專利名稱:用于執(zhí)行資源委托的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于執(zhí)行資源(特別是業(yè)務(wù))委托的方法���,其中,用戶(資源所有
者)可以訪問服務(wù)提供方提供的資源���,并且該資源是通過使用委托憑證委托給至少一個其 他用戶(受委托者)的。 此外,本發(fā)明涉及一種在具體服務(wù)中執(zhí)行資源委托的系統(tǒng)��,該系統(tǒng)包括用于提供 資源的服務(wù)提供方�����,其中用戶(資源所有者)可以訪問資源���,并且該資源是通過使用委托憑 證委托給至少一個其他用戶(受委托者)的����。
背景技術(shù):
涉及每個人或個體的偏好和數(shù)據(jù)使得在某種程度上難以區(qū)分ISP(互聯(lián)網(wǎng)服務(wù)提 供方)處的帳戶與與該ISP所提供的服務(wù)有關(guān)的訂單����。更一般地,由于個人簡檔被鏈接 到訂單�,所以傳輸訂單(網(wǎng)絡(luò)訪問)是共享的���,并且單獨的服務(wù)提供方訂單是被持有的。 在聯(lián)邦身份環(huán)境下��,用戶簡檔被鏈接到不同的訂單����。盡管這是已經(jīng)有解決方案的公知問 題��,然而利用委托來共享訂單的問題仍然是開放的領(lǐng)域,已經(jīng)有的解決方案如在Liberty Alliance (參見http: //www, pro iectliberty, org)以及OpenID (http: //www, openid. net) 中提出的那些解決方案�����。
發(fā)明內(nèi)容
因此,本發(fā)明的目的是改進并進一步開發(fā)一種最初描述類型的方法和系統(tǒng)�,該方 法保持用戶隱私并允許緊密地控制委托過程和環(huán)境以允許用戶與其他人共享他們對資源 的訪問����,通過這種方式來執(zhí)行資源委托���。 根據(jù)本發(fā)明����,包括權(quán)利要求1的特征在內(nèi)的方法實現(xiàn)了上述目的。根據(jù)該權(quán)利要 求���,該方法的特征在于該方法包括以下步驟在服務(wù)提供方處執(zhí)行對受委托者的認證����,以及 基于授權(quán)規(guī)則在身份提供方處執(zhí)行對受委托者的授權(quán)��。 此外����,利用包括獨立權(quán)利要求18的特征在內(nèi)的系統(tǒng)實現(xiàn)了前述目的�。根據(jù)該權(quán)利
要求���,該系統(tǒng)的特征在于所述服務(wù)提供方被配置來執(zhí)行對受委托者的認證�,以及提供了身
份提供方�����,所述身份提供方被配置來基于授權(quán)規(guī)則執(zhí)行對受委托者的授權(quán)�����。 根據(jù)本發(fā)明���,首先認識到����,現(xiàn)有的機制并未提供利用委托來共享資源的充分靈活
和安全的可能性����。本發(fā)明解決了如何將身份管理功能���、服務(wù)提供方訂單管理以及密碼學(xué)原
語相結(jié)合���,以產(chǎn)生允許用戶將訂單或支付委托給其他用戶的方法和系統(tǒng)��。盡管服務(wù)提供方
仍然具有認證用戶和確認委托的權(quán)利,然而身份提供方仍然能夠基于訪問控制規(guī)則(即�����,
授權(quán)規(guī)則)來準許或拒絕訪問�����。該過程將認證與授權(quán)分開�,這提高了系統(tǒng)的靈活性���。服務(wù)
提供方并不一定需要知道授權(quán)規(guī)則�,并且身份提供方可以不是用戶針對服務(wù)訪問的認證的
