[发明专利]用于为终端设备提供服务的方法和系统

说明书

背景技术

在常规网络中，用户需要所谓的凭证(Credential)如登录名或密 码作为身份证明，以便该用户针对服务器得到认证并且获得对该服务器 服务的访问。凭证是确认该用户的身份声明的证明。因此，凭证是认证 特征或权限特征。然而在诸如互联网的常规网络中，在访问服务的情况 下不存在透明。想要访问不属于相同网域的不同网址的用户必须对每个 网址都被重新认证，即使在不同的服务供应商之间存在服务水平协议 (Service Level Agreement，SLA)。为此的原因在于，常规浏览器不 能向不属于当前网域的其它网址传送证明信息数据或凭证。对于用户来 说，每次当其更换域的时候都要输入身份证明如该用户的登录名或该用 户的密码是麻烦的。

在所谓的单一登录(Single Sign-on，SSO)情况下，用户可以在 一次性认证之后访问所有该用户被授权的计算机和服务，而不必每次都 重新登录。

在常规门户网站(Portal)的情况下，例如已登录用户的身份被传 递给构建该门户网站的各方，而该用户不会注意到这点。在单一登录情 况下，用户在认证方法的帮助下-例如通过密码输入-只被鉴定一次。 然后，SSO机制承担对该用户进行认证的任务。在门户网站的情况下， 该用户可以首先登录该门户网站一次并在该门户网站那里被认证或被 粗略授权。为此，该用户获得了能针对集成在该门户网站中的应用来唯 一证明该用户的特征。该特征是一种身份证明。这在门户网站是基于web 技术的情况下例如以所谓的Cookies形式发生。在门户网站的情况下， 用户以这种方式获得对多个web应用的访问，而该用户不必再分别登录 到该多个web应用。

然而，如果用户在网域外导航或上网，则即使有Cookies也不能进 行单一登录。

发明内容

因此本发明的任务是，提供用于为终端设备提供服务的方法和系 统，其中用户即使在一次性登录的情况下也能在不同的域之间导航。

该任务根据本发明通过具有权利要求1所说明的特征的方法解决。

本发明完成了一种用于为分别具有TPM模块(Trusted Platform Module， 受信平台模块)的终端设备提供服务的方法，其中终端设备的TPM模块将具 有由可配置身份证明(凭证)签名的身份声明(ID-Assertion)的服务请求 (Service Request)发送给服务器，以用于访问所述服务器的服务。

在根据本发明方法的一个实施例中，所述服务器在接收服务请求 (Service Request)之后使具有所述身份证明(凭证)的身份声明 (ID-Assertion)生效并核实所述签名。

在根据本发明方法的一个实施例中，所述身份证明(凭证)由网络运营 商(Network Operator)在所述终端设备的TPM模块中配置。

在根据本发明方法的一个实施例中，所述网络运营商在所述终端设备的 TPM模块中配置访问控制列表ACL(Access Control List)，所述控制访问列 表ACL包含与不同服务器的不同服务相关联的身份证明(凭证)。

在根据本发明方法的一个实施例中，所述身份证明(凭证)由所述网 络运营商的证书构成。

在根据本发明方法的一个实施例中，所述身份声明(ID-Assertion)具 有：

-用户身份信息数据，

-所述网络运营商的证书，

-时间戳，以及

-特定于服务的访问限制。

在根据本发明方法的一个实施例中，所述终端设备有规律地将服务使用 报告发送给网络运营商。

在根据本发明方法的一个实施例中，所述身份证明(凭证)在预定的时 间间隔(Life Time，使用期限)之后失效。

在根据本发明方法的一个实施例中，所述身份证明(凭证)由SAML (Security Assertion Mark-up Language，安全声明标记语言)身份证 明构成。

在根据本发明方法的一个实施例中，所述TPM模块一次性地登录到相应 的服务器。