TW201626832A - 具軀域OpenID用戶端及伺服器群SSO - Google Patents

具軀域OpenID用戶端及伺服器群SSO Download PDF

Info

Publication number
TW201626832A
TW201626832A TW105109085A TW105109085A TW201626832A TW 201626832 A TW201626832 A TW 201626832A TW 105109085 A TW105109085 A TW 105109085A TW 105109085 A TW105109085 A TW 105109085A TW 201626832 A TW201626832 A TW 201626832A
Authority
TW
Taiwan
Prior art keywords
domain
user
identifier
opsf
openid
Prior art date
Application number
TW105109085A
Other languages
English (en)
Inventor
尹赫 車
安德魯斯 史密特
安德魯斯 萊赫
Original Assignee
內數位專利控股公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 內數位專利控股公司 filed Critical 內數位專利控股公司
Publication of TW201626832A publication Critical patent/TW201626832A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • H04L61/302Administrative registration, e.g. for domain names at internet corporation for assigned names and numbers [ICANN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

行動通信裝置的用戶可以使用用於存取源域中的服務的源域識別碼來存取目標域中的服務。為了能夠在目標域中使用源域識別碼,源域識別碼可以首先被登記在目標域中。藉由目標域處的登記實體,例如閘道或OpenID伺服器,可以執行該登記。登記實體可以與用戶的裝置建立安全頻道以能夠登記源域識別碼。一旦被登記,源域識別碼可以用於目標域中的用戶認證。源域識別碼的登記及/或基於登記的源域識別碼的用戶認證可以使用位於用戶的裝置的本地OpenID提供方(OP)來執行。

