專利名稱:無線發射/接收單元的制作方法
技術領域:
本發明涉及無線通信。更具體的,公開了用于提供對于應用程序和基于互聯網的服務的可信單點登錄(SSO)訪問以及可信的身份(ID)管理的方法和設備。
背景技術:
由于無線通信設備的不斷増加,需要增強和簡化用戶登錄到由第三方互聯網內容供應商提供的獨立安全網站的認證過程。為了獲得對這些網站的訪問,需要用戶為每個服務設置唯一的用戶ID和密碼。然而,使用符合不同密碼策略的多個用戶ID和密碼是棘手的并且會變為安全缺ロ。因此,非常需要ー種用于增強密碼管理的安全等級并且同時為無線通信設備用戶簡化用戶認證過程的方法。因為第三方網站服務與無線網絡運營商保持獨立的協議,所以將用戶認證過程基于訪問網絡上的第三方服務是不現實的,該訪問網絡是無線網絡比如無線電接入網絡(RAN)、固定或低移動性無線網絡(例如IEEE802. 16型網絡)或者固定有線網絡。因為服務供應商和用戶經常使用單個身份通過多個RAN、無線網絡或固定網絡來訪問服務,用戶和第三方服務供應商將有可能在不同網絡上實施SSO操作,其中網絡運營商可保持對授權用戶許可的控制。在一種情況下,無線網絡運營商和第三方ID業務供應商可提供唯一用戶ID給用戶來在不同類型的網絡、運營商和服務供應商之間實現無縫的服務連續性。唯一用戶ID可分解在不同網絡類型和實體的服務之間以及服務供應商邊界的頻率和高容量的改變帶來的過渡問題。對于密碼或認證證書的不良管理會對安全產生毀滅的影響。攻擊者可通過薄弱的或被盜的密碼來獲得對敏感數據的訪問。不良的密碼管理還會導致運行成本的増加。例如,幫助桌面(Help Desk)需要容量會隨著需要重新獲得或重置丟失或遺忘密碼的用戶的數量增加而大幅増加。以下是將在下文詳細描述的用于改善密碼管理的現有技術特定密碼策略、無密碼認證、生物因素、密碼同步、證書映射、企業單點登錄(E-SS0)、結合密碼同步的E-SS0、網站單點登錄(Web-SSO)以及安全聲明標記語言(SAML)。為了增強用戶的密碼等級,一個組織實施特定密碼策略。普通的密碼策略需要用戶設置很難猜到的密碼或頻繁地更換密碼。密碼策略還可備份用戶密碼歷史紀錄來防止立即重用密碼,或實施封鎖策略來封鎖在一定量的嘗試之后登錄失敗的任何人。然而,實施好的密碼策略會增強密碼安全 性時,其還鼓勵用戶設置便于記憶和管理的模式化密碼。例如,用戶可使用字符和數字的組合來建立密碼,比如_$%9876來滿足密碼策略的復雜性要求。然而,當用戶被系統提示來更改密碼時會使用舊密碼的變形來建立新密碼,比如_$%8765或_$%7654。模式化密碼的使用削弱了密碼的安全等級,這是因為已知用戶的密碼歷史會使得對舊密碼變形的破譯嘗試次數大大減少。因為復雜的密碼很難記憶,嚴格的密碼策略會導致用戶對于不同的服務采用相同的密碼。當在不同服務中都使用密碼時,在任何ー種服務中的單個密碼危機會導致在所有其它服務中的密碼危機。無密碼認證是另ー種用于改善認證過程安全性的技木。個人和組織采用不依賴用戶ID和密碼的認證方法,比如智能卡和認證代碼。智能卡使用固有密碼(個人身份號碼(PIN))來對存儲在卡上用于用戶認證目的的復雜密碼解鎖。這種設置消除了對用戶輸入密碼的需求,并且使用多因素認證(物理智能卡和存儲其上的PIN)來認證用戶。然而,智能卡具有比如設置系統的高預支付成本,以及用于維持對丟失、被盜和其它危機卡的幫助桌面支持的高維護成本。使用生物因素來認證用戶也正流行起來。普通的生物認證設備包括視網膜掃描儀、指紋掃描儀和手部掃描儀。這些設備用從用戶的身體屬性獲得的數據來認證用戶。這種設備的一個缺陷是它們的實施和維護都是昂貴的。密碼同步是允許用戶在多個系統中使用一個單ー的密碼的技木。在密碼同步中,密碼是符合對于密碼重置和密碼更改的単一安全策略的。在這種技術中,從ー個位置提取密碼的純文本拷貝并且將其置于ー個或多個外部服務位置。為了實現這種方案,每個用戶的用戶簡檔的拷貝必須在每個系統被建立開始時就存在于其中,并且在系統運行的整個時期都保持。密碼同步中的密碼更改可通過單向推動或雙向推動來進行。在單向密碼推動中,在中央系統中的密碼更改被截取并被推動到網絡內的其它位置。在雙向密碼推動中,密碼更改可在任何系統中作出并且在整個密碼結構中傳播。單向密碼推動的主要問題在于存儲密碼的系統的安全性測量。因為同步的密碼在多個系統中使用,在任一系統中的安全危機會導致所有系統中的災難性的安全危機。盡管雙向密碼同步提供更大的用戶靈活性,但是其也會導致其它問題,比如建立密碼更改的無窮循環。因為系統被程序化來將新的數據傳播到系統的其`部分,所以系統會受困于無盡的密碼更新過程來傳播在單個密碼上的多個密碼更改。因此,盡管密碼同步使得用戶不需要記憶和管理網絡中多個密碼,但是密碼同步也通過允許用戶使用一個密碼來訪問多個服務而削弱了密碼的安全性。證書映射,通常被稱為E-SS0,是ー種代表用戶存儲、重新獲得和“鍵入”用戶ID和密碼的技術。為了實施E-SSO,E-SSO軟件的ー份副本必須被安裝在每個WTRU上。用于每個系統和應用程序的用戶ID和密碼被存儲在本地文件、附著于網絡的數據或者用戶目錄中。在最初的安裝之后,用戶可通過它們先前那樣的操作或者通過新的E-SSO軟件接ロ登錄到他們的工作站。當用戶請求使用他們的工作站連接到應用程序吋,E-SSO軟件自動地添加應用程序的登錄頁的用戶ID和密碼字段。在E-SSO系統中,用戶使用ー組或兩組用戶證書(例如用戶ID和密碼)登錄到他們的工作站(1)當用戶僅需要登錄到E-SSO軟件而不是他們的工作站時;以及(2)當用戶必須登錄二者吋。ー些E-SSO系統支持除了用密碼登錄網站以及訪問用戶的證書簡檔的其它認證技術的使用,包括智能卡、認證符號或生物采樣。此外,ー些E-SSO技術被配置為對于每個目標完全控制密碼管理。這種方式消除了對用戶為任意目標系統記憶密碼的需要。E-SSO軟件自動代表用戶登錄。在E-SSO中,用戶不需要在目標系統上更改密碼。軟件組織并預期密碼更改請求并且代表用戶相應地更改密碼。如果目標系統僅通過證書管理軟件來訪問那么證書映射密碼管理特征是最佳的。盡管E-SSO系統提供保護用戶密碼的功能,但是系統具有成本高和建立繁瑣的缺陷。實施E-SSO系統不僅需要為每個用戶建立登錄ID,而且為每個用戶對于每個目標應用程序存儲當前密碼。建立E-SSO系統還需要安裝客戶端軟件和配置證書數據庫用于存儲用戶ID和密碼。數據庫可通過專用網絡服務或者通過擴展已有目錄(例如有效目錄、LDAP、NAS)的概要來獲得。證書數據庫本身具有多個要求。為了實現其目的,數據庫必須是快速和可用的,因為數據庫中的ー個故障會阻止大量用戶登錄到任何系統。此外,數據庫也必須是安全的,因為數據庫中的危機會導致所有系統中每個用戶證書的危機。作為中央密碼控制系統,E-SSO引入了單故障點。如果E-SSO系統或者證書數據庫出問題,那么用戶不能登錄到任何系統。此外,E-SSO技術不支持對于支持多個用戶接ロ的應用程序(例如客戶機、網站、電話等)的認證過程。此外,因為E-SSO依賴于Windows “截屏”技木,E-SSO系統的配置和管理成本很高,特別是在多種工作站上進行吋。因此,E-SSO系統不僅是緩慢、耗時、建立和登記成本高的,并且還是易于單故障點。將E-SSO與密碼同步結合會解決僅實施E-SSO系統的ー些缺陷。例如,不用密碼同步技術,用戶將不能使用他們的E-SSO密碼來登錄到使用可替代的用戶接ロ的應用程序。因為用戶不是一定知道他們的密碼,使用私人客戶端比如Microsoft Outlook的用戶不能通過網絡入口訪問e-mail帳戶。通過將密碼同步與E-SSO結合,用戶可使用他們的原始密碼來通過可替換接ロ比如網絡入ロ登錄到其它應用程序。此外,在配置E-SSO系統之前配置密碼同步系統減小了獲得每 個用戶的用戶ID簡檔的時間和精力。在E-SSO系統中,用戶證書典型地用從原始E-SSO密碼獲得的密鑰來加密。在這種配置下原始E-SSO密碼的丟失會導致對于每個系統的用戶證書的丟失。甚至在丟失的E-SSO密碼被重置后,加密證書將不能被訪問,因為證書是用從丟失密碼獲得的密鑰加密的。換句話說,重置用戶的E-SSO密碼將不能重新獲得用戶證書,并且用戶必須用E-SSO系統重新登記。為了解決這個問題,E-SSO系統必須提供“后門”來在E-SSO密碼重置后恢復用戶證書。密碼重置系統必須集成該后門系統或者提供其本身的后門。