TW201731274A - 具友多sso技術之sso架構的用戶設備 - Google Patents

具友多sso技術之sso架構的用戶設備 Download PDF

Info

Publication number
TW201731274A
TW201731274A TW106109029A TW106109029A TW201731274A TW 201731274 A TW201731274 A TW 201731274A TW 106109029 A TW106109029 A TW 106109029A TW 106109029 A TW106109029 A TW 106109029A TW 201731274 A TW201731274 A TW 201731274A
Authority
TW
Taiwan
Prior art keywords
authentication
network
user
assisted
sso
Prior art date
Application number
TW106109029A
Other languages
English (en)
Inventor
尤根德拉 夏
安德魯斯 史密特
尹赫 車
路易斯 顧吉恩
安德魯斯 萊赫
Original Assignee
內數位專利控股公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 內數位專利控股公司 filed Critical 內數位專利控股公司
Publication of TW201731274A publication Critical patent/TW201731274A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

用戶期望可用的安全或用於存取網際網路服務的無縫方式,從而在提供憑證中的用戶交互作用被保持最小或甚至完全消除。單點登錄(SSO)識別碼管理(IdM)概念可能是一種方式,藉由此概念可以向用戶提供這樣簡易的使用,同時使用戶輔助和網路輔助認證能夠用於存取期望的服務。為了能夠實現對於用戶的無縫認證服務,可以使用用於管理多認證方法的統一框架和協定層介面。

