用于多sso技術(shù)的sso框架的制作方法
【專利摘要】用戶期望可用的安全或用于接入因特網(wǎng)服務(wù)的無縫方式從而在提供憑證中的用戶交互可以被保持最小或甚至完全消除�。單點登錄身份管理概念可以使用戶輔助和網(wǎng)絡(luò)輔助認證能夠用于接入期望的服務(wù)。為了能夠?qū)崿F(xiàn)對于用戶的無縫認證服務(wù)���,可以使用用于管理多認證方法的統(tǒng)一框架和協(xié)議層接口。一種用戶設(shè)備�����,UE��,該UE包括:用戶應(yīng)用(202,204),被配置成與服務(wù)提供方通信以接入服務(wù)�;以及多個網(wǎng)絡(luò)輔助認證模塊(208-216),每個網(wǎng)絡(luò)輔助認證模塊對應(yīng)于不同的網(wǎng)絡(luò)輔助認證協(xié)議�。該UE還包括單點登錄子系統(tǒng)(206),被配置成基于用戶輔助認證信息在UE和/或網(wǎng)絡(luò)處來認證所述UE的用戶并基于一個或多個策略選擇所述網(wǎng)絡(luò)輔助認證模塊中的一個���。
【專利說明】用于多SSO技術(shù)的SSO框架
[0001]相關(guān)申請的交叉引用
[0002]本申請要求2011年4月28日申請的序列號61/480����,137的美國臨時專利申請和2011年10月17日申請的序列號61/548�,156美國臨時專利申請的權(quán)益,申請的內(nèi)容以引用的方式結(jié)合于此��。
【背景技術(shù)】
[0003]由于智能電話接入因特網(wǎng)服務(wù)的使用增加��,移動用戶安全要求隨之增加���。例如銀行服務(wù)��,針對娛樂事件的售票服務(wù)等可能需要完整���、保密保護以及用戶認證。這些要求可能以用戶名、個人識別碼(pin)以及密碼的方式直接對用戶施加認證負擔(dān)��。然而���,用針對每一個的單獨的用戶提供的憑證處理許多賬戶可能潛在地在例如憑證疲勞(fatigue)方面給予用戶過多的認證負擔(dān)��。如果用戶試圖通過使用易于記憶的憑證或跨多個域再使用相同的憑證來簡化處理����,那么用戶可能產(chǎn)生安全弱點�����。
【發(fā)明內(nèi)容】
[0004]本
【發(fā)明內(nèi)容】
用于以簡要的形式介紹各種概念�,其將在下述的【具體實施方式】中進一步被描述。本
【發(fā)明內(nèi)容】
不意圖確立所要求的主題的關(guān)鍵特征或必要特征��,也不意圖用來限制所要求的主題的范圍��。
[0005]在此公開通過統(tǒng)一的用戶接口用于管理針對移動用戶的多認證方法的統(tǒng)一框架�,以及用于不同認證協(xié)議的協(xié)議層接口。統(tǒng)一的框架和協(xié)議層二者能夠?qū)崿F(xiàn)到終端用戶的無縫認證服務(wù)���。此外,還公開了涉及支持多服務(wù)提供方的多接入域的實施方式。
[0006]在此描述的實施方式可以提供全面的單點登錄(SSO)構(gòu)架��,其可以允許到用戶的靈活的和/或無縫的經(jīng)驗��。用戶認證接口可以充當(dāng)用戶/應(yīng)用實體(例如瀏覽器或非瀏覽器應(yīng)用)和SSO子系統(tǒng)之間的邊界�����。在示例實施方式中�,SSO子系統(tǒng)可由移動網(wǎng)絡(luò)運營方(MNO)控制。SSO子系統(tǒng)可以支持各種用戶多因子憑證輸入����,例如生物計量、密碼����、PIN和/或其他用戶憑證輸入。用戶認證接口還可以提供用于改變認證強度等級(strength level)�����。網(wǎng)絡(luò)認證接口可以充當(dāng)SSO子系統(tǒng)和網(wǎng)絡(luò)輔助認證技術(shù)或協(xié)議模塊陣列之間的邊界�����,該陣列可以允許在單個結(jié)構(gòu)框架中提供多個SSO機制。功能結(jié)構(gòu)可以提供當(dāng)與服務(wù)提供方(例如開放ID (OpenID)信賴方)���,認證時����,將用戶輔助認證從網(wǎng)絡(luò)輔助認證(例如SSO網(wǎng)絡(luò)輔助認證)分離開來���。
[0007]在示例實施方式中�,用戶設(shè)備(UE)可以包括被配置成與服務(wù)提供方通信以接入服務(wù)的用戶應(yīng)用���。UE可以進一步包括多個網(wǎng)絡(luò)輔助認證模塊��。每個網(wǎng)絡(luò)輔助認證模塊可以對應(yīng)不同的網(wǎng)絡(luò)輔助認證協(xié)議����。例如網(wǎng)絡(luò)輔助認證模塊可以被配置成執(zhí)行與服務(wù)提供方的網(wǎng)絡(luò)輔助認證以接入服務(wù)�。UE可以進一步包括單點登錄(SSO)子系統(tǒng),SSO子系統(tǒng)被配置成基于在UE和/或網(wǎng)絡(luò)的用戶輔助認證信息認證UE的用戶����。SSO子系統(tǒng)可以進一步操作來選擇多個網(wǎng)絡(luò)輔助認證模塊中的網(wǎng)絡(luò)輔助認證模塊,用于執(zhí)行與服務(wù)提供方的網(wǎng)絡(luò)輔助認證�。SSO子系統(tǒng)進一步可以被配置成執(zhí)行用戶輔助認證和基于一個或多個策略選擇網(wǎng)絡(luò)輔助認證模塊���。在另一示例實施方式中�����,UE可以檢測服務(wù)提供方的一個或多個數(shù)據(jù)字段���。響應(yīng)于檢測數(shù)據(jù)字段��,UE的懇請者(supplicant)可以用對應(yīng)的認證數(shù)據(jù)自動填充(populate)數(shù)據(jù)字段�����。
[0008]在此描述的系統(tǒng)�����、方法或手段的其他特征在下述【具體實施方式】和附圖中提供�����。
【專利附圖】
【附圖說明】
[0009]圖1A是可以在其中實施一個或多個公開的實施方式的示例通信系統(tǒng)的系統(tǒng)圖����;
[0010]圖1B是可在圖1A中示出的通信系統(tǒng)中使用的示例無線發(fā)射/接收單元(WTRU)的系統(tǒng)圖;
[0011]圖1C是可在圖1A中示出的通信系統(tǒng)中使用的示例無線電接入網(wǎng)絡(luò)和示例核心網(wǎng)的系統(tǒng)圖���;
[0012]圖2示出了使用多SSO技術(shù)的架構(gòu)框架的示例實施方式��;
[0013]圖3A和圖3B示出了用于SSO框架架構(gòu)的協(xié)議流的示例實施方式�����;
[0014]圖4示出了使用多SSO協(xié)議的架構(gòu)框架的另一示例實施方式���;
[0015]圖5是根據(jù)實施實施方式使用GBA互通的示例SSO子系統(tǒng)的框圖;
[0016]圖6示出了包括用于方便使用多SSO協(xié)議的可下載部件的架構(gòu)框架示例實施方式���;
[0017]圖7顯示了具有接口部件的SSO系統(tǒng)的示例實施方式的框圖����;
[0018]圖8示出了用于具有懇請者的SSO框架架構(gòu)的協(xié)議流程的示例實施方式��;
[0019]圖9顯示了用于具有本地斷言實體(LAE)的SSO框架架構(gòu)的協(xié)議流的示例實施方式���;
[0020]圖10顯示了用于具有集成的OP的SSO框架架構(gòu)的協(xié)議流的示例實施方式����;
[0021]圖11顯示了用于具有預(yù)取(pre-fetch)的SSO框架架構(gòu)的協(xié)議流程的示例實施方式;
[0022]圖12顯示了用于具有存儲在服務(wù)提供方中的Java小應(yīng)用的SSO框架架構(gòu)的協(xié)議流的示例實施方式�;
[0023]圖13顯示了用于具有緩存的Java小應(yīng)用的SSO框架架構(gòu)的協(xié)議流程的示例實施方式;
[0024]圖14顯示了用于具有聯(lián)機(on-the-fly)供應(yīng)(provision)的SSO框架架構(gòu)的協(xié)議流的示例實施方式�����;以及
[0025]圖15顯示了用于具有集成的工具箱的SSO框架架構(gòu)的協(xié)議流的示例實施方式�?����!揪唧w實施方式】
[0026]用戶��,例如移動用戶����,可能期望用于接入因特網(wǎng)服務(wù)的可用安全和/或無縫方式從而最小化甚至完全消除在憑證供應(yīng)中的用戶交互。在示例實施方式中��,單點登錄(SSO)身份(identity)管理(IdM)可以包括用于提供具有各種特性的SSO實施的方式����,在啟用用于接入期望的服務(wù)的用戶輔助和網(wǎng)絡(luò)輔助認證時,通過該方式可以為用戶提供這樣簡便的使用�����。用戶輔助認證可以涉及使用來自用戶的輸入的認證。這樣的用戶輸入可以是半自動(例如存儲在瀏覽器中)或由用戶輸入��。例如����,用戶輔助認證可以基于用戶知道的參數(shù)(例如用戶名,密碼)和/或用戶的特性(例如動態(tài)簽名����,虹膜掃描,指紋�����,或其他生物計量測量)�。網(wǎng)絡(luò)輔助認證可以涉及基于用戶擁有的實體(例如包括加密密鑰和協(xié)議的Uicc)的用戶認證。例如�����,網(wǎng)絡(luò)輔助認證可以涉及通過網(wǎng)絡(luò)運營方提供的用于網(wǎng)絡(luò)接入的功能重新使用(例如通用引導(dǎo)(bootstrapping)架構(gòu)(GBA)協(xié)議)的用戶的SSO認證��。例如,GBA可以基于秘密密鑰和協(xié)議的重新使用(例如在ncc中)生成SSO認證�����,該協(xié)議可以提供到蜂窩網(wǎng)絡(luò)和/或頂S的接入��。每個用戶輔助認證輸入和網(wǎng)絡(luò)輔助認證輸入可以稱為認證因子�����。SSO實施的各種特性可以包括�����,例如�����,具有無縫認證因子的SS0��,具有單個憑證組的SS0�,以及完整的SS0�����。具有無縫認證因子的SSO可以指在用戶輔助認證成功之后自動進行(例如無用戶交互)的網(wǎng)絡(luò)輔助用戶認證。具有單個憑證組的SSO可以指用戶可以使用單個憑證組(例如用于用戶輔助認證)來與多服務(wù)提供方認證的實施���。在示例實施方式中���,單個憑證組可以在每次用戶接入不同服務(wù)提供方時被提供。在使用完整的SSO實施的示例實施方式中����,用戶可以被認證以接入服務(wù)提供方,并且隨后獲得對其他服務(wù)提供方的接入而無需立即再次認證�����。例如�����,完整的SSO實施可以包括具有無縫認證因子的SS0�����。
[0027]在此描述的用于通過統(tǒng)一的用戶接口管理針對移動用戶的一個或多個認證方法的統(tǒng)一框架����,以及用于不同認證協(xié)議的協(xié)議層接口。統(tǒng)一框架和協(xié)議層二者可以實現(xiàn)到終端用戶的無縫認證服務(wù)。此外��,還描述了涉及支持多服務(wù)提供方的多接入域的實施方式�。
[0028]在此描述的實施方式可以提供全面的SSO架構(gòu),其可以允許到用戶的靈活的和/或無縫的經(jīng)驗�����。用戶認證接口可以充當(dāng)用戶/應(yīng)用實體(例如瀏覽器或非瀏覽器應(yīng)用)和SSO子系統(tǒng)之間的邊界�����。在示例實施方式中�����,SSO子系統(tǒng)可由移動網(wǎng)絡(luò)運營方(MNO)控制�。SSO子系統(tǒng)可以支持各種用戶多因子憑證輸入�,例如生物計量,密碼�����,PIN����,和/或其他用戶憑證輸入��。用戶認證接口還可以提供改變認證強度等級�。網(wǎng)絡(luò)認證接口可以充當(dāng)SSO子系統(tǒng)和網(wǎng)絡(luò)輔助認證技術(shù)或協(xié)議模塊陣列之間的邊界�����,該陣列可以允許在單個結(jié)構(gòu)框架中提供多個SSO機制���。功能結(jié)構(gòu)可以提供將用戶輔助認證從網(wǎng)絡(luò)輔助認證(例如SSO網(wǎng)絡(luò)輔助認證)分離開來��。
[0029]SSO子系統(tǒng)可以提供用戶憑證的存儲和/或處理�����,其中這樣的存儲可以在或不在可信計算環(huán)境(例如UICC�����,智能卡�,或其他安全可信(trusted)環(huán)境)上�,并可以提供多個安全等級。在可信計算環(huán)境上包括的存儲可以支持用戶憑證的重新使用�。SSO子系統(tǒng)充當(dāng)在確定執(zhí)行的安全等級和決定使用的SSO協(xié)議中,執(zhí)行外部利益相關(guān)者(stakeholder)(例如MN0)的功能和/或策略的代理�。從實施的立場����,可能不劃分任何SSO功能位于安全可信環(huán)境(例如UICC,智能卡�����,或其他安全可信環(huán)境)上或下���。
[0030]示例實施方式提供單獨的����、隔離(isolated)的SSO客戶端����。在示例實施方式中,每個SSO客戶端服務(wù)不同的服務(wù)提供方����,但在某種程度上同時允許多可用連接協(xié)議的基于策略的管理和/或由相同提供方提供的服務(wù)��。
[0031]另一示例實施可以允許多個本地斷言實體(LAE)�。LAE可以指位于UE上的功能實體����。例如�,LAE可以提供關(guān)于用戶身份的可信斷言和/或到遠程實體的認證。在示例實施方式中��,本地OP可以指用于向RP提供開放ID斷言的LAE的實例���。每個LAE可以在MCC上的接入技術(shù)特定域中實施����,并且每個可以專用于一個隔離的域��。相同接入技術(shù)可以在不同LAE之間復(fù)用�,或不同接入技術(shù)可以由LAE —起使用。依據(jù)該實施��,LAE和SSO客戶端之間的關(guān)系可以是一對一或其中一個SSO可以控制多個LAE或由多個LAE服務(wù)�����。[0032]在此描述的實施方式可以便于在無線設(shè)備中認證協(xié)議的執(zhí)行�。例如,懇請者可以用來便于執(zhí)行用于無線設(shè)備和網(wǎng)絡(luò)實體的開放ID認證處理���,網(wǎng)絡(luò)實體可以例如是信賴方(RP)或開放ID身份提供方服務(wù)器(0P)���。根據(jù)示例實施方式�����,懇請者可以被實施為Java小應(yīng)用(applet)��。懇請者可以實現(xiàn)用于認證方案(例如開放ID認證)的網(wǎng)絡(luò)輔助認證機制����,非瀏覽器應(yīng)用或瀏覽器應(yīng)用原本不支持該認證機制�。例如,懇請者可以與單點登錄(SSO)子系統(tǒng)對接���,而SSO子系統(tǒng)對接例如GBA��、AKA����、SIP摘要(Digest)以及EAP-SM的網(wǎng)絡(luò)輔助認證協(xié)議���。給定在移動設(shè)備(例如智能電話平臺)上可用的大范圍的平臺處理器架構(gòu)��、操作系統(tǒng)以及軟件�,懇請者可以提供到SSO子系統(tǒng)的可以執(zhí)行SSO認證功能的網(wǎng)絡(luò)認證接口��。懇請者�,例如,可以當(dāng)與網(wǎng)絡(luò)和/或接入層認證模塊(例如GBA模塊���,UICC)互操作時���,使應(yīng)用和/或瀏覽器便于自動和/或無縫認證。通過從RP和/或OP下載懇請者部件(piece)����,例如,懇請者可以在開放ID認證協(xié)議期間無縫地提供設(shè)備特定軟件�����。
[0033]在此描述的實施方式可以與例如開放ID的聯(lián)合認證協(xié)議一同工作���,并且還可以例如與LAE—同工作�����。例如���,開放ID可以綁定到網(wǎng)絡(luò)輔助認證����。在此描述的實施方式可以用來確定瀏覽器和/或非瀏覽器應(yīng)用如何與接入層(例如UICC/非UICC)網(wǎng)絡(luò)輔助認證機制通信�����。例如���,懇請者和SSO子系統(tǒng)可以提供與瀏覽器和/或非瀏覽器應(yīng)用和網(wǎng)絡(luò)輔助認證機制的自動和/或無縫操作��。懇請者可以展示到SSO子系統(tǒng)的統(tǒng)一接口并代表用戶執(zhí)行用于各種認證協(xié)議(GBA���、AKA、EAP-SIM)的自動和/或無縫認證��?�?梢韵螺d的應(yīng)用或組件���,例如簽名的Java小應(yīng)用�,可以被下載(例如從RP和/或0P),并可以與不同非應(yīng)用層和/或接入層認證協(xié)議一同工作��。組件可以以統(tǒng)一的方式對接到SSO子系統(tǒng)和瀏覽器/應(yīng)用�����。
[0034]圖1A是可以在其中實施一個或多個公開的實施方式的示例通信系統(tǒng)100的示意圖���。通信系統(tǒng)100可以是多接入系統(tǒng),向多個無線用戶提供內(nèi)容��,例如語音����、數(shù)據(jù)、視頻���、消息發(fā)送�����、廣播等等����。通信系統(tǒng)100可以使多無線用戶通過系統(tǒng)資源的共享訪問所述內(nèi)容,所述系統(tǒng)資源包括無線帶寬����。例如,通信系統(tǒng)100可使用一種或多種信道接入方法�����,例如碼分多址(CDMA)�、時分多址(TDMA)、頻分多址(FDMA)���、正交 FDMA( OFDMA)����、單載波 FDMA( SC-FDMA)
坐坐寸寸o
[0035]如圖1A所示���,通信系統(tǒng)100可以包括無線發(fā)射/接收單元(WTRU) 102a�、102b�����、102c、102d����,無線電接入網(wǎng)(RAN) 104,核心網(wǎng)106��,公共交換電話網(wǎng)(PSTN) 108��,因特網(wǎng)110和其他網(wǎng)絡(luò)112���,不過應(yīng)該理解的是公開的實施方式考慮到了任何數(shù)量的WTRU、基站�、網(wǎng)絡(luò)和/或網(wǎng)絡(luò)元件。WTRU102a�、102b、102c�、102d中每一個可以是配置為在無線環(huán)境中進行操作和/或通信的任何類型設(shè)備。作為示例�,WTRU102a、102b���、102c����、102d可以被配置為傳送和/或接收無線信號,并且可以包括用戶設(shè)備(UE)��、移動站�����、固定或移動用戶單元�、尋呼機、蜂窩電話�、個人數(shù)字助理(PDA)、智能電話���、筆記本電腦�����、上網(wǎng)本����、個人計算機�、無線傳感器、消費性電子產(chǎn)品等等�����。
[0036]通彳目系統(tǒng)100還可以包括基站114a和基站114b?;?14a、114b中每 Iv可以是配置為無線連接WTRU102a�、102b、102c�、102d中至少一個的任何類型設(shè)備,以便于接入一個或多個通信網(wǎng)絡(luò)����,例如核心網(wǎng)106、因特網(wǎng)110和/或網(wǎng)絡(luò)112���。作為示例,基站114a����、114b可以是基站收發(fā)信臺(BTS)、節(jié)點B�����、e節(jié)點B�����、家庭節(jié)點B、家庭e節(jié)點B�����、站點控制器��、接入點(AP)���、無線路由器等等����。雖然基站114a�����、114b被描述為單獨的元件���,但是應(yīng)該理解的是基站114a���、114b可以包括任何數(shù)量互連的基站和/或網(wǎng)絡(luò)元件。[0037]基站114a可以是RAN104的一部分��,所述RAN104還可包括其他基站和/或網(wǎng)絡(luò)元件(未示出)��,例如基站控制器(BSC)、無線電網(wǎng)絡(luò)控制器(RNC)��、中繼節(jié)點等等�。基站114a和/或基站114b可被配置成在特定地理區(qū)域內(nèi)傳送和/或接收無線信號����,所述特定地理區(qū)域可被稱作小區(qū)(未示出)。所述小區(qū)可進一步劃分為小區(qū)扇區(qū)�。例如,與基站114a相關(guān)聯(lián)的小區(qū)可劃分為三個扇區(qū)�。因而,在一個實施方式中���,基站114a可包括三個收發(fā)信機�����,SP小區(qū)的每個扇區(qū)使用一個收發(fā)信機。在另一個實施方式中���,基站114a可使用多輸入多輸出(MMO)技術(shù)�����,并且因此可使用多個收發(fā)信機用于小區(qū)的每個扇區(qū)��。
[0038]基站114a����、114b 可通過空中接口 116 與 WTRU102a、102b��、102c�����、102d 中一個或多個進行通信�����,所述空中接口 116可以是任何適當(dāng)?shù)臒o線通信鏈路(例如�,射頻(RF),微波����,紅外線(IR),紫外線(UV)��,可見光等等)��。空中接口 116可使用任何適當(dāng)?shù)臒o線電接入技術(shù)(RAT)進行建立�。
[0039]更具體地說,如上所述�,通信系統(tǒng)100可以是多接入系統(tǒng),并且可以使用一種或多種信道接入方案��,例如CDMA����、TDMA、FDMA��、OFDMA��、SC-FDMA等等��。例如����,RAN104中的基站114a和WTRU102a、102b���、102c可以實施無線電技術(shù),例如通用移動電信系統(tǒng)(UMTS)陸地?zé)o線電接入(UTRA)�,其可以使用寬帶CDMA (WCDMA)建立空中接口 116����。WCDMA可以包括通信協(xié)議�����,例如高速分組接入(HSPA)和/或演進的HSPA (HSPA+)���。HSPA可以包括高速下行鏈路分組接入(HSDPA)和/或高速上行鏈路分組接入(HSUPA)�����。
[0040]在另一個實施方式中�,基站114a和WTRU102a���、102b�、102c可實施無線電技術(shù)��,例如演進UMTS陸地?zé)o線電接入(E-UTRA)����,其可以使用長期演進(LTE)和/或LTE高級(LTE-A)來建立空中接口 116。
[0041]在其他實施方式中,基站114a和WTRU102a����、102b、102c可實施無線電技術(shù)�����,例如IEEE802.16 (即�,全球互通微波存取(WiMAX)),CDMA2000, CDMA20001X, CDMA2000EV-D0��,臨時標(biāo)準2000 (IS-2000)��,臨時標(biāo)準95 (IS-95)��,臨時標(biāo)準856 (IS-856)���,全球移動通信系統(tǒng)(GSM)��,GSM演進的增強型數(shù)據(jù)速率(EDGE)�����,GSM EDGE (GERAN)等等����。
[0042]圖1A中的基站114b可以是無線路由器�、家庭節(jié)點B、家庭e節(jié)點B或接入點�����,例如����,并且可以使用任何適當(dāng)?shù)腞AT來便于局部區(qū)域中的無線連接,例如商業(yè)處所�、住宅、車輛�����、校園等等�����。在一個實施方式中���,基站11牝和訂冊102(:��、102(1可以實施例如IEEE802.11的無線電技術(shù)來建立無線局域網(wǎng)(WLAN)���。在另一個實施方式中��,基站114b和WTRU102c����、102d可以實施例如IEEE802.15的無線技術(shù)來建立無線個域網(wǎng)(WPAN)��。仍然在另一個實施方式中���,基站 114b 和 WTRU102c�����、102d 可以使用基于蜂窩的 RAT (例如��,WCDMA, CDMA2000, GSM, LTE,LTE-A等)來建立微微小區(qū)或毫微微小區(qū)�����。如圖1A所示�,基站114b可以具有到因特網(wǎng)110的直接連接���。因此�,基站114b可以不必須經(jīng)由核心網(wǎng)106接入到因特網(wǎng)110。
[0043]RAN104可以與核心網(wǎng)106通信�����,所述核心網(wǎng)106可以是配置為向WTRU102a����、102b�、102c、102d中一個或多個提供語音����、數(shù)據(jù)、應(yīng)用和/或通過網(wǎng)際協(xié)議的語音(VoIP)服務(wù)的任何類型網(wǎng)絡(luò)���。例如����,核心網(wǎng)106可以提供呼叫控制�、計費服務(wù)、基于移動位置的服務(wù)����、預(yù)付費呼叫���、因特網(wǎng)連接、視頻分配等����,和/或執(zhí)行高級安全功能,例如用戶認證����。雖然圖1A中未示出,應(yīng)該理解的是RAN104和/或核心網(wǎng)106可以與使用和RAN104相同的RAT或不同RAT的其他RAN進行直接或間接的通信���。例如����,除了連接到正在使用E-UTRA無線電技術(shù)的RAN104上之外�����,核心網(wǎng)106還可以與使用GSM無線電技術(shù)的另一個RAN (未示出)通信��。[0044]核心網(wǎng)106還可以充當(dāng)WTRU102a�����、102b、102c�、102d接入到PSTN108、因特網(wǎng)110和/或其他網(wǎng)絡(luò)112的網(wǎng)關(guān)�。PSTNl08可以包括提供普通老式電話服務(wù)(POTS )的電路交換電話網(wǎng)。因特網(wǎng)110可以包括互聯(lián)計算機網(wǎng)絡(luò)和使用公共通信協(xié)議的設(shè)備的全球系統(tǒng)�����,所述公共通信協(xié)議例如有TCP/IP互聯(lián)網(wǎng)協(xié)議組中的傳輸控制協(xié)議(TCP)�����、用戶數(shù)據(jù)報協(xié)議(UDP)和網(wǎng)際協(xié)議(IP)��。網(wǎng)絡(luò)112可以包括被其他服務(wù)提供商擁有和/或操作的有線或無線的通信網(wǎng)絡(luò)����。例如�,網(wǎng)絡(luò)112可以包括連接到一個或多個RAN中的另一個核心網(wǎng),所述RAN可以使用和RAN104相同的RAT或不同的MT��。
[0045]通信系統(tǒng)100中的WTRU102a�、102b�����、102c��、102d的某些或所有可以包括多模式能力���,即WTRU102a、102b���、102c�、102d可以包括在不同無線鏈路上與不同無線網(wǎng)絡(luò)進行通信的多個收發(fā)信機��。例如�����,圖1A中示出的WTRU102C可被配置成與基站114a通信��,所述基站114a可以使用基于蜂窩的無線電技術(shù)���,以及與基站114b通信��,所述基站114b可以使用IEEE802無線電技術(shù)����。
[0046]圖1B是示例的WTRU102的系統(tǒng)圖。如圖1B所示���,WTRU102可以包括處理器118�����、收發(fā)信機120�����、發(fā)射/接收元件122、揚聲器/麥克風(fēng)124����、鍵盤126、顯示器/觸摸板128����、不可移動存儲器130、可移動存儲器132��,電源134�、全球定位系統(tǒng)(GPS)芯片組136和其他外圍設(shè)備138���。應(yīng)該理解的是WTRU102可以在保持與實施方式一致時,包括前述元件的任何子組合��。
[0047]處理器118可以是通用處理器��、專用處理器�����、常規(guī)處理器����、數(shù)字信號處理器(DSP)、多個微處理器����、一個或多個與DSP核相關(guān)聯(lián)的微處理器、控制器����、微控制器、專用集成電路(ASIC)�����、場可編程門陣列(FPGA)電路、任何其他類型的集成電路(1C)����、狀態(tài)機等等。處理器118可執(zhí)行信號編碼�、數(shù)據(jù)處理、功率控制��、輸入/輸出處理和/或使WTRU102能夠在無線環(huán)境中進行操作的任何其他功能�。處理器118可以耦合到收發(fā)信機120,所述收發(fā)信機120可耦合到發(fā)射/接收元件122�。雖然圖1B示出了處理器118和收發(fā)信機120是單獨的部件,但是應(yīng)該理解的是處理器118和收發(fā)信機120可以一起集成在在電子封裝或芯片中���。
[0048]發(fā)射/接收元件122可以被配置成通過空中接口 116將信號傳送到基站(例如�,基站114a)�����,或從該基站接收信號�����。例如�,在一個實施方式中,發(fā)射/接收元件122可以是被配置為傳送和/或接收RF信號的天線��。在另一個實施方式中���,發(fā)射/接收元件122可以是被配置為傳送和/或接收例如IR��、UV或可見光信號的發(fā)射器/檢測器����。仍然在另一個實施方式中��,發(fā)射/接收元件122可以被配置為傳送和接收RF和光信號兩者�。應(yīng)該理解的是發(fā)射/接收元件122可以被配置為傳送和/或接收無線信號的任何組合。
[0049]此外���,雖然發(fā)射/接收元件122在圖1B中示出為單獨的元件�����,但是WTRU102可以包括任意數(shù)量的發(fā)射/接收元件122�。更具體地說�����,WTRU102可以使用MMO技術(shù)。因此��,在一個實施方式中�����,WTRU102可以包括通過空中接口 116傳送和接收無線信號的兩個或更多個發(fā)射/接收元件122 (例如���,多個天線)�����。
