本申請要求于2013年10月14日提交的、要求2013年10月1日提交的美國臨時專利申請No.61/885,207的權(quán)益的美國專利申請No.14/052,892的權(quán)益，其全部內(nèi)容通過引用合并于此。

技術(shù)領(lǐng)域

本申請一般涉及證書管理。具體地，本申請涉及用于安全地存儲用于安全網(wǎng)站的用戶證書并檢索證書使得能夠訪問安全網(wǎng)站的平臺和技術(shù)。

背景技術(shù)：

盡管一些網(wǎng)站使得用戶能夠自由地導(dǎo)航而不要求用戶登錄到網(wǎng)站，但是更多安全網(wǎng)站要求用于訪問的用戶證書。例如，網(wǎng)上銀行網(wǎng)站可要求用戶輸入用戶名和密碼以便訪問他的或她的銀行賬戶信息。一般地，對于這些基于證書的網(wǎng)站，存在存儲用戶證書的安全技術(shù)的需求，使得用戶證書能夠從任何位置或設(shè)備可訪問，并使得用戶證書能夠進(jìn)入而沒有第三方監(jiān)聽。

現(xiàn)有的證書管理解決方案不能滿足所有的這些要求。例如，即使基于便攜式設(shè)備的密碼管理器在單一設(shè)備上安全地存儲證書，這些密碼管理器仍要求用戶相互輸入主密碼以便獲得對密碼保險庫的訪問，從保險庫檢索期望的證書，并接著將證書輸入進(jìn)瀏覽器。這樣的基于便攜式設(shè)備的密碼管理器的第三方監(jiān)聽使用擊鍵登錄器、某人從用戶的肩膀上看、或其他情景可發(fā)生。

作為基于設(shè)備的密碼管理器的另一個示例，基于瀏覽器的密碼保險庫可避免擊鍵登錄器監(jiān)聽，但只對其上存儲了基于瀏覽器的密碼保險庫的特定設(shè)備有用。

基于web的密碼管理器一般可以用網(wǎng)絡(luò)連接被使用在任何設(shè)備上并因此比基于瀏覽器的密碼保險庫更便攜，但用戶必須信任遠(yuǎn)程密碼保險庫的安全性并仍然避免他們使用的計算機(jī)上的擊鍵登錄器。

因此，有機(jī)會實現(xiàn)用于在不同設(shè)備上從密碼保險庫檢索用于安全網(wǎng)站的用戶證書的實施例。另外，有機(jī)會實現(xiàn)用于在瀏覽器應(yīng)用中安全填充檢索到的用戶證書以實現(xiàn)訪問安全網(wǎng)站的實施例。

附圖說明

附圖中的相同參考數(shù)字指遍及單獨視圖相同的或功能上相似的元件，附圖連同下面的具體實施方式被合并在說明書中并形成說明書的一部分，并且附圖用來進(jìn)一步圖示包括所要求保護(hù)的實施例的概念的實施例，并解釋那些實施例的各種原理和優(yōu)勢。

圖1描繪了根據(jù)一些實施例的電子設(shè)備的示例表示，所述電子設(shè)備能夠存儲和檢索用戶證書并使用用戶證書訪問網(wǎng)站。

圖2A和2B描繪了根據(jù)一些實施例的與檢索用戶證書并使用用戶證書訪問網(wǎng)站相關(guān)聯(lián)的示例圖。

圖3A和3B描繪了根據(jù)一些實施例的與檢索用戶證書并使用用戶證書訪問網(wǎng)站相關(guān)聯(lián)的示例界面。

圖4描繪了根據(jù)一些實施例的檢索用戶證書并使用用戶證書訪問網(wǎng)站的流程圖。

圖5描繪了根據(jù)一些實施例的提供用戶證書用于訪問到安全網(wǎng)站的流程圖。

圖6和7是根據(jù)一些實施例的電子設(shè)備的框圖。

具體實施方式

本文中詳細(xì)說明的實施例實現(xiàn)了多個電子產(chǎn)品之間的安全證書管理。根據(jù)實施例，瀏覽器設(shè)備可以存儲并執(zhí)行瀏覽器應(yīng)用以用于訪問安全網(wǎng)站。進(jìn)一步地，單獨的移動設(shè)備可以保持安全地管理訪問安全網(wǎng)站所需的用戶證書的證書保險庫。用戶可以使用各種技術(shù)來向瀏覽器設(shè)備和移動設(shè)備兩者進(jìn)行認(rèn)證，例如經(jīng)由密碼輸入或其它類型的登入。用戶可以利用安裝在瀏覽器設(shè)備上的瀏覽器應(yīng)用以訪問安全網(wǎng)站的登錄頁面，所述安全網(wǎng)站要求用戶證書以訪問于此，此時，瀏覽器設(shè)備可以開啟發(fā)現(xiàn)過程以定位或檢測移動設(shè)備。瀏覽器設(shè)備和移動設(shè)備可以建立安全通道，安全數(shù)據(jù)可以通過所述安全通道被傳送。于是，移動設(shè)備可以在應(yīng)用層認(rèn)證瀏覽器設(shè)備。

在安全通道和應(yīng)用層處都向移動設(shè)備進(jìn)行認(rèn)證之后，瀏覽器設(shè)備可以將安全網(wǎng)站的標(biāo)識(例如，統(tǒng)一資源定位符(URL)或互聯(lián)網(wǎng)協(xié)議(IP)地址)通過安全通道發(fā)送至移動設(shè)備，并且移動設(shè)備可以查詢它的證書保險庫以檢索與安全網(wǎng)站相關(guān)聯(lián)的用戶證書。移動設(shè)備可以將用戶證書發(fā)送至瀏覽器設(shè)備，該瀏覽器設(shè)備可以以用戶證書自動填寫安全網(wǎng)站的登錄頁面并由此訪問安全網(wǎng)站。

如本文中討論的實施例通過提供用于證書管理和證書使用的安全手段向用戶提供了益處。特別地，實施例使得證書能夠被存儲在單一安全的設(shè)備中，所述設(shè)備自身可以受到主密碼的保護(hù)。進(jìn)一步地，實施例可通過將證書存儲在便攜或移動設(shè)備的證書保險庫上來使得證書從任何位置或設(shè)備可用。此外，實施例通過使用自動填寫操作掩藏證書使得證書能夠進(jìn)入而沒有第三方監(jiān)聽的可能性。注意，證書的移動設(shè)備通信是用瀏覽器設(shè)備而不是網(wǎng)絡(luò)服務(wù)器，并且移動設(shè)備中的密碼保險庫不會在瀏覽器設(shè)備或網(wǎng)絡(luò)服務(wù)器處被復(fù)制。這允許了密碼保險庫被安全地存儲在移動設(shè)備處，其促進(jìn)通過任何瀏覽器設(shè)備的便攜式訪問，并且還使得用戶證書能夠進(jìn)入而沒有第三方監(jiān)聽。應(yīng)理解，可以通過實施例實現(xiàn)附加的益處和改進(jìn)。

圖1是如本文中討論的電子設(shè)備和其它適應(yīng)易于證書管理和檢索技術(shù)的組件的示例代表100。如圖1中圖示的，代表100包括瀏覽器設(shè)備105和單獨的移動設(shè)備110。雖然瀏覽器設(shè)備105被描述為“瀏覽器”設(shè)備并且移動設(shè)備110被描述為“移動”設(shè)備，但是應(yīng)該理解，瀏覽器設(shè)備105和移動設(shè)備110中的每個可以是任何類型的獨立的或便攜式的電子設(shè)備，例如，臺式或筆記本電腦、移動電話、個人數(shù)字助理(PDA)、智能電話、平板電腦、多媒體播放器、MP3播放器、數(shù)字廣播接收器、遠(yuǎn)程控制器、或者任何其它類型的電子裝置。

瀏覽器設(shè)備105可被配置為經(jīng)由網(wǎng)絡(luò)112連接至至少一個網(wǎng)站服務(wù)器115，以訪問托管于網(wǎng)站服務(wù)器115或者以其他方式與網(wǎng)站服務(wù)器115相關(guān)聯(lián)的網(wǎng)站。特別地，瀏覽器設(shè)備105可以執(zhí)行瀏覽器應(yīng)用(例如，谷歌Chrome^TM、火狐瀏覽器、微軟的IE、蘋果的Safari、或其它)，其可以與網(wǎng)站服務(wù)器115通信以訪問網(wǎng)站并便于導(dǎo)航。與網(wǎng)站服務(wù)器115相關(guān)聯(lián)的網(wǎng)站可以是需要用于訪問的用戶證書的安全網(wǎng)站。應(yīng)該理解，可設(shè)想用戶證書的各種形式，諸如用戶名和密碼對、PIN、生物識別信息、以及其它。根據(jù)實施例，移動設(shè)備110可以存儲或者以其他方式保持證書保險庫應(yīng)用109或其它類型的證書管理器應(yīng)用，所述證書保險庫應(yīng)用109或其它類型的證書管理器應(yīng)用存儲了用于網(wǎng)站服務(wù)器115的網(wǎng)站的用戶證書以及可選地用于其它網(wǎng)站的用戶證書并可訪問至所述證書。根據(jù)一些實施例，證書保險庫應(yīng)用109可要求用戶認(rèn)證(例如，經(jīng)由密碼進(jìn)入)，用于訪問存儲于其上的證書。如圖1中圖示的，瀏覽器設(shè)備105可被配置為經(jīng)由第二網(wǎng)絡(luò)116連接至移動設(shè)備110以促進(jìn)經(jīng)由安全通道117對網(wǎng)站的用戶證書的檢索。瀏覽器設(shè)備105的瀏覽器應(yīng)用可以用檢索到的用戶證書填入安全網(wǎng)站的登錄頁面(或其它類似頁面)，并且使用用戶證書可以繼續(xù)訪問或者以其他方式登錄進(jìn)安全網(wǎng)站。

如圖1中進(jìn)一步圖示的，瀏覽器設(shè)備105可以經(jīng)由一個或多個網(wǎng)絡(luò)118(其可以與網(wǎng)絡(luò)112相同或者不同)連接至賬戶服務(wù)器120。根據(jù)實施例，賬戶服務(wù)器120可以為瀏覽器設(shè)備105的用戶管理瀏覽器賬戶以及其瀏覽器應(yīng)用。在操作中，用戶可以用他的或她的瀏覽器證書登入瀏覽器應(yīng)用(例如，谷歌Chrome^TM瀏覽器)，其中瀏覽器設(shè)備105可以與由賬戶服務(wù)器120管理的瀏覽器賬戶一致。如果用戶輸入了正確的瀏覽器證書，則用戶可被視為登陸進(jìn)入了瀏覽器設(shè)備105的瀏覽器應(yīng)用。

