控制訪問的制作方法
【專利摘要】為了響應(yīng)于對賬戶的請求(200)而提供對設(shè)備中的賬戶的訪問�����,該設(shè)備創(chuàng)建(202)和轉(zhuǎn)發(fā)(204)用于該請求的挑戰(zhàn)并等待由用于該賬戶的集中式簽名實體簽名的令牌(205)�,該令牌包括訪問啟用數(shù)據(jù)���。當(dāng)接收到這樣的令牌時����,該設(shè)備證實令牌有效(207����、208����、209)���,且僅當(dāng)證實有效成功時��,啟用對賬戶的訪問(215)����。
【專利說明】控制訪問
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及控制對設(shè)備中的賬戶的訪問����。
【背景技術(shù)】
【背景技術(shù)】 [0002] 的以下描述可以包括領(lǐng)悟、發(fā)現(xiàn)�����、理解或公開內(nèi)容���,或者連同對在本發(fā)明 之前的相關(guān)技術(shù)而言未知但由本發(fā)明提供的公開內(nèi)容一起的關(guān)聯(lián)���。本發(fā)明的一些這樣的貢 獻可以在下文中具體指出���,而本發(fā)明的其它這樣的貢獻將從它們的上下文中顯而易見。
[0003] 計算機��、其它計算設(shè)備��、計算機系統(tǒng)和通信系統(tǒng)支持至少兩種不同類型的賬 戶--用戶賬戶和管理員賬戶�����,并且它們中的一些還支持在本文中稱為維護服務(wù)賬戶的類 型�。用戶賬戶允許由系統(tǒng)或設(shè)備提供的不同服務(wù)的使用����,比如通過因特網(wǎng)提供的在線服務(wù) 之類,以及使用不同的應(yīng)用�����,比如文字處理或繪圖應(yīng)用等�。管理員賬戶(還稱為根管理員賬 戶)允許使用與用戶賬戶相同的服務(wù)和改變系統(tǒng)信息(比如系統(tǒng)的配置信息、修改由用戶賬 戶提供的用戶訪問權(quán)限��、新應(yīng)用的加載等)的可能幾乎不受限的權(quán)限��。創(chuàng)建了維護服務(wù)賬戶 以用于下述情形:其中,一個廠商的設(shè)備被用在若干不同系統(tǒng)中����,并且廠商或系統(tǒng)所有者的 經(jīng)授權(quán)的維護人員需要獲取至少改變設(shè)備的維護相關(guān)信息的權(quán)限,但應(yīng)當(dāng)僅獲取對設(shè)備所 屬系統(tǒng)的特定權(quán)限��。例如����,借助于維護服務(wù)賬戶,可以啟用針對設(shè)備的調(diào)試功能性���,可以配 置設(shè)備的安全功能和敏感數(shù)據(jù)�,可以發(fā)起針對設(shè)備的恢復(fù)過程����,可以發(fā)起重激活由于設(shè)備 的操作錯誤而禁用的用戶賬戶的解鎖功能。維護服務(wù)賬戶還可以是由設(shè)備施行的特定應(yīng)用 的一部分����。
[0004] 涉及維護服務(wù)賬戶的一般挑戰(zhàn)是:尤其當(dāng)廠商的設(shè)備被安裝在若干系統(tǒng)中時,如 何使屬于用于維護服務(wù)的經(jīng)授權(quán)的組的每個人能夠訪問任何個體系統(tǒng)中的這樣的設(shè)備的 維護服務(wù)賬戶且能夠最小化不屬于經(jīng)授權(quán)的組的人員獲取對維護服務(wù)賬戶的訪問的風(fēng)險����。 例如�����,如果使用默認(rèn)口令并且不屬于經(jīng)授權(quán)的組的某人發(fā)現(xiàn)了它們��,則他/她可以獲取對 經(jīng)授權(quán)的組的服務(wù)賬戶的訪問���。換言之,挑戰(zhàn)是如何應(yīng)對下述情況:屬于經(jīng)授權(quán)的組的許多 用戶(人員)并且僅用戶被認(rèn)證/授權(quán)以能夠訪問具有用于經(jīng)授權(quán)的組的服務(wù)賬戶的所有設(shè) 備���。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的是提供用于應(yīng)對上述挑戰(zhàn)的安全訪問機制����。本發(fā)明的該目的通過由 獨立權(quán)利要求中陳述的內(nèi)容表征的方法��、設(shè)備����、系統(tǒng)和計算機程序產(chǎn)品而實現(xiàn)����。在從屬權(quán)利 要求中公開本發(fā)明的優(yōu)選實施例。
[0006] -個方面提供了解決方案,其中��,具有賬戶的設(shè)備響應(yīng)于訪問所述賬戶的請求����,創(chuàng) 建獲取用于所述賬戶的簽名訪問啟用數(shù)據(jù)的挑戰(zhàn),接收簽名數(shù)據(jù)�,證實簽名的接收數(shù)據(jù)有 效,且如果證實有效成功則實現(xiàn)對賬戶的訪問�����。
【專利附圖】
【附圖說明】
[0007] 在下文中�,將參照附圖更加詳細(xì)地描述實施例,在附圖中: 圖1示出具有示例性設(shè)備的示意框圖的示例性系統(tǒng)的簡化架構(gòu)��; 圖2至4是圖示設(shè)備的示例性功能性的流程圖�����;以及 圖5和6是圖7^75例性彳目息受換的圖表��。
【具體實施方式】
[0008] 以下實施例是示例性的����。盡管說明書可能在若干位置中引用"一"����、"一個"或"一 些"實施例��,但是這不一定意味著每個這樣的引用是對相同的(一個或多個)實施例����,亦或特 征僅適用于單個實施例。不同實施例的單個特征還可以被組合以提供其它實施例����。
[0009] 本發(fā)明適用于支持?jǐn)?shù)字簽名服務(wù)的原理的任何系統(tǒng)和設(shè)備。該系統(tǒng)可以是無線系 統(tǒng)或利用固定連接和無線連接二者的系統(tǒng)或固定系統(tǒng)���。該系統(tǒng)可以是包括一個或多個網(wǎng)絡(luò) 的通信系統(tǒng)或計算機系統(tǒng)或服務(wù)器系統(tǒng)�����。不同系統(tǒng)的規(guī)范(尤其是當(dāng)利用無線通信時)以及 針對數(shù)字簽名服務(wù)的要求和所使用的算法發(fā)展迅速�。這樣的發(fā)展可以要求對實施例的額外 改變���。因此,所有詞語和表述應(yīng)當(dāng)被寬泛地解釋�,并且它們旨在說明而非限制實施例。
[0010] 在下文中,使用用于提供數(shù)字簽名服務(wù)的公開密鑰基礎(chǔ)設(shè)施來描述不同示例�。在 所說明的數(shù)字簽名服務(wù)中,簽名設(shè)備至少執(zhí)行以下各項:從要被簽名的數(shù)據(jù)計算散列�����,使用 其用于簽名服務(wù)的私有密鑰加密散列����,向數(shù)據(jù)添加加密的散列,以及發(fā)送由此獲取的簽名 令牌�����。令牌優(yōu)選地包含一些證書信息或與其相關(guān)聯(lián)�����,接收設(shè)備利用所述證書信息可以找出 用于該簽名服務(wù)的簽名設(shè)備的公開密鑰�����,其要么附著到簽名令牌要么在令牌被簽名之前附 著到數(shù)據(jù)���?��?商鎿Q地����,可以使用預(yù)先安裝的證書信息�����。接收設(shè)備從令牌提取數(shù)據(jù)和加密的散 列��,從數(shù)據(jù)計算散列并且通過使用簽名設(shè)備的公開密鑰對加密的散列進行解密(例如借助 于證書信息而指示)��,并且比較兩個散列值�。如果它們相同,則接收設(shè)備證實(一個或多個) 關(guān)聯(lián)的證書和簽名有效并驗證令牌����。在本文中,在數(shù)字簽名訪問啟用數(shù)據(jù)的意義上使用令 牌�����,而不將令牌限制到這樣的內(nèi)容�����。例如���,可以使用獨立作為訪問令牌的令牌����,例如用于一 些自動化維護�����。另外����,應(yīng)當(dāng)領(lǐng)會,本發(fā)明不限于數(shù)字簽名的所說明的示例�;也可以使用其它 對應(yīng)機制。例如�,可以使用基于RSA (Rivest-Shamir-Adelman算法)密鑰的密碼機制,或者 可以使用比如橢圓曲線密碼之類的其它密碼系統(tǒng)�。
[0011] 支持維護服務(wù)賬戶和數(shù)字簽名服務(wù)的示例性系統(tǒng)100的一般架構(gòu)在圖1中圖示。 圖1是僅示出一些元件和功能實體的簡化系統(tǒng)架構(gòu)����,所述元件和功能實體全部是其實現(xiàn)可 不同于所示的實現(xiàn)的邏輯單元。圖1中示出的連接是邏輯連接�;實際的物理連接可以不同�。 對本領(lǐng)域技術(shù)人員而言顯而易見的是��,系統(tǒng)還包括未圖示的其它功能和結(jié)構(gòu)�����。另外����,應(yīng)當(dāng)領(lǐng) 會,由維護服務(wù)賬戶提供的實際服務(wù)和被用在信息交換中或用于信息交換的這樣的服務(wù)�����、 結(jié)構(gòu)��、元件和協(xié)議的使用與實際的發(fā)明不相關(guān)�����。因此����,它們無需在此更加詳細(xì)地討論。另外, 對涉及維護服務(wù)賬戶的【背景技術(shù)】中的描述做出參考����。
[0012] 圖1中的系統(tǒng)100的圖示部分是具有維護服務(wù)賬戶的設(shè)備101、受信設(shè)備102���、用 于集中式簽名服務(wù)的設(shè)備103和用于證書權(quán)威實體104的設(shè)備104。在圖示的示例中��,假設(shè) 想要訪問維護服務(wù)賬戶的用戶使用受信設(shè)備102獲取訪問�,或至少訪問啟用數(shù)據(jù)(比如憑 證),如以下將更加詳細(xì)地描述的那樣�����。因而����,受信設(shè)備可以包括或甚至是移動電話、智能電 話���、個人數(shù)字助理(PDA)����、手機�����、膝上型計算機和電子閱讀設(shè)備。用于集中式簽名服務(wù)的設(shè)備 103是可驗證且被授權(quán)向設(shè)備101中的維護服務(wù)賬戶提供簽名令牌的集中式實體的示例�。 應(yīng)當(dāng)領(lǐng)會,系統(tǒng)100可以包括若干設(shè)備101����、若干受信設(shè)備102、兩個或更多設(shè)備103和兩個 或更多設(shè)備104�。示例性系統(tǒng)包括比設(shè)備101少的受信設(shè)備。
[0013] 在圖示的示例中�,設(shè)備101包括:用于啟用和允許對服務(wù)賬戶的訪問的訪問單元 111,該服務(wù)賬戶包括設(shè)備的維護服務(wù)賬戶����;用于驗證所接收的令牌的驗證單元112 ;用于 安全地維護和使用根證書權(quán)威(CA)證書的信任錨單元113,信任錨單元113在該示例中對 應(yīng)證書信息單元;以及存儲證書信息115����、賬戶信息116和令牌信息117的一個或多個存儲 器114。證書信息115可以包括不同的預(yù)先安裝的證書���,每個與證實簽名或證書有效所需的 對應(yīng)證書參數(shù)相關(guān)聯(lián)�。這樣的參數(shù)的示例是公開密鑰。另一示例是所討論的證書的屆滿周 期���。證書證實有效例如在因特網(wǎng)標(biāo)準(zhǔn)(請求評論)RFC 5280 :PKIX證書和CRL簡檔�,2008年 5月�,第71-95頁中加以描述,其作為引用并入于此�����。針對設(shè)備的維護服務(wù)賬戶��,賬戶信息 116可以包括用戶利用其而認(rèn)證自身的信息(S卩����,用于確定用戶是否屬于被允許訪問維護服 務(wù)賬戶的用戶組的信息)以及關(guān)于由維護服務(wù)賬戶提供的權(quán)限/服務(wù)的信息(即�,關(guān)于當(dāng)使 用維護服務(wù)賬戶時允許用戶做什么的信息)。賬戶信息116或其部分可以在令牌中被接收���, 在這種情況中其未被永久存儲��。令牌信息117可以包括從設(shè)備接收的用于對維護服務(wù)賬戶 的訪問的令牌獲取的信息��。例如���,令牌信息117可以包括在登入證實有效過程期間使用的 口令或口令散列以及用于訪問的關(guān)聯(lián)策略����。在一些實施方式中����,對于維護服務(wù)賬戶,賬戶信 息可以包含下述信息:可以多少次使用令牌或借助于令牌傳輸?shù)牡侨胄畔?�;?或令牌/ 登入信息多長時間有效��;和/或令牌被準(zhǔn)許用于的目的���。取代或附加于賬戶信息����,令牌信息 117可以包含上面提到的信息中的全部或一些�����。取代或附加于令牌信息��,賬戶信息116可以 包含上面提到的信息中的全部或一些��。另外,令牌信息和賬戶信息可以被集成�。
[0014] 取決于實施方式,令牌可以攜帶允許多次使用的信息和/或有效性時間信息和/ 或功能性施行的命令或要在準(zhǔn)許訪問之后和/或在準(zhǔn)許訪問期間施行的其它計算機指令/ 命令和/或一些附加參數(shù)�,并且當(dāng)令牌被接收和驗證時,將對應(yīng)信息存儲到令牌信息117�����。 允許多次使用的信息的示例包括令牌中的口令的列表�、口令散列的列表或關(guān)于口令或?qū)?yīng) 的信息可以被使用多少次的信息。次數(shù)可以是一�、二、三等�����。命令的示例包括"退回到出廠 重置"����、"使舊配置參數(shù)無效"��、"在下次啟動之后更新到最新應(yīng)用軟件版本"以及服務(wù)維護腳 本���。由令牌攜帶的信息是包含經(jīng)授權(quán)的數(shù)據(jù)(即�����,由用于集中式簽名服務(wù)的設(shè)備授權(quán)的數(shù) 據(jù))的結(jié)構(gòu)化信息��。
[0015] 在圖示的示例中����,受信設(shè)備102包括用于想要訪問設(shè)備101中的維護服務(wù)賬戶的 用戶的認(rèn)證和授權(quán)的本地認(rèn)證和授權(quán)單元121、用于數(shù)字簽名的簽名請求服務(wù)單元(SRS單 元)122和用于針對到用于集中式簽名服務(wù)的設(shè)備的安全通信信道的建立失敗時的情形提 供簽名服務(wù)的本地簽名服務(wù)(SignS)單元127��。換言之���,借助于本地簽名服務(wù)單元127,可 以將用于集中式簽名服務(wù)的設(shè)備104的至少部分功能性委托給受信設(shè)備�。這樣的場景可以 在其中孤立位置中的設(shè)備需要維護服務(wù)的情形中是相關(guān)的��,其中�����,例如如果不存在可用的 空中鏈路�����,則例如在受信設(shè)備102與用于集中式簽名服務(wù)的設(shè)備103之間沒有合適的通信 可以建立�����。應(yīng)當(dāng)領(lǐng)會,在最簡單的情況下��,受信設(shè)備102不包括本地簽名服務(wù)單元127���。受 信設(shè)備還包括一個或多個存儲器124,對于本地簽名服務(wù)單元127而言�����,其在圖示的示例中 包括:用于令牌的本地信息125,包括(一個或多個)簽名證書�,其被需要以生成和簽名令牌��; 以及用于本地認(rèn)證和授權(quán)單元121的本地認(rèn)證和授權(quán)信息126���。例如���,本地認(rèn)證和授權(quán)信息 126可以包括關(guān)于其維護服務(wù)賬戶可被該受信設(shè)備訪問的一個或多個特定系統(tǒng)和/或特定 設(shè)備的信息����、關(guān)于被允許嘗試訪問的用戶的信息、關(guān)于用戶權(quán)限的信息和/或登入信息或 被允許使用受信設(shè)備和/或(一個或多個)維護服務(wù)賬戶的用戶的對應(yīng)信息�,該登入信息用 于認(rèn)證�。
[0016] 盡管在圖1中未圖示����,設(shè)備101和受信設(shè)備102可以包括用戶經(jīng)由其可輸入數(shù)據(jù) 或數(shù)據(jù)經(jīng)由其可被示出給用戶的用戶接口。用戶接口可以是顯示器和/或鍵盤和/或用于 從便攜式存儲器裝置進行讀取和/或存儲到便攜式存儲器裝置的裝置�����。便攜式存儲器裝置 的示例包括USB棒�、加密狗和存儲器卡。然而�,應(yīng)當(dāng)領(lǐng)會,用戶接口的類型對本發(fā)明來說不 重要�����。
[0017] 在圖示的示例中�����,用于集中式簽名服務(wù)的設(shè)備103包括用于生成和簽名用于維護 服務(wù)賬戶的令牌的簽名服務(wù)(SignS)單元132����、用于受信設(shè)備和設(shè)備103的相互認(rèn)證和授權(quán) 的授權(quán)單元131、包括證書信息135的一個或多個存儲器單元134,證書信息至少包括與設(shè) 備101中的證書信息115相同的證書信息��。在圖示的示例中,存儲器134還包括用于確定要 被包括在令牌中的附加信息的本地策略信息136和用于授權(quán)單元131的授權(quán)信息137��。本地 策略信息包含在其之下可以獲取簽名令牌和/或可以用于針對被包括在令牌中的一個或 多個憑證定義同樣被包括在令牌內(nèi)容中的一個或多個使用條件的規(guī)則和條件��。換言之�����,令 牌可以包含"使用信息"�,其定義了如何和在哪些條件之下可使用憑證以使得僅當(dāng)滿足"使 用信息"時準(zhǔn)許對賬戶的訪問。例如���,針對用于特定設(shè)備101的令牌���,本地策略信息136可 以包含以下各項:為了目的"A",10分鐘內(nèi)有效的一次性口令����;對于服務(wù)賬戶"K",包括6個 口令的口令列表�����,每個有效2天且可使用3次�����,除了如果受信設(shè)備為"L"���,則每第二個口令 可使用一次�����;在歐洲之外不會使用或僅僅可用于緊急情況的口令����。本地策略信息135還可 以定義這樣的令牌可如何被構(gòu)造的方式和它們可攜帶什么信息����。(換言之,涉及準(zhǔn)許對賬戶 的訪問的一個或多個規(guī)則由對應(yīng)策略表述����,利用令牌而發(fā)送且由設(shè)備101理解。)授權(quán)信息 137包括利用其可以認(rèn)證和授權(quán)受信設(shè)備和/或用戶的信息�����。另外,授權(quán)信息137將用戶權(quán) 限/許可關(guān)聯(lián)到對于其可以請求(一個或多個)簽名令牌的(一個或多個)賬戶���。換言之����,用 于集中式簽名服務(wù)的設(shè)備103是被授權(quán)向設(shè)備101或系統(tǒng)發(fā)布特定令牌的設(shè)備�����。設(shè)備103 可以是廠商專用的集中式設(shè)備���,和/或地區(qū)集中式設(shè)備���,和/或系統(tǒng)專用的集中式設(shè)備,和/ 或子系統(tǒng)專用的集中式設(shè)備�。例如,制造設(shè)備101的公司可以具有用于集中式簽名服務(wù)的 一個全球設(shè)備102或用于集中式簽名服務(wù)的國家專用的和/或地區(qū)專用的設(shè)備102���。
[0018] 用于證書權(quán)威實體的設(shè)備104包括針對用于集中式簽名服務(wù)的設(shè)備103的相互認(rèn) 證和授權(quán)的授權(quán)單元141和用于向用于集中式簽名服務(wù)的設(shè)備103發(fā)布證書的根證書權(quán)威 (CA)單元142����。應(yīng)當(dāng)領(lǐng)會�,用于證書權(quán)威實體的設(shè)備104還包括一個或多個存儲器單元(在 圖1中未圖示),并且設(shè)備104是具有極其有限的訪問的高度受信和受保護的設(shè)備。
[0019] 在圖1的圖示示例中�,在設(shè)備101與受信設(shè)備102之間存在信道11,在受信設(shè)備 102與用于集中式簽名服務(wù)的設(shè)備103之間存在信道12,并且在用于集中式簽名服務(wù)的設(shè) 備103與用于證書權(quán)威實體的設(shè)備104之間存在信道13���。例如,當(dāng)設(shè)備在地理上足夠靠近 以使得用戶可以使用設(shè)備101和設(shè)備102二者的用戶接口時�����,信道11可以包括內(nèi)部信道���, 設(shè)備101內(nèi)的信道和受信設(shè)備102內(nèi)的信道����。信道11可以是使用藍(lán)牙或無線存取網(wǎng)絡(luò)或任 何通信網(wǎng)絡(luò)的通信信道或者使用用戶物理攜帶USB棒或?qū)?yīng)存儲器裝置的信道����。如果信道 11是通信信道,則在通過其傳輸任何令牌信息之前使信道安全以便最小化成功的中間人攻 擊的風(fēng)險是明智的����。例如,設(shè)備可以執(zhí)行相互認(rèn)證和授權(quán)���,并且簽名令牌可以由受信設(shè)備 102或用于集中式簽名服務(wù)的設(shè)備103使用設(shè)備101的公開密鑰進行加密��,在這種情況中�, 信息可以僅由設(shè)備101使用其對應(yīng)的私有密鑰進行解密。然而�����,可以使用用于建立安全信 息傳送的任何手段��。信道12是支持在受信設(shè)備102與用于集中式簽名服務(wù)的設(shè)備103之 間安全連接的建立的通信信道���。它可以是通過因特網(wǎng)或通過電信/衛(wèi)星系統(tǒng)建立的連接��。 通過信道12的安全連接優(yōu)選地是被認(rèn)證且秘密保護的連接����。如果設(shè)備103和104被集成 在一起����,則信道13可以是內(nèi)部信道,或者信道可以是提供設(shè)備103和104之間的安全通信 的通信信道�。
[0020] 設(shè)備(即,設(shè)備101�����、受信設(shè)備102、用于集中式簽名服務(wù)的設(shè)備103和用于證書權(quán) 威實體的設(shè)備104)中的每一個是可作為被配置成執(zhí)行作為實施例與此一起描述的對應(yīng)設(shè) 備功能性中的一個或多個的任何設(shè)備或設(shè)備或裝備或網(wǎng)絡(luò)節(jié)點的計算設(shè)備�����,并且它可以被 配置成執(zhí)行來自不同實施例的功能性�����。被稱作設(shè)備的單元可以是分離的單元或被集成到相 同設(shè)備中的另一單元�。在其它實施例中�����,設(shè)備中的單元或單元的功能性的一部分可以位于 另一設(shè)備中�。以下更加詳細(xì)地描述單元的功能性。
[0021] 每個存儲器可以是任何類型的(與彼此不同)�����,具有任何可能的存儲結(jié)構(gòu)��,且在需 要時被任何數(shù)據(jù)庫管理系統(tǒng)管理��。應(yīng)當(dāng)領(lǐng)會,對應(yīng)存儲器中的內(nèi)容取決于實現(xiàn)細(xì)節(jié)�����,并且存 儲器或存儲器的一部分位于何處并不重要��,即���,它們可以在不同于使用被存儲到存儲器的 信息的單元的另一設(shè)備中�。
[0022] 應(yīng)當(dāng)領(lǐng)會���,設(shè)備中的每一個可以在一個物理設(shè)備中或分布到充當(dāng)一個邏輯設(shè)備的 兩個或更多物理設(shè)備�����。
[0023] 圖1中圖示的單元可以是軟件和/或軟件-硬件和/或固件部件(被不能消除地 記錄在諸如只讀存儲器之類的介質(zhì)上或體現(xiàn)在硬連線計算機電路中)���。本文所描述的技術(shù) 可以由各種手段實現(xiàn),使得實現(xiàn)利用實施例描述的對應(yīng)設(shè)備/實體的一個或多個功能的設(shè) 備不僅包括現(xiàn)有技術(shù)裝置�����,還包括用于實現(xiàn)利用實施例描述的對應(yīng)設(shè)備的一個或多個功能 的裝置����,并且它可以包括用于每個單獨功能的單獨裝置�����,或者裝置可以被配置成執(zhí)行兩個 或更多功能�。例如���,這些技術(shù)可以以硬件(一個或多個設(shè)備)��、固件(一個或多個設(shè)備)、軟件 (一個或多個模塊)或其組合實現(xiàn)����。對于固件或軟件,實現(xiàn)可以通過執(zhí)行本文所描述的功能 的模塊(例如���,過程�����、功能等等)�。軟件代碼可以存儲在任何合適的(一個或多個)處理器/計 算機可讀數(shù)據(jù)存儲介質(zhì)或(一個或多個)存儲器單元或(一個或多個)制造品中且由一個或 多個處理器/計算機施行���。
[0024] 實現(xiàn)根據(jù)實施例的功能性或一些功能性的設(shè)備一般可以包括連接到存儲器和設(shè) 備的各種接口的處理器(在圖1中未示出)���、控制器���、控制單元、微控制器等��。一般而言���,處理 器是中央處理單元���,但是處理器可以是附加的操作處理器。圖1描述的單元中的每一個或 一些或一個可以被配置為計算機或處理器����,或微處理器,諸如單芯片計算機元件��,或作為芯 片集�,至少包括用于提供用于算術(shù)運算的存儲區(qū)的存儲器和用于施行算術(shù)運算的操作處理 器。圖1描述的單元中的每一個或一些或一個可以包括一個或多個計算機處理器�����、專用集 成電路(ASIC)、數(shù)字信號處理器(DSP)���、數(shù)字信號處理設(shè)備(DSPD)�、可編程邏輯器件(PLD)��、 現(xiàn)場可編程門陣列(FPGA)和/或已經(jīng)以實施一個或多個實施例的一個或多個功能的這樣 的方式編程的其它硬件部件���。換言之�,圖1描述的單元中的每一個或一些或一個可以是包 括一個或多個算術(shù)邏輯單元�、多個特殊寄存器和控制電路的元件。
[0025] 另外����,設(shè)備101��、受信設(shè)備102����、用于集中式簽名服務(wù)的設(shè)備103和/或用于證書權(quán) 威實體的設(shè)備104可以包括其它單元,例如�,不同接口單元,諸如用于接收例如不同輸入�、 控制信息����、請求和響應(yīng)的接收單元(在圖1中未圖示)以及用于發(fā)送例如不同輸出�����、控制信 息��、響應(yīng)和請求的發(fā)送單元(在圖1中未圖示)��。接收單元和發(fā)射單元每一個在設(shè)備中提供 接口���,該接口包括發(fā)射器和/或接收器或用于接收和/或發(fā)射信息且執(zhí)行必要功能以使得 可以接收和/或發(fā)射內(nèi)容����、控制信息等的任何其它裝置�。接收和發(fā)送單元可以包括天線集, 其中天線的數(shù)目不限于任何特定數(shù)目����。
[0026] 設(shè)備101、受信設(shè)備102��、用于集中式簽名服務(wù)的設(shè)備103和/或用于證書權(quán)威實 體的設(shè)備104 -般可以包括易失性和/或非易失性存儲器(在圖1中未圖示),例如EEPR0M����、 ROM、PROM�、RAM、DRAM��、SRAM�����、雙浮柵場效應(yīng)晶體管�����、固件���、可編程邏輯等����,并典型地存儲內(nèi)容�����、 數(shù)據(jù)等����。存儲器還可以存儲諸如軟件應(yīng)用(例如,用于一個或多個單元)之類的計算機程序 代碼或操作系統(tǒng)���、信息����、數(shù)據(jù)��、內(nèi)容等���,以供處理器執(zhí)行與依照實施例的設(shè)備的操作相關(guān)聯(lián) 的步驟����。存儲器或其一部分可以是例如隨機存取存儲器���、硬驅(qū)動器或者被實現(xiàn)在處理器/ 網(wǎng)絡(luò)節(jié)點內(nèi)或處于處理器/網(wǎng)絡(luò)節(jié)點外部(在這種情況中�����,其可以經(jīng)由如本領(lǐng)域中已知的 各種手段通信耦合到處理器/網(wǎng)絡(luò)節(jié)點)的其它固定數(shù)據(jù)存儲器或存儲設(shè)備�。外部存儲器 的示例包括可拆卸地連接到設(shè)備的可移除存儲器。
[0027] 圖2是圖示了具有維護服務(wù)賬戶的設(shè)備的示例性功能性或更精確地說圖示了訪 問控制單元����、驗證單元和受信錨單元的功能性的流程圖。在圖2的示例中做出的進一步假 設(shè)是:通過用戶(服務(wù)人員)的物理存在來使設(shè)備與受信設(shè)備之間的信道安全�,并且在便攜 式存儲器中接收令牌。另外��,假設(shè)需要憑證并且僅有口令被用作憑證��。
[0028] 參照圖2,設(shè)備在步驟200中接收對設(shè)備的維護服務(wù)賬戶的請求�����。該請求可以是從 用戶終端����、從受信設(shè)備或經(jīng)由設(shè)備的用戶接口接收的。例如���,用戶可以按下指示用戶想要改 變設(shè)備的配置的特定部分的設(shè)備中或其觸摸屏中的按鈕����。因此����,設(shè)備在步驟201中檢查是 否存在用于維護服務(wù)賬戶的一個或多個有效口令。如果不存在有效口令���,則設(shè)備在步驟202 中創(chuàng)建挑戰(zhàn)�。例如�,設(shè)備可以包括生成要用作挑戰(zhàn)的隨機數(shù)的真隨機數(shù)生成器,或者設(shè)備可 以包含唯一數(shù)的列表或字符串��,從該唯一數(shù)的列表或字符串獲取要作為挑戰(zhàn)的數(shù)(或串)���, 并且該數(shù)優(yōu)選地在此后被刪除以確保其被該設(shè)備用作挑戰(zhàn)僅一次�?��?梢允褂糜糜趧?chuàng)建挑戰(zhàn) 的任何其它手段����,并且應(yīng)當(dāng)領(lǐng)會��,如何創(chuàng)建挑戰(zhàn)的方式對本發(fā)明來說是不相關(guān)的�����。然后,設(shè) 備在步驟203中將挑戰(zhàn)與維護服務(wù)賬戶相關(guān)聯(lián)和/或為了預(yù)期目的(S卩�,為何做出了訪問請 求的原因),且因而觸發(fā)對等待用于該特定賬戶/目的的針對該挑戰(zhàn)的響應(yīng)達(dá)預(yù)定時間的監(jiān) 視����。設(shè)備通過例如臨時地存儲信息來執(zhí)行關(guān)聯(lián)。另外�,設(shè)備在步驟204中轉(zhuǎn)發(fā)挑戰(zhàn)。在該 示例中���,轉(zhuǎn)發(fā)可以是通過向用戶示出挑戰(zhàn)或通過將挑戰(zhàn)存儲到USB棒并提示用戶移動該棒 來執(zhí)行的��。如果在設(shè)備與受信設(shè)備之間存在連接����,則可以通過該連接甚至通過不安全的連 接發(fā)送挑戰(zhàn)�。
[0029] 如上所述,在該示例中����,設(shè)備開始在預(yù)定時間(步驟206)內(nèi)等待用于該特定請求的 令牌(步驟205)。該時間監(jiān)視的優(yōu)點是:確保在沒有接收到響應(yīng)的情況下設(shè)備在某點處停 止等待����。如果在預(yù)定時間已經(jīng)流逝(步驟206)之前接收到令牌(步驟205)�,則設(shè)備通過執(zhí)行 以下三項檢查來證實簽名令牌有效:步驟207���、208和209。在該示例中����,假設(shè)除了訪問啟用 數(shù)據(jù)之外,令牌包括一個或多個證書�����、對挑戰(zhàn)的響應(yīng)和作為簽名的加密散列��。在該示例中�, 該一個或多個證書用于證實令牌有效。在另一示例中����,令牌不包含證書,但是使用預(yù)先安裝 的證書����。另一示例將使證書與令牌一起傳輸?shù)乃枷牒皖A(yù)先安裝的證書進行組合。在圖示的 示例中��,設(shè)備首先在步驟207中使用存儲器中的證書信息來檢查是否被包括在令牌中的所 有證書都有效(ok)。換言之���,證書被映射到涉及用于集中式簽名服務(wù)的設(shè)備的證書信息和 被維護在存儲器中的根CA證書��。換言之���,檢查例如(一個或多個)證書是否對應(yīng)于包括有效 性時段的所存儲的證實有效信息。如果所有證書有效����,那么在步驟208中檢查簽名是否有 效(ok)。這是通過下述操作來執(zhí)行的:從令牌的實際內(nèi)容(S卩��,沒有簽名(加密散列)的令牌 內(nèi)容)計算散列值�、使用借助于(一個或多個)證書確定的用于集中式簽名服務(wù)的設(shè)備的公 開密鑰對簽名進行解密、以及將所計算出的散列值與經(jīng)解密的簽名進行比較��。如果它們相 同���,并且由于(一個或多個)證書有效(步驟207)����,那么令牌被用于集中式簽名服務(wù)的設(shè)備實 際簽名�����,并且簽名有效。如果簽名有效�,則在步驟209中檢查對挑戰(zhàn)的響應(yīng)是否是設(shè)備正在 等待的響應(yīng)。如果是���,則設(shè)備在步驟210中啟用對維護服務(wù)的訪問。在該示例中�����,假設(shè)令牌 包含了一個證書�����、可用于特定量的時間且針對某個時間段有效的口令��。因此在該示例中���,啟 用步驟210包括:將所接收的口令與維護服務(wù)賬戶相關(guān)聯(lián)��,將指示用戶已經(jīng)輸入口令的次 數(shù)的變量"m"設(shè)置成零����,且將指示口令可被使用的量的變量"η"設(shè)置成令牌所指示的值,且 將用于口令的定時器設(shè)置成對應(yīng)在令牌中指示的有效性時間��,以及提示用戶提供口令����。用 戶經(jīng)由受信設(shè)備來獲取口令,如將在下文描述的那樣�����。應(yīng)當(dāng)領(lǐng)會���,啟用步驟可以包括其它功 能���,并且它取決于令牌的內(nèi)容和/或本地配置。例如�����,如果具有一次性可用口令的列表未被 提供有時間限制���,則啟用步驟包括存儲列表并且可能地提示用戶提供口令��。
[0030] 然后�,在圖示的示例中,設(shè)備開始監(jiān)視時間是否已經(jīng)流逝(步驟211)或者是否接收 到口令(步驟212 )��。如果接收到口令��,則在步驟213中檢查由用戶輸入的口令和在令牌中接 收到的口令是否相同�����。如果接收到的口令與令牌中的口令相同����,則在步驟214中檢查口令 是否仍然有效�����。如果是���,則在步驟215中允許對維護服務(wù)賬戶的訪問��,并且在步驟216中將 m更新成m+Ι����。然后,在步驟217中檢查m的更新值是否等于η���。如果是�,貝U在步驟218中使 口令無效��。
[0031] 如果有效性時間已經(jīng)流逝(步驟211)����,則在步驟218中使口令無效。通過監(jiān)視該有 效性時段提供的優(yōu)點在于:如果口令(或口令列表)被盜�����,則中間人不能使用信息非常長的 時間�。并且,由于口令僅用于該設(shè)備�,因此其在其它設(shè)備中不可用。
[0032] 如果口令不再有效(步驟214)或者口令不相同(步驟213)�,則在步驟219中否定訪 問。當(dāng)訪問被否定時����,因為口令不相同,所以可以使所有仍然有效的口令無效���,或者可以在 預(yù)定量的不成功試驗之后使它們無效�。
[0033] 如果未及時接收到令牌(步驟206),則在步驟220中拒絕請求����。如果未驗證簽名令 牌,即在步驟207 (證書證實有效)�����、208 (簽名證實有效)和209 (對挑戰(zhàn)的響應(yīng))中執(zhí)行的 檢查之一失敗���,則同樣拒絕請求�����。
[0034] 如果m的更新值不等于η (步驟217)���,則過程在步驟221中等待用戶登出���。同時��, 可以實施維護服務(wù)(在圖2中未圖示)����。
[0035] 如果當(dāng)接收到訪問服務(wù)賬戶的請求時仍存在有效口令(步驟201),則在步驟222 中提示用戶輸入口令�����,并且該過程然后繼續(xù)到步驟212以監(jiān)視是否在有效性時間內(nèi)接收到 口令�。
[0036] 在其中接收到一次性口令的列表的另一示例中,在步驟213中檢查口令是否在列 表中�,并且然后,有效性檢查包括檢查口令早前是否已經(jīng)被使用過���。如果口令有效且第一次 被使用����,則允許訪問并且將口令標(biāo)記為已使用或從列表刪除��。在另一示例中����,如果接收到η 次可用口令的列表,則當(dāng)"m"獲取η的值時(步驟217)���,將口令標(biāo)記為已使用或從列表刪除���。
[0037] 如從圖2中可以看到的��,設(shè)備在該示例中不需要使用其自身的私有密鑰以使得單 獨通過反向工程將不啟用對維護服務(wù)賬戶的訪問�。
[0038] 圖3圖示了受信設(shè)備的功能性�����,或者更精確地說����,簽名請求服務(wù)單元和本地簽名 服務(wù)單元的功能性。在圖3中圖示的示例中��,假設(shè)想要能夠訪問維護服務(wù)賬戶的用戶(服務(wù) 人員)使用可移除USB存儲器(比如存儲棒)來在受信設(shè)備與具有維護服務(wù)賬戶的設(shè)備之間 傳達(dá)信息�。另外,已經(jīng)假設(shè)受信設(shè)備支持本地簽名服務(wù)��。換言之�,如果需要的話,將由用于 集中式簽名服務(wù)的設(shè)備提供的功能性的至少一部分委托給受信設(shè)備以供使用����。
[0039] 圖3開始于在步驟300中針對受信設(shè)備中的服務(wù)賬戶認(rèn)證和授權(quán)用戶(服務(wù)人 員)���,該服務(wù)賬戶允許簽名請求服務(wù)的使用和接收到的令牌的使用���。取決于實施方式�����,服務(wù) 賬戶可以是用戶專用的服務(wù)賬戶或"組專用的"服務(wù)賬戶�。
[0040] 受信設(shè)備在步驟301中響應(yīng)于用戶指令而開始簽名請求服務(wù)�����。然后����,受信設(shè)備在 步驟302中提示用戶至少輸入挑戰(zhàn)(S卩,至少由具有維護服務(wù)賬戶的設(shè)備提供的最小信息)��。 在該特定示例中����,用戶將USB棒插入到受信設(shè)備,受信設(shè)備在步驟303中獲取挑戰(zhàn)和由具有 維護服務(wù)賬戶的設(shè)備存儲到USB棒的其它可能信息��。然后�,受信設(shè)備在步驟304中檢查其 是否具有或成功建立到用于集中式簽名服務(wù)的設(shè)備的安全在線連接��。該建立包括向提供簽 名服務(wù)的設(shè)備認(rèn)證受信設(shè)備����,使得安全在線連接是被認(rèn)證且秘密保護的連接�。建立這樣的 安全在線連接的不同方式對本領(lǐng)域技術(shù)人員而言是眾所周知的,并且��,如何建立安全在線 連接的方式對本發(fā)明來說不重要���。因此在此不對其進行詳細(xì)描述��。
[0041] 在圖示的示例中���,如果存在安全在線連接或在線連接,則受信設(shè)備在步驟305中 針對用于集中式簽名服務(wù)的設(shè)備認(rèn)證和授權(quán)用戶和/或受信設(shè)備�����。當(dāng)建立安全在線連接 或者在線連接被轉(zhuǎn)換成安全在線連接時����,可以執(zhí)行該認(rèn)證和授權(quán)。用戶認(rèn)證和授權(quán)所需的 信息與當(dāng)用戶被認(rèn)證和授權(quán)到受信設(shè)備時所使用的信息相同。如果認(rèn)證和授權(quán)成功(步驟 306)���,則受信設(shè)備在步驟307中發(fā)送具有挑戰(zhàn)的簽名請求。簽名請求還可以例如包括附加 參數(shù)�,比如涉及受信設(shè)備和/或用戶的信息,或者被指派給具有維護服務(wù)賬戶的設(shè)備的某 系統(tǒng)標(biāo)識符�����,或者描述針對訪問請求的原因的授權(quán)參數(shù)��,或者應(yīng)當(dāng)準(zhǔn)許訪問的次數(shù)����,該信息 是利用挑戰(zhàn)來獲取的。由于連接是安全連接��,因此簽名請求以及對其的響應(yīng)受保護而免于 修改和中間人攻擊��。當(dāng)受信設(shè)備在步驟308中接收到作為對簽名請求的響應(yīng)的簽名令牌 時����,它在步驟309中將簽名令牌存儲到USB棒,在步驟310中向用戶提示USB棒現(xiàn)在包含簽 名令牌��,并在步驟311中向用戶示出或以其它方式輸出具有或不具有簽名的令牌內(nèi)容�����,使 得用戶接收訪問維護服務(wù)賬戶所需的信息。然后�����,受信設(shè)備在步驟312中關(guān)閉用于該請求 的簽名請求服務(wù)����。
[0042] 如果認(rèn)證或授權(quán)失敗(步驟306),S卩��,要被認(rèn)證和授權(quán)的一個或多個實體中的至少 一個未被認(rèn)證或授權(quán)�,則受信設(shè)備在步驟313中關(guān)于該失敗提示用戶,該提示指示了用戶 將不獲取用于維護服務(wù)賬戶訪問的令牌��。然后���,在步驟312中關(guān)閉用于該請求的簽名請求 服務(wù)����。
[0043] 如果不存在安全在線連接(步驟304)��,則受信設(shè)備在步驟314中檢查其是否已經(jīng) 被委托用于該特定維護服務(wù)賬戶和/或具有維護服務(wù)賬戶的設(shè)備的簽名服務(wù)功能性。如果 是��,則受信設(shè)備在步驟315中通過使用本地認(rèn)證和授權(quán)信息來檢查用戶是否被授權(quán)接收對 維護服務(wù)賬戶的訪問���。如果是����,則受信設(shè)備在步驟316中生成令牌(其可以稱作本地令牌) 并在步驟317中使用本地簽名密鑰來對它進行簽名���,所述本地簽名密鑰是已經(jīng)事先生成和 證明的特定密鑰,如將利用圖6解釋的那樣��。然后���,該過程進行到步驟309,其中將簽名令牌 存儲到USB棒��。
[0044] 圖4圖示了用于集中式簽名服務(wù)的設(shè)備的功能性�,或者更精確地說�,在受信設(shè)備 和/或用戶的成功認(rèn)證和授權(quán)之后簽名服務(wù)單元的功能性。成功的認(rèn)證和授權(quán)被用于確定 受信設(shè)備和/或用戶被許可接收用于所請求的維護服務(wù)的許可��,并且因此�,執(zhí)行所圖示的 步驟。應(yīng)當(dāng)領(lǐng)會,在一些其它示例中��,可以在接收到簽名請求之后認(rèn)證和/或授權(quán)受信設(shè)備 和/或用戶����。然而,在該示例中��,順序是不同的���。
[0045] 參照圖4,在步驟401中接收至少包含挑戰(zhàn)和系統(tǒng)標(biāo)識符的簽名請求����。簽名請求可 以包含其它信息���,比如涉及受信設(shè)備或涉及認(rèn)證用戶的信息���,如以上解釋的那樣。響應(yīng)于包 含具有維護服務(wù)賬戶的設(shè)備的系統(tǒng)或設(shè)備本身和/或所請求的維護服務(wù)利用其可被足夠 準(zhǔn)確地標(biāo)識的系統(tǒng)標(biāo)識符或?qū)?yīng)信息的請求���,在步驟402中獲取有關(guān)本地策略���。然后���,在步 驟403中計算對挑戰(zhàn)的響應(yīng)。響應(yīng)的計算對本領(lǐng)域技術(shù)人員而言是已知的���,并且因此不存 在在此更加詳細(xì)地描述它的需要���。使用所獲取的本地策略,在步驟404中生成用于令牌的 其它參數(shù)��。其它參數(shù)的示例包括口令�����、口令列表�����、口令或口令列表的有效性時間����、口令可被 使用的次數(shù)(如果生成口令列表���,則列表中的每個口令可以具有其自身的有效性時間或次 數(shù))�����、在預(yù)定量的不成功試驗之后使所有有效口令無效的指令���、可允許的不成功試驗的量�、 命令��、腳本等�����。應(yīng)當(dāng)領(lǐng)會��,步驟402和404可以被組合在其中施行本地策略而不是獲取的實 施方式中���。另外�,在步驟405中�,從用于證書權(quán)威實體的設(shè)備獲取用于令牌的一個或多個證 書,并且在步驟406中從包含對挑戰(zhàn)的響應(yīng)�、其它參數(shù)和一個或多個證書的信息計算散列。 換言之���,從令牌的實際內(nèi)容計算散列��,并且從而對令牌進行簽名����。然后,在步驟407中使用 設(shè)備的私有密鑰來解密散列����。私有密鑰是證書信息中的公開密鑰的相對部分(與公開密鑰 相關(guān)聯(lián)的證書是公開的且用于證實簽名有效,如以上利用圖2解釋的那樣)����。然后,在步驟 408中將加密的散列作為簽名添加到已經(jīng)包括信息(實際內(nèi)容)的令牌���,并且結(jié)果是簽名令 牌。在步驟409中通過安全在線通信信道向受信設(shè)備發(fā)送簽名令牌����。應(yīng)當(dāng)領(lǐng)會,取決于實 施方式�����,證書可以被簽名(即�,當(dāng)從實際內(nèi)容計算散列時被考慮在內(nèi))或僅僅被添加到簽名 令牌�。
[0046] 圖5是圖示了根據(jù)示例的信息交換的圖表��。在該示例中���,假設(shè)認(rèn)證和授權(quán)將成功��, 并且用作憑證的口令是有效口令�。
[0047] 圖5在其中設(shè)備(Appar.)在點5-1中檢測到訪問設(shè)備中的服務(wù)賬戶的訪問請求 的情形中開始�����。設(shè)備在點5-2中通過創(chuàng)建和在設(shè)備的用戶接口中向用戶示出挑戰(zhàn)并且與服 務(wù)賬戶相關(guān)聯(lián)地存儲該挑戰(zhàn)來做出響應(yīng)�。
[0048] 在該示例中,在將挑戰(zhàn)和有關(guān)信息輸入到受信設(shè)備之前���,用戶和受信設(shè)備在點5-3 中執(zhí)行相互認(rèn)證和授權(quán)�。響應(yīng)于在點5-4中接收到挑戰(zhàn)和有關(guān)信息���,受信設(shè)備和用于集中 式簽名服務(wù)(SignS)的設(shè)備在消息5-5中執(zhí)行相互認(rèn)證以建立安全連接�����,如上文所描述的 那樣�。然后,將至少包含挑戰(zhàn)和可能的其它信息的簽名請求5-6從受信設(shè)備發(fā)送到用于集 中式簽名服務(wù)的設(shè)備��。用于集中式簽名服務(wù)的設(shè)備在點5-7中生成令牌信息并在點5-7中 對其進行簽名���,如上文所描述的那樣��,并且�����,在響應(yīng)5-8中將允許η次訪問(η是一或更多) 的簽名令牌發(fā)送到受信設(shè)備��。在該特定示例中�����,假設(shè)令牌信息包含兩個分離片段:意圖到受 信設(shè)備或更準(zhǔn)確地說到用戶的第一片段�;和第二片段��,實際簽名令牌���。在該示例中,第一片 段包括口令和可能的另外的信息��,比如口令僅可使用一次和/或它的有效性時段。第二片 段包括口令的散列���、證書和從在該示例中由散列形成的實際內(nèi)容計算的簽名���、指示口令的 有效性時間和口令僅可使用一次的信息。在該示例中�,使用設(shè)備的公開密鑰來加密第二片 段,該公開密鑰被用于集中式簽名服務(wù)的設(shè)備所知�。
[0049] 當(dāng)受信設(shè)備接收到響應(yīng)5-8時,其在該示例中被配置成建立到設(shè)備的連接�。因此, 設(shè)備和受信設(shè)備通過消息5-9執(zhí)行相互認(rèn)證和授權(quán)���。該信息交換可以包括改變關(guān)于公開密 鑰的信息��,盡管設(shè)備的公開密鑰可以被受信設(shè)備事先所知(和/或反之亦然)���。受信設(shè)備還 在點5-10中向用戶示出在響應(yīng)5-8中接收的第一片段。另外��,受信設(shè)備在5-11中通過在 受信設(shè)備與設(shè)備之間建立的信道向設(shè)備轉(zhuǎn)發(fā)第二片段����。
[0050] 設(shè)備解密令牌并在點5-12中證實它有效�����。然后����,設(shè)備在點5-13中從用戶接收口 令����,在5-14中從口令計算散列并將所計算出的散列與所接收的散列進行比較。由于在該示 例中它們匹配����,因此設(shè)備在點5-15中準(zhǔn)許對賬戶的訪問,且由于令牌在該示例中用于一次 性訪問���,因而使散列無效以使得新的試驗將不成功����。
[0051] 因而���,傳達(dá)僅可使用一次的一個口令的令牌的優(yōu)點是:不存在在長時間內(nèi)存儲口 令的需要,并且如果受信設(shè)備被盜或已知為"正在受損害"���,則集中解除授權(quán)受信設(shè)備將足 夠��,使得沒有向設(shè)備(或具有維護服務(wù)賬戶的其它設(shè)備)的另外令牌被獲取��。自然��,如果被解 除授權(quán)的設(shè)備被配置成提供本地簽名服務(wù)�,則它將不獲取簽名證書以及本地簽名服務(wù)所需 的有關(guān)彳目息。
[0052] 圖6是圖示了根據(jù)示例的信息交換的圖表���,其中可以將簽名服務(wù)的至少一部分委 托給受信設(shè)備�����。在該示例中����,假設(shè)認(rèn)證和授權(quán)將成功���。
[0053] 參照圖6,受信設(shè)備(受信方(Trusted))在點6-1中檢測到針對用于具有維護服務(wù) 賬戶的設(shè)備的令牌的其本地信息不再有效��。因此�����,受信設(shè)備在點6-1中生成簽名密鑰���,并利 用用于集中式簽名服務(wù)(SignS)的設(shè)備觸發(fā)相互認(rèn)證和授權(quán)(消息6-2)����。簽名密鑰是用于 簽名的短時間私有/共享密鑰�,并且在認(rèn)證/授權(quán)中使用另一私有密鑰,或者如果共享機密 被使用����,則使用另一共享密鑰。此后�����,受信設(shè)備發(fā)送針對用于對令牌進行簽名的信息的請求 6-3����。換言之,它請求短時間簽名證書�。請求可以指定針對其而請求信息的一個或多個設(shè)備 和/或目的。另外�����,請求包含用于所生成的簽名密鑰的所有權(quán)證據(jù)�����。應(yīng)當(dāng)領(lǐng)會�����,在發(fā)布任何 簽名證書之前還可以使用除所有權(quán)證據(jù)外的其它手段來檢查簽名密鑰��。
[0054] 響應(yīng)于請求6-3,用于集中式簽名服務(wù)的設(shè)備檢查所生成的簽名密鑰的所有權(quán)證 據(jù)以及其是否已經(jīng)委托用于該受信設(shè)備(和用于所指示的目的和/或設(shè)備)的簽名服務(wù)�����。必 須檢查所有權(quán)證據(jù)����,因為證書內(nèi)的公開密鑰必須匹配于私有密鑰(即,匹配于所生成的簽名 密鑰)�。由于在圖示的示例中,兩項檢查都被通過�,因此用于集中式簽名服務(wù)的設(shè)備在點6-4 中生成用于對令牌進行簽名的本地信息。換言之�����,它發(fā)布短時間簽名證書。用于集中式簽 名服務(wù)的設(shè)備可以向本地信息添加有效性時段�����,典型地為短有效性時段�����,和/或一些使用 限制��。然后��,在消息6-5中向受信設(shè)備發(fā)送信息(短時間簽名證書)�。
[0055] 響應(yīng)于接收到信息,受信設(shè)備在步驟6-6中存儲所接收的信息并監(jiān)視其有效性���。 換言之��,受信設(shè)備從集中式簽名服務(wù)接收簽名證書���,該簽名證書使受信設(shè)備能夠使用簽名 密鑰以生成有效簽名。
[0056] 可以說�����,具有受限有效性時段的簽名證書與本地策略信息和本文授權(quán)信息一起建 立集中式簽名服務(wù)的委托。通過證書證實有效路徑的證實有效�,維護服務(wù)賬戶所位于的設(shè) 備可以檢查受信設(shè)備是否具有有效的"委托"簽名證書。
[0057] 以上示例提供了由中央實體授權(quán)的各個η次訪問令牌���。因而,可以將經(jīng)授權(quán)的用 戶組成員與具有這樣的維護服務(wù)賬戶的設(shè)備之間的多對多關(guān)系映射到點對點關(guān)系�。由于這 一點,避免了由若干人員共享的通用口令�,從而避免了涉及通用口令或口令列表的問題,包 括邏輯問題(如何將口令遞送到若干用戶)和錯用問題(如何確保不再屬于經(jīng)授權(quán)的用戶組 的某人不再知曉口令或口令列表但是仍屬于的人被準(zhǔn)許訪問)�����。另外的觀察是:以上描述的 示例提供了可考慮始終作為用戶-設(shè)備專用的特定需要或限制的靈活且自適應(yīng)的機制���。
[0058] 以上在圖2-6中描述的步驟�、信息交換消息和有關(guān)功能并不按絕對的時間順序�, 并且步驟/信息交換中的一些可以同時或按不同于給定順序的順序執(zhí)行。例如���,步驟405 可以在步驟408之后執(zhí)行�,S卩,可以在其它內(nèi)容被簽名之后添加證書或者與其它內(nèi)容的簽 名同時添加證書����。還可以在步驟/有關(guān)功能之間或在步驟/有關(guān)功能內(nèi)施行其它功能。例 如����,在圖2中,在已經(jīng)提示用戶提供口令之后��,可以監(jiān)視是否在預(yù)定時間內(nèi)接收到口令����。步 驟/信息交換中的一些或步驟/信息交換的一部分還可以被省去或者由對應(yīng)的步驟/信息 交換或步驟/信息交換的一部分替代。例如��,使用USB棒可以由使用藍(lán)牙替代��,等等�。另一 示例包括:如果從受信設(shè)備到用于集中式簽名服務(wù)的設(shè)備的在線連接建立失敗,則舍去步 驟314-315并且直接關(guān)于失敗提示用戶���。又一示例是:如果將口令而不是散列遞送到具有 賬戶的設(shè)備����,則跳過從接收到的口令計算散列。消息(請求�、響應(yīng)等)僅僅是示例性的且甚至 可以包括用于傳輸相同信息的若干分離的消息。例如�����,可以在除針對簽名證書的請求外的 另一消息中發(fā)送所有權(quán)證據(jù)���,并且消息和關(guān)聯(lián)的點可以使用不同的協(xié)議����。此外��,消息還可以 包含其它信息��。
[0059] 盡管在上文中假設(shè)本地策略被用于確定涉及令牌或簽名證書的某些特征���,但是應(yīng) 當(dāng)領(lǐng)會,取代本地策略����,由用于集中式簽名服務(wù)的設(shè)備簽名的令牌或簽名證書可以全部是 使用相同規(guī)則、條件和/或定義來生成的��,或者規(guī)則、條件和/或定義可以是從受信設(shè)備或 經(jīng)由受信設(shè)備作為簽名請求的一部分接收的��。
[0060] 盡管在上文中���,假設(shè)令牌包含(一個或多個)證書和附加信息(如果有的話)來說明 示例���,但是應(yīng)當(dāng)領(lǐng)會,示例是可利用其中(一個或多個)證書被事先遞送����、與令牌一起遞送和 /或與令牌一起遞送附加信息和/或令牌包含口令的散列或這樣的散列的列表的解決方案 來實現(xiàn)的。如果設(shè)備接收到口令散列����,則可以利用令牌將口令轉(zhuǎn)發(fā)到受信設(shè)備,在這種情況 中�����,受信設(shè)備被配置成不將口令轉(zhuǎn)發(fā)到設(shè)備而是向用戶輸出一個或多個口令���。用戶可以經(jīng) 由任何其它值得信任的機制來接收對應(yīng)于散列的口令�。
[0061] 盡管在上文中,利用維護服務(wù)賬戶來說明示例���,但是應(yīng)當(dāng)領(lǐng)會��,也可以對管理員賬 戶使用相同的機制�����,并且如果需要增強的安全性���,則可以對用戶賬戶使用相同的機制。
[0062] 對本領(lǐng)域技術(shù)人員而言將顯而易見的是���,隨著技術(shù)的發(fā)展���,本發(fā)明概念可以以各 種方式實現(xiàn)�。本發(fā)明及其實施例不限于上文描述的示例,而是可以在權(quán)利要求的范圍內(nèi)變 化���。
【權(quán)利要求】
1. 一種方法����,包括: 在設(shè)備中接收對設(shè)備中的賬戶的訪問請求; 響應(yīng)于訪問請求�����,倉il建挑戰(zhàn)��; 轉(zhuǎn)發(fā)挑戰(zhàn)���; 接收涉及挑戰(zhàn)的簽名令牌���; 檢查令牌是否由通過設(shè)備能驗證且被授權(quán)提供用于賬戶的簽名服務(wù)的集中式實體簽 名; 如果令牌由集中式實體簽名��,則檢查令牌中的第一響應(yīng)是否對應(yīng)于設(shè)備針對挑戰(zhàn)而預(yù) 期接收的響應(yīng)�;以及 如果是,則檢查訪問啟用數(shù)據(jù)是指示需要來自用戶的另外的輸入還是令牌是訪問令牌 自身�; 如果令牌是訪問令牌自身,則準(zhǔn)許訪問�; 如果需要另外的輸入,則: 針對憑證提示用戶����; 經(jīng)由用戶接口接收憑證; 檢查所接收的憑證是否對應(yīng)于訪問啟用數(shù)據(jù)中的憑證����; 如果是��,則準(zhǔn)許對賬戶的訪問���。
2. 如權(quán)利要求1所述的方法,還包括: 維護設(shè)備中的證書信息�����; 在令牌中接收一個或多個證書�; 在檢查訪問啟用數(shù)據(jù)是指示需要來自用戶的另外的輸入還是令牌是訪問令牌自身之 前,使用證書信息檢查所接收的一個或多個證書的有效性���;以及 如果該一個或多個證書有效���,則檢查訪問啟用數(shù)據(jù)是指示需要來自用戶的另外的輸入 還是令牌是訪問令牌自身,令牌由集中式實體簽名并且第一響應(yīng)對應(yīng)于設(shè)備正在等待的響 應(yīng)��。
3. 如權(quán)利要求1或2所述的方法���,還包括: 在訪問啟用數(shù)據(jù)中接收具有用于憑證的一個或多個使用條件的一個或多個憑證; 監(jiān)視該一個或多個使用條件的滿足�����; 如果涉及憑證的所有使用條件得到滿足,則將憑證視為有效���;以及 僅當(dāng)經(jīng)由用戶接口接收的憑證對應(yīng)于訪問啟用數(shù)據(jù)中的有效憑證時�����,才準(zhǔn)許對賬戶的 訪問��。
4. 如權(quán)利要求3所述的方法��,其中 該一個或多個憑證包括口令���、口令的列表、口令的散列或多個口令的多個散列���,并且 該一個或多個使用條件定義下述至少一項:用于該一個或多個憑證的共有或憑證專用 的有效性時間����;和指示該一個或多個憑證能夠多少次被用于獲取對賬戶的訪問的共有或憑 證專用的使用次數(shù)值�����。
5. 如權(quán)利要求3或4所述的方法,還包括: 響應(yīng)于訪問請求并且在創(chuàng)建挑戰(zhàn)之前�,檢查是否存在用于賬戶的任何有效憑證; 如果存在�����,則提示用戶輸入憑證而不是創(chuàng)建挑戰(zhàn)�。
6. 如前述權(quán)利要求中任一項所述的方法,還包括: 確定賬戶是否提供改變設(shè)備的維護相關(guān)信息或其它配置參數(shù)的權(quán)限�����;以及 僅響應(yīng)于賬戶提供改變設(shè)備的維護相關(guān)信息或其它配置參數(shù)的權(quán)限而創(chuàng)建挑戰(zhàn)�����。
7. -種方法���,包括: 由第一設(shè)備針對允許對簽名服務(wù)請求服務(wù)的訪問的賬戶而認(rèn)證和授權(quán)用戶����; 接收挑戰(zhàn)�����; 利用提供簽名服務(wù)的集中式實體認(rèn)證和授權(quán)第一設(shè)備��; 在第一設(shè)備與集中式實體之間建立安全通信信道��; 形成至少包括挑戰(zhàn)的簽名請求��; 通過信道向集中式實體發(fā)送簽名請求�; 在第一設(shè)備中從集中式實體接收簽名令牌,該簽名令牌至少包括用于第二設(shè)備中的另 一賬戶的訪問啟用數(shù)據(jù)���;以及 將該簽名令牌轉(zhuǎn)發(fā)到第二設(shè)備�。
8. 如權(quán)利要求7所述的方法����,還包括: 向用戶輸出訪問啟用數(shù)據(jù)的至少一部分。
9. 如權(quán)利要求7或8所述的方法����,所述方法還包括: 提供本地簽名服務(wù); 從集中式實體請求用于本地簽名服務(wù)的臨時證書�; 接收臨時證書; 監(jiān)視臨時證書的有效性��; 響應(yīng)于檢測到信道的建立失敗����,使用臨時證書形成本地令牌�; 簽名本地令牌�����; 將簽名的本地令牌作為本地令牌轉(zhuǎn)發(fā)到第二設(shè)備�。
10. 如權(quán)利要求9所述的方法,還包括: 僅向賬戶和/或第二設(shè)備的預(yù)定義組提供本地簽名服務(wù)�; 隨挑戰(zhàn)接收關(guān)于賬戶和/或第二設(shè)備的預(yù)定義組的信息; 響應(yīng)于檢測到信道的建立失敗并且在形成本地令牌之前�����,檢查賬戶和/或第二設(shè)備是 否屬于賬戶和/或第二設(shè)備的預(yù)定義組����;以及 如果賬戶和/或第二設(shè)備屬于賬戶和/或第二設(shè)備的預(yù)定義組,則形成本地令牌�。
11. 一種方法,包括: 提供用于簽名服務(wù)的集中式實體���; 由集中式實體認(rèn)證和授權(quán)第一設(shè)備���; 在第一設(shè)備與集中式實體之間建立安全通信信道�����; 在集中式實體中從第一設(shè)備接收包含挑戰(zhàn)的簽名請求,該簽名請求指示其用于獲取對 第二設(shè)備中的賬戶的訪問啟用數(shù)據(jù)�����; 由集中式實體生成訪問啟用數(shù)據(jù)���; 由集中式實體計算對挑戰(zhàn)的響應(yīng)��; 由集中式實體形成至少包括訪問啟用數(shù)據(jù)和挑戰(zhàn)的令牌��; 由集中式實體簽名令牌����;以及 通過安全通信信道向第一設(shè)備發(fā)送簽名令牌���。
12. 如權(quán)利要求11所述的方法����,還包括: 獲取涉及第二設(shè)備和/或賬戶的本地策略���; 根據(jù)本地策略生成一個或多個使用條件����,該一個或多個使用條件包括下述至少一項: 訪問啟用數(shù)據(jù)的有效性時段;和關(guān)于訪問啟用數(shù)據(jù)或訪問啟用數(shù)據(jù)的片段能夠多少次被用 于獲取對第二設(shè)備中的賬戶的訪問的信息�����; 在令牌被簽名之前將該一個或多個使用條件添加到令牌�����。
13. 如權(quán)利要求12所述的方法�����,其中訪問啟用數(shù)據(jù)包括一個或多個憑證�����,并且該一個 或多個使用條件定義用于該一個或多個憑證的有效性時間和/或指示該一個或多個憑證 能夠多少次被用于獲取對賬戶的訪問的使用次數(shù)值�,所述有效性時間和/或所述使用次數(shù) 值是共有的或憑證專用的。
14. 如權(quán)利要求11����、12或13所述的方法�����,還包括: 向令牌添加與第二設(shè)備共享的證書信息�。
15. 如權(quán)利要求11����、12�、13或14所述的方法,還包括: 在集中式簽名實體中從第一設(shè)備接收針對一個或多個臨時證書的請求���,借助于該一個 或多個臨時證書��,第一設(shè)備能夠形成和簽名包括對第二設(shè)備中的賬戶的訪問啟用數(shù)據(jù)的令 牌���;以及 向第一設(shè)備發(fā)布一個或多個臨時證書。
16. 如權(quán)利要求15所述的方法����,還包括: 在集中式簽名實體中維護指示集中式簽名實體被允許向其發(fā)布臨時證書的所允許的 設(shè)備的信息;以及 如果第一設(shè)備屬于所允許的設(shè)備����,則發(fā)布該一個或多個臨時證書���。
17. -種包括被適配成當(dāng)計算機程序運行時執(zhí)行如權(quán)利要求1至16中任一項所述的方 法的任何步驟的程序指令的計算機程序產(chǎn)品。
18. -種設(shè)備�����,包括用于執(zhí)行如權(quán)利要求1至16中任一項所述的方法的任何步驟的裝 置����。
19. 一種系統(tǒng),至少包括: 包括用于執(zhí)行如權(quán)利要求1至6中任一項所述的方法的任何步驟的裝置的第一設(shè)備�����; 包括用于執(zhí)行如權(quán)利要求7至10中任一項所述的方法的任何步驟的裝置的第二設(shè) 備�����; 包括用于執(zhí)行如權(quán)利要求11至16中任一項所述的方法的任何步驟的裝置且能被第一 設(shè)備驗證的第三設(shè)備��; 包括根證書發(fā)布服務(wù)的第四設(shè)備�,第四設(shè)備被配置成給第三設(shè)備提供簽名令牌所需的 信息; 其中第二設(shè)備至少能連接至第三設(shè)備��,第三設(shè)備能連接至第二設(shè)備和第四設(shè)備,并且 第一設(shè)備不能直接連接至第三和第四設(shè)備��。
20. 如權(quán)利要求19所述的系統(tǒng)���,其中第一設(shè)備與第二設(shè)備之間的信息交換是通過網(wǎng)絡(luò) 連接和/或通過藍(lán)牙連接進行的���,和/或利用第一和第二設(shè)備中的用戶接口和/或用戶接 口和便攜式存儲器裝置。
21.如權(quán)利要求18或19所述的系統(tǒng)�����,其中簽名的令牌提供對賬戶的η次訪問�,其中η 為整數(shù)��,其值為一或更多�����。
【文檔編號】H04L29/06GK104115464SQ201280070420
【公開日】2014年10月22日 申請日期:2012年2月22日 優(yōu)先權(quán)日:2012年2月22日
【發(fā)明者】M.舍費爾 申請人:諾基亞通信公司