CN101584148B - 数字身份表示的供应 - Google Patents
数字身份表示的供应 Download PDFInfo
- Publication number
- CN101584148B CN101584148B CN200880002607.6A CN200880002607A CN101584148B CN 101584148 B CN101584148 B CN 101584148B CN 200880002607 A CN200880002607 A CN 200880002607A CN 101584148 B CN101584148 B CN 101584148B
- Authority
- CN
- China
- Prior art keywords
- identity
- dir
- main body
- digital identity
- representations
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一种用于供应数字身份表示(DIR)的系统和方法使用各种技术和结构来方便管理、提高准确度、以及减少数字身份供应系统的不一致性。提供了一种为DIR发放和身份令牌发放两者使用公共身份数据存储的系统,从而减少了同步问题。提供了用于创建新DIR、向主体通知可用DIR、以及批准发放新DIR的各种方法。
Description
背景
近来,在开发向个人给予对特别是在数字上下文中如何分发和使用其个人身份信息的更多控制的系统方面出现了大量革新。例如,特别地,华盛顿州雷蒙德市的微软公司推广了一种有时被称为信息卡选择器的系统,微软对该信息卡选择器的实例化被称为Windows CardSpace。在Windows CardSpace系统中,主体获得一个或多个有时被称为信息卡的数字身份表示。当主体试图访问需要关于该主体做出的一组声明的资源(“依赖方”)时,该主体采用数字身份表示(以下称为“DIR”)来启动与可断言这些声明的身份提供者的通信。在某些情况下,身份提供者可由主体控制并在主体自己的机器上运行。在其它情况下,其可由第三方来控制。身份提供者返回包括所需声明信息的“身份令牌”。
然而,对于DIR的创建和供应却几乎没有任何关注。当前,数字身份系统的管理员被迫手动制作DIR。例如,管理员可手动地使用诸如XML生成器等软件实用程序来制作DIR并将其保存到特定位置。管理员然后可向主体发送指向该DIR的指针,并且主体然后可开始检索该DIR。该系统是事先未准备的,其遭受错误和安全漏洞,并且对于管理员而言是劳动密集型的。
概述
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。该概述不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
一个方面涉及一种用于为主体供应DIR的系统。该系统包括适用于接收为主体生成DIR的请求并然后生成该DIR的DIR生成系统。还提供了适用于响应于使用该DIR发起的通信来生成身份令牌的身份提供者,以及操作上连接到DIR生成系统和身份提供者的身份数据存储。DIR生成系统在生成DIR时访问身份数据存储,而身份提供者在生成身份令牌时也访问身份数据存储。
另一方面涉及一种用于为主体供应DIR的方法。该方法包括使用诸如用户名和口令等登录信息来向DIR生成系统认证主体。该方法还包括接收对DIR的请求并以包括至少某些登录信息的方式生成所请求的DIR。例如,相同的登录信息可用于保护或“支持”所得DIR。这向认证主体提供了关于在稍后要提供什么认证信息以供登录的提示。
另一方面涉及一种用于为主体供应DIR的另一方法。在该示例性方法中,生成第一DIR描述符和第二DIR描述符。这些可表示例如对主体可用的不同DIR。接着,将第一和第二DIR描述符发送到主体,使得主体知道例如什么DIR可用。然后从主体接收对于符合第一DIR描述符的至少第一DIR的请求。然后创建第一DIR。
另一方面涉及一种用于为主体供应DIR的再一方法。请求对依赖方的访问。然后接收拒绝访问并发送依赖方的安全策略的消息。然后向DIR生成系统请求满足该安全策略的DIR。最后,接收DIR。
附图简述
现在将对附图做出参考,这些附图不一定是按比例绘制的,并且其中:
图1示出了一个示例DIR系统,其包括主体、主体机器、依赖方、身份提供者、DIR生成系统、身份数据存储、管理员系统以及数据捕捉系统;
图2示出了用于DIR供应和使用的示例性方法;
图3示出了用于DIR供应和使用的另一示例性方法;
图4示出了用于DIR供应的另一示例性方法;
图5示出了用于DIR供应的另一示例性方法;
图6示出了用于DIR供应的另一示例性方法;
图7示出了用于DIR供应的另一示例性方法;
图8示出了用于DIR供应的另一示例性方法;以及
图9示出了计算设备的一个示例。
详细描述
现将参考附图,在下文更全面地描述各示例实施例。全文中,相同的附图标记表示相同的元素。
此处所公开的示例实施例一般涉及身份系统,其包括用于发起通信来产生身份令牌的DIR,该身份令牌可以在主体、身份提供者和依赖方之间交换以验证身份和/或与主体有关的信息。在此处的示例性实施例中,主体可以是一个或多个自然人、计算机、网络或任何其它实体。依赖方具有商品、服务、或主体期望访问和/或获得的其它信息。在各示例实施例中,依赖方可以是需要安全策略来输入、访问或使用的任何资源、特权或服务。例如,依赖方可以包括以下的一个或多个:计算机、计算机网络、数据、数据库、建筑物、人员、服务、公司、组织、物理位置、电子设备、或任何其它类型的资源。
现在参考图1,示出了包括主体110和依赖方120的示例DIR系统100。主体110拥有或控制主体机器111。主体机器111包括至少临时地由主体110控制的计算机系统。依赖方120也可包括计算机系统。系统100可以包括管理员系统160、数据捕捉系统162、DIR生成系统164、身份数据存储168、以及身份提供者115,其每一个都在以下进一步讨论,并且可包括计算机系统或是其一部分。
主体110和依赖方120可以通过诸如因特网等一个或多个网络或通过电话或其它形式的有线或无线通信来彼此通信。在各示例实施例中,主体110可以向依赖方120请求商品、服务、信息、特权或其它访问。依赖方120在向主体110提供所请求的访问之前或结合该提供,可以要求认证主体110的身份或关于主体110的信息。
图1中还示出了示例身份提供者115。身份提供者115包括计算机系统。在各示例实施例中,身份提供者115包括声明变换器130和声明授权机构140。声明变换器130有时被称为“安全令牌服务”。在所示的示例中,身份提供者115可以提供关于主体110的一个或多个声明。声明是关于主体所做出的陈述或断言,其可能包括关于主体的信息,如名字、地址、社会保险号、年龄、信用历史、交易要求等。如在以下进一步描述的,身份提供者115可以用数字地签署的身份令牌的形式来向主体110和/或依赖方120提供声明。在各示例实施例中,身份提供者115与依赖方120是可信关系,以便依赖方120信任来自身份提供者115的经签署的身份令牌中的声明。
尽管身份提供者115的声明变换器130和声明授权机构140在图1中被示为分开的实体,但在替换实施例中,声明变换器130和声明授权机构140可以是同一实体或不同的实体。在某些示例实施例中,身份提供者115可以采取安全令牌服务的形式。类似地,身份提供者115和DIR生成系统164可以是相同或不同的实体。
此处所描述的计算机系统包括但不限于,个人计算机、服务器计算机、手持式或膝上型设备、微处理器系统、基于微处理器的系统、可编程消费电子产品、网络PC、小型机、大型计算机、智能卡、电话、移动或蜂窝通信设备、个人数字助理、包括上述系统或设备中的任一个的分布式计算环境等等。此处所描述的某些计算机系统可包括便携式计算设备。便携式计算设备是被设计成由用户物理地携带的任何计算机系统。每一计算机系统可包括一个或多个外围设备,包括但不限于:键盘、鼠标、摄像机、web摄像头、摄影机、指纹扫描器、虹膜扫描器、诸如监视器等显示设备、话筒或扬声器。
每一计算机系统包括诸如(但不限于)来自微软公司的WINDOWS操作系统等的操作系统,以及存储在计算机可读介质上的一个或多个程序。每一计算机系统还可包括允许用户与计算机系统通信以及允许计算机系统与其它设备通信的一个或多个输入和输出通信设备。主体110所使用的计算机系统(例如,主体机器111)、依赖方120、DIR生成系统164、管理员系统160、数据捕捉系统162和身份提供者115之间的通信可以使用任何类型的通信链路来实现,包括但不限于,因特网、广域网、内联网、以太网、直接线路径、卫星、红外扫描、蜂窝通信、或任何其它类型的有线或无线通信。
在此处所公开的某些示例实施例中,系统100至少部分地被实现为在华盛顿州雷蒙德市的微软公司所开发的.NET 3.0框架中所提供的信息卡系统。该信息卡系统允许主体管理来自各种身份提供者的多个DIR。
该信息卡系统利用诸如.NET 3.0框架中的Windows通信框架等web服务平台。此外,该信息卡系统是使用至少部分地由华盛顿州雷蒙德市的微软公司推广的Web服务安全规范来构建的。这些规范包括消息安全模型WS-安全、端点策略WS-安全策略、元数据交换WS-元数据交换、以及信任模型WS-信任。一般而言,WS-安全模型描述了如何将身份令牌附加到消息。WS-安全策略模型描述了端点策略要求,如所需身份令牌和所支持的加密算法。这些策略要求可以使用WS-元数据交换定义的元数据协议来传达和协商。WS-信任模型描述了允许不同web服务互操作的信任模型的框架。此处所述的某些示例实施例参考了上述web服务安全规范。在替换实施例中,可使用一个或多个其它规范来方便系统100中的各种子系统之间的通信。
再次参考图1,主体110可以经由主体机器110向依赖方120发送访问商品、服务或其它信息的请求。例如,在一个实施例中,主体机器111向依赖方1120发送访问来自依赖方120的、主体110所需的信息的请求。主体机器110发送的请求可包括对依赖方120的使用例如WS-元数据交换中提供的机制的认证要求的请求。
响应于该请求,依赖方120可以向主体机器111发送依赖方120认证主体的身份或关于主体110的其它信息的要求。依赖方120的认证要求此处被称为安全策略。安全策略最低限度定义了来自可信身份提供者115的声明集,主体110必须向依赖方120提供该声明集以供依赖方120认证主体110。安全策略可包括关于个人特征(如年龄)、身份、财务状况等的证明的要求。它还可包括关于认证任何证明提供(例如,来自特定身份提供者的数字签名)所需的验证和认证等级的规则。
在一个示例中,依赖方120使用WS-安全策略指定其安全策略,包括依赖方120所需的声明要求和身份令牌的类型。声明类型的示例包括但不限于以下:名、姓、电子邮件地址、街道地址、地区名或城市、州或省、邮政编码、国家、电话号码、社会保险号、生日、性别、个人标识符号、信用得分、财务状况、法律状况等等。
安全策略也可用于指定依赖方120所需的身份令牌的类型,或可使用身份提供者所确定的默认类型。除了指定所需声明和令牌类型之外,安全策略还可指定依赖方所需的特定身份提供者。或者,该策略可省略该元素,从而将对适当身份提供者的确定留给主体110。也可在安全策略中指定其它元素,诸如,例如所需安全令牌的新鲜度。
在某些实施例中,主体110可以要求依赖方120向主体机器111标识其自身以使主体110能决定是否满足依赖方120的安全策略,如以下所描述的。在一个示例中,依赖方120使用X509证书来标识其自己。在其它实施例中,依赖方120可以使用诸如,例如安全套接字层(“SSL”)服务器证书等其它机制来标识其自身。
主体机器111可以包括主体110的一个或多个DIR。这些DIR(在华盛顿州雷蒙德市的微软公司开发的.NET 3.0框架中提供的Windows Cardspace系统中有时称为“信息卡”)是表示主体110和诸如身份提供者115等特定身份提供者之间的令牌发放关系的人工产物。每一DIR可对应于一特定身份提供者,且主体110可具有来自相同或不同身份提供者的多个DIR。在身份系统中对DIR的使用在美国专利申请11/361,281号中有详细描述,该申请如同在此完整阐述一样通过引用结合于此。
DIR可包括身份提供者对于身份令牌的发放策略以及其它信息,该发放策略包括可被发放的令牌的类型、该身份提供者对其具有权威的声明类型、和/或在请求身份令牌时要用于认证的凭证。DIR可被表示为由身份提供者115或DIR生成系统164发放并由主体110存储在诸如主体机器111等存储设备上的XML文档。
主体机器111还可包括身份选择器。一般而言,身份选择器是准许主体110在主体机器111上的主体110的一个或多个DIR之间进行选择以从诸如身份提供者115等一个或多个身份提供者请求并获得身份令牌的计算机程序和用户界面。例如,当主体机器111接收到来自依赖方120的安全策略时,身份选择器可被编程为使用DIR中的信息来标识满足安全策略所需的一个或多个声明的一个或多个DIR。一旦主体110接收到来自依赖方120的安全策略,主体110可与一个或多个身份提供者(例如使用主体机器111)通信以收集该策略所需的声明。
在各示例实施例中,主体110使用WS-信任中所描述的发放机制来向身份提供者115请求一个或多个身份令牌。在各示例实施例中,主体110将依赖方120的策略中的声明要求转发给身份提供者115。依赖方120的身份能够,但不一定在主体110发送给身份提供者115的请求中指定。该请求也可包括其它要求,诸如对显示令牌的请求。
一般而言,身份提供者115的声明授权机构140可以提供来自依赖方120的安全策略所需的一个或多个声明。身份提供者115的声明变换器130被编程为变换声明并生成包括与主体110有关的声明的一个或多个经签署的身份令牌150。
如上所述,主体110可以基于来自依赖方120的要求在其对身份提供者115的请求中以某种特定格式请求身份令牌。声明变换器130可被编程为以多种格式中的一种来生成身份令牌,这些格式包括但不限于,X509、Kerberos、SAML(1.0和2.0版)、简单可扩展身份协议(“SXIP”)等等。
例如,在一个实施例中,声明授权机构140被编程为以第一格式A生成声明,而依赖方120的安全策略要求第二格式B的身份令牌。声明变换器130在将身份令牌发送给主体110之前可将来自声明授权机构140的声明从格式A变换成格式B。另外,声明变换器130可被编程为细化特定声明的语义。在各示例实施例中,变换特定声明的语义以最小化特定声明和/或身份令牌中提供的信息量,以减少或最小化给定声明所传达的个人信息量。
在各示例实施例中,声明变换器130使用WS-信任中所描述的响应机制将身份令牌150转发给主体110。在一个实施例中,声明变换器130包括安全令牌服务(有时称为“STS”)。在一示例实施例中,主体110通过使用WS-安全中所描述的安全绑定机制将身份令牌150绑定到应用程序消息来将身份令牌150转发给依赖方120。在其它实施例中,身份令牌150可以直接从身份提供者115发送到依赖方120。
一旦依赖方120接收到身份令牌150,依赖方120可以验证经签署的身份令牌150的起源(例如,通过对身份令牌150解码或解密)。依赖方120还可利用身份令牌150中的声明来满足依赖方120认证主体110的安全策略。
现在将更详细讨论DIR的供应。主体110可以用各种方式来获得DIR。在图1所示的示例实施例中,DIR生成系统164一般用于与主体110通信、创建新DIR、以及向主体110通知可用DIR。DIR生成系统164在某些实施例中可包括互联网站。在其它实施例中,DIR生成系统164可包括web服务。在某些实施例中,DIR生成系统164还可包括互联网信息服务器(IIS)166或结合其来工作。
身份数据存储168是在某些实施例中能由身份提供者115、DIR生成系统164以及管理员系统160访问的数字信息存储系统。身份数据存储168可以包括数据库服务器、计算机存储器或任何其它数据存储设备。身份数据存储168可以由分布式数据模型中的多个设备或系统组成。身份数据存储168还可包括或包含目录服务,诸如由华盛顿州雷蒙德市的微软公司推广的现用目录(ActiveDirectory)169。
管理员系统160可包括计算机系统,其包括允许管理员与身份数据存储168和DIR生成系统164通信的用户界面。管理员系统160准许管理员组织和管理身份数据存储168内的数据。它还准许管理员确定DIR生成系统164所创建的DIR的类型,并允许管理员控制特定主体是否有资格接收特定DIR。对管理员系统160的使用将在下文中进一步讨论。
某些实施例可包括单独的数据捕捉系统162。数据捕捉系统162可以包括适用于捕捉与主体有关的信息的计算机系统。例如,数据捕捉系统162可以包括捕捉关于主体的个人信息的人力资源计算机系统,这些信息如姓名、电话号码、社会保险号、地址等等。数据捕捉系统162可包括单独的存储,或可利用身份数据存储168。
图2示出了可以经由系统100实现的方法200。在步骤210,管理员配置身份数据存储。例如,管理员可以使用管理员系统160来配置身份数据存储168。在某些实施例中,管理员可以使用管理员系统160来设置身份数据存储168中将用于掌管、生成和管理DIR的表。在一示例性实施例中,管理员可以确定DIR生成系统164所创建的DIR以及身份提供者115所生成的身份令牌中将支持的声明的类型。管理员还可使用管理员系统160来配置身份数据存储168,以存储诸如身份提供者115支持的令牌的类型、权利信息以及联盟元数据等策略信息。身份数据存储168中可嵌入在DIR中的其它信息包括主体110的照片以及与诸如身份提供者115等身份提供者有关的连通性信息。
方法200然后前进到步骤220,在那里主体110请求DIR。对DIR的请求可以用各种方式来做出。例如,主体110可以使用主体机器111来访问DIR生成系统164。在某些实施例中,DIR生成系统164是网站,而主体机器111通过因特网浏览器访问DIR生成系统164来请求DIR。在某些实施例中,主体110请求特定DIR。在以下进一步讨论的其它实施例中,主体110请求对主体110可用的DIR的列表并从该列表中进行选择。
方法200然后前进到步骤230,在那里DIR生成系统164向身份数据存储168核查、生成DIR、并将DIR提供给主体110。在一个实施例中,DIR生成系统164首先向身份数据存储168核查以确定主体110是否对所请求的DIR有权。这可以用各种方式来实现,包括通过检查身份数据存储168内的权利DLL、执行现用目录访问检查等等。DIR生成系统164还可访问存储在身份数据存储168内的身份系统元数据来确定什么类型的身份声明可用于包括在新DIR中。
当DIR生成系统164创建新DIR时,该DIR可以采取XML文档的形式并可包括以下信息以及其它信息:要在主体机器上显示的图像;包括在DIR中的声明列表;对DIR可用的令牌类型的列表;唯一DIR标识符;凭证提示(以下进一步讨论);身份提供者的标识;以及身份提供者115的端点引用。新的DIR也可用各种方式来提供给主体,包括新DIR的电子邮件、HTTP消息或其它方法。如此处所使用的,“电子邮件”包括文本消息收发、即时消息收发以及类似形式的电子通信。
在接收到新DIR之后,主体110将该DIR存储240在例如与主体机器111相关联的存储器中。主体250然后请求访问诸如依赖方120等依赖方。依赖方拒绝访问(例如,经由到认证页面的重定向),并将其安全策略提供260回给主体110。主体110然后选择270一DIR以满足依赖方120的安全策略。这可例如通过主体机器111上向主体110显示所有可用DIR的用户界面来实现。在某些实施例中,满足依赖方的安全策略的要求的DIR可对主体110加亮,并且其它卡可被模糊以使得该选择过程对主体110更容易。
主体110然后向诸如身份提供者115等身份提供者发送280对身份令牌的请求。该对身份令牌的请求可以由主体机器111在主体110选择了存储在主体机器111上的DIR之后自动生成。身份提供者115检查285身份数据存储168来获得填充所请求的身份令牌所需的信息。该信息可包括,例如声明数据。例如,如果所选DIR包括年龄声明,则身份提供者115可检查身份数据存储168来确定主体110的年龄。身份提供者115然后能够创建285所请求的身份令牌并将其发送290给主体。主体然后将身份令牌发送295到依赖方并且如上所讨论地被授予访问权。
在身份提供者115提供对DIR生成系统164所使用的同一身份数据存储168的访问时,管理员能够确保DIR的生成与可用于满足所请求的身份令牌中的声明的实际数据保持同步。例如,如果管理员配置身份数据存储168以使得用于年龄声明的数据没有存储在那里,则DIR生成系统164将不创建包括关于年龄声明的选项的DIR。否则,会引发同步问题。例如,假定管理员事先未准备(未参考可用身份数据)地创建了新的DIR,并且包括年龄声明并将其作为DIR的一部分发回给主体。当主体试图获得具有年龄声明的身份令牌时,该信息不可用,并且该令牌将被依赖方因为不足而拒绝。相反,系统100准许所生成的DIR与填充对应的身份令牌的底层数据的可用性的自动同步。向管理员提供通过管理员系统160在身份数据存储中做出改变的能力,该改变将自动影响DIR的供应和对应的身份令牌的发放。
在某些实施例中,当管理员对身份数据存储168做出影响已经发放的DIR的有效性的特定改变时,通知接收到受影响的DIR的任何主体并准许其获得新DIR。例如,假定隐私规章要求管理员消除存储在身份数据存储168中的任何主体的家庭地址。接收到包括了关于她/他的家庭地址的声明的DIR的任何主体110现在具有无效DIR(因为在身份数据存储168中不再有满足该声明的任何数据)。在一个实施例中,例如经由来自DIR生成系统164的电子邮件通知所有这些主体DIR现在无效,并且邀请主体获得不包括不再得到支持的家庭地址声明的新DIR。以此方式,管理员对身份数据存储168的单个改变(a)防止发放带有家庭地址声明的新DIR,以及(b)警告主体包括该声明的现有DIR无效并且可被替换。
现在参考图3,结合图1所示的系统100描述了示例性方法300。在该示例中,主体110向主体机器111认证。主体机器111例如可以连接到包括诸如现用目录服务器169等目录服务的内联网。主体110向主体机器111的认证可包括使用来自包括用户名/口令、智能卡等在内的任何已知方法的登录信息。主体110然后通过例如将主体机器111上的浏览器指向包括DIR生成系统164的网站来发起320DIR请求。主体110然后在DIR生成系统164处进行认证330。在某些实施例中,主体机器111、DIR生成系统164、身份数据存储168、身份提供者115以及管理员系统160可以是同一内联网的一部分。在该实施例中,单点登录(single-sign-on)能力可用是可能的。例如,如果主体机器正在运行可从华盛顿州雷蒙德市的微软公司获得的WINDOWS操作系统,并且打开了Windows集成认证,则DIR生成系统164处的认证可以对主体110是自动且无缝的一用于登入到主体机器111的信息连同访问请求一起传递到DIR生成系统164。在其它实施例中,管理员可以将DIR生成系统164配置成需要主体1110的单独认证。管理员可以将DIR生成系统164配置成需要包括用户名/口令、智能卡等在内的各种认证机制中的任一种。在某些实施例中,主体110可由IIS 166来认证,该IIS可以由管理员容易地配置来接受各种认证方法中的任一种。
一旦主体110得到认证,DIR生成系统164就访问350身份数据存储168。在该示例中,DIR生成系统164采取web服务的形式以允许DIR生成系统和主体110之间的协商。在该示例中,协商确定将返回给主体110的DIR的类型。在该情况下,DIR生成系统164获得350可用DIR描述符。在各示例性实施例中,管理员使用管理员系统160来创建DIR描述符。例如,公司IT管理员可以创建表示用于不同等级的员工的不同DIR的描述符。例如,兼职员工可以具有与全职员工不同的一组声明。CEO可以具有与职员不同的一组声明。甚至是与每一DIR描述符相关联的图像也可以变化-例如,销售组DIR图像可以是橙色的,而会计组DIR图像是绿色的。此外,个性化卡图像以包含主体110的图像(从身份数据存储168获得)是可能的。这增强了主体110在他/她的DIR和身份提供者115之间所做出的关联。其也提供了更好的“指纹识别”能力。
在某些实施例中,管理员系统160包括解析身份数据存储168中可用的所有可用类型的信息并向管理员呈现创建描述符的容易方式的用户界面。例如,可以向管理员呈现以下各项的列表:(a)主体类别(例如,兼职员工、全职员工、执行团队成员、销售组成员等);(b)声明类型(姓名、地址、电话号码、年龄等);(c)安全许可;(d)雇用状态(当前、已终止);等等。管理员然后可决定创建对部分或所有类别的主体可用的不同描述符。例如,所有主体可以有权接收包括主体姓名、电话号码和雇用状态的基本DIR。然而,仅执行团队可以有权接收还包括高级安全许可的DIR。这些描述符可以由管理员来创建,并连同描绘哪些主体被准许接收对应于特定描述符的DIR的策略一起保存在身份数据存储中。可对管理员管理描述符有用的可能命令包括:“获取描述符(GET DESCRIPTORS)、获取所有描述符(GET ALL DESCRIPTORS)、添加描述符(ADD DESCRIPTORS)、改变描述符(CHANGE DESCRIPTORS)、删除描述符(DELETE DESCRIPTORS)、复制描述符(COPY DESCRIPTOR)等等”。
主体110对于可用描述符的请求可由主体机器111通过诸如“获取描述符”等web服务方法来实现。这使得DIR生成系统对照管理员所设置的策略来检查主体110以确定哪些(如果有)描述符对该主体110可用。这可例如经由现用目录访问检查来实现。描述符可以被存储在例如身份数据存储168、与DIR生成系统164相关联的存储器、或单独的存储的任一个或全部中。
DIR生成系统164然后将可用描述符发送360给主体机器111。主体110然后从可用描述符中进行选择370,并请求对应于该描述符的特定DIR。这同样例如由诸如“获取卡(GET CARD)”(该示例中指至少部分地由华盛顿州雷蒙德市的微软公司推广的Windows CardSpace系统中可用的信息卡)等web服务方法来实现。主体110可请求一个或若干个可用DIR。
DIR生成系统164然后创建380所请求的DIR。在各示例性实施例中,DIR生成系统在DIR中包括“支持”该DIR的凭证提示。例如,DIR可包括用户名/口令凭证提示,并且可要求主体110使用该用户名/口令来认证以使用该DIR来获得身份令牌。在某些实施例中,认证类型可以取自主体110用来获取对DIR生成系统164的访问的认证。例如,如果主体110使用了用户名/口令组合来向IIS 166认证,则DIR生成系统164可使用相同的用户名和口令以在将该DIR发回给主体110时支持该DIR。
在其它实施例中,数字生成系统可访问诸如现用目录169等可包括对特定主体110可用的其它认证方法的目录服务。例如,如果主体110使用用户名/口令来向DIR生成系统164认证,但是现用目录还包括与向主体110注册的智能卡相关联的证书,则DIR生成系统164可包括任一或两个认证类型作为返回给主体110的DIR的一部分。另外,如果在主体机器111和DIR生成系统164之间启用了单点登录能力,则包括在DIR中的认证类型可以是主体110用于向主体机器111认证的认证类型。
一旦DIR生成系统164生成了DIR,该DIR就经由包括电子邮件、HTTP等在内的各种方法中的任一种发送390给主体110。在某些实施例中,包括DIR的文件可用个人识别号(pin)来保护。这是因为,尤其在将多个DIR发送给主体110的情况中,包含DIR的文件可包括应保护不受非授权访问的密码密钥资料。个人识别号允许在主体机器111和DIR生成系统164之间建立共享秘密。包含DIR的文件然后可由主体在将DIR安装到主体机器111上时解密。用于发起、批准和发送DIR的示例性方法在下文中进一步讨论。
现在参考图4,示出了方法400。在步骤410,通过第一通道接收创建DIR的请求。例如,主体110可使用主体机器110上的互联网浏览器来向DIR生成系统164请求新DIR。在步骤420,通过第二通道发放420已请求DIR的通知。例如,响应于来自主体110的对新DIR的请求,DIR生成系统164或在主体机器111上运行的应用程序可以发送已做出请求的电子邮件通知。这可用作“检查”来确保主体110是正在请求DIR的实体而非冒名顶替者。在某些实施例中,电子邮件可被定向到主体的已知电子邮件地址。在其它实施例中,通知可被定向到一第三方,管理员的策略要求该第三方来批准对特定主体110的新DIR的发放。例如,某些DIR仅在组织中的某些员工的经理批准发放时才对这些员工可用。这一类型的DIR可用于例如获取对机密工作组的访问。
如此处所使用的,“通道”指的是传送所述的信息的方式。方法400中不同通道之间的区别是逻辑区别。两个不同通道可采用同一物理或电子通信链路中的某一些或全部,或采用完全不同的路径。例如,在步骤420处通知可通过与在步骤430处的批准相同的通信链路(例如,因特网)来发送,但是通道可以在逻辑上是不同的(例如,一个可以是电子邮件,而另一个可以是HTTP消息)。
在步骤430,接收对要创建的DIR的批准。例如,步骤420中从DIR生成系统364接收通知可响应并批准所请求的DIR的发放。这可按各种方式来实现。例如,步骤420中的通知可包括具有到DIR生成系统364所主存的批准站点的链接的电子邮件。
在步骤440,创建所请求的DIR。如果批准被步骤420处的通知接收拒绝,则可发生其它事件。例如,可通知管理员对DIR做出了未授权请求。
现在参考图5,示出了另一示例性方法500。在步骤510,发放DIR对主体可用的通知。例如,DIR生成系统364可向主体110发送警告主体110新DIR可用的电子邮件。或者,通知可去往诸如主体的经理等第三方。这一类型的通知在管理员例如改变了身份数据存储168来包括附加描述符的情况下可能是有用的。DIR生成系统364然后可用于通知符合该描述符的类别中的所有主体新DIR可用。例如,特定业务单位中的经理可要求管理员创建要结合特定项目使用的DIR的新描述符。一旦管理员创建了该描述符,则该经理期望具有新DIR的所有主体的通知可以是自动的。
通知510还可作为一般的业务工作流的一部分来包括。例如,当新主体开始在一组织中工作时,人力资源部门可以通过数据捕捉系统162来捕捉关于该主体的信息。该数据捕捉可以开始一系列自动化步骤,包括将关于该主体的相关身份数据存储在身份数据存储168中以及通知主体110DIR现在对他/她可用。通知可以采用许多形式,包括给主体的包括到包括DIR生成系统164的网站的链接的电子邮件。或者,适用于从DIR生成系统164接收新DIR对主体110可用的消息的应用程序可在主体机器111上运行(例如,该应用程序可产生弹出消息,可在主体机器111上的工具栏中出现图标,等等)。
在步骤520,接收创建DIR的请求。该步骤同样可按各种方式来实现。例如,主体110可通过点击将他/她带到给予该主体请求DIR的选项的网页的链接来响应通知电子邮件。或者,在主体机器111上的应用程序警告主体110DIR可用的情况下,主体可在这一应用程序内请求DIR,并且该应用程序可向DIR生成系统364发回消息以做出该请求。
在步骤530,如所请求地创建DIR。DIR的创建可如本文别处所描述地实现。该DIR然后被发送540给主体,这也在本文别处描述。
现在参考图6,示出了另一示例性方法600。在步骤610,向DIR生成系统轮询对主体可用的新DIR。例如,主体机器111可被编程为以预定间隔周期性地轮询DIR生成系统164。在步骤620,确定是否有任何新的DIR对主体可用。DIR生成系统164例如可以在身份数据存储168中检查自从其上次被主体机器111轮询以来是否有任何新的描述符变得对主体110可用。在步骤630,请求创建新DIR。继续该示例,在接收到新DIR可用的通知之后,主体110可以请求DIR生成系统164创建新DIR。在步骤640,接收该新DIR(例如,新DIR可以由主体机器111从DIR生成系统164接收)。该方法600是可如何简化管理员工作的另一示例。如果所有主体机器都被编程为例如在管理员在身份数据存储168中创建新DIR描述符时轮询新DIR,则新DIR的发放和递送是自动的,并且不需要管理员一方的进一步工作。
能够响应于依赖方的安全策略来动态地创建DIR也可以是有益的。现在参考图7,示出了示例方法700。在步骤710,请求对依赖方的访问。例如,如果依赖方120是受限网站,则主体机器111试图通过浏览器来访问该网站。在步骤720,拒绝对依赖方的访问,并且接收来自依赖方的安全策略。继续该示例,依赖方120向主体机器111发送其安全策略,以及将主体机器111浏览器重定向到认证网页的HTTP消息。然后向DIR生成系统请求730满足该安全策略的DIR。在以上示例中,主体机器111可以首先检查它是否具有足够的DIR,如果否,则主体机器111可被编程为向本地高速缓存查询提供满足依赖方120的安全策略的DIR的身份提供者。主体机器还可查询第三方主存的DIR提供者的公共列表。主体110然后可选择一适当的DIR提供者和DIR生成系统,如DIR生成系统164。在步骤740,接收该DIR。在以上示例中,主体机器111接收新DIR,主体机器111然后可将该新的DIR转发到身份提供者115以获得获取对依赖方120的访问所必需的身份令牌。
在某些实施例中,主体机器111可以将依赖方120的安全策略转发给DIR生成系统164。DIR生成系统164然后可以检查身份数据存储168以确定是否可满足安全策略中所陈述的声明和其它要求。如果是,则可创建满足该安全策略的DIR。以此方式,主体能够在按需的基础上获得DIR,而不管管理员是否预先配置了满足该特定依赖方的安全策略的需求的身份描述符。
现在参考图8,示出了另一示例性方法800。在步骤810,为一组主体设置策略,从而授权该组主体一DIR可用。参考图1的示例性系统100,管理员可使用管理员系统以在身份数据存储168中设置授权作为特定组的一部分的所有主体接收特定DIR的策略。在某些实施例中,这可由管理员使用现用目录169中可用的“组策略”特征或启动驻留在主体机器111上的客户机侧应用程序的其它手段来实现。在步骤820,通知DIR对其可用的主体组。在以上示例中,激活驻留在主体机器111上的客户机侧应用程序。这可导致向主体110提示DIR现在可用(例如,通过弹出窗口、工具栏图标等)。客户机侧应用程序可具有其自己的规则集(例如,供主体110选择在稍后被提醒、向主体110仅提供检索新DIR的特定量时间的能力等等)。在步骤830,接收来自该主体组中的至少第一主体的创建DIR的请求。在某些实施例中,这可涉及用户授权通过驻留在主体机器111上的客户机侧应用程序创建DIR。在其它实施例中,客户机侧应用程序可请求该DIR而不进一步涉及主体110。在步骤840,为第一主体创建DIR。
图9示出能被用来实现此处所描述的各实施例的通用计算设备900(此处也被称为计算机或计算机系统)。计算设备900仅是计算环境的一个示例,而非旨在对计算机和网络体系结构的使用范围或功能提出任何限制。计算环境900也不应被解释成对于在示例计算环境900中所示出的任一组件或其组合有任何依赖或要求。在各实施例中,计算设备900可例如用作如以上参考图1所描述的主体机器111、DIR生成系统164、数据捕捉系统162、IIS 166、身份数据存储168、现用目录169、管理员系统160、身份提供者115、或依赖方120。
在其最基本的配置中,计算设备900通常包括至少一个处理单元902和存储器904。取决于计算设备的确切配置和类型,存储器904可以是易失性的(如RAM)、非易失性的(如ROM、闪存等)或是两者的某种组合。该最基本配置在图9中由虚线906来例示。系统存储器904存储在计算设备900上执行的应用程序。除应用程序之外,如参考图1-8所述,存储器904还可以存储在由计算设备900执行的操作中所使用的信息,如DIR创建请求910和/或DIR可用性通知911。
另外,计算设备900还可具有附加的特征/功能。例如,计算设备900还可包含附加存储908(可移动和/或不可移动),其中包括但不限于磁盘、光盘或磁带。这样的附加存储在图9中由存储908示出。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。存储器904和存储908都是计算机存储介质的示例。计算机存储介质包括但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光存储、磁带盒、磁带、磁盘存储或其它磁存储设备,或者可用于存储所需信息并且可由计算设备900访问的任何其它介质。任何这样的计算机存储介质都可以是计算设备900的一部分。
本领域技术人员将理解,存储908可以存储各种信息。存储908可以存储数字身份表示930(例如,在主体机器的情况下)或身份令牌945(例如,在身份提供者的情况下),以及其它类型的信息。
计算设备900还可包含允许该系统与其它设备进行通信的通信连接912。通信连接912是通信介质的一个示例。通信介质通常以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并包括任意信息传送介质。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作为示例而非限制,通信介质包括有线介质,诸如有线网络或直接线连接,以及无线介质,诸如声学、RF、红外线和其它无线介质。如此处所使用的术语计算机可读介质包括存储介质和通信介质两者。
计算设备900也可具有诸如键盘、鼠标、笔、语音输入设备、触摸输入设备等的输入设备914。还可包括输出设备916,如显示器、扬声器、打印机等。所有这些装置在本领域中都是众所周知的,因此不必在此详细讨论。
上述各实施例仅作为说明提供,并且不应被解释为限制。本领域的技术人员将容易地认识到可对上述各实施例做出的各种修改和改变,而不背离本发明或所附权利要求的真实精神和范围。
Claims (9)
1.一种用于为主体(110)供应数字身份表示(930)的系统(100),包括:
用于生成所述数字身份表示(930)的数字身份表示生成系统(164);
用于响应于接收到身份令牌请求来生成身份令牌(150)的身份提供者(115),所述身份提供者与所述数字身份表示生成系统分开,其中所述身份令牌请求是响应于对所述数字身份表示(930)的选择来生成的;以及
操作上连接到所述身份提供者(115)和所述数字身份表示生成系统(164)的身份数据存储(168),
其中所述数字身份表示生成系统(164)访问所述身份数据存储(168)以确定能用于被包括在所生成的数字身份表示中的至少一个类型的身份声明,且所述身份提供者(115)在生成所述身份令牌(150)时访问相同的身份数据存储(168),从而所述身份数据存储中的改变将自动地影响生成数字身份表示和生成相应的身份令牌两者。
2.如权利要求1所述的系统,其特征在于,所述数字身份表示生成系统还适用于:
通过第一通道接收为所述主体创建所述数字身份表示的请求;
通过第二通道发放已请求所述数字身份表示的通知;以及
接收对创建所述数字身份表示的批准。
3.如权利要求1所述的系统,其特征在于,所述数字身份表示生成系统还适用于:
发放一个或多个数字身份表示对所述主体可用的通知;以及
接收创建所述一个或多个数字身份表示的请求。
4.如权利要求1所述的系统,其特征在于,还包括主体机器,其中所述主体机器适用于:
轮询所述数字身份表示生成系统以确定是否有新的数字身份表示对所述主体可用;
请求创建所述新的数字身份表示;以及
接收所述新的数字身份表示。
5.如权利要求1所述的系统,其特征在于,还包括管理员机器,所述管理员机器由管理员控制并适用于设置准许一组主体访问所述数字身份表示的策略,并且其中通知所述一组主体所述数字身份表示可用,且所述数字身份表示生成系统适用于从所述一组主体中的至少第一主体接收创建所述数字身份表示的请求。
6.如权利要求1所述的系统,其特征在于,所述身份数据存储包括至少第一数据类别和第二数据类别,所述系统还包括:
操作上连接到所述身份数据存储、用于创建至少所述第一数据类别中的改变的管理员机器,
其中,在所述改变之后,所述数字身份表示生成系统生成反映所述改变的数字身份表示并且所述身份提供者生成反映所述改变的身份令牌。
7.如权利要求6所述的系统,其特征在于,如果所述改变影响所述数字身份表示生成系统已经生成的任何数字身份表示的有效性,则所述数字身份表示生成系统通知接收到受影响的数字身份表示的每一主体,并创建反映所述改变的新的数字身份表示。
8.如权利要求1所述的系统,其特征在于,所述数字身份表示生成系统还适用于用密码保护所述数字身份表示,并将用密码保护的数字身份表示发送到主体机器。
9.如权利要求1所述的系统,其特征在于,还包括:
用于创建第一数字身份表示描述符的管理员机器;以及
用于请求符合所述第一数字身份表示描述符的数字身份表示的主体机器。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US88559807P | 2007-01-18 | 2007-01-18 | |
US60/885,598 | 2007-01-18 | ||
US11/856,617 | 2007-09-17 | ||
US11/856,617 US8087072B2 (en) | 2007-01-18 | 2007-09-17 | Provisioning of digital identity representations |
PCT/US2008/050204 WO2008088944A1 (en) | 2007-01-18 | 2008-01-04 | Provisioning of digital identity representations |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101584148A CN101584148A (zh) | 2009-11-18 |
CN101584148B true CN101584148B (zh) | 2014-08-20 |
Family
ID=41365243
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200880002693.0A Active CN101601022B (zh) | 2007-01-18 | 2008-01-04 | 数字身份表示的供应 |
CN200880002607.6A Active CN101584148B (zh) | 2007-01-18 | 2008-01-04 | 数字身份表示的供应 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200880002693.0A Active CN101601022B (zh) | 2007-01-18 | 2008-01-04 | 数字身份表示的供应 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN101601022B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150381368A1 (en) * | 2014-06-27 | 2015-12-31 | William A. Stevens, Jr. | Technologies for secure offline activation of hardware features |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004036348A2 (en) * | 2002-10-15 | 2004-04-29 | E2Open Llc | Network directory for business process integration of trading partners |
CN1794284A (zh) * | 2005-12-26 | 2006-06-28 | 上海洲信信息技术有限公司 | 实现电子邮箱的单账户多用户名的方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7703128B2 (en) * | 2003-02-13 | 2010-04-20 | Microsoft Corporation | Digital identity management |
US8527752B2 (en) * | 2004-06-16 | 2013-09-03 | Dormarke Assets Limited Liability | Graduated authentication in an identity management system |
US9245266B2 (en) * | 2004-06-16 | 2016-01-26 | Callahan Cellular L.L.C. | Auditable privacy policies in a distributed hierarchical identity management system |
-
2008
- 2008-01-04 CN CN200880002693.0A patent/CN101601022B/zh active Active
- 2008-01-04 CN CN200880002607.6A patent/CN101584148B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004036348A2 (en) * | 2002-10-15 | 2004-04-29 | E2Open Llc | Network directory for business process integration of trading partners |
CN1794284A (zh) * | 2005-12-26 | 2006-06-28 | 上海洲信信息技术有限公司 | 实现电子邮箱的单账户多用户名的方法及系统 |
Non-Patent Citations (5)
Title |
---|
Associates.Introducing Windows CardSpace.《http://msdn.microsoft.com/en-us/library/aa480189.aspx》.2006,第4页10-17行,第5页9-10行,41-45行,52-62行,图3,图4,图5,第7页What Information Cards Contain部分的第2,11行,第7页How Information Cards Are Acquired部分第1行,第8页Creating an Identity Provider部分的第14-16行,第9页30-48行,图7. * |
David Chappell and Chappell & Associates.Introducing Windows CardSpace.《http://msdn.microsoft.com/en-us/library/aa480189.aspx》.2006,第4页10-17行,第5页9-10行,41-45行,52-62行,图3,图4,图5,第7页What Information Cards Contain部分的第2,11行,第7页How Information Cards Are Acquired部分第1行,第8页Creating an Identity Provider部分的第14-16行,第9页30-48行,图7. |
David Chappell and Chappell & * |
Microsoft Corporation and Ping Identity Corporation.A Guide to Integrating with InfoCard v1.0.《http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dcb86af6de/infocard-guide-beta2-published.pdf》.2005,第4页9-17行,第7页,第8页,图2,第31-32页. |
Microsoft Corporation and Ping Identity Corporation.A Guide to Integrating with InfoCard v1.0.《http://download.microsoft.com/download/6/c/3/6c3c2ba2-e5f0-4fe3-be7f-c5dcb86af6de/infocard-guide-beta2-published.pdf》.2005,第4页9-17行,第7页,第8页,图2,第31-32页. * |
Also Published As
Publication number | Publication date |
---|---|
CN101601022B (zh) | 2015-11-25 |
CN101584148A (zh) | 2009-11-18 |
CN101601022A (zh) | 2009-12-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10110584B1 (en) | Elevating trust in user identity during RESTful authentication and authorization | |
JP5479111B2 (ja) | デジタルid提示の配布および使用のコントロール | |
EP2115607B1 (en) | Provisioning of digital identity representations | |
JP5264775B2 (ja) | デジタルアイデンティティ表現のプロビジョニング | |
US7457950B1 (en) | Managed authentication service | |
US9596089B2 (en) | Method for generating a certificate | |
CN101911585B (zh) | 基于认证输入属性的选择性授权 | |
EP2224368B1 (en) | An electronic data vault providing biometrically protected electronic signatures | |
US9825938B2 (en) | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration | |
WO2009155146A2 (en) | Digitally signing documents using identity context information | |
CN101584148B (zh) | 数字身份表示的供应 | |
JP5818635B2 (ja) | ログイン認証システムおよび方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150514 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20150514 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |