专利名称:用于身份联合网关的方法和装置的制作方法
用于身份联合网关的方法和装置
背景技术:
网络服务提供商和设备制造商不断受到挑战,以通过例如提供一套引人瞩目的网络服务来向消费者传达价值和便捷性。订制网络服务包含在用户登陆处理期间认证用户。然而,当需要用户登陆多次以参与到相同网络或服务提供商处可用的若干服务时,网络资源被浪费,并且用户体验被降低。因此,有动机允许用户登陆一次并由此获得对来自相同提供商的若干服务的访问。联合身份或身份“联合”指的是,用于使得在例如不同提供商的不同自动安全域之间能够实现身份信息的可移植性的技术、标准和使用例。身份联合的最终目的是使得一个域的用户能够安全无缝地访问另一域的数据或系统,并且不需要完全冗余的用户管理。将对于一个提供商的认证处理改变为对于多个提供商的联合登陆有挑战性;并且可包含修改每个提供商的每个服务以使用联合的过程,代替或附加于它们内部的认证过程。
发明内容
因此,需要能够用于已经提供了对于多个服务的认证过程的系统的联合识别的方法,而没有遭受现有方法的所有缺点。根据一个实施例,一种方法包括便于访问接口以允许经由网络访问服务。所述服务被配置为确定对与特定网络资源的请求相关联的用户是将由特定服务的提供商还是将由不同方来识别。所述服务还包括如果该用户是将由不同方识别,则至少部分地使得不同方提供识别数据,该识别数据指示用于该用户的身份。所述方法还包括如果该数据指示用户被成功识别,则至少部分地使得基于该识别数据的证书数据被发送至提供商的认证处理,以用于一个或多个网络资源的集合,该集合包括由该用户请求的特定网络资源。根据另一实施例,一种装置,包括至少一个处理器;以及至少一个存储器,存储器包括计算机程序代码,所述至少一个存储器以及所述计算机程序代码被配置为利用所述至少一个处理器,致使所述装置执行确定对与特定网络资源的请求相关联的用户是将由特定服务的提供商还是将由不同方来识别。还致使所述装置执行如果该用户是将由不同方识别,则至少部分地使得不同方提供识别数据,该识别数据指示用于该用户的身份。还致使所述装置执行如果该数据指示用户被成功识别,则至少部分地使得基于该识别数据的证书数据被发送至提供商的认证处理,以用于一个或多个网络资源的集合,该集合包括由该用户请求的特定网络资源。根据另一实施例,一种装置包括确定对与特定网络资源的请求相关的用户是将由特定服务的提供商还是将由不同方识别的部件。该装置还包括如果该用户是将由不同方识别,则至少部分地使得不同方提供识别数据,该识别数据指示用于该用户的身份。该装置还包括如果该数据指示用户被成功识别,则至少部分地使得基于该识别数据的证书数据被发送至提供商的认证处理,以用于一个或多个网络资源的集合,该集合包括由该用户请求的特定网络资源。对于本发明的各个示例性实施例,以下内容适用一种方法,包括促进处理和/或处理(I)数据和/或(2)信息和/或(3)至少一个信号;至少部分地基于(I)数据和/或(2)信息和/或(3)至少一个信号至少部分地基于(或至少中部分地导出于)本申请中相关于本发明的任意实施例公开的任一个或方法的任意组合(或处理)。对于本发明的各个示例性实施例,以下内容也适用一种方法,包括促进访问至少一个接口,所述至少一个接口被配置为允许访问至少一个服务,所述至少一个服务被配置为执行公开于本申请中的网络或服务提供商方法(或处理)中的任一个或任意组合。对于本发明的各个示例性实施例,以下内容也适用一种方法,包括促进创建和/或促进修改(I)至少一个设备用户接口元件和/或(2)至少一个设备用户接口功能单元;所述(I)至少一个设备用户接口元件和/或(2)至少一个设备用户接口功能单元至少部分地基于从公开于本申请中相关于本发明的任意实施例的方法或处理的一个或任意组合得到的数据和/或信息,和/或从公开于本申请中相关于本发明的任意实施例方法(或处理)的一个或任意组合得到的至少一个信号。对于本发明的各个示例性实施例,以下内容也适用一种方法,包括创建和/或 修改(1)至少一个设备用户接口元件和/或(2)至少一个设备用户接口功能单元;所述(I)至少一个设备用户接口元件和/或(2)至少一个设备用户接口功能单元至少部分地基于从公开于本申请中相关于本发明的任意实施例的方法(或处理)的一个或任意组合得到的数据和/或信息,和/或从公开于本申请中相关于本发明的任意实施例方法(或处理)的一个或任意组合得到的至少一个信号。在各个示例性实施例中,该方法(或处理)可实现于服务提供商侧或移动设备侧,或通过在两侧执行动作来在服务提供商和移动设备之间以任意分担方式实现。通过简单地说明多个特定实施方式和实现方式,包括被构想用于执行本发明的最佳模式,可以通过下面的详细说明容易地了解本发明的其它方面、特征以及优点。在全部不脱离本发明的精神和范围的情况下,本发明还能够实现其它的和不同的实施方式,并且可以在各种明显方面修改本发明的许多细节。因此,应自然地将附图和说明书考虑为示意性的,并且不是限制性的。
在附图的图示中,通过实例的方式并且不是通过限制的方式来说明本发明的实施方式,其中图I是根据一个实施例能够提供标示符(ID)联合网关的系统100的视图;图2A是根据一个实施例的设备供应请求消息的视图;图2B是根据一个实施例的设备供应响应消息的视图;图2C是根据一个实施例的用于网络资源的身份认证请求消息的视图;图3A是根据一个实施例的认证用户接口(UI)消息的视图;图3B是根据一个实施例的用户证书消息的视图;图3C是根据一个实施例的身份认证结果消息的视图;图4是根据一个实施例的用于标识符(ID)联合网关的处理的流程图;图5是示出根据各个实施例的用于ID联合网关的消息和处理的序列的时序图;图6是示出可在上面实现本发明实施例的硬件的视图7是示出在上面可实现本发明实施例的芯片集的视图;图8是可以用于实现本发明示例性实施例的移动站(例如手机)的视图。
具体实施例方式公开了用于ID联合网关的方法、装置、和计算机程序的示例。以下描述中,为了解释说明的目的,阐述多个具体细节以提供本发明的实施例的全面理解。然而,本领域技术人员清楚,本发明的实施例可在没有这些具体细节或具有等同配置的情况下实现。其他情形下,以框图形式示出公知结构和设备,以避免不必要地模糊本发明的实施例。这里,术语“网络资源”是指通过到网络的连接可用的任意服务或数据结构或通信链路。“单点登陆”(SSO)处理是指单个提供商的任意处理,其在连接到网络的一个会话期间,使得用户能够从该提供商访问多个网络资源,而不需要由用户识别信息的用户进行的冗余进入。单个提供商通常由统一资源识别(URI)命名系统(例如由统一资源定位符(URL) 命名系统)中的单个网络域名来识别。示例性单点登陆处理是芬兰的Espoo的诺基亚公司(NOKIA CORPORATION )的0VI 系统的单点登陆处理。“访问提供商”是授权用户设备(例如UE 101,如下所述)访问网络(例如通信网络105,如下所述)的网络服务提供商。这里,“识别处理”(例如识别)包括确定身份、或将具体用户认证为具有该身份、或确定具体用户被授权访问一个或多个服务、或一些组合。尽管参照在网络资源提供商的SSO中包含由不同网络访问提供商进行的识别描述了各个实施例,可以设想的是,此处介绍的方法可以用于两个或更多个不同提供商的其他集合以及具有认证处理的任意联合身份服务,无论是SSO处理与否。图I是根据一个实施例能够提供ID联合网关的系统100的视图。系统包括通信网络105、用户设备101、多个网络资源,网络资源包括通过资源提供商的内部认证服务120而可用的服务IlOa至110n(以下统称为网络服务110)。还包括访问提供商识别服务130,作为联合身份服务的例子。对于将由联合身份服务识别的UE 101的用户,可修改与每个服务IlOa至IlOn对应的内部认证服务120的每个组件,以与联合身份服务交互,从而获得用户证书。这是易错处理,其影响了存储器的许多不同区域,并且因为可执行的形式修改、编译和存储每个组件消耗了处理资源。联合身份服务的每个更新将类似地传播至内部认证服务120的所有组件,消耗甚至更多处理资源。如果为了安全在多个主机上复制,则对处理资源和带宽资源的消耗甚至更大。类似地,针对几千个用户设备(例如蜂窝电话)中的每一个的客户端处理将被修改,以与联合身份服务交互。这些修改消耗在移动终端上特别稀少的宝贵的处理电力、存储器、电池寿命、和通信带宽。图I是根据一个实施方式的能够提供ID联合网关140的系统100的视图。ID联合网关140控制在遗留认证服务和联合身份服务(例如访问提供商识别服务130)之间的交互,以及在遗留认证客户端(例如SSO设备启动器(DE)处理)和服务联合身份服务之间的交互。因此,网关140是为利用联合身份服务和遗留认证服务,以及为其他提供商和它们的内部认证服务(如果存在(未示出)),而实现减少网络资源的优点的示例性装置。内部认证服务120是包括遗留认证服务和ID联合网关140的修改处理。如图I中所示,系统100包括用户设备(UE) 101,所述用户设备具有经由通信网络105的到内部认证服务120、服务IlOa至IlOn和访问提供商识别服务130的连通性。通过示例的方式,系统100的通信网络105包括一个或多个网络,例如数据网络(未示出)、无线网络(未示出)、电话网络(未示出)、或其任意组合。可设想,数据网络可以是任意局域网(LAN)、城域网(MAN)、广域网(WAN)、公共数据网(例如因特网)、或任意其他适合的分组交换网络,例如商业所有、私有分组交换网(例如私有电缆或光纤网络)等,或其组合。此外,无线网络可以是例如蜂窝网络,并且可采用各种技术,包括用于全球演进的增强数据率(EDGE)、通用分组无线业务(GPRS)、全球移动通信系统(GSM)、因特网协议多媒体子系统(MS)、通用移动电信系统(UMTS)等、以及任意其他适合的无线介质,例如全球微波互联接入(WiMAX)、长期演进(LTE)网络、码分多址(CDMA)、宽带码分多址(WCDMA)、无线保真(WiFi)、无线LAN (WLAN)、蓝牙 、因特网协议(IP)数据播送、卫星、移动自组织网络(MANET)等,或其任意组合。UE 101是任意类型的移动终端、固定终端、或便携式终端,包括移动手机、站、单元、设备、多媒体计算机、多媒体平板、因特网节点、通信器、桌面计算机、膝上型计算机、个人数字助理(PDA)、音频/视频播放器、数码相机/或摄像机、定位设备、电视接收器、无线电广播接收机、电子书设备、游戏设备、或其任意组合。还可设想,UE 101可支持对于用 户的任意类型的接口(例如“可佩戴”电路等)。例如,UE 101、服务110、内部认证服务120和访问提供商识别服务130可使用已知、新的或仍旧在开发中的协议,来彼此以及与通信网络105的其他组件通信。在这个环境下,协议包括定义通信网络105中的网络节点如何基于在通信链路上发送的信息来彼此交互的一组规则。协议在每个节点中的不同的操作层处是有效的,从生成和接收各个类型的物理信号,到选择用于传递这些信号的链路,到通过那些信号指示的信息的格式化,到识别在计算机系统上执行的哪个软件应用发送或接收信息。在开放性系统互联(OSI)参考模型中描述了在网络上用于交换信息的概念上不同的协议层。在网络节点之间的通信典型地通过交换数据的离散分组来实现。每个分组典型地包括(I)报头信息,其与特定协议相关联;和(2)有效载荷信息,其在报头信息之后并且包含可独立于该特定协议处理的信息。在一些协议中,分组包括(3)尾信息,其在有效载荷之后并且指示有效载荷信息的结尾。报头信息包括例如分组的源、其目的地、有效载荷的长度、和协议使用的其他属性的信息。通常,用于特定协议的有效载荷中的数据包括与OSI参考模型的不同、更高层相关联的不同协议的报头和有效载荷。特定协议的报头典型地指示在其有效载荷中包含的下一协议的类型。高层协议被称为是封装在低层协议中。贯穿多个异构网络(例如因特网)的分组中包括的报头典型地包括如OSI参考模型所定义的物理(层I)报头、数据链路(层2)报头、网络间(层3)报头和传输(层4)报头、和各个应用报头(层
5、层6和层7)。计算机过程交互的客户端-服务器模型是广泛已知且使用的。根据客户端-服务器模型,客户端过程发送包括对服务器过程的请求的消息,并且服务器过程通过提供服务来进行响应。服务器过程还可以返回消息作为对客户端过程的响应。通常,客户端过程和服务器过程在不同的计算机设备(称为主机)上执行,并且使用用于网络通信的一个或多个协议经由网络进行通信。术语“服务器”通常用于指提供服务的过程,或操作所述过程的主机计算机。相似地,术语“客户端”通常用于指作出请求的过程,或操作所述过程的主机计算机。如此处使用的,术语“客户机”和“服务器”是指过程,不是指主机计算机,除非从上下文中明确的表示。此外,出于包括可靠性、可伸缩性和冗余性的原因,可以将服务器执行的过程分开以作为多个主机上的多个过程(有时称为层)来运行。连接到通信网络的大部分节点上可用的已知客户端过程是万维网客户端(称为“网络浏览器”,或简单地称为“浏览器”),万维网客户端通过根据超文本传输协议(HTTP协议)进行格式化的消息与大量被称为万维网服务器的服务器中的任意服务器进行交互,万维网服务器通过超文本标记语言(HTML)提供网页。在示例性实施例中,UE 101包括用于网络服务110、web浏览器107和认证客户端模块122的至少一个的客户端处理114。认证客户端模块122可实现为如图7所示和下述的芯片集,其中具有或不具有一个或多个计算机程序指令。在遗留认证系统中,当浏览器107或客户端114尝试发送请求资源提供商的服务110的消息时,认证客户端模块122拦截该消息,并将请求定向至遗留认证服务。遗留认证服务确定UE 101的用户是否已经在与网络105的当前会话期间登陆了。如果否,则将用户接口(UI)发送至认证客户端模块122,向用户呈现提示用户输入,用户输 入将被用以识别用户。Π可通过本领域已知的任意方式来包括,例如经由HTTP传递的HTML文档中的脚本。基于从认证客户端模块122向遗留认证服务通信的那些输入,用户或者被遗留认证服务接受或者被拒绝。通过认证客户端模块122向用户传递拒绝。如果接受,将认证令牌传递至认证客户端模块122,用于在当前会话期间对于其他服务110的进一步请求。来自客户端114或浏览器107的请求提供商的网络服务110的随后消息被认证客户端模块122拦截,并发送至具有认证令牌的遗留认证服务。如果认证令牌没有过期,则将请求转发至正确服务110,其具有服务110所需的执行所请求的服务的任何证书。如果过期,则由内部认证服务120向认证客户端模块122发送UI,以向用户呈现,如上所述。例如,ID联合网关140包括用于提供ID联合网关的一个或多个组件。网关140可实现为如图7所示和下述的芯片集,其中具有或不具有一个或多个计算机程序指令。可设想,这些组件的功能可组合在一个或多个组件中或通过与网络105连接的一个或多个主机上的等同功能的其他组件来执行。ID联合网关140抽出用于两个服务110(例如OVI服务)和遗留认证服务(例如OVI SS0)的第三方联合身份服务。ID联合网关140使用图2A至3C中所述的一个或多个消息与认证客户端模块122和遗留认证服务和联合身份服务通信。图2A是根据一个实施例的设备供应请求消息200的视图。供应请求消息200包括消息类型字段202、网络地址字段204、设备标识符(ID)字段206和一个或多个细节字段210。消息类型字段202保持这样的数据,其指示消息为认证客户端模块122发送的设备供应请求以确定如何处理用户识别处理。网络地址字段204保持这样的数据,其指示对请求的响应应该发送给的认证客户端模块122的网络地址。设备ID字段206保持唯一地指示用户设备的数据,例如移动订户集成服务数字网络编号(MSISDN,即蜂窝电话号码)或访问提供商定义的一些其他标识符,例如国际移动订户身份(MSI)标识符,它是用于在全球移动通信系统(GSM)网络上识别各个用户的唯一 15位码。这些选项由字段206中的符号“MSI/MSISDN”来指示。MSI值典型地存储在订户身份模块(SIM卡)、用于在许多移动电话中存储信息的设备上,特别地用于高级特征。当IMSI指示假设控制移动UE的用户时,它并不保证正确的用户实际控制移动UE。因此,在识别期间,用户认证(例如包含密码输入)仍旧是期望的。
细节字段210保持关于UE或用户的进一步细节,例如在UE上可用的特征,如操作系统、例如请求定位系统(GPS)的应用、和蓝牙能力、以及本领域已知的许多其他细节。在一些实施例中,省略字段210。在一些实施例中,当UE 101开机时,认证客户端模块122使用请求消息200从网络组件请求身份供应数据。在一些实施例中,认证客户端模块122将细节信息包括在供应请求消息200中的细节字段210中,以细化由供应服务返回的粒度数据。图2B是根据一个实施例的设备供应响应消息220的视图。设备供应响应消息220包括消息类型字段222、网络地址字段224和识别URL字段226。消息类型字段222保持这样的数据,其指示消息为由ID联合网关140向认证客户端模块122发送的设备供应响应消息,以指示如何处理用户识别。网络地址字段224保持指示ID联合网关140的网络地址的数据。识别URL字段226保持这样的数据,其指示在用户尝试获得包含用户识别的网络 资源时使用的服务和服务参数。具有关联参数的URL容易在由浏览器107和服务110的许多客户端(例如客户端114)使用的HTTP消息中发送。在一些实施例中,字段226中的用于URL的至少一个参数指示用户设备的用户是采用遗留服务(认证服务9,例如SSO服务)还是通过联合身份服务(例如通过字段226中的符号“SS0/IDFED”指示)来识别。在一些实施例中,基于在通信期间呈现的MSISDN值,例如在自动发送至与网络(例如通信网络105)连接的每个移动终端的设备供应响应消息220中,将供应数据推送至移动终端上的认证客户端模块122,而不需要设备供应请求消息200。当认证客户端模块122检测到对资源提供商的资源的请求时,利用字段226中提供的参数将认证请求消息发送至URL。图2C是根据一个实施例的对于网络资源的识别请求消息240的视图。识别请求消息240包括消息类型字段242、网络地址字段244、识别URL字段246和一个或多个网络资源URL字段250。消息类型字段242保持指示消息是由认证客户端模块122发送的识别请求消息的数据。网络地址字段244保持指示认证客户端模块122的网络地址的数据。识别URL字段246保持通过任意参数在字段226中提供的数据,例如对认证是由遗留认证服务还是由联合身份服务(例如访问提供商识别服务130)进行的指
/Jn ο网络资源URL字段250保持指示用户期望登陆的网络资源(例如服务110)的数据。在各个实施例中,ID联合网关140提示用户输入(例如用户名和密码),以确定UE101的用户是否为向一个或多个网络登记的认证后的特定用户。在UE 101上,将提示呈现于一个或多个用户接口(UI)中。图3A是根据一个实施例的识别用户接口(UI)消息300的视图。识别UI消息300包括消息类型字段302、网络地址字段304、识别UI字段310。消息类型字段302保持指示消息是发送至认证客户端模块122的识别UI消息的数据。网络地址字段304保持指示发送处理(例如ID联合网关140)的网络地址的数据。识别UI字段310保持指示要呈现给用户(例如UI 101的用户)的UI的数据。在一些实施例中,识别UI字段310包括要呈现给用户的数据,例如如本领域已知的用于经由HTTP发送的HTML文档中的表格的脚本。在一些实施例中,识别UI字段310包括将客户端重定向至联合身份服务(例如访问提供商识别服务130)的数据。可使用任意方法引起客户端处理被重定向,这是本领域已知的方法。URL包括使得联合身份服务在用户设备处呈现识别Π的一个或多个参数。对于Π的用户输入被返回至联合身份服务。在一些实施例中,在识别UI字段310中的重定向URL包括这样的数据,其直接或间接通过在从联合ID服务发送到用户设备的响应中的重定向,使得来自联合身份服务的响应将被发送至ID联合网关 140。作为接收由识别UI提示的用户输入的结果,联合身份服务确定用户是否被成功识别;并在联合证书消息中返回结果。图3Β是根据一个实施例的联合证书消息320的视图。联合证书消息320包括消息类型字段322、网络地址字段324、目的地网络地址字段326和联合证书字段330。消息类型字段322保持指示消息是由联合身份服务发送的联合证书消息的数据。网络地址字段324保持指示发送处理(例如联合身份服务,如访问提供商识别服务130)的网络地址的数据。目的地网络地址字段326保持指示目的地的网络地址的数据。在一些实施例中,目的地是具有重定向至ID联合网关140的浏览器107或客户端114的URL。在一些实施例中,目的地直接是用于ID联合网关140的URL。联合证书字段330保持指示来自联合身份服务认证处理的结果的数据。如果认证失败,则结果是指示失败的原因的失败码(例如,未知的用户名、不正确的密码、负的账户余 额等)。如果认证成功,则结果是通过安全码指示用户的令牌(并且在一些实施例中,为其他数据,例如时间),例如数字签名,如本领域熟知的那样,其可使用联合身份服务的共享密钥或公钥来检查。安全码指示令牌确实来自联合身份服务。用户通过在ID联合的所有成员(包括服务110的提供商)之间共享的代码来指示。因此,由第三方联合身份服务(例如访问提供商身份服务130)的成功认证通过成功认证的证据(令牌)将认证客户端模块122重定向回至ID联合网关。在ID联合网关140接收联合证书消息320并基于联合证书与遗留认证服务交换消息之后,网关140将认证结果消息发送至用户,例如认证客户端122,其将结果呈现给用户。图3C是根据一个实施例的认证结果消息340的视图。认证结果消息340包括消息类型字段342、网络地址字段344、成功/失败原因字段350、和资源URL字段360。消息类型字段342保持指示消息是由ID联合网关140发送的识别结果消息的数据。网络地址字段324保持指示发送处理(例如ID联合网关140)的网络地址的数据。成功失败原因字段350保持指示来自识别处理的结果的数据。如果识别失败,则结果是指示失败的原因的失败码(例如,未知的用户名、不正确的密码、负的账户余额等)。如果认证成功,则该数据指示成功。在一些实施例中,如果识别是成功的,则字段350包括来自遗留认证系统的令牌。如果字段350中的结果指示成功,资源URL字段360保持指示具有任意参数的资源的URL的数据,该参数包括授权访问的任意参数,例如认证令牌。否则,字段360为空或省略。尽管在图2A至图3C中的消息为了说明的目的被示出为具有按照特定顺序的特定字段的整体块,在其他实施例中,一个或多个字段或其部分在一个或多个消息中以不同顺序出现,或省略,或增加一个或多个字段,或通过许多方式的组合改变消息。例如,在一些实施例中,消息类型字段和网络地址字段被包括在用于通过网络(例如通过通信网络105)传递消息的一个或多个协议的一个或多个头部中。图4是根据一个实施例的用于标识符(ID)联合网关140的处理400的流程图。在一个实施例中,例如,在包括如图7所示的处理器和存储器的芯片集中,或如图6所示的通用计算机中实现ID联合网关140。在一些实施方式中,通过远程服务器来执行处理400,并且方法包括促使访问(包括授权访问权限)接口,以允许经由网络访问远程服务器的服务。尽管为了说明的目的,将步骤示出为在例如图4的流程图中的按特定顺序的整体块,在其它实施方式中可以按不同顺序,或在时间上重叠、串行或并行执行一个或多个步骤或其部分,或者可以省略或增加一个或多个步骤,或按一些方式的组合的改变。在步骤401,从用户设备接收供应请求,以确定如何执行对于设备的用户的识别。例如,由UE 101上的认证客户端模块122将对于从网络组件提供数据的请求作为消息200发送至遗留认证服务,并该请求由在具有遗留认证服务的相同主机上执行的ID联合网关140拦截。因此,在步骤401期间,使得定向至提供商的单点登陆处理的初始消息从单点登陆处理转离至网关140。在一些实施例中,对于网络资源提供商提供的网络资源之一的初始请求(例如对于服务HO中的一个或多个的初始请求)用作在步骤401接收的供应请求。在一些实施例中,步骤401确定用户设备何时连接至网络。在步骤403,确定用户设备是否经过由联合身份服务进行的识别。可使用任意方法 来确定,例如,解析初始消息200以确定在设备ID字段206中指示的用户设备。例如,将设备ID字段206的内容(例如MSISDN值)与指示对于用户设备的访问提供商的网络数据库相比较。如果访问提供商是身份联合的成员,则确定用于访问提供商的联合身份服务。因此,在一些实施例中,使用数据库用于确定用户设备与由不同方(例如由联合身份服务)进行的识别相关联。如果否,并且在字段206中不存在与设备ID数据相关联的身份联合的其他成员,则确定使用内部认证服务以识别和认证用户。因此,步骤403确定与对特定网络资源的请求相关联的用户是由特定服务的提供商还是由不同方识别。这提供了从遗留系统(例如遗留认证服务和服务110)抽出第三方交互的优点。这个抽出提供了这样的优点,即减少用以更新并将第三方交互结合至遗留认证服务和服务110中的计算资源。步骤403是实现这个优点的示例性手段。在步骤405,将设备供应响应消息(例如消息220)发送至用户设备,例如UE 101上的认证客户端模块122。响应消息包括指示在步骤403确定的识别处理的数据,例如插入字段226中。例如,将具有至少一个参数的ID联合网关140的URL插入至消息220的识别URL字段226。如果没有联合身份服务,则至少一个参数指示遗留认证服务。如果有一个,如步骤403所确定,则参数指示联合身份服务。在一些实施例中,如果没有联合身份服务,则将认证服务的URL插入至字段226 ;并且如果有联合身份服务,则将具有指示联合身份服务的参数的ID联合网关140的URL插入至字段226。这进一步抽出第三方交互,并实现减少用以更新并将第三方交互结合至遗留认证服务和服务110的计算资源的优点。步骤405是实现这个优点的示例性手段。因此,如果用户设备连接至网络,则使得指示不同方的供应数据发送至用户设备。通过将供应消息发送至认证客户端122,则供应数据包括在对特定服务的请求中,如下更详细描述。在步骤407,从用户设备接收请求以访问包括用户身份的网络资源(例如服务110的一个或多个)的。例如,接收识别请求消息240,其在字段250中指示要访问的网络资源并且在字段246中指示识别URL。字段246中的数据指示是使用内部系统(例如遗留SS0)还是使用联合身份服务(例如访问提供商识别服务130)来进行识别。
在步骤409,确定是否将使用内部认证系统,例如遗留SSO服务。例如,这个确定基于字段246的内容作出。如果是,则如上参照图I所述的那样,在步骤411,将对访问的请求传递至内部系统,例如遗留SSO服务。如果否,则第三方(即联合身份服务)将识别用户;并且控制传递至步骤413。因此,如果用户将由不同方识别,则步骤409是使得不同方提供指示用户的身份的识别数据的手段。这进一步抽出第三方交互,并实现减少用以更新第三方交互并将第三方交互结合至内部认证服务和网络服务110的计算资源的优点。步骤409是实现这个优点的示例性手段。在步骤413,确定识别用户接口(UI)是否将由第三方(即联合身份服务)来提供。如果是,则在步骤415,将用户设备上的处理(例如认证客户端模块122)重定向至第三方。例如,通过字段310中的到联合身份服务的重定向,将消息300发送至用户设备。在一些实施例中,重定向包括数据,从而使得如下所述将响应重定向至ID联合网关140。因此,在一些实施例中,步骤415包括形成重定向请求,该重定向请求被重定向至不同方并包括从不同方至服务的响应的单独重定向;以及使得重定向请求被发送至用户设备。
此外,步骤415是使得不同方从资源提供商提供指示用户的身份的识别数据的示例性手段。步骤415实现使用第三方识别而不改变遗留内部认证服务或服务110的优点,因此节省了在那些服务的主机上的计算资源。这还实现了使用第三方提供的Π的优点,由此节省了遗留认证服务上的计算资源。因此,步骤413和415是实现这个额外优点的示例性手段。如果在步骤413确定第三方不提供UI,则在步骤417,将识别UI (以下为了方便,还称为登陆UI)发送至用户设备。例如,将消息300发送至用户设备,其在字段310中具有用于登陆Π的脚本。因此,步骤417包括使得向用户设备发送用户接口,其呈现对针对不同方的从用户的输入的提示以便识别用户。在步骤419,确定是否从具有用户输入的用户设备接收响应。如果在合理时间内(例如5分钟内)没有接收到响应,则登陆失败并且控制传递至步骤429。在一些实施例中,步骤415仅将用户响应返回至第三方发送的Π而没有识别结果,例如令牌或失败码。在这样的实施例中,来自步骤415的用户响应返回至步骤419,如虚箭头所示。在步骤429,将失败通知发送至用户设备。通过认证客户端模块122在用户设备的显示器上(例如Π 101的显示器上)呈现失败原因;并且处理结束。例如,将消息340发送至认证客户端模块122,在字段350中具有指示缺少用户输入的失败的数据。如果在步骤419确定在适当时间内从用户设备接收到具有用户输入的响应,则在步骤421,将指示用户响应的数据发送至第三方,即适当的联合身份服务。因此,步骤421包括使得基于针对用户接口的提示的用户响应向该不同方发送数据。这是使得不同方提供指示用户的身份的识别数据的一个手段,并实现了使用联合身份服务而不改变剩下的遗留认证服务的优点。在一些实施例中,这例如通过使用数字签名离线地发生(包括在ID联合网关140和例如访问提供商识别服务130的联合身份服务之间的可信关系)。在步骤423,确定第三方是否成功识别用户。例如,作为步骤415或421的结果,在网关140处从第三方接收用户证书消息320。因此,步骤423包括响应于步骤415 (向用户设备发送重定向至不同方的重定向请求),接收识别数据;以及响应于步骤421 (基于针对用户接口的提示的用户响应向不同方发送数据),接收识别数据。解析消息320,以确定识别信息(例如字段330)是否指示有效令牌。如果字段330不包括有效令牌,则用户识别失败;并且如上所述,控制传递至步骤429。在步骤429,字段350中的数据指示对于无效令牌的失败码或来自字段330的其他失败码,并发送至用户设备用于向用户呈现。如果在步骤423确定用户被第三方成功识别,则在步骤425,向内部系统(例如遗留SSO服务)发送指示基于有效令牌的用户证书的数据。用户证书基于在消息320的字段330中由第三方发送的识别信息。因此,如果数据指示用户被成功识别,则使得基于识别数据的用户证书数据发送至提供商的认证处理,例如单点登陆处理。这提供了,在没有联合身份服务可用时使用遗留认证或SSO服务的优点,从而避免用于向网络资源提供商的任意或全部服务110登陆的冗余处理。在步骤427,确定用户是否成功登陆至遗留认证系统,例如SSO服务。第三方服务提供的有效令牌可能未指示网络资源提供商提供的服务110 (例如0VI)的注册用户。内部系统的结果作为在应用编程接口(API)或客户端-服务器消息(例如HTTP消息)中的返回的调用参数而被提供。在一些实施例中,在遗留SSO上的成功识别返回SSO令牌。如果在 步骤427确定用户没有成功登陆至内部系统,则控制传递回步骤429,以向用户设备发送具有失败原因的失败通知,如上所述。如果在步骤427确定用户成功登陆至内部系统,则在步骤431,授权对于网络资源(例如服务110中的一个或多个)的访问,并且向用户设备发送成功的通知。因此,ID联合网关140利用核心认证服务,以通过认证令牌建立透明的系统范围认证上下文。在一些实施例中,成功的通知是发送至认证客户端模块122的消息,用于在用户设备(例如UE 101)的显示器上呈现。在一些实施例中,成功的通知是网络资源的开放页面,例如作为HTTP消息中的HTML文档发送的服务110的主Web页面。图5是示出根据各个实施例的用于ID联合网关的消息和处理的序列的时序图。通过细垂直框(在顶部标记)来代表网络上的网络处理。通过水平箭头来代表从一个处理向另一处理传递的消息。在框或循环箭头的垂直位置指示的时序处,通过覆盖处理的框或循环箭头指示处理执行的步骤。图5中表示的处理是UE 101中的服务客户端114和认证客户端模块122、访问提供商识别服务130 (作为示例性联合身份服务)、和包括ID联合网关140和遗留认证服务
501(例如遗留SS0)的内部认证服务120。从客户端114(或浏览器107)发送请求消息502,以访问来自网络资源提供商的资源(例如服务110)。认证客户端122拦截该请求消息,以将其定向至适当的用户识别处理。为了确定对于UE 101的适当识别处理,认证客户端122将供应消息504 (例如消息200)发送至缺省网络组件(例如内部认证服务120)。供应消息通过尽可能多的细节,例如MSISDN或ISI或两者,来识别UE 101。这个消息被ID联合网关140来拦截,以避免对于遗留认证服务器501的修改。网关140参照图4中的步骤403确定上述适当的识别处理。然后,网关140发送响应消息506,例如消息220,其例如在识别URL字段226中指示适当的识别处理。将该消息发送至UE 101,在UE 101处由认证客户端122接收该消息。在一些实施例中,在发送消息502之前,在对UE 101加电时交换消息504和506。在一些实施例中,将消息506推送给UE 101,而不等待请求消息504。
基于供应数据和设备信息,认证客户端122确定将对于服务的请求发送给哪个识别处理目的地,所述对于服务的请求或者是定向至遗留认证501的服务请求消息508(例如消息240),或者是定向至ID联合网关140的请求消息510(例如消息240)。遗留认证服务器响应于消息508而运行,并且在这里不再进一步描述。为了指示没有跟随与消息508相关联的序列,以小圆点标出表不消息508的箭头。响应于消息510,ID联合网关140将识别用户接口(UI)发送至客户端,以提示用户输入,例如密码、或用户名和密码、或一些其他用户输入,用于识别用户。在识别UI消息300中发送Π。如上所述,在一些实施例中,识别UI消息包括例如用于呈现表格的HTML脚本的UI,并且在其他实施例中包括到联合身份服务的重定向。前者的实施例包括由点划箭头表示的消息512和514 ;相反,后者的实施例包括由虚线箭头表示的消息520、522、524、526 和 528。在前者的实施例中,ID联合网关140被配置为呈现Π,以获得对于联合身份服务(例如服务130)的用户输入。消息512 (例如识别UI消息300)在字段310中包括与网关140相关联的UI。可通过本领域已知的任意方式来包括Π,例如经由HTTP传递的HTML文 档中的脚本。通过认证客户端122,将字段310中的Π直接呈现于UE 101上。在一个或多个消息514中返回用户响应。在后者的实施例中,如参照图4的步骤415所述的那样,ID联合网关140被配置为将用户设备重定向至联合身份服务,例如服务130,其提供Π以获得用户输入。消息520(例如识别UI消息300)在字段310中包括与网关140相关联的重定向。可通过本领域已知的任意方式来包括该重定向,例如具有一个或多个参数的URL。在所示实施例中,参数将UI响应重定向至网关140。在消息522中,将认证客户端122重定向至联合身份服务,例如服务130。在消息524中将UI从联合身份服务发送至认证客户端122,并通过认证客户端122呈现于UE 101上。用户输入在一个或多个消息526中被返回至联合身份服务,并在消息528中被重定向至ID联合网关140。在一些实施例中,消息528包括由服务130生成的识别信息结果,例如失败码或指示用户证书的令牌。如参照图4的步骤421所述的那样,响应于在消息514中或消息528中(当认证结果在消息528中也不可用时)接收的输入,ID联合网关140将指示用户响应的数据发送至联合身份服务,例如服务130。响应于发送消息530,联合身份服务(例如服务130)在消息532 (例如用户证书消息320)中发送识别结果。在一些实施例中,消息528包括识别结果;并省略消息530和532。如果消息532 (或528)例如在用户证书字段330中包括有效令牌,则在消息540中向遗留认证服务501发送基于有效令牌的用于遗留认证服务的用户证书。如果用户证书被遗留认证服务501认为是有效的,则客户端114获得对于服务110中的一个或多个的访问。如果否,则发生失败条件。来自遗留认证服务501的响应消息542在例如识别结果消息340的字段350中将结果指示为成功或失败码。在一些实施例中,如果在遗留认证服务501处的结果为成功,则消息542包括认证令牌。因此,ID联合网关140被看作可信服务;并且创建服务范围认证上下文。在一些实施例中,如果在遗留认证服务501处的结果为成功,则消息542在例如带有作为字段中的参数的任意证书的字段360中,包括具有将客户端114重定向至网络资源(例如服务110)的参数的URL。
来自结果消息542的至少一部分数据被包括在从ID联合网关140到认证客户端122的消息550中,因此可在消息552中去往客户端114 (或浏览器107)。在各个实施例中,消息542、550、552是认证结果消息340的形式。在与网络105的相同连接会话期间,不通过认证Π呈现来自相同用户设备的其他服务的浏览器107或客户端的随后请求,因为在ID联合网关140处联合和认证令牌两者对于这个设备已经都是可用的。这里所述的用于提供ID联合网关的处理可能有利地通过软件、硬件(例如通用处理器、数字信号处理器(DSP)芯片、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等)、固件或它们的组合来实现。下面详细介绍用于执行上述功能的这种示例性硬件。图6示出可在上面实现本发明实施例的计算机系统600。尽管关于特定设备或状态示出了计算机系统600,可设想,图6中的其他装置或设备(例如网络元件、服务器等)可部署系统600的图示的硬件和组件。计算机系统600被编程(例如经由计算机程序代码或指令)以提供此处介绍的ID联合网关,并且包括例如总线610的通信机构,用于在计算机系 统600的其他内部和外部组件之间传递信息。信息(还称为数据)表示成可测量现象的物理表达,典型地为电压,但在其他实施例中包括例如磁、电磁、压力、化学、生物、分子、原子、亚原子和量子交互的现象。例如,南北磁场、或零和非零电压代表二进制数字(比特)的两个状态(0,1)。其他现象可代表更高基数的数字。在测量之前多个同时量子状态的重叠代表量子比特(qubit)。一个或多个数字的序列构成用于代表字符的数目或代码的数字数据。在一些实施例中,称为模拟数据的信息通过特定范围内的可测量值的接近闭联集来表示。计算机系统600,或其一部分,构成用于执行ID联合网关的一个或多个步骤的部件。总线610包括一个或多个并行的信息导体,从而在耦合至总线610的设备之间快速传送信息。用于处理信息的一个或多个处理器602与总线610 f禹合。处理器602如与ID联合网关相关的计算机程序代码指定的那样执行对于信息的一组操作。计算机程序代码是提供用于处理器的操作和/或计算机系统的指令的一组指令或语句,以执行特定功能。代码例如可用计算机编程语言编写,其被编译成处理器的原始指令集。代码还可使用原始指令集(例如机器语言)直接编写。该组操作包括从总线610带入信息并且将信息置于总线610上。该组操作还典型地包括比较两个或更多个信息单元,移动信息单元的位置,并且合并两个或更多个信息单元(例如通过加或乘或逻辑运算,如0R,异OR (XOR)和AND)。可由处理器执行的该组操作的每个操作通过称为指令的信息来向处理器表示,例如一个或多个数字的操作代码。处理器602要执行的操作的序列(例如操作代码的序列)构成处理器指令,还称为计算机系统指令,或简单地计算机指令。处理器可实现为机械、电、磁、光、化学或量子组件,其中可以是单独的或组合的。计算机系统600还包括耦合至总线610的存储器604。存储器604 (例如随机存取存储器(RAM)或其他动态存储装置)存储包括用于ID联合网关的处理器指令的信息。动态存储器允许其中存储的信息由计算机系统600改变。RAM允许在称为存储器地址的位置存储的信息单元独立于相邻地址被存储和提取。存储器604还由处理器602使用,以存储在处理器指令的执行期间的临时值。计算机系统600还包括只读存储器(ROM) 606和耦合至总线610的其他静态存储装置,用于存储不可由计算机系统600改变的静态信息,包括指令。一些存储器包括易失性存储装置,当失去电力时其丢失在上面存储的信息。耦合至总线610的还有非易失性(永久性)存储装置608,例如磁盘、光盘或闪速卡,用于存储即使当计算机系统600关闭或失去电力时仍旧持续的信息,包括指令。可从外部输入设备612 (例如键盘,包含人工用户操作的字母数字键,或传感器)向总线610提供信息(包括用于ID联合网关的指令)供处理器使用。传感器检测其周围的条件,并且将那些条件转换成物理表达,其兼容于可测量现象以用于代表计算机系统600中的信息。耦合至总线610的其他外部设备(主要用于与人工交互)包括显示器设备614,例如阴极射线管(CRT)或液晶显示器(IXD)、或呈现文本和图像的等离子屏或打印机,以及定点设备616,例如鼠标或跟踪球或指针定向键、或运动传感器,用于控制在显示器614上呈现的小光标图像的位置以及发出与显示器614上呈现的图形元素相关的命令。在一些实施例中,例如,在计算机系统600自动执行所有功能而无需人工输入的实施例中,忽略外部输入设备612、显不器设备614和定点设备616中的一个或多个。在所示实施例中,专用硬件(例如专用集成电路(ASIC) 620)耦合至总线610。专
用硬件被配置为为了专用目的足够快速地执行并未由处理器602执行的操作。专用IC的实例包括图形加速器卡,用于生成针对显示器614的图像;密码板,用于加密和解密在网络上发送的消息;语音识别;以及对于特殊外部设备的接口,例如机器臂和医学扫描设备,其重复执行在硬件中更加有效实施的操作的一些复杂序列。计算机系统600还包括耦合至总线610的通信接口 670的一个或多个示例。通信接口 670提供对于用他们自身处理器运行的各种外部设备(例如打印机、扫描仪和外部盘)的单向或双向通信耦合。一般地,耦合利用与本地网络680连接的网络链路678,具有他们自身处理器的各种外部设备连接至局部网络680。例如,通信接口 670可以是个人计算机上的并行端口或串行端口或通用串行总线(USB)端口。在一些实施例中,通信接口 670是向相应类型的电话线路提供信息通信连接的集成服务数字网络(ISDN)卡或数字订户线路(DSL)卡或电话调制解调器。在一些实施例中,通信接口 670是将总线610上的信号转换成用于在同轴电缆上通信连接的信号或转换成用于在光纤电缆上通信连接的光学信号的电缆调制解调器。作为另一实例,通信接口 670可以是向兼容LAN (例如以太网)提供数据通信连接的局域网(LAN)卡。也可实施无线链路。对于无线链路,通信接口 670发送或接收或既发送又接收电、声或电磁信号,包括红外和光学信号,其承载例如数字数据的信息流。例如,在无线手持设备(例如像蜂窝电话的移动电话)中,通信接口 670包括无线电带电磁发送器和接收器,称为无线电收发器。某些实施例中,通信接口 670使能实现到通信网络105的连接,用于对UE 101的ID联合网关。这里使用术语“计算机可读介质”来表示参与到向处理器602提供信息(包括用于执行的指令)的任意介质。这样的介质可采用许多形式,包括但不限于,非易失性介质、易失性介质、和传输介质。非易失性介质包括例如光或磁盘,例如存储装置608。易失性介质包括例如动态存储器604。传输介质包括例如同轴电缆、铜线、光纤电缆、和载波,其在无需布线或电缆的情况下通过空间行进,例如声波和电磁波,包括无线电、光和红外波。信号包括在通过传输介质发送的振幅、频率、相位、极化或其他物理属性的人工瞬间改变。计算机可读介质的通用形式包括例如软盘、灵活盘、硬盘、磁带、任意其他磁介质、CD-ROM、CDRW、DVD、任意其他光学介质、穿孔卡、纸带、光学标记表、具有孔或其他光学可识别特征的模式的任意其他物理介质,RAM、PROM、EPROM、FLASH-EPR0M、任意其他存储器芯片或盒、载波、计算机可从中读取的任意其他介质。这里使用术语计算机可读存储介质,以指代除了传输介质的任何计算机可读介质。一个或多个有形介质中编码的逻辑包括在计算机可读存储介质和专用硬件,例如ASIC 620上的一个或两个处理器指令。网络链路678典型地通过一个或多个网络使用传输介质向使用或处理信息的其他设备提供信息通信。例如,网络链路678可向因特网服务提供商(ISP)操作的主机计算机682或设备684提供通过局域网680的连接。ISP设备684随后通过网络的公共、世界分组交换通信网络(现在统称为因特网690)提供数据通信服务。计算机(称为服务器主机692,连接至因特网)托管响应于因特网上接收的信息提供服务的处理。例如,服务器主机692托管提供表示视频数据的信息,用于在显示器614呈现的处理。可设想,系统600的组件可部署在其他计算机系统,例如主机682和服务器692中的各个配置中。 本发明的至少一些组合涉及用于实现这里所述的一些或全部技术的计算机系统600的使用。根据本发明的一个实施例,通过计算机系统600执行那些技术,以响应于处理器602执行存储器604中包含的一个或多个处理器指令的一个或多个序列。这样的指令(还称为计算机指令、软件和程序代码)可从另一计算机可读介质(例如存储设备608或网络链路678)读入存储器604。存储器604中包含的指令的序列的执行使得处理器602执行这里所述的一个或多个方法步骤。在备选实施例中,可使用硬件(例如ASIC 620)代替或与实现本发明的软件组合。因此,本发明的实施例不限于硬件和软件的任意特定组合,除非这里明确阐述。通过通信接口 670在网络链路678和其他网络上发送的信号向和从计算机系统600承载信息。计算机系统600可通过网络680、690等,通过网络链路678和通信接口 670发送和接收包括程序代码的信息。在使用因特网690的实例中,服务器主机692通过因特网690、ISP设备684、本地网络680和通信接口 670发送用于特定应用的由从计算机600发送的消息请求的程序代码。接收的代码可以在其被接收时通过处理器602执行,或者可存储于存储器604或存储设备608或其他非易失性存储设备用于随后执行,或两者都可以。这样,计算机系统600可在载波上以信号的形式获得应用程序代码。各种形式的计算机可读介质可包含于向处理器602承载一个或多个指令或数据或两者中用于执行。例如,指令和数据可初始被承载在例如主机682的远程计算机的磁盘上。远程计算机将指令和数据加载至其动态存储器,并使用调制解调器在电话线上发送指令和数据。对于计算机系统600本地的调制解调器在电话线上接收指令和数据,并使用红外发送器将指令和数据转换成在用作网络链路678的红外载波上的信号。用作通信接口670的红外检测器接收在红外信号中承载的指令和数据,并将表示指令和数据的信息放在总线610上。总线610将信息承载至存储器604,处理器602从存储器604中提取并使用通过指令发送的一些数据执行指令。在处理器602执行之前或之后,存储器604中接收的指令和数据可选地可存储在存储设备608上。图7示出在上面可实现本发明实施例的芯片集700。芯片集700被编程为这里所述的ID联合网关,并且包括例如结合在一个或多个物理包(例如芯片)中的关于图6所述的处理器和存储器组件。作为示例,物理包包括结构配件(例如基板)上的一个或多个材料、组件、和/或布线的安排,以提供例如物理强度、尺寸的保持、和/或电交互的限制的一个或多个特征。可设想,某些实施例中,芯片集可以在单一芯片中实现。芯片集700、或其一部分构成用于执行ID联合网关的一个或多个步骤的部件。在一个实施例中,芯片集700包括在芯片集700的组件之间传递信息的例如总线701的通信机构。处理器703具有到总线701的连通性,以执行指令和处理例如在存储器705中存储的信息。处理器703可包括一个或多个处理核,其每个核被配置为独立执行。多核处理器使得能够在一个物理包中进行多处理。多核处理器的实例包括两个、四个、八个或更大数目个处理核。备选地或额外地,处理器703可包括一个或多个微处理器,其经由总线701串联配置为能够独立执行指令、流水线和多线程。处理器703还可伴随有执行某些处理功能和任务的一个或多个专用组件,例如一个或多个数字信号处理器(DSP) 707、或一个或多个专用集成电路(ASIC) 709。DSP 707典型地被配置为独立于处理器703实时处理真实世界的信号(例如声音)。类似地,ASIC 709可被配置为执行由通用处理器不容易执行的专用功能。辅助执行这里所述的发明功能的其他专用组件包括一个或多个场可编程门阵列(FPGA)(未示出)、一个或多个控制器(未示出)、或一个或多个其他专用计算机芯片 。处理器703和伴随组件具有经由总线701到存储器705的连通性。存储器705包括动态存储器(例如RAM、磁盘、可写光盘等)和静态存储器(例如R0M、CD-R0M等),用于存储可执行指令,其当执行时执行这里所述的用于ID联合网关的发明步骤。存储器705还存储与发明步骤的执行相关的数据或由其生成的数据。图8是根据本发明示例性实施例的能够在图I的系统中操作的移动站(例如手机)的示例性组件的视图。一些实施例中,移动终端800或其一部分构成用于执行ID联合网关的一个或多个步骤的部件。一般地,无线电接收器通常用前端和后端特征方面定义。接收器的前端涵盖所有射频(RF)电路,然而后端涵盖所有基带处理电路。本申请中,术语“电路”表示以下两者(1)仅硬件实现(例如仅模拟和/或数字电路中实现);(2)电路和软件的组合(和/或固件)(例如,如果适用于特定环境,处理器的组合,其包括数字信号处理器、软件、和存储器,它们在一起工作以使得装置(例如移动电话或服务器)执行各个功能)。“电路”的这个定义应用于本申请中这个方面的所有使用,包括任意权利要求。作为其他实例,如这个应用中使用的那样,如果适用于特定环境,术语“电路”还覆盖仅处理器(或多个处理器)及其(或它们的)伴随软件/固件的实现方式。术语“电路”还覆盖如果适合于特定环境,例如移动电话中的基带集成电路或应用处理器集成电路或蜂窝网络设备或其他网络设备中的类似集成电路。电话的持久性内部组件包括主控制单元(MCU) 803、数字信号处理器(DSP) 805、和接收器/发送器单元,其包括麦克风增益控制单元和扬声器增益控制单元。主显示器单元807在执行或支持ID联合网关的步骤的各个应用和移动站功能的支持下向用户提供显示。显示器807包括配置为显示移动终端(例如移动电话)的用户界面的至少一部分的显示器电路。此外,显示器807和显示器电路被配置为便于移动终端的至少一些功能的用户控制。音频功能电路809包括麦克风811和麦克风放大器,其放大来自麦克风811的音频信号输出。放大的来自麦克风811的音频信号输出被馈送至编码器/解码器(CODEC) 813。无线电站815放大功率和转换频率,以经由天线817与包括在移动通信系统中的基站通信。功率放大器(PA) 819和发送器/调制电路操作地响应于MCU 803,来自PA 819的输出耦合至本领域已知的双工器821或循环器或天线开关。PA 819还耦合至电池接口和功率控制单元820。在使用中,移动站801的用户向麦克风811中说话,并且他或她的语音与任意检测到的背景噪声一起转换成模拟电压。模拟电压然后通过模数转换器(ADC) 823转换成数字信号。控制单元803将数字信号路由至DSP805中用于其中的处理,例如语音编码、信道编码、加密、和交错。在示例性实施例中,通过未单独示出的单元,使用蜂窝传输协议(例如全球演进(EDGE )、通用分组无线业务(GPRS )、全球移动通信系统(GSM)、因特网协议多媒体子系统(IMS)、通用移动电信系统(UMTS)等)以及任意其他适合的无线介质(例如微波接入(WiMAX)、长期演进(LTE)网络、码分多址(CDMA)、宽带码分多址(WCDMA)、无线保真(WiFi )、卫星等)来编码处理后的语音信号。然后,编码的信号路由至均衡器825,用于补偿在通过空中接口的传输期间发生的任意频率依赖性的损害(例如相位和振幅失真)。在均衡比特流之后,调制器827将信号与RF接口 829中生成的RF信号结合。调制器827通过频率或相位调制生成正弦波。为了准备用于传输的信号,上变频器831将来自调制器827的正弦波输出与合成器833中生成的 另一正弦波结合,以实现期望的传输频率。然后,信号通过PA 819发送,以将信号增加至适当功率水平。在实践性系统中,PA 819用作可变增益放大器,其增益由DSP 805根据从网络基站接收的信息来控制。然后,信号在双工器821中滤波,并且可选地发送至天线耦合器835,以匹配阻抗,提高最大功率传送。最后,信号经由天线817发送至本地基站。可提供自动增益控制(AGC),以控制接收器的最后阶段的增益。信号可从那里转发至远程电话,其可以是另一蜂窝电话、其他移动电话或连接至供给交换电话网(PSTN)的陆上线路、或其他电话网络。向移动站801发送的语音信号经由天线817接收,并通过低噪声放大器(LNA)837立即放大。下变频器839降低载波频率,同时解调器841剥离RF,仅留下数字比特流。然后,信号经过均衡器825,并由DSP 805处理。数模转换器(DAC)843转换信号,并且得到的输出通过扬声器845发送至用户,所有都在主控制单元(MCU)803的控制下——其可作为中央处理单元(CPU)(未示出)来实现。MCU 803从键盘847接收包括输入信号的各个信号。键盘847和/或MCU 803与其他用户输入组件(例如麦克风811)结合,包括用于管理用户输入的用户接口电路。MCU803运行用户接口软件以便于对移动终端801的至少部分功能的用户控制,以提供ID联合网关。MCU 803还将显示命令和切换命令分别传送至显示器807和语音输出切换控制器。此外,MCU 803与DSP 805交换信息,并且可访问可选地并入的SM卡849和存储器851。此外,MCU 803执行终端的所需的各种控制功能。DSP 805可依据实现方式,对语音信号执行各种遗留数字处理功能中的任一个。此外,DSP 805从麦克风811检测的信号确定本地环境的背景噪声电平,并将麦克风811的增益设置为被选择以补偿移动站801的用户的自然倾向的电平。CODEC 813包括ADC 823和DAC 1143。存储器851存储各种数据,包括呼叫输入音调数据,并且能够存储其他数据,包括经由例如全球因特网接收的音乐数据。软件模块可位于RAM存储器、闪存、寄存器、或本领域已知的任意其他形式的可写存储装置中。存储器设备851可以是但不限于,单存储器、CD、DVD、R0M、RAM、EEPR0M、光存储装置、或能够存储数字数据的任意其他非易失性存储介质。可选地并入的SM卡849承载例如重要信息,如蜂窝电话号码、载波提供服务、订购细节、和安全信息。SM卡849主要用于识别无线电网络上的移动终端801。卡849还包含用于存储个人电话号码登记表、文本消息、和用户特定的移动终端设置的存储器。 尽管结合多个实施例和实施方案描述了本发明,但是本发明不限于此,可覆盖落入所附权利要求范围内的各种明显修改和等同配置。尽管在权利要求中以某些组合表示了本发明的特征,但是可设想,这些特征可按任意组合和顺序安排。
权利要求
1.一种包括便于访问接口以允许经由网络访问服务的方法,所述服务被配置为至少包括 确定与对特定网络资源的请求相关联的用户是将由所述特定服务的提供商还是将由不同方来识别; 如果所述用户将由不同方识别,则至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据;以及 如果所述数据指示所述用户被成功识别,则至少部分地使得基于所述识别数据的证书数据被发送至所述提供商的认证处理,以用于一个或多个网络资源的集合,所述集合包括由所述用户请求的特定网络资源。
2.如权利要求I所述的方法,其中确定用户是否将由所述提供商识别进一步包括 确定用户设备与由所述不同方进行的识别相关联; 确定所述用户设备何时连接至所述网络;以及 如果所述用户设备被确定已经连接至所述网络,则至少部分地使得指示所述不同方的供应数据被发送至所述用户设备,从而所述供应数据被包含于对所述特定服务的请求中。
3.如权利要求2所述的方法,其中确定所述用户设备何时连接至所述网络进一步包括 至少部分地使得定向至所述提供商的认证处理的初始消息转离所述认证处理;以及 解析所述初始消息以确定所述用户设备。
4.如权利要求1-3中任一项所述的方法,其中所述不同方是网络访问提供商。
5.如权利要求1-4中任一项所述的方法,其中至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据进一步包括 形成重定向请求,所述重定向请求被重定向至所述不同方并包括从所述不同方到所述服务的响应的单独重定向;以及 至少部分地使得所述重定向请求发送至用户设备。
6.如权利要求5所述的方法,其中至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据进一步包括响应于向所述用户设备发送重定向至所述不同方的重定向请求,接收所述识别数据。
7.如权利要求1-6中任一项所述的方法,其中至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据进一步包括 至少部分地使得向所述用户设备发送用户接口,所述用户接口呈现对用户输入的提示以用于所述不同方识别所述用户;以及 至少部分地使得基于对所述用户接口的提示的用户响应向所述不同方发送数据。
8.如权利要求7所述的方法,其中至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据进一步包括响应于基于用户响应向所述不同方发送所述数据,接收所述识别数据。
9.一种装置,包括 至少一个处理器;以及 至少一个存储器,存储器包括计算机程序代码, 所述至少一个存储器以及所述计算机程序代码被配置为利用所述至少一个处理器,致使所述装置至少执行以下内容 确 定与对特定网络资源的请求相关联的用户是将由所述特定服务的提供商还是将由不同方来识别; 如果所述用户是将由不同方识别,则至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据;以及 如果所述数据指示所述用户被成功识别,则至少部分地使得基于所述识别数据的证书数据被发送至所述提供商的认证处理,以用于一个或多个网络资源的集合,所述集合包括由所述用户请求的特定网络资源。
10.如权利要求9所述的装置,其中确定用户是否将由所述提供商识别进一步包括 确定用户设备与由所述不同方进行的识别相关联的; 确定所述用户设备何时连接至所述网络;以及 如果所述用户设备连接至所述网络,则至少部分地使得指示所述不同方的供应数据被发送至所述用户设备,从而所述供应数据被包含于对所述特定服务的请求中。
11.如权利要求10所述的装置,其中确定所述用户设备何时连接至所述网络进一步包括 至少部分地使得定向至所述提供商的认证处理的初始消息转离所述认证处理;以及 解析所述初始消息以确定所述用户设备。
12.如权利要求9-11中任一项所述的装置,其中所述不同方是网络访问提供商。
13.如权利要求9-12中任一项所述的装置,其中至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据进一步包括 形成重定向请求,所述重定向请求被重定向至所述不同方并包括从所述不同方到所述装置的响应的单独重定向;以及 至少部分地使得所述重定向请求被发送至所述用户设备。
14.如权利要求9-13中任一项所述的装置,其中至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据进一步包括 至少部分地使得向所述用户设备发送用户接口,所述用户接口呈现对用户输入的提示以用于所述不同方识别所述用户;以及 至少部分地使得基于对所述用户接口的提示的用户响应向所述不同方发送数据。
15.如权利要求10-14中任一项所述的装置,其中所述用户设备是移动电话进一步包括 用户接口电路和用户接口软件,被配置为通过显示器的使用来促使进行对所述移动电话的至少一部分功能的用户控制并且备配置为对用户输入进行响应;以及 显示器和显示器电路,被配置为显示所述移动电话的用户接口的至少一部分,所述显示器和显示器电路被配置为促使进行对所述移动电话的至少一部分功能的用户控制。
16.一种计算机可读存储介质,承载一个或多个指令的一个或多个序列,当被一个或多个处理器执行时所述一个或多个指令的一个或多个序列使得装置至少执行以下步骤 确定与对特定网络资源的请求相关联的用户是将由所述特定服务的提供商还是将由不同方来识别; 如果所述用户是将由所述不同方识别,则至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据;以及 如果所述数据指示所述用户被成功识别,则至少部分地使得基于所述识别数据的证书数据被发送至所述提供商的认证处理,以用于一个或多个网络资源的集合,所述集合包括由所述用户请求的特定网络资源。
17.如权利要求16所述的计算机可读存储介质,其中确定用户是否将由所述提供商识别进一步包括 确定用户设备与由所述不同方进行的识别相关联; 确定所述用户设备何时连接至所述网络;以及 如果所述用户设备连接至所述网络,则至少部分地使得指示所述不同方的供应数据被发送至所述用户设备,从而所述供应数据被包含于对所述特定服务的请求中。
18.如权利要求16-17中任一项所述的计算机可读存储介质,其中所述不同方是网络访问提供商。
19.如权利要求16-18中任一项所述的计算机可读存储介质,其中至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据进一步包括 形成重定向请求,所述重定向请求被重定向至所述不同方并包括从所述不同方到所述装置的响应的单独重定向;以及 至少部分地使得所述重定向请求被发送至所述用户设备。
20.如权利要求16-19中任一项所述的计算机可读存储介质,其中至少部分地使得所述不同方提供指示用于所述用户的身份的识别数据进一步包括 至少部分地使得向所述用户设备发送用户接口,所述用户接口呈现对用户输入的提示以用于不同方识别所述用户;以及 至少部分地使得基于对所述用户接口的提示的用户响应向所述不同方发送数据。
21.一种装置,包括用于执行权利要求1-8中任一项的方法的部件。
22.—种计算机程序产品,包括一个或多个指令的一个或多个序列,当被一个或多个处理器执行时所述一个或多个指令的一个或多个序列使得装置至少执行根据权利要求1-8中的任一项的方法的步骤。
23.一种方法,包括促进访问至少一个接口,所述至少一个接口被配置为允许访问至少一个服务,所述至少一个服务被配置为执行权利要求1-8中的任一项的方法。
24.一种方法,包括促进创建和/或促进修改至少一个设备用户接口元件和/或功能单元,所述至少一个设备用户接口元件和/或功能单元至少部分地基于 从权利要求1-8中的任一项的方法得到的数据和/或信息;和/或 从权利要求1-8中的任一项的方法得到的至少一个信号。
25.一种方法,包括创建和/或修改至少一个设备用户接口元件和/或功能单元,所述至少一个设备用户接口元件和/或功能对于至少部分地基于 从权利要求1-8中的任一项的方法得到的数据和/或信息;和/或 从权利要求1-8中的任一项的方法得到的至少一个信号。
全文摘要
用于ID联合网关的技术,包括确定与对特定网络资源的请求相关联的用户是将由特定服务的提供商还是将由不同方来识别。该服务进一步包括如果该用户是将由不同方识别,则使得不同方提供识别数据,该识别数据指示用于该用户的身份。该方法进一步包括如果该数据指示用户被成功识别,则使得基于该识别数据的证书数据被发送至提供商的认证处理,以用于一个或多个网络资源的集合,该集合包括由该用户请求的特定网络资源。
文档编号H04L29/06GK102823218SQ201180010275
公开日2012年12月12日 申请日期2011年2月10日 优先权日2010年2月19日
发明者J·奥特拉宁, J·A·P·莫诺宁, J·M·皮克宁, P·A·兰提艾宁 申请人:诺基亚公司