專利名稱:網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法、系統(tǒng)及實體的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)服務(wù)領(lǐng)域,尤其涉及采用自由聯(lián)盟提供網(wǎng)絡(luò)服務(wù)時,對于 網(wǎng)絡(luò)服務(wù)的用戶登錄票據(jù)進(jìn)行認(rèn)證的方法,以及在網(wǎng)絡(luò)服務(wù)過程中采用方法的 票據(jù)認(rèn)證系統(tǒng)。
背景技術(shù):
單點登錄(SSO, S ing 1 e S ign-on )是一種方便用戶訪問多個服務(wù)提供者(SP, Service Provider)的^支術(shù),用戶只需通過用戶名和密碼登錄一次SP,就可以 在多個締結(jié)成信任聯(lián)盟的SP間自由穿梭,不必每訪問一個SP就輸入一次用戶 名和密碼。
采用單點登錄的情況下,用戶登錄SP的消息交換和處理過程包括首先由 用戶通過用戶代理向SP發(fā)送登錄請求,SP獲得合適的身份提供者(IdP, Identity Provider)地址,并將該IdP地址返回給用戶代理;然后由用戶通過用戶4、理 向IdP地址對應(yīng)的IdP發(fā)送訪問請求,IdP處理接收到的訪問請求,并對沒有被 認(rèn)證的用戶進(jìn)行"i人證,以生成一個生存期短暫的SAML (Security Assertion Markup Language,安全性斷言標(biāo)記語言)認(rèn)證斷言緩存在IdP中,并將SAML artifact (輔件)的URI返回給用戶代理;用戶^C理一尋SAML artifact出示纟會 SP,以請求SP通過認(rèn)證并允許用戶接入。為了確認(rèn)本次用戶訪問的4又限,SP若 需要允許用戶接入,則需要將獲取到的SAML artifact向IdP進(jìn)行確認(rèn),并根 據(jù)IdP返回的響應(yīng)允許或者拒絕用戶最初的訪問其資源的請求。
在某些情況下,如果對于用戶在一次單點登錄后,需要訪問其他的SP,或 者訪問同一 SP中需要不同權(quán)限的資源時,SP在通過IdP對獲取到的SAMLartifact進(jìn)行確認(rèn)還需要通過其他的服務(wù)器進(jìn)行確認(rèn),如圖1所示,SP需要獲 取用戶身份屬性,其認(rèn)證過程包括如下步驟
1、 SP作為網(wǎng)絡(luò)服務(wù)請求者(WSR, Web Service Requester)向IdP發(fā)起一 個i人證請求,請求對用戶的SAML artifact進(jìn)4亍iU正。
2、 IdP對用戶的SAMLartifact認(rèn)證通過后,生成一個SAML斷言,并向所 述SP返回該SAML斷言,同時返回用戶的ID-WSF發(fā)現(xiàn)服務(wù)的資源參考(resource offering), SP可以利用該資源參考訪問到ID-WSF發(fā)現(xiàn)服務(wù)。
3、 由于上述的SAML斷言是對應(yīng)上述資源參考的,所以,SP將IdP提供的 資源參考和SAML斷言綁定,并請求對應(yīng)的ID-WSF發(fā)現(xiàn)服務(wù)提供AP的資源參考。
4、 ID-WSF發(fā)現(xiàn)服務(wù)對SP提供的SAML斷言進(jìn)行認(rèn)證,認(rèn)證通過后,生成一 個響應(yīng)消息,內(nèi)容包含AP的資源參考和一個新的SAML斷言。
5、 ID-WSF發(fā)現(xiàn)服務(wù)把這個響應(yīng)消息發(fā)給SP。
6、 SP使用ID-WSF發(fā)現(xiàn)服務(wù)提供的資源參考和SAML斷言,通過AP的認(rèn)證, 并向AP請求所需的屬性信息。
7、 AP對SP進(jìn)行認(rèn)證,生成一個含有SP所需屬性的響應(yīng)消息。
8、 AP把響應(yīng)消息發(fā)給SP。
在實現(xiàn)上述認(rèn)證的過程中,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題IdP 和ID-WSF發(fā)現(xiàn)服務(wù)等網(wǎng)絡(luò)服務(wù)提供者(WSP, Web Service Provider)都需要 單獨生成一個SAML斷言,以供進(jìn)行下一步訪問的設(shè)備對所生成的斷言進(jìn)行認(rèn)證。
上述的SAML斷言就是一個需要認(rèn)證的票據(jù),為了能夠完成上述功能,需要 IdP和以及ID-WSF發(fā)現(xiàn)服務(wù)同時具有票據(jù)生成和維護(hù)功能,導(dǎo)致IdP和ID-WSF 發(fā)現(xiàn)服務(wù)邏輯功能較為復(fù)雜,并且對于票據(jù)不能進(jìn)行集中管理維護(hù)
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法、系統(tǒng)及實體,能夠 對票據(jù)進(jìn)行集中管理。
為達(dá)到上述目的,本發(fā)明的實施例采用如下技術(shù)方案 一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,包括 接收到網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù); 將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體進(jìn)行認(rèn)證; 接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果; 將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者。 一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng),包括 網(wǎng)絡(luò)服務(wù)請求者,用于向網(wǎng)絡(luò)服務(wù)提供者提供票據(jù);
網(wǎng)絡(luò)服務(wù)提供者,用于接收網(wǎng)絡(luò)服務(wù)請求者的票據(jù),并將所述票據(jù)發(fā)送到
票據(jù)認(rèn)證實體,并將認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者;
票據(jù)認(rèn)證實體,用于對發(fā)送到該票據(jù)認(rèn)證實體票據(jù)進(jìn)行認(rèn)證,并將認(rèn)證結(jié)
果返回給網(wǎng)絡(luò)服務(wù)提供者。
一種網(wǎng)絡(luò)服務(wù)提供者,包括 接收單元,用于接收網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù); 發(fā)送單元,用于將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體進(jìn)行認(rèn)證; 所述接收單元還用于接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果;
一種票據(jù)認(rèn)證實體,包括
接收單元,用于接收網(wǎng)絡(luò)服務(wù)提供者發(fā)送來的票據(jù);
認(rèn)證單元,用于對所述票據(jù)進(jìn)行認(rèn)證;
發(fā)送單元,用于將認(rèn)證結(jié)果發(fā)送到網(wǎng)絡(luò)服務(wù)提供者。本發(fā)明實施例提供的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法、系統(tǒng)及實體,在都只需 要對網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)進(jìn)行認(rèn)證,不需要對其他實體重新生成的票據(jù) 進(jìn)行認(rèn)證,故而可以統(tǒng)一通過票據(jù)認(rèn)證實體具體完成認(rèn)證過程,而網(wǎng)絡(luò)服務(wù)提 供者只需要傳送其中的票據(jù)和認(rèn)證結(jié)果。與現(xiàn)有技術(shù)相比,本發(fā)明實施例由票 據(jù)認(rèn)證實體對票據(jù)進(jìn)行統(tǒng)一的管理和維護(hù),能夠集中管理票據(jù)。并且本發(fā)明實 施例中采用了票據(jù)認(rèn)證實體統(tǒng)一管理和維護(hù)票據(jù)的方案,網(wǎng)絡(luò)服務(wù)提供者不需
要重新生成票據(jù),即不需要生成另一個SAML斷言,所以采用本發(fā)明實施例,能 夠簡化網(wǎng)絡(luò)服務(wù)提供者的邏輯功能。
圖1為現(xiàn)有技術(shù)中票據(jù)認(rèn)證的流程圖2為本發(fā)明實施例1網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法的流程圖3為本發(fā)明實施例1網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng)的結(jié)構(gòu)圖4為本發(fā)明實施例1中網(wǎng)絡(luò)服務(wù)提供者的框圖5為本發(fā)明實施例1中票據(jù)認(rèn)證實體的框圖6為本發(fā)明實施例2網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法的流程圖7為本發(fā)明實施例3網(wǎng)絡(luò)服務(wù)中的票據(jù)iU正方法的流程圖8為本發(fā)明實施例4網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法的流程圖。
具體實施例方式
下面結(jié)合附圖對本發(fā)明實施例網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法、系統(tǒng)及實體進(jìn) 4亍詳細(xì)描述。 實施例1:
本實施例提供一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,如圖2所示,該票據(jù)認(rèn)證 方法包括如下步驟201、 如果用戶請求服務(wù)提供者提供相應(yīng)服務(wù),而該服務(wù)需要由網(wǎng)絡(luò)服務(wù)提 供者對用戶進(jìn)行認(rèn)證,服務(wù)提供者會作為網(wǎng)絡(luò)服務(wù)請求者向網(wǎng)絡(luò)服務(wù)提供者發(fā) 送認(rèn)證請求,該認(rèn)證請求中包含網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)。
202、 網(wǎng)絡(luò)服務(wù)提供者將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體,以供票據(jù)認(rèn)證實體 對所述票據(jù)進(jìn)行認(rèn)證。
203、 票據(jù)認(rèn)證實體完成認(rèn)證后,向網(wǎng)絡(luò)服務(wù)提供者返回認(rèn)證結(jié)果。
204、 所述網(wǎng)絡(luò)服務(wù)提供者接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果后,將所述 認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者,從而完成對用戶的票據(jù)進(jìn)行認(rèn)證的過程。
對應(yīng)于上述網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,本實施例還提供一種網(wǎng)絡(luò)服務(wù)中 的票據(jù)認(rèn)證系統(tǒng),如圖3所示,該票據(jù)認(rèn)證系統(tǒng)包括網(wǎng)絡(luò)服務(wù)請求者31、網(wǎng) 絡(luò)服務(wù)提供者32和票據(jù)認(rèn)證實體33。
其中,網(wǎng)絡(luò)服務(wù)請求者31向網(wǎng)絡(luò)服務(wù)提供者32提供票據(jù);網(wǎng)絡(luò)服務(wù)提供 者32接收到網(wǎng)絡(luò)服務(wù)請求者31的票據(jù)后,將票據(jù)發(fā)送到到票據(jù)認(rèn)證實體33, 票據(jù)認(rèn)證實體33對發(fā)送到該票據(jù)進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果返回給網(wǎng)絡(luò)服務(wù)提供 者32,所述網(wǎng)絡(luò)服務(wù)提供者32將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者31。
如圖4所示,本實施例中所用到的網(wǎng)絡(luò)服務(wù)提供者包括接收單元41和發(fā) 送單元42。其中接收單元41用于接收網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù),發(fā)送單元用 于將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體。在票據(jù)認(rèn)證實體完成對票據(jù)的認(rèn)證后向網(wǎng) 絡(luò)服務(wù)提供者返回認(rèn)證結(jié)果,網(wǎng)絡(luò)服務(wù)提供者通過所述接收單元41接收到票據(jù) 認(rèn)證實體返回的認(rèn)證結(jié)果,并通過所述發(fā)送單元42將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò) 服務(wù)請求者。
如圖5所示,本實施例中所采用的票據(jù)認(rèn)證實體包括接收單元51、認(rèn)證 單元52和發(fā)送單元53。其中接收單元51用于接收網(wǎng)絡(luò)服務(wù)提供者發(fā)送來的票據(jù);再通過認(rèn)證單元52對所述票據(jù)進(jìn)行i人證,并將i人i正結(jié)果通過發(fā)送單元53 發(fā)送到網(wǎng)絡(luò)服務(wù)提供者。
本實施例只需要對網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)進(jìn)行認(rèn)證,不需要對其他實 體重新生成的票據(jù)進(jìn)行認(rèn)證,故而可以統(tǒng)一通過票據(jù)認(rèn)證實體具體完成認(rèn)證過 程,而網(wǎng)絡(luò)服務(wù)提供者只需要傳送其中的票據(jù)和認(rèn)證結(jié)果。本實施例由票據(jù)認(rèn) 證實體對票據(jù)進(jìn)行統(tǒng)一的管理和維護(hù),能夠集中管理票據(jù)。并且本實施例采用 了票據(jù)認(rèn)證實體統(tǒng)一管理和維護(hù)票據(jù)的方案,網(wǎng)絡(luò)服務(wù)提供者不需要重新生成 票據(jù),即不需要生成另一個SAML斷言,簡化了網(wǎng)絡(luò)服務(wù)提供者的邏輯功能。
實施例2:
本實施例以圖1中的獲取用戶身份屬性作為應(yīng)用場景,在該應(yīng)用場景中, SP作為網(wǎng)絡(luò)服務(wù)請求者,而IdP、 ID-WSF發(fā)現(xiàn)服務(wù)和AP均作為網(wǎng)絡(luò)服務(wù)提供者, 由于IdP本身具有iU正功能,故而本實施例同時將IdP作為票據(jù)認(rèn)證實體。如 圖6所示,在該應(yīng)用場景中,網(wǎng)絡(luò)服務(wù)中的票據(jù)i/a正方法如下
601、 SP作為網(wǎng)絡(luò)服務(wù)請求者向IdP發(fā)起一個i人證請求,請求對用戶的SAML Assertion (斷言)進(jìn)行認(rèn)證,這里的SAML斷言就相當(dāng)于用戶提供的票據(jù)。
602、 IdP對用戶的SAML斷言進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果發(fā)送給SP,如果認(rèn) 證結(jié)果為通過,還需要向所述SP返回用戶的ID-WSF發(fā)現(xiàn)服務(wù)的資源參考。
上述步驟601和602已經(jīng)完成了 IdP對于用戶的認(rèn)證過程,但由于還需要 獲取用戶身份屬性,故而在步驟602中向SP返回了用戶的ID-WSF發(fā)現(xiàn)服務(wù)的 資源參考,通過ID-WSF發(fā)現(xiàn)服務(wù)可以找到AP,以便從AP中獲取屬性。
603、 SP根據(jù)IdP提供的資源參考請求對應(yīng)的ID-WSF發(fā)現(xiàn)服務(wù)提供AP的資 源參考,同時將用戶的SAML斷言(即票據(jù))提供給ID-WSF發(fā)現(xiàn)服務(wù)。
604、 ID-WSF發(fā)現(xiàn)服務(wù)將所述的SAML斷言發(fā)送到IdP,請求IdP對所述的票據(jù)進(jìn)行認(rèn)證。
605、 IdP對所述的票據(jù)進(jìn)行認(rèn)證,并向ID-WSF發(fā)現(xiàn)服務(wù)返回認(rèn)證結(jié)果。
606、 ID-WSF發(fā)現(xiàn)服務(wù)生成一個響應(yīng)消息,該響應(yīng)消息中包含所述SAML斷 言的認(rèn)證結(jié)果,并且在認(rèn)證結(jié)果為通過時,該響應(yīng)消息還包含AP的資源參考。
607、 工D-WSF發(fā)現(xiàn)服務(wù)把步驟606中的響應(yīng)消息發(fā)給SP。 通過上述步驟603至步驟607, ID-WSF發(fā)現(xiàn)服務(wù)已經(jīng)完成了對于SP請求AP
的資源參考進(jìn)行的認(rèn)證,同時向SP返回了 AP的資源參考。
608、 SP向ID-WSF發(fā)現(xiàn)服務(wù)提供的資源參考對應(yīng)的AP請求所需的屬性信息, 并向所述AP提供所述SAML斷言。
609、 AP將所述的SAML斷言發(fā)送到IdP,請求IdP對所述的票據(jù)進(jìn)行認(rèn)證。
610、 IdP對所述的票據(jù)進(jìn)行認(rèn)證,并向AP返回認(rèn)證結(jié)果。
611、 AP生成一個響應(yīng)消息,該響應(yīng)消息中包含所述S細(xì)L斷言的i人證結(jié)果, 并且在認(rèn)證結(jié)果為通過時,該響應(yīng)消息還包含SP所需屬性。
612、 AP把步驟611中的響應(yīng)消息發(fā)給SP。
通過上述步驟608至步驟612, AP已經(jīng)完成了對于SP請求用戶屬性進(jìn)行的 認(rèn)證,并且向SP返回了 SP所需屬性。在實際運用時,本實施例可能需要的是 除了屬性以外的其他資源,例如用戶的業(yè)務(wù)制定狀況等,所需資源發(fā)生變化 時,其具體認(rèn)證過程和步驟608至612相同,指示SP初始請求的資源和最后返 回資源發(fā)生了改變。
對應(yīng)于上述網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,本實施例還^是供一種網(wǎng)絡(luò)服務(wù)中 的票據(jù)認(rèn)證系統(tǒng),該票據(jù)認(rèn)證系統(tǒng)基本框架由多個圖3中描述的票據(jù)認(rèn)證系統(tǒng) 共同組成。
本實施例中的票據(jù)i人證系統(tǒng)包括IdP、 SP、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP,該系統(tǒng)的具體工作流程如圖6所示。其中,該系統(tǒng)中的票據(jù)認(rèn)證實體由IdP實現(xiàn), IdP、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP據(jù)需要實現(xiàn)網(wǎng)絡(luò)服務(wù)提供者的功能,而SP實現(xiàn)網(wǎng) 絡(luò)服務(wù)請求者的功能。
本實施例中,由IdP和ID-WSF發(fā)現(xiàn)服務(wù)實現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者,需要在所 述的票據(jù)認(rèn)證通過后生成資源參考,并將該資源參考發(fā)送給SP,例如IdP需 要生成ID-WSF發(fā)現(xiàn)服務(wù)的資源參考,ID-WSF發(fā)現(xiàn)服務(wù)需要生成AP的資源參考。 這樣SP才能請求所述資源參考對應(yīng)的服務(wù)實體提供相應(yīng)資源,并將所述票據(jù)提 供給所述服務(wù)實體。故而,相對于圖4所描述的網(wǎng)絡(luò)服務(wù)提供者而言,本實施 例中的網(wǎng)絡(luò)服務(wù)提供者還需要增加一個資源參考生成單元,以便生成相應(yīng)的資 源參考。
本實施例中,由AP實現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者,需要在所述的票據(jù)認(rèn)證通過后 生成資源,并將該資源發(fā)送給網(wǎng)絡(luò)服務(wù)請求者,本實施例中AP生成的資源就是 SP所需要的屬性。相對于圖4所描述的網(wǎng)絡(luò)服務(wù)提供者而言,本實施例中的網(wǎng) 絡(luò)服務(wù)提供者還需要增加一個資源生成單元,以便生成相應(yīng)的資源。
實施例3:
本實施例也是以圖1中的獲取用戶身份屬性作為應(yīng)用場景,在該應(yīng)用場景 中,同樣由SP作為網(wǎng)絡(luò)服務(wù)請求者,IdP、 ID-WSF發(fā)現(xiàn)服務(wù)和AP均作為網(wǎng)絡(luò)服 務(wù)提供者,IdP作為票據(jù)認(rèn)證實體。如圖7所示,在該應(yīng)用場景中,網(wǎng)絡(luò)月良務(wù)中 的票據(jù)認(rèn)證方法如下
701、 SP作為網(wǎng)絡(luò)服務(wù)請求者向IdP發(fā)起一個認(rèn)證請求,請求對用戶的SAML 斷言進(jìn)行認(rèn)證,這里的SAML斷言就相當(dāng)于用戶提供的票據(jù)。
702、 IdP對用戶的SAML斷言進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果發(fā)送給SP,如果認(rèn) 證結(jié)果為通過,還需要向所述SP返回用戶的ID-WSF發(fā)現(xiàn)服務(wù)的資源參考,以及IdP為SP分配的票據(jù)。
上述步驟701和702已經(jīng)完成了 IdP對于用戶的認(rèn)證過程,但由于還需要 獲取用戶身份屬性,故而在步驟702中向SP返回了用戶的ID-WSF發(fā)現(xiàn)服務(wù)的 資源參考,通過ID-WSF發(fā)現(xiàn)服務(wù)可以找到AP,以便從AP中獲取屬性。
同時為了進(jìn)一步提高SP訪問ID-WSF發(fā)現(xiàn)服務(wù)以及其他網(wǎng)絡(luò)服務(wù)提供者時 的安全,本實施例中還向SP返回了 SP的票據(jù),以Y更后續(xù)流程對其認(rèn)證。
703、 SP根據(jù)IdP提供的資源參考請求對應(yīng)的ID-WSF發(fā)現(xiàn)服務(wù)提供AP的資 源參考,同時將用戶的票據(jù)和SP的票據(jù)提供給ID-WSF發(fā)現(xiàn)服務(wù)。
704、 ID-WSF發(fā)現(xiàn)服務(wù)將所述用戶的票據(jù)和SP的票據(jù)發(fā)送到IdP,請求IdP 對所述的票據(jù)進(jìn)行認(rèn)證。
705、 IdP對所述的票據(jù)進(jìn)行認(rèn)證,并向ID-WSF發(fā)現(xiàn)服務(wù)返回認(rèn)證結(jié)果。
706、 ID-WSF發(fā)現(xiàn)服務(wù)生成一個響應(yīng)消息,該響應(yīng)消息中包含所述票據(jù)的認(rèn) 證結(jié)果,并且在認(rèn)證結(jié)果為通過時,該響應(yīng)消息還包含AP的資源參考。
707、 ID-WSF發(fā)現(xiàn)服務(wù)把步驟706中的響應(yīng)消息發(fā)給SP。 通過上述步驟703至步驟707, ID-WSF發(fā)現(xiàn)服務(wù)已經(jīng)完成了對于SP請求AP
的資源參考進(jìn)行的認(rèn)證,同時向SP返回了 AP的資源參考。
708、 SP向ID-WSF發(fā)現(xiàn)服務(wù)提供的資源參考對應(yīng)的AP請求所需的屬性信息, 并向所述AP提供所述用戶的票據(jù)和SP的票據(jù)。
709、 AP將所述用戶的票據(jù)和SP的票據(jù)發(fā)送到IdP,請求IdP對所述的票 據(jù)進(jìn)行認(rèn)證。
710、 IdP對所述的票據(jù)進(jìn)行認(rèn)證,并向AP返回認(rèn)證結(jié)果。
711、 AP生成一個響應(yīng)消息,該響應(yīng)消息中包含所述票據(jù)的認(rèn)證結(jié)果,并且 在認(rèn)證結(jié)果為通過時,該響應(yīng)消息還包含SP所需屬性。712、 AP把步驟711中的響應(yīng)消息發(fā)給SP。
通過上述步驟708至步驟712, AP已經(jīng)完成了對于SP請求用戶屬性進(jìn)行的 認(rèn)證,并且向SP返回了 SP所需屬性。在實際運用時,本實施例可能需要的是 除了屬性以外的其他資源,例如用戶的業(yè)務(wù)制定狀況等,所需資源發(fā)生變化 時,其具體認(rèn)證過程和步驟708至712相同,指示SP初始請求的資源和最后返 回資源發(fā)生了改變。
在上述步驟703至步驟712中,增加了對SP的票據(jù)進(jìn)行認(rèn)證,使得在訪問 ID-WSF發(fā)現(xiàn)服務(wù)和AP時,能夠更好地保證本次信息交互的安全。
對應(yīng)于上述網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,本實施例還提供一種網(wǎng)絡(luò)服務(wù)中 的票據(jù)認(rèn)證系統(tǒng),該票據(jù)認(rèn)證系統(tǒng)基本框架由多個圖3中描述的票據(jù)認(rèn)證系統(tǒng) 共同組成。
本實施例中的票據(jù)認(rèn)證系統(tǒng)包括IdP、 SP、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP,該 系統(tǒng)的具體工作流程如圖7所示。其中,該系統(tǒng)中的票據(jù)認(rèn)證實體由IdP實現(xiàn), IdP、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP據(jù)需要實現(xiàn)網(wǎng)絡(luò)服務(wù)才是供者的功能,而SP實現(xiàn)網(wǎng) 絡(luò)服務(wù)請求者的功能。
本實施例中作為網(wǎng)絡(luò)服務(wù)提供者的IdP在所述票據(jù)認(rèn)證通過后,生成SP的 票據(jù),并將該票據(jù)發(fā)送給SP,以便在以后的認(rèn)證中同時對SP的票據(jù)進(jìn)行認(rèn)證。
在實施例2和實施例3中,包括IdP、 ID-WSF發(fā)現(xiàn)服務(wù)和AP在內(nèi),均需要 通過IdP對票據(jù)進(jìn)行認(rèn)證,由于IdP在目前已經(jīng)設(shè)定了對票據(jù)進(jìn)行認(rèn)證的功能, 這樣可以減少對于其他實體邏輯功能的修改,并且節(jié)約網(wǎng)絡(luò)改造成本。
在實際運用時,對票據(jù)進(jìn)行認(rèn)證還可以通過一個單獨的實體來完成,例如 通過一個單獨的公共認(rèn)證查詢數(shù)據(jù)庫,這樣所有的網(wǎng)絡(luò)服務(wù)提供者都需要到該 公共認(rèn)證查詢數(shù)據(jù)庫對票據(jù)認(rèn)證,這樣一來可以簡化IdP的邏輯功能,但相對于通過IdP進(jìn)行認(rèn)證的方式而言,這種認(rèn)證方式由于缺少IdP的管理,使得公 共認(rèn)證查詢數(shù)據(jù)庫處于公開狀態(tài),其安全性不如通過IdP進(jìn)行認(rèn)證。 實施例4:
本實施例為通過公共認(rèn)證查詢數(shù)據(jù)庫對票據(jù)認(rèn)證,也是以圖1中的獲取用 戶身份屬性作為應(yīng)用場景,在該應(yīng)用場景中,由SP作為網(wǎng)絡(luò)服務(wù)請求者,IdP、 ID-WSF發(fā)現(xiàn)服務(wù)和AP均作為網(wǎng)絡(luò)服務(wù)提供者,由公共認(rèn)證查詢數(shù)據(jù)庫作為票據(jù) 認(rèn)證實體。如圖8所示,在該應(yīng)用場景中,網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法如下
