用于基于可信平台认证开放式标识的方法、装置和系统的制作方法

用于基于可信平台认证开放式标识的方法、装置和系统的制作方法
【专利摘要】本发明涉及开放式标识认证技术，更具体地，涉及基于可信平台来认证开放式标识以防止因每次开放式标识认证时所重复的数据传送而可能出现的网络超载的方法、装置和系统。提供了一种开放式标识认证系统，包括：提供特定网络服务的网络服务提供装置；和用户装置，被构造为：具有分离的环境，该分离的环境由基于开放式操作系统操作的非安全区和基于安全操作系统操作的安全区形成，通过在非安全区中运行的网络浏览器，接入网络服务，向网络服务提供装置发送开放式标识，当从网络服务提供装置接收到重定向消息时，基于在安全区存储的与开放式标识相对应的密码来执行用户认证，以及通过网络浏览器向网络服务提供装置发送用户认证成功消息，以进行登录。
【专利说明】用于基于可信平台认证开放式标识的方法、装置和系统
【技术领域】
[0001]本发明总体上涉及开放式标识(ID)认证技术，更具体地，涉及用于基于可信平台来认证开放式ID的方法、装置和系统，以防止因每次开放式ID认证时所重复的数据传送而可能出现的网络超载。
【背景技术】
[0002]正常情况下，希望使用特定网络服务的用户必须进行连接以成为提供该特定网络服务的网络服务提供商的成员的处理。在这个处理中，用户登记他的或她的个人信息，并且被发放标识(ID)。
[0003]随着多种多样的网络服务爆炸性地普及化，用户应当管理的ID和密码的数量也在增加。因此，用户不仅在管理众多ID和密码方面具有困难，而且感到因黑客进入网络服务提供商而造成的有关个人信息泄露或滥用的增长的疑虑。
[0004]近来，已经提出了一种开放式ID技术。开放式ID服务允许用户仅将他的或她的信息登记在特定站点，并且利用开放式ID接入支持基于开放式ID服务过程的登录的任何网站。
[0005]该开放式ID服务具有允许通过单一 ID和密码接入任何网站而不需要单独地连接以成为成员的优点，和预先防止泄露个人信息的优点。
[0006]另外，网站可以消除单独地进行复杂的用户管理处理的需要。
[0007]然而，开放式ID服务具有因用户装置、用于提供网络服务的网络服务提供装置和用于支持开放式ID服务的开放式ID管理装置之间的重复数据传送而造成网络超载的缺点。
[0008]而且，这种重复数据传送可以导致在使用有限的无线资源的无线通信环境中的无线资源的浪费。

【发明内容】

[0009]技术问题
[0010]因此，本发明的一个方面是，提供一种用于基于可信平台来认证开放式ID的方法、装置和系统，以预先防止因开放式ID认证时的重复数据传送而造成的网络超载。
[0011]本发明的另一方面是，通过采用具有分离的环境的用户装置(该分离的环境由基于开放式操作系统的非安全区和基于安全操作系统的安全区形成)，并且还允许经开放式ID管理装置授权的该用户装置的安全区执行针对开放式ID的认证，来提供一种基于可信平台的开放式ID认证方法、装置和系统。
[0012]技术方案
[0013]本发明的一个方面提供了一种开放式标识(ID)认证系统，该开放式ID认证系统包括:网络服务提供装置，该网络服务提供装置被构造为，提供特定网络服务，并且根据与开放式标识管理装置的相互布置，支持在开放式标识服务过程中用户装置的登录；和所述用户装置，所述用户装置被构造为:具有分离的环境，该分离的环境由基于开放式操作系统操作的非安全区和基于安全操作系统操作的安全区形成，通过在所述非安全区中运行的网络浏览器，接入由所述网络服务提供装置所提供的所述网络服务，向所述网络服务提供装置发送通过所述网络浏览器输入的开放式标识，当从所述网络服务提供装置接收到重定向消息时，基于在所述安全区存储的与所述开放式标识相对应的密码来执行用户认证，以及通过所述网络浏览器向所述网络服务提供装置发送用户认证成功消息，以进行登录。
[0014]本发明的另一方面提供了用户装置，该用户装置包括:通信单元，该通信单元被构造为通过通信网络发送或接收信息；和控制单元，该控制单元被构造为:具有分离的环境，该分离的环境由基于开放式操作系统操作的非安全区和基于安全操作系统操作的安全区形成，通过在所述非安全区中运行的网络浏览器，接入由网络服务提供装置所提供的网络服务，向所述网络服务提供装置发送通过所述网络浏览器输入的开放式标识，当从所述网络服务提供装置接收到重定向消息时，基于在所述安全区存储的与所述开放式标识相对应的密码来执行用户认证，以及通过所述网络浏览器向所述网络服务提供装置发送用户认证成功消息，以进行登录。
[0015]在所述用户装置中，所述控制单元可以被进一步构造为，在发送所述开放式标识时，向所述网络服务提供装置发送所述用户装置的用户标识号。
[0016]在所述用户装置中，所述重定向消息可以包含认证信息和开放式标识管理装置的地址，该认证信息包括开放式标识认证信息和用户认证授权信息中的至少一个信息，所述开放式标识认证信息指示所述开放式标识是否由所述开放式标识管理装置发放，所述用户认证授权信息指示用户认证被所述开放式标识管理装置授权。
[0017]在所述用户装置中，所述控制单元可以被进一步构造为，如果所述安全区具有与所述开放式标识相对应的存储的密码，则通过利用所述用户标识号解密所述密码，以执行所述用户认证。
[0018]在所述用户装置中，所述控制单元可以被进一步构造为，如果所述安全区没有与所述开放式标识相对应的存储的密码，则向所述开放式标识管理装置发送针对用户认证的请求，向所述开放式标识管理装置发送、用户按所述开放式标识管理装置的请求输入的密码，并且如果从所述开放式标识管理装置接收到用户认证成功消息，则通过利用所述用户标识号在所述安全区加密并存储所述密码。
[0019]本发明的又一方面提供了网络服务提供装置，该网络服务提供装置包括:服务通信单元，该服务通信单元被构造为与开放式标识管理装置和至少一个用户装置通信，所述开放式标识管理装置支持开放式标识服务，并且所述用户装置具有分离的环境，该分离的环境由基于开放式操作系统操作的非安全区和基于安全操作系统操作的安全区形成；和服务控制单元，该服务控制单元被构造为:当从所述用户装置的所述非安全区接收到开放式标识时，基于所述开放式标识而识别所述开放式标识管理装置的地址，向所述开放式标识管理装置询问有关针对所述开放式标识的认证，当作为来自所述开放式标识管理装置的所述认证的结果而接收到认证信息时，向所述用户装置的所述非安全区发送重定向消息，该重定向消息包含所述认证信息和所述开放式标识管理装置的所述地址，以及在从所述用户装置的所述非安全区接收到用户认证成功消息时，准许所述用户装置的登录。
[0020]本发明的又一方面提供了一种基于可信平台的开放式标识(ID)认证方法。所述方法包括以下步骤:在用户装置处，在通过在非安全区中运行的网络浏览器接入由网络服务提供装置所提供的网络服务之后，向所述网络服务提供装置发送通过所述网络浏览器输入的开放式标识；在所述用户装置处，从所述网络服务提供装置接收重定向消息，所述重定向消息包含认证信息和开放式标识管理装置的地址，该认证信息包括开放式标识认证信息和用户认证授权信息中的至少一个信息；在所述用户装置处，基于在安全区存储的与所述开放式标识相对应的密码来执行用户认证；以及响应于所述用户认证的成功，在所述用户装置处，通过所述网络浏览器向所述网络服务提供装置发送用户认证成功消息，以进行登录。
[0021]在该方法中，发送所述开放式标识的所述步骤可以包括:向所述网络服务提供装置发送所述用户装置的用户标识号。
[0022]在该方法中，接收所述重定向消息的所述步骤可以包括:当所述重定向消息中不包含所述用户认证授权信息时，向所述开放式标识管理装置发送针对用户认证的请求。
[0023]在该方法中，执行所述用户认证的所述步骤可以包括以下步骤:确定所述安全区是否具有与所述开放式标识相对应的密码；以及，如果所述安全区具有与所述开放式标识相对应的所述密码，则通过利用用户标识号解密所述密码，以执行所述用户认证。
[0024]在该方法中，执行所述用户认证的所述步骤可以包括以下步骤:确定所述安全区是否具有与所述开放式标识相对应的密码；如果所述安全区没有与所述开放式标识相对应的密码，则向所述开放式标识管理装置发送针对用户认证的请求；向所述开放式标识管理装置发送、用户按所述开放式标识管理装置的请求输入的密码；以及，如果从所述开放式标识管理装置接收到用户认证成功消息，则通过利用用户标识号在所述安全区加密并存储所述密码。
[0025]本发明的又一方面提供了一种基于可信平台的开放式标识(ID)认证方法。所述方法包括以下步骤:在网络服务提供装置处，基于从用户装置接收到的开放式标识，识别开放式标识管理装置的地址；在所述网络服务提供装置处，向所述开放式标识管理装置询问有关针对所述开放式标识的认证；在所述网络服务提供装置处，从所述开放式标识管理装置接收认证信息，该认证信息包括开放式标识认证信息和用户认证授权信息中的至少一个信息，该用户认证授权信息指示用户认证被所述开放式标识管理装置授权；以及，接收去往所述用户装置的、包含所述认证信息和所述开放式标识管理装置的所述地址的重定向消息。
[0026]本发明的又一方面提供了一种其上具有程序的计算机可读介质，该程序执行以下步骤:在通过在用户装置的非安全区中运行的网络浏览器接入由网络服务提供装置所提供的网络服务之后，向所述网络服务提供装置发送通过所述网络浏览器输入的开放式标识；从所述网络服务提供装置接收重定向消息，所述重定向消息包含认证信息和开放式标识管理装置的地址，该认证信息包括开放式标识认证信息和用户认证授权信息中的至少一个信息；基于在安全区存储的与所述开放式标识相对应的密码来执行用户认证；以及，响应于所述用户认证的成功，通过所述网络浏览器向所述网络服务提供装置发送用户认证成功消息，以进行登录。
[0027]有利效果
[0028]根据本发明中的基于可信平台的开放式ID认证方法、装置和系统，被开放式ID管理装置授权的用户装置执行针对开放式ID的认证，由此预先防止因开放式ID认证中的重复数据传送而造成的网络超载。[0029]根据本发明中的基于可信平台的开放式ID认证方法、装置和系统，用户装置具有分离的环境，该分离的环境由基于开放式操作系统的非安全区和基于安全操作系统的安全区形成，并且还允许该安全区稳定地执行针对开放式ID的认证，而不会泄露信息。
【专利附图】

【附图说明】
[0030]图1是例示根据本发明一实施方式的、基于可信平台的开放式ID认证系统的示意图。
[0031]图2是例示普通的开放式ID认证方法的流程图。
[0032]图3是例示根据本发明一实施方式的用户装置的框图。
[0033]图4是例示根据本发明一实施方式的用户装置的控制单元的框图。
[0034]图5是例示根据本发明一实施方式的网络服务提供装置的框图。
[0035]图6是例示根据本发明一实施方式的、在用户装置处执行的开放式ID认证方法的流程图。
[0036]图7是例示根据本发明一实施方式的、在网络服务提供装置处执行的用于开放式ID认证的重定向消息创建方法的流程图。
[0037]图8是例示根据本发明一实施方式的开放式ID认证方法的流程图。
【具体实施方式】
[0038]下面，参照附图，对本发明的优选实施方式进行详细描述。然而，为避免搞混本发明的主旨，将从下面的描述和附图中省略公知功能或构造。而且，相同部件尽管在不同图中示出但用相同标号来指定。
[0039]现在，对本发明实施方式中的基于可信平台的开放式ID认证系统进行描述。
[0040]图1是例示根据本发明一实施方式的、基于可信平台的开放式ID认证系统的示意图。
[0041]参照图1，该开放式ID认证系统100包括:用户装置10、网络服务提供装置20和开放式ID管理装置30。
[0042]该网络服务提供装置20响应于用户的请求而提供网络服务，例如，购物、游戏、电影等。具体地，根据网络服务提供装置20与开放式ID管理装置30之间的相互布置，网络服务提供装置20支持在开放式ID服务过程中的用户装置10的登录。
[0043]开放式ID管理装置30管理并支持开放式ID服务过程。具体地，当接收到按用户的请求的用户简档信息时，开放式ID管理装置30向用户发放可用于开放式ID服务的特定开放式ID。
[0044]开放式ID由字母和/或任何其它特殊字符组成。例如，开放式ID可以采取由三个域组成的URL形式。然而，这仅仅是示例性的，不应被视为限制。另选的是，由开放式ID管理装置30所支持的任何其它形式都可以被用于开放式ID。
[0045]如果从用户接收到具有与开放式ID相关联的密码的用户简档，则开放式ID管理装置30向用户装置10发放特定开放式ID (例如，http://iphl.0penid.com)。接着，利用该开放式ID，用户装置10根据与开放式ID管理装置30的相互布置，执行针对使用开放式ID服务的选定的网站的登录处理。[0046]现在，将参照图2，对用于认证开放式ID的普通的方法进行描述。
[0047]图2是例示普通的开放式ID认证方法的流程图。
[0048]参照图2，在步骤S101，用户装置10的用户通过网络浏览器，接入在由网络服务提供装置20所提供的开放式ID服务过程中提供该用户装置10的登录的特定网络服务(例如，网站WWW.skplanet.c0.kr)。接着,用户装置10通过在地址栏中输入诸如由开放式ID管理装置30发放的URL (例如，http://iphl.0penid.com)的开放式ID,来尝试登录。
[0049]在步骤S103，网络服务提供装置20基于从用户装置10接收的用户的开放式ID(BP,http://iphl.0penid.com)，来识别开放式ID管理装置30的地址。开放式ID管理装置30的地址可以根据URL来识别。例如，包含在上面给出的开放式ID的URL中的“openid.com”可以是开放式ID管理装置30的域。在这种情况下，开放式ID管理装置30的地址可以被识别为先前根据上述域存储的IP地址。
[0050]在识别开放式ID管理装置30的地址之后，在步骤S105，网络服务提供装置20向开放式ID管理装置30发送开放式ID并且还请求认证该开放式ID。
[0051]在步骤S107，开放式ID管理装置30创建开放式ID认证信息，该开放式ID认证信息指示从用户装置10接收的开放式ID已经被有效地发放。接着，开放式ID管理装置30向网络服务提供装置20发送该开放式ID认证信息。在步骤S109，网络服务提供装置20向用户装置10发送包含开放式ID管理装置30的地址和开放式ID认证信息的重定向消息。
[0052]在步骤SI 11，用户装置10通过向与所接收地址相对应的开放式ID管理装置30发送开放式ID，来从开放式ID管理装置30请求用户认证。
[0053]在步骤S113，开放式ID管理装置30请求用户装置10通过网络浏览器显示密码输入窗口。在步骤S115，用户装置10接收用户通过密码输入窗口输入的密码，并接着将所接收密码发送至开放式ID管理装置30。在步骤S117，基于从用户装置10接收的密码，开放式ID管理装置30执行对用户装置10的用户认证。
[0054]S卩，在步骤SI 17，开放式ID管理装置30比较所接收密码与先前在发放开放式ID时登记的密码。如果所接收密码与所登记密码相同，则在步骤S119，开放式ID管理装置30创建用户认证成功消息，并将其发送至用户装置10。
[0055]该用户认证成功消息可以包含在步骤S107中使用的开放式ID认证信息。在步骤S121，用户装置10向网络服务提供装置20发送包含开放式ID认证信息的用户认证成功消息。接着，在步骤S123，网络服务提供装置20检查包含在用户认证成功消息中的开放式ID认证信息，证实从用户装置10输入的开放式ID已经被开放式ID管理装置30认证，并且准许用户装置10的登录。因此，用户装置10可以使用由网络服务提供装置20提供的网络服务。
[0056]在上面讨论的普通的开放式ID认证方法中，利用统一 ID，用户可以容易地进行针对提供开放式ID服务的网站的登录。然而，这种方法可能因网络服务提供装置20与开放式ID管理装置30之间的用于登录的重复数据传送而造成网络超载。特别地，这种重复数据传送可以导致无线通信环境的无线资源浪费。
[0057]为了解决该问题，在具有分离环境的用户装置10 (该分离环境由基于开放式操作系统的非安全区和基于安全操作系统的安全区形成)中，本发明提供了一种用于在经开放式ID管理装置30授权来认证开放式ID的用户装置10的安全区处执行针对开放式ID的认证技术。
[0058]现在，参照图3至图8，对在用户装置处执行的开放式ID认证方法进行详细描述。
[0059]如上提到，用户装置10具有分离环境，该分离环境由基于开放式操作系统的非安全区和基于安全操作系统的安全区形成。而且，用户装置10具有通过通信网络40与网络服务提供装置20和开放式ID管理装置30通信的能力。
[0060]用户装置10可以按多种多种多样的形式来实现。例如，用户装置10可以是以下任一种移动终端:如智能电话、平板PC、个人数字助理(PDA)、便携式多媒体播放器(PMP)、或MP3播放器。另选的是，用户装置10可以是诸如智能TV或台式PC这样的固定终端，或固有地具有通信功能的任何其它装置。
[0061]通信网络40可以采用各种通信网络中的至少一种，包括:诸如WLAN (无线LAN)、W1-F1、Wibro、Wimax或HSDPA (高速下行链路分组接入)的无线网络，和诸如以太网、xDSL(SP，ADSL或VDSL)、HFC (混合光纤同轴电缆)、FTTC (光纤到路边)或FTTH (光纤到户)这样的有线网络。另外，任何公知网络或正在开发或研究下的更进一步的网络都可以被采用为通信网络40。
[0062]在上文中，已经对本发明实施方式中的开放式ID系统100的主要部件进行了广泛的描述。
[0063]现在，对本发明的实施方式中的用户装置的构造和操作进行详细描述。
[0064]图3是例示根据本发明一实施方式的用户装置的框图。
[0065]参照图3，用户装置10包括:通信单元11、控制单元12、存储器单元13、输入单元14、音频处理单元15和显示单元16。
[0066]在本发明的实施方式中，用户装置10具有通过控制单元12实现的分离环境，并且由基于普通的开放式操作系统操作的非安全区130和基于分离的安全操作系统而操作的安全区140形成。该分离环境可以物理地或逻辑地实现。
