一種在具有用戶的無線設(shè)備處執(zhí)行的方法
【專利說明】一種在具有用戶的無線設(shè)備處執(zhí)行的方法
[0001] 本申請(qǐng)是申請(qǐng)日為2011年01月21日、申請(qǐng)?zhí)枮?01180006853. 0、名稱為"用于 可信聯(lián)合身份管理和數(shù)據(jù)接入授權(quán)的方法和設(shè)備"的中國(guó)發(fā)明專利申請(qǐng)的分案申請(qǐng)。
[0002] 相關(guān)申請(qǐng)的交叉引用
[0003] 本申請(qǐng)基于并要求享有2010年1月22日提交的US臨時(shí)專利申請(qǐng)No. 61/297,446 的優(yōu)先權(quán),其全部?jī)?nèi)容通過引用而被視為結(jié)合與此。
【背景技術(shù)】
[0004] 用于認(rèn)證(authentication)的可信計(jì)算(TC)的基本使用可以是向受例如硬件可 信平臺(tái)模塊(TPM)保護(hù)的可信系統(tǒng)(TS)提供用于認(rèn)證的憑證(credential)。作為主要的 安全性特征,這可以將憑證綁定到特定TS。這種認(rèn)證在無線網(wǎng)絡(luò)中的應(yīng)用可以是經(jīng)由可擴(kuò) 展授權(quán)程序-傳輸層安全(EAP-TLS)的。對(duì)TS使用單個(gè)簽約(sign-on) (SS0)可能會(huì)展現(xiàn) 出潛在的安全性問題。
【發(fā)明內(nèi)容】
[0005] 公開了可以提供可信開放式ID(TOpenlD)(正如這里所公開的)與開放式 ID(OpenlD)的整合的系統(tǒng)、方法和手段。
[0006] 無線設(shè)備(例如用戶設(shè)備(UE))的用戶可以被認(rèn)證(例如響應(yīng)于來自網(wǎng)絡(luò)應(yīng)用功 能的認(rèn)證請(qǐng)求而被認(rèn)證)。UE上的可信權(quán)證(ticket)服務(wù)器(TTS)可以獲取(retrieve) 平臺(tái)確認(rèn)(validation)數(shù)據(jù)(例如從UE上的可信平臺(tái)模塊)。平臺(tái)確認(rèn)數(shù)據(jù)可以包括對(duì) 無線設(shè)備的信任度的測(cè)量。TTS可以發(fā)送平臺(tái)確認(rèn)數(shù)據(jù)到網(wǎng)絡(luò)應(yīng)用功能。UE可以接收平臺(tái) 驗(yàn)證,該平臺(tái)驗(yàn)證指示網(wǎng)絡(luò)應(yīng)用功能已經(jīng)驗(yàn)證該平臺(tái)確認(rèn)數(shù)據(jù)和用戶。從網(wǎng)絡(luò)應(yīng)用功能接 收到的平臺(tái)驗(yàn)證可以指示由平臺(tái)確認(rèn)數(shù)據(jù)指示的系統(tǒng)狀態(tài)與之前生成的參考值相匹配。
[0007] UE可以接收包括平臺(tái)驗(yàn)證的權(quán)證。該權(quán)證能夠被重復(fù)使用以執(zhí)行后續(xù)的授權(quán),而 不需要對(duì)無線設(shè)備進(jìn)行重新確認(rèn)。權(quán)證可以包含時(shí)間戳、壽命期限等。
[0008] UE可以從網(wǎng)絡(luò)實(shí)體中接收權(quán)證參考。該權(quán)證參考能夠被用于從網(wǎng)絡(luò)應(yīng)用功能獲得 權(quán)證。包括在權(quán)證中的平臺(tái)驗(yàn)證能夠被重復(fù)使用以執(zhí)行后續(xù)的授權(quán),而不需要對(duì)無線設(shè)備 進(jìn)行重新確認(rèn)。
【附圖說明】
[0009] 從以下以示例方式給出的描述并結(jié)合附圖可以獲得更詳細(xì)的理解,其中:
[0010] 圖1示出了示例認(rèn)證和接入系統(tǒng);
[0011] 圖1A示出了與可信Kerberos有關(guān)的示例呼叫流;
[0012] 圖2示出了與可信OpenID有關(guān)的示例呼叫流;
[0013] 圖3A和3B示出了與可信權(quán)證服務(wù)器質(zhì)詢-響應(yīng)有關(guān)的示例呼叫流;
[0014] 圖4示出了與可信OpenID有關(guān)的示例方法;
[0015] 圖5示出了與綁定UICC和WTRU有關(guān)的示例呼叫流圖;
[0016] 圖6示出了組件之間的示例關(guān)系;
[0017] 圖7示出了作為信任評(píng)估器的PVE的示例;
[0018] 圖8示出了示例TVT登錄;
[0019] 圖9示出了另一個(gè)示例TVT登錄;
[0020] 圖10示出了另一個(gè)示例TVT登錄;
[0021] 圖11提供與TVT登錄有關(guān)的示例可視指示;
[0022] 圖12提供基于可信計(jì)算概念的在平臺(tái)上對(duì)TVT的示例實(shí)施;
[0023] 圖13示出了 BONDI與TOpenID的示例使用;
[0024] 圖14示出了使用BONDI與TOpenID的示例呼叫流圖;
[0025] 圖15是示例OpenID協(xié)議的圖;
[0026] 圖16是示例OAuth協(xié)議的圖;
[0027] 圖17是示例的組合的OpenID/OAuth協(xié)議的圖;
[0028] 圖18是使用GoogleOpenID的示例OpenID協(xié)議的圖;
[0029] 圖19是使用Google API的示例OAuth協(xié)議的圖;
[0030] 圖20示出了示例長(zhǎng)期演進(jìn)(LTE)無線通信系統(tǒng)/接入網(wǎng);以及
[0031] 圖21示出了示例LTE無線通信系統(tǒng)。
【具體實(shí)施方式】
[0032] 圖1-圖21可以關(guān)于可以在其中實(shí)施公開的系統(tǒng)、方法以及手段的示例實(shí)施方式。 但是,雖然本發(fā)明可以結(jié)合示例實(shí)施方式進(jìn)行描述,但是其不限于此,且應(yīng)當(dāng)被理解為在不 偏離本發(fā)明的情況下,可以使用其它的實(shí)施方式或可以對(duì)所描述的實(shí)施方式進(jìn)行修改和添 加來執(zhí)行本發(fā)明的相同功能。此外,附圖可以示出呼叫流,其用于示例的目的??梢岳斫饪?以使用其它實(shí)施方式。此外,流的順序可以進(jìn)行適當(dāng)改變。另外,如果不需要,則可以省略 流,且還可以增加另外的流。
[0033] 下文提及的術(shù)語"無線發(fā)射/接收單元(WTRU)"包括但不限于用戶設(shè)備(UE)、移 動(dòng)站、固定或移動(dòng)用戶單元、尋呼機(jī)、蜂窩電話、個(gè)人數(shù)字助理(PDA)、計(jì)算機(jī)或能夠在無線 環(huán)境中操作的任意其它類型的設(shè)備。下文提及的術(shù)語"基站"可以包括但不限于節(jié)點(diǎn)B、站 點(diǎn)控制器、接入點(diǎn)(AP)或能夠在無線環(huán)境中操作的任意其它類型的接口設(shè)備。
[0034] 本文可以使用OpenID協(xié)議作為示例認(rèn)證和接入系統(tǒng),且可適用于其它認(rèn)證和接 入系統(tǒng)。出于解釋目的,在第三代合作伙伴(3GPP)環(huán)境中描述了多種實(shí)施方式,但是這些 實(shí)施方式可以在任意無線通信技術(shù)中被實(shí)施。一些示例類型的無線通信技術(shù)可以包括但不 限于全球微波互聯(lián)接入(WiMAX)、802. xx、全球移動(dòng)通信系統(tǒng)(GSM)、碼分多址(CDMA2000)、 通用移動(dòng)電信系統(tǒng)(UMTS)、長(zhǎng)期演進(jìn)(LTE)或任意未來的技術(shù)。
[0035] 圖1示出了示例認(rèn)證和接入系統(tǒng)100,包括但不限于客戶端/用戶平臺(tái)110、身份 提供方120、隱私鑒證(certification)機(jī)構(gòu)(PCA) 130以及服務(wù)提供方140??蛻舳?用 戶平臺(tái)110、身份提供方120以及服務(wù)提供方140可以通過有線和無線通信系統(tǒng)的任意組合 彼此通信??蛻舳?用戶平臺(tái)110可以與PCA 130通信,PCA 130可以與存儲(chǔ)介質(zhì)160通 信,該存儲(chǔ)介質(zhì)160可以存儲(chǔ)例如證明。
[0036]客戶端/用戶平臺(tái)110可以是WTRU、基站、計(jì)算平臺(tái)或需要認(rèn)證的任意設(shè)備。客戶 端/用戶平臺(tái)110可以包括但不限于可信平臺(tái)模塊(TPM) 115,該TPM 115提供用于客戶端 /用戶平臺(tái)110的數(shù)據(jù)的遠(yuǎn)程證明(attestation)和密封(seal)及綁定的能力。TPM 115 可以是微控制器,其存儲(chǔ)密鑰、密碼、數(shù)字證書并能夠生成加密密鑰。其可以被固定在主板 上,或集成到系統(tǒng)芯片組,其可以用于可能需要這些功能的任意計(jì)算設(shè)備中。TPM 115可以 保護(hù)其信息不受例如外部軟件攻擊、物理損害、竊聽等。如果在啟動(dòng)序列期間針對(duì)組件所獲 得的測(cè)量值沒有達(dá)到期望的參考測(cè)量(該參考測(cè)量使應(yīng)用和能力(例如安全電子郵件、安 全網(wǎng)絡(luò)訪問以及數(shù)據(jù)的本地保護(hù))更安全),則拒絕針對(duì)TPM 115或客戶端/用戶平臺(tái)110 中的數(shù)據(jù)和秘密的訪問。雖然這里論述了可信平臺(tái)模塊,但是,可以使用其它信任中心,例 如移動(dòng)可信模塊。
[0037] TPM 115 可以使用簽注(endorsement)密鑰(EK),例如 2048 位 Rivest-Shamir-Adelman(RSA)公鑰(public key)和私鑰(private key)對(duì),其在制造時(shí)在 芯片上隨機(jī)生成且不可更改。私鑰可以被限制在芯片,而公鑰用于對(duì)發(fā)送到芯片的敏感數(shù) 據(jù)的證明和加密。EK的公共部分一般可以經(jīng)由EK證書為PCA 130所知,以用于證明。當(dāng) TPM 115需要向驗(yàn)證方(例如身份提供方)對(duì)自身進(jìn)行認(rèn)證時(shí),其可以生成第二RSA密鑰 對(duì),稱為證明身份密鑰(AIK),將AIK公鑰發(fā)送到PCA 130,并依據(jù)對(duì)應(yīng)的EK認(rèn)證該公鑰。如 果PCA 130發(fā)現(xiàn)該EK處于其列表中,則PCA 130發(fā)布關(guān)于TPM 115AIK的證書。TPM 115然 后可以將該證書提供給身份提供方120并對(duì)其自身進(jìn)行認(rèn)證。
[0038] AIK(至少嵌入到AIK中的身份)可以表示這里所描述的權(quán)證的至少一部分。權(quán)證 中的AIK的使用可以由TPM 115來限制。間接方式,稱為證實(shí)密鑰操作,可以被使用,其中 標(biāo)記(signing)密鑰由TPM 115生成并通過用AIK來標(biāo)記該密鑰而被證實(shí)(certify)。該 密鑰可以稱為證實(shí)的標(biāo)記密鑰(CSK)。CSK和AIK與證明AIK有效性(validity)的PCA - 起可以構(gòu)建這里所述的權(quán)證的一部分。
[0039] 客戶端/用戶平臺(tái)110可以包括可信權(quán)證服務(wù)器TTS150,其生成用于服務(wù)接入 的憑證或權(quán)證。當(dāng)提到與這里的可信OpenID有關(guān)的權(quán)證服務(wù)器時(shí),該參考可以用于可信 權(quán)證服務(wù)器。TTS150可以認(rèn)證用戶。TTS150可以例如使用平臺(tái)證明的可信計(jì)算方法來 向身份提供方120確認(rèn)客戶端/用戶平臺(tái)110以及自身。由于安全性信息和操作可能集 中在TTS150中,因此其需要是可信的以合適地處理AIK證書和CSK而并不將它們復(fù)制 (proliferate)到其它平臺(tái);保護(hù)權(quán)證和憑證;保護(hù)在經(jīng)用戶授權(quán)的憑證上的安全性操作; 提供整合到公共網(wǎng)絡(luò)瀏覽器并由其訪問的安全選項(xiàng);以及收集、處理并發(fā)送平臺(tái)確認(rèn)數(shù)據(jù)。
[0040] 用戶可能需要選擇PCA 130來證實(shí)在TPM 115中生成的AIK。PCA 130可以保持 與身份相關(guān)的信息,并且需要采取契約性測(cè)量以確保不公開該與身份相關(guān)的信息。當(dāng)在PCA 130處證實(shí)AIK之后,用戶可以選擇身份提供方120來掌管(host)所要求的身份。所要求 的身份可以通過由用戶選擇的統(tǒng)一資源標(biāo)識(shí)符(URI)來表示。為了注冊(cè)這種要求的身份, 可以需要用戶向身份提供方120提供有效的AIK證書。
[0041] 可以給身份提供方120展示最少量的身份相關(guān)信息。用戶可以決定在PCA 130處 掌管的哪些信息可以被展現(xiàn)給身份提供方120??梢孕枰扇∑跫s性測(cè)量來確保雙方之間 的協(xié)調(diào),否貝U,無賴(rogue)PCA能夠證實(shí)屬于不同用戶的憑證。由于PCA 130可能不會(huì)將 用戶的真實(shí)身份展現(xiàn)給身份提供方120,因此身份提供方120可能不能將不同的請(qǐng)求關(guān)聯(lián) 到單個(gè)身份。
[0042] 將所要求的身份解決(resolve)為真實(shí)身份的能力可以被限制在PCA 130。這可 以通過保持將EK證書映射(唯一的)到AIK的安全數(shù)據(jù)庫來實(shí)現(xiàn)。在AIK證實(shí)期間使用 的EK證書允許TPM 115的標(biāo)識(shí),以及進(jìn)而允許客戶端/用戶平臺(tái)110(例如,假定一個(gè)用戶 具有到平臺(tái)110的物理接入,這可以由用戶來確定)。
[0043] 服務(wù)提供方140可以使身份提供方能夠登錄站點(diǎn)。例如,服務(wù)提供方140可以在 扉頁(front page)上具有OpenID登錄標(biāo)識(shí)??梢孕枰捎脩?客戶端使用的身份提供方 120處于服務(wù)提供方140的已知以及可接受的身份提供方的列表中。
[0044] 聯(lián)合身份或單個(gè)簽約(SS0)方案可以提供用戶友好型方法,以使用戶能夠使用單 個(gè)憑證登錄到一些安全站點(diǎn)。雖然實(shí)施聯(lián)合身份方案的一些形式是可行的,但是本文提供 使用OpenID的可信概念的概要作為示例。其它方法,例如使用可信計(jì)算技術(shù)和在用戶、設(shè) 備和網(wǎng)絡(luò)間的綁定認(rèn)證的對(duì)應(yīng)用和基于互聯(lián)網(wǎng)服務(wù)的單個(gè)簽約(SS0)接入可以被應(yīng)用。
[0045] OpenID可以允許使用不同的認(rèn)證碼法來對(duì)用戶進(jìn)行認(rèn)證。為了在OpenID提供方 處要求身份,可以使用若干方法。一種方法可以是使用登錄形式,其中用戶提供密碼。
[0046] 該登錄可以由基于TPM的登錄過程來替代。用戶可以注冊(cè)緊密綁定到他/她的特 定平臺(tái)(例如TPM)的身份。如果用戶決定使用該身份來登錄,則OpenID提供方可以通過質(zhì) 詢來讓他提供正確的憑證。在這種情況中,該憑證可以包括TPM生成的權(quán)證,例如憑證鏈。 這可以允許用戶不需要OpenID提供方處的密碼就能登錄。用戶計(jì)算機(jī)處的本地密碼可以 用于保護(hù)身份不受本地攻擊。
[0047] 登錄可以與特定平臺(tái)的完整性驗(yàn)證相結(jié)合。通過使用對(duì)系統(tǒng)配置值的TPM標(biāo)記 陳述,OpenID提供方可以將被報(bào)告的系統(tǒng)狀態(tài)與之前生成的參考值進(jìn)行比較。該過程可以 允許信賴的客戶端登錄并要求身份。通過將認(rèn)證數(shù)據(jù)綁定到特定平臺(tái)以及預(yù)定義系統(tǒng)狀 態(tài)(可以認(rèn)為是可信賴的),相結(jié)合的認(rèn)證和證明可以允許進(jìn)行精細(xì)(fine grained)的接 入控制。這可以允許實(shí)現(xiàn)可以需要系統(tǒng)的增強(qiáng)的安全性(security)和安全(safety)的 OpenID的新使用情況,且因此不允許導(dǎo)致不信賴系統(tǒng)的修改。雖然這里描述的實(shí)施方式基 于TPM,但是其它可信系統(tǒng)的變形也是可能的,例如移動(dòng)對(duì)移動(dòng)(MTM)或可信環(huán)境。
[0048] 可信Kerberos (TKerberos)概念可以依靠?jī)煞N服務(wù)器,例如認(rèn)證服務(wù)器(AS)和/ 或權(quán)證許可服務(wù)器(TG