CN101084642B - 用于身份识别的方法和系统 - Google Patents
用于身份识别的方法和系统 Download PDFInfo
- Publication number
- CN101084642B CN101084642B CN2004800013928A CN200480001392A CN101084642B CN 101084642 B CN101084642 B CN 101084642B CN 2004800013928 A CN2004800013928 A CN 2004800013928A CN 200480001392 A CN200480001392 A CN 200480001392A CN 101084642 B CN101084642 B CN 101084642B
- Authority
- CN
- China
- Prior art keywords
- identity information
- documents
- information
- identity
- self
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000004044 response Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000004891 communication Methods 0.000 description 10
- 230000007246 mechanism Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000009471 action Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000010365 information processing Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000005538 encapsulation Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 239000004744 fabric Substances 0.000 description 2
- 230000008450 motivation Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012856 packing Methods 0.000 description 1
- 230000005855 radiation Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000001131 transforming effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Business, Economics & Management (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Tourism & Hospitality (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
根据各个方面,本发明涉及发送身份信息文档的方法和系统,它包括从自识别信息存储器中选择身份信息以包括在该身份信息文档中。选定的身份信息从自识别信息存储器中读取。身份信息文档被生成包括选定身份信息以及一个或多个密钥,并使用与包括在身份信息文档中的密钥之一相关联的密钥签名。然后将身份信息文档发送给接收者。接收身份信息文档包括接收来自始发者的经签名身份信息文档。要判断身份信息文档中的身份信息是否可靠。如果身份信息被判定可靠,则该身份信息被存储到经识别身份信息的存储器中。如果身份信息被判定不可靠,则从发送者处检索的身份识别号与由接收者产生的身份识别号基于已接收的身份信息文档进行比较。如果身份识别号被证实,则将身份信息存储在经识别的身份信息存储器中。
Description
技术领域
本发明一般涉及计算机和网络安全域,尤其涉及在不同的计算机系统之间交换用户控制的身份信息。
背景技术
常常需要与网络上的用户共享计算机的资源,这些用户在从中要共享资源的计算机上并没有任何显示。例如,公司、大学、或其它机构可具有连接到由雇员、学生、或其它个人使用的某些类型网络的一个或多个服务器。包括个人的各个实体在因特网或其它网络上共享信息或资源。有线或无线网络正变得越来越普遍以在家庭或大范围的装置上使用,从个人计算机到家用电器正在或将通过这些网络连接并访问。当对更广泛的各种资源的比较容易的访问变得可用时,这些资源之间的安全共享和协作就变得更重要了。
这些资源之间的安全共享和协作的一个障碍与对尝试访问所提供资源的各种实体的识别和验证有关。换言之,必须注意确定并确保尝试访问计算机上资源的实体是它所声明的实体并具有访问那些资源所需的授权。已使用了识别实体并准予授权的各种方法。
识别实体并准予对其授权的一种方法涉及系统的帐户和密码设置以定义安全域。例如,一公司可能想要产生服务器或网络的一安全域,其中该安全域包括该公司的每个全职雇员。运行该安全域的诸如系统管理员,给每个雇员一个通常包括用户名和密码的帐户,并建立控制通过这些帐户访问资源的政策。一旦安全域适当,域成员可给予对资源的访问,而无帐户的人则被排除在外。
然而,基于帐户系统的安全域需要用户记住各个用户名和密码是麻烦的。此外,基于帐户系统的安全域对想要在诸如因特网的网络上共享信息或资源的个人而言并不是一个好模型。另外,由于各种商业原因,可能需要用从因特网上选择的个人来扩展甚至替换传统的封闭性安全域。例如,可能需要建立一项目,其中雇员、外部承包人、以及其它个人或实体可成为虚拟团队的一部分,来访问共享的文档、通信和其它资源。
尽管假设使用具有有效用户名和密码的帐户来访问资源的任何人是该帐户的所有人是相对简单的,但是识别不是传统封闭性安全域一部分的特征是非常困难的。公共密钥基础结构已被用作标识和验证实体的一种方法。公共密钥基础结构基于证明或推荐权威和这些系统的用户之间的信任关系。然而,理解、自引导(bootstrap)、以及管理这些基础结构是复杂的。因此,公共密钥基础结构并未变成用于识别计算机用户的主流技术,因为它们没有提供使用可用于各种类型实体的身份识别系统的一种简便方法。作出本发明正是出于这些和其它考虑。
发明内容
以上和其它问题由一种系统和方法解决,该系统和方法用于由接收者对发送者的身份识别,以及利用由该发送者签名的身份信息作的身份信息交换。有关当事者的选定身份信息被包括在身份信息文档中,该身份信息文档可在计算机系统之间交换并用于当事者的识别。身份识别并不包括授权。在本发明中,发送者的验证(即身份识别)以及发送者访问接收者资源的授权是独立的。
根据其它方面,本发明涉及一种发送身份信息文档的方法,它包括从自识别(Self-identity)信息存储器中选择身份信息以包括在该身份信息文档中。选定的身份信息从自识别信息存储器中读取,而身份信息文档被生成包括选定身份信息以及至少一个诸如公钥的第一密钥。身份信息文档具有由发送者使用诸如私钥的第二密钥签名的数字签名,该第二密钥与包括在身份信息文档中的第一密钥相关联。然后将身份信息文档发送给接收者。
根据本发明的另一方面,接收身份信息文档的方法包括接收来自始发者或发送者的经签名身份信息文档。要判断身份信息文档中传达的身份信息是否可靠。如果身份信息被判定可靠,则该身份信息被存储到经识别身份信息的存储器中。在始发者尝试再次连接到接收者计算机系统时,该经识别身份信息存储器被用于始发者后来的识别和验证。
又根据其它方面,本发明涉及用于发送身份信息文档的系统。该系统包括处理器、与处理器相连的信道、以及与处理器耦合并可由其读取的存储器。存储器包含一系列指令,它们在由处理器执行时使得处理器从自识别信息存储器中选择身份信息,以包括在身份信息文档中。选定的身份信息从自识别信息存储器中读取,而身份信息文档被生成包括选定身份信息以及至少一个第一密钥。身份信息文档具有使用第二密钥签名的数字签名,该第二密钥与包括在身份信息文档中的第一密钥成对。然后将身份信息文档发送给与信道相连的接收者。
再根据其它方面,本发明涉及用于接收身份信息文档的系统。该系统包括处理器、与处理器相连的信道、以及与处理器耦合并可由其读取的存储器。存储器包含一系列指令,它们在由处理器执行时使得处理器接收来自始发者或发送者的经签名身份信息文档。要判断身份信息文档中传达的身份信息是否可靠。如果身份信息被判定可靠,则该身份信息被存储到经识别身份信息的存储器中。在始发者尝试再次连接到接收者计算机系统时,该经识别身份信息存储器被用于始发者后来的识别和验证。
