基于用户标识符的装置、身份和活动管理系统的制作方法
【专利摘要】本公开一般涉及用户和装置认证。更具体来说,本公开涉及单点登录(SSO)认证的技术。单点登录(SSO)认证系统的装备实施例包括:服务提供商节点,配置成提供通过网络对至少一个服务的访问;通过网络可访问的身份认证器;用户终端,包括认证组件,其配置成构建与身份认证器的安全关联;以及用户代理,配置成访问服务提供商节点,以请求所提供的至少一个服务的服务。服务提供商节点还配置成从用户请求用户标识符,以及请求身份认证器对给定用户标识符进行检验。身份认证器还配置成连接到用户终端的认证组件,以检验用户标识符,以及为服务提供商节点提供指示给定用户标识符的检验的检验信息。还提供对应身份认证器、用户终端和方法。
【专利说明】
基于用户标识符的装置、身份和活动管理系统
技术领域
[0001]本公开一般涉及用户和装置认证。更具体来说,本公开涉及单点登录(SS0)认证的技术。【背景技术】
[0002]在内联网和互联网域,服务和服务提供商的数量及种类正不断增长。对于增加的安全性,各服务提供商通常加强其自己的身份管理系统。这种身份管理系统通常基于用户名和密码。因此,使用多个服务和服务提供商的用户还具有通过这些服务提供商的大多数的多个注册。因此,用户需要记住如果没有数百也有数十个用户名/密码组合。因此,用户的大多数将相同用户名/密码组合再用于各注册,这使服务注册的总体安全性降级。
[0003]为了避免这个弱点,单点登录(SS0)过程被发展并且常常特别是在公司网络,例如内联网中使用。在公共域,例如因特网中,SS0开始变得更为流行。例如,安全声明标记语言 (SAML)作为XML框架来开发,以实现用于万维网浏览的SS0。
[0004]为了经由第三方身份认证来登录用户,SAML (例如版本2.0)在经由公共网络向用户提供一个或多个服务和/或内容的服务提供商下变得更广泛分布。已知的SS0方式基于作为身份提供商的“Google”或“Facebook”的服务。另外,对于非基于万维网的SS0,其他基于通用证书或数字签名的框架是可用的,例如OpenID或OpenPGP/PKI。
[0005]现有SS0技术的一个缺点在于,大多数公共SS0提供商仅提供用户标识。此外,服务和/或内容提供商不总是信任这种身份提供商。例如,作为服务提供商的银行不一定信任用于检验银行事务的已知第三方身份提供商。
[0006]另一个缺陷在于,身份认证器(authenticator)(例如其URL、域名等)的地址需要是由每个每一个服务和/或内容提供商已知的。但是,这严重限制SS0框架的可扩展性。此夕卜,用户要求易于了解安全框架。
【发明内容】
[0007]因此,存在对用于身份认证以及在例如用于单点登录认证中的简单但是仍然安全的技术的需要。
[0008]按照本公开的方面,提供一种单点登录(SS0)认证系统,其包括服务提供商节点、 身份认证器、用户终端和用户代理。服务提供商节点配置成提供通过网络对至少一个服务的访问。身份认证器是通过网络可访问的。用户终端包括认证组件,其配置成构建与身份认证器的安全关联,同时用户代理配置成访问服务提供商节点,以请求所提供的至少一个服务的服务。服务提供商节点还配置成从用户请求用户标识符,以及请求身份认证器对给定用户标识符进行检验。身份认证器还配置成连接到用户终端的认证组件,以便检验用户标识符,以及为服务提供商节点提供指示给定用户标识符的检验的检验信息。
[0009]即使下文中仅提到服务提供商节点提供对至少一个服务的访问,但是这可被理解为还表示提供通过网络对内容的访问。
[0010]身份认证器可配置成基于给定用户标识符来连接到用户终端的认证组件。给定用户标识符能够与用户终端关联。
[0011]身份认证器可存储至少一对用户标识符和对应密码,以便检验用户标识符。另外, 身份认证器可存储附加信息和/或用户配置文件,其包括用户标识符、密码以及能够识别特定用户的用户终端和/或其上的认证组件的信息。其他信息也能够通过用户配置文件存储。
[0012]用户标识符能够是移动订户综合业务数字网络(MSISDN)号。在将MSISDN号存储在用户配置文件中时,身份认证器能够连接到用户终端的认证组件,以检验用户标识符并且因此检验用户。身份认证器可将MSISDN号作为用户标识符或者作为不同用户标识符的补充来存储。作为其他信息,身份认证器可存储国际移动台设备识别码(MEI)。这个頂EI也能够用作用户标识符。
[0013]用户终端上的认证组件能够配置成在检验身份认证器的用户标识符时向用户提供关于认证请求的信息,从用户请求密码,以及经由与身份认证器的安全关联将表示所接收密码的数据传送给身份认证器。
[0014]认证组件还能够配置成在用户终端通过移动网络运营商执行装置认证之后构建与身份认证器的安全关联。这个装置认证能够利用移动网络运营商(用户终端注册在其处) 的认证服务器来实现。例如,订户标识模块(S頂)认证可在移动网络运营商的认证服务器与涉及用户终端的SIM卡的用户终端之间执行。
[0015]用户代理可以是运行在用户终端上的应用或者运行在除了用户终端之外的装置上的应用。
[0016]服务提供商节点可配置成从利用用户代理和用户终端两者的用户请求用户标识符。因此,同一用户利用运行用户代理的装置和其上具有认证组件的用户终端。
[0017]SS0认证系统还可包括认证器注册表(registry),其配置成提供身份认证器的网络地址。服务提供商节点还配置成从认证器注册表请求针对给定用户标识符的身份认证器的网络地址。网络地址可以是身份认证器的URL、域名或其他标识。认证器注册表可以仅存储身份认证器的网络地址。作为补充或备选,认证器注册表可存储关于除了网络地址之外的身份认证器的信息。例如,认证器注册表可存储用户标识符的列表连同特定身份认证器的网络地址(通过其能够最好地检验用户标识符)。能够动态保持身份认证器和用户标识符的列表的这个关联。当安全关联在认证组件与身份认证器之间已经建立时,身份认证器可通知认证器注册表与用户终端和/或用户终端上的认证组件对应的特定用户标识符。此外, 认证器注册表可存储包括附加信息的身份认证器配置文件。例如,配置文件可包括身份认证器是否要求一次性密码(0TP)的信息。这种信息则能够提供给请求服务提供商节点。
[0018]认证器注册表还可配置成代理对另一个认证器注册表的网络地址请求。这种其它认证器注册表能够处于比认证器注册表更高的架构等级上。它也能够处于相同架构等级上,但是注册不同区域的(一个或多个)身份认证器。
[0019]服务提供商节点还能够配置成将服务提供商标识、用户代理标识、统一资源定位符(URL)和要求一次性密码(0TP)的指示中的至少一个添加到对给定用户标识符进行检验的请求。
[0020]认证组件与身份认证器之间的安全关联可基于X.509证书、传输层安全性(TLS)协议和基于公共密钥对的证书中的至少一个。
[0021] 认证组件和身份认证器可配置成经由网络(其作为按照802.11、通用分组无线电业务(GPRS)、通用移动电信系统(UMTS)和长期演进(LTE)标准其中之一的基于因特网(IP) 的网络)来构建安全关联。[〇〇22] 上述SS0认证系统的服务提供商节点、认证器注册表和/或身份认证器能够是独立实体,即,它们可独立于彼此操作。此外,这些实体可处于不同提供商/运营商的控制下。作为备选或补充,服务提供商节点、认证器注册表和身份认证器中的一个或多个可以是不同网络的部分。在这种情况下,不同的网络可至少是相互可连接的,以便提供消息和/或数据交换。[〇〇23]按照另一方面,提供用于单点登录(SS0)认证系统中的部署的身份认证器。该身份认证器包括:接收组件,配置成从服务提供商节点接收对用户标识符进行检验的请求;连接组件,配置成连接到用户终端的认证组件,以检验用户标识符;以及提供组件,配置成为服务提供商节点提供指示给定用户标识符的检验的检验信息。
[0024]连接组件能够配置成基于用户标识符来连接到用户终端。[〇〇25]此外,用户标识符能够是移动订户综合业务数字网络(MSISDN)号。[〇〇26]按照又一方面,提供一种用于单点登录(SS0)认证系统中部署的用户终端。该用户终端能够包括连接组件,其配置成经由网络或者经由用户终端与身份认证器之间的直接链路来建立连接。身份认证器能够是上面概述的身份认证器。用户终端还可包括:认证组件, 配置成经由连接来构建与身份认证器的安全关联;以及收发组件,配置成经由连接来接收和传送数据,其中收发组件配置成接收来自身份认证器的检验请求。认证组件还可配置成向用户提供关于检验请求的信息,从用户请求密码,并且使用收发组件向身份认证器传送表示密码的数据。[〇〇27]按照本公开的另一方面,提供一种用于单点登录(SS0)认证的方法。该方法可包括下列步骤:构建用户终端的认证组件与身份认证器之间的安全关联;由用户代理访问服务提供商节点,以请求服务;由服务提供商节点从用户请求用户标识符;由服务提供商节点请求身份认证器对给定用户标识符进行检验;由身份认证器请求在用户终端上的认证组件的用户标识符的检验;由认证组件向身份确认用户标识符的认证;以及如果用户标识符被检验从身份认证器向服务提供商节点提供指示给定用户标识符的检验的检验信息。[〇〇28]请求检验用户标识符的步骤可包括由身份认证器基于给定用户标识符来连接到用户终端。给定用户标识符可与用户终端关联。[〇〇29]用户标识符可以是移动订户综合业务数字网络(MSISDN)号。[〇〇3〇]此外,确认用户标识符的认证的步骤能够包括由认证组件向用户提供关于认证请求的信息,请求用户输入密码,接收通过用户输入的密码,并且经由安全关联向身份认证器传送表示输入密码的数据。
[0031]构建安全关联的步骤可包括在由用户终端通过移动网络运营商执行装置认证之后构建与身份认证器的安全关联。[〇〇32]用户可利用用户代理和用户终端。[〇〇33] 该方法还可包括由服务提供商节点从认证器注册表请求身份认证器的网络地址, 并且由认证器注册表向服务提供商节点提供身份认证器的网络地址。[〇〇34] 此外,该方法还能够包括由认证器注册表代理服务提供商节点对另一个认证器注册表的网络地址请求。这个其它认证器注册表能够处于比认证器注册表更高的架构等级上。它也能够处于相同架构等级,但是注册不同区域的(一个或多个)身份认证器。
[0035]由服务提供商节点请求身份认证器对给定用户标识符进行检验的步骤能够包括将服务提供商标识、用户代理标识、统一资源定位符(URL)和要求一次性密码(0TP)的指示中的至少一个添加到请求。
[0036]—般来说,本文所描述的方法方面和方法步骤的任一个可同样体现在一个或多个适当组件、装置或单元中。【附图说明】
[0037]下面将参照附图所示的示范实施例进一步描述本公开,其中:图1是按照装置实施例的单点登录(SS0)认证系统的示意图;图2是身份认证器的示意图;图3是用户终端的示意图;图4A和图4B是示出在图1的SS0认证系统中执行的方法实施例的流程图;以及图5是示出由图1的SS0认证系统的用户终端和身份认证器所执行的方法实施例的流程图。【具体实施方式】
[0038]为了说明而不是进行限制的目的,在下面的描述中阐明了例如包括特定网络节点的特定网络拓扑的具体细节,以便提供对本公开的透彻理解。将对本领域的技术人员显而易见的是,本公开可在背离这些具体细节的其他实施例中实施。例如,技术人员将会意识至IJ,本公开可利用与以下所描述以示出本公开的实体不同的用户代理或用户终端来实施。 另外,本公开可利用除了以下所描述之外的任何类型的用户标识符来实施。此外,本公开可在移动或固定用户可附连到的任何网络中实施。例如,本公开可适用于有线网络,例如具有一些或许多分开的子公司的公司的内联网或因特网,但是也可适用于蜂窝网络(例如全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)、LTE-高级(LTE-A)网络)或者可适用于无线局域网(WLAN/WiFi)或类似无线网络。
[0039]本领域的技术人员还将意识到,本文下面所解释的功能可使用单独硬件电路、使用与程序微处理器或通用计算机结合起作用的软件、使用专用集成电路(ASIC)和/或使用一个或多个数字信号处理器(DSP)来实现。还将意识到,当本公开描述为方法时,它还可体现在计算机处理器以及耦合到处理器的存储器中,其中存储器编码有一个或多个程序,以在由处理器运行时执行本文所公开的方法。
[0040]图1是按照本公开的认证系统的示意图。这种认证系统可以是单点登录(SS0)认证系统。该系统包括多个实体,例如移动或固定装置、网络节点、服务器等。这些实体可相互连接,或者是相互经由网络150可访问的。网络150可以是公司或家庭的内联网或虚拟LAN或者公共网络,例如因特网。
[0041]服务提供商能够操作一个或多个服务提供商节点110,以提供通过网络150对至少一个服务的访问。服务提供商节点110可以是连接到网络150的通用计算机或服务器计算机。除了提供对至少一个服务的访问之外,服务提供商节点还可提供通过网络150对内容的访问。因此,提供内容也能够被理解为提供(特定)服务。内容可存储在服务提供商节点110 上或者不同的实体,例如内容服务器(未示出)上。
[0042] SS0认证系统还可包括身份认证器120,其是通过网络150可访问的。身份认证器 120可实现为网络节点、服务器、通用计算机或者通过网络150可访问的其它实体。它还可实现为运行在现有网络节点上的软件。仅作为示例,身份认证器120可在操作蜂窝网络的移动网络运营商的基础设施之中或之上实现。身份认证器120还可由任何其他第三方来操作。 [〇〇43]用户终端130也可以是SS0认证系统的部分。用户终端130可包括认证组件(未示出),其配置成构建与身份认证器120的安全关联。用户终端130可以是用户设备或其它移动终端。例如,用户终端130能够是蜂窝电话、移动计算装置、个人数字助理等。认证组件可以是用户终端上的特定实体。它可实现为硬件、软件或者其组合。认证组件例如可以是运行在用户终端130上的应用。认证组件可包括能够执行如将关于图3更详细描述的特定功能的软件。
[0044]此外,身份认证器120和/或用户终端130可存储在安全关联的发起期间所生成的令牌或其它安全数据。这个令牌或安全数据可基于指定用户终端130、用户和/或认证组件的信息来生成。令牌或安全数据还可包括用户终端标识信息,例如MSISDNJMEI或移动电话号码等。[〇〇45] SS0认证系统的另外实体可以是用户代理140,其配置成访问服务提供商节点,以便请求所提供的至少一个服务的服务。用户代理140能够是web浏览器、应用或者运行在计算装置上的其他软件。用户代理140可在用户终端130上实现,但是也可在与用户终端130不同的装置上实现。例如,用户代理140可以是运行在通用计算机(例如个人计算机或者办公室或网咖(internet cafg)等中的公共计算机)上的web浏览器。
[0046]服务提供商节点110可配置成从用户请求用户标识符。例如如果用户代理140请求对由服务提供商节点110所提供的服务的访问则这是相干的。例如,用户代理140的用户输入服务提供商节点110的地址,以便访问服务或内容。服务提供商节点110则向用户代理140 发送对用户标识符的请求,用户代理140向用户呈递请求。例如,服务提供商节点可发送包含用于输入用户标识符的区域的网页。网页然后由用户代理140向用户显示。[〇〇47]在用户输入用户标识符之后,用户代理将它传送给服务提供商节点110。服务提供商节点110然后可请求身份认证器120对给定用户标识符进行检验。为了此目的,身份认证器120配置成连接到用户终端130的认证组件,以便检验用户标识符。身份认证器120可基于给定用户标识符连接到用户终端130的认证组件。例如,身份认证器120可存储将用户标识符与用户终端130和/或认证组件关联的信息。例如,用户标识符与用户终端130之间的关联可通过先前与用户标识符关联地存储在身份认证器120的用户终端130的移动电话号码、 MSISDN号、頂EI或任何其他标识来实现。[〇〇48]用户终端130的认证组件能够在构建安全连接时通过身份认证器120注册。在这时,认证组件可向身份认证器120传送用户终端130的标识,例如移动电话号码、MSISDN号、 IMEI或者任何其他标识彳目息。[〇〇49]当用户标识符必须对身份认证器120来检验时,用户终端130的认证组件还能够配置成向用户提供关于认证请求的信息。提供给用户的信息可包括关于服务提供商110、用户代理140、请求的时间戳、网络地址等的信息。用户终端130上的认证组件也能够从用户请求密码。在用户已经输入了这种密码之后,认证组件能够经由安全关联向身份认证器120传送表示所接收密码的数据。因此,表示密码的数据可经由网络150或者经由身份认证器120与用户终端130之间的另一个链路155来传送。
[0050] 为了识别身份认证器120,服务提供商节点110可连接到认证器注册表160。这个连接可经由网络150或者服务提供商节点110与认证器注册表160之间的直接链路157进行。如果认证器注册表160独立于服务提供商节点110操作,则连接经由网络150进行。[〇〇51] 认证器注册表160能够配置成向网络提供商节点110提供身份认证器120的网络地址。服务提供商节点110则能够在服务提供商节点110不具有身份认证器120的相应网络地址的情况下从认证器注册表160请求给定标识符的身份认证器120的网络地址。[〇〇52]另外,认证器注册表160能够配置成代理对位于比认证器注册表160更高的架构等级上的另一个认证器注册表(未示出)的网络地址请求。更高架构等级的身份认证器可利用另一个认证器注册表或身份认证器120的网络地址进行应答。其它认证器注册表也可处于与发起代理请求的认证器注册表160相同的架构等级上。其它认证器注册表可位于不同区域中,并且因此具有一个或多个身份认证器120的不同网络地址或其他标识符(这取决于其位置)。网络地址请求的代理可通过不同或相同的架构等级从一个认证器注册表160传递给另一个,直到一个认证器注册表160具有连接到与最初由用户在服务提供商节点110(即,在用户代理140)所输入的用户标识符对应的用户终端130上的认证组件的身份认证器120的网络地址。[〇〇53] SS0认证系统的所有实体已经描述和示出为连接到网络150。然而,服务提供商节点110、认证器注册表160和身份认证器120中的一个或多个可以是不同网络的部分。在这种情况下,不同的网络可至少是相互可连接的,以便提供所有实体之间的消息和/或数据交换。[〇〇54] 此外,服务提供商节点110、认证器注册表160和/或身份认证器120能够是独立实体,即,它们可独立于彼此操作。此外,这些实体要可处于不同提供商或运营商的控制下。备选地,服务提供商节点110、认证器注册表160和身份认证器120中的一个或多个可在单个实体(即单个计算装置)上操作。[〇〇55] 参照图2,更详细示出身份认证器120。身份认证器120可包括接收组件121,其配置成从服务提供商节点110接收对用户标识符的进行检验的请求。接收组件121可以是网络组件和/或能够从服务提供商节点110接收检验请求的软件。[〇〇56] 身份认证器120还可包括连接组件122,其配置成连接到用户终端130的认证组件, 以检验用户标识符。连接组件122能够检索与由接收组件121所接收的用户标识符对应的用户终端130的信息。例如,连接组件122可检索所接收的用户标识符。它然后导出MSISDN、移动电话号码、IMEI或者与所接收用户标识符关联的任何其他信息或数据。这个信息或数据能够从身份认证器120的存储器或其它存储装置来导出。连接组件122然后能够建立到关联所接收用户标识符的用户终端130或者其上的认证组件的连接。此外,连接还能够基于在认证组件与身份认证器120之间交换的令牌或其它安全数据(以上所提到的)来建立。[〇〇57]身份认证器120的连接组件122或者另一个组件然后可与用户终端130上的认证组件交换信息,通过其从用户终端130的用户请求密码。在接收表示来自用户终端130的用户密码的数据之后,提供组件123能够为服务提供商节点110提供指示给定用户标识符的检验的检验信息。提供组件123可配置成利用在特定用户标识符的身份认证器120所存储的密码来检验所接收用户密码。例如,密码可安全地存储在所接收用户标识符的用户配置文件中。仅当密码匹配时,检验信息才提供给服务提供商节点110。否则,提供表示检验失败的数据。
[0058]关于图3,用户终端130更详细地示出并且将在下面描述。用户终端130可包括连接组件131,其配置成经由网络150或者经由用户终端130与身份认证器120之间的直接链路155来建立连接。连接组件131可以是能够建立连接的一件硬件和/或软件。连接能够是按照802.11、通用分组无线电业务(GPRS)、通用移动电信系统(UMTS)、长期演进(LTE)和LTE-高级(LTE-A)标准其中之一的基于因特网协议(I P)的连接。连接组件131和用户终端130并不局限于上面标识的网络、链路、协议和标准。
[0059]用户终端130还可包括认证组件132,其配置成经由由连接组件131所建立的连接来构建与身份认证器120的安全关联。认证组件132也可以是一件硬件和/或软件或者其组合。例如,认证组件132例如可以是运行在用户终端130上的应用。安全关联的建立可包括诸如证书、公共密钥、数字签名的信息等的安全信息的交换。例如,安全关联可基于X.509证书、传输层安全性(TLS)协议和基于公共密钥对的证书中的至少一个。连接组件131和用户终端130并不局限于上面标识的安全关联。
[0060]连接组件131和/或认证组件132能够是用户终端130上的特定实体的部分。例如,这种特定实体能够通过硬件和/或软件来实现,并且可执行关于连接组件131和认证组件132所描述的功能。它还可以仅执行所描述功能的一些。
[0061 ]在任何情况下,连接组件131可以是常规网络通信模块,而认证组件132与网络通信模块进行交互,以便建立与身份认证器120的安全关联。
[0062]此外,认证组件132可配置成在比安全关联的建立更迟的时间点向用户终端130的用户提供关于检验请求的信息,以从用户请求密码,并且生成表示密码的数据。
[0063]用户终端130还可包括收发组件133,其配置成经由由连接组件131所建立的连接来接收和传送数据。收发组件能够接收来自身份认证器120的检验请求。此外,收发组件133能够用于向身份认证器120传送表示密码并且由认证组件所生成的数据。备选地,收发组件从认证组件接收密码的检验,并且然后生成并且向身份认证器120传送表示密码的数据。
[0064]作为对以上所述的补充或备选,特定实体能够在用户终端130上实现。此特定实体能够是硬件、软件或者其组合。特定实体可包括能够执行连接组件131、认证组件132和收发组件133的功能的至少一些的硬件和/或软件。备选地,特定实体可与连接组件131、认证组件132和收发组件133(如果它们是用户终端130的独立组件)进行通信。
[0065]此外,用户终端130可包括订户标识模块(SIM),像例如SM卡(未示出)。用户终端130能够通过移动网络运营商(用户终端在其处注册)的认证服务器(未示出)执行装置认证。例如,S頂认证在移动网络运营商的认证服务器与涉及S頂卡的用户终端130之间执行。[ΟΟ??]作为补充或备选,认证组件132可包括SIM卡。这允许在除了移动电话之外的任何计算装置上的本公开的实现。认证组件132然后能够经由独立于移动网络运营商的任何数据网络认证用户标识符。
[0067]关于图4A和图4B,下面不出和描述按照本公开的一种方法。如从图4A和图4B的描述将显而易见的,本公开克服了因阻止用户信任常规SSO框架的法律、技术和密码障碍引起的常规SSO框架的缺陷。例如,大多数公共SSO提供商(例如G00gle、FaCeb00k等)仅提供一层安全性,即用户标识。然而,为了获得更好的安全性,可引入更多安全性等级,例如认证、标识和授权的三个等级。这包括装置/用户认证(“与实体进行通信的装置/人被授权和/或供应以实际上与该实体进行通信?”)、用户标识(“使用装置的人真的是其声称是的人?”)和活动授权(“知晓他/她的‘身份’的用户正设法做什么?”)。
[0068]仅具有一个安全性等级的SSO提供商固有地较弱,因为常常使用例如出生日期、昵称或其他简单信息等的弱密码。此外,用户和/或服务提供商不总是信任身份认证器。例如,用户可能不信任用于处置银行事务的检验的SSO提供商,而他们会信任用于处置不太重要的个人信息,例如照片等的这个提供商。
[0069]参照图4A,在步骤205,例如在接通用户终端130时,用户终端130发起朝向移动网络运营商的装置认证。用户通常将PIN码输入到用户终端中,其然后能够由移动网络运营商来认证(GSM/UMTS/S頂检验)。
[0070]在用户终端130没有包括SM卡的情况下,装置认证也可利用身份认证器120或其它第三方组件来执行。这个装置认证可包括使用X.509证书或基于公共密钥对的证书。
[0071]—旦数据连接(例如IP连接)在用户终端130与网络150之间建立,用户终端130上的认证组件132在步骤210构建朝向相应身份认证器120的安全关联。网络连接可经由WiFi/WLAN或GPRS/UMTS/LTE来建立。安全关联的建立可要求供应允许相互装置/服务器认证的用户证书(例如X.509证书)ο认证组件132与身份认证器120之间的这个认证可包括使用TLS协议或因特网协议安全性(IPSEC)。增强安全性可使用基于公共密钥对的证书而不是简单基于数字签名的数据交换来实现。当已经建立了安全关联时,认证用户终端,即,执行装置认证。
[0072]当已经建立了安全关联时,身份认证器120能够在一个或多个认证器注册表160注册用户标识符连同其自己的身份,例如服务器地址。因此,认证器注册表160可识别与用户标识符对应的身份认证器120,如下面将进一步更详细概述的。
[0073]随后(立即或者在以后的时间点),用户终端130的用户可能想要执行要求用户标识的某个活动,例如经由网络150访问服务或内容(步骤220)。例如,用户可能想要浏览因特网、读/写电子邮件、进行通过因特网的语音或视频呼叫(VoIP)等。为了这样做,用户利用用户代理140。用户代理140可以是web浏览器、电子邮件程序、(视频)呼叫应用等。此外,用户代理140可在与用户终端130不同的装置上运行,例如网咖、办公室或家中的计算机。备选地,用户代理140还可在用户终端130本身上运行。
[0074]为了实现用户的对web浏览、电子邮件读/写等的请求,用户代理140经由网络150连接到服务提供商节点110。例如,对于web浏览,用户代理140向服务提供商节点110发送HTTP/HTTPS/FTP/FTPS请求。用户代理由此从服务提供商节点110请求(步骤220)服务或内容。服务提供商节点110请求(步骤225)用户标识符,以便识别请求服务/内容的用户。这个用户标识符能够是移动订户综合业务数字网络(MSISDN)号。也能够采用其他用户标识符。例如,可使用移动电话的电话号码、对应IMEI等。
[0075]为了请求这个用户标识符,向用户呈现表格(form)或其它输入显示,以便输入用户标识符。作为补充或备选,通过耳机向用户呈现听觉请求。用户能够经由按键输入或话音输入来输入用户标识符。还备选地,用户代理140可已经存储例如来自前一会话的用户标识符,并且然后能够利用对服务/内容的请求220将它提供给服务提供商节点110。
[0076]一旦服务提供商节点110已经接收到用户标识符,它设法连接到给定用户标识符的身份认证器120。服务提供商节点110可能已经知晓与给定用户标识符对应的身份认证器120。另一方面,如果服务提供商节点110不知道正确身份认证器120的网络地址,则服务提供商节点110在步骤230查询认证器注册表160。认证器注册表160可以最接近服务提供商节点110。服务提供商节点110可总是请求同一认证器注册表160。
[0077]认证器注册表160可由或者身份认证器120的相同运营商或者另一个第三方(例如移动网络运营商、域名系统(DNS)提供商或者服务提供商节点110的服务提供商)来操作。在任一种情况下,安全、商业和法律约束协议需要存在于认证器注册表提供商和身份认证器提供商之间。
[0078]认证器注册表160能够按照冗余方式来实现,并且是注册表的全球(global)地理分层分级结构的部分。如果给定用户标识符没有由认证器注册表160来供应,S卩,没有身份认证器120利用其自己的标识已经注册了用户标识符,则认证器注册表160充当朝向全球分级结构的代理,以定位对应认证器注册表。安全、商业和法律约束协议需要存在于认证器注册表层之间。
[0079]如果认证器注册表160不能够本地或全局解析针对给定用户标识符的身份认证器120的服务器地址,则没有供应用户标识符,并且认证失败。否则,认证器注册表160在步骤235返回身份认证器地址,例如IP地址或服务器名或域名。
[0080]在步骤235接收身份认证器地址的服务提供商节点110现在联络这个身份认证器120,以在步骤240验证用户标识符。到身份认证器120的连接再次优选地使用经由网络150的安全信道。例如,SSL或TLS协议可采用来联络身份认证器120。
[0081]为了验证用户标识符,即执行用户标识和用户认证,服务提供商节点110向身份认证器120至少传送给定用户标识符。还可传送诸如服务提供商节点标识、用户代理标识、用户代理装置和/或服务提供商节点的URL的附加信息和/或要求一次性密码(OTP)的指示。
[0082]接着,身份认证器120在步骤250请求在用户终端130的用户标识符和/或活动的检验。对检验的这个请求关于图5进一步示出和解释。
[0083]用户终端130随后在步骤260向身份认证器120确认用户标识符和/或活动。例如,与用户标识符关联的PIN或密码从用户终端130传送到身份认证器120。
[0084]身份认证器120现在基于从服务提供商节点110所接收的用户标识符以及从用户终端130所接收的PIN或密码(分别在步骤240和260)来执行用户认证。在密码不正确或者用户终端130上的认证组件132与身份认证器120之间的(一个或多个)传输失败(例如因超时、装置被关断等)的情况下,用户的认证失败。
[0085]在有效用户认证的情况下,身份认证器120可进一步生成用于对应活动的一次性密码(0ΤΡ)。身份认证器120在步骤270向服务提供商节点110提供指示给定用户标识符的检验的检验信息。此外,如果已经生成OTP(具有或没有在步骤240来自服务提供商节点110的前一 OTP请求),则能够将它发送给用户终端130并且在步骤270发送给服务提供商节点110。例如,身份认证器120可返回已签名的安全令牌或证书,其向服务提供商节点110验证用户标识符。这个令牌或证书可在要求重新认证之前包括给定时间量,例如数小时。连同这个令牌或证书,身份认证器120可向服务提供商节点110传送指示是否要求和/或提供OTP的数据。
[0086]服务提供商节点110现在在步骤280指示用户已经“登录”。这能够通过向用户代理140发送对应信息(例如web浏览器的网页或者对电子邮件客户端程序的确认信息等)来实现。
[0087]现在参照图4B,示出OTP验证和随后用户和/或活动验证。由于OTP验证和随后用户和/或活动验证几乎相似,所以图4B为了附图的简洁起见而仅示出一个验证循环。
[0088]例如,在步骤270,已经向服务提供商节点110发送指示要求OTP的安全令牌。用户代理140—由服务提供商节点110通知其关于OTP要求一则能够从用户请求0ΤΡ。用户代理可在步骤320向服务提供商节点110传送由用户所输入的0ΤΡ。这个传输可包括其他信息或数据,例如HTTP/HTTPS/FTP/FTPS请求。服务提供商节点110在步骤340通过身份认证器120验证所提供的0ΤΡ。因此,它向身份认证器120传送0ΤΡ。身份认证器120利用在步骤260的用户和/或活动验证之后生成的OTP来检查所传送的0ΤΡ。
[0089]如果OTP匹配所生成的0ΤΡ,则身份认证器120在步骤370向服务提供商节点110发送验证指示。在这时,服务提供商节点110能够经由用户代理140向用户指示OTP是正确的。服务提供商节点110则在步骤380将用户代理重定向到所请求服务/内容或者向用户代理140提供目标资源。
[0090]在用户代理140向服务提供商节点110提供新请求的情况下,服务提供商节点可完成新请求(参见步骤380),只要安全令牌是有效的。
[0091]在不同用户代理140在步骤320请求服务的情况下,用户代理可向服务提供商节点110提供先前使用的用户标识符。例如,用户现在可执行与在步骤220所请求的动作不同的动作。仅作为示例,在浏览web之后,用户现在可利用电子邮件程序来检索电子邮件。因此,用户代理140在步骤320向服务提供商节点110请求相应服务和/或内容。如果服务提供商节点110仍然具有针对给定用户标识符的有效安全令牌,则服务提供商节点110可在步骤380立即将用户代理140重定向到相应站点或者允许对内容的访问。因此,用户无需重新输入用户名或密码,因为SSO认证系统仍然知晓经认证的用户和装置。
[0092]在用户代理140在步骤320从与先前使用的服务提供商节点不同的服务提供商节点110请求服务或内容的情况下,用户和/或活动的验证需要再次通过身份认证器120进行(参见步骤340)。按照可能的实现,用户代理140可具有有效用户会话,使得它可在步骤320利用这个新请求自动向服务提供商节点110提供用户标识符。用户验证步骤340和370然后由身份认证器120按照与以上所解释的相同的方式(参见步骤250和260)来处置。
[0093]现在参照图5,示出用户和/或活动检验。在步骤250接收对检验的请求的用户终端130向用户提供关于认证请求的信息。这个供应可由用户终端130上的认证组件132来实现。还请求用户输入密码。例如,如果用户终端具有显示器,则可向用户显示信息,例如“服务‘XXX’正设法‘yyy ’。请输入对应PIN/密码”。这个信息向用户的听觉呈现也是可能的。
[0094]当认证组件132接收在步骤410由用户输入的PIN/密码时,它在步骤415向身份认证器120传送表示输入PIN/密码的数据。这个传输可经由在步骤210所建立的安全关联来实现。如果OTP已经由身份认证器120在用户认证之后生成,则身份认证器120向用户终端130提供OTP以及可选地提供PIN/密码的有效性的确认。用户终端130可在显示器上或者经由听觉输出向用户呈现0ΤΡ。用户终端还可存储OTP供由用户进一步使用。
【主权项】
1.一种单点登录SSO认证系统(100),包括:服务提供商节点(110),配置成提供通过网络(150)对至少一个服务的访问;通过所述网络可访问的身份认证器(120);用户终端(130),包括认证组件(132),其配置成构建与所述身份认证器的安全关联;以 及用户代理(140),配置成访问所述服务提供商节点,以请求所述提供的至少一个服务的 服务,其中所述服务提供商节点(110)还配置成从用户请求用户标识符,并且请求所述身份 认证器(120)对给定用户标识符进行检验,以及其中所述身份认证器(120)还配置成连接到所述用户终端(130)的所述认证组件 (132),以检验所述用户标识符,并且为所述服务提供商节点(110)提供指示所述给定用户 标识符的所述检验的检验信息。2.如权利要求1所述的SS0认证系统(100),其中,所述身份认证器(120)配置成基于所 述给定用户标识符来连接到所述用户终端(130)的所述认证组件(132),所述给定用户标识 符与所述用户终端(130)关联。3.如权利要求1或2所述的SS0认证系统(100),其中,所述用户标识符是移动订户综合 业务数字网络MS ISDN号。4.如权利要求1至3中的任一项所述的SS0认证系统(100),其中,所述用户终端(130)上 的所述认证组件(132)还配置成在检验所述身份认证器(120)的所述用户标识符时向所述 用户提供关于所述认证请求的信息,从所述用户请求密码,以及经由与所述身份认证器 (120)的所述安全关联将表示所接收密码的数据传送给所述身份认证器(120)。5.如权利要求1至4中的任一项所述的SS0认证系统(100),其中,所述认证组件(132)配 置成在所述用户终端(130)通过移动网络运营商执行装置认证之后构建与所述身份认证器 (120)的所述安全关联。6.如权利要求1至5中的任一项所述的SS0认证系统(100 ),其中,所述用户代理(140)是 运行在所述用户终端(130)上的应用或者是运行在除了所述用户终端(130)之外的装置上 的应用。7.如权利要求1至6中的任一项所述的SS0认证系统(100),其中,所述服务提供商节点 (110)配置成从利用所述用户代理(140)和所述用户终端(130)两者的用户请求所述用户标识符。8.如权利要求1至7中的任一项所述的SS0认证系统(100),还包括:认证器注册表(160 ),配置成提供所述身份认证器(120)的网络地址,其中所述服务提供商节点(110)还配置成从所述认证器注册表(160)请求针对所述给 定用户标识符的所述身份认证器(120)的网络地址。9.如权利要求8所述的SS0认证系统(100),其中,所述认证器注册表(160)还配置成代 理对处于比所述认证器注册表(160)更高的架构等级上的另一个认证器注册表的所述网络 地址请求。10.如权利要求1至9中的任一项所述的SS0认证系统(100),其中,所述服务提供商节点 (110)还配置成将服务提供商标识、用户代理标识、统一资源定位符URL和要求一次性密码OTP的指示中的至少一个添加到对所述给定用户标识符进行检验的请求。11.如权利要求1至10中的任一项所述的SS0认证系统(100),其中,所述认证组件(132) 与所述身份认证器(120)之间的所述安全关联基于X.509证书、传输层安全性TLS协议和基 于公共密钥对的证书中的至少一个。12.如权利要求1至11中的任一项所述的SS0认证系统(100),其中,所述认证组件(132) 和所述身份认证器(120)配置成经由作为按照802.11、通用分组无线电业务GPRS、通用移动 电信系统UMTS和长期演进LTE标准其中之一的基于因特网协议IP的网络的网络(150,155) 来构建所述安全关联。13.—种用于单点登录SS0认证系统(100)中部署的身份认证器(120),所述身份认证器 (120)包括:接收组件(121),配置成从服务提供商节点(110)接收对用户标识符进行检验的请求;连接组件(122),配置成连接到用户终端(130)的认证组件(132),以检验用户标识符; 以及提供组件(123),配置成为所述服务提供商节点(110)提供指示所述给定用户标识符的 所述检验的检验信息。14.如权利要求13所述的身份认证器(120),其中,所述连接组件(122)配置成基于所述 用户标识符来连接到所述用户终端(130)。15.如权利要求13或14所述的身份认证器,其中,所述用户标识符是移动订户综合业务 数字网络MS ISDN号。16.—种用于单点登录SS0认证系统(100)中部署的用户终端(130),所述用户终端 (130)包括:连接组件(131),配置成经由网络(150)或者经由所述用户终端(130)与如权利要求12 或13所述的身份认证器(120)之间的直接链路(155)来建立连接;认证组件(132),配置成经由所述连接来构建与所述身份认证器(120)的安全关联;以 及收发组件(133),配置成经由所述连接来接收和传送数据,其中所述收发组件(133)配 置成接收来自所述身份认证器(120)的检验请求,其中所述认证组件(132)还配置成向用户提供关于所述检验请求的信息,从所述用户 请求密码,并且生成表示所述密码的数据,以及其中所述收发组件(133)配置成向所述身份 认证器(120)传送所述数据。17.—种用于单点登录SS0认证的方法,所述方法包括:构建(210)用户终端的认证组件与身份认证器之间的安全关联;由用户代理访问(220)服务提供商节点,以请求服务;由所述服务提供商节点从用户请求(225)用户标识符;由所述服务提供商节点请求(240)所述身份认证器对给定用户标识符进行检验;由所述身份认证器请求(250)在所述用户终端上的所述认证组件的所述用户标识符的 检验;由所述认证组件向所述身份认证器确认(260)所述用户标识符的认证;以及 如果所述用户标识符被检验,则从所述身份认证器向所述服务提供商节点提供(270)指示所述给定用户标识符的所述检验的检验信息。18.如权利要求17所述的方法,其中,请求所述用户标识符的检验包括由所述身份认证 器基于所述给定用户标识符来连接到所述用户终端,所述给定用户标识符与所述用户终端 关联。19.如权利要求17或18所述的方法,其中,所述用户标识符是移动订户综合业务数字网 络 MS ISDN 号。20.如权利要求17至19中的任一项所述的方法,其中,确认所述用户标识符的认证包括 由所述认证组件向所述用户提供关于所述认证请求的信息,请求所述用户输入密码,接收 (410)用户输入的所述密码,以及经由所述安全关联向所述身份认证器传送(415)表示所述 输入密码的数据。21.如权利要求17至20中的任一项所述的方法,其中,构建所述安全关联包括在由所述 用户终端通过移动网络运营商执行(205)装置认证之后构建与所述身份认证器的所述安全关联。22.如权利要求17至21中的任一项所述的方法,其中,所述用户利用所述用户代理和所 述用户终端。23.如权利要求17至22中的任一项所述的方法,还包括:由所述服务提供商节点从认证器注册表请求(230)所述身份认证器的网络地址;以及 由所述认证器注册表向所述服务提供商节点提供(235)所述身份认证器的所述网络地址。24.如权利要求23所述的方法,还包括:由所述认证器注册表代理所述服务提供商节点对处于比所述认证器注册表更高的架 构等级上的另一个认证器注册表的所述网络地址请求。25.如权利要求17至24中的任一项所述的方法,其中,由所述服务提供商节点请求所述 身份认证器对给定用户标识符进行检验包括将服务提供商标识、用户代理标识、统一资源 定位符URL和要求一次性密码OTP的指示中的至少一个添加到所述请求。
【文档编号】H04L29/06GK106063308SQ201480077234
【公开日】2016年10月26日
【申请日】2014年3月17日
【发明人】J.特夫林
【申请人】瑞典爱立信有限公司