CN101331509A - 包括可显示的声明的安全性令牌 - Google Patents
包括可显示的声明的安全性令牌 Download PDFInfo
- Publication number
- CN101331509A CN101331509A CNA2006800475254A CN200680047525A CN101331509A CN 101331509 A CN101331509 A CN 101331509A CN A2006800475254 A CNA2006800475254 A CN A2006800475254A CN 200680047525 A CN200680047525 A CN 200680047525A CN 101331509 A CN101331509 A CN 101331509A
- Authority
- CN
- China
- Prior art keywords
- token
- statement
- demonstration
- security tokens
- computational
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000006243 chemical reaction Methods 0.000 claims description 26
- 238000000034 method Methods 0.000 claims description 19
- 230000015654 memory Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 2
- 101100165384 Arabidopsis thaliana BIO2 gene Proteins 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008275 binding mechanism Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000004807 localization Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6263—Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Accounting & Taxation (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Finance (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
一种用于提供数字身份的系统包括被编程为生成包括可计算令牌和显示令牌的安全性令牌的声明转换方,该可计算令牌包括与主方相关联的一个或多个声明,并且该显示令牌包括关于该可计算令牌中的声明的显示信息。该显示信息被配置成允许该主方查看该显示令牌。
Description
版权提示
本专利文档的公开中的一部分包含受版权保护的材料。版权所有人不反对出现在美国专利商标局专利文献或记录中的本专利文档或专利公开的任何人复制副本,但无论如何在其它方面保留全部的版权。
背景
身份是允许日常生活中的互动的重要组成。例如,个人的信用卡允许商家识别个人并允许个人赊帐购买产品和服务。这在数字世界里也是一样的,在数字世界中,数字身份允许数字交互。例如,数字身份可用来在数字环境中彼此认证。知道正和谁在交互是决定是否信任一方或向一方提供信息的重要因素。
一个实体可使用数字身份来认证一方的身份或关于该方的其它个人信息。数字身份可由另一个实体颁发并包括有关该方的信息。这种信息的示例包括该方的姓名、地址、社会保障号、年龄、电话号码等。一方可具有由一个或多个其它实体颁发的多个数字身份,类似个人具有驾驶证、信用卡和常飞飞行员卡那样。
该方可使用数字身份来向第三方标识自己。例如,诸如在线服务的第三方可要求该方在第三方允许其访问物品或服务之前认证其身份。为了认证其身份,该方可向第三方采用由第三方信任的另一个实体颁发的安全性令牌的形式向第三方转发数字身份。一旦认证完成,第三方可提供该方对所请求的物品或服务的访问。
在许多情况下,该方具有很少或没有能力控制或查阅由另一个实体颁发的安全性令牌的内容。当该方向第三方在认证该方的身份期间共享安全性令牌时,该方的隐私可成为一个令人担心的问题。例如,在不知道安全性令牌的内容的情况下,该方可能会在不知不觉中让第三方共享了安全性令牌中的该方不需要用于认证的个人信息。另外,该方会在不知不觉中提供了该方不希望与第三方共享的个人信息(例如,社会保障号、电话号码等)。
概述
提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并非意在确定所请求保护的主题的关键特征或必要特征,也并非意在用来帮助确定所请求保护的主题的范围。
一方面涉及一种用于提供数字身份的系统,该系统包括被编程为生成包括可计算令牌和显示令牌的安全性令牌的声明转换方,该可计算令牌包括与一主方的身份相关联的一个或多个声明,并且该显示令牌包括关于该可计算令牌中的声明的显示信息。该显示信息被配置成允许主方查看该显示令牌。
另一个方面涉及一种提供数字身份的方法,该方法包括接收包括可计算令牌和显示令牌的安全性令牌,该可计算令牌包括与一主方的身份相关联的一个或多个声明,并且该显示令牌包括关于该可计算令牌中的声明的显示信息;以及向主方显示该显示令牌中的显示信息以便主方能审阅该显示令牌的内容。
另一个方面涉及具有用于执行以下步骤的计算机可执行指令的计算机可读介质:生成安全性令牌,该生成安全性令牌包括接收包括可计算令牌和显示令牌的安全性令牌,该可计算令牌包括与一主方的身份相关联的一个或多个声明,并且该显示令牌包括关于该可计算令牌中的声明的显示信息;以及向主方显示该显示令牌中的显示信息以便主方能审阅该显示令牌的内容。
附图简述
现在对附图进行简述,附图不是必需要按比例绘出,并且在附图中:
图1示出示例数字身份系统;
图2示出示例通用计算机系统;
图3示出图1的系统的一部分;
图4示出图1的系统的另一部分;
图5示出示例安全性令牌;
图6示出被编程为解释和显示安全性令牌的显示令牌的示例计算机系统;
图7示出图1的系统的另一个部分;
图8示出认证主方的示例方法;
图9示出解释和显示安全性令牌的显示令牌的示例方法;
图10示出用于显示安全性令牌的显示令牌的示例用户界面;以及
图11示出一种用于生成包括可计算令牌和显示令牌的安全性令牌的示例方法。
详细描述
参考附图,现在将在下面更详细地描述示例实施例。提供这些实施例使得本公开将彻底和完整。贯穿全文,相同的标号表示相同的元素。
此处所公开的示例实施例一般涉及可在第一方和第二方之间进行交换以认证与第一方有关的身份和/或信息的数字身份。在此处的示例实施例中,第一方可以是个人、公司、组织、计算机或其它设备、服务或任何其它类型的实体。第一方在此处称为主方。在示例实施例中,第二方拥有主方希望访问和/或获得的物品、服务或其它信息。第二方在此处被称为信赖方。
现在参考图1,示出包括主方110和信赖方120的示例数字身份系统100。如下进一步所述,主方110和信赖方120可通过一个或多个网络彼此通信。在示例实施例中,主方110可请求来自信赖方120的物品、服务、或其它信息,并且信赖方120可要求在提供所请求的物品、服务或信息之前或之际认证主方110的身份或其有关信息。
图1中还示出声明转换方130和声明权威方140(有时被称为安全性令牌服务,即“STS”)。在示出的示例中,声明转换方130和声明权威方140是能提供关于主方的一个或多个声明或断言的一个或多个实体。声明是例如,姓名、地址、社会保障号、年龄等涉及主方身份或关于主方的信息而做出的关于主方的陈述。如以下进一步所述的,声明转换方130和声明权威方140可采用经签名的安全性令牌的形式向主方110和/或信赖方120提供声明。
在示例实施例中,声明权威方140与信赖方120处于信任的关系中,以致信任方120信任来自声明权威方140所签名的安全性令牌中的声明。
尽管声明转换方130和声明权威方140显示为图1中的分开的实体,但是,在替换实施例中,声明转换方130和声明权威方140可以是同一个实体或不同的实体。另外,尽管声明转换方130被示为正与主方110通信,但在替换实施例中,如下进一步所述的,信赖方120可与声明转换方130直接通信。
在此处公开的示例实施例中,系统100被实现为在由华盛顿州雷德蒙市的微软公司的开发的WINFX应用程序编程接口中提供的InfoCard(信息卡)系统。InfoCard系统允许主方管理来自各种声明权威方的多个数字身份。
InfoCard系统使用诸如WINFX应用程序编程接口中的WindowsCommunication Foundation(Windows通信基础)等web服务平台。另外,InfoCard系统使用至少部分地由华盛顿州雷德蒙市的微软公司推行的Web ServicesSecurity Specifications(Web服务安全规范)来构建。这些规范包括消息安全模型(WS-Secruity),终端策略(WS-SecurityPolicy)、元数据协议(WS-MetadataExchange)和信任模型(WS-Trust)。一般而言,WS-Security模型描述如何将安全性令牌添附到消息中。WS-SecurityPolicy模型描述使用WS-MetadataExchange来实现的端点策略要求,例如要求的安全性令牌和支持的加密算法等。WS-Trust模型描述允许不同web服务进行相互操作的信任模型的框架。
此处描述的示例实施例引用上述的Web服务安全规范。在替换实施例中,一个或多个不同规范可用来方便系统100中的各种元素之间的通信。
现在参考图2,在一个示例实施例中,主方110是使用诸如示例计算机系统200等计算机系统与信赖方120和声明转换方130通信的个体。计算机系统可采用诸如台式计算机、膝上型计算机和手持式计算机等形式。另外,尽管示出计算机系统200,但是此处所公开的系统和方法同样可在各种替换的计算机系统中来实现。
系统200包括处理器单元202、系统存储器204和将包括系统存储器204的各种系统组件耦合至处理器单元202的系统总线206。系统总线206可以是各种类型的总线结构中的一种,包括使用各种总线体系结构中的任何一种的存储器总线、外围总线和局部总线。系统存储器包括只读存储器(ROM)208和随机存取存储器(RAM)210。包含帮助计算机系统200内的元件之间传输信息的基本例程的基本输入/输出系统212(BIOB)存储于ROM 208中。
计算机系统200还包括用于读取或写入硬盘的硬盘驱动器212、用于读取或写入可移动磁盘216的磁盘驱动器214和用于读取或写入诸如CD ROM、DVD或其它光学介质等可移动光盘219的光盘驱动器218。硬盘驱动器212、磁盘驱动器214和光盘驱动器218分别通过硬盘驱动器接口220、磁盘驱动器接口222和光驱动器接口224连接至系统总线206。驱动器和与其相关联的计算机可读介质为计算机系统220提供计算机可读指令、数据结构、程序和其它数据的非易失性存储。
尽管此处描述的示例环境可使用硬盘212、可移动磁盘216和可移动光盘219,但是能够存储数据的其它类型的计算机可读介质也可在本示例系统200中使用。能在示例操作环境中使用的这些其它类型的计算机可读介质的示例包括磁带盒、闪存卡、数字视频盘、贝努里盒式磁带、随机存取存储器(RAM)和只读存储器(ROM)。
多个程序模块可存储在硬盘212、磁盘216、光盘219、ROM208或RAM210之上,这些程序模块包括诸如来自微软公司的WINDOWS操作系统等操作系统、一个或多个应用程序228、其它程序模块230和程序数据232。
用户可通过诸如键盘234、鼠标236或其它定点设备等输入设备将命令和信息输入至计算机系统200中。其它输入设备的示例包括工具栏、菜单、触摸屏、扩音器、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等等。这些及其它输入设备通常通过耦合至系统总线206的串行端口接口240连接至处理器单元202。然而,这些输入设备也可通过诸如并行端口、游戏端口、或通用串行总线(USB)等其它接口来连接。LCD显示器242或其它类型的显示设备也通过诸如视频适配器244等接口连接至系统总线206。除了显示器242之外,计算机系统还可通常包括诸如扬声器和打印机等其它外围输出设备(未示出)。
计算机系统200采用与诸如远程计算机246等一个或多个远程计算机的逻辑连接在联网环境中操作。远程计算机246可以是计算机系统、服务器、路由器、网络PC、对等设备、或其它常见的网络节点等等,并且通常包括许多或全部以上关于计算机系统200所描述的元件。网络连接包括局域网(LAN)248和广域网(WAN)250。这样的网络连接环境在办公室、企业范围计算机网络、内联网和因特网中是常见的。
当在LAN网络连接环境中使用时,计算机系统200通过网络接口或适配器252连接至局域网248。当在WAN网络连接环境中使用时,计算机系统200通常包括调制解调器254,或用于通过诸如因特网等广域网250建立通信的其它装置。可内置或外置的调制解调器254可通过串行端口接口240连接至系统总线206。在联网环境中,相对于计算机系统200所描绘的程序模块或其部分可以存储在远程存储器存储设备中。将意识到,所示出的网络连接是示例性的,并且可以采用在计算机之间建立通信链路的其它手段。
在此描述的实施例能够作为在计算机系统中的逻辑操作来实现。逻辑操作被实现为运行在计算机系统上的计算机实现的步骤或程序模块的序列和/或实现为计算系统内运行的互相连接的逻辑或硬件模块。实现是一个取决于特定的计算系统的性能要求的选择的问题。因此,组成此处所描述的实施例的逻辑操作被称为操作、步骤或模块。本领域的普通技术人员将意识到,这些操作、步骤和模块可以软件、固件、专用数字逻辑和它们的任何组合来实现,而不脱离本公开的精神和范围。这种软件、固件或类似的计算机指令的序列可被编码并存储在计算机可读存储介质上并且还可编码到载波信号中,以供计算设备之间进行传输。
现在参考图3,又一次示出示例主方110和信赖方120。主方110可使用例如类似于上述计算机系统200的计算机系统300(见图6)与信赖方120通信。在示出的实例中,主方110使用计算机300向信赖方120发送对物品、服务或其它信息的请求。例如,在一个实施例中,主方110向信赖方120发送对主方110期望的信息的访问请求。
由主方110发送的请求可包括使用例如WS-MetadataExchange中提供的机制对信赖方120的安全策略的请求。响应于该请求,信赖方120向主方110发送信赖方120认证主方110身份或关于主方110的其它信息的要求。信赖方120的认证要求在此处被称为安全策略。安全策略定义了主方110必需向信赖方120提供的以供信赖方120认证主方110的一组声明。
在一个示例中,信赖方120使用WS-SecuityPolicy来规范其安全策略,该安全策略包括信赖方120要求的声明要求和安全性令牌的类型两者。根据WS-SecruityPolicy的用于安全策略的基本形式在以下示例中示出。
<sp:IssuedToken...>
<sp:RequestSecurityTokenTemplate>
<wst:TokenType>
urn:oasis:names:tc:SAML:1.0:assertion
</wst:TokenType>
<wst:Claims
wst:Dialect=″http://schemas.microsoft.com/ws/2005/05/
identity″>
<ic:Claim
URI=″http://.../ws/2005/05/identity/claims/givenname″/
>
</wst:Claims>
</sp:RequestSecurityTokenTemplate>
</sp:IssuedToken>
在此示例中,关于主方的姓氏的一项声明是安全策略所要求的用于认证的。其它类型的声明的示例没有限制地包括以下:
●名-类型:xs:字符串-对象的名;
●姓-类型:xs:字符串-对象的首名字或祖姓;
●电子邮件地址-类型:xs:字符串-用于将发送至对象的电子邮件中的“To:”栏的首选地址,通常是<用户>@<域>的形式;
●街地址-类型:xs:字符串-对象的地址信息中的街地址组分;
●地区名或市-类型:xs:字符串-对象的地址信息中的地区组分;
●州或县-类型:xs:字符串-对象的地址信息中的州或县名的缩写;
●邮政编码-类型:xs:字符串-对象的地址信息中的邮政编码组分;
●国家-类型:xs:字符串-对象的国家;
●第一或家庭电话号码-类型:xs:字符串-对象的第一或家庭电话号码;
●第二或工作电话号码-类型:xs:字符串-对象的第二或工作电话号码;
●移动电话号码-类型:xs:字符串-对象的移动电话号码;
●出生日期-类型:xs:日期-采用xs:日期数据类型允许的形式的对象的出生日期;
●性别-类型:xs:标记-可具有确切的字符串值“男”、“女”或“未指明的”中的一个的对象的性别;以及
●专用个人标识符-类型:xs:基64的二进制(base64binary)-指示向信赖方标识该对象的专用标识符
本策略还可用来指定信赖方120所要求的安全性令牌的类型,或者使用如WS-Trust指定的默认类型。例如,以上指出的策略指定了信赖方120所要求的安全性令牌的某个类型(即,“wst:TokenType”)。
除了指定所要求的声明和令牌类型之外,安全策略可指定信赖方所要求的一特定的声明权威方(“sp:Issuer”),如下所示。
<sp:IssuedToken sp:Usage=″xs:anyURI″sp:IncludeToken=″xs:anyURI″...>
<sp:Issuer>
<wsa:EndpointReference>...</wsa:EndpointReference>
</sp:Issuer>
<sp:RequestSecurityTokenTemplate>
...
</sp:RequestSecurityTokenTemplate>
<wsp:Policy>
...
</wsp:Policy>
...
</sp:IssuedToken>
该策略可略去这个元素,而将对适当的声明权威方的确定留给主方。
还可以在安全策略中指定其它元素,例如,所要求的安全性令牌的新鲜性。
现在参考图4,一旦主方110从信赖方120接收了安全策略,主方110可与一个或多个声明权威方通信来搜集该策略所需的声明。在示出的示例中,主方110将安全策略的要求与声明转换方130和声明权威方140传达。
例如,主方110可使用WS-Trust中所描述的颁发机制向声明权威方140请求一个或多个安全性令牌。在一个示例中,主方110将信赖方120的策略中的声明要求转发给声明权威方140。信赖方120的身份可以(而不是必需)在主方110发送给声明权威方140的请求中被指定。该请求还可包括其它要求,诸如以下进一步描述的显示令牌的请求。
以下提供对安全性令牌的请求的示例。
<wst:RequestSecurityToken>
<wst:TokenType>
urn:oasis:names:tc:SAML:1.0:assertion
</wst:TokenType>
<wst:Claims
wst:Dialect=″http://schemas.microsoft.com/ws/2005/05/identit
y″>
<ic:Claim
URI=″http://.../ws/2005/05/identity/claims/givenname″/>
</wst:Claims>
</wst:RequestSecurityToken>
在示例实施例中,声明权威方140可具有如WS-SecurityPolicy中指定的其自己的安全策略并且声明权威方140向主方110转发安全性令牌之前请求认证主方110。
声明权威方140可提供信赖方120的策略所要求的声明中的一个或多个声明。例如,声明权威方140被编程为生成该策略所要求的一个或多个声明。声明转换方130被编程为将声明权威方140的声明翻译成信赖方120可理解的一个或多个声明。在示例实施例中,如下所述,声明转换方130生成包括一个或多个声明的一个或多个经签名的安全性令牌150。
然后,安全性令牌150被转发给主方110。在示例实施例中,声明转换方130使用WS-Trust中所描述的响应机制向主方110转发安全性令牌150。
现在参考图5,示出示例安全性令牌150。在示出的实施例中,安全性令牌150包括可计算令牌152和显示令牌154。可计算令牌152包括由声明权威方130以加密格式提供的声明。在示例实施例中,如下所述的,声明转换方130以能被信赖方120所理解(即,解密)的加密格式生成可计算令牌152。
声明转换方130还生成显示令牌154。一般而言,显示令牌154至少包括安全性令牌150的可计算令牌152中所包括的声明的概要。例如,在某些实施例中,显示令牌154包括可计算令牌152中所包括的所有声明的列表。如下所述,可按一种能被主方110通过使用例如计算机系统300来审阅的格式生成显示令牌154。在某些示例中,显示令牌154以纯文本格式或超文本标记语言(“HTML”)格式生成。以下示出作为安全性令牌响应的一部分而被包括的显示令牌的一个实施例的示例。
<ic:RequestedDisplayToken>
<ic:DisplayToken xml:lang=″en-us″>
<ic:DisplayClaim
URI=″http://.../ws/2005/05/identity/claims/givenname″>
<ic:DisplayTag>Given Name</ic:DisplayTag>
<ic:DisplayValue>John</ic:DisplayValue>
</ic:DisplayClaim>
<ic:DisplayClaim
URI=″http://.../ws/2005/05/identity/claims/surname″>
<ic:DisplayTag>Last Name</ic:DisplayTag>
<ic:DisplayValue>Doe</ic:DisplayValue>
</ic:DisplayClaim>
<ic:DisplayToken>
</ic:RequestedDisplayToken>
以下是以上所示的显示令牌中的元素的总体描述。
●/ic:RequestedDisplayToken/ic:DisplayToken——返回的显示令牌;
●/ic:RequestedDisplayToken/ic:DisplayToken/@xml:lang——这个属性指示语言标识符,使用RFC3066中指定的语言代码,在该语言代码中,显示令牌的内容被本地化;
●/ic:RequestedDisplayToken/ic:DisplayToken/ic:DisplayClaim——这个元素指示安全性令牌中所返回的个人声明;
●/ic:RequestedDisplayToken/ic:DisplayToken/ic:DisplayClaim/@URI——这个属性提供安全性令牌中所返回的个人声明的唯一标识符(URI);
●/ic:RequestedDisplayToken/ic:DisplayToken/ic:DisplayClaim/ic:DisplayTag——这个可选项元素为安全性令牌中所返回的声明提供通用或友好的名称;
●/ic:RequestedDisplayToken/ic:DisplayToken/ic:DisplayClaim/ic:Description——这个选项为安全性令牌中所返回的声明提供语义学的描述。
●/ic:RequestedDisplayToken/ic:DisplayToken/ic:DisplayClaim/ic:DisplayValue——这个可选项元素为安全性令牌中所返回的声明提供一个或多个可显示值;
●/ic:RequestedDisplayToken/ic:DisplayToken/ic:DisplayTokenText(未显示)——当令牌内容不适用于作为单个声明显示时,这个可选项元素从整体上提供整个令牌的替换文本表示。
在某些实施例中,根据结构化信息标准促进组织(OASIS)发布的安全断言标记语言(“SAML”)标准来颁发包括可计算令牌152的安全性令牌150。例如,可根据SAML1.1或SAML2.0标准来颁发安全性令牌150。还有使用例如(非限制性)X.509证书和Kerberos票证等其它标准。
另外,安全性令牌150可使用已知算法由声明转换方130对其以密码方式签名或背面签署。在一个实施例中,使用例如(非限制性)2048比特非对称RSA密钥。在其它实施例中,可使用例如base64编码的对称加密密钥等其它加密算法。在一个实施例中,默认使用对称密钥。按这种方式,在示出的示例中,诸如信赖方120等一方可以密码方式验证安全性令牌150是否源于声明转换方140。
在示例实施例中,使用例如(非限制性)对来自声明权威方的包含可计算令牌152和显示令牌154两者的整个响应消息的数字签名的一个或多个已知算法将可计算令牌152以密码方式与显示令牌154绑定。
现在参考图6,主方110的示例计算机系统300可包括解释器312和显示设备314。例如,在示出的实施例中,解释器312可以是计算机系统300可执行的一个或多个应用程序(例如,见上述的程序228)。另外,显示设备314可以是诸如能将信息输出至主方110的打印机或监视器等输出设备。
在示例实施例中,解释器312被编程为解释安全性令牌150的显示令牌152。例如,解释器312可标识显示令牌152中所概述的声明,并且解释器312可使用显示设备314向主方110显示该声明。如下进一步所述,主方110可使用安全性令牌150中包括的提供于显示设备314上的声明概要来做出是否要与信赖方120共享安全性令牌150的决定。
现在参考图7,主方110可向信赖方120转发安全令牌150来满足于信赖方120的全部或部分的安全策略。在一个示例中,主方110可通过使用WS-Security所描述的安全绑定机制将安全性令牌150绑定至应用程序消息以便将安全性令牌150转发至信赖方120。
一旦信赖方120接收到安全性令牌150,信赖方120可以密码方式验证该签名的安全性令牌150的来源。信赖方120还可使用安全性令牌150的计算令牌152中的声明来满足于信赖方120的安全策略以便认证主方110。一旦认证完成,信赖方120可提供对主方110所请求的物品、服务或其它信息的访问。
现在参考图8,示出用于认证主方的示例方法400。参考一个在其中主方是雇员A的非限制性示例来描述方法400。雇员A是一被称为“公司A”的公司的雇员,并且信赖方是被称为“旅行社A”的旅行社。公司A与旅行社A合作以打折价为公司A的员工作旅行安排。
在方法400的操作410处,主方向信赖方请求信息。例如,在示出的实施例中,雇员A使用雇员A的计算机上的应用程序来向旅行社A的网站请求旅行安排。接着,在操作420处,雇员A的计算机接收来自旅行社A的网站的安全策略。该策略要求雇员A在能访问旅行社A的网站中的打折的旅行安排之前提交带有证实该雇员A是公司A的雇员的声明的安全性令牌。
在操作430中,雇员A的计算机向声明权威方转发该策略,在本示例中,该声明权威方是公司A运行的安全性令牌服务即STS。公司A的STS可颁发带有证实雇员A是公司A的雇员的声明的安全性令牌。例如,该声明可简单地是“是公司A的雇员=真”。接着,在操作440处,雇员A的计算机接收来自公司A的STS的经签名的安全性令牌。该安全性令牌包括可计算令牌和显示令牌,其中该可计算令牌包括证实该雇员A是公司A的雇员的声明。
然后,控制传递给操作450处,并且雇员A的计算机将来自显示令牌的声明的概要展示给雇员A以供审阅。接着,在操作460处,雇员A可基于向雇员A所展示的显示令牌中的信息决定是否将安全性令牌转发至旅行社A的网站。
例如,如果公司A的安全性令牌中的仅有声明是雇员A是公司A的雇员(即,“是公司A的雇员=真”),则显示令牌将向雇员A列出该声明以供审阅。如果雇员A认为可以将该信息显示给旅行社A,则在操作465处,雇员A可将安全性令牌转发至旅行社A的网站。然后,控制传递给操作470,并且雇员A获得对旅行社A的网站上的所请求的打折旅行安排的访问。
在操作460处,如果雇员A取而代之地决定不转发该安全性令牌,则控制传递给操作480,并且雇员A不将该安全性令牌转发至旅行社A的网站。例如,如果公司A的安全性令牌包括关于雇员A的多于一个的声明,并且雇员A标识出雇员A不愿意与旅行社A共享的一个声明(通过审阅显示令牌),则雇员A可决定不转发该安全性令牌。例如,如果来自公司A的安全性令牌不只是包括证实雇员A是公司A的雇员的声明,还包括带有雇员A的家庭电话号码的声明,则雇员A可能会不希望与旅行社A共享雇员A的家庭电话号码。在这种情况下,雇员A可审阅来自安全性令牌的显示令牌的显示信息,确定该安全性令牌包括雇员A的家庭电话号码并决定不将该安全性令牌转发至旅行社A。
