用于来自用户平台的可信认证和接入的方法
【专利说明】
[0001] 本申请是申请号为200980162122. 8、申请日为2009年09月14日、发明名称为"用 于可信认证和登录的方法和装置"的中国发明专利申请的分案申请。
技术领域
[0002] 本申请设及认证和接入。
【背景技术】
[0003] 身份管理W及用户认证和接入对于网络(Web)使用、移动服务、无线通信和其他 服务来说是至关重要的问题。存在许多认证和接入协议。例如,开放ID的penID)是开放的、 分散的构架,并且是用于用户认证和接入控制的方法。单个数字身份允许用户登录一次,并 且获得对多个服务的接入。数字身份通常是W唯一通用资源定位符扣化)为形式的,该U化 通常由身份提供方提供化ost)。当用户期望用数字身份接入服务提供方时,所述身份提供 方对该用户进行认证。化enID构架允许用不同的认证方法来认证用户。为了声明在身份提 供方处的身份,能够使用几种方法;最常用的是登录表格(form)的使用,用户在该登录表 格中提供密码。然而,没有使用可信的系统,依赖方将不能获得足够的证据来建立与递交认 证凭证的通信伙伴之间的信任关系。用户凭证(例如,W用户名/密码相结合的形式)不 被绑定至平台,因此能够被盗取。攻击者能够使用盗取到的凭证来化合法用户的名义接入 服务。通过将用于化enID协议的认证凭证绑定至平台及其该平台值得信赖的状态,能够提 高化enID协议的保密性和安全性。
[0004] 在基于权证(ticket)的认证和授权协议中,软件令牌(即,权证)用于证明单个 实体/用户的身份。基于该些令牌,针对特定系统的接入被限制于产生合适的令牌的实体 /用户。此外,被包括在令牌中的数据除了可W用于只实施认证之外,还可W用于实施能够 进行基于令牌的接入控制方案的认证控制。
[0005] 另一个认证和授权协议将证明(attestation)身份密钥(AIK)用作识别权证系统 中的凭证,其中该AIK由可信平台模块(TPM)在可信计算环境中生成。AIK用于对信任测量 签名,化及证实(certify)由TPM生成的密钥。该样的基于可信权证的系统的当前实施需 要使用中央数据库来维护用于权证加密的共享密钥数据库或公钥基础设施(PKI),并且所 有服务提供方需要被修改W评估和接受所接收到的权证。
【发明内容】
[0006] 公开了用于可信认证和登录的方法和装置。基于可信平台模块(TPM)的登录方法 被提出W用于认证和接入。用户利用与该用户的特定平台(例如,TPM)紧紧绑定的身份提 供方来注册身份。例如,如果用户决定使用该个身份来登入到服务提供方,则身份提供方质 询(challenge)用户提供正确的凭证。在该种方法中,用于合并密码凭证链的凭证由TPM 生成的权证组成。该允许用户登入而不需要在身份提供方处的密码。在用户的特定平台处 的本地密码可W-直被使用W保护身份不受本地攻击。
[0007] 登录与特定平台的完整性验证结合。使用对TPM的平台配置寄存器(PCR)的TPM 签名的声明,其中该PCR安全地存储系统配置,身份提供方可W将报告的系统状态和先前 生成的参考值进行比较,并且只允许合法用户使用值得信赖的平台来登入,并且声明身份。 该个结合的认证和证明,通过不仅将认证数据绑定到特定的平台,而且将该认证数据绑定 到被认为是值得信赖的预定义的系统状态来允许细粒度(finegrained)接入控制。该能 够允许用于认证和接入方法的新的使用情况,该新的使用情况需要增强的系统保密性和安 全性,W及将不允许任何导致不值得信赖系统的修改。
【附图说明】
[000引更详细的理解可W从W下结合附图并且举例给出的描述中得到,其中:
[0009] 图1示出了用于认证和接入系统的示例高层架构;
[0010] 图2示出了用于认证和接入方法的示例高层信号流图;
[0011] 图3(a)和3(b)示出了用于认证和接入方法的示例信号流图;
[001引图4是长期演进(LT巧的无线通信系统/接入网的实施方式拟及
[0013] 图5是LTE无线通信系统的无线发射/接收单元和基站的示例方框图。
【具体实施方式】
[0014] 下文设及的术语"无线发射/接收单元(WTRU)"包括,但并不限于用户设备扣E)、 移动站、固定或移动订户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机或者能在无 线环境下操作的任何一种类型的用户设备。下文设及的术语"基站"包括但并不限于节点 B、演进型节点B、站点控制器、接入点(A巧或者能在无线环境下操作的任何一种类型的接 口设备。
[0015] 该里的公开内容将化enID协议用作示例认证和接入系统,并且可应用至其他认 证和接入系统。首先描述基本的实体和它们的高层流,之后详细论述方法。
[0016] 图1是示例认证和接入系统100,该系统100包括但不限于;客户端/用户平台 110、身份提供方 120、隐私认证中屯、(privacyce;rtificationauthorityPCA) 130W及服 务提供方140。客户端/用户平台110、身份提供方120W及服务提供方140通过无线和有 线通信系统的任意组合来与彼此通信。客户端/用户平台110还与PCA130通信,该PCA 130与存储介质160通信,该存储介质160例如存储证实(certification)。
[0017] 客户端/用户平台110可W是WTRU、基站、计算平台,或者任何可能需要认证的设 备。客户端/用户平台110包括但不限于;可信平台模块(TPM) 115,该TPM115为客户端/ 用户平台110提供远程证明W及数据密封和绑定能力。TPM115是存储密钥、密码、数字证 书的微控制器,并且该TPM115能够生成密码密钥。该TPM可W附着在母板上,或者集成在 系统的巧片组中,并且可W用在任何需要该些功能的计算设备中。TPM115确保存储在其中 的信息变得更加安全,W防止来自外部的软件攻击、物理篡改W及窃听。如果在启动顺序期 间针对组件采用的测量值不如预期的那样等于参考测量,则TMP115或客户端/用户平台 110中针对数据和秘密的接入可W被拒绝。由此,如安全电子邮件、安全网络接入化及数据 的本地保护之类的重要应用和能力变得更加安全。尽管该里讨论的是可信平台模块,但是 其他可替换的信任中屯、可W被使用,例如,移动可信模块。
[00化]TPM115使用签注密钥巧K),该邸是2048比特RSA公共和私有密钥化在制造期 间,该密钥对在巧片上被随机地创建,并且不能够被改变。私有密钥从不离开巧片,而公共 密钥则用于证明化及用于发送给巧片的敏感数据的加密。邸的公共部分通常经由邸证书 而被PCA130已知,W用于证明的目的。总体来说,无论TPM115何时需要向检验者(例如, 身份提供方)来认证它自己,它都生成第二个被称作证明身份密钥(AIK)的RSA密钥对,将 该AIK公共密钥发送至PCA130,并且相对相应的邸认证该个公共密钥。如果PCA130在 它的列表中发现该个邸,则它在TPM115的AIK上发出证书。TPM115随后可W提供该个 证书给身份提供方120,并且认证它自己。
[0019] 如该里所陈述的,AIK(在该AIK中至少包含身份)表示该里所描述的权证的至少 一部分。然而,作为权证的AIK的使用受TPM115限制。因此,一个被称为证实密钥操作的 间接手段被使用,其中,由TPM115生成签名密钥,并且通过用AIK对该签名密钥进行签名 来证实该签名密钥。该个密钥被称作证实的签名密钥(CSK)。该CSK和AIK与证明AIK有 效的PCA-起组成该里所描述的权证的一部分。
[0020] 客户端/用户平台110还包括生成用于服务接入的凭证或者权证的权证服务器 150。权证服务器150认证用户。权证服务器150使用平台证明的可信计算方法来向身份 提供方120确认(validate)客户端/用户平台110和它自己。权证服务器150不存在于 当前不可信的化enID架构中,其中,对应的角色只由本地凭证存储器扮演。由于更安全紧 要的信息和操作集中在权证服务器150中,因此该权证服务器150必须是可信的,W恰当地 处理AIK证书和CSK,并且不将他们散播到其他平台;保护权证和凭证;保护对由用户授权 的所有证书的任何安全紧要的操作;提供将被直接集成在公