JP2014519634A - 複数のsso技術のためのssoフレームワーク - Google Patents

複数のsso技術のためのssoフレームワーク Download PDF

Info

Publication number
JP2014519634A
JP2014519634A JP2014508128A JP2014508128A JP2014519634A JP 2014519634 A JP2014519634 A JP 2014519634A JP 2014508128 A JP2014508128 A JP 2014508128A JP 2014508128 A JP2014508128 A JP 2014508128A JP 2014519634 A JP2014519634 A JP 2014519634A
Authority
JP
Japan
Prior art keywords
user
network
authentication
assisted authentication
assisted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014508128A
Other languages
English (en)
Other versions
JP2014519634A5 (ja
Inventor
シー.シャー ヨゲンドラ
シュミット アンドレアス
チャ インヒョク
ジェイ.グッチョーネ ルイス
レイチェル アンドレアス
Original Assignee
インターデイジタル パテント ホールディングス インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インターデイジタル パテント ホールディングス インコーポレイテッド filed Critical インターデイジタル パテント ホールディングス インコーポレイテッド
Publication of JP2014519634A publication Critical patent/JP2014519634A/ja
Publication of JP2014519634A5 publication Critical patent/JP2014519634A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

ユーザは、クレデンシャルのプロビジョニングにおけるユーザ対話が最小に保たれ、さらには完全に解消される、インターネットサービスにアクセスするための使用可能なセキュリティまたはシームレスな手段を望む。シングルサインオンアイデンティティ管理概念は、所望のサービスへのアクセスのためのユーザアシスト型認証およびネットワークアシスト型認証を可能にする。ユーザへのシームレスな認証サービスを可能にするために、統合されたフレームワークと、複数の認証方法を管理するためのプロトコル層インターフェースとが使用される。ユーザ機器、UEは、サービスプロバイダと通信して、サービスにアクセスするように構成されたユーザアプリケーション(202、204)と、複数のネットワークアシスト型認証モジュール(208ないし216)とを具え、各ネットワークアシスト型認証モジュールは、異なるネットワークアシスト型認証プロトコルに対応する。UEは、UEのユーザを、UEおよび/またはネットワークにおいてユーザアシスト型認証情報に基づいて認証するように、および、ネットワークアシスト型認証モジュールのうちの1つを、もう1つのポリシーに基づいて選択するように構成された、シングルサインオンサブシステム(206)をさらに具える。

Description

本発明は、複数のSSO技術のためのSSOフレームワークに関する。
関連出願の相互参照
本出願は、それらの内容が参照によりそれらの全体として本明細書に組み込まれる、2011年4月28日に出願された米国特許仮出願第61/480,137号明細書、および、2011年10月17日に出願された米国特許仮出願第61/548,156号明細書の権利を主張する。
モバイルユーザセキュリティ要件は、インターネットサービスへのスマートフォンアクセスの使用が増大しつつあるために、増大している。例えば、バンキングサービス、エンターテインメントイベントのための自動券売サービスなどは、完全性、機密性保護、およびユーザ認証を必要とする。そのような要件は、ユーザ名、PIN、およびパスワードの形態で、認証の負担をユーザに直接かける。しかし、それぞれについて別々の、ユーザにより提供されたクレデンシャルを有する多数のアカウントを所有することは、ユーザに、例えばクレデンシャル疲労の点で過度の認証負担をかける。ユーザが、思い出すことが容易であるクレデンシャルを使用することによって、または、2つ以上のドメインにわたって同じクレデンシャルを再使用することによって、このプロセスを簡略化しようと試みた場合、そのユーザは、セキュリティ脆弱性を生み出す。
3rd Generation Partnership Project (3GPP) Technical Specification (TS) number 33.220 (release 10) 3GPP Technical Report (TR) number 33.924 (release 9) 3GPP TR 33.914 (release 11) Alcatel−Lucent pCR S3−100757 in 3GPP SA3 http://code.google.com/intl/de−DE/apis/identitytoolkit/vl/openid.html
本発明では、ユーザにとって柔軟および/またはシームレスな体験を可能にする、総合的なシングルサインオン(SSO)アーキテクチャを提供する。すなわち、統合されたユーザインターフェースを通して、モバイルユーザのための複数の認証方法を管理するための、統合されたフレームワークと、異なる認証プロトコルのためのプロトコル層インターフェースとを開示する。
この概要は、詳細な説明において以下でさらに説明される様々な概念を、簡略化された形態で導入するために提供される。この概要は、特許請求の範囲に記載された主題の主要な特徴または必須の特徴を識別するものでも、特許請求の範囲に記載された主題の範囲を限定するために使用されるものでもない。
本明細書で開示されるものは、統合されたユーザインターフェースを通して、モバイルユーザのための複数の認証方法を管理するための、統合されたフレームワークと、異なる認証プロトコルのためのプロトコル層インターフェースとである。統合されたフレームワークとプロトコル層は共に、エンドユーザへのシームレスな認証サービスを可能にする。さらに、複数のサービスプロバイダをサポートする複数のアクセスドメインを含む実施形態もまた開示される。
本明細書で説明される実施形態は、ユーザにとって柔軟および/またはシームレスな体験を可能にする、総合的なシングルサインオン(SSO)アーキテクチャを提供する。ユーザ認証インターフェースは、ユーザ/アプリケーションエンティティ(例えば、ブラウザまたは非ブラウザアプリケーション)とSSOサブシステムとの間の境界として働く。例示的実施形態では、SSOサブシステムは、移動体通信事業者(MNO)によって制御される。SSOサブシステムは、例えば、バイオメトリクス、パスワード、PIN、および/または他のユーザクレデンシャル入力など、様々なユーザ多要素クレデンシャル入力をサポートする。ユーザ認証インターフェースはまた、変化する認証強度レベルをも提供する。ネットワーク認証インターフェースは、SSOサブシステムと、単一の構造フレームワーク内にいくつかのSSO機構を収容することを可能にする数々のネットワークアシスト型認証技術またはプロトコルモジュールとの間の境界として働く。機能的構造は、例えば、OpenIDリライングパーティ(relying parties)などサービスプロバイダと認証しながら、ネットワークアシスト型認証(例えば、SSOネットワークアシスト型認証)からのユーザアシスト型認証の分離を実現する。
例示的実施形態では、ユーザ機器(UE)は、サービスプロバイダと通信して、サービスにアクセスするように構成された、ユーザアプリケーションを具える。UEは、複数のネットワークアシスト型認証モジュールをさらに具える。各ネットワークアシスト型認証モジュールは、異なるネットワークアシスト型認証プロトコルに対応する。例えば、ネットワークアシスト型認証モジュールは、サービスプロバイダとネットワークアシスト型認証を行って、サービスにアクセスするように構成される。UEは、UEのユーザを、UEおよび/またはネットワークにおいてユーザアシスト型認証情報に基づいて認証するように構成された、シングルサインオン(SSO)サブシステムをさらに具える。SSOサブシステムは、サービスプロバイダとネットワークアシスト型認証を行うために複数のネットワークアシスト型認証モジュールのうちのネットワークアシスト型認証モジュールを選択するようにさらに動作する。SSOサブシステムは、ユーザアシスト型認証を行い、ネットワークアシスト型認証モジュールを、もう1つのポリシーに基づいて選択するようにさらに構成される。別の例示的実施形態では、UEは、サービスプロバイダの1または複数のデータフィールドを検出する。データフィールドを検出することに応答して、UEのサプリカントは、データフィールドを、対応する認証データを用いて自動的にポピュレートする。
本明細書で説明されるシステム、方法、および手段の他の特徴は、以下の詳細な説明および添付の図面において提供される。
1または複数の開示された実施形態が実施される、例示的な通信システムのシステム図である。 図1Aに示された通信システム内で使用される、例示的な無線送信/受信ユニット(WTRU)のシステム図である。 図1Aに示された通信システム内で使用される、例示的な無線アクセスネットワークおよび例示的なコアネットワークのシステム図である。 複数のSSO技術の使用のためのアーキテクチャのフレームワークの例示的実施形態を示す図である。 SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。 SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。 複数のSSOプロトコルの使用のためのアーキテクチャのフレームワークの別の例示的実施形態を示す図である。 例示的実施形態による、GBAインターワーキングを使用する例示的SSOサブシステムのブロック図である。 複数のSSOプロトコルの使用を容易にするためのダウンロード可能コンポーネントを具える、アーキテクチャのフレームワークの例示的実施形態を示す図である。 インターフェースコンポーネントをもつSSOシステムの例示的実施形態のブロック図を示す図である。 サプリカントを用いた、SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。 ローカルアサーションエンティティ(local assertion entity)(LAE)を用いた、SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。 統合されたOPを用いた、SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。 プリフェッチングを用いた、SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。 サービスプロバイダにおいて記憶されたJava(登録商標)アプレットを用いた、SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。 キャッシュされたJavaアプレットを用いた、SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。 オンザフライプロビジョニングを用いた、SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。 統合されたツールキットを用いた、SSOフレームワークアーキテクチャのためのプロトコルフローの例示的実施形態を示す図である。
例えば、モバイルユーザなどのユーザは、クレデンシャルのプロビジョニングにおけるユーザ対話が最小限に抑えられ、さらには完全に解消される、インターネットサービスにアクセスするための使用可能なセキュリティおよび/またはシームレスな手段を望む。例示的実施形態では、シングルサインオン(SSO)アイデンティティ管理(IdM)は、様々な特徴をもつSSO実装形態を提供するための手段を含み、それによって、所望のサービスへのアクセスのためにユーザアシスト型認証およびネットワークアシスト型認証を可能にしながら、ユーザにはそのような使いやすさが与えられる。ユーザアシスト型認証は、ユーザからの入力が使用される認証を指す。そのようなユーザ入力は、半自動化され(例えば、ブラウザにおいて記憶され)、またはユーザによって入力される。例えば、ユーザアシスト型認証は、ユーザが知っているパラメータ(例えば、ユーザ名、パスワード)、および/または、ユーザの特徴(例えば、動的署名、虹彩スキャン、指紋、または他のバイオメトリック測定)に基づく。ネットワークアシスト型認証は、ユーザが所有するエンティティ(例えば、暗号鍵とプロトコルとを具えるUICC)に基づく、ユーザ認証を指す。例えば、ネットワークアシスト型認証は、ネットワークアクセスのためにネットワークオペレータによって提供されるファンクション(例えば、汎用ブートストラッピングアーキテクチャ(GBA)プロトコル)の再使用による、ユーザのSSO認証を指す。例えば、GBAは、セルラネットワークおよび/またはIMSへのアクセスを提供する、(例えば、UICCにおける)秘密鍵およびプロトコルの再使用に基づくSSO認証を生成する。各ユーザアシスト型認証入力およびネットワークアシスト型認証入力は、認証ファクタと呼ばれる。SSO実装形態の様々な特徴は、例えば、シームレスな認証ファクタを用いたSSO、単一のクレデンシャルセットを用いたSSO、および完全なSSOを含む。シームレスな認証ファクタを用いたSSOは、成功したユーザアシスト型認証後、自動的に(例えば、ユーザ対話なしに)進行する、ネットワークアシスト型ユーザ認証を指す。単一のクレデンシャルセットを用いたSSOは、ユーザが(例えば、ユーザアシスト型認証のための)単一のセットのクレデンシャルを使用して、複数のサービスプロバイダと認証する、実装形態を指す。例示的実施形態では、単一のセットのクレデンシャルは、ユーザが異なるサービスプロバイダにアクセスするたびに提供される。完全なSSO実装形態を使用する例示的実施形態では、ユーザは、サービスプロバイダへのアクセスのために認証され、続いて、再び認証するように促されることなく、他のサービスプロバイダへのアクセスを得る。例えば、完全なSSO実装形態は、シームレスな認証ファクタを用いたSSOを含む。
本明細書で説明されるものは、統合されたユーザインターフェースを通して、モバイルユーザのための1または複数の認証方法を管理するための、統合されたフレームワークと、異なる認証プロトコルのためのプロトコル層インターフェースとである。統合されたフレームワークとプロトコル層は共に、エンドユーザに対するシームレスな認証サービスを可能にする。さらに、複数のサービスプロバイダをサポートする複数のアクセスドメインを含む実施形態もまた説明される。
本明細書で説明される実施形態は、ユーザにとって柔軟および/またはシームレスな体験を可能にする、総合的なSSOアーキテクチャを提供する。ユーザ認証インターフェースは、ユーザ/アプリケーションエンティティ(例えば、ブラウザまたは非ブラウザアプリケーション)とSSOサブシステムとの間の境界として働く。例示的実施形態では、SSOサブシステムは、移動体通信事業者(MNO)によって制御される。SSOサブシステムは、例えば、バイオメトリクス、パスワード、PIN、および/または他のユーザクレデンシャル入力など、様々なユーザ多要素クレデンシャル入力をサポートする。ユーザ認証インターフェースはまた、変化する認証強度レベルをも提供する。ネットワーク認証インターフェースは、SSOサブシステムと、単一の構造フレームワーク内にいくつかのSSO機構を収容することを可能にする数々のネットワークアシスト型認証技術またはプロトコルモジュールとの間の、境界として働く。機能的構造は、ネットワークアシスト型認証(例えば、SSOネットワークアシスト型認証)からのユーザアシスト型認証の分離を実現する。
SSOサブシステムは、ユーザクレデンシャルの記憶および/または処理を提供し、そこで、そのような記憶は、信頼されたコンピューティング環境(例えば、UICC、スマートカード、または他の安全な信頼された環境)上であるか、またはそこから離れており、複数のセキュリティレベルを提供する。信頼されたコンピューティング環境上に含まれた記憶は、ユーザクレデンシャルの再使用をサポートする。SSOサブシステムは、実施するべきセキュリティレベルを決定すること、および、使用するべきSSOプロトコルを判断することにおいて、外部利害関係者(例えば、MNO)のファンクションおよび/またはポリシーを実行することにおいて、プロキシとして働く。実装形態の観点から、安全な信頼された環境(例えば、UICC、スマートカード、または他の安全な信頼された環境)上に、またはそれから離れて位置するための、いかなるSSOファンクションの間引きもない。
例示的実装形態は、別々の、隔離されたSSOクライアントを提供する。例示的実施形態では、各SSOクライアントは、異なるサービスプロバイダに、しかし、同じプロバイダによって同時に提供された複数の利用可能な接続プロトコルおよび/またはサービスの、ポリシーベースの管理を可能にする方法でサービスする。
別の例示的実装形態は、多数のローカルアサーションエンティティ(LAE)を可能にする。LAEは、UE上に配置された機能的エンティティを指す。例えば、LAEは、ユーザアイデンティティおよび/または認証についての信頼されたアサーションをリモートエンティティに提供する。例示的実施形態では、ローカルOPは、OpenIDアサーションをRPに提供するためのLAEのインスタンス化を指す。各LAEは、UICC上でアクセス技術固有のドメインにおいて実装され、それぞれは、1つの隔離されたドメイン専用にされる。同じアクセス技術が異なるLAE間で多重化され、または、異なるアクセス技術がLAEによって同時に使用される。実装形態に応じて、LAEとSSOクライアントとの間の関係は1対1であり、または、そこで、1つのSSOクライアントが複数のLAEを制御し、またはそれら複数のLAEによってサービスされる。
本明細書で説明される実施形態は、無線デバイスにおける認証プロトコルの実行を容易にする。例えば、サプリカントは、例えば、リライングパーティ(RP)またはOpenIDアイデンティティプロバイダサーバ(OP)など、無線デバイスおよびネットワークエンティティのためのOpenID認証プロセスの実行を容易にするために使用される。例示的実施形態によれば、サプリカントは、Java(登録商標)アプレットとして実装される。サプリカントは、OpenID認証などの認証方式のために使用されるべき、非ブラウザアプリケーションまたはブラウザアプリケーションによってネイティブにサポートされない、ネットワークアシスト型認証機構を可能にする。例えば、サプリカントは、シングルサインオン(SSO)サブシステムとインターフェースし、SSOサブシステムは次に、GBA、AKA、SIPダイジェスト、およびEAP−SIMなど、ネットワークアシスト型認証プロトコルにインターフェースする。例えば、スマートフォンプラットフォームなど、モバイルデバイス上で利用可能な、広範囲のプラットフォームプロセッサアーキテクチャ、オペレーティングシステム、およびソフトウェアが与えられると、サプリカントは、ネットワーク認証インターフェースを、SSO認証ファンクションを実行するSSOサブシステムに提供する。サプリカントは、例えば、アプリケーションおよび/またはブラウザが、ネットワークおよび/またはアクセス層認証モジュール(例えば、GBAモジュール、UICC)と共に相互動作しながら、自動化されたおよび/またはシームレスな認証を容易にすることを、可能にする。RPおよび/またはOPからサプリカント部分をダウンロードすることによって、例えば、サプリカントは、OpenID認証プロトコル中にシームレスにデバイス固有のソフトウェアを提供する。
本明細書で説明される実施形態は、OpenIDなど、連携型認証プロトコルと共に機能し、また、例えば、LAEと共に機能する。例えば、OpenIDは、ネットワークアシスト型認証にバインドされる。本明細書で説明される実施形態は、ブラウザおよび/または非ブラウザアプリケーションがどのようにアクセス層(例えば、UICC/非UICC)ネットワークアシスト型認証機構と通信するかを決定するために使用される。例えば、サプリカントおよびSSOサブシステムは、ブラウザおよび/または非ブラウザアプリケーションと、ネットワークアシスト型認証機構とを用いた、自動化および/またはシームレスな動作を提供する。サプリカントは、統合されたインターフェースをSSOサブシステムに提示し、様々な認証プロトコル(例えば、GBA、AKA、EAP−SIM)のために、ユーザに代わって、自動化された、および/またはシームレスな認証を行う。例えば、署名されたJavaアプレットなど、ダウンロード可能なアプリケーションまたはコンポーネントが、(例えば、RPおよび/またはOPから)ダウンロードされ、異なる非アプリケーション層および/またはアクセス層認証プロトコルと共に作動する。コンポーネントは、SSOサブシステムと、およびブラウザ/アプリケーションと、一定の方法でインターフェースする。
図1Aは、1または複数の開示された実施形態が実装される、例示的な通信システム100の図である。通信システム100は、音声、データ、ビデオ、メッセージング、ブロードキャスト、その他など、コンテンツを複数の無線ユーザに提供する、多重アクセスシステムである。通信システム100は、無線帯域幅を含むシステムリソースの共有を通して、複数の無線ユーザがそのようなコンテンツにアクセスすることを可能にする。例えば、通信システム100は、符号分割多重アクセス(CDMA)、時分割多重アクセス(TDMA)、周波数分割多重アクセス(FDMA)、直交FDMA(OFDMA)、シングルキャリアFDMA(SC−FDMA)など、1または複数のチャネルアクセス方法を採用する。
図1Aに示されるように、通信システム100は、無線送信/受信ユニット(WTRU)102a、102b、102c、102d、無線アクセスネットワーク(RAN)104、コアネットワーク106、公衆交換電話ネットワーク(PSTN)108、インターネット110、および他のネットワーク112を含むが、開示された実施形態が任意の数のWTRU、基地局、ネットワーク、および/またはネットワーク要素を企図することが理解される。WTRU102a、102b、102c、102dのそれぞれは、無線環境内で動作および/または通信するように構成された任意のタイプのデバイスである。例として、WTRU102a、102b、102c、102dは、無線信号を送信および/または受信するように構成され、ユーザ機器(UE)、移動局、固定またはモバイル加入者ユニット、ページャ、携帯電話、携帯情報端末(PDA)、スマートフォン、ラップトップ、ネットブック、パーソナルコンピュータ、無線センサ、家庭用電化製品などを含む。
通信システム100はまた、基地局114aおよび基地局114bをも含む。基地局114a、114bのそれぞれは、WTRU102a、102b、102c、102dのうちの少なくとも1つと無線でインターフェースして、コアネットワーク106、インターネット110、および/またはネットワーク112など、1または複数の通信ネットワークへのアクセスを容易にするように構成された、任意のタイプのデバイスである。例として、基地局114a、114bは、トランシーバ基地局(BTS)、ノード−B、eノードB、ホームノードB、ホームeノードB、サイトコントローラ、アクセスポイント(AP)、無線ルータなどである。基地局114a、114bは、それぞれ単一の要素として示されるが、基地局114a、114bが任意の数の相互接続された基地局および/またはネットワーク要素を含むことが理解される。
基地局114aは、RAN104の一部であり、それはまた、基地局コントローラ(BSC)、無線ネットワークコントローラ(RNC)、中継ノード、その他など、他の基地局および/またはネットワーク要素(図示せず)をも含む。基地局114aおよび/または基地局114bは、特定の地理的領域内で無線信号を送信および/または受信するように構成され、その地理的領域は、セル(図示せず)と呼ばれる。セルは、セルセクタにさらに分割される。例えば、基地局114aに関連付けられたセルは、3つのセクタに分割される。したがって、一実施形態では、基地局114aは3つのトランシーバを、すなわち、セルのセクタごとに1つずつ含む。別の実施形態では、基地局114aは、多入力多出力(MIMO)技術を採用し、したがって、セルのセクタごとに複数のトランシーバを利用する。
基地局114a、114bは、エアインターフェース116を介して、WTRU102a、102b、102c、102dのうちの1または複数と通信し、エアインターフェース116は、任意の好適な無線通信リンク(例えば、無線周波数(RF)、マイクロ波、赤外線(IR)、紫外線(UV)、可視光線、その他)である。エアインターフェース116は、任意の好適な無線アクセス技術(RAT)を使用して確立される。
より詳細には、上記で述べられたように、通信システム100は、多重アクセスシステムであり、CDMA、TDMA、FDMA、OFDMA、SC−FDMAなど、1または複数のチャネルアクセス方式を採用する。例えば、RAN104における基地局114a、および、WTRU102a、102b、102cは、ユニバーサル移動通信システム(UMTS)地上無線アクセス(UTRA)など、無線技術を実装し、それは、広帯域CDMA(WCDMA(登録商標))を使用して、エアインターフェース116を確立する。WCDMAは、高速パケットアクセス(HSPA)および/または発展型HSPA(HSPA+)など、通信プロトコルを含む。HSPAは、高速ダウンリンクパケットアクセス(HSDPA)および/または高速アップリンクパケットアクセス(HSUPA)を含む。
別の実施形態では、基地局114aおよびWTRU102a、102b、102cは、発展型UMTS地上無線アクセス(E−UTRA)など、無線技術を実装し、それは、ロングタームエボリューション(LTE)および/またはLTEアドバンスト(LTE−A)を使用して、エアインターフェース116を確立する。
他の実施形態では、基地局114aおよびWTRU102a、102b、102cは、IEEE802.16(すなわち、ワールドワイドインターオペラビリティフォーマイクロウェーブアクセス(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV−DO、暫定標準2000(IS−2000)、暫定標準95(IS−95)、暫定標準856(IS−856)、グローバルシステムフォーモバイルコミュニケーションズ(GSM(登録商標))、GSM進化型高速データレート(EDGE)、GSM EDGE(GERAN)など、無線技術を実装する。
図1Aにおける基地局114bは、例えば、無線ルータ、ホームノードB、ホームeノードB、またはアクセスポイントであり、職場、家庭、車両、キャンパスなど、局所的なエリア内の無線接続性を容易にするための任意の好適なRATを利用する。一実施形態では、基地局114bおよびWTRU102c、102dは、IEEE802.11など、無線技術を実装して、無線ローカルエリアネットワーク(WLAN)を確立する。別の実施形態では、基地局114bおよびWTRU102c、102dは、IEEE802.15など、無線技術を実装して、無線パーソナルエリアネットワーク(WPAN)を確立する。さらに別の実施形態では、基地局114bおよびWTRU102c、102dは、セルラベースのRAT(例えば、WCDMA、CDMA2000、GSM、LTE、LTE−A、その他)を利用して、ピコセルまたはフェムトセルを確立する。図1Aに示されるように、基地局114bは、インターネット110への直接接続を有する。したがって、基地局114bは、コアネットワーク106を介してインターネット110にアクセスすることが必要とされない。
RAN104は、コアネットワーク106と通信しており、それは、音声、データ、アプリケーション、および/またはボイスオーバーインターネットプロトコル(VoIP)サービスを、WTRU102a、102b、102c、102dのうちの1または複数に提供するように構成された、任意のタイプのネットワークである。例えば、コアネットワーク106は、呼制御、課金サービス、モバイルロケーションベースのサービス、プリペイド通話、インターネット接続性、ビデオ配信、その他を提供し、および/または、ユーザ認証など、高レベルのセキュリティファンクションを行う。図1Aに図示されないが、RAN104および/またはコアネットワーク106は、RAN104と同じRATまたは異なるRATを採用する他のRANと、直接的または間接的に通信していることが理解される。例えば、E−UTRA無線技術を利用中である、RAN104に接続されることに加えて、コアネットワーク106はまた、GSM無線技術を採用する別のRAN(図示せず)とも通信している。
コアネットワーク106はまた、WTRU102a、102b、102c、102dがPSTN108、インターネット110、および/または他のネットワーク112にアクセスするための、ゲートウェイの働きもする。PSTN108は、一般電話サービス(POTS)を提供する回線交換電話ネットワークを含む。インターネット110は、TCP/IPインターネットプロトコルスイートにおける、伝送制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)およびインターネットプロトコル(IP)など、共通の通信プロトコルを使用する、相互接続されたコンピュータネットワークおよびデバイスのグローバルなシステムを含む。ネットワーク112は、他のサービスプロバイダによって所有および/または運用される、有線または無線通信ネットワークを含む。例えば、ネットワーク112は、1または複数のRANに接続された別のコアネットワークを含み、それらのRANは、RAN104と同じRATまたは異なるRATを採用する。
通信システム100におけるWTRU102a、102b、102c、102dの一部または全部は、マルチモード能力を含み、すなわち、WTRU102a、102b、102c、102dは、異なる無線リンク上で異なる無線ネットワークと通信するための複数のトランシーバを含む。例えば、図1Aに示されたWTRU102cは、セルラベースの無線技術を採用する基地局114aと、および、IEEE802無線技術を採用する基地局114bと通信するように構成される。
図1Bは、例示的なWTRU102のシステム図である。図1Bに示されるように、WTRU102は、プロセッサ118と、トランシーバ120と、送信/受信素子122と、スピーカ/マイクロフォン124と、キーパッド126と、ディスプレイ/タッチパッド128と、非取外し式メモリ130と、取外し式メモリ132と、電源134と、全地球測位システム(GPS)チップセット136と、他の周辺機器138とを含む。WTRU102は、実施形態と矛盾しないままで、前述の要素の任意の部分組み合わせを含むことが理解される。
プロセッサ118は、汎用プロセッサ、専用プロセッサ、従来のプロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、また、DSPコア、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、フィールドプログラマブルゲートアレイ(FPGA)回路、任意の他のタイプの集積回路(IC)、状態機械などに関連する、1または複数のマイクロプロセッサである。プロセッサ118は、信号コーディング、データ処理、電力制御、入力/出力処理、および/または、WTRU102が無線環境において動作することを可能にする任意の他の機能性を行う。プロセッサ118は、トランシーバ120に結合され、それは、送信/受信素子122に結合される。図1Bは、プロセッサ118およびトランシーバ120を別々のコンポーネントとして示すが、プロセッサ118およびトランシーバ120は、電子パッケージまたはチップにおいて共に統合されることが理解される。
