TW201515484A - 多實體間無縫驗證 - Google Patents
多實體間無縫驗證 Download PDFInfo
- Publication number
- TW201515484A TW201515484A TW103111465A TW103111465A TW201515484A TW 201515484 A TW201515484 A TW 201515484A TW 103111465 A TW103111465 A TW 103111465A TW 103111465 A TW103111465 A TW 103111465A TW 201515484 A TW201515484 A TW 201515484A
- Authority
- TW
- Taiwan
- Prior art keywords
- verification
- mfap
- factor
- agent
- ticket
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Abstract
用戶可由身份提供商(IdP)和驗證代理(AA)驗證,並產生結果。例如權證的驗證證據可被提供給SP。UE可用另一IdP和另一驗證代理驗證,並產生關聯結果。例如另一權證的驗證證據可被提供給SP。驗證代理中的一者或者多者可駐留在該UE外的驗證實體上。多因素驗證代理(MFAP)可觸發驗證代理以運行驗證協定,並且MFAP可提供權證至UE的用戶端代理。用戶可通過利用驗證在同一UE上的用戶端代理間或者在不同UE上的用戶端代理間無縫地轉移。
Description
相關申請的交叉引用
本申請要求2013年03月27日遞交的美國臨時專利申請序號為No.61/805,851的權益,該美國臨時專利申請的揭露以整體引用的方式結合於此。
許多網際網路服務(例如,銀行業務、多媒體、遊戲等)在該服務被存取前,需要裝置用戶的驗證。例如,企業和“過頂(over-the-top)”應用服務提供者可斷言(assert)用戶的身份以使用戶被授權。服務提供者(SP)常常要求用戶生成截然不同的註冊設定檔以存取由每個服務提供者(SP)提供的服務。因此,用戶常具有很多密碼和用戶名以存取各種服務,這給用戶造成很大負擔。
雙因素驗證可用以加強用戶驗證。示例雙因素驗證是基於作為第一驗證因素的用戶身份(ID)和密碼,以及作為第二驗證因素的基於硬體/軟體的權杖(token)。用戶ID和密碼驗證用戶的存在,而權杖確定用戶對該權杖功能駐留所在裝置的擁有。多因素驗證指使用多於一個因素的任意驗證。示例驗證因素包括用戶身份和對應的密碼、權杖和用戶的生物計量/行為方面。
當前用於多因素驗證的方法沒有利用多裝置的能力。此處描述的不同實施方式利用用戶的用戶設備(UE)以外還一個或者多個裝置的能力作為驗證代理以達到期望的多因素驗證等級。
此處描述了用於驗證用戶和/或用戶設備(UE)的系統、方法和裝置的實施方式。作為示例,用戶設備(UE)能包括多因素驗證代理(MFAP),該MFAP進行操作以確定為存取由服務提供者(SP)提供的服務需要多個驗證因素以對UE的用戶進行驗證。MFAP能識別在與UE不同的裝置上的驗證代理(AA),以使用所需的驗證因素中的一者執行驗證。進一步地,MFAP能建立至該不同裝置的本地鏈路,該不同裝置是不同於UE的裝置。MFAP能觸發驗證代理(AA)以執行驗證。因此,MFAP能經由本地鏈路接收表示AA的成功驗證的斷言。MFAP還可操作以識別UE上的一個或者多個附加驗證代理,以使用所需的驗證因素中的至少另一個因素執行驗證。可替換地,MFAP可操作以識別UE的第二不同裝置上的一個或者多個附加驗證代理,以使用所需的驗證因素中的至少另一個因素執行驗證。
在一個示例實施方式中,操作UE的用戶請求存取受服務提供者(SP)控制的服務。用戶可被身份提供商(IdP)通過驗證代理(AA)的手段驗證,並產生結果。例如權證(ticket)的驗證證據可被提供給SP。該權證可以是隨機值或者其可以是與執行驗證的會話(session)捆綁的加密獲取值(cryptographically derived value)。UE可使用另一驗證代理與另一IdP進行驗證,以產生另一結果。例如另一權證的驗證證據可被提供給SP。驗證代理中的一者或者多者可駐留在UE之外的一實體。多因素驗證代理(MFAP)可觸發驗證代理以運行驗證協定,並且MFAP可向第一用戶端代理(例如用戶的應用或者瀏覽器)提供權證。MFAP也可提供另一用戶端代理的驗證,該另一用戶端代理被同一用戶使用並且駐留在分離的UE或者與第一用戶端代理相同的UE上。例如,另一用戶端代理可被用以利用已發生的具有有效新鮮度等級的驗證。因此,多實體的無縫驗證可被MFAP賦能。例如,該多實體可以為駐留在同一UE上的多個用戶端代理(例如,瀏覽器,應用)或者駐留在不同UE上的多個用戶端代理。因此,舉例來說,實體可指駐留在UE上的應用或者UE自身。
根據另一示例實施方式,驗證系統包括第一用戶設備(UE)、服務提供者(SP)和多因素驗證代理(MFAP)。MFAP根據SP的策略確定需要多因素驗證以使第一UE的用戶存取由SP所提供的服務。MFAP識別第一驗證代理以執行第一因素驗證,並且觸發該第一因素驗證,該第一因素驗證產生可被發送至MFAP的第一權證。類似地,MFAP識別第二驗證代理以執行第二因素驗證,並且觸發該第二因素驗證,該第二因素驗證產生可被發送至MFAP的第二權證。第二驗證代理可駐留在不同於第一驗證代理所駐留的不同裝置上。MFAP發送第一和第二權證至第一UE的第一用戶端代理(例如瀏覽器),從而使得第一UE能夠存取由SP提供的服務。根據一種實施方式,MFAP駐留在第一UE上。可替換地,MFAP可駐留在第二UE上,並且MFAP可經由本地鏈路(例如,藍芽)或者遠端鏈路與第一UE的第一用戶端代理通信。驗證代理中的至少一個可駐留在第一UE上。可替換地,第一和第二驗證代理中的至少一者可駐留在不同於第一UE的第二UE上。根據另一實施方式,如果用戶使用第一用戶端代理並且想要切換為使用第二用戶端代理,則MFAP使驗證變得容易,由此使用第二用戶端代理的用戶可通過MFAP的手段以代理方法或者通過IdP的手段使用單因素或者多因素被無縫地驗證(例如,利用使用第一用戶端代理執行的驗證)。第一用戶端代理和第二用戶端代理可駐留在相同的UE上或者它們可駐留在不同的UE上。
在示例實施方式中,SP的策略包括多因素驗證所需的保證等級,並且第一和第二驗證代理可被用以獲取多因素驗證所需的保證等級。驗證的保證等級可被組合以形成聚合(aggregated)驗證保證等級。可以理解的是,任意數量的驗證代理可根據需要被使用,如此以使任意數量的驗證因素可根據需要被完成。每一個驗證代理可與對應的身份提供商關聯。例如,第一驗證代理可生成第一權證,並且其關聯IdP可生成與該第一權證相比的權證。如果這兩個權證匹配,對應於第一驗證代理的驗證因素成功。在可替換的示例實施方式中,IdP可生成權證,該權證可由IdP發送至關聯的驗證代理,並且該權證可被驗證代理出示給用戶端代理,以獲取對服務的存取。如果用戶端代理為了獲取服務所出示的權證與該IdP提供給主IdP的權證相匹配,則驗證成功。
AA、110a、110b、110c、110d、310a、310b、410a、410b、410c、510a、510b‧‧‧驗證代理
B-TID‧‧‧自舉身份
CA、104、108、304、405、504‧‧‧用戶端代理
GBA‧‧‧通用自舉架構
Idp、309a、309b、409a、409b、409c、509a、509b‧‧‧身份提供商
ID‧‧‧識別符
Nnonce‧‧‧臨時用法
SIM‧‧‧訂戶身份模組
SP、306、506‧‧‧存取服務提供者
MFAP、112‧‧‧多因素驗證代理
NAF‧‧‧網路應用功能
OID‧‧‧OpenID
OP‧‧‧身份提供商
S1、X2‧‧‧介面
UE、102、106、404‧‧‧用戶設備
50‧‧‧通信系統
52、52a、52b、52c、52d‧‧‧無線發射/接收單元(WTRU)
54‧‧‧無線電存取網路(RAN)
56‧‧‧核心網路
58‧‧‧公共交換電話網路(PSTN)
60‧‧‧網際網路
62‧‧‧其他網路
64a、64b‧‧‧基地台
66‧‧‧空中介面
68‧‧‧處理器
70‧‧‧收發器
72‧‧‧發射/接收元件
74‧‧‧揚聲器/麥克風
76‧‧‧數字鍵盤
78‧‧‧顯示器/觸控板
80‧‧‧不可移除記憶體
82‧‧‧可移除記憶體
84‧‧‧電源
86‧‧‧全球定位系統(GPS)晶片組
88‧‧‧週邊設備
90a、90b、90c‧‧‧節點B
92‧‧‧無線電網路控制器(RNC)
94‧‧‧媒體閘道(MGW)
96‧‧‧移動交換中心(MSC)
100、300、500a‧‧‧驗證系統
114‧‧‧本地鏈路
118‧‧‧內部鏈路
308、508‧‧‧主IdP
400a、400b、400c‧‧‧OID-GBA系統
406‧‧‧過頂(OTT)SP
411‧‧‧自舉伺服器功能(BSF)
從以下以示例方式結合附圖給出的描述可以獲得更詳細的理解,其中:
第1圖是根據一個示例實施方式的具有多個驗證實體的示例驗證系統的方框系統圖;
第2圖是示出從驗證因素至驗證保證等級的映射的示例的表格;
第3圖是根據一種實施方式的使用多個驗證實體的多因素驗證的流程圖;
第4A圖是根據一個示例實施方式的使用OpenID(OID)-通用自舉架構(GBA)(OID-GBA)的三因素驗證的流程圖;
第4B圖是根據一種實施方式的基於OID-GBA的雙因素驗證的流程圖;
第4C圖是根據另一種實施方式的基於OID-GBA的雙因素驗證的另一流程圖,其中瀏覽器和UE是分離的;
第4D圖是根據一個示例實施方式的在用戶驗證期間生成權證所在三因素驗證通過GBA過程迴圈(looped)的流程圖;
第4E圖是具有附加細節描述的在第4D圖中示出的三因素驗證的流程圖;
第4F圖是第4E圖中繪出的呼叫流的壓縮版本;
第5A圖是根據一個示例實施方式的新鮮的(fresh)驗證結果被斷言的所在多因素驗證的流程圖;
第5B圖是根據一個示例實施方式的多個新鮮的驗證結果被斷言的多因素驗證的流程圖;
第6A圖是可以實施一個或多個揭露的實施方式的示例通信系統的系統圖;
第6B圖是可以在第6A圖所示的通信系統中使用的示例無線發射/接收單元(WTRU)的系統圖;以及
第6C圖是可以在第6A圖所示的通信系統中使用的示例無線電存取網路和示例核心網路的系統圖。
隨後的細節描述是用於示出示例實施方式,而不用於限制本發明的範圍、適用性或者配置。可不背離本發明的實質和範圍,在步驟和元素的排列和功能方面進行各種更改。
如上所述,當前的多因素驗證方法未利用多個裝置的能力。特別地,當前方法未使用多個裝置以在該多個裝置中的每一者間進行無縫切換時實現強壯的多因素驗證。此處描述的各種實施方式利用用戶的用戶設備(UE)以外的還一個或者多個裝置的能力作為驗證代理以實現期望的多因素驗證等級。在一個示例實施方式中,例如,如多個裝置的多個驗證實體被用以提供強壯的多因素驗證。進一步地,多個裝置可互相之間無縫地通信以提供多個驗證因素。如下面所述,根據各種實施方式,多因素驗證可在分離終端(split-terminal)場景中實施。分離終端場景,也能被稱為分離場景,可指在其中UE被分成多於一個用於UE驗證的部分的任意場景。在作為示例出示的一個分離終端場景中,通過使用給定的UE的UICC和位置與給定的UE分離(例如,位於不同裝置上)的瀏覽器,給定的UE被驗證。分離終端場景也可指多因素驗證代理(MFAP)使用其他本地驗證裝置的服務的場景,該其他本地驗證裝置使用如usb連接、WiFi、紅外線、藍芽/NFC等本地鏈路與該MFAP配對。示例本地驗證裝置包括但不限於智慧手錶、谷歌眼鏡、或者其他可穿戴計算裝置、獨立生物計量或者行為感測器等。在一個示例實施方式中,多因素驗證基於OpenID(OID)通用自舉架構(GBA)(OID-GBA)。多因素驗證的結果可被組合並且被遞送至服務提供者(SP),例如,使得用戶/用戶設備(UE)能接收對SP提供的服務的存取。在一個示例實施方式中,通過使用多個驗證因素的結果來創建驗證綁定。如下所述,可使用例如OpenID/GBA構架的GBA構架執行多因素驗證。
為存取服務,用戶可能必須要滿足提供服務的SP的驗證需求。驗證需求可基於不同服務的驗證策略。例如,SP的策略可要求在該SP提供的服務被存取之前驗證滿足預定的保證等級,該預定的保證等級也可稱為驗證強度。因此,參考第2圖,保證等級可指示驗證的強度,並且高保證等級可要求驗證的多個因素。在一個示例實施方式中,保證等級指用戶被驗證的保證的等級。保證等級可基於被使用的驗證協定、用於驗證的因素數量、驗證因素的類型(例如,生物計量、裝置、用戶)、驗證的新鮮度、補充條件或者其任意適當組合。保證等級可由外部權威定義。在一個示例實施方式中,期望的保證等級可由不同的外部機關(例如包括如國家標準與技術研究所(NIST)、第三代合作夥伴計畫(3GPP)、全球資訊網聯盟(W3C)等的標準體)指定。例如,外部機構可指定基於不同標準(例如,如應用自身的安全需求,主導所請求的服務的公司的安全性原則等)的保證等級。經過進一步的示例,為了SP向用戶提供所請求的服務,該SP可指定其需要的保證等級。
繼續參考第2圖,SP可在允許存取服務前要求驗證新鮮度等級被滿足。對應於驗證的驗證新鮮度等級可指示執行驗證的時段。如所出示的不用於限制的新鮮度等級的示例,SP可要求驗證在最後30秒內被執行。在一些情況中,為了遵守SP的驗證策略,多因素驗證可能必須被接納。根據此處描述的不同實施方式,例如,基於SP的不同策略,多個驗證代理可被用以驗證用戶或者UE。
第1圖示出了根據一個示例實施方式的示例驗證系統100。參考第1圖,根據所示的實施方式,驗證系統100包括第一用戶設備102,第一用戶設備102包括第一用戶端代理104。術語用戶端代理通常指駐留在UE上的用戶端應用或者瀏覽器。根據所示的實施方式,第一用戶端代理(CA)104指駐留在第一UE 102上的用戶端應用或者瀏覽器。可以理解的是,術語用戶設備(UE)可指包括如以下進一步所描述的任意合適的無線發射/接收單元(WTRU)的裝置。例如,WTRU可指固定或者移動用戶單元、傳呼機、行動電話、個人數位助理(PDA)、智慧型電話、可攜式電腦、平板電腦、個人電腦、無線感測器、消費性電子產品等。如此處所使用的,除非另有規定,發起服務的UE可被稱為主UE,在主UE發起會話後繼續該會話的UE可被稱為次UE。例如,參考第1圖,UE 102可發起存取服務,並且例如第二UE 106的另一UE在UE 102發起對該服務的存取後繼續存取該服務。因此,第一UE 102可被稱為主UE,並且第二UE 106可被稱為次UE。雖然第1圖中繪出了兩個UE,但可以理解的是,根據如此處所述的不同實施方式,任意數量的UE可根據需要被用於存取服務。
CA可駐留在主UE和次UE中的至少一者上,例如,駐留在兩者上。參考第1圖,第一CA 104駐留在第一UE 102並且第二CA 108駐留在第二UE 106。用戶可具有例如智慧型電話、平板電腦、可攜式電腦或者桌上型電腦的多個UE,並且CA可駐留在這些UE中的至少一者上。因此,根據所示的實施方式,用戶可在例如為智慧型電話的第一UE 102(主UE)上啟動應用或者服務,並且然後用戶可使用駐留在第二UE 106上的第二CA 108繼續無縫地在第二UE 106(例如,為平板電腦)上使用相同的應用或者服務。例如,第一UE 102的用戶可通過利用第一CA 104的驗證轉移(transition)至第二CA 108。雖然第二CA 108被示出駐留在第二UE 106上,但可以理解的是,第二CA 108可以可替換地駐留在第一UE 102上。
繼續參考第1圖,驗證系統100可包括一個或者多個驗證代理(AA)110(例如,第一驗證代理(AA)110a、第二AA 110b、第三AA 110c和第四AA 110d)。雖然示出了四個驗證代理,但可以理解的是根據需要任意數量的驗證代理可被包括在驗證系統中。驗證代理110可包括給第一UE 102(通常也能被稱為用戶端)提供驗證功能的硬體和/或軟體。在一些情況下,驗證代理可在UE上被實施(例如,由第一UE 102實施的第四AA 110d)。因此,驗證代理中的至少一者能為UE 102的至少部分。進一步地,驗證代理中的至少一者能駐留在第二UE 106上。可替換地,驗證代理可作為獨立的驗證裝置或者用戶端功能被實施。根據示出的示例實施方式,第一AA 110a由例如駐留在移動裝置(例如,電話)上的用戶身份模組(SIM)、軟體SIM、或者通用積體電路卡(UICC)的身份模組來實施。第二AA 110b可由電子金鑰記憶體(key fob)實施。第三AA 110c可由獨立生物計量用戶端實施。示例獨立生物計量用戶端包括指紋讀取器、測量脈搏或者以其他方式驗證人活著的智慧手錶、識別耳垂的耳機、能夠用於虹膜掃描或者其他面部識別或者眼睛驗證的眼鏡、包括生物計量感測器的其他可穿戴裝置等。可以理解的是所示驗證代理是為了示例的目的出示的,並且各種可替換驗證代理可被用在此處的各種實施方式中。例如,AA可包括儲存用戶或者UE的憑證的應用。如下面的進一步描述,根據所示的實施方式,驗證代理110可參與第一UE 102和/或第一UE 102的用戶的驗證。第一CA 104和驗證代理AA 110可經由例如內部通信、本地鏈路(例如,藍芽)或者遠端的不同方式互相通信。本地鏈路可指通過WiFi、紅外線等的通信。MFAP 112可使用本地鏈路與給定的AA通信。遠端鏈路可指兩個裝置間的通信,其中該鏈路是經由MFAP 112的鏈路。如此處所使用的,內部通信指發生在單個裝置內的通信。
仍然參考第1圖,根據所示的實施方式,多因素驗證代理(MFAP)112駐留在第一UE 102上。MFAP 112可位於例如第一UE 102的用戶設備上。MFAP 112可提供在分離終端或者多裝置場景中賦能多因素驗證和斷言的機制。根據示例實施方式,MFAP 112可被配置為確定所請求的保證等級。MFAP 112還可被配置為將保證等級請求轉換為驗證因素。例如,轉換後的驗證因素的每一個可具有分別與其關聯的驗證強度。因此,MFAP可將保證等級請求轉換為實現所請求的保證等級的驗證因素的組合。MFAP 112還可被配置為聯繫用於轉換服務提供者的策略的代理引擎,以確定多因素驗證的驗證因素。
在示例實施方式中,在驗證因素被確定後,MFAP 112與一個或者多個驗證代理(AA)通信,以觸發驗證因素中的每一個。MFAP和AA間的通信可通過本地鏈路或者遠端鏈路在同一實體內執行。參考第1圖,根據所示的實施方式,MFAP 112通過本地鏈路114與第二AA 110b通信。MFAP 112也通過本地鏈路分別與第一和第三驗證代理110a和110c通信。進一步地,示出的MFAP 112通過內部鏈路118與第四AA 110d通信。
如下面的進一步描述,MFAP 112還可被配置為組合多個驗證因素並且計算與該多個驗證因素的組合相關聯的聚合保證等級。進一步地,給定的MFAP和給定的AA可互相驗證,使得僅授權的MFAP和AA能夠互相通信並且使得該MFAP和該AA間的通信是安全的。進一步地,給定的MFAP和給定的CA可互相驗證,使得僅授權的MFAP和CA能夠互相通信並且使得該MFAP和該CA間的通信是安全的。
再次參考第1圖,根據所示的實施方式,MFAP 112通過內部鏈路118將驗證結果傳輸至第一CA 104。例如,MFAP 112可傳輸與每個驗證因素關聯的保證等級和新鮮度等級。進一步地,MFAP可傳輸聚合保證等級至CA 104,聚合保證等級表示被執行的每個驗證因素的組合後的保證等級。MFAP 112可根據需要通過例如本地鏈路114或者內部鏈路118的方式與CA通信。根據所示的實施方式,MFAP 112通過第一UE 102內的內部鏈路118與第一CA 104通信,並且MFAP 112通過本地鏈路114與第二CA 104通信。
因此,MFAP 112可確定為存取服務提供者(SP)提供的服務,需要多個驗證因素以對UE 102的用戶進行驗證。MFAP 112可識別與UE 102的不同裝置(例如UE 106)上的驗證代理(AA),以使用所需的驗證因素中的一者執行驗證。MFAP 112可建立至不同裝置(例如,UE 106)的本地鏈路,並且MFAP 112可觸發AA為被識別的AA,以執行驗證。作為回應,MFAP 112可經由本地鏈路接收表示AA的成功驗證的斷言。
在一個示例實施方式中,MFAP 112假設用戶端類型角色為位於網路上的身份提供商(IdP)伺服器。可通過確定用戶的較佳識別符將IdP指定為主IdP。在一個示例實施方式中,主IdP通過與SP的交互工作(interworking)協定來負責驗證用戶和/或裝置。例如,不論驗證是單因素的還是多因素的,主IdP可包括用於執行對其自身的驗證的資產(assets)。可替換地,主IdP可採用其資產以外的或者替代其資產的其他IdP的資產。例如,主IdP可觸發其他IdP以創建上下文,以使得IdP能根據驗證代理產生的結果來斷言身份。進一步地,主IdP可作為對於MFAP 112的伺服器。
用資訊配置MFAP 112以使得其能夠調用驗證代理的服務。例如,被配置的資訊可包括對應於各個驗證代理的URL、驗證代理的IP位址、驗證代理的MAC位址、為發起來自給定的AA的驗證給定的AA所需的參數等。根據第1圖所示的實施方式,MFAP 112駐留在作為瀏覽代理(CA 104)和AA(第四AA 110d)的主機的相同裝置(UE 102)上。可替換地,MFAP 112可駐留在不是瀏覽代理的主機但是是AA的主機的實體上。在另一實施方式中,MFAP 112可駐留在既不執行瀏覽也不執行驗證功能的裝置上。MFAP 112的功能可被實施為瀏覽器的外掛程式或者被併入應用。用於調用MFAP的功能的應用程式設計介面(API)可被提供,如此以使多個用戶端代理(例如,瀏覽器,應用)能調用該MFAP 功能。例如,MFAP 112可作為被其他應用通過API調用的獨立應用而存在。MFAP 112可作為被瀏覽器交互例如通過使用意圖觸發的獨立應用而存在。
現在參考第3圖,示例驗證系統300包括一個或者多個驗證代理(例如,第一AA 310a和第二AA 310b,CA 304,SP 306,主IdP 308和MFAP112)。為了方便所有圖的附圖標記被重複,並且可以理解的是,在多於一幅圖中出現的附圖標記在其出現的每一幅圖中指相同或者相似的特徵。雖然兩個驗證代理在驗證系統300中被示出,但可以理解的是,驗證系統300中的驗證代理的數量可以根據需要變化。根據所示的實施方式,第一驗證代理310a和第二驗證代理310b分別與第一IdP 309a和第二IdP 309b關聯。進一步地,驗證代理310a和310b和身份提供商309a和309b賦能雙因素驗證,以使CA 304能被提供至由SP 306供給的服務的存取。SP 306、主IdP 308、第一IdP 309a以及第二IdP 309b可以統稱為驗證系統300的網路側。SP 306也可被稱為中繼方(RP)306,但不限於此。雖然示例雙因素驗證在第3圖中被示出,但可以理解的是,第3圖示出的調用流程可被擴展至使用多於兩個因素的驗證。根據所示的實施方式,MFAP 112評估SP 306的策略需求並且主IdP 308轉換該策略以確定將滿足該策略需求的驗證協定參數。
繼續參考第3圖,CA 304可根據SP 306提供的需求調用MFAP 112的服務。例如,MFAP 112可轉換策略以確定所需的驗證因素、所需的驗證強度(保證等級)、和/或所需的驗證新鮮度等級。在所需的驗證代理被確定後,MFAP 112可通過聯繫所需的驗證代理中的每一個觸發不同驗證協定的啟動。根據所示的實施方式,MFAP 112組合被觸發的驗證協定的結果,並且將驗證的結果出示給CA 304。主IdP 308可從IdP 309a和309b中的每一者收集驗證因素中的每一者的結果和其對應的保證等級。主IdP 308可向SP 306斷言CA 304和/或CA 304的用戶的身份。該斷言可基於主IdP 308從CA 304接收的多因素驗證的證據(例如,權證)。在各種示例實施方式中,主IdP 308可比較其從CA 304接收到的權證和其從IdP 309a和309b中的每一者接收到的權證。如此處所使用的,術語權證通常可指驗證參數。例如,權證可表示臨時用法(nonce)、加密值或者驗證斷言。
仍然參考第3圖,根據示出的實施方式,在312,用戶經由CA 304請求存取服務(由SP 306提供的)。CA 304可與SP 306通信,並且該通信可包括與該用戶關聯的用戶ID。在314,根據該用戶ID,SP 306執行發現並且和與該用戶ID關聯的主IdP 308關聯。主IdP 308可執行與OpenID身份提供商(OP)關聯的功能或者網路存取功能(NAF),且因此主IdP 308也可被稱為OP 308或者NAF 308。在316,根據所示的實施方式,SP 306可基於例如SP 306的策略來確定需要多因素驗證以使用戶存取所請求的由SP 306提供的服務。SP 306還可確定為使用戶存取所請求的由SP 306提供的服務所需的驗證的保證等級。在318,根據所示的實施方式,SP 306向CA 304傳輸其保證等級需求。在320,CA 304調用MFAP 112的服務。
在示例實施方式中,CA 304和MFAP 112互相驗證,如此以使MFAP 112的服務被安全調用。相互驗證可確保僅被驗證的CA調用MFAP 112的服務並且僅被驗證的MFAP服務CA 304。仍然參考第3圖,在320,CA 304可如參考第1圖所述通過使用API調用經由本地鏈路或者內部鏈路調用MFAP 112的服務。可以理解的是,API調用可根據需要通過任意通信鏈路被發送。根據所示的實施方式,CA 304還提供SP 306所需的保證資訊。在322,例如,根據存取服務所需的保證的等級,MFAP確定能被執行以達到所需的保證等級的驗證因素的類型和強度。MFAP 112還可識別能執行所需的驗證的驗證代理。例如,根據所示的實施方式,MFAP 112確定第一AA 310a和第二AA 310與被確定的驗證因素的類型和強度相關聯。在第一驗證代理310a被識別後,在324,MFAP 112發送觸發至第一驗證代理310a,以使第一驗證代理310a發起驗證協定。在326,主IdP 308觸發創建用於被第一驗證代理310a發起的驗證協定的上下文的進程。例如,主IdP 308可和與第一AA 310a關聯的第一IdP 309a通信,以請求第一IdP 309a創建用於第一AA發起的驗證的上下文。在324和326中執行的步驟可以以互相並行的方式被執行。
繼續參考第3圖,根據所示的實施方式,在328,第一AA 310a和第一IdP 309a執行驗證。該驗證包括CA 304的用戶(例如,用戶的生物計量)的驗證、CA 304的驗證、與CA 304關聯的裝置的驗證等。一旦驗證成功,例如第一權證的權證可由第一IdP 309a生成。根據所示的實施方式,第一權證被發送至第一驗證代理310a。由第一IdP 309a生成的權證可以以安全的方式被發送至第一AA 310a。可替換地,第一AA可使用與第一IdP 310b用於生成第一權證的類似機制生成第一權證。根據第3圖,無論如何,在驗證結束時,第一AA 310a和第一IdP 309a都可具有驗證證據,並且該證據指第一權證。
在330,回應於在324接收的觸發,第一AA 310a可發送包括第一權證的觸發回應。該觸發回應可被發送至MFAP 112,並且該觸發回應可證明成功的驗證被執行。在332,在網路側,第一IdP 309a可發送第一權證和其關聯的新鮮度(例如,該驗證何時被執行的日期/時間)至主IdP 308。
在334,例如根據策略,MFAP 112可通過發送觸發至第一AA 310b來發起使用第二驗證因素的第二驗證的啟動。在336,根據所示的實施方式,主IdP 308發送觸發至第二IdP 309b,以創建第二驗證上下文。被觸發的第二驗證上下文與由第二AA 310b執行的使用第二驗證因素的第二驗證關聯。在334和336中的步驟可以以互相並行的方式被執行。在338,根據所示的實施方式,第二因素驗證在第二AA 310b和第二IdP 309b間執行。被用以執行第二因素驗證的第二因素可以是用戶的生物計量、與用戶關聯的其他因素、與裝置關聯的因素、與用戶的行為分析關聯的因素等。可替換地,例如,第二因素驗證可在第二用戶310b和用戶間執行。該驗證可包括,例如,生物計量驗證、與用戶裝置關聯的因素的驗證或者與用戶的行為分析關聯的因素。在第二因素驗證結束時,第二IdP 309b可生成例如第二權證的權證。第二權證可包括隨機的臨時用法和/或該權證可被加密生成。第二權證可被發送至第二AA 310b。可替換地,在示例實施方式中,第二AA 310b使用與第二IdP 309b用於生成第二權證的類似機制生成第二權證,且因此不從第二IdP 309b發送第二權證至第二AA 310b。在340,回應於在334被發送的觸發,第二AA 310b發送第二權證和其關聯的新鮮度至MFAP 112。類似地,在342,第二IdP 309b可發送第二權證和與該權證關聯的驗證的新鮮度至主IdP 308。可替換地,例如如果本地驗證由第二AA 310b執行,則第二AA 310可生成第二權證並且轉發該第二權證至MFAP 112。
繼續參考第3圖,根據所示的實施方式,在344,MFAP 112合併第一權證和第二權證。MFAP還可計算CA 304的聚合達到的保證等級和新鮮度等級。在一個示例中,通過將與每一個驗證因素關聯的保證等級加在一起來計算聚合保證等級。經由另一示例,保證等級可被加權,如此以使在對應於兩個驗證因素的聚合保證等級中,一個驗證因素的權重大於另一個驗證因素。例如把每個驗證因素的年齡作為因素考慮的新鮮度衰退函數的附加參數,可在計算聚合保證等級中被考慮。在另一實施方式中,MFAP 112不發送計算出的聚合保證等級,而代之以發送與驗證的因素中的每一個有關的資訊至主IdP,並且主IdP可計算出聚合保證等級。在346,CA 304將第一和第二權證出示給主IdP 308。CA 304還可傳送所達到的保證等級和與該驗證中的每一個關聯的新鮮度至主IdP 308。在348,主IdP 308將其從CA 304接收到的第一和第二權證分別與由第一和第二IdP 310a和310b遞送給它的第一和第二權證比較。在350,例如,如果兩個第一權證互相匹配並且兩個第二權證互相匹配,則主IdP 308創建斷言。主IdP 308發送該斷言至SP 306。被發送的斷言可包括由被執行的多因素驗證達到的新鮮度等級和保證等級。可替換地,例如如果本地驗證被執行,MFAP 112可將權證和斷言直接出示給SP 306。在352,根據所示的實施方式,SP 306驗證斷言並且向CA 304提供成功訊息,從而向CA 304和CA 304的用戶提供對所請求的由SP 306提供的服務的存取。
參考第4A圖,根據示例實施方式,OID-GBA系統400a被用以提供三因素驗證。OID-GBA系統400包括UE 404、駐留在UE 404上的第一AA 410a、第二AA 410b、第三AA 410c、駐留在UE 404上的MFAP 112、過頂(OTT)SP 406(其也能被稱為RP 406)、第一IdP 409a(其能被稱為主IdP)、第二IdP 409b和第三IdP 410b。例如瀏覽器的用戶端代理(CA)也可駐留在UE 404。
根據所示的實施方式,在412,UE 404的用戶經由UE 404(特別是UE 404的CA)請求存取服務(由SP 406提供的)。UE 404可與SP 406通信,並且該通信可包括與該用戶關聯的用戶提供的識別符(ID)。根據該用戶ID,在414,SP 406執行發現並且和與用戶ID關聯的第一IdP 409a關聯。第一IdP 409a可執行與OpenID身份提供商(OP)關聯的功能或者網路應用功能(NAF),因此第一IdP 409a也可被稱為OP 409a或者NAF 409a。在416,根據所示的實施方式,SP 406可根據例如SP 406的策略確定為使用戶存取所請求的由SP 406提供的服務所需的驗證的保證等級。例如,根據保證等級,SP 406可確定需要多因素驗證以使用戶存取所請求的由SP 406提供的服務。SP 406也可確定為使用戶存取所請求的由SP 406提供的服務而應該被執行的合適的驗證因素。在418,根據所示的實施方式,UE 404經由OpenID驗證請求被重定向至第一IdP 409a,第一IdP 409a也能被稱為OP 409a。SP 406也可傳輸其保證等級需求至UE 404。進一步地,在418,MFAP 112的服務例如參考第1圖和第3圖的描述被調用。在420,UE 404(特別是第一AA 310a)和第一IdP 309a執行第一驗證。第一驗證能使用第一驗證因素來驗證用戶。第一驗證因素能包括和第一IdP 309a關聯的用戶名和密碼。例如,用戶可在UE 404輸入用戶名和密碼,並且第一IdP 309a能驗證該用戶名和密碼。可替換地,例如,如果本地驗證正在被執行,本地驗證代理(第一AA 410a)可驗證用戶名和密碼,而無需IdP 409a之涉及。本地驗證可指由UE 404執行的驗證。因此,根據所示的實施方式,第一驗證是用戶的驗證。在422,回應於第一驗證,如果第一驗證成功,則第一IdP 409a生成第一權證。例如,第一權證可指示第一因素驗證是成功的。在424,根據所示的實施方式,表示成功的驗證被執行的證據的第一權證被發送至UE 404。第一權證可包括其關聯的新鮮度等級。在426,UE 404儲存第一權證。在428,第一IdP 409a儲存第一權證。可替換地,可以理解的是,如果用戶被AA 410a本地驗證,並且如果本地驗證是成功的,AA 410a可生成第一權證並且傳送該第一權證至MFAP 112,如此以使該權證僅被儲存在MFAP 112中。因此,MFAP 112經由例如本地鏈路可接收表示AA 410的成功驗證的斷言。
繼續參考第4A圖,根據所示的實施方式,在430,第二AA 410b和第二IdP 409b執行第二驗證。第二驗證可包括UE 404的用戶(例如,用戶的生物計量)的驗證、UE 404的驗證、與UE 404的CA關聯的裝置的驗證等。一旦驗證成功,例如第二權證的權證可在432由第二IdP 409b生成。在434,根據所示的實施方式,第二權證可被發送至第二AA 410b。由第二IdP 409b生成的權證可被以安全的方式發送至第二AA 410b。可替換地,第二AA 410b可使用與第二IdP 410b用於生成第二權證的類似機制生成第二權證。無論如何,在第二驗證結束時,第二AA 410b和第二IdP 409B都可具有第二驗證的證據,並且該證據稱為根據第4A圖的第二權證。可替換地,例如,如果本地驗證由第二AA 410b執行,AA 410b可生成第二權證。在436,第二AA 410b可發送回應至UE 404(特別是至MFAP 112)。該回應可包括第二權證。該回應可經由連接第二AA 410b和UE 404的通信鏈路(例如,經由本地鏈路)發送。在438,在網路側,第二IdP 409b可發送第二權證和其關聯的新鮮度(例如,該驗證何時被執行的日期/時間)至第一IdP 409a。在440和442,第二權證被分別儲存在UE 404和第一IdP 409a。可替換地,根據一個示例實施方式,例如如果本地驗證被執行,第二權證可僅在MFAP 112。
仍然參考第4A圖,根據所示的實施方式,在444,第三AA 410c和第三IdP 409c執行第三驗證。第三驗證可包括UE 404的用戶(例如,用戶的生物計量,用戶的行為特性)的驗證、UE 404的驗證、與UE 404的CA關聯的裝置的驗證等。一旦驗證成功,例如第三權證的權證可在446由第三IdP 409c生成。在448,根據所示的實施方式,第三權證可被發送至第三AA 410c。第三IdP 409c生成的權證可被以安全方式發送至第三AA 410c。可替換地,第三AA 410c可使用與第三IdP 410c用於生成第三權證的類似機制生成第三權證。無論如何,在第三驗證結束時,第三AA 410c和第三IdP 409c都可具有第三驗證的證據,並且該證據可稱為根據第4A圖的第三權證。根據一個示例實施方式,可替換地,例如如果本地驗證被執行,第三權證可能僅被儲存在生成第三權證的第三AA 410c。在450,第三AA 410c可發送回應至UE 404(特別是至MFAP 112)。該回應可包括第三權證。因此,MFAP 112可經由例如本地鏈路接收表示AA 410c的成功驗證的斷言。該回應可經由連接第三AA 410c和UE 404的通信鏈路(例如經由本地鏈路)發送。在452,在網路側,第三IdP 409可發送第三權證和其關聯的新鮮度(例如,該驗證何時被執行的日期/時間)至第一IdP 409a。可替換地,根據一個示例實施方式,可以理解的是,例如如果第三AA 410c生成第三權證,不從第三IdP 409c轉送該權證至主IdP 409a。在454和456,第三權證被分別儲存在UE 404和第一IdP 409a。在一個可替換的實施方式中,第三權證可僅被儲存在UE 404上的MFAP 112。
