CN104115465A - 具有本地功能的身份管理 - Google Patents

具有本地功能的身份管理 Download PDF

Info

Publication number
CN104115465A
CN104115465A CN201380006159.8A CN201380006159A CN104115465A CN 104115465 A CN104115465 A CN 104115465A CN 201380006159 A CN201380006159 A CN 201380006159A CN 104115465 A CN104115465 A CN 104115465A
Authority
CN
China
Prior art keywords
user
token
end points
access token
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201380006159.8A
Other languages
English (en)
Inventor
A·莱切尔
Y·C·沙阿
V·K·乔伊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital Patent Holdings Inc
Original Assignee
InterDigital Patent Holdings Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by InterDigital Patent Holdings Inc filed Critical InterDigital Patent Holdings Inc
Publication of CN104115465A publication Critical patent/CN104115465A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/081Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying self-generating credentials, e.g. instead of receiving credentials from an authority or from another peer, the credentials are generated at the entity itself

Abstract

用户设备(U)可在本地执行功能,例如在位于U内的可信模块上。例如,U可以经由本地身份提供方功能执行与单点登录协议(例如,开放ID连接)相关联的功能。例如,U可以生成能够由服务提供方用来取得用户信息(例如,身份信息和/或用户属性)的身份令牌和接入令牌。用户属性可经由用户信息端点来取得,所述用户信息端点可本地位于所述U上,或者位于网络实体上。服务提供方可以基于其使用令牌取得的信息来授权用户接入服务。

Description

具有本地功能的身份管理
相关申请的交叉引用
本申请要求享有2012年1月20日提交的美国临时专利申请No.61/589,125的权益,该申请的全部内容通过引用结合于此。
背景技术
移动设备越来越多地用于接入因特网服务。因特网服务通常需要安全交易来保护敏感数据。这种安全性测量通常以数据需求(例如,用户名、个人身份号码(pin)、和/或密码)的形式给用户造成身份和认证负担。无线电信网络可以实施各种形式的认证。服务提供方也可以寻找各种用户属性来认证用户、识别用户、和/或确定用户的接入网络服务的等级。
已经提出了单点登录(SSO)方案,该方案旨在为用户减少繁琐的用户认证。开放ID协议是使单点登录成为可能的协议中的一个示例。开放ID2.0协议和较新的开放ID连接协议是最普遍的开放ID协议。在下文中,单独的术语“开放ID协议”意味着涵盖各种形式的开放ID协议中的任意一者,包括开放ID2.0和开放ID连接。如果要讨论特定的协议,其将被专门标识出。
当前用于SSO的方法(例如,开放ID协议)通常需要网络身份提供方实施各种SSO机制。这些方法可给定用户对他/她的身份信息的有限的控制,因为所述身份信息由SSO身份提供方处理,并可导致易受安全性攻击的用户数据和通信。
发明内容
在此描述了用于对用户设备(UE)实施身份管理机制(例如与开放ID连接协议相关联的机制)的系统、方法和装置。在示例实施方式中,用户设备(UE)和服务提供方(SP)可以经由网络通信。UE的用户可以请求接入由SP提供的服务。该SP可以请求身份(ID)令牌来认证用户和/或UE的身份。UE可以根据请求创建ID令牌。例如,所述ID令牌可在位于UE内的可信环境中被安全地创建。这种可信环境可由通用集成电路卡(UICC)、可信模块、安全环境等等、或者上述的任意合适的组合来实施。经由可信环境,UE例如可以向SP发出ID令牌。该ID令牌可以被验证以为UE提供对由SP提供的服务的接入。该UE还可以响应于接收到由用户批准的授权请求来创建接入令牌。所述接入令牌可与由UE从SP请求的服务相关。因此,接入令牌可与授权请求的用户批准相关联。例如,SP可以发出授权请求以接收关于用户的附加信息,例如用户属性。该UE可以向SP发出接入令牌,并且一旦验证了所述接入令牌,该SP可以接收其所请求的用户属性。ID令牌和接入令牌可以根据开放ID连接协议在UE处生成。例如,所述令牌可以在位于UE内的可信模块中被安全地生成。
在另一个示例实施方式中,UE可以提供与由SP请求的服务相关的接入令牌。这种接入令牌可以由提供所请求的服务的SP来兑换(redeem)。UE可以响应于接收到对用户数据的请求来生成接入令牌。接入令牌可以包括指示用户信息端点的位置的信息。例如,SP可以使用该位置来从所述用户信息端点取得用户数据。一旦验证了接入令牌,用户信息端点可以向SP提供所请求的用户属性。用户信息端点可以位于UE内的可信模块、经由网络与SP通信的网络实体、或者上述的组合上。例如,UE可以创建与服务和UE的用户相关联的第一接入令牌和第二接入令牌。所述第一接入令牌可以包括指示第一用户信息端点的位置的信息,其中一旦验证了第一接入令牌,该第一用户信息端点向SP提供第一请求的用户属性。所述第二接入令牌可以包括指示第二用户信息端点的位置的信息,其中一旦验证了第二接入令牌,该第二用户信息端点向SP提供第二请求的用户属性。所述第一用户信息端点可以位于UE上,例如,位于可信模块上,而所述第二用户信息端点可以位于经由网络与SP通信的网络实体上。例如,由所述第一用户信息端点提供的所述第一请求的用户属性可以由用户分类为机密数据,而由所述第二用户信息端点提供的所述第二请求的用户属性可以由用户分类为非机密数据。为了服务UE/用户,SP可以将具有不同安全性类别且从他们各自的用户信息端点获取的第一和第二用户属性合并。
在替换实施方式中,除了SP之外或在SP之外,接入令牌能够由接收该令牌的其他方(party)进行兑换。
附图说明
更详细的理解可以从下述结合附图并且举例给出的描述中得到,其中:
图1是示出了网络中的示例接口的框图;
图2是根据示例实施方式的具有HTTP重定向消息的开放ID协议的流程图;
图3是示出了根据开放ID连接协议的示例实施的示例性发现过程的流程图;
图4是示出了用于取得配置信息的示例性协议流的流程图;
图5是示出了示例性注册协议流的流程图;
图6是开放ID连接协议的示例实施的流程图;
图7是使用授权请求的示例开放ID连接呼叫流的流程图;
图8是根据示例实施方式的具有本地令牌创建的示例呼叫流的图示;
图9示出了根据示例实施方式的具有共享预建立的共享机密S的本地OP的示例协议流的流程图;
图10是根据示例实施方式的开放ID协议的呼叫流,其中用户信息端点在本地位于UE上;
图11是根据示例实施方式的开放ID协议的呼叫流,其中用户数据在本地被存储,并且用户数据存储在网络实体上;
图12A是可以在其中实施一个或多个所公开的实施方式的示例通信系统的系统图示;
图12B是可以在图12A示出的通信系统内使用的示例无线发射/接收单元(WTRU)的系统图示;以及
图12C是可以在图12A示出的通信系统内使用的示例无线电接入网和示例核心网的系统图示。
具体实施方式
下面详细的描述被提供以对示例性实施方式进行说明,并且不意图限制本发明的保护范围、应用性或配置。可以对元件和步骤的功能和排列作出各种修改,而不背离本发明的精神和保护范围。
在此描述了用于管理用户和/或用户设备(UE)的身份的各种方法和系统。尽管此处的实施方式是按照开放ID连接协议的上下文进行描述的,但实施方式不限于实施开放ID连接协议,并且可以例如实施其他单点登录(SSO)协议和/或联邦身份协议。类似地,尽管在此将开放ID实体用作参考,但实施方式不限于开放ID实体,并且所述开放ID实体可扩展成执行与开放ID实体相同或类似的功能的其他实体。例如,如在此处所使用的,术语中继方(RP)和客户端可指服务提供方(SP),例如,服务网站。术语开放ID身份提供方(OP)和授权服务器可指网络身份提供方(IdP)或认证端点(AEP)。术语用户设备(UE)可指任意合适的无线发射/接收单元(WTRU),如在此进一步描述的。
在一个示例实施方式中,认证端点(例如,OP服务器)的认证功能可以由位于UE内的本地安全性模块来实施。例如,移动设备的本地代理(例如,诸如安全性模块、可信模块等之类的可信环境)可以用作网络侧身份提供方的代理。本地安全性模块可以用于执行可认证和/或授权UE的终端用户的功能。本地安全性模块可以被称作本地身份提供方,并且可以用于基于开放ID协议(例如,开放ID连接)来认证终端用户。术语本地开放ID可以用于指示本地SSO实施的子集,其中SSO的实施和/或身份管理是根据开放ID协议的(例如,开放ID连接)。例如,本地开放ID可以用于指示可由位于本地的实体或可信环境执行的OP的功能。本地OP是可用于指示在本地位于设备上执行开放ID服务器(例如,授权服务器)的功能或功能的子集的实体或模块的术语。
根据示例实施方式,本地OP可以使用基于令牌的协议流。这种令牌可以被发出至SP(例如,RP)。令牌可用于从身份提供方和/或从用户信息端点取得关于用户的信息(例如,属性)。如在此所使用的,用户属性可指与用户相关联的任意信息元素。示例用户信息(例如,属性)包括而不限于用户的年龄和地址,并且这种属性可由SP使用令牌来取得。例如,SP可以使用令牌来取得信息,而无需该令牌携带该信息。
在此描述的实施方式可以使用令牌来进行认证。可以使用诸如URL和/或电子邮件地址之类的各种标识符。诸如开放ID连接的认证协议可以便于用户属性和/或身份信息的安全交换。
图1示出了说明根据示例实施方式的示例通信接口的框图。移动设备(例如,UE100)可以连接至因特网,而在公共因特网上不是可直接寻址的。在示例场景中,UE100和在该UE100上运行的服务和/或应用不能由外面的实体(例如,网络服务提供方102)到达。UE100上的本地服务(例如,本地OP104)可以经由UE100上的浏览器106到达,和/或通过移动网络运营商(MNO)108的管理后台系统来到达。例如,如果本地OP104由MNO108发出并安装在SIM卡上,本地服务可以经由空中(OTA)管理来接入。例如,诸如服务提供方102之类的一些网络服务可直接与在UE100上运行的服务通信。
在其中UE100经由MNO网络108连接至因特网的示例配置中,可以根据图1示出的实施方式来标识示例性通信路径/接口。在接口(IF)112处,UE100中的浏览器106可例如通过使用HTTP(S)请求来联系基于网络的服务(例如,SP102)。所述SP102可以对HTTP(S)请求进行应答,和/或发送响应至浏览器106。在示例场景中,SP102可在接收到请求之前不发起与浏览器106的通信。IF114可用于浏览器106和内部本地OP104。浏览器106可以例如经由HTTP(S)和/或经由中间件软件实体(例如,Java小程序(applet)、Javascript小部件(widget)、OS API等)与位于UE100内的本地OP104通信。本地OP104可以例如使用HTTP响应对来自浏览器、应用和/或API的请求进行响应。在示例配置中,本地OP104可在接收到请求之前不发起与浏览器106的通信。
IF116可以被称作反向信道。使用该反向信道116,SP102可以联系IdP服务器110(例如,使用HTTP),和/或IdP服务器110可以联系服务提供方102(例如,使用HTTP)。在不涉及浏览器106或用户设备100的情况下,经由IF116的通信可以发生。IF118可用于IdP110和MNO网络108。正如图1中的椭圆虚线所指示的,IdP110可以是独立的,或者可以是MNO网络108的一部分。IdP服务器110可以由MNO网络108的内部实体到达(例如,使用HTTP和/或专有接口)。IdP服务器110可以能够与MNO网络108的内部实体通信。在示例配置中,IdP服务器110是否可以与MNO网络108的内部实体进行通信可以取决于MNO防火墙规则和/或策略。IF120可以被称作空中(OTA)管理接口120。该OTA接口120可用于MNO网络108和本地OP104。例如,MNO网络108中的实体可使用该OTA管理接口120来与UICC/SIM卡上的应用通信。从本地OP104的应用到MNO网络108上的实体的连接可受制于MNO防火墙规则。取决于本地OP104和/或IdP110的应用的所有权,IF122可用于或不可用于本地OP104和/或IdP服务器110。例如,在IF122的两个实体(例如,本地OP104和IdP110)之间的直接通信信道(例如,使用SMS、OTA等)可以在两个实体由MNO运营和/或所有时建立、和/或征得MNO的同意来建立。在示例配置中,MNO可以启用在IF122处的通信信道。通信IF124在SP102和本地OP104之间不可用。例如,在UE100不是可公共寻址的时,从服务提供方102到UE100或在该UE100上运行的本地OP服务104的直接通信不可用。IF126可用于浏览器106和IdP110。例如,浏览器106可经由HTTP请求到达IdP110。该IdP服务器110可以对浏览器106的HTTP请求进行响应。
接口可用性(例如,经由IF122通信的能力)可取决于通信端点和/或所述端点之间的通信路径的控制。在示例配置中,IF122在OP110和本地OP104处于MNO的控制下时是可用的,以及OP110和本地OP104之间的通信通过SP102和本地OP104之间的物理通信路径来实现。
在示例实施方式中,本地OP104可以向SP102发出令牌。该令牌可由SP102授予(present)给网络IdP/OP110。这种令牌可用于取得数据。在其中通信接口不可用于SP102向本地OP104授予令牌的示例配置中,网络IdP/OP110可以验证该令牌是否由合法的本地OP104发出。IdP/OP110还可以确定所述令牌是否有效。例如,确定令牌是否有效可包括验证所述令牌是否已经期满。
仍然参考图1,从SP102到本地OP104的间接通信可以经由UE100的浏览器106通过重定向消息的方式来进行。SP102可以发送包括URL的HTTP3xx消息以重定向浏览器106。例如,根据开放ID协议,URL可以是对应于IdP认证端点(AEP)的URL。SP102可例如通过发现机制来获知IdP认证端点。UE100可以将URL解析成AEP的服务器的网际协议(IP)地址。例如,具有安装在UE100上的本地OP104的UE100可以将URL解析成本地OP服务器104的本地IP地址。
图2是示出了示例HTTP重定向消息的流程图。图2所示的信息流可使用可在实施开放ID协议时使用的间接通信来实施。UE的浏览器202可通过请求接入由SP204提供的服务来发起与SP204的通信。该请求可包括用于接入服务的HTTP请求。在206处,SP204可对该请求进行响应,并且可发送数据至本地OP200,作为在206处的重定向消息的一部分(例如,数据可在HTTP消息的参数中被传递)。在208处,浏览器202可以解析成本地OP200的本地地址。浏览器202可以通过在210处发送消息来跟随其在206处接收到的重定向消息至本地OP200。例如,浏览器202可经由对DNS查找和/或助手软件(例如,Java小程序)的修改来跟随所述重定向。例如,URL/地址的DNS解析可经由主文件来进行,和/或可由Java小程序请求者(supplicant)来促进。在212处,本地OP操作可以发生。例如,在212处,UE的用户可与该UE一起被认证。在214和216处,本地OP200可例如经由可发送浏览器202至SP204(在216处)的另一个重定向(在214处)将信息传递到SP204。信息和/或数据可以在HTTP消息的参数中被传递。在示例配置中,从SP204到本地OP200的直接通信不可用。
开放ID连接协议使得各种类型的客户端(例如,基于浏览器的、移动和/或javascript客户端)能够请求和接收关于身份和认证会话的信息。在开放ID连接的各种示例实施中,身份数据可以被加密,OP可以被发现,以及高级会话管理(例如,退出)可以被启用。在开放ID连接的示例实施中,用户标识符可以基于电子邮件地址和/或URL。例如,在从用户获得授权(例如,经由基于开放授权(OAuth)的呼叫流)时,服务提供方可以被允许访问用户拥有的内容和/或简档数据。
根据开放ID2.0协议的示例实施,客户端机密(例如,在身份提供方(IdP/OP)和SP/客户端之间的共享机密)可以针对每个用户来建立(例如,按照认证协议运行)。该共享机密可以在发现过程期间在OP和服务之间建立。例如,该共享机密可以从长期机密中取得,和/或其可以通过本地OP实例来计算。根据开放ID连接协议的示例实施,客户端机密可以包括令牌。例如,身份(ID)令牌可由OP进行签名,并且客户端可验证该令牌(例如,在OP提供的令牌端点的帮助下)、和/或该客户端可独立地验证该令牌签名。在示例实施方式中,OP可在发现和/或注册过程期间提供密钥。例如,在发现之后,可在客户端和OP之间执行注册。在示例配置中,注册协议步骤可不特定于用户。例如,密钥可用于对令牌进行签名,并且该密钥可以是用于多个用户的通用密钥。在示例实施方式中,令牌及其签名可由本地OP创建。例如,密钥可用于本地OP,并且该OP可使用所述密钥来创建签名。
图3示出了根据开放ID连接的示例实施的示例发现过程。可被称作SP的客户端300可以寻找开放ID身份提供方302的信息(例如,端点URL)。获得令人满意的(sought-after)信息的过程可以被称作发现。SP可以获知提供方信息(例如,经由带外机制),并因此可以跳过根据开放ID协议的示例实施的发现。在另一个示例实施中,客户端300可以使用简单网络发现(SWD)来发现信息。在SWD中,例如,在306处,UE的用户可以向客户端300提供用户的标识符。该用户可以被称作委托人。在306处,客户端300可以识别所述标识符的主机。该主机可指拥有(host)SWD服务的服务器。委托人和/或主机信息可由终端用户在所述标识符中提供。所述标识符可以例如是XRI、电子邮件、URL等等。在306处,客户端300可以向用户提供的标识符施加标准化和/或提取规则,以确定委托人和/或主机。参考图3,例如,委托人可指电子邮件,而主机可指在提供的电子邮件地址中“”的右边的每一项内容。在308处,客户端300可以使用HTTP获得(HTTP GET)请求从提供方302请求位置(例如,URL)。在310处,OP302可以返回包括位置信息(例如,认证端点和/或授权端点的地址)的信息。
作为发现的一部分,客户端300可以取得配置信息(例如,参见图4)。在400处,客户端300可以请求配置信息。这种配置信息在开放ID提供方302处(例如,在公知的URL/可指向JSON文档的开放id配置处)可用。可使用TLS来保护通信。在402处,作为对请求的响应,开放ID提供方302可以返回可包括关于开放ID提供方302的配置的属性(例如,信息)的JSON文档。所述信息可例如包括关于端点的信息和/或公共密钥位置信息。例如,端点信息可包括:认证和/或授权端点的URL;令牌端点的URL;用户信息(User Info)端点的URL;和/或校验ID端点的URL。JSON网络密钥文档可以包括提供方的JSON网络密钥(JWK)文档的URL。所述JWK文档可以具有JSON结构,该JSON结构可以提供一组公共密钥。这种密钥可用于对JSON网络令牌(例如,ID令牌)进行签名。
图5示出了根据开放ID连接协议的示例实施的示例注册过程。客户端300可以向开放ID提供方302注册,以获得客户端ID和/或客户端机密。在500处,客户端300可以发出请求至发现的提供方302的注册端点。在502处,可以向客户端300发出响应。该响应可以包括JSON文档。所述JSON文档可以包括客户端ID和/或客户端机密。TLS可用于保护通信。
继续参考图5,客户端机密可以在注册期间、在客户端/SP300与IdP302之间建立。所述客户端机密可以用作针对可等待执行授权码流的客户端的认证凭证。在授权码流中,在客户端请求接入令牌时或在客户端想要刷新接入令牌时,客户端可以使用客户端机密来向提供方的令牌端点进行认证。根据示例实施,HMAC签名可用于对ID令牌进行签名。在这种实施中,客户端机密可用作签名密钥。RP可试图使用其存储的客户端机密,例如以在HMAC被用作签名机制的情况下验证令牌签名。例如,HMAC对称签名可由本地OP使用。所述本地OP可获知用于SP的客户端机密,例如以创建HMAC签名。
在用户登录客户端时可以执行或不执行注册。在开放ID连接协议的示例实施中,客户端机密可以根据服务和IdP来建立,以使服务可以具有其自己与IdP的客户端机密。在开放ID2.0协议的示例实施中,相关联的机密可以针对服务与IdP之间的每个用户认证过程来创建。例如,所述相关联的机密可以用于对身份声明消息进行签名,并且客户端可以验证该签名。在示例开放ID连接实施中,客户端机密可以是客户端认证凭证。因此,相关联的机密的作用可以由ID令牌上的签名来实施。ID令牌上的签名可例如使用提供方JWK密钥来创建。
根据开放ID连接协议的示例实施,发现和注册过程可以在SP与网络上的IdP之间进行,以使客户端机密和/或在两个实体之间交换的其他信息的可用性可以被限制到SP和网络IdP。
在开放ID连接协议的各种示例实施中,ID令牌可以用作OAuth接入令牌。例如,ID令牌可以在OP处用认证数据(例如,用户标识符)来交换。该ID令牌可以携带编码后的数据。对接入令牌的请求可以允许服务提供方访问用户标识符和/或附加简档数据(例如,诸如地址、年龄等之类的用户属性)。例如,ID令牌的数据格式可以是可包括JSON数据的JWT。
在此描述的实施方式可以使用例如ID令牌和/或接入令牌之类的各种令牌类型。这种令牌可以根据开放ID连接协议来实施。例如,ID令牌可以包括关于认证事件的信息,并且可以使得服务提供方能够验证用户是否已经在IdP处被认证。为了启用验证,例如,ID令牌可以包括编码后的数据。接入令牌可以例如是OAuth承载令牌。接入令牌可以允许接收服务来兑换令牌(例如,在用户信息端点处)。服务提供方可以兑换接入令牌,例如以接收用户信息(例如,用户属性/要求)。服务提供方可以使用ID令牌来认证用户。在示例实施方式中,服务可以请求接入令牌来取得未被包括在ID令牌中的附加数据。例如,服务提供方可以请求接入令牌来从端点获得数据。
根据开放ID连接协议的示例实施,ID令牌可以具有JWT格式。JWT可以包括例如用户的实际认证的JSON属性。例如,ID令牌可以包括可被编码为JWT的下列数据:
iss——这可指响应的发出者的唯一标识符;
user_i——这可指用户本地唯一和/或从未重分配的标识符,其旨在由客户端来使用(例如,24400320或AItOawmwtWwcT0k51BayewNvutrJUqsvl6qs7A4)。根据示例实施,其长度不可超过255个ASCII字符;
aud——这可指ID令牌所预期的听众(audience)。例如,“aud”可以是RP的OAuth客户端_id(client_id);
