身份提供实体授权服务的监管方法以及监管实体 【技术领域】
本发明涉及移动通信技术领域,尤其涉及一种身份提供实体授权服务的监管方法以及监管实体。
背景技术
身份管理(Identity Management,简称为IDM)是指以网络和相关支持技术为基础,对用户身份的生命周期(即使用过程)以及用户身份与网络应用服务之间的关系进行管理。例如,对访问应用或资源的用户进行认证或授权等。身份提供实体(Identity Provider,简称为IDP)是IDM系统中的核心,用户通过IDP授予的身份进行合法的网络服务访问,服务提供商(Service Provider,简称为SP)则利用IDP对用户身份进行认证,以确认用户身份的合法性,从而在用户和SP之间建立信任关系。
由于身份信息涉及到用户的隐私信息,因此,其重要性在高度信息化的社会显得非重要。IDP负责用户身份信息的使用、发布和保存等管理工作,目前,如何保证IDP在用户或监管部门的授权下进行用户身份信息的共享、保证IDP在用户或监管部门的授权下向第三方提供用户身份信息的访问、以及保证IDP提供的服务在其授权的服务范围内,已成为IDP授权服务的重要内容。因此,IDP的授权服务包含两个层面内容,其中,第一层面是指IDP在用户或监管部门的授权下,处理用户身份信息;第二层面是指IDP在监管部门授权下,开展身份服务。
IDP一方面接受用户授权、处理身份信息,另一方面接受监管部门授权、提供身份服务。目前,IDP接受用户授权、处理身份信息主要是由IDP的内部策略决定,例如,有的IDP出于利益考虑,不需要用户的明确授权,就可以直接允许第三方查看用户信息,从而导致用户隐私信息被泄漏。另一方面,若监管部门不能对IDP的授权服务进行有效监管,服务资质较低的IDP就有可能向用户提供较高安全级别的身份服务,从而,导致用户面临较大的安全风险,同样,也会导致用户敏感身份信息泄漏的问题。
【发明内容】
有鉴于此,本发明提供了一种改进的监管IDP授权服务的方案,用以解决现有技术中IDP未经用户授权,公开、共享用户身份信息,以及提供超出其服务资质、范围的身份服务的问题。
根据本发明的一个方面,提供了一种监管实体。
根据本发明的监管实体包括:事件触发模块,用于监测或接收不同类别的网络安全事件的网络安全事件信息;事件处理模块,用于根据安全事件信息向身份提供实体发送监管指令,并根据身份提供实体响应于监管指令返回的授权信息,对身份提供实体进行授权审查。
根据本发明的另一个方面,提供了一种身份提供实体授权服务的监管方法。
根据本发明的身份提供实体授权服务的监管方法包括:监管实体监测或接收到网络安全事件时,根据网络安全事件的信息向身份提供实体发送监管指令,其中,该监管指令用于请求身份提供实体的授权信息;监管实体接收身份提供实体响应于监管指令返回的授权信息,根据授权信息对身份提供实体进行授权审查,并向身份提供实体发送授权审查的审查结果信息。
通过本发明的上述至少一个方案,提供了在线监管措施,可以根据安全需求和用户需求实现对IDP的各项服务进行监管,满足了目前用户对隐私的要求,保证了网络的安全性,防止了用户身份信息的泄露。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
【附图说明】
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为根据本发明实施例的监管实体的结构示意图;
图2为根据本发明优选实施例的监管实体的结构示意图;
图3为根据本发明实施例的监管IDP授权服务的系统地结构示意图;
图4为根据本发明实施例的IDP授权服务的监管方法的流程图;
图5为根据本发明优选实施例的IDP授权服务的监管方法的流程图;
图6为监管实体对IDP实施监管的流程图。
【具体实施方式】
功能概述
不论是在策略设计还是在实际应用,都需要体现对IDP的授权服务的监管,为满足用户及网络安全的需求,本发明实施例提供一种在线监管措施,以保证网络的有序运行。在本发明实施例中,在监测或接收到网络安全事件信息后,根据预先设置的转换策略,将网络安全事件的信息转换成监管策略参数,然后,根据监管策略对监管策略参数进行处理,生成相应的监管指令,并发送给IDP,指示IDP返回其相应的授权信息,在接收到IDP返回的授权信息后,根据该授权信息及监管策略,判断IDP当前的授权是否违规,并向IDP返回相应的审查结果信息。
在本发明实施例中,监管策略为监管实体预先定义的规则,具体地,监管策略可以包括但不限于以下之一或其组合:
(1)当监管实体接收到外部网络安全事件信息(如,投诉、抽查、异常等事件信息)时,根据转换策略将其转换成监管策略参数,监管实体根据预先定义的规则确定应发送的监管指令的类型,并生成相应的监管指令;
(2)规定如何对IDP的授权信息进行加密保护(如两者之间如何发送密钥,何种情况下采取何种加密方法),如何提取IDP授权信息,当监管实体接收到IDP返回的授权信息时,规定如何对授权信息进行验证(如利用数字签名等),根据返回的授权信息结果,规定应对IDP进行何种监管操作等。
在本发明实施例中,上述转换策略是监管实体预先定义的一些规则,具体地,转换策略定义的规则包括但不限于以下之一或其任意组合:
(1)根据这些规则,监管实体可以对接收到的外部输入的网络安全事件信息进行分析,从中提取监管策略能够识别的安全信息数据,这些安全信息数据包括但不仅限于:安全事件类型数据、安全事件重要性等级数据等,以这些安全信息数据作为监管策略的输入参数;
(2)根据抽取的安全事件信息数据,规定如何将信息按照规定的格式进行重新的格式化、标准化,以使得监管策略能够识别这些输入的数据;
(3)根据网络安全事件信息,规定用户使用何种逻辑符号、代数式表示网络安全事件信息,以最大化减少传输的信息量等。
在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
根据本发明实施例,首先提供了一种监管实体,该监管实体用于对IDP的授权服务进行监管。
图1为根据本发明实施例的监管实体的结构示意图,如图1所示,根据本发明实施例的监管实体主要包括:事件触发模块1和事件处理模块3。其中,事件触发模块1,用于监测或接收不同类别的网络安全事件的网络安全事件信息;事件处理模块3与事件触发模块1连接,用于根据所述安全事件信息向IDP发送监管指令,并根据IDP响应于上述监管指令返回的授权信息,对该IDP进行授权审查。
具体地,上述网络事件包括但不限于以下之一或其任意组合:用户投诉、网络异常、周期性的抽查。
其中,周期性的抽查是指监管实体可以周期性的对IDP进行监管,即按预设的周期,周期性的审查IDP的授权是否违规。
具体地,如图2所示,上述事件触发模块可以包括:监测单元11和获取单元13。其中,监测单元11,用于监测或接收外部输入的网络安全事件信息;获取单元13与监测单元11连接,用于获取并输出上述网络安全事件信息的信息参数。
对应地,如图2所示,事件处理模块3可以包括:存储单元31、处理单元33、发送单元35、接收单元37和审查单元39。其中,存储单元31,用于保存预设的监管策略;处理单元33与存储单元31连接,用于根据存储单元31保存的监管策略对事件触发模块1输出的信息参数进行处理,生成上述监管指令;发送单元35与处理单元33连接,用于向IDP发送处理单元33获取的上述监管指令;接收单元37用于接收IDP响应于上述监管指令返回的授权信息;审查单元39与接收单元37和存储单元31连接,用于根据存储单元31保存的监管策略,以及接收单元37接收到的授权信息对IDP进行授权审查。
具体地,发送单元35还用于根据审查单元39的授权审查结果,向IDP发送审查结果信息。具体地,该审查结果信息包括但不限于:告警、指示提升或降低IDP的信用等级的信息、指示提升IDP的服务资质的信息、指示降低或撤销IDP的服务资质的信息。
在具体实施过程中,事件触发模块1在接收到外部输入的不同类别的网络安全事件的信息时,根据预设的转换策略,提取该网络安全事件的信息参数,然后将该信息参数发送给事件处理模块3,事件处理模块3根据其存储单元31保存的监管策略,根据上述信息参数生成并发送监管指令至IDP,IDP接收该监管指令后,根据该监管指令中携带的参数,从其保存的授权信息中获取与该参数对应的授权信息,并向监管实体返回该授权信息,监管实体在接收到该授权信息后,对IDP的授权服务进行审查,并将审查的结果信息发送给IDP。
根据本发明实施例提供的上述监管实体,可以对IDP提供在线的监管。
在具体应用中,本发明实施例提供的上述监管实体可以与IDP组成如图3所示的监管IDP授权服务的系统,如图3所示,该系统包括监管实体2和IDP 4。其中,监管实体2包括:事件触发层22(相应于上述图1或图2中的事件触发模块1)和事件处理层24(相应于上述图1或图2中的事件处理模块3);IDP 4也包含一个事件处理层42。
该系统的工作原理为:监管实体2的事件触发层22接收到外部输入网络安全事件信息后,事件触发层22将接入到的网络安全事件信息转换为网络安全事件策略参数,输入到事件处理层24,事件处理层24根据接收到的网络安全事件策略参数、预设的监管策略生成相应的监管指令。并将监管指令发送到IDP 4,IDP的事件处理层42接收该监管指令,根据监管策略提取、转换信息,并根据监管指令将监管实体请求的授权信息转换为策略要求的指令(参数)。事件处理层42将策略参数传给监管实体2的事件处理层24,监管实体2的事件处理层24根据该策略参数对IDP 4进行审查,并将审查结果返回给IDP 4。
进一步,若按功能分,上述系统中监管实体2可以包括:事件触发模块(ME-ETFE)21、事件处理接口(ME-EMI)23和监管策略库(ME-DMP)25,而IDP 4的事件处理层42可以包括:事件处理接口(IDP-EMI)421、授权信息库(IDP-DAI)423。
其中,事件触发模块21用于监测或/和接收输入类接口的网络安全事件信息,根据存储的转换策略将网络安全事件信息转换成监管策略参数,并通过事件触发模块21的信息输出类接口输出处理后的信息。其中,事件触发模块21的输入接口至少有3类,分别是抽查事件信息输入类接口、投诉事件信息输入类接口、以及异常事件信息输入类接口。每一类接口都可以根据实际应用情况,包含1个或多个物理或逻辑接口。各类事件信息可以是事件参数、事件请求、事件策略、涉及事件的指令中的一种或多种的组合。
事件处理接口23用于接收事件触发模块21处理后的事件信息,根据监管策略库25对接收到的参数进行处理,并生成相应的监管指令,通过事件处理接口23的信息输出类接口与IDP 4进行监管协商。
事件处理接口421用于接收事件处理接口23输出的监管指令,根据监管策略,查询授权信息库423向监管实体2返回其请求的授权信息。
监管策略库25用于存储监管实体2的监管策略。
授权信息库423用于存储第三方访问用户信息的授权信息,第三方共享用户信息的授权信息,IDP服务资质授权信息,以及其它授权信息。
根据本发明实施例,还提供了一种IDP授权服务的监管方法,该方法可以使用图1、图2或图3中的任一装置实施。
图4为根据本发明实施例的IDP授权服务的监管方法的流程图,如图4所示,根据本发明实施例的IDP授权服务的监管方法包括以下步骤(步骤S401-步骤S403):
步骤S401:监管实体监测或接收到网络安全事件时,根据网络安全事件的信息向IDP发送监管指令,其中,该监管指令用于请求IDP的授权信息;
步骤S403:监管实体接收IDP响应于上述监管指令返回的授权信息,根据授权信息对IDP进行授权审查,并向IDP发送授权审查的审查结果信息。
以下进一步描述上述各处理细节。
(一)步骤S401
具体地,上述网络安全事件包括但不限于:用户投诉、网络异常、周期性的抽查。
在监管实体监测或接收到外部输入的上述网络安全事件的信息后,根据存储的转换策略,将网络安全事件的信息转换成监管策略参数,然后根据监管策略对监管策略参数进行处理,生成相应的监管指令,并发送给IDP。
(二)步骤S403
在具体实施过程中,对于上述的不同类别的安全事件,向IDP发送的上述监管指令中携带的参数可以不相同,并且,向IDP发送的监管指令必须是IDP认同的指令,否则,IDP会拒绝通信。在发送的监管指令为IDP认同的指令的情况下,该监管指令中携带的参数可以有以下三种情况:
(1)监管指令包括的参数为:指示IDP提供与第三方共享用户身份信息的授权信息的参数,则进行如下步骤:
第一步:向IDP发送IDP提供与第三方共享用户身份信息的授权参数握手指令;
第二步:IDP接收到上述授权参数握手指令后,根据监管策略返回请求的授权信息;
第三步:接收到上述授权信息后,按照监管策略判断IDP提供与第三方共享用户身份信息的授权是否违规,根据监管策略向IDP发送审查结果信息。
如果判断IDP违规,则可以向IDP发送告警信息,严重的情况,可以向IDP发送指示降低该IDP信用等级的信息;如果判断IDP没有违规,则可以向IDP发送指示提升该IDP信用等级的信息。
(2)监管指令包括的参数为:指示IDP提供向第三方提供用户身份信息访问的授权参数的参数,则进行如下步骤:
第一步:向IDP发送IDP提供与第三方共享用户身份信息的授权参数握手指令;
第二步:IDP接收到授权参数握手指令后,根据监管策略返回请求的授权信息;
第三步:接收到该授权信息后,按照监管策略判断IDP向第三方提供用户身份信息访问的授权是否违规,根据监管策略向IDP发送审查结果信息。
如果判断IDP违规,则可以向IDP发送告警信息,严重的情况,可以向IDP发送指示降低该IDP信用等级的信息;如果判断IDP没有违规,则可以向IDP发送指示提升该IDP信用等级的信息。
(3)监管指令包括的参数为:指示IDP提供其本身服务资质的授权信息的参数,则进行如下步骤:
第一步:向IDP发送IDP提供其本身服务资质的授权参数握手指令;
第二步:IDP接收到授权参数握手指令后,根据监管策略返回请求的授权信息;
第三步:接收返回的上述授权信息,按照监管策略判断IDP提供的服务是否属于其本身服务资质授权之内,根据是监管策略向IDP发送审查结果信息。
如果判断IDP违规,则可以向IDP发送告警信息,严重的情况,可以向IDP发送指示降低或撤销IDP的服务资质的信息;如果判断IDP没有违规,则可以向IDP发送指示提升该IDP的服务资质的信息。
为了进一步理解本发明实施例提供的技术方案,下面接合图4对本发明实施例中对IDP授权服务的监管方法进行说明。
图5为根据本发明优选实施例的IDP授权服务的监管方法的流程图,如图5所示,本发明实施例中对IDP授权服务的监管方法主要包括以下步骤:
步骤S501,ME-ETFE监测、接收到网络安全事件信息,对该信息进行标准化处理,并根据存储的转换策略,将网络安全事件信息转换成监管策略参数。
步骤S502,ME-ETFE向ME-EMI发送通告,该通告中携带有转换后的监管策略参数和其他信息。
步骤S503,ME-EMI根据ME-DMP存储的监管策略对接收到参数信息进行处理,生成相应的监管指令。
步骤S504,ME-EMI向IDP-EMI发送指令,其中,该指令中携带有策略化的监管参数和其他监管信息。
步骤S505,IDP-EMI按照监管策略以及监管指令,向IDP-DAI查询ME-EMI请求的授权信息。
步骤S506,IDP-EMI向ME-EMI发送请求的授权反馈,该授权反馈中携带有ME-EMI请求的授权信息。
步骤S507,ME-EMIE按照审查策略、监管策略对接收到的授权信息进行审查、核实。
步骤S508,ME-EMI向IDP-EMI发送审查结果,该审查结果中携带有授权的真伪和其他信息。其中,其他信息可能包括以下之一或其任意组合:警告IDP改进服务质量的信息、指示提升或降低IDP的信用等级的信息,指示提升、降低或撤销IDP的服务资质的信息。
图6为监管实体对IDP实施监管的流程图。如图6所示,当监管实体监测到网络安全事件信息后,发起对IDP的监管。具体主要包括以下步骤:
步骤S601:监管实体根据监管策略向IDP发送消息,请求IDP提供相关授权信息;
步骤S603:IDP判断请求信息是否合法,不合法则拒绝通信,如果合法,IDP向监管实体提供相关网络行为的授权;
步骤S605:监管实体对授权进行验证,向IDP反馈意见。
在具体实施过程中,监管实体可以对IDP的以下三个方面进行监管:共享用户身份信息授权的监管、访问用户身份信息授权的监管和IDP服务资质授权的监管,针对不同的监管内容,监管实体对IDP的监管流程如下所示:
(1)监管内容为IDP提供与第三方共享用户身份信息的授权监管,则监管实体对IDP的监管流程主要包括:
步骤1:监管实体向IDP发送请求消息,请求IDP提供与第三方共享用户身份信息的授权信息;
步骤2:IDP将监管实体请求的授权信息发送给监管实体;
步骤3:监管实体对IDP提供与第三方共享用户身份信息的授权信息进行验证,根据验证结果,以及监管策略,向IDP发送反馈意见。
(2)监管内容为IDP提供向第三方提供用户身份信息访问的授权监管,则监管实体对IDP的监管流程主要包括:
步骤1:监管实体请求IDP提供向第三方提供用户身份信息访问的授权;
步骤2:IDP将授权信息发送给监管实体;
步骤3:监管实体对IDP的授权信息进行验证,根据验证结果,以及监管策略,向IDP发送反馈意见。
(3)监管内容为IDP提供的服务是否属于其本身服务资质授权范围内的监管,则监管实体对IDP的监管流程主要包括:
步骤1:监管实体请求IDP提供其本身服务资质的授权;
步骤2:IDP将授权信息发送给监管实体。
步骤3:监管实体根据IDP提供的服务以及IDP的服务资质授权信息对IDP的服务情况进行验证,根据验证结果,以及监管策略,向IDP发送反馈意见。
如上所述,借助本发明实施例提供的技术方案,可以架构一个处理监管IDP授权服务的体系,使得共享用户信息等的授权得到规范化,防止授权的滥用,使得IDP监管系统的部署更为容易,监管更为规范,从而可以较大幅度地提高IDP的服务质量,提高用户身份信息的安全性以及网络安全性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。