多因素证书授权机构的制作方法
多因素证书授权机构的制作方法
【专利摘要】此处公开的是被配置为提供多因素数字证书的证书授权机构服务器。处理器可读介质可包括被配置为响应于指令由处理器执行,启用证书授权机构的证书授权机构服务器以请求,以通过数字地签署有多个因素和密钥的证书请求而提供多因素数字安全证书的多个指令,其中多个因素的第一个是设备的标识符且多个因素的第二个是设备的用户的标识符。指令也被配置为启用证书授权机构服务器以将密钥与多个因素相关联并基于证书请求发出数字安全证书。也公开了使用多因素数字证书作为授权过程的一部分以隐式地绑定多个因素的方法。描述和声明了其它实施例。
【专利说明】多因素证书授权机构
【技术领域】
[0001] 本公开一般地涉及通信安全的【技术领域】。更具体地,本公开涉及通过多因素电子 安全证书提高基于网络的数据处理的安全特征。
【背景技术】
[0002] 此处提供的背景描述是为了一般地呈现本公开的上下文的目的。除非另外指明, 本节中所描述的材料不是本申请中的权利要求书的现有技术且不因为被包括在本节中而 被承认为现有技术。
[0003] 随着电子设备的数量持续增长,在电子设备之间传输的数据的安全是个持久的问 题。因此,例如在电子商务和远程访问应用程序中常常想要双因素认证。根据已有的方案, 双因素认证通常是分别执行地。
[0004] 例如,数字证书可首先被用于认证的第一个因素。证书授权机构可向电子设备发 出数字证书以认可电子设备与密钥或密码的关联。来自电子设备的数据的接收方可使用电 子证书来验证数据从其发出的设备的身份和验证数据在传输过程中没有被变更。然后,可 分别执行授权的第二个因素,例如通过查询数据库来验证用户的身份或其他有关的属性。
[0005] 这意味着,在当前办法下,无需特殊启用,任何有效的设备和任何有效的用户将在 电子商务或远程访问应用程序中作为一对被接受。为了避免这样,可检查两个因素之间的 绑定。然而,检查第一和第二因素之间的绑定的应用程序通常需要经过需在每个连接上进 行的另一验证。该办法还要求用户和设备关系的数据库,这增加了解决方案的复杂度并影 响性能和成本。不检查两个因素之间的绑定的风险可允许攻击者用任何窃取的用户身份使 用任何窃取的设备。
[0006] 由于两阶段方案复杂且高成本,今天在业界几乎不使用基于双因素认证的绑定证 书,无论增加了安全性的好处与否。
【专利附图】
【附图说明】
[0007] 作为示例而非限制,在附图中示出了本发明的实施例,附图中相似的附图标记指 示相似的元素。
[0008] 图1是适于用来实践本公开的各种实施例的计算网络的框图。
[0009] 图2是展示适于用来实践本公开的各种实施例的证书的部分的图。
[0010] 图3是根据本公开的方法的各种实施例示出图2的证书的创建的流程图。
[0011] 图4是根据本公开的各种实施例示出多因素认证过程的泳道图。
[0012] 图5是适于用来实践本公开的各种实施例的计算设备的框图。
[0013] 实施例的描述
[0014] 本公开的实施例涉及由证书授权机构撰写多因素证书。在实施例中,多因素证书 的请求可由证书授权机构服务器接收。证书授权机构服务器可与证书授权机构相关联并被 配置为撰写、发出或授权多因素电子证书。证书的一个因素可以是证书可与之相关联的设 备的身份。证书的另一个因素可以是证书可与之相关联的设备的用户。通过发出多因素证 书,证书授权机构可在多因素证书的预设时而不是认证时将两个或更多因素绑定到一起。 如下面将更详细描述的,设备可用和使用多因素证书可有利地降低对信息的未授权的访问 的可能性。
[0015] 根据一个实施例,计算机可读介质可有多个指令被配置为:响应于由证书授权机 构服务器的处理器执行指令,启用证书授权机构的证书授权机构服务器以接收证书请求, 和提供多因素数字安全证书作为响应。预设可包括证书授权机构服务器数字地签署有多个 标识的身份和一个密钥的证书请求。多个因素的第一个可以是设备的标识符,且多个因素 的第二个可以是设备的用户的标识符。密钥可与多个因素相关联。多个因素和密钥在数字 安全证书中的共同存在用密钥将多个因素绑定。
[0016] 将使用由本领域技术人员为将其工作的实质传达给本领域其他技术人员而普遍 采用的术语来描述说明性实施例的各种方面。然而对于那些本领域技术人员显而易见的 是,可以使用所述方面的一部分来实践一些替代实施例。为了解释的目的,叙述了具体数 字、材料和配置以提供对说明性实施例的全面理解。然而,对于本领域技术人员显而易见的 是,没有这些具体细节也可以实践各替代实施例。在其它实例中,省略或简化了公知的特征 以便不阻碍说明性实施例。
[0017] 还以最有助于理解说明性实施例的方式将各种操作进而描述为多个具体操作;然 而,描述的顺序不应被解释为暗示这些操作必然是依赖顺序的。特别是,这些操作不必以呈 现的顺序被执行。
[0018] 重复使用了短语"在一个实施例中"。此短语通常不指同一实施例;但其可以。除 非上下文另外指明,术语"包含"、"具有"和"包括"是同义的。短语"A/B"意味着"A或B"。 短语"A和/或B"意味着" (A)、⑶或(A和B) "。短语"A、B和C中的至少一个"意味着 " (A)、(B)、(C)、(A 和 B)、(A 和 C)、(B 和 C)或(A、B 和 C) "。短语 " (A) B" 意味着 "(B)或 (AB)",即A是可选的。
[0019] 图1示出了适用于实践本公开的实施例的计算网络100。如下面将更详细描述的, 计算网络100可被配置为创建并使用多因素数字证书以在单个过程中启用多因素认证。多 因素认证可增加计算网络100中的信息安全性。如所示的,计算网络100可包括经由联网 结构104互相耦合的客户端设备102和服务器106。
[0020] 客户端设备102可以是被配置为与用户接口的电子设备。客户端设备102可以是 个人计算机、膝上型计算机、计算平板、蜂窝电话、智能电话、个人数字助理、游戏控制台、电 视机、车辆的计算系统等等。用户可与客户端设备102交互以从服务器106请求信息。例 如,客户端设备102可以是智能电话且服务器106可主存用户从其进行购买的电子商务网 站。
[0021] 客户端设备102可被配置为通过启用服务器106去要求源自客户端设备102的交 易用多因素认证执行来增加客户端设备102与服务器106之间的交易的安全性。因此,在 实施例中,客户端102可包括多因素数字安全证书108。多因素证书108可以是将第一因 素,诸如客户端设备102的身份,与第二因素,诸如用户的身份,绑定或关联的数字文件。多 因素证书108也可将第一因素和第二因素用加密密钥或码关联。在实施例中,多因素证书 108可基于公钥基础架构(PKI)并已由证书授权机构110发出。稍后将参考图3进一步描 述关于发出多因素数字证书的细节。
[0022] 在实施例中,客户端设备102可在传输来自服务器106的信息或服务请求时将多 因素证书108发送给服务器106。附加地,客户端设备102可使用与多因素证书108相关 联的密钥和/或码将请求的全部或部分加密。客户端设备102还被配置为禁止多因素证 书108的使用或传输,直到验证了基于具体设备的授权之后。例如,如果多因素证书108将 标识为userX_at_addressY (用户X_在_地址Y)的第二(用户身份)因素绑定到标识为 deviceP_at_addressQ (设备?_在_地址Q)的客户端设备102,则客户端设备102可禁止 多因素证书108的使用或传输,直到已经用用户名u SerX_at_addreSSY和与此用户名相关 联的访问控制(例如,口令)访问了客户端设备102之后。通过这种证书控制的方式,对多 因素证书108的未授权的使用可限于能够获得对客户端设备102的访问以及与由第二因素 标识的用户相关联的用户名和访问控制的窃贼或攻击者。
[0023] 联网结构104可将客户端设备102通信地耦合到服务器106。联网结构104可包 括启用客户端设备102与服务器106之间的通信的各种软件、固件和硬件。例如,联网结构 104可包括网络交换机、电缆、光纤线缆、无线发送器和接收器、因特网服务提供商服务器、 域名服务服务器等等。
[0024] 服务器106可被配置成需要对来自客户端设备102的请求、访问或交易的多因素 认证。如以上讨论的,服务器106可被配置为建立与客户端设备102的连接以向客户端设 备102提供对存储在服务器106上的信息的远程访问,或参与与服务器106的交易。在实 施例中,服务器106可被配置为向客户端设备102提供电子商务服务。例如,服务器106可 主存因特网商店,诸如eBay?或Amazon?。替换性地,服务器106可被配置为建立与客户 端设备102的连接以向客户端设备102提供对某服务器上的信息的远程访问或参与与该服 务器的交易,该访问是由服务器106调节或控制的。例如,对这些实施例,服务器106可以 是来自加州的CISCO?系统和JuniPer?网络或来自华盛顿州(WA)的F5网络的访问服务 器。
