專利名稱:網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法��、系統(tǒng)及實體的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)服務(wù)領(lǐng)域�,尤其涉及采用自由聯(lián)盟提供網(wǎng)絡(luò)服務(wù)時���,對于 網(wǎng)絡(luò)服務(wù)的用戶登錄票據(jù)進(jìn)行認(rèn)證的方法,以及在網(wǎng)絡(luò)服務(wù)過程中采用方法的 票據(jù)認(rèn)證系統(tǒng)���。
背景技術(shù):
單點登錄(SSO, S ing 1 e S ign-on )是一種方便用戶訪問多個服務(wù)提供者(SP, Service Provider)的^支術(shù)����,用戶只需通過用戶名和密碼登錄一次SP,就可以 在多個締結(jié)成信任聯(lián)盟的SP間自由穿梭�,不必每訪問一個SP就輸入一次用戶 名和密碼。
采用單點登錄的情況下�����,用戶登錄SP的消息交換和處理過程包括首先由 用戶通過用戶代理向SP發(fā)送登錄請求����,SP獲得合適的身份提供者(IdP, Identity Provider)地址,并將該IdP地址返回給用戶代理�����;然后由用戶通過用戶4�、理 向IdP地址對應(yīng)的IdP發(fā)送訪問請求�����,IdP處理接收到的訪問請求,并對沒有被 認(rèn)證的用戶進(jìn)行"i人證�,以生成一個生存期短暫的SAML (Security Assertion Markup Language,安全性斷言標(biāo)記語言)認(rèn)證斷言緩存在IdP中,并將SAML artifact (輔件)的URI返回給用戶代理����;用戶^C理一尋SAML artifact出示纟會 SP,以請求SP通過認(rèn)證并允許用戶接入。為了確認(rèn)本次用戶訪問的4又限�����,SP若 需要允許用戶接入���,則需要將獲取到的SAML artifact向IdP進(jìn)行確認(rèn)����,并根 據(jù)IdP返回的響應(yīng)允許或者拒絕用戶最初的訪問其資源的請求��。
在某些情況下���,如果對于用戶在一次單點登錄后��,需要訪問其他的SP����,或 者訪問同一 SP中需要不同權(quán)限的資源時,SP在通過IdP對獲取到的SAMLartifact進(jìn)行確認(rèn)還需要通過其他的服務(wù)器進(jìn)行確認(rèn)��,如圖1所示���,SP需要獲 取用戶身份屬性���,其認(rèn)證過程包括如下步驟
1、 SP作為網(wǎng)絡(luò)服務(wù)請求者(WSR��, Web Service Requester)向IdP發(fā)起一 個i人證請求�,請求對用戶的SAML artifact進(jìn)4亍iU正。
2��、 IdP對用戶的SAMLartifact認(rèn)證通過后���,生成一個SAML斷言�,并向所 述SP返回該SAML斷言�����,同時返回用戶的ID-WSF發(fā)現(xiàn)服務(wù)的資源參考(resource offering), SP可以利用該資源參考訪問到ID-WSF發(fā)現(xiàn)服務(wù)���。
3���、 由于上述的SAML斷言是對應(yīng)上述資源參考的,所以�,SP將IdP提供的 資源參考和SAML斷言綁定,并請求對應(yīng)的ID-WSF發(fā)現(xiàn)服務(wù)提供AP的資源參考����。
4、 ID-WSF發(fā)現(xiàn)服務(wù)對SP提供的SAML斷言進(jìn)行認(rèn)證���,認(rèn)證通過后�,生成一 個響應(yīng)消息���,內(nèi)容包含AP的資源參考和一個新的SAML斷言���。
5、 ID-WSF發(fā)現(xiàn)服務(wù)把這個響應(yīng)消息發(fā)給SP��。
6�、 SP使用ID-WSF發(fā)現(xiàn)服務(wù)提供的資源參考和SAML斷言,通過AP的認(rèn)證, 并向AP請求所需的屬性信息���。
7�����、 AP對SP進(jìn)行認(rèn)證����,生成一個含有SP所需屬性的響應(yīng)消息����。
8、 AP把響應(yīng)消息發(fā)給SP���。
在實現(xiàn)上述認(rèn)證的過程中�����,發(fā)明人發(fā)現(xiàn)現(xiàn)有技術(shù)中至少存在如下問題IdP 和ID-WSF發(fā)現(xiàn)服務(wù)等網(wǎng)絡(luò)服務(wù)提供者(WSP, Web Service Provider)都需要 單獨生成一個SAML斷言�����,以供進(jìn)行下一步訪問的設(shè)備對所生成的斷言進(jìn)行認(rèn)證��。
上述的SAML斷言就是一個需要認(rèn)證的票據(jù)��,為了能夠完成上述功能��,需要 IdP和以及ID-WSF發(fā)現(xiàn)服務(wù)同時具有票據(jù)生成和維護(hù)功能�����,導(dǎo)致IdP和ID-WSF 發(fā)現(xiàn)服務(wù)邏輯功能較為復(fù)雜�����,并且對于票據(jù)不能進(jìn)行集中管理維護(hù)
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法�、系統(tǒng)及實體�����,能夠 對票據(jù)進(jìn)行集中管理���。
為達(dá)到上述目的�����,本發(fā)明的實施例采用如下技術(shù)方案 一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法�����,包括 接收到網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)����; 將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體進(jìn)行認(rèn)證; 接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果���; 將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者�。 一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng)���,包括 網(wǎng)絡(luò)服務(wù)請求者��,用于向網(wǎng)絡(luò)服務(wù)提供者提供票據(jù)��;
網(wǎng)絡(luò)服務(wù)提供者�����,用于接收網(wǎng)絡(luò)服務(wù)請求者的票據(jù)�����,并將所述票據(jù)發(fā)送到
票據(jù)認(rèn)證實體�,并將認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者;
票據(jù)認(rèn)證實體�����,用于對發(fā)送到該票據(jù)認(rèn)證實體票據(jù)進(jìn)行認(rèn)證�,并將認(rèn)證結(jié)
果返回給網(wǎng)絡(luò)服務(wù)提供者。
一種網(wǎng)絡(luò)服務(wù)提供者���,包括 接收單元,用于接收網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)����; 發(fā)送單元,用于將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體進(jìn)行認(rèn)證����; 所述接收單元還用于接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果;
一種票據(jù)認(rèn)證實體���,包括
接收單元��,用于接收網(wǎng)絡(luò)服務(wù)提供者發(fā)送來的票據(jù)���;
認(rèn)證單元��,用于對所述票據(jù)進(jìn)行認(rèn)證����;
發(fā)送單元���,用于將認(rèn)證結(jié)果發(fā)送到網(wǎng)絡(luò)服務(wù)提供者��。本發(fā)明實施例提供的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法���、系統(tǒng)及實體,在都只需 要對網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)進(jìn)行認(rèn)證�,不需要對其他實體重新生成的票據(jù) 進(jìn)行認(rèn)證,故而可以統(tǒng)一通過票據(jù)認(rèn)證實體具體完成認(rèn)證過程���,而網(wǎng)絡(luò)服務(wù)提 供者只需要傳送其中的票據(jù)和認(rèn)證結(jié)果����。與現(xiàn)有技術(shù)相比���,本發(fā)明實施例由票 據(jù)認(rèn)證實體對票據(jù)進(jìn)行統(tǒng)一的管理和維護(hù)��,能夠集中管理票據(jù)����。并且本發(fā)明實 施例中采用了票據(jù)認(rèn)證實體統(tǒng)一管理和維護(hù)票據(jù)的方案,網(wǎng)絡(luò)服務(wù)提供者不需
要重新生成票據(jù)�����,即不需要生成另一個SAML斷言�,所以采用本發(fā)明實施例,能 夠簡化網(wǎng)絡(luò)服務(wù)提供者的邏輯功能��。
圖1為現(xiàn)有技術(shù)中票據(jù)認(rèn)證的流程圖2為本發(fā)明實施例1網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法的流程圖3為本發(fā)明實施例1網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng)的結(jié)構(gòu)圖4為本發(fā)明實施例1中網(wǎng)絡(luò)服務(wù)提供者的框圖5為本發(fā)明實施例1中票據(jù)認(rèn)證實體的框圖6為本發(fā)明實施例2網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法的流程圖7為本發(fā)明實施例3網(wǎng)絡(luò)服務(wù)中的票據(jù)iU正方法的流程圖8為本發(fā)明實施例4網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法的流程圖����。
具體實施例方式
下面結(jié)合附圖對本發(fā)明實施例網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法���、系統(tǒng)及實體進(jìn) 4亍詳細(xì)描述����。 實施例1:
本實施例提供一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法����,如圖2所示,該票據(jù)認(rèn)證 方法包括如下步驟201��、 如果用戶請求服務(wù)提供者提供相應(yīng)服務(wù),而該服務(wù)需要由網(wǎng)絡(luò)服務(wù)提 供者對用戶進(jìn)行認(rèn)證�����,服務(wù)提供者會作為網(wǎng)絡(luò)服務(wù)請求者向網(wǎng)絡(luò)服務(wù)提供者發(fā) 送認(rèn)證請求�,該認(rèn)證請求中包含網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)。
202�、 網(wǎng)絡(luò)服務(wù)提供者將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體,以供票據(jù)認(rèn)證實體 對所述票據(jù)進(jìn)行認(rèn)證�����。
203��、 票據(jù)認(rèn)證實體完成認(rèn)證后�,向網(wǎng)絡(luò)服務(wù)提供者返回認(rèn)證結(jié)果。
204�、 所述網(wǎng)絡(luò)服務(wù)提供者接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果后,將所述 認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者�����,從而完成對用戶的票據(jù)進(jìn)行認(rèn)證的過程��。
