TW201345217A - 具區域功能性身份管理 - Google Patents

具區域功能性身份管理 Download PDF

Info

Publication number
TW201345217A
TW201345217A TW102101946A TW102101946A TW201345217A TW 201345217 A TW201345217 A TW 201345217A TW 102101946 A TW102101946 A TW 102101946A TW 102101946 A TW102101946 A TW 102101946A TW 201345217 A TW201345217 A TW 201345217A
Authority
TW
Taiwan
Prior art keywords
user
token
request
access token
access
Prior art date
Application number
TW102101946A
Other languages
English (en)
Inventor
Andreas Leicher
Yogendra C Shah
Original Assignee
Interdigital Patent Holdings
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Interdigital Patent Holdings filed Critical Interdigital Patent Holdings
Publication of TW201345217A publication Critical patent/TW201345217A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/081Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying self-generating credentials, e.g. instead of receiving credentials from an authority or from another peer, the credentials are generated at the entity itself

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

用戶設備(UE)可在本地執行功能,例如在位於UE內的可信模組上。例如,UE可以經由本地身份提供方功能執行與單一登入協定(例如,開放ID連接)相關聯的功能。例如,UE可以產生能夠由服務提供方用來取得用戶資訊(例如,身份資訊及/或用戶屬性)的身份符記和存取符記。用戶屬性可經由用戶資訊端點來取得,該用戶資訊端點可本地位於該UE上,或者位於網路實體上。服務提供方可以基於其使用符記取得的資訊來授權用戶存取服務。

Description

具區域功能性身份管理
相關申請案的交叉引用
本申請案要求享有2012年1月20日申請的美國臨時專利申請案No. 61/589,125的權益,該申請案的全部內容藉由引用結合於此。
行動裝置越來越多地用於存取網際網路服務。網際網路服務通常需要安全交易來保護敏感資料。這種安全性測量通常以資料需求(例如,用戶名稱、個人識別碼(pin)、及/或密碼)的形式給用戶造成身份和認證負擔。無線電信網路可以實施各種形式的認證。服務提供方也可以尋找各種用戶屬性來認證用戶、識別用戶、及/或確定用戶的存取網路服務的等級。
已經提出了單一登入(SSO)方案,該方案旨在為用戶減少繁瑣的用戶認證。開放ID協定是使單一登入成為可能的協定中的一個示例。開放ID 2.0協定和較新的開放ID連接協定是最普遍的開放ID協定。在下文中,單獨的術語“開放ID協定”意味著涵蓋各種形式的開放ID協定中的任一者,包括開放ID 2.0和開放ID連接。如果要討論特定的協定,其將被具體地識別出。
目前用於SSO的方法(例如,開放ID協定)通常需要網路身份提供方實施各種SSO機制。這些方法可為用戶給出對他/她的身份資訊的有限的控制,因為該身份資訊由SSO身份提供方處理、並可導致易受安全性攻擊的用戶資料和通訊。
在此描述了用於對用戶設備(UE)實施身份管理機制(例如與開放ID連接協定相關聯的機制)的系統、方法和裝置。在示例實施方式中,用戶設備(UE)和服務提供方(SP)可以經由網路進行通訊。UE的用戶可以請求存取由SP提供的服務。該SP可以請求身份(ID)符記來認證用戶及/或UE的身份。UE可以根據請求來建立ID符記。例如,該ID符記可在位於UE內的可信環境中被安全地建立。這種可信環境可由通用積體電路卡(UICC)、可信模組、安全環境等等、或者其任何合適的組合來實施。經由可信環境,UE例如可以向SP發出ID符記。該ID符記可以被驗證以為UE提供對由SP提供的服務的存取。該UE還可以回應於接收到由用戶認可的授權請求來建立存取符記。該存取符記可與由UE從SP請求的服務相關。因此,存取符記可與授權請求的用戶認可相關聯。例如,SP可以發出授權請求以接收關於用戶的附加資訊,例如用戶屬性。該UE可以向SP發出存取符記,並且一旦驗證了該存取符記,該SP可以接收其所請求的用戶屬性。可以根據開放ID連接協定以在UE處產生ID符記和存取符記。例如,該符記可以在位於UE內的可信模組中被安全地產生。
在另一個示例實施方式中,UE可以提供與由SP所請求的服務相關的存取符記。這種存取符記可以由提供所請求的服務的SP來兌換(redeem)。UE可以回應於接收到對用戶資料的請求來產生存取符記。存取符記可以包括指明用戶資訊端點的位置的資訊。例如,SP可以使用該位置來從該用戶資訊端點取得用戶資料。一旦驗證了存取符記,用戶資訊端點可以向SP提供所請求的用戶屬性。用戶資訊端點可以位於UE內的可信模組、經由網路以與SP進行通訊的網路實體、或者其組合上。例如,UE可以建立與服務和UE的用戶相關聯的第一存取符記和第二存取符記。該第一存取符記可以包括指明第一用戶資訊端點的位置的資訊,其中一旦驗證了第一存取符記,該第一用戶資訊端點向SP提供第一請求的用戶屬性。該第二存取符記可以包括指明第二用戶資訊端點的位置的資訊,其中一旦驗證了第二存取符記,該第二用戶資訊端點向SP提供第二請求的用戶屬性。該第一用戶資訊端點可以位於UE上,例如,位於可信模組上,而該第二用戶資訊端點可以位於經由網路與SP通訊的網路實體上。例如,由該第一用戶資訊端點提供的該第一請求的用戶屬性可以由用戶分類為機密資料,而由該第二用戶資訊端點提供的該第二請求的用戶屬性可以由用戶分類為非機密資料。為了服務UE/用戶,SP可以將具有不同安全性類別且從他們各自的用戶資訊端點獲取的第一和第二用戶屬性合併。
在替代實施方式中,除了SP之外或在SP之外,存取符記能夠由接收該符記的其他方(party)進行兌換。
100、1000 用戶設備(UE)
102、204、802、904 服務提供方(SP)
104、200、900 本地OP
106、202、902 瀏覽器
108 行動網路操作者(MNO)
110 IdP伺服器
112、118、120、122、124、126、Iub、iur、IuCS 介面(IF)
114、116 反向頻道(IF)

300、602、702 用戶端
302 開放ID提供方
600、700 用戶/UE
604、704 授權伺服器
628、736 ID端點
630、738、1036、1102、1108 用戶資訊端點
713 認證端點(AEP)
734 符記端點
800 裝置
804 網路IdP
822 端點
906 認證伺服器
924、930 請求
1002 可信模組
1004 瀏覽器代理(BA)
1006 中繼方(RP)
1008 開放ID身份提供方(OP)
1028 檢查ID端點
1400 通訊系統
1402a、1402b、1402c、1402d 無線傳輸/接收單元(WTRU)
1404 無線電存取網路(RAN)
1406 核心網路
1408 公共交換電話網路(PSTN)
1410 網際網路
1412 其他網路
1414a、1414b 基地台

1416 空中介面
1418 處理器
1420 收發器
1422 傳輸/接收元件
1424 揚聲器/麥克風
1426 鍵盤
1428 顯示器/觸控板
1430 不可移式記憶體
1432 可移式記憶體
1434 電源
1436 全球定位系統(GPS)晶片組
1438 其他週邊裝置
1440 節點B
1442 無線電網路控制器(RNC)
1444 媒體閘道(MGW)
1448 服務GPRS支援節點(SGSN)
1450 閘道GPRS支援節點(GGSN)



更詳細的理解可以從下述結合所附圖式並且舉例給出的描述中得到,其中:
第1圖是示出了網路中的示例介面的方塊圖;
第2圖是根據示例實施方式的具有HTTP重定向訊息的開放ID協定的流程圖;
第3圖是示出了根據開放ID連接協定的示例實施的示例性發現過程的流程圖;
第4圖是示出了用於取得配置資訊的示例性協定流的流程圖;
第5圖是示出了示例性註冊協定流的流程圖;
第6圖是開放ID連接協定的示例實施的流程圖;
第7圖是使用授權請求的示例開放ID連接呼叫流的流程圖;
第8圖是根據示例實施方式的具有本地符記建立的示例呼叫流的圖示;
第9圖示出了根據示例實施方式的具有共用預先建立的共用機密S的本地OP的示例協定流的流程圖;
第10圖是根據示例實施方式的開放ID協定的呼叫流,其中用戶資訊端點在本地位於UE上;
第11圖是根據示例實施方式的開放ID協定的呼叫流,其中用戶資料在本地被儲存,並且用戶資料儲存在網路實體上;
第12A圖是可以在其中實施一個或多個所揭露的實施方式的示例通訊系統的系統圖;
第12B圖是可以在第12A圖示出的通訊系統內使用的示例無線傳輸/接收單元(WTRU)的系統圖;以及
第12C圖是可以在第12A圖示出的通訊系統內使用的示例無線電存取網路和示例核心網路的系統圖。
下面詳細的描述被提供以對示例性實施方式進行說明,並且不意圖限制本發明的保護範圍、應用性或配置。可以對元件和步驟的功能和排列作出各種修改,而不背離本發明的精神和保護範圍。
在此描述了用於管理用戶及/或用戶設備(UE)的身份的各種方法和系統。儘管此處的實施方式是按照開放ID連接協定的上下文進行描述的,但實施方式不限於實施開放ID連接協定,並且可以例如實施其他單一登入(SSO)協定及/或聯邦身份協定。類似地,儘管在此將開放ID實體用作參考,但實施方式不限於開放ID實體,並且該開放ID實體可擴展成執行與開放ID實體相同或類似的功能的其他實體。例如,如在此處所使用的,術語中繼方(RP)和用戶端可指服務提供方(SP),例如,服務網站。術語開放ID身份提供方(OP)和授權伺服器可指網路身份提供方(IdP)或認證端點(AEP)。術語用戶設備(UE)可指任何合適的無線傳輸/接收單元(WTRU),如在此進一步描述的。
在一個示例實施方式中,認證端點(例如,OP伺服器)的認證功能可以由位於UE內的本地安全性模組來實施。例如,行動裝置的本地代理(例如,諸如安全性模組、可信模組等之類的可信環境)可以充當網路側身份提供方的代理。本地安全性模組可以用於執行可認證及/或授權UE的終端用戶的功能。本地安全性模組可以被稱作本地身份提供方、並且可以用於基於開放ID協定(例如,開放ID連接)來認證終端用戶。術語本地開放ID可以用於指明本地SSO實施的子集合,其中SSO的實施及/或身份管理是根據開放ID協定的(例如,開放ID連接)。例如,本地開放ID可以用於指明可由位於本地的實體或可信環境執行的OP的功能。本地OP是可用於指明在本地位於裝置上執行開放ID伺服器(例如,授權伺服器)的功能或功能的子集合的實體或模組的術語。
根據示例實施方式,本地OP可以使用基於符記的協定流。這種符記可以被發出至SP(例如,RP)。符記可用於從身份提供方及/或從用戶資訊端點取得關於用戶的資訊(例如,屬性)。如在此所使用的,用戶屬性可指與用戶相關聯的任何資訊元素。示例用戶資訊(例如,屬性)包括而不限於用戶的年齡和地址,並且這種屬性可由SP使用符記來取得。例如,SP可以使用符記來取得資訊,而無需該符記攜帶該資訊。
在此描述的實施方式可以使用符記來進行認證。可以使用諸如URL及/或電子郵件位址之類的各種識別符。諸如開放ID連接之類的認證協定可以便於用戶屬性及/或身份資訊的安全交換。
第1圖示出了說明根據示例實施方式的示例通訊介面的方塊圖。行動裝置(例如,UE 100)可以連接至網際網路,而在公共網際網路上不是可直接定址的。在示例場景中,UE 100和在該UE 100上運行的服務及/或應用不能由外面的實體(例如,網路服務提供方102)到達。UE 100上的本地服務(例如,本地OP 104)可以經由UE 100上的瀏覽器106到達、及/或藉由行動網路操作者(MNO)108的管理後端系統來到達。例如,如果本地OP 104由MNO 108發出並安裝在SIM卡上,本地服務可以經由空中(OTA)管理來存取。例如,諸如服務提供方102之類的一些網路服務可直接與在UE 100上運行的服務通訊。
在其中UE 100經由MNO網路108連接至網際網路的示例配置中,可以根據第1圖示出的實施方式來識別示例性通訊路徑/介面。在介面(IF)112處,UE 100中的瀏覽器106可例如藉由使用HTTP(S)請求來聯繫基於網路的服務(例如,SP 102)。該SP 102可以對HTTP(S)請求進行回答、及/或發送回應至瀏覽器106。在示例場景中,SP 102可在接收到請求之前不發起與瀏覽器106的通訊。IF 114可用於瀏覽器106和內部本地OP 104。瀏覽器106可以例如經由HTTP(S)及/或經由中介軟體軟體實體(例如,Java小程式(applet)、Javascript介面工具集(widget)、OS API等)與位於UE 100內的本地OP 104進行通訊。本地OP 104可以例如使用HTTP回應對來自瀏覽器、應用及/或API的請求進行回應。在示例配置中,本地OP 104可在接收到請求之前不發起與瀏覽器106的通訊。
IF 116可以被稱作反向頻道。使用該反向頻道116,SP 102可以聯繫IdP伺服器110(例如,使用HTTP),及/或IdP伺服器110可以聯繫服務提供方102(例如,使用HTTP)。在不涉及瀏覽器106或用戶的裝置100的情況下,經由IF 116的通訊可以發生。IF 118可用於IdP 110和MNO網路108。正如第1圖中的橢圓虛線所指明的,IdP 110可以是獨立的、或者可以是MNO網路108的一部分。IdP伺服器110可以由MNO網路108的內部實體到達(例如,使用HTTP及/或專屬介面)。IdP伺服器110可以能夠與MNO網路108的內部實體進行通訊。在示例配置中,IdP伺服器110是否可以與MNO網路108的內部實體進行通訊可以取決於MNO防火牆規則及/或策略。IF 120可以被稱作空中(OTA)管理介面120。該OTA介面120可用於MNO網路108和本地OP 104。例如,MNO網路108中的實體可使用該OTA管理介面120來與UICC/SIM卡上的應用進行通訊。從本地OP 104的應用到MNO網路108上的實體的連接可受制於MNO防火牆規則。取決於本地OP 104及/或IdP 110的應用的所有權,IF 122可用於或不可用於本地OP 104及/或IdP伺服器110。例如,在IF 122的兩個實體(例如,本地OP 104和IdP 110)之間的直接通訊頻道(例如,使用SMS、OTA等)可以在兩個實體由MNO操作及/或擁有時建立、及/或徵得MNO的同意來建立。在示例配置中,MNO可以啟用在IF 122處的通訊頻道。通訊IF 124在SP 102和本地OP 104之間不可用。例如,在UE 100不是可公共地定址的時,從服務提供方102到UE 100或在該UE 100上運行的本地OP服務104的直接通訊不可用。IF 126可用於瀏覽器106和IdP 110。例如,瀏覽器106可經由HTTP請求到達IdP 110。該IdP伺服器110可以對瀏覽器106的HTTP請求進行回應。
介面可用性(例如,經由IF 122進行通訊的能力)可取決於通訊端點及/或該端點之間的通訊路徑的控制。在示例配置中,IF 122在OP 110和本地OP 104處於MNO的控制下時是可用的,以及OP 110和本地OP 104之間的通訊是藉由SP 102和本地OP 104之間的實體通訊路徑來實現。
在示例實施方式中,本地OP 104可以向SP 102發出符記。該符記可由SP 102授予(present)給網路IdP/OP 110。這種符記可用於取得資料。在其中通訊介面不可用於SP 102向本地OP 104授予符記的示例配置中,網路IdP/OP 110可以驗證該符記是否由合法的本地OP 104發出。IdP/OP 110還可以確定該符記是否有效。例如,確定符記是否有效可包括驗證該符記是否已經期滿。
仍然參考第1圖,從SP 102到本地OP 104的間接通訊可以經由UE 100的瀏覽器106以例如用重定向訊息的方式來進行。SP 102可以發送包括URL的HTTP 3xx訊息以重定向瀏覽器106。例如,根據開放ID協定,URL可以是對應於IdP認證端點(AEP)的URL。SP 102可例如經由發現機制來獲知IdP認證端點。UE 100可以將URL解析為AEP的伺服器的網際網路協定(IP)位址。例如,具有安裝在UE 100上的本地OP 104的UE 100可以將URL解析為本地OP伺服器104的本地IP位址。
第2圖是示出了示例HTTP重定向訊息的流程圖。第2圖所示的資訊流可使用可在實施開放ID協定時使用的間接通訊來實施。UE的瀏覽器202可藉由請求存取由SP 204提供的服務來發起與SP 204的通訊。該請求可包括用於存取服務的HTTP請求。在206處,SP 204可對該請求進行回應、並且可發送資料至本地OP 200,作為在206處的重定向訊息的一部分(例如,資料可在HTTP訊息的參數中被傳遞)。在208處,瀏覽器202可以解析成本地OP 200的本地位址。瀏覽器202可以例如藉由在210處發送訊息來跟隨其在206處接收到的重定向訊息至本地OP 200。例如,瀏覽器202可經由對DNS查找及/或助手軟體(例如,Java小程式)的修改來跟隨該重定向。例如,URL/位址的DNS解析可經由主機檔案來進行、及/或可由Java小程式請求者(supplicant)來促進。在212處,本地OP操作可以發生。例如,在212處,UE的用戶可與該UE一起被認證。在214和216處,本地OP 200可例如經由可發送瀏覽器202至SP 204(在216處)的另一個重定向(在214處)將資訊傳遞到SP 204。資訊及/或資料可以在HTTP訊息的參數中被傳遞。在示例配置中,從SP 204到本地OP 200的直接通訊不可用。
開放ID連接協定使得各種類型的用戶端(例如,基於瀏覽器的、行動及/或javascript用戶端)能夠請求和接收關於身份和認證對話的資訊。在開放ID連接的各種示例實施中,身份資料可以被加密、OP可以被發現、以及高級對話管理(例如,退出)可以被啟用。在開放ID連接的示例實施中,用戶識別符可以基於電子郵件位址及/或URL。例如,在從用戶獲得授權(例如,經由基於開放授權(OAuth)的呼叫流)時,服務提供方可以被允許存取用戶擁有的內容及/或設定檔資料。
根據開放ID 2.0協定的示例實施,用戶端機密(例如,在身份提供方(IdP/OP)和SP/用戶端之間的共用機密)可以針對每個用戶來建立(例如,按照認證協定運行)。該共用機密可以在發現過程期間在OP和服務之間建立。例如,該共用機密可以從長期機密中取得、及/或其可以藉由本地OP實例來計算。根據開放ID連接協定的示例實施,用戶端機密可以包括符記。例如,身份(ID)符記可由OP進行簽名,並且用戶端可驗證該符記(例如,在OP提供的符記端點的幫助下)、及/或該用戶端可獨立地驗證該符記簽名。在示例實施方式中,OP可在發現及/或註冊過程期間提供密鑰。例如,在發現之後,可在用戶端和OP之間執行註冊。在示例配置中,註冊協定步驟可不特定於用戶。例如,密鑰可用於對符記進行簽名,並且該密鑰可以是用於多個用戶的通用密鑰。在示例實施方式中,符記及其簽名可由本地OP建立。例如,密鑰可用於本地OP,並且該OP可使用該密鑰來建立簽名。
第3圖示出了根據開放ID連接的示例實施的示例發現過程。可被稱作SP的用戶端300可以尋找開放ID身份提供方302的資訊(例如,端點URL)。獲得令人滿意的(sought-after)資訊的過程可以被稱作發現。SP可以獲知提供方資訊(例如,經由帶外機制),並因此可以跳過根據開放ID協定的示例實施的發現。在另一個示例實施中,用戶端300可以使用簡單網路發現(SWD)來發現資訊。在SWD中,例如,在306處,UE的用戶可以向用戶端300提供用戶的識別符。該用戶可以被稱作委託人。在306處,用戶端300可以識別該識別符的主機。該主機可指擁有(host)SWD服務的伺服器。委託人及/或主機資訊可由終端用戶在例如該識別符中提供。該識別符可以例如是XRI、電子郵件、URL等等。在306處,用戶端300可以向用戶提供的識別符施加標準化及/或擷取規則,以確定委託人及/或主機。參考第3圖,例如,委託人可指電子郵件,而主機可指在提供的電子郵件位址中“@”的右邊的每一項內容。在308處,用戶端300可以使用HTTP獲得(HTTP GET)請求以從提供方302請求位置(例如,URL)。在310處,OP 302可以返回包括位置資訊(例如,認證端點及/或授權端點的位址)的資訊。
作為發現的一部分,用戶端300可以取得配置資訊(例如,參見第4圖)。在400處,用戶端300可以請求配置資訊。這種配置資訊在開放ID提供方302處(例如,在已知的URL/可指向JSON檔案的開放id配置處)可用。可使用TLS來保護通訊。在402處,作為對請求的回應,開放ID提供方302可以返回可包括關於開放ID提供方302的配置的屬性(例如,資訊)的JSON檔案。該資訊可例如包括關於端點的資訊及/或公共密鑰位置資訊。例如,端點資訊可包括:認證及/或授權端點的URL;符記端點的URL;用戶資訊(User Info)端點的URL;及/或檢查ID端點的URL。JSON網路密鑰檔案可以包括提供方的JSON網路密鑰(JWK)檔案的URL。該JWK檔案可以具有JSON結構,該JSON結構可以提供一組公共密鑰。這種密鑰可用於對JSON網路符記(例如,ID符記)進行簽名。
第5圖示出了根據開放ID連接協定的示例實施的示例註冊過程。用戶端300可以向開放ID提供方302註冊,以例如獲得用戶端ID及/或用戶端機密。在500處,用戶端300可以發出請求至提供方302的發現的註冊端點。在502處,可以向用戶端300發出回應。該回應可以包括JSON檔案。該JSON檔案可以包括用戶端ID及/或用戶端機密。TLS可用於保護通訊。
繼續參考第5圖,用戶端機密可以在用戶端/SP 300與IdP 302之間的註冊期間建立。該用戶端機密可以用作針對可想要執行授權碼流的用戶端的認證憑證。在授權碼流中,在用戶端請求存取符記時、或在用戶端想要復新存取符記時,用戶端可以使用用戶端機密來向提供方的符記端點進行認證。根據示例實施,HMAC簽名可用於對ID符記進行簽名。在這種實施中,用戶端機密可用作簽名密鑰。RP可嘗試使用其儲存的用戶端機密,例如以在HMAC被用作簽名機制的情況下驗證符記簽名。例如,HMAC對稱簽名可由本地OP使用。該本地OP可獲知用於SP的用戶端機密,例如以建立HMAC簽名。
在用戶登入用戶端時,可以執行或不執行註冊。在開放ID連接協定的示例實施中,用戶端機密可以根據服務和IdP來建立,以使服務可以具有其自己與IdP的用戶端機密。在開放ID 2.0協定的示例實施中,相關聯的機密可以針對服務與IdP之間的每個用戶認證過程來建立。例如,該相關聯的機密可以用於對身份聲明訊息進行簽名,並且用戶端可以驗證該簽名。在示例開放ID連接實施中,用戶端機密可以是用戶端認證憑證。因此,相關聯的機密的作用可以由ID符記上的簽名來實施。ID符記上的簽名可例如使用提供方JWK密鑰來建立。
根據開放ID連接協定的示例實施,發現和註冊過程可以在SP與網路上的IdP之間進行,以使用戶端機密及/或在兩個實體之間交換的其他資訊的可用性可以被限制到SP和網路IdP。
在開放ID連接協定的各種示例實施中,ID符記可以用作OAuth存取符記。例如,ID符記可以在OP處用認證資料(例如,用戶識別符)來交換。該ID符記可以攜帶編碼後的資料。對存取符記的請求可以允許服務提供方存取用戶識別符及/或附加設定檔資料(例如,諸如地址、年齡等之類的用戶屬性)。例如,ID符記的資料格式可以是可包括JSON資料的JWT。
在此描述的實施方式可以使用例如ID符記及/或存取符記之類的各種符記類型。這種符記可以根據開放ID連接協定來實施。例如,ID符記可以包括關於認證事件的資訊,並且可以使得服務提供方能夠驗證用戶是否已經在IdP處被認證。為了啟用驗證,例如,ID符記可以包括編碼後的資料。存取符記可以例如是OAuth承載符記。存取符記可以允許接收服務來兌換符記(例如,在用戶資訊端點處)。服務提供方可以兌換存取符記,例如以接收用戶資訊(例如,用戶屬性/要求)。服務提供方可以使用ID符記來認證用戶。在示例實施方式中,服務可以請求存取符記來取得未被包括在ID符記中的附加資料。例如,服務提供方可以請求存取符記來從端點獲得資料。
根據開放ID連接協定的示例實施,ID符記可以具有JWT格式。JWT可以包括例如用戶的實際認證的JSON屬性。例如,ID符記可以包括可被編碼為JWT的下列資料:
iss——這可指回應的發出者的唯一識別符;
user_i——這可指用戶本地唯一及/或從未重分配的識別符,其旨在由用戶端(例如,24400320或AItOawmwtWwcT0k51BayewNvutrJUqsvl6qs7A4)來使用。根據示例實施,其長度不可超過255個ASCII字元;
aud——這可指ID符記所預期的聽眾(audience)。例如,“aud”可以是RP的OAuth用戶端_id(client_id);
exp——這可以包括整數及/或可以識別期滿時間,其中在該期滿時間時或之後ID符記可以被接受以進行處理。此參數的處理可以取決於目前日期/時間是否在值中所列出的期滿日期/時間之前。例如,考慮到時鐘偏移,實施者可以提供誤差。該值可以是從在UTC中測得的1970-01-01T0:0:0Z直到所期望的日期/時間的秒數;
iso29115——這可提供實體認證保證。例如,該資料參數可以指定所執行的認證的實體認證保證等級;以及
nonce——如果授權請求包括隨機請求值,則該值可以被設定為與該請求值相同的值。
下面示出了根據開放ID連接協定的示例實施的ID符記的示例內容。該示例ID符記可以從用戶端發送至檢查ID端點。下面的部分示出了從服務到端點的示例請求,其中該請求包括示例符記:

下一部分示出了可由端點返回至服務提供方的示例符記的(JSON)內容的示例:

示例符記可以使用JSON網路簽名(JWS)及/或JSON網路加密(JWE)來被簽名及/或加密。用於簽名及/或加密的密鑰可以例如是JSON網路密鑰。
JWT中的屬性可以被編碼為JSON物件。JWT可以是具有要素(component)的組合的字串。示例要素包括JWT標頭分段、JWT屬性分段、以及JWT加密分段。JWT標頭分段可以包括基礎64url*(base64url*)編碼的JSON,其可描述被應用至標頭和屬性分段的加密操作。JWT屬性分段可以包括對屬性進行編碼的base64url*編碼的JSON物件。JWT加密分段可以包括base64url*編碼的加密材料,其保護JWT標頭和屬性分段的內容。示例性基礎64編碼可以移除尾隨的“=”字元。
在開放ID連接協定的示例實施中,符記上的簽名可以是有效的JSON網路符記簽名(JWS)。使用JWS的簽名符記可以具有包括關於簽名演算法的資訊的標頭、及/或可以包括指向用於簽名的密鑰的指標。用於JWS的簽名演算法可以包括下列演算法,但是實施方式並不限於下列簽名演算法:
HS256  HMAC使用SHA-256散列(Hash)演算法;
HS384  HMAC使用SHA-384散列演算法;
HS512  HMAC使用SHA-512散列演算法;
RS256  RSA使用SHA-256散列演算法;
RS384  RSA使用SHA-384散列演算法;
RS512  RSA使用SHA-512散列演算法;
ES256  ECDSA使用P-256曲線(curve)和SHA-256散列演算法;
ES384  ECDSA使用P-384曲線和SHA-384散列演算法;及/或
ES512  ECDSA使用P-521曲線和SHA-512散列演算法。
如上所示,基於所選擇的簽名演算法,例如可以支援不同的密鑰類型。在示例實施中,RP可以選擇自己驗證ID符記上的簽名,因此,RP可能需要獲知驗證密鑰。指向該密鑰的指標可以是標頭的一部分。例如,該指標可以是jku(例如,JSON網路密鑰URL)參數,其可以包括指向一組JSON編碼的公共密鑰的URL。在示例實施中,x5u參數可以包括指向X.509公共密鑰證書或證書鏈(例如,對應於該密鑰)的URL。標頭參數可以由建立符記和符記簽名的實體來設定。如果HMAC簽名被用於對ID符記進行簽名,用戶端機密可以被用作簽名密鑰。示例存取符記可以例如是OAuth承載符記。示例存取符記例如可以在用戶資訊端點處被使用,以獲取用戶資訊(例如,身份屬性及/或用戶資訊)。
服務提供方(用戶端)可以獨立地執行ID符記的驗證。例如,用戶端可以驗證符記而無需聯繫發出IdP伺服器。用於驗證的密鑰材料可以由用戶端在發現過程中(例如,在JSON網路密鑰URL參數中)接收。
根據示例實施方式,服務提供方可以將ID符記視為不透明的值,並且可以將他們遞交至檢查ID端點,以進行驗證。在這種實施方式中,服務提供方可以從檢查ID端點接收關於用戶認證的資訊。ID符記上的簽名及/或加密可以例如使用JSON網路密鑰。該密鑰可經由註冊中的JSON網路密鑰參數及/或(例如,在x5u標頭參數中引用的)公共密鑰而可用於用戶端。
第6圖示出了根據開放ID連接協定的示例實施的示例呼叫流。第6圖中的示例呼叫流可以由例如尚未向OP(例如,授權伺服器604)註冊共用機密的服務提供方(例如,用戶端602)使用。在其中服務提供方尚未向身份提供方註冊共用機密的示例開放ID連接實施中,服務提供方可以直接從身份提供方請求ID符記,如第6圖的610處所示。
在其中服務提供方已經向身份提供方註冊了共用機密的另一個開放ID連接實施中,服務提供方可以跟隨授權(auth)碼流(參見第7圖),其中服務提供方可以接收安全的授權碼而不是符記。該授權碼例如可以在身份提供方處用ID符記進行交換。服務提供方可以使用預先建立的共用機密(例如,與身份提供方)以在用ID符記兌換授權碼時認證該服務提供方。
再次參考第6圖,在用戶/UE 600請求存取由用戶端602提供的服務時,用戶端602可以不向授權伺服器604註冊機密。在606處,用戶600可以藉由使用開放ID識別符(例如,電子郵件位址)來請求存取服務。該識別符可以包括用戶名稱和開放ID IdP(OP)的域。該OP可以提供用於發現和認證的端點。在608處,用戶端602(服務提供方)可以準備授權請求,並且可以將該請求發送至用戶600。該請求可以包括期望的請求參數。在610處,授權請求可以使用HTTP重定向而(例如,經由用戶)被發送至授權伺服器604。在612處,授權伺服器604可以認證該用戶600,並因此授權伺服器604可以被稱作認證端點(AEP)。在示例配置中,授權伺服器604可以認證用戶600,除非用戶600已經被認證過並且該認證尚未期滿。例如,用戶600的目前認證狀態可以為“真”,以使用戶600不需要在612處進行重新認證。在614處,授權伺服器604可以從用戶600獲得同意或授權,以允許符記發出。在示例配置中,用戶600可以建立可避免用戶同意/授權的策略。例如,用戶600可在先前的協定運行時點擊“記住這個決定”核取方塊。在616處,符記可以被建立,並且授權伺服器604可以用存取符記及/或ID符記以將用戶600發送回至用戶端602(在618處)。在示例實施中,在620處,用戶端602可以在檢查ID端點628處確認該ID符記。在622處,用戶端602可以接收例如具有用戶的身份的ID符記回應。在624處,用戶端602可以例如使用存取符記來存取用戶資訊端點630。在存取該用戶資訊端點630之後,用戶端602可以接收用戶資訊回應(例如,所請求的用戶屬性)。
參考第7圖,服務提供方(例如,用戶端702)可已經向身份提供方(例如,授權伺服器704)註冊了共用機密。在706處,用戶/UE 700可請求存取由用戶端702提供的服務。在706處,該存取可以藉由向用戶端702提供用戶700的識別符來被請求。這種識別符可以例如包括開放ID識別符。用戶端702可以準備可包括所期望的請求參數的授權請求,並且在708處,該用戶端702可以將該請求發送至用戶700。在710處,用戶端702可以使用HTTP重定向以(例如,經由用戶700)將該請求發送至認證端點(AEP)713,例如,授權伺服器704。在704處,例如,如果用戶700目前尚未被認證,AEP 713(例如,授權伺服器704)可以認證用戶700。在714處,例如,如果已經獲得了用戶同意/授權的策略還未生效(in place),授權伺服器704可以獲得用戶700的同意/授權。在716處,授權伺服器可以建立授權(auth)碼,並且可以在718處例如使用授權碼將用戶700重定向至用戶端702。在720處,用戶端702可以例如使用授權碼以在符記端點734處請求聲明。在724處,用戶端702可以從符記端點734接收該聲明。該聲明可以包括回應體中的存取符記及/或ID符記。在725處,用戶端702可以例如在檢查ID端點736處確認該ID符記。在728處,用戶端702可以從檢查ID端點736接收ID符記回應。這種ID符記回應可以包括終端用戶700的身份。在730處,用戶端702可以例如使用存取符記來存取用戶資訊端點738。在732處,用戶端702可以從用戶資訊端點738接收用戶資訊回應。在示例實施中,服務提供方(例如,用戶端702)可以驗證在步驟718中接收到的ID符記、並且可以基於從該ID符記獲取的身份資訊來授權存取。在用戶資訊端點738處使用存取符記來取得身份屬性可以是用戶端702的選擇。
在一個示例實施方式中,使開放ID連接協定能夠被實施的機制可以在UE上本地執行。例如,用戶可以被本地認證,對應於用戶的身份屬性可以被本地管理,由用戶對身份屬性的釋放可以被本地授權,以及用戶資訊端點可以在本地位於UE上。在示例實施方式中,諸如本地OP之類的本地可信環境可以安全地認證用戶、從用戶獲得授權、及/或建立符記。在本地建立的符記可以例如由服務提供方(SP)使用,以從各個端點取得用戶認證資料及/或用戶身份資訊(例如,屬性)。如在此所描述的,符記可以包括用於網路身份提供方(IdP)驗證該符記是否已經由授權的UE及/或授權的本地OP發出並且該符記是否已經期滿的資訊。為了確定符記是否已經期滿,例如,符記可以在用戶認證之時被標記時間戳。
第8圖示出了根據示例實施方式的其中符記可以在本地被建立的示例協定流的流程圖。在806處,UE(例如,裝置800)可以請求存取由服務提供方802提供的服務。請求可以包括裝置800的用戶的識別符。在808處,服務提供方802(用戶端)可以經由重定向訊息以從裝置800請求符記。因此,UE可以接收對符記的請求,其中該對符記的請求是回應於對存取由服務提供方提供的服務的請求。在808處的請求可以包括對根據開放ID連接協定的ID符記的請求。在808處的請求可以包括對根據開放ID連接協定的存取符記的請求。例如,存取符記可以由服務提供方802請求,以使服務提供方能夠取得裝置800的用戶的屬性。屬性可與用戶的身份相關。例如,如果服務提供方802確定其不需要附加的屬性或用戶資訊,服務提供方802可以決定不對存取符記進行請求。
仍然參考第8圖,在810處,用戶可以給出對裝置800向服務提供方802發出符記的同意(認可)。例如,存取符記可以表示可允許服務提供方802存取來自用戶資訊(info)端點的指定的一個或多個屬性的同意(例如,由用戶給定)。例如,在本地產生的存取符記可以包括可允許用戶資訊端點識別其中存取已經被授權的指定屬性。例如,如果服務提供方802請求存取多個屬性,並且用戶同意授權存取(在810處)所請求的屬性中的一些,根據示例實施方式,用戶資訊端點可以釋放授權的資訊、並且可以不釋放尚未由用戶授權的屬性。
例如,UE(例如,裝置800)可以接收對用戶資料的請求、並且可以接收對釋放用戶資料的同意部分的用戶同意。回應於該用戶同意,裝置800可以產生可與服務提供方802相關聯的存取符記。裝置800可以向服務提供方802發出存取符記,其中一旦驗證了存取符記,該用戶資料的同意部分被釋放至服務提供方802。所請求的用戶資料可以包括多個用戶屬性,其中該多個用戶屬性中的至少一者不是被釋放的該用戶資料的同意部分的一部分。如在此進一步描述的,根據示例實施方式,用戶資訊端點可以位於裝置800內,並且存取符記可以在這種用戶資訊端點處被接收。回應於接收到該存取符記,裝置800可以向服務提供方802提供該用戶資料的同意部分。
在812處,符記可以在裝置800上建立。例如,回應於對符記的請求,裝置800可以根據對該符記的該請求來建立身份符記。在示例實施方式中,符記可以在位於裝置800內的可信環境(例如,本地OP)上被安全地建立。在812處,存取符記可以在裝置800上產生。這種存取符記例如可以包括允許網路實體確定哪個或哪些屬性可由服務提供方802取得的資訊。在814處,該符記可以發向服務提供方802。例如,身份(ID)符記可以經由UE(例如,裝置800)被發出,其中該ID符記被驗證以提供UE對服務的存取。例如,在820處,服務提供方802可以驗證符記(例如,ID符記)。在示例實施方式中,服務提供方802可以檢查ID符記上的簽名,以驗證該符記是否有效。用於驗證的密鑰材料可已由服務提供方802在發現過程中(例如,在JSON網路密鑰URL參數中)接收。在服務提供方802確認該ID符記簽名之後,服務提供方802可以檢查在ID符記中的經編碼的欄位,以進一步確認該ID符記。例如,“iss”(發出者)欄位可以包括符記發出者的唯一識別符,例如SP從用戶提供的識別符發現的IdP的唯一識別符。“aud”(聽眾)欄位可以識別符記所期望的聽眾。因此,聽眾欄位可以包括服務提供方802的用戶端_id。“exp”(期滿)欄位可以識別期滿時間,其中,在該期滿時間之後,符記不被接受。在具有期滿時間的示例配置中,如果目前時間在“exp”日期和時間之後,則對應的ID符記已期滿。服務提供方可以驗證和確認該ID符記是否已經期滿。
在816處,用戶資訊端點(例如,網路IdP)可以被授予存取符記。該存取符記可以包括來自步驟810的同意資訊。在示例實施方式中,服務提供方(SP)802可以將存取符記視為不透明的值。這種存取符記可以被稱作不攜帶簽名的不透明承載符記。在816處,存取符記可以針對各自的符記端點來使用以取得用戶屬性及/或其他資訊。符記例如可以包括裝置800的識別符(例如,裝置800的本地OP的識別符)。這種識別符可以通知網路IdP 804該發出裝置800或發出本地OP的唯一身份。裝置800及/或裝置800的本地OP的這種識別符可以被包含在符記的簽名中。在822處,例如,該識別符可以允許網路IdP 804識別和確認由本地OP發出的符記。識別符可以允許符記建立和符記驗證在至少兩個不同的實體中發生,如第8圖所示。例如,網路實體(例如,網路IdP 804)可能被要求經由符記驗證端點822來驗證符記。該端點822可以根據在上面所描述用於驗證ID符記的示例步驟來驗證存取符記。網路IdP 804可以將驗證的結果返回至服務提供方802。在服務提供方802接受ID符記並信任其內容之前需要成功的驗證。例如,服務提供方可以不信任電子郵件位址屬於目前對話的用戶,直到符記被驗證。一旦成功驗證,服務提供方802可以採取行動,例如,將經驗證的用戶添加到其用戶資料庫,允許存取其提供的服務等等。
在其中本地OP發出符記的示例實施方式中,本地OP可以獲知機密以對符記進行簽名。例如,本地OP可以獲知已經被提供給在發現過程中向IdP註冊的服務提供方的機密。如在此處所描述的,服務提供方可以發送符記(例如,ID符記)至檢查ID端點。該端點可以解碼JWT編碼及/或可以驗證簽名。在示例配置中,服務提供方可以驗證ID符記而不是檢查ID端點(例如,參見第8圖的820)。例如,ID符記JWT可以用JWK密鑰進行簽名。例如,作為利用身份提供方的發現過程的結果,該密鑰對於服務提供方是已知的。
在此所描述的裝置的各種實施方式可以(例如,藉由本地OP)在本地建立符記。例如,本地OP可以獲知機密來建立符記簽名。在示例實施方式中,HMAC簽名可以被使用。例如,本地OP可以具有對包括列表的存取,該列表是針對服務的用戶端機密。該列表例如可以由MNO(例如,使用OTA頻道)維護、更新及/或管理。
根據使用HMAC簽名的另一個實施,本地OP可以例如使用聽眾欄位、及/或可以查詢MNO服務端點(例如,經由安全通訊頻道),以從網路IdP獲得相應的機密。例如,查詢提供方的JSON網路密鑰檔案的URL可以獲得密鑰的識別符。本地OP可以做出安全的及/或經認證的請求,以獲得密鑰材料。請求可以例如藉由引入通訊步驟及/或藉由可獨立於用戶認證的協定運行(例如,在低利用率的時候密鑰材料的載入)而在認證時發生。
在另一個示例實施方式中,機密可以從共用機密S及/或聽眾欄位內容中得出。例如,本地OP可以計算用戶端密鑰。密鑰推導功能可以由網路IdP使用,例如以(例如,基於長期機密S)計算用戶端機密。用戶端機密可以與本地OP實例共用。在發現過程中,例如,網路IdP可以使用KEF來計算用戶端機密。本地OP可以計算相同的用戶端機密。
JSON網路簽名(JWS)可以允許為所簽名的JWT使用標頭欄位。例如,標頭欄位可以用於傳達關於密鑰的資訊,例如,已經用於簽名的資訊。“jku”參數可以指向可擁有公共密鑰的JSON網路密鑰(JWK)URL。“kid”密鑰id參數可以指明哪個密鑰可能已經被使用。在替代的實施方式中,標頭可以包括欄位“x5u”,其可指向URL(例如,用於X.509公共密鑰證書)。網路中的OP可以為一個或多個本地OP實例建立密鑰及/或證書、及/或可以為服務/用戶端提供URL,例如以提取公共密鑰證書。本地OP可以包括私有密鑰、及/或可以包括指向URL的指標,例如指向針對JWS的標頭中對應的公共密鑰證書的URL。在示例實施方式中,本地OP可以根據JWT來對ID符記進行編碼、可以應用簽名、並且可以發送該ID符記至服務提供方。
本地OP可以配備有密鑰對。例如,私有密鑰可以被安全地儲存(例如,在本地OP中)。網路OP可以獲知公共密鑰、並且可選地可以獲知針對該公共密鑰所對應的證書。網路OP可以充當證書管理機構(CA)、並且可以自己建立證書,或者網路OP可以獲得經證明的公共密鑰(例如,來自第三方CA)。在其中本地OP配備有密鑰對的示例實施方式中,用戶可能(例如,於第一時間)想要存取服務提供方、並且可以進入電子郵件位址。服務提供方可以擷取用戶名稱及/或OP主機、及/或可以執行發現及/或註冊步驟。例如,服務提供方(例如,網站)可能之前未被用戶及/或OP觀測到。服務提供方(用戶端)可向網路OP進行註冊,並且該網路OP可以提供包括經證明的公共密鑰列表的JWK URL。該服務提供方可以例如使用對ID符記及/或用於一個或多個屬性的存取符記的請求來將用戶代理(例如,瀏覽器)重定向至授權伺服器。
裝置的內部路由可以使得用戶代理可以被定向到本地OP實例。本地OP可以在本地認證用戶。在示例實施方式中,本地OP可以擷取所請求的屬性(例如,要求)、及/或可以檢查用戶屬性的可用性。所請求的屬性在網路中可用或不可用。例如,本地OP可以獲得用戶同意(例如,授權)以建立存取符記。授權可以給予服務提供方到所請求的屬性的至少一部分的存取。用戶在之前可已經被給予釋放資料的同意(例如,藉由點擊“始終同意釋放”核取方塊)。這種同意可以被儲存,例如,以由於未來的決定。本地OP可以建立ID符記、並且可以例如藉由使用私有密鑰來對符記進行簽名。證書的URL可以被放入符記的JWS標頭的x5u欄位中。本地OP可以建立存取符記並且可以向其應用簽名。存取符記可以由服務提供方視為不透明的值、並且可以不包括資料。存取符記可以被兌換(例如,在網路或裝置中的用戶資訊端點處)。該同意可以在符記中被編碼。存取符記中的同意決定的編碼類型可以與實施有關。本地OP可以使用ID符記和存取符記來將用戶代理重定向至例如用戶端端點。用於重定向用戶代理的URL可以由服務提供方在初始請求(例如,參數重定向_uri)中提供。服務提供方可能想要自己驗證ID符記簽名。例如,服務提供方可以從URL(例如,在符記的標頭中的x5u參數中提供的URL)請求公共密鑰及/或證書。在示例實施方式中,服務提供方可以使用ID符記(例如,用於符記驗證請求)來聯繫OP的檢查ID端點。此通訊可藉由用戶端機密的使用來保護,該用戶端機密可例如在服務提供方與OP之間共用。檢查ID端點可例如藉由檢查來自符記標頭的簽名來驗證符記是否由授權的本地OP實例發出,其中,檢查來自符記標頭的簽名例如藉由使用在標頭的x5u參數中提供的公共密鑰進行。檢查ID端點可以將符記驗證的結果以返回至服務提供方。
由於ID符記驗證的結果,服務提供方可以獲知用戶識別符及/或該識別符的發出者。例如,如果服務提供方不請求存取符記(例如,服務提供方不需要提供到所請求的服務的存取的附加資料),認證協定可以結束,並且服務提供方可以向用戶提供所請求的資料/服務。如果已由服務提供方請求了存取符記,並且該存取符記被發至服務提供方,該服務提供方可以在到用戶資訊端點的請求中使用存取符記,例如以取得用戶資訊(例如,屬性)。根據示例實施方式,該存取符記可以包括用戶屬性。本地OP可以取得屬性、可以建立符記、及/或可以對符記進行簽名。根據示例實施方式,服務提供方可自動驗證符記的有效性、並且可以取得所期望的資訊(例如,用戶屬性或要求)。
用戶資訊端點可以驗證該符記是否由有效和授權的本地OP發出。該端點可以驗證用戶是否同意釋放所請求的資料。本地OP的有效性的驗證可以藉由驗證存取符記上的JWS簽名來完成。用戶同意的驗證可以修改存取符記的內部結構,例如以攜帶與用戶同意相關聯的資訊。一旦驗證完畢,用戶資訊端點可返回所請求的屬性至服務提供方(例如,以JSON格式)。服務提供方可以(例如,使用接收到的屬性)建立用戶的用戶設定檔的本地副本及/或可以提供對服務的存取。根據示例實施方式,如果用戶再次存取服務提供方,註冊及/或發現步驟可以不由服務提供方執行。用戶可以被指導執行認證和授權,並且在符記驗證之後,用戶可以直接登入服務提供方。
在示例性實施方式中,私有密鑰可以存在於安全環境中。本地OP可以在安全可信環境(例如,安全性模組、可信模組等等)中在本地建立密鑰對,並且可以將該私有密鑰儲存在安全元件中。網路OP可以建立針對對應的私有密鑰的證書、及/或可以向服務提供方提供該證書(例如,一經請求)。如在此所描述的,符號K可以表示密鑰對,pu(K)可以表示公共密鑰,pr(K)可以表示私有密鑰,以及cert(K,C)可以表示針對pu(K)的證書。例如,cert(K,C)可以由密鑰C的所有者發出,及/或其可以使用密鑰pr(C)來被建立,及/或其可以使用pu(C)來被驗證。
一旦在安全元件中安裝了本地OP小程式,例如,該小程式可產生根密鑰對R、可將pr(R)儲存在該安全元件中、並且可從安全元件發出者或製造者(例如,從智慧卡製造者)獲得證書cert(R,I)。該證書可由發出者進行儲存、並可被儲存在安全元件中。
根據示例實施方式,本地OP可以被登記在OP伺服器功能(OPSF)的域中。此登記例如可以在行動裝置上的本地OP應用被安裝或首次啟動時觸發。OPSF可以提供可由本地OP使用的登記端點,例如以向OPSF登記新的密鑰對。
本地OP可以產生開放ID應用指定的密鑰對O 1、可以建立cert(O 1,R)(例如,可以使用pr(R)來對pu(O 1)進行簽名)、並且可以將cert(O 1,R)和cert(R,I)遞交至OPSF的登記端點。該登記端點可以檢查cert(R,I),例如以驗證本地OP是否已由值得信任的發出者建立和發出。例如,該驗證可以包括檢查針對發出者密鑰I的證書、並且可以包括OCSP檢查(例如,其可以確定證書是否有效)。OPSF登記端點可檢查cert(O 1,R)以驗證密鑰pu(O 1)是否已由本地OP實例建立。
本地OP可以使用密鑰來建立符記簽名。例如,OPSF可以使證書(例如,鏈)可用於RP(例如,在證書端點處)。OPSF可以儲存該證書及其證書鏈。根據示例實施方式,一個或多個證書可以在證書端點處可用。替代地,OPSF可以建立針對O 1的證書,其可以是cert(O 1,P)。OPSF可以使證書cert(O 1,P)在證書端點處可用。在各種實施方式中,OPSF可以在證書端點處將證書的URL返回至本地OP(例如,可以被加密及/或簽名)。OPSF例如可以應用交叉證書、並因此可以集成OPSF域PKI與安全元件發出者域。
本地OP可以將用於證書(例如,cert(O 1,R)及/或cert(O 1,P),這可以取決於使用的方法)的URL(例如,所接收到的)包括在符記標頭中,如在此所描述的。例如,本地OP可以使用pr(O 1)密鑰來建立符記簽名。
本地OP可能需要更新簽名密鑰O 1及/或證書。例如,在密鑰可以被使用時,該證書的有效性可以進行檢查。可以在期滿日期接近時,觸發更新過程。
簽名密鑰O 1可以用新產生的密鑰對O 2來替代。例如,可以向OPSF域登記新的公共驗證密鑰。舊的驗證密鑰可仍舊可用(例如,於過渡週期內在其舊的URL處)。在示例實施方式中,用戶端可以針對符記簽名驗證使用密鑰。OPSF可以獲知最新發出的ID符記的有效性週期,並且舊的證書(例如cert(O 1,R)或cert(O 1,P))可以於該有效性週期內可用。如果不知道有效性週期,例如,實體可以同意針對過渡週期的最小持續時間,其中在該過渡週期中,舊的證書仍然可用。OPSF可以產生證書,其可以建立先前的cert(O 1,P),並且其可以建立cert(O 2,P)。新的密鑰對O 2可使用舊的密鑰對O 1來登記(例如,cert(O 2,O 1)可以在登記中使用),以及密鑰鏈(例如,密鑰歷史)可以被建立。舊的/先前的/期滿的簽名密鑰可以被刪除。
在登記的另一個示例實施方式中,本地OP可以例如在協定流中動態地產生密鑰對。例如,本地OP和OPSF可以共用長期機密(K L)。密鑰對可以被建立、及/或可基於隨機的種子值及/或是可以對於OPSF已知的長期共用機密。隨機種子可以被傳遞至OPSF,並且該OPSF可以重新計算密鑰。私有密鑰在本地OP和網路中可用。
如在此所描述的,本地OP可以接收符記請求訊息、並且可以產生符記簽名。例如,在產生符記簽名時,本地OP可以產生隨機種子值S。該本地OP可以例如基於S和長期機密K L來計算新的密鑰對。可用於對符記進行簽名的公共密鑰和符記標頭的x5t URL參數可以被設定為動態URL(例如,在OPSF的證書端點處)。動態URL可以包括作為參數的種子S(例如,http://opsf.org/cert.php?seed=1234)。基於接收到的參數S及/或長期機密K L,證書端點例如可以計算本地OP計算的密鑰對。該證書端點可以產生針對公共密鑰的證書。OPSF可以刪除私有密鑰、及/或可以在動態URL(例如,http://opsf.org/cert.php?seed=1234)處提供公共密鑰證書。如果用戶端接收到符記並查詢URL(例如,http://opsf.org/cert.php?seed=1234),OPSF可產生正確的密鑰對、並且可向用戶端提供證書。如果密鑰及/或證書已經被建立,例如,OPSF可以直接向用戶端提供證書。
第9圖示出了具有與認證(auth)伺服器906共用預先建立的共用機密S的本地OP 900的示例協定流的流程圖。在示例場景中,本地OP可以不配備有可用於建立ID符記上的非對稱簽名的私有密鑰。例如,HMAC簽名可用於符記簽名。在替代的示例場景中,在網路OP(例如,認證伺服器906)與用戶端(例如,服務提供方904)之間建立的密鑰可用於符記簽名的建立,例如,以使用戶端可自動確認該簽名。
參考第9圖,在908處,用戶可經由UE的瀏覽器902來請求存取由服務提供方904提供的服務。在908處,瀏覽器902可向服務提供方904提供諸如開放ID識別符之類的識別符。服務提供方904可以準備可包括對ID符記和存取符記的請求的授權請求,並且在910處,該服務提供方904可以經由重定向訊息將該請求發送至瀏覽器902。在910處的請求可以包括對根據開放ID連接協定的ID符記的請求。在910處的請求可以包括對根據開放ID連接協定的存取符記的請求。例如,存取符記可由服務提供方904請求,使得該服務提供方904能夠取得UE的用戶的屬性。在912處,該請求可以經由重定向訊息以從UE上的瀏覽器902轉發至UE上的可信模組(例如,本地OP 900)。在914處,UE的用戶可以由本地OP 900驗證。在916處,用戶可以給出對UE向服務提供方904發出符記的同意(認可)。例如,授權請求可以由UE的用戶認可。進一步地,回應於授權請求,在UE處,與授權請求的用戶認可相關聯的存取符記可以被建立。在示例實施方式中,授權請求的用戶認可可以經由儲存在UE上的策略自動被接收。
仍舊參考第9圖,在918處,符記可以在本地OP 900處被建立。資訊可以被添加到該符記。例如,對符記的擴展可以將資訊添加到符記的JSON資料結構中。在示例實施方式中,符記可以包括:
  {

例如,在918處,HMAC_SHA1簽名可以使用作為密鑰的共用機密S來計算。該簽名可以根據本地OP ID的序連及/或用戶認證的時間戳來計算。在另一個示例符記中,資料可以根據JSON以例如藉由建立本地OP欄位組來構成,如下列示出的:

如所描述的,內容可以被添加到ID符記,並且有效的HMAC SHA1簽名可以被建立。例如,可用於簽名的密鑰可以是用戶端機密。資訊可以被添加到JSON符記,及/或其內部結構可以被修改。根據示例實施方式,服務提供方可以忽略符記中的附加欄位,及/或服務提供方可以將該符記視為不透明的值。
如在此描述的,可建立符記簽名的密鑰可以是用戶端機密。例如,用戶端機密可以例如在註冊過程中,在用戶端(服務提供方)與認證伺服器(OPSF)之間建立。認證伺服器可以向本地OP提供用戶端機密列表,例如以使本地OP能夠建立正確的符記簽名。例如,認證伺服器可使用空中管理方法來將用戶端機密列表裝入本地OP實例。當新的用戶端機密被註冊(例如,用於新的用戶端及/或現有的用戶端)時,本地OP中的列表可以被更新。例如,符記請求中的聽眾(aud)參數(其可以是用戶端的URL)可以識別正請求符記的用戶端。聽眾參數可由本地OP使用,例如以在本地OP儲存裝置中找到對應的用戶端機密。
在另一個示例實施方式中,用戶端機密可從認證伺服器中查詢。例如,本地OP可獲得對為符記建立有效HMAC簽名的用戶端機密的瞭解。為了使本地OP獲知該用戶端機密,一旦請求,認證伺服器可以向本地OP提供用戶端機密。在這種規定中,本地OP可以從可在符記請求中接收的聽眾參數中提取用戶端名稱。本地OP可以例如在特定的端點處建立與認證伺服器的經認證的及/或安全的連接。本地OP可以請求用戶端的用戶端機密。該用戶端機密可以用於建立簽名。例如,認證伺服器可以提供用戶端機密端點https://op.org/clients.php。這種用戶端機密端點可以使用TLS加密及/或可以被認證。在根據實施方式的示例性協定運行中,在建立符記簽名之前,本地OP可以與用戶端機密端點連接、可以認證該用戶端機密端點、並且可以請求諸如https://op.org/clients.php?client_audience=audience之類的資源。在示例資源中,聽眾可以等於來自所接收到的聽眾欄位的內容。用戶端機密端點可以將用戶端機密返回至本地OP。之後,本地OP可以使用該機密來建立有效的簽名。
在又一個示例實施方式中,用戶端機密可以從認證伺服器和本地OP中的長期機密得出。例如,用戶端機密可以在註冊過程中以例如在用戶端與網路OP之間被建立。根據在此描述的實施方式,本地OP和網路IdP/OP(認證伺服器)可以共用長期機密。用於建立長期共用機密的各種方法在此處被描述。例如,長期共用機密可以(例如,在安裝時)被嵌入在本地OP應用中。長期共用機密可以經由MNO的OTA管理操作來產生。長期共用機密可以例如藉由從網路認證協定運行的密鑰導出來建立。共用機密可以用作網路IdP/OP(認證伺服器)與裝置/本地OP之間的可信錨點。該機密可以例如藉由安全元件的安全性特徵(例如,SIM卡及/或嵌入的安全性元件)在本地OP中受保護。
在用戶端的示例性註冊過程中,認證伺服器可以使用密鑰導出函數(KDF)中的長期機密和來自用戶端的聽眾參數。例如,網路OP可以導出用戶端機密,以使用戶端機密=KDF(聽眾、長期機密)。在示例性認證協定運行中,本地OP可以從符記請求標頭中讀取聽眾欄位、並且可以將相同的KDF應用於聽眾欄位和長期機密,以計算用戶端機密。該用戶端機密接著可用於建立符記簽名。
再次參考第9圖,在910處,授權請求可以被集成在符記(例如存取符記)中。來自用戶端(例如,服務提供方904)的原始授權請求可以被集成在符記中,例如以確保發出的存取符記可以針對所請求的資源而被兌換。在示例場景中,本地OP 900可以在本地符記建立過程中授權對資料的存取,並且該資料可以由網路提供、或者由本地OP 900本地提供。在示例場景中,例如在對網路使用符記時,請求可以被改變。該符記可以包括關於到網路的授權請求的資訊。例如,授權請求可以經由重定向訊息而從服務提供方發送至授權伺服器/OP 906。當本地OP 900如在此所描述的被使用時,在910和912處,授權請求可以經由重定向發送至本地OP 900。服務提供方904可以使用開放ID連接範圍來指定存取特權,該存取特權在對存取符記的授權請求中被請求。例如,與存取符記相關聯的範圍可以確定可在其被用於存取OAuth 2保護的端點時可用的資源。
示例性範圍包括開放ID範圍,該開放ID範圍可以通知授權伺服器客戶端正在做出開放ID請求。在示例配置中,如果開放ID範圍未被指定,則授權伺服器可以將請求視為通用OAuth 2.0請求、並且可以不執行開放ID過程。設定檔範圍例如可以請求預設的設定檔資訊。電子郵件範圍可以請求電子郵件位址。位址範圍可以請求位址。
除了範圍參數以外,授權請求可以包括可允許用戶端(例如,服務提供方904)建立請求結構的開放ID請求物件。例如,開放ID請求物件可以作為編碼後的JWT及/或作為可指向開放ID請求對象的URL被傳遞。
下面是在JWT編碼前開放ID請求物件的示例,其可以按照開放ID連接協定實施:


下面是可按照開放ID連接協定實施的編碼後的JWT的示例。
JWT algorithm = HS256
HMAC HASH Key = 'aaa' (例如,這可以是用於對JWT進行簽名的密鑰的id)


下面是可根據開放ID連接協定實施的授權請求的示例:

再次參考第9圖,授權請求(例如,在此示出的授權請求)例如可以經由HTTP重定向發送至本地OP(例如,參見第9圖中的910和912)。本地OP 900可以檢查該請求是否有效及/或可以認證該用戶。本地OP 900可以建立可在920和922處經由重定向訊息被發向服務提供方904的符記。服務提供方904可以使用符記例如以從ID符記端點926及/或用戶資訊端點928獲得資料。
在示例實施方式中,分別到符記端點926和928的請求924和930可不包括原始請求物件。在這種請求(例如,請求924和930)中,符記可以例如由符記端點926和928接收、並且沒有對資訊正被服務提供方904請求以及資訊正在被授權而由服務提供方904存取的指示。在這種請求中,本地OP 900可以藉由將JWT編碼的請求在符記發向服務提供方904之前添加到該符記中來將所請求的資訊傳達給符記端點。例如,符記可以攜帶請求資訊,並且該請求資訊可由符記端點估計。請求JWT例如可以由本地OP 900進行簽名,以防止攻擊(例如,在服務可在用戶的授權之後改變請求的情況下的攻擊)。在932和934處,符記簽名可以使用共用機密S在各自的端點處被驗證。在ID符記簽名被驗證之後,在936處,用戶的認證資訊(例如,用戶識別符)可以被提供至服務提供方904。在存取符記簽名被驗證之後,在938處,用戶的設定檔資訊(例如,由服務提供方904請求的用戶屬性或用戶要求)可以被提供至服務提供方904。包括請求資訊的符記的示例被提供如下:


參考上面的示例符記,簽名log_sig(本地OP_簽名)可以按照序連的lop_id(本地OP_id)、時間戳和請求來計算。符記可以由本地OP進行簽名,例如使得簽名可由服務提供方及/或身份提供方的符記端點驗證。根據示例實施方式,授權碼可以包括請求資訊。
如在此所描述的,用戶資料(例如,屬性)可以在用戶資訊端點處被儲存。這種用戶資訊端點可以位於網路實體、雲等等上、並且可以從該網路或雲存取用戶資料。第10圖示出了根據另一個示例實施方式的呼叫流,其中用戶資訊端點本地位於UE上。用戶資料(例如,機密資訊)可以本地儲存在UE 1000、UE 1000內的UICC、位於UE 1000內的可信模組1002等上。允許本地儲存的用戶資料的認證和傳輸的機制被提供。根據所示的實施方式,用戶資訊端點可以位於可信模組1002上。
在示例場景中,用戶可能想要某些機密資訊(例如,他/她的社會保險號碼(SSN)),其中該機密資訊本地儲存在UE 1000上。這種本地儲存的資訊可以被儲存在安全/可信的硬體模組1002或UICC上,而不是儲存在網路/雲中。可由多個利益相關者(例如,OP/OPSF和UE內的用戶)控制和配置的本地策略可以授權將儲存在UE 1000中的機密資訊釋放到服務提供方RP/用戶端1006。
例如,用戶可能不確信其儲存在網路或雲上的機密資訊的安全性及/或私密性。這種資訊可以例如包括用戶的社會保險號碼。用戶可以選擇藉由將資訊儲存在UE上來保持該資訊私有。在示例配置中,用戶可以將一些用戶屬性(例如,名稱、地址等)儲存在網路上,而將其他用戶屬性(例如,SSN、生日等)本地儲存在UE的安全環境中。在其中用戶希望獲取金融機構的服務的示例場景中,該機構可以要求用戶的SSN,以使用戶存取由該金融機構提供的服務。在可以是基於網路及/或本地的成功認證之後,例如,UE上的策略可以授權將本地儲存的SSN釋放到該金融機構。在其中SSN在本地被儲存的這種示例場景中,其他用戶資訊(例如,非機密用戶屬性)可以由該機構從網路/雲中獲取。
參考第10圖,在1010處,瀏覽器代理(BA)1004可以發送用戶識別符至SP/用戶端/RP 1006,並且可以請求存取由RP 1006提供的服務。在1012處,RP 1006可以建立授權請求、並且可以用授權請求將BA 1004重定向至可信模組1002(在1014處)。在1016處,UE 1000的用戶可以在UE 1000處被認證。在1018處,UE可以確定其具有對向RP 1006發出至少一個符記的用戶同意/授權。在1020處,可信模組1002(例如,本地OP)可以根據開放ID連接協定來產生符記。在1020處,可信模組1002可以對該符記進行簽名。符記標頭可以包括針對OP 1008的指示符,以確定包括該標頭的符記是否本地產生。在1022處,可信模組1002接著可以傳遞包括簽名的符記的重定向訊息至BA 1004,該重定向訊息可以將BA 1004重定向至RP 1006(在1024處)。簽名的符記中的一者或多者可以包括可根據開放ID連接協定進行格式化的存取符記。例如,在1020處,在具有或沒有對諸如OP 1008之類的網路實體的認知的情況下,存取符記可以經由可信模組1002以在UE 1000上本地產生,並且在步驟1022和1024處,該存取符記可以被發送至SP/用戶端/RP 1006。與特定用戶資料或用戶資料的類別相關聯的存取符記可以被約束到與用戶資訊端點的位置對應的位置(例如,URL),其中該用戶資訊端點與存取符記相關聯。在示例配置中,用戶資料(例如,屬性)可以被分成機密的或非機密的,並且機密資料可以從本地位於UE 1000上的用戶資訊端點存取,而非機密資料可以在位於網路上的用戶資訊端點處被存取。
繼續參考第10圖,在1026處,RP 1006可以使用可包括ID符記的有效符記請求訊息來聯繫在OP 1008處的檢查ID端點1028。如在此描述的,在1030處,檢查ID端點1030可以驗證符記簽名S。在1032處,檢查ID端點1028可以將用戶的認證資訊返回至RP 1006。例如,如果已經請求和發出了存取符記,則用戶端1006可以使用請求的存取符記1034來請求用戶資料。例如,存取符記可以攜帶關於用戶資訊端點1036的位置(例如,擁有用戶資訊端點1036的可信模組1002的位置)的資訊。替代地,在1024處,例如,用戶資訊端點的位置資訊可以作為重定向訊息的一部分被傳輸,而不是作為存取符記的一部分被傳輸。在1034處,RP 1006可以例如藉由使用如在此所描述的存取符記以從可在本地位於UE 1000上的用戶資訊端點1036請求用戶資料。在1038處,可位於可信模組1002上的用戶資訊端點1036可以返回所請求的用戶資料(例如,社會保險號碼、地址等)。在示例實施方式中,在RP 1006接收到用戶資料之後,UE 1000可以接收到對由用戶端1006提供的服務的完全存取。
在這裏描述的另一個示例實施方式中,存取符記可以在網路/雲中產生。例如,網路實體可以替代UE產生存取符記,並且該符記可以被發送至SP/用戶端/RP。該存取符記可以攜帶關於用戶資訊端點的位置(例如,URL)的資訊,並且該位置可對應於網路/雲中的實體、或UE上的用戶資訊端點、或UE內的可信模組內的用戶資訊端點。可以在存取符記的訊息主體內攜帶用戶資訊端點位置資訊。
根據示例實施方式,在可能不具有對身份提供方或網路/雲實體的認知的情況下,可用一個或多個符記存取的資訊可位於UE上。替代地,用各自的符記可存取的資訊可位於網路/雲上。符記中的資訊可以被簽名及/或加密,以保護符記資料不被竊聽。這種資訊可以被解密以獲得符記資訊。這種測量可以確保僅合法的SP/用戶端/RP(具有正確密鑰)能夠獲取符記。一旦由SP/用戶端/RP解密了該符記,SP/用戶端/RP可以向用戶資訊端點授予符記。UE或UE上的可信模組及/或網路/雲實體可以產生及/或驗證符記、並提供所請求的資料至SP/用戶端/RP。資訊元素可以在網路和UE之間被分配、或者可以在網路與UE之間通用且同步。
例如,用戶資料可以在本地被儲存在UE上(例如,在UICC、可信模組等等上),用戶資料可以被儲存在網路實體上(例如,在OP等等上),以及用戶資料可以被儲存在上述任何合適的組合中。第11圖示出了根據示例實施方式的其中一些用戶資料在本地被儲存而一些用戶資料被儲存在網路實體上的呼叫流。參考第11圖,以上關於第10圖,描述了同樣出現在第10圖中的步驟號碼。在示例配置中,作為機密資料的用戶資料可以在本地被儲存,而作為非機密資料的用戶資料可以被儲存在網路/雲實體上。在替代配置中,資料未被分類,但是可以在本地儲存,資料可以儲存在網路實體上,或者資料可以儲存在上述的組合中。
一旦身份符記的用戶認證和驗證成功,在1100和1106處,RP 1006可以請求用戶資料(例如,用戶屬性)。例如,在1100處,RP 1006可以使用第一存取符記來從位於UE 1000內的可信模組1002處的用戶資訊端點1102取得用戶資料。這種用戶資料可以已被分類為機密資料。第一存取符記可以包括用戶資訊端點1102的位置資訊。在1104處,機密用戶資料例如可以被提供至RP 1006。在1106處,RP 1006可以使用第二存取符記來從網路實體(例如,OP 1008)上的用戶資訊端點1108中取得用戶資料。這種用戶資料可以已被分類為非機密資料。第二存取符記可包括用戶資訊端點1108的位置資訊(例如,URL),以使RP 1006從用戶資訊端點1108兌換用戶資料。與機密資料相關聯的且用於從UE 1000內的記憶體中獲取資料的第一存取符記可以由本地OP(例如,UE 1000的可信模組1002)提供。用戶資訊端點1102的位置(例如,URL)還可以由UE 1000的本地OP提供。在示例實施方式中,在資料(例如,機密和非機密資料)由RP 1006獲取之後,其可以在RP 1006處被合併,並且用於為UE 1000提供對由RP 1006提供的服務的存取。該資料可以在RP 1006處被合併和使用。
因此,如在此所描述的,每個存取符記或每個用戶資料類別(例如,機密的、非機密的、敏感的、通用的等等)可以與用戶資料的位置相關聯。用戶資料的位置可以與UE或諸如UICC之類的可信模組的位置(例如,到UE/UICC的URL)、網路/雲中的位置(例如,到網路/雲內的實體的URL)、或者他們的組合對應。因此,儲存在不同位置中的用戶屬性可以由SP/用戶端/RP請求、處理、合併和使用。
舉個例子,UE 1000可以接收授權請求,以為服務提供方(例如,RP 1006)建立存取符記。基於該授權請求,在UE處,第一存取符記可以被建立,以及第二存取符記可以被建立。存取符記可與由UE 1000的用戶和RP 1006提供的服務相關聯。第一存取符記可以包括指明第一用戶資訊端點的位置的資訊,其中一旦驗證了該第一存取符記,該第一用戶資訊端點就向RP 1006提供第一請求的用戶屬性。第二存取符記可以包括指明第二用戶資訊端點的位置的資訊,其中一旦驗證了該第二存取符記,該第二用戶資訊端點就向RP 1006提供第二請求的用戶屬性。該第一用戶資訊端點可以位於UE 100上,而第二用戶資訊端點可以位於經由網路與RP 1006通訊的網路實體(例如,OP 1008)上。
第12A圖是可以在其中實施所揭露的一個或多個實施方式的示例通訊系統1400的圖示。通訊系統1400可以是為多個無線用戶提供例如語音、資料、視訊、訊息發送、廣播等內容的多重存取系統。該通訊系統1400能使多個無線用戶經由共用包括無線頻寬在內的系統資源來存取這些內容。例如,通訊系統1400可以使用一種或多種頻道存取方法,如分碼多重存取(CDMA)、分時多重存取(TDMA)、分頻多重存取(FDMA)、正交FDMA(OFDMA)、單載波FDMA(SC-FDMA)等等。
如第12A圖所示,通訊系統1400可以包括無線傳輸/接收單元(WTRU)1402a、1402b、1402c、1402d、無線電存取網路(RAN)1404、核心網路1406、公共交換電話網路(PSTN)1408、網際網路1410以及其他網路1412,但是應該瞭解,所揭露的實施方式考慮到了任何數量的WTRU、基地台、網路及/或網路元件。每一個WTRU 1402a、1402b、1402c、1402d都可以是被配置成在無線環境中操作及/或通訊的任何類型的裝置。舉個例子,WTRU 1402a、1402b、1402c、1402d可以被配置為傳送及/或接收無線信號,並且可以包括用戶設備(UE)、行動站、固定或行動用戶單元、呼叫器、蜂巢電話、個人數位助理(PDA)、智慧型電話、膝上型電腦、隨身型易網機、個人電腦、無線感測器、消費類電子產品等等。
通訊系統1400還可以包括基地台1414a和基地台1414b。每一個基地台1414a和1414b可以是被配置成與WTRU 1402a、1402b、1402c、1402d中的至少一者無線介接的任何類型的裝置,以便促進對一個或多個通訊網路(例如核心網路1406、網際網路1410及/或其他網路1412)的存取。舉個例子,基地台1414a、1414b可以是基地收發站(BTS)、節點B、e節點B、家用節點B、家用e節點B、站點控制器、存取點(AP)、無線路由器等等。雖然基地台1414a、1414b中的每一個都被描述成是單一元件,但是應該瞭解,基地台1414a、1414b可以包括任何數量的互連基地台及/或網路元件。
基地台1414a可以是RAN 1404的一部分,其中該RAN 1404還可以包括其他基地台及/或網路元件(未顯示),例如基地台控制器(BSC)、無線電網路控制器(RNC)、中繼節點等等。基地台1414a及/或基地台1414b可以被配置為在可以被稱為胞元(未顯示)的特定地理區域內傳送及/或接收無線信號。胞元還可以分成胞元扇區。例如,與基地台1414a相關聯的胞元可以分成三個扇區。因此在一個實施方式中,基地台1414a可以包括三個收發器,也就是說,胞元的每一個扇區都具有一個收發器。在一個實施方式中,基地台1414a可以使用多輸入多輸出(MIMO)技術、並且由此可以針對胞元中的每個扇區使用多個收發器。
基地台1414a、1414b可以經由空中介面1416以與WTRU 1402a、1402b、1402c、1402d中的一者或多者進行通訊,其中該空中介面1416可以是任何適當的無線通訊鏈路(例如射頻(RF)、微波、紅外(IR)、紫外(UV)、可見光等等)。該空中介面1416可以使用任何適當的無線電存取技術(RAT)來建立。
更具體地說,如上所述,通訊系統1400可以是多重存取系統、並且可以使用一種或多種頻道存取方案,如CDMA、TDMA、FDMA、OFDMA、SC-FDMA等等。例如,RAN 1404中的基地台1414a與WTRU 1402a、1402b、1402c可以實施諸如通用行動電信系統(UMTS)陸地無線電存取(UTRA)之類的無線電技術,該無線電技術可以用寬頻CDMA(WCDMA)來建立空中介面1416。WCDMA可以包括諸如高速封包存取(HSPA)及/或演進型HSPA(HSPA+)之類的通訊協定。HSPA可以包括高速下鏈封包存取(HSDPA)及/或高速上鏈封包存取(HSUPA)。
在一個實施方式中,基地台1414a和WTRU 1402a、1402b、1402c可以實施諸如演進型UMTS陸地無線電存取(E-UTRA)之類的無線電技術,該無線電技術可以使用長期演進(LTE)及/或高級LTE(LTE-A)來建立空中介面1416。
在其他實施方式中,基地台1414a與WTRU 1402a、1402b、1402c以實施如IEEE 802.16(即全球互通微波存取(WiMAX))、CDMA2000、CDMA2000 1X、CDMA2000 EV-DO、臨時標準2000(IS-2000)、臨時標準95(IS-95)、臨時標準856(IS-856)、全球行動通訊系統(GSM)、用於GSM演進的增強資料速率(EDGE)、GSM EDGE(GERAN)等之類的無線電技術。
舉例來說,第12A圖中的基地台1414b可以是無線路由器、家用節點B、家用e節點B、毫微微胞元基地台或存取點、並且可以使用任何適當的RAT來促進例如營業場所、住宅、交通工具、校園等等的局部區域中的無線連接。在一個實施方式中,基地台1414b和WTRU 1402c、1402d可以實施諸如IEEE 802.11之類的無線電技術來建立無線區域網路(WLAN)。在一個實施方式中,基地台1414b和WTRU 1402c、1402d可以實施諸如IEEE 802.15之類的無線電技術來建立無線個人區域網路(WPAN)。在又一個實施方式中,基地台1414b和WTRU 1402c、1402d可以使用基於蜂巢的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等等)來建立微微胞元或毫微微胞元。如第12A圖所示,基地台1414b可以具有與網際網路1410的直接連接。由此,基地台1414b不必需要經由核心網路1406來存取網際網路1410。
RAN 1404可以與核心網路1406進行通訊,其中核心網路1406可以是被配置為向WTRU 1402a、1402b、1402c、1402d中的一者或多者提供語音、資料、應用及/或網際網路協定語音(VoIP)服務的任何類型的網路。例如,核心網路1406可提供呼叫控制、記賬服務、基於移動位置的服務、預付費呼叫、網際網路連接、視訊分配等等、及/或執行高階安全功能,例如用戶認證。雖然第12A圖中沒有顯示,但應該瞭解,RAN 1404及/或核心網路1406可以直接或間接地和使用了與RAN 1404相同的RAT或不同RAT的其他RAN進行通訊。例如,除了與可以使用E-UTRA無線電技術的RAN 1404相連之外,核心網路1406還可以與另一個使用GSM無線電技術的RAN(未顯示)進行通訊。
核心網路1406還可以充當WTRU 1402a、1402b、1402c、1402d存取PSTN 1408、網際網路1410及/或其他網路1412的閘道。PSTN 1408可以包括提供簡易老式電話服務(POTS)的電路交換電話網路。網際網路1410可以包括使用了公共通訊協定的全球性互連電腦網路和裝置系統,該公共通訊協定例如傳輸控制協定(TCP)/網際網路協定(IP)族中的TCP、用戶資料報協定(UDP)和IP。網路1412可以包括由其他服務提供方擁有及/或操作的有線或無線通訊網路。例如,網路1412可以包括與一個或多個RAN相連的另一個核心網路,其中所述一個或多個RAN可以使用與RAN 1404相同的RAT或不同的RAT。
通訊系統1400中的WTRU 1402a、1402b、1402c、1402d的一些或全部可以包括多模能力,也就是說,WTRU 1402a、1402b、1402c、1402d可以包括經由不同無線鏈路來與不同無線網路通訊的多個收發器。例如,第12A圖所示的WTRU 1402c可以被配置為與可以使用基於蜂巢的無線電技術的基地台1414a通訊、以及與可以使用IEEE 802無線電技術的基地台1414b通訊。
第12B圖是示例WTRU 1402的系統圖。如第12B圖所示,WTRU 1402可以包括處理器1418、收發器1420、傳輸/接收元件(例如,多個天線)1422、揚聲器/麥克風1424、鍵盤1426、顯示器/觸控板1428、不可移式記憶體1430、可移式記憶體1432、電源1434、全球定位系統(GPS)晶片組1436以及其他週邊裝置1438。應該瞭解的是,在符合實施方式的同時,WTRU 1402可以包括前述元件的任何子組合。
處理器1418可以是通用處理器、專用處理器、常規處理器、數位信號處理器(DSP)、多個微處理器、與DSP核關聯的一或多個微處理器、控制器、微控制器、專用積體電路(ASIC)、現場可編程閘陣列(FPGA)電路、任何其他類型的積體電路(IC)、狀態機等等。處理器1418可以執行信號編碼、資料處理、功率控制、輸入/輸出處理及/或其他任何能使WTRU 1402在無線環境中操作的功能。處理器1418可以耦合至收發器1420,收發器1420可以耦合至傳輸/接收元件1422。雖然第12B圖將處理器1418和收發器1420描述成是獨立元件,但是應該瞭解,處理器1418和收發器1420可以同時集成在電子封裝或晶片中。處理器1418可以執行應用層程式(例如,瀏覽器)及/或無線電存取層(RAN)程式及/或通訊。處理器1418可以例如在存取層及/或應用層處執行諸如認證、安全密鑰協商、及/或加密操作之類的安全性操作。
在示例實施方式中,WTRU 1402包括處理器1418和與該處理器耦合的記憶體。該記憶體可以包括可執行的指令,其中在由該處理器執行該指令時,該指令使得該處理器執行與在本地執行開放ID協定的功能相關聯的操作。
傳輸/接收元件1422可以被配置為經由空中介面1416來傳送信號到基地台(例如基地台1414a)或接收來自基地台(例如基地台1414a)的信號。舉個例子,在一個實施方式中,傳輸/接收元件1422可以是被配置為傳送及/或接收RF信號的天線。在一個實施方式中,舉例來說,傳輸/接收元件1422可以是被配置成傳送及/或接收IR、UV或可見光信號的發射器/偵測器。在另一個實施方式中,傳輸/接收元件1422可以被配置為傳送和接收RF和光信號。應當理解的是,傳輸/接收元件1422可以被配置成傳送及/或接收無線信號的任何組合。
此外,雖然在第12B圖中將傳輸/接收元件1422描述成是單一元件,但是WTRU 1402可以包括任何數量的傳輸/接收元件1422。更具體地,WTRU 1402可以使用MIMO技術。因此在一個實施方式中,WTRU 1402可以包括用於經由空中介面1416來傳送和接收無線信號的兩個或更多個傳輸/接收元件1422(例如,多個天線)。
收發器1420可以被配置為對傳輸/接收元件1422將要傳送的信號進行調變、以及對傳輸/接收元件1422接收的信號進行解調。如上所述,WTRU 1402可以具有多模能力。由此,收發器1420可以包括使WTRU 1402能經由諸如UTRA和IEEE802.11之類的多種RAT來進行通訊的多個收發器。
WTRU 1402的處理器1418可以耦合至揚聲器/麥克風1424、鍵盤1426及/或顯示器/觸控板1428(例如液晶顯示器(LCD)顯示單元或有機發光二極體(OLED)顯示單元),並且可以接收來自這些裝置的用戶輸入資料。處理器1418還可以向揚聲器/麥克風1424、鍵盤1426及/或顯示器/觸控板1428輸出用戶資料。此外,處理器1418可以從任何適當類型的記憶體(例如不可移式記憶體1430及/或可移式記憶體1432)中存取資訊,以及將資料存入這些記憶體。所述不可移式記憶體1430可以包括隨機存取記憶體(RAM)、唯讀記憶體(ROM)、硬碟或是其他任何類型的記憶體儲存裝置。可移式記憶體1432可以包括用戶身份模組(SIM)卡、記憶條、安全數位(SD)記憶卡等等。在其他實施方式中,處理器1418可以從那些並非實體位於WTRU 1402的記憶體(例如位於伺服器或本地電腦(未顯示)上的記憶體)存取資訊、以及將資料存入這些記憶體。
處理器1418可以接收來自電源1434的電力、並且可以被配置為分配及/或控制用於WTRU 1402中的其他元件的電力。電源1434可以是為WTRU 1402供電的任何適當的裝置。例如,電源1434可以包括一個或多個乾電池(例如鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等等)、太陽能電池、燃料電池等等。
處理器1418還可以與GPS晶片組1436耦合,該GPS晶片組1436可以被配置為提供與WTRU 1402的目前位置相關的位置資訊(例如經度和緯度)。作為來自GPS晶片組1436的資訊的補充或替代,WTRU 1402可以經由空中介面1416接收來自基地台(例如基地台1414a、1414b)的位置資訊、及/或根據從兩個或多個附近基地台接收的信號的時序來確定其位置。應該瞭解的是,在保持符合實施方式的同時,WTRU 1402可以用任何適當的位置確定方法來獲取位置資訊。
處理器1418還可以耦合到其他週邊裝置1438,週邊裝置1438可以包括提供附加特徵、功能及/或有線或無線連接的一個或多個軟體及/或硬體模組。例如,週邊裝置1438可以包括加速度計、電子指南針、衛星收發器、數位相機(用於照片和視訊)、通用串列匯流排(USB)埠、振動裝置、電視收發器、免持耳機、藍芽®模組、調頻(FM)無線電單元、數位音樂播放器、媒體播放器、視訊遊戲機模組、網際網路瀏覽器等等。
第12C圖是根據實施方式的RAN 1404以及示例核心網路1406的系統圖示。如上所述,RAN 1404可以使用UTRA無線電技術以經由空中介面1416來與WTRU 1402a、1402b、1402c進行通訊。RAN 1404還可以與核心網路1406進行通訊。如第12C圖所示,RAN 1404可以包括節點B 1440a、1440b、1440c,該節點B 1440a、1440b、1440c中的每一個可以包括一個或多個收發器,以用於經由空中介面1416來與WTRU 1402a、1402b、1402c進行通訊。每一個節點B 1440a、1440b、1440c可以與RAN 1404中的特定胞元(未顯示)相關聯。RAN 1404還可以包括RNC 1442a、1442b。應該理解的是,在保持符合實施方式的同時,RAN 1404可以包括任何數量的節點B和RNC。
如第12C圖所示,節點B 1440a、1440b可以與RNC 1442a進行通訊。此外,節點B 1440c可以與RNC 1442b進行通訊。節點B 1440a、1440b、1440c可以經由Iub介面來與各自的RNC 1442a、1442b進行通訊。RNC 1442a、1442b可以經由Iur介面彼此進行通訊。RNC 1442a、1442b中的每一個可以被配置成控制與之連接的各自的節點B 1440a、1440b、1440c。此外,RNC 1442a、1442b中的每一個可以被配置為執行及/或支援其他功能,如外環功率控制、負載控制、准許控制、封包排程、切換控制、巨集分集、安全功能、資料加密等等。
第12C圖中所示的核心網路1406可以包括媒體閘道(MGW)1444、行動交換中心(MSC)1446、服務GPRS支援節點(SGSN)1448及/或閘道GPRS支援節點(GGSN)1450。雖然每個前述元件被描述成是核心網路1406的一部分,但應該瞭解的是,這些元件中的任何一個都可被核心網路操作者之外的實體擁有及/或操作。
RAN 1404中的RNC 1442a可經由IuCS介面來與核心網路1406中的MSC 1446連接。MSC 1446可與MGW 1444連接。MSC 1446和MGW 1444可以為WTRU 1402a、1402b、1402c提供對諸如PSTN 1408之類的電路交換網路的存取,以便促進WTRU 1402a、1402b、1402c和傳統的陸線通訊裝置之間的通訊。
RAN 1404中的RNC 1442a還可以經由IuPS介面來與核心網路1406中的SGSN 1448連接。SGSN 1448可與GGSN 1450連接。SGSN 1448和GGSN 1450可以為WTRU 1402a、1402b、1402c提供對諸如網際網路1410之類的封包交換網路的存取,以便促進WTRU 1402a、1402b、1402c和IP賦能的裝置之間的通訊。
如上所述,核心網路1406還可以與網路1412連接,其中該網路1412可以包括由其他服務提供方擁有及/或操作的其他有線或無線網路。
雖然在上文中描述了採用特定組合的特徵和元素,但是本領域中具有通常知識者將會瞭解,每一個特徵或元素既可以單獨使用,也可以與其他特徵和元素進行任何組合來使用。此外,本領域中具有通常知識者將會瞭解,在此描述的實施方式僅出於示例性目的而被提供。例如,儘管在此使用本地開放ID身份提供方(OP)來描述實施方式,但非本地OP或外部OP可以用於執行類似的功能,反之亦然。此外,這裏描述的實施方式可以在引入到電腦可讀媒體中並供電腦或處理器操作的電腦程式、軟體或韌體中實施。電腦可讀媒體的示例包括電信號(經由有線或無線連接傳送)以及電腦可讀儲存媒體。電腦可讀儲存媒體的示例包括但不局限於唯讀記憶體(ROM)、隨機存取記憶體(RAM)、暫存器、快取記憶體、半導體記憶裝置、諸如內部硬碟和可移式磁片之類的磁性媒體、磁光媒體、以及諸如CD-ROM碟片和數位多功能光碟(DVD)之類的光學媒體。與軟體相關聯的處理器可以用於實施在WTRU、UE、終端、基地台、RNC或任何主電腦中使用的射頻收發器。
100 用戶設備(UE)
102 服務提供方(SP)
104 本地OP
106 瀏覽器
108 行動網路操作者(MNO)
110 IdP伺服器
112、118、120、122、124、126 介面(IF)
114、116 反向頻道(IF)

Claims (30)

  1. 一種在包括經由一網路進行通訊的一用戶設備(UE)、一身份提供方(IdP)以及一服務提供方(SP)的一系統中的方法,該方法包括:
    接收對一符記的一請求,其中對該符記的該請求是回應於對存取由該服務提供方提供的一服務的一請求;
    在該UE處,回應於對該符記的該請求,根據對該符記的該請求建立一身份(ID)符記;以及
    經由該UE發出該ID符記,其中該ID符記被驗證以為該UE提供對該服務的存取。
  2. 如申請專利範圍第1項所述的方法,其中該ID符記在位於該UE內的一可信環境中被安全地建立。
  3. 如申請專利範圍第1項所述的方法,該方法更包括:
    接收一授權請求以為該SP建立一存取符記,其中該授權請求由該UE的一用戶認可;以及
    在該UE處,回應於該授權請求,建立與該授權請求的該用戶認可相關聯的該存取符記。
  4. 如申請專利範圍第3項所述的方法,其中該授權請求的該用戶認可是經由該UE的一策略而被自動地接收。
  5. 如申請專利範圍第3項所述的方法,其中該存取符記包括指明一用戶資訊端點的一位置的一資訊,其中一旦驗證了該存取符記,該用戶資訊端點就向該SP提供一請求的用戶屬性。
  6. 如申請專利範圍第5項所述的方法,其中該存取符記的驗證包括對該用戶同意將該請求的用戶屬性釋放到該SP的一驗證。
  7. 如申請專利範圍第5項所述的方法,其中該存取符記在位於該UE內的一可信環境中被安全地建立,並且其中該存取符記的驗證包括對該可信環境有效的一驗證。
  8. 如申請專利範圍第5項所述的方法,其中該用戶資訊端點位於該UE或經由該網路與該SP進行通訊的一網路實體中的至少一者上。
  9. 如申請專利範圍第3項所述的方法,其中該ID符記和該存取符記是根據一開放ID連接協定來建立。
  10. 如申請專利範圍第3項所述的方法,其中該ID符記和該存取符記在位於該UE內的一可信環境中被安全地建立,該方法更包括:
    使用該可信模組來確定該用戶的一認證狀態;以及
    在該認證狀態指出該用戶尚未被認證的情況下,在該可信環境處認證該用戶。
  11. 如申請專利範圍第1項所述的方法,該方法更包括:
    接收一授權請求以為該SP建立一存取符記;
    在該UE處,基於該授權請求,建立一第一存取符記和一第二存取符記,所述存取符記與該服務和該用戶相關聯。
  12. 如申請專利範圍第11項所述的方法,其中該第一存取符記包括指明一第一用戶資訊端點的一位置的一資訊,其中一旦驗證了該第一存取符記,該第一用戶資訊端點就向該SP提供一第一請求的用戶屬性,而該第二存取符記包括指明一第二用戶資訊端點的一位置的一資訊,其中一旦驗證了該第二存取符記,該第二用戶資訊端點就向該SP提供一第二請求的用戶屬性,且其中該第一用戶資訊端點位於該UE上,而該第二用戶資訊端點位於經由該網路與該SP進行通訊的一網路實體上。
  13. 如申請專利範圍第12項所述的方法,其中由該第一用戶資訊端點提供的該第一請求的用戶屬性是由該用戶分類為一機密資料,而由該第二用戶資訊端點提供的該第二請求的用戶屬性由該用戶分類為一非機密資料。
  14. 如申請專利範圍第2項所述的方法,其中該SP是一開放ID連接用戶端,以及該可信環境是一本地開放ID身份提供方(OP)。
  15. 一種在包括經由一網路進行通訊的一用戶設備(UE)、一身份提供方(IdP)以及一服務提供方(SP)的一系統中的方法,該方法包括:
    在該UE處:
    接收對一用戶資料的一請求;
    接收對釋放該用戶資料的一同意部分的一用戶同意;
    回應於該用戶同意,產生與該SP相關聯的一存取符記;以及
    向該SP發出該存取符記,其中一旦驗證了該存取符記,該用戶資料的該同意部分被釋放到該SP。
  16. 如申請專利範圍第15項所述的方法,其中所請求的用戶資料包括多個用戶屬性,其中該多個用戶屬性中的至少一者不是被釋放的該用戶資料的該同意部分的一部分。
  17. 如申請專利範圍第15項所述的方法,該方法更包括:
    使用一簽名對該存取符記進行簽名,該簽名包括該UE的一識別符或位於該UE內的一可信環境的一識別符中的至少一者。
  18. 如申請專利範圍第15項所述的方法,該方法更包括:
    使用由該UE和經由該網路與該SP進行通訊的該IdP共用的一機密來對該存取符記進行簽名。
  19. 如申請專利範圍第15項所述的方法,其中一用戶資訊端點位於該UE內,該方法更包括:
    在該用戶資訊端點處接收該存取符記;以及
    回應於接收到該存取符記,向該SP提供該用戶資料的該同意部分。
  20. 一種在包括經由一網路進行通訊的一用戶設備(UE)以及一服務提供方(SP)的ㄧ系統中的方法,該方法包括:
    在該SP處,接收對存取由該SP提供的一服務的一請求,該請求包括該UE的一用戶的一識別符或該UE的一識別符中的至少一者;
    在該SP處,回應於對存取的該請求,接收一身份(ID)符記和一第一存取符記;以及
    在該SP處,回應於該存取符記的一驗證,從一第一用戶資訊端點取得一第一用戶屬性,其中該第一用戶資訊端點位於該UE上。
  21. 如申請專利範圍第20項所述的方法,該方法更包括:
    在該SP處,使用儲存在該SP上的一機密來驗證該ID符記的一簽名;以及
    回應於該驗證,授權該UE存取該服務。
  22. 如申請專利範圍第20項所述的方法,該方法更包括:
    將所接收到的ID符記發送至一檢查ID端點以進行驗證;以及
    將所接收到的第一存取符記發送至該第一用戶資訊端點以進行驗證,從而將該ID符記和存取符記視為一不透明值。
  23. 如申請專利範圍第20項所述的方法,該方法更包括:
    回應於對存取的該請求,接收一第二存取符記;
    在該SP處,回應於該第二存取符記的一驗證,從一第二用戶資訊端點取得一第二用戶屬性,其中該第二用戶資訊端點位於經由該網路以與該SP進行通訊的一網路實體上;以及
    在該SP處,合併該第一用戶屬性和該第二用戶屬性。
  24. 一種無線傳輸/接收單元(WTRU),該WTRU包括:
    一記憶體,其包括多個可執行的指令;以及
    與該記憶體通訊的一處理器,在由該處理器執行該多個指令時,該多個指令使該處理器完成以下操作:
    接收對一符記的一請求,其中對該符記的該請求是回應於對存取由一服務提供方(SP)提供的一服務的一請求;
    回應於對該符記的該請求,根據對該符記的該請求來建立一身份(ID)符記;以及
    發出該ID符記,其中該ID符記被驗證以為該WTRU提供對該服務的存取。
  25. 如申請專利範圍第24項所述的WTRU,其中該處理器更被配置為執行該多個指令以執行以下操作:
    接收一授權請求以為該SP建立一存取符記,其中該授權請求由該WTRU的一用戶認可;以及
    回應於該授權請求,建立與該授權請求的該用戶認可相關聯的該存取符記。
  26. 如申請專利範圍第25項所述的WTRU,其中該存取符記包括指明一用戶資訊端點的一位置的一資訊,其中一旦驗證了該存取符記,該用戶資訊端點向該SP提供一請求的用戶屬性。
  27. 如申請專利範圍第26項所述的WTRU,其中該存取符記的驗證包括對該用戶同意將該請求的用戶屬性釋放到該SP的一驗證。
  28. 如申請專利範圍第25項所述的WTRU,其中該用戶資訊端點位於該WTRU或經由該網路與該SP進行通訊的一網路實體中的至少一者上。
  29. 如申請專利範圍第24項所述的WTRU,其中該處理器更被配置為執行該多個指令以執行以下操作:
    接收一授權請求以為該SP建立一存取符記;
    在該WTRU處,基於該授權請求,建立一第一存取符記和一第二存取符記,所述存取符記與該服務和該用戶相關聯。
  30. 如申請專利範圍第29項所述的WTRU,其中該第一存取符記包括指明一第一用戶資訊端點的一位置的一資訊,其中一旦驗證了該第一存取符記,該第一用戶資訊端點就向該SP提供一第一請求的用戶屬性,而該第二存取符記包括指明一第二用戶資訊端點的一位置的一資訊,其中一旦驗證了該第二存取符記,該第二用戶資訊端點就向該SP提供一第二請求的用戶屬性,且其中該第一用戶資訊端點位於該WTRU上,而該第二用戶資訊端點位於經由一網路與該SP進行通訊的一網路實體上。
TW102101946A 2012-01-20 2013-01-18 具區域功能性身份管理 TW201345217A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US201261589125P 2012-01-20 2012-01-20

Publications (1)

Publication Number Publication Date
TW201345217A true TW201345217A (zh) 2013-11-01

Family

ID=47913537

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102101946A TW201345217A (zh) 2012-01-20 2013-01-18 具區域功能性身份管理

Country Status (7)

Country Link
US (1) US9774581B2 (zh)
EP (1) EP2805470B1 (zh)
JP (1) JP2015511348A (zh)
KR (3) KR20170046191A (zh)
CN (1) CN104115465A (zh)
TW (1) TW201345217A (zh)
WO (1) WO2013109857A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI625951B (zh) * 2015-02-24 2018-06-01 美商高通公司 使用用於服務c平面方法的網路符記的高效策略實施

Families Citing this family (152)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10181953B1 (en) 2013-09-16 2019-01-15 Amazon Technologies, Inc. Trusted data verification
WO2000079452A2 (en) * 1999-06-18 2000-12-28 Echarge Corporation Method and apparatus for ordering goods, services and content over an internetwork using a virtual payment account
US9237155B1 (en) 2010-12-06 2016-01-12 Amazon Technologies, Inc. Distributed policy enforcement with optimizing policy transformations
US8769642B1 (en) 2011-05-31 2014-07-01 Amazon Technologies, Inc. Techniques for delegation of access privileges
US9264237B2 (en) * 2011-06-15 2016-02-16 Microsoft Technology Licensing, Llc Verifying requests for access to a service provider using an authentication component
US9965614B2 (en) 2011-09-29 2018-05-08 Oracle International Corporation Mobile application, resource management advice
US9203613B2 (en) 2011-09-29 2015-12-01 Amazon Technologies, Inc. Techniques for client constructed sessions
US9197409B2 (en) 2011-09-29 2015-11-24 Amazon Technologies, Inc. Key derivation techniques
US9178701B2 (en) 2011-09-29 2015-11-03 Amazon Technologies, Inc. Parameter based key derivation
US10225242B2 (en) * 2011-10-25 2019-03-05 Salesforce.Com, Inc. Automated authorization response techniques
US10225264B2 (en) 2011-10-25 2019-03-05 Salesforce.Com, Inc. Automated authorization response techniques
US10212588B2 (en) * 2011-10-25 2019-02-19 Salesforce.Com, Inc. Preemptive authorization automation
US10733151B2 (en) 2011-10-27 2020-08-04 Microsoft Technology Licensing, Llc Techniques to share media files
US9003507B2 (en) * 2012-03-23 2015-04-07 Cloudpath Networks, Inc. System and method for providing a certificate to a third party request
US8892865B1 (en) 2012-03-27 2014-11-18 Amazon Technologies, Inc. Multiple authority key derivation
US9215076B1 (en) 2012-03-27 2015-12-15 Amazon Technologies, Inc. Key generation for hierarchical data access
US8739308B1 (en) 2012-03-27 2014-05-27 Amazon Technologies, Inc. Source identification for unauthorized copies of content
US9571282B1 (en) 2012-04-03 2017-02-14 Google Inc. Authentication on a computing device
EP2850772A4 (en) * 2012-05-04 2016-02-17 Institutional Cash Distributors Technology Llc CREATION, PROPAGATION AND INVOCATION OF SECURE TRANSACTION OBJECTS
US11334884B2 (en) * 2012-05-04 2022-05-17 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US10423952B2 (en) * 2013-05-06 2019-09-24 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
KR102093757B1 (ko) * 2012-05-24 2020-03-26 삼성전자 주식회사 eUICC 환경에서 SIM 프로파일을 제공하는 방법 및 장치
US9258118B1 (en) 2012-06-25 2016-02-09 Amazon Technologies, Inc. Decentralized verification in a distributed system
US9660972B1 (en) 2012-06-25 2017-05-23 Amazon Technologies, Inc. Protection from data security threats
US9152781B2 (en) * 2012-08-09 2015-10-06 Cisco Technology, Inc. Secure mobile client with assertions for access to service provider applications
GB2508207A (en) * 2012-11-23 2014-05-28 Intercede Ltd Controlling access to secured data stored on a mobile device
US9038142B2 (en) 2013-02-05 2015-05-19 Google Inc. Authorization flow initiation using short-term wireless communication
US9124911B2 (en) 2013-02-15 2015-09-01 Cox Communications, Inc. Storage optimization in a cloud-enabled network-based digital video recorder
US9294454B2 (en) * 2013-03-15 2016-03-22 Microsoft Technology Licensing, Llc Actively federated mobile authentication
US10778663B2 (en) * 2013-03-15 2020-09-15 Cox Communications, Inc. Network token authentication scheme
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9367676B2 (en) 2013-03-22 2016-06-14 Nok Nok Labs, Inc. System and method for confirming location using supplemental sensor and/or location data
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9246892B2 (en) 2013-04-03 2016-01-26 Salesforce.Com, Inc. System, method and computer program product for managing access to systems, products, and data based on information associated with a physical location of a user
US9426155B2 (en) * 2013-04-18 2016-08-23 International Business Machines Corporation Extending infrastructure security to services in a cloud computing environment
US9407440B2 (en) 2013-06-20 2016-08-02 Amazon Technologies, Inc. Multiple authority data security and access
US9521000B1 (en) 2013-07-17 2016-12-13 Amazon Technologies, Inc. Complete forward access sessions
US9160731B2 (en) * 2013-09-06 2015-10-13 International Business Machines Corporation Establishing a trust relationship between two product systems
US9237019B2 (en) 2013-09-25 2016-01-12 Amazon Technologies, Inc. Resource locators with keys
US9311500B2 (en) 2013-09-25 2016-04-12 Amazon Technologies, Inc. Data security using request-supplied keys
US10243945B1 (en) * 2013-10-28 2019-03-26 Amazon Technologies, Inc. Managed identity federation
US9397990B1 (en) * 2013-11-08 2016-07-19 Google Inc. Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud
US9106620B2 (en) * 2013-11-14 2015-08-11 Comcast Cable Communications, Llc Trusted communication session and content delivery
US20150150109A1 (en) * 2013-11-27 2015-05-28 Adobe Systems Incorporated Authenticated access to a protected resource using an encoded and signed token
US9420007B1 (en) 2013-12-04 2016-08-16 Amazon Technologies, Inc. Access control using impersonization
US9374368B1 (en) 2014-01-07 2016-06-21 Amazon Technologies, Inc. Distributed passcode verification system
US9369461B1 (en) 2014-01-07 2016-06-14 Amazon Technologies, Inc. Passcode verification using hardware secrets
US9292711B1 (en) 2014-01-07 2016-03-22 Amazon Technologies, Inc. Hardware secret usage limits
US9270662B1 (en) 2014-01-13 2016-02-23 Amazon Technologies, Inc. Adaptive client-aware session security
BR112016017947A2 (pt) * 2014-02-04 2017-08-08 Visa Int Service Ass Método implementado por computador, dispositivo de acesso, e, sistema
JP6327881B2 (ja) * 2014-02-24 2018-05-23 キヤノン株式会社 情報処理装置、その制御方法、及びプログラム
US10771255B1 (en) 2014-03-25 2020-09-08 Amazon Technologies, Inc. Authenticated storage operations
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9258117B1 (en) 2014-06-26 2016-02-09 Amazon Technologies, Inc. Mutual authentication with symmetric secrets and signatures
US10326597B1 (en) 2014-06-27 2019-06-18 Amazon Technologies, Inc. Dynamic response signing capability in a distributed system
JP6354407B2 (ja) * 2014-07-11 2018-07-11 株式会社リコー 認証システム、認証方法、プログラム及び通信システム
US9450760B2 (en) * 2014-07-31 2016-09-20 Nok Nok Labs, Inc. System and method for authenticating a client to a device
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
JP6561441B2 (ja) * 2014-09-05 2019-08-21 株式会社リコー 情報処理装置、アクセス制御方法、通信システム、及びプログラム
US9444848B2 (en) * 2014-09-19 2016-09-13 Microsoft Technology Licensing, Llc Conditional access to services based on device claims
US10198558B2 (en) * 2014-10-06 2019-02-05 Red Hat, Inc. Data source security cluster
CN105490997B (zh) * 2014-10-10 2019-05-14 阿里巴巴集团控股有限公司 安全校验方法、装置、终端及服务器
US10477260B2 (en) 2014-10-17 2019-11-12 Cox Communications, Inc. Network based digital video recorder playback adapter
US20160142409A1 (en) * 2014-11-18 2016-05-19 Microsoft Technology Licensing, Llc Optimized token-based proxy authentication
US10853592B2 (en) 2015-02-13 2020-12-01 Yoti Holding Limited Digital identity system
CN107210918B (zh) 2015-02-17 2021-07-27 维萨国际服务协会 用于使用基于交易特定信息的令牌和密码的交易处理的装置和方法
US9350556B1 (en) 2015-04-20 2016-05-24 Google Inc. Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key
CN104917615B (zh) * 2015-04-24 2018-06-01 广东电网有限责任公司信息中心 一种基于环签名的可信计算平台属性验证方法
US10574750B2 (en) 2015-04-27 2020-02-25 Microsoft Technology Licensing, Llc Aggregation and federation of distributed service entities and associations
US10044718B2 (en) 2015-05-27 2018-08-07 Google Llc Authorization in a distributed system using access control lists and groups
US9444822B1 (en) * 2015-05-29 2016-09-13 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US11503031B1 (en) * 2015-05-29 2022-11-15 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US9736165B2 (en) 2015-05-29 2017-08-15 At&T Intellectual Property I, L.P. Centralized authentication for granting access to online services
US10944738B2 (en) 2015-06-15 2021-03-09 Airwatch, Llc. Single sign-on for managed mobile devices using kerberos
US10171447B2 (en) 2015-06-15 2019-01-01 Airwatch Llc Single sign-on for unmanaged mobile devices
US10812464B2 (en) 2015-06-15 2020-10-20 Airwatch Llc Single sign-on for managed mobile devices
US10171448B2 (en) 2015-06-15 2019-01-01 Airwatch Llc Single sign-on for unmanaged mobile devices
US11057364B2 (en) 2015-06-15 2021-07-06 Airwatch Llc Single sign-on for managed mobile devices
US10122689B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Load balancing with handshake offload
US10122692B2 (en) 2015-06-16 2018-11-06 Amazon Technologies, Inc. Handshake offload
WO2017020035A1 (en) * 2015-07-30 2017-02-02 Interdigital Patent Holdings, Inc. Enabling coordinated identity management between an operator-managed mobile-edge platform and an external network
US10270753B2 (en) 2015-08-14 2019-04-23 Salesforce.Com, Inc. Background authentication refresh
US10542117B2 (en) 2015-09-03 2020-01-21 Verisign, Inc. Systems and methods for providing secure access to shared registration systems
US9800580B2 (en) * 2015-11-16 2017-10-24 Mastercard International Incorporated Systems and methods for authenticating an online user using a secure authorization server
US9971637B1 (en) * 2015-11-19 2018-05-15 Sprint Communications Company L.P. Big data propagation agent framework
US11329821B2 (en) * 2015-12-28 2022-05-10 Verisign, Inc. Shared registration system
US10382424B2 (en) 2016-01-26 2019-08-13 Redhat, Inc. Secret store for OAuth offline tokens
WO2017131892A1 (en) 2016-01-29 2017-08-03 Google Inc. Device access revocation
US10341862B2 (en) 2016-02-05 2019-07-02 Verizon Patent And Licensing Inc. Authenticating mobile devices
WO2017166166A1 (en) 2016-03-31 2017-10-05 Oracle International Corporation System and method for providing runtime tracing for web-based client accessing transactional middleware platform using extension interface
CN108476216B (zh) * 2016-03-31 2021-01-22 甲骨文国际公司 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的***和方法
CN106023458B (zh) * 2016-05-13 2019-08-13 智车优行科技(北京)有限公司 车辆控制方法、装置、终端、车辆、服务器及***
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10116440B1 (en) 2016-08-09 2018-10-30 Amazon Technologies, Inc. Cryptographic key management for imported cryptographic keys
US20180063152A1 (en) * 2016-08-29 2018-03-01 Matt Erich Device-agnostic user authentication and token provisioning
US10635828B2 (en) * 2016-09-23 2020-04-28 Microsoft Technology Licensing, Llc Tokenized links with granular permissions
US10374809B1 (en) * 2016-12-13 2019-08-06 Amazon Technologies, Inc. Digital signature verification for asynchronous responses
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US11238681B2 (en) 2017-01-09 2022-02-01 Carrier Corporation Access control system with local mobile key distribution
MX2019008606A (es) 2017-01-23 2019-09-27 Carrier Corp Sistema de control de acceso con acceso seguro.
CN111669408A (zh) * 2017-03-30 2020-09-15 阿里巴巴集团控股有限公司 一种身份注册及认证的方法及装置
US10742638B1 (en) * 2017-04-27 2020-08-11 EMC IP Holding Company LLC Stateless principal authentication and authorization in a distributed network
US10630668B2 (en) * 2017-04-28 2020-04-21 Amazon Technologies, Inc. Single sign-on registration
US11523444B2 (en) 2017-05-03 2022-12-06 Telefonaktiebolaget Lm Ericsson (Publ) UE handling in RAN
US10972273B2 (en) 2017-06-14 2021-04-06 Ebay Inc. Securing authorization tokens using client instance specific secrets
WO2019005857A1 (en) * 2017-06-28 2019-01-03 Apple Inc. LAW ENFORCEMENT SYSTEM
DE102017211267A1 (de) * 2017-07-03 2019-01-03 Siemens Aktiengesellschaft Verfahren zum Schützen einer Zertifikatsanforderung eines Clienten-Rechners und entsprechendes Kommunikationssystem
US10721222B2 (en) * 2017-08-17 2020-07-21 Citrix Systems, Inc. Extending single-sign-on to relying parties of federated logon providers
US10505916B2 (en) * 2017-10-19 2019-12-10 T-Mobile Usa, Inc. Authentication token with client key
GB201719080D0 (en) 2017-11-17 2018-01-03 Light Blue Optics Ltd Device authorization systems
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US10587409B2 (en) 2017-11-30 2020-03-10 T-Mobile Usa, Inc. Authorization token including fine grain entitlements
TWI640189B (zh) * 2017-12-25 2018-11-01 中華電信股份有限公司 電信認證之身分核實系統及其方法
CN108174363A (zh) * 2017-12-29 2018-06-15 威马智慧出行科技(上海)有限公司 寻车方法及装置
US11831409B2 (en) * 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
US11546310B2 (en) * 2018-01-26 2023-01-03 Sensus Spectrum, Llc Apparatus, methods and articles of manufacture for messaging using message level security
US11438168B2 (en) 2018-04-05 2022-09-06 T-Mobile Usa, Inc. Authentication token request with referred application instance public key
WO2019194665A1 (en) * 2018-04-06 2019-10-10 Samsung Electronics Co., Ltd. Method and device for performing onboarding
US10812476B2 (en) 2018-05-22 2020-10-20 Salesforce.Com, Inc. Authorization of another device for participation in multi-factor authentication
GB201809225D0 (en) * 2018-06-05 2018-07-25 Data Signals Ltd Method and apparatus for access control
WO2020005948A1 (en) * 2018-06-25 2020-01-02 Jpmorgan Chase Bank, N.A. Systems and methods for using an oauth client secret to encrypt data sent to browser
US11108764B2 (en) 2018-07-02 2021-08-31 Salesforce.Com, Inc. Automating responses to authentication requests using unsupervised computer learning techniques
US10764276B2 (en) * 2018-08-31 2020-09-01 Sap Se Certificate-initiated access to services
US11310217B2 (en) * 2018-09-07 2022-04-19 Paypal, Inc. Using ephemeral URL passwords to deter high-volume attacks
US10826909B2 (en) 2018-10-04 2020-11-03 Servicenow, Inc. Platform-based authentication for external services
CN109088890A (zh) * 2018-10-18 2018-12-25 国网电子商务有限公司 一种身份认证方法、相关装置及***
WO2020107104A1 (en) * 2018-11-30 2020-06-04 BicDroid Inc. Personalized and cryptographically secure access control in operating systems
CN109672675B (zh) * 2018-12-20 2021-06-25 成都三零瑞通移动通信有限公司 一种基于OAuth2.0的密码服务中间件的WEB认证方法
DE102019100335A1 (de) * 2019-01-08 2020-07-09 Bundesdruckerei Gmbh Verfahren zum sicheren Bereitstellen einer personalisierten elektronischen Identität auf einem Endgerät
US11361660B2 (en) 2019-03-25 2022-06-14 Micron Technology, Inc. Verifying identity of an emergency vehicle during operation
US11233650B2 (en) 2019-03-25 2022-01-25 Micron Technology, Inc. Verifying identity of a vehicle entering a trust zone
US11323275B2 (en) 2019-03-25 2022-05-03 Micron Technology, Inc. Verification of identity using a secret key
US11218330B2 (en) 2019-03-25 2022-01-04 Micron Technology, Inc. Generating an identity for a computing device using a physical unclonable function
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
CN110572258B (zh) * 2019-07-24 2021-12-14 中国科学院数据与通信保护研究教育中心 一种云密码计算平台及计算服务方法
US11882120B2 (en) * 2019-07-30 2024-01-23 Hewlett Packard Enterprise Development Lp Identity intermediary service authorization
US11050560B2 (en) 2019-09-27 2021-06-29 International Business Machines Corporation Secure reusable access tokens
US11449636B2 (en) 2019-10-04 2022-09-20 Mastercard International Incorporated Systems and methods for secure provisioning of data using secure tokens
US11652813B2 (en) * 2019-10-04 2023-05-16 Mastercard International Incorporated Systems and methods for real-time identity verification using a token code
US11121863B1 (en) 2020-03-12 2021-09-14 Oracle International Corporation Browser login sessions via non-extractable asymmetric keys
TWI802794B (zh) * 2020-04-29 2023-05-21 臺灣銀行股份有限公司 金融業務審核之整合系統及其方法
CN111797431B (zh) * 2020-07-07 2023-04-28 电子科技大学 一种基于对称密钥体制的加密数据异常检测方法与***
CN111770200B (zh) * 2020-08-31 2020-12-08 支付宝(杭州)信息技术有限公司 一种信息共享方法和***
FI129916B (en) * 2020-12-16 2022-10-31 Nokia Technologies Oy AUTHORIZATION OF ONLINE REQUEST
US11895106B2 (en) 2021-01-28 2024-02-06 Oracle International Corporation Automatic sign-in upon account signup
US11620363B1 (en) 2021-03-15 2023-04-04 SHAYRE, Inc. Systems and methods for authentication and authorization for software license management
US11632362B1 (en) 2021-04-14 2023-04-18 SHAYRE, Inc. Systems and methods for using JWTs for information security
JP7453179B2 (ja) * 2021-04-20 2024-03-19 トヨタ自動車株式会社 認証システム
US11831754B2 (en) * 2021-04-21 2023-11-28 Aetna Inc. Systems and methods for device binding across multiple domains using an authentication domain
US11621830B1 (en) 2021-06-28 2023-04-04 SHAYRE, Inc. Systems and methods for facilitating asynchronous secured point-to-point communications

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260716A (ja) * 2003-02-27 2004-09-16 Nippon Telegr & Teleph Corp <Ntt> ネットワークシステム、個人情報送信方法およびプログラム
DE102008000067C5 (de) * 2008-01-16 2012-10-25 Bundesdruckerei Gmbh Verfahren zum Lesen von Attributen aus einem ID-Token
US9838877B2 (en) * 2008-04-02 2017-12-05 Yougetitback Limited Systems and methods for dynamically assessing and mitigating risk of an insured entity
US20090271847A1 (en) 2008-04-25 2009-10-29 Nokia Corporation Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On
US8869257B2 (en) * 2008-05-27 2014-10-21 Open Invention Network, Llc Identity selector for use with a user-portable device and method of use in a user-centric identity management system
US20100251353A1 (en) * 2009-03-25 2010-09-30 Novell, Inc. User-authorized information card delegation
JP2010244272A (ja) * 2009-04-06 2010-10-28 Nippon Telegr & Teleph Corp <Ntt> 個人属性情報管理方法、個人属性情報管理システムおよび個人属性情報管理プログラム
DE102009027682A1 (de) * 2009-07-14 2011-01-20 Bundesdruckerei Gmbh Verfahren zur Erzeugung eines Soft-Tokens
JP5688087B2 (ja) * 2009-09-14 2015-03-25 インターデイジタル パテント ホールディングス インコーポレイテッド 信頼できる認証およびログオンのための方法および装置
US20110173105A1 (en) * 2010-01-08 2011-07-14 Nokia Corporation Utilizing AAA/HLR infrastructure for Web-SSO service charging
JP5540119B2 (ja) * 2010-02-09 2014-07-02 インターデイジタル パテント ホールディングス インコーポレイテッド トラステッド連合アイデンティティのための方法および装置
US8555361B2 (en) * 2010-02-26 2013-10-08 Motorola Mobility Llc Dynamic cryptographic subscriber-device identity binding for subscriber mobility
GB2478971A (en) * 2010-03-25 2011-09-28 Nec Corp Generating a user interface on a mobile phone for an application on a UICC using metadata
DE102010028133A1 (de) * 2010-04-22 2011-10-27 Bundesdruckerei Gmbh Verfahren zum Lesen eines Attributs aus einem ID-Token
WO2012004916A1 (ja) * 2010-07-09 2012-01-12 日本電気株式会社 サービス提供システム
US8832271B2 (en) * 2010-12-03 2014-09-09 International Business Machines Corporation Identity provider instance discovery
US9497184B2 (en) * 2011-03-28 2016-11-15 International Business Machines Corporation User impersonation/delegation in a token-based authentication system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI625951B (zh) * 2015-02-24 2018-06-01 美商高通公司 使用用於服務c平面方法的網路符記的高效策略實施

Also Published As

Publication number Publication date
KR20160079153A (ko) 2016-07-05
WO2013109857A1 (en) 2013-07-25
KR101730459B1 (ko) 2017-04-26
KR20140114058A (ko) 2014-09-25
US20130191884A1 (en) 2013-07-25
US9774581B2 (en) 2017-09-26
KR101636028B1 (ko) 2016-07-04
CN104115465A (zh) 2014-10-22
JP2015511348A (ja) 2015-04-16
EP2805470B1 (en) 2018-09-12
EP2805470A1 (en) 2014-11-26
KR20170046191A (ko) 2017-04-28

Similar Documents

Publication Publication Date Title
KR101730459B1 (ko) 로컬 기능을 갖는 아이덴티티 관리
TWI558253B (zh) 進行用戶認證的計算機執行方法及使用用戶識別碼得到存取目標域處服務的方法
TWI514896B (zh) 可信賴聯合身份方法及裝置
US9185560B2 (en) Identity management on a wireless device
JP6189953B2 (ja) 無線ユニットのユーザを認証するための方法およびシステム
US9467429B2 (en) Identity management with generic bootstrapping architecture
JP2016511849A (ja) 独立アイデンティティ管理システム
JP2015511467A (ja) モバイル・デバイスのため、発見された位置決めサーバへのセキュアなアクセスをイネーブルすること
JP2013504832A (ja) 信頼できる認証およびログオンのための方法および装置
US11711693B2 (en) Non-3GPP device access to core network
US11917416B2 (en) Non-3GPP device access to core network
TW201225697A (en) Identity management on a wireless device
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
US20220256349A1 (en) Provision of Application Level Identity
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置