[0050]收發(fā)信機120可以被配置為調(diào)制要由發(fā)射/接收元件122傳送的信號���,和解調(diào)由發(fā)射/接收元件122接收的信號。如上所述�,WTRU102可以具有多模式能力。因此�����,收發(fā)信機120可以包括使WTRU102能夠經(jīng)由多個RAT通信的多個收發(fā)信機����,所述多個RAT例如有UTRA 和 IEEE802.11。
[0051]WTRU102的處理器118可以耦合到下述設(shè)備�����,并且可以從下述設(shè)備接收用戶輸入數(shù)據(jù)�,揚聲器/麥克風(fēng)124、鍵盤126和/或顯示器/觸摸板128 (例如�,液晶顯示器(IXD)顯示單元或有機發(fā)光二極管(OLED)顯示單元)。處理器118還可以輸出用戶數(shù)據(jù)到揚聲器/麥克風(fēng)124����、鍵盤126和/或顯示/觸摸板128。此外��,處理器118可以從任何類型的適當(dāng)?shù)拇鎯ζ髦性L問信息���,并且可以存儲數(shù)據(jù)到所述存儲器中���,例如不可移動存儲器130和/或可移動存儲器132。不可移動存儲器130可以包括隨機存取存儲器(RAM)�、只讀存儲器(ROM)、硬盤或任何其他類型的存儲器設(shè)備�?��?梢苿哟鎯ζ?32可以包括用戶身份模塊(SIM)卡、記憶棒��、安全數(shù)字(SD)存儲卡等等�����。在其他的實施方式中���,處理器118可以從物理上沒有位于WTRU102上(例如在服務(wù)器或家用計算機(未示出)上)的存儲器中訪問信息�,并且可以將數(shù)據(jù)存儲在所述存儲器中�。
[0052]處理器118可以從電源134中接收電能,并且可以被配置為分配和/或控制到WTRU102中的其他組件的電能���。電源134可以是給WTRU102供電的任何適當(dāng)?shù)脑O(shè)備�����。例如�,電源134可以包括一個或多個干電池組(例如���,鎳鎘(NiCd)���、鎳鋅(NiZn)、鎳金屬氫化物(NiMH)�����、鋰離子(L1-1on)�����,等等)��,太陽能電池��,燃料電池等等��。
[0053]處理器118還可以耦合到GPS芯片組136�,所述GPS芯片組136可以被配置為提供關(guān)于WTRU102當(dāng)前位置的位置信息(例如,經(jīng)度和緯度)�。除來自GPS芯片組136的信息或作為替代,WTRU102可以通過空中接口 116上從基站(例如�����,基站114a����、114b)中接收位置信息���,和/或基于從兩個或多個鄰近基站接收的信號定時來確定其位置。應(yīng)該理解的是WTRU102在保持實施方式的一致性時����,可以通過任何適當(dāng)?shù)奈恢么_定方法獲得位置信息。
[0054]處理器118可以進一步耦合到其他外圍設(shè)備138����,所述外圍設(shè)備138可以包括一個或多個提供附加特性、功能和/或有線或無線連接的軟件和/或硬件模塊����。例如,外圍設(shè)備138可以包括加速計�����、電子羅盤�、衛(wèi)星收發(fā)信機、數(shù)字相機(用于圖像或視頻)�、通用串行總線(USB)端口、振動設(shè)備、電視收發(fā)器�����、無繩耳機���、藍牙?模塊、調(diào)頻(FM)無線電單元���、數(shù)字音樂播放器����、媒體播放器���、視頻游戲機單元���、因特網(wǎng)瀏覽器等等。
[0055]圖1C是根據(jù)實施方式的RAN104和核心網(wǎng)106的系統(tǒng)圖��。如上所述�,RAN104可使用E-UTRA無線電技術(shù)通過空中接口 116與町冊102&、10213����、102(3通信����。RAN104還可與核心網(wǎng)106通信��。
[0056]RAN104可包括e節(jié)點B140a���、140b��、140c�����,但是應(yīng)該理解的是在與實施方式保持一致的同時��,RAN104可包括任意數(shù)量的e節(jié)點B���。e節(jié)點B140a、140b���、140c每一個可包括用于通過空中接口 116與WTRU102a���、102b、102c通信的一個或多個收發(fā)信機。在一個實施方式中�����,e節(jié)點B140a���、140b�、140c可實施MIMO技術(shù)����。因而����,e節(jié)點B140a,例如�,可使用多個天線將無線信號傳送到WTRU102a,以及從WTRU102a接收無線信號����。
[0057]每個e節(jié)點B140a、140b���、140c都可以與特定小區(qū)(未示出)關(guān)聯(lián)���,并且可被配置為處理無線資源管理決策����、切換決策����、上行鏈路和/或下行鏈路中的用戶調(diào)度,等等����。如圖1C中所示,e節(jié)點B140a���、140b����、140c可通過X2接口彼此通信��。
[0058]圖1C中示出的核心網(wǎng)106可包括移動性管理網(wǎng)關(guān)(MME) 142�����,服務(wù)網(wǎng)關(guān)144�����,和分組數(shù)據(jù)網(wǎng)(PDN)網(wǎng)關(guān)146。雖然前述的每個元件都被描述為核心網(wǎng)106的一部分���,但是應(yīng)該理解的是這些元件中的任何一個都可由除核心網(wǎng)運營商之外的實體擁有和/或操作�。
[0059]MME142可經(jīng)由SI接口連接到RAN104中的每一個e節(jié)點B142a�����、142b���、142c���,并且可用作控制節(jié)點�����。例如���,MME142可負責(zé)認證WTRU102a���、102b��、102c的用戶�、承載激活/去激活�、在WTRU102a、102b�、102c的初始附著期間選擇特定服務(wù)網(wǎng)關(guān),等等��。MME142還可提供控制平面功能�,用于在RAN104和使用其它無線電技術(shù)(例如GSM或WCDMA)的其它RAN (未示出)之間進行切換。
[0060]服務(wù)網(wǎng)關(guān)144可經(jīng)由SI接口連接到RAN104中的每一個e節(jié)點B140a�、140b、140c���。服務(wù)網(wǎng)關(guān)144通?�?陕酚珊娃D(zhuǎn)發(fā)到/來自WTRU102a�、102b�����、102c的用戶數(shù)據(jù)分組�����。服務(wù)網(wǎng)關(guān)144還可以執(zhí)行其它功能,例如在e節(jié)點B間切換期間錨定用戶平面�����,在下行鏈路數(shù)據(jù)可用于WTRU102a�����、102b�、102c時觸發(fā)尋呼,管理和存儲WTRU102a�、102b、102c的上下文(context),等等���。
[0061]服務(wù)網(wǎng)關(guān)144還可連接到PDN網(wǎng)關(guān)146���,所述PDN網(wǎng)關(guān)146可向WTRU102a、102b����、102c提供對例如因特網(wǎng)110的分組交換網(wǎng)的接入����,以便于WTRU102a��、102b�、102c和IP使能
設(shè)備間的通信���。
[0062]核心網(wǎng)106可便于與其它網(wǎng)絡(luò)的通信����。例如��,核心網(wǎng)106可向WTRU102a����、102b、102c提供對例如PSTN108的電路交換網(wǎng)的接入�����,以便于WTRU102a��、102b�����、102c和傳統(tǒng)陸線通信設(shè)備間的通信����。例如��,核心網(wǎng)106可包括或可與用作核心網(wǎng)106和PSTN108之間的接口的IP網(wǎng)關(guān)(例如��,IP多媒體子系統(tǒng)(MS)服務(wù)器)通信���。此外,核心網(wǎng)106還可向WTRU102a��、102b���、102c提供對網(wǎng)絡(luò)112的接入�,所述網(wǎng)絡(luò)112可包括由其它服務(wù)提供商擁有和/或操作的其它有線或無線網(wǎng)絡(luò)���。
[0063]圖2不出了用于使用多SSO協(xié)議和/或模塊的架構(gòu)框架的一個實施方式�。如圖2所示�����,SSO子系統(tǒng)206可以與被配置成從服務(wù)提供方接入服務(wù)的應(yīng)用(例如瀏覽器應(yīng)用202和/或非瀏覽器應(yīng)用204)通信�����。應(yīng)用(瀏覽器應(yīng)用202和/或非瀏覽器應(yīng)用204)可以是用戶與其交互的應(yīng)用���。使用瀏覽器應(yīng)用202和/或非瀏覽器應(yīng)用204���,用戶可以接入各種服務(wù)(例如網(wǎng)站,銀行服務(wù)����,針對娛樂事件的售票服務(wù),和/或由服務(wù)提供方提供的其他服務(wù))���。
[0064]SSO子系統(tǒng)206可以充當(dāng)用于SSO過程的集線器(hub)��。在示例實施方式中��,SSO子系統(tǒng)206可以是運營方控制的��。SSO子系統(tǒng)206可以通過執(zhí)行用戶認證(例如用戶輔助或網(wǎng)絡(luò)輔助)充當(dāng)網(wǎng)絡(luò)網(wǎng)絡(luò)代理����。此外����,SSO子系統(tǒng)206可以執(zhí)行后繼產(chǎn)生和/或提交簽名的或可信賴地用戶身份斷言和/或認證斷言到服務(wù)提供方和/或身份提供方以用于網(wǎng)絡(luò)輔助認證���。SSO子系統(tǒng)206的一些功能,例如安全存儲和處理�,可以在安全可信環(huán)境218中執(zhí)行。
[0065]圖2所示的構(gòu)架可以將用戶輔助認證經(jīng)歷與個體自足完備(self-contained)的網(wǎng)絡(luò)輔助認證技術(shù)(例如也稱為SSO技術(shù)或SSO協(xié)議或SSO代理)合并���,其中的一些可以使用網(wǎng)絡(luò)輔助認證來執(zhí)行用于認證和密鑰交換的引導(dǎo)機制�。例如���,SSO子系統(tǒng)206可以與多個認證模塊208���,210,212���,214�����,和/或216通信����,每個能夠使用不同網(wǎng)絡(luò)輔助認證協(xié)議執(zhí)行與服務(wù)提供方的網(wǎng)絡(luò)輔助認證。這些網(wǎng)絡(luò)輔助認證模塊208�,210,212���,214,和/或216可以用來基于預(yù)先安裝的憑證��,例如數(shù)字證書��,共享主秘密���,或任何其他使用不同被支持的認證方案的注冊方法�,提供到期望服務(wù)的安全用戶接入�。根據(jù)示例實施方式,認證模塊可以包括開放ID/SIP摘要模塊208�,另一開放ID模塊210,開放ID/GBA模塊212���,開放ID/ISM模塊214����,和/或開放ID/AKA模塊216���。雖然如圖2所示的每個網(wǎng)絡(luò)輔助認證模塊實施開放ID網(wǎng)絡(luò)輔助認證協(xié)議�,但其他類型的網(wǎng)絡(luò)輔助認證協(xié)議也可以或可替換地被實施。
[0066]網(wǎng)絡(luò)輔助認證模塊的一個或多個可以由給定服務(wù)提供方和/或身份提供方支持����。每個網(wǎng)絡(luò)輔助認證模塊可以被配置成通過實施其對應(yīng)認證協(xié)議,例如通過使用認證算法����,來執(zhí)行網(wǎng)絡(luò)輔助認證。開放ID/GBA模塊212�,開放ID/ISM模塊214,和/或開放ID/AKA模塊216可以與安全可信環(huán)境218通信��。安全可信環(huán)境218可以包括例如UICC�����,智能卡�����,或其他安全可信環(huán)境�。在示例實施方式中,安全可信環(huán)境218可以是UE上基于硬件的實體�,并可以負責(zé)安全存儲敏感數(shù)據(jù)(例如加密密鑰��,訂戶憑證)和執(zhí)行敏感功能的安全處理(例如加密計算)�。
[0067]圖2所示的組件的一個或多個可以駐在移動通信設(shè)備中���。雖然圖2示出所描述的構(gòu)架中的功能性模塊���,但圖2不意味著要求任何非應(yīng)用功能在或不在安全可信環(huán)境218上�。在此更詳細地描述組件及其交互。雖然參照開放ID協(xié)議描述認證����,但相同的概念可以應(yīng)用于其他認證協(xié)議,例如自由聯(lián)盟�。
[0068]用戶可以使用應(yīng)用(例如瀏覽器應(yīng)用202和/或非瀏覽器應(yīng)用204)來完成到服務(wù)提供方(例如信賴方(RP))(例如網(wǎng)絡(luò)應(yīng)用服務(wù)提供方)的初始訪問。服務(wù)提供方(例如RP)可以接收用戶標(biāo)識(identification),其例如可以是開放ID用戶標(biāo)識符(identifier)�����。在開放ID的情況下�����,在RP發(fā)起的發(fā)現(xiàn)之后用戶可以被重定向(例如發(fā)現(xiàn)機制可以使用開放ID提供方(OP)身份來確定OP的因特網(wǎng)地址)到基于網(wǎng)絡(luò)的身份管理實體的���,其例如可以是0P�����。在示例實施方式中����,OP身份可以用來向RP提供OP的因特網(wǎng)地址。接著可以開始認證過程��。
[0069]SSO子系統(tǒng)206可以提供用于實現(xiàn)與應(yīng)用的通信的用戶認證接口(用戶在應(yīng)用側(cè)與該應(yīng)用交互)以及用于網(wǎng)絡(luò)輔助認證模塊208���,210�,212�����,214���,和/或216的網(wǎng)絡(luò)認證接口��。因此不同的應(yīng)用(例如瀏覽器應(yīng)用202和/或非瀏覽器應(yīng)用204)可以基于用戶輸入提供輸入到SSO子系統(tǒng)206�����,或SSO子系統(tǒng)可以向用戶展示認證屏幕來實現(xiàn)與服務(wù)提供方的用戶的網(wǎng)絡(luò)輔助認證和/或與UE的本地用戶輔助認證����。不同的網(wǎng)絡(luò)輔助認證模塊210,212����,214,和/或216 (例如SSO協(xié)議)可以被設(shè)計成與SSO子系統(tǒng)206交互��。策略管理還可以由SSO子系統(tǒng)206執(zhí)行�����。
[0070]SSO子系統(tǒng)206認證結(jié)構(gòu)可以具有兩種類型的用戶認證���,用戶輔助認證和網(wǎng)絡(luò)輔助認證。這類型二者可被分離使得一個獨立于另一個發(fā)生�����,但二者相互綁定(例如經(jīng)由SSO子系統(tǒng)產(chǎn)生的斷言)并且互相交互(例如用戶輔助認證可以觸發(fā)網(wǎng)絡(luò)輔助認證或反之亦然)���。用戶的用戶輔助認證和從用戶供應(yīng)憑證到SSO子系統(tǒng)206 (用于用戶輔助認證)可以獨立地發(fā)生并可以從網(wǎng)絡(luò)輔助認證協(xié)議解耦合��。用戶可以從網(wǎng)絡(luò)輔助認證協(xié)議隔離(shield)��。與單個用戶憑證組可以獨立于服務(wù)提供方的事實一起��,這種透明可以導(dǎo)致針對用戶的無縫SSO經(jīng)驗�����。而且��,兩種認證類型可以提供通過其憑證�����,是它的生物計量�����,密碼�,pin,令牌��,另一用戶憑證�����,或它們的組合,用戶要求的身份與ncc中保有的訂戶憑證或設(shè)備身份�,例如MSI或MPI,的綁定���。與兩種類型的認證的架構(gòu)解耦合一起�,這樣的綁定可以通過充當(dāng)中間層的SSO子系統(tǒng)來實現(xiàn)�。SSO子系統(tǒng)可以通過自身或如在此所述的通過到較低層認證協(xié)議之一的調(diào)用(call)來執(zhí)行加密綁定。
[0071]SSO子系統(tǒng)206可以起到作為外部利益相關(guān)者(stakeholder)(例如MN0)的網(wǎng)絡(luò)輔助認證功能的代理的作用�����,并向外部利益相關(guān)者提供關(guān)于被供應(yīng)的策略功能的信息���。當(dāng)用戶發(fā)起到服務(wù)的接入(例如通過在web瀏覽器上鍵入URL或啟動應(yīng)用)�,可以發(fā)起用戶輔助認證過程����。例如�����,用戶可以被請求來輸入用戶憑證����,例如生物計量憑證和/或例如PIN的密碼���。在示例實施方式中,移動通信設(shè)備可以具有接入設(shè)備本身的PIN特征����,其還可以是用戶憑證信息的一部分。例如��,UE的用戶接口可以通過特定的接口向SSO子系統(tǒng)206傳達用戶輔助認證憑證信息�����,被接入的服務(wù)(例如以web URL或激活的應(yīng)用的形式)�,和/或其他與將被使用的服務(wù)相關(guān)的信息。這樣的傳達可以基于提供的信息和供應(yīng)的策略來激活SSO子系統(tǒng)206內(nèi)的功能來認證用戶���。例如來自用戶輔助認證的參數(shù)可以被提供到網(wǎng)絡(luò)輔助認證協(xié)議�����。這樣的參數(shù)可以包括�����,例如用戶輔助認證的信任等級�����,用戶輔助認證的結(jié)果(例如通過或失敗)��,以及用戶指派認證的時間�。SSO子系統(tǒng)206可以運行策略功能,其可以包括各種認證相關(guān)的參數(shù)���,例如被認為足夠用于被接入的服務(wù)的認證的信任(確信)等級和認證最少的新鮮度(freshness)(例如完成的時間)�����。例如用戶可能希望使用銀行服務(wù)�����,用于支付賬單的目的��。在這種情形下,供應(yīng)的策略可以要求用戶輔助認證的強形式(例如多因子)�,并且被供應(yīng)的策略可以需要只是在到導(dǎo)航用戶到服務(wù)之前執(zhí)行認證。如果對服務(wù)(例如電子郵件接入)期望低安全等級,則策略可以放松用戶輔助認證要求�����。例如��,PIN可以用于具有低安全等級的用戶輔助認證����。在示例實施方式中,導(dǎo)出認證的策略可以由外部利益相關(guān)者和/或服務(wù)提供方執(zhí)行���。例如���,策略功能可以在服務(wù)提供方(例如在網(wǎng)絡(luò)上),在UE (例如本地)���,或二者的結(jié)合(例如分布式功能)被執(zhí)行�����。
[0072]在示例實施方式中����,SSO子系統(tǒng)206遵照的策略可以確定什么SSO認證協(xié)議(例如網(wǎng)絡(luò)輔助認證模塊208,210���,212�,214��,和/或216)將被選擇用于網(wǎng)絡(luò)輔助認證��。網(wǎng)絡(luò)輔助認證模塊的標(biāo)準(例如SSO認證協(xié)議)選擇可以基于可用資源和將要接入的服務(wù)的安全要求��。內(nèi)部策略機制可以包括外部利益相關(guān)者(例如MN0)提供的優(yōu)選認證模塊(例如SSO協(xié)議)的優(yōu)先化列表�����。一旦做出策略決定�����,SSO子系統(tǒng)206可以提供用于向外部利益相關(guān)者(例如MN0)傳送哪個特定網(wǎng)絡(luò)輔助認證模塊已經(jīng)被選擇用于協(xié)議交換的機制����。可替換地�,SSO子系統(tǒng)可以協(xié)商能力并對將被使用的認證模塊達成一致。
[0073]圖3A和圖3B示出使用SSO框架架構(gòu)實施的協(xié)議的示例實施方式��。在開放ID的上下文中,SSO子系統(tǒng)可以以安全的方式執(zhí)行某些功能���,其中的一些功能參考圖3A和圖3B中的調(diào)用流在此描述。
[0074]如圖3A和3B所示����,在314,可以執(zhí)行用戶輔助認證����。例如,可以認證和處理用戶憑證�。用戶憑證可以包括與用戶302關(guān)聯(lián)的唯一認證參數(shù),例如用戶PIN�����,密碼���,用戶標(biāo)識符���,生物計量信息,或摘要��,和/或其他形式的用戶輔助認證參數(shù)。用戶302可以在設(shè)備304被本地認證�,或與遠程實體(例如外部利益相關(guān)者(例如MN0)或身份提供方(IdP)(例如開放ID提供方312))結(jié)合被認證。
[0075]SSO子系統(tǒng)308可以是在用戶設(shè)備304上被配置成執(zhí)行用戶302的認證的本地實體���。SSO子系統(tǒng)308可以根據(jù)各種實施方式執(zhí)行與或不與LAE的認證�����。例如����,圖3A不出可以使SSO子系統(tǒng)能夠本地執(zhí)行認證的示例供應(yīng)協(xié)議流�,如在此所述。一旦用戶輔助認證完成����,SSO子系統(tǒng)308可以生成認證結(jié)果,例如認證斷言�����,在316�。認證斷言可以包括數(shù)據(jù),例如完成用戶輔助認證的時間�,以及認證的信任等級���。信任等級可以指遠程方可以在用戶或UE的認證中置于的確信等級。用戶輔助認證結(jié)果(例如通過或失敗)可以安全和本地存儲在設(shè)備304和/或與網(wǎng)絡(luò)輔助認證協(xié)議一起使用�����。與用戶輔助認證關(guān)聯(lián)的其他參數(shù)也可以被存儲和/或在網(wǎng)絡(luò)輔助認證中使用����。例如�,這些參數(shù)可以包括認證的時間,認證的強度�,和/或認證參數(shù)的類型。這些參數(shù)可以與認證結(jié)果一起存儲或在網(wǎng)絡(luò)輔助認證中使用��。例如�,SSO子系統(tǒng)可以使用該信息中繼認證數(shù)據(jù)到服務(wù)提供方,并且服務(wù)提供方可以確定認證數(shù)據(jù)是否足夠用于提供到服務(wù)的用戶接入�����。在314的用戶輔助認證可以發(fā)生在任何時間���,并且如基于各種認證策略(例如期望的安全強度)所建議的頻繁或不頻繁地發(fā)生�。在示例實施方式中,如果存儲了有效的用戶輔助認證結(jié)果�����,SSO子系統(tǒng)可以確定不需要執(zhí)行用戶等級認證�。這樣的情形可以允許用戶接入多個服務(wù)提供方(例如RP),無需在認證過程中的進一步的用戶參入�����。例如如果策略針對特定服務(wù)提供方的特定服務(wù)的接入要求新的認證���,則重新使用現(xiàn)有的認證信息可以不被允許��。
[0076]在318����,共享秘密密鑰可以在RP310和0P312之間建立���。例如��,用戶的OP登錄請求���,其可以包括用戶提供的標(biāo)識符���,可以從應(yīng)用306 (例如瀏覽器或非瀏覽器應(yīng)用)傳遞到RP310,這可以觸發(fā)共享秘密密鑰密鑰的關(guān)聯(lián)或建立�����。根據(jù)一個示例實施方式��,登錄請求可以在用戶初始嘗試接入基于網(wǎng)絡(luò)的服務(wù)時被傳遞到RP310���。基于接收的登錄請求���,可以執(zhí)行關(guān)聯(lián)����,這可以建立0P312和RP310之間的共享秘密密鑰�。在示例實施方式中,在320�����,密鑰(例如從0P312和RP310共享密鑰導(dǎo)出的密鑰和在網(wǎng)絡(luò)輔助認證期間導(dǎo)出的密鑰)和/或其他憑證可以供應(yīng)給SSO子系統(tǒng)308。供應(yīng)的憑證可以用于如在此所述的與服務(wù)的進一步認證����。
[0077]例如,網(wǎng)絡(luò)輔助認證可以在供應(yīng)之后執(zhí)行���,如圖3B所示�。例如����,網(wǎng)絡(luò)輔助認證可以遵循由RP310進行的至0P312的重定向。重定向可以由應(yīng)用306 (例如瀏覽器應(yīng)用或非瀏覽器應(yīng)用)接收���,其可以在321重定向消息到SSO子系統(tǒng)308�,用于選擇網(wǎng)絡(luò)輔助認證模塊和/或協(xié)議����。網(wǎng)絡(luò)輔助認證模塊/協(xié)議(例如SSO協(xié)議)可以由SSO子系統(tǒng)308經(jīng)由策略實施選擇和使用。這個過程可以包括引導(dǎo)和共享密鑰建立����,如在此進一步所述。
[0078]如圖2所示����,多個網(wǎng)絡(luò)輔助認證協(xié)議方法可以由網(wǎng)絡(luò)輔助認證模塊(例如SSO協(xié)議)族暗示�。再次參考圖3B�,根據(jù)示例實施方式,開放ID/SIP摘要和/或開放ID/GBA可以被視為處理GBA結(jié)構(gòu)�����,并且使用第三代合作伙伴計劃(3GPP)技術(shù)規(guī)范(TS)編號33.220 (版本10)中指定的機制�����。在開放ID GBA中���,UICC訂戶憑證可以用來引導(dǎo)將與網(wǎng)絡(luò)共享的主會話密鑰(例如表示Ks)。網(wǎng)絡(luò)輔助認證可以導(dǎo)致應(yīng)用特定密鑰Ks_NAF從Ks導(dǎo)出并在0P312和用戶設(shè)備304之間共享���。當(dāng)與0P312認證時����,應(yīng)用特定密鑰可以由用戶設(shè)備304用作密碼����。例如,它可以由用戶設(shè)備304用作密碼,如在3GPP技術(shù)規(guī)范(TR)編號33.924 (版本9)中所述��。
[0079]對于開放ID/SIP摘要���,通過類似GBA過程得到類似密鑰結(jié)構(gòu)����。網(wǎng)絡(luò)輔助認證的這個方法可以是基于非ncc的并且例如可以使用sip摘要憑證�,而不是ncc憑證。一個開放ID/SIP摘要的示例實施方式在3GPP TR33.914 (版本11)中描述���。
[0080]對于開放ID/AKA���,網(wǎng)絡(luò)輔助認證可以是基于非GBA的,并且用戶設(shè)備304和0P312可以直接使用3GPP AKA來認證和共享密鑰��。開放ID/AKA的一個示例實施方式在3GPP SA3的阿爾卡特-朗訊PCR S3-100757中描述����。
[0081]對于常規(guī)的開放ID,SSO子系統(tǒng)308可以在網(wǎng)絡(luò)輔助認證協(xié)議中提供接收到的用戶憑證��。
[0082]盡管開放ID/GBA��、開放ID/SIP摘要以及開放ID/AKA可以具有結(jié)構(gòu)差異,從網(wǎng)絡(luò)歸屬訂閱服務(wù)器(HSS)接收到的一種類型或另一類型的認證向量(AV)的應(yīng)用可以是各協(xié)議的中心�����。此外����,依賴于策略和期望的安全強度,用戶的重新認證(用戶輔助認證)可以在執(zhí)行網(wǎng)絡(luò)輔助認證時被執(zhí)行���。在示例實施方式中�,在這樣的網(wǎng)絡(luò)認證期間�,可以假設(shè)設(shè)備已經(jīng)建立網(wǎng)絡(luò)連接,并且網(wǎng)絡(luò)輔助認證可以用來與服務(wù)提供方認證UE��。
[0083]在網(wǎng)絡(luò)輔助認證成功之后�,SSO子系統(tǒng)308可以向應(yīng)用306提供網(wǎng)絡(luò)輔助認證成功的指示。例如�����,SSO子系統(tǒng)(例如經(jīng)由LAE)可以在322簽名認證斷言(例如身份斷言)��,并且在324發(fā)送斷言消息到RP310��。從SSO子系統(tǒng)308到RP310的簽名的斷言消息可以指示認證成功����,并可由SSO子系統(tǒng)308用之前供應(yīng)的憑證(例如在圖3A中在320所示)自動地簽名。網(wǎng)絡(luò)輔助認證成功的通知可以在用戶獲得對在RP310的期望服務(wù)的接入之前執(zhí)行���。在認證過程(例如SSO過程)的早期��,已經(jīng)執(zhí)行關(guān)聯(lián)來建立0P312和RP310之間的共享秘密密鑰�。在一個示例實施方式中�����,斷言消息可以用這個共享秘密密鑰簽名和/或是密鑰的導(dǎo)出���。一旦RP310和/或用戶設(shè)備304 (例如經(jīng)由應(yīng)用306)已經(jīng)接收到網(wǎng)絡(luò)輔助認證成功的指示��,用戶設(shè)備304 (例如經(jīng)由應(yīng)用306)可以接入在RP310的服務(wù)�����,用戶設(shè)備304登錄到該RP310�。
[0084]提供到RP310的斷言消息可以指示到網(wǎng)絡(luò)和到服務(wù)的認證完成以及在用戶輔助認證中實施的用戶要求的身份可以綁定到訂戶憑證��,例如實施在網(wǎng)絡(luò)輔助認證中的MSI或MPI。例如����,它可以是選擇的SSO功能的一部分,經(jīng)由看見用戶提供的憑證和基于ncc(或SIP摘要)憑證之間的連接的機制執(zhí)行綁定����。斷言消息可以包括指示綁定作為全部SSO協(xié)議一部分的信息。而且���,在示例實施方式中�,斷言消息可以提供認證強度或信任等級(例如低��,中�����,高��,非常高)�����。例如�����,斷言消息中的低認證強度可以指示0P312在斷言的身份中具有很少或不具有信任(例如具有針對密碼格式的最少規(guī)則的用戶名/密碼的自動插入)��;中認證強度可以指示0P312在斷言的身份中具有一些信任(例如具有應(yīng)用到密碼的格式的規(guī)則用戶名/密碼的手動使用);在斷言消息中的高認證強度可以指示0P312在斷言的身份中具有高信任等級(例如使用生物計量或加密的網(wǎng)絡(luò)接入令牌以及用戶名/密碼)����;以及非常高認證強度可以指示0P312在斷言的身份中具有非常高的信任等級(例如生物計量和加密的令牌)。在示例實施方式中���,“低”和“中”等級可以指示只使用用戶憑證�,而“高”和“非常高”等級可以要求進行網(wǎng)絡(luò)輔助交互��,并且要求更強形式的認證�����,例如生物計量和密碼���。
[0085]再次參照圖2�,圖2示出示例性SSO技術(shù)(協(xié)議)�����,其可以用于網(wǎng)絡(luò)控制的引導(dǎo)和密鑰建立。例如�,開放ID/ISM214和開放ID/AKA216可以是基于MCC的,并且可以利用憑證����,例如與網(wǎng)絡(luò)共享的秘密,其可以安全地駐在ncc上。例如依據(jù)與網(wǎng)絡(luò)共享的憑證����,開放ID/GBA212可以是或可以不是基于nCC的。在示例實施方式中�����,開放ID/SIP摘要208可以不是基于ncc的�。例如,可以提供常規(guī)的用戶提供的開放ID身份和密碼�。SSO子系統(tǒng)的網(wǎng)絡(luò)認證接口可以允許在單個架構(gòu)框架中提供各種SSO協(xié)議(例如圖2中的模塊208,210�,212,214���,216)����。
[0086]根據(jù)示例實施方式,可以用兩個認證類型綁定來驗證用戶�。雖然用戶驗證可以參考開放ID協(xié)議描述���,但相同的概念可以應(yīng)用到其他認證協(xié)議��,例如自由聯(lián)盟��。例如��,UE —通電����,用戶輔助認證可以發(fā)生���。例如����,用戶可以提供用戶輔助認證憑證(例如PIN�����,生物計量)來獲得對設(shè)備功能的接入。例如�����,用戶可以提供PIN來獲得對iPhone的接入����。這樣的認證機制可以在上電提供一次或在整個會話間歇地提供。認證用戶的頻率要求可以是策略驅(qū)動的���。SSO子系統(tǒng)可以驗證用戶提供的PIN并且可以保存結(jié)果�����,其可以是斷言的形式��,確認PIN已經(jīng)被輸入并被驗證�。這樣的斷言可以建立用戶輔助認證��。在用戶輔助認證建立之后�����,用戶可以試圖登錄服務(wù)提供方(例如RP)�����,該服務(wù)提供方例如可以通過定向web瀏覽器到RP網(wǎng)頁來支持開放ID協(xié)議。SSO子系統(tǒng)可以檢查用戶輔助認證的狀態(tài)�,并且如果狀態(tài)有效,可以向RP提供用戶身份�。RP可以執(zhí)行開放ID提供方(OP)的發(fā)現(xiàn),并且兩個實體可以建立關(guān)聯(lián)�。這樣的關(guān)聯(lián)可以導(dǎo)致共享密鑰�。設(shè)備可以被重定向到LAE,該LAE可以是由SSO子系統(tǒng)執(zhí)行的在UE上的本地開放ID代理功能�。在示例實施方式中,由SSO執(zhí)行的策略(例如外部利益相關(guān)者的)可以要求執(zhí)行強壯的網(wǎng)絡(luò)輔助認證(例如GBA����,SIP, AKA)?���?梢赃x擇認證模塊(例如SSO協(xié)議)。在認證協(xié)議中��,這樣的選擇可以例如由SSO子系統(tǒng)報告給MN0���?���?梢允褂眠x擇的網(wǎng)絡(luò)輔助認證模塊(例如SSO協(xié)議)執(zhí)行UE的認證。在示例實施方式中�����,選擇的認證協(xié)議可以導(dǎo)致網(wǎng)絡(luò)輔助認證功能和UE之間共享的應(yīng)用特定密鑰的引導(dǎo)�����。這樣的密鑰可以用來認證UE�����。
[0087]UE可以接收認證完成的指示�����,并且LAE可以簽名到RP的斷言消息��,指示已經(jīng)發(fā)生強壯的認證����。斷言可以指示用戶輔助認證(例如經(jīng)由初始用戶PIN輸入)和隨后的網(wǎng)絡(luò)輔助認證(例如經(jīng)由選擇的SSO認證協(xié)議)之間的綁定。斷言可以指示在此定義的認證信任等級中的一個���。斷言消息可以用通過本地SSO代理(例如LAE)和RP之間的關(guān)聯(lián)建立的密鑰來簽名�。RP和LAE可以不直接通信,并且因而OP服務(wù)功能(OPSF)可以在網(wǎng)絡(luò)上被產(chǎn)生以便于兩個實體之間的通信��。在示例實施方式中����,OPSF由RP經(jīng)由公共因特網(wǎng)可達,好像RP是OP—樣�,可以與這個OPSF通信。本地SSO (LAE)代理可以通過OPSF密鑰分發(fā)機制獲得關(guān)聯(lián)密鑰���。OPSF還可以支持關(guān)于源自LAE的簽名的斷言的針對RP的簽名驗證。用戶可以接著可以被無縫地定向到RP網(wǎng)頁����。在示例實施方式中,當(dāng)用戶后來希望接入不同的服務(wù)提供方時��,SSO子系統(tǒng)可以檢查用戶輔助認證結(jié)果是否已經(jīng)存儲以及這個認證是否仍然有效(例如根據(jù)本地存儲的策略)�����。如果具有有效存儲的結(jié)果��,例如,SSO子系統(tǒng)可以此時不執(zhí)行用戶輔助認證���。新的服務(wù)提供方可以接著執(zhí)行如在此所述的身份提供方的發(fā)現(xiàn)��。因此��,用戶可以接入新的服務(wù)提供方而無需在UE輸入憑證���,并且用戶可以不參與網(wǎng)絡(luò)輔助認證。根據(jù)實施方式���,這樣的情形可以組成完整的SSO實施�。
[0088]在示例實施方式中�����,用戶可以通過優(yōu)選的服務(wù)和/或應(yīng)用的注冊接入優(yōu)選的(例如附屬的)服務(wù)���。例如����,web或其他在線應(yīng)用服務(wù)提供方(如信賴方)可以使用服務(wù)提供商選擇的IdP注冊到運營方的基于網(wǎng)絡(luò)的SSO系統(tǒng)����。例如�,支付交易提供商可以使用開放ID來獲得來自特殊IdP的委托認證�����,其可以導(dǎo)致支付交易提供方成為附屬的服務(wù)�����。注冊可以由服務(wù)提供方(例如RP)����,所選擇的IdP,運營方的SSO系統(tǒng)����,或服務(wù)的終端用戶發(fā)起���。進一步地�,注冊可以由接入網(wǎng)頁的用戶或駐在UE的SSO子系統(tǒng)發(fā)起���。例如���,駐在UE的SSO子系統(tǒng)可以變成“同步”到基于網(wǎng)絡(luò)的SSO子系統(tǒng)的數(shù)據(jù)庫�,并且從而變成知道注冊的附屬的服務(wù)和應(yīng)用的列表和類型��。
[0089]當(dāng)沒有明確選擇SSO協(xié)議時�����,RP可以被允許選擇IdP���。根據(jù)示例實施方式�,在IdP的選擇和將要使用的SSO協(xié)議之間可以存在隱式(implicit)的關(guān)聯(lián)����。例如,RP可以選擇特定IdP���,因為該IdP可以支持特定SSO協(xié)議���,例如開放ID。
[0090]用戶接著可以使用UE接入SSO (例如開放ID)支持的基于web的應(yīng)用服務(wù)���。駐在UE的SSO子系統(tǒng)可以符合運營方供應(yīng)的策略�,并可以選擇注冊的附屬服務(wù)/應(yīng)用和/或優(yōu)選的服務(wù)/應(yīng)用。駐在UE的SSO子系統(tǒng)還可以在用戶指示(例如經(jīng)由在URL中鍵入(typing))他或她的優(yōu)選服務(wù)后�����,還可以攔截(介入(intervene))����,并且可以用對應(yīng)于相同服務(wù)的注冊的、附屬的版本的可替換服務(wù)的URL轉(zhuǎn)換或替換用戶鍵入的URL���。這樣的替換服務(wù)可以由相同的服務(wù)提供方提供�����,但可以根據(jù)優(yōu)先的�、附屬的基礎(chǔ)被展示和接入��。例如�,接入限于運營方服務(wù)的UE的用戶���,該運營方具有到前述服務(wù)/應(yīng)用的前述基于注冊的附屬(例如��,以及可以提供這樣服務(wù)/應(yīng)用的IdP和RP)�����。
[0091]根據(jù)示例實施方式���,在服務(wù)/應(yīng)用的選擇之后���,UE可以代表用戶以透明(transparent)和/或無縫的方式選擇優(yōu)選的接入網(wǎng)絡(luò)輔助認證機制和合適的憑證。例如��,UE可以在SSO認證協(xié)議中指示所選擇的接入網(wǎng)絡(luò)輔助認證機制�。網(wǎng)絡(luò)可以識別所選擇的優(yōu)選接入網(wǎng)絡(luò)輔助認證機制,并可以認證用戶�。一認證成功,可以發(fā)生SSO操作的剩余部分(例如UE重定向到RP來獲得服務(wù))����。
[0092]如在此所述,通過連接到作為運營方的SSO系統(tǒng)的運營方的信任基礎(chǔ)架構(gòu)���,訂閱的附屬的服務(wù)可以有效地獲取由運營方提供的網(wǎng)絡(luò)輔助認證強度�。
[0093]更一般地�����,在此描述SSO架構(gòu)可以視為包括更正式的功能層級。例如��,SSO子系統(tǒng)可以管理一個或多個SSO客戶端(例如或本地SSO代理)����。如果下面的設(shè)備技術(shù)支持多服務(wù)提供方配置,那么多個SSO客戶端可以作為SSO子系統(tǒng)中多服務(wù)管理器的子功能運行�����。這個一般化的架構(gòu)可以提供用來支持具有潛在獨立策略的多個服務(wù)的分離���。
[0094]在這樣框架中的每個SSO客戶端可以管理多個下屬的(subordinate)子功能����。例如,本地斷言子功能可以由本地斷言實體(LAE)執(zhí)行�����。LAE可以涉及正式指定的執(zhí)行本地斷言的子功能�。例如,依據(jù)實施���,一個或多個LAE可以由SSO客戶端控制����。例如���,配置可以涉及SSO客戶端-LAE對(一對一)或一個客戶端控制多個LAE���。在兩者之一的配置中,SSO客戶端可以是控制實體���。SSO認證協(xié)議還可以在此稱為SSO技術(shù)�。例如���,SSO客戶端可以控制由所選擇的SSO認證協(xié)議實現(xiàn)的機制的處理��。SSO客戶端可以管理策略執(zhí)行動作�,該策略執(zhí)行動作可以確定使用哪個認證方法��。例如��,被應(yīng)用的策略可以在例如MNO的外部利益相關(guān)者的控制之下�。
[0095]根據(jù)另一實施方式����,UE可以支持多個SSO客戶端作為在多服務(wù)管理器中的子功能運行的實施���。這樣的實施可以視為環(huán)境中的功能���,在該環(huán)境中不同服務(wù)提供方可以需要單獨的、隔離的SSO客戶端專門服務(wù)這個特殊提供方���,而同時允許由相同提供方提供的多個可用連接技術(shù)和服務(wù)的基于策略的管理���。例如,ME可以具有SSO客戶端A和SSO客戶端B�,并且這些SSO客戶端的每一個可以被單獨控制并且相互隔離。SSO方面可以對提供方是特定的��。
[0096]在一個示例實施方式中�,與多個SSO客戶端一起,可以存在多個LAE��。例如��,每個LAE可以在UE上的接入技術(shù)特定域中實施��。由于SSO客戶端隔離,每個隔離的域可以有一個LAE���。而且���,例如�����,LAE可以根據(jù)設(shè)備支持的可用接入技術(shù)被構(gòu)建���。相同的接入技術(shù)可以在不同的LAE之間復(fù)用��,或者不同接入技術(shù)可以由LAE—起使用��。因此���,UE可以支持多LAE。依據(jù)實施����,例如LAE和SSO客戶端之間的關(guān)系可以是一對一或一個SSO客戶端可以控制多個LAE或由多個LAE服務(wù)。
[0097]如在此所述���,在SSO子系統(tǒng)中執(zhí)行的功能可以用各種方式配置���。在UE中��,例如���,在基于ncc和基于非ncc (或可替換地安全環(huán)境)的架構(gòu)之間可以存在劃分。還可以在ue和MNO網(wǎng)絡(luò)之間存在功能的界限�。下面是根據(jù)不同實施方式的一些可能配置。
[0098]加密AKA功能可以駐在非nCC智能卡�����。這樣的功能可以在例如G&D的MSC的完全可編程非ncc智能卡上執(zhí)行��,并且與網(wǎng)絡(luò)輔助認證(例如AKA)類似�,但該卡是可移動的并且在用戶控制之下。加密功能可以駐在ncc上��。這樣的功能可以包括在ncc上實施的LAE的基本(elementary)加密功能,例如,密鑰導(dǎo)出和斷言簽名�。功能可以類似于網(wǎng)絡(luò)輔助認證(AKA)����。此外,可以實現(xiàn)綁定到MSI和用戶注冊到MNO����。
[0099]根據(jù)示例實施方式,LAE功能可以駐在nCC或安全可信環(huán)境���。例如����,LA可以是在智能卡web服務(wù)器(SCWS)或其他web瀏覽器應(yīng)用上的開放ID的完整實施�����。在示例實施方式中�,網(wǎng)絡(luò)輔助認證配置可以來綁定LAE (例如本地斷言)認證到任何形式的強壯網(wǎng)絡(luò)輔助認證(例如本地開放ID/GBA)�����。強壯認證可以通過增加生物計量或類似本地認證應(yīng)用到強壯本地用戶輔助認證作為額外的因子�。例如,任何形式的強壯本地認證可以與網(wǎng)絡(luò)輔助認證結(jié)合并綁定到網(wǎng)絡(luò)輔助認證�����。
[0100]圖4不出了用于使用多SSO協(xié)議和/或模塊的架構(gòu)框架的另一不例實施方式。如圖4所示��,UE402的SSO子系統(tǒng)400可以與配置成從服務(wù)提供方接入服務(wù)(例如web服務(wù)406(例如RP))的應(yīng)用(例如瀏覽器應(yīng)用404)通信����。SSO子系統(tǒng)400可以提供針對用戶的SSO功能,并且可以產(chǎn)生對認證服務(wù)的自動化登錄過程�。例如,自動化特征可以包括可以向web服務(wù)406提供用戶標(biāo)識符和/或向身份提供方(例如開放ID提供方(OP) 408)提供憑證而無需用戶交互的功能��。自動化的特征還可以是自動供應(yīng)認證憑證給0P408的認證方410,以及認證模塊(例如認證方法)的自動選擇和協(xié)商�。根據(jù)示例實施方式,認證模塊可以包括開放ID/SIP摘要模塊418���,開放ID/GBA模塊412���,EAP/S頂模塊416,和/或開放ID/AKA模塊414�。例如,圖5顯示了示例環(huán)境����,其中GBA模塊412由SSO子系統(tǒng)400選擇。雖然圖4中示出的每個網(wǎng)絡(luò)輔助認證模塊可以實施開放ID網(wǎng)絡(luò)輔助認證協(xié)議,但還可以或可替換地實施其他類型的網(wǎng)絡(luò)輔助認證協(xié)議����。SSO子系統(tǒng)400提供的自動化可以基于在無線設(shè)備(例如UE402)上存儲的和例如0P408供應(yīng)的之前定義的策略被執(zhí)行。這樣的自動化可以由網(wǎng)絡(luò)跟蹤器(cookie)(例如存儲在瀏覽器404中)��,Java小應(yīng)用���,存儲表格數(shù)據(jù)的瀏覽器緩存等提供����。在示例實施方式中�����,自動化可以被提供有刮削(scraping)功能�����,例如�����,其可以自動地檢測要填的表格���。