本发明可被实现为计算机进程、计算系统、或者诸如计算机程序产品或计算机可读介质的制造品。计算机可读介质可以是计算机系统可读的并编码用于执行计算机进程的指令的计算机程序的计算机存储介质。计算机可读介质还可以是计算系统可读的并编码用于执行计算机进程的指令的计算机程序的载波上的传播信号。
参阅以下详细描述和附图,描绘本发明的这些和各种其它特征、以及优点将变得显然。
附图说明
图1在概念级别上示出了根据本发明一实施例用于身份识别的系统。
图2示出了在其上可实现本发明诸实施例的适当计算系统环境的一示例。
图3示出了根据本发明一实施例用于身份识别的系统的示例性软件组件。
图4是示出根据本发明一实施例起动身份信息交换的流程图。
图5是示出根据本发明一实施例接收身份信息的流程图。
图6示出了根据本发明一实施例用于身份信息文档的示例性格式。
具体实施方式
在描述本发明的各个实施例之前,将定义在本说明书中使用的某些术语。
“身份信息”是有关身份信息系统中当事者的信息集合,通过该系统当事者或其代理能够控制要传送到接收装置的信息,并指示该信息的预期使用。
“身份信息文档”是从一装置传送到另一装置的当事者身份信息的子集,以便使接收装置能够呈现该身份信息文档的始发者并随后识别始发者已起动或响应的数字事件。
“当事者”是能够数字化动作的任何实体。当事者包括个人、团体或个人意义上的集合、机构、外在组织和人们、公众人物或共有某类特性的人、以及这些个人动作所需的各种电子设备。
图1在概念级别上示出了根据本发明一实施例用于身份识别的系统。该示例示出了通过网络111或其它信道连接的起动系统101和接收系统106。将要变得显而易见的是,大多数装置在不同时间可分别像起动系统101和接收系统106一样发挥功能。然而,为了简便起见,这些功能在此分开示出。此外,网络111可以是包括因特网的任何类型网络,或者可以是适于在起动系统101和接收系统106之间建立通信的某些其它类型信道。
起动系统101保持一自识别信息集102。该自识别信息102可包括有关由或使用起动系统101呈现的当事者的各种信息。例如,该信息可包括姓名、电子邮件地址、网站URL、其它个人信息、以及描述如何使用该信息的使用政策。这些不同的识别元素在此被称为身份声明。
包含部分或全部自识别信息102的身份信息文档105被创建。在一实施例中,身份信息文档105响应于来自接收系统106的请求而创建。因此,当由或使用起动系统101呈现的当事者想要向诸如接收系统106的另一系统发送身份信息时,用户选择要从自识别信息102发送的信息。换言之,在产生身份信息文档105时,当事者具有控制来自自识别信息102的信息揭示能力。因此,当事者可有选择地向不同接收者揭示不同的身份数据子集,并表达它们要如何使用被揭示信息的意图。此外,这允许“渐进式揭示”,其中当事者可发送包含少量信息的第一身份信息文档,而在后来有理由揭露更多信息的某个时间再揭露更多信息。
在一特定实施例中,当产生身份信息文档时,使用创建该身份信息文档的当事者的私钥来以数字签名在全身份信息文档上签名。因此,身份信息文档被称为是自签名的。在另一实施例中,当产生身份信息文档时,全身份信息文档具有用已为创建该身份信息文档的当事者签发身份声明的机构的私钥签名的数字签名。在此情形中,身份信息文档被称为由机构签名。类似地,对已共享身份信息文档的更新或渐进式揭示将使用用以对原有共享身份信息签名的私钥来签名。与签名私钥成对的公钥可以各种方式分发,包括作为身份信息文档的一部分。或者,可使用不是公/私钥系统的密钥配置。例如,可使用私钥集。
起动系统101从自识别信息102产生经签名的身份信息文档105,并通过网络111向接收系统发送。根据一实施例,身份信息可包括能使用任何信道发送给接收系统106的可扩展标记语言(XML)文件或文本文件。身份信息文档105的一可能格式的细节将参照图6在后面讨论。然而,一般而言,身份信息105可以是适于在各种类型信道上不同系统之间传送信息的格式。如上所述,用以从起动系统101将身份信息文档105传送到接收系统106的信道可以是各种可能介质的任一种。例如,电子邮件、即时信息、幅射、专用线或许多其它机制都可用作信道。此外,信道可能安全,也可能是不安全的。
接收系统106读取输入的身份信息文档105并接收或拒绝它。在一典型情景中,身份信息文档105源自一已知当事者,且接收系统106将对身份信息文档105的真实性有一很好的判断。然而,如果身份信息文档105来自一未知当事者,或者如果担心冒名顶替者有充分动机来打开、修改或伪造身份信息文档105,接收系统106可拒绝身份信息文档105或寻求其真实性的进一步验证。该验证的细节将参照图3-6在后面讨论。
一旦接受了身份信息文档,它所包含的信息将被添加到接收系统106的经识别身份信息107中。一旦身份信息文档105已被加入经识别身份信息107的列表中,接收系统106就可使用它所包含的信息以在以后验证起动系统101,并使用与另外可能不受信任的当事者交互的信道。例如,由身份信息文档105呈现的当事者可给予对接收系统106上资源的访问,诸如日程安排或文档。或者,当事者可接受质询,且如果质询得到满足,则获得对接受系统上资源的访问授权。相反,由或使用已被接收系统106接受的未提供身份信息文档的未经识别系统110所呈现的未经识别当事者可被排除在接收系统106的资源之外。类似地,由或使用已被接收系统106接受的提供身份信息文档的已识别系统110所呈现的已识别当事者也可有目的地被排除在接收系统106的资源之外。
通过使用身份信息文档105而对当事者的识别,以及将身份信息引入已识别身份信息列表107并不会自动向该当事者提供任何有关接收系统106或对其访问的权利。它仅提供接收系统106以后识别并验证当事者的能力。识别或验证的确提供对文件共享、加密邮件的发送、对先前共享身份信息的自动更新等的授权的可能性。可识别任何人。识别仅隐含了接收系统106知道其处理的是谁,而不是给予当事者的任何访问权。识别当事者并未隐含给予它们任何访问权。在授权之后或在有用或安全时可给予它们访问权。
因而身份识别在一个方向上工作。因此有必要要求起动系统101和接收系统106之间身份信息的双向交换,以便身份识别在两个方向上都能有效工作。对接收系统106而言,身份信息文档105从起动系统101到接收系统106的单向交换足以标识由或使用起动系统101呈现的当事者,并按需处理该当事者。
如果可识别当事者的身份并可按需准许或拒绝访问,或者如果需要其它的授权过程,基于身份信息文档105和已识别身份列表107允许对接收系统106资源的访问并不会危及安全。此外,可将任何未经识别的当事者排除在外。
图2示出了其上可实现本发明诸实施例的适当计算系统环境的示例。该系统200可用以作为如上所述的起动系统和/或接收系统的代表。在其最基本配置中,系统200通常包括至少一个处理单元202和存储器204。取决于计算装置的准确配置和类型,存储器204可以是易失的(诸如RAM)、非易失的(诸如ROM、闪存等等)、或两者的某些组合。该基本配置在图2中由虚线206示出。另外,系统200可具有附加特征/功能。例如,装置200还可包括,但不限于磁盘、光盘、或磁带的其它数据存储(可移动的和/或不可移动的)。这种其它存储器在图2由可移动存储器208和不可移动存储器210示出。计算机存储介质可包括以用来存储诸如计算机可读指令、数据结构、程序模块、或其它数据的信息的任何方法或技术实现的易失和非易失、可移动和不可移动的介质。存储器204、可移动存储208和不可移动存储210都是计算机存储介质的示例。计算机存储介质包括,但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字化多功能盘(DVD)或其它光学存储器、磁卡、磁带、磁盘存储器或其它磁性存储装置、或可用来存储所需信息并可由系统200访问的任何其它介质。任何这种计算机存储介质可以是系统200的一部分。
计算装置200还可包含使系统能与其它装置进行通信的通信连接212。通信连接212是通信介质的一个示例。通信介质通常体现为计算机可读指令、数据结构、程序模块、或其它诸如载波或其它传输机制的已调制数据的信号的数据,并包括任何信息传输介质。术语“已调制数据信号”意指具有以这种在信号中编码信息的方式来设置或改变一个或多个特征的信号。作为示例,而非限制,通信介质包括诸如有线网络或直接接线的有线介质,以及诸如声学、RF、红外和其它无线介质的无线介质。在此所用的术语计算机可读介质包括存储介质和通信介质。
计算装置200还可具有诸如键盘、鼠标、笔、语音输入装置、触摸输入装置等等的输入装置214。还可包括诸如显示器、扬声器、打印机等等的输出装置216。所有这些装置都是本领域众所周知的,无需在此赘述。
诸如系统200的计算装置通常包括至少某些形式的计算机可读介质。计算机可读介质可以是系统200访问的任何可用介质。作为示例,而非限制,计算机可读介质可包括计算机存储介质和通信介质。
图3示出了根据本发明一实施例用于身份识别的系统的主要软件组件。该示例(类似于在图1中示出的)示出了通过信道306连接的起动系统301和接收系统309。还有,如上所述,系统在不同时间可分别像起动系统101和接收系统106一样发挥功能。然而,为了简便起见,这些功能在此分开示出。
起动系统301包括自识别信息存储器302、自识别信息控制模块303、身份信息处理单元304、以及身份识别号(IRN)处理模块305。自识别信息存储器302可存储包括对由或使用起动系统301呈现的当事者特定的数据库、列表、或其它信息集合的信息。自识别信息存储器302可存储诸如当事者姓名、电子邮件地址、公钥和/或证书的信息,以及可在身份信息文档中使用的其它个人化信息,如下所述。
自识别信息控制模块303从自识别信息存储器302中读取身份信息。当当事者想要向另一系统发送身份信息时,他通过自识别信息控制模块303要从自识别信息存储器302选择发送的信息。例如,当事者想要发送一身份信息文档时,可由自识别信息控制模块303呈现一图形用户界面(GUI),通过它当事者选择要从其自识别信息存储器302发送的信息。
在产生身份信息文档307时,自识别信息控制模块303向当事者提供对来自自识别信息存储器302的信息的揭示控制能力。如果通过GUI呈现,自识别信息可以各种便于读取和便于使用的格式来呈现。例如,可呈现信息列表使用户复选标记、或以其它方式进行选择,以指示身份信息文档中内含物。因此自识别信息控制模块303使当事者能够对不同接收系统309有选择地揭示不同的身份信息集,并表达要如何使用被揭示信息的意图。此外,自识别信息控制模块303允许“渐进式揭示”,其中当事者可发送包含少量信息的第一身份信息文档,而在后来有理由揭露更多信息的某个时间再揭露更多信息。
身份信息处理单元304从由自识别信息控制模块303提供的信息产生身份信息文档307,并通过信道306将其发送给接收系统309。根据一实施例,身份信息文档307可包括能使用任何信道发送给接收系统309的可扩展标记语言(XML)文件或文本文件。身份信息文档的一可能格式的细节将参照图6在后面讨论。然而,一般而言,身份信息307可以是适于在不同系统之间传送信息的格式。
用以从起动系统301将身份信息文档307传送到接收系统309的信道306可以是各种可能介质的任一种。例如,电子邮件、即时信息、幅射、专用线或许多其它机制都可用作信道306。信道306可能安全,也可能是不安全的。
接收系统309包括身份信息处理单元312、已接收身份信息控制模块311、已识别身份信息存储器310、以及IRN处理模块314。接收系统309的身份信息处理单元312接收来自信道306的输入身份信息307。身份信息处理单元312将身份信息从身份信息文档307传递到已接收身份信息控制模块311。
已接收身份信息控制模块311判断要接受还是拒绝身份信息文档307。在某些情形中,要接受还是拒绝已接受信息的该判断可基于通过GUI对用户的查询。如果通过GUI呈现,来自身份信息文档的身份信息可以各种便于读取的格式来呈现。例如,身份信息可用允许信息的快速简便查看的罗拉代克斯卡(rolodex)或“联系人”条目来呈现。
如果身份信息文档307源自一已知当事者,接收系统309将对身份信息文档307的真实性有一很好的判断。然而,如果身份信息来自一未知当事者,或者如果担心冒名顶替者有充分动机来打开并修改邮件,则接收系统309可使用身份识别号(IRN)处理模块314来验证身份信息文档307。
身份信息文档307可在各种介质上交换。某些介质比其它介质更易受干扰。当身份信息文档307在类似电子邮件等更易受干扰的介质上交换时,或当身份信息文档307也可疑时,执行身份信息文档307完整性的频带外(out-of-band)验证有益于确保它未受干扰或中途侵袭。需要哪种out-of-band验证的尺度基于身份信息是如何获取的以及要与发送方共享的信息的敏感性而变化。
为了支持对身份信息文档307与当事者的绑定的out-of-band验证,可使用身份识别号(IRN)。该IRN是以适当变换函数将其呈现为包括在身份信息文档中可读取字符串的当事者公钥的散列。通过该变换函数,IRN可由易于读取和记忆的数字序列来表示。例如,IRN可类似于电话号码。
为了执行out-of-band验证,接收系统309的IRN处理模块314计算并显示身份信息文档307的IRN。然后接收系统或用户通过可选信道308诸如给始发者打电话或通过即时消息(IM)联系始发者,并请始发者确认其IRN。IRN处理模块314可基于已接收的身份信息文档307来验证该已确认IRN与在接收端的计算值相匹配。
如果中途侵袭通过替换公钥信息已篡改了由接收系统309接收的身份信息文档307以欺骗发送者,则经计算IRN不会匹配真正发送者的IRN,这在out-of-band验证过程中会变得显然。注意该IRN可以是公共信息,因为它计算自公钥,并且因此适于包括在诸如名片等中作为某人身份的证明。
一旦接受了身份信息文档307,它所包含的信息将被添加到经识别身份信息存储器107中。发出身份信息文档307的当事者可被给予对接收系统309上资源的访问。以后,如果当事者尝试访问该资源,他或她的计算机将受到质询以证明对与身份信息文档307中公钥相关联的私钥的认知。如果当事者是可信的,则计算机可提供该证明,导致对资源的识别和进入权。
或者,甚至可将被拒绝的身份信息置入已识别的身份信息存储器107中。例如,即使一给定身份信息集被拒绝,它可被存储易于以后的参考并被标记为不可靠的。该经识别但不可靠的身份信息可作标记以便存储于经识别身份信息存储器的特定部分,或以某些方式作标记或标注。这种信息在以后对不可靠身份信息的标识上是有用的。
此外,经识别身份信息存储器107中的身份信息可以是可访问的,可能通过GUI由接收系统的用户查看。如果通过GUI呈现,来自经识别身份信息文存储器107的身份信息可以各种便于读取的格式来呈现。例如,身份信息可用允许信息的快速简便查看的罗拉代克斯卡(rolodex)或“联系人”条目来呈现。
使用如图3所示的系统,交换包含关于其主题的保密信息的身份信息文档可通过利用身份信息的渐进式声明处理来完成。在此处理中,始发者和接收者首先交换可封装于诸如X509v3证书的证书中的公钥,以及通过身份信息文档的最少的必须身份声明。然后各方交换用信息接收者公钥加密的全部剩余的被揭示特性集。这确保保密数据仅可由预定接收者查看,而没有其它人能看到。当然,为了使用渐进式揭示方法,需要交换身份信息文档并不是强制性的。渐进式揭示也可用作单向共享。该渐进式揭示交换可以无权方式异步发生,并且无需按对话打包,也不需绑定于特定协议。
本发明各实施例的逻辑操作被实现为(1)运行于计算机系统上的计算机实现动作或程序模块序列和/或(2)计算机系统中相互连接的机器逻辑电路或电路模块。该实现是取决于实现本发明的计算系统性能需求的选择。相应地,在此所述的组成本发明诸实施例的逻辑操作被分别称为操作、结构装置、动作或模块。本领域技术人员将理解,这些操作、结构装置、动作或模块可用软件、固件、专用数字逻辑、以及任意组合实现而不背离本发明的精神和范围,如所附权利要求书所述。
图4是示出根据本发明一实施例起动身份信息交换的流程图。在此处理从选择操作405开始。选择操作405包括从自识别信息存储器中选择身份信息以包括在身份信息文档中。选择操作基于通过GUI的用户输入来选择包括在身份信息文档中的身份信息,或者在某些情形中已标识预选身份信息集时自动选择。然后控制继续到读取操作410。
读取操作410包括从自识别信息存储器中读取选定身份信息。该读取操作查找该选定身份信息并从自识别信息存储器中检索信息。然后控制继续到产生操作415。
产生操作415包括产生身份信息文档,它包括从自识别信息存储器中选择和读取的信息。产生操作415从选定信息中建立身份信息文档。如下所述,身份信息文档可包括一XML文件。或者,身份信息文档可以是适于向各种介质上不同系统传输信息的任意形式。此外,身份信息文档包括至少一个可能封装于证书中的诸如一个或多个公钥的第一密钥。可使用诸如与包括在身份信息文档中公钥之一成对的私钥的第二密钥来以数字签名对身份信息文档签名。然后控制继续到发送操作420。
发送操作420包括通过信道将身份信息文档发送给接收系统。发送操作用输出信号把身份信息文档传输、传送或发送给接收系统。如上所述,信道可能安全或可能不安全。在其上可发送身份信息文档的信道示例包括,但不限于,电子邮件、即时消息、辐射、专用线等等。
图5是根据本发明一实施例示出接收身份信息的流程图。在此示例中处理从接收操作505开始。接收操作505包括从信道接收一身份信息文档,如上所述。接收操作处理来自起动系统的输入信号,以从输入信号中恢复身份信息文档。然后控制继续到查询操作510。
查询操作510包括判断身份信息文档中接收的身份信息是否可靠。查询操作基于有关如何接收信息的众多情形来测试身份信息的真实性。在某些情形中,要接受还是拒绝已接受信息的该真实性判断可基于通过GUI对用户的查询。在其它情形中,可使用探试算法基于用以传送信息的介质、信息的敏感性、以及任一众多其它标准来自动作出判断。如果判断该信息可靠,控制继续到存储操作530,其中在身份信息文档中接收的身份信息被存储在经识别的身份信息存储器中。当存储操作将身份信息写入经识别的身份信息存储器中之后,操作流回到主程序流。
在查询操作510,如果身份信息被判断为不可靠,则控制继续到查询操作515。验证查询操作515包括判断是否要尝试验证身份信息文档。验证查询操作决定是否执行确认处理。该判断可缺省地自动作出,可基于通过GUI的用户输入、或可基于用户可编程的众多其它标准。如果在查询操作515判断为不验证身份信息,则不执行进一步处理而操作流返回到主程序流。然而,如果判断要尝试验证身份信息,控制继续到检索操作520。
IRN检索操作520包括从起动系统或始发者检索IRN。该检索操作命令接收系统或提示接收系统的用户以通过可选信道联系起动系统或始发者。例如用户可打电话给始发者或通过IM(即时消息)发送消息,并请求始发者确认其IRN。
IRN产生操作523基于在身份信息文档中接收的公钥重建接收站上的IRN。为了计算IRN,IRN产生操作523将在身份信息文档中传送的公钥形成散列。或者,始发者的显示名称(图6)可与公钥组合,然后将该组合形成散列。然后散列操作的结果可受掩蔽算法的支配以产生形式为AAA-AA-AA-AAA的字母签名,其中‘A’标识字母字符。由IRN产生操作523计算的IRN看起来像732-AB-5H-XVQ。然后两个IRN由IRN测试操作525进行比较。
IRN测试操作525包括对IRN是否准确的判断。IRN测试操作525比较在接收站产生的经计算IRN与从起动系统检索的被检索IRN。如果中途侵袭通过替换公钥信息已篡改了由接收系统接收的身份信息文档以欺骗发送者,则经计算的IRN不会匹配来自始发者或起动系统(即真实发送者)的被检索IRN。
如果IRN被判定是准确的,控制继续到存储操作530。存储操作530将在身份信息文档中接收的身份信息存储在经识别身份信息存储器中。然后操作流返回到接收系统中的主控制程序。
或者,甚至可将被拒绝的身份信息置入已识别的身份信息存储器中。例如,即使一给定身份信息集被拒绝,它可被存储易于以后的参考并被标记为不可靠的。该经识别但不可靠的身份信息可作标记以便存储于经识别身份信息存储器的特定部分,或以某些方式作标记或标注。这种信息在以后对不可靠身份信息的标识上是有用的。
图6根据本发明一实施例示出身份信息文档的示例性格式。作为一数据结构,身份信息文档600是身份声明以及绑定于密钥并由内置使用政策管理的其它特性/属性声明的集合。可使用XML作为身份信息的编码语言。然而,其它格式也一样可视为适用。如果身份信息文档600包含必须维护其保密性的保密信息,其元素还可任选地进行加密。
身份信息文档600中的数据可被分成两个类别。这些类别包括一个逻辑组件集601和一个特性标记集608。身份信息文档具有6个主要逻辑组件:1)身份信息主题标识符602;2)主题的一个或多个身份声明603;3)主题的显示名称以及零个或多个可选择性揭示的特性604;4)以任何可接受形式封装(例如X509v3证书中的公钥)的主题的一个或多个密钥605;5)表达主题专有要求的使用政策606;以及6)保护数据完整性并在身份信息更新情形下验证发送者整个身份信息内容上的数字签名607。将依次讨论这6个逻辑组件601的每一个。
主题标识符602将身份信息的主题表示为由表达为名称标识符的身份声明之一所标识的实体。如果主题类型是人,则身份信息主题的优选名称标识符或身份声明是电子邮件地址。
身份声明603包括唯一标识身份信息文档主题的结构化信息。身份声明是由给定类型的权威机构赋予的值,以在给定时间段内标识单个当事者。身份信息文档中的身份声明标识各个名空间中的当事者,而一旦当事者已得到标识,显示名称和诸如物理邮寄地址的其它被揭示信息进一步为当事者提供背景。
显示名称604可在搜索和操作期间在接收者系统上使用。然而,它不必是唯一的。一旦当事者已通过身份信息的主题指定得到标识,显示名称和其它经揭示信息(诸如物理邮寄地址)为当事者提供其它背景。经揭示信息包括有关该主题的描述性信息。这表达为一属性组。某些属性可被标准化,且可有一扩展机制。
密钥605包含一个或多个可能封装于证书格式中(例如X509v3证书)的密钥。密钥605可以是公钥,且被包括在身份信息中作为身份信息主题的识别信息。如果使用证书,它可由证书权威机构自签名或签发。
使用政策606将始发者的指令传递给接收者,这些指令有关对可提交身份信息的哪部分内容的使用。例如,它可指示身份信息的内容不应向他人泄露。经识别身份信息存储器将存储使用政策以及定义当事者的剩余信息,且例如用户尝试复制不想共享的当事者,系统将向用户显示表示始发者意图的警告。
数字签名607提供身份信息文档中的签名数据。XML签名有三种使签名与文档相关的方法:包络、封装、以及分离。根据本发明一实施例,在对身份信息内容签名时身份信息文档使用XML封装签名。
身份信息文档600可携带6个特性标记608,包括1)身份信息ID 609;2)主版本610;3)次版本611;4)主题类型612;5)信息类型613;以及6)签发瞬时614。将在以下讨论这些特性标记608的每一个。
身份信息ID 609是该身份信息文档的标识符。它提供可用来从诸如签名的文档其它部分引用该身份信息文档的标识符。
主版本610是该身份信息文档的主要版本号。次版本611是该身份信息文档的次要版本号。
主题类型612是作为该身份信息文档主题的当事者的类型。可以有各种类型的当事者,诸如人、计算机、机构等等。
信息类型613是该身份信息的类型。例如,“新”的身份信息可被引入到经识别身份信息存储器中以创建新的当事者,或者“更新”身份信息可被用来以最近变化改进现有的当事者。
签发瞬时614是用UTC表达的签发或产生身份信息时的时间瞬时。更新身份信息上的该时间标记可被用以判断身份信息主题的现有表示是过时了还是较新的。
尽管已用计算机结构特征、方法论动作的专用语言以及计算机可读介质对本发明进行了描述,可以理解定义在所附权利要求中的本发明不必限于所述的特定结构、动作或介质中。作为示例,与XML不同的格式可被用以编码身份信息。因此,特定的结构特征、动作和介质可被揭示为实现本发明的示例性实施例。
上述的各个实施例仅作为说明提供,且不应被解释为限制本发明。本领域技术人员无需遵从在此所示和所述的示例实施例和应用程序,且无需背离本发明的真正精神和范围,就可轻松识别可对本发明作出的各种更改和改变,如以下权利要求所述。
Claims (24)
1.一种计算机实现的从起动系统向预定接收系统发送身份信息文档的方法,其特征在于,所述方法包括:
为使用所述起动系统而选择要包括在第一身份信息文档中的信息的当事者呈现来自被包括在所述起动系统中的自识别信息存储器的身份信息的列表,其中呈现所述身份信息的列表以供选择允许所述当事者控制身份信息对所述预定接收系统的揭示,所述当事者对不同的接收系统揭示身份信息的不同子集;
接收对来自存储在存储器中的所述自识别信息存储器中的所述身份信息的列表的身份信息的第一选择以包括在所述第一身份信息文档中,其中所选定的第一身份信息包括自识别信息存储器中有关当事者的身份信息的第一子集;
从包括在所述起动系统中的自识别信息存储器中读取所选定的第一身份信息;
产生所述第一身份信息文档以包括所选定的第一身份信息以及至少一第一密钥,所述第一身份信息文档使用与所述第一身份信息文档中的第一密钥相关联的第二密钥来签名;以及
向所述预定接收系统发送所述第一身份信息文档。
2.如权利要求1所述的方法,其特征在于,接收对身份信息的第一选择包括接收基于来自图形用户界面(GUI)的用户输入的、对来自所述自识别信息存储器中的身份信息的所述第一子集的选择。
3.如权利要求1所述的方法,其特征在于,接收对身份信息的第一选择包括接收对来自所述自识别信息存储器中的信息的预定子集。
4.如权利要求1所述的方法,其特征在于,产生所述第一身份信息文档包括在可扩展标记语言(XML)文档中编码所选定的第一标识信息。
5.如权利要求1所述的方法,其特征在于,所选定的第一身份信息包括创建所述第一身份信息文档的当事者的身份声明。
6.如权利要求1所述的方法,其特征在于,所选定的第一身份信息包括定义可将身份信息的内容交给哪些使用的使用政策。
7.一种计算机实现的在接收者处接收来自起动系统的身份信息文档的方法,其特征在于,所述方法包括:
在第一接收者处接收来自所述起动系统的经签名的第一身份信息文档,其中所述第一身份信息文档包含所选定的身份信息,所选定的身份信息包括有关当事者的身份信息并从包括在所述起动系统中的自识别信息存储中选择,所述当事者对不同的接收者揭示身份信息的不同子集;
判断所述第一身份信息文档中的所述身份信息是否可靠;
如果所述身份信息被判定为可靠,则将所述身份信息存储到位于所述第一接收者处并存储在存储器中的经识别身份信息存储器中;
如果所述身份信息不可靠,判断是否要验证所述身份信息;以及
如果所述身份信息不可靠,则将所述身份信息连同表明所述身份信息不可靠的标注一起存储到所述第一接收者处的所述经识别身份信息存储器中。
8.如权利要求7所述的方法,其特征在于,还包括:
响应于对要验证所述身份信息的判断,从所述第一身份信息文档的起动系统中检索一身份识别号IRN,判断所述IRN是否准确,以及响应于所述IRN是准确的,将所述身份信息存储到所述经识别身份信息存储器中。
9.如权利要求7所述的方法,其特征在于,判断所述身份信息是否可靠是基于通过图形用户界面的用户输入。
10.如权利要求7所述的方法,其特征在于,判断是否要验证所述身份信息是基于通过图形用户界面的用户输入。
11.如权利要求1所述的方法,其特征在于,其中所述方法还包括:
接收来自始发者的经签名身份信息;
判断所述身份信息文档中的身份信息是否可靠;以及
如果所述身份信息被判定为可靠,则将所述身份信息存储到经识别身份信息存储器中,所述经识别身份信息存储器被用于所述始发者的后来识别。
12.如权利要求11所述的方法,其特征在于,还包括:
响应于所述身份信息不可靠的判断,判断是否要验证所述身份信息;以及
响应于对要验证所述身份信息的判断,从所述身份信息文档的起动系统中检索一身份识别号IRN,基于所述身份信息文档中的信息产生所述接收系统上的经计算IRN,比较所述检索到的IRN和经计算IRN来判断是否已验证所述经计算IRN,并响应于所述经计算IRN的验证,将所述身份信息存储到所述经识别身份信息存储器中。
13.如权利要求12所述的方法,其特征在于,判断所述身份信息是否可靠是基于通过图形用户界面的用户输入。
14.如权利要求12所述的方法,其特征在于,判断是否要验证所述身份信息是基于通过图形用户界面的用户输入。
15.一种计算机实现的从起动系统向预定接收系统发送身份信息文档的系统,其特征在于,所述系统包括:
用于为使用所述起动系统而选择要包括在第一身份信息文档中的信息的当事者呈现来自被包括在所述起动系统中的自识别信息存储器的身份信息的列表的装置,其中呈现所述身份信息的列表以供选择允许所述当事者控制身份信息对所述预定接收系统的揭示,所述当事者对不同的接收系统揭示身份信息的不同子集;
用于接收对来自存储在存储器中的所述自识别信息存储器中的所述身份信息的列表的身份信息的第一选择以包括在所述第一身份信息文档中的装置,其中所选定的第一身份信息包括自识别信息存储器中有关当事者的身份信息的第一子集;
用于从包括在所述起动系统中的自识别信息存储器中读取所选定的第一和身份信息的装置;
用于产生所述第一身份信息文档以包括所选定的第一身份信息以及至少一第一密钥的装置,所述第一身份信息文档使用与所述第一身份信息文档中的第一密钥相关联的第二密钥来签名;以及
用于向所述预定接收系统发送所述第一身份信息文档的装置。
16.如权利要求15所述的系统,其特征在于,所述用于接收对身份信息的第一选择的装置包括用于接收基于来自图形用户界面(GUI)的用户输入、对来自所述自识别信息存储器中的身份信息的第一子集的选择的装置。
17.如权利要求15所述的系统,其特征在于,所述用于接收对身份信息的第一选择的装置包括用于接收对来自所述自识别信息存储器中的信息的预定子集的装置。
18.如权利要求15所述的系统,其特征在于,所述用于产生所述第一身份信息文档的装置包括用于在可扩展标记语言(XML)文档中编码所选定的第一标识信息的装置。
19.如权利要求15所述的系统,其特征在于,所选定的第一身份信息包括创建所述第一身份信息文档的当事者的身份声明。
20.如权利要求15所述的系统,其特征在于,所选定的第一身份信息包括定义可将身份信息的内容交给哪些使用的使用政策。
21.一种计算机实现的在接收者处接收来自起动系统的身份信息文档的系统,其特征在于,所述系统包括:
用于在第一接收者处接收来自所述起动系统的经签名的第一身份信息文档的装置,其中所述第一身份信息文档包含所选定的身份信息,所选定的身份信息包括有关当事者的身份信息并从包括在所述起动系统中的自识别信息存储中选择,所述当事者对不同的接收者揭示身份信息的不同子集;
用于判断所述第一身份信息文档中的所述身份信息是否可靠的装置;
用于如果所述身份信息被判定为可靠,则将所述身份信息存储到位于所述第一接收者处并存储在存储器中的经识别身份信息存储器中的装置;
用于如果所述身份信息不可靠,判断是否要验证所述身份信息的装置;以及
用于如果所述身份信息不可靠,则将所述身份信息连同表明所述身份信息不可靠的标注一起存储到所述第一接收者处的所述经识别身份信息存储器中的装置。
22.如权利要求21所述的系统,其特征在于,还包括:
响应于对要验证所述身份信息的判断,
用于从所述第一身份信息文档的起动系统中检索一身份识别号IRN的装置,
用于判断所述IRN是否准确的装置,以及
用于响应于所述IRN是准确的,将所述身份信息存储到所述经识别身份信息存储器中的装置。
23.如权利要求21所述的系统,其特征在于,判断所述身份信息是否可靠是基于通过图形用户界面的用户输入。
24.如权利要求21所述的系统,其特征在于,判断是否要验证所述身份信息是基于通过图形用户界面的用户输入。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/693,172 | 2003-10-23 | ||
| US10/693,172 US7822988B2 (en) | 2003-10-23 | 2003-10-23 | Method and system for identity recognition |
| PCT/US2004/024370 WO2005045579A2 (en) | 2003-10-23 | 2004-07-29 | Method and system for identity recognition |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101084642A CN101084642A (zh) | 2007-12-05 |
| CN101084642B true CN101084642B (zh) | 2012-05-16 |
Family
ID=34522318
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004800013928A Active CN101084642B (zh) | 2003-10-23 | 2004-07-29 | 用于身份识别的方法和系统 |
Country Status (17)
| Country | Link |
|---|---|
| US (1) | US7822988B2 (zh) |
| EP (1) | EP1682967B1 (zh) |
| JP (1) | JP4833849B2 (zh) |
| KR (1) | KR101130405B1 (zh) |
| CN (1) | CN101084642B (zh) |
| AU (1) | AU2004279171B8 (zh) |
| BR (1) | BRPI0406383A (zh) |
| CA (1) | CA2501470C (zh) |
| IL (1) | IL167272A (zh) |
| MX (1) | MXPA05006642A (zh) |
| MY (1) | MY143835A (zh) |
| NO (1) | NO20052049L (zh) |
| NZ (1) | NZ540303A (zh) |
| RU (1) | RU2367998C2 (zh) |
| TW (1) | TWI362873B (zh) |
| WO (1) | WO2005045579A2 (zh) |
| ZA (1) | ZA200503147B (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050114447A1 (en) * | 2003-10-24 | 2005-05-26 | Kim Cameron | Method and system for identity exchange and recognition for groups and group members |
| US8104074B2 (en) * | 2006-02-24 | 2012-01-24 | Microsoft Corporation | Identity providers in digital identity system |
| US8117459B2 (en) * | 2006-02-24 | 2012-02-14 | Microsoft Corporation | Personal identification information schemas |
| US20070203852A1 (en) * | 2006-02-24 | 2007-08-30 | Microsoft Corporation | Identity information including reputation information |
| US8078880B2 (en) * | 2006-07-28 | 2011-12-13 | Microsoft Corporation | Portable personal identity information |
| US8407767B2 (en) * | 2007-01-18 | 2013-03-26 | Microsoft Corporation | Provisioning of digital identity representations |
| US8087072B2 (en) * | 2007-01-18 | 2011-12-27 | Microsoft Corporation | Provisioning of digital identity representations |
| US8689296B2 (en) | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
| US8321918B2 (en) * | 2007-12-21 | 2012-11-27 | Electronics And Telecommunications Research Institute | Apparatus and method for sharing user control enhanced digital identity |
| US20090307744A1 (en) * | 2008-06-09 | 2009-12-10 | Microsoft Corporation | Automating trust establishment and trust management for identity federation |
| US8479006B2 (en) * | 2008-06-20 | 2013-07-02 | Microsoft Corporation | Digitally signing documents using identity context information |
| US8910256B2 (en) | 2008-08-08 | 2014-12-09 | Microsoft Corporation | Form filling with digital identities, and automatic password generation |
| US8893287B2 (en) * | 2012-03-12 | 2014-11-18 | Microsoft Corporation | Monitoring and managing user privacy levels |
| US9254363B2 (en) | 2012-07-17 | 2016-02-09 | Elwha Llc | Unmanned device interaction methods and systems |
| US9125987B2 (en) | 2012-07-17 | 2015-09-08 | Elwha Llc | Unmanned device utilization methods and systems |
| US9667670B2 (en) | 2013-04-04 | 2017-05-30 | International Business Machines Corporation | Identifying intended communication partners in electronic communications |
| US20140372430A1 (en) * | 2013-06-14 | 2014-12-18 | Microsoft Corporation | Automatic audience detection for modifying user profiles and making group recommendations |
| EP3292484B1 (en) | 2015-05-05 | 2021-07-07 | Ping Identity Corporation | Identity management service using a block chain |
| US9876646B2 (en) | 2015-05-05 | 2018-01-23 | ShoCard, Inc. | User identification management system and method |
| EP3424179B1 (en) | 2016-03-04 | 2022-02-16 | Ping Identity Corporation | Method and system for authenticated login using static or dynamic codes |
| US10509932B2 (en) | 2016-03-07 | 2019-12-17 | ShoCard, Inc. | Large data transfer using visual codes with feedback confirmation |
| US10007826B2 (en) | 2016-03-07 | 2018-06-26 | ShoCard, Inc. | Transferring data files using a series of visual codes |
| USRE49968E1 (en) | 2017-02-06 | 2024-05-14 | Ping Identity Corporation | Electronic identification verification methods and systems with storage of certification records to a side chain |
| US10498541B2 (en) | 2017-02-06 | 2019-12-03 | ShocCard, Inc. | Electronic identification verification methods and systems |
| US10915657B2 (en) * | 2017-07-19 | 2021-02-09 | AVAST Software s.r.o. | Identifying and protecting personal sensitive documents |
| EP3721578B1 (en) | 2017-12-08 | 2022-09-07 | Ping Identity Corporation | Methods and systems for recovering data using dynamic passwords |
| US10885225B2 (en) * | 2018-06-08 | 2021-01-05 | Microsoft Technology Licensing, Llc | Protecting personally identifiable information (PII) using tagging and persistence of PII |
| EP3627363A1 (en) | 2018-09-19 | 2020-03-25 | Vocalink Limited | Information processing system, devices and methods |
| US11082221B2 (en) | 2018-10-17 | 2021-08-03 | Ping Identity Corporation | Methods and systems for creating and recovering accounts using dynamic passwords |
| US10979227B2 (en) | 2018-10-17 | 2021-04-13 | Ping Identity Corporation | Blockchain ID connect |
| US11627138B2 (en) * | 2019-10-31 | 2023-04-11 | Microsoft Technology Licensing, Llc | Client readiness system |
| US11170130B1 (en) | 2021-04-08 | 2021-11-09 | Aster Key, LLC | Apparatus, systems and methods for storing user profile data on a distributed database for anonymous verification |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1314754A (zh) * | 2000-03-22 | 2001-09-26 | 国际商业机器公司 | 由网络中介体完成安全的客户机档案的方法和系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5436972A (en) * | 1993-10-04 | 1995-07-25 | Fischer; Addison M. | Method for preventing inadvertent betrayal by a trustee of escrowed digital secrets |
| US5872847A (en) * | 1996-07-30 | 1999-02-16 | Itt Industries, Inc. | Using trusted associations to establish trust in a computer network |
| DE19740561A1 (de) * | 1997-09-15 | 1999-03-18 | Siemens Ag | Verfahren zum Subskripieren von Telekommunikationsgeräten bei mit den Telekommunikationsgeräten durch drahtlose Telekommunikation verbindbaren Gegenstationen in drahtlosen Telekommunikationssystemen, insbesondere von DECT-Mobilteilen bei DECT-Basisstationen in DECT-Systemen |
| US20020004900A1 (en) * | 1998-09-04 | 2002-01-10 | Baiju V. Patel | Method for secure anonymous communication |
| US6266420B1 (en) | 1998-10-08 | 2001-07-24 | Entrust Technologies Limited | Method and apparatus for secure group communications |
| US6801998B1 (en) * | 1999-11-12 | 2004-10-05 | Sun Microsystems, Inc. | Method and apparatus for presenting anonymous group names |
| US7228291B2 (en) * | 2000-03-07 | 2007-06-05 | International Business Machines Corporation | Automated trust negotiation |
| CN1157891C (zh) * | 2000-08-24 | 2004-07-14 | 杭州中正生物认证技术有限公司 | 制作身份证明的方法 |
| US7216083B2 (en) | 2001-03-07 | 2007-05-08 | Diebold, Incorporated | Automated transaction machine digital signature system and method |
| US7068789B2 (en) | 2001-09-19 | 2006-06-27 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) group security infrastructure and method |
| US20030229811A1 (en) | 2001-10-31 | 2003-12-11 | Cross Match Technologies, Inc. | Method that provides multi-tiered authorization and identification |
| US7571314B2 (en) * | 2001-12-13 | 2009-08-04 | Intel Corporation | Method of assembling authorization certificate chains |
| US6868282B2 (en) * | 2002-03-26 | 2005-03-15 | Ericsson, Inc. | Method and apparatus for accessing a network using remote subscriber identity information |
-
2003
- 2003-10-23 US US10/693,172 patent/US7822988B2/en active Active
-
2004
- 2004-07-19 MY MYPI20042875A patent/MY143835A/en unknown
- 2004-07-21 TW TW093121803A patent/TWI362873B/zh not_active IP Right Cessation
- 2004-07-29 AU AU2004279171A patent/AU2004279171B8/en not_active Ceased
- 2004-07-29 EP EP04779433.4A patent/EP1682967B1/en active Active
- 2004-07-29 NZ NZ540303A patent/NZ540303A/en not_active IP Right Cessation
- 2004-07-29 WO PCT/US2004/024370 patent/WO2005045579A2/en active Application Filing
- 2004-07-29 JP JP2006536584A patent/JP4833849B2/ja not_active Expired - Fee Related
- 2004-07-29 BR BR0406383-0A patent/BRPI0406383A/pt not_active IP Right Cessation
- 2004-07-29 CA CA2501470A patent/CA2501470C/en active Active
- 2004-07-29 RU RU2005115870/09A patent/RU2367998C2/ru not_active IP Right Cessation
- 2004-07-29 KR KR1020057008764A patent/KR101130405B1/ko not_active IP Right Cessation
- 2004-07-29 ZA ZA200503147A patent/ZA200503147B/en unknown
- 2004-07-29 MX MXPA05006642A patent/MXPA05006642A/es active IP Right Grant
- 2004-07-29 CN CN2004800013928A patent/CN101084642B/zh active Active
-
2005
- 2005-03-07 IL IL167272A patent/IL167272A/en not_active IP Right Cessation
- 2005-04-26 NO NO20052049A patent/NO20052049L/no unknown
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1314754A (zh) * | 2000-03-22 | 2001-09-26 | 国际商业机器公司 | 由网络中介体完成安全的客户机档案的方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| IBM Corporation.Login-less Simplified Transaction process.IBM technical Disclosure Bulletin.2002,362. * |
Also Published As
| Publication number | Publication date |
|---|---|
| BRPI0406383A (pt) | 2005-08-09 |
| TWI362873B (en) | 2012-04-21 |
| CA2501470A1 (en) | 2005-04-23 |
| KR101130405B1 (ko) | 2012-03-28 |
| EP1682967A2 (en) | 2006-07-26 |
| MXPA05006642A (es) | 2005-08-16 |
| KR20060112182A (ko) | 2006-10-31 |
| WO2005045579A2 (en) | 2005-05-19 |
| WO2005045579A3 (en) | 2007-05-10 |
| EP1682967B1 (en) | 2020-06-17 |
| ZA200503147B (en) | 2007-12-27 |
| US7822988B2 (en) | 2010-10-26 |
| NZ540303A (en) | 2009-06-26 |
| JP2007519077A (ja) | 2007-07-12 |
| CN101084642A (zh) | 2007-12-05 |
| RU2367998C2 (ru) | 2009-09-20 |
| AU2004279171A8 (en) | 2008-10-02 |
| JP4833849B2 (ja) | 2011-12-07 |
| EP1682967A4 (en) | 2010-12-29 |
| AU2004279171B2 (en) | 2010-03-18 |
| AU2004279171B8 (en) | 2010-04-15 |
| AU2004279171A1 (en) | 2005-06-23 |
| NO20052049D0 (no) | 2005-04-26 |
| CA2501470C (en) | 2013-10-15 |
| NO20052049L (no) | 2005-05-30 |
| US20050091495A1 (en) | 2005-04-28 |
| RU2005115870A (ru) | 2006-01-20 |
| IL167272A (en) | 2013-05-30 |
| TW200515770A (en) | 2005-05-01 |
| MY143835A (en) | 2011-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101084642B (zh) | 用于身份识别的方法和系统 | |
| KR101977109B1 (ko) | 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법 | |
| TW435035B (en) | Method and apparatus for integrity verification, authentication, and secure linkage of software modules | |
| CN102143134B (zh) | 分布式身份认证方法、装置与系统 | |
| US20050114447A1 (en) | Method and system for identity exchange and recognition for groups and group members | |
| US20120311326A1 (en) | Apparatus and method for providing personal information sharing service using signed callback url message | |
| CN104662870A (zh) | 数据安全管理系统 | |
| KR20150052261A (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
| KR20110056997A (ko) | 아이덴티티 관리서버, 시스템 및 관리 방법 | |
| CN109416713A (zh) | 验证系统和非暂态信息记录介质 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN104883367A (zh) | 一种辅助验证登陆的方法、系统和应用客户端 | |
| JP5065682B2 (ja) | 名前解決のためのシステムおよび方法 | |
| CN103685244A (zh) | 一种差异化认证方法及装置 | |
| CN101547097B (zh) | 基于数字证书的数字媒体管理系统及管理方法 | |
| CN102902934A (zh) | 主机不可知集成和互操作系统 | |
| JP2007058455A (ja) | アクセス管理システム、および、アクセス管理方法 | |
| CN110971589A (zh) | 一种文件管理方法 | |
| CN106982123B (zh) | 一种单向加密电子签名方法及系统 | |
| KR20030042789A (ko) | 로밍 사용자 인증을 위한 트러스트 모델 | |
| KR101411969B1 (ko) | 2채널을 이용한 온라인 주식거래 방법 | |
| EP3491575B1 (en) | Method and system for the authentic determination of the identity of an electronic document with itself at a later date or with a copy thereof | |
| CN116094703A (zh) | Vpn的认证方法及装置 | |
| Tao et al. | Trusted Mobile Interaction via Extended Digital Certificates | |
| CN115860017A (zh) | 一种数据处理方法和相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150421 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150421 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |