用於提供對於應用程式和基於網際網路的服務的可信單點登錄訪問的方法和設備的製作方法

2023-08-07 14:49:01

專利名稱：用於提供對於應用程式和基於網際網路的服務的可信單點登錄訪問的方法和設備的製作方法
技術領域：
本發明涉及無線通信。更具體的，公開了用於提供對於應用程式和基於
網際網路的服務的可信單點登錄(SSO)訪問以及可信的身份(ID)管理的方 法和設備。
背景技術：
由於無線通信設備的不斷增加，需要增強和簡化用戶登錄到由第三方互 聯網內容供應商提供的獨立安全網站的認證過程。為了獲得對這些網站的訪 問，需要用戶為每個服務設置唯一的用戶ID和密碼。然而，使用符合不同 密碼策略的多個用戶ID和密碼是棘手的並且會變為安全缺口。因此，非常 需要一種用於增強密碼管理的安全等級並且同時為無線通信設備用戶簡化 用戶認證過程的方法。
因為第三方網站服務與無線網絡運營商保持獨立的協議，所以將用戶認 證過程基於訪問網絡上的第三方服務是不現實的，該訪問網絡是無線網絡比 如無線電接入網絡(RAN)、固定或低移動性無線網絡(例如IEEE 802.16 型網絡)或者固定有線網絡。因為服務供應商和用戶經常使用單個身份通過 多個RAN、無線網絡或固定網絡來訪問服務，用戶和第三方服務供應商將 有可能在不同網絡上實施SSO操作，其中網絡運營商可保持對授權用戶許 可的控制。
在一種情況下，無線網絡運營商和第三方ID業務供應商可提供唯一用 戶ID給用戶來在不同類型的網絡、運營商和服務供應商之間實現無縫的服 務連續性。唯一用戶ID可分解在不同網絡類型和實體的服務之間以及服務供應商邊界的頻率和高容量的改變帶來的過渡問題。
對於密碼或認證證書的不良管理會對安全產生毀滅的影響。攻擊者可通 過薄弱的或被盜的密碼來獲得對敏感數據的訪問。不良的密碼管理還會導致
運行成本的增加。例如，幫助桌面(Help Desk)需要容量會隨著需要重新獲 得或重置丟失或遺忘密碼的用戶的數量增加而大幅增加。
以下是將在下文詳細描述的用於改善密碼管理的現有技術特定密碼策 略、無密碼認證、生物因素、密碼同步、證書映射、企業單點登錄(E-SSO)、 結合密碼同步的E-SSO、網站單點登錄(Web-SSO)以及安全聲明標記語言 (SAML)。
為了增強用戶的密碼等級， 一個組織實施特定密碼策略。普通的密碼策 略需要用戶設置很難猜到的密碼或頻繁地更換密碼。密碼策略還可備份用戶 密碼歷史紀錄來防止立即重用密碼，或實施封鎖策略來封鎖在一定量的嘗試 之後登錄失敗的任何人。然而，實施好的密碼策略會增強密碼安全性時，其 還鼓勵用戶設置便於記憶和管理的模式化密碼。例如，用戶可使用字符和數 字的組合來建立密碼，比如@#$%9876來滿足密碼策略的複雜性要求。然而， 當用戶被系統提示來更改密碼時會使用舊密碼的變形來建立新密碼，比如 @#$%8765或@#$%7654。模式化密碼的使用削弱了密碼的安全等級，這是 因為已知用戶的密碼歷史會使得對舊密碼變形的破譯嘗試次數大大減少。因 為複雜的密碼很難記憶，嚴格的密碼策略會導致用戶對於不同的服務採用相 同的密碼。當在不同服務中都使用密碼時，在任何一種服務中的單個密碼危 機會導致在所有其它服務中的密碼危機。
無密碼認證是另一種用於改善認證過程安全性的技術。個人和組織採用 不依賴用戶ID和密碼的認證方法，比如智慧卡和認證代碼。智慧卡使用固 有密碼(個人身份號碼(PIN))來對存儲在卡上用於用戶認證目的的複雜密 碼解鎖。這種設置消除了對用戶輸入密碼的需求，並且使用多因素認證(物理智慧卡和存儲其上的PIN)來認證用戶。然而，智慧卡具有比如設置系統 的高預支付成本，以及用於維持對丟失、被盜和其它危機卡的幫助桌面支持 的高維護成本。
使用生物因素來認證用戶也正流行起來。普通的生物認證設備包括視網 膜掃描儀、指紋掃描儀和手部掃描儀。這些設備用從用戶的身體屬性獲得的 數據來認證用戶。這種設備的一個缺陷是它們的實施和維護都是昂貴的。
密碼同步是允許用戶在多個系統中使用一個單一的密碼的技術。在密碼 同步中，密碼是符合對於密碼重置和密碼更改的單一安全策略的。在這種技 術中，從一個位置提取密碼的純文本拷貝並且將其置於一個或多個外部服務 位置。為了實現這種方案，每個用戶的用戶簡檔的拷貝必須在每個系統被建 立開始時就存在於其中，並且在系統運行的整個時期都保持。密碼同步中的 密碼更改可通過單向推動或雙向推動來進行。在單向密碼推動中，在中央系 統中的密碼更改被截取並被推動到網絡內的其它位置。在雙向密碼推動中， 密碼更改可在任何系統中作出並且在整個密碼結構中傳播。
單向密碼推動的主要問題在於存儲密碼的系統的安全性測量。因為同步 的密碼在多個系統中使用，在任一系統中的安全危機會導致所有系統中的災 難性的安全危機。儘管雙向密碼同步提供更大的用戶靈活性，但是其也會導 致其它問題，比如建立密碼更改的無窮循環。因為系統被程序化來將新的數 據傳播到系統的其它部分，所以系統會受困於無盡的密碼更新過程來傳播在 單個密碼上的多個密碼更改。
因此，儘管密碼同步使得用戶不需要記憶和管理網絡中多個密碼，但是 密碼同步也通過允許用戶使用一個密碼來訪問多個服務而削弱了密碼的安 全性。
證書映射，通常被稱為E-SSO，是一種代表用戶存儲、重新獲得和"鍵 入"用戶ID和密碼的技術。為了實施E-SSO， E-SSO軟體的一份副本必須被安裝在每個WTRU上。用於每個系統和應用程式的用戶ID和密碼被存儲 在本地文件、附著於網絡的數據或者用戶目錄中。在最初的安裝之後，用戶 可通過它們先前那樣的操作或者通過新的E-SSO軟體接口登錄到他們的工 作站。當用戶請求使用他們的工作站連接到應用程式時，E-SSO軟體自動地 添加應用程式的登錄頁的用戶ID和密碼欄位。
在E-SSO系統中，用戶使用一組或兩組用戶證書(例如用戶ID和密碼) 登錄到他們的工作站(O當用戶僅需要登錄到E-SSO軟體而不是他們的工 作站時；以及(2)當用戶必須登錄二者時。
一些E-SSO系統支持除了用密碼登錄網站以及訪問用戶的證書簡檔的 其它認證技術的使用，包括智慧卡、認證符號或生物採樣。此外， 一些E-SSO 技術被配置為對於每個目標完全控制密碼管理。這種方式消除了對用戶為任 意目標系統記憶密碼的需要。E-SSO軟體自動代表用戶登錄。
在E-SSO中，用戶不需要在目標系統上更改密碼。軟體組織並預期密 碼更改請求並且代表用戶相應地更改密碼。如果目標系統僅通過證書管理軟 件來訪問那麼證書映射密碼管理特徵是最佳的。
儘管E-SSO系統提供保護用戶密碼的功能，但是系統具有成本高和建 立繁瑣的缺陷。實施E-SSO系統不僅需要為每個用戶建立登錄ID，而且為 每個用戶對於每個目標應用程式存儲當前密碼。建立E-SSO系統還需要安裝 客戶端軟體和配置證書資料庫用於存儲用戶ID和密碼。資料庫可通過專用 網絡服務或者通過擴展己有目錄(例如有效目錄、LDAP、 NAS)的概要來 獲得。證書資料庫本身具有多個要求。為了實現其目的，資料庫必須是快速 和可用的，因為資料庫中的一個故障會阻止大量用戶登錄到任何系統。此外， 資料庫也必須是安全的，因為資料庫中的危機會導致所有系統中每個用戶證 書的危機。
作為中央密碼控制系統，E-SSO引入了單故障點。如果E-SSO系統或者證書資料庫出問題，那麼用戶不能登錄到任何系統。此外，E-SSO技術不 支持對於支持多個用戶接口的應用程式(例如客戶機、網站、電話等)的認 證過程。此外，因為E-SSO依賴於Windows "截屏"技術，E-SSO系統的 配置和管理成本很高，特別是在多種工作站上進行時。因此，E-SSO系統不 僅是緩慢、耗時、建立和登記成本高的，並且還是易於單故障點。
將E-SSO與密碼同步結合會解決僅實施E-SSO系統的一些缺陷。例如， 不用密碼同步技術，用戶將不能使用他們的E-SSO密碼來登錄到使用可替代 的用戶接口的應用程式。因為用戶不是一定知道他們的密碼，使用私人客戶 端比如Microsoft Outlook的用戶不能通過網絡入口訪問e-mail帳戶。通過將 密碼同步與E-SSO結合，用戶可使用他們的原始密碼來通過可替換接口比如 網絡入口登錄到其它應用程式。此外，在配置E-SSO系統之前配置密碼同步 系統減小了獲得每個用戶的用戶ID簡檔的時間和精力。
在E-SSO系統中，用戶證書典型地用從原始E-SSO密碼獲得的密鑰來 加密。在這種配置下原始E-SSO密碼的丟失會導致對於每個系統的用戶證書 的丟失。甚至在丟失的E-SSO密碼被重置後，加密證書將不能被訪問，因為 證書是用從丟失密碼獲得的密鑰加密的。換句話說，重置用戶的E-SSO密碼 將不能重新獲得用戶證書，並且用戶必須用E-SSO系統重新登記。
為了解決這個問題，E-SSO系統必須提供"後門"來在E-SSO密碼重 置後恢復用戶證書。密碼重置系統必須集成該後門系統或者提供其本身的後 門。在重置用戶的原始E-SSO密碼之後，密碼重置系統必須從安全存儲中恢 復用戶的先前密碼，解密用戶的舊證書並且用新的密碼和密鑰重新加密，從 而E-SSO客戶端軟體能夠被重新訪問。
