CN1881879A - 用于验证用户的公钥框架和方法 - Google Patents

用于验证用户的公钥框架和方法 Download PDF

Info

Publication number
CN1881879A
CN1881879A CNA2006100912756A CN200610091275A CN1881879A CN 1881879 A CN1881879 A CN 1881879A CN A2006100912756 A CNA2006100912756 A CN A2006100912756A CN 200610091275 A CN200610091275 A CN 200610091275A CN 1881879 A CN1881879 A CN 1881879A
Authority
CN
China
Prior art keywords
user
trust
certificate
data repository
voucher
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2006100912756A
Other languages
English (en)
Other versions
CN1881879B (zh
Inventor
戴维·卡乔夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN1881879A publication Critical patent/CN1881879A/zh
Application granted granted Critical
Publication of CN1881879B publication Critical patent/CN1881879B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

一种用于允许信赖方充当信任锚以便验证预订者的公钥(PK)框架。所述框架提供了一种受控于信赖方的目录系统,其中所述目录系统包括:用于在数据库中存储从预订者那里接收的证书的存储系统,其中所述证书是由多个不同的证书授权方发布的;用于管理与预订者相关联的数据库中的记录的管理系统;以及用于允许信赖方从数据库中检取证书以便验证预订者的确认系统。

Description

用于验证用户的公钥框架和方法
技术领域
本发明总体上涉及数字安全,更具体地说,涉及一种其中信赖方控制信任锚(trust anchor)的公钥技术框架(framework)。
背景技术
PKI(公钥基础设施)允许诸如因特网之类的基本上不安全的公共网络的用户通过使用公共和私有密钥对来安全地并且私下地交换数据和执行事务处理,其中所述公钥是经由信任的证书授权方(Certificate Authority)来获得并且共享的。通过使用公钥基础设施,用户可以被唯一地验证。证书授权方使用证书数据存储库(repository),其通常是LDAP(轻型目录访问协议,LightweightDirectory Access Protocol)目录,用于存储用户证书和有关已撤消的证书的信息。
在传统的PKI模型中,通常使用两个因素的验证方案,其中,用户使用:(1)由信任的证书授权方(CA)发布的私钥/证书,以及(2)由信赖方发布的用户ID(UID)/密码。这种处理的典型实施例包括如下步骤:
1.信赖方向用户询问用户的UID和密码;
2.用户利用所述UID和密码来作出响应;
3.信赖方相对于安全地存储在凭证(credentials)数据库中的信息来检验给出的UID和密码。
4.使用私钥和相应的证书在SSL上向信赖方验证用户;
5.信赖方万维网(web)服务器检验如下信息:
a.证书没有到期,
b.证书由信任的发布CA签名,
c.根据证书撤销列表(Certificate Revocation List,CRL)分析(其中所述CRL是由发布CA创建并且控制的),证书没有被撤消。
传统的PKI模型把发布方CA视为信任锚(trust anchor)。这意味着信赖方期望CA创建合法的证书,所述合法的证书用于把与预订者(subscriber)(最终用户)有关的信息与一公钥唯一地绑定。所述模型还期望CA检验预订者的身份并且检验在CA发布证书之前、预订者的私钥被安全地生成并存储。在传统的PKI中,信赖方无论在何种情况下都明确地信任CA。
在分布式多域PKI模型中,存在多个CA,他们之间建立有信任关系(分级结构、交叉证明、网格等)。在证书确认(validation)期间,允许PKI的(PKI-enabled)应用首先必须尝试发现信任路径,所述信任路径可到达作为信任锚的CA级别,然后必须通过检查由信任的CA发布的CRL/ARL(Authority Revocation List,授权方撤销列表)来检验证书撤销状态。在一般情况下,信赖方必须知道每个CA的CRL/ARL的位置、格式和访问。如果存在许多CA,并且如果证书是自己签名的,那么这样做会带来相当大的难题。
这些难题中的一些包括如下事实:(1)预订者需要使用公钥技术由信赖方进行安全验证;(2)预订者可以使用由任何CA发布的证书,所述CA可以是信任的或者是不信任的;并且(3)预订者证书可以是自己签名的(例如使用PGP、OpenSSL或者其它专有应用来进行)。
传统的PKI模型无法有效地满足这些要求,是因为:(1)信赖方认为发布CA不值得信任(在信任锚的意义上讲),并且发布CA之间也许没有定义任何信任关系;(2)在相同的环境下,自己签名的和CA签名的证书无法被轻易接纳;并且(3)由于CA不被信赖方所信任,所以信赖方无法使用它们来进行证书撤销状态确认。
由此,在不同种类的复杂的大规模PKI的情况下,其中该大规模PKI包括自己签名的证书和其数目可能不可预测并且随着时间变化的独立CA,传统的PKI模型无法提供一致的信任级别,并且无法把那些CA以及自己签名的证书用作信任锚。因此,存在对这样一种PKI模型的需要,所述PKI模型可以有效地处理多个CA以及自己签名的证书。
发明内容
本发明通过提供一种公钥技术框架来致力于解决上述问题以及其它问题,其中所述公钥技术框架是基于对由信赖方控制的信任锚的定义的。在此模型中,信赖方安全地把已注册用户与相应的用户证书相绑定。用户证书被存储在用户凭证存储库中,所述用户凭证存储库由信赖方控制。此框架中的预订者负责其私钥的安全性并且获得证书(类似于传统的PKI)。然而,信赖方负责检验预订者的身份,并且依照信赖方的用户帐户规定策略、标准、规则和过程来进行预订者帐户生命周期管理(对用户给出的证书进行注册、悬置(suspend)、删除、更新等)。
依照第一方面,本发明提供了一种具有信赖方用户验证系统的公钥(PK)框架,所述信赖方用户验证系统用于允许信赖方验证用户,其中所述PK框架把用户证书置于信赖方的控制之下,并且其中所述信赖方用户验证系统包括:用于在用户凭证数据存储库中存储从用户那里接收的证书的存储系统,其中所述证书是由多个不同的证书授权方发布的;用于管理与用户相关联的用户凭证数据存储库中的记录的管理系统;以及用于允许信赖方从用户凭证数据存储库中检取(retrieve)证书以便验证用户的确认系统。
依照第二方面,本发明提供了一种用于使用公钥基础设施(PKI)凭证来验证用户的信赖方验证服务器,其中所述信赖方验证服务器包括多个用于验证用户的信任锚,并且其中所述信任锚包括:包含信任的证书授权方证书的密钥库(key store);已注册证书目录;以及定制的万维网服务用户凭证检验应用(custom web services usercredentials verification application)。
依照第三方面,本发明提供了一种允许信赖方在公钥(PK)框架内验证用户的方法,其中用户凭证受到信赖方的控制,所述方法包括:提供受控于信赖方的用户凭证数据存储库;在用户凭证数据存储库中存储从用户那里接收的证书,其中所述证书是由多个不同的证书授权方发布的;在信赖方处接收验证用户的请求;并且从用户凭证数据存储库中检取证书以便验证用户。
依照第四方面,本发明提供了一种用于使用公钥基础设施(PKI)凭证来验证用户的方法,包括如下步骤:在信赖方验证服务器处接收验证用户的请求;并且从多个信任锚中选择至少一个信任锚来验证所述用户,其中用于验证预订者的多个信任锚包括:包含信任的证书授权方证书的密钥库(key store);已注册证书目录;以及定制的万维网服务用户凭证检验应用。
依照第五方面,本发明提供了一种用于利用信赖方用户验证应用的方法,其中用户凭证受到信赖方的控制,所述方法包括:提供计算机基础设施,其可操作用于:在受控于信赖方的用户凭证数据存储库中存储从用户那里接收的证书,其中所述证书是由多个不同的证书授权方发布的;管理与信赖方相关联的用户凭证数据存储库中的记录;并且允许信赖方从所述用户凭证数据存储库中检取证书以便验证用户。
附图说明
根据如下结合附图对本发明各个方面的详细描述,将使本发明的这些以及其它特征更加易于理解,其中:
图1描述了一种依照本发明的PK技术框架。
图2描述了一种依照本发明的目录系统。
图3描述了依照本发明的具有多个信任锚选项的混合系统。
具体实施方式
公钥框架概述
在本发明的第一实施例中,提供了这样一种框架,其中信赖方使用与用户凭证数据存储库相关联的信任的实体目录(Trusted EntitiesDirectory,TED),其包含作为信任锚的已注册的实体。所述用户凭证数据存储库存储与信赖方相关联的每个用户的证书。在此说明性的实施例中,被称为预订者的用户预订由信赖方提供的服务。除在用户凭证数据存储库中存储证书以外,还可以保存预订者记录,其包括诸如预订者状态之类的管理信息,所述预订者状态例如为已添加、已注册、已删除等。
为了确保安全,使用用户注册处理把证书安全地递送到用户凭证数据存储库,其中用户注册处理提供了绑定步骤。可以使用例如采用相互验证的安全套接字层(secure sockets layer,SSL),由信赖的应用来验证预订者,并且可以通过使用相应的TED记录信息,由信赖的应用来确认预订者的状态。
此方法与使用密码进行用户验证相似,但是在该情况下,使用了非对称的密钥密码技术,而不需要存储基于密码的安全信息。存储在TED中的证书是可公开得到的。由此,虽然需要在TED中保护它们以免被未被授权的替代或者删除,但是它们不需要被加密。这样做较大地限制了信赖方对受损用户凭证的责任。
每一预订者的私钥都是在预订者的完全控制下进行维护的,并且由此应当永远不会放弃预订者的所有权。预订者可以使用任何媒介(例如,令牌、智能卡、浏览器等)来存储其PKI凭证。由于发布CA没有被视为信任锚,所以此框架不要求检查证书撤销或者期满状态,除非信赖方决定使用组合方法。
现在参考图1,示出了依照本发明的公钥技术框架10的说明性实施例。在此例子中,预订者15和17接收分别来自证书授权方12CA1和CA2的证书14、16。预订者19具有自己签名的证书18。因此,每一证书14、16、18的来源是唯一的。在此框架中,每一个预订者15、17、19都把其证书14、16、18传送至信任的实体目录(TED)系统24,该系统由信赖方22控制。为了此实施例的目的,术语“控制”指的是信赖方22对TED系统24中的信息具有排他性的存储、管理和访问权利。TED系统24包括用户凭证数据存储库25,用于存储并且管理证书和预订者记录。在此实施例中,证书到用户凭证数据存储库25中的传送最好在是安全信道20上(例如,使用采用单向服务器验证的SSL等)执行的。传送可以在例如当预订者预订由信赖方提供的服务时执行。例如,信赖方22可以提供在线零售,并且预订者可以是客户。当预订者例如在信赖方的网站上向信赖方22注册时,可以从预订者那里传送证书并且将其存储在用户凭证数据存储库25中。
当信赖方22需要检验预订者15时,信赖方22:(1)获得预订者15的数字签名28(例如,采用预订者的私钥加密的消息摘要(digest)),(2)访问用户凭证数据存储库25,以便获得预订者15的公钥,并且(3)解密数字签名28,以便检验预订者15。
现在参考图2,示出了用于实现信任的实体目录系统24的计算机系统30,其充当所述框架的信任锚。信任的实体目录系统24通常包括用于在数据库41中存储证书的存储系统40,用于管理证书和预订者帐户信息的管理系统42,以及用于从数据库41中搜索并且检取证书的确认系统44。存储系统40允许预订者将其证书安全地递送至数据库41的预订者记录中。如上所述,每一预订者记录可以包括管理信息,其诸如为预订者状态(已添加、已注册、已删除等)。管理系统42允许信赖方22和/或预订者管理其预订者记录。
计算机系统30可以作为服务器的一部分来实现。计算机系统30通常包括处理器32、输入/输出(I/O)34、存储器36以及总线37。所述处理器32可以包括单个处理单元,或者可以跨越一个或多个处理单元而分布在一个或多个位置、例如客户端和服务器上。存储器36可以包括任何已知类型的数据存储和/或传输介质,包括磁性介质、光学介质、随机存取存储器(RAM)、只读存储器(ROM)、数据高速缓冲存储器、数据对象等。此外,存储器36可以驻留在单个物理位置上,包括一种或多种类型的数据存储设备,或者依照各种形式跨越多个物理系统分布。
I/O 34可以包括用于往返于外部资源交换信息的任何系统。外部设备/资源可以包括任何已知类型的外部设备,其中包括监视器/显示器、扬声器、存储设备、其它计算机系统,手持设备、键盘、鼠标、语音识别系统、语音输出系统、打印机、传真机、寻呼机等。总线37在计算机系统30中的每一组件之间提供了通信链路,并且同样可以包括任何已知类型的传输链路,其中包括电的、光学的、无线的等。虽然未示出,但是还可以把诸如高速缓冲存储器、通信系统、系统软件等之类的附加组件包括在计算机系统30中。
对计算机系统30的访问可以在诸如因特网、局域网(LAN)、广域网(WAN)、虚拟专用网络(VPN)等的网络上提供。通信可以经由直接硬布线的连接(例如,串行端口)来进行,或者经由可以利用有线线路和/或无线传输方法的任何组合的可寻址连接来进行。此外,还可以使用诸如令牌环网(Token Ring)、以太网、WiFi或者其它常规通信标准的常规网络连接性。另外,可以通过常规的基于TCP/IP套接字的协议来提供连接性。在这种情况下,因特网服务供应商可用于建立互连性。此外,如上所述,可以在客户端-服务器或者服务器-服务器环境下进行通信。
混合信任锚
在某些应用中,希望实现一种使用多叉(mutli-pronged)方法来验证预订者的信任锚。依照此方式,验证服务器可以被配置为使用多种可能方法中的一种来进行验证。现有的SSL/TLS协议(参见RFC2246)要求服务器检验为了进行验证而给出的客户端证书是由信任的CA签名的。为了实现它,服务器通常在服务器的密钥库中存储信任的CA证书的列表。除了检验CA签名是可靠的以外,服务器还可以被配置为检查与CA有关的证书撤销列表(CRL)以便确认客户端证书撤销状态。
在RFC 2246中规定的TLS实现方式假定签名CA证书(或者相应的CA链)是可用于客户端验证的唯一信任锚。本实施例允许服务器使用信赖方专用信任锚,在通常情况下,其不同于签名CA以及相应的CRL。它允许企业用自己签名的证书或者由具有不一致的信任、法律地位、经营范围以及技术实现方式级别的不同CA发布的证书来验证用户。
依照本发明的此说明性的实施例,所述TLS协议被修改为包括信赖方专用信任锚信息。它可以是在RFC 2246中略述的签名CA或者CA链,或者是专用于特殊信任锚实现方式的协议数据。例如,信赖方客户端的验证设计可以基于对自己签名的证书或者由不同CA发布的证书的使用。在此特殊实例中,可以把已注册用户的证书存储在数据存储库中,并且可被信赖方视为是值得信任的(例如,如以上在图1和2中所述那样)。通过使用受托方(depository)专用协议(例如,LDAP、SQL、HTTPS、SOAP等),可以相对于此数据存储库来确认客户端证书的信任和撤销状态。
所提供的方法包括如下用户验证选项:
1.信赖方验证服务器接收来自用户的验证证书(经由数字签名)。
2.基于信赖方信任锚实现方式,所述验证服务器执行下述操作之一:
a.检验所述用户证书是由在服务器的信任的CA证书库(store)中公布的信任的CA签名的(基于RFC 2246的方法);或者
b.相对于已注册用户证书的LDAP目录56(备选的信任锚)或者某个其它数据存储库58来检查证书;和/或
c.使用万维网服务机制把接收的证书发送至指定的远程万维网应用(备选的信任锚)以便进行检验。
图3描述了用于实现混合信任锚的说明性的实施例。在该情况下,当预订者50向信赖方验证服务器52提交SSL证书62时,信赖方验证服务器52可以使用一个或多个用于验证预订者50的机制。选项包括:使用信任的CA证书库54(诸如EQUIFAXTM、GTETM、MICROSOFTTM、VERISIGNTM等),使用已注册证书的LDAP(轻型目录访问协议)目录56,或者使用其它用于提供已注册证书的凭证数据库58的数据库技术(例如,使用诸如JDBC(Java DataBaseConnectivity,Java数据库连接性)、ODBC(Open DataBaseConnectivity,开放式数据库连接性)、SQL(Structured QueryLanguage,结构化查询语言)、所存储的过程等之类的访问协议),或者例如使用HTTP/SOAP万维网服务实现的定制的万维网服务信任锚应用60。
此方法识别各种可由信赖方使用的信任锚,以便当用户验证证书是自己签名的或者是由任意CA签名的时、更加有效地满足各种验证要求。此方法允许信赖方实现集中化的信任锚模型,其可以跨越分布式大规模企业环境而被有效地管理。
应该理解的是,本发明的教义是作为在预订或者付费基础上的商业方法而提供的。例如,信任的实体目录系统或者混合系统可以由服务供应商来创建、维护、和/或利用,所述服务供应商为客户提供此处所述的功能。也就是说,服务供应商可以如上所述提供信任锚服务。
应该理解的是,此处所述的系统、功能、机制、方法、引擎和模块可以以硬件、软件或者硬件和软件的组合实现。它们可以通过任何类型的计算机系统或者其它适合于执行此处所述的方法的设备来实现。硬件和软件的典型组合可以是具有计算机程序的通用计算机系统,当载入并且执行所述计算机程序时,该程序控制所述计算机系统,以使其执行此处所述的方法。作为选择,还可以利用包含用于执行本发明的一个或多个功能任务的专用硬件的专用计算机。在进一步的实施例中,本发明的一部分例如可以在诸如因特网之类的网络上依照分布式方式来实现。
本发明还可以被嵌入在计算机程序产品中,其包括能够实现此处所述的方法和功能的所有特征,并且当将其载入计算机系统时,其能够执行这些方法和功能。在这个上下文中,诸如计算机程序、软件程序、程序、程序产品、软件等之类的术语,指的是以任何语言、代码或符号的、这样一组指令的任何表示,所述指令意在使具有信息处理能力的系统直接地或者在进行如下步骤中任何一个步骤或两个步骤之后执行特殊的功能,所述步骤包括:(a)转换为另一种语言、代码或符号;和/或(b)以不同材料形式再现。
为了举例说明和描述的目的,已经给出了本发明的先前描述。这并不意味着是穷举的或者把本发明限制为所公开的具体形式,并且显然,许多修改和变化都是可能的。意图使对于本领域技术人员来说显而易见的这种修改和变化被包括在本发明的范围之内,其中本发明的范围由所附权利要求书来限定。

Claims (20)

1.一种具有用于允许信赖方验证用户的信赖方用户验证系统的公钥(PK)框架,其中所述PK框架把用户凭证置于所述信赖方的控制之下,并且其中所述信赖方用户验证系统包括:
存储系统,用于在用户凭证数据存储库中存储从用户那里接收的证书,其中所述证书是由多个不同的证书授权方发布的;
管理系统,用于管理与用户相关联的用户凭证数据存储库中的记录;以及
确认系统,用于允许信赖方从用户凭证数据存储库中检取证书以便验证用户。
2.如权利要求1所述的PK框架,其中存储在所述用户凭证数据存储库中的证书包括自己签名的证书。
3.如权利要求1所述的PK框架,其中从用户那里接收的证书是经由安全信道接收的。
4.如权利要求1所述的PK框架,其中所述用户预订由信赖方提供的服务。
5.一种用于使用公钥基础设施(PKI)凭证来验证用户的信赖方验证服务器,其中所述信赖方验证服务器包括多个用于验证用户的信任锚,并且其中所述信任锚包括:
包含信任的证书授权方证书的密钥库;
已注册证书目录;以及
定制的万维网服务用户凭证检验应用。
6.如权利要求5所述的信赖方验证服务器,其中所述信赖方验证服务器还包括选择机制,用于从多个信任锚中选择至少一个信任锚来验证用户。
7.如权利要求5所述的信赖方验证服务器,其中把已注册证书目录与用户凭证数据存储库相链接,其中所述用户凭证数据存储库是使用从这样的一个组中选出的访问协议来实现的,其中所述组包括:JDBC(Java数据库连接性)、ODBC(开放式数据库连接性)、SQL(结构化查询语言)和LDAP(轻型目录访问协议)目录。
8.如权利要求5所述的信赖方验证服务器,还包括:
用户凭证数据存储库,用于存储从用户那里接收的证书,其中所述证书是由多个不同的证书授权方发布的;
管理系统,用于管理与用户相关联的用户凭证数据存储库中的记录;以及
确认系统,用于允许信赖方从用户凭证数据存储库中检取证书以便验证用户。
9.如权利要求5所述的信赖方验证服务器,其中所述用户预订由信赖方提供的服务。
10.一种用于允许信赖方在公钥(PK)框架内验证用户的方法,其中所述用户凭证受到信赖方的控制,所述方法包括:
提供受控于信赖方的用户凭证数据存储库;
在用户凭证数据存储库中存储从用户那里接收的证书,其中所述证书是由多个不同的证书授权方发布的;
在信赖方处接收验证用户的请求;并且
从用户凭证数据存储库中检取证书以便验证用户。
11.如权利要求10所述的方法,还包括如下步骤:允许信赖方管理与用户相关联的用户凭证数据存储库中的记录。
12.如权利要求10所述的方法,其中存储在所述用户凭证数据存储库中的证书包括自己签名的证书。
13.如权利要求10所述的方法,其中从用户那里接收的证书是经由安全信道接收的。
14.如权利要求10所述的方法,其中所述用户预订由信赖方提供的服务。
15.一种用于使用公钥基础设施(PKI)凭证来验证用户的方法,包括如下步骤:
在信赖方验证服务器处接收验证用户的请求;并且
从多个信任锚中选择至少一个信任锚来验证所述用户,其中用于验证预订者的多个信任锚包括:
包含信任的证书授权方证书的密钥库;
已注册证书目录;以及
定制的万维网服务用户凭证检验应用。
16.如权利要求15所述的方法,其中已注册证书目录包括LDAP目录。
17.如权利要求15所述的方法,其中已注册证书目录包括使用从这样的一个组中选出的访问协议的数据库,其中所述组包括:JDBC(Java数据库连接性)、ODBC(开放式数据库连接性)和SQL(结构化查询语言)。
18.如权利要求17所述的方法,其中所述用户预订由信赖方提供的服务。
19.一种用于利用信赖方用户验证应用的方法,其中用户凭证受到信赖方的控制,所述方法包括:
提供计算机基础设施,其可操作用于:
在受控于信赖方的用户凭证数据存储库中存储从用户那里接收的证书,其中所述证书是由多个不同的证书授权方发布的;
管理与信赖方相关联的用户凭证数据存储库中的记录;并且
允许信赖方从所述用户凭证数据存储库中检取证书以便验证用户。
20.如权利要求15所述的方法,其中所述信赖方用户验证应用还可操作用于:
接收验证用户的请求;并且
从多个信任锚中选择至少一个信任锚来验证用户,其中用于验证用户的多个信任锚包括:
包含信任的证书授权方证书的密钥库;
已注册证书目录;以及
定制的万维网服务用户凭证检验应用。
CN2006100912756A 2005-06-08 2006-06-08 用于验证用户的公钥框架和方法 Expired - Fee Related CN1881879B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/148,772 2005-06-08
US11/148,772 US7844816B2 (en) 2005-06-08 2005-06-08 Relying party trust anchor based public key technology framework

Publications (2)

Publication Number Publication Date
CN1881879A true CN1881879A (zh) 2006-12-20
CN1881879B CN1881879B (zh) 2011-04-06

Family

ID=37519870

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2006100912756A Expired - Fee Related CN1881879B (zh) 2005-06-08 2006-06-08 用于验证用户的公钥框架和方法

Country Status (2)

Country Link
US (1) US7844816B2 (zh)
CN (1) CN1881879B (zh)

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006277186A (ja) * 2005-03-29 2006-10-12 Fujitsu Ltd 分散計算機管理プログラム、分散計算機管理装置、分散計算機管理方法
US8104074B2 (en) 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
US8117459B2 (en) * 2006-02-24 2012-02-14 Microsoft Corporation Personal identification information schemas
US8078880B2 (en) * 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US8087072B2 (en) 2007-01-18 2011-12-27 Microsoft Corporation Provisioning of digital identity representations
US8407767B2 (en) 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US8689296B2 (en) 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
KR100925327B1 (ko) * 2007-11-26 2009-11-04 한국전자통신연구원 다운로더블 제한 수신 시스템에서 호스트의 망 이동 여부감지 방법 및 그 장치
US8924714B2 (en) * 2008-06-27 2014-12-30 Microsoft Corporation Authentication with an untrusted root
US8751791B2 (en) * 2008-09-17 2014-06-10 Motorola Solutions, Inc. Method and device for confirming authenticity of a public key infrastructure (PKI) transaction event
US20100241852A1 (en) * 2009-03-20 2010-09-23 Rotem Sela Methods for Producing Products with Certificates and Keys
US20110161659A1 (en) * 2009-12-28 2011-06-30 Motorola, Inc. Method to enable secure self-provisioning of subscriber units in a communication system
KR101976006B1 (ko) * 2012-11-08 2019-05-09 에이치피프린팅코리아 유한회사 웹 서버의 자체 서명 인증서를 이용한 사용자 인증 방법, 이를 수행하기 위한 클라이언트 장치 및 웹 서버를 포함하는 전자 장치
US9887983B2 (en) 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9396320B2 (en) 2013-03-22 2016-07-19 Nok Nok Labs, Inc. System and method for non-intrusive, privacy-preserving authentication
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
US9536065B2 (en) 2013-08-23 2017-01-03 Morphotrust Usa, Llc System and method for identity management
AU2014308610B2 (en) 2013-08-23 2020-03-26 Idemia Identity & Security USA LLC System and method for identity management
US9043592B1 (en) * 2013-09-23 2015-05-26 Emc Corporation Communicating trust models to relying parties
US9577999B1 (en) 2014-05-02 2017-02-21 Nok Nok Labs, Inc. Enhanced security for registration of authentication devices
US9413533B1 (en) 2014-05-02 2016-08-09 Nok Nok Labs, Inc. System and method for authorizing a new authenticator
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US9749131B2 (en) 2014-07-31 2017-08-29 Nok Nok Labs, Inc. System and method for implementing a one-time-password using asymmetric cryptography
US9450760B2 (en) * 2014-07-31 2016-09-20 Nok Nok Labs, Inc. System and method for authenticating a client to a device
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9455979B2 (en) * 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
US9736154B2 (en) 2014-09-16 2017-08-15 Nok Nok Labs, Inc. System and method for integrating an authentication service within a network architecture
EP3076583B1 (en) * 2015-04-02 2019-10-09 Totemo AG Central certificate management
US10992649B2 (en) 2016-04-01 2021-04-27 Consensys Software Inc. Systems and methods for privacy in distributed ledger transactions
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10382213B1 (en) * 2016-08-29 2019-08-13 Amazon Technologies, Inc. Certificate registration
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US9980144B1 (en) * 2017-04-13 2018-05-22 Sprint Communications Company L.P. Hardware-trusted wireless data communications over a wireless relay
CN107592292B (zh) 2017-07-26 2019-08-09 阿里巴巴集团控股有限公司 一种区块链节点间通信方法及装置
US10700862B2 (en) * 2017-09-08 2020-06-30 Fujitsu Limited Reduced data set digest
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
BR112019008174A2 (pt) * 2018-11-07 2019-09-10 Alibaba Group Holding Ltd método implementado por computador, meio de armazenamento legível por computador, não transitório e sistema
US12041039B2 (en) 2019-02-28 2024-07-16 Nok Nok Labs, Inc. System and method for endorsing a new authenticator
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB8621333D0 (en) 1986-09-04 1986-10-15 Manitoba Telephone System Key management system
US5745574A (en) 1995-12-15 1998-04-28 Entegrity Solutions Corporation Security infrastructure for electronic transactions
US5922074A (en) 1997-02-28 1999-07-13 Xcert Software, Inc. Method of and apparatus for providing secure distributed directory services and public key infrastructure
US5982898A (en) 1997-03-07 1999-11-09 At&T Corp. Certification process
US6442688B1 (en) 1997-08-29 2002-08-27 Entrust Technologies Limited Method and apparatus for obtaining status of public key certificate updates
US6145079A (en) * 1998-03-06 2000-11-07 Deloitte & Touche Usa Llp Secure electronic transactions using a trusted intermediary to perform electronic services
WO1999060482A1 (en) 1998-05-21 1999-11-25 Equifax Inc. System and method for authentication of network users and issuing a digital certificate
US6484258B1 (en) * 1998-08-12 2002-11-19 Kyber Pass Corporation Access control using attributes contained within public key certificates
US6304974B1 (en) * 1998-11-06 2001-10-16 Oracle Corporation Method and apparatus for managing trusted certificates
US6349338B1 (en) 1999-03-02 2002-02-19 International Business Machines Corporation Trust negotiation in a client/server data processing network using automatic incremental credential disclosure
US6754829B1 (en) 1999-12-14 2004-06-22 Intel Corporation Certificate-based authentication system for heterogeneous environments
US20010034836A1 (en) * 2000-01-31 2001-10-25 Netmarks Inc. System for secure certification of network
US6789193B1 (en) 2000-10-27 2004-09-07 Pitney Bowes Inc. Method and system for authenticating a network user
US20030028495A1 (en) * 2001-08-06 2003-02-06 Pallante Joseph T. Trusted third party services system and method
US20030115142A1 (en) 2001-12-12 2003-06-19 Intel Corporation Identity authentication portfolio system
US20030177390A1 (en) * 2002-03-15 2003-09-18 Rakesh Radhakrishnan Securing applications based on application infrastructure security techniques
JP4265145B2 (ja) * 2002-04-08 2009-05-20 株式会社日立製作所 アクセス制御方法及びシステム
JP4304362B2 (ja) * 2002-06-25 2009-07-29 日本電気株式会社 Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム
EP1611708A4 (en) 2003-03-10 2009-12-30 Cyberview Technology Inc DYNAMIC CONFIGURATION OF A GAME SYSTEM
CN100347986C (zh) * 2003-11-24 2007-11-07 华中科技大学 一种身份认证的方法和系统
US7321970B2 (en) * 2003-12-30 2008-01-22 Nokia Siemens Networks Oy Method and system for authentication using infrastructureless certificates

Also Published As

Publication number Publication date
US20060282670A1 (en) 2006-12-14
CN1881879B (zh) 2011-04-06
US7844816B2 (en) 2010-11-30

Similar Documents

Publication Publication Date Title
CN1881879B (zh) 用于验证用户的公钥框架和方法
CN109918878B (zh) 一种基于区块链的工业物联网设备身份认证及安全交互方法
CN111783075B (zh) 基于密钥的权限管理方法、装置、介质及电子设备
Samar Single sign-on using cookies for Web applications
CN111262692B (zh) 基于区块链的密钥分发系统和方法
US7444509B2 (en) Method and system for certification path processing
AU2007240567B2 (en) Peer-to-peer contact exchange
US7340600B1 (en) Authorization infrastructure based on public key cryptography
US8312264B2 (en) Method and system for authentication among peer appliances within a computer network
Riabi et al. A survey on Blockchain based access control for Internet of Things
US20030217264A1 (en) System and method for providing a secure environment during the use of electronic documents and data
US20100138907A1 (en) Method and system for generating digital certificates and certificate signing requests
US20040064691A1 (en) Method and system for processing certificate revocation lists in an authorization system
CN1547343A (zh) 一种基于数字证书的单点登录方法
CN1304109A (zh) 有效地收集、整理和访问证书吊销表的系统和方法
CN1787513A (zh) 安全远程访问系统和方法
JP2010504670A (ja) 公開鍵証明書状態の取得および確認方法
US7827407B2 (en) Scoped federations
CN110351263A (zh) 一种基于超级账本fabric的物联网认证方法
US20210297269A1 (en) Token node locking with fingerprints authenticated by digital certificates
CN1889081A (zh) 一种数据库安全访问方法和系统
CN114157432A (zh) 数字证书获取方法、装置、电子设备、系统和存储介质
CN100344091C (zh) 分布式证书验证方法
WO2007115495A1 (fr) Procédé et appareil d'authentification de passerelle sur la base d'une clé publique combinée
JP6783527B2 (ja) 電子鍵再登録システム、電子鍵再登録方法およびプログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110406

Termination date: 20150608

EXPY Termination of patent right or utility model