[发明专利]用于实现要求的认证确保级别的多因素认证

说明书

相关申请的交叉引用

本申请要求享有于2013年4月26日提交的美国临时专利申请序列号61/816,446、于2013年6月7日提交的美国临时专利申请序列号61/832,509的权益，其内容在此通过引用而被视为完全加入。

背景技术

近年来，消费者越来越多地使用移动装置来接入云中的服务和内容。此外，企业还有趋向于“自带装置(BYOD)”的不断增长的趋势，其中雇员能够使用他们的个人移动装置来接入企业服务/数据并在他们的装置上本地存储企业数据。使用移动装置来进行移动支付服务也越来越多。以上对于移动装置的使用的不断增加以及其他使用的示例已经导致对安全性有了新的需求。例如，经常会要求使用比只是密码的认证形式更强的认证形式来接入服务以及处理安全操作。

二因素认证可被用来加强对用户的认证。一种示例性二因素认证将用户的标识(ID)和密码作为第一认证因素并将基于硬件/软件的令牌作为第二认证因素。用户ID和密码认证用户的存在，而令牌则确认用户持有令牌功能所位于的装置。多因素认证指任何使用多于一种因素的认证。示例认证因素包括用户标识与相应的密码、令牌、以及用户的生物计量/行为方面。

发明内容

现有的多因素认证方式并不具有灵活性，且并不是用户友好的。这里描述的各个实施方式包括用于加入各个认证参数的一般架构。所述各个参数可包括对应于用户知道什么(例如密码)、用户是什么(例如生物计量)、或用户具有什么(装置认证)的因素。例如，生物计量认证可与基于密码的认证合并。可在网络或用户设备(UE)上执行认证。在一些情况中，这里描述的多因素认证权衡各种协议，比如OpenID协议。

在示例实施方式中，对无线发射接收单元(WTRU)或操作所述WTRU的用户中的至少一个(例如两个)进行认证。网络实体(诸如服务提供商(SP)或标识提供商(IdP))确定所述SP所要求用来接入由所述SP提供的第一服务的第一认证要求。所述认证要求可指示所要求的第一确保级别。根据示例实施方式，网络实体发现对于所述认证可用的一个或多个能力。所述一个或多个能力可与WTRU和用户中的至少一者相关联。所述网络实体可确定所发现的一个或多个能力中的至少一者是否足够用来实现所述第一认证要求，例如所述SP所要求的认证确保级别。如果确定所发现的能力中的至少一者是足够的，则选择一个或多个认证因素。所述一个或多个认证因素可以实现由所述SP所要求的第一认证确保级别。此后，触发所选的一个或多个认证因素中的至少一者的执行。一旦对所述一个或多个认证因素成功执行，则所述WTRU和所述用户可接入所述第一服务。

附图说明

图1是根据一种实施方式的多因素认证的示例架构的框图；

图2A和2B描述了根据一种示例实施方式可由图1中示出的所述架构执行的多因素认证的流程图；

图3A-C描述了根据另一示例实施方式的多因素认证的另一流程图；

图4是示出了根据一种示例实施方式的示例OpenID断言的调用流；

图5是示出了根据一种示例实施方式的确保级别如何被传递的框图；

图6是示出了根据一种示例实施方式的到OpenID标识提供商(OP)的示例接口的框图；

图7A-C描述了示出了根据一种示例实施方式的基于网络的多因素认证的流程图；

图8A-C描述了示出了根据另一种示例实施方式的装置上认证和本地生成的断言的流程图；

图9A-C描述了根据又一种示例实施方式的描述了与在网络上生成的断言相合并的本地认证的流程图；

图10是示出了根据一种示例实施方式的示例系统的框图，其中服务提供商包括依赖方(RP)和表示提供商(IdP)；

图11A-B描述了示出了基于伪标识(PID)的到服务的无缝接入的流程图；

图12A-E描述了示出了基于PID的到服务的无缝接入的另一示例的流程图；

图13是示出了可与UE进行通信的两个信任圈(circleoftrust)的框图；

图14是示出了根据一种示例实施方式的另一信任圈(CoT)的框图；

图15是示出了可由各个实施方式实施的多因素认证的示例架构的框图；

图16是示出了根据一种示例实施方式的图15中描述的示例架构的变形的框图；

图17是示出了图15的架构并描述了附加示例功能的框图；

图18是根据一种示例的示例装置架构；