CN105393490A - 用于安全服务的基于介质的认证和授权 - Google Patents
用于安全服务的基于介质的认证和授权 Download PDFInfo
- Publication number
- CN105393490A CN105393490A CN201480040074.6A CN201480040074A CN105393490A CN 105393490 A CN105393490 A CN 105393490A CN 201480040074 A CN201480040074 A CN 201480040074A CN 105393490 A CN105393490 A CN 105393490A
- Authority
- CN
- China
- Prior art keywords
- electronic equipment
- authorization
- authentication
- service
- security medium
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
Abstract
一种方法响应于电子设备对服务的请求,由服务提供商请求电子设备的认证。经由电子设备的安全介质将认证元素提供给服务提供商。响应于对服务的请求,授权服务器通过从服务提供商接收授权元素并且在安全介质上安装授权元素来提供对于服务提供商的代理授权。在使用安全介质对电子设备进行认证和授权时,访问所请求的服务。
Description
技术领域
一个或多个实施例总体上涉及用于对服务的访问的集中式认证和授权,具体地涉及一种用于获得对基于云的服务的访问的认证和授权的电子设备的安全介质。
背景技术
基于云的生态系统正变得日益流行以提供诸如内容发布、移动金融和电子健康这样的宽范围的服务。这些新的基于云的服务中的很多现在或将来在移动设备中是可用的。为了移动设备访问这些服务,在授权令牌被发放到设备的用户之前,生态系统必须首先对设备进行认证。每次设备用户需要访问所订购的服务时,他/她将认证和授权令牌呈现给云服务提供商。
基于云的生态系统可以是在单一伞下提供所有服务的闭合单片生态系统或存在提供特定服务的多个闭合的基于云的生态系统的另一类型的生态系统。在前一情况下,单一生态系统在单一伞下提供所有种类的安全服务,并且因此,可以使用相同认证/授权基础设施来满足宽范围的服务的认证/授权要求。在后一情况下,设备从其它生态系统获得基于云的安全服务。这意味着设备用户必须认证并且从多个闭合的基于云的生态系统获得授权令牌。由于单一设备需要用部署不同类型的认证机制的多个生态系统来认证,因此这可能导致设备的复杂设计。
发明内容
技术问题
基于云的生态系统正变得日益流行以提供诸如内容发布、移动金融和电子健康这样的宽范围的服务。这些新的基于云的服务中的很多现在或将来在移动设备中是可用的。为了移动设备访问这些服务,在授权令牌被发放到设备的用户之前,生态系统必须首先对设备进行认证。每次设备用户需要访问所订购的服务时,他/她将认证和授权令牌呈现给云服务提供商。
问题的解决方案
一个或多个实施例总体上涉及使用安全介质对电子设备进行认证和授权。在一个实施例中,一种方法响应于电子设备对服务的请求,由服务提供商请求电子设备的认证。在一个实施例中,经由电子设备的安全介质将认证元素提供给服务提供商。在一个实施例中,响应于对服务的请求,授权服务器通过从服务提供商接收授权元素并且在安全介质上安装授权元素来提供对于服务提供商的代理授权。在一个实施例中,在使用安全介质对电子设备进行认证和授权时,访问所请求的服务。
发明的有益效果
基于云的生态系统可以是在单一伞下提供所有服务的闭合单片生态系统或存在提供特定服务的多个闭合的基于云的生态系统的另一类型的生态系统。在前一情况下,单一生态系统在单一伞下提供所有种类的安全服务,并且因此,可以使用相同认证/授权基础设施来满足宽范围的服务的认证/授权要求。在后一情况下,设备从其它生态系统获得基于云的安全服务。这意味着设备用户必须认证并且从多个闭合的基于云的生态系统获得授权令牌。由于单一设备需要用部署不同类型的认证机制的多个生态系统来认证,因此这可能导致设备的复杂设计。
附图说明
为了更完整地理解实施例的性质和优点以及使用的优选模式,应当对结合附图来阅读的以下详细描述进行参考,其中:
图1示出了根据实施例的通信系统的示意图。
图2示出了根据实施例的包括使用安全介质的认证和授权的架构系统的框图。
图3示出了根据实施例的用于安全介质的主机证书的示例。
图4示出了根据实施例的基于云的系统的框图。
图5示出了根据实施例的在安全介质中安装认证元素的流程图。
图6示出了根据实施例的使用安全介质的服务认证的流程图。
图7示出了根据实施例的使用安全介质来安装授权令牌的流程图。
图8示出了根据实施例在安全介质中安装用于云服务提供商的凭证的框图。
图9示出了根据实施例的由授权服务器将凭证安装到安全介质的流程图。
图10是示出包括实现实施例的计算系统的信息处理系统的高级框图。
具体实施方式
本发明的最佳模式
一个或多个实施例总体上涉及使用安全介质对电子设备进行认证和授权。在一个实施例中,一种方法响应于电子设备对服务的请求,由服务提供商请求电子设备的认证。在一个实施例中,经由电子设备的安全介质将认证元素提供给服务提供商。在一个实施例中,响应于对服务的请求,授权服务器通过从服务提供商接收授权元素并且在安全介质上安装授权元素来提供对于服务提供商的代理授权。在一个实施例中,在使用安全介质对电子设备进行认证和授权时,访问所请求的服务。
在一个实施例中,一种系统包括:电子设备;安全介质设备,其耦合到电子设备;以及授权服务器,其耦合到多个基于云的服务提供商。在一个实施例中,授权服务器通过从服务提供商接收授权令牌并且在安全介质上安装授权令牌来提供对于来自服务提供商之一的所请求的服务的代理授权。在一个实施例中,在所选择的服务提供商对电子设备进行认证和授权时,电子设备访问所请求的服务。
在一个实施例中,一种非瞬时计算机可读介质,具有当在计算机上运行时执行包括以下的方法的指令:响应于电子设备对服务的请求,由服务提供商请求电子设备的认证。在一个实施例中,经由电子设备的安全介质将认证令牌提供给服务提供商。在一个实施例中,响应于对服务的请求,授权服务器通过从服务提供商接收授权令牌并且在安全介质上安装授权令牌,来提供对于服务提供商的代理授权。在一个实施例中,在使用安全介质对电子设备进行认证和授权时,访问所请求的服务。
