技術領域

本發明涉及網絡通信系統中的安全通信技術，尤其涉及一種訪問拜訪地服務提供商的系統及方法。

背景技術

身份管理(IdM，Identity?Management)是指以網絡和相關支持技術為基礎，對用戶身份的生命周期(使用過程)，以及用戶身份與網絡應用服務之間的關系進行管理。例如，對訪問應用和資源的用戶進行認證或授權等。目前，IdM系統之間還處于一種相互獨立的垂直結構，且這些IdM系統大多是針對特定的應用服務建立起來的，各個IdM系統之間無法實現互聯互通，無法實現用戶信息(如用戶的信任信息、認證信任)的共享。

IdM系統包括用戶、IdP(身份提供商)、SP(Service?provide，服務提供商)。在認證過程中，只有SP和IdP之間存在信任關系，SP才能確認IdP對用戶身份的認證信息是真實可靠的，才能進一步為用戶提供服務。在IdM系統中，IdP作為獨立運營商，實現了身份服務與應用服務的分離。通過一系列的查詢/應答消息，IdP為用戶提供身份注冊、身份管理和身份認證等一系列服務，從而在SP和用戶之間建立服務所期望的信任等級，實現用戶對服務的訪問。

如圖1所示是現有技術IdM系統對用戶進行認證的通用流程：

步驟101，用戶向服務提供商SP請求提供服務；

步驟102，服務提供商SP要求用戶進行身份認證；

步驟103，用戶向SP發送用戶ID以及所在地的IdP地址；

步驟104，SP將接收的用戶ID以及所在地的IdP地址轉發至IdP；

步驟105，IdP向用戶發送消息，請求用戶輸入憑證信息；

步驟106，用戶向IdP發送其憑證信息；

步驟107，IdP對用戶提供的身份信息進行認證。

步驟108，IdP向SP返回認證結果。

步驟109，SP根據得到的認證結果為用戶提供相應的服務。

在通用的IdM系統中，拜訪地的SP通過拜訪地的IdP的認證來控制用戶對其資源的訪問，而拜訪地的IdP只能對其自身的用戶進行認證，而當其它IdP的用戶訪問時，則被認為是非法用戶，用戶必須重新進行注冊，這樣既不方便用戶也限制了SP的發展。

發明內容

本發明要解決的技術問題是提供一種訪問拜訪地服務提供商的系統及方法，解決了現有身份管理系統中用戶跨越不同IdM系統訪問SP的問題。

為了解決上述問題，本發明提供了一種訪問拜訪地服務提供商的方法，用戶訪問拜訪地的服務提供商時，所述拜訪地的身份提供商IdP獲取用戶的信息后，通過拜訪地的身份提供商IdP與歸屬地的IdP之間的接口，請求所述用戶歸屬地IdP對所述用戶進行認證，所述歸屬地IdP完成認證后向所述拜訪地IdP返回認證結果，所述拜訪地IdP將認證結果發送至所述拜訪地的服務提供商，所述拜訪地的服務提供商根據認證結果向所述用戶提供服務；

所述拜訪地的IdP與歸屬地的IdP之間的接口是和歸屬地服務提供商與歸屬地IdP之間的接口相同。

進一步地，所述拜訪地IdP請求所述歸屬地IdP進行認證是指，拜訪地IdP向歸屬地IdP發送認證請求，攜帶所述用戶的用戶標識；

所述歸屬地IdP收到所述認證請求后，向所述用戶獲取該用戶的憑證信息，然后對所述用戶進行認證，并將認證結果返回至拜訪地IdP。

進一步地，所述拜訪地IdP收到認證結果后，將所述認證結果進行格式轉換后發送至所述拜訪地的服務提供商。

進一步地，所述拜訪地IdP獲取所述用戶的信息后，根據其中的用戶歸屬地IdP地址進行地址檢查，若該IdP地址為拜訪地IdP地址，則直接進行認證，否則請求所述歸屬地IdP進行認證。

本發明還提供一種訪問拜訪地服務提供商的系統，包括用戶歸屬地IdP、拜訪地IdP及拜訪地的服務提供商；

所述拜訪地IdP，用于收到用戶的信息后，若用戶不是其所在地的用戶，則通過拜訪地的IdP與歸屬地的IdP之間的接口向該用戶歸屬地IdP發送認證請求；還用于收到認證結果后將其發送至拜訪地的服務提供商；所述拜訪地的IdP與歸屬地的IdP之間的接口是和歸屬地服務提供商與歸屬地IdP之間的接口相同；

所述歸屬地IdP，用于收到認證請求后對用戶進行認證，并將認證結果返回至所述拜訪地IdP；

所述拜訪地的服務提供商，用于根據所述認證結果向所述用戶提供服務。

進一步地，所述拜訪地IdP，還用于收到認證結果后，將該認證結果進行格式轉換后發送至所述拜訪地的服務提供商。