送信/受信素子122は、エアインターフェース116上で、基地局(例えば、基地局114a)へ信号を送信し、または、基地局から信号を受信するように構成される。例えば、一実施形態では、送信/受信素子122は、RF信号を送信および/または受信するように構成されたアンテナである。別の実施形態では、送信/受信素子122は、例えば、IR、UV、または可視光信号を送信および/または受信するように構成されたエミッタ/検出器である。さらに別の実施形態では、送信/受信素子122は、RF信号と光信号の両方を送信および受信するように構成される。送信/受信素子122は、任意の組み合わせの無線信号を送信および/または受信するように構成されることが理解される。
さらに、送信/受信素子122は、図1Bにおいて単一の素子として示されるが、WTRU102は、任意の数の送信/受信素子122を含む。より詳細には、WTRU102は、MIMO技術を採用する。したがって、一実施形態では、WTRU102は、エアインターフェース116上で無線信号を送信および受信するための、2つ以上の送信/受信素子122(例えば、複数のアンテナ)を含む。
トランシーバ120は、送信/受信素子122によって送信されるべきである信号を変調するように、および、送信/受信素子122によって受信される信号を復調するように構成される。上記で述べられたように、WTRU102は、マルチモード能力を有する。したがって、トランシーバ120は、WTRU102が、例えば、UTRAおよびIEEE802.11など、複数のRATを介して通信することを可能にするための、複数のトランシーバを含む。
WTRU102のプロセッサ118は、スピーカ/マイクロフォン124、キーパッド126、および/または、ディスプレイ/タッチパッド128(例えば、液晶ディスプレイ(LCD)表示ユニット、または、有機発光ダイオード(OLED)表示ユニット)に結合され、それらからユーザ入力データを受信する。プロセッサ118はまた、ユーザデータを、スピーカ/マイクロフォン124、キーパッド126、および/または、ディスプレイ/タッチパッド128に出力する。さらに、プロセッサ118は、非取外し式メモリ130および/または取外し式メモリ132など、任意のタイプの好適なメモリからの情報にアクセスし、それにデータを記憶する。非取外し式メモリ130は、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、ハードディスク、または任意の他のタイプのメモリ記憶デバイスを含む。取外し式メモリ132は、加入者識別モジュール(SIM)カード、メモリスティック、セキュアデジタル(SD)メモリカードなどを含む。他の実施形態では、プロセッサ118は、サーバまたはホームコンピュータ(図示せず)上など、WTRU102上に物理的に配置されていないメモリからの情報にアクセスし、それにデータを記憶する。
プロセッサ118は、電源134から電力を受信し、WTRU102における他のコンポーネントへの電力を分配および/または制御するように構成される。電源134は、WTRU102に電力供給するための任意の好適なデバイスである。例えば、電源134は、1または複数の乾電池(例えば、ニッケルカドミウム(NiCd)、ニッケル亜鉛(NiZn)、ニッケル水素(NiMH)、リチウムイオン(Li−ion)、その他)、太陽電池、燃料電池などを含む。
プロセッサ118はまた、GPSチップセット136にも結合され、それは、WTRU102の現在のロケーションに関するロケーション情報(例えば、経度および緯度)を提供するように構成される。GPSチップセット136からの情報に加えて、またはその代わりに、WTRU102は、エアインターフェース116上で、基地局(例えば、基地局114a、114b)からロケーション情報を受信し、および/または、信号が2つ以上の近くの基地局から受信されるタイミングに基づいて、そのロケーションを決定する。WTRU102は、実施形態と矛盾しないままで、任意の好適なロケーション決定方法によってロケーション情報を獲得することが理解される。
プロセッサ118は、他の周辺機器138にさらに結合され、それらは、追加の機能、機能性、および/または、有線または無線接続性を提供する、1または複数のソフトウェアおよび/またはハードウェアモジュールを含む。例えば、周辺機器138は、加速度計、eコンパス、衛星トランシーバ、デジタルカメラ(写真またはビデオ用)、ユニバーサルシリアルバス(USB)ポート、振動デバイス、テレビトランシーバ、ハンズフリーヘッドセット、Bluetooth(登録商標)モジュール、周波数変調(FM)無線ユニット、デジタル音楽プレイヤ、メディアプレイヤ、ビデオゲームプレイヤモジュール、インターネットブラウザなどを含む。
図1Cは、実施形態によるRAN104およびコアネットワーク106のシステム図である。上記で述べられたように、RAN104は、E−UTRA無線技術を採用して、エアインターフェース116上でWTRU102a、102b、102cと通信する。RAN104はまた、コアネットワーク106とも通信している。
RAN104は、eノード−B140a、140b、140cを含むが、RAN104は、実施形態と矛盾しないままで、任意の数のeノード−Bを含むことが理解される。eノード−B140a、140b、140cは、エアインターフェース116上でWTRU102a、102b、102cと通信するための、1または複数のトランシーバをそれぞれ含む。一実施形態では、eノード−B140a、140b、140cは、MIMO技術を実装する。したがって、eノード−B140aは、例えば、複数のアンテナを使用して、無線信号をWTRU102aへ送信し、無線信号をWTRU102aから受信する。
eノード−B140a、140b、140cのそれぞれは、特定のセル(図示せず)に関連付けられ、無線リソース管理判断、ハンドオーバ判断、アップリンクおよび/またはダウンリンクにおけるユーザのスケジューリングなどを扱うように構成される。図1Cに示されるように、eノード−B140a、140b、140cは、X2インターフェース上で互いに通信する。
図1Cに示されたコアネットワーク106は、モビリティ管理ゲートウェイ(MME)142と、サービングゲートウェイ144と、パケットデータネットワーク(PDN)ゲートウェイ146とを含む。前述の要素のそれぞれは、コアネットワーク106の一部として示されるが、これらの要素のいずれか1つは、コアネットワークオペレータ以外のエンティティによって所有および/または操作されることが理解される。
MME142は、S1インターフェースを介して、RAN104におけるeノード−B142a、142b、142cのそれぞれに接続され、制御ノードとして働く。例えば、MME142は、WTRU102a、102b、102cのユーザを認証すること、ベアラアクティブ化/非アクティブ化、WTRU102a、102b、102cの最初の取り付け中に特定のサービングゲートウェイを選択することなどを担う。MME142はまた、RAN104と、GSMまたはWCDMAなど、他の無線技術を採用する他のRAN(図示せず)との間で切り替えるための、制御プレーンファンクションをも提供する。
サービングゲートウェイ144は、S1インターフェースを介して、RAN104におけるeノードB140a、140b、140cのそれぞれに接続される。サービングゲートウェイ144は一般に、ユーザデータパケットをWTRU102a、102b、102cへ/からルーティングおよび転送する。サービングゲートウェイ144はまた、eノードB間ハンドオーバ中のユーザプレーンのアンカリング、ダウンリンクデータがWTRU102a、102b、102cのために利用可能であるときのページングのトリガリング、WTRU102a、102b、102cのコンテキストの管理および記憶など、他のファンクションをも行う。
サービングゲートウェイ144はまた、PDNゲートウェイ146にも接続され、それは、WTRU102a、102b、102cに、インターネット110など、パケット交換ネットワークへのアクセスを提供して、WTRU102a、102b、102cとIP対応デバイスとの間の通信を容易にする。
コアネットワーク106は、他のネットワークとの通信を容易にする。例えば、コアネットワーク106は、WTRU102a、102b、102cに、PSTN108など、回線交換ネットワークへのアクセスを提供して、WTRU102a、102b、102cと従来の固定電話通信デバイスとの間の通信を容易にする。例えば、コアネットワーク106は、コアネットワーク106とPSTN108との間のインターフェースとして働くIPゲートウェイ(例えば、IPマルチメディアサブシステム(IMS)サーバ)を含み、または、それと通信する。さらに、コアネットワーク106は、WTRU102a、102b、102cに、ネットワーク112へのアクセスを提供し、ネットワーク112は、他のサービスプロバイダによって所有および/または運用される、他の有線または無線ネットワークを含む。
図2は、複数のSSOプロトコルおよび/またはモジュールの使用のためのアーキテクチャのフレームワークの一実施形態を示す。図2に示されるように、SSOサブシステム206は、ブラウザアプリケーション202および/または非ブラウザアプリケーション204など、サービスプロバイダからのサービスにアクセスするように構成されたアプリケーションと通信している。アプリケーション(ブラウザアプリケーション202および非ブラウザアプリケーション204)は、ユーザがそれと対話するアプリケーションである。ブラウザアプリケーション202および/または非ブラウザアプリケーション204を使用して、ユーザは、様々なサービス(例えば、ウェブサイト、バンキングサービス、エンターテインメントイベントのための自動券売サービス、および/またはサービスプロバイダによって提供された他のサービス)へのアクセスを有する。
SSOサブシステム206は、SSOプロセスのためのハブとして働く。例示的実施形態では、SSOサブシステム206は、オペレータによって制御される。SSOサブシステム206は、ユーザ認証(例えば、ユーザアシスト型、および/またはネットワークアシスト型)を行うことによって、ネットワークプロキシとして働く。さらに、SSOサブシステム206は、ネットワークアシスト型認証のために、署名されたかまたは別法により信用できる、ユーザアイデンティティアサーションおよび/または認証アサーションの、後続の作成、および/または、サービスプロバイダおよび/またはアイデンティティプロバイダへの提出を行う。安全な記憶および処理など、SSOサブシステム206のファンクションのうちのいくつかは、安全な信頼された環境218内で実行される。
図2に示されたアーキテクチャは、ユーザアシスト型認証経験を、数々の個々の内蔵されたネットワークアシスト型認証技術(例えば、SSO技術またはSSOプロトコルまたはSSOプロキシとも呼ばれる)と共に統合し、それらのうちのいくつかは、ネットワークアシスト型認証を使用して、認証および鍵交換のためのブートストラッピング機構を行う。例えば、SSOサブシステム206は、複数の認証モジュール208、210、212、214、および/または216と通信しており、それぞれは、異なるネットワークアシスト型認証プロトコルを使用して、サービスプロバイダとネットワークアシスト型認証を行うことが可能である。これらのネットワークアシスト型認証モジュール208、210、212、214、および/または216は、デジタル証明書などのプレインストールされたクレデンシャル、共有されたマスター秘密、または異なるサポートされた認証方式を用いた登録の任意の他の方法に基づいて、所望のサービスへの安全なユーザアクセスを提供するために使用される。例示的実施形態によれば、認証モジュールは、OpenID/SIPダイジェストモジュール208、別のOpenIDモジュール210、OpenID/GBAモジュール212、OpenID/ISIMモジュール214、および/またはOpenID/AKAモジュール216を含む。図2に示されたネットワークアシスト型認証モジュールは、OpenIDネットワークアシスト型認証プロトコルをそれぞれ実装するが、他のタイプのネットワークアシスト型認証プロトコルも同じく、または、あるいは実装される。
ネットワークアシスト型認証モジュールのうちの1または複数は、所与のサービスプロバイダおよび/またはアイデンティティプロバイダによってサポートされる。各ネットワークアシスト型認証モジュールは、例えば、認証アルゴリズムを使用することによってなど、その対応する認証プロトコルを実装することによって、ネットワークアシスト型認証を行うように構成される。OpenID/GBAモジュール212、OpenID/ISIMモジュール214、および/またはOpenID/AKAモジュール216は、安全な信頼された環境218と通信している。安全な信頼された環境218は、例えば、UICC、スマートカード、または他の安全な信頼された環境を含む。例示的実施形態では、安全な信頼された環境218は、UE上のハードウェアベースのエンティティであり、機密データ(例えば、暗号鍵、加入者クレデンシャル)を安全に記憶すること、および、機密ファンクション(例えば、暗号計算)の安全な処理を実行することを担う。
図2に示されたコンポーネントのうちの1または複数は、モバイル通信デバイスに常駐する。図2は、説明されるアーキテクチャ内の機能的モジュールを示すが、図2は、安全な信頼された環境218上にあるか、またはそれから離れているような、いかなる非アプリケーションファンクションの常住を必要とするようにも意図されない。コンポーネントおよびそれらの対話は、本明細書でより詳細に説明される。認証がOpenIDプロトコルに関して説明されるが、同じ概念は、例えば、リバティアライアンスなど、他の認証プロトコルに適用される。
ユーザは、アプリケーション(例えば、ブラウザアプリケーション202および/または非ブラウザアプリケーション204)を使用して、例えば、ネットワークアプリケーションサービスプロバイダなど、サービスプロバイダ(例えば、リライングパーティ(RP))への最初の訪問を行う。サービスプロバイダ(例えば、RP)は、例えば、OpenIDユーザ識別子である可能性がある、ユーザ識別を受信する。OpenIDの場合、ユーザは、RPにより開始されたディスカバリに続いて、例えば、OPである、ネットワークベースのアイデンティティ管理エンティティにリダイレクトされる(例えば、ディスカバリ機構は、OpenIDプロバイダ(OP)アイデンティティを使用して、OPのインターネットアドレスを決定する)。例示的実施形態では、OPアイデンティティが使用されて、OPのインターネットアドレスがRPに提供される。認証プロセスが、次いで開始する。
SSOサブシステム206は、アプリケーション側で、ユーザがそれと対話するアプリケーションとの通信を可能にするためのユーザ認証インターフェースと、ネットワークアシスト型認証モジュール208、210、212、214、および/または216のためのネットワーク認証インターフェースとを提供する。したがって、異なるアプリケーション(例えば、ブラウザアプリケーション202および/または非ブラウザアプリケーション204)が、ユーザ入力に基づいて、入力をSSOサブシステム206に提供するか、または、SSOサブシステム206が、認証画面をユーザに提示して、サービスプロバイダとのユーザのネットワークアシスト型認証、および/または、UEでのローカルユーザアシスト型認証を可能にする。異なるネットワークアシスト型認証モジュール208、210、212、214、および/または216(例えば、SSOプロトコル)は、SSOサブシステム206と対話するように設計される。ポリシー管理もまた、SSOサブシステム206によって行われる。
SSOサブシステム206認証構造は、2つのタイプのユーザ認証、ユーザアシスト型認証およびネットワークアシスト型認証を所有する。これらのタイプは共に、一方が他方から独立して発生可能であるように分離されるが、2つは、(例えば、SSOサブシステムによって作成されるアサーションを介して)互いにバインドされ、互いと対話する(例えば、ユーザアシスト型認証は、ネットワークアシスト型認証をトリガし、逆もまた同様である)。ユーザのユーザアシスト型認証と、(ユーザアシスト型認証のための)ユーザからSSOサブシステム206へのクレデンシャルのプロビジョニングとは、独立して発生し、ネットワークアシスト型認証プロトコルから分離される。ユーザは、ネットワークアシスト型認証プロトコルから遮蔽される。この透明性は、単一のセットのユーザクレデンシャルがサービスプロバイダから独立しているという事実と共に、ユーザにとってシームレスなSSO経験を生じる。その上、2つの認証タイプは、バイオメトリック、パスワード、PIN、トークン、別のユーザクレデンシャル、またはそれらの組み合わせであるかにかかわらず、そのクレデンシャルを通した、ユーザにより主張されたアイデンティティの、IMSIまたはIMPIなど、UICCにおいて保持された加入者クレデンシャル、またはデバイスアイデンティティとのバインディングを提供する。そのようなバインディングは、両タイプの認証をアーキテクチャ上分離することと共に、中間層として働くSSOサブシステム206によって達成される。SSOサブシステムは、それ自体で、または、本明細書で説明されるような下位層認証プロトコルのうちの1つへのコールによって、暗号バインディングを行う。
SSOサブシステム206は、例えば、MNOなど、外部利害関係者のネットワークアシスト型認証ファンクションのためのプロキシとして機能し、プロビジョニングされたポリシーファンクションに関する情報を外部利害関係者に提供する。ユーザが(例えば、URLをウェブブラウザ上で入力するか、またはアプリケーションを開始することを通して)サービスへのアクセスを開始するとき、ユーザアシスト型認証プロセスが開始される。例えば、ユーザは、バイオメトリッククレデンシャルなどのユーザクレデンシャル、および/または、例えば、PINなどのパスワードを入力するように要求される。例示的実施形態では、モバイル通信デバイスは、ユーザクレデンシャル情報の一部でもある、デバイス自体へのアクセスのためのPIN機能を所有する。例えば、UEのユーザインターフェースは、ユーザアシスト型認証クレデンシャル情報、(例えば、ウェブURL、またはアクティブ化されたアプリケーションの形態での)アクセスされているサービス、および/または、使用されるべきサービスに関係付けられた他の情報を、SSOサブシステム206へ、特定のインターフェースを通して搬送する。そのような搬送は、提供された情報およびプロビジョニングされたポリシーに基づいて、ユーザを認証するためにSSOサブシステム206内のファンクションをアクティブ化する。例えば、ユーザアシスト型認証からのパラメータが、ネットワークアシスト型認証プロトコルに供給される。そのようなパラメータは、例えば、ユーザアシスト型認証の信頼レベル、ユーザアシスト型認証の結果(例えば、通過または失敗)、および、ユーザにより割り当てられた認証の時間を含む。SSOサブシステム206は、例えば、サービスがアクセスされるために適切であると見なされる認証の信頼(保証)レベル、および、認証の最低鮮度(例えば、完了された時間)など、様々な認証に関連したパラメータを具える、ポリシーファンクションを実行する。例えば、ユーザは、支払いをする目的で、バンキングサービスを使用することを望む。このシナリオでは、プロビジョニングされたポリシーは、強い形態のユーザアシスト型認証(例えば、多要素)を必要とし、プロビジョニングされたポリシーは、ユーザをサービスにナビゲートする直前に認証が実行されることを必要とする。低レベルのセキュリティがサービス(例えば、電子メールアクセス)のために所望される場合、ポリシーは、ユーザアシスト型認証要件を緩和する。例えば、PINは、低レベルのセキュリティでのユーザアシスト型認証のために使用される。例示的実施形態では、ユーザ認証を駆動するポリシーは、外部利害関係者および/またはサービスプロバイダによって行われる。例えば、ポリシーファンクションは、サービスプロバイダで(例えば、ネットワーク上で)、UEで(例えば、ローカルで)、または、それらの組み合わせ(例えば、分散ファンクション)で行われる。
例示的実施形態では、SSOサブシステム206によって従われるべきポリシーが、どのSSO認証プロトコル(例えば、ネットワークアシスト型認証モジュール208、210、212、214、および/または216)がネットワークアシスト型認証のために選択されるべきであるかを決定する。ネットワークアシスト型認証モジュール(例えば、SSO認証プロトコル)選択のための基準は、利用可能なリソース、および/または、アクセスされるべきサービスのセキュリティ要件に基づく。内部ポリシー機構は、外部利害関係者(例えば、MNO)により提供された、好ましい認証モジュール(例えば、SSOプロトコル)の優先リストを含む。ポリシー判断が行われると、SSOサブシステム206は、どの特定のネットワークアシスト型認証モジュールがプロトコル交換のために選択されたかを外部利害関係者(例えば、MNO)に通信するための機構を提供する。あるいは、SSOサブシステムは、能力をネゴシエートし、使用されるべき認証モジュールについて同意する。
図3Aおよび図3Bは、SSOフレームワークアーキテクチャを使用して実装されたプロトコルの例示的実施形態を示す。OpenIDのコンテキストにおいて、SSOサブシステムは、あるファンクションを安全な方法で行い、そのうちのいくつかが、図3Aおよび3Bにおけるコールフローを参照して本明細書で説明される。
図3Aおよび図3Bに示されるように、314で、ユーザアシスト型認証が行われる。例えば、ユーザクレデンシャルが認証および/または処理される。ユーザクレデンシャルは、ユーザPIN、パスワード、ユーザ識別子、バイオメトリック情報、またはダイジェストなど、ユーザ302に関連付けられた一意の認証パラメータ、および/または、他の形態のユーザアシスト型認証パラメータを含む。ユーザ302は、ローカルで、デバイス304で、または、外部利害関係者(例えば、MNO)またはアイデンティティプロバイダ(IdP)(例えば、OpenIDプロバイダ312)など、リモートエンティティと組み合わせて認証される。
SSOサブシステム308は、ユーザ302の認証を行うように構成されたユーザデバイス304上のローカルエンティティである。SSOサブシステム308は、様々な実施形態によれば、LAEを用いてまたは用いずに認証を行う。例えば、図3Aは、本明細書で説明されるように、SSOサブシステムが認証をローカルで行うことを可能にする、例示的なプロビジョニングプロトコルフローを示す。ユーザアシスト型認証が完了すると、SSOサブシステム308は、316で、例えば、認証アサーションなど、認証結果を生成する。認証アサーションは、例えば、ユーザアシスト型認証が完了された時間、および認証の信頼レベルなどのデータを具える。信頼のレベルは、リモートパーティがユーザまたはUEの認証に置く保証のレベルを指す。ユーザアシスト型認証結果(例えば、通過または失敗)は、デバイス304で安全およびローカルに記憶され、および/またはネットワークアシスト型認証プロトコルと共に使用される。ユーザアシスト型認証に関連付けられた他のパラメータもまた記憶され、および/またはネットワークアシスト型認証において使用される。例えば、これらのパラメータは、認証の時間、認証の強度、および/または(1または複数の)認証パラメータのタイプを含む。これらのパラメータは、認証結果と共に記憶されるか、またはネットワークアシスト型認証において使用される。例えば、SSOサブシステムは、情報を使用して、認証データをサービスプロバイダへ中継し、サービス提供は、認証データがサービスへのユーザアクセスを提供するために十分であるかどうかを判定する。314でのユーザアシスト型認証は、任意の時間に、および、例えば、所望のセキュリティ強度など、様々な認証ポリシーに基づいて示唆されるのと同様に頻繁またはまれに発生する。例示的実施形態では、有効なユーザアシスト型認証結果が記憶される場合、SSOサブシステムは、ユーザレベル認証が行われる必要がないと決定する。そのようなシナリオは、ユーザが、認証プロセスにおけるさらなるユーザ関与なしに、複数のサービスプロバイダ(例えば、RP)にアクセスすることを可能にする。ポリシーが、特定のサービスプロバイダでの特定のサービスへのアクセスのために新しい認証を必要とする場合、例えば、既存の認証情報のそのような再使用は可能にされない。
318で、共有秘密鍵が、RP310とOP312との間で確立される。例えば、ユーザにより供給された識別子を含む、ユーザのOPログオンリクエストが、アプリケーション306(例えば、ブラウザまたは非ブラウザアプリケーション)からRP310へ渡され、アプリケーション306は、共有秘密鍵のアソシエーションおよび/または確立をトリガする。1つの例示的実施形態によれば、ユーザがネットワークベースのサービスにアクセスしようと最初に試みるとき、ログオンリクエストがRP310に渡される。受信されたログオンリクエストに基づいて、OP312とRP310との間で共有秘密鍵を確立する、アソシエーションが行われる。例示的実施形態では、320で、鍵(例えば、OP312およびRP310により共有された鍵から導出された鍵、および/または、ネットワークアシスト型認証中に導出された鍵)、および/または他のクレデンシャルが、SSOサブシステム308にプロビジョニングされる。プロビジョニングされたクレデンシャルは、本明細書で説明されるように、サービスでのさらなる認証において使用される。
例えば、ネットワークアシスト型認証は、図3Bに示されるように、プロビジョニング後に行われる。例えば、ネットワークアシスト型認証は、RP310によるOP312へのリダイレクションの後に続く。リダイレクトは、アプリケーション306(例えば、ブラウザアプリケーションまたは非ブラウザアプリケーション)によって受信され、それは、321で、ネットワークアシスト型認証モジュールおよび/またはプロトコルの選択のために、メッセージをSSOサブシステム308へリダイレクトする。ネットワークアシスト型認証モジュール/プロトコル(例えば、SSOプロトコル)は、ポリシー実装を介して、SSOサブシステム308によって選択および使用される。このプロセスは、本明細書でさらに説明されるように、ブートストラッピングおよび共有鍵確立を含む。
図2に示されるように、いくつかのネットワークアシスト型認証プロトコル方法は、ネットワークアシスト型認証モジュール(例えば、SSOプロトコル)のスイートによって暗示される。図3Bを再び参照すると、例示的実施形態によれば、OpenID/SIPダイジェストおよび/またはOpenID/GBAは、GBA構造を所有していると見なされ、非特許文献1に指定された機構を採用する。OpenID GBAにおいて、UICC加入者クレデンシャルが使用されて、ネットワークと共有されるべきマスターセッション鍵(例えば、Ksと示される)がブートストラップされる。ネットワークアシスト型認証は、Ksから導出され、OP312とユーザデバイス304との間で共有されたアプリケーション固有の鍵、Ks_NAFを生じる。アプリケーション固有の鍵は、OP312と認証するとき、ユーザデバイス304によってパスワードとして使用される。例えば、それは、例えば、非特許文献2に記載されるように、ユーザデバイス304によってパスワードとして使用される。
OpenID/SIPダイジェストでは、同様の鍵構造が、同様のGBAプロセスを通して生じる。このネットワークアシスト型認証のための手法は、非UICCベースであり、例えば、UICCクレデンシャルではなく、SIPダイジェストクレデンシャルが使用される。OpenID/SIPダイジェストの1つの例示的実施形態は、非特許文献3に記載されている。
OpenID/AKAでは、ネットワークアシスト型認証は、非GBAベースであり、ユーザデバイス304およびOP312は、3GPP AKAを直接採用して、鍵を認証および共有する。OpenID/AKAの1つの例示的実施形態は、非特許文献4に記載されている。
従来のOpenIDでは、SSOサブシステム308は、ネットワークアシスト型認証プロトコルにおいて、受信されたユーザクレデンシャルを供給する。
OpenID/GBA、OpenID/SIPダイジェスト、およびOpenID/AKAは、構造上の相違点を有するが、ネットワークホーム加入サーバ(Home Subscription Server)(HSS)から受信された、あるタイプまたは別の、認証ベクトル(AV)の適用が、それぞれのプロトコルの中心となる。さらに、ポリシーおよび所望のセキュリティ強度に応じて、ネットワークアシスト型認証が行われるとき、ユーザの再認証(ユーザアシスト型認証)が実行される。例示的実施形態では、そのようなネットワークアシスト型認証中に、デバイスがネットワーク接続を確立しており、ネットワークアシスト型認証が、サービスプロバイダとUEを認証するために使用されると、仮定される。
成功したネットワークアシスト型認証の後、SSOサブシステム308は、ネットワークアシスト型認証が成功したという指示を、アプリケーション306に与える。例えば、SSOサブシステムは(例えば、LAEを介して)、322で、認証アサーション(例えば、アイデンティティアサーション)に署名し、324で、アサーションメッセージをRP310へ送る。SSOサブシステム308からRP310への署名されたアサーションメッセージは、認証に成功したことを示し、SSOサブシステム308によって、(例えば、図3Aの320で示された)以前にプロビジョニングされたクレデンシャルを用いて、自律的に署名される。この成功したネットワークアシスト型認証の通知は、ユーザ302がRP310で所望のサービスへのアクセスを得る前に行われる。認証プロセス(例えば、SSOプロセス)において早期に、OP312とRP310との間で共有秘密鍵を確立する、アソシエーションが行われている。1つの例示的態様では、アサーションメッセージは、この共有秘密鍵、および/または鍵の導出を用いて署名される。RP310および/またはユーザデバイス304が、(例えば、アプリケーション306を介して)ネットワークアシスト型認証が成功したという指示を受信すると、ユーザデバイス304は、(例えば、アプリケーション306を介して)それがログオンされる先のRP310におけるサービスにアクセスする。
RP310に与えられたアサーションメッセージは、ネットワークへの、およびサービスへの、両方の認証が完了すること、および、ユーザアシスト型認証において実装された、ユーザにより主張されたアイデンティティが、例えば、ネットワークアシスト型認証において実装されたIMSIまたはIMPIなど、加入者クレデンシャルにバインドされることを示す。例えば、それは、バインディングが、ユーザにより供給されたクレデンシャルとUICCベースの(または、SIPダイジェスト)クレデンシャルとの間の接続を見る機構を介して行われるという、選択されたSSO機能性の一部である。アサーションメッセージは、バインディングをSSOプロトコル全体の一部として示す情報を具える。また、例示的実施形態では、アサーションメッセージは、認証強度または信頼レベル(例えば、低、中、高、超高)を提供する。例えば、アサーションメッセージにおける低認証強度は、OP312が、アサートされたアイデンティティ(例えば、パスワードのフォーマットのための最小限のルールでの、ユーザ名/パスワードの自動挿入)における信頼をほとんどまたはまったく有していないことを示し、中認証強度は、OP312が、アサートされたアイデンティティ(例えば、パスワードのフォーマットに適用されたルールでの、ユーザ名/パスワードの手動の使用)においてある信頼を有することを示し、アサーションメッセージにおける高認証強度は、OP312が、アサートされたアイデンティティ(例えば、バイオメトリックまたは暗号ネットワーク−アクセストークンおよびユーザ名/パスワードの使用)において高いレベルの信頼を有することを示し、超高認証強度は、OP312が、アサートされたアイデンティティ(例えば、バイオメトリックおよび暗号トークン)において超高レベルの信頼を有することを示す。例示的実施形態では、「低」および「中」レベルは、ユーザクレデンシャルのみが使用されることを示し、「高」および「超高」レベルは、ネットワークアシスト型対話が行われることを必要とし、バイオメトリックおよびパスワードなど、より強い形態の認証を必要とする。
再び図2を参照すると、図2は、ネットワークにより制御されたブートストラッピングおよび鍵確立のために利用可能である、例示的なSSO技術(プロトコル)を示す。例えば、OpenID/ISIM214およびOpenID/AKA216は、UICCベースであり、UICC上に安全に常駐する、ネットワークとの共有された秘密などのクレデンシャルを利用する。OpenID/GBA212は、例えば、ネットワークと共有されたクレデンシャルに応じて、UICCベースであっても、そうでなくてもよい。例示的実施形態では、OpenID/SIPダイジェスト208は、UICCベースではない。例えば、従来のユーザにより供給されたOpenIDアイデンティティおよびパスワードが収容される。SSOサブシステムのネットワーク認証インターフェースは、様々なSSOプロトコル(例えば、図2におけるモジュール208、210、212、214、216)が単一のアーキテクチャのフレームワーク内に収容されることを可能にする。
例示的実施形態によれば、ユーザは、2認証タイプバインディングを用いて検証される。ユーザ検証がOpenIDプロトコルに関して説明されるが、同じ概念は、例えば、リバティアライアンスなど、他の認証プロトコルに適用される。UEに電源投入すると、例えば、ユーザアシスト型認証が発生する。例えば、ユーザは、ユーザアシスト型認証クレデンシャル(例えば、PIN、バイオメトリクス)を提供して、デバイスファンクションへのアクセスを得る。例えば、ユーザは、PINを提供して、iPhoneへのアクセスを得る。そのような認証機構は、電源投入時に一度、または、セッション全体を通して間欠的に提供される。ユーザを認証するための頻度要件は、ポリシー駆動である。SSOサブシステムは、ユーザにより提供されたPINを検証し、結果を保存し、結果は、アサーションの形態で、PINが入力および検証されていることを確認する。そのようなアサーションが、ユーザアシスト型認証を確立する。ユーザアシスト型認証が確立された後、ユーザは、例えば、ウェブブラウザをRPウェブページにダイレクトすることによって、OpenIDプロトコルをサポートする、サービスプロバイダ(例えば、RP)のログインを試みる。SSOサブシステムは、ユーザアシスト型認証の状況をチェックし、状況が有効である場合、ユーザアイデンティティをRPに供給する。RPは、OpenIDプロバイダ(OP)のディスカバリを行い、2つのエンティティは、アソシエーションを確立する。そのようなアソシエーションは、共有鍵を生じる。デバイスは、LAEにリダイレクトされ、それは、SSOサブシステムによって実行される、UE上のローカルOpenIDプロキシファンクションである。例示的実施形態では、SSOによって実行された(例えば、外部利害関係者の)ポリシーは、強いネットワークアシスト型認証(例えば、GBA、SIP、AKA)が行われることを必要とする。認証モジュール(例えば、SSOプロトコル)が選択される。そのような選択は、例えば、SSOサブシステムによって認証プロトコルにおいて、MNOにレポートされる。UEの認証は、選択されたネットワークアシスト型認証モジュール(例えば、SSOプロトコル)を使用して行われる。例示的実施形態では、選択された認証プロトコルは、ネットワークアシスト型認証ファンクションとUEとの間で共有されたアプリケーション固有の鍵のブートストラップを生じる。そのような鍵は、UEを認証するために使用される。
UEは、認証完了の指示を受信し、LAEは、強い認証が行われたことを示す、RPへのアサーションメッセージに署名する。アサーションは、ユーザアシスト型認証(例えば、最初のユーザPIN入力を介して)と後続のネットワークアシスト型認証(例えば、選択されたSSO認証プロトコルを介して)との間のバインディングを示す。アサーションは、本明細書で定義された認証信頼レベルのうちの1つを示す。アサーションメッセージは、ローカルSSOプロキシ(例えば、LAE)とRPとの間のアソシエーションを通して確立された鍵を使用して署名される。RPおよびLAEは、直接通信せず、そのため、OPサービスファンクション(OPSF)がネットワーク上で作成されて、2つのエンティティ間の通信が容易にされる。例示的実施形態では、OPSFは、それがOPであるかのように、このファンクションと通信するRPによって、公共のインターネットを介して到達可能である。ローカルSSO(LAE)プロキシは、OPSF鍵配布機構を通してアソシエーション鍵を取得する。OPSFはまた、LAEから発生する、署名されたアサーションに対して、RPのための署名検証をもサポートする。ユーザは次いで、RPウェブページにシームレスにダイレクトされる。例示的実施形態では、ユーザが後に異なるサービスプロバイダにアクセスすることを望むとき、SSOサブシステムは、ユーザアシスト型認証結果が既に記憶されているかどうか、および、その認証がなお有効であるかどうかを(例えば、ローカルで記憶されたポリシーに従って)チェックする。有効な記憶された結果がある場合、例えば、SSOサブシステムは、この時にユーザアシスト型認証を行わない。新しいサービスプロバイダが次いで、本明細書で説明されるように、アイデンティティプロバイダのディスカバリを行う。したがって、ユーザは、クレデンシャルをUEで入力することなく、新しいサービスプロバイダにアクセスし、ユーザは、ネットワークアシスト型認証に関与しない。そのようなシナリオは、実施形態による完全なSSO実装形態を構成する。
例示的実施形態では、ユーザは、好ましいサービスおよび/またはアプリケーションの登録を通して、好ましい(例えば、提携された)サービスにアクセスする。例えば、ウェブまたは他のオンラインアプリケーションサービスプロバイダ(例えば、リライングパーティ)は、サービスプロバイダの選択のIdPを使用して、オペレータのネットワークベースのSSOシステムに登録する。例えば、支払取引プロバイダは、OpenIDを使用して、委任された認証を特定のIdPから取得し、それは、支払取引プロバイダが、提携されたサービスになる結果となる。登録は、サービスプロバイダ(例えば、RP)、選ばれたIdP、オペレータのSSOシステム、またはサービスのエンドユーザによって開示される。さらに、登録は、ユーザがウェブページにアクセスすること、またはUE常駐SSOサブシステムによって開始される。例えば、UE上に常駐するSSOサブシステムは、ネットワークベースのSSOサブシステムのデータベースに「同期される」ようになり、それによって、登録された、提携されたサービスおよびアプリケーションのリストおよびタイプに気づく。
RPは、IdPを選択することが可能にされるが、SSOプロトコルを明示的に選択しない。例示的実施形態によれば、IdPの選択と、使用されるべきSSOプロトコルとの間に、暗黙のアソシエーションがある。例えば、IdPは、OpenIDなど、特定のSSOプロトコルをサポートするので、RPは、特定のIdPを選ぶ。
ユーザは次いで、UEを使用することによって、SSO(例えば、OpenID)によりサポートされたウェブベースのアプリケーションサービスにアクセスする。UE常駐SSOサブシステムは、オペレータによりプロビジョニングされたポリシーに準拠し、登録された提携されたサービス/アプリケーション、および/または好ましいサービス/アプリケーションを選択する。UE常駐SSOサブシステムはまた、例えば、ユーザが彼または彼女の好ましいサービスを(例えば、URLでのタイピングを介して)示した後、インターセプト(介入)し、ユーザによりタイプされたURLを、同じサービスの登録された、提携されたバージョンに対応する代替サービスのURLで変換または置換する。そのような置換サービスは、同じプロバイダによって提供されるが、優先的な、提携されたベースによって提示およびアクセスされる。例えば、アクセスは、前述のサービス/アプリケーション(例えば、および、そのようなサービス/アプリケーションを提供するIdPおよびRP)への前述の登録ベースの提携を有するオペレータによってサービスされたUEのユーザに制限される。
例示的実施形態によれば、サービス/アプリケーションの選択の後に、UEは、ユーザに代わって、透過的および/またはシームレスな方法で、好ましいアクセスネットワークアシスト型認証機構および適切なクレデンシャルを選択する。例えば、UEは、SSO認証プロトコル内で、選択されたアクセスネットワークアシスト型認証機構を示す。ネットワークは、選択された好ましいアクセスネットワークアシスト型認証機構を認識し、ユーザを認証する。認証に成功した時に、SSO動作の残り(例えば、サービスを取得するための、RPへのUEリダイレクション)が行われる。
本明細書で説明されるように、オペレータのSSOシステムを介してオペレータの信用インフラストラクチャに接続することによって、加入された、提携されたサービスは、オペレータによって与えられたネットワークアシスト型認証強度を有効に獲得する。
より一般的には、本明細書で説明されるSSOアーキテクチャは、より形式化された機能的階層を組み込んでいると見なされる。例えば、SSOサブシステムは、1または複数のSSOクライアント(例えば、または、ローカルSSOプロキシ)を管理する。基礎をなすデバイス技術が、マルチサービスプロバイダ構成をサポートする場合、多数のSSOクライアントが、SSOサブシステム内でマルチサービスマネージャへのサブファンクションとして実行する。この一般化されたアーキテクチャは、潜在的に独立したポリシーを用いて、複数のサービスをサポートするために使用される、分離を実現する。
そのようなフレームワーク内の各SSOクライアントは、いくつかの下位のサブファンクションを管理する。例えば、ローカルアサーションサブファンクションは、ローカルアサーションエンティティ(LAE)によって行われる。LAEは、ローカルアサーションを行うサブファンクションの形式的な名称を指す。1または複数のLAEは、例えば、実装形態に応じて、SSOクライアントによって制御される。例えば、構成は、SSOクライアント−LAE対(1対1)、または、複数のLAEを制御する1つのクライアントを含む。いずれの構成でも、SSOクライアントは、制御エンティティである。SSO認証プロトコルはまた、本明細書でSSO技術とも呼ばれる。例えば、SSOクライアントは、選択されたSSO認証プロトコルによって実行された機構の処理を制御する。SSOクライアントは、どの認証方法が使用されるかを決定するポリシー実施アクションを管理する。例えば、適用されたポリシーは、MNOなど、外部利害関係者の制御下にある。
別の実施形態によれば、UEは、マルチサービスマネージャ内でサブファンクションとして実行する複数のSSOクライアントの実装形態をサポートする。そのような実装形態は、異なるサービスプロバイダが、同じプロバイダによって同時に提供された複数の利用可能な接続技術およびサービスの、ポリシーベースの管理を可能にしながら、その特定のプロバイダに排他的にサービスする別個の隔離されたSSOクライアントを必要とする環境において、機能すると見なされる。例えば、MEは、SSOクライアントAおよびSSOクライアントBを有し、これらのSSOクライアントのそれぞれは、別々に、互いに隔離されて制御される。SSO態様は、プロバイダに固有である。
複数のSSOクライアントと共に、例示的実施形態では、多数のLAEがある。例えば、各LAEは、UE上でアクセス技術固有のドメインにおいて実装される。SSOクライアント隔離のために、隔離されたドメインごとに1つのLAEがある。また、例えば、LAEは、デバイスによってサポートされた利用可能なアクセス技術に従って構築される。同じアクセス技術が、異なるLAE間で多重化され、または、異なるアクセス技術が、LAEによって同時に使用される。したがって、UEは、複数のLAEをサポートする。実装形態に応じて、例えば、LAEとSSOクライアントとの間の関係は、1対1であり、または、1つのSSOクライアントが複数のLAEを制御し、またはそれらによってサービスされる。
本明細書で説明されるように、SSOサブシステム内で行われるファンクションは、様々な方法で構成される。UEにおいて、例えば、UICCベースのアーキテクチャと、非UICC(または、あるいは安全な環境)ベースのアーキテクチャとの間の分割がある。また、UEとMNOネットワークとの間のファンクションの間引きもある。以下は、様々な実施形態によるいくつかの可能な構成である。
暗号AKAファンクションは、非UICCスマートカード上に常駐する。そのようなファンクションは、G&DのMSCなど、完全にプログラム可能な、非UICCスマートカード上で行われ、ネットワークアシスト型認証(例えば、AKA)と同様であるが、カードは取外し式であり、ユーザ制御下にある。暗号ファンクションは、UICC上に常駐する。そのようなファンクションは、例えば、鍵導出およびアサーション署名など、UICC上で実装されたLAEの基本的暗号ファンクションを含む。機能性は、ネットワークアシスト型認証(AKA)と同様である。さらに、IMSIへのバインディング、およびMNOへのユーザ登録が実現される。
例示的実施形態によれば、LAEファンクションは、UICCまたは安全な信頼された環境上に常駐する。例えば、LAEは、スマートカードウェブサーバ(SCWS)または他のウェブブラウザアプリケーション上のOpenIDの完全な実装形態である。例示的実施形態では、ネットワークアシスト型認証構成は、LAE(例えば、ローカルアサーション)認証を、任意の形態の強いネットワークアシスト型認証(例えば、ローカルOpenID/GBA)にバインドすることである。強い認証が、バイオメトリクスまたは同様のローカル認証を追加することによって、追加のファクタとして、強いローカルユーザアシスト型認証に適用される。例えば、任意の形態の強いローカル認証が、ネットワークアシスト型認証と組み合わせられ、それにバインドされる。
図4は、複数のSSOプロトコルおよび/またはモジュールの使用のためのアーキテクチャのフレームワークの別の例示的実施形態を示す。図4に示されるように、UE402のSSOサブシステム400は、ウェブサービス406(例えば、RP)など、サービスプロバイダからのサービスにアクセスするように構成されたアプリケーション(例えば、ブラウザアプリケーション404)と通信している。SSOサブシステム400は、ユーザのためのSSO機能性を提供し、認証サービスへのサインオンプロセスにおける自動化をもたらす。例えば、自動化機能は、ユーザ識別子をウェブサービス406へ、および/または、クレデンシャルをアイデンティティプロバイダ(例えば、OpenIDプロバイダ(OP)408)へ、ユーザ対話なしに提供するファンクションを含む。自動化はまた、OP408のオーセンティケータ410への認証クレデンシャルの自動プロビジョニング、のみならず、認証モジュール(例えば、認証方法)の自動選択およびネゴシエーションをも特徴とする。例示的実施形態によれば、認証モジュールは、OpenID/SIPダイジェストモジュール418、OpenID/GBAモジュール412、EAP/SIMモジュール416、および/またはOpenID/AKAモジュール414を含む。例えば、図5は、GBAモジュール412がSSOサブシステム400によって選択される例示的実施形態を示す。図4に示されたネットワークアシスト型認証モジュールは、OpenIDネットワークアシスト型認証プロトコルをそれぞれ実装するが、他のタイプのネットワークアシスト型認証プロトコルも同じく、または、あるいは実装される。SSOサブシステム400によって提供される自動化は、無線デバイス(例えば、UE402)上に記憶され、例えば、OP408によってプロビジョニングされた、以前に定義された(1または複数の)ポリシーに基づいて実行される。そのような自動化は、クッキー(例えば、ブラウザ404に記憶される)、Javaアプレット、フォームデータを記憶するブラウザキャッシュなどによって提供される。例示的実施形態では、自動化は、例えば、埋められるべきフォームを自動的に検出する、スクレイピングファンクションを与えられる。
Javaアプレットを使用する例示的実施形態では、例えば、自動化機能は、Javaアプレットに組み込まれ、それは、認証プロセス中にダウンロードされる。本明細書で論じられる自動化機能は、Javaアプレットによって実装されるが、本明細書で説明される実施形態は、そのように限定されない。いくつかの実施形態では、例えば、アプレットがブラウザキャッシュから除去されるので、永続的な機能(例えば、ユーザログイン状態)は、Javaアプレットに配置されない。さらに、本明細書で説明されるように、Javaアプレットは、プロトコルにより実行されたプロセスにおけるダウンロード後、利用可能になる。Javaアプレットを利用するファンクションは、アプレットがUEなどのデバイスにダウンロードされた後、行われる。Javaアプレット自体は、例えば、JavaアプレットがOPにリダイレクトされた後、OPからダウンロードされる場合、スクレイピング機能を提供しない。
図6は、複数のSSO技術および/またはモジュールの使用を容易にするためのダウンロード可能コンポーネントを具える、アーキテクチャのフレームワークの例示的実施形態を示す。例示的ダウンロード可能コンポーネント(例えば、サプリカント622)は、ブラウザアプリケーションおよび/または非ブラウザアプリケーション(例えば、アプリケーション604)のためのインターフェースを、例えば、認証モジュール、プロトコル、およびAPI(例えば、モジュール612、614、616、618、および620)など、ネットワークアシスト型モジュールに提供する。例示的実施形態では、ダウンロード可能コンポーネント(例えば、サプリカント622)は、UE602上で完全なSSOサブシステム600の存在にバインドされない。例えば、コンポーネント(例えば、サプリカント622)は、それが無線デバイス(例えば、UE602)上の完全なSSOサブシステム600機能ありでまたはなしで使用されるという点で、独立している。サプリカント622の例示的機能を説明する目的で、図6は、サプリカント622をSSOサブシステムとは別個のコンポーネントとして示すが、サプリカントは、SSOサブシステム600内に含まれる。さらに、本明細書で説明される実施形態は、SSOサブシステムのサブセットありまたはなしのサプリカントの変形形態を含む。
例示的実施形態では、サプリカント622は、Javaアプレットなどを用いて実装される。例えば、Javaアプレットは、認証プロセス中にダウンロードされ、UE602において、ブラウザ(または、アプリケーション604)と、ネットワークアシスト型認証モジュール(例えば、GBAモジュール612、AKAモジュール614、EAP SIMモジュール616、SIPダイジェストモジュール618、ローカルOPモジュール620)との間に、層を作成する。そのような層は、例えば、ネイティブブラウザがいくつかの認証機構をサポートしないので、認証モジュールとのネットワーク認証インターフェースを可能にするソフトウェア層である。
サプリカント622(例えば、Javaアプレット)は、ダウンロードされると実行され、HTTPリクエストを発行および/または処理するという意味において、ブラウザから独立している。例えば、Javaアプレットは、OP608へ、認証チャレンジを取り出すようにリクエストを発行する。Javaアプレットは、認証モジュール(例えば、GBAモジュール612、AKAモジュール614、EAP SIMモジュール616、SIPダイジェストモジュール618、LAEモジュール)のみならず、SSOサブシステム600ともインターフェースする。例えば、UE602は、階層化アクセスを提供し、そこで、認証モジュールへのアクセスは、SSOサブシステム600を通して利用可能にされる。SSOサブシステム600と認証モジュールとの間のネットワーク認証インターフェースが使用されて、認証が容易にされる。例えば、Javaアプレットは、チャレンジをアイデンティティプロバイダ(例えば、OP608)からネットワークアシスト型認証モジュールへ送り、認証モジュールは、ダイジェストレスポンスを計算し、Javaアプレットは、レスポンスをOP608へ直接、またはブラウザを介してOP608へ送る。
図6に示されるように、LAE(例えば、ローカルOP620)は、(例えば、SSOサブシステム600によって)別の認証モジュールと見なされるが、LAE620は、認証に加えてファンクションを行う。例えば、LAEは、純粋な認証方法よりも多くのファンクションを含むので、LAEに対するJavaアプレットの役割は、認証モジュールに対するJavaアプレットの役割とは異なる。例えば、LAEは、認証レスポンスを計算せず、それは、認証をアクティブに行う。結果として、LAEは、検証のために、ウェブサービス606(例えば、RP)など、サービスプロバイダへ直接送られるアサーションメッセージを作成する。LAEに対して、サプリカント622(例えば、Javaアプレット)は、アプリケーション604(例えば、ブラウザ)からLAEへの通信を可能にする。例示的実施形態によれば、SSOサブシステム600は、例えば、SIMAllianceによって規格化された、OpenMobile APIなど、ソフトウェアミドルウェアコンポーネントを含み、それに基づく。そのようなソフトウェアミドルウェアコンポーネントは、例えば、ユーザ/OSレベルアプリケーションからSIMカードアプリケーションへの通信を容易にする。
図6に示された例示的アーキテクチャをさらに参照すると、サプリカント622(例えば、署名されたJavaアプレット)は、ブラウザを介してダウンロードされ、各デバイス(例えば、UE602)タイプについてカスタマイズされる。サプリカントは、例えば、Symbian、iOS、Androidなどなど、様々なデバイスタイプについてカスタマイズされる。サプリカント622は、ブラウザから、例えば、GBAモジュール612、AKAアプリケーション614、およびSIPダイジェストオーセンティケータ618など、SSOサブシステム622のコンポーネントへの通信を可能にする。サプリカント622は、アイデンティティプロバイダのサーバ(例えば、OPサーバ608)、および/またはウェブサービス606(例えば、RP)によって提供される。サプリカント622は、自動化された、および/またはシームレスなユーザ認証を行うために使用される、インターフェースファンクションを提供する。例示的実施形態では、SSOサブシステム600は、アプリケーション604(例えば、ブラウザ)がネットワークアシスト型認証モジュール612、614、616、618、および620と通信することを可能にする。サプリカント622は、例えば、アプリケーション604(例えば、ブラウザ)がSSOサブシステム600の機能を使用することを可能にする。サプリカント622は、LAE620のディスカバリ、および、例えば、LAEがUE602上で利用可能である場合、LAEへの接続において役立つ。サプリカント622は、ユーザをアイデンティティプロバイダのローカルまたはリモート変形形態(例えば、LAEまたはリモートOP608)へ、およびウェブサービス606(例えば、RP)へ戻るように、リダイレクトする。サプリカント622は、認証モジュールとしてのSSOサブシステム600の使用を可能にし、例えば、署名されたアサーションを直接生成するための、SSOサブシステム600のLAE部分(例えば、ローカルOP620)の使用を可能にする。SSOサブシステム600は、モバイルデバイス(例えば、UE602)においてプリロードされ、および/または、他の機構を介してデバイスにダウンロードされる。例示的実施形態では、SSOサブシステム600は、サービスにわたって永続的であるが、サプリカント622は、ユーザがウェブサービス606(例えば、RP)を訪問するたびにリロードされる。
一実施形態では、図6におけるサプリカント622などのサプリカントは、Javaアプレットなどとして実装され、限定された動作環境(例えば、「サンドボックス」)において実行する。そのようなサプリカントは、システムリソースへの制限されたアクセスを有する。例示的実施形態では、サプリカントは、認証が行われた後(例えば、ブラウザがサービスウェブサイトを離れるとき)、アンロードされる。図7を参照すると、シングルサインオン(SSO)機能は、異なるサービス間のユーザ認証に及ぶので、SSOファンクションの永続的な態様は、SSOサブシステム700の非サプリカント部分によって提供される。図7は、SSOサブシステム700の例示的インターフェースコンポーネントを用いた、図6のアーキテクチャのフレームワークの例示的実施形態を示す。図7に示されるように、SSOサブシステムは、サプリカントを含み、SSOサブシステム700は、例えば、ユーザ704、リモートサーバ708、バイオメトリックユニット710、および様々な他のデバイス706など、様々なコンポーネントとインターフェースする。SSOサブシステム700のサプリカント部分のインターワーキング機能性が、以下で例として説明される。
図7をさらに参照すると、サプリカントは、一般に認証ファンクションへの直接アクセスを有しておらず、または、LAE(例えば、ローカルOP620)によって提供された認証ファンクションへのアクセスを有する。そのような場合、ネットワークアシスト型認証方法を使用するいくつかの認証リクエストが、SSOサブシステム700を介してコールされる。そのようなコールは、SSOサブシステム700へのサプリカントの適切な認可および/または以前の確認(例えば、コード署名をチェックすることによる)を含む。サプリカントは、様々なインターフェースを提供する。例えば、サプリカントは、特定のサービスプロバイダ(例えば、RP)と共に使用されるべき識別子を選択するために、インターフェースをSSOサブシステム700に提供することによって、認証プロセスの自動化を可能にするための機能性を提供する。サプリカントは、アイデンティティプロバイダ(例えば、OP608)での認証のためのクレデンシャルを提供するために、インターフェースをSSOサブシステム700に提供する。サプリカントはまた、ネットワークアシスト型認証モジュールまたは機構の、選択および/またはネゴシエーションのために、インターフェース(例えば、ネットワーク認証インターフェース)をSSOサブシステム700に提供する。1つの例示的態様では、サプリカントは、例えば、認証のためのウェブサービス606(例えば、RP)からアイデンティティプロバイダ(例えば、OP608)へのリダイレクトメッセージ、および、認証後のウェブサービス606からOP608へのリダイレクトメッセージなど、リダイレクトメッセージを置換するファンクションを提供する。