集成密碼重置、密碼同步和E-SSO系統解決了該問題並且允許組織能 夠享受到快速配置、自動登錄和自我服務問題解決的益處。然而，這些技術 的結合不能解決安全密碼和登錄證書的發行。此外，在任何客戶機或伺服器軟體或資料庫中的危機都會危及用戶簡檔。並且，該結合還不能提供證明進
行密碼同步和E-SSO的系統的"健康"狀態的方式。沒有這種證明， 一旦用
戶被系統授權，用戶可在甚至系統有危機的時候訪問系統。
Web-SSO用應用程式和通過網頁瀏覽器訪問的資源來工作。在Web-SSO 中，對網絡資源的訪問被網絡代理伺服器或在目標網絡伺服器上的組件攔 截，並且嘗試訪問網絡資源的未認證用戶被轉移到認證提示，並且僅在成功 的登錄之後才被重新定向到原始站點。Cookies是最常用於追蹤用戶的認證 狀態的，並且Web-SSO基礎從Cookies中提取用戶身份信息並且將其傳遞到 網絡資源。
屏幕截取和聯盟是在Web-SSO中使用的兩種最重要的現有技術。普通 類型的屏幕截取是網絡截取。網絡截取也被稱為HTML截取或者頁面截取， 是一種電腦程式網絡截取器從網頁上提取數據的技術。網絡截取可被用於 E-SSO或Web-SSO中。
截屏技術是有用的，因為網頁是使用通常包括文本形式信息的基於文本 標示語言(例如HTML)來建立的。相反，程序之間的數據交換通常使用不 易被人們理解的為機器設計的數據結構來完成。類似的，用於用戶的數據輸 出通常不適用於機器解釋。因此，需要截屏來完成程序之間的數據傳送，通 過首先從HTML和其它標示機器語言中提取機器友好數據，並隨後在程序 之間交換所提取的機器友好數據。
當執行截屏時，從計算機文本顯示器讀取的數據通常通過其輔助埠讀 取終端的存儲器、或者通過將終端的輸出埠連接到另一個系統的輸入埠 來完成。在這些情況下，屏幕截取還可指網頁的計算機化解析。
截屏通常被執行來(1)連接不能夠提供與兼容當前硬體的可替換機構 的合法系統，或者(2)連接提供較不複雜應用程式接口 (API)的第三方系 統。在第二種情況下，第三方系統會考慮不需要截屏，因為比如會增加系統負載、廣告收入損失或信息內容的控制損失的原因。
圖1說明了在使用網絡截取的Web-SSO的現有技術的WTRU中的示例 程序。在該圖表中，假設WTRU配備了代理軟體並且在WTRU上的網絡訪 問應用程式與SSO代理軟體協同交互來允許代理建立和控制SSO在網絡服 務上的程序。例如當瀏覽器接收訪問URL的請求時，其將URL傳輸到SSO 代理軟體來驗證web-SSO是否能被用於訪問特定網站。
聯盟是第二種用於使用基於標準的協議來使得一個應用程式對於另一 個實體維持用戶身份的web-SSO的重要技術，從而不需要多餘的認證。支 持聯盟的說明標準包括自由聯盟(Liberty Alliance) ID-FF、 OASIS、 SAML 以及Shibboleth,由Internet2開發。自由聯盟提供一組開發包含定義聯盟身 份管理和網絡服務通信協議的說明的組的廣義工業協會。協議被設計用於企 業內和企業間的配置。
OASIS是開發用於電子商務的解決方式的非盈利性組織。當前版本為 2.0的SAML是用於安全維持的標示語言，其包括可實現SSO認證的用戶身 份信息。Shibboleth是基於聯盟身份和SAML為認證和授權基礎建立結構和 開放源實施方式的Intemet2中間設備開始(NMI)項目。
圖2說明了使用自由聯盟ID-FF的WTRU用戶的web-SSO程序。在 web-SSO的環境中，自由聯盟使得用戶登錄到單獨帳戶並且從網絡中的ID 管理實體管理的"信任圈子"中的多個服務供應商請求服務。自由聯盟的一 個顯著特徵是"聯盟"過程。自由聯盟允許用戶確定他們是否想要不經過重 新認證而訪問服務供應商(SP)，而不是確定用戶在不經過重新認證時必須 擁有什麼類型的權利來訪問SP。為了獲得這個權利，用戶必須首先由被識 別為SP的身份供應商(IDP)來認證。這使得自由聯盟稱為用於擴展企業框 架環境中的用於身份管理的可行框架，其中用戶典型的將個人數據的管理委 託給企業。SAML是由OASIS組織建立的XML標準，用於在安全域之間即在IDP和SP之間交換認證和授權數據。圖3描述了 SAML組件之間的關係。SAML嘗試通過在網絡實體之間實現無縫和可靠的認證程序和安全維持信息的交換來解決web-SSO的問題。SAML標準利用以下組件(1)維持組件，(2)協議組件，(3)捆綁組件，(4)和簡檔組件。維持組件允許實體來維持另一個實體的特徵和屬性，比如用戶名、狀態、郵件地址、團體中的會員等。協議組件通過XML方案編碼並且定義請求-響應相關協議的列表。
捆綁組件定義SAML協議消息如何在SOAP消息中傳送並且SOAP消息如何在HTTP上傳送。SOAP消息是完好形成的XML消息，其根據W3C組織SOAP版本1.2封裝和編碼規則來建立。圖4示出了在典型的捆綁情況下在SAML組件之間的交換的例子。簡檔組件是SAML規範的核心，其定義SAML請求和相應怎樣傳送。
儘管獨立ID-FF和SAML在增強密碼安全等級中起到了重要的作用，但是都沒有解決怎樣保證需要用於用戶的設備或IDP和SP中的web-SSO的敏感信息安全。此外，因為獨立ID-FF和SAML最終放棄了對用戶到IDP和SP的認證過程的控制，所以所需要的用戶的個人信息、用戶簡檔的公開會導致該過程中的危機。
在文獻和產品中出現了可信的計算技術，大多是在可信計算組(TrustedComputing Group (TCG))的技術傘之下。可信計算是基於提供密碼功能和保護存儲的專用、物理獨立硬體模塊的物理安全的。
TCG己經開發了提供方法用於計算實體來維持系統完整性的方法的各種技術，來當建立了適當可信等級時驗證認證過程，並且在與其它設備的信息交換和處理上基於這些目標設備的明顯可信等級來執行評估和決定。
TCG定義了被稱為可信平臺模塊(TPM)的核心平臺模塊。圖5描述了 TPM的組成，該TPM提供TPM模塊及其接口的物理保護。該模塊還提供對於易失性和非易失性存儲空間的保護以及執行加密和數字籤名的密碼
功能。TPM使用平臺配置寄存器(PCR)基於公鑰基礎(PKI)通過HASH擴展和用戶設備細節和安全背書密鑰(EK)來捕捉平臺及其軟體不見的"狀態"。EK從未被暴露在外，但是其假信號、證明身份密鑰(AIK)被用於驗證平臺的完整性數值。此外，TPM在存儲器中使用"密封"數據結合AIK籤名的PCR值的過程，從而數據僅當來自TPM和密封存儲器的匹配PCR值測量和驗證的平臺或軟體的完整性被驗證時才能被訪問或提取。
圖6說明了外部實體(攻擊者或驗證者)可怎樣使用TPM、 AIK和私有證書權力(PCA)來進行請求平臺證明。這種證明機制對於改善SSO技術的可信性和安全性方面都是有用的。
TCG還可指定用於包括TPM的計算平臺的詳細TPM軟體堆棧(TSS)。每個TSS模塊包括提供特定功能的組建。這些組建的最初設計目的是提供對TPM的單個、同步的登錄點，用根據應用程式適當排序和排列的字節來隱藏建立指令流以及管理TPM資源。
圖7示出了TPM和TSS層的結構。TSS模塊包括以下組件(1)與標準化TPM設備驅動器庫(TDDL)交互的TSS設備驅動器接口 (TDDLI);
(2)與TPM的TCS指令(未示出)交互的TSS核心服務接口 (TCSI);以及(3)與TCG的TSP指令(未示出)交互並且位於應用程式之下的TCG服務供應商接口 (TSPI)。在TPM—側，TDDL位於賣家特定的TPM設備驅動器頂部，其與TPM通信。
TDDLI保證TSS的不同實施方式將與任何TPM適當通信，將提供OS獨立接口用於TPM應用程式，並且將允許TPM賣家提供軟體TPM仿真器作為用戶模式組建。TDDL在平臺上提供用戶模式和內核模式的轉換。TCG核心服務(TCS)提供對於平臺服務的普通設置的接口。 TCS提供以下四種核心服務(1)上下文管理，其實施對TPM的線程訪問；(2)證書和密鑰管理，其存儲關於平臺的證書和密鑰；(3)測量事件管理，其管理事件日誌項目並且訪問相關PCR，以及(4)參數模塊產生，用於連續化、同步化並處理TPM指令。
TCG服務供應商(TSP)是基於目標定向結構的對於TPM的C接口。TSP與應用程式位於相同的處理地址位置內。授權發生在該層中，通過使用為該層編碼的用戶接口或者通過在TCS層的回呼機制。為了為終端用戶提供標準化的授權接口，本地應用程式不提供認證服務，而是由平臺提供。
TSP提供兩種服務(1)上下文管理；以及(2)加密。上下文管理提供允許對應用程式和TSP資源的有效利用的動態處理。每個處理為一組相關的TCG操作提供上下文。應用程式中不同的線程可共享相同的上下文或者可獲得獨立的上下文。
為了充分利用TPM保護功能，必須提供支持密碼功能。TSP不提供這種支持，除非其對於執行TPM說明所需要的操作是必須的。特別的，大量數據加密不被接口暴露。TPM指定密碼功能的例子包括消息消化和少量(小於1024位元組)數據的加密。