[0101]在使用Java小應(yīng)用的示例實施方式中����,例如��,自動化特征可以被結(jié)合到Java小應(yīng)用中�,該Java小應(yīng)用可以在認證過程期間被下載。雖然在此討論的自動化特征可以由Java小應(yīng)用實施���,在此描述的實施方式不這樣受到限制����。在一些實施方式中���,持續(xù)(persistent)特征(例如用戶登錄狀況)可以不位于JAva小應(yīng)用中��,因為例如小應(yīng)用可以從瀏覽器緩存中移除��。此外��,如在此所述�,Java小應(yīng)用可以在協(xié)議運行過程中下載之后變得可用�。利用Java小應(yīng)用的功能可以在小應(yīng)用已經(jīng)被下載到例如UE的設(shè)備之后被執(zhí)行。如果例如Java小應(yīng)用在重定向到OP之后從OP下載,Java小應(yīng)用本身不可以提供刮削特征����。
[0102]圖6示出了包括用于便于使用多SSO技術(shù)和/或模塊的可下載組件的架構(gòu)框架的示例實施方式。示例性可下載組件(例如懇請者622)可提供用于瀏覽器應(yīng)用和/或非瀏覽器應(yīng)用(例如應(yīng)用604)到網(wǎng)絡(luò)輔助模塊�����,例如認證模塊���、協(xié)議和API (例如模塊612�,614���,616��,618�,和620)的接口�����。在示例實施方式中����,可下載組件(例如懇請者622)不綁定到在UE602上的完整SSO子系統(tǒng)600的存在。例如�,該組件(例如懇請者622)可以是獨立的,在于它可以與或不與在無線設(shè)備(例如UE602)上的完整SSO子系統(tǒng)特征一同使用���。為了描述懇請者622的示例性特征的目的�����,圖6顯示了懇請者作為獨立于SSO子系統(tǒng)的組件��,但是懇請者可以包含在SSO子系統(tǒng)600中����。此外��,在此描述的實施方式可以包括具有或不具有SSO子系統(tǒng)的子集的懇請者的變形����。
[0103]在示例實施方式中,懇請者622可以用Java小應(yīng)用等實施����。例如,Java小應(yīng)用可以在認證過程期間被下載并可以產(chǎn)生瀏覽器(或應(yīng)用604)和在UE602中的網(wǎng)絡(luò)輔助模塊(例如GBA模塊612,AKA模塊614�,EAP SIM616, SIP摘要模塊618����,本地OP模塊620)之間的層���。這樣的層可以是軟件層���,其例如由于本地瀏覽器不支持一些認證機制,因此實現(xiàn)網(wǎng)絡(luò)認證與認證模塊對接���。
[0104]懇請者622 (例如Java小應(yīng)用)它可以獨立于瀏覽器�,在某種意義上是一旦被下載���,其可以被執(zhí)行并可以發(fā)布和/或處理HTTP請求���。例如,Java小應(yīng)用可以向0P608發(fā)布請求來獲取認證質(zhì)詢(challenge)����。Java小應(yīng)用可以與認證模塊(例如GBA模塊612, AKA模塊614,EAP SIM616, SIP摘要模塊618�,LAE模塊)以及SSO子系統(tǒng)對接����。例如����,UE602可以提供分層的接入�,其中可以通過SSO子系統(tǒng)600使得到認證模塊的接入可用。SSO子系統(tǒng)600和認證模塊之間的網(wǎng)絡(luò)認證接口可以用來便于認證�。例如,Java小應(yīng)用可以發(fā)送來自身份提供方(例如0P608)的質(zhì)詢到網(wǎng)絡(luò)輔助認證模塊�����,認證模塊可以計算摘要響應(yīng)��,并且Java小應(yīng)用可以直接發(fā)送該響應(yīng)到0P608或經(jīng)由瀏覽器發(fā)送該響應(yīng)到0P608�。
[0105]如圖6所示,雖然LAE620還可以執(zhí)行認證之外的功能�����,LAE (例如本地0P620)可以(例如由SSO子系統(tǒng)600)被視為另一認證模塊��。因為例如LAE可以包括比單純認證方法更多的功能����,因此關(guān)于LAE的Java小應(yīng)用的作用可以不同于關(guān)于認證模塊的Java小應(yīng)用的作用��。例如��,LAE可能不計算認證響應(yīng)�,并且它可以積極地執(zhí)行認證�����。結(jié)果���,LAE可以產(chǎn)生認證斷言���,該認證斷言可以直接被發(fā)送到服務(wù)提供方,例如web服務(wù)606 (例如RP)用于認證����。關(guān)于LAE,懇請者622 (例如Java小應(yīng)用)可以實現(xiàn)從應(yīng)用604 (例如瀏覽器)到LAE的通信��。根據(jù)示例實施方式��,SSO子系統(tǒng)600可以包括例如由SM聯(lián)盟標(biāo)準化的開放移動API的軟件中間件組件�,并在該部件上構(gòu)建。這樣的軟件中間件組件可以便于例如從用戶/OS級應(yīng)用到SIM卡應(yīng)用的通信�。
[0106]仍然參照圖6中所示的示例性構(gòu)架���,懇請者622 (例如簽名的Java小應(yīng)用)可以經(jīng)由瀏覽器被下載并且可以針對每個設(shè)備(UE602 )類型被定制����。懇請者可以針對不同設(shè)備類型,例如塞班(Symbian)��、iOS���、安卓等被定制����。懇請者622可以實現(xiàn)從瀏覽器到SSO子系統(tǒng)622的組件�,例如GBA模塊612、AKA應(yīng)用614以及SIP摘要認證方618的通信��。懇請者622可由身份提供方的服務(wù)器(例如OP服務(wù)器608)和/或web服務(wù)606 (例如RP)提供���。懇請者622可以提供用來執(zhí)行自動和/或無縫用戶認證的接口功能�。在示例實施方式中���,SSO子系統(tǒng)600可以允許應(yīng)用604 (例如瀏覽器)與網(wǎng)絡(luò)輔助認證模塊612��、614���、616���、618和620通信。懇請者622�,例如,可以允許應(yīng)用604 (例如瀏覽器)使用SSO子系統(tǒng)600的特征�����。例如�����,如果LAE在UE602上可用���,則懇請者622可以幫助LAE620的發(fā)現(xiàn)以及到LAE的連接�����。懇請者622可以將用戶重定向到身份提供方的本地或遠程的異體(例如LAE或遠程0P608)并回到web服務(wù)606 (例如RP)��。懇請者622可以使SSO子系統(tǒng)600能夠作為認證模塊使用�����,并且可以使能SSO子系統(tǒng)600的LAE部分(例如本地0P620)的使用來直接生成簽名的斷言��。SSO子系統(tǒng)600可以預(yù)先裝載在移動設(shè)備(例如UE602)中和/或經(jīng)由其他機制下載到設(shè)備中�。在示例實施方式中���,當(dāng)懇請者可以在用戶每次訪問web服務(wù)606 (例如RP)時被重新裝載時�,SSO子系統(tǒng)600可以跨服務(wù)持續(xù)���。[0107]在一個實施方式中�,懇請者�,例如圖6中的懇請者622,可以被實施為Java小應(yīng)用等����,并可以在受約束的操作環(huán)境(例如“沙箱”)中運行。這樣的懇請者可以具有對系統(tǒng)資源的受限接入�����。在示例實施方式中,可以在認證已被執(zhí)行之后(例如當(dāng)瀏覽器離開服務(wù)網(wǎng)站時)卸載懇請者�����。參照圖7�����,由于單點登錄(SSO)特征可以跨域不同服務(wù)之間的用戶認證�����,SSO功能的持續(xù)方面可以由SSO子系統(tǒng)700的非懇請者部分提供�。圖7示出了具有SSO子系統(tǒng)700的示例接口組件的圖6的架構(gòu)框架的示例實施方式。如圖7所示���,SSO子系統(tǒng)可以包括懇請者���,SSO子系統(tǒng)700可以與各種組件,例如用戶704�����、遠程服務(wù)器708��、生物計量單元710以及各種其他設(shè)備706對接。SSO子系統(tǒng)700的懇請者部件的互通功能通過下面的示例描述�。
[0108]仍然參照圖7,懇請者一般可以沒有對認證功能的直接接入����,或者可以有對由LAE(例如本地0P620)提供的認證功能的接入。在這種情況下�,使用網(wǎng)絡(luò)輔助認證方法的一些認證請求可以經(jīng)由SSO子系統(tǒng)700調(diào)用。這樣的調(diào)用可以包括到SSO子系統(tǒng)700的懇請者的合適的授權(quán)和/或在先的確認(validation)(例如通過檢查代碼簽名)��。懇請者可以提供各種接口����。例如��,懇請者可以提供功能來通過提供到SSO子系統(tǒng)700的接口選擇用于特定服務(wù)提供方(例如RP)的標(biāo)識符���,實現(xiàn)認證過程的自動化��。懇請者可以提供到SSO子系統(tǒng)700的接口來提供用于與身份提供方(例如0P608)認證的憑證��。懇請者還可以提供到SSO子系統(tǒng)700的接口(例如網(wǎng)絡(luò)認證接口)用于網(wǎng)絡(luò)輔助認證模塊或機制的選擇和/或協(xié)商�。在一個示例實施方式中��,懇請者可以提供替換重定向消息的功能,重定向消息例如為從web服務(wù)606 (例如RP)到身份提供方(例如0P608)的用于認證的重定向消息����,以及在認證之后從web服務(wù)606到0P608的重定向消息。
[0109]如上所述����,SSO子系統(tǒng)700可以提供用于用戶輔助認證的用戶認證接口(例如圖6中的用戶接口 624),并且可以通過這個接口執(zhí)行用戶輔助認證��。用戶認證接口可以由例如作為OP懇請者功能一部分的0P608提供���,或可以是SSO子系統(tǒng)700的持續(xù)功能的一部分�����。SSO子系統(tǒng)700可以與身份提供方(例如0P608)對接(例如通信)來收集關(guān)于用戶輔助認證策略的信息���。這樣的關(guān)于策略的信息可以包括用戶輔助認證參數(shù),例如身份提供方或服務(wù)提供方要求的新鮮度(例如執(zhí)行認證的時間)以及認證強度等級(例如生物計量或用戶名/密碼)��。SSO子系統(tǒng)還可以與0P608對接以便于選擇網(wǎng)絡(luò)輔助認證模塊和/或接口�。在認證用戶704和/或用戶設(shè)備(UE) 602成功之后,經(jīng)由用戶接口和/或使用所選擇的網(wǎng)絡(luò)輔助認證方法(例如GBA模塊612�,AKA模塊614�����,EAP SIM616, SIP摘要618)�,SSO子系統(tǒng)700可以設(shè)置針對時間段(例如有效時段)的用戶認證的持續(xù)狀態(tài)���。一接收到重新認證請求(例如通過本地觸發(fā)或通過網(wǎng)絡(luò))���,SSO子系統(tǒng)700可以重新認證用戶704。在示例實施方式中�,這樣的重新認證可以向用戶704提供無縫登錄體驗。
[0110]SSO子系統(tǒng)700可以使用到在UE602外部的組件(例如其他設(shè)備706)的接口�,例如,來獲得來自經(jīng)由無線接口連接到UE602的令牌的認證信息�。SSO子系統(tǒng)700可以建立到生物計量單元710或遠程服務(wù)器708的用于認證的輔助通信信道�。
[0111]圖8是顯示了認證流的流程圖,該認證流觸發(fā)懇請者(例如Java小應(yīng)用)的下載�����。圖8中示出的示例性流可以在在此描述的SSO框架架構(gòu)中實施���。雖然圖中的示例實施方式使用開放ID術(shù)語來描述���,但示例性流可以應(yīng)用到任何數(shù)量的單點登錄安全協(xié)議�,例如安全聯(lián)盟��。[0112]參照圖8�,在808,UE802可以發(fā)送用戶的OP登錄請求到RP804��。登錄請求可以包括用戶提供的標(biāo)識符�,并可以傳達到RP804,RP804可以在810觸發(fā)RP804和0P806之間的關(guān)聯(lián)和/或共享秘密密鑰的建立�。網(wǎng)絡(luò)輔助認證可以在810后被執(zhí)行。例如���,網(wǎng)絡(luò)輔助認證可以遵照由RP804進行的到0P806的重定向�。重定向可以由UE802在步驟812接收����。在814,UE可以發(fā)送請求到0P806��,用于使用懇請者認證����。請求可以包括應(yīng)用的身份�����,例如非瀏覽器應(yīng)用的身份或UE802使用的瀏覽器代理的身份���。在示例實施方式中,Java小應(yīng)用可以根據(jù)在請求中瀏覽器代理的類型被匹配���。例如�,多個和/或不同Java小應(yīng)用可以用于不同設(shè)備���,使得可以根據(jù)UE802的各種組件����,例如處理器��、OS和/或瀏覽器來選擇Java小應(yīng)用��。響應(yīng)于該請求�,在816����,UE802可以從0P806下載懇請者820 (例如Java小應(yīng)用)��。
[0113]Java小應(yīng)用可以由0P806簽名�����。用于Java小應(yīng)用的發(fā)布方證書可以由瀏覽器例如使用UE系統(tǒng)證書存儲檢查�。例如�,修改的系統(tǒng)或瀏覽器證書存儲實施可以用存儲在UE802的安全元件(例如UICC)上的證書/密鑰檢查Java小應(yīng)用的簽名。Java小應(yīng)用可以包括決定與RP804使用哪個網(wǎng)絡(luò)輔助認證模塊800的邏輯����。Java小應(yīng)用還可以包括向0P806指示哪個認證模塊/機制在UE802中可用的邏輯。在示例實施方式中��,Java小應(yīng)用可以對一個單個認證模塊800是特定的���,并且0P806可以選擇向UE802提供哪個Java小應(yīng)用�����。在示例實施方式中�����,在814���,HTTP請求被發(fā)送��。HTTP請求可以包括瀏覽器代理�,允許UE802的OS被識別以及對應(yīng)小應(yīng)用的版本將由0P806選擇的并發(fā)送到UE802 (在816)���。
[0114]在818�����,網(wǎng)絡(luò)輔助認證可以被執(zhí)行�。關(guān)于圖3如在此所述���,網(wǎng)絡(luò)輔助認證可以遵照由RP804進行的到0P806的重定向�。重定向可以由懇請者820接收�,該懇請者820可以重定向消息到SSO子系統(tǒng)308用于選擇網(wǎng)絡(luò)輔助認證模塊和/或協(xié)議(例如認證模塊800)。網(wǎng)絡(luò)輔助認證模塊/協(xié)議(例如SSO協(xié)議)可以由SSO子系統(tǒng)經(jīng)由策略實施選擇和使用�。這個過程可以包括引導(dǎo)和共享密鑰建立,如在此進一步所述�����。
[0115]如圖2�����、4���、6和7所示���,多個網(wǎng)絡(luò)輔助認證協(xié)議模塊可以由網(wǎng)絡(luò)輔助認證模塊(例如SSO協(xié)議)族暗示。再次參照圖8�,在822,在818的來自認證的認證結(jié)果可以從懇請者820發(fā)送到0P806�����。例如�,認證結(jié)果可以包括在UE802和0P806之間共享的應(yīng)用特定密鑰等。在網(wǎng)絡(luò)輔助認證成功之后���,0P806可以向RP806提供網(wǎng)絡(luò)輔助認證成功的指示�����。例如���,0P806在824可以簽名身份斷言并在824發(fā)送身份斷言�。簽名的成功網(wǎng)絡(luò)輔助認證通知可以在UE802獲得對在RP804的期望服務(wù)的接入之前被執(zhí)行���。一旦RP804和/或UE802(例如經(jīng)由應(yīng)用)已經(jīng)接收到網(wǎng)絡(luò)輔助認證成功的指示�,UE802 (例如經(jīng)由應(yīng)用)可以登錄到RP804 (在826)并接入在RP804的服務(wù)(在828)�。
[0116]圖9顯示了示例的實施方式,其中身份提供方的功能對于UE802被本地執(zhí)行�����。例如����,UE802可以包括SSO子系統(tǒng)和LAE (例如本地0P900)。步驟808�、810、814和816可以如關(guān)于圖8所述的一樣繼續(xù)�����。在902和904����,可以經(jīng)由懇請者908和SSO子系統(tǒng)900����,以及SSO子系統(tǒng)900和一個或多個認證模塊800之間的交互產(chǎn)生簽名的斷言�����。UE802可以在906發(fā)送簽名的斷言到RP804���。在RP接收到簽名的斷言后,UE802的用戶可以能夠接入由RP804提供的服務(wù)(在824)���。圖10示出了示例的實施方式�,其中SSO子系統(tǒng)在Java小應(yīng)用1002中實施���。參照圖10�,sso子系統(tǒng)1002可以使用在ncciooo上的本地op加密執(zhí)行網(wǎng)絡(luò)輔助認證�。在網(wǎng)絡(luò)輔助認證成功之后,簽名的斷言被產(chǎn)生并被重定向到RP804���。
[0117]如在此所述(例如圖11到圖15)��,LAE (例如本地0P)可以集成在Java小應(yīng)用中或獨立于Java小應(yīng)用��。在可替換的示例實施方式中��,開放ID協(xié)議���,例如����,可以無需本地OP組件而被實施�。在這樣的實施方式中,協(xié)議流程的第一部分可以對于具有LAE的實施方式看上去相同或相似��,但認證和/或斷目生成可以通過UE和OP之間的通彳目完成(例如如圖16所示)��。
[0118]圖11示出了用于預(yù)取關(guān)聯(lián)的協(xié)議流的示例實施方式���。例如��,關(guān)聯(lián)可以被預(yù)取��,其可以允許RP在來自用戶的認證嘗試之前獲取關(guān)聯(lián)(例如關(guān)聯(lián)句柄和/或關(guān)聯(lián)秘密)����。這可以例如通過使用開放ID的標(biāo)識符選擇模式被實施�����。RP可以不需要知道完整的開放ID標(biāo)識符URL,但可以例如基于他們的OP端點(endpoint)URL預(yù)取用于一些已知的OP的關(guān)聯(lián)。參照圖11�����,RP804可以在知道UE802的標(biāo)識符之前在810得到關(guān)聯(lián)��。在812�����,例如通過使用預(yù)取的關(guān)聯(lián)之一�����,RP804可以直接重定向UE802到0P806���。在這樣的實施方式中,UE802可以從0P806下載Java小應(yīng)用1100���,其可以在UE802和0P806之間的接口上產(chǎn)生業(yè)務(wù)量����。在示例實施方式中,UE802到0P806的接口可以是空中接口���,但RP804和0P806之間的接口可以是固定的互聯(lián)網(wǎng)����。
[0119]在預(yù)取步驟的示例實施方式中���,Java小應(yīng)用可以由RP如圖12所示存儲����。RP804可以接收由0P806簽名的一組Java小應(yīng)用1202��。RP804可以用來自810的關(guān)聯(lián)存儲Java小應(yīng)用1202���。當(dāng)UE802希望在1204認證時�����,例如RP804可以在1206提供對應(yīng)的Java小應(yīng)用1202到UE802���。多個和/或不同Java小應(yīng)用可以用于不同的設(shè)備,例如�,使得他們匹配非瀏覽器應(yīng)用或瀏覽器代理的處理器和OS�����。
[0120]根據(jù)示例實施方式���,開放ID庫,例如可以外包至0P�����。例如�����,OP可以提供針對RP的API來處理針對RP的開放ID特定操作����。谷歌身份工具箱是示例實施�,其可以一般化在UE上的RP的功能,并可以提供針對可以使用相同懇請者的多個RP的公共框架�����。RP可以請求API來發(fā)起開放ID認證����,并且API (由OP提供或托管(host))可以返回將從RP發(fā)送到UE來發(fā)起UE認證的代碼�����。此后���,UE結(jié)果被發(fā)送回RP,RP可以驗證認證結(jié)果(例如自行或在OP的幫助下)����。在示例實施方式中,關(guān)聯(lián)的預(yù)取可以節(jié)約(減少)UE和OP之間的通信�,并可以實現(xiàn)離線情形。
[0121]圖13示出了針對緩存的Java小應(yīng)用的協(xié)議流的另一實施方式�����。例如,Java小應(yīng)用1306等可以在例如智能電話的UE802上存儲��。在示例實施方式中�����,Java小應(yīng)用1306可以存儲在來自之前運行的UE802的瀏覽器緩存中��。在這樣的實施方式中,可以調(diào)用存儲的Java小應(yīng)用���。例如�����,如果假設(shè)小應(yīng)用在瀏覽器緩存中不可用�,瀏覽器可能刪除下載的Java小應(yīng)用而無需通知�����。例如當(dāng)從相同的源(例如相同RP)調(diào)用小應(yīng)用時�����,可以調(diào)用之前下載的Java小應(yīng)用����。由OP提供的API可以在1300返回代碼��,其發(fā)布到之前下載(以及緩存的)Java小應(yīng)用的調(diào)用���。在1302�����,例如�����,到Java小應(yīng)用1306的調(diào)用被提供給RP804�。在1304,調(diào)用被提供給UE802���。在此描述的實施方式可以使用例如Java腳本的可替換實施���。
[0122]圖14示出示例的實施方式,其中Java小應(yīng)用聯(lián)機(on the fly)被供應(yīng)。根據(jù)示例實施方式����,瀏覽器可以不在緩存中存儲Java小應(yīng)用。在這樣的實施方式中�,小應(yīng)用1402可以由0P806提供至RP804(在1400),并且RP804可以在1404將小應(yīng)用1402傳送至UE802���。由于HTTP請求可以包括瀏覽器代理�,UE802的OS可以被識別,并且對應(yīng)的小應(yīng)用版本可以被發(fā)送到UE802����。在此,RP804可以在針對0P806的API調(diào)用1300中傳遞UE字符串(例如包括OS和/或瀏覽器代理)到0P806�,例如來選擇正確的Java小應(yīng)用版本。[0123]如在此所述�,各種實施方式可以使用開放ID等來用瀏覽器應(yīng)用接入服務(wù)。開放ID可以基于HTTP協(xié)議和/或Java小應(yīng)用可以實施Java運行時間��。在示例實施方式中�����,瀏覽器可以使用HTTP協(xié)議和Java運行時間環(huán)境二者�。在此展示的開放ID和/或其他概念的使用不限制為瀏覽器應(yīng)用。如在此所述����,各種實施方式可以使用非瀏覽器應(yīng)用來實施開放ID協(xié)議等。對于那些應(yīng)用���,可以應(yīng)用相同的概念。具有非瀏覽器應(yīng)用的實施方式可以提供支持下載和執(zhí)行Java小應(yīng)用的接口和/或方法��。雖然在此的描述可以針對各種協(xié)議流的描述使用術(shù)語瀏覽器,但流并不受到這樣的限制并且包括非瀏覽器應(yīng)用�。
[0124]雖然各種實施方式描述為實施Java小應(yīng)用,但這樣的實施方式不受到這樣的限制�。在此描述的Java小應(yīng)用代表用于組件(例如懇請者)下載的單個實施變型,該組件可以便于在服務(wù)接入應(yīng)用(例如瀏覽器/非瀏覽器)和認證模塊(例如0P�����,本地0P�����,GBA, AKA)之間的設(shè)備中的認證通信����。例如,在此描述的實施方式可以由例如庫或API的組件實施����,其可以頻外(outof band)裝載或動態(tài)下載到無線設(shè)備。就應(yīng)用可以知道如何處理組件(例如如何裝載它��,調(diào)用哪個功能)的意義而言����,下載的組件(例如小應(yīng)用�����,庫)可以對應(yīng)用是特定的�。
[0125]谷歌身份工具箱(GITkit)可以提供多種能力和特征��,其可以使RP功能的集成和/或?qū)嵤┠軌蚝啽?����。在網(wǎng)絡(luò)側(cè)�,例如,通過包括網(wǎng)絡(luò)側(cè)懇請者功能首次展示(rollout)特征��,RP功能可以由服務(wù)提供方進一步增強��,用于采用開放ID聯(lián)合身份協(xié)議的簡便化��。在客戶端側(cè)�����,Java腳本可以提供用來一般化懇請者功能的一些元件并將它們與GITkit對齊(align)����,例如使用刮削來執(zhí)行用戶自動化的實施方式。
[0126]在此描述的各種實施方式可以將LAE (例如本地0P)的概念與谷歌身份工具箱結(jié)合���,而保持遵從GITkit的用戶提供的常規(guī)調(diào)用流�����。例如���,在此描述的是本地OP可以被調(diào)用以及瀏覽器可以被重定向到本地OP的多種不同的方式。在示例實施方式中�,重定向可以被應(yīng)用到OP的URL,其中設(shè)備可以希望知道在哪里找到本地0P��。在另一實施方式中���,由GITkitAPI提供的網(wǎng)站可以提供到OS API的調(diào)用(例如經(jīng)由Java腳本)�����,該調(diào)用可以觸發(fā)本地OP認證過程���,例如無需重定向瀏覽器到本地0P。仍然在另一實施方式中��,瀏覽器插件可以代替OS API被調(diào)用。
[0127]圖15示出示例實施方式���,其中GITkitl500可以與本地0P900和Java小應(yīng)用1508結(jié)合��。示例性結(jié)合步驟列在下面�,但在此描述的實施方式不受到這樣的限制�����,因為可以使用其他實施�����,例如包括滿足非瀏覽器應(yīng)用的那些實施�。
[0128]參考圖15,用戶可以訪問RP804和/或選擇他的IdP或輸入他的電子郵件地址標(biāo)識符���。在一個實施方式中�����,標(biāo)識符可以被預(yù)填入(例如使用現(xiàn)有的技術(shù)�����,例如瀏覽器存儲的表格數(shù)據(jù)或cookies)�,例如來提供認證過程的自動化,并標(biāo)識符可以通過用戶輸入URL到瀏覽器被觸發(fā)�����?����?梢哉{(diào)用GITkit庫功能“createAuthUrl (產(chǎn)生認證Url)”���。GITkit庫可以執(zhí)行IdP發(fā)現(xiàn)。GITkit可以返回IdP的授權(quán)端點URL (例如0P806的URL)����。Java腳本微件(widget)可以彈出登錄窗口,重定向用戶到這個端點����。這個彈出窗口中的重定向可以將用戶帶到在設(shè)備上運行的本地OP實例。當(dāng)結(jié)合到SM卡或其他其中執(zhí)行本地OP的加密功能的安全元件的接口時��,本地OP實例可以例如由提供HTTP接口的應(yīng)用和到瀏覽器的類web服務(wù)器能力組成�。在可替換實施方式中���,Java腳本可以不使用重定向但可以能夠調(diào)用OS API (在1502)以從腳本直接觸發(fā)本地OP認證。例如���,如果本地OP應(yīng)用駐在SM卡上�,Java腳本可以潛在地調(diào)用OS API (例如SM聯(lián)盟開放移動API)來直接與在智能卡上的本地OP應(yīng)用通信�����。其他實施方式可以不使用單純的Java腳本解決方案�。在這些實施方式中,瀏覽器可以包括插件����,其可以由Java腳本調(diào)用來觸發(fā)本地OP認證。這個插件可以利用一些OS API�����,例如其可以提供用于OS應(yīng)用層和/或在安全元件上的本地OP應(yīng)用之間的通信的傳輸層邏輯��。在其他實施方式中����,GITkit API可以在第一調(diào)用之后提供具有代碼的RP���,該代碼可以允許下載Java小應(yīng)用到UE中。Java小應(yīng)用可以使用在此描述的本地OP執(zhí)行認證�。實施方式可以預(yù)填入憑證(例如使用現(xiàn)有的技術(shù),例如瀏覽器存儲的表格數(shù)據(jù)����,cookies等)來提供UE接收到本地OP的重定向觸發(fā)的認證過程的自動化��。
