專利名稱:安全身份管理的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于通過(guò)身份提供者為請(qǐng)求實(shí)體提供關(guān)于用戶的身份 相關(guān)的4言息的方法和系統(tǒng)��。
背景技術(shù):
在廣義上,身份管理意味著管理有關(guān)某個(gè)人的所有個(gè)人信息,至少包 括此人的所有數(shù)字關(guān)系�����。在未來(lái)十年內(nèi)�,身份管理系統(tǒng)在此廣義上將4艮可 能得到發(fā)展�����。短期內(nèi)�����,身份管理通常用于通過(guò)傳輸有關(guān)某個(gè)人的少量數(shù)據(jù) 而進(jìn)行網(wǎng)絡(luò)單點(diǎn)登錄�����。
主要的商業(yè)案例是電子商務(wù)的全面推進(jìn)身份管理M礎(chǔ)設(shè)施問(wèn)題��, 其中幾乎所有各方都可以受益于如互聯(lián)網(wǎng)和網(wǎng)絡(luò)標(biāo)準(zhǔn)之類的標(biāo)準(zhǔn)�。
單點(diǎn)登錄使得個(gè)人或用戶能夠在僅記住一個(gè)密碼的情況下登錄到不同 的組織或服務(wù)。此外,單點(diǎn)登錄協(xié)議允許客戶端應(yīng)用向它們未與之事先交 換任何常用數(shù)據(jù)(如密鑰)的其他應(yīng)用標(biāo)識(shí)自身���。通常,對(duì)于所有組織或 服務(wù)��,許多用戶都選擇相同的用戶名和密碼���。這存在兩個(gè)問(wèn)題每個(gè)服務(wù) 可以模仿用戶使用其他服務(wù)�����。這對(duì)于一個(gè)企業(yè)的各個(gè)服務(wù)是可以接受的, 但即使如此,人們還是更傾向于較好的模塊化���。而且顯然這對(duì)于用戶的全 面網(wǎng)絡(luò)體驗(yàn)而言是不可接受的�����。
單點(diǎn)登錄被普遍視為一種必要的基礎(chǔ)設(shè)施����,可使互聯(lián)網(wǎng)上的電子商務(wù) 更容易進(jìn)行���,并允許廣泛使用新興的網(wǎng)絡(luò)服務(wù)���。它還可以演變?yōu)楦毡榈?身份管理,例如用于在建立身份之后交換有關(guān)某個(gè)人的其他信息�。
近來(lái)��,單點(diǎn)登錄解決方案例如被微軟公司的Passport系統(tǒng)(URL: http:〃www.passportcom)�、安全斷言標(biāo)記語(yǔ)言(SAML )的OASIS (結(jié) 構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織)標(biāo)準(zhǔn)化(URL :
http:〃www.oasis誦open.org/committees/security/docs ) , J^及自由聯(lián)盟i十戈寸 的最新規(guī)范(URL: http:〃www.projectliberty.org)所熟知。聯(lián)盟規(guī)范中 的一個(gè)方面是不僅為作為客戶端應(yīng)用的瀏覽器提供詳細(xì)的協(xié)議�����,而且還為 其他功能更強(qiáng)大的客戶端應(yīng)用提供更高效的協(xié)議���。此設(shè)置中的較早相關(guān)方 案是傳統(tǒng)的三方驗(yàn)證協(xié)議。
傳統(tǒng)的三方客戶端^ii協(xié)i義(如Kerberos���、 Needham匿Schroeder)全 部始于密鑰交換或密鑰建立協(xié)議,然后需要客戶端應(yīng)用使用此密鑰進(jìn)行加 密和驗(yàn)證����。換言之���,可以通過(guò)某些事先交換的信息(例如密碼�����、密鑰或已 確認(rèn)的公鑰)標(biāo)識(shí)客戶端應(yīng)用的第三方通常生成用于在客戶端應(yīng)用及其合 作實(shí)體(在此稱為"請(qǐng)求實(shí)體")之間通信的新密鑰����,并且針對(duì)這兩個(gè)實(shí) 體安全地建立此密鑰。存在各種協(xié)議以執(zhí)行此密鑰的安全傳輸�。
諸如安全斷言標(biāo)記語(yǔ)言(SAML)之類的聯(lián)合身份管理建議能夠通過(guò) 密碼幫助臺(tái)、用戶管理和用戶刪除方面的節(jié)省而降低用戶管理成本。SAML 具有僅依賴于標(biāo)準(zhǔn)Web瀏覽器的基于瀏覽器的簡(jiǎn)檔,以便例如通過(guò)單點(diǎn)登 錄實(shí)現(xiàn)身份聯(lián)合��。這些協(xié)議為聯(lián)合身份管理解決方案的一般優(yōu)點(diǎn)補(bǔ)充了零 足跡的特性��,即不需要安裝額外的客戶端軟件。因此���,基于瀏覽器的簡(jiǎn)檔 可進(jìn)行低成本高效率的部署。但是��,將標(biāo)準(zhǔn)Web瀏覽器作為客戶端時(shí)設(shè)計(jì) 安全協(xié)議并不簡(jiǎn)單。瀏覽器(并不知道其所參與的協(xié)議)具有預(yù)定義的行 為、對(duì)預(yù)定義的消息做出反應(yīng)并生成流向底層操作系統(tǒng)和通信伙伴的信息�����。 尤其是����,通過(guò)瀏覽器的統(tǒng)一資源定位(URL)傳輸機(jī)密信息的協(xié)議的安全 性由于標(biāo)準(zhǔn)Web瀏覽器的這種不了解協(xié)議的行為而處于險(xiǎn)境����。SAML的 瀏覽器/助診文件(artifact)簡(jiǎn)檔屬于此類協(xié)議�,因?yàn)樗鼈儼l(fā)出隨機(jī)助診文 件作為對(duì)安全令牌的參考并通過(guò)瀏覽器重定向URL傳輸此令牌�����。
同時(shí),SAML已t艮到版本2.0。標(biāo)準(zhǔn)中的結(jié)構(gòu)和命名也略有變化��, 因此對(duì)應(yīng)的協(xié)議(在安全協(xié)議研究的術(shù)語(yǔ)方面)現(xiàn)在為SAML V2.0 Web Browser SSO/Response/Artifact Feature,
本發(fā)明的一個(gè)目標(biāo)是提供用于身份管理的改進(jìn)解決方案�����。
發(fā)明內(nèi)容
本發(fā)明涉及如獨(dú)立權(quán)利要求中所定義的方法�、系統(tǒng)�、請(qǐng)求實(shí)體���、身份 提供者和計(jì)算機(jī)程序�����。所附從屬權(quán)利要求中提供了本發(fā)明的其他實(shí)施例�����。
根據(jù)本發(fā)明的一個(gè)方面,提供了一種用于通過(guò)身份提供者為請(qǐng)求實(shí)體 提供身份相關(guān)的信息的方法,其中提供了客戶端應(yīng)用以便用戶與所述請(qǐng)求 實(shí)體和所述身份提供者通信��,其中所述客戶端應(yīng)用使用第一通信協(xié)議,其
中所述第一通信協(xié)議包括引用者(referrer)函數(shù)���,根據(jù)該函數(shù)���,通信消息 可以包括具有與至少一個(gè)先前通信步驟有關(guān)的信息的引用者元素����,所述方 法包括
向所述身份提供者發(fā)伍所述用戶���,
第一真實(shí)性參考部分生成步驟,包括由所述身>(^提供者生成第一真實(shí) 性參考部分����,
在所述客戶端應(yīng)用與所述身份提供者之間的第 一真實(shí)性參考通信步 驟,包括傳送所述第一真實(shí)性參考部分����,
第二真實(shí)性參考部分生成步驟���,包括由所述身^^提供者生成第二真實(shí) 性參考部分��,
借助所述第 一通信協(xié)議在所述身份提供者與所述請(qǐng)求實(shí)體之間進(jìn)行的 第二真實(shí)性參考通信步驟���,包括傳送所述第二真實(shí)性參考部分以及傳送所
述引用者元素中的所述第一真實(shí)性參考部分�����,
請(qǐng)求步驟��,其中所述請(qǐng)求實(shí)體向所述身份提供者發(fā)送所述第一和所述 第二真實(shí)性參考部分或所述第 一和所述第二真實(shí)性參考部分的安全函數(shù)��,
響應(yīng)步驟�,其中所述身份提供者向所述請(qǐng)求實(shí)體發(fā)送所述身份相關(guān)的信息。
此方法具有顯著增強(qiáng)了安全性的優(yōu)點(diǎn)��。此外�����,它可以容易和高效地實(shí) 現(xiàn)�。通過(guò)發(fā)送至少兩個(gè)真實(shí)性參考部分(第一真實(shí)性參考部分和第二真實(shí) 性參考部分),確保了如果對(duì)手僅獲得兩個(gè)真實(shí)性參考部分之一�,則無(wú)法 代表用戶對(duì)請(qǐng)求實(shí)體執(zhí)行操作。
應(yīng)以廣泛的方式理解術(shù)語(yǔ)用戶����。用戶是其身份受管理的任何實(shí)體或個(gè)人。術(shù)語(yǔ)用戶還應(yīng)包括用戶的客戶端�,例如特定軟件應(yīng)用。
根據(jù)本發(fā)明的各種實(shí)施例�,執(zhí)fr清求步驟存在不同的可能性�����。 一種可能性是在請(qǐng)求步驟中向身份提供者發(fā)送第 一和第二真實(shí)性參考 部分��。在這種情況下��,生成第一和第二真實(shí)性參考部分之后,身傷^i供者 將它們作為一對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)中����,并且如果身份提供者在請(qǐng)求步驟中收到 一對(duì)真實(shí)性參考部分����,其將在數(shù)據(jù)庫(kù)中查找是否存儲(chǔ)了相應(yīng)的對(duì)����。如果已 存儲(chǔ),他將向請(qǐng)求實(shí)體發(fā)送相應(yīng)的身份相關(guān)的信息����。否則,可以發(fā)送錯(cuò)誤 消息。
另 一種可能性是使用第 一和第二真實(shí)性參考部分的安全函數(shù)����。安全函 數(shù)應(yīng)被理解為確保對(duì)手不可能或至少幾乎不可能重新構(gòu)造函數(shù)結(jié)果的函 數(shù)�����,所述結(jié)果從第一和第二真實(shí)性參考部分、僅從一個(gè)真實(shí)性參考部分計(jì) 算得出�����。在這種情況下����,生成第一和第二真實(shí)性參考部分之后,身份提供 者將分別計(jì)算和確定主要真實(shí)性參考�。此主要真實(shí)性參考由安全函數(shù)通過(guò) 第一和第二真實(shí)性參考部分計(jì)算得出。然后身份提供者存儲(chǔ)主要真實(shí)性參 考��。如果請(qǐng)求實(shí)體在第二真實(shí)性參考通信步驟中收到第 一和第二真實(shí)性參 考部分,它將通過(guò)同一安全函數(shù)或相應(yīng)的安全函數(shù)分別計(jì)算和確定主要真 實(shí)性參考�。這意味著在這種情況下,身份提供者以及請(qǐng)求實(shí)體知道相同的 安全函數(shù)��,或者身份提供者知道一個(gè)安全函數(shù)而請(qǐng)求實(shí)體知道相應(yīng)的安全 函數(shù)�����。在請(qǐng)求實(shí)體側(cè)使用相應(yīng)的安全函數(shù)允許公鑰加密�。在請(qǐng)求步驟中, 請(qǐng)求實(shí)體向身份提供者發(fā)送主要真實(shí)性參考����。身份提供者在其數(shù)據(jù)庫(kù)中查 找是否具有已存儲(chǔ)的相應(yīng)主要真實(shí)性參考�����。如果存在��,他將向請(qǐng)求實(shí)體發(fā) 送相應(yīng)的身份相關(guān)的信息����。
本發(fā)明可以應(yīng)用于各種形式的通信協(xié)議。具體地說(shuō)��,它可應(yīng)用于包括 引用者函數(shù)的通信協(xié)議,根據(jù)該函數(shù)�,通信消息包括多個(gè)具有與兩個(gè)或更 多個(gè)先前通信步驟有關(guān)的信息的引用者元素。如果引用者元素包括與兩個(gè) 先前通信步驟有關(guān)的信息���,則生成三個(gè)真實(shí)性參考部分可以確保安全驗(yàn)證�����。
通常�,如果引用者元素包括與n個(gè)先前通信步驟有關(guān)的信息����,其中n是自 然數(shù),則生成n+l個(gè)真實(shí)性參考部分可以確保安全驗(yàn)證�����。在術(shù)語(yǔ)方面��,身份相關(guān)的信息(IRI)被理解為與某個(gè)人或用戶相關(guān)的 任何信息�。身份相關(guān)的信息IRI包括姓名、地址���、組成員資格��、授權(quán)證書����、 人口數(shù)據(jù)、個(gè)人偏好���、日歷項(xiàng)���、醫(yī)療和財(cái)務(wù)ff息,以及有關(guān)個(gè)人或用戶名 下可數(shù)字地存儲(chǔ)的任何其他內(nèi)容�����。請(qǐng)求實(shí)體可能需要此信息以用于訪問(wèn)控 制�����、授權(quán)���、個(gè)人化、驗(yàn)證��、登錄、商業(yè)��、醫(yī)療或政府問(wèn)題�����,或任何其他作 用于身份相關(guān)的信息IRI的應(yīng)用��。此術(shù)語(yǔ)的另一種表達(dá)可以是證書��,即有 關(guān)用戶或個(gè)人的任何認(rèn)證信息�。
真實(shí)性參考部分是統(tǒng)一選擇的隨機(jī)、偽隨機(jī)或其他難以猜測(cè)的元素����。 真實(shí)性參考和真實(shí)性參考部分通常分別被稱為助i貪文件。
為了向身份提供者發(fā)汪用戶���,可以使用各種方法���,例如用戶名及密碼、 個(gè)人標(biāo)識(shí)號(hào)或事務(wù)號(hào)(TAN)或雙因素發(fā)汪方法(例如智能卡���、硬件令牌 或電子郵件消息)���。
客戶端應(yīng)用可以是為了與請(qǐng)求實(shí)體和身份提供者通信而提供的任何軟 件或硬件工具或設(shè)備�。
所述方法還可以包括用于通過(guò)所述第一通信協(xié)議將結(jié)果從所述請(qǐng)求實(shí) 體傳送到所i^戶端應(yīng)用的結(jié)果步驟����。
結(jié)果頁(yè)向用戶呈現(xiàn)他從請(qǐng)求實(shí)體請(qǐng)求的信息。結(jié)果頁(yè)的傳送通常通過(guò) 安全通道執(zhí)行���,因?yàn)榻Y(jié)果頁(yè)可能包括用戶的機(jī)密或私人信息��。
收到結(jié)果頁(yè)之后�,用戶通?���?赡芡ㄟ^(guò)不安全的通道繼續(xù)使用客戶端應(yīng) 用,例如通過(guò)使用諸如超文本傳輸協(xié)議(HTTP)之類的不安全的瀏覽器 協(xié)議�。因此,對(duì)手可能非常容易地觀察到用戶的此進(jìn)一步活動(dòng)��。由于第一 通信協(xié)議的引用者函數(shù)����,客戶端應(yīng)用發(fā)送到請(qǐng)求實(shí)體或其他實(shí)體的下一個(gè) 通信消息可能仍在引用者元素中包括第二真實(shí)性參考部分��。因此,對(duì)手可 能獲取此第二真實(shí)性參考部分����,但是沒(méi)有獲取此通信消息中不再存在的第 一真實(shí)性參考部分(假設(shè)引用者函數(shù)僅存儲(chǔ)有關(guān)一個(gè)先前通信步驟的信 息)。從而��,如果對(duì)手僅獲取此第二真實(shí)性參考部分��,他將無(wú)法濫用該第 二部分�����,因?yàn)槿绻麤](méi)有第一真實(shí)性參考部分�,該部分就亳無(wú)價(jià)值。
根據(jù)本發(fā)明的一個(gè)實(shí)施例���,所述第一通信協(xié)議是瀏覽器協(xié)議����,具體地
說(shuō)��,是超文本傳輸協(xié)議(HTTP)�����。這允許簡(jiǎn)單且廣泛地應(yīng)用本發(fā)明的實(shí) 施例。用戶無(wú)需額外軟件便可執(zhí)行本發(fā)明的實(shí)施例���。盡管如此����,仍確保了 所述方法的安全性����。
瀏覽器協(xié)議通常包括引用者函數(shù)。根據(jù)HTTP協(xié)議的消息在第 一部分 中包括統(tǒng)一資源定位(URL) ����。 URL包括查詢字段,此字段可以在一個(gè)步 驟中用于傳送第一真實(shí)性參考部分�����,而在另一個(gè)步驟中用于傳送第二真實(shí) 性參考部分�。此外,HTTP協(xié)議的消息包括具有一個(gè)或多個(gè)標(biāo)頭的第二層�����。 標(biāo)頭包括引用者元素(即最后一個(gè)通信步驟的URL)�����,并且因此在最后一 個(gè)URL的查詢字段中包括最后一個(gè)真實(shí)性參考部分�����。
根據(jù)本發(fā)明的其他實(shí)施例�,通過(guò)安全通道,具體地說(shuō)���,通過(guò)具有服務(wù) 器驗(yàn)證的安全通道來(lái)執(zhí)行所述第 一真實(shí)性參考通信步驟和/或所述第二真 實(shí)性參考通信步驟和/或所述結(jié)果步驟����?���?梢詢?yōu)選地通過(guò)安全套接字層 (SSL)、傳輸層安全性(TLS)協(xié)議���,或諸如Web服務(wù)(WS)安全性 之類的簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(SOAP)擴(kuò)展來(lái)實(shí)現(xiàn)所述安全通道��。
這確保了對(duì)手在所述第 一和/或第二真實(shí)性參考通信步驟期間無(wú)法獲 取所述第一和第二真實(shí)性參考部分和/或無(wú)法獲取所述結(jié)果頁(yè)的信息�。
根據(jù)本發(fā)明的其他實(shí)施例�����,所述第二真實(shí)性參考通信步驟是通過(guò)所述 客戶端應(yīng)用將所述身份提供者重定向到所述請(qǐng)求實(shí)體的重定向步驟。此類 由重定向命令啟動(dòng)的重定向步驟是瀏覽器協(xié)議的常見元素����。這確保了本發(fā) 明可以容易地在各種通信系統(tǒng)中實(shí)現(xiàn)。
優(yōu)選地�,所述重定向步驟包括第一和第二重定向子步驟,其中所述身 份提供者在所述第一重定向子步驟中向所述客戶端應(yīng)用發(fā)送具有重定向地 址的重定向命令�����,其中所述重定向地址包括所述第二真實(shí)性參考部分�,并 且其中所述客戶端應(yīng)用在所述第二重定向子步驟中向所述請(qǐng)求實(shí)體發(fā)送 get請(qǐng)求,所述get請(qǐng)求包括具有所述第二真實(shí)性參考部分的所述重定向地 址以及所述引用者元素中的所述第 一真實(shí)性參考部分�。
這意味著第 一真實(shí)性參考部分僅在客戶端應(yīng)用與請(qǐng)求實(shí)體之間的第二 重定向子步驟中傳輸,但不在第一重定向子步驟中傳輸�����。這增強(qiáng)了安全性�����,
因?yàn)閮蓚€(gè)真實(shí)性參考部分僅在一個(gè)而不是兩個(gè)子步驟中傳輸��,并且因此對(duì) 手僅可在第二子步驟中獲取兩個(gè)真實(shí)性參考部分。
根據(jù)本發(fā)明的其他實(shí)施例��,所述請(qǐng)求步驟和所述響應(yīng)步驟使用第二通
信協(xié)議�,具體地說(shuō),使用安全斷言標(biāo)記語(yǔ)言(SAML)�。但是�����,也可以使 用其他利用真實(shí)性參考(也稱為助診文件)進(jìn)行聯(lián)合身份管理的標(biāo)準(zhǔn)作為 第二通信協(xié)議�。自由聯(lián)盟計(jì)劃或Web服務(wù)聯(lián)合的相關(guān)標(biāo)準(zhǔn)是其他優(yōu)選實(shí)例。
根據(jù)本發(fā)明的其他實(shí)施例���,所述請(qǐng)求步驟和響應(yīng)步驟通過(guò)具有相互驗(yàn) 證的安全通道執(zhí)行����??梢詢?yōu)選地通過(guò)安全套接字層(SSL)或具有客戶端 和服務(wù)器證書的傳輸層安全性(TLS)協(xié)議,或通過(guò)諸如WS安全性之類 的簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(SOAP)擴(kuò)展來(lái)實(shí)現(xiàn)所述安全通道��。
這進(jìn)一步提高了安全性�,并且確保了第 一和第二真實(shí)性參考部分或第 一和第二真實(shí)性參考部分的安全函數(shù)不會(huì)流向?qū)κ帧?br>
根據(jù)本發(fā)明的其他實(shí)施例,所述安全函數(shù)是異或(XOR)函數(shù)��、偽隨 機(jī)函數(shù)、散列函數(shù)���、加密函數(shù)或秘密共享函數(shù)�。
