一种在具有用户的无线设备处执行的方法

一种在具有用户的无线设备处执行的方法
【专利说明】一种在具有用户的无线设备处执行的方法
[0001] 本申请是申请日为2011年01月21日、申请号为201180006853. 0、名称为"用于 可信联合身份管理和数据接入授权的方法和设备"的中国发明专利申请的分案申请。
[0002] 相关申请的交叉引用
[0003] 本申请基于并要求享有2010年1月22日提交的US临时专利申请No. 61/297,446 的优先权，其全部内容通过引用而被视为结合与此。
【背景技术】
[0004] 用于认证（authentication)的可信计算（TC)的基本使用可以是向受例如硬件可 信平台模块（TPM)保护的可信系统（TS)提供用于认证的凭证（credential)。作为主要的 安全性特征，这可以将凭证绑定到特定TS。这种认证在无线网络中的应用可以是经由可扩 展授权程序-传输层安全（EAP-TLS)的。对TS使用单个签约（sign-on) (SS0)可能会展现 出潜在的安全性问题。

【发明内容】

[0005] 公开了可以提供可信开放式ID(TOpenlD)(正如这里所公开的）与开放式 ID(OpenlD)的整合的系统、方法和手段。
[0006] 无线设备（例如用户设备（UE))的用户可以被认证（例如响应于来自网络应用功 能的认证请求而被认证）。UE上的可信权证（ticket)服务器（TTS)可以获取（retrieve) 平台确认（validation)数据（例如从UE上的可信平台模块）。平台确认数据可以包括对 无线设备的信任度的测量。TTS可以发送平台确认数据到网络应用功能。UE可以接收平台 验证，该平台验证指示网络应用功能已经验证该平台确认数据和用户。从网络应用功能接 收到的平台验证可以指示由平台确认数据指示的系统状态与之前生成的参考值相匹配。
[0007] UE可以接收包括平台验证的权证。该权证能够被重复使用以执行后续的授权，而 不需要对无线设备进行重新确认。权证可以包含时间戳、寿命期限等。
[0008] UE可以从网络实体中接收权证参考。该权证参考能够被用于从网络应用功能获得 权证。包括在权证中的平台验证能够被重复使用以执行后续的授权，而不需要对无线设备 进行重新确认。
【附图说明】
[0009] 从以下以示例方式给出的描述并结合附图可以获得更详细的理解，其中：
[0010] 图1示出了示例认证和接入系统；
[0011] 图1A示出了与可信Kerberos有关的示例呼叫流；
[0012] 图2示出了与可信OpenID有关的示例呼叫流；
[0013] 图3A和3B示出了与可信权证服务器质询-响应有关的示例呼叫流；
[0014] 图4示出了与可信OpenID有关的示例方法；
[0015] 图5示出了与绑定UICC和WTRU有关的示例呼叫流图；
[0016] 图6示出了组件之间的示例关系；
[0017] 图7示出了作为信任评估器的PVE的示例；
[0018] 图8示出了示例TVT登录；
[0019] 图9示出了另一个示例TVT登录；
[0020] 图10示出了另一个示例TVT登录；
[0021] 图11提供与TVT登录有关的示例可视指示；
[0022] 图12提供基于可信计算概念的在平台上对TVT的示例实施；
[0023] 图13示出了 BONDI与TOpenID的示例使用；
[0024] 图14示出了使用BONDI与TOpenID的示例呼叫流图；
[0025] 图15是示例OpenID协议的图；
[0026] 图16是示例OAuth协议的图；
[0027] 图17是示例的组合的OpenID/OAuth协议的图；
[0028] 图18是使用GoogleOpenID的示例OpenID协议的图；
[0029] 图19是使用Google API的示例OAuth协议的图；
[0030] 图20示出了示例长期演进（LTE)无线通信系统/接入网；以及
[0031] 图21示出了示例LTE无线通信系统。
【具体实施方式】