[0129]在1102�����,用戶可以被本地認證到本地0P����。本地OP可以從網(wǎng)絡(luò)中與OP (SF)長期共享的秘密導(dǎo)出開放ID簽名秘密,并且使用關(guān)聯(lián)句柄作為到密碼導(dǎo)出功能的第二輸入來產(chǎn)生針對開放ID簽名密鑰�。本地OP/Java腳本/插件可以產(chǎn)生簽名的斷言消息,并重定向瀏覽器到以前在RP產(chǎn)生的“continueURL (繼續(xù)URL)”����,該“continueURL”已經(jīng)由“createAuthUrl”GITkit庫調(diào)用產(chǎn)生。RP可以接收簽名的斷言消息(在906)并在1510將它傳遞到GITkit庫用于驗證。GITkitl500可以使用“verifyAssertion (驗證斷言)”API來與OP (SF)的確認(validate)斷言消息(在1512)��。由于GITkit庫可以由谷歌托管����,GITkit庫可以使用OPSF用于簽名驗證。OPSF可以返回身份信息(例如電子郵件��,或其他例如由開放ID的屬性交換方法定義的屬性)����。如果賬戶/電子郵件已經(jīng)存在,用戶可以登錄����。如果沒有,RP可以使用斷言的電子郵件地址作為用戶的不變的標(biāo)識符來產(chǎn)生新的賬戶��。額外的屬性可以基于用屬性交換機制接收到的信息自動填寫�����。
[0130]作為額外的背景���,GITkit協(xié)議流的概述可以在http://code.google, com/intl/de-DE/apis/identitytooIkit/vl/openid.html 找到���。常規(guī) GITkit 協(xié)議流可以總結(jié)如下�。
[0131]用戶可以訪問RP網(wǎng)站并且可以點擊他的IdP的按鈕�。RP可以建立到GITkit服務(wù)API的調(diào)用,GITkit服務(wù)API轉(zhuǎn)而可以執(zhí)行發(fā)現(xiàn)步驟并返回調(diào)回(callback) URL����,RP可以必須建立該調(diào)回URL來等待用戶的返回,并且GITkit返回HTML代碼���,該HTML代碼將被顯示給用戶以與IdP認證���。HTML代碼可以包括到IdP的認證URL的重定向�����。這個代碼還可以產(chǎn)生針對RP的相同用戶接口�。用戶向他的IdP進行認證。用戶可以被重定向到在RP的調(diào)回URL��。RP可以使用在調(diào)回URL接收到的參數(shù)(IdP響應(yīng))來做出到GITkitAPI的調(diào)用(驗證斷言)���。GITkit API可以驗證IdP響應(yīng)并發(fā)送結(jié)果(驗證的電子郵件+額外的屬性)到RP��。
[0132]GITkit可以通過提供RP在兩個步驟中調(diào)用的至少兩個API揭露開放ID/0Auth協(xié)議��,如下面示出:
[0133]一個步驟可以包括createAuthUrl API調(diào)用����。這個API調(diào)用可以當(dāng)用戶在IDP圖標(biāo)(例如Gmai1、Yahoo按鈕)上點擊時或例如直接輸入電子郵件地址時發(fā)生�����。GITkit后端可以例如根據(jù)開放ID2.0協(xié)議執(zhí)行IDP發(fā)現(xiàn)����。如果IDP實際上使用OAuth協(xié)議,那么GITkit可以直接使用預(yù)先定義的IDP端點���。最終結(jié)果可以是GITkit返回URL (參數(shù)“authUri”)��,其可以代表IDP的授權(quán)端點�����,以及GITkit登錄微件可以彈出登錄窗口�,該登錄窗口可以重定向到這個端點�。(這個步驟可以對應(yīng)普通開放ID協(xié)議的第一重定向�����,其中瀏覽器重定向到0P���。通過與本地OP使用與之前相同的機制,在這個階段��,而是用戶的瀏覽器可以被重定向到本地0P)��。當(dāng)調(diào)用createAuthUrl, RP可以在“continueUrl” (即調(diào)回URL)中傳遞哪一個是在用戶通過對應(yīng)IDP成功認證之后被重定向的URL���?���!邦I(lǐng)域”(realm)可以是標(biāo)識開放ID的領(lǐng)域的可選參數(shù)�,而“標(biāo)識符”可以指定使用哪個IDP��。
[0134]另一步驟可以包括驗證斷言�。在IDP已成功認證用戶之后,(這可以涉及實際的用戶認證�,如果使用本地0P,用戶認證可以本地完成)它可以重定向瀏覽器到URL���,該URL在createAuthUrl的“continueUrl”參數(shù)中被指定,該參數(shù)具有使用它的秘密密鑰簽名的用戶的身份信息���。根據(jù)實施方式���,這可以與可以不被處理的二進制斑點(blob)類似,并且它可以被發(fā)送回GITkit用于確認��。這可以是開放ID中從OP到RP的第二重定向����。這可以與本地OP使用。對調(diào)回URL的HTTP請求可以被RP后端中的GITkit客戶端庫捕獲��,并且客戶端庫可以用“requestUri” (IDP返回的URI)和“postBody”(由IDP簽名的斑點)調(diào)用GITkit的驗證斷言API�����。GITkit后端可以使用開放協(xié)議確認IDP響應(yīng)��,并且可以返回身份信息(例如如果使用了 AX�����,還有與這個身份關(guān)聯(lián)的屬性)到RP的后端����。這個步驟可以對應(yīng)普通開放ID的斷言簽名驗證��。這例如可以類似于開放ID的無國籍(stateless)模式�����。GITkit庫可以再次聯(lián)系OP (例如在網(wǎng)絡(luò)中)來驗證簽名并請求額外的屬性(例如電子郵件地址)���。RP可以審查“verifiedEmail (驗證的電子郵件)”字段,并且做出相應(yīng)的動作�。例如,如果用這個電子郵件地址的賬戶有效�����,則用戶可以登錄���,和/或Java腳本微件可以關(guān)閉登錄窗口��,和/或重定向用戶的瀏覽器到RP的主頁�����。如果沒有找到針對這個電子郵件的賬戶��,RP可以例如用預(yù)填入的和不可編輯的電子郵件字段與針對所填入的賬戶的其他屬性一起�����,重定向用戶到賬戶產(chǎn)生頁�。
[0135]對于基于OAuth的IDP認證��,RP可以使用相同或類似的調(diào)用�����,并得到從GITkit返回的相同或類似的響應(yīng)��。但GITkit可以在它的后端使用OAuth協(xié)議與IDP通信���,并且做出正確的處理����,例如交換接入令牌�����。GITkit API端點接收針對GITkit API調(diào)用的請求�����,認證用戶(通常使用API密鑰),以及用正確的參數(shù)調(diào)用GITkit服務(wù)器�。GITkit服務(wù)器可以聯(lián)系對應(yīng)的IDP來完成開放ID/OAuth調(diào)用。
[0136]雖然在此描述的示例實施方式在開放ID的上下文中執(zhí)行�,但上面描述的技術(shù)可以應(yīng)用到任何數(shù)量的單點登錄安全協(xié)議,例如自由聯(lián)盟�。此外,雖然與各種圖一起描述各種實施方式����,應(yīng)當(dāng)理解的是,其他類似的實施方式可以被使用���,或者不背離各種實施方式的相同功能�,對描述的實施方式作出修改和增加用于執(zhí)行各種實施方式的相同功能���。因此�,實施方式應(yīng)當(dāng)不限于單個實施方式�,但相反應(yīng)當(dāng)在根據(jù)所附權(quán)利要求的寬度和范圍上解釋。
[0137]此外上面以特定的組合描述了特征和元素���,并且每個特征或元素可以單獨的使用或與其他的特征和元素進行組合使用���。應(yīng)當(dāng)理解的是,這里描述的任何或所有系統(tǒng)���、方法以及處理可以用存儲在計算機可讀存儲媒介上的計算機或處理器可讀指令(例如程序代碼���、軟件和/或固件)的方式實現(xiàn)。當(dāng)指令由例如處理器的機器執(zhí)行時����,指令執(zhí)行和/或?qū)嵤┰诖嗣枋龅南到y(tǒng)、方法和處理����。具體地,以上描述的任何步驟��、操作或功能可以用可執(zhí)行指令的方式實施�。計算機可讀存儲媒介包括實施在任何方法或技術(shù)中用于存儲信息的易失性和非易失性,可移動和不可移動媒介���。計算機可讀存儲媒介包括但不限于���,RAM, ROM, EEPR0M,閃存或其他存儲器技術(shù)���,CDR0M,數(shù)字通用盤(DVD)或其他光盤存儲��,磁帶盒���,磁帶����,磁盤存儲或其他磁存儲設(shè)備�����,或可以用來存儲期望的信息以及可以由計算機或處理器接入的任何其他媒介�����。
【權(quán)利要求】
1.一種用戶設(shè)備(UE)���,該UE包括: 用戶應(yīng)用���,被配置成與服務(wù)提供方通信以接入服務(wù)�����; 多個網(wǎng)絡(luò)輔助認證模塊�,每個網(wǎng)絡(luò)輔助認證模塊對應(yīng)于不同的網(wǎng)絡(luò)輔助認證協(xié)議��,并且其中所述多個網(wǎng)絡(luò)輔助認證模塊中的一個或多個網(wǎng)絡(luò)輔助認證模塊被配置成執(zhí)行與所述服務(wù)提供方的網(wǎng)絡(luò)輔助認證以接入所述服務(wù)�;以及 單點登錄(SSO)子系統(tǒng)����,被配置成基于用戶輔助認證信息來認證所述UE的用戶并選擇所述多個網(wǎng)絡(luò)輔助認證模塊中的一網(wǎng)絡(luò)輔助認證模塊以用于執(zhí)行與所述服務(wù)提供方的網(wǎng)絡(luò)輔助認證,并且其中所述SSO子系統(tǒng)還被配置成執(zhí)行用戶輔助認證和基于一個或多個策略選擇所述網(wǎng)絡(luò)輔助認證模塊�。
2.根據(jù)權(quán)利要求1所述的UE,其中��,所述用戶輔助認證信息包括用戶身份或用戶憑證中的至少一者����,并且其中所述SSO子系統(tǒng)被配置成使用所述用戶身份執(zhí)行所述用戶輔助認證,以及其中所述UE被配置成使用UE身份執(zhí)行所述網(wǎng)絡(luò)輔助認證�����。
3.根據(jù)權(quán)利要求1所述的UE����,其中����,網(wǎng)絡(luò)輔助認證策略指示與所述用戶輔助認證相關(guān)聯(lián)的用戶輔助認證強度或與所述網(wǎng)絡(luò)輔助認證相關(guān)聯(lián)的網(wǎng)絡(luò)輔助認證強度中的至少一者����。
4.根據(jù)權(quán)利要求1所述的UE,其中��,所述網(wǎng)絡(luò)輔助認證通過發(fā)送指示所述用戶被認證的斷言消息到所述服務(wù)提供方而被執(zhí)行���。
5.根據(jù)權(quán)利要求1所述的UE�,其中��,所述SSO子系統(tǒng)還被配置成使用所述用戶輔助認證產(chǎn)生的至少一個參數(shù)來執(zhí)行所述網(wǎng)絡(luò)輔助認證��。
6.根據(jù)權(quán)利要求5所述的UE���,其中����,所述用戶輔助認證產(chǎn)生的所述至少一個參數(shù)包括用戶輔助認證狀態(tài)�、用戶輔助認證時間����、或用戶輔助認證強度���。
7.根據(jù)權(quán)利要求1所述的UE`���,其中,所述SSO子系統(tǒng)還被配置成接收將要用于所述網(wǎng)絡(luò)輔助認證的身份提供方的選擇����,其中所述身份提供方與所述多個網(wǎng)絡(luò)輔助認證模塊的一認證模塊相關(guān)聯(lián)����。
8.根據(jù)權(quán)利要求1所述的UE,其中���,所述UE被配置成支持由多個服務(wù)提供方提供的服務(wù)�,每個服務(wù)提供方與不同組的策略相關(guān)聯(lián)����。
9.根據(jù)權(quán)利要求1所述的UE,該UE還包括懇請者���,該懇請者能夠?qū)崿F(xiàn)從所述應(yīng)用到所述多個網(wǎng)絡(luò)輔助認證模塊的所述通信�。
10.根據(jù)權(quán)利要求9所述的UE,其中���,所述懇請者被包括在所述SSO子系統(tǒng)中�����。
11.根據(jù)權(quán)利要求9所述的UE���,其中,所述懇請者從所述服務(wù)提供方或身份提供方的至少一者被下載�����。
12.根據(jù)權(quán)利要求9所述的UE���,其中����,所述懇請者被配置成允許所述用戶應(yīng)用使用所述SSO子系統(tǒng)的一個或多個特征�����。
13.根據(jù)權(quán)利要求9所述的UE,其中����,所述懇請者對應(yīng)于所述用戶應(yīng)用,使得所述懇請者能夠與所述用戶應(yīng)用和所述SSO子系統(tǒng)通信�。
14.一種在包括多個網(wǎng)絡(luò)輔助認證模塊的用戶設(shè)備(UE)中的方法,每個網(wǎng)絡(luò)輔助認證模塊對應(yīng)不同的網(wǎng)絡(luò)輔助認證協(xié)議����,并且其中所述多個網(wǎng)絡(luò)輔助認證模塊中的一個或多個網(wǎng)絡(luò)輔助認證模塊被配置成執(zhí)行與服務(wù)提供方的網(wǎng)絡(luò)輔助認證以接入服務(wù),該方法包括: 基于用戶輔助認證信息認證所述UE的用戶�����; 選擇所述多個網(wǎng)絡(luò)輔助認證模塊中的一網(wǎng)絡(luò)輔助認證模塊以用于執(zhí)行與所述服務(wù)提供方的所述網(wǎng)絡(luò)輔助認證�����;以及 執(zhí)行所述用戶輔助認證并且基于一個或多個策略選擇所述網(wǎng)絡(luò)輔助認證模塊���。
15.根據(jù)權(quán)利要求14所述的方法,該方法還包括: 由所述UE檢測所述服務(wù)提供方的一個或多個數(shù)據(jù)字段��;以及 響應(yīng)于所述檢測�����,用對應(yīng)的認證數(shù)據(jù)填充所述一個或多個數(shù)據(jù)字段。
16.根據(jù)權(quán)利要求14所述的方法��,該方法還包括: 基于來自所述用戶輔助認證的至少一個參數(shù)����,執(zhí)行所述網(wǎng)絡(luò)輔助認證。
17.根據(jù)權(quán)利要求16所述的方法��,其中所述用戶輔助認證產(chǎn)生的所述至少一個參數(shù)包括用戶輔助認證狀態(tài)��、用戶輔助認證時間�、或用戶輔助認證強度。
18.根據(jù)權(quán)利要求14所述的方法����,該方法還包括: 響應(yīng)于所述用戶輔助認證,下載懇請者以用于與所述服務(wù)提供方認證所述用戶����,其中所述懇請者與所述UE的一用戶應(yīng)用匹配。
【文檔編號】H04L29/06GK103503407SQ201280020818
【公開日】2014年1月8日 申請日期:2012年4月27日 優(yōu)先權(quán)日:2011年4月28日
【發(fā)明者】Y·C·沙阿, A·施米特, I·查, L·J·古喬內(nèi), A·萊切爾 申請人:交互數(shù)字專利控股公司