Description

具友多SSO技術之SSO架構的用戶設備
本申請案要求2011年4月28日申請的序號61/480,137的美國臨時專利申請案和2011年10月17日申請的序號61/548,156美國臨時專利申請案的權益,申請案的內容以引用的方式結合於此。
由於智慧型電話存取網際網路服務的使用增加,行動用戶安全要求隨之增加。例如銀行服務,針對娛樂事件的售票服務等可能需要完整、保密保護以及用戶認證。這些要求可能以用戶名、個人識別碼(pin)以及密碼的方式直接對用戶施加認證負擔。然而,用針對每一個的單獨的用戶提供的憑證處理許多帳戶可能潛在地在例如憑證疲勞(fatigue)方面給予用戶過多的認證負擔。如果用戶試圖經由使用易於記憶的憑證或跨多個域再使用相同的憑證來簡化處理,那麼用戶可能產生安全弱點。
本發明內容以簡要的形式介紹各種概念,其將在下述的實施方式中進一步被描述。本發明內容不意圖確立所要求的主題的關鍵特徵或必要特徵,也不意圖用來限制所要求的主題的範圍。
在此揭露經由統一的用戶介面用於管理針對行動用戶的多認證方法的統一框架、以及用於不同認證協定的協定層介面。統一的框架和 協定層二者能夠實現到終端用戶的無縫認證服務。此外,亦揭露了涉及支援多服務提供者的多存取域的實施方式。
在此描述的實施方式可以提供全面的單點登錄(SSO)架構,其可以允許到用戶的靈活及/或無縫的經驗。用戶認證介面可以充當用戶/應用實體(例如瀏覽器或非瀏覽器應用)和SSO子系統之間的邊界。在示例實施方式中,SSO子系統可由行動網路操作者(MNO)控制。SSO子系統可以支援各種用戶多因數憑證輸入,例如生物計量、密碼、PIN及/或其他用戶憑證輸入。用戶認證介面也可以提供用於改變認證強度等級(strength level)。網路認證介面可以充當SSO子系統和網路輔助認證技術或協定模組陣列之間的邊界,該陣列可以允許在單一結構框架中提供多個SSO機制。當與服務提供者(例如開放ID(OpenID)信賴方)認證時,功能結構可以提供將用戶輔助認證從網路輔助認證(例如SSO網路輔助認證)分離開來。
在示例實施方式中,用戶設備(UE)可以包括被配置用於與服務提供者通信以存取服務的用戶應用。UE可以進一步包括多個網路輔助認證模組。每個網路輔助認證模組可以對應不同的網路輔助認證協定。例如網路輔助認證模組可以被配置用於執行與服務提供者的網路輔助認證以存取服務。UE可以進一步包括單點登錄(SSO)子系統,SSO子系統被配置用於基於在UE及/或網路的用戶輔助認證資訊來認證UE的用戶。SSO子系統可以進一步操作來選擇多個網路輔助認證模組中的網路輔助認證模組,以用於執行與服務提供者的網路輔助認證。SSO子系統進一步可以被配置用於執行用戶輔助認證和基於一個或多個策略來選擇網路輔助認證模組。在另一示例實施方式中,UE可以偵測服務提供者的一個或多個資料欄位。回應於偵測資料欄位,UE的請求者(supplicant)可以用對應的認證資料來自動填充(populate)資料欄位。
在此描述的系統、方法或手段的其他特徵在下述具體實施方式和所附圖式中提供。
SSO‧‧‧單點登錄
GITkit‧‧‧谷歌識別碼工具箱
100‧‧‧通信系統
102、102a、102b、102c、102d‧‧‧無線傳輸/接收單元(WTRU)
104‧‧‧無線電存取網路(RAN)
106‧‧‧核心網路
108‧‧‧公共交換電話網路(PSTN)
110‧‧‧網際網路
112‧‧‧其他網路
114a、114b‧‧‧基地台
116‧‧‧空氣介面
118‧‧‧處理器
120‧‧‧收發器
122‧‧‧傳輸/接收元件
124‧‧‧揚聲器/麥克風
126‧‧‧鍵盤
128‧‧‧顯示器/觸控板
130‧‧‧不可移式記憶體
132‧‧‧可移式記憶體
134‧‧‧電源
136‧‧‧全球定位系統(GPS)碼片組
138‧‧‧週邊裝置
140a、140b、140c‧‧‧e節點B
142‧‧‧移動性管理閘道(MME)
144‧‧‧服務閘道
146‧‧‧封包資料網路(PDN)閘道
202、404‧‧‧瀏覽器應用
204‧‧‧非瀏覽器應用
206、308、400、600、700、900、1002‧‧‧SSO子系統
208、418‧‧‧開放ID/SIP摘要模組、認證模組
210‧‧‧開放ID模組、認證模組
212、412‧‧‧開放ID/GBA模組、認證模組
214‧‧‧開放ID/ISIM模組、認證模組
216、414‧‧‧開放ID/AKA模組、認證模組
218‧‧‧安全可信環境
302、704‧‧‧用戶
304、402、602、802‧‧‧用戶裝置/設備(UE)
306、604‧‧‧應用
310、804‧‧‧信賴方(RP)
312、408、608、806‧‧‧開放ID提供者(OP)
314‧‧‧用戶輔助認證
316‧‧‧認證判定
320‧‧‧憑證
AKA‧‧‧網路輔助認證
406、606‧‧‧網頁服務
410‧‧‧認證者
416‧‧‧EAP/SIM模組、認證模組
612‧‧‧GBA模組
614‧‧‧AKA模組
616‧‧‧EAP SIM
618‧‧‧SIP摘要模組
620、900‧‧‧本地OP模組(LAE)
622、820、908‧‧‧請求者
624‧‧‧用戶介面
706‧‧‧其他裝置
708‧‧‧遠端伺服器
710‧‧‧生物計量單元
800‧‧‧網路輔助認證模組
808、810、812、814、816‧‧‧步驟
1002、1100、1202、1306、1402、1508‧‧‧Java小型應用
第1A圖是可以在其中實施一個或多個揭露的實施方式的示例通信系統的系統圖;第1B圖是可在第1A圖中示出的通信系統中使用的示例無線傳輸/接收單元(WTRU)的系統圖;第1C圖是可在第1A圖中示出的通信系統中使用的示例無線電存取網路和示例核心網路的系統圖;第2圖示出了使用多SSO技術的架構框架的示例實施方式;第3A圖和第3B圖示出了用於SSO框架架構的協定流的示例實施方式;第4圖示出了使用多SSO協定的架構框架的另一示例實施方式;第5圖是根據實施實施方式使用GBA互通的示例SSO子系統的方塊圖;第6圖示出了包括用於促進使用多SSO協定的可下載元件的架構框架示例實施方式;第7圖顯示了具有介面元件的SSO系統的示例實施方式的方塊圖;第8圖示出了用於具有請求者的SSO框架架構的協定流的示例實施方式;第9圖顯示了用於具有本地判定實體(LAE)的SSO框架架構的協定流的示例實施方式;第10圖顯示了用於具有集成的OP的SSO框架架構的協定流的示例實施方式;第11圖顯示了用於具有預提取(pre-fetch)的SSO框架架構的協定流的示例實施方式;第12圖顯示了用於具有儲存在服務提供者中的Java小型應用的SSO框架架構的協定流的示例實施方式; 第13圖顯示了用於具有高速緩衝的Java小型應用的SSO框架架構的協定流程的示例實施方式;第14圖顯示了用於具有即時(on-the-fly)供應(provision)的SSO框架架構的協定流的示例實施方式;以及第15圖顯示了用於具有集成的工具箱的SSO框架架構的協定流的示例實施方式。
例如行動用戶之類的用戶可能期望用於存取網際網路服務的可用安全及/或無縫方式從而最小化甚至完全消除在憑證供應中的用戶交互作用。在示例實施方式中,單點登錄(SSO)識別碼(identity)管理(IdM)可以包括用於提供具有各種特性的SSO實施的方式,在啟用用於存取期望的服務的用戶輔助和網路輔助認證時,藉由該方式可以為用戶提供這樣簡便的使用。用戶輔助認證可以涉及使用來自用戶的輸入的認證。這樣的用戶輸入可以是半自動(例如儲存在瀏覽器中)或由用戶輸入。例如,用戶輔助認證可以基於用戶知道的參數(例如用戶名、密碼)及/或用戶的特性(例如動態簽名、虹膜掃描、指紋、或其他生物計量測量)。網路輔助認證可以涉及基於用戶擁有的實體(例如包括加密密鑰和協定的UICC)的用戶認證。例如,網路輔助認證可以涉及經由網路操作者提供的用於網路存取的功能重新使用(例如通用自舉(bootstrapping)架構(GBA)協定)的用戶的SSO認證。例如,GBA可以基於秘密密鑰和協定的重新使用(例如在UICC中)來產生SSO認證,該協定可以提供到蜂巢網路及/或IMS的存取。每個用戶輔助認證輸入和網路輔助認證輸入可以稱為認證因數。SSO實施的各種特性可以包括例如具有無縫認證因數的SSO、具有單一憑證組的SSO、以及完整的SSO。具有無縫認證因數的SSO可以指在用戶輔助認證成功之後自動進行(例如無用戶交互作用)的網路輔助用戶認證。具有單一憑證組的SSO可以 指用戶可以使用單一憑證組(例如用於用戶輔助認證)來與多服務提供者進行認證的實施。在示例實施方式中,單一憑證組可以在每次用戶存取不同服務提供者時被提供。在使用完整的SSO實施的示例實施方式中,用戶可以被認證以存取服務提供者、並且隨後獲得對其他服務提供者的存取而無需立即再次認證。例如,完整的SSO實施可以包括具有無縫認證因數的SSO。
在此描述的是用於經由統一的用戶介面來管理針對行動用戶的一個或多個認證方法的統一框架、以及用於不同認證協定的協定層介面。統一框架和協定層二者可以實現到終端用戶的無縫認證服務。此外,也描述了涉及支援多服務提供者的多重存取域的實施方式。
在此描述的實施方式可以提供全面的SSO架構,其可以允許到用戶的靈活的及/或無縫的經驗。用戶認證介面可以充當用戶/應用實體(例如瀏覽器或非瀏覽器應用)和SSO子系統之間的邊界。在示例實施方式中,SSO子系統可由行動網路操作者(MNO)控制。SSO子系統可以支援各種用戶多因數憑證輸入,例如生物計量、密碼、PIN、及/或其他用戶憑證輸入。用戶認證介面也可以提供改變認證強度等級。網路認證介面可以充當SSO子系統和網路輔助認證技術或協定模組陣列之間的邊界,該陣列可以允許在單一結構框架中提供多個SSO機制。功能結構可以提供將用戶輔助認證從網路輔助認證(例如SSO網路輔助認證)分離開來。
SSO子系統可以提供用戶憑證的儲存及/或處理,其中這樣的儲存可以在或不在可信計算環境(例如UICC、智慧卡、或其他安全可信(trusted)環境)上,並可以提供多個安全等級。在可信計算環境上包括的儲存可以支援用戶憑證的重新使用。SSO子系統在確定執行的安全等級和決定使用的SSO協定中充當執行外部事件相關者(stakeholder)(例如MNO)的功能及/或策略的代理。從實施的立場,可能不劃分任何SSO功能位於或不位於安全可信環境(例如UICC、智慧卡、或其他安全可信環境)上或下。
示例實施方式提供單獨的、隔離(isolated)的SSO用戶端。 在示例實施方式中,每個SSO用戶端服務不同的服務提供者,但在某種程度上同時允許多可用連接協定的基於策略的管理及/或由相同提供者提供的服務。
另一示例實施可以允許多個本地判定實體(LAE)。LAE可以指位於UE上的功能實體。例如,LAE可以提供關於用戶識別碼的可信判定及/或到遠端實體的認證。在示例實施方式中,本地OP可以指用於向RP提供開放ID判定的LAE的實例。每個LAE可以在UICC上的存取技術特定域中實施,並且每個LAE可以專用於一個隔離的域。相同存取技術可以在不同LAE之間多工,或不同存取技術可以由LAE一起使用。依據該實施,LAE和SSO用戶端之間的關係可以是一對一、或其中一個SSO可以控制多個LAE或由多個LAE服務。
在此描述的實施方式可以促進在無線裝置中認證協定的執行。例如,請求者可以用來促進執行用於無線裝置和網路實體的開放ID認證處理,網路實體可以例如是信賴方(RP)或開放ID識別碼提供者伺服器(OP)。根據示例實施方式,請求者可以被實施為Java小型應用(applet)。請求者可以實現用於認證方案(例如開放ID認證)的網路輔助認證機制,非瀏覽器應用或瀏覽器應用原本不支援該認證機制。例如,請求者可以與單點登錄(SSO)子系統介面連接,而SSO子系統接著可以與例如GBA、AKA、SIP摘要(Digest)以及EAP-SIM之類的網路輔助認證協定介面連接。給定在行動裝置(例如智慧型電話平臺)上可用的大範圍的平臺處理器架構、作業系統以及軟體,請求者可以提供到可以實施SSO認證功能的SSO子系統的網路認證介面。當與網路及/或存取層認證模組(例如GBA模組,UICC)相互操作時,請求者例如可以使應用及/或瀏覽器促進自動及/或無縫認證。藉由從RP及/或OP下載請求者部件(piece),例如,請求者可以在開放ID認證協定期間無縫地提供裝置特定軟體。
在此描述的實施方式可以與例如開放ID之類的聯合認證協定 一同工作、並且也可以例如與LAE一同工作。例如,開放ID可以綁定到網路輔助認證。在此描述的實施方式可以用來確定瀏覽器及/或非瀏覽器應用如何與存取層(例如UICC/非UICC)網路輔助認證機制進行通信。例如,請求者和SSO子系統可以提供與瀏覽器及/或非瀏覽器應用和網路輔助認證機制的自動及/或無縫操作。請求者可以展示到SSO子系統的統一介面並代表用戶執行用於各種認證協定(GBA、AKA、EAP-SIM)的自動及/或無縫認證。可下載的應用或元件(例如簽名的Java小型應用)可以(例如從RP及/或OP)被下載、並可以與不同非應用層及/或存取層認證協定一同工作。元件可以用統一的方式介面連接到SSO子系統和瀏覽器/應用。
第1A圖是可以在其中實施一個或多個揭露的實施方式的示例通信系統100的示意圖。通信系統100可以是多重存取系統,向多個無線用戶提供內容,例如語音、資料、視訊、訊息發送、廣播等等。通信系統100可以使多無線用戶經由系統資源的共享來存取所述內容,該系統資源包括無線頻寬。例如,通信系統100可使用一種或多種頻道存取方法,例如分碼多重存取(CDMA)、分時多重存取(TDMA)、分頻多重存取(FDMA)、正交FDMA(OFDMA)、單載波FDMA(SC-FDMA)等等。
如第1A圖所示,通信系統100可以包括無線傳輸/接收單元(WTRU)102a、102b、102c、102d、無線電存取網路(RAN)104、核心網路106、公共交換電話網路(PSTN)108、網際網路110和其他網路112,不過應該理解的是揭露的實施方式考慮到了任何數量的WTRU、基地台、網路及/或網路元件。WTRU 102a、102b、102c、102d中每一個可以是配置為在無線環境中進行操作及/或通信的任何類型裝置。作為示例,WTRU 102a、102b、102c、102d可以被配置為傳送及/或接收無線信號、並且可以包括用戶設備(UE)、行動站、固定或行動用戶單元、呼叫器、蜂巢式電話、個人數位助理(PDA)、智慧型電話、筆記型電腦、迷你筆記型電腦、個人電腦、無線感測器、消費性電子產品等等。
通信系統100也可以包括基地台114a和基地台114b。基地台114a、114b中每一個可以是配置為與WTRU 102a、102b、102c、102d中至少一個WTRU無線連接的任何類型裝置,以促進存取一個或多個通信網路,例如核心網路106、網際網路110及/或網路112。作為示例,基地台114a、114b可以是基地收發站(BTS)、節點B、e節點B、家庭節點B、家庭e節點B、站點控制器、存取點(AP)、無線路由器等等。雖然基地台114a、114b被描述為單一元件,但是應該理解的是基地台114a、114b可以包括任何數量互連的基地台及/或網路元件。
基地台114a可以是RAN 104的一部分,該RAN 104也可包括其他基地台及/或網路元件(未示出),例如基地台控制器(BSC)、無線電網路控制器(RNC)、中繼節點等等。基地台114a及/或基地台114b可被配置用於在特定地理區域內傳送及/或接收無線信號,該特定地理區域可被稱作胞元(未示出)。該胞元可進一步劃分為胞元扇區。例如,與基地台114a相關聯的胞元可劃分為三個扇區。因而,在一個實施方式中,基地台114a可包括三個收發器,即胞元的每個扇區使用一個收發器。在另一個實施方式中,基地台114a可使用多輸入多輸出(MIMO)技術,並且因此可使用多個收發器用於胞元的每個扇區。
基地台114a、114b可經由空氣介面116與WTRU 102a、102b、102c、102d中一個或多個進行通信,該空氣介面116可以是任何適當的無線通信鏈路(例如,射頻(RF)、微波、紅外線(IR)、紫外線(UV)、可見光等等)。空氣介面116可使用任何適當的無線電存取技術(RAT)進行建立。
更具體地說,如上所述,通信系統100可以是多重存取系統、並且可以使用一種或多種頻道存取方案,例如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等等。例如,RAN 104中的基地台114a和WTRU 102a、102b、102c可以實施無線電技術,例如通用行動電信系統(UMTS)陸地無線電存取(UTRA),其可以使用寬頻CDMA(WCDMA)來建立空氣介面 116。WCDMA可以包括通信協定,例如高速封包存取(HSPA)及/或演進的HSPA(HSPA+)。HSPA可以包括高速下鏈封包存取(HSDPA)及/或高速上鏈封包存取(HSUPA)。