Description

具軀域OpenID用戶端及伺服器群SSO
本申請案要求2011年1月7日提出的美國臨時專利申請案No.61/430,869的權益,其全部內容作為引用結合於此。
行動通信裝置的使用能夠讓用戶在他們從一個位置移動到另一位置時存取多個服務。例如,用戶在移動位置時可能進入到各種無線網路或域的附近。每個網路可以向用戶提供多個服務。為了存取這些服務,用戶可能必須使用已註冊的用戶識別碼登陸到網路。服務提供方可以使用該已註冊的用戶識別碼來認證該用戶以允許該用戶存取其服務。
如果用戶想在另一個網路或域中存取服務,該用戶可能被迫執行另一註冊。如果用戶嘗試使用在另一域中已經註冊的用戶識別碼,則他們可能接收到錯誤訊息。因此,用戶可能必須分別向用戶希望存取來自服務提供方的服務的每個網路註冊。這可能需要用戶記住許多不同的已註冊識別碼。替代地,用戶可能需要在每個網路中註冊相同或相似的識別碼以避免必須記住每一個不同的已註冊識別碼。這樣做可能帶來安全性問題,因為進攻者可能獲取一個網路的識別碼,這樣可以存取用戶已使用該相同識別碼的其他網路。
一些服務提供方可以實施OpenID來解決這些問題中的一些。但是,甚至使用OpenID,用戶端可能屬於藉由其發現以及與域實體之間的信任關係所定義的域。用戶端可能不能登錄到屬於另一識別碼域的可 信賴方(RP),因為此RP不能與源域中的認證實體之間具有信任關係,因此可能不可以信任來自用戶端的認證。
本部分用於以簡單形式介紹各種概念,這將在下面的具體實施方式中進一步描述。
這裏描述了用於源域與目標域之間的識別碼聯合(federation)的系統、方法以及裝置實施方式。如這裏所述,源域識別碼可以被登記在目標域中且可以使用源域識別碼在目標域中認證用戶。源域識別碼可以與用戶相關聯。源域識別碼可以使得用戶能夠在源域中存取源域服務。源域識別碼可以被登記在目標域中以使得用戶可以使用源域識別碼來存取目標域服務。可以使用所登記的源域識別碼在目標域啟用用戶認證。可以使用OpenID提供方(OP)執行該認證。例如,OP可以是位於用戶裝置上的本地OP。一旦用戶已經被認證,用戶就可以存取目標域服務。
根據另一個示例實施方式,源域識別碼可以被發送到目標域以獲得在目標域對服務的存取。例如,源域識別碼可以使得用戶能夠在源域存取源域服務。可以接收對用戶認證的請求以能夠在目標域登記源域識別碼。可以使用用戶裝置處的本地識別碼提供方來認證用戶。在目標域可以建立到登記實體的安全頻道。登記實體可以被配置用於例如能夠在目標域登記源域識別碼。可以使用所建立的安全頻道將用戶認證發送到登記實體。
根據另一個示例實施方式,可以接收請求以用於執行本地用戶認證,以使用源域識別符在目標域對用戶進行認證。可以使用用戶裝置上的本地識別碼提供方來執行用戶認證。可以建立到被配置用於在目標域提供服務的服務提供方的安全頻道。可以使用到該服務提供方的安全頻道來發送本地用戶認證以能夠存取服務。
本部分用於以簡單方式介紹概念選擇,這將在下面具體實施方式部分進一步描述。該部分不旨在確定要求主題的關鍵特徵或必要特徵,也不旨在用於限制要求主題的範圍。此外,要求主題不限於解決本揭露任何部分中註明的任何或所有缺點的實施方式。
100‧‧‧示例通信系統
102a、102b、102c、102d‧‧‧無線傳輸/接收單元(WTRU)
104‧‧‧無線電存取網路(RAN)
106‧‧‧核心網路
108‧‧‧公共交換電話網(PSTN)
110‧‧‧網際網路
112‧‧‧其他網路
116‧‧‧空氣介面
118‧‧‧處理器
120‧‧‧收發器
122‧‧‧傳輸/接收元件
124‧‧‧揚聲器/麥克風
126‧‧‧鍵盤
128‧‧‧顯示器/觸控板
130‧‧‧不可移式記憶體
132‧‧‧可移式記憶體
134‧‧‧電源
136‧‧‧全球定位系統(GPS)碼片組
138‧‧‧週邊裝置
140a、140b、140c‧‧‧節點B
142a、142c‧‧‧無線電網路控制器
144‧‧‧媒體閘道(MGW)
146‧‧‧行動交換中心(MSC)
148‧‧‧服務GPRS支援節點(SGSN)
150‧‧‧閘道GPRS支援節點(GGSN)
IuCS、Iub‧‧‧介面
202、1002‧‧‧目標識別碼域
204、1004‧‧‧源識別碼域
206、208、940、1006、1008‧‧‧OPSF
210、1012‧‧‧可信賴方(RP)
212、1010、1014‧‧‧用戶端
214、1016、1018、1210‧‧‧本地OP
OP‧‧‧本地OpenID提供方
348、446、534、660、758、802、932‧‧‧用戶
350、448、536、662、760、806‧‧‧瀏覽代理(BA)
352、450、538、664、762、810、936‧‧‧OPloc
354、452、1114、1124‧‧‧閘道(GW、GWa、GWN)
356、454‧‧‧RPG
358、456‧‧‧OPagg,G
360、458‧‧‧OPSFG
362‧‧‧OPagg,S
364、670‧‧‧OPSFS
OIDs‧‧‧源域S
AUTHG‧‧‧認證協定
HTTPS‧‧‧安全頻道
KS、KG、Kasc、KT‧‧‧密鑰
dG、dT‧‧‧參數
OIDG‧‧‧OpenID識別符
DNS‧‧‧本地功能變數名稱伺服器
OpenID‧‧‧開放識別碼
SDBG‧‧‧資料庫
ENRG‧‧‧登記
540‧‧‧RPT
542、668、768‧‧‧OpenID聚合實體(OPagg)
544、666、764、808‧‧‧識別符(OPSFT)
OPSF‧‧‧OpenID服務功能
606、656、754‧‧‧程序(R、F)
S’‧‧‧簽名密鑰
770‧‧‧OPN
SR‧‧‧根秘密
804‧‧‧用戶端應用
812‧‧‧卡終端(CT)
814‧‧‧eID卡
eID‧‧‧電子識別碼檔
934‧‧‧應用
938‧‧‧服務註冊方
OIDenr‧‧‧登錄識別符
1102、1202‧‧‧用戶設備(UE)
1104、1206‧‧‧閘道管理者(GWG)
1106、1108、1110、1116、1118、1120、1208‧‧‧服務(Saa、Sai、Sak、SNA、SNI、SNK、Sij)
1120、1112‧‧‧層(FN、Fa)
1124‧‧‧GWN
1204‧‧‧底層閘道(GWFi)
1218‧‧‧策略提供方
從以下以示例方式結合所附圖式給出的描述中可以得到更詳細的理解,其中:第1A圖是可以實施一個或多個揭露的實施方式的示例通信系統的系統圖;第1B圖是可以在第1A圖中示出的通信系統中使用的示例無線傳輸/接收單元(WTRU)的系統圖;第1C圖是可以在第1A圖中示出的通信系統中使用示例無線電存取網路和示例核心網路的系統圖;第2圖是在本地OpenID的環境下用於聯合的源和目標識別碼域;第3圖是示出基於閘道的本地OpenID登記協定的流程圖;第4圖是示出基於閘道的本地OpenID認證協定的流程圖;第5圖是示出OpenID認證協定的另一個流程圖;第6圖是示出OpenID登記協定的另一個流程圖;第7圖是示出用於執行來自OpenID域的攝入(ingestion)的協定的流程圖;第8圖是示出使用eID卡的攝入的圖;第9圖是示出使用次級頻道對裝置綁定進行服務註冊的流程圖;第10圖是示出能夠藉由使用來自目標域中另一用戶端的本地OpenID提供方(本地OP)來存取目標域中的服務的用戶端的圖;第11圖是示出用於用戶設備(UE)的底層(floor-level)服務存取的 圖;以及第12圖是示出使用本地OpenID的用於UE的底層服務存取的圖。
這裏提供了所用術語描述。本地IdP是用於本地用戶端實體和可以進行本地做出(即,非常接近裝置)的用於用戶/裝置的識別碼判定的該實體的功能的術語。RP是OpenID協定中的可信賴方或嘗試驗證用戶/裝置的識別碼並與識別碼提供方之間具有信任關係的其他應用服務提供方。OP是OpenID提供方協定實體。GW是閘道,諸如控制例如連接的實體間的網際網路訊務的實體。BA是瀏覽代理並可以包括能夠存取網際網路的用戶裝置上的任一基於網路的環境、應用或服務。OIDX是識別碼域X中的用戶的OpenID識別符(例如,URL或電子郵件位址)。OPX是OpenID識別碼域X的OpenID提供方。OPSFX是OpenID伺服器或具有識別碼域X中OpenID服務功能(OPSF)的實體。OPagg,X是識別碼域X中的OpenID提供方聚合實體(OPagg)。RPX是識別碼域/服務群組X中的可信賴方。U是一般行動用戶。UE是一般行動用戶的行動裝置。
本地行動SSO是用於總體指示傳統上由基於網路的SSO伺服器執行的單一簽名(SSO)及/或相關識別碼管理功能的部分或整體的術語。基於本地的實體及/或模組可以執行本地行動SSO,其可以例如是通信裝置本身的部分或全部。基於本地的實體/模組可以是實體及/或邏輯上位於(即,本地位於)通信裝置及/或其用戶的緊鄰的附近(例如,該實體/模組被嵌入到裝置中或藉由本地介面或有線連接或短程無限方式連結或連接到裝置)。本地OpenID是用於指示本地行動SSO實施的子集的術語,由此SSO或識別碼管理的實施可以基於OpenID協定。OpenID識別碼提供方(OP或OpenID IdP)的功能的部分或全部可以由位於本地的實體/模組來執行。
本地識別碼提供方(IdP)是用於指示可以執行OpenID伺服 器的功能的部分或全部的實體或模組的術語。OPloc還可以用於表示本地IdP。OPloc可以是與本地實體相關聯的本地OP,例如軟體或硬體。OPloc可以執行用於實施OpenID識別碼提供方的操作。根據一個示例,可以在智慧卡網路伺服器(SCWS)或其他可信任處理模組上實施OPloc。OPloc的功能之一可以用於經由關於用戶及/或裝置的識別碼的判定來促進用戶及/或裝置認證。該判定可以從OPloc被發送到裝置的瀏覽代理(BA)或其他應用,其然後可以將該判定轉發到外部可信賴方(RP)。當OPloc提供的功能主要被限制到提供該識別碼判定時,執行該功能的OPloc可以被稱為本地判定提供方(LAP)。
OPloc可以處理(例如,創建、管理及/或發送)一個或多個判定訊息。OPloc可以使用這些訊息來判定與用戶及/或裝置相關的一個或多個識別碼的驗證狀態。此判定可以被做出給這些訊息的一個或多個外部接收方。在OpenID協定中,例如RP之類的第三方實體可以是該判定訊息的接收方之一。OPloc可以例如藉由使用加密密鑰對該判定訊息進行簽名。
本地OpenID可以實施一個或多個加密密鑰。一個這樣的密鑰可以被稱為根會話密鑰並被表示為Krp,其可以是用於在RP與OP之間使用的會話密鑰,以充當可以從中導出其他密鑰的根會話密鑰。另一個這樣的密鑰可以稱為判定密鑰並被表示為Kasc,其可以是簽名密鑰,可以用於對用於用戶認證的一個或多個判定訊息進行簽名。Kasc可以從Krp導出。
本地OpenID還可以實施稱為OpenID服務功能(OPSF)的服務,其作用可以用於產生、共享及/或分配OPloc及/或可選地RP使用的秘密或簽名。外部RP可以將OPSF和OPloc視為單一實體。OPSF能夠驗證OPloc及/或本地OP所發佈的簽名、並可以經由公共網際網路由RP直接接觸到。藉由修改裝置上的本地功能變數名稱伺服器(DNS)解析快取記憶體,裝置上的瀏覽器或其他應用可以重新定向到OPloc,由此OPSF的位址可以映射到OPloc。OPSF及/或基於閘道的OP可以從RP的角度動作,就像它們是單一實 體。OPSF能夠驗證基於閘道的OP及/或OPloc所發佈的簽名、並可以經由公共網際網路由RP直接接觸到。藉由修改裝置上的本地DNS解析快取記憶體,裝置上的瀏覽器或其他應用可以被重新定向到基於閘道的OP,由此OPSF的位址映射到本地基於閘道的OP。根據示例實施方式,OPSF可以與OPagg位於相同的位置。
OPagg可以是OpenID提供方識別碼聚合功能。OPagg可以是本地OpenID使用的服務,其作用是用於代表RP促進OPloc的發現。OPagg可以是提供用於RP的發現服務的實體。根據OpenID標準,該OP操作服務可以是經由HTML或XRDS發現。OPagg實體可以在DNS位址上操作,DNS位址是OpenID識別符的部分(例如,如果識別符是http://openid.mno.com/id,則OPagg可以在http://openid.mno.com運作網路服務)。例如,OPagg可以是可以作為發現服務進行操作的行動網路操作方(MNO)的域中的伺服器。發現服務可以經由公共網際網路並可以是輕量的。
AUTHG是例如經由閘道GW向目標域G執行的認證。ENRG是向目標域G的OpenID登記,其還可以經由例如閘道被執行。LAA是可以執行任何形式的用戶認證(例如強用戶認證)並能夠向OPloc判定該用戶認證的本地認證代理。例如,LAA可以與生物特徵量測裝置、智慧卡讀取器、加密訊標等相關聯。PIN是個人識別號碼。KX是用於OpenID關聯模式的識別碼域X中的OPSFX與OPloc之間的長期共享秘密。SEE是安全執行環境。
第1A圖是可以實施一個或多個揭露的實施方式的示例通信系統100的圖。通信系統100可以是向多個無線用戶提供例如語音、資料、視訊、訊息發送、廣播等的內容的多重存取系統。通信系統100可以使得多個無線用戶能夠經由分享包括無線頻寬在內的系統資源來存取這些內容。例如,通信系統100可以使用一種或多種頻道存取方法,例如分碼多重存取(CDMA)、分時多重存取(TDMA)、分頻多重存取(FDMA)、正交FDMA(OFDMA)、單載波FDMA(SC-FDMA)等。
如第1A圖所示,通信系統100可以包括無線傳輸/接收單元(WTRU)102a、102b、102c、102d、無線電存取網路(RAN)104、核心網路106、公共交換電話網(PSTN)108、網際網路110以及其他網路112,但是應該理解的是所揭露的實施方式考慮了任意數量的WTRU、基地台、網路及/或網路元件。WTRU 102a、102b、102c、102d中每一個可以是被配置用於在無線環境中操作及/或通信的任意類型的裝置。例如,WTRU 102a、102b、102c、102d可以被配置用於傳送及/或接收無線信號並可以包括用戶設備(UE)、行動站、固定或行動用戶單元、呼叫器、蜂巢式電話、個人數位助理(PDA)、智慧型電話、膝上型電腦、隨身型易網機、個人電腦、無線感測器、消費性電子裝置等。
通信系統100還可以包括基地台114a和基地台114b。基地台114a、114b的每一個可以是被配置用於與WTRU 102a、102b、102c、102d的至少一個WTRU無線介面連接以促進對例如核心網路106、網際網路110及/或網路112的一個或多個通信網路的存取的任意類型的裝置。例如,基地台114a、114b可以是基地收發台(BTS)、節點B、e節點B、家用節點B、家用e節點B、站點控制器、存取點(AP)、無線路由器等。雖然基地台114a、114b每個被描述為單一元件,但是應該理解的是基地台114a、114b可以包括任意數量的互連的基地台及/或網路元件。
基地台114a可以是RAN 104的部分,其還可以包括其他基地台及/或網路元件(未示出),例如基地台控制器(BSC)、無線電網路控制器(RNC)、中繼節點等。基地台114a及/或基地台114b可以被配置用於在特定地理區域內傳送及/或接收無線信號,該特定地理區域可以被稱為胞元(未示出)。胞元還可以被劃分成胞元扇區。例如,與基地台114a相關聯的胞元可以被劃分成三個扇區。因此,在一個實施方式中,基地台114a可以包括三個收發器,即胞元的每個扇區一個收發器。在一個實施方式中,基地台114a可以使用多輸入多輸出(MIMO)技術並因此可以針對胞元的每個扇區 使用多個收發器。
基地台114a、114b可以經由空氣介面116與WTRU 102a、102b、102c、102d中的一個或多個進行通信,空氣介面116可以是任何合適的無線通信鏈路(例如,無線電頻率(RF)、微波、紅外(IR)、紫外(UV)、可見光等)。可以使用任何合適的無線電存取技術(RAT)來建立空氣介面116。
更具體地,如上所述,通信系統100可以是多重存取系統並可以使用一種或多種頻道存取方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等。例如,RAN 104中的基地台114a和WTRU 102a、102b、102c可以實施例如通用行動電信系統(UMTS)陸地無線電存取(UTRA)的無線電技術,其可以使用寬頻CDMA(WCDMA)來建立空氣介面116。WCDMA可以包括例如高速封包存取(HSPA)及/或演進型HSPA(HSPA+)等的通信協定。HSPA可以包括高速下行鏈路封包存取(HSDPA)及/或高速上行鏈路封包存取(HSUPA)。
在一個實施方式中,基地台114a和WTRU 102a、102b、102c可以實施例如演進型UMTS陸地無線電存取(E-UTRA)之類的無線電技術,其可以使用長期演進(LTE)及/或LTE高級(LTE-A)來建立空氣介面116。
在其他實施方式中,基地台114a和WTRU 102a、102b、102c可以實施的無線電技術例如有IEEE 802.16(即,全球微波互通存取(WiMAX))、CDMA 2000、CDMA2000 1X、CDMA2000 EV-DO、臨時標準2000(IS-2000)、臨時標準95(IS-95)、臨時標準856(IS-856)、全球行動通信系統(GSM)、GSM演進增強型資料速率(EDGE)、GSM EDGE(GERAN)等。
第1A圖中的基地台114b可以例如是無線路由器、家用節點B、家用e節點B、微微(femto)胞元基地台或存取點,並可以使用任意合 適的RAT來促進例如商業場所、家裏、車輛、校園等之類的局部區域內的無線連接。在一個實施方式中,基地台114b和WTRU 102c、102d可以實施例如IEEE 802.11之類的無線電技術來建立無線區域網路(WLAN)。在一個實施方式中,基地台114b和WTRU 102c、102d可以實施例如IEEE 802.15之類的無線電技術來建立無線個域網路(WPAN)。在還一個實施方式中,基地台114b和WTRU 102c、102d可以利用基於蜂巢的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等)來建立微微胞元或毫微微胞元。如第1A圖所示,基地台114b可以與網際網路110具有直接連接。因此,基地台114b可以不需要經由核心網路106存取網際網路110。
RAN 104可以與核心網路106通信,核心網路106可以是被配置用於向WTRU 102a、102b、102c、102d中的一個或多個提供語音、資料、應用及/或網際網路協定語音(VoIP)服務。例如,核心網路106可以提供呼叫控制、記賬服務、基於移動位置的服務、預付費呼叫、網際網路連接、視訊分配等,及/或執行高階安全功能,例如用戶認證。雖然在第1A圖中未示出,但是應當理解RAN 104及/或核心網路106可以是與使用與RAN 104使用的相同或不同的RAT的其他RAN直接或間接通信。例如,除了連接到使用E-UTRAN無線電技術的RAN 104,核心網路106還可以與使用GSM無線電技術的另一RAN(未示出)通信。
核心網路106還可以充當WTRU 102a、102b、102c、102d存取PSTN 108、網際網路110及/或其他網路112的閘道。PSTN 108可以包括提供普通老式電話服務(POTS)的電路交換電話網。網際網路110可以包括使用公共通信協定的互連電腦網路和裝置的全球系統。公共通信協定可以例如是TCP/IP網際網路協定族中的傳輸控制協定(TCP)、用戶資料報協定(UDP)以及網際網路協定(IP)。網路112可以包括其他服務提供方擁有及/或操作的有線或無線通信網路。例如,網路112可以包括連接到一個或多個RAN的另一核心網路,該一個或多個RAN可以域RAN 104使用相同或不同 的RAT。
通信系統100中一些或所有WTRU 102a、102b、102c、102d可以包括多模能力,換言之,WTRU 102a、102b、102c、102d可以包括在不同無線鏈路上與不同無線網路進行通信的多個收發器。例如,第1A圖所示的WTRU 102c可以被配置用於與使用基於蜂巢的無線電技術的基地台114a通信,以及與可以使用IEEE 802無線電技術的基地台114b通信。
第1B圖是例示WTRU 102的系統圖。如第1B圖所示,WTRU 102可以包括處理器118、收發器120、傳輸/接收元件122、揚聲器/麥克風124、鍵盤126、顯示器/觸控板128、不可移式記憶體130、可移式記憶體132、電源134、全球定位系統(GPS)碼片組136以及其他週邊裝置138。應該瞭解的是,在保持符合實施方式的同時,WTRU 102可以包括前述元件的任何子組合。
處理器118可以是通用處理器、專用處理器、常規處理器、數位信號處理器(DSP)、多個微處理器、與DSP核心關聯的一或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可編程閘陣列(FPGA)電路、其他任何類型的積體電路(IC)、狀態機等等。處理器118可以執行信號編碼、資料處理、功率控制、輸入/輸出處理及/或能使WTRU 102在無線環境中操作的任何其他功能。處理器118可以耦合至收發器120,收發器120可以耦合至傳輸/接收元件122。雖然第1B圖將處理器118和收發器120描述為是獨立元件,但是應該瞭解,處理器118和收發器120可以集成在一個電子封裝或晶片中。處理器118可以執行應用層程式(例如,瀏覽器)及/或無線電存取層(RAN)程式及/或通信。處理器118可以執行例如在存取層及/或應用層處的安全性操作,例如認證、安全密鑰協定及/或加密操作。
傳輸/接收元件122可以被配置用於經由空氣介面116來傳輸信號到基地台(例如基地台114a)或接收來自基地台(例如基地台114a)的信號。舉個例子,在一個實施方式中,傳輸/接收元件122可以是被配置用於 傳輸及/或接收RF信號的天線。在一個實施方式中,舉例來說,傳輸/接收元件122可以是被配置用於傳輸及/或接收IR、UV或可見光信號的發光體/偵測器。在再一個實施方式中,傳輸/接收元件122可以被配置用於傳輸和接收RF和光信號。應該瞭解的是,傳輸/接收元件122可以被配置用於傳輸及/或接收無線信號的任何組合。
此外,雖然在第1B圖中將傳輸/接收元件122描述為是單一元件,但是WTRU 102可以包括任何數量的傳輸/接收元件122。更具體地說,WTRU 102可以使用MIMO技術。因此,在一個實施方式中,WTRU 102可以包括用於經由空氣介面116來傳輸和接收無線電信號的兩個或多個傳輸/接收元件122(例如多個天線)。
收發器120可以被配置用於對傳輸/接收元件122將要傳輸的信號進行調變、以及對傳輸/接收元件122接收的信號進行解調。如上所述,WTRU 102可以具有多模能力。因此,收發器120可以包括能使WTRU 102經由諸如UTRA和IEEE 802.11之類的多種RAT來進行通信的多個收發器。
WTRU 102的處理器118可以耦合至揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128(例如液晶顯示器(LCD)顯示單元或有機發光二極體(OLED)顯示單元)、並且可以接收來自這些元件的用戶輸入資料。處理器118還可以向揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128輸出用戶資料。此外,處理器118可以從任何適當的記憶體(例如不可移式記憶體130及/或可移式記憶體132)中存取資訊、以及將資料存入這些記憶體。所述不可移式記憶體130可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟或是任何其他類型的記憶儲存裝置。可移式記憶體132可以包括用戶識別碼模組(SIM)卡、記憶條、安全數位(SD)記憶卡等等。在其他實施方式中,處理器118可以從那些並非實際位於WTRU 102的記憶體存取資訊、以及將資料存入這些記憶體,其中舉例來說,該記憶體可以位於伺服器或家用電腦(未顯示)。
處理器118可以接收來自電源134的電力、並且可以被配置分發及/或控制用於WTRU 102中的其他元件的電力。電源134可以是為WTRU 102供電的任何適當的裝置。舉例來說,電源134可以包括一個或多個乾電池(如鎳鎘(Ni-Cd)、鎳鋅(Ni-Zn)、鎳氫(NiMH)、鋰離子(Li-ion)等等)、太陽能電池、燃料電池等等。
處理器118還可以與GPS碼片組136耦合,該碼片組136可以被配置用於提供與WTRU 102的目前位置相關的位置資訊(例如經度和緯度)。作為來自GPS碼片組136的資訊的補充或替換,WTRU 102可以經由空氣介面116接收來自基地台(例如基地台114a、114b)的位置資訊、及/或根據從兩個或多個附近基地台接收的信號時序來確定其位置。應該瞭解的是,在保持符合實施方式的同時,WTRU 102可以用任何適當的定位方法來獲取位置資訊。
處理器118還可以耦合到其他週邊裝置138,這其中可以包括提供附加特徵、功能及/或有線或無線連接的一個或多個軟體及/或硬體模組。例如,週邊裝置138可以包括加速度計、電子指南針、衛星收發器、數位相機(用於照片和視訊)、通用串列匯流排(USB)埠、振動裝置、電視收發器、免持耳機、藍芽®模組、調頻(FM)無線電單元、數位音樂播放器、視訊遊戲機模組、網際網路瀏覽器等等。
第1C圖是根據一個實施方式的RAN 104和核心網路106的系統圖。如上所述,RAN 104可以使用UTRA無線電技術以經由空氣介面116來與WTRU 102a、102b、102c進行通信。並且該RAN 104還可以與核心網路106通信。如第1C圖所示,RAN 104可以包括節點B 140a、140b、140c,而節點B 140a、140b、140c中的每一個都可以包括一個或多個收發器,以便經由空氣介面116來與WTRU 102a、102b、102c進行通信。每一個節點B 140a、140b、140c都可以與RAN 104內部的特定胞元(未顯示)相關聯。RAN 104還可以包括RNC 142a、142b。應該瞭解的是,在保持符合實施方 式的同時,RAN 104可以包括任何數量的節點B和RNC。
如第1C圖所示,節點B 140a、140b可以與RNC 142a進行通信。此外,節點B 140c可以與RNC 142b進行通信。節點B 140a、140b、140c可以經由Iub介面來與各自的RNC 142a、142b進行通信。RNC 142a、142b彼此可以經由Iur介面來進行通信。每一個RNC 142a、142b都可以被配置用於控制與其相連的各自節點B 140a、140b、140c。此外,每一個RNC 142a、142b都可以被配置用於執行或者支援其他功能,例如外環功率控制、負載控制、許可控制、封包排程、切換控制、巨集分集、安全功能、資料加密等等。
第1C圖所示的核心網路106可以包括媒體閘道(MGW)144、行動交換中心(MSC)146、服務GPRS支援節點(SGSN)148及/或閘道GPRS支援節點(GGSN)150。雖然每一個前述元件都被描述為是核心網路106的一部分,但是應該瞭解,這其中的任一元件都可以被核心網路操作者之外的實體擁有及/或操作。
RAN 104中的RNC 142a可以經由IuCS介面連接到核心網路106中的MSC 146。MSC 146可以連接到MGW 144。MSC 146和MGW 144可以為WTRU 102a、102b、102c提供針對PSTN 108之類的電路交換網路的存取,以便促進WTRU 102a、102b、102c與傳統的陸線通信裝置之間的通信。
RAN 104中的RNC 142a還可以經由IuPS介面連接到核心網路106中的SGSN 148。SGSN 148可以連接到GGSN 150。SGSN 148和GGSN 150可以為WTRU 102a、102b、102c提供針對網際網路110之類的封包交換網路的存取,以便促進WTRU 102a、102b、102c與IP賦能的裝置之間的通信。
如上所述,核心網路106還可以連接到網路112,其中該網路112可以包括其他服務供應者擁有及/或操作的其他有線或無線網路。
上述一個及/或多個通信系統可以用於執行這裏所述的基於OpenID的認證中。根據示例實施方式,用戶可以加入工作會議,在該工作會議中他們希望使用投影(projection)服務將工作相關資料投影在該會議。工作相關資料可以被儲存在它們工作域的雲端服務上(例如,經由T-MOBILE®雲),但是會議域可以具有在站點可存取的Wi-Fi投影服務。用戶在適用於啟用投影服務使用的會議域可能沒有已註冊的用戶識別碼。但是,會議域和用戶的工作域都可以是OpenID可存取的。因此,使用這裏所述的實施方式,用戶可以使用在他們工作域的用戶的已註冊識別碼在會議域處獲得對Wi-Fi投影服務的存取。
使用行動本地OpenID,可以基於OpenID來執行認證,其中可以分配例如OP的認證實體。OP可以包括位於UE上的OPloc。例如,OPloc可以包括智慧卡網頁伺服器(SCWS),其可以包括位於UE上的智慧卡(例如UICC)上的OP。根據一個實施方式,這裏描述了SSO方案中位於用戶端上的OP實體的應用。用戶端及/或服務的群組(例如RP)可以被動態管理以提供上下文(context)豐富的SSO。這裏所述的實施方式可以被映射到被管理設施中的實體及/或服務存取控制的應用情形。
識別碼聯合及/或分組可以在位於OpenID用戶端上的OP的環境中被實施。這裏描述了用於在不同域之間聯合基於本地OP的識別碼的系統和方法。這裏還揭露了用於管理用戶及/或可信賴方群組的系統和方法。
識別碼聯合可以允許使用用戶端識別碼,該用戶端識別碼可以是在一個域中有效用於在另一個域內執行認證,在另一個域中,用戶端識別碼初始可以是無效的。在基於位於用戶端的OP實現的IdM環境中,在第2圖中描述了至少一個識別碼聯合的示例。
第2圖示出了用於在本地OpenID環境中聯合的源識別碼域204和目標識別碼域202。如第2圖所述,當在目標域202與源域204之間使用在源域204中已建立的用戶端212的用戶端識別碼進行通信時,會存在發現 及/或信任關係的問題。目標識別碼域202中的網路實體可以與源識別碼域204中的實體通信。目標識別碼域202可以包括OPagg/OPSF 206和可信賴方(RP)210。OPagg/OPSF 206和可信賴方(RP)210在222可以執行信任的通信。源識別碼域204可以包括OPagg/OPSF 208和用戶端212。用戶端212可以包括本地OP 214,用於提供用戶端212及/或用戶端212的用戶的認證資訊。OPagg/OPSF 208和用戶端212在224可以執行信任的通信。OPagg 206和OPagg 208可以包括OpenID發現功能並可以是例如在其中多個OP被聚合以用於發現的實體。OPSF 206和OPSF 208可以包括OpenID服務功能。
源識別碼域204可以藉由識別碼域的發現和分別與域實體OPagg 208和OPSF 208的信任關係來定義。用戶端212可以在216請求登錄屬於目標識別碼域202的RP 210。為了登錄,用戶端212可以在216提供來自本地OP 214的認證資訊。例如,認證資訊可以作為用戶及/或用戶端212的本地認證結果被提供。RP 210與源識別碼域204的OPSF 208可能不具有信任關係(如在218的虛線所示),因此可以不信任來自位於用戶端的OP 214的認證資訊。
這裏描述了可以用於在源識別碼域204中的實體與目標識別碼域202中的實體之間建立信任關係以啟用例如RP 210之類的RP來信任從例如本地OP 214之類的OP接收的認證資訊的各種實施方式。根據一個示例實施方式,在220,可以在RP 210信任的目標識別碼域202的OPSF 206與用戶端212的本地OP 214之間建立信任關係。如果在220,在OPSF 206與本地OP 214之間沒有預先存在的信任關係,則可以藉由例如源識別碼域204的OPSF 208與目標識別碼域202的OPSF 206之間的信任仲介來建立信任關係。從結構上來說,在目標域中的RP與源域中的OPSF/OPagg之間缺少信任的關係(例如,如第2圖的218所示)可以與例如如自由聯盟標準所示的識別碼聯合中缺少信任關係相類似。
當使用本地OP時,可以不涉及其他OP實體。例如,可以實 施一個用戶端本地OP。還可以啟用域策略,例如存取控制及/或存取隱私(privacy)以啟用域之間的粒狀(granular)分離。使用存取控制及/或存取隱私,源識別碼域204可能不知道目標識別碼域202中的每個登錄,反之亦然。本地OP 214可以無縫工作以使得用戶能夠在於另一個識別碼域中進行通信時使用相同的OpenID識別符。當使用本地OP時,還可以避免手動改變定址並且用戶可以知道他們活動所在的域。當實施這裏描述的實施方式時,例如從RP 210的角度來看,本地OpenID協定流可以被改變。
OpenID可以依賴基於URL的識別碼(即,在用戶控制下及/或指向用戶已經選擇的OP的發現位置的給定名稱),其可以導致識別碼聯合。根據示例實施方式,可以藉由允許用戶為每個OP域指派單獨的OpenID識別碼URL及/或與對應的RP使用該單獨的OpenID識別碼URL來克服聯合。還可以在不剝奪用戶控制的情況下,啟用自動操作來克服聯合。
如果OP功能完全及/或整個在用戶端本地裝置內被實施(例如,在行動通信裝置上及/或行動通信裝置上的UICC上),則識別碼聯合不是個問題。如果OP功能完全及/或整個在用戶端本地裝置內被實施,則用戶的識別碼判定(assertion)可以經由單一本地OP(例如本地OP 214)及/或該本地OP的域(例如,源識別碼域204)。這可以在不同域之間產生很少或不產生聯合。該單一本地OP(例如本地OP 214)可以服務RP(例如RP 210)。這可以本地實施針對域的域分隔。
識別碼管理的完全分散化是不期望的。IdM可以考慮各個風險承擔著(stakeholder)之間的信任及/或業務關係。這可能需要某個網路及/或供應方側控制允許處於用戶控制下的本地實體做出的識別碼判定。
經由使用本地用戶端裝置上的本地判定提供方及/或屬於一個特定域(例如MNO的域,可以與例如本地判定提供方共享秘密)的一些基於網路的實體(例如OPagg/OPSF),使用分散式方式(例如本地OpenID),識別碼聯合可以變得更為明顯。這可能是由於在這種系統中做出的本地判 定可以與一個特定域共享強秘密。例如,如果在源域中使用已註冊識別碼的用戶想要從屬於另一個域的RP(而不是強鏈結到本地判定提供方的RP)接收服務,則源域的憑證可能不會自動用於向該目標域RP進行關於該用戶的識別碼判定。在這種情況中,自動識別碼聯合可以變為期望的特徵。如這裏所述,這種分散式本地域特定OP功能可以被描述為域間識別碼聯合的目標。
在本地OP聯合中,OpenID識別碼可以被登記在目標域中及/或OpenID識別碼可以用於認證。OpenID識別碼的登記可以使用源識別碼域(域S)中的OPSF/OPagg元件與目標識別碼域(域T)中的OPSF/OPagg元件之間的預先存在的信任關係,使得向目標識別碼域的用戶識別可以成功。登記階段可以包括在目標識別碼域內伺服器與本地OP之間的認證秘密的協商。認證秘密的協商可以獨立於源識別碼域,這可以用於域分隔。在目標識別碼域中共享的秘密可以不為源識別碼域中的實體所知或是容易複製的。這可以排除在目標識別碼域中藉由OPSF與本地OP之間的共同方法進行簡單密鑰衍生。如果該派生及/或根秘密被源域的OPSF所知,則源域的OPSF可以在目標域中複製該根秘密及/或假扮本地OP、及/或用戶。源域的OPSF甚至能夠假扮目標域OPSF。因此,目標域的OPSF和本地OP在登記階段可以運作用於認證的合適的密鑰協定(例如,合適的AKA)。
可以執行OpenID識別碼以用於使用OpenID的認證。例如,OpenID識別符的本地管理(例如,針對每個識別碼域中的對應RP使用正確的OpenID識別符)似乎是不可避免的,這是由於在發現階段中OpenID識別碼URL的核心作用。但是,在一些域中,網際網路路由可能受到約束或影響,例如在域中的用戶端經由特定閘道組進行連接的時候。這些閘道可以用於重寫例如這裏所述的OpenID識別符。
經由使用各種選擇可以發起源識別碼域中的實體與目標識別碼域中的聯合的OP之間的認證程序。例如,OpenID用戶端(例如使用合 適外掛模組的瀏覽器)或OpenID用戶端內的另一實體可以被使用,其知道每個信任域中識別碼(例如URL)到RP的映射。這可能導致安全性隱憂,因為其可能打開了經由操作映射表攻擊的襲擊(inroad)。根據另一選擇,當用戶瀏覽到目標識別碼域的登錄頁面時,其可以選擇正確的OpenID識別符及/或將該OpenID識別符提供給用戶以用於經由例如一些自動完成的形式來利用使用RP的認證。還可以使用例如資料刮擦(data scraping)的技術。這些自動完成和刮擦技術也可能導致安全性隱憂,因為它們可能打開了網路釣魚(phishing)攻擊的襲擊。用於認證的另一種選擇可以是將發現實體OPagg定位在用戶端。例如,發現實體OPagg可以與本地SCWS相關聯。由於OPagg可能具有公共IP位址,這種選擇可能不能被實施用於大範圍部署。本地OPagg可以管理用於用戶可以被登記到的各種OpenID信任域的OpenID識別符到RP的映射。還可以使用集中式選擇,其可以類似於背景技術中使用PKI的ID聯合。該選擇可以具有成拱形(overarching)OPagg實體,其可以服務多個信任域並可以調整(leverage)典型ID聯合的集中的基礎架構的部署。在此選擇中,域間合作可能是很難的,因為其可能不清楚誰在控制聯合OPagg。這可能導致隱私的隱患,因為中心OPagg可能得知所有域間的用戶的所有認證。
這裏還描述了本地OP的聯合與SSO群組的建立之間的關係及/或對認證和存取的基於群組的控制。在OpenID認證中,屬於OpenID提供方的域X的OpenID識別碼OIDX可以在OpenID發現階段被映射到對應OpenID提供方的位址。在本地OpenID中,這可以是OPSFX的位址。在OpenID中,OPSFX在多個可信賴方(RP)之間是不會區別對待的。為了建立服務群組,一種實施可以封閉域X。也就是說,屬於域X的RP列表{RPX}或服務群組X可以被定義且可以能夠藉由簡單的策略決定和增強程序來增強OPSFX的功能。也就是說,OPSFX可以拒絕來自不在{RPX}中的RPY的認證請求。這可以將來自封閉用戶群組的本地OpenID轉向封閉用戶及/或服務群組認證方 案。這裏描述的實體(例如,OPagg發現實體及/或OPSF)可以具有用於促進域間聯合的功能。
當用戶經由本地OpenID認證已經存取的多於一個服務群組存在時,可以執行RP到OPSF的上述映射的擴展。上述服務群組的概括可以是例如等式1所示的映射{(OID,RP)}→{OPSF} 等式1其將OpenID識別符(OID)和RP映射到能夠認證RP所屬的域/群組的用戶的一個或多個OPSF。本地OpenID程序中用於實施此映射的一個位置可以是發現階段。例如,實體OPagg或一組OPagg之上的元實體(meta-entity)可以儲存此關聯表。由於在OpenID中使用了全局識別符(例如全局URI作為識別符),因此關聯表可以是全局的。可以用不同方式來組織映射。例如,可以用支援服務分組而不是特定群組的用戶訂閱的方式來將任一(OID*,RPX)映射到OPSFX。如這裏所述,該用戶訂閱可以由OPSFX來執行。
聯合是支援想要在例如源域中的各自服務群組S與例如目標域中的服務群組T之間漫遊的用戶的一種過程。用戶能夠使用來自源域S的用戶OpenID識別符來獲得對目標域T的服務的存取。在以上引入的記法中,這可以表示關聯OIDSX{RPT}→OPSFT 等式2可以被建立,以用於來自域的用戶,在該域中用戶具有OpenID識別符OIDS,用戶可能想要在面向屬於域T/群組T的服務的域T中透明地使用該OpenID識別符OIDS。除了建立用於發現程序的所述關聯,該程序還可以建立屬於具有OIDS的用戶或UE的OPloc與OPSFT之間的共享秘密及/或簽名。
產生此關聯及/或建立的該過程被稱為登記並在下文進行進 一步的描述。
登記的一種實施可以包括在域S與域T之間建立閘道管理者服務。此服務可以是域S的特別RP,其作用可以是為OIDS建立服務關聯、及/或促進共享秘密及/或簽名的建立。例如在OpenID認證中,閘道管理者服務可以建立服務關聯及/或在其已接收到在域S中的認證證明之後促進共享秘密及/或簽名的建立。閘道管理者服務還可以對管理聯合的策略進行評估。登記程序可以被制定成透明的。例如,登記程序可以在用戶首次嘗試登錄到域T的服務時無縫進行。
如這裏所述可以執行閘道(GW)的域中的登記和認證。GW可以是目標域的實體,其於此可以被標示為例如域T及/或域G。GW可以是例如具有最大分隔架構的目標域中的實體。將OpenID登記到目標域G中的目標GW的此過程稱為ENRG。在這裏所述的協定中實體GW、OPSFG和OPagg,G可以保持分開。根據另一個實施方式,在基於閘道的本地OP聯合中,這些實體的功能可以共同位於單一實體上,例如在GW上,這可以減少訊務量。
第3圖是示出經由GW 354的目標域登記的示例實施方式的流程圖。第3圖所示的協定可以用於在GW 354的域G中登記OPloc 352。GW 354可以保存附屬可信賴方的資料庫(例如,在域G中,SDBG=RPG,其中域G是指裝置可以經由GW 354到達的目標域)。GW 354可以維護包括域G中的OpenID識別符至源識別碼域S中的OpenID識別符的多對一映射的資料庫。附屬RP的資料庫和OpenID識別符的資料庫可以是相同或不同的資料庫。
在GW 354的操作中,GW 354能夠在登記程序中偵聽及/或攔截(intercept)BA 350與RPG 356之間的通信。BA 350可以是瀏覽代理或位於由用戶348操作的裝置上的具有網路通信能力的其他應用。藉由例如在BA 350上使用例如資料刮擦之類的技術,GW 354可以偵聽及/或攔截BA 350與RPG 356之間的通信。被刮擦的資訊可以從BA 350所在的裝置被傳送到 GW 354。這可以使得GW 354能夠辨識新用戶裝置是否希望存取附屬服務及/或觸發此裝置的OPloc 352到域G的登記。第3圖的協定流示出了這些所描述的程序,例如在登記協定程序ENRG之前。
如第3圖的協定流所示,在302,用戶348可以瀏覽到RPG 356的登錄頁面。例如,用戶348可以使用BA 350來經由GW 354與RPG 356通信。在304,用戶348可以藉由將源域S(OIDS)的OpenID識別符提交給GW 354來登錄。GW 354可以在306檢查與RPG 356相關聯的識別符的資料庫SDBG來瞭解SDBG是否包括從用戶348接收到的OIDS。如果SDBG包括OIDS,則可以使用OIDS為目標域G中的服務對用戶348進行認證。但是,如果SDBG沒有包括OIDS,則OIDS可以被登記在目標域G中。例如,可以使用ENRG將OIDS登記在域G中(第3圖的步驟310-346,或其組合)。
在執行ENRG中,用戶348可以例如經由BA 350被重新定向到GW 354的登記頁面(在310)。在312,GW 354可以例如經由BA 350從用戶348獲得對加入域G的意圖的確認。在314,GW 354可以使用OIDS從OPagg,S 362獲得源域S的OPSFS 364的位址。可以例如使用HTTP簡單發現來獲得OPSFS 364的位址。在316,GW 354可以執行與OPSFS 364的關聯,其中OPSFS 364可以產生關聯控制碼A和簽名密鑰S。關聯控制碼A可以是OPSFS產生的亂數(nonce)或其他亂數。簽名密鑰S可以是OPSFG用來產生判定簽名的簽名密鑰、且可以從關聯控制碼A中導出。關聯控制碼A可以被傳遞到這裏所述的OPloc 352,在OPloc 352中關聯控制碼A可以再次被用於導出簽名密鑰S,簽名密鑰S還可以用於在OPloc 352創建判定簽名。RPG 356及/或OPSFS 364可以驗證判定簽名,因為它們都知道簽名密鑰S。簽名密鑰S可以被用於在GW 354驗證判定。S可以是使用例如密鑰導出函數從關聯控制碼A和密鑰KS導出的簽名密鑰。KS可以是在源域S中的OPSFS 364與OPloc 352之間共享的預定根密鑰。KS可以是可以用於創建OPSFS 364與OPloc 352之間的信任關係的預先建立的密鑰。
在316,關聯控制碼A和簽名密鑰S可以被發送到GW 354。在318,使用A和S,GW 350可以產生密鑰導出參數dG及/或OpenID識別符OIDG。密鑰導出參數dG可以用於建立GW 354與OPloc 352之間的秘密。根據示例實施方式,dG可以是亂數(例如基於時間及/或日期的亂數),獨立網路實體難以或不可能確定該亂數,但是該亂數在GW 354與OPloc 352之間共享。OIDG可以是域G的OpenID識別符,其可以用於在RPG 356處存取服務。OIDG可以與從用戶348及/或用戶348的裝置初始接收的OIDS相關聯。
在320,GW 354可以將BA 350重新定向到OPSFS 364,以發起及/或確定在源域S處的用戶認證。重新定向訊息可以包括會話ID、返回URL、亂數、OIDG、關聯控制碼A以及密鑰導出參數dG、或這些的任意組合。例如在OpenID擴展中可以發送這些參數。在322,BA 350可以執行OPSFS 364的修改後的DNS查找以確定用於執行本地用戶認證的OPloc 352。BA 350可以發送認證請求到OPloc 352(在324)。在324的認證請求可以包括OIDG、關聯控制碼A、密鑰導出參數dG及/或在來自GW 354的重新定向訊息中接收的一個或多個其他參數。在326,OPloc 352可以執行使用用戶348的本地用戶認證(例如,藉由獲得可以經本地驗證的用戶憑證)。OPloc 352可以在328簽名判定(例如OpenID判定),其包括密鑰導出參數dG和使用簽名密鑰S的OIDG,其中S在OPloc 352作為A和KS的函數被導出(與在OPSFS 364處的方式類似)。在330,OPloc 352從密鑰導出參數dG和簽名密鑰S導出域G的秘密密鑰KG。秘密密鑰KG可以是在OPloc 352和GW 354處建立的密鑰,其在OPSFG 360與GW 354之間被共享。在330,OPloc 352可以儲存KG和OIDG供後續使用。
在332,OPloc 352可以發送經簽名的判定到BA 350。在334,BA 350可以將該經簽名的判定轉發到GW 354。在336,GW 354可以使用其從OPSFS 364接收到的簽名密鑰S來驗證該經簽名的判定。在338,GW 354可以從密鑰導出參數dG和簽名密鑰S導出目標域G的共享密鑰KG。共享密鑰KG可以在GW 354與OPloc 352之間被共享。GW 354可以在338儲存共享密鑰 KG供之後使用。如果GW 354確定用戶348已經被正確認證(例如藉由在336驗證認證判定),則GW 354還可以在340儲存OIDS到OIDG的關聯。在342,GW 354可以發送OIDG到OPagg,G 358,並在344,發送OIDG及/或KG到OPSFG 360。在346,用戶348及/或用戶348的裝置可以被重新定向到RPG 356的登錄頁面。
在登記程序中,共享秘密KG可以被建立以在域G中簽名後續判定(例如OpenID判定)。此秘密KG可以用安全的方式從密鑰導出參數dG導出。這可以避免必須在域G與OPloc 352之間建立端對端安全頻道。於此進一步描述安全性實施選擇的詳情。
如第3圖所示,在域G中的登記(ENRG)的步驟中,GW 354可以作為可信賴方(RP)來操作,運作使用OPloc 352的本地OpenID協定以用於認證。後者的協定可以經由產生域特定識別符OIDG、域特定密鑰KG及/或此資料到相關實體的分配而得到增強。在該域登記協定中,登記可以在用戶348首次請求登錄到閘道域G的RPG 356附屬服務時發生。在成功登記後,用戶的瀏覽器BA 350可以被顯式重新定向到該服務的登錄頁面(例如藉由RPG 356)。組合的登記及/或登錄到RPG 356的用戶體驗可以被無縫執行(例如藉由使用例如Web 2.0或類似技術)。可以小心進行以在安全性上不妥協。例如,可以阻止用戶登錄到期望可信賴方以外的另一個可信賴方。在ENRG後執行無縫登錄到RPG 356的一個示例實施方式可以是用於GW 354將初始登錄訊息從BA 350重放到RPG 356並運作OpenID認證協定AUTHG,例如第4圖所示的AUTHG,假扮OPloc 352。
根據使用GW 354的登記的另一個實施方式,GW秘密KG可以從GW 354被直接傳送到OPloc 352。在此實施方式中,在OpenID運作及/或共享長期秘密KG的分配之前可以建立安全頻道(例如,在GW 354與BA 350之間,以及,及物地,或端對端地至OPloc 352)。例如,在機密性及/或完整性上可以保護此頻道,同時長期秘密KG可以從GW 354傳送到BA 350, 再從BA 350傳送到OPloc 352。對於秘密的裝置本地傳送(例如,從BA 350到OPloc 352)的保護來說,可以使用安全的裝置本地頻道協定。安全的裝置本地頻道協定的一個示例實施方式在第三代合作夥伴計畫(3GPP)規範的技術規範(TS)號碼33.110中示出。
向GW 354的OpenID認證可以在密鑰KG經由BA 350被發送到OPloc 352之後發生。在此認證完成之前(例如,在GW 354成功驗證經簽名的判定之後),GW 354可能不接受KG作為用於此OPloc 352的認證密鑰。也就是說,如果在ENRG中OpenID認證失敗,則GW 354可以丟棄KG及/或不將此密鑰傳遞給OPSFG 360。如果此條件滿足,則GW 354與BA 350之間的頻道可以不需要(一側,由BA 350)認證,這是因為此認證可以被包括在協定本身中及/或必然用於密鑰KG傳遞。根據另一個示例實施方式,OPloc 352而不是GW 354可以產生秘密KG。一旦在OPloc 352處被產生,秘密KG可以被傳送到GW 354(例如經由GW 354與OPloc 352之間的安全頻道)。這可以減少GW 354上的加密負擔。
根據一實施方式,在GW 354與BA 350之間的安全頻道的建立期間創建的共享秘密可以被使用。此頻道的加密密鑰可以被直接採用、或可以藉由例如另一密鑰導出程序而被採用。如果在安全頻道的建立期間創建了該共享密鑰,則互相認證可以是安全頻道建立的一部分。否則,ENRG中的OpenID認證可以不是用於安全頻道端點及/或產生的KG可能被洩露給中間人攻擊方。在ENRG中可以運作獨立的密鑰導出通信協定,例如Diffie-Hellman協定。該協定經由加密的方式用於ENRG(例如如第3圖所示)。
GW 354可以向BA 350進行認證。此認證可以進行為用戶348可見(例如藉由擴展確認(validation)網頁證書),以供用戶348知道用戶348可以登記到的哪個OpenID域。OPloc 352進行的用戶348本地認證程序可以顯示關於用戶348登記的資訊。OPloc 352可以基於在來自BA 350的認證請求中接收的訊息中出現相應資訊(例如KG)來決定顯示該資訊。如果OPloc 352向用戶348示出其將藉由執行認證登記到GW 354的域G,則用戶348能夠在用戶348經由BA 346確認該登記時將此資訊與之前顯示給用戶348的資訊進行比較及/或匹配(在312)。這可以有效減少用戶登記程序中的攻擊(例如,由在用戶348的機器處本地安裝的惡意程式造成的,該惡意程式可以模仿有效登記瀏覽器視窗)。對於用戶介面安全性來說,安全用戶介面、生物特徵量測用戶認證及/或用於用戶348的UI端點的可信任識別的安全圖像等的使用可以被使用。
如果兩個網域控制器是可信任的,則可以保持源域S和目標域G之間的域分隔。例如,密鑰KG雖然藉由獨立的密鑰導出而被導出的,但是其在一些情形中對於域之間的衝突來說不是安全的。例如,如果目標域G的GW 354與源域S的OPSFS 364不是可信任的,則它們可以潛在共享認證資訊。另一種安全性實施可以使得域特定的OpenID識別符OIDG不為用戶348所知。OPloc 352可以保持OIDG以用於目標域G中的認證AUTHG中。
如果登記失敗,則GW 354、OPSFG 360及/或OPagg,G 358之間的內部通信可以被執行,以使它們各自的資料庫保持一致。OPloc 352可以完成登記及/或儲存域特定密鑰KG及/或OIDG,但是由GW 354到OPSFG 360及/或OPagg,G 358的該訊息的登記可能已失敗。在這種情況中,向RPG 356認證的嘗試可以觸發另一個ENRG運作,因為GW 354可以認為此用戶是沒有登記的。這可以使得OPloc 352儲存用於一個GW域G的多個憑證。可以實施不同的實施方式來阻止在OPloc 352上為單一GW域G儲存多個憑證。在一個示例中,OPloc 352能夠在由唯一的GW域識別符所分類的資料庫中儲存憑證。
第4圖是示出了基於閘道的本地OpenID認證AUTHG的流程圖。可以在目標域G中執行認證AUTHG並經由GW 452提供該認證AUTHG。根據一個示例實施方式,可以在登記階段ENRG之後執行AUTHG。OPSFG 458與OPloc 450之間的共享長期秘密KG可以用於在AUTHG期間執行認證。在登記階段ENRG中,在這些實體之間可以贊成存在OPSFG 458與OPloc 450之間的 共享長期秘密KG
如第4圖中所示,AUTHG可以用於登錄到GW 452的域G中的信賴方RPG 454。與第3圖所示的登記程序ENRG類似,GW 452可以偵聽至附屬服務的OpenID登錄請求及/或在用戶446的已登記識別碼(不是來自源域S的用戶446的初始識別碼)存在的情況下決定使用該已登記的識別碼。如第4圖所示,用戶446可以瀏覽到RPG 454的登錄頁面(在402)。例如,用戶446可以使用BA 448來經由GW 452與RPG 454通信。在404,用戶446可以藉由提交用於域S的OpenID識別符(OIDS,其可以由GW 452截取)來進行登錄。GW 452可以從其資料庫SDBG中檢查與RPG 454相關聯的識別符(在406)以瞭解SDBG是否包括從用戶446接收的OIDS。在408,GW 452可以確定OIDS是否已經被登記。如果OIDS沒有被登記在SDBG中,則可以使用例如這裏所述的ENRG來登記該OIDS。如果OIDS被登記及/或被包含在SDBG中,則可以使用這裏所述的OIDS在AUTHG中對用戶446進行認證(例如,第4圖中的步驟410-444或其組合)。
在執行AUTHG中,GW 452可以用於將OIDS改寫為OIDG(在410)。例如,GW 452可以例如經由其儲存的資料庫來確定對應於OIDS的OIDG。GW 452可以將登錄OIDG轉發到RPG 454(在412)。在414,RPG 454可以使用OIDG從OPagg,G 456獲得OPSFG 458的位址。例如可以經由HTTP簡單發現來獲得OPSFG 458位址。RPG 454和OPSFG 458可以執行關聯(在416)。在關聯期間中,OPSFG 458可以產生關聯控制碼A和簽名密鑰S。可以使用密鑰導出函數從關聯控制碼A和共享密鑰KG中導出簽名密鑰S。共享密鑰KG可以在OPSFG 458與OPloc 450之間被共享並可以在域G中的OIDS登記期間已被建立。關聯控制碼A和簽名密鑰S可以被發送到RPG 454(在416)。RPG 454可以發送重新定向訊息給GW 452(在418)。重新定向訊息可以包括到OPSFG 458的重新定向及/或參數,例如會話ID、返回URL、亂數、OIDG及/或關聯控制碼A。關聯控制碼A可以用作用於關聯的識別符,其可以使得RPG 454和OPSFG 458唯一地識別OpenID登錄程序。關聯控制碼A還可以使得RPG 454和OPSFG 458在OpenID協定的關聯和發現階段將認證流映射到關聯簽名密鑰S。亂數可以是隨機符串值,其由RPG 454產生用於此認證運作以將該認證運作與其他可以並行發生的認證運作區分開。亂數還可以提供重放保護。重新定向訊息中包含的OIDG可以用作用於使用RPG 454進行認證的參數的指示。RPG 454可以保持OIDG和簽名密鑰S以直接驗證從OPloc 450接收的已簽名判定。
在420,GW 452可以在重新定向訊息中將OPSFG 458的位址改寫為OPSFS的位址。在422,GW 452可以將該重新定向訊息轉發到BA 448。在422,OIDG可以被保持為被轉發到BA 448的重新定向訊息中的參數。在424,BA 448可以執行OPSFS至OPloc 450的修改後的DNS查找。在426,BA448可以發送認證請求給OPloc 450。認證請求可以包括OIDG參數,其可以使得OPloc 450能夠決定用於簽名判定的正確的簽名密鑰(例如,從共享密鑰KG中導出的簽名密鑰)。認證請求還可以包括由BA 448接收的重新定向訊息中的一個或多個其他參數。
在428,可以在用戶446與OPloc 450之間執行用戶認證。基於在428的有效用戶認證,在430,OPloc 450可以選擇用於使用RPG 454的認證的被請求的認證參數。例如,如果被請求的認證參數是OIDG,則在432,OPloc 450可以選擇KG作為判定密鑰Kasc,以用於執行向RPG 454的認證。但是,如果被請求的參數是OIDS,則在432,OPloc 450可以選擇KS作為判定密鑰Kasc。由於在418已經為使用RPG 454的認證請求OIDG作為重新定向訊息中的參數,因此OPloc 450可以選擇KG作為第4圖中的判定密鑰Kasc。KG可以是在OPSFG 458處儲存的共享密鑰。在436,OPloc 450可以使用簽名密鑰S對認證判定(例如OpenID判定)進行簽名,該簽名密鑰S可以從關聯控制碼A和關聯密鑰Kasc中導出。在438,已簽名的判定可以從OPloc 450被發送到BA 448。在440,BA 448可以經由GW 452發送已簽名的判定到RPG 454。在442, RPG 454可以使用簽名密鑰S來驗證該判定(例如OpenID判定)。在444,RPG 454可以(例如經由GW 452及/或BA 448)向用戶446指示用戶已經登錄到RPG 454並可以存取服務。
如第4圖所示,為了使得向RPG 454的認證對於BA 448及/或用戶446來說是透明的,GW 452可以在OpenID協定訊息中替換某些資料,例如用OIDG來替換OIDS及/或用OPSFS的位址來替換OPSFG 458的位址。經由這種方式,RPG 454及/或BA 448能夠例如運作未經修改的本地OpenID認證協定。
使用這裏所述的實施方式,可以保持域分隔。例如,在RPG 454與源域S的實體中的一個(例如OPSFS)之間可以沒有聯繫。協定可以依賴GW 452能夠截取、讀取及/或修改BA 448與RPG 454之間的訊息。例如,GW 452可以善意地用於AUTHG或故意作為用於AUTHG的善意中間人。如果RPG 454和BA 448初始經由加密的頻道(例如HTTPS)進行通信,則可以採取特殊措施。一種可能性可以是共享GW 452與RPG 454之間的對應加密密鑰。如果RPG 454發現GW 452在至BA 448的例如用於登錄頁面的GET(獲取)訊息的路由上,則RPG 454可以使用該加密密鑰。以這種方式,BA 448可能正使用GW 452可以竊聽的加密連接經由GW 452請求RPG 454的登錄頁面。如果在認證之後希望RPG 454和BA 448可以私密通信,而不需要GW 452能夠在通信上竊聽,則RPG 454和BA 448可以在成功AUTHG運作後使用不同密鑰建立安全頻道。在一個示例中,為了將之前成功的AUTHG運作綁定到這之後安全頻道的建立,BA 448的公共密鑰可以被包含在AUTHG的已簽名判定訊息中。RPG 454可以使用此公共密鑰來對其自己的公共密鑰、或者會話加密密鑰進行加密。該公共密鑰可以使用可由BA 448獨立驗證的數位簽名來簽名,並可以被發送到BA 448。然後,RPG 454和BA 448可以佔有加密密鑰,然後可以相互被保證另一方的識別碼。使用這些加密密鑰,RPG 454和BA 448可以建立GW 452不能竊聽的安全頻道。
由於GW 452可以修改及/或改寫BA 448與RPG 454之間的至少一部分訊息,因此這些訊息可以不被任何一方認證,這使得GW 452能夠執行惡意攻擊。例如,GW 452能夠將用戶登錄到不是用戶所期望的另一個可信賴方(例如藉由改寫RP位址)。一種用於防止GW 452執行這種惡意通信的措施可以是在執行AUTHG之前將GW 452向BA 448及/或用戶裝置進行認證。這種認證可以假定可信任閘道不會執行這種惡意攻擊。GW 452還可以得到充分保護不受惡意程式侵害以避免這種攻擊。如這裏所述,如果BA 448與RPG 454之間的安全頻道在AUTHG之後被建立,則BA 448可以被保證其會被登錄到正確的可信賴方。建立此安全頻道失敗可以被理解為攻擊的指示。減輕所述威脅的另一種方式可以是對BA 448與RPG 454之間的相關訊息進行數位簽名。可以簽名該訊息(例如使用XML簽名)以將GW修改的資料排除在外。
在具有本地OpenID的群組SSO中,可以從哪個得到針對OpenID識別符及/或可信賴方的認證來確定OPSF域。可以執行這個的一種方式可以是經由OPagg實體。OPagg可以在識別碼管理中獲取老大哥的角色。OPagg可以用作中心實體,其知道及/或能夠鏈結在一個或多個域中一個或多個基於OpenID的用戶存取。OPagg還可以直接瞭解用戶與各種OpenID提供方之間的信任及/或業務關係。這可能是由於例如使用了OpenID協定。這裏所述的實施方式可以使用OPagg的功能來實施OpenID的發現程序。OPagg及/或OPSF功能可以被包含在UE內側的本地OpenID實體中。裝置上的本地實體(例如在智慧卡內、信任環境(TrE)內及/或SEE內)能夠存取用於通信的公共網際網路或其他類似網路。
第5圖和第6圖分別示出了認證流和登記流的另一個示例實施方式。第5圖是示出基於OPagg的本地OpenID認證的流程圖。如第5圖所示,可以在目標域T中使用源域S的識別符OIDS來執行用戶534及/或用戶534的裝置到可信賴方RPT 540的認證。在502,用戶534可以瀏覽到目標域T的 RPT 540的登錄頁面。用戶534可以例如經由BA 536瀏覽到該登錄頁面。在504,用戶534可以例如經由BA 536將源域S的登錄OIDS提交至RPT 540。在506,RPT 540可以從OPagg 542請求OPSFT 544的位址。可以針對(OIDS,RPT 540)請求OPSFT 544的位址。在508,OPagg 542可以確定OPSFT位址。在登記後,可以例如在OPagg 542建立OIDS到目標域T中可信賴方RPT 540的映射。OPagg 542可以是充當中心發現點的通用OPagg。OPagg 542可以在510將OPSFT 544的位址發送給RPT 540。在512,RPT 540和OPSFT 544可以執行關聯。在512的關聯期間,OPSFT 544可以產生關聯控制碼A和簽名密鑰S,其中使用密鑰導出函數從關聯控制碼A和共享密鑰KT中導出S。共享密鑰KT可以是在OPSFT 544與OPloc 538之間共享的根密鑰,用於使用OPloc 538進行用戶534的認證。因此,共享密鑰KT可以是源域S與目標域T之間的共享秘密。在512,OPSFT 544可以發送關聯控制碼A和簽名密鑰S給RPT 540。
在514,RPT 540可以發送重新定向訊息給BA 536。該重新定向訊息可以包括具有參數的到OPSFT 544的重新定向,該參數例如是會話ID、返回URL、亂數、OIDS及/或關聯控制碼。在516,BA 536可以執行OPSFT 544位址的DNS查找,其可以基於OPSFT 544位址至OPloc 538位址的本地映射來返回OPloc 538位址。在518,BA 536可以發送認證請求給OPloc 538。認證請求可以包括標記T。標記T可以允許OPloc 538能夠確定其應該向哪個域進行認證。例如標記T可以指示應該使用哪個域密鑰KS或KT及/或用戶534的裝置在什麼域中。此標記T可以是HTTP GET訊息中的伺服器位址,該HTTP GET訊息從BA 536被提交給OPSFT 544及/或經由修改的DNS查找被重新定向到OPloc 538。例如該標記T可以可以是OPSFT 544的位址。在520,用戶534可以向OPloc 538進行認證(例如藉由提交認證憑證)。OPloc 538可以包括與OPSFT 544共享的共享秘密KT。在522,OPloc 538可以從標記T來確定OPSFT 544及/或將判定密鑰Kasc選為KT。The OPloc 538可以使用簽名S對判定訊息(例如OpenID判定訊息)進行簽名,該簽名S可以從關聯控制碼A和判定密鑰Kasc (其等於KT)的函數導出。在526,可以將已簽名的判定訊息發送到BA 536。在528,BA 536可以將該已簽名的判定訊息轉發到RPT 540。在530,RPT 540可以使用簽名密鑰S來驗證該判定訊息。在532,RPT 540可以(例如經由BA 536)向用戶534指示用戶登錄到RPT 540並可以存取服務。
如第5圖所示,OPagg 542可以基於從BA 536接收到的資訊(例如OIDS及/或RPT 540)來確定OPSFT 544。在514的至BA 536的重新定向訊息可以包括例如與OPSFS位址相對的OPSFT 544位址(例如URL),其中OIDS可以已被初始登記到該OPSFS位址。OPSFT 544可以被映射到例如在516的修改的DNS查找中的OPloc 538。OPloc 538可以確定針對目標域T的正確密鑰KT,以用於基於在518的認證請求中所接收到的標記T的認證。標記T的格式可以是例如用於OPSFT 544的URI。
根據不同的實施方式,OPloc 538可以是完全、完整功能的本地OP、或傳統的基於網路的源域OP。當OPloc 538是OpenID協定的本地判定提供方(LAP)(其中可以分佈多個OP)時,可以使用第5圖所示的協定流或其一部分。當OPloc 538是完全、完整功能的本地OP或傳統的基於網路的源域OP(例如源域OPs)時,可以使用第5圖所示的協定流。
KT的共享可以在認證及/或登記之前發生。例如,對於分散式情況,密鑰K可以在源域OPSFS與目標域OPSFT之間被共享。在這之後的可以是在LAP(例如OPloc)與源域OPSFS之間的第二域內KT共享。這種實施可以解決源域和目標域是附屬域的情況。在這種情況中,允許特定源域和目標域OPSFs對的區別對待(藉由例如允許該首選域對之間的共享密鑰建立)可以給操作方以所提出的基於群組的SSO操作方式,從而向不同的客戶組提供差別化服務。在另一種實施中,KT不可以在LAP與源域OPSFS之間共享。可以在LAP與源域OPSFS之間使用單獨的共享密鑰,例如KT’。例如,LAP可以使用KT向源OPSFS進行認證,源OPSFS可以使用KT向目標域OPSFT認證用戶。
登記的顯式(explicit)形式可以用於向目標域T登記。第6圖示出了該顯式登記的一個示例實施方式。第6圖是示出了基於OPagg的本地OpenID顯式登記協定的流程圖。如第6圖所示,源域S的OIDS到目標域T的登記可以用其顯式形式被執行。例如,用戶660可以瀏覽到用於執行登記的特定登記頁面。登記可以用於將用戶660向目標域T中的實體進行認證,該實體能夠分配資料到OPloc 664及/或OPagg 668(例如用作中心發現點的通用OPagg)使得如這裏所述可以滿足目標域T中的OpenID認證的條件。
為了能夠向目標域T登記,用戶660可以瀏覽到目標域T中的RP。用戶660及/或用戶660的裝置可以從源域S的OpenID提供方(OP)請求向此登記實體的源域S中的OpenID認證。根據第6圖所示的示例實施方式,登記實體的作用可以由目標域T的OPSFT 666來實施。OPSFT 666可以在用於OIDS及/或OPloc 664的認證的第一個OpenID運作中做出與源域S的可信賴方類似的行為。OPSFT 666及/或OPloc 664可以執行密鑰導出和資訊分配程序,這可以導致登記。OPSFT 666與OPloc 664之間的仲介可以包括OPSFS 670且到服務群組的關聯可以由OPagg 668來執行。
如第6圖所示,在602,用戶660可以例如經由BA 662瀏覽到OPSFT 666登記頁面。用戶660可以提交登錄資訊至OPSFT 666以用於存取目標域T中的服務。登錄資訊可以包括OpenID識別碼OIDS,其用於登錄到源域S中的服務。在604,OPSFT 666可以從OPagg 668請求對應於OIDS和OPSFT的OPSF位址。OPagg 668在606可以運作程序R並在608可以將OPSFS 670的位址返回到OPSFT 666。程序R是在登記準備中運作的程序。在一個示例實施方式中,程序R可以是在登記準備中運作的資料庫功能,並可以使得OPagg 668能夠執行對應於所述對(OIDS,OPSFT 666)的OPSF位址的資料庫查找。在運作程序R中:1)可以確定該對(OIDS,OPSFT 666)是未知服務關聯,這意味著OIDS可以不被登記在域T中;2)可以從OIDS分開確定OPSFS 670;及/或3)可以在OPSFS 670和可以允許登記的OPSFT 666之間決定信任關係 (例如,此信任關係可以由相應策略的查找執行)。如果上述三種條件的所有或組合被滿足,則OPagg 668可以發送OPSFS 670的位址給OPSFT 666以用於域T中的OIDS登記。否則,例如至少不滿足一個或多個附件條件的情況下,OPagg 668可以發送錯誤資訊給OPSFT 666,且OIDS不能夠被登記在域T中。
在610,如果OPSFT 666獲得OPSFS 670的位址(例如合適的條件被滿足用於能夠在域T中登記OIDS),則OPSFT 666可以執行與OPSFS 670的關聯。在610,OPSFS 670可以產生關聯控制碼A及/或簽名密鑰S。簽名密鑰S可以從A和共享秘密KS的函數中導出,該共享秘密KS是在OPloc 664與OPSFS 670之間預先建立的共享秘密。在610,OPSFS 670可以發送A和S到OPSFT 666。在612,OPSFT 666可以發送重新定向訊息到BA 662。重新定向訊息可以包括到OPSFS的重新定向及/或參數,例如會話ID、返回URL、亂數、OIDS及/或關聯控制碼A。
BA 662可以執行對OPSFS 670的位址的DNS查找,該OPSFS 670的位址可以藉由本地修改被映射到OPloc 664的位址(在614),以用於使用OPloc 664執行用戶660認證。在616,BA 662可以發送認證訊息到OPloc 664。該認證訊息可以包括關聯控制碼A、OIDS及/或例如在來自OPSFT 666的重新定向訊息中接收的一個或多個其他參數。在618,用戶660可以執行使用OPloc 664的認證。OPloc 664可以使用簽名密鑰S來對判定(例如OpenID判定)進行簽名,其中S從關聯控制碼A和判定密鑰Kasc中導出的。Kasc可以等於共享秘密KS,該KS被OPSFS 670共享。由於共享秘密KS對應於在616的認證訊息中接收的OIDS請求,OPloc 664可以選擇該共享秘密Ks作為判定密鑰Kasc。在622,OPloc 664可以發送已簽名判定到BA 662。在624,BA 662可以將該已簽名判定轉發給OPSFT 666。
在626,OPSFT 666可以使用從OPSFS 670接收到的判定簽名密鑰S來驗證該判定。在628,OPSFT 666可以產生密鑰導出參數dT。密鑰導出參數dT可以是在目標域T中產生的亂數並可以用作OPloc 664與OPSFT 666之 間的秘密密鑰控制參數。在630,OPSFT 666可以發送重新定向訊息到BA 662。重新定向訊息可以包括到源域S的OPSFS 670的重新定向及/或參數,例如“本地登記”參數、OIDS、OPSFT識別符(例如,URL)、密鑰導出參數dT及/或關聯控制碼A。在632,BA 662可以使用OPSFS 670的位址來執行修改的OPloc 664的DNS查找。在634,BA 662可以將dT、A、OIDS及/或在630接收的一個或多個其他參數轉發到OPloc 664。在636,OPloc 664可以從密鑰導出參數dT和簽名密鑰S中導出目標域密鑰KT。目標域密鑰KT可以被導出作為OPloc 664與OPSFT 666之間的共享密鑰,其可以用於目標域T中的用戶認證。OPloc 664可以儲存該導出的目標域密鑰KT以供之後使用(例如,在認證中)。
OPloc 664可以將目標域密鑰KT的值指派給用於在目標域中對判定進行簽名的判定密鑰Kasc。OPloc知道基於在重新定向訊息中接收的OPSFT URL和目標域T的OIDT將KT的值指派給判定密鑰Kasc。OPloc 664可以從關聯控制碼A和判定密鑰Kasc導出用於目標域T的簽名密鑰S’。在638,OPloc 664可以使用簽名密鑰S’對判定訊息(例如,OpenID判定訊息)進行簽名。在OPloc 664已經產生用於向OPSFT 666認證的已簽名判定之後,在640,OPloc 664可以發送該已簽名判定到BA以用於登記。已簽名判定可以包括登記指示參數(例如,“登記”),其向BA指示應該修改DNS查找。BA 662可以將此參數理解為用於建立用於目標域T的OPSFT 666的修改的DNS查找。這可以使得後續的本地OpenID認證針對源域S和目標域T透明地運作。在642,BA 662可以從OPloc 664的位址安裝OPSFT 666的經修改地DNS查找。在644,BA 662可以發送該判定訊息到OPSFT 666。
在646,OPSFT 666可以從dT和簽名密鑰S中導出共享目標域密鑰KT。共享密鑰KT可以用於創建OPloc 664與OPSFT 666之間的信任關係,並可以在源域S與目標域T之間共享。OPSFT 666可以在646從關聯控制碼A和共享密鑰KT中產生S’。OPSFT可以使用S’來驗證在644接收的判定。OPSFT 666可以在648儲存目標域T的共享密鑰KT以供之後使用(例如在認證中)。在650,OPSFT 666可以經由例如BA 662發送對確認用戶660希望將OIDS登記到目標域T中的請求。在652,用戶660可以經由例如BA 662發送確認及/或OIDS到OPSFT 666。在654,OPSFT 666可以從OPagg 668請求OIDS的登記。OPagg 668可以將OIDS登記在目標域T中以使得其用於在目標域T中認證用戶660。例如,在656,OPagg 668可以使用登記結束函數F來登記OIDS。登記結束函數F可以是將OIDS與目標域T中的OPSFT 666及/或OIDT相關聯的資料庫結束函數。這可以阻止例如偽登記嘗試。在此登記程序之後,用戶660能夠使用其來自源域S的OpenID識別碼OIDS,以本地OpenID認證到目標域T中的相關聯可信賴方。在結束登記後,在658,OPagg 668可以向OPSFT 666指示該登記。
如第6圖所示,在606的登記準備程序R之後可以是使用作為可信賴方(RP)的OPSFT 666的本地OpenID運作。根據實施方式,登記程序可以在OPSFT 666使用簽名秘密S已驗證了判定之後開始。該登記程序可以包括修改的本地OpenID運作,其中添加了密鑰導出程序,該密鑰導出程序可以產生用於OPSFT 666與OPloc 664之間的本地OpenID認證的共享密鑰KT。針對這個,OPSFT 666可以在628產生密鑰導出參數dT並可以在630在OpenID重新定向訊息中將該dT與用於登記的命令一起發送到OPloc 664。
OPSFT 666可以獨立地選擇密鑰導出參數dT。可以執行將共享密鑰KT綁定到向OPSFT 666的OPloc 664的之前認證(例如OpenID認證)。這可以發生使得OPSFT 666得到被認證用於登記的OPloc 664將能夠導出正確的共享密鑰KT的保證。為了建立此特性,KT的導出可以用獨特的方式取決於dT和簽名密鑰S。除了例如OPSFS 670,沒有其他方可以知道簽名密鑰S,因此不能夠確定KT。由於OPSFS 670知道簽名密鑰S,因此如果其知道dT,則其可以導出KT。為了防止這個,OPSFT 666和OPloc 664可以至少在可以在其中傳送dT的步驟中經由加密頻道進行通信。
OPSFT 666可以使用接收的已簽名判定的驗證以確定可信的OPloc 664例如藉由產生共享密鑰KT已經執行了登記。在這個發生之後,及/或在可選地從用戶660請求最終的登記確認之後(在650),OPSFT 666可以觸發使用OPagg 668的用於OIDS的服務關聯的建立。針對這個,OPagg 668可以在656運作程序F。在程序F,OPagg 668可以產生及/或儲存用於域T中的可信賴方RPT的OIDS對RPT的關聯對(OIDS,RPT)。可以依據例如各種策略來確定該關聯。
根據示例實施方式,這裏所述的源域S可以是沒有使用本地OpenID而是使用標準OpenID以用於基於網路的認證的OpenID提供方的OpenID域。例如,OpenID提供方(OP)(例如,GOOGLE®、YAHOO®等)可以不執行本地OpenID。當OP沒有執行本地OpenID時,可以執行攝取(ingestion),這可以與這裏所述的登記和認證程序相似。當執行從該標準OpenID域(例如,正常域N)到本地OpenID域的識別碼攝取(即,使用標準OpenID的登記及/或認證)時,正常域N可以在BA域OPN之間的基於網路的認證協定進行運作。這可以導致產生陳述特定OIDN被認證的判定。但是,此判定可能不能提供OIDN以期望的方式一定用於特定OPloc的保證。例如,此判定可能不能提供OIDN一定用於依靠相同裝置的實體或傳輸層協定端點,其包括已經執行了OpenID認證的BA。用於能夠實現向OPN的認證到特定OPloc的綁定的系統及/或方法可以基於建立認證因素之間的綁定。用於建立此綁定的一種方式可以是在單一安全頻道會話中纏繞該登記協定,提供至少通信夥伴的認證。通信夥伴可以用作例如通信端點,使得兩側可以被保證它們在後續的訊息交換中與一個對等方通信。
第7圖是示出了從OpenID域協定攝入的流程圖。如第7圖所示,在702,用戶758可以經由例如BA 760瀏覽到OPSFT 764。在704,BA 760和OPSFT 764可以建立用於通信的安全已認證頻道。在706,用戶758可以經由例如BA 760提交用於正常域N的登錄識別符OIDN至OPSFT 764。在708, OPSFT 764可以從OPagg 768請求與對(OIDN,OPSFT 764)相關聯的OPSF位址。在710,OPagg 768可以將用於非本地OPN 770的位址(例如URL)發送到OPSFT 764。在712,OPSFT 764可以執行與OPN 770的關聯。OPN 770可以產生關聯控制碼A和簽名密鑰S,其中簽名密鑰S是藉由使用例如密鑰導出函數從關聯控制碼A和KN中導出。KN可以是域N的導出的密鑰或其可以由正常域N OPN 770隨機產生。KN可以由OPN 770產生並在OPN 770與OPSFT 764之間被共享。在712,OPN 770可以發送關聯控制碼A和簽名密鑰S至OPSFT 764。
在714,OPSFT 764可以發送重新定向訊息至BA 760。重新定向訊息可以包括到正常域N中的OPSFN的重新定向及/或附加參數,例如會話ID、返回URL、亂數、OIDN及/或關聯控制碼A。在716,用戶758可以經由例如BA 760向OPN 770執行認證。例如,用戶758可以向OPN 770提供認證憑證。在718,OPN 770可以使用簽名密鑰S對判定訊息(例如,OpenID判定訊息)進行簽名並且在720可以發送已簽名的判定訊息至OPSFT 764。在722,OPSFT 764可以使用在712從OPN 770接收的簽名密鑰S來驗證判定。
在724,OPSFT 764可以產生用於目標域T的密鑰導出參數dT。密鑰導出參數dT可以是為OPSFT 764所知的數(例如亂數)、且可以被OPloc 762共享以用於導出共享密鑰以在OPSFT 764與OPloc 762之間建立安全通信。在726,OPSFT 764可以發送重新定向訊息至BA 760。重新定向訊息可以指示使用OPloc 762的本地登記的使用。此外,重新定向訊息可以包括OIDN、OPSFT識別碼(例如URL)、密鑰導出參數dT及/或關聯控制碼A。在730,BA 760可以安裝來自OPSFT 764識別符的OPloc 762的經修改的DNS查找。在732,BA 760可以將接收到的參數轉發到OPloc 762。在734,用戶758可選地可以執行使用OPloc 762的本地用戶認證。在736,OPloc 762可以從dT和根秘密SR中導出KT。OPSFT 764和OPloc 762可以共享預先建立的根秘密SR,其可以允許OPSFT 764將OPloc 762認證為真正的本地OP。此認證可以從OPSFT 764被委派給信任第三方。在736,OPloc 762可以儲存KT以供之後使 用。OPloc 762可以從關聯控制碼A和判定密鑰Kasc中產生簽名密鑰S’。可以基於在來自OPSFT 764的重新定向訊息中接收的OPSFT識別符給判定密鑰Kasc賦予目標域T的共享密鑰KT的值。在738,OPloc 762可以使用簽名密鑰S’對判定(例如OpenID判定)進行簽名。
在740,OPloc 762可以發送具有指示登記的參數的已簽名判定訊息至BA 760。在742,BA 760可以將該已簽名判定轉發至OPSFT 764。在744,OPSFT 764可以從目標導出密鑰dT和預先建立的根秘密SR中導出目標域T的共享密鑰KT。OPSFT 764還可以從關聯控制碼A和共享密鑰KT中產生簽名密鑰S’。OPSFT 764可以使用該簽名密鑰S’來驗證接收到的判定。在746,OPSFT 764可以儲存KT。在748,OPSFT 764可以請求對用戶758想要OIDN登記在目標域T中的確認。在750,用戶758可以提供該確認給OPSFT 764。對確認的請求及/或來自用戶758的確認可以例如經由BA 760被發送。在752,OPSFT 764可以發送對OIDN登記到OPagg 768的請求。為了結束登記,OPagg 768可以在754運作登記結束程序F。在程序F,OPagg 768可以產生及/或儲存關聯對(OIDN,OPSFT 764)。這可以防止惡意的登記嘗試。在此登記程序之後,在756登記可以完成並且用戶758能夠使用其OpenID識別碼OIDN以本地OpenID向目標域T中的相關聯的可信賴方進行認證。
例如如第6圖所示,可以在OpenID發現中執行在OPagg 768處的本地登記準備功能R。這裏描述了登記準備功能R且其可以在第7圖所示的實施方式中實施,但是對登記準備功能R的標記沒有在第7圖中示出。應當理解可以使用OpenID協定認證來實施第7圖,因此另外的OpenID協定認證步驟可以被實施,並也已從第7圖省略。在OPagg 768處的本地登記結束程序F與第6圖所示的登記結束程序相同或相似,只是OPSFS 670被替換為OPN 770,OIDS被替換為OIDN。用N標記的括弧指示可以是OpenID認證運作的攝入協定的一部分。
在第7圖所示的實施方式中,在726,OPSFT 764發送的重新定 向訊息(例如在第一個OpenID判定的驗證之後)可以指向OPSFT 764。這可以允許在728經由修改的DNS查找來存取本地OP 762。這裏可能不可以使用OPN 770位址,因為沒有為OP建立修改的DNS查找。在從OPSFT 764接收(在726)到重新定向訊息之後,可以安裝用於該域的修改的DSN查找的安裝。這可以發生,使得OPloc 762的查找可以成功。
導出的共享密鑰KT對OpenID協定運作的加密依賴性可以在密鑰導出程序中被保持。這可以允許OPSFT 764之後證明其已經正確執行攝入(例如,將其綁定到使用OPN 770的OpenID認證)。為了增強這種判定,可以在dT的產生中插入到安全頻道建立的綁定。例如,在TLS頻道建立中的上一個封包的散列(hash)值可以用加密方式被包括在dT中。根據一個示例實施方式,該頻道綁定可以按照網際網路工程任務組(IETF)請求註解(Request for Comments)發表的標準文獻號碼5056和5929中示出的來執行。這些標準文獻示出了從已建立的TLS隧道擷取密鑰,這可以用這裏所述的方式執行。
第7圖中示出了實施方式可以使得OPagg 768的功能能夠執行登記程序準備R及/或在後續認證中的OPSFT 764發現。使用OpenID提供方OPN 770,發現功能可以被結合到OPN 770的網路域,且OPN 770可能不被啟動(enable)及/或不願意執行這些功能以用於目標域T中的本地OpenID認證。可以執行使用可擴展資源描述符序列(XRDS)的高階發現功能的使用來解決這個問題。XRDS是用於提供並描述用於網路資源(例如URL)及/或在資源(例如URL)可用的服務的元資料(metadata)的XML格式。該問題在特殊情況中不存在,例如,在目標域T中的可信賴方能夠本身執行OPSFT 764的發現。
在攝入協定中,來自OPloc 762的已簽名判定可以包括除了至OPSFT 764的登記命令之外的UE上的OPloc 762的唯一識別符。這在OPloc 762被包括在實體上分離且可能是可移動的SEE(例如智慧卡)的情況中是有用的。
根秘密SR可以是用於每個OPloc的獨特的秘密及/或經傳輸的唯一識別符可以使得OPSFT 764能夠在其本地資料庫中找到正確的根秘密。這可以使得OPSFT 764能夠將登記以OIDN及/或OPloc 762的獨特的識別碼一致作為條件,使得在OPSFT 764作為識別碼提供方的情況下至少一個OIDN可以使用至少一個指定的OPloc 762。
在成功攝入後,可以執行目標域T中的認證。在攝入的另一種實施中,經由添加的因素的用戶本地認證可以被執行作為攝入的一部分(例如在OPloc 762的認證請求接收之後的步驟中)。OPloc 762可以為此經由安全頻道與本地認證代理(LAA)通信。LAA可以執行具有期望強度的用戶認證及/或登記用戶認證憑證(例如生物特徵量測資料)。至目標域的攝入可以經由LAA直接被執行,而不需要例如OPN的參與。
一個示例實施方式可以包括使用電子識別碼檔(eID)。例如,eID可以包括德國新式國民識別碼證(German Neuer Personalausweis),其為配備有無接觸智慧卡的識別碼卡。這裏描述了涉及eID卡的用於執行本地OpenID攝入的基線架構及/或認證架構。
第8圖是示出使用eID卡814的攝入的圖。在816,eID卡814和卡終端(CT)812可以經由安全協定(例如安全密碼認證的連接建立(PACE)協定)在無接觸鏈路上通信。PACE是為eID卡開發的協定並可以被標準化以用於各種電子管理ID和移動檔。OPloc 810可用作請求真正用戶資訊(例如出生日期(年齡驗證)、註冊位址、國籍、性別等)的服務。OPloc 810可以經由BA 806接收用戶802資訊及/或OPSFT 808資訊。CT 812可以經由用戶端應用804接收用戶資訊。OPloc 810可以配備有用於請求用戶認證的授權證書。授權權證的部署可以例如由認可的實體來控制。在818,授權證書可以被傳送到CT 812。在一個實施方式中,授權證書可以與對期望資料的請求一起被傳送到CT 812。用戶802可以經由輸入用戶802的PIN來授權資料釋放到OPloc 810。OPloc 810可以驗證接收的個人資料的真實性。這可以添加認證 因素(例如特定eID卡814的持有及/或對eID卡814的PIN的知曉)到本地OpenID登記程序。這可以允許策略決定(例如年齡驗證),其可以由OPloc 810本地採用及/或在OPSFT 808處被採用。OPloc 810可以將相關資料插入到例如已簽名判定中。在818,OPloc 810和CT 812可以經由用戶端伺服器協定(例如HTTPS)在某安全頻道上通信。根據另一個實施方式,CT 812和OPloc 810可以共同位於相同安全元件(例如智慧卡)上。
在現代網路服務的部署中,在特定行動及/或社交服務中,用戶註冊可以涉及某種形式的裝置綁定。例如,在汽車共享、行動及/或胞元服務中,行動用戶可以經由他們的行動裝置提供他們的位置及/或計畫目的地的資料並經由本地安裝在他們裝置上的應用來尋找汽車共享機會。汽車共享及/或其他社交服務可以具有一些安全性需求,因為用戶經由與其他用戶進行服務仲介互動可能招致潛在的風險。因此,經由將網路服務註冊與用戶的行動電話號碼(例如IMSI)(其是合法個人註冊的,例如在歐盟)綁定,且由此與包含註冊時的行動電話號碼(例如IMSI)的服務應用及/或SIM卡所在的裝置綁定,可以確保可靠性及/或能夠進行服務收費。這種組合的註冊和裝置綁定可以使用具有某些安全性特性的次級頻道,其可以具有裝置上的有保證的端點。根據示例實施方式,簡訊服務(SMS)可以用於該次級頻道。例如,經由SMS將碼發送到用戶之前輸入到註冊表格中的電話號碼。用戶可能必須將該碼鍵入到移動應用以啟動服務註冊。
如上所述的次級頻道的使用可以對在攻擊者已經存取(即使是臨時的)到電話以擷取碼的情況下接收其他人電話上的碼提供很少的保護。在這種情況中,攻擊者能夠以非法電話擁有者的姓名註冊到服務。例如如這裏所述的使用本地OP的OpenID識別碼攝入可以能夠建構更便捷、無縫以及安全服務註冊程序,其可以使用專用次級頻道(例如,SMS或用於能夠將裝置與期望安全特性綁定的另一個合適的頻道)。
第9圖是示出使用次級頻道以利用裝置綁定的服務註冊的流程 圖。第9圖中示出的實施方式可以利用服務註冊方938和用於OPloc 936與OPSF 940之間的安全通信的次級頻道。由於第9圖沒有示出從一個OpenID域到另一個的轉變,因此OPSF 940可以例如是一般的OPSF或源域S OPSFS。如第9圖所示,在902,用戶可以瀏覽到OPSF 940的登記頁面並可以提交登記登錄識別符OIDenr至服務註冊方938。例如可以經由應用934提交登錄識別符。在904,服務註冊方938可以執行與OPSF 940的關聯。在關聯期間,可以產生用於目標域的密鑰導出參數dT。OPSF 940可以產生關聯控制碼A和簽名密鑰S,其中簽名密鑰S從關聯控制碼A和密鑰導出參數dT中導出。在904,關聯控制碼A和簽名密鑰S可以從OPSF 940被發送到服務註冊方938。在906,OPSF 940還可以經由次級頻道(例如SMS)發送密鑰導出參數dT到OPloc 936。共享的密鑰導出參數dT可以經由具有定義的安全性特性的次級頻道被發送到裝置上的OPloc 936,該裝置包括發佈認證及/或註冊請求的應用934。
在908,服務註冊方938可以發送重新定向訊息到應用934。重新定向訊息可以包括至OPSFS的重新定向及/或參數,例如會話ID、返回URL、亂數、OIDS及/或關聯控制碼A。在910,應用934可以執行OPSFS位址的修改的DNS查找以確定OPloc 936的位址。在912,應用934可以發送認證請求到OPloc 936。認證請求可以包括例如在來自服務註冊方938的重新定向請求中接收的資訊或其中的參數的組合。在914,用戶932可以在OPloc 936執行認證。例如,用戶932可以提供認證憑證,該認證憑證可以用於用戶裝置上的本地認證。在916,OPloc 936可以使用簽名密鑰S對判定(例如OpenID判定)進行簽名。簽名密鑰S可以在OPloc 936從經由次級頻道接收的關聯控制碼A和密鑰導出參數dT的函數中被導出。在918,已簽名判定可以從OPloc 936被發送到應用934。在920,應用934可以將已簽名判定轉發到服務註冊方938。
在922,服務註冊方938可以使用從OPSF 940接收的簽名密鑰S來驗證判定(例如,OpenID判定)。在924,OPloc 936可以從密鑰導出參數 dT和簽名密鑰S中導出共享密鑰K、並在裝置上儲存該密鑰K。密鑰K可以被OPSF 940共享以創建信任關係。在926,服務註冊方938可以請求用於源域S的OpenID識別符OIDS向目標域T的OPSF 940的登記。在928,服務註冊方938可以例如經由應用934在目標域T中發送OIDS的註冊確認到用戶932。在930,OPSF 940可以從密鑰導出參數dT和簽名密鑰S中導出共享密鑰K。OPSF 940可以儲存用於源域的OpenID識別符OIDS與共享密鑰K的關聯。
基於本地OP的服務註冊的前提條件包括將服務應用934下載及/或安裝到用戶932的裝置。另一個前提條件可以包括在裝置上存在OPloc 936。OPloc 936可以與應用934(例如,來自相同下載源、服務註冊方或移動應用市場)一起被安裝或OPloc 936可以預先裝有例如裝置或UICC。OPloc 936可以或可以不具有與用於例如服務註冊和認證的專用OPSF的預先建立的信任關係,例如,共享的秘密密鑰。
在首次使用服務時(例如,藉由用戶932首次啟動應用934),可以要求用戶932註冊到服務。這可以經由多種方式來實現。例如,用戶932可以按下按鍵(例如名為“使用OpenID註冊”的按鍵),在用戶932按下按鍵後,可以觸發應用934提交一般OpenID登記識別符OIDenr,其可以向服務註冊方938指示應用934和用戶932可能正在請求註冊。在另一個示例中,註冊及/或認證可以統一在服務註冊方938的單一網頁中。服務註冊可以被無縫完成,並可以不從本地OpenID認證中被(例如被用戶932)洞悉。例如,用戶932可以只是按下按鍵(例如,“登錄”按鍵)並且服務註冊方938及/或OPSF 940可以自發發起註冊程序。在另一個示例中,服務註冊方938可以做出關於被包括在註冊程序中的這些OpenID識別符的策略決定。這對於被迫重新註冊(例如因為安全性原因)可以是有用的。
如第9圖所示,在904,服務註冊方938可以建立與OPSF 940的OpenID關聯。在此關聯期間的某點,可以產生密鑰導出參數dT。如何產生dT以及哪個實體經由次級頻道將dT發送到裝置可以取決於實施、信任關係及 /或職責分離。例如,OPSF 940可以產生dT。替代地,服務註冊方938可以產生dT,並且dT在關聯請求中被發送到OPSF 940。用於次級頻道的定址資訊可以例如是與行動電話相關聯的號碼(例如,IMSI)及/或可以由用戶經由註冊頁面提交。
為了將註冊綁定到正進行的OpenID認證運作,關聯簽名密鑰S可以取決於導出參數dT(例如,S=f(A,dT))。在另一個示例中,dT可以與關聯簽名密鑰S相同。此外,dT到達裝置上的OPloc 936的方式可以是實施相關的。示例可以包括手動用戶輸入或服務應用934及/或OPloc 936存取次級頻道(例如,使用SIM工具套件函數)的方案
在第9圖示出的本地OpenID認證協定流(其可以包括例如本地用戶認證)中,導出的簽名密鑰S可以用於對OpenID判定進行簽名及/或驗證。在成功認證後,經由在OPSF 940和OPloc 936本地地從密鑰導出參數dT中創建註冊的共享密鑰K、並將該密鑰K與用於被請求服務的註冊的OpenID識別符OIDS相關聯,用戶932可以被註冊。實際上,第9圖示出的協定流可以用於確保由服務應用934使用經註冊的OpenID識別符來用於使用OPloc 936的本地OpenID認證,服務應用934和OPloc 936可以位於次級頻道終止處的相同裝置上。
根據示例實施方式,OpenID聯合的應用正使用例如已有的用戶OpenID識別碼授權對公司安全域的存取。該安全域可以例如是內網或虛擬私人網路(VPN),其可以受網際網路閘道伺服器的保護。網際網路閘道伺服器可以與這裏所述的實體網存取閘道不同。經由使用用戶的已有OpenID識別碼來使用公司安全域,用戶能夠將他們自己的私人裝置帶到公司域並將私人裝置用於工作服務或公司域中的其他服務,而不用獨立地註冊另一個識別碼。在公司安全域中使用閘道伺服器僅僅是閘道伺服器的實施的一個示例,應當理解閘道伺服器和已有OpenID識別碼可以用於各種其他的實施中。
例如在SEE或智慧卡中使用受保護的本地OP對保持公司域的保護的某些安全性特性是有利的。在一個示例中,在登記期間可以經由多個頻道對用戶進行認證(例如,經由為公司域存取經由常規郵件發送用於OPloc啟動的PIN)。可以阻止公司存取帳號的複製。可以使用許多可用實體存取訊標的安全特性,例如安全USB棒。本地OpenID可以基於標準認證和應用協定(例如HTTP(S))。
為了在已有的域(例如公司安全域)中實施並使用OPloc。如這裏所述,來自OpenID域的本地OpenID攝入可以被使用。這裏所述的攝入程序可以利用兩個因素的認證。例如,一個因素可以包括擁有OPloc,而另一個因素可以包括知曉OpenID用戶認證憑證。根據示例實施方式,OPloc可以被嵌入在智慧卡中。智慧卡可以被裝在指定的用戶的實體位址。用戶可以在其裝置(例如智慧型電話)上安裝智慧卡。用戶可以瀏覽到公司安全閘道的頁面及/或提交用戶的OpenID識別碼來登錄。安全閘道可以決定此用戶的OPloc還沒有被登記。安全閘道可以運作攝入協定,例如第7圖所示的攝入協定。軟體組可以被下載到裝置以能夠進行協定的用戶端側的動作,例如修改的DNS查找的建立。
可以使用被選擇的OpenID提供方位置(例如,GOOGLE®、YAHOO®等)來執行OpenID認證。在協定運作及/或後續認證中,安全閘道可以結合OPagg(其可以用於解決發現的問題)的作用。根據另一個實施方式,目標域T的OPSFT可以與公司閘道保持分開。例如,OPSFT可以是用於至少一個公司安全閘道的認證提供方服務。
如這裏所述,可以使用登記的識別碼來執行後續的認證。用戶認證可以是透明的(例如,不需要本地用戶認證)或使用在裝置上可用的被用作另外認證因素的任何形式本地用戶認證來實施。該本地認證的因素(例如生物特徵量測認證)可以在用戶的本地認證中被登記到攝入協定。
根據實施公司閘道的示例實施方式,公司閘道可以結合在裝 置與公司網路之間建立安全頻道(例如VPN)的任務。雖然在此示例實施方式中使用公司網路,但是應當理解可以以類似方式使用各種其他類型的網路。裝置與公司網路之間的安全頻道可以用於本地OpenID認證,例如在第7圖的安全頻道的登記中示出的。可以有多種方式來建立裝置與網路(例如公司網路)之間的安全頻道,其中一些可以包括VPN的使用。
根據一個示例實施方式,可以經由VPN安全隧道來實施本地OpenID。在此示例實施方式中,用戶可以啟動VPN用戶端,VPN用戶端可以建立至公司VPN閘道的安全隧道但是可以待在隔離模式(例如,VPN用戶端沒有獲得至VPN的連接)。在例如經由本地OP的認證之後,可以啟用完全的VPN連接。可以經由VPN安全頻道實施本地OpenID,只需對VPN用戶端進行小小修改或不需要修改。可以被包括作為登記階段的公司閘道的VPN用戶端可以執行與在安全頻道建立中的相同或相似的初始行為。
根據另一個示例實施方式,可以使用本地OpenID認證來建立VPN連接。在此示例實施方式中,可以在網路中執行向VPN閘道的基於本地OP的認證。在OpenID認證中,可以與目標域T的OPSFT協商應用服務特定的秘密的共享密鑰。也就是說,應用服務特定的秘密的共享密鑰可以用於將認證會話綁定到之後的安全隧道的建立。基於這個,VPN隧道可以被建立。使用本地OpenID認證建立VPN連接可以實施秘密密鑰從本地OP到VPN用戶端的傳遞及/或使用。根據示例實施方式,該秘密密鑰的傳遞及/或使用可以與第三代合作夥伴計畫(3GPP)規範的技術規範(TS)編號33.220中示出的GBA-ME類似。
這裏描述了用於在一個或多個裝置與網路之間建立安全頻道的實施方式。根據實施方式,可以經由VPN安全隧道來實施本地OpenID並且可以使用本地OpenID認證來建立VPN連接。VPN安全隧道的實施和VPN連接的建立可以例如被結合到相同協定中。
根據示例實施方式,OpenID聯合可以涉及多個用戶端。涉及 多個用戶端的聯合的OP的一個示例實施方式在第10圖中示出。第10圖是示出源域1004的用戶端1014的圖,其經由使用本地OP功能1016及/或來自目標域1002的另一個用戶端1010的憑證獲得至目標域1002的SSO。如第10圖所示,例如用戶端1014之類的裝置可以利用在用戶端1014與另一個裝置之間已經存在的OP關係來從RP 1012獲得服務。其他裝置可以例如是目標域1002中的用戶端1010及/或OPSF 1006。在一種實施中,用戶端1014可以具有至用戶端1010的鏈路(例如,私人鏈路)。與認證用戶端1014本身進行比較,用戶端1010可以具有更大的能力來認證用戶端1014的用戶。例如,經由使用其本身的聯合OpenID能力和已有的判定,用戶端1010可以具有更大的能力來認證用戶。用戶端1010及/或其本地OP 1018(或例如其他本地判定提供方)能夠保證用戶端1014的用戶及/或用戶端1014本身,這優於在用戶端1014及/或其本身的本地OP 1016保證其用戶或其本身的情況(例如,經由源域1004中的OPagg/OPSF 1008)。
關於單一用戶端(例如用戶端1014)的實施,可以使用如這裏所述的類似特徵來實施另外的用戶端1010。第10圖示出了經由源用戶端1014結合目標域1002中的不同用戶端1010。源域1004中的用戶端1014上的本地OP 1016在某些方面可以與目標域1002的用戶端1010上的本地OP 1018不同,並可以在一般性映射中被獲取。因此,可以執行以下類型的映射或關聯:{用戶端IDS,OIDS,用戶端IDT,OIDT,RP}→{OPSF} 等式3等式3的映射可以將兩個用戶端ID(源和目標)、兩個OpenID識別符(源和目標)及/或可依賴方組成的五個一組關聯到能夠認證用於RP所屬的域/群組的用戶的一個或多個OPSFS
在本地OpenID中,此映射可以在發現階段被執行。例如,實 體OPagg及/或一組OPagg之上的元實體可以儲存此映射表。該關聯表可以是全局的。這可能由於全局URI用作例如OpenID中的識別符。可以用各種方式組織該映射。例如,其可以映射{(用戶端IDS,OIDS,用戶端IDT,OIDT,RP)}到{OPSFX}。該映射可以支援服務分組。對群組的用戶訂閱的支援可以由例如這裏所述的OPSFX執行。
關於聯合,用戶可能期望在可以支援源域S和目標域T的服務群組之間漫遊。在上述的記法中,這意味著關聯用戶端DS x OIDSx用戶端DTx OIDTx{RPT}→OPSFT 等式4可以被建立用於來自域S的用戶,在該域S中用戶有具有用戶端IDS、OpenID識別符OIDS的用戶端,用戶可能想要在域T中透明地使用用戶端IDS、OpenID識別符OIDS,但是某種程度上可以使用該能力或經由用戶端IDT及/或至屬於域/群組T的服務的OpenID識別符OIDT及/或用戶端IDT啟用的已有OpenID連接。發現及/或登記可以依據這些映射/關聯的檢查。可以理解與關於單一用戶端的實施的這裏所述的實施方式類似的實施方式可以用於多個用戶端實施。
根據示例實施方式,底層服務SSO可以用於使得用戶及/或用戶的UE能夠使用單一識別碼來存取多個域中的服務。第11圖是示出了該底層服務存取的圖。例如,行動用戶可以進入具有多個底層(例如Fa 1112和FN 1122)的建築(例如,辦公大樓)。根據示例實施方式,每層可以被多個公司租用。行動用戶可以擁有及/或使用行動裝置,例如UE 1102。UE 1102可以是私人行動裝置(例如智慧型電話或膝上型電腦)並可以包含用戶的公司的遠端及/或現場電子服務S的訂閱。該訂閱可以使得SSO到公司服務及/或使用可用識別碼管理方案來實現。根據一個示例,UE 1102可以承載公司及/或識別碼服務提供方(例如MNO)運作的本地OpenID系統的本地OP實 例(instance)。
如第11圖所示,當進入建築(例如辦公大樓)並移動到建築內時,UE 1102可以與一個或多個閘道(例如,GWG 1104、GWa 1114及/或GWN 1124)(例如自動地)互動。GWa 1114和GWN 1124的每一個可以分別與服務群組Sa和SN相關聯。例如,GWa 1114可以賦能對服務Saa 1106、Sai 1108及/或Sak 1110的存取,而GWN 1124可以賦能對服務SNA 1116、SNI 1118及/或SNK 1120的存取。
當UE 1102進入到與建築非常接近時(例如在對該建築的實體存取),UE 1102會遇到GWG 1104。GWG 1104可以正服務用於該建築中的其他GW及/或服務的存取控制功能。該閘道管理者GWG 1104可以例如經由OpenID過程識別及/或認證UE 1102。GWG 1104能夠識別及/或認證UE 1102是因為GWG 1104可以知道該建築中的公司的識別碼提供方。根據一個實施方式,GWG 1104可以與該建築中的公司具有信任關係。GWG 1104可以識別UE 1102、及/或用作UE 1102的建築範圍內的識別碼提供方。GWG 1104可以轉出憑證給UE 1102、提供服務發現資料給UE 1102、及/或為UE 1102建立用於建築中的服務存取的准許策略。
當UE 1102可以經由不同底層(例如Fa 1112及/或FN 1122)時,UE 1102可以聯繫對應於每個層F(或服務群組)的閘道GW。例如,當UE 1102在層Fa 1112時,其可以聯繫閘道GWa 1114以存取服務Saa 1106、Sai 1108及/或Sak 1110,而UE 1102在層FN 1122時可以聯繫閘道GWN 1124以存取服務SNA 1116、SNI 1118及/或SNK 1120。對於每個閘道,運作的登記程序可以與GWG 1104運作的登記程序類似。登記程序可以基於閘道(例如,GWa 1114或GWN 1124)與GWG 1104之間的信任關係。以這種方式,UE 1102及/或其用戶可以獲取用於每個層的認證憑證、及/或可以存取UE 1102及/或其用戶訂閱的服務。可以根據閘道方面(例如,層方面)的策略來區分認證憑證及/或服務。例如,在層Fa 1112上,UE 1102可以具有對緊急服務的存取,而 在層FN 1122,UE 1102可以使用線上列印。
根據一個示例實施方式,UE 1102可以具有對與閘道相關聯的服務的完全服務存取。例如,層FN 1122可以是用戶的本地層,與另一層相比,在該層中UE 1102可以被授權經由GWN 1124存取很大數量的服務及/或完全存取服務。一個或多個層及/或閘道可以被分組,使得可以有層群組等級的策略區分及/或處理。此過程可以是自動的。例如,層Fa 1112和FN 1122可以被分組及/或具有相關聯策略,由此UE 1102甚至可以不用注意這些層上的登記及/或登錄程序。第11圖中的每個層F表示服務群組,但是應當理解可以用各種其他方式來對服務分組。
本地OpenID可以提供用於第11圖示出的實施方式的輕量實現選項。例如,首次遇到時的登記原則可以沿用到每個閘道GW。首次遇到時的登記可以經由存取作為普通RP或網路服務的一個或多個GW來進行。服務發現可以是例如任何合適形式的發現。在首次遇到時存取GW時,UE 1102可以不為一個或多個其他GW所知。向GW的認證可以經由在OP層級之上的下一個GW來實現。根據示例實施方式,在層級中最上的OP可以是初始訂閱OP(例如,MNO)。閘道管理者GW(例如GWG 1104)可以在初始訂閱OP之下的層,且層或群組GW(例如,GWa 1114及/或GWN 1124)可以在下一個層。
第12圖是示出使用本地OpenID的底層服務存取的圖。可以遇到(例如首次遇到)的每個閘道的功能能夠在較高的OP的認證運作中運作附屬秘密(例如,導出的密鑰)。第12圖中示出了OP登記的這種鏈鎖。可以使用如這裏所述的基於閘道的本地OpenID聯合協定。用於連續閘道登記及/或閘道層的服務存取的高階概念可以實現。可以使用這裏所述的程序(例如ENRG及/或AUTHG)來實現閘道登記及/或閘道層的服務存取。
可以如第12圖所示執行登記程序。如第12圖所示,UE 1202可以包括OPloc並可以在1212執行使用本地OP 1210的認證。在1214,UE 1202 可以提交登記請求至GWG 1206。在1216,GWG 1206可以導出及/或與本地OP 1210交換秘密以用於在域G中登記UE 1202(例如,使用如這裏所述的UE 1202源域S識別符)。GWG 1206還可以與可以執行用戶認證及/或存取服務的策略的策略提供方1218通信。當UE 1202移動到GWFi 1204附近時,UE 1202可以在1224請求域i中的登記以用於在1230存取域i中的服務,例如服務Sij 1208。在1226,UE 1202可以執行使用GWFi 1204的認證以存取域i中的服務。在1222,GWFi 1204可以導出及/或與GWG 1206交換秘密。在1220,UE 1202可以執行使用GWG 1206的認證以執行使用GWFi 1204的登記。這可以在UE 1202的OPloc中建立用於在域i中使用的新秘密。為了得到對域i中的服務(例如服務Sij 1208)的存取,在1230,UE 1202可以請求對服務Sij 1208的存取並可以向GWFi 1204和OPloc功能進行認證以得到對服務Sij 1208的存取。在1228,服務Sij 1208的RP可以與GWFi 1204執行密鑰導出。
根據示例實施方式,用戶的UE 1202不可以使用底層閘道GWFi 1204或閘道管理者GWG 1206來登記。用戶及/或UE 1202可以嘗試存取在層Fi上的服務Sij 1208。GWFi 1204可以中斷與Sij 1208的RP的服務存取嘗試、並可以通知具有OIDS(例如源域OpenID識別符)的UE 1202可以尚未被登記。GWFi 1204可以與GWFi 1204的域i發起ENRi、登記協定。GWFi 1204可以嘗試(例如經由HTTP簡單發現)得到本地OP 1210處的OPagg的位址(例如在ENRi的第一個步驟中)。GWG 1206可以中斷該通信嘗試及/或確定至源域的OpenID請求。
GWG 1206可以返回常規錯誤訊息(例如常規錯誤訊息‘不操作’)到GWFi 1204。錯誤訊息可以包括到GWG 1206的登記頁面的重新定向。GWFi 1204可以分離錯誤訊息、中止ENRi及/或轉發該重新定向至UE 1202的BA。這可以是例如域G中的ENRG的第一個步驟。BA可以與GWG 1206運作ENRG。UE 1202的用戶可以重複對Sij 1208的服務存取嘗試,在服務存取嘗試時可以發起ENRi。在成功ENRi之後,用戶可以使用AUTHi來存取Si。 登記的串接(cascade)可以使得用戶能夠使用本地OP 1210以使用提供Sij 1208的RP進行認證。可以理解的是用戶可以不需要重複每個服務存取嘗試,但是這可以自動地執行以阻止用戶必須重複這種存取嘗試。
使用GWG 1206及/或底層閘道GWFi 1204的登記的序列可以與實體存取控制及/或生物特徵量測認證組合。例如,在進入設施的用戶入口,用戶可以被重新定向到登記計數器。用戶可以被指示為登記而存取GWG 1206的網站。用戶可以使用GWG 1206來運作ENRG,GWG 1206可以傳遞生物特徵量測認證資料到存取控制系統,該存取控制系統可以與該閘道在相同位置。需要注意的是例如使用位於UE 1202上的OPloc將生物特徵量測登記綁定到UE 1202的登記。例如,可以經由質詢-回應程序來增大ENRG。生物特徵量測登記程序可以產生秘密號碼。秘密號碼可以被秘密地傳送給OPloc、及/或顯示給增大的ENRG協定中的用戶。用戶可以向登記櫃檯的工作人員大聲讀出該秘密號碼、或例如經由自動裝置讀出。這可以確保提交其生物特徵量測資料的用戶是參與GWG 1206運作ENRG的裝置及/或OPloc的實際持有者。這是非限定性示例,其他方法可以用於確保提交其生物特徵量測資料的用戶是裝置及/或OPloc的實際持有者。
ENRG程序可以與至UE 1202的便捷存取鏈路的下載結合。這可以用於使用與某加入的用戶便捷性結合的生物特徵量測操作發起之後的使用本地OpenID的建築存取。此便捷存取鏈路可以是各種形式。例如,便捷存取鏈路可以包括指向附屬於GWG 1206的特殊服務的瀏覽器書簽,GWG 1206可以運作經結合的認證及/或實體存取控制程序。其他形式的便捷存取鏈路可以包括例如Java Applet及/或用於行動裝置的移動應用。
用於設施/建築的存取控制可以經由GWG 1206的服務來建立,UE 1202可以經由如這裏所述的便捷存取鏈路來存取該服務。在一個示例中,用戶可以被定向到可以包含用於用戶認證的生物特徵量測裝置的十字轉門/單人閘道。用戶可以向裝置輸入他/她的生物特徵量測認證、並可以經 由便捷存取鏈路存取該存取服務。生物特徵量測資料的匹配可以在存取服務(例如可信賴方)中發生,該匹配可以結合生物特徵量測資料與經由AUTHG的本地OpenID認證,或其可以在OPloc內被本地執行。當實施OPloc時,生物特徵量測資料可以在登記程序中和在AUTHG協定運作中被傳輸到OPloc
雖然本發明的特徵和元素以特定的結合進行了描述,但是本領域中具有通常知識者可以理解的是,每個特徵或元素可以在沒有其他特徵和元素的情況下單獨使用。此外,本領域中具有通常知識者可以理解,這裏描述的實施方式被提供僅用於示意性目的。例如,雖然這裏描述的實施方式使用OPloc、非本地OP或外部OP以用於執行相似功能,反之亦然。另外,這裏描述的方法可以在由電腦或處理器執行的電腦程式、軟體或韌體中實施,其中所述電腦程式、軟體或韌體是以有形的方法包含在電腦可讀媒體中的。電腦可讀媒體的實例包括電子信號(經由有線或無線連接傳送)和電腦可讀儲存媒體。電腦可讀儲存媒體的實例包括但不限於,唯讀記憶體(ROM)、隨機存取記憶體(RAM)、暫存器、快取記憶體、半導體儲存裝置、內部硬碟和可移式磁片之類的磁性媒體、磁光媒體以及CD-ROM磁片和數位多功能光碟(DVD)之類的光學媒體。與軟體相關聯的處理器可以用於實現射頻收發器,以便在WTRU、UE、終端、基地台、RNC或任何主機電腦中加以使用。
446‧‧‧用戶
448‧‧‧瀏覽代理(BA)
450‧‧‧OPloc
452‧‧‧閘道(GW)
454‧‧‧RPG
456‧‧‧OPagg,G
458‧‧‧OPSFG
OIDs‧‧‧源域S
AUTHG‧‧‧認證協定
HTTPS‧‧‧安全頻道
KG、Kasc、KT‧‧‧密鑰
OIDG‧‧‧OpenID識別符
DNS‧‧‧本地功能變數名稱伺服器
OpenID‧‧‧開放識別碼
SDBG‧‧‧資料庫
ENRG‧‧‧登記

Claims (16)

  1. 用於將一用戶裝置的一用戶登記到一目標域的裝置,該裝置包括:接收對一源識別碼提供者的一位址的一請求,該請求表明1)與該用戶相關聯的一源域識別碼、以及2)與該目標域相關聯的一目標識別碼提供者;回應於該請求,確定與下列對應的該源識別碼提供者的該位址:1)與該用戶相關聯的該源域識別碼、以及2)與該目標域相關聯的該目標識別碼提供者;以及傳送該源識別碼提供者的該位址至與該目標域相關聯的該目標識別碼提供者,使得該源域識別碼可被登記在該目標域中。
  2. 如申請專利範圍第1項所述的方法,其中確定該位址包括執行與該源域識別碼、以及與該目標域相關聯的該目標識別碼提供者對應的該位址的一資料庫查找。
  3. 如申請專利範圍第2項所述的方法,其中執行該資料庫查找包括確定該源域識別碼未被登記到該目標域。
  4. 如申請專利範圍第2項所述的方法,其中執行該資料庫查找包括確定該源識別碼提供者與該目標識別碼提供者之間的一信任關係,使得該源域識別碼被允許被登記在該目標域中。
  5. 如申請專利範圍第1項所述的方法,其中,使用該用戶裝置上本地存在的一聚合功能來確定該位址。
  6. 如申請專利範圍第1項所述的方法,其中,使用一行動網路操作者的一域中存在的一聚合功能來確定該位址。
  7. 一種認證一用戶裝置的一用戶的方法,該方法包括:傳送與該用戶相關聯的一源域識別碼至一目標域的一服務提供者,其中該源域識別碼使得該用戶能夠存取一源域處的一源域服務; 基於該源域識別碼以及該服務提供者,確定針對該目標域的一識別碼提供者的一位址;以及傳送該識別碼提供者的該位址,使得該服務提供者以及該識別碼提供者能彼此相關聯,從而使該用戶能使用其源域識別碼存取該目標域。
  8. 如申請專利範圍第7項所述的方法,該方法更包括:在該用戶被登記到該目標域後,儲存該源域識別碼至該目標域的該服務提供者的一映射,以供將來使用。
  9. 如申請專利範圍第7項所述的方法,其中,使用該用戶裝置上本地存在的一聚合功能來確定該位址。
  10. 如申請專利範圍第7項所述的方法,其中,使用一行動網路操作者的一域內存在的一聚合功能來確定該位址。
  11. 一種包括一通信電路的節點,使得該節點經由其通信電路與一網路通信地耦合,其中該節點實體更包括:一處理器及一記憶體,該記憶體包含複數個電腦可執行指令,該複數個電腦可執行指令由該處理器執行時使該處理器執行包括下列的操作:接收對一源識別碼提供者的一位址的一請求,該請求表明1)與一用戶相關聯的一源域識別碼、以及2)與一目標域相關聯的一目標識別碼提供者;回應於該請求,確定與下列對應的該源識別碼提供者的該位址:1)與該用戶相關聯的該源域識別碼、以及2)與該目標域相關聯的該目標識別碼提供者;以及傳送該源識別碼提供者的該位址至與該目標域相關聯的該目標識別碼提供者,使得該源域識別碼可被登記在該目標域中。
  12. 如申請專利範圍第11項所述的節點,其中確定該位址包括執行與該源域識別碼、以及與該目標域相關聯的該目標識別碼提供者對應的該位址的一資料庫查找。
  13. 如申請專利範圍第12項所述的節點,其中執行該資料庫查找包括確定該源域識別碼未被登記到該目標域。
  14. 如申請專利範圍第12項所述的節點,其中執行該資料庫查找包括確定該源識別碼提供者與該目標識別碼提供者之間的一信任關係,使得該源域識別碼被允許被登記在該目標域中。
  15. 如申請專利範圍第11項所述的節點,其中該節點是該用戶的一用戶裝置,以及該位址是使用該用戶裝置上本地存在的一聚合功能來確定。
  16. 如申請專利範圍第11項所述的節點,其中該節點是一網路節點,以及該位址是使用一行動網路操作者的該網路內存在的一聚合功能來確定。
TW105109085A 2011-01-07 2012-01-09 具軀域OpenID用戶端及伺服器群SSO TW201626832A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US201161430869P 2011-01-07 2011-01-07

Publications (1)

Publication Number Publication Date
TW201626832A true TW201626832A (zh) 2016-07-16

Family

ID=45554807

Family Applications (2)

Application Number Title Priority Date Filing Date
TW105109085A TW201626832A (zh) 2011-01-07 2012-01-09 具軀域OpenID用戶端及伺服器群SSO
TW101100774A TWI558253B (zh) 2011-01-07 2012-01-09 進行用戶認證的計算機執行方法及使用用戶識別碼得到存取目標域處服務的方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
TW101100774A TWI558253B (zh) 2011-01-07 2012-01-09 進行用戶認證的計算機執行方法及使用用戶識別碼得到存取目標域處服務的方法

Country Status (3)

Country Link
US (2) US9237142B2 (zh)
TW (2) TW201626832A (zh)
WO (1) WO2012094602A1 (zh)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102891832B (zh) * 2011-07-20 2015-11-25 腾讯科技(深圳)有限公司 身份标识绑定方法及系统
CN103312499B (zh) 2012-03-12 2018-07-03 西安西电捷通无线网络通信股份有限公司 一种身份认证方法及系统
CN103312670A (zh) * 2012-03-12 2013-09-18 西安西电捷通无线网络通信股份有限公司 一种认证方法及系统
US9374228B2 (en) 2012-10-12 2016-06-21 International Business Machines Corporation Verifying a geographic location of a virtual disk image executing at a data center server within a data center
US9015328B2 (en) 2013-03-07 2015-04-21 Fiserv, Inc. Single sign-on processing for associated mobile applications
US9641498B2 (en) * 2013-03-07 2017-05-02 Fiserv, Inc. Single sign-on processing for associated mobile applications
EP2890039A1 (en) * 2013-12-30 2015-07-01 Gemalto SA Method to independently complete the personalization of a token
US9563761B1 (en) * 2014-01-17 2017-02-07 Microstrategy Incorporated Biometric identification
US9954679B2 (en) * 2014-03-05 2018-04-24 Qualcomm Incorporated Using end-user federated login to detect a breach in a key exchange encrypted channel
US9641512B2 (en) * 2014-04-10 2017-05-02 EMC IP Holding Company LLC Identity protocol translation gateway
WO2015175729A1 (en) * 2014-05-13 2015-11-19 Dennis Quan Systems and methods for managing, sharing, and organizing information stored on multiple cloud services
CN106576242B (zh) * 2014-08-28 2020-05-15 诺基亚技术有限公司 对于异构网络有效的用户设备标识
US9906954B2 (en) * 2014-10-20 2018-02-27 Payfone, Inc. Identity authentication
US9485244B2 (en) * 2015-03-02 2016-11-01 Citrix Systems, Inc. Executing an operation over file repositories located in different authentication domains using a representational state transfer (REST)-compliant client
CN106714152B (zh) * 2015-11-13 2021-04-09 华为技术有限公司 密钥分发和接收方法、第一密钥管理中心和第一网元
CN106909811B (zh) * 2015-12-23 2020-07-03 腾讯科技(深圳)有限公司 用户标识处理的方法和装置
GB2552966B (en) * 2016-08-15 2019-12-11 Arm Ip Ltd Methods and apparatus for protecting domains of a device from unauthorised accesses
US20180063152A1 (en) * 2016-08-29 2018-03-01 Matt Erich Device-agnostic user authentication and token provisioning
US10650621B1 (en) 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network
US10243946B2 (en) 2016-11-04 2019-03-26 Netskope, Inc. Non-intrusive security enforcement for federated single sign-on (SSO)
US11196733B2 (en) * 2018-02-08 2021-12-07 Dell Products L.P. System and method for group of groups single sign-on demarcation based on first user login
TWI685765B (zh) * 2018-03-07 2020-02-21 光陽工業股份有限公司 供電裝置之載具綁定變更方法及其伺服器
CN109245974B (zh) * 2018-11-30 2021-10-26 广东美的制冷设备有限公司 家用电器配网方法、装置和计算机可读存储介质
US11323431B2 (en) 2019-01-31 2022-05-03 Citrix Systems, Inc. Secure sign-on using personal authentication tag
DE102019105297A1 (de) * 2019-03-01 2020-09-03 Bayerische Motoren Werke Aktiengesellschaft Steuerung eines Kraftfahrzeugs
US11582229B2 (en) * 2019-06-01 2023-02-14 Apple Inc. Systems and methods of application single sign on
US11570164B2 (en) * 2019-07-30 2023-01-31 Dell Products L.P. System and method of single sign on to master website and silent authentication for subservient websites
US11552948B1 (en) * 2020-03-26 2023-01-10 Amazon Technologies, Inc. Domain management intermediary service
US11783022B2 (en) 2020-06-01 2023-10-10 Apple Inc. Systems and methods of account verification upgrade
CN112887978B (zh) * 2021-02-24 2022-03-25 曲阜师范大学 Wsn中的匿名身份认证与密钥协商协议
US11831754B2 (en) * 2021-04-21 2023-11-28 Aetna Inc. Systems and methods for device binding across multiple domains using an authentication domain

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06188831A (ja) * 1992-12-16 1994-07-08 Fujitsu Ltd パーソナル通信方式
JP4236364B2 (ja) * 2000-04-04 2009-03-11 富士通株式会社 通信データ中継装置
US7221935B2 (en) * 2002-02-28 2007-05-22 Telefonaktiebolaget Lm Ericsson (Publ) System, method and apparatus for federated single sign-on services
JP3577067B2 (ja) * 2002-12-24 2004-10-13 一 福嶋 動的ipアドレス割当てを受けた機器を管理する方法およびシステム
US7725562B2 (en) * 2002-12-31 2010-05-25 International Business Machines Corporation Method and system for user enrollment of user attribute storage in a federated environment
US7587491B2 (en) * 2002-12-31 2009-09-08 International Business Machines Corporation Method and system for enroll-thru operations and reprioritization operations in a federated environment
US7496953B2 (en) * 2003-04-29 2009-02-24 International Business Machines Corporation Single sign-on method for web-based applications
WO2008111048A2 (en) * 2007-03-09 2008-09-18 Ghost, Inc. System and method for browser within a web site and proxy server
US8141140B2 (en) * 2008-05-23 2012-03-20 Hsbc Technologies Inc. Methods and systems for single sign on with dynamic authentication levels
US20110302412A1 (en) * 2008-10-08 2011-12-08 Leiwen Deng Pseudonymous public keys based authentication

Also Published As

Publication number Publication date
US20160205067A1 (en) 2016-07-14
TW201234904A (en) 2012-08-16
US20140230027A1 (en) 2014-08-14
US9237142B2 (en) 2016-01-12
WO2012094602A1 (en) 2012-07-12
TWI558253B (zh) 2016-11-11

Similar Documents

Publication Publication Date Title
TWI558253B (zh) 進行用戶認證的計算機執行方法及使用用戶識別碼得到存取目標域處服務的方法
KR101556046B1 (ko) 통신 핸드오프 시나리오를 위한 인증 및 보안 채널 설정
JP5390619B2 (ja) Homenode−b装置およびセキュリティプロトコル
US9185560B2 (en) Identity management on a wireless device
TWI514896B (zh) 可信賴聯合身份方法及裝置
US10044713B2 (en) OpenID/local openID security
JP6189953B2 (ja) 無線ユニットのユーザを認証するための方法およびシステム
TWI538463B (zh) 確保網路通訊系統及方法
RU2414086C2 (ru) Аутентификация приложения
US20150319156A1 (en) Independent identity management systems
TW201345217A (zh) 具區域功能性身份管理
TW201306610A (zh) 驗證協定之自動協商及選擇
US10284562B2 (en) Device authentication to capillary gateway
Hung et al. sRAMP: secure reconfigurable architecture and mobility platform