身份识别和访问管理转让专利
申请号 : CN201480067959.5
文献号 : CN106105091B
文献日 : 2020-03-06
发明人 : 迈克尔·恩甘 , 史蒂文·法尔赛 , 亚历山德鲁·卡塔兰·约内斯库 , 布兰得利·C·史密斯 , 谢尔比·苏华德 , 克里斯多夫·H·焦耳 , 安东尼·姚
申请人 : T移动美国公司
摘要 :
本发明提出了一种访问管理账号,其包括访问标识符,可用来控制对电信服务或应用的访问。访问标识符可被指定用于访问多种电信服务或应用,其中用户可通过多个由账号证书保护的用户账号来访问所述的多种电信服务或应用。一旦访问证书被指定,其可代替多个用户账号的账号证书,用来决定是否授权对一个或多个电信服务或应用的访问。
权利要求 :
1.一种通过通信网络提供对服务的访问的方法,包括:
指定访问标识符,以获得对至少一个电信服务或应用的访问权限,使得用户能够通过由账号证书保护的至少一个用户账号来访问所述至少一个电信服务或应用,其中所述访问标识符被存储在由蜂窝网络所提供的所述用户的身份识别和访问管理账号中;以及将用户设备的设备标识符连接至存储在所述用户的所述身份识别和访问管理账号中的所述访问标识符,并且所述设备标识符在获取对所述用户设备上的所述至少一个电信服务或应用的访问权限的过程中用作所述用户的所述访问标识符;以及由所述身份识别和访问管理账号的控制器决定是否授权所述用户,代替所述至少一个用户账号的账号证书至少使用所述访问标识符来访问所述用户设备上的所述至少一个电信服务或应用,其中所述访问标识符不同于所述至少一个用户账号的所述账号证书。
2.根据权利要求1所述的方法,还包括:在作出授权所述用户访问用户设备上的所述至少一个电信服务或应用的决定之后,基于所述用户的用户配置文件,为所述用户提供对所述至少一个电信服务或应用的访问。
3.根据权利要求1所述的方法,其中所述决定包括:决定是否让所述用户登录到电信设备,以使得所述用户能够访问所述至少一个电信服务,还包括至少部分基于登录到所述用户设备的所述用户,把电话呼叫路由到所述用户设备。
4.根据权利要求1所述的方法,其中所述决定包括,决定是否基于所述访问标识符的有效性确认和由所述用户请求的额外的登录证书,来授权所述用户访问所述至少一个电信服务或应用。
5.一种用于通过通信网络提供对服务的访问的系统,包括:
一个或多个处理器;以及
用于存储指令的存储器,在所述指令由一个或多个处理器执行时,可使得所述一个或多个处理器实现多个组件,所述多个组件包括:访问组件,其被配置为接收来自用户设备的访问至少一个电信服务或应用的用户请求,其中所述至少一个电信服务或应用由所述用户通过用户账号来访问,所述用户账号被所述用户的账号证书保护,所述访问组件至少基于所述请求提供的所述用户的访问标识符,访问标识符不同于所述用户账号的账号证书并且所述访问标识符被存储在由蜂窝网络所提供的所述用户的身份识别和访问管理账号中,决定是否授权所述用户,访问所述用户设备上的所述至少一个电信服务或应用;
其中所述用户设备的设备标识符被连接至存储在所述用户的所述身份识别和访问管理账号中的所述访问标识符,并且所述设备标识符在获取对所述用户设备上的所述至少一个电信服务或应用的访问权限的过程中用作所述用户的所述访问标识符;以及服务路由组件,其被配置为响应访问组件确认的访问标识符,把所述至少一个电信服务或应用路由到所述用户设备。
6.根据权利要求5所述的系统,其中服务路由组件被配置为进一步基于所述用户的用户配置文件,把所述至少一个电信服务或应用进行路由,所述用户配置文件中至少存储所述用户的多个移动电信网络运营商的用户标识符中的一个,以及所述用户是否登录到提供服务的应用,所述用户使用的用户设备的设备标识符,或所述用户的用户身份识别信息。
7.根据权利要求6所述的系统,进一步包括:配置文件过滤组件,其用来过滤所述用户配置文件中的用户信息,其中所述配置文件被提供给应用,以便所述应用访问来自用户设备的服务,配置文件过滤组件所过滤的用户信息基于所述应用的应用级别。
8.根据权利要求5所述的系统,其中访问组件被配置为使用来自所述用户的用户配置文件中的所述用户身份识别信息,进一步自动填充用户身份认证界面,所述访问组件使用所述用户身份认证界面,请求来自所述用户的额外登录证书,以决定是否授权所述用户访问所述至少一个电信服务或应用。
9.一种用于通过通信网络提供对服务的访问的用户设备,包括:
一个或多个处理器;以及
存储指令的存储器,所述指令,如果被所述一个或多个处理器执行,能够使所述一个或多个处理器实现多个组件,所述多个组件包括:多个客户端应用,每个客户端应用被配置为与相应的服务供应商通信,以提供与所述用户设备上的至少一个电信服务或应用相应的服务,能够通过相应用户对于所述至少一个电信服务或应用的账号证书访问所述至少一个电信服务或应用;以及设备代理,其被配置为向访问管理控制器提供标识所述用户身份的访问标识符,所述访问标识符被存储在由蜂窝网络所提供的所述用户的身份识别和访问管理账号中,其中所述设备代理还被配置为将所述用户设备的设备标识符连接至存储在所述用户的所述身份识别和访问管理账号中的所述访问标识符,并且所述设备标识符在获取对所述用户设备上的所述至少一个电信服务或应用的访问权限的过程中用作所述用户的所述访问标识符;以及所述访问管理控制器还被配置为能够至少基于所述访问标识符,所述访问标识符不同于账号证书,决定是否授权访问所述至少一个电信服务或应用。
10.根据权利要求9所述的用户设备,其中所述设备代理进一步被配置为接收所述访问管理控制器的访问证书,所述访问证书被所述用户设备上的一个或多个客户端应用来使用,用作访问来自多个服务供应商的所述至少一个电信服务或应用的身份证明。
说明书 :
身份识别和访问管理
背景技术
[0001] 在过去的三十年中,电话通信从曾经普及的公共交换电话服务(PSTN)起,已经有了很大的发展。如今的电信消费者有广泛的电信服务可供选择,包括传统的固定电话服务,基于IP的电信服务(例如,基于互联网协议的语音传输)、蜂窝电信服务和融合电信服务(如非授权移动接入或称UMA)。