一部分�。 此外�,認證和針對服務(wù)消耗的授權(quán)的分開還允許了附加的隱私好處服務(wù)提供方 并不需要知道受委托用戶���,僅需要知道其與訂戶的關(guān)系��。根據(jù)現(xiàn)有技術(shù)在同一個訂單下支持多個用戶的一般方式包括對鏈接的服務(wù)提供方側(cè)的認知或者對不同用戶的憑證共享 (從而無差別)的認知���。通過采用密碼學(xué)原語形式的委托憑證(如���,標(biāo)記并驗證消息和證 書)��,確保了根據(jù)本發(fā)明的方法和系統(tǒng)的健全和安全。 提供了一種靈活的委托方法和系統(tǒng)�����,允許對與不同委托有關(guān)的賬戶用戶的多個配
置和控制��。這將意味著資源或訂單持有者并不簡單地提供用戶的憑證或身份,而是可以要
求服務(wù)分發(fā)該持有者與該持有者的訂單鏈接的新憑證�����。然后,受委托的實體可以使用這些
憑證來訪問服務(wù)�����。由于新用戶并不直接涉及交易���,所以服務(wù)提供方知道資源持有者或訂戶
允許該新用戶使用該賬戶但是不必知道該新用戶是誰(責(zé)任落在訂戶上)���。
根據(jù)本發(fā)明的方法和系統(tǒng)構(gòu)成了集中式的委托管理并產(chǎn)生了以下優(yōu)點易于訂單
管理(從用戶的角度來看是便于操縱),提高了其用戶的隱私(保護受委托者的身份����,同時
在受委托者的身份方面維持高的安全參數(shù))�����,以及為身份提供方提供新的商業(yè)模式����。 根據(jù)優(yōu)選實施例��,可以在身份提供方處登記針對受委托者定義的授權(quán)規(guī)則���,從而
采用所述委托憑證�。授權(quán)規(guī)則可以準許受委托者沒有限制地完全訪問資源�。另一方面��,可
能針對受委托者定義的授權(quán)規(guī)則包括資源訪問限制。 根據(jù)另一優(yōu)選實施例���,可以由持有服務(wù)訂單的資源所有者來建立對資源的訪問����。 資源所有者可以例如直接訂購由服務(wù)提供方提供的服務(wù)。 優(yōu)選地�,服務(wù)提供方分發(fā)并(在認證過程中)驗證委托憑證���。在委托的情況下����,可 以假定將委托憑證從資源所有者(例如�����,訂單持有者)移交給受委托者�����。換言之����,服務(wù)提供 方持有認證的權(quán)利。服務(wù)提供方持有�、產(chǎn)生、并檢驗被受委托者用來訪問服務(wù)的憑證��。然而��, 提供授權(quán)的訪問控制策略(在這種情況下可以準許訪問)可以是單獨的�����,并且可以存儲在 身份提供方處���。好處在于�,服務(wù)提供方并不需要處理授權(quán)規(guī)則(通?���;谠诜?wù)提供方的 領(lǐng)域之外的組����、上下文等等)��,而僅僅處理認證以及用戶與訂單的綁定�。 關(guān)于高安全性,可以假定在服務(wù)提供方處對受委托者的認證是基于委托憑證來執(zhí) 行的��。備選地或附加地��,當(dāng)受委托者在服務(wù)提供方處請求服務(wù)時����,可以基于委托憑證在身份 提供方處執(zhí)行對受委托者的認證。此外���,可以在服務(wù)提供方處執(zhí)行授權(quán)���,這產(chǎn)生了責(zé)任上的 好處,如身份提供方可以主張由于在服務(wù)提供方處完成了授權(quán)的一部分��,所以該身份提供 方不能對任何的用戶不當(dāng)行為負責(zé)����。 根據(jù)優(yōu)選實施例,可以在身份提供方處提供用戶賬戶��,其中每個賬戶鏈接到用戶 的另一數(shù)字身份���。在這種情況下����,可以以數(shù)字身份專用的方式來定義為受委托者定義的授 權(quán)規(guī)則��。