專利名稱：一種訪問拜訪地服務提供商的系統(tǒng)及方法
技術領域：
本發(fā)明涉及網(wǎng)絡通信系統(tǒng)中的安全通信技術，尤其涉及一種訪問拜訪地服務提供 商的系統(tǒng)及方法。
背景技術：
身份管理(IdM，Identity Management)是指以網(wǎng)絡和相關支持技術為基礎，對用 戶身份的生命周期(使用過程)，以及用戶身份與網(wǎng)絡應用服務之間的關系進行管理。例 如，對訪問應用和資源的用戶進行認證或授權等。目前，IdM系統(tǒng)之間還處于一種相互獨立 的垂直結構，且這些IdM系統(tǒng)大多是針對特定的應用服務建立起來的，各個IdM系統(tǒng)之間無 法實現(xiàn)互聯(lián)互通，無法實現(xiàn)用戶信息(如用戶的信任信息、認證信任)的共享。IdM系統(tǒng)包括用戶、IdP (身份提供商)、SP (Service provide，服務提供商)。在認 證過程中，只有SP和IdP之間存在信任關系，SP才能確認IdP對用戶身份的認證信息是真 實可靠的，才能進一步為用戶提供服務。在IdM系統(tǒng)中，IdP作為獨立運營商，實現(xiàn)了身份 服務與應用服務的分離。通過一系列的查詢/應答消息，IdP為用戶提供身份注冊、身份管 理和身份認證等一系列服務，從而在SP和用戶之間建立服務所期望的信任等級，實現(xiàn)用戶 對服務的訪問。如圖1所示是現(xiàn)有技術IdM系統(tǒng)對用戶進行認證的通用流程步驟101，用戶向服務提供商SP請求提供服務；步驟102，服務提供商SP要求用戶進行身份認證；步驟103，用戶向SP發(fā)送用戶ID以及所在地的IdP地址；步驟104，SP將接收的用戶ID以及所在地的IdP地址轉發(fā)至IdP ；步驟105，IdP向用戶發(fā)送消息，請求用戶輸入憑證信息；步驟106，用戶向IdP發(fā)送其憑證信息；步驟107，IdP對用戶提供的身份信息進行認證。步驟108，IdP向SP返回認證結果。步驟109，SP根據(jù)得到的認證結果為用戶提供相應的服務。在通用的IdM系統(tǒng)中，拜訪地的SP通過拜訪地的IdP的認證來控制用戶對其資源 的訪問，而拜訪地的IdP只能對其自身的用戶進行認證，而當其它IdP的用戶訪問時，則被 認為是非法用戶，用戶必須重新進行注冊，這樣既不方便用戶也限制了 SP的發(fā)展。

發(fā)明內(nèi)容
本發(fā)明要解決的技術問題是提供一種訪問拜訪地服務提供商的系統(tǒng)及方法，解決 了現(xiàn)有身份管理系統(tǒng)中用戶跨越不同IdM系統(tǒng)訪問SP的問題。為了解決上述問題，本發(fā)明提供了一種訪問拜訪地服務提供商的方法，用戶訪問 拜訪地的服務提供商時，所述拜訪地的身份提供商IdP獲取用戶的信息后，通過拜訪地的 身份提供商IdP與歸屬地的IdP之間的接口，請求所述用戶歸屬地IdP對所述用戶進行認證，所述歸屬地IdP完成認證后向所述拜訪地IdP返回認證結果，所述拜訪地IdP將認證結 果發(fā)送至所述拜訪地的服務提供商，所述拜訪地的服務提供商根據(jù)認證結果向所述用戶提 供服務；所述拜訪地的IdP與歸屬地的IdP之間的接口是和歸屬地服務提供商與歸屬地 IdP之間的接口相同。進一步地，所述拜訪地IdP請求所述歸屬地IdP進行認證是指，拜訪地IdP向歸屬 地IdP發(fā)送認證請求，攜帶所述用戶的用戶標識；所述歸屬地IdP收到所述認證請求后，向所述用戶獲取該用戶的憑證信息，然后 對所述用戶進行認證，并將認證結果返回至拜訪地IdP。