[0032] 图1-图21可以关于可以在其中实施公开的系统、方法以及手段的示例实施方式。 但是，虽然本发明可以结合示例实施方式进行描述，但是其不限于此，且应当被理解为在不 偏离本发明的情况下，可以使用其它的实施方式或可以对所描述的实施方式进行修改和添 加来执行本发明的相同功能。此外，附图可以示出呼叫流，其用于示例的目的。可以理解可 以使用其它实施方式。此外，流的顺序可以进行适当改变。另外，如果不需要，则可以省略 流，且还可以增加另外的流。
[0033] 下文提及的术语"无线发射/接收单元（WTRU)"包括但不限于用户设备（UE)、移 动站、固定或移动用户单元、寻呼机、蜂窝电话、个人数字助理（PDA)、计算机或能够在无线 环境中操作的任意其它类型的设备。下文提及的术语"基站"可以包括但不限于节点B、站 点控制器、接入点（AP)或能够在无线环境中操作的任意其它类型的接口设备。
[0034] 本文可以使用OpenID协议作为示例认证和接入系统，且可适用于其它认证和接 入系统。出于解释目的，在第三代合作伙伴（3GPP)环境中描述了多种实施方式，但是这些 实施方式可以在任意无线通信技术中被实施。一些示例类型的无线通信技术可以包括但不 限于全球微波互联接入（WiMAX)、802. xx、全球移动通信系统（GSM)、码分多址（CDMA2000)、 通用移动电信系统（UMTS)、长期演进（LTE)或任意未来的技术。
[0035] 图1示出了示例认证和接入系统100,包括但不限于客户端/用户平台110、身份 提供方120、隐私鉴证（certification)机构（PCA) 130以及服务提供方140。客户端/用 户平台110、身份提供方120以及服务提供方140可以通过有线和无线通信系统的任意组合 彼此通信。客户端/用户平台110可以与PCA 130通信，PCA 130可以与存储介质160通 信，该存储介质160可以存储例如证明。
[0036]客户端/用户平台110可以是WTRU、基站、计算平台或需要认证的任意设备。客户 端/用户平台110可以包括但不限于可信平台模块（TPM) 115,该TPM 115提供用于客户端 /用户平台110的数据的远程证明（attestation)和密封（seal)及绑定的能力。TPM 115 可以是微控制器，其存储密钥、密码、数字证书并能够生成加密密钥。其可以被固定在主板 上，或集成到系统芯片组，其可以用于可能需要这些功能的任意计算设备中。TPM 115可以 保护其信息不受例如外部软件攻击、物理损害、窃听等。如果在启动序列期间针对组件所获 得的测量值没有达到期望的参考测量（该参考测量使应用和能力（例如安全电子邮件、安 全网络访问以及数据的本地保护）更安全），则拒绝针对TPM 115或客户端/用户平台110 中的数据和秘密的访问。虽然这里论述了可信平台模块，但是，可以使用其它信任中心，例 如移动可信模块。
[0037] TPM 115 可以使用签注（endorsement)密钥（EK)，例如 2048 位 Rivest-Shamir-Adelman(RSA)公钥（public key)和私钥（private key)对，其在制造时在 芯片上随机生成且不可更改。私钥可以被限制在芯片，而公钥用于对发送到芯片的敏感数 据的证明和加密。EK的公共部分一般可以经由EK证书为PCA 130所知，以用于证明。当 TPM 115需要向验证方（例如身份提供方）对自身进行认证时，其可以生成第二RSA密钥 对，称为证明身份密钥（AIK)，将AIK公钥发送到PCA 130,并依据对应的EK认证该公钥。如 果PCA 130发现该EK处于其列表中，则PCA 130发布关于TPM 115AIK的证书。TPM 115然 后可以将该证书提供给身份提供方120并对其自身进行认证。
[0038] AIK(至少嵌入到AIK中的身份）可以表示这里所描述的权证的至少一部分。权证 中的AIK的使用可以由TPM 115来限制。间接方式，称为证实密钥操作，可以被使用，其中 标记（signing)密钥由TPM 115生成并通过用AIK来标记该密钥而被证实（certify)。该 密钥可以称为证实的标记密钥（CSK)。CSK和AIK与证明AIK有效性（validity)的PCA - 起可以构建这里所述的权证的一部分。
[0039] 客户端/用户平台110可以包括可信权证服务器TTS150,其生成用于服务接入 的凭证或权证。当提到与这里的可信OpenID有关的权证服务器时，该参考可以用于可信 权证服务器。TTS150可以认证用户。TTS150可以例如使用平台证明的可信计算方法来 向身份提供方120确认客户端/用户平台110以及自身。由于安全性信息和操作可能集 中在TTS150中，因此其需要是可信的以合适地处理AIK证书和CSK而并不将它们复制 (proliferate)到其它平台；保护权证和凭证；保护在经用户授权的凭证上的安全性操作； 提供整合到公共网络浏览器并由其访问的安全选项；以及收集、处理并发送平台确认数据。
[0040] 用户可能需要选择PCA 130来证实在TPM 115中生成的AIK。PCA 130可以保持 与身份相关的信息，并且需要采取契约性测量以确保不公开该与身份相关的信息。当在PCA 130处证实AIK之后，用户可以选择身份提供方120来掌管（host)所要求的身份。所要求 的身份可以通过由用户选择的统一资源标识符（URI)来表示。为了注册这种要求的身份， 可以需要用户向身份提供方120提供有效的AIK证书。
[0041] 可以给身份提供方120展示最少量的身份相关信息。用户可以决定在PCA 130处 掌管的哪些信息可以被展现给身份提供方120。可以需要采取契约性测量来确保双方之间 的协调，否贝U，无赖（rogue)PCA能够证实属于不同用户的凭证。由于PCA 130可能不会将 用户的真实身份展现给身份提供方120,因此身份提供方120可能不能将不同的请求关联 到单个身份。
[0042] 将所要求的身份解决（resolve)为真实身份的能力可以被限制在PCA 130。这可 以通过保持将EK证书映射（唯一的）到AIK的安全数据库来实现。在AIK证实期间使用 的EK证书允许TPM 115的标识，以及进而允许客户端/用户平台110(例如，假定一个用户 具有到平台110的物理接入，这可以由用户来确定）。
[0043] 服务提供方140可以使身份提供方能够登录站点。例如，服务提供方140可以在 扉页（front page)上具有OpenID登录标识。可以需要由用户/客户端使用的身份提供方 120处于服务提供方140的已知以及可接受的身份提供方的列表中。
[0044] 联合身份或单个签约（SS0)方案可以提供用户友好型方法，以使用户能够使用单 个凭证登录到一些安全站点。虽然实施联合身份方案的一些形式是可行的，但是本文提供 使用OpenID的可信概念的概要作为示例。其它方法，例如使用可信计算技术和在用户、设 备和网络间的绑定认证的对应用和基于互联网服务的单个签约（SS0)接入可以被应用。
[0045] OpenID可以允许使用不同的认证码法来对用户进行认证。为了在OpenID提供方 处要求身份，可以使用若干方法。一种方法可以是使用登录形式，其中用户提供密码。
[0046] 该登录可以由基于TPM的登录过程来替代。用户可以注册紧密绑定到他/她的特 定平台（例如TPM)的身份。如果用户决定使用该身份来登录，则OpenID提供方可以通过质 询来让他提供正确的凭证。在这种情况中，该凭证可以包括TPM生成的权证，例如凭证链。 这可以允许用户不需要OpenID提供方处的密码就能登录。用户计算机处的本地密码可以 用于保护身份不受本地攻击。
[0047] 登录可以与特定平台的完整性验证相结合。通过使用对系统配置值的TPM标记 陈述，OpenID提供方可以将被报告的系统状态与之前生成的参考值进行比较。该过程可以 允许信赖的客户端登录并要求身份。通过将认证数据绑定到特定平台以及预定义系统状 态（可以认为是可信赖的），相结合的认证和证明可以允许进行精细（fine grained)的接 入控制。这可以允许实现可以需要系统的增强的安全性（security)和安全（safety)的 OpenID的新使用情况，且因此不允许导致不信赖系统的修改。虽然这里描述的实施方式基 于TPM，但是其它可信系统的变形也是可能的，例如移动对移动（MTM)或可信环境。
[0048] 可信Kerberos (TKerberos)概念可以依靠两种服务器，例如认证服务器（AS)和/ 或权证许可服务器（TG