具體地�����,可以假定在服務(wù)提供方處對受委托者的認證基于受委托者的數(shù)字身份���。 具體地���,可以假定允許一個數(shù)字身份訪問或使用資源/服務(wù),其中��,針對另一數(shù)字身份����,該 訪問/使用被拒絕��。在這種情況下���,重要的是注意到清楚地區(qū)分用戶的數(shù)字身份與物理身 份。因為一個物理人可以具有多個數(shù)字身份��,所以在一些情況下��,該人可能無法以一個數(shù)字 身份訪問服務(wù)但是可以以另 一數(shù)字身份訪問該服務(wù)�。 應(yīng)注意,身份提供方還可以用于同時針對多個服務(wù)處理訪問控制��。所以����,同一個委 托下的同一個用戶可以在不同憑證下使用同一個的授權(quán)規(guī)則來訪問不同的服務(wù)。另一方 面�,可以指定一般的授權(quán)規(guī)則,該一般的授權(quán)規(guī)則可以應(yīng)用于多于一個的委托��。在任何情況 下����,資源持有者都可以在不與服務(wù)提供方聯(lián)系的情況下改變委托授權(quán)�。 訪問控制特性發(fā)生改變的不同的實例是可能的�。例如���,資源持有者可以使其授權(quán)規(guī)則基于若干方面���。具體地,這些授權(quán)規(guī)則可以基于要委托的服務(wù)的類型����。此外,可以指定 時間��,在所述時間期間允許受委托者訪問要委托的資源����。此外,可以指定用戶��,其中����,可以考 慮到用戶的數(shù)字身份。此外�,可以在授權(quán)規(guī)則內(nèi)指定訪問或使用資源/服務(wù)的成本����,例如����, 在指定成本限額方面。所列標(biāo)準僅將被理解為示例��,即����,可以想到用于限定授權(quán)規(guī)則的其他 標(biāo)準,并且可以根據(jù)特定需要和需求來指定其他標(biāo)準�。 根據(jù)優(yōu)選實施例,該優(yōu)選實施例提供了高安全性并且易于實現(xiàn)����,委托憑證可以包 括證書和密鑰。然后�,在委托的情況下密鑰所移交到的每個實體將能夠使用所委托的資源。
關(guān)于授權(quán)的易于處理�,可以假定授權(quán)信息集中在身份提供方處,其中針對每個受 委托者聚集該信息�����。備選地或附加地,可以在身份提供方處集中授權(quán)信息��,其中針對每項服 務(wù)來總計該信息�。然而,授權(quán)規(guī)則的分布式管理也是可能的���。
有多種方法以有利的方式來設(shè)計并進一步開發(fā)本發(fā)明的教導(dǎo)。為此���,一方面參考 從屬于權(quán)利要求1和18的專利權(quán)利要求�,另一方面參考以下附圖所示的對本發(fā)明的實施例 的優(yōu)選示例的說明����。借助于附圖,結(jié)合對本發(fā)明實施例的優(yōu)選示例的說明���,將說明對一般優(yōu) 選實施例和教導(dǎo)的進一步發(fā)展�。附圖中
圖1是具有多個身份的示例家庭的示意圖����, 圖2示出了采用各種委托示例的場景,在該場景中可應(yīng)用根據(jù)本發(fā)明的方法�,
圖3示出了根據(jù)本發(fā)明第一實施例的消息序列圖的示例��,
圖4示出了根據(jù)本發(fā)明實施例的應(yīng)用場景����,
圖5示意性地示出了受委托者的服務(wù)訪問���, 圖6示出了建立階段內(nèi)的消息流����,用戶在建立階段中建立委托���, 圖7示出了服務(wù)消耗階段內(nèi)的消息流���,受委托者在服務(wù)消耗階段中訪問所委托的服務(wù)。
具體實施例方式
在下文中�����,詳細說明了 IPTV領(lǐng)域內(nèi)針對委托的特定用例場景��。理想的委托對服務(wù) 訂單共享的特殊情況進行處理�。用例引入身份管理平臺來作為對委托場景中的訪問控制進
