[发明专利]具有本地功能的身份管理

说明书

相关申请的交叉引用

本申请要求享有2012年1月20日提交的美国临时专利申请No.61/589,125的权益，该申请的全部内容通过引用结合于此。

背景技术

移动设备越来越多地用于接入因特网服务。因特网服务通常需要安全交易来保护敏感数据。这种安全性测量通常以数据需求(例如，用户名、个人身份号码(pin)、和/或密码)的形式给用户造成身份和认证负担。无线电信网络可以实施各种形式的认证。服务提供方也可以寻找各种用户属性来认证用户、识别用户、和/或确定用户的接入网络服务的等级。

已经提出了单点登录(SSO)方案，该方案旨在为用户减少繁琐的用户认证。开放ID协议是使单点登录成为可能的协议中的一个示例。开放ID2.0协议和较新的开放ID连接协议是最普遍的开放ID协议。在下文中，单独的术语“开放ID协议”意味着涵盖各种形式的开放ID协议中的任意一者，包括开放ID2.0和开放ID连接。如果要讨论特定的协议，其将被专门标识出。

当前用于SSO的方法(例如，开放ID协议)通常需要网络身份提供方实施各种SSO机制。这些方法可给定用户对他/她的身份信息的有限的控制，因为所述身份信息由SSO身份提供方处理，并可导致易受安全性攻击的用户数据和通信。

发明内容

在此描述了用于对用户设备(UE)实施身份管理机制(例如与开放ID连接协议相关联的机制)的系统、方法和装置。在示例实施方式中，用户设备(UE)和服务提供方(SP)可以经由网络通信。UE的用户可以请求接入由SP提供的服务。该SP可以请求身份(ID)令牌来认证用户和/或UE的身份。UE可以根据请求创建ID令牌。例如，所述ID令牌可在位于UE内的可信环境中被安全地创建。这种可信环境可由通用集成电路卡(UICC)、可信模块、安全环境等等、或者上述的任意合适的组合来实施。经由可信环境，UE例如可以向SP发出ID令牌。该ID令牌可以被验证以为UE提供对由SP提供的服务的接入。该UE还可以响应于接收到由用户批准的授权请求来创建接入令牌。所述接入令牌可与由UE从SP请求的服务相关。因此，接入令牌可与授权请求的用户批准相关联。例如，SP可以发出授权请求以接收关于用户的附加信息，例如用户属性。该UE可以向SP发出接入令牌，并且一旦验证了所述接入令牌，该SP可以接收其所请求的用户属性。ID令牌和接入令牌可以根据开放ID连接协议在UE处生成。例如，所述令牌可以在位于UE内的可信模块中被安全地生成。

在另一个示例实施方式中，UE可以提供与由SP请求的服务相关的接入令牌。这种接入令牌可以由提供所请求的服务的SP来兑换(redeem)。UE可以响应于接收到对用户数据的请求来生成接入令牌。接入令牌可以包括指示用户信息端点的位置的信息。例如，SP可以使用该位置来从所述用户信息端点取得用户数据。一旦验证了接入令牌，用户信息端点可以向SP提供所请求的用户属性。用户信息端点可以位于UE内的可信模块、经由网络与SP通信的网络实体、或者上述的组合上。例如，UE可以创建与服务和UE的用户相关联的第一接入令牌和第二接入令牌。所述第一接入令牌可以包括指示第一用户信息端点的位置的信息，其中一旦验证了第一接入令牌，该第一用户信息端点向SP提供第一请求的用户属性。所述第二接入令牌可以包括指示第二用户信息端点的位置的信息，其中一旦验证了第二接入令牌，该第二用户信息端点向SP提供第二请求的用户属性。所述第一用户信息端点可以位于UE上，例如，位于可信模块上，而所述第二用户信息端点可以位于经由网络与SP通信的网络实体上。例如，由所述第一用户信息端点提供的所述第一请求的用户属性可以由用户分类为机密数据，而由所述第二用户信息端点提供的所述第二请求的用户属性可以由用户分类为非机密数据。为了服务UE/用户，SP可以将具有不同安全性类别且从他们各自的用户信息端点获取的第一和第二用户属性合并。

在替换实施方式中，除了SP之外或在SP之外，接入令牌能够由接收该令牌的其他方(party)进行兑换。

附图说明

更详细的理解可以从下述结合附图并且举例给出的描述中得到，其中：

图1是示出了网络中的示例接口的框图；

图2是根据示例实施方式的具有HTTP重定向消息的开放ID协议的流程图；

图3是示出了根据开放ID连接协议的示例实施的示例性发现过程的流程图；

图4是示出了用于取得配置信息的示例性协议流的流程图；

图5是示出了示例性注册协议流的流程图；