[其他]用于对服务供应商的服务验证用户的方法

说明书

公开了用于对服务供应商(SP)的服务验证用户的方法、设备和计算机程序。请求用户到服务供应商(SP)的服务上的访问。由服务供应商(SP)选择一个或多个验证安全简档，用于规定用于对服务验证用户的服务供应商(SP)的验证安全要求。从服务供应商(SP)向身份供应商(IdP1)发送一个或多个选取的验证安全简档的指示和对于身份供应商(IdP1)识别用户的用户身份，以请求身份供应商(IdP1)验证用户。基于用户身份和一个或多个选取的验证安全简档之一来验证用户。把指示对于服务供应商(SP)验证用户的断言发送给服务供应商(SP)。

技术领域

本发明涉及验证领域，并且特别涉及用于对服务供应商的服务验证用户的方法。

背景技术

类似于互联网上的网站或电子商务的许多电子可获得的服务为了若干目的而需要用户识别和验证，像提供对机密信息或服务或资源的访问，例如基于web的电子邮件访问或者在线银行业务，像提供适应于用户简档的个人化服务，像数据挖掘，即从大量用户与服务之间的交互得出结论，例如为了创建作为消费者的用户行为的简档，或者像在电子商务应用中检验用户信誉这样的目的，例如通过确信用户总是支付其帐单来检验。为了准许对其他形式的服务进行访问可能也需要用户识别和验证，像访问类似于汽车门或公司建筑物或方向盘的物理单元。

识别意味着对身份进行规定，身份毫不含糊地定义了某个用户或某组用户。被规定的身份对于特定的一个人或一组人可以是或也可以不是可追踪的，即身份可能是明文形式的用户的名字，但也可能是随机选择的登录名。唯一的要求是在组人登录的情况下特定的一组人中只有单个人或某个人在特定用户身份下注册了，基于此特定用户身份有可能识别注册的用户。举个例子，例如可以是用来访问服务供应商的服务的用户的登录名。验证被定义为对身份进行检验，例如检验呈递某个身份的用户是否实际上就是在该相同身份下初始注册过了的同一个用户。

验证是通过检验用户凭证(credential)来完成的。基本上有三种类型的用户凭证。首先，用户拥有的东西，例如钥匙、智能卡、护照、公司身份卡等等，其次，用户知道的东西，例如口令、个人识别号码(PIN)、他妈妈的娘家姓等等，再次，用户的身体特征，例如虹膜图型、语音、指纹、面部特征、笔迹等等。

用户验证可以包括对一种或多种类型凭证的检验，例如口令只是与PIN代码知识组合拥有公司ID。例如用户的名字这样的用户身份被用在识别步骤里，以便把进行验证时从用户那收集的用户凭证和与注册的用户身份相关的用户凭证联系起来。通过检验收集的用户凭证与注册的用户凭证是否匹配来检验用户身份，并从而完成验证。因而验证一般包括要求验证作为先决条件的实体的识别，并且用户的注册对验证来说是必需的。

过去，每个服务供应商一般执行自己用户的识别和验证，例如最常见的是经由用户名和口令，有可能使用安全传输协议，并留意自己用户简档数据库。对于用户来说缺陷在于他一般得记住对于不同的服务供应商的用户身份和口令的不同组合，或者更普遍的是用户身份和凭证的不同组合，这是不方便的，而且在大多数情况中当用户把他的不同的用户身份和与之对应的各个口令(凭证)写下来时不是非常安全。如果用户对于不用的服务供应商使用相同或相似的组合，安全性就进一步受到威胁。对于服务供应商来说缺陷在于它得保留自己的数据库，并且还得自己执行所有的验证步骤。此外，由于技术和经济原因服务供应商自行验证一般基于单个或很有限数量的用户凭证类型，因为建立适当的基础设施来收集并处理不同类型的用户凭证耗费很大，这对于现代验证方法的引进是严重的障碍，像基于生物统计学或基于智能卡的方法，智能卡像移动电话里的用户身份模块(SIM)卡。