行處理的監(jiān)督實體。 在目前的典型IPTV場景中,基本服務(wù)的用戶訂單通常是被共享的���,因為針對服務(wù)
并不存在特定的每個用戶的認證���。將預(yù)期的是,隨著身份管理和個性化服務(wù)的激增�,這將發(fā)
生改變。用戶訂單(到目前為止��,是用戶訪問服務(wù)的標(biāo)識符)將不再足夠了�。 IPTV所支持的服務(wù)遠超過數(shù)字電視當(dāng)前所提供的那些服務(wù)�����。除了現(xiàn)有系統(tǒng)已經(jīng)提
供的那些服務(wù)之以外�,這些服務(wù)還包括IP電話、游戲服務(wù)以及甚至對第三方服務(wù)的訪問�����。
IPTV提供方與外部服務(wù)之間的交互是以下詳細描述的用例所要處理的重要方面���。 用戶必須獨立地管理對IPTV提供方和服務(wù)提供方的所有不同訂單��,而不管這些
訂單是否是由同一個運營商提供的還是由第三方提供方提供的���。身份管理可以提供一種使
得用戶賬戶的管理變得容易的公共平臺��。具體地���,由于與身份管理平臺交互的服務(wù)通常還
依賴于身份的概念,所以對與不同數(shù)字身份綁定的用戶訂單的管理是問題的另一方面���。
6
在所描述的場景中���,假定用戶及其數(shù)字表示(或虛擬身份(VID))是不同的實體。 用戶持有訂單�����,該訂單是該用戶與該用戶的服務(wù)提供方之間的契約性綁定���,然而可以根據(jù) 需要使該訂單與該用戶的VID有關(guān)�����。在圖1中���,示出了一個家庭�,將使用該家庭來描述根據(jù) 本發(fā)明的方法與IPTV有關(guān)的實施例����。在圖1中示出了可以建立合同并創(chuàng)建服務(wù)訂單的不 同用戶及其數(shù)字身份,利用這些數(shù)字身份�����,這些用戶將在這些服務(wù)中被識別出來�、保持個性 和歷史信息以及可能地認證憑證。更具體地�����,所示出的家庭包括三個人父親��、母親和兒子����。 這些人的數(shù)字身份指的是他們的家族以及他們的職業(yè)���。例如�����,父親與數(shù)字身份"父親"(關(guān) 于他的家族背景)以及"雇員"(關(guān)于他的職業(yè)背景)有關(guān)�。對于母親這個人提供了兩個家 族相關(guān)的數(shù)字身份"母親"和"妻子"。將注意�,圖1所示的數(shù)字身份僅僅是出于說明性目 的而選擇的,可以想到與各種用戶背景有關(guān)的其他數(shù)字身份(成員�、體育等等)。
在圖2中��,詳細描述了可能在例如IPTV的背景下出現(xiàn)的委托場景�。在圖2的上部 描述了三個不同的資源或服務(wù),它們是電話服務(wù)(左)���、互聯(lián)網(wǎng)服務(wù)(中)和基于信用卡 的支付或購買服務(wù)(右)���。在支付服務(wù)的情況下,用戶(即���,所示情況中的母親)可以將使 用他/她的賬戶來支付其他服務(wù)或電子商務(wù)的權(quán)利進行委托��。
在這些服務(wù)下方���,示出了賬戶的持有者以及負責(zé)訂單的主數(shù)字身份��。在一些情況
下�����,可以將多于一個的數(shù)字身份直接鏈接到訂單��。訂戶將訂單的使用委托給其他數(shù)字身份����;
該其他數(shù)字身份中的一些屬于他們自己����,另一些屬于其他可信任的實體。在圖2所示的用
例中���,用戶創(chuàng)建訂單的形式一定程度上是將該訂單映射到數(shù)字身份的正交問題�。 在圖2左側(cè)所示的示例中��,父親(電話服務(wù)的訂戶)將服務(wù)訂單完全委托給母親�。
