TW201141176A

TW201141176A - Method and apparatus for providing trusted single sing-on access to applications and internet-based services

Info

Publication number: TW201141176A
Application number: TW99132899A
Authority: TW
Inventors: Yogendra C Shah; Inhyok Cha; Alexander Reznik
Original assignee: Interdigital Tech Corp
Priority date: 2006-08-22
Filing date: 2007-08-22
Publication date: 2011-11-16
Also published as: WO2008024454A1; CN103067399A; EP2055077A1; US20080059804A1; TW200943898A; JP5205380B2; KR101302763B1; US8707409B2; KR20090048655A; CN101507233B; KR101302889B1; JP2010502109A; JP5795604B2; CN103067399B; EP2055077B1; JP2013145562A; KR20090042864A; KR20120130780A; KR101005910B1; TWI366375B

Description

201141176 六、發明說明：【發明所屬之技術領域】本發明/歩及無線通sfl。更具體的，公開了用於提供對於應用程式和基於網際網路的服務的可信賴單點登錄（ss〇)存取以及可信賴識別（ID)管理的方法和設備。【先前技術】由於無線通訊設備的不斷增加，需要增強和簡化使用者登錄到由第三方網際網路内容供應商所提供的獨立安全網站的認證過程。為了獲得對這些網站的存取，需要使用者為每個服務 a又疋唯一的使用者Π)和密碼。然而，使用符合不同密碼策略的多個使用者ID和密碼是棘手的並且會傾向安全缺口。因此，非常需要-種用於增強密碼管理的安全等級並且同時為設備使用者簡化使用者認證過程的方法。因為第三方網站服務與無線網路營運商保持獨立的協定，所以將使用者認證過程基於存取娜上的第三絲務是不實際的，該存取網路是行動或無線網路比如無線電存取網路 (RAN)、固定或低行動性無線網路（例如IEEE 802.16型網路）或者固定有線網路。因為服務供應商和使用者經常使用單一身份通過多個RAN、無軸路或_網路來存取服務，使用者和第三方服務供應商將有可能在不同網路上實施SSO操作，其中網路營運商可雜對_者許可的㈣。、 ^在一種情況下，無線網路營運商和第三方ID業務供應商可提供統-使用者ID給使用者來在不同類型的網路、營運商和服務供應商之财現錢的麟連雜。統—使时ID可解決在不同網路類型和實體的服務之間的頻繁和高容量的改變導致的 201141176 過渡問題以及服務供應商邊界。對於密碼或認證憑證的不良管理會對安全產生毀滅的影響。攻擊者可通過薄弱的或被盜的密碼來獲得對敏感資料的存取。不良的密碼管理還會導致營運成本的增加。例如，線上支援求助服務（HelpDesk)需要容量會隨著需要擷取或重置其遺失或遺忘密碼的使用者的數量增加而大幅增加。以下是用於改善密碼管理的現有技術：密碼策略、無密碼認證、密碼同步、憑證映射、企業單點登錄（E_ss〇)、結合密碼同步的E-SSO、網站單點登錄（Web_ss〇)以及安全宣示標記語言（SAML)。為了增強使用者的密碼等級，一個組織實施密碼策略。一般的密碼策略需要使用者設定很難猜到的密碼或頻繁地更換密碼。密碼策略還可紀錄使用者密碼歷史來防止立即重用密碼或實施封鎖策略來封鎖在-定數量的嘗試之後登錄失敗的任何人。然而，實施好的密碼策略會增強密碼安全性時，其還鼓勵使用者設定便於記憶和管理賴式化密碼。例如，使用者可使用字元和數㈣齡祕立密碼，比如@#$%9876來滿足密碼策略的複雜要求。細，當如麵祕鮮錢改密碼時會使用舊密碼的變形來建立新密碼，比如@#$%⑽或 _%7654。模式化密碼的使用削弱了密碼的安全等級，因為已知使用者的密碼歷炒識會使得對企圖進行舊密碼變形非法 j的次數變少。因為複_密碼很難記憶，嚴格的密碼策略會導致使用者對於不_服務__的密碼。當密碼在不同 ==，在任何一種服務中的單一密碼危機會導致在所有其他服務中的密碼危機。 5 201141176 無密碼認證是另一種用於改善認證過程安全性的技術。個人和組織採用不依賴使用者ID和密碼的認證方法，比如智慧卡和認證符記。智慧卡使用固有密碼（個人識別號碼（PIN))來對儲存在卡上用於使用者認證目的的複雜密碼解鎖。這種設置消除了對使用者輸入密碼的需求，並且使用多因素認證（物理智慧卡和儲存其上的PIN)來認證使用者。然而，智慧卡具有比如設置系統的高預支付成本，以及用於維持對遺失、被盜和其他冒用卡的線上支援求助服務支持的高持續成本。使用生物因素來認證使用者也正流行起來。一般的生物認證设備包括視網膜掃描器、指紋掃描器和手部掃描器。這些設備用從使用者的生理屬性獲得的資料來認證使用者，通過它會禁止使用者之間登錄資訊的共用。這種設備的一個缺陷是它們的實施和維護都是昂貴的。測量因為同步㈣碼衫舞射制，在任―純巾的安全密碼同步是允許使用者在多個系統中使用一個單一的密碼的過程和技術。在密碼同步巾，密碼是符合對於密碼重置和密碼更改的單-安全策略的。在這種技術中，從—她置提取密碼的純文本（plamtext) s彳本並且將其置於—個或多個外部服務位置°，了實現這種方案，每個使用者的使用者設定檔的副本 ^須在每個絲佈署計錢始時就存在於其中，並且在系統運行的t個軸都鱗。密碼同針的密碼更改可通過單向 ^向=動來進行。在單向密碼機中，在中央纽中的密碼 ^嫌並被推動_路⑽其他位置。在雙向密碼推動 ’被碼更改可在任何纽中作出並且在整個密碼結構中傳播。早向密碼推動社要問題在於儲存密祕的安全性 201141176 =^導致所有系統中的災難性的安全危機。儘管雙向密碼同 #提5更大的制者靈雜，但是其也會導致其他問題，比如、达馬更改的無窮迴圈。H統進人永久任務時就會發生無圈目為系統被程式化以將新的資料傳制系統的其他部为’所以系統會受困於無盡的密碼更新過程來傳播在單一密碼上的多個密碼更改。々2此，儘管密碼同步使得使用者不需要記憶和管理網路中夕個密碼’但是密碼同步也通過允許烟者使用—個密碼來存取多個服務而削弱了密碼的安全性。憑證映射’通常被稱為E_ss〇，是一種代表使用者儲存、摘取和鍵入使用者ID和密碼的技術。為了實施e ss〇，三观〇軟體的—份縣必馳安裝在每個WTRU上。每個系統和應用程式的使用者ID和密碼被儲存在本地樓、附加的網路資料庫二或使用者目錄巾。在最初的安裝之後，使用者可通過它們先則那樣的操作或者通過新的E_ss〇軟體介面登錄到他們的工作站。當使帛者請求使肖他們的玉作站連接到顧程式時， E-SS0軟體自動地添加應雜式的登錄頁的使时id和密位。在E-SS0系統中，使用者使用一組或兩組使用者憑證（例如使用者ID和密碼）登錄到他們的工作站：（丨）當使用者僅需要登錄到E-SS0軟體而不是他們的工作站時；以及（2)當使用者必須登錄二者時。一些E-SS0系統支援除了用密碼登錄網站以及存取使用者的憑證設定檔的其他認證技術的使用，包括智慧卡、認證符記或生物採樣。此外，一些E_ss〇技術被配置為對於每個目標目

