认证协作系统以及ID提供商装置

摘要

根据实施方式，所述ID提供商装置的策略存储单元针对每个所述服务提供商ID存储表示允许发送服务数据的用户的所属以及职务的多个策略信息。所述ID提供商装置在所述登录处理成功时，发出包含用于该登录处理的用户ID和所述认证协作请求内的服务提供商ID的策略评价请求。所述ID提供商装置根据策略评价请求从所述策略存储单元读出策略信息。所述ID提供商装置的发送允许判定单元根据用户属性信息内的所属以及职务是否适合于策略信息所示的所属以及职务，来对是否允许发送所述服务数据进行判定。

主权项

一种认证协作系统，特征在于，具有：ID提供商装置，其具有第1存储器并能够对用户操作的用户终端执行登录处理；多个服务提供商装置，其具有第2存储器并能够在所述登录处理成功了的情况下将服务数据发送到所述用户终端，所述ID提供商装置具有：用户属性信息存储单元，其存储多个将用于确定所述用户的用户属性的项目名与所述用户属性的项目值关联起来的用户属性信息，所述用户属性信息在所述项目名中至少包含用于识别所述用户的用户ID；服务利用状况存储单元，其将所述用户ID、用于识别所述各服务提供商装置的服务提供商ID、以及表示服务利用中或服务未利用两者中的某一个的服务利用状况关联起来进行存储，该服务利用中表示允许发送所述服务数据的情况，该服务未利用表示没有允许发送所述服务数据的情况；策略存储单元，其针对每个所述服务提供商ID存储多个策略信息，该策略信息表示允许用该服务提供商ID来识别的服务提供商装置发送服务数据的对象用户；部分项目名存储单元，其将所述服务提供商ID、与所述用户属性信息内的用户属性的项目名中的部分项目名关联起来进行存储；密钥存储单元，其对本装置的签名生成密钥进行存储；当接收从某一所述服务提供商装置发送的认证协作请求时，发出用户认证请求的单元，其中，所述认证协作请求包含该服务提供商装置的服务提供商ID和所述用户终端的地址信息，所述用户认证请求包含该认证协作请求内的用户终端的地址信息；根据所述发出的用户认证请求内的用户终端的地址信息将登录请求发送到该用户终端，并根据所述用户属性信息存储单元内的用户ID以及参照信息来执行对从该用户终端所接受的用户ID以及用户认证信息进行认证的登录处理的单元；当所述登录处理成功时发出策略评价请求的单元，该策略评价请求包含用 于该登录处理的用户ID和所述认证协作请求内的服务提供商ID；根据所述发出的策略评价请求内的用户ID，从所述用户属性存储单元读出用户属性信息的单元；根据所述发出的策略评价请求内的服务提供商ID，从所述策略存储单元读出策略信息的单元；发送允许判定单元，其针对所述读出的策略信息，根据是否适合于所述读出的用户属性信息、用户想利用的服务种类、对用户想进行的服务的操作、当执行服务时用户的环境条件，来判定是否允许发送所述服务数据；将包含该判定结果的策略评价响应发到所述策略评价请求的发送源的单元；当所述策略评价响应内的判定结果表示允许时发出账户协作请求的单元，该账户协作请求包含所述策略评价请求内的用户ID和服务提供商ID；根据所述发出的账户协作请求内的服务提供商ID，从所述部分项目名存储单元读出用户属性的部分项目名的单元；根据该读出的部分项目名和所述账户协作请求内的用户ID，获得在所述用户属性存储单元内包含与该用户ID一致的用户ID的用户属性信息中的用户属性部分信息的单元，其中，该用户属性部分信息由与该部分项目名一致的项目名以及与该项目名关联起来的项目值构成；将账户登录指示附加到所述获得的用户属性部分信息中来制作账户协作请求消息的单元；将所述账户协作请求消息发送到所述认证协作请求的发送源服务提供商装置的单元；当从所述账户协作请求消息的发送目的地服务提供商装置通知包含该服务提供商装置的服务提供商ID和所述用户属性部分信息内的用户ID的登录完成时，发出表示该登录完成的账户协作响应的单元；根据在所述发出的账户协作响应内的登录完成中包含的服务提供商ID以及用户ID，将所述服务利用状况存储单元内的服务利用状况从服务未利用更新为服务利用中的单元；发出认证协作执行请求的单元，该认证协作执行请求包含在所述发出的账 户协作响应内的登录完成中包含的服务提供商ID以及用户ID；在接受所述认证协作执行请求时，发行在用该认证协作执行请求内的服务提供商ID来识别的服务提供商装置与本装置之间共享的认证协作ID，并将该认证协作ID与该认证协作执行请求内的用户ID关联起来写入所述第1存储器的单元；针对包含所述发行了的认证协作ID和所述登录处理的认证方式名的声明正文，生成基于所述签名生成密钥的数字签名，并制作包含该声明正文和该数字签名的认证声明的单元；以及将包含所述制作出的认证声明的认证协作响应，发送到所述认证协作请求的发送源服务提供商装置的单元，所述各服务提供商装置具有：用户属性部分信息存储单元，其将用户属性部分信息与在本装置内用于识别用户的SP侧用户ID关联起来进行存储，其中，所述用户属性部分信息是将所述用户属性信息存储单元内的用户属性信息内的用户属性的项目名以及项目值中的部分项目名与项目值关联起来的信息；存储认证声明验证策略的验证策略存储单元，该认证声明验证策略包含在所述登录处理成功时允许发送服务数据的登录处理的认证方式名、以及与所述签名生成密钥对应的签名验证密钥；存储所述服务数据的服务数据存储单元；在从所述用户终端接受服务请求时，对该服务请求是否包含认证令牌进行判定，在包含所述认证令牌时将该认证令牌和所述服务数据存储单元内的服务数据发送到该用户终端，在不包含所述认证令牌时将包含本装置的服务提供商ID和该用户终端的地址信息的认证协作请求发送到所述ID提供商装置的单元；在接收所述账户协作请求消息时，发行新的所述SP侧用户ID，并将该发行的SP侧用户ID与该账户协作请求消息内的用户属性部分信息关联起来登录到所述用户属性部分信息存储单元的单元；在该登录后，将包含所登录的用户属性部分信息内的用户ID和本装置的服务提供商ID的登录完成，通知给所述账户协作请求消息的发送源ID提供商 装置的单元；在从所述ID提供商装置接受认证协作响应时，从该认证协作响应内的认证声明提取认证协作ID，并将该提取出的认证协作ID与所述登录的用户属性部分信息内的用户ID关联起来写入所述第2存储器的单元；验证单元，其根据所述认证声明验证策略内的认证方式名和签名验证密钥，分别对所述认证声明内的认证方式名和数字签名进行验证；当所述验证的结果均合法时，发行认证令牌，并将该认证令牌与所述认证协作ID关联起来写入所述第2存储器的单元；发出服务执行请求的单元，该服务执行请求包含所述写入的认证令牌、和经所述认证协作ID在所述第2存储器内与该认证令牌关联起来的用户ID；以及根据所述发出的服务执行请求，将该服务执行请求内的认证令牌和所述服务数据存储单元内的服务数据发送到所述用户终端的单元。