CN105493064B - 身份管理系统 - Google Patents
身份管理系统 Download PDFInfo
- Publication number
- CN105493064B CN105493064B CN201380077888.2A CN201380077888A CN105493064B CN 105493064 B CN105493064 B CN 105493064B CN 201380077888 A CN201380077888 A CN 201380077888A CN 105493064 B CN105493064 B CN 105493064B
- Authority
- CN
- China
- Prior art keywords
- idm
- idm component
- request
- network
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
描述了用于验证具有多个IDM组件的网络中的客户装置的系统。IDM组件中的一个或更多预订(使用公布‑预订消息模式)由客户装置公布的验证请求。客户装置公布验证请求至网络中。选择处理公布的验证请求的最适当的IDM组件,并且验证请求被转发至选择的IDM组件。选择的IDM组件然后被操作来与客户装置协商以及验证客户装置。
Description
技术领域
本公开涉及一种身份管理系统。具体来说,本发明涉及可在分布式系统中使用的可缩放身份管理系统。
背景技术
身份和访问管理(IDM)是基于计算的系统和网络的重要组件。IDM的目的是允许合法用户访问资源。IDM系统已经在这些年中演进,从集中式到分布式访问控制、从多个登录到单个注册机制、从后端联合到前端联合等。IDM适当的性质取决于整个系统的性质。
分布式系统(比如云)的引入带来IDM系统的新的特征和挑战。云提供无限资源的提取给消费者。使用称为多租赁的概念,云的资源在消费者(租户)之间共享。这允许多个租户以按使用支付为基础来共享(使用)相同的物理资源。云系统的主要特性之一是可缩放性和弹性。可缩放性确保云提取的资源基于系统的负载增加或降低(横向缩放)它们的容量。为了确保此,基于云的服务以模块型式来设计,使得每个服务能够通过增加或者删除那个服务的实例来被缩放。这也应用至身份和访问管理系统。
在云中,云服务提供者(CSP)将要求容易的方式来控制对系统中资源的访问。致力于这个要求的一个方式是通过集中式IDM解决方案。集中式访问控制的一个可能的方法在图1中示出,图1是包括客户101、身份服务器102和两个服务提供者103、104的网络100的元件的示意图。如果客户101希望访问由服务提供者中的一个103提供的服务,它通过身份服务器102验证自身。作为验证过程的结果,断言令牌被返回至客户101。这个令牌随后由客户101使用以提供身份(和/或使用请求的服务的授权)的证明给服务提供者103,其能够被认为作身份消费者。可以是客户能够访问不同的服务,例如从另一个服务提供者104,而不首先必须获得特定的断言令牌。
这个方法由许多计算机系统广泛使用。典型的网络验证协议在用户-服务器型式中提供相互验证(即,用户和服务器彼此验证)。一个可能的方法涉及通过验证服务器的用户验证,从而接收对于具体服务的“票”。所述“票”被进一步用于访问所期望的服务。这个方法的缺点是集中式的验证服务器,其表现单点故障。
相比之下,分布式验证机制通常允许用户以及依赖于身份的证明的当事者(身份消费者)来从身份提供者的集合挑选用于验证的身份提供者。这消除对具有用于用户验证的单个身份提供者的需要。关于这个方法的问题是信任锚的建立——即,由身份消费者建立身份提供者的信任。
集中式身份系统提供对于系统的容易的维护和控制。但是,归因于单点故障的问题,集中化对于云和分布式系统不是好的选择。在云准备系统(应用)中,所有组件应该是弹性的和横向可缩放的。当前可用的集中式身份管理系统没有实现这个性质。实现集中式身份系统的控制灵活性和分布式系统的可缩放性两者因此将是所期望的。
发明内容
依照本发明的一个方面,提供了一种具有多个IDM组件的网络中的客户装置。所述客户装置包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器生成对于验证的请求以及经由可操作地连接至所述处理器的输入/输出单元来公布所述验证请求至所述网络。所述验证请求使用公布-预订消息模式公布。所述指令进一步促使所述处理器从所述网络中的IDM组件中的一个接收验证启动消息,以及协商来自所述IDM组件的验证信息的接收。每个IDM组件可以具有关于所述验证过程的它自己的性能的集合。
所述指令可以被配置成促使所述处理器请求来自所述网络中服务提供者的服务以及发送所述验证信息至所述服务提供者。所述验证信息可以包括断言令牌,其是可选地服务特定的。
来自所述IDM组件的验证启动消息可以包括所述IDM组件的证书,以及所述指令可以被配置成促使所述处理器检验所述证书。所述协商可以包括与所述IDM组件的安全会话的建立。
验证请求可以包括所述客户装置的操作参数。这可以包括所述客户装置的性能(例如,所述客户装置是移动的或者支持具体的验证协议)或者偏好(例如,IDM组件应该位于具体的区域中,IDM组件应该支持两个因子验证机制)。
依照本发明的另一个方面,提供了一种具有多个IDM组件的网络中的IDM组件。所述IDM组件包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器经由输入/输出单元预订在所述网络中公布的验证请求。所述指令进一步促使所述处理器接收由客户装置公布的验证请求,启动与所述客户装置的协商,以及验证所述客户装置或者所述客户装置的用户。
客户装置的验证可以包括发送断言令牌至所述客户装置。
指令可以被配置成促使所述处理器从所述网络中的服务提供者接收检验请求,所述检验请求包括所述客户装置或者用户的标识符或者所述断言令牌,以及检验至所述服务提供者的所述客户装置或者用户的验证或者所述断言令牌。所述IDM组件通过预订所述网络中公布的检验请求可以得到所述检验请求,如此从所述服务提供者接收的检验请求是使用公布-预订消息模式的由所述服务提供者公布的检验请求。
对所述验证请求(和/或检验请求)的预订可以是在所述网络中的代理者。所公布的验证请求和/或检验请求可以从所述代理者被接收。所述预订可以包括所述IDM组件的性能的细节,比如所述IDM组件的区域、对所述IDM组件可用的验证协议、IDM组件的可用性、当前正由IDM组件处理的验证的数量。
