一種在具有用戶的無線設備處執(zhí)行的方法
【專利說明】一種在具有用戶的無線設備處執(zhí)行的方法
[0001] 本申請是申請日為2011年01月21日、申請?zhí)枮?01180006853. 0、名稱為"用于 可信聯(lián)合身份管理和數(shù)據(jù)接入授權的方法和設備"的中國發(fā)明專利申請的分案申請。
[0002] 相關申請的交叉引用
[0003] 本申請基于并要求享有2010年1月22日提交的US臨時專利申請No. 61/297,446 的優(yōu)先權,其全部內(nèi)容通過引用而被視為結合與此。
【背景技術】
[0004] 用于認證(authentication)的可信計算(TC)的基本使用可以是向受例如硬件可 信平臺模塊(TPM)保護的可信系統(tǒng)(TS)提供用于認證的憑證(credential)。作為主要的 安全性特征,這可以將憑證綁定到特定TS。這種認證在無線網(wǎng)絡中的應用可以是經(jīng)由可擴 展授權程序-傳輸層安全(EAP-TLS)的。對TS使用單個簽約(sign-on) (SS0)可能會展現(xiàn) 出潛在的安全性問題。
【發(fā)明內(nèi)容】
[0005] 公開了可以提供可信開放式ID(TOpenlD)(正如這里所公開的)與開放式 ID(OpenlD)的整合的系統(tǒng)、方法和手段。
[0006] 無線設備(例如用戶設備(UE))的用戶可以被認證(例如響應于來自網(wǎng)絡應用功 能的認證請求而被認證)。UE上的可信權證(ticket)服務器(TTS)可以獲?。╮etrieve) 平臺確認(validation)數(shù)據(jù)(例如從UE上的可信平臺模塊)。平臺確認數(shù)據(jù)可以包括對 無線設備的信任度的測量。TTS可以發(fā)送平臺確認數(shù)據(jù)到網(wǎng)絡應用功能。UE可以接收平臺 驗證,該平臺驗證指示網(wǎng)絡應用功能已經(jīng)驗證該平臺確認數(shù)據(jù)和用戶。從網(wǎng)絡應用功能接 收到的平臺驗證可以指示由平臺確認數(shù)據(jù)指示的系統(tǒng)狀態(tài)與之前生成的參考值相匹配。
[0007] UE可以接收包括平臺驗證的權證。該權證能夠被重復使用以執(zhí)行后續(xù)的授權,而 不需要對無線設備進行重新確認。權證可以包含時間戳、壽命期限等。
[0008] UE可以從網(wǎng)絡實體中接收權證參考。該權證參考能夠被用于從網(wǎng)絡應用功能獲得 權證。包括在權證中的平臺驗證能夠被重復使用以執(zhí)行后續(xù)的授權,而不需要對無線設備 進行重新確認。
【附圖說明】
[0009] 從以下以示例方式給出的描述并結合附圖可以獲得更詳細的理解,其中:
[0010] 圖1示出了示例認證和接入系統(tǒng);
[0011] 圖1A示出了與可信Kerberos有關的示例呼叫流;
[0012] 圖2示出了與可信OpenID有關的示例呼叫流;
[0013] 圖3A和3B示出了與可信權證服務器質(zhì)詢-響應有關的示例呼叫流;
[0014] 圖4示出了與可信OpenID有關的示例方法;
[0015] 圖5示出了與綁定UICC和WTRU有關的示例呼叫流圖;
[0016] 圖6示出了組件之間的示例關系;
[0017] 圖7示出了作為信任評估器的PVE的示例;
[0018] 圖8示出了示例TVT登錄;
[0019] 圖9示出了另一個示例TVT登錄;
[0020] 圖10示出了另一個示例TVT登錄;
[0021] 圖11提供與TVT登錄有關的示例可視指示;
[0022] 圖12提供基于可信計算概念的在平臺上對TVT的示例實施;
[0023] 圖13示出了 BONDI與TOpenID的示例使用;
[0024] 圖14示出了使用BONDI與TOpenID的示例呼叫流圖;
[0025] 圖15是示例OpenID協(xié)議的圖;
[0026] 圖16是示例OAuth協(xié)議的圖;
[0027] 圖17是示例的組合的OpenID/OAuth協(xié)議的圖;
[0028] 圖18是使用GoogleOpenID的示例OpenID協(xié)議的圖;
[0029] 圖19是使用Google API的示例OAuth協(xié)議的圖;
[0030] 圖20示出了示例長期演進(LTE)無線通信系統(tǒng)/接入網(wǎng);以及
[0031] 圖21示出了示例LTE無線通信系統(tǒng)。
【具體實施方式】
[0032] 圖1-圖21可以關于可以在其中實施公開的系統(tǒng)、方法以及手段的示例實施方式。 但是,雖然本發(fā)明可以結合示例實施方式進行描述,但是其不限于此,且應當被理解為在不 偏離本發(fā)明的情況下,可以使用其它的實施方式或可以對所描述的實施方式進行修改和添 加來執(zhí)行本發(fā)明的相同功能。此外,附圖可以示出呼叫流,其用于示例的目的??梢岳斫饪?以使用其它實施方式。此外,流的順序可以進行適當改變。另外,如果不需要,則可以省略 流,且還可以增加另外的流。
[0033] 下文提及的術語"無線發(fā)射/接收單元(WTRU)"包括但不限于用戶設備(UE)、移 動站、固定或移動用戶單元、尋呼機、蜂窩電話、個人數(shù)字助理(PDA)、計算機或能夠在無線 環(huán)境中操作的任意其它類型的設備。下文提及的術語"基站"可以包括但不限于節(jié)點B、站 點控制器、接入點(AP)或能夠在無線環(huán)境中操作的任意其它類型的接口設備。
[0034] 本文可以使用OpenID協(xié)議作為示例認證和接入系統(tǒng),且可適用于其它認證和接 入系統(tǒng)。出于解釋目的,在第三代合作伙伴(3GPP)環(huán)境中描述了多種實施方式,但是這些 實施方式可以在任意無線通信技術中被實施。一些示例類型的無線通信技術可以包括但不 限于全球微波互聯(lián)接入(WiMAX)、802. xx、全球移動通信系統(tǒng)(GSM)、碼分多址(CDMA2000)、 通用移動電信系統(tǒng)(UMTS)、長期演進(LTE)或任意未來的技術。
[0035] 圖1示出了示例認證和接入系統(tǒng)100,包括但不限于客戶端/用戶平臺110、身份 提供方120、隱私鑒證(certification)機構(PCA) 130以及服務提供方140??蛻舳?用 戶平臺110、身份提供方120以及服務提供方140可以通過有線和無線通信系統(tǒng)的任意組合 彼此通信??蛻舳?用戶平臺110可以與PCA 130通信,PCA 130可以與存儲介質(zhì)160通 信,該存儲介質(zhì)160可以存儲例如證明。
[0036]客戶端/用戶平臺110可以是WTRU、基站、計算平臺或需要認證的任意設備??蛻?端/用戶平臺110可以包括但不限于可信平臺模塊(TPM) 115,該TPM 115提供用于客戶端 /用戶平臺110的數(shù)據(jù)的遠程證明(attestation)和密封(seal)及綁定的能力。TPM 115 可以是微控制器,其存儲密鑰、密碼、數(shù)字證書并能夠生成加密密鑰。其可以被固定在主板 上,或集成到系統(tǒng)芯片組,其可以用于可能需要這些功能的任意計算設備中。TPM 115可以 保護其信息不受例如外部軟件攻擊、物理損害、竊聽等。如果在啟動序列期間針對組件所獲 得的測量值沒有達到期望的參考測量(該參考測量使應用和能力(例如安全電子郵件、安 全網(wǎng)絡訪問以及數(shù)據(jù)的本地保護)更安全),則拒絕針對TPM 115或客戶端/用戶平臺110 中的數(shù)據(jù)和秘密的訪問。雖然這里論述了可信平臺模塊,但是,可以使用其它信任中心,例 如移動可信模塊。
[0037] TPM 115 可以使用簽注(endorsement)密鑰(EK),例如 2048 位 Rivest-Shamir-Adelman(RSA)公鑰(public key)和私鑰(private key)對,其在制造時在 芯片上隨機生成且不可更改。私鑰可以被限制在芯片,而公鑰用于對發(fā)送到芯片的敏感數(shù) 據(jù)的證明和加密。EK的公共部分一般可以經(jīng)由EK證書為PCA 130所知,以用于證明。當 TPM 115需要向驗證方(例如身份提供方)對自身進行認證時,其可以生成第二RSA密鑰 對,稱為證明身份密鑰(AIK),將AIK公鑰發(fā)送到PCA 130,并依據(jù)對應的EK認證該公鑰。如 果PCA 130發(fā)現(xiàn)該EK處于其列表中,則PCA 130發(fā)布關于TPM 115AIK的證書。TPM 115然 后可以將該證書提供給身份提供方120并對其自身進行認證。
[0038] AIK(至少嵌入到AIK中的身份)可以表示這里所描述的權證的至少一部分。權證 中的AIK的使用可以由TPM 115來限制。間接方式,稱為證實密鑰操作,可以被使用,其中 標記(signing)密鑰由TPM 115生成并通過用AIK來標記該密鑰而被證實(certify)。該 密鑰可以稱為證實的標記密鑰(CSK)。CSK和AIK與證明AIK有效性(validity)的PCA - 起可以構建這里所述的權證的一部分。
[0039] 客戶端/用戶平臺110可以包括可信權證服務器TTS150,其生成用于服務接入 的憑證或權證。當提到與這里的可信OpenID有關的權證服務器時,該參考可以用于可信 權證服務器。TTS150可以認證用戶。TTS150可以例如使用平臺證明的可信計算方法來 向身份提供方120確認客戶端/用戶平臺110以及自身。由于安全性信息和操作可能集 中在TTS150中,因此其需要是可信的以合適地處理AIK證書和CSK而并不將它們復制 (proliferate)到其它平臺;保護權證和憑證;保護在經(jīng)用戶授權的憑證上的安全性操作; 提供整合到公共網(wǎng)絡瀏覽器并由其訪問的安全選項;以及收集、處理并發(fā)送平臺確認數(shù)據(jù)。
[0040] 用戶可能需要選擇PCA 130來證實在TPM 115中生成的AIK。PCA 130可以保持 與身份相關的信息,并且需要采取契約性測量以確保不公開該與身份相關的信息。當在PCA 130處證實AIK之后,用戶可以選擇身份提供方120來掌管(host)所要求的身份。所要求 的身份可以通過由用戶選擇的統(tǒng)一資源標識符(URI)來表示。為了注冊這種要求的身份, 可以需要用戶向身份提供方120提供有效的AIK證書。
[0041] 可以給身份提供方120展示最少量的身份相關信息。用戶可以決定在PCA 130處 掌管的哪些信息可以被展現(xiàn)給身份提供方120??梢孕枰扇∑跫s性測量來確保雙方之間 的協(xié)調(diào),否貝U,無賴(rogue)PCA能夠證實屬于不同用戶的憑證。由于PCA 130可能不會將 用戶的真實身份展現(xiàn)給身份提供方120,因此身份提供方120可能不能將不同的請求關聯(lián) 到單個身份。
[0042] 將所要求的身份解決(resolve)為真實身份的能力可以被限制在PCA 130。這可 以通過保持將EK證書映射(唯一的)到AIK的安全數(shù)據(jù)庫來實現(xiàn)。在AIK證實期間使用 的EK證書允許TPM 115的標識,以及進而允許客戶端/用戶平臺110(例如,假定一個用戶 具有到平臺110的物理接入,這可以由用戶來確定)。
[0043] 服務提供方140可以使身份提供方能夠登錄站點。例如,服務提供方140可以在 扉頁(front page)上具有OpenID登錄標識??梢孕枰捎脩?客戶端使用的身份提供方 120處于服務提供方140的已知以及可接受的身份提供方的列表中。
[0044] 聯(lián)合身份或單個簽約(SS0)方案可以提供用戶友好型方法,以使用戶能夠使用單 個憑證登錄到一些安全站點。雖然實施聯(lián)合身份方案的一些形式是可行的,但是本文提供 使用OpenID的可信概念的概要作為示例。其它方法,例如使用可信計算技術和在用戶、設 備和網(wǎng)絡間的綁定認證的對應用和基于互聯(lián)網(wǎng)服務的單個簽約(SS0)接入可以被應用。
[0045] OpenID可以允許使用不同的認證碼法來對用戶進行認證。為了在OpenID提供方 處要求身份,可以使用若干方法。一種方法可以是使用登錄形式,其中用戶提供密碼。
[0046] 該登錄可以由基于TPM的登錄過程來替代。用戶可以注冊緊密綁定到他/她的特 定平臺(例如TPM)的身份。如果用戶決定使用該身份來登錄,則OpenID提供方可以通過質(zhì) 詢來讓他提供正確的憑證。在這種情況中,該憑證可以包括TPM生成的權證,例如憑證鏈。 這可以允許用戶不需要OpenID提供方處的密碼就能登錄。用戶計算機處的本地密碼可以 用于保護身份不受本地攻擊。
[0047] 登錄可以與特定平臺的完整性驗證相結合。通過使用對系統(tǒng)配置值的TPM標記 陳述,OpenID提供方可以將被報告的系統(tǒng)狀態(tài)與之前生成的參考值進行比較。該過程可以 允許信賴的客戶端登錄并要求身份。通過將認證數(shù)據(jù)綁定到特定平臺以及預定義系統(tǒng)狀 態(tài)(可以認為是可信賴的),相結合的認證和證明可以允許進行精細(fine grained)的接 入控制。這可以允許實現(xiàn)可以需要系統(tǒng)的增強的安全性(security)和安全(safety)的 OpenID的新使用情況,且因此不允許導致不信賴系統(tǒng)的修改。雖然這里描述的實施方式基 于TPM,但是其它可信系統(tǒng)的變形也是可能的,例如移動對移動(MTM)或可信環(huán)境。
[0048] 可信Kerberos (TKerberos)概念可以依靠兩種服務器,例如認證服務器(AS)和/ 或權證許可服務器(TG