BRPI0806607A2 - fornecimento de representações de identidade digital - Google Patents

fornecimento de representações de identidade digital Download PDF

Info

Publication number
BRPI0806607A2
BRPI0806607A2 BRPI0806607-8A BRPI0806607A BRPI0806607A2 BR PI0806607 A2 BRPI0806607 A2 BR PI0806607A2 BR PI0806607 A BRPI0806607 A BR PI0806607A BR PI0806607 A2 BRPI0806607 A2 BR PI0806607A2
Authority
BR
Brazil
Prior art keywords
digital identity
representation
principal
identity
dir
Prior art date
Application number
BRPI0806607-8A
Other languages
English (en)
Inventor
Vijay K Gajjala
Colin H Brace
Conte Derek T Del
Kim Cameron
Arun K Nanda
Hervey O Wilson
Stuart L S Kwan
Rashmi Raj
Vijayavani Nori
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of BRPI0806607A2 publication Critical patent/BRPI0806607A2/pt

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Abstract

FORNECIMENTO DE REPRESENTAçõES DE IDENTIDADE DIGITAL. São divulgados um sistema e método para o fornecimento de representações de identidade digital ("DIRs") que usam várias técnicas e estruturas para facilitar a administração, aumentar a precisão e diminuir inconsistências de um sistema de fornecimento de identidade digital. E fornecido um sistema que usa um armazenamento de dados de identidade comum tanto para a emissão de DIR quanto para a emissão de sinal de identidade, diminuindo os problemas de sincronismo. Vários métodos são fornecidos para criar novas DIRs, notificar indivíduos efetivos sobre DIRs disponíveis e aprovar a emissão de novas DIRs.

Description

"FORNECIMENTO DE REPRESENTAÇÕES DE IDENTIDADE DIGITAL"
Antecedentes da Invenção
Recentemente, ocorreu enorme inovação nos sistemas de desenvolvimento para dar aos indivíduos mais controle em relação a como suas informações de identidade pesso- al são distribuídas e usadas, particularmente, no contexto digital. Por exemplo, Microsoft Corporation de Redmond, Washington, entre outras, propagou um sistema, algumas vezes chamado de Seletor de Cartão de Informação - a instanciação da Microsoft sendo chamada de Windows CardSpace. Em um sistema Windows CardSpace1 um principal obtém uma ou mais representações de identidade digital, algumas vezes chamadas de cartões de informa- ção. Quando o principal tenta acessar um recurso (uma "parte de suporte") que exige um conjunto de declarações feitas sobre o principal, o principal emprega uma representação de identidade digital (doravante chamada "DIR") para iniciar comunicação com um fornecedor de identidade que pode afirmar estas declarações. Em alguns casos, o fornecedor de identi- dade pode ser controlado por um principal e ser executado na própria máquina do principal. Em outros, ele pode ser controlado por um terceiro. O fornecedor de identidade retorna um "sinal de identidade" que inclui a informação das declarações exigidas.
Entretanto, pouca atenção foi direcionada para a criação e fornecimento de DIRs. Atualmente, administradores de sistemas de identidade digital são forçados a produzir DIRs manualmente. Por exemplo, um administrador pode usar manualmente um utilitário de soft- ware, tal como um gerador de XML, para produzir uma DIR e salvá-la em um local em parti- cular. Então, o administrador pode transmitir ao principal um apontador para a DIR e, então, o principal recuperará a DIR. Este sistema é ad hoc, sujeito a erros e vulnerabilidades de segurança, e trabalhoso para um administrador.
Sumário da Invenção
Este Sumário é fornecido para introduzir uma seleção de conceitos de uma forma simplificada, que é descrita com detalhes a seguir na Descrição Detalhada. Não pretende-se que este Sumário identifique recursos chaves ou recursos essenciais do assunto em ques- tão reivindicado, nem pretende-se que seja usado como um auxílio na determinação do es- copo do assunto em questão reivindicado.
Um aspecto diz respeito a um sistema para fornecer uma DIR para um principal. O sistema inclui um sistema gerador de DIR que é adaptado para receber uma solicitação para gerar uma DIR para o principal e, então, para gerar a DIR. Também são fornecidos um for- necedor de identidade adaptado para gerar um sinal de identidade em resposta à comunica- ção iniciada usando a DIR, e um armazenamento de dados de identidade operativamente conectado tanto no sistema gerador de DIR quanto no fornecedor de identidade. O sistema de geração de DIR acessa o armazenamento de dados de identidade na geração da DIR, e o fornecedor de identidade também acessa o armazenamento de dados de identidade na geração do sinal de identidade.
Um outro aspecto diz respeito a um método para fornecer uma DIR para um princi- pal. O método inclui autenticar o principal em um sistema de geração de DIR usando infor- mação de conexão, tais como nome de usuário e senha. O método inclui adicionalmente receber uma solicitação por uma DIR e gerar a DIR solicitada de uma maneira que inclua pelo menos parte da informação de conexão. Por exemplo, a mesma informação de cone- xão pode ser usada para proteger ou "apoiar" a DIR resultante. Isto fornece uma dica para a autenticação do principal, considerando qual informação de autenticação fornecer em um momento posterior em relação à conexão.
Um outro aspecto diz respeito a um outro método para o fornecimento de uma DIR para um principal. Neste método exemplar, um primeiro descritor da DIR e um segundo des- critor da DIR são gerados. Estes podem representar, por exemplo, diferentes DIRs que fi- cam disponíveis aos indivíduos efetivos. A seguir, os primeiro e segundo descritores da DIR são transmitidos ao principal de forma que o principal saiba, por exemplo, quais DIRs estão disponíveis. Então, uma solicitação do principal é recebida para pelo menos uma primeira DIR que está em conformidade com o primeiro descritor da DIR. Então, a primeira DIR é criada.
Um outro aspecto diz respeito a um ainda outro método para o fornecimento de uma DIR para um principal. Acesso a uma parte de suporte é solicitado. Então, uma mensa- gem que nega acesso e que transmite a política de segurança da parte de suporte é recebi- da. Então, uma DIR que satisfaz a política de segurança é solicitada de um sistema de ge- raçao de DIR. Finalmente, a DIR é recebida. Descrição Resumida dos Desenhos
Agora, será feita referência aos desenhos anexos, que não estão necessariamente em escala, e em que:
a figura 1 ilustra um sistema de DIR de exemplo que inclui um principal, uma má- quina do principal, uma parte de suporte, um fornecedor de identidade, um sistema de gera- ção de DIR, uma armazenamento de dados de identidade, um sistema administrador e um sistema de captura de dados;
a figura 2 ilustra um método de exemplo para o fornecimento e uso de DIR; a figura 3 ilustra um outro método de exemplo para o fornecimento e uso de DIR; a figura 4 ilustra um outro método de exemplo para o fornecimento de DIR; a figura 5 ilustra um outro método de exemplo para o fornecimento de DIR; a figura 6 ilustra um outro método de exemplo para o fornecimento de DIR; a figura 7 ilustra um outro método de exemplo para o fornecimento de DIR; a figura 8 ilustra um outro método de exemplo para o fornecimento de DIR; e a figura 9 ilustra um exemplo de um dispositivo de computação. Descrição Detalhada
Agora, modalidades de exemplo serão descritas mais detalhadamente a seguir em relação aos desenhos anexos. Números iguais dizem respeito a elementos iguais por toda a parte.
As modalidades de exemplo aqui divulgadas dizem respeito, no geral, a sistemas de identidade que incluem DIRs usadas na iniciação da comunicação para a produção de sinais de identidade que podem ser trocados entre um principal, um fornecedor de identida- de e uma parte de suporte para autenticar uma identidade e/ou informação relacionada ao principal. Nas modalidades de exemplo aqui divulgadas, o principal pode ser uma pessoa ou pessoas físicas, computador, rede ou qualquer outra entidade. A parte de suporte tem pro- dutos, serviços ou outra informação que o principal deseja acessar e/ou obter. Nas modali- dades de exemplo, a parte de suporte pode ser qualquer recurso, privilégio ou serviço que exige uma política de segurança para entrar, acessar ou usar. Por exemplo, uma parte de suporte pode compreender um ou mais de: computadores, redes de computador, dados, bases de dados, construções, pessoal, serviços, empresas, organizações, locais físicos, dispositivos eletrônicos ou qualquer outro tipo de recurso.
Agora, em relação à figura 1, é mostrado um sistema DIR de exemplo 100, incluin- do um principal 110 e uma parte de suporte 120. O principal 110 tem posse ou controle so- bre a máquina do principal 111. A máquina do principal 111 inclui um sistema de computa- dor controlado pelo menos temporariamente pelo principal 110. A parte de suporte 120 tam- bém pode incluir um sistema de computador. O sistema 100 também pode incluir um siste- ma administrador 160, um sistema de captura de dados 162, um sistema de geração de DIR 164, um armazenamento de dados de identidade 168 e um fornecedor de identidade 115, cada um dos quais sendo adicionalmente discutido a seguir e podendo incluir ou ser parte de um sistema de computador.
O principal 110 e a parte de suporte 120 podem comunicar um com o outro em uma ou mais redes, tal como a Internet, ou por meio de telefone ou outras formas de comunica- ção com fios ou sem fios. Em modalidades de exemplo, o principal 110 pode solicitar produ- tos, serviços, informações, privilégios ou outro acesso da parte de suporte 120. A parte de suporte 120 pode exigir autenticação da identidade do principal 110, ou informação sobre ele, antes do fornecimento do acesso solicitado ao principal 110, ou em conjunto com ele. Também é mostrado na figura 1 um fornecedor de identidade de exemplo 115. O fornecedor de identidade 115 inclui um sistema de computador. Em modalidades de exem- plo, o fornecedor de identidade 115 inclui um transformador de declarações 130 e uma auto- ridade de declarações 140. O transformador de declarações 130 é algumas vezes chamado de um "serviço de sinal de segurança". No exemplo mostrado, o fornecedor de identidade 115 pode fornecer uma ou mais declarações sobre o principal 110. Uma declaração é uma sentença ou asserção feita a respeito do principal, possivelmente, incluindo sentença sobre o principal, tais como, por exemplo, nome, endereço, número da previdência social, idade, histórico de crédito, exigências transacionais, etc. Da forma adicionalmente descrita a se- guir, o fornecedor de identidade 115 pode fornecer declarações ao principal 110 e/ou à parte de suporte 120 na forma de um sinal de identidade digitalmente assinado. Em modalidades de exemplo, o fornecedor de identidade 115 está em um relacionamento de confiança com a parte de suporte 120, de forma que a parte de suporte 120 confia nas declarações no sinal de identidade assinado do fornecedor de identidade 115.
Embora o transformador de declarações 130 e a autoridade de declarações 140 do fornecedor de identidade 115 sejam mostrados como entidades separadas na figura 1, em modalidades alternativas, o transformador de declarações 130 e a autoridade de declara- ções 140 podem ser a mesma entidade, ou entidades diferentes. Em algumas modalidades de exemplo, o fornecedor de identidade 115 pode tomar a forma de um serviço de sinal de segurança. Similarmente, o fornecedor de identidade 115 e o sistema de geração de DIR 164 podem ser a mesma entidade ou entidades diferentes.
Sistemas de computador aqui descritos incluem, sem limitações, um computador pessoal, computador servidor, dispositivo de mão ou portátil, sistema microprocessador, sistema com base em microprocessador, dispositivos eletrônicos programáveis pelo consu- midor, PCs em rede, minicomputadores, computador de grande porte, cartão inteligente, telefone, dispositivo de comunicação móvel ou celular, assistente de dados pessoal, ambi- ente de computação distribuída que inclui qualquer um dos sistemas ou dispositivos expos- tos, e congêneres. Alguns sistemas de computador aqui descritos podem compreender dis- positivos de computação portáteis. Um dispositivo de computação portátil é qualquer siste- ma de controlador que é projetado para ser fisicamente conduzido por um usuário. Cada sistema de computador também pode incluir um ou mais periféricos, incluindo, sem limita- ções, teclado, mouse, uma câmera, uma câmera digital para a Internet, uma câmera de ví- deo, um digitalizador de impressões digitais, um digitalizador de íris, um dispositivo de exibi- ção, tal como um monitor, um microfone ou alto-falantes.
Cada sistema de computador inclui um servidor, tal como (sem limitações) o siste- ma operacional WINDOWS da Microsoft Corporation, e um ou mais programas armazena- dos na mídia legível por computador. Cada sistema de computador também pode incluir um ou mais dispositivos de comunicações de entrada e de saída que permite que o usuário co- munique com o sistema de computador, bem como permite que o sistema de computador comunique com outros dispositivos. As comunicações entre os sistemas de computador u- sados pelo principal 110 (por exemplo, máquina do principal 111), parte de suporte 120, sis- tema de geração de DIR 164, sistema administrador 160, sistema de captura de dados 162 e fornecedor de identidade 115 podem ser implementadas usando qualquer tipo de ligação de comunicações, incluindo, sem limitações, a Internet, redes de área ampla, intranets, E- thernets, caminhos com ligação direta com fios, satélites, varreduras por infravermelho, co- municações celulares, ou qualquer outro tipo de comunicações com fios ou sem fios.
Em algumas modalidades de exemplo aqui divulgadas, o sistema 100 é implemen- tado, pelo menos em parte, como o sistema de Cartão de Informação fornecido na estrutura .NET 3.0 desenvolvida pela Microsoft Corporation de Redmond, Washington. O sistema de Cartão de Informação permite que indivíduos efetivos gerenciem múltiplas DIRs dos vários fornecedores de identidade.
O sistema do Cartão de Informação utiliza uma plataforma de serviços da Internet, tal como a Estrutura de Comunicação do Windows, na estrutura .NET 3.0. Além do mais, o sistema do Cartão de Informação é construído usando as Especificações de Segurança dos Serviços da Internet propagadas, pelo menos em parte, pela Microsoft Corporation de Red- mond, Washington. Estas especificações incluem um modelo de segurança de mensagem WS-Security, de uma política de terminal WS-SecurityPolicy, de uma troca de metadados WS-MetadataExchange, e de um modelo de confiança WS-Trust. No geral, o modelo WS- Security descreve como anexar sinais de identidade nas mensagens. O modelo WS- SecurityPoIicy descreve as exigências da política de terminal, tais como sinais de identidade exigidos e algoritmos de encriptação suportados. Tais exigências de política podem ser con- duzidas e negociadas usando um protocolo de metadados definido pelo WS- MetadataExchange. O modelo WS-Trust descreve uma estrutura para modelos de confiança que habilitam diferentes serviços da Internet para interoperação. Algumas modalidades de exemplo aqui descritas dizem respeito às supradescritas Especificações de Segurança dos Serviços da Internet. Em modalidades alternativas, uma ou mais especificações podem ser usadas para facilitar as comunicações entre os vários subsistemas no sistema 100.
Novamente, em relação à figura 1, o principal 110 pode transmitir uma solicitação por meio da máquina do principal 111 à parte de suporte 120 para acesso a produtos, servi- ços ou outra informação. Por exemplo, em uma modalidade, a máquina do principal 111 transmite uma solicitação à parte de suporte 120 para acesso à informação da parte de su- porte 120 que o principal 110 deseja. A solicitação transmitida pela máquina do principal 111 pode incluir uma solicitação pelas exigências de autenticação da parte de suporte 120 usan- do, por exemplo, os mecanismos fornecidos no WS-MetadataExchange .
Em resposta à solicitação, a parte de suporte 120 pode transmitir exigências da máquina do principal 111 para a parte de suporte 120 para autenticar a identidade do princi- pal ou outra informação sobre o principal 110. As exigências da parte de suporte 120 em relação à autenticação são aqui chamadas de uma política de segurança. Uma política de segurança define minimamente o conjunto de declarações de um fornecedor de identidade confiado 115 que o principal 110 deve fornecer à parte de suporte 120 para que a parte de suporte 120 autentique o principal 110. Uma política de segurança pode incluir uma exigên- cia de prova considerando uma característica pessoal (tal como idade), identidade, estado financeiro, etc. Ela também pode incluir regras que consideram o nível de verificação e de autenticação exigidos para autenticar todas as ofertas de prova (por exemplo, assinatura digital de um fornecedor de identidade em particular).
Em um exemplo, a parte de suporte 120 especifica sua política de segurança usan- do WS-SecurityPolicy, incluindo tanto as exigências de declaração quanto o tipo de sinal de identidade exigido pela parte de suporte 120. Exemplos dos tipos de declarações incluem, sem limitações, o seguinte: primeiro nome, último nome, endereço de correio eletrônico, nome da rua, nome da localidade ou da cidade, estado ou província, código postal, país, número do telefone, número da previdência social, data de nascimento, sexo, número identi- ficador pessoal, classificação de crédito, estado financeiro, estado legal, etc.
A política de segurança também pode ser usada para especificar o tipo de sinal de identidade exigido pela parte de suporte 120 ou um tipo padrão pode ser usado da forma determinada pelo fornecedor de identidade. Além da especificação das declarações exigidas e do tipo de sinal, a política de segurança pode especificar um fornecedor de identidade em particular exigido pela parte de suporte. Alternativamente, a política pode omitir este elemen- to, deixando a determinação do fornecedor de identidade apropriado por conta do principal 110. Outros elementos também podem ser especificados na política de segurança, tal como, por exemplo, o vigor do sinal de segurança exigido.
Em algumas modalidades, o principal 110 pode exigir que a parte de suporte 120 se identifique à máquina do principal 111, de forma que o principal 110 possa decidir se satis- faz ou não a política de segurança da parte de suporte 120, da forma descrita a seguir. Em um exemplo, a parte de suporte 120 se identifica usando um certificado X509. Em outras modalidades, a parte de suporte 120 pode se identificar usando outros mecanismos, tais como, por exemplo, um certificado de servido de Camada de Soquete Seguro ("SSL").
A máquina do principal 111 pode incluir uma ou mais DIRs para o principal 110. Es- tas DIRs (algumas vezes chamadas de "Cartões de Informação" no sistema de Windows CardSpace fornecido pela estrutura .NET 3. O desenvolvida pela Microsoft Corporation de Redmond, Washington) são artefatos que representam o relacionamento de emissão de sinal entre o principal 110 e um fornecedor de identidade em particular, tal como o fornece- dor de identidade 115. Cada DIR pode corresponder a um fornecedor de identidade em par- ticular, e o principal 110 pode ter múltiplas DIRs do mesmo ou de diferentes fornecedores de identidade. O uso das DIRs em um sistema de identidade é descrito com detalhes no Pedido de Patente US 11/361.281, que é aqui incorporado pela referência com se fosse aqui com- pletamente apresentado.
DIRs podem incluir, entre outras informações, a política de emissão do fornecedor de identidade em relação a sinais de identidade, incluindo o tipo de sinais que podem ser emitidos, os tipos de declarações para as quais ela tem autoridade, e/ou as credenciais para uso para autenticação durante a solicitação de sinais de identidade. DIRs podem ser repre- sentadas como documentos XML que são emitidos pelos fornecedores de identidade 115 ou sistemas de geração de DIR 164 e armazenados pelos indivíduos efetivos 110 em um dis- positivo de armazenamento, tal como a máquina do principal 111.
A máquina do principal 111 também pode incluir um seletor de identidade. No geral, um seletor de identidade é um programa de computador e interface de usuário que permi- tem que o principal 110 selecione entre uma ou mais DIRs do principal 110 na máquina do principal 111 para solicitar e obter sinais de identidade de um ou mais fornecedores de iden- tidade, tal como o fornecedor de identidade 115. Por exemplo, quando uma política de segu- rança da parte de suporte 120 for recebida pela máquina do principal 111, o seletor de iden- tidade pode ser programado para identificar uma ou mais DIRs que satisfazem uma ou mais das declarações exigidas pela política de segurança que usa a informação nas DIRs. Uma vez que o principal 110 recebe a política de segurança da parte de suporte 120, o principal 110 pode comunicar com (usando, por exemplo, a máquina do principal 111) um ou mais fornecedores de identidade para reunir as declarações exigidas pela política.
Nas modalidades de exemplo, o principal 110 solicita um ou mais sinais de identi- dade do fornecedor de identidade 115 usando o mecanismo de emissão descrito no WS- Trust. Em modalidades de exemplo, o principal 110 encaminha as exigências de declaração na política da parte de suporte 120 para o fornecedor de identidade 115. A identidade da parte de suporte 120 pode, mas não precisa, ser especificada na solicitação transmitida pelo principal 110 ao fornecedor de identidade 115. A solicitação também pode incluir outras exi- gências, tal como uma solicitação por um sinal de exibição.
No geral, a autoridade de declarações 140 do fornecedor de identidade 115 pode fornecer uma ou mais das declarações exigidas pela política de segurança da parte de su- porte 120. O transformador de declarações 130 do fornecedor de identidade 115 é progra- mado para transformar as declarações e para gerar um ou mais sinais de identidade assina- dos 150 que incluem a(s) declaração(s) relacionadas ao principal 110.
Como exposto, o principal 110 pode solicitar um sinal de identidade em um certo formato na sua solicitação ao fornecedor de identidade 115, com base nas exigências da parte de suporte 120. O transformador de declarações 130 pode ser programado para gerar sinais de identidade em um de uma pluralidade de formatos que incluem, sem limitações, X509, Kerberos, SAML (versões 1.0 e 2.0), Protocolo de Identidade Extensível Simples ("SXIP"), etc.
Por exemplo, em uma modalidade, a autoridade de declarações 140 é programada para gerar declarações em um primeiro formato A, e a política de segurança da parte de suporte 120 exige um sinal de identidade em um segundo formato Β. O transformador de declarações 130 pode transformar as declarações da autoridade de declarações 140 do formato A para o formato B antes de transmitir um sinal de identidade ao principal 110. Além do mais, o transformador de declarações 130 pode ser programado para refinar a semântica de uma declaração em particular. Em modalidades de exemplo, a semântica de uma decla- ração em particular é transformada para minimizar a quantidade de informação fornecida em uma declaração e/ou sinal de identidade em particular para reduzir ou minimizar a quantida- de de informação pessoal que é conduzida por uma dada declaração.
Em modalidades de exemplo, o transformador de declarações 130 encaminha o si- nal de identidade 150 ao principal 110 usando os mecanismos de resposta descritos em WS-Trust. Em uma modalidade, o transformador de declarações 130 inclui um serviço de sinal de segurança (algumas vezes chamado de um "STS"). Em modalidades de exemplo, o principal 110 encaminha o sinal de identidade 150 à parte de suporte 120 pela ligação do sinal de identidade 150 em uma mensagem de aplicação usando os mecanismos de ligação de segurança descritos em WS-Security. Em outras modalidades, o sinal de identidade 150 pode ser transmitido diretamente do fornecedor de identidade 115 até a parte de suporte 120.
Uma vez que a parte de suporte 120 recebe o sinal de identidade 150, a parte de suporte 120 pode verificar (por exemplo, pela decodificação ou decriptação do sinal de iden- tidade 150) a origem do sinal de identidade assinado 150. A parte de suporte 120 também pode utilizar a(s) declaração(s) no sinal de identidade 150 para satisfazer a política de segu- rança da parte de suporte 120 para autenticar o principal 110.
O fornecimento de DIRs será agora discutido com mais detalhes. O principal 110 pode obter uma DIR em uma variedade de maneiras. Na modalidade de exemplo ilustrada na figura 1, o sistema de geração de DIR 164 é usado, no geral, para comunicar com o prin- cipal 110, criar novas DIRs, e notificar o principal 110 sobre as DIRs disponíveis. Em algu- mas modalidades, o sistema de geração de DIR 164 pode compreender uma página da In- ternet. Em outras modalidades, o sistema de geração de DIR 164 pode compreender um serviço da Internet. O sistema de geração de DIR 164 também pode incluir ou funcionar em conjunto com um servidor de informação da Internet (IIS) 166 em certas modalidades.
O armazenamento de dados de identidade 168 é um sistema de armazenamento de informação digital que pode ser acessado, em certas modalidades, pelo fornecedor de identidade 115, pelo sistema de geração de DIR 164 e pelo sistema administrador 160. O armazenamento de dados de identidade 168 pode compreender um servidor de base de dados, memória de computador ou qualquer outro(s) dispositivo(s) de armazenamento de dados. O armazenamento de dados de identidade 168 pode ser composto por uma plurali- dade de dispositivos ou sistemas em um modelo de dados distribuídos. O armazenamento de dados de identidade 168 também pode incluir ou compreender um serviço de diretório, tal como Diretório Ativo 169 propagado pela Microsoft Corporation de Redmond1 Washington.
O sistema administrador 160 pode incluir um sistema de computador, incluindo uma interface de usuário que permitirá que um administrador comunique com o armazenamento de dados de identidade 168 e com o sistema de geração de DIR 164. O sistema administra- dor 160 permite que um administrador organize e administre os dados no armazenamento de dados de identidade 168. Ele também permite que um administrador determine os tipos de DIRs que o sistema de geração de DIR 164 cria, e permite que um administrador controle se um principal em particular é elegível para receber DIRs em particular. O uso do sistema administrador 160 é adicionalmente discutido a seguir.
Certas modalidades podem incluir um sistema de captura de dados separado 162. O sistema de captura de dados 162 pode compreender um sistema de computador adapta- do para capturar informação relacionada aos indivíduos efetivos. Por exemplo, o sistema de captura de dados 162 pode compreender um sistema de computador com recursos huma- nos que captura informação pessoal sobre um principal, tais como nome, número do telefo- ne, número da previdência social, endereço, etc. O sistema de captura de dados 162 pode incluir armazenamento separado ou pode utilizar o armazenamento de dados de identidade 168.
A figura 2 ilustra um método 200 que pode ser implementado por meio do sistema 110. Na etapa 210, um administrador configura um armazenamento de dados de identidade. Por exemplo, um administrador pode usar o sistema administrador 160 para configurar o armazenamento de dados de identidade 168. Em algumas modalidades, o administrador pode usar o sistema administrador 160 para ajustar tabelas no armazenamento de dados de identidade 168 que serão usadas para administrar, gerar e gerenciar DIRs. Em uma modali- dade exemplar, o administrador pode determinar os tipos de declarações que serão supor- tadas nas DIRs criadas pelo sistema de geração de DIR 164 e sinais de identidade gerados pelo fornecedor de identidade 115. O administrador também pode usar um sistema adminis- trador 160 para configurar o armazenamento de dados de identidade 168 para armazenar informação de política, tais como os tipos de sinais que o fornecedor de identidade 115 su- porta, informação de nomeação e metadados de federação. Outras informações no armaze- namento de dados de identidade 168 que podem ser embutidas em uma DIR incluem uma fotografia do principal 110 e informação de conectividade relacionada aos fornecedores de identidade, tal como o fornecedor de identidade 115.
Então, o método 200 prossegue até a etapa 220 quando o principal 110 solicita uma DIR. Uma solicitação por uma DIR pode ser feita em uma variedade de maneiras. Por exemplo, o principal 110 pode usar a máquina do principal 111 para acessar o sistema de geração de DIR 164. Em algumas modalidades, o sistema de geração de DIR 164 é uma página da Internet e a máquina do principal 114 acessa o sistema de geração de DIR 164 por meio de um navegador da Internet para solicitar uma DIR. Em algumas modalidades, o principal 110 solicita uma DIR em particular. Em outras modalidades adicionalmente discuti- das a seguir, o principal 110 solicita uma lista de DIRs disponíveis ao principal 110 e escolhe a partir desta lista.
Então, o método 200 prossegue até a etapa 230, quando o sistema de geração da DIR 164 verifica com o armazenamento de dados de identidade 168, gera a DIR e fornece a DIR ao principal 110. Em uma modalidade, o sistema de geração da DIR 164 primeiro verifi- ca com o armazenamento de dados de identidade 168 para determinar se o principal 110 está nomeado em relação à DIR solicitada. Isto pode ser realizado em uma variedade de maneiras, incluindo pela verificação de uma DLL de nomeações no armazenamento de da- dos de identidade 168, pela realização de uma verificação de acesso ao Diretório Ativo, etc. O sistema de geração de DIR 164 também pode acessar os metadados do sistema de iden- tidade armazenados no armazenamento de dados de identidade 168 para determinar quais tipos de declarações de identidade são disponíveis para ser incluídas na nova DIR.
Quando o sistema de geração da DIR 164 criar a nova DIR, a DIR pode tomar a forma de um documento XML e pode incluir, entre outras informações, uma imagem para exibição na máquina do principal, uma lista de declarações incluída na DIR, uma lista de tipos de sinal disponíveis para a DIR, uma identificador de DIR exclusivo, uma dica de cre- dencial (discutida adicionalmente a seguir), certificação do fornecedor de identidade, e uma referência de terminal para o fornecedor de identidade 115. A nova DIR também pode ser fornecida ao principal em uma variedade de maneiras, incluindo um correio eletrônico da nova DIR, uma mensagem de HTTP ou outros métodos. Da forma aqui usada, "correio ele- trônico" inclui mensagens de texto, mensagens instantâneas, e formas similares de comuni- cação eletrônica.
Mediante recepção da nova DIR, o principal 110 armazena 240 a DIR, por exemplo, na memória associada com a máquina do principal 111. Então, o principal 250 solicita aces- so (por exemplo, por meio de um redirecionamento a uma página de autenticação) e fornece 260 sua política de segurança de volta ao principal 110. Então, o principal 110 seleciona 270 uma DIR para satisfazer a política de segurança da parte de suporte 120. Isto pode ser rea- lizado, por exemplo, por meio de uma interface de usuário na máquina do principal 111 que exibe todas as DIRs disponíveis ao principal 110. Em algumas modalidades, a DIR que sa- tisfaz as exigências da política de segurança da parte de suporte pode ser destacada para o principal 110, e outros cartões podem ficar esmaecidos para tornar o processo de seleção mais fácil para o principal 110.
Então, o principal 110 transmite 280 a solicitação por um sinal de identidade a um fornecedor de identidade, tal como o fornecedor de identidade 115. Esta solicitação por um sinal de identidade pode ser gerada automaticamente pela máquina do principal 111 medi- ante seleção pelo principal 110 de uma DIR armazenada na máquina do principal 111. O fornecedor de identidade 115 verifica 285 o armazenamento de dados de identidade 168 para obter a informação exigida para preencher o sinal de identidade solicitado. Esta infor- mação pode incluir, por exemplo, dados das declarações. Por exemplo, se a DIR seleciona- da incluir uma declaração de idade, o fornecedor de identidade 115 pode verificar o armaze- namento de dados de identidade 168 para determinar a idade do principal 110. Então, o for- necedor de identidade 115 pode criar 285 o sinal de identidade solicitado e transmití-lo 290 ao principal. Então, o principal transmite 295 o sinal de identidade à parte de suporte e rece- be permissão de acesso, da forma supradiscutida.
No fornecimento de acesso pelo fornecedor de identidade 115 ao mesmo armaze- namento de dados de identidade 168 usado pelo sistema de geração de DIR 164, um admi- nistrador pode garantir que a geração das DIRs permaneça em sincronia com os dados re- ais disponíveis para satisfazer as declarações em um sinal de identidade solicitado. Por e- xemplo, se um administrador configurar o armazenamento de dados de identidade 168 de maneira tal que dados para a declaração de idade não fiquem ali armazenados, então, o sistema de geração de DIR 164 não criará uma DIR que inclui uma opção para uma decla- ração de idade. Caso contrário, podem surgir problemas de sincronismo. Por exemplo, con- sidere que um administrador cria uma nova DIR ad hoc (sem referência a dados de identi- dade disponíveis), e que uma declaração de idade é incluída e retransmitida como parte de uma DIR a um principal. Quando o principal tentar obter um sinal de identidade com uma declaração de idade, aquela informação não estará disponível, e o sinal será rejeitado pela parte de suporte, como insuficiente. Ao contrário, o sistema 100 permite sincronismo auto- mático das DIRs geradas e a disponibilidade de dados básicos para preencher sinais de identidade correspondentes. É fornecida a um administrador a capacidade de, por meio do sistema administrador 160, fazer mudanças no armazenamento de dados de identidade que afetarão automaticamente tanto o fornecimento das DIRs quanto a emissão dos sinais de identidade correspondentes.
Em algumas modalidades, quando o administrador faz mudanças em particular no armazenamento de dados de identidade 168 que afetam a validade das DIRs já emitidas, todos os indivíduos efetivos que receberam DIRs afetadas são notificados e permitidos obter novas DIRs. Por exemplo, considere que regulações de privacidade exigem que o adminis- trador elimine os endereços do domicílio de todos os indivíduos efetivos armazenados no armazenamento de dados de identidade 168. Todos os indivíduos efetivos 110 que recebe- ram uma DIR que incluía uma declaração como seu endereço de domicílio, agora, têm uma DIR inválida (em virtude de não haver mais nenhum dado no armazenamento de dados de identidade 168 para satisfazer aquela declaração). Em uma modalidade, todos tais indiví- duos efetivos são notificados, por exemplo, por meio de um correio eletrônico do sistema de geração de DIR 164, de que a(s) DIR(s) é(são) agora inválida(s), e convidando os indivíduos efetivos a obter uma nova DIR que não inclui a declaração de endereço de domicílio não mais suportada. Desta maneira, a única troca pelo administrador no armazenamento de da- dos de identidade 168 (a) impede que novas DIRs sejam emitidas com uma declaração de endereço de domicílio, e (b) alerta os indivíduos efetivos que DIRs existentes que incluem aquela declaração são inválidas e podem ser substituídas.
Agora, em relação à figura 3, um método exemplar 300 é descrito em relação ao sistema 110 mostrado na figura 1. Neste exemplo, o principal 110 autentica na máquina do principal 111. A máquina do principal 111, por exemplo, pode ser conectada em uma intra- net, que inclui um serviço de diretório, tal como o servidor de Diretório Ativo 169. A autenti- cação do principal 110 na máquina do principal 111 pode incluir usar informação de conexão de qualquer método conhecido, incluindo nome de usuário / senha, cartão inteligente, etc. Então, o principal 110 inicia 320 uma solicitação de DIR, por exemplo, apontando um nave- gador na máquina do principal 111 para uma página da Internet que compreende o sistema de geração de DIR 164. Então, o principal 110 autentica 330 no sistema de geração de DIR 164. Em algumas modalidades, a máquina do principal 111, o sistema de geração de DIR 164, o armazenamento de dados de identidade 168, o fornecedor de identidade 115 e o sis- tema administrador 160 podem ser parte da mesma intranet. Nesta modalidade, é possível que capacidade de conexão simples possa ser disponível. Por exemplo, se a máquina do principal estiver em execução, um sistema operacional WINDOWS, disponível pela Microsoft Corporation de Redmond, Washington, e a Autenticação Integrada do Windows estiver ati- vada, então, a autenticação no sistema de geração da DIR 164 pode ser automática e contí- nua em relação ao principal 110 - informação usada para conectar na máquina do principal 111 é passada ao sistema de geração de DIR 164 juntamente com a solicitação de acesso. Em outras modalidades, o administrador pode configurar o sistema de geração de DIR 164 para exigir uma autenticação separada do principal 110. O administrador pode configurar o sistema de geração de DIR 164 para exigir qualquer um de uma variedade de mecanismos de autenticação, incluindo nome de usuário / senha, cartão inteligente, etc. Em algumas modalidades, o principal 110 pode ser autenticado pelo IIS 166, que pode ser facilmente configurado por um administrador para aceitar qualquer um de uma variedade de métodos de autenticação.
Uma vez que o principal 110 é autenticado, o sistema de geração de DIR 164 aces- sa 350 o armazenamento de dados de identidade 168. Neste exemplo, o sistema de gera- ção de DIR 164 toma a forma de um serviço da Internet para permitir a negociação entre o sistema de geração de DIR e o principal 110. Neste exemplo, a negociação determina o tipo de DIR que será retornada ao principal 110. Neste exemplo, o sistema de geração de DIR 164 obtém 350 descritores de DIR disponíveis. Em modalidades exemplares, um adminis- trador usa o sistema administrador 160 para criar descritores de DIR. Por exemplo, um ad- ministrador de IT corporativo pode criar descritores que representam diferentes DIRs para diferentes níveis de empregados. Por exemplo, um empregado temporário pode ter um con- junto de declarações diferente daquele de um empregado efetivo. Um CEO pode ter um conjunto de declarações diferente daquele de um empregado da equipe. Mesmo as imagens que são associadas com cada descritor de DIR podem variar - por exemplo, a imagem da DIR do grupo de vendas pode ser laranja, enquanto que a imagem da DIR para o grupo de contabilidade é verde. Adicionalmente, é possível personalizar a imagem do cartão para conter a imagem do principal 110 (obtida do armazenamento de dados de identidade 168). Isto melhora a associação que o principal 110 faz entre suas DIRs e o fornecedor de identi- dade 115. Ele também fornece melhores capacidades de "tirar impressão digital".
Em algumas modalidades, o sistema administrador 160 inclui uma interface de usu- ário que analisa gramaticamente por meio de todos os tipos de informação disponíveis no armazenamento de dados de identidade 168 e apresenta ao administrador uma fácil manei- ra de criar descritores. Por exemplo, pode ser apresentada ao administrador uma lista de: (a) classes de indivíduos efetivos (por exemplo, empregado temporário, empregado efetivo, membro da equipe executiva, membro do grupo de vendas, etc.); (b) tipos de declaração (nome, endereço, número de telefone, idade, etc.); (c) lacunas de segurança; (d) estado do emprego (atual, terminado); etc. Então, o administrador pode decidir criar descritores distin- tos disponíveis a algumas ou a todas as classes de indivíduos efetivos. Por exemplo, todos os indivíduos efetivos podem ser elegíveis para receber uma DIR básica que inclui o nome, número de telefone e estado de emprego do principal. Entretanto, somente a equipe execu- tiva pode ser elegível para receber uma DIR que também inclui uma lacuna de segurança de alto nível. Estes descritores podem ser criados pelo administrador e salvos no armazena- mento de dados de identidade, juntamente com uma política que delineia quais indivíduos efetivos são permitidos receber DIRs correspondentes aos descritores em particular. Co- mandos possíveis que podem ser sados por um administrador no tratamento de descritores incluem: "GET DESCRIPTORS, GET ALL DESCRIPTORS, ADD DESCRIPTORS, CHANGE DESCRIPTORS, DELETE DESCRIPTORS, COPY DESCRIPTORS, etc.".
A solicitação pelo principal 110 por descritores disponíveis pode ser realizada pela máquina do principal 111 por meio de um método de serviço da Internet, tal como "GET DESCRIPTORS". Isto fará com que o sistema de geração de DIR verifique o principal 110 em relação à política ajustada pelo administrador para determinar quais descritores estão disponíveis, se houver, para aquele principal 110. Isto pode ser realizado, por exemplo, por meio de uma verificação de acesso em Diretório Ativo. Descritores podem ser armazenados em qualquer um ou todos de, por exemplo: um armazenamento de dados de identidade 168, uma memória associada com o sistema de geração de DIR 164 ou um armazenamento se- parado.
Então, o sistema de geração de DIR 164 transmite 360 os descritores disponíveis à máquina do principal 111. Então, o principal 110 seleciona 370 a partir dos descritores dis- poníveis e solicita DIR(s) em particular correspondente(s) ao(s) descritor(s). Novamente, isto pode ser realizado, por exemplo, por um método de serviço da Internet, tal como "GET CARD(s)" (neste exemplo, em relação aos Cartões de Informação disponíveis no sistema Windows CardSpace propagado, pelo menos em parte, pela Microsoft Corporation de Red- mond, Washington). Um principal 110 pode solicitar uma de diversas DIRs disponíveis.
Então, o sistema de geração de DIR 164 cria 380 a(s) DIR(s) solicitada(s). Em mo- dalidades exemplares, o sistema de geração de DIR inclui na DIR uma dica de credencial para "apoiar" a DIR. Por exemplo, a DIR pode incluir uma dica de credencial de nome de usuário / senha, e o principal 110 pode ser exigido a autenticar usando aqueles nome de usuário / senha a fim de usar a DIR para obter um sinal de identidade. Em algumas modali- dades, o tipo de autenticação pode ser tomado da autenticação usada pelo principal 110 para ganhar acesso ao sistema de geração de DIR 164. Por exemplo, se o principal 110 usou uma combinação de nome de usuário / senha para autenticar no IIS 166, o sistema de geração de DIR 164 pode usar os mesmos nome de usuário / senha para apoiar a DIR quando ela for retransmitida ao principal 110.
Em outras modalidades, o sistema de geração digital pode ter acesso a um serviço de diretório, tal como Diretório Ativo 169, que pode incluir outros métodos de autenticação disponíveis para um principal 110 em particular. Por exemplo, se o principal 110 usar um nome de usuário / senha para autenticar no sistema de geração de DIR 164, mas o Diretório Ativo também incluir um certificado associado com um cartão inteligente registrado no prin- cipal 110, o sistema de geração de DIR 164 pode incluir qualquer um ou ambos os tipos de autenticação como parte da DIR retornada ao principal 110. Além do mais, se a capacidade de conexão simples for habilitada entre a máquina do principal 111 e o sistema de geração de DIR 164, o tipo de autenticação que é incluído na DIR pode ser o tipo de autenticação usado pelo principal 110 para autenticar na máquina do principal 111.
Uma vez que a(s) DIR(s) é(são) gerada(s) pelo sistema de geração de DIR 164, e- Ias são transmitidas 390 até o principal 110 por meio de qualquer um de uma variedade de métodos, incluindo correio eletrônico, HTTP, etc. Em algumas modalidades, o arquivo que inclui a(s) DIR(s) pode ser protegido por pin. Isto é em virtude de, particularmente no caso em que múltiplas DIRs são transmitidas ao principal 110, o arquivo que contém as DIRs po- der incluir material de chave criptográfica que deve ser protegido contra acesso não autori- zado. O pin permite o estabelecimento de um segredo compartilhado entre a máquina do principal 111 e o sistema de geração de DIR 164. Então, um arquivo que contém DIR(s) po- de ser decriptado pelo principal durante a instalação das DIRs na máquina do principal 111. Métodos exemplares para iniciar, aprovar e transmitir DIRs são adicionalmente discutidos a seguir.
Agora, em relação à figura 4, um método 400 é ilustrado. Na etapa 410, uma solici- tação para criar uma DIR é recebida por meio de um primeiro canal. Por exemplo, o principal 110 pode usar um navegador da Internet na máquina do principal 111 para solicitar uma nova DIR do sistema de geração de DIR 164. Na etapa 420, é emitida 420 uma notificação, por meio de um segundo canal, de que a DIR foi solicitada. Por exemplo, em resposta a uma solicitação de uma nova DIR do principal 110, o sistema de geração de DIR 164 ou uma aplicação em execução na máquina do principal 111 podem transmitir uma notificação por correio eletrônico de que a solicitação foi feita. Isto pode agir como uma "verificação" para garantir que o principal 110 seja aquele que está solicitando a DIR e não um impostor. Em algumas modalidades, o correio eletrônico pode ser direcionado a um endereço de cor- reio eletrônico conhecido para o principal. Em outras modalidades, a notificação pode ser direcionada a um terceiro de quem a política do administrador exige que aprove a emissão de uma nova DIR para o principal 110 em particular. Por exemplo, algumas DIRs podem ficar disponíveis a certos empregados em uma empresa somente se seus gerentes aprova- rem a emissão. Este tipo de DIR pode ser usado, por exemplo, para ganhar acesso a um grupo de trabalho confidencial.
Da forma aqui usada, um "canal" diz respeito à maneira na qual a informação na emissão é comunicada. A distinção entre diferentes canais no método 400 é uma distinção lógica. Dois canais distintos podem empregar algumas ou todas as mesmas ligações de comunicação físicas ou eletrônicas ou diferentes caminhos, no todo. Por exemplo, uma noti- ficação na etapa 420 pode ser transmitida na mesma ligação de comunicação (por exemplo, a Internet), conforme a aprovação na etapa 430, mas os canais podem ser logicamente dife- rentes (por exemplo, um pode ser um correio eletrônico e o outro pode ser uma mensagem HTTP).
Na etapa 430, é recebida uma aprovação para que a DIR seja criada. Por exemplo, o receptor da notificação, na etapa 420, do sistema de geração de DIR 364 pode responder e aprovar a emissão da DIR solicitada. Isto pode ser realizado em uma variedade de manei- ras. Por exemplo, a notificação, na etapa 420, pode compreender um correio eletrônico com uma ligação para uma página da Internet de aprovação hospedada pelo sistema de geração de DIR 364.
Na etapa 440, a DIR solicitada é criada. Se a aprovação fosse negada pelo receptor da notificação, na etapa 420, outros eventos poderiam ocorrer. Por exemplo, o administrador pode ser notificado de que uma solicitação não autorizada foi feita em relação a uma DIR.
Agora, em relação à figura 5, um outro método exemplar 500 é mostrado. Na etapa 510, é emitida uma notificação de que uma DIR está disponível para um principal. Por e- xemplo, o sistema de geração de DIR 364 pode transmitir ao principal 110 um correio ele- trônico que alerta o principal 110 de que uma nova DIR está disponível. Alternativamente, a notificação pode ir até um terceiro, tal como o gerente do principal. Por exemplo, este tipo de notificação pode ser usado em uma situação em que o administrador mudou o armazena- mento de dados de identidade 168 para incluir um descritor adicional. Então, o sistema de geração de DIR 364 pode ser usado para notificar todos os indivíduos efetivos em uma clas- se que qualifica para o descritor que a nova DIR está disponível. Por exemplo, um gerente em uma unidade de negócio em particular pode pedir a um administrador para criar um novo descritor para que uma DIR seja usada em conjunto com um projeto em particular. Uma vez que o administrador cria o descritor, a notificação de todos os indivíduos efetivos que o ge- rente deseja que tenham a nova DIR pode ser automática.
A notificação 510 também pode ser incluída como parte de um fluxo de trabalho de um negócio geral. Por exemplo, quando um novo principal começa a trabalhar em uma em- presa, o departamento de recursos humanos pode capturar informação sobre o principal por meio do sistema de captura de dados 162. Esta captura de dados pode dar início a uma série de etapas automatizadas, incluindo armazenar os dados de identidade relevantes em relação ao principal no armazenamento de dados de identidade 168 e notificar o principal 110 de que uma DIR está agora disponível para ele. A notificação pode tomar muitas for- mas, incluindo um correio eletrônico para o principal que inclui uma ligação para uma página da Internet que compreende o sistema de geração de DIR 164. Alternativamente, uma apli- cação pode estar em execução na máquina do principal 111, que é adaptada para receber uma mensagem do sistema de geração de DIR 164 de que uma nova DIR está disponível para o principal 110 (por exemplo, a aplicação pode gerar uma mensagem instantânea, um ícone pode aparecer em uma barra de ferramentas na máquina do principal 111, etc.).
Na etapa 520, é recebida uma solicitação para criar a DIR. Esta etapa pode ser no- vamente realizada em uma variedade de maneiras. Por exemplo, o principal 110 pode res- ponder a um correio eletrônico de notificação clicando em uma ligação que o guia para uma página da Internet que dá ao principal a opção de solicitar a DIR. Alternativamente, quando uma aplicação na máquina do principal 111 alertar ao principal 110 de que a DIR está dis- ponível, o principal pode solicitar a DIR em tal aplicação, e a aplicação pode retransmitir uma mensagem ao sistema de geração de DIR 364 para fazer a solicitação.
Na etapa 530, a DIR é criada da forma solicitada. A criação da DIR pode ser reali- zada da forma aqui descrita em outra parte. Então, a DIR é transmitida 540 ao principal, também da forma aqui descrita em outra parte.
Agora, em relação à figura 6, um outro método exemplar 600 é mostrado. Na etapa 610, um sistema de geração de DIR é pesquisado em relação às novas DIRs que estão dis- poníveis ao principal. Por exemplo, a máquina do principal 111 pode ser programada para pesquisar periodicamente o sistema de geração de DIR 164 em intervalos pre- determinados. Na etapa 620, determina-se se todas as novas DIRs estão disponíveis para o principal. Por exemplo, o sistema de geração de DIR 164 pode verificar no armazenamento de dados de identidade 168 se algum novo descritor se tornou disponível ao principal 110 desde o momento em que ele foi pesquisado pela última vez pela máquina do principal 111. Na etapa 630, é feita uma solicitação para que uma nova DIR seja criada. Continuando o exemplo, mediante recepção da notificação de que a nova DIR está disponível, o principal 110 pode solicitar que o sistema de geração da DIR 164 crie a nova DIR. Na etapa 640, a nova DIR é recebida (por exemplo, uma nova DIR pode ser recebida pela máquina do prin- cipal 111a partir do sistema de geração de DIR 164). Este método 600 é um outro exemplo de como o trabalho de um administrador pode ser simplificado. Se todas as máquinas do principal fossem programadas para pesquisar novas DIRs, por exemplo, quando um admi- nistrador cria um novo descritor de DIR no armazenamento de dados de identidade 168, a emissão e distribuição das novas DIRs seriam automáticas e não exigiriam trabalho adicio- nal da parte do administrador.
Também pode ser benéfico poder criar DIRs dinamicamente em resposta à política de segurança de uma parte de suporte. Agora, em relação à figura 7, um método de exem- plo 700 é ilustrado. Na etapa 710, é solicitado acesso a uma parte de suporte. Por exemplo, se a parte de suporte 120 for uma página da Internet restrita, a máquina do principal 111 tenta acessar a página da Internet por meio de um navegador. Na etapa 720, o acesso à parte de suporte é negado e uma política de segurança da parte de suporte é recebida. Con- tinuando o exemplo, a parte de suporte 120 transmite para a máquina do principal 111 sua política de segurança e uma mensagem HTTP que redireciona o navegador da máquina do principal 111 para uma página da Internet de autenticação. Então, uma DIR que satisfaz a política de segurança é solicitada 730 de um sistema de geração de DIR. No exemplo ex- posto, a máquina do principal 111 pode verificar, primeiro, se ela tem uma DIR suficiente e, se não, a máquina do principal 111 pode ser programada para consultar um cache local em relação a fornecedores de identidade que oferecem DIRs que satisfazem a política de segu- rança da parte de suporte 120. A máquina do principal também pode consultar uma lista pública de fornecedores de DIR hospedada pelo terceiro. Então, o principal 110 pode esco- lher um fornecedor de DIR e um sistema de geração de DIR apropriados, tal como o sistema de geração de DIR 164. Na etapa 740, a DIR é recebida. No exemplo exposto, a máquina do principal 111 recebe a nova DIR, que, então, ela pode encaminhar para o fornecedor de identidade 115 para obter o sinal de identidade necessário para ganhar acesso para a parte de suporte 120.
Em algumas modalidades, a máquina do principal 111 pode encaminhar a política de segurança da parte de suporte 120 ao sistema de geração de DIR 164. Então, o sistema de geração de DIR 164 pode verificar o armazenamento de dados de identidade 168 para determinar se as declarações e outras exigências apresentadas na política de segurança podem ser satisfeitas. Se for o caso, uma DIR que satisfaz a política de segurança será cri- ada. Desta maneira, um principal pode obter uma DIR com base na necessidade, indepen- dente se o administrador pré-configurou um descritor de identidade que satisfaz as necessi- dades da política de segurança daquela parte de suporte em particular.
Agora, em relação à figura 8, um outro método exemplar 800 é mostrado. Na etapa 810, uma política é ajustada para um grupo de indivíduos efetivos, autorizando o grupo de indivíduos efetivos que uma DIR está disponível. Em relação ao sistema exemplar 100 da figura 1, um administrador pode usar o sistema administrador para estabelecer uma política no armazenamento de dados de identidade 168 que autoriza todos os indivíduos efetivos, que são parte de um grupo em particular, a receber uma DIR em particular. Em algumas modalidades, isto pode ser realizado por um administrador que usa o recurso da "Política de Grupo" disponível no Diretório Ativo 169 ou outro dispositivo para iniciar uma aplicação no lado do cliente residente na máquina do principal 111. Na etapa 820, o grupo de indivíduos efetivos para quem a DIR fica disponível é notificado. No exemplo exposto, a aplicação no lado do cliente residente na máquina do principal 111 é ativada. Isto pode resultar no princi- pal 110 sendo informado de que uma DIR está agora disponível (por exemplo, por meio de uma mensagem instantânea, de um ícone na barra de ferramentas, etc.). A aplicação no lado do cliente pode ter seu próprio conjunto de regras (por exemplo, capacidade de o prin- cipal 110 escolher ser lembrado posteriormente, fornecer ao principal 110 somente uma cer- ta quantidade de tempo para recuperar a nova DIR, etc.). Na etapa 830, uma solicitação de pelo menos um primeiro principal no grupo de indivíduos efetivos é recebida para criar a DIR. Em algumas modalidades, isto pode envolver o usuário autorizar a criação da DIR por meio da aplicação no lado do cliente residente na máquina do principal 111. Em outras mo- dalidades, a aplicação no lado do cliente pode solicitar a DIR sem envolvimento adicional do principal 110. Na etapa 840, a DIR é criada para o primeiro principal.
A figura 9 ilustra um dispositivo de computação geral 900 (aqui também chamado de um computador ou sistema computador), que pode ser usado para implementar as mo- dalidades aqui descritas. O dispositivo de computação 900 é somente um exemplo de um ambiente de computação e não pretende-se que sugira nenhuma limitação no escopo do uso ou na funcionalidade das arquiteturas de computador e de rede. Nem deve o dispositivo de computação 900 ser interpretado com nenhuma dependência ou exigência relacionadas a nenhum dos componentes, ou combinações deles, ilustrados no dispositivo de computa- ção de exemplo 900. Em modalidades, o dispositivo de computação 900 pode ser usado, por exemplo, como uma máquina do principal 111, sistema de geração de DIR 164, sistema de captura de dados 162, IIS 166, armazenamento de dados de identidade 168, diretório ativo 169, sistema administrador 160, fornecedor de identidade 115 ou parte de suporte 120, da forma supradescrita em relação à figura 1.
Na sua configuração mais básica, o dispositivo de computação 900 inclui, tipica- mente, pelo menos uma unidade de processamento 902 e memória 904. Dependendo da exata configuração e tipo de dispositivo de computação, a memória 904 pode ser volátil (tal como RAM), não volátil (tal como ROM, memória flash, etc.) ou alguma combinação das duas. Esta configuração mais básica é ilustrada na figura 9 pela linha tracejada 906. A me- mória do sistema 904 armazena aplicações que estão em execução no dispositivo de com- putação 900. Além das aplicações, a memória 904 também pode armazenar informação que é usada em operações que são realizadas pelo dispositivo de computação 900, tal como uma solicitação de criação de DIR 910 e/ou uma notificação de disponibilidade de DIR 911, da forma descrita a seguir em relação às figuras 1-8.
Adicionalmente, o dispositivo de computação 900 também pode ter recursos / fun- cionalidades adicionais. Por exemplo, o dispositivo de computação 900 também pode incluir armazenamento adicional 908 (removível e/ou não removível) incluindo, mas sem limita- ções, discos ou fitas magnéticos ou óticos. Tal armazenamento adicional é ilustrado na figu- ra 9 pelo armazenamento 908. A mídia de armazenamento no computador inclui mídia volá- til e não volátil, removível e não removível implementada em qualquer método ou tecnologia para armazenamento de informação, tais como instruções legíveis por computador, estrutu- ras de dados, módulos de programa ou outros dados. A memória 904 e o armazenamento 908 são exemplos de mídia de armazenamento no computador. A mídia de armazenamento no computador inclui, mas sem limitações, RAM, ROM, EEPROM, memória flash ou outra tecnologia de memória, CD-ROM, discos versáteis digitais (DVD) ou outro armazenamento ótico, cassetes magnéticos, fita magnética, armazenamento em disco magnético ou outros dispositivos de armazenamento magnético, ou qualquer outra mídia que possa ser usada para armazenar a informação desejada e que possa ser acessada pelo dispositivo de com- putação 900. Qualquer tal mídia de armazenamento no computador pode ser parte do dis- positivo de computação 900.
Versados na técnica percebem que o armazenamento 908 pode armazenar uma variedade de informação. Entre outros tipos de informação, o armazenamento 908 pode armazenar uma representação de identidade digital 930 (por exemplo, no caso de uma má- quina do principal) ou um sinal de identidade 945 (por exemplo, no caso de um fornecedor de identidade).
O dispositivo de computação 900 também pode conter conexão(s) de comunica- ções 912 que permite(m) que o sistema comunique com outros dispositivos. A(s) conexão(s) de comunicações 912 é(são) um exemplo de mídia de comunicação. Tipicamente, mídia de comunicação incorpora instruções legíveis por computador, estruturas de dados, módulos de programa ou outros dados em um sinal de dados modulado, tais como uma onda porta- dora ou outro mecanismo de transporte, e inclui qualquer mídia de distribuição de informa- ção. O termo "sinal de dados modulado" significa um sinal que tem uma ou mais das suas características ajustadas ou mudadas de uma maneira tal para codificar informação no sinal. A título de exemplo, e sem limitações, mídia de comunicação inclui mídia com fios, tais co- mo conexão de rede com fios ou direta com fios, e mídia sem fios, tais como acústica, RF1 infravermelho e outra mídia sem fios. O termo mídia legível por computador, da forma aqui usada, inclui tanto mídia de armazenamento quanto mídia de comunicação.
O dispositivo de computação 900 também pode ter dispositivo(s) de entrada 914, tais como um teclado, mouse, caneta, dispositivo de entrada por voz, dispositivo de entrada por toque, etc. Dispositivo(s) de saída 916, tais como uma tela, alto-falantes, impressora, etc., também pode(m) ser incluídos. Todos estes dispositivos são bem conhecidos na tecno- logia e não precisam ser detalhadamente aqui discutidos.
As várias modalidades supradescritas são fornecidas somente a título de ilustração, e não devem ser interpretadas como limitantes. Versados na técnica percebem prontamente várias modificações e mudanças que podem ser feitas nas modalidades supradescritas sem fugir dos verdadeiros espírito e escopo da divulgação ou das seguintes declarações.

Claims (20)

1. Sistema (100) para o fornecimento de representação de identidade digital (930) para um principal (110), CARACTERIZADO pelo fato de que compreende: um sistema de geração de representação de identidade digital (164) para gerar a representação de identidade digital (930); um fornecedor de identidade (115) para gerar um sinal de identidade (150) em res- posta à recepção de uma solicitação de sinal de identidade, em que a solicitação de sinal de identidade é gerada em resposta à seleção da representação de identidade digital (930); e um armazenamento de dados de identidade (168), operativamente conectado no fornecedor de identidade (115) e no sistema de geração de representação de identidade digital (164); em que o sistema de geração de representação de identidade digital (164) acessa o armazenamento de dados de identidade (168) na geração da representação de identidade digital (930) e o fornecedor de identidade (115) acessa o armazenamento de dados de iden- tidade (168) na geração do sinal de identidade (150).
2. Sistema, de acordo com a declaração 1, CARACTERIZADO pelo fato de que o sistema de geração de representação de identidade digital é adicionalmente adaptado para: receber uma solicitação, por meio de um primeiro canal, para criar a representação de identidade digital para o principal; emitir uma notificação, por meio de um segundo canal, de que a representação de identidade digital foi solicitada; e receber uma aprovação para que a representação de identidade digital seja criada.
3. Sistema, de acordo com a declaração 1, CARACTERIZADO pelo fato de que o sistema de geração de representação de identidade digital é adicionalmente adaptado para: emitir uma notificação de que uma ou mais representações de identidade digital es- tão disponíveis para o principal; e receber uma solicitação para criar a uma ou mais representações de identidade di- gital.
4. Sistema, de acordo com a declaração 1, CARACTERIZADO pelo fato de que compreende adicionalmente uma máquina do principal, em que a máquina do principal é adaptada para: pesquisar o sistema de geração de representação de identidade digital para deter- minar se uma nova reprodução de identidade digital está disponível para o principal; solicitar que a nova representação de identidade digital seja criada; e receber a nova representação de identidade digital.
5. Sistema, de acordo com a declaração 1, CARACTERIZADO pelo fato de que compreende adicionalmente uma máquina do administrador controlada por um administra- dor e adaptada para estabelecer uma política em que permite-se que um grupo de indiví- duos efetivos acesse a representação de identidade digital, e em que o grupo de indivíduos efetivos é notificado de que a representação de identidade digital está disponível, e que o sistema de geração de representação de identidade digital está adaptado para receber uma solicitação de pelo menos um primeiro principal no grupo de indivíduos efetivos para criar a representação de identidade digital.
6. Sistema, de acordo com a declaração 1, CARACTERIZADO pelo fato de que o armazenamento de dados de identidade inclui pelo menos uma primeira categoria de dados e uma segunda categoria de dados, compreendendo adicionalmente: uma máquina de administrador operativamente conectada no armazenamento de dados de identidade para criar uma mudança pelo menos na primeira categoria de dados; em que, depois da mudança, o sistema de geração de representação de identidade digital gera representações de identidade digital que refletem a mudança, e o fornecedor de identidade gera sinais de identidade que refletem a mudança.
7. Sistema, de acordo com a declaração 6, CARACTERIZADO pelo fato de que se a mudança afetar a validade de alguma representação de identidade digital já gerada pelo sistema de geração de representação de identidade digital, o sistema de geração de repre- sentação de identidade digital notifica cada principal que recebeu a representação de identi- dade digital afetada e cria uma nova representação de identidade digital que reflete a mu- dança.
8. Sistema, de acordo com a declaração 1, CARACTERIZADO pelo fato de que o sistema de geração de representação de identidade digital é adicionalmente adaptado para proteger criptograficamente a representação de identidade digital e transmitir a representa- ção de identidade digital criptograficamente protegida para uma máquina do principal.
9. Sistema, de acordo com a declaração 1, CARACTERIZADO pelo fato de que compreende adicionalmente: uma máquina do administrador para criar um primeiro descritor de representação de identidade digital; e uma máquina do principal para solicitar uma representação de identidade digital que está em conformidade com o primeiro descritor de representação de identidade digital.
10. Método (300) para o fornecimento de uma representação de identidade digital para um principal, CARACTERIZADO pelo fato de que compreende: autenticar (330) o principal em um sistema de geração de representação de identi- dade digital (164) usando uma informação de conexão; receber (370) uma solicitação para uma representação de identidade digital (930); gerar (380) a representação de identidade digital (930) para o principal (110), em que a representação de identidade digital (930) inclui pelo menos parte da informação de conexão.
11. Método, de acordo com a declaração 10, CARACTERIZADO pelo fato de que a informação de conexão compreende pelo menos parte da informação de conexão usada para conectar em uma máquina do principal.
12. Método, de acordo com a declaração 10, CARACTERIZADO pelo fato de que compreende adicionalmente a etapa de: criar um primeiro descritor de representação de identidade digital; em que a representação de identidade digital solicitada está em conformidade com o primeiro descritor de representação de identidade digital.
13. Método, de acordo com a declaração 10, CARACTERIZADO pelo fato de que compreende adicionalmente a etapa, antes da etapa de autenticação, de: emitir uma notificação ao principal de que a representação de identidade digital está disponível para o principal.
14. Método, de acordo com a declaração 10, CARACTERIZADO pelo fato de que a etapa de receber uma solicitação compreende receber a solicitação pela representação de identidade digital por meio de um primeiro canal, e compreende adicionalmente as etapas de: emitir uma notificação, por meio de um segundo canal, de que a representação de identidade digital foi solicitada; e receber aprovação para que a representação de identidade digital seja gerada.
15. Método, de acordo com a declaração 10, CARACTERIZADO pelo fato de que compreende adicionalmente a etapa, antes da etapa de geração, de: determinar se o principal é um elemento de um grupo aprovado para receber a re- presentação de identidade digital.
16. Método, de acordo com a declaração 10, CARACTERIZADO pelo fato de que compreende adicionalmente a etapa de: responder a uma solicitação se alguma representação de identidade digital está disponível para o principal.
17. Método (300) para o fornecimento de uma representação de identidade digital (930) para um principal (110), CARACTERIZADO pelo fato de que compreende as etapas de: gerar (350) um primeiro descritor de representação de identidade digital e um se- gundo descritor de representação de identidade digital; transmitir (360) os primeiro e segundo descritores de representação de identidade digital para o principal (110); receber (370) uma solicitação do principal (110) por pelo menos uma primeira re- presentação de identidade digital (930) que está em conformidade com o primeiro descritor de representação de identidade digital; criar pelo menos a primeira representação de identidade digital (930).
18. Método, de acordo com a declaração 17, CARACTERIZADO pelo fato de que a solicitação é recebida por meio de um primeiro canal e compreende adicionalmente as eta- pas de: emitir uma notificação, por meio de um segundo canal, de que a primeira represen- tação de identidade digital foi solicitada; e receber aprovação para que a primeira representação de identidade digital seja ge- rada.
19. Método (700) para o fornecimento de uma representação de identidade digital (930) para um principal (110), CARACTERIZADO pelo fato de que compreende as etapas de: solicitar (710) acesso a uma parte de suporte (120); receber (720) da parte de suporte (120) uma negação de acesso; solicitar (730) de um sistema de geração de representação de identidade digital (164) uma representação de identidade digital (930) que é suficiente para ganhar o acesso à parte de suporte (120); receber (740) a representação de identidade digital (930).
20. Método, de acordo com a declaração 19, CARACTERIZADO pelo fato de que a etapa de receber da parte de suporte uma negação de acesso inclui receber uma política de segurança da parte de suporte e compreende adicionalmente as etapas de: transmitir a representação de identidade digital para um fornecedor de identidade; e obter um sinal de identidade que satisfaz a política de segurança da parte de supor- te.
BRPI0806607-8A 2007-01-18 2008-01-04 fornecimento de representações de identidade digital BRPI0806607A2 (pt)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US88559807P 2007-01-18 2007-01-18
US60/885,598 2007-01-18
US11/856,617 2007-09-17
US11/856,617 US8087072B2 (en) 2007-01-18 2007-09-17 Provisioning of digital identity representations
PCT/US2008/050204 WO2008088944A1 (en) 2007-01-18 2008-01-04 Provisioning of digital identity representations

Publications (1)

Publication Number Publication Date
BRPI0806607A2 true BRPI0806607A2 (pt) 2011-09-06

Family

ID=39636329

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0806607-8A BRPI0806607A2 (pt) 2007-01-18 2008-01-04 fornecimento de representações de identidade digital

Country Status (8)

Country Link
US (1) US8087072B2 (pt)
EP (1) EP2109955B1 (pt)
JP (1) JP5264775B2 (pt)
BR (1) BRPI0806607A2 (pt)
ES (1) ES2597815T3 (pt)
RU (1) RU2463715C2 (pt)
TW (1) TWI438642B (pt)
WO (1) WO2008088944A1 (pt)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8117459B2 (en) * 2006-02-24 2012-02-14 Microsoft Corporation Personal identification information schemas
US20070203852A1 (en) * 2006-02-24 2007-08-30 Microsoft Corporation Identity information including reputation information
US8104074B2 (en) 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
US8078880B2 (en) * 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US8407767B2 (en) * 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US8087072B2 (en) 2007-01-18 2011-12-27 Microsoft Corporation Provisioning of digital identity representations
US8689296B2 (en) * 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US8151324B2 (en) 2007-03-16 2012-04-03 Lloyd Leon Burch Remotable information cards
US20090249430A1 (en) * 2008-03-25 2009-10-01 Novell, Inc. Claim category handling
US20090204622A1 (en) * 2008-02-11 2009-08-13 Novell, Inc. Visual and non-visual cues for conveying state of information cards, electronic wallets, and keyrings
US20090077118A1 (en) * 2007-03-16 2009-03-19 Novell, Inc. Information card federation point tracking and management
US20090178112A1 (en) * 2007-03-16 2009-07-09 Novell, Inc. Level of service descriptors
US20090077627A1 (en) * 2007-03-16 2009-03-19 Novell, Inc. Information card federation point tracking and management
US20090077655A1 (en) * 2007-09-19 2009-03-19 Novell, Inc. Processing html extensions to enable support of information cards by a relying party
US8479254B2 (en) * 2007-03-16 2013-07-02 Apple Inc. Credential categorization
US8296245B2 (en) * 2008-01-03 2012-10-23 Kount Inc. Method and system for creation and validation of anonymous digital credentials
US20090199284A1 (en) * 2008-02-06 2009-08-06 Novell, Inc. Methods for setting and changing the user credential in information cards
US20090205035A1 (en) * 2008-02-11 2009-08-13 Novell, Inc. Info card selector reception of identity provider based data pertaining to info cards
US20090204542A1 (en) * 2008-02-11 2009-08-13 Novell, Inc. Privately sharing relying party reputation with information card selectors
US8079069B2 (en) 2008-03-24 2011-12-13 Oracle International Corporation Cardspace history validator
US20090272797A1 (en) * 2008-04-30 2009-11-05 Novell, Inc. A Delaware Corporation Dynamic information card rendering
US20100011409A1 (en) * 2008-07-09 2010-01-14 Novell, Inc. Non-interactive information card token generation
US20100031328A1 (en) * 2008-07-31 2010-02-04 Novell, Inc. Site-specific credential generation using information cards
US9003474B1 (en) * 2008-08-22 2015-04-07 Taser International, Inc. Systems and methods for managing disclosure of protectable information
US8561172B2 (en) * 2008-08-29 2013-10-15 Novell Intellectual Property Holdings, Inc. System and method for virtual information cards
US20100095372A1 (en) * 2008-10-09 2010-04-15 Novell, Inc. Trusted relying party proxy for information card tokens
US8171057B2 (en) * 2008-10-23 2012-05-01 Microsoft Corporation Modeling party identities in computer storage systems
US8083135B2 (en) * 2009-01-12 2011-12-27 Novell, Inc. Information card overlay
US8632003B2 (en) * 2009-01-27 2014-01-21 Novell, Inc. Multiple persona information cards
US20100251353A1 (en) * 2009-03-25 2010-09-30 Novell, Inc. User-authorized information card delegation
US20100287603A1 (en) * 2009-05-08 2010-11-11 Microsoft Corporation Flexible identity issuance system
DE102009031817A1 (de) * 2009-07-03 2011-01-05 Charismathics Gmbh Verfahren zur Ausstellung, Überprüfung und Verteilung von digitalen Zertifikaten für die Nutzung in Public-Key-Infrastrukturen
JP2011034529A (ja) * 2009-08-06 2011-02-17 Fuji Xerox Co Ltd 認証装置及び認証プログラム
US8959570B2 (en) * 2010-07-02 2015-02-17 International Business Machines Corporation Verifying a security token
US8830032B2 (en) * 2010-10-25 2014-09-09 International Business Machines Corporation Biometric-based identity confirmation
WO2013188301A2 (en) * 2012-06-13 2013-12-19 International Association Of Flight Training Professionals, Inc. Secure system and method for collecting, authenticating, and using personal data
US9264415B1 (en) 2012-07-11 2016-02-16 Microstrategy Incorporated User credentials
US9887992B1 (en) 2012-07-11 2018-02-06 Microstrategy Incorporated Sight codes for website authentication
US8775807B1 (en) 2012-10-26 2014-07-08 Microstrategy Incorporated Credential tracking
US9640001B1 (en) 2012-11-30 2017-05-02 Microstrategy Incorporated Time-varying representations of user credentials
US9154303B1 (en) * 2013-03-14 2015-10-06 Microstrategy Incorporated Third-party authorization of user credentials
CN105162747B (zh) * 2014-01-10 2019-12-24 北京华夏创新科技有限公司 用于压缩设备与解压缩设备探索及握手的系统和方法
US20160217459A1 (en) * 2015-01-28 2016-07-28 American Express Travel Related Services Company, Inc. Systems and methods for smart token allocation scheme
CN105100708B (zh) * 2015-06-26 2018-12-25 小米科技有限责任公司 请求处理方法及装置
US10542077B1 (en) * 2016-05-19 2020-01-21 Equinix, Inc. Event-driven notification and network service bus for a cloud exchange
US11177937B1 (en) * 2018-03-08 2021-11-16 Anonyome Labs, Inc. Apparatus and method for establishing trust of anonymous identities
US10771245B2 (en) * 2018-04-20 2020-09-08 Mastercard International Incorporated Systems and methods for use in computer network security

Family Cites Families (165)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5657388A (en) * 1993-05-25 1997-08-12 Security Dynamics Technologies, Inc. Method and apparatus for utilizing a token for resource access
US5442704A (en) * 1994-01-14 1995-08-15 Bull Nh Information Systems Inc. Secure memory card with programmed controlled security access control
US5473692A (en) * 1994-09-07 1995-12-05 Intel Corporation Roving software license for a hardware agent
CA2194475A1 (en) * 1994-07-19 1996-02-01 Frank W. Sudia Method for securely using digital signatures in a commercial cryptographic system
US5678015A (en) 1995-09-01 1997-10-14 Silicon Graphics, Inc. Four-dimensional graphical user interface
US5898435A (en) 1995-10-02 1999-04-27 Sony Corporation Image controlling device and image controlling method
US5796832A (en) * 1995-11-13 1998-08-18 Transaction Technology, Inc. Wireless transaction and information system
US6005939A (en) 1996-12-06 1999-12-21 International Business Machines Corporation Method and apparatus for storing an internet user's identity and access rights to world wide web resources
US5907838A (en) * 1996-12-10 1999-05-25 Seiko Epson Corporation Information search and collection method and system
US5887131A (en) * 1996-12-31 1999-03-23 Compaq Computer Corporation Method for controlling access to a computer system by utilizing an external device containing a hash value representation of a user password
US5995625A (en) 1997-03-24 1999-11-30 Certco, Llc Electronic cryptographic packing
US6016476A (en) * 1997-08-11 2000-01-18 International Business Machines Corporation Portable information and transaction processing system and method utilizing biometric authorization and digital certificate security
JP4313873B2 (ja) * 1998-01-30 2009-08-12 キヤノン株式会社 電子機器及びデータ処理方法
FR2776415A1 (fr) 1998-03-20 1999-09-24 Philips Consumer Communication Appareil electronique comportant un ecran et procede pour afficher des graphismes
US6161125A (en) 1998-05-14 2000-12-12 Sun Microsystems, Inc. Generic schema for storing configuration information on a client computer
US20020056043A1 (en) 1999-01-18 2002-05-09 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
JP2000215172A (ja) 1999-01-20 2000-08-04 Nec Corp 個人認証システム
US7083095B2 (en) * 1999-02-18 2006-08-01 Colin Hendrick System for automatic connection to a network
WO2000054127A1 (en) 1999-03-08 2000-09-14 Spyrus, Inc. Method and system for enforcing access to a computing resource using a licensing certificate
JP2000259278A (ja) * 1999-03-12 2000-09-22 Fujitsu Ltd 生体情報を用いて個人認証を行う認証装置および方法
US6553494B1 (en) * 1999-07-21 2003-04-22 Sensar, Inc. Method and apparatus for applying and verifying a biometric-based digital signature to an electronic document
US6526434B1 (en) * 1999-08-24 2003-02-25 International Business Machines Corporation System and method for efficient transfer of data blocks from client to server
US6785810B1 (en) * 1999-08-31 2004-08-31 Espoc, Inc. System and method for providing secure transmission, search, and storage of data
AU7621300A (en) * 1999-09-28 2001-04-30 Chameleon Network Inc. Portable electronic authorization system and associated method
WO2001029641A2 (en) 1999-10-20 2001-04-26 Koninklijke Philips Electronics N.V. Information processing device
JP3580200B2 (ja) * 1999-10-28 2004-10-20 ブラザー工業株式会社 記録情報処理装置および記録情報処理プログラムを記録したコンピュータ読み取り可能な記録媒体
US7680819B1 (en) * 1999-11-12 2010-03-16 Novell, Inc. Managing digital identity information
AU1145900A (en) * 1999-11-19 2001-06-04 Swisscom Mobile Ag Method and system for ordering and delivering digital certificates
US6754829B1 (en) * 1999-12-14 2004-06-22 Intel Corporation Certificate-based authentication system for heterogeneous environments
US6738901B1 (en) * 1999-12-15 2004-05-18 3M Innovative Properties Company Smart card controlled internet access
US6856963B1 (en) * 2000-01-11 2005-02-15 Intel Corporation Facilitating electronic commerce through automated data-based reputation characterization
US6802002B1 (en) 2000-01-14 2004-10-05 Hewlett-Packard Development Company, L.P. Method and apparatus for providing field confidentiality in digital certificates
US6763459B1 (en) * 2000-01-14 2004-07-13 Hewlett-Packard Company, L.P. Lightweight public key infrastructure employing disposable certificates
US7020778B1 (en) * 2000-01-21 2006-03-28 Sonera Smarttrust Oy Method for issuing an electronic identity
EP2290577B1 (en) 2000-02-18 2017-08-16 Vasco Data Security International GmbH Token device having a USB connector
US20010034746A1 (en) 2000-02-26 2001-10-25 Alex Tsakiris Methods and systems for creating user-defined personal web cards
US6791583B2 (en) 2000-03-09 2004-09-14 Sun Microsystems, Inc. System and method for providing spatially distributed device interaction
US7409543B1 (en) * 2000-03-30 2008-08-05 Digitalpersona, Inc. Method and apparatus for using a third party authentication server
US6839690B1 (en) * 2000-04-11 2005-01-04 Pitney Bowes Inc. System for conducting business over the internet
US7000108B1 (en) * 2000-05-02 2006-02-14 International Business Machines Corporation System, apparatus and method for presentation and manipulation of personal information syntax objects
JP4586237B2 (ja) * 2000-05-23 2010-11-24 沖電気工業株式会社 生体照合システム
JP2001344205A (ja) 2000-05-31 2001-12-14 Nippon Telegr & Teleph Corp <Ntt> サービス提供システムおよびサービス提供方法ならびに記録媒体
US6895385B1 (en) * 2000-06-02 2005-05-17 Open Ratings Method and system for ascribing a reputation to an entity as a rater of other entities
US7028180B1 (en) * 2000-06-09 2006-04-11 Northrop Grumman Corporation System and method for usage of a role certificate in encryption and as a seal, digital stamp, and signature
US20020046041A1 (en) * 2000-06-23 2002-04-18 Ken Lang Automated reputation/trust service
US7424457B2 (en) 2000-08-08 2008-09-09 Squaretrade, Inc. Managing an electronic seal of certification
JP2002063530A (ja) * 2000-08-23 2002-02-28 Hitachi Ltd カード管理システム及びカード情報の処理方法
US6836765B1 (en) 2000-08-30 2004-12-28 Lester Sussman System and method for secure and address verifiable electronic commerce transactions
US6961857B1 (en) * 2000-09-28 2005-11-01 Cisco Technology, Inc. Authenticating endpoints of a voice over internet protocol call connection
JP2002132730A (ja) * 2000-10-20 2002-05-10 Hitachi Ltd 個人情報の信頼度および開示度による認証またはアクセス管理システム、および管理方法
US6877656B1 (en) 2000-10-24 2005-04-12 Capital One Financial Corporation Systems, methods, and apparatus for instant issuance of a credit card
GB0027685D0 (en) * 2000-11-13 2000-12-27 Canon Kk Filter based authoring tool
US7047418B1 (en) * 2000-11-29 2006-05-16 Applied Minds, Inc. Imaging method and device using biometric information for operator authentication
US6934913B2 (en) * 2000-12-07 2005-08-23 International Business Machines Corp. Graphical data entry screen
US20020103801A1 (en) * 2001-01-31 2002-08-01 Lyons Martha L. Centralized clearinghouse for community identity information
US20040205243A1 (en) * 2001-03-09 2004-10-14 Hans Hurvig System and a method for managing digital identities
US20020133535A1 (en) * 2001-03-14 2002-09-19 Microsoft Corporation Identity-centric data access
US6981043B2 (en) 2001-03-27 2005-12-27 International Business Machines Corporation Apparatus and method for managing multiple user identities on a networked computer system
US20020175916A1 (en) 2001-04-16 2002-11-28 Nichols Michael R. Method for presenting circular dialog windows
US7069447B1 (en) * 2001-05-11 2006-06-27 Rodney Joe Corder Apparatus and method for secure data storage
US7475429B2 (en) * 2001-06-12 2009-01-06 International Business Machines Corporation Method of invisibly embedding into a text document the license identification of the generating licensed software
US7533063B2 (en) 2001-06-14 2009-05-12 Silicon Storage Technology, Inc. Smart memory card wallet
US7509498B2 (en) * 2001-06-29 2009-03-24 Intel Corporation Digital signature validation
GB2377782A (en) * 2001-07-21 2003-01-22 Ibm Method and system for the communication of assured reputation information
US7356837B2 (en) * 2001-08-29 2008-04-08 Nader Asghari-Kamrani Centralized identification and authentication system and method
US20030046575A1 (en) * 2001-08-30 2003-03-06 International Business Machines Corporation Digital identity information cards
US20030048904A1 (en) * 2001-09-07 2003-03-13 Po-Tong Wang Web-based biometric authorization apparatus
US6993652B2 (en) * 2001-10-05 2006-01-31 General Instrument Corporation Method and system for providing client privacy when requesting content from a public server
US20030074660A1 (en) * 2001-10-12 2003-04-17 Liberate Technologies System method and apparatus for portable digital identity
US7103773B2 (en) 2001-10-26 2006-09-05 Hewlett-Packard Development Company, L.P. Message exchange in an information technology network
WO2003048892A2 (en) * 2001-11-14 2003-06-12 Mari Myra Shaw Access, identity, and ticketing system for providing multiple access methods for smart devices
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US20030135500A1 (en) 2002-01-07 2003-07-17 Henri Chevrel Integrated gas supply system and computer network for enhanced user service
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
FR2836251B1 (fr) 2002-02-18 2004-06-25 Gemplus Card Int Dispositif et procede de securisation de donnees sensibles, notamment entre deux parties via un organisme tiers
US20040054913A1 (en) * 2002-02-28 2004-03-18 West Mark Brian System and method for attaching un-forgeable biometric data to digital identity tokens and certificates, and validating the attached biometric data while validating digital identity tokens and certificates
US7308579B2 (en) * 2002-03-15 2007-12-11 Noel Abela Method and system for internationally providing trusted universal identification over a global communications network
WO2003079250A1 (fr) 2002-03-18 2003-09-25 Fujitsu Limited Systeme d'emission de cartes
US7512649B2 (en) 2002-03-22 2009-03-31 Sun Microsytems, Inc. Distributed identities
US7039701B2 (en) 2002-03-27 2006-05-02 International Business Machines Corporation Providing management functions in decentralized networks
US7162475B2 (en) * 2002-04-17 2007-01-09 Ackerman David M Method for user verification and authentication and multimedia processing for interactive database management and method for viewing the multimedia
US7096200B2 (en) 2002-04-23 2006-08-22 Microsoft Corporation System and method for evaluating and enhancing source anonymity for encrypted web traffic
US6993659B2 (en) * 2002-04-23 2006-01-31 Info Data, Inc. Independent biometric identification system
US7401235B2 (en) 2002-05-10 2008-07-15 Microsoft Corporation Persistent authorization context based on external authentication
US20030216136A1 (en) 2002-05-16 2003-11-20 International Business Machines Corporation Portable storage device for providing secure and mobile information
US20030233580A1 (en) 2002-05-29 2003-12-18 Keeler James D. Authorization and authentication of user access to a distributed network communication system with roaming features
US7793095B2 (en) 2002-06-06 2010-09-07 Hardt Dick C Distributed hierarchical identity management
KR100378445B1 (en) 2002-06-24 2003-03-29 C & C Entpr Co Ltd Method for managing card approval information using memory address and credit card system using the same
AU2003249211A1 (en) * 2002-07-12 2004-02-02 Checkspert, Inc. System and method for remote supervision and authentication of user activities at communication network workstations
US20040064708A1 (en) * 2002-09-30 2004-04-01 Compaq Information Technologies Group, L.P. Zero administrative interventions accounts
US20040103040A1 (en) * 2002-11-27 2004-05-27 Mostafa Ronaghi System, method and computer program product for a law community service system
WO2004036348A2 (en) 2002-10-15 2004-04-29 E2Open Llc Network directory for business process integration of trading partners
DE60312718D1 (de) * 2002-10-15 2007-05-03 Socket Communications Inc Zurückgestellte tupleraum-programmierung von erweiterungsmodulen
US6810480B1 (en) 2002-10-21 2004-10-26 Sprint Communications Company L.P. Verification of identity and continued presence of computer users
US7461051B2 (en) 2002-11-11 2008-12-02 Transparensee Systems, Inc. Search method and system and system using the same
US8065717B2 (en) * 2002-11-27 2011-11-22 Activcard Automated security token administrative services
US7284062B2 (en) * 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
US20040114571A1 (en) * 2002-12-13 2004-06-17 Timmins Timothy A. Information assistance system and method for effectively consulting multiple resources to assist a user to perform a task
GB0229894D0 (en) 2002-12-21 2003-01-29 Ibm Methods, apparatus and computer programs for generating and/or using conditional electronic signatures and/or for reporting status changes
US7467206B2 (en) * 2002-12-23 2008-12-16 Microsoft Corporation Reputation system for web services
US7703128B2 (en) * 2003-02-13 2010-04-20 Microsoft Corporation Digital identity management
US8255978B2 (en) 2003-03-11 2012-08-28 Innovatrend, Inc. Verified personal information database
US8014570B2 (en) * 2004-11-16 2011-09-06 Activcard, Inc. Method for improving false acceptance rate discriminating for biometric authentication systems
US8108920B2 (en) 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
US7406601B2 (en) 2003-05-23 2008-07-29 Activecard Ireland, Ltd. Secure messaging for security token
US7020474B2 (en) * 2003-06-25 2006-03-28 Cross Match Technologies, Inc. System and method for securing short-distance wireless communications, and applications thereof
GB2404535B (en) 2003-07-29 2006-07-19 Ncipher Corp Ltd Secure transmission of data within a distributed computer system
US6817521B1 (en) 2003-08-21 2004-11-16 International Business Machines Corporation Credit card application automation system
JP2005079912A (ja) * 2003-08-29 2005-03-24 Matsushita Electric Ind Co Ltd セキュアデータ管理装置
US7769594B2 (en) * 2003-09-05 2010-08-03 France Telecom Evaluation of reputation of an entity by a primary evaluation centre
WO2005038555A2 (en) * 2003-09-12 2005-04-28 Aristocrat Technologies Australia Pty Ltd Communications interface for a gaming machine
US20050074028A1 (en) * 2003-10-02 2005-04-07 Openwave System Inc. System and method for mobile access to resources
US7822988B2 (en) * 2003-10-23 2010-10-26 Microsoft Corporation Method and system for identity recognition
US7181472B2 (en) * 2003-10-23 2007-02-20 Microsoft Corporation Method and system for synchronizing identity information
US7631060B2 (en) * 2003-10-23 2009-12-08 Microsoft Corporation Identity system for use in a computing environment
US20050114447A1 (en) * 2003-10-24 2005-05-26 Kim Cameron Method and system for identity exchange and recognition for groups and group members
US7577659B2 (en) * 2003-10-24 2009-08-18 Microsoft Corporation Interoperable credential gathering and access modularity
US8190893B2 (en) * 2003-10-27 2012-05-29 Jp Morgan Chase Bank Portable security transaction protocol
US20050108575A1 (en) * 2003-11-18 2005-05-19 Yung Chong M. Apparatus, system, and method for faciliating authenticated communication between authentication realms
US7480265B2 (en) 2003-12-03 2009-01-20 Lenovo (Sinapore) Pte. Ltd. System and method for autonomic extensions to wake on wireless networks
US20050124320A1 (en) * 2003-12-09 2005-06-09 Johannes Ernst System and method for the light-weight management of identity and related information
US20050125677A1 (en) * 2003-12-09 2005-06-09 Michaelides Phyllis J. Generic token-based authentication system
US7146159B1 (en) 2003-12-23 2006-12-05 Sprint Communications Company L.P. Over-the-air card provisioning system and method
US7634801B2 (en) * 2004-01-09 2009-12-15 Panasonic Corporation Multifunction machine and personal authentication method of multifunction machine
US20050172229A1 (en) * 2004-01-29 2005-08-04 Arcot Systems, Inc. Browser user-interface security application
US7953759B2 (en) * 2004-02-17 2011-05-31 Microsoft Corporation Simplifying application access to schematized contact data
US7355110B2 (en) * 2004-02-25 2008-04-08 Michael Tepoe Nash Stringed musical instrument having a built in hand-held type computer
FR2867881B1 (fr) 2004-03-17 2006-06-30 Sagem Procede de controle d'identification de personnes et systeme pour la mise en oeuvre du procede
US20060010007A1 (en) * 2004-07-09 2006-01-12 Denman John F Process for using smart card technology in patient prescriptions, medical/dental/DME services processing and healthcare management
US20060080702A1 (en) * 2004-05-20 2006-04-13 Turner Broadcasting System, Inc. Systems and methods for delivering content over a network
US9245266B2 (en) 2004-06-16 2016-01-26 Callahan Cellular L.L.C. Auditable privacy policies in a distributed hierarchical identity management system
US8504704B2 (en) * 2004-06-16 2013-08-06 Dormarke Assets Limited Liability Company Distributed contact information management
US8527752B2 (en) * 2004-06-16 2013-09-03 Dormarke Assets Limited Liability Graduated authentication in an identity management system
JP2006139747A (ja) * 2004-08-30 2006-06-01 Kddi Corp 通信システムおよび安全性保証装置
US7774365B2 (en) * 2004-08-31 2010-08-10 Morgan Stanley Organizational reference data and entitlement system
US7451921B2 (en) * 2004-09-01 2008-11-18 Eric Morgan Dowling Methods, smart cards, and systems for providing portable computer, VoIP, and application services
CN1642083A (zh) * 2004-09-23 2005-07-20 华为技术有限公司 网络侧选择鉴权方式的方法
US20060206723A1 (en) 2004-12-07 2006-09-14 Gil Youn H Method and system for integrated authentication using biometrics
US20060129509A1 (en) * 2004-12-09 2006-06-15 Calpine Corporation, A Delaware Corporation Database schema
US8700729B2 (en) * 2005-01-21 2014-04-15 Robin Dua Method and apparatus for managing credentials through a wireless network
US8365293B2 (en) * 2005-01-25 2013-01-29 Redphone Security, Inc. Securing computer network interactions between entities with authorization assurances
US20060174350A1 (en) * 2005-02-03 2006-08-03 Navio Systems, Inc. Methods and apparatus for optimizing identity management
US20060206724A1 (en) 2005-02-16 2006-09-14 David Schaufele Biometric-based systems and methods for identity verification
US7555784B2 (en) 2005-03-04 2009-06-30 Microsoft Corporation Method and system for safely disclosing identity over the internet
US8032562B2 (en) 2005-03-29 2011-10-04 Microsoft Corporation Identity management user experience
US7748046B2 (en) 2005-04-29 2010-06-29 Microsoft Corporation Security claim transformation with intermediate claims
US20060253582A1 (en) 2005-05-03 2006-11-09 Dixon Christopher J Indicating website reputations within search results
US7707626B2 (en) 2005-06-01 2010-04-27 At&T Corp. Authentication management platform for managed security service providers
US7844816B2 (en) 2005-06-08 2010-11-30 International Business Machines Corporation Relying party trust anchor based public key technology framework
WO2007002196A2 (en) * 2005-06-21 2007-01-04 Corestreet, Ltd. Preventing identity theft
US7788499B2 (en) * 2005-12-19 2010-08-31 Microsoft Corporation Security tokens including displayable claims
CN1794284B (zh) 2005-12-26 2010-09-15 上海洲信信息技术有限公司 实现电子邮箱的单账户多用户名的方法及系统
US9112705B2 (en) 2006-02-15 2015-08-18 Nec Corporation ID system and program, and ID method
US20100227680A1 (en) 2006-02-20 2010-09-09 Wms Gaming Inc. Wagering game machine wireless key
US8104074B2 (en) * 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
US20070203852A1 (en) 2006-02-24 2007-08-30 Microsoft Corporation Identity information including reputation information
US8117459B2 (en) * 2006-02-24 2012-02-14 Microsoft Corporation Personal identification information schemas
US20070300183A1 (en) 2006-06-21 2007-12-27 Nokia Corporation Pop-up notification for an incoming message
US8078880B2 (en) * 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US20080034412A1 (en) * 2006-08-02 2008-02-07 Informed Control Inc. System to prevent misuse of access rights in a single sign on environment
GB0621189D0 (en) * 2006-10-25 2006-12-06 Payfont Ltd Secure authentication and payment system
US8407767B2 (en) * 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US8087072B2 (en) 2007-01-18 2011-12-27 Microsoft Corporation Provisioning of digital identity representations
US8689296B2 (en) 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US20080289020A1 (en) 2007-05-15 2008-11-20 Microsoft Corporation Identity Tokens Using Biometric Representations

Also Published As

Publication number Publication date
EP2109955A1 (en) 2009-10-21
JP2010517140A (ja) 2010-05-20
RU2463715C2 (ru) 2012-10-10
US8087072B2 (en) 2011-12-27
EP2109955B1 (en) 2016-07-20
US20080178271A1 (en) 2008-07-24
JP5264775B2 (ja) 2013-08-14
ES2597815T3 (es) 2017-01-23
WO2008088944A1 (en) 2008-07-24
EP2109955A4 (en) 2011-08-17
TW200842648A (en) 2008-11-01
RU2009127801A (ru) 2011-01-27
TWI438642B (zh) 2014-05-21

Similar Documents

Publication Publication Date Title
BRPI0806607A2 (pt) fornecimento de representações de identidade digital
US8407767B2 (en) Provisioning of digital identity representations
US11102189B2 (en) Techniques for delegation of access privileges
US10148644B2 (en) Information processing apparatus and method of controlling the same
JP5795604B2 (ja) アプリケーションおよびインターネットベースのサービスに対する信頼されるシングル・サインオン・アクセスを提供するための方法および装置
US9064105B2 (en) Information processing apparatus, control method therefor, and program
US8973108B1 (en) Use of metadata for computing resource access
TWI400922B (zh) 在聯盟中主用者之認證
US7870597B2 (en) Method and apparatus for managing digital identities through a single interface
US20080320566A1 (en) Device provisioning and domain join emulation over non-secured networks
US20060059544A1 (en) Distributed secure repository
JP2017033339A (ja) サービス提供システム、情報処理装置、プログラム及びサービス利用情報作成方法
US20220173891A1 (en) Apparatus and method for managing personal information
US7503061B2 (en) Secure resource access
CN101601022B (zh) 数字身份表示的供应
WO2023160632A1 (zh) 针对飞地实例的云服务访问权限设置方法和云管理平台

Legal Events

Date Code Title Description
B08F Application fees: application dismissed [chapter 8.6 patent gazette]

Free format text: REFERENTE A 9A ANUIDADE.

B08K Patent lapsed as no evidence of payment of the annual fee has been furnished to inpi [chapter 8.11 patent gazette]