看到提示,例如要 求用戶輸入本地AIK密碼的提示,這對(duì)答復(fù)質(zhì)詢是必須的。權(quán)證服務(wù)器不會(huì)存儲(chǔ)該AIK認(rèn) 證秘密。如果在同一個(gè)平臺(tái)的另一個(gè)用戶B想要接入服務(wù),則OpenID提供方可以再次質(zhì)詢 權(quán)證服務(wù)器和/或用戶B必須提供用戶A的本地AIK密碼(這不為用戶B所知)。這可以 需要使用一次性cookie,該cookie不會(huì)被存儲(chǔ)在客戶端平臺(tái)上。
[0088] 發(fā)布的cookie可以被加密,由此目標(biāo)平臺(tái)和/或用戶可以對(duì)其進(jìn)行解密并將其用 作認(rèn)證令牌。OpenID提供方可以使用公共CSK對(duì)cookie進(jìn)行加密和/或?qū)⑵浒l(fā)送到客戶 端側(cè)的權(quán)證服務(wù)器。使用TPM,在需要時(shí)可以對(duì)cookie進(jìn)行解密。該解密可以需要用戶例 如使用(本地)CSK秘密對(duì)CSK的使用進(jìn)行認(rèn)證。權(quán)證服務(wù)器可以確保cookie被加密存 儲(chǔ)并在需要時(shí)被解密。對(duì)加密的cookie的存儲(chǔ)和/或使用的另一種實(shí)施可以是使用命令 TPM-Seal (TPM密封)來(lái)存儲(chǔ)cookie,由此在進(jìn)行密封操作時(shí)將該cookie綁定到平臺(tái)的完 整性。在下一次獲取之前密封的cookie值時(shí),平臺(tái)完整性可以被驗(yàn)證為與其在進(jìn)行密封操 作時(shí)的值相同。在該示例中,當(dāng)平臺(tái)完整性與其之前的值匹配時(shí),可以獲取密封的cookie 值。
[0089] 可信OpenID可以被擴(kuò)展至可信Google API。組合OpenID與OAuth可以依賴 OpenID認(rèn)證過(guò)程,由此除了例如在OpenID提供方處的傳統(tǒng)"登錄"之外,不需要進(jìn)一步的用 戶交互。
[0090] 用戶的TPM可以通過(guò)網(wǎng)絡(luò)應(yīng)用請(qǐng)求來(lái)標(biāo)記由OpenID提供方提供的組合的OpenID/ OAuth質(zhì)詢,而不是由TPM來(lái)標(biāo)記OpenID質(zhì)詢。用戶標(biāo)識(shí)和授權(quán),以及對(duì)數(shù)據(jù)接入的接 受,可以由TPM安全地標(biāo)記。如在可信OpenID環(huán)境中,用戶的安全性可以通過(guò)以下來(lái)改 進(jìn):1)將登錄和授權(quán)綁定到硬件TPM,和/或2)包括OpenID/OAuth提供方進(jìn)行的可選平 臺(tái)完整性驗(yàn)證,以防止在客戶端上運(yùn)行的惡意軟件偷取敏感數(shù)據(jù)。完整性驗(yàn)證可以增加 網(wǎng)絡(luò)應(yīng)用的安全性等級(jí)。對(duì)服務(wù)的接入可以被限制在處于已證明的完整性證實(shí)狀態(tài)中的 客戶端。這可以允許建立用于安全性和隱私應(yīng)用的新網(wǎng)絡(luò)服務(wù)。該過(guò)程可以提供非拋棄 (non-repudiation),例如OAuth接入令牌可以由TPM標(biāo)記,這可以是被唯一標(biāo)識(shí)的。這可 以促進(jìn)由網(wǎng)絡(luò)應(yīng)用的提供方執(zhí)行的收費(fèi)過(guò)程。簽名可以允許網(wǎng)絡(luò)應(yīng)用提供方來(lái)證明用戶請(qǐng) 求并接入了該服務(wù)。
