一种包括依赖方、身份提供者以及客户机的联合身份供应系统,该客户机从身份提供者获得令牌来访问依赖方的服务。当客户机联系新的依赖方时,该依赖方提供客户机可独立地解析和评估可信性的信息。例如,该依赖方提供通用域名地址。客户机随后可通过各种所认证的步骤来解析该域名地址以标识对应于数字身份供应服务的端点。客户机可进一步与供应服务交互并对其进行认证(例如,要求数字签名)来建立信任关系。一旦确定客户机/用户信任该供应服务,该客户机/用户可随后提供信息以获得数字身份表示。客户机可随后使用相应的身份提供者的数字身份表示来获得依赖方可确认的一个或多个令牌。
【技术实现步骤摘要】
【国外来华专利技术】通过独立端点解析来获得数字身份或令牌背景1.背景和相关技术常规计算机系统现在通常用于各种目的,无论是出于生产力、娱乐还是其他目的。 其原因之一是,计算机系统往往通过任务自动化以及使得某些类型的交易更高效来增加效 率。例如,过去某些类型的交易可能会花费用户几小时或几天来完成。特别地,如果用户要 进行银行存款、银行转帐、或甚至在商店中购买物品,用户可能需要物理上行进到该银行或 商店位置,以便验证用户的身份并呈现用于交易的指令。在验证了用户的身份后,银行或商 店可随后发起并确认所请求的交易。在该场景中,银行或商店可以被认为是“依赖方”,该 “依赖方”依赖于作为“身份提供者”的用户所提供的当面身份。然而,最近自动化(或计算机化)机制已经将这些类型的交易简化到几秒钟或几 分钟。特别地,诸如上述的交易由于允许用户从远程位置执行交易的自动化终端的出现而 变得越来越高效和复杂。然而,自动化终端在提供接入服务之前允许用户满足多个质询和 响应场景,而不是依赖当面身份验证。例如,用户可能需要呈现账户卡和个人识别号,该账 户卡和个人识别号是先前在建立用户与依赖方之间的信任关系时从依赖方接收的。如同自动化终端一样,最近的基于因特网的依赖方也请求最终用户建立某种信任 关系,这通常通过要求用户提供某些可验证个人信息(例如,姓名、地址、生日等)来进行。 依赖方还可要求用户呈现其他第三方验证信息,诸如信用卡信息、驾驶执照信息、或社会保 险卡信息。在这些类型的情况下,依赖方不仅依赖于用户的自验证信息,而且还依赖于依赖 方已与其建立信任关系的其他方(例如,信用卡公司,或政府实体)的验证。由此,当用户 随后访问依赖方的服务时,依赖方可要求用户呈现先前交换的部分或全部个人和第三方信 肩、ο由于效率增益通常是通过在线交易来提供的,因此数量愈趋增长的实体以此方式 提供服务,并且用户对使用此方式的需求也在增长。然而,在线交易的增长产生了另一组问 题。即,用户现在经常有大量并且数量增长的不同在线帐户需要他们跟踪和维护。特别是 在用户向每个不同的依赖方提供不同的验证信息的情况下,用户可能需要记住或能够访问 数量增长的不同的用户名、口令、以及潜在的其他验证信息。—些常规机制试图通过实现“联合”身份验证系统来缓解其中一些问题。在联合 系统中,单独的身份提供者维护数据,该数据可用于为用户在各种依赖方处的许多不同帐 户生成一个或多个安全令牌。一般而言,“安全令牌”是身份提供者用以向依赖方断言用户 身份的手段。为了使安全令牌可在许多不同的依赖方之间移植,这种类型的身份提供者将 需要与用户想访问的每个不同的依赖方建立信任关系。由此,当用户期望访问依赖方处的特定服务时,用户可联系身份提供者,向身份提 供者验证自己,并且从身份提供者获得令牌。然后用户可向依赖方呈现来自身份提供者的 令牌,该令牌包含某些有关用户和/或用户客户机系统的声明(以及一些有关身份提供者 的信息)。由于依赖方信任身份提供者和用户,所以依赖方可使用所提供的信息来确认令 牌,并且如果令牌得到确认,则依赖方向用户提供对各种所请求的服务或交易的访问权。5由于一些依赖方可以仅信任某些身份提供者,或可以仅具有与某些身份提供者建 立的信任关系,因此用户也可以具有与多个不同的身份提供者所建立的账户。在常规系统 中,用户维护或存储可在每个身份提供者处使用的一个或多个身份表示以获得安全令牌。 存储在用户的客户计算机系统处的身份选择服务进而可管理和标识什么身份表示应用于 任何给定身份提供者。例如,用户可能需要对一个特定的身份提供者使用一个数字身份表示,来发放用 于一个特定依赖方的令牌。用户然后可在同一(或不同)身份提供者处使用另一个数字身 份表示来获得该依赖方处(或另一依赖方处)的另一些令牌。身份选择服务由此向适当的 身份提供者提供适当的一个或多个数字身份表示。一般而言,当用户已经与所需身份提供者建立信任关系时,上述联合系统往往工 作良好。然而,在一些情况下,用户可遇到接受来自用户(或客户机系统)尚未与其建立信 任关系的身份提供者的令牌的依赖方。尽管用户可经历与特定的身份提供者建立关系的过 程,但用户仍需要能够标识身份提供者的姓名和位置。然而,提供有关身份提供者的名称和 位置的信息可涉及多个安全风险。例如,如果建立上述场景以便依赖方自动将客户机系统定向到特定的身份提供 者,则用户会冒“网络钓鱼”攻击的风险。特别地,用户相信其为合法的恶意依赖方可自动 将用户定向到恶意身份提供者。当用户试图与恶意身份提供者建立身份表示时,该身份提 供者可简单地窃取该用户的身份并且利用该用户。该身份提供者甚至可提供用于访问该恶 意依赖方的令牌,并且由此保持出现一段延长的时间。甚至对于合法的依赖方,当依赖方提供对应于数字身份表示供应服务的确切端点 时,用户(和/或依赖方)也可存在一些风险。可以理解,随着越来越多的实体朝着提供安 全在线交易服务发展时,这些问题往往只会增加。因此,对于联合系统,有许多可以解决的 困难。简要概述本专利技术的实现用被配置成在获得用于依赖方的令牌之前提供数字身份表示供应 服务的独立的用户/客户机验证的系统、方法和计算机程序产品解决了本领域中的一个或 多个问题。在至少一个实现中,例如,响应于对依赖方处的服务的请求,客户机接收有关依 赖方信任的一个或多个身份提供者的元数据。客户机随后独立地解析该元数据,以标识该 身份提供者所提供的数字身份供应服务,并且确定该客户机是否可信任该供应服务。如果 可信,则该客户机可随后通过该供应服务与相应的身份提供者建立数字身份表示,并且获 得用于依赖方的一个或多个令牌。例如,从客户计算机系统的观点来看,一种获得数字身份表示和/或安全令牌的 方法可涉及联系依赖方以访问依赖方处的一个或多个服务。该方法还可涉及从该依赖方接 收一个或多个策略文件。在这种情况下,该一个或多个策略文件包括标识与一组一个或多 个可信身份提供者相对应的通用名称的信息。另外,该方法可涉及自动解析所标识的通用 名称,来获得对应于可信身份提供者中的一个的一个或多个网络端点。此外,该方法可涉及 在认证该一个或多个网络端点之后,联系该所解析的身份提供者以获得在获得一个或多个 安全令牌时使用的一个或多个数字身份表示。另外,从身份提供者的观点来看,一种向客户机提供一个或多个数字身份表示和/或一个或多个安全令牌的方法可涉及在身份提供者处接收一个或多个来自客户机的对一 个或多个数字身份表示供应服务的请求。该方法也可涉及向该客户机提供标识由该身份提 供者所提供的一个或多个数字身份供应服务的信息。另外,该方法可涉及认证从该客户机 接收的一个或多个数字身份表示。在这种情况下,该身份提供者确定所接收的一个或多个 数字身份表示是有效的。此外,该方法可涉及提供与所认证的一个或多个数字身份表示相 对应的一个或多个安全令牌。提供本概述以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本 概述不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要 求保护的主题的范围。本专利技术的其他特征和优点将在随后的描述中阐述,并且部分地将从本说明书中显 而易见,或可以通过本专利技术的实施来获知。本专利技术的特征和优点可通过在所附权利要求书 中特本文档来自技高网...
【技术保护点】
一种在联合计算机化系统(100)中的客户机计算机(105)处的方法,所述联合计算机化系统具有所述客户机、一个或多个身份提供者(110)以及一个或多个依赖方(120),所述方法是所述客户机独立地解析身份提供者的位置从而获得可由所述客户机用于访问依赖方处的一个或多个服务的安全令牌,所述方法包括以下动作: 联系(300)依赖方(120)以访问所述依赖方处的一个或多个服务; 从所述依赖方接收(310)一个或多个策略文件,其中所述一个或多个策略文件包括标识对应于一组一个或多个可信身份提供者的通用名称的信息(160) 自动解析(320)所标识的通用名称,以获得对应于所述可信身份提供者(110)中的一个的一个或多个网络端点; 在认证了所述一个或多个网络端点之后,联系(330)所解析的那个身份提供者(110),以获得在获得一个或多个安全令牌(210)时使用的一个或多个数字身份表示(113)。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:A·K·纳恩达,
申请(专利权)人:微软公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。