所有這些函數(shù)必須確保對(duì)手不可能或至少幾乎不可能重新構(gòu)造這些函 數(shù)的結(jié)果����,所述結(jié)果從笫一和第二真實(shí)性參考部分、M真實(shí)性參考部分 之一計(jì)算得出��。
根據(jù)本發(fā)明的其他實(shí)施例���,所述第一真實(shí)性參考通信步驟包括其中 所述身份提供者向所述客戶端應(yīng)用發(fā)送所述第一真實(shí)性參考部分的子步 驟��,以及其中所述客戶端應(yīng)用向所述身份提供者發(fā)送驗(yàn)證和所述第一真實(shí) 性參考部分的后續(xù)子步驟���。
在此實(shí)施例中,在用戶向身份提供者發(fā)汪自身之前生成第一真實(shí)性參 考部分�����。身份提供者在第一子步驟中向客戶端應(yīng)用發(fā)送第一真實(shí)性參考部 分�����。在此第一真實(shí)性參考通信步驟中傳輸?shù)南⒖梢赃€包括要求用戶輸入 密碼或其他授權(quán)方式的mt表單或,命令。然后在另一個(gè)子步驟中����,客 戶端應(yīng)用例如通過(guò)submit或get請(qǐng)求發(fā)回密碼或其他授4又方式。submit 或get請(qǐng)求包括身份提供者的URL作為地址���。此外�,此另一個(gè)子步驟的通信消息例如在get或submit請(qǐng)求的URL的查詢字段中包括第一真實(shí)性參 考部分����。結(jié)果��,第一通信協(xié)議的當(dāng)前URL包括第一真實(shí)性參考部分����。這 意味著在第二真實(shí)性參考通信步驟中,第一真實(shí)性參考部分將在引用者元 素中傳輸�,而第二真實(shí)性參考部分可以在第一層內(nèi)的URL的查詢字段中傳輸。
應(yīng)指出的是����,本發(fā)明的不同方面的各步驟可以按不同的順序執(zhí)行。此 外,所述步驟還可以被組合�����,也就是例如兩個(gè)步驟在一起執(zhí)行(例如在一 個(gè)通信消息中)���。作為一個(gè)實(shí)例����,向身份提供者驗(yàn)證用戶可以與第一真實(shí) 性參考部分生成步驟和/或第一真實(shí)性參考通信步驟結(jié)合進(jìn)行���。作為另一個(gè)
實(shí)例��,第一和第二真實(shí)性參考部分生成步驟可以在一個(gè)步驟中同時(shí)執(zhí)行��。
本發(fā)明的另一個(gè)方面涉及一種用于從擁有身份相關(guān)的信息(IRI)的身 份提供者接收所述身份相關(guān)的信息的方法���,其中提供了第 一通信協(xié)議以便 與客戶端應(yīng)用的用戶和所述身份提供者通信,其中所述第一通信協(xié)議包括 引用者函數(shù)�,根據(jù)該函數(shù),通信消息可以包括具有與至少一個(gè)先前通信步 驟有關(guān)的信息的引用者元素����,所述方法包括
通過(guò)所述第 一通信協(xié)議從所述身份提供者接收第二真實(shí)性參考部分以 及所述引用者元素中的第 一真實(shí)性參考部分�,
向所述身份提供者發(fā)送所述第 一和所述第二真實(shí)性參考部分或所述第 一和所述第二真實(shí)性參考部分的安全函數(shù)���,
從所述身份提供者接收所述身份相關(guān)的信息(IRI)���。 根據(jù)本發(fā)明的另 一個(gè)方面,提供了 一種用于為請(qǐng)求實(shí)體提供身份相關(guān) 的信息的方法��,其中提供了第 一通信協(xié)議以便與客戶端應(yīng)用的用戶和請(qǐng)求 所述身份相關(guān)的信息的請(qǐng)求實(shí)體通信���,其中所述第 一通信協(xié)議包括引用者 函數(shù)�,根據(jù)該函數(shù)����,通信消息可以包括具有與至少一個(gè)先前通信步驟有關(guān) 的信息的引用者元素�,所述方法包括 生成第一真實(shí)性參考部分,
將所述第一真實(shí)性參考部分傳送到所^戶端應(yīng)用�����, 生成第二真實(shí)性參考部分��,
通過(guò)所述第一通信協(xié)議將所述第二真實(shí)性參考部分以及所述引用者元 素中的所述第 一真實(shí)性參考部分傳送到所述請(qǐng)求實(shí)體�����,
從所述請(qǐng)求實(shí)體接收所述第一和所述第二真實(shí)性參考部分或所述第一
和所述笫二真實(shí)性參考部分的安全函數(shù),
向所述請(qǐng)求實(shí)體發(fā)送具有所述身^^目關(guān)的信息的響應(yīng)����。
本發(fā)明的另 一個(gè)方面涉及一種包括指令的計(jì)算機(jī)程序,當(dāng)所述計(jì)算機(jī)
程序在計(jì)算機(jī)系統(tǒng)上執(zhí)行時(shí)����,所述指令將執(zhí)行根據(jù)權(quán)利要求1到12中的任
一權(quán)利要求的方法的各步驟。
本發(fā)明的另一個(gè)方面涉及一種用于從擁有身份相關(guān)的信息(IRI)的身 份提供者接收所述身份相關(guān)的信息的請(qǐng)求實(shí)體�����,其中所述請(qǐng)求實(shí)體適于通 過(guò)第 一通信協(xié)議與客戶端應(yīng)用的用戶通信��,其中所述第 一通信協(xié)議包括引 用者函數(shù)����,根據(jù)該函數(shù),通信消息可以包括具有與至少一個(gè)先前通信步驟 有關(guān)的信息的引用者元素����,其中所述請(qǐng)求實(shí)體適于執(zhí)行以下步驟
通過(guò)所述第 一通信協(xié)議從所述身份提供者接收第二真實(shí)性參考部分以 及所述引用者元素中的第 一真實(shí)性參考部分,
向所述身份提供者發(fā)送所述第一和所述第二真實(shí)性參考部分或所述第 一和所述第二真實(shí)性參考部分的安全函數(shù)�,
從所述身份提供者接收所述身份相關(guān)的信息�。
本發(fā)明的另一個(gè)方面涉及一種用于為請(qǐng)求實(shí)體提供身份相關(guān)的信息 (IRI)的身份提供者��,其中所述身份提供者適于通過(guò)第一通信協(xié)議與客戶 端應(yīng)用的用戶通信��,其中所述第一通信協(xié)議包括引用者函數(shù)�,才艮據(jù)該函數(shù), 通信消息可以包括具有與至少一個(gè)先前通信步驟有關(guān)的信息的引用者元 素��,其中所述身份提供者適于執(zhí)行以下步驟 生成第一真實(shí)性參考部分�����,
將所述第一真實(shí)性參考部分傳送到所^戶端應(yīng)用�����, 生成第二真實(shí)性參考部分��,
通過(guò)所述第一通信協(xié)議將所述第二真實(shí)性參考部分以及所述引用者元 素中的所述第 一真實(shí)性參考部分傳送到所述請(qǐng)求實(shí)體���,
從所述請(qǐng)求實(shí)體接收所述第 一和所述第二真實(shí)性參考部分或所述第一 和所述第二真實(shí)性參考部分的安全函數(shù),
向所述請(qǐng)求實(shí)體發(fā)送具有所述身份相關(guān)的信息的響應(yīng)�����。
本發(fā)明的另一個(gè)方面涉及一種用于通過(guò)身份提供者為請(qǐng)求實(shí)體提供身 份相關(guān)的信息的系統(tǒng),其中提供了客戶端應(yīng)用以便用戶與所述請(qǐng)求實(shí)體和 所述身份提供者通信�,其中所述客戶端應(yīng)用使用第一通信協(xié)議,其中所述 第一通信協(xié)議包括引用者函數(shù)�,根據(jù)該函數(shù),通信消息可以包括具有與至 少一個(gè)先前通信步驟有關(guān)的信息的引用者元素����,所述系統(tǒng)適于執(zhí)行以下步
向所述身份提供者發(fā)汪所述用戶,
第一真實(shí)性參考部分生成步驟����,包括由所述身傷^^供者生成第一真實(shí) 性參考部分,
在所述客戶端應(yīng)用與所述身份提供者之間的第一真實(shí)性參考通信步 驟�,包括傳送所述第一真實(shí)性參考部分,
第二真實(shí)性參考部分生成步驟��,包括由所述身傷^提供者生成第二真實(shí) 性參考部分�����,
借助所述第 一通信協(xié)議在所述身份提供者與所述請(qǐng)求實(shí)體之間進(jìn)行的 第二真實(shí)性參考通信步驟�����,包括傳送所述第二真實(shí)性參考部分以及傳送所 述引用者元素中的所述第 一真實(shí)性參考部分�,
請(qǐng)求步驟�,其中所述請(qǐng)求實(shí)體向所述身份提供者發(fā)送所述第 一和所述 第二真實(shí)性參考部分或所述第 一和所述第二真實(shí)性參考部分的安全函數(shù)���,
響應(yīng)步驟�,其中所述身份提供者向所述請(qǐng)求實(shí)體發(fā)送所述身份相關(guān)的
信息(IRI)��。
本發(fā)明的另 一個(gè)方面涉及一種用于通過(guò)身份提供者為請(qǐng)求實(shí),供身 份相關(guān)的信息的方法��,其中提供了客戶端應(yīng)用以便用戶與所述請(qǐng)求實(shí)體和 所述身份提供者通信����,其中所述客戶端應(yīng)用使用第一通信協(xié)議,所述方法 包括
檢查所述第 一通信協(xié)議是否包括具有與至少 一個(gè)先前通信步驟有關(guān)的信息的引用者元素����,
如果所述第一通信協(xié)議包括引用者函數(shù),則執(zhí)行以下步驟 向所述身份提供者^(guò)t所述用戶����,
第一真實(shí)性參考部分生成步驟,包括由所述身傷^提供者生成第一真實(shí) 性參考部分�,
在所述客戶端應(yīng)用與所述身份提供者之間的第一真實(shí)性參考通信步 驟,包括傳送所述第一真實(shí)性參考部分��,
第二真實(shí)性參考部分生成步驟����,包括由所述身傷^1供者生成第二真實(shí) 性參考部分,
借助所述第 一通信協(xié)議在所述身份提供者與所述請(qǐng)求實(shí)體之間進(jìn)行的 第二真實(shí)性參考通信步驟�����,包括傳送所述第二真實(shí)性參考部分以及傳送所 述引用者元素中的所述第一真實(shí)性參考部分����,
請(qǐng)求步驟,其中所述請(qǐng)求實(shí)體向所述身份提供者發(fā)送所述第一和所述 第二真實(shí)性參考部分或所述第一和所述第二真實(shí)性參考部分的安全函數(shù)���,
響應(yīng)步驟����,其中所述身份提供者向所述請(qǐng)求實(shí)體發(fā)送所述身份相關(guān)的 信息(IRI)���。
根據(jù)本發(fā)明的此方面�,提供了優(yōu)選地由身份提供者執(zhí)行的額外檢查步 驟��。在此檢查步驟中��,將檢查由客戶端應(yīng)用發(fā)送到身份提供者和/或請(qǐng)求實(shí) 體的通信消息是否包括引用者元素���。如果它們不包括引用者元素�,則從身 份提供者向請(qǐng)求實(shí)體僅傳送一個(gè)真實(shí)性參考部分便已足夠。檢查步驟可以 在向身份提供者發(fā)逸用戶之前或之后執(zhí)行��。通信消息不包括引用者元素的 原因可能是第 一通信協(xié)議根本不包括引用者函數(shù)或引用者函數(shù)已分別被關(guān) 閉和4亭用�����。
本發(fā)明的此方面對(duì)于其中使用具有引用者函數(shù)的通信協(xié)議以及沒(méi)有引 用者函數(shù)的通信協(xié)議或客戶端可以選擇是否設(shè)置引用者的應(yīng)用尤其有用�����。
本發(fā)明的各種實(shí)施例允許進(jìn)行能夠以全面互操作性適應(yīng)參與者各種要 求(具體地說(shuō)�����,傳輸驗(yàn)證和其他身份相關(guān)的信息)的可靠�、安全及有效的 身份管理。本發(fā)明可應(yīng)用于用戶只有一個(gè)瀏覽器軟件的系統(tǒng)以及用戶具有 功能更強(qiáng)大的軟件的系統(tǒng)����。具體地說(shuō),它允i午簡(jiǎn)單瀏覽器協(xié)議(例如HTTP) 和更復(fù)雜的聯(lián)合身份管理協(xié)議(例如SAML)的組合��。簡(jiǎn)單瀏覽器協(xié)議可 用于客戶端應(yīng)用與身份提供者和請(qǐng)求實(shí)體的通信,而聯(lián)合身份管理協(xié)議可 用于身份提供者和請(qǐng)求實(shí)體之間的通信�。
換言之,本發(fā)明使得基于Web的服務(wù)的最終用戶(例如電子商務(wù)的最 終用戶)能夠執(zhí)行單點(diǎn)登錄(SSO)操作���、分布式事務(wù)或其他授4又月良務(wù)。 提供的本發(fā)明的各實(shí)施例和方面可以支持零足跡版本���,即不需要其他軟件�����, 甚至不需要活動(dòng)內(nèi)容�,例如Javascript�、 Java或ActiveX( Javascript和Java 是Sim Microsystems, Inc.的商標(biāo)。ActiveX是孩炎軟/>司的商標(biāo))���。
以下通過(guò)實(shí)例的方式參考
本發(fā)明的優(yōu)選實(shí)施例��,這些附圖是 圖l示出了根據(jù)本發(fā)明的系統(tǒng)的示意圖�; 圖2示出了才艮據(jù)本發(fā)明的第一實(shí)施例的消息流的示意圖�����; 圖3示出了才艮據(jù)本發(fā)明的第二實(shí)施例的消息流的示意圖; 圖4a到4f示出了通信消息的示例性實(shí)施例的示意圖���; 圖5示出了本發(fā)明的第三實(shí)施例的消息流的示意圖�;以及 圖6示出了才艮據(jù)本發(fā)明的第四實(shí)施例的消息流的示意圖���。 提供這些圖形只是為了進(jìn)行說(shuō)明�����,并不一定表示與本發(fā)明的實(shí)際實(shí)例 成比例��。
詞匯表
下面是有助于理解本說(shuō)明的非正式定義�����。
用戶或個(gè)人其身份被管理的實(shí)體�。如果個(gè)人操作�����,其將變?yōu)橛脩簟?通常個(gè)人或用戶是個(gè)體�����,但是至少小型企業(yè)通常將與其他企業(yè)像個(gè)體一樣 進(jìn)4亍交互,例如在旅游預(yù)訂和信息收集方面����。
請(qǐng)求實(shí)體希望知道某個(gè)人的姓名或特征的實(shí)體,例如由服務(wù)器所代 表的組織��。最初組織將主要是互聯(lián)網(wǎng)商店����,因?yàn)槿魏慰奢p松部署的注冊(cè)系 統(tǒng)具有較低的可信性���。從長(zhǎng)遠(yuǎn)看�,組織包括某個(gè)人的所有通信伙伴���,例如 銀行���、醫(yī)生、同事和家庭����。如果某個(gè)人希望在身份管理(例如即時(shí)消息傳 送和日歷)中包括聯(lián)系或位置信息,則作為"組織"的同事和家庭尤其相 關(guān)�。
身份提供者存儲(chǔ)某個(gè)人的身份相關(guān)的信息的實(shí)體�。其可以是4艮行�、 證書頒發(fā)機(jī)構(gòu)(CA)、互聯(lián)網(wǎng)服務(wù)提供商等����。
術(shù)語(yǔ)計(jì)算機(jī)包括諸如PC等的設(shè)備,而且還包括具有瀏覽工具的數(shù)字 助理和移動(dòng)電話�����。
具體實(shí)施例方式
參考圖1�����,描述了其中可以使用本發(fā)明的通信環(huán)境的總體布局�����。在圖 中��,相同的標(biāo)號(hào)用于表示相同或相似的部件����。圖l示出了作為用戶20的個(gè) 人P。用戶20在他的計(jì)算機(jī)上執(zhí)行客戶端應(yīng)用30�����,例如Web瀏覽器。為 進(jìn)行應(yīng)用相關(guān)的交互��,將客戶端應(yīng)用30連接到請(qǐng)求實(shí)體50,例如提供服 務(wù)的公司或銀行的服務(wù)器����。客戶端應(yīng)用30和請(qǐng)求實(shí)體50通過(guò)本領(lǐng)域/^p 的通信線路5連接�����。通信線路5通常通過(guò)網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))提供���。客戶 端應(yīng)用30還被連接到身份提供者40���,由此身份提供者40可以是本地的(即 在用戶20的計(jì)算機(jī)處)或遠(yuǎn)程的(即在外部服務(wù)器處等)����。身份提供者 40可以例如是提供身份管理服務(wù)的銀行或其他專業(yè)組織����。身份提供者40 也可連接到請(qǐng)求實(shí)體50以傳輸身份相關(guān)的信息IRI�����。在術(shù)語(yǔ)方面�,身份相 關(guān)的信息IRI被理解為與某個(gè)人或用戶相關(guān)的任何信息����。身份相關(guān)的信息 IRI包括姓名、地址��、組成員資格�、授權(quán)證書、人口數(shù)據(jù)�����、個(gè)人偏好�、日 歷項(xiàng)、醫(yī)療和財(cái)務(wù)信息�����,以及有關(guān)個(gè)人或用戶名下可數(shù)字地存儲(chǔ)的任何其 他內(nèi)容���。請(qǐng)求實(shí)體可能需要此信息以進(jìn)行訪問(wèn)控制���、授權(quán)�����、個(gè)人化�����、驗(yàn)證�、 登錄����、商業(yè)、醫(yī)療或政府問(wèn)題����,或任何其他作用于身份相關(guān)的信息IRI的 應(yīng)用�。示出圖1的情況以便于說(shuō)明以下用于為請(qǐng)求實(shí)體50提供身份相關(guān)的 信息IRI的流程。
客戶端應(yīng)用30優(yōu)選地通過(guò)第一通信協(xié)議與身份提供者40和請(qǐng)求實(shí)體
50通信���。此第一通信協(xié)議優(yōu)選地是基于瀏覽器的協(xié)議��,例如超文本傳輸協(xié)
議(HTTP)��。第一通信協(xié)議包括引用者函數(shù)����,根據(jù)該函數(shù),通信步驟包 括具有與至少一個(gè)先前通信步驟有關(guān)的信息的引用者元素�����。如果第一通信
協(xié)議是例如基于瀏覽器的協(xié)議(如HTTP)�����,則客戶端應(yīng)用30發(fā)送到通信 伙伴的通信消息在引用者元素中包括先前已訪問(wèn)的客戶端應(yīng)用的統(tǒng)一資源 定位(URL)�����。才艮據(jù)HTTP�,引用者元素布置在通信消息的標(biāo)頭中。
要指出的是����,原始RFC 2068協(xié)議(http:Vwww.ietf.org/rfc/rfc2068.txt) 和HTTPl.l RFC2616錯(cuò)誤地包括了不正確的拼寫"referer",并將此拼 寫作為http標(biāo)準(zhǔn)的拼寫���。盡管如此��,在本申請(qǐng)中�,除了對(duì)HTTP命令語(yǔ)言 的直接引用之外,將使用正確的英文拼寫referrer���。
身份提供者40和請(qǐng)求實(shí)體50可以通過(guò)第二通信協(xié)議����,例如通過(guò)安全 斷言標(biāo)記語(yǔ)言(SAML)或其他聯(lián)合身份管理協(xié)議(如自由聯(lián)盟計(jì)劃和 WS聯(lián)合)直接通信以交換IRI�����。
圖2示出了笫一實(shí)施例的消息流的示意圖���。其中��,^_用為其指定了相 應(yīng)羅馬數(shù)字的標(biāo)記箭頭示出客戶端應(yīng)用30��、身份提供者40和請(qǐng)求實(shí)體50 之間的消息流���。由圓圏中的羅馬數(shù)字表示其他步驟或子步驟���。所述流被理 解為從頂部到底部按順序執(zhí)行���,如由漸增的羅馬數(shù)字表示的那樣��。但M 指出的是����,此協(xié)議可以有多個(gè)實(shí)例并行運(yùn)行而沒(méi)有指定的排序���。
在步驟I中��,在客戶端應(yīng)用30和請(qǐng)求實(shí)體50之間執(zhí)行應(yīng)用相關(guān)的交 互����。在此步驟I中���,用戶可能訪問(wèn)請(qǐng)求實(shí)體的沒(méi)有訪問(wèn)限制的公共網(wǎng)站���。 如果用戶希望訪問(wèn)具有受限訪問(wèn)權(quán)限的網(wǎng)站或執(zhí)行需要驗(yàn)證的操作(例如, 執(zhí)行購(gòu)買交易或貨幣轉(zhuǎn)帳)���,則請(qǐng)求實(shí)體50啟動(dòng)身^^提供者請(qǐng)求步驟n���。 在子步驟IIa中�,請(qǐng)求實(shí)體50從客戶端應(yīng)用30請(qǐng)求與擁有身份相關(guān)的信 息IRI的身份提供者40對(duì)應(yīng)的身份提供者信息(IPI)�����。在子步驟n c中將
身份提供者信息(ipi)發(fā)送給請(qǐng)求實(shí)體50���??蛇x地���,子步驟nb允許客戶
端應(yīng)用30以不同方式(例如通過(guò)詢問(wèn)用戶20)獲得身份提供者信息IPI�。 可選地�����,請(qǐng)求實(shí)體50按照默認(rèn)值使用特定的身份提供者40���。在這種情況
下���,可以省略身份提供者請(qǐng)求步驟n。其后是具有重定向指令(子步驟ma)
的重定向步驟m,其中客戶端應(yīng)用30仍連接到身份提供者40的站點(diǎn)間傳 輸(1ST) URL (子步驟mb)�����。
在第一真實(shí)性參考部分生成步驟IVa中����,身份提供者40為用戶生成第 一真實(shí)性參考部分artl。真實(shí)性參考通常,皮稱為助診文件����。此第一真實(shí)性 參考部分artl是統(tǒng)一選擇的隨機(jī)、偽隨機(jī)或其他難以猜測(cè)的元素����。在步驟 IVb中,身份提供者40向客戶端應(yīng)用30發(fā)送消息���,此消息包括要求用戶 例如通過(guò)用戶名和密碼或個(gè)人標(biāo)識(shí)號(hào)(PIN) mt自身的l^表單���。此外, 此消息包括身份提供者40的單點(diǎn)登錄(SSO) -URL地址�,客戶端應(yīng)用30 應(yīng)在此地址提交已完成的授權(quán)表單。此SSO-URL地址在查詢字段中包括 第一真實(shí)性參考部分artl���。在步驟IVc中���,用戶例如通過(guò)鍵盤輸入向客戶 端應(yīng)用30提交其用戶名和密碼�。在步驟IVd中��,客戶端應(yīng)用30在指定的 SSO-URL地址(其在查詢字段中包括第一真實(shí)性參考部分artl)處將已 完成的授M單發(fā)回身份提供者40����。步驟IVb和步驟IVd建立了笫一真實(shí) 性參考通信步驟。此第一真實(shí)性參考通信步驟將第一真實(shí)性參考部分artl 傳送到第一通信協(xié)議的當(dāng)前URL����。換言之,在第一真實(shí)性參考通信步驟中�, 客戶端應(yīng)用30 (瀏覽器)與身份提供者40聯(lián)系,而身份提供者40將笫一 真實(shí)性參考部分artl傳送到客戶端應(yīng)用30����。在本發(fā)明的此示例性實(shí)施例 中,第一真實(shí)性參考通信步驟與用戶的mi相結(jié)合��。這提高了所述方法的 效率并節(jié)省了其他步驟����。但是,驗(yàn)證和第一真實(shí)性參考通信步驟也可以分 別執(zhí)行����。
在步驟V中�,身份提供者40檢查提供的lHi信息(例如密碼或PIN) 是否正確���。如果正確,則用戶已成功向身份提供者40驗(yàn)汪了自身�。在第二 真實(shí)性參考生成步驟VI中,身傷i提供者40為已成功授4又的用戶生成第二真 實(shí)性參考部分art2 (也稱為助診文件2)����。第二真實(shí)性參考部分art2是統(tǒng) 一選擇的隨機(jī)、偽隨機(jī)或其他難以猜測(cè)的元素�����,并且與第一真實(shí)性參考部 分artl無(wú)關(guān)����。
在步驟VH中,服務(wù)提供者40存儲(chǔ)第一和第二真實(shí)性參考部分artl和 art2以及第一和第二真實(shí)性參考部分artl和art2之間的關(guān)系(即它們一起
屬于一對(duì))�。
在第一重定向子步驟Vffl中,身份提供者40向客戶端應(yīng)用30發(fā)送重定 向命令���。重定向命令包括請(qǐng)求實(shí)體50的斷言使用者服務(wù)(ACS) -URL作 為重定向地址�,并且此ACS-URL在查詢字段中包括第二真實(shí)性參考部分 art2。 ACS-URL是例如根據(jù)SAML標(biāo)準(zhǔn)為聯(lián)合身份管理提供的請(qǐng)求實(shí)體 50的地址����。在第二重定向子步驟K中,客戶端應(yīng)用30向請(qǐng)求實(shí)體50發(fā)送 get請(qǐng)求��,此請(qǐng)求包括請(qǐng)求實(shí)體的已請(qǐng)求ACS-URL���,并且此已請(qǐng)求的 ACS-URL包括第二真實(shí)性參考部分art2��。此外�����,在步驟IX中發(fā)送的通信 消息在引用者元素中包括瀏覽器的最后一個(gè)URL (SSO)��。從而��,由于最 后一個(gè)URL在查詢字段中包括第一真實(shí)性參考部分artl�,因此在步驟IX 中將傳輸?shù)谝缓偷诙鎸?shí)性參考部分artl和art2���。第一重定向子步驟環(huán)和 第二重定向子步驟K通常建立了第二真實(shí)性參考通信步驟��,并且在此特定 實(shí)例中為重定向步驟�����。
在請(qǐng)求步驟X中����,請(qǐng)求實(shí)體向身份提供者40的斷言響應(yīng)服務(wù)地址ARS 發(fā)送第一和第二真實(shí)性參考部分artl和art2。斷言響應(yīng)月良務(wù)可以例如;1才艮 據(jù)SAML標(biāo)準(zhǔn)的斷言響應(yīng)力艮務(wù)���。
在步驟XI中,身份提供者40檢查第一和第二真實(shí)性參考部分artl和 art2是否有效����,即它們是否與身份提供者40先前發(fā)出并且尚未無(wú)效或失效 的一對(duì)真實(shí)性參考部分相對(duì)應(yīng)。
在步驟XII中����,身份提供者40從其數(shù)據(jù)庫(kù)移除或刪除先前已從請(qǐng)求實(shí)體 發(fā)送的第一和第二真實(shí)性參考部分artl和art2。這確保了這些真實(shí)性參考 部分不可能再用于任何驗(yàn)證用途�。
如果在步驟X中傳輸?shù)牡谝缓腕识鎸?shí)性參考部分artl和art2有效,
息IRI的響應(yīng)��。否則�,身份提供者40在響應(yīng)步驟XIII中向請(qǐng)求實(shí)體50 發(fā)送表明所接收的第一和第二真實(shí)性參考部分artl和art2無(wú)效的錯(cuò)誤消息。
在步驟XIV中�����,請(qǐng)求實(shí)體50向客戶端應(yīng)用30發(fā)送具有結(jié)果頁(yè)的結(jié)果,此結(jié)果頁(yè)包括在步驟I中發(fā)出的用戶20的請(qǐng)求的結(jié)果���。這可能是所請(qǐng)求的 結(jié)果頁(yè)或錯(cuò)誤頁(yè)���。由于結(jié)果頁(yè)通常包括機(jī)密信息,因此步驟XIV優(yōu)選地通 過(guò)安全通道執(zhí)行���。
收到結(jié)果頁(yè)之后���,用戶通常可能繼續(xù)進(jìn)一步的步驟XV����。在此進(jìn)一步的 步驟XV中,用戶向請(qǐng)求實(shí)體50或其他服務(wù)器發(fā)送進(jìn)一步的請(qǐng)求�。對(duì)于此 進(jìn)一步的請(qǐng)求,用戶通?���?赡苁褂貌话踩臑g覽器協(xié)議,即沒(méi)有通過(guò)安全 通道執(zhí)行的瀏覽器協(xié)議。作為一個(gè)實(shí)例����,進(jìn)一步的請(qǐng)求可能通過(guò)超文本傳 輸協(xié)議(HTTP)凈皮發(fā)送到請(qǐng)求實(shí)體50。因此�,對(duì)手可能非常容易地觀察到 此進(jìn)一步的請(qǐng)求并可能獲取進(jìn)一步請(qǐng)求的信息。在此進(jìn)一步請(qǐng)求中傳輸?shù)?信息包括用戶要獲取的新URL的地址���,以及引用者元素中的先前URL的 信息����。先前URL(在此情況下為ACS-URL )包括第二真實(shí)性參考部分art2, 并且因此對(duì)手可能非常容易地獲取此第二真實(shí)性參考部分art2�����。但是�,進(jìn) 一步的請(qǐng)求不再包括任何有關(guān)第一真實(shí)性參考部分artl的信息��,因?yàn)榇瞬?分已從引用者元素中刪除�����。因此����,如果對(duì)手僅獲取此第二真實(shí)性參考部分 art2����,他將無(wú)法濫用它�,因?yàn)槿绻麤](méi)有第一真實(shí)性參考部分artl,此部分 毫無(wú)價(jià)值���。
為了進(jìn)一步提高安全性�����,第一真實(shí)性參考通信步驟IVb�、 IVd,第二真 實(shí)性參考通信步驟Vffl����、 DC以及請(qǐng)求步驟X和響應(yīng)步驟XIII應(yīng)通過(guò)安全通道 執(zhí)行。安全通道可以優(yōu)選地通過(guò)安全套接字層(SSL )��、傳輸層安全性(TLS ) 協(xié)議���,或諸如Web服務(wù)(WS)安全性之類的簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議(SOAP) 擴(kuò)展來(lái)實(shí)現(xiàn)���。請(qǐng)求步驟X和響應(yīng)步驟XIII可以優(yōu)選地使用相互^iit執(zhí)行, 而第一真實(shí)性參考通信步驟IVb、 IVd和第二真實(shí)性參考通信步驟環(huán)�、K可 以優(yōu)選地使用服務(wù)器^執(zhí)行。
圖3示出了本發(fā)明的第二實(shí)施例的消息流的示意圖����。步驟I到V與針 對(duì)圖2所述的相同,并且因此不再次說(shuō)明��。在此實(shí)施例中���,第二真實(shí)性參 考生成步驟VI被分為兩個(gè)子步驟���。在第一子步驟VIa中,生成第二真實(shí)性 參考部分art2�����。第二真實(shí)性參考部分art2是隨機(jī)���、偽隨機(jī)或其他難以猜測(cè) 的元素。在笫二子步驟VIb中����,分別計(jì)算和確定主要真實(shí)性參考部分art。
主要真實(shí)性參考部分art是由來(lái)自第一真實(shí)性參考部分artl和第二真實(shí)性 參考部分art2的安全函數(shù)分別計(jì)算和確定的助診文件。
安全函數(shù)優(yōu)選地是異或函數(shù)(XOR)��。主要真實(shí)性參考部分art然后 力o下確定
主要助診文件art = artl XOR art2����。
在步驟VH中,身份提供者40將主要真實(shí)性參考art存儲(chǔ)在其數(shù)據(jù)庫(kù)中�。 如果真正隨機(jī)選擇第一真實(shí)性參考部分artl和第二真實(shí)性參考部分art2, 則第 一真實(shí)性參考部分artl和第二真實(shí)性參考部分art2是理論上與主要真 實(shí)性參考部分art無(wú)關(guān)的信息�����。
步驟Vffl和K與針對(duì)圖2所述的相同���,并且因此不再次說(shuō)明�。
在此實(shí)施例中���,請(qǐng)求步驟X包括兩個(gè)子步驟Xa和Xb��。請(qǐng)求實(shí)體50 在子步驟Xa中通過(guò)安全函數(shù)(例如�����,通過(guò)異或函數(shù))根據(jù)所接收的第一 和第二真實(shí)性參考部分artl和art2計(jì)算主要真實(shí)性參考art���。這意味著根 據(jù)此實(shí)施例����,請(qǐng)求實(shí)體50也必須知道安全函數(shù)����。
在子步驟Xb中,請(qǐng)求實(shí)體50向身份提供者40發(fā)送主要真實(shí)性參考
art����。
在步驟XI中,身份提供者40檢查所接收的主要真實(shí)性參考art是否有 效����,即它是否與身份提供者先前發(fā)出并且尚未刪除或失效或由于其他原因 而無(wú)效的已存儲(chǔ)主要真實(shí)性參考相對(duì)應(yīng)。
在步驟XH中�,身^^提供者40移除或刪除先前從請(qǐng)求實(shí)體50發(fā)送的已 存儲(chǔ)主要真實(shí)性參考art。這確保了此主要真實(shí)性參考不可能再用于任何驗(yàn) 證用途���。
如果在步驟XI中傳輸?shù)闹饕鎸?shí)性參考有效���,則身份提供者40在響應(yīng) 步驟XIII中向請(qǐng)求實(shí)體50發(fā)送具有身份相關(guān)的信息IRI的響應(yīng)�。否則���, 身份提供者40在響應(yīng)步驟XIII中向請(qǐng)求實(shí)體發(fā)&明所發(fā)送的主要真實(shí) 性參考無(wú)效的餘溪消息。
步驟XIV和XV與針對(duì)圖2所述的相同����,并且因此不再次說(shuō)明。 在根據(jù)圖3的實(shí)施例中�,身份提供者40和請(qǐng)求實(shí)體50必須知道安全
函數(shù)。另一方面��,身份提供者40的數(shù)據(jù)庫(kù)必須僅存儲(chǔ)主要真實(shí)性參考art 而不同時(shí)存儲(chǔ)真實(shí)性參考部分artl和art2����。此外,在請(qǐng)求步驟中必須僅傳 輸主要真實(shí)性參考art�����。
應(yīng)指出的是�,其他解決方案也是可能的,例如身份提供者40僅存儲(chǔ)主 要助診文件art,請(qǐng)求實(shí)體40不知道安全函數(shù)并在請(qǐng)求步驟中傳輸?shù)谝缓?第二真實(shí)性參考部分artl和art2�,以及身份提供者40根據(jù)所接收的第一 和第二真實(shí)性參考部分artl和art2計(jì)算主要真實(shí)性參考art,并檢查它是 否存儲(chǔ)了匹配且有效的主要真實(shí)性參考art。
圖4a到4f示出了可以在圖2和/或圖3的方法的某些步驟中傳輸?shù)耐?信消息的示例性實(shí)施例�����。圖4a到圖4f中示出的實(shí)例消息基于超文本傳輸 協(xié)議版本1.1 (HTTP 1.1)。
圖4a示出了可以在步驟IVd中由客戶端應(yīng)用30發(fā)送到身份提供者40 的通信消息的示例性實(shí)施例����。在此實(shí)施例中使用HTTPJiHi?�?蛻舳藨?yīng)用 30向身份提供者40發(fā)送get請(qǐng)求���,此請(qǐng)求包括單點(diǎn)登錄頁(yè)SSOpage作為 地址并在查詢字段中包括第一真實(shí)性參考部分artl���。(主機(jī)的)身份提供 者的服務(wù)器的名稱為identity provider.org,并JL客戶端應(yīng)用30的瀏覽器 的名稱為XYZ丄0.8����。此通信消息的引用者元素包括客戶端應(yīng)用30的先前 目的地URL,在此實(shí)例中為站點(diǎn)間傳輸IST頁(yè)���。此引用者元素通常位于通 信消息的標(biāo)頭中����。在此標(biāo)頭的其他字段中�����,客戶端應(yīng)用向身份提供者40 傳輸用戶證書���,例如用戶名和密碼�����。
圖4b示出了可以在步驟IVd中由客戶端應(yīng)用30發(fā)送到身份提供者40 的通信消息的另一個(gè)示例性實(shí)施例��。在此實(shí)施例中使用基于HTML表單的 驗(yàn)證�����。相應(yīng)地��,發(fā)送post命令而不是get命令�����,并且HTML表單包括用 戶證書��。
圖4c示出了可以在步驟VIII中由身份提供者40發(fā)送到客戶端應(yīng)用30的 通信消息的示例性實(shí)施例����。身份提供者40的重定向命令要求客戶端應(yīng)用 30轉(zhuǎn)到請(qǐng)求實(shí)體50處的服務(wù)器de.requestingentity.org的斷言4吏用者服務(wù) 頁(yè)ACSpage�。此消息的查詢字段包括第二真實(shí)性參考部分art2�����。
圖4d示出了可以在步驟K中由客戶端應(yīng)用30發(fā)送到請(qǐng)求實(shí)體50的通 信消息的示例性實(shí)施例����?����?蛻舳藨?yīng)用30向請(qǐng)求實(shí)體50發(fā)送請(qǐng)求獲取 ACSpage的get請(qǐng)求���。此消息在查詢字段中包括第二真實(shí)性參考部分art2����。 (主機(jī)的)請(qǐng)求實(shí)體50的服務(wù)器的名稱為de.requestingentity.org����。此通 信消息的引用者元素包括客戶端應(yīng)用30的先前目的地URL https:〃identityprovider.org/SSOpage …art 1 。因此引用者元素的查詢字段 包括第一真實(shí)性參考部分artl���。因此���,此通信消息包括第一真實(shí)性參考部 分artl以及第二真實(shí)性參考部分art2�。
圖4e示出了在步驟XIV中從請(qǐng)求實(shí)體50傳輸?shù)娇蛻舳藨?yīng)用30的通信 消息的示例性實(shí)施例�。它包括HTML頁(yè)作為結(jié)果。
圖4f示出了可以在步驟XV中由客戶端應(yīng)用30發(fā)送到請(qǐng)求實(shí)體50的 通信消息的示例性實(shí)施例���。客戶端應(yīng)用30向其他名為otherhost.org的服 務(wù)器發(fā)送包括名為otherpage的目的地頁(yè)的get請(qǐng)求��。此通信消息的引用者 元素包括客戶端應(yīng)用30的先前目的地URL�。在此實(shí)例中為URL https :〃de.requestingentity.org/ACSpage ... art2…。此URL的查詢字段仍 包括第二真實(shí)性參考部分art2��,但通信消息不再包括第一真實(shí)性參考部分 artl�����。因此�����,如果對(duì)手獲取圖4f中所示的此通信消息的訪問(wèn)權(quán)限���,這對(duì)于 他而言毫無(wú)價(jià)值����。
圖5示出了本發(fā)明的第三實(shí)施例的消息流的示意圖。步驟I到IV與針 對(duì)圖2所述的相同�,并且因此不再次說(shuō)明。在步驟Va中��,身份提供者40 檢查提供的B信息(例如密碼或PIN)是否正確�。如果正確,則用戶已 成功向身份提供者40 JlHt自身�。在進(jìn)一步的步驟Vb中,身份提供者40 檢查客戶端應(yīng)用是否分別包括和使用引用者函數(shù)���。如果是��,則所述方法可 以繼續(xù)執(zhí)行如圖2或圖3中所述的步驟�。如果身份提供者40 了解到客戶端 應(yīng)用30沒(méi)有使用引用者函數(shù)�����,則執(zhí)行以下步驟���。在第二真實(shí)性參考生成步 驟VI中��,身份提供者40為已成功授權(quán)的用戶生成第二真實(shí)性參考部分 art2���。作為一種備選方案�����,可以再次使用第一真實(shí)性參考部分artl。第二 真實(shí)性參考部分art2也是隨機(jī)��、偽隨機(jī)或其他難以猜測(cè)的元素����。
在步驟VH中�����,服務(wù)提供者40存儲(chǔ)第二真實(shí)性參考部分art2����。
在第一重定向子步驟Vffl中,身份提供者40向客戶端應(yīng)用30發(fā)送重定 向命令�。重定向命令包括請(qǐng)求實(shí)體50的斷言使用者服務(wù)(ACS) -URL, 并且此ACS-URL在查詢字段中包括第二真實(shí)性參考部分art2����。在第二重 定向子步驟K中,客戶端應(yīng)用30向請(qǐng)求實(shí)體50發(fā)送get請(qǐng)求,此請(qǐng)求包 括請(qǐng)求實(shí)體的所請(qǐng)求的ACS-URL,并且此請(qǐng)求的ACS-URL包括第二真 實(shí)性參考部分��。在請(qǐng)求步驟X中�����,請(qǐng)求實(shí)體50向身傷^i供者40的斷言響 應(yīng)服務(wù)地址ARS發(fā)送第二真實(shí)性參考部分art2�。在步驟XI中,身份提供者 40檢查第二真實(shí)性參考部分art2是否有效�����。在步驟XH中���,身份提供者40 移除或刪除第二真實(shí)性參考部分art2�����。
如果在步驟X中傳輸?shù)牡诙鎸?shí)性參考部分art2有效��,則身份提供者 40在響應(yīng)步驟Xin中向請(qǐng)求實(shí)體50發(fā)送具有身份相關(guān)的信息IRI的響應(yīng)�。 否則�,身份提供者40在響應(yīng)步驟XIII中向請(qǐng)求實(shí)體50發(fā)il^明所接收的 第二真實(shí)性參考部分art2無(wú)效的餘溪消息。
步驟XIV和XV再次與針對(duì)圖2和圖3所述的相同�。
此實(shí)施例尤其適于這樣的應(yīng)用其中客戶端應(yīng)用30有時(shí)使用具有引用 者函數(shù)的通信協(xié)議����,有時(shí)使用沒(méi)有引用者函數(shù)的通信協(xié)議����,或其中客戶端
應(yīng)用的引用者函數(shù)可能由用戶關(guān)閉。
圖6示出了本發(fā)明的第四實(shí)施例的消息流的示意圖��。步驟I到XV在很 大程度上類似于針對(duì)圖3所述的步驟�,并且因此不再全部說(shuō)明。才艮據(jù)此實(shí) 施例�����,客戶端應(yīng)用30是移動(dòng)設(shè)備(例如���,蜂窩電話)的無(wú)線應(yīng)用協(xié)議(WAP) 瀏覽器。WAP旨在通過(guò)進(jìn)行某些特定于移動(dòng)的添加(專用于解決非常小型 的便攜設(shè)備的限制)��,提供與Web瀏覽器等效的服務(wù)����。根據(jù)此實(shí)施例,作 為WAP格式和HTTP格式之間的接口提供WAP網(wǎng)關(guān)服務(wù)器60����。 WAP 網(wǎng)關(guān)服務(wù)器60將來(lái)自身^^提供者40或請(qǐng)求實(shí)體50的HTTP格式的消息 分別轉(zhuǎn)換或變換為WAP格式的消息�����。另一方面�,WAP網(wǎng)關(guān)服務(wù)器60將
自^!戶用30的WAP ^&"^C的消 或請(qǐng)求實(shí)體50的HTTP格式的消息�����,此轉(zhuǎn)換在以下步驟中執(zhí)行�。在子步驟IIa中,請(qǐng)求實(shí)體50從客戶端應(yīng) 用30請(qǐng)求身份提供者信息(IPI) ��。 WAP網(wǎng)關(guān)服務(wù)器60將此HTTP請(qǐng)求 轉(zhuǎn)換為WAP請(qǐng)求����。客戶端應(yīng)用30 (即WAP瀏覽器)然后在子步驟IIc 中將身份提供者信息IPI發(fā)送到WAP網(wǎng)關(guān)60�����, WAP網(wǎng)關(guān)60將WAP消 息轉(zhuǎn)換為HTTP格式并將其轉(zhuǎn)發(fā)到請(qǐng)求實(shí)體50���。按照相應(yīng)的方式���,在重定 向步驟m���、第一真實(shí)性參考通信步驟IVb、 IVd�,以及第二真實(shí)性參考通信 步驟VDI、 K中執(zhí)行此類從HTTP格式到WAP格式的轉(zhuǎn)換�����,并且反之亦然�����。
除了上述實(shí)施例之外����,本發(fā)明還可應(yīng)用于各種其他領(lǐng)域。作為另一個(gè) 實(shí)例���,本發(fā)明可用于驗(yàn)證通過(guò)互聯(lián)網(wǎng)進(jìn)行的音頻和/或視頻傳輸。在此實(shí)例 中��,請(qǐng)求實(shí)體50可以是音頻和/或視頻數(shù)據(jù)的內(nèi),供者����,而客戶端應(yīng)用 30是內(nèi)容播放器�。內(nèi)容播放器向內(nèi),供者發(fā)送獲取內(nèi)容流的請(qǐng)求�,根據(jù) 上述方法之一執(zhí)行B,并且作為響應(yīng)���,內(nèi),供者向內(nèi)容播放器發(fā)送內(nèi) 容流�����。
本發(fā)明可應(yīng)用于各種標(biāo)準(zhǔn)��,具體地說(shuō)����,可應(yīng)用于OASIS安全斷言標(biāo)記 語(yǔ)言�、自由聯(lián)盟計(jì)劃和WS聯(lián)合。
任何披露的實(shí)施例都可以與所示和/或所述的一個(gè)或多個(gè)其他實(shí)施例 相結(jié)合��。對(duì)于實(shí)施例的一個(gè)或多個(gè)特性也可以如此����。
本發(fā)明可以在硬件、軟件或硬件與軟件的組合中實(shí)現(xiàn)��。任何種類的計(jì) 算機(jī)系統(tǒng)或其他適于執(zhí)行此處所述的方法的裝置都是適合的。典型的硬件 和軟件組合可以是具有計(jì)算機(jī)程序的通用計(jì)算機(jī)系統(tǒng)���,所述計(jì)算機(jī)程序在 被加栽和執(zhí)行時(shí)����,可以控制所述計(jì)算機(jī)系統(tǒng)以使其執(zhí)行此處所述的方法����。 本發(fā)明還可以嵌入計(jì)算機(jī)程序產(chǎn)品中,所述計(jì)算機(jī)程序產(chǎn)品包括使能實(shí)現(xiàn) 此處所述的方法的所有功能��,并且所述計(jì)算機(jī)程序產(chǎn)品在被加載到計(jì)算機(jī) 系統(tǒng)中時(shí)��,能夠執(zhí)^f亍上述方法�����。
當(dāng)前上下文中的計(jì)算機(jī)程序裝置或計(jì)算機(jī)程序包括一組指令的以任何 語(yǔ)言��、代碼或符號(hào)表示的任何表達(dá)�,旨在使具有信息處理能力的系統(tǒng)直接 執(zhí)行特定的功能,或者執(zhí)行以下兩者之一或全部后執(zhí)行特定的功能a)轉(zhuǎn) 換為另一種語(yǔ)言�、代碼或符號(hào)��;b)以不同的材料形式再現(xiàn)。
權(quán)利要求
1.一種用于通過(guò)身份提供者(40)為請(qǐng)求實(shí)體(50)提供身份相關(guān)的信息(IRI)的方法����,其中提供了客戶端應(yīng)用(30)以便用戶與所述請(qǐng)求實(shí)體(50)和所述身份提供者(40)通信,其中所述客戶端應(yīng)用(30)使用第一通信協(xié)議�����,其中所述第一通信協(xié)議包括引用者函數(shù)��,根據(jù)該函數(shù)�����,通信消息可以包括具有與至少一個(gè)先前通信步驟有關(guān)的信息的引用者元素�����,所述方法包括向所述身份提供者(40)驗(yàn)證所述用戶�,第一真實(shí)性參考部分生成步驟(IVa),包括由所述身份提供者(40)生成第一真實(shí)性參考部分(art1)���,在所述客戶端應(yīng)用(30)與所述身份提供者(40)之間的第一真實(shí)性參考通信步驟(IVb�、IVd),包括傳送所述第一真實(shí)性參考部分(art1)�,第二真實(shí)性參考部分生成步驟(VI),包括由所述身份提供者(40)生成第二真實(shí)性參考部分(art2)���,借助所述第一通信協(xié)議在所述身份提供者(40)與所述請(qǐng)求實(shí)體(50)之間進(jìn)行的第二真實(shí)性參考通信步驟(VIII��、IX)����,包括傳送所述第二真實(shí)性參考部分(art2)以及傳送所述引用者元素中的所述第一真實(shí)性參考部分(art1)�,請(qǐng)求步驟(X),其中所述請(qǐng)求實(shí)體(50)向所述身份提供者(40)發(fā)送所述第一(art1)和所述第二(art2)真實(shí)性參考部分或所述第一(art1)和所述第二(art2)真實(shí)性參考部分的安全函數(shù)(art)�,響應(yīng)步驟(XIII),其中所述身份提供者向所述請(qǐng)求實(shí)體(50)發(fā)送所述身份相關(guān)的信息(IRI)�����。
2. 如權(quán)利要求l中所述的方法�,其中所述方法包括結(jié)果步驟(XIV), 用于通過(guò)所述第一通信協(xié)議將結(jié)果從所述請(qǐng)求實(shí)體(50)傳送到所i^戶 端應(yīng)用(30)。
3. 如權(quán)利要求1或2中所述的方法���,其中所述第一通信協(xié)議是瀏覽器協(xié)議�����,具體地說(shuō)����,是超文本傳輸協(xié)議(HTTP)����。
4. 如上述權(quán)利要求中的任一權(quán)利要求所述的方法,其中通過(guò)安全通 道����,具體地說(shuō),通過(guò)具有服務(wù)器驗(yàn)證的安全通道來(lái)執(zhí)行所述第一真實(shí)性參 考通信步驟(IVb��、 IVd)����、所述第二真實(shí)性參考通信步驟(VDI、 DC)和/ 或所述結(jié)果步驟(XIV)�����。
5. 如上述權(quán)利要求中的任一權(quán)利要求所述的方法���,其中所述第二真實(shí) 性參考通信步驟(Vffl���、 DO是通過(guò)所i^戶端應(yīng)用(30)將所述身份提供 者(40)重定向到所述請(qǐng)求實(shí)體(50)的重定向步驟�����。
6. 如權(quán)利要求5中所述的方法����,其中所述重定向步驟(糧�、K)包括 第一 (Vffl)和第二 (DO重定向子步驟,其中所述身傷^l:供者(40)在所 述第一重定向子步驟(VDI)中向所述客戶端應(yīng)用(30)發(fā)送具有重定向地 址的重定向命令����,其中所述重定向地址包括所述第二真實(shí)性參考部分(art2),其中所述客戶端應(yīng)用(30)在所述第二重定向子步驟(DO中向所述 請(qǐng)求實(shí)體(50 )發(fā)送get請(qǐng)求��,所述get請(qǐng)求包括具有所述第二真實(shí)性參考 部分(art2)的所述重定向地址以及所述引用者元素中的所述第一真實(shí)性 參考部分(artl)�。
7. 如上述權(quán)利要求中的任一權(quán)利要求所述的方法,其中所述請(qǐng)求步驟 (X )和所述響應(yīng)步驟(XIV)使用笫二通信協(xié)議��,具體地說(shuō)�����,使用安全斷言標(biāo)記i吾言(SAML)��。
8. 如上述權(quán)利要求中的任一權(quán)利要求所述的方法,其中通過(guò)具有相互 驗(yàn)證的安全通道來(lái)執(zhí)行所述請(qǐng)求步驟(X )和所述響應(yīng)步驟(XIV)��。
9. 如上述權(quán)利要求中的任一權(quán)利要求所述的方法��,其中所述安全函數(shù) 是異或函數(shù)��、偽隨機(jī)函數(shù)�、散列函數(shù)��、加密函數(shù)或秘密共享函數(shù)�����。
10. 如上述權(quán)利要求中的任一權(quán)利要求所述的方法�,其中所述第一真 實(shí)性參考通信步驟(IVb、 IVd)包括 一個(gè)子步驟(IVb),其中所述身 份提供者(40)向所述客戶端應(yīng)用(30)發(fā)送所述第一真實(shí)性參考部分(artl);以及一個(gè)后續(xù)子步驟(IVd)�����,其中所i^戶端應(yīng)用(30)向所述身份提供者(40)發(fā)送驗(yàn)證和所述第一真實(shí)性參考部分(artl)��。
11. 一種用于從擁有身份相關(guān)的信息(IRI)的身份提供者(40)接收 所述身份相關(guān)的信息(IRI)的方法��,其中提供了第一通信協(xié)議以便與客戶 端應(yīng)用(30)的用戶和所述身份提供者(40)通信����,其中所述第一通信協(xié) 議包括引用者函數(shù)�,根據(jù)該函數(shù)��,通信消息可以包括具有與至少一個(gè)先前 通信步驟有關(guān)的信息的引用者元素�,所述方法包括通過(guò)所述第一通信協(xié)議從所述身份提供者(40)接收第二真實(shí)性參考 部分(art2)以及所述引用者元素中的第一真實(shí)性參考部分(artl),向所述身份提供者(40 )發(fā)送所述第一 (artl)和所述第二 ( art2 )真 實(shí)性參考部分或所述第一 (artl)和所述第二 ( art2)真實(shí)性參考部分的安 全函數(shù)(art)����,從所述身份提供者(40)接收所述身份相關(guān)的信息(IRI)。
12. —種用于為請(qǐng)求實(shí)體(50)提供身份相關(guān)的信息(IRI)的方法���, 其中提供了第一通信協(xié)議以便與客戶端應(yīng)用(30)的用戶和請(qǐng)求所述身份 相關(guān)的信息(IRI)的請(qǐng)求實(shí)體(50)通信����,其中所述笫一通信協(xié)議包括引 用者函數(shù)����,根據(jù)該函數(shù),通信消息可以包括具有與至少一個(gè)先前通信步驟 有關(guān)的信息的引用者元素���,所述方法包括生成第一真實(shí)性參考部分(artl),將所述第一真實(shí)性參考部分(artl)傳送到所^戶端應(yīng)用(30)�����, 生成第二真實(shí)性參考部分(art2)����,通過(guò)所述第一通信協(xié)議將所述第二真實(shí)性參考部分(art2)以及所述 引用者元素中的所述第一真實(shí)性參考部分(artl)傳送到所述請(qǐng)求實(shí)體 (50),從所述請(qǐng)求實(shí)體(50 )接收所述第一 (artl)和所述第二 ( art2 )真實(shí) 性參考部分或所述第一 (artl)和所述第二 ( art2 )真實(shí)性參考部分的安全 函數(shù)(art),向所述請(qǐng)求實(shí)體(50)發(fā)送具有所述身份相關(guān)的信息(IRI)的響應(yīng)��。
13. —種包括指令的計(jì)算機(jī)程序�,當(dāng)所述計(jì)算機(jī)程序在計(jì)算機(jī)系統(tǒng)上執(zhí)行時(shí),所述指令將執(zhí)行根據(jù)權(quán)利要求1到12中的任一權(quán)利要求的方法的 各步驟��。
14. 一種用于從擁有身份相關(guān)的信息(IRI)的身份提供者(40)接收 所述身份相關(guān)的信息(IRI)的請(qǐng)求實(shí)體(50)����,其中所述請(qǐng)求實(shí)體(50) 適于通過(guò)第一通信協(xié)議與客戶端應(yīng)用(30)的用戶通信�,其中所述第一通 信協(xié)議包括引用者函數(shù),根據(jù)該函數(shù)����,通信消息可以包括具有與至少一個(gè) 先前通信步驟有關(guān)的信息的引用者元素,其中所述請(qǐng)求實(shí)體(50)適于執(zhí) 行以下步驟通過(guò)所述第一通信協(xié)議從所述身份提供者(40)接收第二真實(shí)性參考 部分(art2)以及所述引用者元素中的第一真實(shí)性參考部分(artl)�����,向所述身^f^提供者(40 )發(fā)送所述笫一 (artl)和所述第二 ( art2 )真 實(shí)性參考部分或所述第一 (artl)和所述第二 ( art2)真實(shí)性參考部分的安 全函數(shù)(art)�����,從所述身份提供者(40)接收所述身份相關(guān)的信息(IRI)。
15. —種用于為請(qǐng)求實(shí)體(50)提供身份相關(guān)的信息(IRI)的身份提 供者(40)�����,其中所述身份提供者(40)適于通過(guò)第一通信協(xié)議與客戶端 應(yīng)用(30)的用戶通信����,其中所述第一通信協(xié)議包括引用者函數(shù),根據(jù)該 函數(shù)���,通信消息可以包括具有與至少一個(gè)先前通信步驟有關(guān)的信息的引用 者元素����,其中所述身份提供者(40)適于執(zhí)行以下步驟生成第一真實(shí)性參考部分(artl)����,將所述第一真實(shí)性參考部分Urtl)傳送到所i^戶端應(yīng)用(30), 生成第二真實(shí)性參考部分(art2)���,通過(guò)所述第一通信協(xié)議將所述笫二真實(shí)性參考部分(art2)以及所述 引用者元素中的所述第一真實(shí)性參考部分(artl)傳送到所述請(qǐng)求實(shí)體 (50)��,從所述請(qǐng)求實(shí)體(50 )接收所述第一 (artl)和所述第二 ( art2 )真實(shí) 性參考部分或所述第一 (artl)和所述第二 ( art2)真實(shí)性參考部分的安全 函數(shù)(art)�,向所述請(qǐng)求實(shí)體(50)發(fā)送具有所述身份相關(guān)的信息(IRI)的響應(yīng)。
16. —種用于通過(guò)身份提供者(40)為請(qǐng)求實(shí)體(50)提供身份相關(guān) 的信息(IRI)的系統(tǒng)���,其中提供了客戶端應(yīng)用(30)以便用戶與所述請(qǐng)求 實(shí)體(50)和所述身份提供者(40)通信����,其中所述客戶端應(yīng)用(30)使 用第一通信協(xié)議�,其中所述第一通信協(xié)議包括引用者函數(shù),根據(jù)該函數(shù)���, 通信消息可以包括具有與至少一個(gè)先前通信步驟有關(guān)的信息的引用者元 素���,所述系統(tǒng)適于執(zhí)行以下步驟向所述身份提供者(40 )發(fā)江所述用戶,第一真實(shí)性參考部分生成步驟(IVa)����,包括由所述身份提供者(40) 生成第一真實(shí)性參考部分Urtl)���,在所i^戶端應(yīng)用(30)與所述身份提供者(40)之間的第一真實(shí)性 參考通信步驟(IVb��、 IVd)�,包括傳送所述第一真實(shí)性參考部分(artl),第二真實(shí)性參考部分生成步驟(VI)�����,包括由所述身份提供者(40) 生成第二真實(shí)性參考部分(art2)���,借助所述第一通信協(xié)議在所述身份提供者(40 )與所述請(qǐng)求實(shí)體(50 )之間進(jìn)行的第二真實(shí)性參考通信步驟(vni���、 DO,包括傳送所述第二真實(shí)性參考部分Urt2)以及傳送所述引用者元素中的所述第一真實(shí)性參考部 分(artl),請(qǐng)求步驟(X )�����,其中所述請(qǐng)求實(shí)體(50)向所述身份提供者(40) 發(fā)送所述第一(artl )和所述第二( art2 )真實(shí)性參考部分或所述笫一(artl) 和所述第二 (art2)真實(shí)性參考部分的安全函數(shù)(art)��,響應(yīng)步驟(XIII)��,其中所述身份提供者向所述請(qǐng)求實(shí)體(50)發(fā)送 所述身份相關(guān)的信息(IRI)�����。
17. —種用于通過(guò)身份提供者(40)為請(qǐng)求實(shí)體(50)提供身份相關(guān) 的信息(IRI)的方法��,其中提供了客戶端應(yīng)用(30)以^更用戶與所述請(qǐng)求 實(shí)體(50)和所述身份提供者(40)通信����,其中所^戶端應(yīng)用(30)使 用第一通信協(xié)議�,所述方法包括檢查所述第 一通信協(xié)議是否包括具有與至少 一個(gè)先前通信步驟有關(guān)的 信息的引用者元素���,如果所述第 一通信協(xié)議包括引用者函數(shù)����,則執(zhí)行以下步驟向所述身份提供者(40) mt所述用戶��,第一真實(shí)性參考部分生成步驟(IVa)���,包括由所述身份提供者(40) 生成第一真實(shí)性參考部分(artl)��,在所M戶端應(yīng)用(30)與所述身份提供者(40)之間的第一真實(shí)性 參考通信步驟(IVb���、 IVd),包括傳送所述第一真實(shí)性參考部分(artl)���,第二真實(shí)性參考部分生成步驟(VI)��,包括由所述身份提供者(40) 生成第二真實(shí)性參考部分Urt2),借助所述第一通信協(xié)議在所述身份提供者(40 )與所述請(qǐng)求實(shí)體(50 ) 之間進(jìn)行的第二真實(shí)性參考通信步驟(Vffl�、 K),包括傳送所述第二真實(shí) 性參考部分(art2)以及傳送所述引用者元素中的所述第一真實(shí)性參考部 分(artl),請(qǐng)求步驟(X ),其中所述請(qǐng)求實(shí)體(50)向所述身份提供者(40) 發(fā)送所述第一(artl )和所述第二( art2 )真實(shí)性參考部分或所述第一(artl) 和所述第二 (art2)真實(shí)性參考部分的安全函數(shù)(art)��,響應(yīng)步驟(XIII),其中所述身份提供者向所述請(qǐng)求實(shí)體(50)發(fā)送 所述身^^相關(guān)的信息(IRI)��。
全文摘要
本發(fā)明涉及一種用于通過(guò)身份提供者(40)為請(qǐng)求實(shí)體(50)提供身份相關(guān)的信息(IRI)的方法�����。本發(fā)明包括第一真實(shí)性參考部分生成步驟(IVa)��,包括由所述身份提供者(40)生成第一真實(shí)性參考部分(art1)�����;在所述客戶端應(yīng)用(30)與所述身份提供者(40)之間的第一真實(shí)性參考通信步驟(IVb�����、IVd)��,包括傳送所述第一真實(shí)性參考部分(art1)�����;第二真實(shí)性參考部分生成步驟(VI)��,包括由所述身份提供者(40)生成第二真實(shí)性參考部分(art2)�;借助所述第一通信協(xié)議在所述身份提供者(40)與所述請(qǐng)求實(shí)體(50)之間進(jìn)行的第二真實(shí)性參考通信步驟(VIII、IX)�����,包括傳送所述第二真實(shí)性參考部分(art2)以及傳送引用者元素中的所述第一真實(shí)性參考部分(art1)�。
文檔編號(hào)G06F21/41GK101341492SQ200680048299
公開日2009年1月7日 申請(qǐng)日期2006年12月13日 優(yōu)先權(quán)日2005年12月23日
發(fā)明者B·普費(fèi)茨曼, T·R·格羅斯 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司