在另一個實施方式中,基地台114a和WTRU 102a、102b、102c可實施無線電技術,例如演進UMTS陸地無線電存取(E-UTRA),其可以使用長期演進(LTE)及/或LTE高級(LTE-A)來建立空氣介面116。
在其他實施方式中,基地台114a和WTRU 102a、102b、102c可實施無線電技術,例如IEEE 802.16(即,全球互通微波存取(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV-DO、臨時標準2000(IS-2000)、臨時標準95(IS-95)、臨時標準856(IS-856)、全球行動通信系統(GSM)、GSM演進的增強型資料速率(EDGE)、GSM EDGE(GERAN)等等。
第1A圖中的基地台114b可以例如是無線路由器、家庭節點B、家庭e節點B或存取點、並且可以使用任何適當的RAT來促進例如商業處所、住宅、車輛、校園等等的局部區域中的無線連接。在一個實施方式中,基地台114b和WTRU 102c、102d可以實施例如IEEE 802.11之類的無線電技術來建立無線區域網路(WLAN)。在另一個實施方式中,基地台114b和WTRU 102c、102d可以實施例如IEEE 802.15之類的無線技術來建立無線個人區域網路(WPAN)。仍然在另一個實施方式中,基地台114b和WTRU 102c、102d可以使用基於蜂巢的RAT(例如,WCDMA、CDMA2000、GSM、LTE、LTE-A等)來建立微微胞元或毫微微胞元。如第1A圖所示,基地台114b可以具有到網際網路110的直接連接。因此,基地台114b可以不必須經由核心網路106存取網際網路110。
RAN 104可以與核心網路106通信,該核心網路106可以是配置為向WTRU 102a、102b、102c、102d中一個或多個提供語音、資料、應用及/或網際網路協定語音(VoIP)服務的任何類型網路。例如,核心網路106 可以提供呼叫控制、計費服務、基於移動位置的服務、預付費呼叫、網際網路連接、視訊分配等、及/或執行高階安全功能,例如用戶認證。雖然第1A圖中未示出,應該理解的是RAN 104及/或核心網路106可以與使用和RAN 104相同的RAT或不同RAT的其他RAN進行直接或間接的通信。例如,除了連接到正在使用E-UTRA無線電技術的RAN 104上之外,核心網路106也可以與使用GSM無線電技術的另一個RAN(未示出)進行、通信。
核心網路106也可以充當WTRU 102a、102b、102c、102d存取PSTN 108、網際網路110及/或其他網路112的閘道。PSTN 108可以包括提供普通老式電話服務(POTS)的電路交換電話網路。網際網路110可以包括互連電腦網路和使用公共通信協定的裝置的全球系統,該公共通信協定例如有TCP/IP網際網路協定組中的傳輸控制協定(TCP)、用戶資料報協定(UDP)和網際網路協定(IP)。網路112可以包括被其他服務提供者擁有及/或操作的有線或無線的通信網路。例如,網路112可以包括連接到一個或多個RAN中的另一個核心網路,該RAN可以使用和RAN 104相同的RAT或不同的RAT。
通信系統100中的WTRU 102a、102b、102c、102d的某些或所有可以包括多模式能力,即WTRU 102a、102b、102c、102d可以包括在不同無線鏈路上與不同無線網路進行通信的多個收發器。例如,第1A圖中示出的WTRU 102c可被配置用於與基地台114a通信以及與基地台114b通信,該基地台114a可以使用基於蜂巢的無線電技術,該基地台114b可以使用IEEE 802無線電技術。
第1B圖是示例的WTRU 102的系統圖。如第1B圖所示,WTRU 102可以包括處理器118、收發器120、傳輸/接收元件122、揚聲器/麥克風124、鍵盤126、顯示器/觸控板128、不可移式記憶體130、可移式記憶體132,電源134、全球定位系統(GPS)碼片組136和其他週邊裝置138。應該理解的是WTRU 102可以在保持與實施方式一致時,包括前述元件的任何子組 合。
處理器118可以是通用處理器、專用處理器、常規處理器、數位信號處理器(DSP)、多個微處理器、一個或多個與DSP核相關聯的微處理器、控制器、微控制器、專用積體電路(ASIC)、場可編程閘陣列(FPGA)電路、任何其他類型的積體電路(IC)、狀態機等等。處理器118可執行信號編碼、資料處理、功率控制、輸入/輸出處理及/或使WTRU 102能夠在無線環境中進行操作的任何其他功能。處理器118可以耦合到收發器120,該收發器120可耦合到傳輸/接收元件122。雖然第1B圖示出了處理器118和收發器120是單獨的元件,但是應該理解的是處理器118和收發器120可以一起集成在在電子封裝或晶片中。
傳輸/接收元件122可以被配置用於經由空氣介面116將信號傳送到基地台(例如,基地台114a)、或從該基地台接收信號。例如,在一個實施方式中,傳輸/接收元件122可以是被配置為傳送及/或接收RF信號的天線。在另一個實施方式中,傳輸/接收元件122可以是被配置為傳送及/或接收例如IR、UV或可見光信號的發光體/偵測器。仍然在另一個實施方式中,傳輸/接收元件122可以被配置為傳送和接收RF和光信號兩者。應該理解的是傳輸/接收元件122可以被配置為傳送及/或接收無線信號的任何組合。
此外,雖然傳輸/接收元件122在第1B圖中示出為單一元件,但是WTRU 102可以包括任何數量的傳輸/接收元件122。更具體地說,WTRU 102可以使用MIMO技術。因此,在一個實施方式中,WTRU 102可以包括經由空氣介面116傳送和接收無線信號的兩個或更多個傳輸/接收元件122(例如,多個天線)。
收發器120可以被配置為調變要由傳輸/接收元件122傳送的信號、和解調由傳輸/接收元件122接收的信號。如上所述,WTRU 102可以具有多模式能力。因此,收發器120可以包括使WTRU 102能夠經由多個RAT進行通信的多個收發器,該多個RAT例如有UTRA和IEEE 802.11。
WTRU 102的處理器118可以耦合到下述裝置、並且可以從下述裝置接收用戶輸入資料,揚聲器/麥克風124、鍵盤126及/或顯示器/觸控板128(例如,液晶顯示器(LCD)顯示單元或有機發光二極體(OLED)顯示單元)。處理器118也可以輸出用戶資料到揚聲器/麥克風124、鍵盤126及/或顯示/觸控板128。此外,處理器118可以從任何類型的適當的記憶體中存取資訊、並且可以儲存資料到所述記憶體中,適當的記憶體例如為不可移式記憶體130及/或可移式記憶體132。不可移式記憶體130可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟或任何其他類型的記憶體裝置。可移式記憶體132可以包括用戶身份模組(SIM)卡、記憶條、安全數位(SD)記憶卡等等。在其他的實施方式中,處理器118可以從實體上沒有位於WTRU 102上(例如在伺服器或家用電腦(未示出)上)的記憶體中存取資訊、並且可以將資料儲存在所述記憶體中。
處理器118可以從電源134接收電能、並且可以被配置為分配及/或控制到WTRU 102中的其他元件的電能。電源134可以是為WTRU 102供電的任何適當的裝置。例如,電源134可以包括一個或多個乾電池組(例如,鎳鎘(NiCd)、鎳鋅(NiZn)、鎳金屬氫化物(NiMH)、鋰離子(Li-ion)等等)、太陽能電池、燃料電池等等。
處理器118也可以耦合到GPS碼片組136,該GPS碼片組136可以被配置為提供關於WTRU 102目前位置的位置資訊(例如,經度和緯度)。除了來自GPS碼片組136的資訊或作為替代,WTRU 102可以經由空氣介面116從基地台(例如,基地台114a、114b)接收位置資訊、及/或基於從兩個或多個鄰近基地台接收的信號時序來確定其位置。應該理解的是,在保持實施方式的一致性時,WTRU 102可以經由任何適當的位置確定方法獲得位置資訊。
處理器118可以進一步耦合到其他週邊裝置138,該週邊裝置138可以包括一個或多個提供附加特性、功能及/或有線或無線連接的軟體及 /或硬體模組。例如,週邊裝置138可以包括加速計、電子羅盤、衛星收發器、數位相機(用於圖像或視訊)、通用串列匯流排(USB)埠、振動裝置、電視收發器、免持耳機、藍芽®模組、調頻(FM)無線電單元、數位音樂播放器、媒體播放器、視訊遊戲機單元、網際網路瀏覽器等等。
第1C圖是根據實施方式的RAN 104和核心網路106的系統圖。如上所述,RAN 104可使用E-UTRA無線電技術以經由空氣介面116與WTRU 102a、102b、102c進行通信。RAN 104也可與核心網路106進行通信。
RAN 104可包括e節點B 140a、140b、140c,但是應該理解的是在與實施方式保持一致的同時,RAN 104可包括任何數量的e節點B。e節點B 140a、140b、140c每一個可包括用於經由空氣介面116與WTRU 102a、102b、102c通信的一個或多個收發器。在一個實施方式中,e節點B 140a、140b、140c可實施MIMO技術。因而,e節點B 140a例如可使用多個天線將無線信號傳送到WTRU 102a、以及從WTRU 102a接收無線信號。
每個e節點B 140a、140b、140c都可以與特定胞元(未示出)關聯、並且可被配置為處理無線資源管理決策、切換決策、上鏈及/或下鏈中的用戶排程等等。如第1C圖中所示,e節點B 140a、140b、140c可經由X2介面彼此通信。
第1C圖中示出的核心網路106可包括移動性管理閘道(MME)142,服務閘道144、和封包資料網路(PDN)閘道146。雖然前述的每個元件都被描述為核心網路106的一部分,但是應該理解的是這些元件中的任何一個都可由除核心網路操作者之外的實體擁有及/或操作。
MME 142可經由S1介面連接到RAN 104中的每一個e節點B 142a、142b、142c、並且可用作控制節點。例如,MME 142可負責認證WTRU 102a、102b、102c的用戶、承載啟動/止動、在WTRU 102a、102b、102c的初始連結期間選擇特定服務閘道等等。MME 142也可提供控制平面功能,用於在RAN 104和使用其他無線電技術(例如GSM或WCDMA)的其他RAN (未示出)之間進行切換。
服務閘道144可經由S1介面連接到RAN 104中的每一個e節點B 140a、140b、140c。服務閘道144通常可路由和轉發用戶資料封包到WTRU 102a、102b、102c/路由和轉發來自WTRU 102a、102b、102c的用戶資料封包。服務閘道144也可以執行其他功能,例如在e節點B間切換期間錨定用戶平面、在下鏈資料可用於WTRU 102a、102b、102c時觸發傳呼、管理和儲存WTRU 102a、102b、102c的上下文(context)等等。
服務閘道144也可連接到PDN閘道146,該PDN閘道146可向WTRU 102a、102b、102c提供對例如網際網路110之類的封包交換網路的存取,以促進WTRU 102a、102b、102c和IP賦能的裝置間的通信。
核心網路106可促進與其他網路的通信。例如,核心網路106可向WTRU 102a、102b、102c提供對例如PSTN 108之類的電路交換網路的存取,以促進WTRU 102a、102b、102c和傳統陸線通信裝置間的通信。例如,核心網路106可包括或可與用作核心網路106和PSTN 108之間的介面的IP閘道(例如,IP多媒體子系統(IMS)伺服器)進行通信。此外,核心網路106也可向WTRU 102a、102b、102c提供對網路112的存取,該網路112可包括由其他服務提供者擁有及/或操作的其他有線或無線網路。
第2圖示出了用於使用多SSO協定及/或模組的架構框架的一個實施方式。如第2圖所示,SSO子系統206可以與被配置用於從服務提供者存取服務的應用(例如瀏覽器應用202及/或非瀏覽器應用204)進行通信。應用(瀏覽器應用202及/或非瀏覽器應用204)可以是用戶與其交互作用的應用。使用瀏覽器應用202及/或非瀏覽器應用204,用戶可以存取各種服務(例如網站、銀行服務、針對娛樂事件的售票服務、及/或由服務提供者提供的其他服務)。
SSO子系統206可以充當用於SSO過程的集線器(hub)。在示例實施方式中,SSO子系統206可以是操作者控制的。SSO子系統206可以藉 由執行用戶認證(例如用戶輔助或網路輔助)來充當網路代理。此外,SSO子系統206可以執行後繼產生及/或提交簽名的或可信賴的用戶識別碼判定及/或認證判定到服務提供者及/或識別碼提供者以用於網路輔助認證。SSO子系統206的一些功能(例如安全儲存和處理)可以在安全可信環境218中實施。
第2圖所示的架構可以將用戶輔助認證經歷與個體自足完備(self-contained)的網路輔助認證(例如也稱為SSO技術或SSO協定或SSO代理)技術合併,其中的一些可以使用網路輔助認證來執行用於認證和密鑰交換的自舉機制。例如,SSO子系統206可以與多個認證模組208、210、212、214、及/或216通信,每個能夠使用不同網路輔助認證協定來執行與服務提供者的網路輔助認證。這些網路輔助認證模組208、210、212、214、及/或216可以用來基於預先安裝的憑證(例如數位證書、共享主秘密、或任何其他使用不同被支援的認證方案的註冊方法)提供對期望服務的安全用戶存取。根據示例實施方式,認證模組可以包括開放ID/SIP摘要模組208、另一開放ID模組210、開放ID/GBA模組212、開放ID/ISIM模組214,及/或開放ID/AKA模組216。雖然如第2圖所示的每個網路輔助認證模組實施開放ID網路輔助認證協定,但其他類型的網路輔助認證協定也可以或替代地被實施。
網路輔助認證模組的一個或多個可以由給定服務提供者及/或識別碼提供者支援。每個網路輔助認證模組可以被配置用於藉由實施其對應認證協定(例如通過使用認證演算法)來執行網路輔助認證。開放ID/GBA模組212、開放ID/ISIM模組214、及/或開放ID/AKA模組216可以與安全可信環境218通信。安全可信環境218可以包括例如UICC、智慧卡、或其他安全可信環境。在示例實施方式中,安全可信環境218可以是UE上基於硬體的實體、並可以負責安全儲存敏感資料(例如,加密密鑰、訂戶憑證)和執行敏感功能的安全處理(例如加密計算)。
第2圖所示的元件的一個或多個可以駐在行動通信裝置中。雖 然第2圖示出所描述的架構中的功能性模組,但第2圖不意味著要求任何非應用功能在或不在安全可信環境218上。在此更詳細地描述元件及其交互作用。雖然參照開放ID協定來描述認證,但相同的概念可以應用於其他認證協定,例如自由聯盟。
用戶可以使用應用(例如瀏覽器應用202及/或非瀏覽器應用204)來完成對服務提供者(例如信賴方(RP))(例如網路應用服務提供者)的初始訪問。服務提供者(例如RP)可以接收用戶識別(identification),其例如可以是開放ID用戶識別符(identifier)。在開放ID的情況下,在RP發起的發現之後,用戶可以被重新定向(例如發現機制可以使用開放ID提供者(OP)識別碼來確定OP的網際網路位址)到基於網路的識別碼管理實體,其例如可以是OP。在示例實施方式中,OP識別碼可以用來向RP提供OP的網際網路位址。接著可以開始認證過程。
SSO子系統206可以提供用於實現與應用的通信的用戶認證介面(用戶在應用側與該應用交互作用)以及用於網路輔助認證模組208、210、212、214、及/或216的網路認證介面。因此不同的應用(例如瀏覽器應用202及/或非瀏覽器應用204)可以基於用戶輸入來提供輸入到SSO子系統206,或SSO子系統206可以向用戶展示認證螢幕來實現與服務提供者的用戶的網路輔助認證及/或與UE的本地用戶輔助認證。不同的網路輔助認證模組208、210、212、214、及/或216(例如SSO協定)可以被設計成與SSO子系統206交互作用。策略管理也可以由SSO子系統206執行。
