浅谈联合身份管理在移动服务中的应用网(2)

　　3.信任圈模型

　　信任圈模型构成了联合身份的基础。拥有商业联系的一个或是多个IdP和一组SP，通过某种约定共同构建成一个认证域也称为信任圈(CirefeofTrust).如图3所示。在这个信任圈中ldP做出的认证声明被所有与其联合的SP所信任。用户可以选择将其在ldP处的帐户和在SP处的帐户之间建立连接，这样.用户下一次在IdP处通过身份认证后，就可以在信任圈中无缝地、安全地使用sP提供的个性化服务。

　　联合身份管理在移动服务中的应用

　　基于自由联盟提出的开放式的联合身份管理架构.移动运营商和服务提供商可以按照某种商业协议共同组成一个信任圈。在这个信任圈中服务提供商完全信任移动运营商提供的身份认证声明，并且可以从运营商处获得用户身份信息Web服务，从而使服务提供商和移动运营商联合起来共同为客户提供个性化的移动月民务。

　　在联合身份管理架构中.有两种设备可以用于访问移动服务:普通的浏览器客户端和LECP。

　　1.普通浏览器客户端

　　用户使用普通手机浏览器直接访问移动服务的优点在于它对现今存在的客户端软件和网络设备不需要做任何的改变。但是在这种情况下，服务提供者就无法得知能为该用户提供身份认证的身份服务者到底是谁。在实际情况中，服务提供者会向用户提供一个列表让用户从中选择其身份提供者。但是由于移动设备的小键盘和小屏幕，这种选择往往会使用户丧失耐心。所以这种模式适用于在信任圈内只有一个ldP时使用。

　　2.LEC/LECP

　　LEC/LECP(Liberty一enabledCli一ento:Proxy)是指支持自由联盟架构的客户端或是代理器。它拥有用户在访问SP时所希望使用的ldP的相关信息，或是知道如何获得这些信息。LEC/LECP可以是PC机、机顶盒、移动设备或是像WAP网关和日TTP代理服务器之类的网络设备。

　　图4显示了在无线领域中基于Libertv的认证架构的一种实现方法。在图中运营商在作为身份提供者的同时还拥有一个LECP的四AP网关或是盯TP代理服务器，而服务商也在它的服务中添加了对Liberty协议的支持。当用户通过点击访问服务商的URL时，用户的手机首先将会与运营商的网关建立会话然后再连接到服务处(图4中的第1、2步}:服务商能从HTTP请求中识别出网关是LEC网关.并向运营商处的身份提供者发出一个认证用户身份的请求(图4中的第3、4步)运营商在认证完用户的身份后将返回给服务商认证声明(图4中的第5、6步);此时服务商就可以根据该认证声明为用户提供相应的服务(图4中的第7.8步)。

　　运营商可以以不同的方式认证用户身份.比如WPKI、用户名加密码或是电话号码。其中使用电话号码是最简单的认证方式，因为运营商可以在网关处自动地认证用户的身份。

　　服务商或许还需要更多的与用户身份相关的个人信息，例如用户的在线配置信息、个人购物喜好或是购物记录、移动用户的当前位置信息和日志记录等等以便于服务商向用户提供更好的个性化服务。此时，服务商也可以以WebServiee的方式通过LEC网关向运营商请求用户的相关属性信息，如图5所示。

　　在图5中，运营商处的发现服务将向移动服务商提供可以获取用户属性的地址，然后服务商从该地址访问属性Web服务运营商的属性Web服务提供者将根据用户的设定检查该服务商是否拥有访问并使用这些属性的授权检查通过后就以Web月及务的方式为移动服务商提供这些属性。