如本文中描述的網(wǎng)絡(luò)112、118各自都可以是廣域網(wǎng)(WAN)或局域網(wǎng)(LAN)，并且如本文中描述的網(wǎng)絡(luò)116可以是個人局域網(wǎng)(PAN)。然而，應(yīng)該理解，網(wǎng)絡(luò)112、網(wǎng)絡(luò)116、和網(wǎng)絡(luò)118中的每一個都可以是WAN、LAN、PAN、或者其它網(wǎng)絡(luò)，并且可以經(jīng)由任何標(biāo)準(zhǔn)或技術(shù)(例如，GSM、CDMA、TDMA、WCDMA、LTE、EDGE、OFDM、GPRS、EV-DO、UWB、IEEE 802(包括以太網(wǎng)、WiMAX、WiFi、藍(lán)牙以及其它))促進(jìn)任何類型的數(shù)據(jù)通信。

圖2A和2B描繪了示例信號傳遞圖200，所述示例信號傳遞圖200與促進(jìn)網(wǎng)站服務(wù)器215(例如，如參照圖1討論的網(wǎng)站服務(wù)器115)之間的用戶證書檢索和安全網(wǎng)站訪問相關(guān)聯(lián)，執(zhí)行瀏覽器應(yīng)用的瀏覽器設(shè)備205(諸如，如參照圖1討論的瀏覽器設(shè)備105)，以及保持證書管理器應(yīng)用的移動設(shè)備210(例如，如參照圖1討論的移動設(shè)備110)。

功能可以以用戶嘗試認(rèn)證222到瀏覽器設(shè)備205。根據(jù)實施例，用戶可以嘗試經(jīng)由硬件技術(shù)(例如，瀏覽器設(shè)備205上的指紋掃描儀或其它生物統(tǒng)計學(xué)組件)、軟件機(jī)制(諸如用戶名/密碼錄入鎖定屏幕，或者其它認(rèn)證技術(shù))向瀏覽器設(shè)備205進(jìn)行認(rèn)證。在一些情況下，用戶可以使用瀏覽器證書登錄進(jìn)入瀏覽器應(yīng)用，其中遠(yuǎn)程(即“云”)賬戶服務(wù)器(諸如，如參照圖1討論的賬戶服務(wù)器120)可以與它的存儲的用戶的賬戶信息一致。瀏覽器設(shè)備205可以確定223用戶是否向瀏覽器設(shè)備205和/或瀏覽器應(yīng)用進(jìn)行了認(rèn)證，諸如通過核對輸入的證書。如果用戶是沒有認(rèn)證的(“否”)，則處理可以返回至222或繼續(xù)至其它處理。如果用戶是認(rèn)證的(“是”)，則處理可以繼續(xù)至228或其它處理。

用戶還可以嘗試認(rèn)證224到移動設(shè)備210和/或存儲在其上的證書管理器應(yīng)用。在實施例中，用戶可以嘗試經(jīng)由多種硬件和/或軟件技術(shù)向移動設(shè)備210和/或證書管理器應(yīng)用進(jìn)行認(rèn)證，諸如PIN登陸、生物統(tǒng)計學(xué)掃描、屏幕手勢、近場通信(NFC)連接、藍(lán)牙連接、或者其它。應(yīng)該理解，用戶可以以任何順序向移動設(shè)備210和瀏覽器設(shè)備205進(jìn)行認(rèn)證。移動設(shè)備205可以諸如通過核對輸入的證書來確定225用戶是否認(rèn)證了移動設(shè)備210和/或證書管理器應(yīng)用。如果用戶沒有被認(rèn)證(“否”)，則處理可以返回至或224進(jìn)行至其它處理。如果用戶被認(rèn)證(“是”)，則處理可以進(jìn)行至226或其它處理。如圖2A和2B中圖示的，響應(yīng)于認(rèn)證用戶，移動設(shè)備210可以為一個或多個安全網(wǎng)站存儲226用戶證書。在替代的實施例中，移動設(shè)備210可以從其它實體或經(jīng)由不同的技術(shù)獲取用戶證書。

用戶可以使用瀏覽器應(yīng)用以導(dǎo)航228至安全網(wǎng)站登陸，其提示瀏覽器設(shè)備205請求網(wǎng)站服務(wù)器215以訪問安全網(wǎng)站。根據(jù)實施例，瀏覽器設(shè)備205可以建立230與網(wǎng)站服務(wù)器215的安全通道。應(yīng)該理解，用于建立安全通道(即，“HTTPS”)的各種技術(shù)被設(shè)想，諸如經(jīng)由SSL/TLS協(xié)議。網(wǎng)站服務(wù)器215可以請求232瀏覽器設(shè)備205用于訪問到安全網(wǎng)站的認(rèn)證。在一些情況下，瀏覽器設(shè)備205可以顯示網(wǎng)站登錄頁面，所述網(wǎng)站登錄頁面使用戶能夠進(jìn)入用戶證書(例如，用戶名和密碼、或其它)以訪問安全網(wǎng)站。在可選的實施例中，瀏覽器設(shè)備205還可以在用戶接口中呈現(xiàn)234證書要求指示符，諸如符號，所述符號表示對用戶輸入用戶證書的需求。例如，證書需求可以為鎖定符號(并且特別地，鎖定符號為除了被一些瀏覽器應(yīng)用使用的傳統(tǒng)鎖定符號之外用于表示安全網(wǎng)站連接)，或者其它符號。瀏覽器設(shè)備205可以在用戶證書的輸入?yún)^(qū)域附近呈現(xiàn)證書要求指示符。應(yīng)該理解，各種類型的用戶證書和證書要求指示符被理解。在一些實施例中，直到呈現(xiàn)了證書要求指示符(處理234)或之后的任何時間點，瀏覽器設(shè)備205可以實現(xiàn)向瀏覽器設(shè)備205和/或瀏覽器應(yīng)用的用戶認(rèn)證嘗試(處理222)并確定用戶是否向瀏覽器設(shè)備205和/或瀏覽器應(yīng)用進(jìn)行認(rèn)證(處理223)。

瀏覽器設(shè)備205可以發(fā)起236證書請求。在一些情況下，用戶可以選擇顯示在用戶接口上的證書請求指示。在其它情況下，瀏覽器設(shè)備205可以響應(yīng)于從網(wǎng)站服務(wù)器215接收認(rèn)證請求而自動地發(fā)起證書請求。在進(jìn)一步的情況下，瀏覽器設(shè)備205可以從用戶、移動設(shè)備210、或者其它個人或?qū)嶓w接收命令(例如，硬件按鈕選擇、音頻命令等等)，以發(fā)起證書請求。

響應(yīng)于證書請求發(fā)起，瀏覽器設(shè)備205可以用移動設(shè)備210輸入238設(shè)備發(fā)現(xiàn)例程。在實施例中，瀏覽器設(shè)備205可以發(fā)起各種有線的或無線的例程以發(fā)現(xiàn)移動設(shè)備210，諸如藍(lán)牙、、音頻鈴聲或命令、NFC、圖形(例如，QR碼或其它)、物理連接、或其它。例如，瀏覽器設(shè)備205可以輸出音頻命令“現(xiàn)在OK谷歌，訪問用戶證書，”，移動設(shè)備210可經(jīng)由麥克風(fēng)將其檢測到。應(yīng)理解，其它設(shè)備發(fā)現(xiàn)例程被設(shè)想。

響應(yīng)于檢測到移動設(shè)備210，瀏覽器設(shè)備205可以經(jīng)由執(zhí)行一個或多個認(rèn)證例程來建立240安全通道至移動設(shè)備210。在一些實施例中，認(rèn)證例程可以是在一些情況下使用開放系統(tǒng)互連(OSI)模型的各種抽象層的單向的。例如，瀏覽器設(shè)備205可以經(jīng)由WEP/WPA認(rèn)證(即，OSI模型的數(shù)據(jù)鏈路層)建立安全通道至移動設(shè)備210。對于進(jìn)一步的示例，瀏覽器設(shè)備205可以經(jīng)由虛擬專用網(wǎng)絡(luò)(VPN)(即，OSI模型的網(wǎng)絡(luò)層)建立安全通道至移動設(shè)備210。在其它實施例中，認(rèn)證例程可以是相互的，由此瀏覽器設(shè)備205和移動設(shè)備210通過SSL/TLS或其它類似的協(xié)議(其在一些情況下被認(rèn)為是OSI模型的會話層)建立安全通道。應(yīng)理解，使用其它模型(或OSI模型的其它層)的其它技術(shù)建立安全通道被設(shè)想。

根據(jù)實施例，瀏覽器設(shè)備205和移動設(shè)備210可以經(jīng)由諸如圖1中示出的安全通道117建立的安全通道安全地交換信息。特別地，瀏覽器設(shè)備205與移動設(shè)備210執(zhí)行244應(yīng)用層認(rèn)證，由此瀏覽器設(shè)備205的瀏覽器應(yīng)用與移動設(shè)備210的證書管理器應(yīng)用通信。在一些實施例中，移動設(shè)備210的證書管理器應(yīng)用可以為了瀏覽器設(shè)備205的瀏覽器應(yīng)用，用用戶的瀏覽器證書被修改(例如，散列的)或未修改版本預(yù)分配。例如，在步驟226，用戶可以將瀏覽器證書輸入進(jìn)移動設(shè)備210，并且移動設(shè)備210可以執(zhí)行加密操作以諸如散列瀏覽器證書并在儲存器中存儲散列的瀏覽器證書。瀏覽器設(shè)備205可以將消息(例如，“你好”)或其它初始化數(shù)據(jù)發(fā)送至移動設(shè)備210。一旦收到消息，移動設(shè)備210可以生成加密數(shù)據(jù)(例如，加密的隨機(jī)數(shù))，存儲加密數(shù)據(jù)，并將加密數(shù)據(jù)發(fā)送至瀏覽器設(shè)備205。瀏覽器設(shè)備205可以用移動設(shè)備210的加密數(shù)據(jù)操控(例如，散列)用戶的瀏覽器證書以產(chǎn)生操控的(例如，散列的)值，并且將操控的值發(fā)送至移動設(shè)備210。移動設(shè)備210可以將比較操控的值與存儲于其上的用戶的瀏覽器證書修改的(例如，散列的)版本以確定是否認(rèn)證瀏覽器應(yīng)用。如果比較的結(jié)果匹配，則瀏覽器應(yīng)用可被視為向證書管理器應(yīng)用進(jìn)行了認(rèn)證。應(yīng)理解，其它應(yīng)用等級認(rèn)證協(xié)議和例程被設(shè)想。

瀏覽器設(shè)備205(和/或移動設(shè)備210)可以確定246是否已經(jīng)存在認(rèn)證(例如，安全通道是否已經(jīng)被建立以及是否已經(jīng)向證書管理器應(yīng)用認(rèn)證了瀏覽器應(yīng)用)。如果不存在認(rèn)證(“否”)，則例程可以結(jié)束或轉(zhuǎn)到其它功能。如果存在認(rèn)證(“是”)，則瀏覽器設(shè)備205可以將安全網(wǎng)站的標(biāo)識發(fā)送248至移動設(shè)備210。例如，標(biāo)識可以是統(tǒng)一資源定位符(URL)、IP地址、或其它類型的標(biāo)識。在一些實施例中，直到接收了安全網(wǎng)站的標(biāo)識(處理248)或之后的任何時間點，移動設(shè)備210可以實現(xiàn)向移動設(shè)備210和/或證書管理器應(yīng)用的用戶認(rèn)證嘗試(處理224)并確定用戶是否向移動設(shè)備210和/或證書管理器應(yīng)用進(jìn)行了認(rèn)證(處理225)。

移動設(shè)備210以及特別地其證書管理器應(yīng)用可以使用標(biāo)識為安全網(wǎng)站識別并檢索用戶證書。應(yīng)理解，各種類型的用戶證書被設(shè)想，例如用戶名和密碼、PIN、和/或其它。移動設(shè)備210可以經(jīng)由建立的安全通道將用戶證書發(fā)送252至瀏覽器設(shè)備205。瀏覽器設(shè)備205可以自動地以用戶證書填充254網(wǎng)站登錄。在實施例中，瀏覽器應(yīng)用可以使用隱藏字符(例如，“******”)以用戶證書“自動填寫”網(wǎng)站登錄頁面。瀏覽器設(shè)備205可以使用用戶證書訪問256安全網(wǎng)站(即，建立會話)并且用戶可以使用期望的瀏覽器應(yīng)用導(dǎo)航安全網(wǎng)站。在258中，用戶可以登出安全網(wǎng)站或者以其他方式會話可以過期。

參照圖3A和3B，被描繪的是與本文中討論的用戶證書檢索技術(shù)相關(guān)聯(lián)的示例界面。在瀏覽器設(shè)備上操作的瀏覽器應(yīng)用可以顯示示例界面并得用戶能與示例界面交互。

如圖3A和3B中圖示說明的，示例界面360使得用戶能夠登錄進(jìn)瀏覽器應(yīng)用(如圖示：谷歌Chrome^TM瀏覽器)。特別地，界面360使得用戶能輸入瀏覽器證書，諸如電子郵箱(或其它類型的用戶名)和密碼，并使用輸入的瀏覽器證書登錄進(jìn)瀏覽器應(yīng)用。在實施例中，瀏覽器應(yīng)用可以使輸入的瀏覽器證書與存儲在遠(yuǎn)程服務(wù)器之上的用戶賬戶信息一致。在用戶登錄進(jìn)瀏覽器應(yīng)用之后，瀏覽器應(yīng)用可以顯示使得用戶能導(dǎo)航至安全網(wǎng)站(如圖示：www.bankA.com)的界面361。瀏覽器應(yīng)用可以嘗試訪問安全網(wǎng)站并可以顯示如界面361中示出的安全網(wǎng)站的登錄頁面。如圖3A中示出的，界面361包括證書要求指示符，所述證書要求指示符指示對用戶證書的需求以訪問安全網(wǎng)站，以及登錄選擇366。

界面362描繪了證書要求指示符365的選擇及其證書保險庫應(yīng)用，證書要求指示符365當(dāng)被選擇時可以用移動設(shè)備364發(fā)起發(fā)現(xiàn)和認(rèn)證的例程(367)，證書保險庫應(yīng)用存儲用戶證書。應(yīng)理解，其它發(fā)現(xiàn)例程觸發(fā)被理解為本文中討論的。響應(yīng)于發(fā)現(xiàn)移動設(shè)備并認(rèn)證(例如，建立安全通道并且執(zhí)行應(yīng)用層認(rèn)證)到移動設(shè)備364，瀏覽器應(yīng)用可以將安全網(wǎng)站的標(biāo)識368(例如，URL)發(fā)送至移動設(shè)備364。如界面363中描繪的，移動設(shè)備364可以基于標(biāo)識368將用戶證書369發(fā)送至瀏覽器應(yīng)用。響應(yīng)于接收到用戶證書369，瀏覽器應(yīng)用可以以用戶證書369填充“用戶名”和“密碼”區(qū)域，如界面363中示出的隱藏字符。瀏覽器應(yīng)用可以使得用戶能選擇登錄選擇366以使用填充的用戶證書開啟登錄至安全網(wǎng)站并實現(xiàn)安全網(wǎng)站的導(dǎo)航。

圖4是用于第一電子設(shè)備使得用戶能訪問安全網(wǎng)站的方法400的流程圖。在此實現(xiàn)中，第一電子設(shè)備是瀏覽器設(shè)備，諸如圖中示出的瀏覽器設(shè)備105。圖4描繪的流程圖的步驟順序可以不同于示出的版本，并且根據(jù)實現(xiàn)，可以去除特定的步驟和/或可以添加特定的其它步驟。方法400開始于第一電子設(shè)備使用用戶的瀏覽器證書將用戶認(rèn)證470到瀏覽器應(yīng)用。具體地，用戶可以使用與存儲在“云”中的瀏覽器證書的副本一致的瀏覽器證書登錄進(jìn)瀏覽器應(yīng)用。在一些實施例中，用戶可以認(rèn)證第一電子設(shè)備本身，諸如經(jīng)由硬件組件(例如，生物測量閱讀器、NFC組件等等)，軟件組件(例如，用戶名/密碼、手勢等等)，或其它技術(shù)。如上述提到的，將向瀏覽器認(rèn)證用戶可以稍后發(fā)生，但如下面將描述的至少要在接收472到檢索用戶證書的請求之前。

第一電子設(shè)備使用471瀏覽器應(yīng)用來檢測導(dǎo)航至需要用戶證書以訪問到那的安全網(wǎng)站的登錄頁面。安全網(wǎng)站可被網(wǎng)站服務(wù)器托管，所述網(wǎng)站服務(wù)器使瀏覽器應(yīng)用顯示與安全網(wǎng)站相關(guān)聯(lián)的登錄頁面。第一電子設(shè)備接收472檢索用戶證書的請求。在一些實施例中，用戶可以互相選擇顯示在登錄頁面上的認(rèn)證請求(例如，證書要求指示符)。在其它實施例中，網(wǎng)站服務(wù)器可以請求第一電子設(shè)備檢索用戶證書。進(jìn)一步地，在接收檢索用戶證書的請求后，第一電子設(shè)備可以可選地執(zhí)行認(rèn)證處理(470)。

響應(yīng)于接收到檢索用戶證書的請求，第一電子設(shè)備檢測473鄰近第一電子設(shè)備的第二電子設(shè)備的存在。在此實施例中，第二電子設(shè)備是諸如圖1中示出的移動設(shè)備110的移動設(shè)備。在一些實施例中，第一電子設(shè)備可以輸出第二電子設(shè)備檢測到的音頻命令。在一些實施例中，第一電子設(shè)備可以發(fā)起發(fā)現(xiàn)例程以檢測第二電子設(shè)備，諸如經(jīng)由藍(lán)牙、、圖形檢測(例如，QR碼)、或其它技術(shù)。第一電子設(shè)備建立474安全通道至第二電子設(shè)備。在實施例中，安全通道可以使用各種OSI模型的層或其它協(xié)議或技術(shù)經(jīng)由單向認(rèn)證或雙向認(rèn)證被建立，如本文中討論的。

第一電子設(shè)備在第二應(yīng)用設(shè)備上的瀏覽器應(yīng)用和證書管理器應(yīng)用之間執(zhí)行475應(yīng)用層認(rèn)證。在一些情況下，應(yīng)用層認(rèn)證可以使用SSL/TLS握手方案被促進(jìn)。在其它情況下，應(yīng)用層認(rèn)證可以使用如本文中討論的散列技術(shù)被促進(jìn)。在成功的安全通道建立和應(yīng)用認(rèn)證之后，第一應(yīng)用將安全網(wǎng)站的標(biāo)識發(fā)送476至第二電子設(shè)備。標(biāo)識可以是安全網(wǎng)站的URL、安全網(wǎng)站的IP地址、或其它標(biāo)識。

第一電子設(shè)備基于安全網(wǎng)站的標(biāo)識從第二電子設(shè)備接收477用戶證書。根據(jù)實施例，用戶證書可以用475中建立的會話密鑰被加密。第一電子設(shè)備用從第二電子設(shè)備接收的用戶證書自動填充478登錄頁面并且使用填充的用戶證書訪問安全網(wǎng)站。

圖5是用于第一電子設(shè)備提供用于訪問安全網(wǎng)站的用戶證書的方法500的流程圖。在這個實施例中，第一電子設(shè)備是移動設(shè)備，諸如圖1中示出的移動設(shè)備110。圖5描繪的流程圖的步驟順序可以不同于示出的版本，并且根據(jù)實現(xiàn)，可以去除特定的步驟和/或可以添加特定的其它步驟。方法500開始于第一電子設(shè)備將用戶認(rèn)證579到存儲在第一電子設(shè)備上的證書管理器應(yīng)用。在實施例中，第一電子設(shè)備可以經(jīng)由PIN登錄、手勢檢測、NFC連接、或其它技術(shù)促進(jìn)認(rèn)證。如前面提到的，向第一電子設(shè)備的證書管理器認(rèn)證用戶可能稍后發(fā)生，但如下面將描述的至少在識別585用戶證書之前。

第一電子設(shè)備從第二電子設(shè)備(例如，瀏覽器設(shè)備)接收580發(fā)現(xiàn)信號。發(fā)現(xiàn)信號可經(jīng)由藍(lán)牙、、或其它連接被接收，或作為音頻鈴聲或命令被接收。第一電子設(shè)備將響應(yīng)信號發(fā)送581至第二電子設(shè)備以確認(rèn)已收到發(fā)現(xiàn)信號。第一電子設(shè)備建立582安全通道至第二電子設(shè)備。在實施例中，安全通道可以使用OSI模型的各種層或其它協(xié)議或技術(shù)經(jīng)由單向認(rèn)證或雙向認(rèn)證被建立，如本文中討論的。

第一電子設(shè)備在第二應(yīng)用設(shè)備上的證書管理器應(yīng)用和瀏覽器應(yīng)用之間執(zhí)行583應(yīng)用層認(rèn)證。在一些情況下，應(yīng)用層認(rèn)證可以使用SSL/TLS握手方案被促進(jìn)。在其它情況下，應(yīng)用層認(rèn)證可以使用如本文中討論的散列技術(shù)被促進(jìn)。第一電子設(shè)備從第二電子設(shè)備接收584第二電子設(shè)備的用戶嘗試訪問的安全網(wǎng)站的標(biāo)識。在實施例中，標(biāo)識可以是安全網(wǎng)站的URL或IP地址。在一些情況下，在接收了安全網(wǎng)站的標(biāo)識之后，第一電子設(shè)備可以可選地執(zhí)行認(rèn)證處理(579)。

第一電子設(shè)備使用證書管理器應(yīng)用基于網(wǎng)站的標(biāo)識識別585用戶證書。進(jìn)一步地，第一電子設(shè)備將用戶證書發(fā)送586至第二電子設(shè)備，其中第二電子設(shè)備結(jié)合瀏覽器應(yīng)用使用用戶證書以填充登錄頁面并訪問安全網(wǎng)站。

圖6圖示了示例電子設(shè)備605(諸如，如關(guān)于圖1討論的瀏覽器設(shè)備105、或其它設(shè)備)，其中，可實現(xiàn)本文中討論的功能。電子設(shè)備605可包括處理器694或其它類似類型的控制器模塊或微控制器，以及存儲器693。存儲器693可以存儲能夠促進(jìn)本文討論的功能的操作系統(tǒng)657。處理器694可以與存儲器693對接以執(zhí)行操作系統(tǒng)657，以及執(zhí)行諸如瀏覽器應(yīng)用696(其存儲器693也可以存儲)應(yīng)用集合688。存儲器693可包括易失的和/或非易失的、固定和/或可移動的存儲器中的一個或多個形式，諸如只讀存儲器(ROM)、電可編程只讀存儲器(EPROM)、隨機(jī)存取存儲器(RAM)、可擦電可編程只讀存儲器(EEPROM)、和/或其它硬件驅(qū)動器、閃速存儲器、MicroSD卡、和其它。

電子設(shè)備605可以進(jìn)一步包括配置為與一個或多個外部端口689對接的通信模塊691以經(jīng)由一個或多個網(wǎng)絡(luò)687傳送數(shù)據(jù)。例如，通信模塊691可以利用外部端口689以建立個人局域網(wǎng)和與其相關(guān)聯(lián)的安全通道，用于將電子設(shè)備605連接至其它諸如圖7中示出的電子設(shè)備。根據(jù)一些實施例，通信模塊691可以包括根據(jù)IEEE標(biāo)準(zhǔn)，3GPP標(biāo)準(zhǔn)，或其它標(biāo)準(zhǔn)運(yùn)行的一個或多個收發(fā)器，并且被配置為經(jīng)由一個或多個外部端口689接收和發(fā)射數(shù)據(jù)。更具體地，通信模塊691可以包括被配置為與廣域網(wǎng)通信的一個或多個WWAN收發(fā)器，所述廣域網(wǎng)包括一個或多個小區(qū)站、基站、和/或服務(wù)器以將電子設(shè)備605通信連接至附加設(shè)備或組件。例如，收發(fā)器可以經(jīng)由網(wǎng)絡(luò)687從網(wǎng)站接收網(wǎng)站數(shù)據(jù)。進(jìn)一步地，通信模塊691可以包括一個或多個WLAN和/或WPAN收發(fā)器，其被配置為將電子設(shè)備605連接至局域網(wǎng)和/或個域網(wǎng)，諸如藍(lán)牙網(wǎng)絡(luò)。例如，電子設(shè)備605可以經(jīng)由個域網(wǎng)連接至遠(yuǎn)程電子設(shè)備的證書管理器應(yīng)用。

電子設(shè)備605可以進(jìn)一步包括一個或多個傳感器695，例如，比如，成像傳感器、加速計、觸摸傳感器、和其它傳感器；以及NFC組件661，諸如用于將電子設(shè)備605和一個或多個其它電子設(shè)備配對的NFC芯片和/或NFC標(biāo)簽。電子設(shè)備605可以包括用于將信息呈現(xiàn)給用戶和/或從用戶接收輸入的用戶接口690。如圖6中所示，用戶接口690包括顯示屏697和I/O組件698(例如，電容性或電阻性觸摸感應(yīng)輸入面板、鑰匙、按鈕、燈、LED、光標(biāo)控制設(shè)備、觸覺設(shè)備、以及其它)。在實施例中，顯示屏697是觸摸屏顯示器，其使用單一或組合的顯示技術(shù)并可以包括疊加在對用戶可視的顯示部分上的薄的、透明的觸摸傳感器組件。例如，這種顯示器包括電容顯示器、電阻顯示器、表面聲波(SAW)顯示器、光學(xué)成像顯示器等等。用戶接口690可進(jìn)一步包括用于輸出音頻的諸如揚(yáng)聲器699的硬件組件的音頻模塊692和用于檢測或接收音頻的麥克風(fēng)659。例如，揚(yáng)聲器699可以輸出音頻鈴聲或命令以發(fā)現(xiàn)附加電子設(shè)備。

圖7圖示了示例電子設(shè)備710(諸如關(guān)于圖1討論的移動設(shè)備110、或其它設(shè)備)，其中可實現(xiàn)如本文中討論的功能。電子設(shè)備710可以包括處理器794或其它相似類型的控制器模塊或微控制器、以及存儲器793。存儲器793可以存儲能夠促進(jìn)如本文中討論的功能的操作系統(tǒng)757。存儲器793還可以存儲諸如與網(wǎng)站相關(guān)聯(lián)的用戶證書的證書765。處理器794可以與存儲器793對接以執(zhí)行操作系統(tǒng)757并檢索證書765，以及執(zhí)行應(yīng)用集合788，諸如證書管理器應(yīng)用763(存儲器793也可將其存儲)。存儲器793可以包括易失的和/或非易失的、固定或可移動的存儲器中的一個或多個形式，諸如只讀存儲器(ROM)、電可編程只讀存儲器(EPROM)、隨機(jī)存取存儲器(RAM)、可擦電可編程只讀存儲器(EEPROM)、和/或其它硬件驅(qū)動器、閃速存儲器、MicroSD卡、或其它。

電子設(shè)備710可以進(jìn)一步包括通信模塊791，其被配置為與一個或多個外部端口789對接以經(jīng)由一個或多個網(wǎng)絡(luò)787傳送數(shù)據(jù)。例如，通信模塊791可以利用外部端口789建立個人局域網(wǎng)和與其相關(guān)聯(lián)的安全通道，用于將電子設(shè)備710連接至其它如圖6中示出的其它電子設(shè)備。根據(jù)一些實施例，通信模塊791可以包括根據(jù)IEEE標(biāo)準(zhǔn)、3GPP標(biāo)準(zhǔn)、或其它標(biāo)準(zhǔn)運(yùn)行的一個或多個收發(fā)器，并且被配置為經(jīng)由一個或多個外部端口789接收和發(fā)射數(shù)據(jù)。更具體地，通信模塊791可以包括一個或多個WLAN和/或WPAN收發(fā)器，所述收發(fā)器被配置為將電子設(shè)備710連接至局域網(wǎng)和/或個域網(wǎng)，諸如藍(lán)牙網(wǎng)絡(luò)。例如，電子設(shè)備710可以經(jīng)由個域網(wǎng)連接至遠(yuǎn)程電子設(shè)備的瀏覽器應(yīng)用。

電子設(shè)備710可以進(jìn)一步包括一個或多個傳感器795，例如，比如，圖像傳感器、加速計、觸摸傳感器、和其它傳感器；以及NFC組件761，諸如用于將電子設(shè)備710和一個或多個其它電子設(shè)備配對的NFC芯片和/或NFC標(biāo)簽。電子設(shè)備710可以包括用于將信息呈現(xiàn)給用戶和/或從用戶接收輸入的用戶接口790。如圖7所示，用戶接口790包括顯示屏797和I/O組件798(例如，電容性或電阻性觸摸感應(yīng)輸入面板、鑰匙、按鈕、燈、LED、光標(biāo)控制設(shè)備、觸覺設(shè)備、以及其它)。在實施例中，顯示屏797是觸摸屏顯示器，其使用單一或組合的顯示技術(shù)并可以包括疊加在對用戶可視的顯示部分上的薄的、透明的觸摸傳感器組件。例如，這種顯示器包括電容顯示器、電阻顯示器、表面聲波(SAW)顯示器、光學(xué)成像顯示器等等。用戶接口790可進(jìn)一步包括用于輸出音頻的諸如揚(yáng)聲器799的硬件組件的音頻模塊792和用于檢測或接收音頻的麥克風(fēng)759。例如，麥克風(fēng)759可以檢測在發(fā)現(xiàn)例程中使用的音頻鈴聲或命令。

一般來說，根據(jù)實施例的計算機(jī)程序產(chǎn)品包括具有嵌入在其中的計算機(jī)可讀程序代碼的計算機(jī)可用存儲介質(zhì)(例如，標(biāo)準(zhǔn)隨機(jī)存取存儲器(RAM)、光盤、通用串行總線(USB)驅(qū)動等等)，其中，計算機(jī)可讀程序代碼適合于由處理器694(例如，工作在與操作系統(tǒng)657相連的狀態(tài)下)執(zhí)行以促進(jìn)本文中描述的功能。就這一點而言，程序代碼可以用任何期望的語言被實現(xiàn)并被實現(xiàn)為機(jī)器代碼、匯編碼、字節(jié)代碼、可說明的源代碼等等(例如，經(jīng)由C、C++、Java、Actionscript、Objective-C、Javascript、CSS、XML、和/或其他)。

因此，從之前的公開中應(yīng)清楚的是，系統(tǒng)和方法提出改進(jìn)的證書管理技術(shù)。實施例有利地通過多個電子設(shè)備實現(xiàn)用戶證書的安全存儲和用戶證書的檢索。此外，實施例有利地促進(jìn)用戶證書安全進(jìn)入瀏覽器應(yīng)用而沒有被第三方視覺監(jiān)聽的可能性。

本公開打算解釋如何根據(jù)本技術(shù)改變和使用實施例，而不是限制其真實的、預(yù)期的、以及直接的范圍和精神。上述描述不是打算詳盡的或限制于公開的準(zhǔn)確形式。根據(jù)以上技術(shù)的修改或改變是可能的。實施例被選擇和描述以提供對公開技術(shù)的原理和它的實踐應(yīng)用最好的說明，并且使得本領(lǐng)域技術(shù)人員能利用各種實施例中的技術(shù)并結(jié)合適合于特定使用預(yù)期的多種修改。所有這種修改和改變都在實施例的范圍內(nèi)，所述實施例是如附加權(quán)利要求確定的，如在本申請未決期間修改的，以及所有上述的等同物，其根據(jù)它們被公平、合法且公正地授權(quán)的寬度被理解。