SSO子系統206認證結構可以具有兩種類型的用戶認證,用戶輔助認證和網路輔助認證。這類型二者可被分離,使得一個獨立於另一個發生,但二者相互綁定(例如經由SSO子系統產生的判定)並且互相交互(例如用戶輔助認證可以觸發網路輔助認證或反之亦然)。用戶的用戶輔助認證和從用戶供應憑證到SSO子系統206(用於用戶輔助認證)可以獨立地發生並可以從網路輔助認證協定解耦合。用戶可以從網路輔助認證協定隔離 (shield)。與單個用戶憑證組可以獨立於服務提供者的事實一起,這種透明可以導致針對用戶的無縫SSO經驗。而且,兩種認證類型可以經由其憑證(是它的生物計量、密碼、PIN、訊標、另一用戶憑證、或其組合)來提供用戶要求的識別碼與UICC中保有的訂戶憑證或裝置識別碼(例如IMSI或IMPI)的綁定。與兩種類型的認證的架構解耦合一起,這樣的綁定可以藉由充當中間層的SSO子系統來實現。SSO子系統可以藉由本身或如在此所述的通過到較低層認證協定之一的調用(call)來執行加密綁定。
SSO子系統206可以作用為外部事件相關者(stakeholder)(例如MNO)的網路輔助認證功能的代理、並向外部事件相關者提供關於被供應的策略功能的資訊。當用戶發起對服務的存取(例如經由在網頁瀏覽器上鍵入URL或啟動應用),可以發起用戶輔助認證過程。例如,用戶可以被請求來輸入用戶憑證,例如生物計量憑證及/或例如PIN之類的密碼。在示例實施方式中,行動通信裝置可以具有存取裝置本身的PIN特徵,其也可以是用戶憑證資訊的一部分。例如,UE的用戶介面可以經由特定的介面向SSO子系統206傳達用戶輔助認證憑證資訊、被存取的服務(例如以網頁URL或啟動的應用的形式)、及/或與將被使用的服務相關的其他資訊。這樣的傳達可以基於所提供的資訊和供應的策略來啟動SSO子系統206內的功能來認證用戶。例如,來自用戶輔助認證的參數可以被提供到網路輔助認證協定。這樣的參數可以包括例如用戶輔助認證的信任等級、用戶輔助認證的結果(例如通過或失敗)、以及用戶指派認證的時間。SSO子系統206可以運行策略功能,其可以包括各種認證相關的參數,例如被認為足夠用於被存取的服務的認證的信任(確信)等級和認證最少的新鮮度(freshness)(例如完成的時間)。例如,用戶可能希望使用銀行服務,用於支付帳單的目的。在這種情形下,供應的策略可以要求用戶輔助認證的強形式(例如多因數),並且被供應的策略可以需要只是在到導航用戶到服務之前執行認證。如果對服務(例如電子郵件存取)期望低安全等級,則策略可以放鬆用戶輔助 認證要求。例如,PIN可以用於具有低安全等級的用戶輔助認證。在示例實施方式中,導出用戶認證的策略可以由外部事件相關者及/或服務提供者執行。例如,策略功能可以在服務提供者(例如在網路上)、在UE(例如本地)、或二者的結合(例如分散式功能)被執行。
在示例實施方式中,SSO子系統206遵照的策略可以確定什麼SSO認證協定(例如網路輔助認證模組208、210、212、214、及/或216)將被選擇用於網路輔助認證。網路輔助認證模組的標準(例如SSO認證協定)選擇可以基於可用資源和將要存取的服務的安全要求。內部策略機制可以包括外部事件相關者(例如MNO)提供的較佳認證模組(例如SSO協定)的優先化列表。一旦做出策略決定,SSO子系統206可以提供用於向外部事件相關者(例如MNO)傳送哪個特定網路輔助認證模組已經被選擇用於協定交換的機制。替代地,SSO子系統可以協商能力並對將被使用的認證模組達成一致。
第3A圖和第3B圖示出使用SSO框架架構所實施的協定的示例實施方式。在開放ID的上下文中,SSO子系統可以用安全的方式執行某些功能,其中的一些功能參考第3A圖和第3B圖中的調用流在此描述。
如第3A和3B圖所示,在314,可以執行用戶輔助認證。例如,可以認證和處理用戶憑證。用戶憑證可以包括與用戶302關聯的唯一認證參數,例如用戶PIN、密碼、用戶識別符、生物計量資訊、或摘要、及/或其他形式的用戶輔助認證參數。用戶302可以在裝置304被本地認證、或與遠端實體(例如外部事件相關者(例如MNO)或識別碼提供者(IdP)(例如開放ID提供者312))結合被認證。
SSO子系統308可以是在用戶設備304上被配置用於執行用戶302的認證的本地實體。SSO子系統308可以根據各種實施方式來執行與或不與LAE的認證。例如,第3A圖示出可以使SSO子系統能夠本地執行認證的示例供應協定流,如在此所述。一旦用戶輔助認證完成,在316,SSO子系 統308可以產生認證結果,例如認證判定。認證判定可以包括資料,例如完成用戶輔助認證的時間,以及認證的信任等級。信任等級可以指遠端方可以置於在用戶或UE的認證中的確信等級。用戶輔助認證結果(例如通過或失敗)可以安全和本地儲存在裝置304及/或與網路輔助認證協定一起使用。與用戶輔助認證關聯的其他參數也可以被儲存及/或在網路輔助認證中使用。例如,這些參數可以包括認證的時間、認證的強度、及/或認證參數的類型。這些參數可以與認證結果一起儲存或在網路輔助認證中使用。例如,SSO子系統可以使用該資訊中繼認證資料到服務提供者,並且服務提供者可以確定認證資料是否足夠用於提供對服務的用戶存取。在314,用戶輔助認證可以發生在任何時間,並且如基於各種認證策略(例如期望的安全強度)所建議的頻繁或不頻繁地發生。在示例實施方式中,如果儲存了有效的用戶輔助認證結果,SSO子系統可以確定不需要執行用戶等級認證。這樣的情形可以允許用戶存取多個服務提供者(例如RP),無需在認證過程中的進一步的用戶參入。例如,如果策略針對特定服務提供者的特定服務的存取要求新的認證,則重新使用現有的認證資訊可能不被允許。
在318,共享秘密密鑰可以在RP 310和OP 312之間建立。例如,用戶的OP登錄請求,其可以包括用戶提供的識別符,可以從應用306(例如瀏覽器或非瀏覽器應用)傳遞到RP 310,這可以觸發共享秘密密鑰的關聯或建立。根據一個示例實施方式,登錄請求可以在用戶初始嘗試存取基於網路的服務時被傳遞到RP 310。基於接收的登錄請求,可以執行關聯,這可以建立OP 312和RP 310之間的共享秘密密鑰。在示例實施方式中,在320,密鑰(例如從OP 312和RP 310共享密鑰導出的密鑰和在網路輔助認證期間導出的密鑰)及/或其他憑證可以供應給SSO子系統308。供應的憑證可以用於如在此所述的與服務的進一步認證。
例如,網路輔助認證可以在供應之後執行,如第3B圖所示。例如,網路輔助認證可以遵循由RP 310進行的至OP 312的重新定向。重新 定向可以由應用306(例如瀏覽器應用或非瀏覽器應用)接收,在321,其可以將訊息重新定向到SSO子系統308,用於選擇網路輔助認證模組及/或協定。網路輔助認證模組/協定(例如SSO協定)可以由SSO子系統308經由策略來實施選擇和使用。這個過程可以包括自舉和共享密鑰建立,如在此進一步所述。
如第2圖所示,多個網路輔助認證協定方法可以由網路輔助認證模組(例如,SSO協定)族暗示。再次參考第3B圖,根據示例實施方式,開放ID/SIP摘要及/或開放ID/GBA可以被視為處理GBA結構、並且使用第三代合作夥伴計畫(3GPP)技術規範(TS)編號33.220(版本10)中指定的機制。在開放ID GBA中,UICC訂戶憑證可以用來自舉將與網路共享的主對話密鑰(例如表示Ks)。網路輔助認證可以導致應用特定密鑰Ks_NAF從Ks導出並在OP 312和用戶裝置304之間共享。當與OP 312認證時,應用特定密鑰可以由用戶裝置304用作密碼。例如,它可以由用戶裝置304用作密碼,如在3GPP技術規範(TR)編號33.924(版本9)中所述。
對於開放ID/SIP摘要,經由類似GBA過程可以得到類似密鑰結構。網路輔助認證的這個方法可以是基於非UICC的並且例如可以使用SIP摘要憑證,而不是UICC憑證。一個開放ID/SIP摘要的示例實施方式在3GPP TR 33.914(版本11)中描述。
對於開放ID/AKA,網路輔助認證可以是基於非GBA的,並且用戶裝置304和OP 312可以直接使用3GPP AKA來認證和共享密鑰。開放ID/AKA的一個示例實施方式在3GPP SA3的阿爾卡特-朗訊(Alcatel-Lucent)pCR S3-100757中描述。
對於常規的開放ID、SSO子系統308可以在網路輔助認證協定中提供接收到的用戶憑證。
儘管開放ID/GBA、開放ID/SIP摘要以及開放ID/AKA可以具有結構差異,從網路本地訂閱伺服器(HSS)接收到的一種類型或另一類型的 認證向量(AV)的應用可以是各自的協定的中心。此外,依賴於策略和期望的安全強度,用戶的重新認證(用戶輔助認證)可以在執行網路輔助認證時被執行。在示例實施方式中,在這樣的網路輔助認證期間,可以假設裝置已經建立網路連接,並且網路輔助認證可以用來與服務提供者認證UE。
在網路輔助認證成功之後,SSO子系統308可以向應用306提供網路輔助認證成功的指示。例如,SSO子系統(例如經由LAE)可以在322簽名認證判定(例如識別碼判定)、並且在324發送判定訊息到RP310。從SSO子系統308到RP 310的經簽名的判定訊息可以指出認證成功、並可由SSO子系統308用之前供應的憑證(例如在第3A圖中的320所示)自動地簽名。網路輔助認證成功的通知可以在用戶302獲得對在RP 310的期望服務的存取之前執行。在認證過程(例如SSO過程)的早期,已經執行關聯來建立OP 312和RP 310之間的共享秘密密鑰。在一個示例實施方式中,判定訊息可以用這個共享秘密密鑰來導出經簽名及/或是密鑰。一旦RP 310及/或用戶裝置304(例如經由應用306)已經接收到網路輔助認證成功的指示,用戶裝置304(例如經由應用306)可以存取在RP 310的服務,用戶裝置304登錄到該RP 310。
提供到RP 310的判定訊息可以指出到網路和到服務的認證完成以及在用戶輔助認證中實施的用戶要求的識別碼可以綁定到訂戶憑證,例如在網路輔助認證中實施的IMSI或IMPI。例如,其可以是選擇的SSO功能的一部分,經由看見用戶提供的憑證和基於UICC(或SIP摘要)憑證之間的連接的機制來執行綁定。判定訊息可以包括表明綁定作為全部SSO協定一部分的資訊。而且,在示例實施方式中,判定訊息可以提供認證強度或信任等級(例如,低、中、高、非常高)。例如,判定訊息中的低認證強度可以指出OP 312在所判定的識別碼中具有很少或不具有信任(例如,具有針對密碼格式的最少規則的用戶名稱/密碼的自動插入);中認證強度可以指示OP 312在所判定的識別碼中具有一些信任(例如,具有應用到密碼格式的 規則的用戶名稱/密碼的手動使用);在判定訊息中的高認證強度可以指出OP 312在所判定的識別碼中具有高信任等級(例如,使用生物計量或加密的網路存取訊標以及用戶名稱/密碼);以及非常高認證強度可以指出OP 312在所判定的識別碼中具有非常高的信任等級(例如,生物計量和加密的訊標)。在示例實施方式中,"低"和"中"等級可以指出只使用用戶憑證,而"高"和"非常高"等級可以要求進行網路輔助交互、並且要求更強形式的認證,例如生物計量和密碼。
再次參照第2圖,第2圖示出示例性SSO技術(協定),其可以用於網路控制的自舉和密鑰建立。例如,開放ID/ISIM 214和開放ID/AKA 216可以是基於UICC的、並且可以利用憑證,例如與網路共享的秘密,其可以安全地駐在UICC上。例如,依據與網路共享的憑證,開放ID/GBA 212可以是或可以不是基於UICC的。在示例實施方式中,開放ID/SIP摘要208可以不是基於UICC的。例如,可以提供常規的用戶提供的開放ID識別碼和密碼。SSO子系統的網路認證介面可以允許在單一架構框架中提供各種SSO協定(例如,第2圖中的模組208、210、212、214、216)。
根據示例實施方式,可以用兩個認證類型綁定來驗證用戶。雖然用戶驗證可以參考開放ID協定來描述,但相同的概念可以應用到其他認證協定,例如自由聯盟。例如,UE一通電,用戶輔助認證可以發生。例如,用戶可以提供用戶輔助認證憑證(例如,PIN、生物計量)來獲得對裝置功能的存取。例如,用戶可以提供PIN來獲得對iPhone的存取。這樣的認證機制可以在供電提供一次或在整個對話間歇地提供。認證用戶的頻率要求可以是策略驅動的。SSO子系統可以驗證用戶提供的PIN並且可以儲存結果,其可以是判定的形式,確認PIN已經被輸入並被驗證。這樣的判定可以建立用戶輔助認證。在用戶輔助認證建立之後,用戶可以試圖登錄服務提供者(例如RP),該服務提供者例如可以藉由定向網頁瀏覽器到RP網頁來支援開放ID協定。SSO子系統可以檢查用戶輔助認證的狀態,並且如果狀態 有效,可以向RP提供用戶識別碼。RP可以執行開放ID提供者(OP)的發現,並且兩個實體可以建立關聯。這樣的關聯可以導致共享密鑰。裝置可以被重新定向到LAE,該LAE可以是由SSO子系統實施的在UE上的本地開放ID代理功能。在示例實施方式中,由SSO實施的策略(例如外部事件相關者的)可以要求執行強壯的網路輔助認證(例如,GBA、SIP、AKA)。可以選擇認證模組(例如,SSO協定)。在認證協定中,這樣的選擇可以例如由SSO子系統報告給MNO。可以使用所選擇的網路輔助認證模組(例如,SSO協定)來執行UE的認證。在示例實施方式中,選擇的認證協定可以導致網路輔助認證功能和UE之間的共享應用特定密鑰的自舉。這樣的密鑰可以用來認證UE。
UE可以接收認證完成的指示,並且LAE可以簽名到RP的判定訊息,指出已經發生強認證。判定可以指出用戶輔助認證(例如經由初始用戶PIN輸入)和隨後的網路輔助認證(例如經由所選擇的SSO認證協定)之間的綁定。判定可以指示在此定義的認證信任等級中的一個。判定訊息可以用經由本地SSO代理(例如LAE)和RP之間的關聯所建立的密鑰來簽名。RP和LAE可以不直接通信,並且因而OP服務功能(OPSF)可以在網路上被產生以促進兩個實體之間的通信。在示例實施方式中,OPSF由RP經由公共網際網路可達,好像RP是OP一樣,可以與這個OPSF通信。本地SSO(LAE)代理可以經由OPSF密鑰分發機制來獲得關聯密鑰。OPSF也可以支援關於源自LAE的經簽名的判定的針對RP的簽名驗證。用戶可以接著可以被無縫地定向到RP網頁。在示例實施方式中,當用戶後來希望存取不同的服務提供者時,SSO子系統可以檢查用戶輔助認證結果是否已經儲存以及這個認證是否仍然有效(例如根據本地儲存的策略)。如果具有有效儲存的結果,例如,SSO子系統此時可以不執行用戶輔助認證。新的服務提供者可以接著執行如在此所述的識別碼提供者的發現。因此,用戶可以存取新的服務提供者而無需在UE輸入憑證,並且用戶可以不參與網路輔助認證。根據 實施方式,這樣的情形可以組成完整的SSO實施。
在示例實施方式中,用戶可以經由較佳服務及/或應用的註冊來存取較佳的(例如附屬的)服務。例如,網頁或其他線上應用服務提供者(如信賴方)可以使用服務提供者選擇的IdP來註冊到操作者的基於網路的SSO系統。例如,支付交易提供者可以使用開放ID來獲得來自特殊IdP的委託認證,其可以導致支付交易提供者成為附屬的服務。註冊可以由服務提供者(例如RP)、所選擇的IdP、操作者的SSO系統、或服務的終端用戶發起。進一步地,註冊可以由存取網頁的用戶或駐在UE的SSO子系統發起。例如,駐在UE的SSO子系統可以變成“同步”到基於網路的SSO子系統的資料庫、並且從而變成知道註冊的、附屬的服務和應用的列表和類型。
當沒有明確選擇SSO協定時,RP可以被允許選擇IdP。根據示例實施方式,在IdP的選擇和將要使用的SSO協定之間可以存在隱式(implicit)關聯。例如,RP可以選擇特定IdP,因為該IdP可以支援特定SSO協定,例如開放ID。
用戶接著可以使用UE來存取SSO(例如開放ID)支援的基於網頁的應用服務。駐在UE的SSO子系統可以符合操作者供應的策略、並可以選擇已註冊的附屬服務/應用及/或較佳服務/應用。在用戶指出(例如,經由在URL中鍵入(typing))他或她的較佳服務後,駐在UE的SSO子系統也可以攔截(介入(intervene))、並且可以用與相同服務的註冊的、附屬的版本對應的替代服務的URL來轉換或替代用戶鍵入的URL。這樣的替代服務可以由相同的服務提供者提供、但可以根據優先的、附屬的基礎被展示和存取。例如,存取限於操作者所服務的UE的用戶,該操作者具有到前述服務/應用的前述基於註冊的附屬(例如,以及可以提供這樣服務/應用的IdP和RP)。
根據示例實施方式,在服務/應用的選擇之後,UE可以代表用戶以透明(transparent)及/或無縫的方式來選擇較佳的存取網路輔助認證機 制和合適的憑證。例如,UE可以在SSO認證協定中指出所選擇的存取網路輔助認證機制。網路可以識別所選擇的較佳存取網路輔助認證機制、並可以認證用戶。一認證成功,可以發生SSO操作的剩餘部分(例如,UE重新定向到RP來獲得服務)。
如在此所述,經由連接到作為操作者的SSO系統的操作者信任基礎架構,訂閱的、附屬的服務可以有效地獲取由操作者提供的網路輔助認證強度。
更一般地,在此描述SSO架構可以視為包括更正式的功能層級。例如,SSO子系統可以管理一個或多個SSO用戶端(例如,或本地SSO代理)。如果下面的裝置技術支援多服務提供者配置,那麼多個SSO用戶端可以作為SSO子系統中多服務管理器的子功能運行。這個一般化的架構可以提供用來支援具有潛在獨立策略的多個服務的分離。
在這樣框架中的每個SSO用戶端可以管理多個下屬的(subordinate)子功能。例如,本地判定子功能可以由本地判定實體(LAE)執行。LAE可以涉及正式指定的執行本地判定的子功能。例如,依據實施,一個或多個LAE可以由SSO用戶端控制。例如,配置可以涉及SSO用戶端-LAE對(一對一)或一個用戶端控制多個LAE。在兩者之一的配置中,SSO用戶端可以是控制實體。SSO認證協定在此也可以稱為SSO技術。例如,SSO用戶端可以控制由所選擇的SSO認證協定實現的機制的處理。SSO用戶端可以管理策略執行動作,該策略執行動作可以確定使用哪個認證方法。例如,被應用的策略可以在例如MNO之類的外部事件相關者的控制之下。
根據另一實施方式,UE可以支援多個SSO用戶端作為在多服務管理器中的子功能運行的實施。這樣的實施可以視為環境中的功能,在該環境中不同服務提供者可以需要單獨的、隔離的SSO用戶端專門服務這個特殊提供者,而同時允許由相同提供者提供的多個可用連接技術和服務的基於策略的管理。例如,ME可以具有SSO用戶端A和SSO用戶端B,並且這 些SSO用戶端的每一個可以被單獨控制並且相互隔離。SSO方面可以對提供者是特定的。
在一個示例實施方式中,與多個SSO用戶端一起,可以存在多個LAE。例如,每個LAE可以在UE上的存取技術特定域中實施。由於SSO用戶端隔離,每個隔離的域可以有一個LAE。而且,例如,LAE可以根據裝置支援的可用存取技術被建構。相同的存取技術可以在不同的LAE之間多工,或者不同存取技術可以由LAE一起使用。因此,UE可以支援多LAE。依據實施,例如LAE和SSO用戶端之間的關係可以是一對一、或一個SSO用戶端可以控制多個LAE或由多個LAE服務。
如在此所述,在SSO子系統中執行的功能可以用各種方式來配置。在UE中,例如,在基於UICC和基於非UICC(或替代地安全環境)的架構之間可以存在劃分。也可以在UE和MNO網路之間存在功能的界限。下面是根據不同實施方式的一些可能配置。
加密AKA功能可以駐在非UICC智慧卡。這樣的功能可以在例如G&D的MSC之類的完全可編程非UICC智慧卡上執行、並且與網路輔助認證(例如AKA)類似,但該卡是可移動的並且在用戶控制之下。加密功能可以駐在UICC上。這樣的功能可以包括在UICC上實施的LAE的基本(elementary)加密功能,例如,密鑰導出和判定簽名。功能可以類似於網路輔助認證(AKA)。此外,可以實現綁定到IMSI和用戶註冊到MNO。
根據示例實施方式,LAE功能可以駐在UICC或安全可信環境。例如,LA可以是在智慧卡網頁伺服器(SCWS)或其他網頁瀏覽器應用上的開放ID的完整實施。在示例實施方式中,網路輔助認證配置可以來綁定LAE(例如本地判定)認證到任何形式的強網路輔助認證(例如,本地開放ID/GBA)。強認證可以經由增加生物計量或類似本地認證以應用到強本地用戶輔助認證作為額外的因數。例如,任何形式的強本地認證可以與網路輔助認證結合並綁定到網路輔助認證。
第4圖示出了用於使用多SSO協定及/或模組的架構框架的另一示例實施方式。如第4圖所示,UE 402的SSO子系統400可以與配置用於從服務提供者存取服務(例如網頁服務406(例如RP))的應用(例如瀏覽器應用404)進行通信。SSO子系統400可以提供針對用戶的SSO功能、並且可以產生對認證服務的自動化登錄過程。例如,自動化特徵可以包括可以向網頁服務406提供用戶識別符及/或向識別碼提供者(例如開放ID提供者(OP)408)提供憑證而無需用戶交互作用的功能。自動化的特徵也可以是自動供應認證憑證給OP 408的認證者410、以及認證模組(例如認證方法)的自動選擇和協商。根據示例實施方式,認證模組可以包括開放ID/SIP摘要模組418、開放ID/GBA模組412、EAP/SIM模組416、及/或開放ID/AKA模組414。例如,第5圖顯示了示例環境,其中GBA模組412由SSO子系統400選擇。雖然第4圖中示出的每個網路輔助認證模組可以實施開放ID網路輔助認證協定,但也可以或替代地實施其他類型的網路輔助認證協定。SSO子系統400所提供的自動化可以基於在無線裝置(例如UE 402)上儲存的和例如OP 408所供應的之前定義的策略被執行。這樣的自動化可以由網頁瀏覽記錄(cookie)(例如儲存在瀏覽器404中)、Java小型應用、儲存表格資料的瀏覽器快取記憶體等提供。在示例實施方式中,自動化可以被提供有抓取(scraping)功能,例如,其可以自動地偵測要填的表格。
在使用Java小型應用的示例實施方式中,例如,自動化特徵可以被併入到Java小型應用中,該Java小型應用可以在認證過程期間被下載。雖然在此討論的自動化特徵可以由Java小型應用實施,在此描述的實施方式不這樣受到限制。在一些實施方式中,持續(persistent)特徵(例如用戶登錄狀況)可以不位於Java小型應用中,因為例如小型應用可以從瀏覽器快取記憶體中移除。此外,如在此所述,Java小型應用可以在協定運行過程中下載之後變得可用。利用Java小型應用的功能可以在小型應用已經被下載到例如UE之類的裝置之後被執行。如果例如Java小型應用在重新定向到OP之後 從OP下載,Java小型應用本身不可以提供抓取特徵。
第6圖示出了包括用於促進使用多SSO技術及/或模組的可下載元件的架構框架的示例實施方式。示例性可下載元件(例如請求者622)可提供用於瀏覽器應用及/或非瀏覽器應用(例如應用604)到例如認證模組、協定和API(例如模組612、614、616、618、和620)之類的網路輔助模組的介面。在示例實施方式中,可下載元件(例如請求者622)不綁定到在UE 602上的完整SSO子系統600的存在。例如,該元件(例如請求者622)可以是獨立的,在於其可以與或不與在無線裝置(例如UE 602)上的完整SSO子系統特徵一同使用。為了描述請求者622的示例性特徵的目的,第6圖顯示了請求者作為獨立於SSO子系統的元件,但是請求者可以被包含在SSO子系統600中。此外,在此描述的實施方式可以包括具有或不具有SSO子系統的子集的請求者的變形。
在示例實施方式中,請求者622可以用Java小型應用等實施。例如,Java小型應用可以在認證過程期間被下載並可以產生瀏覽器(或應用604)和在UE 602中的網路輔助認證模組(例如GBA模組612、AKA模組614、EAP SIM 616、SIP摘要模組618、本地OP模組620)之間的層。這樣的層可以是軟體層,其例如由於本地瀏覽器不支持一些認證機制,因此使網路認證與認證模組介面連接。
請求者622(例如Java小型應用)可以獨立於瀏覽器,在某種意義上是一旦被下載,其可以被執行並可以發佈及/或處理HTTP請求。例如,Java小型應用可以向OP 608發佈請求來獲取認證質詢(challenge)。Java小型應用可以與認證模組(例如GBA模組612、AKA模組614、EAP SIM 616、SIP摘要模組618、LAE模組)以及SSO子系統600介面連接。例如,UE 602可以提供分層的存取,其中可以經由SSO子系統600使得到認證模組的存取可用。SSO子系統600和認證模組之間的網路認證介面可以用來促進認證。例如,Java小型應用可以發送來自識別碼提供者(例如OP 608)的質 詢到網路輔助認證模組,認證模組可以計算摘要回應,並且Java小型應用可以直接發送該回應到OP 608或經由瀏覽器發送該回應到OP 608。
如第6圖所示,雖然LAE 620也可以執行認證之外的功能,LAE(例如本地OP 620)可以(例如由SSO子系統600)被視為另一認證模組。因為例如LAE可以包括比單純認證方法更多的功能,因此關於LAE的Java小型應用的作用可以不同於關於認證模組的Java小型應用的作用。例如,LAE可能不計算認證回應,並且它可以積極地執行認證。結果,LAE可以產生認證判定訊息,該判定訊息可以直接被發送到服務提供者,例如網頁服務606(例如RP)以用於認證。關於LAE,請求者622(例如Java小型應用)可以實現從應用604(例如瀏覽器)到LAE的通信。根據示例實施方式,SSO子系統600可以包括例如由SIM聯盟所標準化的開放行動API之類的軟體中間件元件、並在該元件上建構。這樣的軟體中間件元件可以促進例如從用戶/OS級應用到SIM卡應用的通信。
仍然參照第6圖中所示的示例性架構,請求者622(例如簽名的Java小型應用)可以經由瀏覽器被下載並且可以針對每個裝置(UE 602)類型被定制。請求者可以針對不同裝置類型,例如塞班(Symbian)、iOS、安卓(Android)等被定制。請求者622可以實現從瀏覽器到SSO子系統622的元件(例如GBA模組612、AKA應用614以及SIP摘要認證者618)的通信。請求者622可由識別碼提供者的伺服器(例如OP伺服器608)及/或網頁服務606(例如RP)提供。請求者622可以提供用來執行自動及/或無縫用戶認證的介面功能。在示例實施方式中,SSO子系統600可以允許應用604(例如瀏覽器)與網路輔助認證模組612、614、616、618和620進行通信。請求者622例如可以允許應用604(例如瀏覽器)使用SSO子系統600的特徵。例如,如果LAE在UE 602上可用,則請求者622可以幫助LAE 620的發現以及到LAE的連接。請求者622可以將用戶重新定向到識別碼提供者的本地或遠端的變體(例如LAE或遠端OP 608)並回到網頁服務606(例如RP)。請求者622可以 使SSO子系統600能夠作為認證模組使用、並且可以使能SSO子系統600的LAE部分(例如本地OP 620)的使用來直接產生例如經簽名的判定。SSO子系統600可以預先載入到行動裝置(例如UE 602)中及/或經由其他機制下載到裝置中。在示例實施方式中,當請求者可以在用戶每次訪問網頁服務606(例如RP)時被重新裝載時,SSO子系統600可以跨服務持續。
在一個實施方式中,請求者(例如第6圖中的請求者622)可以被實施為Java小型應用等、並可以在受約束的操作環境(例如"沙箱")中操作。這樣的請求者可以具有對系統資源的受限存取。在示例實施方式中,可以在認證已被執行之後(例如當瀏覽器離開服務網站時)卸載請求者。參照第7圖,由於單點登錄(SSO)特徵可以跨域不同服務之間的用戶認證,SSO功能的持續方面可以由SSO子系統700的非請求者部分提供。第7圖示出了具有SSO子系統700的示例介面元件的第6圖的架構框架的示例實施方式。如第7圖所示,SSO子系統可以包括請求者,SSO子系統700可以與各種元件(例如用戶704、遠端伺服器708、生物計量單元710以及各種其他裝置706)介面連接。SSO子系統700的請求部件的互通功能利用下面的示例來描述。
仍然參照第7圖,請求者一般可以沒有對認證功能的直接存取、或者可以有對由LAE(例如本地OP 620)提供的認證功能的存取。在這種情況下,使用網路輔助認證方法的一些認證請求可以經由SSO子系統700來調用。這樣的調用可以包括到SSO子系統700的請求者的合適的授權及/或在先的確認(validation)(例如藉由檢查代碼簽名)。請求者可以提供各種介面。例如,請求者可以提供功能以藉由提供到SSO子系統700的介面來選擇用於特定服務提供者(例如RP)的識別符,從而實現認證過程的自動化。請求者可以提供到SSO子系統700的介面來提供用於與識別碼提供者(例如OP 608)認證的憑證。請求者也可以提供到SSO子系統700的介面(例如網路認證介面)用於網路輔助認證模組或機制的選擇及/或協商。在一個示例實施方式中,請求者可以提供替換重新定向訊息的功能,重新定向訊息 例如為從網頁服務606(例如RP)到識別碼提供者(例如OP 608)的用於認證的重新定向訊息、以及在認證之後從網頁服務606到OP 608的重新定向訊息。
如上所述,SSO子系統700可以提供用於用戶輔助認證的用戶認證介面(例如第6圖中的用戶介面624)、並且可以經由這個介面執行用戶輔助認證。用戶認證介面可以由例如作為OP請求者功能一部分的OP 608提供、或可以是SSO子系統700的持續功能的一部分。SSO子系統700可以與識別碼提供者(例如OP 608)介面連接(例如通信)來收集關於用戶輔助認證策略的資訊。這樣的關於策略的資訊可以包括用戶輔助認證參數,例如識別碼提供者或服務提供者要求的新鮮度(例如執行認證的時間)以及認證強度等級(例如生物計量或用戶名稱/密碼)。SSO子系統也可以與OP 608介面連接以促進選擇網路輔助認證模組及/或介面。在認證用戶704及/或用戶設備(UE)602成功之後,經由用戶介面及/或使用所選擇的網路輔助認證方法(例如GBA模組612、AKA模組614、EAP SIM 616、SIP摘要618),SSO子系統700可以設置針對時間段(例如有效時段)的用戶認證的持續狀態。一接收到重新認證請求(例如經由本地觸發或經由網路),SSO子系統700可以重新認證用戶704。在示例實施方式中,這樣的重新認證可以向用戶704提供無縫登錄體驗。
SSO子系統700可以使用例如到在UE 602外部的元件(例如其他裝置706)的介面來獲得來自經由無線介面連接到UE 602的訊標的認證資訊。SSO子系統700可以建立到生物計量單元710或遠端伺服器708的用於認證的輔助通信頻道。
第8圖是顯示了認證流的流程圖,該認證流觸發請求者(例如Java小型應用)的下載。第8圖中示出的示例性流可以在於此描述的SSO框架架構中實施。雖然圖中的示例實施方式是使用開放ID術語來描述,但示例性流可以應用到任何數量的單點登錄安全協定,例如安全聯盟。
參照第8圖,在808,UE 802可以發送用戶的OP登錄請求到RP 804。登錄請求可以包括用戶提供的識別符、並可以傳達到RP 804,RP 804可以在810觸發RP 804和OP 806之間的關聯及/或共享秘密密鑰的建立。網路輔助認證可以在810後被執行。例如,網路輔助認證可以遵照由RP 804進行的到OP 806的重新定向。重新定向可以由UE 802在步驟812接收。在814,UE可以發送請求到OP 806,用於使用請求者的認證。請求可以包括應用的識別碼,例如非瀏覽器應用的識別碼或UE 802使用的瀏覽器代理的識別碼。在示例實施方式中,Java小型應用可以根據在請求中瀏覽器代理的類型被匹配。例如,多個及/或不同Java小型應用可以用於不同裝置,使得可以根據UE 802的各種元件(例如處理器、OS及/或瀏覽器)來選擇Java小型應用。回應於該請求,在816,UE 802可以從OP 806下載請求者820(例如Java小型應用)。
Java小型應用可以由OP 806簽名。用於Java小型應用的發佈方證書可以由瀏覽器例如使用UE系統證書儲存來檢查。例如,修改的系統或瀏覽器證書儲存實施可以用儲存在UE 802的安全元件(例如UICC)上的證書/密鑰來檢查Java小型應用的簽名。Java小型應用可以包括決定與RP 804使用哪個網路輔助認證模組800的邏輯。Java小型應用也可以包括向OP 806指出哪個認證模組/機制在UE 802中可用的邏輯。在示例實施方式中,Java小型應用可以對一個單一認證模組800是特定的,並且OP 806可以選擇向UE 802提供哪個Java小型應用。在示例實施方式中,在814,HTTP請求被發送。HTTP請求可以包括瀏覽器代理,允許UE 802的OS被識別以及對應小型應用的版本將由OP 806選擇的並發送到UE 802(在816)。
在818,網路輔助認證可以被執行。關於第3圖如在此所述,網路輔助認證可以遵照由RP 804進行的到OP 806的重新定向。重新定向可以由請求者820接收,該請求者820可以將訊息重新定向到SSO子系統308以用於選擇網路輔助認證模組及/或協定(例如認證模組800)。網路輔助認證 模組/協定(例如SSO協定)可以由SSO子系統經由策略實施來選擇和使用。這個過程可以包括自舉和共享密鑰建立,如在此進一步所述。
如第2、4、6和7圖所示,多個網路輔助認證協定模組可以由網路輔助認證模組(例如SSO協定)族暗示。再次參照第8圖,在822,在818的來自認證的認證結果可以從請求者820發送到OP 806。例如,認證結果可以包括在UE 802和OP 806之間共享的應用特定密鑰等。在網路輔助認證成功之後,OP 806可以向RP 806提供網路輔助認證成功的指示。例如,OP 806在824可以簽名識別碼判定並在824發送識別碼判定。經簽名的成功網路輔助認證通知可以在UE 802獲得對在RP 804的期望服務的存取之前被執行。一旦RP 804及/或UE 802(例如經由應用)已經接收到網路輔助認證成功的指示,UE 802(例如經由應用)可以登錄到RP 804(在826)並存取在RP 804的服務(在828)。
第9圖顯示了示例的實施方式,其中識別碼提供者的功能對於UE 802被本地執行。例如,UE 802可以包括SSO子系統和LAE(例如本地OP 900)。步驟808、810、814和816可以如關於第8圖所述的一樣繼續。在902和904,可以經由請求者908和SSO子系統900、以及SSO子系統900和一個或多個認證模組800之間的交互作用產生簽名的判定。UE 802可以在906發送簽名的判定到RP 804。在RP接收到經簽名的判定後,UE 802的用戶可以能夠存取由RP 804提供的服務(在824)。第10圖示出了示例的實施方式,其中SSO子系統在Java小型應用1002中實施。參照第10圖,SSO子系統1002可以使用在UICC 1000上的本地OP加密來執行網路輔助認證。在網路輔助認證成功之後,簽名的判定被產生並被重新定向到RP 804。
如在此所述(例如第11圖到第15圖),LAE(例如本地OP)可以集成在Java小型應用中或獨立於Java小型應用。在替代的示例實施方式中,開放ID協定例如可以無需本地OP元件而被實施。在這樣的實施方式中,協定流的第一部分可以對於具有LAE的實施方式看上去相同或相似,但認 證及/或判定產生可以經由UE和OP之間的通信來完成(例如如第16圖所示)。
第11圖示出了用於預提取關聯的協定流的示例實施方式。例如,關聯可以被預提取,其可以允許RP在來自用戶的認證嘗試之前獲取關聯(例如關聯控制碼及/或關聯秘密)。這可以例如經由使用開放ID的識別符選擇模式被實施。RP可以不需要知道完整的開放ID識別符URL、但可以例如基於其OP端點(endpoint)URL來預提取用於一些已知OP的關聯。參照第11圖,RP 804可以在知道UE802的識別符之前在810得到關聯。在812,例如經由使用預提取的關聯其中之一,RP 804可以直接重新定向UE 802到OP 806。在這樣的實施方式中,UE 802可以從OP 806下載Java小型應用1100,其可以在UE 802和OP 806之間的介面上產生訊務。在示例實施方式中,UE 802到OP 806的介面可以是空氣介面,但RP 804和OP 806之間的介面可以是固定的網際網路。
在預提取步驟的示例實施方式中,Java小型應用可以由RP如第12圖所示來儲存。RP 804可以接收由OP 806簽名的一組Java小型應用1202。RP 804可以用來自810的關聯來儲存Java小型應用1202。當UE 802希望在1204進行認證時,例如RP 804可以在1206提供對應的Java小型應用1202到UE 802。多個及/或不同Java小型應用可以用於不同的裝置,例如,使得其匹配非瀏覽器應用或瀏覽器代理的處理器和OS。
根據示例實施方式,開放ID庫,例如可以委外至OP。例如,OP可以提供針對RP的API來處理針對RP的開放ID特定操作。谷歌(google)識別碼工具箱是示例實施,其可以一般化在UE上的RP的功能,並可以提供針對可以使用相同請求者的多個RP的公共框架。RP可以請求API來發起開放ID認證,並且API(由OP提供或託管(host))可以返回將從RP發送到UE來發起UE認證的代碼。此後,UE結果被發送回RP,RP可以驗證認證結果(例如自行或在OP的幫助下)。在示例實施方式中,關聯的預提取可以節約(減少)UE和OP之間的通信、並可以實現離線情形。
第13圖示出了針對高速緩衝的Java小型應用的協定流的另一實施方式。例如,Java小型應用1306等可以在例如智慧型電話的UE 802上儲存。在示例實施方式中,Java小型應用1306可以被儲存在來自之前操作的UE 802的瀏覽器快取記憶體中。在這樣的實施方式中,可以調用所儲存的Java小型應用。例如,如果假設小型應用在瀏覽器快取記憶體中不可用,瀏覽器可能刪除所下載的Java小型應用而無需通知。例如,當從相同的源(例如相同RP)調用小型應用時,可以調用之前下載的Java小型應用。由OP提供的API可以在1300返回代碼,其發佈到之前下載(以及高速緩衝的)Java小型應用的調用。在1302,例如,到Java小型應用1306的調用被提供給RP 804。在1304,調用被提供給UE 802。在此描述的實施方式可以使用例如Java腳本的可替換實施。
第14圖示出示例的實施方式,其中Java小型應用即時(on the fly)被供應。根據示例實施方式,瀏覽器可以不在快取記憶體中儲存Java小型應用。在這樣的實施方式中,小型應用1402可以由OP 806提供至RP 804(在1400),並且RP 804可以在1404將小型應用1402傳送至UE 802。由於HTTP請求可以包括瀏覽器代理,UE 802的OS可以被識別,並且對應的小型應用版本可以被發送到UE 802。在此,RP 804可以在針對OP 806的API調用1300中傳遞UE字串(例如包括OS及/或瀏覽器代理)到OP 806,例如來選擇正確的Java小型應用版本。
如在此所述,各種實施方式可以使用開放ID等來用瀏覽器應用存取服務。開放ID可以基於HTTP協定及/或Java小型應用可以實施Java運行時間。在示例實施方式中,瀏覽器可以使用HTTP協定和Java運行時間環境二者。在此展示的開放ID及/或其他概念的使用不限制為瀏覽器應用。如在此所述,各種實施方式可以使用非瀏覽器應用來實施開放ID協定等。對於那些應用,可以應用相同的概念。具有非瀏覽器應用的實施方式可以提供支援下載和執行Java小型應用的介面及/或方法。雖然在此的描述可以針 對各種協定流的描述使用術語瀏覽器,但流並不受到這樣的限制並且包括非瀏覽器應用。
雖然各種實施方式描述為實施Java小型應用,但這樣的實施方式不受到這樣的限制。在此描述的Java小型應用代表用於元件(例如請求者)下載的單一實施變型,該元件可以促進在服務存取應用(例如瀏覽器/非瀏覽器)和認證模組(例如,OP、本地OP、GBA、AKA)之間的裝置中的認證通信。例如,在此描述的實施方式可以由例如庫或API的元件來實施,其可以頻外(out of band)裝載或動態下載到無線裝置。就應用可以知道如何處理元件(例如如何裝載它,調用哪個功能)的意義而言,下載的元件(例如小型應用,庫)可以對應用是特定的。
谷歌識別碼工具箱(GITkit)可以提供多種能力和特徵,其可以使RP功能的集成及/或實施能夠簡便。在網路側,例如,經由包括網路側請求者功能首次展示(rollout)特徵,RP功能可以由服務提供方進一步增強,用於採用開放ID聯合識別碼協定的簡便化。在用戶端側,Java腳本可以提供用來一般化請求者功能的一些元件並將其與GITkit對齊(align),例如使用抓取來執行用戶自動化的實施方式。
在此描述的各種實施方式可以將LAE(例如本地OP)的概念與谷歌識別碼工具箱集成,而保持遵從GITkit的用戶提供的常規調用流。例如,在此描述的是本地OP可以被調用以及瀏覽器可以被重新定向到本地OP的多種不同的方式。在示例實施方式中,重新定向可以被應用到OP的URL,其中裝置可能希望知道在哪裡找到本地OP。在另一實施方式中,由GITkit API提供的網站可以提供到OS API的調用(例如經由Java腳本),該調用可以觸發本地OP認證過程,例如無需重新定向瀏覽器到本地OP。仍然在另一實施方式中,瀏覽器外掛可以代替OS API被調用。
第15圖示出示例實施方式,其中GITkit 1500可以與本地OP 900和Java小型應用1508集成。示例性集成步驟列在下面,但在此描述的實 施方式不受到這樣的限制,因為可以使用其他實施,例如包括滿足非瀏覽器應用的那些實施。
參考第15圖,用戶可以訪問RP 804及/或選擇他的IdP或輸入他的電子郵件位址識別符。在一個實施方式中,識別符可以被預先填入(例如使用現有的技術,例如瀏覽器儲存的表格資料或cookies),例如來提供認證過程的自動化,並且識別符可以經由用戶輸入URL到瀏覽器被觸發。可以調用GITkit庫功能“createAuthUrl(產生認證Url)”。GITkit庫可以執行IdP發現。GITkit可以返回IdP的授權端點URL(例如OP 806的URL)。Java腳本界面工具集(widget)可以彈出登錄視窗,重新定向用戶到這個端點。這個彈出視窗中的重新定向可以將用戶帶到在裝置上運行的本地OP實例。當集成到SIM卡或其他其中執行本地OP的加密功能的安全元件的介面時,本地OP實例可以例如由提供HTTP介面的應用和到瀏覽器的類網頁伺服器能力組成。在可替換實施方式中,Java腳本可以不使用重新定向但可以能夠調用OS API(在1502)以從腳本直接觸發本地OP認證。例如,如果本地OP應用駐在SIM卡上,Java腳本可以潛在地調用OS API(例如SIM聯盟開放行動API)來直接與在智慧卡上的本地OP應用通信。其他實施方式可以不使用單純的Java腳本解決方案。在這些實施方式中,瀏覽器可以包括外掛,其可以由Java腳本調用來觸發本地OP認證。這個外掛可以利用一些OS API,例如其可以提供用於OS應用層及/或在安全元件上的本地OP應用之間的通信的傳輸層邏輯。在其他實施方式中,GITkit API可以在第一調用之後提供具有代碼的RP,該代碼可以允許下載Java小型應用到UE中。Java小型應用可以使用在此描述的本地OP來執行認證。實施方式可以預先填入憑證(例如使用現有的技術,例如瀏覽器儲存的表格資料、cookies等)來提供UE接收到本地OP的重新定向觸發的認證過程的自動化。
在1102,用戶可以被本地認證到本地OP。本地OP可以從網路中與OP(SF)長期共享的秘密導出開放ID簽名秘密、並且使用關聯控制碼 作為到密碼導出功能的第二輸入來產生針對開放ID的簽名密鑰。本地OP/Java腳本/外掛可以產生簽名的判定訊息、並重新定向瀏覽器到以前在RP產生的"continueURL(繼續URL)",該"continueURL"已經由"createAuthUrl" GITkit庫調用產生。RP可以接收簽名的判定訊息(在906)並在1510將其傳遞到GITkit庫以用於驗證。GITkit 1500可以使用"verifyAssertion(驗證判定)" API來與OP(SF)確認(validate)判定訊息(在1512)。由於GITkit庫可以由谷歌託管,GITkit庫可以使用OPSF用於簽名驗證。OPSF可以返回識別碼資訊(例如電子郵件、或例如由開放ID的屬性交換方法定義的其他屬性)。如果帳戶/電子郵件已經存在,用戶可以登錄。如果沒有,RP可以使用判定的電子郵件位址作為用戶的不變的識別符來產生新的帳戶。額外的屬性可以基於用屬性交換機制接收到的資訊自動填寫。
作為額外的背景,GITkit協定流的概述可以在http://code.google.com/intl/de-DE/apis/identitytoolkit/vl/openid.html找到。常規GITkit協定流可以總結如下。
用戶可以訪問RP網站並且可以點擊他的IdP的按鈕。RP可以建立到GITkit服務API的調用,GITkit服務API轉而可以執行發現步驟並返回調回(callback)URL,RP可能必須建立該調回URL來等待用戶的返回,並且GITkit返回HTML代碼,該HTML代碼將被顯示給用戶以與IdP認證。此HTML代碼可以包括到IdP的認證URL的重新定向。這個代碼也可以產生針對RP的相同用戶介面。用戶向他的IdP進行認證。用戶可以被重新定向到在RP的調回URL。RP可以使用在調回URL接收到的參數(IdP回應)來做出到GITkit API的調用(驗證判定)。GITkit API可以驗證IdP回應並發送結果(經驗證的電子郵件+額外的屬性)到RP。
GITkit可以經由提供RP在兩個步驟中調用的至少兩個API揭露開放ID/OAuth協定,如下面示出: 一個步驟可以包括createAuthUrl API調用。這個API調用可以當用戶在IDP圖符(例如Gmail、Yahoo按鈕)上點擊時或例如直接輸入電子郵件位址時發生。GITkit後端可以例如根據開放ID2.0協定來執行IDP發現。如果IDP實際上使用OAuth協定,那麼GITkit可以直接使用預先定義的IDP端點。最終結果可以是GITkit返回URL(參數"authUri"),其可以代表IDP的授權端點,以及GITkit登錄界面工具集可以彈出登錄視窗,該登錄視窗可以重新定向到這個端點。(這個步驟可以對應普通開放ID協定的第一重新定向,其中瀏覽器重新定向到OP。經由與本地OP使用與之前相同的機制,在這個階段,而是用戶的瀏覽器可以被重新定向到本地OP)。當調用createAuthUrl,RP可以在"continueUrl"(即調回URL)中傳遞哪一個是在用戶經由對應IDP成功認證之後被重新定向的URL。"領域"(realm)可以是識別開放ID的領域的可選參數,而"識別符"可以指定使用哪個IDP。
另一步驟可以包括驗證判定。在IDP已成功認證用戶之後,(這可以涉及實際的用戶認證,如果使用本地OP,用戶認證可以本地完成)其可以重新定向瀏覽器到URL,該URL在createAuthUrl的"continueUrl"參數中被指定,該參數具有使用其秘密密鑰簽名的用戶的識別碼資訊。根據實施方式,這可以與可以不被處理的二進位斑點(blob)類似,並且其可以被發送回GITkit以用於確認。這可以是開放ID中從OP到RP的第二重新定向。這可以與本地OP使用。對調回URL的HTTP請求可以被RP後端中的GITkit用戶端庫捕獲、並且用戶端庫可以用"requestUri"(IDP返回的URI)和"postBody"(由IDP簽名的斑點)調用GITkit的驗證判定API。GITkit後端可以使用開放協定確認IDP回應、並且可以返回識別碼資訊(例如,如果使用了AX,還有與這個識別碼關聯的屬性)到RP的後端。這個步驟可以對應普通開放ID的判定簽名驗證。這例如可以類似於開放ID的無國籍(stateless)模式。GITkit庫可以再次聯繫OP(例如在網路中)來驗證簽名並請求額外的屬性(例如電子郵件位址)。RP可以審查"verifiedEmail(驗證的電子郵件)"欄位、並 且做出相應的動作。例如,如果用這個電子郵件位址的帳戶有效,則用戶可以登錄,及/或Java腳本界面工具集可以關閉登錄視窗、及/或重新定向用戶的瀏覽器到RP的主頁。如果沒有找到針對這個電子郵件的帳戶,RP可以例如用預先填入的和不可編輯的電子郵件欄位與針對所填入的帳戶的其他屬性一起,重新定向用戶到帳戶產生頁。
對於基於OAuth的IDP認證,RP可以使用相同或類似的調用、並得到從GITkit返回的相同或類似的回應。但GITkit可以在其後端使用OAuth協定與IDP通信、並且做出正確的處理,例如交換存取訊標。GITkit API端點接收針對GITkit API調用的請求、認證用戶(通常使用API密鑰)、以及用正確的參數調用GITkit伺服器。GITkit伺服器可以聯繫對應的IDP來完成開放ID/OAuth調用。
雖然在此描述的示例實施方式在開放ID的上下文中執行,但上面描述的技術可以應用到任何數量的單點登錄安全協定,例如自由聯盟。此外,雖然與各種圖一起描述各種實施方式,應當理解的是,其他類似的實施方式可以被使用,或者不背離各種實施方式的相同功能,對描述的實施方式作出修改和增加用於執行各種實施方式的相同功能。因此,實施方式應當不限於單一實施方式,但相反應當在根據所附申請專利範圍的寬度和範圍上解釋。
此外上面以特定的組合描述了特徵和元素,並且每個特徵或元素可以單獨的使用或與其他的特徵和元素進行組合使用。應當理解的是,這裏描述的任何或所有系統、方法以及處理可以用儲存在電腦可讀儲存媒體上的電腦或處理器可讀指令(例如程式碼、軟體及/或韌體)的方式實現。當指令由例如處理器的機器執行時,指令執行及/或實施在此描述的系統、方法和處理。具體地,以上描述的任何步驟、操作或功能可以用可執行指令的方式實施。電腦可讀儲存媒體包括實施在任何方法或技術中用於儲存資訊的揮發性和非揮發性,可移式和不可移式媒體。電腦可讀儲存 媒體包括但不限於RAM、ROM、EEPROM、快閃記憶體或其他記憶體技術、CDROM、數位通用盤(DVD)或其他光碟儲存、磁帶盒、磁帶、磁片儲存或其他磁儲存裝置,或可以用來儲存期望的資訊以及可以由電腦或處理器存取的任何其他媒體。
202‧‧‧瀏覽器應用
204‧‧‧非瀏覽器應用
206‧‧‧SSO子系統
208‧‧‧開放ID/SIP摘要模組、認證模組
210‧‧‧開放ID模組、認證模組
212‧‧‧開放ID/GBA模組、認證模組
214‧‧‧開放ID/ISIM模組、認證模組
216‧‧‧開放ID/AKA模組、認證模組
218‧‧‧安全可信環境

