技術領域

本發明涉及通信領域，具體而言，涉及一種建立身份管理(Identity?Management，簡稱為IDM)信任的方法及身份提供方和業務提供方。

背景技術

針對業務提供方(Service?Provider，簡稱為SP)對有限身份提供方(Identification?Provider，簡稱為IDP)的支持，如果用戶所使用的IDP(例如IDPA)不在當前SP(例如SP1)支持的范圍內，則用戶認證是無法完成的，用戶必須使用該SP支持的IDP(例如IDP?B、C、D)注冊之后，才能夠完成SP的認證，又或者訪問支持用戶使用的IDP，同時提供類似服務的SP(例如sp2)。這與IDM的目標不符。但目前已經投入使用的IDP之間因為各自利益的關系，要使IDP統一似乎不可能。

IDM是指以網絡和相關支持技術為基礎，對用戶身份的生命周期(使用過程)，以及用戶身份與網絡應用服務之間的關系進行管理。例如，對訪問應用和資源的用戶進行認證或授權等。目前，IDM系統之間還處于一種相互獨立的垂直結構，且這些IDM系統大多是針對特定的應用服務建立起來的，各個IDM系統之間無法實現互聯互通，無法實現用戶信息(如用戶的信任信息、認證信任)的共享。

互操作性(Interoperation)是指各個獨立的IDM系統之間互相協作，進行有效信息(如用戶的信任信息)的交換和通信等操作的能力。互操作的前提一般需要建立在IDM系統相互信任的基礎上，當前IDM系統的信任關系建立一般是一對一信任建立，信任關系一般是靜態的，而且存在信任關系的IDM系統一般僅限于同一個信任域內(或聯盟內)，跨信任域(聯盟)的信任關系的建立以及基于信任鏈(信任路徑)的信任關系建立是可以使得現有IDM系統的信任關系擴展到更大的范圍，可以使得信任關系的建立更加動態、靈活和便利。

目前，主要研究的SP認證模式，都是基于固定IDP的模式，對于用戶使用IDP不在SP信任范圍的，則無法通行，這使得用戶在某些時候需要多次登錄不同IDP才能獲得某SP的服務，給實際應用帶來不便。

針對相關技術中SP認證模式對于用戶使用IDP不在SP信任范圍的，則無法通行，這使得用戶在某些時候需要多次登錄不同IDP才能獲得某SP的服務的問題，目前尚未提出有效的解決方案。

發明內容

針對SP認證模式對于用戶使用IDP不在SP信任范圍的，則無法通行，這使得用戶在某些時候需要多次登錄不同IDP才能獲得某SP的服務的問題而提出本發明，為此，本發明的主要目的在于提供一種建立IDM信任的方法，以解決上述問題。

為了實現上述目的，根據本發明的一個方面，提供了一種建立IDM信任的方法。

根據本發明的建立IDM信任的方法包括：SP接收用戶訪問后，判斷用戶使用的IDP是否在SP的信任域內；如果用戶使用的IDP不在SP的信任域內，則SP向本地信任域內的IDP詢問用戶歸屬身份提供方；如果SP接收到IDP返回的IDP?A的信息，則將用戶歸屬身份提供方加入臨時信任列表以建立對用戶歸屬身份提供方的信任。

優選地，在判斷用戶使用的身份提供方是否在業務提供方的信任域內之后，該方法還包括：如果用戶使用的身份提供方與業務提供方在同一個信任域內，則業務提供方直接使用與用戶歸屬身份提供方的信任關系。

優選地，在業務提供方向本地信任域內的身份提供方詢問用戶歸屬身份提供方之后，該方法還包括：如果沒有收到本地信任域內身份提供方返回的信息，則判斷所有被詢問的身份提供方是否屬于并僅屬于一個信任域；如果被詢問的身份提供方中存在屬于兩個或兩以上信任域的身份提供方，則判斷被詢問過的身份提供方是否與用戶歸屬身份提供方在同一信任域；如果被詢問過的身份提供方與用戶歸屬身份提供方在同一個信任域，則建立對用戶歸屬身份提供方的信任。

優選地，如果沒有收到本地信任域內身份提供方返回的信息，該方法還包括：如果被詢問的身份提供方在同一個信任域并且僅屬于一個信任域，則中止建立對用戶歸屬身份提供方的詢問。

優選地，如果沒有收到本地信任域內身份提供方返回的信息，該方法還包括：如果被詢問的身份提供方中存在屬于兩個或兩以上信任域的身份提供方，則繼續向被詢問的身份提供方所屬其他信任域的身份提供方發送詢問請求。

優選地，身份提供方收到詢問時，如果組播詢問的跳數超過設定的次數，則中止信任建立。

為了實現上述目的，根據本發明的另一方面，提供了一種身份提供方及業務提供方。