證的UI的瀏覽器可以被檢查完整性并被整合到可信世界 中。如果瀏覽器沒有被包含在可信部分中,則每次使用用戶OpenID登錄就需要用戶通過安 全UI提供同意。如果用戶想要使用OpenID標(biāo)識(shí)符登錄站點(diǎn),則瀏覽器可以將質(zhì)詢轉(zhuǎn)發(fā)到 可信權(quán)證服務(wù)器??尚艡?quán)證服務(wù)器可以將UI轉(zhuǎn)換到安全UI并向用戶顯示同意界面,該同 意界面可以要求用戶與安全UI交互以完成認(rèn)證??尚艡?quán)證服務(wù)器可以生成響應(yīng)并將其轉(zhuǎn) 發(fā)到OpenIDIdP,繞過可能被攻擊的瀏覽器。在可信OpenID過程中,可以保證WTRU的瀏覽 器和用戶界面的安全。
[0108] 可信可視令牌(TVT)可以被使用。可信可視令牌可以包括以下技術(shù)特征的一個(gè)或 多個(gè)的組合。
[0109] 可視證明可以包括向用戶顯示一些可視信息,這些可視信息證明用戶平臺(tái)(用戶 交互的設(shè)備)處于可信賴狀態(tài)。該可視信息可以包括秘密圖像(例如為用戶所知但不為其 他人所知),其以加密形式存在于平臺(tái)上,其中如果平臺(tái)處于預(yù)定義狀態(tài),則允許解密。這可 以稱為密封。
[0110] 可視證明可以通過額外的可視化方法而被擴(kuò)大。例如,關(guān)于發(fā)生特定事務(wù)的數(shù)據(jù) (例如用戶認(rèn)證、支付數(shù)據(jù)等)可以被包含在該可視化中。這可以使獲取和重放攻擊變得更 困難。
[0111] 特許指示器(PI)可以是用于平臺(tái)的安全輸入路徑(例如,密鑰),其中平臺(tái)內(nèi)的端 點(diǎn)是可信環(huán)境或安全元件,例如一些執(zhí)行空間,其用于期望的事務(wù)時(shí)是可信賴的。
[0112] 用戶可以在其權(quán)限下通過質(zhì)詢-響應(yīng)機(jī)制來控制平臺(tái)的可視證明。用戶可以在事 務(wù)(例如認(rèn)證、在線支付等)過程期間的某個(gè)點(diǎn)向其平臺(tái)提出質(zhì)詢,平臺(tái)可以使用可視證明 對(duì)該執(zhí)行做出響應(yīng)。這可以使用特許指示器來實(shí)現(xiàn)。
[0113] 特許指示器質(zhì)詢可以在事務(wù)期間被程序性使用,并可以與該事務(wù)相結(jié)合,由此不 能回避該質(zhì)詢。
[0114] 上述特征可以在平臺(tái)中被結(jié)合以在在線事務(wù)中用作可信可視令牌(TVT)。TVT可 以是例如可在軟件可信環(huán)境中實(shí)現(xiàn)的或在硬件安全執(zhí)行環(huán)境(例如智能卡)中實(shí)現(xiàn)的用戶 平臺(tái)上的可信賴實(shí)體,其以預(yù)定義方式使用可視證明對(duì)經(jīng)由PI提出的用戶質(zhì)詢做出響應(yīng)。 TVT可以具有一個(gè)或多個(gè)以下特征。
[0115] 向用戶證明TVT可信賴狀態(tài)的TVT可視證明可以在平臺(tái)的主顯示器上或另一個(gè)專 用顯示器上被顯示給用戶。
[0116] TVT可以為可視證明使用硬件保護(hù)(例如智能卡、TPM密封)的秘密。
[0117]TVT可以具有用于認(rèn)證用戶的接入方法,例如生物測定輸入。
[0118] 遠(yuǎn)程方可以確認(rèn)TVT的可信賴狀態(tài),例如通過使用遠(yuǎn)程證明。
[0119]TVT可以確認(rèn)平臺(tái)的其它組件,例如瀏覽器或在線銀行應(yīng)用,并在可視證明中整合 關(guān)于這些組件的信賴度的信息。
[0120] TVT可以訪問專用于特定事務(wù)的數(shù)據(jù),并能夠以有意義且唯一的方式將這些數(shù)據(jù) 加入到可視證明中。
[0121] 由TVT在可視證明中顯示的事物的基本形態(tài)可以包括以下中一個(gè)或多個(gè),其在特 定用途情況中根據(jù)需要可以被組合。
[0122] TVT可以顯示與用戶相關(guān)聯(lián)的信息,例如用戶登記的秘密、個(gè)人信息等。TVT可以 顯示TVT特定秘密,其可以是時(shí)間相關(guān)的。TVT可以顯示事務(wù)特定數(shù)據(jù),例如事務(wù)編號(hào)、事務(wù) 數(shù)量、當(dāng)前類型等。TVT可以顯示用戶通知,可以提示用戶例如以保持特許指示器被按壓的 方式使用指紋讀取器來授權(quán)事務(wù)。
[0123] 事務(wù)中的TVT的基本用途可以是本地或到遠(yuǎn)程方的用戶認(rèn)證。該過程可以被稱為 "登錄",可以包括以下特征的一個(gè)或多個(gè)。
[0124] 當(dāng)用戶希望登錄到平臺(tái)或遠(yuǎn)程服務(wù)時(shí),用戶可以打開登錄應(yīng)用或?yàn)g覽到網(wǎng)絡(luò)上的 服務(wù)的登錄頁。用戶可以按下PI并獲得關(guān)于登錄的可視證明。圖8提供一種示例。
[0125] 可視化的這種形式可以通過包括證明TVT狀態(tài)的秘密圖像而被加強(qiáng)。圖9提供一 種示例。
[0126] TVT可視證明的進(jìn)一步安全性增強(qiáng)可以通過包括附加信息(例如隨機(jī)出現(xiàn)的、難 以刪除的、新的、機(jī)器相關(guān)的、人可讀的信息)來實(shí)現(xiàn)。圖10提供一種示例。
[0127] 用于用戶登錄的TVT的活動(dòng)可以由遠(yuǎn)程方來觸發(fā),例如請(qǐng)求用戶認(rèn)證的網(wǎng)絡(luò)服 務(wù)。遠(yuǎn)程服務(wù)可以用信號(hào)向平臺(tái)上的TVT通知其需要用戶認(rèn)證(例如經(jīng)由相互認(rèn)證的信 道),在認(rèn)證后TVT顯示一般性登錄通知。例如,用戶可以按下PI,TVT執(zhí)行其可視證明。用 戶可以例如使用生物測定輸入(如在這里所述的直接登錄變量中)進(jìn)行本地認(rèn)證。圖11 提供示例的可視指示。
[0128] 圖12以及下面的描述提供基于可信計(jì)算概念的平臺(tái)上的TVT示例實(shí)施。以下可 以包括作為示例的微軟視窗(MicrosoftWindows)網(wǎng)絡(luò)域,但不限于這些實(shí)施。
[0129] 以下的首字母縮寫可以用于圖12中以及以下描述。
[0130] TCB:可信計(jì)算基礎(chǔ)
[0131] BI0:生物測定認(rèn)證功能
[0132] RoT:信任根
[0133] MODLSASS:修改的本地安全性權(quán)限子系統(tǒng)-用于本地和網(wǎng)絡(luò)用戶登錄的 MicrosoftWindows組件
[0134] REQ: '請(qǐng)求'
[0135] DEC:用于ENC的解密密鑰
[0136] ENC:用于對(duì)TVT秘密數(shù)據(jù)進(jìn)行加密的密鑰
[0137] 在系統(tǒng)啟動(dòng)時(shí)的安全或認(rèn)證的起動(dòng)進(jìn)程中,平臺(tái)的RoT可以測量和/或存儲(chǔ)TVT 應(yīng)用的狀態(tài)(la),例如在平臺(tái)的PCR(平臺(tái)配置注冊(cè))中(lb)。TVT應(yīng)用可以被包含在包括 在運(yùn)行時(shí)刻對(duì)TVT進(jìn)行保護(hù)的可信環(huán)境中。測量工具以及RoT被包含在平臺(tái)的TCB中(例 如在被認(rèn)為在系統(tǒng)操作期間是無條件安全的組件的集合中)。
[0138] 當(dāng)用戶想要登錄到使用該平臺(tái)的網(wǎng)絡(luò)域時(shí),則域控制器可以從平臺(tái)請(qǐng)求用戶憑證 (2)。TVT激活可以如這里所述在該時(shí)刻發(fā)生并且可以發(fā)起遠(yuǎn)程請(qǐng)求的TVT用戶登錄。用戶 可以被通知使用PI,例如在(3)處了解使用(seeuse)。PI信號(hào)可以被傳輸?shù)桨赥CB 中的某些PI功能。
[0139] PI功能可以解封TVT主解密密鑰Dec(4)并發(fā)送Dec的解封請(qǐng)求到平臺(tái)RoT,其 引述TVT的狀態(tài)。RoT可以檢查該狀態(tài),并對(duì)Dec進(jìn)行解密(5)(例如如果該狀態(tài)是正確的 (解封))。
[0140] Dec密鑰可以是指被限制為在TCB內(nèi)部使用的密鑰層次(hierarchy)的部分的密 鑰,例如TPM密鑰層次的密鑰。Dec可被用于對(duì)使用對(duì)應(yīng)加密密鑰Enc進(jìn)行加密的TVT可視 證明種子(seed)進(jìn)行解密。
[0141] PI功能可以命令TVT應(yīng)用向用戶進(jìn)行可視證明(6)。TVT應(yīng)用可以請(qǐng)求對(duì)TVT種 子進(jìn)行解密(7),這可以使用Dec來執(zhí)行(8),且TVT種子可以被提供給TVT應(yīng)用(9)。使用 這些種子,TVT應(yīng)用可以執(zhí)行可視證明(例如使用生物測定輸入BI0) (10),包括用于本地用 戶認(rèn)證的請(qǐng)求。
[0142] 用戶可以認(rèn)證BI0(11),且BI0工具可以向TVT通知認(rèn)證成功(12)。
[0143] TVT可以從其用戶賬戶數(shù)據(jù)存儲(chǔ)裝置中請(qǐng)求用戶憑證,例如用于網(wǎng)絡(luò)登錄的用戶 名和密碼(13)。該數(shù)據(jù)可以被解密并被發(fā)送到TVT,而TVT可以將該數(shù)據(jù)提供給登錄應(yīng)用 LSASS(14),而LSASS可以將數(shù)據(jù)轉(zhuǎn)發(fā)到網(wǎng)絡(luò)域控制器。
[0144] TVT使用的秘密可以包括兩種類別。
[0145] TVT種子可以包括秘密,TVT使用該秘密來向用戶進(jìn)行可視化并與遠(yuǎn)程方進(jìn)行安 全通信,該秘密可以包括以下中的一個(gè)或多個(gè):用于可視化的種子;TVT個(gè)人秘密(例如專 用于平臺(tái));用于與其它實(shí)體進(jìn)行安全通信的TVT憑證;用戶定義的參數(shù);每個(gè)應(yīng)用的秘 密;用戶登記的秘密等。
[0146] 用戶賬戶數(shù)據(jù)可以表示與密碼保險(xiǎn)庫類似的TVT功能。其包括但不限于以下中的 一個(gè)或多個(gè):生物測定用戶參考數(shù)據(jù);域遠(yuǎn)程服務(wù)和用戶名列表以及關(guān)聯(lián)性;用戶憑證,例 如密碼或密碼的散列值;用于對(duì)遠(yuǎn)程服務(wù)或域控制器進(jìn)行認(rèn)證的憑證等。
[0147] 可以在RP和TTS之間進(jìn)行相互認(rèn)證。OpenID協(xié)議可以被定義為包括如何保證 RP-用戶界面的安全以及如何保護(hù)用戶不受惡意RP的損害。當(dāng)用戶在RP將其身份(例如 OpenID標(biāo)識(shí)符)輸入到登錄區(qū)域時(shí),惡意RP可以對(duì)OpenID協(xié)議施加威脅。雖然用戶可以 不知道正進(jìn)行什么下層進(jìn)程,但是用戶可以被重定向到IdP頁,其中用戶的身份可以針對(duì) 他使用OpenID訪問的站點(diǎn)而被管理。在IdP,用戶可以輸入其憑證(例如密碼)并可以被 重定向。但是,當(dāng)用戶訪問同樣啟用OpenID的另一頁時(shí),IdP可以不再次要求密碼而是可 以使用存儲(chǔ)的cookie。惡意站點(diǎn)RP能夠?qū)⒂脩糁囟ㄏ虻酵獗砹钊诵欧腎dP,其可以是 假的站點(diǎn),目的是偷竊用戶憑證(密碼)。假IdP然后可以使用真實(shí)的IdP將用戶登錄到 OpenID,用戶不會(huì)感受到異常。攻擊影響可以通過以下事實(shí)而被增強(qiáng):IdP可以用作用戶使 用OpenID登錄的站點(diǎn)的SS0點(diǎn),因此攻擊方可以從用戶偷竊許多賬戶。單個(gè)惡意RP網(wǎng)站 可以用于欺騙用戶訪問密碼收集的假IdP頁。
[0148] 可以使用TTS進(jìn)行RP認(rèn)證。通過使用以下中的一個(gè)或多個(gè)可以減輕密碼釣魚攻 擊。
[0149] Microsoft信息卡可以用作憑證,例如,因此用戶可以不需要輸入可能被偷的密 碼。信息卡是Microsoft技術(shù),其可以在屏幕上向用戶顯示可從中進(jìn)行選擇的一些'卡'。 用戶可以選擇卡來向服務(wù)進(jìn)行認(rèn)證。信息卡可以使用密碼證據(jù)來提供擁有身份的證明。 這些證據(jù)不可以重復(fù)使用,且不能夠被重放,因此密碼獵取站點(diǎn)進(jìn)行的獲取不可以產(chǎn)生對(duì) OpenID身份的接入。
[0150] 每個(gè)RP可以在用戶側(cè)被認(rèn)證。該認(rèn)證可以以安全方式被執(zhí)行,該安全方式不會(huì)干 擾用戶從OpenID中期望的SS0體驗(yàn)。在TOpenID中,TTS可以是用于驗(yàn)證來自RP的給定 憑證的實(shí)體。當(dāng)使用到RP的HTTPS連接時(shí),TTS可以用作瀏覽器代理且可以截取從瀏覽器 到啟用OpenID的站點(diǎn)的呼叫。該截取機(jī)制可以識(shí)別在HTTP獲取請(qǐng)求之后從RP發(fā)送到瀏 覽器的頁面中的登錄形式。TTS然后可以請(qǐng)求域證書并檢查其有效性。如果證書有效,則用 戶至少可以確保其訪問的站點(diǎn)使用加密連接。安全插入層(SSL)證書的另外的特征(例如 斷定的身份)可以由TTS建立并檢查。斷定的身份可以是TTP保存公知頁面的數(shù)據(jù)庫或已 知釣魚、壞件等站點(diǎn)的黑名單,并給TTS提供這些站點(diǎn)使用的已知的所有證書的撤銷清單。
[0151] TTS可以具有在模塊化方式中被擴(kuò)展的能力。例如,可以存在評(píng)估Google網(wǎng)頁排 名、信任網(wǎng)絡(luò)分?jǐn)?shù)的模塊,還可以存在考慮了信譽(yù)系統(tǒng)的另一種模塊等。這些模塊可以給 TTS提供分?jǐn)?shù),而TTS能夠例如通過使用用戶定義的權(quán)重策略來計(jì)算模塊輸入的匯總分?jǐn)?shù), 并向用戶展示對(duì)站點(diǎn)的評(píng)估。該特征可以避免現(xiàn)有的問題,例如在Firefox或Internet Explorer瀏覽器中要求用戶檢查證書以防誤匹配或遺漏發(fā)布CA的信任關(guān)系。這些模塊還 可以用于到RP的非HTTPS連接,其中SSL證書是不可用的??偟膩碚f模塊可以在安全環(huán)境 中運(yùn)行,例如與TTS使用的環(huán)境相同的安全環(huán)境,且它們能夠與TTS進(jìn)行安全通信。
[0152] 維持已有頁面的散列值的小型參考數(shù)據(jù)庫是可能的。必須為新的頁面定義登記過 程,但是假定針對(duì)網(wǎng)頁/服務(wù)器已經(jīng)存在一組參考度量,TTS可以利用這些度量來驗(yàn)證被訪 問的RP的完整性和真實(shí)性。在遠(yuǎn)程證明協(xié)議之后,與TTS和OpenIDIdP協(xié)議類似,RP可 以向TTS證明其完整性,TTS然后在成功證明的情況下可以允許進(jìn)一步行動(dòng)。
[0153] TTS與RP之間的示例相互認(rèn)證可以包括以下中的一個(gè)或多個(gè)。相互認(rèn)證不僅限于 對(duì)RP網(wǎng)站和服務(wù)器的身份和信賴度進(jìn)行檢查。該過程可以包括由RP來進(jìn)行在設(shè)備上運(yùn)行 的TTS的完整性和真實(shí)性檢查。這對(duì)于TOpenID的團(tuán)體(corporate)或政府(government) 登記是很有用的,其中可以向RP確保用戶確實(shí)使用TOpenID作為認(rèn)證機(jī)制。RP可能會(huì)希望 被保證在IdP與用戶TTS之間使用了特定類型的認(rèn)證機(jī)制(例如TOpenID)。但是,RP可以 仍然需要信任IdP實(shí)際上使用TTS。否則,用戶在其使用另一種機(jī)制向其OpenIDIdP進(jìn)行 認(rèn)證時(shí)可以要求使用TOpenID。
[0154] 該認(rèn)證可以包括對(duì)協(xié)議的一些修改。RP可以(例如在驗(yàn)證用戶設(shè)備上的TTS的 真實(shí)性以及可能的完整性之后)向TTS發(fā)送一種現(xiàn)時(shí)。該現(xiàn)時(shí)可以是唯一的,并用作來自 該特定客戶端TTS的該請(qǐng)求的標(biāo)識(shí)符。TTS可以將該現(xiàn)時(shí)安全地存儲(chǔ)到受保護(hù)的存儲(chǔ)裝置 中,其與登錄請(qǐng)求相關(guān)聯(lián)。在RP將用戶重定向到IdP后,IdP可以如在TOpenID中一樣執(zhí) 行認(rèn)證協(xié)議。TTS可以將該現(xiàn)時(shí)釋放(例如,該釋放可以被限制為在TOpenID協(xié)議中使用) 到之前認(rèn)證的0P。從IdP到RP的斷定可以需要包括該現(xiàn)時(shí)