[发明专利]用于基于策略的自动同意的方法和装置

说明书

技术领域

本公开一般地涉及联网环境中的身份管理。

背景技术

以用户为中心的身份协议(例如OpenID)和委托授权协议(例如OAuth2.0)需要用户针对希望访问用户简档信息的客户机(例如，网站)授权同意。通常经由在身份提供方或其它授权服务器处向用户提示的网络表单获得这种授权。表单包含标识客户机、数据类型、一个或多个操作或者其它上下文信息的信息，最终用户可以使用该信息做出同意决策。通过填写表单或者以其它方式提供同意，用户然后可以允许客户机对用户简档信息进行后续(和自动)访问。但是，在当前实施方式中，用户必须授权每个客户机，因为没有已知技术用于针对例如与其它客户机具有某种共性的特定客户机提供自动同意。因此，当访问具有类似性质的站点时，尤其是在同意决策未持续长期存储的情况下，授权要求给用户带来很多麻烦。

用户管理的访问(UMA)是一种草案协议，其定义资源所有者可如何控制由任意请求方操作的客户机对受保护资源的访问，其中资源位于任意数量的资源服务器上，并且其中集中授权服务器基于资源所有者策略来管理访问。该解决方案将授权决策委托给另一个系统，该另一个系统又必须验证每个客户机请求。但是，UMA协议并未定义任何机制以供资源所有者创建策略决策或者由访问管理者进行策略决策。

发明内容

根据本公开，描述一种用于智能自动同意的技术，可以使用所述技术，基于资源所有者的先前授权决策和/或其它客户机分类，自动授权客户机访问所述所有者的受保护信息(例如，简档)。使用这种方法授予同意，在请求访问的每个客户机的授权步骤期间，不再需要所述资源所有者干预。可以对客户机进行分类，并且基于个体客户机所属的类别和/或访问请求的范围，为个体客户机提供授权。可以使用以用户为中心的身份协议以及委托授权协议实现所述技术。所述技术提供基于策略的同意授予。

根据一个实施例，描述一种管理对访问受保护资源授予同意的方法。所述受保护资源与资源所有者关联。所述方法首先接收访问受保护资源的请求，所述请求具有范围并与客户机关联。在接收时，执行分析(通常分析请求URI)以便标识所述客户机的特征。基于所述客户机的所述特征和所述请求的所述范围，应用策略以便判定所述客户机是否应接收访问所述受保护资源的自动同意。如果基于所述策略，所述客户机应接收自动同意，则向所述客户机返回给定信息。在一个实施例中，所述给定信息是OAuth令牌，所述客户机然后可以使用所述OAuth令牌获得对所述受保护资源的访问而无需来自所述资源所有者的显式同意。

可以具有多种方法确定所述客户机特征。优选地，可以参考一个或多个信息服务。所述信息服务例如包括URL分类器、域标签服务、URL信誉引擎、隐私策略服务等。如果不能满足所述策略，则向所述资源所有者发出提示以便获得对访问的显式同意。在接收到所述同意时，可以更新所述策略并针对未来请求应用所述策略。

上面概述了本发明的某些更相关特性。这些特性应被解释为仅是示例性的。可以通过以不同方式应用公开的发明或者通过修改将要描述的本发明，获得许多其它有利的结果。

附图说明

为了更全面地理解本发明及其优点，现在参考以下结合附图的描述，这些附图是：

图1示出其中可以实现示例性实施例的示例性方面的分布式数据处理环境的示例性框图；

图2是其中可以实现示例性实施例的示例性方面的数据处理系统的示例性框图；

图3示出根据本公开的用于基于策略的自动同意决策的代表性系统；

图4示出涉及第一客户机网站的代表性第一用例；

图5示出涉及第二客户机网站的代表性第二用例；

图6示出一个代表性实施例的过程流；以及

图7示出其中可以实现本公开的策略引擎的策略管理系统。

具体实施方式

现在参考附图，具体地说参考图1-2，提供其中可以实现本公开的示例性实施例的数据处理环境的示例性图。应理解，图1-2仅是示例性的，并且并非旨在断言或暗示有关其中可以实现公开的主题的各个方面或实施例的环境的任何限制。在不偏离本发明的精神和范围的情况下可以对所示环境做出许多修改。