C 7 201141176 的完全控制密碼管理。這種方式消除了對使用者為任意目標系統記憶密碼的需要。Ε-SSO軟體自動代表使用者登錄。在E-SSO中’使用者不需要在目標系統上更改密碼。軟體認可並預期密碼更改請求並且代表使用者相應地更改密碼。如果目標系統僅通過憑證管理軟體來存取，那麼憑證映射理特徵是最佳的。儘管腿〇系統提絲護使时密魏，但是系統具有成本向和建立繁瑣的缺陷。實施E_sso系統不僅需要為每個使用者建立登錄ID設定檔，而且絲倾用者對於每個目桿應用程式儲存倾密碼。建立E_SS〇系_需要安制戶端軟體和配置憑證資料庫用於儲存使用者m和密碼。資料庫可通用網路服務（資料庫或目錄）或者通過擴展已有目錄的綱要（例如有效目錄、LDAP、NAS)來獲得。憑證資料庫本身還呈有多個要求。為了實現其目的，資料庫必須是快速和可用的了因為資料庫中的—個故障會阻止大量使用者雜到任何系統。此外，資料庫也必須是安全的，因為資料庫中的危機會導致系統中每個使用者憑證的危機。作為中央密碼控制系統，E_SS0引入了單故障點。如果 Ε-SSO系統或者憑證資料庫出問題，那麼使用者不能登錄到任 =系統。此外，E_SS〇技術不支援對於支援多個使用者介面的應用程式（例如用戶端、網站、電話等）的認證過程。此外，因為Ε-SSO依賴於Windows的“螢幕擷取（⑽如” 技術’ E-SSO系、統的配置和管理成本很高，特別是在多種工作站上進行時。因此’ E_ss〇系統不僅是緩慢、耗時、建立和登記成本高的，並且還是易於單故障點。且 8 201141176 將Ε-SSO與密碼同步結合會解決僅實施E_ss〇系統的一些缺陷。例如，不用密碼同步技術，使用者將不能使用他們的 Ε-SSO密碼來登錄到使用可替代的使用者介面的應用程式。因為使用者不是一定知道他們的密碼，使用私人用戶端比如 Microsoft Outlook的使用者不能通過網路入口存取e_mail帳戶。通過將密碼同步與Ε-SSO結合，使用者可使用他們的原始密碼來通過可替換介航如鱗人口登制其他應用程式。此外，在配置Ε-SSO系統之前部署密碼同步系統減小了獲得每個使用者的使用者ID設定檔的時間和精力。在Ε-SSO系統中，使用者憑證典型地用從原始E_ss〇密碼獲得的密鑰來加密。在這種配置下原始E_ss〇密碼的遺失會導致對於每辦、統的制者憑證的遺失。甚至在遺失的E ss〇密碼被重置後’加龍職不能齡取，因為憑證是舰遺失密碼獲得的密鑰加密的。換句話說，重置使用者的E SS〇密碼將不能摘取仙者憑證，並域用者必綱E_ss〇系統重新登記。為瞭解決這個問題，E_ss〇系統必須提供“後門，，來在以沁密碼重置後恢復使用者憑證密碼重置系統必須整合該後門系統或f提供其树的後門。在重置使用者的原始E_ss〇密碼之後丄密碼重置祕必舰安全儲存巾恢復使用者的先前密碼，解密使用者的舊憑證並新的密碼和密鎗重新加密，從而 E_SS0用戶端軟體能夠被重新存取。整合密碼重置、密綱步和E_sso系統解決了該問題並且 =織I夠享㈣快速部署、自動登錄和自我服務問題解決、、，/、’;、而這些技術的結合不能解決安全密碼和登錄憑證的問題。此外，在任何客戶端或伺服器軟體或資料庫中的危機 201141176 都會危及使用者設定檔。並且，該結合還不能提供證明採用密碼同步和Ε-SSO的系統的“健康，，狀態的方式。沒有這種證明， -旦使用者被祕授權’使用者可在甚至祕有危機的時候存取系統。

Web-SSO使用應用程式和通過網頁瀏覽器存取的資源來工作。在Web_SSO中，對網路資源的存取被網路代理伺服器或在目標網路伺服器上的元件攔截，並且企圖存取網路資源的未認證使用者被轉移到認證提示，並且僅在成功的登錄之後才被重新導向到原始站點。Cookies是最常用於追縱使用者認證狀態的’並且Web-SSO基礎從Cookies中提取使用者身份資訊並且將其傳遞到網路資源。螢幕擷取（Screen scraping)和聯合（Federation)是在 Web-SSO中使用的兩種最重要的現有技術。一般類型的螢幕擷取是網路擷取。網路取也被稱為HTML擷取或者頁面擷取，是一種電腦程式網路擷取器從網頁上提取資料的技術。網路擷取可被用於Ε-SSO或Web-SSO中。螢幕擷取技術是有用的，因為網頁是使用通常包括哀字形式資訊的基於文字標示語言（例如HTML)來建立的。相反，程式之間的資料交換通常使用不易被人們理解的為機器設計的資料結構來完成。類似的，用於使用者的資料輸出通常不適用於機器解釋。因此’需要螢幕擷取來完成程式之間的資料傳送，通過首先從HTML和其他標示機器語言中提取機器友好資料，並隨後在程式之間交換所提取的機器友好資料。當執行螢幕擷取時，從電腦文字顯示器讀取的資料通常通過其輔助埠讀取終端的記憶體、或者通過將終端機的輸出埠連 201141176 接到另一個系統的輸入埠來完成。在這些情況下，螢幕擷取還可涉及網頁的電腦化解析。二螢幕擷取通常被執行來（1)介面連接不能夠提供與相容當 =硬體的可替換機制的以前留下來的系統，或者（2)介面連接提供較不複雜應用程式介面（Αρι)的第三方系統。在第二種情況下，第三方系統會考慮不需要螢幕擷取，因為比如會增加系統負載、廣告收入損失或資訊内容的控制損失的原因。圖1說明在使用網路擷取的Web_sso的現有技術的WTRU 中的示例程序。在該圖表中，假設WTRU配備了代理軟體並且在WTRU上的網路存取應用程式與ss〇代理軟體協同交互以允許代理去建立和控制SSO在網路服務上的程序。例如當瀏覽器接收存取URL崎求時，其將肌傳輸到ss〇代理軟體來驗證web-SSO是否能被用於存取特定網站。聯合是第二種用於使用基於標準的協定來使得一個應用程式對於第二實财認個者身份的web_SSQ的重要技術，從而削減多餘的認證需求。支持聯合的規格標準包括自由聯盟 (LibertyAlliance) 〇>FF、0ASIS、SAML 以及洳_她，由

Intemet2開發。自由聯盟提供一組開發包含定義聯合身份管理

和網路服務通訊協定的規格的群組的廣義工業協會。協定被設計用於企業内和企業間的配置。胃〇X OASIS ；%開發用於電子商務的解決方式的非營利性組織。當前版本為2.0的SAML是用於安全維持的標示語言，其包括可實現sso認、證的使用者身份資訊。Shibb〇leth是基於聯盟身份和SAML為認證和授權基礎建立結構和開放軟體碼實施方式的Intemet2中間設備開始（NMI)專案。 11 201141176 圖2說明瞭使用自由聯盟ro-FF的WTRU使用者的 web-SSO程序。在web-SSO的環境中，自由聯盟使得使用者登錄到單獨帳戶並且從網路中的ID管理實體管理的“信任圈子，，中的多個服務供應商請求服務。自由聯盟的一個顯著特徵是“聯合（federation) ”過程。自由聯盟允許使用者確定他們是否想要不經過重新認證而存取服務供應商（sp)，而不是確定使用者在不經過重新認證時必須擁有什麼類型的權利來存取sp。為了獲得這個權利，使用者必須首先由被識別為sp的身份供應商 (IDP)來認證。這使得自由聯盟稱為用於擴展企業框架環境中的用於身份管理的可行框架，其巾賴者典型的將個人資料的管理委託給企業。 SAML v2.0是由〇ASIS組織建立的XML標準，用於在安全網域之間即在IDP和SP之間交換認證和授權資料。圖3描述了 SAML元件之間的關係。SAML嘗試通過在網路實體之間實現無縫和可靠的認證程序和安全維持資訊的交換來解決 web-SSO的問題。SAML標準利用以下元件：⑴維持元件⑵ 協疋兀件，（3)捆綁元件，（4)和設定檔元件。維持元件允許實體來維制-個實體的特徵和屬性，比如使用者名、狀態、郵件位址、、馳巾的會員^協定元件通過XML綱要編碼並且定義請求-回應相關協定的列表。捆綁兀件定義SAML協定訊息如何在SqAP訊息中傳送並且SOAP tfl息如何在HTTP上傳送。s〇Ap訊息是完好形成的 XML訊息’其根據W3C組織s〇Ap版本i 2職和編碼規則來建立。圖4不出了在典型的捆綁情況下在SAML元件之間的父換的例子„又疋檔元件是SAML規範的核心，其定義3舰[ 12 201141176 \ 請求和相應怎樣傳送。儘皆獨立ID-FF和SAML在增強密碼安全等級中起到了重要的作用，但是都沒有解決怎樣保證需要用於使用者的設備或彳SP中的web_ss〇的敏感資訊安全。此外，因為獨立和SAML祕放棄了對使用者至,jIDp和sp的認證_的控制’所以所需要的使用者的個人資訊、使用者設定槽的公開會導致該過程中的危機。 a 在文獻和產品中出現了信賴運算技術，大多是在信賴運算團，（Trusted Computing Group (TCG))的技術傘之下。信賴運算疋基於提供密碼功能和保護儲存的專用、實體獨立硬體模組的實體安全的。、 TCG已經開發了提供方法胁計算實體來轉祕完整性的方法的各種技術，來當建立了適當可信等級時驗證認證過程，並且在與其他設備的資訊交換和處理上基於這些目標設備的明顯可信賴等級來執行評估和決定。 TCG定義了被稱為可信賴平台模組（τρΜ)的核心平台模組。圖5描述了 TPM的組成。TPM提供τρΜ模組及其介面的實體保護。該模_提供對_發性和非揮發_存空間的保護以及執行加密和數位簽名的密碼功能。τρΜ使用平台配置暫存器（PCR)基於公鑰基礎建設（ρκι)通過hash (雜凑）擴展和使用者設備細節和安全背書密鑰（EK)來捕捉平台及其軟體不見的“狀態’’。EK從未被暴露在外，但是其假信號、證明身份密鑰（ΑΪΚ) 於料或驗證平台的完·數值。此外，觀在記憶體中使用“密封，，資料結合胤簽名的pcR值的過程，從而資料僅田來自TPM和密封記憶體的匹配pCR值測量 201141176 和驗證的平台或軟體的完整性被驗證時才能被存取或提取。圖6說明外部實體（攻擊者或驗證者）可怎樣使用TPM、 AIK和私有憑證管理中心（pCA)來請求平台證明。這種證明機制對於改善SSO技術的可信性和安全性方面都是有用的。 TCG還可指定用於包括TpM的運算平台的詳細τρΜ軟體堆疊（TSS)。每個TSS模組包括提供特定功能的元件。這些元件的最初設計目的是提供對TPM的單一、同步的登錄點，用根據應用程式適當排序和排列的位元組來隱藏建立指令流以及管理TPM資源。圖7顯示出TPM和TSS層的結構。TSS模組包括以下元件.（1)與t準化TPM設備驅動器庫（TDDL)交互的TSS設備驅動器介面（TDDLI);(2)與TPM的TCS指令（未示出）交互的TSS核心服務介面（TCSI);以及（3)與TC(}的Tsp 指令（未示出）交互並且位於應雌式之獨TC(J服務供應商介面（TSPI)。在TPM -側，TDDL位於製造供應商特定的τρΜ 設備驅動器頂部’其與TPM通訊。 TDDLI健TSS的獨實财式將與任何麗適當通訊，並且將提供OS獨立介面用於而應用程式，並且將允許 ΤΡΜ製造供顧提供_ ΤΡΜ顯料為制者模式元件。 TDDL在平台上提供錢者模式和⑽模式的轉換。腦核心服務（tcs)提供對於平台服務的一般設置的介面。tcs提供以下四種核錢務：⑴上下文管理，其實施對τρΜ的線程存取，⑵憑證和錄管理，其儲存_平台的驗和紐；⑴ 測量事件管理，其管理事件日鍵、專案並且存取相關pcR，以及 (4)參麵組產生，用於連續化、同步化並處理麗指令。 201141176 TCG服務供應商（TSP)是基於目標導向架構的對於丁抱的C介面。TSP與應用程式位於相同的處理位址位置内。授權發生在該層中，通過使用為該層編碼的使用者介面或者通^在 TCS層的回呼機制。為了為終端使用者提供標準化的授權介面，本地應用程式不提供認證服務，而是由平台提供。 TSP提供兩種服務：⑴上下文管理；以及⑺加密。上下文管理提供允許對應用程式和TSP #源的有效利用的動態處理。每個處理為-組相_ TCG操作提供上下文。應用程^中不同的線程可共用相同的上下文或者可獲得獨立的上下文。日為了充分利用TPM保護功能，必須提供支援密碼功能。Tsp 不提供這種支援，除非其對於執行τρΜ說明所需要的操作是必 ^的。特別的’大量資料加密不被介面暴露。τρΜ指定密碼功能的例子包括訊息消化和少量（小於腦位元組）資料的加密。【發明内容】公開了一種用於基於信賴運算技術的密碼管理和SSO存取的方法和。又備。该方法實施TCG的TPM，其與代理SSO單元和網頁存取應用程式交互來提供安全、可信賴的機制，以產生、儲存和擷取密碼和挪驗。各歡财式允許使膽在僅一 j登錄到位於使用者設備中的安全代理之後，安全且透明地從一個站點_另—個屬於賴獅點群組巾的站點。 _在使用者登錄到行動設備之後，位於設備上的代理SSO單元攔戴企圖存取屬於登記群組的安全站點的應用程式，並且使，由TPM產生並保持的每個站點安全密碼來登錄到群組中的單，站點。可通過硬體或軟體來實施的代理聊單元並由PM 保'«蔓其tl整性。這通過不需要使用者單獨記憶或儲存的τρΜ產 15 201141176 生的賴密碼騎相站點· ss⑽過程提供了高等級信賴性。 SSO特徵可被應用到任何數量的安全站點並且列表可隨著使用者在網際網路上劉覽並存取新的網路飼服器來增加。每個網路伺服器具有與其相關的安全登錄憑證，其與可實現sso 程序的自域作的TCG產生的烟者驗細聯，從在網路伺服器上的，初登記到隨後的登錄/認證通話。作為-項選擇，使用者可由貫現其SSO網路存取的網站群組的代理軟體提供一個提不。使用者將能夠選擇是否允許對代理軟體指示的網站群組或者其子集的SSO操作。附加實施方式包括麟E_SS〇的TPM增強、以及具有聯合身份管理的web-SSO的機制。【實施方式】在此提及的術語“無線傳輸/接收單元（WTRU)，，包括但不限於使用者設備（UE)、行動站、岐或行動制者單元4 叫機、蜂巢式電話、個人數位助理（PDA)、電腦或者能夠在無線或結合了無線/有線的環境中操作的任何其他類型的使用者設備。在此提及的術語“基地台，，包括但不限於N〇de B、站點控制器、存取點（AP)或者任何_的_在麟環境中操作的周邊設備。圖8疋包括至少一個WTRU805和無線電存取網路(R^) 807的無線通訊系統800的示例方塊圖。WTRU 8〇5與使用者 809交互並且WTRU805包括單一自動登錄（SAS〇)代理單元 810、TPM/TSS 815、網路存取應用程式（WAA) 82〇。TpM/Tss 815與SAS0代理單元810和WAA 820交互以提供安全、可信 16 201141176 的機制來產生、儲存和擷取密碼和SSO憑證。SASO代理單元 810由TPM/TSS 815來保護其完整性，因此在對不同網站使用 SSO時能夠實現高等級的可信賴性。TpM/TSS 815通過儲存和產生不需要使用者單獨記憶的隨機密碼來提供這種高等級的可信賴性。RAN 807典型地包括對至少一個網站83〇a-c的存取。可選的，RAN 807還包括設備信賴鏡像（DTM) 835。為了最小化使用者809需要記憶的密碼數量，提供了一種機制，通過它使用者809首先建立一個站點或應用程式的列表’並且隨後SAS0代理單元81〇在其自身的日誌和隨後由 TPM/TSS 815使用儲存體密鑰綁定或利用内部儲存體安全保管的日誌來記錄資訊。SAS0代理單元810使用協同進行綁定或攔截技術比如網路擷取來解釋使用者對於應用程式或網站830 的存取請求，以及從應用程式或網站83〇登錄和/或密碼鍵入的提示。使用者809的憑證（也被稱為根身份）可被安全地儲存在 TPM/TSS 815本身中或另一個安全儲存設備比如usim中。此外，可從邊根身份建立密鑰階層。根身份被安全地保存在設備中並且不會被洩漏到安全或可信網域之外。當人員使用者809第一次登錄到安全網站830時，WAA 820 與SAS0代理單元810和TPM/TSS 815交互來建立與用於網站 830的5立明> §亿相關聯的高倘值（叫匕entr〇py )、唯一的id和南熵值的密碼。此後，無論何時使用者809想要存取網站830，使用者的憑證被自動輸入到經由通訊鏈結通過WAA 82〇、sAS〇代理單元810和TPM/TSS 815之間的交互發送的資訊中。可選的，無論何時使用者809存取RAN 807，WTRU 805 17 201141176 以同樣的方式使用SAS0代理單元請和TPM/Tss8i5 商（IDP)(未不出）之間的可信關係。另外可替換的，ran807 保持特定的糸統元件或與可信任的第三方實體比如D顶咖的關係。-旦WTRU 8G5與ran術具有建立的可信關係和安，鏈結’ DTM83S作為用於行動可信服務的代理和用於為每個安全網站建立的密碼的資料庫。使用者809可從功能上獲得對WTRU 8〇5的存取並且因此通過使用單點登錄ID和密碼存取WTRU鎖定機制從而獲得對網際網路的存取。—旦登錄，所有其祕務都可自资如透明地歧。料，麵卡（W㈣、智慧卡和/或生物統計可被用於提供安全_個或三侧素認證來存取電話特徵。可選的，認證憑證可被發送到讀，用於認證和使得使用者存取設備。 TPM/TSS 815提供對於資料（包括密碼）固有安全性，通過提供實體賴界限來加魏倾和齡糾。細，資料保護的強度在密碼或秘密密_於保護這種㈣的情況下，部分地依賴於資料本身的強度和新鮮度。在給出加_料的充足採樣以及在攻擊者的配置上有足夠的運算能力和時間時，即使很強保護的^可被破壞。因此，更新賴且如果需要用新的密鑰來對先前用不同的舊密鑰加㈣資料重新加密，可對竊聽者解密加密身份和認證資料的嘗試提·加的安全屏障。較佳地，用於通用認證的密鑰和密碼應當由TPM/TSS 815頻繁地更新。這種更新將需要—麵定，利職協定初始化、獲得和執行關於資料和/或密鑰更新。 201141176 在-種可替換的實施方式中，WTRU 8〇5内部包括通用使用者身份模組（USIM)(未示出）。作關立和賴實體的 USIM ’提供用於軟_第二安全執行環境以制於資料比如密碼的安全齡之處。因此，s娜代理單元⑽可位跋usM 中此外’ WAA 820還可或者可替換地位於USIM中。

在WTRS 805的另-種可替換實施方式中，USIM可將 TPM/TSS 815 t料單獨“敍，，執行環境。在_情況下， WTRU815可不具有執行平台的功能和/或通常由TpM/Tss 提供的應用程式完整性測量、驗證和證明的功能。然而，因為 USI]V1疋獨立的、受保護和安全的執行環境，其可實現sas〇代理單元81G |至可能是WAA 82G的安全執行。而且，USIM 可被配置以產生和儲存㈣值的特定站點密碼並且被配置以儲存SSO密碼和SSO憑證。在WTRU805的另-種可替換實施方式十，一種與在2〇〇7 年5月8日申請的美國專利申請案號n〇 11/745,697中的usim 相似的“擴展，’USIM位於WTRU 805 +，並且為SAS〇代理_ (和可能的WAA820)和TPM/TSS 815提供安全執行環境。圖9顯示出根據-種可替換的實施方式的圖8的系統8〇〇的元件之間的信號發送。特別是，圖9顯示㈣於sas〇使用 TPM/TSS 815用於網路存取的示例程序。在步驟1005 ’當使用者809通過一個安全因素或較佳為兩個或三個因素認證獲得對WTRU 8G5的存取時，程序被初始化。這些認證因素是允許SASq代理單元存取保持在 TPM/TSS 815中的安全資訊的僅有機制。在步驟1〇]〇，如果使用了兩個或二個因素認證’則SASO代理單;^ 81〇發送請求到 19 201141176 TPM/T獅5來擷取它來用於認證。在步驟ι〇ΐ5，觀8i〇將生物認證資料提供給SASO代理單元幻〇。圖9顯示出根據一種可替換實施方式的圖8的系統_的元件之間的信號發送。特別的，圖9 _出餘sas〇使用 TPM/TSS 815用於網路存取的示例程序。在步驟905 ’當使用者_通過安全的一個因素或優選兩個因素認證獲得對WTRU8G5的存取時，該程序被初始化。這些認證因素是允許SAS0代理單元_存取保持在tpm/tss 815中的安全資訊的僅有機制。在步驟91〇，如果使用了生物第一或第一因素H SAS0代理單元81G發送請求到TpM/TSS 815來娜該因素來用於認證。在步驟91s，τρΜ⑽將生物認證資料提供給SAS0代理單元81G。接著，在步驟，使用者 8〇9 土送m求到WAA82〇來與安全網站註冊。在步驟925 , WAA 820將使用者809想要對其存取的願望傳遞給網站a 83〇a。在步驟930 ’ WAA 820接收並且鮮或者酬指示網站 A 830a 的登錄提示。在步驟935 ’ SAS0代理單元81〇通過網路掘取或通過API或其他解析技躺結合來纖來自徽^⑽的網路a 830a的認證。在步驟940，SAS0代理單元81〇將使用者氾資 »fl(其可以疋來自多因素s忍證的設備登錄資訊)傳遞到 815。在步驟945，特定網站的安全密碼由TpM/TSS 815產生和安全地，存（直接儲存在TPM Mv記憶體中或者在—般記憶體中，但疋由ΤΡΜ保護綁定儲存密鑰加密）。隨後在步驟95〇， SAS0代理單元議纖WAA 82〇並且通過比如娜或Αρι的或其他解析技術的使用的方法來在用於網站A 83〇a的waa 82〇的雄碼k示上填入特疋網站的安全密碼。在步驟9分，waa 820 201141176 將3亥特疋網站的进碼傳遞到網站A 830A。在步驟960，網站a 830a 5主冊特定網站的密碼並且將存取授權發送到waa 820。一旦建立了註冊，網站資訊（URL、數位憑證、使用者„)和密碼等）作為資料庫記錄共同安全地儲存在TPM/TSS 815中或者作為由TPM/TSS 815綁定儲存密鑰保護的資料點。特定網站的密碼可被SASO代理單元81〇重新使用，以用於隨後登錄到各個站點。在步驟965，在網站A 830a授權對WAA 820的存取時， WAA發送註冊成功和存取授權訊息到SAS〇代理單元81〇。在步驟970，正常的以網路為基礎的通訊可隨之進行。注意到在圖9中的步驟905到965被描述用於使用者的特定站點的密碼在網站由WTRU8〇5管理的初始註冊。在這種初始註冊之後’使用者809可使用WAA 820來請求對網站A 83〇a 的存取（類似於步驟1020)。隨後，SAS〇代理單元81〇可攔戴來自WAA 820的登錄提示（類似於步驟935)以獲得儲存在 TPM/TSS 815的特定站點的密碼（類似於步驟945)，並且通過娜、API或解析來在WAA上填入特跋網站a8施的登錄資訊(類似於步驟95〇)。隨後，WAA 820將特定網站的登錄資说發运到網站A 83〇a (類似於步驟1〇55)，並且網站A㈣在證明特物站的登錄資訊提供之後，授權對狐^咖的請求服務的存取（類似於步驟麵），以及SASQ代理單元81〇從縣麵授觀,4，並且隨後使得人歧用者知道左子才又權。正常以網路為基礎的通訊（類似於步驟1〇7〇) 可Pic之進行。當存取其密顺簡在TPM82G巾的已經建立的網站時， β仃組類似的程序。例如，步驟905到970可由SAS〇在 21 201141176 步驟970對於其他站點例如不同網站比如網站B 83%來重複。由TPM/TSS 815實現的編碼完整性驗證程序被用於保護SAS〇代理單元810和其他軟體部件的完整性，來保證安全事務處里如果建立桌略或没定稽來管理密碼更新程序，等，Tpm/tss 815還通過將它們儲存在由τρΜ綁定儲存密鑰保護的記憶體中來保護策略和設定檔#訊。如果使用者_企圖存取非網路的第三方服務或安全伺服器，那麼與上述使用非常相似的程序可通過使用可由DTM 835管_可信賴鏡像程序的方式來使用。DTM 835是一個實體，其典型地位於RAN 807巾，但是可位於RAN之外’其提供用於將WTRU的可信賴度“鏡像，，以及將這種資訊證明給外部請求方的服務，並且還管理特定站點或服務的密碼。圖1 〇顯示出根據本發明另一種實施方式的圖8中的元件之間的信號發送。特別的，圖10顯示出用於SAS0使用TPM/TSS 815和DTM 835用於在WTRU 8〇5和隨後在DTM 835的使用者認證資訊的註冊的用於網路存取的示例程序麵。典型地位於讀807中，但是可位於議之外的DTM 835提供將 WTRU 805力可㈣度“鏡像”以及將這種資訊證明給外部請求方的服務。例如DTM 835可採用管理用於圖9所示的TpM/TSS 815所述的身份資訊。在步驟。娜’使用者_通過將他們的認證資訊註冊到 SASO代理單元810來初始化程序麵。這種註冊可通過使用通過-個因素或較佳為兩個因素認證來進行。此外，第三因素可以疋由TPM/TSS 815安全保存的通過生物資訊。這些認證因素是允許SASO代理單元㈣存取保存在TpM/Tss 815中的安 22 201141176 i二==制。同樣在步驟卿5，使用者⑽9可選擇性地步驟^A職。糾可替祕，提絲要贿的列表的步驟可作為—個單獨的步驟進行。驟1G1G，SAS◦代理單^81()將認證㈣和想，服務的列表發送到簡卿仍。在步驟ι〇ΐ5，τρΜ/τ㈣5 雄，證資料和想要服務的列表到灣代理單元81〇和編〇的整體。在步驟搬〇，SAS〇代理單元81〇為w聊和 AA發运完整性資訊（或是等同的證明資訊）以及認證資料和 w用程式和想要服務的列表到DTM 835。在步驟1025 ’ DTM 835將使用者的認證憑證註冊到網站 A，830a :在該過程顧，DTM835和網站a 相互建立密碼，其將被特別的使用來從網站A 83〇a獲得用於使用者_和 WTRU 805的服務。在步驟刪，職奶將指示對網站a撕註冊，成的訊息發送到SAS0代理單元81〇。在步驟i〇35 sas〇代理單元810指示給使用者809註冊完成。在注冊το成之後，使用者可在使用可信賴DTM單元幻5 進行仲介的SASO過程（步驟麵至祕）巾存取網站八驗。在步驟1040，使用者8〇9指示SAS0代理單元81〇 (或者waa 咖，其中SASO代理單元83Ga可通賴取或類似技術纖該

°凡息）使用者809想要存取網站A 830a。在步驟1〇45，SASO 代理單元810指示給WAA 820使用者想要存取網站a。可替換地’如果使用者直接指示給WAA 820指示他們想要存取網站a 830a ’並且SASO代理單元使用掏取來獲得相同資訊，那麼就不需要步驟1045。接著，在步驟1050，WAA 820將對於存取網站A 83〇a的 23 201141176 請求發送到DTM單元835。隨後在步驟1〇55，DTM單元835 發送對於存取網站A 830a的請求。在步驟1〇6〇，網站a 83〇a 將對於特定服務的密碼的請求發送到DTM單元835。在步驟 1065 ’ DTM單元835將特疋網站的密碼發送到網站a 83〇a。在步驟1070，網站A830a將服務存取授權訊息發送到DTM單元 835。在步驟1〇75 ’ DTM單元835將存取授權訊息發送到WAA 820。在步驟1180，Waa 820指示給使用者8〇9該存取對於網站A 830a被授權。在步驟1185，使用者可開始使用WAA 82〇從網站A 830a接收服務。在步驟1088、1090和1093，DTM單元835可請求並接收資訊來驗證WTRU 805和WAA 820完整性的證明以及使用者認證資料和特定服務的資料（比如應用程式和想要的服務的列表）的元整性。這種遠端證明程序可使用的Tpm/tss 815在WTRU 805上的遠端證明功能來完成。步驟1〇88、1〇9〇和1〇93的程序可在例如當WTRU 805被啟動的時刻執行。這些步驟還作為步驟1050的部分被整合在從DTM 835到網站的服務請求訊息中。類似於步驟1040 i 1〇85的步驟可對於另一個網站重複，比如網站B 83Gb ’或者註冊列表上的任何其他網站。在圖10的一些可替換實施方式中，WTRU 805可不具有 TRM/TSS 8)5在其中。在這種情況τ，仍然可使用設備信賴鏡像（DTM)單元们5。再參考圖1〇,如果wtru不具有TPM/TSS 815 ’ SASO代理單元⑽將使用者和設備認證資料、應用程式 sw和想要服務力列表直接註冊到DTM單元奶。在資訊的接收之後’DTM 835產生並轉高麵的特定祕（或服務）的密碼（類似於1〇的步驟1125)。在初始註冊之後，當使用者 24 201141176 ’想要存取站點A 83〇a時，那麼SAS〇代理單元⑽提示佩八820來存取DTM 835(類似於圖10的步驟恥和115〇)。 DTM835印求對網站A83〇a的存取（類似於步驟1⑸）。網站 A83〇a將對於特定服務的密碼的請求發送到DTM 835 (類似於步驟160) DTM 835將特定網站的密碼發送到網站a 8術（類、：步驟1165)。網站a 830a發送服務存取授權訊息到DTM (類似於步驟1170)。DTM 835發送存取授權訊息到WAA 820 (類似於步驟1175)。WAA㈣指示給制者_對於網站 A 830a的存取被授權（類似於步驟聰使用者可開始使用 WAA 820從網站a 830a接收服務（類似於步驟Η% )。 -圖11顯示出根據本發明另—種實施方式的圖8的系統_ 的元件之間的U虎發送。特別的，_ ^顯示出用於sS〇使用 M/TSS 815以-種比現有技術更安全的方式用於網路存取的示例程序1100。在忒方法中，使用者809配置一站點群組，對於每個的存取由SASO代理單元81〇控制並且具有使用者，提供的公共的特=群組登錄/密碼。通過使用該程序，使用者卿可控制使用特^群且始碼控制對於特定網站“群組”的存取，從而將SASO 代，單元810的存取許可權配置為每個使用者_僅想要存取特定群組的網站。例如，如果使用者僅提供對於“財經網站,，群組=公共㈣但是沒有提供對於“個人網站群組，，的另一個不同的雄碼那麼SASO代理單元81G將被授權僅管理對於屬於 “財經網站，，群組的站關SS0操作。如圖u所示，該實施^式包括通過不例方式的以下優選信號發送步驟。順序和/或内容中的其他改變是可能的並且健在實施方式的範圍内。 25 201141176 在步驟1105，使用者809可能在SAS〇代理單元8 ，下通過發送用於網站群組建立（註冊）的請求到sas = 單元810來初始化程序1100。所述請求可包括網站a驗站B 83〇b，以及使用者對於網站群組作出的挪密碼以於該群組的網站的URL。該步驟可以以遞增的方式完成艮用者809可通過僅具有網站A謂a並且隨後增加或^除其:網站來建立群組。如果該網站列表更新在任何點執行，s娜理單元_將需要請求用於添加、刪除或甚至解除鄉定和綁定由TPM/TSS815保持的-些資料（它們中的—些資料也由 SASO代理單元810保持）的程序。一接著’在步驟1110，SASO代理單元⑽對於網站群組註冊網站UHL和單獨SS0密碼。在步驟1115，sas〇代理單元 81〇隨後將SSQ密碼、用於屬於該群組的所有網站的網站狐和網站憑證、WAA820和sso代理單元⑽的位元址處理發送到TPM/TSS 815 ’以及將用於資料綁定和對於特定網站的密碼產生的請求發送到TPM/TSS 815。在步驟112〇，對於網站列表中的每個URL，使用TPM_產生器（RNG)，TpM/Tss8i5 產生加密的強密碼。隨後在步驟1125，TpM/TSS815綁定特定 ’’罔站的URL任何憑s登（包括站點憑證）、ssq密碼以及其產生的特定站點的密碼在用TPM儲存密餘加密的資料點中。這種密鑰是“_”在額TPM的平台（例如WTRU或電腦）中的。如果在步驟1105，使用者809用其相關的資訊（URL、憑證等）指示了網站群_職的更新（添加、刪除或賴），必須有- 個來自SAS〇代理單元81〇和TPM/TSS 815的指示來添加或刪除對於所影響網站的特定網站記錄。 26 201141176 接著，在步驟1130，人員使用者809將用於網站A 83〇a 的URL提供給WAA 820。在步驟ιπ5，SASO代理單元81〇通過網路擷取或通過ΑΠ或其他解析技術的結合，攔截來自網站A 830a的密碼提示。隨後在步驟114〇，SAS〇代理單元81〇驗證網站A 830a是否是註冊網站群組中的一個成員以及如果確定是肯定的，就識別該群組。在步驟1145，SAS〇代理單元81〇請求人員使用者809為網站A 830a所屬的網站群組提供ss〇密碼。在步驟1150，人員使用者_為網站a8施提供（通過例如USIM、生物技術或鍵入）ss〇密碼。可替換地，步驟⑽ 和1150可變成透明並由SAS0代理單元81〇自動提供。接著’在步驟1155，SASO代理單元81〇檢查使用者_ 提供的sso密碼。在步驟1160，SAS〇代理單元⑽發送一個叫求到TPM/TSS 815來解除綁定和摘取用於網站A 8施的密碼。在該請求中’ SASO代理單元⑽包括對於網站A 83加的 SS0密碼和站點狐。在步驟1165，TpM/Tss 8i5使用對於網站A 830a的SS〇密碼和胤作為f料處理來贱前儲存的資料點中解除綁㈣於網站A㈣a的特定站點的密碼和憑證解除蚊和4碰取先前贿的特定_的密碼、亂列表和碼和網站URL。如果在以上步驟1165 =網站白勺憑證時’ TPM/TSS 815基於其剛從绑定記憶體中重新獲取的資料值，驗證其從SAS()代理單元⑽減的ss〇密 65中實現了驗證，那麼在步 A830a的特定網站的密碼和驟1170，TPM/TSS 815將對於網站憑證提供給SASO代理單元81〇。隨後在步驟1173，SAS0代理單元8 J〇

FTC 810使用比如網路擷取、填充對於網站A 830a的密石馬 27 201141176 位。隨後在步驟1175，職綱被填充敍偷剔，特疋_的密碼和憑證到網站A83Ga。隨後在步驟腦，冊密碼和憑證。在步驟1185，網站註冊的成功

At^ 在舞⑽，網紐冊域功被指示給代理早％⑽愈記錄在其㈣庫巾。毅在步驟1190 ，網站註冊的成功記錄還被記錄為在由ΤΡΜ密鑰保護的安全記憶射的儲存測量日tt、（SML)。在步驟119 的建立，包括由T驗卿5保持的特定站點的密it證。在網站_建立之後’當使用者想要存取網站A驗用於登錄來在隨後的_使用站_服務時，實際上進行斑 U30-1175相關步驟，只有在這種情況下終端結果不是初始站點註冊而是SSO登錄到_ A㈣a。Μ，如果使用者卿想要註冊到網站Β嶋而不是_ A83Qa，那麼先前用於網站 A 830a的相同步驟可被用於網站B 8施# ss〇註冊或認證，，而’用於網站B隱的網站特定資訊比如其肌、憑證、特疋站點的密碼和權杖將被使用來代制於網站A驗的那些。在一種可替換的實施例中，群組方式存取控制可在沒雜用者809的,月楚配置的情況下執行。作為替換，代理單元_可由控制對不同類型的網站群組的策略或設定檔資料 (其本身可以由TPM保護）來提供。在這樣的實施方式中，群組方式存取控繼由SASQ代理單元⑽在钱_置。此外，在安裝時間之後策略的更新也是可能的。圖12是根據本發明配置的無線通訊系統12〇〇的示例方塊圖。系統1200是包括至少-餘則1215和無線電存取網路 (議）湖的自由聯盟（Liberty AUiance)相容無線通訊系 28 201141176 統。WTRU被配置為與使用者㈣交互並且包括web ss〇單元 1212、平台處理單元 121〇、TpM/TSS 1217。12〇3 包括 ID供應商120和服務供應商1225。可替換地，ID供應商122〇可位於RAN 1203之外’例如在公共網際網路上。圖13顯不出根據另一個實施方式的圖12的系統12〇〇的元件之間的信號發送。特別的，在圖13中，基於ID-FF/SAML的 web-SSO技術也和TPM/TSS 1217提供的完整性檢查機制結合。在順序和/或内容中的其他改變也是可能的並且仍然在該實施方式的範圍内。在步驟1303，使用者12〇5通過指示運行 web-SSO單兀1212的願望（例如通過點擊它或者通過系統啟動默認等）來開始程序1300。在步驟1308，平台處理單元121〇請求TPM/TSS 1217來執行web_SS0單元1212的編碼完整性檢查。在步驟1312 ’ TPM 1217運行編碼完整性檢查並且將結果傳遞到平台處理單元1210。如果在步驟1312中的檢查是肯定的，那麼在步驟，登錄或認證資訊被提供到平台處理單元121〇並且傳遞到

web-SSO 單元 1212。在步驟 i320，web-SSO 單元 1212 請求 TPM 1217來擷取先前使用TPM密鑰儲存的登錄憑證。在步驟1324, TPM 1217摘取並且將登錄憑證資料傳遞到web_ss〇軟體 1212。在步驟1328，web-SSO單元1212使用擷取的登錄憑證資料來登錄到IDP 1220。在步驟1332，IDP 1220發送介紹cookie 到 web-SSO 單元 1212。接著，在步驟1336 ’ web-SSO單元1212驗證SP 1225。在步驟 1340 ’ SP 1225 詢問 web-SSO 單元 1212 (i) web-SSO 單元1212疋否具有來自IDP 1220的cookie ’（ii) web-SSO單元 29 201141176 1212是否想要使用其聯合Π3 (如IDP1220支援的），以及（iii) web-SSO單元1212是否支援憑證開始其平台安全狀態的狀態，其由平台限定TPM私鑰標記，其公鑰已經儲存在sp中或可由 PCA獲得。較佳地，在步驟1220，PCA可以是IPD。隨後，在步驟1344，web-SSO單元1212發送平台可信賴狀態到TPM/TSS 1217。在步驟1348，TPM/TSS 1217建立並傳遞TPM保持的私人簽名密鑰簽署的用於證明平台的可信賴狀態的憑證到Web-SSO軟體1212。在步驟1352，web-SSO單元 1212指示給SP 1225⑴其具有來自IDP 1220的cookie，（ii) 其想要使用由IDP 1220保持的它的聯合帳戶，以及還發送（iH) 平台安全性狀態憑證到SP 1225。在步驟1356，SP 1225借助於 PCA的幫助來評估web-SSO單元1212發送的可信憑證。隨後在步驟1358’SP 1212請求web-SSO單元1212重新導向和再次驗證，這一次使用聯合認證請求。接著，在步驟1362’ web-SSO單元1212發送聯合認證請求到IDP 1220。在步驟1364 ’ IDP 1220產生聯合姓名Π)和相關的認證狀態。在步驟1368, IDP 1220請求web-SSO單元1212 重新導向到SP 1225。在步驟1372，Web-SSO單元1212請求 TPM/TSS 1217擷取已經用由TPM/TSS 1217密鑰保護儲存的聯合<證明>的聯合假像。在步驟1376，TPM/TSS 1217擷取假像

資料並將其傳遞到web-SSO單元1212。在步驟1380，web-SSO 單元1212將由IDP 1220保持的擷取的聯合<證明>假像發送到 SP 1225。接著，在步驟1384，SP 1225用IDP 1220初始化驗證過程來使用SOAP協定驗證用於人員使用者1205的<證明>。在步驟 201141176 4用SOAP協定異換驗證過程。在步驟丨982， ^ 1225評估用於人員使用者12Q5的所述〈證步謂6，_5指示給的授權起動’以及-細被提供給人員制者i2 顯示器等）。圖13的可替換實施方式中，設備的可信賴狀態可由IDP 1220評估—錢錢後如果需要鱗個sp i225通訊由其使用。讀資訊的交付可通過聯合方案比如saml或s〇Ap程中的比如⑽kie或其他已存在或修改的訊息/齡的方式來完雖然本發明的特徵和元素在較佳實施方式中以特定的結合進行了描述，但每㈣徵或元素可以在沒_述優選實施^ 的其他特徵和元素輯況下單獨使用，或在與或不與本發明的其他特徵和元素結合的各錄況下使^本發明提供的方法或流程圖可以在由_電腦或處理器執行的電腦程式、軟體或勒體中實施’其巾所述電_式、軟體或_是以有形的方式包含在電腦可賴存舰巾的，關於電腦可输存舰的實例包括唯讀記憶體（ROM)、隨機存取記憶體（RAM)、暫存器、衝記憶體、半導體儲存設備、内部硬碟和可行動磁片之類的磁性媒體、磁性光學媒體以及CD_R0M碟片和數位多功能 (DVD)之類的光學媒體。舉例來說，恰當的處理器包括：通用處理器、專用處理器、傳統處理器、數位信號處理器（DSP)、多個微處理器、與^ 核心相關聯的-個或多個微處理器、控制器、微控制器？積體電路（ASIC)、現場可程式化閘陣列（FI>GA)電路、任何 31 201141176 種積體電路（ic)和/或狀態機。與軟體相關聯的處理器可以用於實現射頻收發信機，以在無線傳輸接收單元（WTRU)、使用者設備、終端、基地台、無線電網路㈣ϋ或是任何—種城賴巾加祕用。WTRU可以與採用硬體和/錄體形式實施賴組結合使L相機、攝影機模組、視頻電路、揚聲器電話、振動設備、揚聲器、麥克風、電視收發信機、免持耳機、鍵盤、藍牙⑧模組、調頻（FM) 無線電單元、液晶顯示器（LCD)顯示單元、有機發光二極體 (OLED)顯示單元、數位音樂播放器、媒體播放器、視訊遊戲機模組、網際網路瀏覽器和/或任何一種無線區域網路（WLAN) 模組。【圖式簡單說明】從以下關於優選實施方式的描述中可以更詳細地瞭解本發明，這些優選實施方式是作為實例給出的，並且是結合附圖而被理解的，其中：圖1是根據現有技術的用於WTRU的web-SSO的示例流程圖；圖2是根據現有技術的用於web-SS〇處理配備有自由聯盟 ID-FF的WTRU的示例流程圖；圖3顯示出SAML元件之間關係的方塊圖；圖4顯示出SSO中SP發起的後·後捆綁的例子；圖5顯示出一般TPM的方塊圖；圖6顯示出由外部使用TPM AIK的用於AIK憑證驗證過程的例子；圖7是TPM和TSS中的不同層的方塊圖； 32 201141176 圖8是無線通訊系統的示例方塊圖；圖9是使用TPM_TSS的安全自動登錄的實施方式的示例方塊圖，圖10是使用TPM+TSS和設備可信鏡像的安全自動登錄的實施方式的示例流程圖；圖11疋基於使用TPM的群組方式密碼的使用tpm+tsS 的用於網路存取的SSO的實施方式的示例流程圖；圖12是使用自由聯盟ID-FF的無線通訊系統的示例方塊圖；圖13是使用自由聯盟ID-FF的ΤΡΜ+TSS保護的web_SSO 的實施方式的流程圖。【主要元件符號說明】 SSO 單點登錄 SW 應用程式 IDP 身份供應商 SP 服務供應商 SAML 安全宣示標記語言 RNG 亂數產生器 AIK 證明身份密鑰 CA 憑證管理中心 TCG 信賴運算集團 TSPI 服務供應商介面 TSP 服務供應商 TSS 軟體堆疊 TCSI 核心服務介面 33 201141176 TCS 核心服務 TPM 可信賴平台模組 TDDLI 設備驅動器介面 TDDL 設備驅動器庫 800 無線通訊系統 805、WTRU 無線傳輸接收單元 TPM/TSS、815 可信賴平台模組/軟體堆疊 SASO 單一自動登錄 900、1000、1100、1300 程序 RAN 無線電存取網路 DTM 設備信賴鏡像 WAA 網路存取應用程式 1200 無線通訊系統 34

Claims

201141176 七、申請專利範圍： 1. 使用-單點登錄（SSO)技術以執行安全密碼管理的無線傳輸/接收方法’該方法包括： ^ sso代理單元，用於從—使用者接收-使用者認證貝料、用於獲得-網站的—使用者特定登錄資訊的一請求、以及用於將該使用者特定登錄資訊提供給一網路存取應用程式（WAA); 女全模組，用於儲存該網站的該使用者特定登錄資訊以及使用者認證資料、用於比較該接收的使用者認證資料與該儲存的使时認證㈣、以及在触較騎定時，將該儲存的使用者特定登錄資訊轉發到該ss〇代理單元；一旦接收到存取該網站的一使用者請求，該WAA用於自動接收由邊SSO提供的該使用者特定登錄資訊並將所提供的使用者特定登錄資訊傳送到該網站。 2. 如申請專利範圍第1項所述的WTRU，其中該ss〇代理單元要求該使用者認證資料以存取儲存在該安全模組中的該使用者特定登錄資訊。 3·如申請專利範圍第1項所述的WTRU，其中該使用者認證資料是基於至少一個因素。 4·如申請專利範圍第3項所述的WTRU，其中該因素其中之一是一使用者生物資訊。 5. 如申請專利範圍第3項所述的WTRU，其中該因素其中之一是一個人識別號碼（PIN)或一密碼。 6. 如申請專利範圍第1項所述的WTRU，其中一旦使用者認證資料被成功地提供，存取被自動地授權給一預識別網站群組 35 201141176 中的所有網站。 7. 如申請專利範圍第丨項所述的WTRU，其中該使用者特定登錄資訊包括至少一 URL以及一網站特定密碼。 8. 如申請專利範圍第7項所述的WTRU，其中該安全模組產生並維持對於各網站為不同的憑證。 9·如申請專利範圍第8項所述的WTRU’其中該網站特定密碼疋僅儲存在該安全模組中的一隨機密碼。 1〇.如申請專利範圍第1項所述的WTRU，其中，在該比較為肯定時，一附加網站可被存取。 η.如申請專利範圍第1項所述的wtru，其中該sso代理單元從該網站接收至少一安全登錄憑證以及使用該安全登錄憑證認證該網站。 12·如申請專利範圍第1項所述的WTRU，其中該SSO代理單元提示該使用者是否對一網站群組使用一 ss〇操作。 13. 如申請專利範圍第12項所述的WTRU，其中該提示包括對 s亥網站群組的一子群組使用SSO操作的一選項。 14. 如申請專利範圍第13項所述的WTRU，其中該WTRu被配置用於使用一自由聯盟身份聯合框架（ID_pF)來執行一 ss〇服務。 15. 如申請專利範圍第1項所述的WTRU，其中該WTRU被配置用於認證一設備信賴鏡像（DTM)，以建立與該DTM的一可信賴關係以及與一無線電存取網路的一安全鏈結。 16·如申請專利範圍第1項所述的WTRU，其中一 DTM提供鏡像該WTRU的可信賴性的一服務，並且該DTM被配置用於提供一可信賴性資訊給該資訊的一外部請求方。 201141176 是一 17.如申請專利範圍第1項所述的WTRU，其中該安全模組可信賴平台模組（TPM)。是一 18.如申請專利範圍第1項所述的WTRU ’其中該安全模組智慧卡。 ' 19·如申請專利範圍第1項所述的WTRU，其中該安全模組是一用戶身份模組(SIM)卡。尺 20·如申請專利範圍第1項所述的WTRU，其中該安全模組是— 通用積體電路卡（UICC)。 21. 如申請專利範圍第1項所述的WTRU，其中該ss〇代理單元5己錄一迷、碼資訊並將該密碼資訊儲存在該安全模組中。 22. 如申請專利範圍第21項所述的WTRU，其中該密碼資訊是使用一密鑰綁定技術而被儲存在該安全模組中。 23. 如申請專利範圍第1項所述的WTRU，其中該安全模組儲存該WTRU的一唯一身份。 24. 如申請專利範圍第23項所述的WTRU，其中該安全模組是一通用用戶身份模組（USIM)。 25. 如申請專利範圍第22項所述的WTRU，其中使用密鑰鄉定技術包括使用基於一唯一身份的一加密密錄階層。 26. —種用於為一無線傳輸/接收單元(WTRu)所存取的一網站群組中的至少一網站提供安全單點登錄（SSO)的方法，該 WTRU包括一安全模組以及一網路存取應用程式（WAA)，該方法包括：該WTRU確定該網站群組；使用至少一認證因素來認證一使用者；獲得對一登錄資訊的一請求； 37 201141176 從該安全模組提供該登錄資訊給該WAA ;以及旦使用該提供的登錄資訊認證該使用者，到從該網简__—_。包^巧專利域第26項所述的方法’其愤供該登錄資訊確定對該登錄資訊的該請求是否源自屬於該網站群组的至少一網站；以及一當對該登錄資訊的該請求源自屬於該網站群組的至少凋站時，從該安全模組提供該登錄資訊至該WAA。 28. 如^請專利範圍第27項所述的方法，其中所述的提供該登錄資訊被執行，_以該安全獅㈣—驗的安全性。 29. 如申請專利範圍第26項所述的方法’其中該安全模組產生用於存取從該網站群組選擇的網站的一隨機特定站點密碼。 30. 如申請專利範圍第26項所述的方法，其中該安全模組儲存用於存取屬於該網站群組的網站所產生的一隨機密碼。 31. 如前述申請專利範圍任一項所述的方法，其中確定該網站群組包括從一使用者接收該網站群組。 32. 如申請專利範圍第26項所述的方法，更包括藉由將一密碼資訊儲存在該安全模組中來記錄該密碼資訊。 33. 如申請專利範圍第32項所述的方法，其中該記錄的密碼資訊是使用一密鑰綁定技術而被儲存在該安全模組中。 34. 如申請專利範圍第26項所述的方法，更包括將該wtru的一唯一身份儲存在該安全模組中。 35. 如申請專利範圍第26項所述的方法，更包括將該Wtru的一唯一身份儲存在一通用用戶身份模組（USIM)中。 38 201141176 36. 如申請專利範圍第33項所述的方法，其中使用密鑰綁定技術包括使用基於一唯一身份的一加密密鍮階層。 37. 如申請專利範圍第26項所述的方法，其中所述的安全地登錄到從該網站群組中選擇的該網站包括建立與該網站的一憑證資訊相關聯的一唯一使用者身份和密碼。 38. 如申請專利範圍第26項所述的方法，更包括藉由自動地發送一使用者憑證到從該網站群組中選#的其他網站來登錄到該其他網站。 39.如申請專利範圍第38項所述的方法，其中該使用者憑證與資料一起發送。 40·如申請專利範圍第26項所述的方法，更包括感測該使用者的一生物資訊。 41. 如申請專利範圍第40項所述的方法，其中該感測的生物資訊被用於認證目的。 42. 如申請專利範圍第26項所述的方法，其中該安全模組是一可信賴平台模組。 43. 如申請專利範圍第26項所述的方法，其中該安全模組是一智慧卡。 44. 如申請專利範圍第26項所述的方法，其中該安全模組是一用戶身份模組(SIM)卡。 45. 如申請專利範圍第26項所述的方法，其中該安全模組是一通用積體電路卡（UICC)。 46. 如申請專利範圍第26項所述的方法，其中該安全模組產生一高熵值特定站點密碼以用於存取從該網站群組選擇的站。 ' 、 39 201141176 47. —種使用一單點登錄（sso)技術經由一設備信賴鏡像 (DTM)以執行安全密碼管理的方法，該〇ΤΜ充當—無線傳輸/接收單元(WTRU)可信賴服務的一代理，該方法包括：從該WTRU接收一完整性資訊以及一想要的服務列表；針對從該想要的服務列表中的至少一服務建立代砉 WTRU的一登錄資訊；從該WTRU接收一存取請求’該存取請求請求存取該至少一服務；〆傳送存取該至少一服務的該請求；為該至少一服務提供該建立的登錄資訊；以及將一存取授權訊息傳送到該WTRU以使該WTRU能存取該至少一服務。 48. 如申請專利範圍第47項所述的方法，更包括使用該完整性資訊來建立與該WTRU的一可信賴關係以及至該WTRU的一安全鏈結。 49. 如申請專利範圍第47項所述的方法，其中該完整性資訊包括來自該WTRU的一認證資料以及一登錄證明資料。 5〇.如申請專利範圍第47項所述的方法，其中建立登錄資訊包括產生用於存取該至少一服務的一隨機密碼。 51.如申請專利範圍第47項所述的方法，其中建立登錄資訊包括產生用於存取該至少一服務的一高熵值密碼。