一種訪問拜訪地服務提供商的系統及方法

2023-06-17 02:18:41

專利名稱：一種訪問拜訪地服務提供商的系統及方法
技術領域：
本發明涉及網絡通信系統中的安全通信技術，尤其涉及一種訪問拜訪地服務提供 商的系統及方法。
背景技術：
身份管理(IdM，Identity Management)是指以網絡和相關支持技術為基礎，對用 戶身份的生命周期(使用過程)，以及用戶身份與網絡應用服務之間的關係進行管理。例 如，對訪問應用和資源的用戶進行認證或授權等。目前，IdM系統之間還處於一種相互獨立 的垂直結構，且這些IdM系統大多是針對特定的應用服務建立起來的，各個IdM系統之間無 法實現互聯互通，無法實現用戶信息(如用戶的信任信息、認證信任)的共享。IdM系統包括用戶、IdP (身份提供商)、SP (Service provide，服務提供商)。在認 證過程中，只有SP和IdP之間存在信任關係，SP才能確認IdP對用戶身份的認證信息是真 實可靠的，才能進一步為用戶提供服務。在IdM系統中，IdP作為獨立運營商，實現了身份 服務與應用服務的分離。通過一系列的查詢/應答消息，IdP為用戶提供身份註冊、身份管 理和身份認證等一系列服務，從而在SP和用戶之間建立服務所期望的信任等級，實現用戶 對服務的訪問。如圖1所示是現有技術IdM系統對用戶進行認證的通用流程步驟101，用戶向服務提供商SP請求提供服務；步驟102，服務提供商SP要求用戶進行身份認證；步驟103，用戶向SP發送用戶ID以及所在地的IdP地址；步驟104，SP將接收的用戶ID以及所在地的IdP地址轉發至IdP ；步驟105，IdP向用戶發送消息，請求用戶輸入憑證信息；步驟106，用戶向IdP發送其憑證信息；步驟107，IdP對用戶提供的身份信息進行認證。步驟108，IdP向SP返回認證結果。步驟109，SP根據得到的認證結果為用戶提供相應的服務。在通用的IdM系統中，拜訪地的SP通過拜訪地的IdP的認證來控制用戶對其資源 的訪問，而拜訪地的IdP只能對其自身的用戶進行認證，而當其它IdP的用戶訪問時，則被 認為是非法用戶，用戶必須重新進行註冊，這樣既不方便用戶也限制了 SP的發展。

發明內容
本發明要解決的技術問題是提供一種訪問拜訪地服務提供商的系統及方法，解決 了現有身份管理系統中用戶跨越不同IdM系統訪問SP的問題。為了解決上述問題，本發明提供了一種訪問拜訪地服務提供商的方法，用戶訪問 拜訪地的服務提供商時，所述拜訪地的身份提供商IdP獲取用戶的信息後，通過拜訪地的 身份提供商IdP與歸屬地的IdP之間的接口，請求所述用戶歸屬地IdP對所述用戶進行認證，所述歸屬地IdP完成認證後向所述拜訪地IdP返回認證結果，所述拜訪地IdP將認證結 果發送至所述拜訪地的服務提供商，所述拜訪地的服務提供商根據認證結果向所述用戶提 供服務；所述拜訪地的IdP與歸屬地的IdP之間的接口是和歸屬地服務提供商與歸屬地 IdP之間的接口相同。進一步地，所述拜訪地IdP請求所述歸屬地IdP進行認證是指，拜訪地IdP向歸屬 地IdP發送認證請求，攜帶所述用戶的用戶標識；所述歸屬地IdP收到所述認證請求後，向所述用戶獲取該用戶的憑證信息，然後 對所述用戶進行認證，並將認證結果返回至拜訪地IdP。進一步地，所述拜訪地IdP收到認證結果後，將所述認證結果進行格式轉換後發 送至所述拜訪地的服務提供商。 進一步地，所述拜訪地IdP獲取所述用戶的信息後，根據其中的用戶歸屬地IdP地 址進行地址檢查，若該IdP地址為拜訪地IdP地址，則直接進行認證，否則請求所述歸屬地 IdP進行認證。本發明還提供一種訪問拜訪地服務提供商的系統，包括用戶歸屬地IdP、拜訪地 IdP及拜訪地的服務提供商；所述拜訪地IdP，用於收到用戶的信息後，若用戶不是其所在地的用戶，則通過拜 訪地的IdP與歸屬地的IdP之間的接口向該用戶歸屬地IdP發送認證請求；還用於收到認 證結果後將其發送至拜訪地的服務提供商；所述拜訪地的IdP與歸屬地的IdP之間的接口 是和歸屬地服務提供商與歸屬地IdP之間的接口相同；所述歸屬地IdP，用於收到認證請求後對用戶進行認證，並將認證結果返回至所述 拜訪地IdP ；所述拜訪地的服務提供商，用於根據所述認證結果向所述用戶提供服務。進一步地，所述拜訪地IdP，還用於收到認證結果後，將該認證結果進行格式轉換 後發送至所述拜訪地的服務提供商。進一步地，所述拜訪地IdP收到用戶的信息後，根據其中的歸屬地IdP地址進行地 址檢查，若該IdP地址為所述拜訪地IdP地址，則直接進行認證，否則請求所述歸屬地IdP 進行認證。進一步地，所述拜訪地IdP收到用戶的信息後，根據其中的歸屬地IdP地址進行地 址檢查，若該IdP地址為所述拜訪地IdP地址，則直接進行認證是指，所述拜訪地IdP對用 戶進行認證，並將認證結果返回給拜訪地的服務提供商。進一步地，所述拜訪地IdP收到用戶的信息後，根據其中的歸屬地IdP地址進行 地址檢查，若該IdP地址為所述歸屬地IdP地址，請求所述歸屬地IdP進行認證是指拜訪 地IdP攜帶所述用戶的用戶標識，通過拜訪地的IdP與歸屬地的IdP之間的接口，向歸屬地 IdP發送認證請求，所述歸屬地IdP收到所述認證請求後，向所述用戶獲取該用戶的憑證信 息，然後對所述用戶進行認證，並將認證結果返回至拜訪地IdP。本發明提供了一種訪問拜訪地服務提供商的系統及方法，解決了現有身份管理系 統中用戶跨越不同IdM系統訪問SP的問題；且該方法簡單易行，不需更改原有IdM系統認 證的通用模型和通信機制，IdM系統只需要添加轉發，與轉換授權機制，就能很好的解決跨IdM系統訪問認證的問題，該方法的發明滿足了用戶需求，能夠使IdM系統得到更廣泛的使用。


圖1是現有技術IdM系統對用戶進行認證的通用流程圖；圖2是用戶跨不同IdP訪問SP時的各成員實例示意圖；圖3是本發明用戶跨不同IdP訪問SP時對用戶進行認證的流程圖。
具體實施例方式本實施例提供一種訪問拜訪地服務提供商的系統，如圖2所示，包括拜訪地IdP、 歸屬地IdP、拜訪地的SP ；當用戶訪問拜訪地SP時，拜訪地SP請求拜訪地IdP(即拜訪地 SP所在地的IdP)對用戶進行認證，拜訪地IdP承擔IdP的作用；由於用戶不屬於該拜訪地 的用戶，拜訪地IdP無法對其進行認證，於是請求歸屬地IdP對用戶進行認證，此時，拜訪地 IdP表現為SP的角色。具體地，拜訪地的SP用於收到用戶提供服務的請求後請求該用戶進行身份認證，以及收 到用戶發來的用戶ID和歸屬地IdP地址後向該SP所在地的IdP發送認證請求，攜帶該用 戶ID和歸屬地IdP地址；還用於收到其所在地的IdP返回的用戶認證結果後根據該認證結 果向用戶提供相應服務。拜訪地IdP用於收到認證請求後，判斷用戶是否為所在地的用戶，是則直接進行 認證，若不是則請求該用戶歸屬地的IdP對其進行認證，攜帶該用戶ID ；還用於收到歸屬地 IdP返回的認證結果後，將該結果進行格式轉換，轉換成本系統支持的格式後發送至所在地 的SP。歸屬地IdP用於收到認證請求後，根據用戶ID獲取該用戶的憑證信息，之後根據 用戶ID和其憑證等信息進行認證，並將認證結果返回至拜訪地IdP。拜訪地IdP與歸屬地IdP之間的接口是和歸屬地的SP與歸屬地IdP之間的接口 相同。本實施例提供一種訪問拜訪地服務提供商的方法，如圖3所示，包括以下步驟步驟301，用戶終端向拜訪地的SP提出提供服務請求。步驟302，拜訪地的SP伺服器要求用戶終端進行身份認證。步驟303，用戶根據要求提供用戶ID和用戶所在地IdP地址。步驟304，拜訪地的SP伺服器收到用戶提供的ID和註冊IdP地址(即用戶所在 IdP地址)，並轉發給該SP所在地的IdP，請求認證用戶。步驟305，拜訪地IdP收到拜訪地的SP提供的用戶的ID和IdP地址，首先進行地 址檢查，如果是自身，則直接進行認證，並返回認證結果。否則，轉向步驟306。步驟306，拜訪地IdP系統作為SP的角色，向用戶歸屬地IdP發送認證請求，其中 攜帶該用戶ID ；步驟307，用戶歸屬地IdP收到認證請求，向該用戶ID對應的用戶發送消息，請求 其輸入憑證信息；步驟308，用戶向其歸屬地IdP發送其憑證信息；
步驟309，用戶歸屬地IdP根據用戶ID和憑證等信息進行認證。步驟310，用戶歸屬地IdP向拜訪地IdP返回認證結果，攜帶用戶ID。步驟311，拜訪地IdP收到用戶的認證結果，並將此認證結果映射為拜訪地認證結 果，該映射是指將接收的認證結果進行格式轉換，轉換為本系統格式的認證結果。步驟312，拜訪地IdP向拜訪地SP返迴轉化後的認證結果。步驟313，拜訪地SP根據認證結果為該用戶提供相應服務。拜訪地IdP與歸屬地IdP之間的接口是和歸屬地服務提供商與歸屬地IdP之間的 接口相同。
權利要求
1. 一種訪問拜訪地服務提供商的方法，其特徵在於用戶訪問拜訪地的服務提供商時，所述拜訪地身份提供商IdP獲取用戶的信息後，通 過拜訪地IdP與歸屬地的IdP之間的接口，請求所述用戶歸屬地IdP對所述用戶進行認證， 所述歸屬地IdP完成認證後向所述拜訪地IdP返回認證結果，所述拜訪地IdP將認證結果 發送至所述拜訪地的服務提供商，所述拜訪地的服務提供商根據認證結果向所述用戶提供 服務；所述拜訪地IdP與歸屬地IdP之間的接口是和歸屬地服務提供商與歸屬地IdP之間的 接口相同。
2.如權利要求1所述的方法，其特徵在於所述拜訪地IdP請求所述歸屬地IdP進行認證是指，拜訪地IdP向歸屬地IdP發送認 證請求，攜帶所述用戶的用戶標識；所述歸屬地IdP收到所述認證請求後，向所述用戶獲取該用戶的憑證信息，然後對所 述用戶進行認證，並將認證結果返回至拜訪地IdP。
3.如權利要求2所述的方法，其特徵在於，所述方法還包括所述拜訪地IdP收到認證結果後，將所述認證結果進行格式轉換後發送至所述拜訪地 的服務提供商。
4.如權利要求1所述的方法，其特徵在於，所述方法還包括所述拜訪地IdP獲取所述用戶的信息後，根據其中的用戶歸屬地IdP地址進行地址檢 查，若該IdP地址為拜訪地IdP地址，則直接進行認證，否則請求所述歸屬地IdP進行認證。
5. 一種訪問拜訪地服務提供商的系統，包括用戶歸屬地身份提供商IdP、拜訪地IdP及 拜訪地的服務提供商，其特徵在於所述拜訪地IdP，用於收到用戶的信息後，若用戶不是其所在地的用戶，則通過拜訪地 的IdP與歸屬地的IdP之間的接口向該用戶歸屬地IdP發送認證請求；還用於收到認證結 果後將其發送至拜訪地的服務提供商；所述拜訪地IdP與歸屬地IdP之間的接口是和歸屬 地服務提供商與歸屬地IdP之間的接口相同；所述歸屬地IdP，用於收到認證請求後對用戶進行認證，並將認證結果返回至所述拜訪 地 IdP ；所述拜訪地的服務提供商，用於根據所述認證結果向所述用戶提供服務。
6.如權利要求5所述的系統，其特徵在於所述拜訪地IdP，還用於收到認證結果後，將該認證結果進行格式轉換後發送至所述拜 訪地的服務提供商。
7.如權利要求5所述的系統，其特徵在於所述拜訪地IdP收到用戶的信息後，根據其中的歸屬地IdP地址進行地址檢查，若該 IdP地址為所述拜訪地IdP地址，則直接進行認證，否則請求所述歸屬地IdP進行認證。
8.如權利要求7所述的系統，其特徵在於所述拜訪地IdP收到用戶的信息後，根據其中的歸屬地IdP地址進行地址檢查，若該 IdP地址為所述拜訪地IdP地址，則直接進行認證是指，所述拜訪地IdP對用戶進行認證，並 將認證結果返回給拜訪地的服務提供商。
9.如權利要求7所述的系統，其特徵在於所述拜訪地IdP收到用戶的信息後，根據其中的歸屬地IdP地址進行地址檢查，若該 IdP地址為所述歸屬地IdP地址，請求所述歸屬地IdP進行認證是指拜訪地IdP攜帶所述 用戶的用戶標識，通過拜訪地的IdP與歸屬地的IdP之間的接口，向歸屬地IdP發送認證請 求，所述歸屬地IdP收到所述認證請求後，向所述用戶獲取該用戶的憑證信息，然後對所述 用戶進行認證，並將認證結果返回至拜訪地IdP。
全文摘要
本發明提供了一種訪問拜訪地服務提供商的系統及方法，用戶訪問拜訪地的服務提供商時，所述拜訪地的身份提供商IdP獲取用戶的信息後，通過拜訪地的身份提供商IdP與歸屬地的IdP之間的接口，請求所述用戶歸屬地IdP對所述用戶進行認證，所述歸屬地IdP完成認證後向所述拜訪地IdP返回認證結果，所述拜訪地IdP將認證結果發送至所述拜訪地的服務提供商，所述拜訪地的服務提供商根據認證結果向所述用戶提供服務；拜訪地IdP與歸屬地的IdP之間的接口是和歸屬地服務提供商與歸屬地IdP之間的接口相同。採用本發明，解決了現有身份管理系統中用戶跨越不同IdM系統訪問SP的問題。
文檔編號H04W12/06GK101998398SQ20091016237
公開日2011年3月30日 申請日期2009年8月11日 優先權日2009年8月11日
發明者李媛, 林兆驥, 滕志猛, 陳劍勇, 高宏偉 申請人:中興通訊股份有限公司