现在参考图9,示出关于方法400的操作450中所涉及的主方审阅安全性令牌中的显示令牌的另外的示例细节。在操作510中,安全性令牌的显示令牌由主方解释。例如,在某些实施例中,诸如网络浏览器插件或小应用程序或其它应用程序等应用程序被编程为解释显示令牌中所包含的信息。接着,在操作520处,应用程序被编程为使用诸如web浏览器界面等图形用户界面来向主方显示信息。在替换实施例中,其它配置也是可能的。
例如,现在参考图10,示出示例用户界面550。用户界面550显示安全性令牌的显示令牌中的信息。用户界面550包括来自显示令牌的显示信息的列表555。在该示出的示例中,显示信息包括雇员信息(例如,“公司A”)和家庭电话号码(例如,“999-999-9999”)。用户界面550还包括发送元素557和取消元素559。主方可选择发送元素557来向信赖方(例如,旅行社A)发送安全性令牌,或选择取消元素559来制止发送安全性令牌。
在替换实施例中,用户界面550中可提供额外信息。例如,在某些实施例中,可列出关于已发送至特定的信赖方的其它安全性令牌的信息和/或可列出关于当前正显示的特定安全性令牌先前被发送至何处的信息。在其它实施例中,用户界面中可提供关于将要向其发送安全性令牌的特定信赖方的信息,和/或提供获得关于该信赖方的额外信息的链接。其它配置也是可能的。
现在参考图11,示出一种用于声明权威方和声明转换方生成包括可计算令牌和显示令牌的安全性令牌的示例方法600。再一次,参考上述提供的其中主方是雇员A、信赖方是旅行社A、声明权威方和声明转换方是公司A的非限制性示例来描述方法600。
在操作610处,公司A的STS接收由雇员A转发的旅行社A的策略。接着,在操作620处,公司A生成包括该策略所要求的一个或多个声明的计算令牌。在操作630处,生成包括关于可计算令牌中的声明的显示信息的显示令牌。最后,在操作650处,向雇员A转发包括以密码方式一起被绑定在响应消息中的可计算令牌和显示令牌的安全性令牌。
在示例实施例中,在声明转换方颁发的每个安全性令牌中可默认地提供一显示令牌。在其它实施例中,仅当主方请求显示令牌时才提供显示令牌。以下是安全性令牌请求中所包括的该显示令牌请求的示例。
<wst:RequestSecurityToken>
<ic:RequestDisplayToken LangId=″en-us″/>
</wst:RequestSecurityToken>
选项属性“LangID”指示用于显示令牌的语言标识符,它使用RFC3066中指定的语言代码。
在示例实施例中,如果安全性令牌缺少显示令牌,则主方被告知缺少显示令牌并且主方可决定是否将该安全性令牌转发至信赖方。在其它实施例中,如果没有提供显示令牌,则不向主方提供任何显示信息。
在示例实施例中,主方可审阅来自显示令牌的显示信息并决定是否将该安全性令牌转发至信赖方。在其它实施例中,主方可审阅显示信息,但是不能选择来停止将该安全性令牌转发至信赖方。换言之,一旦主方请求安全性令牌,则一旦主方接收到该安全性令牌,安全性令牌会自动被转发至信赖方。
在示例实施例中,主方向信赖方只转发安全性令牌的可计算令牌那部分。在其它实施例中,主方向信赖方转发包括可计算令牌和显示令牌两者的整个安全性令牌。
尽管此处示出的示例实施例阐述了由声明转换方转发至主方并接着转发至信赖方的安全性令牌,但是在替换实施例中,可将安全性令牌直接从声明转换方转发至信赖方。例如,在某些实施例中,一个包括可计算令牌(且很可能包括显示令牌)的安全性令牌可转发至信赖方,并且包括显示令牌(且很可能包括可计算令牌)的其它安全性令牌可转发至主方。其它配置也是可能的。
尽管此处示出的示例实施例阐述了仅要求单个声明的安全策略并且单个安全性令牌由一个声明转换方颁发,但是在其它实施例中,策略可要求多个声明,并且一个或多个声明权威方可颁发带有一个或多个声明的一个或多个安全性令牌以便满足于该策略。
尽管在此处公开的某些实施例中,主方是个人,但是在替换实施例中,主方可以是公司、组织、计算机或其它设备、服务或任何其它类型的实体。例如,在一个替换实施例中,主方是作为网络的一部分的设备。该设备可向网络上作为信赖方的另一个设备请求诸如软件升级等信息。该信赖方可在其提供所请求的更新之前要求认证该设备的身份。该设备可向一个或多个声明转换方请求信赖方的安全策略所要求的一个或多个声明,并且该声明转换方可向该设备提供包括显示令牌的一个或多个安全性令牌。该设备可被编程为审阅显示令牌的内容并基于其内容决定是否向信赖方转发安全性令牌。如果该设备向信赖方转发了安全性令牌,则,然后,该信赖方可完成认证过程并向该设备提供该请求的升级。
可以有各种与包括计算令牌和带有能被主方审阅的显示信息的显示令牌的安全性令牌相关联的优点。例如,主方可使用主方的客户端计算机系统上的被编程为解释和显示该显示令牌的内容的应用程序来有效地审阅安全性令牌的内容。另外,主方对安全性令牌的内容的审阅允许主方对与信赖方共享安全性令牌中的信息有更多的控制。此外,万一发生了关于主方的未授权信息的公开,则这样一种包括绑定在一起的可计算令牌和显示令牌两者的安全性令牌的系统可提供可审核追踪。
仅作为示例提供上述的各种实施例,并且不应该被理解为是限制性的。本领域的技术人员将容易地认识到可对上述的各实施例做出各种修改和改变,而不离开本公开或所附权利要求的真正的精神和范围。
Claims (15)
1.一种用于提供数字身份的系统,所述系统包括被编程为生成包括可计算令牌和显示令牌的安全性令牌的声明转换方,所述可计算令牌包括与一主方的身份相关联的一个或多个声明,并且所述显示令牌包括关于所述可计算令牌中的所述声明的显示信息,其中所述显示信息被配置成允许所述主方查看所述显示令牌。
2.如权利要求1所述的系统,其特征在于,所述安全性令牌被所述声明转换方以密码方式签名。
3.如权利要求1所述的系统,其特征在于,所述可计算令牌以密码方式与所述显示令牌绑定。
4.如权利要求1所述的系统,其特征在于,所述显示令牌按纯文本格式来提供。
5.如权利要求1所述的系统,其特征在于,所述显示令牌包括被编程为列出所述声明之一的名称的第一显示标签,和被编程为列出所述声明之一的值的第二显示标签。
6.一种用于提供数字身份的方法,所述方法包括:
接收包括可计算令牌和显示令牌的安全性令牌,所述可计算令牌包括与一主方的身份相关联的一个或多个声明,并且所述显示令牌包括关于所述可计算令牌中的所述声明的显示信息;以及
向所述主方显示所述显示令牌中的所述显示信息以便所述主方可审阅所述显示令牌的内容。
7.如权利要求6所述的方法,其特征在于,还包括向一信赖方转发所述安全性令牌。
8.如权利要求7所述的方法,其特征在于,还包括允许所述主方决定是否向所述信赖方转发所述安全性令牌。
9.如权利要求6所述的方法,其特征在于,所述可计算令牌以密码方式与所述显示令牌绑定。
10.如权利要求6所述的方法,其特征在于,所述显示令牌包括被编程为列出所述声明之一的名称的第一显示标签,和被编程为列出所述声明之一的值的第二显示标签。
11.一种具有用于执行以下步骤的计算机可执行指令的计算机可读介质,所述步骤包括:
接收包括可计算令牌和显示令牌的安全性令牌,所述可计算令牌包括与一主方的身份相关联的一个或多个声明,并且所述显示令牌包括关于所述可计算令牌中的所述声明的显示信息;以及
向所述主方显示所述显示令牌中的所述显示信息以便所述主方可审阅所述显示令牌的内容。
12.如权利要求11所述的计算机可读介质,其特征在于,所述步骤还包括向一信赖方转发所述安全性令牌。
13.如权利要求12所述的计算机可读介质,其特征在于,所述步骤还包括允许所述主方决定是否向所述信赖方转发所述安全性令牌。
14.如权利要求11所述的计算机可读介质,其特征在于,所述可计算令牌以密码方式与所述显示令牌绑定。
15.如权利要求11所述的计算机可读介质,其特征在于,所述显示令牌包括被编程为列出所述声明之一的名称的第一显示标签,以及被编程为列出所述声明之一的值的第二显示标签。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/312,920 US7788499B2 (en) | 2005-12-19 | 2005-12-19 | Security tokens including displayable claims |
| US11/312,920 | 2005-12-19 | ||
| PCT/US2006/045386 WO2007075247A1 (en) | 2005-12-19 | 2006-11-22 | Security tokens including displayable claims |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101331509A true CN101331509A (zh) | 2008-12-24 |
| CN101331509B CN101331509B (zh) | 2012-06-27 |
Family
ID=38175330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800475254A Expired - Fee Related CN101331509B (zh) | 2005-12-19 | 2006-11-22 | 包括可显示的声明的安全性令牌 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7788499B2 (zh) |
| EP (1) | EP1964043A4 (zh) |
| JP (1) | JP5010615B2 (zh) |
| KR (1) | KR101319636B1 (zh) |
| CN (1) | CN101331509B (zh) |
| BR (1) | BRPI0620078A2 (zh) |
| RU (1) | RU2421789C2 (zh) |
| WO (1) | WO2007075247A1 (zh) |
Families Citing this family (65)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101048898B (zh) * | 2004-10-29 | 2012-02-01 | 麦德托尼克公司 | 锂离子电池及医疗装置 |
| US8117459B2 (en) * | 2006-02-24 | 2012-02-14 | Microsoft Corporation | Personal identification information schemas |
| US8104074B2 (en) | 2006-02-24 | 2012-01-24 | Microsoft Corporation | Identity providers in digital identity system |
| US20070203852A1 (en) * | 2006-02-24 | 2007-08-30 | Microsoft Corporation | Identity information including reputation information |
| US8078880B2 (en) * | 2006-07-28 | 2011-12-13 | Microsoft Corporation | Portable personal identity information |
| US20080066158A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Authorization Decisions with Principal Attributes |
| US20080066169A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Fact Qualifiers in Security Scenarios |
| US8201215B2 (en) | 2006-09-08 | 2012-06-12 | Microsoft Corporation | Controlling the delegation of rights |
| US8060931B2 (en) | 2006-09-08 | 2011-11-15 | Microsoft Corporation | Security authorization queries |
| US7814534B2 (en) * | 2006-09-08 | 2010-10-12 | Microsoft Corporation | Auditing authorization decisions |
| US8095969B2 (en) | 2006-09-08 | 2012-01-10 | Microsoft Corporation | Security assertion revocation |
| US20080065899A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Variable Expressions in Security Assertions |
| US8656503B2 (en) | 2006-09-11 | 2014-02-18 | Microsoft Corporation | Security language translations with logic resolution |
| US8938783B2 (en) * | 2006-09-11 | 2015-01-20 | Microsoft Corporation | Security language expressions for logic resolution |
| US20080066147A1 (en) * | 2006-09-11 | 2008-03-13 | Microsoft Corporation | Composable Security Policies |
| US8387108B1 (en) * | 2006-10-31 | 2013-02-26 | Symantec Corporation | Controlling identity disclosures |
| US8407767B2 (en) * | 2007-01-18 | 2013-03-26 | Microsoft Corporation | Provisioning of digital identity representations |
| US8087072B2 (en) * | 2007-01-18 | 2011-12-27 | Microsoft Corporation | Provisioning of digital identity representations |
| US8689296B2 (en) * | 2007-01-26 | 2014-04-01 | Microsoft Corporation | Remote access of digital identities |
| US20080201338A1 (en) * | 2007-02-16 | 2008-08-21 | Microsoft Corporation | Rest for entities |
| US8301901B2 (en) * | 2007-03-06 | 2012-10-30 | Emc Corporation | System and method for expressing and evaluating signed reputation assertions |
| US20090077118A1 (en) * | 2007-03-16 | 2009-03-19 | Novell, Inc. | Information card federation point tracking and management |
| US20090204622A1 (en) * | 2008-02-11 | 2009-08-13 | Novell, Inc. | Visual and non-visual cues for conveying state of information cards, electronic wallets, and keyrings |
| US20090077655A1 (en) * | 2007-09-19 | 2009-03-19 | Novell, Inc. | Processing html extensions to enable support of information cards by a relying party |
| US20090178112A1 (en) * | 2007-03-16 | 2009-07-09 | Novell, Inc. | Level of service descriptors |
| US20090249430A1 (en) * | 2008-03-25 | 2009-10-01 | Novell, Inc. | Claim category handling |
| US20090228885A1 (en) * | 2008-03-07 | 2009-09-10 | Novell, Inc. | System and method for using workflows with information cards |
| US8151324B2 (en) | 2007-03-16 | 2012-04-03 | Lloyd Leon Burch | Remotable information cards |
| US20090077627A1 (en) * | 2007-03-16 | 2009-03-19 | Novell, Inc. | Information card federation point tracking and management |
| US8087060B2 (en) | 2007-03-16 | 2011-12-27 | James Mark Norman | Chaining information card selectors |
| US7870597B2 (en) | 2007-04-10 | 2011-01-11 | Symantec Corporation | Method and apparatus for managing digital identities through a single interface |
| US20090063312A1 (en) * | 2007-08-28 | 2009-03-05 | Hurst Douglas J | Method and System for Processing Secure Wireless Payment Transactions and for Providing a Virtual Terminal for Merchant Processing of Such Transactions |
| KR20090051966A (ko) * | 2007-11-20 | 2009-05-25 | 한국전자통신연구원 | 웹사이트 로그인 처리 방법 및 장치 |
| US20090199284A1 (en) * | 2008-02-06 | 2009-08-06 | Novell, Inc. | Methods for setting and changing the user credential in information cards |
| US20090205035A1 (en) * | 2008-02-11 | 2009-08-13 | Novell, Inc. | Info card selector reception of identity provider based data pertaining to info cards |
| US20090204542A1 (en) * | 2008-02-11 | 2009-08-13 | Novell, Inc. | Privately sharing relying party reputation with information card selectors |
| US20090210400A1 (en) * | 2008-02-15 | 2009-08-20 | Microsoft Corporation | Translating Identifier in Request into Data Structure |
| US20090217368A1 (en) * | 2008-02-27 | 2009-08-27 | Novell, Inc. | System and method for secure account reset utilizing information cards |
| US8079069B2 (en) | 2008-03-24 | 2011-12-13 | Oracle International Corporation | Cardspace history validator |
| US20090272797A1 (en) * | 2008-04-30 | 2009-11-05 | Novell, Inc. A Delaware Corporation | Dynamic information card rendering |
| US8910257B2 (en) * | 2008-07-07 | 2014-12-09 | Microsoft Corporation | Representing security identities using claims |
| US20100011409A1 (en) * | 2008-07-09 | 2010-01-14 | Novell, Inc. | Non-interactive information card token generation |
| US20100031328A1 (en) * | 2008-07-31 | 2010-02-04 | Novell, Inc. | Site-specific credential generation using information cards |
| US8561172B2 (en) | 2008-08-29 | 2013-10-15 | Novell Intellectual Property Holdings, Inc. | System and method for virtual information cards |
| US20100095372A1 (en) * | 2008-10-09 | 2010-04-15 | Novell, Inc. | Trusted relying party proxy for information card tokens |
| WO2010045156A2 (en) * | 2008-10-13 | 2010-04-22 | Hewlett-Packard Development Company, L.P. | Systems and processes for securing sensitive information |
| US8083135B2 (en) | 2009-01-12 | 2011-12-27 | Novell, Inc. | Information card overlay |
| US8632003B2 (en) * | 2009-01-27 | 2014-01-21 | Novell, Inc. | Multiple persona information cards |
| US20100251353A1 (en) * | 2009-03-25 | 2010-09-30 | Novell, Inc. | User-authorized information card delegation |
| US8078870B2 (en) * | 2009-05-14 | 2011-12-13 | Microsoft Corporation | HTTP-based authentication |
| US20100299738A1 (en) * | 2009-05-19 | 2010-11-25 | Microsoft Corporation | Claims-based authorization at an identity provider |
| US8825745B2 (en) | 2010-07-11 | 2014-09-02 | Microsoft Corporation | URL-facilitated access to spreadsheet elements |
| US9582673B2 (en) | 2010-09-27 | 2017-02-28 | Microsoft Technology Licensing, Llc | Separation of duties checks from entitlement sets |
| EP2453377A1 (en) * | 2010-11-15 | 2012-05-16 | Gemalto SA | Method of loading data into a portable secure token |
| US9038155B2 (en) * | 2011-12-02 | 2015-05-19 | University Of Tulsa | Auditable multiclaim security token |
| US8725650B2 (en) * | 2012-01-26 | 2014-05-13 | Microsoft Corporation | Document template licensing |
| US9055314B2 (en) * | 2012-10-04 | 2015-06-09 | Verizon Patent And Licensing Inc. | Secure transfer of credit card information |
| EP2822216A1 (en) * | 2013-07-05 | 2015-01-07 | Gemalto SA | Method of privacy preserving during an access to a restricted service |
| US11349675B2 (en) * | 2013-10-18 | 2022-05-31 | Alcatel-Lucent Usa Inc. | Tamper-resistant and scalable mutual authentication for machine-to-machine devices |
| US10929858B1 (en) * | 2014-03-14 | 2021-02-23 | Walmart Apollo, Llc | Systems and methods for managing customer data |
| WO2016115633A1 (en) * | 2015-01-21 | 2016-07-28 | FusionPipe Software Solutions Inc. | Enhanced security authentication methods, systems and media |
| US9934543B2 (en) | 2015-07-17 | 2018-04-03 | Bank Of America Corporation | Secure traveler framework |
| WO2018175980A1 (en) * | 2017-03-24 | 2018-09-27 | Comet Enterprises, Inc. | A credential management system for distributed authentication, and related systems and methods |
| JP6731887B2 (ja) * | 2017-06-27 | 2020-07-29 | Kddi株式会社 | 保守システム及び保守方法 |
| JP6696942B2 (ja) * | 2017-08-14 | 2020-05-20 | Kddi株式会社 | 車両保安システム及び車両保安方法 |
Family Cites Families (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS63242751A (ja) | 1987-03-30 | 1988-10-07 | Matsushita Electric Ind Co Ltd | 乗物用テレビジヨン装置 |
| US5442704A (en) * | 1994-01-14 | 1995-08-15 | Bull Nh Information Systems Inc. | Secure memory card with programmed controlled security access control |
| US5678015A (en) * | 1995-09-01 | 1997-10-14 | Silicon Graphics, Inc. | Four-dimensional graphical user interface |
| US5898435A (en) | 1995-10-02 | 1999-04-27 | Sony Corporation | Image controlling device and image controlling method |
| US6005939A (en) * | 1996-12-06 | 1999-12-21 | International Business Machines Corporation | Method and apparatus for storing an internet user's identity and access rights to world wide web resources |
| FR2776415A1 (fr) | 1998-03-20 | 1999-09-24 | Philips Consumer Communication | Appareil electronique comportant un ecran et procede pour afficher des graphismes |
| US6161125A (en) * | 1998-05-14 | 2000-12-12 | Sun Microsystems, Inc. | Generic schema for storing configuration information on a client computer |
| US20020056043A1 (en) | 1999-01-18 | 2002-05-09 | Sensar, Inc. | Method and apparatus for securely transmitting and authenticating biometric data over a network |
| JP2000259278A (ja) * | 1999-03-12 | 2000-09-22 | Fujitsu Ltd | 生体情報を用いて個人認証を行う認証装置および方法 |
| US6553494B1 (en) * | 1999-07-21 | 2003-04-22 | Sensar, Inc. | Method and apparatus for applying and verifying a biometric-based digital signature to an electronic document |
| US6785810B1 (en) * | 1999-08-31 | 2004-08-31 | Espoc, Inc. | System and method for providing secure transmission, search, and storage of data |
| KR100866264B1 (ko) | 1999-10-20 | 2008-11-03 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | 정보 프로세싱 디바이스 |
| JP3580200B2 (ja) * | 1999-10-28 | 2004-10-20 | ブラザー工業株式会社 | 記録情報処理装置および記録情報処理プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| US6738901B1 (en) * | 1999-12-15 | 2004-05-18 | 3M Innovative Properties Company | Smart card controlled internet access |
| EP2290577B1 (en) * | 2000-02-18 | 2017-08-16 | Vasco Data Security International GmbH | Token device having a USB connector |
| US7409543B1 (en) * | 2000-03-30 | 2008-08-05 | Digitalpersona, Inc. | Method and apparatus for using a third party authentication server |
| JP4586237B2 (ja) * | 2000-05-23 | 2010-11-24 | 沖電気工業株式会社 | 生体照合システム |
| JP2001344205A (ja) * | 2000-05-31 | 2001-12-14 | Nippon Telegr & Teleph Corp <Ntt> | サービス提供システムおよびサービス提供方法ならびに記録媒体 |
| GB0027685D0 (en) * | 2000-11-13 | 2000-12-27 | Canon Kk | Filter based authoring tool |
| US7047418B1 (en) * | 2000-11-29 | 2006-05-16 | Applied Minds, Inc. | Imaging method and device using biometric information for operator authentication |
| US6934913B2 (en) * | 2000-12-07 | 2005-08-23 | International Business Machines Corp. | Graphical data entry screen |
| US20020175916A1 (en) * | 2001-04-16 | 2002-11-28 | Nichols Michael R. | Method for presenting circular dialog windows |
| US7069447B1 (en) * | 2001-05-11 | 2006-06-27 | Rodney Joe Corder | Apparatus and method for secure data storage |
| US7103773B2 (en) * | 2001-10-26 | 2006-09-05 | Hewlett-Packard Development Company, L.P. | Message exchange in an information technology network |
| WO2003048892A2 (en) * | 2001-11-14 | 2003-06-12 | Mari Myra Shaw | Access, identity, and ticketing system for providing multiple access methods for smart devices |
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
| FR2836251B1 (fr) * | 2002-02-18 | 2004-06-25 | Gemplus Card Int | Dispositif et procede de securisation de donnees sensibles, notamment entre deux parties via un organisme tiers |
| US7308579B2 (en) * | 2002-03-15 | 2007-12-11 | Noel Abela | Method and system for internationally providing trusted universal identification over a global communications network |
| US7162475B2 (en) * | 2002-04-17 | 2007-01-09 | Ackerman David M | Method for user verification and authentication and multimedia processing for interactive database management and method for viewing the multimedia |
| US6993659B2 (en) * | 2002-04-23 | 2006-01-31 | Info Data, Inc. | Independent biometric identification system |
| US7096200B2 (en) | 2002-04-23 | 2006-08-22 | Microsoft Corporation | System and method for evaluating and enhancing source anonymity for encrypted web traffic |
| US20040010720A1 (en) * | 2002-07-12 | 2004-01-15 | Romi Singh | System and method for remote supervision and authentication of user activities at communication network workstations |
| US6810480B1 (en) * | 2002-10-21 | 2004-10-26 | Sprint Communications Company L.P. | Verification of identity and continued presence of computer users |
| US7284062B2 (en) * | 2002-12-06 | 2007-10-16 | Microsoft Corporation | Increasing the level of automation when provisioning a computer system to access a network |
| GB0229894D0 (en) | 2002-12-21 | 2003-01-29 | Ibm | Methods, apparatus and computer programs for generating and/or using conditional electronic signatures and/or for reporting status changes |
| US8255978B2 (en) * | 2003-03-11 | 2012-08-28 | Innovatrend, Inc. | Verified personal information database |
| US8014570B2 (en) * | 2004-11-16 | 2011-09-06 | Activcard, Inc. | Method for improving false acceptance rate discriminating for biometric authentication systems |
| US8108920B2 (en) * | 2003-05-12 | 2012-01-31 | Microsoft Corporation | Passive client single sign-on for web applications |
| US7406601B2 (en) * | 2003-05-23 | 2008-07-29 | Activecard Ireland, Ltd. | Secure messaging for security token |
| US20070197294A1 (en) * | 2003-09-12 | 2007-08-23 | Gong Xiaoqiang D | Communications interface for a gaming machine |
| US8190893B2 (en) * | 2003-10-27 | 2012-05-29 | Jp Morgan Chase Bank | Portable security transaction protocol |
| US20050108575A1 (en) * | 2003-11-18 | 2005-05-19 | Yung Chong M. | Apparatus, system, and method for faciliating authenticated communication between authentication realms |
| US20050125677A1 (en) * | 2003-12-09 | 2005-06-09 | Michaelides Phyllis J. | Generic token-based authentication system |
| US20050124320A1 (en) * | 2003-12-09 | 2005-06-09 | Johannes Ernst | System and method for the light-weight management of identity and related information |
| US7634801B2 (en) * | 2004-01-09 | 2009-12-15 | Panasonic Corporation | Multifunction machine and personal authentication method of multifunction machine |
| US7953759B2 (en) * | 2004-02-17 | 2011-05-31 | Microsoft Corporation | Simplifying application access to schematized contact data |
| US7355110B2 (en) * | 2004-02-25 | 2008-04-08 | Michael Tepoe Nash | Stringed musical instrument having a built in hand-held type computer |
| US20060010007A1 (en) * | 2004-07-09 | 2006-01-12 | Denman John F | Process for using smart card technology in patient prescriptions, medical/dental/DME services processing and healthcare management |
| US20060206723A1 (en) * | 2004-12-07 | 2006-09-14 | Gil Youn H | Method and system for integrated authentication using biometrics |
| US20060129509A1 (en) * | 2004-12-09 | 2006-06-15 | Calpine Corporation, A Delaware Corporation | Database schema |
| EP1693801A3 (en) * | 2005-02-16 | 2006-11-29 | David Schaufele | Biometric-based systems and methods for identity verification |
| US8104074B2 (en) * | 2006-02-24 | 2012-01-24 | Microsoft Corporation | Identity providers in digital identity system |
| US8117459B2 (en) * | 2006-02-24 | 2012-02-14 | Microsoft Corporation | Personal identification information schemas |
| US20080289020A1 (en) | 2007-05-15 | 2008-11-20 | Microsoft Corporation | Identity Tokens Using Biometric Representations |
-
2005
- 2005-12-19 US US11/312,920 patent/US7788499B2/en active Active
-
2006
- 2006-11-22 CN CN2006800475254A patent/CN101331509B/zh not_active Expired - Fee Related
- 2006-11-22 EP EP06838382A patent/EP1964043A4/en not_active Ceased
- 2006-11-22 JP JP2008545618A patent/JP5010615B2/ja not_active Expired - Fee Related
- 2006-11-22 KR KR1020087014863A patent/KR101319636B1/ko active IP Right Grant
- 2006-11-22 RU RU2008124907/08A patent/RU2421789C2/ru not_active IP Right Cessation
- 2006-11-22 WO PCT/US2006/045386 patent/WO2007075247A1/en active Application Filing
- 2006-11-22 BR BRPI0620078-8A patent/BRPI0620078A2/pt not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| RU2421789C2 (ru) | 2011-06-20 |
| KR20080078841A (ko) | 2008-08-28 |
| CN101331509B (zh) | 2012-06-27 |
| US20070143835A1 (en) | 2007-06-21 |
| US7788499B2 (en) | 2010-08-31 |
| WO2007075247A1 (en) | 2007-07-05 |
| RU2008124907A (ru) | 2009-12-27 |
| EP1964043A1 (en) | 2008-09-03 |
| JP2009520272A (ja) | 2009-05-21 |
| BRPI0620078A2 (pt) | 2011-11-01 |
| KR101319636B1 (ko) | 2013-10-17 |
| EP1964043A4 (en) | 2009-10-21 |
| JP5010615B2 (ja) | 2012-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101331509B (zh) | 包括可显示的声明的安全性令牌 | |
| CN101589361B (zh) | 控制数字身份表示的分发和使用的方法 | |
| US6539093B1 (en) | Key ring organizer for an electronic business using public key infrastructure | |
| RU2475840C2 (ru) | Предоставление цифровых удостоверений | |
| CA2731116C (en) | Systems and methods for distributed electronic signature documents | |
| CN100571129C (zh) | 联合用户生命周期管理的信任基础结构支持的方法和系统 | |
| CA2712471C (en) | Method for reading attributes from an id token | |
| US7233992B1 (en) | Computerized method and system for managing the exchange and distribution of confidential documents | |
| US20070204325A1 (en) | Personal identification information schemas | |
| US20120311326A1 (en) | Apparatus and method for providing personal information sharing service using signed callback url message | |
| JP3853528B2 (ja) | 認証管理システム及び認証管理方法 | |
| US20100274634A1 (en) | Method and system of conducting a communication | |
| TW200842648A (en) | Provisioning of digital identity representations | |
| CN101427234A (zh) | 对等联系人交换 | |
| JP2007060336A (ja) | 電子割印システム | |
| US20090165098A1 (en) | method of and system for conducting a trusted transaction and/or communication | |
| JP2010063069A (ja) | 認証局システム、電子証明書の発行方法及び情報処理方法 | |
| KR20130040461A (ko) | 증명서 발급 방법 및 장치, 증명서 관리 방법 및 장치, 증명서 수령 방법 및 장치, 및 증명서 제공 시스템 | |
| EP2387262B1 (en) | System and method for multi-certificate and certificate authority strategy | |
| KR101013935B1 (ko) | 계약자 인증을 이용하는 계약 인증 시스템 및 그 계약 인증방법 | |
| JP5771822B2 (ja) | デジタルデータ内容証明システム | |
| JP4002759B2 (ja) | 株主情報管理方法及び株主情報管理プログラム | |
| EP1923813B1 (en) | XSL Transformation (XSLT) for digital signatures for an electronic marketplace | |
| JP2005184215A (ja) | 電子署名承認データ送信方法及び装置 | |
| CN101601022B (zh) | 数字身份表示的供应 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150519 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150519 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120627 Termination date: 20191122 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |