技術領域

本發明涉及網絡安全和通信領域，更具體地是涉及一種實現身份管理互操作的方法及系統。

背景技術

服務提供者(Service?Provider，簡稱SP)對有限身份提供者(IdentityProvider，簡稱IDP)的提供支持，如果用戶所使用的IDP(例如IDP?A)不在當前SP(例如SP1)支持的范圍內，則用戶認證是無法完成的，用戶必須使用該SP支持的IDP(例如IDP?B、C、D)注冊之后，才能夠完成SP的認證，或者用戶還可以訪問支持此用戶使用的屬于可提供類似服務的其它SP(例如SP2)的IDP，得到類似服務。這與身份管理(Identity?Management，簡稱IDM)的目標不符。但目前已經投入使用的IDP之間因為各自利益的關系，不能實現不同IDP的統一。

身份管理是指以網絡和相關支持技術為基礎，對用戶身份的生命周期(使用過程)，以及用戶身份與網絡應用服務之間的關系進行管理。例如，對訪問應用和資源的用戶進行認證或授權等。目前，IDM系統之間還處于一種相互獨立的垂直結構，且這些IDM系統大多是針對特定的應用服務建立起來的，各個IDM系統之間無法實現互聯互通，無法實現用戶信息(如用戶的信任信息、認證信任)的共享。

互操作性(Interoperation)是指各個獨立的IDM系統之間互相協作，進行有效信息(如用戶的信任信息)的交換和通信等操作的能力。互操作的前提一般需要建立在IDM系統相互信任的基礎上，當前IDM系統的信任關系建立一般是一對一信任建立，信任關系一般是靜態的，而且存在信任關系的IDM系統一般僅限于同一個信任域內(或聯盟內)。

目前，主要研究的SP認證模式，都是基于固定IDP的模式，對于用戶使用IDP不在SP信任范圍內的，則無法通行，例如用戶向SP請求服務，用戶未在此SP所屬的IDP上進行身份注冊的情況下，此SP將不能向此用戶提供服務，這使得用戶在某些時候需要多次登錄不同IDP才能獲得此SP的服務，給實際應用帶來不便。

發明內容

本發明要解決的技術問題是提供一種實現身份管理互操作的方法及系統，在不改變現有身份管理系統內部認證方法的情況下，實現不同信任域之間的信任關系互操作，方便用戶使用。

為了解決上述問題，本發明提供了一種實現身份管理互操作的方法，包括：用戶向服務提供者請求服務，所述用戶未在所述服務提供者所屬身份提供者上進行身份注冊的情況下，身份管理中心選擇一個與所述服務提供者所屬身份提供者具有信任關系的并且所述用戶已經進行身份注冊的身份提供者作為備用認證點，所述備用認證點對所述用戶進行成功認證后由所述服務提供者為所述用戶提供服務。

進一步地，上述方法還可以具有以下特點：

所述身份管理中心所維護的身份提供者根據需要與其它身份提供者建立直連信任路徑；所述身份管理中心選擇備份認證點時，根據各身份提供者之間的直連信任路徑在所述用戶已經進行身份注冊的身份提供者中選擇一個與所述服務提供者所屬身份提供者具有直接信任關系或者間接信任關系的身份提供者作為備用認證點。

進一步地，上述方法還可以具有以下特點：

兩個身份提供者具有直接信任關系是指兩者屬于同一信任域，或者兩者不屬于同一信任域但兩者具有直連信任路徑；兩個身份提供者具有間接信任關系是指屬于不同的信任域的兩者通過信任域間的交集身份提供者和/或與其它身份提供者間的直連信任路徑能夠建立起間接信任路徑。

進一步地，上述方法還可以具有以下特點：

所述身份管理中心所維護的身份提供者根據需要與所述身份管理中心建立直連信任路徑，并且所述服務提供者所屬身份提供者與所述身份管理中心具有直連信任路徑；所述身份管理中心選擇備份認證點時，根據各身份提供者與所述身份管理中心的直連信任路徑在所述用戶已經進行身份注冊的身份提供者中選擇一個與所述身份管理中心具有直接或者間接信任關系的身份提供者作為備用認證點。

進一步地，上述方法還可以具有以下特點：

身份提供者與身份管理中心具有直接信任關系是指兩者具有直連信任路徑；位于同一信任域內的任兩個身份提供者之間具有直連信任路徑，身份提供者與身份管理中心具有間接信任關系是指此身份提供者通過與其它身份提供者間的直連信任路徑與身份管理中心能夠建立起間接信任路徑。

進一步地，上述方法還可以具有以下特點：