發明內容
公開了一種用於基於可信計算技術的密碼管理和SSO訪問的方法和設備。該方法實施TCG的TPM，其與代理SSO單元和網頁訪問應用程式交互來提供安全、可信的機制，以產生、存儲和重新獲得密碼和SSO證書。各種實施方式允許用戶在僅一次登錄到位於用戶設備中的安全代理之後，安全且透明地從一個站點跳到另一個屬於預識別站點組中的站點。
在用戶登錄到行動裝置之後，位於設備上的代理SSO單元攔截嘗試訪問屬於登記組的安全站點的應用程式，並且使用由TPM產生並保持的每個站點安全密碼來登錄到組中的單獨站點。可通過硬體或軟體來實施的代理SSO單元還由TPM保護其完整性。這通過不需要用戶單獨記憶或存儲的 TPM產生的隨機密碼為對不同站點使用SSO的過程提供了高等級的可信性。
SSO特徵可被應用到任何數量的安全站點，並且列表可隨著用戶在互聯 網上導航並訪問新的網絡伺服器來增長。每個網絡伺服器具有與其相關的安 全登錄證書，其與可實現SSO程序的自主操作的TCG產生的用戶證書相關 聯，從在網絡伺服器上的最初登記到隨後的登錄和認證會話。作為一項選擇， 用戶可由實現其SSO網絡訪問的網站組的代理軟體提供一個提示。用戶將 能夠選擇是否允許對代理軟體指示的網站組或者其子集的SSO操作。
附加實施方式包括用於E-SSO的TPM增強、以及具有聯盟身份管理的 web-SSO的機制。


從以下關於優選實施方式的描述中可以更詳細地了解本發明，這些優選 實施方式是作為實例給出的，並且是結合附圖而被理解的，其中
圖1是根據現有技術的用於WTRU的web-SSO的示例流程圖2是根據現有技術的用於web-SSO處理配備有自由聯盟ID-FF的 WTRU的示例流程圖3示出了 SAML組件之間關係的框圖4示出了 SSO中SP發起的後-後捆綁的例子；
圖5示出了一般TPM的框圖6示出了由外部方使用TPMAIK的用於AIK證書驗證過程的例子； 圖7是TPM和TSS中的不同層的框圖； 圖8是無線通信系統的示例框圖9是使用TPM/TSS的安全自動登錄的實施方式的示例框圖10是使用TPM/TSS和裝置可信鏡像的安全自動登錄的實施方式的示例流程圖11是基於使用TPM的組方式密碼的使用TPM/TSS的用於網絡訪問
的SSO的實施方式的示例流程圖12是使用自由聯盟ID-FF的無線通信系統的示例框圖13是使用自由聯盟ID-FF的TPM/TSS保護的web-SSO的實施方式
的流程圖。
具體實施例方式
在此提及的術語"無線發射/接收單元(WTRU)"包括但不限於用戶設 備(UE)、移動站、固定或移動用戶單元、傳呼機、蜂窩電話、個人數字助 理(PDA)、計算機或者能夠在無線或結合了無線/有線的環境中操作的任何 其他類型的用戶設備。在此提及的術語"基站"包括但不限於Node-B、站 點控制器、接入點(AP)或者任何類型的能夠在無線環境中操作的接口設備。
圖8是包括至少一個WTRU 805和無線電接入網絡(RAN) 807的無線 通信系統800的示例框圖。WTRU 805與用戶809交互並且WTRU 805包括 單點自動登錄(SASO)代理單元810、 TPM/TSS 815、網絡訪問應用程式 (WAA) 820。 TPM/TSS 815與SASO代理單元810禾卩WAA 820交互，以 提供安全、可信的機制來產生、存儲和重新獲得密碼和SSO證書。SASO代 理單元810由TPM/TSS 815來保護其完整性，因此在對不同網站使用SSO 時能夠實現高等級的可信性。TPM/TSS 815通過存儲和產生不需要用戶單獨 記憶的隨機密碼來提供這種高等級的可信性。RAN 807典型地包括對至少一 個網站830a-c的訪問。可選的，RAN807還包括裝置可信鏡像(DTM) 835。
為了最小化用戶809需要記憶的密碼數量，提供了一種機制，通過它用 戶809首先建立一個站點或應用程式的列表，並且隨後SASO代理單元810 在其自身的日誌和隨後由TPM/TSS 815使用存儲器密鑰綁定或利用內部存儲器安全保管的日誌來記錄信息。SASO代理單元810使用協作綁定或攔截 技術比如網絡截取來解釋用戶對於應用程式或網站830的訪問請求，以及從 應用程式或網站830登錄和/或密碼鍵入的提示。
用戶809的證書(也被稱為根身份)可被安全地存儲在TPM/TSS 815 本身中或另一個安全存儲設備比如USIM中。此外，可從該根身份建立密鑰 分級結構。根身份被安全地保存在設備中並且不會被洩漏到安全或可信域之 外。
當用戶809第一次登錄到安全網站830時，WAA 820與SASO代理單 元810和TPM/TSS 815交互來建立與用於網站830的證明信息相關聯的高 熵值(highentropy)、唯一的ID和高熵值的密碼。此後，無論何時用戶809 想要訪問網站830，用戶的證書被自動輸入到經由通信鏈路通過WAA820、 SASO代理單元810和TPM/TSS 815之間的交互發送的信息中。
可選的，無論何時用戶809訪問RAN 807， WTRU 805以同樣的方式使 用SASO代理單元810和TPM/TSS 815來建立與RAN 807中相關網絡元件 比如服務供應商(SP)或身份供應商(IDP)(未示出)之間的可信關係。可 替換的，RAN807保持特定的系統部件或與可信的第三方實體比如DTM835 的關係。一旦WTRU 805與RAN 807具有建立的可信關係和安全鏈路，DTM 835作為用於移動可信服務的代理和用於為每個安全網站建立的密碼的數據 庫。
用戶809可從功能上獲得對WTRU 805的訪問並且因此通過使用單點登 錄ID和密碼訪問WTRU鎖定機制從而獲得對網際網路的訪問。 一旦登錄，所 有其它服務都可由WTRU 805透明地處理。此外，密鑰卡(keyfobs)、智能 卡和/或生物統計可被用於提供安全的兩個或三個因素認證來訪問電話特徵。 可選的，認證證書可被發送到RAN807，用於認證和使得用戶訪問設備。
TPM/TSS 815提供對於數據(包括密碼)固有安全性，通過提供物理保護界限來加密地保護和存儲密碼。然而，數據保護的強度在密碼或秘密密鑰 用於保護這種數據的情況下，還部分地依賴於數據本身的強度和新鮮度。在 給出加密數據的充足採樣以及在攻擊者的配置上有足夠的計算能力和時間 時，很強保護的數據可被破壞。因此，更新密鑰，並且如果需要用新的密鑰 來對數據重新加密，可對竊聽者解密加密身份和認證數據的嘗試提供附加的
安全屏障。用於通用認證的密鑰和密碼應當由TPM/TSS 815頻繁地更新。 這種更新將需要一種協議，利用該協議初始化、獲得和執行關於數據和/或密 鑰更新。
在一種可替換的實施方式中，WTRU 805內部包括通用用戶身份模塊 (USIM)(未示出)。作為獨立和保護實體的USIM，提供用於軟體的第二安 全執行環境以及用於數據比如密碼的安全存儲之處。因此，SASO代理單元 810可位於USIM中。WAA820還可以位於USIM中。
在WTRS 805的另一種可替換實施方式中，USIM可將TPM/TSS 815替 換為單獨"安全"執行環境。在這種情況下，WTRU815可不具有執行平臺 的功能和/或通常由TPM/TSS 815提供的應用程式完整性測量、驗證和證明 的功能。然而，因為USIM是獨立的、受保護和安全的執行環境，其可實現 SASO代理單元810甚至可能是WAA820的安全執行。USIM還可被配置為 產生和存儲高熵值的特定站點密碼並且被配置為存儲SSO密碼和SSO證書。
在WTRU 805的另一種可替換實施方式中，在此充分合併引用2007年 5月8日提交的美國專利申請No.ll〃45,697中所公開的內容，該申請中所公 開的"擴展"USIM位於WTRU 805中，並且為SASO代理810、 WAA 820 以及TPM/TSS 815提供安全執行環境。