在重置用戶的原始E-SSO密碼之后,密碼重置系統必須從安全存儲中恢復用戶的先前密碼,解密用戶的舊證書并且用新的密碼和密鑰重新加密,從而E-SSO客戶端軟件能夠被重新訪問。集成密碼重置、密碼同步和E-SSO系統解決了該問題并且允許組織能夠享受到快速配置、自動登錄和自我服務問題解決的益處。然而,這些技術的結合不能解決安全密碼和登錄證書的發行。此外,在任何客戶機或服務器軟件或數據庫中的危機都會危及用戶簡檔。并且,該結合還不能提供證明進行密碼同步和E-SSO的系統的“健康”狀態的方式。沒有這種證明,一旦用戶被系統授權,用戶可在甚至系統有危機的時候訪問系統。Web-SSO用應用程序和通過網頁瀏覽器訪問的資源來工作。在Web-SSO中,對網絡資源的訪問被網絡代理服務器或在目標網絡服務器上的組件攔截,并且嘗試訪問網絡資源的未認證用戶被轉移到認證提示,并且僅在成功的登錄之后才被重新定向到原始站點。Cookies是最常用于追蹤用戶的認證狀態的,并且Web-SSO基礎從Cookies中提取用戶身份信息并且將其傳遞到網絡資源。屏幕截取和聯盟是在Web-SSO中使用的兩種最重要的現有技木。普通類型的屏幕截取是網絡截取。網絡截取也被稱為HTML截取或者頁面截取,是ー種計算機程序網絡截取器從網頁上提取數據的技術。網絡截取可被用于E-SSO或Web-SSO中。截屏技術是有用的,因為網頁是使用通常包括文本形式信息的基于文本標示語言(例如HTML)來建立的。相反,程序之間的數據交換通常使用不易被人們理解的為機器設計的數據結構來完成。類似的,用于用戶的數據輸出通常不適用于機器解釋。因此,需要截屏來完成程序之間的數據傳送,通過首先從HTML和其它標示機器語言中提取機器友好數據,井隨后在程序之間交換所提取的機器友好數據。當執行截屏時,從計算機文本顯示器讀取的數據通常通過其輔助端ロ讀取終端的存儲器、或者通過將終端的輸出端ロ連接到另ー個系統的輸入端ロ來完成。在這些情況下,屏幕截取還可指網頁的計算機化解析。截屏通常被執行來(I)連接不能夠提供與兼容當前硬件的可替換機構的合法系統,或者(2)連接提供較不復雜應用程序接ロ(API)的第三方系統。在第二種情況下,第三方系統會考慮不需要截屏,因為比如會増加系統負載、廣告收入損失或信息內容的控制損失的原因。圖1說明了在使用網絡截取的Web-SSO的現有技術的WTRU中的示例程序。在該圖表中,假設WTRU配備了代理軟件并且在WTRU上的網絡訪問應用程序與SSO代理軟件協同交互來允許代理建立和控制SSO在網絡服務上的程序。例如當瀏覽器接收訪問URL的請求時,其將URL傳輸到SSO代理軟件來驗證web-SSO是否能被用于訪問特定網站。聯盟是第二種用于使用基于標準的協議來使得一個應用程序對于另ー個實體維持用戶身份的web-SSO的重要技木,從而不需要多余的認證。支持聯盟的說明標準包括自由聯盟(Liberty Alliance) `ID-FF、OASIS、SAML 以及 Shibboleth,由 Internet2 開發。自由聯盟提供一組開發包含定義聯盟身份管理和網絡服務通信協議的說明的組的廣義エ業協會。協議被設計用于企業內和企業間的配置。OASIS是開發用于電子商務的解決方式的非盈利性組織。當前版本為2. 0的SAML是用于安全維持的標示語言,其包括可實現SSO認證的用戶身份信息。Shibboleth是基于聯盟身份和SAML為認證和授權基礎建立結構和開放源實施方式的Internet2中間設備開始(NMI)項目。圖2說明了使用自由聯盟ID-FF的WTRU用戶的web_SS0程序。在web_SS0的環境中,自由聯盟使得用戶登錄到單獨帳戶并且從網絡中的ID管理實體管理的“信任圈子”中的多個服務供應商請求服務。自由聯盟的ー個顯著特征是“聯盟”過程。自由聯盟允許用戶確定他們是否想要不經過重新認證而訪問服務供應商(SP),而不是確定用戶在不經過重新認證時必須擁有什么類型的權利來訪問SP。為了獲得這個權利,用戶必須首先由被識別為SP的身份供應商(IDP)來認證。這使得自由聯盟稱為用于擴展企業框架環境中的用于身份管理的可行框架,其中用戶典型的將個人數據的管理委托給企業。SAML是由OASIS組織建立的XML標準,用于在安全域之間即在IDP和SP之間交換認證和授權數據。圖3描述了 SAML組件之間的關系。SAML嘗試通過在網絡實體之間實現無縫和可靠的認證程序和安全維持信息的交換來解決web-SSO的問題。SAML標準利用以下組件(I)維持組件,(2)協議組件,(3)捆綁組件,(4)和簡檔組件。維持組件允許實體來維持另一個實體的特征和屬性,比如用戶名、狀態、郵件地址、團體中的會員等。協議組件通過XML方案編碼并且定義請求-響應相關協議的列表。捆綁組件定義SAML協議消息如何在SOAP消息中傳送并且SOAP消息如何在HTTP上傳送。SOAP消息是完好形成的XML消息,其根據W3C組織SOAP版本1. 2封裝和編碼規則來建立。圖4示出了在典型的捆綁情況下在SAML組件之間的交換的例子。簡檔組件是SAML規范的核心,其定義SAML請求和相應怎樣傳送。盡管獨立ID-FF和SAML在增強密碼安全等級中起到了重要的作用,但是都沒有解決怎樣保證需要用于用戶的設備或IDP和SP中的web-SSO的敏感信息安全。此外,因為獨立ID-FF和SAML最終放棄了對用戶到IDP和SP的認證過程的控制,所以所需要的用戶的個人信息、用戶簡檔的公開會導致該過程中的危機。在文獻和產品中出現了可信的計算技木,大多是在可信計算組(TrustedComputing Group (TCG))的技術傘之下。可信計算是基于提供密碼功能和保護存儲的專用、物理獨立硬件模塊的物理安全的。TCG已經開發了提供方法用于計算實體來維持系統完整性的方法的各種技術,來當建立了適當可信等級時驗證認證過程,并且在與其它設備的信息交換和處理上基于這些目標設備的明顯可信等級來執行評估和決定。TCG定義了被稱為可信平臺模塊(TPM)的核心平臺模塊。圖5描述了 TPM的組成,該TPM提供TPM模塊及其接ロ的物理保護。該模塊還提供對于易失性和非易失性存儲空間的保護以及執行加密和數字簽名的密碼功能。TPM使用平臺配置寄存器(PCR)基于公鑰基礎(PKI)通過HASH擴展和用戶設備細節和安全背書密鑰(EK)來捕捉平臺及其軟件不見的“狀態”。EK從未被暴露在外,但是其假信號、證明身份密鑰(AIK)被用于驗證平臺的完整性數值。此外,TPM在存儲器中使用“密封”數據結合AIK簽名的PCR值的過程,從而數據僅當來自TPM和密封存儲器的匹配PCR值測量和驗證的平臺或軟件的完整性被驗證時才能被訪問或提取。圖6說明了外部實體(攻擊者或驗證者)可怎樣使用TPM、AIK和私有證書權力(PCA)來進行請求平臺證明。這種證明機制對于改善SSO技術的可信性和安全性方面都是有用的。TCG還可指定用于包括TPM的計算平臺的詳細TPM軟件堆棧(TSS)。每個TSS模塊包括提供特定功能的組建。這些組建的最初設計目的是提供對TPM的單個、同步的登錄點,用根據應用程序適當排序和排列的字節來隱藏建立指令流以及管理TPM資源。圖7示出了 TPM和TSS層的結構。TSS模塊包括以下組件(I)與標準化TPM設備驅動器庫(TDDL)交互的TSS設備驅動器接ロ(TDDLI) ; (2)與TPM的TCS指令(未示出)交互的TSS核心服務接ロ(TCSI);以及(3)與TCG的TSP指令(未示出)交互并且位于應用程序之下的TCG服務供應商接ロ(TSPI )。在TPM —側,TDDL位于賣家特定的TPM設備驅動器頂部,其與TPM通信。TDDLI保證TSS的不 同實施方式將與任何TPM適當通信,將提供OS獨立接ロ用于TPM應用程序,并且將允許TPM賣家提供軟件TPM仿真器作為用戶模式組建。TDDL在平臺上提供用戶模式和內核模式的轉換。TCG核心服務(TCS)提供對于平臺服務的普通設置的接ロ。TCS提供以下四種核心服務(1)上下文管理,其實施對TPM的線程訪問;(2)證書和密鑰管理,其存儲關于平臺的證書和密鑰;(3)測量事件管理,其管理事件日志項目并且訪問相關PCR,以及(4)參數模塊產生,用于連續化、同步化并處理TPM指令。TCG服務供應商(TSP)是基于目標定向結構的對于TPM的C接ロ。TSP與應用程序位于相同的處理地址位置內。授權發生在該層中,通過使用為該層編碼的用戶接ロ或者通過在TCS層的回呼機制。為了為終端用戶提供標準化的授權接ロ,本地應用程序不提供認證服務,而是由平臺提供。TSP提供兩種服務(I)上下文管理;以及(2)加密。上下文管理提供允許對應用程序和TSP資源的有效利用的動態處理。每個處理為ー組相關的TCG操作提供上下文。應用程序中不同的線程可共享相同的上下文或者可獲得獨立的上下文。為了充分利用TPM保護功能,必須提供支持密碼功能。TSP不提供這種支持,除非其對于執行TPM說明所需要的操作是必須的。特別的,大量數據加密不被接ロ暴露。TPM指定密碼功能的例子包括消息消化和少量(小于1024字節)數據的加密。
發明內容
公開了ー種用于基于可信計算技術的密碼管理和SSO訪問的方法和設備。該方法實施TCG的TPM,其與代理S SO単元和網頁訪問應用程序交互來提供安全、可信的機制,以產生、存儲和重新獲得密碼和SSO證書。各種實施方式允許用戶在僅一次登錄到位于用戶設備中的安全代理之后,安全且透明地從ー個站點跳到另ー個屬于預識別站點組中的站點。在用戶登錄到移動設備之后,位于設備上的代理SSO單元攔截嘗試訪問屬于登記組的安全站點的應用程序,并且使用由TPM產生并保持的每個站點安全密碼來登錄到組中的單獨站點。可通過硬件或軟件來實施的代理SSO單元還由TPM保護其完整性。這通過不需要用戶單獨記憶或存儲的TPM產生的隨機密碼為對不同站點使用SSO的過程提供了高等級的可信性。SSO特征可被應用到任何數量的安全站點,并且列表可隨著用戶在互聯網上導航并訪問新的網絡服務器來增長。每個網絡服務器具有與其相關的安全登錄證書,其與可實現SSO程序的自主操作的TCG產生的用戶證書相關聯,從在網絡服務器上的最初登記到隨后的登錄和認證會話。作為ー項選擇,用戶可由實現其SSO網絡訪問的網站組的代理軟件提供ー個提示。用戶將能夠選擇是否允許對代理軟件指示的網站組或者其子集的SSO操作。附加實施方式包括用于E-SSO的TPM增強、以及具有聯盟身份管理的web_SS0的機制。本發明還提供了ー種無線發射/接收單元(WTRU),該WTRU包括單點登錄(SSO)代理単元,該SSO代理単元被配置為從用戶接收用戶認證數據,獲取對用于與網站認證以訪問服務的用戶特定登錄信息的請求,使用從用戶接收的用戶認證數據來從模塊訪問用戶特定登錄信息,其中模塊包括可信平臺模塊或通用用戶身份模塊,以及向網絡訪問應用(WAA)模塊提供用戶特定登錄信息;模塊,該模塊被配置為存儲用于與網站認證的用戶特定登錄信息和存儲用戶認證數據,模塊還被配置為通過將所接收的用戶認證數據與所存儲的用戶認證數據進行比較來在WTRU執行用戶認證,以及用于當用戶被認證時將所存儲的用于與網站認證的用戶特定登錄信息轉發到SSO代理単元;以及WAA模塊,該WAA模塊被配置為自動接收由SSO代理単元提供的用戶特定登錄信息,以及將所提供的用戶特定登錄信息傳送到網站用干與網站的認證。
從以下關于優選實施方式的描述中可以更詳細地了解本發明,這些優選實施方式是作為實例給出的,并且是結合附圖而被理解的,其中圖1是根據現有技術的用于WTRU的web-SSO的示例流程圖;圖2是根據現有技術的用于web-SSO處理配備有自由聯盟ID-FF的WTRU的示例流程圖;圖3示出了 SAML組件之間關系的框圖;圖4示出了 SSO中SP發起的后-后捆綁的例子;圖5示出了一般TPM的框圖;圖6示出了由外部方使用TPM AIK的用于AIK證書驗證過程的例子;圖7是TPM和TSS中的不同層的框圖;圖8是無線通信系統的示例框圖;圖9是使用TPM/TSS的`安全自動登錄的實施方式的示例框圖;圖10是使用TPM/TSS和裝置可信鏡像的安全自動登錄的實施方式的示例流程圖;圖11是基于使用TPM的組方式密碼的使用TPM/TSS的用于網絡訪問的SSO的實施方式的示例流程圖;圖12是使用自由聯盟ID-FF的無線通信系統的示例框圖;圖13是使用自由聯盟ID-FF的TPM/TSS保護的web-SSO的實施方式的流程圖。
具體實施例方式在此提及的術語“無線發射/接收單元(WTRU)”包括但不限于用戶設備(UE)、移動站、固定或移動用戶単元、傳呼機、蜂窩電話、個人數字助理(PDA)、計算機或者能夠在無線或結合了無線/有線的環境中操作的任何其他類型的用戶設備。在此提及的術語“基站”包括但不限于Node-B、站點控制器、接入點(AP)或者任何類型的能夠在無線環境中操作的接ロ設備。圖8是包括至少ー個WTRU805和無線電接入網絡(RAN)807的無線通信系統800的示例框圖。WTRU805與用戶809交互并且WTRU805包括單點自動登錄(SASO)代理單元810、TPM/TSS815、網絡訪問應用程序(WAA)820。TPM/TSS815與SASO代理單元810和WAA820交互,以提供安全、可信的機制來產生、存儲和重新獲得密碼和SSO證書。SASO代理単元810由TPM/TSS815來保護其完整性,因此在對不同網站使用SSO時能夠實現高等級的可信性。TPM/TSS815通過存儲和產生不需要用戶單獨記憶的隨機密碼來提供這種高等級的可信性。RAN807典型地包括對至少一個網站830a-c的訪問。可選的,RAN807還包括裝置可信鏡像(DTM)835。為了最小化用戶809需要記憶的密碼數量,提供了ー種機制,通過它用戶809首先建立一個站點或應用程序的列表,并且隨后SASO代理単元810在其自身的日志和隨后由TPM/TSS815使用存儲器密鑰綁定或利用內部存儲器安全保管的日志來記錄信息。SASO代理單元810使用協作綁定或攔截技術比如網絡截取來解釋用戶對于應用程序或網站830的訪問請求,以及從應用程序或網站830登錄和/或密碼鍵入的提示。用戶809的證書(也被稱為根身份)可被安全地存儲在TPM/TSS815本身中或另ー個安全存儲設備比如US頂中。此外,可從該根身份建立密鑰分級結構。根身份被安全地保存在設備中并且不會被泄漏到安全或可信域之外。當用戶809第一次登錄到安全網站830時,WAA820與SASO代理單元810和TPM/TSS815交互來建立與用于網站830的證明信息相關聯的高熵值(high entropy)、唯一的ID和高熵值的密碼。此后,無論何時用戶809想要訪問網站830,用戶的證書被自動輸入到經由通信鏈路通過WAA820、SASO代理單元810和TPM/TSS815之間的交互發送的信息中。可選的,無論何時用戶809訪問RAN807,WTRU805以同樣的方式使用SASO代理單元810和TPM/TSS815來建立與RAN807中相關網絡元件比如服務供應商(SP)或身份供應商(IDP)(未示出)之間的可信關系。可替換的,RAN807保持特定的系統部件或與可信的第三方實體比如DTM835的關系。一旦WTRU805與RAN807具有建立的可信關系和安全鏈路,DTM835作為用于移動可信服務的代理和用于為每個安全網站建立的密碼的數據庫。用戶809可從功能上獲得對WTRU805的訪問并且因此通過使用單點登錄ID和密碼訪問WTRU鎖定機制從而獲得對互聯網的訪問。一旦登錄,所有其它服務都可由WTRU805透明地處理。此外,密鑰卡(key fobs)、智能卡和/或生物統計可被用于提供安全的兩個或三個因素認證來訪問電話特征。可選的,認證證書可被發送到RAN807,用于認證和使得用戶訪問設備。TPM/TSS815提供對于數據(包括密碼)固有安全性,通過提供物理保護界限來加密地保護和存儲密碼。然而,數據保護的強度在密碼或秘密密鑰用于保護這種數據的情況下,還部分地依賴于數據本身的強度和新鮮度。在給出加密數據的充足采樣以及在攻擊者的配置上有足夠的計算能力和時間吋,很強保護的數據可被破壞。因此,更新密鑰,并且如果需要用新的密鑰來對數據重新加密,可對竊聽者解密加密身份和認證數據的嘗試提供附加的安全屏障。用于通用認證的密鑰和密碼應當由TPM/TSS815頻繁地更新。這種更新將需要一種協議,利用該協議初始化、獲得和執行關于數據和/或密鑰更新。在一種可替換的實施方式中,WTRU805內部包括通用用戶身份模塊(USM)(未示出)。作為獨立和保護實體的US頂,提供用于軟件的第二安全執行環境以及用于數據比如密碼的安全存儲之處。因此,SASO代理單元810可位于US頂中。WAA820還可以位于US頂中。 在WTRS805的另ー種可替換實施方式中,USM可將TPM/TSS815替換為單獨“安全”執行環境。在這種情況下,WTRU815可不具有執行平臺的功能和/或通常由TPM/TSS815提供的應用程序完整性測量、驗證和證明的功能。然而,因為USIM是獨立的、受保護和安全的執行環境,其可實現SASO代理単元810甚至可能是WAA820的安全執行。US頂還可被配置為產生和存儲高熵值的特定站點密碼并且被配置為存儲SSO密碼和SSO證書。
在WTRU805的另ー種可替換實施方式中,在此充分合并引用2007年5月8日提交的美國專利申請No. 11/745,697中所公開的內容,該申請中所公開的“擴展” USIM位于WTRU805中,并且為SASO代理810、WAA820以及TPM/TSS815提供安全執行環境。圖9示出了根據ー種可替換的實施方式的圖8的系統800的組件之間的信號發送。特別的,圖9示出了用于SASO使用TPM/TSS815用于網絡訪問的示例程序。在步驟1005,當用戶809通過ー個安全因素或優選的兩個或三個因素認證獲得對WTRU805的訪問時,程序被初始化。這些認證因素是允許SASO代理單元810訪問保持在TPM/TSS815中的安全信息的機制。在步驟910,如果使用了生物第二或第三因素認證,SASO代理單元810發送請求到TPM/TSS815來重新獲得該生物認證數據來用于認證。在步驟915,TPM810將生物認證數據供應給SASO代理單元810。接著,在步驟920,用戶809發送請求到WAA820來與安全網站注冊。在步驟925,WAA820將用戶809想要對其訪問的愿望傳遞給網站A830a。在步驟930,WAA820接收并且顯示或者否則指示網站A830a的登錄提示。在步驟935,SASO代理單元810通過網絡截取或通過API或其它解析技術的結合來攔截來自WAA820的網絡A830a的認證。在步驟940,SASO代理單元810將用戶ID信息(其可以是來自多因素認證的設備登錄信息)傳遞到TPM/TSS815。在步驟945,特定網站的安全密碼由TPM/TSS815產生和安全地存儲(直接存儲在TPMNV存儲器中或者在普通存儲器中但是由TPM保護綁定存儲密鑰加密)。在步驟950,SASO代理單元810隨后攔截WAA820并且通過比如截取或API的或其它解析技術的使用的方法來在用于網站A830a的WAA820的密碼提示上填入特定網站的安全密碼。在步驟955,WAA820將該特定網站的密碼傳遞到網站A830A。在步驟960,網站A830a注冊特定網站的密碼并且將訪問授權發送到WAA820。一旦建立了注冊,網站信息(例如URL、數字證書、用戶ID和密碼等)作為數據庫記錄共同安全地存儲在TPM/TSS815中或者作為由TPM/TSS815綁定存儲密鑰保護的數據點。特定網站的密碼可被SASO代理単元810重新使用,以用于隨后登錄到各個站點。在步驟965,在網站A830a授權對WAA820的訪問吋,WAA發送注冊成功和訪問授權消息到SASO代理單元810。在步驟970,可跟隨正常的基于網絡的通信。
注意到在圖9中的步驟905到965被描述用于用戶的特定站點的密碼在網站由WTRU805管理的初始注冊。在這種初始注冊之后,用戶809可使用WAA820來請求對網站A830a的訪問(類似于步驟920)。隨后,SASO代理單元810可攔截來自WAA820的登錄提示(類似于步驟935)以獲得存儲在TPM/TSS815的特定站點的密碼(類似于步驟945),并且通過截取、API或解析來在WAA820上填入特定于網站A830a的登錄信息(類似于步驟950)。隨后,WAA820將特定網站的登錄信息發送到網站A830a(類似于步驟955),并且網站A830a在證明特定網站的登錄信息供應之后,授權對WAA820的請求服務的訪問(類似于步驟960),以及SASO代理単元810從WAA820獲得該訪問授權消息,并且隨后使得用戶809知道該服務被授權。隨后可跟隨正常的基于網絡的通信(類似于步驟970)。當訪問其密碼被保持在TPM820中的已經建立的網站時,可執行ー組類似的程序。例如,步驟905到970可由SASO代理單元810在步驟970對于其它站點例如不同網站比如網站B830b來重復。由TPM/TSS815實現的編碼完整性驗證程序被用于保護SASO代理單元810和其它軟件部件的完整性,來保證安全事務處理。如果建立了策略或簡檔例如來管理密碼更新程序,TPM/TSS815還通過將它們存儲在由TPM綁定存儲密鑰保護的存儲器中來保護策略和簡檔信息。如果用戶809嘗試訪問非網絡的第三方服務或安全服務器,那么與上述使用非常相似的程序可通過使用可由DTM835管理的可信鏡像程序的方式來使用。圖10示出了根據另ー種實施方式的圖8中的組件之間的信號發送。特別的,圖10示出了用于SASO使用TPM/TSS815和DTM835用于在WTRU805和隨后在DTM835的用戶認證信息的注冊的用于網絡訪問的示例程序1000。典型地位于RAN807中但是可位于RAN之外的DTM835提供將WTRU805的可信度“鏡像”以及將這種信息證明給外部請求方的服務。例如DTM835可采用管理用于圖9所示的TPM/TSS815所述的身份信息。在步驟1005,用戶809通過將他們的認證信息注冊到SASO代理單元810來初始化程序1000。這種注冊可通過使用通過ー個因素或優選的兩個因素認證來進行。此外,第三因素可以是由TPM/TSS815安全保存的通過生物信息。同樣在步驟1005,用戶809可選擇性地提供想要服務的列表。接著,在步驟1010,SASO代理単元810將認證數據和想要服務的列表發送到TPM/TSS815。在步驟1015,TPM/TSS815密封認證數據和想要服務的列表到SASO代理單元810和WAA820的整體。在步驟1020,SASO代理單元810為WTRU805發送完整性信息(或者等同的證明信息)以及認證數據和應用程序和想要服務的列表到DTM835。在步驟1025,DTM835將用戶的認證證書注冊到網站A,830a。在該過程期間,DTM835和網站A830a相互建立密碼,其將被特別的使用來從網站A830a獲得用于用戶809和WTRU805的服務。在步驟1030,DTM835將指示對網站A830a注冊完成的消息發送到SASO代理單元810。在步驟1035,SASO代理單元810指示給用戶809注冊完成。
在注冊完成之后,用戶可在使用可信DTM単元835進行中介的SASO過程(步驟1040 — 1095)中訪問網站A830a。在步驟1040,用戶809指示SASO代理單元810 (或者WAA820,其中SASO代理単元830a可通過截取或類似技術攔截該消息)用戶809想要訪問網站A830a。在步驟1045,SASO代理單元810指示給WAA820用戶想要訪問網站A。可替換地,如果用戶直接指示給WAA820指示他們想要訪問網站A830a,并且SASO代理単元使用截取來獲得相同信息,那么就不需要步驟1045。在步驟1050,WAA820將對于訪問網站A830a的請求發送到DTM835。隨后在步驟1055,DTM835轉發對于訪問網站A830a的請求。在步驟1060,網站A830a將對于特定服務的密碼的請求發送到DTM單元835。在步驟1065,DTM單元835將特定網站的密碼發送到網站A830a。在步驟1070,網站A830a將服務訪問授權消息發送到DTM單元835。在步驟1075,DTM單元835將服務訪問授權消息發送到WAA820。在步驟1080,WAA820指示給用戶809該訪問對于網站A830a被授權。在步驟1085,用戶可開始使用WAA820從網站A830a接收服務。在步驟1088、1090和1093,DTM835可請求并接收信息來驗證WTRU805和WAA820完整性的證明以及用戶認證數據和特定服務的數據(比如應用程序和想要的服務的列表)的完整性。這種遠程證明程序可使用的TPM/TSS815在WTRU805上的遠程證明功能來完成。步驟1088、1090和1093的程序可在例如當WTRU805被啟動的時刻執行。這些步驟還作為步驟1050的部分被集成在從DTM835到網站的服務請求消息中。類似于1040 — 1085的步驟可對于另ー個網站重復,比如網站B830b,或者注冊列表上的任何其它網站。在圖10的一些可替換實施方式中,WTRU805可不具有TRM/TSS815。在這種情況下,仍然可使用DTM835。再參考圖10,如果WTRU不具有TPM/TSS815,SASO代理單元810將用戶和設備認證數據、想要服務的列表直接注冊到DTM単元835。在信息的接收之后,DTM835產生并維持高熵值的特定站點(或服務)的密碼(類似于圖10的步驟1125)。在初始注冊之后,當用戶809想要訪問站點A830a時,那么SASO代理單元810提示WAA820來訪問DTM835(類似于圖10的步驟1145和1150)。DTM835請求對網站A830a的訪問(類似于步驟1155)。網站A830a將對于特定服務的密碼的請求發送到DTM835(類似于步驟1160)。DTM835將特定網站的密碼發送到網站A830a (類似于步驟1165)。網站A830a發送服務訪問授權消息到DTM835 (類似于步驟1170)。DTM835發送訪問授權消息到WAA820 (類似于步驟1175)。WAA820指示給用戶809對于網站A830a的訪問被授權(類似于步驟1180)。用戶可開始使用WAA820從網站A830a接收服務(類似于步驟1185)。圖11示出了根據本發明另ー種實施方式的圖8的系統800的組件之間的信號發送。特別的,圖11示出了用于SSO使用TPM/TSS815以ー種比現有技術更安全的方式用于網絡訪問的示例程序1100。在該方法中,用戶809配置ー組站點,對于每個的訪問由SASO代理単元810控制并且具有用戶809提供的公共的特定組登錄/密碼。通過使用該程序,用戶809可控制使用特定組密碼控制對于特定網站“組”的訪問,從而將SASO代理単元810的訪問權限配置為每個用戶809僅想要訪問特定組的網站。例如,如果用戶809僅提供對于“財經網站”組的公共密碼但是沒有提供對于“個人網站組”的另ー個不同的密碼,那么SASO代理単元810將被授權僅管理對于屬干“財經網站”組的站點的SSO操作。如圖11所示,該實施方式包括通過示例方式的以下優選信號發送步驟。順序和/或內容中的其它改變是可能的并且仍然在實施方式的范圍內。在步驟1105,用戶809可能在SASO代理単元810的提示下通過發送用于網站組建立的請求到SASO代理単元810來初始化程序1100。所述請求可包括網站A830a和網站B830b,以及用戶對于網站組作出的SSO密碼,以及屬于該組的網站的URL。該步驟可以以遞增的方式完成,由此用戶809 可通過僅具有網站A830a并且隨后増加或刪除其它網站來建立組。如果該網站列表更新在任何點執行,SASO代理単元810將需要請求用于添加、刪除或甚至解除綁定和重新綁定由TPM/TSS815保持的一些數據(它們中的一些數據也由SASO代理單元810保持)的過程。接著,在步驟1110,SASO代理單元810對于網站組中的每個網站注冊網站URL和單獨SSO密碼。在步驟1115,SASO代理單元810隨后將SSO密碼、用于屬于該組的所有網站的網站URL和網站證書、WAA820和SSO代理單元810的地址處理發送到TPM/TSS815,以及將用于數據綁定和對于特定網站的密碼產生的請求發送到TPM/TSS815。在步驟1120,對于網站列表中的每個URL,使用TPM隨機數產生器(RNG),TPM/TSS815產生強加密的密碼。隨后在步驟1125,TPM/TSS815綁定特定網站的URL、任何證書(包括站點證書)、SSO密碼以及其產生的特定站點的密碼在用TPM存儲密鑰加密的數據點中。這種密鑰是“限制”在容納TPM的平臺(例如WTRU或計算機)中的。如果在步驟1105,用戶809用其相關的信息(URL、證書等)指示了網站組的列表的更新(添加、刪除或改變),必須有一個來自SASO代理単元810和TPM/TSS815的指示來添加或刪除對于所影響網站的特定網站記錄。接著,在步驟1130,用戶809將用于網站A830a的URL提供給WAA820。在步驟1135,SASO代理單元810通過網絡截取或通過API或其它解析技術的結合,攔截來自網站A830a的密碼提示。隨后在步驟1140,SASO代理單元810驗證網站A830a是否是注冊網站組中的ー個成員以及如果確定是肯定的,就識別該組。在步驟1145,SASO代理単元810請求人類用戶809為網站A830a所屬的網站組提供SSO密碼。在步驟1150,人類用戶809為網站A830a提供(通過例如USM、生物技術或鍵入)SSO密碼。可替換地,步驟1145和1150可變成透明并由SASO代理単元810自動提供。接著,在步驟1155,SASO代理單元810檢查用戶809提供的SSO密碼。在步驟1160,SASO代理單元810發送ー個請求到TPM/TSS815來解除綁定和重新獲得用于網站A830a的密碼。在該請求中,SASO代理單元810包括對于網站A830a的SSO密碼和站點URL。在步驟1165,TPM/TSS815使用對于網站A830a的SSO密碼和URL作為數據處理來從先前存儲的數據點中解除綁定對于網站A830a的特定站點的密碼和證書。在解除綁定和重新獲取先前存儲的特定網站的密碼、URL列表和特定網站的證書吋,TPM/TSS815基于其剛從綁定存儲器中重新獲取的數據值,驗證其從SASO代理単元810接收的SSO密碼和網站URL。如果在以上步驟1165中實現了驗證,那么在步驟1170,TPM/TSS815將對于網站A830a的特定網站的密碼和證書提供給SASO代理単元810。隨后在步驟1173,SASO代理單元810使用比如網絡截取、API或其它解析技術來在WAA820填充對于網站A830a的密碼和證書字段。隨后在步驟1175,WAA820被填充并且WAA820發送特定網站的密碼和證書到網站A830a。隨后在步驟1180,在網站A830a注冊密碼和證書。在步驟1185,網站注冊的成功被指示給WAA820。在步驟1190,網站注冊的成功被指示給SASO代理単元810并且記錄在其數據庫中。而且在步驟1190中,網站注冊的成功記錄還被記錄為在由TPM密鑰保護的安全存儲器中的存儲測量日志(SML)。在步驟1195,完成可信SSO的建立,包括由TPM/TSS815保持的特定站點的密碼和證書。在網站注冊建立之后,當用戶809想要訪問網站A830a用于登錄來在隨后的時間使用網站的服務時,實際上進行與1130 — 1175相同的步驟,只有在這種情況下終端結果不是初始站點注冊而是SSO 登錄到網站A830a。而且,如果用戶809想要注冊到網站B830b而不是網站A830a,那么先前用于網站A830a的相同步驟可被用于網站B830b的SSO注冊或認證。然而,用于網站B830b的網站特定信息比如其URL、證書、特定站點的密碼和令牌將被使用來代替用于網站A830a的那些。在一種可替換的實施例中,組方式訪問控制可在沒有用戶809的清楚配置的情況下執行。作為替換,SASO代理単元810可由控制對不同類型的網站組的策略或簡檔數據(其本身可以由TPM保護)來提供。在這樣的實施方式中,組方式訪問控制將由SASO代理単元810在安裝時配置。此外,在安裝時間之后策略的更新也是可能的。圖12是根據一個可替換實施方式配置的無線通信系統1200的示例框圖。系統1200是包括至少ー個WTRU1215和無線電接入網絡(RAN) 1203的自由聯盟(LibertyAlliance)兼容無線通信系統。WTRU被配置為與用戶1205交互并且包括web-SSO單元1212、平臺處理單元1210、TPM/TSS1217。平臺處理單元1210可以以軟件SW或硬件來實現。RAN1203包括ID供應商120和服務供應商1225。可替換地,ID供應商1220可位于RAN1203之外,例如在公共互聯網上。圖13示出了根據另ー個實施方式的圖12的系統1200的組件之間的信號發送。特別的,在圖13中,基于ID-FF/SAML的web-SSO技術也和TPM/TSS1217提供的完整性檢查機制結合。在順序和/或內容中的其它改變也是可能的并且仍然在該實施方式的范圍內。在步驟1303,用戶1205通過指示運行web-SSO單元1212的愿望(例如通過點擊它或者通過系統啟動默認等)來開始程序1300。在步驟1308,平臺處理單元1210請求TPM/TSS1217來執行web-SSO單元1212的編碼完整性檢查。在步驟1312,TPM1217運行編碼完整性檢查并且將結果傳遞到平臺處理單元1210。如果在步驟1312中的檢查是肯定的,那么在步驟1316,登錄或認證信息被提供到平臺處理單元1210并且傳遞到web-SSO單元1212。在步驟1320,web_SS0單元1212請求TPM1217來重新獲得先前使用TPM密鑰存儲的登錄證書。在步驟1324,TPM1217重新獲得并且將登錄證書數據傳遞到web-SSO軟件1212。在步驟1328,web-SSO單元1212使用重新獲得的登錄證書數據來登錄到IDP1220。在步驟1332,IDP1220發送介紹cookie到web-SSO單元1212。接著,在步驟1336,web-SSO單元1212驗證SP1225。在步驟1340,SP1225詢問web-SSO 單元 1212 :1) web-SSO 單元 1212 是否具有來自 IDP1220 的 cookie,2) web-SSO 單元1212是否想要使用其聯盟ID (如IDP1220支持的),以及3) web-SSO單元1212是否支持證書開始其平臺安全狀態的狀態,其由平臺限定TPM私鑰標記,其公鑰已經存儲在SP中或可由PCA獲得。優選的,在步驟1220,PCA可以是IPD。隨后,在步驟1344,web-SSO單元1212發送平臺可信狀態到TPM/TSS1217。在步驟1348,TPM/TSS1217建立并傳遞TPM保持的私人簽名密鑰簽署的用于證明平臺的可信狀態的證書到Web-SSO軟件1212。在步驟1352,web-SSO單元1212指示給SP1225 :1)其具有來自10 1220的(3001^6,2)其想要使用由IDP1220保持的它的聯盟帳戶,以及還發送3)平臺安全性狀態證書到SP1225。在步驟1356,SP1225借助于PCA的幫助來評估web-SSO單元1212發送的可信證書。隨后在步驟1358,SP1212請求web-SSO單元1212重新定向和再次驗證,這一次使用聯盟認證請求。接著,在步驟1362,web-SSO單元1212發送聯盟認證請求到IDP1220。在步驟1364,IDP1220產生聯盟姓名ID和相關的認證狀態。在步驟1368,IDP1220請求web-SSO單元1212重新定向至IJ SP1225。在步驟1372,Web-SSO單元1212請求TPM/TSS1217重新獲得已經用由TPM/TSS1217密鑰保護存儲的聯盟〈證明 > 的聯盟假像。在步驟1376,TPM/TSS1217重新獲得假像數據并將其傳遞到web-SSO單元1212。在步驟1380,web-SSO單元1212將由IDP1220保持的重新獲得的聯盟〈證明 > 假像發送到SP1225。接著,在步驟1384,SP1225用IDP1220初始化驗證過程來使用SOAP協議驗證用于人類用戶1205的〈證明 >。在步驟1388,IDP1220使用SOAP協議互換驗證過程。在步驟1982,SP1225評估用于人類用戶1205的所述〈證明 > 和聯盟帳號。最后,在步驟1396,SP1225指示給web-SSO單元1212該服務的授權起動,以及一指示被提供給人類用戶1205(例如通過顯示器等)。 在圖13的可替換實施方式中,設備的可信狀態可由IDP1220評估一次并且隨后如果需要與每個SP1225通信由其使用。這種信息的交付可通過聯盟方案比如SAML或SOAP程序中的比如cookie或其它已存在或修改的消息/協議的方式來完成。雖然本發明的特征和元素在公開的實施方式中以特定的結合進行了描述,但每個特征或元素可以在沒有所述優選實施方式的其他特征和元素的情況下單獨使用,或在與或不與所公開的其他特征和元素結合的各種情況下使用。本發明提供的方法或流程圖可以在由通用計算機或處理器執行的計算機程序、軟件或固件中實施,其中所述計算機程序、軟件或固件是以有形的方式包含在計算機可讀存儲介質中的,關于計算機可讀存儲介質的實例包括只讀存儲器(ROM)、隨機存取存儲器(RAM)、寄存器、緩沖存儲器、半導體存儲設備、內部硬盤和可移動磁盤之類的磁介質、磁光介質以及CD-ROM碟片和數字多功能光盤(DVD)之類的光介質。舉例來說,恰當的處理器包括通用處理器、專用處理器、傳統處理器、數字信號處理器(DSP)、多個微處理器、與DSP核心相關聯的ー個或多個微處理器、控制器、微控制器、專用集成電路(ASIC)、現場可編程門陣列(FPGA)電路、任何ー種集成電路(IC)和/或狀態機。與軟件相關聯的處理器可以用于實現射頻收發信機,以在無線發射接收單元(WTRU)、用戶設備、終端、基站、無線電網絡控制器(RNC)或是任何一種主機計算機中加以使用。WTRU可以與采用硬件和/或軟件形式實施的模塊結合使用,例如相機、攝像機模塊、視頻電路、揚聲器電話、振動設備、揚聲器、麥克風、電視收發信機、免提耳機、鍵盤、藍牙 模塊、調頻(FM)無線電単元、液晶顯示器(IXD)顯示單元、有機發光二極管(OLED)顯示單元、數字音樂播放器、媒體播放器、視頻游戲機模塊、互聯網瀏覽器和/或任何一種無線局域網(WLAN)模塊。實施例1. ー種對通過具有可信平臺模塊(TPM)的無線發射/接收單元(WTRU)訪問的網站提供安全單點登錄(SSO)的方法,該方法包括在所述WTRU處確定 目標網站組;安全地登錄到從所述網站組中選擇的ー個網站;使用在所述WTRU的TPM中產生和存儲的安全密碼登錄從所述網站組中選擇的其它網站。2.根據實施例1所述的方法,其中所述TPM包括SSO代理単元,用于確定何時請求對目標網站組的訪問。3.根據實施例2所述的方法,其中所述SSO代理単元由所述TPM安全地保護。4.根據前述實施例中任一實施例所述的方法,其中所述TPM產生隨機的密碼,以用于訪問從所述目標網站組中選擇的網站。5.根據實施例4所述的方法,其中所述TPM存儲隨機密碼,該隨機密碼被產生以用于訪問從所述網站組中選擇的網站。6. 一種根據前述實施例中任一實施例的方法,其中確定步驟還包括所述WTRU的用戶選擇目標網站組。7. 一種根據前述實施例中任一實施例的方法,其中所述SSO代理単元安全地記錄
密碼信息。8.根據實施例7所述的方法,其中所記錄的密碼信息是使用密鑰綁定技術存儲的。9.根據實施例7或8所述的方法,其中所述所記錄的密碼信息是存儲在所述TPM內的。10.根據前述實施例中任一實施例所述的方法,其中所述WTRU包括存儲在TPM中的P隹一身份。11.根據前述實施例中任一實施例所述的方法,其中所述WTRU包括存儲在通用用戶身份模塊(USIM)中的唯一身份。12.根據實施例10-11中任一實施例所述的方法,該方法還包括基于所述唯一的身份建立加密密鑰分級。13.根據前述實施例中任一實施例所述的方法,其中安全地登錄到從網站組中選擇的網站的步驟還包括建立與所述網站的證書信息相關聯的唯一的用戶身份和密碼。14.根據前述實施例中任一實施例所述的方法,其中登錄到從網站組中選擇的其他網站的步驟還包括自動地傳送用戶證書到所述網站。15.根據實施例14所述的方法,其中所述用戶證書與數據一起傳送。16.根據前述實施例中任一實施例所述的方法,該方法還包括感測用戶的生物信息。17.根據實施例16所述的方法,其中所感測的生物信息被用于認證目的。18.根據前述實施例中任一實施例所述的方法,該方法還包括用戶請求注冊到包括網站A和網站B的網站組。19.根據實施例18所述的方法,其中所述注冊還包括SSO密碼,該SSO密碼用于包括所述網站A和B的網站組、以及屬于該組的網站的URL。20.根據實施例18-19中任一實施例所述的方法,其中所述注冊被遞增地執行。21.根據實施例18-20中任一實施例所述的方法,該方法還包括所述SSO代理單元對于所述網站組注冊網站URL和単獨SSO密碼。22.根據實施例21所述的方法,該方法還包括所述SSO代理單元向TPM和TPM軟件堆棧(TSS) (TPM/TSS)發送SSO密碼、對于屬于所述網站組的所有網站的URL和網站證書、網絡訪問應用程序(WAA)和代理的地址處理,以及SSO代理向TPM/TSS請求數據綁定和特定網站的密碼的產生。23.根據實施例22所述的方法,該方法還包括TPM/TSS相對于預定的參考檢查代理和WAA的編碼完整性。24.根據實施例23所述的方法,該方法還包括對于所述網站組的每個URL,TPM/TSS使用TPM隨機數產生器產生強加密的密碼。25.根據實施例24所述的方法,該方法還包括TPM使用產生并且然后由TPM/TSS保護的存儲密鑰將特定網站的URL、證書、SSO密碼散列(hash)、以及產生的特定網站的密碼密封為組合的編碼完整性值。26.根據實施例24所述的方法,該方法還包括TPM使用產生并且然 后由TPM/TSS保護的存儲密鑰將特定網站的URL、證書、SSO密碼散列、以及產生的特定網站的密碼綁定為組合的編碼完整性值。27.根據實施例25-26中任一實施例所述的方法,該方法還包括TPM/TSS產生強加密的隨機數,該隨機數用作TPM和SSO代理單元之間用于指示相應于所述網站組中的每個網站的進一歩的行為和請求的令牌。28.根據實施例27所述的方法,該方法還包括TPM/TSS使用令牌作為所述網站組中的每個網站的數據處理。29.根據實施例28所述的方法,該方法還包括TPM/TSS混編SSO密碼、并安全地存儲密碼和散列。30.根據實施例29所述的方法,該方法還包括TPM/TSS向SSO代理單元發送所有令牌;以及TPM/TSS發送指示令牌和網站URL之間的映射的映射數據。31.根據實施例30所述的方法,該方法還包括WTRU的用戶選擇URL。32.根據實施例31所述的方法,該方法還包括所述代理攔截來自網站A的密碼提示。
33.根據實施例32所述的方法,其中SSO代理単元使用網絡截取或結合應用程序接ロ(API)來攔截來自網站A的密碼。34.根據實施例32-33中任一實施例所述的方法,該方法還包括SSO代理單元檢查網站A是否是所述網站組中的成員。35.根據實施例34所述的方法,該方法還包括所述代理請求WTRU的用戶提供對于包含網站A的網站組的SSO密碼。36.根據實施例35所述的方法,該方法還包括WTRU的用戶提供SSO密碼。37.根據實施例36所述的方法,該方法還包括所述代理檢查由WTRU的用戶提供的SSO密碼。38.根據實施例37所述的方法,該方法還包括所述代理向TPM/TSS發送開封(unseal)對于網站A的密碼的請求。39.根據實施例38所述的方法,其中開封對于網站A的密碼的請求包括SSO代理単元存儲在數據庫中的對于網站A的SSO密碼和任何特定網站的證書。40.根據實施例38或39中任一實施例所述的方法,其中開封對于網站A的密碼的請求包括對于SSO代理単元和WAA的編碼處理。41.根據實施例39-40中任一實施例所述的方法,該方法還包括TPM/TSS檢查屬于網站A的令牌;以及開封對于網站A的特定網站的密碼和證書。42.根據實施例41所述的方法,該方法還包括TPM/TSS向SSO代理單元提供對于網站A的特定網站的密碼和證書。43.根據實施例42所述的方法,該方法還包括SSO代理単元填充在WAA上對于網站A的密碼和證書字段。44.根據實施例43所述的方法,該方法還包括
向網站A發送特定網站的密碼和證書;在網站A處確認成功的注冊。45.根據實施例44所述的方法,該方法還包括向SSO代理単元指示成功的網站注冊;以及將成功的注冊記錄在SSO代理單元數據庫中。46.根據前述實施例中任一實施例所述的方法,其中與WTRU的ID和認證相關的數據由WTRU的TPM加密地保護。47.根據前述實施例中任一實施例所述的方法,該方法還包括使用新的加密密鑰周期性地更新存儲的、加密的數據。48. 一種通過使用可信平臺模塊(TPM)的裝置保護訪問應用程序和基于互聯網的服務的用戶自動登錄(SASO)的方法,該方法包括
用戶通過單點登錄ID和密碼訪問應用程序和基于互聯網的服務。49.根據實施例48所述的方法,其中TPM包括TPM軟件堆棧(TSS)。50.根據實施例48-49中任一實施例所述的方法,該方法還包括用戶通過保護ー個因素認證向所述裝置認證并獲得對裝置的訪問。51.根據實施例48-49中任一實施例所述的方法,該方法還包括用戶通過保護兩個因素認證向所述裝置認證并獲得對裝置的訪問,其中第二因素是由TPM安全地通過生物保持的。52.根據實施例48-51中任一實施例所述的方法,其中SASO代理單元訪問保持在TPM內的安全信息。53.根據實施例51或52所述的方法,其中生物第二因素認證被使用,并且SASO代理単元向TPM發送請求以重新得到該生物第二因素認證以用于認證。54.根據實施例53所述的方法,該方法還包括TPM向SASO代理単元提供生物認證數據。55.根據實施例48-54中任一實施例所述的方法,該方法還包括用戶通過使用WAA嘗試注冊到安全的網站。56.根據實施例55例所述的方法,其中所述應用程序是網絡-WAA (WAA)。57.根據實施例55或56所述的方法,其中WAA向第一基于互聯網的服務的網站發送用戶希望訪問它的指示。58.根據實施例57所述的方法,該方法還包括WAA接收并指示第一基于互聯網的服務的網站的登錄提示。59.根據實施例48-58中任一實施例所述的方法,該方法還包括SSO代理單元攔截來自WAA的第一網站的認證提示。60.根據實施例59所述的方法,其中所述攔截通過網絡截取或通過結合解析技術來完成。61.根據實施例48-60中任一實施例所述的方法,該方法還包括SASO代理單元向TPM傳遞用戶ID信息。62.根據實施例61所述的方法,其中用戶ID信息包括來自兩個因素認證的裝置
登錄信息。
63.根據實施例48-62中任一實施例所述的方法,該方法還包括特定網站的安全密碼被生成并由TPM安全地存儲。64.根據實施例63所述的方法,其中所述密碼被安全地直接存儲在TPMNV存儲器中或者通過TPM保護的綁定存儲密鑰在通用存儲器中被加密。65.根據實施例59-64中任一實施例所述的方法,其中SASO代理單元通過WAA密碼提示將信息填入特定網站的安全密碼、將特定網站的信息填入第一網站。66.根據實施例65所述的方法,該方法還包括WAA向第一網站傳送特定網站的密碼;以及第一網站注冊特定網站的密碼并且向WAA發送訪問授權。67.根據實施例48-66中任一實施例所述的方法,其中注冊■被建立還包括安全地存儲特定網站的信息和在由TPM綁定存儲密鑰保護的TPM數據點中的數據庫記錄。
68.根據實施例67所述的方法,其中特定網站的的信息包括以下至少ー者URL、數字證書、用戶ID以及密碼。69.根據實施例66-68中任一實施例所述的方法,其中特定網站的的密碼被SASO代理単元重用于稍后到相應網站的登錄。70.根據實施例48-69中任一實施例所述的方法,其中第一網站授權訪問WAA還包括正常的基于網絡的通信。71.根據實施例48-70中任一實施例所述的方法,該方法還包括訪問已經建立的網站,其中對于該網站的密碼已經被保持在TPM中。72.根據實施例48-71中任一實施例所述的方法,該方法還包括使用SASO代理單元訪問另外的網站。73.根據實施例48-72中任一實施例所述的方法,其中由TPM啟動的編碼完整性檢查過程被用于保護SASO代理単元的完整性以確保安全事務處理的發生。74.根據實施例48-73中任一實施例所述的方法,該方法還包括建立策略或簡檔以管理密碼更新過程,其中TPM通過將策略和簡檔信息存儲在由TPM綁定存儲密鑰保護的數據點中來保護所述策略和簡檔信息。75.根據實施例48-74中任一實施例所述的方法,該方法還包括使用安全時間設施以提供要被管理的安全密碼更新策略。76.根據實施例48-75中任一實施例所述的方法,該方法還包括將若干個網站組合在一起并將單個認證密碼保持在TPM中。77.根據實施例48-76中任一實施例所述的方法,該方法還包括TPM執行對用于認證的密鑰和密碼的頻繁更新。78.根據實施例77所述的方法,其中TPM包括安全定時器模塊,該安全定時器模塊記錄上一次密碼更新發生的時間、以及由用戶或基于互聯網的服務提供的觸發密碼更新過程的更新時間間隔。79. 一種由用戶通過具有SASO代理單元和可信平臺模塊(TPM)的裝置對應用程序或基于互聯網的服務訪問的單點自動登錄(SASO)的方法,該方法包括用戶配置一組應用程序或基于互聯網的服務,由此訪問每個應用程序或基于互聯網的服務被ー組特定的密碼控制。80.根據實施例79所述的方法,該方法還包括
SASO代理単元接收對網站組的建立或注冊的請求,該網站組包括第一互聯網網站和第二互聯網網站;以及產生對于所述網站組的SSO密碼、以及屬于所述網站組的互聯網網站的URL。81.根據實施例80所述的方法,其中用戶增加開始僅具有第一互聯網網站的用戶組,而隨后添加或刪除其他網站。82.根據實施例79-81中任一實施例所述的方法,該方法還包括執行對網站組的更新,以及SASO代理單元請求用于添加、或甚至解除綁定和重新綁定由TPM保持的數據的過程。83.根據實施例79-82中任一實施例所述的方法,該方法還包括SASO代理單元注冊對于網站組的網站URL和單個SSO密碼。84.根據實施例79-83中任一實施例所述的方法,其中TPM包括TPM軟件堆棧(TSS)085.根據實施例80-84中任一實施例所述的方法,該方法還包括SASO代理單元向TPM發送屬于所述組中的所有網站的SSO密碼、URL以及網站證書、互聯網WAA軟件和SSO代理單元本身的地址處理;以及向TPM發送對于數據綁定和對于特定網站的的密碼產生的請求。86.根據實施例85所述的方法,其中對于表中的每個URL,TPM使用TPM隨機數產生器(RNG)產生強加密的密碼。87.根據實施例86所述的方法,該方法還包括TPM綁定特定網站的URL、任何證書、SSO密碼、以及其產生 的在用TPM存儲密鑰加密的數據點中的特定網站的密碼。88.根據實施例87所述的方法,其中所述密鑰是限制在容納TPM的平臺中的。89.根據實施例80-88中任一實施例所述的方法,其中用戶用網站組相關聯的信息向所述網站組指示更新,還包括來自SASO代理単元和TPM的指示添加或刪除對于所影響的網站的特定網站的記錄。90.根據實施例79-89中任一實施例所述的方法,該方法還包括用戶將URL輸入到對于WAA的第一互聯網網站的裝置中。91.根據實施例90所述的方法,該方法還包括SASO代理単元攔截來自第一互聯網網站的密碼提示。92.根據實施例91所述的方法,其中所述攔截是網絡截取的或結合API或其他解析技術進行的。93.根據實施例91或92所述的方法,該方法還包括SASO代理単元檢查第一互聯網網站是否是注冊的網站組的成員,并且如果結果為肯定的就識別該組。94.根據實施例91-93中任一實施例所述的方法,該方法還包括SASO代理單元請求用戶提供對于第一互聯網網站所屬的網站組的SSO密碼。95.根據實施例91-94中任一實施例所述的方法,該方法還包括用戶輸入或提供對于第一互聯網網站的SSO密碼和網站URL。96.根據實施例95所述的方法,其中所述提供是由生物進行的。97.根據實施例94-96中任一實施例所述的方法,其中SASO代理單元檢驗用戶提供的SSO密碼。
98.根據實施例91-93中任一實施例所述的方法,該方法還包括SSO代理單元通過網站URL、其證書以及對于密碼的提示自動提供SSO密碼。99.根據實施例79-88中任一實施例所述的方法,該方法還包括SSO代理單元向TPM發送請求以解除綁定并重新獲得對于第一互聯網網站的密碼,所述第一互聯網網站的密碼包括對于第一互聯網網站的SSO密碼和網站URL。100.根據實施例99所述的方法,該方法還包括TPM將對于第一互聯網網站的SSO密碼和URL用作數據處理,以解除綁定對于來自先前存儲的數據點的第一互聯網網站的特定網站的密碼和證書;TPM相對于它從綁定存儲中恢復的數據的值,檢查它從SASO代理單元接收到的SSO密碼和網站URL。101.根據實施例100所述的方法,其中如果SSO密碼的檢查被完成,則TPM向SSO代理単元提供對于第一互聯網網站的特定網站的密碼和證書。102.根據實施例79-101中任一實施例所述的方法,該方法還包括SSO代理單元使用網絡截取、API或其他解析技術填充對于第一互聯網網站的密碼和證書字段。103.根據實施例102所述的方法,該方法還包括填充互聯網WAA井向第一互聯網網站發送特定網站的密碼和證書;以及注冊在第一互聯網網站注冊的密碼和證書。104.根據實施例103所述的方法,該方法還包括向互聯網WAA指示成功的注冊;以及向SASO代理単元指示所述注冊并將所述注冊記錄在其數據庫中。105.根據實施例104所述的方法,該方法還包括將所述注冊被記錄為在由TPM密鑰保護的安全存儲器中的存儲測量日志(SML)。106.根據實施例79-105中任一實施例所述的方法,其中用戶設法訪問要登錄的第一互聯網網站以在稍后的時間使用網站的服務,還包括用戶通過SASO獲得訪問。
`
107.根據實施例79-106中任一實施例所述的方法,其中用戶注冊或稍后訪問第ニ互聯網網站而不是第一互聯網網站,還包括使用對于第二互聯網網站的特定網站信息執行第二互聯網網站的SASO注冊或認證,所述特定網站信息包括以下一者或多者URL、證書、特定網站的密碼、以及令牌。108.根據前述實施例中任一實施例所述的方法,其中運行TPM限于用戶的平臺,還包括通過位于用戶的裝置或平臺中的TPM加密地保護對于其保密性、完整性、以及真實性的用戶或用戶的裝置的認證和ID相關的數據。109.根據實施例108所述的方法,其中TPM通過提供物理保護界限為它加密地保護并存儲的數據提供固有的安全性。110.根據實施例108-109中任一實施例所述的方法,該方法還包括擴展US頂功能以將TPM功能包括在內,從而包括高熵值的密碼的安全證書被提供給應用程序安全組件和IP堆棧安全組件。111.根據實施例110所述的方法,其中應用安全組件包括DRM和PGP服務組件。112.根據實施例110或111所述的方法,其中IP堆棧安全組件包括IPSec或TLS或包括二者。113.根據實施例108-110中任一實施例所述的方法,該方法還包括基于密碼和/或加密密鑰的自動更新的策略,所述密碼和/或加密密鑰在集成在USIM內的TPM內被刷新。
114.根據實施例108-110中任一實施例所述的方法,該方法還包括將US頂功能擴展為將TLS和應用程序安 全所需的認證算法包括在內。
權利要求
1.ー種無線發射/接收單元(WTRU),該WTRU包括 單點登錄(SSO)代理単元,該SSO代理単元被配置為 從用戶接收用戶認證數據, 獲取對用干與網站認證以訪問服務的用戶特定登錄信息的請求, 使用從所述用戶接收的所述用戶認證數據來從模塊訪問所述用戶特定登錄信息,其中所述模塊包括可信平臺模塊或通用用戶身份模塊,以及 向網絡訪問應用(WAA)模塊提供所述用戶特定登錄信息; 所述模塊,該模塊被配置為存儲用干與所述網站認證的所述用戶特定登錄信息和存儲所述用戶認證數據,所述模塊還被配置為通過將所接收的用戶認證數據與所存儲的用戶認證數據進行比較來在所述WTRU執行用戶認證,以及用于當所述用戶被認證時將所存儲的用干與所述網站認證的用戶特定登錄信息轉發到所述SSO代理単元;以及 所述WAA模塊,該WAA模塊被配置為自動接收由所述SSO代理単元提供的所述用戶特定登錄信息,以及將所提供的用戶特定登錄信息傳送到所述網站用干與所述網站的認證。
2.根據權利要求1所述的WTRU,其中所述模塊被配置為產生隨機高熵值密碼。
3.根據權利要求1所述的WTRU,其中所述模塊被配置為產生隨機高熵值登錄ID。
4.根據權利要求1所述的WTRU,其中所述SSO代理単元被配置為基于生物因素來認證所述用戶。
5.根據權利要求1所述的WTRU,其中一旦所述用戶認證數據在所述SSO代理単元被成功接收,則訪問被自動授權給服務的預識別組中的多個服務。
6.根據權利要求2所述的WTRU,其中所述模塊被配置為產生服務特定的密碼。
7.根據權利要求3所述的WTRU,其中所述模塊被配置為產生服務特定的登錄ID。
8.根據權利要求1所述的WTRU,其中所述模塊被配置為根據服務的策略要求產生登錄ID和密碼。
9.根據權利要求1所述的WTRU,其中所述SSO代理単元被配置為當被服務提示時或者當到達期滿時間吋,與所述服務進行交互以自動更新密碼。
10.根據權利要求1所述的WTRU,其中所述SSO代理単元和所述模塊被配置為與裝置可信鏡像(DTM)執行相互認證。
11.根據權利要求10所述的WTRU,其中所述SSO代理単元和所述模塊被配置為提供關于可信狀態的信息,通過所述DTM提供所述WTRU的認證證書給外部請求方。
12.根據權利要求1所述的WTRU,其中所述模塊被配置為在建立通信鏈接之前執行完整性檢查。
13.根據權利要求1所述的WTRU,其中所述模塊為安全執行環境。
全文摘要
一種無線發射/接收單元(WTRU),包括SSO代理單元,配置為從用戶接收用戶認證數據,獲取對用于與網站認證以訪問服務的用戶特定登錄信息的請求,用從用戶接收的用戶認證數據從模塊訪問用戶特定登錄信息,該模塊包括可信平臺模塊或通用用戶身份模塊,和向WAA模塊提供用戶特定登錄信息;模塊,配置為存儲用于與網站認證的用戶特定登錄信息和存儲用戶認證數據,模塊還配置為通過將接收的用戶認證數據與存儲的用戶認證數據比較在WTRU執行用戶認證,及用戶被認證時將存儲的用于與網站認證的用戶特定登錄信息轉發到SSO代理單元;以及WAA模塊,配置為自動接收SSO代理單元提供的用戶特定登錄信息,以及將提供的用戶特定登錄信息傳送到網站用于與網站的認證。
文檔編號H04L29/06GK103067399SQ20121059289
公開日2013年4月24日 申請日期2007年8月22日 優先權日2006年8月22日
發明者Y·C·沙阿, I·查, A·雷茲尼克, O·洛佩茲-托拉斯 申請人:交互數字技術公司