本发明专利技术提供了一种访问拜访地服务提供商的系统及方法,用户访问拜访地的服务提供商时,所述拜访地的身份提供商IdP获取用户的信息后,通过拜访地的身份提供商IdP与归属地的IdP之间的接口,请求所述用户归属地IdP对所述用户进行认证,所述归属地IdP完成认证后向所述拜访地IdP返回认证结果,所述拜访地IdP将认证结果发送至所述拜访地的服务提供商,所述拜访地的服务提供商根据认证结果向所述用户提供服务;拜访地IdP与归属地的IdP之间的接口是和归属地服务提供商与归属地IdP之间的接口相同。采用本发明专利技术,解决了现有身份管理系统中用户跨越不同IdM系统访问SP的问题。
【技术实现步骤摘要】
本专利技术涉及网络通信系统中的安全通信技术,尤其涉及一种访问拜访地服务提供 商的系统及方法。
技术介绍
身份管理(IdM,Identity Management)是指以网络和相关支持技术为基础,对用 户身份的生命周期(使用过程),以及用户身份与网络应用服务之间的关系进行管理。例 如,对访问应用和资源的用户进行认证或授权等。目前,IdM系统之间还处于一种相互独立 的垂直结构,且这些IdM系统大多是针对特定的应用服务建立起来的,各个IdM系统之间无 法实现互联互通,无法实现用户信息(如用户的信任信息、认证信任)的共享。IdM系统包括用户、IdP (身份提供商)、SP (Service provide,服务提供商)。在认 证过程中,只有SP和IdP之间存在信任关系,SP才能确认IdP对用户身份的认证信息是真 实可靠的,才能进一步为用户提供服务。在IdM系统中,IdP作为独立运营商,实现了身份 服务与应用服务的分离。通过一系列的查询/应答消息,IdP为用户提供身份注册、身份管 理和身份认证等一系列服务,从而在SP和用户之间建立服务所期望的信任等级,实现用户 对服务的访问。如图1所示是现有技术IdM系统对用户进行认证的通用流程步骤101,用户向服务提供商SP请求提供服务;步骤102,服务提供商SP要求用户进行身份认证;步骤103,用户向SP发送用户ID以及所在地的IdP地址;步骤104,SP将接收的用户ID以及所在地的IdP地址转发至IdP ;步骤105,IdP向用户发送消息,请求用户输入凭证信息;步骤106,用户向IdP发送其凭证信息;步骤107,IdP对用户提供的身份信息进行认证。步骤108,IdP向SP返回认证结果。步骤109,SP根据得到的认证结果为用户提供相应的服务。在通用的IdM系统中,拜访地的SP通过拜访地的IdP的认证来控制用户对其资源 的访问,而拜访地的IdP只能对其自身的用户进行认证,而当其它IdP的用户访问时,则被 认为是非法用户,用户必须重新进行注册,这样既不方便用户也限制了 SP的发展。
技术实现思路
本专利技术要解决的技术问题是提供,解决 了现有身份管理系统中用户跨越不同IdM系统访问SP的问题。为了解决上述问题,本专利技术提供了一种访问拜访地服务提供商的方法,用户访问 拜访地的服务提供商时,所述拜访地的身份提供商IdP获取用户的信息后,通过拜访地的 身份提供商IdP与归属地的IdP之间的接口,请求所述用户归属地IdP对所述用户进行认证,所述归属地IdP完成认证后向所述拜访地IdP返回认证结果,所述拜访地IdP将认证结 果发送至所述拜访地的服务提供商,所述拜访地的服务提供商根据认证结果向所述用户提 供服务;所述拜访地的IdP与归属地的IdP之间的接口是和归属地服务提供商与归属地 IdP之间的接口相同。进一步地,所述拜访地IdP请求所述归属地IdP进行认证是指,拜访地IdP向归属 地IdP发送认证请求,携带所述用户的用户标识;所述归属地IdP收到所述认证请求后,向所述用户获取该用户的凭证信息,然后 对所述用户进行认证,并将认证结果返回至拜访地IdP。进一步地,所述拜访地IdP收到认证结果后,将所述认证结果进行格式转换后发 送至所述拜访地的服务提供商。 进一步地,所述拜访地IdP获取所述用户的信息后,根据其中的用户归属地IdP地 址进行地址检查,若该IdP地址为拜访地IdP地址,则直接进行认证,否则请求所述归属地 IdP进行认证。本专利技术还提供一种访问拜访地服务提供商的系统,包括用户归属地IdP、拜访地 IdP及拜访地的服务提供商;所述拜访地IdP,用于收到用户的信息后,若用户不是其所在地的用户,则通过拜 访地的IdP与归属地的IdP之间的接口向该用户归属地IdP发送认证请求;还用于收到认 证结果后将其发送至拜访地的服务提供商;所述拜访地的IdP与归属地的IdP之间的接口 是和归属地服务提供商与归属地IdP之间的接口相同;所述归属地IdP,用于收到认证请求后对用户进行认证,并将认证结果返回至所述 拜访地IdP ;所述拜访地的服务提供商,用于根据所述认证结果向所述用户提供服务。进一步地,所述拜访地IdP,还用于收到认证结果后,将该认证结果进行格式转换 后发送至所述拜访地的服务提供商。进一步地,所述拜访地IdP收到用户的信息后,根据其中的归属地IdP地址进行地 址检查,若该IdP地址为所述拜访地IdP地址,则直接进行认证,否则请求所述归属地IdP 进行认证。进一步地,所述拜访地IdP收到用户的信息后,根据其中的归属地IdP地址进行地 址检查,若该IdP地址为所述拜访地IdP地址,则直接进行认证是指,所述拜访地IdP对用 户进行认证,并将认证结果返回给拜访地的服务提供商。进一步地,所述拜访地IdP收到用户的信息后,根据其中的归属地IdP地址进行 地址检查,若该IdP地址为所述归属地IdP地址,请求所述归属地IdP进行认证是指拜访 地IdP携带所述用户的用户标识,通过拜访地的IdP与归属地的IdP之间的接口,向归属地 IdP发送认证请求,所述归属地IdP收到所述认证请求后,向所述用户获取该用户的凭证信 息,然后对所述用户进行认证,并将认证结果返回至拜访地IdP。本专利技术提供了,解决了现有身份管理系 统中用户跨越不同IdM系统访问SP的问题;且该方法简单易行,不需更改原有IdM系统认 证的通用模型和通信机制,IdM系统只需要添加转发,与转换授权机制,就能很好的解决跨IdM系统访问认证的问题,该方法的专利技术满足了用户需求,能够使IdM系统得到更广泛的使用。附图说明图1是现有技术IdM系统对用户进行认证的通用流程图;图2是用户跨不同IdP访问SP时的各成员实例示意图;图3是本专利技术用户跨不同IdP访问SP时对用户进行认证的流程图。具体实施例方式本实施例提供一种访问拜访地服务提供商的系统,如图2所示,包括拜访地IdP、 归属地IdP、拜访地的SP ;当用户访问拜访地SP时,拜访地SP请求拜访地IdP(即拜访地 SP所在地的IdP)对用户进行认证,拜访地IdP承担IdP的作用;由于用户不属于该拜访地 的用户,拜访地IdP无法对其进行认证,于是请求归属地IdP对用户进行认证,此时,拜访地 IdP表现为SP的角色。具体地,拜访地的SP用于收到用户提供服务的请求后请求该用户进行身份认证,以及收 到用户发来的用户ID和归属地IdP地址后向该SP所在地的IdP发送认证请求,携带该用 户ID和归属地IdP地址;还用于收到其所在地的IdP返回的用户认证结果后根据该认证结 果向用户提供相应服务。拜访地IdP用于收到认证请求后,判断用户是否为所在地的用户,是则直接进行 认证,若不是则请求该用户归属地的IdP对其进行认证,携带该用户ID ;还用于收到归属地 IdP返回的认证结果后,将该结果进行格式转换,转换成本系统支持的格式后发送至所在地 的SP。归属地IdP用于收到认证请求后,根据用户ID获取该用户的凭证信息,之后根据 用户ID和其凭证等信息进行认证,并将认证结果返回至拜访地IdP。拜访地IdP与归属地IdP之间的接口是和归属地的SP与归属地IdP之间的接口 相同。本实施例提供一种访问拜访地服务提供商的方法,如图3所示,包括以下步本文档来自技高网...
【技术保护点】
一种访问拜访地服务提供商的方法,其特征在于: 用户访问拜访地的服务提供商时,所述拜访地身份提供商IdP获取用户的信息后,通过拜访地IdP与归属地的IdP之间的接口,请求所述用户归属地IdP对所述用户进行认证,所述归属地IdP完成认证后向所述拜访地IdP返回认证结果,所述拜访地IdP将认证结果发送至所述拜访地的服务提供商,所述拜访地的服务提供商根据认证结果向所述用户提供服务; 所述拜访地IdP与归属地IdP之间的接口是和归属地服务提供商与归属地IdP之间的接口相同。
【技术特征摘要】
1. 一种访问拜访地服务提供商的方法,其特征在于用户访问拜访地的服务提供商时,所述拜访地身份提供商IdP获取用户的信息后,通 过拜访地IdP与归属地的IdP之间的接口,请求所述用户归属地IdP对所述用户进行认证, 所述归属地IdP完成认证后向所述拜访地IdP返回认证结果,所述拜访地IdP将认证结果 发送至所述拜访地的服务提供商,所述拜访地的服务提供商根据认证结果向所述用户提供 服务;所述拜访地IdP与归属地IdP之间的接口是和归属地服务提供商与归属地IdP之间的 接口相同。2.如权利要求1所述的方法,其特征在于所述拜访地IdP请求所述归属地IdP进行认证是指,拜访地IdP向归属地IdP发送认 证请求,携带所述用户的用户标识;所述归属地IdP收到所述认证请求后,向所述用户获取该用户的凭证信息,然后对所 述用户进行认证,并将认证结果返回至拜访地IdP。3.如权利要求2所述的方法,其特征在于,所述方法还包括所述拜访地IdP收到认证结果后,将所述认证结果进行格式转换后发送至所述拜访地 的服务提供商。4.如权利要求1所述的方法,其特征在于,所述方法还包括所述拜访地IdP获取所述用户的信息后,根据其中的用户归属地IdP地址进行地址检 查,若该IdP地址为拜访地IdP地址,则直接进行认证,否则请求所述归属地IdP进行认证。5. 一种访问拜访地服务提供商的系统,包括用户归属地身份提供商IdP、拜访地IdP及 拜访地的服务提供商,其特征在于所述拜访地IdP,用于收到用户的信息后,若用户不是其所在地的用户,则通过拜访地 的IdP与归属地的IdP之...
【专利技术属性】
技术研发人员:高宏伟,林兆骥,陈剑勇,滕志猛,李媛,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。