用于認(rèn)證無線單元的用戶的方法和系統(tǒng)的制作方法
【專利說明】用于認(rèn)證無線單元的用戶的方法和系統(tǒng)
[0001] 相關(guān)申請的交叉引用
[0002] 本申請要求享有2012年7月13日提交的申請?zhí)枮?1/671����,419的美國臨時專利 申請的權(quán)益,該申請的內(nèi)容整體在此結(jié)合作為參考�。
【背景技術(shù)】
[0003] 針對移動設(shè)備(例如移動電話)的認(rèn)證通常包括可促使共享的秘密存儲在設(shè)備的 通用集成電路卡扣ICC)中的質(zhì)詢和響應(yīng)機(jī)制。一些認(rèn)證不設(shè)及用戶W使得用戶的體驗是 無縫的���。該種認(rèn)證假定有權(quán)的擁有者占有存儲在設(shè)備內(nèi)的UICC�����。例如�����,如果設(shè)備丟失或被 盜��,則因為網(wǎng)絡(luò)可W認(rèn)證預(yù)訂而不是設(shè)備(或服務(wù))的用戶(或訂戶)����,所W所述UICC-直 可W使用?��?蒞通過使得用戶參與到需要認(rèn)證的每個會話中來減少未授權(quán)的用戶對設(shè)備的 使用���。例如����,會話可W請求用戶輸入口令和/或個人識別碼(pin)。該種會話通常使得用戶 的認(rèn)證體驗麻煩��,并且用戶可W用弱口令和/或個人識別碼(例如1234或aaaa)來進(jìn)行響 應(yīng)��。該種個人識別碼和口令容易記憶和輸入�,該會使得口令容易被猜中。弱口令和個人識 別碼通常增加了用戶接入服務(wù)或應(yīng)用的認(rèn)證負(fù)擔(dān)��,而不會為用戶增加安全性。另外�����,從安全 性風(fēng)險的角度來看�,服務(wù)并不是同等敏感的,并且因此服務(wù)可能需要不同水平的安全性���。
【發(fā)明內(nèi)容】
[0004] 在該里公開了用于認(rèn)證無線發(fā)射/接收單元(WTRU)的用戶的系統(tǒng)��、方法和設(shè)備 實施方式�����,該WTRU可W稱為用戶設(shè)備扣E)�,但不限于此���。例如��,WTRU可W獲得用戶認(rèn)證的 強(qiáng)度的測量�、并且基于用戶認(rèn)證強(qiáng)度測量來產(chǎn)生斷言(assertion)��。基于所述斷言��,WTRU 的用戶可W經(jīng)由所述WTRU來接收針對資源的接入�。所述斷言可W包括用戶認(rèn)證的新鮮度 (化eshness)的指示。WTRU還可W獲得WTRU(例如用戶擁有的設(shè)備)的強(qiáng)度的測量���,并且 WTRU可W進(jìn)一步基于WTRU認(rèn)證強(qiáng)度測量來產(chǎn)生斷言�����。另外����,斷言可W包括WTRU認(rèn)證的新 鮮度的指示�。斷言可W包括多個用戶認(rèn)證因素或多個WTRU (或其他設(shè)備)認(rèn)證因素。此外�����, 斷言可W是否定斷言��,并且從而可W基于否定斷言來限制所接收到的接入����。
[0005] 在一個實施方式中,用戶經(jīng)由WTRU來請求針對受接入控制實體(AC巧控制的服務(wù) 的接入����。向用戶認(rèn)證器和斷言功能扣AAF)認(rèn)證用戶,產(chǎn)生結(jié)果���。向ACE提供用戶斷言,該用 戶斷言包括用戶認(rèn)證結(jié)果W及與用戶認(rèn)證相關(guān)聯(lián)的用戶保證水平��。用戶斷言還可W包括與 用戶認(rèn)證相對應(yīng)的用戶新鮮度水平���。向設(shè)備認(rèn)證器和斷言功能值A(chǔ)A巧認(rèn)證WTRU�����,產(chǎn)生相關(guān) 聯(lián)的設(shè)備認(rèn)證結(jié)果�����?���?蒞向ACE提供設(shè)備斷言�����,該設(shè)備斷言包括設(shè)備認(rèn)證結(jié)果W及與設(shè)備 認(rèn)證相關(guān)聯(lián)的設(shè)備保證水平。設(shè)備斷言還可W包括與設(shè)備認(rèn)證相對應(yīng)的設(shè)備新鮮度水平����。 可W將斷言綁定在一起W創(chuàng)建綁定斷言?�?蒞向ACE提供綁定斷言�����,從而用戶經(jīng)由WTRU接 收針對所請求的服務(wù)的接入���。
[0006] 在另一示例性實施方式中�,斷言可W包括否定斷言�����。否定斷言可W指示認(rèn)證失敗����。 例如�,否定用戶斷言可W指示用戶與UAAF之間的認(rèn)證的結(jié)果是否定的。響應(yīng)于否定斷言, 用戶和/或WTRU可W接收針對服務(wù)的受限的接入或無接入�。可W基于存儲的保證和新鮮度 水平來授權(quán)受限的接入����。受限的接入可w指代大于無接入、但是少于無限接入的接入��?���??定斷言可W指示認(rèn)證成功。例如��,肯定用戶斷言可W指示向UAAF認(rèn)證了用戶��,產(chǎn)生了肯定 的結(jié)果�。用戶與UAAF之間的認(rèn)證的結(jié)果可W基于多個認(rèn)證因素。例如���,認(rèn)證因素可W包括 指示用戶的認(rèn)知(knowledge)的信息�、用戶的一個或多個生理特征��、和/或用戶的一個或多 個行為特征���。認(rèn)證因素還可W包括肥的特征�����。
[0007] 在再一個示例性實施方式中���,如果保證水平和/或新鮮度水平未處于可接受的范 圍內(nèi)��,則用戶和/或UE可W接收針對服務(wù)的受限的接入��,和/或因為新鮮度水平是不可接 受的(例如證書可能已經(jīng)期滿)��,用戶和/或WTRU可W被重新認(rèn)證����。每個水平的可接受范 圍(或闊值)可W基于由提供服務(wù)的服務(wù)供應(yīng)商確定的一個或多個策略���。服務(wù)供應(yīng)商可W 受ACE的控制���,并且可W向用戶/WTRU提供服務(wù)。在另一示例性實施方式中����,UAAF和DAAF 可W用作單個AAF���。UAAF和DAAF可W與彼此位于同一位置����,或者可W單獨地定位。例如�, UAAF可W駐留在WTRU上,而DAAF可W與ACE位于網(wǎng)絡(luò)的服務(wù)器上的同一位置����。AAF可W 發(fā)送單個斷言至ACE,該ACE將從UAAF接收的用戶認(rèn)證結(jié)果與從DAAF接收的設(shè)備認(rèn)證結(jié)果 結(jié)合����。在另一示例性實施方式中,AAF可W與UAAF和DAAF分離駐留�,其中AAF管理和映射 用戶和設(shè)備的標(biāo)識,并調(diào)用UAAF和DAAF W分別用于執(zhí)行用戶認(rèn)證和設(shè)備認(rèn)證���。AAF可 類似于主要標(biāo)識供應(yīng)商(IdP)的角色運行���,該主要標(biāo)識供應(yīng)商(Id巧指的是可W將來自各 個標(biāo)識供應(yīng)商的認(rèn)證結(jié)果結(jié)合的IdP。因此��,AAF可W將從UAAF和DAAF接收的認(rèn)證結(jié)果結(jié) 合并將單個斷言與相應(yīng)的保證和新鮮度水平一起提供給ace。
【附圖說明】
[000引可從W下描述中獲取更詳細(xì)的理解�����,該些描述是結(jié)合附圖通過舉例給出的,其 中:
[0009] 圖1是根據(jù)一個示例性實施方式的實施服務(wù)器上匹配的認(rèn)證的系統(tǒng)的框圖�����;
[0010] 圖2是根據(jù)一個示例性實施方式的實施基于服務(wù)器上匹配和設(shè)備上匹配的組合 的認(rèn)證的系統(tǒng)的框圖���;
[0011] 圖3A是根據(jù)一個示例性實施方式的用于接入可能需要用戶和設(shè)備認(rèn)證的服務(wù)的 流程圖;
[0012] 圖3B是根據(jù)另一示例性實施方式的用于接入可能需要用戶和設(shè)備認(rèn)證的服務(wù)的 另一流程圖��;
[0013] 圖4是根據(jù)一個示例性實施方式的實施使用通用自展炬ootstrap)架構(gòu)佑BA)認(rèn) 證和斷言的服務(wù)器上匹配實施的系統(tǒng)的框圖�����;
[0014] 圖5是根據(jù)另一個示例性實施方式的實施圖4所示的使用說明性GBA認(rèn)證和斷言 的設(shè)備上匹配實施的系統(tǒng)的框圖���;
[0015] 圖6是根據(jù)一個示例性實施方式的說明GBA和本地用戶認(rèn)證的組合的流程圖�����;
[0016] 圖7是根據(jù)一個示例性實施方式的使用GBA綁定用戶認(rèn)證證書的流程圖�����;
[0017] 圖8A是一個示例性通信系統(tǒng)的系統(tǒng)圖��,在該通信系統(tǒng)中可W實施所公開的一個 或多個實施方式���;
[001引圖8B是可W在圖8A所示的通信系統(tǒng)中使用的一個示例性無線發(fā)射/接收單元 (WTRU)的系統(tǒng)圖���;W及
[0019] 圖8C是可w在圖8A所示的通信系統(tǒng)中使用的一個示例性無線電接入網(wǎng)和示例性 核屯、網(wǎng)的系統(tǒng)圖���。
【具體實施方式】
[0020] 下面的詳細(xì)描述是為了說明示例性實施方式而提供的�����,而不是用于限制本發(fā)明的 范圍�、可應(yīng)用性、或配置�����。在不偏離本發(fā)明的精神和范圍的情況下�,在元件和步驟的功能和 布置中可W進(jìn)行各種改變�。
[0021] 如該里所述��,可W向服務(wù)提供實體提供安全性關(guān)聯(lián)的特征W進(jìn)行認(rèn)證或重新認(rèn) 證�����,該服務(wù)提供實體還可W稱為服務(wù)供應(yīng)商(S巧�����??蒞通過使用本地確定的過程和/或網(wǎng) 絡(luò)輔助的過程來提供該些特征。在一個實施方式中,可W為用戶設(shè)備扣巧開發(fā)安全性關(guān)聯(lián) 的現(xiàn)有或過期特征W向SP重新認(rèn)證和/或重新發(fā)送密鑰。該里使用的術(shù)語用戶設(shè)備扣E) 可W指代連接到網(wǎng)絡(luò)服務(wù)的任意合適的無線發(fā)射/接收單元(WTRU)或設(shè)備����,但不限于此。 該種重新認(rèn)證或重新發(fā)送密鑰可W為肥提供針對SP提供的服務(wù)的有限或無限的接入。服 務(wù)也可W稱為資源��,并且因此SP也可W稱為資源供應(yīng)商�����,但不限于此。
[0022] 在該里描述的一個示例性實施方式中,創(chuàng)建���、存儲����、獲取或傳送了描述安全性關(guān)聯(lián) 的特征,也可W稱為參數(shù)或安全性屬性����。安全性關(guān)聯(lián)可W指代在支持網(wǎng)絡(luò)實體之間的安全 通信的至少兩個網(wǎng)絡(luò)實體之間共享的安全性屬性����。例如��,肥和SP(例如網(wǎng)站)可W具有與 彼此之間的特定安全性關(guān)聯(lián)。安全性關(guān)聯(lián)的示例性參數(shù)包括但不限于:指示安全性關(guān)聯(lián)的 新鮮度的參數(shù)����、指示安全性關(guān)聯(lián)的保證水平的參數(shù)�、指示在創(chuàng)建安全性關(guān)聯(lián)過程中使用的 認(rèn)證因素的參數(shù)�����、W及描述安全性關(guān)聯(lián)的存儲和/或獲取的參數(shù)�。如該里所述,可W在肥 本地得到和/或存儲特征(參數(shù))。在一個示例性實施方式中���,特征(參數(shù))是在網(wǎng)絡(luò)輔助 下得到的��。在該里描述的另一個示例性實施方式中�����,用于提供有限接入(例如針對服務(wù)的 有限接入)的否定斷言可W基于保證和/或新鮮度水平����。
[0023] 如該里所使用的�����,保證水平可W指代認(rèn)證強(qiáng)度的測量�。例如�����,保證水平可W對應(yīng)于 用戶認(rèn)證和/或設(shè)備認(rèn)證,并且保證水平可W至少部分由多個認(rèn)證因素來確定����。新鮮度水 平可W指代認(rèn)證新鮮度的指示。例如��,新鮮度水平可W基于認(rèn)證發(fā)生的時間�。新鮮度水平 可W對應(yīng)于用戶認(rèn)證和/或設(shè)備認(rèn)證。
[0024] 舉例來說�����,不希望記住或輸入口令的用戶可W將口令(例如用戶名口令)存儲在 瀏覽器中W用于進(jìn)行基于瀏覽器的應(yīng)用認(rèn)證���。該種存儲的口令可W認(rèn)證瀏覽器而不是用 戶��。在單點登錄(SSO)實施中���,如果標(biāo)識供應(yīng)商(Id巧服務(wù)不可用或不能從資源供應(yīng)商側(cè) 或從用戶側(cè)得到,則可W減少用戶針對一個服務(wù)或多個服務(wù)的接入。
[0025] 在該里描述的不同實施方式中�����,一個或多個標(biāo)識供應(yīng)商(Id巧可W執(zhí)行認(rèn)證用 戶(例如使用用戶知道什么��、用戶具有什么�、和/或用戶是什么)所需的認(rèn)證和斷言功能 (AAF)���。服務(wù)供應(yīng)商針對服務(wù)的授權(quán)接入的決定可W基于由SP管理的策略��。該種SP可W 受到接入控制實體(ACE)(例如網(wǎng)絡(luò)應(yīng)用功能(NA巧或中繼方(RP)/客戶端)的控制�。服 務(wù)供應(yīng)商可能需要多個認(rèn)證因素和/或可能的認(rèn)證因素的子集��。
[0026] 在一個示例性實施方式中��,可能需要用戶和/或肥向ACE提供關(guān)于用戶和/或肥 認(rèn)證的某些特征(例如保證水平�、新鮮度水平、得到的安全性關(guān)聯(lián)等等)���。該種實施方式可 W提供靈活性����,該是因為例如用戶和/或肥不必經(jīng)受完整的認(rèn)證、并且可W斷言包括合適 的新鮮度水平和/或保證水平的較早執(zhí)行的認(rèn)證�。
[0027] 該里描述執(zhí)行斷言標(biāo)識的的認(rèn)證協(xié)議的認(rèn)證和斷言功能(AAF)。AAF還可W提供 (例如向ACE提供)與認(rèn)證協(xié)議相對應(yīng)的保證水平和新鮮度水平���。根據(jù)一個示例性實施方 式�����,AAF能夠使用例如但不限于W下因素來進(jìn)行認(rèn)證�����;用戶可W知道的信息(例如基于認(rèn) 知的認(rèn)證)�����;用戶的生理特征��;用戶的行為特征�����;W及用戶的占有物(possession)(例如設(shè) 備����、肥、硬件令牌�、UICC等等)。為了使得ACE授權(quán)用戶和/或肥接入服務(wù)����,可W執(zhí)行前述 的認(rèn)證因素或其組合,AAF可W將與每個認(rèn)證相關(guān)聯(lián)的保證水平和新鮮度水平傳遞給ACE��。 [002引可W基于設(shè)備的能力或服務(wù)網(wǎng)絡(luò)的能力來不同地實施認(rèn)證和斷言�����。例如����,該里描 述"服務(wù)器上匹配"實現(xiàn)和"設(shè)備上匹配"實現(xiàn)�。其他實施方式可W基于"服務(wù)器上匹配"和 "設(shè)備上匹配"實現(xiàn)的組合。服務(wù)器上匹配指代執(zhí)行基于網(wǎng)絡(luò)的認(rèn)證或遠(yuǎn)程認(rèn)證所使用的方 式�。針對網(wǎng)絡(luò)服務(wù)器的認(rèn)證和針對郵件服務(wù)器的認(rèn)證是服務(wù)器上匹配實現(xiàn)的示例。
[0029] 在實施服務(wù)器上匹配實現(xiàn)的示例性實施方式中���,AAF位于網(wǎng)絡(luò)上(例如位于服務(wù) 器上)����。在實施設(shè)備上匹配實現(xiàn)的實施方式中,AAF位于本地設(shè)備上�����,其可W稱為無線發(fā)射 /接收單元(WTRU)或肥�����。在另一實施方式中�����,本地認(rèn)證功能可W是由網(wǎng)絡(luò)服務(wù)器實體提供 的基于網(wǎng)絡(luò)服務(wù)器的代理功能���。在一個示例性實施方式中�����,一旦AAF的認(rèn)證成功�,AAF就向 ACE斷言實體(例如用戶或設(shè)備)的標(biāo)識�。AAF可W提供(例如向ACE提供)與認(rèn)證相對 應(yīng)的保證水平和/或新鮮度水平。例如���,如果存在未成功的認(rèn)證��,則可W將未成功認(rèn)證的結(jié) 果傳遞給ACE����。ACE可W使用該結(jié)果來將實體(例如用戶或設(shè)備)的未成功嘗試記入日志, 并且來自該實體的進(jìn)一步的服務(wù)請求可W基于日志記錄的未成功的嘗試���。
[0030] 圖1是根據(jù)一個示例性實施方式的實施服務(wù)器上匹配的認(rèn)證的系統(tǒng)100的框圖�。 參考圖1�,用戶104可W使用用戶設(shè)備102來請求來自ACE 106的針對服務(wù)的接入。ACE 106 可W要求用戶104和設(shè)備102在服務(wù)接入被授權(quán)之前被認(rèn)證�。
[0031] 根據(jù)所示出的實施方式�����,用戶認(rèn)證器和斷言功能扣_AAF) 108用于向ACE 106認(rèn)證 和斷言用戶的標(biāo)識����。例如,參考110,用戶104在由設(shè)備102托管的用戶證書輸入表112中 輸入用戶名/ 口令�����。在114處�,用戶104基于在用戶證書輸入表112中輸入的證書而被U_ AAF 108認(rèn)證���。在116處,向ACE106斷言用戶認(rèn)證���。另外�����,在116處�,可W經(jīng)由U_AAF 108 將與用戶認(rèn)證相對應(yīng)的新鮮度水平和/或保證水平傳遞給ACE 106��。在示例性實施方式中�����, U_AAF 108是由IdP例如開放ID標(biāo)識供應(yīng)商(0P)來實現(xiàn)的�,但是可W理解U_AAF也可W 根據(jù)需要由其他實體來實現(xiàn)。例如U_AAF 108可W由0P(例如WWW. google, com or WWW. facebook.com)內(nèi)的實體來實現(xiàn)��。在另一示例性實施方式中��,移動網(wǎng)絡(luò)運營商(MNO)(例如 AT&T�、德國電信等等)用作IdP并且托管U_AAF 108。
[003引根據(jù)所示出的實施方式���,設(shè)備認(rèn)證器和斷言功能值_AAF) 118可W用于向ACE 106 認(rèn)證和斷言設(shè)備102的標(biāo)識���。例如�,參考120,設(shè)備102通過使用一個或多個設(shè)備/UICC證 書122而被向D_AAF 118進(jìn)行認(rèn)證����。如該里所述,設(shè)備104通過使用通用自展架構(gòu)(GBA) 協(xié)議或證書而被認(rèn)證����,但是應(yīng)當(dāng)理解設(shè)備104也可W根據(jù)需要通過使用其他認(rèn)證協(xié)議而被 認(rèn)證�。在124處��,向ACE 106斷言設(shè)備認(rèn)證���。另外,在124處��,可W經(jīng)由D_AAF 118將與設(shè) 備認(rèn)證相對應(yīng)的保證水平和/或新鮮度水平傳遞給ACE 106�。定義為通用自展架構(gòu)(GBA) 的自展服務(wù)器功能炬S巧或網(wǎng)絡(luò)應(yīng)用功能(NA巧可W實現(xiàn)D_AAF 118,但是可W理解實施方 式并不限于此。在示例性實施方式中��,D_AAF 118位于運營商網(wǎng)絡(luò)(例如AT&T、Verizon��、德 國電信等等)內(nèi)����。在另一示例性實施方式中,設(shè)備IdP(例如Apple)托管和提供D_AAF 118 并且為設(shè)備102(例如iPhone)的標(biāo)識擔(dān)保�����。設(shè)備IdP可W托管和提供D_AAF118(例如在 設(shè)備IdP與設(shè)備102之間和設(shè)備IdP與ACE 106之間存在信任的情況下)�����。
[0033] 單個實體可W實現(xiàn)U_AAF 108和0_44�����。118,并且因而實體可W稱為認(rèn)證器和斷 言功能(AAF)���。AAF可W執(zhí)行多個認(rèn)證(例如基于認(rèn)知的����、基于設(shè)備的����、生理的����、行為的認(rèn) 證)��。根據(jù)一個示例性實施方式�,AAF可W執(zhí)行U_AAF 108和D_AAF 118,