專利名稱：用于可信聯(lián)合標(biāo)識(shí)的方法和裝置的制作方法
用于可信聯(lián)合標(biāo)識(shí)的方法和裝置交叉引用本申請(qǐng)要求享有2010年5月28日提交的名為“Identity Management on aCommunications Device (通信設(shè)備上的標(biāo)識(shí)管理)”的申請(qǐng)?zhí)枮?1/396，602的美國(guó)臨時(shí)專利申請(qǐng)、以及2010年2月9日提交的名為“Method and Apparatus for ImplementingLocal and Mobile OpenID Provider(用于實(shí)施本地和移動(dòng)OpenID供應(yīng)方的方法和裝置)”的申請(qǐng)?zhí)枮?1/302，890的美國(guó)臨時(shí)專利申請(qǐng)的優(yōu)先權(quán)，其中這些申請(qǐng)的內(nèi)容在這里全部引入作為參考。
背景技術(shù)：
因特網(wǎng)用戶通常具有多個(gè)可以用于用戶認(rèn)證的用戶名和密碼，以便接入多個(gè)網(wǎng)站。例如，因特網(wǎng)用戶可以具有用于接入諸如Facebook之類的社交網(wǎng)站的用戶名/密碼組 合，以及另一個(gè)用于接入諸如Gmail之類的電子郵件站點(diǎn)的用戶名/密碼組合。雖然具有多個(gè)用戶名/密碼組合有可能是用戶認(rèn)證所必需的，但是因特網(wǎng)用戶可能會(huì)發(fā)現(xiàn)，要想記憶每一個(gè)用戶名/密碼組合是很麻煩的。例如，因特網(wǎng)用戶有可能遺忘其在某個(gè)網(wǎng)站的用戶名/密碼組合，并且將無(wú)法接入該網(wǎng)站。為使因特網(wǎng)用戶的用戶認(rèn)證不再那么麻煩，目前已經(jīng)提出了諸如開(kāi)放ID(OpenID)之類的單點(diǎn)登錄(SSO)解決方案。但是，在將SSO作為網(wǎng)絡(luò)(web)服務(wù)實(shí)施的時(shí)候存在著一些缺陷。例如，用戶有可能不具有至基于網(wǎng)絡(luò)的SSO供應(yīng)方的安全信道。此外，用戶對(duì)SSO供應(yīng)方的控制有可能是很有限的。此外，SSO中的認(rèn)證有可能產(chǎn)生通過(guò)空中接口的通信，這樣則有可能因?yàn)樵黾拥臉I(yè)務(wù)而對(duì)網(wǎng)絡(luò)實(shí)體(即OpenID供應(yīng)方(0P或NAF)以及網(wǎng)絡(luò)本身產(chǎn)生負(fù)荷。另外，移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)可能不得不承擔(dān)這個(gè)附加業(yè)務(wù)和處理的成本。

發(fā)明內(nèi)容
在本申請(qǐng)中，我們描述了允許在可信環(huán)境中實(shí)現(xiàn)本地和分布式單點(diǎn)登錄(SSO)供應(yīng)方的實(shí)施方式，其中舉例來(lái)說(shuō)，所述可信環(huán)境可以是智能卡、無(wú)線智能電話、H(e)NB或其他類型的設(shè)備。單點(diǎn)登錄供應(yīng)方可以是OpenID供應(yīng)方、基于自由聯(lián)盟或坎塔拉倡議(Kantara Initiative)的標(biāo)識(shí)供應(yīng)方、使用安全斷言標(biāo)記語(yǔ)言(SAML)的標(biāo)識(shí)供應(yīng)方、開(kāi)放認(rèn)證(OAUTH)供應(yīng)方等等。本申請(qǐng)?zhí)峁┝撕芏嗖煌桨讣捌鋵?shí)施選項(xiàng)。雖然描述的概念有可能是在OpenID協(xié)議的上下文中的，但是這些思想可以擴(kuò)展到其他的單點(diǎn)登錄(SSO)協(xié)議和/或聯(lián)合標(biāo)識(shí)協(xié)議。在一個(gè)示例實(shí)施方式中，用戶環(huán)境可以用于啟用開(kāi)放管理安全協(xié)議，以使可依賴方(RP)能對(duì)用戶進(jìn)行認(rèn)證。該用戶環(huán)境可以包括用戶接口，該用戶接口使用單點(diǎn)登錄安全協(xié)議來(lái)與RP進(jìn)行通信，以便代表用戶來(lái)請(qǐng)求接入RP提供的服務(wù)，其中RP可以處于用戶環(huán)境之外，并且可以與單點(diǎn)登錄證書的可信供應(yīng)方進(jìn)行通信，以便發(fā)起用戶認(rèn)證；以及
處理器，例如可信的計(jì)算環(huán)境，其在用戶環(huán)境內(nèi)部為可信供應(yīng)方認(rèn)證用戶，該處理器被配置成在本地執(zhí)行單點(diǎn)登錄證書供應(yīng)方的至少一些功能，以便在認(rèn)證過(guò)程期間限制用戶環(huán)境以外的通信。在另一個(gè)示例實(shí)施方式中，方法可以用于保護(hù)用戶環(huán)境和/或本地?cái)嘌?assertion)實(shí)體(LAE),以便在OpenID之類的開(kāi)放管理安全協(xié)議中為可依賴方(RP)認(rèn)證用戶。該方法可以包括經(jīng)由用戶接口接收來(lái)自RP的重定向(redirect),其中該RP希望對(duì)用戶進(jìn)行認(rèn)證，該RP能夠與諸如OpenID供應(yīng)方(OP)之類的單點(diǎn)登錄(SSO)證書的可信供應(yīng)方進(jìn)行通信；通過(guò)用戶接口接收來(lái)自用戶的用戶證書；使用接收到的用戶證書來(lái)為RP認(rèn)證用戶，以便在本地執(zhí)行諸如OP之類的SSO證書的可信供應(yīng)方的至少一些功能，從而在認(rèn)證過(guò)程期間限制用戶環(huán)境以外的通信；以及
經(jīng)由用戶接口來(lái)將認(rèn)證響應(yīng)傳送到RP。本發(fā)明內(nèi)容是為了以簡(jiǎn)化形式引入眾多概念而被提供的，并且在以下的詳細(xì)描述中將會(huì)進(jìn)一步描述這些概念。本發(fā)明內(nèi)容的目的并不是標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或基本特征，也不試圖用于限制所要求保護(hù)的主題的范圍。此外，所要求保護(hù)的主題并不受限于解決了在本公開(kāi)文本的任何部分中指出的任意或所有缺陷的實(shí)施方式。


更詳細(xì)的理解可以從以下結(jié)合附圖并借助示例給出的描述中得到，其中圖IA示出的是可以實(shí)施所公開(kāi)的一個(gè)或多個(gè)實(shí)施方式的示例通信系統(tǒng)。圖IB示出的是可以實(shí)施所公開(kāi)的一個(gè)或多個(gè)實(shí)施方式的示例無(wú)線發(fā)射/接收單
J Li ο圖IC示出的是可以實(shí)施所公開(kāi)的一個(gè)或多個(gè)實(shí)施方式的示例系統(tǒng)無(wú)線電接入網(wǎng)絡(luò)。圖2示出的是在標(biāo)識(shí)供應(yīng)方與服務(wù)供應(yīng)方之間交換認(rèn)證和數(shù)據(jù)的SAML協(xié)議流程。圖3示出的是允許用戶使用單個(gè)OP登錄到不同可依賴方站點(diǎn)的OpenID協(xié)議流程。圖4示出的是為SSO協(xié)議提供可信計(jì)算環(huán)境上的集成OP的協(xié)議流程的示例實(shí)施方式。圖5示出的是為SSO協(xié)議提供可信計(jì)算環(huán)境上的集成OP的協(xié)議流程的示例實(shí)施方式。圖6示出的是用于基于關(guān)聯(lián)的通信的OpenID協(xié)議流程。圖7示出的是用于無(wú)狀態(tài)簽名核驗(yàn)(verify)的OpenID協(xié)議流程。圖8示出的是將BONDI與基于關(guān)聯(lián)的OpenID相集成的示例實(shí)施方式。圖9示出的是將BONDI與無(wú)狀態(tài)簽名核驗(yàn)相集成的示例實(shí)施方式。圖10示出的是啟用拆分(split) OP的示例實(shí)施方式。圖11示出的是啟用拆分OP的另一個(gè)示例實(shí)施方式。圖12示出的是在GBA架構(gòu)中使用的BSF功能。圖13示出的是GBA架構(gòu)概述。
圖14示出的是來(lái)自3GPP TS 33. 220的GBA參考模塊。圖15示出的是來(lái)自3GPP TS 33. 220的訪問(wèn)網(wǎng)絡(luò)NAF的參考模塊。圖16示出的是用于自由(Liberty)/GBA的架構(gòu)方案。圖17示出的是供用于MMO支持的標(biāo)識(shí)斷言的GBA使用的示例實(shí)施方式。圖18示出的是啟用拆分OP的另一個(gè)示例實(shí)施方式。圖19示出的是啟用拆分終端/本地OpenId的示例實(shí)施方式。圖20示出的是標(biāo)準(zhǔn)的OpenID協(xié)議。圖21示出的是來(lái)自3GPP TR 33. 924v9. I. O的OpenlD/GBA的業(yè)務(wù)流程。
圖22示出的是用于減小空中業(yè)務(wù)的協(xié)議流程的示例實(shí)施方式。圖23示出的是用于SCWS上的OP的內(nèi)部路由的示例實(shí)施方式。圖24示出的是允許RP使用無(wú)狀態(tài)模式來(lái)執(zhí)行OpenID認(rèn)證的協(xié)議流程的示例實(shí)
施方式。圖25示出的是允許RP使用基于關(guān)聯(lián)的模式來(lái)執(zhí)行OpenID用戶認(rèn)證的協(xié)議流程的示例實(shí)施方式。圖26示出的是用于改進(jìn)的無(wú)狀態(tài)模式的協(xié)議流程的示例實(shí)施方式。圖27示出的是用于改進(jìn)的基于關(guān)聯(lián)的模式的協(xié)議流程的示例實(shí)施方式。圖28示出的是來(lái)自NIST-FIPS PUB 198-1的鍵入式散列(hash)消息認(rèn)證碼(HMAC)。圖29示出的是OpenlD/GBA的業(yè)務(wù)流程。圖30示出的是用于基于關(guān)聯(lián)的通信模式的協(xié)議流程的另一個(gè)示例實(shí)施方式。圖31示出的是用于基于關(guān)聯(lián)的通信模式的協(xié)議流程的另一個(gè)示例實(shí)施方式。圖32示出的是用于基于關(guān)聯(lián)的通信模式的協(xié)議流程的另一個(gè)示例實(shí)施方式。圖33示出的是用于無(wú)狀態(tài)模式的協(xié)議流程的另一個(gè)示例實(shí)施方式。圖34示出的是用于拆分終端的協(xié)議流程的示例實(shí)施方式。圖35示出的是OpenID中的信任關(guān)系。圖36示出的是與本地OP的信任關(guān)系的示例實(shí)施方式。圖37示出的是與MNO的信任關(guān)系的示例實(shí)施方式。圖38示出的是具有發(fā)布方SD的SD分層的示例實(shí)施方式。圖39示出的是具有DM的SD分層的示例實(shí)施方式。圖41示出的是作為GP應(yīng)用的SCWS的示例實(shí)施方式。圖42示出的是在卡的運(yùn)行時(shí)間環(huán)境中實(shí)施的SCWS的示例實(shí)施方式。
具體實(shí)施例方式在本申請(qǐng)中，我們描述了在可信計(jì)算環(huán)境(例如用戶設(shè)備(UE)、智能卡、智能電話、H(e)NB或其他類型的設(shè)備)中實(shí)施的本地和分布式單點(diǎn)登錄(SSO)供應(yīng)方的思想和概念。所述單點(diǎn)登錄供應(yīng)方可以是OpenID供應(yīng)方、自由聯(lián)盟供應(yīng)方、開(kāi)放認(rèn)證(OAUTH)供應(yīng)方等等。本申請(qǐng)?zhí)峁┝撕芏嗖煌姆桨讣捌鋵?shí)施選項(xiàng)。雖然描述的這些概念有可能是在OpenID協(xié)議的上下文中的，但是這些思想可以擴(kuò)展到其他的單點(diǎn)登錄(SSO)協(xié)議和/或聯(lián)合標(biāo)識(shí)協(xié)議。
諸如本地移動(dòng)OpenID之類的本地移動(dòng)SSO協(xié)議是允許位于本地的模塊或?qū)嶓w來(lái)執(zhí)行作為諸如OpenID協(xié)議之類的SSO或標(biāo)識(shí)管理協(xié)議的一部分的標(biāo)識(shí)認(rèn)證/斷言功能的概念。位于本地的模塊可以是智能卡、SIM、通用集成電路卡(UICC)、Java卡、啟用智能卡網(wǎng)絡(luò)服務(wù)器(SCWS)的智能卡、諸如智能電話之類的無(wú)線設(shè)備等等。本地移動(dòng)SSO是用于統(tǒng)指那些可以借以將部分或是所有那些通常由基于網(wǎng)絡(luò)的SSO服務(wù)器執(zhí)行的單點(diǎn)登錄(single sign-on，SS0)及相關(guān)標(biāo)識(shí)管理功能改由基于本地的實(shí)體和/或模塊執(zhí)行的方法的術(shù)語(yǔ)，其中所述實(shí)體和/或模塊是通信設(shè)備本身的一部分或是全部，或者此類實(shí)體/模塊在物理和/或邏輯上位于(也就是位于本地)通信設(shè)備和/或其用戶附近。例如，實(shí)體/模塊可以嵌入到設(shè)備中；附著到設(shè)備；或者通過(guò)本地接口、線路或短距離無(wú)線裝置連接到設(shè)備。本地OpenID也可以用作術(shù)語(yǔ)來(lái)指示本地移動(dòng)SSO方法的子集，由此，所述SSO或標(biāo)識(shí)管理方法是以O(shè)penID協(xié)議為基礎(chǔ)的。例如，本地OpenID可以用于指示那些可以由位于本地的實(shí)體/模塊執(zhí)行的OpenID標(biāo)識(shí)供應(yīng)方(簡(jiǎn)寫成OP或OpenID IdP)的功能。
本地IdP是用于指示執(zhí)行OpenID服務(wù)器的功能的實(shí)體或模塊的術(shù)語(yǔ)。首字母組合詞OPIoc可以用于表示本地IdP。本地IdP的一個(gè)主要功能可以是通過(guò)關(guān)于用戶和/或設(shè)備標(biāo)識(shí)的斷言來(lái)促成用戶和/或設(shè)備的認(rèn)證。這種斷言可以從本地IdP發(fā)送到在設(shè)備上運(yùn)行的瀏覽器代理(BA)，然后，瀏覽器代理可以將該斷言轉(zhuǎn)發(fā)給外部的可依賴方(RP)。當(dāng)將本地IdP提供的功能主要限制成提供這種標(biāo)識(shí)斷言，那么可以將本地IdP稱為本地?cái)嘌詫?shí)體(LAE)。本地IdP可以處理、創(chuàng)建、管理或者發(fā)送斷言消息至一個(gè)或多個(gè)外部接收方。這些斷言消息可以斷言與用戶和/或設(shè)備相關(guān)的一個(gè)或多個(gè)標(biāo)識(shí)的核驗(yàn)狀態(tài)。例如在OpenID協(xié)議中，稱為可依賴方(RP)的第三方實(shí)體可以是斷言消息的接收方之一。本地IdP還可以使用簽名、加密密鑰、密碼等等來(lái)對(duì)斷言消息進(jìn)行簽名。本地OpenID方法可以使用一個(gè)或多個(gè)密碼密鑰,例如根會(huì)話密鑰。根會(huì)話密鑰可以用Krp來(lái)表示，并且可以是在RP與OP之間要使用的會(huì)話密鑰。Krp還可以充當(dāng)RP與能夠得到其他密鑰的OP之間的根會(huì)話密鑰。本地OpenID方法還可以使用斷言密鑰，該斷言密鑰可以用Kasc表示。Kasc可以是用于對(duì)一個(gè)或多個(gè)斷言消息進(jìn)行簽名以進(jìn)行用戶認(rèn)證的簽名密鑰。Kasc可以從Krp中得出。本地OpenId方法還可以使用稱為OpenID服務(wù)器功能(OPSF)的服務(wù)，其作用可以是生成、共享以及分發(fā)那些可以供本地IdP和/或可依賴方(RP)使用的秘密(secret)。外部RP可以將OPSF和本地IdP視為單個(gè)實(shí)體。OPSF還能夠核驗(yàn)本地OpenID發(fā)布的簽名，并且可由RP例如經(jīng)由公共因特網(wǎng)直接到達(dá)。通過(guò)修改設(shè)備上的本地DNS解析緩存以使OPSF的地址映射到本地IdP，可以將設(shè)備上的瀏覽器重定向到本地IdP。本地OpenID方法還可以使用一種用OP-agg表示的服務(wù)，其作用可以是便于代表RP來(lái)發(fā)現(xiàn)本地IdP。I通信系統(tǒng)圖IA是可以實(shí)施所公開(kāi)的一個(gè)或多個(gè)實(shí)施方式的示例通信系統(tǒng)100的圖示。通信系統(tǒng)100可以是為多個(gè)無(wú)線用戶提供語(yǔ)音、數(shù)據(jù)、視頻、消息傳遞、廣播等內(nèi)容的多接入系統(tǒng)。該通信系統(tǒng)100能使多個(gè)無(wú)線用戶通過(guò)共享包括固定的有線或無(wú)線通信帶寬在內(nèi)的系統(tǒng)資源來(lái)訪問(wèn)這些內(nèi)容。舉例來(lái)說(shuō)，通信系統(tǒng)100可以使用一種或多種固定的有線或無(wú)線信道接入方法，例如碼分多址(CDMA)、時(shí)分多址(TDMA)、頻分多址(FDMA)、正交FDMA(OFDMA)、單載波 FDMA (SC-FDMA)等等。如圖IA所示，通信系統(tǒng)100可以包括無(wú)線發(fā)射/接收單元(WTRU) 102a、102b、102c、102d，無(wú)線電接入網(wǎng)絡(luò)(RAN) 104，核心網(wǎng)絡(luò)106，公共交換電話網(wǎng)絡(luò)(PSTN) 108，因特網(wǎng)110以及其他網(wǎng)絡(luò)112，但是應(yīng)該了解，所公開(kāi)的實(shí)施方式設(shè)想了任意數(shù)量的WTRU、基站、網(wǎng)絡(luò)和/或網(wǎng)絡(luò)元件。WTRU 102a、102b、102c、102d中的每一個(gè)可以是被配置成在無(wú)線或固定的有線環(huán)境中工作和/或通信的任何類型的設(shè)備。例如，WTRU 102a、102b、102c、102d可以被配置成傳送和/或接收無(wú)線信號(hào)，并且可以包括用戶設(shè)備(UE)、移動(dòng)站、固定或移動(dòng)用戶單元、尋呼機(jī)、蜂窩電話、個(gè)人數(shù)字助理(PDA)、智能電話、膝上型計(jì)算機(jī)、上網(wǎng)本、個(gè)人計(jì)算機(jī)、無(wú)線傳感器、消費(fèi)類電子設(shè)備等等。通彳目系統(tǒng)100還可以包括基站114a和基站114b?；?14a、114b中的每個(gè)可 以是被配置成與WTRU 102a、102b、102c、102d中的至少一個(gè)無(wú)線對(duì)接來(lái)促成針對(duì)一個(gè)或多個(gè)通信網(wǎng)絡(luò)的接入的任何類型的設(shè)備，其中舉例來(lái)說(shuō)，該網(wǎng)絡(luò)可以是核心網(wǎng)絡(luò)106、因特網(wǎng)110和/或網(wǎng)絡(luò)112。舉個(gè)例子，基站114a、114b可以是基地收發(fā)信臺(tái)(BTS)、節(jié)點(diǎn)B、e節(jié)點(diǎn)B、家庭節(jié)點(diǎn)B、家庭e節(jié)點(diǎn)B、站點(diǎn)控制器、接入點(diǎn)(AP)、無(wú)線路由器等等。雖然每一個(gè)基站114a、114b都被描述成單個(gè)部件,但是應(yīng)該了解,基站114a、114b可以包括任何數(shù)量的互連基站和/或網(wǎng)絡(luò)元件?；?14a可以是RAN 104的一部分，其中該RAN還可以包括其他基站和/或網(wǎng)絡(luò)元件(未顯示)，例如基站控制器(BSC)、無(wú)線電網(wǎng)絡(luò)控制器(RNC)、中繼節(jié)點(diǎn)等等。基站114a和/或基站114b可以被配置成在稱為小區(qū)(未顯示)的特定地理區(qū)域內(nèi)部傳送和/或接收無(wú)線信號(hào)。所述小區(qū)可以進(jìn)一步分成小區(qū)扇區(qū)。例如，與基站114a相關(guān)聯(lián)的小區(qū)可以分成三個(gè)扇區(qū)。因此，在一個(gè)實(shí)施方式中，基站114a可以包括三個(gè)收發(fā)信機(jī)，即每一個(gè)收發(fā)信機(jī)對(duì)應(yīng)于小區(qū)的一個(gè)扇區(qū)。在另一個(gè)實(shí)施方式中，基站114a可以使用多輸入多輸出(MIMO)技術(shù)，由此可以為小區(qū)中的每個(gè)扇區(qū)使用多個(gè)收發(fā)信機(jī)?；?14a、114b可以通過(guò)空中接口 116來(lái)與一個(gè)或多個(gè)WTRU 102a、102b、102c、102d進(jìn)行通信，該空中接口可以是任何適當(dāng)?shù)臒o(wú)線通信鏈路(例如射頻(RF)、微波、紅外(IR)、紫外(UV)、可見(jiàn)光等等)?？罩薪涌?116可以使用任何適當(dāng)?shù)臒o(wú)線電接入技術(shù)(RAT)
來(lái)建立。更具體地說(shuō)，如上所述，通信系統(tǒng)100可以是多接入系統(tǒng)，并且可以使用一種或多種固定的有線或無(wú)線信道接入方案，例如CDMA、TDMA, FDMA, OFDMA, SC-FDMA等等。舉例來(lái)說(shuō)，RAN 104中的基站114a與WTRU 102a、102b、102c可以實(shí)施諸如通用移動(dòng)電信系統(tǒng)(UMTS)陸地?zé)o線電接入(UTRA)之類的無(wú)線電技術(shù)，該無(wú)線電技術(shù)可以使用寬帶CDMA(WCDMA)來(lái)建立空中接口 116。WCDMA可以包括諸如高速分組接入(HSPA)和/或演進(jìn)型HSPA(HSPA+)之類的通信協(xié)議。HSPA可以包括高速下行鏈路分組接入(HSDPA)和/或高速上行鏈路分組接入(HSUPA)。在另一個(gè)實(shí)施方式中，基站114a和WTRU 102a、102b、102c可以實(shí)施諸如演進(jìn)型UMTS陸地?zé)o線電接入(E-UTRA)之類的無(wú)線電技術(shù)，該無(wú)線電技術(shù)可以使用長(zhǎng)期演進(jìn)(LTE)和/或高級(jí)LTE (LTE-A)來(lái)建立空中接口 116。
在其他實(shí)施方式中，基站114a與WTRU 102a、102b、102c可以實(shí)施諸如IEEE802. 16 (全球微波互通接入(WiMAX))、CDMA2000、CDMA20001X、CDMA2000EV-D0、臨時(shí)標(biāo)準(zhǔn)2000 (IS-2000)、臨時(shí)標(biāo)準(zhǔn)95 (IS-95)、臨時(shí)標(biāo)準(zhǔn)856 (IS-856)、全球移動(dòng)通信系統(tǒng)(GSM)、用于GSM演進(jìn)的增強(qiáng)型數(shù)據(jù)速率(EDGE)、GSM EDGE (GERAN)等之類的無(wú)線電接入技術(shù)。圖IA中的基站114b可以例如是無(wú)線路由器、家庭節(jié)點(diǎn)B、家庭e節(jié)點(diǎn)B或接入點(diǎn)，并且可以使用任何適當(dāng)?shù)腞AT來(lái)促成諸如營(yíng)業(yè)場(chǎng)所、住宅、交通工具、校園等之類的局部區(qū)域中的無(wú)線連接。在一個(gè)實(shí)施方式中，基站114b和WTRU 102c、102d可以通過(guò)實(shí)施諸如IEEE802. 11之類的無(wú)線電技術(shù)來(lái)建立無(wú)線局域網(wǎng)(WLAN)。在另一個(gè)實(shí)施方式中，基站114b和WTRU102c、102d可以實(shí)施諸如IEEE 802. 15之類的無(wú)線電技術(shù)來(lái)建立無(wú)線個(gè)域網(wǎng)(WPAN)。在另一個(gè)實(shí)施方式中，基站114b和WTRU 102c、102d可以使用基于蜂窩的RAT(例如WCDMA、CDMA2000、GSM、LTE、LTE-A等等)來(lái)建立微微小區(qū)或毫微微小區(qū)。如圖IA所示，基站114b可以具有到因特網(wǎng)110的直接連接。因此，基站114b可以不需要經(jīng)由核心網(wǎng)絡(luò)106來(lái)接入因特網(wǎng)110。RAN 104可以與核心網(wǎng)絡(luò)106進(jìn)行通信，所述核心網(wǎng)絡(luò)106可以是被配置成向 WTRU 102a、102b、102c、102d中的一個(gè)或多個(gè)提供語(yǔ)音、數(shù)據(jù)、應(yīng)用和/或網(wǎng)際協(xié)議上的語(yǔ)音(VoIP)服務(wù)的任何類型的網(wǎng)絡(luò)。例如，核心網(wǎng)絡(luò)106可以提供呼叫控制、記賬服務(wù)、基于移動(dòng)位置的服務(wù)、預(yù)付費(fèi)呼叫、因特網(wǎng)連接、視頻分發(fā)等等，和/或執(zhí)行如用戶認(rèn)證之類的高級(jí)安全功能。雖然圖IA中沒(méi)有顯示，但是應(yīng)該了解，RAN 104和/或核心網(wǎng)絡(luò)106可以直接或間接地和其他那些使用與RAN 104相同的RAT或不同的RAT的RAN進(jìn)行通信。例如，除了連接到可以使用E-UTRA無(wú)線電技術(shù)的RAN 104之外，核心網(wǎng)絡(luò)106還可以與使用GSM無(wú)線電技術(shù)的另一個(gè)RAN (未顯示)通信。核心網(wǎng)絡(luò)106還可以充當(dāng)供WTRU 102a、102b、102c、102d接入PSTN108、因特網(wǎng)110和/或其他網(wǎng)絡(luò)112的網(wǎng)關(guān)。PSTN 108可以包括提供簡(jiǎn)易老式電話服務(wù)(POTS)的電路交換電話網(wǎng)絡(luò)。因特網(wǎng)110可以包括使用公共通信協(xié)議的全球性互聯(lián)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備系統(tǒng)，該公共協(xié)議例如是TCP/IP網(wǎng)際協(xié)議族中的傳輸控制協(xié)議(TCP)、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)以及網(wǎng)際協(xié)議(IP)。網(wǎng)絡(luò)112可以包括由其他服務(wù)供應(yīng)方擁有和/或運(yùn)營(yíng)的有線或無(wú)線通信網(wǎng)絡(luò)。例如，網(wǎng)絡(luò)112可以包括與一個(gè)或多個(gè)RAN相連的另一個(gè)核心網(wǎng)絡(luò)，其中所述一個(gè)或多個(gè)RAN可以使用與RAN 104相同的RAT，也可以使用不同的RAT。通信系統(tǒng)100中的一些或所有WTRU 102a、102b、102c、102d可以包括多模能力，換言之，WTRU 102a、102b、102c、102d可以包括用于通過(guò)不同的無(wú)線鏈路與不同無(wú)線網(wǎng)絡(luò)通信的多個(gè)收發(fā)信機(jī)。例如，圖IA所示的WTRU 102c可以被配置成與使用基于蜂窩的無(wú)線電技術(shù)的基站114a通信，并且可以與使用IEEE 802無(wú)線電技術(shù)的基站114b通信。圖IB是示例WTRU 102的系統(tǒng)圖示。如圖IB所示，WTRU 102可以包括處理器118、收發(fā)信機(jī)120、發(fā)射/接收元件122、揚(yáng)聲器/麥克風(fēng)124、鍵盤126、顯示器/觸摸板128、不可移除存儲(chǔ)器106、可移除存儲(chǔ)器132、電源134、全球定位系統(tǒng)(GPS)芯片組136以及其他外圍設(shè)備138。應(yīng)該了解的是，在保持符合實(shí)施方式的同時(shí)，WTRU 102可以包括前述元件的任何子組合。處理器118可以是通用處理器、專用處理器、常規(guī)處理器、數(shù)字信號(hào)處理器(DSP)、多個(gè)微處理器、與DSP核心相關(guān)聯(lián)的一個(gè)或多個(gè)微處理器、控制器、微控制器、專用集成電路(ASIC)、現(xiàn)場(chǎng)可編程門陣列(FPGA)電路、其他任何類型的集成電路(1C)、狀態(tài)機(jī)等等。處理器118可以執(zhí)行信號(hào)編碼、數(shù)據(jù)處理、功率控制、輸入/輸出處理和/或其他任何能使WTRU102在無(wú)線環(huán)境中工作的功能。處理器118可以耦合至收發(fā)信機(jī)120，收發(fā)信機(jī)120可以耦合至發(fā)射/接收元件122。雖然圖IB將處理器118和收發(fā)信機(jī)120描述成是獨(dú)立組件，但是應(yīng)該了解，處理器118和收發(fā)信機(jī)120可以一起集成在電子封裝或芯片中。發(fā)射/接收元件122可以被配置成通過(guò)空中接口 116來(lái)傳送或接收去往或來(lái)自基站(例如基站114a)的信號(hào)。舉個(gè)例子，在一個(gè)實(shí)施方式中，發(fā)射/接收元件122可以是被配置成傳送和/或接收RF信號(hào)的天線。在另一個(gè)實(shí)施方式中，舉例來(lái)說(shuō)，發(fā)射/接收元件122可以是被配置成傳送和/或接收IR、UV或可見(jiàn)光信號(hào)的發(fā)射器/檢測(cè)器。在又一個(gè)實(shí)施方式中，發(fā)射/接收元件122可以被配置成傳送和接收RF和光信號(hào)兩者。應(yīng)該了解的是，發(fā)射/接收元件122可以被配置成傳送和/或接收無(wú)線信號(hào)的任何組合。此外，雖然在圖IB中將發(fā)射/接收元件122描述成是單個(gè)元件，但是WTRU 102可以包括任何數(shù)量的發(fā)射/接收元件122。更具體地說(shuō)，WTRU 102可以使用MMO技術(shù)。因 此，在一個(gè)實(shí)施方式中，WTRU 102可以包括兩個(gè)或多個(gè)通過(guò)空中接口 116來(lái)傳送和接收無(wú)線信號(hào)的發(fā)射/接收元件122 (例如多個(gè)天線)。收發(fā)信機(jī)120可以被配置成對(duì)發(fā)射/接收元件122將要傳送的信號(hào)進(jìn)行調(diào)制，以及對(duì)發(fā)射/接收元件122接收的信號(hào)進(jìn)行解調(diào)。如上所述，WTRU 102可以具有多模能力。因此，收發(fā)信機(jī)120可以包括允許WTRU 102經(jīng)由諸如UTRA和IEEE 802. 11之類的多個(gè)RAT來(lái)進(jìn)行通信的多個(gè)收發(fā)信機(jī)。WTRU 102的處理器118可以被耦合至揚(yáng)聲器/麥克風(fēng)124、鍵盤126和/或顯示器/觸摸板128 (例如液晶顯示器(IXD)顯示單元或有機(jī)發(fā)光二極管(OLED)顯示單元)，并且從上述設(shè)備接收用戶輸入數(shù)據(jù)。處理器118還可以向揚(yáng)聲器/麥克風(fēng)124、鍵盤126和/或顯示器/觸摸板128輸出用戶數(shù)據(jù)。此外，處理器118可以從諸如不可移除存儲(chǔ)器106和/或可移除存儲(chǔ)器132之類的任何適當(dāng)類型的存儲(chǔ)器中訪問(wèn)信息，以及將數(shù)據(jù)存入這些存儲(chǔ)器。所述不可移除存儲(chǔ)器106可以包括隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(ROM)、硬盤或是其他任何類型的記憶存儲(chǔ)設(shè)備?？梢瞥鎯?chǔ)器132可以包括用戶標(biāo)識(shí)模塊(SM)卡、記憶棒、安全數(shù)字(SD)記憶卡等等。在其他實(shí)施方式中，處理器118可以從那些并非物理位于WTRU 102的存儲(chǔ)器訪問(wèn)信息，以及將數(shù)據(jù)存入這些存儲(chǔ)器，其中舉例來(lái)說(shuō)，所述存儲(chǔ)器可以位于服務(wù)器或家庭計(jì)算機(jī)上(未顯示)。處理器118可以執(zhí)行應(yīng)用層程序(例如，瀏覽器)、無(wú)線電接入層(RAN)程序、和/或通信程序。處理器118可以執(zhí)行如認(rèn)證之類的安全操作；安全密鑰協(xié)定(agreement)操作；和/或密碼操作等。這些操作可以在接入層、應(yīng)用層等處被執(zhí)行。處理器118可以接收來(lái)自電源134的電力，并且可以被配置分發(fā)和/或控制用于WTRU 102中的其他組件的電力。電源134可以是為WTRU 102供電的任何適當(dāng)?shù)脑O(shè)備。例如，電源134可以包括一個(gè)或多個(gè)干電池組(如鎳鎘(NiCd)、鎳鋅(NiZn)、鎳氫(NiMH)、鋰離子(Li-ion)等等)、太陽(yáng)能電池、燃料電池等等。處理器118還可以耦合到GPS芯片組136，該GPS芯片組136可以被配置成提供與WTRU 102的當(dāng)前位置相關(guān)的位置信息(例如經(jīng)度和緯度)。作為來(lái)自GPS芯片組136的信息的補(bǔ)充或替換，WTRU 102可以通過(guò)空中接口 116接收來(lái)自基站(例如基站114a、114b)的位置信息，和/或根據(jù)從兩個(gè)或多個(gè)附近基站接收的信號(hào)定時(shí)來(lái)確定其位置。應(yīng)該了解的是，在保持符合實(shí)施方式的同時(shí)，WTRU 102可以借助任何適當(dāng)?shù)奈恢么_定方法來(lái)獲取位
置信息。處理器118還可以耦合到其他外圍設(shè)備138，這些外圍設(shè)備可以包括提供附加特征、功能和/或有線或無(wú)線連接的一個(gè)或多個(gè)軟件和/或硬件模塊。例如，外圍設(shè)備138可以包括加速度計(jì)、電子指南針、衛(wèi)星收發(fā)信機(jī)、數(shù)碼相機(jī)(用于照片和視頻)、通用串行總線(USB)端口、振動(dòng)設(shè)備、電視收發(fā)信機(jī)、免提耳機(jī)、藍(lán)牙馨模塊、調(diào)頻(FM)無(wú)線電單元、數(shù)字音樂(lè)播放器、媒體播放器、視頻游戲機(jī)模塊、因特網(wǎng)瀏覽器等等。圖IC是根據(jù)一個(gè)實(shí)施方式的RAN 104和核心網(wǎng)絡(luò)106的系統(tǒng)圖示。如上所述，RAN 104可以使用E-UTRA無(wú)線電技術(shù)以通過(guò)空中接口 116來(lái)與WTRU 102a、102b、102c進(jìn)行通信。RAN 104還可以與核心網(wǎng)絡(luò)106通信。
RAN 104可以包括e節(jié)點(diǎn)B 140a、140b、140c，但是應(yīng)該了解，在保持與實(shí)施方式相符合的同時(shí)，RAN 104可以包括任何數(shù)量的e節(jié)點(diǎn)B。每一個(gè)e節(jié)點(diǎn)B 140a、140b、140c都可以包括一個(gè)或多個(gè)收發(fā)信機(jī)，以便通過(guò)空中接口 116來(lái)與WTRU 102a、102b、102c通信。在一個(gè)實(shí)施方式中，e節(jié)點(diǎn)B140a、140b、140c可以實(shí)施MMO技術(shù)。因此舉例來(lái)說(shuō)，e節(jié)點(diǎn)B140a可以使用多個(gè)天線來(lái)向WTRU 102a傳送無(wú)線信號(hào)，以及接收來(lái)自WTRU 102a的無(wú)線信號(hào)。每一個(gè)e節(jié)點(diǎn)B 140a、140b、140c都可以與特定小區(qū)(未顯示)相關(guān)聯(lián)，并且可以被配置成處理無(wú)線電資源管理決策、切換決策、上行鏈路和/或下行鏈路中的用戶調(diào)度等等。如圖IC所示，e節(jié)點(diǎn)B 140a、140b、140c可以通過(guò)X2接口來(lái)彼此通信。圖IC所示的核心網(wǎng)絡(luò)106可以包括移動(dòng)性管理網(wǎng)關(guān)(MME)142、服務(wù)網(wǎng)關(guān)144以及分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)網(wǎng)關(guān)146。雖然每一個(gè)前述元件都被描述成是核心網(wǎng)絡(luò)106的一部分，但是應(yīng)該了解，這些元件中的任一元件都可以由核心網(wǎng)絡(luò)運(yùn)營(yíng)商之外的實(shí)體擁有和/或運(yùn)
告