[0002] 现在的电信设备由多种形式的设备组成,如传统的固定电话、无绳电话、手机、智能手机、个人数字助理(PDA)电话、桌面和便携式电脑、媒体播放器、家庭电信集线器,或者类似设备(以下称为“电信设备”),其已成为现代生活不可或缺的一部分了。最初的电信设备大多只是提供双向语音通信,可供第一个人在第一个地方使用第一个电信设备,与在第二个地方使用第二个电信设备的第二个人通话,从而使得第一个人和第二个人能够进行交谈。例如,语音通信或电话通常是实时、双工、同步的语音通信,其中所有参与者可以实时听到其它参与者的声音,所有参与者可以同时讲话,而且所有参与者都可积极参与,彼此直接迅速回应,没有明显的中断。
[0003] 再往后的电信设备通常具有语音和数据通信能力,可使用各种方式进行此类通信。文本消息(如短信业务或称SMS)和多媒体消息(如彩信业务或称MMS)是众所周知的异步数据通信形式。电子邮件的发送和接收最初是使用电脑,但现在通常也通过电信设备进行。SMS文本消息在移动通信领域已使用多年。使用短信的人通常在不同时间通信,而且可进行一些少量的、不连续的异步交互。
[0004] 除了人与人之间的通信,许多现代电信设备可以通过访问互联网和其它数据库,进行其它类型的数据通信。例如,许多电信设备有内置的网络浏览器,以进行网络导航。
[0005] 应该注意的是,语音和数据通信可使用相同的无线技术和基于IP的技术来实现。在某些情况下,特别是使用传统的蜂窝系统或基于IP的系统的情况下,语音可通过专有蜂窝协议通信,而数据和非语音通信则是基于其它蜂窝协议和/或基于IP的电信网络。
[0006] 从只支持语音通信的简单设备,到具有个人电脑功能的非常复杂的设备,电信设备的复杂性和功能各有不同。这些非常复杂的设备可为用户提供各种服务,但对这些服务的访问和管理可能比较困难。
附图说明
[0007] 说明书中的详细描述以附图为参照,附图中参考序号最左边的数字表示这个序号首次出现时所在的图的标号。不同图中所使用的相同序号表示相似或相同的项目。
[0008] 图1显示了在用户设备上实现身份识别和访问管理(IAM)的网络体系结构的一个示例。
[0009] 图2是图1所示的IAM控制器各组件的示意框图。
[0010] 图3是用户设备各组件的示意框图。
[0011] 图4是使用IAM账号的访问标识符来控制对服务或应用的访问的一个例程的流程图。
具体实施方式
[0012] 本发明涉及一种系统和方法,其使得用户设备能够访问和管理被提供给用户和/或用户设备的服务或应用,其中所述服务或应用可包括电信服务或应用。
[0013] 本发明公开的系统和方法,使得用户的访问标识符,例如但不限于用户名、电子邮件地址等等,与多个服务账号相关联。访问标识符与多个服务账号的关联使得用户可通过身份认证来访问多个用户设备中任一设备上的服务或应用。反过来,用户设备也可使用与多个服务账号相关联的多个用户的访问标识符,进行身份认证或将多个用户中的任意用户作为主机用户。在一些实施例中,服务账号可包括接入网账号和网络服务账号。在一些实施例中,接入网账号可包括电话网络账号(如:移动台国际用户目录号(MSISDN)账号)。
[0014] 本发明公开的系统和方法,使得接入网可提供身份识别和访问管理(IAM)账号,每个IAM账号都可与多个其它账号(例如非IAM账号)相关联,且对接入网的用户和非用户都是如此。例如,非IAM账号可包括外部网络账号,社交媒体账号等等。IAM用户可通过非IAM账号,安全无缝地登录IAM账号从而访问服务或应用,而无需为每个服务或应用提供证书。
[0015] 在一些实施例中,IAM账号可把设备标识(比如与特定MSISDN相关联的用户身份识别模块(SIM))与用户身份分离。例如,对于拥有某些服务和/或应用的用户,设备标识和用户身份之间的分离使用户在从一个用户设备转移到另一个用户设备时,仍可允许用户访问某些服务和/或应用。
[0016] 在一些实施例中,IAM系统可以访问用户配置文件,以及至少部分基于用户配置文件来路由服务和/或应用。虽然用户可登录到新的用户设备并访问用户配置文件,但各种应用的设置可能不需要传输。
[0017] 本发明公开的系统和方法,使用户的多个账号能够单点登录(SSO)。在一些实施例中,用户可与任何用户设备(手机、平板电脑、网络浏览器、网络设备(电视))上的应用交互,每个应用通过用户的单个IAM账号透明地对用户进行认证。在一些实施例中,这个功能可被用于为特定操作系统(OS)(如移动设备操作系统或个人电脑操作系统)编写的应用、网络浏览器客户端、移动网络应用,甚至核心接入网的服务。
[0018] 本发明公开的系统和方法能以多种方式实现。以下的实现示例参照附图进行说明。
[0019] 网络体系结构示例
[0020] 图1显示了在用户设备上实现身份识别和访问管理的示例性体系结构100,其中用户设备包括但不限于电信设备(如智能手机)、个人数字助理和计算设备等等,所述计算设备包括台式电脑、笔记本电脑、平板电脑等等。如该示例性体系结构100所示,用户设备102、104、106能够连接到一个或多个网络,例如接入网108和连通性网络110。
[0021] 在某些实例中,用户设备102、104、106可通过无线通信协议与连通性网络110通信,其中无线通信协议比如但不限于IEEE 802(其包括Wi-Fi和蓝牙)。在某些实例中,一些用户设备,如用户设备106,可以是非传统通信设备,无法通过传统无线电话通信网络,如蜂窝网络,进行传统的语音/电话通信。但是,这样的非传统通信设备可以通过基于互联网协议(IP)的通信网络,如连通性网络110,进行语音/电话通信。
[0022] 通过加载到用户设备102-106上的应用或应用程序,用户设备102-106可被用来访问一个或多个服务供应商112提供的服务。服务供应商提供的应用可被分为多个应用级别。例如,在一些实施例中,一级应用可具有对用户隐藏和被预许可等特点。在某些实例中,部分或全部的一级应用可被预加载到用户设备102-106,并且这些应用由控制接入网108的实体和/或隶属于接入网108的实体提供服务。在某些实例中,部分或全部的一级应用提供的服务可以是控制接入网108的实体和/或隶属于接入网108的实体的核心服务。在某些实例中,用户设备102-106可以一开始就被配置为使用部分或全部的一级应用。这样的一级应用包括隐藏的应用或后台应用,可被预设为可用,并可在用户设备102–106最初被初始化后就可使用,并且在一些实施例中,这样的一级应用在用户设备上的执行可以不受用户控制,例如,用户将不能打开或关闭此类一级应用。
[0023] 在一些实施例中,用户设备102–106可包括服务供应商提供的二级应用和三级应用。在某些实例中,二级应用可包括前台或非隐藏应用,其可被预设为可用,并可在用户设备102-106最初被初始化后就可使用,并且在一些实施例中,这样的二级应用在用户设备102-106上的执行可依赖于用户控制,例如,用户可打开或关闭此类二级应用。在某些实例中,二级应用可包括隶属于控制接入网108的实体的服务供应商112所用的应用。例如,二级应用可包括用于来自例如社交媒体实体、搜索实体等实体的服务所用的应用。
[0024] 在某些实例中,三级应用可包括前台或非隐藏应用,其可以不预设为可用。在这些情况下,用户可以打开或关闭三级应用,并且可从接入网108的一个或多个应用商店114下载这些三级应用。在一些实施例中,用户会在确认这些三级应用的身份和/或功能后,授权这些三级应用访问用户的IAM账号,以便管理对这些三级应用的访问。
[0025] 在一些实施例中,应用商店114可备有一到三级应用来供用户设备102-106下载。服务供应商112可将其应用提供给应用商店114,以供审查和批准。任何级别的应用都可通过下载渠道提供给用户设备102-106,例如直接从网站下载,或在网络浏览器中,作为可选软件被预安装在用户设备102-106上。虽然在上述例子中讨论的应用分了三个应用级别,但在其他实例中应用也可以按任意数量的多个级别来组织,其中每个级别的应用可具有不同的权限或用户控制特征。因此,如下面的进一步描述,例如用户授予不同级别应用的权限之类的因素,和/或其它因素,例如用户设备上通过认证的用户身份,用户设备的设备认证,用户设备的类型等等,可以用来确定为用户设备上不同的应用授予不同的服务。
[0026] 用户设备102–106被配置为可通过存储在用户IAM账号中的唯一的用户标识符,为用户提供与设备无关的服务。用户可通过提供独特的用户标识符和证书,例如但不限于生物信息(指纹、视网膜扫描等)、密码等等,登录到一个或多个用户设备102–106。然后接入网108可将服务路由到用户已登录的一个或多个用户设备102-106。
[0027] 用户设备的用户也可选择把用户设备的设备标识符与用户的IAM账号相关联。换句话说,该设备标识符可用作该用户获得访问所述用户设备上的服务的访问标识符。设备标识符可包括任何能唯一地标识该用户设备的信息。例如,用户设备的设备标识符可能但不限于是被分配给用户设备的令牌,SIM密码(secret)、认证和密钥协商(AKA)认证数据,通用引导架构(GBA)认证数据,或其它蜂窝、无线电或Wi-Fi启用设备认证数据。在一个实例中,用户设备的用户可以通过在用户设备上的配置设置,如“在这个设备上记住我”选项,把用户设备的设备标识符连接到用户的IAM账号。这样连接设备标识符和用户的IAM账号,能带来很多好处。例如,当用户最初使用用户标识符获得对用户设备访问时,可以把用户设备的设备标识符连接到用户的IAM账号。一旦连接,用户不必登录到用户设备,就可通过该用户设备使用应用或服务,即使在用户设备被重置为出厂设置后也是如此。
[0028] 在该示例中,当SIM卡上存储的SIM密码与用户IAM账号的访问标识符相连接时,服务供应商可以在用户会丢失用户设备后,将SIM卡发送给用户。一旦用户将SIM卡插入替代用户设备,用户会被自动授权通过替代用户设备访问服务供应商提供的服务或应用,而无需输入任何登录信息。这是因为服务供应商能基于与相连接的SIM密码,确认所述替代用户设备属于该用户。然而,上述例子中的用户设备也可以提供一个配置设置,该配置设置为用户可以覆盖设备标识符和用户IAM账号之间的连接,这样用户就能使用可选登录证书自由登录。
[0029] 在一些实施例中,多个用户可同时登录到相同的用户设备102-106。例如,两个不同的用户可登录到用户设备102,两个用户使用的服务可被同时路由到用户设备102。作为一个非限制性的示例,一对夫妻可以同时登录到用户设备102,该用户设备102可以是有唯一标识符如国际移动用户身份(IMSI)标识符的电信设备。丈夫可有自己的电话号码(如123-555-1234),妻子也有自己的电话号码(如123-555-5678)。当丈夫和妻子同时登录到用户设备102时,接入网108将对丈夫的电话号码和妻子电话号码的电话呼叫都路由到用户设备102。
[0030] 如下面的进一步描述,接入网108并非将丈夫电话号码的电话呼叫“转发”到妻子的电话,反过来也是如此。相反,接入网108至少部分地基于用户配置文件,将多个不同的电话号码的电话呼叫的路由指向同一用户设备102。
[0031] 接入网108代表的是任意一个或多个不同类型网络的组合,这些网络彼此相连,起到单个大型网络的作用(例如电路交换电话网络或基于IP的分组交换网络)。接入网108还可包括有线网络(如PSTN、基于IP的网络等)和无线网络(如蜂窝、卫星、基于IP的网络等等)。
[0032] 除此之外,接入网108能提供与用户设备102、104的无线连接,可使用任意数量的协议和配置,以使用户设备102、104能够访问其它设备和资源。接入网108可包括若干类型的电路交换电话网络,如公共交换电话网络(PSTN)和分组交换网络如互联网。例如,接入网108可包括全球移动通信系统(GSM)网络、码分多址(CDMA)网络、增强数据速率GSM演进(EDGE)网络、通用通信系统(UMTS)网络,和/或其它类型的电路交换网络、长期演进(LTE)网络、全球微波互联接入(WiMAX)网络、互联网,和/或其它分组交换网络。接入网108也包括私有网络,如移动电话运营商的网络,其可使用与公共网络上的系统或协议不同的专有系统或协议。
[0033] 对于无线网络的情况,接入网108可包括一个或多个基站116和核心网络118。每个基站116可包括基站天线120,以及基站控制器或无线电网络控制器122(本发明称为“基站控制器122”)。
[0034] 核心网络118可包括一个或多个服务网关124、一个或多个接入网络网关(AN-Gateway)126、一个或多个身份识别和访问管理(IAM)控制器128,和一个或多个数据库130。数据库130可包括归属位置寄存器、访问位置寄存器、政策和计费数据库,以及用户配置文件。由IAM控制器128管理的每个IAM账号可与多个归属位置寄存器相连接。数据库130可以为每个用户存储多个移动电信网络运营商的用户标识符,如多个MSISDN。例如,数据库130可以为使用多个移动通信网络的用户,存储来自多个运营商的MSISDN,这些运营商所服务的地理区域可以重叠和/或不重叠。在一些实施例中,核心网络118内部的部分或全部通信可由例如但不限于七号信令系统(SS7)的电信协议来进行。
[0035] 服务网关124可处理与基站116,和/或与用户设备102和104的通信。在一些实施例中,服务网关124可与公共交换电话服务网络(没有显示出来)有接口。在一些实施例中,服务网关124可以是服务GPRS的支持节点。GPRS是全球移动通信系统(GSM)的通用分组无线服务。
[0036] 除此之外,AN-Gateway 126可以提供和建立与连通性网络110和用户设备102–106之间的连接。在一些实施例中,AN-Gateway 126可以是网关GPRS的支持节点。
[0037] 连通性网络110负责建立与IP骨干网的连接,并且其可包括一个或多个服务器132。服务器132可包括动态主机配置协议(DHCP)服务器、域名系统(DNS)服务器,以及身份验证、授权和记账(AAA)服务器。服务供应商112可以通过连通性网络110为用户设备102-
106提供服务。
106提供服务。
[0038] IAM控制器128可以从用户设备102-106接收用户设备标识符信息,并使用此类设备标识符信息,通过用户设备102–106,向用户提供对可用的服务或应用的访问。例如,当用户在用户设备102上启动一个服务时,提供该服务的应用可以请求IAM控制器128验证用户是否被授权通过用户设备102使用该服务。提供该服务的应用可驻留在用户设备102上,也可在服务供应商的服务器上。在某些实例中,该应用可把用户设备的设备标识符作为请求的一部分,发送到IAM控制器128。在这种情况下,如果用户设备的设备标识符被连接到存储在用户IAM账号中的一个访问标识符,则IAM控制器128可自动授权该用户访问提供所述服务的应用。一旦该用户被授权访问所述应用,所述应用可以从数据库130中检索该用户对应的用户配置文件。IAM控制器128可以更新用户配置文件,表明该用户登录到了所述应用,这样服务供应商就可以至少部分基于用户配置文件,将服务路由到用户设备102。服务供应商可以提供以下服务,例如路由语音通话、提供对数据访问、指示数据传送等服务。例如,用户可以在用户设备102上发起一个电信应用。该电信应用可以联系电信服务供应商的IP多媒体子系统(IMS)。该IMS可以使用IAM控制器128来识别使用用户设备102的用户。一旦用户被确认为用户设备102的用户,IMS就可以访问用户的用户配置文件,并且基于用户配置文件为用户把随后的电话呼叫路由到用户设备102上的电信应用。
[0039] 但是,在供选择的实施例中,如果没有可用的已连接的设备标识符,或者IAM控制器128没有收到已连接的设备标识符,IAM控制器128可要求用户提供来自用户端的IAM账号登录证书。相应地,如果用户能够正确地向IAM控制器128提供IAM账号登录证书,则IAM控制器可以授权该用户访问提供服务的应用。随后,该应用会从数据库130检索该用户对应的用户配置文件,并用与上述方式相同的方式配置所述服务。
[0040] 在某些实例中,IAM控制器128可过滤用户配置文件,并向服务供应商112和/或用户设备102–106上的应用提供用户配置文件的一部分。IAM控制器128可基于等多种因素过滤用户配置文件,例如但不限于被授予服务供应商112的权限,或者从用户设备102-106请求数据的应用。也就是说,例如,用户设备上的一级应用可能可以访问完整的用户配置文件,而相同用户设备上另一个较低级别的应用可能只能访问用户配置文件的一小部分。通过这种方式,无论是用户授予应用或服务供应商的,访问用户的用户配置文件的权限,还是IAM配置,都可以决定应用或服务供应商有多少用户数据可用。
[0041] 在一些实施例中,IAM控制器128可以至少部分基于存储在数据库130中的用户信息,自动填充用户配置文件的一些方面的信息。例如,数据库130可包括归属位置寄存器、访问位置寄存器、政策、以及接入网108的用户计费数据库。IAM控制器128可挖掘数据库130,填充用户所对应的用户配置文件的一部分。备选地或者同时地,IAM控制器128可使用在用户设备102-106上的数据采集代理,如数据挖掘应用,以便获得额外的用户相关信息。这些数据采集代理会在获得用户的允许后执行这一功能。例如,在现有的基础上,用户设备上的数据采集代理会显示一个提示,向用户请求收集用户信息的权限(如电子邮件地址、用户登录名称、密码等)。通过这种方式,用户可以选择接受或拒绝数据采集。如果用户接受在用户设备上进行的数据收集,IAM控制器128可以把采集到的用户信息存储在数据库130中相应的用户配置文件里。IAM控制器128可以使用采集到的用户信息,在该用户使用设备时,向用户提供更多的方便。例如,当一个由用户标识符(如电子邮件地址)发起的应用显示用户身份认证界面时,IAM控制器128可以自动填充用户身份认证界面的用户标识符字段。通过这种方式,用户可以跳过用户标识符的输入,只需简单地输入密码或个人识别码(PIN),即可通过该应用访问所提供服务。
[0042] 身份识别和访问管理控制器示例
[0043] 图2显示了可以与所述的技术结合使用IAM控制器128的例子。IAM控制器128可以通过用户设备102-106上相应的IAM客户端,实现一个或多个协议,从而识别用户设备102-106和/或应用,以及管理用户设备102-106的访问。在一些实施例中,IAM控制器128可实现委托/重定向认证协议,例如但不限于OAuth、OAuth 2.0、开放ID连接(Open ID Connect)、SAML等等。(为描述方便,OAuth是指OAuth、OAuth 2.0和Open ID Connect。)在一些实施例中,IAM控制器128可以通过一个共享密码,例如但不限于通用引导架构(GBA)等等,实现认证协议。在一些实施例中,IAM控制器128可以通过共享密码,实现委托认证和认证的协议。
例如,委托认证可以是由第三方社交网络进行的认证。
例如,委托认证可以是由第三方社交网络进行的认证。
[0044] IAM控制器128可包括一个或多个服务器202,其中服务器包括处理器204和存储器206。存储器206可包括易失性存储器(如RAM)、非易失性存储器、移动存储器,和/或固定存储器等,用任何方法或技术实现的存储信息的设备。另外,除存储器206以外,或者用来代替存储器206,处理器还可包括板载内存。可用在存储器和/或处理器的计算机可读存储介质的例子包括但不限于RAM、ROM、EEPROM、闪存或其它内存技术、CD-ROM、数字通用光盘(DVD)或其它光学存储、磁带盒、磁带、磁盘存储或其它磁性存储设备,或任何其它可以用来存储所需信息的介质。
[0045] 存储器206可以存储各种模块、应用、程序或其它数据。存储器206可包括指令,当处理器204执行指令时,处理器会进行所述IAM控制器128的操作。在一些实施例中,存储器206可以存储身份识别和访问管理(IAM)应用208。IAM应用208可包括多个模块,其可执行所述各种操作中的一些或所有操作。在不同的实施例中,IAM应用208可包括下列所有模块或者其中的一部分模块:注册模块210、访问模块212、配置文件过滤模块214,以及服务路由模块216。
[0046] 此外,服务器202可包括数据存储218,用来存储用户配置文件220。用户配置文件220可包括对应的用户标识符、电话号码、用户名(其可以是用户的真名)、显示名(可与用户的真名不同)、电子邮件地址、消息标识符(例如短消息系统(SMS)PIN)、记账实体的名称、服务供应商112所提供的各种服务的登录信息(如社交媒体网站的用户名和证书)、身份识别信息(如出生日期、当前地址、以前的地址、安全问题的答案)、注册设备标识符等等。
[0047] 在一些实施例中,接入网108的用户标识符可以是唯一的,并且其可以是用户的电话号码、用户的用户名、用户的真名、用户的用户名、用户的用户名电子邮件地址等。
[0048] 注册模块210可注册用户设备102–106,用于接收来自接入网108的服务。在某些实例中,注册模块210可以挖掘数据库130,或通过用户设备102-106上的数据采集代理直接从用户处采集数据,填充用户配置文件的一些字段。在某些实例中,可在用户首次尝试注册用户设备102–106之前,一个或多个用户配置文件就已经被至少部分地生成。例如,注册模块210可挖掘接入网108的客户政策和计费数据库,检索客户的真名和所对应的电话号码、移动站国际用户目标号码(MSISDN)、地址、出生日期、当前地址、以前的地址、安全问题的答案等等。在某些实例中,注册模块210可为用户提示信息,并完成用户的用户配置文件。例如,注册模块210可要求用户的电子邮件地址,在某些实例中,可向用户的声称的电子邮件地址发送确认信息,要求用户输入确认信息,以此来验证声称的电子邮件地址。
[0049] 访问模块212可以处理来自服务供应商112或者来自用户设备102–106上应用的访问请求,并允许或拒绝此类请求。在一些实施例中,访问模块212可至少基于相应的用户配置文件拒绝访问请求。例如,如果用户没有接受“服务条款”,则访问模块212可拒绝访问请求。访问模块212可以决定授予服务供应商112或者用户设备102–106上应用的权限或权限范围。访问模块212可以提供登录请求的风险分析。例如,当用户连续不成功登录接入网的次数达到预定的次数后,或者当访问模块212确定用户会话的某些方面可以被划定为有风险,例如用户在新用户设备上首次登录时,访问模块212可以提供安全问题、密码PIN、CAPTCHA(验证码)以及登录提示。在一些实施例中,访问模块212可基于用户的用户配置文件,在显示给用户的用户认证界面上自动填充一些信息。访问模块212可以提供令牌,以便在不与服务供应商112交换证书的情况下,授权用户访问服务供应商112。
[0050] 在某些实例中,访问模块212可以对访问请求作出响应,更新用户配置文件220。例如,用户可以使用特定的用户设备,如用户设备102,登录到接入网108,并且访问模块212可以更新该用户相应的用户配置文件220,以反映该用户登录到了用户设备102。一旦更新了用户配置文件220,访问模块212可以使用更新后的用户配置文件220,授权该用户通过用户设备102访问其它可用的服务或应用。
[0051] 配置文件过滤模块214可以基于多种因素过滤用户配置文件,例如但不限于用户同意公开的信息、通过存储的IAM配置允许向应用公开的数据、发出请求的用户设备102–106、请求所针对的服务、相应服务的服务供应商112,等等。访问模块212可以至少部分基于过滤后的用户配置文件,提供Cookie和令牌。在一些实施例中,IAM控制器128可以撤销被提供给用户设备102-106的Cookie和/或令牌。
[0052] 服务路由模块216可以基于用户所对应的用户配置文件220,把服务从服务供应商112路由至用户,还可以基于相应的用户配置文件220来路由接入网108的服务。例如,服务路由模块216可以检查用户配置文件220,以确定用户登录到了哪个用户设备(或哪些用户设备),并把服务路由指向那个用户设备(或那些用户设备)。
[0053] IAM应用208也可包括服务模块222。该服务模块222可以为用户设备102-106提供服务。服务模块222可以提供一个界面,用户可利用该界面来与IAM控制器128互动。例如,服务模块222可包括为用户设备102-106提供网页的网络代理224。在某些实例中,提供给用户设备102-106的网页可包括:可以在用户设备102-106上作为页面显示的完整网页226;作为弹出网页显示的弹出网页228;以及,经过优化以显示在移动设备上,并可以作为可接收用户触摸输入的图形用户界面的一部分的移动设备网页230。用户设备102-106可用作服务模块222的代理,并且可以提供浏览器用来显示来自服务模块222的内容(如网页)。
[0054] 尽管在描述一个单独的服务器时,已经对IAM控制器128进行了说明,但这些说明是非限制性的。在一些实施例中,IAM控制器128可驻留在包括服务GPRS支持节点的服务网关124。在一些实施例中,IAM控制器128可驻留在接入网108的网络设备中。
[0055] 用户设备
[0056] 图3显示了可以与所述的技术一起使用的用户设备300。在许多情况下,用户设备300可为通常所称的“手机”或“智能手机”,但所述的技术并不局限于这样的电信设备。
[0057] 用户设备300通常有操作系统302,其通过一个或多个处理器306由某种形式的固态存储器304执行。定制软件可以预加载到设备以便执行各种功能和支持不同的通信模式。很多用户设备允许用户通过配置选项或通过添加第三方软件来自定义用户设备。这样的软件可用于许多不同的功能,并不局限于通信,而且在某些实例中,可以通过应用商店114下载。
[0058] 电信设备的用户界面差别很大。用户界面包括输入/输出设备308。最基本的输入/输出设备308可包括:电话型数字键盘,其上已经添加了“通话”和“结束”按钮来控制语音呼叫;以及基本的输出设备,基本的输出设备包括用来单行显示电话号码的单行显示装置。其它输入/输出设备308可包括触摸屏界面、字母数字键盘、麦克风和其它形式的输入设备。输入/输出设备308还可包括显示屏、扬声器和其它形式的输出设备。
[0059] 用户设备300可包括通信模块310,以及用来接收和传输射频信号的天线312。在一些实施例中,通信模块310可包括提供调制和解调等信号处理功能的电路和逻辑,其中调制解调例如但不限于二进制相移键控(BPSK)、正交相移键控(QPSK)和正交幅度调制(QAM)。在一些实施例中,通信模块310可包括用于未授权频段通信的电路和逻辑,比如是无线点对点通信网络(如无线保真(Wi-Fi)(IEEE 802.11)网络和/或蓝牙(IEEE 802)网络)。
[0060] 用户设备300还可包括用户身份模块(SIM)卡314。SIM卡314可被配置为提供共享密码身份认证。在某些实例中,SIM卡314可以被配置为使用GBA进行用户设备300的身份认证。
[0061] 存储器304可包括IAM设备代理316、浏览器318和客户端应用320-324。IAM设备代理316可以与IAM控制器128配合使用,以便向接入网和/或服务供应商112的服务提供身份识别和访问管理。浏览器318可以提供图形用户界面,以显示超文本标记语言(HTML)文件或网页,还可以用来浏览万维网(WWW)。客户端应用320可包括来自一个或多个来源的应用,所述来源例如但不限于控制接入网108的实体和隶属于接入网108的实体。
[0062] 除此之外,客户端应用320-324可以用来访问接入网108和/或服务供应商112的服务。客户端应用320、322和324可分别是一级、二级或三级应用。在某些实例中,一级客户端应用320、二级客户端应用322和三级客户端应用324可以被预安装到用户设备300上。在某些实例中,一级客户端应用320、二级客户端应用322和三级客户端应用324可以已被用户从应用商店114下载到用户设备300上。预加载到用户设备300上的一级客户端应用320,可以被预先批准为可使用接入网108的服务,从而使得这些预加载的应用在用户第一次使用用户设备300时,就可供使用。一级客户端应用320可包括对用户隐藏的应用。对用户隐藏的应用可包括对用户设备300的用户不可见,但是仍在用户设备300执行功能的应用。替代地或者同时地,对用户隐藏的应用还可包括对于用户设备300的用户可见,但用户无法控制允许或撤销其执行功能的应用。换句话说,一级客户端应用320可包括不依赖于用户控制的应用,例如用户可能无法打开或关闭这样的一级应用。
[0063] 二级客户端应用322可包括前台或非隐藏的应用,其可被预设为可用,并可在用户设备300最初初始化后就可使用。在一些实施例中,这样的二级客户端应用322可以在用户设备300上响应用户的控制而被执行,例如,用户可以打开或关闭二级客户端应用322。在某些实例中,二级客户端应用322可包括隶属于控制接入网108的实体的服务供应商112的应用。例如,二级客户端应用322可包括来自社交媒体实体、搜索实体等实体的服务的应用。
[0064] 如上所述,客户端应用324可以是三级应用。三级应用可被预加载或下载到用户设备300上。三级应用不能访问由IAM控制器128管理的用户的用户配置文件数据,除非用户授权三级应用权限这样做。例如,向用户提供服务的三级应用可以是被预加载到用户设备300的第三方应用。该第三方应用可能希望访问存储在数据库130中的该用户的用户配置文件。然而,第三方应用在进行这样的访问之前,需要从用户获取访问权限。
[0065] IAM设备代理316可被配置为,利用委托/重定向身份验证和/或共享密码,从而提供身份识别和访问管理。在某些实例中,IAM设备代理316可能利用GBA协议,使用IAM控制器128进行用户设备300的注册和/或身份验证。在某些实施例中,IAM设备客户端可以至少部分基于客户端应用320-324的签名,计算出密码,也可能计算出密码指标(indicator),例如但不限于密码哈希(hash)。在一些实施例中,密码和密码指标并不存储在用户设备300上。
而是密码和/或密码指标可以根据需要,由用户设备300计算。
而是密码和/或密码指标可以根据需要,由用户设备300计算。
[0066] 在一些实施例中,IAM设备代理316使得用户可以登录、管理身份识别、批准应用,在某些实例中,IAM设备代理316可以向多个设备应用提供SSO特征。在一些实施例中,IAM设备代理316可为设备专用的库,以使得应用利用GBA特征与IAM的控制器128通信,其中通信是通过浏览器控制器326,使用IAM网络代理224提供的网页进行的。IAM设备代理316和IAM网络代理224,可以是客户端应用320-324的入口点(一个或多个)。
[0067] IAM设备代理316可以向IAM控制器128提供服务请求。在各种实施例中,IAM设备代理316可以代表客户端应用,如客户端应用320-324,发起请求。例如,客户端应用可通过向IAM设备代理316传递命令,来提示IAM设备代理316发起请求,该命令中包含有用于IAM控制器128的输入数据(如用户的访问标识符)。此外,请求可包括计算出的密码或密码指标、标识客户端应用320-324中的客户端应用的应用标识符、用户设备的设备标识符,以及向IAM控制器128请求的、用于用户设备300的身份认证,和/或相应的客户端应用320-324的身份认证的权限范围(可以是客户端应用请求的权限的列表)。此外,请求还可包括:请求类型,用来标识请求的代码/令牌;显示,其可指示要显示网页的类型(如完整网页,弹出网页,移动设备网页)或不显示网页;会话标识符,其用来标识被请求服务的会话;刷新令牌的请求,为用户装置300强制重新授权的请求;请求用户设备300的用户重新接受请求的权限列表的请求,即使权限已经被批准;以及重定向地址如统一资源标识符(URI),其可以是所请求的服务的地址。在某些实例中,当应用和用户之间没有交互时,会用到不显示网页的显示请求。这使应用可以在用户登录并批准该应用时,得到访问令牌,或者在需要用户交互时收到错误提示。
[0068] 响应所述请求,IAM控制器128可以提供响应,授权(或拒绝)用户设备访问所请求的服务。此外,响应可包括:响应类型指示,用来表明响应是否包含令牌,代码,或错误提示;错误消息;可包含在URI中的令牌;授予权限列表;以及,刷新令牌,如果提出了这样的请求并得到授权的话。响应也可包括以下信息,如用户达到的保证等级(LOA)和可能已使用的身份认证方法。
[0069] 在一些实施例中,IAM设备代理316(和IAM控制器128)可能被配置为可提供客户端应用320-324的SSO。在某些实例中,此外,Cookie和/或令牌328还可被提供给IAM设备代理316,以加强客户端应用320-324的SSO功能。在一些实施例中,Cookie和/或令牌328可以被IAM设备代理316访问,且在某些实例中,不与客户端应用320-324共享。在某些实施例中,第一套Cookie和/或令牌可以与多个客户端应用320-324的第一套共享,第二套Cookie和/或令牌可以与多个客户端应用320-324的第二套共享。Cookie和/或令牌328可能包括认证cookie和/或令牌,指示用户账号已成功进行身份认证。在某些实例中,Cookie和/或令牌
328可以包括发布的认证cookie/令牌,其具有很长的到期期限。在一些实施例中,可以响应用户输入提供具有很长到期期限的Cookie和/或令牌328,如用户选择“让我保持登录”选项。
328可以包括发布的认证cookie/令牌,其具有很长的到期期限。在一些实施例中,可以响应用户输入提供具有很长到期期限的Cookie和/或令牌328,如用户选择“让我保持登录”选项。
[0070] 此外,在一些实施例中,Cookie和/或令牌328还可以包括认证代码令牌,访问令牌和刷新令牌。认证代码令牌可能存在时间很短,可能表明用户已经通过身份认证,用户被授予所请求权限的专用的客户端ID(例如客户端应用320–324中特定客户端应用的应用标识符),并可用来请求访问令牌。在各种实施例中,应用标识符可以是应用的签名,或者从应用的签名计算出的密码。
[0071] 访问令牌可以用来访问资源服务器,如IAM控制器128,或其它来自服务供应商112的服务。在某些实例中,访问令牌可以由客户端应用320-324发起,用来访问IAM控制器128。访问令牌可以有一定的持续时间,并且在一些实施例中,该持续时间对每个客户端ID来说是可配置的。访问令牌可以为特定的IAM用户发布,并具有特定的范围和特定的持续时间。
[0072] 刷新令牌可用于离线访问模式,可以在被请求和/或客户端ID被配置时发布。刷新令牌可以允许客户端应用320-324的IAM客户端应用,以刷新访问令牌,而无需用户打开会话。
[0073] 在某些实例中,IAM控制器128可能不能为已被配置为移动设备应用的客户端应用320-324发布Cookie和/或令牌,除非IAM设备代理316请求这样的Cookie和/或令牌。
[0074] 在一些实施例中,客户端应用320-324可包括IAM帮助库,其可与操作系统302和IAM设备代理316进行通信。IAM帮助库可以通过访问操作系统302,以访问IAM设备代理316。例如,操作系统可包括账号和同步模块,用于管理和同步用户账号。IAM设备代理316可以响应来自IAM帮助库的、希望得到cookie和/或令牌的请求(如访问令牌和/或认证代码令牌)。
如果请求的是访问令牌,IAM设备代理316可能需要额外的步骤来检索客户的签名。IAM设备代理316可以为操作系统302提供一个服务插件。服务插件可使得接入网108的服务可被用作为标准的账号。
如果请求的是访问令牌,IAM设备代理316可能需要额外的步骤来检索客户的签名。IAM设备代理316可以为操作系统302提供一个服务插件。服务插件可使得接入网108的服务可被用作为标准的账号。
[0075] 在一些实施例中,IAM设备代理316可具有到网络代理224的接口,以进行令牌请求。在某些实例中,IAM设备代理316可以完成由用户或客户端应用320-324发起的请求,从而使得发布给用户设备300的令牌或Cookie无效。在某些实例中,无效可以包括无效当前令牌或Cookie、发布给用户设备300的任一令牌或Cookie,或曾经发布给用户设备300的用户的所有令牌或Cookie。这些处理中可能包含有大量GBA。在一些实施例中,IAM设备代理316可以把支持GBA的文件头嵌入所有到IAM控制器128的HTML中。IAM设备代理316也可以作为用户设备300上的数据采集代理,收集用户相关数据,以存储在相应的用户配置文件中。
[0076] 流程示例
[0077] 图4是使用IAM账号的访问标识符,来控制对服务或应用的访问流程的一个示例流程图。为便于说明,参照图1和图2中IAM控制器128描述所述流程400。对流程的说明是通过排列在逻辑流程图中的一系列相关行为进行的,其代表的是可以用硬件、软件或两者结合实现的一个序列。在用软件实现的情况下,行为代表的是计算机可执行的指令,当被一个或多个处理器执行时,可进行所述操作。计算机可执行指令通常包括例行程序、程序、对象、组件、数据结构等,以及其它执行特定功能,或实现特定抽象数据类型的指令。描述行为的顺序并不作为限制,为了实现所述流程,所述行为可以按任意数量、任意顺序和/或并行的方式进行组合。
[0078] 在402中,IAM控制器128可以指定一个访问标识符,以使用户获得对多种服务或应用的访问。在各种实施例中,IAM控制器128可以根据用户在用户设备上,比如用户设备300上的输入,指定访问证书。用户设备上的IAM代理316可以通过连通性网络,如连通性网络110,向IAM控制器128提供输入。访问标识符可以是用户标识符、设备标识符、应用标识符,或用户通过IAM控制器128建立的IAM账号中的其它标识符。
[0079] 在404中,IAM控制器128可以接收来自用户设备的、使用访问标识符访问服务或应用的请求。应用可以是驻留在用户设备上的应用。服务可以是服务供应商,如服务供应商112,通过连通性网络提供的服务。在某些实例中,通过服务供应商提供的服务,可以由安装在用户设备上的应用来提供。在各种实施例中,用户可事先建立了用户账号,该用户账号带有使用服务或应用的账号证书。因此,用户可以通过输入给应用或提供给服务供应商的账号证书,可选择地访问服务或应用。然而,在这样的实施例中,所述服务或应用可被配置为依赖于IAM控制器128对用户标识符的确认,而不是依赖于应用或服务供应商对账号证书的确认,来决定是否被授权访问服务或应用。
[0080] 在判断框406,IAM控制器128可以决定是否在访问标识符之外,请求一个或多个额外证书,以授权用户设备可以访问服务或应用。在各种实施例中,IAM控制器406可基于对用户请求相关的风险分析、与所提供的访问标识符相关的IAM账号的用户配置文件的设置,以及所提供的访问标识符的类型、应用或服务的安全级别,和/或诸如此类因素,做出这样的决定。因此,如果IAM控制器128决定一个或多个额外的证书并不是必要的,流程400可以进行到408。
[0081] 在408中,IAM控制器128可以决定是否授权使用访问标识符对服务或应用进行访问。换句话说,IAM控制器128可以对访问标识符进行确认。因此,如果访问标识符被确认有效,则IAM控制器218可以授权对应用或服务的访问。在某些实例中,IAM控制器128并不进行有效性确认,而是可以将访问标识符发送给第三方身份认证服务来进行委托认证。
[0082] 但是,回到判断框406,如果IAM控制器128决定请求一个或多个额外的证书,流程400可以进行到410。在410,IAM控制器128可以从用户设备请求所述一个或多个额外的证书。在一些实施例中,用户设备可以通过用户设备上的IAM设备代理316,自动向IAM控制器
128提供所述一个或多个额外的证书(如计算出的密码、共享密码、口令等等)。在其它实施例中,用户设备上的IAM设备代理316,可以代表IAM控制器128,请求所述一个或多个额外的证书。然后,所获得的一个或多个证书,可以由设备代理316传送给IAM控制器128。反过来,IAM控制器128可以决定,是否授权使用访问标识符和所述一个或多个额外的证书,对服务或应用进行访问。换句话说,IAM控制器128可以对访问标识符和所述一个或多个额外的访问证书进行有效性确认。因此,如果访问标识符和所述一个或多个额外的访问证书被确认有效,IAM控制器218可以授权对应用或服务的访问。在某些实例中,IAM控制器128并不进行有效确认,而可将访问标识符和所述一个或多个额外的访问证书发送给第三方身份认证服务以进行委托认证。
128提供所述一个或多个额外的证书(如计算出的密码、共享密码、口令等等)。在其它实施例中,用户设备上的IAM设备代理316,可以代表IAM控制器128,请求所述一个或多个额外的证书。然后,所获得的一个或多个证书,可以由设备代理316传送给IAM控制器128。反过来,IAM控制器128可以决定,是否授权使用访问标识符和所述一个或多个额外的证书,对服务或应用进行访问。换句话说,IAM控制器128可以对访问标识符和所述一个或多个额外的访问证书进行有效性确认。因此,如果访问标识符和所述一个或多个额外的访问证书被确认有效,IAM控制器218可以授权对应用或服务的访问。在某些实例中,IAM控制器128并不进行有效确认,而可将访问标识符和所述一个或多个额外的访问证书发送给第三方身份认证服务以进行委托认证。
[0083] 在判断框412,如果IAM控制器218决定授权对应用或服务的访问,流程400会进行到处理框414。在处理框414,IAM控制器218可以向用户设备提供对应用或服务的访问。在各种实施例中,IAM控制器218可以向所述服务或应用提供对存储在用户的IAM账号中的用户配置文件信息的访问,从而使得所述应用或服务可以为用户设备配置适当的访问范围。在一些实施例中,提供给用户设备上的应用的使用配置文件信息的数量,可能会依赖于应用的级别。
[0084] 在判断框416,IAM控制器218可以决定是否向用户设备提供访问证书。访问证书可以是允许用户设备访问额外的服务或来自用户设备的额外的应用的证书。因此,如果IAM控制器416决定向用户设备提供访问证书,流程400会进行到418。在418,IAM控制器218可以向用户设备提供访问证书。在各种实施例中,访问证书可以是以令牌的形式,或是以存储在用户设备上的Cookie的形式。然后,用户设备可以使用访问证书访问额外的服务或额外的应用。
[0085] 但是,回到判断框416,如果IAM控制器218决定不向用户设备提供访问证书,流程400会循环回到414。此外,回到判断框412,如果IAM控制器218决定不授予访问应用或服务的权限,流程400会进行到处理框420。如果IAM控制器218无法确认所提供的访问标识符,或无法确认所提供的访问标识符和额外的证书的结合,IAM控制器218会拒绝访问,其中是否要确认额外的证书,取决于是否请求了额外的证书。在处理框420,IAM控制器218可以拒绝用户设备访问服务或应用。
[0086] 结论
[0087] 虽然已用特定于结构特征和/或方法动作的语言对主题进行了描述,但需要理解的是,在所附的权利要求书中所定义的主题并不一定局限于所述的具体特征或行为。相反,所公开的具体特征或行为只是权利要求的实现范例。