WO2011017922A1 - 建立身份管理信任的方法及身份提供方和业务提供方 - Google Patents

建立身份管理信任的方法及身份提供方和业务提供方 Download PDF

Info

Publication number
WO2011017922A1
WO2011017922A1 PCT/CN2010/071213 CN2010071213W WO2011017922A1 WO 2011017922 A1 WO2011017922 A1 WO 2011017922A1 CN 2010071213 W CN2010071213 W CN 2010071213W WO 2011017922 A1 WO2011017922 A1 WO 2011017922A1
Authority
WO
WIPO (PCT)
Prior art keywords
trust
idp
identity
identity provider
provider
Prior art date
Application number
PCT/CN2010/071213
Other languages
English (en)
French (fr)
Inventor
郑义军
林兆骥
陈剑勇
滕志猛
李媛
Original Assignee
中兴通讯股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中兴通讯股份有限公司 filed Critical 中兴通讯股份有限公司
Priority to US13/257,947 priority Critical patent/US8910244B2/en
Priority to EP10807867.6A priority patent/EP2456120A4/en
Priority to JP2012524085A priority patent/JP5627683B2/ja
Publication of WO2011017922A1 publication Critical patent/WO2011017922A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Definitions

  • FIG. 1 is a flowchart of a method for establishing IDM trust according to an embodiment of the present invention
  • the RS performs a broadcast query on the RS group, then performs an OR operation on all the returned results, and returns a trust information to the SP, and the SP enters the identity verification process.
  • the SP and IDP no longer need the multicast function, but the SP still needs a trust list to determine the IDP and related information in the trust domain.
  • the IDP is no longer fixed to belong to a certain trust domain, and each IDP is fixed to belong to a certain RS jurisdiction, and the SP's trust domain range can be dynamically changed, even across different regions, but the SP can query the RS only.
  • Step 8 shows the RS architecture
  • SP In the case of the same trust domain as the IDP A used by the user, The main step 4 is as follows:
  • the discovery process is as follows: Step 201: The user requests the SP to provide the service. Since the IDP A used by the user is in the trust domain of the SP, the IDP A has been found without performing multicast.
  • the trust establishment process is: Step 202: Since the SP trusts the IDP A, the identity authentication request is sent to the user.
  • Step 203 The user requests IDP A to perform identity authentication.
  • Step 205 The SP authenticates the user authorization information.
  • Step 221 The user requests the SP month Business.
  • Step 222 since the IDP A is not in the SP's trust list, the SP sends an inquiry to the IDP A to the RS (RS 1 ) of the area 1.
  • Steps 223 to 224 since IDP A is not in area 1, RS 1 sends an inquiry to IDP A to all RSs, and steps 223 to 224 are a broadcast procedure.
  • step 225 since IDP A is not in area i or 3, RS3 returns NULL to indicate that the search has no effect.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

建立身份管理信任的方法及身伤^是供方和业务 4是供方 技术领域 本发明涉及通信领域, 具体而言, 涉及一种建立身份管理 (Identity Management , 简称为 IDM ) 信任的方法及身份提供方和业务提供方。 背景技术
4十对业务提供方 (Service Provider, 简称为 SP ) 对有限身份提供方 ( Identification Provider, 简称为 IDP ) 的支持, 如果用户所使用的 IDP即用 户归属的 IDP (例如 IDP A ) 不在当前 SP (例如 SP1 ) 支持的范围内, 则用 户认证是无法完成的, 用户必须使用该 SP支持的 IDP (例如 IDP B、 C、 D ) 注册之后, 才能够完成 SP的认证, 又或者访问支持用户使用的 IDP, 同时提 供类似服务的 SP (例如 SP2)。 这与 IDM的目标不符。 但目前已经投入使用的 IDP之间因为各自利益的关系, 要使 IDP统一似乎不可能。
IDM 是指以网络和相关支持技术为基础, 对用户身份的生命周期 (使 用过程), 以及用户身份与网络应用服务之间的关系进行管理。 例如, 对访问 应用和资源的用户进行认证或 ·ί受权等。 目前, IDM系统之间还处于一种相互 独立的垂直结构, 且这些 IDM系统大多是针对特定的应用月艮务建立起来的, 各个 IDM系统之间无法实现互联互通, 无法实现用户信息(如用户的信任信 息、 认证信任) 的共享。 互操作性 ( Interoperation ) 是指各个独立的 IDM 系统之间互相协作, 进行有效信息 (如用户的信任信息) 的交换和通信等操作的能力。 互操作的 前提一般需要建立在 IDM系统相互信任的基础上, 当前 IDM系统的信任关 系建立一般是一对一信任建立, 信任关系一般是静态的, 而且存在信任关系 的 IDM系统一般仅限于同一个信任域内 (或联盟内), 跨信任域 (联盟) 的 信任关系的建立以及基于信任链(信任路径) 的信任关系建立是可以使得现 有 IDM系统的信任关系扩展到更大的范围,可以使得信任关系的建立更加动 态、 灵活和便利。 目前, 主要研究的 SP认证模式, 都是基于固定 IDP的模式, 对于用户 使用的 IDP不在 SP信任范围的, 则无法通行, 这使得用户在某些时候需要 多次登录不同 IDP才能获得某 SP的服务, 给实际应用带来不便。 发明内容 针对 SP认证模式对于用户使用的 IDP不在 SP信任范围的, 则无法通 行, 这使得用户在某些时候需要多次登录不同 IDP才能获得某 SP的服务的 问题而提出本发明, 为此, 本发明的主要目的在于提供一种建立 IDM信任的 方法, 以解决上述问题。 为了实现上述目的, 根据本发明的一个方面, 提供了一种建立 IDM信 任的方法。 根据本发明的建立 IDM信任的方法包括: SP接收用户访问后, 判断用 户归属的 IDP是否在 SP的信任域内;如果用户归属的 IDP不在 SP的信任域 内, 则 SP向本地信任域内的 IDP询问用户归属的身份提供方; 如果 SP接收 到本地信任域内的 IDP返回的用户归属的身份提供方的信息, 则将用户归属 的身份提供方加入临时信任列表以建立对用户归属的身份提供方的信任。 优选地,在判断用户归属的身份提供方是否在业务提供方的信任域内之 后, 该方法还包括: 如果用户归属的身份提供方与业务提供方在同一个信任 域内, 则业务提供方直接使用与用户归属的身份提供方的信任关系。 优选地,在业务提供方向本地信任域内的身份提供方询问用户归属的身 份提供方之后, 该方法还包括: 如果没有收到本地信任域内的身份提供方返 回的信息,则判断所有被询问过的身份提供方是否属于并仅属于一个信任域; 如果被询问过的身份提供方中存在属于两个或两个以上信任域的身份提供 方, 则判断被询问过的身份提供方是否与用户归属的身份提供方在同一信任 域; 如果被询问过的身份提供方与用户归属的身份提供方在同一个信任域, 则建立对用户归属的身份提供方的信任。 优选地, 如果没有收到本地信任域内的身份提供方返回的信息, 该方法 还包括:如果被询问过的身份提供方在同一个信任域并且仅属于一个信任域, 则中止建立对用户归属的身份提供方的询问。 优选地, 如果没有收到本地信任域内的身份提供方返回的信息, 该方法 还包括: 如果被询问过的身份提供方中存在属于两个或两个以上信任域的身 份提供方, 则继续向被询问过的身份提供方所属其他信任域的身份提供方发 送询问请求。 优选地,身份提供方收到询问时,如果组播询问的跳数超过设定的次数, 则中止信任建立。 为了实现上述目的, 根据本发明的另一方面, 提供了一种身份提供方及 业务提供方。 该业务提供方包括: 接收模块, 用于接收用户的访问; 判断模块, 用于 判断用户归属的身份提供方是否在业务提供方的信任域内; 组播模块, 通过 组播方式向本地信任域内的身份提供方询问用户归属的身份提供方, 寻找并 建立业务提供方到用户归属的身份提供方的信任路径。 优选地, 组播模块还包括: 组播判断模块, 用于判断组播次数是否超过 设定的次数。 该身份提供方包括: 组播模块, 用于寻找身份提供方到用户归属的身份 提供方的路径。 通过本发明, 釆用 SP接收用户访问后, 判断用户使用的 (即归属的) IDP是否在 SP的信任域内; 如果用户使用的 IDP不在 SP的信任域内, 则 SP向本地信任域内的 IDP询问用户归属的身份提供方; 如果 SP接收到 IDP 返回的 IDP A的信息, 则将用户归属的身份提供方加入临时信任列表以建立 对用户归属的身份提供方的信任, 解决了 SP认证模式对于用户使用的 IDP 不在 SP信任范围的, 则无法通行, 这使得用户在某些时候需要多次登录不 同 IDP才能获得某 SP的服务的问题, 进而达到了在不额外添加设备的情况 下, 建立 SP对任何 IDP的信任关系, 保证用户一次登陆任意通行的特性得 以实现的效果。 附图说明 此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部 分, 本发明的示意性实施例及其说明用于解释本发明, 并不构成对本发明的 不当限定。 在附图中: 图 1是才艮据本发明实施例的建立 IDM信任的方法的流程图; 图 2是根据本发明实施例的基于 IDP多播方式的示意图; 图 3是根据本发明实施例的基于 IDP多播方式的无 RS情况一的流程图; 图 4是根据本发明实施例的基于 IDP多播方式的无 RS情况二的流程图; 图 5是根据本发明实施例的基于 IDP多播方式的无 RS情况三的流程图; 图 6是根据本发明实施例的 RS架构图; 图 7是根据本发明实施例的基于 RS查找 IDP的流程图; 图 8是才艮据本发明实施例的基于 RS查找 IDP方式的有 RS情况一的流 程图; 图 9是才艮据本发明实施例的基于 RS查找 IDP方式的有 RS情况二的流 程图; 图 10是才艮据本发明实施例的基于 RS查找 IDP方式的有 RS情况三的流 程图; 图 11是根据本发明实施例的业务提供方的示意图; 图 12是根据本发明实施例的身份提供方的示意图。 具体实施方式 需要说明的是, 在不冲突的情况下, 本申请中的实施例及实施例中的特 征可以相互组合。 下面将参考附图并结合实施例来详细说明本发明。 方法实施例 根据本发明的实施例, 提供了一种建立 IDM信任的方法。 如图 1所示, 该方法包括如下的步 4聚 S 102至步 4聚 S 106: 步骤 S 102, SP接收用户访问后, 判断用户归属的 IDP (即用户使用的
IDP ) 是否在 SP的信任域内; 步骤 S 104, 如果用户归属的 IDP不在 SP的信任域内, 则 SP向本地信 任域内的 IDP询问用户归属的身份提供方; 步骤 S 106,如果 SP接收到本地信任域内的 IDP返回的用户归属的身份 提供方 (IDP A ) 的信息, 则将用户归属的身份提供方加入临时信任列表以 建立对用户归属的身份提供方的信任。 其中, 信任域是指 IDP和 SP之间已经存在信任关系, 则 SP信任来自 IDP的身份认证信息, 并进行鉴权。 下面将结合实例对本发明实施例的实现过程进行详细描述。 图 2是基于 SP和 IDP多播方式的结构图,显示了用户请求下的 IDP发 现与信任建立过程, 当用户使用的 IDP A在 SP信任域内时, 则进入身份验 证阶段, SP要求用户进行身份验证, 用户要求 IDP A进行身份验证, IDP A 向 SP发授权, SP进行授权认证, 并决定是否提供用户服务; 假如用户使用 的 IDP A不在 SP信任域内, 则 SP向信任域内的 IDP进行组播询问, £如寻 得 IDP A的信任信息, 则返回信任信息给 SP, 进入身份验证阶段, 否则收到 询问而同时处于多个信任域的 IDP继续向相邻域的 IDP进行组播, 直到组播 兆数到达限制或者没有可组播的领域或者找到 IDP Α为止, 如果找到 IDP A 则沿路返回信任信息, SP对所有可能的返回信息做 OR (或) 处理, 然后进 入身份验证流程。 在此架构下, 假如 IDP原来不在 SP的信任域内, 那么通 过此过程 SP与 IDP间建立的信任关系是临时的, 当服务完成, 则信任关系 解除, 这种临时信任关系建立的依据是, 信任建立的过程依据的是基于 IDP 的信任可传递性, 在无 RS 的情况下, 各信任对象间的信任关系建立在互相 签订信任协议基础上, 是固定的, 那么也就意味着这样的信任关系是可靠且 可传递的。 而信任传递中的各 IDP节点可形成 IDP信任路径。 通过 IDP信任 路径作为中介, 建立了 SP对用户使用的 IDP的信任, 在用户授权下, 建立 用户使用的 IDP对 SP的信任, 在此过程中, 中间 IDP成为了信任中介。 图 3至图 5 ^^于 SP和 IDP多播方式的三种 IDP发现和信任建立的情 况, 每种情况又可分为发现和信任建立过程两个过程。 如下进行详述。 图 3是 IDP A在 SP的信任域的情况, 主要步骤如下: 发现过程为: 步骤 101 , 用户请求 SP提供服务, 由于用户使用的 IDP A在 SP的信任 域内, 则无需进行组播即已经发现 IDP A。 信任建立过程为: 步骤 102 , SP请求用户进行身份认证。 步骤 103 , 用户要求 IDP A进行身份认证。 步骤 104, IDP A向 SP提供用户的授权信息。 步骤 105 , SP根据授权信息对用户进行授权认证, 假如授权信息不符, 则信任建立失败, 拒绝服务, 假如授权信息符合, 则至此双向信任关系建立 完毕 (但此信任关系非中介信任关系)。 图 4是 IDP A与 SP在不同信任域, 但二者所处信任域有共同的 IDP的 情况, 主要步骤如下: 发现过程为: 步骤 111 , 用户请求 SP提供月艮务。 步骤 112-114, 由于用户使用的 IDP A不在 SP的信任域内, SP才艮据信 任列表, 向所属信任 i或内的所有 IDP进行组播, 询问 IDP A, 步 4聚 112 114 是一个组播的整体。 步骤 115 , 由于 IDP D同时属于信任域 1和信任域 2 (用户使用的 IDP A 的所属信任域 ), 所以 IDP D的信任列表同时具有信任域 1和 2的对象 (包 含 IDP A ) , 至此, 发现 IDP A并返回 IDP A的信任信息。 信任建立过程为: 步骤 116 , 根据步骤 115返回的 IDP A的信任信息, 将 IDP A加入临时 信任列表。 步骤 117 , SP请求用户进行身份认证。 步骤 118, 用户要求 IDP A进行身份认证。 步骤 119, IDP A向 SP提供用户的身份授权信息。 步骤 120, SP 根据该身份授权信息对用户进行授权认证, 假如身份授 权信息不符, 则信任建立失败, 拒绝服务, 假如身份授权信息符合, 则至此, 以 IDP作为中介的双向信任关系建立完毕。 图 5是 IDP A与 SP不在同一个信任域, 且二者所处信任域没有共同的 IDP, 但却存在一条从 SP到 IDP A的 IDP信任路径的情况, 主要步骤如下: 发现过程为: 步骤 131 , 用户请求 SP提供服务。 步骤 132-133 , 由于用户使用的 IDP A不在 SP的信任域内, 所以 SP 才艮据信任列表, 向所属信任域内的所有 IDP 进行组播, 询问 IDP A, 步骤 122〜123是一个组播的整体。 步骤 134〜135 , 由于 IDP C同时属于信任域 1和信任域 2, 且 IDP A不 在信任域 2中, 所以 IDP C向除询问来源的信任域 1外的信任域中的 IDP进 行组播, 也就是对 IDP D和 IDP F进行组播。 步骤 136, 由于 IDP F同时属于信任域 2和信任域 3 ( IDP A的所属信 任域),所以 IDP F拥有 IDP A的信任信息,至此发现过程结束并原路返回 IDP
A的信任信息。 步骤 137, IDP C返回 IDP A的信任信息给 SP。 信任建立过程为: 步骤 138, 根据步骤 137返回的 IDP A的信任信息, SP将 IDP A加入 临时信任列表。 步骤 139, SP请求用户进行身份认证。 步骤 140 , 用户要求 IDP A进行身份认证。 步骤 141 , IDP A向 SP提供用户的身份授权信息。 步骤 142, SP 根据该身份授权信息对用户进行授权认证, 假如身份授 权信息不符, 则信任建立失败, 拒绝服务, 假如身份授权信息符合, 则至此, 以 IDP作为中介的双向信任关系建立完毕。 上述优选实施例在不额外添加设备的情况下, 最大限度地建立 SP与用 户归属的 IDP (即用户使用的 IDP ) 的信任关系, 使得用户能够实现一次登 陆多处通行。 图 6是 RS的架构图, 在无 RS的情况下, 基于 SP和 IDP的组播总会 有不存在 SP到用户使用的 IDP的信任传递路径的情况,此时无法提供服务。 那么, 通过添加 RS设备可以解决这样的问题, 完全实现用户一次登陆到处 通行。 RS层在 IDP层之上, 该层应由 SP、 IDP的运营审核机构进行维护。 需要设立 IDP的, 必须先在该地的注册机构进行注册, 注册机构在 RS中加 入相应的 IDP的注册、 信任、 地址和 IDP所属的 RS等信息。 针对这些功能, RS 内部就需要设置处理 SP和 RS的请求的接受请求模块, 同时设置对请求 进行审核的请求审核模块, 当审核通过, 需要有管理注册信息列表的对象注 册信息列表模块, 当本地注册信息列表没找到结果时, 需要有对 RS群组播 的 RS询问模块。 图 7是基于 RS查找 IDP方案的结构图,显示了在有 RS设备的情况下, 进行用户发现和信任建立的结构。 当用户请求 SP服务时, 假如用户使用的 IDP A在 SP的信任域内, 则 SP进入身份验证流程, SP请求用户进行身份验 证, 用户要求 IDP A进行身份验证, IDP A向 SP发送授权, SP对用户进行 授权认证, 假如符合则提供服务, 否则拒绝服务。 当 IDP A不在 SP的信任 域内时, 则 SP询问本区 i或 RS , RS查询注册列表, 支如找到则返回 IDP A 的信任信息给 SP, SP进入身份-险证流程, £如本区域 RS没找到 IDP A信息, 则 RS对 RS群进行广播查询, 然后对所有的返回结果进行 OR操作, 并对 SP返回一个信任信息, SP进入身份验证流程。 在此结构中, 唯有 RS具有广 播功能, SP和 IDP不再需要组播功能, 但是 SP仍然需要一个信任列表, 用 以确定信任域内的 IDP及相关信息。 与图 2的情况不同, IDP不再固定属于 某个信任域,每个 IDP固定属于某个 RS管辖, 而 SP的信任域范围可动态改 变, 甚至跨越不同区域, 但是 SP可询问的 RS只有其所属 RS , 在不断询问 过程中, SP可以不断的与新的 IDP动态建立长期信任关系。 同时, SP对 RS 的询问, 一定会得到回应, 从而必然可以找到用户使用的 IDP。 同时, RS假 如对 RS群进行广播,广播后将等待所有 RS的回应并进行 OR操作后再返回 一个结果给 SP, 而不是每个 RS 的响应都通知 SP。 在此过程中, 等于每个 SP和 IDP在注册时都与 RS机构签订协议, 由 RS机构负责信任对象的监管 和作为信任中介或担保。 图 8至图 10是有 RS架构下的 3种 IDP发现和信任建立的情况, 每种 情况又分为 IDP发现和信任建立的两个过程, 详述如下: 图 8是有 RS架构下, SP与用户使用的 IDP A在同一个信任域的情况, 主要步 4聚如下: 发现过程为: 步骤 201 , 用户请求 SP提供服务, 由于用户使用的 IDP A在 SP的信任 域内, 则无需进行组播即已经发现 IDP A。 信任建立过程为: 步骤 202 , 由于 SP对 IDP A的信任已经存在, 所以向用户发出身份认 证请求。 步骤 203 , 用户要求 IDP A进行身份认证。 步骤 204 , IDP A向 SP提供用户授权信息。 步骤 205 , SP 对用户授权信息进行认证, 如果信息不符, 则信任建立 失败, 拒绝服务, 如果信息符合, 则相互信任关系建立。 图 9是有 RS架构下, SP与用户使用的 IDP A不在同一个信任域, 但 SP和 IDP A属于同一个区域的情况, 主要步 4聚如下: 发现过程为: 步骤 211 , 用户请求 SP提供服务。 步骤 212 , 由于 IDP A不在 SP的信任列表, SP向区域 1的 RS ( RS 1 ) 发送对 IDP A的询问。 步骤 213 , 由于 IDP A在区域 1 内, 所以 RS 1返回 IDP A的信任信息给
SP。 至此发现过程结束。 信任建立过程为: 步骤 214 , SP将 IDP A加入信任列表。 步骤 215 , SP对 IDP A的信任建立, 向用户发出身份认证请求。 步骤 216 , 用户要求 IDP A进行身份认证。 步骤 217 , IDP A向 SP发送用户授权信息。 步骤 218, SP 对用户授权信息进行认证, 如果信息不符, 则信任建立 失败, 拒绝服务, 如果信息符合, 则相互信任关系建立。 图 10是有 RS架构下, SP与用户使用的 IDP A不在同一个信任域, 且 SP和 IDP A不属于同一个区域的情况, 主要步 如下: 发现过程为: 步骤 221 , 用户请求 SP月艮务。 步骤 222, 由于 IDP A不在 SP的信任列表, SP向区域 1的 RS ( RS 1 ) 发送对 IDP A的询问。 步骤 223〜224, 由于 IDP A不在区域 1中, 所以 RS 1向所有 RS发送对 IDP A的询问, 步骤 223〜224是一个广播的过程。 步骤 225 ,由于 IDP A不在区 i或 3 ,所以 RS3返回 NULL表示查找无果。 步骤 226, 由于 IDP A在区域 2, 所以 RS2返回 IDP A的信任信息给
RS 1。 步骤 227, 经过 OR操作, RS 1返回 IDP A的信任信息给 SP, 至此发现 过程结束。 信任建立过程为: 步骤 228 , SP将 IDP A加入信任列表。 步骤 229 , SP对 IDP A的信任建立后, SP向用户发出身份认证请求。 步骤 230 , 用户要求 IDP A进行身份认证。 步骤 231 , IDP A向 SP发送用户 ·ί受权信息。 步骤 232, SP 对用户授权信息进行认证, 如果信息不符, 则信任建立 失败, 拒绝服务, 如果信息符合, 则相互信任关系建立。 上述实施例在额外添加设备的情况下,建立 SP对任何 IDP的信任关系, 保证用户能够实现一次登陆任意通行。 上述的区域是指, SP或 IDP申请注册时, 所在注册地的 RS (注册月艮务 器)所管辖的所有 SP及 IDP的集合为一个区域。且 IDP可以与 SP处于不同 区域但 IDP处于 SP的信任 i或内。 装置实施例 根据本发明的实施例, 提供了一种身份提供方和业务提供方。 图 11是根据本发明实施例的业务提供方的示意图。 如图 11所示, 该业务提供方 110包括: 接收模块 112、 判断模块 114、 询问模块 116、 组播模块 118。 其中, 接收模块 112 , 用于接收用户的访问; 判断模块 114, 用于判断 用户归属的 IDP是否在 SP的信任域内; 询问模块 116 , 用于通过组播方式向 本地信任域内的 IDP询问用户归属的身份提供方; 组播模块 118, 用于寻找 并建立 SP到用户归属的身份提供方 ( IDP A ) 的信任路径。 优选地, 该业务提供方 110还可以包括组播判断模块 119 , 用于判断组 播次数是否超过设定的次数。 图 12是根据本发明实施例的身份提供方的示意图。 如图 12所示, 该身份提供方 120包括: 组播模块 122。 具体地,组播模块 122用于寻找 IDP到用户归属的身份提供方( IDP A ) 的路径。 从以上的描述中, 可以看出, 本发明实现了在不添加设备和额外添加设 备的情况下, 建立 SP对任何 IDP的信任关系, 保证用户一次登陆任意通行 的特性得以实现。 以上所述仅为本发明的优选实施例而已, 并不用于限制本发明, 对于本 领域的技术人员来说, 本发明可以有各种更改和变化。 凡在本发明的 ^"神和 原则之内, 所作的任何修改、 等同替换、 改进等, 均应包含在本发明的保护 范围之内。

Claims

权 利 要 求 书
1. 一种建立身份管理信任的方法, 其特征在于, 包括: 业务提供方接收用户访问后,判断所述用户归属的身份提供方是否 在所述业务提供方的信任域内;
如果所述用户归属的身份提供方不在所述业务提供方的信任域内, 则所述业务提供方向本地信任域内的身份提供方询问所述用户归属的身 份提供方;
如果所述业务提供方接收到所述本地信任域内的身份提供方返回 的所述用户归属的身份提供方的信息, 则将所述用户归属的身份提供方 加入临时信任列表以建立对所述用户归属的身份提供方的信任。
2. 根据权利要求 1所述的方法, 其特征在于, 在判断所述用户归属的身份 提供方是否在所述业务提供方的信任域内之后, 所述方法还包括:
如果所述用户归属的身份提供方与所述业务提供方在同一个信任 域内, 则所述业务提供方直接使用与所述用户归属的身份提供方的信任 关系。
3. 根据权利要求 1所述的方法, 其特征在于, 在所述业务提供方向本地信 任域内的身份提供方询问用户归属的身份提供方之后,所述方法还包括: 如果没有收到所述本地信任域内的身份提供方返回的信息,则判断 所有被询问过的身份提供方是否属于并仅属于一个信任域;
如果所述被询问过的身份提供方中存在属于两个或两个以上信任 域的身份提供方, 则判断所述被询问过的身份提供方是否与所述用户归 属的身份提供方在同一信任域;
如果所述被询问过的身份提供方与所述用户归属的身份提供方在 同一个信任域, 则建立对所述用户归属的身份提供方的信任。
4. 根据权利要求 3所述的方法, 其特征在于, 如果没有收到所述本地信任 域内的身份提供方返回的信息, 所述方法还包括:
如果所述被询问过的身份提供方在同一个信任域并且仅属于一个 信任域, 则中止建立对所述用户归属的身份提供方的询问。
5. 根据权利要求 3所述的方法, 其特征在于, 如果没有收到所述本地信任 域内身份提供方返回的信息, 所述方法还包括:
如果所述被询问过的身份提供方中存在属于两个或两个以上信任 域的身份提供方, 则继续向被询问过的身份提供方所属其他信任域的身 份提供方发送询问请求。
6. 根据权利要求 1至 5中任一项所述的方法, 其特征在于, 所述身份提供 方收到询问时, 如果组播询问的跳数超过设定的次数, 则中止所述信任 建立。
7. —种业务提供方, 其特征在于, 包括:
接收模块, 用于接收用户的访问;
判断模块,用于判断所述用户归属的身份提供方是否在所述业务提 供方的信任域内;
组播模块 ,用于通过组播方式向本地信任域内的身份提供方询问用 户归属的身份提供方, 寻找并建立所述业务提供方到所述用户归属的身 份提供方的信任路径。
8. 根据权利要求 7所述的业务提供方, 其特征在于, 所述组播模块还包括: 组播判断模块, 用于判断组播次数是否超过设定的次数。
9. 一种身份提供方, 其特征在于, 包括:
组播模块, 用于寻找身份提供方到用户归属的身份提供方的路径。
PCT/CN2010/071213 2009-08-11 2010-03-23 建立身份管理信任的方法及身份提供方和业务提供方 WO2011017922A1 (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US13/257,947 US8910244B2 (en) 2009-08-11 2010-03-23 Method for establishing identity management trust, identification provider and service provider
EP10807867.6A EP2456120A4 (en) 2009-08-11 2010-03-23 Identity management trust establishment method, identity provider and service provider
JP2012524085A JP5627683B2 (ja) 2009-08-11 2010-03-23 アイデンティティ管理の信頼性を確立する方法、アイデンティティプロバイダ及びサービスプロバイダ

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200910164095.X 2009-08-11
CN200910164095.XA CN101998360B (zh) 2009-08-11 2009-08-11 建立身份管理信任的方法及身份提供方和业务提供方

Publications (1)

Publication Number Publication Date
WO2011017922A1 true WO2011017922A1 (zh) 2011-02-17

Family

ID=43585898

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CN2010/071213 WO2011017922A1 (zh) 2009-08-11 2010-03-23 建立身份管理信任的方法及身份提供方和业务提供方

Country Status (5)

Country Link
US (1) US8910244B2 (zh)
EP (1) EP2456120A4 (zh)
JP (1) JP5627683B2 (zh)
CN (1) CN101998360B (zh)
WO (1) WO2011017922A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9258344B2 (en) * 2011-08-01 2016-02-09 Intel Corporation Multi-hop single sign-on (SSO) for identity provider (IdP) roaming/proxy
US9798895B2 (en) 2014-09-25 2017-10-24 Mcafee, Inc. Platform identity architecture with a temporary pseudonymous identity
GB2532248B (en) * 2014-11-12 2019-05-01 Thales Holdings Uk Plc Network based identity federation
CN106559387B (zh) * 2015-09-28 2021-01-15 腾讯科技(深圳)有限公司 一种身份验证方法及装置
US10846387B2 (en) 2017-07-12 2020-11-24 At&T Intellectual Property I, L.P. Managing access based on activities of entities
CN113127821A (zh) * 2019-12-31 2021-07-16 远景智能国际私人投资有限公司 身份验证方法、装置、电子设备及存储介质
US11330546B1 (en) 2020-12-11 2022-05-10 Cisco Technology, Inc. Controlled access to geolocation data in open roaming federations

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070136786A1 (en) * 2005-12-08 2007-06-14 Sun Microsystems, Inc. Enabling identity information exchange between circles of trust
US20080021997A1 (en) * 2006-07-21 2008-01-24 Hinton Heather M Method and system for identity provider migration using federated single-sign-on operation
CN101453328A (zh) * 2007-12-06 2009-06-10 中国移动通信集团公司 身份管理系统及身份认证系统

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06276191A (ja) 1993-03-19 1994-09-30 Fuji Xerox Co Ltd データ転送制御装置
KR100419484B1 (ko) 2001-09-07 2004-02-19 한국전자통신연구원 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US20030177388A1 (en) * 2002-03-15 2003-09-18 International Business Machines Corporation Authenticated identity translation within a multiple computing unit environment
US7793095B2 (en) * 2002-06-06 2010-09-07 Hardt Dick C Distributed hierarchical identity management
US20040002878A1 (en) * 2002-06-28 2004-01-01 International Business Machines Corporation Method and system for user-determined authentication in a federated environment
JP3800158B2 (ja) * 2002-09-27 2006-07-26 ブラザー工業株式会社 データ送信システム、端末装置、及びプログラム
US7716469B2 (en) * 2003-07-25 2010-05-11 Oracle America, Inc. Method and system for providing a circle of trust on a network
US7831693B2 (en) * 2003-08-18 2010-11-09 Oracle America, Inc. Structured methodology and design patterns for web services
GB0405623D0 (en) * 2004-03-12 2004-04-21 British Telecomm Controlling transactions
BRPI0513195A (pt) * 2004-07-09 2008-04-29 Matsushita Electric Ind Co Ltd sistemas para administrar autenticação e autorização de usuário, e para suportar o usuário, métodos para administrar autenticação e autorização de usuário, para acessar serviços de múltiplas redes, para o controlador de autenticação processar uma mensagem de pedido de autenticação, selecionar a combinação de controladores de autenticação do resultado de busca, autenticar um usuário, e descobrir o caminho a um domìnio tendo relação empresarial com o domìnio doméstico, para o controlador de autorização processar a mensagem de pedido de autorização de serviço, e executar autorização de serviço, para um controlador de autenticação e autorização executar autenticação e autorização de serviço, para proteger o sìmbolo de usuário, e para a autoridade de controle de acesso no domìnio doméstico do usuário prover ao controlador de autenticação uma informação de perfil de assinatura limitada do usuário, para alcançar autenticação e autorização rápidas, e para alcançar registro único para acessar múltiplas redes, e, formatos para informação de capacidade de assinatura, para um sìmbolo de usuário, para um domìnio tendo relação empresarial com o domìnio doméstico de um usuário para pedir afirmação de autenticação e de autorização, e para um terminal de usuário indicar suas credenciais para acessar múltiplas redes em múltiplos domìnios administrativos
JP2006164174A (ja) 2004-12-10 2006-06-22 Canon Inc 情報処理装置、ユーザ認証処理及びアクセス制御方法
US7784092B2 (en) * 2005-03-25 2010-08-24 AT&T Intellectual I, L.P. System and method of locating identity providers in a data network
JP2006276191A (ja) 2005-03-28 2006-10-12 Canon Inc フラットパネル表示装置
US20070097969A1 (en) * 2005-11-02 2007-05-03 Alain Regnier Approach for discovering network resources
US7860883B2 (en) * 2006-07-08 2010-12-28 International Business Machines Corporation Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments
US7860882B2 (en) * 2006-07-08 2010-12-28 International Business Machines Corporation Method and system for distributed retrieval of data objects using tagged artifacts within federated protocol operations
US20080021866A1 (en) * 2006-07-20 2008-01-24 Heather M Hinton Method and system for implementing a floating identity provider model across data centers
JP2008226148A (ja) 2007-03-15 2008-09-25 Ricoh Co Ltd 認証システム、中継サーバ、認証方法、およびプログラム
US20080235513A1 (en) * 2007-03-19 2008-09-25 Microsoft Corporation Three Party Authentication
WO2008124365A1 (en) * 2007-04-04 2008-10-16 Motorola, Inc. Method and apparatus to facilitate using a federation-based benefit to facilitate communications mobility
US8434129B2 (en) * 2007-08-02 2013-04-30 Fugen Solutions, Inc. Method and apparatus for multi-domain identity interoperability and compliance verification
CN101471777B (zh) * 2007-12-29 2011-08-31 中国科学院计算技术研究所 一种基于域名的跨域接入控制系统及方法
JP5556180B2 (ja) 2008-01-24 2014-07-23 コニカミノルタ株式会社 電子証明書を用いた認証に係るネットワークシステム、認証サーバ装置および認証方法
US8219802B2 (en) * 2008-05-07 2012-07-10 International Business Machines Corporation System, method and program product for consolidated authentication
US8250635B2 (en) * 2008-07-13 2012-08-21 International Business Machines Corporation Enabling authentication of openID user when requested identity provider is unavailable
US8099768B2 (en) * 2008-09-18 2012-01-17 Oracle America, Inc. Method and system for multi-protocol single logout

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070136786A1 (en) * 2005-12-08 2007-06-14 Sun Microsystems, Inc. Enabling identity information exchange between circles of trust
US20080021997A1 (en) * 2006-07-21 2008-01-24 Hinton Heather M Method and system for identity provider migration using federated single-sign-on operation
CN101453328A (zh) * 2007-12-06 2009-06-10 中国移动通信集团公司 身份管理系统及身份认证系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See also references of EP2456120A4 *

Also Published As

Publication number Publication date
JP5627683B2 (ja) 2014-11-19
EP2456120A1 (en) 2012-05-23
US8910244B2 (en) 2014-12-09
CN101998360A (zh) 2011-03-30
EP2456120A4 (en) 2017-04-12
CN101998360B (zh) 2015-05-20
US20120131642A1 (en) 2012-05-24
JP2013501984A (ja) 2013-01-17

Similar Documents

Publication Publication Date Title
CA2473793C (en) System, method and apparatus for federated single sign-on services
JP5507462B2 (ja) 異なる組織に属する複数のユーザのためのクレデンシャルの複製を行わない認証方法
WO2011017922A1 (zh) 建立身份管理信任的方法及身份提供方和业务提供方
WO2013180356A1 (ko) M2m 통신에서 리소스 접근 권한 설정 방법
WO2012055339A1 (zh) 一种云计算服务的认证路由系统、方法和认证路由器
JP2007180998A (ja) 無線網制御装置及び無線網制御システム
CA2753846A1 (en) Method for user terminal authentication of interface server and interface server and user terminal thereof
US7788707B1 (en) Self-organized network setup
WO2013040957A1 (zh) 单点登录的方法、系统和信息处理方法、系统
Lampropoulos et al. Identity management directions in future internet
Jiang et al. A federated identity management system with centralized trust and unified Single Sign-On
CN100365591C (zh) 基于客户端的网络地址分配方法
WO2013071821A1 (zh) 一种安全策略下发方法及实现该方法的网元和系统
WO2011063658A1 (zh) 统一安全认证的方法和系统
WO2011017921A1 (zh) 一种访问拜访地服务提供商的系统及方法
CN115361685A (zh) 一种端到端漫游认证方法、系统
Laganier et al. Hipernet: a decentralized security infrastructure for large scale grid environments
Goto Cityroam, providing secure public wireless LAN services with international roaming
Kuntz et al. An improved network mobility service for intelligent transportation systems
KR20150066401A (ko) M2m 환경에서의 데이터 적용기술
US11968242B2 (en) Differentiated service in a federation-based access network
CN103078834A (zh) 一种安全连接的方法、系统及网元
WO2024037215A1 (zh) 通信方法及装置
Goto Inter-federation roaming architecture for large-scale wireless lan roaming systems
Conti et al. RICe: Remote Attestation of Internet of Mobile Things in Information Centric Networking

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 10807867

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 13257947

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2012524085

Country of ref document: JP

WWE Wipo information: entry into national phase

Ref document number: 2010807867

Country of ref document: EP