[0067]在该环境中，在从提供开放式ID服务的开放式ID管理装置30接收到针对用户认证的授权之后，用户装置10接收来自用户的与开放式ID相对应的密码，或者来自开放式ID管理装置30的密码，基于用户标识号加密所接收密码，并接着将经加密的密码存储在安全区中。此后，当按用户的请求执行登录处理时，用户装置10从安全区检索经加密的密码，并且基于用户标识号解密检索到的密码。如果完成解密，则用户装置10视为在针对到网络服务的登录的用户认证中的成功。
[0068]相应部件的详细操作如下。
[0069]通信单元11可以具有至少一个通信模块，以通过通信网络40与网络服务提供装置20和开放式ID管理装置30建立各种通信信道。
[0070]通信单元11可以按无线或有线方式来操作。
[0071]控制单元12执行对用户装置10的总体控制。具体地，如上所述，控制单元12可以具有分离环境，例如，可信平台120，其由基于开放式操作系统的非安全区和基于安全操作系统的安全区形成。
[0072]现在，参照图4，对控制单元12进行详细描述。
[0073]图4是例示根据本发明一实施方式的用户装置的控制单元的框图。
[0074]参照图4，控制单元12可以由非安全区130、安全区140和硬件平台135组成。[0075]非安全区130可以包括用于不需要加密的信息的用户功能的开放式操作系统
(OS)。非安全区130可以根据从输入单元14或者从具有触摸屏功能的显示单元16接收的输入信号，来控制执行特定用户功能。例如，如果接收到用于激活相机功能的输入信号，则非安全区130可以控制相关功能，如相机激活、图像拍摄、图像保存等。具体地，非安全区130在控制单元12的控制下操作，以使通过输入单元14输入的、用于调用用于接入网络服务的网络浏览器或者用于通过网络浏览器进行针对选定的网络服务的登录的各种信息，可以通过通信单元11发送至网络服务提供装置20和开放式ID管理装置30。而且，非安全区130在控制单元12的控制下，执行用于向安全区140传输所接收的信息的功能。
[0076]如图4所示，非安全区130可以包括:应用层131、TEE功能API层132、TEE客户端API层133和通用OS层134。
[0077]相反，安全区140响应于非安全区130的调用，执行用于向控制单元12提供所存储和加密的信息的功能。例如，如果非安全区130在音乐播放功能中需要用于购买音乐文件的加密的信息，则安全区140可以被非安全区130调用。在这个处理中，非安全区130可以向安全区140传输与所需的加密的信息相关的调用信息。具体地，安全区140基于用户标识号，加密和存储与开放式ID相对应的并且通过非安全区130传输的密码。此后，当按运行在非安全区130中的网络浏览器的请求，从非安全区130接收到用户标识号时，安全区140检查所接收到的用户标识号是否等于在加密中使用的用户标识号。如果是这样，则安全区140基于该用户标识号解密所存储的密码，并接着将其传输至非安全区130。当接收到经解密的密码时，非安全区130的网络浏览器在用户认证中将其视为成功，创建用户认证成功消息，并且通过通信单元11将该用户认证成功消息发送至网络服务提供装置20。
[0078]如图4所示，安全区140可以包括:可信应用层141、TEE内部API层142、可信核心环境层143、可信功能层144和硬件安全资源层146。这里，TEE内部API层142、可信核心环境层143和可信功能层144可以设置在TEE内核层145上，而硬件安全资源层146可以设置在硬件平台135上。
[0079]在基于上述可信平台的这种控制单元12中，如果在TEE客户端API层133通过应用层131执行特定用户功能的同时(S卩，在网络浏览器正运行的同时)，存在针对被加密并存储在安全区140中的密码的请求，则TEE功能API层132向TEE客户端API层133传输相关调用。接着，TEE客户端API层133通过与TEE内部API层142的消息传送，来请求针对安全功能所加密、存储以及需要的密码。这时，还传输用户标识号。接着，TEE内部API层142通过可信功能层144收集存储在硬件安全资源中的已加密密码，并且基于被非安全区130认可的用户标识号来解密所收集的密码。如果被非安全区130认可的用户标识号不等于在加密中使用的用户标识号，则TEE内部API层142向TEE客户端API层133通知在用户认证中失败。
[0080]然而，如果基于所认可的用户标识号解密成功，则TEE内部API层142可以通过向TEE客户端API层133发送经解密的密码，来通知在用户认证中成功。
[0081]总之，如果非安全区130调用存储在硬件安全资源层146(其仅可通过位于可信平台120中的安全区140接入)中的已加密密码，则安全区140基于被非安全区130认可的用户标识号来解密所加密密码，并接着将解密结果返回至非安全区130。
[0082]在这个处理中，可信功能层144可以双重检查预定用于确保针对加密的信息的调用的可靠性的用户标识号，并且非安全区130可以支持显示单元16，以通过网络浏览器显示用于双重检查处理的用户标识号输入画面。
[0083]如果用户标识号被正确地提供给安全区140，并且如果完成解密，则将经解密的密码传输至非安全区130。另选的是，安全区140可以被非安全区130临时授权来执行在针对开放式ID认证的密码解密处理中所需的各种功能，并接着通过通信单元11的直接控制，直接地控制与网络服务提供装置20和开放式ID管理装置30的数据通信。
[0084]在上文中，参照图4，对控制单元12进行了详细描述。
[0085]现在，对图3所示的其它部件，S卩，存储器单元13、输入单元14、音频处理单元15和显示单元16进行描述。
[0086]存储器单元13存储用于控制用户装置10所需的程序和在执行这种程序期间创建的数据。具体地，存储器单元13可以存储用于接入由网络服务提供装置20提供的网站的网络浏览器110。用户装置10可以提供用于激活网络浏览器110的图标或菜单项。响应于对该图标或菜单项的选择，网络浏览器110被加载在控制单元12上，并且支持用于接入网站的各种功能。特别地，网络浏览器110可以支持发送或接收与诸如输入开放式ID或输入密码这样的认证处理相关联的信息，并且还可以临时或永久性地存储这种信息。