上記で説明されたように、SSOサブシステム700は、ユーザアシスト型認証のためのユーザ認証インターフェース(例えば、図6におけるユーザインターフェース624)を提供し、このインターフェースを通してユーザアシスト型認証を行う。ユーザ認証インターフェースは、例えば、OP608によって、OPサプリカントファンクションの一部として提供されるか、または、SSOサブシステム700の永続的なファンクションの一部である。SSOサブシステム700は、アイデンティティプロバイダ(例えば、OP608)とインターフェース(例えば、通信)して、ユーザアシスト型認証ポリシーの情報を収集する。そのようなポリシーの情報は、例えば、アイデンティティプロバイダまたはサービスプロバイダによって必要とされる鮮度(例えば、認証が実行された時間)、および認証強度レベル(例えば、バイオメトリックまたはユーザ名/パスワード)など、ユーザアシスト型認証パラメータを含む。SSOサブシステムはまた、OP608とインターフェースして、ネットワークアシスト型認証モジュールおよび/またはインターフェースの選択を容易にする。ユーザインターフェースを介して、および/または、選択されたネットワークアシスト型認証方法(例えば、GBAモジュール612、AKAモジュール614、EAP SIM616、SIPダイジェスト618)を使用して、ユーザ704および/またはユーザ機器(UE)602の認証に成功した後、SSOサブシステム700は、時間期間(例えば、有効期間)にわたってユーザ認証の永続的な状態を設定する。(例えば、ローカルトリガによる、またはネットワークによる)再認証リクエストを受信すると、SSOサブシステム700は、ユーザ704を再認証する。例示的実施形態では、そのような再認証は、シームレスなログオン経験をユーザ704に提供する。
SSOサブシステム700は、UE602の外部のコンポーネント(例えば、他のデバイス706)へのインターフェースを使用して、例えば、UE602への無線インターフェースを介して接続されたトークンから認証情報を取得する。SSOサブシステム700は、認証のために、バイオメトリックユニット710への、またはリモートサーバ708への2次通信チャネルを確立する。
図8は、サプリカント(例えば、Javaアプレット)のダウンロードをトリガする、認証フローを示すフロー図である。図8に示された例示的フローは、本明細書で説明されたSSOフレームワークアーキテクチャ内で実装される。図における例示的実施形態は、OpenID用語を使用して説明されるが、例示的フローは、例えば、リバティアライアンスなど、任意の数のシングルサインオンセキュリティプロトコルに適用される。
図8を参照すると、808で、UE802は、ユーザのOPログオンリクエストをRP804へ送る。ログオンリクエストは、ユーザにより供給された識別子を含み、RP804に渡され、それは、810で、RP804とOP806との間の、アソシエーションおよび/または共有秘密鍵の確立をトリガする。ネットワークアシスト型認証は、810の後に行われる。例えば、ネットワークアシスト型認証は、RP804によるOP806へのリダイレクションの後に続く。リダイレクトは、ステップ812で、UE802によって受信される。814で、UEは、リクエストをOP806へ、サプリカントを使用した認証のために送る。リクエストは、例えば、非ブラウザアプリケーションのアイデンティティ、または、UE802によって使用されるブラウザエージェントのアイデンティティなど、アプリケーションのアイデンティティを具える。例示的実施形態では、Javaアプレットが、リクエストにおけるブラウザエージェントのタイプに従ってマッチさせられる。例えば、複数のおよび/または異なるJavaアプレットが異なるデバイスに対して使用されるので、Javaアプレットが、例えば、プロセッサ、OS、および/またはブラウザなど、UE802の様々なコンポーネントに従って選択されるようになる。リクエストに応答して、816で、UE802は、サプリカント820(例えば、Javaアプレット)をOP806からダウンロードする。
Javaアプレットは、OP806によって署名される。Javaアプレットのための発行者証明書は、ブラウザによって、例えば、UEシステム証明書ストアを使用してチェックされる。例えば、変更されたシステムまたはブラウザ証明書ストア実装形態は、UE802の安全な要素(例えば、UICC)上に記憶された証明書/鍵と共にJavaアプレット署名をチェックする。Javaアプレットは、どのネットワークアシスト型認証モジュール800をRP804で使用するべきかを判断するための論理を具える。Javaアプレットはまた、OP806に、どの認証モジュール/機構がUE802において利用可能であるかを示すための論理をも含む。例示的実施形態では、Javaアプレットは、1つの単一の認証モジュール800に固有であり、OP806は、どのJavaアプレットをUE802に提供するべきかを選択する。例示的実施形態では、814で、HTTPリクエストが送られる。HTTPリクエストは、ブラウザエージェントを含み、(816で)UE802のOSが識別されること、および、対応するアプレットバージョンがOP806によって選択され、UE802へ送られることを可能にする。
ネットワークアシスト型認証が、818で行われる。本明細書で図3に関して説明されるように、ネットワークアシスト型認証は、RP804によるOP806へのリダイレクションの後に続く。リダイレクトは、サプリカント820によって受信され、それは、ネットワークアシスト型認証モジュールおよび/またはプロトコル(例えば、認証モジュール800)の選択のために、メッセージをSSOサブシステム308にリダイレクトする。ネットワークアシスト型認証モジュール/プロトコル(例えば、SSOプロトコル)は、ポリシー実装を介してSSOサブシステムによって選択および使用される。このプロセスは、本明細書でさらに説明されるように、ブートストラッピングおよび共有鍵確立を含む。
図2、図4、図6、および図7に示されるように、いくつかのネットワークアシスト型認証プロトコルモジュールは、ネットワークアシスト型認証モジュール(例えば、SSOプロトコル)のスイートによって暗示される。再び図8を参照すると、822で、818での認証からの認証結果が、サプリカント820からOP806へ送られる。例えば、認証結果は、UE802とOP806との間で共有された、アプリケーション固有の鍵などを具える。成功したネットワークアシスト型認証の後、OP806は、RP804に、ネットワークアシスト型認証が成功したという指示を与える。例えば、OP806は、824でアイデンティティアサーションに署名し、824でアサーションメッセージを送る。成功したネットワークアシスト型認証の、署名された通知は、UE802がRP804における所望のサービスへのアクセスを得る前に行われる。RP804および/またはUE802が(例えば、アプリケーションを介して)ネットワークアシスト型認証が成功したという指示を受信すると、UE802は(例えば、アプリケーションを介して)(826で)RP804にログオンし、(828で)RP804におけるサービスにアクセスする。
図9は、アイデンティティプロバイダのファンクションがUE802のローカルで行われる、例示的実施形態を示す。例えば、UE802は、SSOサブシステムおよびLAE(例えば、ローカルOP900)を具える。ステップ808、810、814、および816は、図8に関して説明されたように進む。902および904で、署名されたアサーションが、サプリカント908とSSOサブシステム900との間、および、SSOサブシステム900と1または複数の認証モジュール800との間の対話を介して作成される。UE802は、906で、署名されたアサーションをRP804へ送る。RPが、署名されたアサーションを受信した後、UE802のユーザは、(824で)RP804によって提供されたサービスにアクセス可能である。図10は、SSOサブシステムがJavaアプレット1002において実装される、例示的実施形態を示す。図10を参照すると、SSOサブシステム1002は、UICC上のローカルOP暗号1000を使用して、ネットワークアシスト型認証を行う。成功したネットワークアシスト型認証の後、署名されたアサーションが作成され、RP804にリダイレクトされる。
本明細書(例えば、図11ないし図15)で説明されるように、LAE(例えば、ローカルOP)は、Javaアプレットにおいて統合されるか、またはJavaアプレットから分離している。代替の例示的実施形態では、OpenIDプロトコルは、例えば、ローカルOPコンポーネントなしで実装される。そのような実施形態では、プロトコルフローの第1の部分は、LAEを有する実施形態と同じに、または類似しているように見えるが、認証および/またはアサーション生成は、(例えば、図16に示された)UEとOPとの間の通信によって行われる。
図11は、アソシエーションをプリフェッチするためのプロトコルフローの例示的実施形態を示す。例えば、アソシエーションがプリフェッチされ、それは、ユーザからの認証試行に先立って、RPがアソシエーション(例えば、アソシエーションハンドルおよび/またはアソシエーション秘密)を取り出すことを可能にする。これは、例えば、OpenIDの識別子選択モードを使用することによって実装される。RPは、完全なOpenID識別子URLを知る必要はないが、いくつかの知られているOPのためのアソシエーションを、例えば、それらのOPエンドポイントURLに基づいてプリフェッチする。図11を参照すると、RP804は、810で、UE802の識別子を知る前にアソシエーションを得る。RP804は、812で、例えば、プリフェッチされたアソシエーションのうちの1つを使用することによって、UE802をOP806に直接リダイレクトする。そのような実施形態では、UE802は、Javaアプレット1100をOP806からダウンロードし、それは、UE802とOP806との間のインターフェース上でトラフィックを生じる。例示的実施形態では、UE802からOP806へのインターフェースは、エアインターフェースであるが、RP804とOP806との間のインターフェースは、固定されたインターネットである。
プリフェッチステップの例示的実施形態では、Javaアプレットは、図12に示されるように、RPによって記憶される。RP804は、OP806によって署名されるJavaアプレット1202のセットを受信する。RP804は、810からのアソシエーションと共にJavaアプレット1202を記憶する。UE802が、1204で、認証することを望むとき、例えば、RP804は、1206で、対応するJavaアプレット1202をUE802に提供する。複数のおよび/または異なるJavaアプレットが異なるデバイスに対して使用され、例えば、それらが、非ブラウザアプリケーションまたはブラウザエージェントのプロセッサおよびOSにマッチするようになる。
例示的実施形態によれば、OpenIDライブラリは、例えば、OPにアウトソーシングされる。例えば、OPは、RPがRPのためのOpenID固有の動作を扱うためのAPIを提供する。Google Identity Toolkitは、RPの機能性をUE上で一般化し、同じサプリカントを使用する複数のRPのための共通フレームワークを提供する例示的実装形態である。RPは、APIに、OpenID認証を開始するように要求し、API(OPによって提供/ホストされる)は、UE認証を開始するために、RPからUEへ送られるべきコードを返す。その後、UE結果がRPへ送り戻され、それは、認証結果を(例えば、単独で、またはOPの助けと共に)検証する。例示的実施形態では、アソシエーションのプリフェッチは、UEとOPとの間の通信を省き(減らし)、オフラインシナリオを可能にする。
図13は、キャッシュされたJavaアプレットのためのプロトコルフローの別の実施形態を示す。例えば、Javaアプレット1306などは、スマートフォンなど、UE802上に記憶される。例示的実施形態では、Javaアプレット1306は、以前の実行からUE802のブラウザキャッシュに記憶される。そのような実施形態では、記憶されたJavaアプレットがコールされる。例えば、アプレットがブラウザキャッシュにおいて利用可能ではないと仮定される場合、ブラウザは、ダウンロードされたJavaアプレットを予告なしに削除する。以前にダウンロードされたJavaアプレットは、例えば、アプレットが同じ起点(例えば、同じRP)からコールされるとき、コールされる。OPによって提供されたAPIは、1300でコードを返し、それは、以前にダウンロードされた(および、キャッシュされた)Javaアプレットへのコールを発行する。1302で、例えば、Javaアプレット1306へのコールがRP804に提供される。1304で、コールがUE802に提供される。本明細書で説明される実施形態は、JavaScript(登録商標)など、代替の実装形態を使用する。
図14は、Javaアプレットがオンザフライでプロビジョニングされる、例示的実施形態を示す。例示的実施形態によれば、ブラウザは、Javaアプレットをキャッシュに記憶しない。そのような実施形態では、アプレット1402は、(1400で)OP806によってRP804に提供され、RP804は、1404で、それをUE802に渡す。HTTPリクエストは、ブラウザエージェントを含むので、UE802のOSが識別され、対応するアプレットバージョンがUE802へ送られる。ここで、RP804は、例えば、正しいJavaアプレットバージョンを選択するために、UE文字列(例えば、OSおよび/またはブラウザエージェントを具える)をOP806へ、OP806のためのAPIコール1300において伝える。
本明細書で説明されるように、様々な実施形態は、OpenIDなどを使用して、ブラウザアプリケーションを用いてサービスにアクセスする。OpenIDは、HTTPプロトコルに基づいており、および/または、Javaアプレットは、Java Runtimeを実装する。例示的実施形態では、ブラウザは、HTTPプロトコルとJava Runtime環境の両方を使用する。本明細書で提示されたOpenIDおよび/または他の概念の使用は、ブラウザアプリケーションに限定されるものではない。本明細書で説明されるように、様々な実施形態は、非ブラウザアプリケーションを使用して、OpenIDプロトコルなどを実装する。それらのアプリケーションでは、同じ概念が適用される。非ブラウザアプリケーションを用いた実施形態は、Javaアプレットのダウンロードおよび実行をサポートするためのインターフェースおよび/または方法を提供する。本明細書における説明は、様々なプロトコルフローの説明のためにブラウザという用語を使用するが、フローはそのように限定されず、非ブラウザアプリケーションを含む。
様々な実施形態がJavaアプレットを実装するとして説明されるが、そのような実施形態は、そのように限定されない。本明細書で説明されるJavaアプレットは、サービスアクセスアプリケーション(例えば、ブラウザ/非ブラウザ)と認証モジュール(例えば、OP、ローカルOP、GBA、AKA)との間のデバイスの内部の認証通信を容易にする、コンポーネント(例えば、サプリカント)のダウンロードのための単一の実装変形形態を表す。例えば、本明細書で説明される実施形態は、無線デバイスにアウトオブバンドでロードされ、または動的にダウンロードされる、ライブラリまたはAPIなどのコンポーネントによって実装される。ダウンロードされたコンポーネント(例えば、アプレット、ライブラリ)は、アプリケーションが、コンポーネントをどのように扱うべきか(例えば、それをどのようにロードするべきか、どのファンクションをコールするべきか)を知っているという意味で、アプリケーションについて固有である。
Google Identity Toolkit(GITkit)は、いくつかの能力および機能を提供し、それらは、RPファンクションの統合および/または実装の容易さを可能にする。ネットワーク側では、RPファンクションは、例えば、ネットワーク側サプリカントファンクションロールアウト機能を含むことによって、サービスプロバイダによる、OpenID連携型アイデンティティプロトコルの選定の容易さのために、さらに強化される。クライアント側では、Javaスクリプトは、サプリカントファンクションを一般化し、それらをGITkitと整合させるために使用される要素のうちのいくつかを提供し、例えば、スクレイピングを使用して、ユーザ自動化を行う実施形態などである。
本明細書で説明される様々な実施形態は、LAE(例えば、ローカルOP)の概念をGoogle Identity Toolkitと統合するが、GITkitのユーザによって与えられる通常のコールフローに準拠したままである。例えば、本明細書で説明されるものは、ローカルOPがコールされ、ブラウザがローカルOPにリダイレクトされる、いくつかの異なる方法である。例示的実施形態では、デバイスがどこでローカルOPに到達するべきか知りたいと望むOPのURLに、リダイレクションが適用される。別の例示的実施形態では、GITkit APIによって提供されたウェブサイトは、例えば、ブラウザをローカルOPにリダイレクトすることなく、ローカルOP認証プロセスをトリガするOS APIへのコールを(例えば、JavaScriptを介して)提供する。さらに別の例示的実施形態では、ブラウザプラグインが、OS APIの代わりにコールされる。
図15は、GITkit1500がローカルOP900およびJavaアプレット1508と統合される、例示的実施形態を示す。例示的統合ステップが以下にリストされるが、例えば、非ブラウザアプリケーションの要求に応えるものを含む、他の実装形態が使用されるので、本明細書で説明される実施形態は、そのように限定されない。
図15を参照すると、ユーザは、RP804を訪問し、および/または、自分のIdPを選択、または自分の電子メールアドレス識別子を入力する。1つの例示的実施形態では、識別子は、例えば、認証プロセスの自動化を提供するために、(例えば、ブラウザにより記憶されたフォームデータまたはクッキーなど、既存の技術を使用して)事前に埋め込まれ、ユーザがURLをブラウザに入力することによってトリガされる。GITkitライブラリ関数「createAuthUrl」が、コールされる。GITkitライブラリは、IdPディスカバリを行う。GITkitは、IdPの認可エンドポイントURL(例えば、OP806のURL)を返す。JavaScriptウィジェットは、ログインウィンドウをポップアップし、ユーザをそのエンドポイントにリダイレクトする。そのポップアップウィンドウにおけるリダイレクションは、ユーザを、デバイス上で実行しているローカルOPインスタンスへ連れて行く。ローカルOPインスタンスは、例えば、SIMカード、または、そこでローカルOPの暗号ファンクションが実行される他の安全な要素へのインターフェースを統合しながら、ブラウザのための能力のようなHTTPインターフェースおよびウェブサーバを提供する、アプリケーションからなる。代替的実施形態では、JavaScriptは、リダイレクトを使用しないが、(1502で)OS APIをコールして、スクリプトから直接、ローカルOP認証をトリガすることが可能である。例えば、ローカルOPアプリケーションがSIMカード上に常駐する場合、JavaScriptは、OS API(例えば、Simalliance OpenMobile API)を潜在的にコールして、スマートカード上でローカルOPアプリケーションと直接通信する。他の実施形態は、純粋なJavaScriptソリューションを使用しない。これらの実施形態では、ブラウザはプラグインを含み、それがJavaScriptによってコールされて、ローカルOP認証がトリガされる。このプラグインは、例えば、OSアプリケーション層および/または安全な要素上のローカルOPアプリケーションの間の通信のために、トランスポート層論理を提供する、あるOS APIを利用する。他の実施形態では、GITkit APIは、RPに、第1のコールの後、UEへのJavaアプレットのダウンロードを可能にするコードを提供する。Javaアプレットは、本明細書で説明されるように、ローカルOPを使用して認証を行う。実施形態は、クレデンシャルを(例えば、ブラウザにより記憶されたフォームデータ、クッキー、その他など、既存の技術を使用して)事前に埋め込んで、UEがローカルOPへのリダイレクトを受信することによってトリガされた認証プロセスの自動化を提供する。
1102で、ユーザは、ローカルOPにローカルで認証される。ローカルOPは、ネットワークにおけるOP(SF)との長期共有された秘密からOpenID署名秘密を導出し、アソシエーションハンドルを鍵導出関数への第2の入力として使用して、OpenIDのための署名鍵を作成する。ローカルOP/JavaScript/プラグインは、署名されたアサーションメッセージを作成し、ブラウザを、RPにおける以前に作成された「continueURL」にリダイレクトし、それは、「createAuthUrl」GITkitライブラリコールによって作成されている。RPは、(906で)署名されたアサーションメッセージを受信し、1510で、それを検証のためにGITkitライブラリに渡す。GITkit1500は、1512で、「verifyAssertion」APIを使用して、OP(SF)でアサーションメッセージを確認する。GITkitライブラリは、Googleによってホストされるので、GITkitライブラリは、署名検証のためにOPSFを使用する。OPSFは、アイデンティティ情報(電子メール、または、例えば、OpenIDの属性交換方法によって定義されるような他の属性など)を返す。そのアカウント/電子メールが既に存在する場合、ユーザがログインされる。そうでない場合、RPは、アサートされた電子メールアドレスを、ユーザのための変更不可能な識別子として使用して、新しいアカウントを作成する。追加の属性は、属性交換機構を用いて受信された情報に基づいて、自動で埋め込まれる。
追加の背景として、GITkitプロトコルフローの概要が、非特許文献5において見いだされる。通常のGITkitプロトコルフローは、次のように要約される。
ユーザは、RPウェブサイトを訪問し、自分のIdPのボタンをクリックする。RPは、GITkitサービスAPIへのコールを構築し、それは、次にディスカバリステップを行い、RPがユーザの戻りを待機するためにセットアップしなければならないコールバックURLを返し、GITkitは、IdPと認証するためにユーザに表示されるべきであるHTMLコードを返す。このHTMLコードは、IdPの認証URLへのリダイレクションを含む。このコードはまた、RPのための同じユーザインターフェースをも作成する。ユーザは、自分のIdPに対して認証する。ユーザは、RPにおけるコールバックURLにリダイレクトされる。RPは、コールバックURLで受信されたパラメータ(IdPレスポンス)を使用して、GITkit API(verifyAssertion)へのコールを行う。GITkit APIは、IdPレスポンスを検証し、結果(検証された電子メール+追加の属性)をRPへ送る。
GITkitは、RPが以下に示される2つのステップでコールする、少なくとも2つのAPIを提供することによって、OpenID/OAuthプロトコルを公開する。
1つのステップは、createAuthUrl APIコールを含む。このAPIコールは、ユーザがIDPアイコン(すなわち、Gmail、Yahooボタン)をクリックするか、または、例えば、電子メールアドレスを直接入力するとき、発生する。GITkitバックエンドは、例えば、OpenID 2.0プロトコルに従って、IDPディスカバリを行う。IDPが実際にOAuthプロトコルを使用する場合、GITkitは、事前定義されたIDPエンドポイントを直接使用する。最終結果は、GITkitが、IDPの認可エンドポイントを表すURI(パラメータ「authUri」)を返し、GITkitログインウィジェットが、そのエンドポイントにリダイレクトするログインウィンドウをポップアップすることである。(このステップは、通常のOpenIDプロトコルの第1のリダイレクトに対応し、そこで、ブラウザがOPにリダイレクトされる。ローカルOPと共に以前と同じ機構を使用することによって、ユーザのブラウザは、この段階で代わりにローカルOPへリダイレクトされる)。createAuthUrlをコールするとき、RPは、ユーザが対応するIDPによって認証が成功した後にリダイレクトされるURLである、「continueUrl」(すなわち、コールバックURL)を提出する。「レルム」は、OpenIDのレルムを識別する随意のパラメータであるが、「識別子」は、どのIDPを使用するべきかを指定する。
別のステップは、verifyAssertionを含む。IDPがユーザの認証に成功した後(これは、ローカルOPが使用される場合、ローカルで行われる、実際のユーザ認証を指す)、それは、ブラウザを、その秘密鍵を用いて署名されたユーザのアイデンティティ情報と共に、createAuthUrlの「continueUrl」パラメータにおいて指定されるURLにリダイレクトする。実施形態によれば、これは、処理されないバイナリブロブに類似しており、それは、確認のためにGITkitへ送り戻される。これは、OPからRPへのOpenIDにおける第2のリダイレクトである。これは、ローカルOPと共に使用される。コールバックURLのためのHTTPリクエストは、RPのバックエンドにおいてGITkitクライアントライブラリによって取り込まれ、クライアントライブラリは、「requestUri」(IDPが返すURI)および「postBody」(IDPによる署名されたブロブ)と共に、GITkitのverifyAssertionAPIをコールする。GITkitバックエンドは、OpenIDプロトコルを使用してIDPレスポンスを確認し、アイデンティティ情報(また、例えば、AXが使用される場合、そのアイデンティティに関連付けられた属性も)をRPのバックエンドに返す。このステップは、通常のOpenIDのアサーション署名検証に対応する。これは、例えば、OpenIDのステートレスモードに類似している。GITkitライブラリは、(例えば、ネットワークにおいて)OPに再び接触して、署名を検証し、追加の属性(例えば、電子メールアドレス)を要求する。RPは、「verifiedEmail」フィールドを検査し、それに応じてアクションを行う。例えば、その電子メールアドレスをもつアカウントが有効である場合、ユーザがログインされ、および/または、JavaScriptウィジェットがログインウィンドウを閉じ、および/または、ユーザのブラウザをRPのホームページにリダイレクトする。その電子メールについて発見されたアカウントがない場合、RPは、ユーザを、例えば、埋め込まれたアカウントについての他の属性と共に、事前に埋め込まれた編集不可能な電子メールフィールドをもつ、アカウント作成ページにリダイレクトする。
OAuthベースのIDP認証では、RPは、同じまたは類似のコールを使用し、GITkitから戻された同じまたは類似のレスポンスを得る。しかし、GITkitは、OAuthプロトコルをそのバックエンドにおいて使用して、IDPと通信し、例えば、アクセストークンとの交換など、正しい処理を行う。GITkit APIエンドポイントは、GITkit APIコールを求めるリクエストを受信し、ユーザを(通常は、API Keyを使用して)認証し、正しいパラメータと共にGITkitサーバをコールする。GITkitサーバは、対応するIDPに接触して、OpenID/OAuthコールを完了する。
本明細書で説明された例示的実施形態は、OpenIDのコンテキストにおいて実行され、上記で説明された技法は、リバティアライアンスなど、任意の数のシングルサインオンセキュリティプロトコルに適用される。さらに、様々な実施形態が様々な図に関連して説明されたが、他の同様の実施形態が使用され、または、説明された実施形態に、様々な実施形態の同じファンクションを行うために、それから逸脱することなく変更および追加が行われることが理解される。したがって、実施形態は、任意の単一の実施形態に限定されるべきではなく、むしろ、添付の特許請求の範囲による広さおよび範囲において解釈されるべきである。
その上、特徴および要素は、特定の組み合わせにおいて上記で説明され、各特徴または要素は、単体で、または他の特徴および要素との任意の組み合わせにおいて使用される。本明細書で説明されたシステム、方法およびプロセスのいずれかまたはすべては、コンピュータ可読記憶媒体上に記憶された、コンピュータ実行可能命令またはプロセッサ実行可能命令(すなわち、プログラムコード、ソフトウェアおよび/またはファームウェア)の形態で実施され、それらの命令は、プロセッサなどのマシンによって実行されるとき、本明細書で説明されたシステム、方法およびプロセスを行い、および/または実装することが理解される。詳細には、上記で説明されたステップ、動作またはファンクションのいずれかが、そのような実行可能命令の形態で実装される。コンピュータ可読記憶媒体は、情報の記憶のための任意の方法または技術において実装された、揮発性および不揮発性、取外し式および非取外し式媒体を両方とも含む。コンピュータ可読記憶媒体は、限定されないが、RAM、ROM、EEPROM、フラッシュメモリまたは他のメモリ技術、CDROM、デジタル多用途ディスク(DVD)または他の光ディスク記憶、磁気カセット、磁気テープ、磁気ディスク記憶または他の磁気記憶デバイス、または、所望の情報を記憶するために使用でき、コンピュータまたはプロセッサによってアクセスできる、任意の他の媒体を含む。

Claims (18)

  1. ユーザ機器(UE)であって、
    サービスプロバイダと通信して、サービスにアクセスするように構成されたユーザアプリケーションと、
    複数のネットワークアシスト型認証モジュールであって、各ネットワークアシスト型認証モジュールは異なるネットワークアシスト型認証プロトコルに対応し、および前記複数のネットワークアシスト型認証モジュールのうちの1または複数はサービスプロバイダとネットワークアシスト型認証を行って、前記サービスにアクセスするように構成された、複数のネットワークアシスト型認証モジュールと、
    当該UEのユーザをユーザアシスト型認証情報に基づいて認証するように、および、前記サービスプロバイダと前記ネットワークアシスト型認証を行うために前記複数のネットワークアシスト型認証モジュールのうちのネットワークアシスト型認証モジュールを選択するように構成された、シングルサインオン(SSO)サブシステムと
    を具え、前記SSOサブシステムは、前記ユーザアシスト型認証を行い、および前記ネットワークアシスト型認証モジュールを1または複数のポリシーに基づいて選択するようにさらに構成されたことを特徴とするユーザ機器(UE)。
  2. 前記ユーザアシスト型認証情報はユーザアイデンティティまたはユーザクレデンシャルのうちの少なくとも1つを具え、前記SSOサブシステムは前記ユーザアイデンティティを使用して前記ユーザアシスト型認証を行うように構成され、UEはUEアイデンティティを使用して前記ネットワークアシスト型認証を行うように構成されたことを特徴とする請求項1記載のUE。
  3. 前記ネットワークアシスト型認証ポリシーは、前記ユーザアシスト型認証に関連付けられたユーザアシスト型認証強度、または、前記ネットワークアシスト型認証に関連付けられたネットワークアシスト型認証強度のうちの少なくとも1つを示すことを特徴とする請求項1記載のUE。
  4. 前記ネットワークアシスト型認証は、前記サービスプロバイダへ、前記ユーザが認証されることを示すアサーションメッセージを送ることによって行われることを特徴とする請求項1記載のUE。
  5. 前記SSOサブシステムは、前記ユーザアシスト型認証から生じる少なくとも1つのパラメータを使用して、前記ネットワークアシスト型認証を行うようにさらに構成されたことを特徴とする請求項1記載のUE。
  6. 前記ユーザアシスト型認証から生じる前記少なくとも1つのパラメータは、ユーザアシスト型認証状況、ユーザアシスト型認証時間、またはユーザアシスト型認証強度を具えたことを特徴とする請求項5記載のUE。
  7. 前記SSOサブシステムは、前記ネットワークアシスト型認証のために使用されるべきアイデンティティプロバイダの選択を受信するようにさらに構成され、前記アイデンティティプロバイダは、前記複数のネットワークアシスト型認証モジュールのうちの認証モジュールに関連付けられたことを特徴とする請求項1記載のUE。
  8. 当該UEは複数のサービスプロバイダによって提供されたサービスをサポートするように構成され、各サービスプロバイダは異なるセットのポリシーに関連付けられたことを特徴とする請求項1記載のUE。
  9. 前記アプリケーションから前記複数のネットワークアシスト型認証モジュールへの前記通信を可能にするサプリカントをさらに具えたことを特徴とする請求項1記載のUE。
  10. 前記サプリカントは、前記SSOサブシステムに含まれることを特徴とする請求項9記載のUE。
  11. 前記サプリカントは、前記サービスプロバイダまたはアイデンティティプロバイダのうちの少なくとも1つからダウンロードされることを特徴とする請求項9記載のUE。
  12. 前記サプリカントは、前記ユーザアプリケーションが前記SSOサブシステムの1または複数の特徴を使用することを可能にするように構成されることを特徴とする請求項9記載のUE。
  13. 前記サプリカントは、前記サプリカントが前記ユーザアプリケーションおよび前記SSOサブシステムと通信することができるように、前記ユーザアプリケーションに対応することを特徴とする請求項9記載のUE。
  14. 複数のネットワークアシスト型認証モジュールを具えるユーザ機器(UE)であって、各ネットワークアシスト型認証モジュールは異なるネットワークアシスト型認証プロトコルに対応し、および前記複数のネットワークアシスト型認証モジュールのうちの1または複数はサービスプロバイダとネットワークアシスト型認証を行ってサービスにアクセスするように構成された、UEにおいて、
    当該UEのユーザをユーザアシスト型認証情報に基づいて認証するステップと、
    前記サービスプロバイダと前記ネットワークアシスト型認証を行うために前記複数のネットワークアシスト型認証モジュールのうちのネットワークアシスト型認証モジュールを選択するステップと、
    前記ユーザアシスト型認証を行い、前記ネットワークアシスト型認証モジュールを1または複数のポリシーに基づいて選択するステップと
    を具えたことを特徴とする方法。
  15. 前記UEによって、前記サービスプロバイダの1または複数のデータフィールドを検出するステップと、
    前記検出に応答して、前記1または複数のデータフィールドを対応する認証データを用いてポピュレートするステップと
    をさらに具えたことを特徴とする請求項14記載の方法。
  16. 前記ネットワークアシスト型認証を、前記ユーザアシスト型認証からの少なくとも1つのパラメータに基づいて行うステップ
    をさらに具えたことを特徴とする請求項14記載の方法。
  17. 前記ユーザアシスト型認証から生じる前記少なくとも1つのパラメータは、ユーザアシスト型認証状況、ユーザアシスト型認証時間、またはユーザアシスト型認証強度を具えたことを特徴とする請求項16記載の方法。
  18. 前記ユーザアシスト型認証に応答して、前記サービスプロバイダと前記ユーザを認証するためのサプリカントをダウンロードするステップをさらに具え、
    前記サプリカントは、前記UEのユーザアプリケーションにマッチすることを特徴とする請求項14記載の方法。
JP2014508128A 2011-04-28 2012-04-27 複数のsso技術のためのssoフレームワーク Pending JP2014519634A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201161480137P 2011-04-28 2011-04-28
US61/480,137 2011-04-28
US201161548156P 2011-10-17 2011-10-17
US61/548,156 2011-10-17
PCT/US2012/035540 WO2012149384A1 (en) 2011-04-28 2012-04-27 Sso framework for multiple sso technologies

