[发明专利]安全身份管理

说明书

技术领域

本发明涉及一种用于通过身份提供者为请求实体提供关于用户的身份相关的信息的方法和系统。

背景技术

在广义上，身份管理意味着管理有关某个人的所有个人信息，至少包括此人的所有数字关系。在未来十年内，身份管理系统在此广义上将很可能得到发展。短期内，身份管理通常用于通过传输有关某个人的少量数据而进行网络单点登录。

主要的商业案例是电子商务的全面推进：身份管理是基础设施问题，其中几乎所有各方都可以受益于如互联网和网络标准之类的标准。

单点登录使得个人或用户能够在仅记住一个密码的情况下登录到不同的组织或服务。此外，单点登录协议允许客户端应用向它们未与之事先交换任何常用数据(如密钥)的其他应用标识自身。通常，对于所有组织或服务，许多用户都选择相同的用户名和密码。这存在两个问题：每个服务可以模仿用户使用其他服务。这对于一个企业的各个服务是可以接受的，但即使如此，人们还是更倾向于较好的模块化。而且显然这对于用户的全面网络体验而言是不可接受的。

单点登录被普遍视为一种必要的基础设施，可使互联网上的电子商务更容易进行，并允许广泛使用新兴的网络服务。它还可以演变为更普遍的身份管理，例如用于在建立身份之后交换有关某个人的其他信息。

近来，单点登录解决方案例如被微软公司的Passport系统(URL：http://www.passport.com)、安全断言标记语言(SAML)的OASIS(结构化信息标准促进组织)标准化(URL： http://www.oasis-open.org/committees/security/docs)，以及自由联盟计划的最新规范(URL:http://www.projectliberty.org)所熟知。联盟规范中的一个方面是不仅为作为客户端应用的浏览器提供详细的协议，而且还为其他功能更强大的客户端应用提供更高效的协议。此设置中的较早相关方案是传统的三方验证协议。

传统的三方客户端验证协议(如Kerberos、Needham-Schroeder)全部始于密钥交换或密钥建立协议，然后需要客户端应用使用此密钥进行加密和验证。换言之，可以通过某些事先交换的信息(例如密码、密钥或已确认的公钥)标识客户端应用的第三方通常生成用于在客户端应用及其合作实体(在此称为“请求实体”)之间通信的新密钥，并且针对这两个实体安全地建立此密钥。存在各种协议以执行此密钥的安全传输。

诸如安全断言标记语言(SAML)之类的联合身份管理建议能够通过密码帮助台、用户管理和用户删除方面的节省而降低用户管理成本。SAML具有仅依赖于标准Web浏览器的基于浏览器的简档，以便例如通过单点登录实现身份联合。这些协议为联合身份管理解决方案的一般优点补充了零足迹的特性，即不需要安装额外的客户端软件。因此，基于浏览器的简档可进行低成本高效率的部署。但是，将标准Web浏览器作为客户端时设计安全协议并不简单。浏览器(并不知道其所参与的协议)具有预定义的行为、对预定义的消息做出反应并生成流向底层操作系统和通信伙伴的信息。尤其是，通过浏览器的统一资源定位(URL)传输机密信息的协议的安全性由于标准Web浏览器的这种不了解协议的行为而处于险境。SAML的浏览器/助诊文件(artifact)简档属于此类协议，因为它们发出随机助诊文件作为对安全令牌的参考并通过浏览器重定向URL传输此令牌。

同时，SAML已发展到版本2.0。标准中的结构和命名也略有变化，因此对应的协议(在安全协议研究的术语方面)现在为SAML V2.0WebBrowser SSO/Response/Artifact Feature。

本发明的一个目标是提供用于身份管理的改进解决方案。

发明内容

根据本发明的一个方面，提供了一种用于通过身份提供者为请求实体提供身份相关的信息的方法，其中提供了客户端应用以便用户与所述请求实体和所述身份提供者通信，其中所述客户端应用使用第一通信协议，其中所述第一通信协议包括引用者(referrer)函数，根据该函数，通信消息可以包括具有与至少一个先前通信步骤有关的信息的引用者元素，所述方法包括：

向所述身份提供者验证所述用户，

第一真实性参考部分生成步骤，包括由所述身份提供者生成第一真实性参考部分，

在所述客户端应用与所述身份提供者之间的第一真实性参考通信步骤，包括传送所述第一真实性参考部分，

第二真实性参考部分生成步骤，包括由所述身份提供者生成第二真实性参考部分，