對應(yīng)于上述網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,本實施例還提供一種網(wǎng)絡(luò)服務(wù)中 的票據(jù)認(rèn)證系統(tǒng)�,如圖3所示,該票據(jù)認(rèn)證系統(tǒng)包括網(wǎng)絡(luò)服務(wù)請求者31�����、網(wǎng) 絡(luò)服務(wù)提供者32和票據(jù)認(rèn)證實體33�����。
其中�����,網(wǎng)絡(luò)服務(wù)請求者31向網(wǎng)絡(luò)服務(wù)提供者32提供票據(jù)���;網(wǎng)絡(luò)服務(wù)提供 者32接收到網(wǎng)絡(luò)服務(wù)請求者31的票據(jù)后��,將票據(jù)發(fā)送到到票據(jù)認(rèn)證實體33, 票據(jù)認(rèn)證實體33對發(fā)送到該票據(jù)進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果返回給網(wǎng)絡(luò)服務(wù)提供 者32,所述網(wǎng)絡(luò)服務(wù)提供者32將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者31����。
如圖4所示,本實施例中所用到的網(wǎng)絡(luò)服務(wù)提供者包括接收單元41和發(fā) 送單元42��。其中接收單元41用于接收網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù),發(fā)送單元用 于將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體����。在票據(jù)認(rèn)證實體完成對票據(jù)的認(rèn)證后向網(wǎng) 絡(luò)服務(wù)提供者返回認(rèn)證結(jié)果,網(wǎng)絡(luò)服務(wù)提供者通過所述接收單元41接收到票據(jù) 認(rèn)證實體返回的認(rèn)證結(jié)果�����,并通過所述發(fā)送單元42將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò) 服務(wù)請求者��。
如圖5所示���,本實施例中所采用的票據(jù)認(rèn)證實體包括接收單元51�����、認(rèn)證 單元52和發(fā)送單元53�。其中接收單元51用于接收網(wǎng)絡(luò)服務(wù)提供者發(fā)送來的票據(jù)�����;再通過認(rèn)證單元52對所述票據(jù)進(jìn)行i人證�����,并將i人i正結(jié)果通過發(fā)送單元53 發(fā)送到網(wǎng)絡(luò)服務(wù)提供者。
本實施例只需要對網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)進(jìn)行認(rèn)證�,不需要對其他實 體重新生成的票據(jù)進(jìn)行認(rèn)證,故而可以統(tǒng)一通過票據(jù)認(rèn)證實體具體完成認(rèn)證過 程��,而網(wǎng)絡(luò)服務(wù)提供者只需要傳送其中的票據(jù)和認(rèn)證結(jié)果�。本實施例由票據(jù)認(rèn) 證實體對票據(jù)進(jìn)行統(tǒng)一的管理和維護(hù),能夠集中管理票據(jù)��。并且本實施例采用 了票據(jù)認(rèn)證實體統(tǒng)一管理和維護(hù)票據(jù)的方案���,網(wǎng)絡(luò)服務(wù)提供者不需要重新生成 票據(jù)����,即不需要生成另一個SAML斷言���,簡化了網(wǎng)絡(luò)服務(wù)提供者的邏輯功能�。
實施例2:
本實施例以圖1中的獲取用戶身份屬性作為應(yīng)用場景����,在該應(yīng)用場景中, SP作為網(wǎng)絡(luò)服務(wù)請求者�����,而IdP��、 ID-WSF發(fā)現(xiàn)服務(wù)和AP均作為網(wǎng)絡(luò)服務(wù)提供者����, 由于IdP本身具有iU正功能,故而本實施例同時將IdP作為票據(jù)認(rèn)證實體��。如 圖6所示��,在該應(yīng)用場景中�,網(wǎng)絡(luò)服務(wù)中的票據(jù)i/a正方法如下
601、 SP作為網(wǎng)絡(luò)服務(wù)請求者向IdP發(fā)起一個i人證請求�,請求對用戶的SAML Assertion (斷言)進(jìn)行認(rèn)證,這里的SAML斷言就相當(dāng)于用戶提供的票據(jù)�。
602、 IdP對用戶的SAML斷言進(jìn)行認(rèn)證���,并將認(rèn)證結(jié)果發(fā)送給SP,如果認(rèn) 證結(jié)果為通過�,還需要向所述SP返回用戶的ID-WSF發(fā)現(xiàn)服務(wù)的資源參考�����。
上述步驟601和602已經(jīng)完成了 IdP對于用戶的認(rèn)證過程���,但由于還需要 獲取用戶身份屬性�,故而在步驟602中向SP返回了用戶的ID-WSF發(fā)現(xiàn)服務(wù)的 資源參考,通過ID-WSF發(fā)現(xiàn)服務(wù)可以找到AP����,以便從AP中獲取屬性。
603��、 SP根據(jù)IdP提供的資源參考請求對應(yīng)的ID-WSF發(fā)現(xiàn)服務(wù)提供AP的資 源參考����,同時將用戶的SAML斷言(即票據(jù))提供給ID-WSF發(fā)現(xiàn)服務(wù)。
604��、 ID-WSF發(fā)現(xiàn)服務(wù)將所述的SAML斷言發(fā)送到IdP,請求IdP對所述的票據(jù)進(jìn)行認(rèn)證�����。
605��、 IdP對所述的票據(jù)進(jìn)行認(rèn)證�,并向ID-WSF發(fā)現(xiàn)服務(wù)返回認(rèn)證結(jié)果。
606��、 ID-WSF發(fā)現(xiàn)服務(wù)生成一個響應(yīng)消息����,該響應(yīng)消息中包含所述SAML斷 言的認(rèn)證結(jié)果,并且在認(rèn)證結(jié)果為通過時�,該響應(yīng)消息還包含AP的資源參考。
607��、 工D-WSF發(fā)現(xiàn)服務(wù)把步驟606中的響應(yīng)消息發(fā)給SP���。 通過上述步驟603至步驟607, ID-WSF發(fā)現(xiàn)服務(wù)已經(jīng)完成了對于SP請求AP
的資源參考進(jìn)行的認(rèn)證����,同時向SP返回了 AP的資源參考��。
608�、 SP向ID-WSF發(fā)現(xiàn)服務(wù)提供的資源參考對應(yīng)的AP請求所需的屬性信息, 并向所述AP提供所述SAML斷言��。
609�、 AP將所述的SAML斷言發(fā)送到IdP,請求IdP對所述的票據(jù)進(jìn)行認(rèn)證����。
610、 IdP對所述的票據(jù)進(jìn)行認(rèn)證����,并向AP返回認(rèn)證結(jié)果�。
611�����、 AP生成一個響應(yīng)消息�,該響應(yīng)消息中包含所述S細(xì)L斷言的i人證結(jié)果, 并且在認(rèn)證結(jié)果為通過時�,該響應(yīng)消息還包含SP所需屬性。
612���、 AP把步驟611中的響應(yīng)消息發(fā)給SP���。
通過上述步驟608至步驟612, AP已經(jīng)完成了對于SP請求用戶屬性進(jìn)行的 認(rèn)證,并且向SP返回了 SP所需屬性��。在實際運用時��,本實施例可能需要的是 除了屬性以外的其他資源��,例如用戶的業(yè)務(wù)制定狀況等����,所需資源發(fā)生變化 時��,其具體認(rèn)證過程和步驟608至612相同�,指示SP初始請求的資源和最后返 回資源發(fā)生了改變���。
對應(yīng)于上述網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,本實施例還^是供一種網(wǎng)絡(luò)服務(wù)中 的票據(jù)認(rèn)證系統(tǒng)�,該票據(jù)認(rèn)證系統(tǒng)基本框架由多個圖3中描述的票據(jù)認(rèn)證系統(tǒng) 共同組成。
本實施例中的票據(jù)i人證系統(tǒng)包括IdP�����、 SP��、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP,該系統(tǒng)的具體工作流程如圖6所示��。其中�����,該系統(tǒng)中的票據(jù)認(rèn)證實體由IdP實現(xiàn)�, IdP、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP據(jù)需要實現(xiàn)網(wǎng)絡(luò)服務(wù)提供者的功能�,而SP實現(xiàn)網(wǎng) 絡(luò)服務(wù)請求者的功能。
本實施例中���,由IdP和ID-WSF發(fā)現(xiàn)服務(wù)實現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者����,需要在所 述的票據(jù)認(rèn)證通過后生成資源參考,并將該資源參考發(fā)送給SP,例如IdP需 要生成ID-WSF發(fā)現(xiàn)服務(wù)的資源參考���,ID-WSF發(fā)現(xiàn)服務(wù)需要生成AP的資源參考����。 這樣SP才能請求所述資源參考對應(yīng)的服務(wù)實體提供相應(yīng)資源���,并將所述票據(jù)提 供給所述服務(wù)實體����。故而���,相對于圖4所描述的網(wǎng)絡(luò)服務(wù)提供者而言����,本實施 例中的網(wǎng)絡(luò)服務(wù)提供者還需要增加一個資源參考生成單元���,以便生成相應(yīng)的資 源參考�。
本實施例中,由AP實現(xiàn)的網(wǎng)絡(luò)服務(wù)提供者���,需要在所述的票據(jù)認(rèn)證通過后 生成資源�,并將該資源發(fā)送給網(wǎng)絡(luò)服務(wù)請求者��,本實施例中AP生成的資源就是 SP所需要的屬性���。相對于圖4所描述的網(wǎng)絡(luò)服務(wù)提供者而言,本實施例中的網(wǎng) 絡(luò)服務(wù)提供者還需要增加一個資源生成單元���,以便生成相應(yīng)的資源����。
實施例3:
本實施例也是以圖1中的獲取用戶身份屬性作為應(yīng)用場景�����,在該應(yīng)用場景 中����,同樣由SP作為網(wǎng)絡(luò)服務(wù)請求者,IdP、 ID-WSF發(fā)現(xiàn)服務(wù)和AP均作為網(wǎng)絡(luò)服 務(wù)提供者�����,IdP作為票據(jù)認(rèn)證實體�。如圖7所示,在該應(yīng)用場景中�����,網(wǎng)絡(luò)月良務(wù)中 的票據(jù)認(rèn)證方法如下
701����、 SP作為網(wǎng)絡(luò)服務(wù)請求者向IdP發(fā)起一個認(rèn)證請求,請求對用戶的SAML 斷言進(jìn)行認(rèn)證�����,這里的SAML斷言就相當(dāng)于用戶提供的票據(jù)�����。
702�����、 IdP對用戶的SAML斷言進(jìn)行認(rèn)證,并將認(rèn)證結(jié)果發(fā)送給SP���,如果認(rèn) 證結(jié)果為通過�,還需要向所述SP返回用戶的ID-WSF發(fā)現(xiàn)服務(wù)的資源參考��,以及IdP為SP分配的票據(jù)�。
上述步驟701和702已經(jīng)完成了 IdP對于用戶的認(rèn)證過程,但由于還需要 獲取用戶身份屬性�����,故而在步驟702中向SP返回了用戶的ID-WSF發(fā)現(xiàn)服務(wù)的 資源參考��,通過ID-WSF發(fā)現(xiàn)服務(wù)可以找到AP,以便從AP中獲取屬性�。
同時為了進(jìn)一步提高SP訪問ID-WSF發(fā)現(xiàn)服務(wù)以及其他網(wǎng)絡(luò)服務(wù)提供者時 的安全���,本實施例中還向SP返回了 SP的票據(jù)����,以Y更后續(xù)流程對其認(rèn)證��。
703�����、 SP根據(jù)IdP提供的資源參考請求對應(yīng)的ID-WSF發(fā)現(xiàn)服務(wù)提供AP的資 源參考,同時將用戶的票據(jù)和SP的票據(jù)提供給ID-WSF發(fā)現(xiàn)服務(wù)���。
704��、 ID-WSF發(fā)現(xiàn)服務(wù)將所述用戶的票據(jù)和SP的票據(jù)發(fā)送到IdP�����,請求IdP 對所述的票據(jù)進(jìn)行認(rèn)證��。
705���、 IdP對所述的票據(jù)進(jìn)行認(rèn)證,并向ID-WSF發(fā)現(xiàn)服務(wù)返回認(rèn)證結(jié)果����。
706、 ID-WSF發(fā)現(xiàn)服務(wù)生成一個響應(yīng)消息�,該響應(yīng)消息中包含所述票據(jù)的認(rèn) 證結(jié)果,并且在認(rèn)證結(jié)果為通過時�,該響應(yīng)消息還包含AP的資源參考。
707����、 ID-WSF發(fā)現(xiàn)服務(wù)把步驟706中的響應(yīng)消息發(fā)給SP����。 通過上述步驟703至步驟707, ID-WSF發(fā)現(xiàn)服務(wù)已經(jīng)完成了對于SP請求AP
的資源參考進(jìn)行的認(rèn)證��,同時向SP返回了 AP的資源參考����。
708、 SP向ID-WSF發(fā)現(xiàn)服務(wù)提供的資源參考對應(yīng)的AP請求所需的屬性信息�, 并向所述AP提供所述用戶的票據(jù)和SP的票據(jù)。
709���、 AP將所述用戶的票據(jù)和SP的票據(jù)發(fā)送到IdP���,請求IdP對所述的票 據(jù)進(jìn)行認(rèn)證。
710���、 IdP對所述的票據(jù)進(jìn)行認(rèn)證,并向AP返回認(rèn)證結(jié)果����。
711��、 AP生成一個響應(yīng)消息�����,該響應(yīng)消息中包含所述票據(jù)的認(rèn)證結(jié)果����,并且 在認(rèn)證結(jié)果為通過時����,該響應(yīng)消息還包含SP所需屬性。712����、 AP把步驟711中的響應(yīng)消息發(fā)給SP。
通過上述步驟708至步驟712, AP已經(jīng)完成了對于SP請求用戶屬性進(jìn)行的 認(rèn)證��,并且向SP返回了 SP所需屬性����。在實際運用時,本實施例可能需要的是 除了屬性以外的其他資源����,例如用戶的業(yè)務(wù)制定狀況等��,所需資源發(fā)生變化 時��,其具體認(rèn)證過程和步驟708至712相同�,指示SP初始請求的資源和最后返 回資源發(fā)生了改變���。
在上述步驟703至步驟712中��,增加了對SP的票據(jù)進(jìn)行認(rèn)證��,使得在訪問 ID-WSF發(fā)現(xiàn)服務(wù)和AP時�,能夠更好地保證本次信息交互的安全�����。
對應(yīng)于上述網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法���,本實施例還提供一種網(wǎng)絡(luò)服務(wù)中 的票據(jù)認(rèn)證系統(tǒng)�����,該票據(jù)認(rèn)證系統(tǒng)基本框架由多個圖3中描述的票據(jù)認(rèn)證系統(tǒng) 共同組成。
本實施例中的票據(jù)認(rèn)證系統(tǒng)包括IdP����、 SP����、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP,該 系統(tǒng)的具體工作流程如圖7所示�����。其中�����,該系統(tǒng)中的票據(jù)認(rèn)證實體由IdP實現(xiàn)��, IdP����、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP據(jù)需要實現(xiàn)網(wǎng)絡(luò)服務(wù)才是供者的功能,而SP實現(xiàn)網(wǎng) 絡(luò)服務(wù)請求者的功能�����。
本實施例中作為網(wǎng)絡(luò)服務(wù)提供者的IdP在所述票據(jù)認(rèn)證通過后��,生成SP的 票據(jù),并將該票據(jù)發(fā)送給SP����,以便在以后的認(rèn)證中同時對SP的票據(jù)進(jìn)行認(rèn)證。
在實施例2和實施例3中����,包括IdP、 ID-WSF發(fā)現(xiàn)服務(wù)和AP在內(nèi)�,均需要 通過IdP對票據(jù)進(jìn)行認(rèn)證,由于IdP在目前已經(jīng)設(shè)定了對票據(jù)進(jìn)行認(rèn)證的功能����, 這樣可以減少對于其他實體邏輯功能的修改,并且節(jié)約網(wǎng)絡(luò)改造成本��。
在實際運用時�,對票據(jù)進(jìn)行認(rèn)證還可以通過一個單獨的實體來完成,例如 通過一個單獨的公共認(rèn)證查詢數(shù)據(jù)庫���,這樣所有的網(wǎng)絡(luò)服務(wù)提供者都需要到該 公共認(rèn)證查詢數(shù)據(jù)庫對票據(jù)認(rèn)證�,這樣一來可以簡化IdP的邏輯功能�����,但相對于通過IdP進(jìn)行認(rèn)證的方式而言,這種認(rèn)證方式由于缺少IdP的管理�����,使得公 共認(rèn)證查詢數(shù)據(jù)庫處于公開狀態(tài)����,其安全性不如通過IdP進(jìn)行認(rèn)證�����。 實施例4:
本實施例為通過公共認(rèn)證查詢數(shù)據(jù)庫對票據(jù)認(rèn)證���,也是以圖1中的獲取用 戶身份屬性作為應(yīng)用場景�,在該應(yīng)用場景中��,由SP作為網(wǎng)絡(luò)服務(wù)請求者�����,IdP�����、 ID-WSF發(fā)現(xiàn)服務(wù)和AP均作為網(wǎng)絡(luò)服務(wù)提供者,由公共認(rèn)證查詢數(shù)據(jù)庫作為票據(jù) 認(rèn)證實體�����。如圖8所示���,在該應(yīng)用場景中�����,網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法如下
801���、 SP作為網(wǎng)絡(luò)服務(wù)請求者向IdP發(fā)起一個認(rèn)證請求,請求對用戶的SAML 斷言進(jìn)行認(rèn)證����,這里的SAML斷言就相當(dāng)于用戶的票據(jù)。
802��、 IdP將所述用戶的票據(jù)發(fā)送到公共認(rèn)證查詢數(shù)據(jù)庫�。
803、 公共認(rèn)證查詢數(shù)據(jù)庫對用戶的票據(jù)進(jìn)行認(rèn)證�����,并將認(rèn)證結(jié)果返給IdP。
804�、 IdP將認(rèn)證結(jié)果發(fā)送給SP,如果認(rèn)證結(jié)果為通過,還需要向所述SP 返回用戶的ID-WSF發(fā)現(xiàn)服務(wù)的資源參考��,以及IdP為SP分配的票據(jù)��。
805��、 將IdP為SP分配的票據(jù)發(fā)給7>共認(rèn)證查詢#:據(jù)庫����,由公共認(rèn)證查詢 數(shù)據(jù)庫保存所述SP的票據(jù)�。
上述步驟801和805已經(jīng)完成了 IdP對于用戶的認(rèn)證過程,但由于還需要 獲取用戶身份屬性�����,故而在步驟804中向SP返回了用戶的ID-WSF發(fā)現(xiàn)服務(wù)的 資源參考����,通過ID-WSF發(fā)現(xiàn)服務(wù)可以找到AP,以便從AP中獲取屬性����。
同時�,為了進(jìn)一步提高SP訪問ID-WSF發(fā)現(xiàn)服務(wù)以及其他網(wǎng)絡(luò)服務(wù)提供者 時的安全�����,本實施例中還向SP返回了 SP的票據(jù)�����,并將SP的票據(jù)發(fā)送給了公共 認(rèn)證查詢數(shù)據(jù)庫���,以便后續(xù)流程對其認(rèn)證�。
806���、 SP根據(jù)IdP提供的資源參考請求對應(yīng)的ID-WSF發(fā)現(xiàn)服務(wù)提供AP的資 源參考����,同時將用戶的票據(jù)和SP的票據(jù)提供給ID-WSF發(fā)現(xiàn)服務(wù)����。807、 ID-WSF發(fā)現(xiàn)服務(wù)將所述用戶的票據(jù)和SP的票據(jù)發(fā)送到公共認(rèn)證查詢 數(shù)據(jù)庫���,請求公共認(rèn)證查詢數(shù)據(jù)庫對所述的票據(jù)進(jìn)行認(rèn)證���。
808��、 公共認(rèn)證查詢數(shù)據(jù)庫對所述的票據(jù)進(jìn)行認(rèn)證����,并向ID-WSF發(fā)現(xiàn)服務(wù) 返回認(rèn)證結(jié)果�。
809、 ID-WSF發(fā)現(xiàn)服務(wù)生成一個響應(yīng)消息�����,該響應(yīng)消息中包含所述票據(jù)的認(rèn) 證結(jié)果��,并且在認(rèn)證結(jié)果為通過時����,該響應(yīng)消息還包含AP的資源參考����。
810、 ID-WSF發(fā)現(xiàn)服務(wù)把步驟809中的響應(yīng)消息發(fā)給SP��。 通過上述步驟806至步驟810����, ID-WSF發(fā)現(xiàn)服務(wù)已經(jīng)完成了對于SP請求AP
的資源參考進(jìn)行的認(rèn)證���,同時向SP返回了 AP的資源參考。
811 ��、 SP向ID-WSF發(fā)現(xiàn)服務(wù)提供的資源參考對應(yīng)的AP請求所需的屬性信息�����, 并向所述AP提供所述用戶的票據(jù)和SP的票據(jù)��。
812����、 AP將所述用戶的票據(jù)和SP的票據(jù)發(fā)送到公共認(rèn)證查詢數(shù)據(jù)庫,請求 公共認(rèn)證查詢數(shù)據(jù)庫對所述的票據(jù)進(jìn)行認(rèn)證�����。
813���、 公共認(rèn)證查詢數(shù)據(jù)庫對所述的票據(jù)進(jìn)行認(rèn)i正���,并向AP返回認(rèn)證結(jié)果���。
814、 AP生成一個響應(yīng)消息��,該響應(yīng)消息中包含所述票據(jù)的認(rèn)證結(jié)果��,并且 在認(rèn)-〖正結(jié)果為通過時���,該響應(yīng)消息還包含SP所需屬性����。
815�、 AP把步驟814中的響應(yīng)消息發(fā)給SP。
通過上述步驟811至步驟815, AP已經(jīng)完成了對于SP請求用戶屬性進(jìn)行的 認(rèn)證�����,并且向SP返回了 SP所需屬性���。在實際運用時,本實施例可能需要的是 除了屬性以外的其他資源����,例如用戶的業(yè)務(wù)制定狀況等���,所需資源發(fā)生變化 時,其具體認(rèn)證過程和步驟811至815相同��,指示SP初始請求的資源和最后返
回資源發(fā)生了改變����。
在上述步驟806至步驟815中,需要同時對用戶的票據(jù)和SP的票據(jù)進(jìn)行認(rèn)證��,使得在訪問ID-WSF發(fā)現(xiàn)服務(wù)和AP時����,能夠更好地保證本次信息交互的安全。
本實施例采用公共認(rèn)證查詢數(shù)據(jù)庫進(jìn)行認(rèn)證的方式�����,也適用于不需要對SP 的票據(jù)進(jìn)行認(rèn)證的情況���,這樣在具體實現(xiàn)時����,就不需要生成SP的票據(jù),也不需 要傳送SP的票據(jù)���,同時公共認(rèn)證查詢數(shù)據(jù)庫也不需要保存SP的票據(jù)�����。
對應(yīng)于上述網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法���,本實施例還提供一種網(wǎng)絡(luò)服務(wù)中 的票據(jù)認(rèn)證系統(tǒng),該票據(jù)認(rèn)證系統(tǒng)基本框架由多個圖3中描述的票據(jù)認(rèn)證系統(tǒng) 共同組成�����。
