描述了一种用于使得用户能够访问服务提供者的方法和设备。用户从浏览器向代理服务器发送请求。代理服务器通过添加关于能够为用户提供用户证书的身份提供者的位置的数据(诸如URL)来修改请求并将经修改的请求转送至服务提供者。访问请求的修改可以在请求被发送到服务提供者之前或响应于来自服务提供者的认证请求而发生。可以将关于身份提供者的位置的数据作为报头(例如http报头)来提供。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及身份(identity)管理,并且更具体地涉及对身份管理信息的访问。
技术介绍
联合身份管理或身份的“联合”描述了用于实现身份信息跨越另外的自主安全域的可携带性的技术。身份联合的目的是在不需要冗余用户管理的情况下使得一个域的用户能够无缝地且安全地访问另一域的数据或系统。消除每当访问新应用程序或帐户时的重复登录过程的需要能够大大改善用户体验。图1是举例说明身份管理的概念的方框图。图1示出一般用附图标记2指示的系统,包括最终用户4、服务提供者(provider) 6和身份提供者8。当系统2的最终用户4想要访问服务提供者6处的安全资源且服务提供者6要求对用户的身份进行认证时,可以使用身份提供者8来向服务提供者提供所需的认证信息。图2示出一般由附图标记10指示的算法,示出如何能够使用系统2来为最终用户 4提供对由服务提供者6提供的安全服务的访问。算法10在步骤12处开始,在该步骤处,最终用户4向服务提供者6(例如使用web 浏览器)发送请求访问由服务提供者提供的特定应用程序的消息。该服务要求用户证书,在请求中未提供该证书。算法10移动至步骤13,在该步骤处,执行发现过程。发现过程13确定身份提供者 8的位置。接下来,算法10移动至步骤14,在该步骤处,服务提供者使用户重定向至身份提供者8。然后,算法10移动至步骤16,在那里,身份提供者8向服务提供者6提供用户证书数据。响应于接收到用户证书,服务提供者6允许用户访问所请求的服务(步骤18)。算法10的发现步骤(步骤13)涉及确定服务提供者的位置并以能够被传送给用户的形式来提供该信息。服务提供者通常还要求关于与该身份提供者通信所需的协议的信息,包括诸如所要求数据内容和该数据的格式之类的信息。克服对发现过程的需要的一种方法是定义必须使用以便使用服务提供者6的单个身份提供者;然而,这种方法是不灵活的,因为其要求所有用户在该身份提供者有帐户。 一种替换方法是要求用户手动地输入由该用户使用的身份提供者的地址。这对于用户而言是不方便的,并且易受用户错误的影响。
技术实现思路
本专利技术设法解决上述问题中的至少某些问题。根据本专利技术的一方面,提供了一种方法,包括步骤从用户接收对访问服务提供者的请求;通过添加关于能够为用户提供用户证书的身份提供者的位置的数据来修改请求; 以及将经修改的请求转送给服务提供者。位置数据可以是身份提供者的地址的形式。该位置数据可以例如是统一资源定位符(URL)、网际协议(IP)地址、可扩展资源指示符(XRI)、 OpenID身份的形式,或者使得服务提供者能够找到身份提供者的任何其它形式。可以由代理服务器来实施修改用户的请求的步骤。本专利技术的另一方面提供了一种设备(诸如代理服务器),包括第一输入,其适合于从用户接收服务访问请求;以及第一输出,其适合于向服务提供者发送经修改的服务访问请求,其中,所述设备适合于通过向从所述用户接收到的服务访问请求添加关于能够为用户提供用户证书的身份提供者的位置的数据(例如为诸如http报头之类的报头的形式)来生成所述经修改的服务访问请求。位置数据可以是身份提供者的地址的形式。该位置数据可以例如是统一资源定位符(URL)、网际协议(IP)地址、可扩展资源指示符(XRI)、OpenID 身份的形式,或者使得服务提供者能够发现身份提供者的任何其它形式。本专利技术的另一方面提供了一种包括服务提供者和代理服务器的系统,其中代理服务器适合于从用户接收服务访问请求;代理服务器适合于通过添加关于能够为用户提供用户证书的身份提供者的位置的数据(常常是地址,诸如统一资源定位符(URL)、网际协议 (IP)地址、可扩展资源指示符(XRI)、OpenlD身份,或使得服务提供者能够找到身份提供者的任何其它形式)来修改请求并将经修改的服务访问请求发送到服务提供者;以及服务提供者适合于出于用户认证的目的使用户重定向至身份提供者。可以将位置数据作为报头来提供,诸如http报头。因此,本专利技术的某些形式使得服务提供者能够接收关于能够为用户提供用户证书的身份提供者的位置的数据。可以在不要求来自用户的任何输入的情况下执行此步骤。特别地,不要求用户记住并输入用于其身份提供者的位置信息(诸如URL)。因此,可以将依照本专利技术的方面的服务提供者布置为提供更好的用户体验,因为用户的焦点不需要在服务提供者和身份提供者之间转移。此外,可以将依照本专利技术的方面的系统配置为使得用户不需要在访问特定服务提供者之前登录到身份提供者,从而进一步改善用户体验。另一优点是根据本专利技术的方面,不需要在用户的前端处安装任何附加软件或硬件以便使用本专利技术。例如,具有web浏览器的任何终端能够访问依照本专利技术的方面适配的代理服务器。在本专利技术的某些形式中,用户不需要在服务提供者或身份提供者处输入用户证书。这不仅对用户方便,而且通过防止恶意程序根据由用户进行的按键寻找用户证书(所谓的“仿冒(phishing)”攻击)来增加安全性。在本专利技术的某些形式中,在不要求任何特定用户介入的情况下直接生成经修改的服务访问请求,使得对用户隐藏修改访问服务访问请求的过程。可以响应于用户访问服务提供者的请求来生成经修改的请求。在此类布置中,不要求服务提供者请求用户细节,因为那些细节是被自动添加的。事实上,可以在向服务提供者发送任何信息之前添加用户细节。可替换地,可以响应于服务提供者请求用户授权来生成经修改的请求。举例来说, 可以响应于来自服务提供者的HTTP 401未授权响应来生成经修改的请求。在本专利技术的某些形式中,可以将被添加到该请求的关于身份提供者的位置的数据作为报头提供,诸如http报头。可以由身份提供者响应于请求来提供关于身份提供者的位置的数据。例如,代理服务器可以请求身份提供者提供适当的数据身份提供者可以返回数据(诸如统一资源定5位符)以便插入报头中。在本专利技术的某些形式中,由诸如http代理服务器之类的代理服务器来执行修改步骤。还可以由代理服务器来执行接收和/或转送步骤。在本专利技术的使用中,用户可以经由代理服务器来配置他用来路由服务请求的浏览器。在本专利技术的某些形式中,响应于从用户接收到对访问服务提供者的请求的步骤来设置用户身份。可以基于由用户提供的设置(setting)来确定用户身份。例如,用户身份可以是公共身份、私有身份(private identity)或随机身份中的一个。当涉及高度可信任网站时,公共身份(诸如用户的名称)可能是适当的。当涉及不那么可信任网站时,随机身份可能是适当的。根据本专利技术的一方面,提供了一种方法,包括以下步骤在服务提供者处从用户接收服务请求,该请求包括报头(诸如http报头),其包含关于能够为用户提供证书的身份提供者的位置的数据;从报头获取身份提供者的位置;以及向身份提供者请求用户的证书。 位置数据可以是身份提供者的地址的形式。该位置数据可以例如是统一资源定位符(URL)、 网际协议(IP)地址、可扩展资源指示符(XRI)、0penID身份的形式,或者使得服务提供者能够找到身份提供者的任何其它形式。根据本专利技术的一方面,提供了一种服务提供者,包括输入,其用于从用户接收服务访问请求,该请求包括关于能够为用户提供证书的身份提供者的位置的数据(诸如地址); 用于从所述报头获取关于身份提供者本文档来自技高网...
【技术保护点】
1. 一种方法,包括以下步骤:从用户接收对访问服务提供者的请求;通过添加关于能够为用户提供用户证书的身份提供者的位置的数据来修改所述请求;以及将经修改的请求转送到服务提供者。
【技术特征摘要】
【国外来华专利技术】1.一种方法,包括以下步骤从用户接收对访问服务提供者的请求;通过添加关于能够为用户提供用户证书的身份提供者的位置的数据来修改所述请求;以及将经修改的请求转送到服务提供者。2.如权利要求1所述的方法,其中,响应于用户对访问服务提供者的请求来执行修改所述请求的步骤。3.如权利要求1所述的方法,其中,响应于服务提供者请求用户授权来执行修改所述请求的步骤。4.如权利要求1至3中的任一项所述的方法,其中,被添加到请求的关于身份提供者的位置的数据被作为报头提供。5.如任何前述权利要求所述的方法,其中,被添加到请求的关于身份提供者的位置的数据被作为统一资源定位符提供。6.如任何前述权利要求所述的方法,其中,由身份提供者响应于请求来提供关于身份提供者的位置的数据。7.如任何前述权利要求所述的方法,其中,由代理服务器来执行修改步骤。8.如任何前述权利要求所述的方法,还包括响应于从用户接收到对访问服务提供者的请求来设置用户身份的步骤。9.如权利要求8所述的方法,其中,基于由用户提供的设置来确定用户身份。10.一种方法,包括以下步骤在服务提供者处从用户接收服务请求,该请求包括报头,该报头包含关于能够为用户提供证书的身份提供者的位置的数据;从所述报头获取关于身份提供者的位置的数据;以及向身份提供者请求用户的证书。11.一种设备,包括第一输入,适合于从用户接收服务访问请求;以及第一输出,适合于向服务提供者发送经修改的服务访问请求,其中,所述设备适合于通过向从所述用户接收到的服务访问请求添加关于能够为用户提供用户证书的身份提供者的位...
【专利技术属性】
技术研发人员:刘进,
申请(专利权)人:诺基亚西门子通信公司,
类型:发明
国别省市:FI
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。