在基于身份标识的情况下增强当事人引用的方法

摘要

在此描述了一种当事人引用方法，该方法通过引入与被邀请的当事人B相关的一对用户标识符来使发出邀请的当事人A能够具有对它们的共享资源的访问控制，其中该对用户标识符是在邀请进程期间被创建和传送的。每个标识符在两方之间共享。第一标识符在两个当事人、即被邀请的和发出邀请的当事人的发现服务(DS－A和DS－B)之间共享。第二标识符也标识被邀请的当事人B，但是在发出邀请的当事人的web服务提供方(WSP－A)和DS－A之间共享。因此，DS－A是分离两个标识符面的标识符交换点。这两个标识符的目的是通过允许任何一个标识符在多于两方之间共享来使被邀请的当事人B能够在发现和访问进程期间被引用/识别，而不泄露他/她的隐私。这是重要的，因为如果标识符在多于两方之间共享，则自由联盟计划的隐私保护要求将不被满足。

说明书

要求在先提交的申请的权益

本申请要求在2005年6月23日提交的序列号为60/693,396并且题目为“METHODS TO ENHANCE PRINCIPAL REFERENCING PROPOSALS ININDENTITY-BASED SCENARIOS”的美国临时申请的权益，该申请在此被结合作为参考。

技术领域

本发明涉及一种用于通过使发出邀请的当事人能够控制被邀请的当事人对它们的资源/资源提供的访问来增强当事人引用(Principal Referencing)方案的方法。

背景技术

提供以下缩写/定义来帮助描述现有技术和本发明。

AP        属性提供方。为了当前讨论的目的，该术语相当

          于Web服务提供方。

AR        属性请求方。为了当前讨论的目的，该术语相当

          于Web服务用户。

属性      为了当前讨论的目的，该术语相当于资源。

信任圈    具有基于LAP规范和操作协定的业务关系的服务

          提供方和身份标识提供方的联合，且用户可以与

          该服务提供方和身份标识提供方在安全和显然无

          缝的环境中处理业务。

CoT       信任圈

DS        发现服务。允许请求方发现对特定当事人的资源

          提供的身份标识服务。

DSRO      DS资源提供。DS资源提供是使服务提供方(属

          性请求方)从DS获得给定当事人的资源提供的数

          据集。

DST                    数据服务模板。当定位并访问资源时，由LAP定

                       于的基于XML的协议定义各方(WSP、WSC和

                       DS)交互的方式。

联合                   在两个实体之间建立关系的动作。关于这一点，

                       联合是针对给定当事人在服务提供方和身份标识

                       提供方之间建立关系的动作。

HTTP                   超文本传输协议。

ID-FF                  身份标识联合框架。

ID-SIS                 身份标识服务接口规范。

ID-WSF                 身份标识Web服务框架。

身份标识提供方         向信任圈中的其它服务提供方提供当事人鉴权的

                       身份标识服务。

基于身份标识的Web服务  作用于某一资源以便检索关于当事人的信息、更

                       新关于当事人的信息、或者为了当事人的权益而

                       执行某一动作的Web服务的抽象概念。为了简单

                       起见，该术语有时被缩写为身份标识服务。

IdP                    身份标识提供方。

发出邀请的当事人       启动邀请机制以便在他们自身和某一其它当事人

                       或组之间允许某一在线交互的当事人。

被邀请的当事人         被另一个当事人邀请参加某一在线交互的当事

                       人。

邀请                   一种电子机制，通过该电子机制可以获得必要的

                       同意以及建立所要求的联合以便允许当事人之间

                       的在线交互。总之，它是允许WSC随后访问给定

                       当事人的资源的进程，该WSC代表已经被发出邀

                       请的当事人邀请的当事人而动作。

LAP                    自由联盟计划

名称标识符             在服务提供方和当事人的身份标识提供方之间共

                       享的当事人的标识符。一旦联合进程已经发生，

                       双方就共享这样的标识符。

PIKS                    “我知道的人”服务(People I Know Service)

PIKSP                   “我知道的人”服务提供方。为当事人维持先前

                        已经被邀请参加在线交互的其它当事人的列表并

                        使被授权的请求方可以使用该信息的自由

                        ID-WSF身份标识服务。

当事人                  一种实体，它的身份标识可以被鉴权(从更宽泛

                        的角度来讲，即用户)。

当事人引用              是一种机制，通过该机制，在发出邀请的用户的

社会网络中，            不同的应用可以与被邀请的用户共

                        享信息(在线资源)，同时这种信息以及信息被释

                        放的条件在发出邀请的用户的控制下(通过使用

                        自由ID-WSF)。

ResOFF                  资源提供

资源                    与某一当事人或当事人组或代表某一当事人或当

                        事人组起作用的服务相关的数据。不同资源的例

                        子是Alice的位置、Alice的雅虎即时消息传送服

                        务、或者Bob的雅虎即时消息传送服务。

资源提供                允许服务提供方(属性请求方)定位AP并与AP

                        交互的数据集。它表示资源与服务之间的关联，

                        并包括资源ID、服务类型、提供方ID、协议端点

                        和服务的描述。

SAML                    安全性断言标记语言

安全令牌                安全令牌表示关于对应于用户/实体的质量的陈述

                        集合，该集合可以被用于安全目的。

服务提供方              由系统实体扮演的角色。从当事人的角度来看，

                        服务提供方典型地是提供服务和/或物品的网站。

SharedId                在双方之间共享的当事人的标识符。

SharedId(B)(DS-A-DS-B)  在自身的发现服务和另一当事人(典型地已邀请

                        他或她的当事人)的发现服务之间共享的当事人B

                        的标识符。

SharedId(B)(DS-A-WSP-A)  在自身的发现服务和已经被另一个当事人邀请的

                         WSP之间共享的当事人B的标识符。这个标识符

                         通常与WSP-A和当事人B的身份标识提供方之间

                         共享的名称标识符相同，因此该标识符可以被再

                         使用，而不是创建新的标识符。

单点登录                 终端用户执行一次鉴权并且因此被允许访问不同

                         的资源和服务的能力。

SOAP                     简单对象访问协议。

SSO                      单点登录。

URL                      统一资源定位符。

WSC                      Web服务用户。当请求web服务时由系统实体扮

                         演的角色。为了当前讨论的目的，该术语相当于

                         属性请求方。

WSP                      Web服务提供方。当提供web服务时由系统实体

                         扮演的角色。为了当前讨论的目的，该术语相当

                         于属性提供方。

自由联盟计划(LAP)是一种表示已经被创建以解决与身份标识和基于身份标识的web服务相关的各种技术、商业和政策挑战的世界范围的组织的联盟。为此，LAP已经发展了一组与身份标识和基于身份标识的web服务相关的开放式技术规范。与当前讨论相关的特殊的规范被非正式地称为当事人引用规范(并且被正式地称为“我知道的人”服务(PIKS)规范)。

当事人引用规范使第一用户(发出邀请的当事人)能够指定一组朋友(被邀请的当事人)并且然后邀请和让那些朋友访问它们的资源/属性中的一个或多个。例如，当事人引用规范能够允许以下情况：如果你恰好就在附近，某一朋友(被邀请的当事人)想要与你(发出邀请的当事人)吃午餐。为了查明，该朋友需要访问由你的移动运营商提供的你的位置信息。除此之外，这个朋友还可能对查明有关你中意的饭店的你的偏好感兴趣(访问你的午餐/晚餐简档)。并且，也许该朋友在尝试联系你之前想要查看你是否恰好有空吃午餐(访问你的在线日历)。在这种情况下，你的朋友想要访问的共享资源包括你的位置信息、你的午餐/晚餐简档信息和你的日历信息。该朋友所使用的设备的类型可以是移动电话、个人计算机或任意其它类型的设备，只要该设备是能够作为Web服务用户(WSC)工作的允许web服务的设备，或者是包括浏览器的允许HTTP的设备。

首先由LAP在2004年9月17日的版本1.0的标题为“Principal Referencing(Marketing Requirements Document)”的文献中讨论了当事人引用。这篇文献的内容在此被结合作为参考。这篇文献考虑了属性共享的两种不同情况：

1、共享资源能够通过web浏览器来访问(由服务提供方主控(host)的属性)。

2、共享资源能够通过基于Web服务的接口来访问(由Web服务提供方-WSP主控的属性)。在该讨论中反映出来的例子主要集中于这种使用情况，但是这不意味着本发明的适用性被限制为这种情况。相反，本发明可以被应用于前一用途，其中共享资源能够通过浏览器来访问。

根据这种当事人引用规范，希望访问属于另一个当事人的资源的当事人被称为被邀请的当事人(这里使用术语“被邀请”，因为她/他在被允许访问那个当事人的资源之前必须被另一个当事人邀请)。并且，资源被代表被邀请的当事人的WSC访问的当事人被称为发出邀请的当事人(该用户已经邀请了当事人，代表该当事人执行对资源的访问；即，被邀请的当事人)。这里被邀请的当事人常常被称为当事人B(加上这里还使用术语DS-B和WSC-B等)。而且，这里发出邀请的当事人常常被称为当事人A(加上这里还使用术语DS-A和WSP-A等)。图1(现有技术)是示出WSP-B从代表被邀请的当事人B的WSP-A(其不具有访问控制)访问发出邀请的当事人A的资源的图示。

不幸地，这种当事人引用规范具有一些问题，所有的这些问题在下文中针对图2A-2C(现有技术)中所示的信号序列图详细地来描述。该信号序列图示出如何邀请当事人以及接着被邀请的当事人如何访问发出邀请的当事人的属性/资源。步骤如下：

1、发出邀请的当事人A尝试访问WSP-A。

2、WSP-A通过发出邀请的当事人A向IDP-A发送关于发出邀请的当事人A的鉴权请求。

3、IDP-A通过发出邀请的当事人A向WSP-A发送对发出邀请的当事人A的鉴权响应(具有nameID和DSRO-A)。

4、WSP-A向DS-A发送GET PIKSP-ARes Off(包括DSRO-A)消息，以获得发出邀请的当事人A的PIKSP的资源提供。

5、DS-A向WSP-A发送PIKSP-ARes Off消息，包括发出邀请的当事人A的PIKSP的资源提供。注意：步骤4和5与PIKSP-A的发现相关。

6、WSP-A向PIKSP-A发送查询消息，以获得发出邀请的当事人A的朋友(先前被发出邀请的当事人A邀请的当事人)的列表。

7、PIKSP-A向WSP-A发送包含这种列表的查询响应消息。

8、WSP-A显示发出邀请的当事人的朋友组的当前成员。注意：被邀请的当事人B不是该朋友组的当前成员(参见框1.0)。

9、发出邀请的当事人A指示WSP-A分配许可给新邀请的当事人B。

10、WSP-A向PIKSP-A发送修改消息(与邀请被邀请的当事人B相关，通过用户友好文本串来标识)。

11、PIKSP-A向WSP-A发送包括邀请URL InvURL1和临时用户标识符tempID-B的修改响应消息(与邀请被邀请的当事人B相关)。注意：(1)InvURL1包括用于使PIKSP-A关联与被邀请的当事人B有关的其它请求的装置；(2)InvURL1属于PIKSP-A web域；以及(3)WSP-A使用tempID-B来分配权限给被邀请的当事人B并存储InvURL1(参见框1.1)。

12、WSP-A向被邀请的当事人B传送邀请消息(包括邀请URL InvURL2)。时间流逝(参见框1.2)。注意：(1)InvURL2属于WSP-Aweb域。

13、被邀请的当事人B向WSP-A发送InvURL2。

14、WSP-A通过被邀请的当事人B向PIKSP-A发送REDIREDT InvURL1消息(包括返回URL backURL)。注意：(1)backURL属于WSP-Aweb域，且允许PIKSP-A向WSP-A发回被邀请的当事人B。

15、PIKSP-A通过被邀请的当事人B向IDP-B发送关于被邀请的当事人-B的鉴权请求(包括临时用户标识符tempID-B)。注意：(1)tempID-B是在步骤11中所提出的且与InvURL2相关的临时用户标识符，使得PIKSP-A能够使被邀请的当事人B和正确的邀请进程相关联。

16、IDP-B通过被邀请的当事人B向PIKSP-A发送被邀请的当事人B的鉴权响应(包括tempID-B、nameID和DSRO-B)。注意：步骤15和16涉及在PIKSP-A处被邀请的当事人B的身份标识的联合(参见框1.3)。

17、PIKSP-A向DS-B发送发现更新消息(包括DSRO-A)。注意：PIKSP-A在DS-B处记录DSRO-A(因此DS-B知道哪个用户邀请了DS-B的用户)(参见框1.4)。

18、DS-B向PIKSP-A发送OK消息。

19、PIKSP-A通过被邀请的当事人B向WSP-A发送REDIRECT backURL消息。注意：这开始在WSP-A中B的身份标识的联合。

20、WSP-A通过被邀请的当事人B向IDP-B发送关于被邀请的当事人B的鉴权请求。注意：IDP-B知道tempID-B是在步骤11中所提出的临时用户标识符，且与WSP-A相关(参见框1.5)。

21、IDP-B通过被邀请的当事人B向WSP-A发送被邀请的当事人B的鉴权响应(包括nameID、tempID-B和DSRO-B)。注意：(1)步骤20和21涉及在WSP-A处被邀请的当事人B的身份标识的联合(参见框1.6)；以及(2)WSP-A将权限传输给具有nameID的用户并删除tempID-B(参见框1.7)。

22、被邀请的当事人B尝试访问WSC-B。注意：这个步骤开始发现和共享发出邀请的当事人A的属性的进程。

23、WSC-B通过被邀请的当事人B向IDP-B发送关于被邀请的当事人B的鉴权请求。

24、IDP-B通过被邀请的当事人B向WSC-B发送被邀请的当事人B的鉴权响应(包括nameID和DSRO-B)。注意：这完成到WSC-B的SSO(参见框1.8)。

25、WSC-B欢迎邀请当事人B到WSC-B。

26、被邀请的当事人B向WSC-B发送请求以获得已经邀请他们访问他们的资源/属性的人员(包括发出邀请的当事人A)的列表。

27、WSC-B向DS-B发送GET消息(请求已经邀请了当事人B的人员的列表以及该列表上的每个人员的DSRO)。

28、DS-B向WSC-B发送发出邀请的当事人(包括发出邀请的当事人A)的友好名称以及DSRO的列表。

29、WSC-B发送询问被邀请的当事人B应选择该发出邀请的当事人(包括发出邀请的当事人A)的列表中的哪个朋友(发出邀请的当事人A)的消息。

30、被邀请的当事人B向WSC-B表示该朋友是发出邀请的当事人A。注意：WSC-B具有DSRO-A(参见框1.9)。

31、WSC-B发送询问被邀请的当事人B想要获得/访问发出邀请的当事人A的哪种属性的消息。

32、被邀请的当事人B向WSC-B发送消息，表示他们希望获得类型“X”的属性。

33、WSC-B向DS-A发送消息<disco>，该消息请求发出邀请的当事人A的类型“X”的属性。注意：DS-A仅仅知道已经被发出邀请的当事人A邀请的用户(包括被邀请的当事人B)。这样，DS-A不知道发出邀请的当事人A希望与该特定的被邀请的当事人B共享哪个特定属性(参见框1.10中的问题1)。

34、DS-A向WSC-B发送消息(包括发出邀请的当事人A的类型“X”的属性的资源提供(其由WSP-A共享))。注意：DS-A没有接收到任何对被邀请的当事人B的引用。这样，DS-A不能针对被邀请的当事人B将任何类型的访问控制应用于属性的资源提供(参见框1.11中的问题2)。

35、WSC-B利用在步骤34中所接收的属性的资源提供向WSP-A发送获得类型“X”的属性的消息。

36、WSP-A向WSC-B发送类型“X”的属性。注意：WSP-A不接收对被邀请的当事人B的任何引用。这样，WSP-A不能针对被邀请的当事人B将任何类型的访问控制应用于属性(参见框1.12中的问题3)。

37、WSC-B使类型“X”的属性可用于被邀请的当事人B。

当事人引用规范的基础是称为PIKSP(People I Know Service Provider)的身份标识服务。如所示的，PIKSP具有保存每个发出邀请的当事人A的朋友列表以及管理代表发出邀请的当事人A的邀请进程的责任。特别地，PIKSP的主要功能如下：

·PIKSP用于保证被邀请的当事人B使他/她的身份标识与WSP-A联合(其中WSP-A是WSP，发出邀请的当事人A从该WSP触发邀请进程)。PIKSP要求被邀请的当事人B具有标识符(或者安全标识符)，因此它可以执行鉴权且作出授权决定。

·PIKSP用于维护被每个发出邀请的当事人A邀请的当事人以及每个发出邀请的当事人A邀请了每个被邀请的当事人B的服务提供方的列表。(具有服务接口、即WSP、或者借助web浏览器、即SP、或者利用二者的)服务提供方借助唯一的提供方标识符ProviderID来标识。假定作为身份标识服务，PIKSP保存每个自身用户的被邀请的当事人的列表；也就是，在物理上来讲，在相同的CoT中可以有多个PIKSP，每个PIKSP处理一组发出邀请的当事人。PIKSP还可以保存每个被邀请的当事人B的联合标识符以及他们已经被邀请的服务提供方(SP或WSP)。然而，如果在邀请进程之前，被邀请的当事人B没有在WSP-A处联合标识符，则该规范提供用于使被邀请的当事人B联合他/她的身份标识和WSP-A的装置(参见图2B中所示的邀请进程中的步骤20-21)。以下是可以被存储在PIKSP中的数据的粗略说明。

当事人A1

-由A1分配的被邀请的当事人B1的友好名称

-在服务提供方1(SP1)处B1的名称标识符

-在服务提供方2(SP2)处B1的名称标识符

-在服务提供方n(SPn)处B1的名称标识符

-由A1分配的被邀请的当事人B2的友好名称

-在服务提供方n(SPn)处B2的名称标识符

-由A1分配的被邀请的当事人Bm的友好名称

-在服务提供方2(SP2)处Bm的名称标识符

-在服务提供方n(SPn)处Bm的名称标识符

当事人An

-由An分配的被邀请的当事人B1的友好名称

-在服务提供方1(SP1)处B1的名称标识符

-由An分配的被邀请的当事人B3的友好名称

-在服务提供方n(SPn)处B3的名称标识符

·PIKSP用于在被其任一用户所邀请的每个当事人的DS中记录已经邀请他/她的所有当事人的DS资源提供(即，借助它们的DSRO，给定的被邀请的当事人的DS具有已经邀请他/她的所有当事人的引用)。因此，关于发现服务，邀请进程的结果将根据已经邀请他们的所有当事人更新被邀请的当事人的DS(DS-B)。至于发出邀请的当事人的DS(DS-A)，不采取任何动作。

·PIKSP在发现和共享发出邀请的当事人的属性时不起作用。

总之，这种当事人引用方案包括两个主要程序：(1)邀请进程(这里，利用PIKSP-A的支持，在给定的WSP-A处，发出邀请的当事人A邀请另一个当事人B)；以及(2)发现和访问资源进程。邀请进程的结果如下：

·被邀请的当事人B的身份标识与PIKSP-A联合(如果还没有的话)。

·被邀请的当事人B的身份标识与WSP-A联合(如果还没有的话)。

·针对每个用户，PIKSP还保存通过友好名称来标识的他/她的朋友的列表，以及只要他们的身份标识也已经被联合，还保存指向被邀请的当事人B的身份标识管理基础结构的指针。该指针可以是IDP-B的ProviderID的形式，该ProviderID唯一地标识它，但是它还可以包括任何其它类型的指针、例如DS-BRO。

关于发现以及访问共享资源进程，基本步骤包括WSC-B访问被邀请的当事人B并获得已经邀请他/她的当事人的列表(包括它们的DSRO)。具有这种数据的WSC-B接着能够查询发出邀请的当事人A的发现服务A并发现/获得他/她的资源/属性(参见图2C)。

不幸地，传统的当事人引用方案缺少正确工作的多个不同的特征。主要问题是暴露资源的发出邀请的当事人不能正确地控制对这样的资源或对他们的资源提供的访问。引起该问题的原因是DS-A和WSP-A不知道访问它们的WSC-B所代表的用户(被邀请的当事人B)，因此这些实体不能执行任何访问控制策略。另一个问题是缺乏在共享资源方面的粒度。尤其当代表被邀请的当事人B的WSC-B希望访问资源时，它可以访问DS-B来获得已经邀请当事人B的发出邀请的当事人(以及它们的DSRO)列表。接着，WSC-B可以访问适当的DS-A来获得发出邀请的当事人A的相关的资源提供。然而，DS-A没有被包含在邀请进程中，这意味着它不能确定是发出邀请的当事人A希望与特定的被邀请的当事人B共享WSP-A主控的所有类型的属性中的哪个属性。实际上，DS-A甚至不知道正在访问它的WSC-B代表不同于发出邀请的当事人A的当事人。应该注意到，LAP已经更新了这种当事人引用规范以解决这些问题中的一些，但是新的规范是非常复杂的且具有沉重的信令负载。因此，仍然需要能够有效地解决这些缺点和其它缺点的当事人引用方案。这种需求和其它需求通过本发明来解决。

发明内容

在这里描述了一种当事人引用方法，该方法允许发出邀请的当事人A通过引入与被邀请的当事人B相关的一对用户标识符而具有对他们的共享资源的访问控制，该对用户标识符在邀请进程期间被创建并被传送。每个标识符在两方之间共享。第一标识符在两个当事人、被邀请的和发出邀请的当事人的发现服务(DS-A和DS-B)之间共享。第二标识符也标识被邀请的当事人B，但是它在发出邀请的当事人的web服务提供方(WSP-A)和DS-A之间共享。因此，DS-A是分离两个标识符面的标识符交换点。这两个标识符的目的是通过允许在多于两方之间共享任何一个标识符来使被邀请的当事人B能够在发现和访问进程期间被引用/被识别，而不泄露她/他的隐私。这是重要的，因为如果标识符在多于两方之间共享，则LAP的隐私保护要求将不被满足。

附图说明

当结合附图，通过参考以下的详细说明，可以获得对本发明的更完整的理解，其中：

图1(现有技术)是示出从代表被邀请的当事人B的WSP-A(其没有访问控制)访问发出邀请的当事人A的资源的WSC-B的图示；

图2A-2C(现有技术)是示出被邀请的当事人如何能够被发出邀请的当事人邀请以及然后被邀请的当事人如何能够随后根据现有技术的当事人引用方案来访问发出邀请的当事人的属性/资源的信号序列图；

图3A-3C是逐步地示出被邀请的当事人如何能够被发出邀请的当事人邀请以及然后被邀请的当事人如何能够随后根据新的当事人引用方案来访问发出邀请的当事人的属性/资源的信号序列图；以及

图4是示出标识符和安全令牌如何能够在各种实体之间被传输以便能够实现图3A-3C中所示的新的当事人引用方案的简化的信号序列图。

具体实施方式

参考图3A-3C，示出了信号序列图，该信号序列图逐步地示出被邀请的当事人如何能够被发出邀请的当事人邀请以及然后被邀请的当事人如何能够随后根据新的当事人引用方案来访问发出邀请的当事人的属性/资源。步骤如下：

1、发出邀请的当事人A尝试访问WSP-A。

2、WSP-A通过发出邀请的当事人A向IDP-A发送关于发出邀请的当事人A的鉴权请求。

3、IDP-A通过发出邀请的当事人A向WSP-A发送对发出邀请的当事人A的鉴权响应(具有nameID和DSRO-A)。

4、WSP-A向DS-A发送GET PIKSP-ARes Off(包括DSRO-A)消息，以获得发出邀请的当事人A的PIKSP的资源提供。

5、DS-A向WSP-A发送PIKSP-ARes Off消息，包括发出邀请的当事人A的PIKSP的资源提供。注意：步骤4和5与PIKSP-A的发现相关。

6、WSP-A向PIKSP-A发送查询消息，以获得发出邀请的当事人A的朋友(之前被发出邀请的当事人A邀请的当事人)的列表。

7、PIKSP-A向WSP-A发送包含这种列表的查询响应消息。

8、WSP-A显示发出邀请的当事人的朋友组的当前成员。注意：被邀请的当事人B不是朋友组的当前成员(参见框1.0)。

9、发出邀请的当事人A指示WSP-A分配许可给新邀请的当事人B。

10、WSP-A向PIKSP-A发送修改消息(与邀请被邀请的当事人B相关)，该修改消息通过用户友好文本串来标识。注意，一直到这个步骤，该方案与老方案相同。

11′、PIKSP-A向WSP-A发送包括邀请URL InvURL1、临时用户标识符tempID-B和共享用户标识符SharedId(B)(DS-A、WSP-A)的修改响应消息(与邀请被邀请的当事人B相关)。注意：(1)PIKSP-A创建、存储并传送要被分配给被邀请的当事人B并在WSP-A和DS-A之间共享的共享用户标识符(该标识符以粗体字母来显示以突出与传统当事人引用方案的区别)；(2)InvURL1包括用于使PIKSP-A关联与被邀请的当事人B有关的其它请求的装置；(3)InvURL1属于PIKSP-A web域；以及(4)WSP-A使用tempID-B来分配权限给被邀请的当事人B，并存储InvURL1(参见框1.1)。

12、WSP-A向被邀请的当事人B传送邀请消息(包括邀请URL InvURL2)。时间流逝(参见框1.2)。注意：(1)InvURL2属于WSP-Aweb域。

13、被邀请的当事人B向WSP-A发送InvURL2。

14、WSP-A通过被邀请的当事人B向PIKSP-A发送REDIREDT InvURL1消息(包括返回URL backURL)。注意：(1)backURL属于WSP-Aweb域，且允许PIKSP-A向WSP-A发回被邀请的当事人B。

15、PIKSP-A通过被邀请的当事人B向IDP-B发送关于被邀请的当事人B的鉴权请求(包括临时用户标识符tempID-B)。注意：(1)tempID-B是在步骤11中提出的且与InvURL2相关的临时用户标识符，使得PIKSP-A能够使被邀请的当事人B和正确的邀请进程相关联。

16、IDP-B通过被邀请的当事人B向PIKSP-A发送被邀请的当事人B的鉴权响应(包括tempID-B、nameID和DSRO-B)。注意：步骤15和16涉及在PIKSP-A处被邀请的当事人B的身份标识的联合(参见框1.3)。

17′、PIKSP-A向DS-B发送发现更新消息(包括DSRO-A和共享标识符SharedId(B)(DS-A、DS-B)。注意：(1)PIKSP-A创建、存储和传送要分配给被邀请的当事人B并在DS-A和DS-B之间共享的标识符(该标识符以粗体字母显示以突出与传统当事人引用方案的区别)；以及(2)PIKSP-A在DS-B处记录DSRO-A(因此DS-B知道哪个用户邀请了DS-B的用户)(参见框1.4)。

18、DS-B向PIKSP-A发送OK消息。

19、PIKSP-A通过被邀请的当事人B向WSP-A发送REDIRECT backURL消息。注意：这开始在WSP-A中B的身份标识的联合。

20、WSP-A通过被邀请的当事人B向IDP-B发送关于被邀请的当事人B的鉴权请求。注意：IDP-B知道tempID-B是在步骤11中提到的临时用户标识符，且与WSP-A相关(参见框1.5)。

21、IDP-B通过被邀请的当事人B向WSP-A发送对被邀请的当事人B的鉴权响应(包括nameID、tempID-B和DSRO-B)。注意：(1)步骤20和21涉及在WSP-A处被邀请的当事人B的身份标识的联合(参见框1.6)；以及(2)WSP-A将权限传输给具有nameID的用户，并删除tempID-B(参见框1.7)。

21a′、PIKSP-A向DS-A发送发现更新消息(包括共享标识符SharedId(B)(DS-A、WSP-A)和SharedId(B)(DS-A、DS-B))。注意：(1)该消息是新的，且以粗体字母显示以突出与传统当事人引用方案的区别；(2)被邀请的当事人B的两个共享标识符都被传送给DS-A，其在两个标识符之间起桥梁的作用；以及(3)该消息由PIKSP-A异步发送，并且可以在步骤18后立即发送。

21b′、DS-A向PIKSP-A发送OK消息(该消息以粗体字母显示以突出与传统当事人引用方案的区别)。

22、被邀请的当事人B尝试访问WSC-B。注意：这个步骤开始发现和共享发出邀请的当事人A的属性的进程。

23、WSC-B通过被邀请的当事人B向IDP-B发送关于被邀请的当事人B的鉴权请求。

24、IDP-B通过被邀请的当事人B向WSC-B发送对被邀请的当事人B的鉴权响应(包括nameID和DSRO-B)。注意：这完成到WSC-B的SSO(参见框1.8)。

25、WSC-B欢迎发出邀请的当事人B到WSC-B。

26、被邀请的当事人B向WSC-B发送请求以获得已经邀请他们访问他们的资源/属性的人员(包括发出邀请的当事人A)的列表。

27、WSC-B向DS-B发送GET消息(请求已经邀请了当事人B的人员的列表以及该列表上的每个人员的DSRO)。

28′、DS-B向WSC-B发送消息，该消息包括：(a)发出邀请的当事人(包括发出邀请的当事人A)的友好名称的列表；(b)发出邀请的当事人(包括发出邀请的当事人A)的DSRO；(c)SharedId(B)(DS-A、DS-B)；以及(d)在DS-A中用于访问控制的安全令牌(该消息的部分以粗体字母显示以突出与传统当事人引用方案的区别)。注意：以下详细讨论安全令牌。

29、WSC-B发送询问被邀请的当事人B应选择该发出邀请的当事人(包括发出邀请的当事人A)的列表中的哪个朋友(发出邀请的当事人A)的消息。

30、被邀请的当事人B向WSC-B表示该朋友是发出邀请的当事人A。注意：WSC-B具有DSRO-A(参见框1.9)。

31、WSC-B发送询问被邀请的当事人B想要获得/访问发出邀请的当事人A的哪种属性的消息。

32、被邀请的当事人B发送消息给WSC-B，表示他们希望获得类型“X”的属性。

33′、WSC-B向DS-A发送消息<disco>，请求发出邀请的当事人A的类型“X”的属性。注意：该查询包括(1)SharedId(B)(DS-B、DS-A)以及(2)表明被邀请的当事人B可以访问DS-A的安全令牌(参见框1.10′)。

34、DS-A向WSC-B发送消息(包括发出邀请的当事人A的类型“X”的属性的资源提供(其由WSP-A共享))。注意：DS-A接收对被邀请的当事人B的引用(SharedId(B)(DS-B、DS-A))。这样，DS-A能够针对被邀请的当事人B将任何类型的访问控制应用于属性的资源提供。

35′、WSC-B利用在步骤34中接收的属性的资源提供向WSP-A发送获得类型“X”的属性的消息。注意：该查询包括(1)SharedId(B)(DS-B、WSP-A)以及(2)表明被邀请的当事人B可以访问WSP-A的安全令牌(参见框1.11′)。

36、WSP-A向WSC-B发送类型“X”的属性。注意：WSP-A接收对被邀请的当事人B的引用(SharedId(B)(DS-B、WSP-A))。这样，WSP-A能够针对被邀请的当事人B将访问控制应用于属性。

37、WSC-B使类型“X”的属性可用于被邀请的当事人B。

注意1：需要在所有所涉及的实体(WSC-B、DS-B、DS-A...)和相关协议(SOAP绑定、发现服务、DST)之间的接口的修改以保证在每个(用于访问资源或者用于定位资源的)请求中，可以包括关于被邀请的当事人B的信息，借助图3A-3C中所示的两个新的共享标识符中的任何一个代表被邀请的当事人B进行该请求。还应该可以包括可被用于访问控制目的的合适的安全令牌(见图4)。

注意2：所涉及的实体(WSC-B、DS-B、DS-A...)中的每一个都具有处理器，该处理器处理被存储在存储器中的指令以便能够接收，分析并发送前述信号序列图中所示的各种信号。

如可以看到的，本发明的一个重要的方面是被分配给被邀请的当事人B且由PIKSP-A在邀请进程期间创建和传送的一对共享用户标识符的引入(见图3A-3C中的步骤11′、17′、21a′、21b′和28′)。基本思想是使涉及方(DS-A、WSP-A)能够了解用户(被邀请的当事人B)，其中代表该用户执行了发现和访问资源的进程。能够由多方共享的单个标识符在这个方案中未被使用，因为它将违反LAP的隐私保护原则(其中当事人标识符不必由两个以上的实体共享)。替代地，创建一对共享标识符，且其中的每一个仅由两方共享。

第一用户标识符在两个当事人、即被邀请的和发出邀请的当事人的DS-A和DS-B之间共享。这个标识符被示出为SharedId(B)(DS-A、DS-B)，且在邀请进程期间借助<DiscoveryUpdate>操作被传送到两个发现服务(参见图3B中的步骤17′、21a′和21b′)。如图3B中所示，引入了新的<DiscoveryUpdate>操作，以便更新发出邀请的当事人A的DS-A(参见步骤21a′和21b′)。

第二用户标识符在共享发出邀请的当事人A的资源的WSP-A和他/她的DS-A之间共享。这个标识符被示出为SharedId(B)(DS-A、WSP-A)，并在邀请进程期间被传送给DS-A和WSP-A(参见图3A-3B中的步骤11′、21a′和21b′)。如图3A中所示，负责将新邀请的当事人添加到发出邀请的当事人的列表中的<Modify Response>操作还可以被用来将标识符传送到WSP-A(参见步骤11′)。在图3B中，包含SharedId(B)(DS-A、WSP-A)的新操作<DiscoveryUpdate>被用来更新被邀请的当事人A的DS-A(参见步骤21a′和21b′)。以这种方式，DS-A成为分离两个标识符面的被邀请的当事人的身份标识交换点。

在完成邀请进程后，代表被邀请的当事人B的WSC-B可以定位和使用发出邀请的当事人A的共享资源。在图4中描绘了这如何能够通过在各实体之间传送这两个标识符和可选的安全令牌(在下面论述)来完成的简化视图(其中相对于传统当事人引用方案的区别以粗体字母来标记)。步骤如下：

1、WSC-B向DS-B发送GET消息(请求已经邀请了当事人B的人员的列表和该列表上的每个人员的DSRO)(参见图3C中的步骤27)。

2、DS-B向WSC-B发送DS-A RO、SharedId(B)(DS-A、DS-B)和安全令牌1(参见图3C中的步骤28′)。

3、WSC-B向DS-A发送<disco>消息(包括DS-A RO、SharedId(B)(DS-B、DS-A)和安全令牌1)(参见图3C中的步骤33′)。

4、DS-A向WSC-B发送消息(包括WSP-ARO、SharedId(B)(DS-A、DS-B)和安全令牌2)(参见图3C中的步骤34)。

5、WSC-B向WSP-A发送查询消息(包括WSP-ARO、SharedId(B)(DS-B、WSP-A)和安全令牌2)(参见图3C中的步骤35′)。

关于该传输进程的详细描述如下所述。当WSC-B访问DS-B以获得已经邀请了其所代表的当事人的当事人的列表时，WSC-B不仅获得它们的DS资源提供，而且还获得在DS-A和DS-B之间共享的用户标识符，且可能获得标识被邀请的当事人A的安全令牌(参见图4中的步骤1-2)。WSC-B使用该标识符和安全令牌(如果存在)以便随后访问DS-A(参见图4中的步骤3)。由于DS-A存储这种标识符和与被邀请的当事人B相关的那些标识符，所以它能够知道A的哪种类型的属性将与被邀请的当事人B共享，且能够应用适当的访问控制(这样，确定了图2C的步骤33和34中的问题1和2)。如果被准许，DS-A向WSC-B发送资源提供，该资源提供包括其它共享用户标识符(并且可能包括新的安全令牌2)(参见图4中的步骤4)。接着，WSC-B在资源提供中向WSP-A发送该信息(参见图4中的步骤5)。该信息允许WSP-A应用相关的控制检验(这样，确定了图2C的步骤36中的问题3)。

如所示的，由DS-A和DS-B发出的资源提供通常包括安全令牌，如果被提供，则该安全令牌将被包括在请求中，当WSC-B尝试访问与这些资源提供相关的资源时进行该请求(参见图4中的步骤2和4)。安全令牌可以由发出者(DS-A、DS-B)进行数字签名，并允许涉及方应用访问控制策略。现在，在由LAP描述的情况中使用的安全令牌遵循以下格式：

<Security Token(安全令牌)/

SubjectStatement(对象声明)(应用令牌的用户，这种用户的确认方法)：UserA

AttributeStatement(属性声明)(用户可以访问的资源)：WSP-A

Any other field(任何其它字段)

/Security Token(安全令牌)>

作为与本解决方案相关的机制的结果，将在当事人引用情况下被处理的安全令牌应该传送以下信息：

<Security Token(安全令牌)/

SubjectStatement(对象声明)(应用令牌的用户，这种用户的确认方法)：UserB

AttributeStatement(属性声明)(用户可以访问的资源)：WSP-A

Any other field(任何其它字段)

/Security Token(安全令牌)>

现在关键的区别在于发出令牌所针对的对象(被邀请的当事人B)将需要不同于资源所有者(发出邀请的当事人A)。特别地，借助安全令牌1中的SharedId(B)(DS-A、DS-B)和安全令牌2中的SharedId(B)(DS-A、WSP-A)来标识被邀请的当事人B(见图4)。这种信息可以通过在当前LAP规范中所使用的消息来传送(典型地SAML断言)，因为令牌格式没有变化(然而，令牌格式的不同字段已经改变了)。

如可以理解的，DS-A和DS-B的内部结构应被修改，以处理由本解决方案所提出的新的数据模型结构。传统当事人引用规范提出DS-B(被邀请的当事人的发现服务)保存关于已经邀请了每个DS用户的发出邀请的当事人的信息。而且，本解决方案提出DS-A(发出邀请的当事人的发现服务)保存关于由其用户邀请的当事人以及那些被邀请的当事人已经被邀请访问资源/属性的信息。为了支持这种功能，DS的内部结构可以根据以下方案来更新：

关于被邀请的当事人的发现服务(DS-B)：

当事人B1

    B1的RO(DS-B1 RO，WSP1-B1 RO，WSP2-B1 RO...)

    DS-A1 RO，″A1″(友好名称)，SharedId(B1)(DS-A1，DS-B1)

    DS-A2 RO，″A2″(友好名称)，SharedId(B1)(DS-A2，DS-B1)

当事人B2

    B2的RO(DS-B2 RO，WSP1-B2 RO，WSP2-B2 RO...)

    DS-A1 RO，″A1″(友好名称)，SharedId(B2)(DS-A3，DS-B2)

    DS-A3 BO，″A3″(友好名称)，SharedId(B2)(DS-A3，DS-B2)

其中A_i是已经邀请B_j的当事人。

并且，关于发出邀请的当事人的发现服务(DS-A)：

当事人A1

    A1的RO(DS-A1 RO，WSP1-A1 RO，WSP2-A1 RO...)

    SharedId(B1)(DS-A1，DS-B1)

        SharedId(B1)(DS-A1，WSP1-A1)，WSP1的资源类型

        SharedId(B1)(DS-A1，WSP2-A1)，WSP2的资源类型

        SharedId(B1)(DS-A1，WSP3-A1)，WSP3的资源类型

    SharedId(B2)(DS-A1，DS-B2)

        SharedId(B2)(DS-A1，WSP2-A1)，WSP2的资源类型

        SharedId(B2)(DS-A1，WSP3-A1)，WSP3的资源类型

    SharedId(B3)(DS-A1，DS-B3)

        SharedId(B3)(DS-A1，WSP1-A1)，WSP1的资源类型

        SharedId(B3)(DS-A1，WSP23-A1)，WSP2的资源类型

当事人A2

    SharedId(B2)(DS-A2，DS-B2)

        SharedId(B2)(DS-A2，WSP2-A2)，WSP2的资源类型

        SharedId(B2)(DS-A2，WSP5-A2)，WSP5的资源类型

    SharedId(B3)(DS-A2，DS-B3)

        SharedId(B3)(DS-A2，WSP1-A2)，WSP1的资源类型

        SharedId(B4)(DS-A2，WSP2-A2)，WSP2的资源类型

其中B_i是被A_j邀请的当事人。

注意：DS-A和DS-B的逻辑还应该被修改为能够产生安全令牌，该安全令牌根据前述安全令牌信息模型被配置。

如可以理解的，针对DS-A(发出邀请的当事人的发现服务)所提出的功能的确与PIKSP-A的功能(至少在其主控的用户信息方面)相当类似。这样，扮演DS-A的角色的实体可以在信任圈中接管PIKSP-A的功能。以这种方式，将不需要PIKSP-A和DS-A之间的交互，因为它们是相同的实体，尤其图3B中的步骤21a′和21a′(对于DS-B和PIKSP-B同样可以适用)。替代地，扮演PIKSP-A的角色的实体可以接管DS-A的功能(对于PIKSP-B和DS-B同样可以适用)。这些组合可能性将需要完全执行发出，因为在两个功能实体之间将仍然存在逻辑分离。

在另一种考虑中，可能的是：代替传送标识符对，相同的标识符可以被使用并且通过加密方案来保护。然而，这种情况将难以实现，因为将需要复杂的密钥传送机制(以便所有方能够解密被加密的标识符)或者需要使用标识符解密服务(例如由IdP提供的标识符解密服务)。这种情况也将难以实现，因为三个涉及方(DS-A、DS-B和WSP-A)各自将必须能够访问清晰文本中的标识符。

根据上述内容，应该理解的是，本解决方案能够通过以下方式在当事人引用情况下实现访问控制：

1、不透明的处理器的创建和建立，该处理器识别被邀请的当事人B并在发现和访问进程中所涉及的所有方之间被共享。这些不透明的处理器在邀请进程期间被创建和分发，并且随后被用于发现和访问进程中，以允许发出邀请的当事人A具有对尝试访问它们的资源/属性的被邀请的当事人B的访问控制。

2、通过以下方式当前安全模型也被增强，即改变安全令牌的格式，因此这些安全令牌包括不仅对共享资源和这种资源的所有者(发出邀请的当事人A)、而且对设法访问资源的被邀请的当事人B的引用。

最后，本解决方案具有许多令人满意的特征和优点，其中一些特征和优点如下：

·本解决方案使发出邀请的当事人A能够使用访问控制机制，而同时保证LAP的隐私原则。

·本解决方案在基于身份标识的情况下引入标记改进，因为它关注于许可和隐私控制，而不是资源的实际用户(服务提供方)，但是替代地关注于尝试访问资源的服务提供方所代表的被邀请的当事人。

·本解决方案突出DS的价值，因为DS是扮演PIKSP角色的更适合的候选者，因此免除了具有独立的PIKSP的必要。

尽管已经在附图中示出且在前述详细说明中描述了本发明的一个实施例，但应该理解的是，本发明并不限于所公开的实施例，而是能够进行各种重新配置、修改和替换，而不脱离如以下权利要求所提出和定义的本发明的精神。