進一步地，所述拜訪地IdP收到認證結果后，將所述認證結果進行格式轉換后發(fā) 送至所述拜訪地的服務提供商。 進一步地，所述拜訪地IdP獲取所述用戶的信息后，根據(jù)其中的用戶歸屬地IdP地 址進行地址檢查，若該IdP地址為拜訪地IdP地址，則直接進行認證，否則請求所述歸屬地 IdP進行認證。本發(fā)明還提供一種訪問拜訪地服務提供商的系統(tǒng)，包括用戶歸屬地IdP、拜訪地 IdP及拜訪地的服務提供商；所述拜訪地IdP，用于收到用戶的信息后，若用戶不是其所在地的用戶，則通過拜 訪地的IdP與歸屬地的IdP之間的接口向該用戶歸屬地IdP發(fā)送認證請求；還用于收到認 證結果后將其發(fā)送至拜訪地的服務提供商；所述拜訪地的IdP與歸屬地的IdP之間的接口 是和歸屬地服務提供商與歸屬地IdP之間的接口相同；所述歸屬地IdP，用于收到認證請求后對用戶進行認證，并將認證結果返回至所述 拜訪地IdP ；所述拜訪地的服務提供商，用于根據(jù)所述認證結果向所述用戶提供服務。進一步地，所述拜訪地IdP，還用于收到認證結果后，將該認證結果進行格式轉換 后發(fā)送至所述拜訪地的服務提供商。進一步地，所述拜訪地IdP收到用戶的信息后，根據(jù)其中的歸屬地IdP地址進行地 址檢查，若該IdP地址為所述拜訪地IdP地址，則直接進行認證，否則請求所述歸屬地IdP 進行認證。進一步地，所述拜訪地IdP收到用戶的信息后，根據(jù)其中的歸屬地IdP地址進行地 址檢查，若該IdP地址為所述拜訪地IdP地址，則直接進行認證是指，所述拜訪地IdP對用 戶進行認證，并將認證結果返回給拜訪地的服務提供商。進一步地，所述拜訪地IdP收到用戶的信息后，根據(jù)其中的歸屬地IdP地址進行 地址檢查，若該IdP地址為所述歸屬地IdP地址，請求所述歸屬地IdP進行認證是指拜訪 地IdP攜帶所述用戶的用戶標識，通過拜訪地的IdP與歸屬地的IdP之間的接口，向歸屬地 IdP發(fā)送認證請求，所述歸屬地IdP收到所述認證請求后，向所述用戶獲取該用戶的憑證信 息，然后對所述用戶進行認證，并將認證結果返回至拜訪地IdP。本發(fā)明提供了一種訪問拜訪地服務提供商的系統(tǒng)及方法，解決了現(xiàn)有身份管理系 統(tǒng)中用戶跨越不同IdM系統(tǒng)訪問SP的問題；且該方法簡單易行，不需更改原有IdM系統(tǒng)認 證的通用模型和通信機制，IdM系統(tǒng)只需要添加轉發(fā)，與轉換授權機制，就能很好的解決跨IdM系統(tǒng)訪問認證的問題，該方法的發(fā)明滿足了用戶需求，能夠使IdM系統(tǒng)得到更廣泛的使用。


圖1是現(xiàn)有技術IdM系統(tǒng)對用戶進行認證的通用流程圖；圖2是用戶跨不同IdP訪問SP時的各成員實例示意圖；圖3是本發(fā)明用戶跨不同IdP訪問SP時對用戶進行認證的流程圖。
具體實施例方式本實施例提供一種訪問拜訪地服務提供商的系統(tǒng)，如圖2所示，包括拜訪地IdP、 歸屬地IdP、拜訪地的SP ；當用戶訪問拜訪地SP時，拜訪地SP請求拜訪地IdP(即拜訪地 SP所在地的IdP)對用戶進行認證，拜訪地IdP承擔IdP的作用；由于用戶不屬于該拜訪地 的用戶，拜訪地IdP無法對其進行認證，于是請求歸屬地IdP對用戶進行認證，此時，拜訪地 IdP表現(xiàn)為SP的角色。具體地，拜訪地的SP用于收到用戶提供服務的請求后請求該用戶進行身份認證，以及收 到用戶發(fā)來的用戶ID和歸屬地IdP地址后向該SP所在地的IdP發(fā)送認證請求，攜帶該用 戶ID和歸屬地IdP地址；還用于收到其所在地的IdP返回的用戶認證結果后根據(jù)該認證結 果向用戶提供相應服務。拜訪地IdP用于收到認證請求后，判斷用戶是否為所在地的用戶，是則直接進行 認證，若不是則請求該用戶歸屬地的IdP對其進行認證，攜帶該用戶ID ；還用于收到歸屬地 IdP返回的認證結果后，將該結果進行格式轉換，轉換成本系統(tǒng)支持的格式后發(fā)送至所在地 的SP。歸屬地IdP用于收到認證請求后，根據(jù)用戶ID獲取該用戶的憑證信息，之后根據(jù) 用戶ID和其憑證等信息進行認證，并將認證結果返回至拜訪地IdP。拜訪地IdP與歸屬地IdP之間的接口是和歸屬地的SP與歸屬地IdP之間的接口 相同。本實施例提供一種訪問拜訪地服務提供商的方法，如圖3所示，包括以下步驟步驟301，用戶終端向拜訪地的SP提出提供服務請求。步驟302，拜訪地的SP服務器要求用戶終端進行身份認證。步驟303，用戶根據(jù)要求提供用戶ID和用戶所在地IdP地址。步驟304，拜訪地的SP服務器收到用戶提供的ID和注冊IdP地址(即用戶所在 IdP地址)，并轉發(fā)給該SP所在地的IdP，請求認證用戶。步驟305，拜訪地IdP收到拜訪地的SP提供的用戶的ID和IdP地址，首先進行地 址檢查，如果是自身，則直接進行認證，并返回認證結果。否則，轉向步驟306。步驟306，拜訪地IdP系統(tǒng)作為SP的角色，向用戶歸屬地IdP發(fā)送認證請求，其中 攜帶該用戶ID ；步驟307，用戶歸屬地IdP收到認證請求，向該用戶ID對應的用戶發(fā)送消息，請求 其輸入憑證信息；步驟308，用戶向其歸屬地IdP發(fā)送其憑證信息；
步驟309，用戶歸屬地IdP根據(jù)用戶ID和憑證等信息進行認證。步驟310，用戶歸屬地IdP向拜訪地IdP返回認證結果，攜帶用戶ID。步驟311，拜訪地IdP收到用戶的認證結果，并將此認證結果映射為拜訪地認證結 果，該映射是指將接收的認證結果進行格式轉換，轉換為本系統(tǒng)格式的認證結果。步驟312，拜訪地IdP向拜訪地SP返回轉化后的認證結果。步驟313，拜訪地SP根據(jù)認證結果為該用戶提供相應服務。拜訪地IdP與歸屬地IdP之間的接口是和歸屬地服務提供商與歸屬地IdP之間的 接口相同。
權利要求
1. 一種訪問拜訪地服務提供商的方法，其特征在于用戶訪問拜訪地的服務提供商時，所述拜訪地身份提供商IdP獲取用戶的信息后，通 過拜訪地IdP與歸屬地的IdP之間的接口，請求所述用戶歸屬地IdP對所述用戶進行認證， 所述歸屬地IdP完成認證后向所述拜訪地IdP返回認證結果，所述拜訪地IdP將認證結果 發(fā)送至所述拜訪地的服務提供商，所述拜訪地的服務提供商根據(jù)認證結果向所述用戶提供 服務；所述拜訪地IdP與歸屬地IdP之間的接口是和歸屬地服務提供商與歸屬地IdP之間的 接口相同。
2.如權利要求1所述的方法，其特征在于所述拜訪地IdP請求所述歸屬地IdP進行認證是指，拜訪地IdP向歸屬地IdP發(fā)送認 證請求，攜帶所述用戶的用戶標識；所述歸屬地IdP收到所述認證請求后，向所述用戶獲取該用戶的憑證信息，然后對所 述用戶進行認證，并將認證結果返回至拜訪地IdP。