圖9示出了根據一種可替換的實施方式的圖8的系統800的組件之間的 信號發送。特別的，圖9示出了用於SASO使用TPM/TSS 815用於網絡訪 問的示例程序。在步驟1005，當用戶809通過一個安全因素或優選的兩個或三個因素認 證獲得對WTRU805的訪問時，程序被初始化。這些認證因素是允許SASO 代理單元810訪問保持在TPM/TSS 815中的安全信息的機制。在步驟910， 如果使用了生物第二或第三因素認證，SASO代理單元810發送請求到 TPM/TSS 815來重新獲得該生物認證數據來用於認證。在步驟915， TPM 810 將生物認證數據供應給SASO代理單元810。接著，在步驟920，用戶809 發送請求到WAA820來與安全網站註冊。在步驟925， WAA820將用戶809 想要對其訪問的願望傳遞給網站A830a。在步驟930， WAA820接收並且顯 示或者否則指示網站A 830a的登錄提示。在步驟935， SASO代理單元810 通過網絡截取或通過API或其它解析技術的結合來攔截來自WAA 820的網 絡A 830a的認證。在步驟940， SASO代理單元810將用戶ID信息(其可 以是來自多因素認證的設備登錄信息)傳遞到TPM/TSS 815。在步驟945， 特定網站的安全密碼由TPM/TSS 815產生和安全地存儲(直接存儲在TPM NV存儲器中或者在普通存儲器中但是由TPM保護綁定存儲密鑰加密)。在 步驟950， SASO代理單元810隨後攔截WAA 820並且通過比如截取或API 的或其它解析技術的使用的方法來在用於網站A830a的WAA 820的密碼提 示上填入特定網站的安全密碼。在步驟955， WAA820將該特定網站的密碼 傳遞到網站A 830A。在步驟960，網站A 830a註冊特定網站的密碼並且將 訪問授權發送到WAA 820。 一旦建立了註冊，網站信息(例如URL、數字 證書、用戶ID和密碼等)作為資料庫記錄共同安全地存儲在TPM/TSS 815 中或者作為由TPM/TSS 815綁定存儲密鑰保護的數據點。特定網站的密碼 可被SASO代理單元810重新使用，以用於隨後登錄到各個站點。在步驟 965，在網站A830a授權對WAA820的訪問時，WAA發送註冊成功和訪問 授權消息到SASO代理單元810。在步驟970，可跟隨正常的基於網絡的通 信。注意到在圖9中的步驟905到965被描述用於用戶的特定站點的密碼在 網站由WTRU 805管理的初始註冊。在這種初始註冊之後，用戶809可使用 WAA 820來請求對網站A 830a的訪問(類似於步驟920)。隨後，SASO代 理單元810可攔截來自WAA820的登錄提示(類似於步驟935)以獲得存儲 在TPM/TSS815的特定站點的密碼(類似於步驟945)，並且通過截取、API 或解析來在WAA 820上填入特定於網站A 830a的登錄信息(類似於步驟 950)。隨後，WAA 820將特定網站的登錄信息發送到網站A 830a (類似於 步驟955)，並且網站A 830a在證明特定網站的登錄信息供應之後，授權對 WAA 820的請求服務的訪問(類似於步驟960)，以及SASO代理單元810 從WAA 820獲得該訪問授權消息，並且隨後使得用戶809知道該服務被授 權。隨後可跟隨正常的基於網絡的通信(類似於步驟970)。
當訪問其密碼被保持在TPM 820中的已經建立的網站時，可執行一組 類似的程序。例如，步驟905到970可由SASO代理單元810在步驟970對 於其它站點例如不同網站比如網站B 830b來重複。由TPM/TSS 815實現的 編碼完整性驗證程序被用於保護SASO代理單元810和其它軟體部件的完整 性，來保證安全事務處理。如果建立了策略或簡檔例如來管理密碼更新程序， TPM/TSS 815還通過將它們存儲在由TPM綁定存儲密鑰保護的存儲器中來 保護策略和簡檔信息。如果用戶809嘗試訪問非網絡的第三方服務或安全服 務器，那麼與上述使用非常相似的程序可通過使用可由DTM 835管理的可 信鏡像程序的方式來使用。
圖10示出了根據另一種實施方式的圖8中的組件之間的信號發送。特 別的，圖10示出了用於SASO使用TPM/TSS 815和DTM 835用於在WTRU 805和隨後在DTM 835的用戶認證信息的註冊的用於網絡訪問的示例程序 1000。典型地位於RAN 807中但是可位於RAN之外的DTM 835提供將 WTRU 805的可信度"鏡像"以及將這種信息證明給外部請求方的服務。例如DTM 835可採用管理用於圖9所示的TPM/TSS 815所述的身份信息。
在步驟1005，用戶809通過將他們的認證信息註冊到SASO代理單元 810來初始化程序1000。這種註冊可通過使用通過一個因素或優選的兩個因 素認證來進行。此外，第三因素可以是由TPM/TSS 815安全保存的通過生 物信息。同樣在步驟1005,用戶809可選擇性地提供想要服務的列表。
接著，在步驟1010， SASO代理單元810將認證數據和想要服務的列表 發送到TPM/TSS 815。在步驟1015， TPM/TSS 815密封認證數據和想要服 務的列表到SASO代理單元810和WAA 820的整體。在步驟1020， SASO 代理單元810為WTRU 805發送完整性信息(或者等同的證明信息)以及認 證數據和應用程式和想要服務的列表到DTM 835。
在步驟1025， DTM 835將用戶的認證證書註冊到網站A， 830a。在該 過程期間，DTM 835和網站A 830a相互建立密碼，其將被特別的使用來從 網站A830a獲得用於用戶809和WTRU 805的服務。在步驟1030，DTM835 將指示對網站A 830a註冊完成的消息發送到SASO代理單元810。在步驟 1035， SASO代理單元810指示給用戶809註冊完成。
在註冊完成之後，用戶可在使用可信DTM單元835進行中介的SASO 過程(步驟1040 — 1095)中訪問網站A 830a。在步驟1040，用戶809指示 SASO代理單元810 (或者WAA 820，其中SASO代理單元830a可通過截取 或類似技術攔截該消息)用戶809想要訪問網站A830a。在步驟1045， SASO 代理單元810指示給WAA 820用戶想要訪問網站A。可替換地，如果用戶 直接指示給WAA 820指示他們想要訪問網站A 830a，並且SASO代理單元 使用截取來獲得相同信息，那麼就不需要步驟1045。
在步驟1050， WAA 820將對於訪問網站A 830a的請求發送到DTM 835。 隨後在步驟1055， DTM 835轉發對於訪問網站A 830a的請求。在步驟1060， 網站A 830a將對於特定服務的密碼的請求發送到DTM單元835。在步驟1065， DTM單元835將特定網站的密碼發送到網站A830a。在步驟1070， 網站A 830a將服務訪問授權消息發送到DTM單元835。在步驟1075， DTM 單元835將服務訪問授權消息發送到WAA 820。在步驟1080， WAA 820指 示給用戶809該訪問對於網站A 830a被授權。在步驟1085，用戶可開始使 用WAA 820從網站A830a接收服務。
在步驟1088、 1090和1093， DTM 835可請求並接收信息來驗證WTRU 805和WAA820完整性的證明以及用戶認證數據和特定服務的數據(比如應 用程序和想要的服務的列表)的完整性。這種遠程證明程序可使用的 TPM/TSS 815在WTRU 805上的遠程證明功能來完成。步驟1088、 1090和 1093的程序可在例如當WTRU 805被啟動的時刻執行。這些步驟還作為步 驟1050的部分被集成在從DTM 835到網站的服務請求消息中。類似於1040 —1085的步驟可對於另一個網站重複，比如網站B 830b，或者註冊列表上 的任何其它網站。
在圖10的一些可替換實施方式中，WTRU 805可不具有TRM/TSS 815。 在這種情況下，仍然可使用DTM 835。再參考圖10，如果WTRU不具有 TPM/TSS 815， SASO代理單元810將用戶和設備認證數據、想要服務的列 表直接註冊到DTM單元835。在信息的接收之後，DTM 835產生並維持高 熵值的特定站點(或服務)的密碼(類似於圖10的步驟1125)。在初始註冊 之後，當用戶809想要訪問站點A 830a時，那麼SASO代理單元810提示 WAA 820來訪問DTM 835 (類似於圖10的步驟1145和1150)。 DTM 835 請求對網站A 830a的訪問(類似於步驟1155)。網站A 830a將對於特定服 務的密碼的請求發送到DTM 835 (類似於步驟1160)。 DTM 835將特定網站 的密碼發送到網站A830a(類似於步驟1165)。網站A 830a發送服務訪問授 權消息到DTM 835(類似於步驟U70)。DTM 835發送訪問授權消息到WAA 820 (類似於步驟1175)。 WAA820指示給用戶809對於網站A830a的訪問被授權(類似於步驟1180)。用戶可開始使用WAA 820從網站A 830a接收 服務(類似於步驟1185)。
圖11示出了根據本發明另一種實施方式的圖8的系統800的組件之間 的信號發送。特別的，圖11示出了用於SSO使用TPM/TSS 815以一種比現 有技術更安全的方式用於網絡訪問的示例程序1100。
在該方法中，用戶809配置一組站點，對於每個的訪問由SASO代理單 元810控制並且具有用戶809提供的公共的特定組登錄/密碼。通過使用該程 序，用戶809可控制使用特定組密碼控制對於特定網站"組"的訪問，從而 將SASO代理單元810的訪問權限配置為每個用戶809僅想要訪問特定組的 網站。例如，如果用戶809僅提供對於"財經網站"組的公共密碼但是沒有 提供對於"個人網站組"的另一個不同的密碼，那麼SASO代理單元810將 被授權僅管理對於屬於"財經網站"組的站點的SSO操作。如圖11所示， 該實施方式包括通過示例方式的以下優選信號發送步驟。順序和/或內容中的 其它改變是可能的並且仍然在實施方式的範圍內。
在步驟1105，用戶809可能在SASO代理單元810的提示下通過發送用 於網站組建立的請求到SASO代理單元810來初始化程序1100。所述請求可 包括網站A830a和網站B 830b，以及用戶對於網站組作出的SSO密碼，以 及屬於該組的網站的URL。該步驟可以以遞增的方式完成，由此用戶809 可通過僅具有網站A 830a並且隨後增加或刪除其它網站來建立組。如果該 網站列表更新在任何點執行，SASO代理單元810將需要請求用於添加、刪 除或甚至解除綁定和重新綁定由TPM/TSS 815保持的一些數據(它們中的 一些數據也由SASO代理單元810保持)的過程。
接著，在步驟lllO， SASO代理單元810對於網站組中的每個網站註冊 網站URL和單獨SSO密碼。在步驟1115， SASO代理單元810隨後將SSO 密碼、用於屬於該組的所有網站的網站URL和網站證書、WAA820和SSO代理單元810的地址處理髮送到TPM/TSS 815，以及將用於數據綁定和對於 特定網站的密碼產生的請求發送到TPM/TSS815。在步驟1120，對於網站列 表中的每個URL，使用TPM隨機數產生器(RNG)， TPM/TSS 815產生強 加密的密碼。隨後在步驟1125， TPM/TSS 815綁定特定網站的URL、任何 證書(包括站點證書)、SSO密碼以及其產生的特定站點的密碼在用TPM存 儲密鑰加密的數據點中。這種密鑰是"限制"在容納TPM的平臺(例如WTRU 或計算機)中的。如果在步驟1105，用戶809用其相關的信息(URL、證書 等)指示了網站組的列表的更新(添加、刪除或改變)，必須有一個來自SASO 代理單元810和TPM/TSS 815的指示來添加或刪除對於所影響網站的特定 網站記錄。
接著，在步驟1130，用戶809將用於網站A 830a的URL提供給WAA 820。在步驟1135， SASO代理單元810通過網絡截取或通過API或其它解 析技術的結合，攔截來自網站A830a的密碼提示。隨後在步驟1140， SASO 代理單元810驗證網站A 830a是否是註冊網站組中的一個成員以及如果確 定是肯定的，就識別該組。在步驟1145， SASO代理單元810請求人類用戶 809為網站A830a所屬的網站組提供SSO密碼。在步驟1150，人類用戶809 為網站A830a提供(通過例如USIM、生物技術或鍵入)SSO密碼。可替換 地，步驟1145和1150可變成透明並由SASO代理單元810自動提供。
接著，在步驟1155， SASO代理單元810檢查用戶809提供的SSO密 碼。在步驟1160, SASO代理單元810發送一個請求到TPM/TSS 815來解 除綁定和重新獲得用於網站A 830a的密碼。在該請求中，SASO代理單元 810包括對於網站A830a的SSO密碼和站點URL。在步驟1165， TPM/TSS 815使用對於網站A 830a的SSO密碼和URL作為數據處理來從先前存儲的 數據點中解除綁定對於網站A 830a的特定站點的密碼和證書。在解除綁定 和重新獲取先前存儲的特定網站的密碼、URL列表和特定網站的證書時，TPM/TSS 815基於其剛從綁定存儲器中重新獲取的數據值，驗證其從SASO 代理單元810接收的SSO密碼和網站URL。如果在以上步驟1165中實現了 驗證，那麼在步驟1170， TPM/TSS 815將對於網站A 830a的特定網站的密 碼和證書提供給SASO代理單元810。
隨後在步驟1173， SASO代理單元810使用比如網絡截取、API或其它 解析技術來在WAA 820填充對於網站A 830a的密碼和證書欄位。隨後在步 驟1175， WAA820被填充並且WAA820發送特定網站的密碼和證書到網站 A 830a。隨後在步驟1180，在網站A 830a註冊密碼和證書。在步驟1185， 網站註冊的成功被指示給WAA 820。在步驟1190，網站註冊的成功被指示 給SASO代理單元810並且記錄在其資料庫中。而且在步驟1190中，網站 註冊的成功記錄還被記錄為在由TPM密鑰保護的安全存儲器中的存儲測量 日誌(SML)。在步驟1195，完成可信SSO的建立，包括由TPM/TSS 815 保持的特定站點的密碼和證書。
在網站註冊建立之後，當用戶809想要訪問網站A 830a用於登錄來在 隨後的時間使用網站的服務時，實際上進行與1130_1175相同的步驟，只 有在這種情況下終端結果不是初始站點註冊而是SSO登錄到網站A 830a。 而且，如果用戶809想要註冊到網站B 830b而不是網站A 830a，那麼先前 用於網站A 830a的相同步驟可被用於網站B 830b的SSO註冊或認證。然而， 用於網站B 830b的網站特定信息比如其URL、證書、特定站點的密碼和令 牌將被使用來代替用於網站A 830a的那些。
在一種可替換的實施例中，組方式訪問控制可在沒有用戶809的清楚配 置的情況下執行。作為替換，SASO代理單元810可由控制對不同類型的網 站組的策略或簡檔數據(其本身可以由TPM保護)來提供。在這樣的實施 方式中，組方式訪問控制將由SASO代理單元810在安裝時配置。此外，在 安裝時間之後策略的更新也是可能的。圖12是根據一個可替換實施方式配置的無線通信系統1200的示例框 圖。系統1200是包括至少一個WTRU 1215和無線電接入網絡(RAN) 1203 的自由聯盟(Liberty Alliance)兼容無線通信系統。WTRU被配置為與用戶 1205交互並且包括web-SSO單元1212、平臺處理單元1210、TPM/TSS 1217。 平臺處理單元1210可以以軟體SW或硬體來實現。RAN 1203包括ID供應 商120和服務供應商1225。可替換地，ID供應商1220可位於RAN 1203之 外，例如在公共網際網路上。
圖13示出了根據另一個實施方式的圖12的系統1200的組件之間的信 號發送。特別的，在圖13中，基於ID-FF/SAML的web-SSO技術也和 TPM/TSS 1217提供的完整性檢查機制結合。在順序和域內容中的其它改變 也是可能的並且仍然在該實施方式的範圍內。在步驟1303，用戶1205通過 指示運行web-SSO單元1212的願望(例如通過點擊它或者通過系統啟動默 認等)來開始程序1300。在步驟1308，平臺處理單元1210請求TPM/TSS 1217 來執行web-SSO單元1212的編碼完整性檢查。在步驟1312， TPM 1217運 行編碼完整性檢查並且將結果傳遞到平臺處理單元1210。
如果在步驟1312中的檢查是肯定的，那麼在步驟1316，登錄或認證信 息被提供到平臺處理單元1210並且傳遞到web-SSO單元1212。在步驟1320， web-SSO單元1212請求TPM 1217來重新獲得先前使用TPM密鑰存儲的登 錄證書。在步驟1324， TPM 1217重新獲得並且將登錄證書數據傳遞到 web-SSO軟體1212。在步驟1328， web-SSO單元1212使用重新獲得的登錄 證書數據來登錄到IDP 1220。在步驟1332， It)P 1220發送介紹cookie到 web-SSO單元1212。
接著，在步驟1336， web-SSO單元1212驗證SP 1225。在步驟1340， SP 1225詢問web-SSO單元1212: 1) web-SSO單元1212是否具有來自IDP 1220的cookie, 2) web-SSO單元1212是否想要使用其聯盟ID (如IDP1220支持的)，以及3) web-SSO單元1212是否支持證書開始其平臺安全狀態的 狀態，其由平臺限定TPM私鑰標記，其公鑰已經存儲在SP中或可由PCA 獲得。優選的，在步驟1220， PCA可以是IPD。
隨後，在步驟1344， web-SSO單元1212發送平臺可信狀態到TPM/TSS 1217。在步驟1348， TPM/TSS 1217建立並傳遞TPM保持的私人籤名密鑰 籤署的用於證明平臺的可信狀態的證書到Web-SSO軟體1212。在步驟1352， web-SSO單元1212指示給SP 1225: 1)其具有來自IDP 1220的cookie， 2) 其想要使用由IDP 1220保持的它的聯盟帳戶，以及還發送3)平臺安全性狀 態證書到SP 1225。在步驟1356， SP 1225藉助於PCA的幫助來評估web-SSO 單元1212發送的可信證書。隨後在步驟1358， SP 1212請求web-SSO單元 1212重新定向和再次驗證，這一次使用聯盟認證請求。
接著，在步驟1362， web-SSO單元1212發送聯盟認證請求到IDP 1220。 在步驟1364， IDP 1220產生聯盟姓名ID和相關的認證狀態。在步驟1368， IDP 1220請求web-SSO單元1212重新定向到SP 1225。在步驟1372， Web-SSO單元1212請求TPM/TSS 1217重新獲得已經用由TPM/TSS 1217 密鑰保護存儲的聯盟的聯盟假像。在步驟1376， TPM/TSS 1217重新 獲得假像數據並將其傳遞到web-SSO單元1212。在步驟1380， web-SSO單 元1212將由IDP 1220保持的重新獲得的聯盟假像發送到SP 1225。
接著，在步驟1384， SP 1225用IDP 1220初始化驗證過程來使用SOAP 協議驗證用於人類用戶1205的。在步驟1388， IDP 1220使用SOAP 協議互換驗證過程。在步驟1982， SP 1225評估用於人類用戶1205的所述和聯盟帳號。最後，在步驟1396， SP 1225指示給web-SSO單元1212 該服務的授權起動，以及一指示被提供給人類用戶1205 (例如通過顯示器 等)。
在圖13的可替換實施方式中，設備的可信狀態可由IDP 1220評估一次並且隨後如果需要與每個SP 1225通信由其使用。這種信息的交付可通過聯 盟方案比如SAML或SOAP程序中的比如cookie或其它已存在或修改的消 息/協議的方式來完成。
雖然本發明的特徵和元素在公開的實施方式中以特定的結合進行了描 述，但每個特徵或元素可以在沒有所述優選實施方式的其他特徵和元素的情 況下單獨使用，或在與或不與所公開的其他特徵和元素結合的各種情況下使 用。本發明提供的方法或流程圖可以在由通用計算機或處理器執行的計算機 程序、軟體或固件中實施，其中所述電腦程式、軟體或固件是以有形的方 式包含在計算機可讀存儲介質中的，關於計算機可讀存儲介質的實例包括只 讀存儲器(ROM)、隨機存取存儲器(RAM)、寄存器、緩衝存儲器、半導 體存儲設備、內部硬碟和可移動磁碟之類的磁介質、磁光介質以及CD-ROM 碟片和數字多功能光碟(DVD)之類的光介質。
舉例來說，恰當的處理器包括通用處理器、專用處理器、傳統處理器、 數位訊號處理器(DSP)、多個微處理器、與DSP核心相關聯的一個或多個 微處理器、控制器、微控制器、專用集成電路(ASIC)、現場可編程門陣列 (FPGA)電路、任何一種集成電路(IC)和/或狀態機。
與軟體相關聯的處理器可以用於實現射頻收發信機，以在無線發射接收 單元(WTRU)、用戶設備、終端、基站、無線電網絡控制器(RNC)或是 任何一種主機計算機中加以使用。WTRU可以與採用硬體和/或軟體形式實 施的模塊結合使用，例如相機、攝像機模塊、視頻電路、揚聲器電話、振動 設備、揚聲器、麥克風、電視收發信機、免提耳機、鍵盤、藍牙@模塊、調 頻(FM)無線電單元、液晶顯示器(LCD)顯示單元、有機發光二極體(OLED) 顯示單元、數位音樂播放器、媒體播放器、視頻遊戲機模塊、網際網路瀏覽器 和/或任何一種無線區域網(WLAN)模塊。實施例
1. 一種對通過具有可信平臺模塊(TPM)的無線發射/接收單元(WTRU) 訪問的網站提供安全單點登錄(SSO)的方法，該方法包括
在所述WTRU處確定目標網站組； 安全地登錄到從所述網站組中選擇的一個網站；
使用在所述WTRU的TPM中產生和存儲的安全密碼登錄從所述網站組 中選擇的其它網站。
2. 根據實施例l所述的方法，其中所述TPM包括 SSO代理單元，用於確定何時請求對目標網站組的訪問。
3. 根據實施例2所述的方法，其中所述SSO代理單元由所述TPM安 全地保護。
4. 根據前述實施例中任一實施例所述的方法，其中所述TPM產生隨機 的密碼，以用於訪問從所述目標網站組中選擇的網站。
5. 根據實施例4所述的方法，其中所述TPM存儲隨機密碼，該隨機密 碼被產生以用於訪問從所述網站組中選擇的網站。
6. —種根據前述實施例中任一實施例的方法，其中確定步驟還包括 所述WTRU的用戶選擇目標網站組。
7. —種根據前述實施例中任一實施例的方法，其中所述SSO代理單元 安全地記錄密碼信息。
8. 根據實施例7所述的方法，其中所記錄的密碼信息是使用密鑰綁定 技術存儲的。
9. 根據實施例7或8所述的方法，其中所述所記錄的密碼信息是存儲 在所述TPM內的。
10. 根據前述實施例中任一實施例所述的方法，其中所述WTRU包括 存儲在TPM中的唯一身份。11. 根據前述實施例中任一實施例所述的方法，其中所述WTRU包括 存儲在通用用戶身份模塊(USIM)中的唯一身份。
12. 根據實施例10-11中任一實施例所述的方法，該方法還包括 基於所述唯一的身份建立加密密鑰分級。
13. 根據前述實施例中任一實施例所述的方法，其中安全地登錄到從網
站組中選擇的網站的步驟還包括
建立與所述網站的證書信息相關聯的唯一的用戶身份和密碼。
14. 根據前述實施例中任一實施例所述的方法，其中登錄到從網站組中
選擇的其他網站的步驟還包括
自動地傳送用戶證書到所述網站。
15. 根據實施例14所述的方法，其中所述用戶證書與數據一起傳送。
16. 根據前述實施例中任一實施例所述的方法，該方法還包括
感測用戶的生物信息。
17. 根據實施例16所述的方法，其中所感測的生物信息被用於認證目的。
18. 根據前述實施例中任一實施例所述的方法，該方法還包括
用戶請求註冊到包括網站A和網站B的網站組。
19. 根據實施例18所述的方法，其中所述註冊還包括
SSO密碼，該SSO密碼用於包括所述網站A和B的網站組、以及屬於 該組的網站的URL。
20. 根據實施例18-19中任一實施例所述的方法，其中所述註冊被遞增 地執行。
21. 根據實施例18-20中任一實施例所述的方法，該方法還包括 所述SSO代理單元對於所述網站組註冊網站URL和單獨SSO密碼。
22. 根據實施例21所述的方法，該方法還包括所述SSO代理單元向TPM和TPM軟體堆棧(TSS) (TPM/TSS)發送 SSO密碼、對於屬於所述網站組的所有網站的URL和網站證書、網絡訪問 應用程式(WAA)和代理的地址處理，以及
SSO代理向TPM/TSS請求數據綁定和特定網站的密碼的產生。
23. 根據實施例22所述的方法，該方法還包括 TPM/TSS相對於預定的參考檢査代理和WAA的編碼完整性。
24. 根據實施例23所述的方法，該方法還包括
對於所述網站組的每個URL， TPM/TSS使用TPM隨機數產生器產生強 加密的密碼。
25. 根據實施例24所述的方法，該方法還包括
TPM使用產生並且然後由TPM/TSS保護的存儲密鑰將特定網站的 URL、證書、SSO密碼散列(hash)、以及產生的特定網站的密碼密封為組 合的編碼完整性值。
26. 根據實施例24所述的方法，該方法還包括
TPM使用產生並且然後由TPM/TSS保護的存儲密鑰將特定網站的 URL、證書、SSO密碼散列、以及產生的特定網站的密碼綁定為組合的編碼 完整性值。
27. 根據實施例25-26中任一實施例所述的方法，該方法還包括 TPM/TSS產生強加密的隨機數，該隨機數用作TPM和SSO代理單元之
間用於指示相應於所述網站組中的每個網站的進一步的行為和請求的令牌。
28. 根據實施例27所述的方法，該方法還包括 TPM/TSS使用令牌作為所述網站組中的每個網站的數據處理。
29. 根據實施例28所述的方法，該方法還包括 TPM/TSS混編SSO密碼、並安全地存儲密碼和散列。
30. 根據實施例29所述的方法，該方法還包括TPM/TSS向SSO代理單元發送所有令牌；以及
TPM/TSS發送指示令牌和網站URL之間的映射的映射數據。
31. 根據實施例30所述的方法，該方法還包括 WTRU的用戶選擇URL。
32. 根據實施例31所述的方法，該方法還包括 所述代理攔截來自網站A的密碼提示。
33. 根據實施例32所述的方法，其中SSO代理單元使用網絡截取或結 合應用程式接口 (API)來攔截來自網站A的密碼。
34. 根據實施例32-33中任一實施例所述的方法，該方法還包括 SSO代理單元檢査網站A是否是所述網站組中的成員。
35. 根據實施例34所述的方法，該方法還包括
所述代理請求WTRU的用戶提供對於包含網站A的網站組的SSO密碼。
36. 根據實施例35所述的方法，該方法還包括 WTRU的用戶提供SSO密碼。
37. 根據實施例36所述的方法，該方法還包括 所述代理檢查由WTRU的用戶提供的SSO密碼。
38. 根據實施例37所述的方法，該方法還包括
所述代理向TPM/TSS發送開封(unseal)對於網站A的密碼的請求。
39. 根據實施例38所述的方法，其中開封對於網站A的密碼的請求包 括SSO代理單元存儲在資料庫中的對於網站A的SSO密碼和任何特定網站 的證書。
40. 根據實施例38或39中任一實施例所述的方法，其中開封對於網站 A的密碼的請求包括對於SSO代理單元和WAA的編碼處理。
41. 根據實施例39-40中任一實施例所述的方法，該方法還包括 TPM/TSS檢查屬於網站A的令牌；以及開封對於網站A的特定網站的密碼和證書。
42. 根據實施例41所述的方法，該方法還包括
TPM/TSS向SSO代理單元提供對於網站A的特定網站的密碼和證書。
43. 根據實施例42所述的方法，該方法還包括
SSO代理單元填充在WAA上對於網站A的密碼和證書欄位。
44. 根據實施例43所述的方法，該方法還包括 向網站A發送特定網站的密碼和證書； 在網站A處確認成功的註冊。
45. 根據實施例44所述的方法，該方法還包括 向SSO代理單元指示成功的網站註冊；以及 將成功的註冊記錄在SSO代理單元資料庫中。
46. 根據前述實施例中任一實施例所述的方法，其中與WTRU的ID和 認證相關的數據由WTRU的TPM加密地保護。
47. 根據前述實施例中任一實施例所述的方法，該方法還包括 使用新的加密密鑰周期性地更新存儲的、加密的數據。
48. —種通過使用可信平臺模塊(TPM)的裝置保護訪問應用程式和基 於網際網路的服務的用戶自動登錄(SASO)的方法，該方法包括
用戶通過單點登錄ID和密碼訪問應用程式和基於網際網路的服務。
49. 根據實施例48所述的方法，其中TPM包括TPM軟體堆桟(TSS)。
50. 根據實施例48-49中任一實施例所述的方法，該方法還包括用戶通 過保護一個因素認證向所述裝置認證並獲得對裝置的訪問。
51. 根據實施例48-49中任一實施例所述的方法，該方法還包括用戶通 過保護兩個因素認證向所述裝置認證並獲得對裝置的訪問，其中第二因素是 由TPM安全地通過生物保持的。
52. 根據實施例48-51中任一實施例所述的方法，其中SASO代理單元訪問保持在TPM內的安全信息。
53. 根據實施例51或52所述的方法，其中生物第二因素認證被使用， 並且SASO代理單元向TPM發送請求以重新得到該生物第二因素認證以用
於認證o
54. 根據實施例53所述的方法，該方法還包括TPM向SASO代理單元 提供生物認證數據。
55. 根據實施例48-54中任一實施例所述的方法，該方法還包括用戶通 過使用WAA嘗試註冊到安全的網站。
56. 根據實施例55例所述的方法，其中所述應用程式是網絡-WAA (WAA)。
57. 根據實施例55或56所述的方法，其中WAA向第一基於網際網路的 服務的網站發送用戶希望訪問它的指示。
58. 根據實施例57所述的方法，該方法還包括WAA接收並指示第一 基於網際網路的服務的網站的登錄提示。59. 根據實施例48-58中任一實施例所述的方法，該方法還包括SSO代 理單元攔截來自WAA的第一網站的認證提示。
60. 根據實施例59所述的方法，其中所述攔截通過網絡截取或通過結
合解析技術來完成。
61. 根據實施例48-60中任一實施例所述的方法，該方法還包括SASO 代理單元向TPM傳遞用戶ID信息。
62. 根據實施例61所述的方法，其中用戶ID信息包括來自兩個因素認
證的裝置登錄信息。
63. 根據實施例48-62中任一實施例所述的方法，該方法還包括特定網 站的安全密碼被生成並由TPM安全地存儲。
64. 根據實施例63所述的方法，其中所述密碼被安全地直接存儲在TPMNV存儲器中或者通過TPM保護的綁定存儲密鑰在通用存儲器中被加密。
65. 根據實施例59-64中任一實施例所述的方法，其中SASO代理單元 通過WAA密碼提示將信息填入特定網站的安全密碼、將特定網站的信息填 入第一網站。
66. 根據實施例65所述的方法，該方法還包括WAA向第一網站傳送 特定網站的密碼；以及第一網站註冊特定網站的密碼並且向WAA發送訪問 授權。
67. 根據實施例48-66中任一實施例所述的方法，其中註冊被建立還包 括安全地存儲特定網站的信息和在由TPM綁定存儲密鑰保護的TPM數據點 中的資料庫記錄。
68. 根據實施例67所述的方法，其中特定網站的的信息包括以下至少 一者URL、數字證書、用戶ID以及密碼。
69. 根據實施例66-68中任一實施例所述的方法，其中特定網站的的密 碼被SASO代理單元重用於稍後到相應網站的登錄。
70. 根據實施例48-69中任一實施例所述的方法，其中第一網站授權訪 問WAA還包括正常的基於網絡的通信。
71. 根據實施例48-70中任一實施例所述的方法，該方法還包括訪問已 經建立的網站，其中對於該網站的密碼已經被保持在TPM中。
72. 根據實施例48-71中任一實施例所述的方法，該方法還包括使用 SASO代理單元訪問另外的網站。
73. 根據實施例48-72中任一實施例所述的方法，其中由TPM啟動的 編碼完整性檢查過程被用於保護SASO代理單元的完整性以確保安全事務 處理的發生。
74. 根據實施例48-73中任一實施例所述的方法，該方法還包括建立策 略或簡檔以管理密碼更新過程，其中TPM通過將策略和簡檔信息存儲在由TPM綁定存儲密鑰保護的數據點中來保護所述策略和簡檔信息。
75. 根據實施例48-74中任一實施例所述的方法，該方法還包括使用安 全時間設施以提供要被管理的安全密碼更新策略。
76. 根據實施例48-75中任一實施例所述的方法，該方法還包括將若干 個網站組合在一起並將單個認證密碼保持在TPM中。
77. 根據實施例48-76中任一實施例所述的方法，該方法還包括TPM 執行對用於認證的密鑰和密碼的頻繁更新。
78. 根據實施例77所述的方法，其中TPM包括安全定時器模塊，該安 全定時器模塊記錄上一次密碼更新發生的時間、以及由用戶或基於網際網路的 服務提供的觸發密碼更新過程的更新時間間隔。
79. —種由用戶通過具有SASO代理單元和可信平臺模塊(TPM)的裝 置對應用程式或基於網際網路的服務訪問的單點自動登錄(SASO)的方法， 該方法包括
用戶配置一組應用程式或基於網際網路的服務，由此訪問每個應用程式或 基於網際網路的服務被一組特定的密碼控制。
80. 根據實施例79所述的方法，該方法還包括
SASO代理單元接收對網站組的建立或註冊的請求，該網站組包括第一 網際網路網站和第二網際網路網站；以及
產生對於所述網站組的SSO密碼、以及屬於所述網站組的網際網路網站 的URL。
81. 根據實施例80所述的方法，其中用戶增加開始僅具有第一網際網路 網站的用戶組，而隨後添加或刪除其他網站。
82. 根據實施例79-81中任一實施例所述的方法，該方法還包括執行對 網站組的更新，以及SASO代理單元請求用於添加、或甚至解除綁定和重新 綁定由TPM保持的數據的過程。83. 根據實施例79-82中任一實施例所述的方法，該方法還包括SASO 代理單元註冊對於網站組的網站URL和單個SSO密碼。
84. 根據實施例79-83中任一實施例所述的方法，其中TPM包括TPM 軟體堆棧(TSS)。
85. 根據實施例80-84中任一實施例所述的方法，該方法還包括SASO 代理單元向TPM發送屬於所述組中的所有網站的SSO密碼、URL以及網站 證書、網際網路WAA軟體和SSO代理單元本身的地址處理；以及向TPM發 送對於數據綁定和對於特定網站的的密碼產生的請求。
86. 根據實施例85所述的方法，其中對於表中的每個URL， TPM使用 TPM隨機數產生器(RNG)產生強加密的密碼。
87. 根據實施例86所述的方法，該方法還包括TPM綁定特定網站的 URL、任何證書、SSO密碼、以及其產生的在用TPM存儲密鑰加密的數據 點中的特定網站的密碼。
88. 根據實施例87所述的方法，其中所述密鑰是限制在容納TPM的平 臺中的。
89. 根據實施例80-88中任一實施例所述的方法，其中用戶用網站組相 關聯的信息向所述網站組指示更新，還包括來自SASO代理單元和TPM的 指示添加或刪除對於所影響的網站的特定網站的記錄。
90. 根據實施例79-89中任一實施例所述的方法，該方法還包括用戶將 URL輸入到對於WAA的第一網際網路網站的裝置中。
91. 根據實施例90所述的方法，該方法還包括SASO代理單元攔截來 自第一網際網路網站的密碼提示。
92. 根據實施例91所述的方法，其中所述攔截是網絡截取的或結合API 或其他解析技術進行的。
93. 根據實施例91或92所述的方法，該方法還包括SASO代理單元檢查第一網際網路網站是否是註冊的網站組的成員，並且如果結果為肯定的就識 別該組。
94. 根據實施例91-93中任一實施例所述的方法，該方法還包括SASO 代理單元請求用戶提供對於第一網際網路網站所屬的網站組的SSO密碼。
95. 根據實施例91-94中任一實施例所述的方法，該方法還包括用戶輸 入或提供對於第一網際網路網站的SSO密碼和網站URL。
96. 根據實施例95所述的方法，其中所述提供是由生物進行的。
97. 根據實施例94-96中任一實施例所述的方法，其中SASO代理單元 檢驗用戶提供的SSO密碼。
98. 根據實施例91-93中任一實施例所述的方法，該方法還包括SSO代 理單元通過網站URL、其證書以及對於密碼的提示自動提供SSO密碼。
99. 根據實施例79-88中任一實施例所述的方法，該方法還包括SSO代 理單元向TPM發送請求以解除綁定並重新獲得對於第一網際網路網站的密 碼，所述第一網際網路網站的密碼包括對於第一網際網路網站的SSO密碼和網 站URL。
100. 根據實施例99所述的方法，該方法還包括TPM將對於第一互聯 網網站的SSO密碼和URL用作數據處理，以解除綁定對於來自先前存儲的 數據點的第一網際網路網站的特定網站的密碼和證書；TPM相對於它從綁定 存儲中恢復的數據的值，檢査它從SASO代理單元接收到的SSO密碼和網 站URL。
101. 根據實施例100所述的方法，其中如果SSO密碼的檢查被完成， 則TPM向SSO代理單元提供對於第一網際網路網站的特定網站的密碼和證 書。
102. 根據實施例79-101中任一實施例所述的方法，該方法還包括SSO 代理單元使用網絡截取、API或其他解析技術填充對於第一網際網路網站的密碼和證書欄位。
103. 根據實施例102所述的方法，該方法還包括填充網際網路WAA並 向第一網際網路網站發送特定網站的密碼和證書；以及註冊在第一網際網路網站 註冊的密碼和證書。
104. 根據實施例103所述的方法，該方法還包括向網際網路WAA指示 成功的註冊；以及向SASO代理單元指示所述註冊並將所述註冊記錄在其數 據庫中。
105. 根據實施例104所述的方法，該方法還包括將所述註冊被記錄為 在由TPM密鑰保護的安全存儲器中的存儲測量日誌(SML)。
106. 根據實施例79-105中任一實施例所述的方法，其中用戶設法訪問 要登錄的第一網際網路網站以在稍後的時間使用網站的服務，還包括用戶通過 SASO獲得訪問。
107. 根據實施例79-106中任一實施例所述的方法，其中用戶註冊或稍 後訪問第二網際網路網站而不是第一網際網路網站，還包括使用對於第二網際網路 網站的特定網站信息執行第二網際網路網站的SASO註冊或認證，所述特定網 站信息包括以下一者或多者URL、證書、特定網站的密碼、以及令牌。
108. 根據前述實施例中任一實施例所述的方法，其中運行TPM限於用 戶的平臺，還包括通過位於用戶的裝置或平臺中的TPM加密地保護對於其 保密性、完整性、以及真實性的用戶或用戶的裝置的認證和ID相關的數據。
109. 根據實施例108所述的方法，其中TPM通過提供物理保護界限為 它加密地保護並存儲的數據提供固有的安全性。
110. 根據實施例108-109中任一實施例所述的方法，該方法還包括擴 展USIM功能以將TPM功能包括在內，從而包括高熵值的密碼的安全證書 被提供給應用程式安全組件和IP堆桟安全組件。
111. 根據實施例IIO所述的方法，其中應用安全組件包括DRM和PGP服務組件。
n2.根據實施例110或lll所述的方法，其中IP堆棧安全組件包括IPSec 或TLS或包括二者。
113. 根據實施例108-110中任一實施例所述的方法，該方法還包括基於 密碼和/或加密密鑰的自動更新的策略，所述密碼和/或加密密鑰在集成在 USIM內的TPM內被刷新。
114. 根據實施例108-110中任一實施例所述的方法，該方法還包括將 USIM功能擴展為將TLS和應用程式安全所需的認證算法包括在內。
權利要求
1. 一種使用單點登錄(SSO)技術執行安全密碼管理的無線發射/接收單元(WTRU)，該WTRU包括SSO代理單元，該SSO代理單元用於接收來自用戶的用戶認證數據，並用於獲得對於至少一個網站的特定用戶的登錄信息的請求；可信平臺模塊(TPM)，該TPM用於存儲對於至少一個網站的特定用戶的登錄信息和用戶認證數據，並用於比較所接收到的用戶認證數據與所存儲的用戶認證數據，以及如果所述比較為肯定的則轉發所存儲的特定用戶的登錄信息；網絡訪問應用程式(WAA)，該WAA用於自動接收所轉發的特定用戶的登錄信息，並且一旦接收到訪問所述至少一個網站的用戶請求，就將所述轉發的特定用戶的登錄信息傳送給所述至少一個網站。
2. 根據權利要求1所述的WTRU，其中所述SSO代理單元需要用戶認 證數據來訪問所述TPM中的密碼。
3. 根據權利要求2所述的WTRU，其中所述用戶認證數據基於至少兩 個因素。
4. 根據權利要求3所述的WTRU，其中所述至少兩個因素之一是生物 信息。
5. 根據權利要求3所述的WTRU，其中所述至少兩個因素之一是密碼。
6. 根據權利要求1所述的WTRU，其中一旦成功提供了用戶認證數據， 訪問就被自動地授權給預識別的網站組中的所有網站。
7. 根據權利要求1所述的WTRU，其中特定用戶的登錄信息至少包括 URL和特定網站的密碼。
8. 根據權利要求7所述的WTRU，其中TPM產生並維持特定網站的密碼。
9. 根據權利要求8所述的WTRU，其中所述特定網站的密碼是僅存儲 在所述TPM中的隨機密碼。
10. 根據權利要求1所述的WTRU，其中如果所述比較為肯定的，則能 夠訪問另外的網站。
11. 根據權利要求1所述的WTRU，其中所述SSO代理單元從所述至 少一個網站接收安全登錄證書並且使用所述證書來認證所述至少一個網站。
12. 根據權利要求1所述的WTRU，其中所述SSO代理單元提示所述 用戶是否對網站組使用SSO操作。
13. 根據權利要求12所述的WTRU，其中所述提示包括僅對所述網站 組的子組使用SSO操作的選項。
14. 根據權利要求13所述的WTRU，其中該WTRU被配置為使用自由 聯盟身份聯盟框架(ID-FF)來執行SSO服務。
15. 根據權利要求1所述的WTRU，其中該WTRU被配置為認證裝置 可信鏡像(DTM)，從而建立與所述DTM之間的可信關係和與無線電接入網絡之間的安全連結。
16. 根據權利要求1所述的WTRU，其中所述DTM提供"鏡像"所述 用戶設備的可信度的服務，並且所述DTM被配置為提供可信度信息到該信 息的外部請求方。
17. —種對通過具有可信平臺模塊(TPM)的無線發射/接收單元 (WTRU)訪問的網站組中的至少一個網站提供安全單點登錄(SSO)的方法，該方法包括在所述WTRU處確定網站組； 使用至少一個認證因素認證用戶；以及一旦通過使用存儲在所述TPM中的登錄信息認證了所述用戶，就安全 地登錄到從所述網站組中選擇的一個網站。
18. 根據權利要求17所述的方法，其中所述WTRU包括SSO代理單 元，該SSO代理單元用於確定何時請求對預定義網站組的訪問。
19. 根據權利要求18所述的方法，其中所述SSO代理單元由所述TPM安全地保護。
20. 根據權利要求17所述的方法，其中所述TPM產生隨機的每個站點 密碼，用於訪問從所述網站組中選擇的網站。
21. 根據權利要求17所述的方法，其中所述TPM存儲隨機密碼，該隨 機密碼被產生以用於訪問從所述網站組中選擇的網站。
22. 根據前述權利要求中任一項權利要求所述的方法，'其中確定步驟還包括WTRU從用戶接收網站組。
23. 根據權利要求17所述的方法，其中所述SSO代理單元安全地記錄 密碼信息並且將該密碼信息存儲在所述TPM中。
24. 根據權利要求23所述的方法，其中所記錄的密碼信息使用密鑰綁 定技術被存儲在所述TPM中。
25. 根據權利要求17所述的方法，其中所述WTRU包括存儲在所述 TPM中的唯一身份。
26. 根據權利要求17所述的方法，其中所述WTRU包括存儲在通用用 戶身份模塊(USIM)中的唯一身份。
27. 根據權利要求24所述的方法，其中使用密鑰綁定技術包括使用基 於唯一身份的加密密鑰分級結構。
28. 根據權利要求17所述的方法，其中安全地登錄到從所述預定義網 站組中選擇的站點的步驟還包括-建立與網站的證書信息相關聯的唯一的用戶身份和密碼。
29. 根據權利要求17所述的方法，其中登錄到從所述網站組中選擇的 其它網站還包括自動地發送用戶證書到所述其它網站。
30. 根據權利要求29所述的方法，其中所述用戶證書與數據一起發送。
31. 根據權利要求17所述的方法，該方法還包括 感測用戶的生物信息。
32. 根據權利要求31所述的方法，其中所感測的生物信息被用於認證 目的。
全文摘要
一種基於可信計算(TC)技術的用於密碼管理和單點登錄(SSO)訪問的方法和設備。該方法實施可信計算組(TCG)的可信平臺模塊(TPM)，其與代理SSO單元和網絡訪問應用程式交互來提供安全、可信的機制來產生、存儲和重新獲得密碼和SSO證書。本發明的各個實施方式允許在一次登錄到位於用戶設備中的安全代理中之後，用戶能夠安全且透明地從屬於預識別站點組中的一個站點跳到另一個站點。
文檔編號H04L29/06GK101507233SQ200780031119
公開日2009年8月12日 申請日期2007年8月22日 優先權日2006年8月22日
發明者A·雷茲尼克, I·查, O·洛佩茲-託拉斯, Y·C·沙阿 申請人:交互數位技術公司