專利名稱:獲取憑證的方法和驗證憑證的方法
技術領域:
本發(fā)明涉及用于獲取使能訪問應用的憑證的方法��、用于頒發(fā)憑證以使能訪問應用的方法�����、用于基于憑證的使用而請求訪問應用的方法��、以及用于基于憑證的使用準許對應用的訪問的方法��。此外��,本發(fā)明涉及相應的計算機裝置���、計算機程序單元和計算機程序產品�����。
背景技術:
數(shù)字憑證和證書可容易地在不同用戶之間共享和復制��。例如��,如果一個用戶擁有一允許他訪問某個服務或應用的憑證�����,他可容易地將該憑證與他的朋友共享�,從而使他朋友也能訪問該服務。盡管對于非匿名憑證�,這種共享可在某種程度上通過某些憑證過于頻繁地被使用的事實而被檢測到,對于匿名憑證這樣的檢測是不可能的�。對于該問題的一個可能的解決方案是使用憑證所綁定的一件防篡改硬件��,從而該憑證只能與該件硬件相聯(lián)系地使用�����。然而����,這種方法的缺點是它不給用戶留有使用憑證時的任何靈活性,即如果該件硬件包含在一個人數(shù)字助理(PDA)或膝上型計算機中�����,則用戶無法在其所有計算設備中使用該憑證,而只能在單個計算設備中使用該憑證���。如上所述����,已知的解決方案或者不允許用戶將憑證從一個計算設備轉移到另一個計算設備�,或者在另一方面允許用戶也與其他用戶共享憑證。
存在著其他旨在阻止用戶共享憑證的方案���,其方法或者是使得通過共享憑證����,用戶也共享了某種其他秘密�����,例如使能夠訪問其銀行帳戶的秘密�����,或者是使得如果用戶共享一個憑證,則他就共享了其所有憑證�����。這兩個方法都具有有限的適用性�,即第一個方法假設存在有價值的秘密,而第二個方法假設存在其他有價值的憑證��。這兩個假設常常是未能滿足的�。
因此,希望提供一種憑證機制����,其允許使用多個計算設備來請求訪問一應用,并阻止憑證的未經授權的流傳��。
發(fā)明內容
根據本發(fā)明的第一個方面��,提供了一種用于基于憑證的使用準許訪問應用的方法�,其包括以下步驟向頒發(fā)者計算機注冊用戶的一個或多個計算設備�����。響應于該注冊��,為每個計算設備獲得一與設備相關的憑證,該憑證被設計為僅僅與該相關計算設備相聯(lián)系地使用����,并相關于該用戶的唯一標識符。獲得與用戶的該唯一標識符相關的應用憑證�。將包含應用憑證和與設備相關的憑證的應用請求提交給驗證器計算機。在該驗證器計算機處驗證所接收到的該應用請求的該與設備相關的憑證和該應用憑證是否涉及相同的唯一標識符����,并在它們是這樣的情況下準許對該應用的訪問。
根據本發(fā)明的另一個方面�,提供了一種用于獲得使能對一應用的訪問的憑證的方法,其包括以下步驟向頒發(fā)者計算機提交用于注冊該請求計算設備的請求����。響應于該注冊請求獲得一與設備相關的憑證,該憑證被設計為僅僅與該請求計算設備相聯(lián)系地使用并相關于該用戶的唯一標識符��。以及獲得與該用戶的該唯一標識符相關的一應用憑證�。
由于該方法反映了計算機設備自動地執(zhí)行以準備提交訪問一應用的請求的步驟,所以提供了包括用于執(zhí)行該方法的步驟的控制部件的計算設備���。
根據本發(fā)的另一個方面���,提供了一種用于頒發(fā)用于使能訪問一應用的憑證的方法,其包括以下步驟響應于接收到來自用戶的對于注冊一個或多個計算設備的請求,為每個計算設備頒發(fā)一與設備相關的憑證�,該憑證被設計為僅僅與相關計算設備相聯(lián)系地使用并相關于或被設計為相關于該用戶的唯一標識符。
由于該方法反映了一頒發(fā)者計算機在接收到頒發(fā)憑證的請求時自動執(zhí)行的步驟�,所以提供了一種包括用于執(zhí)行該方法的步驟的控制部件的頒發(fā)者計算機。
根據本發(fā)明的另一方面����,提供了一種用于基于憑證的使用準許對一應用的訪問的方法,其包括以下步驟響應于包含一應用憑證和一與設備相關的憑證的應用請求����,其中該與設備相關的憑證被設計為僅僅與該請求計算設備相聯(lián)系地使用并相關于用戶的唯一標識符,并且該應用憑證相關于用戶的唯一標識符��,驗證該與設備相關的憑證與該應用憑證是否涉及相同的唯一標識符����,并且在它們是這樣的情況下準許對該應用的訪問。
由于該方法反映了一驗證者計算機在接收到請求時自動執(zhí)行以準許或拒絕對一應用的訪問的步驟�,因此提供了一種包括用于執(zhí)行該方法的步驟的控制部件的驗證者計算機。該驗證者計算機可優(yōu)選地是一應用服務器的一部分�。
根據本發(fā)明的另一個實施例,提供了一種用于基于憑證的使用請求訪問一應用的方法����,其包括以下步驟向一驗證者計算機提交包含一應用憑證和一與設備相關的憑證的應用請求,該與設備相關的憑證被設計為僅僅與該請求計算設備相聯(lián)系地使用并相關于用戶的唯一標識符�,并且該應用憑證相關于用戶的唯一標識符,由于該方法反映了一計算設備自動執(zhí)行以提交訪問一應用的請求的步驟�����,因此提供了一種包括用于執(zhí)行該方法的步驟的控制部件的計算機設備��。
該應用可以是通常由一應用服務器計算機或網絡提供的任何類型的服務�、應用、信息或類似物�。
所述應用憑證可與用戶的多個計算設備相聯(lián)系地使用。優(yōu)選地����,為了使用應用憑證,未將應用憑證分配給特定的計算設備���。然而�����,與設備相關的憑證被分配給特定的計算設備�����,并僅可與該計算設備相聯(lián)系地使用����。在一優(yōu)選實施例中,這可以通過將與設備相關的憑證與被分配的計算設備的一安全性模塊相關聯(lián)來實現(xiàn)��,該安全性模塊優(yōu)選地是一防篡改安全性模塊�。在這種實施例中,該與設備相關的憑證被綁定到該安全性模塊���。就是說該與設備相關的憑證不能沒有該安全性模塊而被使用�。為了完成這一點����,優(yōu)選地,該安全性模塊已生成一私鑰/公鑰對�����,并且其私鑰被保密在該安全性模塊中��。然后將該與設備相關的憑證實現(xiàn)為在該公鑰上頒發(fā)的證書���。當用戶想使用該與設備相關的憑證時��,用戶必須出示該證書�,并證明自己是相應于該公鑰的實體��。因為其私鑰被保存在該安全性模塊的內部����,該證明只能與該安全性模塊相關聯(lián)地完成。
所述應用憑證被認為是用于使能對應用的訪問的憑證�,而所述與設備相關的憑證也被認為是用于使能對該應用的訪問的一附加憑證,對該應用的訪問只有當應用憑證和與設備相關的憑證兩者都通過了所述驗證過程時才被準許��。
優(yōu)選地���,可以許多不同的方式將所述用戶標識符與相應的憑證相關聯(lián)����,例如將其包括在或附加到憑證的其余部分�����,或以隱藏和/或編碼的方式將其嵌入在憑證中����,或以某種方式與憑證相鏈接等�。憑證可以例如僅包括一從用戶ID得出或與之相關的值�����。
本發(fā)明允許使用多個計算設備以請求對應用的訪問��,而同時阻止憑證的不希望的或未被授權的流傳����,因為應用憑證的流傳并不會允許第三方從第三方計算設備獲得訪問即使這樣的第三方會在請求訪問時出示所流傳的應用憑證以及與第三方的設備相關的憑證,在這兩個憑證中包含的用戶標識符將是不同的�����,因為該與設備相關的憑證是為該第三方的用戶標識符注冊的并包括該第三方的用戶標識符���,而該第三方的用戶標識符與所述流傳的應用憑證的用戶標識符是不同的���。
優(yōu)選地,所述與設備相關的憑證是通過從頒發(fā)者計算機接收該與設備相關的憑證而獲得的�,該與設備相關的憑證是由該頒發(fā)者計算機頒發(fā)的,并與用戶的唯一標識符相關���。在這種實施例中��,計算設備從頒發(fā)者計算機獲得已包括到用戶標識符的鏈接的與設備相關的憑證���。
或者�����,所述與設備相關的憑證可在該計算設備處通過從頒發(fā)者計算機接收被確定為相關于用戶的唯一標識符的與設備相關的憑證,并通過在該計算設備處將該用戶的唯一標識符并入所接收的設備憑證來獲得���。在這種實施例中�,優(yōu)選的是使該計算設備向該頒發(fā)者計算機提交對于將合法的唯一標識符并入所接收的與設備相關的憑證的證據����。
所述應用憑證可由計算設備通過向一應用頒發(fā)者計算機提交對于應用憑證的請求而獲得。
相似于與設備相關的憑證��,響應于應用憑證請求���,計算設備可通過從應用頒發(fā)者計算機接收應用憑證來獲得該應用憑證����,該應用憑證由應用頒發(fā)者計算機頒發(fā)���,并相關于用戶的唯一標識符����。或者�,應用憑證可由計算設備通過從應用頒發(fā)者計算機接收被確定為與該唯一標識符相關的應用憑證,并通過將該用戶的唯一標識符并入所接收應用憑證來獲得���。再次地�,優(yōu)選的是使該計算設備向該應用頒發(fā)者計算機提交對于將合法的唯一標識符并入所接收的應用憑證的證據���。
由于應用憑證不是被捆綁為用于特定的計算設備���,用戶也可將從應用憑證頒發(fā)者接收的應用憑證復制到所有其計算設備上。
優(yōu)選地�����,所述注冊請求包含用戶的唯一標識符�。優(yōu)選地,所述應用憑證請求也包含用戶的唯一標識符�。所述應用憑證請求也可包含應用憑證頒發(fā)者可從中得到用戶標識符的與設備相關的憑證。
從應用憑證頒發(fā)者的角度看,優(yōu)選的是響應于從用戶接收到對應用憑證的請求而頒發(fā)與該請求用戶的唯一標識符相關的或被設計為與之相關的應用憑證��。在某些實施例中���,設備憑證頒發(fā)者計算機和應用憑證頒發(fā)者計算機可以是同一個計算機����。
根據另一個優(yōu)選實施例�,響應于從用戶接收到對于注冊一個或多個計算設備的請求并在根據這種請求頒發(fā)與設備相關的憑證之前,頒發(fā)者計算機驗證頒發(fā)給該用戶的與設備相關的憑證的數(shù)量是否超過了一給定閾值��,并且如果是這樣則拒絕頒發(fā)另外的與設備相關的憑證�����。這樣���,可限制與設備相關的憑證的數(shù)量,這有助于使不希望的應用憑證的流傳更加無用���。
優(yōu)選地���,在驗證者計算機處驗證與設備相關的憑證和應用憑證是否涉及相同的唯一標識符是通過計算設備與該驗證者計算機之間的一零知識證明協(xié)議進行的。
將僅僅與相關的計算設備相聯(lián)系地使用的所述與設備相關的憑證可例如通過使用嵌入在該設備內的一安全性模塊來獲得。
優(yōu)選地�,驗證者計算機接受了憑證的情況下,將與該憑證相關的應用發(fā)布給該用戶�。
根據本發(fā)明的另一個實施例,將所接收的一個或多個應用憑證復制給屬于該用戶的一個或多個其他計算設備��。
在本發(fā)明的進一步的實施例中��,在所述計算設備和所述應用頒發(fā)者計算機之間處理由可信計算組織(Trusted Computing Group)所規(guī)定的一直接匿名證明(direct anonymous attestation)協(xié)議��,以使該應用頒發(fā)者計算機確信該計算設備具有該設備憑證����。有利地,使用該協(xié)議�����,計算設備可無需暴露其標識符就使應用頒發(fā)者計算機確信它具有該設備憑證����。
根據本發(fā)明用于為計算設備獲得應用憑證的所述方法還可包括以下步驟為了在具有也與該用戶的唯一標識符相關的一設備憑證的另一計算設備上使用所述應用憑證,將所述應用憑證復制到該另一計算設備上���。
此外���,提供了計算機程序單元���,其包括用于當被裝載到一控制部件的數(shù)字處理器單元中時執(zhí)行根據上述任一方法的步驟的計算機程序代碼。并且提供了存儲在計算機可用介質中的計算機程序產品�����,所述計算機程序產品包括用于致使一控制部件的數(shù)字處理器單元執(zhí)行上述任一方法的步驟的計算機可讀程序代碼�����。
通過參考對根據本發(fā)明的目前優(yōu)選的但仍為示例性的實施例的詳細描述并對照附圖��,將更充分地理解本發(fā)明及其實施例�。
該附圖示出了對在頒發(fā)憑證以及驗證這些憑證或證書中所涉及的部件的示意圖����。
具體實施例方式
附圖作為示例示出了在頒發(fā)憑證中涉及的部件以及在驗證這些憑證中涉及的部件。屬于某一用戶的第一計算設備1.1配備有受信任平臺模塊TPC�����,也稱為安全性模塊��。如果該計算設備1.1應被用于某一應用,例如稱為APP1的應用�,則首先通過一注冊請求請求向注冊頒發(fā)者計算機2注冊該計算設備1.1。因此��,該計算設備1.1的用戶將其身份IDUSER通知給注冊頒發(fā)者計算機2���。于是��,該注冊頒發(fā)者計算機2使用該用戶身份IDUSER以及它從所述TPM得到的信息來生成一與設備相關的憑證CR1�。該與設備相關的憑證CR1被傳送給計算設備1.1并與計算設備1.1綁定在一起����,即該與設備相關的憑證CR1不能被用于任何其他計算設備上,并因此對于任何其他計算設備是無用的�。
優(yōu)選地,為了使與設備相關的憑證被設計為僅可與它被分配給的計算設備相聯(lián)系地執(zhí)行��,該計算設備包括一安全性模塊��,并且應用一私鑰/公共加密法����。在該安全性模塊內生成一公鑰/私鑰,并將公鑰發(fā)送給頒發(fā)者計算機����,即設備憑證頒發(fā)者計算機��。頒發(fā)者計算機或者將所述公鑰存儲在一已認證密鑰列表中����,或者實際在該公鑰上頒發(fā)一證書�����,即它例如連同某些其他信息或屬性一起地簽名該公鑰��。當用戶此后希望使用其憑證從具有安全性模塊的所述計算設備訪問某個應用包括服務或資源時��,該計算設備如下面介紹地將該公鑰以及可能地該證書作為與設備相關的憑證的至少一部分發(fā)送給驗證器計算機���。然后驗證器計算機或者檢查該公鑰是否在由所述頒發(fā)者計算機提供給該驗證器計算機的已授權密鑰的列表中�,或者驗證在該公鑰上的證書的合法性���。最后,通過使用私鑰����,該計算設備標識自己為該公鑰的擁有者���,并隨后將獲得對所請求的應用的訪問,如果滿足了如下面更詳細說明的進一步的要求的話���。對于以上介紹的通信����,使用了一種在“Efficient signature generation for smart cards”�����,C.P.Schnorr���,Journal ofCryptology�,4(3)239-252��,1991中所描述的所謂的零知識協(xié)議����,所述文獻被并入本文作為參考。秘密密鑰不會從安全性模塊泄露�,并且不能不牽涉該安全性模塊而使用該與設備相關的憑證,即該與設備相關的憑證的使用是僅僅限于與該安全性模塊并因此與該計算設備一起使用��。
如果用戶希望注冊也被分配該用戶的其他計算設備,例如計算設備1.N�����,則可對于該計算設備1.N重復上述過程����。注冊頒發(fā)者計算機2再次使用用戶的身份IDuser和它從該計算設備1.N的TPM得到的信息來生成一與設備相關的憑證CRN,該憑證CRN被綁定到該計算設備1.N����。此后,將該與設備相關的憑證CRN傳送到該計算設備1.N��。
現(xiàn)在����,為了獲得用于應用APP1的憑證,可將與設備相關的憑證CR1傳送給所謂的應用或服務頒發(fā)者計算機3.1����。該應用頒發(fā)者計算機3.1可以是例如一服務銷售者。它生成一具有與該與設備相關的憑證CR1相同的用戶身份IDuser的應用憑證CA1��,并將該應用憑證CA1傳送回給計算設備1.1���。用戶現(xiàn)在擁有了用于應用APP1的應用憑證CA1����。為了發(fā)布應用APP1以便使用��,計算設備1.1將其與設備相關的憑證CR1和應用憑證CA1傳送給注冊驗證器計算機4.1����,該注冊驗證器計算機4.1可以是例如一服務提供者。如果該驗證器計算機4.1識別出該與設備相關的憑證CR1和該應用憑證CA1包含相同的用戶身份IDuser�����,則它發(fā)布該應用APP1以便使用���。否則��,拒絕對應用APP1的使用����。
如果用戶希望為其他應用例如應用APPx獲得應用憑證���,則重復上述過程��。因此����,將與設備相關的憑證CR1傳送給應用發(fā)布者計算機3.x。應用發(fā)布者計算機3.x生成一具有與該與設備相關的憑證CR1相同的用戶身份IDuser的應用憑證CAx�����,并將其傳送回給計算設備1.1�����。用戶現(xiàn)在擁有了用于應用APPx的應用憑證CAx��。為了發(fā)布應用APPx以便使用�,計算設備1.1將其與設備相關的憑證CR1和應用憑證CAx傳送給注冊驗證器計算機4.x。如果該驗證器計算機4.x識別出該與設備相關的憑證CR1和該應用憑證CAx具有相同的用戶身份IDuser����,則它發(fā)布該應用APPx以便使用。否則��,拒絕對應用APPx的使用����。
如果用戶希望在其他計算設備例如在計算設備1.N上使用他已擁有其應用憑證例如用于應用APP1的應用憑證CA1的應用���,他可簡單地將應用憑證CA1復制到計算設備1.N上����。為了使用應用APP1,計算設備1.N將其與設備相關的憑證CRN和該應用憑證CA1傳送給注冊驗證器計算機4.1�����。如果該驗證器計算機4.x識別出該與設備相關的憑證CRN和該應用憑證CA1具有相同的用戶身份IDuser���,則它發(fā)布該應用APP1以便使用�����。否則�,拒絕對應用APP1的使用����。
在實踐中,應用頒發(fā)者計算機3.1-3.3是單獨的計算機是必要的�,但它們也可結合在單個計算機內。同樣的道理類似地適用于驗證器計算機4.1-4.x。
本發(fā)明的思想是用戶的每個計算設備1.1-1.N獲得一頒發(fā)的與設備相關的憑證CR1-CRN����,該憑證與相應的計算設備捆綁在一起,從而該設備憑證包含該用戶的唯一標識符IDuser�����。然后���,也頒發(fā)應用憑證CA1-CAx��,從而它們包含該用戶的標識符IDuser?���,F(xiàn)在��,每當該用戶希望使用應用憑證CA1-CAx時�����,該用戶必須不僅呈現(xiàn)應用憑證CA1-CAx��,也被要求提供與設備相關的憑證CR1-CRN���,其中要求這兩個憑證都包含相同的標識符IDuser��。
如果用戶確保其針對同一標識符IDuser注冊了其所有計算機設備1.1-1.N�����,則該用戶可通過所有其計算設備1.1-1.N使用其應用憑證CA1-CAx�。另一方面��,如果應用憑證頒發(fā)者3.1-3.x和/或設備憑證頒發(fā)者2確保其頒發(fā)的憑證包含唯一的標識符IDuser����,則該用戶不能與任何人共享憑證CA1-CAx。出現(xiàn)后一情況是因為與設備相關的憑證CR1-CRN是捆綁到計算設備1.1-1.N的��,并因此是不可轉移的�。
該方法可被應用于匿名憑證和非匿名憑證這兩者。如果使用匿名憑證����,則計算設備不是必須將憑證傳送給驗證方,而是可使用諸如零知識證明的方法來使驗證方確信其擁有憑證����。
在根據本發(fā)明的方法中���,提供用戶可向其注冊他的計算設備1.1的管理方或注冊頒發(fā)者計算機2。從該管理方2����,用戶得到與設備相關的憑證CR1,該憑證CR1使用某件防篡改硬件例如可信平臺模塊(TPM)被捆綁到他的計算設備1.1�����。該與設備相關的憑證CR1包含用戶的唯一標識符IDuser���。具體地�����,所有頒發(fā)給該用戶的不同計算機1.1-1.N的與設備相關的憑證CR1-CRN都應當包含該用戶的相同的唯一標識符IDuser����。因此��,該管理方2應當識別該用戶并然后將相應的標識符IDuser插入到與設備相關的憑證CR1-CRN�。或者����,該用戶自己可將標識符IDuser插入到與設備相關的憑證CR1-CRN����,并然后向管理方2證明他插入了合法的標識符IDuser��,即由某個認證管理機構認證的標識符�。
如果該用戶要獲得某種應用憑證(匿名的或非匿名的),則應用憑證提供者或應用頒發(fā)者3.1/3.x確保應用憑證CR1/CRN包含唯一標識符IDuser����。再次地,或者該用戶向應用頒發(fā)者3.1/3.x提供唯一標識符IDuser���,該應用頒發(fā)者然后將其包括在應用憑證CA1/CAx中,或者用戶自己包括標識符IDuser����,并隨后證明他已將一合法唯一標識符IDuser包括在應用憑證CA1/CAx中。后一種情況要求用戶擁有某種在其唯一標識符IDuser上的其他憑證/證書���。盡管這在原則上可以是任何憑證����,也可以為此目的使用所述與設備相關的憑證,只要已知頒發(fā)該與設備相關的憑證CR1/CRN的管理方2已將一合法的用戶標識符IDuser包括到該與設備相關的憑證CR1-CRN中����。應用憑證CA1/CAx的頒發(fā)可以若干種方式包括盲簽名和匿名憑證系統(tǒng)完成?�?衫斫獯嬖陉P于如何將標識符IDuser編碼到應用憑證CA1-CAx和設備憑證CR1-CRN中的某種一致意見��。
現(xiàn)在當用戶使用或向驗證者4.1/4.x出示應用憑證CA1/CAx時����,只需要要求該用戶也顯示擁有包含相同的唯一標識符IDuser的與設備相關的憑證CR1/CRN。這可以匿名的方式完成�����,從而驗證者4.1/4.x不能獲知用戶的標識符IDuser�,而僅確信兩個憑證CA1/CAx和CR1/CRN包含相同的標識符IDuser,與設備相關的憑證CR1/CRN確實被捆綁到計算設備����,以及憑證CA1/CAx和CR1/CRN是由正確的一方頒發(fā)的。顯示憑證當然也可以非匿名的方式完成��,從而驗證者4.1/4.x獲知所有的信息����。
如已經提到的���,用戶可與其所有計算設備1.1-1.N一起使用其所有應用憑證CA1-CAx,只要他已經為其所有計算設備1.1-1.N獲得了包含其唯一標識符IDuser的與設備相關的憑證CR1-CRN��。此外����,應用憑證CA1-CAx不能由其他用戶使用,只要已頒發(fā)與設備相關的憑證的管理方確保這些被頒發(fā)給不同用戶的與設備相關的憑證包含不同的標識符IDuser1���、IDuser2等��。
應當注意�,可使用由可信計算組織在其可信平臺模塊規(guī)范v1.2中規(guī)定的直接匿名證明協(xié)議(DAA)以便實現(xiàn)與設備相關的憑證CR1-CRN����。就是說���,可擴展該證明以包括用戶的標識符IDuser1作為屬性�����,從而該證明成為捆綁到TPM的與設備相關的憑證�。可在E.Brickell�����,J.Camenisch��,L.Chen����,“Direct Anonymous Attestation”,IBM Research Report RZ 3450�,May 2004中找到關于直接匿名證明協(xié)議的詳細技術描述。
具體地����,提供了一種使用由可信計算組織在TPM V1.2中規(guī)定的可作信平臺模塊(TPM)的方法。關于可信計算組織和可信平臺模塊的進一步信息可在可從http//www.trustedcomputinggroup.org得到的The TrustedComputing Group�,TPM Specification Version 1.2中找到。
任何所公開的實施例可與所示出和/或描述的一個或幾個其他實施例相結合�����。這一點對于實施例的一個或多個特征也同樣適用。
本發(fā)明可在硬件����、軟件、或硬件和軟件的組合中實現(xiàn)����。任何種類的計算機系統(tǒng)或適應于執(zhí)行這里描述的方法的其他裝置都是適合的。硬件和軟件的一種典型組合可以是具有計算機程序的通用計算機系統(tǒng)��,當該計算機程序被裝載和執(zhí)行時��,控制該計算機系統(tǒng)從而它執(zhí)行這里描述的方法����。本發(fā)明也可嵌入在計算機程序產品中,該計算機程序產品包含使能實現(xiàn)這里描述的方法的所有特征��,并且當其被裝載到計算機系統(tǒng)中時�����,能夠執(zhí)行這些方法��。
在本文中的計算機程序單元或計算機程序意味著以任何語言���、代碼或符號編寫的一組指令的任何表達�����,該組指令旨在使得具有信息處理能力的系統(tǒng)或者直接地或者在a)轉換到另一種語言���、代碼或符號;b)以不同材料形式再現(xiàn)這兩者中的任何一個或兩者之后執(zhí)行特定的功能標號CR1 用于計算設備1的設備憑證CRN 用于計算設備N的設備憑證1.1 計算設備11.N 計算設備NCA1 用于應用1的應用憑證CAx 用于應用x的應用憑證2頒發(fā)者計算機3.1 應用頒發(fā)者計算機13.x 應用頒發(fā)者計算機x4.1 用于應用1的驗證器計算機4.x 用于應用x的驗證器計算機
權利要求
1.一種用于基于憑證的使用準許對應用的訪問的方法�,包括以下步驟向頒發(fā)者計算機(2)注冊用戶的一個或多個計算設備(1.1-1.N);響應于該注冊�,為每個計算設備(1.1-1.N)獲得一與設備相關的憑證(CR1-CRN),該憑證被設計為僅僅與該相關計算設備(1.1-1.N)相聯(lián)系地使用��,并相關于該用戶的唯一標識符(IDuser)���;獲得與用戶的該唯一標識符(IDuser)相關的應用憑證(CA1-CAx)�����;將包含應用憑證(CA1-CAx)和與設備相關的憑證(CR1-CRN)的應用請求提交給驗證器計算機(4.1-4.x)����;以及在該驗證器計算機(4.1-4.x)處驗證所接收到的該應用請求的該與設備相關的憑證(CR1-CRN)和該應用憑證(CA1-CAx)是否涉及相同的唯一標識符(IDuser)����,并在它們是這樣的情況下準許對該應用的訪問�����。
2.一種用于獲得使能對應用的訪問的憑證的方法�����,包括以下步驟向頒發(fā)者計算機(2)提交用于注冊請求計算設備(1.1-1.N)的請求��;響應于該注冊請求獲得與設備相關的憑證(CR1-CRN)����,該憑證被設計為僅僅與該請求計算設備(1.1-1.N)相聯(lián)系地使用并相關于該用戶的唯一標識符(IDuser)���;以及獲得與該用戶的該唯一標識符(IDuser)相關的應用憑證(CA1-CAx)�。
3.根據權利要求1或權利要求2的方法��,包括通過從所述頒發(fā)者計算機(2)接收所述與設備相關的憑證(CR1-CRN)來獲得該與設備相關的憑證(CR1-CRN)���,該與設備相關的憑證(CR1-CRN)由該頒發(fā)者計算機(2)頒發(fā)����,并相關于所述用戶的唯一標識符(IDuser)。
4.根據權利要求1或權利要求2的方法��,包括通過從所述頒發(fā)者計算機(2)接收被確定為相關于所述用戶的唯一標識符(IDuser)的一與設備相關的憑證�,并將所述用戶的唯一標識符(IDuser)并入該接收的設備憑證����,來獲得所述與設備相關的憑證(CR1-CRN)。
5.根據權利要求4的方法�,包括向所述頒發(fā)者計算機(2)提交對于將合法唯一標識符(IDuser)并入所述接收到的與設備相關的憑證的證據。
6.根據權利要求1或權利要求2的方法�,包括向應用頒發(fā)者計算機(3.1-3.x)提交對于應用憑證(CA1-CAx)的請求。
7.根據權利要求6的方法�����,包括響應于所述應用憑證請求�����,通過從所述應用頒發(fā)者計算機(3.1-3.x)接收所述應用憑證(CA1-CAx)來獲得該應用憑證(CA1-CAx)�,該應用憑證(CA1-CAx)由該應用頒發(fā)者計算機(3.1-3.x)頒發(fā),并相關于所述用戶的唯一標識符(IDuser)��。
8.根據權利要求6的方法����,包括通過從所述應用頒發(fā)者計算機(3.1-3.x)接收被確定為相關于所述唯一標識符(IDuser)的一應用憑證�,并將所述用戶的唯一標識符(IDuser)并入該接收的應用憑證��,來獲得所述應用憑證(CA1-CAx)��。
9.根據權利要求8的方法����,包括向所述應用頒發(fā)者計算機(3.1-3.x)提交對于將合法唯一標識符(IDuser)并入所述接收到的應用憑證的證據。
10.根據權利要求1或權利要求2的方法���,其中所述注冊請求包括所述用戶的唯一標識符(IDuser)��。
11.根據權利要求6的方法���,其中所述應用憑證請求包括所述用戶的唯一標識符(IDuser)。
12.根據權利要求6的方法�,其中所述應用憑證請求包括所述與設備相關的憑證(CR1-CRN)。
13.一種用于頒發(fā)用于使能對應用的訪問的憑證的方法��,包括以下步驟響應于接收到來自用戶的對于注冊一個或多個計算設備(1.1-1.N)的請求��,為每個請求計算設備(1.1-1.N)頒發(fā)一與設備相關的憑證(CR1-CRN)���,該憑證被設計為僅僅與相應的請求計算設備相聯(lián)系地使用并相關于或被設計為相關于該用戶的唯一標識符(IDuser)����。
14.根據權利要求13的方法,包括響應于從用戶接收到對于應用憑證(CA1-CAx)的請求���,頒發(fā)相關于或被設計為相關于該請求用戶的唯一標識符(IDuser)的應用憑證(CA1-CAx)。
15.根據權利要求13或權利要求14的方法��,包括響應于從用戶接收到對于注冊一個或多個計算設備(1.1-1.N)的請求并在基于這種請求頒發(fā)與設備相關的憑證(CR1-CRN)之前����,驗證向該用戶頒發(fā)的與設備相關的憑證(CR1-CRN)的數(shù)量是否超過一給定閾值,并且如果是的話則拒絕頒發(fā)進一步的與設備相關的憑證��。
16.一種用于基于憑證的使用準許對應用的訪問的方法�����,包括以下步驟響應于包含應用憑證(CA1-CAx)和與設備相關的憑證(CR1-CRN)的應用請求�,其中該與設備相關的憑證(CR1-CRN)被設計為僅僅與該請求計算設備(1.1-1.N)相聯(lián)系地使用并相關于用戶的唯一標識符(IDuser),并且該應用憑證(CA1-CAx)相關于用戶的唯一標識符(IDuser)����,驗證該與設備相關的憑證(CR1-CRN)與該應用憑證(CA1-CAx)是否涉及相同的唯一標識符(IDuser)���;以及在它們是這樣的情況下,準許對該應用的訪問�����。
17.根據權利要求1或權利要求16的方法�,其中所述驗證所述與設備相關的憑證(CR1-CRN)與所述應用憑證(CA1-CAx)是否涉及相同的唯一標識符的步驟是通過在所述計算設備(1.1-1.N)和所述驗證器計算機(4.1-4.x)之間的零知識證明協(xié)議執(zhí)行的。
18.一種用于基于憑證的使用請求訪問應用的方法���,包括向驗證者計算機(4.1-4.N)提交包含應用憑證(CA1-CAx)和與設備相關的憑證(CR1-CRN)的應用請求的步驟�,其中該與設備相關的憑證(CR1-CRN)被設計為僅僅與該請求計算設備(1.1-1.N)相聯(lián)系地使用并相關于用戶的唯一標識符(IDuser)�,并且該應用憑證(CA1-CAx)相關于用戶的唯一標識符(IDuser)。
19.一種計算設備��,包括用于執(zhí)行根據在權利要求2-12或18中的任何一個中要求的方法的步驟的控制單元��。
20.一種頒發(fā)者計算機����,包括用于執(zhí)行根據在權利要求13-15中的任何一個中要求的方法的步驟的控制單元。
21.一種驗證器計算機�����,包括用于執(zhí)行根據在權利要求16或17的任何一個中要求的方法的步驟的控制單元。
22.一種計算機程序單元���,包括用于當被裝載到控制單元的數(shù)字處理器單元中時執(zhí)行根據在權利要求2或18的任何一個中要求的方法的步驟的計算機程序代碼��。
23.一種存儲在計算機可用介質中的計算機程序產品���,包括用于致使控制單元的數(shù)字處理器單元執(zhí)行在權利要求2-18中的任何一個中要求的方法的步驟的計算機可讀程序代碼。
全文摘要
提供了一種用于基于對憑證的使用準許對應用的訪問的方法��,其包括以下步驟向頒發(fā)者計算機(2)注冊用戶的一個或多個計算設備(1.1-1.N)���。響應于該注冊為每個計算設備(1.1-1.N)獲得一與設備相關的憑證(CR1-CRN),該憑證被設計為僅僅與該相關計算設備(1.1-1.N)相聯(lián)系地使用�����,并相關于該用戶的唯一標識符(ID
文檔編號G06F21/00GK1815482SQ200510117570
公開日2006年8月9日 申請日期2005年11月4日 優(yōu)先權日2004年11月5日
發(fā)明者J·L·卡梅尼施 申請人:國際商業(yè)機器公司