在458,UE 404(例如UE 404的CA)發送第一、第二和第三權證至第一IdP 409a。UE 404還可傳送與驗證中的每一個關聯的新鮮度和保證等級至第一IdP 409a。在460,第一IdP 409a將其從UE 404接收的第一、第二和第三權證分別與儲存在第一IdP 409a中的第一、第二和第三權證比較。例如,如果第一權證互相匹配,第二權證互相匹配,並且第三權證互相匹配,則第一IdP 409a能驗證所示的三因素驗證。因此,在462,如果該權證被驗證,第一IdP 409a生成三因素斷言並且發送該三因素斷言至SP 406。被發送的斷言可以包括被執行的多因素驗證所達到的保證等級和新鮮度等級。SP 406能驗證該斷言,以允許UE 404存取所請求的服務。可替換地,例如如果僅本地驗證被執行,則UE 404的MFAP 112可直接發送權證和斷言至SP 406。
第4B圖是示出使用OID-GBA系統400的另一示例的另一流程圖。在第4B圖中,OID-GBA系統400被用以提供雙因素驗證。除繪出取代三因素驗證的雙因素驗證外,第4B圖也繪出了如下所述的與第4A圖相比的附加細節。根據所示的實施方式,用戶名和加密值被獲取作為第一因素驗證的部分,並且密碼被獲取用於第二因素驗證。所示的可以是例如移動終端的UE 404包括CA(瀏覽器代理)和MFAP 112。根據所示的實施方式,AA 410b由UICC實施,並且第一AA 410a使用用戶輸入以驗證UE 404的用戶。
參考第4B圖,在412,使用UE 404的用戶請求存取由OTT SP 406提供的服務。根據所示的實施方式,用戶使用與IdP/OP 409a關聯的用戶身份請求存取。在414,SP 406基於用戶身份執行發現和與IdP/OP/NAF 409a的關聯。在416,基於例如SP 406的策略和用戶所請求的服務,SP 406確定用於使用戶存取所請求的服務的合適的保證等級。例如,在416,SP 406可確定為了達到合適的保證等級多個驗證因素應該被執行。根據所示的實施方式,在418,UE 404可經由OpenID驗證請求被重定向至第一IdP 409a,第一IdP 409a也能被稱為OP 409a或者NAF 409a。SP 406也可將其保證等級需求傳輸至UE 404。保證等級可被儲存在MFAP 112。在419a,UE 404發送HTTPS獲得(HTTPS Get)請求至OP 409a。該請求包括需要多因素驗證的指示。在419b,OP 409a提供HTTPS回應至UE 404。該回應包括對能驗證UE的用戶的驗證代理的識別符的請求。可替換地,例如如果該識別符在更早的時候由用戶出示給SP 406,則前述步驟可被跳過。在一些情況中,在419b,次識別符可由用戶或者UE 404提供給IdP/OP/NAF 409a。該回應還可包括對用戶密碼的請求。根據所示的實施方式,可驗證用戶的AA是第一AA 410a,第一AA 410a可駐留在UE 404上。在421,UE 404提供HTTPS獲得請求,該HTTPS獲得請求包括第一AA 410a的識別符、密碼摘要(digest)和與密碼關聯的新鮮度值。可替換地,例如如果本地驗證正在被執行,用戶可給UE 404上的AA 410a提供用戶名和密碼。在該情況下,步驟419-424可被跳過。在422,根據第4B圖中所示的實施方式,回應於被驗證的用戶,OP 409a生成第一權證。例如,該第一權證可指示第一因素驗證是成功的。在424,根據所示的實施方式,表示成功驗證被執行的證據的第一權證可被發送至UE 404。可替換地,例如如果本地驗證被執行,第一權證由AA 410a發出。然後該權證被儲存在MFAP 112上並且關聯的新鮮度或者時間戳記資訊也可由MFAP 112儲存。根據第4B圖中所示的實施方式,在424,該第一權證可隨著HTTPS回應訊息被發送,該HTTPS回應訊息請求使用第二驗證因素的第二驗證的識別符。第一權證可包括其關聯的新鮮度等級。
仍然參考第4B圖,在425,MFAP 112可發送與驗證的第二因素關聯的識別符至IdP/OP/NAF 409a。該識別符可表示UE身份(ID)、生物計量ID或者與第二因素關聯的任意其他身份。可替換地,如果本地驗證正在被執行,MFAF發起與合適的本地驗證代理的本地驗證,該本地驗證代理可被示為第二AA 410b。在427,UE 404的用戶端代理的身份可被映射至驗證代理,該驗證代理可被示為第二AA 410b。可通過執行資料查詢以確定與用戶和在425中MFAP提供的第二因素識別符關聯的合適的AA,來完成該映射。在429,IdP/OP/NAF 409a使用合適的AA 410b發起推送訊息,以觸發GBA驗證。可替換地,該推送訊息可被發送至UE 404上的MFAP 112,MFAP 112隨後可建立MFAP 112和AA 410b間的安全隧道鏈路(步驟429b)。在429b中,UE 404可將IdP/OP/NAF 409a的URL寫入第二AA 410b。第二AA 410b在431發起與NAF 409a的GBA驗證過程。在433,IdP/OP/NAF 409a向第二AA 410b發送GBA質詢。在435,GBA自舉(boot-strapping)在第二AA 410b和自舉伺服器功能(BSF)411間執行。在437,第二AA 410b用自舉身份回應該質詢。在439,NAF 409a取得密鑰並通過BSF 411驗證用戶。
繼續參考第4B圖,一旦AA 410b執行了成功驗證,AA 410b生成示出為NonceAA的臨時用法和會話ID。該NonceAA可以是例如加密密鑰、數位簽章或者臨時身份的加密值。臨時身份可與驗證或者域相關聯。示例臨時身份包括B-TID、往返驗證(ORTA)ID、增強型主會話密鑰(MSK)名稱等。該會話ID可以是用於識別該通道或者流或者會話的唯一身份。例如,該會話ID可以是TLS通道ID、HTTPS會話ID、EAP會話ID等。根據所示的實施方式,在443a中,AA 410b通過複製具有“用戶名”欄位和“密碼”欄位的會話ID和NonceAA在HTTP會話內分別發送會話ID和NonceAA至UE 404的CA。可以理解的是,HTTP以外的其他協定也可被使用,並且其他協定可不使用用戶名和密碼。因此,在443b,NonceAA和密碼被從第二AA 410b發送至CA。MFAP 112儲存第一AA 410a發出的第一權證。MFAP 112可儲存由AA 410b發出的NonceAA和會話ID。因此,第一因素驗證可被與第一因素驗證關聯的會話ID綁定(例如密碼綁定)。在示例實施方式中,多因素驗證中的驗證的每個因素(例如從驗證中的每一個因素產生的每個權證)被與各自的會話ID綁定。例如,第一權證可與表示第一因素驗證的會話身份(ID)綁定,第二權證可與表示第二因素驗證的會話ID綁定,並且第三權證可與表示第三因素驗證的會話ID綁定。在445,根據所示的實施方式,MFAP 112發送第一權證至IdP/OP/NAF 409a。在447,IdP/OP/NAF 409a驗證該權證、NonceAA和會話ID,以驗證UE 404的CA和用戶。例如,IdP/OP/NAF 409a可基於該權證生成NonceAA和會話ID,並且IdP/OP/NAF可將所生成的NonceAA和會話ID與其作為GBA過程的一部分獲取的NonceAA和會話ID進行比較。在449和451,如果用戶/CA被驗證,IdP/OP/NAF 409a使用HTTP重定向訊息經由UE 404發送斷言至SP 406。可替換地,例如如果僅本地驗證被執行,MFAP 112可發送權證、NonceAA和會話ID至SP 406。在其他情況下,MFAP 112將組合了所有驗證結果的組合斷言發送至SP 406。組合斷言可將一個或者多個會話身份(ID)中的每一者加密綁定在一起。而且,組合斷言可包括對應於組合斷言的保證等級和新鮮度值。在453,SP 406接收的斷言被SP 406驗證。例如,如果斷言至少滿足SP 406的驗證需求(例如,保證等級),用戶被許可存取所請求的服務。
參考第4C圖,根據一個示例實施方式,OID-GBA系統400c被用以提供雙因素驗證,該示例實施方式中,也能被稱為瀏覽器代理(BA)405的用戶端代理(CA)405是與UE 404分開的。因此,第4C圖中的調用流程表示示例分離終端實施。OID-GBA系統400。
仍然參考第4C圖,在419,初始HTTPS請求在OpenID重定向後被發送。在419b,HTTPS未授權回應被發送至CA 405。在420,根據所示的實施方式,用戶繼續進行向OP 409a的第一因素驗證(例如,使用用戶ID和密碼)。密碼的可允許新鮮度由OP 409a的策略處理(addressed)。例如,OP策略可指示密碼能被快取在例如CA 405的瀏覽器中多久。在一個示例實施方式中,例如修改的UICC的可信執行環境執行該策略。在427,一旦第一因素驗證成功,OP 409a將UE 404(特別是AA 410a)映射至CA 405。在422,根據所示的實施方式,OP 409a生成權證,該權證能被稱為第一權證,該第一權證表示用戶的成功驗證。在424,第一權證被轉發至CA 405。在424被發送的訊息可受HTTPS保護。在429,GBA由訊息觸發。在431,HTTPS請求啟動GBA驗證。在433,HTTPS GBA質詢被發送至UE 404。在437,具有自舉身份(B-TID)的HTTPS GBA質詢回應從UE 404(例如,第一AA 410a)被發送至NAF/OP 409a。在439a,NAF/OP 409a用例如NonceNAF
的臨時用法回應。在441,AA 410a使用NonceNAF
以生成密碼。在443a,根據所示的實施方式,密碼通過本地鏈路被複製至CA 405。在443a,第一權證被複製到用戶名,並且通過本地鏈路接收的密碼被複製為HTML格式。在445,具有授權標頭的HTTPS獲得請求可被發送至IdP 409a。IdP 409a發送具有驗證斷言的重定向至合適的SP。在一個示例實施方式中,UE 404能在該訊息在449被發送後繼續實施OpenID協定。
第4D圖是根據一個示例實施方式的在用戶驗證期間生成的權證通過GBA過程迴圈的三因素驗證的流程圖。在第4D圖中示出的舉例說明的實施方式中被執行的多個步驟在上文中參考第4A圖被描述。參考第4D圖,在458,生成的權證在被完成的驗證結束時由MFAP 112出示給IdP 409a。但如圖所示,權證在三因素驗證完成後被發送,而非在每個驗證因素後發送權證。可替換地,例如,如果驗證因素中的每一個可在UE 404上本地執行,MFAP 112可直接發送權證和斷言至SP 406。在一個示例實施方式中,第三權證在三因素驗證完成後被發送,因為權證中的每一個是迴圈的,從而綁定三個驗證協定中的每一個。第4E圖是具有附加細節描述的第4D圖中示出的三因素驗證的流程圖。第4F圖是第4D圖中繪出的示例調用流程的壓縮版本。
參考第4E圖,根據所示的實施方式,在412-421c的訊息和以上參考第4D圖描述的對應訊息基本相同,在該實施方式中,用戶驗證被執行。在用戶驗證被執行後,在422,第一權證由IdP/OP/NAP 409a生成。進一步地,對第二因素驗證的請求被發出至MFAF 112。在425,MFAP 112用第二驗證因素ID回應於IdP/OP/NAP 409a。在427,OP 409a使用第二驗證因素ID將用戶端代理映射至第二AA 410b。來自用戶驗證的會話或者通道ID也可被映射至第二AA 410b。在429a,IdP/OP/NAP 409a發起與第二AA 410b的GBA驗證過程,以啟動GBA驗證。在429a,作為由IdP/OP/NAP 409a發送至第二AA 410b的訊息的部分可以是作為在422執行的成功的第一因素驗證的部分被生成的第一權證。可替換地,GBA驗證觸發訊息(參見429b和429c)可由MFAP 112發起,並且因此第一權證可作為訊息429b或者429c的部分從MFAP 112被傳遞到第二AA 410b。
