專利名稱:數(shù)字身份表示的供應(yīng)的制作方法
數(shù)字身份表示的供應(yīng)
北曰. 冃豕
近來����,在開發(fā)向個(gè)人給予對(duì)特別是在數(shù)字上下文中如何分發(fā)和使用其個(gè)人 身份信息的更多控制的系統(tǒng)方面出現(xiàn)了大量革新���。例如��,特別地�����,華盛頓州雷 蒙德市的微軟公司推廣了一種有時(shí)被稱為信息卡選擇器的系統(tǒng)����,微軟對(duì)該信息
卡選擇器的實(shí)例化被稱為Windows CardSpace�����。在Windows CardSpace系統(tǒng)中���, 主體獲得一個(gè)或多個(gè)有時(shí)被稱為信息卡的數(shù)字身份表示����。當(dāng)主體試圖訪問需要 關(guān)于該主體做出的一組聲明的資源("依賴方")時(shí),該主體采用數(shù)字身份表 示(以下稱為"DIR")來啟動(dòng)與可斷言這些聲明的身份提供者的通信�����。在某 些情況下���,身份提供者可由主體控制并在主體自己的機(jī)器上運(yùn)行����。在其它情況 下��,其可由第三方來控制�。身份提供者返回包括所需聲明信息的"身份令牌"。 然而,對(duì)于DIR的創(chuàng)建和供應(yīng)卻幾乎沒有任何關(guān)注。當(dāng)前�����,數(shù)字身份系 統(tǒng)的管理員被迫手動(dòng)制作DIR。例如�,管理員可手動(dòng)地使用諸如XML生成器 等軟件實(shí)用程序來制作DIR并將其保存到特定位置。管理員然后可向主體發(fā)送 指向該DIR的指針,并且主體然后可開始檢索該DIR����。該系統(tǒng)是事先未準(zhǔn)備的, 其遭受錯(cuò)誤和安全漏洞���,并且對(duì)于管理員而言是勞動(dòng)密集型的�。
概述
提供本概述是為了以簡(jiǎn)化的形式介紹將在以下詳細(xì)描述中進(jìn)一步描述的 一些概念���。該概述不旨在標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或必要特征,也不 旨在用于幫助確定所要求保護(hù)的主題的范圍�����。
一方面涉及一種用于為主體供應(yīng)DIR的方法����。通過諸如HTTP請(qǐng)求等第 一通道接收為主體創(chuàng)建DIR的請(qǐng)求。然后通過例如電子郵件等第二通道發(fā)送已 請(qǐng)求了 DIR的通知����。然后在創(chuàng)建DIR之前接收對(duì)創(chuàng)建DIR的批準(zhǔn)。
另一方面涉及一種用于為主體供應(yīng)DIR的再一方法�。發(fā)放DIR對(duì)主體可 用的通知。然后在創(chuàng)建DIR之前接收創(chuàng)建DIR的請(qǐng)求。另一方面涉及一種用于為主體供應(yīng)DIR的又一方法�����。輪詢(例如�,由在 主體機(jī)器上運(yùn)行的應(yīng)用程序)DIR生成系統(tǒng)以確定是否有任何新的DIR對(duì)主體 可用。然后確定是否有一新的DIR對(duì)主體可用�。如果是,則發(fā)送創(chuàng)建新DIR 的請(qǐng)求�����。最后���,接收該新的DIR����。
另一方面涉及一種用于為一組主體供應(yīng)DIR的方法�。設(shè)置準(zhǔn)許該組主體 訪問DIR的策略。然后通知該組主體DIR可用�。接收來自該主體組中的至少 第一主體的創(chuàng)建DIR的請(qǐng)求。最后���,為該至少第一主體創(chuàng)建DIR�。
附圖簡(jiǎn)述
現(xiàn)在將對(duì)附圖做出參考,這些附圖不一定是按比例繪制的�,并且其中.-
圖1示出了一個(gè)示例DIR系統(tǒng),其包括主體�����、主體機(jī)器��、依賴方���、身份 提供者�����、DIR生成系統(tǒng)、身份數(shù)據(jù)存儲(chǔ)�、管理員系統(tǒng)以及數(shù)據(jù)捕捉系統(tǒng)����; 圖2示出了用于DIR供應(yīng)和使用的示例性方法�����; 圖3示出了用于DIR供應(yīng)和使用的另一示例性方法; 圖4示出了用于DIR供應(yīng)的另一示例性方法; 圖5示出了用于DIR供應(yīng)的另一示例性方法�����; 圖6示出了用于DIR供應(yīng)的另 一示例性方法; 圖7示出了用于DIR供應(yīng)的另 一示例性方法�����; 圖8示出了用于DIR供應(yīng)的另一示例性方法�����;以及 圖9示出了計(jì)算設(shè)備的一個(gè)示例�。
詳細(xì)描述
現(xiàn)將參考附圖�,在下文更全面地描述各示例實(shí)施例。全文中,相同的附圖 標(biāo)記表示相同的元素��。
此處所公開的示例實(shí)施例一般涉及身份系統(tǒng)���,其包括用于發(fā)起通信來產(chǎn)生 身份令牌的DIR��,該身份令牌可以在主體�、身份提供者和依賴方之間交換以驗(yàn) 證身份和/或與主體有關(guān)的信息���。在此處的示例性實(shí)施例中�,主體可以是一個(gè)或 多個(gè)自然人���、計(jì)算機(jī)、網(wǎng)絡(luò)或任何其它實(shí)體。依賴方具有商品�、服務(wù)�、或主體 期望訪問和/或獲得的其它信息。在各示例實(shí)施例中�����,依賴方可以是需要安全策略來輸入����、訪問或使用的任何資源、特權(quán)或服務(wù)�����。例如��,依賴方可以包括以下 的一個(gè)或多個(gè)計(jì)算機(jī)��、計(jì)算機(jī)網(wǎng)絡(luò)、數(shù)據(jù)�����、數(shù)據(jù)庫��、建筑物�����、人員����、服務(wù)、 公司�����、組織��、物理位置��、電子設(shè)備����、或任何其它類型的資源。
現(xiàn)在參考圖1���,示出了包括主體110和依賴方120的示例DIR系統(tǒng)100���。
主體110擁有或控制主體機(jī)器111。主體機(jī)器111包括至少臨時(shí)地由主體110 控制的計(jì)算機(jī)系統(tǒng)���。依賴方120也可包括計(jì)算機(jī)系統(tǒng)�。系統(tǒng)100可以包括管理 員系統(tǒng)160�、數(shù)據(jù)捕捉系統(tǒng)162、 DIR生成系統(tǒng)164�、身份數(shù)據(jù)存儲(chǔ)168、以及 身份提供者115���,其每一個(gè)都在以下進(jìn)一步討論�����,并且可包括計(jì)算機(jī)系統(tǒng)或是 其一部分���。
主體110和依賴方120可以通過諸如因特網(wǎng)等一個(gè)或多個(gè)網(wǎng)絡(luò)或通過電話 或其它形式的有線或無線通信來彼此通信。在各示例實(shí)施例中����,主體1I0可以 向依賴方120請(qǐng)求商品���、服務(wù)、信息��、特權(quán)或其它訪問�����。依賴方120在向主體 110提供所請(qǐng)求的訪問之前或結(jié)合該提供���,可以要求認(rèn)證主體110的身份或關(guān) 于主體110的信息���。
圖1中還示出了示例身份提供者115。身份提供者115包括計(jì)算機(jī)系統(tǒng)�����。 在各示例實(shí)施例中�,身份提供者115包括聲明變換器130和聲明授權(quán)機(jī)構(gòu)140。 聲明變換器130有時(shí)被稱為"安全令牌服務(wù)"����。在所示的示例中�����,身份提供者 115可以提供關(guān)于主體110的一個(gè)或多個(gè)聲明。聲明是關(guān)于主體所做出的陳述 或斷言��,其可能包括關(guān)于主體的信息����,如名字、地址�、社會(huì)保險(xiǎn)號(hào)、年齡��、信 用歷史�����、交易要求等�。如在以下進(jìn)一步描述的,身份提供者115可以用數(shù)字地 簽署的身份令牌的形式來向主體110和/或依賴方120提供聲明����。在各示例實(shí)施 例中,身份提供者115與依賴方120是可信關(guān)系,以便依賴方120信任來自身 份提供者115的經(jīng)簽署的身份令牌中的聲明�����。
盡管身份提供者115的聲明變換器130和聲明授權(quán)機(jī)構(gòu)140在圖1中被示 為分開的實(shí)體�����,但在替換實(shí)施例中����,聲明變換器130和聲明授權(quán)機(jī)構(gòu)140可以 是同一實(shí)體或不同的實(shí)體。在某些示例實(shí)施例中��,身份提供者115可以采取安 全令牌服務(wù)的形式����。類似地,身份提供者115和DIR生成系統(tǒng)164可以是相同 或不同的實(shí)體��。
此處所描述的計(jì)算機(jī)系統(tǒng)包括但不限于�����,個(gè)人計(jì)算機(jī)����、服務(wù)器計(jì)算機(jī)�、手持式或膝上型設(shè)備���、微處理器系統(tǒng)�、基于微處理器的系統(tǒng)�、可編程消費(fèi)電子產(chǎn) 品��、網(wǎng)絡(luò)PC����、小型機(jī)、大型計(jì)算機(jī)���、智能卡���、電話、移動(dòng)或蜂窩通信設(shè)備�����、 個(gè)人數(shù)字助理���、包括上述系統(tǒng)或設(shè)備中的任一個(gè)的分布式計(jì)算環(huán)境等等���。此處 所描述的某些計(jì)算機(jī)系統(tǒng)可包括便攜式計(jì)算設(shè)備�。便攜式計(jì)算設(shè)備是被設(shè)計(jì)成 由用戶物理地?cái)y帶的任何計(jì)算機(jī)系統(tǒng)��。每一計(jì)算機(jī)系統(tǒng)可包括一個(gè)或多個(gè)外圍 設(shè)備����,包括但不限于鍵盤、鼠標(biāo)���、攝像機(jī)��、web攝像頭�����、攝影機(jī)����、指紋掃描 器����、虹膜掃描器�����、諸如監(jiān)視器等顯示設(shè)備�����、話筒或揚(yáng)聲器�。
每一計(jì)算機(jī)系統(tǒng)包括諸如(但不限于)來自微軟公司的WINDOWS操作 系統(tǒng)等的操作系統(tǒng)����,以及存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上的一個(gè)或多個(gè)程序���。每一計(jì) 算機(jī)系統(tǒng)還可包括允許用戶與計(jì)算機(jī)系統(tǒng)通信以及允許計(jì)算機(jī)系統(tǒng)與其它設(shè) 備通信的一個(gè)或多個(gè)輸入和輸出通信設(shè)備�����。主體110所使用的計(jì)算機(jī)系統(tǒng)(例 如�,主體機(jī)器lll)��、依賴方120����、 DIR生成系統(tǒng)164�、管理員系統(tǒng)160�����、數(shù)據(jù) 捕捉系統(tǒng)162和身份提供者115之間的通信可以使用任何類型的通信鏈路來實(shí) 現(xiàn)�,包括但不限于,因特網(wǎng)�����、廣域網(wǎng)�、內(nèi)聯(lián)網(wǎng)、以太網(wǎng)�、直接線路徑、衛(wèi)星����、 紅外掃描、蜂窩通信�����、或任何其它類型的有線或無線通信��。
在此處所公開的某些示例實(shí)施例中���,系統(tǒng)IOO至少部分地被實(shí)現(xiàn)為在華盛 頓州雷蒙德市的微軟公司所開發(fā)的.NET 3.0框架中所提供的信息卡系統(tǒng)����。該信 息卡系統(tǒng)允許主體管理來自爭(zhēng)種身份提供者的多個(gè)DIR。
該信息卡系統(tǒng)利用諸如.NET 3.0框架中的Windows通信框架等web服務(wù) 平臺(tái)��。此外��,該信息卡系統(tǒng)是使用至少部分地由華盛頓州雷蒙德市的微軟公司 推廣的Web服務(wù)安全規(guī)范來構(gòu)建的�����。這些規(guī)范包括消息安全模型WS-安全���、 端點(diǎn)策略WS-安全策略�����、元數(shù)據(jù)交換WS-元數(shù)據(jù)交換、以及信任模型WS-信任���。 一般而言����,WS-安全模型描述了如何將身份令牌附加到消息。WS-安全策略模 型描述了端點(diǎn)策略要求�����,如所需身份令牌和所支持的加密算法����。這些策略要求 可以使用WS-元數(shù)據(jù)交換定義的元數(shù)據(jù)協(xié)議來傳達(dá)和協(xié)商。WS-信任模型描述 了允許不同web服務(wù)互操作的信任模型的框架����。此處所述的某些示例實(shí)施例參 考了上述web服務(wù)安全規(guī)范。在替換實(shí)施例中��,可使用一個(gè)或多個(gè)其它規(guī)范來 方便系統(tǒng)100中的各種子系統(tǒng)之間的通信���。
再次參考圖1��,主體110可以經(jīng)由主體機(jī)器110向依賴方120發(fā)送訪問商品�����、服務(wù)或其它信息的請(qǐng)求�����。例如�����,在一個(gè)實(shí)施例中���,主體機(jī)器lll向依賴方
1120發(fā)送訪問來自依賴方120的����、主體110所需的信息的請(qǐng)求���。主體機(jī)器110 發(fā)送的請(qǐng)求可包括對(duì)依賴方120的使用例如WS-元數(shù)據(jù)交換中提供的機(jī)制的認(rèn) 證要求的請(qǐng)求�����。
響應(yīng)于該請(qǐng)求�����,依賴方120可以向主體機(jī)器111發(fā)送依賴方120認(rèn)證主體 的身份或關(guān)于主體110的其它信息的要求。依賴方120的認(rèn)證要求此處被稱為 安全策略�。安全策略最低限度定義了來自可信身份提供者115的聲明集,主體 110必須向依賴方120提供該聲明集以供依賴方120認(rèn)證主體110�����。安全策略 可包括關(guān)于個(gè)人特征(如年齡)、身份��、財(cái)務(wù)狀況等的證明的要求����。它還可包 括關(guān)于認(rèn)證任何證明提供(例如,來自特定身份提供者的數(shù)字簽名)所需的驗(yàn) 證和認(rèn)證等級(jí)的規(guī)則�。
在一個(gè)示例中,依賴方120使用WS-安全策略指定其安全策略�����,包括依賴 方120所需的聲明要求和身份令牌的類型�����。聲明類型的示例包括但不限于以下 名�����、姓���、電子郵件地址���、街道地址�、地區(qū)名或城市��、州或省�����、郵政編碼����、國家、 電話號(hào)碼����、社會(huì)保險(xiǎn)號(hào)、生日���、性別���、個(gè)人標(biāo)識(shí)符號(hào)�、信用得分、財(cái)務(wù)狀況、 法律狀況等等。
安全策略也可用于指定依賴方120所需的身份令牌的類型�����,或可使用身份 提供者所確定的默認(rèn)類型�。除了指定所需聲明和令牌類型之外,安全策略還可 指定依賴方所需的特定身份提供者����?��;蛘?,該策略可省略該元素,從而將對(duì)適 當(dāng)身份提供者的確定留給主體110�����。也可在安全策略中指定其它元素,諸如�����, 例如所需安全令牌的新鮮度�。
在某些實(shí)施例中�,主體110可以要求依賴方120向主體機(jī)器111標(biāo)識(shí)其自 身以使主體110能決定是否滿足依賴方120的安全策略,如以下所描述的��。在 一個(gè)示例中�,依賴方120使用X509證書來標(biāo)識(shí)其自己�。在其它實(shí)施例中,依 賴方120可以使用諸如��,例如安全套接字層("SSL")服務(wù)器證書等其它機(jī) 制來標(biāo)識(shí)其自身�。
主體機(jī)器111可以包括主體110的一個(gè)或多個(gè)DIR。這些DIR (在華盛頓 州雷蒙德市的微軟公司開發(fā)的.NET 3.0框架中提供的Windows Cardspace系統(tǒng) 中有時(shí)稱為"信息卡")是表示主體110和諸如身份提供者115等特定身份提供者之間的令牌發(fā)放關(guān)系的人工產(chǎn)物��。每一DIR可對(duì)應(yīng)于一特定身份提供者��,
且主體110可具有來自相同或不同身份提供者的多個(gè)DIR��。在身份系統(tǒng)中對(duì) DIR的使用在美國專利申請(qǐng)11/361,281號(hào)中有詳細(xì)描述,該申請(qǐng)如同在此完整 闡述一樣通過引用結(jié)合于此����。
DIR可包括身份提供者對(duì)于身份令牌的發(fā)放策略以及其它信息���,該發(fā)放策 略包括可被發(fā)放的令牌的類型、該身份提供者對(duì)其具有權(quán)威的聲明類型、和/ 或在請(qǐng)求身份令牌時(shí)要用于認(rèn)證的憑證���。DIR可被表示為由身份提供者115或 DIR生成系統(tǒng)164發(fā)放并由主體110存儲(chǔ)在諸如主體機(jī)器111等存儲(chǔ)設(shè)備上的 XML文檔。
主體機(jī)器111還可包括身份選擇器����。 一般而言�,身份選擇器是準(zhǔn)許主體 110在主體機(jī)器111上的主體110的一個(gè)或多個(gè)DIR之間進(jìn)行選擇以從諸如身 份提供者115等一個(gè)或多個(gè)身份提供者請(qǐng)求并獲得身份令牌的計(jì)算機(jī)程序和用 戶界面。例如���,當(dāng)主體機(jī)器111接收到來自依賴方120的安全策略時(shí),身份選 擇器可被編程為使用DIR中的信息來標(biāo)識(shí)滿足安全策略所需的一個(gè)或多個(gè)聲 明的一個(gè)或多個(gè)DIR�。 一旦主體110接收到來自依賴方120的安全策略,主體 110可與一個(gè)或多個(gè)身份提供者(例如使用主體機(jī)器111)通信以收集該策略 所需的聲明。
在各示例實(shí)施例中��,主體110使用WS-信任中所描述的發(fā)放機(jī)制來向身份 提供者115請(qǐng)求一個(gè)或多個(gè)身份令牌���。在各示例實(shí)施例中����,主體110將依賴方 120的策略中的聲明要求轉(zhuǎn)發(fā)給身份提供者115。依賴方120的身份能夠,但 不一定在主體110發(fā)送給身份提供者115的請(qǐng)求中指定���。該請(qǐng)求也可包括其它 要求����,諸如對(duì)顯示令牌的請(qǐng)求����。
一般而言,身份提供者115的聲明授權(quán)機(jī)構(gòu)140可以提供來自依賴方120 的安全策略所需的一個(gè)或多個(gè)聲明��。身份提供者115的聲明變換器130被編程 為變換聲明并生成包括與主體110有關(guān)的聲明的一個(gè)或多個(gè)經(jīng)簽署的身份令牌 150�。
如上所述���,主體110可以基于來自依賴方120的要求在其對(duì)身份提供者 115的請(qǐng)求中以某種特定格式請(qǐng)求身份令牌。聲明變換器130可被編程為以多 種格式中的一種來生成身份令牌����,這些格式包括但不限于����,X509�、 Kerberos���、SAML (1.0禾卩2.0版)、簡(jiǎn)單可擴(kuò)展身份協(xié)議("SXIP")等等�。
例如���,在一個(gè)實(shí)施例中���,聲明授權(quán)機(jī)構(gòu)140被編程為以第一格式A生成 聲明�,而依賴方120的安全策略要求第二格式B的身份令牌�����。聲明變換器130 在將身份令牌發(fā)送給主體110之前可將來自聲明授權(quán)機(jī)構(gòu)140的聲明從格式A 變換成格式B。另外����,聲明變換器130可被編程為細(xì)化特定聲明的語義。在各 示例實(shí)施例中,變換特定聲明的語義以最小化特定聲明和/或身份令牌中提供的 信息量,以減少或最小化給定聲明所傳達(dá)的個(gè)人信息量��。
在各示例實(shí)施例中�����,聲明變換器130使用WS-信任中所描述的響應(yīng)機(jī)制將 身份令牌150轉(zhuǎn)發(fā)給主體110�。在一個(gè)實(shí)施例中,聲明變換器130包括安全令 牌服務(wù)(有時(shí)稱為"STS")��。在一示例實(shí)施例中�����,主體IIO通過使用WS-安 全中所描述的安全綁定機(jī)制將身份令牌150綁定到應(yīng)用程序消息來將身份令牌 150轉(zhuǎn)發(fā)給依賴方120��。在其它實(shí)施例中���,身份令牌150可以直接從身份提供 者115發(fā)送到依賴方120����。
一旦依賴方120接收到身份令牌150�,依賴方120可以驗(yàn)證經(jīng)簽署的身份 令牌150的起源(例如���,通過對(duì)身份令牌150解碼或解密)。依賴方120還可 利用身份令牌150中的聲明來滿足依賴方120認(rèn)證主體110的安全策略�。
現(xiàn)在將更詳細(xì)討論DIR的供應(yīng)���。主體110可以用各種方式來獲得DIR。 在圖l所示的示例實(shí)施例中,DIR生成系統(tǒng)164—般用于與主體IIO通信��、創(chuàng) 建新DIR、以及向主體110通知可用DIR�����。 DIR生成系統(tǒng)164在某些實(shí)施例中 可包括互聯(lián)網(wǎng)站����。在其它實(shí)施例中���,DIR生成系統(tǒng)164可包括web服務(wù)�。在某 些實(shí)施例中��,DIR生成系統(tǒng)164還可包括互聯(lián)網(wǎng)信息服務(wù)器(IIS) 166或結(jié)合 其來工作����。
身份數(shù)據(jù)存儲(chǔ)168是在某些實(shí)施例中能由身份提供者115、 DIR生成系統(tǒng) 164以及管理員系統(tǒng)160訪問的數(shù)字信息存儲(chǔ)系統(tǒng)。身份數(shù)據(jù)存儲(chǔ)168可以包 括數(shù)據(jù)庫服務(wù)器��、計(jì)算機(jī)存儲(chǔ)器或任何其它數(shù)據(jù)存儲(chǔ)設(shè)備�。身份數(shù)據(jù)存儲(chǔ)168 可以由分布式數(shù)據(jù)模型中的多個(gè)設(shè)備或系統(tǒng)組成���。身份數(shù)據(jù)存儲(chǔ)168還可包括 或包含目錄服務(wù)�,諸如由華盛頓州雷蒙德市的微軟公司推廣的現(xiàn)用目錄(Active Directory) 169����。168和DIR生成系統(tǒng)164通信的用戶界面���。管理員系統(tǒng)160準(zhǔn)許管理員組織和 管理身份數(shù)據(jù)存儲(chǔ)168內(nèi)的數(shù)據(jù)����。它還準(zhǔn)許管理員確定DIR生成系統(tǒng)164所創(chuàng) 建的DIR的類型,并允許管理員控制特定主體是否有資格接收特定DIR�����。對(duì)管 理員系統(tǒng)160的使用將在下文中進(jìn)一步討論。
某些實(shí)施例可包括單獨(dú)的數(shù)據(jù)捕捉系統(tǒng)162����。數(shù)據(jù)捕捉系統(tǒng)162可以包括 適用于捕捉與主體有關(guān)的信息的計(jì)算機(jī)系統(tǒng)��。例如��,數(shù)據(jù)捕捉系統(tǒng)162可以包 括捕捉關(guān)于主體的個(gè)人信息的人力資源計(jì)算機(jī)系統(tǒng)�,這些信息如姓名�����、電話號(hào) 碼���、社會(huì)保險(xiǎn)號(hào)、地址等等���。數(shù)據(jù)捕捉系統(tǒng)162可包括單獨(dú)的存儲(chǔ),或可利用 身份數(shù)據(jù)存儲(chǔ)168����。
圖2示出了可以經(jīng)由系統(tǒng)100實(shí)現(xiàn)的方法200����。在步驟210��,管理員配置 身份數(shù)據(jù)存儲(chǔ)���。例如��,管理員可以使用管理員系統(tǒng)160來配置身份數(shù)據(jù)存儲(chǔ) 168���。在某些實(shí)施例中,管理員可以使用管理員系統(tǒng)160來設(shè)置身份數(shù)據(jù)存儲(chǔ) 168中將用于掌管����、生成和管理DIR的表����。在一示例性實(shí)施例中��,管理員可以 確定DIR生成系統(tǒng)164所創(chuàng)建的DIR以及身份提供者115所生成的身份令牌 中將支持的聲明的類型���。管理員還可使用管理員系統(tǒng)160來配置身份數(shù)據(jù)存儲(chǔ) 168�,以存儲(chǔ)諸如身份提供者115支持的令牌的類型����、權(quán)利信息以及聯(lián)盟元數(shù) 據(jù)等策略信息���。身份數(shù)據(jù)存儲(chǔ)168中可嵌入在DIR中的其它信息包括主體110 的照片以及與諸如身份提供者115等身份提供者有關(guān)的連通性信息。
方法200然后前進(jìn)到步驟220,在那里主體110請(qǐng)求DIR�。對(duì)DIR的請(qǐng)求 可以用各種方式來做出。例如���,主體110可以使用主體機(jī)器111來訪問DIR生 成系統(tǒng)164���。在某些實(shí)施例中,DIR生成系統(tǒng)164是網(wǎng)站�����,而主體機(jī)器lll通 過因特網(wǎng)瀏覽器訪問DIR生成系統(tǒng)164來請(qǐng)求DIR�。在某些實(shí)施例中���,主體 IIO請(qǐng)求特定DIR�。在以下進(jìn)一步討論的其它實(shí)施例中��,主體110請(qǐng)求對(duì)主體 110可用的DIR的列表并從該列表中進(jìn)行選擇����。
方法200然后前進(jìn)到步驟230,在那里DIR生成系統(tǒng)164向身份數(shù)據(jù)存儲(chǔ) 168核查����、生成DIR、并將DIR提供給主體110����。在一個(gè)實(shí)施例中,DIR生成 系統(tǒng)164首先向身份數(shù)據(jù)存儲(chǔ)168核查以確定主體110是否對(duì)所請(qǐng)求的DIR有 權(quán)�����。這可以用各種方式來實(shí)現(xiàn),包括通過檢査身份數(shù)據(jù)存儲(chǔ)168內(nèi)的權(quán)利DLL��、 執(zhí)行現(xiàn)用目錄訪問檢查等等�。DIR生成系統(tǒng)164還可訪問存儲(chǔ)在身份數(shù)據(jù)存儲(chǔ)明可用于包括在新DIR中�。
當(dāng)DIR生成系統(tǒng)164創(chuàng)建新DIR時(shí),該DIR可以采取XML文檔的形式 并可包括以下信息以及其它信息要在主體機(jī)器上顯示的圖像����;包括在DIR中 的聲明列表;對(duì)DIR可用的令牌類型的列表�;唯一DIR標(biāo)識(shí)符���;憑證提示(以 下進(jìn)一步討論)����;身份提供者的標(biāo)識(shí)�;以及身份提供者115的端點(diǎn)引用。新的 DIR也可用各種方式來提供給主體����,包括新DIR的電子郵件����、HTTP消息或其 它方法�����。如此處所使用的���,"電子郵件"包括文本消息收發(fā)�����、即時(shí)消息收發(fā)以 及類似形式的電子通信��。
在接收到新DIR之后��,主體110將該DIR存儲(chǔ)240在例如與主體機(jī)器111 相關(guān)聯(lián)的存儲(chǔ)器中���。主體250然后請(qǐng)求訪問諸如依賴方120等依賴方。依賴方 拒絕訪問(例如�,經(jīng)由到認(rèn)證頁面的重定向),并將其安全策略提供260回給 主體IIO���。主體110然后選擇270 — DIR以滿足依賴方120的安全策略��。這可 例如通過主體機(jī)器111上向主體110顯示所有可用DIR的用戶界面來實(shí)現(xiàn)��。在 某些實(shí)施例中���,滿足依賴方的安全策略的要求的DIR可對(duì)主體IIO加亮,并且 其它卡可被模糊以使得該選擇過程對(duì)主體110更容易�。
主體IIO然后向諸如身份提供者115等身份提供者發(fā)送280對(duì)身份令牌的 請(qǐng)求。該對(duì)身份令牌的請(qǐng)求可以由主體機(jī)器111在主體110選擇了存儲(chǔ)在主體 機(jī)器111上的DIR之后自動(dòng)生成�。身份提供者115檢查285身份數(shù)據(jù)存儲(chǔ)168 來獲得填充所請(qǐng)求的身份令牌所需的信息。該信息可包括�����,例如聲明數(shù)據(jù)�。例 如,如果所選DIR包括年齡聲明�����,則身份提供者115可檢查身份數(shù)據(jù)存儲(chǔ)168 來確定主體110的年齡�����。身份提供者115然后能夠創(chuàng)建285所請(qǐng)求的身份令牌 并將其發(fā)送290給主體。主體然后將身份令牌發(fā)送295到依賴方并且如上所討 論地被授予訪問權(quán)����。
在身份提供者115提供對(duì)DIR生成系統(tǒng)164所使用的同一身份數(shù)據(jù)存儲(chǔ) 168的訪問時(shí),管理員能夠確保DIR的生成與可用于滿足所請(qǐng)求的身份令牌中 的聲明的實(shí)際數(shù)據(jù)保持同步���。例如���,如果管理員配置身份數(shù)據(jù)存儲(chǔ)168以使得 用于年齡聲明的數(shù)據(jù)沒有存儲(chǔ)在那里,則DIR生成系統(tǒng)164將不創(chuàng)建包括關(guān)于 年齡聲明的選項(xiàng)的DIR�����。否則����,會(huì)引發(fā)同步問題。例如�,假定管理員事先未準(zhǔn) 備(未參考可用身份數(shù)據(jù))地創(chuàng)建了新的DIR,并且包括年齡聲明并將其作為DIR的一部分發(fā)回給主體����。當(dāng)主體試圖獲得具有年齡聲明的身份令牌時(shí),該信
息不可用���,并且該令牌將被依賴方因?yàn)椴蛔愣芙^����。相反,系統(tǒng)100準(zhǔn)許所生 成的DIR與填充對(duì)應(yīng)的身份令牌的底層數(shù)據(jù)的可用性的自動(dòng)同步��。向管理員提 供通過管理員系統(tǒng)160在身份數(shù)據(jù)存儲(chǔ)中做出改變的能力����,該改變將自動(dòng)影響 DIR的供應(yīng)和對(duì)應(yīng)的身份令牌的發(fā)放。
在某些實(shí)施例中����,當(dāng)管理員對(duì)身份數(shù)據(jù)存儲(chǔ)168做出影響己經(jīng)發(fā)放的DIR 的有效性的特定改變時(shí)����,通知接收到受影響的DIR的任何主體并準(zhǔn)許其獲得新 DIR。例如�����,假定隱私規(guī)章要求管理員消除存儲(chǔ)在身份數(shù)據(jù)存儲(chǔ)168中的任何 主體的家庭地址���。接收到包括了關(guān)于她/他的家庭地址的聲明的DIR的任何主 體IIO現(xiàn)在具有無效DIR (因?yàn)樵谏矸輸?shù)據(jù)存儲(chǔ)168中不再有滿足該聲明的任 何數(shù)據(jù))����。在一個(gè)實(shí)施例中,例如經(jīng)由來自DIR生成系統(tǒng)164的電子郵件通知 所有這些主體DIR現(xiàn)在無效��,并且邀請(qǐng)主體獲得不包括不再得到支持的家庭地 址聲明的新DIR�����。以此方式��,管理員對(duì)身份數(shù)據(jù)存儲(chǔ)168的單個(gè)改變(a)防止 發(fā)放帶有家庭地址聲明的新DIR�,以及(b)警告主體包括該聲明的現(xiàn)有DIR無 效并且可被替換。
現(xiàn)在參考圖3,結(jié)合圖1所示的系統(tǒng)100描述了示例性方法300�����。在該示 例中����,主體110向主體機(jī)器111認(rèn)證。主體機(jī)器111例如可以連接到包括諸如 現(xiàn)用目錄服務(wù)器169等目錄服務(wù)的內(nèi)聯(lián)網(wǎng)�����。主體110向主體機(jī)器111的認(rèn)證可 包括使用來自包括用戶名/口令、智能卡等在內(nèi)的任何已知方法的登錄信息�����。主 體110然后通過例如將主體機(jī)器111上的瀏覽器指向包括DIR生成系統(tǒng)164 的網(wǎng)站來發(fā)起320 DIR請(qǐng)求�����。主體110然后在DIR生成系統(tǒng)164處進(jìn)行認(rèn)證 330����。在某些實(shí)施例中,主體機(jī)器lll�、 DIR生成系統(tǒng)1力4、身份數(shù)據(jù)存儲(chǔ)168��、 身份提供者115以及管理員系統(tǒng)160可以是同一內(nèi)聯(lián)網(wǎng)的一部分�����。在該實(shí)施例 中���,單點(diǎn)登錄(single-sign-on)能力可用是可能的。例如�,如果主體機(jī)器正在 運(yùn)行可從華盛頓州雷蒙德市的微軟公司獲得的WINDOWS操作系統(tǒng),并且打 開了 Windows集成認(rèn)證,則DIR生成系統(tǒng)164處的認(rèn)證可以對(duì)主體110是自 動(dòng)且無縫的一用于登入到主體機(jī)器111的信息連同訪問請(qǐng)求一起傳遞到DIR生 成系統(tǒng)164���。在其它實(shí)施例中����,管理員可以將DIR生成系統(tǒng)164配置成需要主 體1110的單獨(dú)認(rèn)證�����。管理員可以將DIR生成系統(tǒng)164配置成需要包括用戶名/口令�����、智能卡等在內(nèi)的各種認(rèn)證機(jī)制中的任一種��。在某些實(shí)施例中��,主體IIO
可由ns 166來認(rèn)證����,該ns可以由管理員容易地配置來接受各種認(rèn)證方法中的任一種。
一旦主體110得到認(rèn)證�����,DIR生成系統(tǒng)164就訪問350身份數(shù)據(jù)存儲(chǔ)168。在該示例中��,DIR生成系統(tǒng)164采取web服務(wù)的形式以允許DIR生成系統(tǒng)和主體110之間的協(xié)商���。在該示例中�����,協(xié)商確定將返回給主體110的DIR的類型����。在該情況下�,DIR生成系統(tǒng)164獲得350可用DIR描述符。在各示例性實(shí)施例中�����,管理員使用管理員系統(tǒng)160來創(chuàng)建DIR描述符�����。例如�,公司IT管理員可以創(chuàng)建表示用于不同等級(jí)的員工的不同DIR的描述符�。例如,兼職員工可以具有與全職員工不同的一組聲明。CEO可以具有與職員不同的一組聲明���。甚至是與每一 DIR描述符相關(guān)聯(lián)的圖像也可以變化一例如���,銷售組DIR圖像可以是橙色的,而會(huì)計(jì)組DIR圖像是綠色的�。此外,個(gè)性化卡圖像以包含主體110的圖像(從身份數(shù)據(jù)存儲(chǔ)168獲得)是可能的��。這增強(qiáng)了主體110在他/她的DIR和身份提供者115之間所做出的關(guān)聯(lián)����。其也提供了更好的"指紋識(shí)別"能力。
在某些實(shí)施例中���,管理員系統(tǒng)160包括解析身份數(shù)據(jù)存儲(chǔ)168中可用的所有可用類型的信息并向管理員呈現(xiàn)創(chuàng)建描述符的容易方式的用戶界面��。例如�,可以向管理員呈現(xiàn)以下各項(xiàng)的列表(a)主體類別(例如��,兼職員工���、全職員工����、執(zhí)行團(tuán)隊(duì)成員、銷售組成員等)���;(b)聲明類型(姓名�、地址�、電話號(hào)碼、年齡等)��;(C)安全許可��;(d)雇用狀態(tài)(當(dāng)前��、已終止)���;等等�。管理
員然后可決定創(chuàng)建對(duì)部分或所有類別的主體可用的不同描述符�。例如,所有主
體可以有權(quán)接收包括主體姓名�、電話號(hào)碼和雇用狀態(tài)的基本DIR。然而��,僅執(zhí)行團(tuán)隊(duì)可以有權(quán)接收還包括高級(jí)安全許可的DIR���。這些描述符可以由管理員來創(chuàng)建�����,并連同描繪哪些主體被準(zhǔn)許接收對(duì)應(yīng)于特定描述符的DIR的策略一起保存在身份數(shù)據(jù)存儲(chǔ)中���。可對(duì)管理員管理描述符有用的可能命令包括"獲取描述符(GET DESCRIPTORS)����、獲取所有描述符(GET ALL DESCRIPTORS)、添加描述符(ADD DESCRIPTORS)���、改變描述符(CHANGE DESCRIPTORS)���、刪除描述符(DELETE DESCRIPTORS)、復(fù)制描述符(COPY DESCRIPTOR)等等"���。主體110對(duì)于可用描述符的請(qǐng)求可由主體機(jī)器111通過諸如"獲取描述符"
等web服務(wù)方法來實(shí)現(xiàn)�����。這使得DIR生成系統(tǒng)對(duì)照管理員所設(shè)置的策略來檢查主體110以確定哪些(如果有)描述符對(duì)該主體110可用�。這可例如經(jīng)由現(xiàn)用目錄訪問檢查來實(shí)現(xiàn)。描述符可以被存儲(chǔ)在例如身份數(shù)據(jù)存儲(chǔ)168�����、與DIR生成系統(tǒng)164相關(guān)聯(lián)的存儲(chǔ)器���、或單獨(dú)的存儲(chǔ)的任一個(gè)或全部中�����。
DIR生成系統(tǒng)164然后將可用描述符發(fā)送360給主體機(jī)器111��。主體110然后從可用描述符中進(jìn)行選擇370��,并請(qǐng)求對(duì)應(yīng)于該描述符的特定DIR�。這同樣例如由諸如"獲取卡(GETCARD)"(該示例中指至少部分地由華盛頓州雷蒙德市的微軟公司推廣的Windows CardSpace系統(tǒng)中可用的信息卡)等web服務(wù)方法來實(shí)現(xiàn)�����。主體110可請(qǐng)求一個(gè)或若干個(gè)可用DIR�。
DIR生成系統(tǒng)164然后創(chuàng)建380所請(qǐng)求的DIR。在各示例性實(shí)施例中��,DIR生成系統(tǒng)在DIR中包括"支持"該DIR的憑證提示�����。例如,DIR可包括用戶名/口令憑證提示�,并且可要求主體110使用該用戶名/口令來認(rèn)證以使用該DIR來獲得身份令牌�����。在某些實(shí)施例中���,認(rèn)證類型可以取自主體110用來獲取對(duì)DIR生成系統(tǒng)164的訪問的認(rèn)證����。例如�����,如果主體110使用了用戶名/口令組合來向IIS 166認(rèn)證�����,則DIR生成系統(tǒng)164可使用相同的用戶名和口令以在將該DIR發(fā)回給主體110時(shí)支持該DIR���。
在其它實(shí)施例中���,數(shù)字生成系統(tǒng)可訪問諸如現(xiàn)用目錄169等可包括對(duì)特定主體110可用的其它認(rèn)證方法的目錄服務(wù)�。例如�����,如果主體110使用用戶名/口令來向DIR生成系統(tǒng)164認(rèn)證�,但是現(xiàn)用目錄還包括與向主體110注冊(cè)的智能卡相關(guān)聯(lián)的證書,則DIR生成系統(tǒng)164可包括任一或兩個(gè)認(rèn)證類型作為返回給主體110的DIR的一部分��。另夕卜�����,如果在主體機(jī)器111和DIR生成系統(tǒng)164之間啟用了單點(diǎn)登錄能力��,則包括在DIR中的認(rèn)證類型可以是主體110用于向主體機(jī)器111認(rèn)證的認(rèn)證類型�����。
一旦DIR生成系統(tǒng)164生成了 DIR��,該DIR就經(jīng)由包括電子郵件�、HTTP等在內(nèi)的各種方法中的任一種發(fā)送390給主體110。在某些實(shí)施例中,包括DIR的文件可用個(gè)人識(shí)別號(hào)(pin)來保護(hù)�。這是因?yàn)椋绕湓趯⒍鄠€(gè)DIR發(fā)送給主體110的情況中����,包含DIR的文件可包括應(yīng)保護(hù)不受非授權(quán)訪問的密碼密鑰資料。個(gè)人識(shí)別號(hào)允許在主體機(jī)器111和DIR生成系統(tǒng)164之間建立共享秘密����。包含DIR的文件然后可由主體在將DIR安裝到主體機(jī)器111上時(shí)解密��。用于發(fā)起�、批準(zhǔn)和發(fā)送DIR的示例性方法在下文中進(jìn)一步討論。
現(xiàn)在參考圖4��,示出了方法400��。在步驟410���,通過第一通道接收創(chuàng)建DIR的請(qǐng)求�。例如��,主體110可使用主體機(jī)器110上的互聯(lián)網(wǎng)瀏覽器來向DIR生成系統(tǒng)164請(qǐng)求新DIR���。在步驟420��,通過第二通道發(fā)放420已請(qǐng)求DIR的通知��。例如�,響應(yīng)于來自主體110的對(duì)新DIR的請(qǐng)求,DIR生成系統(tǒng)164或在主體機(jī)器111上運(yùn)行的應(yīng)用程序可以發(fā)送己做出請(qǐng)求的電子郵件通知��。這可用作"檢查"來確保主體110是正在請(qǐng)求DIR的實(shí)體而非冒名頂替者�。在某些實(shí)施例中,電子郵件可被定向到主體的已知電子郵件地址���。在其它實(shí)施例中�����,通知可被定向到一第三方��,管理員的策略要求該第三方來批準(zhǔn)對(duì)特定主體110的新DIR的發(fā)放��。例如�,某些DIR僅在組織中的某些員工的經(jīng)理批準(zhǔn)發(fā)放時(shí)才對(duì)這些員工可用��。這一類型的DIR可用于例如獲取對(duì)機(jī)密工作組的訪問��。
如此處所使用的,"通道"指的是傳送所述的信息的方式���。方法400中不同通道之間的區(qū)別是邏輯區(qū)別����。兩個(gè)不同通道可采用同一物理或電子通信鏈路中的某一些或全部��,或采用完全不同的路徑����。例如,在步驟420處通知可通過與在步驟430處的批準(zhǔn)相同的通信鏈路(例如�,因特網(wǎng))來發(fā)送���,但是通道可以在邏輯上是不同的(例如�, 一個(gè)可以是電子郵件�����,而另一個(gè)可以是HTTP消息)��。
在步驟430��,接收對(duì)要?jiǎng)?chuàng)建的DIR的批準(zhǔn)。例如���,步驟420中從DIR生成系統(tǒng)364接收通知可響應(yīng)并批準(zhǔn)所請(qǐng)求的DIR的發(fā)放�。這可按各種方式來實(shí)現(xiàn)�。例如,步驟420中的通知可包括具有到DIR生成系統(tǒng)364所主存的批準(zhǔn)站點(diǎn)的鏈接的電子郵件�����。
在步驟440��,創(chuàng)建所請(qǐng)求的DIR�。如果批準(zhǔn)被步驟420處的通知接收拒絕,則可發(fā)生其它事件��。例如��,可通知管理員對(duì)DIR做出了未授權(quán)請(qǐng)求�����。
現(xiàn)在參考圖5��,示出了另一示例性方法500�����。在步驟510,發(fā)放DIR對(duì)主體可用的通知����。例如,DIR生成系統(tǒng)364可向主體110發(fā)送警告主體110新DIR可用的電子郵件�����?�;蛘?�,通知可去往諸如主體的經(jīng)理等第三方�����。這一類型的通知在管理員例如改變了身份數(shù)據(jù)存儲(chǔ)168來包括附加描述符的情況下可能是有用的����。DIR生成系統(tǒng)364然后可用于通知符合該描述符的類別中的所有主體新DIR可用�。例如,特定業(yè)務(wù)單位中的經(jīng)理可要求管理員創(chuàng)建要結(jié)合特定項(xiàng)
目使用的DIR的新描述符�����。 一旦管理員創(chuàng)建了該描述符,則該經(jīng)理期望具有新DIR的所有主體的通知可以是自動(dòng)的����。
通知510還可作為一般的業(yè)務(wù)工作流的一部分來包括。例如�����,當(dāng)新主體開始在一組織中工作時(shí)��,人力資源部門可以通過數(shù)據(jù)捕捉系統(tǒng)162來捕捉關(guān)于該主體的信息�。該數(shù)據(jù)捕捉可以開始一系列自動(dòng)化步驟,包括將關(guān)于該主體的相關(guān)身份數(shù)據(jù)存儲(chǔ)在身份數(shù)據(jù)存儲(chǔ)168中以及通知主體110 DIR現(xiàn)在對(duì)他/她可用����。通知可以采用許多形式,包括給主體的包括到包括DIR生成系統(tǒng)164的網(wǎng)站的鏈接的電子郵件���?;蛘?�,適用于從DIR生成系統(tǒng)164接收新DIR對(duì)主體IIO可用的消息的應(yīng)用程序可在主體機(jī)器111上運(yùn)行(例如�,該應(yīng)用程序可產(chǎn)生彈出消息����,可在主體機(jī)器lll上的工具欄中出現(xiàn)圖標(biāo)����,等等)。
在步驟520�,接收創(chuàng)建DIR的請(qǐng)求。該步驟同樣可按各種方式來實(shí)現(xiàn)���。例如��,主體110可通過點(diǎn)擊將他/她帶到給予該主體請(qǐng)求DIR的選項(xiàng)的網(wǎng)頁的鏈接來響應(yīng)通知電子郵件�����?����;蛘?,在主體機(jī)器111上的應(yīng)用程序警告主體110DIR可用的情況下�,主體可在這一應(yīng)用程序內(nèi)請(qǐng)求DIR��,并且該應(yīng)用程序可向DIR生成系統(tǒng)364發(fā)回消息以做出該請(qǐng)求。
在步驟530����,如所請(qǐng)求地創(chuàng)建DIR。 DIR的創(chuàng)建可如本文別處所描述地實(shí)現(xiàn)���。該DIR然后被發(fā)送540給主體���,這也在本文別處描述。
現(xiàn)在參考圖6�����,示出了另一示例性方法600��。在步驟610��,向DIR生成系統(tǒng)輪詢對(duì)主體可用的新DIR����。例如,主體機(jī)器lll可被編程為以預(yù)定間隔周期性地輪詢DIR生成系統(tǒng)164��。在步驟620��,確定是否有任何新的DIR對(duì)主體可用。DIR生成系統(tǒng)164例如可以在身份數(shù)據(jù)存儲(chǔ)168中檢查自從其上次被主體機(jī)器111輪詢以來是否有任何新的描述符變得對(duì)主體IIO可用�����。在步驟630�����,請(qǐng)求創(chuàng)建新DIR����。繼續(xù)該示例,在接收到新DIR可用的通知之后�,主體110可以請(qǐng)求DIR生成系統(tǒng)164創(chuàng)建新DIR。在步驟640���,接收該新DIR(例如�,新DIR可以由主體機(jī)器111從DIR生成系統(tǒng)164接收)����。該方法600是可如何簡(jiǎn)化管理員工作的另一示例。如果所有主體機(jī)器都被編程為例如在管理員在身份數(shù)據(jù)存儲(chǔ)168中創(chuàng)建新DIR描述符時(shí)輪詢新DIR����,則新DIR的發(fā)放和遞送是自動(dòng)的����,并且不需要管理員一方的進(jìn)一步工作��。能夠響應(yīng)于依賴方的安全策略來動(dòng)態(tài)地創(chuàng)建DIR也可以是有益的?����,F(xiàn)在參考圖7�,示出了示例方法700����。在步驟710,請(qǐng)求對(duì)依賴方的訪問�。例如,如果依賴方120是受限網(wǎng)站�����,則主體機(jī)器lll試圖通過瀏覽器來訪問該網(wǎng)站����。在步驟720,拒絕對(duì)依賴方的訪問,并且接收來自依賴方的安全策略��。繼續(xù)該示例�,依賴方120向主體機(jī)器111發(fā)送其安全策略,以及將主體機(jī)器lll瀏覽器重定向到認(rèn)證網(wǎng)頁的HTTP消息����。然后向DIR生成系統(tǒng)請(qǐng)求730滿足該安全策略的DIR。在以上示例中����,主體機(jī)器111可以首先檢査它是否具有足夠的DIR,如果否�,則主體機(jī)器111可被編程為向本地高速緩存查詢提供滿足依賴方120的安全策略的DIR的身份提供者。主體機(jī)器還可査詢第三方主存的DIR提供者的公共列表���。主體IIO然后可選擇一適當(dāng)?shù)腄IR提供者和DIR生成系統(tǒng)���,如DIR生成系統(tǒng)164。在步驟740,接收該DIR����。在以上示例中,主體機(jī)器111接收新DIR����,主體機(jī)器111然后可將該新的DIR轉(zhuǎn)發(fā)到身份提供者115以獲得獲取對(duì)依賴方120的訪問所必需的身份令牌�。
在某些實(shí)施例中�����,主體機(jī)器111可以將依賴方120的安全策略轉(zhuǎn)發(fā)給DIR生成系統(tǒng)164����。 DIR生成系統(tǒng)164然后可以檢查身份數(shù)據(jù)存儲(chǔ)168以確定是否可滿足安全策略中所陳述的聲明和其它要求����。如果是,則可創(chuàng)建滿足該安全策略的DIR��。以此方式�,主體能夠在按需的基礎(chǔ)上獲得DIR,而不管管理員是否預(yù)先配置了滿足該特定依賴方的安全策略的需求的身份描述符���。
現(xiàn)在參考圖8,示出了另一示例性方法800����。在步驟810�����,為一組主體設(shè)置策略,從而授權(quán)該組主體一DIR可用��。參考圖1的示例性系統(tǒng)IOO����,管理員可使用管理員系統(tǒng)以在身份數(shù)據(jù)存儲(chǔ)168中設(shè)置授權(quán)作為特定組的一部分的所有主體接收特定DIR的策略。在某些實(shí)施例中�����,這可由管理員使用現(xiàn)用目錄169中可用的"組策略"特征或啟動(dòng)駐留在主體機(jī)器111上的客戶機(jī)側(cè)應(yīng)用程序的其它手段來實(shí)現(xiàn)�����。在步驟820���,通知DIR對(duì)其可用的主體組����。在以上示例中�,激活駐留在主體機(jī)器111上的客戶機(jī)側(cè)應(yīng)用程序。這可導(dǎo)致向主體110提示DIR現(xiàn)在可用(例如�,通過彈出窗口�、工具欄圖標(biāo)等)���?���?蛻魴C(jī)側(cè)應(yīng)用程序可具有其自己的規(guī)則集(例如�,供主體IIO選擇在稍后被提醒、向主體110僅提供檢索新DIR的特定量時(shí)間的能力等等)����。在步驟830��,接收來自該主體組中的至少第一主體的創(chuàng)建DIR的請(qǐng)求����。在某些實(shí)施例中,這可涉及用戶授權(quán)通過駐留在主體機(jī)器111上的客戶機(jī)側(cè)應(yīng)用程序創(chuàng)建DIR�。在其它實(shí)施例中,客戶機(jī)側(cè)應(yīng)用程序可請(qǐng)求該DIR而不進(jìn)一步涉及主體110��。在步驟840�,為第一主體創(chuàng)建DIR。
圖9示出能被用來實(shí)現(xiàn)此處所描述的各實(shí)施例的通用計(jì)算設(shè)備900 (此處也被稱為計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng))�。計(jì)算設(shè)備900僅是計(jì)算環(huán)境的一個(gè)示例�,而非旨在對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)體系結(jié)構(gòu)的使用范圍或功能提出任何限制����。計(jì)算環(huán)境900也不應(yīng)被解釋成對(duì)于在示例計(jì)算環(huán)境900中所示出的任一組件或其組合有任何依賴或要求。在各實(shí)施例中����,計(jì)算設(shè)備900可例如用作如以上參考圖1所描述的主體機(jī)器111、 DIR生成系統(tǒng)164��、數(shù)據(jù)捕捉系統(tǒng)162����、 IIS 166、身份數(shù)據(jù)存儲(chǔ)168����、現(xiàn)用目錄169、管理員系統(tǒng)160�����、身份提供者115����、或依賴方120����。
在其最基本的配置中��,計(jì)算設(shè)備900通常包括至少一個(gè)處理單元902和存儲(chǔ)器904���。取決于計(jì)算設(shè)備的確切配置和類型�,存儲(chǔ)器904可以是易失性的(如RAM)����、非易失性的(如ROM、閃存等)或是兩者的某種組合�����。該最基本配置在圖9中由虛線906來例示����。系統(tǒng)存儲(chǔ)器904存儲(chǔ)在計(jì)算設(shè)備900上執(zhí)行的應(yīng)用程序��。除應(yīng)用程序之外���,如參考圖l-8所述���,存儲(chǔ)器904還可以存儲(chǔ)在由計(jì)算設(shè)備900執(zhí)行的操作中所使用的信息��,如DIR創(chuàng)建請(qǐng)求910禾n/或DIR可用性通知911����。
另外����,計(jì)算設(shè)備900還可具有附加的特征/功能。例如����,計(jì)算設(shè)備900還可包含附加存儲(chǔ)908 (可移動(dòng)和/或不可移動(dòng)),其中包括但不限于磁盤�、光盤或磁帶。這樣的附加存儲(chǔ)在圖9中由存儲(chǔ)908示出����。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令、數(shù)據(jù)結(jié)構(gòu)���、程序模塊或其它數(shù)據(jù)等信息的任何方法或技術(shù)來實(shí)現(xiàn)的易失性和非易失性���、可移動(dòng)和不可移動(dòng)介質(zhì)����。存儲(chǔ)器904和存儲(chǔ)908都是計(jì)算機(jī)存儲(chǔ)介質(zhì)的示例�。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括但不限于,RAM����、ROM、 EEPROM��、閃存或其它存儲(chǔ)器技術(shù)��、CD-ROM��、數(shù)字多功能盤(DVD)或其它光存儲(chǔ)�、磁帶盒、磁帶���、磁盤存儲(chǔ)或其它磁存儲(chǔ)設(shè)備,或者可用于存儲(chǔ)所需信息并且可由計(jì)算設(shè)備900訪問的任何其它介質(zhì)�����。任何這樣的計(jì)算機(jī)存儲(chǔ)介質(zhì)都可以是計(jì)算設(shè)備900的一部分����。
本領(lǐng)域技術(shù)人員將理解����,存儲(chǔ)908可以存儲(chǔ)各種信息���。存儲(chǔ)908可以存儲(chǔ)數(shù)字身份表示930 (例如���,在主體機(jī)器的情況下)或身份令牌945 (例如,在身份提供者的情況下)���,以及其它類型的信息���。
計(jì)算設(shè)備900還可包含允許該系統(tǒng)與其它設(shè)備進(jìn)行通信的通信連接912。通信連接912是通信介質(zhì)的一個(gè)示例���。通信介質(zhì)通常以諸如載波或其它傳輸機(jī)制等已調(diào)制數(shù)據(jù)信號(hào)來體現(xiàn)計(jì)算機(jī)可讀指令��、數(shù)據(jù)結(jié)構(gòu)�、程序模塊或其它數(shù)據(jù)����,并包括任意信息傳送介質(zhì)����。術(shù)語"已調(diào)制數(shù)據(jù)信號(hào)"指的是其一個(gè)或多個(gè)特征以在信號(hào)中編碼信息的方式被設(shè)定或更改的信號(hào)�����。作為示例而非限制����,通信介質(zhì)包括有線介質(zhì),諸如有線網(wǎng)絡(luò)或直接線連接���,以及無線介質(zhì)���,諸如聲學(xué)、RF�、紅外線和其它無線介質(zhì)。如此處所使用的術(shù)語計(jì)算機(jī)可讀介質(zhì)包括存儲(chǔ)介質(zhì)和通信介質(zhì)兩者�。
計(jì)算設(shè)備900也可具有諸如鍵盤、鼠標(biāo)���、筆、語音輸入設(shè)備、觸摸輸入設(shè)備等的輸入設(shè)備914�����。還可包括輸出設(shè)備916���,如顯示器�、揚(yáng)聲器�、打印機(jī)等。所有這些裝置在本領(lǐng)域中都是眾所周知的��,因此不必在此詳細(xì)討論���。
上述各實(shí)施例僅作為說明提供�����,并且不應(yīng)被解釋為限制��。本領(lǐng)域的技術(shù)人員將容易地認(rèn)識(shí)到可對(duì)上述各實(shí)施例做出的各種修改和改變��,而不背離本發(fā)明或所附權(quán)利要求的真實(shí)精祌和范圍�����。
權(quán)利要求
1.一種用于為主體(110)供應(yīng)數(shù)字身份表示(930)的方法(400)����,包括以下步驟通過第一通道接收(410)為所述主體(110)創(chuàng)建所述數(shù)字身份表示(930)的請(qǐng)求;通過第二通道發(fā)放(420)已請(qǐng)求了所述數(shù)字身份表示(930)的通知��;接收(430)對(duì)創(chuàng)建所述數(shù)字身份表示(930)的批準(zhǔn)�����;創(chuàng)建(440)所述數(shù)字身份表示(930)����。
2. 如權(quán)利要求1所述的方法,其特征在于�����,所述通知是被發(fā)送到所述主 體的已知地址的電子消息��。
3. 如權(quán)利要求1所述的方法���,其特征在于�,所述通知是被發(fā)送到第三方 的電子消息���。
4. 如權(quán)利要求1所述的方法����,其特征在于����,所述通知包括方便所述批準(zhǔn) 的電子鏈接。
5. 如權(quán)利要求l所述的方法�����,其特征在于����,所述第一通道是HTTP請(qǐng)求, 而所述第二通道是電子郵件��。
6. 如權(quán)利要求l所述的方法�����,其特征在于����,還包括以下步驟 通過所述第一通道接收為所述主體創(chuàng)建第二數(shù)字身份表示的第二請(qǐng)求�; 通過所述第二通道發(fā)放已請(qǐng)求了所述第二數(shù)字身份表示的第二通知�; 接收對(duì)創(chuàng)建所述數(shù)字身份表示的批準(zhǔn)拒絕; 向第三方發(fā)送接收到所述批準(zhǔn)拒絕的電子消息�。
7. —種用于為主體(110)供應(yīng)一個(gè)或多個(gè)數(shù)字身份表示(930)的方法 (500),包括以下步驟發(fā)放(510)所述一個(gè)或多個(gè)數(shù)字身份表示(930)對(duì)所述主體(110)可 用的通知�;接收(520)創(chuàng)建所述一個(gè)或多個(gè)數(shù)字身份表示(930)的請(qǐng)求; 創(chuàng)建(530)所述一個(gè)或多個(gè)數(shù)字身份表示(930)�����。
8. 如權(quán)利要求7所述的方法�,其特征在于,所述通知包括到允許創(chuàng)建所述請(qǐng)求的電子網(wǎng)站的鏈接��。
9. 如權(quán)利要求7所述的方法�����,其特征在于���,還包括以下步驟 捕捉關(guān)于所述主體的數(shù)據(jù)����;其中所述發(fā)放步驟是在所述捕捉步驟之后自動(dòng)執(zhí)行的����。
10. 如權(quán)利要求7所述的方法�����,其特征在于���,所述通知被發(fā)放給第三方�����。
11. 如權(quán)利要求7所述的方法�����,其特征在于�,還包括以下步驟創(chuàng)建數(shù)字身份表示描述符;其中所述發(fā)放通知的步驟是在所述創(chuàng)建步驟之后自動(dòng)執(zhí)行的����。
12. 如權(quán)利要求7所述的方法,其特征在于��,所述主體是一組主體的成員��,所述方法還包括以下步驟設(shè)置準(zhǔn)許所述一組主體訪問所述數(shù)字身份表示的策略; 其中所述發(fā)放通知的步驟包括向所述一組主體發(fā)放所述通知�����。
13. 如權(quán)利要求l所述的方法��,其特征在于�,所述發(fā)放通知的步驟包括向 在與所述一組主體中的至少一個(gè)主體相關(guān)聯(lián)的主體機(jī)器上運(yùn)行的至少一個(gè)應(yīng) 用程序發(fā)送消息。
14. 如權(quán)利要求13所述的方法�,其特征在于,所述請(qǐng)求是由所述至少一 個(gè)應(yīng)用程序在不需要所述至少一個(gè)主體的提示的情況下自動(dòng)創(chuàng)建的��。
15. 如權(quán)利要求7所述的方法�����,其特征在于��,還包括以下步驟 用密碼保護(hù)所述一個(gè)或多個(gè)數(shù)字身份表示����; 將一個(gè)或多個(gè)用密碼保護(hù)的數(shù)字身份表示發(fā)送給主體機(jī)器。
16. —種用于為主體(110)供應(yīng)數(shù)字身份表示(930)的方法(600)�, 包括以下步驟輪詢(610)數(shù)字身份表示生成系統(tǒng)(164)以確定是否有任何新的數(shù)字身 份表示(930)對(duì)所述主體(110)可用;接收(620)第一新數(shù)字身份表示(930)對(duì)所述主體(110)可用的通知; 請(qǐng)求(630)創(chuàng)建所述第一新數(shù)字身份表示(930); 接收(640)所述第一新數(shù)字身份表示(930)�。
17. 如權(quán)利要求16所述的方法,其特征在于�����,所述輪詢步驟是由主體機(jī) 器自動(dòng)且周期性地執(zhí)行的���。
18. 如權(quán)利要求16所述的方法���,其特征在于,還包括以下步驟 在接收所述通知之后�����,警告所述主體所述數(shù)字身份表示可用��。
19. 如權(quán)利要求18所述的方法�,其特征在于�,所述發(fā)放通知的步驟包括 使得彈出通知出現(xiàn)在主體機(jī)器的用戶界面上。
20. 如權(quán)利要求18所述的方法��,其特征在于�����,所述警告步驟包括向所述主體提供稍后被提醒以使得所述請(qǐng)求步驟被執(zhí)行的選項(xiàng)。
全文摘要
一種用于供應(yīng)數(shù)字身份表示(DIR)的系統(tǒng)和方法使用各種技術(shù)和結(jié)構(gòu)來方便管理�����、提高準(zhǔn)確度�、以及減少數(shù)字身份供應(yīng)系統(tǒng)的不一致性。提供了用于創(chuàng)建新DIR���、請(qǐng)求DIR����、向主體通知可用DIR����、以及批準(zhǔn)發(fā)放新DIR的各種方法。
文檔編號(hào)G06F21/00GK101601022SQ200880002693
公開日2009年12月9日 申請(qǐng)日期2008年1月4日 優(yōu)先權(quán)日2007年1月18日
發(fā)明者A·K·納恩達(dá), C·H·布雷斯, D·T·德爾康特, R·拉賈, S·L·S·夸恩, V·K·蓋奇加拉, V·諾瑞 申請(qǐng)人:微軟公司