口 oMME 142可以經(jīng)由SI接口來(lái)與RAN 104中的e節(jié)點(diǎn)B 142a、142b、142c中的每一個(gè)相連，并且可以充當(dāng)控制節(jié)點(diǎn)。例如，MME 142可以負(fù)責(zé)認(rèn)證WTRU 102a、102b、102c的用戶，承載激活/去激活，在WTRU 102a、102b、102c的初始附著期間選擇特定的服務(wù)網(wǎng)關(guān)等等。MME 142還可以提供控制平面功能，以便在RAN 104與使用諸如GSM或WCDMA之類的其他無(wú)線電技術(shù)的其他RAN (未顯示)之間進(jìn)行切換。服務(wù)網(wǎng)關(guān)144可以經(jīng)由SI接口而與RAN 104中的e節(jié)點(diǎn)B 140a、140b、140c中的每一個(gè)相連。該服務(wù)網(wǎng)關(guān)144通?？梢月酚珊娃D(zhuǎn)發(fā)去往/來(lái)自WTRU102a、102b、102c的用戶數(shù)據(jù)分組。該服務(wù)網(wǎng)關(guān)144還可以執(zhí)行其他功能，例如在e節(jié)點(diǎn)B間的切換期間錨定用戶平面，在下行鏈路數(shù)據(jù)可供WTRU102a、102b、102c使用時(shí)觸發(fā)尋呼，管理和存儲(chǔ)WTRU 102a、102b、102c的上下文等等。服務(wù)網(wǎng)關(guān)144還可以連接到PDN網(wǎng)關(guān)146，該P(yáng)DN網(wǎng)關(guān)146可以為WTRU 102a、102b、102c提供針對(duì)諸如因特網(wǎng)110之類的分組交換網(wǎng)絡(luò)的接入，以便促成WTRU 102a、102b、102c與IP使能設(shè)備之間的通信。核心網(wǎng)絡(luò)106可以促成與其他網(wǎng)絡(luò)的通信。例如，核心網(wǎng)絡(luò)106可以為WTRU 102a、102b、102c提供針對(duì)諸如PSTN 108之類的電路交換網(wǎng)絡(luò)的接入，以便促成WTRU 102a、102b、102c與傳統(tǒng)的陸線通信設(shè)備之間的通信。舉例來(lái)說(shuō)，核心網(wǎng)絡(luò)106可以包括IP網(wǎng)關(guān)(例如IP多媒體子系統(tǒng)(IMS)服務(wù)器)或與該IP網(wǎng)關(guān)通信，其中該IP網(wǎng)關(guān)充當(dāng)核心網(wǎng)絡(luò)106與PSTN 108之間的接口。此外，核心網(wǎng)絡(luò)106可以為WTRU 102a、102b、102c提供針對(duì)網(wǎng)絡(luò)112的接入，該網(wǎng)絡(luò)112可以包括由其他服務(wù)供應(yīng)方擁有和/或運(yùn)營(yíng)的其他有線或無(wú)線網(wǎng)絡(luò)。2. 3標(biāo)識(shí)管理和可用安全性當(dāng)用戶開(kāi)始在移動(dòng)設(shè)備上訪問(wèn)信息時(shí)，他們面臨著為一個(gè)網(wǎng)絡(luò)服務(wù)到另一個(gè)網(wǎng)絡(luò)服務(wù)處理過(guò)多用戶證書的困境。用戶面對(duì)的是記憶這些證書以及在每次訪問(wèn)網(wǎng)絡(luò)服務(wù)時(shí)輸入登錄和密碼信息的煩瑣任務(wù)。雖然設(shè)備有可能記憶這些證書，但是設(shè)備有可能會(huì)被丟失或被盜竊，并且有可能最終落在不該擁有的人的手里。所提供的可以是一種將本地用戶認(rèn)證與透明的網(wǎng)絡(luò)認(rèn)證組合在一起以安全地管理用戶證書和接入網(wǎng)絡(luò)服務(wù)的牢固的認(rèn)證解決方案。例如，多種密碼或令牌項(xiàng)和/或生物計(jì)量(biometric)認(rèn)證技術(shù)可以與問(wèn)候式的(complimentary)無(wú)縫網(wǎng)絡(luò)認(rèn)證方案結(jié)合使 用，其中所述方案是與網(wǎng)絡(luò)服務(wù)門戶合作的。這些方案可以被稱為單點(diǎn)登錄(SSO)或聯(lián)合標(biāo)識(shí)?？梢园║E的移動(dòng)平臺(tái)可以支持多種專有處理器架構(gòu)和操作系統(tǒng)。這樣為軟件/固件開(kāi)發(fā)人員創(chuàng)造了一個(gè)零散的市場(chǎng)，并且迫使運(yùn)營(yíng)商與OEM協(xié)商來(lái)引入并支持諸如接入控制和認(rèn)證之類的公共技術(shù)。以下部分討論的是在移動(dòng)平臺(tái)上提供SSO協(xié)議的實(shí)施方式。在一個(gè)示例實(shí)施方式中，用戶環(huán)境可以用于啟用開(kāi)放管理安全協(xié)議，以使可依賴方(RP )能夠認(rèn)證用戶。該開(kāi)放管理安全協(xié)議可以是單點(diǎn)登錄協(xié)議(SSO)，例如OpenID協(xié)議、自由聯(lián)盟協(xié)議、開(kāi)放認(rèn)證(OAUTH)協(xié)議、安全斷言標(biāo)記語(yǔ)言、標(biāo)識(shí)保證框架等等?？梢蕾嚪娇梢允窍ＭJ(rèn)證或核驗(yàn)用戶證書的一方。用戶環(huán)境可以包括用戶接口和/或處理器，例如可信計(jì)算環(huán)境。用戶接口可以在UE與用戶之間提供接口。例如，該用戶接口可以是網(wǎng)絡(luò)瀏覽器、網(wǎng)頁(yè)、應(yīng)用等等。用戶接口還可以接收用戶證書。該用戶證書可以是用戶名、密碼、PIN碼、密鑰、令牌、生物計(jì)量標(biāo)識(shí)等等的組合。用戶接口可以提供接口和/或使用諸如OpenID之類的SSO協(xié)議來(lái)與RP進(jìn)行通信，以便代表用戶來(lái)請(qǐng)求訪問(wèn)RP提供的服務(wù)。例如，用戶可以使用諸如網(wǎng)絡(luò)瀏覽器之類的用戶接口代理來(lái)訪問(wèn)RP，并且可以使用OpenID來(lái)選擇進(jìn)行登錄。該用戶接口還可以從RP接收表明該RP希望對(duì)用戶進(jìn)行認(rèn)證的指示。例如，用戶接口可以接收來(lái)自RP的重定向消息，其中該重定向消息指示用戶接口使用可信計(jì)算環(huán)境來(lái)對(duì)用戶進(jìn)行認(rèn)證。用戶接口還可以與SSO證書的可信供應(yīng)方進(jìn)行通信以發(fā)起用戶認(rèn)證。例如，RP可以將用戶接口重定向到可與可信供應(yīng)方相關(guān)聯(lián)的可信計(jì)算環(huán)境。該可信供應(yīng)方可以是用戶證書供應(yīng)方。例如，可信供應(yīng)方有可能知道用戶，并且能夠通過(guò)用戶提供的證書來(lái)認(rèn)證用戶。處理器可以是通用處理器，專用處理器，常規(guī)處理器，數(shù)字信號(hào)處理器(DSP)，多個(gè)微處理器，與DSP核相關(guān)聯(lián)的一個(gè)或多個(gè)微處理器，控制器，微控制器，專用集成電路(ASIC)，現(xiàn)場(chǎng)可編程門陣列(FPGA)電路，任何其他類型的集成電路(1C)，狀態(tài)機(jī)等等。此外，處理器
在一個(gè)示例實(shí)施方式中，處理器可以是可信的計(jì)算環(huán)境，例如UMTS集成電路卡(nCC )，用戶標(biāo)識(shí)模塊(SM)，機(jī)器對(duì)機(jī)器(M2M)設(shè)備，智能卡，Java卡，全球平臺(tái)智能卡，安全集成芯片卡(ICC)等等。該可信計(jì)算環(huán)境可以使用智能卡網(wǎng)絡(luò)服務(wù)器(SCWS)來(lái)實(shí)施。該可信計(jì)算環(huán)境可以在用戶環(huán)境內(nèi)部為可信供應(yīng)方認(rèn)證用戶。為了認(rèn)證用戶，可信計(jì)算環(huán)境可以在本地執(zhí)行單點(diǎn)登錄證書的可信供應(yīng)方的至少一些功能，以便在認(rèn)證過(guò)程期間限制用戶環(huán)境以外的通信。例如，用戶可以通過(guò)PIN碼、生物計(jì)量標(biāo)識(shí)、令牌等等或是其(即PIN碼和生物計(jì)量標(biāo)識(shí))組合而在可信計(jì)算環(huán)境本地進(jìn)行認(rèn)證?？尚庞?jì)算環(huán)境可以生成認(rèn)證響應(yīng)。該可信計(jì)算環(huán)境可以使用重定向消息來(lái)將用戶接口代理重 定向到RP，其中該重定向消息可以包括用戶被認(rèn)證的斷言。然后，用戶接口可以被重定向到RP，并且在RP核驗(yàn)了來(lái)自可信計(jì)算環(huán)境的斷言之后，用戶可以登錄。在一個(gè)示例實(shí)施方式中，可信計(jì)算環(huán)境可以計(jì)算一個(gè)簽名，例如base64 (基本64位)編碼的HMAC簽名，并且可以將該簽名經(jīng)由用戶接口提供給RP。舉例來(lái)說(shuō)，通過(guò)執(zhí)行該處理，可以允許RP核驗(yàn)可信計(jì)算環(huán)境的證書?？尚怒h(huán)境可以基于該可信計(jì)算環(huán)境與可能與MNO或OP關(guān)聯(lián)的可信供應(yīng)方之間的共享秘密來(lái)計(jì)算簽名。該共享秘密可以是通過(guò)用戶接口而在可信計(jì)算環(huán)境與可信供應(yīng)方之間建立的。該簽名可以用于對(duì)從RP接收的參數(shù)列表進(jìn)行簽名?？梢蕾嚪?RP)可以是服務(wù)、網(wǎng)站、數(shù)據(jù)庫(kù)、應(yīng)用等等。在一個(gè)示例實(shí)施方式中，RP可以處于用戶環(huán)境以外。例如，RP可以是在用戶環(huán)境以外的服務(wù)器上托管的網(wǎng)站，其中該用戶環(huán)境可以例如是用戶用于訪問(wèn)網(wǎng)站的蜂窩電話或其他UE。RP有可能必須建立一個(gè)連接，例如使用移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)提供的針對(duì)網(wǎng)絡(luò)服務(wù)實(shí)體的公共因特網(wǎng)通信來(lái)建立連接。舉例來(lái)說(shuō)，該處理可以在可依賴方(RP)無(wú)法直接與可信計(jì)算環(huán)境通信的時(shí)候進(jìn)行。MNO可以具有到可信計(jì)算環(huán)境的遠(yuǎn)程管理接口，以及諸如SMS之類的附加通信信道，這樣可以允許MNO與UE和/或可信計(jì)算環(huán)境進(jìn)行通信。MNO可以充當(dāng)RP與可信計(jì)算環(huán)境上的OP之間的協(xié)商橋梁。在另一個(gè)示例實(shí)施方式中，RP可以處于用戶環(huán)境內(nèi)。例如，RP可以位于可包括用戶接口和可信計(jì)算環(huán)境的UE的內(nèi)部。在一個(gè)示例實(shí)施方式中，RP可以被配置成傳送認(rèn)證請(qǐng)求，以便允許RP核驗(yàn)可信計(jì)算環(huán)境的證書。用戶接口可以接收來(lái)自RP的認(rèn)證請(qǐng)求。該認(rèn)證請(qǐng)求可以包括關(guān)聯(lián)句柄。用戶接口可以將這個(gè)關(guān)聯(lián)句柄提供給可信計(jì)算環(huán)境。該可信計(jì)算環(huán)境可以基于共享秘密來(lái)生成簽名，并且可以生成包括簽名和關(guān)聯(lián)句柄的認(rèn)證響應(yīng)。用戶接口或可信計(jì)算環(huán)境可以將可信環(huán)境生成的認(rèn)證響應(yīng)提供給RP。在一個(gè)示例實(shí)施方式中，用戶環(huán)境可以處于用戶設(shè)備(UE)內(nèi)部。例如，用戶接口和可信計(jì)算環(huán)境可以被包括在單個(gè)UE內(nèi)部。在另一個(gè)示例實(shí)施方式中，用戶環(huán)境可以以拆分終端配置來(lái)部署，其中用戶接口和可信計(jì)算環(huán)境可以駐留在分離的UE中。例如，用戶接口可以是在屬于用戶的蜂窩電話上，而可信計(jì)算環(huán)境則可以存在于屬于用戶的銀行卡或ncc上。另舉一例，用戶接口可以是在屬于用戶的個(gè)人計(jì)算機(jī)上的，而可信計(jì)算環(huán)境則有可能在屬于用戶的蜂窩電話上。在一個(gè)示例實(shí)施方式中，用于保護(hù)用戶環(huán)境和/或本地?cái)嘌詫?shí)體(LAE)的方法可以被提供，以在開(kāi)放管理安全協(xié)議中為可依賴方(RP)認(rèn)證用戶。在一個(gè)示例實(shí)施方式中，LAE可以處于處理器內(nèi)部，例如處于可信計(jì)算環(huán)境以內(nèi)。來(lái)自RP的指示可以經(jīng)由用戶接口而被接收，其中該指示表明RP希望對(duì)用戶進(jìn)行認(rèn)證。RP可以處于用戶環(huán)境以外，并且能夠與單點(diǎn)登錄(SSO)證書的可信供應(yīng)方進(jìn)行通信。用戶證書可以是通過(guò)用戶接口而從用戶那里接收的。所述用戶可以用接收到的用戶證書來(lái)認(rèn)證。例如，如可信計(jì)算環(huán)境之類的處理器可以使用接收到的用戶證書來(lái)為RP認(rèn)證用戶，以便在本地執(zhí)行SSO證書的可信供應(yīng)方的至少一些功能，從而在認(rèn)證處理期間限制用戶環(huán)境以外的通信。認(rèn)證可以通過(guò)使用智能卡網(wǎng)絡(luò)服務(wù)器(SCWS)來(lái)進(jìn)行。認(rèn)證響應(yīng)可以經(jīng)由用戶接口傳送到RP。例如，該認(rèn)證響應(yīng)可以在用戶已被認(rèn)證的時(shí)候傳送。從RP接收的指示可以是重定向消息。該重定向消息可以指示用戶接口使用可信計(jì)算環(huán)境來(lái)認(rèn)證用戶。例如，重定向消息可以指示瀏覽器在本地認(rèn)證用戶，而不是由可信供應(yīng)方來(lái)進(jìn)行認(rèn)證。
如base64編碼的HMAC簽名之類的簽名可被計(jì)算并經(jīng)由用戶接口提供給RP。例如，通過(guò)執(zhí)行該處理，可以允許RP核驗(yàn)可信計(jì)算環(huán)境的證書?？尚庞?jì)算環(huán)境可以基于該可信計(jì)算環(huán)境與諸如OpenID供應(yīng)方之類的可與MNO相關(guān)聯(lián)的可信供應(yīng)方之間的共享秘密來(lái)計(jì)算證書。該共享秘密可以是通過(guò)用戶接口而在可信計(jì)算環(huán)境與可信供應(yīng)方之間建立的。在一個(gè)示例實(shí)施方式中，認(rèn)證請(qǐng)求可以是從RP接收的，這樣可以允許RP核驗(yàn)可信計(jì)算環(huán)境的證書。例如，用戶接口可以接收來(lái)自RP的認(rèn)證請(qǐng)求。該認(rèn)證請(qǐng)求可以包括關(guān)聯(lián)句柄。用戶接口可以將關(guān)聯(lián)句柄提供給可信計(jì)算環(huán)境。可以生成基于共享秘密的簽名。此外還可以生成包括所述簽名和關(guān)聯(lián)句柄的認(rèn)證響應(yīng)。然后，該認(rèn)證響應(yīng)可被提供給RP。2. 3. 2使用OpenID和SCWS的單點(diǎn)登錄的實(shí)施方式OpenID可以為運(yùn)營(yíng)商提供一個(gè)輕松的角色，以便以最小的努力和風(fēng)險(xiǎn)向可依賴方(RP)提供OpenID供應(yīng)方(OP)中的信任。OpenID可以與先前已有的認(rèn)證方法協(xié)作，由此運(yùn)營(yíng)商可以使用自己的AAA和在nCC中預(yù)先提供的AKA證書或其他認(rèn)證方法來(lái)支持針對(duì)OP的認(rèn)證過(guò)程，所述其他認(rèn)證方法包括但不局限于PKI、預(yù)共享密鑰、SIP摘要證書、TLS等等。OpenID與智能卡的組合提供了一條通向令人關(guān)注的價(jià)值主張的途徑。智能卡網(wǎng)絡(luò)服務(wù)器(SCWS)提供了新的基于IP的服務(wù)，該新的基于IP的服務(wù)可以為用戶提供更豐富且非常安全的網(wǎng)絡(luò)體驗(yàn)。網(wǎng)絡(luò)服務(wù)器的基本功能是使用HTTP協(xié)議來(lái)遞送網(wǎng)頁(yè)。這一點(diǎn)對(duì)駐留在智能卡或ncc上的sews來(lái)說(shuō)也是一樣的。sews可以是將ncc作為網(wǎng)絡(luò)節(jié)點(diǎn)集成在移動(dòng)電話供應(yīng)方的ip網(wǎng)絡(luò)中的第一步。在一個(gè)示例實(shí)施方式中，UICC可被用作運(yùn)營(yíng)商的本地信任中心和代理。例如,通過(guò)執(zhí)行該處理，可以將認(rèn)證業(yè)務(wù)保持在本地，并且避免加重運(yùn)營(yíng)商網(wǎng)絡(luò)的負(fù)擔(dān)。OP能夠通過(guò)縮放認(rèn)證強(qiáng)度來(lái)啟用多種用于將OpenID證書綁定到ncc和/或設(shè)備和/或用戶標(biāo)識(shí)和/或用戶的方法。例如，OpenID可以與基于nCC的UE認(rèn)證AKA證書、或GBA或其他形式的認(rèn)證機(jī)制進(jìn)行交互操作，其中所述其他形式的認(rèn)證機(jī)制如基于證書的認(rèn)證機(jī)制。在這里公開(kāi)的實(shí)施方式中，UE可以為設(shè)備上的OP代理平衡運(yùn)營(yíng)商的信任和聲譽(yù)，以便通過(guò)標(biāo)準(zhǔn)的OpenID協(xié)議來(lái)提供更高的安全性。2.3.3智能卡上的OP在以下的第4節(jié)中描述的若干實(shí)施方式描述了將OP集成在智能卡上。例如，其中一個(gè)實(shí)施方式描述了駐留有智能卡網(wǎng)絡(luò)服務(wù)器(SCWS)的智能卡上的OpenID。另一個(gè)示例實(shí)施方式描述了對(duì)SCWS上的OpenID的改進(jìn)。從這里描述的實(shí)施方式中得到的益處可以包括 使用OpenID時(shí)的用戶移動(dòng)性 改進(jìn)了對(duì)證書的用戶控制(增強(qiáng)的安全保護(hù))，這是因?yàn)檫@個(gè)重要信息現(xiàn)在是在卡上而不是在z 中 減小了對(duì)于使用GBA的需要，由此顯著減小了網(wǎng)絡(luò)資源的負(fù)擔(dān) 認(rèn)證業(yè)務(wù)被限制在網(wǎng)絡(luò)實(shí)體之間的公共因特網(wǎng)上，而不需要空中傳送一對(duì)于SCffS上的OpenID的改進(jìn)協(xié)議來(lái)說(shuō)，這一點(diǎn)是很明顯的
3標(biāo)準(zhǔn)化前景有很多正式和事實(shí)上的(產(chǎn)業(yè))標(biāo)準(zhǔn)化組織從事的是標(biāo)識(shí)管理(IdM);但是，這其中的大多數(shù)組織將重點(diǎn)放在了 IdM在臺(tái)式機(jī)環(huán)境中的使用。這里公開(kāi)的實(shí)施方式是通過(guò)本地和/或分布式SSO供應(yīng)方來(lái)提供IdM的，這些供應(yīng)方可以在如智能卡之類的可信環(huán)境中實(shí)施，或者可以在可包括可信計(jì)算環(huán)境的平臺(tái)上實(shí)施，例如智能電話、H(e)NB或其他類型的設(shè)備。單點(diǎn)登錄供應(yīng)方可以由標(biāo)準(zhǔn)化組織提供，例如自由聯(lián)盟供應(yīng)方、SAML供應(yīng)方、KantaraInitiative供應(yīng)方、OpenID供應(yīng)方等等。3.2自由聯(lián)盟自由聯(lián)盟是作為由如 BT、A0L、0racle、Intel>NTT>CA>Fidelity Investment、NTT以及Sun Microsystems之類的公司領(lǐng)導(dǎo)的產(chǎn)業(yè)論壇發(fā)起的。該聯(lián)盟已經(jīng)發(fā)布了從事ID聯(lián)合(ID-FF)和標(biāo)識(shí)網(wǎng)絡(luò)服務(wù)(ID-WSF)的Liberty Alliance Frameworks (自由聯(lián)合框架)系列規(guī)范。自由標(biāo)識(shí)聯(lián)合(ID-FF)規(guī)范I. 0是這樣一個(gè)規(guī)范，它允許基于因特網(wǎng)的服務(wù)和電子商務(wù)應(yīng)用的消費(fèi)者及用戶從任意設(shè)備認(rèn)證并登錄一次網(wǎng)絡(luò)或域，然后訪問(wèn)來(lái)自多個(gè)網(wǎng)站的服務(wù)，由此回避了用戶重新認(rèn)證和控制隱私問(wèn)題的需要。自由聯(lián)盟還發(fā)布了兩個(gè)版本的標(biāo)識(shí)聯(lián)合規(guī)范，并將其聯(lián)合規(guī)范提供給了 OASIS (http://www. oasis, org),由此形成了安全斷言標(biāo)記語(yǔ)言(SAML) 2. 0的基礎(chǔ)。此外，自由聯(lián)盟還發(fā)布了自由標(biāo)識(shí)網(wǎng)絡(luò)服務(wù)框架(ID-WSF)，該框架解決的是基于標(biāo)識(shí)的網(wǎng)絡(luò)服務(wù)。這個(gè)規(guī)范是用于在安全和尊重隱私的聯(lián)合社交網(wǎng)絡(luò)中部署并管理多種基于標(biāo)識(shí)的網(wǎng)絡(luò)服務(wù)的開(kāi)放框架，例如，這些網(wǎng)絡(luò)服務(wù)可以是地理定位、聯(lián)絡(luò)簿、日歷、移動(dòng)消息傳遞等等。這里公開(kāi)的實(shí)施方式公開(kāi)的是可以用于在UE上下文中為自由聯(lián)盟標(biāo)準(zhǔn)的安全和其他方面提供支持的創(chuàng)新。例如，一個(gè)實(shí)施方式公開(kāi)了一種移動(dòng)設(shè)備，該移動(dòng)設(shè)備具有作為可拆除模塊或作為集成模塊的安全環(huán)境，例如UICC、智能卡或集成可信環(huán)境(TrE)，其中所述安全環(huán)境可以單獨(dú)或共同托管所公開(kāi)的一些功能，例如UE上的可信權(quán)證服務(wù)器或TTverifier (TT核驗(yàn)器)的功能。與只支持已有自由聯(lián)盟客戶端協(xié)議的常規(guī)UE當(dāng)前可用的功能相比，所公開(kāi)的這些功能可以單獨(dú)或共同添加更多的安全性和信任證據(jù)。3. 3 OASIS 和 SAML結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織(OASIS)是一個(gè)用于開(kāi)發(fā)、融合并采用電子商務(wù)及網(wǎng)絡(luò)服務(wù)標(biāo)準(zhǔn)的全球性開(kāi)放協(xié)會(huì)。在IdM上下文中，OASIS開(kāi)發(fā)了安全斷言標(biāo)記語(yǔ)言(SAML)，其當(dāng)前版本是2.0。
SAML是基于XML的標(biāo)準(zhǔn)，用于在安全域之間、也就是在標(biāo)識(shí)供應(yīng)方(關(guān)于標(biāo)識(shí)的斷言的產(chǎn)生者)與服務(wù)供應(yīng)方(所述斷言的使用者)之間交換認(rèn)證和授權(quán)數(shù)據(jù)。SAML嘗試解決網(wǎng)絡(luò)瀏覽器的單點(diǎn)登錄(Web SS0)問(wèn)題，以便將基于內(nèi)部網(wǎng)的傳統(tǒng)SSO解決方案擴(kuò)展到網(wǎng)絡(luò)的開(kāi)放環(huán)境中。SAML嘗試使用基于XML (和XHTML)的開(kāi)放的標(biāo)準(zhǔn)化協(xié)議來(lái)克服不可互操作的專用技術(shù)的增殖效應(yīng)。SAML與諸如OpenID之類的其他IdM技術(shù)的不同之處在于其依靠用戶代理來(lái)提供請(qǐng)求和斷言。圖2示出的是用于在標(biāo)識(shí)供應(yīng)方與服務(wù)供應(yīng)方之間交換認(rèn)證和數(shù)據(jù)的SAML協(xié)議。這里公開(kāi)的實(shí)施方式公開(kāi)的是可以用于在UE的上下文中為SAML的安全性和其他方面提供支持的創(chuàng)新。例如，其中一個(gè)實(shí)施方式公開(kāi)了一種移動(dòng)設(shè)備，該設(shè)備具有作為可拆除模塊或作為集成模塊的安全環(huán)境，例如UICC、智能卡或集成可信環(huán)境(TrE)，其中所述安全環(huán)境可以單獨(dú)或共同托管所公開(kāi)的一些功能，例如UE上的可信權(quán)證服務(wù)器或TTverifier的功能。與只支持已有SAML客戶端協(xié)議的常規(guī)UE當(dāng)前可用的功能相比，所公開(kāi)的這些功能可以單獨(dú)或共同添加更多的安全性和信任證據(jù)。
3. 4 Kantara InitiativeKantara Initiative是自由聯(lián)盟的后繼組織,并且由自由聯(lián)盟的一些初始支持者領(lǐng)導(dǎo)，該自由聯(lián)盟例如 BT、NTT、T-Mobile、AOL 和 Fidelity Investment。Kantara 并不是一個(gè)標(biāo)準(zhǔn)定義組織(SD0)，這是因?yàn)镵antara發(fā)布的都是建議，并且其重點(diǎn)放在兩個(gè)主要的技術(shù)主題上標(biāo)識(shí)保證和互操作性。Kantara首先規(guī)定的是擴(kuò)展了自由聯(lián)盟做出的IAP vl. 0規(guī)范工作的標(biāo)識(shí)保證框架(IAP) v2. O。IAP規(guī)范初始詳述了很多標(biāo)識(shí)保證等級(jí)，這有助于以公共的標(biāo)準(zhǔn)化規(guī)則以及與每一個(gè)標(biāo)識(shí)保證等級(jí)相關(guān)聯(lián)的安全風(fēng)險(xiǎn)評(píng)定為基礎(chǔ)來(lái)將啟用可信標(biāo)識(shí)的企業(yè)、社交網(wǎng)絡(luò)以及Web 2.0應(yīng)用聯(lián)系在一起。同樣，該框架啟用了針對(duì)標(biāo)識(shí)要求和評(píng)估的靈活且粒度的(granular)信任保證。所規(guī)定的保證等級(jí)以NIST Special Publication (特定公開(kāi))800-63第I. 0. I版概述的四個(gè)保證等級(jí)為基礎(chǔ)，并且其置信等級(jí)范圍是從低到很高。這里公開(kāi)的實(shí)施方式公開(kāi)的是可以用于在UE上下文中為IAP的安全性和其他方面提供支持的創(chuàng)新。例如，其中一個(gè)實(shí)施方式公開(kāi)了一種移動(dòng)設(shè)備，該設(shè)備具有作為可拆除模塊或集成模塊的安全環(huán)境，例如UICC、智能卡或集成可信環(huán)境(TrE)，其中所述安全環(huán)境可以單獨(dú)或共同托管所公開(kāi)的一些功能，例如UE上的可信權(quán)證服務(wù)器或TTverifier的功能。與只支持已有Kantara IAP客戶端協(xié)議的常規(guī)UE當(dāng)前可用的功能相比，所公開(kāi)的這些功能可以單獨(dú)或共同添加更多的安全性和信任證據(jù)。3. 5 OpenIDOpenID是用于認(rèn)證用戶的開(kāi)放標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)可被用于訪問(wèn)控制，以便在不同服務(wù)信任了認(rèn)證組織的情況下允許用戶使用相同的數(shù)字標(biāo)識(shí)登錄這些服務(wù)。OpenID取代了常規(guī)的用戶登錄過(guò)程，由此允許用戶登錄一次并獲得對(duì)多個(gè)軟件系統(tǒng)的資源的接入。術(shù)語(yǔ)OpenID也可以是指在標(biāo)準(zhǔn)中使用的ID。OpenID是由OpenID基金會(huì)開(kāi)發(fā)和維護(hù)的,該基金會(huì)是一個(gè)美國(guó)的非營(yíng)利組織。該OpenID基金會(huì)(OIDF)是由致力于啟用、促進(jìn)和保護(hù)OpenID技術(shù)的個(gè)人和公司組成的。作為OpenID協(xié)議所用的ID的術(shù)語(yǔ)，OpenID采用了唯一 URL的形式，并且由用戶的OpenID供應(yīng)方(即托管其OpenID URL的實(shí)體)進(jìn)行認(rèn)證。OpenID協(xié)議不依靠中心機(jī)構(gòu)來(lái)認(rèn)證用戶標(biāo)識(shí)，也不依賴特定的認(rèn)證方法本身。由于OpenID協(xié)議和需要標(biāo)識(shí)的網(wǎng)站都不能強(qiáng)制執(zhí)行(mandate)特定類型的認(rèn)證，因此可以使用多種認(rèn)證處理，例如使用智能卡、生物計(jì)量或常規(guī)密碼。這里公開(kāi)的實(shí)施方式公開(kāi)的是可以用于在UE上下文中為OpenID的安全性和其他方面提供支持的創(chuàng)新。例如，其中一個(gè)實(shí)施方式公開(kāi)了一種移動(dòng)設(shè)備，該設(shè)備具有作為可拆除模塊或作為集成模塊的安全環(huán)境，例如UICC、智能卡或集成可信環(huán)境(TrE)。這里使用的OpenID是作為示例性協(xié)議的，其中諸如可信權(quán)證服務(wù)器(TTS)、TTverifier和TCTicket(TC權(quán)證)之類的新公開(kāi)的功能可以由UE中的所述安全環(huán)境托管，并且可以單獨(dú)或者共同使得UE更加安全可靠，此外，在UE依照OpenID協(xié)議執(zhí)行用戶標(biāo)識(shí)客戶端功能時(shí)，通過(guò)使用所公開(kāi)的這些方法，還會(huì)使得這種增強(qiáng)的安全性和可信賴性是能在外部核驗(yàn)的。3. 6 3GPP SA3 及其關(guān)于 OpenID 的工作3GPP SA3是一個(gè)3GPP安全標(biāo)準(zhǔn)化工作組，在3GPP SA3中，在2G、3G和下一代 (beyond)的移動(dòng)電話、終端和系統(tǒng)的廣泛的安全性方面采用了一種綜合處理方法。當(dāng)前，在IdM空間中，存在一個(gè)關(guān)于OpenID與通用自舉(Bootstrapping)架構(gòu)(GBA)的集成的技術(shù)報(bào)告(TR 33.924)。此外還有另一個(gè)關(guān)于自由聯(lián)盟與GBA互通的技術(shù)報(bào)告(TR 33.980)。這里公開(kāi)的實(shí)施方式公開(kāi)的是可以用于在UE上下文中為OpenID的安全性和其他方面和/或OpenID與GBA或其他認(rèn)證機(jī)制的集成提供支持的創(chuàng)新。例如，其中一個(gè)實(shí)施方式公開(kāi)了一種移動(dòng)設(shè)備，該移動(dòng)設(shè)備具有作為可拆除模塊或作為集成模塊的安全環(huán)境，例如UICC、智能卡或集成可信環(huán)境(TrE)，其中所述安全環(huán)境可以單獨(dú)或共同托管所公開(kāi)的一些功能，例如UE上的可信權(quán)證服務(wù)器或TTverifier的功能。與只支持3GPP規(guī)定的已有協(xié)議而在3G網(wǎng)絡(luò)上實(shí)現(xiàn)OpenID或自由聯(lián)盟互通的常規(guī)UE當(dāng)前可用的功能相比，所公開(kāi)的這些功能可以單獨(dú)或共同添加更多的安全性和信任證據(jù)。4技術(shù)概述本節(jié)提供的是能夠提供標(biāo)識(shí)管理(IdM)解決方案的實(shí)施方式的技術(shù)概述。例如，這些實(shí)施方式可被用于將OpenID供應(yīng)方(OP)服務(wù)器功能置于移動(dòng)本地平臺(tái)中，尤其是智能卡中。在第4. I節(jié)，我們提供的是對(duì)OpenID的介紹。第4. 2節(jié)論述的是提供智能卡上的OpenID以及架構(gòu)、實(shí)施選項(xiàng)、變體、和3GPP GBA的集成(通用自舉架構(gòu))的實(shí)施方式。第4. 3節(jié)論述的是設(shè)想了 OpenID供應(yīng)方(OP)實(shí)施平臺(tái)選項(xiàng)的實(shí)施方式。此外，第4. 3節(jié)還論述了實(shí)施兼容JavaCard 的智能卡的實(shí)施方式，以及在智能卡網(wǎng)絡(luò)服務(wù)器(SCffS)上實(shí)施OP的實(shí)施方式。第4. 4節(jié)論述的是處理本地用戶認(rèn)證的實(shí)施方式。本地用戶認(rèn)證是一個(gè)涉及OpenID和其他SSO技術(shù)的主題。此外，第4. 4節(jié)還論述了使用生物計(jì)量學(xué)的實(shí)施方式。第4. 5節(jié)論述的是提供了可以在OpenID上下文中發(fā)展的“信任”和“信任關(guān)系”方法的實(shí)施方式。例如，在這里描述的是若干個(gè)公開(kāi)了 MNO的作用的實(shí)施方式，此外還詳細(xì)探討了所述MNO與OpenID協(xié)議中的其他實(shí)體/行動(dòng)者可能具有的信任關(guān)系。在一個(gè)示例實(shí)施方式中，MNO —個(gè)并且與主標(biāo)識(shí)供應(yīng)方(IdP)是完全相同的，并且智能卡上的OP是MNO的代理(充當(dāng)IDP)。在第二示例實(shí)施方式中，MNO并不擁有或管理智能卡上的0P，并且該MNO不是IdP，相反，第三方IdP擁有并管理智能卡上的0P。第4. 6節(jié)論述的是允許在智能卡之外的平臺(tái)上實(shí)施OP的實(shí)施方式。例如，實(shí)施方式公開(kāi)的是JavaCard 和嵌入式安全元件上的實(shí)施可行性。此外，實(shí)施方式描述的是如何集成平臺(tái)信任概念(如可信計(jì)算中一樣)與移動(dòng)OP的概念，以便為移動(dòng)OP提供更高的信任和安全等級(jí)。4. I關(guān)于OpenID的介紹OpenID允許用戶使用單個(gè)OP登錄到不同的可依賴方站點(diǎn)。OP是用戶標(biāo)識(shí)的中心存儲(chǔ)位置，并且充當(dāng)了用戶的單個(gè)認(rèn)證點(diǎn)。由于用戶是針對(duì)其OP被認(rèn)證的，因此，該OP可以向可依賴方(RP)發(fā)布斷言，所述可依賴方則轉(zhuǎn)而允許用戶訪問(wèn)服務(wù)。為了方便起見(jiàn)，OP還被允許存儲(chǔ)那些可以與用戶簡(jiǎn)檔相比的個(gè)人信息。然后，在登錄過(guò)程之后，該信息可以在OP與RP之間交換，以便為RP提供關(guān)于用戶的更詳細(xì)信息。圖3示出的是用于允許用戶使用單個(gè)OP登錄到不同的可依賴方站點(diǎn)的OpenID協(xié) 議流程。如圖3所示，用戶嘗試執(zhí)行OpenID登錄，而這將會(huì)導(dǎo)致RP啟動(dòng)發(fā)現(xiàn)OpenID URI的處理。在RP與OP之間可以創(chuàng)建一個(gè)建立了共享秘密的可選安全關(guān)聯(lián)。當(dāng)發(fā)現(xiàn)過(guò)程完成時(shí)，RP會(huì)將用戶重定向到嘗試進(jìn)行用戶認(rèn)證的OP。OP為用戶提供登錄網(wǎng)頁(yè)，在該登錄網(wǎng)頁(yè)中，一旦輸入了恰當(dāng)?shù)淖C書，則用戶被認(rèn)證。一旦認(rèn)證成功，則將用戶重定向回到RP，并且在那里向用戶顯示針對(duì)網(wǎng)絡(luò)服務(wù)的登錄。4. 2智能卡上的OpenID在OpenID協(xié)議中，OP可以是用戶證書及其他用戶個(gè)人信息的儲(chǔ)存庫(kù)。從而，由于通過(guò)竊取用于向OP進(jìn)行認(rèn)證的用戶證書可以允許攻擊者以用戶的名義來(lái)訪問(wèn)所有啟用OpenID的站點(diǎn)，因此，在OpenID協(xié)議中，OP變成了大多數(shù)攻擊的目標(biāo)。在更溫和的攻擊方案中，舉例來(lái)說(shuō)，攻擊者會(huì)在用戶向其OP進(jìn)行了認(rèn)證之后使用登錄用戶的瀏覽器會(huì)話，例如代表用戶來(lái)執(zhí)行隱蔽的操作，在此類攻擊方案中，攻擊者并未得到用戶證書，因此不能使用這些證書來(lái)登錄任意站點(diǎn)。但是，OpenID協(xié)議的設(shè)計(jì)允許攻擊者登錄到用戶在先前的瀏覽器會(huì)話中登錄的所有RP站點(diǎn)。攻擊者不必訪問(wèn)用戶的機(jī)器，例如通過(guò)惡意軟件或MITM，這種攻擊可以由任何站點(diǎn)(該站點(diǎn)不必是RP站點(diǎn))通過(guò)將XSRF攻擊使用網(wǎng)站中的隱蔽框架來(lái)執(zhí)行。如果攻擊者能夠注入惡意軟件或是充當(dāng)MITM，那么整個(gè)登錄過(guò)程都有可能會(huì)被捕獲，然后在需要時(shí)在單獨(dú)的瀏覽器會(huì)話中重放。此外，如果用戶決定(在OP處)允許后續(xù)登錄而無(wú)需再次向OP提供其證書(舉例來(lái)說(shuō)，如果OP在用戶瀏覽器中存儲(chǔ)了永久性cookie)并且站點(diǎn)使用了 OpenID協(xié)議的“請(qǐng)求立即認(rèn)證”選項(xiàng)，那么用戶有可能未經(jīng)通知即被攻擊者獲得登錄。因此，對(duì)于OpenID實(shí)施來(lái)說(shuō)，OP安全性是一個(gè)主要的問(wèn)題。OpenID本身允許用戶在其擁有的諸如博客之類的網(wǎng)站上安裝自己的0P。但是，用戶不太可能擁有主機(jī)。因此，用戶相信其主機(jī)供應(yīng)方運(yùn)作正確且以恰當(dāng)方式保護(hù)其私有數(shù)據(jù)。雖然具有用戶專用設(shè)計(jì)的定制OP可以阻礙網(wǎng)絡(luò)釣魚攻擊，但是，由于攻擊不再以簡(jiǎn)單自動(dòng)的方式執(zhí)行，因此，所有那些使用了 OP實(shí)施以及用戶瀏覽器到OP的接口的弱點(diǎn)的攻擊(MITM，惡意軟件等等)仍舊是可能存在的。在一個(gè)示例實(shí)施方式中，諸如OP之類的SSO供應(yīng)方的功能可被帶給用戶控制和/或擁有的UE。例如，通過(guò)執(zhí)行該處理，可以提供集中環(huán)境來(lái)管理用戶標(biāo)識(shí)，同時(shí)提供OpenID協(xié)議供應(yīng)的無(wú)縫和簡(jiǎn)易認(rèn)證的好處。如果用戶能在其控制的安全設(shè)備上具有自己的OPJP么某些攻擊將更難以常規(guī)方式進(jìn)行。這種為用戶存儲(chǔ)和執(zhí)行OP的設(shè)備可以是用戶在其移動(dòng)設(shè)備中攜帶的可信計(jì)算環(huán)境，例如智能卡。大多數(shù)智能卡(例如UICC、Java卡等)都能執(zhí)行增強(qiáng)的功能，并且能與用戶交互。通過(guò)在屬于用戶的智能卡上運(yùn)行0P，可以允許用戶對(duì)其私有數(shù)據(jù)保持更多的控制。對(duì)于一些方案來(lái)說(shuō)，例如當(dāng)RP針對(duì)其服務(wù)收取費(fèi)用時(shí)，如果將基于智能卡的OP的可信性信息從MNO傳送到RP，那么將會(huì)是很有用的。這其中可以包括允許RP經(jīng)由MNO來(lái)向用戶收費(fèi)的反向信道。用戶可以使用本地信道來(lái)向OP進(jìn)行認(rèn)證,例如經(jīng)由PIN碼。OP可以由MNO遠(yuǎn)程安裝，以及用于OP的必要證書可以經(jīng)由GBA協(xié)議帶給智能卡。圖4示出的是為SSO協(xié)議提供可信計(jì)算環(huán)境上的集成OP的協(xié)議流程的示例實(shí)施方式。例如，該協(xié)議流程可以被使用以為OpenID提供處于智能卡上的集成0P。如圖4所示，在201處，用戶可以使用諸如網(wǎng)絡(luò)瀏覽器之類的用戶接口代理來(lái)訪問(wèn)RP，并且可以選擇使用OpenID進(jìn)行登錄。在202處，RP可以將用戶接口代理重定向到可能被包括在例如智能卡、UICC、Java卡等之類的可信計(jì)算環(huán)境內(nèi)部的本地0P。在203處，用戶可以在本地通過(guò)PIN碼、生物計(jì)量標(biāo)識(shí)等等來(lái)向可信計(jì)算環(huán)境上的OP進(jìn)行認(rèn)證。在204處，可信計(jì)算環(huán)境內(nèi)部的OP可以產(chǎn)生認(rèn)證響應(yīng)。在205處，OP可以將用戶接口代理重定向到RP，并且可以包括用戶已認(rèn)證的斷言。在206處，用戶接口代理可被重定向到RP，并在RP核驗(yàn)了來(lái)自O(shè)P的斷言之后，用戶可以被登入。RP有可能必須使用諸如公共因特網(wǎng)通信來(lái)建立到MNO提供的網(wǎng)絡(luò)服務(wù)實(shí)體的連接(如果OP是由MNO提供的)。例如，該處理有可能在RP無(wú)法直接與可信計(jì)算環(huán)境上的OP通信的時(shí)候進(jìn)行。MNO可以具有到可信計(jì)算環(huán)境的遠(yuǎn)程管理接口以及附加通信信道，例如SMS，這樣允許MNO與設(shè)備和/或可信計(jì)算環(huán)境進(jìn)行通信。該MNO可以充當(dāng)RP與可信計(jì)算環(huán)境上的OP之間的協(xié)商橋梁。圖5示出的是用于為OpenID提供處于智能卡上的集成OP的協(xié)議流程的示例實(shí)施方式。如圖5所示，在207處，用戶可以訪問(wèn)RP，并且選擇使用OpenID進(jìn)行登錄。在208處，該服務(wù)可以將用戶(用戶瀏覽器)重定向到其本地0P。例如，用戶可以在本地使用PIN碼并經(jīng)由智能卡接口和/或生物計(jì)量標(biāo)識(shí)來(lái)向OP進(jìn)行認(rèn)證。在210處，OP可以產(chǎn)生認(rèn)證響應(yīng)。在211處，OP可以將瀏覽器重定向到RP，并且可以包括用戶已被認(rèn)證的斷言。在212處，瀏覽器可以被重定向到RP，并在RP核驗(yàn)了來(lái)自O(shè)P的斷言之后，用戶可以被登入。RP有可能必須使用諸如公共因特網(wǎng)通信來(lái)建立到MNO提供的網(wǎng)絡(luò)服務(wù)實(shí)體的連接(如果OP是由MNO提供的)。例如，該處理可以在RP無(wú)法直接與智能卡上的OP進(jìn)行通信的時(shí)候進(jìn)行。MNO可以具有到智能卡的遠(yuǎn)程管理接口以及附加通信信道，例如SMS，這樣允許MNO與設(shè)備和/或智能卡進(jìn)行通信。該MNO可以充當(dāng)RP與智能卡上的OP之間的的協(xié)商橋梁。4.2.1架構(gòu)和偏好4. 2. I. I RP OP 通信需求、
在一個(gè)示例實(shí)施方式中，為使RP從在諸如智能卡之類的可信計(jì)算環(huán)境上運(yùn)行的OP獲得斷言，RP必須與OP進(jìn)行通信。該RP可以將用戶標(biāo)識(shí)符傳送到0P，然后，OP可以在認(rèn)證之后向RP告知認(rèn)證結(jié)果。
OpenID協(xié)議在協(xié)議期間使用了兩種不同類型的通信。間接通信是經(jīng)由HTTP重定向或HTML表單提交執(zhí)行的。就該通信經(jīng)過(guò)用戶瀏覽器的意義上講，該通信是間接的。間接通信被用于認(rèn)證請(qǐng)求(從RP經(jīng)由瀏覽器到達(dá)0P)和認(rèn)證響應(yīng)(從OP經(jīng)由瀏覽器到達(dá)RP)。直接通信是在RP與OP之間直接執(zhí)行的，并且其被用于與OP直接建立關(guān)聯(lián)并核驗(yàn)斷言。由于在RP與OP之間建立關(guān)聯(lián)(由此建立共享秘密)的處理并不是強(qiáng)制性的，因此有兩個(gè)用于OpenID認(rèn)證的協(xié)議流程。這里描述的實(shí)施方式可以使用任何一個(gè)用于OpenID認(rèn)證的協(xié)議流程來(lái)實(shí)施。4. 2. I. I. I基于關(guān)聯(lián)的通信的背景圖6示出的是用于基于關(guān)聯(lián)的通信的OpenID協(xié)議流程。 如圖6所示，在OpenID協(xié)議中，OP與RP之間的關(guān)聯(lián)不依賴于OP與RP之間預(yù)先共享的秘密。它是在用戶向RP提供其OpenID標(biāo)識(shí)符并且希望使用OpenID登錄RP之后由RP執(zhí)行的初始步驟。在215處，RP連接到OP (經(jīng)由HTTPS)，并且執(zhí)行迪菲-赫爾曼(Diffie-Hellmann)密鑰交換來(lái)與OP建立(短期的逐個(gè)認(rèn)證會(huì)話)共享秘密k。然后，在230處，RP稍后使用該共享秘密來(lái)核驗(yàn)最初源自O(shè)P但卻是由RP經(jīng)由間接通信(瀏覽器重定向)而從用戶瀏覽器那里接收的斷言消息的簽名。在220處，如果在RP與OP之間建立了關(guān)聯(lián)(并且由此建立了共享秘密k)，則在認(rèn)證請(qǐng)求和響應(yīng)中傳遞該關(guān)聯(lián)句柄(經(jīng)由間接通信)。在225處，來(lái)自O(shè)P的認(rèn)證響應(yīng)包含了關(guān)聯(lián)句柄以及使用共享秘密k的斷言的簽名。然后，RP可以使用k來(lái)自動(dòng)地核驗(yàn)該簽名。關(guān)聯(lián)句柄的使用允許OP和RP兩者追蹤多個(gè)同時(shí)進(jìn)行的會(huì)話。4. 2. I. I. 2無(wú)狀態(tài)簽名核驗(yàn)的背景圖7示出的是用于無(wú)狀態(tài)簽名核驗(yàn)的OpenID協(xié)議流程。如圖7所示，如果在RP與OP之間沒(méi)有建立關(guān)聯(lián)，那么在240處，RP必須在去往OP的直接消息中核驗(yàn)在235處接收的認(rèn)證響應(yīng)中的簽名。在245處，如果該斷言有效并且確實(shí)是由OP發(fā)布的，那么OP必須向RP發(fā)布包含了被設(shè)置成“是”的“is valid”字段的聲明(statement)。雖然認(rèn)證請(qǐng)求和響應(yīng)是借助HTTP重定向并通過(guò)用戶瀏覽器傳遞的，并且由此在任何方案中都不需要在RP與OP之間具有任何直接通信信道，但是必定有一種方法供RP核驗(yàn)接收到的斷言上的簽名。如果初始協(xié)議必須保持符合標(biāo)準(zhǔn)，那么RP至少必須能在接收到用于簽名核驗(yàn)的斷言之后與OP聯(lián)系一次。然后將不再需要建立關(guān)聯(lián)。4. 2. I. 2用于認(rèn)證的本地設(shè)備上的OP的發(fā)現(xiàn)的實(shí)施方式當(dāng)使用OpenID協(xié)議時(shí)，RP未必需要在執(zhí)行間接通信的時(shí)候發(fā)現(xiàn)0P。在一個(gè)示例實(shí)施方式中，用于訪問(wèn)RP的瀏覽器將會(huì)得到指向智能卡上的本地OP的重定向。由于使用的是瀏覽器與RP之間的信道，因此，該RP甚至可以不需要知道OP的地址。但是，該重定向有可能需要將瀏覽器指向一個(gè)地址。該地址可以作為設(shè)備本地的IP地址(類似于指示本地主機(jī)的127. 0. 0. I)來(lái)給出，并且瀏覽器將會(huì)辨認(rèn)出這個(gè)地址，然后參與本地認(rèn)證。在另一個(gè)實(shí)施方式中，可以使用由瀏覽器出于重定向到本地OP以及繼續(xù)進(jìn)行用戶認(rèn)證的目的而轉(zhuǎn)換的專門標(biāo)識(shí)符。例如，此類標(biāo)識(shí)符可以采用sc://openid/identifier(標(biāo)識(shí)符)的形式，而這將會(huì)告知瀏覽器參與到與智能卡上的OP進(jìn)行的關(guān)于標(biāo)識(shí)符的認(rèn)證會(huì)話中。該認(rèn)證請(qǐng)求可以采用正確的通信格式來(lái)變換，以便用于諸如智能卡之類的可信計(jì)算環(huán)境。然后，依照ncc能力，在用戶與ncc之間可以經(jīng)由恰當(dāng)?shù)慕涌趤?lái)進(jìn)行認(rèn)證。例如，認(rèn)證可以使用pin碼、生物計(jì)量核驗(yàn)等等來(lái)進(jìn)行。該認(rèn)證可以指示用戶已經(jīng)以其它方式贊同認(rèn)證。例如，如果攻擊者或非授權(quán)用戶在不了解用戶的情況下使用智能卡來(lái)進(jìn)行認(rèn)證，那么通過(guò)執(zhí)行該處理，可以防止在這種情況下可能發(fā)生的攻擊。通過(guò)將認(rèn)證與用戶交互耦合，用戶可以知道正在進(jìn)行的事務(wù)處理。依照智能卡的能力，顯示實(shí)際事務(wù)處理細(xì)節(jié)是好的，也就是哪一個(gè)站點(diǎn)充當(dāng)RP、RP上的返回URL、以及將要使用哪一個(gè)標(biāo)識(shí)。如果智能卡上的OP支持多個(gè)OpenID標(biāo)識(shí)，那么OP甚至可以向用戶呈現(xiàn)與該RP結(jié)合使用的可選標(biāo)識(shí)。在進(jìn)行了針對(duì)OP的本地認(rèn)證之后(例如使用PIN碼)，瀏覽器被重定向到RP，由此包括來(lái)自O(shè)P的肯定斷言。在一個(gè)示例實(shí)施方式中，斷言可以由RP核驗(yàn)，并由此需要在RP與OP之間進(jìn)行直接通信，其中該直接通信經(jīng)由關(guān)聯(lián)或經(jīng)由先前章節(jié)中描述的直接簽名核驗(yàn)進(jìn)行。用于斷言核驗(yàn)的方法是實(shí)施特定的，并在下面的第4. 2. 2. I節(jié)中對(duì)其進(jìn)行了進(jìn)一步描述。 4. 2. I. 3用于MNO斷言的標(biāo)識(shí)的實(shí)施方式在一個(gè)示例實(shí)施方式中，諸如智能卡之類的可信計(jì)算環(huán)境上的本地OP被用于本地用戶認(rèn)證。該MNO可以是在接收到來(lái)自智能卡上的本地OP的觸發(fā)消息之后向RP提供必要斷言的實(shí)體，由此聲明用戶已被成功認(rèn)證。在第4. 2. 2. I. 2節(jié)的拆分OP方案中更進(jìn)一步地描述了該實(shí)施方式。4.2.2實(shí)施選項(xiàng)和實(shí)施方式變體本節(jié)意圖論述的是可以與這里公開(kāi)的更一般概念結(jié)合的實(shí)施方式的實(shí)施選項(xiàng)和變體。4. 2. 2. I用于斷言核驗(yàn)的RP-OP通信的實(shí)施方式4. 2. 2. I. I用于集成BONDI的實(shí)施方式在一個(gè)示例實(shí)施方式中，RP與OP之間的直接通信信道至少可以用于核驗(yàn)斷言簽名。例如，該直接信道可以通過(guò)在OP與RP之間的用戶瀏覽器而以隧道方式傳送業(yè)務(wù)來(lái)提供。該概念有可能需要瀏覽器在當(dāng)前會(huì)話內(nèi)部執(zhí)行附加的重定向。在另一個(gè)實(shí)施方式中，瀏覽器可以充當(dāng)RP的單個(gè)接觸點(diǎn)，以便實(shí)施可以用于在RP與OP之間建立通信信道的第二處理。由于在RP與OP之間指定的通信協(xié)議是HTTP或HTTPS，因此，該瀏覽器能夠傳送所有業(yè)務(wù)。為了便于瀏覽器與諸如智能卡之類的可信計(jì)算環(huán)境進(jìn)行通信，可以使用OMTPBONDI API。BONDI API可以允許瀏覽器使用JavaScript來(lái)與智能卡進(jìn)行通信，進(jìn)而與OP進(jìn)行通信。通過(guò)使用BONDI，甚至可以減少重定向。所述RP在其發(fā)送給瀏覽器的網(wǎng)頁(yè)中包括恰當(dāng)?shù)腏avaScript調(diào)用。JavaScript調(diào)用援引(invoke) BONDI API,并且可以允許訪問(wèn)該智能卡。然后，調(diào)用結(jié)果可以用相同的JavaScript包裝到至RP的響應(yīng)消息中(例如在HTTP傳遞(POST)消息中)。依照RP使用BONDI調(diào)用的時(shí)間，RP可以在所述RP使用認(rèn)證請(qǐng)求重定向頁(yè)面中的智能卡調(diào)用的時(shí)候建立關(guān)聯(lián)，或者它可以使用在RP接收到OP斷言之后顯示的頁(yè)面，由此允許RP能夠在沒(méi)有關(guān)聯(lián)的情況下執(zhí)行直接核驗(yàn)。圖8示出的是將BONDI與基于關(guān)聯(lián)的OpenID進(jìn)行集成的示例實(shí)施方式。如圖8所示，在245處，在OP與RP之間通過(guò)使用BONDI建立關(guān)聯(lián)。BONDI可以允許瀏覽器與諸如智能卡之類的可信計(jì)算環(huán)境和/或可以處于該可信計(jì)算環(huán)境內(nèi)部的OP進(jìn)行通信。在250處，在OP處接收來(lái)自RP的認(rèn)證請(qǐng)求。在255處，將認(rèn)證響應(yīng)反向傳遞到RP。圖9示出的是將BONDI與無(wú)狀態(tài)(沒(méi)有關(guān)聯(lián)的)的簽名核驗(yàn)進(jìn)行集成的示例實(shí)施方式。如圖9所示，在260處，OP和RP經(jīng)由BONDI和瀏覽器來(lái)進(jìn)行通信。在265處，RP向OP傳送認(rèn)證請(qǐng)求。在270處，OP向RP傳送認(rèn)證響應(yīng)。4. 2. 2. I. 2拆分OP的實(shí)施方式在一個(gè)示例實(shí)施方式中，RP可以通過(guò)使用拆分OP來(lái)核驗(yàn)接收到的斷言。在拆分OP中，在MNO與本地OP之間可以劃分OP的功能。雖然本地OP可以負(fù)責(zé)用戶認(rèn)證，但是MNO可以通過(guò)與RP進(jìn)行通信來(lái)核驗(yàn)源自智能卡OP的簽名。該處理可以結(jié)合在RP與MNO之間建立的關(guān)聯(lián)進(jìn)行，或者可以經(jīng)由無(wú)狀態(tài)的簽名核驗(yàn)進(jìn)行。圖10示出的是啟用拆分OP的示例實(shí)施方式。如圖10所示，在275處，在RP與MNO之間可以建立關(guān)聯(lián)。RP可以與MNO建立共享秘密，然后，OP可以在斷言消息的簽名過(guò)程中使用該共享秘密。如果RP與不同用戶具有多個(gè)同時(shí)的連接，那么該斷言消息還可能包 括關(guān)聯(lián)句柄，以使RP識(shí)別正確的共享秘密。該共享秘密可以允許RP核驗(yàn)斷言簽名，而不必與OP進(jìn)行通信。該關(guān)聯(lián)可以在執(zhí)行從RP首次重定向UE瀏覽器之前進(jìn)行。在280處，OP可以向RP傳送認(rèn)證請(qǐng)求。在285處，RP可以向OP傳送認(rèn)證響應(yīng)。在290處，OP可以與MNO建立關(guān)聯(lián)句柄和簽名密鑰。該關(guān)聯(lián)句柄和簽名密鑰可以使用GBA來(lái)建立。如果在RP與MNO之間沒(méi)有建立關(guān)聯(lián)，那么RP仍舊有可能需要能夠通過(guò)與MNO處的實(shí)體取得聯(lián)系來(lái)核驗(yàn)接收到的簽名。該實(shí)體有可能需要發(fā)布關(guān)于簽名有效性的聲明。在一個(gè)不例實(shí)施方式中，一個(gè)選項(xiàng)是檢查OP是否確實(shí)屬于MNO發(fā)布的0P。這種檢查有可能需要OP在至RP的認(rèn)證斷言消息中包括唯一標(biāo)識(shí)符，然后，RP會(huì)將該消息轉(zhuǎn)發(fā)給MNO。OP地址(IMEI/IMSI)甚至也可用作該標(biāo)識(shí)符。如果OP是作為有效OP注冊(cè)到MNO的，那么MNO會(huì)向RP返回具有被設(shè)置成“是”的“is valid”字段的消息，以使RP接受該斷言消息(斷言核驗(yàn))。拆分OP方案可以允許MNO以一種將所有認(rèn)證負(fù)擔(dān)卸載到智能卡上的本地OP的方式來(lái)保持其對(duì)OpenID過(guò)程的控制，同時(shí)MNO仍舊可以通過(guò)使用被設(shè)置成“否”的“is_valid”來(lái)回復(fù)，從而選擇撤銷標(biāo)識(shí)。簽名核驗(yàn)可以作為協(xié)議中的最后一個(gè)步驟而在用戶登錄到RP之前執(zhí)行。圖11示出的是啟用拆分OP的無(wú)狀態(tài)(無(wú)關(guān)聯(lián))實(shí)施方式的示例。在295處，在MNO與RP之間可以進(jìn)行斷言核驗(yàn)。在300處，RP可以向OP傳送認(rèn)證請(qǐng)求。在305處，OP可以向RP傳送認(rèn)證響應(yīng)。在310處，在OP與MNO之間可以建立關(guān)聯(lián)句柄和簽名密鑰。該關(guān)聯(lián)句柄和簽名密鑰可以使用GBA來(lái)建立。在另一個(gè)示例實(shí)施方式中，為使MNO與智能卡上的OP進(jìn)行通信，還研究了是否可以使用將加密SMS用作承載的標(biāo)準(zhǔn)OTA管理過(guò)程。被包括在SMS中的命令可以由SM卡解密，并且可以依照3GPP TS 11. 11定義的方式運(yùn)行。在另一個(gè)示例實(shí)施方式中，承載獨(dú)立協(xié)議(BIP)可以與卡應(yīng)用工具箱傳輸協(xié)議(CAT_TP)結(jié)合使用。BIP允許開(kāi)放從手持機(jī)到OTA服務(wù)器以及到(U) SM卡的數(shù)據(jù)信道，由此產(chǎn)生端到端的數(shù)據(jù)信道。一個(gè)SMS的大小是140字節(jié)，與之相比，用于BIP的數(shù)據(jù)分組包含了 1472個(gè)字節(jié)。BIP可以使用UE的GPRS連接來(lái)實(shí)施更快的連接。BIP是在3GPP TS31. Ill中被標(biāo)準(zhǔn)化的，而CAT TP則是在ETSI TS 102124中被標(biāo)準(zhǔn)化的。4. 2. 2. 2將3GPP GBA用于智能卡上的OP的實(shí)施方式在一個(gè)示例實(shí)施方式中，GBA可被用于引入在本申請(qǐng)中描述的基于UICC/H(e)NB的OP。例如，GBA協(xié)議可以由許多MNO使用和建立。4. 2. 2. 2. I 關(guān)于 GBA 的介紹3GPP GBA協(xié)議規(guī)范(3GPP TS 33. 220)是一種能在歸屬位置寄存器(HLR)或歸屬用戶服務(wù)器(HSS)上使用用戶的有效標(biāo)識(shí)來(lái)啟用用戶認(rèn)證的技術(shù)。GBA架構(gòu)是通過(guò)讓網(wǎng)絡(luò)組件質(zhì)詢UE中的SIM卡、以及核驗(yàn)回答與HLR/HSS預(yù)測(cè)的回答的相似性來(lái)進(jìn)行的。GBA代表的是一種共享密鑰認(rèn)證方法。自舉服務(wù)器功能(BSF)是MNO網(wǎng)絡(luò)實(shí)體，其充當(dāng)?shù)氖莾蓚€(gè)端點(diǎn)之間的中介，并且能 使這兩個(gè)端點(diǎn)建立共享秘密(其壽命可能是有限的)。以下圖示是作為參考而被包括進(jìn)來(lái)的，并且給出的是GBA架構(gòu)及其元件的概括。圖12示出的是在GBA架構(gòu)中使用的BSF功能。圖13示出的是GBA架構(gòu)概括。圖14示出的是來(lái)自3GPP TS 33. 220的GBA參考模塊。圖15示出的是來(lái)自3GPP TS 33. 220的訪問(wèn)網(wǎng)絡(luò)NAF的GBA參考模塊。4. 2. 2. 2. 2 GBA與SSO集成的現(xiàn)有技術(shù)GBA能夠被使用以運(yùn)用3GPP認(rèn)證和密鑰協(xié)定過(guò)程而在SSO上下文中產(chǎn)生專用于應(yīng)用的證書。該使用的一個(gè)示例是在描述了 GBA與自由聯(lián)盟SSO協(xié)議之間的互通方案的3GPPTR 33. 980中給出的。描述了 GBA與OpenID協(xié)議之間的互通方案的3GPP TR 33. 924中給出了另一個(gè)示例。3GPPTR使用了 GBA密鑰而在作為標(biāo)識(shí)供應(yīng)方的相同位置的NAF/0P與UE/用戶的nCC之間執(zhí)行用戶認(rèn)證。在本節(jié)的剩余部分，舉例來(lái)說(shuō)，我們將重點(diǎn)放在了 GBA與OpenID之間的互通上。UE在Ub接口上使用MNO HSS的BSF來(lái)創(chuàng)建這些應(yīng)用層證書。然后，這些證書經(jīng)由Zn接口與0P/NAF共享。之后，UE客戶端可以使用這些證書來(lái)與服務(wù)供應(yīng)方直接通信。圖16 不出的是用于 my MacDonald 等人撰寫的 “A Web Services Shopping Mallfor Mobile Users”(用于移動(dòng)用戶的網(wǎng)絡(luò)服務(wù)購(gòu)物中心)中所示的自由/GBA的架構(gòu)方案。如圖16所示，GBA可以與自由聯(lián)盟協(xié)議集成，以便提供實(shí)施自由IdP的購(gòu)物中心。通過(guò)該自由IdP，購(gòu)物中心(shopping mall)可以為用戶提供可供其在購(gòu)物服務(wù)時(shí)使用的標(biāo)識(shí)。該IdP使用了 GBA協(xié)議作為認(rèn)證機(jī)制。圖16示出了以下步驟315 一旦進(jìn)行了注冊(cè)，則(UE)的用戶代理在Ub上執(zhí)行帶有(BSF)的GBA U。320.為nCC內(nèi)部的用戶代理小應(yīng)用程序提供Ub參數(shù)。325.用戶代理的nCC組件計(jì)算Ks，并且為UE提供服務(wù)層證書(Ks(int/ext)NAF)。所述Ks始終保持在nCC中。330.用戶代理與(NAF/IdP)進(jìn)行聯(lián)系，以便獲取“Shopping Mall”標(biāo)識(shí)335.將適合用戶代理的服務(wù)證書經(jīng)由Zn傳遞給(NAF/IdP)340.將用于“shopping mall”的認(rèn)證令牌從(NAF/IdP)提供給用戶代理345. (UE)使用服務(wù)證書來(lái)與(SP)進(jìn)行通信，并且請(qǐng)求服務(wù)
350. (SP)確認(rèn)(UE)服務(wù)證書的有效性。4. 2. 2. 2. 3使用GBA和OpenID的實(shí)施方式在一個(gè)示例實(shí)施方式中，GBA可以被用于在MCC與NAF之間建立共享秘密。NAF可以與其他服務(wù)(例如IdP)處于相同位置，并且不必處于MNO網(wǎng)絡(luò)的內(nèi)部。NAF可以向BSF(處于MNO網(wǎng)絡(luò)內(nèi)部)要求連接。例如，UE內(nèi)部的nCC與NAF之間的連接可以經(jīng)由HTTP或HTTPS上的SOAP。在下文進(jìn)一步論述的其他實(shí)施方式中，對(duì)于可以用于OP與MNO之間的通信的基于nCC的OP來(lái)說(shuō)，該OP可以使用GBA協(xié)議。4. 2. 2. 2. 3. I作為OP的(直接)可信供應(yīng)方的MNO在一個(gè)示例實(shí)施方式中，從MNO可用于在RP與OP之間建立信任的意義上講，MNO可以直接被包含在RP-OP通信中。 以下實(shí)施方式可以與先前在第4. 5. 2. 2. I節(jié)中描述的實(shí)施方式相結(jié)合。用于RP 與MNO之間的直接連接的實(shí)施方式圖17示出的是將GBA用于MMO支持的標(biāo)識(shí)聲明的示例實(shí)施方式。如圖17所示，在370處，RP可以連接到MNO的網(wǎng)絡(luò)實(shí)體，以便建立關(guān)聯(lián)。該麗0實(shí)體可以充當(dāng)基于ncc的OP的斷言支持；該實(shí)體可被稱為OPsup。OPsup可以具有集成的NAF功能，并且可以被作為MNO網(wǎng)絡(luò)內(nèi)部(但是可到達(dá))或外部(但是可以由MNO操作或驗(yàn)證)的實(shí)體。在365處，OPsup和MCC上的OP可以執(zhí)行必要的自舉過(guò)程，以便使用GAA/GBA建立共享秘密。在355處，用戶瀏覽器可被從RP重定向到本地0P。在360處，在瀏覽器與OP之間可以進(jìn)行通信。用戶可以向本地(UICC) OP進(jìn)行認(rèn)證。在進(jìn)行了 360處的本地認(rèn)證之后(例如使用PIN)，在365處，OP可以向OPsup發(fā)送包含會(huì)話標(biāo)識(shí)符的消息(或是RP在初始重定向中傳遞的附加現(xiàn)時(shí)(nonce))，其中該會(huì)話標(biāo)識(shí)符是用從Ks_NAF得到的RP特定的密鑰Ks_NAF_RP簽名的，并且可選地，用于簽名的也可以是會(huì)話特定的密鑰。在370處，如果已經(jīng)在OPsup與RP之間建立了安全連接，那么由于所建立的信道已經(jīng)提供了來(lái)源的真實(shí)性(authenticity),并且為消息提供了完整性保護(hù)，因此，OPsup可以將這個(gè)消息轉(zhuǎn)發(fā)到RP。但是，OPsup可以用公鑰來(lái)對(duì)消息進(jìn)行簽名，以便在與通信信道無(wú)關(guān)的情況下提供完整性保護(hù)和真實(shí)性。RP可以配備一個(gè)從Ks_NAF得到的RP專用密鑰Ks_NAF_RP來(lái)核實(shí)OP簽名，可選擇地，該密鑰可以是會(huì)話專用密鑰。然后，Ks_NAF_RP可以經(jīng)由OPsup被傳遞到RP。在另一個(gè)實(shí)施方式中，KS_NAF可以直接用于簽名創(chuàng)建和核驗(yàn)。通過(guò)OP的間接通信的實(shí)施方式在一個(gè)示例實(shí)施方式中，間接通信可以用于將現(xiàn)時(shí)從RP傳送到0P，然后，OP會(huì)將其轉(zhuǎn)發(fā)到MNO。MNO對(duì)該現(xiàn)時(shí)進(jìn)行簽名，其中該現(xiàn)時(shí)可以被包括在本地認(rèn)證成功之后被從OP反向傳送到RP的斷言中。由于MNO對(duì)該現(xiàn)時(shí)進(jìn)行了簽名，因此可以向RP提供OP在MNO發(fā)布的ncc上運(yùn)行的保證。用于組合方法的實(shí)施方式在一個(gè)示例實(shí)施方式中，可以使用在RP與MNO之間經(jīng)由直接通信(例如HTTPS連接)建立的共享秘密。然后，在認(rèn)證完成時(shí)，RP可能期望OP將該秘密包括在斷言消息中。在另一個(gè)示例實(shí)施方式中，可以使用GBA。由于GBA協(xié)議不允許在NAF與MCC之間建立任意共享秘密(例如RP的秘密)，因此，在這里可以使用間接手段(例如同處一地的OPsup實(shí)體)。RP向OPsup發(fā)送會(huì)話標(biāo)識(shí)符，OPsup可以使用GBA來(lái)與MCC建立共享秘密。然后，OPsup使用與ncc (由此結(jié)合ncc上的op)建立的秘密相同的秘密來(lái)對(duì)會(huì)話標(biāo)識(shí)符進(jìn)行簽名，并且可以將被簽名的會(huì)話標(biāo)識(shí)符發(fā)送回RP。RP可以保持這個(gè)被簽名的會(huì)話標(biāo)識(shí)符作為參考。該RP將會(huì)話標(biāo)識(shí)符包括在重定向消息中，由此可以允許OP使用GBA秘密來(lái)對(duì)其進(jìn)行簽名。然后，OP可以將被簽名的會(huì)話標(biāo)識(shí)符包括在到RP的斷言消息中。之后，RP可以比較來(lái)自O(shè)P和來(lái)自O(shè)Psup的被簽名的消息。如果兩者匹配，則RP證明OP屬于OPsup的MNO的用戶。該實(shí)施方式可以代表閉環(huán)過(guò)程，其中簽名匹配加固了消息保護(hù)并且建立了OpenID 認(rèn)證。4. 2. 2. 2. 3. 2當(dāng)在MNO與智能卡上的OP (拆分0P)之間拆分OP功能時(shí)使用GBA的實(shí)施方式圖18示出的是啟用拆分OP的示例實(shí)施方式。如圖18所示，在375處，在RP與MNO之間可以建立關(guān)聯(lián)。RP可以與MNO建立共享秘密，然后，OP可以在斷言消息的簽名過(guò)程中使用該共享秘密。如果RP與不同用戶具有多個(gè)同時(shí)連接，那么該斷言消息還有可能需要包括關(guān)聯(lián)句柄，以使RP識(shí)別正確的共享秘密。該共享秘密可以允許RP核驗(yàn)斷言簽名，而 不必與OP進(jìn)行通信。這種關(guān)聯(lián)可以在首次從RP重定向UE瀏覽器之前執(zhí)行。在380處，OP可以向RP傳送認(rèn)證請(qǐng)求。在385處，RP可以向OP傳送認(rèn)證響應(yīng)。在390處，OP可以與MNO建立關(guān)聯(lián)句柄和簽名密鑰。該關(guān)聯(lián)句柄和簽名密鑰可以使用GBA來(lái)建立。在一個(gè)示例實(shí)施方式中，OP的功能可以劃分在MNO與本地OP之間。如果所使用的是RP與MNO之間的關(guān)聯(lián)，那么RP可以與MNO建立共享秘密，然后，OP可以在斷言消息的簽名過(guò)程中使用這個(gè)共享秘密。如果RP與不同用戶具有多個(gè)同時(shí)的連接，那么該斷言消息還可以包括關(guān)聯(lián)句柄，以使RP識(shí)別正確的共享秘密。該共享秘密可以允許RP核驗(yàn)斷言簽名，而不必與OP進(jìn)行通信。如果假設(shè)執(zhí)行了 GBA，那么可以將MNO與RP之間的共享密鑰傳遞到受Ks_NAF保護(hù)的0P。由此，OP可以使用經(jīng)由關(guān)聯(lián)建立的共享密鑰來(lái)對(duì)斷言消息進(jìn)行簽名。RP可以與MNO建立關(guān)聯(lián)，然后，MNO執(zhí)行產(chǎn)生MNO與OP之間的共享秘密的GBA過(guò)程。MNO可以在RP可到達(dá)的服務(wù)器上實(shí)施NAF功能。NAF可以與MCC上的OP建立共享秘密，而RP則從NAF接收共享秘密。關(guān)聯(lián)句柄(為NAF和RP所知)還可以被從MNO接觸點(diǎn)(NAF)發(fā)送到0P。然后，OP可以使用包括關(guān)聯(lián)句柄的GBA共享秘密來(lái)對(duì)發(fā)送給RP的斷言進(jìn)行簽名。由于RP已經(jīng)經(jīng)由關(guān)聯(lián)鏈路而從NAF那里接收到了相同的共享密鑰，因此，RP可以核驗(yàn)OP簽名。通過(guò)使用關(guān)聯(lián)句柄，可以允許OP和RP處理多個(gè)(同時(shí)的)會(huì)話。4. 2. 2. 2. 3. 3在拆分終端情況下的移動(dòng)OpenID中的GBA的使用在一個(gè)示例實(shí)施方式中，可以在瀏覽器和0P/UICC組合駐留在分離的設(shè)備的拆分終端配置中使用GBA?？梢约僭O(shè)所使用的是拆分終端類型的配置，但是OP是用戶本地的實(shí)體，并且其中如前所述，用戶在本地與OP執(zhí)行認(rèn)證。圖19示出的是啟用拆分終端/本地OpenId的示例實(shí)施方式。如圖19所示,舉例來(lái)說(shuō)，確保兩個(gè)設(shè)備之間的信道的安全的處理可以使用藍(lán)牙安全鏈路完成，或者可以借助TS 33. 259中描述的用以建立共享密鑰Ks本地設(shè)備(Ks_local_device)的過(guò)程等等來(lái)完成。密鑰可以在ncc內(nèi)部計(jì)算，并且可以經(jīng)由安全隧道傳遞到瀏覽器。共享秘密的建立可以由GBA來(lái)支持。該共享密鑰可以從GBA生成的密鑰KS(ext/int)NAF中得到。
在一個(gè)示例實(shí)施方式中，當(dāng)使用33. 259時(shí)，這時(shí)可以使用具有基于證書的相互認(rèn)證的HTTPS來(lái)建立用于連接NAF和遠(yuǎn)程設(shè)備的安全隧道。例如，瀏覽器可以是基于PC的、具有在因特網(wǎng)/TCP連接環(huán)境中工作的隧道。隧道的安全性可以借助信任機(jī)制來(lái)加固。依照移動(dòng)電話規(guī)范(MPWG)中的需求，在這里可以假設(shè)包含瀏覽器的遠(yuǎn)程設(shè)備是兼容TCG的。通過(guò)設(shè)備中的TPM證據(jù)，可以將HTTPS隧道建立綁定到瀏覽器設(shè)備的信任狀態(tài)。因此，嵌入在此協(xié)議中的完整性檢查會(huì)將Ks_本地_設(shè)備綁定到平臺(tái)。在另一個(gè)示例實(shí)施方式中，作為所述過(guò)程的一部分，托管用戶瀏覽器的遠(yuǎn)程設(shè)備可以請(qǐng)求MCC主機(jī)設(shè)備向其發(fā)送NAF_ID列表。MiTM可以很容易地產(chǎn)生這種請(qǐng)求并接收被請(qǐng)求的ID。對(duì)于保護(hù)隧道來(lái)說(shuō)，其證書和相互認(rèn)證方面結(jié)合所假設(shè)的恰當(dāng)信任特征將會(huì)確保在拆分終端配置內(nèi)部不會(huì)發(fā)生MiTM攻擊，或者如果發(fā)生了這種攻擊，該攻擊也是能被檢測(cè)到的。一旦完成了這種設(shè)置，則可以將Ks_本地_設(shè)備密鑰經(jīng)由隧道安全地發(fā)送到遠(yuǎn)程設(shè)備；隨后，遠(yuǎn)程設(shè)備(瀏覽器)可以發(fā)送密鑰生成請(qǐng)求消息(完整性受保護(hù))，以便在ncc主機(jī)設(shè)備上發(fā)起關(guān)于Ks_本地_設(shè)備的計(jì)算。在這里描述了用于拆分終端類型配置的標(biāo)識(shí)斷言協(xié)議。在這里可以假設(shè)已經(jīng)實(shí)施 了 GBA，并且實(shí)施了在遠(yuǎn)程平臺(tái)(瀏覽器-PC)與包含UICC/0P (UE)的設(shè)備之間建立共享密鑰Ks_本地_設(shè)備的過(guò)程。如圖19所示，在405 (連接UE和NAF/OPsup)和400 (連接UE和PC)處標(biāo)識(shí)的信道可以是安全的。在另一個(gè)示例實(shí)施方式中，MNO可以用于為這里的基于ncc的OP應(yīng)用的標(biāo)識(shí)斷言提供支持。在另一個(gè)示例實(shí)施方式中 用戶使用OpenID登錄表單來(lái)將其OP標(biāo)識(shí)符(URL)提供給RP (在395處) 用戶被RP重定向到其OP—該重定向消息包括現(xiàn)時(shí)或會(huì)話標(biāo)識(shí)符 RP與MNO建立以及安全關(guān)聯(lián)(例如HTTPS連接——在410處) RP還向OPsup發(fā)送會(huì)話標(biāo)識(shí)符一該消息受前述安全關(guān)聯(lián)保護(hù)(在410處) 用戶使用通過(guò)瀏覽器輸入的PIN (或密碼)進(jìn)行認(rèn)證 在一個(gè)消息中將該信息從PC經(jīng)由400傳遞到UICC/0P，其中該消息還包括從RP獲取的會(huì)話標(biāo)識(shí)符——如上所述，該消息是用Ks本地設(shè)備保護(hù)的 OPsup使用GBA密鑰Ks_ (ext/int) _NAF來(lái)對(duì)會(huì)話標(biāo)識(shí)符進(jìn)行簽名，并且將其發(fā)送回RP，RP則保持該簽名作為參考(410) 現(xiàn)在，OP同樣使用GBA密鑰Ks_(ext/int)_NAF來(lái)對(duì)從瀏覽器發(fā)送給它的會(huì)話標(biāo)識(shí)符進(jìn)行簽名，并且將該簽名包括在隨后發(fā)送給RP的斷言消息中(395).RP比較這兩個(gè)簽名，其中一個(gè)簽名來(lái)自O(shè)psup (410)，另一個(gè)簽名來(lái)自O(shè)P (395)；如果兩者匹配，則RP斷定該OP屬于OPsup的MNO的用戶。4. 3用于智能卡網(wǎng)絡(luò)服務(wù)器上的OP的有效協(xié)議的實(shí)施方式本部分旨在顯現(xiàn)SCWS上的OP提供的優(yōu)點(diǎn)，尤其是提供了有效改善并在本申請(qǐng)中被進(jìn)一步描述的實(shí)施方式的優(yōu)點(diǎn)。例如，所提出的實(shí)施方式可以是實(shí)施OpenID協(xié)議的實(shí)施方式，這些實(shí)施方式的其中一個(gè)優(yōu)點(diǎn)是認(rèn)證業(yè)務(wù)處于本地，并且除了現(xiàn)有HTTP消息流需要的空中接口網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)之外，該業(yè)務(wù)不會(huì)對(duì)其他的空中接口網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)造成負(fù)擔(dān)。發(fā)現(xiàn)和關(guān)聯(lián)業(yè)務(wù)并沒(méi)有經(jīng)由空中接口網(wǎng)絡(luò)，并且是在運(yùn)營(yíng)商OP與RP之間的固定線路的公共因特網(wǎng)上進(jìn)行的。
4. 3. I 標(biāo)準(zhǔn)的 OpenID圖20示出的是標(biāo)準(zhǔn)的OpenID協(xié)議。對(duì)該協(xié)議來(lái)說(shuō)，本地業(yè)務(wù)是不存在的，并且從空中網(wǎng)絡(luò)卸載的業(yè)務(wù)僅僅是發(fā)現(xiàn)過(guò)程以及在RP與OP之間建立關(guān)聯(lián)的處理。由于OP是網(wǎng)絡(luò)服務(wù)，因此，用戶/瀏覽器/設(shè)備與OP之間的所有通信全都會(huì)通過(guò)空中接口來(lái)進(jìn)行。例如，信號(hào)420、435、440、445、450、455、460和465是在通過(guò)作為數(shù)據(jù)業(yè)務(wù)(例如HTTP，基于IP的通信)并經(jīng)由在MNO/空中網(wǎng)絡(luò)上執(zhí)行的空中通信過(guò)程出現(xiàn)的。這代表了 MNO網(wǎng)絡(luò)上的加載。此外，信號(hào)425和430是在固定線路的因特網(wǎng)上出現(xiàn)的業(yè)務(wù)，并且可以使用現(xiàn)有基礎(chǔ)架構(gòu)。4. 3. 2 OpenlD/GBA圖21示出的是來(lái)自3GPP TR 33. 924v9. I. 0的OpenlD/GBA的業(yè)務(wù)流程。對(duì)于該協(xié)議定義來(lái)說(shuō)，無(wú)論RP與MNO之間具有怎樣的關(guān)聯(lián)步驟，所有通信都是在空中網(wǎng)絡(luò)上進(jìn)行的。但是，由于需要用于認(rèn)證的472和474，而這又會(huì)在空中數(shù)據(jù)網(wǎng)絡(luò)以及GBA認(rèn)證需要的 后端服務(wù)(稱為BSF和NAF子系統(tǒng))上增加負(fù)擔(dān)，因此，與基于網(wǎng)絡(luò)的OP相比，OpenlD/GBA中的業(yè)務(wù)甚至還會(huì)增大。因此，在這里我們將會(huì)看到空中網(wǎng)絡(luò)業(yè)務(wù)增大，以及網(wǎng)絡(luò)實(shí)體的負(fù)載增大。4. 3. 3用于協(xié)議改善的實(shí)施方式圖22示出的是用于減小空中業(yè)務(wù)的協(xié)議流程的示例實(shí)施方式。例如，該有效協(xié)議可以用于SCWS上的OpenID。在該實(shí)施方式中，可以假設(shè)在與SCWS相關(guān)聯(lián)的OP與MNO之間存在長(zhǎng)期共享密鑰。如圖22所示，空中業(yè)務(wù)可以被卸載到本地設(shè)備，從而減小空中接口網(wǎng)絡(luò)業(yè)務(wù)。舉例來(lái)說(shuō)，通過(guò)執(zhí)行該處理，可以允許認(rèn)證業(yè)務(wù)變?yōu)楸镜兀允拐J(rèn)證業(yè)務(wù)將對(duì)空中接口網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的負(fù)擔(dān)最小化。此外，發(fā)現(xiàn)和/或關(guān)聯(lián)業(yè)務(wù)未必經(jīng)由空中接口網(wǎng)絡(luò)發(fā)生，并且可以在固定線路的公共因特網(wǎng)上發(fā)生。在480處，用戶可以與諸如瀏覽器之類的用戶接口交互，并且可以訪問(wèn)RP，以及使用OpenID來(lái)請(qǐng)求登錄。在485處，RP和OP (MNO)可以基于OpenID標(biāo)識(shí)來(lái)執(zhí)行OP服務(wù)器的發(fā)現(xiàn)。在490處，RP可以向OP傳送關(guān)聯(lián)請(qǐng)求。OP可以產(chǎn)生隨機(jī)的唯一關(guān)聯(lián)句柄A，并且可以計(jì)算密鑰S。OP可以向RP傳送關(guān)聯(lián)響應(yīng)。該關(guān)聯(lián)響應(yīng)可以包括關(guān)聯(lián)句柄A和密鑰S。所述RP則可以存儲(chǔ)密鑰S和關(guān)聯(lián)句柄A。在495處，RP可以向?yàn)g覽器傳送重定向。該重定向可以將瀏覽器重定向到0P，并且可以將關(guān)聯(lián)句柄A包括在請(qǐng)求參數(shù)中。OP可以被關(guān)聯(lián)到SCWS。瀏覽器可以接收所述重定向，并且可以執(zhí)行修改的本地DNS查找來(lái)映射到SCWS。在500處，瀏覽器可以向OP傳送本地認(rèn)證請(qǐng)求。在505處，認(rèn)證可以在本地進(jìn)行。例如在510處，OP可以基于長(zhǎng)期共享密鑰K和關(guān)聯(lián)句柄A來(lái)核驗(yàn)證書。此外，OP還可以計(jì)算密鑰S，并且可以使用密鑰S來(lái)計(jì)算簽名。該簽名可以用于對(duì)斷言消息進(jìn)行簽名，和/或?qū)χT如return to (返回到)URL、標(biāo)識(shí)和/或模式之類的參數(shù)進(jìn)行簽名。在515處，OP可以向?yàn)g覽器傳送能將瀏覽器重定向到RP的重定向。該重定向可以包括關(guān)聯(lián)句柄A和被簽名的參數(shù)。在520處，瀏覽器可以向RP傳送請(qǐng)求，該請(qǐng)求可以包括來(lái)自O(shè)P的被簽名的斷言消息。RP可以使用密鑰S來(lái)核驗(yàn)斷言消息上的簽名。然后，在525處，RP可以允許瀏覽器顯示登錄頁(yè)面，并且可以向?yàn)g覽器提供對(duì)服務(wù)的接入。
4. 4用于在智能卡網(wǎng)絡(luò)服務(wù)器上實(shí)施OP的實(shí)施方式存在供用戶設(shè)備(UE)與SM卡通信的可用并被標(biāo)準(zhǔn)化的方法，例如，3GPP TS11.14規(guī)范定義了可供SIM應(yīng)用使用的SIM應(yīng)用工具箱(SAT)接口，但是并未定義如何可以在來(lái)自不同SIM廠家的各種SIM卡類型上以統(tǒng)一的方式訪問(wèn)命令。在一個(gè)不例實(shí)施方式中，通過(guò)使用SM應(yīng)用工具箱，SM卡可以獲得對(duì)UE的臨時(shí)控制(主動(dòng)式)。與UE向SM卡發(fā)送請(qǐng)求并且SM卡做出響應(yīng)的情形相比，UE可以從SM那里取得SAT命令。SM卡向UE發(fā)布SAT命令；無(wú)論命令是否執(zhí)行成功，UE都會(huì)做出相應(yīng)的反應(yīng)，并且向SIM回送響應(yīng)。4. 4. I智能卡網(wǎng)絡(luò)服務(wù)器上的OP智能卡網(wǎng)絡(luò)服務(wù)器(SCWS)是在USM卡上運(yùn)行的網(wǎng)絡(luò)服務(wù)器，其行為與傳統(tǒng)的網(wǎng)絡(luò)服務(wù)器相似。它可以被視為是SIM工具箱的進(jìn)步，并且在用于顯示電話簿的當(dāng)前應(yīng)用方案中，它可以被視為使用本地UE瀏覽器且經(jīng)由HTML接口的附加MNO服務(wù)等等。SCWS使用了標(biāo)準(zhǔn)的HTTP協(xié)議來(lái)將其內(nèi)容遞送到瀏覽器，但是與傳統(tǒng)的網(wǎng)絡(luò)服務(wù)器不同，SCWS可以使用兩個(gè)不同的承載=BIP (在T=O智能卡協(xié)議之上)或USB接口上的完整TCP/IP棧(在卡上 實(shí)施)。UE負(fù)責(zé)路由那些來(lái)自和去往SCWS USM的業(yè)務(wù)，由此充當(dāng)了將(U)SM連接到MNO和因特網(wǎng)的網(wǎng)關(guān)。如果使用的是BIP，那么ME中的路由器會(huì)將來(lái)自UE瀏覽器的某些HTTP請(qǐng)求重定向到本地SCWS。所定義的TCP端口上的HTTP請(qǐng)求將被發(fā)送到(U)SM上的SCWS，并且響應(yīng)中的HTML頁(yè)面是由SCWS產(chǎn)生的。不使用專用于BIP的TCP端口的HTTP請(qǐng)求被引導(dǎo)到因特網(wǎng)上的服務(wù)器。如果在(U) SM上將USB協(xié)議與完整的TCP/IP棧組合使用，那么UE與將內(nèi)部網(wǎng)連接到因特網(wǎng)的其他計(jì)算機(jī)具有相同的IP網(wǎng)關(guān)功能。ME網(wǎng)關(guān)還取決于使用的IP協(xié)議版本，即IPv4或IPv6。與BIP相比，完整的TCP/IP棧還提供了將請(qǐng)求從(U)SIM路由到因特網(wǎng)的可能性。圖23示出的是用于SCWS上的OP的內(nèi)部路由的示例實(shí)施方式。如圖23所示，SCWS可以用作OP的基礎(chǔ)，并且UE的路由能力可被修改，以便在指定的外部端口上作出反應(yīng)，以及將通信轉(zhuǎn)發(fā)到SCWS上的0P。例如，通過(guò)執(zhí)行該處理，可以在不具有經(jīng)過(guò)瀏覽器的隧道的情況下創(chuàng)建直接通信。這些業(yè)務(wù)有可能仍舊經(jīng)過(guò)相同的設(shè)備，但是有可能以不同方式被重定向。UE中的路由功能(RF)可以啟用多條通信路徑。當(dāng)用戶首次使用瀏覽器訪問(wèn)RP站點(diǎn)時(shí)，RF可以將所述請(qǐng)求經(jīng)由可用的出站TCP/IP接口(例如3G網(wǎng)絡(luò)連接性)重定向到RP?，F(xiàn)在，由于在該連接上建立了公共會(huì)話，因此，RP知道瀏覽器的IP地址。RP可以使用與用戶/瀏覽器會(huì)話中相同的地址來(lái)與OP取得聯(lián)系。RP可以在設(shè)備上使用另一個(gè)(預(yù)定義的)端口，該端口不同于在與瀏覽器進(jìn)行的HTTP會(huì)話中的端口。RF將這個(gè)端口看做是應(yīng)被路由到SCWS上的OP的端口。RF可以直接將消息重定向到OP，該OP可以允許RP與OP建立關(guān)聯(lián)。RP還有可能向?yàn)g覽器發(fā)布重定向，以便執(zhí)行OpenID認(rèn)證。該瀏覽器可以被重定向至Ij SCWS上的0P。RF可以將來(lái)自瀏覽器的呼叫看做是可被路由到本地SCWS的呼叫。OP可以執(zhí)行本地用戶認(rèn)證(該處理可以經(jīng)由安全的n進(jìn)行，也可以由SCWS作為控制所述設(shè)備的UICC能力的一部分來(lái)提供，而這通常需要用戶提供PIN碼)。在認(rèn)證之后，OP可以用肯定斷言來(lái)將瀏覽器重定向到RP。由于RP和OP有可能已經(jīng)建立關(guān)聯(lián)，因此，RP能夠自主核驗(yàn)該斷言。如果不能創(chuàng)建關(guān)聯(lián)，那么還可以實(shí)施OpenID的直接核驗(yàn)方案。在這種情況下，RP在接收到肯定斷言之后即可在預(yù)定端口聯(lián)系UE，RF會(huì)將請(qǐng)求路由到0P，而OP可以應(yīng)答核驗(yàn)請(qǐng)求。在一個(gè)示例實(shí)施方式中，在本地設(shè)備上可以限制針對(duì)OP的訪問(wèn)。例如，只有本地瀏覽器才可被允許獲取關(guān)于標(biāo)識(shí)的斷言。這樣做可以防止攻擊者從外部設(shè)備檢索(retrieve)標(biāo)識(shí)斷言。RF還可以將入站業(yè)務(wù)到OP的路由與先前的瀏覽器請(qǐng)求相耦合。例如，對(duì)于與瀏覽器通信的單個(gè)RP來(lái)說(shuō)，路由有可能在有限的時(shí)間中是活動(dòng)的。MNO還可以使用RF而分別在SCWS和OP上執(zhí)行管理任務(wù)。4. 4. I. I. I 一般需求以下是OpenID規(guī)范闡述的一般需求(R-I)在OpenID中，RP可以決定在無(wú)狀態(tài)或是以關(guān)聯(lián)為基礎(chǔ)的通信模式中工作。 由于不能在RP上進(jìn)行假設(shè)，因此，這兩個(gè)選項(xiàng)全都需要得到OP實(shí)施的支持。( R-2 )在無(wú)狀態(tài)模式中，在OP與RP之間沒(méi)有建立共享秘密，在RP經(jīng)由瀏覽器接收到來(lái)自O(shè)P的斷言消息之后，RP會(huì)直接與OP取得聯(lián)系。然后，RP會(huì)與OP建立直接的HTTP (S)連接，以便請(qǐng)求OP核驗(yàn)該斷言消息上的簽名。OpenID規(guī)范允許兩種不同類型的(對(duì)稱)簽名方案HMAC-SHA1_160比特密鑰長(zhǎng)度以及HMAC-SHA256-256比特密鑰長(zhǎng)度。如果RP使用了關(guān)聯(lián)，那么，在關(guān)聯(lián)建立處理中，在OP與RP之間可以交換該對(duì)稱密鑰。秘密交換是以如下方式保護(hù)的使用Diffie-Hellman密鑰交換保護(hù)，隨后用DH-密鑰-值來(lái)加密共享秘密，或者如果沒(méi)有使用DifTie-HelIman，則必須通過(guò)傳輸層安全措施來(lái)保護(hù)連接免受竊聽(tīng)者竊聽(tīng)。OP在斷言消息上發(fā)布的所有簽名都是使用了所提及的算法中的一種算法的對(duì)稱簽名。諸如全球平臺(tái)之類的智能卡術(shù)語(yǔ)使用了術(shù)語(yǔ)密碼或是更常見(jiàn)的“數(shù)據(jù)認(rèn)證模式(DAP)”來(lái)描述這種密碼簽名方案。(R-3)在基于關(guān)聯(lián)的OpenID中，RP與OP建立用關(guān)聯(lián)句柄標(biāo)識(shí)的共享秘密。RP將這個(gè)關(guān)聯(lián)句柄包含在初始重定向消息中，該消息將瀏覽器重定向到0P。然后，OP可以使用關(guān)聯(lián)句柄來(lái)發(fā)現(xiàn)RP的共享秘密，并且然后使用該秘密來(lái)對(duì)斷言消息進(jìn)行簽名。一旦接收到這個(gè)消息，RP可以自動(dòng)核驗(yàn)接收到的簽名。(R-4)在(R-1)、(R-2)、(R_3)中描述的通信選項(xiàng)全都需要從RP到可以經(jīng)由公共因特網(wǎng)到達(dá)的實(shí)體El的至少一個(gè)直接連接，其中對(duì)正常OpenID來(lái)說(shuō)，El是OP服務(wù)器。(R-5)來(lái)自(R-4)的實(shí)體El必須能在基于關(guān)聯(lián)的模式中，在OP服務(wù)器與RP之間建立共享秘密。在無(wú)狀態(tài)模式中，該秘密必須為OP所知，以便對(duì)消息進(jìn)行簽名，此外，該秘密還必須為這個(gè)可到達(dá)實(shí)體El所知，然后，RP會(huì)通過(guò)與之聯(lián)系來(lái)核驗(yàn)OP簽名。(R-6) OpenID中的簽名一般以HMAC-SHA1為基礎(chǔ)，OP和核驗(yàn)方必須能使用恰當(dāng)算法來(lái)對(duì)數(shù)據(jù)進(jìn)行簽名并核驗(yàn)簽名。(R-7)MN0必須提供網(wǎng)絡(luò)實(shí)體E2，所述網(wǎng)絡(luò)實(shí)體E2依照OpenID標(biāo)準(zhǔn)來(lái)提供借助于HTML或XRDS發(fā)現(xiàn)的OP發(fā)現(xiàn)處理。實(shí)體E2必須在作為OpenID標(biāo)識(shí)符一部分的DNS地址上運(yùn)行，例如，如果該標(biāo)識(shí)符是http: //openid. mno. com/id,那么MNO必須在http: //openid.mno. com上運(yùn)行網(wǎng)絡(luò)服務(wù)E2，也就是說(shuō)，MNO必須具有所述域和服務(wù)器，以便作為發(fā)現(xiàn)服務(wù)來(lái)運(yùn)行。發(fā)現(xiàn)服務(wù)借助于公共因特網(wǎng)進(jìn)行，并且可以是輕量級(jí)的。實(shí)體E2可以與來(lái)自(R-4)的實(shí)體El共處于提供這兩種功能的公共物理實(shí)體中。此外，E2可以與El分離，在這種情況下，發(fā)現(xiàn)處理為使用OpenID的漫游設(shè)備選項(xiàng)提供了進(jìn)入點(diǎn)。
(R-8)來(lái)自(R-7)的E2的(DNS)地址不應(yīng)改變，以便為用戶提供一致的標(biāo)識(shí)符。(R-9) OP必須能夠由用戶瀏覽器至少經(jīng)由HTTP到達(dá)。(R-10)與(R-9)中相同的連接可以使用HTTPS而不是HTTP?？蛇x的(R-Il) :0P必須能夠產(chǎn)生并顯示用作認(rèn)證頁(yè)的HTML頁(yè)面。由于未規(guī)定實(shí)際認(rèn)證，因此該處理是可選的。如果未使用認(rèn)證頁(yè)面，那么OP至少應(yīng)向用戶告知其OpenID標(biāo)識(shí)符已被使用，以免隱瞞標(biāo)識(shí)的使用情況。但是，不顯示認(rèn)證頁(yè)面可能有益于為用戶提供更為一致的SSO體驗(yàn)，例如，用戶每天只對(duì)SCWS上的OP進(jìn)行一次認(rèn)證，然后，所有的后續(xù)認(rèn)證處理都會(huì)自動(dòng)進(jìn)行。可選的(R-12):如果使用了認(rèn)證頁(yè)面，并且該認(rèn)證頁(yè)面接收來(lái)自用戶的數(shù)據(jù)，例如用戶名和密碼，那么OP必須能接受該數(shù)據(jù)，對(duì)該數(shù)據(jù)進(jìn)行處理和核驗(yàn)，以及執(zhí)行相應(yīng)的操
作。 可選的(R-13):如果使用了認(rèn)證頁(yè)面，那么該認(rèn)證頁(yè)面可以使用RP接收的信息而以易于理解的方式向用戶顯示附加信息，例如通過(guò)顯示RP名稱以及將在文本中使用、作為圖形圖標(biāo)使用或者同時(shí)以這兩種方式的組合形式使用的標(biāo)識(shí)符。可選的(R-14):如果使用了認(rèn)證頁(yè)面，則認(rèn)證頁(yè)面可以包括被用作指示符的(可視)秘密，該指示符向用戶表明該用戶正在與合法的OP進(jìn)行通信。4. 4. I. I. 2在OpenID中使用SCffS的實(shí)施的實(shí)施方式上一節(jié)論述的是OpenID標(biāo)準(zhǔn)設(shè)置的一般需求。在本節(jié)中，我們將要描述的是用于在如上所述OpenID需求以內(nèi)實(shí)施使用SCWS的本地OP的實(shí)施方式。在一個(gè)示例實(shí)施方式中，SCWS可以不是從公共因特網(wǎng)直接可到達(dá)的，也就是說(shuō)，RP不能直接與SCWS上的OP取得聯(lián)系。如果給出了需求(R-1)、( R-2 )、( R-3 )，那么可以使用間接指向。例如，MNO可以提供能夠經(jīng)由公共因特網(wǎng)到達(dá)的網(wǎng)絡(luò)服務(wù)，并且該服務(wù)能夠與關(guān)聯(lián)于SCWS的OP共享秘密(參見(jiàn)本文中關(guān)于拆分OP的章節(jié))。此外，該網(wǎng)絡(luò)服務(wù)還能與RP共享該秘密，由此在RP與關(guān)聯(lián)于SCWS的OP之間的共享秘密能夠被建立。在另一個(gè)實(shí)施方式中，RF可以將請(qǐng)求路由到SCWS上的0P。從MNO到SCWS的通信可以借助HTTP⑶并經(jīng)由遠(yuǎn)程管理接口進(jìn)行，例如經(jīng)由SCffS遠(yuǎn)程更新和相關(guān)聯(lián)的小應(yīng)用程序來(lái)進(jìn)行，該通信也可以來(lái)自手持機(jī)瀏覽器并借助本地HTTP(S)來(lái)進(jìn)行。本地連接接口可以被用于OpenID通信。另外，本地連接還可以充當(dāng)用于與SCWS和OP通信的通用HTTP⑶接口。ETSI SCP定義了借助TCP/IP (9)的智能卡訪問(wèn)，并且該訪問(wèn)可以不僅限于本地訪問(wèn)。例如，從外部實(shí)體對(duì)SCWS進(jìn)行的受限訪問(wèn)可能不是技術(shù)問(wèn)題；相反，依照用于SCWS的當(dāng)前標(biāo)準(zhǔn)規(guī)范，它有可能是設(shè)備內(nèi)部的路由功能限制。對(duì)SCWS進(jìn)行的直接HTTP訪問(wèn)可以在SCWS的未來(lái)版本中實(shí)現(xiàn)。此類訪問(wèn)可以不是管理訪問(wèn)。例如，對(duì)OpenID操作而言，RP可以訪問(wèn)由SCWS提供服務(wù)的網(wǎng)頁(yè)(實(shí)施OP服務(wù)器邏輯的動(dòng)態(tài)小應(yīng)用程序)。4. 4. I. 2用于為OP-相關(guān)聯(lián)的-SCWS實(shí)施處理附加和衍生需求的實(shí)施方式當(dāng)在MCC上實(shí)施OP并且OP與SCWS相關(guān)聯(lián)時(shí)，以下實(shí)施方式有可能產(chǎn)生附加需求(RSCWS-I)在一個(gè)示例實(shí)施方式中，MNO必須實(shí)施支持OP服務(wù)器功能(0PSF)，該OPSF能夠與關(guān)聯(lián)于SCWS的本地OP (以及可選地與RP)產(chǎn)生、共享和分發(fā)用于OpenID協(xié)議的秘密。所述支持OP功能有可能需要在RP與UE上的本地OP實(shí)體之間為在OpenID上的簽名中使用的共享秘密充當(dāng)協(xié)商可信方。該支持功能可以提供HTTP(S)接口，以使RP發(fā)起關(guān)聯(lián)處理(如果使用了關(guān)聯(lián))或者在RP請(qǐng)求時(shí)確認(rèn)來(lái)自本地OP的簽名。因此，它是可以經(jīng)由公共因特網(wǎng)到達(dá)的，并且該功能還必須能與本地OP進(jìn)行通信，以便交換秘密。這種針對(duì)本地OP的通信可能必須至少在用戶希望訪問(wèn)的每一個(gè)RP上執(zhí)行一次。在一個(gè)示例實(shí)施方式中，本地OP由MNO管理和維護(hù)。MNO可以通過(guò)與本地0P/SCWS進(jìn)行通信來(lái)更新共享秘密，而OMA SCffS標(biāo)準(zhǔn)可滿足需要。在另一個(gè)示例實(shí)施方式中，非MNO的遠(yuǎn)程OpenID標(biāo) 識(shí)供應(yīng)方服務(wù)對(duì)智能卡上的本地OP進(jìn)行管理并與之通信，此外，也可以使用全球平臺(tái)標(biāo)準(zhǔn)。通常，在OP與RP之間可以為每一個(gè)RP建立新的(對(duì)稱)秘密。由于很難限制用戶使用OpenID登錄來(lái)訪問(wèn)的RP，因此很難為用戶希望在未來(lái)訪問(wèn)的所有RP預(yù)先提供這些共享秘密。如果每一次為ncc中的每一個(gè)RP產(chǎn)生秘密(例如從種子值中將其導(dǎo)出),那么可以將該秘密與RP共享，這一點(diǎn)參見(jiàn)在稍后章節(jié)中的協(xié)議流程，在那里我們將對(duì)該選項(xiàng)進(jìn)行討論。(RSCWS-2)在另一個(gè)示例實(shí)施方式中，來(lái)自(RSCWS-I)且由MNO操作的網(wǎng)絡(luò)實(shí)體可以使用不同的信道和通信方法而在與SCWS關(guān)聯(lián)的OP中建立秘密，并將其分發(fā)給RP。從MNO到RP的通信被OpenID協(xié)議限制成是基于HTTP的通信。從MNO到與SCWS相關(guān)聯(lián)的OP的通信可以使用安全的SMS-PP，或者舉例來(lái)說(shuō)，該通信可以由GBA引導(dǎo)，和/或可以使用安全的通信協(xié)議，例如HTTP⑶SCWS遠(yuǎn)程管理接口。(RSCWS-3 )在另一個(gè)示例實(shí)施方式中，與SCWS相關(guān)聯(lián)的本地OP必須可以訪問(wèn)在來(lái)自(RSCWS-I)的MNO實(shí)體與智能卡之間共享的秘密。這些秘密并不是網(wǎng)絡(luò)專用密鑰，而是僅用于OpenID協(xié)議；如有需要，它們可被調(diào)用，并借助OTA措施來(lái)重新建立。這些秘密是供OP用于對(duì)從RP發(fā)送的HTTP參數(shù)進(jìn)行簽名的對(duì)稱密鑰。如果OP擁有本地0P，那么MNO可能不必分發(fā)這些秘密，這是因?yàn)镺P可以與其本地OP建立密鑰(得到GP和/或GMA的確認(rèn))。MNO有可能需要用于遠(yuǎn)程管理SCWS的秘密，但是他有可能借助該途徑來(lái)建立用于本地OP的密鑰。(RSCWS-4)在另一個(gè)示例實(shí)施方式中，對(duì)來(lái)自(RSCWS-3)的秘密的保護(hù)應(yīng)該使其不能被從手持機(jī)上的其他應(yīng)用中讀取，并且作用于這些秘密的所有算法都是在智能卡提供的安全環(huán)境中運(yùn)行的，由此不會(huì)將秘密暴露在智能卡環(huán)境中的應(yīng)用空間之外。如果本地OP是全球平臺(tái)應(yīng)用，那么可以由本地OP的安全域來(lái)存儲(chǔ)密鑰，其中所述本地OP的安全域?yàn)楸镜豋P執(zhí)行密碼運(yùn)算。(RSCWS-5)在另一個(gè)示例實(shí)施方式中，與SCWS相關(guān)聯(lián)的本地OP可以存儲(chǔ)供OP在以后使用的秘密和關(guān)聯(lián)句柄，從而如果再次訪問(wèn)該RP，則可以減少?gòu)腗NO到OP的附加OTA業(yè)務(wù)。(RSCWS-6 )在另一個(gè)示例實(shí)施方式中，與SCWS相關(guān)聯(lián)的本地OP可以在顯示給用戶的認(rèn)證頁(yè)面中使用只能由合法的本地OP顯示的附加安全特征，例如安全地存儲(chǔ)在智能卡中的秘密圖像。(RSCWS-7)在另一個(gè)示例實(shí)施方式中，與SCWS相關(guān)聯(lián)的OP必須實(shí)施處理HTTP請(qǐng)求和顯示HTML頁(yè)面的應(yīng)用邏輯之外的應(yīng)用邏輯，尤其是用于對(duì)來(lái)自RP的參數(shù)進(jìn)行簽名的應(yīng)用邏輯。(RSCWS-8)在另一個(gè)示例實(shí)施方式中，如果使用了由與SCWS相關(guān)聯(lián)的OP產(chǎn)生秘密的實(shí)施選項(xiàng)，那么來(lái)自(RSCWS-7)的應(yīng)用邏輯必須產(chǎn)生對(duì)稱秘密，并且將其安全傳遞到MNO網(wǎng)絡(luò)中的實(shí)體。(RSCWS-9)在另一個(gè)示例實(shí)施方式中，來(lái)自(RSCWS-7)和(RSCWS-8)的應(yīng)用邏輯可以在由SCWS動(dòng)態(tài)調(diào)用的Java小應(yīng)用程序或小服務(wù)程序中實(shí)施，以便執(zhí)行必要的操作，隨后將控制權(quán)返回給sews。所述小應(yīng)用程序/小服務(wù)程序應(yīng)在ncc中的安全環(huán)境里運(yùn)行。(RSCWS-10)在另一個(gè)示例實(shí)施方式中，SCWS可以提供用于認(rèn)證的動(dòng)態(tài)網(wǎng)頁(yè)，該網(wǎng)頁(yè)基于用戶簡(jiǎn)檔來(lái)顯示從MNO檢索的信息，例如廣告橫幅，其中該用戶簡(jiǎn)檔可以通過(guò)追蹤在RP上使用的用戶OpenID標(biāo)識(shí)來(lái)產(chǎn)生。MNO可以在SCWS上提供用于市場(chǎng)營(yíng)銷/廣告目的的RP ‘網(wǎng)絡(luò)空間’。這樣做會(huì)為SCWS上的OP帶來(lái)另外的價(jià)值。(RSCWS-Il)在另一個(gè)示例實(shí)施方式中，如果SCWS證明在具體方案中過(guò)于受限，那 么另一個(gè)選項(xiàng)可以是基于模仿SCWS功能的JavaCard應(yīng)用來(lái)實(shí)施應(yīng)用邏輯該應(yīng)用接受輸入的HTTP請(qǐng)求，為用戶提供認(rèn)證接口(例如PIN)，對(duì)簽名進(jìn)行計(jì)算，生成HTTP響應(yīng)，以及向?yàn)g覽器做出回應(yīng)。在該方案中可以探究BONDI框架是否有助于瀏覽器與取代SCWS的智能卡應(yīng)用之間的間接通信部分。4. 4. I. 3 命名規(guī)則用于實(shí)體的下列命名規(guī)則是適用的 與SCWS相關(guān)聯(lián)的OP :本地OpenID標(biāo)識(shí)供應(yīng)方，其發(fā)布被簽名的斷言消息，并且將這些消息通過(guò)用戶瀏覽器發(fā)送到RP。存放SCWS的智能卡乃至OP被假設(shè)成與MNO具有關(guān)系，由此與MNO關(guān)聯(lián)的所有實(shí)體都具有關(guān)系。
RP :依賴方，它可以是任何使用OpenID來(lái)為用戶提供登錄的網(wǎng)站。RP完全獨(dú)立于所有其他實(shí)體，因此，在RP上不能施加附加需求，并且不能改動(dòng)用于RP的OpenID協(xié)議流程。OP必須支持RP選擇使用的任一通信模式(無(wú)狀態(tài)或基于關(guān)聯(lián))。如果MNO決定用戶不應(yīng)該使用某些RP，那么由于用戶還可以使用別的標(biāo)識(shí)，因此，MNO不能通過(guò)拒絕對(duì)于這些RP的OpenID訪問(wèn)來(lái)拒絕對(duì)于這些站點(diǎn)的訪問(wèn)。MNO只能使用附加裝置來(lái)限制對(duì)于RP的訪問(wèn)，其中所述附加裝置通常阻止的是對(duì)消耗帶寬的站點(diǎn)進(jìn)行的訪問(wèn)。
OP-Agg =OP-Agg實(shí)施的是來(lái)自(R-7)的實(shí)體E2，其為RP提供了發(fā)現(xiàn)服務(wù)。
OPSF 0P服務(wù)功能(OPSF)實(shí)施的是能與關(guān)聯(lián)于SCWS的OP并且可選地與來(lái)自(RSCffS-I)的RP —起產(chǎn)生、共享和分布秘密的支持OP功能。從RP的角度來(lái)看，OPSF和關(guān)聯(lián)于SCWS的OP的行為就好像它們是單個(gè)實(shí)體。OPSF能夠核驗(yàn)與SCWS相關(guān)聯(lián)的OP發(fā)布的簽名，并且可以由RP經(jīng)由公共因特網(wǎng)直接到達(dá)。通過(guò)修改設(shè)備上的本地DNS解析緩存，可以將設(shè)備上的瀏覽器重定向到與SCWS相關(guān)聯(lián)的0P，以使OPSF的地址映射到與SCWS相關(guān)聯(lián)的本地OP。 瀏覽器在協(xié)議流程圖中顯示，以便明確往來(lái)于與SCWS相關(guān)聯(lián)的OP的路由和消息傳遞功能。否則，它只是顯示和接收用戶認(rèn)證的前端。4. 4. I. 4用于在SCWS/UICC上實(shí)施OP的實(shí)施方式在嘗試保持兼容標(biāo)準(zhǔn)的OpenID認(rèn)證協(xié)議的同時(shí)，本節(jié)使用了從如上所述的通用概念中得出的實(shí)施方式。以下論述了無(wú)狀態(tài)和基于關(guān)聯(lián)的模式協(xié)議的兩個(gè)實(shí)施方式；其中第二實(shí)施方式使用了密碼假設(shè)，這其中包括在OP卡功能與網(wǎng)絡(luò)側(cè)的服務(wù)器功能之間共享密鑰，以便加強(qiáng)認(rèn)證過(guò)程。4. 4. I. 4. I協(xié)議流程描述以下章節(jié)描述了用于實(shí)施與SCWS相關(guān)聯(lián)的OP的協(xié)議流程的示例實(shí)施方式。在一個(gè)示例實(shí)施方式中，如上在(R-I)中顯示的，這兩個(gè)方案(無(wú)狀態(tài)和基于關(guān)聯(lián))都可被覆蓋。在下文中提供了關(guān)于實(shí)施方式的呼叫流程的協(xié)議流程圖和描述。通用的OpenID協(xié)議則是對(duì)照?qǐng)D3示出的。在圖24-圖27中顯示了多個(gè)選項(xiàng)，并在相應(yīng)的描述中解釋了這 多個(gè)選項(xiàng)。4. 4. I. 4. 2用于使用無(wú)狀態(tài)模式的RP的協(xié)議流程圖24示出的是能使RP使用無(wú)狀態(tài)模式來(lái)執(zhí)行OpenID認(rèn)證的協(xié)議流程的示例實(shí)施方式。例如，RP可以使用無(wú)狀態(tài)模式來(lái)執(zhí)行OpenID用戶認(rèn)證。如圖24所示。530 :用戶可以訪問(wèn)RP網(wǎng)站并輸入其OpenID標(biāo)識(shí)符。例如http://op. org/identity。535 :瀏覽器可以向RP網(wǎng)站發(fā)送包含了 OpenID標(biāo)識(shí)符的HTTP消息。540 RP可以使用基于HTTP/HTML的OpenID ‘簡(jiǎn)單’發(fā)現(xiàn)處理，并且經(jīng)由公共因特網(wǎng)來(lái)聯(lián)系OP-Agg，以便檢索針對(duì)OpenID標(biāo)識(shí)符的標(biāo)識(shí)頁(yè)面。例如，HTTP獲取(GET)http: //op.org/identityo545 :0P-agg可以接收該請(qǐng)求，并且使用包含了 OPSF的因特網(wǎng)地址的HTML頁(yè)面來(lái)做出響應(yīng)，例如包含以下地址〈link rel= “openid. server，，href=http://op. org/server. cgi>OPSF可以像標(biāo)準(zhǔn)的OpenID標(biāo)識(shí)供應(yīng)方網(wǎng)絡(luò)服務(wù)一樣對(duì)RP進(jìn)行操作，也就是說(shuō)，在RP請(qǐng)求時(shí)，OPSF能夠核驗(yàn)斷言消息上的簽名(由本地OP發(fā)布)。OPSF可以經(jīng)由公共因特網(wǎng)到達(dá)，并且可以被假設(shè)成具有能夠經(jīng)由http://op. org到達(dá)的DNS名稱,如op. org。由于外界不可能知道智能卡的IP地址，因此使用了這種間接0P-agg和OPSF來(lái)進(jìn)行通信。OPSF的地址可以不同于0P-agg的地址。a.選項(xiàng)I :該項(xiàng)并非必需，而是給出一個(gè)選項(xiàng)。如果在這里未使用該選項(xiàng)，則可以在協(xié)議的后續(xù)階段中使用570處的選項(xiàng)2。i. 0P-agg通過(guò)向OPSF發(fā)送RP標(biāo)識(shí)符和OpenID用戶標(biāo)識(shí)符來(lái)向OPSF告知來(lái)自RP的請(qǐng)求。ii. OPSF可以嘗試在本地?cái)?shù)據(jù)庫(kù)中查找關(guān)于該RP的秘密和OpenID標(biāo)識(shí)。iii.如果沒(méi)有發(fā)現(xiàn)秘密，則OPSF可以產(chǎn)生新的秘密和關(guān)聯(lián)句柄，并且將這二者發(fā)送到與SCWS相關(guān)聯(lián)的0P，所述SCWS則轉(zhuǎn)而對(duì)其進(jìn)行存儲(chǔ)。iv.如果發(fā)現(xiàn)秘密，則OPSF會(huì)在以后使用該秘密來(lái)執(zhí)行簽名核驗(yàn)?？梢约僭O(shè)，如果OPSF在本地?cái)?shù)據(jù)庫(kù)中發(fā)現(xiàn)了秘密，那么與SCWS相關(guān)聯(lián)的OP已經(jīng)在先前與該RP執(zhí)行的協(xié)議過(guò)程中接收到該秘密和關(guān)聯(lián)句柄，由此能夠存儲(chǔ)并重新使用該秘密。OPSF用以核驗(yàn)簽名的秘密與關(guān)聯(lián)于SCWS的OP用以產(chǎn)生簽名的秘密可以是相同的。簽名的新鮮度可以由下一個(gè)步驟中插入的RP現(xiàn)時(shí)來(lái)確保，并且該RP現(xiàn)時(shí)需要是簽名的一部分。OpenID規(guī)范對(duì)簽名秘密本身的新鮮度保持默認(rèn)。OP負(fù)責(zé)確保秘密的密碼強(qiáng)度，保持其秘密性，以及在需要時(shí)確保其新鮮度。OPSF和關(guān)聯(lián)于SCWS的OP可以持續(xù)有限壽命或是用于對(duì)該目的簽名秘密的使用計(jì)數(shù)。關(guān)于秘密共享的選項(xiàng)的更多內(nèi)容是在第4. 4. I. 4. 3. I 節(jié)中描述的。550 :RP可以接收OPSF的地址，并且創(chuàng)建現(xiàn)時(shí)和會(huì)話標(biāo)識(shí)符，例如現(xiàn)時(shí)=123123，會(huì)話=用戶。RP可以編譯retUrn_t0 (返回到)參數(shù)，該參數(shù)向OP告知應(yīng)該在用戶認(rèn)證之后將瀏覽器重定向到哪一個(gè)URL。RP可以發(fā)布HTTP重定向，由此將瀏覽器重定向到OP服務(wù)器地址，其中所述HTTP重定向可以包含下列參數(shù)openid. mode (openid.模式)=checked_setup (核驗(yàn) _ 建立)，openid. identity (openid.標(biāo)識(shí))=http://op. org/identity,openid. return_to=http://rp. org/return. cgi session=User&nonce=123123
555 :瀏覽器可以接收重定向，并且開(kāi)放與RP在重定向消息中規(guī)定的URL相連的連接。560 結(jié)合可以將OPSF的URL映射到SCWS本地IP地址的經(jīng)過(guò)修改的本地DNS查找表，例如通過(guò)使用具有項(xiàng)http://op. org==127. 0. 0. I的主機(jī)文件,可以將瀏覽器重定向到與SCWS相關(guān)聯(lián)的本地0P，并且發(fā)布包含了來(lái)自550的參數(shù)的HTTP請(qǐng)求。經(jīng)過(guò)修改的本地DNS查找表可以在設(shè)備上使用，并且它會(huì)使設(shè)備認(rèn)為URLhttp://op. org處于SCWS的本地IP地址。因此，瀏覽器可以開(kāi)放與SCWS/本地OP的連接，而不是連接到OPSF (可以經(jīng)由公共因特網(wǎng)而在URLhttp://op. org到達(dá)該0PSF)。565 :通過(guò)執(zhí)行以下處理，可以確保將認(rèn)證業(yè)務(wù)保持在本地，這些步驟不是OpenID協(xié)議規(guī)范所需要或規(guī)定的a. OP可以與SCWS相關(guān)聯(lián),并顯示本地認(rèn)證頁(yè)面b.用戶可以輸入其認(rèn)證證書，例如用戶名和密碼c. OP可以與SCWS相關(guān)聯(lián)，以核驗(yàn)這些證書570 :如果使用的是處于545的選項(xiàng)1，那么與SCWS相關(guān)聯(lián)的OP有可能具有在關(guān)聯(lián)于SCWS的OP與OPSF之間共享的秘密和關(guān)聯(lián)句柄，其中所述秘密和關(guān)聯(lián)句柄是從OPSF那里新接收的，或者是從秘密和關(guān)聯(lián)句柄的本地存儲(chǔ)器中檢索得到的。a.選項(xiàng)2，如果在545處沒(méi)有使用選項(xiàng)I :i.與SCWS相關(guān)聯(lián)的OP可以產(chǎn)生新的秘密和關(guān)聯(lián)句柄ii.與SCWS相關(guān)聯(lián)的OP可以將這個(gè)秘密和關(guān)聯(lián)句柄經(jīng)由SCWS發(fā)送到OPSFiii. OPSF可以接收該秘密，并且安全地存儲(chǔ)該秘密，以便用于以后的訪問(wèn)舉例來(lái)說(shuō)，這里的目標(biāo)可以是在OPSF與本地OP之間共享秘密，因此，如果本地OP生成秘密，則可以在生成該秘密之后將其傳遞到0PSF。啟用工具箱的本地OP可以使用CAT來(lái)主動(dòng)與手持機(jī)通信，從而繞過(guò)SCWS。該消息可以依照標(biāo)準(zhǔn)的OTA (例如用于經(jīng)由SMS-PP承載來(lái)發(fā)送OPSF的0TA)而被格式化。但是，這種處理有可能需要OPSF經(jīng)由MNO的OTA系統(tǒng)來(lái)與所述卡進(jìn)行通信。作為替換，BIP網(wǎng)關(guān)可以提取工具箱消息的有效載荷，并且手持機(jī)可以使用TCP/IP將其發(fā)送到0PSF。但這仍舊要求消息經(jīng)由MNO的OTA服務(wù)器。如果所述卡不具有IP地址并且不支持TCP/IP，那么可以使用BIP。575 :與SCffS相關(guān)聯(lián)的OP計(jì)算下列參數(shù)的簽名return to、標(biāo)識(shí)以及模式。580 :與SCWS相關(guān)聯(lián)的OP向?yàn)g覽器發(fā)送HTTP重定向消息，其中包含了在步驟550中從RP接收到的參數(shù),此外還包括下列各項(xiàng)openid. signed (openid.簽名)參數(shù)中的一系列被簽名的參數(shù)，openid. assoc_handle (openid.關(guān)聯(lián)_句柄)參數(shù)中的關(guān)聯(lián)句柄，以及openid. sig參數(shù)中的簽名(基本(base) 64編碼)。該消息用于將瀏覽器重定向到RP上的return_to URL。585 :瀏覽器將用戶重定向到RP上的return_to URL。590 :RP接收被簽名的斷言消息，并且通過(guò)經(jīng)由公共因特網(wǎng)且基于HTTP(S)的直接通信來(lái)參與到與OPSF —起進(jìn)行的核驗(yàn)過(guò)程中。595 :RP發(fā)布一個(gè)HTTP傳遞消息，該消息包含了在580中從與SCWS相關(guān)聯(lián)的OP接收到的參數(shù)。600 =OPSF使用共享密鑰來(lái)核驗(yàn)接收到的數(shù)據(jù)上的簽名。605 :如果簽名核驗(yàn)成功,則OPSF返回is_valid:真(true)。610 :對(duì) RP 來(lái)說(shuō),用戶現(xiàn)在被標(biāo)識(shí)為 http://op. org/identity。615 :瀏覽器顯示RP的HTML頁(yè)面。620 :將用戶作為 http://op. org/identity 登錄到 RP 上。4. 4. I. 4. 3用于無(wú)狀態(tài)模式的附加實(shí)施方式4. 4. I. 4. 3. I 共享秘密 OpenID的無(wú)狀態(tài)模式是用RP從OP那里接收被簽名的聲明的過(guò)程來(lái)表征的，但是由于RP不知道用于簽名的秘密，因此其本身是不能核驗(yàn)該簽名的。在無(wú)狀態(tài)模式中，RP再次與OP進(jìn)行聯(lián)系，以便核驗(yàn)簽名。由于從RP的角度來(lái)看，發(fā)布簽名的OP (與SCWS相關(guān)聯(lián))和檢查簽名的OP (OPSF)被視為相同的實(shí)體，因此它們必須能夠共享秘密。適用于此的選項(xiàng)有若干個(gè)。4. 4. 1.4. 3. I. I 選項(xiàng) I 由 OPSF 來(lái)管理秘密本節(jié)概述的是一些使用了在上文中參考圖24描述的454處的選項(xiàng)I的實(shí)施方式。一旦執(zhí)行發(fā)現(xiàn)過(guò)程，則0P-agg可以向OPSF發(fā)出通知。然后，OPSF可以創(chuàng)建秘密和關(guān)聯(lián)句柄，并且將這二者發(fā)送到與SCWS相關(guān)聯(lián)的0P。如果OPSF是MNO的一部分，那么可以使用SCffS遠(yuǎn)程管理處理。如果OPSF不是MNO的一部分，那么在假設(shè)手持機(jī)提供支持的情況下，全球平臺(tái)方法允許OPSF向所述卡上的本地OP發(fā)送密鑰。在選項(xiàng)I中，在OPSF上可以實(shí)施中心秘密/關(guān)聯(lián)句柄數(shù)據(jù)庫(kù)及管理，其在數(shù)據(jù)庫(kù)中存儲(chǔ)了 OpenID標(biāo)識(shí)符、RP到關(guān)聯(lián)句柄以及秘密的映射。一旦OPSF接到通知，則OPSF可以執(zhí)行標(biāo)識(shí)和RP查找，如果沒(méi)有發(fā)現(xiàn)秘密，則OPSF可以生成新的秘密和關(guān)聯(lián)句柄，并且將其發(fā)送到SCWS上的0P。本示例實(shí)施方式假設(shè)SCWS上的OP能夠存儲(chǔ)RP的秘密以及關(guān)聯(lián)句柄，并且SCWS上的OP用于簽名的秘密與OPSF用于簽名核驗(yàn)的秘密是相同的。然后，該過(guò)程會(huì)在每一個(gè)RP上執(zhí)行一次。4. 4. 1.4. 3. 1.2選項(xiàng)2 由SCWS上的OP生成新秘密本節(jié)概述的是一些使用了在上文中參考圖24描述的選項(xiàng)2的實(shí)施方式。一旦接收到來(lái)自RP的參數(shù)，則與SCWS相關(guān)聯(lián)的OP可以產(chǎn)生新的關(guān)聯(lián)句柄和秘密。與SCWS相關(guān)聯(lián)的OP可以使用該秘密來(lái)對(duì)參數(shù)進(jìn)行簽名，然后將這個(gè)秘密和關(guān)聯(lián)句柄發(fā)送到0PSF。如果SCWS上的OP也能夠存儲(chǔ)該秘密，那么OPSF可以確定存儲(chǔ)這個(gè)秘密和關(guān)聯(lián)句柄，以便在以后使用。然后，該過(guò)程可以針對(duì)每個(gè)RP只執(zhí)行一次。該處理假設(shè)已經(jīng)存在永久性秘密，所述秘密可以允許本地OP對(duì)新秘密進(jìn)行加密，以使其只能被OPSF解密。這種加密處理允許本地OP在不需要傳輸層安全措施的情況下向OPSF發(fā)送新的秘密。4. 4. I. 4. 3. I. 3選項(xiàng)3 :從公共種子中導(dǎo)出的秘密在一個(gè)示例實(shí)施方式中，如果關(guān)聯(lián)于SCWS的OP和OPSF共享了公共種子，該公共種子可以被預(yù)先確立并獨(dú)立于結(jié)合不同RP所使用的一個(gè)或多個(gè)秘密，那么可以使用另一個(gè)變體。假設(shè)SCWS上的OP和OPSF共享公共種子值S。通過(guò)在唯一識(shí)別當(dāng)前的OpenID過(guò)程的通信過(guò)程中將加密功能應(yīng)用于這兩者接收的S和信息P，這二者可以擁有相同的秘密。例如，該共享秘密可以通過(guò)將散列函數(shù)應(yīng)用于S與P的級(jí)聯(lián)來(lái)計(jì)算，例如通過(guò)將共享秘密作為k=SHAl (S|P)來(lái)計(jì)算。通過(guò)檢查關(guān)聯(lián)于SCWS的OP和OPSF接收到的信息P，可以考慮不同的候選者，例如RP IP地址和OpenID標(biāo)識(shí)符、從RP接收的整個(gè)參數(shù)集、參數(shù)子集以及上 述各項(xiàng)的任何組合等等。與預(yù)先生成并可以在需要時(shí)使用秘密和關(guān)聯(lián)句柄的密鑰推導(dǎo)功能中一樣，這樣導(dǎo)出的秘密也可以依照公共模式來(lái)預(yù)先生成。4. 4. I. 4. 3. I. 4 更進(jìn)一步的選項(xiàng)更進(jìn)一步的選項(xiàng)也是適用的，這些選項(xiàng)可以產(chǎn)生類似的狀態(tài),例如OP和OPSF共享相同秘密的狀態(tài)。4. 4. I. 4. 3. 2 認(rèn)證選項(xiàng)由于在OpenID規(guī)范中并沒(méi)有規(guī)定實(shí)際用戶認(rèn)證，因此，不同的選項(xiàng)都是適用的。4. 4. I. 4. 3. 2. I用于集成來(lái)自可信OpenID的概念的實(shí)施方式在一個(gè)示例實(shí)施方式中，舉例來(lái)說(shuō)，通過(guò)使用TPM，設(shè)備可以產(chǎn)生關(guān)于軟件的量度。然后，這些量度可以在認(rèn)證會(huì)話過(guò)程中被傳送到與SCWS相關(guān)聯(lián)的0P。本地OP可以具有用于與量度進(jìn)行比較的參考值，并且只有在所報(bào)告的量度與這些已知的良好參考值相對(duì)應(yīng)的情況下，該認(rèn)證才會(huì)成功。4. 4. I. 4. 3. 2. 2使用認(rèn)證證書來(lái)解鎖OpenID秘密在一個(gè)示例實(shí)施方式中，用戶和OPSF可以共享公共秘密，例如PIN碼。PIN碼可以用于在用戶每次輸入證書的時(shí)候計(jì)算秘密，這與在4. 4. I. 4. 3. I. 3中描述的實(shí)施方式相似。該P(yáng)IN可以通過(guò)帶外注冊(cè)處理來(lái)共享。4. 4. I. 4. 3. 2. 3將用戶認(rèn)證綁定到設(shè)備和網(wǎng)絡(luò)認(rèn)證如果智能卡(和SCWS)支持生物計(jì)量用戶認(rèn)證，那么可以將OpenID認(rèn)證與用戶提供的生物計(jì)量標(biāo)識(shí)符綁定。由于OP位于本地(在智能卡上)，因此，它可以直接訪問(wèn)生物計(jì)量參考數(shù)據(jù)，并且不會(huì)向MNO或別的因特網(wǎng)實(shí)體泄露生物計(jì)量數(shù)據(jù)。在一個(gè)示例實(shí)施方式中，通信設(shè)備可以連接到網(wǎng)絡(luò)。該設(shè)備可以保持證書，所述證書可以安全地保存在設(shè)備或是ncc之類的智能卡上，并且所述證書被用于啟用設(shè)備對(duì)網(wǎng)絡(luò)的認(rèn)證。為了向那些只能被所述用戶訪問(wèn)的設(shè)備和網(wǎng)絡(luò)服務(wù)提供安全的訪問(wèn)，所述設(shè)備上可以包括生物計(jì)量掃描器，以便提供完全的三要素認(rèn)證機(jī)制，其中所述機(jī)制組合了生物計(jì)量、用戶知道的某些事物(例如pin或密碼)、以及用戶具有的某些事物(例如安全令牌生成器fob)。通過(guò)與先前描述的用于設(shè)備認(rèn)證的實(shí)施方式相結(jié)合，還可以在認(rèn)證過(guò)程中引入用戶認(rèn)證。在用戶使用這些認(rèn)證機(jī)制的組合而向設(shè)備認(rèn)證了該用戶自身之后，設(shè)備可以檢查用戶認(rèn)證是否正確，也就是說(shuō)，設(shè)備首先對(duì)用戶進(jìn)行認(rèn)證，然后，如果結(jié)果證明無(wú)誤，則將那些已被檢查的用戶認(rèn)證信息(例如采用原始形式、散列形式或其他壓縮形式而在用戶認(rèn)證過(guò)程中使用的用戶證書)組合到其自身內(nèi)部保持的設(shè)備證書中，之后則將組合的綁定證書信息發(fā)送到網(wǎng)絡(luò)。一旦接收到組合的證書，則網(wǎng)絡(luò)可以評(píng)定該設(shè)備是否正被合法用戶使用，以及設(shè)備本身是否合法。如果設(shè)備本身不能檢查用戶的真實(shí)性，那么它可以先將組合的證書信息發(fā)送到網(wǎng)絡(luò)，而不允許用戶執(zhí)行任何其他處理，并且只在網(wǎng)絡(luò)評(píng)定組合證書并且傳達(dá)了關(guān)于用戶通過(guò)認(rèn)證的信息之后才允許用戶訪問(wèn)它的其他功能。然后，設(shè)備可以允許用戶訪問(wèn)它的其他功能。該方法可以提供最嚴(yán)格的安全性，但是基于所實(shí)施的安全策略，認(rèn)證中使用的要素?cái)?shù)量有可能減少。
認(rèn)證機(jī)制可以引入這些實(shí)施方式的認(rèn)證方案包括I.用戶向設(shè)備提供所有的三種形式的認(rèn)證信息，這樣針對(duì)設(shè)備對(duì)用戶進(jìn)行認(rèn)證。一旦認(rèn)證成功，則提供對(duì)設(shè)備功能以及保持在設(shè)備上的數(shù)據(jù)的訪問(wèn)。然后，設(shè)備采用正常方式來(lái)向網(wǎng)絡(luò)認(rèn)證，以便為用戶提供設(shè)備上可用的基于網(wǎng)絡(luò)的服務(wù)。2.用戶向設(shè)備提供所有三種形式的認(rèn)證信息，這樣會(huì)使用某些或所有信息來(lái)向設(shè)備認(rèn)證該用戶，一旦認(rèn)證成功，則將某些或所有認(rèn)證信息連同保持在設(shè)備上的證書信息一起傳送到網(wǎng)絡(luò)，以便用于與網(wǎng)絡(luò)進(jìn)行附加認(rèn)證。一旦設(shè)備與網(wǎng)絡(luò)間的認(rèn)證成功，則允許用戶訪問(wèn)設(shè)備功能、保持在設(shè)備上的數(shù)據(jù)以及基于網(wǎng)絡(luò)的服務(wù)。3.上述(2)的一個(gè)變體是向網(wǎng)絡(luò)發(fā)送生物計(jì)量信息或是安全導(dǎo)出的唯一信息元素，例如生物計(jì)量信息的模糊散列，以便進(jìn)行網(wǎng)絡(luò)級(jí)用戶認(rèn)證，而不需要將用戶生物計(jì)量信息用于針對(duì)設(shè)備的本地認(rèn)證。4. (2)或(3)的另一個(gè)變體是允許用戶受限訪問(wèn)設(shè)備功能和數(shù)據(jù)，直至網(wǎng)絡(luò)認(rèn)證了該用戶(以及設(shè)備)，并且設(shè)備獲得了網(wǎng)絡(luò)回送的關(guān)于該評(píng)定的指示。在該模式中，用戶將被允許訪問(wèn)或使用某些預(yù)先指定的“安全有保證的”功能、以及那些只有在完成了用戶和設(shè)備證書的網(wǎng)絡(luò)認(rèn)證以及向設(shè)備回送了恰當(dāng)授權(quán)之后才允許訪問(wèn)的功能。將用戶認(rèn)證功能分散在設(shè)備與網(wǎng)絡(luò)之間或者分布于一個(gè)實(shí)體的上述機(jī)制的變體也是可行的。此外，通過(guò)將用戶認(rèn)證與設(shè)備認(rèn)證綁定，可以提供關(guān)于用戶和/或設(shè)備的強(qiáng)認(rèn)證。雖然可以引入多種生物計(jì)量類型，但是示例實(shí)施方式可以使用指紋掃描器或視網(wǎng)膜掃描器之類的生物計(jì)量掃描。通過(guò)引入生物計(jì)量掃描作為用戶接口的自然延伸，可以采用一種在用戶執(zhí)行功能或者訪問(wèn)處于設(shè)備本地或其他經(jīng)由通信網(wǎng)絡(luò)的特定服務(wù)時(shí)，基于觸發(fā)事件來(lái)提供動(dòng)態(tài)透明的用戶認(rèn)證的方式將生物計(jì)量掃描引入到安全功能中。例如，指紋掃描器可被引入一個(gè)軟鍵，以使手指敲擊時(shí)觸發(fā)軟鍵操作，例如“發(fā)送”，從而在認(rèn)證用戶的同時(shí)進(jìn)行調(diào)用。作為替換，通過(guò)結(jié)合用戶在顯示器表面、設(shè)備主體或觸摸按鍵上對(duì)設(shè)備進(jìn)行的物理接觸，可以采用一種不引人注目的認(rèn)證處理來(lái)向設(shè)備連續(xù)地認(rèn)證用戶。4. 4. I. 4. 4使用了基于關(guān)聯(lián)的模式的RP的協(xié)議流程
圖25示出的是允許RP使用基于關(guān)聯(lián)的模式來(lái)執(zhí)行OpenID用戶認(rèn)證的協(xié)議流程的示例實(shí)施方式。該關(guān)聯(lián)可以在用戶首次與RP進(jìn)行聯(lián)系并將其OpenID標(biāo)識(shí)符與該RP結(jié)合使用之后進(jìn)行。如果建立了關(guān)聯(lián)，則可以重新使用該關(guān)聯(lián)，這樣做會(huì)進(jìn)一步減少通信工作。但是，OP可能不會(huì)要求RP的工作模式，并且有可能由RP來(lái)決定兩種通信模式之一。該關(guān)聯(lián)在RP與OP之間建立永久性秘密，并且RP可以使用該秘密來(lái)對(duì)斷言消息進(jìn)行簽名，此外，RP還可以使用該秘密來(lái)核驗(yàn)OP簽名。OP可以決定共享秘密的有效期。RP和OP使用關(guān)聯(lián)句柄作為所述秘密的標(biāo)識(shí)符。該RP將關(guān)聯(lián)句柄包含在去往OP的第一請(qǐng)求消息中，然后，OP可以根據(jù)關(guān)聯(lián)句柄來(lái)使用相應(yīng)的秘密。如果OP確定該關(guān)聯(lián)已經(jīng)到期，那么OP會(huì)在響應(yīng)消息中通知RP。原則上，這樣做可以允許OP拒絕任何關(guān)聯(lián)請(qǐng)求。只要RP也能支持無(wú)狀態(tài)模式，則可以使用該處理來(lái)迫使RP退回到無(wú)狀態(tài)通信模式。例如，如果OP不能支持RP請(qǐng)求的簽名模式(HMAC-SHA1或HMAC-SHA256)，那么OP可以拒絕關(guān)聯(lián)請(qǐng)求。與用戶每次登錄RP時(shí)都在RP與OP之間建立新秘密的無(wú)狀態(tài)通信模式相反，每一個(gè)標(biāo)識(shí)和RP都會(huì)建立一次關(guān)聯(lián)。如果在OP與RP之間已經(jīng)建立關(guān)聯(lián)，那么RP和OP可以重新使用該關(guān)聯(lián)。 一旦知道了 OPSF的地址，也就是在發(fā)現(xiàn)階段之后，RP可以建立關(guān)聯(lián)，并且在繼續(xù)執(zhí)行協(xié)議之前，也就是在將關(guān)聯(lián)句柄包含在重定向消息中之前，所述RP必須完成所述關(guān)聯(lián)。如圖25所示625 :用戶可以訪問(wèn)RP站點(diǎn)，以便使用OpenID來(lái)進(jìn)行登錄；他可以輸入其OpenID標(biāo)識(shí)符，例如 http://op. org/identit630 :瀏覽器可以向RP網(wǎng)址發(fā)送包含了 OpenID標(biāo)識(shí)符的HTTP消息。635 RP可以使用基于HTTP/HTML的OpenID ‘簡(jiǎn)單’發(fā)現(xiàn)處理，并且經(jīng)由公共因特網(wǎng)來(lái)與OP-agg取得聯(lián)系，以便在標(biāo)識(shí)頁(yè)面上檢索OpenID標(biāo)識(shí)符，例如HTTP獲取http://op.org/identity640 :0P-agg可以接收請(qǐng)求，并且它可以通過(guò)使用包含OPSF地址的HTML頁(yè)面做出響應(yīng)，舉例來(lái)說(shuō)，包含以下地址〈link rel= “openid. server，，href = http://op. org/server. cgi>OPSF的地址可以不同于OP-agg的地址645 RP可以使用帶有下列參數(shù)且針對(duì)OPSF的HTTP POST (傳遞)調(diào)用openid. mode (openid.模式)=associate (關(guān)聯(lián))，openid. assoc_type (openid.關(guān)聯(lián) _ 類型)=HMAC_SHA1，openid. session_type (openid.會(huì)話 _ 類型)=blank (空)，openid. dh_*= ‘Diffie-HelImanParameters (迪菲赫爾曼參數(shù))’650 :0PSF可以產(chǎn)生用于RP的共享秘密和關(guān)聯(lián)句柄655 :0PSF可以使用將關(guān)聯(lián)句柄和秘密(如果使用了 Diffie_Hellman，則該秘密是經(jīng)過(guò)加密的)包含在密鑰=數(shù)值格式化文檔中的HTTP傳遞來(lái)對(duì)RP做出響應(yīng)。每一個(gè)RP和OpenID標(biāo)識(shí)都可以建立一次這種關(guān)聯(lián)。由于Diffie-Hellman可能受到MITM攻擊的襲擊，因此，OpenID最佳安全實(shí)踐建議使用HTTPS認(rèn)證660 RP可以創(chuàng)建會(huì)話現(xiàn)時(shí)和會(huì)話標(biāo)識(shí)符，例如
nonce=123123,session (會(huì)話)=User (用戶)665 RP可以存儲(chǔ)從OPSF接收的秘密和關(guān)聯(lián)句柄670 RP可以將關(guān)聯(lián)句柄包含在重定向消息中675 RP可以向?yàn)g覽器發(fā)送一個(gè)包含下列參數(shù)的HTTP REDIRECT (HTTP重定向)消息openid. mode=checked_setup (核驗(yàn) _ 建立)，openid. identity=http://op. org/identity,openid. return_to=http://rp. org/return. cgi session=User&nonce=123123, openid. assoc_handle (openid.關(guān)聯(lián) _ 句柄)=<association_handle,680 :瀏覽器可以接收重定向消息，并且開(kāi)放與RP在重定向消息中規(guī)定的URL的連接685 :借助于將OPSF的URL映射到SCWS本地IP地址的經(jīng)過(guò)修改的DNS查找表，例如，通過(guò)使用具有項(xiàng)http://op. org==127. 0. 0. I的主機(jī)文件,可以將瀏覽器重定向到與SCffS相關(guān)聯(lián)的本地0P，并且發(fā)布包含了來(lái)自675的參數(shù)的HTTP請(qǐng)求在設(shè)備上可以使用經(jīng)過(guò)修改的本地DNS查找表，以使所述設(shè)備認(rèn)為URL http://op. org處于SCWS的本地IP地址。因此，瀏覽器可以開(kāi)放與SCWS/本地OP相連的連接，而不是連接到OPSF (所述OPSF可以經(jīng)由公共因特網(wǎng)而在URL http://op. org處到達(dá))690 :下列各項(xiàng)并非由OpenID協(xié)議規(guī)范規(guī)定a.與SCWS相關(guān)聯(lián)的OP可以顯示本地認(rèn)證頁(yè)面b.用戶可以輸入其認(rèn)證證書,例如用戶名和密碼c.與SCWS相關(guān)聯(lián)的OP可以核認(rèn)證書695 :與SCWS相關(guān)聯(lián)的OP有可能需要使用已經(jīng)在OPSF與RP之間共享的秘密來(lái)對(duì)返回消息進(jìn)行簽名，并且可以應(yīng)用以下若干個(gè)選項(xiàng)a.選項(xiàng) I :i.該秘密有可能已經(jīng)存在，例如由OPSF預(yù)先共享和預(yù)先配備b.選項(xiàng) 2 i. OPSF可以向與SCWS相關(guān)聯(lián)的OP發(fā)送關(guān)聯(lián)句柄和和秘密，例如經(jīng)由安全的SMS來(lái)發(fā)送，或者通過(guò)由GBA來(lái)引導(dǎo)，和/或使用安全的通信協(xié)議，例如SCWS HTTPS遠(yuǎn)程管理接
nii.與SCWS相關(guān)聯(lián)的OP可以存儲(chǔ)秘密和關(guān)聯(lián)句柄c.選項(xiàng) 3 i.與SCWS相關(guān)聯(lián)的OP可以通過(guò)使用從RP接收的關(guān)聯(lián)句柄來(lái)從OPSF那里請(qǐng)求秘密。用于該消息的協(xié)議可以借助SMS運(yùn)行，此外，其他選項(xiàng)也是可行的，其可行性有待進(jìn)一步研究ii. OPSF可以基于關(guān)聯(lián)句柄來(lái)執(zhí)行秘密查找i i i. OPSF可以將秘密和關(guān)聯(lián)句柄發(fā)送到與SCWS相關(guān)聯(lián)的OP，例如經(jīng)由安全的SMS-PP發(fā)送、或者由GBA引導(dǎo)、和/或使用安全的通信協(xié)議，例如SCWS HTTPS遠(yuǎn)程管理接口700 :與SCWS相關(guān)聯(lián)的OP可以使用秘密來(lái)計(jì)算return_to URL、標(biāo)識(shí)以及模式參數(shù)上的簽名
705 :與SCWS相關(guān)聯(lián)的OP可以將簽名作為附加參數(shù)包含在HTTP重定向中710 與SCWS相關(guān)聯(lián)的OP可以向?yàn)g覽器發(fā)送HTTP重定向消息，該HTTP重定向消息包含下列參數(shù)openid. mode=id_res,openid. return—to=http://rp. org/return. cgi session=User&nonce=123123,openid. identity=http://op. org/identity,openid. signed=mode，identity, return—to，openid. assoc—handle= ‘a(chǎn)ssociation handle’，openid. sig= ibase64encoded signature (基本 64 位編碼的簽名)， 715:瀏覽器可以在不需要進(jìn)一步用戶參與的情況下將用戶重定向到RP上的return_to URL720 RP可以接收被簽名的斷言消息725 RP可以使用預(yù)先建立的共享秘密來(lái)核驗(yàn)簽名730 :對(duì)于 RP 來(lái)說(shuō),用戶可被標(biāo)識(shí)為 http://op.org/identity735 :瀏覽器可以顯示RP的HTML頁(yè)740 :用戶可被作為 http://op. org/identity 登錄到 RP基于關(guān)聯(lián)的模式的附加實(shí)施方式附加實(shí)施方式可以基于那些將附加實(shí)施方式用于第4. 4. I. 4. 3節(jié)的無(wú)狀態(tài)協(xié)議的實(shí)施方式。4. 4.2用于SCWS上的OP改進(jìn)的實(shí)施方式4. 4. 2. I關(guān)于改進(jìn)的一般方法在第4. 4. I節(jié)的示例實(shí)施方式中，可以關(guān)聯(lián)于SCWS的本地OP以及OPSF有可能需要為每一個(gè)RP至少建立一次用于斷言簽名及其核驗(yàn)的共享秘密。但是，還可以應(yīng)用其他方法，其中該協(xié)議是進(jìn)一步通過(guò)使用附加密碼手段改進(jìn)的，該手段允許在OPSF與本地OP之間只建立一個(gè)(長(zhǎng)期)共享秘密，然后使用密碼函數(shù)來(lái)導(dǎo)出用于該簽名的秘密。此外，OPSF與本地OP之間的秘密交換處理的集成可以在協(xié)議消息內(nèi)部執(zhí)行。4. 4. 2. 2關(guān)于改進(jìn)的背景技術(shù)信息以下章節(jié)提供的是可能的實(shí)施和實(shí)施方式的更多技術(shù)背景。SCWS可以使用基于IP的方法或傳統(tǒng)ncc方法來(lái)與手持機(jī)進(jìn)行安全通信，并且間接地與外界各方進(jìn)行安全通信；ncc應(yīng)用的擁有方可以將這些應(yīng)用下載到UICC，并且對(duì)其進(jìn)行遠(yuǎn)程管理。就ncc上的資源的使用情況而言，可以注意到的是，能夠支持全球平臺(tái)、SCWS以及后續(xù)IP棧的ncc很有可能支持大容量存儲(chǔ)器和USB。這種ncc可以具有足夠強(qiáng)大的處理器，并且o/s將會(huì)承擔(dān)資源管理。在圖24中的575處(無(wú)狀態(tài)模式)以及圖25中的695處(關(guān)聯(lián)模式)，與SCWS相關(guān)聯(lián)的OP可以存儲(chǔ)和使用秘密。例如，通過(guò)執(zhí)行該處理，可以將簽名密鑰保持在其永不丟棄的受保護(hù)的存儲(chǔ)器中，并且該密鑰只供卡本身的密碼算法使用。該密鑰可以是某個(gè)能與另一(可信)方(類似于MN0)安全共享并被保證不會(huì)離開(kāi)智能卡的密鑰。對(duì)于所下載的小應(yīng)用程序中的應(yīng)用特定簽名密鑰而言，我們需要考慮四個(gè)問(wèn)題(1)密鑰如何進(jìn)入ncc以及進(jìn)入小應(yīng)用程序，(2)如何保持密鑰安全性，(3)誰(shuí)可以使用密鑰，以及(4)可以如何更新密鑰。在一個(gè)示例實(shí)施方式中(對(duì)于問(wèn)題(I)的回答)，專用于ncc上的OP的密鑰可以作為小應(yīng)用程序的可執(zhí)行加載文件的一部分加載，并且可以駐留在小應(yīng)用程序的指定密鑰文件中。該應(yīng)用下載可以不使用SCWS管理更新處理。但是，SCWS可以調(diào)用智能卡應(yīng)用(意味著任何應(yīng)用，而不只是SCWS網(wǎng)頁(yè))。這意味著本地OP可能是在全球平臺(tái)框架中運(yùn)行的小應(yīng)用程序。對(duì)這種復(fù)雜的小應(yīng)用程序來(lái)說(shuō)(它不僅僅是SCWS HTML頁(yè)面)，較為有利的是使用全球平臺(tái)小應(yīng)用程序加載過(guò)程。在另一個(gè)不例實(shí)施方式中(對(duì)于問(wèn)題(2)的回答),屬于任何已加載應(yīng)用的秘密均由UICC的0/S保護(hù)。我們可以依靠0/S來(lái)實(shí)施該處理。UICC加載的程序運(yùn)行時(shí)所在的存儲(chǔ)器受0/S保護(hù)。 在另一個(gè)示例實(shí)施方式中(對(duì)于問(wèn)題(3)的回答)，舉例來(lái)說(shuō)，本地OP可以使用(專用)簽名密鑰來(lái)對(duì)一些數(shù)據(jù)進(jìn)行簽名(或解密/加密)。任何能夠經(jīng)由SCWS來(lái)與ncc上的本地OP進(jìn)行通信的外部實(shí)體都可以為小應(yīng)用程序提供數(shù)據(jù)，以便執(zhí)行簽名或解密，但是針對(duì)sews的這種通信有可能必須作為重定向經(jīng)由終端瀏覽器進(jìn)行。對(duì)于共享密鑰來(lái)說(shuō)，可以由OP之類的密鑰所有者來(lái)將這類密鑰分發(fā)給MNO之類的TTP，以使它們可以在與ncc的交互中使用這些密鑰。如果在與SCWS相關(guān)聯(lián)的OP中使用了密鑰文件來(lái)存儲(chǔ)密鑰，那么可以使用標(biāo)準(zhǔn)化的小應(yīng)用程序更新處理來(lái)更新密鑰文件。如果使用了 SCWS管理更新處理，那么該處理可以由SCWS更新處理的所有者完成(假設(shè)是MN0)。此外，使用在卡上密鑰生成的處理作為替換方案也是可行的。SCffS提供了 BIP/CAT通信以及經(jīng)由USB的TCP/IP/HTPP。在后一種情況中，在設(shè)備與SCWS之間可以使用TLS (基于PSK或PKI)。在另一個(gè)示例實(shí)施方式中，OP服務(wù)器應(yīng)用可以作為JavaCard小應(yīng)用程序而被加載到nCC上，隨后則以2006年3月發(fā)布的第2. 2版的全球平臺(tái)卡規(guī)范中規(guī)定的方式來(lái)對(duì)其進(jìn)行管理。所述小應(yīng)用程序可以位于卡發(fā)布者(Cl)的安全域(SD)或是應(yīng)用供應(yīng)方的(AP)SD中，即便這兩個(gè)域?qū)嶋H由同一方即MN0/CI擁有也是如此。作為替換，OP應(yīng)用可以是固件或本地應(yīng)用。OMA可以為SCWS的內(nèi)容和設(shè)置提供安全處理，其中所述內(nèi)容和設(shè)置是由遠(yuǎn)程服務(wù)器應(yīng)用使用針對(duì)SCWS且經(jīng)過(guò)相互認(rèn)證的HTTPS來(lái)更新的。例如，該處理是為了供作為卡發(fā)布方的MNO使用而被執(zhí)行的，因此是圍繞用于傳輸?shù)膫鹘y(tǒng)OTA設(shè)計(jì)的。該特征并不用于下載那些與SCWS相關(guān)聯(lián)的應(yīng)用，而是用于更新此類應(yīng)用(僅僅供MNO使用)。SCWS可以使用傳統(tǒng)的工具箱和OTA技術(shù)(其SMS-PP被默認(rèn)是無(wú)處不在的)。因此，如果ncc沒(méi)有自己的IP地址，那么SCWS描述的是將CAT/BIP用于nCC/ME連接，以便從客戶機(jī)瀏覽SCWS上的網(wǎng)頁(yè)，以及從管理實(shí)體傳送和管理SCWS上的網(wǎng)頁(yè)。同樣，SCffS還可以支持用于來(lái)自遠(yuǎn)程管理員的消息的級(jí)聯(lián)SMS-PP。但是，如果ncc具有自己的地址，那么SCffS還可以支持處于ncc高速(即USB)接口之上的直接TCP/IP連接，以便從客戶機(jī)瀏覽網(wǎng)頁(yè)，以及通過(guò)直接TCP/IP連接上的直接TLS連接來(lái)從管理實(shí)體傳送和管理SCWS上的網(wǎng)頁(yè)。
4. 4. 2. 3關(guān)于SCWS上的改進(jìn)OP的介紹以下實(shí)施方式描述的是SCWS上的OP的概念的改進(jìn)變體。SCWS上的OP可以是對(duì)OpenlD/GBA的改進(jìn)。例如，這些實(shí)施方式可以提供以下優(yōu)點(diǎn) SCffS上的OP可以使認(rèn)證處理處于設(shè)備本地，并且由此顯著降低通信成本，從而改進(jìn) OpenlD/GBA。 關(guān)于SCWS上的OP的進(jìn)一步改進(jìn)可以在OP與網(wǎng)絡(luò)端實(shí)體之間通過(guò)在標(biāo)準(zhǔn)的OpenID消息字段內(nèi)部傳遞認(rèn)證秘密來(lái)進(jìn)行。這樣做可以進(jìn)一步減小通信開(kāi)銷，并且可以緩解SCWS上的OP與網(wǎng)絡(luò)實(shí)體(OPSF)之間的關(guān)系，這樣則能夠在網(wǎng)絡(luò)之間遷移OpenID。此外，以下實(shí)施方式可以允許SCWS上的OP為網(wǎng)絡(luò)運(yùn)營(yíng)商產(chǎn)生以下主要優(yōu)點(diǎn)，例如
在移動(dòng)網(wǎng)絡(luò)上沒(méi)有認(rèn)證業(yè)務(wù) 認(rèn)證業(yè)務(wù)在公共因特網(wǎng)上 所有應(yīng)用數(shù)據(jù)業(yè)務(wù)都在移動(dòng)網(wǎng)絡(luò)上4. 4. 2. 4本地OP所做的改進(jìn)在示例實(shí)施方式中，本地認(rèn)證可以是對(duì)與SCWS相關(guān)聯(lián)的OP執(zhí)行的，由此顯著地減少業(yè)務(wù)。例如，通過(guò)執(zhí)行該處理，可以將認(rèn)證業(yè)務(wù)本地化，從而減小網(wǎng)絡(luò)本身的負(fù)擔(dān)。在一個(gè)示例實(shí)施方式中，在網(wǎng)絡(luò)OPSF實(shí)體與關(guān)聯(lián)于SCWS的OP之間可以為用戶訪問(wèn)的每個(gè)RP建立共享秘密。在這里描述了若干種用于建立這種秘密的機(jī)制。例如,在一個(gè)示例實(shí)施方式中，如果RP使用關(guān)聯(lián)，那么它們可以存儲(chǔ)用于簽名核驗(yàn)的秘密，并且可以在用戶下一次對(duì)其進(jìn)行訪問(wèn)的時(shí)候重新使用該秘密。在另一個(gè)示例實(shí)施方式中，如果RP使用無(wú)狀態(tài)模式，那么RP不能保存該秘密。OP可以創(chuàng)建秘密，并且可以與OPSF安全地共享該秘密。與SCWS相關(guān)聯(lián)的OP可以存儲(chǔ)該秘密，并且可以在用戶下一次訪問(wèn)相同RP的時(shí)候重新使用該秘密，OPSF也可以存儲(chǔ)相同的秘密，由此OPSF可以在無(wú)狀態(tài)模式中將其直接用于簽名核驗(yàn)。在另一個(gè)示例實(shí)施方式中，在某種程度上，在OSPF與關(guān)聯(lián)于SCWS的OP之間共享過(guò)一次的秘密是可以被重新使用的。例如，如果在智能卡上可以為OP保存總共5個(gè)秘密，那么可以在用戶每次訪問(wèn)RP時(shí)重新使用這些秘密。舉例來(lái)說(shuō)，與在3GPP TR 33. 924中規(guī)定的OpenlD/GBA相比，通過(guò)執(zhí)行該處理，可以極大地減小網(wǎng)絡(luò)業(yè)務(wù)。例如，日常業(yè)務(wù)可以縮減一半，如果考慮的是數(shù)天，那么由于可以重新使用秘密，因此縮減量甚至?xí)兊酶?。所提到的秘密可以不同于在OpenlD/GBA中使用的秘密，在OPSF與關(guān)聯(lián)于SCWS的OP之間共享的秘密是用于對(duì)斷言消息進(jìn)行簽名的OpenID秘密。與標(biāo)準(zhǔn)的OpenID協(xié)議過(guò)程中一樣，這些秘密是可以與RP共享的，并且是可以作為壽命較長(zhǎng)的秘密來(lái)建立的，例如，所述秘密比單個(gè)登錄會(huì)話持續(xù)的時(shí)間更長(zhǎng)，由此基本上是允許這種重新使用的。4.4.2.5更進(jìn)一步的改進(jìn)在一個(gè)用于實(shí)施SCWS上的OP的協(xié)議流程的示例實(shí)施方式中，MNO運(yùn)行的OPSF網(wǎng)絡(luò)實(shí)體可以參與到與關(guān)聯(lián)于設(shè)備上的SCWS的OP進(jìn)行的附加通信中。由于這兩個(gè)實(shí)體都必須配備相同的對(duì)稱密鑰，以使每一個(gè)RP對(duì)斷言消息進(jìn)行簽名或者分別對(duì)其進(jìn)行核驗(yàn)，因此，該通信是必需的。通過(guò)進(jìn)一步改進(jìn)這些實(shí)施方式，可以極大地減少設(shè)備與網(wǎng)絡(luò)之間的附加通信，以及將建立秘密所必需的信息直接封裝到OpenID消息的協(xié)議字段中。這些消息是作為HTTP消息經(jīng)由公共因特網(wǎng)發(fā)送的，它們有可能對(duì)MNO的空中網(wǎng)絡(luò)基礎(chǔ)架構(gòu)造成額外負(fù)擔(dān)。例如，通過(guò)執(zhí)行該處理，可以確保認(rèn)證業(yè)務(wù)處于本地，也就是介于瀏覽器與設(shè)備中的ncc/scws之間，由此可以防止不使用網(wǎng)絡(luò)。由于將通信從(空中)網(wǎng)絡(luò)卸載到了設(shè)備內(nèi)部的內(nèi)部通信上，因此，這種處理能夠減少一般的業(yè)務(wù)。通過(guò)確保在MNO與UICC/設(shè)備之間不必執(zhí)行用于認(rèn)證的附加信令業(yè)務(wù)，可以給出對(duì)這些實(shí)施方式所做的另一個(gè)改進(jìn)。例如，對(duì)于每一個(gè)認(rèn)證來(lái)說(shuō)可能沒(méi)有GBA過(guò)程(run),或者在網(wǎng)絡(luò)與設(shè)備之間不會(huì)經(jīng)由空中接口來(lái)發(fā)送SMS/MMS或控制消息。所有必要的信息都可以在HTTP消息內(nèi)部直接傳送，其中所述HTTP消息可以部分借助空中網(wǎng)絡(luò)并通過(guò)因特網(wǎng)(設(shè)備到RP)、而且部分通過(guò)固定線路的公共因特網(wǎng)(RP到MN0)被傳送。但是該業(yè)務(wù)可以I)由希望使用OpenID登錄的用戶觸發(fā)，2)經(jīng)由現(xiàn)有數(shù)據(jù)平面而向用戶收費(fèi)，3)比基于網(wǎng)絡(luò)的OpenID少，并且比在OpenlD/GBA中少。4. 4. 2. 4關(guān)于協(xié)議改進(jìn)的技術(shù)細(xì)節(jié)4. 4. 2. 4. I 命名規(guī)則 在這里將會(huì)重復(fù)如上所述的相同命名規(guī)則以供參考 與SCWS相關(guān)聯(lián)的OP :本地OpenID標(biāo)識(shí)供應(yīng)方，其發(fā)布被簽名的斷言消息，并且將這些消息通過(guò)用戶瀏覽器發(fā)送到RP。假設(shè)存放SCWS的智能卡乃至OP與MNO具有關(guān)系，并且由此與所有關(guān)聯(lián)于MNO的實(shí)體具有關(guān)系。
RP :依賴方，它可以是任何使用OpenID來(lái)為用戶提供登錄的網(wǎng)站。RP完全獨(dú)立于所有其他實(shí)體，因此，在RP上不能施加附加需求，并且不能改動(dòng)RP的OpenID協(xié)議流程。OP必須支持RP選擇使用的任意通信模式(無(wú)狀態(tài)或基于關(guān)聯(lián))。如果MNO決定用戶不應(yīng)該使用某些RP，那么由于用戶還可以使用別的標(biāo)識(shí)，因此，MNO不能通過(guò)拒絕對(duì)于這些RP的OpenID訪問(wèn)來(lái)拒絕對(duì)于這些站點(diǎn)的訪問(wèn)。MNO只能使用附加裝置來(lái)限制對(duì)于RP的訪問(wèn)，其中所述附加裝置通常阻止的是對(duì)消耗帶寬的站點(diǎn)進(jìn)行的訪問(wèn)。
OP-Agg =OP-Agg實(shí)施的是依照OpenID協(xié)議來(lái)為RP提供發(fā)現(xiàn)服務(wù)的網(wǎng)絡(luò)實(shí)體。
OPSF 0P服務(wù)功能(OPSF)實(shí)施的是能與關(guān)聯(lián)于SCWS的OP并且可選地與來(lái)自(RSCffS-I)的RP產(chǎn)生、共享和分布秘密的支持OP功能。從RP的角度來(lái)看，OPSF和關(guān)聯(lián)于SCffS的OP的行為就好像它們是單個(gè)實(shí)體。OPSF能夠核驗(yàn)與SCWS相關(guān)聯(lián)的OP發(fā)布的簽名，并且可以由RP經(jīng)由公共因特網(wǎng)直接到達(dá)。通過(guò)修改設(shè)備上的本地DNS解析緩存，可以將設(shè)備上的瀏覽器重定向到與SCWS相關(guān)聯(lián)的0P，以使OPSF的地址映射到與SCWS相關(guān)聯(lián)的本地OPo關(guān)于該實(shí)體OPSF的需求及其必要功能是如上在先前文檔“OP on SCffSspecification draft (SCWS上的OP規(guī)范草案)”中精確描述的。 瀏覽器在協(xié)議流程圖中顯示，以便明確往來(lái)于與SCWS相關(guān)聯(lián)的OP的路由和消息傳遞功能。否則，它只是顯示和接收用戶認(rèn)證的前端。4. 4. 2. 4. 2關(guān)于實(shí)施方式的可能假設(shè)關(guān)聯(lián)于SCWS的OP和OPSF功能可以建立長(zhǎng)期秘密K，該長(zhǎng)期秘密K由智能卡的安全特性保護(hù)，并且只能被與SCWS相關(guān)聯(lián)的OP訪問(wèn)。例如，該秘密既可以借助單個(gè)GBA過(guò)程建立，也可以用另一個(gè)允許從AKA密鑰中推導(dǎo)出密鑰的密鑰推導(dǎo)功能建立，還可以用其他任何在MNO與關(guān)聯(lián)于SCWS的OP之間產(chǎn)生共享秘密的方法來(lái)建立，其中所述共享秘密可以由ncc的安全特征來(lái)保護(hù)。此外,建立秘密的處理可以使用本領(lǐng)域中已知的任何方法來(lái)進(jìn)行。智能卡也可以提供密碼功能(算法和計(jì)算)，以便計(jì)算從K中得到的新秘密。該功能的具體屬性可以從安全需求描述中得到。相同或相似的功能也可以為OPSF所知，這樣可以允許OPSF從K中推導(dǎo)出密鑰。這兩個(gè)實(shí)體都能為密碼操作產(chǎn)生足夠長(zhǎng)的隨機(jī)值。4. 4. 2. 4. 3協(xié)議流程描述以下章節(jié)描述的是用于實(shí)施與SCWS相關(guān)聯(lián)的OP的協(xié)議流程的示例實(shí)施。4. 4. 2. 4. 3. I使用無(wú)狀態(tài)模式的RP的協(xié)議流程的示例實(shí)施方式如果RP使用無(wú)狀態(tài)模式來(lái)執(zhí)行OpenID用戶認(rèn)證，則可以應(yīng)用圖26描述的實(shí)施方 式。4. 4. 2. 4. 3. I. I關(guān)于無(wú)狀態(tài)模式的描述圖26示出的是改進(jìn)的無(wú)狀態(tài)模式的協(xié)議流程的示例實(shí)施方式。745 :用戶可以訪問(wèn)RP網(wǎng)址，并且為了使用OpenID登錄，他輸入了他的OpenID標(biāo)識(shí)符，例如 http://op. org/identity750 :瀏覽器可以向RP網(wǎng)址發(fā)送包含OpenID標(biāo)識(shí)符的HTTP消息。755 RP可以使用基于HTTP/HTML的OpenID ‘簡(jiǎn)單’發(fā)現(xiàn)處理，并且經(jīng)由公共因特網(wǎng)來(lái)與OP-agg取得聯(lián)系，以便在標(biāo)識(shí)頁(yè)面上檢索OpenID標(biāo)識(shí)符，例如HTTP獲取http://op.org/identityo760 :0P-agg可以接收請(qǐng)求，并且可以使用包含OPSF因特網(wǎng)地址的HTML頁(yè)面來(lái)做出響應(yīng)。例如，OP-agg可以通過(guò)包含以下地址來(lái)做出響應(yīng)〈link rel= “openid. server，，href = http://op. org/server. cgi>OPSF可以像標(biāo)準(zhǔn)的OpenID標(biāo)識(shí)供應(yīng)方網(wǎng)絡(luò)服務(wù)那樣對(duì)RP進(jìn)行操作。例如，OPSF能夠按照RP的請(qǐng)求來(lái)核驗(yàn)斷言消息上的簽名(由本地OP發(fā)布)。根據(jù)需求，OPSF必須可以經(jīng)由公共因特網(wǎng)到達(dá)，由此假設(shè)該OPSF具有DNS名稱，例如可以經(jīng)由http://op. org到達(dá)的op. org。由于外界不知道智能卡的IP地址，因此，OP-agg和OPSF的這種間接性可被用于通信。OPSF的地址可以不同于OP-agg的地址。765 RP可以接收OPSF的地址，并且創(chuàng)建現(xiàn)時(shí)和會(huì)話標(biāo)識(shí)符，例如nonce=123123，session=User。RP可以編譯return_to參數(shù),所述參數(shù)會(huì)向OP告知應(yīng)該在用戶認(rèn)證之后將瀏覽器重定向到哪一個(gè)URL。RP可以通過(guò)發(fā)布包含下列參數(shù)的HTTP重定向來(lái)將瀏覽器重定向到OP服務(wù)器地址openid. mode=checkid_setup,openid. identity=http://op. org/identity,openid. return_to=http://rp. org/return. cgi session=User&nonce=123123770 :瀏覽器可以接收所述重定向，并且可以開(kāi)放與RP在重定向消息中規(guī)定的URL的連接775 :借助于經(jīng)過(guò)修改而將OPSF的URL映射到SCWS本地IP地址的DNS查找表，例如通過(guò)使用具有項(xiàng)http://op. org==127. 0. 0. I的主機(jī)文件，瀏覽器可被重定向到與SCWS相關(guān)聯(lián)的本地0P，并且發(fā)布包含了 765處的參數(shù)的HTTP請(qǐng)求。在設(shè)備上可以使用經(jīng)過(guò)修改的本地DNS查找表，以使所述設(shè)備認(rèn)為URL http://op. org在SCWS的本地IP地址處。瀏覽器可以開(kāi)放與SCWS/本地OP的連接，而不是連接到OPSF (所述OPSF可以經(jīng)由公共因特網(wǎng)而在URLhttp: //op. org可到達(dá))。780 :通過(guò)執(zhí)行下列處理，可以確保認(rèn)證業(yè)務(wù)保持在本地，這些步驟并不是OpenID協(xié)議規(guī)范必需或規(guī)定的a.與SCWS相關(guān)聯(lián)的OP可以顯示本地認(rèn)證頁(yè)面b.用戶可以輸入其認(rèn)證證書，例如用戶名和密碼c.與SCWS相關(guān)聯(lián)的OP可以核認(rèn)證書
785 :與SCWS相關(guān)聯(lián)的OP可以創(chuàng)建唯一的隨機(jī)關(guān)聯(lián)句柄A。通過(guò)使用函數(shù)f，可以使用S=f (A，K)來(lái)計(jì)算斷言消息的簽名秘密，其中所述f應(yīng)該是單向的，由此對(duì)于A的認(rèn)識(shí)不會(huì)展現(xiàn)任何對(duì)于K的認(rèn)識(shí)。在一個(gè)示例實(shí)施方式中，即便展現(xiàn)了 S和A，也就是給出了 S和A，f也不會(huì)展現(xiàn)任何關(guān)于K的認(rèn)識(shí)，在計(jì)算方面，為函數(shù)g計(jì)算K=g(S，K)是不可行的。由于可以將A作為重定向消息中的參數(shù)的一部分展現(xiàn)給RP，因此可以假設(shè)RP不會(huì)在OpenID協(xié)議過(guò)程的無(wú)狀態(tài)模式中獲得對(duì)于S的認(rèn)識(shí)。關(guān)聯(lián)句柄A可以包含在重定向消息中。此外還可以假設(shè)，用S簽名了的被簽名的消息m不會(huì)向簽名核驗(yàn)器展現(xiàn)任何關(guān)于K的信息(由于使用了對(duì)稱密鑰簽名，因此簽名核驗(yàn)器始終需要擁有S來(lái)核驗(yàn)簽名，由此我們不要求該簽名不展現(xiàn)S)。在這里可以規(guī)定關(guān)聯(lián)句柄是長(zhǎng)為255個(gè)字符或更少的字串，并且可以只包括處于閉區(qū)間33-126中的ASCII字符(可打印的非空白字符)。OPSF用于核驗(yàn)簽名的秘密與關(guān)聯(lián)于SCWS的OP用于產(chǎn)生簽名的秘密可以是相同的。簽名的新鮮度可以由下一個(gè)步驟中插入的RP現(xiàn)時(shí)來(lái)確保，并且該RP現(xiàn)時(shí)必須是簽名的一部分。OpenID規(guī)范對(duì)簽名秘密本身的新鮮度保持默認(rèn)。OP負(fù)責(zé)確保秘密的密碼強(qiáng)度，保持其秘密性，以及在需要時(shí)確保其新鮮度。OPSF和關(guān)聯(lián)于SCWS的OP可以持續(xù)有限壽命或是用于對(duì)該目的簽名秘密的使用計(jì)數(shù)。啟用工具箱的本地OP可以使用CAT來(lái)主動(dòng)與手持機(jī)通信，同時(shí)繞過(guò)SCWS。該消息可以依照標(biāo)準(zhǔn)的OTA (例如用于經(jīng)由SMS-PP承載來(lái)發(fā)送到OPSF的0TA)而被格式化。但是，這種處理有可能需要OPSF經(jīng)由MNO的OTA系統(tǒng)來(lái)與所述卡進(jìn)行通信。在另一個(gè)示例實(shí)施方式中，BIP網(wǎng)關(guān)可以提取工具箱消息有效載荷，并且手持機(jī)可以使用TCP/IP將其發(fā)送到0PSF。這就有可能要求消息經(jīng)由MNO的OTA服務(wù)器而被傳送。SCffS聲稱只有在所述卡不具有IP地址并且不支持TCP/IP的情況下才可以使用BIP。因此，期望的是通過(guò)使用TCP/IP經(jīng)由SCWS進(jìn)行發(fā)送。d.可以應(yīng)用進(jìn)一步的選項(xiàng)，這些選項(xiàng)有可能在關(guān)聯(lián)于SCWS的OP與OPSF之間產(chǎn)生共享秘密。這種方法的可行性有待下一步研究。790 :與SCWS相關(guān)聯(lián)的OP可以計(jì)算下列參數(shù)上的簽名return_t0、標(biāo)識(shí)以及模式。795 :與SCWS相關(guān)聯(lián)的OP可以向?yàn)g覽器發(fā)送HTTP重定向消息，該消息包括在765處從RP接收到的參數(shù)。此外還可以包括下列各項(xiàng) openid. signed參數(shù)中的一系列被簽名的參數(shù)
openid. assoc handle 參數(shù)中的關(guān)聯(lián)句柄 A openid. sig參數(shù)中的簽名(經(jīng)過(guò)base64編碼)。該消息可以用于將瀏覽器重定向到RP處的return_t0 URL。800 :瀏覽器可以將用戶重定向到RP處的return_to URL。805 :RP可以接收被簽名的斷言消息，并且在經(jīng)由公共因特網(wǎng)且基于HTTP (S)的直接通信中加入到與OPSF的核驗(yàn)過(guò)程中。810 :RP可以發(fā)布HTTP傳遞消息，該HTTP傳遞消息包含了在795處從與SCWS相關(guān)聯(lián)的OP接收的參數(shù)。HTTP傳遞消息可以包括由與SCWS相關(guān)聯(lián)的OP產(chǎn)生的關(guān)聯(lián)句柄A。815 :0PSF可以從參數(shù)列表中提取A，并且可以與關(guān)聯(lián)于SCWS的OP使用具有相同 輸入的相同函數(shù)f，也就是說(shuō)，OPSF計(jì)算f (A，K)=S,并且使用S作為共享秘密來(lái)核驗(yàn)從與SCffS相關(guān)聯(lián)的OP接收的數(shù)據(jù)上的簽名。820 :如果簽名核驗(yàn)成功，則OPSF可以返回is_valid:真。825 :對(duì)RP來(lái)說(shuō),現(xiàn)在可以將用戶標(biāo)識(shí)為http://op.org/identity。830 :瀏覽器可以顯示RP的HTML頁(yè)面。835 :用戶可以作為 http://op. org/identity 而在 RP 上登錄4. 4. 2. 4. 3. 2使用了基于關(guān)聯(lián)的模式的RP的協(xié)議流程圖27示出的是用于改進(jìn)的基于關(guān)聯(lián)的模式的協(xié)議流程的示例實(shí)施方式。例如，該處理可以在RP使用基于關(guān)聯(lián)的模式執(zhí)行OpenID用戶認(rèn)證的時(shí)候執(zhí)行。該關(guān)聯(lián)可以在用戶首次與RP進(jìn)行聯(lián)系并將其OpenID標(biāo)識(shí)符與該RP結(jié)合使用之后發(fā)生。如果建立了關(guān)聯(lián)，那么可以重新使用該關(guān)聯(lián)，以便進(jìn)一步減少通信工作。但是，OP可能不能夠要求RP的工作模式,并且有可能是由RP來(lái)決定兩種通信模式之一。 該關(guān)聯(lián)可以在RP與OP之間建立永久性秘密，并且RP可以使用該秘密來(lái)對(duì)斷言消息進(jìn)行簽名，此外，RP還可以使用該秘密來(lái)核驗(yàn)OP簽名。OP可以決定共享秘密的有效期。RP和OP可以使用關(guān)聯(lián)句柄作為該秘密的標(biāo)識(shí)符。該RP將關(guān)聯(lián)句柄包含在去往OP的第一請(qǐng)求消息中，然后，OP可以根據(jù)關(guān)聯(lián)句柄來(lái)使用相應(yīng)秘密。如果OP確定該關(guān)聯(lián)已經(jīng)到期，那么OP可以在響應(yīng)消息中通知RP。這樣做可以允許OP拒絕任何關(guān)聯(lián)請(qǐng)求。只要RP能夠支持無(wú)狀態(tài)模式，則可以使用該處理來(lái)迫使RP退回到無(wú)狀態(tài)通信模式。例如，如果OP不支持RP請(qǐng)求的簽名模式(HMAC-SHA1或HMAC-SHA256)，那么OP可以拒絕關(guān)聯(lián)請(qǐng)求。與用戶每次登錄RP時(shí)都可以在RP與OP之間建立新秘密的無(wú)狀態(tài)通信模式相反，每一個(gè)標(biāo)識(shí)和RP都會(huì)建立一次關(guān)聯(lián)。例如，并不是圖27所示的所有項(xiàng)都可以在用戶登錄的時(shí)候執(zhí)行。如果在OP與RP之間已建立了關(guān)聯(lián)，那么被RP和OP可以重新使用該關(guān)聯(lián)。一旦知道了 OPSF地址，也就是在發(fā)現(xiàn)階段之后，RP可以建立關(guān)聯(lián)，并且在繼續(xù)執(zhí)行協(xié)議之前，也就是在將關(guān)聯(lián)句柄包含到重定向消息中之前，該RP可以完成所述關(guān)聯(lián)。如圖27所示840 :用戶可以訪問(wèn)RP網(wǎng)址，并且為了使用OpenID進(jìn)行登錄，他可以輸入他的OpenID 標(biāo)識(shí)符，例如 http://op. org/identity 845 :瀏覽器可以向RP網(wǎng)址發(fā)送包含OpenID標(biāo)識(shí)符的HTTP消息。850 :RP可以使用基于HTTP/HTML的OpenID‘簡(jiǎn)單’發(fā)現(xiàn)處理，并且可以經(jīng)由公共因特網(wǎng)來(lái)與OP-agg取得聯(lián)系，以便在標(biāo)識(shí)頁(yè)面上檢索OpenID標(biāo)識(shí)符，例如HTTP獲取http: //op.org/identity。855 :0P-agg可以接收該請(qǐng)求，并且使用包含OPSF地址的HTML頁(yè)面來(lái)做出響應(yīng)，例如，OP-agg可以通過(guò)包含下列各項(xiàng)來(lái)做出響應(yīng)〈linkrel= “openid. serverhref = http://op. org/server. cgi>OPSF的地址可以不同于OP-agg的地址。860 RP可以使用帶有下列參數(shù)且針對(duì)OPSF的HTTP傳遞 調(diào)用openid. mode=associate，openid. assoc—type=HMAC_SHAl，openid. session—type=blank，openid. dh*= ‘Diffie-HelImanParameters，865 :0PSF可以為RP產(chǎn)生唯一的隨機(jī)關(guān)聯(lián)句柄A。另外，OPSF可以使用函數(shù)f，并且計(jì)算S=f(A，K)。然后，S可被用作RP與OPSF之間的關(guān)聯(lián)(中期)共享秘密。該RP稍后可以使用S核驗(yàn)來(lái)自與SCWS相關(guān)聯(lián)的OP的斷言消息上的簽名。在一個(gè)示例實(shí)施方式中，由于可以在870處與RP共享A和S，因此，即便A和S是已知的，也可以假設(shè)f是保持單向的函數(shù)，由此不能在給出S和A的情況下計(jì)算出K。函數(shù)f本身可以不需要保密。870 =OPSF可以使用HTTP傳遞來(lái)對(duì)RP做出響應(yīng)，該HTTP傳遞將關(guān)聯(lián)句柄A和秘密S (如果使用了 Diffie-Hellman，則該秘密是經(jīng)過(guò)加密的)包含在密鑰=數(shù)值格式化文檔中。每一個(gè)RP和OpenID標(biāo)識(shí)都可以建立一次這種關(guān)聯(lián)。880 RP可以創(chuàng)造會(huì)話現(xiàn)時(shí)和會(huì)話標(biāo)識(shí)符，例如nonce=123123,session=User885 RP可以存儲(chǔ)從OPSF接收到的秘密S以及關(guān)聯(lián)句柄A。890 :RP可以將關(guān)聯(lián)句柄A包含在重定向消息中。895 :RP可以向?yàn)g覽器發(fā)送HTTP重定向消息。該HTTP重定向消息可以包括下列參數(shù)openid. mode=checkid_setup,openid. identity=http://op. org/identity,openid. return_to=http://rp. org/return. cgi session=User&nonce=123123,openid. assoc_handle=A900 :瀏覽器可以接收重定向消息，并且可以開(kāi)放與RP在重定向消息中規(guī)定的URL的連接借助于經(jīng)過(guò)修改而將OPSF的URL映射到SCWS的本地IP地址的DNS查找表，例如通過(guò)使用具有項(xiàng)http://op. org==127. 0. 0. I的主機(jī)文件,瀏覽器可被重定向到與SCWS相關(guān)聯(lián)的本地0P，并且可以發(fā)布包含了來(lái)自885的參數(shù)的HTTP請(qǐng)求。在設(shè)備上可以使用經(jīng)過(guò)修改的本地DNS查找表，而這會(huì)讓所述設(shè)備認(rèn)為URLhttp://op. org位于SCWS的本地IP地址。905 :瀏覽器可以開(kāi)放與SCWS/本地OP的連接，而不是連接到OPSF (所述OPSF可以經(jīng)由公共因特網(wǎng)而在URL http://op. org處可到達(dá))。910 :通過(guò)執(zhí)行下列處理，可以確保認(rèn)證業(yè)務(wù)保持在本地，這些步驟并不是OpenID協(xié)議規(guī)范必需或規(guī)定的a.與SCWS相關(guān)聯(lián)的OP顯示本地認(rèn)證頁(yè)面b.用戶輸入其認(rèn)證證書,例如用戶名和密碼c.與SCWS相關(guān)聯(lián)的OP核認(rèn)證書915 :與SCWS相關(guān)聯(lián)的OP有可能需要使用能在OPSF與RP之間共享的秘密S來(lái)對(duì)返回消息進(jìn)行簽名。參數(shù)A可以是從接收到的HTTP請(qǐng)求中提取的，并且在這里可以應(yīng)用函數(shù) f，以使 S=f(A，K)。920 :與SCWS相關(guān)聯(lián)的OP可以使用秘密S來(lái)計(jì)算return_to URL、標(biāo)識(shí)以及模式參數(shù)上的簽名。我們有可能需要函數(shù)f在給出了用S簽名的被簽名的消息m的情況下，不 向m上的簽名的核驗(yàn)器展現(xiàn)任何關(guān)于K的信息。925 :與SCWS相關(guān)聯(lián)的OP可以將簽名作為附加參數(shù)包含在HTTP重定向中。930 :與SCWS相關(guān)聯(lián)的OP可以向?yàn)g覽器發(fā)送HTTP重定向消息，該消息可以包括以下參數(shù)openid. mode=id_res,openid. return—to=http://rp. org/return. cgi session=User&nonce=123123,openid. identity=http://op. org/identity,openid. signed=mode，identity, return—to，openid. assoc—handle=A，openid. sig= ibase64encoded signature calculated using S’935:瀏覽器可以在不需要進(jìn)一步的用戶參與的情況下將用戶重定向到RP處的return_to URL。940 RP可以接收被簽名的斷言消息。945 RP可以使用所確定的共享秘密S來(lái)核驗(yàn)簽名。950 :對(duì)RP來(lái)說(shuō),現(xiàn)在可以將用戶標(biāo)識(shí)為http://op. org/identity。955 :瀏覽器可以顯示RP的HTML頁(yè)面。960 :用戶可以作為http://op. org/identity在RP上登錄?；陉P(guān)聯(lián)的模式的附加實(shí)施方式以下公開(kāi)的是與在第4. 4. 1.4. 3節(jié)中描述的無(wú)狀態(tài)協(xié)議的實(shí)施相關(guān)的附加實(shí)施方式。4. 4. 2. 5改進(jìn)的SWCS上的OP與現(xiàn)有OpenlD/GBA之間的比較在OpenlD/GBA中，用戶使用GBA協(xié)議進(jìn)行認(rèn)證，也就是為在任何RP處的每一次OpenID登錄嘗試都會(huì)觸發(fā)使用了經(jīng)由空中接口的0P/NAF的GBA過(guò)程，從而由于業(yè)務(wù)的增長(zhǎng)而對(duì)網(wǎng)絡(luò)實(shí)體(0P/NAF)和網(wǎng)絡(luò)本身造成負(fù)擔(dān)。假設(shè)在給出了數(shù)量為10，000名用戶的客戶基礎(chǔ)的情況下，每一個(gè)用戶每天登錄到10個(gè)不同的RP。依照OpenlD/GBA,這會(huì)導(dǎo)致每天總共執(zhí)行100，000個(gè)GBA認(rèn)證過(guò)程；如果每一個(gè)GBA過(guò)程(質(zhì)詢+響應(yīng))只消耗l_5kB，那么每天總共會(huì)有1-4. 8GB的附加認(rèn)證業(yè)務(wù)。4.4.2.6安全性論述下節(jié)提供的是可以在用于無(wú)狀態(tài)和基于關(guān)聯(lián)的模式的SCWS上的OP協(xié)議的示例實(shí)施方式中使用的密碼工具的背景。在這里論述了諸如可以使用的散列算法之類的特性。
4. 4. 2. 6. I 概括函數(shù)f可以用于在本地OP與OPSF之間建立共享秘密S。OPSF和本地OP可以具有公共共享長(zhǎng)期秘密K，該秘密可以作為f的一個(gè)輸入使用，并且所述K永不會(huì)被泄露給協(xié)議中的另一方。但是，在基于關(guān)聯(lián)的模式中，由于RP可能會(huì)核驗(yàn)斷言消息上的簽名，因此有可能將秘密S泄露給RP。由于共享秘密有可能具有安全性含義，因此有必要論述所述RP在了解S的情況下具有的選項(xiàng)。該處理同樣適用于標(biāo)準(zhǔn)的OpenID協(xié)議。假設(shè)RP是惡意的，那么對(duì)于S的認(rèn)識(shí)不能允許該RP在另一個(gè)RP上登錄用戶，這是因?yàn)榱硪粋€(gè)RP將會(huì)與OP建立另一個(gè)共享秘密S’，由此會(huì)將使用S產(chǎn)生的簽名認(rèn)定為無(wú)效。因此，將秘密展現(xiàn)給RP未必是安全問(wèn)題。但是，將S展現(xiàn)給瀏覽器(或用戶)有可能會(huì)成為安全問(wèn)題。在這種情況下，攻擊者可以使用受害人的OpenID標(biāo)識(shí)符來(lái)啟動(dòng)OpenID協(xié)議。如果攻擊者可以檢索到在RP與OP之間共享的共享秘密S，那么攻擊者可以在沒(méi)有對(duì)OP執(zhí)行實(shí)際認(rèn)證的情況下使用S來(lái)對(duì)斷言消息進(jìn)行簽名。因此，攻擊者可以使用受害人的標(biāo)識(shí)符進(jìn)行登錄，而不用在受害人的OP上進(jìn)行認(rèn)證。 從這種情況中可以看出，RP與OP之間的共享秘密S是不能展現(xiàn)給瀏覽器的，但是將S暴露給RP則是可以的。如果惡意用戶與RP —起工作，那RP有可能將S發(fā)送給瀏覽器，用戶則有可能會(huì)在沒(méi)有在RP上進(jìn)行認(rèn)證的情況下登錄到RP。但是，由于用戶只能登錄到單個(gè)RP，并且依照假設(shè)，該RP已經(jīng)受其控制(或者至少與該用戶協(xié)作)，因此，這種情況未必會(huì)被認(rèn)為是攻擊。由此，即便根本沒(méi)有執(zhí)行OpenID認(rèn)證協(xié)議過(guò)程，用戶也是可以登錄的。4.4.2.6.2示例協(xié)議的安全性特征在一些示例實(shí)施方式中，在重定向消息中有可能將A以及使用S簽名的消息泄露給瀏覽器，如果獲悉了 A和使用S簽名的消息，那么可能是無(wú)法計(jì)算出S的。此外，在給出了相同輸入的情況下也是無(wú)法計(jì)算出K的。在給出了 A和S (可能泄露給除OP和OPSF之外的單個(gè)第三方的最多的信息)的情況下，如果所需要的是無(wú)法通過(guò)計(jì)算來(lái)得出K (也就是說(shuō)，假設(shè)沒(méi)有函數(shù)f_l來(lái)使得f-1 (A, S)=K，這可以在以輸入為長(zhǎng)度的時(shí)間多項(xiàng)式中計(jì)算)，那么沒(méi)有RP可以得出OPSF與關(guān)聯(lián)于SCWS的OP之間的長(zhǎng)期共享秘密K。由此，在給出了隨機(jī)輸入A和共享秘密K的情況下，有必要由f來(lái)產(chǎn)生新的秘密S，以使得S=f(A，K)。在給出了 A (以及使用S簽名的消息)的情況下，這時(shí)是不能計(jì)算出S的。如果輸入K是正確和存在的，那么有可能要求f 可以產(chǎn)生正確的結(jié)果。在多項(xiàng)式時(shí)間中有可能可以對(duì)f進(jìn)行計(jì)算，并且所述計(jì)算優(yōu)選是在智能卡的受保護(hù)區(qū)域中進(jìn)行的。S可以是在OpenID中使用的簽名函數(shù)的有效輸入。OpenID事先知道使用HMAC-SHAI或HMAC-SHA256作為簽名算法。由于OPSF和關(guān)聯(lián)于SCWS的OP有可能預(yù)先就具體的簽名算法、密鑰長(zhǎng)度達(dá)成一致，因此，函數(shù)f的輸出長(zhǎng)度可以是固定的。在一個(gè)示例實(shí)施方式中，OPSF和OP可以使用兩個(gè)共享秘密K和K’，由此可以使用K來(lái)為基于SHAl的簽名推導(dǎo)出S，并且使用K’來(lái)為SHA256簽名推導(dǎo)出S。4.4.2.6.3安全性的實(shí)現(xiàn)本節(jié)描述的實(shí)施方式是可以滿足前一節(jié)中指出的需求的密碼操作。在一個(gè)示例實(shí)施方式中，秘密可以直接包含在OpenID消息內(nèi)部，而這可能會(huì)導(dǎo)致認(rèn)證需要的業(yè)務(wù)減少。用戶認(rèn)證可以在本地執(zhí)行(不涉及MNO網(wǎng)絡(luò))，并且在OpenID協(xié)議消息內(nèi)部可以安全地傳遞OPSF (MN0網(wǎng)絡(luò))與關(guān)聯(lián)于SCWS的OP (在設(shè)備中)之間的共享秘密，而不需要在MNO網(wǎng)絡(luò)與設(shè)備之間進(jìn)行進(jìn)一步的外部附加通信。4. 4. 2. 6. 3. I HMACHMAC是在不使用任何附加機(jī)制的情況下認(rèn)證消息來(lái)源及其完整性的鍵入式散列消息認(rèn)證碼(MAC)。HMAC具有兩個(gè)功能不同的參數(shù)，即消息輸入以及僅僅為消息發(fā)起方和一個(gè)或多個(gè)預(yù)定接收方所知的密鑰。消息發(fā)送方使用HMAC功能來(lái)產(chǎn)生通過(guò)壓縮密鑰和消息輸入而形成的值(MAC)。MAC通常是與消息一起發(fā)送給消息接收方的。接收機(jī)使用與發(fā)送方使用的密鑰和HMAC函數(shù) 相同的密鑰和HMAC函數(shù)來(lái)計(jì)算接收消息上的MAC，并且將計(jì)算結(jié)果與接收到的MAC進(jìn)行比較。如果這兩個(gè)值匹配，則消息已經(jīng)被正確接收，并且接收方確信發(fā)送方是共享密鑰的用戶團(tuán)體中的成員。在給出了 HMAC屬性的情況下，通過(guò)將HMAC用于函數(shù)f，可以滿足如上所述的所有相關(guān)需求。用于HMAC的相關(guān)參數(shù)列表 B——散列函數(shù)輸入的塊大小，例如用于SHAl的160比特 H——散列函數(shù)(例如SHA1) ipad-內(nèi)部填充符，重復(fù)B次的字節(jié)X’ 36’ K——在OP與OPSF之間共享的密鑰 KO——預(yù)處理之后用于獲取B字節(jié)密鑰的密鑰K L——散列函數(shù)的輸出塊大小，例如用于SHAl的160比特 opad-夕卜部填充，重復(fù)B次的字節(jié)x’ 5c’一MAC字節(jié)的數(shù)量 text (文本)-用于從n比特的長(zhǎng)度中計(jì)算HMAC的明文，其中0〈=n〈2~B_8B，
在我們的范例中將會(huì)是A I I—級(jí)聯(lián) XOR-異或 K應(yīng)該等于或大于L/2，也就是說(shuō)，對(duì)我們的范例而言，如果使用SHAl，那么K應(yīng)該大于80比特，或者如果使用SHA256，則應(yīng)該大于128比特。
MAC(text)=HMAC(K，text)=H((KOXOR opad) | H((K0X0R ipad) | text))為了防止攻擊，有可能需要通過(guò)嵌套執(zhí)行兩個(gè)散列函數(shù)來(lái)計(jì)算MAC。結(jié)合大多數(shù)的散列函數(shù)，有可能在不知道密鑰K的情況下在消息中增添附加數(shù)據(jù)，并且可以獲取另一個(gè)有效MAC。如果使用其他替換方案，那么通過(guò)使用MAC=H(message // key)來(lái)添加密鑰，可以允許發(fā)現(xiàn)(非鍵入式的)散列函數(shù)中的沖突的攻擊者得到MAC 中的沖突。使用MAC=H(key I message I key)會(huì)更好,但是，即便使用兩個(gè)不同的密鑰，不同的安全文件也會(huì)展現(xiàn)弱點(diǎn)。圖28示出的是來(lái)自NIST-FIPS PUB 198-1的鍵入式散列消息認(rèn)證碼(HMAC)。由于外部散列函數(shù)遮蔽了內(nèi)部散列的中間結(jié)果，因此，當(dāng)前協(xié)定的HMAC版本并未暴露這些弱點(diǎn)。對(duì)算法的安全性而言，填充值(ipad和opad)并不重要，但是其被定義成彼此具有很大的漢明距離，因此，內(nèi)部和外部密鑰將具有較少量共同比特，也就是說(shuō)，通過(guò)使用這些填充符，可以從KO中“推導(dǎo)出”兩個(gè)不同的密鑰，以便在散列函數(shù)中使用。在一個(gè)示例實(shí)施方式中，作為隨機(jī)輸入的text=A可以由OP或OPSF分別產(chǎn)生。A可以包含在重定向消息中，并且通過(guò)使用K，這二者可以使用上述機(jī)制來(lái)重新計(jì)算HMAC，所述HMAC結(jié)果可以作為共享簽名秘密S而被用于OpenID斷言消息。4. 4. 2. 6. 3. 2關(guān)于改進(jìn)的SCWS上的OP協(xié)議的安全性證明需要顯示的是I.在協(xié)議中，攻擊者能夠檢索A和S (例如作為處于關(guān)聯(lián)模式的RP)，因此有必要顯示他無(wú)法檢索K。2.瀏覽器/用戶進(jìn)行的檢索甚至少于RP，也就是只檢索A，并且必須不能從對(duì)于A的認(rèn)識(shí)中計(jì)算出S。3.瀏覽器/用戶還必須不能從A中計(jì)算出K。當(dāng)模擬一個(gè)了解S和A的攻擊者時(shí)，其中該攻擊者并未使用在S上給出的信息，關(guān)于3.的證明可以從I.中推導(dǎo)得到。由此必須顯示的是I.如果給出了 S和A，那么應(yīng)該沒(méi)有函數(shù)f*，以便在S=f(A，K)的情況下使得K=f* (A, S)II.如果只給出了 A，那么必定沒(méi)有函數(shù)g能使得在S=f(A，K)的情況下滿足S=g ⑷。在Bellare (貝萊爾)等人提供的關(guān)于HMAC (或NMAC)的描述中可以找到關(guān)于以上兩個(gè)定理的證明，其中在(11)中，它們本質(zhì)上顯示的是，如果假設(shè)基本壓縮散列函數(shù)是偽隨機(jī)的，并且散列函數(shù)對(duì)沖突的抵抗力很弱，那么HMAC是偽隨機(jī)函數(shù)。在(12)中，依照壓縮函數(shù)是PRF的唯一假設(shè)，這些假設(shè)可以通過(guò)顯示HMAC是PRF來(lái)加以緩解。4. 4. 2. 6. 3. 3 RSA在一個(gè)示例實(shí)施方式中，通過(guò)使用必須在OPSF與關(guān)聯(lián)于SCWS的OP之間共享的私鑰來(lái)加密隨機(jī)創(chuàng)建的唯一關(guān)聯(lián)句柄，可以使用RSA加密方案來(lái)從共享密鑰K中推導(dǎo)OpenID簽名秘密S。假設(shè)N=pq表示的是用于RSA方案的模數(shù)，其中p，q是素?cái)?shù)。更進(jìn)一步，密鑰對(duì)是用e，d (私有，公共)表示的，并且是作為長(zhǎng)期秘密K共享的。然后，關(guān)聯(lián)句柄A用私有部分e進(jìn)行簽名，以便獲取簽名秘密S，也就是說(shuō)，S=Ae模N。在為RSA給出了安全性假設(shè)的情況下，如果公鑰d是已知的，則可以從S中計(jì)算出A，但是不能在給定了 A和S的情況下計(jì)算出e。如果只給出了 A，那么無(wú)法在不了解e的情況下計(jì)算出S。4. 4. 2. 6. 4安全性實(shí)施變體4. 4. 2. 6. 4. I長(zhǎng)期秘密K的改變?cè)诘?. 4. 2節(jié)描述的一個(gè)示例實(shí)施方式中，雖然使用了長(zhǎng)期秘密K，但是舉例來(lái)說(shuō)，在某個(gè)時(shí)段之后，通過(guò)在OSPF與關(guān)聯(lián)于SCWS的OP之間使用密鑰交換方法，可以改變?cè)撁孛躃。任何已知的密鑰交換方法都是可以使用的。K的改變可以在OPSF上執(zhí)行，并且與SCWS相關(guān)聯(lián)的OP不能阻止成功的OpenID協(xié)議過(guò)程。、
在一個(gè)示例實(shí)施方式中，如果OPSF和OP在無(wú)狀態(tài)模式中商定新的長(zhǎng)期秘密K’，那么OP可以通過(guò)將函數(shù)f與新的密鑰結(jié)合使用來(lái)計(jì)算簽名密鑰S’，即S’ =f(A, K’ )。然后，S’可被用于對(duì)斷言消息進(jìn)行簽名，并且OPSF可以使用新的長(zhǎng)期共享秘密K’來(lái)重新計(jì)算S’，從而核驗(yàn)斷言消息上的簽名。在另一個(gè)示例實(shí)施方式中，如果在基于關(guān)聯(lián)的模式中建立了新的秘密長(zhǎng)期秘密K’，那么RP仍舊可以保持用于所述關(guān)聯(lián)的舊秘密 S。如果關(guān)聯(lián)仍舊有效，并且RP沒(méi)有加入與OPSF的關(guān)聯(lián)步驟，那么RP有可能直接使用舊的關(guān)聯(lián)句柄A，并且有可能預(yù)期來(lái)自O(shè)P且用已存儲(chǔ)秘密S簽名的斷言消息。但是，OpenID規(guī)范允許OP將參數(shù)openid. invalidate (無(wú)效)handle包含在斷言消息中。如果使用該參數(shù)并將其設(shè)置成舊的關(guān)聯(lián)句柄A，那么RP會(huì)被迫返回到0P，以便像在無(wú)狀態(tài)方案中那樣執(zhí)行簽名核驗(yàn)。這樣做可以允許與SCWS相關(guān)聯(lián)的OP包含這個(gè)對(duì)新的長(zhǎng)期共享秘密K’而言被設(shè)置成A的參數(shù)、以及使用了新創(chuàng)建的關(guān)聯(lián)句柄A’的新簽名秘密S’ =f(A’，K’)。這樣做有可能會(huì)使得RP上的句柄無(wú)效，并且RP可以與OPSF進(jìn)行聯(lián)系，以便實(shí)施簽名核驗(yàn)。由于所述密鑰交換，OPSF有可能已經(jīng)具有K’，由此可以計(jì)算S’ =f(A’，K’)，并且可以核驗(yàn)斷言消息上的簽名。但是，如果RP加入與OPSF相關(guān)聯(lián)的新會(huì)話，那么OPSF也有可能使得句柄A無(wú)效，并且可以與RP使用新密鑰K’來(lái)建立新配對(duì)A’，S’。4. 4. 2. 6. 4. 2用于K的散列鏈保證在一個(gè)示例實(shí)施方式中，OPSF和關(guān)聯(lián)于SCWS的OP有可能希望定期改變長(zhǎng)期秘密K?；谠撁孛躃，這兩個(gè)實(shí)體可以通過(guò)將(用密碼保護(hù)的)散列函數(shù)h連續(xù)應(yīng)用于K來(lái)執(zhí)行散列鏈保證，由此將會(huì)產(chǎn)生一個(gè)鏈條K0=h(K),Kl=h(KO) =h(h(K)),……，Kn=h(Kn-I) =hn(K)。如果可以安全建立初始秘密K，那么OP和OPSF可以獨(dú)立計(jì)算該鏈條。然后，所使用的第一共享秘密可以是Kn。如果用于構(gòu)建散列鏈的散列函數(shù)具有單向?qū)傩?，那么所述值不?huì)允許攻擊者直接計(jì)算后續(xù)共享秘密Kn-1。攻擊者不得不反轉(zhuǎn)散列函數(shù)，以便推導(dǎo)出下一個(gè)秘密。這些秘密是由OPSF和本地OP以散列鏈的相反順序使用的。為了進(jìn)一步提高安全性，前進(jìn)到散列鏈中的下一個(gè)值的處理、也就是OPSF和本地OP丟棄當(dāng)前值并計(jì)算下一個(gè)值的處理可以遵循若干種策略，例如，該處理可以采用按月、按天、按會(huì)話等等的形式執(zhí)行。4. 4. 2. 6. 5重復(fù)使用AKA AV和秘密，以及從AKA證書構(gòu)建散列鏈在一個(gè)示例實(shí)施方式中，OPSF可以與MNO上的網(wǎng)絡(luò)功能處于相同位置，其中所述網(wǎng)絡(luò)功能可以允許OPSF檢索來(lái)自HLR (歸屬位置寄存器)以及MNO的AuC (認(rèn)證中心)的AKA認(rèn)證矢量(AV)。OPSF可以檢索AV，并且可以選擇其中一個(gè)AV來(lái)質(zhì)詢與SCWS相關(guān)聯(lián)的0P。通過(guò)使用該AV，OPSF和關(guān)聯(lián)于SCWS的OP可以建立共享秘密CK，然后，該共享秘密CK可以用作OpenID的長(zhǎng)期共享秘密K。在另一個(gè)示例實(shí)施方式中，不同于建立長(zhǎng)期秘密，OP和OPSF可以建立散列鏈的保證，其值被用作OPSF與關(guān)聯(lián)于SCWS的OP之間的共享秘密。這種處理可以是一種用于建立長(zhǎng)期共享秘密的安全方式。4. 4. 2. 7強(qiáng)調(diào)所述改進(jìn)的好處本節(jié)旨在顯示SCWS上的OP可以提供的好處，尤其是在該改進(jìn)變體中提供的好處。4. 4. 2. 7. I 標(biāo)準(zhǔn)的 OpenID圖29示出的是標(biāo)準(zhǔn)的OpenID協(xié)議流程。通過(guò)使用已有的基于網(wǎng)絡(luò)的OpenID OP服務(wù)器(例如myopenid. com),可以運(yùn)用標(biāo)準(zhǔn)的OpenID協(xié)議過(guò)程來(lái)從移動(dòng)設(shè)備訪問(wèn)RP。
如圖29所示，本地業(yè)務(wù)是不存在的，并且從空中網(wǎng)絡(luò)卸載的唯一業(yè)務(wù)是發(fā)現(xiàn)處理以及RP與OP之間的關(guān)聯(lián)建立處理。由于OP是網(wǎng)絡(luò)服務(wù)，因此，介于用戶/瀏覽器/設(shè)備與OP之間的所有通信全都經(jīng)由空中接口?？罩袀魉屯ㄐ攀窃?65處和975處進(jìn)行的，其中該通信是在MNO/空中網(wǎng)絡(luò)上執(zhí)行的，并且通常作為代表了 MNO網(wǎng)絡(luò)上的負(fù)載的數(shù)據(jù)業(yè)務(wù)(例如基于HTTP、IP的通信)。在970處，業(yè)務(wù)會(huì)在固定線路的因特網(wǎng)上出現(xiàn)，并且可以使用現(xiàn)有的基礎(chǔ)架構(gòu)。4. 4. 2. 7. 2 OpenlD/GBA圖30示出的是OpenlD/GBA的業(yè)務(wù)流程。該圖是從源于3GPP TR 33. 924v9. I. 0第13頁(yè)的圖4-41. I中得到的。如圖30所示，不管在RP與MNO之間進(jìn)行怎樣的關(guān)聯(lián)步驟，所有通信都在空中網(wǎng)絡(luò)上進(jìn)行。例如，980和985處的信號(hào)是通過(guò)空中傳送通信傳送的，該通信作為數(shù)據(jù)業(yè)務(wù)而在 MNO/空中網(wǎng)絡(luò)上進(jìn)行，并且代表了 MNO網(wǎng)絡(luò)上的負(fù)載。與基于網(wǎng)絡(luò)的OP相比，由于需要用于認(rèn)證的附加步驟，因此，OpenlD/GBA中的業(yè)務(wù)甚至更大，而這會(huì)給空中數(shù)據(jù)網(wǎng)絡(luò)以及GBA認(rèn)證所需要的后端服務(wù)、即BSF和NAF子系統(tǒng)造成負(fù)擔(dān)。因此，空中網(wǎng)絡(luò)業(yè)務(wù)將會(huì)增長(zhǎng)，并且網(wǎng)絡(luò)實(shí)體上的負(fù)載將會(huì)增大。4. 4. 2. 7. 3簡(jiǎn)化的基于關(guān)聯(lián)的通信圖31示出的是基于關(guān)聯(lián)的通信模式的協(xié)議流程的另一個(gè)示例實(shí)施方式。如圖30所示，空中傳送業(yè)務(wù)可以卸載到本地設(shè)備上，從而減少空中接口網(wǎng)絡(luò)業(yè)務(wù)。例如，通過(guò)執(zhí)行該處理，可以允許認(rèn)證業(yè)務(wù)處于本地，以使認(rèn)證業(yè)務(wù)將空中接口網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)上的負(fù)擔(dān)最小化。此外，發(fā)現(xiàn)和/或關(guān)聯(lián)業(yè)務(wù)可以不經(jīng)由空中接口網(wǎng)絡(luò)發(fā)生，并且可以在固定線路的公共因特網(wǎng)上進(jìn)行。在990處，用戶可以與瀏覽器之類的用戶接口對(duì)接，并且可以訪問(wèn)RP，還可以使用OpenID來(lái)請(qǐng)求登錄。在995處，RP和OP (MNO)可以基于OpenID標(biāo)識(shí)來(lái)執(zhí)行發(fā)現(xiàn)OP服務(wù)器的處理。在1000處，RP可以向OP傳送關(guān)聯(lián)請(qǐng)求。OP可以產(chǎn)生隨機(jī)的唯一關(guān)聯(lián)句柄A，并且可以計(jì)算密鑰S。所述OP可以向RP傳送關(guān)聯(lián)響應(yīng)。該關(guān)聯(lián)響應(yīng)可以包括關(guān)聯(lián)句柄A和密鑰S。RP可以存儲(chǔ)密鑰S和關(guān)聯(lián)句柄A。在1005處，RP可以向?yàn)g覽器傳送重定向。所述重定向可以將瀏覽器重定向到0P，并且可以將關(guān)聯(lián)句柄A包含在請(qǐng)求參數(shù)中。OP可以與SCWS相關(guān)聯(lián)。瀏覽器可以接收重定向，并且可以通過(guò)執(zhí)行經(jīng)過(guò)修改的本地DNS查找來(lái)映射到SCWS。在1010處，瀏覽器可以向OP傳送本地認(rèn)證請(qǐng)求。在1015處，認(rèn)證可以在本地進(jìn)行。例如在1020處，OP可以基于長(zhǎng)期共享秘密鑰K和關(guān)聯(lián)句柄A來(lái)核認(rèn)證書。此外，OP還可以計(jì)算密鑰S，并且可以使用密鑰S來(lái)計(jì)算簽名。該簽名可以用于對(duì)斷言消息進(jìn)行簽名，和/或?qū)Ψ祷豒RL、標(biāo)識(shí)和/或模式之類的參數(shù)進(jìn)行簽名。在1025處，OP可以向?yàn)g覽器傳送指示瀏覽器訪問(wèn)RP的重定向。該重定向可以包括關(guān)聯(lián)句柄A和被簽名的參數(shù)。在1030處，瀏覽器可以向RP傳送請(qǐng)求，該請(qǐng)求可以包括來(lái)自O(shè)P且被簽名的斷言消息。RP可以使用密鑰S來(lái)核驗(yàn)斷言消息上的簽名。然后，在1035處，RP可以允許瀏覽器顯示登錄頁(yè)面，并且可以向?yàn)g覽器提供針對(duì)服務(wù)的訪問(wèn)。在一個(gè)示例實(shí)施方式中，假設(shè)在關(guān)聯(lián)于SCWS的OP與MNO之間存在長(zhǎng)期共享密鑰。如圖31所示，1010、1015、1020和1025代表的是不會(huì)在MNO/空中網(wǎng)絡(luò)上產(chǎn)生負(fù)載的本地通信。此外，由于這些通信可以在設(shè)備內(nèi)部進(jìn)行，因此，這些通信可以在其他(固定線路或非MNO)網(wǎng)絡(luò)沒(méi)有業(yè)務(wù)的情況下進(jìn)行。990、1005、1030和1035代表的是空中傳送通信，該通信可以作為數(shù)據(jù)業(yè)務(wù)(例如基于HTTP、IP的通信)在MNO/空中網(wǎng)絡(luò)上進(jìn)行，并且可以代表MNO網(wǎng)絡(luò)上的負(fù)載。995和1000代表的是可以在固定線路因特網(wǎng)之類的固定線路上發(fā)生并且可以使用現(xiàn)有基礎(chǔ)架構(gòu)的業(yè)務(wù)。該通信不會(huì)增大MNO/空中接口網(wǎng)絡(luò)上的負(fù)載。圖32示出的是基于關(guān)聯(lián)的通信模式所具有的協(xié)議流程的另一個(gè)示例實(shí)施方式。如圖32所示，空中傳送業(yè)務(wù)可以卸載到本地設(shè)備，從而減少空中接口網(wǎng)絡(luò)業(yè)務(wù)。例如，通過(guò)執(zhí)行該處理，可以允許認(rèn)證業(yè)務(wù)處于本地，以使認(rèn)證業(yè)務(wù)將空中接口網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的負(fù)擔(dān)最小化。此外，發(fā)現(xiàn)和/或關(guān)聯(lián)業(yè)務(wù)可以經(jīng)由空中接口網(wǎng)絡(luò)進(jìn)行，并且可以在固定線路的公共因特網(wǎng)上進(jìn)行。 在1040處，用戶可以與瀏覽器之類的用戶接口對(duì)接，并且可以訪問(wèn)RP，還可以使用OpenID來(lái)請(qǐng)求登錄。在1045處，瀏覽器可以向RP傳送HTTP消息，該HTTP消息可以包括OpenID標(biāo)識(shí)URL。在1050處，RP和OP (MNO)可以基于OpenID標(biāo)識(shí)來(lái)執(zhí)行發(fā)現(xiàn)OP服務(wù)器。例如，RP可以向OP傳送HTTP (S)獲取標(biāo)識(shí)頁(yè)面消息，OP則可以使用OpenID IDP服務(wù)器地址來(lái)做出響應(yīng)。在1055處，RP可以向OP傳送關(guān)聯(lián)請(qǐng)求。例如，RP可以向OP傳送HTTP (S)傳遞。OP可以產(chǎn)生隨機(jī)的唯一關(guān)聯(lián)句柄A，并且可以計(jì)算秘密S。OP可以向RP傳送關(guān)聯(lián)響應(yīng)。例如，OP可以向RP傳送HTTP (S)傳遞。所述關(guān)聯(lián)響應(yīng)可以包括關(guān)聯(lián)句柄A和秘密S。RP可以存儲(chǔ)秘密S和關(guān)聯(lián)句柄A。該RP可以創(chuàng)建現(xiàn)時(shí)和會(huì)話標(biāo)識(shí)符。在1060處，RP可以向?yàn)g覽器傳送重定向。例如，RP可以向?yàn)g覽器傳送HTTP重定向。所述重定向可以將瀏覽器重定向到0P，并且可以將關(guān)聯(lián)句柄A包含在請(qǐng)求參數(shù)中。OP可以與SCWS相關(guān)聯(lián)。瀏覽器可以接收重定向，并且可以通過(guò)執(zhí)行經(jīng)過(guò)修改的本地DNS查找來(lái)映射到SCWS。在1065處，瀏覽器可以向OP傳送本地認(rèn)證請(qǐng)求。例如，瀏覽器可以向OP傳送包含了所述重定向中包含的參數(shù)的HTTP獲取http://op. org/server。在1070處，認(rèn)證可以在本地進(jìn)行。瀏覽器可以為用戶呈現(xiàn)請(qǐng)求用戶認(rèn)證證書的認(rèn)證頁(yè)面。用戶可以輸入包含用戶名和密碼的認(rèn)證證書。在1075處，OP可以基于長(zhǎng)期共享秘密密鑰K和關(guān)聯(lián)句柄A來(lái)核認(rèn)證書。此外，OP還可以計(jì)算秘密S，并且可以使用秘密S來(lái)計(jì)算簽名。該簽名可以用于對(duì)斷言消息進(jìn)行簽名，和/或?qū)χT如返回URL、標(biāo)識(shí)和/或模式之類的參數(shù)進(jìn)行簽名。在1080處，OP可以向?yàn)g覽器傳送指示瀏覽器訪問(wèn)RP的重定向。例如，OP可以向RP傳送HTTP重定向。所述HTTP重定向可以包括關(guān)聯(lián)句柄A和被簽名的參數(shù)。在1085處，瀏覽器可以向RP傳送請(qǐng)求，該請(qǐng)求可以包括來(lái)自O(shè)P且被簽名的斷言消息以及OP提供的參數(shù)。例如，瀏覽器可以向RP傳送HTTP獲取http://rp. org/return。RP可以使用秘密S來(lái)核驗(yàn)斷言消息上的簽名。然后，在1090處，RP可以允許瀏覽器顯示登錄頁(yè)面，并且可以向?yàn)g覽器提供針對(duì)服務(wù)的訪問(wèn)。例如，RP可以指示瀏覽器顯示HTML頁(yè)面。在1095處，瀏覽器向用戶告知其在RP上登錄。在一個(gè)示例實(shí)施方式中，假設(shè)在關(guān)聯(lián)于SCWS的OP與MNO之間存在長(zhǎng)期共享密鑰。如圖32所示，1040、1065、1070、1080和1095代表的是不會(huì)在MNO/空中網(wǎng)絡(luò)上產(chǎn)生負(fù)載的本地通信。此外，由于這些通信可以在設(shè)備內(nèi)部進(jìn)行，因此，這些通信可以在其他(固定線路或非MNO)網(wǎng)絡(luò)上沒(méi)有業(yè)務(wù)的情況下進(jìn)行。1045、1060、1085和1090代表的是空中傳送通信，該通信可以作為數(shù)據(jù)業(yè)務(wù)(例如基于HTTP、IP的通信)而在MNO/空中網(wǎng)絡(luò)上進(jìn)行，并且可以代表MNO網(wǎng)絡(luò)上的負(fù)載。1050和1055代表的是可以在固定線路因特網(wǎng)之類的固定線路上發(fā)生并且可以使用現(xiàn)有基礎(chǔ)架構(gòu)的業(yè)務(wù)。該通信不會(huì)增大MNO/空中接口網(wǎng)絡(luò)上的負(fù)載。圖33示出的是基于關(guān)聯(lián)的通信模式所具有的協(xié)議流程的另一個(gè)示例實(shí)施方式。如圖33所示，空中傳送業(yè)務(wù)可以卸載到本地設(shè)備，從而減少空中接口網(wǎng)絡(luò)業(yè)務(wù)。例如，通過(guò)執(zhí)行該處理，可以允許認(rèn)證業(yè)務(wù)處于本地，以使認(rèn)證業(yè)務(wù)將空中接口網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的負(fù)擔(dān)最小化。此外，發(fā)現(xiàn)和/或關(guān)聯(lián)業(yè)務(wù)可以經(jīng)由空中接口網(wǎng)絡(luò)進(jìn)行，并且可以在固定線路的公共因特網(wǎng)上進(jìn)行。
在1100處，用戶可以與瀏覽器之類的用戶接口對(duì)接，并且可以訪問(wèn)RP，還可以使用OpenID來(lái)請(qǐng)求登錄。在1105處，瀏覽器可以向RP傳送可以包含OpenID標(biāo)識(shí)URL的HTTP消息。在1110處，RP和OP (MNO)可以基于OpenID標(biāo)識(shí)來(lái)執(zhí)行發(fā)現(xiàn)OP服務(wù)器。例如，RP可以向OP傳送HTTP (S)獲取標(biāo)識(shí)頁(yè)面消息，OP可以使用OpenID IDP服務(wù)器地址來(lái)做出響應(yīng)。在1115處，RP可以向OP傳送關(guān)聯(lián)請(qǐng)求。例如，RP可以向OP傳送HTTP (S)傳遞。OP可以產(chǎn)生隨機(jī)的唯一關(guān)聯(lián)句柄A，并且可以計(jì)算秘密S。OP可以向RP傳送關(guān)聯(lián)響應(yīng)。例如，OP可以向RP傳送HTTP (S)傳遞。該關(guān)聯(lián)響應(yīng)可以包括關(guān)聯(lián)句柄A和秘密S。RP可以存儲(chǔ)秘密S和關(guān)聯(lián)句柄A。該RP可以創(chuàng)建現(xiàn)時(shí)和會(huì)話標(biāo)識(shí)符。在1120處，RP可以向?yàn)g覽器傳送重定向。例如，RP可以向?yàn)g覽器傳送HTTP重定向。所述重定向可以將瀏覽器重定向到0P，并且可以將關(guān)聯(lián)句柄A包含在請(qǐng)求參數(shù)中。OP可以與SCWS相關(guān)聯(lián)。瀏覽器可以接收重定向，并且可以通過(guò)執(zhí)行經(jīng)過(guò)修改的本地DNS查找來(lái)映射到SCWS。在1125處，瀏覽器可以向OP傳送本地認(rèn)證請(qǐng)求。例如，瀏覽器可以向OP傳送可以包含所述重定向中包含的參數(shù)的HTTP獲取http://op. org/server。在1130處，認(rèn)證可以在本地進(jìn)行。瀏覽器可以為用戶呈現(xiàn)請(qǐng)求用戶認(rèn)證證書的認(rèn)證頁(yè)面。用戶可以輸入包含用戶名和密碼的認(rèn)證證書。在1135處，OP可以基于長(zhǎng)期共享秘密密鑰K和關(guān)聯(lián)句柄A來(lái)核認(rèn)證書。此外，OP還可以計(jì)算秘密S，并且可以使用秘密S來(lái)計(jì)算簽名。該簽名可以用于對(duì)斷言消息進(jìn)行簽名，和/或?qū)Ψ祷豒RL、標(biāo)識(shí)和/或模式之類的參數(shù)進(jìn)行簽名。在1140處，OP可以向?yàn)g覽器傳送指示瀏覽器訪問(wèn)RP的重定向。例如，OP可以向RP傳送HTTP重定向。該HTTP重定向可以包括關(guān)聯(lián)句柄A和被簽名的參數(shù)。在1145處，瀏覽器可以向RP傳送請(qǐng)求，該請(qǐng)求可以包括來(lái)自O(shè)P且被簽名的斷言消息以及OP提供的參數(shù)。例如，瀏覽器可以向RP傳送HTTP獲取http://rp. org/return。RP可以使用秘密S來(lái)核驗(yàn)斷言消息上的簽名。然后，在1150處，RP可以允許瀏覽器顯示登錄頁(yè)面，并且可以向?yàn)g覽器提供針對(duì)服務(wù)的訪問(wèn)。例如，RP可以指示瀏覽器顯示HTML頁(yè)面。在1155處，瀏覽器向用戶告知其在RP上登錄。在一個(gè)示例實(shí)施方式中，假設(shè)在關(guān)聯(lián)于SCWS的OP與MNO之間存在長(zhǎng)期共享密鑰。如圖33所示，1100、1125、1130、1140和1155代表的是不會(huì)在MNO/空中網(wǎng)絡(luò)上造成負(fù)擔(dān)的本地通信。此外，由于這些通信可以在設(shè)備內(nèi)部進(jìn)行，因此，這些通信可以在其他(固定線路或非MNO)網(wǎng)絡(luò)不發(fā)生業(yè)務(wù)的情況下進(jìn)行。1105、1120、1145和1150代表的是空中傳送通信，該通信可作為數(shù)據(jù)業(yè)務(wù)(例如HTTP，基于IP的通信)而在MNO/空中網(wǎng)絡(luò)上進(jìn)行，并且可以代表MNO網(wǎng)絡(luò)上的負(fù)載。1110和1115代表的是可以在固定線路因特網(wǎng)之類的固定線路上發(fā)生并且可以使用現(xiàn)有基礎(chǔ)架構(gòu)的業(yè)務(wù)。該通信不會(huì)增大MNO/空中接口網(wǎng)絡(luò)上的負(fù)載。圖34示出的是用于無(wú)狀態(tài)模式的協(xié)議流程的另一個(gè)示例實(shí)施方式。1160 :用戶可以訪問(wèn)RP網(wǎng)址，為了使用OpenID進(jìn)行登錄，他輸入了其OpenID標(biāo)識(shí)符，例如 http:"op. org/identity。1165 :瀏覽器可以向RP網(wǎng)址發(fā)送包含OpenID標(biāo)識(shí)符的HTTP消息。
1170 :RP可以使用基于HTTP/HTML的OpenID ‘簡(jiǎn)單’發(fā)現(xiàn)處理，并且經(jīng)由公共因特網(wǎng)來(lái)與OP-agg取得聯(lián)系，從而在標(biāo)識(shí)頁(yè)面上檢索OpenID標(biāo)識(shí)符，例如HTTP獲取http: //op.org/identityo1175 :0P-agg可以接收請(qǐng)求，并且可以使用包含OPSF因特網(wǎng)地址的HTML頁(yè)面來(lái)進(jìn)行響應(yīng)。例如，OP-agg可以通過(guò)包含下列地址來(lái)做出響應(yīng)〈link rel= “openid. server，，href = http://op. org/server. cgi>0OPSF可以像標(biāo)準(zhǔn)的OpenID標(biāo)識(shí)供應(yīng)方網(wǎng)絡(luò)服務(wù)那樣對(duì)RP進(jìn)行操作。例如，OPSF能夠按照RP的請(qǐng)求來(lái)核驗(yàn)斷言消息上的簽名(由本地OP發(fā)布)。根據(jù)需求，OPSF必須可以經(jīng)由公共因特網(wǎng)到達(dá)，由此假設(shè)其具有DNS名稱，例如可以經(jīng)由http://op. org到達(dá)的op. org。由于外界不知道智能卡的IP地址，因此，0P0P-agg和OPSF的這種間接性可以用于通信。OPSF的地址可以不同于OP-agg的地址。1180 :RP可以接收OPSF的地址，并且創(chuàng)建現(xiàn)時(shí)和會(huì)話標(biāo)識(shí)符，例如nouce=123123，session=User。RP可以編譯向OP告知應(yīng)該在用戶認(rèn)證之后將瀏覽器重定向到哪一個(gè)URL的returruto參數(shù)。所述RP可以發(fā)布HTTP重定向，以便將瀏覽器重定向到OP服務(wù)器地址，其中所述重定向包括以下參數(shù)openid. mode=checkid_setup,openid. identity=http://op. org/identity,openid. return_to=http://rp. org/return. cgi session=User&nonce=1231231185 :瀏覽器可以接收重定向，并且可以開(kāi)放與RP在重定向消息中規(guī)定的URL相連的連接1190 :借助于經(jīng)過(guò)修改而將OPSF的URL映射到SCWS本地IP地址的DNS查找表，例如，通過(guò)使用具有項(xiàng)http://op. org==127. 0. 0. I的主機(jī)文件,瀏覽器可以被重定向到與SCffS相關(guān)聯(lián)的本地0P，并且發(fā)布包含了 765處的參數(shù)的HTTP請(qǐng)求。在設(shè)備上可以使用經(jīng)過(guò)修改的本地DNS查找表，以使所述設(shè)備認(rèn)為URL http://op. org位于SCWS的本地IP地址。瀏覽器可以開(kāi)放與SCWS/本地OP的連接，而不是連接到OPSF (所述OPSF可以經(jīng)由公共因特網(wǎng)而在URLhttp://op. org到達(dá))。1195 :通過(guò)執(zhí)行下列處理，可以確保將認(rèn)證業(yè)務(wù)保持在本地，這些步驟并不是OpenID協(xié)議規(guī)范必需或規(guī)定的
a.與SCWS相關(guān)聯(lián)的OP可以顯示本地認(rèn)證頁(yè)面b.用戶可以輸入其認(rèn)證證書，例如用戶名和密碼c.與SCWS相關(guān)聯(lián)的OP可以核認(rèn)證書1200:與SCWS相關(guān)聯(lián)的OP可以創(chuàng)建唯一的隨機(jī)關(guān)聯(lián)句柄A。通過(guò)使用函數(shù)f，可以使用S=f (A，K)來(lái)計(jì)算斷言消息的簽名秘密，其中所述f應(yīng)該是單向的，以使對(duì)于A的認(rèn)識(shí)不會(huì)展現(xiàn)任何對(duì)于K的認(rèn)識(shí)。在一個(gè)示例實(shí)施方式中，即便展現(xiàn)了 S和A，也就是給出了S和A，f也不會(huì)展現(xiàn)任何關(guān)于K的知識(shí)，此外，對(duì)于函數(shù)g來(lái)說(shuō)，在計(jì)算方面，對(duì)K=g (S，K)進(jìn)行計(jì)算的處理是不可行的。由于可能將A作為重定向消息中的參數(shù)的一部分展現(xiàn)給RP，因此可以假設(shè)RP不會(huì)在OpenID協(xié)議過(guò)程的無(wú)狀態(tài)模式中獲得對(duì)于S的認(rèn)識(shí)。關(guān)聯(lián)句柄A可以包含在重定向消息中。此外還可以假設(shè)，使用S簽名的被簽名的消息m不會(huì)向簽名核驗(yàn)器展現(xiàn)任何關(guān)于K的信息(由于使用的是對(duì)稱密鑰簽名，因此，簽名核驗(yàn)器始終需要擁有S來(lái)核驗(yàn)簽名，由此 我們不要求該簽名不展現(xiàn)S)。在一個(gè)示例實(shí)施方式中，關(guān)聯(lián)句柄可以被規(guī)定成是長(zhǎng)為255個(gè)字符或更少的字串，并且可以只包括處于閉區(qū)間33-126中的ASCII字符(可打印的非空白字符)。OPSF用于核驗(yàn)簽名的秘密與關(guān)聯(lián)于SCWS的OP用于產(chǎn)生簽名的秘密可以是相同的。簽名的新鮮度可以由下一個(gè)步驟中插入的RP現(xiàn)時(shí)來(lái)確保，并且該RP現(xiàn)時(shí)必須是簽名的一部分。OpenID規(guī)范對(duì)簽名秘密本身的新鮮度保持默契。OP負(fù)責(zé)確保秘密的密碼強(qiáng)度，保持其秘密性，以及在需要時(shí)確保其新鮮度。OPSF和關(guān)聯(lián)于SCWS的OP可以持續(xù)有限壽命或是用于該目的簽名秘密的使用計(jì)數(shù)。啟用工具箱的本地OP可以使用CAT來(lái)主動(dòng)與手持機(jī)通信，從而繞過(guò)SCWS。該消息可以依照標(biāo)準(zhǔn)的OTA (例如用于經(jīng)由SMS-PP承載來(lái)發(fā)送OPSF的0TA)而被格式化。但是，這種處理有可能需要OPSF經(jīng)由MNO的OTA系統(tǒng)來(lái)與所述卡進(jìn)行通信。在另一個(gè)實(shí)施方式中，BIP網(wǎng)關(guān)可以提取工具箱消息的有效載荷，并且手持機(jī)可以使用TCP/IP將其發(fā)送到0PSF。這可能要求消息經(jīng)由MNO的OTA服務(wù)器來(lái)傳送。另外，SCWS聲稱只在所述卡不具有IP地址并且不支持TCP/IP的情況下使用BIP。因此，所預(yù)期的有可能是使用TCP/IP并借助SCWS來(lái)進(jìn)行發(fā)送。d.其他選項(xiàng)也是可以應(yīng)用的，這些選項(xiàng)有可能在關(guān)聯(lián)于SCWS的OP與OPSF之間產(chǎn)生共享秘密。此類方法的可行性有待下一步研究。1205 與SCffS相關(guān)聯(lián)的OP可以計(jì)算下列參數(shù)上的簽名return_t0、標(biāo)識(shí)以及模式。1210 :與SCffS相關(guān)聯(lián)的OP可以向?yàn)g覽器發(fā)送HTTP重定向消息，其中該消息包含了在1180處從RP接收的參數(shù)。此外還可以包括下列各項(xiàng) openid. signed參數(shù)中的一系列被簽名的參數(shù) openid. assoc_handle 參數(shù)中的關(guān)聯(lián)句柄 A openid. sig 參數(shù)中的簽名(base64 編碼)。在1212處，該消息可以用于將瀏覽器重定向到處于RP的return_t0 URL。1215 :瀏覽器可以將用戶重定向到RP上的return_to URL。1220 :RP可以接收被簽名的斷言消息，并且在經(jīng)由公共因特網(wǎng)且基于HTTP (S)的直接通信中加入與OPSF的核驗(yàn)過(guò)程。1225 RP可以發(fā)布HTTP傳遞消息，該消息包含了在795處從與SCWS相關(guān)聯(lián)的OP接收的參數(shù)。HTTP傳遞消息可以包括由與SCWS相關(guān)聯(lián)的OP產(chǎn)生的關(guān)聯(lián)句柄A。1230 :0PSF可以從參數(shù)列表中提取A，并且可以與關(guān)聯(lián)于SCWS的OP使用具有相同輸入的相同函數(shù)f，即OPSF計(jì)算f(A，K)=S，并且使用S作為共享秘密來(lái)核驗(yàn)從與SCWS相關(guān)聯(lián)的OP接收的數(shù)據(jù)上的簽名。1235 :如果簽名核驗(yàn)成功,那么OPSF可以返回is_valid:真。1240 :對(duì)RP來(lái)說(shuō),現(xiàn)在可以將用戶標(biāo)識(shí)為http://op.org/identity。1245 :瀏覽器可以顯示RP的HTML頁(yè)面。1250 :用戶可以在 RP 上作為 http://op. org/identity 登錄。 如圖34所示，1160、1190、1212、1215和1250代表的是不會(huì)在MNO/空中網(wǎng)絡(luò)上產(chǎn)生負(fù)載的本地通信。此外，由于這些通信可以在設(shè)備內(nèi)部進(jìn)行，因此，這些通信可以在其他(固定線路或非MN0)網(wǎng)絡(luò)未產(chǎn)生業(yè)務(wù)的情況下進(jìn)行。1165、1180、1220和1245代表的是空中傳送通信，該通信可以作為數(shù)據(jù)業(yè)務(wù)(例如基于HTTP、IP的通信)而在MNO/空中網(wǎng)絡(luò)上進(jìn)行，并且可以代表MNO網(wǎng)絡(luò)上的負(fù)載。1170、1175、1225和1235代表的是可能在諸如固定線路的因特網(wǎng)之類的固定線路上出現(xiàn)并且可以使用現(xiàn)有基礎(chǔ)架構(gòu)的業(yè)務(wù)。該通信不會(huì)增大MNO/空中接口網(wǎng)絡(luò)上的負(fù)載。4. 5方案和應(yīng)用本節(jié)論述的是先前章節(jié)中描述的方法和協(xié)議的附加實(shí)施方式。例如，本節(jié)通過(guò)顯性列舉了一些不同的方案擴(kuò)展了以上概括，由此擴(kuò)展了使用范例和方案的范圍。術(shù)語(yǔ)“智能卡”(SC)可以用于描述能夠提供安全操作設(shè)施的任何類型的集成電路卡(1C)。對(duì)于可以使用SC來(lái)保持網(wǎng)絡(luò)認(rèn)證證書(例如GSM/UMTS)的移動(dòng)設(shè)備中的特定用途來(lái)說(shuō)，該用途可被稱為UICC。開(kāi)放移動(dòng)聯(lián)盟(OMA)定義的智能卡網(wǎng)絡(luò)服務(wù)器(SCWS)應(yīng)用并不局限于在ncc中使用，并且可被設(shè)想在其他任何智能卡上使用。因此，這里描述的實(shí)施方式很容易擴(kuò)展到一般的SC，例如通過(guò)將OpenID與駐留在安全部件內(nèi)部的OP實(shí)體結(jié)合使用來(lái)實(shí)施用戶認(rèn)證的實(shí)施方式。此外，其他任何可以為安全性至關(guān)重要的方法提供相似接口和受保護(hù)運(yùn)行的安全環(huán)境都可以是上述實(shí)施方式的實(shí)施目標(biāo)。4. 5. I利益相關(guān)者模型4. 5. I. I MNO 模型在一個(gè)示例實(shí)施方式中，MNO可以充當(dāng)全面的標(biāo)識(shí)供應(yīng)方。MNO可以托管作為網(wǎng)絡(luò)服務(wù)的op-gg以及OPSF發(fā)現(xiàn)和關(guān)聯(lián)點(diǎn)實(shí)體，并且還可以向ncc提供op應(yīng)用和用戶標(biāo)識(shí)。4. 5. I. 2 第三方 OP 和 MNO在一個(gè)示例實(shí)施方式中，假設(shè)用戶已經(jīng)具有注冊(cè)到第三方OP的現(xiàn)有OpenID標(biāo)識(shí)符，例如myopenid. com。該OP可被稱為第三方OP (30P)。MNO可以不再充當(dāng)用戶的服務(wù)供應(yīng)者，而是可以傳送數(shù)據(jù)，并且允許30P在WCC上安裝OP應(yīng)用并將其與SCWS應(yīng)用相關(guān)聯(lián)。30P有可能必須與麗0建立業(yè)務(wù)關(guān)系。MNO還可以為OP應(yīng)用許可30P遠(yuǎn)程管理權(quán)利。MNO可以向30P收取服務(wù)的費(fèi)用并產(chǎn)生收益。更進(jìn)一步的細(xì)節(jié)是在下文中就兼容全球平臺(tái)(GP)的卡的使用來(lái)描述的。
4. 5. I. 3 非 MNO,非移動(dòng)在非移動(dòng)方案中可以使用一個(gè)示例實(shí)施方式。例如，OpenID標(biāo)識(shí)供應(yīng)方可以使用諸如銀行發(fā)布的SC之類的一般SC來(lái)安裝OP應(yīng)用。舉例來(lái)說(shuō)，通過(guò)執(zhí)行該處理，可以使用托管了 NFC權(quán)證應(yīng)用和OpenID認(rèn)證OP應(yīng)用的銀行卡?？梢约僭O(shè)先前不知道將會(huì)與SC通信的設(shè)備的類型。但是，如果給出了當(dāng)前的SC規(guī)范，那么可以與SC建立借助USB的TCP/IP連接，其中舉例來(lái)說(shuō)，所述連接是借助本地鏈路、SC讀取器、NFC通信接口等等建立的。SC可以配備能被外部終端到達(dá)的SCWS。4. 5. 2拆分終端方案本節(jié)描述的是這樣的實(shí)施方式，其中包含了托管SCWS和OP應(yīng)用的SC的設(shè)備可以不是與希望訪問(wèn)RP網(wǎng)站的設(shè)備相同的設(shè)備。在這些實(shí)施方式中，SC可被用作外部認(rèn)證令牌。這些拆分終端實(shí)施方式可以與這里描述的不同利益相關(guān)者模型相結(jié)合。4. 5. 2. I具有處于移動(dòng)終端中的nCC的拆分終端圖34示出的是用于拆分終端的協(xié)議流程的示例實(shí)施方式。在一個(gè)示例實(shí)施方式中，用戶可以擁有配備了 ncc的移動(dòng)設(shè)備，其上安裝了 SCWS和0P。用戶可以使用與該移動(dòng)設(shè)備不同的設(shè)備訪問(wèn)RP上的期望網(wǎng)頁(yè)，其中該設(shè)備被稱為瀏覽代理(BA)。當(dāng)BA訪問(wèn)RP并提交OpenID標(biāo)識(shí)符以進(jìn)行登錄時(shí)，RP可以將BA重定向到0P，即OP的URL。從RP到BA的HTTP重定向消息可以包括OP應(yīng)用對(duì)斷言消息上的簽名進(jìn)行計(jì)算所需要的必要信息。該消息的內(nèi)容可以傳遞到移動(dòng)設(shè)備以及SC上的OP。OP可以在移動(dòng)設(shè)備上向用戶顯示認(rèn)證頁(yè)面，用戶會(huì)授權(quán)并認(rèn)證所述登錄。OP可以對(duì)斷言消息進(jìn)行簽名。然后，被簽名的斷言消息可以被送回RP，這個(gè)處理通常由RA完成。然后，RP可以核驗(yàn)該簽名，并且用戶/BA將會(huì)登錄在RP上。在另一個(gè)包含了 BA與移動(dòng)設(shè)備之間通信的示例實(shí)施方式中，舉例來(lái)說(shuō)，在兩個(gè)實(shí)體之間可以借助藍(lán)牙或WLAN來(lái)建立本地鏈路，并且可以將設(shè)備注冊(cè)成是托管OP的設(shè)備。然 后，瀏覽器可以經(jīng)由本地鏈路來(lái)向移動(dòng)設(shè)備發(fā)送重定向，移動(dòng)設(shè)備則可以將這個(gè)重定向轉(zhuǎn)發(fā)給0P/SCWS。然后，OP可以向用戶要求其證書。用戶可以在其移動(dòng)設(shè)備上使用任何一種為了用戶認(rèn)證而實(shí)施的方法(例如密碼、PIN、生物計(jì)量)來(lái)向OP進(jìn)行認(rèn)證。OP可以對(duì)斷言消息進(jìn)行簽名，并且將其經(jīng)由本地鏈路轉(zhuǎn)發(fā)給BA。然后，BA可以使用這個(gè)消息來(lái)向RP進(jìn)行認(rèn)證。在該方案中，BA充當(dāng)了 RP與移動(dòng)設(shè)備之間的MITM。由于用戶有可能知道其發(fā)起了該OpenID會(huì)話，因此，他可以在他的移動(dòng)設(shè)備上檢測(cè)到非授權(quán)請(qǐng)求。 如圖35所示，在1255處，BA可以訪問(wèn)RP，并且可以請(qǐng)求使用OpenID進(jìn)行登錄。在1260處，RP可以接收登錄請(qǐng)求，并且可以基于OpenID標(biāo)識(shí)來(lái)與OP (MNO)發(fā)起發(fā)現(xiàn)OP服務(wù)器的處理。在1265處，RP可以向OP (MNO)傳送關(guān)聯(lián)請(qǐng)求，OP (MNO)則可以傳送關(guān)聯(lián)響應(yīng)。該關(guān)聯(lián)響應(yīng)可以包括關(guān)聯(lián)句柄A和密鑰S。在1270處，RP可以將瀏覽器重定向到與SCWS相關(guān)聯(lián)的0P。所述RP請(qǐng)求可以將A包含在請(qǐng)求消息中。BA與用戶可以建立本地鏈路。在1275處，BA可以向與SCWS相關(guān)聯(lián)的OP傳送本地認(rèn)證請(qǐng)求。在1280處，在關(guān)聯(lián)于SCWS的OP與用戶/移動(dòng)設(shè)備之間可以建立本地認(rèn)證處理。在1285處，與SCWS相關(guān)聯(lián)的OP可以將BA重定向到RP。該定向可以包括關(guān)聯(lián)句柄，并且可以包括被簽名的參數(shù)。在1290處，BA可以向RP傳送請(qǐng)求。該請(qǐng)求可以包括來(lái)自與SCWS相關(guān)聯(lián)的OP且被簽名的斷言消息。在1295處，RP可以允許BA顯示登錄頁(yè)面。
4. 5. 2. 2外部讀卡器/NFC中的帶有智能卡的拆分終端在關(guān)于非移動(dòng)SC部署的示例實(shí)施方式中，SC可以由基于網(wǎng)絡(luò)的OP或另一個(gè)第三方(例如銀行)發(fā)布。在這里可以應(yīng)用與移動(dòng)拆分終端范例中描述的步驟相似的步驟。然后，本地鏈路可以借助外部智能卡讀取器或是借助附著于計(jì)算機(jī)的NFC (近場(chǎng)通信)終端來(lái)建立。該接口可以支持HTTP消息，并且該HTTP消息可被發(fā)送給在SC上實(shí)施的0P/SCWS。4. 6 OpenID中的信任關(guān)系4. 6. I現(xiàn)有OpenID中的信任關(guān)系圖35示出的是OpenID中的信任關(guān)系。4. 6. I. I OpenID 協(xié)議步驟 I如圖36所示，在1300處，用戶訪問(wèn)允許其在登錄之后訪問(wèn)服務(wù)的RP網(wǎng)站。如果他決定使用OpenID登錄，那么他會(huì)被重定向到其0P。用戶必須信任恰當(dāng)?shù)貓?zhí)行了重定向并且不會(huì)遭遇網(wǎng)絡(luò)釣魚攻擊的RP。此外，用戶還相信供其在登錄之后接收服務(wù)的RP，并且相信(出于隱私原因)所述RP不會(huì)展現(xiàn)與RP到第三方的用戶交互。 用戶提供的0penID\標(biāo)識(shí)符進(jìn)入RP域，并且充當(dāng)了用于為RP發(fā)現(xiàn)正確OP的手段、以及用于RP與用戶之間交互的標(biāo)識(shí)符。RP僅僅獲悉該標(biāo)識(shí)符，并且通過(guò)對(duì)其進(jìn)行解析，RP知道了 OP的地址。根據(jù)OpenID規(guī)范，發(fā)現(xiàn)是可依賴方使用標(biāo)識(shí)符來(lái)查找(“發(fā)現(xiàn)”)用于發(fā)起請(qǐng)求的必要信息的處理。OpenID認(rèn)證具有三種執(zhí)行發(fā)現(xiàn)的途徑。如果標(biāo)識(shí)符是XRI, [XRI Resolution (解析)2. 0] (Wachob (瓦霍布)，G.、Reed(里德)，D.、ChasenL (查森勒)、Tan (潭)，W.以及 S. Churchill (丘吉爾)，“ExtensibleResource Identifier (XRI)Resolution V2. 0-Committee Draft 02 (擴(kuò)展資源標(biāo)識(shí)符(XRI)解析V2. 0-委員會(huì)草案02)”)，那么它會(huì)產(chǎn)生包含必要信息的XRDS文檔。應(yīng)該指出的是,可依賴方可以利用CRI代理解析器,例如處于http://www. xri.net的XDI. org提供的解析器。這樣做會(huì)消除RP在本地執(zhí)行XRI解析的需要。如果它是URL，那么首先應(yīng)該嘗試Yadis (雅迪斯)協(xié)議(Miller (米勒)，J.，“YadisSpecification 1.0 (雅迪斯規(guī)范I. 0)”)[Yadis]。如果取得成功,則結(jié)果同樣是XRDS文檔。如果Yadis協(xié)議失敗并且沒(méi)有檢索到有效的XRDS文檔，或者在XRDS文檔中沒(méi)有發(fā)現(xiàn)服務(wù)元素(OpenID服務(wù)元素)，則檢索所述URL，并且應(yīng)該嘗試基于HTML的發(fā)現(xiàn)處理(基于HTML的發(fā)現(xiàn))。值得一提的是，發(fā)現(xiàn)步驟有可能為攻擊者提供進(jìn)入點(diǎn)。例如，攻擊者可以使用DNS欺騙攻擊來(lái)嘗試直接攻擊RP，以便以將RP重定向到受控于攻擊者的偽造OP而并非真實(shí)OP的方式來(lái)暗中破壞發(fā)現(xiàn)步驟。雖然該主機(jī)是另一個(gè)主機(jī)，但由于域名相同，因此，RP仍舊認(rèn)為它是用戶的真實(shí)0P。與似乎處于OpenID規(guī)范的范圍以外相對(duì)，該缺點(diǎn)存在于OpenID協(xié)議和保護(hù)的設(shè)計(jì)中。在可信OpenID文檔中業(yè)已捕獲到了這種威脅，并且其中論述了關(guān)于某些可能的緩解方法的暗示。4. 6. I. 2 OpenID 協(xié)議步驟 2
如圖36所示，在1305處，一旦RP發(fā)現(xiàn)用戶OP，則RP會(huì)與該OP建立關(guān)聯(lián)，由此允許其安全地經(jīng)由共享密鑰保護(hù)信息來(lái)進(jìn)行通信，用戶標(biāo)識(shí)符將會(huì)離開(kāi)RP域并進(jìn)入OP域。雖然OP會(huì)認(rèn)定他實(shí)際托管了帶有指定標(biāo)識(shí)符的用戶標(biāo)識(shí)，但是OP還會(huì)獲知該用戶現(xiàn)在正在嘗試訪問(wèn)哪一個(gè)站點(diǎn)。如果共享秘密的建立是不安全的(該標(biāo)準(zhǔn)只定義了能被MITM攻擊的Diffie-Hellman)，那么OP無(wú)法確保與之關(guān)聯(lián)的RP與用戶在其瀏覽器中看到的RP相同。用戶相信OP不會(huì)使用收集到的信息(例如用戶訪問(wèn)過(guò)的站點(diǎn)和訪問(wèn)頻率)來(lái)構(gòu)建用戶簡(jiǎn)檔。此外，用戶相信OP不會(huì)接受來(lái)自用戶未訪問(wèn)過(guò)的站點(diǎn)的關(guān)聯(lián)請(qǐng)求(例如攻擊者對(duì)未知站點(diǎn)的隱藏登錄嘗試)。RP相信OP的確會(huì)實(shí)際認(rèn)證用戶，以及為RP提供可靠的用戶標(biāo)識(shí)信息。在可以借助RP來(lái)收取RP服務(wù)費(fèi)用的支付方案中，RP還相信OP會(huì)提供必要的手段來(lái)進(jìn)行收費(fèi)。例如，如果MNO在OpenlD/GBA中充當(dāng)0P，那么RP會(huì)將OP認(rèn)定成是由允許借助用戶電話賬單來(lái)向其收費(fèi)的MNO運(yùn)行的。然后，RP相信MNO-OP會(huì)執(zhí)行收費(fèi)。由于可以構(gòu)建和設(shè)置任意的0P(例如那些不認(rèn)證用戶并且由此可能被垃圾郵件發(fā) 送者濫用，從而為其提供一種簡(jiǎn)單機(jī)制來(lái)創(chuàng)建向論壇、博客等等兜售信息通用賬號(hào)的0P)，因此，RP有可能希望限制針對(duì)受限OP集合的訪問(wèn)。在OpenID協(xié)議中并沒(méi)有規(guī)定這種OP白/黑名單方法，但在RP上可以實(shí)施該方法來(lái)防御惡性0P。4. 6. I. 3 OpenID 協(xié)議步驟 3如圖36所示，在1310處，用戶被重定向到OP頁(yè)面并執(zhí)行認(rèn)證。證書將會(huì)離開(kāi)用戶域并進(jìn)入OP域。因此，用戶與OP之間的接口必須受到保護(hù)以免竊聽(tīng)。在典型方案中，通過(guò)使用HTTP之上的HTTPS，可以提供很小的保護(hù)。但是，考慮到用戶不會(huì)檢查整個(gè)證書鏈，該處理并未防御帶有有效證書的偽造0P。用戶相信OP不會(huì)濫用證書，也就是說(shuō)，用戶不會(huì)認(rèn)為其OP是惡意的。惡意OP很容易即可代表其注冊(cè)用戶來(lái)訪問(wèn)所有服務(wù)。由于OP的損害會(huì)導(dǎo)致將用戶證書立即暴露給所有網(wǎng)絡(luò)服務(wù)，并且還會(huì)導(dǎo)致用戶標(biāo)識(shí)受損，因此，具有較大用戶基礎(chǔ)的大型OP成為了攻擊者的主要目標(biāo)。作為認(rèn)證階段的結(jié)果，用戶瀏覽器被來(lái)自O(shè)P的斷言重定向到了 RP，其中所述OP是用戶為了使用其標(biāo)識(shí)符而進(jìn)行認(rèn)證的0P。用戶標(biāo)識(shí)受損尤其令人感到擔(dān)憂，這是因?yàn)镺penID標(biāo)識(shí)通常不但被用作了用于簡(jiǎn)化針對(duì)不同網(wǎng)絡(luò)服務(wù)的訪問(wèn)的手段，而且還被用作了一種用于在多個(gè)站點(diǎn)上構(gòu)建聲望的手段。因此，一旦標(biāo)識(shí)符被濫用，則很難恢復(fù)受好評(píng)的標(biāo)識(shí)。4. 6. I. 4 OpenID 協(xié)議步驟 4如圖36所示，在1315處，通過(guò)使用來(lái)自O(shè)P的斷言，用戶被重定向到RP。RP獲取足夠信息來(lái)相信已經(jīng)執(zhí)行過(guò)認(rèn)證的用戶(和0P)，并且相信該用戶知道與標(biāo)識(shí)符相關(guān)聯(lián)的秘密。RP不會(huì)獲得在用戶與OP之間使用的認(rèn)證方法的任何信息或保證。4. 6. 2用于移動(dòng)本地OP中的信任關(guān)系的實(shí)施方式4. 6. 2. I 概括圖37示出的是與本地OP的信任關(guān)系的示例實(shí)施方式。在一個(gè)示例實(shí)施方式中，如果OP成為用戶的本地實(shí)體，那么OP和用戶域可被認(rèn)為是用虛線1340標(biāo)識(shí)的單個(gè)域。在1330處，用戶可以執(zhí)行認(rèn)證，這樣可以減小認(rèn)證過(guò)程的網(wǎng)絡(luò)負(fù)載。用戶可以與為其提供更多控制的本地實(shí)體共享其私有數(shù)據(jù)。如果要構(gòu)建關(guān)聯(lián)，那么RP有可能需要直接與本地OP取得聯(lián)系。該連接不是OpenID協(xié)議工作所必需的。RP與OP之間的通信還可以借助間接通信來(lái)執(zhí)行，也就是借助于使用了用戶瀏覽器的重定向。
但是，RP在本地OP中所具有的信任度取決于可以從來(lái)自O(shè)P的斷言中推導(dǎo)得到的可靠信息量。通常，RP會(huì)接受每一個(gè)0P，但在需要安全性的應(yīng)用中，RP可以限制針對(duì)一組OP或是具有指定屬性的OP的訪問(wèn)。然后，OP必須為RP提供這些屬性的信息。此類信息可以通過(guò)間接通信并從本地OP經(jīng)由直接信道(例如關(guān)聯(lián)信道)或者經(jīng)由重定向消息中的附件傳送。在另一個(gè)示例實(shí)施方式中，關(guān)于OP屬性的這種斷言(例如由可信賴的MNO發(fā)布)可以源于TTP。在1325處，RP可以如1305中描述的那樣繼續(xù)進(jìn)行處理(第0572段(即4. 6. I. I節(jié)中最后一段))。在1335處，UE可以如1315中描述的那樣繼續(xù)進(jìn)行處理(第0580段(SP4. 6. I. 3節(jié)中最后一段))。在1320處，UE可以如1300中描述的那樣繼續(xù)執(zhí)行處理(第0565段(即4. 6. I節(jié)中第一段))。但在該方案中，如第0582段(即本節(jié)中第 一段)所述，用戶可以采用多種方式來(lái)執(zhí)行本地認(rèn)證，而不用在因特網(wǎng)上進(jìn)行交互。4. 6. 2. 2與MNO的信任關(guān)系圖38示出的是與本地OP的信任關(guān)系的示例實(shí)施方式。如圖38所示，由于MNO是在智能卡上運(yùn)行的，因此它可以與OP具有直接聯(lián)系。RP可以與MNO具有間接聯(lián)系，但是在兼容標(biāo)準(zhǔn)的OpenID協(xié)議中，它們并不需要建立這種關(guān)系。RP可能需要與OP建立聯(lián)系。出于若干種原因，例如借助于MNO的權(quán)證處理、標(biāo)識(shí)的提升的信任等級(jí)等等，RP可能希望獲取用戶標(biāo)識(shí)的附加信息。這種信任度可以基于RP在MNO中具有的信任度。信任度可以從MNO經(jīng)由OP傳送到RP。在一個(gè)示例實(shí)施方式中，假設(shè)RP對(duì)MNO具有某個(gè)信任等級(jí)(例如通過(guò)MNO的聲譽(yù)，類似于注冊(cè)、服務(wù)以及合同協(xié)議的帶外處理)。此外，可以假設(shè)RP可以在需要時(shí)與MNO的實(shí)體進(jìn)行通信，并且該通信可以用恰當(dāng)?shù)氖侄伪Ｗo(hù)(例如IPSEC、HTTPS)。此外還可以假設(shè)智能卡和MNO (的服務(wù)器)可能具有根據(jù)需要而以不同方式通信的手段。在發(fā)現(xiàn)處理中可以包含MN0，由此可以通過(guò)為RP提供OP當(dāng)前地址來(lái)允許RP與OP建立直接通信信道(關(guān)聯(lián))。該處理有可能將用戶訪問(wèn)的服務(wù)暴露給MN0，由此允許其產(chǎn)生用戶的追蹤簡(jiǎn)檔。如果使用了經(jīng)由用戶瀏覽器的間接處理，那么該發(fā)現(xiàn)處理可以不是必需的。如果在OpenID協(xié)議中包含了 MN0，那么MNO可以具有若干種作用。4. 6. 2. 2. I充當(dāng)OP的(直接)信任度供應(yīng)方的MNO充當(dāng)直接信任度供應(yīng)方意味著MNO可以直接包含在OP與RP之間用于構(gòu)建信任的處理中。這種直接包含可以即時(shí)向RP確保將OP斷言的標(biāo)識(shí)注冊(cè)在了 MNO上。如果MNO充當(dāng)OP的直接信任度供應(yīng)方，那么在0P、RP以及適當(dāng)?shù)姆?wù)或是MNO的現(xiàn)有服務(wù)組合之間可以使用若干種方法。a)用于RP與MNO之間的直接連接的示例實(shí)施方式在一個(gè)示例中，MNO可以提供能被RP到達(dá)的中心服務(wù)。RP不能與OP直接關(guān)聯(lián)，而是經(jīng)由MNO進(jìn)行關(guān)聯(lián)。用戶瀏覽器可被重定向到本地0P。在認(rèn)證之后，OP可以向MNO發(fā)送聲明認(rèn)證成功的消息。該消息可以用MNO發(fā)布給智能卡的密鑰來(lái)簽名。MNO可以核驗(yàn)該簽名，附加自己的簽名，然后將該消息轉(zhuǎn)發(fā)給RP。RP可以接收兩個(gè)消息來(lái)自O(shè)P且表明用戶已被認(rèn)證的斷言，以及來(lái)自MNO且表明有效OP已經(jīng)執(zhí)行了認(rèn)證的消息。這些消息可以組合在來(lái)自MNO的單個(gè)消息中，以使所述消息包含表明認(rèn)證執(zhí)行成功的斷言。b)通過(guò)OP的間接通信的示例實(shí)施方式
在一個(gè)示例實(shí)施方式中，MNO可能不希望向RP提供這種外部服務(wù)；該通信可以間接地通過(guò)OP來(lái)傳送。信任度可以直接從來(lái)自MNO的聲明中得到，而RP與MNO之間的通信則可以經(jīng)由OP執(zhí)行。RP可以使用包含了現(xiàn)時(shí)的附加字段來(lái)將瀏覽器重定向到瀏覽器。然后，OP可以從請(qǐng)求中提取該字段，并且可以將其轉(zhuǎn)發(fā)給MN0。麗0可以對(duì)其進(jìn)行簽名，然后，被簽名的響應(yīng)可以包含在從OP到RP的斷言回答中。由于MNO可能對(duì)從已知OP接收的現(xiàn)時(shí)進(jìn)行簽名，因此，該處理還具有向MNO隱藏了被訪問(wèn)的服務(wù)的附加好處。如果將用戶的真實(shí)標(biāo)識(shí)泄露給了 RP，那么該現(xiàn)時(shí)可被用作會(huì)話標(biāo)識(shí)符，然后，所述會(huì)話標(biāo)識(shí)符將會(huì)標(biāo)識(shí)該用戶。c)用于組合方法的示例實(shí)施方式在一個(gè)示例實(shí)施方式中，通信類型是可以組合的當(dāng)用戶希望使用OpenID登錄RP時(shí)，RP會(huì)與MNO進(jìn)行聯(lián)系，并且在OpenID協(xié)議的關(guān)聯(lián)階段中與MNO建立共享秘密。然后，RP可以預(yù)期OP在完成認(rèn)證時(shí)將該秘密包含在斷言消息中。對(duì)MNO來(lái)說(shuō)，它可以選擇使用 新產(chǎn)生的簽名密鑰來(lái)為RP提供被簽名的聲明，其中該簽名密鑰是在MNO網(wǎng)絡(luò)智能卡中使用GBA協(xié)議產(chǎn)生的。借助GBA協(xié)議，MNO可以與智能卡建立秘密，并且這兩個(gè)實(shí)體可以簽署相同聲明。然后，OP可以將這個(gè)被簽名的聲明包含在發(fā)送給RP的斷言消息中。RP可以對(duì)來(lái)自MNO且被簽名的聲明與斷言消息中的聲明進(jìn)行比較。所述來(lái)自MNO的被簽名的聲明(或權(quán)證)可以根據(jù)需要而產(chǎn)生，或者可以在設(shè)備首次與MNO進(jìn)行認(rèn)證并且隨后將其保存在本地的時(shí)候產(chǎn)生。當(dāng)設(shè)備隨后嘗試連接到RP時(shí)，先前存儲(chǔ)的被簽名的聲明可被遞送給RP。OpenID協(xié)議可以允許RP決定是與OP建立關(guān)聯(lián)(由此建立共享秘密)還是使用無(wú)狀態(tài)協(xié)議流程。OP則可以支持所有這兩種工作模式。如果使用關(guān)聯(lián)，則可以為每個(gè)RP和每個(gè)OP建立共享秘密。這意味著在MNO與用戶設(shè)備上的OP之間預(yù)先共享的聲明必須包含RP與MNO之間的這個(gè)最新秘密。簽名密鑰可以在設(shè)備-OP與MNO之間預(yù)先共享(例如借助GBA)，然后，MNO和OP這二者會(huì)使用該簽名密鑰來(lái)對(duì)基于逐個(gè)會(huì)話的秘密/現(xiàn)時(shí)進(jìn)行簽名，其中該現(xiàn)時(shí)可以在RP與MNO之間確定并由MNO轉(zhuǎn)發(fā)給0P。4. 6. 2. 2. 2充當(dāng)OP的(間接)信任度供應(yīng)方的MNO在一個(gè)示例實(shí)施方式中，MNO還可以充當(dāng)OP的間接信任度供應(yīng)方。同樣，MNO不必牽涉到OpenID認(rèn)證期間的通信過(guò)程中。在另一個(gè)示例實(shí)施方式中，MNO可以向智能卡發(fā)布證書和密鑰材料，然后，所述證書和密鑰材料可被用于對(duì)從OP到RP的斷言消息中的字段進(jìn)行簽名。之后，RP可以核驗(yàn)向其確保OP源于可信任的MNO的簽名和證書。所述證書核驗(yàn)可以在MNO沒(méi)有進(jìn)一步參與的情況下進(jìn)行，例如由TTP執(zhí)行。4. 6. 2. 2. 3充當(dāng)OP的信任度和軟件供應(yīng)方的MNO在一個(gè)示例實(shí)施方式中，MNO可以遠(yuǎn)程下載并管理智能卡上的OP軟件包。對(duì)一些解決方案、例如智能卡網(wǎng)絡(luò)服務(wù)器(SCWS)來(lái)說(shuō)，該管理可以借助HTTPS管理會(huì)話而在SCWS與MNO之間完成。MNO可以直接將用于傳遞信任度的秘密(例如證書，如經(jīng)過(guò)認(rèn)證的密鑰)包含在OP發(fā)布的聲明中。然后，RP可以從已認(rèn)證秘密中推導(dǎo)出信任度。MNO甚至還可以將一組秘密包含在OP軟件中，以便與不同的用戶標(biāo)識(shí)符結(jié)合使用。RP可以從MNO發(fā)布的OP軟件證書中推導(dǎo)出信任度。在一個(gè)示例實(shí)施方式中，GBA可以允許MNO與設(shè)備上的OP建立共享秘密。由于該秘密未必為RP所知，但是RP有可能已經(jīng)與MNO建立了安全通信信道，因此，MNO可以在關(guān)聯(lián)信道中將這個(gè)(GBA得出的)秘密轉(zhuǎn)發(fā)給RP，以使RP可以自主核驗(yàn)OP斷言聲明，其中所述聲明是用GBA導(dǎo)出的密鑰簽名的。在另一個(gè)實(shí)施方式中，當(dāng)在MNO與OP之間建立了 GBA秘密之后，MNO可以從RP請(qǐng)求現(xiàn)時(shí)和RP ID，然后使用所述現(xiàn)時(shí)和RP ID來(lái)從其與OP之間的GBA秘密中建立僅用于該特定RP和該特定會(huì)話的進(jìn)一步秘密。例如，通過(guò)執(zhí)行這個(gè)處理，可以避免將GBA導(dǎo)出的秘密重新用于與RP的關(guān)聯(lián)，以及避免將GBA導(dǎo)出的秘密暴露給RP。然后，MNO可以將這個(gè)RP和會(huì)話專用秘密轉(zhuǎn)發(fā)給RP。與第一個(gè)選項(xiàng)中一樣，RP隨后能夠基于該會(huì)話專用密鑰來(lái)核驗(yàn)斷言上的OP簽名。4. 7全球平臺(tái)智能卡上的實(shí)施方式GP SC可以托管多個(gè)所謂的安全域(SD)，其中所述安全域能使每一個(gè)SD代表利益相關(guān)者，并且能為該利益相關(guān)者存儲(chǔ)密鑰并且安裝和個(gè)性化應(yīng)用。主SD可以是屬于卡發(fā)布者的發(fā)布者SD。SD可以采用層級(jí)結(jié)構(gòu)來(lái)組織，并且SD可以具有在其層級(jí)內(nèi)部管理內(nèi)容的 不同權(quán)限。發(fā)布者SD可以具有授權(quán)的管理(AM)權(quán)限，這意味著它具有卡的自主控制權(quán)，并且能在其層級(jí)中安裝和刪除SD。其他SD則只在駐留于卡上的獨(dú)立層級(jí)時(shí)才被給予AM。如果SD處于相同層級(jí)，那么SD可以得到委托管理(DM)權(quán)限，其中該DM權(quán)限允許SD在其子層級(jí)中管理卡的內(nèi)容。該SD執(zhí)行的所有操作都可以由發(fā)布者用令牌授權(quán)，其中所述令牌由DM SD呈現(xiàn)給發(fā)布者SD，并由所述發(fā)布者SD進(jìn)行檢查。駐留在不同SD中的GP SC的應(yīng)用能夠使用可信路徑(TP)的概念來(lái)進(jìn)行通信。TP可以是必須指定給應(yīng)用的權(quán)限，其允許這些應(yīng)用借助GP的開(kāi)放API來(lái)交換命令。否則，應(yīng)用在GP SC上是被分離的。圖39示出的是具有發(fā)布方SD的SD層級(jí)的示例實(shí)施方式。圖40示出的是具有DM的SD層級(jí)的示例實(shí)施方式。4.7.2實(shí)施方式的實(shí)施選項(xiàng)根據(jù)可以如何在SC上實(shí)施SCWS，可以啟用不同的利益相關(guān)者模型。4. 7. 2. I作為GP應(yīng)用的SCWS的實(shí)施方式圖41示出的是作為GP應(yīng)用的SCWS的示例實(shí)施方式。在一個(gè)示例實(shí)施方式中，SCWS可以在SC發(fā)布者擁有的特定SD中作為GP應(yīng)用來(lái)實(shí)施，并且可以支持MNO模型和第三方OP模型以及非MNO模型。我們假設(shè)OP的應(yīng)用邏輯可以作為不同的應(yīng)用駐留在不同的SD中，并且由此可以被與擁有SCWS應(yīng)用和域的實(shí)體不同的實(shí)體擁有和管理。這兩個(gè)應(yīng)用都可以使用可信路徑能力來(lái)進(jìn)行通信。第三方和卡發(fā)布者必須就用于實(shí)施該方案的業(yè)務(wù)聯(lián)系達(dá)成一致，例如將正確的權(quán)限許可給SD和應(yīng)用。應(yīng)用提供方(第三方OP) SD可以配備DM權(quán)限，并且可以管理OP應(yīng)用。SCWS管理可以由卡發(fā)布者借助SCWS管理代理SD來(lái)執(zhí)行，其中所述SD通常支持OTA管理能力，例如借助HTTM的RAM。如果APSD還支持SCP80協(xié)議，那么應(yīng)用和內(nèi)容可以是由第三方使用DM令牌管理的OTA。4. 7. 2. 2范例2 :在卡的運(yùn)行時(shí)間環(huán)境(RTE)中實(shí)施的SCWS圖42示出的是在卡的運(yùn)行時(shí)間環(huán)境中實(shí)施的SCWS的示例實(shí)施方式。在一個(gè)示例實(shí)施方式中，由于對(duì)SCWS的訪問(wèn)不會(huì)通過(guò)GP框架暴露，因此，SCWS可以在卡的RTE中由SC制造商來(lái)實(shí)現(xiàn)，并且第三方應(yīng)用無(wú)法與SCWS進(jìn)行通信。因此，不能支持第三方OP的利益相關(guān)者模型。但是，支持MNO模型和非移動(dòng)模型。4. 8 SCffS之外的其他平臺(tái)上的OP實(shí)施方式4. 8. I使用Java卡作為平臺(tái)在Java卡上可以安裝Java運(yùn)行時(shí)間環(huán)境，該環(huán)境允許跨越不同SM卡(和廠家)的SM卡應(yīng)用的互操作性。在一個(gè)示例實(shí)施方式中，Java卡平臺(tái)可以用于允許MNO創(chuàng)建并向Java卡部署小應(yīng)用程序OTA。4. 8. 2使用嵌入式安全部件的實(shí)施方式如上所述，在智能卡中可以實(shí)施屬于用戶或是受到用戶某種程度的控制的設(shè)備中的嵌入式本地OP應(yīng)用。隨著嵌入式安全解決方案在移動(dòng)設(shè)備中的日益擴(kuò)展，有可能存在提 供了不同安全屬性的多個(gè)不同的運(yùn)行環(huán)境。智能卡上的OP設(shè)計(jì)可以擴(kuò)展至其他(嵌入式)安全部件，由此可以允許安全地執(zhí)行代碼以及安全地存儲(chǔ)證書。此外，運(yùn)行環(huán)境可能需要提供連至外部環(huán)境的通信信道，尤其是用于OP用戶認(rèn)證交互、OP瀏覽器通信(基于HTTP(S))以及OP - RP關(guān)聯(lián)和斷言消息(也基于HTTP (s))的信道。在一個(gè)示例實(shí)施方式中，所使用的可以是移動(dòng)電話內(nèi)部已可用于為設(shè)備上的OP軟件提供可信運(yùn)行環(huán)境(TEE)的已有安全環(huán)境(例如信任區(qū)域等等)。由于智能卡可以被視為處于MNO的控制之下，因此，智能卡可以代表MNO的關(guān)鍵資源。在實(shí)施嵌入式運(yùn)行環(huán)境上的OP的過(guò)程中、尤其是MNO與本地OP建立共享秘密的實(shí)施方式中，MNO可能需要核驗(yàn)運(yùn)行環(huán)境安全屬性的裝置。該裝置可以包括但不局限于 執(zhí)行運(yùn)行環(huán)境的完整性測(cè)量的能力 報(bào)告完整性量度的通信 需要對(duì)設(shè)備運(yùn)行環(huán)境進(jìn)行(完整性)核驗(yàn)，由此將其轉(zhuǎn)入可信運(yùn)行環(huán)境(TEE)中 用于從MNO網(wǎng)絡(luò)到嵌入式TEE中的OP的下載/供應(yīng)協(xié)議/處理 TEE的通信能力；0P必須能與RP和用戶(以及MN0)進(jìn)行通信在一些示例實(shí)施方式中(在智能卡上或TEE內(nèi)部)，MNO可以獲得關(guān)于用戶行為的附加信息(例如用戶訪問(wèn)的RP、登錄頻率、用戶行為等等)。在要求隱私的方案、例如在公司環(huán)境中，公司希望向MNO隱藏用戶行為，并且較為有益的則是在很大程度上都不包含MN0。在另一個(gè)示例實(shí)施方式中，如果使用了嵌入式安全特征來(lái)執(zhí)行本地OP的實(shí)施方式，那么MNO不能包含在OpenID處理中。這樣做可以允許用戶自主建立、管理和保持處于其設(shè)備的TEE內(nèi)部的OP裝置。在該方案中，OP不能與MNO共享秘密，這是因?yàn)榭梢约僭O(shè)MNO在OP實(shí)施方式中可能缺乏信任度。但是，在用戶與他的設(shè)備之間可以存在本地信任關(guān)系。用戶可以信任所述OP實(shí)施方式不會(huì)向第三方泄露任何私有個(gè)人數(shù)據(jù)。由于MNO不能發(fā)布關(guān)于OP實(shí)施方式的斷言，因此，隱私性的增加可能是以來(lái)自RP的OP信任度的降低為代價(jià)的。4.8.3來(lái)自可信OpenID創(chuàng)新的概念集成在一個(gè)示例實(shí)施方式中，OP可以在智能卡上實(shí)施。關(guān)于設(shè)備完整性的評(píng)定可被包含在內(nèi)并且引入可供設(shè)備測(cè)量和報(bào)告完整性的需求。對(duì)于可以支持針對(duì)MNO的完整性核驗(yàn)/報(bào)告的設(shè)備來(lái)說(shuō)，MNO首先可以檢查設(shè)備完整性以及OP的安全/運(yùn)行時(shí)間環(huán)境。然后，MNO可以為OP軟件觸發(fā)(遠(yuǎn)程)軟件安裝程序。此外，MNO可以為OP應(yīng)用配備設(shè)備參考值。然后，OP可以對(duì)照這些參考值來(lái)檢查在OpenID認(rèn)證過(guò)程中報(bào)告的量度，并且如果順利通過(guò)完整性檢查，則可以允許所述認(rèn)證。雖然在上文中描述了采用特定組合的特征和元素，但是本領(lǐng)域普通技術(shù)人員將會(huì)了解，每一個(gè)特征既可以單獨(dú)使用，也可以與其他特征和元素進(jìn)行任何組合。此外，這里描述的方法可以在引入到計(jì)算機(jī)可讀介質(zhì)中并供計(jì)算機(jī)或處理器運(yùn)行的計(jì)算機(jī)程序、軟件或固件中實(shí)施。關(guān)于計(jì)算機(jī)可讀介質(zhì)的示例包括電信號(hào)(經(jīng)由有線或無(wú)線連接傳送)以及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。關(guān)于計(jì)算機(jī)可讀介質(zhì)的示例包括但不局限于只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)、寄存器、緩沖存儲(chǔ)器、半導(dǎo)體存儲(chǔ)設(shè)備、如內(nèi)部硬盤和可移除磁盤之類的磁介質(zhì)、磁光介質(zhì)、以及如CD-ROM碟片和數(shù)字多用途碟片(DVD)之類的光介質(zhì)。與軟件相關(guān)聯(lián)的 處理器可以用于實(shí)施在WTRU、UE、終端、基站、RNC或任何主計(jì)算機(jī)中使用的射頻收發(fā)信機(jī)。
權(quán)利要求
1.一種用于啟用開(kāi)放管理安全協(xié)議以使可依賴方(RP)能夠?qū)τ脩暨M(jìn)行認(rèn)證的用戶環(huán)境，該用戶環(huán)境包括 用戶接口，該用戶接口使用單點(diǎn)登錄安全協(xié)議來(lái)與所述RP進(jìn)行通信，以代表用戶來(lái)請(qǐng)求接入到由所述RP提供的服務(wù)，并且其中所述RP與單點(diǎn)登錄證書的可信供應(yīng)方進(jìn)行通信，以發(fā)起對(duì)所述用戶的認(rèn)證；以及 處理器，該處理器在所述用戶環(huán)境內(nèi)部為所述可信供應(yīng)方對(duì)所述用戶進(jìn)行認(rèn)證，所述處理器被配置成在本地執(zhí)行所述單點(diǎn)登錄證書的可信供應(yīng)方的至少一些功能，以在認(rèn)證過(guò)程期間限制所述用戶環(huán)境以外的通信。
2.根據(jù)權(quán)利要求I所述的用戶環(huán)境，其中所述用戶接口接收來(lái)自所述RP的指示，該指示表明所述RP希望對(duì)所述用戶進(jìn)行認(rèn)證。
3.根據(jù)權(quán)利要求I所述的用戶環(huán)境，其中所述用戶接口接收來(lái)自所述RP的重定向消息，該重定向消息指示所述用戶接口對(duì)所述用戶進(jìn)行認(rèn)證。
4.根據(jù)權(quán)利要求I所述的用戶環(huán)境，其中所述用戶接口接收來(lái)自所述用戶的用戶證書。
5.根據(jù)權(quán)利要求I所述的用戶環(huán)境，其中所述處理器是可信計(jì)算環(huán)境。
6.根據(jù)權(quán)利要求5所述的用戶環(huán)境，其中所述用戶接口整體或部分地由所述可信計(jì)算環(huán)境保護(hù)。
7.根據(jù)權(quán)利要求5所述的用戶環(huán)境，其中當(dāng)所述用戶已被認(rèn)證時(shí)，所述可信計(jì)算環(huán)境向所述RP傳送認(rèn)證響應(yīng)。
8.根據(jù)權(quán)利要求5所述的用戶環(huán)境，其中所述可信計(jì)算環(huán)境是下列中的一者通用集成電路卡(UICC)、用戶標(biāo)識(shí)模塊(SM)、機(jī)器對(duì)機(jī)器(M2M)設(shè)備、智能卡、Java卡、全球平臺(tái)智能卡、或安全集成芯片卡(ICC)。
9.根據(jù)權(quán)利要求5所述的用戶環(huán)境，其中所述可信計(jì)算環(huán)境使用智能卡網(wǎng)絡(luò)服務(wù)器(SCWS)來(lái)被實(shí)施。
10.根據(jù)權(quán)利要求5所述的用戶環(huán)境，其中所述可信計(jì)算環(huán)境與OpenID供應(yīng)方共享秘
11.根據(jù)權(quán)利要求5所述的用戶環(huán)境，其中所述可信計(jì)算環(huán)境計(jì)算簽名，并且將所述簽名經(jīng)由所述用戶接口提供給所述RP，以允許所述RP核驗(yàn)所述可信計(jì)算環(huán)境的證書。
12.根據(jù)權(quán)利要求5所述的用戶環(huán)境，其中所述可信計(jì)算環(huán)境計(jì)算簽名，并且將所述簽名經(jīng)由所述用戶接口提供給所述0P，以允許所述OP核驗(yàn)所述可信計(jì)算環(huán)境的證書。
13.根據(jù)權(quán)利要求10所述的用戶環(huán)境，其中所述可信計(jì)算環(huán)境基于所述秘密來(lái)計(jì)算簽名，并且將所述簽名經(jīng)由所述用戶接口提供給所述RP，以允許所述RP核驗(yàn)所述可信計(jì)算環(huán)境的證書。
14.根據(jù)權(quán)利要求10所述的用戶環(huán)境，其中所述可信計(jì)算環(huán)境基于所述秘密來(lái)計(jì)算簽名，并且將所述簽名經(jīng)由所述用戶接口提供給所述0P，以允許所述OP核驗(yàn)所述可信計(jì)算環(huán)境的證書。
15.根據(jù)權(quán)利要求5所述的用戶環(huán)境，其中所述可信計(jì)算環(huán)境與所述OP經(jīng)由所述用戶接口建立共享秘密。
16.根據(jù)權(quán)利要求15所述的用戶環(huán)境，其中所述用戶接口接收來(lái)自所述RP的包括關(guān)聯(lián)句柄的認(rèn)證請(qǐng)求，并且將所述關(guān)聯(lián)句柄提供給所述可信計(jì)算環(huán)境。
17.根據(jù)權(quán)利要求15所述的用戶環(huán)境，其中所述用戶接口接收來(lái)自所述可信計(jì)算環(huán)境的包括關(guān)聯(lián)句柄的重定向消息，并且將所述關(guān)聯(lián)句柄提供給所述RP。
18.根據(jù)權(quán)利要求16所述的用戶環(huán)境，其中所述可信計(jì)算環(huán)境基于所述共享秘密來(lái)產(chǎn)生簽名，并且產(chǎn)生包括所述簽名和所述關(guān)聯(lián)句柄的認(rèn)證響應(yīng)。
19.根據(jù)權(quán)利要求18所述的用戶環(huán)境，其中所述用戶接口將由所述可信計(jì)算環(huán)境產(chǎn)生的所述認(rèn)證響應(yīng)提供給所述RP。
20.根據(jù)權(quán)利要求I所述的用戶環(huán)境,其中集成電路產(chǎn)生簽名，并且接收來(lái)自所述OP的簽名斷目消息。
21.根據(jù)權(quán)利要求20所述的用戶環(huán)境，其中所述集成電路向所述RP傳送簽名響應(yīng)消肩、O
22.根據(jù)權(quán)利要求I所述的用戶環(huán)境，其中所述用戶接口和集成電路處于相同設(shè)備上。
23.根據(jù)權(quán)利要求I所述的用戶環(huán)境，其中所述用戶接口和集成電路處于分離的設(shè)備上。
24.根據(jù)權(quán)利要求I所述的方法，其中對(duì)所述用戶的認(rèn)證通過(guò)用密碼或PIN碼、生物計(jì)量標(biāo)識(shí)、令牌或是其組合來(lái)核驗(yàn)所述用戶而被執(zhí)行。
25.一種用于保護(hù)用戶環(huán)境和/或本地?cái)嘌詫?shí)體(LAE)、以在開(kāi)放管理安全協(xié)議中為可依賴方(RP)對(duì)用戶進(jìn)行認(rèn)證的方法，該方法包括 經(jīng)由用戶接口接收來(lái)自所述RP的指示，該指示表明所述RP希望對(duì)所述用戶進(jìn)行認(rèn)證，所述RP能夠與單點(diǎn)登錄(SSO)證書的可信供應(yīng)方進(jìn)行通信； 通過(guò)所述用戶接口接收來(lái)自所述用戶的用戶證書； 使用所接收到的用戶證書來(lái)為所述RP對(duì)所述用戶進(jìn)行認(rèn)證，以在本地執(zhí)行SSO證書的所述可信供應(yīng)方的至少一些功能，從而在認(rèn)證過(guò)程期間限制所述用戶環(huán)境以外的通信；以及 經(jīng)由所述用戶接口來(lái)將認(rèn)證響應(yīng)傳送到所述RP。
26.根據(jù)權(quán)利要求25所述的方法，其中所述LAE處于可信計(jì)算環(huán)境內(nèi)。
27.根據(jù)權(quán)利要求26所述的方法，其中所述指示是重定向消息。
28.根據(jù)權(quán)利要求27所述的方法，其中所述重定向消息指示所述用戶接口使用所述可信計(jì)算環(huán)境來(lái)對(duì)所述用戶進(jìn)行認(rèn)證。
29.根據(jù)權(quán)利要求27所述的方法，其中對(duì)所述用戶進(jìn)行認(rèn)證經(jīng)由可信計(jì)算環(huán)境而被執(zhí)行。
30.根據(jù)權(quán)利要求29的方法，其中所述可信計(jì)算環(huán)境是下列中的一者通用集成電路卡(UICC)、用戶標(biāo)識(shí)模塊(SIM)、機(jī)器對(duì)機(jī)器(M2M)設(shè)備、智能卡、或java卡、全球平臺(tái)智能卡、或安全集成芯片卡(ICC)。
31.根據(jù)權(quán)利要求26所述的方法，其中所述認(rèn)證響應(yīng)在所述用戶已被認(rèn)證時(shí)傳送。
32.根據(jù)權(quán)利要求26所述的方法，其中使用所述可信計(jì)算環(huán)境對(duì)所述用戶進(jìn)行認(rèn)證是通過(guò)使用諸如安全網(wǎng)絡(luò)服務(wù)器之類的安全網(wǎng)絡(luò)服務(wù)器進(jìn)行的。
33.根據(jù)權(quán)利要求26所述的方法，該方法還包括與關(guān)聯(lián)于移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)的開(kāi)放管理安全供應(yīng)方共享秘密。
34.根據(jù)權(quán)利要求26所述的方法，該方法還包括與關(guān)聯(lián)于移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(MNO)的OpenID供應(yīng)方共享秘密。
35.根據(jù)權(quán)利要求29所述的方法，該方法還包括計(jì)算簽名，并且將所述簽名經(jīng)由所述用戶接口提供給所述RP，以允許所述RP核驗(yàn)所述可信計(jì)算環(huán)境的證書。
36.根據(jù)權(quán)利要求35所述的方法，該方法還包括經(jīng)由所述用戶接口建立與所述RP的共享秘密。
37.根據(jù)權(quán)利要求36所述的方法，該方法還包括接收來(lái)自所述RP的關(guān)聯(lián)句柄。
38.根據(jù)權(quán)利要求37所述的方法，該方法還包括基于所述共享秘密來(lái)產(chǎn)生簽名，以及產(chǎn)生包括所述簽名和所述關(guān)聯(lián)句柄的認(rèn)證響應(yīng)。
39.根據(jù)權(quán)利要求38所述的方法，該方法還包括接收來(lái)自所述RP的簽名斷言消息。
40.根據(jù)權(quán)利要求39所述的方法，該方法還包括向所述RP傳送簽名響應(yīng)消息。
41.根據(jù)權(quán)利要求29所述的方法，該方法還包括計(jì)算簽名，并且將所述簽名經(jīng)由所述用戶接口提供給所述0P，以允許所述OP核驗(yàn)所述可信計(jì)算環(huán)境的證書。
42.根據(jù)權(quán)利要求41所述的方法，該方法還包括經(jīng)由所述用戶接口與所述OP建立共享秘密。
43.根據(jù)權(quán)利要求36所述的方法，該方法還包括接收來(lái)自所述可信計(jì)算環(huán)境的關(guān)聯(lián)句柄，并且將該關(guān)聯(lián)句柄傳送至所述OP。
44.根據(jù)權(quán)利要求43所述的方法，該方法還包括基于所述共享秘密來(lái)產(chǎn)生簽名，并且產(chǎn)生包括所述簽名和所述關(guān)聯(lián)句柄的認(rèn)證響應(yīng)。
45.根據(jù)權(quán)利要求44所述的方法，該方法還包括接收來(lái)自所述OP的簽名斷言消息。
46.根據(jù)權(quán)利要求45所述的方法，該方法還包括向所述OP傳送簽名響應(yīng)消息。
47.根據(jù)權(quán)利要求25所述的方法，其中對(duì)所述用戶進(jìn)行認(rèn)證是通過(guò)用密碼或PIN碼、生物計(jì)量標(biāo)識(shí)、令牌或是其組合來(lái)核驗(yàn)所述用戶而被執(zhí)行的。
全文摘要
諸如智能卡、UICC、Java卡、全球平臺(tái)等之類的可信計(jì)算環(huán)境可以被用作本地主機(jī)信任中心和單點(diǎn)登錄(SSO)供應(yīng)方的代理。這可以被稱為本地SSO供應(yīng)方(OP)。舉例來(lái)說(shuō)，通過(guò)執(zhí)行該處理，可以將認(rèn)證業(yè)務(wù)保持在本地，并且避免可能對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)造成負(fù)擔(dān)的空中通信。為了在可信環(huán)境中建立OP代理，可信環(huán)境可以采用多種方式來(lái)綁定到SSO供應(yīng)方。例如，SSO供應(yīng)方可以與基于UICC的UE認(rèn)證或GBA交互操作。在這種方式下，用戶設(shè)備可以平衡可信環(huán)境，以便提供提升的安全性，并且降低OP或運(yùn)營(yíng)商網(wǎng)絡(luò)上的空中通信及認(rèn)證負(fù)擔(dān)。
文檔編號(hào)H04L29/06GK102783115SQ201180009229
公開(kāi)日2012年11月14日 申請(qǐng)日期2011年2月9日 優(yōu)先權(quán)日2010年2月9日
發(fā)明者A·施米特, A·萊切爾, D·F·豪利, I·查, L·J·古喬內(nèi), Y·C·沙阿 申請(qǐng)人:交互數(shù)字專利控股公司