根據所示的實施方式,NAF密鑰可在439作為GBA過程的部分被得出,並且第一權證可與NAF密鑰綁定,該NAF密鑰也可被稱為GBA特定密鑰。IdP/NAF 409a可作為GBA過程的一部分從BSF 411中取得密鑰。在441,作為GBA過程的一部分,第二AA 410b生成可表示任意隨機值或者加密值的NonceAA,使用被生成的NAF密鑰生成密碼。第二AA 410b使用例如連接第二AA 410b和UE 404的本地鏈路發送NonceAA和密碼至UE 404上的CA(參見443b)。在443a,例如如果AA 410b在UE 404上,NonceAA和密碼可被用戶複製為CA上的HTTP形式頁面。NonceAA和密碼可在445被出示給IdP/OP/NAF 409a。使用在439獲取的GBA NAF密鑰,並且使用根據第一權證生成的NonceAA和密碼,IdP/NAF 409a驗證由UE 404的CA發送的密碼(參見447)。如果匹配(例如,包含驗證斷言的訊息由IdP/OP/NAF 409a發送至UE 404),並且該訊息被重新定向至SP 406(參見449和451)。例如如果僅本地驗證被執行,MFAP 112可直接發送斷言至SP 406,而該斷言不被發送至IdP/OP/NAF 409a。該斷言可包含或者指示對應於多因素驗證的保證和新鮮度等級。
參考第4F圖,在419a,初始HTTPS請求在OpenID重定向後被發送。在419b,HTTPS未授權回應被發送至CA 405。在420,根據所示的實施方式,用戶繼續進行與OP 409a的第一因素驗證(例如,使用用戶ID或者密碼)。密碼的可允許新鮮度由OP 409a的策略處理(addressed)。例如,OP策略可指示密碼能被快取在例如CA 405的瀏覽器中多久。在一個示例實施方式中,例如修改的UICC的可信執行環境執行該策略。在427,一旦第一因素驗證成功,OP 409a將UE 404(特別是AA 410a)映射至CA 405。在422,根據所示的實施方式,OP 409a生成權證,該權證能被稱為第一權證,該第一權證表示用戶的成功驗證。如上所述,此處使用的術語權證可指隨機值、加密值、斷言等。例如,該權證可表示數位簽章、加密密鑰或者臨時身份。在424,第一權證被轉發至CA 405。在424被發送的訊息可受HTTPS保護。在429,GBA由訊息觸發。在431,HTTPS請求啟動GBA驗證。在433,HTTPS GBA質詢被發送至UE 404。在437,攜帶具有自舉身份(B-TID)的第一權證的HTTPS GBA質詢回應從UE 404(例如,第一AA 410a)被發送至NAF/OP 409a。進一步地,在437,根據第4F圖中示出的說明性實施方式,NAF/OP 409a接收第一權證並且驗證第二因素驗證(例如,基於UICC的驗證)與步驟420中的第一因素驗證(例如,用戶驗證)綁定。在439a,NAF/OP 409a用例如NonceNAF
的臨時用法進行回應。可以理解的是,NonceNAF
可為例如數位簽章、加密密鑰或者臨時身份的隨機或者加密值。在441,AA 410a生成密碼和NonceNAF
。在443a,根據所示的實施方式,密碼通過本地鏈路被複製至CA 405。在443a,第一權證被複製為用戶名,並且通過本地鏈路接收的密碼被複製為HTML形式。在445,具有授權標頭的HTTP獲得請求可被發送至IdP 409a。IdP 409a發送具有驗證斷言的重定向至合適的SP。在一個示例實施方式中,UE 404能在該訊息在449被發送後繼續實施OpenID協定。
第5A圖是根據一個示例實施方式的在其中新鮮的驗證結果被斷言的流程圖。參考第5A圖,示例驗證系統500a包括一個或者多個驗證代理(如第一AA 510a和第二AA 510b、CA 504、SP 506、主IdP 508和MFAP 112)。雖然在驗證系統500a中示出了兩個驗證代理,但可以理解的是,驗證系統300中的驗證代理的數量可根據需要變化。根據所示的實施方式,第一驗證代理510a和第二驗證代理510b分別與第一IdP 509a和第二IdP 509b關聯。進一步地,驗證代理510a和510b以及身份提供商509a和509b能賦能雙因素驗證,以使CA能被提供對由SP 506提供的服務的存取。SP 506、主IdP 508、第一IdP 509a和第二IdP 509b可被共同稱為驗證系統500的網路側。SP 506也可被稱為信賴方(RP)506,但不限於此。雖然在第5A圖中示出了示例雙因素驗證,可以理解的是,第5A圖中示出的調用流程可被擴展至使用多於雙因素的驗證。根據所示的實施方式,在SP 506的策略和SP 506提供給CA 504和MFAP 112的產生的需求認為第二因素是新鮮的,並且因此不需要被再次執行。例如,取代了執行第二因素驗證,更早的驗證的結果被用以斷言第二因素已經經過驗證。根據所示的實施方式,該第一因素可能已被認為是陳舊的,並且因此第一因素被執行。
仍然參考第5A圖,在512,用戶經由CA 504請求存取服務(由SP 306提供的)。CA 504可與SP 506通信,並且該通信可包括與該用戶關聯的用戶ID。基於用戶ID,在514,SP 506執行發現並與和用戶ID關聯的主IdP 508相關聯。主IdP 508可執行與OpenID身份提供商(OP)或者網路存取功能(NAF)關聯的功能,並且因此主IdP 508也可被稱為OP 508或者NAF 508。在516,根據所示的實施方式,SP 506基於例如SP 506的策略確定需要多因素驗證以用於用戶存取所請求的由SP 506提供的服務。SP 506也可確定為了使用戶存取所請求的由SP 506提供的服務所需的驗證的保證等級。在518,根據所示的實施方式,SP 506將其保證等級需求傳輸給CA 504。在520,CA 504調用MFAP 512的服務。可替換地,SP 506可將用戶存取由SP 506提供的服務所需的保證等級傳輸至IdP/OP/NAP 508。IdP/OP/NAP 508可根據所需的保證等級確定對應的必須要執行的驗證因素。CA 504可觸發MFAP 112,MFAP 112能是UE上的應用。例如,該應用可作為平臺(例如,如安卓平臺)目的被觸發。CA 504可向MFAP 112提供驗證因素的列表。
在522,例如,根據存取服務所需的保證等級,MFAP 112確定可被執行以達到所需的保證等級的驗證因素的類型和強度。MFAP 112還可識別能執行所需的驗證的驗證代理。例如,根據所示的實施方式,MFAP 112確定第一AA 510a和第二AA 510與驗證因素的被確定的類型和等級相關聯。在第一驗證代理510a被識別後,在524,MFAP 112發送觸發至第一驗證代理510a,以使第一驗證代理510a發起驗證協定。在526,主IdP 508觸發過程,在該過程中為由第一驗證代理510a發起的驗證協定創建上下文。例如,主IdP 508可與和第一AA 510a關聯的第一IdP 509a通信,以請求第一IdP 509a創建用於第一AA發起的驗證的上下文。在524和526執行的步驟可以以互相並行的方式被執行。
繼續參考第5A圖,根據所示的實施方式,在528,第一AA 510a和第一IdP 509a執行驗證。該驗證可包括CA 504的用戶(例如,用戶的生物計量)的驗證、CA504的驗證、與CA 304關聯的裝置的驗證等。一旦成功驗證,可由第一IdP 509a生成例如第一權證的權證。根據所示的實施方式,第一權證被發送至第一驗證代理510a。由第一IdP 509a生成的權證可以安全的方式被發送至第一AA 510a。可替換地,第一AA 510a可使用與第一IdP 510b用於生成第一權證的類似機制生成第一權證。無論如何,在驗證結束時,第一AA 510a和第一IdP 509a可具有驗證證據,該證據可被稱為根據第5A圖的第一權證。
在530,回應於在524接收到的觸發,第一AA 510a可發送包括第一權證的觸發回應。該觸發回應可被發送至MFAP 112,並且該觸發回應可證明成功的驗證被執行。在532,在網路側,第一IdP 309a可發送第一權證和其關聯的新鮮度(例如,該驗證何時被執行的日期/時間)至主IdP 308。
根據所示的示例實施方式,在534,例如根據策略,MFAP 112確定對應於第二因素驗證的新鮮的權證是可用的。例如,MFAP可確定例如第二權證的權證還未過期,並且因此該權證能用於斷言第二因素已經經過驗證。例如,MFAP可識別權證上的時間戳記並且確定該時間戳記遵從SP的需求。因此,MFAP 112不聯繫第二AA 510b。在536,主IdP 508確定對應於第二因素的新鮮的權證(例如,第二權證)是可用的。在538,MFAP 112合併第一權證和第二權證。MFAP還可計算CA 504的聚合達到的保證等級和新鮮度等級。在540,CA 504可向主IdP 508出示第一和第二權證(參見第5B圖)。CA 504還可向主IdP 508傳送與驗證中的每一個關聯的所達到的保證等級和新鮮度。可替換地,再次參考第5A圖,CA 504可直接向SP 506出示權證。在542,主IdP 508(或者SP 506)將其從CA 50接收到的第一和第二權證與其之前處理過的第一和第二權證進行比較。在544,例如,如果兩個第一權證互相匹配並且兩個第二權證互相匹配,主IdP 508(或者SP 506)創建斷言。該斷言被發送至SP 506。被發送的斷言可包括被執行的多因素驗證所達到的保證等級和新鮮度等級。在546,根據所示的實施方式,SP 606驗證該斷言並且向CA 504提供成功訊息,從而將所請求的由SP 506提供的服務存取提供給CA 504和CA 504的用戶。
可替換地,在一些情況下,僅SP 506所請求的保證等級被提供給MFAP 112。因此,在522,MFAP確定因素和相應的可被調用的驗證代理,以實現所請求的保證等級。在524,根據所示的實施方式,MFAP 112與第一AA 510a通信以觸發第一驗證,第一AA 510a能被稱為本地因素AA,因為其執行本地驗證。例如,如果AA是本地因素AA,其可與用戶交互作用以獲取用戶名/密碼。進一步地,本地因素AA可指示用戶使用指紋讀取器,或者本地因素AA可分析用戶的行為特性、驗證用戶擁有的裝置等。可替換地,通過使用如IdP 509a的服務,驗證的部分可在網路側被執行。在本地因素驗證場景中,第一權證由AA 510a生成並且被發送至MFAP 112。可替換地,第一權證可由IdP 509a生成並且被發送至IdP/NAF/OP 508。一旦使用第一驗證因素的第一驗證被執行,根據所示的實施方式,MFAP 112確定第二因素不必執行,因為存在被執行過的現有的新鮮的第二因素驗證具有被確定為不陳舊的時間戳記。在538,除在530獲取的與驗證的第一因素相關聯的第一權證之外,與第二因素相關聯的第二權證被MFAP 112釋放。在540,兩個權證和有符號的斷言可被MFAP 112以安全的方式釋放給SP 506(經由CA 504)。在542,權證可由SP 506使用密碼手段驗證並且在544存取可被提供給用戶。可替換地,在540,權證可由CA 504出示給IdP/OP 508。在該情況下,IdP/NAF/OP 508驗證權證並且創建斷言,該斷言由IdP/NAF/OP 508發送至SP 506。SP 506可驗證有符號的斷言並且提供對服務的存取。
也參考第5B圖,根據所示的實施方式,多個新鮮的驗證結果可在示例系統500b中被斷言。在第5B圖中,在SP 506的策略和由SP 506提供給CA 504和MFAP 112的產生的需求認為已被執行的早前的驗證(第一和第二因素)和儲存在MFAP 112的結果(第一和第二權證)對於506足夠新鮮。因此,驗證協定不被執行,取而代之的是先前的驗證因素的結果被用於向SP 506斷言該驗證。
例如,根據所示的實施方式,在527,在第一因素驗證被觸發後,第一AA 510a確定對應於第一因素驗證的新鮮的權證是可用的。例如,第一AA 510a可確定如第一權證的權證還未過期,並且因此該第一權證能被用於斷言第一因素已經經過驗證。在529,第一IdP 509a確定第一權證是新鮮的。在530,第一AA 510a用觸發回應以回應觸發,該觸發回應包括新鮮的第一權證。因此,第一新鮮的權證可被發送至MFAP 112。在532,根據所示的實施方式,第一IdP 509a發送第一新鮮的權證至主IdP 508。在523,MFAP 112發送觸發至第二驗證代理510b,以使第二驗證代理510b能發起驗證協定。在535,主IdP 508觸發在其中創建用於驗證協定的上下文的過程,該驗證協定能由第二驗證代理510b發起。在533和535執行的步驟可互相並行地執行。
繼續參考第5B圖,根據所示的實施方式,在537,第二AA 510b確定對應於第二因素驗證的新鮮的權證是可用的。例如,第二AA 510b可確定例如第二權證的權證還未過期,並且因此該權證能被用於斷言第二因素已被驗證。在539,第二IdP 509b確定對應於第二因素的新鮮的權證(例如,第二權證)是可用的。在541,第二AA 510b回應驗證觸發(在533)並且發送第二權證至MFAP 112。在543,第二IdP 509b回應驗證觸發(在535)並且發送新鮮的第二權證至主IdP 508。在541,MFAP 112合併第一權證和第二權證。MFAP還可以計算CA 504的聚合達到的保證等級和新鮮度等級。在540,CA 504向主IdP 508出示第一和第二權證。CA 504還可向主IdP 508傳送與驗證中的每一個關聯的所達到的保證等級和新鮮度。在542,主IdP 508將其從CA 504接收到的第一和第二權證與其從第一和第二IdP接收到的第一和第二權證分別進行比較。在544,例如,如果兩個第一權證互相匹配並且兩個第二權證互相匹配,主IdP 508創建斷言。主IdP 508發送該斷言至SP 506。被發送的斷言可包括被執行的多因素驗證所達到的保證等級和新鮮度等級。在546,根據所示的實施方式,SP 606驗證該斷言並且向CA 504提供成功訊息,從而向CA 504和CA 504的用戶提供對所請求的由SP 506提供的服務的存取。
第6A圖是在其中可以實施一個或多個揭露的實施方式的示例通信系統50的圖。通信系統50可以是向多個無線用戶提供內容(例如語音、資料、視訊、訊息發送、廣播等)的多重存取系統。通信系統50可以使多個無線用戶能夠通過系統資源(包括無線頻寬)的共用來存取這些內容。例如,通信系統50可以使用一種或多種通道存取方法,例如分碼多重存取(CDMA)、分時多重存取(TDMA)、分頻多重存取(FDMA)、正交FDMA(OFDMA)、單載波FMDA(SC-FDMA)等。
如第6A圖所示,通信系統50可以包括無線發射/接收單元(WTRU)52a、52b、52c、52d,無線電存取網路(RAN)54,核心網路56,公共交換電話網路(PSTN)58、網際網路60和其他網路62。不過應該理解的是,揭露的實施方式考慮到了任何數量的WTRU、基地台、網路和/或網路元件。WTRU 52a、52b、52c、52d的每一個可以是被配置為在無線環境中進行操作和/或通信的任何類型的裝置。作為示例,WTRU 52a、52b、52c、52d可以被配置為傳送和/或接收無線信號,並可以包括用戶設備(UE)、移動站、固定或者移動訂戶單元、傳呼機、行動電話、個人數位助理(PDA)、智慧型電話、膝上型電腦、上網本、個人電腦、無線感測器、消費電子產品等等。
通信系統50還可以包括基地台64a和基地台64b。基地台64a、64b的每一個都可以是被配置為與WTRU 52a、52b、52c、52d中的至少一個有無線介面以便於存取一個或者多個通信網路(例如核心網路56、網際網路60和/或網路62)的任何類型的裝置。作為示例,基地台64a、64b可以是基地台收發台(BTS)、節點B、e節點B、家用節點B、家用e節點B、網站控制器、存取點(AP)、無線路由器等等。雖然基地台64a、64b的每一個被描述為單獨的元件,但是應該理解的是,基地台64a、64b可以包括任何數量的互連基地台和/或網路元件。
基地台64a可以是RAN 54的一部分,該RAN 54還可以包括其他基地台和/或網路元件(未顯示),例如基地台控制器(BSC)、無線電網路控制器(RNC)、中繼節點等。基地台64a和/或基地台64b可以被配置為在特定地理區域內傳送和/或接收無線信號,該區域可以被稱為胞元(未顯示)。胞元還可以被劃分為胞元扇區。例如,與基地台64a關聯的胞元可以劃分為三個扇區。因此,在一種實施方式中,基地台64a可以包括三個收發器,即胞元的每個扇區有一個。在一種實施方式中,基地台64a可以使用多輸入多輸出(MIMO)技術,因此可以將多個收發器用於胞元的每一個扇區。
基地台64a、64b可以通過空中介面66與WTRU 52a、52b、52c、52d中的一個或者多個通信,該空中介面66可以是任何合適的無線通訊鏈路(例如,射頻(RF)、微波、紅外(IR)、紫外(UV)、可見光等)。可以使用任何合適的無線電存取技術(RAT)來建立空中介面66。
更具體地,如上所述,通信系統50可以是多重存取系統,並可以使用一種或者多種通道存取方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等等。例如,RAN 54中的基地台64a和WTRU 52a、52b、52c可以實施例如通用移動電信系統(UMTS)陸地無線電存取(UTRA)的無線電技術,其可以使用寬頻CDMA(WCDMA)來建立空中介面816。WCDMA可以包括例如高速封包存取(HSPA)和/或演進型HSPA(HSPA+)的通信協定。HSPA可以包括高速下行鏈路封包存取(HSDPA)和/或高速上行鏈路封包存取(HSUPA)。
在一種實施方式中,基地台64a和WTRU 52a、52b、52c可以實施例如演進型UMTS陸地無線電存取(E-UTRA)的無線電技術,其可以使用長期演進(LTE)和/或高級LTE(LTE-A)來建立空中介面66。
在其他實施方式中,基地台64a和WTRU 52a、52b、52c可以實施例如IEEE802.16(即,全球互通微波存取(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV-DO、暫行標準2000(IS-2000)、暫行標準95(IS-95)、暫行標準856(IS-856)、全球移動通信系統(GSM)、用於GSM演進的增強型資料速率(EDGE)、GSM EDGE(GERAN)等等的無線電技術。
第6A圖中的基地台64b可以是無線路由器、家用節點B、家用e節點B、毫微微胞元基地台或者存取點,例如,並且可以使用任何適當的RAT以便於局部區域中的無線連接,例如商業場所、住宅、車輛、校園等等。在一種實施方式中,基地台64b和WTRU 52c、52d可以實施例如IEEE 802.11的無線電技術來建立無線區域網路(WLAN)。在一種實施方式中,基地台64b和WTRU 52c、52d可以實施例如IEEE 802.15的無線電技術來建立無線個人區域網路(WPAN)。在另一種實施方式中,基地台64b和WTRU 52c、52d可以使用基於蜂巢的RAT(例如,WCDMA、CDMA2000、GSM、LTE、LTE-A等)來建立微微胞元或毫微微胞元。如第6A圖所示,基地台64b可以具有到網際網路60的直接連接。因此,基地台64b可以不需要經由核心網路56而存取網際網路60。
RAN 54可以與核心網路56通信,該核心網路56可以是被配置為向WTRU 52a、52b、52c、52d中的一個或多個提供語音、資料、應用和/或網際網路協定上的語音(VoIP)服務等的任何類型的網路。例如,核心網路56可以提供呼叫控制、計費服務、基於移動位置的服務、預付費呼叫、網路網路連接、視訊分發等、和/或執行高級安全功能,例如用戶驗證。雖然第6A圖中未示出,應該理解的是,RAN 54和/或核心網路56可以與使用和RAN 54相同的RAT或不同RAT的其他RAN進行直接或間接的通信。例如,除了連接到正在使用E-UTRA無線電技術的RAN 54之外,核心網路56還可以與使用GSM無線電技術的另一RAN(未示出)通信。
核心網路56還可以充當WTRU 52a、52b、52c、52d存取PSTN 58、網際網路60和/或其他網路62的閘道。PSTN 58可以包括提供普通老式電話服務(POTS)的電路交換電話網路。網際網路60可以包括使用公共通信協定的全球互聯電腦網路和裝置系統,該協定例如有TCP/IP網際網路協定組中的傳輸控制協定(TCP)、用戶資料包通訊協定(UDP)和網際網路協定(IP)。網路62可以包括被其他服務提供者擁有和/或營運的有線或無線通訊網路。例如,網路62可以包括連接到一個或多個RAN的另一核心網路,該RAN可以使用和RAN 54相同的RAT或不同的RAT。
通信系統800中的WTRU 52a、52b、52c、52d的某些或全部可以包括多模式能力,即WTRU 52a、52b、52c、52d可以包括用於在不同無線鏈路上與不同無線網路進行通信的多個收發器。例如,第6A圖中示出的WTRU 52c可被配置為與可以使用基於蜂巢的無線電技術的基地台64a通信,以及與可以使用IEEE 802無線電技術的基地台64b通信。
第6B圖是示例WTRU 52的系統圖。如第6B圖所示,WTRU 52可以包括處理器68、收發器70、發射/接收元件72、揚聲器/麥克風74、數字鍵盤76、顯示器/觸控板78、不可移除記憶體80、可移除記憶體82、電源84、全球定位系統(GPS)晶片組86和其他週邊設備88。應該理解的是,在保持與實施方式一致時,WTRU 52可以包括前述元件的任何子組合。
處理器68可以是通用處理器、專用處理器、常規處理器、數位訊號處理器(DSP)、多個微處理器、與DSP核相關聯的一個或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可程式設計閘陣列(FPGA)電路、任何其他類型的積體電路(IC)、狀態機等等。處理器68可執行信號編碼、資料處理、功率控制、輸入/輸出處理和/或使WTRU 52能夠運行於無線環境中的任何其他功能。處理器68可以耦合到收發器70,該收發器70可耦合到發射/接收元件72。雖然第6B圖描述了處理器68和收發器70是分別的部件,但是應該理解的是,處理器68和收發器70可以一起被整合在電子封裝或晶片中。處理器68可執行應用層程式(例如,瀏覽器)和/或無線電存取層(RAN)程式和/或通信。處理器68可在例如存取層和/或應用層執行例如驗證、安全密鑰協定、和/或加密操作的安全操作。
發射/接收元件72可以被配置為通過空中介面66將信號傳送到基地台(例如,基地台64a),或從基地台(例如,基地台64a)接收信號。例如,在一種實施方式中,發射/接收元件72可以是被配置為傳送和/或接收RF信號的天線。在一種實施方式中,發射/接收元件72可以是被配置為傳送和/或接收例如IR、UV或可見光信號的發射器/檢測器。在一種實施方式中,發射/接收元件72可以被配置為傳送和接收RF和光信號兩者。應當理解,發射/接收元件72可以被配置為傳送和/或接收無線信號的任何組合。
另外,雖然發射/接收元件72在第6B圖中被描述為單個元件,但是WTRU 52可以包括任意數量的發射/接收元件72。更具體的,WTRU 52可以使用MIMO技術。因此,在一種實施方式中,WTRU 52可以包括用於通過空中介面66傳送和接收無線信號的兩個或更多個發射/接收元件72(例如,多個天線)。
收發器70可以被配置為調變要由發射/接收元件72傳送的信號和/或解調由發射/接收元件72接收的信號。如上面提到的,WTRU 52可以具有多模式能力。因此收發器70可以包括用於使得WTRU 52能夠經由多個RAT(例如UTRA和IEEE 802.11)通信的多個收發器。
WTRU 52的處理器68可以耦合到下述設備,並且可以從下述設備中接收用戶輸入資料:揚聲器/麥克風74、數字鍵盤76和/或顯示器/觸控板78(例如,液晶顯示器(LCD)顯示單元或有機發光二極體(OLED)顯示單元)。處理器68還可以輸出用戶資料到揚聲器/麥克風74、數字鍵盤76和/或顯示器/觸控板78。另外,處理器818可以從任何類型的適當的記憶體存取資訊,並且可以儲存資料到任何類型的適當的記憶體中,該記憶體例如是不可移除記憶體80和/或可移除記憶體82。不可移除記憶體80可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟或任何其他類型的記憶體存放裝置。可移除記憶體82可以包括訂戶身份模組(SIM)卡、記憶棒、安全數位(SD)記憶卡等等。在其他實施方式中,處理器818可以從在實體上沒有位於WTRU 52上(例如位於伺服器或家用電腦(未示出)上)的記憶體存取資訊,並且可以將資料儲存在該記憶體中。
處理器68可以從電源84接收電力,並且可以被配置為分發和/或控制到WTRU 52中的其他部件的電力。電源84可以是給WTRU 52供電的任何適當的裝置。例如,電源84可以包括一個或多個乾電池(例如,鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等等),太陽能電池,燃料電池等等。
處理器68還可以耦合到GPS晶片組86,該GPS晶片組86可以被配置為提供關於WTRU 52的當前位置的位置資訊(例如,經度和緯度)。WTRU 52可以通過空中介面816從基地台(例如,基地台64a、64b)接收加上或取代GPS晶片組86資訊之位置資訊和/或基於從兩個或更多個鄰近基地台接收的信號的定時來確定其位置。應當理解,在保持實施方式的一致性時,WTRU 52可以通過任何適當的位置確定方法來獲得位置資訊。
處理器68還可以耦合到其他週邊設備88,該週邊設備88可以包括提供附加特徵、功能和/或有線或無線連接的一個或多個軟體和/或硬體模組。例如,週邊設備88可以包括加速計、電子羅盤、衛星收發器、數位相機(用於照片或視訊)、通用序列匯流排(USB)埠、振動裝置、電視收發器、免持耳機、藍芽®模組、調頻(FM)無線電單元、數位音樂播放機、媒體播放機、視訊遊戲機模組、網際網路瀏覽器等等。
第6C圖是根據實施方式的RAN 54和核心網路806的系統圖。如上所述,RAN 54可使用UTRA無線電技術以通過空中介面66與WTRU 52a、52b、52c通信。RAN 54還可以與核心網路806通信。如第6C圖所示,RAN 54可以包括節點B 90a、90b、90c,該節點B 90a、90b、90c的每一個可以包括一個或多個用於通過空中介面66與WTRU 52a、52b、52c通信的收發器。節點B 90a、90b、90c的每一個可以與RAN 54內的特定胞元(未顯示)關聯。RAN 54還可以包括RNC 142a、142b。應當理解的是,在保持實施方式的一致性時,RAN 54可以包括任意數量的節點B和RNC。
如第6C圖所示,節點B 90a、90b可以與RNC 92a通信。此外,節點B 90c可以與RNC 92b通信。節點B 90a、90b、90c可以經由Iub介面與各自的RNC 92a、92b通信。RNC 92a、92b可以經由Iur介面相互通信。RNC 92a、92b的每一個可以被配置為控制與其連接的各個節點B 90a、90b、90c。另外,RNC 92a、92b的每一個可以被配置為執行和/或支持其他功能,例如外環功率控制、負載控制、准入控制、封包排程、切換控制、巨集分集、安全功能、資料加密等等。
第6C圖中所示的核心網路806可以包括媒體閘道(MGW)844、移動交換中心(MSC)96、服務GPRS支援節點(SGSN)98、和/或閘道GPRS支持節點(GGSN)99。儘管前述元件的每一個被描述為核心網路56的一部分,應當理解的是,這些元件中的任何一個可以被核心網路營運商以外的實體擁有和/或營運。
RAN 54中的RNC 92a可以經由IuCS介面連接至核心網路56中的MSC 96。MSC 96可以連接至MGW 94。MSC 96和MGW 94可以向WTRU 52a、52b、52c提供到電路切換式網路(例如PSTN 58)的存取,以便於WTRU 52a、52b、52c與傳統陸線通信裝置之間的通信。
RAN 54中的RNC 92a還可以經由IuPS介面連接至核心網路806中的SGSN 98。SGSN 98可以連接至GGSN 99。SGSN 98和GGSN 99可以向WTRU 52a、52b、52c提供到封包交換網路(例如網際網路60)的存取,以便於WTRU 52a、52b、52c與IP賦能裝置之間的通信。
如上所述,核心網路56還可以連接至網路62,該網路62可以包括由其他服務提供者擁有和/或營運的其他有線或無線網路。
雖然以上以特定的組合描述了特徵和元素,但是每個特徵或元素可以單獨或與其他的特徵和元件以任意組合方式使用。此外,此處描述的實施方式僅用於示例的目的。例如,雖然此處描述的實施方式使用OpenID和/或SSO驗證實體和功能,使用其他驗證實體和功能的相似實施方式也可被實施。此外,這裡描述的實施方式可以用電腦程式、軟體或韌體實現,其可包含到由電腦或處理器執行的電腦可讀媒體中。電腦可讀媒體的示例包括電子信號(通過有線或無線連接傳送)和電腦可讀儲存媒體。電腦可讀儲存媒體的示例包括但不限於,唯讀記憶體(ROM)、隨機存取記憶體(RAM)、暫存器、快取記憶體、半導體記憶體裝置、例如內部硬碟和可移除磁片的磁性媒體,磁光媒體和例如光碟(CD-ROM)或數位通用碟片(DVD)的光媒體。與軟體關聯的處理器可用於實現用在WTRU、UE、終端、基地台、RNC或任何主機電腦中的射頻收發器。
AA、110a、110b、110c、110d‧‧‧驗證代理
CA、104、108‧‧‧用戶端代理
MFAP、112‧‧‧多因素驗證代理
UE、102、106‧‧‧用戶設備
100‧‧‧驗證系統
114‧‧‧本地鏈路
118‧‧‧內部鏈路
Claims (20)
- 【第1項】一種用戶設備(UE),該UE包括一多因素驗證代理(MFAP),該MFAP進行操作以:
確定需要多個驗證因素以針對存取由一服務提供者(SP)提供的一服務對該UE的用戶進行驗證;
識別在與該UE不同的一裝置上的一驗證代理(AA),以使用該所需的驗證因素中的一者執行一驗證;
建立至該不同的裝置的一本地鏈路;
觸發該AA以執行所述驗證;以及
經由該本地鏈路接收表示該AA的一成功驗證的一斷言。 - 【第2項】如申請專利範圍第1項所述的UE,其中該MFAP還進行操作以識別該UE上的一個或者多個附加驗證代理,以使用該所需的驗證因素中的至少另一個驗證因素執行驗證。
- 【第3項】如申請專利範圍第1項所述的UE,其中該MFAP還進行操作以識別與該UE不同的一第二不同裝置上的一個或者多個附加驗證代理,以使用該所需的驗證因素中的至少另一個驗證因素執行驗證,並且其中該MFAP經由一本地鏈路或者一遠端鏈路與該一個或者多個附加驗證代理通信。
- 【第4項】如申請專利範圍第1項所述的UE,其中該MFAP還進行操作以將表示成功驗證的該斷言直接發送至該SP。
- 【第5項】一種在包括一第一用戶設備(UE)、一服務提供者(SP)和一多因素驗證代理(MFAP)的一系統中由該MFAP執行的方法,該方法包括:
基於該SP的一策略,確定需要一多因素驗證以用於該第一UE的一用戶存取由該SP提供的一服務;
識別一第一驗證代理以執行一第一因素驗證;
觸發產生一第一權證的該第一因素驗證;
識別一第二驗證代理以執行一第二因素驗證;
觸發產生一第二權證的該第二因素驗證;
發送該第一權證和該第二權證至該第一UE的一第一用戶端代理,從而使得該第一UE能夠存取由該SP提供的該服務。 - 【第6項】如申請專利範圍第6項所述的方法,其中該第一UE的該用戶通過利用該第一用戶端代理的一驗證轉移至一第二用戶端代理。
- 【第7項】如申請專利範圍第6項所述的方法,其中該第二用戶端代理駐留在該第一UE上或者與該第一UE不同的一第二UE上。
- 【第8項】如申請專利範圍第5項所述的方法,其中該第一權證被綁定至表示該第一因素驗證的一會話身份。
- 【第9項】如申請專利範圍第5項所述的方法,其中該MFAP駐留在該第一UE上。
- 【第10項】如申請專利範圍第9項所述的方法,其中該MFAP經由一本地鏈路或者一遠端鏈路與該第二UE的該第二用戶端代理通信。
- 【第11項】如申請專利範圍第5項所述的方法,其中該MFAP駐留在一第二UE上,並且其中該MFAP經由一本地鏈路或者一遠端鏈路與該第一UE的該第一用戶端代理通信。
- 【第12項】如申請專利範圍第5項所述的方法,其中該第一權證和該第一權證中的每一者包括一數位簽章、一加密值、一隨機值或者一臨時身份中的至少一者。
- 【第13項】如申請專利範圍第5項所述的方法,其中該第一驗證代理和該第二驗證代理中的至少一者駐留在第一二UE上。
- 【第14項】如申請專利範圍第5項所述的方法,其中該SP的該策略包括該多因素驗證的一所需的保證等級,並且其中該第一驗證代理和該第二驗證代理基於該多因素驗證的該保證等級被識別。
- 【第15項】如申請專利範圍第5項所述的方法,該方法還包括:
基於該第一權證的一保證等級和該第二權證的一保證等級,來確定一聚合保證等級。 - 【第16項】如申請專利範圍第5項所述的方法,該方法還包括:
識別一第三因素驗證代理以執行一第三因素驗證;以及
觸發產生一第三權證的該第三因素驗證。 - 【第17項】如申請專利範圍第5項所述的方法,其中該第一驗證代理和該第二驗證代理分別與一和一第二身份提供商相關聯。
- 【第18項】一種在通信網路中的用戶設備(UE),該UE包括:
包括可執行指令的一記憶體;以及
一處理器,當執行可執行指令時,該處理器實現的操作包括:
確定需要多個驗證因素以針對存取由一服務提供者(SP)提供的一服務對該UE的一用戶進行驗證;
識別在與相較該UE之一不同的裝置上的一驗證代理(AA),以使用該所需的驗證因素中的一者執行一驗證;
建立至該不同的裝置的一本地鏈路;
觸發該AA以執行該驗證;以及
經由該本地鏈路接收表示該AA的一成功驗證的一斷言。 - 【第19項】如申請專利範圍第18項所述的UE,其中該處理器實現的操作還包括:
識別該UE上的一個或者多個附加驗證代理,以使用該所需的驗證因素中的至少另一個驗證因素執行驗證。 - 【第20項】如申請專利範圍第18項所述的UE,其中該處理器實現的操作還包括:
識別相較該UE之一第二不同的裝置上的一個或者多個附加驗證代理,以使用該所需的驗證因素中的至少另一個驗證因素執行驗證。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361805851P | 2013-03-27 | 2013-03-27 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201515484A true TW201515484A (zh) | 2015-04-16 |
Family
ID=50625201
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103111465A TW201515484A (zh) | 2013-03-27 | 2014-03-27 | 多實體間無縫驗證 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20160050234A1 (zh) |
| EP (1) | EP2979426A1 (zh) |
| JP (2) | JP2016519367A (zh) |
| TW (1) | TW201515484A (zh) |
| WO (1) | WO2014160853A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160012216A1 (en) * | 2014-04-10 | 2016-01-14 | Sequitur Labs Inc. | System for policy-managed secure authentication and secure authorization |
| US10142338B2 (en) * | 2014-09-12 | 2018-11-27 | Id.Me, Inc. | Systems and methods for online third-party authentication of credentials |
| US9497573B2 (en) * | 2015-02-03 | 2016-11-15 | Qualcomm Incorporated | Security protocols for unified near field communication infrastructures |
| US9686272B2 (en) * | 2015-02-24 | 2017-06-20 | Go Daddy Operating Company, LLC | Multi factor user authentication on multiple devices |
| US11122034B2 (en) | 2015-02-24 | 2021-09-14 | Nelson A. Cicchitto | Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system |
| US11171941B2 (en) * | 2015-02-24 | 2021-11-09 | Nelson A. Cicchitto | Mobile device enabled desktop tethered and tetherless authentication |
| US9779230B2 (en) * | 2015-09-11 | 2017-10-03 | Dell Products, Lp | System and method for off-host abstraction of multifactor authentication |
| US10305891B2 (en) * | 2016-05-12 | 2019-05-28 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
| US10049673B2 (en) * | 2016-12-19 | 2018-08-14 | Bank Of America Corporation | Synthesized voice authentication engine |
| US10446157B2 (en) | 2016-12-19 | 2019-10-15 | Bank Of America Corporation | Synthesized voice authentication engine |
| US10873583B2 (en) | 2017-09-20 | 2020-12-22 | Microsoft Technology Licensing, Llc | Extensible framework for authentication |
| US11151239B2 (en) | 2017-10-02 | 2021-10-19 | Red Hat, Inc. | Single sign-on management for multiple independent identity providers |
| US10609082B2 (en) | 2017-11-10 | 2020-03-31 | Microsoft Technology Licensing, Llc | Identity experience framework |
| KR102026375B1 (ko) * | 2017-12-18 | 2019-09-27 | 부산대학교 산학협력단 | 웨어러블 디바이스 통신 지원 장치 및 방법 |
| US10798083B2 (en) | 2018-02-19 | 2020-10-06 | Red Hat, Inc. | Synchronization of multiple independent identity providers in relation to single sign-on management |
| US10063542B1 (en) | 2018-03-16 | 2018-08-28 | Fmr Llc | Systems and methods for simultaneous voice and sound multifactor authentication |
| US11159674B2 (en) | 2019-06-06 | 2021-10-26 | International Business Machines Corporation | Multi-factor authentication of caller identification (ID) identifiers |
| US11336682B2 (en) | 2019-07-09 | 2022-05-17 | Nice Ltd. | System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels |
| US11695768B1 (en) * | 2021-02-09 | 2023-07-04 | Wells Fargo Bank, N.A. | Systems and methods for locally conducting delegated authentication at edge nodes |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7219154B2 (en) * | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
| US8245292B2 (en) * | 2005-11-16 | 2012-08-14 | Broadcom Corporation | Multi-factor authentication using a smartcard |
| EP1958118A4 (en) * | 2005-12-05 | 2011-06-01 | Nokia Corp | COMPUTER PROGRAM PRODUCT, DEVICE AND METHOD FOR SAFE HTTP DIGEST RESPONSE ANSWER AND INTEGRITY PROTECTION IN A MOBILE DEVICE |
| JP4795364B2 (ja) * | 2005-12-07 | 2011-10-19 | シャープ株式会社 | 認証装置、そのプログラムおよび記録媒体 |
| JP2009020742A (ja) * | 2007-07-12 | 2009-01-29 | Ricoh Co Ltd | 追加機能提供プログラム、追加機能提供方法及び情報処理装置 |
| JP5459583B2 (ja) * | 2009-03-25 | 2014-04-02 | 日本電気株式会社 | 認証方法及びその認証システム並びにその認証処理プログラム |
| CN102763111B (zh) * | 2010-01-22 | 2015-08-05 | 交互数字专利控股公司 | 用于可信联合身份管理和数据接入授权的方法和设备 |
| US8756650B2 (en) * | 2010-03-15 | 2014-06-17 | Broadcom Corporation | Dynamic authentication of a user |
| WO2011128183A2 (en) * | 2010-04-13 | 2011-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for interworking with single sign-on authentication architecture |
| US8966600B2 (en) * | 2010-12-22 | 2015-02-24 | Intel Corporation | Method, apparatus and system for controlling access to computer platform resources |
| JP2012212211A (ja) * | 2011-03-30 | 2012-11-01 | Hitachi Ltd | 認証連携システム、および、認証連携方法 |
| EP2702745B1 (en) * | 2011-04-28 | 2015-04-08 | Interdigital Patent Holdings, Inc. | Sso framework for multiple sso technologies |
| US9659164B2 (en) * | 2011-08-02 | 2017-05-23 | Qualcomm Incorporated | Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device |
| US20130275282A1 (en) * | 2012-04-17 | 2013-10-17 | Microsoft Corporation | Anonymous billing |
| EP2932680A1 (en) * | 2012-12-12 | 2015-10-21 | Interdigital Patent Holdings, Inc. | Independent identity management systems |
| US8806205B2 (en) * | 2012-12-27 | 2014-08-12 | Motorola Solutions, Inc. | Apparatus for and method of multi-factor authentication among collaborating communication devices |
-
2014
- 2014-03-27 US US14/779,584 patent/US20160050234A1/en not_active Abandoned
- 2014-03-27 JP JP2016505564A patent/JP2016519367A/ja active Pending
- 2014-03-27 TW TW103111465A patent/TW201515484A/zh unknown
- 2014-03-27 WO PCT/US2014/031998 patent/WO2014160853A1/en active Application Filing
- 2014-03-27 EP EP14720433.3A patent/EP2979426A1/en not_active Withdrawn
-
2018
- 2018-01-26 JP JP2018011690A patent/JP2018092645A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018092645A (ja) | 2018-06-14 |
| JP2016519367A (ja) | 2016-06-30 |
| US20160050234A1 (en) | 2016-02-18 |
| EP2979426A1 (en) | 2016-02-03 |
| WO2014160853A1 (en) | 2014-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2018092645A (ja) | 複数のエンティティにまたがるシームレスな認証 | |
| US9467429B2 (en) | Identity management with generic bootstrapping architecture | |
| KR101670973B1 (ko) | 무선 유닛의 사용자를 인증하는 방법들 및 시스템들 | |
| TWI514896B (zh) | 可信賴聯合身份方法及裝置 | |
| KR101924683B1 (ko) | 요구된 인증 보증 레벨을 달성하기 위한 다중요소 인증 | |
| KR101636028B1 (ko) | 로컬 기능을 갖는 아이덴티티 관리 | |
| TWI558253B (zh) | 進行用戶認證的計算機執行方法及使用用戶識別碼得到存取目標域處服務的方法 | |
| US20150319156A1 (en) | Independent identity management systems | |
| US11432150B2 (en) | Method and apparatus for authenticating network access of terminal | |
| US8509431B2 (en) | Identity management on a wireless device | |
| US20150244685A1 (en) | Generalized cryptographic framework |