CN102550001A - 用于允许自举架构和共享身份服务相互作用的用户身份管理 - Google Patents
用于允许自举架构和共享身份服务相互作用的用户身份管理 Download PDFInfo
- Publication number
- CN102550001A CN102550001A CN2010800455986A CN201080045598A CN102550001A CN 102550001 A CN102550001 A CN 102550001A CN 2010800455986 A CN2010800455986 A CN 2010800455986A CN 201080045598 A CN201080045598 A CN 201080045598A CN 102550001 A CN102550001 A CN 102550001A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- service
- service provider
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 50
- 238000004590 computer program Methods 0.000 claims abstract description 34
- 230000006870 function Effects 0.000 claims description 45
- 230000004044 response Effects 0.000 claims description 19
- 238000004891 communication Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 10
- 238000013475 authorization Methods 0.000 description 9
- 238000010295 mobile communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000001413 cellular effect Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000002708 enhancing effect Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000010267 cellular communication Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000005314 correlation function Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000010358 mechanical oscillation Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供一种用于有助于认证比如移动终端的请求并同时也向服务、网站、应用等供应关于用户的信息的方法、装置和计算机程序产品。一种方法、装置和计算机程序产品可以提供使自举架构(比如通用自举架构)和共享身份服务(比如OpenID架构)相互作用。就这一点而言,一种方法、装置和计算机程序产品可以通过通用自举架构提供与服务提供商的安全会话同时能够向服务提供商供应用户信息和/或使用OpenID架构来访问用户账户。
Description
技术领域
本发明的实施例总体上涉及无线技术,并且更具体地涉及用于有助于移动认证架构内的相互作用的系统、方法、装置和计算机程序产品。
背景技术
移动终端(比如便携通信设备(PCD)(例如蜂窝电话)、便携数字助理(PDA)、膝上型计算机或者能够与无线网络通信的任何适当设备)的安全性对于移动终端用户而言越来越重要。安全算法经常用来实现在移动终端与另一网络实体之间的安全性。这些安全算法经常依赖于在移动终端与其它网络实体之间共享的允许认证移动终端的秘密。通常以密码密钥或者用户名/口令组合实现这一共享秘密。
通用自举架构(GBA)是允许在移动终端与归属网络之间自举安全密钥的框架架构,该安全密钥然后可以用来进一步导出用于在移动终端与网络应用服务器之间使用的安全密钥。使用与移动终端的共享秘密的网络应用服务器或者网络节点可以驻留于任何种类的网络(例如受访网络、开放因特网)中或者它甚至可以是另一设备。近来已经考虑GBA用于与身份管理系统(如例如自由联盟(LibertyAlliance))组合使用。因而,可以例如基于用于第三代伙伴项目(3GPP)的移动算法AKA(认证和密钥协定)或者用于3GPP 2的CHAP(挑战-握手认证协议)或者CAVE(蜂窝认证和语音加密)的3GPP通用认证架构(GAA)可以用来在用户的初始签名和认证之后提供对多个服务或者网站的单次签名访问。在部署GBA时,其它协议也可以用于自举(如例如CableLabs或者开放移动联盟开发的协议)。在那些变体之间的主要不同在于用来生成共享秘密的实际方法。服务专属共享秘密的部署、使用和处置对于所有上文提到的GBA变体而言保持相同。这允许具有异构网络架构的网络运营商(例如如果网络运营商有用固定和移动网络)允许用户无论他们想要如何访问服务(例如经由PC、电话等)都使用相同服务。此外对于运营商而言可以在很大程度上重用后端服务器。
当特别是首次通过网络访问受保护资源(比如服务或者网站)时,经常有必要填写包括大量例行个人信息的经常广泛的表格。经常录入用户名和口令以与“账户”中的个人信息关联,从而将来请求服务或者拜访特定网站仅要求用户录入他们的用户名和口令以认证用户。单个用户可以具有与不同服务和/或网站的大量账户,并且每当对他们的个人信息进行改变时,将必须单独更新每个账户。另外,不同服务可以具有针对用户名和口令的不同要求并且可以产生用于每个服务或者网站的不同用户名和口令。因而已经开发某些机制以调解对受保护资源的访问或者提供开放认证机制。OpenID是允许因特网用户使用单个数字身份来登录到不同网站的共享身份服务。因此,用户可以无需用于每个站点的不同用户名和口令,并且可以在一个位置更新所有个人信息。OpenID是一种让用户控制他们提供的个人信息数量的分散、自由和开放标准。OpenID是已经被开发用于与开放认证结合使用的协议的例子。这一协议基于当前网上浏览器的重定向特征、但是未解决访问授权。应当注意服务信道可以不同于用来认证的连接。
发明内容
因此根据一个实施例提供一种用于有助于认证比如移动终端的请求同时也向服务、网站、应用等供应关于用户的信息的方法、装置和计算机程序产品。一个实施例的一种方法、装置和计算机程序产品可以提供用于使自举架构(比如通用自举架构)和共享身份服务(比如OpenID架构)相互作用。就这一点而言,本发明的一些实施例例如可以通过GBA提供与服务提供商的安全会话而又能够向服务提供商供应用户信息和/或使用OpenID架构来访问用户账户。自举架构(例如GBA)和共享身份服务(例如OpenID)架构的相互作用可以通过增加用户可以安全访问服务的效率和简易性来提供增强的用户体验。
具体而言,示例性实施例的方法包括使请求被提供到服务提供商、接收到共享身份服务的重定向、使认证请求被提供到共享身份服务、接收共享身份服务认证、建立用户会话安全密钥并且使用会话安全密钥和共享身份服务认证来与服务提供商建立会话。可以使用通用自举架构(BGA)来执行建立用户会话安全密钥。向服务提供商的请求可以包括用户标识符,并且用户标识符可以是假名。用户会话安全密钥可以是自举事务标识符(B-TID)。服务提供商可以响应于接收请求来与共享身份服务建立共享秘密。与服务提供商建立会话可以包括向网络应用功能(NAF)供应用户安全密钥、响应于供应用户安全密钥从网络应用功能接收认证信息并且向服务提供商提供认证断言。
根据本发明的另一实施例,提供一种装置。该装置可以包括至少一个处理器和至少一个存储器,至少一个存储器包括计算机程序代码。至少一个存储器和计算机程序代码可以被配置成与至少一个处理器一起使装置执行:使请求被提供到服务提供商;接收到共享身份服务的重定向;使认证请求被提供到共享身份服务;接收共享身份服务认证;建立用户会话安全密钥;并且使用会话安全密钥和共享身份服务认证来与服务提供商建立会话。可以使用通用自举架构来执行建立用户会话安全密钥。向服务提供商的请求可以包括用户标识符,并且用户标识符可以是假名。用户会话安全密钥可以是自举事务标识符。服务提供商可以响应于接收请求来与共享身份服务建立共享秘密。与服务提供商建立会话可以包括向网络应用功能供应用户安全密钥、响应于供应用户安全密钥从网络应用功能接收认证信息并且向服务提供商提供认证断言。
本发明的又一实施例可以包括一种计算机程序产品,该计算机程序产品包括至少一个计算机可读存储介质,至少一个计算机可读存储介质具有存储于其中的计算机可执行程序代码指令。计算机可执行程序代码指令可以包括:用于使请求被提供到服务提供商的程序代码指令;用于接收到共享身份服务的重定向的程序代码指令;用于使认证请求被提供到共享身份服务的程序代码指令;用于接收共享身份服务认证的程序代码指令;用于建立用户会话安全密钥的程序代码指令;以及用于使用会话安全密钥和共享身份服务认证来与服务提供商建立会话的程序代码指令。可以使用通用自举架构来执行用于建立用户会话安全密钥的程序代码指令。向服务提供商的请求可以包括用户标识符,并且用户标识符可以是假名。用户会话安全密钥可以是自举事务标识符。服务提供商可以响应于接收请求来与共享身份服务建立共享秘密。用于与服务提供商建立会话的程序代码指令可以包括用于向网络应用功能供应用户安全密钥的程序代码指令、用于响应于供应用户安全密钥从网络应用功能接收认证信息的程序代码指令以及用于向服务提供商提供认证断言的程序代码指令。
附图说明
已经这样用一般术语描述本发明的实施例,现在将参照未必按比例绘制的以下附图,其中:
图1是根据本发明一个示例性实施例的移动终端的示意框图;
图2是根据本发明一个示例性实施例的网络模型的示意框图;
图3是根据本发明一个示例性实施例的共享身份架构(比如OpenID架构)的示意框图;
图4是根据本发明一个示例性实施例的自举架构和共享身份架构相互作用的示意框图;
图5是根据本发明一个示例性实施例的自举架构和共享身份架构相互作用的消息流的流程图;
图6是根据本发明一个示例性实施例的用于在自举架构与共享身份架构之间相互作用的示例性方法的流程图;
图7是根据本发明一个示例性实施例的用于在自举架构与共享身份架构之间相互作用的另一示例性方法的流程图;
图8是根据本发明一个示例性实施例的用于在共享身份架构与自举架构之间相互作用的另一示例性方法的流程图;并且
图9是根据本发明另一示例性实施例的用于在共享身份架构与自举架构之间相互作用的另一示例性方法的流程图。
具体实施方式
现在下文将参照其中示出本发明的一些但是并非所有实施例的附图更完全描述本发明的实施例。实际上,本发明可以用诸多不同形式来体现而不应理解为限于这里阐述的实施例;相反,提供这些实施例使得本公开内容将满足适用法律要求。相似标号通篇指代相似要素。
此外如这里使用的那样,术语‘电路’指代(a)仅硬件的电路实施方式(即用模拟电路和/或数字电路的实施方式);(b)电路与计算机程序产品(该计算机程序产品包括存储于一个或者多个计算机可读存储器上的软件和/或固件指令)的组合,这些电路和计算机程序产品一起工作以使装置执行这里描述的一个或者多个功能;以及(c)即使软件或者固件未在物理上存在仍然需要软件或者固件用于操作的电路(如例如微处理器或者微处理器的部分)。这一‘电路’定义适用于这一术语在这里的所有使用(包括在权利要求中)。作为又一例子,如这里使用的那样,术语‘电路’也包括如下实施方式,该实施方式包括一个或者多个处理器和/或其部分以及附带软件和/或固件。作为另一例子,如这里使用的术语‘电路’也例如包括用于移动电话的基带集成电路或者应用处理器集成电路或者服务器、蜂窝网络设备、其它网络设备和/或其它计算设备中的相似集成电路。
如这里定义的那样,指代物理存储介质(例如易失性或者非易失性存储器设备或者该设备中的防篡改模块)的“计算机可读存储介质”可以区别于指代电磁信号的“计算机可读发送介质”。
因此提供一种用于自举架构和共享身份服务相互作用的方法、装置和计算机程序代码。虽然下文在通用自举架构和OpenID架构相互作用的背景中描述,但是通用自举架构和OpenID架构是以示例方式而非限制地提供的。因而用户可以使用单次登录以建立安全连接并且从用户设备装置访问服务。根据本发明的各种实施例,会话可以由如下用户发起,该用户浏览到用共享身份服务(比如OpenID功能)实现的服务或者网站。在这一实施例中,用户可以向通常为服务提供网络节点的中继方(RP)供应OpenID标识符。RP然后可以正规化用户供应的标识符、取回OpenID提供商的地址并且基于用户供应的标识符来执行对用户希望用于认证的OpenID提供商端点统一资源定位符(URL)的发现。RP然后可以与网络应用功能(NAF)建立安全共享秘密,该NAF可以与OpenID提供商处于相同的位置。RP然后可以用OpenID认证请求将用户设备(UE)浏览器重定向到OpenID提供商。UE可以向OpenID提供商发送HTTP GET请求并且接收认证请求作为答复。UE然后可以运用自举架构(比如GBA)以用自举服务器功能(BFG)自举从而获得自举事务标识符(B-TID),该B-TID标识生成的安全密钥并且可以用来标识认证的GBA用户。自举架构(比如GBA)中可能的更多可选身份包括IMPI(IMS私有身份)、IMPU(IMS公共身份)、IMSI(国际移动用户身份)或者存储于用户安全设置(USS)中的其它标识符。UE然后可以向NAF供应B-TID,该NAF又验证来自BSF的B-TID并且接收授权信息和用于向RP信息发布的策略。NAF然后可以用认证断言将UE浏览器重定向到RP,RP然后可以使该认证断言生效。一旦生效,用户可以使用所需服务。
共享身份服务运用的单个标识(比如OpenID标识符)可以以假名的形式,该假名提供关于运营商的域的信息以保证可以成功使用OpenID发现过程。例如通过提供表示匿名用户的专门构造的串,这一标识符可能并不提供关于具体用户本身的信息。GBA机制可以提前在某一时间创建用于用户的系列假名。可以计算假名而未预先涉及到运营商(比如当向用户分配具体值范围时)。
可以基于与用户和/或UE关联的标识符(比如用户的MSISDN(移动用户国际用户目录号码))来确定共享身份服务运用的单个身份(比如OpenID标识符)。移动网络专属标识符(比如MSISDN)到OpenID标识符的映射可以出现于终端主机作为网上浏览器插件的部分或者作为如下代码,该代码适于作为对GBA代码的扩展。在这样的实施例中,浏览器可以在访问用于与OpenID一起使用的RP网页时将发现的OpenID标识符与HTTP页面一起提供。可选地,RP本身可以执行MSISDN到OpenID标识符查找。在这样的实施例中,用户可以向OpenID登录窗中录入MSISDN或者可以如在自动填写机制中那样自动录入它。与用户和/或UE关联的标识符(例如MSISDN标识符)可以由将MSISDN转换成串的ENUM(电话号码映射)过程转译成OpenID标识符,从而它可以用于DNS查找并且标识可用服务。ENUM向因特网域名分配传统电话号码序列而无任何含糊可能性。
图1图示了将受益于本发明实施例的移动终端10的框图。然而应当理解如图所示和下文描述的移动电话仅举例说明将受益于本发明实施例的一种类型的移动终端、因此不应构成对本发明实施例的范围的限制。尽管出于举例的目的而图示并且下文将描述移动终端10的若干实施例,但是其它类型的移动终端(比如便携数字助理(PDA)、寻呼机、移动电视、游戏设备、膝上型计算机、相机、视频记录器、音频/视频播放器、无线电、GPS(全球定位卫星)设备或者前述移动终端的任何组合以及其它类型的语音和文字通信系统)都能够实现本发明的实施例。
此外,尽管本发明方法的若干实施例由移动终端10执行或者使用,但是该方法可以由除了移动终端之外的设备利用。另外,将主要与移动通信应用结合描述本发明实施例的系统和方法。然而应当理解可以在移动通信业内和在移动通信业以外与多种其它应用结合利用本发明实施例的系统和方法。
移动终端10可以包括与发送器14和接收器16可操作通信的一个天线12(或者多个天线)。移动终端10还可以包括装置(比如控制器20或者其它如下处理单元,该处理单元分别向发送器14提供信号而从接收器16接收信号)。信号可以包括根据适用蜂窝系统的空中接口标准的信令信息并且也包括用户话音、接收的数据和/或用户生成的数据。就这一点而言,移动终端10可以能够利用一个或者多个空中接口标准、通信协议、调制类型和接入类型进行操作。举例而言,移动终端10可以能够根据多个一代、二代、三代和/或四代通信协议等中的任何通信协议进行操作。例如移动终端10可以能够根据二代(2G)无线通信协议IS-136(时分多址(TDMA)、GSM(全球移动通信系统)和IS-95(码分多址(CDMA)))或者根据三代(3G)无线通信协议(比如通用移动电信系统(UMTS)、CDMA2000、宽带CDMA(WCDMA)和时分同步(CDMA(TD-SCDMA)))、根据四代(4G)无线通信协议等进行操作。作为替代(或者除此之外),移动终端10可以能够根据非蜂窝通信机制进行操作。例如移动终端10可以能够在无线局域网(WLAN)或者其它通信网络中通信。本发明的实施例也可以由PC利用,该PC具有允许连接实现网络接入安全性的运营商智能卡(例如用户身份模块(UIM)或者订户身份模块(SIM)或者通用订户身份模块(USIM))或者其它安全硬件模块,然后将无需天线,但是假设存在另一通信装置(例如固定线路)。
理解装置(比如控制器20)可以包括为了实施移动终端10的音频和逻辑功能而需要的电路。例如控制器20可以包括数字信号处理器设备、微处理器设备以及各种模数转换器、数模转换器和其它支持电路。在这些设备之间根据它们的相应能力来分配移动终端10的控制和信号处理功能。控制器20因此也可以包括用于在调制和发送之前卷积编码和交织消息和数据的功能。控制器20还可以包括内部语音编码器并且可以包括内部数据调制解调器。另外,控制器20可以包括用于操作可以存储于存储器中的一个或者多个软件程序的功能。例如控制器20可以能够操作连通性程序(比如常规网上浏览器)。连通性程序然后可以允许移动终端10例如根据无线应用协议(WAP)、超文本传送协议(HTTP)等发送和接收网络内容(比如基于位置的内容和/或其它网页内容)。此外,连通性程序可以允许处理单向信息(例如用于移动TV的广播接收)。
移动终端10也可以包括都耦合到控制器20的用户接口(该用户接口包括输出设备(比如常规耳机或者扬声器24、振铃器22、麦克风26、显示器28)和用户输入接口。允许移动终端10接收数据的用户输入接口可以包括允许移动终端10接收数据的多个设备中的任何设备(比如小键盘30、触摸显示器(未示出)或者其它输入设备)。在包括小键盘30的实施例中,小键盘30可以包括常规数字键(0-9)和有关键(#、*)以及用于操作移动终端10的其它硬键和软键。取而代之,小键盘30可以包括常规QWERTY小键盘布置。小键盘30也可以包括具有关联功能的各种软键。除此之外或者取而代之,移动终端10还可以包括接口设备(比如操纵杆或者其它用户输入接口(例如经由线缆到PC))。移动终端10还可以包括电池34(比如振动电池组),该电池用于向为了操作移动终端10而需要的各种电路供电以及可选地提供机械振动作为可检测输出。
移动终端10还可以包括用户身份模块(UIM)38。UIM 38通常是具有内置处理器的存储器设备。UIM 38可以例如包括订户身份模块(SIM)、受信任硬件模块、通用集成电路卡(UICC)、通用订户身份模块(USIM)、可拆卸用户身份模块(R-UIM)等。UIM 38可以存储与移动订户有关的信元。除了UIM 38之外,移动终端10还可以配备有存储器。例如移动终端10可以包括易失性存储器40,比如易失性随机存取存储器(RAM),该RAM包括用于暂存数据的高速缓存区。移动终端10也可以包括可以嵌入和/或可以可拆卸的其它非易失性存储器42。除此之外或者取而代之,非易失性存储器42还可以包括电可擦除可编程只读存储器(EEPROM)、闪存等。存储器可以存储移动终端10为了实施移动终端10的功能而需要的多条信息和数据中的任何信息和数据。例如存储器可以包括能够唯一标识移动终端10的标识符(比如国际移动设备标识(IMEI)码)。另外,存储器可以存储用于确定小区id信息的指令。具体而言,存储器可以存储用于由控制器20执行的应用程序,该应用程序确定移动终端10与之通信的当前小区的身份(即小区id身份或者小区id信息)。可以在硬件、软件和/或其某一组合中实现UIM。除了IMEI之外或者取而代之,用户身份也可以包括另一标识符(例如线路标识符)。
图2图示了可以受益于本发明实施例的简单网络模型的框图。如图所示,示出了用户设备(UE)50(该UE的例子可以包括图1的移动终端10)与归属网络52(比如蜂窝网络)通信。尽管移动电话是移动终端的常见例子,但是移动电话仅举例说明可以受益于本发明实施例的一种类型的移动终端、因此不应构成对本发明的范围的限制。另外,虽然将主要与移动通信应用结合描述本发明的实施例,但是可以在移动通信业内和在移动通信业以外与多种其它应用(比如网站访问、电视(TV)、新闻服务、竞拍服务)结合来利用本发明的其它实施例。
虽然在图2中未示出,但是在归属网络52是蜂窝网络的实施例中,UE 50一般包括用于向一个或者多个收发器基站(BTS)(也称为基站或者用于更新网络的eNB、归属(e)NB或者WLAN接入点)发送信号和从该BTS接收信号的天线。BTS是各自包括操作网络而需要的单元的一个或者多个蜂窝或者移动网络的部分。BTS可以充当在网络与移动节点之间的接口,因为BTS将数字数据转换成无线电信号而将无线电信号转换成数字数据。每个BTS一般具有关联无线电塔或者天线并且使用无线电链路来与各种接入终端通信。具体而言,BTS可以通过对前向信号集的调制和发送来与各种接入终端通信,同时BTS可以从参与无线网络活动(例如电话呼叫、网上浏览会话等)的各种接入终端接收反向信号集并且解调这些信号集。
BTS一般可以连接到一个或者多个基站控制器(BSC)。在BTS与BSC之间的连接可以例如使用非信道化T1设施或者直接线缆。BSC可以用来对接(聚集)从BTS的天线到达的所有射频(RF)业务并且向移动切换中心(MSC)提供这一业务。BSC一般负责管理用于一个或者多个BTS的无线电资源。例如BSC可以处置无线电信道设置、调频和切换。另外,MSC负责提供在包括BTS、BSC和分组控制功能(PCF)的无线电接入网络(RAN)与公共交换电话网络(PSTN)之间的接口。具体而言,MSC可以控制为了建立呼叫并且向BSC和PCF分配RF资源而需要的信令。在操作中,MSC能够在移动终端发出和接收呼叫、数据等时对去往和来自那些移动终端的呼叫、数据等寻路由。MSC也可以在呼叫中涉及到移动站时提供与路线干线的连接。
PCF可以用来在移动终端(当在BTS之一的范围内时)与分组数据服务节点(PDSN)之间对网际协议(IP)分组数据寻路由。PDSN又可以用来提供向一个或者多个IP网络(如例如因特网、内部网、应用服务器或者公司虚拟专用网(VPN))的接入。以这一方式,PDSN充当接入网关。网络可以利用或者可以不利用网络地址转换。
虽然这里未示出和描述每个可能网络的每个单元,但是应当理解UE 50可以使用多个不同模式(这里也称为协议)中的任何模式中的一个或者多个模式来耦合到多个不同网络中的任何网络中的一个或者多个网络。就这一点而言,网络可以能够支持根据多个一代(1G)、二代(2G)、2.5G、三代(3G)、3.9G、四代(4G)移动通信协议中的任何一个或者多个移动通信协议的通信或者那些通信协议与其它无线电技术等的相互作用。更具体而言,移动终端可以耦合到网络,该网络能够支持根据2G无线通信协议IS-136(TDMA)、GSM和IS-95(CDMA)的通信。又例如,网络可以能够支持根据2.5G无线通信协议通用分组无线电服务(GPRS)、增强型数据GSM环境(EDGE)等的通信。此外,例如一个或者多个网络还可以能够支持根据3G无线通信协议(比如CDMA2000和运用宽带码分多址(WCDMA)无线电接入技术的通用移动电话系统(UMTS)网络)的通信。此外,网络还可以能够支持广域网(WAN)通信(比如WLAN(IEEE 702.11)或者全球微波接入互操作性(WiMAX)(702.16)或者固定线路接入)。一些窄带高级移动电话服务(NAMPS)以及全接入通信系统(TACS)网络也可以如双模或者更高模式移动站(例如数字/模拟或者TDMA/CDMA/模拟电话)应当的那样受益于本发明的实施例。
现在参照图2,该图图示了例如根据基本GBA框架的网络模型,在该GBA框架中,归属网络52包括自举服务器功能(BSF)54、归属订户系统(HSS)56和网络应用功能(NAF)58。尽管下文描述图2的网络模型,但是这一网络模型是以示例方式而非限制地提供的,因为其它网络模型可以相似地支持本发明的实施例。然而关于图2注意其它NAF可以存在于归属网络中或者外网中。虽然未示出,但是归属网络52还可以包括归属位置寄存器(HLR)或者认证、授权和计费(AAA)服务器。AAA、HLR和HSS可以包括数据库,这些数据库包含用于访问授权的密码信息以及用户身份信息。因而无论下文何时使用术语HSS,该术语应当视为如下数据库的例子,该数据库包含用于访问授权的密码信息以及用户身份信息并且可替换为HLR、AAA等。BSF 54可以是如图2中所示位于移动终端(例如UE 50)的归属网络52中的服务器或者其它计算设备,该服务器或者计算设备被配置成允许在UE 50与BSF 54之间自举共享密钥Ks。NAF 58可以是应用专属服务器或者在归属网络52(或者其它网络)内的可以在UE 50与所谓NAF 58的应用服务器之间使用其它计算设备(使用导出的应用密钥,称为Ks_(ext/int)_NAF)。Ks_(ext/int)_NAF是应用服务器专属的,因为每个应用服务器将具有根据主密钥Ks导出的不同应用密钥Ks_(ext/int)_NAF,因此保证不同应用服务器未共享相同应用密钥。符号表示Ks_(ext/int)_NAF意味着如果使用GBA的终端变体,则导出一个密钥Ks_NAF,如果使用GBA的智能卡专属变体(称为GBA_U),则在智能卡中导出两个密钥Ks_int_NAF和Ks_ext_NAF而仅Ks_ext_NAF离开智能卡。注意,虽然这里使用的术语BSF和NAF通常与GBA框架关联,但是这样的术语应当理解为适用于也具有可以在GBA框架以外的对应功能的设备。BSF可以服务于大范围的网络类型而未必限于一种网络类型。BSF也可以是订户数据库(比如HSS)的集成部分。
在一个示例实施例中,HSS 56可以包括用户的GBA用户安全设置(GUSS)的完整集合。GUSS也可以外部存储于BSF附近。HLR可以包括在向除了归属网络52之外的网络切换呼叫时使用的订户信息,并且AAA服务器可以规定用户有权访问的计算机资源并且保持对网络内的用户活动的跟踪。然而应当注意网络模型的替代示例实施例可以不包括上文描述的部件中的一个或者多个部件和/或可以包括附加部件。例如在第三代伙伴项目2(3GPP2)中,GBA自举可以基于存储于HSS 56(在该情况下可以使用AKA(认证和密钥协定))或者HLR(在该情况下可以使用蜂窝认证和语音加密(CAVE))或者AAA服务器(在该情况下可以使用移动IP认证)中的长期共享秘密。在3GPP中,GBA自举基于存储于HSS 56中的长期共享秘密(并且使用AKA)。
在一个示例实施例中,NAF 58和BSF 54可以各自分别包括对应处理器59和55。处理器59和55可以在本地并且分别与NAF 58和BSF 54关联并且可以例如被配置成执行在位于相应处理器59和55或者可由相应处理器59和55访问的存储器中存储的指令用于执行如这里限定的对应功能。可以用诸多方式实现处理器(比如这里描述的处理器)。例如处理器可以体现为处理器、协同处理器、控制器或者各种其它处理装置或者电路(包括集成电路(如例如ASIC(专用集成电路)))。这样,虽然NAF 58和BSF 54中的每项可以是配置成执行NAF 58和BSF 54的相应功能的在硬件、计算机程序产品或者硬件与软件的组合中体现的任何装置或者设备,但是处理器59和55可以代之以分别控制或者以别的方式实现为NAF 58和BSF 55。
在图2的例子网络模型中,可以经由接口建立在各种单元之间的通信。例如UE 50可以经由第一接口(Ua)60(例如经由IP、HTTP协议)来与NAF 58通信。UE 50可以经由第二接口(Ub)62来与BSF 54通信(例如运行用于认证的AKA)。BSF 54可以经由第三接口(Zn)64(例如经由DIAMETER或者网上服务协议)来与NAF58通信。BSF 54可以经由第四接口(Zh)66(例如经由DIAMETER、远程认证拨入用户服务(RADIUS)或者消息应用协议(MAP)协议)来与HSS 56(和/或如果适用则与HLR和AAA服务器)通信。注意在那些接口中可以有代理(例如diameter D代理)。因此例如为了开始自举过程,UE 50可以经由Ub接口62向BSF 54提交自举请求。在接收自举请求时,BSF 54和UE 50通过Ub接口62继续包括消息交换的自举过程,该消息交换可以涉及到在UE 50与BSF 54之间的两个或者更多往返并且可以涉及到在UE 50与归属网络52之间的相互认证。这一实施例的自举过程在UE 50和BSF 54均产生共享秘密Ks(具有关联B-TID和寿命)。随后,当UE 50尝试经由Ua接口60来与NAF 58通信时,UE 50可以根据Ks导出具体Ks_(ext/int)_NAF(例如一个或者若干应用专用密钥)(基于包括NAF 58的身份的信息使用预定义密钥导出函数(KDF))。在这一实施例中,UE 50向NAF 58传送B-TID,该NAF然后将经由Zn接口64联络BSF 54。BSF 54然后可以联络HSS以通过Zh或者Zh’接口获得用于导出Ks的所需数据并且可选地也还包括与安全性有关的信息(例如GBA用户安全性设置(GUSS))。然后,这一实施例的BSF以与US 50相同的方式导出Ks_(ext/int)_NAF并且向NAF 58返回Ks_(ext/int)_NAF(也可以与密钥一起提供密钥寿命和用户安全设置(USS)(该USS可以作为GUSS的部分))。然后可以经由新Ks_(ext/int)_NAF或者根据这些密钥导出的更多密钥保护UE 50和NAF 58执行的应用所进行的后续通信。
目前,经由Zn接口64的通信可以限于交换用于获取密钥、USS和对应密钥寿命的信息。应当注意Zn接口可以在一些情况下利用Zn代理并且则称为Zn’接口。
根据本发明实施例的一个示例性方面,可以单独和/或在计算机程序产品的控制之下通过包括上文描述的手段的各种手段(比如硬件和/或固件)执行系统的一个或者多个实体(比如BSF 54、NAF58、UE 50或者任何其它单元)执行的功能。用于执行本发明示例实施例的一个或者多个功能的计算机程序产品可以包括计算机可读存储介质(比如非易失性存储器介质)以及在计算机可读存储介质中体现的包括计算机可读程序代码部分(比如一系列计算机指令)的软件。
下文再次参照图2描述根据自举架构并且作为更具体例子GBA架构的消息流的另一示例性实施例。UE可以通过Ub 62参考点向BSF发送自举HTTP请求,其中Ua 60和Ub 62是与UE 50的接口。BSF 54然后可以基于请求来确定IMPI或者其它标识符。如果有若干HSS 56,则BSF 54可以查询LF 55以针对UE 50的用户确定正确HSS 56的名称。BSF 54然后可以从HSS 56通过参考点Zh 66取回GUSS设置的完整集合和一个认证矢量(AV),其中Zh是在BSF 54与HSS之间的参考点并且它允许BSF获取所需认证证书。BSF可以使用GUSS的本地副本。如果具有基于用户身份模块的增强的GVA(GBA_U)将由NAF 58使用,则可以使用GUSS。如果未部署具有Zh参考点的HSS,则这一实施例的BSF从具有Zh’参考点支持的HLR或者HSS通过参考点Zh’取回认证矢量。接着BSF可以在“401”错误消息中向UE转发认证数据参数(RAND)和认证令牌(AUTN)。这一错误消息将需要UE认证其本身。UE然后可以校验AUTN以验证挑战来自已授权网络。UE也可以计算CK、IK和RES,该CK、IK和RES将产生UE中的会话密钥IK和CK。UE然后可以向BSF发送包含(使用RES计算的)摘要AKA响应的另一HTTP请求。BSF然后可以通过验证摘要AKA响应来认证UE。BSF然后可以通过级联CK和IK来生成主密钥材料Ks。BSF可以生成应用专属密钥Ks_(ext/int)_NAF。BSF也可以生成B-TID值。BSF可以向UE发送包括B-TID的200OK消息以表明认证成功。此外,在200OK消息中,BSF可以供应密钥Ks的寿命。在UE中生成密钥材料Ks。UE和BSF均可以使用Ks导出将用于保护参考点Ua的应用专属密钥材料Ks_NAF。如果使用GBA_U,则Ks_ext_NAF可以用于保护Ua参考点。UE和BSF可以将密钥Ks与关联B-TID一起存储用于进一步使用,直至Ks的寿命已经到期或者直至更新密钥Ks或者直至满足删除条件为止。
自举架构(比如GBA)可以使用于诸如多媒体广播多播服务(MBMS)、增强型MBMS、接入网络发现和服务功能(ANDSF)、开放移动联盟(OMA)XML文档管理、存在安全等诸多服务中。GBA可以使用具有GBA_U认知通用集成电路卡(UICC)应用的通用用户身份模块(USIM)、IP多媒体服务身份模块(ISIM)或者SIM卡。
作为共享身份服务的例子,OpenID协议由OpenID基金会规范并且使用基于统一资源定位符(URL)的标识符。OpenID基于HTTPPOST和REPLY。这里参照图3描述OpenID的消息流的一个示例性实施例。UE 350中的浏览器可以向RP 370发送用户供应的标识符,该RP又可以正规化用户供应的标识符。RP 370然后可以取回OpenID提供商(OP)380的地址并且执行对终端用户希望用于认证的OP端点URL的发现(基于用户供应的标识符)。RP 370和OP 380然后可以在390使用Diffie-Hellman密钥交换协议来建立共享秘密(称为关联)。共享秘密的目的在于OP 380可以对后续消息签名并且RP 370可以更容易验证那些消息。该关联可选而并非必须用于相互作用的目的。RP 370然后可以用OpenID认证请求将UE 350的浏览器重定向至OP 380。OP 380确认终端用户是否被授权执行OpenID认证并且希望这样做。OP 380可以用认证被批准这样的断言或者认证失败的消息将UE 350的浏览器重定向回到RP 370。RP 370然后可以验证从OP 380接收的信息,从而用户变为被认证。
可能希望组合自举架构(比如GBA)的功能与共享身份服务(比如OpenID架构)以保证通过自举架构(例如GBA)的与服务提供商的安全会话而又能够向服务提供商供应用户信息和/或使用共享身份服务(例如OpenID架构)来访问用户账户。自举架构和共享身份服务的相互作用因此可以通过增加用户可以安全访问服务的效率和简易性的来提供增强的用户体验。
已经这样描述根据自举架构(例如GBA)和共享身份服务(例如OpenID架构)的消息流,这里参照图4描述如分别例如由GBA和OpenID架构代表的自举架构和共享身份服务的相互作用的一个示例性实施例。在所示实施例中,NAF 458的功能与OP 480共同定位。可以用库的形式向OpenID服务器添加NAF 458的功能。图4的虚线代表源于OpenID架构的接口,而实线代表源于GBA架构的接口。UE 450使用浏览器来与OP 480通信。Ua 460的协议可以基于3GPP标准TS 24.109和TS 33.222并且由OP/NAF和UE 450支持。OP/NAF和UE可以支持Ua 460协议的变体。OP 480和RP 470可以在475使用基于HTTP的Diffie-Hellmann协议来通信。尽管图4图示了在NAF/OP与UE之间的两个接口,但是可以仅有一个接口,因为Ua 460是应用协议,该应用协议在这一情况下可以是OpenID超文本传送协议安全(HTTPS)。
图5图示了图4的系统的GBA和OpenID架构相互作用的消息流的一个示例性实施例。尽管参照图5的单元,但是图4的单元提供支持图5的消息流的系统的一个示例性实施例。在描述的示例性实施例中,浏览器常驻于UE 550中。用户可以从UE 550浏览因特网并且遇到支持OpenID的网页。用户可以希望使用OpenID来登录网页中以体验增强的功能(比如能够评论博客)。用户可以点击OpenID登录按钮,并且UE的浏览器可以在操作500向RP 570发送用户供应的标识符(例如OpenID标识符)。OpenID可以使用在OP与RP之间使用的以URI(统一资源标识符)或者XRI(可扩展资源标识符)这一形式或者以URL(统一资源定位符)这一格式的标识符。这一实施例的浏览器由此提供关于运营商的域的信息以保证可以成功利用OpenID发现过程。注意这一标识符可以是假名标识符而不例如通过提供表示匿名用户的专门构造的串来提供关于具体用户本身的信息。关于何时和何处创建这一假名标识符可能存在一些变体。例如用户也可以使用GBA机制提前在某一时间创建一系列假名。取而代之,用户可以计算这些假名而未预先涉及到运营商(比如当向用户分配具体值范围时)。
可选地,在RP 570的服务可以被配置成发现与用户和/或UE关联的唯一编号或者其它标识符(比如移动订户国际用户目录号码(MSISDN)、E.164命名法定义的用于标识移动设备的唯一号码)。这一唯一标识符(比如MSISDN)可以用作OpenID标识符,或者OpenID标识符可以与发现的MIISDN关联,从而RP识别MSISDN并且确定OpenID标识符。可以在UE实施浏览器插件以允许MSISDN映射到OpenID标识符。另外,RP可以允许向OpenID登录窗中录入MSISDN,从而用户可以使用MSISDN来登录RP。一旦UE导航到RP,RP的登录窗就可以能够用来自UE的MSISDN自动填充登录窗。可以使用在IETF RFC 3761中概括的ENUM过程(www.ietf.org/rfc/rfc3761.txt)来执行MISISDN转译成OpenID标识符。概括而言,ENUM过程将标识符(比如电话号码(例如MSISDN))转换成与域名系统(DNS)查找对应的串以便标识可用于电话号码的服务。新服务可以是然后可以取回以作为DNS资源记录的OpenID标识符。在ENUM过程中将需要注册新服务。
因此对于GBA与OpenID的相互作用,用户可以使用可由NAF识别的移动网络运营商(MNO)专属标识符。在一个实施例中,当用户向具有OpenID功能的服务注册时,浏览器提供关于运营商域的信息以保证可以成功使用OpenID发现过程。这可以使用MSISDN或者假名(如果支持)来完成。一旦比如基于上文概括的假名方法或者唯一标识符(例如MSISDN)方法确定用户供应的标识符,就可以正规化用户供应的标识符,并且RP 570可以在操作502取回OP 580的地址并且执行对终端用户希望用于认证的OP端点URL的发现(基于用户供应的标识符)。
RP 570和OP 580然后可以在操作504使用Diffie-Hellman密钥交换协议来建立共享秘密(称为关联)。这一共享秘密的目的在于OP可以对后续消息签名并且RP可以容易验证那些消息。关联并非必须用于相互作用的目的。如果OP和RP未驻留于相同MNO的控制之下,则使用关联可以是有利的。
RP 570然后可以在操作506用OpenID认证请求将UE的浏览器重定向到OP 580。RP可以向openid.claimed_id字段中并且向openid.identity字段中插入来自操作500的用户供应的标识符。UE然后可以在操作508向OP发送HTTP GET请求。
NAF 580然后可以在操作510发起UE 550的认证并且用HTTPS响应代码401“未授权”做出响应,该响应代码包含携带挑战的WWW认证标头,该挑战请求UE将摘要认证与如在3GPP标准TS 33.222中指定的GBA以及服务器侧证书一起使用。如果无Ks可用,则UE可以在操作512与BSF自举,这造成UE处理有效Ks。根据这一操作,UE 550可以导出应用专属(OpenID专属)Ks_(ext/int)_NAF密钥。
UE 550然后可以在操作514向NAF 580生成HTTP GET请求。HTTP请求可以携带授权标头,该授权标头包含来自BSF 554的B-TID。如果使用GBA推送,则未从BSF接收B-TID,但是GPI的部分可以包含取代B-TID而使用的P-TID。使用B-TID和NAF_ID,NAF 580在操作516通过基于Zn参考点的网络服务从BSF 554取回共享应用专属NAF密钥并且可选地取回USS(如果使用GBA_U(即Ks_int/ext_NAF),则应当支持GUSS)。可选地,OP/NAF 580可以从BSF 554接收其它标识符(比如IMPI、MSISDN和/或存储于USS中的其它标识符)。NAF 580可以存储B-TID、密码密钥和用户供应的标识符以允许匹配OpenID用户会话和GBA会话。由于OpenID基于HTTP(S),所以NAF/OpenID服务器可以提供对与基于网络服务的Zn参考点相互作用的场景的支持。OpenID可以支持Zn参考点的基于Diameter的实现方式,尽管OP更可能支持基于HTTP(S)的参考点。USS可以包含授权信息,NAF然后可以取回取回该授权信息。OP可以基于本地或者在USS中存储的授权信息来确认终端用户是否被授权执行OpenID认证并且希望这样做。USS由此可以充当中心授权和隐私数据存储库。具体而言,USS可以包含关于被允许与中继方共享的信息类型的信息。这一授权信息可以由用户并且由运营商基于它们与中继方的业务关系以及它们达成协定的条件来贡献。
NAF/OP 580然后可以针对OpenID认证用户。NAF可以将浏览器重定向到返回OpenID地址(例如OP在操作518用认证被授权这样的断言或者认证已经失败的消息将UE的浏览器重定向到RP570)。响应标头可以包含限定认证断言的多个字段。NAF可以用200OK消息做出响应。RP 570然后可以在操作520比如通过校验认证是否被批准来使断言生效。如果先前建立共享秘密(关联),则它现在可以用来验证来自OP的消息:如果断言的生效和消息的验证(如果使用共享秘密)成功。则用户可以登录RP的服务。
就这一点而言,图7和图8各自是根据本发明示例性实施例的方法和程序产品的流程图。将理解可以通过各种手段(比如硬件、固件和/或包括一个或者多个计算机程序指令的计算机程序产品)实施流程图的每个块和流程图中的块的组合。如将理解的那样,任何这样的计算机程序指令可以加载到计算机或者其它可编程装置(即硬件)上以产生机器,从而在计算机或者其它可编程装置上执行的指令创建用于实施在流程图的块中指定的功能的装置。这些计算机程序指令也可以存储于计算机可读存储器中,该存储器可以指引计算机或者其它可编程装置以具体方式工作,从而存储于计算机可读存储器中的指令产生实施在流程图的块中指定的功能的制造产品。计算机程序指令也可以加载到计算机或者其它可编程装置上以使系列操作在计算机或者其它可编程装置上执行以产生计算机实施的过程,从而在计算机或者其它可编程装置上执行的指令实施在流程图的块中指定的功能。
因而流程图的块支持用于执行指定功能的装置的组合、用于执行指定功能的操作的组合和用于执行指定功能的程序指令装置。也将理解流程图的一个或者多个块和流程图中的块的组合可以由执行指定功能的基于硬件的专用计算机系统实施或者专用硬件与计算机指令的组合实施。
在图6中示出了在自举架构与共享身份服务并且例如在通用自举架构与OpenID架构之间相互作用的示例性方法。在这一实施例中,UE在块601向RP发送用户供应的标识符。这一用户供应的标识符可以是以如上文所言假名或者MSISDN的形式。这一实施例的RP然后在块602取回OP地址。RP然后可以在块603与OP建立共享秘密。共享秘密可以使用Diffie-Hellman密钥交换协议来建立而并非必须用于相互作用的目的。这一实施例的RP然后在块604用OpenID认证请求将UE重定向到OP。UE然后可以在块605向OP发送HTTPS GET请求。在这一实施例中,OP/NAF在块606认证来自UE的请求,然后UE在块607使用GBA来与BSF自举。NAF可以在块608从BSF取回通过GBA生成的密钥。这一实施例的OP/NAF在块610用认证断言将UE浏览器重定向到RP之前在块609认证UE。RP然后在块611使断言生效,并且用户可以登录到RP的服务。
在图7中示出了用于在自举架构与共享身份服务之间(比如在GBA与OpenID架构之间)相互作用的另一示例性方法。在这一实施例中,浏览器在块701(可能从移动设备或者其它用户设备)访问服务。然后可以在块702发送用户供应的标识符(比如MSISDN或者假名)。浏览器或者用户设备装置可以在块703接收用于重定向到共享身份提供商的指令。重定向可以包括身份字段,该身份字段包含假名或者基于MSISDN确定的标识符。用户设备然后可以在块704提供发送HTTP GET请求。响应于HTTP GET请求,在块705从这一实施例的共享身份提供商接收认证。随后,用户设备然后可以在块706发起自举过程。然后可以在块707将用户设备重定向到中继方,从而用户设备在块708提供向中继方发送认证断言。一旦被认证,在块709与服务的安全会话就可以继续。
在图8的流程图中示出了用于在共享身份架构与自举架构之间相互作用的又一示例性方法。装置(比如UE)可以在块801请求来自中继方的服务。该请求可以包括用于单个签名标识符的用户供应的标识符(比如假名或者MSISDN)。然后可以在块802与共享身份提供商(OpenID提供商)建立会话。然后可以在块803与自举服务功能建立会话。随后可以在块804向中继方发送共享身份认证和自举认证。然后可以在块805与请求的服务开始会话。
在图9的流程图中图示了用于在共享身份架构与自举架构之间相互作用的另一示例性方法。该方法包括在块901接收针对共享密钥兼容服务的服务请求以及以假名这一形式的用户供应的标识符。该请求可以来自用户设备。该方法还包括在块902基于用户供应的标识符获得共享身份提供商端点URL并且如在块903中那样用身份字段中的用户供应的标识符将用户设备重定向到共享身份提供商。该方法还包括如在块904中那样从用户设备接收包括用户供应的标识符的认证断言。该方法也包括如块905中所示使认证断言生效。用户供应的标识符可以是以假名的形式的,并且将用户设备重定向到共享身份提供商可以包括在身份字段中包括假名或者假名导出的身份,比如通过将openid.claimed_id中的假名或者假名导出的身份包括到openid.identity字段中。可选地,用户供应的标识符可以是以MSISDN形式的,其中可以读取、人工录入或者自动录入MSISDN,并且其中MSISDN可以转译成共享身份标识符(比如OpenID标识符)。使认证断言生效可以包括将用户供应的标识符与可以在服务器(例如共享身份提供商的服务器)上维护的安全设置相匹配。另外,安全设置可以包括可以由用户或者由服务提供商提供的关于被允许共享的信息类型的授权信息。用户安全设置也可以包括自举会话标识符和用户供应的标识符。
在一个示例性实施例中,用于执行图7、图8或者图9的方法的装置可以包括配置成执行上文描述的操作(601-611,701-709,801-805或者901-905)中的一些或者每个操作的处理器。处理器可以例如被配置成通过执行硬件实施的逻辑功能、执行存储的指令或者执行用于执行每个操作的算法来执行操作(601-611,701-709,801-805或者901-905)。取而代之,该装置可以包括用于执行上文描述的操作中的每个操作的装置。就这一点而言,根据一个示例性实施例,用于执行操作601-611、701-709、801-805或者901-905的装置的例子可以例如包括如上文描述的用于执行指令或者执行用于处理信息的算法的处理器、存储器和/或电路中的对应处理器、存储器和/或电路。
根据一个示例性实施例的装置的例子可以包括至少一个处理器和至少一个存储器,该存储器包括计算机程序代码。至少一个存储器和计算机程序代码可以被配置成与至少一个处理器一起使装置执行操作601-611、701-709、801-805或者901-905。
根据一个示例性实施例的计算机程序产品的例子可以包括至少一个计算机可读存储介质,该存储介质具有存储于其中的计算机可执行程序代码部分。计算机可执行程序代码部分可以包括用于执行操作601-611、701-709、801-805或者901-905的程序代码指令。
从在前文描述和关联附图中呈现的教导中受益的本领域技术人员将想到这里阐述的本发明的诸多修改和其它实施例。因此将理解本发明并不限于公开的具体实施例,并且修改和其它实施例旨在于包含于所附权利要求书的范围内。虽然这里运用具体术语,但是它们仅在通用和描述意义上加以使用而非出于限制的目的。
Claims (21)
1.一种方法,包括:
使请求被提供到服务提供商;
接收到共享身份服务的重定向;
使认证请求被提供到所述共享身份服务;
接收共享身份服务认证;
建立用户会话安全密钥;以及
使用所述会话安全密钥和所述共享身份服务认证来与服务提供商建立会话。
2.根据权利要求1所述的方法,其中使用通用自举架构来执行建立所述用户会话安全密钥。
3.根据权利要求1所述的方法,其中向所述服务提供商的所述请求包括用户标识符。
4.根据权利要求3所述的方法,其中所述用户标识符是假名。
5.根据权利要求1所述的方法,其中所述用户会话安全密钥是自举事务标识符。
6.根据权利要求1所述的方法,其中所述服务提供商响应于接收所述请求来与所述共享身份服务建立共享秘密。
7.根据权利要求1所述的方法,其中与所述服务提供商建立会话包括向网络应用功能供应所述用户安全密钥,响应于供应所述用户安全密钥从所述网络应用功能接收认证信息,以及向所述服务提供商提供认证断言。
8.一种装置,包括至少一个处理器和至少一个存储器,所述至少一个存储器包括计算机程序代码,所述至少一个存储器和所述计算机程序代码被配置成与所述至少一个处理器一起使所述装置执行:
使请求被提供到服务提供商;
接收到共享身份服务的重定向;
使认证请求被提供到所述共享身份服务;
接收共享身份服务认证;
建立用户会话安全密钥;以及
使用所述会话安全密钥和所述共享身份服务认证来与服务提供商建立会话。
9.根据权利要求8所述的装置,其中使用通用自举架构来执行建立用户会话安全密钥。
10.根据权利要求8所述的装置,其中向所述服务提供商的所述请求包括用户标识符。
11.根据权利要求10所述的装置,其中所述用户标识符是假名。
12.根据权利要求8所述的装置,其中所述用户会话安全密钥是自举事务标识符。
13.根据权利要求8所述的装置,其中所述服务提供商响应于接收所述请求来与所述共享身份服务建立共享秘密。
14.根据权利要求8所述的装置,其中与所述服务提供商建立会话包括向网络应用功能供应所述用户安全密钥,响应于供应所述用户安全密钥从所述网络应用功能接收认证信息,以及向所述服务提供商提供认证断言。
15.一种计算机程序产品,包括至少一个计算机可读存储介质,所述至少一个计算机可读存储介质具有存储于其中的计算机可执行程序代码指令,所述计算机可执行程序代码指令包括:
用于使请求被提供到服务提供商的程序代码指令;
用于接收到共享身份服务的重定向的程序代码指令;
用于使认证请求被提供到所述共享身份服务的程序代码指令;
用于接收共享身份服务认证的程序代码指令;
用于建立用户会话安全密钥的程序代码指令;以及
用于使用所述会话安全密钥和所述共享身份服务认证来与服务提供商建立会话的程序代码指令。
16.根据权利要求15所述的计算机程序产品,其中使用通用自举架构来执行用于建立用户会话安全密钥的所述程序代码指令。
17.根据权利要求15所述的计算机程序产品,其中向所述服务提供商的所述请求包括用户标识符。
18.根据权利要求17所述的计算机程序产品,其中所述用户标识符是假名。
19.根据权利要求15所述的计算机程序产品,其中所述用户会话安全密钥是自举事务标识符。
20.根据权利要求15所述的计算机程序产品,其中所述服务提供商响应于接收所述请求来与所述共享身份服务建立共享秘密。
21.根据权利要求15所述的计算机程序产品,其中用于与所述服务提供商建立会话的所述程序代码指令包括用于向网络应用功能供应所述用户安全密钥的程序代码指令、用于响应于供应所述用户安全密钥从所述网络应用功能接收认证信息的程序代码指令,以及用于向所述服务提供商提供认证断言的程序代码指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US25291809P | 2009-10-19 | 2009-10-19 | |
| US61/252,918 | 2009-10-19 | ||
| PCT/IB2010/054736 WO2011048551A1 (en) | 2009-10-19 | 2010-10-19 | User identity management for permitting interworking of a bootstrapping architecture and a shared identity service |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102550001A true CN102550001A (zh) | 2012-07-04 |
| CN102550001B CN102550001B (zh) | 2015-07-08 |
Family
ID=43899874
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080045598.6A Ceased CN102550001B (zh) | 2009-10-19 | 2010-10-19 | 用于允许自举架构和共享身份服务相互作用的用户身份管理 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8943321B2 (zh) |
| EP (1) | EP2491695A4 (zh) |
| CN (1) | CN102550001B (zh) |
| WO (1) | WO2011048551A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106714154A (zh) * | 2015-07-13 | 2017-05-24 | 沃达方Ip许可有限公司 | 通用自举架构协议 |
| CN107113609A (zh) * | 2014-12-17 | 2017-08-29 | 英特尔Ip公司 | 用于订户身份模块容器的ota配设的订户身份模块提供商装置和方法 |
| CN109088890A (zh) * | 2018-10-18 | 2018-12-25 | 国网电子商务有限公司 | 一种身份认证方法、相关装置及系统 |
| US11303622B2 (en) | 2015-11-13 | 2022-04-12 | Huawei Technologies Co., Ltd. | Key distribution method, key receiving method, first key management system, and first network element |
| CN114503630A (zh) * | 2019-10-04 | 2022-05-13 | 三星电子株式会社 | 激活5g用户的方法和装置 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060085556A1 (en) * | 2004-09-30 | 2006-04-20 | Chueng-Hsien Lin | Method and apparatus for accessing CDMA2000 networks |
| WO2012017562A1 (en) * | 2010-08-04 | 2012-02-09 | Telefonaktiebolaget L M Ericsson (Publ) | Telephone, control method therefor, provisioning server, and control method therefor |
| US8881247B2 (en) * | 2010-09-24 | 2014-11-04 | Microsoft Corporation | Federated mobile authentication using a network operator infrastructure |
| JP5289480B2 (ja) * | 2011-02-15 | 2013-09-11 | キヤノン株式会社 | 情報処理システム、情報処理装置の制御方法、およびそのプログラム。 |
| US9275254B2 (en) * | 2011-03-22 | 2016-03-01 | Fmr Llc | Augmented reality system for public and private seminars |
| JP5865992B2 (ja) * | 2011-03-23 | 2016-02-17 | インターデイジタル パテント ホールディングス インコーポレイテッド | ネットワーク通信をセキュアにするためのシステムおよび方法 |
| SG192990A1 (en) | 2011-04-01 | 2013-10-30 | Ericsson Telefon Ab L M | Methods and apparatuses for avoiding damage in network attacks |
| US10044713B2 (en) | 2011-08-19 | 2018-08-07 | Interdigital Patent Holdings, Inc. | OpenID/local openID security |
| JP5898319B2 (ja) * | 2011-09-29 | 2016-04-06 | インターデイジタル パテント ホールディングス インコーポレイテッド | 訪問先ネットワークと統合されたアプリケーションへのアクセスを可能にするための方法および装置 |
| EP2773142B1 (en) * | 2011-10-28 | 2022-01-05 | Samsung Electronics Co., Ltd. | Method and apparatus for single sign-on in a mobile communication system |
| US8776197B2 (en) * | 2011-12-09 | 2014-07-08 | Verizon Patent And Licensing Inc. | Secure enterprise service delivery |
| US9251315B2 (en) | 2011-12-09 | 2016-02-02 | Verizon Patent And Licensing Inc. | Security key management based on service packaging |
| US8990555B2 (en) * | 2012-08-14 | 2015-03-24 | Verizon Patent And Licensing Inc. | Centralized key management |
| KR101881844B1 (ko) | 2013-05-22 | 2018-07-26 | 콘비다 와이어리스, 엘엘씨 | 액세스 네트워크 지원형 부트스트랩핑 |
| US9374237B2 (en) * | 2014-02-14 | 2016-06-21 | Verizon Patent And Licensing Inc. | Virtual rendezvous point (RP) address for multicast RP device |
| US9449160B1 (en) | 2014-02-18 | 2016-09-20 | Google Inc. | Methods and systems of adding a user account to a device |
| CN105407410A (zh) * | 2014-09-02 | 2016-03-16 | 风网科技(北京)有限公司 | 多终端视频内容添加至电视观看方法及其系统 |
| CN106909811B (zh) * | 2015-12-23 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 用户标识处理的方法和装置 |
| US20190014095A1 (en) * | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| US10635792B2 (en) * | 2017-08-31 | 2020-04-28 | Sybase 365, Inc. | Multi-factor authentication with URL validation |
| US10880291B2 (en) | 2018-02-09 | 2020-12-29 | Cisco Technology, Inc. | Mobile identity for single sign-on (SSO) in enterprise networks |
| US11382057B2 (en) | 2020-05-01 | 2022-07-05 | Qualcomm Incorporated | UE optimization to move between wireless communication networks based on SUCI support |
| CN114338065A (zh) * | 2020-09-30 | 2022-04-12 | 中兴通讯股份有限公司 | 安全通讯方法、装置、服务器及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007085175A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile |
| US20070204160A1 (en) * | 2005-12-01 | 2007-08-30 | Chan Tat K | Authentication in communications networks |
| CN101160779A (zh) * | 2005-04-18 | 2008-04-09 | 朗迅科技公司 | 提供新鲜会话密钥 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101032142B (zh) | 2003-12-29 | 2011-05-18 | 艾利森电话股份有限公司 | 通过接入网单一登录访问服务网络的装置和方法 |
| US8499153B2 (en) * | 2004-06-24 | 2013-07-30 | Nokia Corporation | System and method of authenticating a user to a service provider |
| US20060020791A1 (en) * | 2004-07-22 | 2006-01-26 | Pekka Laitinen | Entity for use in a generic authentication architecture |
| TWI394466B (zh) | 2005-02-04 | 2013-04-21 | Qualcomm Inc | 無線通信之安全引導 |
| KR100953092B1 (ko) * | 2007-11-06 | 2010-04-19 | 한국전자통신연구원 | Sso서비스 방법 및 시스템 |
-
2010
- 2010-10-19 WO PCT/IB2010/054736 patent/WO2011048551A1/en active Application Filing
- 2010-10-19 CN CN201080045598.6A patent/CN102550001B/zh not_active Ceased
- 2010-10-19 US US13/500,491 patent/US8943321B2/en active Active
- 2010-10-19 EP EP10824550.7A patent/EP2491695A4/en not_active Ceased
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101160779A (zh) * | 2005-04-18 | 2008-04-09 | 朗迅科技公司 | 提供新鲜会话密钥 |
| US20070204160A1 (en) * | 2005-12-01 | 2007-08-30 | Chan Tat K | Authentication in communications networks |
| WO2007085175A1 (fr) * | 2006-01-24 | 2007-08-02 | Huawei Technologies Co., Ltd. | Procédé, système d'authentification et centre d'authentification reposant sur des communications de bout en bout dans le réseau mobile |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107113609A (zh) * | 2014-12-17 | 2017-08-29 | 英特尔Ip公司 | 用于订户身份模块容器的ota配设的订户身份模块提供商装置和方法 |
| CN106714154A (zh) * | 2015-07-13 | 2017-05-24 | 沃达方Ip许可有限公司 | 通用自举架构协议 |
| CN106714154B (zh) * | 2015-07-13 | 2022-11-25 | 沃达方Ip许可有限公司 | 用于通用自举架构协议的代理服务器、方法和系统 |
| US11303622B2 (en) | 2015-11-13 | 2022-04-12 | Huawei Technologies Co., Ltd. | Key distribution method, key receiving method, first key management system, and first network element |
| US11700245B2 (en) | 2015-11-13 | 2023-07-11 | Huawei Technologies Co., Ltd. | Key distribution method, key receiving method, first key management system, and first network element |
| CN109088890A (zh) * | 2018-10-18 | 2018-12-25 | 国网电子商务有限公司 | 一种身份认证方法、相关装置及系统 |
| CN114503630A (zh) * | 2019-10-04 | 2022-05-13 | 三星电子株式会社 | 激活5g用户的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2491695A4 (en) | 2016-11-09 |
| US20120204231A1 (en) | 2012-08-09 |
| CN102550001B (zh) | 2015-07-08 |
| US8943321B2 (en) | 2015-01-27 |
| WO2011048551A1 (en) | 2011-04-28 |
| EP2491695A1 (en) | 2012-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102550001B (zh) | 用于允许自举架构和共享身份服务相互作用的用户身份管理 | |
| EP2210435B1 (en) | Method, apparatus and computer program product for providing key management for a mobile authentication architecture | |
| EP1875713B1 (en) | Generic key-decision mechanism for gaa | |
| US8626708B2 (en) | Management of user data | |
| CN1835436B (zh) | 一种通用鉴权网络及一种实现鉴权的方法 | |
| CN103503407A (zh) | 用于多sso技术的sso框架 | |
| EP2215803B1 (en) | Network access authentication | |
| US11785456B2 (en) | Delivering standalone non-public network (SNPN) credentials from an enterprise authentication server to a user equipment over extensible authentication protocol (EAP) | |
| CN104170424A (zh) | 用于订阅共享的方法和装置 | |
| US20070192838A1 (en) | Management of user data | |
| EP3844930B1 (en) | Non-3gpp device access to core network | |
| JP2010503319A (ja) | ネットワーク信用証明書を獲得するためのシステムおよび方法 | |
| US20240171982A1 (en) | Non-3gpp device acess to core network | |
| US20070124587A1 (en) | Re-Keying in a Generic Bootstrapping Architecture Following Handover of a Mobile Terminal | |
| US20230300596A1 (en) | Remote subscription profile download | |
| US11943624B2 (en) | Electronic subscriber identity module transfer eligibility checking | |
| Huang et al. | Authentication mechanisms in the 5G system | |
| Laitinen et al. | Extending cellular authentication as a service | |
| US8316426B2 (en) | Apparatus, computer program product and method for secure authentication response in a mobile terminal | |
| KR20140095050A (ko) | 이동 통신 시스템에서 단일 사용자 승인을 지원하는 관리 방법 및 장치 | |
| EP1843541B1 (en) | A method of securing communication between an access network and a core network | |
| SCHMIDT et al. | Efficient Application Single-Sign-On for Evolved Mobile Networks | |
| CDMA2000 | Terms and Acronyms in Identity Management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160119 Address after: Espoo, Finland Patentee after: NOKIA TECHNOLOGIES OY Address before: Espoo, Finland Patentee before: NOKIA Corp. |
|
| IW01 | Full invalidation of patent right |
Decision date of declaring invalidation: 20220817 Decision number of declaring invalidation: 57693 Granted publication date: 20150708 |
|
| IW01 | Full invalidation of patent right |