专利名称:用于允许自举架构和共享身份服务相互作用的用户身份管理的制作方法
技术领域:
本发明的实施例总体上涉及无线技术,并且更具体地涉及用于有助于移动认证架构内的相互作用的系统、方法、装置和计算机程序产品。
背景技术:
移动终端(比如便携通信设备(PCD)(例如蜂窝电话)、便携数字助理(PDA)、膝上型计算机或者能够与无线网络通信的任何适当设备)的安全性对于移动终端用户而言越来越重要。安全算法经常用来实现在移动终端与另一网络实体之间的安全性。这些安全算法经常依赖于在移动终端与其它网络实体之间共享的允许认证移动终端的秘密。通常以密码密钥或者用户名/口令组合实现这一共享秘密。通用自举架构(GBA)是允许在移动终端与归属网络之间自举安全密钥的框架架构,该安全密钥然后可以用来进一步导出用于在移动终端与网络应用服务器之间使用的安全密钥。使用与移动终端的共享秘密的网络应用服务器或者网络节点可以驻留于任何种类的网络(例如受访网络、开放因特网)中或者它甚至可以是另一设备。近来已经考虑GBA 用于与身份管理系统(如例如自由联盟(Liberty Alliance))组合使用。因而,可以例如基于用于第三代伙伴项目(3GPP)的移动算法AKA (认证和密钥协定)或者用于3GPP 2的 CHAP (挑战-握手认证协议)或者CAVE (蜂窝认证和语音加密)的3GPP通用认证架构(GAA) 可以用来在用户的初始签名和认证之后提供对多个服务或者网站的单次签名访问。在部署 GBA时,其它协议也可以用于自举(如例如CableLabs或者开放移动联盟开发的协议)。在那些变体之间的主要不同在于用来生成共享秘密的实际方法。服务专属共享秘密的部署、 使用和处置对于所有上文提到的GBA变体而言保持相同。这允许具有异构网络架构的网络运营商(例如如果网络运营商有用固定和移动网络)允许用户无论他们想要如何访问服务 (例如经由PC、电话等)都使用相同服务。此外对于运营商而言可以在很大程度上重用后端服务器。当特别是首次通过网络访问受保护资源(比如服务或者网站)时,经常有必要填写包括大量例行个人信息的经常广泛的表格。经常录入用户名和口令以与“账户”中的个人信息关联,从而将来请求服务或者拜访特定网站仅要求用户录入他们的用户名和口令以认证用户。单个用户可以具有与不同服务和/或网站的大量账户,并且每当对他们的个人信息进行改变时,将必须单独更新每个账户。另外,不同服务可以具有针对用户名和口令的不同要求并且可以产生用于每个服务或者网站的不同用户名和口令。因而已经开发某些机制以调解对受保护资源的访问或者提供开放认证机制。OpenID是允许因特网用户使用单个数字身份来登录到不同网站的共享身份服务。因此,用户可以无需用于每个站点的不同用户名和口令,并且可以在一个位置更新所有个人信息。OpenID是一种让用户控制他们提供的个人信息数量的分散、自由和开放标准。OpenID是已经被开发用于与开放认证结合使用的协议的例子。这一协议基于当前网上浏览器的重定向特征、但是未解决访问授权。应当
4注意服务信道可以不同于用来认证的连接。
发明内容
因此根据一个实施例提供一种用于有助于认证比如移动终端的请求同时也向服务、网站、应用等供应关于用户的信息的方法、装置和计算机程序产品。一个实施例的一种方法、装置和计算机程序产品可以提供用于使自举架构(比如通用自举架构)和共享身份服务(比如OpenID架构)相互作用。就这一点而言,本发明的一些实施例例如可以通过 GBA提供与服务提供商的安全会话而又能够向服务提供商供应用户信息和/或使用OpenID 架构来访问用户账户。自举架构(例如GBA)和共享身份服务(例如OpenID)架构的相互作用可以通过增加用户可以安全访问服务的效率和简易性来提供增强的用户体验。具体而言,示例性实施例的方法包括使请求被提供到服务提供商、接收到共享身份服务的重定向、使认证请求被提供到共享身份服务、接收共享身份服务认证、建立用户会话安全密钥并且使用会话安全密钥和共享身份服务认证来与服务提供商建立会话。可以使用通用自举架构(BGA)来执行建立用户会话安全密钥。向服务提供商的请求可以包括用户标识符,并且用户标识符可以是假名。用户会话安全密钥可以是自举事务标识符(B-TID)。 服务提供商可以响应于接收请求来与共享身份服务建立共享秘密。与服务提供商建立会话可以包括向网络应用功能(NAF)供应用户安全密钥、响应于供应用户安全密钥从网络应用功能接收认证信息并且向服务提供商提供认证断言。根据本发明的另一实施例,提供一种装置。该装置可以包括至少一个处理器和至少一个存储器,至少一个存储器包括计算机程序代码。至少一个存储器和计算机程序代码可以被配置成与至少一个处理器一起使装置执行使请求被提供到服务提供商;接收到共享身份服务的重定向;使认证请求被提供到共享身份服务;接收共享身份服务认证;建立用户会话安全密钥;并且使用会话安全密钥和共享身份服务认证来与服务提供商建立会话。可以使用通用自举架构来执行建立用户会话安全密钥。向服务提供商的请求可以包括用户标识符,并且用户标识符可以是假名。用户会话安全密钥可以是自举事务标识符。服务提供商可以响应于接收请求来与共享身份服务建立共享秘密。与服务提供商建立会话可以包括向网络应用功能供应用户安全密钥、响应于供应用户安全密钥从网络应用功能接收认证信息并且向服务提供商提供认证断言。本发明的又一实施例可以包括一种计算机程序产品,该计算机程序产品包括至少一个计算机可读存储介质,至少一个计算机可读存储介质具有存储于其中的计算机可执行程序代码指令。计算机可执行程序代码指令可以包括用于使请求被提供到服务提供商的程序代码指令;用于接收到共享身份服务的重定向的程序代码指令;用于使认证请求被提供到共享身份服务的程序代码指令;用于接收共享身份服务认证的程序代码指令;用于建立用户会话安全密钥的程序代码指令;以及用于使用会话安全密钥和共享身份服务认证来与服务提供商建立会话的程序代码指令。可以使用通用自举架构来执行用于建立用户会话安全密钥的程序代码指令。向服务提供商的请求可以包括用户标识符,并且用户标识符可以是假名。用户会话安全密钥可以是自举事务标识符。服务提供商可以响应于接收请求来与共享身份服务建立共享秘密。用于与服务提供商建立会话的程序代码指令可以包括用于向网络应用功能供应用户安全密钥的程序代码指令、用于响应于供应用户安全密钥从网络应用功能接收认证信息的程序代码指令以及用于向服务提供商提供认证断言的程序代码指令。
已经这样用一般术语描述本发明的实施例,现在将参照未必按比例绘制的以下附图,其中图1是根据本发明一个示例性实施例的移动终端的示意框图;图2是根据本发明一个示例性实施例的网络模型的示意框图;图3是根据本发明一个示例性实施例的共享身份架构(比如OpenID架构)的示意框图;图4是根据本发明一个示例性实施例的自举架构和共享身份架构相互作用的示意框图;图5是根据本发明一个示例性实施例的自举架构和共享身份架构相互作用的消息流的流程图;图6是根据本发明一个示例性实施例的用于在自举架构与共享身份架构之间相互作用的示例性方法的流程图;图7是根据本发明一个示例性实施例的用于在自举架构与共享身份架构之间相互作用的另一示例性方法的流程图;图8是根据本发明一个示例性实施例的用于在共享身份架构与自举架构之间相互作用的另一示例性方法的流程图;并且图9是根据本发明另一示例性实施例的用于在共享身份架构与自举架构之间相互作用的另一示例性方法的流程图。
具体实施例方式现在下文将参照其中示出本发明的一些但是并非所有实施例的附图更完全描述本发明的实施例。实际上,本发明可以用诸多不同形式来体现而不应理解为限于这里阐述的实施例;相反,提供这些实施例使得本公开内容将满足适用法律要求。相似标号通篇指代相似要素。此外如这里使用的那样,术语‘电路’指代(a)仅硬件的电路实施方式(即用模拟电路和/或数字电路的实施方式);(b)电路与计算机程序产品(该计算机程序产品包括存储于一个或者多个计算机可读存储器上的软件和/或固件指令)的组合,这些电路和计算机程序产品一起工作以使装置执行这里描述的一个或者多个功能;以及(c)即使软件或者固件未在物理上存在仍然需要软件或者固件用于操作的电路(如例如微处理器或者微处理器的部分)。这一 ‘电路’定义适用于这一术语在这里的所有使用(包括在权利要求中)。 作为又一例子,如这里使用的那样,术语‘电路’也包括如下实施方式,该实施方式包括一个或者多个处理器和/或其部分以及附带软件和/或固件。作为另一例子,如这里使用的术语‘电路’也例如包括用于移动电话的基带集成电路或者应用处理器集成电路或者服务器、 蜂窝网络设备、其它网络设备和/或其它计算设备中的相似集成电路。如这里定义的那样,指代物理存储介质(例如易失性或者非易失性存储器设备或者该设备中的防篡改模块)的“计算机可读存储介质”可以区别于指代电磁信号的“计算机可读发送介质”。因此提供一种用于自举架构和共享身份服务相互作用的方法、装置和计算机程序代码。虽然下文在通用自举架构和OpenID架构相互作用的背景中描述,但是通用自举架构和OpenID架构是以示例方式而非限制地提供的。因而用户可以使用单次登录以建立安全连接并且从用户设备装置访问服务。根据本发明的各种实施例,会话可以由如下用户发起, 该用户浏览到用共享身份服务(比如OpenID功能)实现的服务或者网站。在这一实施例中,用户可以向通常为服务提供网络节点的中继方(RP)供应OpenID标识符。RP然后可以正规化用户供应的标识符、取回OpenID提供商的地址并且基于用户供应的标识符来执行对用户希望用于认证的OpenID提供商端点统一资源定位符(URL)的发现。RP然后可以与网络应用功能(NAF)建立安全共享秘密,该NAF可以与OpenID提供商处于相同的位置。RP 然后可以用OpenID认证请求将用户设备(UE)浏览器重定向到OpenID提供商。UE可以向 OpenID提供商发送HTTP GET请求并且接收认证请求作为答复。UE然后可以运用自举架构 (比如GBA)以用自举服务器功能(Bre)自举从而获得自举事务标识符(B-TID),该B-TID 标识生成的安全密钥并且可以用来标识认证的GBA用户。自举架构(比如GBA)中可能的更多可选身份包括MPI (IMS私有身份)、IMPU (IMS公共身份)、IMSI (国际移动用户身份) 或者存储于用户安全设置(USS)中的其它标识符。UE然后可以向NAF供应B-TID,该NAF 又验证来自BSF的B-TID并且接收授权信息和用于向RP信息发布的策略。NAF然后可以用认证断言将UE浏览器重定向到RP,RP然后可以使该认证断言生效。一旦生效,用户可以使用所需服务。共享身份服务运用的单个标识(比如OpenID标识符)可以以假名的形式,该假名提供关于运营商的域的信息以保证可以成功使用OpenID发现过程。例如通过提供表示匿名用户的专门构造的串,这一标识符可能并不提供关于具体用户本身的信息。GBA机制可以提前在某一时间创建用于用户的系列假名。可以计算假名而未预先涉及到运营商(比如当向用户分配具体值范围时)。可以基于与用户和/或UE关联的标识符(比如用户的MSISDN(移动用户国际用户目录号码))来确定共享身份服务运用的单个身份(比如OpenID标识符)。移动网络专属标识符(比如MSISDN)到OpenID标识符的映射可以出现于终端主机作为网上浏览器插件的部分或者作为如下代码,该代码适于作为对GBA代码的扩展。在这样的实施例中,浏览器可以在访问用于与OpenID —起使用的RP网页时将发现的OpenID标识符与HTTP页面一起提供。可选地,RP本身可以执行MSISDN到OpenID标识符查找。在这样的实施例中,用户可以向OpenID登录窗中录入MSISDN或者可以如在自动填写机制中那样自动录入它。与用户和/或UE关联的标识符(例如MSISDN标识符)可以由将MSISDN转换成串的ENUM(电话号码映射)过程转译成OpenID标识符,从而它可以用于DNS查找并且标识可用服务。ENUM 向因特网域名分配传统电话号码序列而无任何含糊可能性。图1图示了将受益于本发明实施例的移动终端10的框图。然而应当理解如图所示和下文描述的移动电话仅举例说明将受益于本发明实施例的一种类型的移动终端、因此不应构成对本发明实施例的范围的限制。尽管出于举例的目的而图示并且下文将描述移动终端10的若干实施例,但是其它类型的移动终端(比如便携数字助理(PDA)、寻呼机、移动电视、游戏设备、膝上型计算机、相机、视频记录器、音频/视频播放器、无线电、GPS (全球定位卫星)设备或者前述移动终端的任何组合以及其它类型的语音和文字通信系统)都能够实现本发明的实施例。此外,尽管本发明方法的若干实施例由移动终端10执行或者使用,但是该方法可以由除了移动终端之外的设备利用。另外,将主要与移动通信应用结合描述本发明实施例的系统和方法。然而应当理解可以在移动通信业内和在移动通信业以外与多种其它应用结合利用本发明实施例的系统和方法。移动终端10可以包括与发送器14和接收器16可操作通信的一个天线12(或者多个天线)。移动终端10还可以包括装置(比如控制器20或者其它如下处理单元,该处理单元分别向发送器14提供信号而从接收器16接收信号)。信号可以包括根据适用蜂窝系统的空中接口标准的信令信息并且也包括用户话音、接收的数据和/或用户生成的数据。就这一点而言,移动终端10可以能够利用一个或者多个空中接口标准、通信协议、调制类型和接入类型进行操作。举例而言,移动终端10可以能够根据多个一代、二代、三代和/或四代通信协议等中的任何通信协议进行操作。例如移动终端10可以能够根据二代 (2G)无线通信协议IS-136 (时分多址(TDMA)、GSM(全球移动通信系统)和IS-95 (码分多址(CDMA)))或者根据三代(3G)无线通信协议(比如通用移动电信系统(UMTS)、CDMA2000、 宽带CDMA(WCDMA)和时分同步(CDMA(TD-SCDMA)))、根据四代0G)无线通信协议等进行操作。作为替代(或者除此之外),移动终端10可以能够根据非蜂窝通信机制进行操作。例如移动终端10可以能够在无线局域网(WLAN)或者其它通信网络中通信。本发明的实施例也可以由PC利用,该PC具有允许连接实现网络接入安全性的运营商智能卡(例如用户身份模块(UIM)或者订户身份模块(SIM)或者通用订户身份模块(USIM))或者其它安全硬件模块,然后将无需天线,但是假设存在另一通信装置(例如固定线路)。理解装置(比如控制器20)可以包括为了实施移动终端10的音频和逻辑功能而需要的电路。例如控制器20可以包括数字信号处理器设备、微处理器设备以及各种模数转换器、数模转换器和其它支持电路。在这些设备之间根据它们的相应能力来分配移动终端 10的控制和信号处理功能。控制器20因此也可以包括用于在调制和发送之前卷积编码和交织消息和数据的功能。控制器20还可以包括内部语音编码器并且可以包括内部数据调制解调器。另外,控制器20可以包括用于操作可以存储于存储器中的一个或者多个软件程序的功能。例如控制器20可以能够操作连通性程序(比如常规网上浏览器)。连通性程序然后可以允许移动终端10例如根据无线应用协议(WAP)、超文本传送协议(HTTP)等发送和接收网络内容(比如基于位置的内容和/或其它网页内容)。此外,连通性程序可以允许处理单向信息(例如用于移动TV的广播接收)。移动终端10也可以包括都耦合到控制器20的用户接口(该用户接口包括输出设备(比如常规耳机或者扬声器对、振铃器22、麦克风沈、显示器28)和用户输入接口。允许移动终端10接收数据的用户输入接口可以包括允许移动终端10接收数据的多个设备中的任何设备(比如小键盘30、触摸显示器(未示出)或者其它输入设备)。在包括小键盘30 的实施例中,小键盘30可以包括常规数字键(0-9)和有关键(#、*)以及用于操作移动终端 10的其它硬键和软键。取而代之,小键盘30可以包括常规QWERTY小键盘布置。小键盘30 也可以包括具有关联功能的各种软键。除此之外或者取而代之,移动终端10还可以包括接口设备(比如操纵杆或者其它用户输入接口(例如经由线缆到PC))。移动终端10还可以包括电池34(比如振动电池组),该电池用于向为了操作移动终端10而需要的各种电路供电以及可选地提供机械振动作为可检测输出。移动终端10还可以包括用户身份模块(UIM)38。UIM 38通常是具有内置处理器的存储器设备。UIM 38可以例如包括订户身份模块(SIM)、受信任硬件模块、通用集成电路卡(UICC)、通用订户身份模块(USIM)、可拆卸用户身份模块(R-UIM)等。UIM 38可以存储与移动订户有关的信元。除了 UIM 38之外,移动终端10还可以配备有存储器。例如移动终端10可以包括易失性存储器40,比如易失性随机存取存储器(RAM),该RAM包括用于暂存数据的高速缓存区。移动终端10也可以包括可以嵌入和/或可以可拆卸的其它非易失性存储器42。除此之外或者取而代之,非易失性存储器42还可以包括电可擦除可编程只读存储器(EEPROM)、闪存等。存储器可以存储移动终端10为了实施移动终端10的功能而需要的多条信息和数据中的任何信息和数据。例如存储器可以包括能够唯一标识移动终端 10的标识符(比如国际移动设备标识(IMEI)码)。另外,存储器可以存储用于确定小区id 信息的指令。具体而言,存储器可以存储用于由控制器20执行的应用程序,该应用程序确定移动终端10与之通信的当前小区的身份(即小区id身份或者小区id信息)。可以在硬件、软件和/或其某一组合中实现UIM。除了 IMEI之外或者取而代之,用户身份也可以包括另一标识符(例如线路标识符)。图2图示了可以受益于本发明实施例的简单网络模型的框图。如图所示,示出了用户设备(UE) 50 (该UE的例子可以包括图1的移动终端10)与归属网络52(比如蜂窝网络)通信。尽管移动电话是移动终端的常见例子,但是移动电话仅举例说明可以受益于本发明实施例的一种类型的移动终端、因此不应构成对本发明的范围的限制。另外,虽然将主要与移动通信应用结合描述本发明的实施例,但是可以在移动通信业内和在移动通信业以外与多种其它应用(比如网站访问、电视(TV)、新闻服务、竞拍服务)结合来利用本发明的其它实施例。虽然在图2中未示出,但是在归属网络52是蜂窝网络的实施例中,UE 50 一般包括用于向一个或者多个收发器基站(BTS)(也称为基站或者用于更新网络的eNB、归属(e) NB或者WLAN接入点)发送信号和从该BTS接收信号的天线。BTS是各自包括操作网络而需要的单元的一个或者多个蜂窝或者移动网络的部分。BTS可以充当在网络与移动节点之间的接口,因为BTS将数字数据转换成无线电信号而将无线电信号转换成数字数据。每个 BTS 一般具有关联无线电塔或者天线并且使用无线电链路来与各种接入终端通信。具体而言,BTS可以通过对前向信号集的调制和发送来与各种接入终端通信,同时BTS可以从参与无线网络活动(例如电话呼叫、网上浏览会话等)的各种接入终端接收反向信号集并且解调这些信号集。BTS 一般可以连接到一个或者多个基站控制器(BSC)。在BTS与BSC之间的连接可以例如使用非信道化Tl设施或者直接线缆。BSC可以用来对接(聚集)从BTS的天线到达的所有射频(RF)业务并且向移动切换中心(MSC)提供这一业务。BSC—般负责管理用于一个或者多个BTS的无线电资源。例如BSC可以处置无线电信道设置、调频和切换。另外, MSC负责提供在包括BTS、BSC和分组控制功能(PCF)的无线电接入网络(RAN)与公共交换电话网络(PSTN)之间的接口。具体而言,MSC可以控制为了建立呼叫并且向BSC和PCF分配RF资源而需要的信令。在操作中,MSC能够在移动终端发出和接收呼叫、数据等时对去往和来自那些移动终端的呼叫、数据等寻路由。MSC也可以在呼叫中涉及到移动站时提供与路线干线的连接。PCF可以用来在移动终端(当在BTS之一的范围内时)与分组数据服务节点 (PDSN)之间对网际协议(IP)分组数据寻路由。PDSN又可以用来提供向一个或者多个IP 网络(如例如因特网、内部网、应用服务器或者公司虚拟专用网(VPN))的接入。以这一方式,PDSN充当接入网关。网络可以利用或者可以不利用网络地址转换。虽然这里未示出和描述每个可能网络的每个单元,但是应当理解UE 50可以使用多个不同模式(这里也称为协议)中的任何模式中的一个或者多个模式来耦合到多个不同网络中的任何网络中的一个或者多个网络。就这一点而言,网络可以能够支持根据多个一代(IG)、二代(2G)、2. 5G、三代(3G)、3.9G、四代0G)移动通信协议中的任何一个或者多个移动通信协议的通信或者那些通信协议与其它无线电技术等的相互作用。更具体而言, 移动终端可以耦合到网络,该网络能够支持根据2G无线通信协议IS-136 (TDMA)、GSM和 IS-95 (CDMA)的通信。又例如,网络可以能够支持根据2. 5G无线通信协议通用分组无线电服务(GPRS)、增强型数据GSM环境(EDGE)等的通信。此外,例如一个或者多个网络还可以能够支持根据3G无线通信协议(比如CDMA2000和运用宽带码分多址(WCDMA)无线电接入技术的通用移动电话系统(UMTQ网络)的通信。此外,网络还可以能够支持广域网(WAN) 通信(比如WLAN(IEEE 702. 11)或者全球微波接入互操作性(WiMAX) (702. 16)或者固定线路接入)。一些窄带高级移动电话服务(NAMPS)以及全接入通信系统(TACS)网络也可以如双模或者更高模式移动站(例如数字/模拟或者TDMA/CDMA/模拟电话)应当的那样受益于本发明的实施例。现在参照图2,该示了例如根据基本GBA框架的网络模型,在该GBA框架中,归属网络52包括自举服务器功能(BSF) 54、归属订户系统(HSS) 56和网络应用功能(NAF) 58。 尽管下文描述图2的网络模型,但是这一网络模型是以示例方式而非限制地提供的,因为其它网络模型可以相似地支持本发明的实施例。然而关于图2注意其它NAF可以存在于归属网络中或者外网中。虽然未示出,但是归属网络52还可以包括归属位置寄存器(HLR)或者认证、授权和计费(AAA)服务器。AAA、HLR和HSS可以包括数据库,这些数据库包含用于访问授权的密码信息以及用户身份信息。因而无论下文何时使用术语HSS,该术语应当视为如下数据库的例子,该数据库包含用于访问授权的密码信息以及用户身份信息并且可替换为HLR、AAA等。BSF M可以是如图2中所示位于移动终端(例如UE 50)的归属网络52 中的服务器或者其它计算设备,该服务器或者计算设备被配置成允许在UE 50与BSF讨之间自举共享密钥Ks。NAF 58可以是应用专属服务器或者在归属网络52(或者其它网络) 内的可以在UE 50与所谓NAF 58的应用服务器之间使用其它计算设备(使用导出的应用密钥,称为Ks_(ext/int)_NAF)。Ks_(ext/int)_NAF是应用服务器专属的,因为每个应用服务器将具有根据主密钥Ks导出的不同应用密钥Ks_(ext/int)_NAF,因此保证不同应用服务器未共享相同应用密钥。符号表示Ks_(ext/int)_NAF意味着如果使用GBA的终端变体, 则导出一个密钥Ks_NAF,如果使用GBA的智能卡专属变体(称为GBA_U),则在智能卡中导出两个密钥Ks_int_NAF和Ks_ext_NAF而仅Ks_ext_NAF离开智能卡。注意,虽然这里使用的术语BSF和NAF通常与GBA框架关联,但是这样的术语应当理解为适用于也具有可以在GBA框架以外的对应功能的设备。BSF可以服务于大范围的网络类型而未必限于一种网络类型。BSF也可以是订户数据库(比如HSS)的集成部分。在一个示例实施例中,HSS 56可以包括用户的GBA用户安全设置(⑶SS)的完整集合。⑶SS也可以外部存储于BSF附近。HLR可以包括在向除了归属网络52之外的网络切换呼叫时使用的订户信息,并且AAA服务器可以规定用户有权访问的计算机资源并且保持对网络内的用户活动的跟踪。然而应当注意网络模型的替代示例实施例可以不包括上文描述的部件中的一个或者多个部件和/或可以包括附加部件。例如在第三代伙伴项目2(3GPP2) 中,GBA自举可以基于存储于HSS 56 (在该情况下可以使用AKA (认证和密钥协定))或者 HLR(在该情况下可以使用蜂窝认证和语音加密(CAVE))或者AAA服务器(在该情况下可以使用移动IP认证)中的长期共享秘密。在3GPP中,GBA自举基于存储于HSS 56中的长期共享秘密(并且使用AKA)。在一个示例实施例中,NAF 58和BSF 54可以各自分别包括对应处理器59和55。 处理器59和55可以在本地并且分别与NAF 58和BSF M关联并且可以例如被配置成执行在位于相应处理器59和55或者可由相应处理器59和55访问的存储器中存储的指令用于执行如这里限定的对应功能。可以用诸多方式实现处理器(比如这里描述的处理器)。例如处理器可以体现为处理器、协同处理器、控制器或者各种其它处理装置或者电路(包括集成电路(如例如ASIC(专用集成电路)))。这样,虽然NAF 58和BSF讨中的每项可以是配置成执行NAF 58和BSF M的相应功能的在硬件、计算机程序产品或者硬件与软件的组合中体现的任何装置或者设备,但是处理器59和55可以代之以分别控制或者以别的方式实现为NAF 58和BSF 55。在图2的例子网络模型中,可以经由接口建立在各种单元之间的通信。例如UE 50 可以经由第一接口⑴a)60 (例如经由IP、HTTP协议)来与NAF 58通信。UE 50可以经由第二接口(Ub) 62来与BSF M通信(例如运行用于认证的AKA)。BSF M可以经由第三接口( )64(例如经由DIAMETER或者网上服务协议)来与NAF58通信。BSF M可以经由第四接口( ) 66 (例如经由DIAMETER、远程认证拨入用户服务(RADIUQ或者消息应用协议 (MAP)协议)来与HSS 56 (和/或如果适用则与HLR和AAA服务器)通信。注意在那些接口中可以有代理(例如diameter D代理)。因此例如为了开始自举过程,UE 50可以经由 W3接口 62向BSF M提交自举请求。在接收自举请求时,BSF M和UE 50通过W3接口 62 继续包括消息交换的自举过程,该消息交换可以涉及到在UE 50与BSF讨之间的两个或者更多往返并且可以涉及到在UE 50与归属网络52之间的相互认证。这一实施例的自举过程在UE 50和BSF 54均产生共享秘密Ks (具有关联B-TID和寿命)。随后,当UE 50尝试经由Ua接口 60来与NAF 58通信时,UE 50可以根据Ks导出具体Ks_(ext/int)_NAF(例如一个或者若干应用专用密钥)(基于包括NAF 58的身份的信息使用预定义密钥导出函数 (KDF))。在这一实施例中,UE 50向NAF 58传送B-TID,该NAF然后将经由Si接口 64联络BSF 54。BSF M然后可以联络HSS以通过跑或者Zh’接口获得用于导出Ks的所需数据并且可选地也还包括与安全性有关的信息(例如GBA用户安全性设置(GUSS))。然后, 这一实施例的BSF以与US 50相同的方式导出Ks_(ext/int)_NAF并且向NAF 58返回Ks_ (eXt/int)_NAF(也可以与密钥一起提供密钥寿命和用户安全设置(USS)(该USS可以作为 ⑶SS的部分))。然后可以经由新Ks_(ext/int)_NAF或者根据这些密钥导出的更多密钥保
11护UE 50和NAF 58执行的应用所进行的后续通信。目前,经由Si接口 64的通信可以限于交换用于获取密钥、USS和对应密钥寿命的信息。应当注意Si接口可以在一些情况下利用Si代理并且则称为Zn’接口。根据本发明实施例的一个示例性方面,可以单独和/或在计算机程序产品的控制之下通过包括上文描述的手段的各种手段(比如硬件和/或固件)执行系统的一个或者多个实体(比如BSF 54、NAF58、UE 50或者任何其它单元)执行的功能。用于执行本发明示例实施例的一个或者多个功能的计算机程序产品可以包括计算机可读存储介质(比如非易失性存储器介质)以及在计算机可读存储介质中体现的包括计算机可读程序代码部分 (比如一系列计算机指令)的软件。下文再次参照图2描述根据自举架构并且作为更具体例子GBA架构的消息流的另一示例性实施例。UE可以通过Wd 62参考点向BSF发送自举HTTP请求,其中fe 60和W3 62是与UE 50的接口。BSF M然后可以基于请求来确定IMPI或者其它标识符。如果有若干HSS 56,则BSF M可以查询LF 55以针对UE 50的用户确定正确HSS 56的名称。BSF 讨然后可以从HSS 56通过参考点选66取回⑶SS设置的完整集合和一个认证矢量(AV), 其中跑是在BSF M与HSS之间的参考点并且它允许BSF获取所需认证证书。BSF可以使用GUSS的本地副本。如果具有基于用户身份模块的增强的GVA(GBA_U)将由NAF 58使用, 则可以使用⑶SS。如果未部署具有跑参考点的HSS,则这一实施例的BSF从具有跑’参考点支持的HLR或者HSS通过参考点Zh’取回认证矢量。接着BSF可以在“401”错误消息中向UE转发认证数据参数(RAND)和认证令牌(AUTN)。这一错误消息将需要UE认证其本身。 UE然后可以校验AUTN以验证挑战来自已授权网络。UE也可以计算CK、IK和RES,该CK、IK 和RES将产生UE中的会话密钥IK和CK。UE然后可以向BSF发送包含(使用RES计算的) 摘要AKA响应的另一 HTTP请求。BSF然后可以通过验证摘要AKA响应来认证UE。BSF然后可以通过级联CK和IK来生成主密钥材料Ks。BSF可以生成应用专属密钥Ks_(ext/int)_ NAF0 BSF也可以生成B-TID值。BSF可以向UE发送包括B-TID的2000K消息以表明认证成功。此外,在2000K消息中,BSF可以供应密钥Ks的寿命。在UE中生成密钥材料Ks。UE 和BSF均可以使用Ks导出将用于保护参考点Ua的应用专属密钥材料Ks_NAF。如果使用 GBA_U,则Ks_ext_NAF可以用于保护Ua参考点。UE和BSF可以将密钥Ks与关联B-TID — 起存储用于进一步使用,直至Ks的寿命已经到期或者直至更新密钥Ks或者直至满足删除条件为止。自举架构(比如GBA)可以使用于诸如多媒体广播多播服务(MBMS)、增强型MBMS、 接入网络发现和服务功能(ANDSF)、开放移动联盟(OMA)XML文档管理、存在安全等诸多服务中。GBA可以使用具有GBA_U认知通用集成电路卡(UICC)应用的通用用户身份模块 (USIM)、IP多媒体服务身份模块(ISIM)或者SIM卡。作为共享身份服务的例子,OpenID协议由OpenID基金会规范并且使用基于统一资源定位符(URL)的标识符。OpenID基于HTTPP0ST和REPLY。这里参照图3描述OpenID 的消息流的一个示例性实施例。UE 350中的浏览器可以向RP 370发送用户供应的标识符, 该RP又可以正规化用户供应的标识符。RP 370然后可以取回OpenID提供商(OP) 380的地址并且执行对终端用户希望用于认证的OP端点URL的发现(基于用户供应的标识符)。RP 370和OP 380然后可以在390使用Diff ie-HelIman密钥交换协议来建立共享秘密(称为关联)。共享秘密的目的在于OP 380可以对后续消息签名并且RP 370可以更容易验证那些消息。该关联可选而并非必须用于相互作用的目的。RP 370然后可以用OpenID认证请求将UE 350的浏览器重定向至OP 380。OP 380确认终端用户是否被授权执行OpenID认证并且希望这样做。OP 380可以用认证被批准这样的断言或者认证失败的消息将UE 350 的浏览器重定向回到RP 370。RP 370然后可以验证从OP 380接收的信息,从而用户变为被认证。可能希望组合自举架构(比如GBA)的功能与共享身份服务(比如OpenID架构) 以保证通过自举架构(例如GBA)的与服务提供商的安全会话而又能够向服务提供商供应用户信息和/或使用共享身份服务(例如OpenID架构)来访问用户账户。自举架构和共享身份服务的相互作用因此可以通过增加用户可以安全访问服务的效率和简易性的来提供增强的用户体验。已经这样描述根据自举架构(例如GBA)和共享身份服务(例如OpenID架构)的消息流,这里参照图4描述如分别例如由GBA和OpenID架构代表的自举架构和共享身份服务的相互作用的一个示例性实施例。在所示实施例中,NAF 458的功能与OP 480共同定位。 可以用库的形式向OpenID服务器添加NAF 458的功能。图4的虚线代表源于OpenID架构的接口,而实线代表源于GBA架构的接口。UE 450使用浏览器来与OP 480通信。Ua 460 的协议可以基于3GPP标准TS 109和TS 33. 222并且由0P/NAF和UE 450支持。OP/ NAF和UE可以支持fe 460协议的变体。OP 480和RP 470可以在475使用基于HTTP的 Diffie-Hellmann协议来通信。尽管图4图示了在NAF/0P与UE之间的两个接口,但是可以仅有一个接口,因为fe 460是应用协议,该应用协议在这一情况下可以是OpenID超文本传送协议安全(HTTPS)。图5图示了图4的系统的GBA和OpenID架构相互作用的消息流的一个示例性实施例。尽管参照图5的单元,但是图4的单元提供支持图5的消息流的系统的一个示例性实施例。在描述的示例性实施例中,浏览器常驻于UE 550中。用户可以从UE 550浏览因特网并且遇到支持OpenID的网页。用户可以希望使用OpenID来登录网页中以体验增强的功能(比如能够评论博客)。用户可以点击OpenID登录按钮,并且UE的浏览器可以在操作500向RP 570发送用户供应的标识符(例如OpenID标识符)。OpenID可以使用在OP 与RP之间使用的以URI (统一资源标识符)或者XRI (可扩展资源标识符)这一形式或者以URL(统一资源定位符)这一格式的标识符。这一实施例的浏览器由此提供关于运营商的域的信息以保证可以成功利用OpenID发现过程。注意这一标识符可以是假名标识符而不例如通过提供表示匿名用户的专门构造的串来提供关于具体用户本身的信息。关于何时和何处创建这一假名标识符可能存在一些变体。例如用户也可以使用GBA机制提前在某一时间创建一系列假名。取而代之,用户可以计算这些假名而未预先涉及到运营商(比如当向用户分配具体值范围时)。可选地,在RP 570的服务可以被配置成发现与用户和/或UE关联的唯一编号或者其它标识符(比如移动订户国际用户目录号码(MSISDN)、E. 164命名法定义的用于标识移动设备的唯一号码)。这一唯一标识符(比如MSISDN)可以用作OpenID标识符,或者 OpenID标识符可以与发现的MIISDN关联,从而RP识别MSISDN并且确定OpenID标识符。可以在UE实施浏览器插件以允许MSISDN映射到OpenID标识符。另外,RP可以允许向OpenID
13登录窗中录入MSISDN,从而用户可以使用MSISDN来登录RP。一旦UE导航到RP,RP的登录窗就可以能够用来自UE的MSISDN自动填充登录窗。可以使用在IETF RFC 3761中概括的 ENUM 过程(www, ietf. org/rfc/rfc3761. txt)来执行 MISISDN 转译成 OpenID 标识符。概括而言,ENUM过程将标识符(比如电话号码(例如MSISDN))转换成与域名系统(DNS)查找对应的串以便标识可用于电话号码的服务。新服务可以是然后可以取回以作为DNS资源记录的OpenID标识符。在ENUM过程中将需要注册新服务。因此对于GBA与OpenID的相互作用,用户可以使用可由NAF识别的移动网络运营商(MNO)专属标识符。在一个实施例中,当用户向具有OpenID功能的服务注册时,浏览器提供关于运营商域的信息以保证可以成功使用OpenID发现过程。这可以使用MSISDN或者假名(如果支持)来完成。一旦比如基于上文概括的假名方法或者唯一标识符(例如 MSISDN)方法确定用户供应的标识符,就可以正规化用户供应的标识符,并且RP 570可以在操作502取回OP 580的地址并且执行对终端用户希望用于认证的OP端点URL的发现 (基于用户供应的标识符)。RP 570和OP 580然后可以在操作504使用Diffie-Hellman密钥交换协议来建立共享秘密(称为关联)。这一共享秘密的目的在于OP可以对后续消息签名并且RP可以容易验证那些消息。关联并非必须用于相互作用的目的。如果OP和RP未驻留于相同MNO的控制之下,则使用关联可以是有利的。RP 570然后可以在操作506用OpenID认证请求将UE的浏览器重定向到OP 580。 RP可以向openid. claimed_id字段中并且向openid. identity字段中插入来自操作500的用户供应的标识符。UE然后可以在操作508向OP发送HTTP GET请求。NAF 580然后可以在操作510发起UE 550的认证并且用HTTPS响应代码401 “未授权”做出响应,该响应代码包含携带挑战的WWW认证标头,该挑战请求UE将摘要认证与如在3GPP标准TS 33. 222中指定的GBA以及服务器侧证书一起使用。如果无Ks可用,则UE 可以在操作512与BSF自举,这造成UE处理有效Ks。根据这一操作,UE 550可以导出应用专属(OpenID 专属)Ks_(ext/int)_NAF 密钥。UE 550然后可以在操作514向NAF 580生成HTTP GET请求。HTTP请求可以携带授权标头,该授权标头包含来自BSF 554的B-TID。如果使用GBA推送,则未从BSF接收 B-TID,但是GPI的部分可以包含取代B-TID而使用的P-TID。使用B-TID和NAF_ID,NAF 580在操作516通过基于Si参考点的网络服务从BSF 554取回共享应用专属NAF密钥并且可选地取回USS (如果使用GBA_U (即Ks_int/ext_NAF),则应当支持⑶SS)。可选地,OP/ NAF 580可以从BSF 554接收其它标识符(比如IMPI、MSISDN和/或存储于USS中的其它标识符)。NAF 580可以存储B-TID、密码密钥和用户供应的标识符以允许匹配OpenID用户会话和GBA会话。由于OpenID基于HTTP (S),所以NAF/OpenID服务器可以提供对与基于网络服务的Si参考点相互作用的场景的支持。OpenID可以支持Si参考点的基于Diameter 的实现方式,尽管OP更可能支持基于HTTP ( 的参考点。USS可以包含授权信息,NAF然后可以取回取回该授权信息。OP可以基于本地或者在USS中存储的授权信息来确认终端用户是否被授权执行OpenID认证并且希望这样做。USS由此可以充当中心授权和隐私数据存储库。具体而言,USS可以包含关于被允许与中继方共享的信息类型的信息。这一授权信息可以由用户并且由运营商基于它们与中继方的业务关系以及它们达成协定的条件来贡献。
NAF/0P 580然后可以针对OpenID认证用户。NAF可以将浏览器重定向到返回 OpenID地址(例如OP在操作518用认证被授权这样的断言或者认证已经失败的消息将UE 的浏览器重定向到RP570)。响应标头可以包含限定认证断言的多个字段。NAF可以用2000K 消息做出响应。RP 570然后可以在操作520比如通过校验认证是否被批准来使断言生效。 如果先前建立共享秘密(关联),则它现在可以用来验证来自OP的消息如果断言的生效和消息的验证(如果使用共享秘密)成功。则用户可以登录RP的服务。就这一点而言,图7和图8各自是根据本发明示例性实施例的方法和程序产品的流程图。将理解可以通过各种手段(比如硬件、固件和/或包括一个或者多个计算机程序指令的计算机程序产品)实施流程图的每个块和流程图中的块的组合。如将理解的那样, 任何这样的计算机程序指令可以加载到计算机或者其它可编程装置(即硬件)上以产生机器,从而在计算机或者其它可编程装置上执行的指令创建用于实施在流程图的块中指定的功能的装置。这些计算机程序指令也可以存储于计算机可读存储器中,该存储器可以指引计算机或者其它可编程装置以具体方式工作,从而存储于计算机可读存储器中的指令产生实施在流程图的块中指定的功能的制造产品。计算机程序指令也可以加载到计算机或者其它可编程装置上以使系列操作在计算机或者其它可编程装置上执行以产生计算机实施的过程,从而在计算机或者其它可编程装置上执行的指令实施在流程图的块中指定的功能。因而流程图的块支持用于执行指定功能的装置的组合、用于执行指定功能的操作的组合和用于执行指定功能的程序指令装置。也将理解流程图的一个或者多个块和流程图中的块的组合可以由执行指定功能的基于硬件的专用计算机系统实施或者专用硬件与计算机指令的组合实施。在图6中示出了在自举架构与共享身份服务并且例如在通用自举架构与OpenID 架构之间相互作用的示例性方法。在这一实施例中,UE在块601向RP发送用户供应的标识符。这一用户供应的标识符可以是以如上文所言假名或者MSISDN的形式。这一实施例的RP然后在块602取回OP地址。RP然后可以在块603与OP建立共享秘密。共享秘密可以使用Diffie-Hellman密钥交换协议来建立而并非必须用于相互作用的目的。这一实施例的RP然后在块604用OpenID认证请求将UE重定向到OP。UE然后可以在块605向OP 发送HTTPS GET请求。在这一实施例中,0P/NAF在块606认证来自UE的请求,然后UE在块607使用GBA来与BSF自举。NAF可以在块608从BSF取回通过GBA生成的密钥。这一实施例的0P/NAF在块610用认证断言将UE浏览器重定向到RP之前在块609认证UE。RP 然后在块611使断言生效,并且用户可以登录到RP的服务。在图7中示出了用于在自举架构与共享身份服务之间(比如在GBA与OpenID架构之间)相互作用的另一示例性方法。在这一实施例中,浏览器在块701(可能从移动设备或者其它用户设备)访问服务。然后可以在块702发送用户供应的标识符(比如MSISDN或者假名)。浏览器或者用户设备装置可以在块703接收用于重定向到共享身份提供商的指令。重定向可以包括身份字段,该身份字段包含假名或者基于MSISDN确定的标识符。用户设备然后可以在块704提供发送HTTP GET请求。响应于HTTP GET请求,在块705从这一实施例的共享身份提供商接收认证。随后,用户设备然后可以在块706发起自举过程。然后可以在块707将用户设备重定向到中继方,从而用户设备在块708提供向中继方发送认证断言。一旦被认证,在块709与服务的安全会话就可以继续。
在图8的流程图中示出了用于在共享身份架构与自举架构之间相互作用的又一示例性方法。装置(比如UE)可以在块801请求来自中继方的服务。该请求可以包括用于单个签名标识符的用户供应的标识符(比如假名或者MSISDN)。然后可以在块802与共享身份提供商(OpenID提供商)建立会话。然后可以在块803与自举服务功能建立会话。随后可以在块804向中继方发送共享身份认证和自举认证。然后可以在块805与请求的服务开始会话。在图9的流程图中图示了用于在共享身份架构与自举架构之间相互作用的另一示例性方法。该方法包括在块901接收针对共享密钥兼容服务的服务请求以及以假名这一形式的用户供应的标识符。该请求可以来自用户设备。该方法还包括在块902基于用户供应的标识符获得共享身份提供商端点URL并且如在块903中那样用身份字段中的用户供应的标识符将用户设备重定向到共享身份提供商。该方法还包括如在块904中那样从用户设备接收包括用户供应的标识符的认证断言。该方法也包括如块905中所示使认证断言生效。用户供应的标识符可以是以假名的形式的,并且将用户设备重定向到共享身份提供商可以包括在身份字段中包括假名或者假名导出的身份,比如通过将openid. claimed_id中的假名或者假名导出的身份包括到openid. identity字段中。可选地,用户供应的标识符可以是以MSISDN形式的,其中可以读取、人工录入或者自动录入MSISDN,并且其中MSISDN 可以转译成共享身份标识符(比如OpenID标识符)。使认证断言生效可以包括将用户供应的标识符与可以在服务器(例如共享身份提供商的服务器)上维护的安全设置相匹配。另外,安全设置可以包括可以由用户或者由服务提供商提供的关于被允许共享的信息类型的授权信息。用户安全设置也可以包括自举会话标识符和用户供应的标识符。在一个示例性实施例中,用于执行图7、图8或者图9的方法的装置可以包括配置成执行上文描述的操作(601-611,701-709,801-805或者901-905)中的一些或者每个操作的处理器。处理器可以例如被配置成通过执行硬件实施的逻辑功能、执行存储的指令或者执行用于执行每个操作的算法来执行操作(601-611,701-709,801-805或者901-905)。取而代之,该装置可以包括用于执行上文描述的操作中的每个操作的装置。就这一点而言,根据一个示例性实施例,用于执行操作601-611、701-709、801-805或者901-905的装置的例子可以例如包括如上文描述的用于执行指令或者执行用于处理信息的算法的处理器、存储器和/或电路中的对应处理器、存储器和/或电路。根据一个示例性实施例的装置的例子可以包括至少一个处理器和至少一个存储器,该存储器包括计算机程序代码。至少一个存储器和计算机程序代码可以被配置成与至少一个处理器一起使装置执行操作601-611、701-709、801-805或者901-905。根据一个示例性实施例的计算机程序产品的例子可以包括至少一个计算机可读存储介质,该存储介质具有存储于其中的计算机可执行程序代码部分。计算机可执行程序代码部分可以包括用于执行操作601-611、701-709、801-805或者901-905的程序代码指令。从在前文描述和关联附图中呈现的教导中受益的本领域技术人员将想到这里阐述的本发明的诸多修改和其它实施例。因此将理解本发明并不限于公开的具体实施例,并且修改和其它实施例旨在于包含于所附权利要求书的范围内。虽然这里运用具体术语,但是它们仅在通用和描述意义上加以使用而非出于限制的目的。
权利要求
1.一种方法,包括 使请求被提供到服务提供商; 接收到共享身份服务的重定向;使认证请求被提供到所述共享身份服务; 接收共享身份服务认证; 建立用户会话安全密钥;以及使用所述会话安全密钥和所述共享身份服务认证来与服务提供商建立会话。
2.根据权利要求1所述的方法,其中使用通用自举架构来执行建立所述用户会话安全密钥。
3.根据权利要求1所述的方法,其中向所述服务提供商的所述请求包括用户标识符。
4.根据权利要求3所述的方法,其中所述用户标识符是假名。
5.根据权利要求1所述的方法,其中所述用户会话安全密钥是自举事务标识符。
6.根据权利要求1所述的方法,其中所述服务提供商响应于接收所述请求来与所述共享身份服务建立共享秘密。
7.根据权利要求1所述的方法,其中与所述服务提供商建立会话包括向网络应用功能供应所述用户安全密钥,响应于供应所述用户安全密钥从所述网络应用功能接收认证信息,以及向所述服务提供商提供认证断言。
8.一种装置,包括至少一个处理器和至少一个存储器,所述至少一个存储器包括计算机程序代码,所述至少一个存储器和所述计算机程序代码被配置成与所述至少一个处理器一起使所述装置执行使请求被提供到服务提供商; 接收到共享身份服务的重定向; 使认证请求被提供到所述共享身份服务; 接收共享身份服务认证; 建立用户会话安全密钥;以及使用所述会话安全密钥和所述共享身份服务认证来与服务提供商建立会话。
9.根据权利要求8所述的装置,其中使用通用自举架构来执行建立用户会话安全密钥。
10.根据权利要求8所述的装置,其中向所述服务提供商的所述请求包括用户标识符。
11.根据权利要求10所述的装置,其中所述用户标识符是假名。
12.根据权利要求8所述的装置,其中所述用户会话安全密钥是自举事务标识符。
13.根据权利要求8所述的装置,其中所述服务提供商响应于接收所述请求来与所述共享身份服务建立共享秘密。
14.根据权利要求8所述的装置,其中与所述服务提供商建立会话包括向网络应用功能供应所述用户安全密钥,响应于供应所述用户安全密钥从所述网络应用功能接收认证信息,以及向所述服务提供商提供认证断言。
15.一种计算机程序产品,包括至少一个计算机可读存储介质,所述至少一个计算机可读存储介质具有存储于其中的计算机可执行程序代码指令,所述计算机可执行程序代码指令包括用于使请求被提供到服务提供商的程序代码指令;用于接收到共享身份服务的重定向的程序代码指令;用于使认证请求被提供到所述共享身份服务的程序代码指令;用于接收共享身份服务认证的程序代码指令;用于建立用户会话安全密钥的程序代码指令;以及用于使用所述会话安全密钥和所述共享身份服务认证来与服务提供商建立会话的程序代码指令。
16.根据权利要求15所述的计算机程序产品,其中使用通用自举架构来执行用于建立用户会话安全密钥的所述程序代码指令。
17.根据权利要求15所述的计算机程序产品,其中向所述服务提供商的所述请求包括用户标识符。
18.根据权利要求17所述的计算机程序产品,其中所述用户标识符是假名。
19.根据权利要求15所述的计算机程序产品,其中所述用户会话安全密钥是自举事务标识符。
20.根据权利要求15所述的计算机程序产品,其中所述服务提供商响应于接收所述请求来与所述共享身份服务建立共享秘密。
21.根据权利要求15所述的计算机程序产品,其中用于与所述服务提供商建立会话的所述程序代码指令包括用于向网络应用功能供应所述用户安全密钥的程序代码指令、用于响应于供应所述用户安全密钥从所述网络应用功能接收认证信息的程序代码指令,以及用于向所述服务提供商提供认证断言的程序代码指令。
全文摘要
提供一种用于有助于认证比如移动终端的请求并同时也向服务、网站、应用等供应关于用户的信息的方法、装置和计算机程序产品。一种方法、装置和计算机程序产品可以提供使自举架构(比如通用自举架构)和共享身份服务(比如OpenID架构)相互作用。就这一点而言,一种方法、装置和计算机程序产品可以通过通用自举架构提供与服务提供商的安全会话同时能够向服务提供商供应用户信息和/或使用OpenID架构来访问用户账户。
文档编号H04W12/06GK102550001SQ201080045598
公开日2012年7月4日 申请日期2010年10月19日 优先权日2009年10月19日
发明者H·肖芬, S·霍尔特曼斯 申请人:诺基亚公司