在一个实施例中,一种方法包括:从电子设备的安全介质将认证令牌提供到服务提供商。在一个实施例中,由从服务提供商接收授权令牌并且在安全介质上安装授权令牌的授权服务器为服务提供商提供代理授权。在一个实施例中,来自安全介质的认证令牌和授权令牌用于访问所请求的服务。
根据当与附图结合时的以下详细描述,一个或多个实施例的这些和其它方面和优点将变得显而易见。
本发明的模式
为了示出一个或多个实施例的一般原理的目的而进行以下描述,但以下描述并非意图限制在此所要求的本发明的构思。此外,在各个可能的组合和置换中的每一个中,在此所描述的特定特征可以与其它所描述的特征组合使用。除非在此另外具体地定义,所有术语被赋予它们的最宽泛的可能解释,包括从说明书隐含的意义以及本领域技术人员所理解的和/或在字典、论文等中所定义的意义。
一个或多个实施例总体上涉及使用安全介质对电子设备进行认证和授权。在一个实施例中,一种方法响应于电子设备对服务的请求,由服务提供商请求电子设备的认证。在一个实施例中,经由电子设备的安全介质将认证元素提供给服务提供商。在一个实施例中,响应于对服务的请求,授权服务器通过从服务提供商接收授权元素并且在安全介质上安装授权元素来提供对于服务提供商的代理授权。在一个实施例中,在使用安全介质对电子设备进行认证和授权时,访问所请求的服务。
在一个实施例中,一种系统包括:电子设备;安全介质设备,其耦合到电子设备;以及授权服务器,其耦合到多个基于云的服务提供商。在一个实施例中,授权服务器通过从服务提供商接收授权令牌并且在安全介质上安装授权令牌来提供对于来自服务提供商之一的所请求的服务的代理授权。在一个实施例中,在所选择的服务提供商对电子设备进行认证和授权时,电子设备访问所请求的服务。
图1是根据一个实施例的通信系统的示意图。通信系统10可以包括发起输出通信操作的通信设备(传送设备12);以及通信网络110,所述传送设备12可以用于发起和进行与通信网络110内的其它通信设备的通信操作。例如,通信系统10可以包括从传送设备12接收通信操作的通信设备(接收设备11)。虽然通信系统10可以包括若干传送设备12和若干接收设备11,但图1中仅示出传送设备12之一和接收设备11之一,以简化附图。
可操作为创建通信网络的任何合适的电路、设备、系统或它们的组合(例如,包括通信塔和电信服务器的无线通信基础设施)可以用于创建通信网络110。通信网络110可以能够使用任何合适的通信协议来提供通信。在一些实施例中,通信网络110可以支持例如传统电话线路、有线电视、Wi-Fi(例如,802.11协议)、、高频系统(例如,900MHz、2.4GHz和5.6GHz通信系统)、红外、其它相对本地化的无线通信协议或其任何组合。在一些实施例中,通信网络110可以支持由无线电话和蜂窝电话以及个人电子邮件设备(例如,)所使用的协议。这些协议可以包括例如GSM、GSM加EDGE、CDMA、四频以及其它蜂窝协议。在另一示例中,长距离通信协议可以包括Wi-Fi和用于使用VOIP或LAN发出或接收呼叫的协议。当位于通信网络110之内时,传送设备12和接收设备11可以通过双向通信路径(诸如路径13)进行通信。传送设备12和接收设备11两者均可以能够发起通信操作以及接收所发起的通信操作。
传送设备12和接收设备11可以包括用于发送和接收通信操作的任何合适的设备。例如,传送设备12和接收设备11可以包括移动电话设备、电视系统、相机、摄像机、具有音频视频能力的设备、平板、可穿戴设备以及能够以无线方式(借助或不借助无线启用辅助系统)或经由有线路径(例如,使用传统电话线)进行通信的任何其它设备。通信操作可以包括例如包含语音通信(例如,电话呼叫)、数据通信(例如,电子邮件、文本消息、媒体消息)或其组合(例如,视频会议)的任何合适的形式的通信。
图2示出了根据实施例的可以用于电子设备120的认证和授权的架构系统100的功能框图。传送设备12和接收设备11两者均可以包括电子设备120的一些或所有特征。在一个实施例中,电子设备120可以包括显示器121、麦克风122、音频输出123、输入机构124、通信电路125、控制电路126、相机模块127、GPS模块128和安全介质设备140以及任何其它合适的组件。在一个实施例中,由云环境160(例如,CE制造商云、云集线器等)的授权服务器170将认证和授权凭证(例如,令牌、安全断言标记语言(SAML)断言等)提供给安全介质140。
在一个实施例中,可以由控制电路126互连和管理音频输出123、显示器121、输入机构124、通信电路125和麦克风122所采用的所有应用。在一个示例中,能够将音乐/视频传送到其它调谐设备的手持音乐/视频播放器可以被合并到电子设备120中。
在一个实施例中,音频输出123可以包括用于将音频提供给电子设备120的用户的任何合适的音频组件。例如,音频输出123可以包括内建到电子设备120中的一个或多个扬声器(例如,单声道扬声器或立体声扬声器)。在一些实施例中,音频输出123可以包括远程耦合到电子设备120的音频组件。例如,音频输出123可以包括可以通过有线(例如,通过插孔耦合到电子设备120)或以无线方式(例如,头戴式受话器(headphone)或 头戴式耳机)耦合到通信设备的头戴式耳机、头戴式受话器或耳塞式耳机。
在一个实施例中,显示器121可以包括任何合适的屏幕或投影系统,用于将可视显示提供给用户。例如,显示器121可以包括被并入电子设备120中的屏幕(例如,LCD屏幕)。作为另一示例,显示器121可以包括用于在远离电子设备120的表面上提供内容的显示的可移动显示或投影系统(例如,视频投影仪)。显示器121可以可操作为在控制电路126的指导下显示内容(例如,关于通信操作的信息或关于可用媒体选择的信息)。
在一个实施例中,输入机构124可以是用于将用户输入或指令提供给电子设备120的任何合适的机构或用户接口。输入机构124可以采用各种形式(例如,按钮、小键盘(keypad)、拨号盘(dial)、点击式转盘(clickwheel)或触摸屏)。输入机构124可以包括多触摸屏。
在一个实施例中,通信电路125可以是可操作为连接到通信网络(例如,通信网络110,图1)并且将通信操作和媒体从电子设备120传送到通信网络内的其它设备的任何合适的通信电路。通信电路125可以可操作为使用任何合适的通信协议(诸如例如Wi-Fi(例如802.11协议)、、高频系统(例如,900MHz、2.4GHz和5.6GHz通信系统)、红外、GSM、GSM加EDGE、CDMA、四频和其它蜂窝协议、VOIP或任何其它合适的协议)与通信网络进行接口连接。
在一些实施例中,通信电路125可以可操作为使用任何合适的通信协议创建通信网络。例如,通信电路125可以使用短距离通信协议连接到其它通信设备来创建短距离通信网络。例如,通信电路125可以可操作为使用 协议将电子设备120与头戴式耳机进行耦合来创建本地通信网络。
