CN115462108A - 无密码无线认证 - Google Patents
无密码无线认证 Download PDFInfo
- Publication number
- CN115462108A CN115462108A CN202180029729.XA CN202180029729A CN115462108A CN 115462108 A CN115462108 A CN 115462108A CN 202180029729 A CN202180029729 A CN 202180029729A CN 115462108 A CN115462108 A CN 115462108A
- Authority
- CN
- China
- Prior art keywords
- user
- network
- policy
- token
- access tokens
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
首先,可以从相应的多个身份提供者服务接收多个访问令牌。多个访问令牌中的每一个可以与用户相关联。然后,可以将多个访问令牌存储在与用户相关联的简档中。接下来,可以分配与多个访问令牌的使用相关联的用户策略。然后可以将设备令牌提供给与用户相关联的用户设备。设备令牌可以与简档相关联。可以接收设备令牌和网络策略,然后可以确定用户策略和网络策略是一致的。响应于确定用户策略和网络策略是一致的,可以对多个身份提供者服务中的至少一个进行认证。
Description
相关申请的交叉引用
本申请于2021年4月16日作为PCT国际专利申请提交,并要求于 2020年4月23日提交的、美国非临时专利申请序列号16/856,773的优先权,其全部公开内容通过引用以其整体并入本文。
技术领域
本公开总体上涉及无线认证。
背景技术
在计算机网络中,无线接入点(AP)是允许Wi-Fi兼容的客户端设备连接到有线网络的网络硬件设备。AP通常作为独立设备连接到路由器(直接或间接通过有线网络),但其也可以是路由器本身的组成部分。多个AP也可以通过直接有线连接或无线连接或通过通常称为无线局域网 (WLAN)控制器的中央系统协同工作。AP不同于热点,热点是可通过 Wi-Fi访问WLAN的物理位置。
在无线网络之前,在企业、家庭或学校中建立计算机网络常常需要将许多电缆穿过墙壁和天花板,以便向建筑物中的所有启用网络的设备提供网络访问。随着无线AP的创建,网络用户能够添加只需很少或无需电缆即可访问网络的设备。AP通常直接连接到有线以太网连接,并且然后AP 使用射频链路提供无线连接,以供其他设备使用该有线连接。大多数AP 支持将多个无线设备连接到一个有线连接。AP被构建以用于支持使用这些无线电频率发送和接收数据的标准。
附图说明
并入并构成本公开的一部分的附图示出了本公开的各种实施例。在附图中:
图1是用于提供无密码无线认证的操作环境的框图;
图2是用于提供无密码无线认证的方法的流程图;
图3示出了用于获得访问令牌的工作流;
图4是示出简档的框图;
图5示出了用于提供认证的工作流;以及
图6是计算设备的框图。
具体实施方式
概述
首先,可以从相应的多个身份提供者服务接收多个访问令牌。多个访问令牌中的每一个可以与用户相关联。然后,可以将多个访问令牌存储在与用户相关联的简档中。接下来,可以分配与多个访问令牌的使用相关联的用户策略。然后可以将设备令牌提供给与用户相关联的用户设备。设备令牌可以与简档相关联。
示例实施例
以下详细描述参考附图。在可能的情况下,在附图和以下描述中使用相同的附图标记来指代相同或相似的元件。尽管可以描述本公开的实施例,但是修改、改编和其他实施方式是可能的。例如,可以对附图中所示的元素进行替换、添加或修改,并且可以通过对所公开的方法进行替换、重新排序或添加阶段来修改本文所述的方法。因此,以下详细描述不限制本公开。相反,本公开的适当范围由所附权利要求限定。
本公开的实施例可以向利用身份提供者服务的无线网络提供无密码和安全访问。例如,身份提供者服务可以包括社交媒体或基于网络浏览器云的身份提供者服务或企业身份提供者服务。例如,无线网络可以包括但不限于基于Wi-Fi的网络、基于4G的网络或基于5G的网络。
从用户的角度来看,用户可以提供其可能愿意用于无线访问的一组身份。用户还可以配置与用户可能愿意向诸如无线服务提供者之类的服务提供者透露哪些类型的身份有关的策略。此外,用户还可以定义可以与无线服务提供者共享多少个人信息(例如,姓名、电子邮件地址和电话号码)。
从无线服务提供者的角度来看,无线服务提供者可以配置无线服务提供者可能愿意在其网络中接受什么身份或身份的组合,以及无线服务提供者可能要求来自用户的关于用户的什么最少信息。例如,无线服务提供者可以接受两个经验证的云提供者身份或企业身份的组合。无线服务提供者可能还需要电子邮件地址以连接用户。尽管如此,本公开的实施例可以通过将用户策略与无线服务提供者策略相匹配来提供无缝无线访问。
因此,本公开的实施例可以提供对资源(例如,网络资源(例如,无线网络))的无密码访问。这种访问可能并非基于单一凭证,而是可以基于包括多个凭证的简档,这些凭证附有关于它们可以被允许在哪里使用以及如何使用的策略。简档可以不包含任何实际凭证或个人身份信息(PII),而是可以包含来自实际凭证持有者的访问令牌,这些访问令牌可以允许身份代理服务针对其应用程序接口(API)进行认证。因此,该服务可以不使用任何特定的PII。
图1示出了用于提供无密码无线认证的操作环境100的框图。如图1 所示,操作环境100可以包括访问设备105、网络110、由用户120操作的用户设备115、身份代理服务器125、身份提供者服务器130和域名服务器(DNS)135。
在本公开的一些实施例中,访问设备105可以包括被配置为支持无线(例如,Wi-Fi)热点的Wi-Fi接入点(AP)。Wi-Fi热点可以包括物理位置,在该位置中操作用户设备115的用户120可以使用Wi-Fi技术通过使用连接到服务提供者的路由器的无线局域网(WLAN)来获得对网络110 的访问(例如,互联网访问)。
在本公开的其他实施例中,访问设备105可以包括可以连接到蜂窝网络的设备,该蜂窝网络可以与终端使用设备(例如,由用户120操作的用户设备115)直接和无线通信以提供对网络110的访问(例如,互联网访问)。例如,访问设备105可以包括但不限于eNodeB(eNB)或gNodeB (gNB)。前述蜂窝网络可以包括但不限于由服务提供者操作的长期演进(LTE)宽带蜂窝网络、第四代(4G)宽带蜂窝网络或第五代(5G)宽带蜂窝网络。
用户设备115可以包括但不限于智能手机、平板设备、个人计算机、移动设备、蜂窝基站、电话、遥控设备、机顶盒、数字视频录像机、电缆调制解调器、网络计算机、大型机、路由器或其他类似的能够访问和使用 Wi-Fi网络或蜂窝网络的基于微型计算机的设备。网络110可以包括例如互联网。
身份代理服务器125可以提供对资源(例如,网络资源(例如,无线网络))的无密码访问。如将在下文更详细地描述的,与本公开的实施例一致地,这种所提供的访问可能并非基于单一凭证,而是可以基于包括多个凭证的简档,这些凭证附有关于它们可以被允许在哪里使用以及可以如何使用的策略。
身份提供者服务器130可以创建、维护和管理主体(即,诸如用户 120之类的用户)的身份信息,同时向联合或分布式网络内的依赖应用提供认证服务。身份提供者可以将用户认证作为服务提供。依赖方应用(例如,网络应用)可以将用户认证步骤外包给受信任的身份提供者。例如,身份提供者服务器130可以由社交媒体或基于网络浏览器云的身份提供者服务或企业身份提供者服务来操作。尽管图1示出了一个身份提供者服务器130,但本公开的实施例可以包括分别由多个身份提供者服务操作的多个身份提供者服务器。
互联网可以维护两个主要命名空间:域名层次结构和互联网协议 (IP)地址系统。域名系统维护域名层次结构命名空间,并且提供这两个命名空间之间的翻译服务。互联网名称服务器(例如,DNS 135)可以实现域名系统。例如,DNS 135可以将人类可记忆的域名和主机名翻译(即解析)成对应的数字IP地址,即互联网的第二主要命名空间,其用于识别和定位互联网上的计算机系统和资源。
操作环境100的上述元件(例如,访问设备105、用户设备115、身份代理服务器125、身份提供者服务器130和域名服务器135)可以在硬件和/或软件(包括固件、常驻软件、微代码等)或任何其他电路或系统中实践。操作环境100的元件可以在包括分立电子元件的电路、包含逻辑门的封装或集成电子芯片、利用微处理器的电路中或包含电子元件或微处理器的单个芯片上实践。此外,操作环境100的元件也可以使用能够执行逻辑运算(例如,AND、OR和NOT)的其他技术(包括但不限于机械、光学、流体和量子技术)来实践。如下面关于图6更详细地描述的,操作环境100的元件可以在计算设备600中实践。
图2是阐述与本公开的实施例一致的用于提供无密码无线认证的方法 200中涉及的一般阶段的流程图。方法200可以使用如上面关于图1更详细描述的身份代理服务器125来实现,该身份代理服务器125可以由如下面关于图6更详细描述的计算设备600来实现。下面将更详细地描述实现方法200的各阶段的方式。
方法200可以开始于起始框205并且进行到阶段210,在阶段210中身份代理服务器125可以从相应的多个身份提供者服务接收多个访问令牌。多个访问令牌中的每一个可以与用户120相关联。图3示出了用于获得访问令牌的工作流300。例如,使用用户设备115,用户120可以注册包含身份代理的服务并且可以从身份代理服务器125所提供的列表中选择初始身份提供者服务(图3的阶段302)。身份代理服务器125然后可以通过向用户120提供重定向统一资源定位符(URL)来将用户120重定向到身份提供者服务器130(图3的阶段304)。用户120然后可以打开重定向URL(图3的阶段306)。响应于用户120打开重定向URL,身份提供者服务器130可以在用户设备115上向用户120呈现授权用户界面(图 3的阶段308)。用户120然后可以将授权数据输入到用户界面中并且将输入的授权数据提交给身份提供者服务器130(图3的阶段310)。作为响应,身份提供者服务器130可以向用户设备115提供具有授权码的重定向网络代理(图3的阶段312)。用户设备115可以跟随重定向网络代理到身份代理125(图3的阶段314)。作为响应,身份代理125可以将授权码呈现给身份提供者服务器130(图3的阶段316),身份提供者服务器130可以将访问令牌和刷新令牌返回给身份代理125。用户可以重复用于获得图3的访问令牌(和刷新令牌)的工作流,但是具有多个身份提供者服务的不同身份提供者服务,以便从相应的多个身份提供者服务获得多个访问令牌。
方法200可以从阶段210进行到阶段220,在阶段210中身份代理服务器125从相应的多个身份提供者服务接收多个访问令牌,在阶段220中身份代理服务器125可以将多个访问令牌存储在与用户120相关联的简档中。图4是示出简档405的框图。例如,用户120可以重复图3的工作流多次以建立更完整的身份简档405。例如,可以重复图3的工作流四次,以建立包括如图4所示的第一访问令牌410、第二访问令牌415、第三访问令牌420和第四访问令牌425的多个访问令牌。简档405可以在用户 120的简档405中存储用于对应的多个身份提供者服务的用户120的访问令牌。简档405可以包含可以使身份代理服务125能够利用特定标识来认证用户120并且可以为该特定标识提供对简档信息的访问的访问令牌和刷新令牌。
一旦在阶段220中身份代理服务器125将多个访问令牌(例如,第一访问令牌410、第二访问令牌415、第三访问令牌420和第四访问令牌 425)存储在与用户120相关联的简档405中,方法200可以继续到阶段 230,在阶段230中身份代理服务器125可以分配与多个访问令牌的使用相关联的用户120的策略430。例如,用户120可以具有可以组合到简档 405中的一组身份证明(例如,来自各种身份提供者服务的多个访问令牌)。现在可以针对以下项来分配策略430:可以为哪些类型的服务提供哪些证明(或其组合)、可以与谁共享哪些个人属性。因此,在这种情况下,认证可能不会针对某个身份发生,而是可以针对用户120的整个简档 405以及相关联的身份证明和策略430发生。
在阶段230中身份代理服务器125分配与多个访问令牌的使用相关联的用户120的策略430之后,方法200可以进行到阶段240,在阶段240 中身份代理服务器125可以向与用户120相关联的用户设备115提供设备令牌。设备令牌可以与简档405相关联。例如,用户120现在可以基于简档405将信任委托给用户120的设备430中的一个或多个(第一设备 435、第二设备440、第三设备445和第四设备450)。用户设备115可以包括第一设备435、第二设备440、第三设备445和第四设备450中的任何一个。可以通过生成绑定到用户120的简档405的设备令牌并将设备令牌提供给用户设备115来委托信任。具有设备令牌的用户设备115可以指示用户设备115被用户120信任并且附接到用户120的简档405。设备令牌可以被安全地下载到用户设备115并且可以用于用户设备115的网络服务的认证,以用于映射到用户120的简档405。
在创建简档405之后,可以提供对身份代理服务的无缝认证。图5示出了用于提供认证的工作流500。虽然图5可以示出对Wi-Fi网络的认证,但可以使用与本公开的实施例一致的其他类型的无线网络。与本公开的实施例一致,当用户120尝试使用用户120的设备令牌来认证服务(例如,无线服务)时,身份代理服务可以理解用户设备115属于用户120 (例如,通过所呈现的设备令牌)。因此,身份代理服务可以尝试基于用户120的简档405和策略通过利用在用户120将一个或多个网络身份登记到简档405中时所做出的身份证明来对无线服务进行认证。因此,用户 120可能不需要密码或其他交互,从而可以提供无缝体验。
方法200可以从阶段240进行到阶段250,在阶段240中身份代理服务器125向与用户120相关联的用户设备125提供设备令牌,在阶段250 中身份代理服务器125可以接收设备令牌和网络策略。例如,在创建简档 405并且如上所述分布设备令牌之后,用户120(以及用户设备115)可以走进属于例如由企业(例如,零售店)控制的Wi-Fi访问网络505的访问设备(例如,类似于上述访问设备105)的覆盖区域。用户设备115可以尝试使用其设备令牌附接到网络505。如图5所示,网络505可以向设备发送信标或消息,该信标或消息向用户设备115指示对服务的支持(图5 的阶段502)。作为响应,用户设备115可以利用所述信标附接到网络或服务(在Wi-Fi上下文中,服务集标识符(SSID))(图5的阶段 504)。接下来,网络505可以向用户设备115发送身份请求(在WiFi上下文中,这是EAP身份请求)(图5的阶段506),从而说明网络505可以支持哪些凭证。用户设备115可以用适当的凭证(在WiFi上下文中,包括支持的凭证的EAP授权)进行响应(图5的阶段508)。网络505然后可以用DNS 135查找身份代理服务器125的地址(图5的阶段510)。然后可以在网络505和身份代理服务器125之间建立安全通信隧道(例如,由ID联合证书认证的传输层安全(TLS)隧道)(图5的阶段 512)。身份代理服务器125可以通过所述安全隧道在消息中接收设备令牌和网络策略(在Wi-Fi上下文中,这是通过TLS隧道的EAP消息) (图5的阶段514)。
一旦在阶段250中身份代理服务器125接收到设备令牌和网络策略,方法200可以继续到阶段260,在阶段260中身份代理服务器125可以确定用户策略430和网络策略是一致的。例如,作为认证源,网络505的策略可以指示网络505信任第一身份提供者服务和第二身份提供者服务两者,但不信任第三身份提供者服务。网络505的策略还可以指示如果用户120提供电子邮件地址,则用户120可以接收优质体验。用户策略430可以指示用户120可以为第一身份提供者服务、第二身份提供者服务和第三身份提供者服务中的任何一个提供证书作为认证源。用户策略430还可以指示用户120可以允许与零售商店共享用户120的电子邮件地址。因此,身份代理服务器125可以确定用户策略430和网络策略(即,网络505的策略)是一致的。
在阶段260中身份代理服务器125确定用户策略430和网络策略是一致的之后,方法200可以进行到阶段270,在阶段270中身份代理服务器 125可以响应于确定用户策略和网络策略是一致的而对多个身份提供者服务中的至少一个进行认证。例如,身份代理服务器125可以检查以查看用户120的简档405是否具有用于第一身份提供者服务或第二身份提供者服务的认证令牌,如果是,则身份代理服务器125可以尝试向第一身份提供者服务的API或第二身份提供者服务的API之一进行认证(图5的阶段 516)。由于用户120的简档405可以允许与零售店共享电子邮件地址,因此也可以从第一身份提供者服务或第二身份提供者服务检索用户120的电子邮件地址,并且通过安全隧道将该电子邮件地址返回到网络505。因此,用户设备115可以被允许加入网络505并且可以被给予优质服务(图 5的阶段520)。
与本公开的其他实施例一致,企业网络可以仅信任其本身的凭证,但是为了确保用户的凭证不被泄露,企业网络可能还希望通过使用来自例如第一身份提供者服务或第二身份提供者服务的辅助凭证来检查用户的身份。用户可能会走进企业的网络上,并且用户的设备可能会尝试使用其设备令牌附接到企业网络。身份代理服务器可以接收设备令牌和企业网络策略。身份代理服务器可以检查以查看用户是否具有第一身份提供者服务访问令牌或第二身份提供者服务访问令牌,并且向企业进行认证以及向第一身份提供者服务或第二身份提供者服务中的一个进行认证。如果企业凭证没有被撤销,并且第一身份提供者服务凭证或第二身份提供者服务凭证之一也匹配,则可以允许用户进入企业网络。与本公开的实施例一致,还可以添加生物特征验证以用于身份证明。一旦在阶段270中身份代理服务器 125对多个身份提供者服务中的至少一个进行认证,方法200可以在阶段 280结束。
图6示出了计算设备600。如图6所示,计算设备600可以包括处理单元610和存储器单元615。存储器单元615可以包括软件模块620和数据库625。当在处理单元610上执行时,软件模块620可以执行例如用于提供如上文关于图2所述的无密码无线认证的过程。例如,计算设备600 可以为访问设备105、用户设备115、身份代理服务器125、身份提供者服务器130和域名服务器135提供操作环境。访问设备105、用户设备 115、身份代理服务器125、身份提供者服务器130和域名服务器135可以在其他环境中操作并且不限于计算设备600。
计算设备600可以使用无线保真(Wi-Fi)接入点、蜂窝基站、平板设备、移动设备、智能电话、电话、遥控设备、机顶盒、数字视频录像机、电缆调制解调器、个人计算机、网络计算机、大型机、路由器、交换机、服务器集群、智能电视类设备、网络存储设备、网络中继设备、或其他类似的基于微型计算机的设备来实现。计算设备600可以包括任何计算机操作环境,例如手持设备、多处理器系统、基于微处理器的或可编程的发送器电子设备、小型计算机、大型计算机等。计算设备600也可以在分布式计算环境中实践,其中任务由远程处理设备执行。前述系统和设备是示例并且计算设备600可以包括其他系统或设备。
例如,本公开的实施例可以被实现为计算机进程(方法)、计算系统或制造品,例如计算机程序产品或计算机可读介质。计算机程序产品可以是计算机系统可读并且编码有用于执行计算机进程的计算机指令程序的计算机存储介质。计算机程序产品还可以是在计算机系统可读并且编码有用于执行计算机进程的计算机指令程序的载体上的传播信号。因此,本公开可以体现在硬件和/或软件(包括固件、常驻软件、微代码等)中。换言之,本公开的实施例可以采取计算机可用或计算机可读存储介质上的计算机程序产品的形式,该存储介质具有体现在介质中的计算机可用或计算机可读程序代码,以供指令执行系统使用或与指令执行系统结合使用。计算机可用或计算机可读介质可以是可以包含、存储、传送、传播或传输程序以供指令执行系统、装置或设备使用或与其结合使用的任何介质。
计算机可用或计算机可读介质可以是例如但不限于电子、磁、光、电磁、红外或半导体系统、装置、设备或传播介质。在更具体的计算机可读介质示例(非详尽列表)中,计算机可读介质可以包括以下项:具有一个或多个电线的电连接、便携式计算机软盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光纤和便携式光盘只读存储器(CD-ROM)。注意,计算机可用或计算机可读介质甚至可以是在其上打印程序的纸或其他合适的介质,因为程序可以通过例如纸或其他介质的光学扫描以电子方式捕获,然后如有必要则以合适的方式编译、解译或以其他方式处理,并且然后存储在计算机存储器中。
虽然已经描述了本公开的某些实施例,但可能存在其他实施例。此外,尽管本公开的实施例已被描述为与存储在存储器和其他存储介质中的数据相关联,但是数据也可以存储在其他类型的计算机可读介质上或从其他类型的计算机可读介质读取,其他类型的计算机可读介质例如为辅助存储设备,如硬盘、软盘或CD-ROM、来自互联网的载体或其他形式的RAM或ROM。此外,可以在不脱离本公开的情况下以任何方式修改所公开的方法的阶段,包括通过重新排序阶段和/或插入或删除阶段。
此外,本公开的实施例可以在包括分立电子元件的电路、包含逻辑门的封装或集成电子芯片、利用微处理器的电路中或在包含电子元件或微处理器的单个芯片上实践。本公开的实施例还可以使用能够执行逻辑运算 (例如AND、OR和NOT)的其他技术(包括但不限于机械、光学、流体和量子技术)来实践。此外,本公开的实施例可以在通用计算机或任何其他电路或系统中实践。
本公开的实施例可以通过片上系统(SOC)来实践,其中在图1中示出的每个或多个元件可以集成到单个集成电路上。这样的SOC设备可以包括一个或多个处理单元、图形单元、通信单元、系统虚拟化单元和各种应用功能,所有这些都可以作为单个集成电路集成(或“烧制”)到芯片基板上。当通过SOC操作时,本文中关于本公开的实施例描述的功能可以通过与计算设备600的其他组件集成在单个集成电路(芯片)上的专用逻辑来执行。
例如,上面参考根据本公开的实施例的方法、系统和计算机程序产品的框图和/或操作图示描述了本公开的实施例。方框中注明的功能/动作可能不会以任何流程图中所示的顺序出现。例如,根据所涉及的功能/动作,连续显示的两个方框实际上可以基本上同时执行,或者这些方框有时可以以相反的顺序执行。
虽然说明书包括示例,但本公开的范围由所附权利要求指示。此外,虽然已经以特定于结构特征和/或方法动作的语言描述了说明书,但权利要求不限于上述特征或动作。相反,以上描述的特定特征和动作作为本公开的实施例的示例而公开。
Claims (20)
1.一种方法,包括:
由计算设备从相应的多个身份提供者服务接收多个访问令牌,所述多个访问令牌中的每一个与用户相关联;
将所述多个访问令牌存储在与所述用户相关联的简档中;
分配与所述多个访问令牌的使用相关联的用户策略;以及
向与所述用户相关联的用户设备提供设备令牌,所述设备令牌与所述简档相关联。
2.根据权利要求1所述的方法,其中,接收所述多个访问令牌还包括接收相应的和对应的多个刷新令牌。
3.根据权利要求2所述的方法,还包括:将所述多个刷新令牌存储在与所述用户相关联的简档中。
4.根据权利要求2所述的方法,还包括:使用所述刷新令牌来刷新所述多个访问令牌。
5.根据权利要求1至4中任一项所述的方法,还包括:
接收所述设备令牌和网络策略;以及
确定所述用户策略和所述网络策略是一致的。
6.根据权利要求5所述的方法,其中,接收所述设备令牌和所述网络策略包括:响应于所述用户设备尝试使用所述设备令牌附接到网络而接收所述设备令牌和所述网络策略。
7.根据权利要求5所述的方法,还包括:响应于确定所述用户策略和所述网络策略是一致的,对所述多个身份提供者服务中的至少一个进行认证。
8.一种系统,包括:
存储器存储设备;以及
处理单元,耦合到所述存储器存储设备,其中,所述处理单元能够操作用于:
接收设备令牌和网络策略,
确定用户策略和所述网络策略是一致的,以及
响应于确定所述用户策略和所述网络策略是一致的,对多个身份提供者服务中的至少一个进行认证。
9.根据权利要求8所述的系统,其中,所述处理单元能够操作用于接收所述设备令牌和所述网络策略包括:所述处理单元能够操作用于响应于所述用户设备尝试使用所述设备令牌附接到网络而接收所述设备令牌和所述网络策略。
10.根据权利要求8或9所述的系统,其中,所述处理单元还能够操作用于:
从相应的多个身份提供者服务接收多个访问令牌,所述多个访问令牌中的每一个与用户相关联;
将所述多个访问令牌存储在与所述用户相关联的简档中;
分配与所述多个访问令牌的使用相关联的所述用户策略;以及
向与所述用户相关联的用户设备提供所述设备令牌,所述设备令牌与所述简档相关联。
11.根据权利要求10所述的系统,其中,所述处理单元能够操作用于接收所述多个访问令牌还包括:所述处理单元能够操作用于接收相应的和对应的多个刷新令牌。
12.根据权利要求11所述的系统,其中,所述处理单元还能够操作用于将所述多个刷新令牌存储在与所述用户相关联的简档中。
13.根据权利要求11或12所述的系统,其中,所述处理单元还能够操作用于使用所述刷新令牌来刷新所述多个访问令牌。
14.一种计算机可读介质,存储有指令集,所述指令集在被执行时,执行由所述指令集执行的方法,所述方法包括:
由计算设备从相应的多个身份提供者服务接收多个访问令牌,所述多个访问令牌中的每一个与用户相关联;
将所述多个访问令牌存储在与所述用户相关联的简档中;
分配与所述多个访问令牌的使用相关联的用户策略;以及
向与所述用户相关联的用户设备提供设备令牌,所述设备令牌与所述简档相关联。
15.根据权利要求14所述的计算机可读介质,其中,接收所述多个访问令牌还包括接收相应的和对应的多个刷新令牌。
16.根据权利要求15所述的计算机可读介质,还包括:将所述多个刷新令牌存储在与所述用户相关联的简档中。
17.根据权利要求15或16所述的计算机可读介质,还包括:使用所述刷新令牌来刷新所述多个访问令牌。
18.根据权利要求14至17中任一项所述的计算机可读介质,还包括:
接收所述设备令牌和网络策略;以及
确定所述用户策略和所述网络策略是一致的。
19.根据权利要求18所述的计算机可读介质,其中,接收所述设备令牌和所述网络策略包括:响应于所述用户设备尝试使用所述设备令牌附接到网络而接收所述设备令牌和所述网络策略。
20.根据权利要求18或19所述的计算机可读介质,还包括:响应于确定所述用户策略和所述网络策略是一致的,对所述多个身份提供者服务中的至少一个进行认证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/856,773 | 2020-04-23 | ||
| US16/856,773 US11503009B2 (en) | 2020-04-23 | 2020-04-23 | Password-less wireless authentication |
| PCT/US2021/027610 WO2021216358A1 (en) | 2020-04-23 | 2021-04-16 | Password-less wireless authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115462108A true CN115462108A (zh) | 2022-12-09 |
Family
ID=75801670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180029729.XA Pending CN115462108A (zh) | 2020-04-23 | 2021-04-16 | 无密码无线认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11503009B2 (zh) |
| EP (1) | EP4140114A1 (zh) |
| CN (1) | CN115462108A (zh) |
| WO (1) | WO2021216358A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11552943B2 (en) * | 2020-11-13 | 2023-01-10 | Cyberark Software Ltd. | Native remote access to target resources using secretless connections |
| US11974131B2 (en) * | 2022-05-06 | 2024-04-30 | Verizon Patent And Licensing Inc. | Systems and methods for seamless cross-application authentication |
| US11683305B1 (en) * | 2022-07-08 | 2023-06-20 | Iboss, Inc. | Computer security system with remote browser isolation using forward proxying |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7610390B2 (en) | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US8627438B1 (en) | 2011-09-08 | 2014-01-07 | Amazon Technologies, Inc. | Passwordless strong authentication using trusted devices |
| US9038138B2 (en) * | 2012-09-10 | 2015-05-19 | Adobe Systems Incorporated | Device token protocol for authorization and persistent authentication shared across applications |
| US20150039908A1 (en) | 2013-07-30 | 2015-02-05 | Deutsche Telekom Ag | System and Method for Securing A Credential Vault On A Trusted Computing Base |
| US9245284B2 (en) * | 2013-07-31 | 2016-01-26 | Ryan Hardin | Application of dynamic tokens |
| US9537661B2 (en) | 2014-02-28 | 2017-01-03 | Verizon Patent And Licensing Inc. | Password-less authentication service |
| US9419962B2 (en) * | 2014-06-16 | 2016-08-16 | Adobe Systems Incorporated | Method and apparatus for sharing server resources using a local group |
| US10142309B2 (en) | 2014-12-19 | 2018-11-27 | Dropbox, Inc. | No password user account access |
| US11122034B2 (en) | 2015-02-24 | 2021-09-14 | Nelson A. Cicchitto | Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system |
| US9712513B2 (en) | 2015-10-05 | 2017-07-18 | Kony, Inc. | Identity management over multiple identity providers |
| CN108351927B (zh) | 2015-10-23 | 2021-11-09 | 甲骨文国际公司 | 用于访问管理的无密码认证 |
| US10505733B2 (en) | 2017-09-25 | 2019-12-10 | Citrix Systems, Inc. | Generating and managing a composite identity token for multi-service use |
| US11316842B2 (en) * | 2019-07-23 | 2022-04-26 | Cyberark Software Ltd. | Identity verification based on electronic file fingerprinting data |
| US20210037004A1 (en) * | 2019-07-29 | 2021-02-04 | Microsoft Technology Licensing, Llc | Signing in to multiple accounts with a single gesture |
| US11363007B2 (en) * | 2020-03-27 | 2022-06-14 | Comcast Cable Communications, Llc | Methods and systems for accessing a resource |
-
2020
- 2020-04-23 US US16/856,773 patent/US11503009B2/en active Active
-
2021
- 2021-04-16 WO PCT/US2021/027610 patent/WO2021216358A1/en unknown
- 2021-04-16 EP EP21723835.1A patent/EP4140114A1/en active Pending
- 2021-04-16 CN CN202180029729.XA patent/CN115462108A/zh active Pending
-
2022
- 2022-10-12 US US18/045,929 patent/US20230056374A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4140114A1 (en) | 2023-03-01 |
| US20210336944A1 (en) | 2021-10-28 |
| US11503009B2 (en) | 2022-11-15 |
| US20230056374A1 (en) | 2023-02-23 |
| WO2021216358A1 (en) | 2021-10-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230056374A1 (en) | Password-less wireless authentication | |
| WO2020057163A1 (zh) | Mec平台部署方法及装置 | |
| US10477397B2 (en) | Method and apparatus for passpoint EAP session tracking | |
| CN113261316A (zh) | 用于处理身份要求的基于漫游联盟标识符(rcoi)的系统 | |
| JP2022547402A (ja) | 複数の認証オプションによるシングルサインオン(sso)認証 | |
| EP2829096A1 (en) | Method and apparatus for subscription sharing | |
| CN111182546B (zh) | 接入无线网络的方法、设备及系统 | |
| KR20190051326A (ko) | 블록 체인 기반 사물 인터넷 장치 제어 시스템 및 방법 | |
| WO2023115913A1 (zh) | 认证方法、系统、电子设备和计算机可读存储介质 | |
| CN107425980B (zh) | 工作空间之间的通信 | |
| CN111492358B (zh) | 设备认证 | |
| US10848958B2 (en) | Profile prioritization in a roaming consortium environment | |
| CN116134857A (zh) | 基于服务的管理框架的接入控制 | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
| CN113574840B (zh) | 提供用于单个无线关联的多个经认证的身份的方法和装置 | |
| WO2024037215A1 (zh) | 通信方法及装置 | |
| WO2023231631A1 (zh) | 认证方法及通信装置 | |
| US20240098477A1 (en) | Roaming validation method for access network providers | |
| US20230112126A1 (en) | Core network transformation authenticator | |
| US20230112506A1 (en) | Systems and methods for providing access to a wireless communication network based on radio frequency response information and context information | |
| CN114239010A (zh) | 一种多节点分布式认证方法、系统、电子设备及介质 | |
| WO2023057809A1 (en) | System and method for achieving an uninterrupted exchange of data | |
| CN117135634A (zh) | 无线网络接入方法、装置、系统、存储介质及电子设备 | |
| CN116032516A (zh) | 针对wlan的云编排的角色管理 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |