CN104767740A - 用于来自用户平台的可信认证和接入的方法 - Google Patents
用于来自用户平台的可信认证和接入的方法 Download PDFInfo
- Publication number
- CN104767740A CN104767740A CN201510128690.3A CN201510128690A CN104767740A CN 104767740 A CN104767740 A CN 104767740A CN 201510128690 A CN201510128690 A CN 201510128690A CN 104767740 A CN104767740 A CN 104767740A
- Authority
- CN
- China
- Prior art keywords
- user platform
- identity
- warrant
- provider
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了用于来自用户平台的可信认证和接入的方法,包括:用户平台使用与用户平台的用户相关联的预定的身份登陆服务提供方,用户平台被服务提供方重定向至由预定的身份指示的身份提供方;用户平台接收来自身份提供方的认证质询;经由驻在用户平台上的可信模块,用户平台获得指示由认证中心认证身份的证书;在可信模块生成用于在身份提供方认证用户平台的权证,权证包括指示由认证中心认证身份的证书;响应于认证质询,用户平台将权证传送至身份提供方以认证用户平台;如果权证验证成功,用户平台一旦接收指示权证验证成功的状态消息则接入服务提供方,从而确保用户平台的用户合法;如果权证验证失败,接收与失败原因相关联的重定向消息。
Description
本申请是申请号为200980162122.8、申请日为2009年09月14日、发明名称为“用于可信认证和登录的方法和装置”的中国发明专利申请的分案申请。
技术领域
本申请涉及认证和接入。
背景技术
身份管理以及用户认证和接入对于网络(Web)使用、移动服务、无线通信和其他服务来说是至关重要的问题。存在许多认证和接入协议。例如,开放ID(OpenID)是开放的、分散的构架,并且是用于用户认证和接入控制的方法。单个数字身份允许用户登录一次,并且获得对多个服务的接入。数字身份通常是以唯一通用资源定位符(URL)为形式的,该URL通常由身份提供方提供(host)。当用户期望用数字身份接入服务提供方时,所述身份提供方对该用户进行认证。OpenID构架允许用不同的认证方法来认证用户。为了声明在身份提供方处的身份,能够使用几种方法;最常用的是登录表格(form)的使用,用户在该登录表格中提供密码。然而,没有使用可信的系统,依赖方将不能获得足够的证据来建立与递交认证凭证的通信伙伴之间的信任关系。用户凭证(例如,以用户名/密码相结合的形式)不被绑定至平台,因此能够被盗取。攻击者能够使用盗取到的凭证来以合法用户的名义接入服务。通过将用于OpenID协议的认证凭证绑定至平台及其该平台值得信赖的状态,能够提高OpenID协议的保密性和安全性。
在基于权证(ticket)的认证和授权协议中,软件令牌(即,权证)用于证明单个实体/用户的身份。基于这些令牌,针对特定系统的接入被限制于产生合适的令牌的实体/用户。此外,被包括在令牌中的数据除了可以用于只实施认证之外,还可以用于实施能够进行基于令牌的接入控制方案的认证控制。
另一个认证和授权协议将证明(attestation)身份密钥(AIK)用作识别权证系统中的凭证,其中该AIK由可信平台模块(TPM)在可信计算环境中生成。AIK用于对信任测量签名,以及证实(certify)由TPM生成的密钥。这样的基于可信权证的系统的当前实施需要使用中央数据库来维护用于权证加密的共享密钥数据库或公钥基础设施(PKI),并且所有服务提供方需要被修改以评估和接受所接收到的权证。
发明内容
公开了用于可信认证和登录的方法和装置。基于可信平台模块(TPM)的登录方法被提出以用于认证和接入。用户利用与该用户的特定平台(例如,TPM)紧紧绑定的身份提供方来注册身份。例如,如果用户决定使用这个身份来登入到服务提供方,则身份提供方质询(challenge)用户提供正确的凭证。在这种方法中,用于合并密码凭证链的凭证由TPM生成的权证组成。这允许用户登入而不需要在身份提供方处的密码。在用户的特定平台处的本地密码可以一直被使用以保护身份不受本地攻击。
登录与特定平台的完整性验证结合。使用对TPM的平台配置寄存器(PCR)的TPM签名的声明,其中该PCR安全地存储系统配置,身份提供方可以将报告的系统状态和先前生成的参考值进行比较,并且只允许合法用户使用值得信赖的平台来登入,并且声明身份。这个结合的认证和证明,通过不仅将认证数据绑定到特定的平台,而且将该认证数据绑定到被认为是值得信赖的预定义的系统状态来允许细粒度(fine grained)接入控制。这能够允许用于认证和接入方法的新的使用情况,该新的使用情况需要增强的系统保密性和安全性,以及将不允许任何导致不值得信赖系统的修改。
附图说明
更详细的理解可以从以下结合附图并且举例给出的描述中得到,其中:
图1示出了用于认证和接入系统的示例高层架构;
图2示出了用于认证和接入方法的示例高层信号流图;
图3(a)和3(b)示出了用于认证和接入方法的示例信号流图;
图4是长期演进(LTE)的无线通信系统/接入网的实施方式;以及
图5是LTE无线通信系统的无线发射/接收单元和基站的示例方框图。
具体实施方式
下文涉及的术语“无线发射/接收单元(WTRU)”包括,但并不限于用户设备(UE)、移动站、固定或移动订户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机或者能在无线环境下操作的任何一种类型的用户设备。下文涉及的术语“基站”包括但并不限于节点B、演进型节点B、站点控制器、接入点(AP)或者能在无线环境下操作的任何一种类型的接口设备。
这里的公开内容将OpenID协议用作示例认证和接入系统,并且可应用至其他认证和接入系统。首先描述基本的实体和它们的高层流,之后详细论述方法。
图1是示例认证和接入系统100,该系统100包括但不限于:客户端/用户平台110、身份提供方120、隐私认证中心(privacy certification authorityPCA)130以及服务提供方140。客户端/用户平台110、身份提供方120以及服务提供方140通过无线和有线通信系统的任意组合来与彼此通信。客户端/用户平台110还与PCA 130通信,该PCA 130与存储介质160通信,该存储介质160例如存储证实(certification)。
客户端/用户平台110可以是WTRU、基站、计算平台,或者任何可能需要认证的设备。客户端/用户平台110包括但不限于:可信平台模块(TPM)115,该TPM 115为客户端/用户平台110提供远程证明以及数据密封和绑定能力。TPM 115是存储密钥、密码、数字证书的微控制器,并且该TPM 115能够生成密码密钥。该TPM可以附着在母板上,或者集成在系统的芯片组中,并且可以用在任何需要这些功能的计算设备中。TPM 115确保存储在其中的信息变得更加安全,以防止来自外部的软件攻击、物理篡改以及窃听。如果在启动顺序期间针对组件采用的测量值不如预期的那样等于参考测量,则TMP 115或客户端/用户平台110中针对数据和秘密的接入可以被拒绝。由此,如安全电子邮件、安全网络接入以及数据的本地保护之类的重要应用和能力变得更加安全。尽管这里讨论的是可信平台模块,但是其他可替换的信任中心可以被使用,例如,移动可信模块。
TPM 115使用签注密钥(EK),该EK是2048比特RSA公共和私有密钥对,在制造期间,该密钥对在芯片上被随机地创建,并且不能够被改变。私有密钥从不离开芯片,而公共密钥则用于证明以及用于发送给芯片的敏感数据的加密。EK的公共部分通常经由EK证书而被PCA 130已知,以用于证明的目的。总体来说,无论TPM 115何时需要向检验者(例如,身份提供方)来认证它自己,它都生成第二个被称作证明身份密钥(AIK)的RSA密钥对,将该AIK公共密钥发送至PCA 130,并且相对相应的EK认证这个公共密钥。如果PCA 130在它的列表中发现这个EK,则它在TPM 115的AIK上发出证书。TPM 115随后可以提供这个证书给身份提供方120,并且认证它自己。
如这里所陈述的,AIK(在该AIK中至少包含身份)表示这里所描述的权证的至少一部分。然而,作为权证的AIK的使用受TPM 115限制。因此,一个被称为证实密钥操作的间接手段被使用,其中,由TPM 115生成签名密钥,并且通过用AIK对该签名密钥进行签名来证实该签名密钥。这个密钥被称作证实的签名密钥(CSK)。该CSK和AIK与证明AIK有效的PCA一起组成这里所描述的权证的一部分。
客户端/用户平台110还包括生成用于服务接入的凭证或者权证的权证服务器150。权证服务器150认证用户。权证服务器150使用平台证明的可信计算方法来向身份提供方120确认(validate)客户端/用户平台110和它自己。权证服务器150不存在于当前不可信的OpenID架构中,其中,对应的角色只由本地凭证存储器扮演。由于更安全紧要的信息和操作集中在权证服务器150中,因此该权证服务器150必须是可信的,以恰当地处理AIK证书和CSK,并且不将他们散播到其他平台;保护权证和凭证;保护对由用户授权的所有证书的任何安全紧要的操作;提供将被直接集成在公共网络浏览器中并且将通过该公共网络浏览器来接入的安全选项;以及集合、处理和发送平台确认数据。这个在这里被详细公开。
用户需要选择PCA 130来证实在TPM 115中创建的AIK。PCA 130可以保留所有与身份相关的信息,并且需要采取契约措施,以确保这个与身份相关的信息不公开。在PCA 130处证实AIK以后,用户可以选择身份提供方120来提供(host)被声明的身份。该被声明的身份通过由用户选择出的通用资源标识符(URI)来表示。为了注册这样的被声明的身份,用户必须向身份提供方120提供有效的AIK证书。这个在这里被详细公开。
身份提供方120可以只存在最少量的与身份相关的信息。用户可以决定在PCA 130处提供(host)的哪些信息可以并且将被透露给身份提供方120。需要采用契约措施以确保各方之间的协调,否则,流氓PCA能够证实属于不同用户的身份。由于PCA 130将不向身份提供方120透露用户的真实身份,因此身份提供方120将不能将不同的请求链接到单个身份。
PCA 130只是一个能够将被声明的身份解析成真实身份的例子。这个可以很容易地通过保持安全的数据库来实现,其中,该数据库将(唯一的)EK证书映射至AIK。在AIK证实期间使用的EK证书允许TPM 115的无疑的标识,并因此允许客户端/用户平台110(假定只有一个用户具有对解析该用户的平台110的接入)。
服务提供方140只需要使得身份提供方登入网站。例如,在首页上,服务提供方140可以具有OpenID登入标志。由用户/客户端使用的身份提供方120需要在服务提供方140的已知且接受的身份提供方的列表中。
现在参考图2,此处示出了用于在图1中所公开的系统100的示例高层信号流200。如这里所讨论的,客户端/用户或用户平台210、服务提供方215和身份提供方220(作为示例OpenID提供方示出)被配置以用于彼此间的通信。
客户端/用户平台210使用它的网络浏览器225经由接入网页消息227来接入服务提供方网页(被标识为索引.jsp 235)。例如,如果客户端/用户210想要使用他的OpenID URI来登入,则在服务提供方215处的索引.jsp页面235经由OpenID登录表格消息229来请求该URI,并因此经由OpenID身份消息231来获取提供(host)被声明的身份的OpenID提供方220的地址。
服务提供方215随后试图形成与OpenID提供方220的关联。根据OpenID协议,服务提供方215经由关联消息241来与OpenID提供方220相关联。如果认证成功,则上述关联包括经由关联消息243到由OpenID提供方220发送给客户端/用户平台210的重定向消息247的请求、被声明的身份以及返回URL的安全交换。这个由服务提供方215处的用户重定向.jsp 240和OpenID提供方220处的提供方.jsp 245执行。在关联之后,客户端/用户平台210经由至OpenID提供方的重定向消息249被重定向至OpenID提供方220的提供方.jsp网页245。
OpenID提供方220随后从提供方.jsp网页245转换至提供方授权.jsp网页255,以认证客户端/用户平台210。用户通过点击该提供方授权.jsp网页255上的链接来发起请求。这启动新的后台线程TT验证器258,该TT验证器258经由质询消息252来质询权证服务器250。提供方授权.jsp网页255重定向客户端/用户平台210返回至提供方.jsp网页245,该提供方.jsp网页245等待TT验证器258完成和评估在质询答复消息254中提供的质询结果。如这里所描述的,权证服务器250使用TPM功能生成包括权证的合适的答复,以及一般与TPM 250、PCA 275和存储介质280(例如,保留证实)交互。
假定认证成功,提供方.jsp网页245向客户端/用户平台210发送重定向消息262。重定向消息262经由至服务的重定向消息264来将客户端/用户平台210重定向至服务提供方215处的用户返回url.jsp页面265。该用户返回url.jsp页面265检查来自相关联的OpenID提供方220的重定向,以及经由服务消息267来准许对客户端/用户平台210的接入。
现在参考图3(a)和3(b),此处示出了权证服务器305和权证质询器310之间的信号流程图300。另外还示出了权证服务器305和PCA 315、证实存储介质320和TPM 325之间的信号流。
权证服务器305运行作为客户端上的服务应用。它在预定义的端口上侦听并且等待质询。在接收到质询消息327之后(该质询消息327包含用户想要在例如OpenID中使用的身份,和在服务提供方处发出的服务请求),要求用户使用应答消息329来明确地允许质询。用户具有拒绝该质询的选项。如果被拒绝,则OpenID认证将失败。
如果该质询被接受,则提示用户输入用于与给定身份相对应的AIK的密码,并且提示用户通过在权证服务器305处输入存储根密钥(SRK)密码来认证TPM 325使用。该SRK随后被包括在TPM命令中,该TPM命令能够接入受TPM保护的密钥。权证服务器305之后尝试从证书存储介质320中获取先前获得的用于这个身份的AIK证书,这些被全体地显示为335,该335被需要以用于如这里所讨论的系统状态信息获取345和TC权证生成350。证书能够来自先前的具有PCA(如,PCA 315)的AIK证实,并且因此能够从系统上的本地证书存储器(如,证实存储介质320)中获取,或者如果在本地存储器中该证书不可用(或者在本地存储器中用于AIK的证书已期满或者由于任何原因变成无效),则用于由AIK表示的身份的新证书能够从PCA 315中被请求。特别地,如果在证书存储介质320中不能找到证书,则用户可以选择PCA 315来连接以经历AIK证实过程,并且获取用于AIK的证书。因此,用户必须提供TPM 325的正确的所有者密码。这防止由TPM325的所有者之外的人创建流氓身份。如下面示出的,由权证服务器305将用户输入转发至TPM 325,在该TPM 325中评估密码。
响应于接受质询,权证质询器310创建随机的随机数(nonce)337。权证服务器305经由随机数消息339接收来自权证质询器310的随机的随机数337。描述系统配置(包括随机数)的PCR值的AIK签名的引用Q从TPM 325中获取,做出关于系统状态的声明,共同显示为345。
权证服务器305随后创建TC权证,共同显示为350。TC权证创建350包含由TPM创建新密钥(RSA密钥对),该新密钥可用于对请求和身份进行签名。如这里描述的,使用证实密钥操作,用AIK证实这个新密钥。也就是说,TPM使用用于这个新创建的密钥对的证实密钥功能来生成证实声明和绑定,其中绑定是指从PCA建立至AIK和AIK证书的信任链。当成功证实新创建的密钥时,则将该新创建的密钥称作证实的签名密钥(CSK)。在TPM中可以有多个CSK和多个AIK(或者在由TPM保护的安全存储器中,由TPM保护)。
验证(verify)TC权证350所需要的信息被包括在该权证350中,以使接收方(在图3(a)和3(b)中由权证质询器310表示)可以容易地验证该TC权证350。与纯文本测量日志(log)ML和引用Q一起,包括TC权证350的响应经由TCT、Q、ML消息352被发回至权证质询器310。CH响应和ACK消息(整体表示为351)是用于通知接收方(即,权证质询器310)下一个消息将包含TC权证350、引用和ML的协议信令消息。应当注意的是,在该过程中的这个接合点处,图3(a)和3(b)表示图2中的TT验证器线程258的内部操作。由于OpenID提供方可以同时处理多个请求,因此它必须确保每个请求的客户端获取新的、新鲜(fresh)且唯一的质询,以防止重放攻击。
在经由消息355应答TC权证350之后,权证质询器310目前具有下列数据:来自TPM 325的AIK签名的引用,该引用包括作为反重放保护的随机数337;纯文本测量文件;TC权证350,该TC权证350包括签名的身份字符串、签名的请求字符串、CSK的公共密钥部分、在CSK的公共密钥部分上的AIK签名、以及由PCA 315发出的AIK证书。为了认证客户端,权证质询器310检查下列信息,该信息共同被显示为360:AIK证书的确认(时间戳);验证AIK证书上的PCA签名;验证TC权证350中的CSK公共密钥散列(hash)上的AIK签名;验证服务请求上的签名和TC权证350中的身份;确认测量列表中的项(entry);以及验证实际(被引用的)平台配置寄存器(PCR)值与测量列表ML对应。
如果在这个验证过程中任何一项失败,则将不能认证客户端。特定的凭证链由权证服务器305和PCA 315建立,即AIK证书-证实的CSK-签名的请求。向用户发送验证状态消息365。这个也被例如图2中的重定向消息262示出。在该示例中,消息262可以将用户的浏览器重定向至服务提供方返回url,或者在服务提供方处认证该用户。如果上述验证中的任何一个失败(证书实效或系统完整性失效),则重定向将该用户发送至OpenID提供方处的“认证失败”页面。作为替换,在认证失败的情况下,在OpenID提供方处创建定制的结果页面是可能的,该结果页面显示失败的原因。这能够包括给用户显示哪些模块或软件的完整性检查失败,并且能够被影响(leverage)到建议用户下一个步骤将该用户的系统带回值得信赖的状态的系统。
考虑到这里的公开,PCA(例如,PCA 275)的角色不同于其在当前使用可信计算的权证系统中所扮演的角色。例如,针对特定服务提供方215将使用的每部分身份,PCA 275可能只需要被调用一次。在初始注册中,客户端/用户平台210将它的平台身份与假名的部分身份相关联。PCA 275提供用于这个假名身份的证书,并且存储假名与平台身份的关联。这个数据是私有敏感的,并因此需要被保护。在另一示例中,与当前权证系统相比,PCA 275的定位允许附加的选项。这里公开的信任模型和方法允许在除身份提供方220之外的地方以及按用户的选择放置PCA 275。
在公开的方法和架构中,用户可以选择任意的外部PCA,其中该外部PCA的AIK证书被身份提供方所接受,或者使用由该身份提供方直接或间接提供的PCA功能。在这个后者的示例中,PCA或PCA功能可以置于身份提供方以降低复杂性,并且经由网络(Web)表格提供向身份提供方注册的无缝替换。
由于它的特定的安全架构,所提出的公开内容减小了针对使用可信计算的身份管理系统的特定威胁,其中该身份管理系统依赖与身份相关的信息的加密。在可信OpenID中,例如,AIK证书对于客户端是已知且可见的;因此,该AIK证书不能包含威胁隐私的隐藏信息。
在另一个示例中,OpenID实施向用户呈现OpenID提供方登入表格。该用户输入他/她的凭证,并且该OpenID提供方向用户发出小型文字档案(cookie)。这个cookie之后用于每个随后的OpenID使能服务接入。这可以导致一些对OpenID协议的攻击:(1)直接攻击用于登入客户端的OpenID提供方的用户凭证(具有虚假OpenID提供方页面的网络钓鱼将暴露大量用户凭证,该网络钓鱼允许身份盗窃)以及;(2)包含重新使用、复制的攻击,以及在认证之后从客户端的计算机中盗窃cookie,导致身份失窃。
通过这里所提出的公开内容来减轻这两种攻击。所有用户密码是本地的,并且只提供给本地可信权证服务器,凭证网络钓鱼的问题被击退。此外,假名身份被绑定至平台(例如,TPM),因此它们不能被复制到另一设备中。
此外,cookie不能被存储在客户端平台上。这可以防止本地重新使用的威胁。例如,考虑由多人共享的计算机。如果人物A登入到他的OpenID账户,并且忘记退出,则人物B能够使用所存储的cookie来模拟A。选项可以将本发明公开的认证方法无缝集成在网络浏览器中。无论用户何时想要使用可信的这里所公开的方法来接入服务,身份提供方创建用于权证服务器的新质询。用户只看见来自可信权证服务器应用的提示,该提示向客户端要本地AIK密码,其中需要该本地AIK密码来答复质询。权证服务器不存储这个AIK认证秘密。如果在相同平台上的另一个用户B想要接入该服务,则权证服务器再一次被身份提供方质询,并且B需要提供A的本地AIK密码(B不知道该本地AIK密码)。目标是具有在客户端的平台上不被永久保存的一次性cookie。可替换地,将用户认证绑定至设备可以通过生物识别来促成。在集成的设备中,可以显然地、动态地以及经常地实现生物识别,由此总是确保设备正在由真实的用户使用。
这里的公开内容可以以一种方式使用在发出的cookie上的加密,以使目标平台(从身份提供方的角度所看到的用户平台)和用户可以对该加密进行解密并将其用作认证令牌。身份提供方使用秘密密钥对cookie加密,并且将其发送至客户端侧的权证服务器,该权证服务器受公共CSK保护。尽管CSK不意味着任意数量的数据的大批量加密,但是它可以用于加密秘密密钥,该秘密密钥用于加密cookie。所述秘密密钥可以是对称的或不对称的密钥。
可以在需要时使用TPM对cookie进行解密。该解密需要用户利用(本地)CSK秘密来认证CSK使用。权证服务器确保cookie被加密存储,以及只在需要的时候被解密。
在另一个应用中,公开的认证和接入方法可以用于合并的认证、接入和授权方法。主要搜索引擎公司近来宣布支持开放授权(OAuth)(即,示例API授权方法),以当接入网络服务时提供无缝用户体验。用户将使用服务提供方提供的接入链接来接入网络(Web)服务,并且与此同时,例如,经由OAuth准许针对服务提供方提供(hosted)的服务的网络应用接入。OpenID用于使用集中存储的身份来认证用户。OAuth用于授权网络服务访问如日历、文档等之类的用户数据。在单个步骤中,两种协议的合并改善单点登录的用户体验,并且允许新的网络服务,该新的网络服务需要接入不同的用户数据,如混搭式应用(mash-up)、控制板等。
代替用户的TPM只对身份提供方(如,OpenID质询)签名,TPM将对合并的质询签名,如由身份提供方通过网络应用的请求提出的OpenID/OAuth质询。用户识别和授权与接受数据接入由TPM安全地签名。如这里所公开的,用户的安全性通过下列方式被改善:(1)将登入和授权绑定至硬件TPM,以及(2)由OpenID/OAuth提供方提供平台完整性验证,以防止运行在客户端上的恶意软件盗取敏感数据。完整性验证还增加网络应用的安全水平。只有在被证明的完整性验证状态中的客户端可以被给予对网络服务的接入。这允许建立用于安全性和隐私重要的应用的新网络服务。例如OAuth、令牌接入的授权提供方被TPM签名的事实能够被唯一地识别,所描述的方法提供不可否认性。这促使可以由网络应用的服务提供方实施的计费过程。签名允许网络应用提供方证明用户请求和接入的网络服务。
基于TPM的用户认证允许平台身份和身份提供方之间的联系。身份提供方需要保持用于给定平台的注册的身份的数据库。当检测到使用注册的身份中的一个来试图从另一个平台登入时,身份提供方:(1)能够/必须拒绝认证,或者(2)可以通告该身份的合法所有者。身份提供方能够通过给定的平台凭证容易地区分合法用户和攻击者。
在另一个示例中,方法可以包括证明机制。身份提供方可以质询用户提供关于用户平台的系统状态的信息。如果系统处于值得信赖的状态,则将准许接入。这将影响(leverage)网络应用的安全性,因为只有“值得信赖”的系统可以接入网络服务。
在又一个示例中,代替用户侧的服务应用来侦听进来的身份认证请求并将该请求转发至TPM,可以使用无缝浏览器整合。这可以通过使用实施可应用功能的浏览器扩展来实现。身份提供方发出位于登入页面的HTML码内部的质询。浏览器扩展可以读取这个信息并将必要的数据转发至TPM。而该TPM创建签名的权证,以及将该签名的权证返回至所述浏览器扩展。该扩展可以随后发出正确的HTTPS响应至身份提供方,该响应包括签名的权证。在这种情况中,图3(a)和3(b)的流将由代替独立扩展的无缝集成的浏览器扩展处理。这个解决方案允许更好的便携性以及更好的用户体验。
总体来说,用于来自用户平台的可信认证和接入的方法包括使用预定的身份登录服务提供方,其中,所述用户平台由服务提供方重定向至由预定的身份所指向的身份提供方。所述方法还包括接收来自身份提供方的认证质询,并且在用户平台接受该认证质询的情况下,响应于该认证质询,传送基于可信平台模块(TPM)的权证。该方法还包括在成功接收来自身份提供方的权证验证时接入服务提供方。所述预定的身份由通用资源标识符表示。所述方法还包括生成权证,该权证确认所述用户平台和权证。所述认证质询包括至少所述预定的身份和一类型的服务请求。所述方法还包括生成用于对所述预定的身份和所述服务请求签名的证实的签名密钥。
所述方法还包括提供用于对应于所述预定的身份的证明身份密钥(AIK)的密码,和用于认证TPM使用的存储根密钥密码。它还包括获得对应于证明身份密钥(AIK)的证书。该方法还包括在先前获得的证书不可用的情况下生成证书。所述方法还包括接收随机数以响应于肯定的质询应答,以及生成来自TPM的证明身份密钥(AIK)签名的引用,其中该AIK签名的引用包括所述随机数。所述权证还包括证实的签名密钥(CSK)签名的预定的身份、CSK签名的请求、CSK公共密钥以及隐私认证中心(PCA)发布的证明身份密钥(AIK)证书。
所述方法还包括在用户平台接受所述认证质询的情况下,响应于认证质询,传送来自TPM的平台配置寄存器(PCR)的证明身份密钥(AIK)签名的引用和测量日志。成功的权证验证包括确认AIK证书的时间戳、验证AIK证书上的PCA签名、验证CSK公共密钥上的AIK签名、验证CSK签名的预定的身份、验证CSK签名的请求、确认所述测量日志以及确证所述引用。
所述方法还包括接收加密的cookie以用于随后的服务提供方接入,该cookie由证实的签名密钥保护。所述认证质询包括授权质询。所述方法还包括证明质询。
用于支持可信认证和接入的装置包括接口模块,被配置成使用预定的身份接入服务提供方,其中,所述装置被所述服务提供方重定向至由所述预定的身份所指向的身份提供方。所述装置还包括权证服务器,被配置成在认证质询被接受的情况下,通过传送基于可信平台模块(TPM)的权证来响应认证质询。所述接口模块还被配置成接收来自身份提供方的成功的权证验证,并且接入服务提供方上的服务。所述权证服务器还被配置成生成包括证实的签名密钥(CSK)签名的预定的身份、CSK签名的请求、CSK公共密钥以及隐私认证中心(PCA)发布的证明身份密钥(AIK)证书在内的权证。所述权证服务器还被配置成获得来自TPM的证明身份密钥(AIK)签名的引用以及测量日志。所述权证服务器还被配置成接收随机数并生成来自TPM的证明身份密钥(AIK)签名的引用,其中,所述AIK签名的引用包括所述随机数。
如这里所公开的,用户客户端/平台可以例如是在无线通信系统中使用的WTRU或者基站。在一个示例中,也应用至其他无线通信系统。图4示出了包括演进的通用陆地无线电接入网络(E-UTRAN)405的长期演进(LTE)无线通信系统/接入网400。E-UTRAN 405包括WTRU 410和一些演进节点B(eNB)420。WTRU 410与eNB 420通信。eNB 420使用X2接口与彼此对接。eNB 420中的每个通过S1接口与移动性管理实体(MME)/服务网关(S-GW)430对接。尽管图4示出的是单个WTRU 410和三个eNB 420,但是很显然的是无线和有线设备的任意组合可以被包括在无线通信系统接入网400中。
图5是LTE无线通信系统500的示例性方框图,该LTE无线通信系统500包括WTRU 410、eNB 420以及MME/S-GW 430。如图5所示,WTRU 410、eNB 420以及MME/S-GW 430被配置成使用联系执行盲解码(BD)复杂性降低的方法。
除了可以在典型WTRU中找到的组件,WTRU 410包括具有可选连接存储器522的处理器516,至少一个收发信机514,可选电池520以及天线518。所述处理器516被配置成执行这里所公开的方法。所述收发信机514与所述处理器516和天线518通信,以促成无线通信的传送和接收。在电池520被用于WTRU 410的情况中,该电池520为所述收发信机514和所述处理器516供电。
除了可以在典型eNB中找到的组件,eNB 420包括具有可选连接存储器515的处理器517,收发信机519以及天线521。所述处理器517被配置成执行这里所公开的方法。所述收发信机519与所述处理器517和天线521通信,以促成无线通信的传送和接收。eNB 420被连接至移动性管理实体/服务网关(MME/S-GW)430,该MME/S-GW 430包括具有可选连接存储器534的处理器533。
实施例
1、一种用于来自用户平台的可信认证和接入的方法,该方法包括使用预定的身份登陆服务提供方,其中,所述用户平台被所述服务提供方重定向至由所述预定的身份指向的身份提供方。
2、根据实施例1所示的方法,该方法还包括接收来自所述身份提供方的认证质询。
3、根据前述实施例中的任意一项所述的方法,该方法包括在所述用户平台接受所述认证质询的情况下,响应于所述认证质询,传送基于可信平台模块(TPM)的权证。
4、根据前述实施例中的任意一项所述的方法,该方法包括在接收来自所述身份提供方的成功的权证验证时,接入所述服务提供方。
5、根据前述实施例中的任意一项所述的方法,其中,所述预定的身份由通用资源标识符表示。
6、根据前述实施例中的任意一项所述的方法,该方法包括生成权证,该权证确认所述用户平台和权证。
7、根据前述实施例中的任意一项所述的方法,其中,所述认证质询包括至少所述预定的身份和一类型的服务请求。
8、根据前述实施例中的任意一项所述的方法,该方法包括生成用于对所述预定的身份和所述服务请求签名的证实的签名密钥。
9、根据前述实施例中的任意一项所述的方法,该方法包括提供用于与所述预定的身份相对应的证明身份密钥(AIK)的密码,以及用于认证TPM使用的存储根密钥密码。
10、根据前述实施例中的任意一项所述的方法,该方法包括获得对应于证明身份密钥(AIK)的证书。
11、根据前述实施例中的任意一项所述的方法,该方法包括在先前获得的证书不可用的情况下生成证书。
12、根据前述实施例中的任意一项所述的方法,该方法包括接收随机数以响应于肯定的质询应答。
13、根据前述实施例中的任意一项所述的方法,该方法包括生成来自TPM的证明身份密钥(AIK)签名的引用,其中,所述AIK签名的引用包括所述随机数。
14、根据前述实施例中的任意一项所述的方法,其中,所述权证还包括证实的签名密钥(CSK)签名的预定的身份、CSK签名的请求、CSK公共密钥以及隐私认证中心(PCA)发布的证明身份密钥(AIK)证书。
15、根据前述实施例中的任意一项所述的方法,该方法包括在所述用户平台接受所述认证质询的情况下,响应于所述认证质询,传送来自所述TPM的平台配置寄存器(PCR)的证明身份密钥(AIK)签名的引用和测量日志。
16、根据前述实施例中的任意一项所述的方法,其中,所述成功的权证验证包括确认所述AIK证书的时间戳、验证所述AIK证书上的PCA签名、验证所述CSK公共密钥上的AIK签名、验证所述CSK签名的预定的身份、所述CSK签名的请求的验证、所述测量日志的确认以及所述引用的验证。
17、根据前述实施例中的任意一项所述的方法,该方法包括接收加密的cookie以用于随后的服务提供方接入,该cookie由证实的签名密钥保护。
18、根据前述实施例中的任意一项所述的方法,其中,所述认证质询包括授权质询。
19、根据前述实施例中的任意一项所述的方法,该方法包括证明质询。
20、一种用于支持可信认证和接入的装置,该平台包括接口模块,被配置成使用预定的身份接入服务提供方,其中,所述装置被所述服务提供方重定向至由所述预定的身份指向的身份提供方。
21、根据实施例20所述的装置,该装置包括权证服务器,被配置成在所述认证质询被接受的情况下,通过传送基于可信平台模块(TPM)的权证来响应认证质询。
22、根据实施例20-21中任意一个所述的装置,该装置包括所述接口模块,被配置成接收来自所述身份提供方的成功的权证验证,并且接入所述服务提供方上的服务。
23、根据实施例20-22中任意一个所述的装置,其中,所述权证服务器还被配置成生成包括证实的签名密钥(CSK)签名的预定的身份、CSK签名的请求、CSK公共密钥以及隐私认证中心(PCA)发布的证明身份密钥(AIK)证书在内的权证。
24、根据实施例20-23中任意一个所述的装置,其中,所述权证服务器还被配置成获得来自所述TPM的证明身份密钥(AIK)签名的引用和测量日志。
25、根据实施例20-24中任意一个所述的装置,其中,所述权证服务器还被配置成接收随机数并生成来自所述TPM的证明身份密钥(AIK)签名的引用,其中,所述AIK签名的引用包括所述随机数。
虽然在上文中以特定组合的方式描述了特征和元素,但是每个特征或元素能够单独使用而不需要其他特征和元素,或者采用或不采用与其他特征和元素组合的方式使用。这里提供的方法或流程图可以在引入计算机可读存储介质以供通用计算机或处理器运行的计算机程序、软件或固件中实施。关于计算机可读存储介质的示例包括:只读存储器(ROM)、随机存取存储器(RAM)、寄存器、缓冲存储器、半导体存储设备、如内部硬盘和可移动磁盘之类的磁介质、磁光介质、以及如CD-ROM碟片和数字多用途光盘(DVD)之类的光介质。
举例来说,适当的处理器包括:通用处理器、专用处理器、常规处理器、数字信号处理器(DSP)、多个微处理器、与DSP核心相关联的一个或多个微处理器、控制器、微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)电路、任何其他类型的集成电路(IC)和/或状态机。
用户平台可以是任何数量的包括WTRU的平台。与软件相关联的处理器可用于实施在无线发射接收单元(WTRU)、用户设备(UE)、终端、基站、无线电网络控制器(RNC)、或是任何主计算机中使用的射频收发信机。WTRU可以与在硬件和/或软件中实施的模块结合使用,这些模块例如相机、摄像机模块、视频电话、扬声器电话、振动设备、扬声器、麦克风、电视收发信机、免提耳机、键盘、模块、调频(FM)无线电单元、液晶显示器(LCD)显示单元、有机发光二极管(OLED)显示单元、数字音乐播放器、媒体播放器、视频游戏机模块、因特网浏览器和/或任何无线局域网(WLAN)或超宽带(UWB)模块。
Claims (17)
1.一种用于来自用户平台的可信认证和接入的方法,该方法包括:
所述用户平台使用与所述用户平台的用户相关联的预定的身份登陆服务提供方,其中,所述用户平台被所述服务提供方重定向至由所述预定的身份指示的身份提供方;
所述用户平台接收来自所述身份提供方的认证质询;
经由驻在所述用户平台上的可信模块,所述用户平台获得指示由认证中心认证所述身份的证书;
在所述可信模块生成用于在所述身份提供方认证所述用户平台的权证,其中所述权证包括指示由认证中心认证所述身份的所述证书;
响应于所述认证质询,所述用户平台将所述权证传送至所述身份提供方以认证所述用户平台;
如果所述权证的验证成功,所述用户平台一旦接收指示所述权证的验证成功的状态消息则接入所述服务提供方,从而确保所述用户平台的用户合法;以及
如果所述权证的验证失败,接收与验证失败原因相关联的重定向消息。
2.根据权利要求1所述的方法,其中,所述预定的身份由通用资源标识符表示。
3.根据权利要求1所述的方法,其中,所述认证质询包括至少所述预定的身份和一类型的服务请求。
4.根据权利要求3所述的方法,该方法还包括所述用户平台生成用于对所述预定的身份和所述服务请求进行签名的证实的签名密钥。
5.根据权利要求1所述的方法,其中,所述身份密钥是证明身份密钥(AIK),该方法还包括所述用户平台接收用于与所述预定的身份相对应的所述AIK的密码,以及用于认证可信模块使用的存储根密钥密码。
6.根据权利要求1所述的方法,其中,所述身份密钥是证明身份密钥(AIK),以及其中所述证书对应于所述AIK。
7.根据权利要求6所述的方法,其中,所述用户平台在先前获得的证书不可用的情况下获得所述证书。
8.根据权利要求1所述的方法,其中,所述身份密钥是证明身份密钥(AIK),以及该方法还包括:
所述用户平台响应于从所述身份提供方接收到的所述认证质询发送肯定质询应答;
所述用户平台接收响应于从所述用户平台发送到所述身份提供方的所述肯定质询应答的随机数;以及
所述用户平台生成签名的引用,其中,所述签名的引用被所述AIK签名并且包括所述随机数。
9.根据权利要求1所述的方法,其中,所述身份密钥是证明身份密钥(AIK),以及其中所述权证还包括证实的签名密钥(CSK)签名的预定的身份、CSK签名的请求、CSK公共密钥以及所述证书,其中,所述证书是隐私认证中心(PCA)发布的AIK证书。
10.根据权利要求9所述的方法,该方法还包括在所述用户平台接受所述认证质询的情况下,响应于所述认证质询,所述用户平台传送来自所述可信模块的PCR值的签名的引用和测量日志。
11.根据权利要求10所述的方法,其中,所述成功的权证验证指示所述身份提供方确认所述证书的时间戳、验证所述证书上的认证中心的签名、验证所述CSK公共密钥上的AIK签名、验证所述CSK签名的预定的身份、验证所述CSK签名的请求、确认所述测量日志以及验证所述引用。
12.根据权利要求1所述的方法,该方法还包括所述用户平台接收加密的小型文字档案以用于随后的服务提供方接入,该小型文字档案由证实的签名密钥保护。
13.根据权利要求1所述的方法,其中,所述认证质询包括授权质询。
14.根据权利要求1所述的方法,该方法还包括所述用户平台接收证明质询。
15.根据权利要求1所述的方法,该方法还包括所述用户平台使用所述身份密钥获得所述证书。
16.根据权利要求1所述的方法,其中,所述权证由驻在所述用户平台上的所述可信模块签名。
17.根据权利要求1所述的方法,该方法还包括:
从所述可信模块接收描述所述用户平台的配置的签名的引用,所述引用由平台身份密钥签名;
响应于所述认证质询,所述用户平台在所述权证中包括所述签名的引用;
仅在所述签名的引用也验证成功时,接收所述状态信息,从而确保所述用户平台值得信赖;以及
当所述签名的引用验证失败时,接收指示所述权证的验证失败的消息,从而指示所述用户平台不值得信赖。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009801621228A CN102577301A (zh) | 2009-09-14 | 2009-09-14 | 用于可信认证和登录的方法和装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009801621228A Division CN102577301A (zh) | 2009-09-14 | 2009-09-14 | 用于可信认证和登录的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104767740A true CN104767740A (zh) | 2015-07-08 |
Family
ID=53718200
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510128690.3A Pending CN104767740A (zh) | 2009-09-14 | 2009-09-14 | 用于来自用户平台的可信认证和接入的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104767740A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017012045A1 (zh) * | 2015-07-21 | 2017-01-26 | 深圳市银信网银科技有限公司 | 电子凭证的收证方法、装置和系统 |
WO2017012046A1 (zh) * | 2015-07-21 | 2017-01-26 | 深圳市银信网银科技有限公司 | 电子凭证的收证方法和装置 |
CN110929183A (zh) * | 2018-08-31 | 2020-03-27 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置和机器可读介质 |
CN112291245A (zh) * | 2020-10-30 | 2021-01-29 | 北京华弘集成电路设计有限责任公司 | 一种身份授权方法、装置、存储介质及设备 |
US11134384B2 (en) | 2016-02-29 | 2021-09-28 | Honor Device Co., Ltd. | Access point AP authentication method, system, and related device |
CN114374559A (zh) * | 2016-06-18 | 2022-04-19 | 英特尔公司 | 用于服务器的平台证明和注册 |
CN114586315A (zh) * | 2019-08-29 | 2022-06-03 | 美国运通旅游有关服务公司 | 去中心化的数据认证 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5590199A (en) * | 1993-10-12 | 1996-12-31 | The Mitre Corporation | Electronic information network user authentication and authorization system |
US20060095526A1 (en) * | 1998-01-12 | 2006-05-04 | Levergood Thomas M | Internet server access control and monitoring systems |
CN101031939A (zh) * | 2004-10-19 | 2007-09-05 | 英特尔公司 | 在智能卡和终端之间进行安全通信的方法和设备 |
CN101452514A (zh) * | 2007-12-06 | 2009-06-10 | 中国长城计算机深圳股份有限公司 | 一种安全计算机的用户数据保护方法 |
-
2009
- 2009-09-14 CN CN201510128690.3A patent/CN104767740A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5590199A (en) * | 1993-10-12 | 1996-12-31 | The Mitre Corporation | Electronic information network user authentication and authorization system |
US20060095526A1 (en) * | 1998-01-12 | 2006-05-04 | Levergood Thomas M | Internet server access control and monitoring systems |
CN101031939A (zh) * | 2004-10-19 | 2007-09-05 | 英特尔公司 | 在智能卡和终端之间进行安全通信的方法和设备 |
CN101452514A (zh) * | 2007-12-06 | 2009-06-10 | 中国长城计算机深圳股份有限公司 | 一种安全计算机的用户数据保护方法 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017012045A1 (zh) * | 2015-07-21 | 2017-01-26 | 深圳市银信网银科技有限公司 | 电子凭证的收证方法、装置和系统 |
WO2017012046A1 (zh) * | 2015-07-21 | 2017-01-26 | 深圳市银信网银科技有限公司 | 电子凭证的收证方法和装置 |
US11134384B2 (en) | 2016-02-29 | 2021-09-28 | Honor Device Co., Ltd. | Access point AP authentication method, system, and related device |
CN114374559A (zh) * | 2016-06-18 | 2022-04-19 | 英特尔公司 | 用于服务器的平台证明和注册 |
CN110929183A (zh) * | 2018-08-31 | 2020-03-27 | 阿里巴巴集团控股有限公司 | 一种数据处理方法、装置和机器可读介质 |
CN110929183B (zh) * | 2018-08-31 | 2024-04-09 | 斑马智行网络(香港)有限公司 | 一种数据处理方法、装置和机器可读介质 |
CN114586315A (zh) * | 2019-08-29 | 2022-06-03 | 美国运通旅游有关服务公司 | 去中心化的数据认证 |
CN112291245A (zh) * | 2020-10-30 | 2021-01-29 | 北京华弘集成电路设计有限责任公司 | 一种身份授权方法、装置、存储介质及设备 |
CN112291245B (zh) * | 2020-10-30 | 2023-04-07 | 北京华弘集成电路设计有限责任公司 | 一种身份授权方法、装置、存储介质及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101563828B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
KR101434769B1 (ko) | 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치 | |
US9490984B2 (en) | Method and apparatus for trusted authentication and logon | |
CN103067399B (zh) | 无线发射/接收单元 | |
US8112787B2 (en) | System and method for securing a credential via user and server verification | |
CA2879910C (en) | Terminal identity verification and service authentication method, system and terminal | |
CN104767740A (zh) | 用于来自用户平台的可信认证和接入的方法 | |
WO2015158228A1 (zh) | 一种服务器、用户设备以及用户设备与服务器的交互方法 | |
Narendiran et al. | Performance evaluation on end-to-end security architecture for mobile banking system | |
Pampori et al. | Securely eradicating cellular dependency for e-banking applications | |
Weerasinghe et al. | Security framework for mobile banking | |
JP2017139026A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
Zhang | Secure mobile service-oriented architecture | |
JP2013236185A (ja) | 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法 | |
Yasin et al. | Enhancing anti-phishing by a robust multi-level authentication technique (EARMAT). | |
AU2015271650A1 (en) | Identity verification | |
Wang et al. | Secure authentication and authorization scheme for mobile devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20190412 |
|
AD01 | Patent right deemed abandoned |