801、 SP作為網(wǎng)絡(luò)服務(wù)請求者向IdP發(fā)起一個認(rèn)證請求,請求對用戶的SAML 斷言進(jìn)行認(rèn)證,這里的SAML斷言就相當(dāng)于用戶的票據(jù)。
802、 IdP將所述用戶的票據(jù)發(fā)送到公共認(rèn)證查詢數(shù)據(jù)庫。
803、 公共認(rèn)證查詢數(shù)據(jù)庫對用戶的票據(jù)進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果返給IdP。
804、 IdP將認(rèn)證結(jié)果發(fā)送給SP,如果認(rèn)證結(jié)果為通過,還需要向所述SP 返回用戶的ID-WSF發(fā)現(xiàn)服務(wù)的資源參考,以及IdP為SP分配的票據(jù)。
805、 將IdP為SP分配的票據(jù)發(fā)給7>共認(rèn)證查詢#:據(jù)庫,由公共認(rèn)證查詢 數(shù)據(jù)庫保存所述SP的票據(jù)。
上述步驟801和805已經(jīng)完成了 IdP對于用戶的認(rèn)證過程,但由于還需要 獲取用戶身份屬性,故而在步驟804中向SP返回了用戶的ID-WSF發(fā)現(xiàn)服務(wù)的 資源參考,通過ID-WSF發(fā)現(xiàn)服務(wù)可以找到AP,以便從AP中獲取屬性。
同時,為了進(jìn)一步提高SP訪問ID-WSF發(fā)現(xiàn)服務(wù)以及其他網(wǎng)絡(luò)服務(wù)提供者 時的安全,本實施例中還向SP返回了 SP的票據(jù),并將SP的票據(jù)發(fā)送給了公共 認(rèn)證查詢數(shù)據(jù)庫,以便后續(xù)流程對其認(rèn)證。
806、 SP根據(jù)IdP提供的資源參考請求對應(yīng)的ID-WSF發(fā)現(xiàn)服務(wù)提供AP的資 源參考,同時將用戶的票據(jù)和SP的票據(jù)提供給ID-WSF發(fā)現(xiàn)服務(wù)。807、 ID-WSF發(fā)現(xiàn)服務(wù)將所述用戶的票據(jù)和SP的票據(jù)發(fā)送到公共認(rèn)證查詢 數(shù)據(jù)庫,請求公共認(rèn)證查詢數(shù)據(jù)庫對所述的票據(jù)進(jìn)行認(rèn)證。
808、 公共認(rèn)證查詢數(shù)據(jù)庫對所述的票據(jù)進(jìn)行認(rèn)證,并向ID-WSF發(fā)現(xiàn)服務(wù) 返回認(rèn)證結(jié)果。
809、 ID-WSF發(fā)現(xiàn)服務(wù)生成一個響應(yīng)消息,該響應(yīng)消息中包含所述票據(jù)的認(rèn) 證結(jié)果,并且在認(rèn)證結(jié)果為通過時,該響應(yīng)消息還包含AP的資源參考。
810、 ID-WSF發(fā)現(xiàn)服務(wù)把步驟809中的響應(yīng)消息發(fā)給SP。 通過上述步驟806至步驟810, ID-WSF發(fā)現(xiàn)服務(wù)已經(jīng)完成了對于SP請求AP
的資源參考進(jìn)行的認(rèn)證,同時向SP返回了 AP的資源參考。
811 、 SP向ID-WSF發(fā)現(xiàn)服務(wù)提供的資源參考對應(yīng)的AP請求所需的屬性信息, 并向所述AP提供所述用戶的票據(jù)和SP的票據(jù)。
812、 AP將所述用戶的票據(jù)和SP的票據(jù)發(fā)送到公共認(rèn)證查詢數(shù)據(jù)庫,請求 公共認(rèn)證查詢數(shù)據(jù)庫對所述的票據(jù)進(jìn)行認(rèn)證。
813、 公共認(rèn)證查詢數(shù)據(jù)庫對所述的票據(jù)進(jìn)行認(rèn)i正,并向AP返回認(rèn)證結(jié)果。
814、 AP生成一個響應(yīng)消息,該響應(yīng)消息中包含所述票據(jù)的認(rèn)證結(jié)果,并且 在認(rèn)-〖正結(jié)果為通過時,該響應(yīng)消息還包含SP所需屬性。
815、 AP把步驟814中的響應(yīng)消息發(fā)給SP。
通過上述步驟811至步驟815, AP已經(jīng)完成了對于SP請求用戶屬性進(jìn)行的 認(rèn)證,并且向SP返回了 SP所需屬性。在實際運用時,本實施例可能需要的是 除了屬性以外的其他資源,例如用戶的業(yè)務(wù)制定狀況等,所需資源發(fā)生變化 時,其具體認(rèn)證過程和步驟811至815相同,指示SP初始請求的資源和最后返
回資源發(fā)生了改變。
在上述步驟806至步驟815中,需要同時對用戶的票據(jù)和SP的票據(jù)進(jìn)行認(rèn)證,使得在訪問ID-WSF發(fā)現(xiàn)服務(wù)和AP時,能夠更好地保證本次信息交互的安全。
本實施例采用公共認(rèn)證查詢數(shù)據(jù)庫進(jìn)行認(rèn)證的方式,也適用于不需要對SP 的票據(jù)進(jìn)行認(rèn)證的情況,這樣在具體實現(xiàn)時,就不需要生成SP的票據(jù),也不需 要傳送SP的票據(jù),同時公共認(rèn)證查詢數(shù)據(jù)庫也不需要保存SP的票據(jù)。
對應(yīng)于上述網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,本實施例還提供一種網(wǎng)絡(luò)服務(wù)中 的票據(jù)認(rèn)證系統(tǒng),該票據(jù)認(rèn)證系統(tǒng)基本框架由多個圖3中描述的票據(jù)認(rèn)證系統(tǒng) 共同組成。
本實施例中的票據(jù)認(rèn)證系統(tǒng)包括IdP、 SP、 ID-WSF發(fā)現(xiàn)服務(wù)、AP以及公 共認(rèn)證查詢數(shù)據(jù)庫,該系統(tǒng)的具體工作流程如圖8所示。其中,該系統(tǒng)中的票 據(jù)認(rèn)證實體由公共認(rèn)證查詢數(shù)據(jù)庫實現(xiàn),IdP、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP據(jù)需要 實現(xiàn)網(wǎng)絡(luò)服務(wù)提供者的功能,而SP實現(xiàn)網(wǎng)絡(luò)服務(wù)請求者的功能。
本實施例中作為網(wǎng)絡(luò)服務(wù)提供者的IdP在所述票據(jù)i人證通過后,生成SP的 票據(jù),并將該票據(jù)發(fā)送給SP,以便在以后的認(rèn)證中同時對SP的票據(jù)進(jìn)行認(rèn)證。
上述所有實施例中還可以將S雄L artifact (輔件)作為用戶的票據(jù)或者 SP的票據(jù)。
上述實施例2、實施例3和實施例4中,SP都不需要將票據(jù)和對應(yīng)的資源 參考進(jìn)行綁定,這樣可以減輕SP的數(shù)據(jù)處理負(fù)荷。
本發(fā)明實施例主要用在網(wǎng)絡(luò)服務(wù)提供者中,例如IdP、 ID-WSF發(fā)現(xiàn)服務(wù)和 AP等。
通過以上的實施方式的描述,所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn),當(dāng)然也可以通過硬件,但 很多情況下前者是更佳的實施方式。基于這樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算 機軟件產(chǎn)品存儲在可讀取的存儲介質(zhì)中,如計算機的軟盤,硬盤或光盤等,包 括若干指令用以使得一臺設(shè)備(可以是服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明 各個實施例所述的方法。
以上所述,僅為本發(fā)明的具體實施方式
,但本發(fā)明的保護(hù)范圍并不局限于 此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到 的變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍 應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)。
權(quán)利要求
1、一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于包括接收到網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù);將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體進(jìn)行認(rèn)證;接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果;將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者。
2、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于,該方 法還包括在票據(jù)認(rèn)證實體對所述的票據(jù)認(rèn)證通過后生成資源; 將該資源發(fā)送給網(wǎng)絡(luò)服務(wù)請求者。
3、 根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于,所述 生成的資源包括請求訪問網(wǎng)絡(luò)服務(wù)請求者的用戶的屬性。
4、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于,該方 法還包括在票據(jù)認(rèn)證實體對所述的票據(jù)認(rèn)證通過后生成資源參考; 將該資源參考發(fā)送給網(wǎng)絡(luò)服務(wù)請求者;所述網(wǎng)絡(luò)服務(wù)請求者請求所述資源參考對應(yīng)的服務(wù)實體提供相應(yīng)資源,并 將所述票據(jù)提供給所述服務(wù)實體。
5、 根據(jù)權(quán)利要求l所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于,所述 票據(jù)包括請求訪問網(wǎng)絡(luò)服務(wù)請求者的用戶向網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù),或者所述票據(jù)包括請求訪問網(wǎng)絡(luò)服務(wù)請求者的用戶向網(wǎng)絡(luò)服務(wù)請求者提供的票 據(jù),以及網(wǎng)絡(luò)服務(wù)請求者自身的票據(jù)。
6、 根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于,所述 網(wǎng)絡(luò)服務(wù)請求者自身的票據(jù)由身份提供者向生成。
7、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于,所述 票據(jù)認(rèn)證實體為身份提供者或者公共認(rèn)證查詢數(shù)據(jù)庫。
8、 根據(jù)權(quán)利要求1至7中任意一項所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其 特征在于,所述票據(jù)為安全性斷言標(biāo)記語言輔件,或者為安全性斷言標(biāo)記語言斷言。
9、 一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng),其特征在于包括 網(wǎng)絡(luò)服務(wù)請求者,用于向網(wǎng)絡(luò)服務(wù)提供者提供票據(jù);網(wǎng)絡(luò)服務(wù)提供者,用于接收網(wǎng)絡(luò)服務(wù)請求者的票據(jù),并將所述票據(jù)發(fā)送到 票據(jù)認(rèn)證實體,并將認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者;票據(jù)認(rèn)證實體,用于對發(fā)送到該票據(jù)認(rèn)證實體票據(jù)進(jìn)行認(rèn)證,并將認(rèn)證結(jié) 果返回給網(wǎng)絡(luò)服務(wù)提供者。
10、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng),其特征在于 所述網(wǎng)絡(luò)服務(wù)提供者還用于在票據(jù)認(rèn)資源,并將該資源發(fā)送給網(wǎng)絡(luò)服務(wù)請求者。
11、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng),其特征在于 所述網(wǎng)絡(luò)服務(wù)提供者還用于在票據(jù)認(rèn)證實體對所述的票據(jù)認(rèn)證通過后生成資源參考,并將該資源參考發(fā)送給網(wǎng)絡(luò)服務(wù)請求者;所述網(wǎng)絡(luò)服務(wù)請求者請求所述資源參考對應(yīng)的服務(wù)實體提供相應(yīng)資源,并 將所述票據(jù)提供給所述服務(wù)實體。
12、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng),其特征在于,所 述網(wǎng)絡(luò)服務(wù)提供者為身份提供者,所述身份提供者還用于在票據(jù)認(rèn)證實體對所 述的票據(jù)認(rèn)證通過后,生成網(wǎng)絡(luò)服務(wù)請求者的票據(jù),并將該票據(jù)發(fā)送給網(wǎng)絡(luò)服 務(wù)請求者。
13、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng),其特征在于,所 述票據(jù)認(rèn)證實體由身份驗證提供者實現(xiàn),或者由公共認(rèn)證查詢數(shù)據(jù)庫實現(xiàn)。
14、 一種網(wǎng)絡(luò)服務(wù)提供者,其特征在于包括 接收單元,用于接收網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù); 發(fā)送單元,用于將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體進(jìn)行認(rèn)證; 所述接收單元還用于接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果; 所述發(fā)送單元還用于將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者。
15、 根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)服務(wù)提供者,其特征在于還包括所述發(fā)送單元還用于將所述資源發(fā)送給網(wǎng)絡(luò)服務(wù)請求者。
16、 根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)服務(wù)提供者,其特征在于還包括源參考;所述發(fā)送單元還用于將所述資源參考發(fā)送給網(wǎng)絡(luò)服務(wù)請求者。
17、 根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)服務(wù)提供者,其特征在于,所述網(wǎng)絡(luò)服務(wù)提供者為屬性提供者,或者統(tǒng)一 網(wǎng)絡(luò)服務(wù)框架發(fā)現(xiàn)服務(wù)。
18、 一種票據(jù)認(rèn)^t實體,其特征在于包括 接收單元,用于接收網(wǎng)絡(luò)服務(wù)提供者發(fā)送來的票據(jù); 認(rèn)證單元,用于對所述票據(jù)進(jìn)行認(rèn)證;發(fā)送單元,用于將認(rèn)證結(jié)果發(fā)送到網(wǎng)絡(luò)服務(wù)提供者。
19、 根據(jù)權(quán)利要求18所述的票據(jù)認(rèn)證實體,其特征在于,該票據(jù)認(rèn)證實體 為身份提供者或者7>共認(rèn)證查詢數(shù)據(jù)庫。
全文摘要
本發(fā)明實施例公開了一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法、系統(tǒng)及實體,涉及對網(wǎng)絡(luò)服務(wù)的用戶登錄票據(jù)進(jìn)行認(rèn)證的技術(shù),解決現(xiàn)有技術(shù)中不能對票據(jù)進(jìn)行統(tǒng)一管理的問題。本發(fā)明實施例通過票據(jù)認(rèn)證實體來維護(hù)票據(jù),所有的網(wǎng)絡(luò)服務(wù)提供者都需要通過票據(jù)認(rèn)證實體對票據(jù)進(jìn)行認(rèn)證,并由網(wǎng)絡(luò)服務(wù)提供者將認(rèn)證結(jié)果返回給網(wǎng)絡(luò)服務(wù)請求者。本發(fā)明實施例主要用在網(wǎng)絡(luò)服務(wù)提供者中,例如IdP、ID-WSF發(fā)現(xiàn)服務(wù)和AP等。
文檔編號H04L9/32GK101567785SQ20081009400
公開日2009年10月28日 申請日期2008年4月25日 優(yōu)先權(quán)日2008年4月25日
發(fā)明者張惠萍, 健 楊, 雷 王, 范姝男, 挺 董, 陳國喬 申請人:華為技術(shù)有限公司