本发明专利技术涉及一种用于通过身份提供者(40)为请求实体(50)提供身份相关的信息(IRI)的方法。本发明专利技术包括:第一真实性参考部分生成步骤(Ⅳa),包括由所述身份提供者(40)生成第一真实性参考部分(art1);在所述客户端应用(30)与所述身份提供者(40)之间的第一真实性参考通信步骤(Ⅳb、Ⅳd),包括传送所述第一真实性参考部分(art1);第二真实性参考部分生成步骤(Ⅵ),包括由所述身份提供者(40)生成第二真实性参考部分(art2);借助所述第一通信协议在所述身份提供者(40)与所述请求实体(50)之间进行的第二真实性参考通信步骤(Ⅷ、Ⅸ),包括传送所述第二真实性参考部分(art2)以及传送引用者元素中的所述第一真实性参考部分(art1)。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及一种用于通过身份提供者为请求实体提供关于用户的身份 相关的4言息的方法和系统。
技术介绍
在广义上,身份管理意味着管理有关某个人的所有个人信息,至少包 括此人的所有数字关系。在未来十年内,身份管理系统在此广义上将4艮可 能得到发展。短期内,身份管理通常用于通过传输有关某个人的少量数据 而进行网络单点登录。主要的商业案例是电子商务的全面推进身份管理M础设施问题, 其中几乎所有各方都可以受益于如互联网和网络标准之类的标准。单点登录使得个人或用户能够在仅记住一个密码的情况下登录到不同 的组织或服务。此外,单点登录协议允许客户端应用向它们未与之事先交 换任何常用数据(如密钥)的其他应用标识自身。通常,对于所有组织或 服务,许多用户都选择相同的用户名和密码。这存在两个问题每个服务 可以模仿用户使用其他服务。这对于一个企业的各个服务是可以接受的, 但即使如此,人们还是更倾向于较好的模块化。而且显然这对于用户的全 面网络体验而言是不可接受的。单点登录被普遍视为一种必要的基础设施,可使互联网上的电子商务 更容易进行,并允许广泛使用新兴的网络服务。它还可以演变为更普遍的 身份管理,例如用于在建立身份之后交换有关某个人的其他信息。近来,单点登录解决方案例如被微软公司的Passport系统(URL: http:〃www.passportcom)、安全断言标记语言(SAML )的OASIS (结 构化信息标准促进组织)标准化(URL :http:〃www.oasis誦open.org/committees/security/docs ) , J^及自由联盟i十戈寸 的最新规范(URL: http:〃www.projectliberty.org)所熟知。联盟规范中 的一个方面是不仅为作为客户端应用的浏览器提供详细的协议,而且还为 其他功能更强大的客户端应用提供更高效的协议。此设置中的较早相关方 案是传统的三方验证协议。传统的三方客户端^ii协i义(如Kerberos、 Needham匿Schroeder)全 部始于密钥交换或密钥建立协议,然后需要客户端应用使用此密钥进行加 密和验证。换言之,可以通过某些事先交换的信息(例如密码、密钥或已 确认的公钥)标识客户端应用的第三方通常生成用于在客户端应用及其合 作实体(在此称为"请求实体")之间通信的新密钥,并且针对这两个实 体安全地建立此密钥。存在各种协议以执行此密钥的安全传输。诸如安全断言标记语言(SAML)之类的联合身份管理建议能够通过 密码帮助台、用户管理和用户删除方面的节省而降低用户管理成本。SAML 具有仅依赖于标准Web浏览器的基于浏览器的简档,以便例如通过单点登 录实现身份联合。这些协议为联合身份管理解决方案的一般优点补充了零 足迹的特性,即不需要安装额外的客户端软件。因此,基于浏览器的简档 可进行低成本高效率的部署。但是,将标准Web浏览器作为客户端时设计 安全协议并不简单。浏览器(并不知道其所参与的协议)具有预定义的行 为、对预定义的消息做出反应并生成流向底层操作系统和通信伙伴的信息。 尤其是,通过浏览器的统一资源定位(URL)传输机密信息的协议的安全 性由于标准Web浏览器的这种不了解协议的行为而处于险境。SAML的 浏览器/助诊文件(artifact)简档属于此类协议,因为它们发出随机助诊文 件作为对安全令牌的参考并通过浏览器重定向URL传输此令牌。同时,SAML已t艮到版本2.0。标准中的结构和命名也略有变化, 因此对应的协议(在安全协议研究的术语方面)现在为SAML V2.0 Web Browser SSO/Response/Artifact Feature,本专利技术的一个目标是提供用于身份管理的改进解决方案。
技术实现思路
本专利技术涉及如独立权利要求中所定义的方法、系统、请求实体、身份 提供者和计算机程序。所附从属权利要求中提供了本专利技术的其他实施例。根据本专利技术的一个方面,提供了一种用于通过身份提供者为请求实体 提供身份相关的信息的方法,其中提供了客户端应用以便用户与所述请求 实体和所述身份提供者通信,其中所述客户端应用使用第一通信协议,其中所述第一通信协议包括引用者(referrer)函数,根据该函数,通信消息 可以包括具有与至少一个先前通信步骤有关的信息的引用者元素,所述方 法包括向所述身份提供者發伍所述用户,第一真实性参考部分生成步骤,包括由所述身>(^提供者生成第一真实 性参考部分,在所述客户端应用与所述身份提供者之间的第 一真实性参考通信步 骤,包括传送所述第一真实性参考部分,第二真实性参考部分生成步骤,包括由所述身^^提供者生成第二真实 性参考部分,借助所述第 一通信协议在所述身份提供者与所述请求实体之间进行的 第二真实性参考通信步骤,包括传送所述第二真实性参考部分以及传送所述引用者元素中的所述第一真实性参考部分,请求步骤,其中所述请求实体向所述身份提供者发送所述第一和所述 第二真实性参考部分或所述第 一和所述第二真实性参考部分的安全函数,响应步骤,其中所述身份提供者向所述请求实体发送所述身份相关的信息。此方法具有显著增强了安全性的优点。此外,它可以容易和高效地实 现。通过发送至少两个真实性参考部分(第一真实性参考部分和第二真实 性参考部分),确保了如果对手仅获得两个真实性参考部分之一,则无法 代表用户对请求实体执行操作。应以广泛的方式理解术语用户。用户是其身份受管理的任何实体或个人。术语用户还应包括用户的客户端,例如特定软件应用。根据本专利技术的各种实施例,执fr清求步骤存在不同的可能性。 一种可能性是在请求步骤中向身份提供者发送第 一和第二真实性参考 部分。在这种情况下,生成第一和第二真实性参考部分之后,身伤^i供者 将它们作为一对存储在数据库中,并且如果身份提供者在请求步骤中收到 一对真实性参考部分,其将在数据库中查找是否存储了相应的对。如果已 存储,他将向请求实体发送相应的身份相关的信息。否则,可以发送错误 消息。另 一种可能性是使用第 一和第二真实性参考部分的安全函数。安全函 数应被理解为确保对手不可能或至少几乎不可能重新构造函数结果的函 数,所述结果从第一和第二真实性参考部分、仅从一个真实性参考部分计 算得出。在这种情况下,生成第一和第二真实性参考部分之后,身份提供 者将分别计算和确定主要真实性参考。此主要真实性参考由安全函数通过 第一和第二真实性参考部分计算得出。然后身份提供者存储主要真实性参 考。如果请求实体在第二真实性参考通信步骤中收到第 一和第二真实性参 考部分,它将通过同一安全函数或相应的安全函数分别计算和确定主要真 实性参考。这意味着在这种情况下,身份提供者以及请求实体知道相同的 安全函数,或者身份提供者知道一个安全函数而请求实体知道相应的安全 函数。在请求实体侧使用相应的安全函数允许公钥加密。在请求步骤中, 请求实体向身份提供者发送主要真实性参考。身份提供者在其数据库中查 找是否具有已存储的相应主要真实性参考。如果存在,他将向请求实体发 送相应的身份相关的信息。本专利技术可以应用于各种形式的通信协议。具体地说,它可应用于包括 引用者函数的通信协议,根据该函数,通信消息包括多个具有与两个或更 多个先前通信步本文档来自技高网...
【技术保护点】
一种用于通过身份提供者(40)为请求实体(50)提供身份相关的信息(IRI)的方法,其中提供了客户端应用(30)以便用户与所述请求实体(50)和所述身份提供者(40)通信,其中所述客户端应用(30)使用第一通信协议,其中所述第一通信协议包括引用者函数,根据该函数,通信消息可以包括具有与至少一个先前通信步骤有关的信息的引用者元素,所述方法包括: 向所述身份提供者(40)验证所述用户, 第一真实性参考部分生成步骤(Ⅳa),包括由所述身份提供者(40)生成第一真实性参考部分(art1), 在所述客户端应用(30)与所述身份提供者(40)之间的第一真实性参考通信步骤(Ⅳb、Ⅳd),包括传送所述第一真实性参考部分(art1), 第二真实性参考部分生成步骤(Ⅵ),包括由所述身份提供者(40)生成第二真实性参考部分(art2), 借助所述第一通信协议在所述身份提供者(40)与所述请求实体(50)之间进行的第二真实性参考通信步骤(Ⅷ、Ⅸ),包括传送所述第二真实性参考部分(art2)以及传送所述引用者元素中的所述第一真实性参考部分(art1), 请求步骤(Ⅹ),其中所述请求实体(50)向所述身份提供者(40)发送所述第一(art1)和所述第二(art2)真实性参考部分或所述第一(art1)和所述第二(art2)真实性参考部分的安全函数(art), 响应步骤(ⅩⅢ),其中所述身份提供者向所述请求实体(50)发送所述身份相关的信息(IRI)。...
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:TR格罗斯,B普费茨曼,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。