本實施例中的票據(jù)認(rèn)證系統(tǒng)包括IdP�����、 SP�����、 ID-WSF發(fā)現(xiàn)服務(wù)��、AP以及公 共認(rèn)證查詢數(shù)據(jù)庫��,該系統(tǒng)的具體工作流程如圖8所示����。其中,該系統(tǒng)中的票 據(jù)認(rèn)證實體由公共認(rèn)證查詢數(shù)據(jù)庫實現(xiàn)�����,IdP���、 ID-WSF發(fā)現(xiàn)服務(wù)以及AP據(jù)需要 實現(xiàn)網(wǎng)絡(luò)服務(wù)提供者的功能�����,而SP實現(xiàn)網(wǎng)絡(luò)服務(wù)請求者的功能����。
本實施例中作為網(wǎng)絡(luò)服務(wù)提供者的IdP在所述票據(jù)i人證通過后���,生成SP的 票據(jù)�,并將該票據(jù)發(fā)送給SP,以便在以后的認(rèn)證中同時對SP的票據(jù)進(jìn)行認(rèn)證�����。
上述所有實施例中還可以將S雄L artifact (輔件)作為用戶的票據(jù)或者 SP的票據(jù)。
上述實施例2��、實施例3和實施例4中�����,SP都不需要將票據(jù)和對應(yīng)的資源 參考進(jìn)行綁定�����,這樣可以減輕SP的數(shù)據(jù)處理負(fù)荷��。
本發(fā)明實施例主要用在網(wǎng)絡(luò)服務(wù)提供者中�����,例如IdP����、 ID-WSF發(fā)現(xiàn)服務(wù)和 AP等。
通過以上的實施方式的描述�,所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā) 明可借助軟件加必需的通用硬件平臺的方式來實現(xiàn),當(dāng)然也可以通過硬件��,但 很多情況下前者是更佳的實施方式����。基于這樣的理解���,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來��,該計算 機軟件產(chǎn)品存儲在可讀取的存儲介質(zhì)中���,如計算機的軟盤,硬盤或光盤等�,包 括若干指令用以使得一臺設(shè)備(可以是服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明 各個實施例所述的方法�。
以上所述,僅為本發(fā)明的具體實施方式
����,但本發(fā)明的保護(hù)范圍并不局限于 此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到 的變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此�,本發(fā)明的保護(hù)范圍 應(yīng)所述以權(quán)利要求的保護(hù)范圍為準(zhǔn)�����。
權(quán)利要求
1�����、一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法�����,其特征在于包括接收到網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)�;將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體進(jìn)行認(rèn)證�;接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果;將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者��。
2����、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于�,該方 法還包括在票據(jù)認(rèn)證實體對所述的票據(jù)認(rèn)證通過后生成資源; 將該資源發(fā)送給網(wǎng)絡(luò)服務(wù)請求者���。
3��、 根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法���,其特征在于,所述 生成的資源包括請求訪問網(wǎng)絡(luò)服務(wù)請求者的用戶的屬性��。
4��、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法����,其特征在于,該方 法還包括在票據(jù)認(rèn)證實體對所述的票據(jù)認(rèn)證通過后生成資源參考����; 將該資源參考發(fā)送給網(wǎng)絡(luò)服務(wù)請求者;所述網(wǎng)絡(luò)服務(wù)請求者請求所述資源參考對應(yīng)的服務(wù)實體提供相應(yīng)資源����,并 將所述票據(jù)提供給所述服務(wù)實體。
5�、 根據(jù)權(quán)利要求l所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于�,所述 票據(jù)包括請求訪問網(wǎng)絡(luò)服務(wù)請求者的用戶向網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù),或者所述票據(jù)包括請求訪問網(wǎng)絡(luò)服務(wù)請求者的用戶向網(wǎng)絡(luò)服務(wù)請求者提供的票 據(jù)�����,以及網(wǎng)絡(luò)服務(wù)請求者自身的票據(jù)。
6�、 根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其特征在于���,所述 網(wǎng)絡(luò)服務(wù)請求者自身的票據(jù)由身份提供者向生成��。
7����、 根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法���,其特征在于�,所述 票據(jù)認(rèn)證實體為身份提供者或者公共認(rèn)證查詢數(shù)據(jù)庫��。
8�、 根據(jù)權(quán)利要求1至7中任意一項所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法,其 特征在于��,所述票據(jù)為安全性斷言標(biāo)記語言輔件���,或者為安全性斷言標(biāo)記語言斷言�。
9、 一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng)���,其特征在于包括 網(wǎng)絡(luò)服務(wù)請求者�,用于向網(wǎng)絡(luò)服務(wù)提供者提供票據(jù)���;網(wǎng)絡(luò)服務(wù)提供者,用于接收網(wǎng)絡(luò)服務(wù)請求者的票據(jù)���,并將所述票據(jù)發(fā)送到 票據(jù)認(rèn)證實體��,并將認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者����;票據(jù)認(rèn)證實體�,用于對發(fā)送到該票據(jù)認(rèn)證實體票據(jù)進(jìn)行認(rèn)證,并將認(rèn)證結(jié) 果返回給網(wǎng)絡(luò)服務(wù)提供者��。
10�����、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng)��,其特征在于 所述網(wǎng)絡(luò)服務(wù)提供者還用于在票據(jù)認(rèn)資源,并將該資源發(fā)送給網(wǎng)絡(luò)服務(wù)請求者����。
11、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng)�����,其特征在于 所述網(wǎng)絡(luò)服務(wù)提供者還用于在票據(jù)認(rèn)證實體對所述的票據(jù)認(rèn)證通過后生成資源參考��,并將該資源參考發(fā)送給網(wǎng)絡(luò)服務(wù)請求者���;所述網(wǎng)絡(luò)服務(wù)請求者請求所述資源參考對應(yīng)的服務(wù)實體提供相應(yīng)資源���,并 將所述票據(jù)提供給所述服務(wù)實體。
12��、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng)����,其特征在于,所 述網(wǎng)絡(luò)服務(wù)提供者為身份提供者�����,所述身份提供者還用于在票據(jù)認(rèn)證實體對所 述的票據(jù)認(rèn)證通過后,生成網(wǎng)絡(luò)服務(wù)請求者的票據(jù)��,并將該票據(jù)發(fā)送給網(wǎng)絡(luò)服 務(wù)請求者����。
13、 根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證系統(tǒng)�����,其特征在于�����,所 述票據(jù)認(rèn)證實體由身份驗證提供者實現(xiàn)�,或者由公共認(rèn)證查詢數(shù)據(jù)庫實現(xiàn)���。
14����、 一種網(wǎng)絡(luò)服務(wù)提供者�����,其特征在于包括 接收單元,用于接收網(wǎng)絡(luò)服務(wù)請求者提供的票據(jù)�����; 發(fā)送單元��,用于將所述票據(jù)發(fā)送到票據(jù)認(rèn)證實體進(jìn)行認(rèn)證�; 所述接收單元還用于接收到票據(jù)認(rèn)證實體返回的認(rèn)證結(jié)果; 所述發(fā)送單元還用于將所述認(rèn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)請求者����。
15、 根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)服務(wù)提供者����,其特征在于還包括所述發(fā)送單元還用于將所述資源發(fā)送給網(wǎng)絡(luò)服務(wù)請求者。
16��、 根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)服務(wù)提供者��,其特征在于還包括源參考�;所述發(fā)送單元還用于將所述資源參考發(fā)送給網(wǎng)絡(luò)服務(wù)請求者。
17��、 根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)服務(wù)提供者,其特征在于���,所述網(wǎng)絡(luò)服務(wù)提供者為屬性提供者��,或者統(tǒng)一 網(wǎng)絡(luò)服務(wù)框架發(fā)現(xiàn)服務(wù)����。
18���、 一種票據(jù)認(rèn)^t實體�����,其特征在于包括 接收單元�,用于接收網(wǎng)絡(luò)服務(wù)提供者發(fā)送來的票據(jù)�; 認(rèn)證單元�,用于對所述票據(jù)進(jìn)行認(rèn)證;發(fā)送單元���,用于將認(rèn)證結(jié)果發(fā)送到網(wǎng)絡(luò)服務(wù)提供者�����。
19���、 根據(jù)權(quán)利要求18所述的票據(jù)認(rèn)證實體���,其特征在于,該票據(jù)認(rèn)證實體 為身份提供者或者7>共認(rèn)證查詢數(shù)據(jù)庫�����。
全文摘要
本發(fā)明實施例公開了一種網(wǎng)絡(luò)服務(wù)中的票據(jù)認(rèn)證方法�、系統(tǒng)及實體,涉及對網(wǎng)絡(luò)服務(wù)的用戶登錄票據(jù)進(jìn)行認(rèn)證的技術(shù)�,解決現(xiàn)有技術(shù)中不能對票據(jù)進(jìn)行統(tǒng)一管理的問題。本發(fā)明實施例通過票據(jù)認(rèn)證實體來維護(hù)票據(jù)��,所有的網(wǎng)絡(luò)服務(wù)提供者都需要通過票據(jù)認(rèn)證實體對票據(jù)進(jìn)行認(rèn)證���,并由網(wǎng)絡(luò)服務(wù)提供者將認(rèn)證結(jié)果返回給網(wǎng)絡(luò)服務(wù)請求者���。本發(fā)明實施例主要用在網(wǎng)絡(luò)服務(wù)提供者中,例如IdP����、ID-WSF發(fā)現(xiàn)服務(wù)和AP等�����。
文檔編號H04L9/32GK101567785SQ20081009400
公開日2009年10月28日 申請日期2008年4月25日 優(yōu)先權(quán)日2008年4月25日
發(fā)明者張惠萍, 健 楊, 雷 王, 范姝男, 挺 董, 陳國喬 申請人:華為技術(shù)有限公司