CN107431703A

CN107431703A - 在使用绑定到第三方密钥的委托证书链的加密通信中识别和认证的安全模型

Info

Publication number: CN107431703A
Application number: CN201680014875.4A
Authority: CN
Inventors: 安库尔·塔利; 阿西姆·山卡尔; 高萨姆·萨姆比多莱; 大卫·普雷索托
Original assignee: Google LLC
Current assignee: Google LLC
Priority date: 2015-04-20
Filing date: 2016-03-25
Publication date: 2017-12-01
Also published as: EP3286894A1; EP3286894B1; US9350556B1; WO2016171844A1

Abstract

客户端装置与目标实体服务器和一个或多个第三方装置进行通信。客户端装置具有客户端凭证，其包括客户端公共密钥和客户端证书链。客户端证书链包括人类可读名称的链。客户端装置通过为第三方装置创建委托证书链来委托第三方装置访问服务器上的服务。委托证书链被绑定到用于第三方装置的公共密钥，并且包括具有为第三方装置选择的扩展的人类可读名称。委托证书链还可以包括识别客户端装置的人类可读名称的区段。客户端装置向第三方装置传送或以其它方式呈现委托证书链。

Description

在使用绑定到第三方密钥的委托证书链的加密通信中识别和认证的安全模型

相关申请的交叉引用

该专利申请要求于2015年4月20日提交的美国专利申请No.14/691,138的优先权。该优先权申请的公开通过引用的方式整体并入在本文中。

背景技术

这个公开描述一种用于使用加密通信识别、认证、和授权客户端和服务器之间的通信的机制。

当诸如移动电子装置和服务器的电子装置经由网络参与通信时，通信被认证和访问控制是重要的。此外，在分布式系统中，可以在多个客户端之间分布各种任务。例如，一些客户端可以将其的任务分成由其它客户端执行的子任务。在这种情况下，客户端必须能够向其它客户端委托子任务连同用于执行子任务的授权。

这个文献描述针对解决上述至少一些问题的方法和装置。

发明内容

在各种实施例中，客户端装置委托第三方装置对目标实体服务器上可用的服务的访问。客户端装置创建绑定到用于第三方装置的公共密钥的委托证书链，使得委托证书链包括(i)证书，该证书具有带有为第三方装置选择的扩展的人类可读名称，以及(ii)客户端证书链，其以绑定到客户端装置的公共密钥的证书结束。客户端装置通过将链传送到装置来向第三方装置呈现委托证书链，使链在文件传输位置上可用，或以其它方式使链对第三方装置可用。

在创建委托证书链之前，客户端装置可以向目标实体服务器发送服务请求。服务器从目标实体服务器发送，并且客户端从目标实体接收包括服务器公共密钥和服务器证书链的服务器凭证，该服务器证书链被绑定到服务器公共密钥。服务器证书链包括用于证书集合的人类可读名称的链。服务器凭证被保存到客户端装置的存储器扇区。基于服务器证书链，客户端装置选择客户端凭证，该客户端凭证包括客户端公共密钥和绑定到客户端公共密钥的客户端证书链。客户端证书链包括用于证书集合的人类可读名称的链。客户端装置将客户端证书保存到客户端装置的存储器扇区。

当创建委托证书链时，客户端装置可以通过生成包含对第三方装置访问该服务的权限的上下文约束的警示来对第三方装置的访问该服务的授权施加约束。客户端装置可以将警示添加到为第三方装置创建的委托证书链。当生成警示时，客户端装置可以将警示与第三方装置的标识相关联，但是客户端装置可能不需要包括与该警示相关联的客户端装置的标识。任选地，客户端装置还可以通过在客户端证书链中包括警示来为自身生成约束。

当目标实体服务器接收到客户端证书链时，其可以从客户端证书链提取和分析人类可读名称，以确定用于客户端装置的标识以及用于客户端装置的授权。服务器可以使用标识和授权来确定客户端装置是否被授权访问服务。如果客户端装置被授权，则服务器将会准予客户端装置访问该服务，否则服务器将会拒绝该请求。任选地，服务器还可以提取和分析具有客户端证书链的约束，并且只有如果请求满足约束时才准予请求。客户端装置不需要将其可用的客户端证书链凭证中的全部发送到目标实体服务器。类似地，目标实体服务器不需要将其可用的服务器证书链凭证中的全部发送到客户端装置。

类似地，当目标实体服务器接收委托证书链时，其可以从委托证书链提取并且分析人类可读名称的前缀，以识别客户端装置的标识。如果可用，则服务器还可以识别约束。服务器可以使用标识来以确定客户端装置的委托是否被授权访问服务，并且(如果适用)请求是否满足约束。如果客户的委托被授权，并且(如果适用)请求满足约束，则其将会准予第三方装置访问服务，否则服务器将会拒绝该请求。

附图说明

图1图示网络客户端装置和服务器的系统。

图2是图示其中客户端选择客户端凭证并且将凭证呈现到服务器的通信的方法的流程图。

图3是图示其中服务器接收到客户端凭证并且确定是否准予客户端访问服务器的通信方法的流程图。

图4是图示其中客户端为委托实体创建凭证以向服务器呈现的通信的方法的流程图。

图5图示根据各种实施例的可以被用于包含或实现程序指令和与其它装置通信的示例硬件的框图。

具体实施方式

术语表

与这个公开相关的术语包括：

“电子装置”或“计算装置”是指包括处理器和非暂时性、计算机可读存储器的装置。存储器可以包含或接收编程指令，当由处理器执行该编程指令时，致使电子装置根据编程指令执行一个或多个操作。计算装置的示例包括个人计算机、服务器、大型机、游戏系统、电视机、和诸如智能手机、个人数字助理、相机、平板电脑、膝上型计算机、媒体播放器等移动电子装置。在客户端-服务器布置中，客户端装置和服务器每个是电子装置。

“服务”是用于服务器通过授权客户端控制访问的进程、数据集、或者其它资源或事务。“目标实体服务器”是客户端装置向其传送对访问服务的请求的服务器。

“主体(principle)”是包括公共密钥P和秘密(或私人)密钥S的唯一加密密钥对(P，S)。公共密钥可以被用于加密数据或验证数字签署，而私人密钥可以被用于相反的操作。

“证书”是实体可以呈现以证明哪个名称与公共密钥相关联的电子文档。

证书的“链(chaining)”意旨每个证书由与先前证书相关联的公共密钥的私人对应物(counterpart)签署。由客户端自签署(即，由第一证书中提到的公共密钥的私人对应物签署)该链中的第一证书(即，根证书)。作为先前的证书持有人，客户端还签署第二证书，但是第三证书将由第二证书的客户端签署。

“许可(blessing)”是将一个或多个人类可读名称绑定到密钥对(主体)的公共密钥的证书链。在这个文献和其的权利要求书中，因为许可是一种类型的证书链，所以术语“证书链”可以与许可互换地使用。

“警示(caveat)”是对实体的访问服务的权限的约束。例如，警示可以将实体仅限制到服务的某些功能，或仅限制到服务的组内的某些服务。警示还可以包括谓词(predicate)，所述谓词必须保持真实以使许可成为完全可用的。

“证书链”是已经由上述链接签署的有序证书组。

除非另有说明，否则单数术语“处理器”旨在包括单个处理装置实施例和其中多个处理装置一起或共同执行处理的实施例。类似地，除非另有特别地说明，术语“存储器”、“数据存储”、“数据存储设施”等旨在包括之前的装置实施例，其中多个存储器装置一起或共同存储一组数据或指令、以及这种装置内的单个扇区的实施例。

如本文献中使用的，除非上下文清楚地另有指明，单数形式“一个(a)”、“一种(an)”、和“该(the)”包括复数指称。除非另有限定，本文中使用的全部技术和科学术语具有与由本领域普通技术人员通常理解的相同的含义。如本文文献中使用的，术语“包括”意旨“包括，但不限于”。

具体实施方式

图1图示其中一个或多个客户端电子装置12a...12n经由诸如无线电话网络、互联网、内联网、局域网、广域网、另一种类型的网络、或这些的任何组合的一个或多个通信网络20与一个或多个服务器16a...16n通信的系统的各种实施例。服务器16a...16n的任何可以被用于做出对授权的客户端装置有用的服务。此外，服务器中的一个或多个(例如，16b)可以充当证书服务器或以其它方式在诸如访问控制列表的结构中存储用于客户端装置12a…12n中的任何客户端装置的诸如加密密钥的访问凭证。此外，任何客户端装置(例如，12a)可以将其访问各种服务的权限委托到其它客户端装置中的一个或多个(例如，12b)。

当客户端参与和服务器的通信时，客户端可以基于由服务器呈现的一个或多个主体和许可来识别服务器。类似地，服务器可以基于客户端呈现的一个或多个主体和许可来识别、认证和授权客户端。例如，如果客户端承载具有许可“爱丽丝/装置/家庭tv(alice/devices/hometv)”的主体，则服务器可以存储指示其将会准予客户端访问到特定服务的规则集。服务器通常使用从客户端的许可中提取的名称，而不是主体的公共密钥，以做出授权决定或检验审计追踪。

如上所述，由绑定到主体的公共密钥的公共密钥证书链表示许可。例如，许可的“受欢迎公司/产品/tv(popularcorp/products/tv)”可能已经使用三个证书的链绑定到公共密钥P_tv：(1)具有公共密钥P_tv和名称tv的证书，链接到(2)具有一些公共密钥和名称产品的证书，链接到(3)具有公共密钥P_popularcorp和名称popularcorp的证书。

特定主体可以具有与其相关联的多个许可。当这个文献以单数形式使用术语“许可”时，其旨在包括其中要么使用单个许可或要么使用多个许可的形式，除非特定指定为单个许可选项。许可可以被存储在数据存储中。客户端和服务器可以基于他们想要披露给彼此的信息的级别来选择性地向彼此呈现他们的许可。

图2图示从客户端的视角讨论的可以发生以在通信系统中选择具有许可的证书的各种动作。为了访问服务，客户端装置可以向目标实体服务器201发送服务请求。目标实体服务器可以保持主体和该主体自己的许可(证书链)中的一个或多个，并且随着该服务器愿意共享，其将向客户端返回包括服务器公共密钥和这种服务器许可的服务器凭证203。任选地，客户端可以已知其期望服务器拥有的许可，并且进而，如果客户端没有接收到所期望的服务器许可，则客户端将不会向服务器发送进一步的通信。客户端可以将从服务器接收到的许可存储在其存储器的扇区中并且使用所接收到的许可来识别服务器并且选择将要与客户端主体一起使用的一个或多个客户端许可205。客户端可以将客户端许可和客户端公共密钥与对服务的请求一起或者作为对服务的请求的一部分发送到目标实体服务器207。

图3图示从服务器的视角讨论的可以在通信系统中发生的各种动作。如上所述，当目标实体服务器接收到来自客户端的访问请求时301，作为响应其可以选择许可(证书链)以发送到客户端303。然后，客户端可以返回客户端许可。当目标实体服务器接收到客户端许可305时，其可以核实该许可中的任何警示307(以下讨论的)并且从许可提取人类可读的名称309。目标实体服务器可以使用人类可读名称来识别客户端并且确定客户端是否被授权以访问服务311。此外，仅在客户端被授权的情况下，服务器可以准予客户端访问服务器313。否则，服务器可以拒绝该请求315。

在一些实施例中，可以单独地由绑定到主体的许可确定与主体相关联的授权。如图4所示，客户端可以通过将许可扩展到另一个主体并且将经扩展的许可绑定到其它主体的公共密钥411，从而委托与该许可相关联的任何授权来跨主体委托授权。然后，客户端将会通过将许可传送到委托或传送到该委托可以访问的服务器来将许可扩展到委托415。

例如，第一主体(P_alice,S_alice)可以通过扩展第一主体的许可中的一个许可并且将该许可绑定到另一个主体的公共密钥来许可另一主体(P_tv,S_tv)如：

使用名称爱丽丝(alice)的P_alice说P_tv能够使用该名称“爱丽丝/装置/家庭tv(alice/devices/hometv)”。

这个证书可以利用许可实体(S_alice)的秘密密钥签署。在许可中被链接的名称可以以具有斜线的层级来布置以区分许可者(爱丽丝(alice))和被许可(装置/家庭tv(devices/hometv))。因此，许可者为委托创建新标识——委托证书链。新标识可以从以上示出的许可者的标识得出，但是其还将会与被许可的实体唯一地相关联。

任选地，当通过将许可扩展到另一个主体来委托权限时，委托主体(即，许可者)可以对接收者的访问该服务的权限施加警示(约束)413。警示将会包括对接受者使用该许可的权限的上下文约束。对使用许可的约束可以导致对接收者的访问某些服务的授权的约束。如上所述，许可将会包括从许可者的标识中得出的唯一标识。例如，在各种实施例中，具有许可“N”的主体可以创建用于包括“N/”作为前缀的另一个主体的许可。仅在许可中提及的这些警示是有效的情况下，这个许可能够由其它主体(委托)使用。

在特殊情况下，客户端/主体可以使用其用于向第三方扩展许可的能力来对本身创建多个标识。在这种情况下，“委托”或“第三方”将会是主体的替选标识。当主体呈现委托许可时，其将会表示主体正在其替选标识下操作而不是在该主体下操作。这可以允许客户端在访问服务时从多个标识进行选择。

在一些实施例中，由客户端选择的许可还可以包含一个或多个警示。如果是这样，服务器将会在准予客户端访问服务器之前通过确认对访问的请求满足警示来核实警示(上述)。

一些警示的验证可以涉及昂贵的计算或对授权服务不可访问的信息。在这种情况下，许可者可以将验证的负担推向第三方(即，不是行使许可的一方，也不是授权它们的一方)。例如，只有在鲍勃(bob)在爱丽丝的家的100英尺内(即，警示)的情况下，许可者“爱丽丝”能够允许所许可的实体“鲍勃”使用许可的“爱丽丝/家庭客人/鲍勃(alice/houseguest/bob)”。当鲍勃想要认证作为爱丽丝/家庭客人/鲍勃(alice/houseguest/bob)时，bob必须在能够使用名称爱丽丝/家庭客人/鲍勃(alice/houseguest/bob)之前从服务(例如，警示中提及的家庭_接近_免除服务(home_proximity_discharger service))获得免除(证明)。因此，许可进行签署声明：

使用名称alice的P_alice说P_bob能够使用名称“爱丽丝/家庭客人/鲍勃(alice/houseguest/bob)”，只要：

·服务器匹配爱丽丝/家庭/服务(alice/home/services)，以及

·家庭_接近_免除者在验证P_bob是在“100英尺内”之后发布免除。

通过使用这种第三方警示，将进行网络呼叫以获得免除的负担和进行计算以核实约束的负担转移到许可和第三方的行使者，远离正在做出授权决定的一端。

任选地，一些警示可以被认为撤回警示。为了使包含撤回警示的许可被认为有效，它们将会要求呼叫者(请求实体)从管理撤回的服务获得许可仍然有效的证明。

当客户端启动服务请求时，系统可以通过以下方式实现该请求：(1)找到相关的服务器；(2)提取访问标签；(3)调用授权检查；以及(4)在授权检查返回真(true)的条件下调用请求的服务，否则通过返回授权错误来拒绝该请求。每个访问标签可以映射到用于应当能够访问带有那个标签的方法的许可的模式列表(以下讨论的)。这个访问控制列表(ACL)的元素可以是诸如以下的形式：

选项1：A/B-在这种情况下，具有名称A或A/B的许可或者具有前缀“A/B”(像A/B/C、A/B/C/D、A/B/D等)的名称的许可将会匹配ACL。这个形式适于委托，其中A/B的委托还将会能够调用该方法，以及这个形式是框架鼓励的典型模式。

选项2：A/B/$-在这种情况下，仅具有名称A或A/B的标识将会匹配ACL。这个形式适于将访问提供到有限的一组许可并且不允许委托。

任选地，当服务器使用ACL来分析对服务器的访问请求时，所公开的证书链使服务器能够以支持列表中的否定条款的方式执行此操作。例如，系统可以准许主体(例如，爱丽丝)和全部主体的直接委托(例如，爱丽丝/孩子(alice/children))访问服务器，但是其可以拒绝诸如委托的委托的其它实体(例如，爱丽丝/孩子/孩子的叔叔(alice/children/children’s uncle))访问服务器。此外，ACL可以包括规则，所述规则通过准予访问呈现具有特定前缀的证书链(即，证书链中的名字)的任何实体或者通过拒绝访问呈现具有特定前缀的证书链的任何实体来致使系统控制访问。这可以帮助简化准予(或拒绝)访问特定实体及其全部委托的过程。

此外，任何客户端和任何服务器可以具有多个可用的许可。为了帮助保护服务器上或对客户端可用的全部信息的隐私，在一些实施例中，客户端可以不与特定服务器共享其可用许可的全部，以及服务器可以不与特定客户端共享其可用许可的全部。系统可以使用任何策略或方案，用于准许装置指定将它们的标识中的哪些应当(以及不应当)被呈现到其它装置。

因此，系统可以提供相互认证。远程过程调用(RPC)中的客户端和服务器可以充当主体的代表，并且可以经由绑定到其它实体的主体的许可来相互认证。“主体”是能够采用RPC的实体。每个主体具有唯一的(私人的，公共的)密钥对(S,P)。私人密钥通常由主体创造并且然后由主体保持，永远不会放在网络上或披露到其它主体。可以将名称经由可以从一个或多个其它主体得到的证书的链绑定到主体。上述“许可”可以包括这些名称以及被绑定到主体的名称的“证明”(以证书链的形式)。虽然主体通常不会在网络上传送其秘密密钥(S)，但是其可以自由地传送许可，以便进行标识声明。

客户端和服务器可以交换绑定至它们的许可，并且客户端或服务器可以验证其它实体具备它们的许可被绑定的公共密钥的私人对应。在协议结束时，加密信道被建立在客户端和服务器之间以用于执行RPC。前向保密安全协议可以被用于设立该加密信道。

每个证书可以包括各种字段，诸如：

·P：主体的公共密钥被称为P

·E：用于扩展通过链中的先前证书提供的名称的串(即，通过接合链中的全部先前证书的E字段形成的绑定到P的名称)

·CAVS：警示的列表，如果包括的话

·SIG：通过链中的先前证书中所引用的主体，将证书链绑定到P的签名。

例如，三个证书的以下链将名称“爱丽丝/朋友/TV(Alice/Friend/TV)”绑定到主体P2的公共密钥：

·CO：P＝P0，E＝“爱丽丝”，P0签署的SIG＝(“爱丽丝”，P0)

(这进行声明“P0说，向P0许可爱丽丝(Alice)”)

·C1：P＝P1，E＝“朋友(Friend)”，由P0签署的SIG＝(C0，“朋友(Friend)”，P1)

(这进行声明“P0说，向P1许可爱丽丝/朋友(Alice/Friend)”)

·C2：P＝P2，E＝“TV”，SIG＝(C0，CI，“TV”，P2)

(这进行声明“P1说，向P2许可爱丽丝/朋友/TV(Alice/Friend/TV))

除了自签署的每个第一“根”证书之外，链中的每个证书包含了由先前证书中所引用的主体签署的声明。

许可被用于向主体给出“名称”并且由根源于自签署证书中的证书链表示。一个主体可以将这个证书链呈现到另一个主体，以便对特定名称提出要求。只有在根证书被接收方认可的情况下，这个要求将被接收方接受。

例如，如果具有公共密钥P₂的主体将证书链“爱丽丝/朋友/TV(Alice/Friend/TV)”呈现到具有公共密钥P₃的主体，以便对“爱丽丝/朋友/TV(Alice/Friend/TV)”链提出要求。只有在P₃认可证书C₀作为可授权的(authoritative)，即仅在认为密钥P₀作为对以“爱丽丝/(Alice/)”开头的名称权限的条件下，P₃将会认为这个名词将要被绑定到P₂。用于根源于利用P₀自签署的证书中的名称“爱丽丝/朋友/TV(Alice/Friend/TV)”的许可被认为有效，同时用于根源于针对P₀自签署的证书中的名称“鲍勃/朋友/TV(Bob/Friend/TV)”的许可可以被认为无效。

每个主体可以自由的，以选择其认可的根证书的集合。然而，在一些实施例中，还可以使用普遍认可的根证书。

在一些实施例中，仅在以下条件下，在RPC的场境中许可的名称可以被认为有效：

·在RPC的上下文中与该名称相关联的全部警示是有效的，以及

·许可的根被认可

认可许可的根意旨服务信任用于从根证书的名称开始的许可名称的根证书的公共密钥。例如，如果信任公共密钥P_popularcorp以发布以名称受欢迎公司(popularcorp)开始的许可，则可以认可许可“受欢迎公司/产品/tv(popularcorp/products/tv)”的根。这种其公共密钥和名称是众所周知的主体可被称作为“标识提供者”。

公司、学校或其它公共机构可能变成标识提供者，以及应用可以被配置为认可这些中的一些子集。例如，为一般消费运行的服务可能信任公共机构运行许可服务，同时在公司内运行的服务可以仅认可其根证书通过由公司管理的密钥签署的许可。注意在一些实施例中，可以仅针对以特定前缀开始的许可而认可根证书。这帮助防止证书伪造，其中一个信任的标识提供者能够为通常由另一个标识提供者管理的实体发布证书。

在RPC中，通常会做出两个授权决定：(1)客户端是否足够信任服务器以做出呼叫？做出呼叫披露了正在被操纵的对象、正在被调用的方法和参数。(2)服务器是否允许客户端调用具有所提供的参数的对象上的方法？在本文档中描述的系统中，可以使用授权是基于经核实的许可名称的主体来进行这些决定中的每个。

例如，只有在服务器呈现匹配模式“爱丽丝/装置/家庭tv(alice/devices/hometv)的许可”的情况下，客户端可以希望调用服务上的“显示(Display)”方法。类似地，只有在客户端呈现匹配模式“爱丽丝/家庭客人(alice/houseguest)”的许可的情况下，服务可以允许客户端调用“显示”方法。

只要客户端和服务器主体的公共密钥呈现具有匹配另一端的授权策略的有效名称的许可，客户端和服务器主体的公共密钥就可以没有关系。每端可以通过核实与该名称相关联的全部警示并且验证许可的根是否被认可，来查明另一端的有效许可名称。

“模式”是斜杠分隔的串，其可以任选地以$结束。模式“爱丽丝/家庭客人(alice/houseguest)”将会通过名称“爱丽丝/家庭客人(alice/houseguest)”和其委托“爱丽丝/家庭客人/鲍勃(alice/houseguest/bob)”、“爱丽丝/家庭客人/配偶(alice/houseguest/bob/spouse)”等进行匹配，但是没有通过名称“鲍勃-或-爱丽丝/同事(bob-or-alice/colleague)”或像“爱丽丝(alice)”的模式的前缀进行匹配。另一方面，模式“爱丽丝/家庭客人/$(alice/houseguest/$)”将会通过名称“爱丽丝/家庭客人(alice/houseguest)”进行精确地匹配。

当选择许可时，主体可以已经收集多个许可并且可以在利用对等进行认证时需要选择他们中的哪个子集。其可能呈现全部，当没有必要时以泄漏敏感信息(例如，鲍勃是爱丽丝的家庭客人)为代价。如上所述，这个系统可以提供以选择性地与适当对等体共享许可的手段。

可以将用于主体的全部许可存储在许可存储中，类似于web浏览器中的cookiejar。存储标记在用作服务器时将要呈现的许可。在一些实施例中，服务器总是首先在客户端之前披露其许可。虽然在其它实施例中，客户端可以在客户端这样做之前披露其许可。客户端基于服务器的许可名称从存储选择其许可的子集，以与服务器共享。

例如，鲍勃的许可存储能够将许可“爱丽丝/家庭客人/鲍勃(alice/houseguest/bob)”添加到存储，仅用来与匹配模式爱丽丝的服务器共享。因此，由爱丽丝运行的全部服务器(“爱丽丝/家庭tv(alice/hometv)”、“爱丽丝/家庭门(alice/homedoor)”等)将会在鲍勃对它们做出请求时看到“爱丽丝/家庭客人/鲍勃(alice/houseguest/bob)”许可，但是bob通信的任何其它服务器将不会知道鲍勃具有来自爱丽丝的这个许可。

图5描绘可以用于包含或实现程序指令的硬件的框图。总线500用作互连硬件的其它图示组件的信息高速公路。处理器或CPU 505是系统的中央处理装置，执行对执行程序需要的计算和逻辑操作。单独地或与图4中公开的其它元件中的一个或多个相结合的CPU 505是诸如这个公开内使用的术语的生产装置、计算装置、或处理器。只读存储器(ROM)510和随机存取存储器(RAM)515构成非暂时性计算机可读存储介质的示例。

控制器520与到系统总线500的一个或多个任选地非暂时性计算机可读存储介质(即，存储装置525)接口连接。这些存储介质可以包括例如外部或内部DVD驱动器、CD ROM驱动器、硬盘驱动器、闪速存储器、USB驱动器等。如前所述，这些各种驱动器和控制器是任选的装置。

用于提供接口并且执行与一个或多个数据集合相关联的任何查询或分析的程序指令、软件或交互模块可以被存储在ROM 510和/或RAM 515中。任选地，程序指令可以被存储上述的存储介质525上。

任选的显示器接口530可以准许来自总线500的信息以听觉、视觉、图形或字母数字格式显示在显示器535上。可以使用各种通信端口540发生与诸如打印装置的外部装置的通信。可以将通信端口540附接到诸如互联网或内联网的通信网络。

硬件还可以包括接口545，其允许从诸如键盘550或诸如鼠标、触摸板、触摸屏、远程控制、指示装置、视频输入装置和/或音频输入装置的其它输入装置555的输入装置来接收数据。

以上公开的特征和功能、以及替选方式可以被组合成许多其它不同的系统或应用。本领域技术人员可以做出各种目前未预料外的或料想不到的替选方案、修改方案、变化或改进，其中的每个还旨在通过所公开的实施例进行涵盖。

Claims

1.一种控制共享实体之间的数据的方法，包括：

通过与客户端装置相关联的处理器：

识别提供服务的目标实体服务器；

识别第三方装置，所述客户端装置会将对所述服务的访问权委托给所述第三方装置；

向目标实体服务器发送对服务的请求；

从所述目标实体服务器接收包括服务器公共密钥和服务器证书链的服务器凭证，所述服务器证书链被绑定到所述服务器公共密钥并且包括多个证书的人类可读名称的链；

将所述服务器公共密钥和所述服务器证书链保存到所述客户端装置的存储器扇区；

基于所述服务器证书链，选择包括客户端公共密钥和所述客户端证书链的客户端凭证；

将所述客户端证书链保存到所述客户端装置的存储器扇区；

在将所述客户端证书链保存到所述存储器扇区之后，通过与所述客户端装置相关联的处理器：

为所述第三方装置创建绑定到公共密钥的委托证书链，使得所述委托证书链包括：

证书，所述证书包括具有为所述第三方装置选择的扩展的人类可读名称，以及

客户端证书链，所述客户端证书链以绑定到所述客户端装置的公共密钥的证书结束；以及

将所述委托证书链呈现到所述第三方装置；以及

将所述客户端证书链和客户端公共密钥作为对服务的请求发送到所述目标实体服务器；以及

通过所述目标实体服务器：

接收所述客户端证书链，

从所述客户端证书链提取和分析所述人类可读名称的前缀，以识别所述客户端装置的标识、以及对所述客户端装置的约束，

使用所述标识和授权来确定所述客户端装置是否被授权访问所述服务，以及所述请求是否满足所述约束，以及

如果所述客户端装置被授权并且所述请求满足所述约束，则准予所述客户端装置访问所述服务，否则拒绝所述请求。

2.根据权利要求1所述的方法，进一步包括：

通过所述客户端装置，将所述客户端证书链作为对服务的请求发送到所述目标实体服务器；以及

通过所述目标实体服务器：

接收所述客户端证书链，

分析所述客户端证书链中的人类可读名称，以识别所述客户端装置的标识、以及针对所述客户端装置的授权，

使用所述标识和所述授权来确定所述客户端装置是否被授权访问所述服务，以及

如果所述客户端装置被授权，则准予所述客户端装置访问所述服务，否则拒绝所述请求。

3.根据权利要求2所述的方法，其中，所述客户端装置没有向所述目标实体服务器发送其可用客户端证书链凭证中的全部，并且客户端装置没有从所述目标实体服务器接收所述目标实体服务器的可用服务器证书链中的全部。

4.根据权利要求1所述的方法，进一步包括，通过所述目标实体服务器：

从所述第三方装置接收所述委托证书链；

分析所述委托证书链中的所述人类可读名称，以识别所述客户端装置的标识；以及

如果所述客户端装置的委托被授权，则准予所述第三方装置访问所述服务，否则拒绝所述请求。

5.根据权利要求1所述的方法，进一步包括通过以下方式来对所述第三方装置访问所述服务的权限施加约束：

生成警示，所述警示包括对所述第三方装置访问所述服务的权限的上下文约束；以及

将所述警示添加到为所述第三方装置创建的所述委托证书链。

6.根据权利要求5所述的方法，其中，生成所述警示包括：将所述警示与所述第三方装置的标识相关联，但是所述警示中不包括所述客户端装置的标识。

7.根据权利要求1所述的方法，其中，所述客户端证书链还包括对所述客户端装置访问所述服务的权限的上下文约束。

8.根据权利要求1所述的方法，进一步包括：通过所述目标实体服务器：

从所述第三方装置接收所述委托证书链；

提取和分析所述委托证书中的所述人类可读名称的前缀，以识别所述客户端装置的标识；以及

如果所述客户端装置的委托被授权，则准予所述第三方装置访问所述服务，否则拒绝所述第三方装置访问所述服务。

9.一种通信系统，包括：

客户端处理器，所述客户端处理器与客户端装置相关联；

目标实体服务器；以及

包含客户端编程指令的非暂时性计算机可读介质，所述客户端编程指令被配置为致使所述客户端处理器：

识别提供服务的目标实体服务器，

识别第三方装置，所述客户端装置会将对所述服务的访问权委托给第三方装置，

向目标实体服务器发送对服务的请求，

从所述目标实体服务器接收包括服务器公共密钥和服务器证书链的服务器凭证，所述服务器证书链被绑定到所述服务器公共密钥并且包括多个证书的人类可读名称的链，

将所述服务器公共密钥和所述服务器证书链保存到所述客户装置的存储器扇区，

基于所述服务器证书链，选择包括客户端公共密钥和所述客户端证书链的客户端凭证，

将所述客户端证书链保存到所述客户端装置的存储器扇区；

在将所述客户端证书链保存到存储器扇区之后：

为所述第三方装置创建绑定到公钥的委托证书链，使得所述委托证书链包括：证书，所述证书包括具有为所述第三方装置选择的扩展的人类可读名称；以及，客户端证书链，所述客户端证书链以绑定到所述客户端装置的公共密钥的证书结束，以及

将所述委托证书链呈现到所述第三方装置；以及

包含客户端编程指令的非暂时性计算机可读介质，所述客户端编程指令被配置为致使所述目标实体服务器：

接收所述客户端证书链，

10.根据权利要求9所述的系统，进一步包括：

所述目标实体服务器；以及

包含服务器编程指令的非暂时性计算机可读介质，所述服务器编程指令被配置为致使所述目标实体服务器：

接收所述客户端证书链，

从所述客户端证书链提取和分析人类可读名称，以识别所述客户端装置的标识、以及针对所述客户端装置的授权，

11.根据权利要求10所述的系统，其中：

所述客户端编程指令被配置为致使所述客户端装置不向所述目标实体服务器发送其可用客户端证书链凭证中的全部；以及

所述服务器编程指令被配置为致使所述目标实体服务器不向所述客户端装置发送其可用服务器证书链凭证中的全部。

12.根据权利要求9所述的系统，进一步包括：

所述目标实体服务器；以及

从所述第三方装置接收所述委托证书链，

分析所述委托证书链中的所述人类可读名称，以识别所述客户端装置的标识，以及

13.根据权利要求9所述的系统，其中，所述客户端编程指令进一步被配置为通过以下方式来致使所述客户端处理器对所述第三方装置访问所述服务的权限施加约束：

14.根据权利要求13所述的系统，其中，用于生成所述警示的所述指令包括用于将所述警示与所述第三方装置的标识相关联、但是所述警示中不包括所述客户端装置的标识的指令。

15.根据权利要求9所述的系统，其中，用于创建所述委托证书链的所述指令还包括用于在所述人类可读名称组件中包括所述客户端装置的标识的指令，所述委托证书链包括具有为所述第三方装置选择的扩展的所述人类可读名称。

16.根据权利要求9所述的系统，进一步包括具有非暂时性计算机可读介质的所述目标实体服务器，所述非暂时性计算机可读介质包含服务器编程指令，所述服务器编程指令被配置为用于致使所述目标实体服务器：

接收所述委托证书链；

提取和分析所述委托证书链中的人类可读名称的前缀，以识别所述客户端装置的标识和所述警示；以及

如果所述客户端装置的委托被授权并且所述请求满足所述警示，则准予所述委托访问所述服务，否则拒绝所述委托访问所述服务。