CN102272769A - 服务访问控制 - Google Patents

服务访问控制 Download PDF

Info

Publication number
CN102272769A
CN102272769A CN200880132579XA CN200880132579A CN102272769A CN 102272769 A CN102272769 A CN 102272769A CN 200880132579X A CN200880132579X A CN 200880132579XA CN 200880132579 A CN200880132579 A CN 200880132579A CN 102272769 A CN102272769 A CN 102272769A
Authority
CN
China
Prior art keywords
user
application
identity
rod
subscriber equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200880132579XA
Other languages
English (en)
Inventor
M.鲍尔-赫尔曼
G.迈尔
R.赛德尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks Oy
Original Assignee
Nokia Siemens Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Siemens Networks Oy filed Critical Nokia Siemens Networks Oy
Publication of CN102272769A publication Critical patent/CN102272769A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)

Abstract

提供了USB记忆棒或类似设备,具有安装在其上面的软件以使得用户能够在用户设备不需要处理用户证书数据的情况下访问受限应用。在使用中,该棒从用户设备接收对访问应用的请求,从用户设备获得第一用户识别信息,使用第一用户识别信息和应用信息来从身份管理***获得用户证书,应用要求所述用户证书以便许可对应用的用户访问,并在不需要向用户设备提供用户证书的情况下向应用提供用户证书。

Description

服务访问控制
技术领域
本发明涉及身份(identity)管理和服务访问控制领域。
背景技术
许多服务提供商要求在许可对应用(application)的访问之前以某种方式来识别用户。已经开发了用于在用户设备处识别用户的多种机制。许多识别方案要求在用户设备处使用特殊硬件,诸如智能卡读取器或指纹读取器。智能卡和指纹读取器两者都要求在用户设备处安装相关读取器;因此,此类机构不是容易携带的,且因此常常具有设备依赖性。另一已知识别方案利用可信平台模块(TPM),其除了所需的软件之外还需要在最终用户设备处提供附加芯片。再次地,附加硬件要求导致TPM通常具有设备依赖性。
用于识别用户的许多其它机制要求用户向表格中输入数据。例如,可能要求用户输入用户名/口令对或一次性密钥。在某些情况下,由对照活动目录(active directory)或半径服务器(radius server)的HTTP-Digest来识别用户。通常,由正在被访问的应用来控制用户访问。如果用户想要注册新的服务,则必须配置新的服务;例如,通过设置新的用户访问权限。最终用户必要地参与授权和/或认证过程。因此,需要配置并维护最终设备,并且如果用户使用不同的最终设备,则通常需要重复该程序。
在某些识别方案中,最终用户设备不仅参与用户识别程序,而且保持某些或全部的用户访问许可数据。如果在不同的用户之间共享用户设备(因为其例如在因特网咖啡屋中),则这尤其有问题,因为其开启了这样的可能性,即设备的稍后用户可能能够访问获得对受限应用的访问所需的信息。
用户证书在用户设备上的存储有时被用来帮助用户访问安全服务。举例来说,HTTP cookies(信息记录程序)能够被本地地存储以向已经被用户之前访问的服务器识别用户。然而,虽然此类方法对于用户而言可能是方便的,但是其还可能代表着安全风险,因为稍后的用户可能能够获得对先前用户的证书的访问。此外,由用户输入以获得对应用的访问的信息可能被诸如特洛伊木马之类的恶意软件所记录,这再次地可能使得另一用户能够获得对另一用户的用户证书的访问。
发明内容
本发明设法解决上述的至少某些问题。
根据本发明的一方面,提供了一种装置(诸如身份棒(identity stick)),其包括:控制器;第一接口,适合于使得控制器能够与用户设备通信(例如,以便获得关于将被访问的应用的指令和/或获得第一用户信息);第二接口,适合于使得控制器能够与身份管理***通信以便获得用于所述应用的用户特定属性;以及第三接口,适合于使得控制器能够依照用户特定属性与所述应用通信。因此,所述装置不要求向用户设备提供从身份管理***获得的用户特定属性。在本发明的某些形式中,所述装置的特定单个接口可以实现上文所述的接口中的不止一个。例如,单个接口可以提供第二接口(与IDM通信)和第三接口(与应用通信)。
在本发明的某些形式中,所述第一接口适合于接收关于将被访问的应用的指令。所述应用的标识可以在获得用于该应用的用户特定属性时被第二接口使用。在本发明的某些形式中,第一接口适合于从用户设备接收第一用户识别信息。当获得用于本发明的用户特定属性时,可以使用第一用户识别信息。
根据本发明的另一方面,提供了一种方法,包括:从用户设备接收对访问应用的请求,在第二设备处接收该请求;使用第二设备来从身份管理***获得用于所述应用的用户特定属性(例如,通过使用第一用户识别信息和/或应用信息);以及依照用户特定属性使用第二设备来访问所述应用。因此,不需要向用户设备提供用于相关应用的用户特定属性,从而改善了安全性。
所述第二设备可以被可去除地连接到用户设备。所述第二设备可以被在物理上连接到用户设备,例如使用诸如USB连接之类的连接。可替换地,所述第二设备可以经由无线连接被连接到用户设备。
根据本发明的另一方面,提供了一种设备(诸如身份棒),其包括:用于从用户设备接收对访问应用的请求的器件(means);用于从身份管理***获得用于所述应用的用户特定属性的器件;以及用于依照用户特定属性来访问所述应用的器件。因此,不需要向用户设备提供所述用户特定属性,从而改善安全性。本发明的装置可以是可去除地连接到用户设备。在本发明的某些实施例中,可以将本发明的某些元件组合。例如,可以由单个硬件或软件元件来提供用于从用户设备接收请求的器件和用于获得第一用户识别信息的器件。
根据本发明的另一方面,提供了一种计算机程序,包括:用于从用户设备接收对访问应用的请求的代码;用于从身份管理***获得用于所述应用的用户特定属性的代码(例如,通过利用第一用户识别信息和/或应用信息);以及用于依照用户特定属性来访问所述应用的代码。所述计算机程序可以是计算机程序产品,该计算机程序产品包括计算机可读介质,所述计算机可读介质承载在其中包含的计算机程序代码以供计算机使用。可以例如在身份棒或可以被可去除地连接到用户设备的某其它装置上提供所述计算机程序。
根据本发明的另一方面,提供了一种计算机程序产品,包括:用于从用户设备接收对访问应用的请求的器件;用于从身份管理***获得用于所述应用的用户特定属性的器件;以及用于依照用户特定属性来访问所述应用的器件。在本发明的某些实施例中,可以将本发明的某些元件组合。例如,可以由单个硬件或软件元件来提供用于从用户设备接收请求的器件和用于从用户设备获得第一用户识别信息的器件。所述计算机程序产品还可以包括用于例如从用户设备获得第一用户识别信息的器件。可以在身份棒上或可以被可去除地连接到用户设备的某其他装置上或以该形式来提供所述计算机程序产品。
在本发明的某些形式中,所述用户特定属性包括诸如登录数据之类的用户证书。所述应用可能要求所述用户证书以便许可对该应用的用户访问。向所述应用提供用户特定属性的步骤可以包括向所述应用提供用户证书。因此,在本发明的某些形式中,可以向该应用提供用于特定应用的用户证书,而不需要向正在使用的用户设备提供用户证书。
所述控制器可以包括中央处理单元。所述控制器可以包括存储软件模块的存储器。
所述控制器可以被实现为软件模块。在此类布置中,不需要将用来控制最终用户设备对应用的访问的软件模块存储在最终用户设备处,从而改善了安全性。
在本发明的一个形式中,所述装置适合于可去除地连接到用户设备,并且可以例如是闪速存储器件。所述装置可以适合于经由直接物理连接(诸如用户设备的USB端口)来可去除地连接。不是在本发明的所有形式中都要求直接物理连接的提供;例如,可以提供有线或无线连接。事实上,该连接可以是远程的(例如,经由网络)。在用户设备是诸如移动电话之类的移动通信设备的情况下,可以将本发明的装置结合在移动通信设备中,例如作为硬件或软件模块,或者可以作为可去除模块来提供,或者可以适合于可无线地连接到移动通信设备。
可以将所述控制器布置为经由诸如内部网或因特网之类的网络与身份管理***通信。
可以将所述控制器布置为经由诸如内部网或因特网的网络与所述应用通信。
本发明的装置可以是可连接到多个用户设备中的任何一个的。因此,用户可能能够从多个用户设备中的任何一个使用本发明的装置来访问安全资源。因此,本发明能够为用户提供安全和方便两者。
本发明可以包括获得第一用户识别信息(例如,从用户设备)。在本发明的某些形式中,可以使用所述用户设备的识别硬件来获得第一用户信息。本发明还可以包括确定什么硬件可用于识别用户的步骤。本发明还可以包括在用于识别用户的多个可用硬件选项之间进行选择。举例来说,识别硬件可以包括指纹读取器及其它计量生物学传感器。当然,可获得其它识别硬件选项。在本发明的某些形式中,在未检测到适当识别硬件的情况下,可以提示用户输入用户名和/或口令。
在使用中,本发明的装置可以充当用户与应用之间的代理,经由该代理向/从用户和向/从应用传递数据。事实上,本发明的装置可以充当用于存在于用户最终设备或所述装置本身上的应用的多协议代理。例如,所述装置可以不仅提供认证/识别功能,而且还提供通信的修改,以便在到达其目的地之前对来自应用的数据进行修改。因此,例如,如果发送了电子邮件,则所述装置可以自动地提供数字签名,而本地设备不知道这一点。
如上所述,本发明的装置可以用来为用户提供对应用的访问。在本发明的某些方面中,用户与应用之间的后续通信不需要利用本发明的装置。
如果本发明的装置是诸如移动电话的移动通信设备,则所述应用还可以直接存在于移动通信设备本身上。
本发明的装置可以是便携式的。提供便携式装置(例如以身份棒的形式)使得用户能够以方便的方式将所述装置从一个用户设备携带至另一个。
附图说明
下面参考以下编号的附图仅以示例的方式来描述本发明的示例性实施例。
图1是依照本发明的一个方面的***的方框图; 
图2是举例说明图1的***的示例性使用的一个方面的流程图; 
图3是举例说明图1的***的示例性使用的一个方面的流程图; 
图4是举例说明图1的***的操作的一个方面的消息序列; 
图5是举例说明图1的***的操作的另一方面的消息序列;以及 
图6是依照本发明的一个方面的***的方框图。
具体实施方式
图1是依照本发明的一个方面的一般用附图标记2来指示的***的方框图。***2包括用户浏览器4、身份棒6、应用8、身份管理***(IDM)10和在操作上耦合到IDM 10的数据库12。身份棒6被耦合在浏览器4与应用8之间,并且还被耦合到IDM 10。身份棒6与浏览器4、应用8和IDM 10中的每一个进行双向通信。
在使用中,用户浏览器4和身份棒6在用户机器处。身份棒6可以例如是例如经由USB端口被可去除地连接到用户的机器的闪速存储卡。身份棒通常经由诸如因特网之类的网络来与应用8和IDM 10通信。
身份棒6包括被用来控制身份棒的功能的预先安装软件。特别地,该软件控制在用户与身份棒之间以及还在身份棒与IDM 10之间的交互。身份棒还可以用来存储诸如用户数据之类的数据。
图2是示出供***2使用的一般用附图标记20来指示的示例性算法的流程图。
算法20在步骤22处开始,在步骤22处,由身份提供器(provider)6从浏览器4接收对访问应用8的请求。响应于从浏览器接收到该请求,身份提供器可以寻找用于浏览器的用户的识别细节,如下文进一步讨论的。例如,身份棒可以从用户获得识别信息(例如,以用户名/口令对的形式,或者以指纹样本的形式,或者通过提供通用引导架构(generic bootstrapping architecture,GBA)机制)。
算法20移动至步骤24,在步骤24处,身份棒6向IDM 10请求数据以使得能够给予对应用8的访问。此数据可以采取许多不同形式。通常,数据包括用于应用8的用户特定属性,诸如访问应用所需的用户证书或用户授权和策略。为了获得此类用户特定属性,身份棒6可能需要识别浏览器的用户以使IDM 10满意。可替换地,或另外,从IDM 10获得的数据可以包括用于应用的统一资源定位符(URL)或使得身份棒能够与应用通信的任何其它信息。
接下来,在步骤26处,在身份棒6的控制下修改从浏览器4接收到的访问应用8的请求以添加从IDM 10获得的数据。例如,身份棒可以根据应用8的要求将用户证书添加到该请求。可替换地或另外,身份棒可以添加用于应用8的URL。然后将已修改的请求发送到应用8。
接下来,身份棒6在步骤28处从应用8接收响应并将该响应发送到浏览器。在本发明的某些形式中,身份棒6在将响应转送到浏览器之前修改来自应用的响应。
浏览器4的用户可以经由身份棒6继续向应用8发送其它请求,并且应用可以经由身份棒继续向浏览器发送多个响应。因此,身份棒6充当代理。可替换地,一旦用户已被许可对应用8的访问,则可以直接进行浏览器4与应用8之间的进一步通信,而不要求使用身份棒6。
如上所述,算法20的步骤22可以包括身份棒6从用户获得识别信息。在本发明的一个形式中,身份棒6利用诸如指纹传感器或智能卡读取器之类的可用硬件来获得用于传递至IDM的适当识别信息。由安装在身份棒6上的软件来控制此过程。在图3中示出了一般用附图标记30来指示的用于此过程的可能算法。
算法30在步骤32处开始,在步骤32处,身份棒6处的软件确定诸如指纹读取器或智能卡读取器之类的适当硬件是否可用于识别用户。如果存在此类硬件,则身份棒在步骤34中选择将用于识别用户的硬件并随后提示用户使用该硬件(步骤36)。如果不存在此类硬件,则算法30从步骤32移动至步骤38,在该步骤处,提示用户输入用户名和/或口令。在本发明的某些形式中,省略步骤36,因为不需要提示用户。例如,如果使用通用引导架构(GBA)机制,则情况可能如此,因为在这种情况下,用户将不需要做任何事,因此不需要提示用户。
算法30从步骤36或步骤38移动至步骤40(或者如果省略了步骤36,则直接从步骤34至步骤40),在该步骤处,将从用户获得的数据传递至IDM 10,并要求IDM为用户提供访问应用8所需的证书。
在本发明的一个实施方式中,身份棒6被用户用来获得对来自共享计算机资源(例如在因特网咖啡屋中)的安全资源的访问。在此类环境中,可用于识别用户的硬件在位置之间可能变化很大。算法30使得身份棒6能够利用在任何特定位置上可用于识别用户以使IDM 10满意的资源。
在步骤34处进行的选择可以取决于DIM 10的要求,或者可以取决于正在被访问的应用的要求。如果选择是应用相关的,则可能仅在用户已请求访问特定应用之后执行算法30。
当然,算法30仅仅是能够用于从用户获得识别信息的许多算法中的一个。其它可能性包括GBA、TCA/TPM或公钥基础设施(PKI)解决方案(在这种情况下,身份棒将包含PKI应用编程接口(API)和安全存储器)。本领域的技术人员将知道可以使用的其它适当装置。
上述算法20举例说明了***2的示例性使用。图4示出一般用附图标记50来指示的示例性消息序列,其示出在执行算法20时可以在浏览器4、身份棒6、应用8和IDM 10之间传输的消息。
消息序列50开始于用户使用浏览器4来发出访问应用8的请求52,该应用要求在许可访问之前检验用户的身份。用户请求52被从浏览器4发送到身份棒6。身份棒6与IDM 10保持联络以便获得用于用户的证书。这通过身份棒6向IDM 10发送证书请求54且IDM在消息56中返回证书来实现。请求54可以包括对其它信息的请求,诸如对应用8的URL的请求。
身份棒6现在拥有用于用户的证书并将用户请求52修改为包括用户证书。已修改的请求被作为服务请求58发送到应用8。作为响应,应用许可对应用的用户访问并向身份棒6返回服务响应60。身份棒6可以修改来自应用的响应并将该响应作为消息62(或者以修改形式或者如应用提供的一样)发送到浏览器4。
用户然后可以向应用8发送一个或多个其它请求64,所述请求最初被发送到身份棒6,所述身份棒将服务请求作为消息66转送到应用。应用8响应于请求66向身份棒发送服务响应68,所述响应被作为消息70从身份棒发送到浏览器4(可能以修改形式)。
因此,身份棒6充当浏览器4与应用8之间的代理。身份棒能够从IDM 10获得用户证书并将那些证书传送到应用8,而不要求将任何用户数据存储在用户的机器处。此外,不要求在用户的机器处安装特殊软件;因此,算法是便携式的。
通过使用身份棒6,用户的最终设备不需要安装特殊硬件,因为安装在棒上的软件能够适合于找到并利用可用机制来识别用户以使IDM 10满意。
如果用户想要访问特殊服务(诸如受限企业服务),则棒上的身份管理软件向IDM 10请求许可和用于该服务的用户证书,改变最终设备与服务之间的通信,例如通过以对于最终用户而言不可见的方式向请求中***证书(例如cookies)。身份棒上的软件还可以在来自应用8的响应到达浏览器4之前对其进行修改。以这种方式,使用户匿名(例如通过过滤cookies并将其保存在身份棒6处),并且还可以为用户提供受限内容(例如通过向被用户访问的所有网页添加企业特定数据)。通过从IDM 10获得用户的证书和访问标准(诸如应用8的URL),不需要用户记住它们,这改善了最终用户的方便性以及安全性。此外,管理员现在具有单个位置,其中他能够管理所有访问数据并在不直接联系用户的情况下将其提供给用户。
一旦用户离开最终设备,其仅仅需要从用户设备去除身份棒6。由于没有数据被保存在最终设备处,所以用户的隐私和可靠性得到保护,并且下一个用户将不能访问该内容。此外,如果用户现在将身份棒6连接到另一设备,则他可以重新使用存储在身份棒6上的cookies以继续使用应用8,常常如同他从未改变被使用的该最终用户设备一样。
如上文所讨论的,身份棒6能够访问存储在IDM 10处的用户证书,其中那些用户证书被提供给应用8而浏览器4不需要访问那些用户证书。因此,用户甚至不需要知道用户证书。举例来说,IDM 10可以存储访问特定应用8所需的用户名和口令。应用可以要求周期性地修改口令,其中新的口令被存储在IDM 10处。如果用户经由在本申请中所描述的装置来访问应用8,则用户能够获得对应用的访问,而不需要知道新口令。因此,能够改变用户证书而不告知用户,从而提供改善的安全性。
身份棒6可以包括(例如使用特殊密钥)所实现的硬件认证机制,其不能被读出(由于受保护和加密存储,例如以对于用户标识模块(SIM)卡而言已知的类似方式),但是身份棒提供使用它们的方式(例如,由于签名应用编程接口(API))。因此,身份棒上的应用用现有方法中的一个(例如使用智能卡读取器或指纹读取器)向IDM 10认证用户,在IDM 10处读取用户的授权和策略,处理对用户希望访问的服务的进一步认证(例如,通过注入(inject)用于特定网页的用户证书),并且可以提供对页面/服务本身的访问(例如,通过充当DNS或提供VPN隧道)。身份棒6还可以将相关数据(例如cookies)存储在其存储器中;此类数据不需要被转送给用户,从而增加安全性。
如参考图4所讨论的,身份棒6向IDM 10发送证书请求54且IDM向身份棒返回证书56。多种方法可以被IDM 10用于提供证书56。下面参考图5来描述一个可能的布置。
图5示出一般用附图标记80指示的消息序列,其开始于从身份棒6到IDM 10的证书请求54的发送并结束于从IDM到身份棒的证书56的发送。
响应于接收到证书请求54,IDM 10与用户存储(store)14通信。用户存储包含用户数据,并且由IDM 10从身份棒6接收到的数据能够用来识别用户。消息序列80示出被从IDM 10发送到用户存储14的单个消息82和被从用户存储14发送到IDM 10的单个答复84。当然,IDM 10与用户存储14之间的交换可以包括沿着每个方向发送的不止那一个消息。用户存储可以例如是活动目录或AAA(认证、授权和计帐)***。
在接收到识别用户的消息84时,IDM 10向用户帐户存储16发送消息86。用户帐户存储16存储用于用户设法访问的应用8的用户特定属性。用户特定属性可以包括登录数据,但是不限于登录数据。用户帐户存储16在消息80中向IDM 10返回用户数据。
在此阶段,IDM 10拥有识别用户的数据(消息84)和提供用于应用8的用户特定属性的数据(消息88)。接下来,IDM 10准备身份棒所需的证书并在消息56中将那些证书发送到身份棒。因此,图5的布置示出在其中在公共数据库中未提供用于特定应用的用户识别信息和用户证书的情况下如何能够提供用户证书。
用户存储14和用户帐户存储16提供上文参考图1所述的数据库12的功能。当然,可以在单个数据库中提供用户存储和用户帐户存储。此外,许多替换布置对于本领域的技术人员来说将是显而易见的。例如,电信运营商使用大量的软件模块,其中的每一个提供不同的功能。例如,AAA服务器可以提供认证用户的方法,其中使用IDM来“转换”不同身份。然后可以使用数据库来存储应用配置信息,并且可以使用另一数据库来保持用于特定应用的用户特定数据。
图6是依照本发明的一个方面的、一般用附图标记90来指示的***的方框图。***90示出经由因特网92来访问多个web应用8a'、8b'的多个用户(和相关联身份棒)6a'、6b'、6c'。***90包括与用户帐户目录14'和用户帐户存储16'以及与用户6a'、6b'和6c'通信的IDM 10'。***90示出IDM 10'如何能够利用两个不同的数据库(用户目录14'和用户帐户存储16')来为多个用户提供对多个应用的访问。
本发明的布置能够用来为用户提供单点登录(single-sign-on,SSO)功能。用户能够向身份棒识别其本身和期望访问的应用,并且身份棒能够获得用于该应用的用户证书。用户只需记住识别其本身以使IDM 10满意所需的用户证书,所述证书可以对于IDM为之保持用户证书数据的所有应用而言是相同的。
如上所述,本发明可以在因特网咖啡屋环境中使用,其中,用户希望在其中其它用户可能在不同时间访问同一设备的情况下获得对安全资源的访问;然而,本发明不限于此。例如,本发明能够在企业环境中用来控制对多个应用的访问。考虑其中为公司的许多雇员提供膝上型计算机和闪速存储卡的方案。膝上型计算机包括浏览器4且闪速存储卡提供***2的身份棒6。闪速存储卡能够被公司编程以使得特定用户能够获得对由公司提供的某些应用的访问。这样,公司能够控制哪些用户可访问哪些应用,而不需要改变计算机设置。
身份棒6可以是闪速存储卡,诸如USB记忆棒;然而,这不是必需的。身份棒可以是能够用来存储数据并与用户希望用来访问应用的设备兼容的任何便携式设备。例如,身份棒可以是丰富的智能卡(rich smartcard)或移动电话。
本发明的实施例包括以下优点中的至少某些: 
· 可以使用身份棒6作为用户简档数据的寄存处(deposit)。
· 可以将身份棒6用于具有“特殊”要求的服务,例如具有机密内容的服务(诸如网上银行和公司内部网)。
· 身份卡6能够取代先前的***,诸如HBCI卡(其在德国被广泛地用于访问银行账户)或一次性密钥***的使用。
· 身份棒6能够与基于SIM的设备相结合地用来为基于SIM的设备提供对安全服务的容易的访问。
· 身份棒6能够与TCA/TPM机制相组合地用于数据的安全处理。
· 身份棒6能够被用作便携式cookie存储。能够将cookie保存到该棒并运送到新的位置。因此,浏览器4不需要存储cookies。
· 依照本发明的***能够容易地将身份棒6作为识别器件的使用与IDM 10作为网关的使用组合。
· 身份棒6能够用于软件许可证的检验和确认。
· 能够在身份提供器处改变和存储口令,而不需要告知用户。例如,周期性地改变的口令能够被自动地改变并存储新的口令细节。
上文所述的本发明的实施例是说明性而不是限制性的。对于本领域的技术人员来说将显而易见的是在不脱离本发明的一般范围的情况下上述设备和方法可以结合许多修改。意图在本发明的范围内包括所有此类修改,达这种程度,即只要它们落在所附权利要求的范围内。

Claims (21)

1. 一种装置,包括:
控制器;
第一接口,适合于使得控制器能够与用户设备通信;
第二接口,适合于使得控制器能够与身份管理***通信以便获得用于应用的用户特定属性;以及
第三接口,适合于使得控制器能够依照用户特定属性与应用通信。
2. 如权利要求1所述的装置,其中,所述用户特定属性包括用户证书。
3. 如权利要求1或权利要求2所述的装置,其中,所述装置适合于可去除地连接到用户设备。
4. 如权利要求1至3中的任一项所述的装置,其中,所述装置是闪速存储卡。
5. 如任何前述权利要求所述的装置,其中,所述第二接口适合于使得控制器能够经由网络与身份管理***通信。
6. 如任何前述权利要求所述的装置,其中,所述第三接口适合于使得控制器能够经由网络与应用通信。
7. 如任何前述权利要求所述的装置,其中,所述装置可连接到多个用户设备中的任何一个。
8. 如任何前述权利要求所述的装置,其中,所述第一接口适合于从所述用户设备获得第一用户信息。
9. 如权利要求8所述的装置,其中,使用所述用户设备的识别硬件来获得第一用户信息。
10. 一种方法,包括:
从用户设备接收对访问应用的请求,在第二设备处接收所述请求;
使用第二设备来从身份管理***获得用于应用的用户特定属性;以及
依照用户特定属性使用第二设备来访问应用。
11. 如权利要求10所述的方法,还包括获得第一用户识别信息。
12. 如权利要求11所述的方法,其中,从用户设备获得第一用户识别信息。
13. 如权利要求11或权利要求12所述的方法,还包括在获得用户特定属性时使用第一用户识别信息。
14. 如权利要求11至13中的任一项所述的方法,还包括使用用户设备的识别硬件来获得所述第一用户信息。
15. 如权利要求14所述的方法,还包括从多个识别硬件选项中选择所述识别硬件。
16. 如权利要求10至15中的任一项所述的方法,其中,所述用户特定属性包括用户证书,应用要求所述用户证书以便许可对应用的用户访问。
17. 如权利要求16所述的方法,其中,访问应用包括向应用提供用户证书。
18. 如权利要求10至17中的任一项所述的方法,还包括经由网络与身份管理***和/或应用通信。
19. 如权利要求10至18中的任一项所述的方法,还包括充当用户设备与应用之间的代理。
20. 如权利要求10至19中的任一项所述的方法,其中,所述第二设备被可去除地连接到用户设备。
21. 一种计算机程序,包括:
用于从用户设备接收对访问应用的请求的代码;
用于从身份管理***获得用于应用的用户特定属性的代码;以及
用于依照用户特定属性来访问应用的代码。
CN200880132579XA 2008-12-30 2008-12-30 服务访问控制 Pending CN102272769A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/068352 WO2010075885A1 (en) 2008-12-30 2008-12-30 Service access control

Publications (1)

Publication Number Publication Date
CN102272769A true CN102272769A (zh) 2011-12-07

Family

ID=40555819

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200880132579XA Pending CN102272769A (zh) 2008-12-30 2008-12-30 服务访问控制

Country Status (5)

Country Link
US (1) US20110289567A1 (zh)
EP (1) EP2384483A1 (zh)
CN (1) CN102272769A (zh)
MX (1) MX2011006947A (zh)
WO (1) WO2010075885A1 (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MY134895A (en) * 2000-06-29 2007-12-31 Multimedia Glory Sdn Bhd Biometric verification for electronic transactions over the web
CN102763111B (zh) 2010-01-22 2015-08-05 交互数字专利控股公司 用于可信联合身份管理和数据接入授权的方法和设备
KR20120120955A (ko) * 2010-02-09 2012-11-02 인터디지탈 패튼 홀딩스, 인크 신뢰적인 연합 아이덴티티를 위한 방법 및 장치
US8988187B2 (en) * 2011-01-13 2015-03-24 Hong Kong Applied Science And Technology Research Institute Co., Ltd. Proximity based biometric identification systems and methods
US9043870B1 (en) * 2011-12-16 2015-05-26 Google Inc. Automated sign up based on existing online identity
US8689299B2 (en) * 2011-12-22 2014-04-01 Blackberry Limited System and method for accessing a software application
WO2013123079A1 (en) * 2012-02-13 2013-08-22 Xceedid Corporation Credential management system
JP5895605B2 (ja) * 2012-03-05 2016-03-30 富士ゼロックス株式会社 情報管理装置、情報管理システム、情報管理プログラム
US9887965B2 (en) * 2012-07-20 2018-02-06 Google Llc Method and system for browser identity
KR102216653B1 (ko) * 2014-03-21 2021-02-17 삼성전자주식회사 지문 인증을 통하여 통신을 수행하는 전자 장치 및 방법
US10334434B2 (en) * 2016-09-08 2019-06-25 Vmware, Inc. Phone factor authentication

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040158746A1 (en) * 2003-02-07 2004-08-12 Limin Hu Automatic log-in processing and password management system for multiple target web sites
US20040193925A1 (en) * 2003-03-26 2004-09-30 Matnn Safriel Portable password manager
US20060174349A1 (en) * 1999-12-07 2006-08-03 Cronce Paul A Portable authorization device for authorizing use of protected information and associated method
WO2007008540A2 (en) * 2005-07-08 2007-01-18 Sandisk Corporation Mass storage device with automated credentials loading
CN1956374A (zh) * 2005-10-28 2007-05-02 腾讯科技(深圳)有限公司 一种为身份认证提供数据加密的装置和方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6871279B2 (en) * 2001-03-20 2005-03-22 Networks Associates Technology, Inc. Method and apparatus for securely and dynamically managing user roles in a distributed system
US8051470B2 (en) * 2002-12-12 2011-11-01 International Business Machines Corporation Consolidation of user directories
US7428750B1 (en) * 2003-03-24 2008-09-23 Microsoft Corporation Managing multiple user identities in authentication environments
US20060069819A1 (en) * 2004-09-28 2006-03-30 Microsoft Corporation Universal serial bus device
US8700033B2 (en) * 2008-08-22 2014-04-15 International Business Machines Corporation Dynamic access to radio networks

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060174349A1 (en) * 1999-12-07 2006-08-03 Cronce Paul A Portable authorization device for authorizing use of protected information and associated method
US20040158746A1 (en) * 2003-02-07 2004-08-12 Limin Hu Automatic log-in processing and password management system for multiple target web sites
US20040193925A1 (en) * 2003-03-26 2004-09-30 Matnn Safriel Portable password manager
WO2007008540A2 (en) * 2005-07-08 2007-01-18 Sandisk Corporation Mass storage device with automated credentials loading
CN1956374A (zh) * 2005-10-28 2007-05-02 腾讯科技(深圳)有限公司 一种为身份认证提供数据加密的装置和方法

Also Published As

Publication number Publication date
MX2011006947A (es) 2011-08-03
EP2384483A1 (en) 2011-11-09
WO2010075885A1 (en) 2010-07-08
US20110289567A1 (en) 2011-11-24

Similar Documents

Publication Publication Date Title
CN102272769A (zh) 服务访问控制
KR102181600B1 (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
US8327427B2 (en) System and method for transparent single sign-on
US20150281227A1 (en) System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications
US8745709B2 (en) Multifactor authentication service
JP5585969B2 (ja) Idトークンから属性を読み出す方法、プログラム及びコンピュータシステム
US7275260B2 (en) Enhanced privacy protection in identification in a data communications network
US7496751B2 (en) Privacy and identification in a data communications network
JP5517314B2 (ja) ソフトトークンを生成する方法、プログラム及びコンピュータシステム
CN102598577A (zh) 使用云认证进行认证
KR20040049272A (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
US20060135155A1 (en) Method for roaming authentication in public wireless LAN
WO2003038578A2 (en) User access control to distributed resources on a data communications network
WO2004114082A2 (en) System and method for establishing historical usage-based hardware trust
RU2670031C2 (ru) Система и способ идентификации и/или аутентификации
US20180234418A1 (en) Method and apparatus for facilitating access to publish or post utilizing frictionless two-factor authentication
WO2012040869A1 (en) User account recovery
CN103428176A (zh) 移动用户访问移动互联网应用的方法、***及应用服务器
CN103152344A (zh) 基于数字证书的密码学操作方法及装置
KR20030060658A (ko) 운영체제 로그인 정보를 이용한 웹 사이트 자동 인증시스템 및 방법
CA2878269A1 (en) System and method for two factor user authentication using a smartphone and nfc token and for the automatic generation as well as storing and inputting of logins for websites and web applications
JP6778988B2 (ja) 認証情報生成プログラム、認証情報生成装置、及び認証情報生成方法
AU2021102834A4 (en) A User Authentication System and Method using Smart Cards for Cloud based IoT Applications
EP2842290B1 (en) Method and computer communication system for the authentication of a client system
KR20140023085A (ko) 사용자 인증 방법, 인증 서버 및 사용자 인증 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20111207