專利名稱:通過憑證的逐步到期來提供聯(lián)合認(rèn)證服務(wù)的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在計算機(jī)網(wǎng)絡(luò)上的用戶認(rèn)證服務(wù)���、更特別地是在聯(lián)合認(rèn)證范例范圍內(nèi)的用戶認(rèn)證服務(wù)的領(lǐng)域����。
背景技術(shù):
聯(lián)合認(rèn)證是設(shè)計來改善網(wǎng)絡(luò)應(yīng)用環(huán)境的可管理性和用戶體驗的服務(wù)架構(gòu),該網(wǎng)絡(luò)應(yīng)用環(huán)境工作在用戶集與應(yīng)用集之間的多對多關(guān)系下�����。聯(lián)合認(rèn)證平臺在實踐中的表現(xiàn)是執(zhí)行單點登錄(SSO)的能力���,即��,允許用戶登錄到多個網(wǎng)絡(luò)應(yīng)用�����,而無需在每次跨越不同管理域之間的虛擬邊界時輸入憑證(credential)�。聯(lián)合認(rèn)證的中心概念是將各種服務(wù)提供者(這些服務(wù)提供者可以體現(xiàn)為各個服務(wù)器���,或體現(xiàn)為同一服務(wù)器上的不同應(yīng)用)聚類成依賴于共同身份提供者的聯(lián)邦 (federation)��。來自新用戶的任何認(rèn)證請求均由發(fā)布“憑據(jù)(ticket) ”的共同認(rèn)證者處理�。 該憑據(jù)構(gòu)成共同認(rèn)證者對該用戶身份的斷言(assertion)�,以及在某些實施例中構(gòu)成共同認(rèn)證者對該用戶訪問聯(lián)邦內(nèi)的服務(wù)的關(guān)聯(lián)權(quán)限的斷言。憑據(jù)可以隨后呈現(xiàn)給同一聯(lián)邦內(nèi)的不同服務(wù)提供者�。憑據(jù)具有有限的使用期限���;憑據(jù)可以自動地到期(在預(yù)定的一段時間到期之后)�����,或由于明確的行為(例如����,用戶從聯(lián)邦退出,或由共同認(rèn)證者發(fā)起撤消憑據(jù))而到期�����。這樣的憑據(jù)到期區(qū)別于在特定服務(wù)器上的登錄會話的到期��,登錄會話的到期需要用戶重新登錄?�,F(xiàn)有技術(shù)中已知聯(lián)合認(rèn)證方案的若干變體���。例如��,美國專利6�����,668���,322 (US 6668322 B(W00D���、DAVID等人))公開了使用安全憑證的訪問管理系統(tǒng)及方法。該方法包括借助于登錄憑證來認(rèn)證終端用戶(客戶機(jī)(client))�;以及發(fā)布可被用來得到對多個信息資源的訪問的、加密保護(hù)的會話憑證���,由此���,這樣的驗證不需要知道生成該會話憑證所用的密鑰。這種加密保護(hù)會話憑證的方式允許如下架構(gòu)��,憑借該架構(gòu)�,集中式的認(rèn)證基礎(chǔ)結(jié)構(gòu) (infrastructure)發(fā)布會話憑證,而應(yīng)用提供者的分散式云能夠自發(fā)驗證這些會話憑證�。 Wood等人還公開了 給予加密保護(hù)的會話憑證有限的使用期限。Wood等人還公開了 發(fā)布與不同的信任級別關(guān)聯(lián)的不同的加密保護(hù)的會話憑證���,所述不同的信任級別允許訪問不同的信息資源�����,以顯著地提供以更強(qiáng)認(rèn)證形式保護(hù)更敏感資源的可能性�。美國專利公開No. 2002/0184507Al(US 2002184507 A(MAK0WER、DAVID 等人)2002-12-05)公開了用于客戶機(jī)-服務(wù)器環(huán)境的集中式單點登錄方法及系統(tǒng)�,更具體而言�����,該系統(tǒng)和方法專注于超文本傳輸協(xié)議(http)交互���,即���,“網(wǎng)絡(luò)單點登錄”解決方案。在該架構(gòu)中����,“用戶用聯(lián)合服務(wù)器組中的任意一個服務(wù)器對自身進(jìn)行認(rèn)證,每個聯(lián)合服務(wù)器與中心登錄服務(wù)器進(jìn)行通信�,使得當(dāng)前進(jìn)行會話的用戶無需被聯(lián)邦中其它服務(wù)器重新認(rèn)證”。該方案包括從期望訪問的服務(wù)器應(yīng)用(“始發(fā)服務(wù)器”)到中心登錄服務(wù)器然后返回始發(fā)服務(wù)器的http重定向�。