exp——这可以包括整数和/或可以标识期满时间,其中在该期满时间时或之后ID令牌可以被接受以进行处理。该参数的处理可以取决于当前日期/时间是否在值中所列出的期满日期/时间之前。例如,考虑到时钟偏移,实施者可以提供余地。所述值可以是从在UTC中测得的1970-01-01T0:0:0Z直到所期望的日期/时间的秒数;
iso29115——这可提供实体认证保证。例如,该数据参数可以指定所执行的认证的实体认证保证等级;以及
nonce——如果授权请求包括随机请求值,则该值可以被设定为与所述请求值相同的值。
下面示出了根据开放ID连接协议的示例实施的ID令牌的示例内容。该示例ID令牌可以从客户端发送至校验ID端点。下面的部分示出了从服务到端点的示例请求,其中所述请求包括示例令牌:
POST/id_token HTTP/1.1
主机(Host):server.example.com
内容-类型(Content-Type):application/x-www-form-encoded
id_token=eyJ0eXAiOiJKV1QiL
下一部分示出了可由端点返回至服务提供方的示例令牌的(JSON)内容的示例:
HTTP/1.1200OK
Content-Type:application/json
{
"iss":"http://server.example.com",
"user_id":"248289761001",
"aud":"http://client.example.com",
"exp":1311281970
}
示例令牌可以使用JSON网络签名(JWS)和/或JSON网络加密(JWE)来被签名和/或加密。用于签名和/或加密的密钥可以例如是JSON网络密钥。
JWT中的属性可以被编码为JSON对象。JWT可以是具有要素(component)的组合的字符串。示例要素包括JWT报头分段、JWT属性分段、以及JWT加密分段。JWT报头分段可以包括可描述被应用至报头和属性分段的加密操作的基础64url*(base64url*)编码的JSON。JWT属性分段可以包括对属性进行编码的base64url*编码的JSON对象。JWT加密分段可以包括保护JWT报头和属性分段的内容的base64url*编码的加密材料。示例性基础64编码可以移除尾随的“=”字符。
在开放ID连接协议的示例实施中,令牌上的签名可以是有效的JSON网络令牌签名(JWS)。使用JWS的签名令牌可以具有包括关于签名算法的信息的报头,和/或可以包括指向用于签名的密钥的指针。用于JWS的签名算法可以包括下列算法,但是实施方式并不限于下列签名算法:
HS256  HMAC使用SHA-256哈希算法;
HS384  HMAC使用SHA-384哈希算法;
HS512  HMAC使用SHA-512哈希算法;
RS256  RSA使用SHA-256哈希算法;
RS384  RSA使用SHA-384哈希算法;
RS512  RSA使用SHA-512哈希算法;
ES256  ECDSA使用P-256曲线(curve)和SHA-256哈希算法;
ES384  ECDSA使用P-384曲线和SHA-384哈希算法;和/或
ES512  ECDSA使用P-521曲线和SHA-512哈希算法。
如上所示,基于所选择的签名算法,例如可以支持不同的密钥类型。在示例实施中,RP可以选择自己验证ID令牌上的签名,因此,RP可能需要获知验证密钥。指向所述密钥的指针可以是报头的一部分。例如,所述指针可以是jku(例如,JSON网络密钥URL)参数,其可以包括指向一组JSON编码的公共密钥的URL。在示例实施中,x5u参数可以包括指向X.509公共密钥证书或证书链(例如,对应于所述密钥)的URL。报头参数可以由创建令牌和令牌签名的实体设置。如果HMAC签名被用于对ID令牌进行签名,客户端机密可以被用作签名密钥。示例接入令牌可以例如是OAuth承载令牌。示例接入令牌例如可以在用户信息端点处被使用,以获取用户信息(例如,身份属性和/或用户信息)。
服务提供方(客户端)可以独立地执行ID令牌的验证。例如,客户端可以验证令牌而无需联系发出IdP服务器。用于验证的密钥材料可以由客户端在发现过程中(例如,在JSON网络密钥URL参数中)接收。
根据示例实施方式,服务提供方可以将ID令牌视为不透明的值,并且可以将他们递交至校验ID端点,以进行验证。在这种实施方式中,服务提供方可以从校验ID端点接收关于用户认证的信息。ID令牌上的签名和/或加密可以例如使用JSON网络密钥。该密钥可经由注册中的JSON网络密钥参数和/或公共密钥(例如,在x5u报头参数中引用的)而可用于客户端。
图6示出了根据开放ID连接协议的示例实施的示例呼叫流。图6中的示例呼叫流可以由例如尚未向OP(例如,授权服务器604)注册共享机密的服务提供方(例如,客户端602)使用。在其中服务提供方尚未向身份提供方注册共享机密的示例开放ID连接实施中,服务提供方可以直接从身份提供方请求ID令牌,如图6的610处所示。
在其中服务提供方已经向身份提供方注册了共享机密的另一个开放ID连接实施中,服务提供方可以跟随授权(auth)码流(参见图7),其中服务提供方可以接收安全的授权码而不是令牌。所述授权码例如可以在身份提供方处用ID令牌进行交换。服务提供方可以使用预建立的共享机密(例如,与身份提供方的)以在用ID令牌兑换授权码时认证所述服务提供方。
再次参考图6,在用户/UE600请求接入由客户端602提供的服务时,客户端602可以不向授权服务器604注册机密。在606处,用户600可以通过使用开放ID标识符(例如,电子邮件地址)请求接入服务。所述标识符可以包括用户名和开放ID IdP(OP)的域。所述OP可以提供用于发现和认证的端点。在608处,客户端602(服务提供方)可以准备授权请求,并且可以将该请求发送至用户600。所述请求可以包括期望的请求参数。在610处,授权请求可以使用HTTP重定向而被发送至授权服务器604(例如,经由用户)。在612处,授权服务器604可以认证所述用户600,并因此授权服务器604可以被称作认证端点(AEP)。在示例配置中,授权服务器604可以认证用户600,除非用户600已经被认证过并且该认证尚未期满。例如,用户600的当前认证状态可以为“真”,以使用户600不需要在612处进行重新认证。在614处,授权服务器604可以从用户600获取同意或授权,以允许令牌发出。在示例配置中,用户600可以建立可避免用户同意/授权的策略。例如,用户600可在先前的协议运行时点击“记住这个决定”复选框。在616处,令牌可以被创建,并且授权服务器604可以用接入令牌和/或ID令牌将用户600发送回至客户端602(在618处)。在示例实施中,在620处,客户端602可以在校验ID端点628处确认所述ID令牌。在622处,客户端602可以接收具有用户的身份的ID令牌响应。在624处,客户端602可以例如使用接入令牌来接入用户信息端点630。客户端602可以在接入所述用户信息端点630之后接收用户信息响应(例如,所请求的用户属性)。
参考图7,服务提供方(例如,客户端702)可已经向身份提供方(例如,授权服务器704)注册了共享机密。在706处,用户/UE700可请求接入由客户端702提供的服务。在706处,该接入可以通过向客户端702提供用户700的标识符来被请求。这种标识符可以例如包括开放ID标识符。客户端702可以准备可包括所期望的请求参数的授权请求,并且在708处,该客户端702可以将所述请求发送至用户700。在710处,客户端702可以使用HTTP重定向将所述请求发送至认证端点(AEP)713(例如,授权服务器704)(例如,经由用户700)。在704处,如果用户700当前尚未被认证,AEP713(例如,授权服务器704)可以认证用户700。在714处,如果已经获取了用户同意/授权的策略还未生效(in place),授权服务器704可以获取用户700的同意/授权。在716处,授权服务器可以创建授权(auth)码,并且可以在718处,使用授权码将用户700重定向至客户端702。在720处,客户端702可以使用授权码在令牌端点734处请求声明。在724处,客户端702可以从令牌端点734接收所述声明。所述声明可以包括响应体中的接入令牌和/或ID令牌。在725处,客户端702可以例如在校验ID端点736处确认该ID令牌。在728处,客户端702可以从校验ID端点736接收ID令牌响应。这种ID令牌响应可以包括终端用户700的身份。在730处,客户端702可以例如使用接入令牌来接入用户信息端点738。在732处,客户端702可以从用户信息端点738接收用户信息响应。在示例实施中,服务提供方(例如,客户端702)可以验证在步骤718中接收到的ID令牌,并且可以基于从所述ID令牌获取的身份信息来授权接入。在用户信息端点738处使用接入令牌来取得身份属性可以是客户端702的选择。
在一个示例实施方式中,使得开放ID连接协议能够被实施的机制可以在UE上本地执行。例如,用户可以被本地认证,对应于用户的身份属性可以被本地管理,由用户对身份属性的释放可以被本地授权,以及用户信息端点可以在本地位于UE上。在示例实施方式中,诸如本地OP之类的本地可信环境可以安全地认证用户、从用户获取授权、和/或创建令牌。在本地创建的令牌可以例如由服务提供方(SP)使用,以从各个端点取得用户认证数据和/或用户身份信息(例如,属性)。如在此所描述的,令牌可以包括用于网络身份提供方(IdP)验证所述令牌是否已经由授权的UE和/或授权的本地OP发出并且所述令牌是否已经期满的信息。为了确定令牌是否已经期满,例如,令牌可以在用户认证之时被标记时间戳。
图8示出了根据示例实施方式的其中令牌可以在本地被创建的示例协议流的流程图。在806处,UE(例如,设备800)可以请求接入由服务提供方802提供的服务。请求可以包括设备800的用户的标识符。在808处,服务提供方802(客户端)可以经由重定向消息从设备800请求令牌。因此,UE可以接收对令牌的请求,其中所述对令牌的请求响应于对接入由服务提供方提供的服务的请求。在808处的请求可以包括对根据开放ID连接协议的ID令牌的请求。在808处的请求可以包括对根据开放ID连接协议的接入令牌的请求。例如,接入令牌可以由服务提供方802请求,以使服务提供方能够取得设备800的用户的属性。属性可与用户的身份相关。例如,如果服务提供方802确定其不需要附加的属性或用户信息,服务提供方802可以决定不对接入令牌进行请求。
仍然参考图8,在810处,用户可以给出对设备800向服务提供方802发出令牌的同意(批准)。例如,接入令牌可以表示可允许服务提供方802访问来自用户信息(info)端点的指定的一个或多个属性的同意(例如,由用户给定)。例如,在本地生成的接入令牌可以包括可允许用户信息端点识别其中访问已经被授权的指定属性的数据。例如,如果服务提供方802请求访问多个属性,并且用户同意授权访问(在810处)所请求的属性中的一些,根据示例实施方式,用户信息端点可以释放授权的信息,并且可以不释放尚未由用户授权的属性。
例如,UE(例如,设备800)可以接收对用户数据的请求,并且可以接收对释放用户数据的同意部分的用户同意。响应于所述用户同意,设备800可以生成可与服务提供方802相关联的接入令牌。设备800可以向服务提供方802发出接入令牌,其中一旦验证了接入令牌,所述用户数据的同意部分被释放至服务提供方802。所请求的用户数据可以包括多个用户属性,其中所述多个用户属性中的至少一者不是被释放的所述用户数据的同意部分的一部分。如在此进一步描述的,根据示例实施方式,用户信息端点可以位于设备800内,并且接入令牌可以在这种用户信息端点处被接收。响应于接收到所述接入令牌,设备800可以向服务提供方802提供所述用户数据的同意部分。
在812处,令牌可以在设备800上创建。例如,响应于对令牌的请求,设备800可以根据对所述令牌的所述请求来创建身份令牌。在示例实施方式中,令牌可以在位于设备800内的可信环境(例如,本地OP)上被安全地创建。在812处,接入令牌可以在设备800上生成。这种接入令牌例如可以包括允许网络实体确定哪个或哪些属性可由服务提供方802取得的信息。在814处,该令牌可以发向服务提供方802。例如,身份(ID)令牌可以经由UE(例如,设备800)被发出,其中所述ID令牌被验证以提供UE对服务的接入。例如,在820处,服务提供方802可以验证令牌(例如,ID令牌)。在示例实施方式中,服务提供方802可以校验ID令牌上的签名,以验证该令牌是否有效。用于验证的密钥材料可已由服务提供方802在发现过程中(例如,在JSON网络密钥URL参数中)接收。在服务提供方802确认该ID令牌签名之后,服务提供方802可以校验在ID令牌中编码的字段,以进一步确认所述ID令牌。例如,“iss”(发出者)字段可以包括令牌发出者的唯一标识符,例如SP根据用户提供的标识符发现的IdP的唯一标识符。“aud”(听众)字段可以识别令牌所期望的听众。因此,听众字段可以包括服务提供方802的客户端_id。“exp”(期满)字段可以标识期满时间,其中,在该期满时间之后,令牌不被接受。在具有期满时间的示例配置中,如果当前时间在“exp”日期和时间之后,对应的ID令牌已期满。服务提供方可以验证和确认所述ID令牌是否已经期满。
在816处,用户信息端点(例如,网络IdP)可以被授予接入令牌。该接入令牌可以包括来自步骤810的同意信息。在示例实施方式中,服务提供方(SP)802可以将接入令牌视为不透明的值。这种接入令牌可以被称作不携带签名的不透明的承载令牌。在816处,接入令牌可以针对各个令牌端点来使用以取得用户属性和/或其他信息。令牌例如可以包括设备800的标识符(例如,设备800的本地OP的标识符)。这种标识符可以通知网络IdP804该发出设备800或发出本地OP的唯一身份。设备800和/或设备800的本地OP的这种标识符可以被包含在令牌的签名中。在822处,例如,所述标识符可以允许网络IdP804识别和确认由本地OP发出的令牌。标识符可以允许令牌创建和令牌验证在至少两个不同的实体中发生,如图8所示。例如,网络实体(例如,网络IdP804)可能被要求经由令牌验证端点822来验证令牌。该端点822可以根据在上面描述的用于验证ID令牌的示例步骤来验证接入令牌。网络IdP804可以将验证的结果返回至服务提供方802。在服务提供方802接受ID令牌并信任其内容之前需要成功的验证。例如,服务提供方可以不信任电子邮件地址属于当前会话的用户,直到令牌被验证。一旦成功验证,服务提供方802可以采取行动,例如,将经验证的用户添加到其用户数据库,允许接入其提供的服务等等。
在其中本地OP发出令牌的示例实施方式中,本地OP可以获知机密以对令牌进行签名。例如,本地OP可以获知已经被提供给在发现过程中向IdP注册的服务提供方的机密。如在此处所描述的,服务提供方可以发送令牌(例如,ID令牌)至校验ID端点。该端点可以解码JWT编码和/或可以验证签名。在示例配置中,服务提供方可以验证ID令牌而不是校验ID端点(例如,参见图8的820)。例如,ID令牌JWT可以用JWK密钥进行签名。例如,作为利用身份提供方的发现过程的结果,该密钥对于服务提供方是已知的。
在此所描述的设备的各种实施方式可以在本地创建令牌(例如,通过本地OP)。例如,本地OP可以获知机密来创建令牌签名。在示例实施方式中,HMAC签名可以被使用。例如,本地OP可以具有对包括针对服务的客户端机密的列表的接入。该列表例如可以由MNO(例如,使用OTA信道)维持、更新和/或管理。
根据使用HMAC签名的另一个实施,本地OP可以例如使用听众字段,和/或可以查询MNO服务端点(例如,通过安全通信信道),以从网络IdP获得相应的机密。例如,查询提供方的JSON网络密钥文档的URL可以获得密钥的标识符。本地OP可以做出安全的和/或经认证的请求,以获得密钥材料。请求可以例如通过引入通信步骤和/或通过可独立于用户认证的协议运行(例如,在低利用率的时候密钥材料的加载)而在认证时发生。
在另一个示例实施方式中,机密可以从共享机密S和/或听众字段内容中得出。例如,本地OP可以计算客户端密钥。密钥推导功能可以由网络IdP使用,例如以计算客户端机密(例如,基于长期机密S)。客户端机密可以与本地OP实例共享。在发现过程中,例如,网络IdP可以使用KEF来计算客户端机密。本地OP可以计算相同的客户端机密。
JSON网络签名(JWS)可以允许为所签名的JWT使用报头字段。例如,报头字段可以用于传达关于密钥的信息,例如,已经用于签名的信息。“jku”参数可以指向可拥有公共密钥的JSON网络密钥(JWK)URL。“kid”密钥id参数可以指示哪个密钥可能已经被使用。在替换的实施方式中,报头可以包括字段“x5u”,其可指向URL(例如,用于X.509公共密钥证书)。网络中的OP可以为一个或多个本地OP实例创建密钥和/或证书,和/或可以为服务/客户端提供URL,例如以提取公共密钥证书。本地OP可以包括私有密钥,和/或可以包括指向URL的指针,例如指向针对JWS的报头中对应的公共密钥证书的URL。在示例实施方式中,本地OP可以根据JWT来对ID令牌进行编码,可以应用签名,并且可以发送该ID令牌至服务提供方。
本地OP可以配备有密钥对。例如,私有密钥可以被安全地存储(例如,在本地OP中)。网络OP可以获知公共密钥,并且可选地,可以获知针对该公共密钥所对应的证书。网络OP可以用作证书管理机构(CA),并且可以自己创建证书,或者网络OP可以获得经证明的公共密钥(例如,来自第三方CA)。在其中本地OP配备有密钥对的示例实施方式中,用户可希望访问服务提供方(例如,于第一时间内),并且可以进入电子邮件地址。服务提供方可以提取用户名和/或OP主机,和/或可以执行发现和/或注册步骤。例如,服务提供方(例如,网站)可能之前未被用户和/或OP观测到。服务提供方(客户端)可向网络OP进行注册,并且该网络OP可以提供包括经证明的公共密钥列表的JWK URL。所述服务提供方可以例如使用对ID令牌和/或用于一个或多个属性的接入令牌的请求来将用户代理(例如,浏览器)重定向至授权服务器。
设备的内部路由可以使得用户代理可以被定向到本地OP实例。本地OP可以在本地认证用户。在示例实施方式中,本地OP可以提取所请求的属性(例如,要求),和/或可以校验用户属性的可用性。所请求的属性在网络中可用或不可用。例如,本地OP可以获得用户同意(例如,授权)以创建接入令牌。授权可以给定服务提供方到所请求的属性的至少一部分的接入。用户在之前可已经被给予释放数据的同意(例如,通过点击“始终同意释放”复选框)。这种同意可以被存储,例如,以由于未来的决定。本地OP可以创建ID令牌,并且可以例如通过使用私有密钥来对令牌进行签名。证书的URL可以被放入令牌的JWS报头的x5u字段中。本地OP可以创建接入令牌并且可以向其应用签名。接入令牌可以由服务提供方视为不透明的值,并且可以不包括数据。接入令牌可以被兑换(例如,在网络或设备中的用户信息端点处)。所述同意可以在令牌中被编码。接入令牌中的同意决定的编码类型可以与实施有关。本地OP可以使用ID令牌和接入令牌来将用户代理重定向至例如客户端端点。用于重定向用户代理的URL可以由服务提供方在初始请求(例如,参数重定向_uri)中提供。服务提供方可以希望自己验证ID令牌签名。例如,服务提供方可以从URL(例如,在令牌的报头中的x5u参数中提供的URL)请求公共密钥和/或证书。在示例实施方式中,服务提供方可以使用ID令牌(例如,用于令牌验证请求)来联系OP的校验ID端点。该通信可通过客户端机密的使用来保护,所述客户端机密可例如在服务提供方与OP之间共享。校验ID端点可例如通过校验来自令牌报头的签名来验证令牌是否由授权的本地OP实例发出,其中,校验来自令牌报头的签名例如通过使用在报头的x5u参数中提供的公共密钥进行。校验ID端点可以将令牌验证的结果返回至服务提供方。
由于ID令牌验证的结果,服务提供方可以获知用户标识符和/或该标识符的发出者。例如,如果服务提供方不请求接入令牌(例如,服务提供方不需要提供到所请求的服务的接入的附加数据),认证协议可以结束,并且服务提供方可以向用户提供所请求的数据/服务。如果已由服务提供方请求了接入令牌,并且该接入令牌被发至服务提供方,该服务提供方可以在到用户信息端点的请求中使用接入令牌,例如以取得用户信息(例如,属性)。根据示例实施方式,所述接入令牌可以包括用户属性。本地OP可以取得属性、可以创建令牌、和/或可以对令牌进行签名。根据示例实施方式,服务提供方可自动验证令牌的有效性,并且可以取得所期望的信息(例如,用户属性或要求)。
用户信息端点可以验证所述令牌是否由有效和授权的本地OP发出。该端点可以验证用户是否同意释放所请求的数据。本地OP的有效性的验证可以通过验证接入令牌上的JWS签名来完成。用户同意的验证可以修改接入令牌的内部结构,例如以携带与用户同意相关联的信息。一旦验证完毕,用户信息端点可返回所请求的属性至服务提供方(例如,以JSON格式)。服务提供方可以创建用户的用户简档的本地副本(例如,使用接收到的属性)和/或可以提供对服务的接入。根据示例实施方式,如果用户再次访问服务提供方,注册和/或发现步骤可以不由服务提供方执行。用户可以被指导执行认证和授权,并且在令牌验证之后,用户可以直接登录服务提供方。
在示例性实施方式中,私有密钥可以存在于安全环境中。本地OP可以在安全可信环境(例如,安全性模块、可信模块等等)中在本地创建密钥对,并且可以将所述私有密钥存储在安全元件中。网络OP可以创建针对对应的私有密钥的证书,和/或可以向服务提供方提供该证书(例如,一经请求)。如在此所描述的,符号K可以表示密钥对,pu(K)可以表示公共密钥,pr(K)可以表示私有密钥,以及cert(K,C)可以表示针对pu(K)的证书。例如,cert(K,C)可以由密钥C的所有者发出,和/或其可以使用密钥pr(C)来被创建,和/或其可以使用pu(C)来被验证。
一旦在安全元件中安装了本地OP小程序,例如,该小程序可生成根密钥对R、可将pr(R)存储在该安全元件中、并且可从安全元件发出者或制造商(例如,从智能卡制造商)获得证书cert(R,I)。该证书可由发出者进行存储,并可被存储在安全元件中。
根据示例实施方式,本地OP可以被登记在OP服务器功能(OPSF)的域中。该登记例如可以在移动设备上的本地OP应用被安装或首次启动时触发。OPSF可以提供可由本地OP使用的登记端点,例如以向OPSF登记新的密钥对。
本地OP可以生成开放ID应用指定的密钥对O1、可以创建cert(O1,R)(例如,可以使用pr(R)来对pu(O1)进行签名),并且可以将cert(O1,R)和cert(R,I)递交至OPSF的登记端点。该登记端点可以校验cert(R,I),例如以验证本地OP是否已由值得信任的发出者创建和发出。例如,该验证可以包括校验针对发出者密钥I的证书,并且可以包括OCSP校验(例如,其可以确定证书是否有效)。OPSF登记端点可校验cert(O1,R)以验证密钥pu(O1)是否已由本地OP实例创建。
本地OP可以使用密钥来创建令牌签名。例如,OPSF可以使证书(例如,链)可用于RP(例如,在证书端点处)。OPSF可以存储该证书及其证书链。根据示例实施方式,一个或多个证书可以在证书端点处可用。可替换地,OPSF可以创建针对O1的证书,其可以是cert(O1,P)。OPSF可以使证书cert(O1,P)在证书端点处可用。在各种实施方式中,OPSF可以在证书端点处将证书的URL返回至本地OP(例如,可以被加密和/或签名)。OPSF可以应用交叉证书,例如,并因此可以集成OPSF域PKI与安全元件发出者域。
本地OP可以将用于证书(例如,cert(O1,R)和/或cert(O1,P),这可以取决于使用的方法)的URL(例如,所接收到的)包括在令牌报头中,如在此所描述的。例如,本地OP可以使用pr(O1)密钥来创建令牌签名。
本地OP可能需要更新签名密钥O1和/或证书。例如,该证书的有效性可以在密钥可以被使用时进行校验。更新过程可以在期满日期接近时触发。
签名密钥O1可以用新生成的密钥对O2来替换。例如,可以向OPSF域登记新的公共验证密钥。旧的验证密钥可仍旧可用(例如,于过渡周期内在其旧的URL处)。在示例实施方式中,客户端可以针对令牌签名验证使用密钥。OPSF可以获知最新发出的ID令牌的有效性周期,并且旧的证书(例如cert(O1,R)或cert(O1,P))可以于该有效性周期内可用。如果不知道有效性周期,例如,实体可以同意针对过渡周期的最小持续时间,其中在该过渡周期中,旧的证书仍然可用。OPSF可以生成证书,其可以创建先前的cert(O1,P),并且其可以创建cert(O2,P)。新的密钥对O2可使用旧的密钥对O1来登记(例如,cert(O2,O1)可以在登记中使用),以及密钥链(例如,密钥历史)可以被建立。旧的/先前的/期满的签名密钥可以被删除。
在登记的另一个示例实施方式中,本地OP可以例如在协议流中动态地生成密钥对。例如,本地OP和OPSF可以共享长期机密(KL)。密钥对可以被创建,和/或可基于随机的种子值和/或是可以对于OPSF已知的长期共享机密。随机种子可以被传递至OPSF,并且该OPSF可以重新计算密钥。私有密钥在本地OP和网络中可用。
如在此所描述的,本地OP可以接收令牌请求消息,并且可以生成令牌签名。例如,在生成令牌签名时,本地OP可以生成随机种子值S。该本地OP可以例如基于S和长期机密KL来计算新的密钥对。可用于对令牌进行签名的公共密钥和令牌报头的x5t URL参数可以被设定成动态URL(例如,在OPSF的证书端点处)。动态URL可以包括作为参数的种子S(例如,http://opsf.org/cert.php?seed=1234)。基于接收到的参数S和/或长期机密KL,证书端点例如可以计算本地OP计算的密钥对。该证书端点可以生成针对公共密钥的证书。OPSF可以删除私有密钥,和/或可以在动态URL(例如,http://opsf.org/cert.php?seed=1234)处提供公共密钥证书。如果客户端接收到令牌并查询URL(例如,http://opsf.org/cert.php?seed=1234),OPSF可生成正确的密钥对,并且可向客户端提供证书。如果密钥和/或证书已经被创建,例如,OPSF可以直接向客户端提供证书。
图9示出了具有与认证(auth)服务器906共享预建立的共享机密S的本地OP900的示例协议流的流程图。在示例场景中,本地OP可以不配备有可用于创建ID令牌上的非对称签名的私有密钥。例如,HMAC签名可用于令牌签名。在替换的示例场景中,在网络OP(例如,认证服务器906)与客户端(例如,服务提供方904)之间建立的密钥可用于令牌签名的创建,例如,以使客户端可自动确认该签名。
参考图9,在908处,用户可经由UE的浏览器902请求接入由服务提供方904提供的服务。在908处,浏览器902可向服务提供方904提供诸如开放ID标识符之类的标识符。服务提供方904可以准备可包括对ID令牌和接入令牌的请求的授权请求,并且在910处,该服务提供方904可以经由重定向消息将该请求发送至浏览器902。在910处的请求可以包括对根据开放ID连接协议的ID令牌的请求。在910处的请求可以包括对根据开放ID连接协议的接入令牌的请求。例如,接入令牌可由服务提供方904请求,以使该服务提供方904能够取得UE的用户的属性。在912处,该请求可以经由重定向消息从UE上的浏览器902转发至UE上的可信模块(例如,本地OP900)。在914处,UE的用户可以由本地OP900验证。在916处,用户可以给出对UE向服务提供方904发出令牌的同意(批准)。例如,授权请求可以由UE的用户批准。进一步地,响应于授权请求,在UE处,与授权请求的用户批准相关联的接入令牌可以被创建。在示例实施方式中,授权请求的用户批准可以经由存储在UE上的策略自动被接收。
仍旧参考图9,在918处,令牌可以在本地OP900处被创建。信息可以被添加到所述令牌。例如,对令牌的扩展可以将信息添加到令牌的JSON数据结构中。在示例实施方式中,令牌可以包括:
{
"iss":(例如,http://server.example.com),
"user_id":(例如,248289761001),
"aud":(例如,http://client.example.com"),
"exp":(例如,1311281970),
"lop_id":(例如,可以表示本地OP的标识符,例如11223344556677),
"timestamp":(例如,可以表示具有格式YYYYMMDDhhmmss[.s…]Z’的时间时间戳,例如时间20111012143815Z),和/或
"lop_sig":(例如,可表示使用HMAC SHA1({lop_id|时间戳})的签名,例如572400e4ec56fdce9549777bf67d70041f53a6aa)
}
例如,在918处,HMAC_SHA1签名可以使用作为密钥的共享机密S来计算。该签名可以根据本地OP ID的串联和/或用户认证的时间戳来计算。在另一个示例令牌中,数据可以根据JSON、例如通过创建本地OP字段组来构成,如下列示出的:
如所描述的,内容可以被添加到ID令牌,并且有效的HMAC SHA1签名可以被创建。例如,可用于签名的密钥可以是客户端机密。信息可以被添加到JSON令牌,和/或其内部结构可以被修改。根据示例实施方式,服务提供方可以忽略令牌中的附加字段,和/或服务提供方可以将该令牌视为不透明的值。
如在此描述的,可创建令牌签名的密钥可以是客户端机密。例如,客户端机密可以例如在注册过程中,在客户端(服务提供方)与认证服务器(OPSF)之间建立。认证服务器可以向本地OP提供客户端机密列表,例如以使得本地OP能够创建正确的令牌签名。例如,认证服务器可使用空中管理方法来将客户端机密列表装入本地OP实例。当新的客户端机密被注册(例如,用于新的客户端和/或现有的客户端)时,本地OP中的列表可以被更新。例如,令牌请求中的听众(aud)参数(其可以是客户端的URL)可以标识正请求令牌的客户端。听众参数可由本地OP使用,例如以在本地OP存储器中找到对应的客户端机密。
在另一个示例实施方式中,客户端机密可从认证服务器中查询。例如,本地OP可获得对为令牌创建有效的HMAC签名的客户端机密的了解。为了使本地OP获知该客户端机密,一旦请求,认证服务器可以向本地OP提供客户端机密。在这种规定中,本地OP可以从可在令牌请求中接收的听众参数中提取客户端名称。本地OP可以例如在特定的端点处建立与认证服务器的经认证的和/或安全的连接。本地OP可以请求客户端的客户端机密。该客户端机密可以用于创建签名。例如,认证服务器可以提供客户端机密端点https://op.org/clients.php。这种客户端机密端点可以使用TLS加密和/或可以被认证。在根据实施方式的示例性协议运行中,在创建令牌签名之前,本地OP可以与客户端机密端点连接,可以认证该客户端机密端点,并且可以请求诸如https://op.org/clients.php?client_audience=audience之类的资源。在示例资源中,听众可以等于来自所接收到的听众字段的内容。客户端机密端点可以将客户端机密返回至本地OP。之后,本地OP可以使用该机密来创建有效的签名。
在又一个示例实施方式中,客户端机密可以从认证服务器和本地OP中的长期机密得出。例如,客户端机密可以在注册过程中、例如在客户端与网络OP之间被建立。根据在此描述的实施方式,本地OP和网络IdP/OP(认证服务器)可以共享长期机密。用于创建长期共享机密的各种方法在此处被描述。例如,长期共享机密可以被嵌入在本地OP应用中(例如,在安装时)。长期共享机密可以经由MNO的OTA管理操作来生成。长期共享机密可以例如通过从网络认证协议运行的密钥导出来创建。共享机密可以用作网络IdP/OP(认证服务器)与设备/本地OP之间的可信锚点。该机密可以例如通过安全元件的安全性特征(例如,SIM卡和/或嵌入的安全性元件)在本地OP中得以保护。
在客户端的示例性注册过程中,认证服务器可以使用密钥导出函数(KDF)中的长期机密和来自客户端的听众参数。例如,网络OP可以导出客户端机密,以使客户端机密=KDF(听众、长期机密)。在示例性认证协议运行中,本地OP可以从令牌请求报头中读取听众字段,并且可以将相同的KDF应用于听众字段和长期机密,以计算客户端机密。该客户端机密之后可用于创建令牌签名。
再次参考图9,在910处,授权请求可以被集成在令牌(例如接入令牌)中。来自客户端(例如,服务提供方904)的原始授权请求可以被集成在令牌中,例如以确保发出的接入令牌可以针对所请求的资源而被兑换。在示例场景中,本地OP900可以在本地令牌创建过程中授权对数据的访问,并且所述数据可以由网络提供,或者由本地OP900本地提供。在示例场景中,例如在对网络使用令牌时,请求可以被改变。所述令牌可以包括关于到网络的授权请求的信息。例如,授权请求可以经由重定向消息从服务提供方发送至授权服务器/OP906。当本地OP900如在此所描述的被使用时,在910和912处,授权请求可以经由重定向发送至本地OP900。服务提供方904可以使用开放ID连接范围来指定接入特权,所述接入特权在对接入令牌的授权请求中被请求。例如,与接入令牌相关联的范围可以确定可在其被用于接入OAuth2保护的端点时可用的资源。
示例性范围包括开放ID范围,该开放ID范围可以通知授权服务器客户端正在做出开放ID请求。在示例配置中,如果开放ID范围未被指定,则授权服务器可以将请求视为通用OAuth2.0请求,并且可以不执行开放ID过程。简档范围例如可以请求默认的简档信息。电子邮件范围可以请求电子邮件地址。地址范围可以请求地址。
除了范围参数以外,授权请求可以包括可允许客户端(例如,服务提供方904)建立请求结构的开放ID请求对象。例如,开放ID请求对象可以作为编码后的JWT和/或作为可指向开放ID请求对象的URL被传递。
下面是在JWT编码前开放ID请求对象的示例,其可以按照开放ID连接协议实施:
下面是可按照开放ID连接协议实施的编码后的JWT的示例。
下面是可根据开放ID连接协议实施的授权请求的示例:
https://server.example.com/authorize?
response_type=code%02id_token
&client_id=s6BhdRkqt3
&redirect_uri=https%3A%2F%2Fclient%2Eexample%2Ecom%2Fcb
&scope=openid
&state=af0ifjsldkj
&request=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyZXNwb25zZV90eXBlIjoiY29kZSBpZF90b2tlbiIsImNsaWVudF9pZCI6InM2QmhkUmtxdDMiLCJyZWRpcmVjdF91cmkiOiJodHRwczpcL1wvY2xpZW50LmV4YW1wbGUuY29tXC9jYiIsInNjb3BlIjoib3BlbmlkIHByb2ZpbGUiLCJzdGF0ZSI6ImFmMGlmanNsZGtqIiwidXNlcmluZm8iOnsiY2xhaW1zIjp7Im5hbWUiOm51bGwsIm5pY2tuYW1lIjp7Im9wdGlvbmFsIjp0cnVlfSwiZW1haWwiOm51bGwsInZlcmlmaWVkIjpudWxsLCJwaWN0dXJlIjp7Im9wdGlvbmFsIjp0cnVlfX0sImZvcm1hdCI6InNpZ25lZCJ9LCJpZF90b2tlbiI6eyJtYXhfYWdlIjo4NjQwMCwiaXNvMjkxMTUiOiIyIn19.2OiqRgrbrHkA1FZ5p_7bc_RSdTbH-wo_Agk-ZRpD3wY
再次参考图9,授权请求(例如,在此示出的授权请求)例如可以经由HTTP重定向发送至本地OP(例如,参见图9中的910和912)。本地OP900可以校验该请求是否有效和/或可以认证该用户。本地OP900可以创建可在920和922处经由重定向消息被发向服务提供方904的令牌。服务提供方904可以使用令牌例如以从ID令牌端点926和/或用户信息端点928获得数据。
在示例实施方式中,分别到令牌端点926和928的请求924和930可不包括原始请求对象。在这种请求(例如,请求924和930)中,令牌可以例如由令牌端点926和928接收,并且没有对信息正被服务提供方904请求以及信息正在被授权而由服务提供方904访问的指示。在这种请求中,本地OP900可以通过将JWT编码的请求在令牌发向服务提供方904之前添加到该令牌中来将所请求的信息传达给令牌端点。例如,令牌可以携带请求信息,并且该请求信息可由令牌端点估计。请求JWT例如可以由本地OP900进行签名,以防止攻击(例如,在服务可在用户的授权之后改变请求的情况下的攻击)。在932和934处,令牌签名可以使用共享机密S在各自的端点处被验证。在ID令牌签名被验证之后,在936处,用户的认证信息(例如,用户标识符)可以被提供至服务提供方904。在接入令牌签名被验证之后,在938处,用户的简档信息(例如,由服务提供方904请求的用户属性或用户要求)可以被提供至服务提供方904。包括请求信息的令牌的示例被提供如下:
参考上面的示例令牌,签名log_sig(本地OP_签名)可以按照串联的lop_id(本地OP_id)、时间戳和请求来计算。令牌可以由本地OP进行签名,例如以使签名可由服务提供方和/或身份提供方的令牌端点验证。根据示例实施方式,授权码可以包括请求信息。
如在此所描述的,用户数据(例如,属性)可以在用户信息端点处被存储。这种用户信息端点可以位于网络实体、云等等上,并且可以从所述网络或云访问用户数据。图10示出了根据另一个示例实施方式的呼叫流,其中用户信息端点本地位于UE上。用户数据(例如,机密信息)可以本地存储在UE1000、UE1000内的UICC、位于UE1000内的可信模块1002等上。允许本地存储的用户数据的认证和传输的机制被提供。根据所示的实施方式,用户信息端点可以位于可信模块1002上。
在示例场景中,用户可能想要某些机密信息(例如,他/她的社会保险号(SSN)),其中所述机密信息本地存储在UE1000上。这种本地存储的信息可以被存储在安全/可信的硬件模块1002或UICC上,而不是存储在网络/云中。可由多个利益相关者(例如,OP/OPSF和UE内的用户)控制和配置的本地策略可以授权将存储在UE1000中的机密信息释放到服务提供方RP/客户端1006。
例如,用户可能不确信其存储在网络或云上的机密信息的安全性和/或私密性。这种信息可以例如包括用户的社会保险号。用户可以选择通过将信息存储在UE上来保持该信息私有。在示例配置中,用户可以将一些用户属性(例如,名称、地址等)存储在网络上,而将其他用户属性(例如,SSN、生日等)本地存储在UE的安全环境中。在其中用户希望获取金融机构的服务的示例场景中,该机构可以要求用户的SSN,以使用户接入由该金融机构提供的服务。在可以是基于网络和/或本地的成功认证之后,例如,UE上的策略可以授权将本地存储的SSN释放到所述金融机构。在其中SSN在本地被存储的这种示例场景中,其他用户信息(例如,非机密用户属性)可以由该机构从网络/云中获取。
参考图10,在1010处,浏览器代理(BA)1004可以发送用户标识符至SP/客户端/RP1006,并且可以请求接入由RP1006提供的服务。在1012处,RP1006可以建立授权请求,并且可以用授权请求将BA1004重定向至可信模块1002(在1014处)。在1016处,UE1000的用户可以在UE1000处被认证。在1018处,UE可以确定其具有对向RP1006发出至少一个令牌的用户同意/授权。在1020处,可信模块1002(例如,本地OP)可以根据开放ID连接协议生成令牌。在1020处,可信模块1002可以对该令牌进行签名。令牌报头可以包括针对OP1008的指示符,以确定包括该报头的令牌是否本地生成。在1022处,可信模块1002之后可以传递包括签名的令牌的重定向消息至BA1004,该重定向消息可以将BA1004重定向至RP1006(在1024处)。签名的令牌中的一者或多者可以包括可根据开放ID连接协议进行格式化的接入令牌。例如,在1020处,在具有或没有对诸如OP1008之类的网络实体的认知的情况下,接入令牌可以经由可信模块1002在UE1000上本地生成,并且在步骤1022和1024处,所述接入令牌可以被发送至SP/客户端/RP1006。与特定用户数据或用户数据的类别相关联的接入令牌可以被约束到与用户信息端点的位置对应的位置(例如,URL),其中所述用户信息端点与接入令牌相关联。在示例配置中,用户数据(例如,属性)可以被分成机密的或非机密的,并且机密数据可以从本地位于UE1000上的用户信息端点访问,而非机密数据可以在位于网络上的用户信息端点处被访问。
继续参考图10,在1026处,RP1006可以使用可包括ID令牌的有效令牌请求消息来联系在OP1008处的校验ID端点1028。如在此描述的,在1030处,校验ID端点1030可以验证令牌签名S。在1032处,校验ID端点1028可以将用户的认证信息返回至RP1006。如果已经请求和发出了接入令牌,例如,则客户端1006可以使用请求的接入令牌1034来请求用户数据。例如,接入令牌可以携带关于用户信息端点1036的位置(例如,拥有用户信息端点1036的可信模块1002的位置)的信息。可替换地,在1024处,例如,用户信息端点的位置信息可以作为重定向消息的一部分被传输,而不是作为接入令牌的一部分被传输。在1034处,RP1006可以例如通过使用如在此所描述的接入令牌从可在本地位于UE1000上的用户信息端点1036请求用户数据。在1038处,可位于可信模块1002上的用户信息端点1036可以返回所请求的用户数据(例如,社会保险号、地址等)。在示例实施方式中,在RP1006接收到用户数据之后,UE1000可以接收到对由客户端1006提供的服务的完全接入。
在这里描述的另一个示例实施方式中,接入令牌可以在网络/云中生成。例如,网络实体可以替代UE生成接入令牌,并且该令牌可以被发送至SP/客户端/RP。所述接入令牌可以携带关于用户信息端点的位置(例如,URL)的信息,并且该位置可对应于网络/云中的实体、或UE上的用户信息端点、或UE内的可信模块内的用户信息端点。可以在接入令牌的消息主体内携带用户信息端点位置信息。
根据示例实施方式,在可能不具有对身份提供方或网络/云实体的认知的情况下,可用一个或多个令牌访问的信息可位于UE上。可替换地,可用各自的令牌访问的信息可位于网络/云上。令牌中的信息可以被签名和/或加密,以保护令牌数据不被窃听。这种信息可以被解密以获取令牌信息。这种测量可以确保仅合法的SP/客户端/RP(具有正确密钥)能够获取令牌。一旦由SP/客户端/RP解密了该令牌,SP/客户端/RP可以向用户信息端点授予令牌。UE或UE上的可信模块和/或网络/云实体可以生成和/或验证令牌,并提供所请求的数据至SP/客户端/RP。信息元素可以在网络和UE之间被分配,或者可以在网络与UE之间通用且同步。
例如,用户数据可以在本地被存储在UE上(例如,在UICC、可信模块等等上),用户数据可以被存储在网络实体上(例如,在OP等上),以及用户数据可以被存储在上述任意合适的组合中。图11示出了根据示例实施方式的其中一些用户数据在本地被存储而一些用户数据被存储在网络实体上的呼叫流。参考图11,以上关于图10,描述了同样出现在图10中的步骤号。在示例配置中,作为机密数据的用户数据可以在本地被存储,而作为非机密数据的用户数据可以被存储在网络/云实体上。在替换配置中,数据未被分类,但是可以在本地存储,数据可以存储在网络实体上,或者数据可以存储在上述的组合中。
一旦身份令牌的用户认证和验证成功,在1100和1106处,RP1006可以请求用户数据(例如,用户属性)。例如,在1100处,RP1006可以使用第一接入令牌来从位于UE1000内的可信模块1002处的用户信息端点1102取得用户数据。这种用户数据可以已被分类为机密数据。第一接入令牌可以包括用户信息端点1102的位置信息。在1104处,机密用户数据例如可以被提供至RP1006。在1106处,RP1006可以使用第二接入令牌来从网络实体(例如,OP1008)上的用户信息端点1108中取得用户数据。这种用户数据可以已被分类为非机密数据。第二接入令牌可包括用户信息端点1108的位置信息(例如,URL),以使RP1006从用户信息端点1108兑换用户数据。与机密数据相关联的且用于从UE1000内的存储器中获取数据的第一接入令牌可以由本地OP(例如,UE1000的可信模块1002)提供。用户信息端点1102的位置(例如,URL)还可以由UE1000的本地OP提供。在示例实施方式中,在数据(例如,机密和非机密数据)由RP1006获取之后,其可以在RP1006处被合并,并且用于为UE1000提供对由RP1006提供的服务的接入。所述数据可以在RP1006处被合并和使用。
因此,如在此所描述的,每个接入令牌或每个用户数据类别(例如,机密的、非机密的、敏感的、通用的等等)可以与用户数据的位置相关联。用户数据的位置可以与UE或诸如UICC之类的可信模块的位置(例如,到UE/UICC的URL)、网络/云中的位置(例如,到网络/云内的实体的URL)、或者他们的组合对应。因此,存储在不同位置中的用户属性可以由SP/客户端/RP请求、处理、合并和使用。
举个例子,UE1000可以接收授权请求,以为服务提供方(例如,RP1006)创建接入令牌。基于所述授权请求,在UE处,第一接入令牌可以被创建,以及第二接入令牌可以被创建。接入令牌可与由UE1000的用户和RP1006提供的服务相关联。第一接入令牌可以包括指示第一用户信息端点的位置的信息,其中一旦验证了该第一接入令牌,该第一用户信息端点就向RP1006提供第一请求的用户属性。第二接入令牌可以包括指示第二用户信息端点的位置的信息,其中一旦验证了该第二接入令牌,该第二用户信息端点就向RP1006提供第二请求的用户属性。所述第一用户信息端点可以位于UE100上,而第二用户信息端点可以位于经由网络与RP1006通信的网络实体(例如,OP1008)上。
图12A是可以在其中实施所公开的一个或多个实施方式的示例通信系统1400的图示。通信系统1400可以是为多个无线用户提供例如语音、数据、视频、消息发送、广播等内容的多接入系统。该通信系统1400能使多个无线用户通过共享包括无线带宽在内的系统资源来访问这些内容。例如,通信系统1400可以使用一种或多种信道接入方法,如码分多址(CDMA)、时分多址(TDMA)、频分多址(FDMA)、正交FDMA(OFDMA)、单载波FDMA(SC-FDMA)等等。
如图12A所示,通信系统1400可以包括无线发射/接收单元(WTRU)1402a、1402b、1402c、1402d、无线电接入网(RAN)1404、核心网1406、公共交换电话网(PSTN)1408、因特网1410以及其他网络1412,但是应该了解,所公开的实施方式考虑到了任何数量的WTRU、基站、网络和/或网络元件。每一个WTRU1402a、1402b、1402c、1402d都可以是被配置成在无线环境中工作和/或通信的任何类型的设备。举个例子,WTRU1402a、1402b、1402c、1402d可以被配置成传送和/或接收无线信号,并且可以包括用户设备(UE)、移动站、固定或移动订户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、智能电话、膝上型计算机、上网本、个人计算机、无线传感器、消费类电子产品等等。
通信系统1400还可以包括基站1414a和基站1414b。每一个基站1414a和1414b可以是被配置成与WTRU1402a、1402b、1402c、1402d中的至少一者无线对接的任何类型的设备,以便促成对一个或多个通信网络(例如核心网1406、因特网1410和/或其他网络1412)的接入。举个例子,基站1414a、1414b可以是基础收发信站(BTS)、节点B、e节点B、家用节点B、家用e节点B、站点控制器、接入点(AP)、无线路由器等等。虽然基站1414a、1414b中的每一个都被描述成是单个部件,但是应该了解,基站1414a、1414b可以包括任何数量的互连基站和/或网络元件。
基站1414a可以是RAN1404的一部分,其中该RAN1404还可以包括其他基站和/或网络元件(未显示),例如基站控制器(BSC)、无线电网络控制器(RNC)、中继节点等等。基站1414a和/或基站1414b可以被配置成在可以被称为小区(未显示)的特定地理区域内传送和/或接收无线信号。小区还可以分成小区扇区。例如,与基站1414a相关联的小区可以分成三个扇区。因此在一个实施方式中,基站1414a可以包括三个收发信机,也就是说,小区的每一个扇区都具有一个收发信机。在一个实施方式中,基站1414a可以使用多输入多输出(MIMO)技术,并且由此可以针对小区中的每个扇区使用多个收发信机。
基站1414a、1414b可以通过空中接口1416与WTRU1402a、1402b、1402c、1402d中的一者或多者进行通信,其中该空中接口1416可以是任何适当的无线通信链路(例如射频(RF)、微波、红外(IR)、紫外(UV)、可见光等等)。该空中接口1416可以使用任何适当的无线电接入技术(RAT)来建立。
更具体地说,如上所述,通信系统1400可以是多接入系统,并且可以使用一种或多种信道接入方案,如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等等。例如,RAN1404中的基站1414a与WTRU1402a、1402b、1402c可以实施诸如通用移动电信系统(UMTS)陆地无线电接入(UTRA)之类的无线电技术,该无线电技术可以用宽带CDMA(WCDMA)来建立空中接口1416。WCDMA可以包括诸如高速分组接入(HSPA)和/或演进型HSPA(HSPA+)之类的通信协议。HSPA可以包括高速下行链路分组接入(HSDPA)和/或高速上行链路分组接入(HSUPA)。
在一个实施方式中,基站1414a和WTRU1402a、1402b、1402c可以实施诸如演进型UMTS陆地无线电接入(E-UTRA)之类的无线电技术,该无线电技术可以使用长期演进(LTE)和/或高级LTE(LTE-A)来建立空中接口1416。
在其他实施方式中,基站1414a与WTRU1402a、1402b、1402c以实施如IEEE802.16(即全球微波互通接入(WiMAX))、CDMA2000、CDMA20001X、CDMA2000EV-DO、临时标准2000(IS-2000)、临时标准95(IS-95)、临时标准856(IS-856)、全球移动通信系统(GSM)、用于GSM演进的增强数据速率(EDGE)、GSM EDGE(GERAN)等之类的无线电技术。
举例来说,图12A中的基站1414b可以是无线路由器、家用节点B、家用e节点B、毫微微小区基站或接入点,并且可以使用任何适当的RAT来促成局部区域中的无线连接,例如营业场所、住宅、交通工具、校园等等。在一个实施方式中,基站1414b和WTRU1402c、1402d可以实施诸如IEEE802.11之类的无线电技术来建立无线局域网(WLAN)。在一个实施方式中,基站1414b和WTRU1402c、1402d可以实施诸如IEEE802.15之类的无线电技术来建立无线个域网(WPAN)。在又一个实施方式中,基站1414b和WTRU1402c、1402d可以使用基于蜂窝的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等等)来建立微微小区或毫微微小区。如图12A所示,基站1414b可以具有与因特网1410的直接连接。由此,基站1414b不必需要经由核心网1406来接入因特网1410。
RAN1404可以与核心网1406进行通信,其中核心网1406可以是被配置成向WTRU1402a、1402b、1402c、1402d中的一者或多者提供语音、数据、应用和/或网际协议上的语音(VoIP)服务的任何类型的网络。例如,核心网1406可提供呼叫控制、记账服务、基于移动位置的服务、预付费呼叫、因特网连接、视频分发等等,和/或执行高级安全功能,例如用户认证。虽然图12A中没有显示,但应该了解,RAN1404和/或核心网1406可以直接或间接地和使用了与RAN1404相同的RAT或不同RAT的其他RAN进行通信。例如,除了与可以使用E-UTRA无线电技术的RAN1404相连之外,核心网1406还可以与另一个使用GSM无线电技术的RAN(未显示)进行通信。
核心网1406还可以充当WTRU1402a、1402b、1402c、1402d接入PSTN1408、因特网1410和/或其他网络1412的网关。PSTN1408可以包括提供简易老式电话服务(POTS)的电路交换电话网络。因特网1410可以包括使用了公共通信协议的全球性互联计算机网络和设备系统,所述公共通信协议例如传输控制协议(TCP)/网际协议(IP)族中的TCP、用户数据报协议(UDP)和IP。网络1412可以包括由其他服务提供方拥有和/或运营的有线或无线通信网络。例如,网络1412可以包括与一个或多个RAN相连的另一个核心网,其中所述一个或多个RAN可以使用与RAN1404相同的RAT或不同的RAT。
通信系统1400中的WTRU1402a、1402b、1402c、1402d的一些或全部可以包括多模能力,也就是说,WTRU1402a、1402b、1402c、1402d可以包括通过不同无线链路与不同无线网络通信的多个收发信机。例如,图12A所示的WTRU1402c可以被配置成与可以使用基于蜂窝的无线电技术的基站1414a通信,以及与可以使用IEEE802无线电技术的基站1414b通信。
图12B是示例WTRU1402的系统图示。如图12B所示,WTRU1402可以包括处理器1418、收发信机1420、发射/接收元件(例如,多个天线)1422、扬声器/麦克风1424、键盘1426、显示器/触摸板1428、不可移除存储器1430、可移除存储器1432、电源1434、全球定位系统(GPS)芯片组1436以及其他外围设备1438。应该了解的是,在符合实施方式的同时,WTRU1402可以包括前述元件的任何子组合。
处理器1418可以是通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任意其他类型的集成电路(IC)、状态机等等。处理器1418可以执行信号编码、数据处理、功率控制、输入/输出处理和/或其他任何能使WTRU1402在无线环境中工作的功能。处理器1418可以耦合至收发信机1420,收发信机1420可以耦合至发射/接收元件1422。虽然图12B将处理器1418和收发信机1420描述成是独立组件,但是应该了解,处理器1418和收发信机1420可以同时集成在电子封装或芯片中。处理器1418可以执行应用层程序(例如,浏览器)和/或无线电接入层(RAN)程序和/或通信。处理器1418可以例如在接入层和/或应用层处执行诸如认证、安全密钥协商、和/或加密操作之类的安全性操作。
在示例实施方式中,WTRU1402包括处理器1418和与所述处理器耦合的存储器。所述存储器可以包括可执行的指令,其中在由所述处理器执行所述指令时,所述指令使得所述处理器执行与在本地执行开放ID协议的功能相关联的操作。
发射/接收元件1422可以被配置成通过空中接口1416来传送或接收去往或来自基站(例如基站1414a)的信号。举个例子,在一个实施方式中,发射/接收元件1422可以是被配置成传送和/或接收RF信号的天线。在一个实施方式中,举例来说,发射/接收元件1422可以是被配置成传送和/或接收IR、UV或可见光信号的发射器/检测器。在另一个实施方式中,发射/接收元件1422可以被配置成传送和接收RF和光信号。应当理解的是,发射/接收元件1422可以被配置成传送和/或接收无线信号的任何组合。
此外,虽然在图12B中将发射/接收元件1422描述成是单个元件,但是WTRU1402可以包括任何数量的发射/接收元件1422。更具体地,WTRU1402可以使用MIMO技术。因此在一个实施方式中,WTRU1402可以包括两个或更多个用于通过空中接口1416传送和接收无线信号的发射/接收元件1422(例如,多个天线)。
收发信机1420可以被配置成对发射/接收元件1422将要传送的信号进行调制,以及对发射/接收元件1422接收的信号进行解调。如上所述,WTRU1402可以具有多模能力。由此,收发信机1420可以包括使得WTRU1402经由诸如UTRA和IEEE802.11之类的多种RAT来进行通信的多个收发信机。
WTRU1402的处理器1418可以耦合至扬声器/麦克风1424、键盘1426和/或显示器/触摸板1428(例如液晶显示器(LCD)显示单元或有机发光二极管(OLED)显示单元),并且可以接收来自这些设备的用户输入数据。处理器1418还可以向扬声器/麦克风1424、键盘1426和/或显示器/触摸板1428输出用户数据。此外,处理器1418可以从任何适当类型的存储器(例如不可移除存储器1430和/或可移除存储器1432)中访问信息,以及将数据存入这些存储器。所述不可移除存储器1430可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘或是其他任何类型的存储器存储设备。可移除存储器1432可以包括订户身份模块(SIM)卡、存储棒、安全数字(SD)存储卡等等。在其他实施方式中,处理器1418可以从那些并非物理位于WTRU1402的存储器(例如位于服务器或本地计算机(未显示)上的存储器)访问信息,以及将数据存入这些存储器。
处理器1418可以接收来自电源1434的电力,并且可以被配置成分配和/或控制用于WTRU1402中的其他组件的电力。电源1434可以是为WTRU1402供电的任何适当的设备。例如,电源1434可以包括一个或多个干电池(例如镍镉(NiCd)、镍锌(NiZn)、镍氢(NiMH)、锂离子(Li-ion)等等)、太阳能电池、燃料电池等等。
处理器1418还可以与GPS芯片组1436相耦合,该GPS芯片组1436可以被配置成提供与WTRU1402的当前位置相关的位置信息(例如经度和纬度)。作为来自GPS芯片组1436的信息的补充或替换,WTRU1402可以通过空中接口1416接收来自基站(例如基站1414a、1414b)的位置信息,和/或根据从两个或多个附近基站接收的信号的定时来确定其位置。应该了解的是,在保持符合实施方式的同时,WTRU1402可以借助任何适当的位置确定方法来获取位置信息。
处理器1418还可以耦合到其他外围设备1438,外围设备1438可以包括提供附加特征、功能和/或有线或无线连接的一个或多个软件和/或硬件模块。例如,外围设备1438可以包括加速度计、电子指南针、卫星收发信机、数字相机(用于照片和视频)、通用串行总线(USB)端口、振动设备、电视收发信机、免提耳机、模块、调频(FM)无线电单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器等等。
图12C是根据实施方式的RAN1404以及示例核心网1406的系统图示。如上所述,RAN1404可以使用UTRA无线电技术通过空中接口1416与WTRU1402a、1402b、1402c进行通信。RAN1404还可以与核心网1406进行通信。如图12C所示,RAN1404可以包括节点B1440a、1440b、1440c,该节点B1440a、1440b、1440c中的每一个可以包括一个或多个收发信机,用于通过空中接口1416与WTRU1402a、1402b、1402c进行通信。每一个节点B1440a、1440b、1440c可以与RAN1404中的特定小区(未显示)相关联。RAN1404还可以包括RNC1442a、1442b。应该理解的是,在保持符合实施方式的同时,RAN1404可以包括任何数量的节点B和RNC。
如图12C所示,节点B1440a、1440b可以与RNC1442a进行通信。此外,节点B1440c可以与RNC1442b进行通信。节点B1440a、1440b、1440c可以经由Iub接口来与各个RNC1442a、1442b进行通信。RNC1442a、1442b可以经由Iur接口彼此进行通信。RNC1442a、1442b中的每一个可以被配置成控制与之连接的各个节点B1440a、1440b、1440c。此外,RNC1442a、1442b中的每一个可以被配置成执行和/或支持其他功能,如外环功率控制、负载控制、准许控制、分组调度、切换控制、宏分集、安全功能、数据加密等等。
图12C中所示的核心网1406可以包括媒体网关(MGW)1444、移动交换中心(MSC)1446、服务GPRS支持节点(SGSN)1448和/或网关GPRS支持节点(GGSN)1450。虽然每个前述元件被描述成是核心网1406的一部分,但应该了解的是,这些元件中的任何一个都可被核心网运营商之外的实体拥有和/或运营。
RAN1404中的RNC1442a可经由IuCS接口与核心网1406中的MSC1446连接。MSC1446可与MGW1444连接。MSC1446和MGW1444可以为WTRU1402a、1402b、1402c提供对诸如PSTN1408之类的电路交换网络的接入,以便促成WTRU1402a、1402b、1402c和传统的陆线通信设备之间的通信。
RAN1404中的RNC1442a还可以经由IuPS接口与核心网1406中的SGSN1448连接。SGSN1448可与GGSN1450连接。SGSN1448和GGSN1450可以为WTRU1402a、1402b、1402c提供对诸如因特网1410之类的分组交换网络的接入,以便促成WTRU1402a、1402b、1402c和IP使能设备之间的通信。
如上所述,核心网1406还可以与网络1412相连接,其中该网络1412可以包括由其他服务提供方拥有和/或运营的其他有线或无线网络。
虽然在上文中描述了采用特定组合的特征和元素,但是本领域普通技术人员将会了解,每一个特征或元素既可以单独使用,也可以与其他特征和元素进行任何组合来使用。此外,本领域的普通技术人员将会了解,在此描述的实施方式仅出于示例性目的而被提供。例如,尽管在此使用本地开放ID身份提供方(OP)来描述实施方式,但非本地OP或外部OP可以用于执行类似的功能,反之亦然。此外,这里描述的实施方式可以在引入到计算机可读介质中并供计算机或处理器运行的计算机程序、软件或固件中实施。计算机可读介质的示例包括电信号(通过有线或无线连接传送)以及计算机可读存储介质。计算机可读存储介质的示例包括但不局限于只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、诸如内部硬盘和可移除磁盘之类的磁介质、磁光介质、以及诸如CD-ROM碟片和数字多用途碟片(DVD)之类的光介质。与软件相关联的处理器可以用于实施在WTRU、UE、终端、基站、RNC或任何主计算机中使用的射频收发信机。

Claims (30)

1.一种在包括经由网络通信的用户设备(UE)、身份提供方(IdP)以及服务提供方(SP)的系统中的方法,该方法包括:
接收对令牌的请求,其中对所述令牌的所述请求响应于对接入由所述服务提供方提供的服务的请求;
在所述UE处,响应于对所述令牌的所述请求,根据对所述令牌的所述请求创建身份(ID)令牌;以及
经由所述UE发出所述ID令牌,其中所述ID令牌被验证以为所述UE提供对所述服务的接入。
2.根据权利要求1所述的方法,其中所述ID令牌在位于所述UE内的可信环境中被安全地创建。
3.根据权利要求1所述的方法,该方法还包括:
接收授权请求以为所述SP创建接入令牌,其中所述授权请求由所述UE的用户批准;以及
在所述UE处,响应于所述授权请求,创建与所述授权请求的所述用户批准相关联的所述接入令牌。
4.根据权利要求3所述的方法,其中所述授权请求的所述用户批准经由所述UE的策略而被自动接收。
5.根据权利要求3所述的方法,其中所述接入令牌包括指示用户信息端点的位置的信息,其中一旦验证了所述接入令牌,所述用户信息端点就向所述SP提供所请求的用户属性。
6.根据权利要求5所述的方法,其中所述接入令牌的验证包括对所述用户同意将所请求的用户属性释放到所述SP的验证。
7.根据权利要求5所述的方法,其中所述接入令牌在位于所述UE内的可信环境中被安全地创建,并且其中所述接入令牌的验证包括对所述可信环境有效的验证。
8.根据权利要求5所述的方法,其中所述用户信息端点位于所述UE或经由所述网络与所述SP通信的网络实体中的至少一者上。
9.根据权利要求3所述的方法,其中所述ID令牌和所述接入令牌根据开放ID连接协议来创建。
10.根据权利要求3所述的方法,其中所述ID令牌和所述接入令牌在位于所述UE内的可信环境中被安全地创建,所述方法还包括:
使用所述可信模块确定所述用户的认证状态;以及
在所述认证状态指示所述用户尚未被认证的情况下,在所述可信环境处认证所述用户。
11.根据权利要求1所述的方法,该方法还包括:
接收授权请求以为所述SP创建接入令牌;
在所述UE处,基于所述授权请求,创建第一接入令牌和第二接入令牌,所述接入令牌与所述服务和所述用户相关联。
12.根据权利要求11所述的方法,其中所述第一接入令牌包括指示第一用户信息端点的位置的信息,其中一旦验证了所述第一接入令牌,所述第一用户信息端点就向所述SP提供第一请求的用户属性,而所述第二接入令牌包括指示第二用户信息端点的位置的信息,其中一旦验证了所述第二接入令牌,所述第二用户信息端点就向所述SP提供第二请求的用户属性,且其中所述第一用户信息端点位于所述UE上,而所述第二用户信息端点位于经由所述网络与所述SP通信的网络实体上。
13.根据权利要求12所述的方法,其中由所述第一用户信息端点提供的所述第一请求的用户属性由所述用户分类为机密数据,而由所述第二用户信息端点提供的所述第二请求的用户属性由所述用户分类为非机密数据。
14.根据权利要求2所述的方法,其中所述SP是开放ID连接客户端,以及所述可信环境是本地开放ID身份提供方(OP)。
15.一种在包括经由网络通信的用户设备(UE)、身份提供方(IdP)以及服务提供方(SP)的系统中的方法,该方法包括:
在所述UE处:
接收对用户数据的请求;
接收对释放所述用户数据的同意部分的用户同意;
响应于所述用户同意,生成与所述SP相关联的接入令牌;以及
向所述SP发出所述接入令牌,其中一旦验证了所述接入令牌,所述用户数据的所述同意部分被释放到所述SP。
16.根据权利要求15所述的方法,其中所请求的用户数据包括多个用户属性,其中所述多个用户属性中的至少一者不是被释放的所述用户数据的所述同意部分的一部分。
17.根据权利要求15所述的方法,该方法还包括:
使用签名对所述接入令牌进行签名,所述签名包括所述UE的标识符或位于所述UE内的可信环境的标识符中的至少一者。
18.根据权利要求15所述的方法,该方法还包括:
使用由所述UE和经由所述网络与所述SP通信的所述IdP共享的机密来对所述接入令牌进行签名。
19.根据权利要求15所述的方法,其中用户信息端点位于所述UE内,所述方法还包括:
在所述用户信息端点处接收所述接入令牌;以及
响应于接收到所述接入令牌,向所述SP提供所述用户数据的所述同意部分。
20.一种在包括经由网络通信的用户设备(UE)以及服务提供方(SP)的系统中的方法,该方法包括:
在所述SP处,接收对接入由所述SP提供的服务的请求,所述请求包括所述UE的用户的标识符或所述UE的标识符中的至少一者;
在所述SP处,响应于对接入的所述请求,接收身份(ID)令牌和第一接入令牌;以及
在所述SP处,响应于所述接入令牌的验证,从第一用户信息端点取得第一用户属性,其中所述第一用户信息端点位于所述UE上。
21.根据权利要求20所述的方法,该方法还包括:
在所述SP处,使用存储在所述SP上的机密来验证所述ID令牌的签名;以及
响应于所述验证,授权所述UE接入所述服务。
22.根据权利要求20所述的方法,该方法还包括:
将所接收到的ID令牌发送至校验ID端点以进行验证;以及
将所接收到的第一接入令牌发送至所述第一用户信息端点以进行验证,从而将所述ID令牌和接入令牌视为不透明的值。
23.根据权利要求20所述的方法,该方法还包括:
响应于对接入的所述请求,接收第二接入令牌;
在所述SP处,响应于所述第二接入令牌的验证,从第二用户信息端点取得第二用户属性,其中所述第二用户信息端点位于经由所述网络与所述SP通信的网络实体上;以及
在所述SP处,合并所述第一用户属性和所述第二用户属性。
24.一种无线发射/接收单元(WTRU),该WTRU包括:
包括可执行的指令的存储器;以及
与所述存储器通信的处理器,在由所述处理器执行所述指令时,所述指令使得所述处理器完成以下操作:
接收对令牌的请求,其中对所述令牌的所述请求响应于对接入由服务提供方(SP)提供的服务的请求;
响应于对所述令牌的所述请求,根据对所述令牌的所述请求创建身份(ID)令牌;以及
发出所述ID令牌,其中所述ID令牌被验证以为所述WTRU提供对所述服务的接入。
25.根据权利要求24所述的WTRU,其中所述处理器还被配置成执行所述指令以执行以下操作:
接收授权请求以为所述SP创建接入令牌,其中所述授权请求由所述WTRU的用户批准;以及
响应于所述授权请求,创建与所述授权请求的所述用户批准相关联的所述接入令牌。
26.根据权利要求25所述的WTRU,其中所述接入令牌包括指示用户信息端点的位置的信息,其中一旦验证了所述接入令牌,所述用户信息端点向所述SP提供所请求的用户属性。
27.根据权利要求26所述的WTRU,其中所述接入令牌的验证包括对所述用户同意将所请求的用户属性释放到所述SP的验证。
28.根据权利要求25所述的WTRU,其中所述用户信息端点位于所述WTRU或经由所述网络与所述SP通信的网络实体中的至少一者上。
29.根据权利要求24所述的WTRU,其中所述处理器还被配置成执行所述指令以执行以下操作:
接收授权请求以为所述SP创建接入令牌;
在所述WTRU处,基于所述授权请求,创建第一接入令牌和第二接入令牌,所述接入令牌与所述服务和所述用户相关联。
30.根据权利要求29所述的WTRU,其中所述第一接入令牌包括指示第一用户信息端点的位置的信息,其中一旦验证了所述第一接入令牌,所述第一用户信息端点就向所述SP提供第一请求的用户属性,而所述第二接入令牌包括指示第二用户信息端点的位置的信息,其中一旦验证了所述第二接入令牌,所述第二用户信息端点就向所述SP提供第二请求的用户属性,且其中所述第一用户信息端点位于所述WTRU上,而所述第二用户信息端点位于经由网络与所述SP通信的网络实体上。
CN201380006159.8A 2012-01-20 2013-01-18 具有本地功能的身份管理 Pending CN104115465A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201261589125P 2012-01-20 2012-01-20
US61/589,125 2012-01-20
PCT/US2013/022105 WO2013109857A1 (en) 2012-01-20 2013-01-18 Identity management with local functionality

Publications (1)

Publication Number Publication Date
CN104115465A true CN104115465A (zh) 2014-10-22

Family

ID=47913537

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201380006159.8A Pending CN104115465A (zh) 2012-01-20 2013-01-18 具有本地功能的身份管理

Country Status (7)

Country Link
US (1) US9774581B2 (zh)
EP (1) EP2805470B1 (zh)
JP (1) JP2015511348A (zh)
KR (3) KR101730459B1 (zh)
CN (1) CN104115465A (zh)
TW (1) TW201345217A (zh)
WO (1) WO2013109857A1 (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104917615A (zh) * 2015-04-24 2015-09-16 广东电网有限责任公司信息中心 一种基于环签名的可信计算平台属性验证方法
CN107534671A (zh) * 2015-04-27 2018-01-02 微软技术许可有限责任公司 分布式服务实体和关联的聚合与联合
CN107690792A (zh) * 2015-06-15 2018-02-13 安维智有限公司 未经管理的移动设备的单点登录
CN109088890A (zh) * 2018-10-18 2018-12-25 国网电子商务有限公司 一种身份认证方法、相关装置及系统
CN109672675A (zh) * 2018-12-20 2019-04-23 成都三零瑞通移动通信有限公司 一种基于OAuth2.0的密码服务中间件的WEB认证方法
CN111669408A (zh) * 2017-03-30 2020-09-15 阿里巴巴集团控股有限公司 一种身份注册及认证的方法及装置
CN111801924A (zh) * 2018-01-26 2020-10-20 传感频谱有限责任公司 用于使用消息级安全性进行消息传递的设备、方法和制造产品
CN111797431A (zh) * 2020-07-07 2020-10-20 电子科技大学 一种基于对称密钥体制的加密数据异常检测方法与系统
CN115225306A (zh) * 2021-04-20 2022-10-21 丰田自动车株式会社 认证系统
TWI802794B (zh) * 2020-04-29 2023-05-21 臺灣銀行股份有限公司 金融業務審核之整合系統及其方法

Families Citing this family (142)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10181953B1 (en) 2013-09-16 2019-01-15 Amazon Technologies, Inc. Trusted data verification
BR0011768A (pt) * 1999-06-18 2002-06-11 Echarge Corp Método e aparelho para encomendar mercadorias, serviços e conteúdo através de um trabalho de internet utilizando uma conta de pagamento virtual
US9237155B1 (en) 2010-12-06 2016-01-12 Amazon Technologies, Inc. Distributed policy enforcement with optimizing policy transformations
US8769642B1 (en) 2011-05-31 2014-07-01 Amazon Technologies, Inc. Techniques for delegation of access privileges
US9264237B2 (en) 2011-06-15 2016-02-16 Microsoft Technology Licensing, Llc Verifying requests for access to a service provider using an authentication component
US9197409B2 (en) 2011-09-29 2015-11-24 Amazon Technologies, Inc. Key derivation techniques
US9965614B2 (en) 2011-09-29 2018-05-08 Oracle International Corporation Mobile application, resource management advice
US9178701B2 (en) 2011-09-29 2015-11-03 Amazon Technologies, Inc. Parameter based key derivation
US9203613B2 (en) 2011-09-29 2015-12-01 Amazon Technologies, Inc. Techniques for client constructed sessions
US10225242B2 (en) * 2011-10-25 2019-03-05 Salesforce.Com, Inc. Automated authorization response techniques
US10212588B2 (en) * 2011-10-25 2019-02-19 Salesforce.Com, Inc. Preemptive authorization automation
US10225264B2 (en) 2011-10-25 2019-03-05 Salesforce.Com, Inc. Automated authorization response techniques
US10733151B2 (en) 2011-10-27 2020-08-04 Microsoft Technology Licensing, Llc Techniques to share media files
US9137235B2 (en) * 2012-03-23 2015-09-15 Cloudpath Networks, Inc. System and method for providing a certificate based on list membeship
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
US8739308B1 (en) 2012-03-27 2014-05-27 Amazon Technologies, Inc. Source identification for unauthorized copies of content
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US9571282B1 (en) 2012-04-03 2017-02-14 Google Inc. Authentication on a computing device
US10423952B2 (en) 2013-05-06 2019-09-24 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US11250423B2 (en) * 2012-05-04 2022-02-15 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US10410212B2 (en) * 2012-05-04 2019-09-10 Institutional Cash Distributors Technology, Llc Secure transaction object creation, propagation and invocation
KR102093757B1 (ko) * 2012-05-24 2020-03-26 삼성전자 주식회사 eUICC 환경에서 SIM 프로파일을 제공하는 방법 및 장치
US9258118B1 (en) 2012-06-25 2016-02-09 Amazon Technologies, Inc. Decentralized verification in a distributed system
US9660972B1 (en) 2012-06-25 2017-05-23 Amazon Technologies, Inc. Protection from data security threats
US9152781B2 (en) * 2012-08-09 2015-10-06 Cisco Technology, Inc. Secure mobile client with assertions for access to service provider applications
GB2508207A (en) * 2012-11-23 2014-05-28 Intercede Ltd Controlling access to secured data stored on a mobile device
US9038142B2 (en) 2013-02-05 2015-05-19 Google Inc. Authorization flow initiation using short-term wireless communication
US9479805B2 (en) 2013-02-15 2016-10-25 Cox Communications, Inc. Entitlement validation and quality control of content in a cloud-enabled network-based digital video recorder
US10601798B2 (en) 2013-03-15 2020-03-24 Cox Communications, Inc. Federated services managed access to services and content
US9294454B2 (en) * 2013-03-15 2016-03-22 Microsoft Technology Licensing, Llc Actively federated mobile authentication
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9396320B2 (en) 2013-03-22 2016-07-19 Nok Nok Labs, Inc. System and method for non-intrusive, privacy-preserving authentication
US9246892B2 (en) 2013-04-03 2016-01-26 Salesforce.Com, Inc. System, method and computer program product for managing access to systems, products, and data based on information associated with a physical location of a user
US9426155B2 (en) * 2013-04-18 2016-08-23 International Business Machines Corporation Extending infrastructure security to services in a cloud computing environment
US9407440B2 (en) 2013-06-20 2016-08-02 Amazon Technologies, Inc. Multiple authority data security and access
US9521000B1 (en) 2013-07-17 2016-12-13 Amazon Technologies, Inc. Complete forward access sessions
US9160731B2 (en) * 2013-09-06 2015-10-13 International Business Machines Corporation Establishing a trust relationship between two product systems
US9237019B2 (en) 2013-09-25 2016-01-12 Amazon Technologies, Inc. Resource locators with keys
US9311500B2 (en) 2013-09-25 2016-04-12 Amazon Technologies, Inc. Data security using request-supplied keys
US10243945B1 (en) * 2013-10-28 2019-03-26 Amazon Technologies, Inc. Managed identity federation
US9397990B1 (en) * 2013-11-08 2016-07-19 Google Inc. Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud
US9106620B2 (en) * 2013-11-14 2015-08-11 Comcast Cable Communications, Llc Trusted communication session and content delivery
US20150150109A1 (en) * 2013-11-27 2015-05-28 Adobe Systems Incorporated Authenticated access to a protected resource using an encoded and signed token
US9420007B1 (en) 2013-12-04 2016-08-16 Amazon Technologies, Inc. Access control using impersonization
US9292711B1 (en) 2014-01-07 2016-03-22 Amazon Technologies, Inc. Hardware secret usage limits
US9374368B1 (en) 2014-01-07 2016-06-21 Amazon Technologies, Inc. Distributed passcode verification system
US9369461B1 (en) 2014-01-07 2016-06-14 Amazon Technologies, Inc. Passcode verification using hardware secrets
US9262642B1 (en) 2014-01-13 2016-02-16 Amazon Technologies, Inc. Adaptive client-aware session security as a service
US20150220917A1 (en) * 2014-02-04 2015-08-06 Christian Aabye Token verification using limited use certificates
JP6327881B2 (ja) * 2014-02-24 2018-05-23 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
US10771255B1 (en) 2014-03-25 2020-09-08 Amazon Technologies, Inc. Authenticated storage operations
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9258117B1 (en) 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
US10326597B1 (en) 2014-06-27 2019-06-18 Amazon Technologies, Inc. Dynamic response signing capability in a distributed system
JP6354407B2 (ja) * 2014-07-11 2018-07-11 株式会社リコー 認証システム、認証方法、プログラム及び通信システム
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9450760B2 (en) * 2014-07-31 2016-09-20 Nok Nok Labs, Inc. System and method for authenticating a client to a device
JP6561441B2 (ja) * 2014-09-05 2019-08-21 株式会社リコー 情報処理装置、アクセス制御方法、通信システム、及びプログラム
US9444848B2 (en) * 2014-09-19 2016-09-13 Microsoft Technology Licensing, Llc Conditional access to services based on device claims
US10198558B2 (en) * 2014-10-06 2019-02-05 Red Hat, Inc. Data source security cluster
CN105490997B (zh) 2014-10-10 2019-05-14 阿里巴巴集团控股有限公司 安全校验方法、装置、终端及服务器
US10477260B2 (en) 2014-10-17 2019-11-12 Cox Communications, Inc. Network based digital video recorder playback adapter
US20160142409A1 (en) * 2014-11-18 2016-05-19 Microsoft Technology Licensing, Llc Optimized token-based proxy authentication
US10853592B2 (en) 2015-02-13 2020-12-01 Yoti Holding Limited Digital identity system
EP3767877B1 (en) * 2015-02-17 2022-05-11 Visa International Service Association Token and cryptogram using transaction specific information
US9819596B2 (en) * 2015-02-24 2017-11-14 Qualcomm Incorporated Efficient policy enforcement using network tokens for services C-plane approach
US9350556B1 (en) 2015-04-20 2016-05-24 Google Inc. Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key
US10044718B2 (en) 2015-05-27 2018-08-07 Google Llc Authorization in a distributed system using access control lists and groups
US9444822B1 (en) * 2015-05-29 2016-09-13 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US9736165B2 (en) * 2015-05-29 2017-08-15 At&T Intellectual Property I, L.P. Centralized authentication for granting access to online services
US11503031B1 (en) * 2015-05-29 2022-11-15 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US10812464B2 (en) 2015-06-15 2020-10-20 Airwatch Llc Single sign-on for managed mobile devices
US10944738B2 (en) 2015-06-15 2021-03-09 Airwatch, Llc. Single sign-on for managed mobile devices using kerberos
US11057364B2 (en) 2015-06-15 2021-07-06 Airwatch Llc Single sign-on for managed mobile devices
US10171447B2 (en) 2015-06-15 2019-01-01 Airwatch Llc Single sign-on for unmanaged mobile devices
US10122689B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Load balancing with handshake offload
US10122692B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Handshake offload
US20180212962A1 (en) * 2015-07-30 2018-07-26 Interdigital Patent Holdings, Inc. Enabling coordinated identity management between an operator-managed mobile-edge platform and an external network
US10270753B2 (en) * 2015-08-14 2019-04-23 Salesforce.Com, Inc. Background authentication refresh
US10542117B2 (en) 2015-09-03 2020-01-21 Verisign, Inc. Systems and methods for providing secure access to shared registration systems
US9800580B2 (en) * 2015-11-16 2017-10-24 Mastercard International Incorporated Systems and methods for authenticating an online user using a secure authorization server
US9971637B1 (en) * 2015-11-19 2018-05-15 Sprint Communications Company L.P. Big data propagation agent framework
US11329821B2 (en) 2015-12-28 2022-05-10 Verisign, Inc. Shared registration system
US10382424B2 (en) 2016-01-26 2019-08-13 Redhat, Inc. Secret store for OAuth offline tokens
EP3345370B1 (en) 2016-01-29 2019-03-13 Google LLC Device access revocation
US10341862B2 (en) 2016-02-05 2019-07-02 Verizon Patent And Licensing Inc. Authenticating mobile devices
WO2017166166A1 (en) 2016-03-31 2017-10-05 Oracle International Corporation System and method for providing runtime tracing for web-based client accessing transactional middleware platform using extension interface
CN108476216B (zh) * 2016-03-31 2021-01-22 甲骨文国际公司 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法
CN106023458B (zh) * 2016-05-13 2019-08-13 智车优行科技(北京)有限公司 车辆控制方法、装置、终端、车辆、服务器及系统
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10116440B1 (en) 2016-08-09 2018-10-30 Amazon Technologies, Inc. Cryptographic key management for imported cryptographic keys
US20180063152A1 (en) * 2016-08-29 2018-03-01 Matt Erich Device-agnostic user authentication and token provisioning
US10635828B2 (en) * 2016-09-23 2020-04-28 Microsoft Technology Licensing, Llc Tokenized links with granular permissions
US10374809B1 (en) * 2016-12-13 2019-08-06 Amazon Technologies, Inc. Digital signature verification for asynchronous responses
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
CN110169031B (zh) 2017-01-09 2023-09-19 开利公司 具有本地移动密钥分配的门禁控制系统
WO2018136744A1 (en) 2017-01-23 2018-07-26 Carrier Corporation Access control system with secure pass-through
US10742638B1 (en) * 2017-04-27 2020-08-11 EMC IP Holding Company LLC Stateless principal authentication and authorization in a distributed network
US10630668B2 (en) * 2017-04-28 2020-04-21 Amazon Technologies, Inc. Single sign-on registration
US11523444B2 (en) 2017-05-03 2022-12-06 Telefonaktiebolaget Lm Ericsson (Publ) UE handling in RAN
US10972273B2 (en) * 2017-06-14 2021-04-06 Ebay Inc. Securing authorization tokens using client instance specific secrets
EP3646227A1 (en) * 2017-06-28 2020-05-06 Apple Inc. Entitlement system
DE102017211267A1 (de) * 2017-07-03 2019-01-03 Siemens Aktiengesellschaft Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners und entsprechendes Kommunikationssystem
US10721222B2 (en) * 2017-08-17 2020-07-21 Citrix Systems, Inc. Extending single-sign-on to relying parties of federated logon providers
US10505916B2 (en) * 2017-10-19 2019-12-10 T-Mobile Usa, Inc. Authentication token with client key
GB201719080D0 (en) 2017-11-17 2018-01-03 Light Blue Optics Ltd Device authorization systems
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US10587409B2 (en) 2017-11-30 2020-03-10 T-Mobile Usa, Inc. Authorization token including fine grain entitlements
TWI640189B (zh) * 2017-12-25 2018-11-01 中華電信股份有限公司 電信認證之身分核實系統及其方法
CN108174363A (zh) * 2017-12-29 2018-06-15 威马智慧出行科技(上海)有限公司 寻车方法及装置
US11831409B2 (en) * 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
US11438168B2 (en) 2018-04-05 2022-09-06 T-Mobile Usa, Inc. Authentication token request with referred application instance public key
US10812476B2 (en) 2018-05-22 2020-10-20 Salesforce.Com, Inc. Authorization of another device for participation in multi-factor authentication
GB201809225D0 (en) * 2018-06-05 2018-07-25 Data Signals Ltd Method and apparatus for access control
US11190350B2 (en) * 2018-06-25 2021-11-30 Jpmorgan Chase Bank, N.A. Systems and methods for using an OAUTH client secret to encrypt data sent to browser
US11108764B2 (en) 2018-07-02 2021-08-31 Salesforce.Com, Inc. Automating responses to authentication requests using unsupervised computer learning techniques
US10764276B2 (en) * 2018-08-31 2020-09-01 Sap Se Certificate-initiated access to services
US11310217B2 (en) * 2018-09-07 2022-04-19 Paypal, Inc. Using ephemeral URL passwords to deter high-volume attacks
US10826909B2 (en) 2018-10-04 2020-11-03 Servicenow, Inc. Platform-based authentication for external services
US11126754B2 (en) * 2018-11-30 2021-09-21 BicDroid Inc. Personalized and cryptographically secure access control in operating systems
DE102019100335A1 (de) * 2019-01-08 2020-07-09 Bundesdruckerei Gmbh Verfahren zum sicheren Bereitstellen einer personalisierten elektronischen Identität auf einem Endgerät
US11361660B2 (en) 2019-03-25 2022-06-14 Micron Technology, Inc. Verifying identity of an emergency vehicle during operation
US11233650B2 (en) 2019-03-25 2022-01-25 Micron Technology, Inc. Verifying identity of a vehicle entering a trust zone
US11323275B2 (en) 2019-03-25 2022-05-03 Micron Technology, Inc. Verification of identity using a secret key
US11218330B2 (en) 2019-03-25 2022-01-04 Micron Technology, Inc. Generating an identity for a computing device using a physical unclonable function
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
CN110572258B (zh) * 2019-07-24 2021-12-14 中国科学院数据与通信保护研究教育中心 一种云密码计算平台及计算服务方法
US11882120B2 (en) * 2019-07-30 2024-01-23 Hewlett Packard Enterprise Development Lp Identity intermediary service authorization
US11050560B2 (en) 2019-09-27 2021-06-29 International Business Machines Corporation Secure reusable access tokens
US11449636B2 (en) 2019-10-04 2022-09-20 Mastercard International Incorporated Systems and methods for secure provisioning of data using secure tokens
US11652813B2 (en) * 2019-10-04 2023-05-16 Mastercard International Incorporated Systems and methods for real-time identity verification using a token code
US11121863B1 (en) 2020-03-12 2021-09-14 Oracle International Corporation Browser login sessions via non-extractable asymmetric keys
CN111770200B (zh) * 2020-08-31 2020-12-08 支付宝(杭州)信息技术有限公司 一种信息共享方法和系统
FI129916B (en) * 2020-12-16 2022-10-31 Nokia Technologies Oy AUTHORIZATION OF ONLINE REQUEST
US11895106B2 (en) 2021-01-28 2024-02-06 Oracle International Corporation Automatic sign-in upon account signup
US11620363B1 (en) 2021-03-15 2023-04-04 SHAYRE, Inc. Systems and methods for authentication and authorization for software license management
US11632362B1 (en) 2021-04-14 2023-04-18 SHAYRE, Inc. Systems and methods for using JWTs for information security
US11831754B2 (en) * 2021-04-21 2023-11-28 Aetna Inc. Systems and methods for device binding across multiple domains using an authentication domain
US11621830B1 (en) 2021-06-28 2023-04-04 SHAYRE, Inc. Systems and methods for facilitating asynchronous secured point-to-point communications

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090300746A1 (en) * 2008-05-27 2009-12-03 Open Invention Network Llc System integrating an identity selector and user-portable device and method of use in a user-centric identity management system
US20100251353A1 (en) * 2009-03-25 2010-09-30 Novell, Inc. User-authorized information card delegation
US20110173105A1 (en) * 2010-01-08 2011-07-14 Nokia Corporation Utilizing AAA/HLR infrastructure for Web-SSO service charging
US20110213969A1 (en) * 2010-02-26 2011-09-01 General Instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260716A (ja) 2003-02-27 2004-09-16 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステム、個人情報送信方法およびプログラム
DE102008000067C5 (de) 2008-01-16 2012-10-25 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
US9838877B2 (en) * 2008-04-02 2017-12-05 Yougetitback Limited Systems and methods for dynamically assessing and mitigating risk of an insured entity
US20090271847A1 (en) 2008-04-25 2009-10-29 Nokia Corporation Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On
JP2010244272A (ja) 2009-04-06 2010-10-28 Nippon Telegr & Teleph Corp <Ntt> 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム
DE102009027682A1 (de) * 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens
CN102577301A (zh) 2009-09-14 2012-07-11 交互数字专利控股公司 用于可信认证和登录的方法和装置
TWI514896B (zh) * 2010-02-09 2015-12-21 Interdigital Patent Holdings 可信賴聯合身份方法及裝置
GB2478971A (en) * 2010-03-25 2011-09-28 Nec Corp Generating a user interface on a mobile phone for an application on a UICC using metadata
DE102010028133A1 (de) * 2010-04-22 2011-10-27 Bundesdruckerei Gmbh Verfahren zum Lesen eines Attributs aus einem ID-Token
WO2012004916A1 (ja) 2010-07-09 2012-01-12 日本電気株式会社 サービス提供システム
US8832271B2 (en) * 2010-12-03 2014-09-09 International Business Machines Corporation Identity provider instance discovery
US9497184B2 (en) * 2011-03-28 2016-11-15 International Business Machines Corporation User impersonation/delegation in a token-based authentication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090300746A1 (en) * 2008-05-27 2009-12-03 Open Invention Network Llc System integrating an identity selector and user-portable device and method of use in a user-centric identity management system
US20100251353A1 (en) * 2009-03-25 2010-09-30 Novell, Inc. User-authorized information card delegation
US20110173105A1 (en) * 2010-01-08 2011-07-14 Nokia Corporation Utilizing AAA/HLR infrastructure for Web-SSO service charging
US20110213969A1 (en) * 2010-02-26 2011-09-01 General Instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104917615B (zh) * 2015-04-24 2018-06-01 广东电网有限责任公司信息中心 一种基于环签名的可信计算平台属性验证方法
CN104917615A (zh) * 2015-04-24 2015-09-16 广东电网有限责任公司信息中心 一种基于环签名的可信计算平台属性验证方法
CN107534671B (zh) * 2015-04-27 2021-04-16 微软技术许可有限责任公司 分布式服务实体和关联的聚合与联合
CN107534671A (zh) * 2015-04-27 2018-01-02 微软技术许可有限责任公司 分布式服务实体和关联的聚合与联合
US10574750B2 (en) 2015-04-27 2020-02-25 Microsoft Technology Licensing, Llc Aggregation and federation of distributed service entities and associations
CN107690792A (zh) * 2015-06-15 2018-02-13 安维智有限公司 未经管理的移动设备的单点登录
CN111669408A (zh) * 2017-03-30 2020-09-15 阿里巴巴集团控股有限公司 一种身份注册及认证的方法及装置
CN111801924B (zh) * 2018-01-26 2023-05-12 传感频谱有限责任公司 用于使用消息级安全性进行消息传递的设备、方法和制造产品
CN111801924A (zh) * 2018-01-26 2020-10-20 传感频谱有限责任公司 用于使用消息级安全性进行消息传递的设备、方法和制造产品
US11546310B2 (en) 2018-01-26 2023-01-03 Sensus Spectrum, Llc Apparatus, methods and articles of manufacture for messaging using message level security
CN109088890A (zh) * 2018-10-18 2018-12-25 国网电子商务有限公司 一种身份认证方法、相关装置及系统
CN109672675B (zh) * 2018-12-20 2021-06-25 成都三零瑞通移动通信有限公司 一种基于OAuth2.0的密码服务中间件的WEB认证方法
CN109672675A (zh) * 2018-12-20 2019-04-23 成都三零瑞通移动通信有限公司 一种基于OAuth2.0的密码服务中间件的WEB认证方法
TWI802794B (zh) * 2020-04-29 2023-05-21 臺灣銀行股份有限公司 金融業務審核之整合系統及其方法
CN111797431A (zh) * 2020-07-07 2020-10-20 电子科技大学 一种基于对称密钥体制的加密数据异常检测方法与系统
CN115225306A (zh) * 2021-04-20 2022-10-21 丰田自动车株式会社 认证系统

Also Published As

Publication number Publication date
EP2805470B1 (en) 2018-09-12
KR20170046191A (ko) 2017-04-28
WO2013109857A1 (en) 2013-07-25
TW201345217A (zh) 2013-11-01
US9774581B2 (en) 2017-09-26
US20130191884A1 (en) 2013-07-25
KR20160079153A (ko) 2016-07-05
JP2015511348A (ja) 2015-04-16
KR101636028B1 (ko) 2016-07-04
KR101730459B1 (ko) 2017-04-26
KR20140114058A (ko) 2014-09-25
EP2805470A1 (en) 2014-11-26

Similar Documents

Publication Publication Date Title
CN104115465A (zh) 具有本地功能的身份管理
US8533803B2 (en) Method and apparatus for trusted federated identity
US9490984B2 (en) Method and apparatus for trusted authentication and logon
US9237142B2 (en) Client and server group SSO with local openID
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
EP3382991A1 (en) Method and apparatus for trusted authentication and logon
US11711693B2 (en) Non-3GPP device access to core network
US11917416B2 (en) Non-3GPP device access to core network
TW201225697A (en) Identity management on a wireless device
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20141022