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2017035410A Division JP2017112640A (ja) 2011-04-28 2017-02-27 複数のsso技術のためのssoフレームワーク

Publications (2)

Publication Number Publication Date
JP2014519634A true JP2014519634A (ja) 2014-08-14
JP2014519634A5 JP2014519634A5 (ja) 2015-07-09

Family

ID=46172891

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2014508128A Pending JP2014519634A (ja) 2011-04-28 2012-04-27 複数のsso技術のためのssoフレームワーク
JP2017035410A Ceased JP2017112640A (ja) 2011-04-28 2017-02-27 複数のsso技術のためのssoフレームワーク
JP2018113871A Ceased JP2018157604A (ja) 2011-04-28 2018-06-14 複数のsso技術のためのssoフレームワーク

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2017035410A Ceased JP2017112640A (ja) 2011-04-28 2017-02-27 複数のsso技術のためのssoフレームワーク
JP2018113871A Ceased JP2018157604A (ja) 2011-04-28 2018-06-14 複数のsso技術のためのssoフレームワーク

Country Status (7)

Country Link
US (1) US20130125226A1 (ja)
EP (3) EP2702745B1 (ja)
JP (3) JP2014519634A (ja)
KR (1) KR20140035918A (ja)
CN (2) CN107070843A (ja)
TW (2) TW201731274A (ja)
WO (1) WO2012149384A1 (ja)

Families Citing this family (91)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US8510820B2 (en) 2010-12-02 2013-08-13 Duo Security, Inc. System and method for embedded authentication
US9282085B2 (en) 2010-12-20 2016-03-08 Duo Security, Inc. System and method for digital user authentication
US8892885B2 (en) 2011-08-31 2014-11-18 Duo Security, Inc. System and method for delivering a challenge response in an authentication protocol
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9143937B2 (en) * 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US9965614B2 (en) * 2011-09-29 2018-05-08 Oracle International Corporation Mobile application, resource management advice
US8763077B2 (en) 2011-10-07 2014-06-24 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
US8943202B2 (en) * 2012-01-12 2015-01-27 Cisco Technology, Inc. Network resource access using social networks
US9781085B2 (en) * 2012-02-14 2017-10-03 Nokia Technologies Oy Device to device security using NAF key
EP2847976A1 (en) * 2012-05-08 2015-03-18 Nokia Solutions and Networks Oy Method and apparatus
US8745718B1 (en) 2012-08-20 2014-06-03 Jericho Systems Corporation Delivery of authentication information to a RESTful service using token validation scheme
US10567376B2 (en) * 2012-08-24 2020-02-18 Sensible Vision, Inc. System and method for providing secure access to an electronic device using multifactor authentication
US9838370B2 (en) * 2012-09-07 2017-12-05 Oracle International Corporation Business attribute driven sizing algorithms
US9444800B1 (en) * 2012-11-20 2016-09-13 Amazon Technologies, Inc. Virtual communication endpoint services
US20150319156A1 (en) * 2012-12-12 2015-11-05 Interdigital Patent Holdings Inc. Independent identity management systems
US20140189799A1 (en) * 2012-12-28 2014-07-03 Gemalto Sa Multi-factor authorization for authorizing a third-party application to use a resource
US8893230B2 (en) * 2013-02-22 2014-11-18 Duo Security, Inc. System and method for proxying federated authentication protocols
US9443073B2 (en) 2013-08-08 2016-09-13 Duo Security, Inc. System and method for verifying status of an authentication device
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US9015328B2 (en) 2013-03-07 2015-04-21 Fiserv, Inc. Single sign-on processing for associated mobile applications
US9641498B2 (en) * 2013-03-07 2017-05-02 Fiserv, Inc. Single sign-on processing for associated mobile applications
NL1040084C2 (en) * 2013-03-08 2014-09-10 Authasas B V Emulation of federative authentication.
JP2016519367A (ja) * 2013-03-27 2016-06-30 インターデイジタル パテント ホールディングス インコーポレイテッド 複数のエンティティにまたがるシームレスな認証
JP5662507B2 (ja) * 2013-03-28 2015-01-28 株式会社 ディー・エヌ・エー 認証方法、認証システム、および、サービス提供サーバ
EP2989770A1 (en) * 2013-04-26 2016-03-02 Interdigital Patent Holdings, Inc. Multi-factor authentication to achieve required authentication assurance level
US9197408B2 (en) 2013-05-10 2015-11-24 Sap Se Systems and methods for providing a secure data exchange
CN105308605B (zh) * 2013-05-24 2018-09-25 迈克菲公司 对通过第三方的任意应用的安全自动授权访问
EP3014837B1 (en) * 2013-06-24 2019-08-07 Telefonica Digital España, S.L.U. A computer implemented method to improve security in authentication/authorization systems and computer program products thereof
CN103324883B (zh) * 2013-06-24 2015-07-29 腾讯科技(深圳)有限公司 一种多媒体播放终端的认证方法、终端、服务器以及系统
US9053310B2 (en) 2013-08-08 2015-06-09 Duo Security, Inc. System and method for verifying status of an authentication device through a biometric profile
US9608814B2 (en) 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
US9106642B1 (en) * 2013-09-11 2015-08-11 Amazon Technologies, Inc. Synchronizing authentication sessions between applications
US10225244B2 (en) 2013-09-20 2019-03-05 Oracle International Corporation Web-based interface integration for single sign-on
US9774448B2 (en) 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
CN104767721B (zh) * 2014-01-08 2019-03-15 阿尔卡特朗讯公司 向第三方用户提供核心网络服务的方法和网络单元
US9660974B2 (en) 2014-02-18 2017-05-23 Secureauth Corporation Fingerprint based authentication for single sign on
WO2015130700A1 (en) * 2014-02-26 2015-09-03 Secureauth Corporation Security object creation, validation, and assertion for single sign on authentication
US9762590B2 (en) 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
AU2015256293B2 (en) * 2014-05-06 2017-05-04 Okta, Inc. Facilitating single sign-on to software applications
CN105227519B (zh) * 2014-06-04 2019-11-26 广州市动景计算机科技有限公司 一种安全访问网页的方法、客户端和服务器
US9769167B2 (en) * 2014-06-18 2017-09-19 Ca, Inc. Authentication and authorization using device-based validation
US10298623B2 (en) * 2014-06-20 2019-05-21 T-Mobile Usa, Inc. Seamless web real-time communication support on mobile appliances
SE538485C2 (en) * 2014-08-08 2016-08-02 Identitrade Ab Method and system for authenticating a user
WO2016076913A1 (en) * 2014-11-13 2016-05-19 Mcafee, Inc. Conditional login promotion
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
AU2016210974A1 (en) * 2015-01-30 2017-07-27 Calgary Scientific Inc. Highly scalable, fault tolerant remote access architecture and method of connecting thereto
KR102426417B1 (ko) 2015-02-17 2022-08-01 삼성전자주식회사 인증 처리 방법 및 이를 지원하는 전자 장치
US9386006B1 (en) * 2015-03-02 2016-07-05 Citrix Systems, Inc. Authentication mechanism for domain redirection of a representational state transfer (REST)-compliant client
US9734682B2 (en) 2015-03-02 2017-08-15 Enovate Medical, Llc Asset management using an asset tag device
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
US20160301691A1 (en) * 2015-04-10 2016-10-13 Enovate Medical, Llc Layering in user authentication
WO2016195847A1 (en) 2015-06-01 2016-12-08 Duo Security, Inc. Method for enforcing endpoint health standards
US10944738B2 (en) 2015-06-15 2021-03-09 Airwatch, Llc. Single sign-on for managed mobile devices using kerberos
US11057364B2 (en) 2015-06-15 2021-07-06 Airwatch Llc Single sign-on for managed mobile devices
US10812464B2 (en) 2015-06-15 2020-10-20 Airwatch Llc Single sign-on for managed mobile devices
US10171447B2 (en) * 2015-06-15 2019-01-01 Airwatch Llc Single sign-on for unmanaged mobile devices
US10382426B2 (en) * 2015-07-02 2019-08-13 Adobe Inc. Authentication context transfer for accessing computing resources via single sign-on with single use access tokens
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
SE1551176A1 (en) * 2015-09-14 2017-03-15 Identitrade Ab Method and system for authenticating a user
US10523660B1 (en) 2016-05-13 2019-12-31 MobileIron, Inc. Asserting a mobile identity to users and devices in an enterprise authentication system
US10673838B2 (en) * 2016-05-13 2020-06-02 MobileIron, Inc. Unified VPN and identity based authentication to cloud-based services
CN107579948B (zh) * 2016-07-05 2022-05-10 华为技术有限公司 一种网络安全的管理系统、方法及装置
EP4164271A1 (en) * 2016-08-10 2023-04-12 InterDigital Patent Holdings, Inc. Method and apparatus for power efficient d2d communications for wearable and iot devices
US10320771B2 (en) * 2016-11-30 2019-06-11 Airwatch Llc Single sign-on framework for browser-based applications and native applications
US20180167383A1 (en) * 2016-12-12 2018-06-14 Qualcomm Incorporated Integration of password-less authentication systems with legacy identity federation
CN106878260B (zh) * 2016-12-14 2020-04-03 新华三技术有限公司 单点登录实现方法及装置
US20180317086A1 (en) 2017-01-27 2018-11-01 Telefonaktiebolaget Lm Ericsson (Publ) Secondary Authentication of a User Equipment
US10470040B2 (en) 2017-08-27 2019-11-05 Okta, Inc. Secure single sign-on to software applications
US10635792B2 (en) * 2017-08-31 2020-04-28 Sybase 365, Inc. Multi-factor authentication with URL validation
US11614952B2 (en) * 2017-09-13 2023-03-28 Imageteq Technologies, Inc. Systems and methods for providing modular applications with dynamically generated user experience and automatic authentication
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US11367323B1 (en) 2018-01-16 2022-06-21 Secureauth Corporation System and method for secure pair and unpair processing using a dynamic level of assurance (LOA) score
US11303627B2 (en) 2018-05-31 2022-04-12 Oracle International Corporation Single Sign-On enabled OAuth token
CN109120597B (zh) * 2018-07-18 2020-09-01 阿里巴巴集团控股有限公司 身份校验、登录方法、装置及计算机设备
US11379263B2 (en) * 2018-08-13 2022-07-05 Ares Technologies, Inc. Systems, devices, and methods for selecting a distributed framework
US10917840B2 (en) * 2018-09-13 2021-02-09 International Business Machines Corporation Selecting a communication service provider according to constraint criteria
CN109359252B (zh) * 2018-10-30 2021-11-30 北京小米移动软件有限公司 浏览器选择方法及装置
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
CN109547460B (zh) * 2018-12-12 2020-12-04 重庆邮电大学 面向身份联盟的多粒度联合身份认证方法
US11323431B2 (en) 2019-01-31 2022-05-03 Citrix Systems, Inc. Secure sign-on using personal authentication tag
CN111431844B (zh) * 2019-04-23 2023-04-18 杭州海康威视数字技术股份有限公司 一种权限认证方法及装置
US11290453B2 (en) 2019-07-12 2022-03-29 Bank Of America Corporation Split-tiered point-to-point inline authentication architecture
US11096059B1 (en) 2019-08-04 2021-08-17 Acceptto Corporation System and method for secure touchless authentication of user paired device, behavior and identity
US10951606B1 (en) * 2019-12-04 2021-03-16 Acceptto Corporation Continuous authentication through orchestration and risk calculation post-authorization system and method
US11463428B2 (en) * 2020-03-30 2022-10-04 Konica Minolta Business Solutions U.S.A., Inc. Method and system of piggybacking user registration with mirrored identities to achieve federation without on-premises identities
US11329998B1 (en) 2020-08-31 2022-05-10 Secureauth Corporation Identification (ID) proofing and risk engine integration system and method

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10304333A (ja) * 1997-02-28 1998-11-13 Matsushita Electric Ind Co Ltd デジタル著作物の著作権保護のための暗号技術利用プロトコルを複数から選択して使用する情報機器
JP2004054893A (ja) * 2002-05-29 2004-02-19 Canon Inc 画像形成装置の制御方法
JP2004287492A (ja) * 2003-03-19 2004-10-14 Ricoh Co Ltd 通信装置
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
JP2006031522A (ja) * 2004-07-20 2006-02-02 Dainippon Printing Co Ltd コンテンツ中継配信サーバ、コンテンツ中継配信コンピュータプログラム
JP2008009607A (ja) * 2006-06-28 2008-01-17 Fuji Xerox Co Ltd 情報処理システムおよび制御プログラム
US20080196090A1 (en) * 2007-02-09 2008-08-14 Microsoft Corporation Dynamic update of authentication information
JP2009199234A (ja) * 2008-02-20 2009-09-03 Ricoh Co Ltd 認証制御装置、認証制御方法及びプログラム
JP2010502109A (ja) * 2006-08-22 2010-01-21 インターデイジタル テクノロジー コーポレーション アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置
US8627493B1 (en) * 2008-01-08 2014-01-07 Juniper Networks, Inc. Single sign-on for network applications

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5655077A (en) * 1994-12-13 1997-08-05 Microsoft Corporation Method and system for authenticating access to heterogeneous computing services
US6219790B1 (en) * 1998-06-19 2001-04-17 Lucent Technologies Inc. Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types
US6687823B1 (en) * 1999-05-05 2004-02-03 Sun Microsystems, Inc. Cryptographic authorization with prioritized and weighted authentication
US7322040B1 (en) * 2001-03-27 2008-01-22 Microsoft Corporation Authentication architecture
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
US7296235B2 (en) * 2002-10-10 2007-11-13 Sun Microsystems, Inc. Plugin architecture for extending polices
US8108920B2 (en) * 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access
CN100437551C (zh) * 2003-10-28 2008-11-26 联想(新加坡)私人有限公司 使多个用户设备自动登录的方法和设备
US20050096048A1 (en) * 2003-10-30 2005-05-05 Cellco Partnership Optimized network employing seamless and single sign on capabilities for users accessing data applications on different networks
CN101032142B (zh) * 2003-12-29 2011-05-18 艾利森电话股份有限公司 通过接入网单一登录访问服务网络的装置和方法
US20080072301A1 (en) * 2004-07-09 2008-03-20 Matsushita Electric Industrial Co., Ltd. System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces
US7966489B2 (en) * 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
JP2008077217A (ja) * 2006-09-19 2008-04-03 Toshiba Corp 通信システムとその通信方法
US8613058B2 (en) * 2007-05-31 2013-12-17 At&T Intellectual Property I, L.P. Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network
US8650616B2 (en) * 2007-12-18 2014-02-11 Oracle International Corporation User definable policy for graduated authentication based on the partial orderings of principals
US20100043065A1 (en) * 2008-08-12 2010-02-18 International Business Machines Corporation Single sign-on for web applications
US8370509B2 (en) * 2009-04-09 2013-02-05 Alcatel Lucent Identity management services provided by network operator
US20110055573A1 (en) * 2009-09-03 2011-03-03 International Business Machines Corporation Supporting flexible use of smart cards with web applications
TWI514896B (zh) * 2010-02-09 2015-12-21 Interdigital Patent Holdings 可信賴聯合身份方法及裝置
US8474017B2 (en) * 2010-07-23 2013-06-25 Verizon Patent And Licensing Inc. Identity management and single sign-on in a heterogeneous composite service scenario

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10304333A (ja) * 1997-02-28 1998-11-13 Matsushita Electric Ind Co Ltd デジタル著作物の著作権保護のための暗号技術利用プロトコルを複数から選択して使用する情報機器
JP2004054893A (ja) * 2002-05-29 2004-02-19 Canon Inc 画像形成装置の制御方法
JP2004287492A (ja) * 2003-03-19 2004-10-14 Ricoh Co Ltd 通信装置
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
JP2006031522A (ja) * 2004-07-20 2006-02-02 Dainippon Printing Co Ltd コンテンツ中継配信サーバ、コンテンツ中継配信コンピュータプログラム
JP2008009607A (ja) * 2006-06-28 2008-01-17 Fuji Xerox Co Ltd 情報処理システムおよび制御プログラム
JP2010502109A (ja) * 2006-08-22 2010-01-21 インターデイジタル テクノロジー コーポレーション アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置
US20080196090A1 (en) * 2007-02-09 2008-08-14 Microsoft Corporation Dynamic update of authentication information
US8627493B1 (en) * 2008-01-08 2014-01-07 Juniper Networks, Inc. Single sign-on for network applications
JP2009199234A (ja) * 2008-02-20 2009-09-03 Ricoh Co Ltd 認証制御装置、認証制御方法及びプログラム

Also Published As

Publication number Publication date
CN103503407A (zh) 2014-01-08
EP2702745A1 (en) 2014-03-05
JP2017112640A (ja) 2017-06-22
EP2913976A1 (en) 2015-09-02
CN103503407B (zh) 2016-10-12
CN107070843A (zh) 2017-08-18
EP2913976B1 (en) 2017-08-09
US20130125226A1 (en) 2013-05-16
EP2702745B1 (en) 2015-04-08
EP3297246A1 (en) 2018-03-21
TW201306539A (zh) 2013-02-01
WO2012149384A1 (en) 2012-11-01
TWI589141B (zh) 2017-06-21
KR20140035918A (ko) 2014-03-24
JP2018157604A (ja) 2018-10-04
TW201731274A (zh) 2017-09-01

Similar Documents

Publication Publication Date Title
JP2018157604A (ja) 複数のsso技術のためのssoフレームワーク
US9185560B2 (en) Identity management on a wireless device
US8533803B2 (en) Method and apparatus for trusted federated identity
US10044713B2 (en) OpenID/local openID security
US8850545B2 (en) Systems and methods for securing network communications
US20170374070A1 (en) Scalable policy based execution of multi-factor authentication
US20160087957A1 (en) Multi-factor authentication to achieve required authentication assurance level
US20150319156A1 (en) Independent identity management systems
US20150067813A1 (en) Method and Apparatus for Trusted Federated Identity Management and Data Access Authorization
WO2014011997A1 (en) Methods and systems for authenticating a user of a wireless unit
CN111970116A (zh) 具有远程认证的虚拟递送设备和系统以及相关方法
TW201225697A (en) Identity management on a wireless device

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150427

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150427

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150519

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160520

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160531

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160830

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20161025