) 提供����。提供憑證的服務(wù)與發(fā)起憑證改變的服務(wù)相比可W是不同的"受信服務(wù)"或相同的"受 信服務(wù)"。
[0040] 用戶設(shè)備生成的憑證可在用戶被允許使用設(shè)備生成的憑證之前要求由該用戶提 供的一個(gè)或多個(gè)附加認(rèn)證因素�。運(yùn)些附加認(rèn)證因素可由"受信服務(wù)"動(dòng)態(tài)地設(shè)置。例如�,用戶 可被請(qǐng)求回答一個(gè)或多個(gè)安全性問題,提供指紋��,使用先前與該設(shè)備相關(guān)聯(lián)的智能卡來認(rèn) 證或提供一個(gè)或多個(gè)其它類型的認(rèn)證因素��。
[0041] 用戶設(shè)備生成的憑證可被配置有相關(guān)聯(lián)的"活動(dòng)"壽命�����,在該壽命期間�����,憑證被認(rèn) 為是有效的���。在運(yùn)個(gè)壽命后��,所生成的憑證不再有效(例如����,憑證過期)�����。用戶設(shè)備可被配置 成繼續(xù)允許先前的憑證被使用�,或可被配置成防止任何憑證被輸入,直到在用戶設(shè)備上確 定具有"活動(dòng)"壽命的新的口令��。
[0042] 各個(gè)實(shí)施例可在設(shè)備和服務(wù)器中W各種方式實(shí)現(xiàn)��。例如�,圖1示出根據(jù)一示例實(shí)施 例的通信系統(tǒng)100的框圖,其中服務(wù)器104與用戶設(shè)備102通信W致使針對(duì)用戶設(shè)備102生成 新的設(shè)備憑證�。如圖1中顯示的,用戶設(shè)備102包括網(wǎng)絡(luò)接口 106����、用戶接口 116、存儲(chǔ)118和合 并策略生成器128���。服務(wù)器104包括網(wǎng)絡(luò)接口 112和受信服務(wù)114��。W下更詳細(xì)地描述用戶設(shè) 備102和服務(wù)器104�。
[0043] 用戶設(shè)備102可W是任何類型的靜止或移動(dòng)計(jì)算設(shè)備,包括移動(dòng)計(jì)算機(jī)或移動(dòng)計(jì) 算設(shè)備(例如���,Microsoft飯Surface坂設(shè)備��、個(gè)人數(shù)字助理(PDA)��、膝上型計(jì)算機(jī)�、筆記本計(jì) 算機(jī)�、諸如Apple iPad?的平板計(jì)算機(jī)、上網(wǎng)本等)���、移動(dòng)電話(例如�����,手機(jī),諸如Microsoft Windows⑥電話�、Apple iPhone、實(shí)現(xiàn)Google⑥An化oid?操作系統(tǒng)的電話�、Palm麼設(shè)備����、 RIMBlackber巧夠設(shè)備等的智能電話)��、可佩戴的計(jì)算設(shè)備(例如����,智能手表、諸如Google適 Glass?的智能眼鏡等)����、或其它類型的移動(dòng)設(shè)備(例如,汽車)�、或諸如桌面計(jì)算機(jī)或PC(個(gè)人 計(jì)算機(jī))的靜止計(jì)算設(shè)備。此外����,用戶設(shè)備102可W是可經(jīng)由通信鏈路訪問的電子鎖設(shè)備(例 如,Kevo?電子鎖�、n栓或由加利福尼亞州森林湖的Kw化set公司發(fā)布的手柄)等。服務(wù)器104 可在一個(gè)或多個(gè)計(jì)算機(jī)系統(tǒng)(例如服務(wù)器)中實(shí)現(xiàn)�,并且可W是移動(dòng)的(例如手持式)或靜止 的。服務(wù)器104可被視為"基于云"的服務(wù)器���,可被包括在私用或其它網(wǎng)絡(luò)中�����,或者可被視為 W另一方式可接入網(wǎng)絡(luò)���。
[0044] 存儲(chǔ)118可包括用于存儲(chǔ)數(shù)據(jù)的任何類型的存儲(chǔ)機(jī)構(gòu)中的一個(gè)或多個(gè)����,包括磁盤 (例如���,在硬盤驅(qū)動(dòng)器中)����、光盤(例如�,在光盤驅(qū)動(dòng)器中)、磁帶(例如���,在磁帶驅(qū)動(dòng)器中)�����、諸 如RAM設(shè)備�����、ROM設(shè)備等的存儲(chǔ)器設(shè)備��、和/或任何其他合適類型的存儲(chǔ)介質(zhì)����。
[0045] 服務(wù)器104的網(wǎng)絡(luò)接口 112使得服務(wù)器104能夠經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)通信�,并且用 戶設(shè)備102的網(wǎng)絡(luò)接口 106使得用戶設(shè)備102能夠經(jīng)由一個(gè)或多個(gè)網(wǎng)絡(luò)通信。運(yùn)些網(wǎng)絡(luò)的示 例包括局域網(wǎng)(LAN)�����、廣域網(wǎng)(WAN)�、個(gè)域網(wǎng)(PAN)、或諸如因特網(wǎng)的通信網(wǎng)絡(luò)的組合�。網(wǎng)絡(luò)接 口 106和112各自可包括有線或無線的任何類型的網(wǎng)絡(luò)接口(例如,網(wǎng)絡(luò)接口卡(NIC))的一 個(gè)或多個(gè)�����,諸如IE邸802.11無線局域網(wǎng)(WLAN)無線接口�����、全球微波互聯(lián)接入(Wi-MAX)接口��、 W太網(wǎng)接口、通用串行總線化SB)接口����、蜂窩網(wǎng)絡(luò)接口、Bluetooth?接口�����、近場(chǎng)通信(NFC)接 口等等��。
[0046] 用戶設(shè)備102的用戶接口 116使得用戶能夠與用戶設(shè)備102交互來執(zhí)行功能�����。在一 個(gè)示例中�,用戶設(shè)備102可處于鎖定狀態(tài)。在運(yùn)樣的狀態(tài)中���,用戶可能不能夠訪問用戶設(shè)備 102的除了相機(jī)或緊急功能(例如��,被啟用來進(jìn)行電話呼叫)之外的功能��。此外�����,在鎖定狀態(tài) 中��,用戶接口 116可顯示登錄屏幕�,用戶可與該登錄屏幕交互來解鎖用戶設(shè)備102,從而致使 用戶設(shè)備102變換到解鎖狀態(tài)����。例如,用戶接口 116可使得用戶能夠提供設(shè)備憑證(諸如口 令)來解鎖用戶設(shè)備102�。用戶接口 116可使得用戶能夠用各種方式來提供口令,諸如通過在 虛擬或物理鍵區(qū)上鍵入口令����、通過說出口令、通過一個(gè)或多個(gè)姿勢(shì)等���。一旦在用戶接口 116 處接收到正確的設(shè)備憑證�,用戶設(shè)備102就被解鎖����,并且用戶設(shè)備102的附加功能變得通過 用戶接口 116可用,該附加功能諸如訪問一個(gè)或多個(gè)應(yīng)用���、電子郵件�����、文本消息收發(fā)等��。
[0047] 服務(wù)器104的受信服務(wù)114具有遠(yuǎn)程訪問并與用戶設(shè)備102雙向地認(rèn)證�。用戶設(shè)備 102向受信服務(wù)114注冊(cè),其允許用戶設(shè)備102被受信服務(wù)114管理�。具體地,用戶設(shè)備102允 許受信服務(wù)114在用戶設(shè)備102上設(shè)置與憑證策略有關(guān)的策略并允許受信服務(wù)114請(qǐng)求用戶 設(shè)備102生成新的憑證并遠(yuǎn)程地從用戶設(shè)備102檢索憑證����。附加地,受信服務(wù)114被配置成經(jīng) 由網(wǎng)絡(luò)接口 112和106發(fā)起與用戶設(shè)備102的通信����。通信可由用戶設(shè)備102通過用戶設(shè)備102 與受信服務(wù)114之間協(xié)商的之前設(shè)置的調(diào)度來發(fā)起,或可在用戶設(shè)備102和服務(wù)器104之間 經(jīng)由網(wǎng)絡(luò)接口 106和112維護(hù)的永久或半永久連接上來"按需"發(fā)起���。替換地�,受信服務(wù)114可 經(jīng)由特定于蜂窩形式的通信(例如�����,SMS(短消息服務(wù))、MMS(多媒體消息收發(fā)服務(wù))等)來與 用戶設(shè)備102通信�����。
[0048] 受信服務(wù)114可被配置并可用各種方式操作來執(zhí)行運(yùn)些功能����。例如�����,圖2示出了根 據(jù)一示例實(shí)施例的提供用于致使用戶設(shè)備生成新的設(shè)備憑證的過程的流程圖200�。在一實(shí) 施例中,服務(wù)器104中的受信服務(wù)114可根據(jù)流程圖200來操作��。流程圖200被描述如下��。注意 在一些實(shí)施例中�����,不是流程圖200中的所有步驟需要被執(zhí)行���?��;赪下描述����,其他結(jié)構(gòu)及操 作的實(shí)施例對(duì)于相關(guān)領(lǐng)域的技術(shù)人員將是顯而易見的�。
[0049] 流程圖200開始于步驟202。在步驟202,指令被傳送到用戶設(shè)備W發(fā)起設(shè)備憑證改 變�����。例如�,如圖1中顯示的,服務(wù)器104可通過傳送指令信號(hào)120來有線地和/或無線地與用戶 設(shè)備102通信����,該指令信號(hào)120被用戶設(shè)備102接收。指令信號(hào)120可指令用戶設(shè)備102生成新 的設(shè)備憑證�,諸如用于實(shí)現(xiàn)對(duì)用戶設(shè)備102的訪問的新的口令。用戶設(shè)備102可響應(yīng)于指令 信號(hào)120來生成新的設(shè)備憑證���,其被顯示為作為設(shè)備憑證124被存儲(chǔ)在存儲(chǔ)118中�����。注意���,在 一實(shí)施例中�����,如W下進(jìn)一步描述的����,用戶設(shè)備102可根據(jù)合并憑證策略108(在圖1中顯示為 存儲(chǔ)在存儲(chǔ)118中)來生成新的設(shè)備憑證��。
[0050] 在步驟204,從用戶設(shè)備中檢索新的設(shè)備憑證�����。注意����,步驟204是可任選的����。在一實(shí) 施例中,受信服務(wù)114可決定從用戶設(shè)備102檢索新的設(shè)備憑證(設(shè)備憑證124)����。在運(yùn)種情況 下����,受信服務(wù)114可將設(shè)備憑證請(qǐng)求126傳送到用戶設(shè)備102(經(jīng)由網(wǎng)絡(luò)接口 112)�����,并且用戶 設(shè)備102可接收設(shè)備憑證請(qǐng)求126(經(jīng)由網(wǎng)絡(luò)接口 106)�。響應(yīng)于設(shè)備憑證請(qǐng)求126,用戶設(shè)備 102可在響應(yīng)信號(hào)122中將設(shè)備憑證124傳送到服務(wù)器104(經(jīng)由網(wǎng)絡(luò)接口 106)。響應(yīng)信號(hào)122 由服務(wù)器104接收(經(jīng)由網(wǎng)絡(luò)接口 112)��。
[0051] 通過運(yùn)種方式��,受信服務(wù)114可從用戶設(shè)備102接收新的設(shè)備憑證�。此外,受信服務(wù) 114不生成新的設(shè)備憑證一新的設(shè)備憑證改為由用戶設(shè)備102生成����。受信服務(wù)114通過傳送 指令信號(hào)120發(fā)起由用戶設(shè)備102生成新的設(shè)備憑證。
[0052] 在步驟206,新的設(shè)備憑證被提供到用戶設(shè)備的用戶����,同時(shí)將新的設(shè)備憑證提供或 不提供到管理員。注意在一實(shí)施例中�,受信服務(wù)114可經(jīng)由用戶界面(例如,web口戶)�����、電子 郵件、文本消息或用任意其它方式將新的設(shè)備憑證提供到用戶設(shè)備的用戶���。例如�,用戶可通 過新的口令請(qǐng)求來發(fā)起由受信服務(wù)114生成新的設(shè)備憑證(例如����,歸因于忘記口令、丟失用 戶設(shè)備102���、擔(dān)屯��、用戶設(shè)備102被偷等等)���,IT管理員可通過新的口令請(qǐng)求或出于其它原因 (例如���,已經(jīng)達(dá)到闊值數(shù)量的失敗的口令嘗試)來發(fā)起由受信服務(wù)114生成新的設(shè)備憑證�����,或 受信服務(wù)114可獨(dú)立地發(fā)起對(duì)新的設(shè)備憑證的生成�。新的設(shè)備憑證可被提供到用戶,同時(shí)管 理員被顯示或未被顯示新的設(shè)備憑證���。
[0053] 注意��,用戶設(shè)備102上的服務(wù)可發(fā)起到受信服務(wù)114的連接����,該連接被用于在受信 服務(wù)114和用戶設(shè)備102之間安全地傳遞信息�����。替換地���,受信服務(wù)114可使用與用戶設(shè)備102 維護(hù)的不同的連接來發(fā)起從設(shè)備到"受信服務(wù)"的直接連接�。
[0054] 如圖1中顯示的���,用戶設(shè)備102包括存儲(chǔ)118,其包含針對(duì)用戶設(shè)備102的設(shè)備憑證 的存儲(chǔ)�。設(shè)備憑證存儲(chǔ)包括第一憑證策略110a�、第二憑證策略11化、任選地一個(gè)或多個(gè)其它 憑證策略(未顯示在圖1中)W及合并憑證策略108�����。憑證策略被用于驗(yàn)證新的口令滿足運(yùn)些 策略。例如�����,第一憑證策略11〇曰���、第二憑證策略11化等中的每一個(gè)可被用于設(shè)置針對(duì)被用于 訪問用戶設(shè)備102上的服務(wù)(諸如電子郵件服務(wù)�、主數(shù)據(jù)管理(MDM)服務(wù)等)的對(duì)應(yīng)口令的策 略����。每個(gè)憑證策略可設(shè)置針對(duì)特定口令的一個(gè)或多個(gè)規(guī)則,諸如字符的最小和/或最大數(shù) 量�、口令是否必須包括字母和/或數(shù)字、口令是否必須包括大寫和/或小寫字母���、一個(gè)或多個(gè) 特殊字符是否必須存在�����、口令是否可包括任意字典單詞等。
[0055] 注意��,存儲(chǔ)118中的憑證策略之一可W是針對(duì)用戶設(shè)備102的默認(rèn)憑證策略���,其包 括針對(duì)用戶設(shè)備102的口令的默認(rèn)規(guī)則集���。運(yùn)個(gè)默認(rèn)憑證策略可在用戶設(shè)備102首次被制造 時(shí)或在另一時(shí)間被初始地設(shè)置�����。此外�����,在一些實(shí)施例中�,默認(rèn)憑證策略可不時(shí)地被更新�����,使 得所包含的規(guī)則中的一個(gè)或多個(gè)被修改�����。
[0056] 在一實(shí)施例中����,合并策略生成器128被配置成對(duì)存在于用戶的用戶設(shè)備102上的憑 證策略進(jìn)行合并來生成合并憑證策略108,在一實(shí)施例中,該合并憑證策略108符合被合并 的憑證策略的最嚴(yán)格的規(guī)則("最嚴(yán)格"規(guī)則)����。合并憑證策略108被用作設(shè)備憑證策略來用 于生成供經(jīng)由用戶接口 116訪問用戶設(shè)備102的設(shè)備憑證(例如,如W上描述的�����,用于解鎖用 戶設(shè)備102)�。由此,在用戶設(shè)備102上執(zhí)行憑證生成�,該憑證生成創(chuàng)建遵循合并憑證策略108 的新的設(shè)備憑證(設(shè)備憑證124)。
[0057] 例如����,如果第一憑證