獲取憑證的方法和驗證憑證的方法

2023-07-12 01:30:01

專利名稱：獲取憑證的方法和驗證憑證的方法
技術領域：
本發明涉及用於獲取使能訪問應用的憑證的方法、用於頒發憑證以使能訪問應用的方法、用於基於憑證的使用而請求訪問應用的方法、以及用於基於憑證的使用準許對應用的訪問的方法。此外，本發明涉及相應的計算機裝置、電腦程式單元和電腦程式產品。
背景技術：
數字憑證和證書可容易地在不同用戶之間共享和複製。例如，如果一個用戶擁有一允許他訪問某個服務或應用的憑證，他可容易地將該憑證與他的朋友共享，從而使他朋友也能訪問該服務。儘管對於非匿名憑證，這種共享可在某種程度上通過某些憑證過於頻繁地被使用的事實而被檢測到，對於匿名憑證這樣的檢測是不可能的。對於該問題的一個可能的解決方案是使用憑證所綁定的一件防篡改硬體，從而該憑證只能與該件硬體相聯繫地使用。然而，這種方法的缺點是它不給用戶留有使用憑證時的任何靈活性，即如果該件硬體包含在一個人數字助理(PDA)或膝上型計算機中，則用戶無法在其所有計算設備中使用該憑證，而只能在單個計算設備中使用該憑證。如上所述，已知的解決方案或者不允許用戶將憑證從一個計算設備轉移到另一個計算設備，或者在另一方面允許用戶也與其他用戶共享憑證。
存在著其他旨在阻止用戶共享憑證的方案，其方法或者是使得通過共享憑證，用戶也共享了某種其他秘密，例如使能夠訪問其銀行帳戶的秘密，或者是使得如果用戶共享一個憑證，則他就共享了其所有憑證。這兩個方法都具有有限的適用性，即第一個方法假設存在有價值的秘密，而第二個方法假設存在其他有價值的憑證。這兩個假設常常是未能滿足的。
因此，希望提供一種憑證機制，其允許使用多個計算設備來請求訪問一應用，並阻止憑證的未經授權的流傳。

發明內容
根據本發明的第一個方面，提供了一種用於基於憑證的使用準許訪問應用的方法，其包括以下步驟向頒發者計算機註冊用戶的一個或多個計算設備。響應於該註冊，為每個計算設備獲得一與設備相關的憑證，該憑證被設計為僅僅與該相關計算設備相聯繫地使用，並相關於該用戶的唯一標識符。獲得與用戶的該唯一標識符相關的應用憑證。將包含應用憑證和與設備相關的憑證的應用請求提交給驗證器計算機。在該驗證器計算機處驗證所接收到的該應用請求的該與設備相關的憑證和該應用憑證是否涉及相同的唯一標識符，並在它們是這樣的情況下準許對該應用的訪問。
根據本發明的另一個方面，提供了一種用於獲得使能對一應用的訪問的憑證的方法，其包括以下步驟向頒發者計算機提交用於註冊該請求計算設備的請求。響應於該註冊請求獲得一與設備相關的憑證，該憑證被設計為僅僅與該請求計算設備相聯繫地使用並相關於該用戶的唯一標識符。以及獲得與該用戶的該唯一標識符相關的一應用憑證。
由於該方法反映了計算機設備自動地執行以準備提交訪問一應用的請求的步驟，所以提供了包括用於執行該方法的步驟的控制部件的計算設備。
根據本發的另一個方面，提供了一種用於頒發用於使能訪問一應用的憑證的方法，其包括以下步驟響應於接收到來自用戶的對於註冊一個或多個計算設備的請求，為每個計算設備頒發一與設備相關的憑證，該憑證被設計為僅僅與相關計算設備相聯繫地使用並相關於或被設計為相關於該用戶的唯一標識符。
由於該方法反映了一頒發者計算機在接收到頒發憑證的請求時自動執行的步驟，所以提供了一種包括用於執行該方法的步驟的控制部件的頒發者計算機。
根據本發明的另一方面，提供了一種用於基於憑證的使用準許對一應用的訪問的方法，其包括以下步驟響應於包含一應用憑證和一與設備相關的憑證的應用請求，其中該與設備相關的憑證被設計為僅僅與該請求計算設備相聯繫地使用並相關於用戶的唯一標識符，並且該應用憑證相關於用戶的唯一標識符，驗證該與設備相關的憑證與該應用憑證是否涉及相同的唯一標識符，並且在它們是這樣的情況下準許對該應用的訪問。
由於該方法反映了一驗證者計算機在接收到請求時自動執行以準許或拒絕對一應用的訪問的步驟，因此提供了一種包括用於執行該方法的步驟的控制部件的驗證者計算機。該驗證者計算機可優選地是一應用伺服器的一部分。
根據本發明的另一個實施例，提供了一種用於基於憑證的使用請求訪問一應用的方法，其包括以下步驟向一驗證者計算機提交包含一應用憑證和一與設備相關的憑證的應用請求，該與設備相關的憑證被設計為僅僅與該請求計算設備相聯繫地使用並相關於用戶的唯一標識符，並且該應用憑證相關於用戶的唯一標識符，由於該方法反映了一計算設備自動執行以提交訪問一應用的請求的步驟，因此提供了一種包括用於執行該方法的步驟的控制部件的計算機設備。
該應用可以是通常由一應用伺服器計算機或網絡提供的任何類型的服務、應用、信息或類似物。
所述應用憑證可與用戶的多個計算設備相聯繫地使用。優選地，為了使用應用憑證，未將應用憑證分配給特定的計算設備。然而，與設備相關的憑證被分配給特定的計算設備，並僅可與該計算設備相聯繫地使用。在一優選實施例中，這可以通過將與設備相關的憑證與被分配的計算設備的一安全性模塊相關聯來實現，該安全性模塊優選地是一防篡改安全性模塊。在這種實施例中，該與設備相關的憑證被綁定到該安全性模塊。就是說該與設備相關的憑證不能沒有該安全性模塊而被使用。為了完成這一點，優選地，該安全性模塊已生成一私鑰/公鑰對，並且其私鑰被保密在該安全性模塊中。然後將該與設備相關的憑證實現為在該公鑰上頒發的證書。當用戶想使用該與設備相關的憑證時，用戶必須出示該證書，並證明自己是相應於該公鑰的實體。因為其私鑰被保存在該安全性模塊的內部，該證明只能與該安全性模塊相關聯地完成。
所述應用憑證被認為是用於使能對應用的訪問的憑證，而所述與設備相關的憑證也被認為是用於使能對該應用的訪問的一附加憑證，對該應用的訪問只有當應用憑證和與設備相關的憑證兩者都通過了所述驗證過程時才被準許。
優選地，可以許多不同的方式將所述用戶標識符與相應的憑證相關聯，例如將其包括在或附加到憑證的其餘部分，或以隱藏和/或編碼的方式將其嵌入在憑證中，或以某種方式與憑證相連結等。憑證可以例如僅包括一從用戶ID得出或與之相關的值。
本發明允許使用多個計算設備以請求對應用的訪問，而同時阻止憑證的不希望的或未被授權的流傳，因為應用憑證的流傳並不會允許第三方從第三方計算設備獲得訪問即使這樣的第三方會在請求訪問時出示所流傳的應用憑證以及與第三方的設備相關的憑證，在這兩個憑證中包含的用戶標識符將是不同的，因為該與設備相關的憑證是為該第三方的用戶標識符註冊的並包括該第三方的用戶標識符，而該第三方的用戶標識符與所述流傳的應用憑證的用戶標識符是不同的。
優選地，所述與設備相關的憑證是通過從頒發者計算機接收該與設備相關的憑證而獲得的，該與設備相關的憑證是由該頒發者計算機頒發的，並與用戶的唯一標識符相關。在這種實施例中，計算設備從頒發者計算機獲得已包括到用戶標識符的連結的與設備相關的憑證。
或者，所述與設備相關的憑證可在該計算設備處通過從頒發者計算機接收被確定為相關於用戶的唯一標識符的與設備相關的憑證，並通過在該計算設備處將該用戶的唯一標識符併入所接收的設備憑證來獲得。在這種實施例中，優選的是使該計算設備向該頒發者計算機提交對於將合法的唯一標識符併入所接收的與設備相關的憑證的證據。
所述應用憑證可由計算設備通過向一應用頒發者計算機提交對於應用憑證的請求而獲得。
相似於與設備相關的憑證，響應於應用憑證請求，計算設備可通過從應用頒發者計算機接收應用憑證來獲得該應用憑證，該應用憑證由應用頒發者計算機頒發，並相關於用戶的唯一標識符。或者，應用憑證可由計算設備通過從應用頒發者計算機接收被確定為與該唯一標識符相關的應用憑證，並通過將該用戶的唯一標識符併入所接收應用憑證來獲得。再次地，優選的是使該計算設備向該應用頒發者計算機提交對於將合法的唯一標識符併入所接收的應用憑證的證據。
由於應用憑證不是被捆綁為用於特定的計算設備，用戶也可將從應用憑證頒發者接收的應用憑證複製到所有其計算設備上。
優選地，所述註冊請求包含用戶的唯一標識符。優選地，所述應用憑證請求也包含用戶的唯一標識符。所述應用憑證請求也可包含應用憑證頒發者可從中得到用戶標識符的與設備相關的憑證。
從應用憑證頒發者的角度看，優選的是響應於從用戶接收到對應用憑證的請求而頒發與該請求用戶的唯一標識符相關的或被設計為與之相關的應用憑證。在某些實施例中，設備憑證頒發者計算機和應用憑證頒發者計算機可以是同一個計算機。
根據另一個優選實施例，響應於從用戶接收到對於註冊一個或多個計算設備的請求並在根據這種請求頒發與設備相關的憑證之前，頒發者計算機驗證頒發給該用戶的與設備相關的憑證的數量是否超過了一給定閾值，並且如果是這樣則拒絕頒發另外的與設備相關的憑證。這樣，可限制與設備相關的憑證的數量，這有助於使不希望的應用憑證的流傳更加無用。
優選地，在驗證者計算機處驗證與設備相關的憑證和應用憑證是否涉及相同的唯一標識符是通過計算設備與該驗證者計算機之間的一零知識證明協議進行的。
將僅僅與相關的計算設備相聯繫地使用的所述與設備相關的憑證可例如通過使用嵌入在該設備內的一安全性模塊來獲得。
優選地，驗證者計算機接受了憑證的情況下，將與該憑證相關的應用發布給該用戶。
根據本發明的另一個實施例，將所接收的一個或多個應用憑證複製給屬於該用戶的一個或多個其他計算設備。
在本發明的進一步的實施例中，在所述計算設備和所述應用頒發者計算機之間處理由可信計算組織(Trusted Computing Group)所規定的一直接匿名證明(direct anonymous attestation)協議，以使該應用頒發者計算機確信該計算設備具有該設備憑證。有利地，使用該協議，計算設備可無需暴露其標識符就使應用頒發者計算機確信它具有該設備憑證。
根據本發明用於為計算設備獲得應用憑證的所述方法還可包括以下步驟為了在具有也與該用戶的唯一標識符相關的一設備憑證的另一計算設備上使用所述應用憑證，將所述應用憑證複製到該另一計算設備上。
此外，提供了電腦程式單元，其包括用於當被裝載到一控制部件的數字處理器單元中時執行根據上述任一方法的步驟的電腦程式代碼。並且提供了存儲在計算機可用介質中的電腦程式產品，所述電腦程式產品包括用於致使一控制部件的數字處理器單元執行上述任一方法的步驟的計算機可讀程序代碼。


通過參考對根據本發明的目前優選的但仍為示例性的實施例的詳細描述並對照附圖，將更充分地理解本發明及其實施例。
該附圖示出了對在頒發憑證以及驗證這些憑證或證書中所涉及的部件的示意圖。
具體實施例方式
附圖作為示例示出了在頒發憑證中涉及的部件以及在驗證這些憑證中涉及的部件。屬於某一用戶的第一計算設備1.1配備有受信任平臺模塊TPC，也稱為安全性模塊。如果該計算設備1.1應被用於某一應用，例如稱為APP1的應用，則首先通過一註冊請求請求向註冊頒發者計算機2註冊該計算設備1.1。因此，該計算設備1.1的用戶將其身份IDUSER通知給註冊頒發者計算機2。於是，該註冊頒發者計算機2使用該用戶身份IDUSER以及它從所述TPM得到的信息來生成一與設備相關的憑證CR1。該與設備相關的憑證CR1被傳送給計算設備1.1並與計算設備1.1綁定在一起，即該與設備相關的憑證CR1不能被用於任何其他計算設備上，並因此對於任何其他計算設備是無用的。
優選地，為了使與設備相關的憑證被設計為僅可與它被分配給的計算設備相聯繫地執行，該計算設備包括一安全性模塊，並且應用一私鑰/公共加密法。在該安全性模塊內生成一公鑰/私鑰，並將公鑰發送給頒發者計算機，即設備憑證頒發者計算機。頒發者計算機或者將所述公鑰存儲在一已認證密鑰列表中，或者實際在該公鑰上頒發一證書，即它例如連同某些其他信息或屬性一起地籤名該公鑰。當用戶此後希望使用其憑證從具有安全性模塊的所述計算設備訪問某個應用包括服務或資源時，該計算設備如下面介紹地將該公鑰以及可能地該證書作為與設備相關的憑證的至少一部分發送給驗證器計算機。然後驗證器計算機或者檢查該公鑰是否在由所述頒發者計算機提供給該驗證器計算機的已授權密鑰的列表中，或者驗證在該公鑰上的證書的合法性。最後，通過使用私鑰，該計算設備標識自己為該公鑰的擁有者，並隨後將獲得對所請求的應用的訪問，如果滿足了如下面更詳細說明的進一步的要求的話。對於以上介紹的通信，使用了一種在「Efficient signature generation for smart cards」，C.P.Schnorr，Journal ofCryptology，4(3)239-252，1991中所描述的所謂的零知識協議，所述文獻被併入本文作為參考。秘密密鑰不會從安全性模塊洩露，並且不能不牽涉該安全性模塊而使用該與設備相關的憑證，即該與設備相關的憑證的使用是僅僅限於與該安全性模塊並因此與該計算設備一起使用。
如果用戶希望註冊也被分配該用戶的其他計算設備，例如計算設備1.N，則可對於該計算設備1.N重複上述過程。註冊頒發者計算機2再次使用用戶的身份IDuser和它從該計算設備1.N的TPM得到的信息來生成一與設備相關的憑證CRN，該憑證CRN被綁定到該計算設備1.N。此後，將該與設備相關的憑證CRN傳送到該計算設備1.N。
現在，為了獲得用於應用APP1的憑證，可將與設備相關的憑證CR1傳送給所謂的應用或服務頒發者計算機3.1。該應用頒發者計算機3.1可以是例如一服務銷售者。它生成一具有與該與設備相關的憑證CR1相同的用戶身份IDuser的應用憑證CA1，並將該應用憑證CA1傳送回給計算設備1.1。用戶現在擁有了用於應用APP1的應用憑證CA1。為了發布應用APP1以便使用，計算設備1.1將其與設備相關的憑證CR1和應用憑證CA1傳送給註冊驗證器計算機4.1，該註冊驗證器計算機4.1可以是例如一服務提供者。如果該驗證器計算機4.1識別出該與設備相關的憑證CR1和該應用憑證CA1包含相同的用戶身份IDuser，則它發布該應用APP1以便使用。否則，拒絕對應用APP1的使用。
如果用戶希望為其他應用例如應用APPx獲得應用憑證，則重複上述過程。因此，將與設備相關的憑證CR1傳送給應用發布者計算機3.x。應用發布者計算機3.x生成一具有與該與設備相關的憑證CR1相同的用戶身份IDuser的應用憑證CAx，並將其傳送回給計算設備1.1。用戶現在擁有了用於應用APPx的應用憑證CAx。為了發布應用APPx以便使用，計算設備1.1將其與設備相關的憑證CR1和應用憑證CAx傳送給註冊驗證器計算機4.x。如果該驗證器計算機4.x識別出該與設備相關的憑證CR1和該應用憑證CAx具有相同的用戶身份IDuser，則它發布該應用APPx以便使用。否則，拒絕對應用APPx的使用。
如果用戶希望在其他計算設備例如在計算設備1.N上使用他已擁有其應用憑證例如用於應用APP1的應用憑證CA1的應用，他可簡單地將應用憑證CA1複製到計算設備1.N上。為了使用應用APP1，計算設備1.N將其與設備相關的憑證CRN和該應用憑證CA1傳送給註冊驗證器計算機4.1。如果該驗證器計算機4.x識別出該與設備相關的憑證CRN和該應用憑證CA1具有相同的用戶身份IDuser，則它發布該應用APP1以便使用。否則，拒絕對應用APP1的使用。
在實踐中，應用頒發者計算機3.1-3.3是單獨的計算機是必要的，但它們也可結合在單個計算機內。同樣的道理類似地適用於驗證器計算機4.1-4.x。
本發明的思想是用戶的每個計算設備1.1-1.N獲得一頒發的與設備相關的憑證CR1-CRN，該憑證與相應的計算設備捆綁在一起，從而該設備憑證包含該用戶的唯一標識符IDuser。然後，也頒發應用憑證CA1-CAx，從而它們包含該用戶的標識符IDuser。現在，每當該用戶希望使用應用憑證CA1-CAx時，該用戶必須不僅呈現應用憑證CA1-CAx，也被要求提供與設備相關的憑證CR1-CRN，其中要求這兩個憑證都包含相同的標識符IDuser。
如果用戶確保其針對同一標識符IDuser註冊了其所有計算機設備1.1-1.N，則該用戶可通過所有其計算設備1.1-1.N使用其應用憑證CA1-CAx。另一方面，如果應用憑證頒發者3.1-3.x和/或設備憑證頒發者2確保其頒發的憑證包含唯一的標識符IDuser，則該用戶不能與任何人共享憑證CA1-CAx。出現後一情況是因為與設備相關的憑證CR1-CRN是捆綁到計算設備1.1-1.N的，並因此是不可轉移的。
該方法可被應用於匿名憑證和非匿名憑證這兩者。如果使用匿名憑證，則計算設備不是必須將憑證傳送給驗證方，而是可使用諸如零知識證明的方法來使驗證方確信其擁有憑證。
在根據本發明的方法中，提供用戶可向其註冊他的計算設備1.1的管理方或註冊頒發者計算機2。從該管理方2，用戶得到與設備相關的憑證CR1，該憑證CR1使用某件防篡改硬體例如可信平臺模塊(TPM)被捆綁到他的計算設備1.1。該與設備相關的憑證CR1包含用戶的唯一標識符IDuser。具體地，所有頒發給該用戶的不同計算機1.1-1.N的與設備相關的憑證CR1-CRN都應當包含該用戶的相同的唯一標識符IDuser。因此，該管理方2應當識別該用戶並然後將相應的標識符IDuser插入到與設備相關的憑證CR1-CRN。或者，該用戶自己可將標識符IDuser插入到與設備相關的憑證CR1-CRN，並然後向管理方2證明他插入了合法的標識符IDuser，即由某個認證管理機構認證的標識符。
如果該用戶要獲得某種應用憑證(匿名的或非匿名的)，則應用憑證提供者或應用頒發者3.1/3.x確保應用憑證CR1/CRN包含唯一標識符IDuser。再次地，或者該用戶向應用頒發者3.1/3.x提供唯一標識符IDuser，該應用頒發者然後將其包括在應用憑證CA1/CAx中，或者用戶自己包括標識符IDuser，並隨後證明他已將一合法唯一標識符IDuser包括在應用憑證CA1/CAx中。後一種情況要求用戶擁有某種在其唯一標識符IDuser上的其他憑證/證書。儘管這在原則上可以是任何憑證，也可以為此目的使用所述與設備相關的憑證，只要已知頒發該與設備相關的憑證CR1/CRN的管理方2已將一合法的用戶標識符IDuser包括到該與設備相關的憑證CR1-CRN中。應用憑證CA1/CAx的頒發可以若干種方式包括盲籤名和匿名憑證系統完成。可理解存在關於如何將標識符IDuser編碼到應用憑證CA1-CAx和設備憑證CR1-CRN中的某種一致意見。
現在當用戶使用或向驗證者4.1/4.x出示應用憑證CA1/CAx時，只需要要求該用戶也顯示擁有包含相同的唯一標識符IDuser的與設備相關的憑證CR1/CRN。這可以匿名的方式完成，從而驗證者4.1/4.x不能獲知用戶的標識符IDuser，而僅確信兩個憑證CA1/CAx和CR1/CRN包含相同的標識符IDuser，與設備相關的憑證CR1/CRN確實被捆綁到計算設備，以及憑證CA1/CAx和CR1/CRN是由正確的一方頒發的。顯示憑證當然也可以非匿名的方式完成，從而驗證者4.1/4.x獲知所有的信息。
如已經提到的，用戶可與其所有計算設備1.1-1.N一起使用其所有應用憑證CA1-CAx，只要他已經為其所有計算設備1.1-1.N獲得了包含其唯一標識符IDuser的與設備相關的憑證CR1-CRN。此外，應用憑證CA1-CAx不能由其他用戶使用，只要已頒發與設備相關的憑證的管理方確保這些被頒發給不同用戶的與設備相關的憑證包含不同的標識符IDuser1、IDuser2等。
應當注意，可使用由可信計算組織在其可信平臺模塊規範v1.2中規定的直接匿名證明協議(DAA)以便實現與設備相關的憑證CR1-CRN。就是說，可擴展該證明以包括用戶的標識符IDuser1作為屬性，從而該證明成為捆綁到TPM的與設備相關的憑證。可在E.Brickell，J.Camenisch，L.Chen，「Direct Anonymous Attestation」，IBM Research Report RZ 3450，May 2004中找到關於直接匿名證明協議的詳細技術描述。
具體地，提供了一種使用由可信計算組織在TPM V1.2中規定的可作信平臺模塊(TPM)的方法。關於可信計算組織和可信平臺模塊的進一步信息可在可從http//www.trustedcomputinggroup.org得到的The TrustedComputing Group，TPM Specification Version 1.2中找到。
任何所公開的實施例可與所示出和/或描述的一個或幾個其他實施例相結合。這一點對於實施例的一個或多個特徵也同樣適用。
本發明可在硬體、軟體、或硬體和軟體的組合中實現。任何種類的計算機系統或適應於執行這裡描述的方法的其他裝置都是適合的。硬體和軟體的一種典型組合可以是具有電腦程式的通用計算機系統，當該電腦程式被裝載和執行時，控制該計算機系統從而它執行這裡描述的方法。本發明也可嵌入在電腦程式產品中，該電腦程式產品包含使能實現這裡描述的方法的所有特徵，並且當其被裝載到計算機系統中時，能夠執行這些方法。
在本文中的電腦程式單元或電腦程式意味著以任何語言、代碼或符號編寫的一組指令的任何表達，該組指令旨在使得具有信息處理能力的系統或者直接地或者在a)轉換到另一種語言、代碼或符號；b)以不同材料形式再現這兩者中的任何一個或兩者之後執行特定的功能標號CR1 用於計算設備1的設備憑證CRN 用於計算設備N的設備憑證1.1 計算設備11.N 計算設備NCA1 用於應用1的應用憑證CAx 用於應用x的應用憑證2頒發者計算機3.1 應用頒發者計算機13.x 應用頒發者計算機x4.1 用於應用1的驗證器計算機4.x 用於應用x的驗證器計算機
權利要求
1.一種用於基於憑證的使用準許對應用的訪問的方法，包括以下步驟向頒發者計算機(2)註冊用戶的一個或多個計算設備(1.1-1.N)；響應於該註冊，為每個計算設備(1.1-1.N)獲得一與設備相關的憑證(CR1-CRN)，該憑證被設計為僅僅與該相關計算設備(1.1-1.N)相聯繫地使用，並相關於該用戶的唯一標識符(IDuser)；獲得與用戶的該唯一標識符(IDuser)相關的應用憑證(CA1-CAx)；將包含應用憑證(CA1-CAx)和與設備相關的憑證(CR1-CRN)的應用請求提交給驗證器計算機(4.1-4.x)；以及在該驗證器計算機(4.1-4.x)處驗證所接收到的該應用請求的該與設備相關的憑證(CR1-CRN)和該應用憑證(CA1-CAx)是否涉及相同的唯一標識符(IDuser)，並在它們是這樣的情況下準許對該應用的訪問。
2.一種用於獲得使能對應用的訪問的憑證的方法，包括以下步驟向頒發者計算機(2)提交用於註冊請求計算設備(1.1-1.N)的請求；響應於該註冊請求獲得與設備相關的憑證(CR1-CRN)，該憑證被設計為僅僅與該請求計算設備(1.1-1.N)相聯繫地使用並相關於該用戶的唯一標識符(IDuser)；以及獲得與該用戶的該唯一標識符(IDuser)相關的應用憑證(CA1-CAx)。
3.根據權利要求1或權利要求2的方法，包括通過從所述頒發者計算機(2)接收所述與設備相關的憑證(CR1-CRN)來獲得該與設備相關的憑證(CR1-CRN)，該與設備相關的憑證(CR1-CRN)由該頒發者計算機(2)頒發，並相關於所述用戶的唯一標識符(IDuser)。
4.根據權利要求1或權利要求2的方法，包括通過從所述頒發者計算機(2)接收被確定為相關於所述用戶的唯一標識符(IDuser)的一與設備相關的憑證，並將所述用戶的唯一標識符(IDuser)併入該接收的設備憑證，來獲得所述與設備相關的憑證(CR1-CRN)。
5.根據權利要求4的方法，包括向所述頒發者計算機(2)提交對於將合法唯一標識符(IDuser)併入所述接收到的與設備相關的憑證的證據。
6.根據權利要求1或權利要求2的方法，包括向應用頒發者計算機(3.1-3.x)提交對於應用憑證(CA1-CAx)的請求。
7.根據權利要求6的方法，包括響應於所述應用憑證請求，通過從所述應用頒發者計算機(3.1-3.x)接收所述應用憑證(CA1-CAx)來獲得該應用憑證(CA1-CAx)，該應用憑證(CA1-CAx)由該應用頒發者計算機(3.1-3.x)頒發，並相關於所述用戶的唯一標識符(IDuser)。
8.根據權利要求6的方法，包括通過從所述應用頒發者計算機(3.1-3.x)接收被確定為相關於所述唯一標識符(IDuser)的一應用憑證，並將所述用戶的唯一標識符(IDuser)併入該接收的應用憑證，來獲得所述應用憑證(CA1-CAx)。
9.根據權利要求8的方法，包括向所述應用頒發者計算機(3.1-3.x)提交對於將合法唯一標識符(IDuser)併入所述接收到的應用憑證的證據。
10.根據權利要求1或權利要求2的方法，其中所述註冊請求包括所述用戶的唯一標識符(IDuser)。
11.根據權利要求6的方法，其中所述應用憑證請求包括所述用戶的唯一標識符(IDuser)。
12.根據權利要求6的方法，其中所述應用憑證請求包括所述與設備相關的憑證(CR1-CRN)。
13.一種用於頒發用於使能對應用的訪問的憑證的方法，包括以下步驟響應於接收到來自用戶的對於註冊一個或多個計算設備(1.1-1.N)的請求，為每個請求計算設備(1.1-1.N)頒發一與設備相關的憑證(CR1-CRN)，該憑證被設計為僅僅與相應的請求計算設備相聯繫地使用並相關於或被設計為相關於該用戶的唯一標識符(IDuser)。
14.根據權利要求13的方法，包括響應於從用戶接收到對於應用憑證(CA1-CAx)的請求，頒發相關於或被設計為相關於該請求用戶的唯一標識符(IDuser)的應用憑證(CA1-CAx)。
15.根據權利要求13或權利要求14的方法，包括響應於從用戶接收到對於註冊一個或多個計算設備(1.1-1.N)的請求並在基於這種請求頒發與設備相關的憑證(CR1-CRN)之前，驗證向該用戶頒發的與設備相關的憑證(CR1-CRN)的數量是否超過一給定閾值，並且如果是的話則拒絕頒發進一步的與設備相關的憑證。
16.一種用於基於憑證的使用準許對應用的訪問的方法，包括以下步驟響應於包含應用憑證(CA1-CAx)和與設備相關的憑證(CR1-CRN)的應用請求，其中該與設備相關的憑證(CR1-CRN)被設計為僅僅與該請求計算設備(1.1-1.N)相聯繫地使用並相關於用戶的唯一標識符(IDuser)，並且該應用憑證(CA1-CAx)相關於用戶的唯一標識符(IDuser)，驗證該與設備相關的憑證(CR1-CRN)與該應用憑證(CA1-CAx)是否涉及相同的唯一標識符(IDuser)；以及在它們是這樣的情況下，準許對該應用的訪問。
17.根據權利要求1或權利要求16的方法，其中所述驗證所述與設備相關的憑證(CR1-CRN)與所述應用憑證(CA1-CAx)是否涉及相同的唯一標識符的步驟是通過在所述計算設備(1.1-1.N)和所述驗證器計算機(4.1-4.x)之間的零知識證明協議執行的。
18.一種用於基於憑證的使用請求訪問應用的方法，包括向驗證者計算機(4.1-4.N)提交包含應用憑證(CA1-CAx)和與設備相關的憑證(CR1-CRN)的應用請求的步驟，其中該與設備相關的憑證(CR1-CRN)被設計為僅僅與該請求計算設備(1.1-1.N)相聯繫地使用並相關於用戶的唯一標識符(IDuser)，並且該應用憑證(CA1-CAx)相關於用戶的唯一標識符(IDuser)。
19.一種計算設備，包括用於執行根據在權利要求2-12或18中的任何一個中要求的方法的步驟的控制單元。
20.一種頒發者計算機，包括用於執行根據在權利要求13-15中的任何一個中要求的方法的步驟的控制單元。
21.一種驗證器計算機，包括用於執行根據在權利要求16或17的任何一個中要求的方法的步驟的控制單元。
22.一種電腦程式單元，包括用於當被裝載到控制單元的數字處理器單元中時執行根據在權利要求2或18的任何一個中要求的方法的步驟的電腦程式代碼。
23.一種存儲在計算機可用介質中的電腦程式產品，包括用於致使控制單元的數字處理器單元執行在權利要求2-18中的任何一個中要求的方法的步驟的計算機可讀程序代碼。
全文摘要
提供了一種用於基於對憑證的使用準許對應用的訪問的方法，其包括以下步驟向頒發者計算機(2)註冊用戶的一個或多個計算設備(1.1－1.N)。響應於該註冊為每個計算設備(1.1－1.N)獲得一與設備相關的憑證(CR1－CRN)，該憑證被設計為僅僅與該相關計算設備(1.1－1.N)相聯繫地使用，並相關於該用戶的唯一標識符(ID
文檔編號G06F21/00GK1815482SQ200510117570
公開日2006年8月9日 申請日期2005年11月4日 優先權日2004年11月5日
發明者J·L·卡梅尼施 申請人:國際商業機器公司