Claims (15)

  1. 用戶方法,包括:一應用,被配置為與一服務提供者進行通信以存取一服務;多個網路輔助認證模組,每個網路輔助認證模組對應於一不同的網路輔助認證協定,其中該多個網路輔助認證模組中的一個或多個網路輔助認證模組被配置為執行與該服務提供者的一網路輔助認證以存取該服務;以及一單點登錄(SSO)子系統,被配置為:執行該UE的一用戶的一用戶認證,使得該用戶認證與該網路輔助認證分開,選擇該多個網路輔助認證模組中的一網路輔助認證模組以執行與該服務提供者的該網路輔助認證,該網路輔助認證模組是基於一或多個策略來選擇,使用與該用戶的一識別碼相關聯的憑證來執行該用戶認證,使用所選擇的網路輔助認證模組來執行該網路輔助認證,以及基於一新鮮度策略綁定該用戶輔助認證與該網路輔助認證。
  2. 如申請專利範圍第1項所述的用戶設備(UE),其中該UE被配置為使用與該服務提供者相關聯且綁定至該用戶的該識別碼的UE憑證來執行該網路輔助認證。
  3. 如申請專利範圍第1項所述的用戶設備(UE),其中該UE被配置為使用與該服務提供者相關聯且綁定至該用戶的該識別碼的UE憑證來執行該網路輔助認證。
  4. 如申請專利範圍第1項所述的用戶設備(UE),其中該網路輔助認證是藉由發送指出該用戶認證的一結果的一判定訊息到該服務提供者而被執行。
  5. 如申請專利範圍第1項所述的用戶設備(UE),其中該SSO子系統進一步被配置為使用該用戶認證產生的至少一參數來執行該網路輔助認證。
  6. 如申請專利範圍第5項所述的用戶設備(UE),其中該用戶認證產生的該至少一參數包括一用戶認證狀態、該用戶的一認證時間、指出該用戶認證的一新鮮度的一參數或指出該用戶認證信任等級的一參數。
  7. 如申請專利範圍第1項所述的用戶設備(UE),其中該SSO子系統進一步被配置為接收要用於該網路輔助認證的一識別碼提供者的一選擇,其中該識別碼提供者與該多個網路輔助認證模組的一認證模組相關聯。
  8. 如申請專利範圍第1項所述的用戶設備(UE),其中該UE被配置為支援由多個服務提供者提供的多個服務,每個服務提供者與一不同策略組相關聯。
  9. 如申請專利範圍第1項所述的用戶設備(UE),進一步包括一請求者,該請求者能夠實現從該應用到該多個網路輔助認證模組的通信。
  10. 如申請專利範圍第9項所述的用戶設備(UE),其中該請求者被包括在該SSO子系統中。
  11. 如申請專利範圍第9項所述的用戶設備(UE),其中該請求者從該服務提供者或一識別碼提供者中的至少一者被下載。
  12. 如申請專利範圍第9項所述的用戶設備(UE),其中該請求者被配置為允許該應用使用該SSO子系統的一個或多個特徵。
  13. 如申請專利範圍第9項所述的用戶設備(UE),其中該請求者對應於該應用,使得該請求者能與該應用以及該SSO子系統進行通信。
  14. 一種在包括多個網路輔助認證模組的一用戶設備(UE)中的方法,每個網路輔助認證模組對應於一不同的網路輔助認證協定,其中該多個網路輔助認證模組中的一個或多個網路輔助認證模組被配置為執行與一服務提供者的一網路輔助認證以存取一服務,該方法包括: 執行該UE的一用戶的一用戶認證,使得該用戶認證與該網路輔助認證分開,選擇該多個網路輔助認證模組中的一網路輔助認證模組以執行與該服務提供者的該網路輔助認證,該網路輔助認證模組是基於一或多個策略來選擇,使用與該用戶的一識別碼相關聯的憑證來執行該用戶認證,使用所選擇的網路輔助認證模組來執行該網路輔助認證,以及基於一新鮮度策略綁定該用戶輔助認證與該網路輔助認證。
  15. 如申請專利範圍第14項所述的方法,更包括:基於該用戶認證產生的至少一參數來執行該網路輔助認證。
TW106109029A 2011-04-28 2012-04-30 具友多sso技術之sso架構的用戶設備 TW201731274A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201161480137P 2011-04-28 2011-04-28
US201161548156P 2011-10-17 2011-10-17

Publications (1)

Publication Number Publication Date
TW201731274A true TW201731274A (zh) 2017-09-01

Family

ID=46172891

Family Applications (2)

Application Number Title Priority Date Filing Date
TW101115362A TWI589141B (zh) 2011-04-28 2012-04-30 具有多sso技術之sso架構的用戶設備
TW106109029A TW201731274A (zh) 2011-04-28 2012-04-30 具友多sso技術之sso架構的用戶設備

Family Applications Before (1)

Application Number Title Priority Date Filing Date
TW101115362A TWI589141B (zh) 2011-04-28 2012-04-30 具有多sso技術之sso架構的用戶設備

Country Status (7)

Country Link
US (1) US20130125226A1 (zh)
EP (3) EP2913976B1 (zh)
JP (3) JP2014519634A (zh)
KR (1) KR20140035918A (zh)
CN (2) CN107070843A (zh)
TW (2) TWI589141B (zh)
WO (1) WO2012149384A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI717728B (zh) * 2018-07-18 2021-02-01 開曼群島商創新先進技術有限公司 身份校驗、登錄方法、裝置及電腦設備

Families Citing this family (90)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9544143B2 (en) * 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US8510820B2 (en) 2010-12-02 2013-08-13 Duo Security, Inc. System and method for embedded authentication
US9282085B2 (en) 2010-12-20 2016-03-08 Duo Security, Inc. System and method for digital user authentication
US8892885B2 (en) 2011-08-31 2014-11-18 Duo Security, Inc. System and method for delivering a challenge response in an authentication protocol
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US9143937B2 (en) * 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9081951B2 (en) * 2011-09-29 2015-07-14 Oracle International Corporation Mobile application, identity interface
US8763077B2 (en) 2011-10-07 2014-06-24 Duo Security, Inc. System and method for enforcing a policy for an authenticator device
US8943202B2 (en) * 2012-01-12 2015-01-27 Cisco Technology, Inc. Network resource access using social networks
CN104115544B (zh) * 2012-02-14 2018-05-22 诺基亚技术有限公司 使用naf密钥的设备到设备安全性
WO2013167169A1 (en) * 2012-05-08 2013-11-14 Nokia Siemens Networks Oy Method and apparatus
US8745718B1 (en) 2012-08-20 2014-06-03 Jericho Systems Corporation Delivery of authentication information to a RESTful service using token validation scheme
US10567376B2 (en) * 2012-08-24 2020-02-18 Sensible Vision, Inc. System and method for providing secure access to an electronic device using multifactor authentication
US9276942B2 (en) * 2012-09-07 2016-03-01 Oracle International Corporation Multi-tenancy identity management system
US9444800B1 (en) 2012-11-20 2016-09-13 Amazon Technologies, Inc. Virtual communication endpoint services
WO2014093613A1 (en) * 2012-12-12 2014-06-19 Interdigital Patent Holdings, Inc. Independent identity management systems
US20140189799A1 (en) * 2012-12-28 2014-07-03 Gemalto Sa Multi-factor authorization for authorizing a third-party application to use a resource
US8893230B2 (en) 2013-02-22 2014-11-18 Duo Security, Inc. System and method for proxying federated authentication protocols
US9338156B2 (en) 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
US9443073B2 (en) 2013-08-08 2016-09-13 Duo Security, Inc. System and method for verifying status of an authentication device
US9641498B2 (en) * 2013-03-07 2017-05-02 Fiserv, Inc. Single sign-on processing for associated mobile applications
US9015328B2 (en) 2013-03-07 2015-04-21 Fiserv, Inc. Single sign-on processing for associated mobile applications
NL1040084C2 (en) * 2013-03-08 2014-09-10 Authasas B V Emulation of federative authentication.
US20160050234A1 (en) * 2013-03-27 2016-02-18 Interdigital Patent Holdings, Inc. Seamless authentication across multiple entities
JP5662507B2 (ja) * 2013-03-28 2015-01-28 株式会社 ディー・エヌ・エー 認証方法、認証システム、および、サービス提供サーバ
KR101924683B1 (ko) * 2013-04-26 2018-12-03 인터디지탈 패튼 홀딩스, 인크 요구된 인증 보증 레벨을 달성하기 위한 다중요소 인증
US9197408B2 (en) 2013-05-10 2015-11-24 Sap Se Systems and methods for providing a secure data exchange
CN105308605B (zh) * 2013-05-24 2018-09-25 迈克菲公司 对通过第三方的任意应用的安全自动授权访问
CN103324883B (zh) * 2013-06-24 2015-07-29 腾讯科技(深圳)有限公司 一种多媒体播放终端的认证方法、终端、服务器以及系统
EP3014837B1 (en) * 2013-06-24 2019-08-07 Telefonica Digital España, S.L.U. A computer implemented method to improve security in authentication/authorization systems and computer program products thereof
US9053310B2 (en) 2013-08-08 2015-06-09 Duo Security, Inc. System and method for verifying status of an authentication device through a biometric profile
US9608814B2 (en) 2013-09-10 2017-03-28 Duo Security, Inc. System and method for centralized key distribution
US9092302B2 (en) 2013-09-10 2015-07-28 Duo Security, Inc. System and method for determining component version compatibility across a device ecosystem
US9106642B1 (en) * 2013-09-11 2015-08-11 Amazon Technologies, Inc. Synchronizing authentication sessions between applications
US10079820B2 (en) 2013-09-20 2018-09-18 Oracle International Corporation Web-based single sign-on logon manager
US9774448B2 (en) 2013-10-30 2017-09-26 Duo Security, Inc. System and methods for opportunistic cryptographic key management on an electronic device
CN104767721B (zh) * 2014-01-08 2019-03-15 阿尔卡特朗讯公司 向第三方用户提供核心网络服务的方法和网络单元
AU2015219267A1 (en) 2014-02-18 2016-09-22 Secureauth Corporation Fingerprint based authentication for single sign on
WO2015130700A1 (en) * 2014-02-26 2015-09-03 Secureauth Corporation Security object creation, validation, and assertion for single sign on authentication
US9762590B2 (en) 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
WO2015171517A1 (en) * 2014-05-06 2015-11-12 Okta, Inc. Facilitating single sign-on to software applications
CN105227519B (zh) * 2014-06-04 2019-11-26 广州市动景计算机科技有限公司 一种安全访问网页的方法、客户端和服务器
US9769167B2 (en) * 2014-06-18 2017-09-19 Ca, Inc. Authentication and authorization using device-based validation
US10298623B2 (en) * 2014-06-20 2019-05-21 T-Mobile Usa, Inc. Seamless web real-time communication support on mobile appliances
SE538485C2 (en) * 2014-08-08 2016-08-02 Identitrade Ab Method and system for authenticating a user
CN107210916B (zh) * 2014-11-13 2021-08-24 迈克菲有限责任公司 条件登录推广
US9979719B2 (en) 2015-01-06 2018-05-22 Duo Security, Inc. System and method for converting one-time passcodes to app-based authentication
US11310348B2 (en) * 2015-01-30 2022-04-19 Calgary Scientific Inc. Highly scalable, fault tolerant remote access architecture and method of connecting thereto
KR102426417B1 (ko) 2015-02-17 2022-08-01 삼성전자주식회사 인증 처리 방법 및 이를 지원하는 전자 장치
US9734682B2 (en) 2015-03-02 2017-08-15 Enovate Medical, Llc Asset management using an asset tag device
US9386006B1 (en) * 2015-03-02 2016-07-05 Citrix Systems, Inc. Authentication mechanism for domain redirection of a representational state transfer (REST)-compliant client
US20160301690A1 (en) * 2015-04-10 2016-10-13 Enovate Medical, Llc Access control for a hard asset
US9641341B2 (en) 2015-03-31 2017-05-02 Duo Security, Inc. Method for distributed trust authentication
US9930060B2 (en) 2015-06-01 2018-03-27 Duo Security, Inc. Method for enforcing endpoint health standards
US10944738B2 (en) 2015-06-15 2021-03-09 Airwatch, Llc. Single sign-on for managed mobile devices using kerberos
US10812464B2 (en) 2015-06-15 2020-10-20 Airwatch Llc Single sign-on for managed mobile devices
US11057364B2 (en) 2015-06-15 2021-07-06 Airwatch Llc Single sign-on for managed mobile devices
US10171447B2 (en) 2015-06-15 2019-01-01 Airwatch Llc Single sign-on for unmanaged mobile devices
US10382426B2 (en) * 2015-07-02 2019-08-13 Adobe Inc. Authentication context transfer for accessing computing resources via single sign-on with single use access tokens
US9774579B2 (en) 2015-07-27 2017-09-26 Duo Security, Inc. Method for key rotation
SE1551176A1 (en) * 2015-09-14 2017-03-15 Identitrade Ab Method and system for authenticating a user
US10523660B1 (en) 2016-05-13 2019-12-31 MobileIron, Inc. Asserting a mobile identity to users and devices in an enterprise authentication system
EP3455762B1 (en) * 2016-05-13 2022-04-06 Mobileiron, Inc. Unified vpn and identity based authentication to cloud-based services
CN107579948B (zh) 2016-07-05 2022-05-10 华为技术有限公司 一种网络安全的管理系统、方法及装置
CN109831933B (zh) * 2016-08-10 2023-07-04 交互数字专利控股公司 可穿戴和iot设备的功率有效d2d通信的方法、设备和系统
US10320771B2 (en) * 2016-11-30 2019-06-11 Airwatch Llc Single sign-on framework for browser-based applications and native applications
US20180167383A1 (en) * 2016-12-12 2018-06-14 Qualcomm Incorporated Integration of password-less authentication systems with legacy identity federation
CN106878260B (zh) * 2016-12-14 2020-04-03 新华三技术有限公司 单点登录实现方法及装置
ES2947942T3 (es) 2017-01-27 2023-08-24 Ericsson Telefon Ab L M Autenticación secundaria de un equipo de usuario
US10470040B2 (en) 2017-08-27 2019-11-05 Okta, Inc. Secure single sign-on to software applications
US10635792B2 (en) * 2017-08-31 2020-04-28 Sybase 365, Inc. Multi-factor authentication with URL validation
US11614952B2 (en) * 2017-09-13 2023-03-28 Imageteq Technologies, Inc. Systems and methods for providing modular applications with dynamically generated user experience and automatic authentication
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US11367323B1 (en) 2018-01-16 2022-06-21 Secureauth Corporation System and method for secure pair and unpair processing using a dynamic level of assurance (LOA) score
US11303627B2 (en) 2018-05-31 2022-04-12 Oracle International Corporation Single Sign-On enabled OAuth token
US11379263B2 (en) * 2018-08-13 2022-07-05 Ares Technologies, Inc. Systems, devices, and methods for selecting a distributed framework
US10917840B2 (en) * 2018-09-13 2021-02-09 International Business Machines Corporation Selecting a communication service provider according to constraint criteria
CN109359252B (zh) * 2018-10-30 2021-11-30 北京小米移动软件有限公司 浏览器选择方法及装置
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
CN109547460B (zh) * 2018-12-12 2020-12-04 重庆邮电大学 面向身份联盟的多粒度联合身份认证方法
US11323431B2 (en) 2019-01-31 2022-05-03 Citrix Systems, Inc. Secure sign-on using personal authentication tag
CN111431844B (zh) * 2019-04-23 2023-04-18 杭州海康威视数字技术股份有限公司 一种权限认证方法及装置
US11290453B2 (en) 2019-07-12 2022-03-29 Bank Of America Corporation Split-tiered point-to-point inline authentication architecture
US11096059B1 (en) 2019-08-04 2021-08-17 Acceptto Corporation System and method for secure touchless authentication of user paired device, behavior and identity
US10951606B1 (en) * 2019-12-04 2021-03-16 Acceptto Corporation Continuous authentication through orchestration and risk calculation post-authorization system and method
US11463428B2 (en) * 2020-03-30 2022-10-04 Konica Minolta Business Solutions U.S.A., Inc. Method and system of piggybacking user registration with mirrored identities to achieve federation without on-premises identities
US11329998B1 (en) 2020-08-31 2022-05-10 Secureauth Corporation Identification (ID) proofing and risk engine integration system and method

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5655077A (en) * 1994-12-13 1997-08-05 Microsoft Corporation Method and system for authenticating access to heterogeneous computing services
JP3050843B2 (ja) * 1997-02-28 2000-06-12 松下電器産業株式会社 デジタル著作物の著作権保護のための暗号技術利用プロトコルを複数から選択して使用する情報機器
US6219790B1 (en) * 1998-06-19 2001-04-17 Lucent Technologies Inc. Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types
US6687823B1 (en) * 1999-05-05 2004-02-03 Sun Microsystems, Inc. Cryptographic authorization with prioritized and weighted authentication
US7322040B1 (en) * 2001-03-27 2008-01-22 Microsoft Corporation Authentication architecture
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
JP2004054893A (ja) * 2002-05-29 2004-02-19 Canon Inc 画像形成装置の制御方法
US7296235B2 (en) * 2002-10-10 2007-11-13 Sun Microsystems, Inc. Plugin architecture for extending polices
JP4446330B2 (ja) * 2003-03-19 2010-04-07 株式会社リコー 通信装置
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
US8108920B2 (en) * 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access
CN100437551C (zh) * 2003-10-28 2008-11-26 联想(新加坡)私人有限公司 使多个用户设备自动登录的方法和设备
US20050096048A1 (en) * 2003-10-30 2005-05-05 Cellco Partnership Optimized network employing seamless and single sign on capabilities for users accessing data applications on different networks
CN101032142B (zh) * 2003-12-29 2011-05-18 艾利森电话股份有限公司 通过接入网单一登录访问服务网络的装置和方法
BRPI0513195A (pt) * 2004-07-09 2008-04-29 Matsushita Electric Ind Co Ltd sistemas para administrar autenticação e autorização de usuário, e para suportar o usuário, métodos para administrar autenticação e autorização de usuário, para acessar serviços de múltiplas redes, para o controlador de autenticação processar uma mensagem de pedido de autenticação, selecionar a combinação de controladores de autenticação do resultado de busca, autenticar um usuário, e descobrir o caminho a um domìnio tendo relação empresarial com o domìnio doméstico, para o controlador de autorização processar a mensagem de pedido de autorização de serviço, e executar autorização de serviço, para um controlador de autenticação e autorização executar autenticação e autorização de serviço, para proteger o sìmbolo de usuário, e para a autoridade de controle de acesso no domìnio doméstico do usuário prover ao controlador de autenticação uma informação de perfil de assinatura limitada do usuário, para alcançar autenticação e autorização rápidas, e para alcançar registro único para acessar múltiplas redes, e, formatos para informação de capacidade de assinatura, para um sìmbolo de usuário, para um domìnio tendo relação empresarial com o domìnio doméstico de um usuário para pedir afirmação de autenticação e de autorização, e para um terminal de usuário indicar suas credenciais para acessar múltiplas redes em múltiplos domìnios administrativos
JP2006031522A (ja) * 2004-07-20 2006-02-02 Dainippon Printing Co Ltd コンテンツ中継配信サーバ、コンテンツ中継配信コンピュータプログラム
JP4882546B2 (ja) * 2006-06-28 2012-02-22 富士ゼロックス株式会社 情報処理システムおよび制御プログラム
US7966489B2 (en) * 2006-08-01 2011-06-21 Cisco Technology, Inc. Method and apparatus for selecting an appropriate authentication method on a client
TWI470989B (zh) * 2006-08-22 2015-01-21 Interdigital Tech Corp 在應用及網際網路為基礎服務上提供信任單一登入存取方法及裝置
JP2008077217A (ja) * 2006-09-19 2008-04-03 Toshiba Corp 通信システムとその通信方法
US7941831B2 (en) * 2007-02-09 2011-05-10 Microsoft Corporation Dynamic update of authentication information
US8613058B2 (en) * 2007-05-31 2013-12-17 At&T Intellectual Property I, L.P. Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network
US8650616B2 (en) * 2007-12-18 2014-02-11 Oracle International Corporation User definable policy for graduated authentication based on the partial orderings of principals
US8627493B1 (en) * 2008-01-08 2014-01-07 Juniper Networks, Inc. Single sign-on for network applications
JP5078660B2 (ja) * 2008-02-20 2012-11-21 株式会社リコー 認証制御装置、認証制御方法及びプログラム
US20100043065A1 (en) * 2008-08-12 2010-02-18 International Business Machines Corporation Single sign-on for web applications
US8370509B2 (en) * 2009-04-09 2013-02-05 Alcatel Lucent Identity management services provided by network operator
US20110055573A1 (en) * 2009-09-03 2011-03-03 International Business Machines Corporation Supporting flexible use of smart cards with web applications
EP2534810B1 (en) * 2010-02-09 2014-04-16 InterDigital Patent Holdings, Inc. Method and apparatus for trusted federated identity
US8474017B2 (en) * 2010-07-23 2013-06-25 Verizon Patent And Licensing Inc. Identity management and single sign-on in a heterogeneous composite service scenario

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI717728B (zh) * 2018-07-18 2021-02-01 開曼群島商創新先進技術有限公司 身份校驗、登錄方法、裝置及電腦設備

Also Published As

Publication number Publication date
EP2702745B1 (en) 2015-04-08
JP2014519634A (ja) 2014-08-14
TWI589141B (zh) 2017-06-21
EP2702745A1 (en) 2014-03-05
US20130125226A1 (en) 2013-05-16
EP2913976A1 (en) 2015-09-02
CN107070843A (zh) 2017-08-18
CN103503407A (zh) 2014-01-08
CN103503407B (zh) 2016-10-12
EP3297246A1 (en) 2018-03-21
TW201306539A (zh) 2013-02-01
KR20140035918A (ko) 2014-03-24
JP2017112640A (ja) 2017-06-22
EP2913976B1 (en) 2017-08-09
WO2012149384A1 (en) 2012-11-01
JP2018157604A (ja) 2018-10-04

Similar Documents

Publication Publication Date Title
TWI589141B (zh) 具有多sso技術之sso架構的用戶設備
US9185560B2 (en) Identity management on a wireless device
JP6093810B2 (ja) 通信ハンドオフのシナリオのための認証およびセキュアチャネルの設定
US10044713B2 (en) OpenID/local openID security
US20170374070A1 (en) Scalable policy based execution of multi-factor authentication
US20150319156A1 (en) Independent identity management systems
TW201306610A (zh) 驗證協定之自動協商及選擇
WO2016093912A2 (en) Systems and methods for secure device provisioning
WO2012094602A1 (en) Client and server group sso with local openid
TW201225697A (en) Identity management on a wireless device