[发明专利]一种实现身份管理互操作的方法及系统

说明书

技术领域

本发明涉及网络安全和通信领域，更具体地是涉及一种实现身份管理互操作的方法及系统。

背景技术

服务提供者(Service Provider，简称SP)对有限身份提供者(IdentityProvider，简称IDP)的提供支持，如果用户所使用的IDP(例如IDP A)不在当前SP(例如SP1)支持的范围内，则用户认证是无法完成的，用户必须使用该SP支持的IDP(例如IDP B、C、D)注册之后，才能够完成SP的认证，或者用户还可以访问支持此用户使用的属于可提供类似服务的其它SP(例如SP2)的IDP，得到类似服务。这与身份管理(Identity Management，简称IDM)的目标不符。但目前已经投入使用的IDP之间因为各自利益的关系，不能实现不同IDP的统一。

身份管理是指以网络和相关支持技术为基础，对用户身份的生命周期(使用过程)，以及用户身份与网络应用服务之间的关系进行管理。例如，对访问应用和资源的用户进行认证或授权等。目前，IDM系统之间还处于一种相互独立的垂直结构，且这些IDM系统大多是针对特定的应用服务建立起来的，各个IDM系统之间无法实现互联互通，无法实现用户信息(如用户的信任信息、认证信任)的共享。

互操作性(Interoperation)是指各个独立的IDM系统之间互相协作，进行有效信息(如用户的信任信息)的交换和通信等操作的能力。互操作的前提一般需要建立在IDM系统相互信任的基础上，当前IDM系统的信任关系建立一般是一对一信任建立，信任关系一般是静态的，而且存在信任关系的IDM系统一般仅限于同一个信任域内(或联盟内)。

目前，主要研究的SP认证模式，都是基于固定IDP的模式，对于用户使用IDP不在SP信任范围内的，则无法通行，例如用户向SP请求服务，用户未在此SP所属的IDP上进行身份注册的情况下，此SP将不能向此用户提供服务，这使得用户在某些时候需要多次登录不同IDP才能获得此SP的服务，给实际应用带来不便。

发明内容

本发明要解决的技术问题是提供一种实现身份管理互操作的方法及系统，在不改变现有身份管理系统内部认证方法的情况下，实现不同信任域之间的信任关系互操作，方便用户使用。

为了解决上述问题，本发明提供了一种实现身份管理互操作的方法，包括：用户向服务提供者请求服务，所述用户未在所述服务提供者所属身份提供者上进行身份注册的情况下，身份管理中心选择一个与所述服务提供者所属身份提供者具有信任关系的并且所述用户已经进行身份注册的身份提供者作为备用认证点，所述备用认证点对所述用户进行成功认证后由所述服务提供者为所述用户提供服务。

进一步地，上述方法还可以具有以下特点：

所述身份管理中心所维护的身份提供者根据需要与其它身份提供者建立直连信任路径；所述身份管理中心选择备份认证点时，根据各身份提供者之间的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述服务提供者所属身份提供者具有直接信任关系或者间接信任关系的身份提供者作为备用认证点。

进一步地，上述方法还可以具有以下特点：

两个身份提供者具有直接信任关系是指两者属于同一信任域，或者两者不属于同一信任域但两者具有直连信任路径；两个身份提供者具有间接信任关系是指属于不同的信任域的两者通过信任域间的交集身份提供者和/或与其它身份提供者间的直连信任路径能够建立起间接信任路径。

进一步地，上述方法还可以具有以下特点：

所述身份管理中心所维护的身份提供者根据需要与所述身份管理中心建立直连信任路径，并且所述服务提供者所属身份提供者与所述身份管理中心具有直连信任路径；所述身份管理中心选择备份认证点时，根据各身份提供者与所述身份管理中心的直连信任路径在所述用户已经进行身份注册的身份提供者中选择一个与所述身份管理中心具有直接或者间接信任关系的身份提供者作为备用认证点。

进一步地，上述方法还可以具有以下特点：

身份提供者与身份管理中心具有直接信任关系是指两者具有直连信任路径；位于同一信任域内的任两个身份提供者之间具有直连信任路径，身份提供者与身份管理中心具有间接信任关系是指此身份提供者通过与其它身份提供者间的直连信任路径与身份管理中心能够建立起间接信任路径。

进一步地，上述方法还可以具有以下特点：