[发明专利]用于为终端设备提供服务的方法和系统

权利要求书

1.一种用于为分别具有TPM模块(5)的终端设备(4)提供服务的方法， 其中：

-所述终端设备(4)的TPM模块(5)将具有由可配置的身份证明 (Credential)签名的身份声明(ID-Assertion)的服务请求(Service  Request)发送给服务器(3)，以用于访问所述服务器(3)的服务，

其特征在于，

-网络运营商(2)在终端设备(4)的TPM模块(5)中配置访问控制列 表ACL(Access Control List)，所述控制访问列表ACL包含与不同服务器 (3)的不同服务相关联并且可由该网络运营商配置的身份证明 (Credential)；并且

-如果可配置的身份证明(Credential)在所述访问控制列表ACL (Access Control List)中作为项存在，则进行所述发送。

2.根据权利要求1所述的方法，

其中所述服务器(3)在接收具有所述身份声明(ID-Assertion)的服务 请求(Service Request)之后使所述身份证明(Credential)生效并核实签 名。

3.根据权利要求1所述的方法，

其中所述身份证明(Credential)由所述网络运营商(2)的证书 构成。

4.根据权利要求1所述的方法，

其中所述身份声明(ID-Assertion)具有：

-用户身份信息数据，

-所述网络运营商的证书，

-时间戳，以及

-特定于服务的访问限制。

5.根据权利要求1所述的方法，

其中所述终端设备(4)有规律地将服务使用报告(Report)发送给网络 运营商(2)。

6.根据权利要求1所述的方法，

其中所述身份证明(Credential)在预定的时间间隔(Lifetime)之后 失效。

7.根据权利要求1所述的方法，

其中所述身份声明(ID-Assertion)由SAML(Security Assertion  Mark-up Language)身份声明构成。

8.根据权利要求1所述的方法，

其中所述TPM模块(5)一次性地登录到相应的服务器(3)。

9.一种具有TPM模块(5)的终端设备(4)，

所述终端设备(4)将具有由可配置的身份证明(Credential)签名的 身份声明(ID-Assertion)的服务请求(Service Request)发送给服务器(3) 以用于访问所述服务器(3)的服务，

其特征在于，如果可配置的身份证明(Credential)在访问控制列表 ACL(Access Control List)中作为项存在，则进行所述发送，其中所述控 制访问列表ACL(Access Control List)包含与不同服务器(3)的不同 服务相关联的身份证明(Credential)并且由网络运营商(2)在所述 终端设备(4)的TPM模块(5)中配置。

10.根据权利要求9所述的终端设备，

其中所述终端设备(4)具有SSO(Single Sign-On)模块。

11.一种用于为分别具有TPM模块(5)的终端设备(4)提供服务的系统 (1)，具有

-多个终端设备(4)，

-多个服务器(3)，以及

-至少一个网络运营商(2)，

其中所述终端设备(4)将具有由可配置的身份证明(Credential)签名 的身份声明(ID-Assertion)的服务请求(Service Request)发送给服务器 (3)以用于访问服务，

其特征在于，如果可配置的身份证明(Credential)在访问控制列表 ACL(Access Control List)中作为项存在，则进行所述发送，其中所述控 制访问列表ACL(Access Control List)包含与不同服务器(3)的不同 服务相关联的身份证明(Credential)并且由网络运营商(2)在相应 终端设备(4)的相应TPM模块(5)中配置。