[0091] 基于TPM的用戶認(rèn)證可以允許平臺(tái)身份關(guān)聯(lián)到OpenID身份??梢孕枰狾penID提 供方保存針對(duì)給定平臺(tái)的已注冊(cè)身份的數(shù)據(jù)庫(kù)。OpenID提供方可以通過(guò)給定平臺(tái)憑證從攻 擊者中區(qū)分合法用戶。當(dāng)檢測(cè)到來(lái)自另一個(gè)平臺(tái)的登錄嘗試時(shí),OpenID提供方可以:1)拒 絕認(rèn)證,和/或2)在合法擁有者下一次登錄時(shí)通知其該身份。
[0092] TOpenID與OpenID/GBA認(rèn)證方案的可能整合可以是給NAF/IdP配備TOpenID IdP的能力,以驗(yàn)證平臺(tái)完整性值。來(lái)自NAF/IdP的GBA授權(quán)報(bào)頭可以包括以串行化 (serialize)形式的來(lái)自TOpenID協(xié)議的質(zhì)詢(例如id,req,現(xiàn)時(shí))。一旦進(jìn)行接收,ME/ UE然后可以對(duì)該執(zhí)行進(jìn)行解串行化,并將其復(fù)用到可信權(quán)證服務(wù)器和GBA密鑰導(dǎo)出功能, 該功能可以用于計(jì)算授權(quán)摘要。隨后,兩者的返回值,例如來(lái)自可信權(quán)證服務(wù)器的標(biāo)記的引 用和ML以及來(lái)自GBA過(guò)程的摘要值,可以在HTTP響應(yīng)消息中返回到NAF/IdP。
[0093] 可以對(duì)認(rèn)證和信任評(píng)估進(jìn)行組合。該組合可以將特定UICC(例如GBA客戶端) 的使用綁定到單個(gè)平臺(tái)。如果平臺(tái)處于完整性證明狀態(tài),如果平臺(tái)可以被認(rèn)證(例如通過(guò) AIK),以及如果用戶可以被認(rèn)證(例如通過(guò)擁有UICC/GBA),則NAF可以授權(quán)OpenID標(biāo)識(shí) 符。這樣的協(xié)議可以允許鎖定用戶,使用戶與具有單個(gè)UICC的單個(gè)配置中的單個(gè)平臺(tái)使用 其OpenID標(biāo)識(shí)符。
[0094] 圖5和圖6是用于綁定UICC(例如與用戶相關(guān)聯(lián))和WTRU以供OpenID使用的示 例圖。圖5示出了示例呼叫流圖。圖6示出了組件之間的示例關(guān)系。實(shí)施可以確保與不可 信WTRU元件(例如瀏覽器)的安全通信。參照?qǐng)D5,示例協(xié)議步驟可以包括以下中的一個(gè) 或多個(gè):1)用戶可以建立到RP的連接;2)RP可以發(fā)起與0P/NAF的關(guān)聯(lián);3)RP可以將WTRU 的瀏覽器重定向到0P/NAF ;4)WTRU與0P/NAF之間的通信可以經(jīng)由TTS,該TTS可用于認(rèn) 證(例如,TTS可以一起接收TOpenID質(zhì)詢與GBA質(zhì)詢);5) TTS可以建立到UICC的安全信 道;6) TTS可以將GBA質(zhì)詢轉(zhuǎn)發(fā)到UICC ;7) UICC可以如OpenID/GBA協(xié)議中一樣計(jì)算摘要; 7a)UICC可以將GBA響應(yīng)發(fā)送到TSS (例如具有OpenID/GBA摘要);8) TTS可以獲取用于 TOpenID協(xié)議的平臺(tái)確認(rèn)數(shù)據(jù)/證明數(shù)據(jù),其中平臺(tái)確認(rèn)數(shù)據(jù)/證明數(shù)據(jù)可以包括對(duì)WTRU 的信賴度的測(cè)量(例如用AIK標(biāo)記的SML和PCR引用);9) TTS可以以整理的響應(yīng)對(duì)0P/NAF 做出響應(yīng),該整理的響應(yīng)包括UICC GBA響應(yīng)和平臺(tái)確認(rèn)數(shù)據(jù)/證明數(shù)據(jù);10)0P/NAF可以 驗(yàn)證GBA響應(yīng)并用平臺(tái)確認(rèn)數(shù)據(jù)/證明數(shù)據(jù)驗(yàn)證完整性(例如驗(yàn)證SML PCR引用與由0P/ NAF之前接收的之前生成的參考值相匹配,這可以指示W(wǎng)TRU的當(dāng)前系統(tǒng)狀態(tài)與之前狀態(tài)相 匹配);以及11) 0P/NAF可以經(jīng)由WTRU的瀏覽器將肯定斷定發(fā)送到RP (例如,作為ME瀏覽 器的到RP的重定向操作的一部分)。也就是說(shuō),NAF可以發(fā)送平臺(tái)驗(yàn)證,該平臺(tái)驗(yàn)證指示 NAF已經(jīng)驗(yàn)證了平臺(tái)確認(rèn)數(shù)據(jù)和/或用戶。平臺(tái)驗(yàn)證可以被直接或間接傳送(例如平臺(tái)驗(yàn) 證可以包括WTRU/用戶被授權(quán)接入信賴方(RP))。
[0095] TTS不必必須建立與UICC的安全信道。可以執(zhí)行兩個(gè)獨(dú)立會(huì)話,UICC與0P/NAF 之間的一個(gè)GBA會(huì)話和TTS與0P/NAF之間的證明會(huì)話。如果兩個(gè)協(xié)議都成功,則0P/NAF 可以發(fā)布肯定斷定。在該并行的會(huì)話情形中,0P必須鏈接這兩個(gè)會(huì)話(至少在內(nèi)部),以將 證明結(jié)果綁定到GBA協(xié)議的認(rèn)證結(jié)果。
[0096] 確認(rèn)任務(wù)可能需要執(zhí)行網(wǎng)絡(luò)和設(shè)備上的大量資源。被確認(rèn)的設(shè)備可以針對(duì)后續(xù)的 認(rèn)證過(guò)程或與網(wǎng)絡(luò)組件的交互重復(fù)使用確認(rèn)信息,例如不必經(jīng)歷新的確認(rèn)過(guò)程。例如,從與 網(wǎng)絡(luò)的較早的確認(rèn)會(huì)話中生成的確認(rèn)信息可以被重復(fù)使用。可信權(quán)證服務(wù)器可以如下提供 確認(rèn)權(quán)證(或證書(shū))。在設(shè)備向網(wǎng)絡(luò)成功確認(rèn)之后,MN0網(wǎng)絡(luò)內(nèi)的0P/NAF實(shí)體可以發(fā)布權(quán) 證,其可以被傳送到該設(shè)備,以用于經(jīng)要求重新遞送到其它網(wǎng)絡(luò)實(shí)體,或其可以被參考,從 而網(wǎng)絡(luò)實(shí)體可以從0P/NAF實(shí)體中間接獲得該權(quán)證。0P/NAF實(shí)體可以包括具有權(quán)證的信息, 使得權(quán)證包括權(quán)證/設(shè)備信賴度的指示。例如,0P/NAF實(shí)體可以提供時(shí)間戳、起點(diǎn)時(shí)間戳、 權(quán)證的壽命期限、權(quán)證的結(jié)束日期、使用參數(shù)限制等。時(shí)間信息可以使網(wǎng)絡(luò)組件能夠確定設(shè) 備的信賴狀態(tài)以及何時(shí)執(zhí)行評(píng)估。接收權(quán)證的實(shí)體可以認(rèn)為該信息符合與設(shè)備進(jìn)行安全事 務(wù)(transaction)的要求或可以依據(jù)設(shè)備中特定應(yīng)用的信任要求執(zhí)行重新確認(rèn)。
[0097] 這樣的權(quán)證可以用于平臺(tái)確認(rèn)和管理。可以對(duì)權(quán)證進(jìn)行完整性保護(hù)和/或機(jī)密保 護(hù),使得該權(quán)證被綁定到0P/NAF實(shí)體和設(shè)備,且使得該權(quán)證不可以由數(shù)據(jù)被綁定到的不同 于設(shè)備或0P/NAF的實(shí)體所更改。設(shè)備中的可信環(huán)境(TrE)可以安全存儲(chǔ)權(quán)證并在與網(wǎng)絡(luò) 的后續(xù)交互中使用該權(quán)證,而不需要執(zhí)行重新確認(rèn)。設(shè)備可以分配權(quán)證以向其它網(wǎng)絡(luò)組件 提供確認(rèn)狀態(tài)數(shù)據(jù)。設(shè)備可以傳播權(quán)證的參考,其它網(wǎng)絡(luò)實(shí)體可以從該參考中咨詢0P/NAF 實(shí)體以獲得確認(rèn)彳目息。
[0098] 對(duì)于組合的TOpenID/GBA情況,可信評(píng)估器的位置可以改變,其中該可信評(píng)估器 可以是例如從TTS接收測(cè)量并能夠?qū)⒃摐y(cè)量與參考度量進(jìn)行比較以基于該評(píng)估得出對(duì)平 臺(tái)確認(rèn)或信賴度的陳述的實(shí)體。
[0099] 圖7示出了在TOpenID/GBA情況中作為信任評(píng)估器的平臺(tái)確認(rèn)實(shí)體(PVE)的示 例。圖7包括平臺(tái)確認(rèn)實(shí)體(PVE 705)、BSF 710、UE 720、0P/NAF 730以及RP 740。有可 能重新使用已經(jīng)擁有信任評(píng)估的參考完整性度量的已有的網(wǎng)絡(luò)實(shí)體,而不是在MN0網(wǎng)絡(luò)內(nèi) 的0P/NAF實(shí)體中整合信任確認(rèn)過(guò)程。這種示例可以稱為平臺(tái)確認(rèn)實(shí)體,例如PVE 705。PVE 705可以被裝配有參考度量且能夠?qū)⒔邮盏降拇_認(rèn)數(shù)據(jù)與參考度量進(jìn)行比較并發(fā)布關(guān)于設(shè) 備信賴度的陳述。在該情形中,0P/NAF 730可以將內(nèi)部網(wǎng)絡(luò)中的確認(rèn)數(shù)據(jù)轉(zhuǎn)發(fā)到PVE 705, 而該P(yáng)VE 705可以執(zhí)行信任確認(rèn)。
[0100] 可以通過(guò)可信第三方(TTP)來(lái)執(zhí)行信任評(píng)估。如果MN0內(nèi)部實(shí)體不可用于執(zhí)行對(duì) 接收到的確認(rèn)數(shù)據(jù)的確認(rèn),則0P/NAF可以將該確認(rèn)數(shù)據(jù)通過(guò)安全信道轉(zhuǎn)發(fā)到外部可信第 三方。TTP然后可以執(zhí)行驗(yàn)證和確認(rèn)并將關(guān)于平臺(tái)信賴度的陳述發(fā)回0P/NAF。
[0101] 在用戶平臺(tái)的成功認(rèn)證和驗(yàn)證后,服務(wù)提供方(SP)可以發(fā)送標(biāo)記的java applet 到WTRU,其可以在WTRU的可信環(huán)境(TrE)中被安裝。TrE可以,在在可信環(huán)境中安裝java applet并答復(fù)針對(duì)安全UI的SP質(zhì)詢之前,例如經(jīng)由來(lái)自SP的簽名和/或證書(shū)或由IdP 或可信第三方(TTP)提供的R頂證書(shū)來(lái)驗(yàn)證applet完整性。TrE可以使用安全UI來(lái)載入 applet,向用戶指示當(dāng)前應(yīng)用可以在安全環(huán)境中運(yùn)行。該方案可以被保護(hù)不受假SP的侵 害,例如SP可以被要求認(rèn)證并向IdP證明完整性。該方案也可以被保護(hù)不受假TrE的侵害, 例如通過(guò)IdP驗(yàn)證TrE完整性和功能并且如果檢查成功則發(fā)布權(quán)證。
[0102] 可以實(shí)施經(jīng)過(guò)隔離/沙箱(sandbox)處理的網(wǎng)絡(luò)瀏覽器。與典型的瀏覽器解決方 案相比,該方案旨在網(wǎng)絡(luò)應(yīng)用(例如在線銀行、網(wǎng)絡(luò)郵件、視頻流等)的發(fā)行方,并為他們的 網(wǎng)絡(luò)應(yīng)用定義特定清單(manifest)。該數(shù)字標(biāo)記的清單可以包括允許網(wǎng)絡(luò)應(yīng)用連接到的 網(wǎng)站的列表以及應(yīng)該運(yùn)行網(wǎng)絡(luò)應(yīng)用的瀏覽器。該瀏覽器的可視化實(shí)體(例如到vm圖像的 URL)可以被定義在該清單中,且可以被實(shí)施為將網(wǎng)絡(luò)應(yīng)用與其它網(wǎng)絡(luò)應(yīng)用和/或主操作系 統(tǒng)(0S)隔離??梢酝ㄟ^(guò)使用圖形邊界顯示例如信任狀態(tài)來(lái)表現(xiàn)(render)每個(gè)經(jīng)過(guò)沙箱處 理的網(wǎng)絡(luò)應(yīng)用。該概念可以使用XEN可視化來(lái)實(shí)現(xiàn)。WTRU可以使用TTS來(lái)執(zhí)行平臺(tái)證明, 然后使用設(shè)備上的TrE(運(yùn)行小的可信經(jīng)過(guò)沙箱處理的Java applet的環(huán)境)來(lái)執(zhí)行應(yīng)用 證明。注意TTS和TrE可以被建立于WTRU設(shè)備中的一些公共可信硬件組件之上,并使用這 些公共可信硬件組件的功能。
[0103] 安全用戶界面(安全UI)可以需要TOpenID和OpenID以增加安全性。基礎(chǔ)TOpenID 協(xié)議可以從可信權(quán)證服務(wù)器中得到該協(xié)議的增加的安全性,該可信權(quán)證服務(wù)器可以收集設(shè) 備完整性信息。OpenID IdP可以評(píng)估該設(shè)備完整性信息。如果在設(shè)備上運(yùn)行的軟件處于公 知和可信狀態(tài),則認(rèn)證可以成功。該認(rèn)證可以綁定到由TPM存儲(chǔ)并由PCA證實(shí)的AIK。AIK 可以用于標(biāo)記用于證明的PCR引用。認(rèn)證可以被限制為在給定狀態(tài)中使用給定平臺(tái)(例如 具有TPM的設(shè)備)的實(shí)施。
[0104] 證明和完整性檢查可以被限制在某些組件,例如TOpenID的安全操作所需的組 件。在該方法中,設(shè)備可以被分成可信/安全部分和不可信部分??尚艡?quán)證服務(wù)器可以運(yùn) 行為可信世界內(nèi)的可信的且經(jīng)過(guò)完整性檢查的應(yīng)用。對(duì)硬件(包括驅(qū)動(dòng)器)的接入可以通 過(guò)可信世界中的服務(wù)實(shí)例來(lái)保護(hù)。對(duì)設(shè)備能力的接入可以通過(guò)可以向不可信世界提供必要 的API的這種服務(wù)實(shí)例來(lái)限制。這些API可以提供對(duì)設(shè)備能力的接入,并可以被配備有可 以允許執(zhí)行接入限制的安全性策略框架。
[0105] 如果IdP進(jìn)行的完整性檢查和驗(yàn)證被限制在設(shè)備的某些部分,則用戶可能需要與 可信權(quán)證服務(wù)器確認(rèn)OpenIDID的使用,以及確認(rèn)該輸入不可以由中間人或設(shè)備中的人/ 瀏覽器攻擊中的人截取或重放??尚挪糠挚梢蕴峁┛尚庞脩艚缑妫║I),該UI可以保護(hù)輸入 并向用戶指示他可以在安全模式中使用設(shè)備。示例的指示器可以是發(fā)光二極管(LED),其可 以在設(shè)備(處理器)在可信模式中運(yùn)行時(shí)被點(diǎn)亮。LED可以由可信或安全元件來(lái)控制。當(dāng) 用戶將要輸入用于OpenID權(quán)證的使用的憑證時(shí),安全UI可以指示設(shè)備在安全模式中操作。 設(shè)備(例如LED)可以處于連接到外部處理器接口的可映射地址空間,其可經(jīng)由安全硬件接 口被保護(hù),其中接入可以被限制在安全和可信環(huán)境。
[0106] 圖形設(shè)備的受保護(hù)幀緩沖器的某些部分可以被使用。其它驅(qū)動(dòng)器可以不被允許從 設(shè)備存儲(chǔ)器的該部分中寫(xiě)或讀。安全/可信驅(qū)動(dòng)器然后可以通過(guò)直接寫(xiě)入到顯示幀緩沖 器的方式來(lái)使用該幀緩沖存儲(chǔ)器通過(guò)在設(shè)備的顯示器上顯示圖形信息來(lái)指示安全UI的使 用,從而阻止惡意軟件顯示"安全圖標(biāo)"。
[0107] 可以用作用于OpenID認(rèn)