所述验证协商可以包括发送证书至所述客户装置。所述证书可以从信任的域中的认证管理机构得到。所述指令可以被配置成促使所述处理器与所述网络中的其它IDM组件共享验证状态。换言之,每个IDM组件能够独立地工作,需要与其它此类IDM组件仅共享所述验证状态。
因此,认证管理机构能够有效地“委派”验证至分布式IDM组件。由于来自信任的域的所述证书,所述IDM组件能够由所述客户信任。但是,所述客户不需要知道联系哪个IDM组件,以及仅需要公布验证请求,其被转发(可选地由代理者)以及允许最适当的IDM节点的选择。一个IDM组件因此能够选自具有各不相同的性能的多个IDM组件,而所述用户不需要作出这个选择。所述IDM组件能够共享验证状态。这通过解耦合所述验证过程而移除所述用户与所述IDM组件之间的捆绑:断言生成和检验步骤可以由不同组件实施。此外,所述IDM组件可以预订特定格式的验证请求,例如,那些在其中所述客户指定操作的偏好以及它的身份的,其帮助对于所述IDM组件开始与所述客户的协商的稍后阶段。
依照本发明的另一个方面,提供了一种具有分布式IDM组件的网络中的服务提供者。所述服务提供者包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器经由输入/输出装置从所述网络中的客户装置接收服务请求,所述服务请求包括所述客户的验证和/或断言令牌和所述网络中的IDM组件中的一个的标识。所述指令进一步被配置成促使所述处理器发送检验请求至所述IDM组件,从所述IDM组件接收所述用户验证和/或断言令牌的检验,以及递送所请求的服务至所述客户装置。
备选地,所述服务提供者可以通过公布检验请求而不是直接联系所述IDM组件来请求检验。因此,依照本发明的另一个方面提供了一种具有分布式IDM组件的网络中的服务提供者。所述服务提供者包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器经由输入/输出装置从所述网络中的客户装置接收服务请求,所述服务请求包括所述客户的验证和/或断言令牌。所述指令进一步被配置成促使所述处理器公布检验请求至所述网络,从所述网络中的IDM组件中的一个接收所述用户验证和/或断言令牌的检验,以及递送所请求的服务至所述客户装置。
依照本发明的另一个方面提供了一种具有分布式IDM组件的网络中的会合(RV)节点或者代理者。所述代理者包括处理器和存储器。所述存储器包括由所述处理器可执行的指令以便促使所述处理器经由输入/输出装置从所述IDM组件中的至少一个接收对验证请求的预订(813)。所述指令进一步被配置成促使所述处理器接收由所述网络中客户装置公布的验证请求,确定所述预订是否匹配所公布的验证请求,以及转发所述验证请求至所述至少一个IDM组件中的一个。
所述指令可以被配置成促使所述处理器来确定包括在所述预订中的所述IDM组件的性能是否适合于所述验证请求。
所述指令可以配置成促使所述处理器从所述IDM组件或者所述网络中的另一个IDM组件接收对检验请求的预订,接收由所述网络中服务提供者公布的检验请求,确定所述预订是否匹配所公布的检验请求,以及转发所述检验请求至所述IDM组件。
依照本发明的另一个方面提供了一种验证具有多个IDM组件的网络中的客户装置的方法。所述方法包括,在所述客户端装置,使用公布-预订消息模式公布验证请求至所述网络。所述客户装置从所述网络中的IDM组件中的一个接收验证启动消息,以及协商来自所述IDM组件的验证信息的接收,所述验证信息可选地包括断言令牌。所述客户装置可以从所述网络中的服务提供者请求服务以及发送所述断言令牌至所述服务提供者以提供对于服务递送的授权(要求权的证明)。
依照本发明的另一个方面提供了一种验证具有多个IDM组件的网络中的客户装置的方法。所述方法包括,在所述IDM组件中的一个,预订所述网络中的验证请求。所述IDM组件接收由客户装置公布的验证请求,启动与所述客户装置的协商,以及验证所述客户装置,在所述协商之后可选地发送断言令牌至所述客户装置。
所述IDM组件可以从所述网络中的服务提供者(202)接收检验请求,所述检验请求包括所述客户装置的标识符或者所述断言令牌,以及检验至所述服务提供者的断言令牌或者所述客户装置的验证。作为预订所述网络中公布的检验请求的结果,所述检验请求可以被接收,在此情形下,从所述服务提供者接收的所述检验请求是由所述服务提供者公布的检验请求。
所述方法可以包括所述IDM组件在所述网络中的代理者预订所述验证请求,以及从所述代理者接收所公布的验证请求。
所述方法可以包括在所述网络中的IDM组件之间分配信息。
依照本发明的另一个方面提供了一种在具有多个IDM组件的网络中提供服务的方法。所述方法包括,在服务提供者,从所述网络中的客户装置接收服务请求,所述服务请求包括所述网络中IDM组件中的一个的标识和断言令牌和/或所述客户的验证。所述服务提供者发送检验请求至所述IDM组件,从所述IDM组件接收所述客户验证和/或断言令牌的检验,以及递送所请求的服务至所述客户装置。
依照本发明的另一个方面提供了一种在具有多个IDM组件的网络中提供服务的方法。所述方法包括,在服务提供者,从所述网络中的客户装置接收服务请求,所述服务请求包括所述客户的验证和/或断言令牌。所述服务提供者公布检验请求至所述网络中,从所述IDM组件中的一个接收所述客户验证和/或断言令牌的检验,以及递送所请求的服务至所述客户装置。
依照本发明的另一个方面提供了一种在具有分布式IDM组件的网络中代理验证请求的方法。所述方法包括在代理者从所述网络中的IDM组件接收对验证请求的预订。所述代理者进一步接收由所述网络中的客户装置公布的验证请求,确定所述预订是否匹配所公布的验证请求,以及转发所述验证请求至所述IDM组件。所述方法可以进一步包括所述IDM组件将接收的验证请求与预订的IDM组件的性能匹配。
依照本发明的另一个方面提供了一种验证在具有多个IDM组件的网络中的客户装置的方法。所述方法包括所述IDM组件中的一个或更多个预订由客户装置公布的验证请求,以及所述客户装置公布验证请求至所述网络中。所述方法进一步包括所述网络或者代理者选择最适当的IDM组件以处理所公布的验证请求以及转发所述验证请求至所选择的IDM组件,以及操作所选择的IDM组件来与所述客户装置协商以及验证所述客户装置。
选择(404)最适当的IDM组件以处理所公布的验证请求以及转发所述验证请求至所选择的IDM组件的步骤可以在所述网络中的代理者被实施。所述一个或更多IDM组件可以在所述代理者预订验证请求。所述代理者可以将接收的验证请求与预订的IDM组件的性能匹配。
所述网络可以包括多个代理者,以及所述方法可以进一步包括监视通过所有所述代理者和/或IDM组件的业务,识别什么时候至一个或者更多IDM组件的业务超过了预定的阈值,以及供应另外的IDM组件。
所述客户装置的验证可以包括从所述IDM组件发送断言令牌至所述客户装置。所述方法可以进一步包括所述客户装置请求来自所述网络中的服务提供者(202)的服务(409)以及发送所述断言令牌至所述服务提供者以提供对于服务递送的授权。
所述服务提供者可以公布检验请求至所述网络。一个或更多IDM组件可以预订检验请求。可以选择处理所述检验请求的最适当的IDM组件,所述检验请求被转发至所选择的IDM组件;以及所选择的IDM组件被操作以与所述服务提供者协商以及检验至所述服务提供者的所述断言令牌。
本发明还提供一种计算机程序,其包括计算机可读代码,所述代码当在装置上运行时促使所述装置表现为以上所描述的装置。
本发明还提供一种计算机程序,其包括计算机可读代码,所述代码当在装置上运行时促使所述装置执行以上所描述的方法。
本发明还提供一种存储器,其包括如以上描述的计算机程序以及计算机可读部件,所述计算机程序存储在所述部件上。所述存储器可以以计算机程序产品的形式被布置。
本发明还提供一种容器或者载体,其包括以上所描述的客户装置。
附图说明
现在将仅以示例的方式以及参考附图来描述本发明一些优选的实施例,其中:
图1是具有集中式身份管理提供者的网络的元件的示意图;
图2是具有分布式IDM系统的网络的元件的示意图;
图3是具有备选的检验路径的类似于图2的网络的元件的示意图;
图4是示出用于图3的网络中服务供应的实现的示例工作流程的信令图;
图5A和5B是示出客户装置的备选实现的示意图;
图6A和6B是示出IDM组件的备选实现的示意图;
图7A和7B是示出服务提供者的备选实现的示意图;
图8A和8B是示出会合(RV)点的备选实现的示意图;以及
图9是示出包括客户装置的载体的示意图。
具体实施方式
图2是具有分布式身份管理(IDM)系统的网络200的元件的示意图。所述分布式IDM系统利用消息导向的构架,比如公布-预订模式。公布/预订是由公布者(发送者)和预订者(接收者)组成的消息模式。公布者公布消息(信息)而不知道谁将消费消息:消息不被发送至特定接收者。预订者基于特定的主题或兴趣来消费消息。许多公布/预订范例包括公布者与预订者之间中的代理者以实行消息的过滤。预订者向代理者登记,所述代理者一般被称为会合(RV)点。
图2的网络200包括客户201以及一个或更多服务提供者202、203。另外,网络包括多个IDM组件204、205、206和一个或更多RV点(代理者)207、208。
IDM组件204-206共同地表现分布式验证提供者。单独的IDM组件204、205可以预订S1RV点207、208中的一个或更多以确认这些IDM组件可用来提供对于一些或者所有用户的验证。例如,一个IDM组件204可以可用来验证具体区域中的用户,或者操作具体验证协议的用户,或者甚至直到预先确定的最大量的多个用户。发送至RV点207、208的预订包括可以包括任何此类约束的细节。
当用户希望访问服务,客户201公布对于验证的请求S2。请求可以包括客户和/或用户的身份,以及还可以包括所述服务(对于所述服务,验证被要求)的指示。公布的请求由至少一个RV点(代理者)207接收,其登记请求。将领会,验证能够被应用至涉及能够被验证的装置的任何东西:示例包括SIM(以任何形式)、预订或者单独的人或者物,但不限于此类实体。
RV 207维持来自一个或更多IDM组件的预订,以及搜索在预订的要求(例如,用户位于的区域)与验证请求的细节之间的匹配。当匹配被找到,RV 207委派客户的希望请求至IDM组件中的一个204。IDM组件204直接与客户201通信以及执行协商和验证操作S3,促使(如果成功)至客户201的断言令牌的递送。将领会,可以存在一个或许多潜在的IDM组件204、205,它们所有都有能力解决相同的验证请求。这确保身份操作的高可用性。如果必需,RV 207挑选一个IDM组件(在许多登记的预订者间)以用于具体客户请求。在多于一个IDMRV接收验证请求的相同公布的情况中,它们可以在它们自身间协商以选择IDM组件。
在完成验证过程后,客户201接收一些形式的验证信息,其可以包括断言令牌。客户形成服务请求S4至服务提供者(身份消费者)202中的一个,使用断言令牌作为身份的证明。服务又检验断言S5。在图2中示出的实现中,这个检验通过服务提供者与IDM组件204直接通信来实现。这要求IDM组件204在验证过程期间包括它自己的身份至客户,以便客户能够递送这个身份至服务提供者202上,以及然后服务提供者能够联系相同的IDM组件204来检验断言令牌。
用于服务提供者检验断言令牌的备选的实现在图3中示出。步骤S1至S4与图2中示出的那些相同,但是在这个实现中,服务提供者202和IDM组件204再次使用公布/预订消息模式来辅助检验过程。一旦服务提供者202已经接收服务请求和断言令牌S4,它公布对于断言令牌检验的请求S6。IDM组件204-206被预订RV点(代理者)207、208以用于检验以及用于验证,以及RV点中的一个207选择合适的被预订它的IDM组件204,以用于解决断言检验希望。选择的IDM组件204然后在步骤S7中联系服务提供者201以检验断言令牌是合法的。
将领会,IDM组件204-206可以彼此共享验证状态,因此能够是由RV 207选择的另一个IDM组件来联系服务提供者202以及检验断言令牌。IDM组件不需要维持状态——在一个实现中,它们将每个成功的断言令牌连同令牌策略存储至共享的数据库(图3中未示出)。IDM组件将访问共享的数据库以查找断言令牌的当前状态。这具有另外的优点,没有IDM组件204是单点故障,甚至在验证的完成与断言令牌的检验之间:如果必需,另一个IDM组件能够完成检验过程。这个方法还使得使用任何最适当的(考虑到可用的资源)IDM组件是可能的。
图4是包括用于图3中示出的实现的示例流程图的信令图,示出客户201、服务提供者202、RV点(代理者)207以及两个IDM组件204、205之间的过程。对此讨论来说,能够假定客户装置具有机制(预装的或者通过一些信任的部件)来检验IDM组件的证书:这在以下更详细地讨论。每个IDM组件204、205可以具有由信任的证书管理机构所签署的公开的/秘密的密钥对。在云系统的情况下,其能够是云提供者的认证管理机构。
401、402.IDM组件203、205预订RV点207以用于验证请求和检验请求。
403.客户201公布验证请求,其由RV点207接收。
404.RV点207实行匹配和过滤操作来挑选满足验证请求的最适当IDM组件。
405.RV点207转发验证请求至最适当的IDM组件204。
406.IDM组件204开始与客户的验证协商。例如,IDM组件204发送协商启动消息(包括它的证书)至客户201。客户201检验证书。客户建立与IDM组件204的安全会话。客户201通过例如呈现用户名和密码对来证实它的用户要求权。
407.IDM组件204检验用户要求权以及对于有效的用户要求权而生成断言令牌。
408.IDM组件204发送断言令牌至用户201。
409.用户201连同断言令牌转发服务请求至有意的服务提供者(身份消费者)202。
410.服务提供者202公布检验请求,其由RV点207接收。
411.RV点207实行匹配和过滤操作以挑选最适当的IDM组件204来致力于检验请求。这可以是与用于初始验证过程的IDM组件相同的IDM组件204,或者可以是不同的一个。在此示例中,示出为相同的一个。
412.RV点207转发检验希望请求至所挑选的IDM组件204。
413.在交换断言令牌之前,IDM组件204(用于检验)和服务提供者202应该建立信任,例如通过预共享的证书。IDM组件204相对断言令牌的策略来检验断言令牌。如果有效,它发送正回复至服务。
414.在这个阶段,服务提供者202已经证实用户的身份并且开始进行履行用户请求。
在步骤404和411中可以被实施的过滤操作包括(但是不限于):
1.如果所有IDM组件204-206是忙碌的,RV 207将消息排队。
2.如果RV 207能够识别用户属于具体区域,它能够转发请求至那个区域中的IDM组件204。
3.如果用户请求包括具体的过滤准则,RV207在转发步骤期间能够履行此。
4.RV 207能够转发消息至处理协议特定验证的IDM组件:例如,一个IDM组件可以负责用户名/密码验证,以及另一个IDM组件可以负责基于PKI的验证。
5.RV 207可以开始另一个IDM组件以处理系统负载,或者可以联系另一个实体来使得这个其它实体能够这样做。
图5A是示出客户装置201的一个实现的一些结构的示意图。客户装置201包括处理器510、存储器511以及用于与网络中的其它元件通信的输入/输出单元512。存储器511包括由处理器510可执行的指令以操作输入/输出单元512,以及进一步包括验证请求生成模块513(其具有促使处理器生成验证请求的指令)以及验证请求公布模块514(其促使处理器公布那个请求)。存储器还包括验证协商模块515(其包括用于处理器协商验证信息的接收的指令,所述验证信息比如来自IDM组件的断言令牌),以及服务请求模块516(其包括用于处理器发行服务请求(包括验证信息)至服务提供者的指令)。指令513-516可以是以软件的形式,所述软件从比如CD、DVD或者磁盘的软件产品517引入至存储器中。
图5B示出客户装置201的备选实现,其中以上描述的软件模块已经由硬件模块513B、514B、515B、516B所代替。
图6A是示出IDM组件204的一个实现的一些结构的示意图。IDM组件包括处理器610、存储器611以及用于与网络中的其它元件通信的输入/输出单元612。存储器611包括由处理器610可执行的指令以操作输入/输出单元612,以及进一步包括预订模块613(其具有促使处理器在一个或者更多代理者预订验证或者检验请求的指令),以及验证请求接收模块614(其促使处理器接收来自代理者的请求)。存储器还包括协商启动模块615(其包括用于在验证请求的接收之后处理器发送协商启动信息(可能包括证书)至客户装置的指令),以及验证模块616(其包括用于处理器验证客户装置的指令)。类似的模块的集合也可以被用于来自服务提供者的检验的请求。指令613-616可以是以软件的形式,所述软件从比如CD、DVD或者磁盘的软件产品617引入至存储器中。
图6B示出IDM组件204的备选实现,其中以上描述的软件模块已经由硬件模块613B、614B、615B、616B所代替。
图7A是示出服务提供者202的一个实现的一些结构的示意图。服务提供者202包括处理器710、存储器711以及用于与网络中的其它元件通信的输入/输出单元712。存储器711包括由处理器710可执行的指令以操作输入/输出单元712,以及进一步包括服务请求接收模块713(其具有促使处理器从客户装置接收服务请求(包括断言令牌或者其它授权)的指令),以及发送/公布验证请求模块714(其促使处理器发送验证请求至特定的IDM模块(在图2的实现中)或者公布验证请求(在图3的实现中))。存储器还包括检验接收模块715(其包括用于处理器从IDM组件接收检验的指令),以及服务递送模块716(其包括用于处理器提供请求的服务至客户装置的指令)。指令713-716可以是以软件的形式,所述软件从比如CD、DVD或者磁盘的软件产品717引入至存储器中。
图7B示出服务提供者202的备选实现,其中以上描述的软件模块已经由硬件模块713B、714B、715B、716B所代替。
图8A是示出代理者(比如RV点207)的一个实现的一些结构的示意图。代理者207包括处理器810、存储器811以及用于与网络中的其它元件通信的输入/输出单元812。存储器811包括由处理器810可执行的指令以操作输入/输出单元812,以及进一步包括预订接收者模块813(其具有促使处理器从网络中的IDM组件接收预订的指令),以及验证请求接收者模块814(其促使处理器从客户装置和服务提供者接收公布的验证请求和/或检验请求)。存储器还包括公布/预订匹配模块815(其包括用于处理器将公布的验证或检验请求与持有的预订匹配以及指派IDM组件至每个验证或者检验请求的指令),以及验证请求转发模块816(其包括用于处理器转发每个验证或者检验请求至对应的所选择IDM模块的指令)。指令813-816可以是软件的形式,所述软件以从比如CD、DVD或者磁盘的软件产品817引入至存储器中。
图8B示出RV点207的备选实现,其中以上描述的软件模块已经由硬件模块813B、814B、815B、816B所代替。
图9是示出包括客户装置201的载体901的示意图。
为了以上描述的系统有效地操作,服务提供者能够信任由IDM组件提供的验证是重要的。信任的系统在控制的域中容易实现。但是,在典型的情形下,分布式系统包括信任的和未信任的组件。致力于这个问题的一个可能的信任模型在以下描述。
用户访问服务以及拥有验证凭证。
客户装置201由用户使用来访问服务。能够假定客户装置是被信任的。
在检验服务提供者的可靠性之前,用户不能够信任服务提供者,以及服务提供者202、203不信任用户。能够存在恶意的服务,其重新使用断言令牌,假装是向另一个服务的用户。
IDM组件204、205、206实行用户的验证,生成验证断言,以及实行断言检验。存在信任的实体。但是,能够存在恶意的组件,因此在通信之前组件身份必需被检验。
RV点(代理者)207、208担当消息匹配和过滤点。它们是这个模型中未被信任的参与者。它们能够被认为是活跃的网络对手,其偷听、截取和合成消息。
所有其它组件(包括提到的实体之间的网络)是未被信任的。
以上描述的过程不要求新的验证协议,而是使用现存的验证机制能够实现可缩放性。
一旦预订已经被设立,向RV的第一消息(图4中的消息403)是来自客户201的验证请求。活跃的攻击者(恶意RV)能够变更客户的请求消息或者重定向用户至恶意IDM组件。
IDM组件204在验证期间与客户201建立会话(图4中的步骤406)。在这个过程期间,客户201确定是它正在与可靠的IDM组件通信。建立IDM组件的可靠性的一个方法是由客户检验它的证书。假设存在许多IDM组件,以及数量可以动态地改变,这能够造成问题。对这个问题的一个解决方案是所有IDM组件具有来自信任的域的证书(通过信任的CA)以及客户能够使用预下载的(或者预装的)相同信任的域的证书来检验IDM组件的证书。
在图4的消息409中,客户201递送断言令牌至服务提供者(身份消费者)202作为要求权的证明。客户201需要例如通过检验服务证书来确保它正在递送断言令牌至用户有意的服务提供者。这将预防递送断言令牌至未信任的当事者。其它机制也能够被采用在断言令牌上。例如,断言令牌可以具有时间限制,以及客户必须在它到期之前递送它至服务提供者。断言令牌还可以是服务特定的——即,仅对于具体服务有效。
从服务提供者(身份消费者)至RV 207的断言令牌检验(消息410,图4)能够是公布请求,指示它想要检验一些身份断言。RV 207转发请求至预订者(IDM组件)。每个服务提供者应该设立必需的机制来检验IDM组件的可靠性,例如,服务提供者和IDM组件之间的相互验证。在一个实现中,可以是用户断言令牌自身被从服务提供者202传递至IDM组件204以用于检验。
以上描述的方法的可缩放性对IDM组件的数量的动态控制有用。配合实体(orchestration entity)或者服务器(未示出)可以监视通过所有RV点207、208的业务以及识别什么时候至具体IDM组件的业务超过阈值,或者什么时候至IDM组件的所有业务超过阈值,在那个点,它可以供应一个或更多另外的IDM组件以应付另外的负载。类似地,如果至一个或者更多现存IDM组件的业务落至阈值以下,它们可以退役(如果必需)。类似地,如果一个IDM组件故障,配合服务器能够供应代替。
因此以上描述的系统提供多个工作者(组件)以用于身份和访问控制分辨力——两者都用于身份消费者(例如,服务提供者)的用户验证(断言生成)以及断言检验。这对于身份系统提供可缩放性和弹性。现存的验证协议能够被集成在系统内。
将领会,从以上提供的示例的变化可以仍然落入本发明的范围内。例如,虽然RV点或者代理者具有它们能够提供的智能过滤的用途,但是在没有它们的情况下实现系统是可能的。IDM组件能够预订由客户装置和/或服务提供者公布的消息以及作用于这些消息而没有由RV点或代理者提供的过滤。
Claims (23)
1.一种具有多个身份管理IDM组件(204,205,206)的网络(200)中的客户装置(201),所述客户装置包括:
处理器(510)和存储器(511),所述存储器包括能够由所述处理器执行的指令以便促使所述处理器:
生成对于验证(513)的请求;
使用公布-预订消息模式经由能够操作地连接至所述处理器的输入/输出单元(512)来公布验证请求(514)至所述网络中;
从所述网络中的IDM组件(204)中的一个IDM组件接收验证启动消息;以及
协商来自所述IDM组件的验证信息(515)的接收。
2.如权利要求1所述的客户装置,其中,所述指令被配置成促使所述处理器请求来自所述网络中的服务提供者(202)的服务(516)以及发送所述验证信息至所述服务提供者。
3.如权利要求1或2所述的客户装置,其中,所述验证信息包括断言令牌。
4.如权利要求3所述的客户装置,其中,所述断言令牌是服务特定的。
5.如权利要求1或2所述的客户装置,其中,来自所述IDM组件(204)的验证启动消息包括所述IDM组件的证书,以及所述指令被配置成促使所述处理器检验所述证书。
6.如权利要求1或2所述的客户装置,其中,所述指令被配置使得所述协商(515)包括与所述IDM组件的安全会话的建立。
7.如权利要求1或2所述的客户装置,其中,所述验证请求包括所述客户装置的操作参数。
8.一种具有多个身份管理IDM组件的网络(200)中的IDM组件(204),所述IDM组件包括:
处理器(610)和存储器(611),所述存储器包括能够由所述处理器执行的指令以便促使所述处理器:
经由输入/输出单元(612)预订(613)在所述网络中公布的验证请求;
接收由客户装置(201)公布的验证请求(614);
启动与所述客户装置的协商(615);以及
验证(616)所述客户装置或者所述客户装置的用户。
9.如权利要求8所述的IDM组件,其中,所述客户装置的验证包括发送断言令牌至所述客户装置。
10.如权利要求9所述的IDM组件,其中,所述指令被配置成促使所述处理器:
从所述网络中的服务提供者(202)接收检验请求,所述检验请求包括所述客户装置或者用户的标识符或者所述断言令牌;以及
检验至所述服务提供者的所述客户装置或者用户的验证或者断言令牌。
11.如权利要求10所述的IDM组件,其中,所述指令被配置成促使所述处理器预订所述网络中公布的检验请求,以及其中从所述服务提供者接收的所述检验请求是由所述服务提供者公布的检验请求。
12.如权利要求8至10中任一项所述的IDM组件,其中,所述指令被配置成促使所述处理器在所述网络中的代理者(207)预订所述验证请求和/或检验请求,以及从所述代理者接收所公布的验证请求和/或检验请求。
13.如权利要求12所述的IDM组件,其中,所述预订包括所述IDM组件的性能的细节。
14.如权利要求13所述的IDM组件,其中,所述性能包括从以下中选择的一个或更多:所述IDM组件的区域、对所述IDM组件可用的验证协议、IDM组件的可用性、当前正由IDM组件处理的验证的数量。
15.如权利要求8至10中任一项所述的IDM组件,其中,验证协商包括发送证书至所述客户装置。
16.如权利要求15所述的IDM组件,其中,所述指令被配置成促使所述处理器从信任的域中的认证管理机构得到所述证书。
17.如权利要求8至10中任一项所述的IDM组件,其中,所述指令被配置成促使所述处理器与所述网络中的其它IDM组件共享验证状态。
18.一种具有分布式身份管理IDM组件(204,205,206)的网络(200)中的服务提供者(202),所述服务提供者包括:
处理器(710)和存储器(711),所述存储器包括能够由所述处理器执行的指令以便促使所述处理器:
经由输入/输出装置(712)从所述网络中的客户装置(201)接收服务请求(713),所述服务请求包括客户的验证和/或断言令牌和所述网络中的IDM组件(204)中的一个IDM组件的标识;
发送检验请求(714)至所述IDM组件;
从所述IDM组件接收所述客户的验证和/或断言令牌的检验(715);以及
递送所请求的服务(716)至所述客户装置。
19.一种具有分布式身份管理IDM组件(204,205,206)的网络(200)中的服务提供者(202),所述服务提供者包括:
处理器(710)和存储器(711),所述存储器包括能够由所述处理器执行的指令以便促使所述处理器:
经由输入/输出装置(712)从所述网络中的客户装置(201)接收服务请求(713),所述服务请求包括所述客户的验证和/或断言令牌;
公布检验请求(714)至所述网络中;
从所述网络中的IDM组件(204)中的一个IDM组件接收所述客户的验证和/或断言令牌的检验(715);以及
递送所请求的服务(716)至所述客户装置。
20.一种具有分布式身份管理IDM组件(204,205,206)的网络(200)中的代理者(207),所述代理者包括:
处理器(810)和存储器(811),所述存储器包括能够由所述处理器执行的指令以便促使所述处理器:
经由输入/输出装置(812)从所述IDM组件(204)的至少一个IDM组件接收对验证请求的预订(813);
接收由所述网络中的客户装置(201)公布的验证请求(814);
确定所述预订是否匹配所公布的验证请求(815);以及
转发所述验证请求(816)至所述至少一个IDM组件中的一个IDM组件。
21.如权利要求20所述的代理者,其中,所述指令被配置成促使所述处理器来确定包括在所述预订中的所述IDM组件的性能是否适合于所述验证请求。
22.如权利要求20或21所述的代理者,其中,所述指令配置成促使所述处理器:
从所述IDM组件或者所述网络中的另一个IDM组件接收对检验请求的预订;
接收由所述网络中服务提供者公布的检验请求;确定所述预订是否匹配所公布的检验请求;以及
转发所述检验请求至所预订的IDM组件中的一个IDM组件。
23.一种容器或者载体(901),包括如权利要求1至7中任一项所述的客户装置(201)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2013/050813 WO2014209184A1 (en) | 2013-06-28 | 2013-06-28 | Identity management system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105493064A CN105493064A (zh) | 2016-04-13 |
| CN105493064B true CN105493064B (zh) | 2018-12-04 |
Family
ID=52142368
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380077888.2A Active CN105493064B (zh) | 2013-06-28 | 2013-06-28 | 身份管理系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9954839B2 (zh) |
| EP (1) | EP3014465B1 (zh) |
| CN (1) | CN105493064B (zh) |
| WO (1) | WO2014209184A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2718385T3 (es) * | 2015-02-18 | 2019-07-01 | Huawei Tech Co Ltd | Actualización de una función de red móvil |
| CA3002235C (en) * | 2015-12-22 | 2021-01-26 | Thomson Reuters Global Resources Unlimited Company | Methods and systems for identity creation, verification and management |
| US10516653B2 (en) * | 2016-06-29 | 2019-12-24 | Airwatch, Llc | Public key pinning for private networks |
| US10652282B2 (en) * | 2017-02-15 | 2020-05-12 | Microsoft Technology Licensing, Llc | Brokered authentication with risk sharing |
| WO2019022738A1 (en) * | 2017-07-26 | 2019-01-31 | Hewlett-Packard Development Company, L.P | ENABLING MANAGEMENT |
| CA3073197A1 (en) * | 2017-08-22 | 2019-02-28 | Jeffery JESSAMINE | Method and system for secure identity transmission with integrated service network and application ecosystem |
| US10491603B1 (en) | 2019-03-07 | 2019-11-26 | Lookout, Inc. | Software component substitution based on rule compliance for computing device context |
| US11818129B2 (en) | 2019-03-07 | 2023-11-14 | Lookout, Inc. | Communicating with client device to determine security risk in allowing access to data of a service provider |
| US10785230B1 (en) * | 2019-03-07 | 2020-09-22 | Lookout, Inc. | Monitoring security of a client device to provide continuous conditional server access |
| US11310215B2 (en) * | 2020-06-29 | 2022-04-19 | Sony Group Corporation | Access management of publisher nodes for secure access to MaaS network |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7630986B1 (en) * | 1999-10-27 | 2009-12-08 | Pinpoint, Incorporated | Secure data interchange |
| US8719562B2 (en) * | 2002-10-25 | 2014-05-06 | William M. Randle | Secure service network and user gateway |
| US7590408B2 (en) * | 2002-04-03 | 2009-09-15 | Qualcomm Incorporated | Systems and methods for early determination of network support for mobile IP |
| US20110202565A1 (en) | 2002-12-31 | 2011-08-18 | American Express Travel Related Services Company, Inc. | Method and system for implementing and managing an enterprise identity management for distributed security in a computer system |
| US20080033845A1 (en) | 2006-07-21 | 2008-02-07 | Mcbride Brian | Publication Subscription Service Apparatus And Methods |
| CN100534037C (zh) * | 2007-10-30 | 2009-08-26 | 西安西电捷通无线网络通信有限公司 | 一种适用于ibss网络的接入认证方法 |
| CN101227362B (zh) * | 2008-01-18 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种无线个域网接入方法 |
| US7886038B2 (en) * | 2008-05-27 | 2011-02-08 | Red Hat, Inc. | Methods and systems for user identity management in cloud-based networks |
| US8666904B2 (en) * | 2008-08-20 | 2014-03-04 | Adobe Systems Incorporated | System and method for trusted embedded user interface for secure payments |
| CN101635710B (zh) * | 2009-08-25 | 2011-08-17 | 西安西电捷通无线网络通信股份有限公司 | 一种基于预共享密钥的网络安全访问控制方法及其系统 |
| KR101657442B1 (ko) * | 2009-10-15 | 2016-09-13 | 인터디지탈 패튼 홀딩스, 인크 | 가입 기반 서비스에 액세스하기 위한 등록 및 크리덴셜 롤 아웃 |
| US8527758B2 (en) * | 2009-12-09 | 2013-09-03 | Ebay Inc. | Systems and methods for facilitating user identity verification over a network |
| US8997196B2 (en) * | 2010-06-14 | 2015-03-31 | Microsoft Corporation | Flexible end-point compliance and strong authentication for distributed hybrid enterprises |
| US8474017B2 (en) * | 2010-07-23 | 2013-06-25 | Verizon Patent And Licensing Inc. | Identity management and single sign-on in a heterogeneous composite service scenario |
| US9306933B2 (en) * | 2011-02-11 | 2016-04-05 | Mocana Corporation | Ensuring network connection security between a wrapped app and a remote server |
| US20130204415A1 (en) * | 2011-03-25 | 2013-08-08 | Verisign, Inc. | Systems and methods for using signal-derived segmented identifiers to manage resource contention and control access to data and functions |
| US8966652B2 (en) * | 2011-06-08 | 2015-02-24 | International Business Machines Corporation | Software utilization privilege brokering in a networked computing environment |
| US20140181309A1 (en) | 2011-06-14 | 2014-06-26 | Zte Usa Inc. | Method and system for cloud-based identity management (c-idm) implementation |
| US8949938B2 (en) * | 2011-10-27 | 2015-02-03 | Cisco Technology, Inc. | Mechanisms to use network session identifiers for software-as-a-service authentication |
| US20130219166A1 (en) * | 2012-02-20 | 2013-08-22 | Motorola Mobility, Inc. | Hardware based identity manager |
-
2013
- 2013-06-28 EP EP13888280.8A patent/EP3014465B1/en active Active
- 2013-06-28 US US14/896,990 patent/US9954839B2/en active Active
- 2013-06-28 CN CN201380077888.2A patent/CN105493064B/zh active Active
- 2013-06-28 WO PCT/SE2013/050813 patent/WO2014209184A1/en active Application Filing
Non-Patent Citations (1)
| Title |
|---|
| A Decentralized Approach for Implementing Identity Management in Cloud;Jun Chen 等;《2012 Second International Conference on Cloud and Green Computing》;20121103;摘要,第III节,图2 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3014465A1 (en) | 2016-05-04 |
| US9954839B2 (en) | 2018-04-24 |
| US20160142392A1 (en) | 2016-05-19 |
| WO2014209184A1 (en) | 2014-12-31 |
| CN105493064A (zh) | 2016-04-13 |
| EP3014465B1 (en) | 2018-11-21 |
| EP3014465A4 (en) | 2017-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105493064B (zh) | 身份管理系统 | |
| US8321566B2 (en) | System and method to control application to application communication over a network | |
| CN102457507B (zh) | 云计算资源安全共享方法、装置及系统 | |
| CN1901448B (zh) | 通信网络中接入认证的系统及实现方法 | |
| CN102388631B (zh) | 用于在满足特定条件时建立会话的系统和方法 | |
| CN102812665A (zh) | 用于实现跨多个web服务的认证的可插入令牌提供商模型 | |
| CN101102257A (zh) | 传输数据对象的方法和装置 | |
| US8737955B2 (en) | Managing recurring payments from mobile terminals | |
| WO2006111095A1 (fr) | Reseau de charge, appareil formant agent de charge et procede de charge correspondant | |
| CN109741068A (zh) | 网银跨行签约方法、装置及系统 | |
| CN102893579B (zh) | 用于在通信系统中发放票据的方法、节点和设备 | |
| EP1469633A1 (en) | Method, devices, and computer program for negotiating QoS and cost of a network connection during setup | |
| CN101252767B (zh) | 业务提供系统及业务提供中的鉴权方法 | |
| WO2010068389A2 (en) | Providing ubiquitous wireless connectivity and a marketplace for exchanging wireless connectivity using a connectivity exchange | |
| US8737959B2 (en) | Managing recurring payments from mobile terminals | |
| WO2011011938A1 (zh) | 一种多媒体会议鉴权加入的方法和装置 | |
| CN106790305B (zh) | 差分服务认证鉴权计费的系统和方法 | |
| US20200177394A1 (en) | Device and method for processing public key of user in communication system that includes a plurality of nodes | |
| JP5631890B2 (ja) | 接続エクスチェンジへの参加及びアクセスするための方法及び装置 | |
| CN105376727A (zh) | 数据卡处理方法及装置 | |
| CN117057921B (zh) | 算力交易方法、装置、系统、电子设备及存储介质 | |
| US11405339B1 (en) | Managing exchange of instant messages using an assigned communication code | |
| CN107819803A (zh) | Rcs系统的配置方法及装置、rcs系统 | |
| US20110035809A1 (en) | Agent service | |
| US9501775B2 (en) | Managing recurring payments from mobile terminals |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |