CN110061842A - 带外远程认证 - Google Patents
带外远程认证 Download PDFInfo
- Publication number
- CN110061842A CN110061842A CN201811634374.3A CN201811634374A CN110061842A CN 110061842 A CN110061842 A CN 110061842A CN 201811634374 A CN201811634374 A CN 201811634374A CN 110061842 A CN110061842 A CN 110061842A
- Authority
- CN
- China
- Prior art keywords
- user
- voucher
- host
- service provider
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
在一个实施例中,在可信路径硬件模块与服务提供商之间经由带外通信所执行的单个用户认证事件能够使用户能够使用各服务提供商特定的强凭证透明地访问多个服务提供商。认证事件可基于多因素认证,其指示用户的实际物理存在。因此,例如,用户不需要输入不同的视网膜扫描以获得对每个服务提供商的访问权。本文中描述了其它实施例。
Description
背景技术
用户证明和认证按常规要求经由操作系统(OS)和/或软件(即,经由带内通信)输入用户凭证。例如,为了登录服务提供商(SP)的基于云的电子邮件服务,用户必须经由OS和浏览器来输入用户名和密码。但是,依靠这类密码对于保持安全计算实践可能是不充分的。
例如,经由与OS或软件模块的带内通信输入密码信息使系统暴露于安全性威胁(例如键盘记录器、中间人攻击)。甚至在理论上应该检验用户访问请求实际上来源于自然人的强密码、例如硬件或软件一次性密码(OTP)也因如何传递密码的带内性质(即,这种密码仍然易受到键盘记录器等影响)而是成问题的。此外,即使这类密码没有被截取,但是这些相同密码较弱,因为特洛伊、病毒和蠕虫可伪装成自然人并且遍布于多个端点。作为大多数密码的又一问题,人们通常无法对于他们预订的每一个因特网服务回忆唯一、长、另外强的密码。因此,为了降低回忆的负担,许多用户跨多个站点再使用同一密码。即使用户使用若干不同密码,这类密码通常也短、可预测和另外弱的,并且与上述选项同样无效。
为了增加密码的强度,身份管理服务实现多因素认证(MFA),其包括例如视网膜扫描、指纹扫描等。这类凭证是唯一的,无需由用户记住,并且一般被认为对于密码是强的。但是,在例如用户想要与多个服务提供商进行交互的现实设定中来看时,这类凭证的实际现实世界实现会成问题。
具体来说,身份管理服务通过测试服务器上—而不是客户端上—的对应MFA策略来实现MFA。因此,用户存在的证据在平台外部来建立(例如通过客户端侧的硬件令牌和/或通过向服务器转发认证细节)。这可能是因为平台本身可能没有证明能力,或者如果它具有证明能力,可信路径机制(例如可信平台模块(TPM))可能是证明能力外部的。
因此,因为用户认证的状态由服务器(而不是在客户端上)来保持,所以如果不同服务提供商(在不同的服务器上)想要知道用户的认证状态,则存在两种选项。第一,用户可能必须通过例如再次提交视网膜扫描进行重新认证。这对用户会是麻烦的,特别是在采用MFA凭证来实现时(例如,进行多次视网膜扫描)。第二,两个服务器必须联合用户的身份,并且实现后端协议以跟踪用户的认证状态。这种方式具有用户不能直接控制的保密暗示,这再次降低安全性。没有选项是最佳的。
附图说明
通过所附权利要求书、一个或多个示例实施例的以下详细描述和对应附图,本发明的实施例的特征和优点将变得显而易见,附图包括:
图1包括本发明的一个实施例中的系统。
图2包括本发明的一个实施例中的方法。
图3包括本发明的一个实施例中的方法。
图4包括与本发明的实施例配合使用的系统。
具体实施方式
在以下描述中,提出许多具体细节,但是即使没有这些具体细节也可实施本发明的实施例。没有详细示出众所周知的电路、结构和技术,以免影响对本描述的理解。“一个实施例”、“各个实施例”等表示这样描述的实施例可包括特定特征、结构或特性,但是并不一定每一个实施例都包括所述特定特征、结构或特性。一些实施例可具有部分、全部或者没有对于其它实施例所述的特征。“第一”、“第二”、“第三”等描述共同对象,并且表示涉及相似对象的不同实例。这种形容词不是暗示这样描述的对象必须按照给定顺序,无论是时间、空间上、按照等级还是按照任何其它方式。“连接”可表示元件相互进行直接物理或电接触,以及“耦合”可表示元件相互协作或者交互,但是它们可以或者可以不进行直接物理或电接触。另外,虽然相似或相同标号可在不同附图中用于标明相同或相似部件,但是这样做并不表示包括相似或相同标号的所有附图构成单个或者相同实施例。
在一个实施例中,在可信路径硬件模块与服务提供商之间经由带外通信所执行的单个用户认证事件能够使用户能够使用各服务提供商特定的强凭证透明地访问多个服务提供商。认证事件可基于多因素认证,其指示用户的实际物理存在。因此,例如,用户不需要输入不同的视网膜扫描以获得对每个服务提供商的访问权。
图1包括本发明的一个实施例中的系统100。一般来说,平台105可包括移动计算装置、膝上型、上网本、平板、个人计算机、个人数字助理、移动电话、智能电话、便携媒体播放器等。平台105可包括中央处理器(CPU)125和芯片上系统(SOC)130。
SOC 130可包括或者耦合到可信路径(TP)机制135。非限制性地例如,TP机制可包括或者实现Intel®主动管理技术(Intel®AMT),其允许远程查询、恢复和保护装置,甚至当它们被断电时。AMT允许与OS 126、应用软件110和CPU 125无关地访问平台105(即,经由带外(OOB)通信)。另外,SOC 130包括安全性机制,以确保链接平台105及其外部环境的通信是安全的。在一个实施例中,TP机制130具体可包括非限制性地例如Intel®管理引擎(ME)135,其运行AMT固件服务和应用。ME 135可以是微控制器实现系统,以实施针对与平台105的其它部分(例如存储器)进行通信、经由耦合网络从远程代理(例如,独立软件供应商(ISV)、原始设备制造商(OEM)、信息技术(IT)部门、SP等)所接收的策略。例如,系统启动(引导)策略可从OEM下载到ME 135。ME 135又相对例如可信平台模块(TPM)等中的本地用户设定凭证来评估策略。如果策略条件一致,则ME 135随后可提供对平台105的其它部分(例如存储器)的访问。关于ME 135的其它细节在非限制性地例如美国专利7603707和7930728以及“Advanced Security Design Aspects of i5 and i7 Processors (Intel® AMT):WHITE PAPER 2nd generation Intel® Core™ i5 and i7 Processors Intel® vPro™Technology Embedded Computing”(在http://download.intel.com/embedded/technology/325644.pdf以及更一般地在www.intel.com可得到)中可得到。如以上间接提到,TP机制135可包括与主机OS 126网络栈无关的TCP/IP网络栈,由此允许带外(OOB)网络连通性。
在一个实施例中,平台105包括凭证保险库(credential vault,CV)140,其还包含在TP机制135中。CV 140生成并且记住唯一的强多因素凭证。
结合图2进一步论述图1。图2包括本发明的一个实施例的方法。方法200使用单个用户认证事件来实现使用SP特定凭证(例如每个SP的唯一的强凭证)对多个SP的用户访问,以便实现与平台105的安全通信。虽然结合图1的系统100来论述图2,但是该方法的实施例并不局限于采用这种系统的实现。
在框205,经由OOB通信(例如,经由OOB信道155)向主机105认证用户,以确定用户认证状态。考虑SOC 130的OOB容量以及与OS 126的引导的随之而来的无关性,框205的用户认证可在系统启动前(即,引导前或者在完全引导OS 126之前)和/或系统启动后(即,引导后或者在完全引导OS 126之后)发生。进一步考虑OOB通信容量,认证可部分基于经由子画面(sprite)115、图形覆盖(例如被保护音频/视觉路径(PAVP)子画面)来自用户的信息输入,其实现与软件应用110和OS 126无关的OOB通信。认证信息可包括经由单元120(例如,指纹扫描仪、视网膜扫描仪、语音识别等)所输入的强多因素凭证。可与经由子画面115所输入的信息相结合或者无关地包含这种信息。实施例并不局限于使用任何特定形式的凭证或者凭证组合。
关于子画面115,在一个实施例中,主机126或者SP之一可提供PAVP子画面的位图,因此用户体验符合OS用户界面外观和感觉。这个位图可经由OOB安全信道165或170来传送,下面进一步描述。
更具体来说,关于OOB通信,使用“可信路径”机制(例如ME)(其建立人机接口装置(例如指纹扫描仪、可信键盘)与CV 140之间的安全信道)来认证用户。CV 140逻辑运行于在物理上与主机CPU、存储器和输入/输出(I/O)装置隔离的芯片组130中的微控制器上。因此,与芯片组130的通信无需“经过”OS 126或者软件110。通信而是可通过“带外”并且绕过OS126和软件110来与芯片组130直接通信。
可将用户认证装置指配给CV 140(至少暂时地),以执行可信路径用户认证。例如,PAVP是在主机105与芯片组130之间划分的资源。CV 140使用芯片组PAVP资源,以免与使用PAVP的主机105冲突。各认证装置(例如指纹扫描仪)可必须划分资源以排他地向芯片组分配分区,或者可设计允许芯片组从主机“窃取”装置并且将其“归还”的共享方案。许多人机接口装置在这点上是无状态的,因此窃取和归还没有引起程序错误。
回到图2,在框210,系统100在主机105上本地保持用户认证状态(在框205所确定),下面进一步论述其重要性。
在框215,系统100对用户透明地确定(例如生成或选择)向SP 145认证用户的凭证以及不等于SP 145的凭证的、向SP 150认证用户的其它凭证。SP 145可包括银行云服务,以及SP 150可包括电子邮件云服务。可在与托管SP 150的另一个服务器分离的服务器上托管SP 145。在一个实施例中,CV 140用来生成框210的凭证。CV 140生成并且记住唯一的强多因素凭证。TP模块135(例如ME)实现CV 140,其可由Java虚拟机(JVM)组成,其中具有由ME固件和硬件所保护的一个或多个Java小应用程序和密码密钥以及缺省保险库认证策略(下面进一步描述)。
在框220,基于在框215所生成(例如经由随机数发生器)或者所选择的凭证,系统100(对用户)透明地经由OOB通信(例如经由OOB通信信道165)向SP 145认证用户。又在框220,基于在框215所确定的凭证,系统100(对用户)透明地经由另一个OOB通信(例如经由OOB通信信道170)向SP 150认证用户。
因此,经由框205、210、215和220,方法200使用单个用户认证事件(框205)透明地实现使用SP 145和SP 150特定的凭证对多个SP(SP 145和SP 150)的用户访问。此外,考虑框205可基于指示用户的实际物理存在的认证(例如视网膜扫描),平台105可向SP 145和SP150传递用户的物理存在的证据—依靠在框205的单个视网膜扫描但无需针对SP 145和SP150的附加独立扫描。
一个实施例包括框225。在框225,系统100对用户透明地并且经由补充OOB通信向SP 145重新认证用户。例如,如果平台105与SP 145之间的安全会话最终超时,则重新认证可发生,而无需用户例如再次重新输入多因素凭证(部分基于在框205发生的初始认证)。这个重新认证更易于操控,因为在框210,用户认证状态在平台105本地存储(例如包含在TP模块135中)。
又部分由于用户认证状态在平台105上本地存储,在框230,用户能够透明地(即,无需再次要求用户的附加多因素凭证输入)访问第三SP(图1中未示出)。因此,即使第三SP没有与SP 145或者SP 150联合,用户认证也是平台105本地的,因此克服了缺乏联合。
在框235,平台105可经由带内通信、例如相应信道175、180与SP 145和SP 150安全地通信。这类信道包括例如因特网。基于方法200中的先前框,准予对因特网资源的用户访问这时能够以真实的人坐在真实认证平台后面的信任进行。
图3包括本发明的一个实施例中的方法300。该方法在框302开始,并且之后接着系统在框304重置。在框306,BIOS初始化硬件安全性模块、例如TP装置135中的ME(其可包括或者耦合到CV 140)。在框308,BIOS开始引导前认证(PBA)。在框312,PBA选择CV 140中存储的缺省MFA策略。在框314、316,用户按照框312的策略所规定的因素数量(即,该过程重复进行视网膜扫描、指纹扫描等,直到已经测试所有所需因素)进行认证。认证可使用可信路径技术、例如ME 135和AMT过程继续进行。框318基于在框314完成的测试来确定是否认证了用户。
在框320,CV 140更新用户的状态。如上所述,本地存储这种信息减少对不同服务器上托管的SP相互联合的需要。
在框322,PBA向PBA发布用户凭证。更具体来说,CV 140保持(存储)“凭证”(例如密码),其由BIOS回放以解锁硬盘驱动器(HDD)、访问锁定USB装置等。不是提示用户输入各被访问的资源(例如HDD、USB装置)的密码,CV 140而是存储所需的所有密码并且认证用户一次。这可能是基于密码的,其中用户提供的密码与保险库140向BIOS“发布”以进行实际HDD和USB装置解锁操作的密码不同。
在框324,PBA将执行传递给主机OS或VMM。在框326,主机平台105测试CV 140,以确定用户状态是否反映向主机的认证。如果不是的话,则主机可提示用户进行认证(框330),或者最终返回错误和/或中止认证。如果是的话,则向主机发布用户凭证(框332)。更具体来说,主机OS 126执行登录操作,并且可具有存储在CV 140中的应用(例如电子邮件、文件密码等)。主机应用能够编写成将密码存储在CV 140中(而不是由应用开发人员垂直集成的文件中)。框326包括确定先前是否已经认证用户的测试(例如,BIOS可能已经触发用户认证,以便解锁HDD,如针对框322所述)。如果是的话,则在OS登录时不再提示用户。而是返回保险库中的密码,而无需(再次)打扰用户。
在框334,主机可经由OOB通信信道来建立到SP的连接。因此,与一些常规方法相对照,SP没有建立回到软件110的安全通信认证信道,而是SP建立与TP模块135的OOB通信信道。在一个实施例中,TP模块135可使用第三方资源(例如VeriSign)来认证来自SP的证书,以及与SP的进一步通信可基于这个认证。
在框336,SP可从平台105请求用户的认证状态。在框338,确定是否要求证明。如果不是的话,则该过程前进到框346。如果是的话,则在框340,主机105将SP参考转发到CV140。在框342,CV 140建立与SP的安全OOB会话(例如Sigma或传输层安全性(TLS)协议)。
在框344,Sigma会话可使用安全ID向CV 140证明真实性。这种ID可包括非限制性地例如增强保密ID(EPID),其是在保存装置拥有者的保密性的同时实现硬件装置的远程认证的密码方案。在这种情况下,EPID方案中的一个公有密钥对应于多个私有密钥。在一个实施例中,EPID可以是永久嵌入TP模块135中的凭证。因此,EPID是保密敏感平台标识符,其允许SP信任平台105的授权状态,而无需还允许SP关于用户的认证状态与另一个SP合作。关于EPID的更多信息至少位于“Enhanced Privacy ID: A Remote Anonymous AttestationScheme for Hardware Devices”(发表于Intel Technology Journal,Vol. 13,Issue 2,2009)中。实施例不一定要求EPID或者另外的任何一个公有密钥/许多私有密钥方案。
更详细地关于步骤340、342、344,在向远程方(例如服务提供商)“发布”密码时,SP不知道密码是否在硬件中受到保护或者它是否暴露于主机OS中的攻击。证明是一种机制,由此ME能够向远程方证明它实际上是保护密码的硬件。框340向保险库140发送传输会话句柄(handle),其允许它开启保险库140与SP之间的Sigma会话(或者其它被保护会话)。Sigma会话可包括经签名的Diffie-Hellman密钥交换协议,其中签名使用EPID来执行。Sigma的性质在于,它包括证明信息。在一个实施例中,证明能够用于保险库环境以及保险库中包含的(一个或多个)密码。密码的哈希可在证明中提供,因此SP能够将该哈希与稍后向应用发布(例如参见框358)的实际密码进行比较。
回到方法300,在框344,CV 140的硬件证明使用EPID来实现。这至少部分基于单元135(例如ME)实现对用户的TP认证机制(例如PAVP)。它还实现到服务提供商的安全信道,并且实现用于管理用户凭证(例如密码)的安全执行环境。因此,SP能够要求TP 135实施策略以量化用户证明和认证。例如,SP能够从CPU 125要求与来自TP模块135的OTP耦合的EPID,以确保有效平台正与SP的后端服务进行通信。SP则能够要求最终用户输入有效PIN以解锁CV 140。在一个实施例中,EPID可经由附加机器185(例如服务器)、经由信道190、195来检验。
在框346,SP为用户的认证状态而测试CV 140。在框348,如果没有认证用户,则该过程可返回错误。但是,如果认证了用户,则在框350,确定SP是否具有主导MFA策略(即,要求除了CV 140中所存储的缺省MFA策略中之外或者不如其严格的因素)。如果是的话,则该方法前进到框356。否则,在框352,CV 140提示用户经由可信路径进行认证。这种信息的输入可经由TP模块135的图形覆盖能力(例如子画面115)来输入,因此模块135能够在运行于CPU 125的软件110外安全地向用户呈现数据。(该过程可经由框354重复进行,直到核对所有因素。一旦它们经过核对,则框350这时可通向框356。)因此,TP模块135能够安全地收集键盘和/或鼠标点击。一旦最终用户解锁CV 140,TP模块135能够使用唯一的强和长密码向SP重新认证。因素认证可按照主导策略、根据需要重复进行。
在框356,CV 140更新用户状态。在框358,向SP发布用户的凭证(对于SP)。这可允许正开启与万维网服务器的连接的应用(例如浏览器)为其提供密码。如果用户先前经过认证(例如在框318在BIOS或者在框328在OS登录时),则可以不重新提示用户进行认证。而是首先在框348和350检查状态。如果状态准许,则万维网服务特定的密码被“发布”并且向浏览器回放,以完成万维网登录询问。
在框360,流程继续进行到调用实体(例如浏览器),并且该方法结束。
这样,各个实施例提供带有引导前和引导后环境中可用的凭证的多因素认证的可用性,因此用户无需在引导前与引导后之间的转变期间自动重新认证。因此,用户体验因例如与重复输入和/或跟上多个认证因素和强密码关联的降低用户疲劳/挫折而得到改进。
另外,如上所述,最终用户认证事件的保护基于在芯片组/SOC和“非核心”硬件(例如不在核心中的微处理器的功能,例如ALU、FPU、L1和L2高速缓存)中实现的可信路径机制来促进。连续保护用户认证事件以及与凭证的关联,由此降低甚至在尚未认证用户时也回放有效凭证的中间浏览器攻击的威胁。
另外,涉及可信路径机制,在一些实施例中,认证状态的证明使用集成在ME中的EPID以及凭证保险库来实现,由此降低身份盗用(例如,客户端侧恶意软件假扮成合法用户)的风险。还存在ME中的凭证存储的加固,因为凭证没有暴露于包含恶意软件的CPU上运行的软件或者主机存储器。
另外,强密码的自动化和使用对用户是透明的。实施例生成强密码,其在一些实施例中不能再使用,由此降低由远程SP的内部攻击的风险。
实施例可在许多不同的系统类型中实现。现在参照图4,所示的是按照本发明的一个实施例的系统的框图。微处理器系统500是点对点互连系统,并且包括经由点对点互连550耦合的第一处理器570和第二处理器580。处理器570和580的每个可以是多核处理器,并且可包含在处理器125中,如结合图1进一步所述。术语“处理器”可表示处理来自寄存器和/或存储器的电子数据、以便将该电子数据变换为可存储在寄存器和/或存储器的其它电子数据的任何装置或者装置的一部分。第一处理器570可包括存储控制器集线器(MCH)和点对点(P-P)接口。类似地,第二处理器580可包括MCH和P-P接口。MCH将处理器耦合到相应存储器、即存储器532和存储器534,其可以是本地附连到相应处理器的主存储器(例如动态随机存取存储器(DRAM))的部分。第一处理器570和第二处理器580可分别经由P-P互连耦合到芯片组590。芯片组590可包括P-P接口,并且可包括元件SOC 130、ME或“安全性引擎”135、CV140,如结合图1进一步描述。安全性引擎可能是ME的子任务、ME的安全执行模式或者芯片组中的分立微控制器。芯片组590可包括静态RAM和闪速存储器,其对主机OS 126是“禁止入内的”,并且与输入/输出(I/O)装置进行的DMA访问隔离。此外,芯片组590可经由接口耦合到第一总线516。各种I/O装置514可连同总线桥518(其将第一总线516耦合到第二总线520)一起耦合到第一总线516。各种装置可耦合到第二总线520,在一个实施例中,包括例如键盘/鼠标522、通信装置526以及可包括代码530的、诸如磁盘驱动器或者其它大容量存储装置的数据存储单元528。此外,音频I/O 524可耦合到第二总线520。
实施例可通过代码来实现,并且可存储在非暂时存储介质上,存储介质上存储了能够用于将系统编程为执行指令的指令。存储介质可包括但不限于:任何类型的盘,包括软盘、光盘、固态驱动器(SSD)、致密光盘只读存储器(CD-ROM)、可重写光盘(CD-RW)和磁光盘;半导体装置,例如只读存储器(ROM)、例如动态随机存取存储器(DRAM)和静态随机存取存储器(SARAM)等随机存取存储器(RAM)、可擦可编程只读存储器(EPROM)、闪速存储器、电可擦可编程只读存储器(EEPROM)、磁卡或光卡;或者适合于存储电子指令的其它类型的介质。本文中可参照诸如指令、函数、过程、数据结构、应用程序、配置设定、代码等的数据来描述本发明的实施例。当数据由机器来访问时,该机器可通过下列步骤进行响应:执行任务,定义抽象数据类型,建立低级硬件上下文,和/或执行其它操作,如本文更详细描述。数据可存储在易失性和/或非易失性数据存储装置中。术语“代码”或“程序”涵盖大范围的组件和构造,包括应用、驱动程序、过程、例程、方法、模块和子程序,并且可表示指令的任何集合,其在由处理系统运行时执行预期操作或者多个操作。另外,备选实施例可包括使用少于所有所公开操作的过程、使用附加操作的过程、使用不同序列中的相同操作的过程以及其中组合、细分或者以其它方式改变本文所公开的单独操作的过程。组件或模块可根据需要来组合或分离,并且可定位在装置的一个或多个部分。
虽然针对有限数量的实施例描述了本发明,但是本领域的技术人员将会从中知道大量修改和变更。预计所附权利要求书涵盖落入本发明的真实精神和范围之内的所有这类修改和变更。
Claims (17)
1.一种包括非暂时性机器可访问存储介质的物品,所述非暂时性机器可访问存储介质包含指令,所述指令当被执行时使基于处理器的系统能够:
经由第三凭证,向基于处理器的主机认证用户,以确定用户认证状态;
经由(a)(i)所述用户认证状态、(a)(ii)不等于所述第三凭证的第一凭证、和(a)(iii)第一带外(OOB)通信,向基于处理器的第一服务提供商透明地认证所述用户;
经由(b)(i)所述用户认证状态、(b)(ii)不等于所述第一和第三凭证中的任何一个的第二凭证、和(b)(iii)第二OOB通信,向基于处理器的第二服务提供商透明地认证所述用户;
响应于与所述第一服务提供商的超时会话,以下列方式向所述第一服务提供商重新认证所述用户:(c)(i)对所述用户透明地并且经由另一个OOB通信进行,以及(c)(ii)无需向所述主机重新认证所述用户。
2.如权利要求1所述的物品,其中,向所述主机认证所述用户包括向与所述系统的操作系统(OS)OOB的凭证保险库认证所述用户。
3.如权利要求1所述的物品,包括使所述系统能够在经由所述相应第一和第二OOB通信向所述第一和第二服务提供商认证所述用户之后经由带内通信与所述第一和第二服务提供商进行通信的指令。
4.如权利要求1所述的物品,包括使所述系统能够在所述主机上的存储器中本地保持所述用户认证状态的指令。
5.如权利要求1所述的物品,其中,所述第一服务提供商由第一服务器来托管,所述第二服务提供商由第二服务器来托管,以及所述第一服务器没有与所述第二服务器联合。
6.如权利要求1所述的物品,包括使所述系统能够在所述主机完全引导之前向所述主机认证所述用户的指令。
7.如权利要求1所述的物品,包括使所述系统能够基于所述主机中的永久嵌入的凭证向所述第一和第二服务提供商两者认证所述用户的指令。
8.如权利要求1所述的物品,包括使所述系统能够经由与硬件安全性模块(HSW)的附加OOB通信向所述主机认证所述用户的指令。
9.一种方法,包括:
经由第三凭证,向基于处理器的主机认证用户,以确定用户认证状态;
经由(a)(i)所述用户认证状态、(a)(ii)不等于所述第三凭证的第一凭证、和(a)(iii)基于处理器的第一带外(OOB)通信,向基于处理器的第一服务提供商透明地认证所述用户;
经由(b)(i)所述用户认证状态、(b)(ii)不等于所述第一和第三凭证中的任何一个的第二凭证、和(b)(iii)基于处理器的第二OOB通信,向基于处理器的第二服务提供商透明地认证所述用户;
响应于与所述第一服务提供商的超时会话,以下列方式向所述第一服务提供商重新认证所述用户:(c)(i)对所述用户透明地并且经由另一个OOB通信进行,以及(c)(ii)无需向所述主机重新认证所述用户。
10.如权利要求9所述的方法,其中,向所述主机认证所述用户包括向凭证保险库认证所述用户。
11.如权利要求9所述的方法,包括:
在所述主机上本地保持所述用户认证状态;以及
使用保持在所述主机上的所述用户认证状态,向所述第一服务提供商重新认证所述用户。
12.如权利要求9所述的方法,其中,所述第一服务提供商由第一服务器来托管,所述第二服务提供商由第二服务器来托管,以及所述第一服务器没有与所述第二服务器联合。
13.如权利要求12所述的方法,包括在所述主机完全引导之前向所述主机认证所述用户。
14.一种系统,包括:
存储器;
处理器,所述处理器耦合至所述存储器,以:
经由第三凭证,向基于处理器的主机认证用户,以确定用户认证状态;
经由(a)(i)所述用户认证状态、(a)(ii)不等于所述第三凭证的第一凭证、和(a)(iii)第一带外(OOB)通信,向基于处理器的第一服务提供商透明地认证所述用户;
经由(b)(i)所述用户认证状态、(b)(ii)不等于所述第一和第三凭证中的任何一个的第二凭证、和(b)(iii)第二OOB通信,向基于处理器的第二服务提供商透明地认证所述用户;
响应于与所述第一服务提供商的超时会话,以下列方式向所述第一服务提供商重新认证所述用户:(c)(i)对所述用户透明地并且经由另一个OOB通信进行,以及(c)(ii)无需向所述主机重新认证所述用户。
15.如权利要求14所述的系统,其中,向所述主机认证所述用户包括向凭证保险库认证所述用户。
16.如权利要求14所述的系统,其中,所述用户认证状态被本地保持在所述主机上和所述存储器中。
17.如权利要求14所述的系统,其中,所述处理器在所述主机完全引导之前向所述主机认证所述用户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811634374.3A CN110061842B (zh) | 2011-09-30 | 2011-09-30 | 带外远程认证 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201180073814.2A CN103828292A (zh) | 2011-09-30 | 2011-09-30 | 带外远程认证 |
| CN201811634374.3A CN110061842B (zh) | 2011-09-30 | 2011-09-30 | 带外远程认证 |
| PCT/US2011/054176 WO2013048434A1 (en) | 2011-09-30 | 2011-09-30 | Out-of-band remote authentication |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180073814.2A Division CN103828292A (zh) | 2011-09-30 | 2011-09-30 | 带外远程认证 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110061842A true CN110061842A (zh) | 2019-07-26 |
| CN110061842B CN110061842B (zh) | 2022-06-03 |
Family
ID=47996173
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180073814.2A Pending CN103828292A (zh) | 2011-09-30 | 2011-09-30 | 带外远程认证 |
| CN201811634374.3A Active CN110061842B (zh) | 2011-09-30 | 2011-09-30 | 带外远程认证 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180073814.2A Pending CN103828292A (zh) | 2011-09-30 | 2011-09-30 | 带外远程认证 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US10250580B2 (zh) |
| EP (4) | EP4002761B1 (zh) |
| JP (1) | JP5802337B2 (zh) |
| KR (1) | KR101556069B1 (zh) |
| CN (2) | CN103828292A (zh) |
| WO (1) | WO2013048434A1 (zh) |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8312267B2 (en) | 2004-07-20 | 2012-11-13 | Time Warner Cable Inc. | Technique for securely communicating programming content |
| US8266429B2 (en) * | 2004-07-20 | 2012-09-11 | Time Warner Cable, Inc. | Technique for securely communicating and storing programming material in a trusted domain |
| US8520850B2 (en) | 2006-10-20 | 2013-08-27 | Time Warner Cable Enterprises Llc | Downloadable security and protection methods and apparatus |
| US8732854B2 (en) | 2006-11-01 | 2014-05-20 | Time Warner Cable Enterprises Llc | Methods and apparatus for premises content distribution |
| US8621540B2 (en) | 2007-01-24 | 2013-12-31 | Time Warner Cable Enterprises Llc | Apparatus and methods for provisioning in a download-enabled system |
| US9866609B2 (en) | 2009-06-08 | 2018-01-09 | Time Warner Cable Enterprises Llc | Methods and apparatus for premises content distribution |
| US9602864B2 (en) | 2009-06-08 | 2017-03-21 | Time Warner Cable Enterprises Llc | Media bridge apparatus and methods |
| US9906838B2 (en) | 2010-07-12 | 2018-02-27 | Time Warner Cable Enterprises Llc | Apparatus and methods for content delivery and message exchange across multiple content delivery networks |
| EP2645664A1 (en) * | 2012-03-30 | 2013-10-02 | Stopic, Bojan | Authentication system and method for operating an authentication system |
| ES2549104T1 (es) * | 2012-04-01 | 2015-10-23 | Authentify, Inc. | Autentificación segura en un sistema multi-parte |
| US9218462B2 (en) * | 2012-04-25 | 2015-12-22 | Hewlett Packard Enterprise Development Lp | Authentication using lights-out management credentials |
| US8862155B2 (en) | 2012-08-30 | 2014-10-14 | Time Warner Cable Enterprises Llc | Apparatus and methods for enabling location-based services within a premises |
| US9565472B2 (en) | 2012-12-10 | 2017-02-07 | Time Warner Cable Enterprises Llc | Apparatus and methods for content transfer protection |
| US9088555B2 (en) * | 2012-12-27 | 2015-07-21 | International Business Machines Corporation | Method and apparatus for server-side authentication and authorization for mobile clients without client-side application modification |
| US9230081B2 (en) | 2013-03-05 | 2016-01-05 | Intel Corporation | User authorization and presence detection in isolation from interference from and control by host central processing unit and operating system |
| US20140282786A1 (en) | 2013-03-12 | 2014-09-18 | Time Warner Cable Enterprises Llc | Methods and apparatus for providing and uploading content to personalized network storage |
| US9066153B2 (en) | 2013-03-15 | 2015-06-23 | Time Warner Cable Enterprises Llc | Apparatus and methods for multicast delivery of content in a content delivery network |
| US10368255B2 (en) | 2017-07-25 | 2019-07-30 | Time Warner Cable Enterprises Llc | Methods and apparatus for client-based dynamic control of connections to co-existing radio access networks |
| US20140337957A1 (en) * | 2013-05-07 | 2014-11-13 | Dannie Gerrit Feekes | Out-of-band authentication |
| CN105247528B (zh) | 2013-06-27 | 2018-05-18 | 英特尔公司 | 连续多因素认证 |
| US9313568B2 (en) | 2013-07-23 | 2016-04-12 | Chicago Custom Acoustics, Inc. | Custom earphone with dome in the canal |
| US10148629B1 (en) | 2013-09-23 | 2018-12-04 | Amazon Technologies, Inc. | User-friendly multifactor authentication |
| US10050787B1 (en) | 2014-03-25 | 2018-08-14 | Amazon Technologies, Inc. | Authentication objects with attestation |
| US10049202B1 (en) | 2014-03-25 | 2018-08-14 | Amazon Technologies, Inc. | Strong authentication using authentication objects |
| US9621940B2 (en) | 2014-05-29 | 2017-04-11 | Time Warner Cable Enterprises Llc | Apparatus and methods for recording, accessing, and delivering packetized content |
| US11540148B2 (en) | 2014-06-11 | 2022-12-27 | Time Warner Cable Enterprises Llc | Methods and apparatus for access point location |
| US9264419B1 (en) * | 2014-06-26 | 2016-02-16 | Amazon Technologies, Inc. | Two factor authentication with authentication objects |
| US20160087949A1 (en) * | 2014-09-24 | 2016-03-24 | Intel Corporation | Establishing secure digital relationship using symbology |
| US10028025B2 (en) | 2014-09-29 | 2018-07-17 | Time Warner Cable Enterprises Llc | Apparatus and methods for enabling presence-based and use-based services |
| US9935833B2 (en) | 2014-11-05 | 2018-04-03 | Time Warner Cable Enterprises Llc | Methods and apparatus for determining an optimized wireless interface installation configuration |
| CN104639566A (zh) * | 2015-03-10 | 2015-05-20 | 四川省宁潮科技有限公司 | 基于带外身份认证的交易授权方法 |
| US9807610B2 (en) * | 2015-03-26 | 2017-10-31 | Intel Corporation | Method and apparatus for seamless out-of-band authentication |
| US10073964B2 (en) | 2015-09-25 | 2018-09-11 | Intel Corporation | Secure authentication protocol systems and methods |
| US9986578B2 (en) | 2015-12-04 | 2018-05-29 | Time Warner Cable Enterprises Llc | Apparatus and methods for selective data network access |
| US11831654B2 (en) * | 2015-12-22 | 2023-11-28 | Mcafee, Llc | Secure over-the-air updates |
| US9918345B2 (en) | 2016-01-20 | 2018-03-13 | Time Warner Cable Enterprises Llc | Apparatus and method for wireless network services in moving vehicles |
| US10492034B2 (en) | 2016-03-07 | 2019-11-26 | Time Warner Cable Enterprises Llc | Apparatus and methods for dynamic open-access networks |
| US10586023B2 (en) | 2016-04-21 | 2020-03-10 | Time Warner Cable Enterprises Llc | Methods and apparatus for secondary content management and fraud prevention |
| US10164858B2 (en) | 2016-06-15 | 2018-12-25 | Time Warner Cable Enterprises Llc | Apparatus and methods for monitoring and diagnosing a wireless network |
| US10440003B2 (en) * | 2016-09-14 | 2019-10-08 | Kasisto, Inc. | Automatic on demand re-authentication of software agents |
| US10355916B2 (en) * | 2016-09-27 | 2019-07-16 | Mcafee, Llc | Survivable networks that use opportunistic devices to offload services |
| US10645547B2 (en) | 2017-06-02 | 2020-05-05 | Charter Communications Operating, Llc | Apparatus and methods for providing wireless service in a venue |
| US10638361B2 (en) | 2017-06-06 | 2020-04-28 | Charter Communications Operating, Llc | Methods and apparatus for dynamic control of connections to co-existing radio access networks |
| US11489833B2 (en) * | 2019-01-31 | 2022-11-01 | Slack Technologies, Llc | Methods, systems, and apparatuses for improved multi-factor authentication in a multi-app communication system |
| JP7395938B2 (ja) * | 2019-10-09 | 2023-12-12 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置、情報処理システム及びプログラム |
| US20240143731A1 (en) * | 2022-10-27 | 2024-05-02 | Dell Products L.P. | Last resort safe schema |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003073242A1 (en) * | 2002-02-28 | 2003-09-04 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling user identities under single sign-on services |
| US20090259848A1 (en) * | 2004-07-15 | 2009-10-15 | Williams Jeffrey B | Out of band system and method for authentication |
| US7793342B1 (en) * | 2002-10-15 | 2010-09-07 | Novell, Inc. | Single sign-on with basic authentication for a transparent proxy |
| US20110078799A1 (en) * | 2009-09-25 | 2011-03-31 | Sahita Ravi L | Computer system and method with anti-malware |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10140596B2 (en) * | 2004-07-16 | 2018-11-27 | Bryan S. M. Chua | Third party authentication of an electronic transaction |
| US7603707B2 (en) | 2005-06-30 | 2009-10-13 | Intel Corporation | Tamper-aware virtual TPM |
| US7930728B2 (en) | 2006-01-06 | 2011-04-19 | Intel Corporation | Mechanism to support rights management in a pre-operating system environment |
| US8051179B2 (en) * | 2006-02-01 | 2011-11-01 | Oracle America, Inc. | Distributed session failover |
| US8607310B2 (en) * | 2006-04-17 | 2013-12-10 | Raritan Americas, Inc. | Association of in-band and out-of-band identification credentials of a target device |
| JP4882546B2 (ja) * | 2006-06-28 | 2012-02-22 | 富士ゼロックス株式会社 | 情報処理システムおよび制御プログラム |
| TWI470989B (zh) * | 2006-08-22 | 2015-01-21 | Interdigital Tech Corp | 在應用及網際網路為基礎服務上提供信任單一登入存取方法及裝置 |
| DE102007012749A1 (de) * | 2007-03-16 | 2008-09-18 | Siemens Ag | Verfahren und System zur Bereitstellung von Diensten für Endgeräte |
| US8078873B2 (en) | 2008-06-30 | 2011-12-13 | Intel Corporation | Two-way authentication between two communication endpoints using a one-way out-of-band (OOB) channel |
| JP5540119B2 (ja) * | 2010-02-09 | 2014-07-02 | インターデイジタル パテント ホールディングス インコーポレイテッド | トラステッド連合アイデンティティのための方法および装置 |
| CN102195930B (zh) | 2010-03-02 | 2014-12-10 | 华为技术有限公司 | 设备间安全接入方法和通信设备 |
| US20110252153A1 (en) * | 2010-04-09 | 2011-10-13 | Zvi Vlodavsky | Securely providing session key information for user consent to remote management of a computer device |
| US8645677B2 (en) * | 2011-09-28 | 2014-02-04 | Intel Corporation | Secure remote credential provisioning |
-
2011
- 2011-09-30 CN CN201180073814.2A patent/CN103828292A/zh active Pending
- 2011-09-30 EP EP22151567.9A patent/EP4002761B1/en active Active
- 2011-09-30 EP EP11873252.8A patent/EP2761805B1/en active Active
- 2011-09-30 EP EP20172461.4A patent/EP3706363B1/en active Active
- 2011-09-30 US US13/976,063 patent/US10250580B2/en active Active
- 2011-09-30 EP EP19202135.0A patent/EP3611874B1/en active Active
- 2011-09-30 WO PCT/US2011/054176 patent/WO2013048434A1/en active Application Filing
- 2011-09-30 CN CN201811634374.3A patent/CN110061842B/zh active Active
- 2011-09-30 KR KR1020147008347A patent/KR101556069B1/ko active IP Right Grant
- 2011-09-30 JP JP2014533266A patent/JP5802337B2/ja active Active
-
2019
- 2019-02-26 US US16/286,102 patent/US10659448B2/en active Active
-
2020
- 2020-05-12 US US16/872,637 patent/US11258605B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003073242A1 (en) * | 2002-02-28 | 2003-09-04 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for handling user identities under single sign-on services |
| US7793342B1 (en) * | 2002-10-15 | 2010-09-07 | Novell, Inc. | Single sign-on with basic authentication for a transparent proxy |
| US20090259848A1 (en) * | 2004-07-15 | 2009-10-15 | Williams Jeffrey B | Out of band system and method for authentication |
| US20110078799A1 (en) * | 2009-09-25 | 2011-03-31 | Sahita Ravi L | Computer system and method with anti-malware |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3706363B1 (en) | 2022-03-16 |
| WO2013048434A1 (en) | 2013-04-04 |
| EP4002761B1 (en) | 2023-11-15 |
| KR101556069B1 (ko) | 2015-10-15 |
| US10659448B2 (en) | 2020-05-19 |
| US20130347089A1 (en) | 2013-12-26 |
| JP2014531683A (ja) | 2014-11-27 |
| US10250580B2 (en) | 2019-04-02 |
| EP3706363A1 (en) | 2020-09-09 |
| CN103828292A (zh) | 2014-05-28 |
| EP2761805B1 (en) | 2020-05-06 |
| EP2761805A4 (en) | 2015-06-24 |
| EP4002761A1 (en) | 2022-05-25 |
| EP2761805A1 (en) | 2014-08-06 |
| KR20140054395A (ko) | 2014-05-08 |
| US11258605B2 (en) | 2022-02-22 |
| JP5802337B2 (ja) | 2015-10-28 |
| US20200274864A1 (en) | 2020-08-27 |
| EP3611874A1 (en) | 2020-02-19 |
| CN110061842B (zh) | 2022-06-03 |
| US20190297067A1 (en) | 2019-09-26 |
| EP3611874B1 (en) | 2022-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110061842A (zh) | 带外远程认证 | |
| England et al. | A trusted open platform | |
| Anakath et al. | Privacy preserving multi factor authentication using trust management | |
| JP6530049B2 (ja) | ホスト型認証サービスを実装するためのシステム及び方法 | |
| CN110768791B (zh) | 一种零知识证明的数据交互方法、节点、设备 | |
| US20170288873A1 (en) | Network Authentication Of Multiple Profile Accesses From A Single Remote Device | |
| CN101771689A (zh) | 通过管理性引擎进行企业网单点登录的方法和系统 | |
| CN106716957A (zh) | 高效且可靠的认证 | |
| US20170289153A1 (en) | Secure archival and recovery of multifactor authentication templates | |
| Xin et al. | Property-based remote attestation oriented to cloud computing | |
| KR101769861B1 (ko) | 패스워드 노출 없는 hsm 스마트 카드를 이용한 사용자 바이오 인증 방법 및 시스템 | |
| CN109076337B (zh) | 用于用户与移动终端设备和另一个实体的安全交互方法 | |
| Kamal et al. | Secure Mobile ID Architecture on Android Devices based on Trust Zone | |
| Khalili | Design and Implementation of a Blockchain-based Global Authentication System Using Biometrics and Subscriber Identification Module | |
| Stumpf et al. | Towards secure e-commerce based on virtualization and attestation techniques | |
| Rosa | The Decline and Dawn of Two-Factor Authentication on Smart Phones | |
| Agarwal | A Trusted-Hardware Backed Secure Payments Platform for Android | |
| Khattak et al. | Proof of concept implementation of trustworthy mutual attestation architecture for true single sign-on | |
| Dawei et al. | Protocol for trusted channel based on portable trusted module | |
| Merrill | Detecting and Correcting Client-Side Ballot Manipulation in Internet Voting Systems | |
| Vossaert et al. | Client-side biometric verification based on trusted computing | |
| Uzunay | Increasing trustworthiness of security critical applications using trusted computing | |
| Jang et al. | User authentication for online applications using a usb-based trust device | |
| Khan et al. | A trustworthy identity management architecture for e-government processes in Pakistan |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |