[发明专利]策略管理系统、ID提供者系统以及策略评价装置

摘要

本发明涉及策略管理系统、ID提供者系统以及策略评价装置，实施方式的策略管理系统包括用户终端、对操作所述用户终端的用户的身份进行管理的ID提供者系统、和向所述用户终端提供服务数据的服务提供者系统。所述ID提供者系统按每个所述服务提供者ID，保存一对旧策略以及新策略。另外，所述ID提供者系统按每个所述服务提供者ID，保存至少定义第一差分判定条件和第二差分判定条件的差分对应定义信息，所述第一差分判定条件在访问请求消息的发送日期为从旧策略向新策略的过渡期间内时被参照，所述第二差分判定条件在访问请求消息的发送日期为过渡期间外时被参照。

主权项

一种策略管理系统，包括：用户终端、对操作所述用户终端的用户的身份进行管理的ID提供者系统和向所述用户终端提供服务数据的服务提供者系统，该策略管理系统的特征在于，所述用户终端具备：登录执行单元，根据用户的操作，与所述ID提供者系统之间执行登录处理；第一发送单元，将包括ID提供者认证令牌和识别所述服务提供者系统的服务提供者ID的访问请求消息发送给所述ID提供者系统，所述ID提供者认证令牌在所述登录处理时被发行且包括识别该用户的用户ID；以及再生单元，接收从所述服务提供者系统发送的服务数据，对该接收到的服务数据进行再生，所述ID提供者系统具备：第一保存单元，保存将用于确定所述用户的用户属性的项目名和项目值建立关联而成的、且至少包含用户ID的用户属性信息；第二保存单元，按每个所述服务提供者ID保存至少定义判定条件和过渡期间的一对旧策略及新策略，所述判定条件是用于允许由该服务提供者ID识别的服务提供者系统进行服务数据的发送的判定条件，包括由判定ID识别的多个条件且这些条件还包括多个详细条件以及职责，所述过渡期间表示当从旧策略过渡至新策略时，除了新策略之外还参照基于旧策略的判定条件的判定结果的期间；第三保存单元，按每个所述服务提供者ID保存至少定义第一差分判定条件和第二差分判定条件的差分对应定义信息，所述第一差分判定条件在发送来的所述访问请求消息的发送日期为所述过渡期间内时被参照，所述第二差分判定条件在发送来的所述访问请求消息的发送日期为所述过渡期间外时被参照，并且包括由差分对应ID识别的条件以及职责；第一取得单元，在接收到发送来的所述访问请求消息时，取得与该访问请求消息内的服务提供者ID对应的新策略；第一判定单元，判定该访问请求消息的发送日期是否包含在取得的所述新策略中定义的过渡期间内；第二取得单元，在所述第一判定单元的判定结果表示包含在所述过渡期间内时，取得与取得的所述新策略对应的旧策略；确认单元，基于该访问请求消息内的ID提供者认证令牌所含的用户ID，取得所述第一保存单元中保存的用户属性信息，并且确认由该访问请求消息内的服务提供者ID识别的服务提供者系统中是否保存有该用户ID；通知接受单元，接受从所述服务提供者系统发送的针对所述确认单元的通知，并且该通知表示保存有所述用户ID或者没有保存所述用户ID；策略评价单元，基于取得的所述用户属性信息，评价取得的所述新策略、或者取得的所述新策略以及旧策略；第二判定单元，基于所述策略评价单元的评价结果和由所述通知接受单元接受的通知，判定是否需要取得所述差分对应定义信息；第三取得单元，在所述第二判定单元的判定结果表示需要时，取得所述差分对应定义信息；决定单元，至少基于所述评价结果来决定适应的判定ID，但是在由所述第三取得单元取得了差分对应定义信息的情况下，还参照该差分对应定义信息来决定适应的判定ID；执行请求单元，请求执行由所述决定的判定ID识别的条件内的职责，但是在由所述决定单元参照了所述差分对应定义信息中定义的第二差分判定条件的情况下，请求还执行该第二差分判定条件内的职责；第二发送单元，根据来自所述执行请求单元的请求，将至少包括该访问请求消息内的所述ID提供者认证令牌中包含的用户ID在内的认证协作消息发送给由该访问请求消息内的服务提供者ID识别的服务提供者系统；以及第三发送单元，根据来自所述执行请求单元的请求，将拒绝画面信息发送给所述用户终端，该拒绝画面信息显示由该访问请求消息内的服务提供者ID识别的服务提供者所进行的服务数据的发送被拒绝，所述服务提供者系统具备：第四保存单元，保存用户属性信息，该用户属性信息将用于确定利用服务数据的用户的用户属性的项目名和项目值建立关联而成；发行单元，在接收到所述发送来的认证协作请求消息时，基于该认证协作请求消息内的用户ID来验证该认证协作请求消息的合法性，在该验证的结果是合法的情况下，发行包括该验证所使用的用户ID的服务提供者认证令牌；以及第四发送单元，对由所述发行的服务提供者认证令牌内的用户ID识别的用户终端发送服务数据。