[发明专利]用于来自用户平台的可信认证和接入的方法

说明书

本申请是申请号为200980162122.8、申请日为2009年09月14日、发明名称为“用于可信认证和登录的方法和装置”的中国发明专利申请的分案申请。

技术领域

本申请涉及认证和接入。

背景技术

身份管理以及用户认证和接入对于网络(Web)使用、移动服务、无线通信和其他服务来说是至关重要的问题。存在许多认证和接入协议。例如，开放ID(OpenID)是开放的、分散的构架，并且是用于用户认证和接入控制的方法。单个数字身份允许用户登录一次，并且获得对多个服务的接入。数字身份通常是以唯一通用资源定位符(URL)为形式的，该URL通常由身份提供方提供(host)。当用户期望用数字身份接入服务提供方时，所述身份提供方对该用户进行认证。OpenID构架允许用不同的认证方法来认证用户。为了声明在身份提供方处的身份，能够使用几种方法；最常用的是登录表格(form)的使用，用户在该登录表格中提供密码。然而，没有使用可信的系统，依赖方将不能获得足够的证据来建立与递交认证凭证的通信伙伴之间的信任关系。用户凭证(例如，以用户名/密码相结合的形式)不被绑定至平台，因此能够被盗取。攻击者能够使用盗取到的凭证来以合法用户的名义接入服务。通过将用于OpenID协议的认证凭证绑定至平台及其该平台值得信赖的状态，能够提高OpenID协议的保密性和安全性。

在基于权证(ticket)的认证和授权协议中，软件令牌(即，权证)用于证明单个实体/用户的身份。基于这些令牌，针对特定系统的接入被限制于产生合适的令牌的实体/用户。此外，被包括在令牌中的数据除了可以用于只实施认证之外，还可以用于实施能够进行基于令牌的接入控制方案的认证控制。

另一个认证和授权协议将证明(attestation)身份密钥(AIK)用作识别权证系统中的凭证，其中该AIK由可信平台模块(TPM)在可信计算环境中生成。AIK用于对信任测量签名，以及证实(certify)由TPM生成的密钥。这样的基于可信权证的系统的当前实施需要使用中央数据库来维护用于权证加密的共享密钥数据库或公钥基础设施(PKI)，并且所有服务提供方需要被修改以评估和接受所接收到的权证。

发明内容

公开了用于可信认证和登录的方法和装置。基于可信平台模块(TPM)的登录方法被提出以用于认证和接入。用户利用与该用户的特定平台(例如，TPM)紧紧绑定的身份提供方来注册身份。例如，如果用户决定使用这个身份来登入到服务提供方，则身份提供方质询(challenge)用户提供正确的凭证。在这种方法中，用于合并密码凭证链的凭证由TPM生成的权证组成。这允许用户登入而不需要在身份提供方处的密码。在用户的特定平台处的本地密码可以一直被使用以保护身份不受本地攻击。

登录与特定平台的完整性验证结合。使用对TPM的平台配置寄存器(PCR)的TPM签名的声明，其中该PCR安全地存储系统配置，身份提供方可以将报告的系统状态和先前生成的参考值进行比较，并且只允许合法用户使用值得信赖的平台来登入，并且声明身份。这个结合的认证和证明，通过不仅将认证数据绑定到特定的平台，而且将该认证数据绑定到被认为是值得信赖的预定义的系统状态来允许细粒度(fine grained)接入控制。这能够允许用于认证和接入方法的新的使用情况，该新的使用情况需要增强的系统保密性和安全性，以及将不允许任何导致不值得信赖系统的修改。

附图说明

更详细的理解可以从以下结合附图并且举例给出的描述中得到，其中：

图1示出了用于认证和接入系统的示例高层架构；

图2示出了用于认证和接入方法的示例高层信号流图；

图3(a)和3(b)示出了用于认证和接入方法的示例信号流图；

图4是长期演进(LTE)的无线通信系统/接入网的实施方式；以及

图5是LTE无线通信系统的无线发射/接收单元和基站的示例方框图。

具体实施方式

下文涉及的术语“无线发射/接收单元(WTRU)”包括，但并不限于用户设备(UE)、移动站、固定或移动订户单元、寻呼机、蜂窝电话、个人数字助理(PDA)、计算机或者能在无线环境下操作的任何一种类型的用户设备。下文涉及的术语“基站”包括但并不限于节点B、演进型节点B、站点控制器、接入点(AP)或者能在无线环境下操作的任何一种类型的接口设备。

这里的公开内容将OpenID协议用作示例认证和接入系统，并且可应用至其他认证和接入系统。首先描述基本的实体和它们的高层流，之后详细论述方法。