起初的重定向指令包括由始發(fā)服務(wù)器生成的詢問(challenge)。中心登錄服務(wù)器首先尋找客戶機(jī)是否已經(jīng)建立會話的指示�����,這可以通過http的“cookie”的存在來作為信號。如果沒有會話被預(yù)先建立��,則中心登錄生成新的“cookie”���,并將客戶機(jī)重定向回始發(fā)服務(wù)器(包括始發(fā)服務(wù)器的詢問與重定向指令)��。被重定向的客戶機(jī)然后將用始發(fā)服務(wù)器來進(jìn)行認(rèn)證(始發(fā)服務(wù)器保存由此建立的會話的記錄)��,并以安全的方式(使用簽名并加密的通信)通知中心登錄服務(wù)器此會話�����。該會話具有有限的使用期限�。只要會話有效,則會通過關(guān)于相關(guān)會話標(biāo)識數(shù)據(jù)和用來確認(rèn)已經(jīng)與至少一個聯(lián)合服務(wù)器建立了有效會話的始發(fā)服務(wù)器的詢問的簽名��,將來自相同客戶機(jī)的��、對聯(lián)邦中其它服務(wù)器進(jìn)行訪問的任意后續(xù)請求將從中心登錄服務(wù)器重定向到相應(yīng)的始發(fā)服務(wù)器��。當(dāng)被通知在任意聯(lián)合服務(wù)器處建立了每個后續(xù)會話時���,中心登錄服務(wù)器更新相關(guān)客戶機(jī)的會話的到期時間��。反之����,中心登錄服務(wù)器可以依據(jù)來自客戶機(jī)的、由聯(lián)合服務(wù)器中繼的請求來主動終止現(xiàn)有會話�,并向本地會話仍在進(jìn)行當(dāng)中的所有聯(lián)合服務(wù)器傳播該終止。在美國專禾Ij7���,194,547 (US 7194547 B(M0REH�����、JAHANSHAH 等人)2007-03-20)中�����, 公開了允許客戶機(jī)通過多種認(rèn)證機(jī)制進(jìn)行認(rèn)證的聯(lián)合認(rèn)證服務(wù)�����。在此架構(gòu)中��,使用協(xié)議代理翻譯客戶機(jī)的憑證并將該憑證中繼到適當(dāng)?shù)恼J(rèn)證機(jī)制��,并在成功認(rèn)證時生成可以被客戶機(jī)用來訪問服務(wù)器應(yīng)用的“名稱斷言(name assertion) 在根據(jù)Moreh等人的方法中�,客戶機(jī)通過聯(lián)系認(rèn)證主體并將客戶機(jī)的相關(guān)身份和域傳給認(rèn)證主體(agent),來發(fā)起獲得對服務(wù)器應(yīng)用的訪問的過程。認(rèn)證主體提供關(guān)于認(rèn)證機(jī)制的信息以供客戶機(jī)使用�����。然后客戶機(jī)將用于訪問服務(wù)器應(yīng)用的認(rèn)證請求傳遞到協(xié)議代理�。協(xié)議代理接收來自客戶機(jī)的認(rèn)證請求并將認(rèn)證請求翻譯成適當(dāng)?shù)恼J(rèn)證機(jī)制的本地協(xié)議。協(xié)議代理試圖用該認(rèn)證機(jī)制進(jìn)行認(rèn)證��,且當(dāng)認(rèn)證成功時協(xié)議代理從該認(rèn)證機(jī)制接收回包括客戶機(jī)的屬性和訪問權(quán)的響應(yīng)�����。然后協(xié)議代理創(chuàng)建名稱斷言��,以及可選地創(chuàng)建授權(quán)(entitlement)����,并將該名稱斷言和授權(quán)翻譯成傳送回客戶機(jī)的認(rèn)證響應(yīng)。名稱斷言的到期時間可以由客戶機(jī)�、服務(wù)器應(yīng)用、或者認(rèn)證機(jī)制來要求�����?��?蛻魴C(jī)將該認(rèn)證響應(yīng)遞送給服務(wù)器應(yīng)用�����。單點登錄系統(tǒng)的基本優(yōu)點是用戶只認(rèn)證一次�����。在成功認(rèn)證到中心單點登錄系統(tǒng)之后��,中心系統(tǒng)將使用戶自動地登錄到其它系統(tǒng)��。自會話中的最后的用戶活動起設(shè)定的時間段之后�,單點登錄系統(tǒng)上的認(rèn)證會話到期�����,用戶必須重新認(rèn)證���。在許多單點登錄系統(tǒng)中����,每種認(rèn)證類型都具有關(guān)聯(lián)的認(rèn)證信任級別��。與這些單點登錄系統(tǒng)集成在一起的應(yīng)用將定義某一所需的認(rèn)證信任級別。這樣的應(yīng)用的用戶在被允許使用此應(yīng)用之前將需要以所定義的認(rèn)證信任級別或更高的級別進(jìn)行認(rèn)證�����。
發(fā)明內(nèi)容
技術(shù)問題在現(xiàn)有技術(shù)的解決方案中��,一旦用戶已經(jīng)以一定認(rèn)證信任級別進(jìn)行了認(rèn)證�����,則在整個單點登錄會話期間�,該認(rèn)證信任級別維持不變。只有通過用使用呈現(xiàn)不同信任級別的認(rèn)證方法的單點登錄系統(tǒng)重新進(jìn)行認(rèn)證才能提高該信任級別����。此方法未充分解決成功認(rèn)證的安全值隨著時間而降低的情況。在現(xiàn)有技術(shù)中已知的單點登錄系統(tǒng)具有到期時間���,該到期時間保護(hù)聯(lián)合系統(tǒng)不受借助于不再處于合法用戶的控制之下��、或者就加密而言已泄密的單點登錄會話的訪問(這是一種隨時間而增加的風(fēng)險)���。與較早的認(rèn)證相比,支持不同信任級別的單點登錄系統(tǒng)應(yīng)當(dāng)對最近的認(rèn)證具有更多信任�。技術(shù)方案
本發(fā)明基于以下見解通過引入認(rèn)證信任級別降級可以在多級別單點登錄系統(tǒng)中較充分地解決以上描述的安全問題����?��?朔鲜鰡栴}的思想是在單點登錄系統(tǒng)中實現(xiàn)執(zhí)行認(rèn)證信任級別降級的算法����。 那樣����,單點登錄系統(tǒng)將只允許被認(rèn)證的用戶在當(dāng)前認(rèn)證信任級別等于或高于某一資源所需的認(rèn)證信用級別的情況下訪問該資源。即時認(rèn)證信任級別L(t)將等于或低于初始認(rèn)證信任級別Ltl�,且將基于所設(shè)定的認(rèn)證信任級別降級規(guī)則來計算?��?梢杂貌煌乃惴▽崿F(xiàn)此認(rèn)證信任級別降級。一個這樣的算法提供線性降級在該情況下��,認(rèn)證信任級別與自成功認(rèn)證時起所經(jīng)過的時間t成比例地下降L (t) = max {0���,L0 (1-ct)}另一個這樣的算法提供基于階躍的降級在該情況下�,認(rèn)證信任級別按自成功認(rèn)證起所經(jīng)過的時間的函數(shù)�、按照一個或多個離散臺階下降����。在一些實施例中���,信任級別降級的步幅或量可以是用戶活躍度的函數(shù)�。例如����,如果用戶在一定時間段內(nèi)保持不活動,當(dāng)前信任級別可以被降級到比當(dāng)前信任級別低的一定設(shè)定級別����。本領(lǐng)域技術(shù)人員將了解到在不偏離本發(fā)明精神的情況下,存在無數(shù)能被用來達(dá)到相同目的的其它算法��?����?梢砸愿鞣N方式估算任意給定時刻的信任級別�。在一個可能的實施例中,可能在每次接收到認(rèn)證請求時���,在認(rèn)征服務(wù)器處完成估算�。此后,認(rèn)證服務(wù)器將以憑據(jù)形式返回與活動的會話關(guān)聯(lián)的最當(dāng)前的信任級別���。在另一個可能的實施例中���,降級算法為提供資源的服務(wù)器所知。相同的認(rèn)證憑據(jù)可以在整個會話中使用�,但是該認(rèn)證憑據(jù)隨時間的推移變得不太可信,直至信任級別降低到所討論的資源所需的最低信任級別以下為止����,這時該認(rèn)證憑據(jù)可不再被用來獲取對所述資源的訪問。實現(xiàn)此的混合方式是使認(rèn)證服務(wù)器發(fā)布“分層憑據(jù)”�,該分層憑據(jù)的每層是具有一定信任級別和關(guān)聯(lián)的到期時間的憑據(jù),其中��,具有較高信任級別的層被設(shè)置成比具有較低信任級別的層更快到期���。也可以實現(xiàn)雙重檢查(double check)機(jī)制��,在雙重檢查機(jī)制中認(rèn)證服務(wù)器和提供資源的服務(wù)器二者都根據(jù)降級算法執(zhí)行估算。在特定的實施例中�,提供資源的服務(wù)器可以應(yīng)用其自有形式的降級算法。有益效果在現(xiàn)有技術(shù)的解決方案中�����,一旦用戶已經(jīng)以一定認(rèn)證信任級別進(jìn)行了認(rèn)證,則在整個單點登錄會話期間�����,認(rèn)證信任級別維持不變�。憑證的到期時間與由憑證提供的信任級別關(guān)聯(lián);高信任級別通常與短的到期時間關(guān)聯(lián)����,這意味著高級別的認(rèn)證可能需要頻繁的重新認(rèn)證。本發(fā)明提供一種機(jī)制�,該機(jī)制允許無需用單點登錄系統(tǒng)重新進(jìn)行認(rèn)證地降低信任級別,直至降低到不再足以獲得對期望資源的訪問的級別為止�����。在這時�����,用戶才重新進(jìn)行認(rèn)證��。這樣,可以向進(jìn)行高質(zhì)量的初始認(rèn)證的用戶提供針對不太敏感的資源具有長使用期限的憑證��,而同時��,因為這些長期限的認(rèn)證將相對快速地降級到特定的敏感資源所需的高信任級別以下����,所以可將這些敏感資源的安全性保持在高級別。因此�����,本發(fā)明改善了在保護(hù)對敏感資源的訪問和保持尤其對不太敏感的資源的用戶便利性之間的平衡�����。
本發(fā)明的前述和其它特征及優(yōu)點根據(jù)下文對如附圖中所示的本發(fā)明的多個實施例的更具體的描述將顯而易見����。圖1示出了根據(jù)本發(fā)明的方法的流程圖,示出了由客戶機(jī)�����、服務(wù)器�、單點登錄服務(wù)及所述服務(wù)的認(rèn)證緩存所執(zhí)行的步驟。圖2示出了根據(jù)本發(fā)明的方法的協(xié)議交互圖��,示出了客戶機(jī)10��、第一服務(wù)器20���、單點登錄服務(wù)30���、服務(wù)緩存40及第二服務(wù)器50的交互。在圖1和圖2 二者中使用相同的標(biāo)記以表示相同的或概念上相似的行為和特征���。圖3示出了提供根據(jù)本發(fā)明的認(rèn)征服務(wù)器的功能的系統(tǒng)301的示意圖�。
具體實施例方式在根據(jù)本發(fā)明的方法中��,試圖訪問服務(wù)器20上的被認(rèn)證系統(tǒng)保護(hù)的受保護(hù)資源的終端用戶10將經(jīng)歷以下步驟���。當(dāng)請求訪問資源(101)時�����,終端用戶被重定向(102)到單點登錄(SSO)認(rèn)證服務(wù)進(jìn)行登錄�����。憑借重定向消息(102)和客戶機(jī)的后續(xù)請求(103)���,系統(tǒng)20將所請求的受保護(hù)資源的最低認(rèn)證信任級別的指示提供給認(rèn)證服務(wù)30�����。在終端用戶10與認(rèn)證服務(wù)30的交互(103)中����,終端用戶10提供必要的認(rèn)證憑證���。認(rèn)證服務(wù)30驗證認(rèn)證憑證并返回(104a) 認(rèn)證憑據(jù)�����,該認(rèn)證憑據(jù)包含被認(rèn)證用戶的標(biāo)識�����、獲得的認(rèn)證信任級別�����、唯一的憑據(jù)標(biāo)識符以及可選地包含認(rèn)證服務(wù)的身份或位置���。認(rèn)證服務(wù)30將認(rèn)證憑據(jù)的副本保存到其緩存中 (104b)�。在下一個步驟105中���,終端用戶10將此憑據(jù)提供給服務(wù)器的認(rèn)證系統(tǒng)20。認(rèn)證系統(tǒng)20通過認(rèn)證服務(wù)30請求當(dāng)前認(rèn)證信任級別來驗證此憑據(jù)(106)�。認(rèn)證服務(wù)30查詢其緩存40以檢查該認(rèn)證憑據(jù),這涉及請求(107)和響應(yīng)(108a)��。如果找到憑據(jù)�����,認(rèn)證服務(wù) 30就使用設(shè)定的認(rèn)證信任級別降級規(guī)則來計算(108b)指定用戶10的認(rèn)證信任級別����,并將認(rèn)證信任級別返回(109)給認(rèn)證服務(wù)20。如果沒有找到憑據(jù)�����,認(rèn)證服務(wù)30就返回(109)認(rèn)證信任級別為0�����。這可能是由憑據(jù)到期導(dǎo)致的。認(rèn)證服務(wù)20檢查當(dāng)前認(rèn)證信任級別是否等于或高于所請求的級別�����,且如果憑據(jù)合適�����,就向終端用戶10提供對所請求的資源的訪問(110)���。針對聯(lián)邦中的不同資源的后續(xù)訪問嘗試將受益于在較早會話中所執(zhí)行的認(rèn)證���。設(shè)想同一終端用戶10嘗試訪問第二服務(wù)器50上的由認(rèn)證系統(tǒng)保護(hù)的另一受保護(hù)資源。終端用戶10將其較早獲得的憑據(jù)提供(111)給認(rèn)證系統(tǒng)50�。認(rèn)證系統(tǒng)50通過認(rèn)證服務(wù)30請求當(dāng)前認(rèn)證信任級別來驗證此憑據(jù)(112)。認(rèn)證服務(wù)30在其緩存中搜索該認(rèn)證憑據(jù)�����,這涉及請求(11 和響應(yīng)(114)�����。如果找到憑據(jù)���,認(rèn)證服務(wù)30就使用設(shè)定的認(rèn)證信任級別降級規(guī)則和其它信息(比如憑據(jù)生成時的時間)來計算指定用戶10的認(rèn)證信任級別�,并將認(rèn)證信任級別返回(11 給認(rèn)證服務(wù)50。如果沒有找到憑據(jù)���,認(rèn)證服務(wù)30就返回 (115)認(rèn)證信任級別為0���。這可能是由憑據(jù)到期而導(dǎo)致的���。認(rèn)證服務(wù)50檢查當(dāng)前認(rèn)證信任級別是否等于或高于所請求的級別��,且如果憑據(jù)合適�,就向終端用戶10提供對所請求的資源的訪問(116)����。在一種替選方案中,包括憑據(jù)的用戶請求(101)由服務(wù)器20處理��,而無需進(jìn)一步與認(rèn)證服務(wù)器30進(jìn)行交互���。這在憑據(jù)為可被本地驗證的形式的情況下是可能的����;這可能包括如果服務(wù)器20與認(rèn)證服務(wù)器30共享加密機(jī)密(cryptographic secret),或者如果認(rèn)證服務(wù)器30使用公用密鑰基礎(chǔ)結(jié)構(gòu)生成憑據(jù)時的情況�。在此方案中,用戶的消息101和105 實際上重合(coincide)���。由消息106����、107����、108a及109表征的交換被服務(wù)器20處的本地處理取代,該本地處理包括使用設(shè)定的認(rèn)證信任級別降級規(guī)則和其它信息(比如憑據(jù)生成時的時間)來估算用戶10的當(dāng)前信任級別���。如果憑據(jù)合適���,服務(wù)器20就向終端用戶10提供對所請求的資源的訪問(110)。用于提供單點登錄服務(wù)的方法的一般實施例包括在認(rèn)證服務(wù)器處接收來自用戶的認(rèn)證請求�;在所述認(rèn)證服務(wù)器處認(rèn)證所述用戶;將至少一個初始信任級別與所述認(rèn)證關(guān)聯(lián)�;接收與所述用戶和應(yīng)用服務(wù)器有關(guān)的生效(validation)請求,其中所述應(yīng)用服務(wù)器實施(enforce)所需的最低信任級別�����;根據(jù)至少一個時間的函數(shù)計算要與所述認(rèn)證關(guān)聯(lián)的更新的信任級別;如果所述更新的信任級別超過所述所需的最低級別��,就授權(quán)(grant)所述用戶訪問所述應(yīng)用服務(wù)器���。 在本發(fā)明的一個實施例中���,該方法進(jìn)一步包括針對所述用戶生成認(rèn)證憑據(jù)。在本發(fā)明的方法的一個特定實施例中�����,所述生效請求包含對所述認(rèn)證憑據(jù)的引用���。用于提供單點登錄服務(wù)的方法的另一一般實施例包括在認(rèn)證服務(wù)器處接收來自用戶的認(rèn)證請求;在所述認(rèn)證服務(wù)器處認(rèn)證所述用戶��;生成針對所述用戶的認(rèn)證憑據(jù)���;將至少一個初始信任級別與所述認(rèn)證憑據(jù)關(guān)聯(lián)����;接收與所述用戶和應(yīng)用服務(wù)器有關(guān)的生效請求�,其中所述生效請求包含對所述認(rèn)證憑據(jù)的引用����,且所述應(yīng)用服務(wù)器實施所需的最低信任級別�����;根據(jù)至少一個時間的函數(shù)計算要與所述認(rèn)證憑據(jù)關(guān)聯(lián)的更新的信任級別��;如果所述更新的信任級別超過所述所需的最低級別���,就授權(quán)所述用戶訪問所述應(yīng)用服務(wù)器�����。在本發(fā)明方法的一個實施例中�,所述時間的函數(shù)是自所述認(rèn)證以來所經(jīng)過的時間的函數(shù)�。在本發(fā)明方法的另一實施例中,所述計算還使用所述初始信任級別��。在本發(fā)明方法的又一實施例中��,所述計算還使用所述所需的最低信任級別��,如果所述所需的最低信任級別未被授權(quán),所述計算就產(chǎn)生表示認(rèn)證失敗的符號值�����。在本發(fā)明方法的另一實施例中��,所述生效請求的所述接收發(fā)生在所述應(yīng)用服務(wù)器處�。在本發(fā)明方法的又一實施例中,所述生效請求的所述接收發(fā)生在所述認(rèn)證服務(wù)器處�。在本發(fā)明方法的一個實施例中,所述計算包括隨時間線性地降低所述更新的信任級別�����。在本發(fā)明方法的另一實施例中���,所述計算包括隨時間指數(shù)地降低所述更新的信任級別�����。在本發(fā)明方法的又一實施例中,所述計算包括根據(jù)時域上的一系列階躍函數(shù)來降低所述更新的信任級別��。在本發(fā)明方法的一個實施例中�����,所述計算包括驗證與所述憑據(jù)初始關(guān)聯(lián)的多個信任級別的到期時間。在本發(fā)明方法的一個實施例中���,所述計算發(fā)生在所述應(yīng)用服務(wù)器處�����。在本發(fā)明方法的另一實施例中����,所述計算發(fā)生在所述認(rèn)證服務(wù)器處��。在本發(fā)明方法的另一實施例中��,所述所需的最低信任級別在不同應(yīng)用服務(wù)器處可以不同�����。通常而言��,在一個應(yīng)用服務(wù)器中適用的信任級別獨立于在另一個應(yīng)用服務(wù)器中適用的信任級別��。用于提供單點登錄服務(wù)的系統(tǒng)301的一般實施例包括第一接收主體302���,用于接收來自用戶的認(rèn)證請求���;認(rèn)證主體303���,用于認(rèn)證所述用戶;發(fā)布主體304�,用于發(fā)布針對所述用戶的認(rèn)證憑據(jù),其中�,至少一個初始信任級別與所述認(rèn)證憑據(jù)關(guān)聯(lián);第二接收主體 305���,用于接收來自應(yīng)用服務(wù)器的��、與所述用戶有關(guān)的生效請求�,所述請求包含對所述認(rèn)證憑據(jù)的引用���,并且所述應(yīng)用服務(wù)器實施所需的最低信任級別���;處理器306,用于根據(jù)至少一個時間的函數(shù)來計算要與所述認(rèn)證憑據(jù)關(guān)聯(lián)的更新的信任級別���;以及發(fā)送主體307��,用于將表示所述計算的信號發(fā)送給所述應(yīng)用服務(wù)器�����。在一個實施例中�,上述部件302至307被實施在SSO認(rèn)證服務(wù)器當(dāng)中���,該SSO認(rèn)證服務(wù)器可被實現(xiàn)為具有軟件或固件以實現(xiàn)這些特定功能的通用計算機(jī)���。第一接收主體通過存儲來自用戶的認(rèn)證請求并將此信息傳送給認(rèn)證主體,來響應(yīng)該認(rèn)證請求��。認(rèn)證主體可以基于在請求中接收到的信息(以及在可能情況下認(rèn)證主體可使用的其它信息或者響應(yīng)于由認(rèn)證主體產(chǎn)生的一個或多個特定請求而從用戶處獲得的其它信息)來確定用戶是否是或是否應(yīng)當(dāng)被認(rèn)為是可信的���。用于認(rèn)證用戶的過程是常規(guī)的��。如果用戶被認(rèn)為可信���,認(rèn)證主體就會在存儲裝置(本地的或全局的)中適當(dāng)錄入(entry)并然后將此信息傳送給發(fā)布主體。發(fā)布主體向用戶表明該批準(zhǔn)并或許向用戶提供此批準(zhǔn)的某些切實指示�。第二接收主體接收來自應(yīng)用服務(wù)器的生效請求。生效請求包括或涉及先前與用戶有關(guān)的認(rèn)證���。第二接收主體將此信息傳送給能夠計算與該認(rèn)證關(guān)聯(lián)的更新的信任級別的處理器����。處理器然后將此更新的信任級別傳送給發(fā)送主體,發(fā)送主體將該信息傳送給適當(dāng)?shù)哪繕?biāo)���,比如做出該生效請求的應(yīng)用服務(wù)器�。在本發(fā)明系統(tǒng)的一個實施例中��,所述時間的函數(shù)是自所述認(rèn)證以來所經(jīng)過的時間的函數(shù)��。在本發(fā)明系統(tǒng)的另一實施例中����,所述計算還使用所述初始信任級別。在本發(fā)明系統(tǒng)的又一實施例中�����,所述計算還使用所述所需的最低信任級別����,且如果所述所需的最低信任級別未被授權(quán),所述計算就產(chǎn)生表示認(rèn)證失敗的符號值��。在本發(fā)明系統(tǒng)的一個實施例中�����,所述計算包括隨時間線性地降低所述更新的信任級別����。在本發(fā)明系統(tǒng)的另一實施例中,所述計算包括隨時間指數(shù)地降低所述更新的信任級別��,在本發(fā)明系統(tǒng)的又一實施例中�,所述計算包括按照時域上的一系列階躍函數(shù)降低所述更新的信任級別。在本發(fā)明系統(tǒng)的一個實施例中�,所述計算包括驗證所述至少一個信任級別中的每一個信任級別的到期時間。用于提供單點登錄服務(wù)的系統(tǒng)的一般實施例包括接收主體����,用于接收來自用戶的認(rèn)證請求;認(rèn)證主體�����,用于認(rèn)證所述用戶�;以及發(fā)布主體,用于發(fā)布針對所述用戶的認(rèn)證憑據(jù)���,其中�,至少一個初始信任級別和至少一個后續(xù)信任級別與所述認(rèn)證憑據(jù)關(guān)聯(lián),所述后續(xù)信任級別的有效期超過所述初始信任級別的有效期�。在本發(fā)明的一個實施例中,系統(tǒng)進(jìn)一步包括第一服務(wù)器和第二服務(wù)器����,每個所述服務(wù)器包括信任主體,每個信任主體建立獨立于另一信任主體的信任級別的最低信任級別��。
用于提供單點登錄服務(wù)的方法的一般實施例包括接收來自用戶的認(rèn)證請求 ’認(rèn)證所述用戶���;以及發(fā)布針對所述用戶的認(rèn)證憑據(jù)��,其中���,至少一個初始信任級別和至少一個后續(xù)信任級別與所述認(rèn)證憑據(jù)關(guān)聯(lián),所述后續(xù)信任級別的有效期超過所述初始信任級別的有效期�。本文描述的方法和系統(tǒng)中的元素可以用特定于應(yīng)用的硬件、現(xiàn)場可編程硬件��、以及具有適當(dāng)軟件的通用處理器等來實現(xiàn)���,這對于本領(lǐng)域技術(shù)人員而言是顯而易見的�。雖然以上描述了本發(fā)明的多種實施例,但是應(yīng)當(dāng)理解的是這些實施例僅作為示例而示出��,而絕非限制��。因此����,本發(fā)明的廣度和范圍不受任何以上描述的示例性實施例的限制�,而應(yīng)該僅按照所附權(quán)利要求及其等同方案來限定。
權(quán)利要求
1.一種用于提供單點登錄服務(wù)的方法�,包括在認(rèn)證服務(wù)器處接收來自用戶的認(rèn)證請求;在所述認(rèn)證服務(wù)器處認(rèn)證所述用戶��;將至少一個初始信任級別與所述認(rèn)證關(guān)聯(lián)��;接收與所述用戶和應(yīng)用服務(wù)器有關(guān)的生效請求����,其中所述應(yīng)用服務(wù)器實施所需的最低信任級別;根據(jù)至少一個時間的函數(shù)計算要與所述認(rèn)證關(guān)聯(lián)的更新的信任級別����;如果所述更新的信任級別超過所述所需的最低級別,就授權(quán)所述用戶訪問所述應(yīng)用服務(wù)器。
2.根據(jù)權(quán)利要求1所述的方法��,還包括針對所述用戶生成認(rèn)證憑據(jù)���。
3.根據(jù)權(quán)利要求2所述的方法�����,其中�,所述生效請求包含對所述認(rèn)證憑據(jù)的引用�。
4.根據(jù)權(quán)利要求1所述的方法,其中��,所述時間的函數(shù)是自所述認(rèn)證以來所經(jīng)過的時間的函數(shù)��。
5.根據(jù)權(quán)利要求1所述的方法���,其中���,所述計算還使用所述初始信任級別。
6.根據(jù)權(quán)利要求1所述的方法����,其中,所述計算還使用所述所需的最低信任級別,并且如果所述所需的最低信任級別未被授權(quán)����,則所述計算產(chǎn)生表示認(rèn)證失敗的符號值。
7.根據(jù)權(quán)利要求1所述的方法���,其中�,所述生效請求的所述接收發(fā)生在所述應(yīng)用服務(wù)器處��。
8.根據(jù)權(quán)利要求1所述的方法���,其中,所述生效請求的所述接收發(fā)生在所述認(rèn)證服務(wù)器處��。
9.根據(jù)權(quán)利要求1所述的方法���,其中�,所述計算包括隨時間線性地降低所述更新的信任級別��。
10.根據(jù)權(quán)利要求1所述的方法��,其中�����,所述計算包括隨時間指數(shù)地降低所述更新的信任級別。
11.根據(jù)權(quán)利要求1所述的方法�����,其中�����,所述計算包括按照時域上的一系列階躍函數(shù)降低所述更新的信任級別�。
12.根據(jù)權(quán)利要求1所述的方法,其中�����,所述計算包括驗證與所述認(rèn)證初始關(guān)聯(lián)的多個信任級別的到期時間����。
13.根據(jù)權(quán)利要求1所述的方法,其中����,所述計算發(fā)生在所述應(yīng)用服務(wù)器處。
14.根據(jù)權(quán)利要求1所述的方法�,其中���,所述計算發(fā)生在所述認(rèn)證服務(wù)器處。
15.根據(jù)權(quán)利要求1所述的方法��,其中����,所述所需的最低信任級別在不同應(yīng)用服務(wù)器處可以不同。
16.一種用于提供單點登錄服務(wù)的系統(tǒng)�,包括第一接收主體,用于接收來自用戶的認(rèn)證請求���;認(rèn)證主體���,用于認(rèn)證所述用戶�;發(fā)布主體,用于發(fā)布針對所述用戶的認(rèn)證憑據(jù)��,其中��,至少一個初始信任級別與所述認(rèn)證憑據(jù)關(guān)聯(lián)��;第二接收主體�,用于接收來自應(yīng)用服務(wù)器的��、與所述用戶有關(guān)的生效請求��,所述請求包含對所述認(rèn)證憑據(jù)的引用����,且所述應(yīng)用服務(wù)器實施所需的最低信任級別�;處理器,用于根據(jù)至少一個時間的函數(shù)計算要與所述認(rèn)證憑據(jù)關(guān)聯(lián)的更新的信任級別���;以及發(fā)送主體�,用于將表示所述計算的信號發(fā)送給所述應(yīng)用服務(wù)器���。
17.根據(jù)權(quán)利要求16所述的系統(tǒng)���,其中,所述時間的函數(shù)是自所述認(rèn)證以來所經(jīng)過的時間的函數(shù)����。
18.根據(jù)權(quán)利要求16所述的系統(tǒng),其中�����,所述計算還使用所述初始信任級別。
19.根據(jù)權(quán)利要求16所述的系統(tǒng)���,其中��,所述計算還使用所述所需的最低信任級別����,并且如果所述所需的最低信任級別未被授權(quán)�,則所述計算產(chǎn)生表示認(rèn)證失敗的符號值。
20.根據(jù)權(quán)利要求16所述的系統(tǒng)����,其中,所述計算包括隨時間線性地降低所述更新的信任級別���。
21.根據(jù)權(quán)利要求16所述的系統(tǒng)�,其中�����,所述計算包括隨時間指數(shù)地降低所述更新的信任級別��。
22.根據(jù)權(quán)利要求16所述的系統(tǒng)�,其中,所述計算包括按照時域上的一系列階躍函數(shù)降低所述更新的信任級別��。
23.根據(jù)權(quán)利要求16所述的系統(tǒng)��,其中�����,所述計算包括驗證所述至少一個信任級別中的每一個信任級別的到期時間�。
24.一種用于提供單點登錄服務(wù)的系統(tǒng),包括接收主體���,用于接收來自用戶的認(rèn)證請求�;認(rèn)證主體�����,用于認(rèn)證所述用戶�;發(fā)布主體,用于發(fā)布針對所述用戶的認(rèn)證憑據(jù)��,其中��,至少一個初始信任級別和至少一個后續(xù)信任級別與所述認(rèn)證憑據(jù)關(guān)聯(lián)�,所述后續(xù)信任級別的有效期超過所述初始信任級別的有效期�����。
25.根據(jù)權(quán)利要求M所述的系統(tǒng)�,還包括第一服務(wù)器和第二服務(wù)器�����,每個所述服務(wù)器包括信任主體��,每個信任主體建立最低信任級別����,其中,所述第一服務(wù)器的信任主體建立的最低信任級別獨立于所述第二服務(wù)器的信任主體建立的最低信任級別�。
26.一種用于提供單點登錄服務(wù)的方法,包括接收來自用戶的認(rèn)證請求�����;認(rèn)證所述用戶����;以及發(fā)布針對所述用戶的認(rèn)證憑據(jù)�,其中���,至少一個初始信任級別和至少一個后續(xù)信任級別與所述認(rèn)證憑據(jù)關(guān)聯(lián),所述后續(xù)信任級別的有效期超過所述初始信任級別的有效期�����。
全文摘要
本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)上的用戶認(rèn)證服務(wù)��、更特別地是在聯(lián)合認(rèn)證或單點登錄的范例范圍內(nèi)的用戶認(rèn)證服務(wù)的領(lǐng)域�����。已知的技術(shù)包括將不同信任級別關(guān)聯(lián)到不同認(rèn)證機(jī)制����,其中,各個信任級別允許訪問不同的信息資源����,以顯著地提供以更強(qiáng)認(rèn)證形式保護(hù)更敏感資源的可能性。本發(fā)明提供一種機(jī)制����,該機(jī)制允許無需用單點登錄系統(tǒng)重新進(jìn)行認(rèn)證地降低信任級別,直至降低到不再足以獲得對期望資源的訪問的級別為止。只在這時�,用戶才需要重新進(jìn)行認(rèn)證。
文檔編號G06F7/04GK102265255SQ200980153099
公開日2011年11月30日 申請日期2009年11月10日 優(yōu)先權(quán)日2008年11月13日
發(fā)明者弗雷德里克·諾埃 申請人:威斯科數(shù)據(jù)安全國際有限公司