[0025] 服务器106可包括多因素证书认证逻辑112。多因素证书认证逻辑112可启用服 务器106以验证可从客户端设备102接收的信息和/或请求的可信度。例如,多因素证书 认证逻辑112可导致服务器106使用多因素证书108认证来自客户端设备102的信息和/ 或请求。附加地,多因素证书认证逻辑112可启用服务器106以通过查询证书授权机构110 来验证多因素证书108的合法性。在实施例中,证书授权机构110可有较早发出的绑定客 户端设备和用户的身份的多因素证书108。替换性地,多因素证书认证逻辑112可启用服务 器106以通过查询注册授权机构服务器114来验证多因素证书108的合法性。如果证书授 权机构服务器110和注册授权机构服务器114的一个或多个未能验证多因素证书108中包 含的信息,则多因素证书认证逻辑112可启用服务器106以拒绝源自客户端设备102的信 息请求。
[0026] 图2示出了展示适用于用来实践本公开的各种实施例的证书的对话框200。在实 施例中,对话框200可包括关于多因素证书108的信息。具体地,对话框200可展示通过将 "其他名字"值分配给字段名字"主体替换性名字"来分配、指定或指明多因素证书108中的 多个因素。特别是,"其他名字"值可被分配具有设备标识符、设备名字或域名服务(DNS)名 字的第一因素。可"其他名字"值可被分配具有用户名、用户的标识符、主名字或电子邮件 地址的第二因素。根据一个实施例,设备名字可以是deviceP_at_addreSSQ,且用户名可以 是 userX_at_addressY〇
[0027] 根据其它实施例,多因素证书108可包括至少通过其在证书中的共同存在而隐式 地绑定的多于两个的因素。例如,多因素证书108可包括共享同一加密密钥或码例如私钥/ 公钥对的多个设备。作为另一示例,多因素证书108可包括与单个设备相关联的多个用户 名。作为又一示例,可将多因素证书108创建为对有特定域名的任何电子邮件地址有效。
[0028] 多因素证书108也可包括除用户的标识符或设备的标识符之外的因素。例如,多 因素证书108的因素可以是多因素证书108在一天的有限时间,例如上午9点到下午5点 之间,有效,作为另一示例,多因素证书108的因素可以是多因素证书108在从有限的地理 位置,例如法国巴黎或美国加州圣克拉拉(Santa Clara),原始地发送时有效。因此,出于安 全传输和接收电子数据或信息的考虑,多因素证书108可将几个因素、特性或标准关联到 一起。
[0029] 图3根据本公开的一个实施例示出了多因素证书创建图300。
[0030] 在302,计算设备308可接收用户的凭证、客户端设备的凭证和公钥。计算设备308 将用户的凭证、客户端的凭证和公钥输入进多因素证书请求304中。例如,计算设备308可 以是较早描述的客户端设备102。如以上讨论的,用户的凭证可以是用户的标识符、用于登 录进客户端设备102的用户名或/和用户的电子邮件地址。客户端设备102的凭证可以是 分配给客户端设备102的任何名字或地址,诸如可通过网络或因特网连接访问的。公钥可 以是PKI私/公钥对的公钥。替换性地,公钥可以是对启用由客户端设备102加密的信息的 解密有用的另一密钥或码。公钥可在数据请求或传输期间由客户端设备102随证书传播。
[0031] 在306,计算设备308可向证书授权机构服务器110提交多因素证书请求304供批 准和发出。
[0032] 在310,证书授权机构服务器110可接收多因素证书请求304。证书授权机构服务 器110可属于为电子邮件服务器和/或公共HTTPS服务器发出数字证书的商业证书授权机 构。证书授权机构服务器110可属于私人证书授权机构,诸如半导体芯片制造商,以在私人 证书授权机构的业务中使用。证书授权机构服务器110可验证用户凭证和设备凭证。
[0033] 在312,活动目录服务器314可接收来自证书授权服务器110的请求而验证来自证 书请求304的用户凭证和设备凭证。活动目录服务器314可通过向在用户凭证和/或设备 凭证中标识的一个或多个域名发送电子邮件来验证凭证。
[0034] 在316,证书授权机构服务器110可向客户端设备102发出多因素证书108。证书 授权机构服务器110可通过将序列号分配给多因素证书108并记录来发出多因素证书108。 证书授权机构服务器110也可向多因素证书108添加发出证书的授权机构的签名,向公众 表明证书授权机构已经验证了证书请求304的申请者的凭证。
[0035] 在接收了多因素证书108之后,客户端设备102可将多因素证书108存储在非易 失性存储器中。非易失性存储器可以是受保护的。根据一个实施例,客户端设备102可用 一种方式存储多因素证书108从而阻止任何一个人或设备从客户端设备102复制多因素证 书 108。
[0036] 图4示出了用于使用包括多个身份的多个因素认证多因素证书的验证序列400。
[0037] 在402,客户端设备102可发起与服务器106的通信。根据一个实施例,客户端设 备102可通过发送安全套接字层(SSL)握手来发起与服务器106的通信。根据另一实施例, 客户端设备102可使用分组数据协议(PDP)与服务器106通信。
[0038] 在404,服务器106可向客户端设备102提供服务器身份证书。根据一个实施例, 服务器106可以是网关(GW)服务器。
[0039] 在406,客户端设备102可向服务器106提供多因素客户端身份证书。多因素客 户端身份证书可包括包含多个身份的多个因素。在实施例中,由客户端设备102提供的多 因素客户端身份证书可以是多因素证书108。在实施例中,当客户端设备102向服务器106 提供多因素证书时,客户端设备102也可提供都与密钥(诸如PKI公钥)相关联的用户的 身份和设备的身份。而且,客户端设备102可使用由服务器106在404提供的证书将多因 素证书和/或附加信息加密。
[0040] 在408,服务器106可验证从客户端设备102接收的多因素证书。例如,服务器106 可查询发出了多因素证书的证书授权机构,以验证多因素证书的序列号是由证书授权机构 发出的。作为另一示例,服务器106可使用加密码、解密码、散列函数等来验证从客户端设 备102接收的消息的其他内容。
[0041] 有利的是,服务器106可依赖于包括在多因素证书中的证书授权机构的数字签名 来信任与客户端设备102相关联的多个因素或多个身份已经由证书授权机构证实或认可 了。服务器106也可依赖于证书授权机构的数字签名来信任多个因素或多个身份是被授权 与从客户端设备102发出的密钥或码相关联的。例如,服务器106可依赖于多因素证书中 特定用户名和客户端设备102的绑定作为双因素认证。如以上讨论的,一些电子商务和远 程访问应用程序要求双因素认证,但依赖于认证过程期间的附加数据库查询来验证用户名 或其他用户身份可与特定设备身份一起使用。根据本公开的一个实施例,双因素或多因素 认证可由认证设备无需对附加设备进行查询而完成。此过程不需要显式地对照外部数据库 检查用户和设备的绑定,因为由于证书已被分配给用户并包括用户从之使用证书的经批准 的设备的身份这一简单事实,绑定是可隐式地获得的。根据一个实施例,客户端设备102可 禁止使用证书,除非登录进入客户端设备102的用户的身份至少匹配多因素证书的一个因 素。
[0042] 可选地,在410,服务器106可查询授权设备412以授权客户端设备102。根据一 个实施例,服务器106执行轻量级目录访问协议(LDAP)查询以授权客户端设备102。授权 设备412可以是证书授权机构服务器、注册授权机构服务器或配置为验证在数字证书在标 识的设备的身份的其它计算设备。
[0043] 在414,授权设备412可用关于客户端设备102的添加信息回复来自服务器106的 可选查询。授权设备412在查找表、数据库或其它配置为组织和存储数据的电子结构中使 用客户端设备102的身份。根据一个实施例,授权设备412可以是发出了正由客户端设备 102使用的多因素证书的证书授权机构服务器110。
[0044] 可选地,在416,服务器106可查询授权设备412以验证用户的身份。根据一个实 施例,服务器106执行授权设备412的LDAP查询以验证用户的访问权限。
[0045] 在418,授权设备412可用关于用户的添加信息回复来自服务器106的可选查询。
[0046] 在420,服务器106可用指示多因素证书已经被验证和/或认证的握手回复客户端 设备102。根据一个实施例,服务器106可回复客户端设备102以继续进行SSL握手。
[0047] 因此,验证序列400展示了多因素证书向服务器提供了更大级别的信任,即由客 户端设备做出的查询是经授权的。根据一个实施例,所公开的使用多因素数字证书作为授 权过程的一部分的方法可避免从外部检查多个因素之间的关系的正确性。
[0048] 图5根据本公开的各种实施例示出了适用于作为客户端设备102、服务器106、证 书授权机构服务器110和/或注册授权机构服务器114的示例计算设备。如所示的,计算 设备500可包括多个处理器或处理器核502、具有存储于其中的处理器可读和处理器可执 行指令506的系统存储器504,以及通信接口 508。为了本申请包括权利要求书起见,除非 上下文清楚地另外要求,考虑术语"处理器"和"处理器核"为同义的。
[0049] 大容量存储510可包括有形的、非瞬态计算机可读存储设备(诸如盘、硬盘驱动 器、紧致盘只读存储器(⑶ROM)、硬件存储单元等等)。大容量存储510可包括指令516,用 以导致处理器核502执行在图3和4中示出的过程或其部分。计算设备500也可包括输入 /输出设备512 (诸如键盘、显示屏、光标控制等等)。
[0050] 图5的各种元素可经由表示一个或多个总线的系统总线514互相耦合。在多个总 线的情况下,它们可由一个或多个总线桥(未示出)桥接。数据可通过系统总线514传递 经过处理器504。
[0051] 可采用系统存储器504来存储实现此处集合地表示为506的一个或多个操作系 统、固件模块或驱动器、应用程序等等的编程指令的工作备份和永久备份。特别是,一些模 块或驱动器可被配置为实践图3和4的过程(或其部分)。编程指令的永久备份可通过例 如诸如紧致盘(CD)的分布介质(未示出)或通过通信接口 508 (从分布服务器(未示出)) 在工厂中或在应用时放入永久存储中。根据一个实施例,指令506和编程指令516包括重 叠的指令集。
[0052] 根据各种实施例,所描绘的计算设备500和/或其它元件的组件的一个或多个可 包括键盘、LCD屏、非易失性存储器端口、多个天线、图形处理器、应用程序处理器、扬声器或 包括相机的其它相关联的移动设备元件。
[0053] 根据一个实施例,计算设备500的组件可随容量缩放并被配置为用作证书授权机 构服务器110。如较早描述的,证书授权机构服务器110可被配置为根据结合图3描述的 过程发出多因素数字安全证书。根据另一实施例,计算设备500的组件可随容量缩放并被 配置为用作客户端设备102。如较早描述的,客户端设备102可被配置为根据图1、2、3和/ 或4的实施例存储和使用多因素数字安全证书。根据另一实施例,计算设备500的组件可 被配置为用作服务器106。如较早描述的,服务器106可被配置为接收和认证或验证多因素 数字安全证书。
[0054] 计算设备500的各种元件的其余构成是已知的,因此不做进一步描述。
[0055] 以上讨论的实施例的每一个可完全地或部分地与每一个其它以上讨论的实施例 的全部或部分相组合以便产生附加实施例。
[0056] 本公开的附加实施例示例在下面讨论。
[0057] 根据一个实施例,计算机可读介质可有多个被配置为响应于指令由处理器执行, 启用证书授权机构的证书授权机构服务器以接收证书请求,和提供多因素数字安全证书作 为响应的指令。多因素数字安全证书的提供可包括数字地签署有多个因素和密钥的证书请 求。多个因素的第一个可以是设备的标识符,且多个因素的第二个可以是设备的用户的标 识符。多个指令也可启用证书授权机构服务器以将密钥与多个因素相关联并基于证书请求 发出数字安全证书。多个因素中的至少两个可以是通过数字安全证书与设备相关联的用户 的标识符。多个因素中的至少两个可以是设备的标识符,并且每一个设备都可互相不同。用 户的身份可包括用户名和口令。用户的标识符可以是电子邮件地址。多个指令还可包括启 用证书授权机构服务器以用证书授权机构的数字签名数字地签署数字安全证书的指令。数 字签名可基于证书授权机构的密钥。被配置为启用证书授权机构服务器以发出数字安全证 书的多个指令还可包括用于启用证书授权机构服务器发送证书以使证书能被设备保存的 指令。
[0058] 根据另一实施例,方法可包括由证书授权机构服务器接收证书请求并提供多因素 数字安全证书作为响应。多因素数字安全证书的提供可包括数字地签署有多个因素和密钥 的证书请求。多个因素的第一个可以是设备的标识符,且多个因素的第二个可以是设备的 用户的标识符。方法也可包括由证书授权机构服务器将密钥与多个因素相关联并由证书授 权机构服务器基于证书请求发出数字安全证书。发出数字安全证书可包括用证书授权机构 的数字签名数字地签署数字安全证书,数字签名是基于证书授权机构的密钥的。设备可以 是膝上型设备、上网本、计算平板机、移动电话和个人数字助理中的一个。多个因素可包括 至少两个用户的标识符,并且用户的每一个都可与用户的另一个互相不同。
[0059] 根据另一实施例,装置可包括网络接口和通信地耦合到网络接口的处理器。处理 器可被配置为接收证书请求并提供多因素数字安全证书作为响应。多因素数字安全证书的 提供可包括数字地签署有多个因素和密钥的证书请求。多个因素的第一个可以是设备的 标识符,且多个因素的第二个可以是设备的用户的标识符。处理器也可被配置为将密钥与 多个因素相关联并基于证书请求发出数字安全证书。多个因素可包括至少两个用户的标识 符,且处理器还可被配置为将至少两个用户的标识符与设备相关联。
[0060] 根据另一实施例,计算机可读介质可包括多个被配置为响应于指令由证书授权机 构服务器的处理器执行,启用证书授权机构的证书授权机构服务器以接收提供多因素数字 安全证书的证书请求的指令。证书请求可包括多个因素和密钥,且因素的第一个可以是设 备的标识符。因素的第二个可以是设备的用户的标识符。指令可被配置为启用证书授权机 构的证书授权机构服务器以数字地签署证书请求,并将密钥与因素相关联以生成数字安全 证书。因素和密钥在数字安全证书中的共同存在可隐式地将因素互相绑定,和绑定到密钥。 证书授权机构可发出数字安全证书以响应证书请求。因素还可包括是将通过数字安全证书 与设备相关联的另一用户的标识符的第三因素。因素还可包括可以是将通过数字安全证书 与用户相关联的另一设备的标识符的第三因素。用户的身份可包括用户名和口令。用户的 标识符可以是电子邮件地址。指令可被配置为启用证书授权机构服务器以发出数字安全证 书,还可包括启用证书授权机构服务器以用证书授权机构的数字签名数字地签署证书请求 来生成数字安全证书的指令。数字签名可基于证书授权机构的密钥。指令可被配置为启用 证书授权机构服务器以发出数字安全证书,还可包括启用证书授权机构服务器以将数字安 全证书发送给设备而使数字安全证书能被设备保存和使用的指令。
[0061] 根据另一实施例,方法可包括由证书授权机构服务器接收提供多因素数字安全证 书的证书请求。证书请求可包括多个因素和密钥。因素的第一个可以是设备的标识符,且 因素的第二个可以是设备的用户的标识符。方法可包括由证书授权机构服务器数字地签署 证书请求,并将密钥与因素相关联以生成数字安全证书。因素和密钥在数字安全证书中的 共同存在可隐式地将因素互相绑定,和将因素绑定到密钥。方法可包括由证书授权机构服 务器发出数字安全证书以响应证书请求。发出数字安全证书可包括用证书授权机构的数字 签名数字地签署数字安全证书。数字签名可基于证书授权机构的密钥。设备可以是膝上型 设备、上网本、移动电话、台式计算机、智能电话和个人数字助理中的一个。因素还可包括是 另一用户的标识符的第三因素。
[0062] 根据另一实施例,装置可包括网络接口;以及通信地耦合到网络接口的处理器。处 理器可被配置为接收提供多因素数字安全证书的证书请求。证书请求可包括多个因素和密 钥。因素的第一个可以是设备的标识符,且因素的第二个可以是设备的用户的标识符。处 理器可被配置为数字地签署证书请求,并将密钥与因素相关联以生成数字安全证书。因素 和密钥在数字安全证书中的共同存在可隐式地将因素互相绑定,和将因素绑定到密钥。处 理器可被配置为发出数字安全证书以响应证书请求。因素还可包括是另一用户的标识符的 第三因素,且处理器还可被配置为将用户的标识符与设备相关联。
[0063] 根据一个实施例,计算机可读介质可有被配置为响应于指令由服务器的处理器执 行,启用服务器以接收多因素数字安全证书的多个指令。多因素数字安全证书可包括多个 因素、密钥和证书授权机构的签名。因素的第一个可以是设备的标识符,且因素的第二个可 以是设备的用户的标识符。指令可启用服务器以认证多因素数字安全证书。因素和密钥在 数字安全证书中的共同存在可隐式地将因素互相绑定,和将因素绑定到密钥。指令可启用 服务器以基于密钥建立与设备的连接。认证可包括验证证书授权机构的标识符存在于可由 服务器访问的可信任的证书授权机构的列表中。认证可包括验证设备拥有对应于密钥的私 钥。密钥可以是公钥。服务器可以是被配置为控制对内容服务器的访问的网关服务器。 [0064] 根据一个实施例,计算机可读介质可包括被配置为响应于指令由电子设备的处理 器执行,启用电子设备以授权用户使用多因素数字安全证书的多个指令。多因素数字安全 证书可包括多个因素、密钥和证书授权机构的签名。因素的第一个可以是电子设备的标识 符,且因素的第二个可以是电子设备的用户的标识符。指令可启用电子设备以将多因素数 字安全证书发送到服务器以建立电子设备与服务器之间的安全连接。指令可被配置为启用 电子设备以当多因素数字安全证书的使用被电子设备授权时发送多因素数字安全证书。授 权可包括验证因素的第二个与对电子设备的访问控制匹配。电子设备可以是智能电话、个 人计算机、计算平板、个人数字助理、上网本、膝上型设备和游戏控制台中的一个。
[0065] 根据另一实施例,方法可包括用电子设备授权由用户使用多因素数字安全证书。 多因素数字安全证书可包括多个因素、密钥和证书授权机构的签名。因素的第一个包括电 子设备的标识符,且因素的第二个可包括电子设备的用户的标识符。方法可包括用电子设 备将多因素数字安全证书发送到服务器以启用电子设备和服务器之间的安全连接的建立。 因素和密钥在数字安全证书中的共同存在可隐式地将因素互相绑定,和绑定到密钥。用电 子设备发送可在多因素数字安全证书的使用被电子设备授权时发生。
[0066] 根据另一实施例,装置可包括网络接口;存储器;通信地耦合到网络接口和到存 储器的处理器。处理器可被配置为将多因素数字安全证书存储在存储器中。证书可包括多 个因素和密钥。多个因素的第一个可包括装置的标识符,且多个因素的第二个可以包括装 置的用户的标识符。处理器可被配置为经由网络接口将多因素数字安全证书发送到认证服 务器以指示装置的用户和装置被授权在信息请求期间一起使用。因素和密钥在数字安全证 书中的共同存在可隐式地将因素互相绑定,和绑定到密钥。处理器可被配置为在装置已经 授权由装置的用户使用装置之后在信息请求期间发送多因素数字安全证书。
【权利要求】
1. 一种计算机可读介质,所述介质有多个指令,指令被配置为响应于所述指令由证书 授权机构服务器的处理器执行,启用证书授权机构的证书授权机构服务器,以: 接收提供多因素数字安全证书的证书请求,其中所述证书请求包括多个因素和密钥, 其中所述多个因素的第一个是设备的标识符且所述多个因素的第二个是所述设备的用户 的标识符; 数字地签署所述证书请求,并将所述密钥与所述多个因素相关联以生成所述数字安全 证书,其中所述多个因素和所述密钥在所述数字安全证书中的共同存在隐式地将所述多个 因素互相绑定和绑定到所述密钥;以及 发出所述数字安全证书以响应所述证书请求。
2. 如权利要求1所述的计算机可读介质,其特征在于,所述多个因素还包括第三因素, 所述第三因素是将通过所述数字安全证书与所述设备相关联的另一用户的标识符。
3. 如权利要求1所述的计算机可读介质,其特征在于,所述多个因素还包括第三因素, 所述第三因素是将通过所述数字安全证书与所述用户相关联的另一设备的标识符。
4. 如权利要求1所述的计算机可读介质,其特征在于,所述用户的标识符包括用户名 和口令。
5. 如权利要求1所述的计算机可读介质,其特征在于,所述用户标识符是电子邮件地 址。
6. 如权利要求1-5中的任一项所述的计算机可读介质,其特征在于,所述被配置为启 用所述证书授权机构服务器以发出所述电子安全证书的多个指令还包括用于启用所述证 书授权机构服务器以用所述证书授权机构的数字签名数字地签署所述证书请求以生成所 述数字安全证书的指令,所述数字签名基于上述证书授权机构的密钥。
7. 如权利要求1所述的计算机可读介质,其特征在于,所述被配置为启用所述证书授 权机构服务器以发出所述电子安全证书的多个指令还包括用于启用所述证书授权机构服 务器以将所述数字安全证书发送给所述设备而使所述数字安全证书能被所述设备保存和 使用的指令。
8. -种方法,所述方法包括: 由证书授权机构服务器接收提供多因素数字安全证书的证书请求,其中所述证书请求 包括多个因素和密钥,其中所述多个因素的第一个是设备的标识符且所述多个因素的第二 个是所述设备的用户的标识符; 由所述证书授权机构服务器数字地签署所述证书请求,并将所述密钥与所述多个因素 相关联以生成所述数字安全证书,其中所述多个因素和所述密钥在所述数字安全证书中的 共同存在隐式地将所述多个因素互相绑定和绑定到所述密钥;以及 由所述证书授权机构服务器发出所述数字安全证书以响应所述证书请求。
9. 如权利要求8所述的方法,其特征在于,发出所述数字安全证书包括用证书授权机 构的数字签名数字地签署所述数字安全证书,所述数字签名基于所述证书授权机构的密 钥。
10. 如权利要求9所述的方法,其特征在于,所述设备是膝上型设备、上网本、移动电 话、台式计算机、智能电话和个人数字助理中的一个。
11. 如权利要求8-10中的任一项所述的方法,其特征在于,所述多个因素还包括为另 一用户的标识符的第三因素。
12. -种装置,所述装置包括: 网络接口;以及 通信地耦合到所述网络接口的处理器,所述处理器被配置为: 接收提供多因素数字安全证书的证书请求,其中所述证书请求包括多个因素和密钥, 其中所述多个因素的第一个是设备的标识符且所述多个因素的第二个是所述设备的用户 的标识符; 数字地签署所述证书请求,并将所述密钥与所述多个因素相关联以生成所述数字安全 证书,其中所述多个因素和所述密钥在所述数字安全证书中的共同存在隐式地将所述多个 因素互相绑定和绑定到所述密钥;以及 发出所述数字安全证书以响应所述证书请求。
13. 如权利要求12所述的装置,其特征在于,所述多个因素还包括为另一用户的标识 符的第三因素,且所述处理器还被配置为将所述用户的标识符与所述设备相关联。
14. 一种计算机可读介质,所述介质有多个指令,指令被配置为响应于所述指令由服务 器的处理器执行,启用服务器,以: 接收多因素数字安全证书,其中所述多因素数字安全证书包括多个因素、密钥和证书 授权机构的签名,其中所述多个因素的第一个是设备的标识符且所述多个因素的第二个是 所述设备的用户的标识符; 认证所述多因素数字安全证书,其中所述多个因素和所述密钥在所述数字安全证书中 的共同存在隐式地将所述多个因素互相绑定和绑定到所述密钥;以及 基于所述密钥建立与所述设备的连接。
15. 如权利要求14所述的计算机可读介质,其特征在于,认证包括验证所述证书授权 机构的标识符存在于可由所述服务器访问的可信任的证书授权机构的列表中。
16. 如权利要求14所述的计算机可读介质,其特征在于,认证包括验证所述设备拥有 对应于所述密钥的私钥,其中所述密钥是公钥。
17. 如权利要求14所述的计算机可读介质,其特征在于,所述服务器是被配置为控制 对内容服务器的访问的网关服务器。
18. -种计算机可读介质,所述介质有多个指令,指令被配置为响应于所述指令由电子 设备的处理器执行,启用所述电子设备以: 授权由用户使用多因素数字安全证书,其中所述多因素数字安全证书包括多个因素、 密钥和证书授权机构的签名,其中所述多个因素的第一个是所述电子设备的标识符且所述 多个因素的第二个是所述电子设备的所述用户的标识符;以及 将所述多因素数字安全证书发送到服务器以建立所述电子设备与所述服务器之间的 安全连接。
19. 如权利要求18所述的计算机可读介质,其特征在于,所述指令被配置为在所述多 因素数字安全证书的使用被所述电子设备授权的情况下启用所述电子设备以发送所述多 因素数字安全证书。
20. 如权利要求18-19中的任一项所述的计算机可读介质,其特征在于,授权包括验证 所述多个因素的第二个与对所述电子设备的访问控制相匹配。
21. 如权利要求18所述的计算机可读介质,其特征在于,所述电子设备是智能电话、个 人计算机、计算平板、个人数字助理、上网本、膝上型设备和游戏控制台中的一个。
22. -种方法,所述方法包括: 用电子设备授权由用户使用多因素数字安全证书,其中所述多因素数字安全证书包括 多个因素、密钥和证书授权机构的签名,其中所述多个因素的第一个包括所述电子设备的 标识符且所述多个因素的第二个包括所述电子设备的所述用户的标识符;以及 用所述电子设备将所述多因素数字安全证书发送到服务器以启用所述电子设备与所 述服务器之间的安全连接的建立,其中所述多个因素和所述密钥在所述数字安全证书中的 共同存在隐式地将所述多个因素互相绑定和绑定到所述密钥。
23. 如权利要求22所述的方法,其特征在于,用所述电子设备发送在所述多因素数字 安全证书的使用被所述电子设备授权的情况下发生。
24. -种装置,所述装置包括: 网络接口;以及 存储器;以及 通信地耦合到所述网络接口和所述存储器的处理器,所述处理器被配置为: 将多因素数字安全证书存储在所述存储器中,其中所述证书请求包括多个因素和密 钥,其中所述多个因素的第一个包括所述装置的标识符且所述多个因素的第二个包括所述 装置的用户的标识符;以及 经由所述网络接口将所述多因素数字安全证书发送到认证服务器以指示所述装置的 所述用户和所述装置被授权在信息请求期间一起使用,其中所述多个因素和所述密钥在所 述数字安全证书中的共同存在隐式地将所述多个因素互相绑定和绑定到所述密钥。
25. 如权利要求24所述的装置,其特征在于,所述处理器被配置为在所述装置已授权 由所述装置的所述用户使用所述装置之后在信息请求期间发送所述多因素数字安全证书。
【文档编号】H04L9/32GK104160653SQ201280071218
【公开日】2014年11月19日 申请日期:2012年3月8日 优先权日:2012年3月8日
【发明者】O·本-沙洛姆, A·奈舒图特 申请人:英特尔公司
【专利摘要】此处公开的是被配置为提供多因素数字证书的证书授权机构服务器。处理器可读介质可包括被配置为响应于指令由处理器执行,启用证书授权机构的证书授权机构服务器以请求,以通过数字地签署有多个因素和密钥的证书请求而提供多因素数字安全证书的多个指令,其中多个因素的第一个是设备的标识符且多个因素的第二个是设备的用户的标识符。指令也被配置为启用证书授权机构服务器以将密钥与多个因素相关联并基于证书请求发出数字安全证书。也公开了使用多因素数字证书作为授权过程的一部分以隐式地绑定多个因素的方法。描述和声明了其它实施例。
【专利说明】多因素证书授权机构
【技术领域】
[0001] 本公开一般地涉及通信安全的【技术领域】。更具体地,本公开涉及通过多因素电子 安全证书提高基于网络的数据处理的安全特征。
【背景技术】
[0002] 此处提供的背景描述是为了一般地呈现本公开的上下文的目的。除非另外指明, 本节中所描述的材料不是本申请中的权利要求书的现有技术且不因为被包括在本节中而 被承认为现有技术。
[0003] 随着电子设备的数量持续增长,在电子设备之间传输的数据的安全是个持久的问 题。因此,例如在电子商务和远程访问应用程序中常常想要双因素认证。根据已有的方案, 双因素认证通常是分别执行地。
[0004] 例如,数字证书可首先被用于认证的第一个因素。证书授权机构可向电子设备发 出数字证书以认可电子设备与密钥或密码的关联。来自电子设备的数据的接收方可使用电 子证书来验证数据从其发出的设备的身份和验证数据在传输过程中没有被变更。然后,可 分别执行授权的第二个因素,例如通过查询数据库来验证用户的身份或其他有关的属性。
[0005] 这意味着,在当前办法下,无需特殊启用,任何有效的设备和任何有效的用户将在 电子商务或远程访问应用程序中作为一对被接受。为了避免这样,可检查两个因素之间的 绑定。然而,检查第一和第二因素之间的绑定的应用程序通常需要经过需在每个连接上进 行的另一验证。该办法还要求用户和设备关系的数据库,这增加了解决方案的复杂度并影 响性能和成本。不检查两个因素之间的绑定的风险可允许攻击者用任何窃取的用户身份使 用任何窃取的设备。
[0006] 由于两阶段方案复杂且高成本,今天在业界几乎不使用基于双因素认证的绑定证 书,无论增加了安全性的好处与否。
【专利附图】
【附图说明】
[0007] 作为示例而非限制,在附图中示出了本发明的实施例,附图中相似的附图标记指 示相似的元素。
[0008] 图1是适于用来实践本公开的各种实施例的计算网络的框图。
[0009] 图2是展示适于用来实践本公开的各种实施例的证书的部分的图。
[0010] 图3是根据本公开的方法的各种实施例示出图2的证书的创建的流程图。
[0011] 图4是根据本公开的各种实施例示出多因素认证过程的泳道图。
[0012] 图5是适于用来实践本公开的各种实施例的计算设备的框图。
[0013] 实施例的描述
[0014] 本公开的实施例涉及由证书授权机构撰写多因素证书。在实施例中,多因素证书 的请求可由证书授权机构服务器接收。证书授权机构服务器可与证书授权机构相关联并被 配置为撰写、发出或授权多因素电子证书。证书的一个因素可以是证书可与之相关联的设 备的身份。证书的另一个因素可以是证书可与之相关联的设备的用户。通过发出多因素证 书,证书授权机构可在多因素证书的预设时而不是认证时将两个或更多因素绑定到一起。 如下面将更详细描述的,设备可用和使用多因素证书可有利地降低对信息的未授权的访问 的可能性。
[0015] 根据一个实施例,计算机可读介质可有多个指令被配置为:响应于由证书授权机 构服务器的处理器执行指令,启用证书授权机构的证书授权机构服务器以接收证书请求, 和提供多因素数字安全证书作为响应。预设可包括证书授权机构服务器数字地签署有多个 标识的身份和一个密钥的证书请求。多个因素的第一个可以是设备的标识符,且多个因素 的第二个可以是设备的用户的标识符。密钥可与多个因素相关联。多个因素和密钥在数字 安全证书中的共同存在用密钥将多个因素绑定。
[0016] 将使用由本领域技术人员为将其工作的实质传达给本领域其他技术人员而普遍 采用的术语来描述说明性实施例的各种方面。然而对于那些本领域技术人员显而易见的 是,可以使用所述方面的一部分来实践一些替代实施例。为了解释的目的,叙述了具体数 字、材料和配置以提供对说明性实施例的全面理解。然而,对于本领域技术人员显而易见的 是,没有这些具体细节也可以实践各替代实施例。在其它实例中,省略或简化了公知的特征 以便不阻碍说明性实施例。
[0017] 还以最有助于理解说明性实施例的方式将各种操作进而描述为多个具体操作;然 而,描述的顺序不应被解释为暗示这些操作必然是依赖顺序的。特别是,这些操作不必以呈 现的顺序被执行。
[0018] 重复使用了短语"在一个实施例中"。此短语通常不指同一实施例;但其可以。除 非上下文另外指明,术语"包含"、"具有"和"包括"是同义的。短语"A/B"意味着"A或B"。 短语"A和/或B"意味着" (A)、⑶或(A和B) "。短语"A、B和C中的至少一个"意味着 " (A)、(B)、(C)、(A 和 B)、(A 和 C)、(B 和 C)或(A、B 和 C) "。短语 " (A) B" 意味着 "(B)或 (AB)",即A是可选的。
[0019] 图1示出了适用于实践本公开的实施例的计算网络100。如下面将更详细描述的, 计算网络100可被配置为创建并使用多因素数字证书以在单个过程中启用多因素认证。多 因素认证可增加计算网络100中的信息安全性。如所示的,计算网络100可包括经由联网 结构104互相耦合的客户端设备102和服务器106。
[0020] 客户端设备102可以是被配置为与用户接口的电子设备。客户端设备102可以是 个人计算机、膝上型计算机、计算平板、蜂窝电话、智能电话、个人数字助理、游戏控制台、电 视机、车辆的计算系统等等。用户可与客户端设备102交互以从服务器106请求信息。例 如,客户端设备102可以是智能电话且服务器106可主存用户从其进行购买的电子商务网 站。
[0021] 客户端设备102可被配置为通过启用服务器106去要求源自客户端设备102的交 易用多因素认证执行来增加客户端设备102与服务器106之间的交易的安全性。因此,在 实施例中,客户端102可包括多因素数字安全证书108。多因素证书108可以是将第一因 素,诸如客户端设备102的身份,与第二因素,诸如用户的身份,绑定或关联的数字文件。多 因素证书108也可将第一因素和第二因素用加密密钥或码关联。在实施例中,多因素证书 108可基于公钥基础架构(PKI)并已由证书授权机构110发出。稍后将参考图3进一步描 述关于发出多因素数字证书的细节。
[0022] 在实施例中,客户端设备102可在传输来自服务器106的信息或服务请求时将多 因素证书108发送给服务器106。附加地,客户端设备102可使用与多因素证书108相关 联的密钥和/或码将请求的全部或部分加密。客户端设备102还被配置为禁止多因素证 书108的使用或传输,直到验证了基于具体设备的授权之后。例如,如果多因素证书108将 标识为userX_at_addressY (用户X_在_地址Y)的第二(用户身份)因素绑定到标识为 deviceP_at_addressQ (设备?_在_地址Q)的客户端设备102,则客户端设备102可禁止 多因素证书108的使用或传输,直到已经用用户名u SerX_at_addreSSY和与此用户名相关 联的访问控制(例如,口令)访问了客户端设备102之后。通过这种证书控制的方式,对多 因素证书108的未授权的使用可限于能够获得对客户端设备102的访问以及与由第二因素 标识的用户相关联的用户名和访问控制的窃贼或攻击者。
[0023] 联网结构104可将客户端设备102通信地耦合到服务器106。联网结构104可包 括启用客户端设备102与服务器106之间的通信的各种软件、固件和硬件。例如,联网结构 104可包括网络交换机、电缆、光纤线缆、无线发送器和接收器、因特网服务提供商服务器、 域名服务服务器等等。
[0024] 服务器106可被配置成需要对来自客户端设备102的请求、访问或交易的多因素 认证。如以上讨论的,服务器106可被配置为建立与客户端设备102的连接以向客户端设 备102提供对存储在服务器106上的信息的远程访问,或参与与服务器106的交易。在实 施例中,服务器106可被配置为向客户端设备102提供电子商务服务。例如,服务器106可 主存因特网商店,诸如eBay?或Amazon?。替换性地,服务器106可被配置为建立与客户 端设备102的连接以向客户端设备102提供对某服务器上的信息的远程访问或参与与该服 务器的交易,该访问是由服务器106调节或控制的。例如,对这些实施例,服务器106可以 是来自加州的CISCO?系统和JuniPer?网络或来自华盛顿州(WA)的F5网络的访问服务 器。
[0025] 服务器106可包括多因素证书认证逻辑112。多因素证书认证逻辑112可启用服 务器106以验证可从客户端设备102接收的信息和/或请求的可信度。例如,多因素证书 认证逻辑112可导致服务器106使用多因素证书108认证来自客户端设备102的信息和/ 或请求。附加地,多因素证书认证逻辑112可启用服务器106以通过查询证书授权机构110 来验证多因素证书108的合法性。在实施例中,证书授权机构110可有较早发出的绑定客 户端设备和用户的身份的多因素证书108。替换性地,多因素证书认证逻辑112可启用服务 器106以通过查询注册授权机构服务器114来验证多因素证书108的合法性。如果证书授 权机构服务器110和注册授权机构服务器114的一个或多个未能验证多因素证书108中包 含的信息,则多因素证书认证逻辑112可启用服务器106以拒绝源自客户端设备102的信 息请求。
[0026] 图2示出了展示适用于用来实践本公开的各种实施例的证书的对话框200。在实 施例中,对话框200可包括关于多因素证书108的信息。具体地,对话框200可展示通过将 "其他名字"值分配给字段名字"主体替换性名字"来分配、指定或指明多因素证书108中的 多个因素。特别是,"其他名字"值可被分配具有设备标识符、设备名字或域名服务(DNS)名 字的第一因素。可"其他名字"值可被分配具有用户名、用户的标识符、主名字或电子邮件 地址的第二因素。根据一个实施例,设备名字可以是deviceP_at_addreSSQ,且用户名可以 是 userX_at_addressY〇
[0027] 根据其它实施例,多因素证书108可包括至少通过其在证书中的共同存在而隐式 地绑定的多于两个的因素。例如,多因素证书108可包括共享同一加密密钥或码例如私钥/ 公钥对的多个设备。作为另一示例,多因素证书108可包括与单个设备相关联的多个用户 名。作为又一示例,可将多因素证书108创建为对有特定域名的任何电子邮件地址有效。
[0028] 多因素证书108也可包括除用户的标识符或设备的标识符之外的因素。例如,多 因素证书108的因素可以是多因素证书108在一天的有限时间,例如上午9点到下午5点 之间,有效,作为另一示例,多因素证书108的因素可以是多因素证书108在从有限的地理 位置,例如法国巴黎或美国加州圣克拉拉(Santa Clara),原始地发送时有效。因此,出于安 全传输和接收电子数据或信息的考虑,多因素证书108可将几个因素、特性或标准关联到 一起。
[0029] 图3根据本公开的一个实施例示出了多因素证书创建图300。
[0030] 在302,计算设备308可接收用户的凭证、客户端设备的凭证和公钥。计算设备308 将用户的凭证、客户端的凭证和公钥输入进多因素证书请求304中。例如,计算设备308可 以是较早描述的客户端设备102。如以上讨论的,用户的凭证可以是用户的标识符、用于登 录进客户端设备102的用户名或/和用户的电子邮件地址。客户端设备102的凭证可以是 分配给客户端设备102的任何名字或地址,诸如可通过网络或因特网连接访问的。公钥可 以是PKI私/公钥对的公钥。替换性地,公钥可以是对启用由客户端设备102加密的信息的 解密有用的另一密钥或码。公钥可在数据请求或传输期间由客户端设备102随证书传播。
[0031] 在306,计算设备308可向证书授权机构服务器110提交多因素证书请求304供批 准和发出。
[0032] 在310,证书授权机构服务器110可接收多因素证书请求304。证书授权机构服务 器110可属于为电子邮件服务器和/或公共HTTPS服务器发出数字证书的商业证书授权机 构。证书授权机构服务器110可属于私人证书授权机构,诸如半导体芯片制造商,以在私人 证书授权机构的业务中使用。证书授权机构服务器110可验证用户凭证和设备凭证。
[0033] 在312,活动目录服务器314可接收来自证书授权服务器110的请求而验证来自证 书请求304的用户凭证和设备凭证。活动目录服务器314可通过向在用户凭证和/或设备 凭证中标识的一个或多个域名发送电子邮件来验证凭证。
[0034] 在316,证书授权机构服务器110可向客户端设备102发出多因素证书108。证书 授权机构服务器110可通过将序列号分配给多因素证书108并记录来发出多因素证书108。 证书授权机构服务器110也可向多因素证书108添加发出证书的授权机构的签名,向公众 表明证书授权机构已经验证了证书请求304的申请者的凭证。
[0035] 在接收了多因素证书108之后,客户端设备102可将多因素证书108存储在非易 失性存储器中。非易失性存储器可以是受保护的。根据一个实施例,客户端设备102可用 一种方式存储多因素证书108从而阻止任何一个人或设备从客户端设备102复制多因素证 书 108。
[0036] 图4示出了用于使用包括多个身份的多个因素认证多因素证书的验证序列400。
[0037] 在402,客户端设备102可发起与服务器106的通信。根据一个实施例,客户端设 备102可通过发送安全套接字层(SSL)握手来发起与服务器106的通信。根据另一实施例, 客户端设备102可使用分组数据协议(PDP)与服务器106通信。
[0038] 在404,服务器106可向客户端设备102提供服务器身份证书。根据一个实施例, 服务器106可以是网关(GW)服务器。
[0039] 在406,客户端设备102可向服务器106提供多因素客户端身份证书。多因素客 户端身份证书可包括包含多个身份的多个因素。在实施例中,由客户端设备102提供的多 因素客户端身份证书可以是多因素证书108。在实施例中,当客户端设备102向服务器106 提供多因素证书时,客户端设备102也可提供都与密钥(诸如PKI公钥)相关联的用户的 身份和设备的身份。而且,客户端设备102可使用由服务器106在404提供的证书将多因 素证书和/或附加信息加密。
[0040] 在408,服务器106可验证从客户端设备102接收的多因素证书。例如,服务器106 可查询发出了多因素证书的证书授权机构,以验证多因素证书的序列号是由证书授权机构 发出的。作为另一示例,服务器106可使用加密码、解密码、散列函数等来验证从客户端设 备102接收的消息的其他内容。
[0041] 有利的是,服务器106可依赖于包括在多因素证书中的证书授权机构的数字签名 来信任与客户端设备102相关联的多个因素或多个身份已经由证书授权机构证实或认可 了。服务器106也可依赖于证书授权机构的数字签名来信任多个因素或多个身份是被授权 与从客户端设备102发出的密钥或码相关联的。例如,服务器106可依赖于多因素证书中 特定用户名和客户端设备102的绑定作为双因素认证。如以上讨论的,一些电子商务和远 程访问应用程序要求双因素认证,但依赖于认证过程期间的附加数据库查询来验证用户名 或其他用户身份可与特定设备身份一起使用。根据本公开的一个实施例,双因素或多因素 认证可由认证设备无需对附加设备进行查询而完成。此过程不需要显式地对照外部数据库 检查用户和设备的绑定,因为由于证书已被分配给用户并包括用户从之使用证书的经批准 的设备的身份这一简单事实,绑定是可隐式地获得的。根据一个实施例,客户端设备102可 禁止使用证书,除非登录进入客户端设备102的用户的身份至少匹配多因素证书的一个因 素。
[0042] 可选地,在410,服务器106可查询授权设备412以授权客户端设备102。根据一 个实施例,服务器106执行轻量级目录访问协议(LDAP)查询以授权客户端设备102。授权 设备412可以是证书授权机构服务器、注册授权机构服务器或配置为验证在数字证书在标 识的设备的身份的其它计算设备。
[0043] 在414,授权设备412可用关于客户端设备102的添加信息回复来自服务器106的 可选查询。授权设备412在查找表、数据库或其它配置为组织和存储数据的电子结构中使 用客户端设备102的身份。根据一个实施例,授权设备412可以是发出了正由客户端设备 102使用的多因素证书的证书授权机构服务器110。
[0044] 可选地,在416,服务器106可查询授权设备412以验证用户的身份。根据一个实 施例,服务器106执行授权设备412的LDAP查询以验证用户的访问权限。
[0045] 在418,授权设备412可用关于用户的添加信息回复来自服务器106的可选查询。
[0046] 在420,服务器106可用指示多因素证书已经被验证和/或认证的握手回复客户端 设备102。根据一个实施例,服务器106可回复客户端设备102以继续进行SSL握手。
[0047] 因此,验证序列400展示了多因素证书向服务器提供了更大级别的信任,即由客 户端设备做出的查询是经授权的。根据一个实施例,所公开的使用多因素数字证书作为授 权过程的一部分的方法可避免从外部检查多个因素之间的关系的正确性。
[0048] 图5根据本公开的各种实施例示出了适用于作为客户端设备102、服务器106、证 书授权机构服务器110和/或注册授权机构服务器114的示例计算设备。如所示的,计算 设备500可包括多个处理器或处理器核502、具有存储于其中的处理器可读和处理器可执 行指令506的系统存储器504,以及通信接口 508。为了本申请包括权利要求书起见,除非 上下文清楚地另外要求,考虑术语"处理器"和"处理器核"为同义的。
[0049] 大容量存储510可包括有形的、非瞬态计算机可读存储设备(诸如盘、硬盘驱动 器、紧致盘只读存储器(⑶ROM)、硬件存储单元等等)。大容量存储510可包括指令516,用 以导致处理器核502执行在图3和4中示出的过程或其部分。计算设备500也可包括输入 /输出设备512 (诸如键盘、显示屏、光标控制等等)。
[0050] 图5的各种元素可经由表示一个或多个总线的系统总线514互相耦合。在多个总 线的情况下,它们可由一个或多个总线桥(未示出)桥接。数据可通过系统总线514传递 经过处理器504。
[0051] 可采用系统存储器504来存储实现此处集合地表示为506的一个或多个操作系 统、固件模块或驱动器、应用程序等等的编程指令的工作备份和永久备份。特别是,一些模 块或驱动器可被配置为实践图3和4的过程(或其部分)。编程指令的永久备份可通过例 如诸如紧致盘(CD)的分布介质(未示出)或通过通信接口 508 (从分布服务器(未示出)) 在工厂中或在应用时放入永久存储中。根据一个实施例,指令506和编程指令516包括重 叠的指令集。
[0052] 根据各种实施例,所描绘的计算设备500和/或其它元件的组件的一个或多个可 包括键盘、LCD屏、非易失性存储器端口、多个天线、图形处理器、应用程序处理器、扬声器或 包括相机的其它相关联的移动设备元件。
[0053] 根据一个实施例,计算设备500的组件可随容量缩放并被配置为用作证书授权机 构服务器110。如较早描述的,证书授权机构服务器110可被配置为根据结合图3描述的 过程发出多因素数字安全证书。根据另一实施例,计算设备500的组件可随容量缩放并被 配置为用作客户端设备102。如较早描述的,客户端设备102可被配置为根据图1、2、3和/ 或4的实施例存储和使用多因素数字安全证书。根据另一实施例,计算设备500的组件可 被配置为用作服务器106。如较早描述的,服务器106可被配置为接收和认证或验证多因素 数字安全证书。
[0054] 计算设备500的各种元件的其余构成是已知的,因此不做进一步描述。
[0055] 以上讨论的实施例的每一个可完全地或部分地与每一个其它以上讨论的实施例 的全部或部分相组合以便产生附加实施例。
[0056] 本公开的附加实施例示例在下面讨论。
[0057] 根据一个实施例,计算机可读介质可有多个被配置为响应于指令由处理器执行, 启用证书授权机构的证书授权机构服务器以接收证书请求,和提供多因素数字安全证书作 为响应的指令。多因素数字安全证书的提供可包括数字地签署有多个因素和密钥的证书请 求。多个因素的第一个可以是设备的标识符,且多个因素的第二个可以是设备的用户的标 识符。多个指令也可启用证书授权机构服务器以将密钥与多个因素相关联并基于证书请求 发出数字安全证书。多个因素中的至少两个可以是通过数字安全证书与设备相关联的用户 的标识符。多个因素中的至少两个可以是设备的标识符,并且每一个设备都可互相不同。用 户的身份可包括用户名和口令。用户的标识符可以是电子邮件地址。多个指令还可包括启 用证书授权机构服务器以用证书授权机构的数字签名数字地签署数字安全证书的指令。数 字签名可基于证书授权机构的密钥。被配置为启用证书授权机构服务器以发出数字安全证 书的多个指令还可包括用于启用证书授权机构服务器发送证书以使证书能被设备保存的 指令。
[0058] 根据另一实施例,方法可包括由证书授权机构服务器接收证书请求并提供多因素 数字安全证书作为响应。多因素数字安全证书的提供可包括数字地签署有多个因素和密钥 的证书请求。多个因素的第一个可以是设备的标识符,且多个因素的第二个可以是设备的 用户的标识符。方法也可包括由证书授权机构服务器将密钥与多个因素相关联并由证书授 权机构服务器基于证书请求发出数字安全证书。发出数字安全证书可包括用证书授权机构 的数字签名数字地签署数字安全证书,数字签名是基于证书授权机构的密钥的。设备可以 是膝上型设备、上网本、计算平板机、移动电话和个人数字助理中的一个。多个因素可包括 至少两个用户的标识符,并且用户的每一个都可与用户的另一个互相不同。
[0059] 根据另一实施例,装置可包括网络接口和通信地耦合到网络接口的处理器。处理 器可被配置为接收证书请求并提供多因素数字安全证书作为响应。多因素数字安全证书的 提供可包括数字地签署有多个因素和密钥的证书请求。多个因素的第一个可以是设备的 标识符,且多个因素的第二个可以是设备的用户的标识符。处理器也可被配置为将密钥与 多个因素相关联并基于证书请求发出数字安全证书。多个因素可包括至少两个用户的标识 符,且处理器还可被配置为将至少两个用户的标识符与设备相关联。
[0060] 根据另一实施例,计算机可读介质可包括多个被配置为响应于指令由证书授权机 构服务器的处理器执行,启用证书授权机构的证书授权机构服务器以接收提供多因素数字 安全证书的证书请求的指令。证书请求可包括多个因素和密钥,且因素的第一个可以是设 备的标识符。因素的第二个可以是设备的用户的标识符。指令可被配置为启用证书授权机 构的证书授权机构服务器以数字地签署证书请求,并将密钥与因素相关联以生成数字安全 证书。因素和密钥在数字安全证书中的共同存在可隐式地将因素互相绑定,和绑定到密钥。 证书授权机构可发出数字安全证书以响应证书请求。因素还可包括是将通过数字安全证书 与设备相关联的另一用户的标识符的第三因素。因素还可包括可以是将通过数字安全证书 与用户相关联的另一设备的标识符的第三因素。用户的身份可包括用户名和口令。用户的 标识符可以是电子邮件地址。指令可被配置为启用证书授权机构服务器以发出数字安全证 书,还可包括启用证书授权机构服务器以用证书授权机构的数字签名数字地签署证书请求 来生成数字安全证书的指令。数字签名可基于证书授权机构的密钥。指令可被配置为启用 证书授权机构服务器以发出数字安全证书,还可包括启用证书授权机构服务器以将数字安 全证书发送给设备而使数字安全证书能被设备保存和使用的指令。
[0061] 根据另一实施例,方法可包括由证书授权机构服务器接收提供多因素数字安全证 书的证书请求。证书请求可包括多个因素和密钥。因素的第一个可以是设备的标识符,且 因素的第二个可以是设备的用户的标识符。方法可包括由证书授权机构服务器数字地签署 证书请求,并将密钥与因素相关联以生成数字安全证书。因素和密钥在数字安全证书中的 共同存在可隐式地将因素互相绑定,和将因素绑定到密钥。方法可包括由证书授权机构服 务器发出数字安全证书以响应证书请求。发出数字安全证书可包括用证书授权机构的数字 签名数字地签署数字安全证书。数字签名可基于证书授权机构的密钥。设备可以是膝上型 设备、上网本、移动电话、台式计算机、智能电话和个人数字助理中的一个。因素还可包括是 另一用户的标识符的第三因素。
[0062] 根据另一实施例,装置可包括网络接口;以及通信地耦合到网络接口的处理器。处 理器可被配置为接收提供多因素数字安全证书的证书请求。证书请求可包括多个因素和密 钥。因素的第一个可以是设备的标识符,且因素的第二个可以是设备的用户的标识符。处 理器可被配置为数字地签署证书请求,并将密钥与因素相关联以生成数字安全证书。因素 和密钥在数字安全证书中的共同存在可隐式地将因素互相绑定,和将因素绑定到密钥。处 理器可被配置为发出数字安全证书以响应证书请求。因素还可包括是另一用户的标识符的 第三因素,且处理器还可被配置为将用户的标识符与设备相关联。
[0063] 根据一个实施例,计算机可读介质可有被配置为响应于指令由服务器的处理器执 行,启用服务器以接收多因素数字安全证书的多个指令。多因素数字安全证书可包括多个 因素、密钥和证书授权机构的签名。因素的第一个可以是设备的标识符,且因素的第二个可 以是设备的用户的标识符。指令可启用服务器以认证多因素数字安全证书。因素和密钥在 数字安全证书中的共同存在可隐式地将因素互相绑定,和将因素绑定到密钥。指令可启用 服务器以基于密钥建立与设备的连接。认证可包括验证证书授权机构的标识符存在于可由 服务器访问的可信任的证书授权机构的列表中。认证可包括验证设备拥有对应于密钥的私 钥。密钥可以是公钥。服务器可以是被配置为控制对内容服务器的访问的网关服务器。 [0064] 根据一个实施例,计算机可读介质可包括被配置为响应于指令由电子设备的处理 器执行,启用电子设备以授权用户使用多因素数字安全证书的多个指令。多因素数字安全 证书可包括多个因素、密钥和证书授权机构的签名。因素的第一个可以是电子设备的标识 符,且因素的第二个可以是电子设备的用户的标识符。指令可启用电子设备以将多因素数 字安全证书发送到服务器以建立电子设备与服务器之间的安全连接。指令可被配置为启用 电子设备以当多因素数字安全证书的使用被电子设备授权时发送多因素数字安全证书。授 权可包括验证因素的第二个与对电子设备的访问控制匹配。电子设备可以是智能电话、个 人计算机、计算平板、个人数字助理、上网本、膝上型设备和游戏控制台中的一个。
[0065] 根据另一实施例,方法可包括用电子设备授权由用户使用多因素数字安全证书。 多因素数字安全证书可包括多个因素、密钥和证书授权机构的签名。因素的第一个包括电 子设备的标识符,且因素的第二个可包括电子设备的用户的标识符。方法可包括用电子设 备将多因素数字安全证书发送到服务器以启用电子设备和服务器之间的安全连接的建立。 因素和密钥在数字安全证书中的共同存在可隐式地将因素互相绑定,和绑定到密钥。用电 子设备发送可在多因素数字安全证书的使用被电子设备授权时发生。
[0066] 根据另一实施例,装置可包括网络接口;存储器;通信地耦合到网络接口和到存 储器的处理器。处理器可被配置为将多因素数字安全证书存储在存储器中。证书可包括多 个因素和密钥。多个因素的第一个可包括装置的标识符,且多个因素的第二个可以包括装 置的用户的标识符。处理器可被配置为经由网络接口将多因素数字安全证书发送到认证服 务器以指示装置的用户和装置被授权在信息请求期间一起使用。因素和密钥在数字安全证 书中的共同存在可隐式地将因素互相绑定,和绑定到密钥。处理器可被配置为在装置已经 授权由装置的用户使用装置之后在信息请求期间发送多因素数字安全证书。
【权利要求】
1. 一种计算机可读介质,所述介质有多个指令,指令被配置为响应于所述指令由证书 授权机构服务器的处理器执行,启用证书授权机构的证书授权机构服务器,以: 接收提供多因素数字安全证书的证书请求,其中所述证书请求包括多个因素和密钥, 其中所述多个因素的第一个是设备的标识符且所述多个因素的第二个是所述设备的用户 的标识符; 数字地签署所述证书请求,并将所述密钥与所述多个因素相关联以生成所述数字安全 证书,其中所述多个因素和所述密钥在所述数字安全证书中的共同存在隐式地将所述多个 因素互相绑定和绑定到所述密钥;以及 发出所述数字安全证书以响应所述证书请求。
2. 如权利要求1所述的计算机可读介质,其特征在于,所述多个因素还包括第三因素, 所述第三因素是将通过所述数字安全证书与所述设备相关联的另一用户的标识符。
3. 如权利要求1所述的计算机可读介质,其特征在于,所述多个因素还包括第三因素, 所述第三因素是将通过所述数字安全证书与所述用户相关联的另一设备的标识符。
4. 如权利要求1所述的计算机可读介质,其特征在于,所述用户的标识符包括用户名 和口令。
5. 如权利要求1所述的计算机可读介质,其特征在于,所述用户标识符是电子邮件地 址。
6. 如权利要求1-5中的任一项所述的计算机可读介质,其特征在于,所述被配置为启 用所述证书授权机构服务器以发出所述电子安全证书的多个指令还包括用于启用所述证 书授权机构服务器以用所述证书授权机构的数字签名数字地签署所述证书请求以生成所 述数字安全证书的指令,所述数字签名基于上述证书授权机构的密钥。
7. 如权利要求1所述的计算机可读介质,其特征在于,所述被配置为启用所述证书授 权机构服务器以发出所述电子安全证书的多个指令还包括用于启用所述证书授权机构服 务器以将所述数字安全证书发送给所述设备而使所述数字安全证书能被所述设备保存和 使用的指令。
8. -种方法,所述方法包括: 由证书授权机构服务器接收提供多因素数字安全证书的证书请求,其中所述证书请求 包括多个因素和密钥,其中所述多个因素的第一个是设备的标识符且所述多个因素的第二 个是所述设备的用户的标识符; 由所述证书授权机构服务器数字地签署所述证书请求,并将所述密钥与所述多个因素 相关联以生成所述数字安全证书,其中所述多个因素和所述密钥在所述数字安全证书中的 共同存在隐式地将所述多个因素互相绑定和绑定到所述密钥;以及 由所述证书授权机构服务器发出所述数字安全证书以响应所述证书请求。
9. 如权利要求8所述的方法,其特征在于,发出所述数字安全证书包括用证书授权机 构的数字签名数字地签署所述数字安全证书,所述数字签名基于所述证书授权机构的密 钥。
10. 如权利要求9所述的方法,其特征在于,所述设备是膝上型设备、上网本、移动电 话、台式计算机、智能电话和个人数字助理中的一个。
11. 如权利要求8-10中的任一项所述的方法,其特征在于,所述多个因素还包括为另 一用户的标识符的第三因素。
12. -种装置,所述装置包括: 网络接口;以及 通信地耦合到所述网络接口的处理器,所述处理器被配置为: 接收提供多因素数字安全证书的证书请求,其中所述证书请求包括多个因素和密钥, 其中所述多个因素的第一个是设备的标识符且所述多个因素的第二个是所述设备的用户 的标识符; 数字地签署所述证书请求,并将所述密钥与所述多个因素相关联以生成所述数字安全 证书,其中所述多个因素和所述密钥在所述数字安全证书中的共同存在隐式地将所述多个 因素互相绑定和绑定到所述密钥;以及 发出所述数字安全证书以响应所述证书请求。
13. 如权利要求12所述的装置,其特征在于,所述多个因素还包括为另一用户的标识 符的第三因素,且所述处理器还被配置为将所述用户的标识符与所述设备相关联。
14. 一种计算机可读介质,所述介质有多个指令,指令被配置为响应于所述指令由服务 器的处理器执行,启用服务器,以: 接收多因素数字安全证书,其中所述多因素数字安全证书包括多个因素、密钥和证书 授权机构的签名,其中所述多个因素的第一个是设备的标识符且所述多个因素的第二个是 所述设备的用户的标识符; 认证所述多因素数字安全证书,其中所述多个因素和所述密钥在所述数字安全证书中 的共同存在隐式地将所述多个因素互相绑定和绑定到所述密钥;以及 基于所述密钥建立与所述设备的连接。
15. 如权利要求14所述的计算机可读介质,其特征在于,认证包括验证所述证书授权 机构的标识符存在于可由所述服务器访问的可信任的证书授权机构的列表中。
16. 如权利要求14所述的计算机可读介质,其特征在于,认证包括验证所述设备拥有 对应于所述密钥的私钥,其中所述密钥是公钥。
17. 如权利要求14所述的计算机可读介质,其特征在于,所述服务器是被配置为控制 对内容服务器的访问的网关服务器。
18. -种计算机可读介质,所述介质有多个指令,指令被配置为响应于所述指令由电子 设备的处理器执行,启用所述电子设备以: 授权由用户使用多因素数字安全证书,其中所述多因素数字安全证书包括多个因素、 密钥和证书授权机构的签名,其中所述多个因素的第一个是所述电子设备的标识符且所述 多个因素的第二个是所述电子设备的所述用户的标识符;以及 将所述多因素数字安全证书发送到服务器以建立所述电子设备与所述服务器之间的 安全连接。
19. 如权利要求18所述的计算机可读介质,其特征在于,所述指令被配置为在所述多 因素数字安全证书的使用被所述电子设备授权的情况下启用所述电子设备以发送所述多 因素数字安全证书。
20. 如权利要求18-19中的任一项所述的计算机可读介质,其特征在于,授权包括验证 所述多个因素的第二个与对所述电子设备的访问控制相匹配。
21. 如权利要求18所述的计算机可读介质,其特征在于,所述电子设备是智能电话、个 人计算机、计算平板、个人数字助理、上网本、膝上型设备和游戏控制台中的一个。
22. -种方法,所述方法包括: 用电子设备授权由用户使用多因素数字安全证书,其中所述多因素数字安全证书包括 多个因素、密钥和证书授权机构的签名,其中所述多个因素的第一个包括所述电子设备的 标识符且所述多个因素的第二个包括所述电子设备的所述用户的标识符;以及 用所述电子设备将所述多因素数字安全证书发送到服务器以启用所述电子设备与所 述服务器之间的安全连接的建立,其中所述多个因素和所述密钥在所述数字安全证书中的 共同存在隐式地将所述多个因素互相绑定和绑定到所述密钥。
23. 如权利要求22所述的方法,其特征在于,用所述电子设备发送在所述多因素数字 安全证书的使用被所述电子设备授权的情况下发生。
24. -种装置,所述装置包括: 网络接口;以及 存储器;以及 通信地耦合到所述网络接口和所述存储器的处理器,所述处理器被配置为: 将多因素数字安全证书存储在所述存储器中,其中所述证书请求包括多个因素和密 钥,其中所述多个因素的第一个包括所述装置的标识符且所述多个因素的第二个包括所述 装置的用户的标识符;以及 经由所述网络接口将所述多因素数字安全证书发送到认证服务器以指示所述装置的 所述用户和所述装置被授权在信息请求期间一起使用,其中所述多个因素和所述密钥在所 述数字安全证书中的共同存在隐式地将所述多个因素互相绑定和绑定到所述密钥。
25. 如权利要求24所述的装置,其特征在于,所述处理器被配置为在所述装置已授权 由所述装置的所述用户使用所述装置之后在信息请求期间发送所述多因素数字安全证书。
【文档编号】H04L9/32GK104160653SQ201280071218
【公开日】2014年11月19日 申请日期:2012年3月8日 优先权日:2012年3月8日
【发明者】O·本-沙洛姆, A·奈舒图特 申请人:英特尔公司
最新回复(0)