[发明专利]网络服务中的票据认证方法、系统及实体

说明书

技术领域

本发明涉及网络服务领域，尤其涉及采用自由联盟提供网络服务时，对于 网络服务的用户登录票据进行认证的方法，以及在网络服务过程中采用方法的 票据认证系统。

背景技术

单点登录(SSO，Single Sign-on)是一种方便用户访问多个服务提供者(SP， Service Provider)的技术，用户只需通过用户名和密码登录一次SP，就可以 在多个缔结成信任联盟的SP间自由穿梭，不必每访问一个SP就输入一次用户 名和密码。

采用单点登录的情况下，用户登录SP的消息交换和处理过程包括：首先由 用户通过用户代理向SP发送登录请求，SP获得合适的身份提供者(IdP，Identity  Provider)地址，并将该IdP地址返回给用户代理；然后由用户通过用户代理 向IdP地址对应的IdP发送访问请求，IdP处理接收到的访问请求，并对没有被 认证的用户进行认证，以生成一个生存期短暂的SAML(Security Assertion  Markup Language，安全性断言标记语言)认证断言缓存在IdP中，并将SAML artifact(辅件)的URI返回给用户代理；用户代理将SAML artifact出示给 SP，以请求SP通过认证并允许用户接入。为了确认本次用户访问的权限，SP若 需要允许用户接入，则需要将获取到的SAML artifact向IdP进行确认，并根 据IdP返回的响应允许或者拒绝用户最初的访问其资源的请求。

在某些情况下，如果对于用户在一次单点登录后，需要访问其他的SP，或 者访问同一SP中需要不同权限的资源时，SP在通过IdP对获取到的SAML artifact进行确认还需要通过其他的服务器进行确认，如图1所示，SP需要获 取用户身份属性，其认证过程包括如下步骤：

1、SP作为网络服务请求者(WSR，Web Service Requester)向IdP发起一 个认证请求，请求对用户的SAML artifact进行认证。

2、IdP对用户的SAML artifact认证通过后，生成一个SAML断言，并向所 述SP返回该SAML断言，同时返回用户的ID-WSF发现服务的资源参考(resource  offering)，SP可以利用该资源参考访问到ID-WSF发现服务。

3、由于上述的SAML断言是对应上述资源参考的，所以，SP将IdP提供的 资源参考和SAML断言绑定，并请求对应的ID-WSF发现服务提供AP的资源参考。

4、ID-WSF发现服务对SP提供的SAML断言进行认证，认证通过后，生成一 个响应消息，内容包含AP的资源参考和一个新的SAML断言。

5、ID-WSF发现服务把这个响应消息发给SP。

6、SP使用ID-WSF发现服务提供的资源参考和SAML断言，通过AP的认证， 并向AP请求所需的属性信息。

7、AP对SP进行认证，生成一个含有SP所需属性的响应消息。

8、AP把响应消息发给SP。

在实现上述认证的过程中，发明人发现现有技术中至少存在如下问题：IdP 和ID-WSF发现服务等网络服务提供者(WSP，Web Service Provider)都需要 单独生成一个SAML断言，以供进行下一步访问的设备对所生成的断言进行认证。

上述的SAML断言就是一个需要认证的票据，为了能够完成上述功能，需要 IdP和以及ID-WSF发现服务同时具有票据生成和维护功能，导致IdP和ID-WSF 发现服务逻辑功能较为复杂，并且对于票据不能进行集中管理维护。

发明内容

本发明的实施例提供一种网络服务中的票据认证方法、系统及实体，能够 对票据进行集中管理。

为达到上述目的，本发明的实施例采用如下技术方案：

一种网络服务中的票据认证方法，包括：

接收到网络服务请求者提供的票据；

将所述票据发送到票据认证实体进行认证；

接收到票据认证实体返回的认证结果；

将所述认证结果发送给网络服务请求者；

在票据认证实体对所述的票据认证通过后生成资源，所述生成的资源包括： 请求访问网络服务请求者的用户的属性；

将该资源发送给网络服务请求者。

一种网络服务中的票据认证方法，包括：