3.如權利要求2所述的方法，其特征在于，所述方法還包括所述拜訪地IdP收到認證結果后，將所述認證結果進行格式轉換后發(fā)送至所述拜訪地 的服務提供商。
4.如權利要求1所述的方法，其特征在于，所述方法還包括所述拜訪地IdP獲取所述用戶的信息后，根據(jù)其中的用戶歸屬地IdP地址進行地址檢 查，若該IdP地址為拜訪地IdP地址，則直接進行認證，否則請求所述歸屬地IdP進行認證。
5. 一種訪問拜訪地服務提供商的系統(tǒng)，包括用戶歸屬地身份提供商IdP、拜訪地IdP及 拜訪地的服務提供商，其特征在于所述拜訪地IdP，用于收到用戶的信息后，若用戶不是其所在地的用戶，則通過拜訪地 的IdP與歸屬地的IdP之間的接口向該用戶歸屬地IdP發(fā)送認證請求；還用于收到認證結 果后將其發(fā)送至拜訪地的服務提供商；所述拜訪地IdP與歸屬地IdP之間的接口是和歸屬 地服務提供商與歸屬地IdP之間的接口相同；所述歸屬地IdP，用于收到認證請求后對用戶進行認證，并將認證結果返回至所述拜訪 地 IdP ；所述拜訪地的服務提供商，用于根據(jù)所述認證結果向所述用戶提供服務。
6.如權利要求5所述的系統(tǒng)，其特征在于所述拜訪地IdP，還用于收到認證結果后，將該認證結果進行格式轉換后發(fā)送至所述拜 訪地的服務提供商。
7.如權利要求5所述的系統(tǒng)，其特征在于所述拜訪地IdP收到用戶的信息后，根據(jù)其中的歸屬地IdP地址進行地址檢查，若該 IdP地址為所述拜訪地IdP地址，則直接進行認證，否則請求所述歸屬地IdP進行認證。
8.如權利要求7所述的系統(tǒng)，其特征在于所述拜訪地IdP收到用戶的信息后，根據(jù)其中的歸屬地IdP地址進行地址檢查，若該 IdP地址為所述拜訪地IdP地址，則直接進行認證是指，所述拜訪地IdP對用戶進行認證，并 將認證結果返回給拜訪地的服務提供商。
9.如權利要求7所述的系統(tǒng)，其特征在于所述拜訪地IdP收到用戶的信息后，根據(jù)其中的歸屬地IdP地址進行地址檢查，若該 IdP地址為所述歸屬地IdP地址，請求所述歸屬地IdP進行認證是指拜訪地IdP攜帶所述 用戶的用戶標識，通過拜訪地的IdP與歸屬地的IdP之間的接口，向歸屬地IdP發(fā)送認證請 求，所述歸屬地IdP收到所述認證請求后，向所述用戶獲取該用戶的憑證信息，然后對所述 用戶進行認證，并將認證結果返回至拜訪地IdP。
全文摘要
本發(fā)明提供了一種訪問拜訪地服務提供商的系統(tǒng)及方法，用戶訪問拜訪地的服務提供商時，所述拜訪地的身份提供商IdP獲取用戶的信息后，通過拜訪地的身份提供商IdP與歸屬地的IdP之間的接口，請求所述用戶歸屬地IdP對所述用戶進行認證，所述歸屬地IdP完成認證后向所述拜訪地IdP返回認證結果，所述拜訪地IdP將認證結果發(fā)送至所述拜訪地的服務提供商，所述拜訪地的服務提供商根據(jù)認證結果向所述用戶提供服務；拜訪地IdP與歸屬地的IdP之間的接口是和歸屬地服務提供商與歸屬地IdP之間的接口相同。采用本發(fā)明，解決了現(xiàn)有身份管理系統(tǒng)中用戶跨越不同IdM系統(tǒng)訪問SP的問題。
文檔編號H04W12/06GK101998398SQ20091016237
公開日2011年3月30日 申請日期2009年8月11日 優(yōu)先權日2009年8月11日
發(fā)明者李媛, 林兆驥, 滕志猛, 陳劍勇, 高宏偉 申請人:中興通訊股份有限公司