對于電話服務(wù)被認證為"母親"的這個用戶將可以完全地訪問該服務(wù)���,然后將在父親的賬戶
下對該服務(wù)進行支付�����。 該委托問題的一個擴展是針對每個委托添加更復(fù)雜的訪問控制規(guī)則���。以上述示例 為例�,電話服務(wù)的訂戶"父親"將電話服務(wù)的使用委托給"兒子"���,但是限制用戶"兒子"可以 在該服務(wù)上花費的錢數(shù)�����。示出了另一受限的委托���,其中被認證為"雇員"的父親僅被允許呼 叫兒子。關(guān)于互聯(lián)網(wǎng)服務(wù)�����,對兒子有兩個不同的限制在其作為兒子的身份下�,該限制基于 服務(wù)的特定類型(例如,拒絕對某些游戲服務(wù)的訪問)�����,另一方面,在其作為學(xué)生的身份下�����, 該限制基于時間(例如�����,僅在白天的某些小時期間準許訪問)���。 將注意��,根據(jù)圖2的特定實施例����,父親在其作為父親的身份下(作為受委托者)有 權(quán)允許進一步的委托����,通過這種方式實現(xiàn)了與購買服務(wù)有關(guān)的委托。在這種情況下�,關(guān)于特 定服務(wù),兒子在其作為兒子的身份下再次受到限制�����。 在圖3中����,示出了針對IPTV中的委托的特定情況的消息序列圖。該圖包括屬于被 稱作建立階段的序列的消息(虛線上方示出的消息)以及屬于被稱作服務(wù)使用階段的后續(xù) 序列的消息(虛線下方示出的消息)���。假定訂單所有者已經(jīng)具有與IPTV提供方以及至第三 方服務(wù)提供方的訂單��。
建立階段 A. 1)在該步驟中����,訂單的所有者在IPTV服務(wù)提供方處創(chuàng)建鏈接����,這允許只要IPTV
提供方遵守身份提供方處的訪問控制規(guī)則,另一用戶便能使用該所有者的賬戶���。 A. 2)利用第三方服務(wù)提供方來執(zhí)行類似的操作���。 A. 3)訂單的所有者在身份提供方處建立訪問控制規(guī)則。該操作可以被看做將"經(jīng)過認證"的信息添加到受委托者的簡檔或者給受委托者針對他們的憑證以添加到他們自己
的簡檔�����。將注意,在該步驟中��,用戶可以建立影響這兩種服務(wù)的一般訪問控制策略�����,這是使
用身份管理系統(tǒng)來執(zhí)行訪問控制的優(yōu)點之一�。 服務(wù)消耗階段 B. 1)受委托者訪問IPTV服務(wù)。 B. 2) IPTV服務(wù)提供方聯(lián)系身份提供方(也可以在IPTV運營商的域內(nèi))以認證用 戶��。將要假定在這種情況下已經(jīng)利用用戶的身份提供方來認證了用戶����;否則,將在此時進行 認證��。 B. 3) —旦身份提供方可以驗證用戶是經(jīng)過認證的��,使用該委托來驗證對該服務(wù)的
進行訪問的訪問控制限制����。基于此���,身份提供方將允許或拒絕訪問該服務(wù)��。 此外�,IPTV提供方可以在向用戶提供訪問之前檢驗與服務(wù)委托相關(guān)的其他訪問控
制憑證。 步驟B.4)���、B.5)描繪了涉及第三方服務(wù)提供方的類似場景。將注意���,主要由身份 管理系統(tǒng)來執(zhí)行授權(quán)控制�,并且可以在受委托者之間共享策略(減輕在用戶訂單管理方面 的努力)���。 圖4示出了根據(jù)本發(fā)明另一實施例的應(yīng)用場景��。在第一步驟中�,用戶訂購服務(wù)�����,該 服務(wù)分發(fā)憑證以訪問并管理該用戶的訂單����。在步驟2中,用戶請求服務(wù)以委托該用戶的訂 單,并從服務(wù)提供方接收憑證集(證書和私鑰)���。具有該私鑰的任何人都將能夠使用該委 托��。 在步驟3���,訂單的受委托者或所有者建立他們的身份管理系統(tǒng)以負責(zé)委托。這意 味著(在本文的場景中)使身份管理系統(tǒng)知道該委托屬于兒子����。此外,在步驟3中�,所有者 可以決定建立額外的訪問控制規(guī)則,這些額外的訪問控制規(guī)則是針對委托的單獨授權(quán)����。在 步驟4,所有者向委托者提供密鑰���,利用該密鑰�����,受委托者可以使用訂單來訪問服務(wù)��。步驟5 說明了如何才可以訪問服務(wù)��,并且在下文中對步驟5進行了進一步的詳細描述�。最后,訂戶 接收每個委托以及訂戶自己對訂戶的訂單的聯(lián)合使用的賬單�。 圖5示意性地示出了受委托者進行的服務(wù)訪問。更具體地�����,服務(wù)是由服務(wù)提供方 SP提供的游戲服務(wù)�����,其中父親(例如��,根據(jù)先前說明的應(yīng)用示例)是將服務(wù)委托給其兒子的 訂單持有者���。 服務(wù)提供方SP持有與父親的訂單有關(guān)的信息,包括例如在訂購之后服務(wù)提供方 SP已分發(fā)的委托憑證�。通過采用憑證,父親對身份提供方IdP進行配置�。在圖5所示的特 定情況下,在IdP處產(chǎn)生條目���,包括受委托者"兒子"��、在兒子與父親之間指示委托發(fā)起者的 鏈接�、由服務(wù)提供方SP分發(fā)的證書(包括例如服務(wù)名稱)以及最后包括在該證書上配置的 規(guī)則集合。換言之�����,在IdP處��,將受委托者的數(shù)字身份與服務(wù)和針對委托的證書相鏈接����。
—旦如上所述配置了服務(wù)提供方SP和身份提供方IdP,由于委托現(xiàn)在被激活���,父 親便可以將委托憑證的密鑰給兒子��。當(dāng)兒子與服務(wù)提供方SP聯(lián)系并要求服務(wù)時(由從兒 子指向SP的上部箭頭進行指示)�,SP將聯(lián)系IdP以對兒子進行認證���。關(guān)于圖7在某種程度 上更詳細地描述了該步驟��。在基于委托的證書向SP進行成功的認證之后�����,準許兒子訪問服 務(wù)(從而在IdP處考慮為該服務(wù)以及為該受委托者配置的授權(quán)規(guī)則)����,并且可以開始服務(wù)消 耗(由從SP指向兒子的下部箭頭進行指示)。
8
圖6描繪了在資源所有者建立委托時在建立階段的消息流����。首先,資源所有者聯(lián)系服務(wù)提供方并使用其憑證(這種機制在本發(fā)明范圍之外)來進行認證����。然后��,為資源所有者分發(fā)憑證一證書和密鑰(與證書中的公鑰相對應(yīng))�。為此,可以采用相應(yīng)服務(wù)提供方的所有權(quán)(例如���,基于恥b的)協(xié)議���。然后可以通過對稱加密技術(shù)以使用兩個加密密鑰來驗證嘗試訪問委托的用戶的有效性。 —旦所有者擁有這些密鑰��,該所有者就通過發(fā)送證書并配置與該證書有關(guān)的規(guī)則集來配置受委托者的身份管理系統(tǒng)。在該步驟中���,該所有者還可以呈現(xiàn)多于一個的證書并針對所有這些委托來設(shè)置聯(lián)合委托規(guī)則�。例如����,為此,可以采用SAML(安全斷言標(biāo)記語言)或基于web的協(xié)議��。 將注意��,這沒有引起安全性風(fēng)險�����,因為攻擊可以是向受委托者不想要的訂單提供委托(這沒有向受委托者提供隱私或任何其他危險)�,并且,由于證書由服務(wù)提供方分發(fā)并且包含所有者的身份���,在允許所有者設(shè)置委托規(guī)則之前��,身份提供方本地地或者在所有者的身份提供者處對該所有者進行認證��。這種機制也在本發(fā)明的范圍之外�。 一旦配置了服務(wù)提供方和身份提供方,由于現(xiàn)在激活了委托�,所有者現(xiàn)在便可以給受委托者密鑰(例如,通過物理傳送)�。 圖7示出了嘗試訪問服務(wù)的受委托者,其中該服務(wù)已經(jīng)被委托給了該受委托者�。第一步驟是,(通過采用服務(wù)提供方專用協(xié)議)與服務(wù)提供方聯(lián)系并要求服務(wù)����。如在普通身份管理場景中一樣,SP將與身份提供方聯(lián)系��,以對用戶進行認證�����。作為該認證的一部分�,IdP將識別委托并檢查與該委托有關(guān)的其他規(guī)則��。如果可應(yīng)用的話���,身份提供方將把與對SP的委托有關(guān)的額外限制和該委托的證書同對受委托者的認證結(jié)果一起發(fā)送(可以將該步驟替換成對證書的簡單參考�����,因為作為分發(fā)者����,SP還可以存儲證書)。
然后���,SP將與受委托者接觸并請求該受委托者基于委托的證書來進行認證(第二次)�����。該步驟確保了受委托者不拷貝委托���,而是真實的受委托者。然后�,受委托者可以使用密鑰對來自SP的挑戰(zhàn)作出應(yīng)答,并且可以開始服務(wù)消耗�����。由于SP可以將委托與所有者的賬戶相關(guān)聯(lián)�,所以還將針對受委托者所訪問的服務(wù)對所有者開賬單。 得益于以上說明書以及相關(guān)附圖中所提出的教導(dǎo)����,本發(fā)明所屬領(lǐng)域普通技術(shù)人員將能夠想到這里所闡述的本發(fā)明的許多修改和其他實施例���。因此,將理解���,本發(fā)明不限于所公開的特定實施例���,并且修改和其他實施例旨在包含于所附權(quán)利要求的范圍之內(nèi)。盡管本文采用了特定術(shù)語��,然而這些術(shù)語僅用于一般和描述性情況而并不出于限制目的����。
權(quán)利要求
一種執(zhí)行具體為服務(wù)的資源的委托的方法,其中�����,作為資源所有者的用戶具有對服務(wù)提供方所提供的資源的訪問權(quán)��,并且通過使用委托憑證將所述資源委托給作為受委托者的至少一個其他用戶��,其特征在于�����,所述方法包括以下步驟在所述服務(wù)提供方處執(zhí)行對受委托者的認證��,以及基于授權(quán)規(guī)則����,在身份提供方處執(zhí)行對受委托者的授權(quán)。
2. 根據(jù)權(quán)利要求1所述的方法����,其中,在所述身份提供方處登記針對受委托者定義的 所述授權(quán)規(guī)則�,從而采用所述委托憑證。
3. 根據(jù)權(quán)利要求1或2所述的方法��,其中��,針對受委托者定義的所述授權(quán)規(guī)則包括資源 訪問限制����。
4. 根據(jù)權(quán)利要求1至3中任一項所述的方法,其中�,持有服務(wù)訂單的資源所有者建立對 資源的所述訪問權(quán)。
5. 根據(jù)權(quán)利要求1至4中任一項所述的方法���,其中���,所述服務(wù)提供方分發(fā)所述委托憑證�。
6. 根據(jù)權(quán)利要求1至5中任一項所述的方法����,其中,將所述委托憑證移交給受委托者�����。
7. 根據(jù)權(quán)利要求1至6中任一項所述的方法��,其中��,基于所述委托憑證來執(zhí)行在服務(wù)提 供方處對受委托者的所述認證�����。
8. 根據(jù)權(quán)利要求1至7中任一項所述的方法�����,其中��,當(dāng)受委托者請求服務(wù)提供方處的服 務(wù)時,基于所述委托憑證來在身份提供方處執(zhí)行對受委托者的認證��。
9. 根據(jù)權(quán)利要求1至8中任一項所述的方法���,其中,在所述服務(wù)提供方處執(zhí)行授權(quán)�。
10. 根據(jù)權(quán)利要求1至9中任一項所述的方法,其中�,在所述身份提供方處提供用戶賬 戶,每個賬戶被鏈接到用戶的另一數(shù)字身份�����。
11. 根據(jù)權(quán)利要求10所述的方法�����,其中����,以數(shù)字身份專用方式來定義針對受委托者定 義的所述授權(quán)規(guī)則。
12. 根據(jù)權(quán)利要求10或11所述的方法��,其中���,所述服務(wù)提供方處對受委托者的認證基 于受委托者的數(shù)字身份���。
13. 根據(jù)權(quán)利要求1至12中任一項所述的方法�����,其中����,所述授權(quán)規(guī)則基于資源/服務(wù)的 類型�、時間、資源/服務(wù)的用戶成本和/或其它�����。
14. 根據(jù)權(quán)利要求1至13中任一項所述的方法�����,其中�,所述授權(quán)規(guī)則與其它委托的允許 或拒絕有關(guān)。
15. 根據(jù)權(quán)利要求1至14中任一項所述的方法����,其中�����,所述委托憑證包括證書和密鑰�����。
16. 根據(jù)權(quán)利要求1至15中任一項所述的方法,其中����,在身份提供方處集中按照每個受 委托者所聚集的授權(quán)信息。
17. 根據(jù)權(quán)利要求1至16中任一項所述的方法���,其中�,在身份提供方處集中按照每個服 務(wù)所聚集的授權(quán)信息��。
18. —種執(zhí)行具體為服務(wù)的資源的委托的系統(tǒng)�,所述系統(tǒng)包括用于提供資源的服務(wù)提 供方,其中����,作為資源所有者的用戶具有對資源的訪問權(quán),并且其中�����,通過使用委托憑證將 所述資源委托給作為受委托者的至少一個其他用戶,其特征在于����,所述服務(wù)提供方被配置成執(zhí)行對受委托者的認證,以及提供了身份提供方�����,所述身份提供方被配置成基于授權(quán)規(guī)則執(zhí)行對受委托者的授權(quán)�。
19. 根據(jù)權(quán)利要求18所述的系統(tǒng),其中�,所述身份提供方被配置成能夠登記針對受委 托者定義的所述授權(quán)規(guī)則,從而采用所述委托憑證�。
20. 根據(jù)權(quán)利要求18或19所述的系統(tǒng),其中�,針對受委托者定義的所述授權(quán)規(guī)則包括 資源訪問限制。
21. 根據(jù)權(quán)利要求18至20中任一項所述的系統(tǒng)���,包括用于執(zhí)行用戶的賬戶管理的身份管理系統(tǒng)���。
全文摘要
一種執(zhí)行具體為服務(wù)的資源的委托的方法,其中��,作為資源所有者的用戶具有對服務(wù)提供方所提供的資源的訪問權(quán),并且所述資源通過使用委托憑證被委托給至少一個作為受委托者的其他用戶��,其特征在于�,所述方法包括以下步驟為與資源訪問限制有關(guān)的受委托者定義授權(quán)規(guī)則,并在身份提供方處登記所述授權(quán)規(guī)則從而采用所述委托憑證�,在服務(wù)提供方處執(zhí)行對受委托者的認證,以及基于所述授權(quán)規(guī)則在身份提供方處執(zhí)行對受委托者的授權(quán)����。此外�,公開了相應(yīng)的系統(tǒng)。
文檔編號H04L29/06GK101785276SQ200880104303
公開日2010年7月21日 申請日期2008年8月27日 優(yōu)先權(quán)日2007年8月27日
發(fā)明者若昂·吉朗, 達尼埃萊·阿巴代薩 申請人:Nec歐洲有限公司