專利名稱:用于提供對于應用程序和基于互聯(lián)網(wǎng)的服務的可信單點登錄訪問的方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線通信。更具體的�����,公開了用于提供對于應用程序和基于
互聯(lián)網(wǎng)的服務的可信單點登錄(SSO)訪問以及可信的身份(ID)管理的方 法和設(shè)備��。
背景技術(shù):
由于無線通信設(shè)備的不斷增加���,需要增強和簡化用戶登錄到由第三方互 聯(lián)網(wǎng)內(nèi)容供應商提供的獨立安全網(wǎng)站的認證過程����。為了獲得對這些網(wǎng)站的訪 問�����,需要用戶為每個服務設(shè)置唯一的用戶ID和密碼�����。然而,使用符合不同 密碼策略的多個用戶ID和密碼是棘手的并且會變?yōu)榘踩笨?���。因此��,非?需要一種用于增強密碼管理的安全等級并且同時為無線通信設(shè)備用戶簡化 用戶認證過程的方法��。
因為第三方網(wǎng)站服務與無線網(wǎng)絡(luò)運營商保持獨立的協(xié)議����,所以將用戶認 證過程基于訪問網(wǎng)絡(luò)上的第三方服務是不現(xiàn)實的,該訪問網(wǎng)絡(luò)是無線網(wǎng)絡(luò)比 如無線電接入網(wǎng)絡(luò)(RAN)����、固定或低移動性無線網(wǎng)絡(luò)(例如IEEE 802.16 型網(wǎng)絡(luò))或者固定有線網(wǎng)絡(luò)。因為服務供應商和用戶經(jīng)常使用單個身份通過 多個RAN�����、無線網(wǎng)絡(luò)或固定網(wǎng)絡(luò)來訪問服務�����,用戶和第三方服務供應商將 有可能在不同網(wǎng)絡(luò)上實施SSO操作��,其中網(wǎng)絡(luò)運營商可保持對授權(quán)用戶許 可的控制。
在一種情況下�����,無線網(wǎng)絡(luò)運營商和第三方ID業(yè)務供應商可提供唯一用 戶ID給用戶來在不同類型的網(wǎng)絡(luò)����、運營商和服務供應商之間實現(xiàn)無縫的服 務連續(xù)性。唯一用戶ID可分解在不同網(wǎng)絡(luò)類型和實體的服務之間以及服務供應商邊界的頻率和高容量的改變帶來的過渡問題���。
對于密碼或認證證書的不良管理會對安全產(chǎn)生毀滅的影響�。攻擊者可通 過薄弱的或被盜的密碼來獲得對敏感數(shù)據(jù)的訪問����。不良的密碼管理還會導致
運行成本的增加。例如�,幫助桌面(Help Desk)需要容量會隨著需要重新獲 得或重置丟失或遺忘密碼的用戶的數(shù)量增加而大幅增加。
以下是將在下文詳細描述的用于改善密碼管理的現(xiàn)有技術(shù)特定密碼策 略�、無密碼認證、生物因素����、密碼同步、證書映射��、企業(yè)單點登錄(E-SSO)、 結(jié)合密碼同步的E-SSO����、網(wǎng)站單點登錄(Web-SSO)以及安全聲明標記語言 (SAML)。
為了增強用戶的密碼等級��, 一個組織實施特定密碼策略����。普通的密碼策 略需要用戶設(shè)置很難猜到的密碼或頻繁地更換密碼�。密碼策略還可備份用戶 密碼歷史紀錄來防止立即重用密碼,或?qū)嵤┓怄i策略來封鎖在一定量的嘗試 之后登錄失敗的任何人����。然而,實施好的密碼策略會增強密碼安全性時����,其 還鼓勵用戶設(shè)置便于記憶和管理的模式化密碼。例如�����,用戶可使用字符和數(shù) 字的組合來建立密碼���,比如@#$%9876來滿足密碼策略的復雜性要求�����。然而�����, 當用戶被系統(tǒng)提示來更改密碼時會使用舊密碼的變形來建立新密碼����,比如 @#$%8765或@#$%7654。模式化密碼的使用削弱了密碼的安全等級����,這是 因為已知用戶的密碼歷史會使得對舊密碼變形的破譯嘗試次數(shù)大大減少。因 為復雜的密碼很難記憶���,嚴格的密碼策略會導致用戶對于不同的服務采用相 同的密碼�。當在不同服務中都使用密碼時��,在任何一種服務中的單個密碼危 機會導致在所有其它服務中的密碼危機����。
無密碼認證是另一種用于改善認證過程安全性的技術(shù)�。個人和組織采用 不依賴用戶ID和密碼的認證方法����,比如智能卡和認證代碼。智能卡使用固 有密碼(個人身份號碼(PIN))來對存儲在卡上用于用戶認證目的的復雜密 碼解鎖����。這種設(shè)置消除了對用戶輸入密碼的需求,并且使用多因素認證(物理智能卡和存儲其上的PIN)來認證用戶�。然而,智能卡具有比如設(shè)置系統(tǒng) 的高預支付成本���,以及用于維持對丟失、被盜和其它危機卡的幫助桌面支持 的高維護成本�����。
使用生物因素來認證用戶也正流行起來�。普通的生物認證設(shè)備包括視網(wǎng) 膜掃描儀、指紋掃描儀和手部掃描儀����。這些設(shè)備用從用戶的身體屬性獲得的 數(shù)據(jù)來認證用戶。這種設(shè)備的一個缺陷是它們的實施和維護都是昂貴的。
密碼同步是允許用戶在多個系統(tǒng)中使用一個單一的密碼的技術(shù)��。在密碼 同步中�����,密碼是符合對于密碼重置和密碼更改的單一安全策略的��。在這種技 術(shù)中����,從一個位置提取密碼的純文本拷貝并且將其置于一個或多個外部服務 位置。為了實現(xiàn)這種方案���,每個用戶的用戶簡檔的拷貝必須在每個系統(tǒng)被建 立開始時就存在于其中����,并且在系統(tǒng)運行的整個時期都保持�����。密碼同步中的 密碼更改可通過單向推動或雙向推動來進行�。在單向密碼推動中,在中央系 統(tǒng)中的密碼更改被截取并被推動到網(wǎng)絡(luò)內(nèi)的其它位置�����。在雙向密碼推動中, 密碼更改可在任何系統(tǒng)中作出并且在整個密碼結(jié)構(gòu)中傳播��。
單向密碼推動的主要問題在于存儲密碼的系統(tǒng)的安全性測量����。因為同步 的密碼在多個系統(tǒng)中使用,在任一系統(tǒng)中的安全危機會導致所有系統(tǒng)中的災 難性的安全危機���。盡管雙向密碼同步提供更大的用戶靈活性��,但是其也會導 致其它問題����,比如建立密碼更改的無窮循環(huán)����。因為系統(tǒng)被程序化來將新的數(shù) 據(jù)傳播到系統(tǒng)的其它部分����,所以系統(tǒng)會受困于無盡的密碼更新過程來傳播在 單個密碼上的多個密碼更改。
因此����,盡管密碼同步使得用戶不需要記憶和管理網(wǎng)絡(luò)中多個密碼�����,但是 密碼同步也通過允許用戶使用一個密碼來訪問多個服務而削弱了密碼的安 全性����。
證書映射����,通常被稱為E-SSO,是一種代表用戶存儲�����、重新獲得和"鍵 入"用戶ID和密碼的技術(shù)��。為了實施E-SSO���, E-SSO軟件的一份副本必須被安裝在每個WTRU上�����。用于每個系統(tǒng)和應用程序的用戶ID和密碼被存儲 在本地文件�、附著于網(wǎng)絡(luò)的數(shù)據(jù)或者用戶目錄中。在最初的安裝之后��,用戶 可通過它們先前那樣的操作或者通過新的E-SSO軟件接口登錄到他們的工 作站����。當用戶請求使用他們的工作站連接到應用程序時,E-SSO軟件自動地 添加應用程序的登錄頁的用戶ID和密碼字段��。
在E-SSO系統(tǒng)中�,用戶使用一組或兩組用戶證書(例如用戶ID和密碼) 登錄到他們的工作站(O當用戶僅需要登錄到E-SSO軟件而不是他們的工 作站時;以及(2)當用戶必須登錄二者時�。
一些E-SSO系統(tǒng)支持除了用密碼登錄網(wǎng)站以及訪問用戶的證書簡檔的 其它認證技術(shù)的使用,包括智能卡�、認證符號或生物采樣。此外�����, 一些E-SSO 技術(shù)被配置為對于每個目標完全控制密碼管理���。這種方式消除了對用戶為任 意目標系統(tǒng)記憶密碼的需要����。E-SSO軟件自動代表用戶登錄����。
在E-SSO中,用戶不需要在目標系統(tǒng)上更改密碼���。軟件組織并預期密 碼更改請求并且代表用戶相應地更改密碼����。如果目標系統(tǒng)僅通過證書管理軟 件來訪問那么證書映射密碼管理特征是最佳的���。
盡管E-SSO系統(tǒng)提供保護用戶密碼的功能�,但是系統(tǒng)具有成本高和建 立繁瑣的缺陷���。實施E-SSO系統(tǒng)不僅需要為每個用戶建立登錄ID����,而且為 每個用戶對于每個目標應用程序存儲當前密碼����。建立E-SSO系統(tǒng)還需要安裝 客戶端軟件和配置證書數(shù)據(jù)庫用于存儲用戶ID和密碼。數(shù)據(jù)庫可通過專用 網(wǎng)絡(luò)服務或者通過擴展己有目錄(例如有效目錄�、LDAP、 NAS)的概要來 獲得��。證書數(shù)據(jù)庫本身具有多個要求。為了實現(xiàn)其目的�����,數(shù)據(jù)庫必須是快速 和可用的����,因為數(shù)據(jù)庫中的一個故障會阻止大量用戶登錄到任何系統(tǒng)。此外���, 數(shù)據(jù)庫也必須是安全的��,因為數(shù)據(jù)庫中的危機會導致所有系統(tǒng)中每個用戶證 書的危機�。
作為中央密碼控制系統(tǒng)�����,E-SSO引入了單故障點���。如果E-SSO系統(tǒng)或者證書數(shù)據(jù)庫出問題��,那么用戶不能登錄到任何系統(tǒng)����。此外����,E-SSO技術(shù)不 支持對于支持多個用戶接口的應用程序(例如客戶機、網(wǎng)站�����、電話等)的認 證過程����。此外,因為E-SSO依賴于Windows "截屏"技術(shù)�,E-SSO系統(tǒng)的 配置和管理成本很高,特別是在多種工作站上進行時���。因此���,E-SSO系統(tǒng)不 僅是緩慢、耗時����、建立和登記成本高的,并且還是易于單故障點�����。
將E-SSO與密碼同步結(jié)合會解決僅實施E-SSO系統(tǒng)的一些缺陷。例如��, 不用密碼同步技術(shù)����,用戶將不能使用他們的E-SSO密碼來登錄到使用可替代 的用戶接口的應用程序。因為用戶不是一定知道他們的密碼�����,使用私人客戶 端比如Microsoft Outlook的用戶不能通過網(wǎng)絡(luò)入口訪問e-mail帳戶����。通過將 密碼同步與E-SSO結(jié)合,用戶可使用他們的原始密碼來通過可替換接口比如 網(wǎng)絡(luò)入口登錄到其它應用程序�����。此外���,在配置E-SSO系統(tǒng)之前配置密碼同步 系統(tǒng)減小了獲得每個用戶的用戶ID簡檔的時間和精力�����。
在E-SSO系統(tǒng)中��,用戶證書典型地用從原始E-SSO密碼獲得的密鑰來 加密����。在這種配置下原始E-SSO密碼的丟失會導致對于每個系統(tǒng)的用戶證書 的丟失�。甚至在丟失的E-SSO密碼被重置后,加密證書將不能被訪問��,因為 證書是用從丟失密碼獲得的密鑰加密的����。換句話說,重置用戶的E-SSO密碼 將不能重新獲得用戶證書�����,并且用戶必須用E-SSO系統(tǒng)重新登記����。
為了解決這個問題,E-SSO系統(tǒng)必須提供"后門"來在E-SSO密碼重 置后恢復用戶證書�����。密碼重置系統(tǒng)必須集成該后門系統(tǒng)或者提供其本身的后 門。在重置用戶的原始E-SSO密碼之后����,密碼重置系統(tǒng)必須從安全存儲中恢 復用戶的先前密碼,解密用戶的舊證書并且用新的密碼和密鑰重新加密�����,從 而E-SSO客戶端軟件能夠被重新訪問����。
集成密碼重置、密碼同步和E-SSO系統(tǒng)解決了該問題并且允許組織能 夠享受到快速配置�、自動登錄和自我服務問題解決的益處。然而�,這些技術(shù) 的結(jié)合不能解決安全密碼和登錄證書的發(fā)行。此外��,在任何客戶機或服務器軟件或數(shù)據(jù)庫中的危機都會危及用戶簡檔�����。并且���,該結(jié)合還不能提供證明進
行密碼同步和E-SSO的系統(tǒng)的"健康"狀態(tài)的方式���。沒有這種證明�����, 一旦用
戶被系統(tǒng)授權(quán)���,用戶可在甚至系統(tǒng)有危機的時候訪問系統(tǒng)。
Web-SSO用應用程序和通過網(wǎng)頁瀏覽器訪問的資源來工作����。在Web-SSO 中�����,對網(wǎng)絡(luò)資源的訪問被網(wǎng)絡(luò)代理服務器或在目標網(wǎng)絡(luò)服務器上的組件攔 截�����,并且嘗試訪問網(wǎng)絡(luò)資源的未認證用戶被轉(zhuǎn)移到認證提示���,并且僅在成功 的登錄之后才被重新定向到原始站點��。Cookies是最常用于追蹤用戶的認證 狀態(tài)的�����,并且Web-SSO基礎(chǔ)從Cookies中提取用戶身份信息并且將其傳遞到 網(wǎng)絡(luò)資源���。
屏幕截取和聯(lián)盟是在Web-SSO中使用的兩種最重要的現(xiàn)有技術(shù)�。普通 類型的屏幕截取是網(wǎng)絡(luò)截取���。網(wǎng)絡(luò)截取也被稱為HTML截取或者頁面截取��, 是一種計算機程序網(wǎng)絡(luò)截取器從網(wǎng)頁上提取數(shù)據(jù)的技術(shù)��。網(wǎng)絡(luò)截取可被用于 E-SSO或Web-SSO中����。
截屏技術(shù)是有用的��,因為網(wǎng)頁是使用通常包括文本形式信息的基于文本 標示語言(例如HTML)來建立的����。相反,程序之間的數(shù)據(jù)交換通常使用不 易被人們理解的為機器設(shè)計的數(shù)據(jù)結(jié)構(gòu)來完成�。類似的�,用于用戶的數(shù)據(jù)輸 出通常不適用于機器解釋�����。因此�,需要截屏來完成程序之間的數(shù)據(jù)傳送,通 過首先從HTML和其它標示機器語言中提取機器友好數(shù)據(jù)��,并隨后在程序 之間交換所提取的機器友好數(shù)據(jù)��。
當執(zhí)行截屏時���,從計算機文本顯示器讀取的數(shù)據(jù)通常通過其輔助端口讀 取終端的存儲器���、或者通過將終端的輸出端口連接到另一個系統(tǒng)的輸入端口 來完成��。在這些情況下���,屏幕截取還可指網(wǎng)頁的計算機化解析��。
截屏通常被執(zhí)行來(1)連接不能夠提供與兼容當前硬件的可替換機構(gòu) 的合法系統(tǒng)��,或者(2)連接提供較不復雜應用程序接口 (API)的第三方系 統(tǒng)��。在第二種情況下�����,第三方系統(tǒng)會考慮不需要截屏�����,因為比如會增加系統(tǒng)負載��、廣告收入損失或信息內(nèi)容的控制損失的原因��。
圖1說明了在使用網(wǎng)絡(luò)截取的Web-SSO的現(xiàn)有技術(shù)的WTRU中的示例 程序�。在該圖表中,假設(shè)WTRU配備了代理軟件并且在WTRU上的網(wǎng)絡(luò)訪 問應用程序與SSO代理軟件協(xié)同交互來允許代理建立和控制SSO在網(wǎng)絡(luò)服 務上的程序��。例如當瀏覽器接收訪問URL的請求時��,其將URL傳輸?shù)絊SO 代理軟件來驗證web-SSO是否能被用于訪問特定網(wǎng)站�����。
聯(lián)盟是第二種用于使用基于標準的協(xié)議來使得一個應用程序?qū)τ诹硪?個實體維持用戶身份的web-SSO的重要技術(shù)�����,從而不需要多余的認證。支 持聯(lián)盟的說明標準包括自由聯(lián)盟(Liberty Alliance) ID-FF�����、 OASIS����、 SAML 以及Shibboleth,由Internet2開發(fā)。自由聯(lián)盟提供一組開發(fā)包含定義聯(lián)盟身 份管理和網(wǎng)絡(luò)服務通信協(xié)議的說明的組的廣義工業(yè)協(xié)會��。協(xié)議被設(shè)計用于企 業(yè)內(nèi)和企業(yè)間的配置�����。
OASIS是開發(fā)用于電子商務的解決方式的非盈利性組織��。當前版本為 2.0的SAML是用于安全維持的標示語言����,其包括可實現(xiàn)SSO認證的用戶身 份信息���。Shibboleth是基于聯(lián)盟身份和SAML為認證和授權(quán)基礎(chǔ)建立結(jié)構(gòu)和 開放源實施方式的Intemet2中間設(shè)備開始(NMI)項目��。
圖2說明了使用自由聯(lián)盟ID-FF的WTRU用戶的web-SSO程序����。在 web-SSO的環(huán)境中,自由聯(lián)盟使得用戶登錄到單獨帳戶并且從網(wǎng)絡(luò)中的ID 管理實體管理的"信任圈子"中的多個服務供應商請求服務�����。自由聯(lián)盟的一 個顯著特征是"聯(lián)盟"過程���。自由聯(lián)盟允許用戶確定他們是否想要不經(jīng)過重 新認證而訪問服務供應商(SP)���,而不是確定用戶在不經(jīng)過重新認證時必須 擁有什么類型的權(quán)利來訪問SP。為了獲得這個權(quán)利��,用戶必須首先由被識 別為SP的身份供應商(IDP)來認證�����。這使得自由聯(lián)盟稱為用于擴展企業(yè)框 架環(huán)境中的用于身份管理的可行框架�,其中用戶典型的將個人數(shù)據(jù)的管理委 托給企業(yè)。SAML是由OASIS組織建立的XML標準��,用于在安全域之間即在IDP和SP之間交換認證和授權(quán)數(shù)據(jù)�����。圖3描述了 SAML組件之間的關(guān)系。SAML嘗試通過在網(wǎng)絡(luò)實體之間實現(xiàn)無縫和可靠的認證程序和安全維持信息的交換來解決web-SSO的問題�����。SAML標準利用以下組件(1)維持組件���,(2)協(xié)議組件�����,(3)捆綁組件��,(4)和簡檔組件���。維持組件允許實體來維持另一個實體的特征和屬性,比如用戶名�、狀態(tài)、郵件地址��、團體中的會員等����。協(xié)議組件通過XML方案編碼并且定義請求-響應相關(guān)協(xié)議的列表��。
捆綁組件定義SAML協(xié)議消息如何在SOAP消息中傳送并且SOAP消息如何在HTTP上傳送。SOAP消息是完好形成的XML消息����,其根據(jù)W3C組織SOAP版本1.2封裝和編碼規(guī)則來建立。圖4示出了在典型的捆綁情況下在SAML組件之間的交換的例子����。簡檔組件是SAML規(guī)范的核心,其定義SAML請求和相應怎樣傳送�����。
盡管獨立ID-FF和SAML在增強密碼安全等級中起到了重要的作用�����,但是都沒有解決怎樣保證需要用于用戶的設(shè)備或IDP和SP中的web-SSO的敏感信息安全����。此外,因為獨立ID-FF和SAML最終放棄了對用戶到IDP和SP的認證過程的控制���,所以所需要的用戶的個人信息����、用戶簡檔的公開會導致該過程中的危機。
在文獻和產(chǎn)品中出現(xiàn)了可信的計算技術(shù)��,大多是在可信計算組(TrustedComputing Group (TCG))的技術(shù)傘之下��?���?尚庞嬎闶腔谔峁┟艽a功能和保護存儲的專用、物理獨立硬件模塊的物理安全的����。
TCG己經(jīng)開發(fā)了提供方法用于計算實體來維持系統(tǒng)完整性的方法的各種技術(shù),來當建立了適當可信等級時驗證認證過程����,并且在與其它設(shè)備的信息交換和處理上基于這些目標設(shè)備的明顯可信等級來執(zhí)行評估和決定。
TCG定義了被稱為可信平臺模塊(TPM)的核心平臺模塊��。圖5描述了 TPM的組成�,該TPM提供TPM模塊及其接口的物理保護。該模塊還提供對于易失性和非易失性存儲空間的保護以及執(zhí)行加密和數(shù)字簽名的密碼
功能�。TPM使用平臺配置寄存器(PCR)基于公鑰基礎(chǔ)(PKI)通過HASH擴展和用戶設(shè)備細節(jié)和安全背書密鑰(EK)來捕捉平臺及其軟件不見的"狀態(tài)"。EK從未被暴露在外��,但是其假信號、證明身份密鑰(AIK)被用于驗證平臺的完整性數(shù)值�。此外,TPM在存儲器中使用"密封"數(shù)據(jù)結(jié)合AIK簽名的PCR值的過程��,從而數(shù)據(jù)僅當來自TPM和密封存儲器的匹配PCR值測量和驗證的平臺或軟件的完整性被驗證時才能被訪問或提取�。
圖6說明了外部實體(攻擊者或驗證者)可怎樣使用TPM�����、 AIK和私有證書權(quán)力(PCA)來進行請求平臺證明���。這種證明機制對于改善SSO技術(shù)的可信性和安全性方面都是有用的��。
TCG還可指定用于包括TPM的計算平臺的詳細TPM軟件堆棧(TSS)�。每個TSS模塊包括提供特定功能的組建����。這些組建的最初設(shè)計目的是提供對TPM的單個、同步的登錄點�,用根據(jù)應用程序適當排序和排列的字節(jié)來隱藏建立指令流以及管理TPM資源。
圖7示出了TPM和TSS層的結(jié)構(gòu)���。TSS模塊包括以下組件(1)與標準化TPM設(shè)備驅(qū)動器庫(TDDL)交互的TSS設(shè)備驅(qū)動器接口 (TDDLI);
(2)與TPM的TCS指令(未示出)交互的TSS核心服務接口 (TCSI);以及(3)與TCG的TSP指令(未示出)交互并且位于應用程序之下的TCG服務供應商接口 (TSPI)����。在TPM—側(cè),TDDL位于賣家特定的TPM設(shè)備驅(qū)動器頂部���,其與TPM通信��。
TDDLI保證TSS的不同實施方式將與任何TPM適當通信�,將提供OS獨立接口用于TPM應用程序��,并且將允許TPM賣家提供軟件TPM仿真器作為用戶模式組建���。TDDL在平臺上提供用戶模式和內(nèi)核模式的轉(zhuǎn)換�。TCG核心服務(TCS)提供對于平臺服務的普通設(shè)置的接口��。 TCS提供以下四種核心服務(1)上下文管理�����,其實施對TPM的線程訪問����;(2)證書和密鑰管理,其存儲關(guān)于平臺的證書和密鑰�;(3)測量事件管理�,其管理事件日志項目并且訪問相關(guān)PCR����,以及(4)參數(shù)模塊產(chǎn)生,用于連續(xù)化�、同步化并處理TPM指令。
TCG服務供應商(TSP)是基于目標定向結(jié)構(gòu)的對于TPM的C接口���。TSP與應用程序位于相同的處理地址位置內(nèi)。授權(quán)發(fā)生在該層中�����,通過使用為該層編碼的用戶接口或者通過在TCS層的回呼機制���。為了為終端用戶提供標準化的授權(quán)接口���,本地應用程序不提供認證服務,而是由平臺提供�。
TSP提供兩種服務(1)上下文管理;以及(2)加密�����。上下文管理提供允許對應用程序和TSP資源的有效利用的動態(tài)處理。每個處理為一組相關(guān)的TCG操作提供上下文�。應用程序中不同的線程可共享相同的上下文或者可獲得獨立的上下文。
為了充分利用TPM保護功能�����,必須提供支持密碼功能�。TSP不提供這種支持,除非其對于執(zhí)行TPM說明所需要的操作是必須的��。特別的�,大量數(shù)據(jù)加密不被接口暴露。TPM指定密碼功能的例子包括消息消化和少量(小于1024字節(jié))數(shù)據(jù)的加密�����。
發(fā)明內(nèi)容
公開了一種用于基于可信計算技術(shù)的密碼管理和SSO訪問的方法和設(shè)備����。該方法實施TCG的TPM,其與代理SSO單元和網(wǎng)頁訪問應用程序交互來提供安全���、可信的機制�����,以產(chǎn)生���、存儲和重新獲得密碼和SSO證書�����。各種實施方式允許用戶在僅一次登錄到位于用戶設(shè)備中的安全代理之后���,安全且透明地從一個站點跳到另一個屬于預識別站點組中的站點。
在用戶登錄到移動設(shè)備之后��,位于設(shè)備上的代理SSO單元攔截嘗試訪問屬于登記組的安全站點的應用程序����,并且使用由TPM產(chǎn)生并保持的每個站點安全密碼來登錄到組中的單獨站點�����?�?赏ㄟ^硬件或軟件來實施的代理SSO單元還由TPM保護其完整性����。這通過不需要用戶單獨記憶或存儲的 TPM產(chǎn)生的隨機密碼為對不同站點使用SSO的過程提供了高等級的可信性�。
SSO特征可被應用到任何數(shù)量的安全站點�����,并且列表可隨著用戶在互聯(lián) 網(wǎng)上導航并訪問新的網(wǎng)絡(luò)服務器來增長��。每個網(wǎng)絡(luò)服務器具有與其相關(guān)的安 全登錄證書��,其與可實現(xiàn)SSO程序的自主操作的TCG產(chǎn)生的用戶證書相關(guān) 聯(lián)����,從在網(wǎng)絡(luò)服務器上的最初登記到隨后的登錄和認證會話。作為一項選擇��, 用戶可由實現(xiàn)其SSO網(wǎng)絡(luò)訪問的網(wǎng)站組的代理軟件提供一個提示�。用戶將 能夠選擇是否允許對代理軟件指示的網(wǎng)站組或者其子集的SSO操作。
附加實施方式包括用于E-SSO的TPM增強��、以及具有聯(lián)盟身份管理的 web-SSO的機制���。
從以下關(guān)于優(yōu)選實施方式的描述中可以更詳細地了解本發(fā)明��,這些優(yōu)選 實施方式是作為實例給出的��,并且是結(jié)合附圖而被理解的���,其中
圖1是根據(jù)現(xiàn)有技術(shù)的用于WTRU的web-SSO的示例流程圖2是根據(jù)現(xiàn)有技術(shù)的用于web-SSO處理配備有自由聯(lián)盟ID-FF的 WTRU的示例流程圖3示出了 SAML組件之間關(guān)系的框圖4示出了 SSO中SP發(fā)起的后-后捆綁的例子��;
圖5示出了一般TPM的框圖6示出了由外部方使用TPMAIK的用于AIK證書驗證過程的例子����; 圖7是TPM和TSS中的不同層的框圖���; 圖8是無線通信系統(tǒng)的示例框圖9是使用TPM/TSS的安全自動登錄的實施方式的示例框圖10是使用TPM/TSS和裝置可信鏡像的安全自動登錄的實施方式的示例流程圖11是基于使用TPM的組方式密碼的使用TPM/TSS的用于網(wǎng)絡(luò)訪問
的SSO的實施方式的示例流程圖12是使用自由聯(lián)盟ID-FF的無線通信系統(tǒng)的示例框圖13是使用自由聯(lián)盟ID-FF的TPM/TSS保護的web-SSO的實施方式
的流程圖�����。
具體實施例方式
在此提及的術(shù)語"無線發(fā)射/接收單元(WTRU)"包括但不限于用戶設(shè) 備(UE)����、移動站��、固定或移動用戶單元�、傳呼機��、蜂窩電話���、個人數(shù)字助 理(PDA)�、計算機或者能夠在無線或結(jié)合了無線/有線的環(huán)境中操作的任何 其他類型的用戶設(shè)備。在此提及的術(shù)語"基站"包括但不限于Node-B�、站 點控制器、接入點(AP)或者任何類型的能夠在無線環(huán)境中操作的接口設(shè)備����。
圖8是包括至少一個WTRU 805和無線電接入網(wǎng)絡(luò)(RAN) 807的無線 通信系統(tǒng)800的示例框圖。WTRU 805與用戶809交互并且WTRU 805包括 單點自動登錄(SASO)代理單元810���、 TPM/TSS 815��、網(wǎng)絡(luò)訪問應用程序 (WAA) 820�。 TPM/TSS 815與SASO代理單元810禾卩WAA 820交互���,以 提供安全����、可信的機制來產(chǎn)生���、存儲和重新獲得密碼和SSO證書�����。SASO代 理單元810由TPM/TSS 815來保護其完整性�,因此在對不同網(wǎng)站使用SSO 時能夠?qū)崿F(xiàn)高等級的可信性。TPM/TSS 815通過存儲和產(chǎn)生不需要用戶單獨 記憶的隨機密碼來提供這種高等級的可信性�����。RAN 807典型地包括對至少一 個網(wǎng)站830a-c的訪問��??蛇x的,RAN807還包括裝置可信鏡像(DTM) 835�。
為了最小化用戶809需要記憶的密碼數(shù)量,提供了一種機制�,通過它用 戶809首先建立一個站點或應用程序的列表,并且隨后SASO代理單元810 在其自身的日志和隨后由TPM/TSS 815使用存儲器密鑰綁定或利用內(nèi)部存儲器安全保管的日志來記錄信息�����。SASO代理單元810使用協(xié)作綁定或攔截 技術(shù)比如網(wǎng)絡(luò)截取來解釋用戶對于應用程序或網(wǎng)站830的訪問請求�����,以及從 應用程序或網(wǎng)站830登錄和/或密碼鍵入的提示�。
用戶809的證書(也被稱為根身份)可被安全地存儲在TPM/TSS 815 本身中或另一個安全存儲設(shè)備比如USIM中����。此外��,可從該根身份建立密鑰 分級結(jié)構(gòu)��。根身份被安全地保存在設(shè)備中并且不會被泄漏到安全或可信域之 外���。
當用戶809第一次登錄到安全網(wǎng)站830時,WAA 820與SASO代理單 元810和TPM/TSS 815交互來建立與用于網(wǎng)站830的證明信息相關(guān)聯(lián)的高 熵值(highentropy)�����、唯一的ID和高熵值的密碼���。此后�����,無論何時用戶809 想要訪問網(wǎng)站830�����,用戶的證書被自動輸入到經(jīng)由通信鏈路通過WAA820��、 SASO代理單元810和TPM/TSS 815之間的交互發(fā)送的信息中���。
可選的�����,無論何時用戶809訪問RAN 807�, WTRU 805以同樣的方式使 用SASO代理單元810和TPM/TSS 815來建立與RAN 807中相關(guān)網(wǎng)絡(luò)元件 比如服務供應商(SP)或身份供應商(IDP)(未示出)之間的可信關(guān)系�。可 替換的�����,RAN807保持特定的系統(tǒng)部件或與可信的第三方實體比如DTM835 的關(guān)系��。一旦WTRU 805與RAN 807具有建立的可信關(guān)系和安全鏈路���,DTM 835作為用于移動可信服務的代理和用于為每個安全網(wǎng)站建立的密碼的數(shù)據(jù) 庫�。
用戶809可從功能上獲得對WTRU 805的訪問并且因此通過使用單點登 錄ID和密碼訪問WTRU鎖定機制從而獲得對互聯(lián)網(wǎng)的訪問�����。 一旦登錄�,所 有其它服務都可由WTRU 805透明地處理。此外��,密鑰卡(keyfobs)�、智能 卡和/或生物統(tǒng)計可被用于提供安全的兩個或三個因素認證來訪問電話特征。 可選的�,認證證書可被發(fā)送到RAN807,用于認證和使得用戶訪問設(shè)備��。
TPM/TSS 815提供對于數(shù)據(jù)(包括密碼)固有安全性���,通過提供物理保護界限來加密地保護和存儲密碼。然而,數(shù)據(jù)保護的強度在密碼或秘密密鑰 用于保護這種數(shù)據(jù)的情況下����,還部分地依賴于數(shù)據(jù)本身的強度和新鮮度。在 給出加密數(shù)據(jù)的充足采樣以及在攻擊者的配置上有足夠的計算能力和時間 時�����,很強保護的數(shù)據(jù)可被破壞�。因此,更新密鑰�����,并且如果需要用新的密鑰 來對數(shù)據(jù)重新加密�����,可對竊聽者解密加密身份和認證數(shù)據(jù)的嘗試提供附加的
安全屏障。用于通用認證的密鑰和密碼應當由TPM/TSS 815頻繁地更新���。 這種更新將需要一種協(xié)議����,利用該協(xié)議初始化��、獲得和執(zhí)行關(guān)于數(shù)據(jù)和/或密 鑰更新�����。
在一種可替換的實施方式中�����,WTRU 805內(nèi)部包括通用用戶身份模塊 (USIM)(未示出)��。作為獨立和保護實體的USIM�,提供用于軟件的第二安 全執(zhí)行環(huán)境以及用于數(shù)據(jù)比如密碼的安全存儲之處。因此�,SASO代理單元 810可位于USIM中。WAA820還可以位于USIM中����。
在WTRS 805的另一種可替換實施方式中��,USIM可將TPM/TSS 815替 換為單獨"安全"執(zhí)行環(huán)境。在這種情況下�,WTRU815可不具有執(zhí)行平臺 的功能和/或通常由TPM/TSS 815提供的應用程序完整性測量、驗證和證明 的功能�。然而,因為USIM是獨立的����、受保護和安全的執(zhí)行環(huán)境,其可實現(xiàn) SASO代理單元810甚至可能是WAA820的安全執(zhí)行���。USIM還可被配置為 產(chǎn)生和存儲高熵值的特定站點密碼并且被配置為存儲SSO密碼和SSO證書��。
在WTRU 805的另一種可替換實施方式中�,在此充分合并引用2007年 5月8日提交的美國專利申請No.ll〃45,697中所公開的內(nèi)容�,該申請中所公 開的"擴展"USIM位于WTRU 805中,并且為SASO代理810��、 WAA 820 以及TPM/TSS 815提供安全執(zhí)行環(huán)境�。
圖9示出了根據(jù)一種可替換的實施方式的圖8的系統(tǒng)800的組件之間的 信號發(fā)送。特別的����,圖9示出了用于SASO使用TPM/TSS 815用于網(wǎng)絡(luò)訪 問的示例程序�。在步驟1005�����,當用戶809通過一個安全因素或優(yōu)選的兩個或三個因素認 證獲得對WTRU805的訪問時�,程序被初始化。這些認證因素是允許SASO 代理單元810訪問保持在TPM/TSS 815中的安全信息的機制���。在步驟910��, 如果使用了生物第二或第三因素認證����,SASO代理單元810發(fā)送請求到 TPM/TSS 815來重新獲得該生物認證數(shù)據(jù)來用于認證�����。在步驟915��, TPM 810 將生物認證數(shù)據(jù)供應給SASO代理單元810�����。接著,在步驟920�,用戶809 發(fā)送請求到WAA820來與安全網(wǎng)站注冊。在步驟925���, WAA820將用戶809 想要對其訪問的愿望傳遞給網(wǎng)站A830a�。在步驟930�����, WAA820接收并且顯 示或者否則指示網(wǎng)站A 830a的登錄提示�����。在步驟935��, SASO代理單元810 通過網(wǎng)絡(luò)截取或通過API或其它解析技術(shù)的結(jié)合來攔截來自WAA 820的網(wǎng) 絡(luò)A 830a的認證��。在步驟940�, SASO代理單元810將用戶ID信息(其可 以是來自多因素認證的設(shè)備登錄信息)傳遞到TPM/TSS 815��。在步驟945�����, 特定網(wǎng)站的安全密碼由TPM/TSS 815產(chǎn)生和安全地存儲(直接存儲在TPM NV存儲器中或者在普通存儲器中但是由TPM保護綁定存儲密鑰加密)。在 步驟950��, SASO代理單元810隨后攔截WAA 820并且通過比如截取或API 的或其它解析技術(shù)的使用的方法來在用于網(wǎng)站A830a的WAA 820的密碼提 示上填入特定網(wǎng)站的安全密碼����。在步驟955, WAA820將該特定網(wǎng)站的密碼 傳遞到網(wǎng)站A 830A�����。在步驟960����,網(wǎng)站A 830a注冊特定網(wǎng)站的密碼并且將 訪問授權(quán)發(fā)送到WAA 820。 一旦建立了注冊���,網(wǎng)站信息(例如URL��、數(shù)字 證書�����、用戶ID和密碼等)作為數(shù)據(jù)庫記錄共同安全地存儲在TPM/TSS 815 中或者作為由TPM/TSS 815綁定存儲密鑰保護的數(shù)據(jù)點�����。特定網(wǎng)站的密碼 可被SASO代理單元810重新使用�����,以用于隨后登錄到各個站點���。在步驟 965�,在網(wǎng)站A830a授權(quán)對WAA820的訪問時�,WAA發(fā)送注冊成功和訪問 授權(quán)消息到SASO代理單元810。在步驟970��,可跟隨正常的基于網(wǎng)絡(luò)的通 信�。注意到在圖9中的步驟905到965被描述用于用戶的特定站點的密碼在 網(wǎng)站由WTRU 805管理的初始注冊���。在這種初始注冊之后��,用戶809可使用 WAA 820來請求對網(wǎng)站A 830a的訪問(類似于步驟920)�����。隨后��,SASO代 理單元810可攔截來自WAA820的登錄提示(類似于步驟935)以獲得存儲 在TPM/TSS815的特定站點的密碼(類似于步驟945)��,并且通過截取��、API 或解析來在WAA 820上填入特定于網(wǎng)站A 830a的登錄信息(類似于步驟 950)�。隨后,WAA 820將特定網(wǎng)站的登錄信息發(fā)送到網(wǎng)站A 830a (類似于 步驟955)�,并且網(wǎng)站A 830a在證明特定網(wǎng)站的登錄信息供應之后,授權(quán)對 WAA 820的請求服務的訪問(類似于步驟960)�,以及SASO代理單元810 從WAA 820獲得該訪問授權(quán)消息,并且隨后使得用戶809知道該服務被授 權(quán)�。隨后可跟隨正常的基于網(wǎng)絡(luò)的通信(類似于步驟970)。
當訪問其密碼被保持在TPM 820中的已經(jīng)建立的網(wǎng)站時�,可執(zhí)行一組 類似的程序。例如����,步驟905到970可由SASO代理單元810在步驟970對 于其它站點例如不同網(wǎng)站比如網(wǎng)站B 830b來重復。由TPM/TSS 815實現(xiàn)的 編碼完整性驗證程序被用于保護SASO代理單元810和其它軟件部件的完整 性�����,來保證安全事務處理�����。如果建立了策略或簡檔例如來管理密碼更新程序, TPM/TSS 815還通過將它們存儲在由TPM綁定存儲密鑰保護的存儲器中來 保護策略和簡檔信息�。如果用戶809嘗試訪問非網(wǎng)絡(luò)的第三方服務或安全服 務器,那么與上述使用非常相似的程序可通過使用可由DTM 835管理的可 信鏡像程序的方式來使用��。
圖10示出了根據(jù)另一種實施方式的圖8中的組件之間的信號發(fā)送��。特 別的�,圖10示出了用于SASO使用TPM/TSS 815和DTM 835用于在WTRU 805和隨后在DTM 835的用戶認證信息的注冊的用于網(wǎng)絡(luò)訪問的示例程序 1000。典型地位于RAN 807中但是可位于RAN之外的DTM 835提供將 WTRU 805的可信度"鏡像"以及將這種信息證明給外部請求方的服務����。例如DTM 835可采用管理用于圖9所示的TPM/TSS 815所述的身份信息。
在步驟1005����,用戶809通過將他們的認證信息注冊到SASO代理單元 810來初始化程序1000。這種注冊可通過使用通過一個因素或優(yōu)選的兩個因 素認證來進行���。此外,第三因素可以是由TPM/TSS 815安全保存的通過生 物信息����。同樣在步驟1005,用戶809可選擇性地提供想要服務的列表。
接著���,在步驟1010�, SASO代理單元810將認證數(shù)據(jù)和想要服務的列表 發(fā)送到TPM/TSS 815。在步驟1015����, TPM/TSS 815密封認證數(shù)據(jù)和想要服 務的列表到SASO代理單元810和WAA 820的整體。在步驟1020���, SASO 代理單元810為WTRU 805發(fā)送完整性信息(或者等同的證明信息)以及認 證數(shù)據(jù)和應用程序和想要服務的列表到DTM 835�。
在步驟1025���, DTM 835將用戶的認證證書注冊到網(wǎng)站A����, 830a�����。在該 過程期間�����,DTM 835和網(wǎng)站A 830a相互建立密碼��,其將被特別的使用來從 網(wǎng)站A830a獲得用于用戶809和WTRU 805的服務。在步驟1030�,DTM835 將指示對網(wǎng)站A 830a注冊完成的消息發(fā)送到SASO代理單元810。在步驟 1035�, SASO代理單元810指示給用戶809注冊完成。
在注冊完成之后��,用戶可在使用可信DTM單元835進行中介的SASO 過程(步驟1040 — 1095)中訪問網(wǎng)站A 830a����。在步驟1040,用戶809指示 SASO代理單元810 (或者WAA 820�����,其中SASO代理單元830a可通過截取 或類似技術(shù)攔截該消息)用戶809想要訪問網(wǎng)站A830a�����。在步驟1045�����, SASO 代理單元810指示給WAA 820用戶想要訪問網(wǎng)站A�??商鎿Q地�����,如果用戶 直接指示給WAA 820指示他們想要訪問網(wǎng)站A 830a���,并且SASO代理單元 使用截取來獲得相同信息,那么就不需要步驟1045��。
在步驟1050�����, WAA 820將對于訪問網(wǎng)站A 830a的請求發(fā)送到DTM 835�。 隨后在步驟1055, DTM 835轉(zhuǎn)發(fā)對于訪問網(wǎng)站A 830a的請求���。在步驟1060�����, 網(wǎng)站A 830a將對于特定服務的密碼的請求發(fā)送到DTM單元835�。在步驟1065��, DTM單元835將特定網(wǎng)站的密碼發(fā)送到網(wǎng)站A830a�。在步驟1070�, 網(wǎng)站A 830a將服務訪問授權(quán)消息發(fā)送到DTM單元835��。在步驟1075�, DTM 單元835將服務訪問授權(quán)消息發(fā)送到WAA 820。在步驟1080����, WAA 820指 示給用戶809該訪問對于網(wǎng)站A 830a被授權(quán)。在步驟1085���,用戶可開始使 用WAA 820從網(wǎng)站A830a接收服務����。
在步驟1088����、 1090和1093, DTM 835可請求并接收信息來驗證WTRU 805和WAA820完整性的證明以及用戶認證數(shù)據(jù)和特定服務的數(shù)據(jù)(比如應 用程序和想要的服務的列表)的完整性���。這種遠程證明程序可使用的 TPM/TSS 815在WTRU 805上的遠程證明功能來完成�����。步驟1088��、 1090和 1093的程序可在例如當WTRU 805被啟動的時刻執(zhí)行�。這些步驟還作為步 驟1050的部分被集成在從DTM 835到網(wǎng)站的服務請求消息中����。類似于1040 —1085的步驟可對于另一個網(wǎng)站重復,比如網(wǎng)站B 830b��,或者注冊列表上 的任何其它網(wǎng)站����。
在圖10的一些可替換實施方式中,WTRU 805可不具有TRM/TSS 815��。 在這種情況下����,仍然可使用DTM 835。再參考圖10�,如果WTRU不具有 TPM/TSS 815, SASO代理單元810將用戶和設(shè)備認證數(shù)據(jù)����、想要服務的列 表直接注冊到DTM單元835。在信息的接收之后,DTM 835產(chǎn)生并維持高 熵值的特定站點(或服務)的密碼(類似于圖10的步驟1125)�����。在初始注冊 之后���,當用戶809想要訪問站點A 830a時���,那么SASO代理單元810提示 WAA 820來訪問DTM 835 (類似于圖10的步驟1145和1150)。 DTM 835 請求對網(wǎng)站A 830a的訪問(類似于步驟1155)����。網(wǎng)站A 830a將對于特定服 務的密碼的請求發(fā)送到DTM 835 (類似于步驟1160)。 DTM 835將特定網(wǎng)站 的密碼發(fā)送到網(wǎng)站A830a(類似于步驟1165)��。網(wǎng)站A 830a發(fā)送服務訪問授 權(quán)消息到DTM 835(類似于步驟U70)�����。DTM 835發(fā)送訪問授權(quán)消息到WAA 820 (類似于步驟1175)�����。 WAA820指示給用戶809對于網(wǎng)站A830a的訪問被授權(quán)(類似于步驟1180)����。用戶可開始使用WAA 820從網(wǎng)站A 830a接收 服務(類似于步驟1185)����。
圖11示出了根據(jù)本發(fā)明另一種實施方式的圖8的系統(tǒng)800的組件之間 的信號發(fā)送����。特別的���,圖11示出了用于SSO使用TPM/TSS 815以一種比現(xiàn) 有技術(shù)更安全的方式用于網(wǎng)絡(luò)訪問的示例程序1100����。
在該方法中���,用戶809配置一組站點�����,對于每個的訪問由SASO代理單 元810控制并且具有用戶809提供的公共的特定組登錄/密碼���。通過使用該程 序,用戶809可控制使用特定組密碼控制對于特定網(wǎng)站"組"的訪問���,從而 將SASO代理單元810的訪問權(quán)限配置為每個用戶809僅想要訪問特定組的 網(wǎng)站��。例如���,如果用戶809僅提供對于"財經(jīng)網(wǎng)站"組的公共密碼但是沒有 提供對于"個人網(wǎng)站組"的另一個不同的密碼�,那么SASO代理單元810將 被授權(quán)僅管理對于屬于"財經(jīng)網(wǎng)站"組的站點的SSO操作���。如圖11所示���, 該實施方式包括通過示例方式的以下優(yōu)選信號發(fā)送步驟。順序和/或內(nèi)容中的 其它改變是可能的并且仍然在實施方式的范圍內(nèi)��。
在步驟1105�,用戶809可能在SASO代理單元810的提示下通過發(fā)送用 于網(wǎng)站組建立的請求到SASO代理單元810來初始化程序1100。所述請求可 包括網(wǎng)站A830a和網(wǎng)站B 830b��,以及用戶對于網(wǎng)站組作出的SSO密碼����,以 及屬于該組的網(wǎng)站的URL。該步驟可以以遞增的方式完成����,由此用戶809 可通過僅具有網(wǎng)站A 830a并且隨后增加或刪除其它網(wǎng)站來建立組����。如果該 網(wǎng)站列表更新在任何點執(zhí)行�,SASO代理單元810將需要請求用于添加、刪 除或甚至解除綁定和重新綁定由TPM/TSS 815保持的一些數(shù)據(jù)(它們中的 一些數(shù)據(jù)也由SASO代理單元810保持)的過程���。
接著�,在步驟lllO���, SASO代理單元810對于網(wǎng)站組中的每個網(wǎng)站注冊 網(wǎng)站URL和單獨SSO密碼。在步驟1115����, SASO代理單元810隨后將SSO 密碼、用于屬于該組的所有網(wǎng)站的網(wǎng)站URL和網(wǎng)站證書�、WAA820和SSO代理單元810的地址處理發(fā)送到TPM/TSS 815,以及將用于數(shù)據(jù)綁定和對于 特定網(wǎng)站的密碼產(chǎn)生的請求發(fā)送到TPM/TSS815����。在步驟1120,對于網(wǎng)站列 表中的每個URL��,使用TPM隨機數(shù)產(chǎn)生器(RNG)�����, TPM/TSS 815產(chǎn)生強 加密的密碼。隨后在步驟1125���, TPM/TSS 815綁定特定網(wǎng)站的URL�����、任何 證書(包括站點證書)��、SSO密碼以及其產(chǎn)生的特定站點的密碼在用TPM存 儲密鑰加密的數(shù)據(jù)點中����。這種密鑰是"限制"在容納TPM的平臺(例如WTRU 或計算機)中的�����。如果在步驟1105�����,用戶809用其相關(guān)的信息(URL�、證書 等)指示了網(wǎng)站組的列表的更新(添加、刪除或改變)����,必須有一個來自SASO 代理單元810和TPM/TSS 815的指示來添加或刪除對于所影響網(wǎng)站的特定 網(wǎng)站記錄���。
接著,在步驟1130��,用戶809將用于網(wǎng)站A 830a的URL提供給WAA 820����。在步驟1135, SASO代理單元810通過網(wǎng)絡(luò)截取或通過API或其它解 析技術(shù)的結(jié)合����,攔截來自網(wǎng)站A830a的密碼提示。隨后在步驟1140�, SASO 代理單元810驗證網(wǎng)站A 830a是否是注冊網(wǎng)站組中的一個成員以及如果確 定是肯定的����,就識別該組。在步驟1145�, SASO代理單元810請求人類用戶 809為網(wǎng)站A830a所屬的網(wǎng)站組提供SSO密碼。在步驟1150�����,人類用戶809 為網(wǎng)站A830a提供(通過例如USIM、生物技術(shù)或鍵入)SSO密碼���?����?商鎿Q 地���,步驟1145和1150可變成透明并由SASO代理單元810自動提供。
接著�����,在步驟1155�����, SASO代理單元810檢查用戶809提供的SSO密 碼��。在步驟1160, SASO代理單元810發(fā)送一個請求到TPM/TSS 815來解 除綁定和重新獲得用于網(wǎng)站A 830a的密碼����。在該請求中,SASO代理單元 810包括對于網(wǎng)站A830a的SSO密碼和站點URL。在步驟1165���, TPM/TSS 815使用對于網(wǎng)站A 830a的SSO密碼和URL作為數(shù)據(jù)處理來從先前存儲的 數(shù)據(jù)點中解除綁定對于網(wǎng)站A 830a的特定站點的密碼和證書�����。在解除綁定 和重新獲取先前存儲的特定網(wǎng)站的密碼�����、URL列表和特定網(wǎng)站的證書時�����,TPM/TSS 815基于其剛從綁定存儲器中重新獲取的數(shù)據(jù)值�,驗證其從SASO 代理單元810接收的SSO密碼和網(wǎng)站URL�����。如果在以上步驟1165中實現(xiàn)了 驗證���,那么在步驟1170, TPM/TSS 815將對于網(wǎng)站A 830a的特定網(wǎng)站的密 碼和證書提供給SASO代理單元810���。
隨后在步驟1173����, SASO代理單元810使用比如網(wǎng)絡(luò)截取、API或其它 解析技術(shù)來在WAA 820填充對于網(wǎng)站A 830a的密碼和證書字段�。隨后在步 驟1175, WAA820被填充并且WAA820發(fā)送特定網(wǎng)站的密碼和證書到網(wǎng)站 A 830a����。隨后在步驟1180,在網(wǎng)站A 830a注冊密碼和證書�。在步驟1185, 網(wǎng)站注冊的成功被指示給WAA 820����。在步驟1190,網(wǎng)站注冊的成功被指示 給SASO代理單元810并且記錄在其數(shù)據(jù)庫中����。而且在步驟1190中,網(wǎng)站 注冊的成功記錄還被記錄為在由TPM密鑰保護的安全存儲器中的存儲測量 日志(SML)�����。在步驟1195�����,完成可信SSO的建立,包括由TPM/TSS 815 保持的特定站點的密碼和證書���。
在網(wǎng)站注冊建立之后����,當用戶809想要訪問網(wǎng)站A 830a用于登錄來在 隨后的時間使用網(wǎng)站的服務時����,實際上進行與1130_1175相同的步驟,只 有在這種情況下終端結(jié)果不是初始站點注冊而是SSO登錄到網(wǎng)站A 830a����。 而且,如果用戶809想要注冊到網(wǎng)站B 830b而不是網(wǎng)站A 830a����,那么先前 用于網(wǎng)站A 830a的相同步驟可被用于網(wǎng)站B 830b的SSO注冊或認證。然而�, 用于網(wǎng)站B 830b的網(wǎng)站特定信息比如其URL、證書�����、特定站點的密碼和令 牌將被使用來代替用于網(wǎng)站A 830a的那些�����。
在一種可替換的實施例中�,組方式訪問控制可在沒有用戶809的清楚配 置的情況下執(zhí)行。作為替換��,SASO代理單元810可由控制對不同類型的網(wǎng) 站組的策略或簡檔數(shù)據(jù)(其本身可以由TPM保護)來提供����。在這樣的實施 方式中,組方式訪問控制將由SASO代理單元810在安裝時配置���。此外��,在 安裝時間之后策略的更新也是可能的�。圖12是根據(jù)一個可替換實施方式配置的無線通信系統(tǒng)1200的示例框 圖���。系統(tǒng)1200是包括至少一個WTRU 1215和無線電接入網(wǎng)絡(luò)(RAN) 1203 的自由聯(lián)盟(Liberty Alliance)兼容無線通信系統(tǒng)���。WTRU被配置為與用戶 1205交互并且包括web-SSO單元1212、平臺處理單元1210����、TPM/TSS 1217����。 平臺處理單元1210可以以軟件SW或硬件來實現(xiàn)����。RAN 1203包括ID供應 商120和服務供應商1225?���?商鎿Q地,ID供應商1220可位于RAN 1203之 外���,例如在公共互聯(lián)網(wǎng)上��。
圖13示出了根據(jù)另一個實施方式的圖12的系統(tǒng)1200的組件之間的信 號發(fā)送�。特別的��,在圖13中��,基于ID-FF/SAML的web-SSO技術(shù)也和 TPM/TSS 1217提供的完整性檢查機制結(jié)合�����。在順序和域內(nèi)容中的其它改變 也是可能的并且仍然在該實施方式的范圍內(nèi)。在步驟1303�����,用戶1205通過 指示運行web-SSO單元1212的愿望(例如通過點擊它或者通過系統(tǒng)啟動默 認等)來開始程序1300����。在步驟1308����,平臺處理單元1210請求TPM/TSS 1217 來執(zhí)行web-SSO單元1212的編碼完整性檢查。在步驟1312�, TPM 1217運 行編碼完整性檢查并且將結(jié)果傳遞到平臺處理單元1210。
如果在步驟1312中的檢查是肯定的�,那么在步驟1316,登錄或認證信 息被提供到平臺處理單元1210并且傳遞到web-SSO單元1212�。在步驟1320, web-SSO單元1212請求TPM 1217來重新獲得先前使用TPM密鑰存儲的登 錄證書�����。在步驟1324�����, TPM 1217重新獲得并且將登錄證書數(shù)據(jù)傳遞到 web-SSO軟件1212。在步驟1328�����, web-SSO單元1212使用重新獲得的登錄 證書數(shù)據(jù)來登錄到IDP 1220�。在步驟1332, It)P 1220發(fā)送介紹cookie到 web-SSO單元1212�。
接著,在步驟1336�, web-SSO單元1212驗證SP 1225。在步驟1340���, SP 1225詢問web-SSO單元1212: 1) web-SSO單元1212是否具有來自IDP 1220的cookie, 2) web-SSO單元1212是否想要使用其聯(lián)盟ID (如IDP1220支持的)���,以及3) web-SSO單元1212是否支持證書開始其平臺安全狀態(tài)的 狀態(tài),其由平臺限定TPM私鑰標記����,其公鑰已經(jīng)存儲在SP中或可由PCA 獲得。優(yōu)選的�,在步驟1220, PCA可以是IPD�。
隨后,在步驟1344���, web-SSO單元1212發(fā)送平臺可信狀態(tài)到TPM/TSS 1217����。在步驟1348, TPM/TSS 1217建立并傳遞TPM保持的私人簽名密鑰 簽署的用于證明平臺的可信狀態(tài)的證書到Web-SSO軟件1212�。在步驟1352, web-SSO單元1212指示給SP 1225: 1)其具有來自IDP 1220的cookie����, 2) 其想要使用由IDP 1220保持的它的聯(lián)盟帳戶�,以及還發(fā)送3)平臺安全性狀 態(tài)證書到SP 1225。在步驟1356��, SP 1225借助于PCA的幫助來評估web-SSO 單元1212發(fā)送的可信證書����。隨后在步驟1358, SP 1212請求web-SSO單元 1212重新定向和再次驗證���,這一次使用聯(lián)盟認證請求�����。
接著��,在步驟1362��, web-SSO單元1212發(fā)送聯(lián)盟認證請求到IDP 1220�����。 在步驟1364�����, IDP 1220產(chǎn)生聯(lián)盟姓名ID和相關(guān)的認證狀態(tài)�。在步驟1368, IDP 1220請求web-SSO單元1212重新定向到SP 1225���。在步驟1372����, Web-SSO單元1212請求TPM/TSS 1217重新獲得已經(jīng)用由TPM/TSS 1217 密鑰保護存儲的聯(lián)盟<證明>的聯(lián)盟假像��。在步驟1376�, TPM/TSS 1217重新 獲得假像數(shù)據(jù)并將其傳遞到web-SSO單元1212。在步驟1380����, web-SSO單 元1212將由IDP 1220保持的重新獲得的聯(lián)盟<證明>假像發(fā)送到SP 1225�。
接著���,在步驟1384�����, SP 1225用IDP 1220初始化驗證過程來使用SOAP 協(xié)議驗證用于人類用戶1205的<證明>����。在步驟1388���, IDP 1220使用SOAP 協(xié)議互換驗證過程。在步驟1982�, SP 1225評估用于人類用戶1205的所述< 證明>和聯(lián)盟帳號。最后�����,在步驟1396�����, SP 1225指示給web-SSO單元1212 該服務的授權(quán)起動,以及一指示被提供給人類用戶1205 (例如通過顯示器 等)��。
在圖13的可替換實施方式中�����,設(shè)備的可信狀態(tài)可由IDP 1220評估一次并且隨后如果需要與每個SP 1225通信由其使用���。這種信息的交付可通過聯(lián) 盟方案比如SAML或SOAP程序中的比如cookie或其它已存在或修改的消 息/協(xié)議的方式來完成����。
雖然本發(fā)明的特征和元素在公開的實施方式中以特定的結(jié)合進行了描 述����,但每個特征或元素可以在沒有所述優(yōu)選實施方式的其他特征和元素的情 況下單獨使用,或在與或不與所公開的其他特征和元素結(jié)合的各種情況下使 用����。本發(fā)明提供的方法或流程圖可以在由通用計算機或處理器執(zhí)行的計算機 程序、軟件或固件中實施�,其中所述計算機程序、軟件或固件是以有形的方 式包含在計算機可讀存儲介質(zhì)中的�,關(guān)于計算機可讀存儲介質(zhì)的實例包括只 讀存儲器(ROM)、隨機存取存儲器(RAM)�����、寄存器、緩沖存儲器����、半導 體存儲設(shè)備、內(nèi)部硬盤和可移動磁盤之類的磁介質(zhì)���、磁光介質(zhì)以及CD-ROM 碟片和數(shù)字多功能光盤(DVD)之類的光介質(zhì)����。
舉例來說���,恰當?shù)奶幚砥靼ㄍㄓ锰幚砥?、專用處理器��、傳統(tǒng)處理器�����、 數(shù)字信號處理器(DSP)���、多個微處理器、與DSP核心相關(guān)聯(lián)的一個或多個 微處理器、控制器����、微控制器、專用集成電路(ASIC)�����、現(xiàn)場可編程門陣列 (FPGA)電路�����、任何一種集成電路(IC)和/或狀態(tài)機�����。
與軟件相關(guān)聯(lián)的處理器可以用于實現(xiàn)射頻收發(fā)信機��,以在無線發(fā)射接收 單元(WTRU)���、用戶設(shè)備��、終端�、基站�����、無線電網(wǎng)絡(luò)控制器(RNC)或是 任何一種主機計算機中加以使用。WTRU可以與采用硬件和/或軟件形式實 施的模塊結(jié)合使用�,例如相機、攝像機模塊����、視頻電路、揚聲器電話�����、振動 設(shè)備��、揚聲器�、麥克風、電視收發(fā)信機�����、免提耳機�、鍵盤�����、藍牙@模塊、調(diào) 頻(FM)無線電單元����、液晶顯示器(LCD)顯示單元、有機發(fā)光二極管(OLED) 顯示單元��、數(shù)字音樂播放器�����、媒體播放器�、視頻游戲機模塊、互聯(lián)網(wǎng)瀏覽器 和/或任何一種無線局域網(wǎng)(WLAN)模塊���。實施例
1. 一種對通過具有可信平臺模塊(TPM)的無線發(fā)射/接收單元(WTRU) 訪問的網(wǎng)站提供安全單點登錄(SSO)的方法�,該方法包括
在所述WTRU處確定目標網(wǎng)站組�����; 安全地登錄到從所述網(wǎng)站組中選擇的一個網(wǎng)站����;
使用在所述WTRU的TPM中產(chǎn)生和存儲的安全密碼登錄從所述網(wǎng)站組 中選擇的其它網(wǎng)站。
2. 根據(jù)實施例l所述的方法�����,其中所述TPM包括 SSO代理單元,用于確定何時請求對目標網(wǎng)站組的訪問�����。
3. 根據(jù)實施例2所述的方法�,其中所述SSO代理單元由所述TPM安 全地保護。
4. 根據(jù)前述實施例中任一實施例所述的方法����,其中所述TPM產(chǎn)生隨機 的密碼,以用于訪問從所述目標網(wǎng)站組中選擇的網(wǎng)站����。
5. 根據(jù)實施例4所述的方法,其中所述TPM存儲隨機密碼��,該隨機密 碼被產(chǎn)生以用于訪問從所述網(wǎng)站組中選擇的網(wǎng)站��。
6. —種根據(jù)前述實施例中任一實施例的方法��,其中確定步驟還包括 所述WTRU的用戶選擇目標網(wǎng)站組����。
7. —種根據(jù)前述實施例中任一實施例的方法,其中所述SSO代理單元 安全地記錄密碼信息��。
8. 根據(jù)實施例7所述的方法����,其中所記錄的密碼信息是使用密鑰綁定 技術(shù)存儲的。
9. 根據(jù)實施例7或8所述的方法��,其中所述所記錄的密碼信息是存儲 在所述TPM內(nèi)的���。
10. 根據(jù)前述實施例中任一實施例所述的方法���,其中所述WTRU包括 存儲在TPM中的唯一身份。11. 根據(jù)前述實施例中任一實施例所述的方法�,其中所述WTRU包括 存儲在通用用戶身份模塊(USIM)中的唯一身份。
12. 根據(jù)實施例10-11中任一實施例所述的方法�,該方法還包括 基于所述唯一的身份建立加密密鑰分級。
13. 根據(jù)前述實施例中任一實施例所述的方法���,其中安全地登錄到從網(wǎng)
站組中選擇的網(wǎng)站的步驟還包括
建立與所述網(wǎng)站的證書信息相關(guān)聯(lián)的唯一的用戶身份和密碼�。
14. 根據(jù)前述實施例中任一實施例所述的方法�����,其中登錄到從網(wǎng)站組中
選擇的其他網(wǎng)站的步驟還包括
自動地傳送用戶證書到所述網(wǎng)站。
15. 根據(jù)實施例14所述的方法���,其中所述用戶證書與數(shù)據(jù)一起傳送�。
16. 根據(jù)前述實施例中任一實施例所述的方法�,該方法還包括
感測用戶的生物信息。
17. 根據(jù)實施例16所述的方法��,其中所感測的生物信息被用于認證目的�����。
18. 根據(jù)前述實施例中任一實施例所述的方法����,該方法還包括
用戶請求注冊到包括網(wǎng)站A和網(wǎng)站B的網(wǎng)站組。
19. 根據(jù)實施例18所述的方法��,其中所述注冊還包括
SSO密碼�,該SSO密碼用于包括所述網(wǎng)站A和B的網(wǎng)站組、以及屬于 該組的網(wǎng)站的URL�����。
20. 根據(jù)實施例18-19中任一實施例所述的方法,其中所述注冊被遞增 地執(zhí)行����。
21. 根據(jù)實施例18-20中任一實施例所述的方法,該方法還包括 所述SSO代理單元對于所述網(wǎng)站組注冊網(wǎng)站URL和單獨SSO密碼���。
22. 根據(jù)實施例21所述的方法,該方法還包括所述SSO代理單元向TPM和TPM軟件堆棧(TSS) (TPM/TSS)發(fā)送 SSO密碼����、對于屬于所述網(wǎng)站組的所有網(wǎng)站的URL和網(wǎng)站證書、網(wǎng)絡(luò)訪問 應用程序(WAA)和代理的地址處理�����,以及
SSO代理向TPM/TSS請求數(shù)據(jù)綁定和特定網(wǎng)站的密碼的產(chǎn)生����。
23. 根據(jù)實施例22所述的方法,該方法還包括 TPM/TSS相對于預定的參考檢査代理和WAA的編碼完整性�����。
24. 根據(jù)實施例23所述的方法�����,該方法還包括
對于所述網(wǎng)站組的每個URL, TPM/TSS使用TPM隨機數(shù)產(chǎn)生器產(chǎn)生強 加密的密碼��。
25. 根據(jù)實施例24所述的方法�,該方法還包括
TPM使用產(chǎn)生并且然后由TPM/TSS保護的存儲密鑰將特定網(wǎng)站的 URL、證書��、SSO密碼散列(hash)��、以及產(chǎn)生的特定網(wǎng)站的密碼密封為組 合的編碼完整性值���。
26. 根據(jù)實施例24所述的方法�����,該方法還包括
TPM使用產(chǎn)生并且然后由TPM/TSS保護的存儲密鑰將特定網(wǎng)站的 URL�、證書�����、SSO密碼散列�、以及產(chǎn)生的特定網(wǎng)站的密碼綁定為組合的編碼 完整性值。
27. 根據(jù)實施例25-26中任一實施例所述的方法����,該方法還包括 TPM/TSS產(chǎn)生強加密的隨機數(shù)�����,該隨機數(shù)用作TPM和SSO代理單元之
間用于指示相應于所述網(wǎng)站組中的每個網(wǎng)站的進一步的行為和請求的令牌�����。
28. 根據(jù)實施例27所述的方法,該方法還包括 TPM/TSS使用令牌作為所述網(wǎng)站組中的每個網(wǎng)站的數(shù)據(jù)處理�。
29. 根據(jù)實施例28所述的方法,該方法還包括 TPM/TSS混編SSO密碼���、并安全地存儲密碼和散列�����。
30. 根據(jù)實施例29所述的方法�,該方法還包括TPM/TSS向SSO代理單元發(fā)送所有令牌�����;以及
TPM/TSS發(fā)送指示令牌和網(wǎng)站URL之間的映射的映射數(shù)據(jù)�。
31. 根據(jù)實施例30所述的方法�����,該方法還包括 WTRU的用戶選擇URL�����。
32. 根據(jù)實施例31所述的方法��,該方法還包括 所述代理攔截來自網(wǎng)站A的密碼提示��。
33. 根據(jù)實施例32所述的方法�,其中SSO代理單元使用網(wǎng)絡(luò)截取或結(jié) 合應用程序接口 (API)來攔截來自網(wǎng)站A的密碼�����。
34. 根據(jù)實施例32-33中任一實施例所述的方法����,該方法還包括 SSO代理單元檢査網(wǎng)站A是否是所述網(wǎng)站組中的成員。
35. 根據(jù)實施例34所述的方法���,該方法還包括
所述代理請求WTRU的用戶提供對于包含網(wǎng)站A的網(wǎng)站組的SSO密碼����。
36. 根據(jù)實施例35所述的方法,該方法還包括 WTRU的用戶提供SSO密碼����。
37. 根據(jù)實施例36所述的方法,該方法還包括 所述代理檢查由WTRU的用戶提供的SSO密碼����。
38. 根據(jù)實施例37所述的方法,該方法還包括
所述代理向TPM/TSS發(fā)送開封(unseal)對于網(wǎng)站A的密碼的請求����。
39. 根據(jù)實施例38所述的方法,其中開封對于網(wǎng)站A的密碼的請求包 括SSO代理單元存儲在數(shù)據(jù)庫中的對于網(wǎng)站A的SSO密碼和任何特定網(wǎng)站 的證書�����。
40. 根據(jù)實施例38或39中任一實施例所述的方法���,其中開封對于網(wǎng)站 A的密碼的請求包括對于SSO代理單元和WAA的編碼處理。
41. 根據(jù)實施例39-40中任一實施例所述的方法�����,該方法還包括 TPM/TSS檢查屬于網(wǎng)站A的令牌�;以及開封對于網(wǎng)站A的特定網(wǎng)站的密碼和證書����。
42. 根據(jù)實施例41所述的方法�,該方法還包括
TPM/TSS向SSO代理單元提供對于網(wǎng)站A的特定網(wǎng)站的密碼和證書。
43. 根據(jù)實施例42所述的方法���,該方法還包括
SSO代理單元填充在WAA上對于網(wǎng)站A的密碼和證書字段�。
44. 根據(jù)實施例43所述的方法����,該方法還包括 向網(wǎng)站A發(fā)送特定網(wǎng)站的密碼和證書; 在網(wǎng)站A處確認成功的注冊���。
45. 根據(jù)實施例44所述的方法���,該方法還包括 向SSO代理單元指示成功的網(wǎng)站注冊;以及 將成功的注冊記錄在SSO代理單元數(shù)據(jù)庫中�。
46. 根據(jù)前述實施例中任一實施例所述的方法,其中與WTRU的ID和 認證相關(guān)的數(shù)據(jù)由WTRU的TPM加密地保護�����。
47. 根據(jù)前述實施例中任一實施例所述的方法����,該方法還包括 使用新的加密密鑰周期性地更新存儲的�����、加密的數(shù)據(jù)��。
48. —種通過使用可信平臺模塊(TPM)的裝置保護訪問應用程序和基 于互聯(lián)網(wǎng)的服務的用戶自動登錄(SASO)的方法����,該方法包括
用戶通過單點登錄ID和密碼訪問應用程序和基于互聯(lián)網(wǎng)的服務�。
49. 根據(jù)實施例48所述的方法,其中TPM包括TPM軟件堆桟(TSS)����。
50. 根據(jù)實施例48-49中任一實施例所述的方法,該方法還包括用戶通 過保護一個因素認證向所述裝置認證并獲得對裝置的訪問�。
51. 根據(jù)實施例48-49中任一實施例所述的方法���,該方法還包括用戶通 過保護兩個因素認證向所述裝置認證并獲得對裝置的訪問�,其中第二因素是 由TPM安全地通過生物保持的��。
52. 根據(jù)實施例48-51中任一實施例所述的方法�����,其中SASO代理單元訪問保持在TPM內(nèi)的安全信息。
53. 根據(jù)實施例51或52所述的方法����,其中生物第二因素認證被使用, 并且SASO代理單元向TPM發(fā)送請求以重新得到該生物第二因素認證以用
于認證o
54. 根據(jù)實施例53所述的方法����,該方法還包括TPM向SASO代理單元 提供生物認證數(shù)據(jù)。
55. 根據(jù)實施例48-54中任一實施例所述的方法����,該方法還包括用戶通 過使用WAA嘗試注冊到安全的網(wǎng)站。
56. 根據(jù)實施例55例所述的方法�,其中所述應用程序是網(wǎng)絡(luò)-WAA (WAA)。
57. 根據(jù)實施例55或56所述的方法�����,其中WAA向第一基于互聯(lián)網(wǎng)的 服務的網(wǎng)站發(fā)送用戶希望訪問它的指示��。
58. 根據(jù)實施例57所述的方法�����,該方法還包括WAA接收并指示第一 基于互聯(lián)網(wǎng)的服務的網(wǎng)站的登錄提示。59. 根據(jù)實施例48-58中任一實施例所述的方法�����,該方法還包括SSO代 理單元攔截來自WAA的第一網(wǎng)站的認證提示��。
60. 根據(jù)實施例59所述的方法����,其中所述攔截通過網(wǎng)絡(luò)截取或通過結(jié)
合解析技術(shù)來完成。
61. 根據(jù)實施例48-60中任一實施例所述的方法�,該方法還包括SASO 代理單元向TPM傳遞用戶ID信息。
62. 根據(jù)實施例61所述的方法�����,其中用戶ID信息包括來自兩個因素認
證的裝置登錄信息�。
63. 根據(jù)實施例48-62中任一實施例所述的方法,該方法還包括特定網(wǎng) 站的安全密碼被生成并由TPM安全地存儲���。
64. 根據(jù)實施例63所述的方法����,其中所述密碼被安全地直接存儲在TPMNV存儲器中或者通過TPM保護的綁定存儲密鑰在通用存儲器中被加密�。
65. 根據(jù)實施例59-64中任一實施例所述的方法,其中SASO代理單元 通過WAA密碼提示將信息填入特定網(wǎng)站的安全密碼��、將特定網(wǎng)站的信息填 入第一網(wǎng)站�����。
66. 根據(jù)實施例65所述的方法�����,該方法還包括WAA向第一網(wǎng)站傳送 特定網(wǎng)站的密碼���;以及第一網(wǎng)站注冊特定網(wǎng)站的密碼并且向WAA發(fā)送訪問 授權(quán)���。
67. 根據(jù)實施例48-66中任一實施例所述的方法,其中注冊被建立還包 括安全地存儲特定網(wǎng)站的信息和在由TPM綁定存儲密鑰保護的TPM數(shù)據(jù)點 中的數(shù)據(jù)庫記錄�。
68. 根據(jù)實施例67所述的方法,其中特定網(wǎng)站的的信息包括以下至少 一者URL����、數(shù)字證書、用戶ID以及密碼��。
69. 根據(jù)實施例66-68中任一實施例所述的方法,其中特定網(wǎng)站的的密 碼被SASO代理單元重用于稍后到相應網(wǎng)站的登錄�。
70. 根據(jù)實施例48-69中任一實施例所述的方法,其中第一網(wǎng)站授權(quán)訪 問WAA還包括正常的基于網(wǎng)絡(luò)的通信�。
71. 根據(jù)實施例48-70中任一實施例所述的方法,該方法還包括訪問已 經(jīng)建立的網(wǎng)站�����,其中對于該網(wǎng)站的密碼已經(jīng)被保持在TPM中���。
72. 根據(jù)實施例48-71中任一實施例所述的方法�����,該方法還包括使用 SASO代理單元訪問另外的網(wǎng)站�。
73. 根據(jù)實施例48-72中任一實施例所述的方法�,其中由TPM啟動的 編碼完整性檢查過程被用于保護SASO代理單元的完整性以確保安全事務 處理的發(fā)生。
74. 根據(jù)實施例48-73中任一實施例所述的方法���,該方法還包括建立策 略或簡檔以管理密碼更新過程��,其中TPM通過將策略和簡檔信息存儲在由TPM綁定存儲密鑰保護的數(shù)據(jù)點中來保護所述策略和簡檔信息��。
75. 根據(jù)實施例48-74中任一實施例所述的方法�����,該方法還包括使用安 全時間設(shè)施以提供要被管理的安全密碼更新策略����。
76. 根據(jù)實施例48-75中任一實施例所述的方法�,該方法還包括將若干 個網(wǎng)站組合在一起并將單個認證密碼保持在TPM中。
77. 根據(jù)實施例48-76中任一實施例所述的方法�,該方法還包括TPM 執(zhí)行對用于認證的密鑰和密碼的頻繁更新。
78. 根據(jù)實施例77所述的方法���,其中TPM包括安全定時器模塊����,該安 全定時器模塊記錄上一次密碼更新發(fā)生的時間����、以及由用戶或基于互聯(lián)網(wǎng)的 服務提供的觸發(fā)密碼更新過程的更新時間間隔。
79. —種由用戶通過具有SASO代理單元和可信平臺模塊(TPM)的裝 置對應用程序或基于互聯(lián)網(wǎng)的服務訪問的單點自動登錄(SASO)的方法���, 該方法包括
用戶配置一組應用程序或基于互聯(lián)網(wǎng)的服務�,由此訪問每個應用程序或 基于互聯(lián)網(wǎng)的服務被一組特定的密碼控制�。
80. 根據(jù)實施例79所述的方法���,該方法還包括
SASO代理單元接收對網(wǎng)站組的建立或注冊的請求,該網(wǎng)站組包括第一 互聯(lián)網(wǎng)網(wǎng)站和第二互聯(lián)網(wǎng)網(wǎng)站���;以及
產(chǎn)生對于所述網(wǎng)站組的SSO密碼��、以及屬于所述網(wǎng)站組的互聯(lián)網(wǎng)網(wǎng)站 的URL��。
81. 根據(jù)實施例80所述的方法�����,其中用戶增加開始僅具有第一互聯(lián)網(wǎng) 網(wǎng)站的用戶組����,而隨后添加或刪除其他網(wǎng)站���。
82. 根據(jù)實施例79-81中任一實施例所述的方法����,該方法還包括執(zhí)行對 網(wǎng)站組的更新�����,以及SASO代理單元請求用于添加、或甚至解除綁定和重新 綁定由TPM保持的數(shù)據(jù)的過程����。83. 根據(jù)實施例79-82中任一實施例所述的方法,該方法還包括SASO 代理單元注冊對于網(wǎng)站組的網(wǎng)站URL和單個SSO密碼�����。
84. 根據(jù)實施例79-83中任一實施例所述的方法���,其中TPM包括TPM 軟件堆棧(TSS)。
85. 根據(jù)實施例80-84中任一實施例所述的方法��,該方法還包括SASO 代理單元向TPM發(fā)送屬于所述組中的所有網(wǎng)站的SSO密碼�����、URL以及網(wǎng)站 證書����、互聯(lián)網(wǎng)WAA軟件和SSO代理單元本身的地址處理;以及向TPM發(fā) 送對于數(shù)據(jù)綁定和對于特定網(wǎng)站的的密碼產(chǎn)生的請求��。
86. 根據(jù)實施例85所述的方法����,其中對于表中的每個URL�����, TPM使用 TPM隨機數(shù)產(chǎn)生器(RNG)產(chǎn)生強加密的密碼����。
87. 根據(jù)實施例86所述的方法��,該方法還包括TPM綁定特定網(wǎng)站的 URL����、任何證書、SSO密碼����、以及其產(chǎn)生的在用TPM存儲密鑰加密的數(shù)據(jù) 點中的特定網(wǎng)站的密碼。
88. 根據(jù)實施例87所述的方法����,其中所述密鑰是限制在容納TPM的平 臺中的。
89. 根據(jù)實施例80-88中任一實施例所述的方法�����,其中用戶用網(wǎng)站組相 關(guān)聯(lián)的信息向所述網(wǎng)站組指示更新,還包括來自SASO代理單元和TPM的 指示添加或刪除對于所影響的網(wǎng)站的特定網(wǎng)站的記錄��。
90. 根據(jù)實施例79-89中任一實施例所述的方法����,該方法還包括用戶將 URL輸入到對于WAA的第一互聯(lián)網(wǎng)網(wǎng)站的裝置中。
91. 根據(jù)實施例90所述的方法��,該方法還包括SASO代理單元攔截來 自第一互聯(lián)網(wǎng)網(wǎng)站的密碼提示�����。
92. 根據(jù)實施例91所述的方法��,其中所述攔截是網(wǎng)絡(luò)截取的或結(jié)合API 或其他解析技術(shù)進行的��。
93. 根據(jù)實施例91或92所述的方法���,該方法還包括SASO代理單元檢查第一互聯(lián)網(wǎng)網(wǎng)站是否是注冊的網(wǎng)站組的成員,并且如果結(jié)果為肯定的就識 別該組��。
94. 根據(jù)實施例91-93中任一實施例所述的方法�����,該方法還包括SASO 代理單元請求用戶提供對于第一互聯(lián)網(wǎng)網(wǎng)站所屬的網(wǎng)站組的SSO密碼。
95. 根據(jù)實施例91-94中任一實施例所述的方法��,該方法還包括用戶輸 入或提供對于第一互聯(lián)網(wǎng)網(wǎng)站的SSO密碼和網(wǎng)站URL��。
96. 根據(jù)實施例95所述的方法����,其中所述提供是由生物進行的。
97. 根據(jù)實施例94-96中任一實施例所述的方法���,其中SASO代理單元 檢驗用戶提供的SSO密碼�。
98. 根據(jù)實施例91-93中任一實施例所述的方法���,該方法還包括SSO代 理單元通過網(wǎng)站URL�����、其證書以及對于密碼的提示自動提供SSO密碼��。
99. 根據(jù)實施例79-88中任一實施例所述的方法��,該方法還包括SSO代 理單元向TPM發(fā)送請求以解除綁定并重新獲得對于第一互聯(lián)網(wǎng)網(wǎng)站的密 碼����,所述第一互聯(lián)網(wǎng)網(wǎng)站的密碼包括對于第一互聯(lián)網(wǎng)網(wǎng)站的SSO密碼和網(wǎng) 站URL。
100. 根據(jù)實施例99所述的方法���,該方法還包括TPM將對于第一互聯(lián) 網(wǎng)網(wǎng)站的SSO密碼和URL用作數(shù)據(jù)處理��,以解除綁定對于來自先前存儲的 數(shù)據(jù)點的第一互聯(lián)網(wǎng)網(wǎng)站的特定網(wǎng)站的密碼和證書��;TPM相對于它從綁定 存儲中恢復的數(shù)據(jù)的值�����,檢査它從SASO代理單元接收到的SSO密碼和網(wǎng) 站URL�����。
101. 根據(jù)實施例100所述的方法,其中如果SSO密碼的檢查被完成���, 則TPM向SSO代理單元提供對于第一互聯(lián)網(wǎng)網(wǎng)站的特定網(wǎng)站的密碼和證 書���。
102. 根據(jù)實施例79-101中任一實施例所述的方法,該方法還包括SSO 代理單元使用網(wǎng)絡(luò)截取����、API或其他解析技術(shù)填充對于第一互聯(lián)網(wǎng)網(wǎng)站的密碼和證書字段�����。
103. 根據(jù)實施例102所述的方法��,該方法還包括填充互聯(lián)網(wǎng)WAA并 向第一互聯(lián)網(wǎng)網(wǎng)站發(fā)送特定網(wǎng)站的密碼和證書�;以及注冊在第一互聯(lián)網(wǎng)網(wǎng)站 注冊的密碼和證書���。
104. 根據(jù)實施例103所述的方法���,該方法還包括向互聯(lián)網(wǎng)WAA指示 成功的注冊;以及向SASO代理單元指示所述注冊并將所述注冊記錄在其數(shù) 據(jù)庫中��。
105. 根據(jù)實施例104所述的方法���,該方法還包括將所述注冊被記錄為 在由TPM密鑰保護的安全存儲器中的存儲測量日志(SML)���。
106. 根據(jù)實施例79-105中任一實施例所述的方法,其中用戶設(shè)法訪問 要登錄的第一互聯(lián)網(wǎng)網(wǎng)站以在稍后的時間使用網(wǎng)站的服務�,還包括用戶通過 SASO獲得訪問。
107. 根據(jù)實施例79-106中任一實施例所述的方法���,其中用戶注冊或稍 后訪問第二互聯(lián)網(wǎng)網(wǎng)站而不是第一互聯(lián)網(wǎng)網(wǎng)站��,還包括使用對于第二互聯(lián)網(wǎng) 網(wǎng)站的特定網(wǎng)站信息執(zhí)行第二互聯(lián)網(wǎng)網(wǎng)站的SASO注冊或認證��,所述特定網(wǎng) 站信息包括以下一者或多者URL�、證書、特定網(wǎng)站的密碼�����、以及令牌�����。
108. 根據(jù)前述實施例中任一實施例所述的方法�����,其中運行TPM限于用 戶的平臺�,還包括通過位于用戶的裝置或平臺中的TPM加密地保護對于其 保密性、完整性����、以及真實性的用戶或用戶的裝置的認證和ID相關(guān)的數(shù)據(jù)�。
109. 根據(jù)實施例108所述的方法,其中TPM通過提供物理保護界限為 它加密地保護并存儲的數(shù)據(jù)提供固有的安全性。
110. 根據(jù)實施例108-109中任一實施例所述的方法���,該方法還包括擴 展USIM功能以將TPM功能包括在內(nèi)��,從而包括高熵值的密碼的安全證書 被提供給應用程序安全組件和IP堆桟安全組件�����。
111. 根據(jù)實施例IIO所述的方法�,其中應用安全組件包括DRM和PGP服務組件���。
n2.根據(jù)實施例110或lll所述的方法�,其中IP堆棧安全組件包括IPSec 或TLS或包括二者���。
113. 根據(jù)實施例108-110中任一實施例所述的方法���,該方法還包括基于 密碼和/或加密密鑰的自動更新的策略,所述密碼和/或加密密鑰在集成在 USIM內(nèi)的TPM內(nèi)被刷新�����。
114. 根據(jù)實施例108-110中任一實施例所述的方法�����,該方法還包括將 USIM功能擴展為將TLS和應用程序安全所需的認證算法包括在內(nèi)。
權(quán)利要求
1. 一種使用單點登錄(SSO)技術(shù)執(zhí)行安全密碼管理的無線發(fā)射/接收單元(WTRU)���,該WTRU包括SSO代理單元���,該SSO代理單元用于接收來自用戶的用戶認證數(shù)據(jù),并用于獲得對于至少一個網(wǎng)站的特定用戶的登錄信息的請求�����;可信平臺模塊(TPM)�,該TPM用于存儲對于至少一個網(wǎng)站的特定用戶的登錄信息和用戶認證數(shù)據(jù),并用于比較所接收到的用戶認證數(shù)據(jù)與所存儲的用戶認證數(shù)據(jù)�,以及如果所述比較為肯定的則轉(zhuǎn)發(fā)所存儲的特定用戶的登錄信息;網(wǎng)絡(luò)訪問應用程序(WAA)����,該WAA用于自動接收所轉(zhuǎn)發(fā)的特定用戶的登錄信息,并且一旦接收到訪問所述至少一個網(wǎng)站的用戶請求�����,就將所述轉(zhuǎn)發(fā)的特定用戶的登錄信息傳送給所述至少一個網(wǎng)站��。
2. 根據(jù)權(quán)利要求1所述的WTRU�,其中所述SSO代理單元需要用戶認 證數(shù)據(jù)來訪問所述TPM中的密碼。
3. 根據(jù)權(quán)利要求2所述的WTRU�����,其中所述用戶認證數(shù)據(jù)基于至少兩 個因素�����。
4. 根據(jù)權(quán)利要求3所述的WTRU��,其中所述至少兩個因素之一是生物 信息����。
5. 根據(jù)權(quán)利要求3所述的WTRU,其中所述至少兩個因素之一是密碼����。
6. 根據(jù)權(quán)利要求1所述的WTRU,其中一旦成功提供了用戶認證數(shù)據(jù)�, 訪問就被自動地授權(quán)給預識別的網(wǎng)站組中的所有網(wǎng)站。
7. 根據(jù)權(quán)利要求1所述的WTRU�����,其中特定用戶的登錄信息至少包括 URL和特定網(wǎng)站的密碼。
8. 根據(jù)權(quán)利要求7所述的WTRU����,其中TPM產(chǎn)生并維持特定網(wǎng)站的密碼。
9. 根據(jù)權(quán)利要求8所述的WTRU����,其中所述特定網(wǎng)站的密碼是僅存儲 在所述TPM中的隨機密碼。
10. 根據(jù)權(quán)利要求1所述的WTRU����,其中如果所述比較為肯定的,則能 夠訪問另外的網(wǎng)站����。
11. 根據(jù)權(quán)利要求1所述的WTRU,其中所述SSO代理單元從所述至 少一個網(wǎng)站接收安全登錄證書并且使用所述證書來認證所述至少一個網(wǎng)站����。
12. 根據(jù)權(quán)利要求1所述的WTRU,其中所述SSO代理單元提示所述 用戶是否對網(wǎng)站組使用SSO操作�。
13. 根據(jù)權(quán)利要求12所述的WTRU,其中所述提示包括僅對所述網(wǎng)站 組的子組使用SSO操作的選項�����。
14. 根據(jù)權(quán)利要求13所述的WTRU,其中該WTRU被配置為使用自由 聯(lián)盟身份聯(lián)盟框架(ID-FF)來執(zhí)行SSO服務����。
15. 根據(jù)權(quán)利要求1所述的WTRU��,其中該WTRU被配置為認證裝置 可信鏡像(DTM)�,從而建立與所述DTM之間的可信關(guān)系和與無線電接入網(wǎng)絡(luò)之間的安全鏈接。
16. 根據(jù)權(quán)利要求1所述的WTRU����,其中所述DTM提供"鏡像"所述 用戶設(shè)備的可信度的服務,并且所述DTM被配置為提供可信度信息到該信 息的外部請求方����。
17. —種對通過具有可信平臺模塊(TPM)的無線發(fā)射/接收單元 (WTRU)訪問的網(wǎng)站組中的至少一個網(wǎng)站提供安全單點登錄(SSO)的方法,該方法包括在所述WTRU處確定網(wǎng)站組���; 使用至少一個認證因素認證用戶����;以及一旦通過使用存儲在所述TPM中的登錄信息認證了所述用戶���,就安全 地登錄到從所述網(wǎng)站組中選擇的一個網(wǎng)站��。
18. 根據(jù)權(quán)利要求17所述的方法�����,其中所述WTRU包括SSO代理單 元��,該SSO代理單元用于確定何時請求對預定義網(wǎng)站組的訪問����。
19. 根據(jù)權(quán)利要求18所述的方法,其中所述SSO代理單元由所述TPM安全地保護���。
20. 根據(jù)權(quán)利要求17所述的方法�,其中所述TPM產(chǎn)生隨機的每個站點 密碼����,用于訪問從所述網(wǎng)站組中選擇的網(wǎng)站。
21. 根據(jù)權(quán)利要求17所述的方法��,其中所述TPM存儲隨機密碼�����,該隨 機密碼被產(chǎn)生以用于訪問從所述網(wǎng)站組中選擇的網(wǎng)站。
22. 根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的方法���,'其中確定步驟還包括WTRU從用戶接收網(wǎng)站組�。
23. 根據(jù)權(quán)利要求17所述的方法�,其中所述SSO代理單元安全地記錄 密碼信息并且將該密碼信息存儲在所述TPM中。
24. 根據(jù)權(quán)利要求23所述的方法�����,其中所記錄的密碼信息使用密鑰綁 定技術(shù)被存儲在所述TPM中�。
25. 根據(jù)權(quán)利要求17所述的方法�,其中所述WTRU包括存儲在所述 TPM中的唯一身份。
26. 根據(jù)權(quán)利要求17所述的方法�����,其中所述WTRU包括存儲在通用用 戶身份模塊(USIM)中的唯一身份�����。
27. 根據(jù)權(quán)利要求24所述的方法��,其中使用密鑰綁定技術(shù)包括使用基 于唯一身份的加密密鑰分級結(jié)構(gòu)��。
28. 根據(jù)權(quán)利要求17所述的方法,其中安全地登錄到從所述預定義網(wǎng) 站組中選擇的站點的步驟還包括-建立與網(wǎng)站的證書信息相關(guān)聯(lián)的唯一的用戶身份和密碼�����。
29. 根據(jù)權(quán)利要求17所述的方法����,其中登錄到從所述網(wǎng)站組中選擇的 其它網(wǎng)站還包括自動地發(fā)送用戶證書到所述其它網(wǎng)站。
30. 根據(jù)權(quán)利要求29所述的方法����,其中所述用戶證書與數(shù)據(jù)一起發(fā)送。
31. 根據(jù)權(quán)利要求17所述的方法�,該方法還包括 感測用戶的生物信息。
32. 根據(jù)權(quán)利要求31所述的方法���,其中所感測的生物信息被用于認證 目的���。
全文摘要
一種基于可信計算(TC)技術(shù)的用于密碼管理和單點登錄(SSO)訪問的方法和設(shè)備。該方法實施可信計算組(TCG)的可信平臺模塊(TPM)����,其與代理SSO單元和網(wǎng)絡(luò)訪問應用程序交互來提供安全、可信的機制來產(chǎn)生��、存儲和重新獲得密碼和SSO證書。本發(fā)明的各個實施方式允許在一次登錄到位于用戶設(shè)備中的安全代理中之后��,用戶能夠安全且透明地從屬于預識別站點組中的一個站點跳到另一個站點���。
文檔編號H04L29/06GK101507233SQ200780031119
公開日2009年8月12日 申請日期2007年8月22日 優(yōu)先權(quán)日2006年8月22日
發(fā)明者A·雷茲尼克, I·查, O·洛佩茲-托拉斯, Y·C·沙阿 申請人:交互數(shù)字技術(shù)公司