[0087]而且，存储器单元13还可以存储涉及用于标识用户装置10的任何种类信息的用户标识号。例如，对于移动通信终端的情况来说，可以将由移动通信运营商分配的用户的独特号码或者移动标识号(MIN)用作用户标识号。对于连接至网络的固定终端的情况来说，可以将IP地址用作用户标识号。然而，这仅仅是示例性的，不应被视为限制。
[0088]存储器13可以由以下中的至少一个形成:如闪速存储器、硬盘、多媒体卡微型存储器(例如，SD或XD存储器)、RAM和ROM。
[0089]输入单元14接收各种数字、字母和其它键的输入，创建用于执行或控制用户装置10的各种功能的输入信号，并将其传输至控制单元12。特别地，输入单元14接收用于驱动网络浏览器的用户输入，并且还向控制单元12发送用户通过网络浏览器的地址栏或者任何其它输入窗口输入的开放式ID或密码。
[0090]输入单元14可以具有响应于用户的触摸或其它操纵动作来创建输入信号的小键盘和触摸板中的至少一个。在一些实施方式中，与下面要描述的显不单兀16 —起,输入单元14可以由能够执行输入和显示两种功能的触摸板(或触摸屏)形成。另外，输入单元14可以具有以下中的至少一种:诸如键盘或小键盘的键输入单元、诸如触摸传感器或触摸板的触摸输入单元、诸如陀螺仪传感器、地磁传感器、加速度传感器、接近传感器或相机的姿势输入单元，以及语音输入单元。此外，正在开发或研究下的任何其它输入装置都可以被采用为输入单元。
[0091]音频处理单元15将电学声音信号转换成模拟信号。特别地，音频处理单元15可以在用户认证失败的情况下输出特定声音。
[0092]显示单元16在用户装置10执行其功能的同时，可视地提供与操作状态和结果相关联的信息。特别地，显示单元16可以显示通过网络浏览器提供的信息，并且还呈现用于接收开放式ID和密码的输入的特定画面。显示单元16可以由IXD (液晶显示器)、TFT-1XD(薄膜晶体管IXD)、0LED (有机发光二极管)、LED、AMOLED (有源矩阵0LED)、柔性显示器、三维显示器等形成。[0093]尽管上文中参照图3对用户装置10的主要部件进行了描述，但所有这些部件不一定是必要的。在一些实施方式中，它们中的一些可以从用户装置10中去除，并且可以另外或者另选地将任何其它部件用于用户装置10。
[0094]现在，对本发明实施方式中的网络服务提供装置20的构造和操作进行详细描述。
[0095]图5是例示根据本发明一实施方式的网络服务提供装置的框图。
[0096]参照图1和图5，网络服务提供装置20包括:服务通信单元12、服务控制单元22和服务存储单元23。
[0097]服务通信单元21与开放式ID管理装置30和至少一个用户装置10执行通信。特别地，服务通信单元21通过用户装置10的通信单元与基于开放式操作系统的非安全区通?目。
[0098]正常情况下，用户装置10基于开放式操作系统操作。然而，如上所述，本发明实施方式中的用户装置10具有分离环境，该分离环境由基于开放式操作系统操作的非安全区和基于分离的安全操作系统操作的安全区形成。服务通信单元21接收来自用户装置10的非安全区的信息，并接着将其传输至下面要描述的服务控制单元22。
[0099]服务控制单元22控制向用户装置10提供特定网络服务(例如，游戏、新闻、电影、门户网站等)的整个过程。服务控制单元22可以控制希望使用网络服务的用户装置10的登录处理。
[0100]具体来说，服务 控制单元22通过利用由开放式ID管理装置30所支持的开放式ID服务，来控制用户装置10的整个登录处理。即，当接收到通过用户装置10从在该用户装置10的非安全区中操作的网络浏览器输入的开放式ID时，服务控制单元22基于所接收的开放式ID，识别已经发放该开放式ID的开放式ID管理装置30的地址。
[0101]例如，如果从在用户装置10的非安全区中操作的网络浏览器接收的开放式ID是http://iphl.0penid.com,则“iphl”是用户的开放式ID标识符，而“openid.com”是发放该开放式ID的开放式ID管理装置30的域。
[0102]因此，服务控制单元22根据所接收的开放式ID识别开放式ID管理装置30的域，识别与该域相对应并预先存储的开放式ID管理装置30的IP地址，并接着向开放式ID管理装置30关于针对从用户装置10接收的开放式ID的认证进行询问。
[0103]即，服务控制单元22询问从用户装置10接收的开放式ID是否为由开放式ID管理装置30所发放的有效开放式ID。另外，基于与开放式ID —起从用户装置10接收的用户标识号，服务控制单元22可以询问是否存在与针对用户认证的授权相关的信息。
[0104]如果从开放式ID管理装置30接收到认证的结果，则服务控制单元22通过服务通信单元21，向用户装置10发送包含所接收的认证结果和开放式ID管理装置30的地址的重定向消息。
[0105]此后，如果从运行在用户装置10的非安全区中的网络浏览器接收到用户认证成功消息，则服务控制单元22准许用户装置10的登录。
[0106]为此，网络服务提供装置20可以包括服务存储单元23，其存储与通过网络服务提供装置20所提供的网络服务相关联的内容。
[0107]服务存储单元23存储并管理用于向用户装置10提供网络服务的一般信息。特别地，服务存储单元23通过将开放式ID管理装置30的地址与域匹配来存储该地址。[0108]如迄今所讨论的，网络服务提供装置20在服务存储单元23中仅存储并管理有关开放式ID管理装置30的信息，而非针对用户装置10的用户认证所需的信息。这允许更简单地构造系统。而且，因为仅准许发送用户认证成功消息的用户装置10登录，所以可以稳定地支持用户装置10的登录，而不存在安全威胁。
[0109]网络服务提供装置20和开放式ID管理装置30可以被构成为在基于服务器的计算配置或云配置中操作的一个或更多个服务器。特别地，在本发明的实施方式中，通过开放式ID认证系统发送或接收的信息可以通过云计算功能来提供，该云计算功能可以永久性地存储在因特网上的云计算装置中。云计算指向诸如台式机、平板计算机、笔记本电脑、上网本和智能电话这样的任何数字装置提供利用因特网技术虚拟化的按需IT (信息技术)资源，如硬件(即，服务器、存储部、网络等)、软件(即，数据库、安全、网络等)、服务以及数据。在本发明中，在用户装置10、网络服务提供装置20以及开放式ID管理装置30之间发送或接收的所有种类的信息都可以存储在因特网上的云计算装置中，并且还随时随地发送。
[0110]现在，将对在本发明实施方式中的开放式ID认证方法进行详细描述。
[0111]图6是例示根据本发明一实施方式的、在用户装置处执行的开放式ID认证方法的流程图。
[0112]参照图1和6，在步骤S301，当用户通过运行在用户装置10的非安全区中的网络浏览器接入由网络服务提供装置20所提供的网络服务并接着输入开放式ID以登录该网络服务时，用户装置10向网络服务提供装置20发送该开放式ID。
[0113]在步骤S303，用户装置10从网络服务提供装置20接收包含认证结果的重定向消
肩、O
[0114]该认证结果指如下的认证信息，即，该认证信息包括:指示是否已经有效地发放由用户输入的开放式ID的开放式ID认证信息，和指示开放式ID管理装置30授权用户认证的用户认证授权信息。运行在非安全区中的网络浏览器接收包含该认证信息和开放式ID管理装置30的地址的重定向消息。
[0115]在步骤S305，网络浏览器确定接收到的重定向消息是否包含有关用户认证的授权信息。如果没有授权信息，则在步骤S307，该网络浏览器向开放式ID管理装置30发送用于用户认证的请求。如果存在授权信息，则在步骤S309，该网络浏览器向安全区发送用于用户认证的请求。
[0116]此后，在安全区中执行用户认证的特定API (例如，上面参照图4讨论的TEE内部API142)检查是否存在基于用户标识号加密的、与开放式ID相对应的密码。如果存在已加密密码，则在步骤S311，TEE内部API142利用用户标识号来解密所加密密码。
[0117]如果正确地执行了解密，则在步骤S313，TEE内部API142向在非安全区中运行的网络浏览器发送用户认证成功消息。接着，该网络浏览器将其发送至网络服务提供装置20，以执行登录。
[0118]现在，将对本发明实施方式中的网络服务提供装置20的操作进行详细描述。
[0119]图7是例示根据本发明一实施方式的、在网络服务提供装置处执行的用于开放式ID认证的重定向消息创建方法的流程图。
[0120]参照图1和图7，在步骤S401，网络服务提供装置20从用户装置10接收开放式ID，并接着，在步骤S403，基于所接收的开放式ID，识别开放式ID管理装置30的地址。[0121]在步骤S405，网络服务提供装置20向与所识别的地址相对应的开放式ID管理装置30关于针对该开放式ID的认证进行询问。在步骤S407，如果从开放式ID管理装置30接收到认证的结果，则在步骤S409，网络服务提供装置20向用户装置发送包括认证结果的重定向消息。
[0122]如上所述，该认证结果是认证信息，该认证信息包括:指示是否已经通过开放式ID管理装置30有效地发放从用户装置10接收的开放式ID的开放式ID认证信息，和指示开放式ID管理装置30授权用户认证的用户认证授权信息。当从开放式ID管理装置30接收到该认证信息时，网络服务提供装置20创建包含所接收的认证信息和在步骤S403识别的开放式ID管理装置30的地址的重定向消息，并接着将其发送至用户装置10。
[0123]如果在步骤S407未正确地接收到认证结果，则网络服务提供装置20可以向用户装置10发送指示认证失败的消息。
[0124]现在，将对在本发明实施方式中的开放式ID认证方法进行详细描述。
[0125]图8是例示根据本发明一实施方式的开放式ID认证方法的流程图。
[0126]参照图8，在步骤S201，当用户通过在用户装置10的非安全区130中运行的网络浏览器接入由网络服务提供装置20所提供的网络服务并接着通过该网络浏览器输入开放式ID以登录该网络服务时，用户装置10向网络服务提供装置20发送该开放式ID。
[0127]例如,用户接入网站www.skplanet.c0.kr,以使用由网络服务提供装置20提供的特定网络服务，并接着通过在网络浏览器的地址栏中输入由开放式ID管理装置30预先发放的开放式ID (例如，http://iphl.0penid.com),来尝试登录。
[0128]此后，在步骤S203，网络服务提供装置20基于从用户装置10接收的用户的开放式ID(即，http://iphl.0penid.com),来识别开放式ID管理装置30的地址。开放式ID管理装置30的地址可以根据URL来识别。例如，包含在上述开放式ID的URL中的“openid.com”可以是开放式ID管理装置30的域，并且开放式ID管理装置30的地址可以被识别为先前根据上述域存储的IP地址。
[0129]在识别开放式ID管理装置30的地址之后，在步骤S205，网络服务提供装置20向开放式ID管理装置30发送从用户装置10输入的开放式ID，并且还询问是否已经通过开放式ID管理装置30有效地发放了该开放式ID。
[0130]在步骤S207，开放式ID管理装置30创建开放式ID认证信息，该开放式ID认证信息指示从用户装置10接收的开放式ID已经被有效地发放。接着，开放式ID管理装置30向网络服务提供装置20发送开放式ID认证信息。
[0131]同时，在步骤S201，用户装置10还可以向网络服务提供装置20发送用户标识号。接着，网络服务提供装置20将所接收到的用户标识号发送至开放式ID管理装置30，该开放式ID管理装置30基于该用户标识号确定是否向用户装置10赋予用于用户认证的授权。
[0132]例如，在用户装置10是移动通信终端并且将由移动通信运营商分配的独特号码用作用户标识号的情形中，开放式ID管理装置30可以基于该用户标识号，来询问移动通信运营商的服务服务器是否担保用户装置10。在这种情况下，移动通信运营商的服务服务器可以预先存储有关用户装置10是否具有可信平台的信息。如果用户装置10具有安全性增强的可信平台，则移动通信运营商的服务服务器可以创建指示用户装置10的担保的信息，并接着将其发送至开放式ID管理装置30。接着，开放式ID管理装置30可以通过网络服务提供装置20向用户装置10发送指示开放式ID管理装置30授权用户认证的用户认证授权信息。
[0133]在开放式ID管理装置30向网络服务提供装置20发送上述用户认证授权信息和指示已经有效地发放从用户装置10接收的开放式ID的开放式ID认证信息之后，在步骤S209,网络服务提供装置20向用户装置10的网络浏览器发送包含所接收到的认证信息和开放式ID管理装置30的地址的重定向消息。
[0134]在步骤S211，在非安全区130中运行的网络浏览器确定所接收到的重定向消息是否包含有关用户认证的授权信息。如果没有授权信息，则在步骤S213，该网络浏览器基于开放式ID管理装置30的接收到的地址，向该开放式ID管理装置30发送用于用户认证的请求。随后的步骤和上面在图2中讨论的步骤相同。
[0135]如果存在授权信息，则在步骤S215，在非安全区130中运行的该网络浏览器向安全区140发送用于用户认证的请求。即，该网络浏览器调用已加密密码。
[0136]此后，如上图4中讨论的，在步骤S217，在安全区140中运行的TEE内部API142检查由网络浏览器调用的密码是否存储在由安全区140管理的区域中。如果是这样，则在步骤S219，TEE内部API142基于通过网络浏览器接收的用户标识号来执行解密。
[0137]如果通过网络浏览器接收的用户标识号不同于在密码的加密中使用的用户标识号，则将这视为在用户认证中失败。如果相同并且如果正确地执行了解密，则将这视为在用户认证中成功。对于成功的情况来说，在步骤S221，安全区140向非安全区130的网络浏览器发送用户认证成功消息。接着，在步骤S223，非安全区130的网络浏览器向网络服务提供装置20发送所接收到的用户认证成功消息。
[0138]该用户认证成功消息包含在步骤S207中接收的开放式ID认证信息。因为通过用户装置10输入的开放式ID被开放式ID管理装置30担保，所以在步骤S225，网络服务提供装置20准许用户装置10的登录而不存在安全危险。
[0139]如果在步骤S217没有与开放式ID相对应的密码，则用户装置10向开放式ID管理装置30发送用于用户认证的请求。此后，当从开放式ID管理装置30接收到用户认证成功消息时，用户装置10可以利用用户标识号来加密通过非安全区130的网络浏览器输入的密码，并接着将其存储在安全区140中。
[0140]如上所述，一旦与开放式ID相对应的密码被存储在安全区140中，用户装置10就从安全区140调用该密码，并接着执行用户认证，而不需要向或从网络服务提供装置20和开放式ID管理装置30发送或接收信息。
[0141]如此，通过用户装置10的安全区140的开放式ID认证可以预先防止因典型开放式ID认证中的重复数据传送而造成的网络超载。
[0142]另外，用户装置10具有分离的环境，该分离的环境由基于开放式操作系统的非安全区130和基于安全操作系统的安全区140形成，并且还允许安全区140稳定地执行针对开放式ID的认证，而不会泄露用户信息。
[0143]在上文中，对本发明实施方式中的基于可信平台的开放式ID认证方法进行了描述。
[0144]本发明实施方式中的开放式ID认证方法可以被实现为程序命令，该程序命令可以通过各种计算装置来执行并且被写入至计算机可读记录介质。该计算机可读记录介质可以单独地或者组合地包括:程序命令、数据文件、数据结构等。被写入至该介质的程序命令特别针对本公开设计或配置，或者为计算机软件技术人员所已知。该计算机可读记录介质的示例包括:诸如硬盘、软盘以及磁带这样的磁性介质、诸如CD ROM和DVD这样的光学介质、诸如光磁盘的磁光介质，以及专门被构造为存储和执行程序命令的硬件装置，如ROM、RAM以及闪速存储器。
[0145]计算机可读记录介质可以分布在连接至网络的多个计算机系统上，使得按分散方式向其写入和从其执行处理器可读代码。本领域普通技术人员可以构造用于实现在此描述的实施方式的程序、代码、以及代码段。
[0146]虽然本发明已经参照其示例性实施方式进行了具体示出和描述，但本领域技术人员应当明白，在不脱离本发明的主旨的情况下，可以对本发明进行形式和细节上的各种改变。本公开和附图中使用的特定术语出于例示性目的使用，而不应被视为对本发明的限制。
[0147]工业应用
[0148]本发明总体上涉及开放式标识(ID)认证技术，并且更具体地，涉及用于基于可信平台来认证开放式ID以防止因每次开放式ID认证时所重复的数据传送而可能出现的网络超载的方法、装置和系统。
[0149]根据本发明中的基于可信平台的开放式ID认证方法、装置和系统，用户装置具有分离的环境，该分离的环境由基于开放式操作系统的非安全区和基于安全操作系统的安全区形成，并且还允许该安全区稳定地执行针对开放式ID的认证，而不会泄露信息。这极大地有助于安全性产业和网络服务产业的发展，由此具有工业应用性。
【权利要求】
1.一种开放式标识认证系统，该开放式标识认证系统包括: 网络服务提供装置，该网络服务提供装置被构造为提供特定网络服务，并且根据与开放式标识管理装置的相互布置，支持在开放式标识服务过程中用户装置的登录；和 所述用户装置，所述用户装置被构造为具有分离的环境，该分离的环境由基于开放式操作系统操作的非安全区和基于安全操作系统操作的安全区形成，所述用户装置被构造为通过在所述非安全区中运行的网络浏览器，接入由所述网络服务提供装置所提供的所述网络服务，向所述网络服务提供装置发送通过所述网络浏览器输入的开放式标识，当从所述网络服务提供装置接收到重定向消息时，基于在所述安全区存储的与所述开放式标识相对应的密码来执行用户认证，以及通过所述网络浏览器向所述网络服务提供装置发送用户认证成功消息，以进行登录。
2.一种用户装置，该用户装置包括: 通信单元，该通信单元被构造为通过通信网络发送或接收信息；和 控制单元，该控制单元被构造为具有分离的环境，该分离的环境由基于开放式操作系统操作的非安全区和基于安全操作系统操作的安全区形成，该控制单元被构造为通过在所述非安全区中运行的网络浏览器，接入由网络服务提供装置所提供的网络服务，向所述网络服务提供装置发送通过所述网络浏览器输入的开放式标识，当从所述网络服务提供装置接收到重定向消息时，基于在所述安全区存储的与所述开放式标识相对应的密码来执行用户认证，以及通过所述网络浏览器向所述网络服务提供装置发送用户认证成功消息，以进行登录。
3.根据权利要求2所述的用户装置，其中，所述控制单元被进一步构造为，在发送所述开放式标识时，向所述网络服务提供装置发送所述用户装置的用户标识号。
4.根据权利要求2所述的用户装置，其中，所述重定向消息包含认证信息和开放式标识管理装置的地址，该认证信息包括开放式标识认证信息和用户认证授权信息中的至少一个信息，所述开放式标识认证信息指示所述开放式标识是否由所述开放式标识管理装置发放，所述用户认证授权信息指示用户认证被所述开放式标识管理装置授权。
5.根据权利要求3所述的用户装置，其中，所述控制单元被进一步构造为，如果所述安全区具有与所述开放式标识相对应的存储的密码，则通过利用所述用户标识号解密所述密码，以执行所述用户认证。
6.根据权利要求3所述的用户装置，其中，所述控制单元被进一步构造为，如果所述安全区没有与所述开放式标识相对应的存储的密码，则向所述开放式标识管理装置发送针对用户认证的请求，向所述开放式标识管理装置发送由用户按所述开放式标识管理装置的请求输入的密码，并且如果从所述开放式标识管理装置接收到用户认证成功消息，则通过利用所述用户标识号在所述安全区加密并存储所述密码。
7.—种网络服务提供装置，该网络服务提供装置包括: 服务通信单元，该服务通信单元被构造为与开放式标识管理装置和至少一个用户装置通信，所述开放式标识管理装置支持开放式标识服务，并且所述用户装置具有分离的环境，该分离的环境由基于开放式操作系统操作的非安全区和基于安全操作系统操作的安全区形成；和 服务控制单元，该服务控制单元被构造为:当从所述用户装置的所述非安全区接收到开放式标识时，基于所述开放式标识而识别所述开放式标识管理装置的地址，向所述开放式标识管理装置询问有关针对所述开放式标识的认证，当作为来自所述开放式标识管理装置的所述认证的结果而接收到认证信息时，向所述用户装置的所述非安全区发送重定向消息，该重定向消息包含所述认证信息和所述开放式标识管理装置的所述地址，以及在从所述用户装置的所述非安全区接收到用户认证成功消息时，准许所述用户装置的登录。
8.一种基于可信平台的开放式标识认证方法，该方法包括以下步骤: 在用户装置处，在通过在非安全区中运行的网络浏览器接入由网络服务提供装置所提供的网络服务之后，向所述网络服务提供装置发送通过所述网络浏览器输入的开放式标识； 在所述用户装置处，从所述网络服务提供装置接收重定向消息，所述重定向消息包含认证信息和开放式标识管理装置的地址，该认证信息包括开放式标识认证信息和用户认证授权信息中的至少一个信息； 在所述用户装置处，基于在安全区存储的与所述开放式标识相对应的密码来执行用户认证；以及 响应于所述用户认证的成功，在所述用户装置处，通过所述网络浏览器向所述网络服务提供装置发送用户认证成功消息，以进行登录。
9.根据权利要求8所述的方法，其中，发送所述开放式标识的所述步骤包括:向所述网络服务提供装置发送所述用户装置的用户标识号。
10.根据权利要求8所述的方法，其中，接收所述重定向消息的所述步骤包括:当所述重定向消息中不包含所述用户认证授权信息时，向所述开放式标识管理装置发送针对用户认证的请求。
11.根据权利要求8所述的方法，其中，执行所述用户认证的所述步骤包括以下步骤: 确定所述安全区是否具有与所述开放式标识相对应的密码；以及 如果所述安全区具有与所述开放式标识相对应的所述密码，则通过利用用户标识号解密所述密码，以执行所述用户认证。
12.根据权利要求8所述的方法，其中，执行所述用户认证的所述步骤包括以下步骤: 确定所述安全区是否具有与所述开放式标识相对应的密码； 如果所述安全区没有与所述开放式标识相对应的密码，则向所述开放式标识管理装置发送针对用户认证的请求； 向所述开放式标识管理装置发送由用户按所述开放式标识管理装置的请求输入的密码；以及 如果从所述开放式标识管理装置接收到用户认证成功消息，则通过利用用户标识号在所述安全区加密并存储所述密码。
13.一种基于可信平台的开放式标识认证方法，该方法包括以下步骤: 在网络服务提供装置处，基于从用户装置接收到的开放式标识，识别开放式标识管理装置的地址； 在所述网络服务提供装置处，向所述开放式标识管理装置询问有关针对所述开放式标识的认证； 在所述网络服务提供装置处，从所述开放式标识管理装置接收认证信息，该认证信息包括开放式标识认证信息和用户认证授权信息中的至少一个信息，该用户认证授权信息指示用户认证被所述开放式标识管理装置授权；以及 接收去往所述用户装置的、包含所述认证信息和所述开放式标识管理装置的所述地址的重定向消息。
14.一种其上具有程序的计算机可读介质，该程序执行以下步骤:在通过在用户装置的非安全区中运行的网络浏览器接入由网络服务提供装置所提供的网络服务之后，向所述网络服务提供装置发送通过所述网络浏览器输入的开放式标识；从所述网络服务提供装置接收重定向消息，所述重定向消息包含认证信息和开放式标识管理装置的地址，该认证信息包括开放式标识认证信息和用户认证授权信息中的至少一个信息； 基于在安全区存储的与所述开放式标识相对应的密码来执行用户认证；以及响应于所述用户认证的成功，通过所述网络浏览器向所述网络服务提供装置发送用户认证成功消息 ，以进行登录。
【文档编号】H04L9/32GK103621009SQ201280003506
【公开日】2014年3月5日 申请日期:2012年9月6日 优先权日:2012年6月21日
【发明者】金度完, 金显郁, 慎正金 申请人:Sk 普兰尼特有限公司