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;
所述身份管理中心选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点。
6.如权利要求5所述的方法,其特征在于,
两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;
两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。
7.一种实现身份管理互操作的系统,其特征在于,包括身份管理中心;所述身份管理中心,用于管理多个身份提供者;还用于在用户向服务提供者请求服务,所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下,选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点;
作为备用认证点的身份提供者,用于对所述用户进行成功认证后通知所述服务提供者所属身份提供者;
所述服务提供者所属身份提供者,用于收到所述备用认证点的通知后,通知所述服务提供者为用户提供服务;
所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径;
所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点。
8.如权利要求7所述的系统,其特征在于,
两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。
9.如权利要求7所述的系统,其特征在于,
所述身份管理中心所维护的身份提供者,用于根据需要与所述身份管理中心建立直连信任路径;
所述身份管理中心,还用于在所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径的情况下选择备份认证点时,根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;
其中,身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径;位于同一信任域内的任两个身份提供者之间具有直连信任路径,身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。
10.如权利要求7所述的系统,其特征在于,
所述身份管理中心所维护的身份提供者,用于根据需要与其它身份提供者建立直连信任路径,根据需要与所述身份管理中心建立直连信任路径;
所述身份管理中心,还用于在选择备份认证点时,根据各身份提供者之间的直连信任路径以及各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接或者间接信任关系的身份提供者作为备用认证点;
其中,两个身份提供者具有直接信任关系是指两者属于同一信任域,或者两者不属于同一信任域但两者具有直连信任路径;两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过与其它身份提供者间的直连信任路径以及作为中间节点的身份管理中心能够建立起间接信任路径。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010161215.3A CN102215107B (zh) | 2010-04-12 | 2010-04-12 | 一种实现身份管理互操作的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010161215.3A CN102215107B (zh) | 2010-04-12 | 2010-04-12 | 一种实现身份管理互操作的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102215107A CN102215107A (zh) | 2011-10-12 |
| CN102215107B true CN102215107B (zh) | 2015-09-16 |
Family
ID=44746249
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010161215.3A Active CN102215107B (zh) | 2010-04-12 | 2010-04-12 | 一种实现身份管理互操作的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102215107B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109450877B (zh) * | 2018-10-25 | 2021-05-25 | 北京九州云腾科技有限公司 | 基于区块链的分布式IDaaS身份统一认证系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388773A (zh) * | 2007-09-12 | 2009-03-18 | 中国移动通信集团公司 | 身份管理平台、业务服务器、统一登录系统及方法 |
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
| CN101567878A (zh) * | 2008-04-26 | 2009-10-28 | 华为技术有限公司 | 提高网络身份认证安全性的方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8499153B2 (en) * | 2004-06-24 | 2013-07-30 | Nokia Corporation | System and method of authenticating a user to a service provider |
| US20060021018A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
-
2010
- 2010-04-12 CN CN201010161215.3A patent/CN102215107B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388773A (zh) * | 2007-09-12 | 2009-03-18 | 中国移动通信集团公司 | 身份管理平台、业务服务器、统一登录系统及方法 |
| CN101567878A (zh) * | 2008-04-26 | 2009-10-28 | 华为技术有限公司 | 提高网络身份认证安全性的方法和装置 |
| CN101399671A (zh) * | 2008-11-18 | 2009-04-01 | 中国科学院软件研究所 | 一种跨域认证方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102215107A (zh) | 2011-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109819061B (zh) | 一种在云系统中处理云服务的方法、装置和设备 | |
| TWI333776B (en) | Method, apparatus and article to remotely associate wireless communications devices with subscriber identities and /or proxy wireless communications devices | |
| CN101582769B (zh) | 用户接入网络的权限设置方法和设备 | |
| CN104040964B (zh) | 跨服务区通信的方法、装置和数据中心网络 | |
| CN102171984A (zh) | 服务提供者访问 | |
| CN101771677A (zh) | 一种向访问用户提供资源的方法、服务器和系统 | |
| CN101001144B (zh) | 一种实体认证中心实现认证的方法 | |
| CN104159225A (zh) | 一种基于无线网络的实名制管理方法及系统 | |
| WO2014026587A1 (zh) | 发现机器对机器业务的方法、设备及系统 | |
| JP5461574B2 (ja) | 接続エクスチェンジを使用したユビキタス無線接続および無線接続をエクスチェンジするためのマーケットプレイスの提供 | |
| CN108881309A (zh) | 大数据平台的访问方法、装置、电子设备及可读存储介质 | |
| KR20150137518A (ko) | 하이브리드 클라우드기반 ict서비스시스템 및 그 방법 | |
| CN101867589A (zh) | 一种网络身份认证服务器及其认证方法与系统 | |
| CN112533177A (zh) | 一种提供、发现移动边缘计算的方法及设备、装置、介质 | |
| CN100488137C (zh) | 网络附着子系统中的用户相关信息关联方法、系统和装置 | |
| CN101291220A (zh) | 一种身份安全认证的系统、装置及方法 | |
| US20060171382A1 (en) | Method and arrangement for externally controlling and managing at least one wlan subscriber who is assigned to a local radio network | |
| CN102215107B (zh) | 一种实现身份管理互操作的方法及系统 | |
| CN112104680B (zh) | 一种确定边缘应用的方法、装置、设备及存储介质 | |
| CN102217344B (zh) | 号码携带实现方法和互联互通网关 | |
| CN101321100B (zh) | 一种通信方法和系统、及家用基站 | |
| CN113676855B (zh) | 携号转网方法、携号转网服务器、运营商服务器 | |
| US8683073B2 (en) | Participating with and accessing a connectivity exchange | |
| KR101597035B1 (ko) | 하이브리드 클라우드기반 아이씨티 서비스시스템을 이용한 소프트웨어 등록처리방법 | |
| CN107395416A (zh) | 一种数据发送方法及服务器集群 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information |
Inventor after: Li Xiaobo Inventor before: Chen Jianyong Inventor before: Yuan Quan Inventor before: Lin Zhaoji |
|
| CB03 | Change of inventor or designer information | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170327 Address after: 563000 Guizhou, Chishui City, Riverside West Road, Royal water blue sky city, building two floor Patentee after: Chishui good life wisdom property Limited by Share Ltd. Address before: Tianhe District Tong East Road Guangzhou city Guangdong province 510665 B-101 No. 5, room B-118 Patentee before: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Effective date of registration: 20170327 Address after: Tianhe District Tong East Road Guangzhou city Guangdong province 510665 B-101 No. 5, room B-118 Patentee after: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Address before: 518057 Nanshan District Guangdong high tech Industrial Park, South Road, science and technology, ZTE building, Ministry of Justice Patentee before: ZTE Corp. |
|
| TR01 | Transfer of patent right | ||
| CP03 | Change of name, title or address |
Address after: 563000 3-1-2, floor 1, unit 3, building 1, xingfuli, guifujin street, Chishui City, Zunyi City, Guizhou Province Patentee after: Guizhou Haosheng Intelligent Property Co.,Ltd. Address before: 563000 Guizhou, Chishui City, Riverside West Road, Royal water blue sky city, building two floor Patentee before: Chishui good life wisdom property Limited by Share Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 564799 3-1-2, floor 1, unit 3, building 1, Xingfu lane, guifujin street, Chishui City, Zunyi City, Guizhou Province Patentee after: Guizhou Haosheng Intelligent Service Co.,Ltd. Address before: 563000 3-1-2, floor 1, unit 3, building 1, Xingfu lane, guifujin street, Chishui City, Zunyi City, Guizhou Province Patentee before: Guizhou Haosheng Intelligent Property Co.,Ltd. |
|
| CP03 | Change of name, title or address |