在一个实施例中,控制电路126可以可操作为控制电子设备120的操作和性能。控制电路126可以包括例如处理器、总线(例如,用于将指令发送到电子设备120的其它组件)、存储器、存储装置或用于控制电子设备120的操作的任何其它合适的组件。在一些实施例中,处理器可以驱动显示器并且处理从用户接口接收到的输入。存储器和存储装置可以包括例如高速缓存、闪存、ROM和/或RAM。在一些实施例中,存储器可以具体地专用于存储固件(例如,用于诸如操作系统、用户接口功能和处理器功能这样的设备应用)。在一些实施例中,存储器可以可操作为存储与电子设备120与其执行通信操作(例如,保存与通信操作有关的联系人信息或者存储与由用户所选择的不同媒体类型和媒体项有关的信息)的其它设备有关的信息。
在一个实施例中,控制电路126可以可操作为执行电子设备120上所实现的一个或多个应用的操作。可以实现任何合适数量或类型的应用。虽然以下讨论将枚举不同应用,但应理解,可以将一些或所有应用组合成一个或多个应用。例如,电子设备120可以包括自动语音识别(ASR)应用、对话应用、地图应用、媒体应用(例如,QuickTime、MobileMusic.app或MobileVideo.app)、社交联网应用(例如,等)、因特网浏览应用等。在一些实施例中,电子设备120可以包括可操作为执行通信操作的一个或若干应用。例如,电子设备120可以包括消息传输应用、邮件应用、语音邮件应用、即时消息传输应用(例如用于聊天)、视频会议应用、传真应用或用于执行任何合适的通信操作的任何其它合适的应用。
在一些实施例中,电子设备120可以包括麦克风122。例如,电子设备120可以包括麦克风122以允许用户传送音频(例如,语音音频),以用于在通信操作期间的应用1-N127的话音控制和导航,或作为建立通信操作的手段,或作为对于使用物理用户接口的替换。麦克风122可以被并入电子设备120中,或者可以远程地耦合到电子设备120。例如,麦克风122可以被并入有线头戴式受话器中,麦克风122可以被并入无线头戴式耳机中,可以被并入遥控设备中,等等。
在一个实施例中,相机模块127包括相机设备,该相机设备包含捕获静止和视频图像的功能、编辑功能、用于发送、共享等照片/视频等的通信互操作性。
在一个实施例中,电子设备120可以包括适合于执行通信操作的任何其它组件。例如,电子设备120可以包括电源、用于耦合到主机设备的端口或接口、次级输入机构(例如,ON/OFF开关)或任何其它合适的组件。
在一个实施例中,对于不具有提供所有服务的它们自身的闭合单片生态系统的实体,电子设备使用结合基于云集线器的安全机制的安全介质140。云集线器将集中式认证/授权服务提供给其它基于云的生态系统。在一个实施例中,安全介质设备140可以被嵌入电子设备120中(例如,存储器设备),或者可从电子设备120移除(例如,可移除卡、可移除存储器设备等)。在一个实施例中,安全介质140实行/提供用于存储电子设备120用户访问由不同生态系统所供应的各种基于云的服务所需的所有凭证的一个或多个安全令牌。在一个实施例中,两个主机设备通过安全认证信道(SAC)与安全介质140进行接口连接,两个主机设备是:仅可以从安全介质140读取所存储的凭证的本地主机(例如,电子设备120),以及在安全介质140中安装认证/授权元素(例如,令牌)的远程主机(例如,授权服务器170)。此处的构思是在安全介质中以本地方式存储认证和授权令牌,而不是每次与云托管(hosted)的认证和授权服务器进行接口连接。客户机设备可以从本地安全介质取回凭证,而不是每次需要服务时向云托管的服务器请求认证/授权令牌。
图3示出了根据实施例的用于安全介质140的主机(例如,授权服务器170)证书300的示例。在一个实施例中,证书300包括:用于包括获取(Get)PAD块301的主机公钥部分中的保护区域数据(PAD)块的字段;以及用于签名部分中的PAD块(诸如,设定(Set)PAD块311)的字段。在一个实施例中,获取PAD块301包括可读字段,设定PAD块311包括可写字段。在一个实施例中,获取PAD块301具有字段格式302,设定PAD块311具有字段格式312。在一个实施例中,保护PAD块免受来自外部字符的破坏(corruption)。
在一个实施例中,证书300可以访问安全介质140中从开始块编号开始的(由计数器值所指示的)PAD块集合。电子设备120是被允许访问证书300的相同块集合的另一主机(本地主机)。在一个实施例中,仅给予电子设备120通过仅获取PAD块301许可的读取访问。表1示出了由授权服务器170所管理的凭证分配表。
[表1]
| PAD编号 | 发行方 | 认证/授权令牌 |
| 开始块编号 | DECE | 授权 |
| 开始块编号+1 | Visa | 授权 |
| ------------------------ | ------------------------ | ------------------------ |
| 开始块编号+计数器-1 | 设备制造商 | 认证 |
| 授权服务器的签名 |
由于授权服务器170(例如,远程主机)负责管理安全介质140中的凭证,因此授权服务器170确切地知道特定凭证被存储在安全介质140中的何处。在一个实施例中,授权服务器170维持本地表(凭证分配表),该本地表保持跟踪凭证在安全介质140中的位置(PAD块分配)。每当授权服务器170在安全介质140上安装/更新或删除凭证时,就更新凭证分配表。在一个实施例中,授权服务器170与电子设备120(例如,本地主机)共享该表,使得电子设备120知道特定凭证在安全介质140中的确切位置。在一个实施例中,凭证分配表由授权服务器170签名,以用于完整性保护。
图4示出了根据实施例的基于云的系统400的框图。在一个实施例中,系统400包括:多个基于云的环境410,每一个供应多个服务;应用编程接口(API)450,由基于云的环境410使用该应用编程接口来与云环境160(例如,CE制造商云)、授权服务器170、身份提供商430以及一个或多个电子设备120进行通信。在一个实施例中,为了从基于云的环境410获得服务,电子设备120(或电子设备的用户)必须被认证,并且电子设备必须被授权。在一个实施例中,授权服务器在电子设备的安全介质140上安装凭证440(例如,认证和授权元素、令牌等)。
在一个实施例中,用于电子设备120的认证服务包括以下。服务提供商可以认证电子设备120、电子设备120的用户或者这二者。在一个实施例中,电子设备120被认证以对其它生态系统确保它们与有效设备进行通信。在一个实施例中,基于相同安全介质140的机制也可应用于对web服务集合认证电子设备120的用户。在一个实施例中,授权服务用于在所考虑的用例下对于由基于云的生态系统(例如,基于云的环境410)所供应的某一服务授权电子设备120的用户。
图5示出了根据实施例的用于安全介质140中的认证元素(例如,认证令牌、SAML断言等)的初始安装的流程图501。在一个实施例中,云环境160(例如,云集线器)提供身份服务,使得服务提供商无需分离地认证电子设备120。在一个实施例中,在云环境160将设备认证服务提供给其它基于云的生态系统(例如,基于云的环境410)的情况下,使用基于单点登录(singlesign-on,SSO)的解决方案。在一个实施例中,SSO术语原始地用于使用相同用户凭证对web服务器集合认证用户。在一个实施例中,在认证循环中使用安全介质140。
在一个实施例中,电子设备120首先使用CE提供商特定认证机制与云环境160中的身份提供商430进行认证。在一个实施例中,除了别的以外,CE提供商特定认证可以包括平台完整性(例如,固件版本号等)的认证。在一个实施例中,在认证电子设备120之后,身份提供商430发放SAML断言(例如,认证令牌)。在一个实施例中,身份提供商430将SAML断言转发/传输到授权服务器170,以用于安全介质140中的安装。在一个实施例中,授权服务器170设置(例如,发起、布置等)至设备中的安全介质140的SAC。在一个实施例中,授权服务器170检查证书300中的凭证分配表,并且选择用于安装SAML断言的未分配的PAD块。在一个实施例中,授权服务器然后在安全介质140中的证书300的所选择的保护区域PAD块中存储SAML断言。
图6示出了根据实施例的使用安全介质140的服务认证600的流程图。在一个实施例中,在电子设备120被初始认证之后,电子设备120使用服务请求向服务提供商410请求服务。在一个实施例中,在服务提供商410从电子设备120接收到该服务请求之后,服务提供商410从电子设备120的安全介质140请求认证元素(例如,SAML断言、认证令牌等)。在一个实施例中,(例如,经由获取PAD指令)从安全介质140的证书300中取回认证元素,并且传输到服务提供商410。在一个实施例中,在服务提供商410从安全介质140接收到认证元素之后,服务提供商开始用于电子设备120的授权的服务。
图7示出了根据实施例的使用安全介质140的授权元素(例如授权令牌等)的安装的流程图700。在一个实施例中,云环境160代表基于云的环境410的云服务提供商通过在安全介质140中存储授权元素来提供代理授权服务。在一个实施例中,电子设备120(例如,客户机)在基于云的环境410的云服务提供商处请求并注册服务,并且服务提供商发放授权元素。在一个实施例中,云服务提供商使用应用信令协议(诸如,简单对象访问协议(SOAP)等)在云环境160处将授权元素传输到授权服务器170。在一个实施例中,授权服务器设置至电子设备120中的安全介质140的SAC。
在一个实施例中,授权服务器170充当远程主机,并且检查安全介质140的证书300的凭证分配表以选择用于安装凭证(例如,授权元素、授权令牌等)的未分配的PAD块。在一个实施例中,授权服务器170在安全介质140的证书300中的所选择的PAD块(例如,PAD块集合311)中存储由云服务提供商所发放的授权元素。
图8示出了根据实施例的安全介质140中的基于云的环境410的云服务提供商的凭证440的安装的框图800。在一个实施例中,证书300在安全介质140上的不同块810中存储凭证440。在一个实施例中,凭证440可以包括SAML断言、授权元素或令牌等。在一个实施例中,一旦在安全介质140上存储基于云的环境410的不同的基于云的服务提供商的凭证440,设备120就不需要对于待认证和待授权的电子设备120分别并且每次与服务提供商进行通信,因为可以从安全介质140直接取回凭证。
图9示出了根据实施例的由授权服务器将凭证安装到安全介质的流程图。在一个实施例中,流程图900开始于块905,其中授权服务器170通过设置至安全介质140的SAC来开始对电子设备120的授权。在一个实施例中,在块910中,授权服务器170初始化安全介质140的分配的证书300中的PAD块。在一个实施例中,在块915中,授权服务等待来自身份提供商430或来自基于云的环境410的若干生态系统之一的凭证安装请求。
在一个实施例中,如果凭证安装过程900未接收到凭证安装请求,则凭证安装过程900保持等待。如果凭证安装过程900从块920接收到凭证安装请求,则在块915中,在得到这样的请求时,授权服务器170关于未分配的PAD块检查安全介质140的证书300的凭证分配表。在一个实施例中,在块930中,授权服务器170选择安全介质140的证书300的未分配的PAD块。在一个实施例中,在块940中,授权服务器170通过SAC在所选择的PAD块中安装凭证。
在一个实施例中,在块950中,在成功安装凭证并且对其进行签名之后,授权服务器更新安全介质140中的凭证分配表。在一个实施例中,在块960中,授权服务器170将触发消息发送到电子设备120(例如,本地主机),以发起由电子设备120取得更新后的凭证分配表。在一个实施例中,过程900然后返回到块915,并且等待另一凭证安装或更新请求。
图10是示出包括实现实施例的计算系统500的信息处理系统的高级框图。系统500包括一个或多个处理器511(例如,ASIC、CPU等),并且还可以包括电子显示设备512(用于显示图形、文本和其它数据)、主存储器513(例如,随机存取存储器(RAM))、存储设备514(例如,硬盘驱动器)、可移除存储设备515(例如,可移除存储驱动器、可移除存储器模块、磁带驱动器、光盘驱动器、在其中存储有计算机软件和/或数据的计算机可读介质)、用户接口设备516(例如,键盘、触摸屏、小键盘、指点设备)以及通信接口517(例如,调制解调器、无线收发器(诸如Wi-Fi、蜂窝)、网络接口(诸如以太网卡)、通信端口或PCMCIA插槽和卡)。通信接口517允许在计算机系统与外部设备之间传输软件和数据。系统500还包括前述设备/模块511至517所连接的通信基础设施518(例如,通信总线、交叉条或网络)。
经由通信接口517传输的信息可以是信号的形式,诸如能够由通信接口517经由向/从多个宿/源(诸如,因特网550、移动电子设备551、服务器552或网络553)承载信号的通信链路接收的电子信号、电磁信号、光信号或其它信号,并且可以使用有线或缆线、光纤、电话线、蜂窝电话线、射频(RF)链路和/或其它通信信道来实现。
在一个实现方式中,在移动无线设备(诸如移动电话)中,系统500还包括图像捕获设备,诸如相机127。系统500还可以包括应用模块,例如图像捕获设备模块520、MMS模块521、SMS模块522、电子邮件模块523、社交网络接口(SNI)模块524、音频/视频(AV)播放器525、web浏览器526、图像捕获模块527等。
根据实施例,系统500还包括在此所描述的认证和授权处理模块530。在一个实现方式中,认证和授权处理模块530连同操作系统529可以一起实现为驻留在系统500的存储器中的可执行代码。在另一实施例中,这些模块处于固件等中。
如本领域技术人员所知,可以以许多方式(诸如,用于由处理器执行的程序指令、软件模块、微码、计算机可读介质上的计算机程序产品、模拟/逻辑电路、专用集成电路、固件、消费者电子设备、AV设备、无线/有线发射机、无线/有线接收机、网络、多媒体设备等)实现根据所述架构的以上所描述的前述示例架构。此外,所述架构的实施例可以采取完全硬件实施例、完全软件实施例或包含硬件元素和软件元素二者的实施例的形式。
已经参照根据一个或多个实施例的方法、装置(系统)和计算机程序产品的流程图图示和/或框图描述了一个或多个实施例。这些图示/图的每个块或其组合可以由计算机程序指令实现。计算机程序指令当被提供给处理器时产生机器,使得经由处理器执行的指令创建用于实现流程图和/或框图中所指定的功能/操作的手段。流程图/框图中的每个块可以表示实现一个或多个实施例的硬件和/或软件模块或逻辑。在替换实现中,块中所注记的功能可以不按图中所注记的顺序地、同时地等出现。
术语“计算机程序介质”、“计算机可用介质”、“计算机可读介质”和“计算机程序产品”通常用于指代诸如主存储器、次存储器、可移除存储驱动器、硬盘驱动器中所安装的硬盘这样的介质。这些计算机程序产品是用于将软件提供给计算机系统的手段。计算机可读介质允许计算机系统从计算机可读介质中读取数据、指令、消息或消息分组以及其它计算机可读信息。计算机可读介质例如可以包括非易失性存储器(诸如,软盘、ROM、闪存、盘驱动存储器、CD-ROM以及其它永久性存储装置)。例如,在各计算机系统之间传输诸如数据和计算机指令这样的信息是有用的。计算机程序指令可以存储在可以指导计算机的计算机可读介质、其它可编程数据处理装置或用于以特定方式运作的其它设备中,使得计算机可读介质中所存储的指令产生包括实现流程图和/或框图一个或多个块中所指定的功能/动作的指令的制造物。
可以将在此表示框图和/或流程图的计算机程序指令加载到计算机、可编程数据处理装置或处理设备上,以使得对其所执行的一系列操作产生计算机实现的处理。计算机程序(即,计算机控制逻辑)存储在主存储器和/或次存储器中。也可以经由通信接口接收计算机程序。这些计算机程序当运行时使得计算机系统能够执行在此所讨论的实施例的特征。具体地说,计算机程序当运行时使得处理器和/或多核处理器能够执行计算机系统的特征。这些计算机程序表示计算机系统的控制器。计算机程序产品包括可由计算机系统读取并且存储用于由计算机系统运行以执行一个或多个实施例的方法的指令的有形存储介质。
虽然已经参照实施例的某些版本描述了实施例;然而,其它版本是可能的。因此,所附权利要求的精神和范围不应当受限于在此所包含的优选版本的描述。
Claims (15)
1.一种方法,包括:
响应于电子设备对服务的请求,由服务提供商请求电子设备的认证;
经由电子设备的安全介质将认证元素提供给服务提供商;
响应于对服务的请求,授权服务器通过从服务提供商接收授权元素并且在安全介质上安装授权元素来提供对于服务提供商的代理授权;以及
在使用安全介质对电子设备进行认证和授权时,访问所请求的服务。
2.如权利要求1所述的方法,还包括:
执行电子设备与身份提供商的初始认证;
在电子设备的初始认证时,将认证元素从身份提供商发放到授权服务器,并且在电子设备的安全介质上安装认证元素。
3.如权利要求2所述的方法,其中,安全介质是嵌入在电子设备中和可从电子设备移除中的一个。
4.如权利要求3所述的方法,其中,在安全介质上存储认证元素和授权元素提供对于访问由不同生态系统所供应的基于云的服务所需的凭证。
5.如权利要求1所述的方法,其中,认证元素包括安全断言标记语言(SAML)断言。
6.如权利要求5所述的方法,其中,初始认证还包括:
经由安全信道将SAML断言提供给授权服务器以用于安全介质中的安装;
检查凭证分配表,并且在安全介质的凭证分配表中选择用于安装SAML断言的未分配的保护区域数据(PAD)块;以及
在安全介质的凭证分配表中的所选择的PAD块中存储SAML断言。
7.如权利要求6所述的方法,其中,授权服务器包括对安全介质的凭证分配表的读取和写入特权,并且电子设备仅包括对安全介质的凭证分配表的读取特权。
8.如权利要求7所述的方法,其中,接收对服务提供商的授权元素还包括:
使用应用信令协议将授权元素传输到授权服务器;
由授权服务器初始化安全信道以用于与安全介质进行通信;
检查凭证分配表,并且在安全介质的凭证分配表中选择用于安装授权元素的未分配的PAD块;以及
在安全介质的凭证分配表中的所选择的PAD块中存储由服务提供商发放的授权元素。
9.一种系统,包括:
电子设备;
安全介质设备,其耦合到电子设备;
授权服务器,其耦合到多个基于云的服务提供商,授权服务器通过从服务提供商接收授权令牌并且在安全介质上安装授权令牌来提供对于来自服务提供商之一的所请求的服务的代理授权,其中,在所选择的服务提供商对电子设备进行认证和授权时,电子设备访问所请求的服务。
10.如权利要求9所述的系统,还包括:身份提供商,其执行电子设备的初始认证,并且将认证令牌发放到在安全介质上安装认证令牌的授权服务器。
11.如权利要求10所述的系统,其中,安全介质是嵌入在电子设备中的设备和可移除地耦合到电子设备的设备中的一个。
12.如权利要求11所述的系统,其中,在安全介质上存储认证令牌和授权令牌提供对于访问由不同生态系统所供应的基于云的服务所需的凭证。
13.如权利要求10所述的系统,其中,认证令牌包括安全断言标记语言(SAML)断言。
14.如权利要求13所述的系统,其中,身份提供商将SAML断言提供给授权服务器,授权服务器初始化用于与安全介质进行通信的安全认证信道(SAC),检查安全介质中的凭证分配表,在凭证分配表中选择用于安装SAML断言的未分配的保护区域数据(PAD)块,并且在凭证分配表中的所选择的PAD块中存储所述SAML断言。
15.一种非瞬时计算机可读介质,具有当在计算机上运行时执行包括以下的方法的指令:
响应于电子设备对服务的请求,由服务提供商请求电子设备的认证;
经由电子设备的安全介质将认证令牌提供给服务提供商;
响应于对服务的请求,授权服务器通过从服务提供商接收授权令牌并且在安全介质上安装授权令牌来提供对于服务提供商的代理授权;以及
在使用安全介质对电子设备进行认证和授权时,访问所请求的服务。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/943,712 US20150026772A1 (en) | 2013-07-16 | 2013-07-16 | Media based authentication and authorization for secure services |
| US13/943,712 | 2013-07-16 | ||
| PCT/KR2014/006421 WO2015009045A1 (en) | 2013-07-16 | 2014-07-16 | Media based authentication and authorization for secure services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105393490A true CN105393490A (zh) | 2016-03-09 |
| CN105393490B CN105393490B (zh) | 2019-03-08 |
Family
ID=52344724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480040074.6A Expired - Fee Related CN105393490B (zh) | 2013-07-16 | 2014-07-16 | 用于安全服务的基于介质的认证和授权的方法、系统及介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20150026772A1 (zh) |
| EP (1) | EP3022868A4 (zh) |
| KR (1) | KR20160031937A (zh) |
| CN (1) | CN105393490B (zh) |
| WO (1) | WO2015009045A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109791593A (zh) * | 2016-09-27 | 2019-05-21 | 英特尔公司 | 基于配置数据修改对服务的访问 |
| CN115001841A (zh) * | 2022-06-23 | 2022-09-02 | 北京瑞莱智慧科技有限公司 | 一种身份认证方法、装置及存储介质 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10193864B2 (en) * | 2014-09-19 | 2019-01-29 | Comcast Cable Communications, Llc | Cloud interface for use of cloud services |
| US9935772B1 (en) * | 2016-02-19 | 2018-04-03 | Vijay K Madisetti | Methods and systems for operating secure digital management aware applications |
| US10477398B2 (en) * | 2016-09-16 | 2019-11-12 | Samsung Electronics Co., Ltd. | Method of providing secure access to hotel IoT services through mobile devices |
| US11151253B1 (en) | 2017-05-18 | 2021-10-19 | Wells Fargo Bank, N.A. | Credentialing cloud-based applications |
| CN109600337B (zh) * | 2017-09-30 | 2020-12-15 | 腾讯科技(深圳)有限公司 | 资源处理方法、装置、系统及计算机可读介质 |
| USD896221S1 (en) | 2018-02-26 | 2020-09-15 | Samsung Electronics Co., Ltd. | Head-mounted display device |
| US11609723B2 (en) | 2018-03-30 | 2023-03-21 | Ricoh Company, Ltd. | Approach for providing access to cloud services on end-user devices using local management of third-party services |
| US10999349B2 (en) * | 2018-03-30 | 2021-05-04 | Ricoh Company, Ltd. | Approach for providing access to cloud services on end-user devices using direct link integration |
| US11038946B2 (en) | 2018-03-30 | 2021-06-15 | Ricoh Company, Ltd. | Approach for providing access to cloud services on end-user devices using local management of third-party services and conflict checking |
| EP3963825A4 (en) * | 2019-04-27 | 2023-01-25 | Nokia Technologies Oy | SERVICE AUTHORIZATION FOR INDIRECT COMMUNICATION IN A COMMUNICATION SYSTEM |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070226785A1 (en) * | 2006-03-23 | 2007-09-27 | Microsoft Corporation | Multiple Security Token Transactions |
| US20080263649A1 (en) * | 2004-08-24 | 2008-10-23 | Axalto Sa | Personal Token and a Method for Controlled Authentication |
| US20120272306A1 (en) * | 2008-02-29 | 2012-10-25 | Microsoft Corporation | Authentication ticket validation |
| CN102783115A (zh) * | 2010-02-09 | 2012-11-14 | 交互数字专利控股公司 | 用于可信联合标识的方法和装置 |
| CN102986190A (zh) * | 2010-07-08 | 2013-03-20 | 国际商业机器公司 | 资源访问管理 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128546A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for attribute exchange in a heterogeneous federated environment |
| DE60313445T2 (de) * | 2003-06-26 | 2008-01-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang |
| JP2005159905A (ja) * | 2003-11-27 | 2005-06-16 | Ntt Docomo Inc | データ保存装置及び通信端末装置 |
| US20060123472A1 (en) * | 2004-12-07 | 2006-06-08 | Microsoft Corporation | Providing tokens to access federated resources |
| US8151324B2 (en) * | 2007-03-16 | 2012-04-03 | Lloyd Leon Burch | Remotable information cards |
| US10594695B2 (en) * | 2007-12-10 | 2020-03-17 | Nokia Technologies Oy | Authentication arrangement |
| US8903390B2 (en) * | 2009-05-13 | 2014-12-02 | Qualcomm Incorporated | Provisioning single-mode and multimode system selection parameters and service management |
| DE102009027681A1 (de) * | 2009-07-14 | 2011-01-20 | Bundesdruckerei Gmbh | Verfahren und Lesen von Attributen aus einem ID-Token |
| US8683562B2 (en) * | 2011-02-03 | 2014-03-25 | Imprivata, Inc. | Secure authentication using one-time passwords |
| US9100188B2 (en) * | 2011-04-18 | 2015-08-04 | Bank Of America Corporation | Hardware-based root of trust for cloud environments |
| US9407626B2 (en) * | 2011-09-29 | 2016-08-02 | Red Hat, Inc. | Security token management service hosting in application server |
| US8844013B2 (en) * | 2011-10-04 | 2014-09-23 | Salesforce.Com, Inc. | Providing third party authentication in an on-demand service environment |
| US9177169B2 (en) * | 2012-02-13 | 2015-11-03 | Wwpass Corporation | Secure digital storage |
| US9003189B2 (en) * | 2012-09-11 | 2015-04-07 | Verizon Patent And Licensing Inc. | Trusted third party client authentication |
| US8850546B1 (en) * | 2012-09-30 | 2014-09-30 | Emc Corporation | Privacy-preserving user attribute release and session management |
-
2013
- 2013-07-16 US US13/943,712 patent/US20150026772A1/en not_active Abandoned
-
2014
- 2014-07-16 EP EP14826524.2A patent/EP3022868A4/en not_active Withdrawn
- 2014-07-16 KR KR1020147025612A patent/KR20160031937A/ko not_active Application Discontinuation
- 2014-07-16 WO PCT/KR2014/006421 patent/WO2015009045A1/en active Application Filing
- 2014-07-16 CN CN201480040074.6A patent/CN105393490B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080263649A1 (en) * | 2004-08-24 | 2008-10-23 | Axalto Sa | Personal Token and a Method for Controlled Authentication |
| US20070226785A1 (en) * | 2006-03-23 | 2007-09-27 | Microsoft Corporation | Multiple Security Token Transactions |
| US20120272306A1 (en) * | 2008-02-29 | 2012-10-25 | Microsoft Corporation | Authentication ticket validation |
| CN102783115A (zh) * | 2010-02-09 | 2012-11-14 | 交互数字专利控股公司 | 用于可信联合标识的方法和装置 |
| CN102986190A (zh) * | 2010-07-08 | 2013-03-20 | 国际商业机器公司 | 资源访问管理 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109791593A (zh) * | 2016-09-27 | 2019-05-21 | 英特尔公司 | 基于配置数据修改对服务的访问 |
| CN109791593B (zh) * | 2016-09-27 | 2024-01-12 | 英特尔公司 | 基于配置数据修改对服务的访问 |
| CN115001841A (zh) * | 2022-06-23 | 2022-09-02 | 北京瑞莱智慧科技有限公司 | 一种身份认证方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3022868A4 (en) | 2017-01-18 |
| EP3022868A1 (en) | 2016-05-25 |
| US20150026772A1 (en) | 2015-01-22 |
| KR20160031937A (ko) | 2016-03-23 |
| CN105393490B (zh) | 2019-03-08 |
| WO2015009045A1 (en) | 2015-01-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105393490A (zh) | 用于安全服务的基于介质的认证和授权 | |
| US8380259B2 (en) | Wirelessly accessing broadband services using intelligent covers | |
| WO2019165941A1 (zh) | Profile生成、获取方法及相关设备和存储介质 | |
| US8959608B2 (en) | Single sign-on for a native application and a web application on a mobile device | |
| US9900774B2 (en) | Shared network connection credentials on check-in at a user's home location | |
| EP2887615A1 (en) | Cloud-based scalable authentication for electronic devices | |
| US20150319173A1 (en) | Co-verification method, two dimensional code generation method, and device and system therefor | |
| WO2015062425A1 (en) | User identity verification method and system, password protection apparatus and storage medium | |
| CN103634109A (zh) | 操作权限验证方法和装置 | |
| US10891599B2 (en) | Use of state objects in near field communication (NFC) transactions | |
| CN104903880A (zh) | 利用云客户端设备的统一通信 | |
| US11395132B2 (en) | Method for transferring subscription and electronic device for supporting the same | |
| CN104901806B (zh) | 一种虚拟资源处理方法、装置和系统 | |
| CN103548373A (zh) | 用于通过订阅管理器进行合法拦截的方法和装置 | |
| KR20080036446A (ko) | 생체 정보를 이용한 사용자 인증 방법 및 시스템과 생체정보를 이용하여 인증 정보를 전송하는 이동통신 단말기 | |
| KR20150104697A (ko) | 정보 무늬 코드를 이용한 개인 전자장치의 그룹핑 방법 및 장치 | |
| CN103581267A (zh) | 移动终端系统的数据定向缓存方法和装置 | |
| KR101737382B1 (ko) | 이동통신 간편 가입 서비스 제공방법 | |
| KR101580909B1 (ko) | 오프라인 매장에서의 개인화된 쿠폰 제공 방법 | |
| JP2015177511A (ja) | 通信装置およびサービス管理システム | |
| KR102180736B1 (ko) | 모바일 게임 아이템 제공을 위한 오프라인 매장용 단말 및 모바일 게임 아이템 제공 방법 | |
| JP2013074469A (ja) | 車載型通信装置、通信システム、通信方法、及びプログラム | |
| JP6911303B2 (ja) | 認証システム及び認証方法 | |
| KR102221716B1 (ko) | 무선단말장치와 그의 정보처리 방법과 기록매체 | |
| JP2016096452A (ja) | 移動端末及び無線通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190308 Termination date: 20200716 |