本发明专利技术公开了用于来自用户平台的可信认证和接入的方法,包括:用户平台使用与用户平台的用户相关联的预定的身份登陆服务提供方,用户平台被服务提供方重定向至由预定的身份指示的身份提供方;用户平台接收来自身份提供方的认证质询;经由驻在用户平台上的可信模块,用户平台获得指示由认证中心认证身份的证书;在可信模块生成用于在身份提供方认证用户平台的权证,权证包括指示由认证中心认证身份的证书;响应于认证质询,用户平台将权证传送至身份提供方以认证用户平台;如果权证验证成功,用户平台一旦接收指示权证验证成功的状态消息则接入服务提供方,从而确保用户平台的用户合法;如果权证验证失败,接收与失败原因相关联的重定向消息。
【技术实现步骤摘要】
【专利说明】 本申请是申请号为200980162122. 8、申请日为2009年09月14日、专利技术名称为"用 于可信认证和登录的方法和装置"的中国专利技术专利申请的分案申请。
本申请设及认证和接入。
技术介绍
身份管理W及用户认证和接入对于网络(Web)使用、移动服务、无线通信和其他 服务来说是至关重要的问题。存在许多认证和接入协议。例如,开放ID的penID)是开放的、 分散的构架,并且是用于用户认证和接入控制的方法。单个数字身份允许用户登录一次,并 且获得对多个服务的接入。数字身份通常是W唯一通用资源定位符扣化)为形式的,该U化 通常由身份提供方提供化ost)。当用户期望用数字身份接入服务提供方时,所述身份提供 方对该用户进行认证。化enID构架允许用不同的认证方法来认证用户。为了声明在身份提 供方处的身份,能够使用几种方法;最常用的是登录表格(form)的使用,用户在该登录表 格中提供密码。然而,没有使用可信的系统,依赖方将不能获得足够的证据来建立与递交认 证凭证的通信伙伴之间的信任关系。用户凭证(例如,W用户名/密码相结合的形式)不 被绑定至平台,因此能够被盗取。攻击者能够使用盗取到的凭证来化合法用户的名义接入 服务。通过将用于化enID协议的认证凭证绑定至平台及其该平台值得信赖的状态,能够提 高化enID协议的保密性和安全性。 在基于权证(ticket)的认证和授权协议中,软件令牌(即,权证)用于证明单个 实体/用户的身份。基于该些令牌,针对特定系统的接入被限制于产生合适的令牌的实体 /用户。此外,被包括在令牌中的数据除了可W用于只实施认证之外,还可W用于实施能够 进行基于令牌的接入控制方案的认证控制。 另一个认证和授权协议将证明(attestation)身份密钥(AIK)用作识别权证系统 中的凭证,其中该AIK由可信平台模块(TPM)在可信计算环境中生成。AIK用于对信任测量 签名,化及证实(certify)由TPM生成的密钥。该样的基于可信权证的系统的当前实施需 要使用中央数据库来维护用于权证加密的共享密钥数据库或公钥基础设施(PKI),并且所 有服务提供方需要被修改W评估和接受所接收到的权证。
技术实现思路
公开了用于可信认证和登录的方法和装置。基于可信平台模块(TPM)的登录方法 被提出W用于认证和接入。用户利用与该用户的特定平台(例如,TPM)紧紧绑定的身份提 供方来注册身份。例如,如果用户决定使用该个身份来登入到服务提供方,则身份提供方质 询(challenge)用户提供正确的凭证。在该种方法中,用于合并密码凭证链的凭证由TPM 生成的权证组成。该允许用户登入而不需要在身份提供方处的密码。在用户的特定平台处 的本地密码可W-直被使用W保护身份不受本地攻击。 登录与特定平台的完整性验证结合。使用对TPM的平台配置寄存器(PCR)的TPM 签名的声明,其中该PCR安全地存储系统配置,身份提供方可W将报告的系统状态和先前 生成的参考值进行比较,并且只允许合法用户使用值得信赖的平台来登入,并且声明身份。 该个结合的认证和证明,通过不仅将认证数据绑定到特定的平台,而且将该认证数据绑定 到被认为是值得信赖的预定义的系统状态来允许细粒度(finegrained)接入控制。该能 够允许用于认证和接入方法的新的使用情况,该新的使用情况需要增强的系统保密性和安 全性,W及将不允许任何导致不值得信赖系统的修改。【附图说明】[000引更详细的理解可W从W下结合附图并且举例给出的描述中得到,其中: 图1示出了用于认证和接入系统的示例高层架构; 图2示出了用于认证和接入方法的示例高层信号流图; 图3(a)和3(b)示出了用于认证和接入方法的示例信号流图;[001引图4是长期演进(LT巧的无线通信系统/接入网的实施方式拟及 图5是LTE无线通信系统的无线发射/接收单元和基站的示例方框图。【具体实施方式】 下文设及的术语"无线发射/接收单元(WTRU)"包括,但并不限于用户设备扣E)、 移动站、固定或移动订户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机或者能在无 线环境下操作的任何一种类型的用户设备。下文设及的术语"基站"包括但并不限于节点 B、演进型节点B、站点控制器、接入点(A巧或者能在无线环境下操作的任何一种类型的接 口设备。 该里的公开内容将化enID协议用作示例认证和接入系统,并且可应用至其他认 证和接入系统。首先描述基本的实体和它们的高层流,之后详细论述方法。 图1是示例认证和接入系统100,该系统100包括但不限于;客户端/用户平台 110、身份提供方 120、隐私认证中屯、(privacyce;rtificationauthorityPCA) 130W及服 务提供方140。客户端/用户平台110、身份提供方120W及服务提供方140通过无线和有 线通信系统的任意组合来与彼此通信。客户端/用户平台110还与PCA130通信,该PCA 130与存储介质160通信,该存储介质160例如存储证实(certification)。 客户端/用户平台110可W是WTRU、基站、计算平台,或者任何可能需要认证的设 备。客户端/用户平台110包括但不限于;可信平台模块(TPM) 115,该TPM115为客户端/ 用户平台110提供远程证明W及数据密封和绑定能力。TPM115是存储密钥、密码、数字证 书的微控制器,并且该TPM115能够生成密码密钥。该TPM可W附着在母板上,或者集成在 系统的巧片组中,并且可W用在任何需要该些功能的计算设备中。TPM115确保存储在其中 的信息变得更加安全,W防止来自外部的软件攻击、物理篡改W及窃听。如果在启动顺序期 间针对组件采用的测量值不如预期的那样等于参考测量,则TMP115或客户端/用户平台 110中针对数据和秘密的接入可W被拒绝。由此,如安全电子邮件、安全网络接入化及数据 的本地保护之类的重要应用和能力变得更加安全。尽管该里讨论的是可信平台模块,但是 其他可替换的信任中屯、可W被使用,例如,移动可信模块。TPM115使用签注密钥巧K),该邸是2048比特RSA公共和私有密钥化在制造期 间,该密钥对在巧片上被随机地创建,并且不能够被改变。私有密钥从不离开巧片,而公共 密钥则用于证明化及用于发送给巧片的敏感数据的加密。邸的公共部分通常经由邸证书 而被PCA130已知,W用于证明的目的。总体来说,无论TPM115何时需要向检验者(例如, 身份提供方)来认证它自己,它都生成第二个被称作证明身份密钥(AIK)的RSA密钥对,将 该AIK公共密钥发送至PCA130,并且相对相应的邸认证该个公共密钥。如果PCA130在 它的列表中发现该个邸,则它在TPM115的AIK上发出证书。TPM115随后可W提供该个 证书给身份提供方120,并且认证它自己。 如该里所陈述的,AIK(在该AIK中至少包含身份)表示该里所描述的权证的至少 一部分。然而,作为权证的AIK的使用受TPM115限制。因此,一个被称为证实密钥操作的 间接手段被使用,其中,由TPM115生成签名密钥,并且通过用AIK对该签名密钥进行签名 来证实该签名密钥。该个密钥被称作证实的签名密钥(CSK)。本文档来自技高网...
【技术保护点】
一种用于来自用户平台的可信认证和接入的方法,该方法包括:所述用户平台使用与所述用户平台的用户相关联的预定的身份登陆服务提供方,其中,所述用户平台被所述服务提供方重定向至由所述预定的身份指示的身份提供方;所述用户平台接收来自所述身份提供方的认证质询;经由驻在所述用户平台上的可信模块,所述用户平台获得指示由认证中心认证所述身份的证书;在所述可信模块生成用于在所述身份提供方认证所述用户平台的权证,其中所述权证包括指示由认证中心认证所述身份的所述证书;响应于所述认证质询,所述用户平台将所述权证传送至所述身份提供方以认证所述用户平台;如果所述权证的验证成功,所述用户平台一旦接收指示所述权证的验证成功的状态消息则接入所述服务提供方,从而确保所述用户平台的用户合法;以及如果所述权证的验证失败,接收与验证失败原因相关联的重定向消息。
【技术特征摘要】
【专利技术属性】
技术研发人员:A·莱切尔,A·U·施米特,
申请(专利权)人:交互数字专利控股公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。