使用聚合安全引擎针对网络服务提供商的隐私增强密钥管理制造技术

在实施例中，处理器的安全引擎包括用于生成将系统用户与提供网络服务的服务提供商相关联的密钥配对的第一密钥对的身份提供者逻辑，并且具有经由网络耦合到所述系统的第二系统，用于执行与所述第二系统的安全通信以使所述第二系统能够检验所述身份提供者逻辑在受信执行环境中执行，并且响应于所述检验，用于将所述第一密钥对的第一密钥发送到所述第二系统。这一密钥使所述第二系统能够检验由所述身份提供者逻辑传送的根据多因素验证已经针对所述系统验证了所述用户的声明。还描述和请求保护了其他实施例。

【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
由于互联网和基于网络的交互的激增，计算机用户在日常基础上与10个甚至100个基于互联网的网络服务提供商交互。每个服务提供商希望维持订户基础以便维持对其客户的密切接近。因此，期望用户管理10个甚至100个帐户和相对应的用户名和密码。用户经常误用密码凭证(例如，使用弱密码和重复使用密码和用户名)以便容易地访问基于网络的服务。会发生若干问题，包括跨站点的帐户攻击、服务提供商勾结和用户交易的跟踪。这些攻击导致用户失去对于他们的信息、现实世界资产的控制、名誉受损以及甚至失业。用户研究表明密码管理是主要的可用性挑战并且是网络帐户管理不善的主要因素。当前的解决方案依赖于用户帐户创建协议，其涉及用户创建密码以及提供一系列密码重置挑战问题(例如，喜欢的宠物)。这些机制较弱，因为许多时候挑战信息是公开的和/或容易被推导出。另一方案将公钥架构(PKI)结合到网站和客户端中。然而，用户客户端必须购买用于与每个服务提供商使用的客户端X.509证书，这对于大多数用户来说是极其昂贵的。类似地，使用针对特定服务提供商验证用户的一次性口令(OTP)设备对于分散的OTP设备来说是极其昂贵的。软件OTP设备可以用于降低成本，但是每个服务提供商必须支持特定的OTP实现，并且在任何情况下OTP设备仅能够用于验证而无法用于对数据进行加密或签名。附图说明图1是说明根据本专利技术实施例在各种组件之间的通信的系统的方框图。图2是根据本专利技术实施例在Sigma会话中发生的通信的高级视图。图3是根据本专利技术实施例用于以安全的方式与网络服务提供商进行通信的方法的流程图。图4是根据本专利技术实施例的系统布置的方框图。图5是实施例可以使用的示例系统的方框图。具体实施方式在各种实施例中，身份提供者(IdP)逻辑可以被嵌入在安全引擎中，该安全引擎在诸如处理器、芯片集等等的半导体设备内提供受信执行环境(TEE)。这一安全引擎在本文被称为聚合安全引擎(CSE)。在实施例中，IdP使用工业标准安全声明标记语言(SAML)消息来报告用户的验证状态。CSE用于保护敏感的用户验证数据和用户-服务提供商配对密钥。当用户浏览服务提供商网页时，该服务提供商(SP)挑战用户以使用SAML重新导向机制进行验证。这一挑战在系统中被自动处理，无需用户直接执行与SP的挑战-响应交互。托管IdP的CSE接受SAML挑战。这一方案允许SP采用SAML，因为用户将总是具有挑战会被重新导向到的IdP。在TEE中执行的CSE也直接验证用户(而不是要求SP执行这一任务)。本地处理验证挑战允许多因素验证的大部分复杂性对于SP是隐藏的，降低了采用密码替代物的障碍。更具体地，实施例可以使用SAML消息交换来导向和仔细安排将用户与SP相关联的用户-SP密钥配对的动态创建，其中每个SP被提供有验证用户(客户端)到SP网站的后续访问的不同的非对称或对称密钥。虽然与用于管理密码的方案类似，但是这一配对以强的加密凭证来代替密码。注意到，虽然本文描述的实施例是关于对用户帐户、网站内容等等的互联网网络访问，但是应该理解，该验证过程可以更一般地应用于对由SP提供的任何网络服务的访问。用户使用包括加入准许以建立配对关系的隐私控制，并且进一步通过使用加入准许以使用配对密钥(例如，响应于SP验证挑战)，来保留对于用户与SP之间的关系的控制。通过使用在制造时间时嵌入在客户端平台中以在配对时建立匿名安全信道的增强型隐私标识符(EPID)密钥来进一步增强隐私。匿名身份表明客户端TEE是真实的，但是不表明哪一个具体平台正在建立配对。为此，协议使得用户能够使用先前创建的帐户，SP将该先前创建的账户与配对相关联。实施例也可以支持一次性密码或带外机制的使用以将配对密钥关联到用户的帐户信息(例如，SP将具有使用配对密钥返回的个人身份号码(PIN)的文本或电话消息发送给用户)。现在参照图1，示出了系统100的方框图，该系统100说明了系统的各种组件之间的通信。更具体地，系统100是网络环境，在该网络环境中，客户端系统110寻求访问服务提供商160的信息，例如经由该服务提供商的网页服务器或其他系统提供基于网络的信息的网络服务提供商。在不同的实现中，客户端系统110可以是由用户使用的任何类型的计算设备，例如台式计算机、膝上型计算机、超级本、平板计算机、电子阅读器、智能手机或其它这样的设备。一般而言，客户端系统110包括各种组件，包括处理器120，例如包括一个或多个处理器核心和其他引擎的中央处理单元(CPU)，显示器130，CSE 140以及存储装置150，该存储装置被配置为存储包括浏览器155以使得用户能够经由互联网访问网页的各种应用程序。当然，虽然为了便于说明仅仅示出了这一有限数量的组件，但是客户端系统能够包括许多其他组件。在图1中还说明了在客户端系统110内的组件之间以及在客户端系统110与服务提供商160之间发生的多个通信。虽然以特定数字顺序示出来说明实施例的高级特征，但是应该理解，并非需要所有这些通信，并且还应该理解，可以出现不同的顺序和不同的通信。作为初始操作，在系统初始化时，可以请求用户针对该系统进行验证。注意到，可以提供许多不同类型的验证机制，并且应该理解，一些实施例指示发生了多因素验证过程。虽然本专利技术的范围不局限于此，但是这样的多因素验证可以包括多个不同的验证机制，包括经由键盘、触摸板、触摸屏等等的用户输入，近场通信，无线通信，和/或存在验证，以表明用户存在于系统的位置中并且是授权用户。其他验证机制可以包括其他生物统计特征，例如通过视网膜扫描、指纹或其他基于生物统计的识别机制。注意到，系统的各种传感器可以用于验证目的，包括根据用户携带或接近设备的基于加速度计的验证，键盘输入力和/或速度的生物统计感测等等。一般而言，在验证中使用的传感器可以包括多个不同的验证和存在监控机制，包括多个生物统计、接近度和传统的(例如密码)传感器。这一用户验证可以在使用客户端系统的过程早期或者在该过程中发生，并且能够独立于对服务提供商的任何访问。这些验证程序可以至少部分地使用包括如在本文描述的IdP逻辑的CSE 140来执行。虽然本专利技术的范围不局限于此，但是CSE 140可以在TEE内执行并且可以被实现为芯片集组件的固件，例如是能够例如通过虚拟化技术来创建和执行受信执行环境的芯片集的可管理性引擎(ME)的固件。这一固件因而可以在包括诸如<本文档来自技高网...

【技术保护点】
一种系统，包括：安全引擎，所述安全引擎包括身份提供者装置，所述身份提供者装置用于生成将所述系统的用户与服务提供商相关联的密钥配对的第一密钥对，所述服务提供商提供网络服务并且具有经由网络耦合到所述系统的第二系统，所述身份提供者装置用于执行与所述第二系统的安全通信以使所述第二系统能够检验身份提供者逻辑在受信执行环境中执行，并且用于响应于所述检验，将所述第一密钥对的第一密钥发送到所述第二系统，所述第一密钥用于使所述第二系统能够检验由所述身份提供者装置传送的表示已经根据多因素验证针对所述系统验证了所述用户的声明；以及至少一个传感器装置，用于将关于所述用户的感测信息提供到所述安全引擎，其中，所述安全引擎用于使用所述感测信息来验证所述用户。

【技术特征摘要】
【国外来华专利技术】2012.12.20 US 13/721,7601.一种系统，包括：
安全引擎，所述安全引擎包括身份提供者装置，所述身份提供者装置
用于生成将所述系统的用户与服务提供商相关联的密钥配对的第一密钥
对，所述服务提供商提供网络服务并且具有经由网络耦合到所述系统的第
二系统，所述身份提供者装置用于执行与所述第二系统的安全通信以使所
述第二系统能够检验身份提供者逻辑在受信执行环境中执行，并且用于响
应于所述检验，将所述第一密钥对的第一密钥发送到所述第二系统，所述
第一密钥用于使所述第二系统能够检验由所述身份提供者装置传送的表示
已经根据多因素验证针对所述系统验证了所述用户的声明；以及
至少一个传感器装置，用于将关于所述用户的感测信息提供到所述安
全引擎，其中，所述安全引擎用于使用所述感测信息来验证所述用户。
2.根据权利要求1所述的系统，其中，所述身份提供者装置用于生成
所述声明并且使用所述密钥配对的第二密钥对所述声明进行签名，其中，
所述服务提供商用于响应于对签名的声明的检验而使得能够经由所述第二
系统访问所述网络服务。
3.根据权利要求2所述的系统，其中，所述安全引擎用于生成沿着所
述系统的受信路径传送的请求，所述请求要求确认所述用户寻求生成将所
述用户与所述服务提供商相关联的所述密钥配对。
4.根据权利要求2所述的系统，其中，所述安全引擎用于在所述用户
寻求访问所述网络服务之前根据所述多因素验证来验证所述用户。
5.根据权利要求1所述的系统，其中，所述身份提供者装置用于从所
述第二系统接收验证请求并且响应于所述验证请求而生成所述声明。
6.根据权利要求1所述的系统，其中，所述安全引擎用于从对应于加

\t速度计的所述至少一个传感器接收所述感测信息，以获得关于所述用户的
生物统计信息。
7.一种方法，包括：
在客户端系统的安全引擎的身份提供者逻辑中接收验证请求，所述验
证请求是从具有所述客户端系统的用户寻求访问的网络服务的服务提供商
接收的；
生成表示已经通过多因素验证针对所述客户端系统验证了所述用户的
声明，并且使用将所述用户与所述服务提供商相关联的密钥配对的第一密
钥对所述声明进行签名；以及
将签名的声明发送到所述服务提供商，其中，所述服务提供商用于响
应于对所述签名的声明的检验并且无需与所述用户的挑战-响应交互而使得
所述用户能够访问所述网络服务。
8.根据权利要求7所述的方法，还包括在所述用户寻求访问所述网络
服务之前根据所述多因...

【专利技术属性】
技术研发人员：N·M·史密斯，C·P·卡希尔，V·C·穆尔，J·马丁，M·J·谢勒，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US