專利名稱:數(shù)據(jù)通信網(wǎng)絡(luò)中的身份識別方面的增強隱私保護的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機科學(xué)領(lǐng)域。更明確地說,本發(fā)明涉及一種用于管理環(huán)球網(wǎng)中的身份識別的系統(tǒng)和方法。
背景技術(shù):
環(huán)球網(wǎng)(WWW)的出現(xiàn)已使得任何擁有一臺具有因特網(wǎng)聯(lián)接的計算機的人可獲取更多的信息。不幸的是,當(dāng)前方法使得可相對容易地用關(guān)于一特定用戶的特定數(shù)據(jù)來識別該用戶,由此提高了隱私顧慮。
關(guān)于環(huán)球網(wǎng)上的身份識別和隱私的一個問題涉及環(huán)球網(wǎng)瀏覽器如何獲得用戶數(shù)據(jù)。通常,環(huán)球網(wǎng)瀏覽器從存儲在本地硬盤上的一個或多個cookies中獲得用戶數(shù)據(jù)。這些cookies可能包含敏感用戶信息。圖1A是說明一種用于從cookie中獲得用戶信息的典型方法的流程圖。在100處,環(huán)球網(wǎng)瀏覽器訪問一個使用cookie的環(huán)球網(wǎng)站。在105處,做出關(guān)于cookie是否存在于用戶計算機的本地盤上的判定。如果cookie不存在,那么在110處,瀏覽器用環(huán)球網(wǎng)服務(wù)器通用資源定位符(URL)和環(huán)球網(wǎng)服務(wù)器提供的用戶數(shù)據(jù)來產(chǎn)生cookie。如果cookie存在,那么在115處,瀏覽器使用在用戶計算機的本地盤上的cookie。
圖1B是說明cookie的方塊圖。Cookie 120包括服務(wù)器標(biāo)識符和用戶數(shù)據(jù)。該用戶數(shù)據(jù)包含關(guān)于用戶的信息,諸如用戶的姓名和地址。
不幸的是,由此方法所提供的隱私性較低,因為僅僅通過檢驗cookie內(nèi)容就可相對容易地判定與該用戶數(shù)據(jù)相關(guān)聯(lián)的用戶的身份。
關(guān)于環(huán)球網(wǎng)上的身份識別和隱私的另一個問題涉及用戶驗證。通常使用用戶名和口令來完成環(huán)球網(wǎng)上的用戶驗證。圖2是說明一種用于使用用戶名和口令來執(zhí)行用戶驗證的典型方法的流程圖。在200處,用戶訪問服務(wù)提供者環(huán)球網(wǎng)站。在205處,服務(wù)提供者環(huán)球網(wǎng)站基于靜態(tài)的用戶名和口令來驗證該用戶。這種形式的用戶驗證通常包括填寫一個被認為是與正被提供到環(huán)球網(wǎng)上的服務(wù)相關(guān)的數(shù)據(jù)的表格。在210處,做出關(guān)于此用戶驗證是否成功的判定。如果此用戶驗證失敗,那么在215處拒絕服務(wù)。如果此用戶驗證成功,那么在220處提供服務(wù)。由這個方式所提供的隱私保護和安全性是低的。
此外,不能保證表格上所搜集數(shù)據(jù)的精確度和適當(dāng)性。例如,如果由用戶完成的服務(wù)提供者表格提示輸入一個駕駛執(zhí)照號碼,服務(wù)提供者通常不會判定由該用戶所輸入的號碼是否適于服務(wù)請求(例如,當(dāng)提示輸入駕駛執(zhí)照號碼時輸入一個捕魚許可證號碼(fishing license number)是不適當(dāng)?shù)?。并且服務(wù)提供者通常不會判定所輸入的駕駛執(zhí)照是否實際上屬于輸入此號碼的個人。
圖3說明了如何使用一種“磚和砂漿(bricks and mortar)”方法來處理這些用戶驗證問題。圖3是說明一種用于親自支付貨品和服務(wù)的典型方法的流程圖。在300處,購買者開支票來支付貨品或服務(wù)。在305處,賣方要求合乎接受支付所需的用戶驗證方法的憑證。這些憑證的實例包括駕駛執(zhí)照和ATM卡。該用戶驗證提供了關(guān)于購買者身份的一種信任級別。對不同級別的用戶驗證提供不同類型的事務(wù)處理。例如,如果購買者企圖購買相對便宜的物品,那么賣方可能會接受用于支付的支票而無需用戶驗證。如果購買者企圖購買中等價格的物品,那么賣方可能會要求某一形式的身份識別,例如駕駛執(zhí)照。如果購買者企圖購買相對昂貴的物品,那么賣方會要求額外形式的身份識別。一旦購買者提供了所需形式的用戶驗證(310),賣方就使用此所需形式的用戶驗證來核對憑證的真實性、精確度和完整性(315)。如果賣方不能滿意地核對憑證,那么在325處拒絕事務(wù)處理。如果滿意地核對了憑證,那么在330處完成銷售。
圖4是說明在環(huán)球網(wǎng)上維護用戶特定信息的方塊圖。每一個因特網(wǎng)用戶400-425經(jīng)由服務(wù)提供者環(huán)球網(wǎng)服務(wù)器(435-460)來訪問服務(wù)提供者的環(huán)球網(wǎng)站。每一個環(huán)球網(wǎng)服務(wù)器435-460通過提示輸入用戶名和口令來驗證用戶。每一個環(huán)球網(wǎng)服務(wù)器435-460也為每一個(用戶名、口令)組合維護單獨的一組用戶數(shù)據(jù)。該用戶數(shù)據(jù)包含關(guān)于每一個用戶的信息。例如,一個環(huán)球網(wǎng)站可能存儲與用戶名相關(guān)聯(lián)的郵政編碼,使得用戶無論何時登錄該環(huán)球網(wǎng)站時在所述郵政編碼處的當(dāng)前天氣均會被提供。另一個環(huán)球網(wǎng)站可能維護在該環(huán)球網(wǎng)站處購買的物品的清單,使得可當(dāng)用戶再次訪問此網(wǎng)站時顯示關(guān)于類似產(chǎn)品的信息。
為每一個環(huán)球網(wǎng)站維護單獨的用戶驗證方案意味著用戶必須記住其用于每一個網(wǎng)站的用戶名和口令。個別人時常會將相同的用戶名和口令用于每一個環(huán)球網(wǎng)站。因此,一旦知道了用戶的用于一個環(huán)球網(wǎng)站的用戶名和口令,就可在另一個環(huán)球網(wǎng)站使用相同的用戶名和口令來訪問該相同用戶的信息。此外,個別人經(jīng)常將其用戶名和口令基于如社會安全號碼或生日等的個人信息。這使得口令易受到黑客的攻擊。
圖5是說明集中式用戶驗證系統(tǒng)的方塊圖。在540處,用戶訪問一個服務(wù)器訪問門戶505。在545處,服務(wù)訪問門戶505收集用戶驗證數(shù)據(jù)。如果用戶已經(jīng)登記,那么就提示該用戶輸入用戶名和口令,而且票證生成器520與用戶驗證數(shù)據(jù)庫525對接(interface)以基于用戶名和口令來驗證用戶。票證生成器520可以是一個KerberosTM票證生成器。票證生成器520與用戶驗證數(shù)據(jù)庫525對接以執(zhí)行用戶驗證,并在565處生成一個用戶驗證符記。如果用戶尚未登記,那么在545處,提示該用戶輸入用戶數(shù)據(jù)和一選定口令,并將此信息發(fā)送到用戶數(shù)據(jù)生成器530。用戶數(shù)據(jù)生成器530與用戶數(shù)據(jù)庫535對接以存儲用戶數(shù)據(jù)。用戶數(shù)據(jù)生成器530也與用戶驗證數(shù)據(jù)庫525對接以便為用戶提供用戶驗證信息。在560處,用戶數(shù)據(jù)生成器530與票證生成器520對接以生成一個用戶驗證符記。在565處,將該用戶驗證符記返回給服務(wù)提供者505。
在570處,將用戶驗證符記返回給用戶500。在隨后的用戶與服務(wù)提供者之間的通信(575,580)中,服務(wù)提供者505將用戶驗證符記用作一個cookie或會話標(biāo)識符。這些通信可能包括對存儲在用戶數(shù)據(jù)庫535中的用戶數(shù)據(jù)的請求585。由用戶數(shù)據(jù)檢索器(user data retriever)515接收這些請求585。數(shù)據(jù)檢索器515從用戶數(shù)據(jù)庫535中檢索用戶數(shù)據(jù),并在590處返回該用戶數(shù)據(jù)。
不幸的是,使用此機制的服務(wù)提供者是一種單一控制點。用戶對在哪里和于何時獲得用戶數(shù)據(jù)與在哪里和于何時服務(wù)提供者使用該用戶數(shù)據(jù)不具有控制。一旦用戶已識別了其本身,則所有用戶數(shù)據(jù)就都處于公開狀態(tài)。
圖6是說明為訪問多個環(huán)球網(wǎng)站提供單一登錄的機制的方塊圖。全球驗證器305通過提示輸入一個(用戶名、口令)組合來驗證用戶600-625。一旦用戶600-625經(jīng)過驗證,該用戶就可訪問每一個成員環(huán)球網(wǎng)站635-660,而不必向每一個特定環(huán)球網(wǎng)站635-660注冊。全球驗證器630也維護全球客戶數(shù)據(jù)庫665中的每一個用戶名的概況(profile)。
如圖6所示,用戶一旦經(jīng)由全球驗證器630登錄就可訪問多個成員環(huán)球網(wǎng)站。因此,全球客戶數(shù)據(jù)庫665必須包括與所有被訪問的網(wǎng)站相關(guān)的用戶信息。例如,如果用戶訪問金融環(huán)球網(wǎng)站和醫(yī)療計劃環(huán)球網(wǎng)站,那么全球客戶數(shù)據(jù)庫665將包括醫(yī)療信息以及金融信息。此外,全球驗證器630可配置成監(jiān)控或跟蹤個體的環(huán)球網(wǎng)活動,例如所訪問的環(huán)球網(wǎng)站。將潛在不適當(dāng)?shù)臄?shù)據(jù)與監(jiān)控環(huán)球網(wǎng)活動的能力相混合提高了隱私顧慮。
與使用環(huán)球網(wǎng)有關(guān)的額外問題是缺少創(chuàng)造服務(wù)提供者將何物當(dāng)作有效用戶驗證的蹤跡的方式。用戶或者使用任何人或程序可能已輸入的用戶名和口令來登錄并被準(zhǔn)許無限地訪問多個服務(wù),或者該用戶輸入錯誤的用戶名和口令而一無所獲。
因此,需要一種保護系統(tǒng)中隱私的解決辦法,在所述系統(tǒng)中需要關(guān)于用戶的信息來傳遞服務(wù)。需要另外一種使服務(wù)提供者能夠交換關(guān)于個人的信息而不至于泄露不適當(dāng)或不必要的信息的解決辦法。需要另外一種可管理開放網(wǎng)絡(luò)(如因特網(wǎng))上的用戶事務(wù)處理同時保持隱私的解決辦法。需要另外一種可管理對用戶數(shù)據(jù)的信任并創(chuàng)造該信任的評估與該評估如何進行的過程的蹤跡的解決辦法。需要另外一種保護存儲于cookie中的用戶數(shù)據(jù)的解決辦法。
發(fā)明內(nèi)容
一種用于管理數(shù)據(jù)通信網(wǎng)絡(luò)中身份識別的方法,其包括接收一個用戶可控安全存儲設(shè)備(user-controlled secure storage device)和向一個權(quán)威(authority)網(wǎng)絡(luò)網(wǎng)站登記用戶。該登記包括提供由權(quán)威網(wǎng)絡(luò)網(wǎng)站所請求的信息。此方法也包括響應(yīng)此登記而接收用戶數(shù)據(jù);將此用戶數(shù)據(jù)存儲于用戶可控安全存儲設(shè)備中;使此用戶可控安全存儲設(shè)備能夠釋放用戶數(shù)據(jù);和在服務(wù)提供者網(wǎng)絡(luò)網(wǎng)站處使用此用戶數(shù)據(jù)以獲得服務(wù)。
根據(jù)另一個方面,一種用于數(shù)據(jù)通信網(wǎng)絡(luò)中的身份識別方面的增強隱私保護的方法包括為獲取一服務(wù)在數(shù)據(jù)通信網(wǎng)絡(luò)上進行登記;響應(yīng)此登記而接收一隨機化標(biāo)識符(ID);存儲此隨機化ID;和使用此隨機化ID來在數(shù)據(jù)通信網(wǎng)絡(luò)上獲得服務(wù)。一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)上獲得服務(wù)的裝置包括一個配置成接受登記請求的登記權(quán)威。進一步配置此登記權(quán)威以響應(yīng)登記請求而返回登記結(jié)果。這些登記結(jié)果包括用戶數(shù)據(jù),且可使用這些登記結(jié)果從服務(wù)提供者處獲得服務(wù)。
根據(jù)另一個方面,一種用于數(shù)據(jù)通信網(wǎng)絡(luò)中的增強的身份識別質(zhì)量的方法包括獲得一個包括身份識別服務(wù)器ID和身份識別隨機化ID的用戶標(biāo)識符。身份識別服務(wù)器ID標(biāo)識一個身份識別服務(wù)器同等組(peer group)。此身份識別服務(wù)器同等組包括至少一個服務(wù)器,其可維護身份識別隨機化ID與能夠驗證同特定隨機化ID相關(guān)的用戶的用戶驗證同等組之間的映射,以及身份識別隨機化ID與用戶信息之間的映射。此方法也包括通過將用戶標(biāo)識符提供給對應(yīng)的身份識別服務(wù)器同等組來請求用戶授權(quán)。配置身份識別服務(wù)器同等組中的每一個服務(wù)器,以搜索包括隨機化ID的一個或多個匹配輸入項(matching entry)。
根據(jù)另一個方面,一種用于控制用戶訪問數(shù)據(jù)通信網(wǎng)絡(luò)上分布資源的方法包括接收資源請求。此請求包括一個權(quán)利密鑰憑證(rights key credential),此權(quán)利密鑰憑證包括至少一個密鑰以提供對數(shù)據(jù)通信網(wǎng)絡(luò)上資源的訪問。此權(quán)利密鑰憑證也包括一個包括資源服務(wù)器同等組ID和隨機化ID的資源標(biāo)識符。此資源服務(wù)器同等組ID標(biāo)識資源服務(wù)器同等組。此資源服務(wù)器同等組包括維護隨機化ID與至少一個密鑰之間的映射的至少一個服務(wù)器。此方法也包括使用至少一個密鑰來提供對資源的訪問。
根據(jù)另一個方面,一種用于瀏覽數(shù)據(jù)通信網(wǎng)絡(luò)的方法包括如果訪問需要用戶數(shù)據(jù)的網(wǎng)絡(luò)網(wǎng)站,那么就從用戶可控安全設(shè)備處請求此用戶數(shù)據(jù)。在從另一個設(shè)備請求用戶數(shù)據(jù)之前執(zhí)行此請求。此方法也包括如果從用戶可控安全設(shè)備處接收到用戶數(shù)據(jù),那么將此用戶數(shù)據(jù)發(fā)送到與網(wǎng)絡(luò)網(wǎng)站相關(guān)聯(lián)的網(wǎng)絡(luò)服務(wù)器。根據(jù)另一個方面,一種用于向數(shù)據(jù)通信網(wǎng)絡(luò)信息單元提供服務(wù)的方法包括接收與網(wǎng)絡(luò)網(wǎng)站相關(guān)的用戶數(shù)據(jù);如果此用戶數(shù)據(jù)包括靜態(tài)用戶數(shù)據(jù)就使用此用戶數(shù)據(jù)而如果此用戶數(shù)據(jù)包括動態(tài)用戶數(shù)據(jù)就在使用此用戶數(shù)據(jù)之前重構(gòu)此用戶數(shù)據(jù)。
根據(jù)另一個方面,一種用于瀏覽數(shù)據(jù)通信網(wǎng)絡(luò)的裝置包括網(wǎng)絡(luò)瀏覽器,此網(wǎng)絡(luò)瀏覽器配置成如果訪問需要用戶數(shù)據(jù)的網(wǎng)絡(luò)網(wǎng)站,那么就從用戶可控安全設(shè)備處請求用戶數(shù)據(jù)。此請求發(fā)生于從另一個設(shè)備處請求此用戶數(shù)據(jù)之前。進一步將此網(wǎng)絡(luò)瀏覽器配置成如果從用戶可控安全設(shè)備處接收到用戶數(shù)據(jù),那么就將此用戶數(shù)據(jù)發(fā)送到與網(wǎng)絡(luò)網(wǎng)站相關(guān)的網(wǎng)絡(luò)服務(wù)器。
根據(jù)另一個方面,一種用于瀏覽數(shù)據(jù)通信網(wǎng)絡(luò)的裝置包括一個配置成接收對用戶數(shù)據(jù)的請求的智能卡。進一步將此智能卡配置成如果發(fā)現(xiàn)了用戶數(shù)據(jù)且如果啟用了返回用于此請求的用戶數(shù)據(jù)且如果此用戶數(shù)據(jù)包括靜態(tài)用戶數(shù)據(jù),那么返回此用戶數(shù)據(jù)。進一步將此智能卡配置成如果發(fā)現(xiàn)用戶數(shù)據(jù)且如果啟用了返回用于此請求的用戶數(shù)據(jù)且如果此用戶數(shù)據(jù)包括動態(tài)用戶數(shù)據(jù),那么就重新配置此用戶數(shù)據(jù)。
根據(jù)另一個方面,一種用于向數(shù)據(jù)通信網(wǎng)絡(luò)信息單元提供服務(wù)的裝置包括一個配置成接收與網(wǎng)絡(luò)網(wǎng)站相關(guān)聯(lián)的用戶數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)器。進一步將此網(wǎng)絡(luò)服務(wù)器配置成如果用戶數(shù)據(jù)包括靜態(tài)用戶數(shù)據(jù),那么就使用此用戶數(shù)據(jù)。進一步將此網(wǎng)絡(luò)服務(wù)器配置成如果用戶數(shù)據(jù)包括動態(tài)用戶數(shù)據(jù),那么就在使用此用戶數(shù)據(jù)之前重構(gòu)此用戶數(shù)據(jù)。
根據(jù)另一個方面,一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)上獲得服務(wù)的方法,該方法包括向一個權(quán)威登記和使用此登記結(jié)果來從服務(wù)提供者處獲得服務(wù)。此登記創(chuàng)造包括用戶數(shù)據(jù)的登記結(jié)果。服務(wù)提供者能夠與此權(quán)威進行通信以核對登記結(jié)果。
根據(jù)另一個方面,一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)上獲得服務(wù)的裝置包括一個配置成接受登記請求的登記權(quán)威。進一步配置此登記權(quán)威以響應(yīng)此登記請求而返回登記結(jié)果。這些登記結(jié)果包括用戶數(shù)據(jù),其用于從服務(wù)提供者處獲得服務(wù)。根據(jù)另一個方面,一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)上獲得服務(wù)的裝置,該裝置包括一個配置成接受服務(wù)請求和從登記權(quán)威處獲得的登記結(jié)果的服務(wù)提供者。此服務(wù)提供者能夠與此權(quán)威進行通信以核對登記結(jié)果,且將此服務(wù)提供者配置為基于登記結(jié)果和來自登記權(quán)威處的響應(yīng)來提供服務(wù)。
根據(jù)另一個方面,一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)上保護隱私的方法包括接收用戶標(biāo)識符和與此用戶標(biāo)識符相關(guān)聯(lián)的特定用戶數(shù)據(jù)。此特定用戶數(shù)據(jù)包括關(guān)于網(wǎng)絡(luò)用戶的數(shù)據(jù)。此方法也包括基于此特定用戶數(shù)據(jù)來創(chuàng)造普遍化的用戶數(shù)據(jù)和使此普遍化的用戶數(shù)據(jù)與用戶標(biāo)識符相關(guān)聯(lián)。此方法也包括返回用戶標(biāo)識符和普遍化的用戶數(shù)據(jù)。根據(jù)另一個方面,一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)上保護隱私的方法,該方法包括將用于至少一個服務(wù)提供者服務(wù)器的用戶登錄信息存儲在用戶可控安全設(shè)備上。此至少一個服務(wù)提供者服務(wù)器包括能夠向用戶提供服務(wù)的至少一個網(wǎng)絡(luò)服務(wù)器。此方法也包括登錄此設(shè)備而提供對此至少一個服務(wù)提供者服務(wù)器的訪問。
并入本說明書中且構(gòu)成本說明書的一部分的附圖連同詳細描述說明了本發(fā)明的一個或多個實施例,用來解釋本發(fā)明的原理和實施。
在這些附圖中圖1A是說明一種用于從cookie中獲得用戶信息的典型方法的流程圖。
圖1B是說明cookie的方塊圖。
圖2是說明一種用于使用用戶名和口令來執(zhí)行用戶驗證的典型方法的流程圖。
圖3是說明一種用于親自支付貨品和服務(wù)的典型方法的流程圖。
圖4是說明在環(huán)球網(wǎng)上維護用戶特定信息的方塊圖。
圖5是說明集中式用戶驗證系統(tǒng)的方塊圖。
圖6是說明一種為訪問多個環(huán)球網(wǎng)站提供單一登錄的機制的方塊圖。
圖7是根據(jù)本發(fā)明的一個實施例說明使用經(jīng)權(quán)威驗證的用戶數(shù)據(jù)來在環(huán)球網(wǎng)上進行安全事務(wù)處理的方塊圖。
圖8是根據(jù)本發(fā)明的一個實施例說明一種用于使用經(jīng)權(quán)威驗證的用戶數(shù)據(jù)來在環(huán)球網(wǎng)上進行安全事務(wù)處理的方法的流程圖。
圖9A是根據(jù)本發(fā)明的一個實施例說明憑證的方塊圖。
圖9B是根據(jù)本發(fā)明的一個實施例說明將密碼用作標(biāo)識符的憑證的方塊圖。
圖10是根據(jù)本發(fā)明的一個實施例說明一種用于生成憑證的方法的流程圖。
圖11是根據(jù)本發(fā)明的一個實施例說明一種用于處理憑證的方法的流程圖。
圖12是根據(jù)本發(fā)明的一個實施例說明一種用于應(yīng)用憑證評估策略的方法的流程圖。
圖13是根據(jù)本發(fā)明的一個實施例說明一種用于評估憑證數(shù)據(jù)的方法的流程圖。
圖14是根據(jù)本發(fā)明的一個實施例說明一種用于執(zhí)行用戶驗證的方法的流程圖。
圖15是根據(jù)本發(fā)明的一個實施例說明一種用于使用憑證來獲得服務(wù)的方法的流程圖。
圖16是根據(jù)本發(fā)明的一個實施例說明將多個身份分配給個體的方塊圖。
圖17是根據(jù)本發(fā)明的一個實施例說明將多組用戶數(shù)據(jù)分配給身份的方塊圖。
圖18是根據(jù)本發(fā)明的一個實施例說明在開放網(wǎng)絡(luò)上在多方之間進行事務(wù)處理同時保持隱私的方塊圖。
圖19是根據(jù)本發(fā)明的一個實施例說明一種用于在開放網(wǎng)絡(luò)上在多方之間進行事務(wù)處理同時保持隱私的方法的流程圖。
圖20是根據(jù)本發(fā)明的一個實施例說明一種用于使用存儲在用戶可控設(shè)備上的用戶數(shù)據(jù)來獲得服務(wù)的方法的流程圖。
圖21是根據(jù)本發(fā)明的一個實施例說明一種用于提供服務(wù)的方法的流程圖。
圖22是根據(jù)本發(fā)明的一個實施例說明一種用于根據(jù)用戶數(shù)據(jù)來提供服務(wù)的方法的流程圖。
圖23是根據(jù)本發(fā)明的一個實施例說明一種用于使用來自安全設(shè)備的支付數(shù)據(jù)來執(zhí)行支付授權(quán)的方法的流程圖。
圖24是根據(jù)本發(fā)明的一個實施例說明將多個憑證分配給身份的方塊圖。
圖25是根據(jù)本發(fā)明的一個實施例說明在開放網(wǎng)絡(luò)上使用服務(wù)憑證在多方之間進行事務(wù)處理同時保持隱私的方塊圖。
圖26是根據(jù)本發(fā)明的一個實施例說明一種用于在開放網(wǎng)絡(luò)上使用服務(wù)憑證在多方之間進行事務(wù)處理同時保持隱私的方法的流程圖。
圖27是根據(jù)本發(fā)明的一個實施例說明使用嵌套憑證(nested credential)的方塊圖。
圖28A是根據(jù)本發(fā)明的一個實施例說明一種用于在開放網(wǎng)絡(luò)上使用服務(wù)憑證在多方之間進行事務(wù)處理同時保持隱私的方法的流程圖。
圖28B是根據(jù)本發(fā)明的一個實施例說明一種用于使用存儲在用戶可控設(shè)備上的服務(wù)憑證來獲得服務(wù)的方法的流程圖。
圖29是根據(jù)本發(fā)明的一個實施例說明一種用于提供服務(wù)的方法的流程圖。
圖30A是根據(jù)本發(fā)明的一個實施例說明一種用于使用從服務(wù)憑證中提取的嵌套支付憑證來執(zhí)行支付授權(quán)的方法的流程圖。
圖30B是根據(jù)本發(fā)明的一個實施例說明將多組用戶數(shù)據(jù)分配給身份的方塊圖。
圖31是根據(jù)本發(fā)明的一個實施例說明在開放網(wǎng)絡(luò)上使用智能卡在多方之間進行事務(wù)處理同時保持隱私的方塊圖。
圖32是說明可被用來為如智能卡等的資源約束設(shè)備提供安全用戶訪問控制功能的小程序開發(fā)的方塊圖。
圖33A是說明連接到因特網(wǎng)并裝備有用于接收智能卡的卡片讀取器的計算機的方塊圖。
圖33B是根據(jù)本發(fā)明的一個實施例說明將各種類型的用戶數(shù)據(jù)分配給身份的方塊圖。
圖34是根據(jù)本發(fā)明的一個實施例說明標(biāo)識符的方塊圖。
圖35是根據(jù)本發(fā)明的一個實施例說明利用使用隨機化用戶標(biāo)識符的聯(lián)合身份識別服務(wù)器(federated identification server)和聯(lián)合用戶驗證服務(wù)器來獲取對服務(wù)的訪問同時保持隱私的方塊圖。
圖36是根據(jù)本發(fā)明的一個實施例說明一種用于利用使用隨機化用戶標(biāo)識符的聯(lián)合身份識別服務(wù)器和聯(lián)合用戶驗證服務(wù)器來獲取對服務(wù)的訪問同時保持隱私的方法的流程圖。
圖37是根據(jù)本發(fā)明的一個實施例說明一種用于利用使用隨機化用戶標(biāo)識符的聯(lián)合身份識別服務(wù)器和聯(lián)合用戶驗證服務(wù)器來獲取對服務(wù)的訪問同時保持隱私的方法的流程圖。
圖38是根據(jù)本發(fā)明的一個實施例說明向身份服務(wù)器登記的方塊圖。
圖39是根據(jù)本發(fā)明的一個實施例說明可能的憑證類型的方塊圖。
圖40是根據(jù)本發(fā)明的一個實施例說明將隨機化標(biāo)識符用于訪問分布資源同時保持隱私的方塊圖。
圖41是根據(jù)本發(fā)明的一個實施例說明一種用于將一個匹配輸入項或多個匹配輸入項從身份服務(wù)器聯(lián)合(identity server federation)提供到用戶驗證服務(wù)器聯(lián)合以判定單一有效用戶數(shù)據(jù)輸入項的方法的流程圖。
圖42A是根據(jù)本發(fā)明的一個實施例說明存儲在資源服務(wù)器中的數(shù)據(jù)的方塊圖。
圖42B是根據(jù)本發(fā)明的一個實施例說明存儲在資源服務(wù)器中的數(shù)據(jù)的方塊圖。
圖43A是根據(jù)本發(fā)明的一個實施例說明響應(yīng)一個包括一組權(quán)利密鑰的資源請求而從資源服務(wù)器中獲得資源的方塊圖。
圖43B是根據(jù)本發(fā)明的一個實施例說明從資源服務(wù)器中獲得資源以響應(yīng)包括一組權(quán)利密鑰和對傳遞保護機制的參考(reference)以及視情況目標(biāo)設(shè)備的資源請求的方塊圖。
圖43C是根據(jù)本發(fā)明的一個實施例說明權(quán)利密鑰憑證的方塊圖。
圖44是根據(jù)本發(fā)明的一個實施例說明一種用于獲得對資源的訪問的方法的流程圖。
圖45是根據(jù)本發(fā)明的一個實施例說明一種用于獲得對需要多個密鑰的資源的訪問的方法的流程圖。
圖46A是根據(jù)本發(fā)明的一個實施例說明一個包括權(quán)利密鑰憑證以訪問存儲在資源服務(wù)器同等組中的服務(wù)器上的特定類型資源的通用資源定位符的方塊圖。
圖46B是根據(jù)本發(fā)明的一個實施例說明一個包括權(quán)利密鑰憑證數(shù)據(jù)的超文本傳輸協(xié)議(HTTP)消息的方塊圖。
圖46C是根據(jù)本發(fā)明的一個實施例說明一個包括權(quán)利管理小程序的智能卡的方塊圖。
圖46D是根據(jù)本發(fā)明的一個實施例說明用戶數(shù)據(jù)的動態(tài)聚集(dynamicaggregation)的方塊圖。
圖47是根據(jù)本發(fā)明的一個實施例說明一種用于用戶數(shù)據(jù)之動態(tài)聚集的方法的流程圖。
圖48是根據(jù)本發(fā)明的一個實施例說明一種用于用戶數(shù)據(jù)之靜態(tài)聚集的方法的流程圖。
圖49是根據(jù)本發(fā)明的一個實施例說明使用智能卡來安全地存儲和重新配置cookie的方塊圖。
圖50是根據(jù)本發(fā)明的一個實施例說明使用智能卡來安全地存儲和重新配置cookie的方塊圖。
圖51是根據(jù)本發(fā)明的一個實施例說明一種用于瀏覽環(huán)球網(wǎng)(WWW)的方法的流程圖。
具體實施例方式
本文就一種用于環(huán)球網(wǎng)中身份識別和隱私的方法和裝置來說描述本發(fā)明的實施例。所屬領(lǐng)域的技術(shù)人員將認識到下文對本發(fā)明的詳細描述僅是說明性的,而非意欲是限制性的。受益于此揭示內(nèi)容的這些技術(shù)人員將容易地想到本發(fā)明的其它實施例。現(xiàn)在將詳細地參考如在附圖中說明的本發(fā)明的實施。貫穿這些附圖和下文詳細描述所使用的相同的參考指示符指的是相同或類似的部分。
為清晰起見,未展示和描述在本文中所描述的實施的所有常規(guī)特征。當(dāng)然,我們將了解到在任何此種實際實施的開發(fā)中必須做出許多實施特定決策,以達到開發(fā)者的特定目標(biāo),例如符合應(yīng)用相關(guān)和商業(yè)相關(guān)的約束,并且我們將了解到這些特定目標(biāo)將從一個實施到另一個實施和從一個開發(fā)者到另一個開發(fā)者而改變。此外,我們將了解到這樣的開發(fā)努力可能是復(fù)雜的并消耗時間的,但是然而對于受益于此揭示內(nèi)容的所屬領(lǐng)域的技術(shù)人員來說將是一個常規(guī)的工程任務(wù)。
就本發(fā)明來說,術(shù)語“網(wǎng)絡(luò)”包括局域網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)、因特網(wǎng)、有線電視系統(tǒng)、電話系統(tǒng)、無線電信系統(tǒng)、光導(dǎo)纖維網(wǎng)絡(luò)、ATM網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)、衛(wèi)星通信系統(tǒng)等等。在此項技術(shù)中我們已熟知這些網(wǎng)絡(luò),因此在此將不對其進行進一步的描述。
參考環(huán)球網(wǎng)描述了本發(fā)明的實施例??深愃朴诃h(huán)球網(wǎng)地配置任何數(shù)據(jù)通信網(wǎng)絡(luò)。
根據(jù)本發(fā)明的一個實施例,可使用在高性能計算機(例如一個將SunSolarisTM作為操作系統(tǒng)來運行的Enterprise 2000TM服務(wù)器。Enterprise 2000TM服務(wù)器和Sun SolarisTM操作系統(tǒng)是可從加利福尼亞州芒廷維尤市Sun Microsystems有限公司(Sun Microsystems,Inc.ofMountain View,California)購買的產(chǎn)品)上運行的C或C++程序來實施組件、過程和/或數(shù)據(jù)結(jié)構(gòu)??墒褂貌煌膶嵤?,且這些實施可包括其它類型的操作系統(tǒng)、計算平臺、計算機程序、固件、計算機語言和/或通用機器。此外,所屬領(lǐng)域的技術(shù)人員將承認也可使用通用性質(zhì)更少的設(shè)備,例如硬連線設(shè)備、現(xiàn)場可編程門陣列(FPGA)、特殊應(yīng)用集成電路(ASIC)等等,而不會脫離本文所揭示的發(fā)明性概念的范疇和精神。
現(xiàn)在參看圖7,其中提供了根據(jù)本發(fā)明的一個實施例說明使用經(jīng)權(quán)威驗證的用戶數(shù)據(jù)來在環(huán)球網(wǎng)上進行安全事務(wù)處理的方塊圖。三個實體被表示為客戶或用戶700、權(quán)威705和服務(wù)提供者715。用戶700表示一個從服務(wù)提供者請求并接收服務(wù)的實體。服務(wù)提供者715表示一個提供服務(wù)的實體。權(quán)威705表示一個驗證憑證或其它用戶數(shù)據(jù)以聲明對憑證或其他用戶數(shù)據(jù)的真實性、精確度和完整性的質(zhì)量度量或級別之指示的實體。
憑證的發(fā)布者執(zhí)行此憑證的數(shù)據(jù)驗證。憑證是一個連同服務(wù)請求提供給服務(wù)提供者的證書,其指示了提供者被授權(quán)了什么。
根據(jù)本發(fā)明的實施例,用戶首先向一個權(quán)威登記并接收驗證憑證作為回復(fù)。接著,用戶將此憑證和服務(wù)請求提供給服務(wù)提供者。接受憑證不是無條件的。服務(wù)提供者檢驗此請求和此憑證,并且可拒絕服務(wù)或同意服務(wù)。更詳細地,在720處,用戶700與權(quán)威705進行通信以發(fā)布憑證請求。此請求可包括相關(guān)參數(shù)和數(shù)據(jù)。這些相關(guān)參數(shù)和數(shù)據(jù)可涉及(例如)用戶驗證服務(wù)器710的身份,此用戶驗證服務(wù)器能夠執(zhí)行發(fā)布所請求憑證所需的用戶驗證的至少一部分。此請求也可包括支持憑證。權(quán)威705驗證此憑證或多個憑證以聲明對此憑證或多個憑證的質(zhì)量度量的指示或?qū)ζ湔鎸嵭浴⒕_度和完整性的指示。權(quán)威705可與次級權(quán)威710合作執(zhí)行用戶驗證。在725處,此權(quán)威將經(jīng)驗證憑證返回到用戶700。
使用憑證來獲得服務(wù)從服務(wù)請求開始。如參考數(shù)字735所示,用戶700與服務(wù)提供者715進行通信以發(fā)布服務(wù)請求。此請求可包括憑證和相關(guān)憑證參數(shù)及數(shù)據(jù)。服務(wù)提供者715評估憑證請求和支持信息。服務(wù)提供者715可與權(quán)威705合作以執(zhí)行動態(tài)憑證驗證(740,745)。權(quán)威705也可與次級權(quán)威710合作執(zhí)行用戶驗證。在750處,服務(wù)提供者提供被請求的服務(wù)。
現(xiàn)在參看圖8,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于使用經(jīng)權(quán)威驗證的用戶數(shù)據(jù)來在環(huán)球網(wǎng)上進行安全事務(wù)處理的方法的流程圖。在800處生成一個憑證。通過將憑證請求和支持?jǐn)?shù)據(jù)提供給權(quán)威來創(chuàng)造此憑證。支持?jǐn)?shù)據(jù)可包括由相同權(quán)威較早創(chuàng)造的憑證或由另一個權(quán)威創(chuàng)造的憑證。此憑證同樣可為非數(shù)字的。例如,可使用駕駛執(zhí)照或出生證書。取決于所需的驗證類型,憑證可為全數(shù)字、全非數(shù)字或數(shù)字與非數(shù)字組合的憑證。
根據(jù)本發(fā)明的一個實施例,可對所創(chuàng)造出的憑證的使用產(chǎn)生限制。例如,所創(chuàng)造出的憑證可用于一次性使用、用于限制數(shù)目次數(shù)的使用或用于在特定位置使用。
根據(jù)本發(fā)明的另一個實施例,可將憑證存儲于環(huán)球網(wǎng)服務(wù)器、智能卡、個人數(shù)字助理(PDA)、手機等等上。
再次參看圖8,在805處,做出關(guān)于是否到了使用憑證的時間的判定。一個使用憑證的時間的實例是當(dāng)需要此憑證來獲得服務(wù)之時。一旦到了使用此憑證的時間,在810處將此憑證或?qū)Υ藨{證的參考提供給服務(wù)提供者,此服務(wù)提供者接著可提供服務(wù)。可通過包含于此憑證中的信息直接或間接指定此服務(wù)。服務(wù)提供者可在執(zhí)行密碼數(shù)據(jù)驗證之后接受憑證數(shù)據(jù)。在815處,作出關(guān)于憑證是否仍然有效的判定。繼續(xù)這個使用憑證來獲得服務(wù)的過程,直到此憑證不再有效。
圖9A和9B根據(jù)本發(fā)明的實施例說明了兩種憑證數(shù)據(jù)格式。參看圖9A,憑證900包括憑證標(biāo)識符910、憑證密碼915、憑證權(quán)威同等組ID 920、憑證參數(shù)925、憑證數(shù)據(jù)930、密封憑證數(shù)據(jù)935以及嵌套憑證940。根據(jù)本發(fā)明的一個實施例,憑證標(biāo)識符910包含一個被分配給用戶的獨特標(biāo)識符。根據(jù)本發(fā)明的一個實施例,憑證標(biāo)識符910包含一個被分配給用戶的隨機化標(biāo)識符。
憑證密碼915用來驗證憑證項925、930、935和940。較佳地,憑證密碼915也用來驗證憑證權(quán)威同等組ID 920。此數(shù)據(jù)驗證可使用如由憑證權(quán)威或多個憑證權(quán)威所指定的算法和密鑰??蓪⒚荑€和數(shù)據(jù)驗證算法指定為憑證參數(shù)925。
根據(jù)本發(fā)明的一個實施例,將整個憑證密碼(915,945)用作憑證ID。根據(jù)本發(fā)明的其它實施例,將密碼的子集用作憑證ID。
憑證權(quán)威同等組ID 920標(biāo)識提供用于憑證900的數(shù)據(jù)驗證的實體。提供數(shù)據(jù)驗證的實體可包含單一服務(wù)器?;蛘?,提供數(shù)據(jù)驗證的實體可包含多個憑證權(quán)威服務(wù)器,其中一個服務(wù)器維護對應(yīng)于憑證ID的憑證數(shù)據(jù)。構(gòu)成一個特定憑證權(quán)威同等組的憑證權(quán)威服務(wù)器合作以定位對應(yīng)于憑證ID的憑證數(shù)據(jù)。
憑證參數(shù)925指的是命名的參數(shù)數(shù)據(jù)。憑證參數(shù)可包括(例如)數(shù)據(jù)驗證機制或用戶驗證機制。憑證參數(shù)也可指定一個能夠執(zhí)行發(fā)布被請求的憑證所需的用戶驗證的至少一部分的用戶驗證服務(wù)器的身份。憑證參數(shù)925也可指定憑證數(shù)據(jù)格式和用來密封或啟封憑證數(shù)據(jù)的機制。憑證參數(shù)925也可包括服務(wù)質(zhì)量(QoS)標(biāo)識符。QoS標(biāo)識符指示在用戶登記期間由憑證發(fā)布者所執(zhí)行的核對。此核對可包括用戶驗證。此核對也可包括評估任何支持憑證的質(zhì)量。此核對也可包括評估憑證數(shù)據(jù)的真實性、精確度和完整性。
憑證數(shù)據(jù)930包含與憑證相關(guān)聯(lián)的數(shù)據(jù)。密封憑證數(shù)據(jù)935包含加密憑證數(shù)據(jù)。嵌套憑證940包含一個或多個額外憑證。應(yīng)注意,僅必須驗證憑證密碼915以執(zhí)行安全嵌套(secure nesting)。
可將憑證ID 910、憑證密碼915和憑證權(quán)威同等組ID 920的組合用來表示整個憑證900。可分開存儲憑證的剩余部分(參考數(shù)字925、930、935和940)。例如,可將憑證ID 910、憑證密碼915和憑證權(quán)威同等組ID 920存儲在如智能卡等的安全設(shè)備中,而將憑證的剩余部分(參考數(shù)字925、930、935和940)存儲在環(huán)球網(wǎng)服務(wù)器上。
除了圖9A包括單獨的憑證ID 910,而由圖9B所說明的憑證將憑證密碼945用作標(biāo)識符以外,圖9B類似于圖9A。
可將憑證數(shù)據(jù)元素910-940存儲在一起。或者,可將某些憑證元素910-920用來表示完整的憑證,而分開存儲其它憑證元素925-940。
現(xiàn)在參看圖9B,其中提供了根據(jù)本發(fā)明的一個實施例說明一個將密碼用作標(biāo)識符的憑證的方塊圖。除了還將圖9B中的憑證密碼945用作標(biāo)識符之外,圖9B類似于圖9A。
現(xiàn)在參看圖10,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于生成憑證的方法的流程圖。圖10為圖8的參考數(shù)字800提供更多的細節(jié)。在1000處,憑證權(quán)威接收包括一個或多個支持憑證的憑證請求。支持憑證可包括由此憑證權(quán)威先前創(chuàng)造的憑證。支持憑證也可包括由另一個憑證權(quán)威先前創(chuàng)造的憑證。在1005處處理這些憑證。在1010處,做出關(guān)于是否成功處理這些憑證的判定。如果未成功處理這些憑證,那么在1015處記錄失敗,并在1020處應(yīng)用一失敗策略。此失敗策略指定當(dāng)檢測到失敗時將執(zhí)行的動作。一示范性失敗策略當(dāng)檢測到錯誤時會執(zhí)行用戶通知功能。
仍然參看圖10,如果成功處理了憑證,那么在1025處創(chuàng)造一個新的憑證,并在1030處將此憑證返回給請求它的用戶。根據(jù)本發(fā)明的一個實施例,將整個憑證返回給用戶。根據(jù)本發(fā)明的另一個實施例,返回憑證的獨特識別信息,并分開存儲憑證的剩余部分。例如,使用圖9A的憑證格式的實施例會返回憑證ID910、憑證密碼915和憑證權(quán)威同等組ID 920。使用圖9B的憑證格式的實施例會返回憑證密碼945和憑證權(quán)威同等組ID 950。
現(xiàn)在參看圖11,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于處理憑證的方法的流程圖。圖11為圖10的參考數(shù)字1005提供更多細節(jié)。在1100處,執(zhí)行憑證的密碼數(shù)據(jù)驗證。將圖9A的憑證格式用作實例,憑證密碼915用來驗證憑證字段(field)925、930、935和940?;蛘?,特定的數(shù)據(jù)驗證機制也可驗證憑證同等組ID 920。將圖9B的憑證格式用作實例,將憑證密碼945用來驗證憑證字段955、960、965和970。再次,特定的數(shù)據(jù)驗證機制也可驗證憑證權(quán)威同等組ID 950。在1105處,做出關(guān)于憑證密碼是否驗證了憑證數(shù)據(jù)的判定。如果憑證密碼未驗證憑證數(shù)據(jù),那么在1145處此過程以一失敗指示結(jié)束。
再次參看圖11,在1110處,在成功的密碼數(shù)據(jù)驗證之后是應(yīng)用憑證評估策略以便(1)如果是分開存儲憑證數(shù)據(jù),那么就獲取此憑證數(shù)據(jù);(2)對加密憑證數(shù)據(jù)進行解密;及(3)判定憑證數(shù)據(jù)有效性。在1120處,按照所提供的憑證數(shù)據(jù)的類型(type)、此憑證數(shù)據(jù)的內(nèi)容(content)和所需的服務(wù)質(zhì)量(QoS)來評估憑證數(shù)據(jù)以確保此憑證數(shù)據(jù)是適當(dāng)?shù)?。?130處,執(zhí)行用戶驗證以確保憑證與實際發(fā)出此憑證請求的用戶相關(guān)聯(lián)。如果參考數(shù)字1100、1110、1120或1130的結(jié)果是失敗,那么在1145處此過程以一失敗指示結(jié)束。否則,在1140處此過程成功地結(jié)束。
現(xiàn)在參看圖12,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于應(yīng)用憑證評估策略的方法的流程圖。圖12為圖11的參考數(shù)字1110提供更多的細節(jié)。如上文所論述,可將憑證的獨特識別信息與此憑證數(shù)據(jù)的剩余部分分開存儲。因此,在1200處,做出關(guān)于憑證數(shù)據(jù)是否包括于此憑證中的判定。如果憑證數(shù)據(jù)未包括于憑證中,那么在1205處獲得此憑證數(shù)據(jù)。如果憑證數(shù)據(jù)包括于憑證中,那么在1210處做出關(guān)于所有所需的嵌入憑證(embedded credential)是否包括于此憑證中的判定。如果未包括所有這些憑證,那么在1215處獲得所需的憑證。如果包括所有所需的憑證,那么在1220處做出關(guān)于是否需要啟封此憑證中的任何數(shù)據(jù)的判定。將被啟封的憑證數(shù)據(jù)可包括嵌套憑證數(shù)據(jù)。如果必須啟封數(shù)據(jù),那么在1225處將其啟封。如果無需啟封數(shù)據(jù),那么在1230處做出關(guān)于憑證數(shù)據(jù)是否有效的判定。如果數(shù)據(jù)無效,那么在1240處此過程以一失敗指示結(jié)束。如果數(shù)據(jù)有效,那么在1240處此過程成功地結(jié)束。
現(xiàn)在參看圖13,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于評估憑證數(shù)據(jù)的方法的流程圖。圖13為圖11的參考數(shù)字1120提供更多的細節(jié)。在1300處,做出關(guān)于對于所產(chǎn)生的請求來說所提供的憑證數(shù)據(jù)的類型是否足夠的判定。換句話說,評估憑證的完整性。例如,如果憑證權(quán)威針對一個特定憑證請求要求一駕駛執(zhí)照,那么做出關(guān)于憑證數(shù)據(jù)是否包括駕駛執(zhí)照的判定。如果憑證數(shù)據(jù)不包括駕駛執(zhí)照,那么對于此請求來說此憑證數(shù)據(jù)是不足的。如果憑證數(shù)據(jù)不足,那么拒絕請求?;蛘?,可提示用戶輸入所需的憑證數(shù)據(jù)。
仍然參看圖13,在1305處做出關(guān)于所提供的憑證數(shù)據(jù)是否與請求匹配的判定。評估憑證數(shù)據(jù)的內(nèi)容。例如,假設(shè)用于特定憑證的憑證授予策略(credential-granting policy)要求有效的駕駛執(zhí)照。在這種情況下,在1300處判定憑證請求是否包括駕駛執(zhí)照,而在1305處判定此駕駛執(zhí)照是否期滿。如果此判定不成功地結(jié)束,那么在1325處返回一失敗指示。通過權(quán)威在登記處理期間和服務(wù)提供者在提供服務(wù)的過程中使用由圖13所說明的過程來評估憑證。權(quán)威創(chuàng)造憑證,且因此必須將數(shù)值賦予憑證數(shù)據(jù),例如QoS指示符。服務(wù)提供者提供服務(wù),且無需創(chuàng)造憑證(除非此服務(wù)提供者實際上是將提供憑證作為服務(wù)的權(quán)威)。因此,在1330處,做出關(guān)于是否需要創(chuàng)造憑證的判定。如果需要創(chuàng)造憑證,那么在1315處判定正被創(chuàng)造的憑證的服務(wù)質(zhì)量(QoS)。
作為使憑證數(shù)據(jù)生效的一部分,權(quán)威或服務(wù)提供者可能需要一定級別的用戶驗證。用戶驗證判定憑證是否和與冒充成真實用戶的其他人相對的實際發(fā)出請求的用戶相關(guān)聯(lián)或?qū)儆诖藢嶋H發(fā)出請求的用戶。用戶驗證可包括(例如)要求額外的生物測量辦法,例如指紋或視網(wǎng)膜掃描等等。用戶驗證也可包括被傳遞給已知屬于此用戶的手機的口令質(zhì)詢(password challenge)。
QoS是一種將關(guān)于如何創(chuàng)造憑證的信息傳輸給使用或訪問此憑證的其它實體的方式。QoS是對由權(quán)威或權(quán)威組所建立的策略聲明(policy statement)的參考。例如,憑證的QoS參數(shù)可能指示檢查用戶的駕駛執(zhí)照或出生證書的權(quán)威。不同的QoS可能指示檢查用戶的駕駛執(zhí)照、出生證書和社會安全卡(socialsecurity card)的權(quán)威。
憑證可包括一個指示由驗證此憑證的實體所執(zhí)行的用戶驗證的級別的QoS指示符。服務(wù)提供者可判定在憑證中指示的QoS不足以準(zhǔn)許服務(wù)請求。倘若如此,服務(wù)提供者可要求額外的用戶驗證。憑證也可包含關(guān)于能夠執(zhí)行額外的用戶驗證的用戶驗證服務(wù)器的信息。
根據(jù)本發(fā)明的另一個實施例,登錄憑證包括一個聲明用于用戶驗證的特定處理的嵌套憑證。換句話說,登錄憑證包括一個包括用于用戶驗證的QoS的嵌套憑證。此登錄憑證具有作為其憑證參數(shù)一部分嵌入的其自己的QoS參數(shù)。此登錄憑證也具有預(yù)定的使用期。例如,登錄憑證的QoS參數(shù)可在預(yù)定時間間隔或事件處要求特定形式的額外用戶驗證(例如指紋或其它生物測量)。
根據(jù)本發(fā)明的一個實施例,將一個第一憑證用來產(chǎn)生一個新的具有更多限制范疇的憑證。例如,可將授權(quán)觀看一網(wǎng)頁或信息單元的第一憑證用來創(chuàng)造僅在10分鐘內(nèi)提供對由第一網(wǎng)頁直接參考的第二網(wǎng)頁進行訪問的第二憑證。相同的第一憑證可用來創(chuàng)造提供對從當(dāng)前網(wǎng)頁直接參考的任何其它網(wǎng)頁進行訪問的第三憑證。在下文參看圖39提供了使用一個或多個憑證來創(chuàng)造另一個憑證的更多實例。
現(xiàn)在參看圖14,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于執(zhí)行用戶驗證的方法的流程圖。圖14為圖11的參考數(shù)字1130提供更多的細節(jié)。在1400處,做出關(guān)于是否需要用戶驗證的判定。此判定基于用戶提供的用戶驗證憑證和所要求的QoS。如果用戶提供的用戶驗證憑證提供的QoS少于所要求的QoS,那么就需要額外的用戶驗證。如果需要用戶驗證,那么在1405處做出關(guān)于如果創(chuàng)造一憑證,或如服務(wù)提供者所要求,那么用戶提供的或嵌套的憑證是否足以滿足所需的QoS的判定。如果這些憑證不夠充分,那么在1410處執(zhí)行用戶驗證。
現(xiàn)在參看圖15,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于使用憑證來獲得服務(wù)的方法的流程圖。圖15為圖8的參考數(shù)字810提供更多的細節(jié),其包括由用戶和服務(wù)器所執(zhí)行的動作。在1500處,用戶訪問環(huán)球網(wǎng)站。在1505處,將服務(wù)請求和與用戶相關(guān)的一個或多個憑證提供給服務(wù)提供者服務(wù)器。在1540處,服務(wù)器接收服務(wù)請求和憑證。在1550處,服務(wù)提供者如上文關(guān)于圖11之描述來處理這些憑證。在1555處,服務(wù)器判定是否成功處理了這些憑證。如果不成功地處理了憑證,那么在1560處拒絕被請求的服務(wù),并將服務(wù)拒絕1565發(fā)送給請求此服務(wù)的用戶。如果成功地處理了憑證,那么在1570處提供服務(wù)。在1510處,用戶判定服務(wù)請求是否成功。如果服務(wù)請求不成功,那么在1520處產(chǎn)生失敗指示,且在1525處結(jié)束此過程。如果服務(wù)請求成功,那么在1530處使用此服務(wù)。
圖16-33說明了在環(huán)球網(wǎng)上使用存儲在安全用戶數(shù)據(jù)存儲器中的用戶數(shù)據(jù)來增強隱私的本發(fā)明的實施例。圖17-23說明了使用存儲在安全用戶數(shù)據(jù)存儲器中的用戶數(shù)據(jù)的本發(fā)明的實施例。圖24-30A說明了采用用于用戶數(shù)據(jù)的憑證格式的本發(fā)明的實施例。此憑證格式為如上文關(guān)于圖9A和9B所說明的格式。圖30B-33說明了將智能卡用作安全用戶數(shù)據(jù)存儲器的本發(fā)明的實施例。
現(xiàn)在參看圖16,其中提供了根據(jù)本發(fā)明的一個實施例說明將多個身份分配給個體的方塊圖。如圖16所示,個體1600可具有用于不同目的的多個身份。個體1600可為如信用卡(1602,1618)等的支付權(quán)威的客戶、打高爾夫球的人1604、軍隊的成員1606和內(nèi)科病人1608。個體也可為學(xué)生1610、投資者1612、雇員1614、大學(xué)畢業(yè)生1616和汽車駕駛員1620。每一個身份識別1602-1620都連接到相關(guān)數(shù)據(jù)。例如,打高爾夫球的人身份1604的相關(guān)數(shù)據(jù)可包括打高爾夫球的人的差點(handicap)1624。內(nèi)科病人身份1608的相關(guān)數(shù)據(jù)可包括病人的病史1628。然而,打高爾夫球的人身份1604無需知道任何病史信息1628,而內(nèi)科病人身份1608無需知道高爾夫差點(golfhandicap)1624。
仍然參看圖16,一身份的一些或所有相關(guān)數(shù)據(jù)可能與另一個身份的相關(guān)數(shù)據(jù)相同。例如,學(xué)生身份1610的某些相關(guān)數(shù)據(jù)(例如學(xué)位課程)可與畢業(yè)生身份1616的相關(guān)數(shù)據(jù)相同。
現(xiàn)在參看圖17,其中提供了根據(jù)本發(fā)明的一個實施例說明將多組用戶數(shù)據(jù)分配給身份的方塊圖。如圖17所示,用戶數(shù)據(jù)1704-1720存儲在安全用戶數(shù)據(jù)存儲器1702中。安全用戶數(shù)據(jù)存儲器1702由用戶控制(用戶可控)。用戶數(shù)據(jù)1704-1720可包括加密數(shù)據(jù)和/或驗證數(shù)據(jù)。安全用戶數(shù)據(jù)存儲器1702可包含如手機、PDA或智能卡等的便攜式設(shè)備。安全用戶數(shù)據(jù)存儲器1702也可包含環(huán)球網(wǎng)服務(wù)器或其它計算機上的文件。
根據(jù)本發(fā)明的一個實施例,用戶數(shù)據(jù)的一部分是位映射的(bit-mapped)??苫?例如)在一個組或類中的全體成員來位映射用戶數(shù)據(jù)。例如,可根據(jù)用戶感興趣的書籍的類來位映射用戶的數(shù)據(jù)的一部分。
現(xiàn)在參看圖18,其中提供了根據(jù)本發(fā)明的一個實施例說明在開放網(wǎng)絡(luò)上在多方之間進行事務(wù)處理同時保持隱私的方塊圖。圖18說明了從賣方環(huán)球網(wǎng)站購買產(chǎn)品。如先前關(guān)于圖17的參考數(shù)字1702所說明,安全用戶數(shù)據(jù)存儲器1802存儲用于身份的多組用戶數(shù)據(jù)。安全用戶數(shù)據(jù)存儲器1802可存在于臺式計算機、智能卡、PDA等等上。在1826處,用戶向在支付代理的環(huán)球網(wǎng)站處的支付代理1(1810)登記。與此用戶的登記特定相關(guān)的用戶數(shù)據(jù)被存儲在安全用戶數(shù)據(jù)存儲器1802中。支付代理1(1810)判定是否需要用戶驗證。如果需要用戶驗證,那么支付代理1(1810)也判定所需的用戶驗證級別。此外,支付代理1(1810)判定是否必須加密與用戶登記特定相關(guān)的用戶數(shù)據(jù)。
根據(jù)本發(fā)明的實施例,用戶登記數(shù)據(jù)包括用于隨后訪問服務(wù)提供者環(huán)球網(wǎng)站的用戶驗證信息。換句話說,無論何時將用戶數(shù)據(jù)組(user data set)用來訪問服務(wù)提供者環(huán)球網(wǎng)站,都將服務(wù)提供者特定(service provider-specific)用戶數(shù)據(jù)或?qū)Υ擞脩魯?shù)據(jù)的參考提供給此相同的服務(wù)提供者環(huán)球網(wǎng)站。特定服務(wù)提供者環(huán)球網(wǎng)站的用戶驗證要求將判定是否需要額外的用戶驗證。例如,所存儲的用戶驗證數(shù)據(jù)可能滿足對基于因特網(wǎng)的電子郵件網(wǎng)站的重復(fù)訪問,但是登錄一個軍事環(huán)球網(wǎng)站可能在每次訪問此網(wǎng)站時都會要求諸如生物測量的額外用戶驗證措施,而不管所存儲的用戶驗證數(shù)據(jù)。
仍然參看圖18,在1828處,將相同的用戶數(shù)據(jù)組用來向航運代理1818登記。因此,航運代理環(huán)球網(wǎng)站1818執(zhí)行任何所需的數(shù)據(jù)驗證和/或用戶數(shù)據(jù)的加密,并將此用戶數(shù)據(jù)返回給安全用戶數(shù)據(jù)存儲器1802。這里,安全用戶數(shù)據(jù)存儲器1802包括一個已被用于向兩個環(huán)球網(wǎng)站(1810,1818)登記的用戶數(shù)據(jù)組。在1830處,將用戶數(shù)據(jù)組用來在賣方A的環(huán)球網(wǎng)站(1806)處購買物品。一旦選擇出購買的物品,賣方A 1806將用戶數(shù)據(jù)發(fā)送給支付代理1(1810)以供支付授權(quán)。如果所需的用戶數(shù)據(jù)被加密,那么支付代理1(1810)對用戶數(shù)據(jù)進行解密。支付代理1(1810)結(jié)合賣方提供的事務(wù)處理細節(jié)來使用此用戶數(shù)據(jù)以判定是否授權(quán)此購買。在1832處,支付代理1(1810)將一授權(quán)指示發(fā)送給賣方A1806。接著,賣方A 1806創(chuàng)造一個包括訂購信息和來自安全用戶數(shù)據(jù)存儲器1802的航運信息的履行記錄。在1838處,賣方A 1806將此履行記錄發(fā)送給履行公司(Fulfillment Company)1814,并且履行公司1814使用來自源于用戶數(shù)據(jù)的履行記錄的航運信息來履行此訂購。在1840處,履行公司1814將所購買的貨品傳遞給航運代理1818。在1842處,航運代理將貨品遞送到來自安全數(shù)據(jù)存儲器1(1802)的航運信息中的地址。
可以用相似的方式連接許多其他設(shè)備或子系統(tǒng)(未圖示)。同樣,為實踐本發(fā)明無需使圖7所示的所有設(shè)備全都存在,如下文所論述。此外,可以用不同于圖7所示的方式來互連設(shè)備和子系統(tǒng)??蓪嵤┍景l(fā)明的代碼可操作地設(shè)置在系統(tǒng)存儲器中或存儲在如固定盤、軟盤或CD-ROM等的存儲媒體上。
根據(jù)本發(fā)明的一個實施例,環(huán)球網(wǎng)站維護用戶概況。概況的一個示范性用途是跟蹤用戶在特定環(huán)球網(wǎng)站處的活動。此概況與賣方A 1806維護關(guān)于用戶活動性質(zhì)的信息。例如,此概況可保留關(guān)于訪問頻率、先前購買的物品、已檢驗但未購買的物品、優(yōu)選航運方法和優(yōu)選支付方法的信息,因而允許賣方A 1806提供可適應(yīng)特定用戶數(shù)據(jù)組的購買模式的智能化服務(wù)。
上文所描述的關(guān)于安全用戶數(shù)據(jù)存儲器1(1802)中的用戶數(shù)據(jù)組的相同過程同樣可應(yīng)用于安全用戶數(shù)據(jù)存儲器2(1804)中的用戶數(shù)據(jù)組。
現(xiàn)在參看圖19,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于在開放網(wǎng)絡(luò)上在多方之間進行事務(wù)處理同時保持隱私的方法的流程圖。在1900處,用戶接收用戶可控存儲設(shè)備或用以控制對在環(huán)球網(wǎng)上此種設(shè)備的訪問的密鑰。在1905處,做出關(guān)于是否到了向服務(wù)提供者登記的時間的判定。當(dāng)?shù)搅讼蚍?wù)提供者登記的時間,在1910處將由登記過程引起的用戶數(shù)據(jù)存儲在用戶可控安全存儲設(shè)備上??蓪δ承┯脩魯?shù)據(jù)進行加密。此外,可密碼地驗證某些用戶數(shù)據(jù)。在1915處,由用戶做出關(guān)于是否到了使用存儲在用戶可控安全存儲設(shè)備上的用戶數(shù)據(jù)的時間的判定。當(dāng)?shù)搅耸褂糜脩魯?shù)據(jù)的時間,在1920處將存儲在用戶可控安全存儲設(shè)備上的用戶數(shù)據(jù)用來獲得一個或多個服務(wù)。在1925處,做出關(guān)于用戶數(shù)據(jù)是否仍然有效的判定。如果用戶數(shù)據(jù)仍然有效,那么在1915處繼續(xù)執(zhí)行。如果用戶數(shù)據(jù)不再有效,那么在1930處放棄此用戶數(shù)據(jù)。
根據(jù)本發(fā)明的一個實施例,通過動態(tài)地組合對新服務(wù)的請求與從先前登記中獲得的至少一個用戶數(shù)據(jù)組來獲取獲得新服務(wù)所需的用戶數(shù)據(jù)。例如,基于在環(huán)球網(wǎng)站購買的書籍與已檢驗但未購買的書籍,在第一書籍賣方環(huán)球網(wǎng)站處選購的用戶可顯示出一個或多個對屬于特定類的書籍的偏好。此第一書籍賣方可將此信息保存在概況中。當(dāng)用戶在第二書籍賣方環(huán)球網(wǎng)站選購時,可能想要使用此信息的全部或一部分。因此,由用戶在第二書籍賣方環(huán)球網(wǎng)站發(fā)出的對服務(wù)的服務(wù)請求將被自動地與當(dāng)在第一書籍賣方環(huán)球網(wǎng)站選購時所使用的概況信息組合,由此而創(chuàng)造了供用戶在此第二書籍賣方環(huán)球網(wǎng)站選購時使用的新的概況。
現(xiàn)在參看圖20,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于使用存儲在用戶可控設(shè)備上的用戶數(shù)據(jù)來獲得服務(wù)的方法的流程圖。圖20為圖19的參考數(shù)字1920提供更多細節(jié)。在2000處,用戶訪問一個環(huán)球網(wǎng)站。在2005處,將服務(wù)請求和相關(guān)用戶數(shù)據(jù)提供給服務(wù)提供者服務(wù)器。在2030處,服務(wù)器接收服務(wù)請求和相關(guān)用戶數(shù)據(jù)。在2040處,服務(wù)提供者處理用戶數(shù)據(jù)以判定所提供的用戶數(shù)據(jù)是否足以準(zhǔn)許此請求。在2045處,服務(wù)器判定是否成功地處理了用戶數(shù)據(jù)。如果未成功處理用戶數(shù)據(jù),那么在2050處拒絕被請求的服務(wù),并將服務(wù)拒絕2055發(fā)送給請求此服務(wù)的用戶。如果成功處理了用戶數(shù)據(jù),那么在2060處提供服務(wù)。在2010處,用戶判定服務(wù)請求是否成功。如果服務(wù)請求不成功,那么在2015處產(chǎn)生一個失敗指示,并在2075處結(jié)束此過程。如果服務(wù)請求成功,那么在2025處使用服務(wù)。
圖21和22為圖20的參考數(shù)字2060提供更多細節(jié)。圖21說明了通過基于存儲在用戶可控設(shè)備上的用戶數(shù)據(jù)來定制環(huán)球網(wǎng)站而提供服務(wù),而圖22說明了通過使用存儲在用戶可控設(shè)備上的用戶數(shù)據(jù)來購買產(chǎn)品并將產(chǎn)品遞送給用戶而提供服務(wù)。這些提供服務(wù)的實例不意欲以任何方式為限制性的。所屬領(lǐng)域的技術(shù)人員將承認可提供許多其它形式的服務(wù)。
現(xiàn)在參看圖21,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于提供服務(wù)的方法的流程圖。圖21為圖20的參考數(shù)字2060提供更多細節(jié)。在2100處,接收用戶數(shù)據(jù)。在2105處,基于存儲在用戶可控設(shè)備上的用戶數(shù)據(jù)來定制在環(huán)球網(wǎng)站上的一個或多個網(wǎng)頁。
現(xiàn)在參看圖22,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于提供服務(wù)的方法的流程圖。圖22為圖20的參考數(shù)字2060提供更多細節(jié)。在2200處,賣方使用來自用戶可控安全設(shè)備的支付數(shù)據(jù)來執(zhí)行支付授權(quán)。在2205處,賣方創(chuàng)造一個包括訂購信息和來自用戶可控安全設(shè)備的航運信息的履行記錄。在2210處,賣方將履行記錄發(fā)送給履行公司。在2215處,履行公司使用來自源于用戶數(shù)據(jù)的履行記錄的航運信息來履行此訂購。在2220處,履行公司將所購買的貨品傳遞給航運代理。在2225處,航運代理將貨品遞送到來自用戶可控安全設(shè)備的航運信息中的地址。
現(xiàn)在參看圖23,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于使用來自安全設(shè)備的支付數(shù)據(jù)來執(zhí)行支付授權(quán)的方法的流程圖。圖23為圖22的參考數(shù)字2200提供更多細節(jié)。在2300處,賣方使用源于安全設(shè)備的支付數(shù)據(jù)來將支付請求發(fā)送給支付結(jié)算代理(payment-clearing agent),并將如待收費數(shù)額等的事務(wù)處理細節(jié)包括在此請求中。在2305處,支付結(jié)算代理接收支付請求和待收費數(shù)額。在2310處,支付結(jié)算代理發(fā)送一個響應(yīng)。例如,支付結(jié)算代理可發(fā)送事務(wù)處理ID和經(jīng)收費數(shù)額。取決于此響應(yīng)的內(nèi)容,此響應(yīng)的全部或一部分可包含密碼地加密的消息。
圖24-30A說明了采用用于用戶數(shù)據(jù)的憑證格式的本發(fā)明的實施例。此憑證格式如上文關(guān)于圖9A和9B所說明的格式。提供憑證格式的使用僅為達到說明性目的。所屬領(lǐng)域的技術(shù)人員將承認可使用其它格式。
現(xiàn)在參看圖24,其中提供了根據(jù)本發(fā)明的一個實施例說明將多個憑證分配給身份的方塊圖。除了服務(wù)憑證2404-2420存儲在安全設(shè)備2402中之外,圖24類似于圖17。換句話說,圖24的服務(wù)憑證2404-2420直接或間接地基于并包含圖17的用戶數(shù)據(jù)1704-1720。
現(xiàn)在參看圖25,其中提供了根據(jù)本發(fā)明的一個實施例說明在開放網(wǎng)絡(luò)上使用服務(wù)憑證在多方之間進行事務(wù)處理同時保持隱私的方塊圖。圖25說明了從賣方環(huán)球網(wǎng)站購買產(chǎn)品。安全服務(wù)憑證存儲器2502存儲用于身份的多組服務(wù)憑證,如先前關(guān)于圖24的參考數(shù)字2402所說明。安全服務(wù)憑證存儲器2502可存在于臺式計算機、智能卡、PDA等等上。在2526處,用戶向在支付代理的環(huán)球網(wǎng)站處的支付代理1(2510)登記。與此用戶登記特定相關(guān)的服務(wù)憑證被存儲在安全服務(wù)憑證存儲器2502中。支付代理1(2510)判定是否需要用戶驗證。如果需要用戶驗證,那么支付代理1(2510)也判定所需的用戶驗證級別。此外,支付代理1(2510)判定是否必須加密包括于與用戶登記特定相關(guān)的服務(wù)憑證中的用戶數(shù)據(jù)。
根據(jù)本發(fā)明的實施例,用戶數(shù)據(jù)包括用于隨后訪問服務(wù)提供者環(huán)球網(wǎng)站的用戶驗證信息。換句話說,無論何時將服務(wù)憑證用來訪問服務(wù)提供者環(huán)球網(wǎng)站,將權(quán)威特定驗證數(shù)據(jù)或?qū)Υ藬?shù)據(jù)的參考提供給此相同的服務(wù)提供者環(huán)球網(wǎng)站。特定服務(wù)提供者環(huán)球網(wǎng)站的用戶驗證要求將判定是否需要額外的用戶驗證。例如,所存儲的用戶驗證數(shù)據(jù)可能滿足對基于因特網(wǎng)的電子郵件網(wǎng)站的重復(fù)訪問,但是登錄一個軍事環(huán)球網(wǎng)站可能在每次訪問此網(wǎng)站時都會要求諸如生物測量的額外用戶驗證措施,而不管所存儲的用戶驗證數(shù)據(jù)。
仍然參看圖25,在2528處,用戶2500向航運代理2518登記,其提供如航運地址等的特定數(shù)據(jù)。在2528處當(dāng)向航運代理2518登記所提供的數(shù)據(jù)可能完全或部分地不同于在2526處當(dāng)向支付代理2510登記所提供的數(shù)據(jù)。因此,航運代理環(huán)球網(wǎng)站2518執(zhí)行任何所需的數(shù)據(jù)驗證和/或?qū)Ψ?wù)憑證的加密,并將服務(wù)憑證返回給安全服務(wù)憑證存儲器2502。這里,安全服務(wù)憑證存儲器2502包括通過向充當(dāng)權(quán)威的兩個環(huán)球網(wǎng)站(2510,2518)登記而創(chuàng)造的服務(wù)憑證組。在2530處,將服務(wù)憑證組用來獲得如在賣方A(2506)的環(huán)球網(wǎng)站處選購等的服務(wù)。一旦選擇出購買的物品,賣方A 2506將從安全服務(wù)憑證存儲器處獲得的服務(wù)憑證發(fā)送給支付代理1(2510)以供支付授權(quán)。如果任何所需的數(shù)據(jù)被加密,那么支付代理1(2510)對任何包括于服務(wù)憑證中的數(shù)據(jù)進行解密。支付代理(2510)結(jié)合賣方提供的事務(wù)處理細節(jié)來使用包括于服務(wù)憑證中的數(shù)據(jù)以判定是否授權(quán)此購買。在2532處,支付代理1(2510)將授權(quán)指示發(fā)送給賣方A 2506。接著,賣方A 2506創(chuàng)造一個包括訂購信息和從安全服務(wù)憑證存儲器2502處獲得的航運信息的履行消息。根據(jù)本發(fā)明的一個實施例,履行消息包含一個履行憑證。在2538處,賣方A 2506將此履行消息發(fā)送給履行公司2514,并且履行公司2514使用來自此履行消息的航運信息來履行訂購。在2540處,履行公司2514將所購買的貨品傳遞給航運代理2518。在2542處,航運代理將貨品遞送到源于安全數(shù)據(jù)存儲器1(2502)的航運信息中的地址。
現(xiàn)在參看圖26,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于在開放網(wǎng)絡(luò)上使用服務(wù)憑證在多方之間進行事務(wù)處理同時保持隱私的方法的流程圖。在2600處,生成一個服務(wù)憑證。在2605處,做出關(guān)于是否到了使用憑證的時間的判定。當(dāng)?shù)搅耸褂梅?wù)憑證的時間,在2610處將此服務(wù)憑證用來獲得服務(wù)。在2615處,做出關(guān)于服務(wù)憑證是否仍然有效的判定。如果服務(wù)憑證仍然有效,那么在2620處做出關(guān)于是否必須更新服務(wù)憑證的判定。如果必須更新服務(wù)憑證,那么在2625處對其更新。當(dāng)服務(wù)憑證仍然有效時,在2605處繼續(xù)執(zhí)行。如果服務(wù)憑證不再有效,那么在2630處放棄此服務(wù)憑證。
現(xiàn)在參看圖27,其中提供了根據(jù)本發(fā)明的一個實施例說明使用嵌套憑證的方塊圖。圖27說明了將圖9B的憑證格式用于參看圖25所論述的實例。在此實例中,2002年1月1日的用戶開始環(huán)球網(wǎng)體驗(web experience)。登錄憑證2700允許此用戶訪問環(huán)球網(wǎng)。登錄憑證2700包括兩個憑證參數(shù)2808。“類型”參數(shù)指示此憑證是“登錄”憑證,且憑證數(shù)據(jù)是用戶概況。“QoS”參數(shù)指示一個(用戶名、口令)已用來驗證用戶的組合?!捌跐M”參數(shù)也指示憑證在2002年1月1日期滿。憑證數(shù)據(jù)2710包括位映射的客戶概況,且不存在密封憑證數(shù)據(jù)2712。登錄憑證2700也包括嵌套憑證2714。參考數(shù)字2702說明了嵌套憑證2714的展開圖。
嵌套憑證(2714,2702)包括支付憑證2716和航運代理憑證2718。支付憑證參數(shù)2724指示此憑證是信用卡支付憑證。憑證數(shù)據(jù)2726包括此憑證的持有者被認可的購買級別。購買級別的實例包括(例如)特定最大值的旅館支付或書籍支付。密封憑證數(shù)據(jù)2728包括如帳號和實際信用限額等的卡持有者細節(jié)。
航運代理憑證參數(shù)2736指示此憑證是“航運”憑證。憑證數(shù)據(jù)2738包括客戶的最近航運代理位置和服務(wù)類型。密封憑證數(shù)據(jù)2740包括航運代理帳號和航運地址。
現(xiàn)在參看圖28A,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于在開放網(wǎng)絡(luò)上使用服務(wù)憑證在多方之間進行事務(wù)處理同時保持隱私的方法的流程圖。在2800處,接收安全服務(wù)憑證存儲設(shè)備。在2805處,做出關(guān)于是否到了向權(quán)威登記的時間的判定。當(dāng)?shù)搅说怯浀臅r間,在2810處基于在登記請求中提供的用戶信息來生成一個服務(wù)憑證。在2815處,存儲憑證密碼和憑證權(quán)威同等組ID??蓪⑺鼈兇鎯υ谟脩艨煽貍€人設(shè)備中。用戶可控個人設(shè)備的實例包括(例如)智能卡、手機、個人數(shù)字助理(PDA)等等?;蛘?,可將它們存儲在環(huán)球網(wǎng)柜(Weblocker)中,并可將將此柜的數(shù)字密鑰存儲在安全設(shè)備中。在2820處,做出關(guān)于是否到了使用服務(wù)憑證的時間的判定。當(dāng)?shù)搅耸褂梅?wù)憑證的時間,在2825處將此服務(wù)憑證用來獲得服務(wù)。在2830處,做出關(guān)于服務(wù)憑證是否仍然有效的判定。如果服務(wù)憑證仍然有效,那么在2835處做出關(guān)于是否必須更新服務(wù)憑證的判定。如果必須更新服務(wù)憑證,那么在2840處對其更新。當(dāng)憑證仍然有效時,在2820處繼續(xù)執(zhí)行。如果憑證不再有效,那么在2845處放棄此憑證。
現(xiàn)在參看圖28B,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于使用存儲在用戶可控設(shè)備上的服務(wù)憑證來獲得服務(wù)的方法的流程圖。圖28B為圖28A的參考數(shù)字2825提供更多細節(jié)。圖28B類似于圖20,除了圖28B使用服務(wù)憑證進行說明,而圖20使用用戶數(shù)據(jù)進行說明。
現(xiàn)在參看圖29,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于提供服務(wù)的方法的流程圖。圖29為圖28B的參考數(shù)字2850提供更多細節(jié)。在2900處,賣方使用嵌套支付憑證來執(zhí)行支付授權(quán),其中此嵌套支付憑證從與所購買的物品特定相關(guān)的客戶服務(wù)憑證中提取。在2905處,賣方創(chuàng)造一個包括訂購信息和從客戶服務(wù)憑證處提取的航運憑證的履行消息。根據(jù)本發(fā)明的一個實施例,履行消息包含履行憑證。在2910處,賣方將此履行消息發(fā)送給履行公司。在2915處,履行公司使用從履行消息中提取的嵌套航運憑證來履行此訂購。在2920處,履行公司將所購買的貨品傳遞給航運代理。在2925處,航運代理將貨品遞送到在憑證的密封部分中被加密的地址處。
在上文實例中的憑證格式的使用并不意欲以任何方式為限制性的。所屬領(lǐng)域的技術(shù)人員將承認可使用其它數(shù)據(jù)格式。
根據(jù)本發(fā)明的一個實施例,不是通過履行公司來履行訂購,而是在創(chuàng)造了履行消息之后(圖29的參考數(shù)字2905),將履行消息存儲在安全服務(wù)憑證存儲設(shè)備上。根據(jù)本發(fā)明的一個實施例,將履行消息存儲在如PDA、手機或智能卡等的便攜式設(shè)備上。根據(jù)本發(fā)明的另一個實施例,將包含履行憑證的環(huán)球網(wǎng)柜的數(shù)字密鑰存儲在設(shè)備上。接著,用戶將安全服務(wù)憑證存儲設(shè)備帶到賣方的商店,并親自將服務(wù)憑證遞交給賣方。賣方處理此憑證并執(zhí)行任何所需的用戶驗證。一旦適當(dāng)?shù)仳炞C了用戶,賣方就將所購買的物品提供給客戶。
現(xiàn)在參看圖30A,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于使用從服務(wù)憑證中提取的嵌套支付憑證來執(zhí)行支付授權(quán)的方法的流程圖。圖30A為圖29的參考數(shù)字2900提供更多細節(jié)。在3000處,賣方使用來自服務(wù)憑證的嵌套支付憑證來將支付請求發(fā)送給支付結(jié)算代理,并將如收費數(shù)額等的事務(wù)處理細節(jié)包括在此請求中。在3005處,支付結(jié)算代理對嵌套憑證的密封部分進行解密。在3010處,支付結(jié)算代理發(fā)送一個響應(yīng)。例如,結(jié)算代理可發(fā)送一個包括事務(wù)處理標(biāo)識符和收費數(shù)額的響應(yīng)。取決于響應(yīng)的內(nèi)容,此響應(yīng)的全部或一部分可包含密碼地加密的消息。
圖30B-33說明了將智能卡用作安全用戶數(shù)據(jù)存儲器的本發(fā)明的實施例。
同典型的臺式計算機等相比較,資源約束(resource-constrained)設(shè)備通常被認為是那些在存儲和/或計算能力或速度方面相對受限制的設(shè)備。雖然參考智能卡描述下文所論述的特定實施,但是本發(fā)明可配合其它資源約束設(shè)備一起使用,這些其它資源約束設(shè)備包括(但不限于)蜂窩式電話、邊界掃描設(shè)備、現(xiàn)場可編程設(shè)備、個人數(shù)字助理(PDA)和尋呼機,以及其它微型或小型占據(jù)面積設(shè)備(footprint device)。也可將本發(fā)明用在非資源約束設(shè)備上。
為了此揭示目的起見,術(shù)語“處理器”可用來指實體計算機(physicalcomputer)或虛擬計算機。
現(xiàn)在參看圖30B,其中提供了根據(jù)本發(fā)明的一個實施例說明將多組用戶數(shù)據(jù)分配給身份的方塊圖。除了將智能卡3050用作安全數(shù)據(jù)存儲器(圖17的參考數(shù)字1702)以外,圖31A類似于圖17。
現(xiàn)在參看圖31,其中提供了根據(jù)本發(fā)明的一個實施例在開放網(wǎng)絡(luò)上使用智能卡在多方之間進行事務(wù)處理的方塊圖。除了將智能卡(3102,3104)用作安全用戶數(shù)據(jù)存儲器(圖18的參考數(shù)字1802和1804)以外,圖31類似于圖18。
現(xiàn)在參看圖32,其中提供了說明可用來為如智能卡等的資源約束設(shè)備提供安全用戶訪問控制功能的小程序開發(fā)的方塊圖。以類似于開發(fā)JavaTM程序的方式開始開發(fā)用于如智能卡3240等的資源約束設(shè)備的小程序。換句話說,開發(fā)者編寫一個或多個JavaTM類,并用JavaTM編譯器來編譯源代碼以產(chǎn)生一個或多個類文件3210。例如,可在使用模擬工具來模擬卡3240上的環(huán)境的工作站上運行、測試和調(diào)試此小程序。當(dāng)預(yù)備好將此小程序下載到卡3240時,用轉(zhuǎn)換器3214將類文件3210轉(zhuǎn)換成轉(zhuǎn)換過的小程序(CAP)文件3216。轉(zhuǎn)換器3214可以是由臺式計算機執(zhí)行的JavaTM應(yīng)用程序。除了待轉(zhuǎn)換的類文件3210外,轉(zhuǎn)換器3214還可把一個或多個輸出文件3212當(dāng)作其輸入。輸出文件3212包含用于由正被轉(zhuǎn)換的類所輸入的其它程序包的內(nèi)容的命名或鏈接信息。
通常,CAP文件3216包括定義于單一JavaTM程序包中的所有的類和界面并由8位字節(jié)流來表示。通過讀入兩個或四個連續(xù)的8位字節(jié)來分別構(gòu)造所有的16位和32位量。其中,CAP文件3216包括常量池組件(或“常量池”)3218,其與方法組件3220被裝入分別的程序包內(nèi)。常量池3218可包括各種類型的常量,這些常量包括當(dāng)鏈接程序時或?qū)⒊绦蛳螺d到智能卡3240時或在智能卡執(zhí)行此程序時所解析的方法和域引用(field reference)。方法組件3220指定將被下載到智能卡3240且隨后由此智能卡執(zhí)行的應(yīng)用程序指令。
在轉(zhuǎn)換之后,可將CAP文件3216存儲在如硬盤驅(qū)動器、軟盤、光存儲媒體、閃存設(shè)備或某些其他適當(dāng)媒體等的計算機可讀媒體3217上?;蛘?,此計算機可讀媒體可呈載波的形式,例如網(wǎng)絡(luò)數(shù)據(jù)傳輸或射頻(RF)數(shù)據(jù)鏈路。
接著,可以將CAP文件3216復(fù)制或傳輸?shù)饺缇哂型鈬ㄆx取器3224的臺式計算機等的終端3222??ㄆx取器3224允許將信息寫入智能卡3240并從智能卡3240中檢索信息。卡片讀取器3224包括智能卡3240可插入的卡片端口(未圖示)。一旦插入,來自一連接器的觸點壓抵在智能卡3240上的表面連接區(qū)域,以提供電力并允許與此智能卡進行通信,雖然在其他實施中可使用非接觸式的通信。終端3222也包括將供傳輸?shù)腃AP文件3216載入卡3240的安裝工具3226。
智能卡3240具有一個包括一組觸點的輸入/輸出(I/O)端口3242,通過這些觸點可提供程序、數(shù)據(jù)和其它通信???240也包括一個安裝工具3246,其用于接收CAP文件3216的內(nèi)容并預(yù)備在卡3240上執(zhí)行的小程序。可將安裝工具3246實施為(例如)JavaTM程序,并可在卡3240上執(zhí)行其???240也具有存儲器,包括如RAM 3250等的易失性存儲器???240也具有ROM 3252和非易失性存儲器,如EEPROM 3254??蓪⒂煽刂破?244預(yù)備的小程序存儲在EEPROM3254中。
在一個特定實施中,由在微處理器3248上運行的虛擬機3249來執(zhí)行小程序??煞Q為Java CardTM虛擬機的虛擬機3249無需載入或操作CAP文件3216。相反,Java CardTM虛擬機3249執(zhí)行先前被作為CAP文件3216的一部分存儲的小程序代碼。Java CardTM虛擬機3249與安裝工具3246之間的功能性分割允許此虛擬機與此安裝工具兩者都保持相對小。
通常,為如智能卡3240等的資源約束平臺編寫的實施和小程序遵循JavaTM平臺程序包的標(biāo)準(zhǔn)規(guī)則。T.Lindholm等人的JavaTM虛擬機規(guī)范(JavaTMVirtualMachine Specfication)(1997)和K.Arnold等人的JavaTM程序設(shè)計語言第二版(JavaTMProgramming Language Second Edition)(1998)中描述了JavaTM虛擬機和JavaTM程序設(shè)計語言??蓪⒂糜谥悄芸ㄆ脚_的應(yīng)用程序編程接口(API)類作為包括程序包指名(package designation)的JavaTM源文件來編寫,其中一個程序包包括若干編譯單元并具有一個獨特的名稱。程序包機制用來標(biāo)識并控制對類、域和方法的訪問。Java CardTMAPI允許為一個啟用Java CardTM(JavaCardTM-enabled)的平臺編寫的應(yīng)用程序在任何其它啟用Java CardTM的平臺上運行。此外,Java CardTMAPI可與如ISO 7816等的正式國際標(biāo)準(zhǔn)和如Europay/MasterCard/Visa(EMV)等的工業(yè)特定標(biāo)準(zhǔn)兼容。
雖然已將在微處理器3248上運行的虛擬機3249描述為一種用于在智能卡3240上執(zhí)行字節(jié)代碼的實施,但是在替代實施中,可以代替地使用特殊應(yīng)用集成電路(ASIC)或硬件與固件的組合。
參看圖32,控制器3244使用安裝工具3246,以供接收CAP文件3216的內(nèi)容并預(yù)備將由處理器3248執(zhí)行的小程序。例如,可將安裝工具3246實施為已經(jīng)被適當(dāng)?shù)剞D(zhuǎn)換以便在智能卡3240上執(zhí)行的JavaTM程序。在下文描述中,假定控制器3244包含在微處理器3248上運行的虛擬機程序3249。虛擬機3249無需載入或操作CAP文件3216。相反,虛擬機3249執(zhí)行CAP文件3216中的小程序代碼。虛擬機3249與安裝工具3246之間的功能性分割允許此虛擬機與此安裝工具兩者都保持相對小。在替代實施中,例如,可將控制器3244硬連線為特殊應(yīng)用集成電路(ASIC)或可將其實施為硬件與固件的組合。
如圖33A所示,計算機3322裝備有一個用于接收圖32的卡3240的卡片讀取器3324。可將計算機3322連接到與如服務(wù)器3347等的復(fù)數(shù)個其它計算設(shè)備進行通信的數(shù)據(jù)通信網(wǎng)絡(luò)3345。可在數(shù)據(jù)通信網(wǎng)絡(luò)3345上使用卡裝備設(shè)備來將數(shù)據(jù)和軟件載入到智能卡上,此性質(zhì)的下載可包括將被載入到智能卡上的小程序或其它程序,以及概況數(shù)據(jù)、數(shù)字貨幣和根據(jù)各種電子商務(wù)及其它應(yīng)用而使用的其它信息??蓪⒂脕砜刂瓶ㄆx取器與智能卡的處理元件的指令和數(shù)據(jù)存儲在易失性或非易失性存儲器中,或可在通信鏈路上將它們(例如)作為包含指令和/或數(shù)據(jù)的載波而直接接收。另外,例如,網(wǎng)絡(luò)3345可以是一種LAN或一種諸如因特網(wǎng)或其它網(wǎng)絡(luò)的WAN。
根據(jù)本發(fā)明的實施例,可將多種用戶數(shù)據(jù)格式用來將用戶數(shù)據(jù)存儲在相同的安全用戶存儲設(shè)備中。如圖33B所示,安全用戶存儲設(shè)備TBD使用五種用戶數(shù)據(jù)格式服務(wù)憑證(3340、3344、3356、3358)、cookie(3342、3350)、數(shù)據(jù)格式A(3346)、文本文件(3348、3354)和數(shù)據(jù)格式B(3352)。所屬領(lǐng)域的技術(shù)人員將承認其他格式也是可能的。
圖33B是根據(jù)本發(fā)明的一個實施例說明將各種類型用戶數(shù)據(jù)分配給身份的方塊圖。
隱私保護登錄機制圖34-41說明了在環(huán)球網(wǎng)上使用隨機化用戶ID來保護用戶身份的本發(fā)明的實施例。
為了此揭示目的起見,術(shù)語“隨機化ID”指的是一個偽隨機標(biāo)識符。
現(xiàn)在參看圖34,其中提供了根據(jù)本發(fā)明的一個實施例說明標(biāo)識符的方塊圖。標(biāo)識符3400包括身份識別服務(wù)器ID 3405和隨機化ID 3410。身份識別服務(wù)器ID3405標(biāo)識一個由一個或多個聯(lián)合身份服務(wù)器組成的集合,該集合包括一個包含與隨機化ID 3410相關(guān)聯(lián)的額外信息的身份服務(wù)器。根據(jù)本發(fā)明的實施例,通過計算與ID相關(guān)聯(lián)且存儲在聯(lián)合身份識別服務(wù)器中的一個服務(wù)器中的數(shù)據(jù)來得到身份識別隨機化ID 3410。根據(jù)本發(fā)明的一個實施例,此計算包含使用一種密碼算法,在這種情況下,ID 3410包含如先前關(guān)于圖9A的參考數(shù)字915和圖9B的參考數(shù)字945來描述的所存儲數(shù)據(jù)的密碼。
現(xiàn)在參看圖35,其中提供了根據(jù)本發(fā)明的一個實施例說明使用利用隨機化用戶標(biāo)識符的聯(lián)合身份識別服務(wù)器和聯(lián)合用戶驗證服務(wù)器以便可訪問服務(wù)同時保持隱私的方塊圖。圖35說明了兩種機制,通過這兩種機制,用戶3530使用連接到客戶主機3500的個人設(shè)備(3540、3545、3550)以便可訪問一個或多個服務(wù)提供者服務(wù)器3515。這兩種機制都使用圖34的隨機化ID來識別用戶,由此保護用戶隱私。第一機制采用與客戶主機3500通信的門戶3505。此門戶執(zhí)行身份識別和用戶驗證功能,以允許經(jīng)由如智能卡3540、PDA 3545或手機3550等的個人設(shè)備連接到服務(wù)提供者3515。第二機制允許直接從個人設(shè)備(3540、3545、3550)訪問服務(wù)或從個人設(shè)備(3540、3545、3550)經(jīng)由客戶主機3500訪問服務(wù)。
客戶主機3500包含一個能夠接收用戶輸入并提供用戶信息的終端或信息站(kiosk)??蛻糁鳈C3500提供了到環(huán)球網(wǎng)的用戶接口??蓪⒖蛻糁鳈C3500配置為具有一個卡片讀取器以接受智能卡。
服務(wù)門戶3505包括一個如適應(yīng)于開始環(huán)球網(wǎng)體驗的網(wǎng)頁等的用戶接口。服務(wù)門戶3505是用戶獲得登錄憑證的位置。此登錄憑證可包括所執(zhí)行的用戶驗證的QoS的指示和時間戳。服務(wù)提供者可能需要額外的用戶驗證。
服務(wù)提供者服務(wù)器3515表示在環(huán)球網(wǎng)上可訪問的所有環(huán)球網(wǎng)服務(wù)器,通過服務(wù)門戶3505來對其進行參考。服務(wù)提供者服務(wù)器3515包含在環(huán)球網(wǎng)上可訪問的沒有它們自己的門戶但要求用戶登錄的所有服務(wù)。為了此揭示目的起見,“登錄”指的是對特定服務(wù)器結(jié)合提供一服務(wù)來處理如用戶概況等的用戶特定信息的要求。例如,服務(wù)提供者服務(wù)器3515可包括憑證權(quán)威、航運代理、支付代理、訂購履行公司等等。因此,用戶可經(jīng)由服務(wù)門戶3505來訪問服務(wù)提供者服務(wù)器3515。也可直接或經(jīng)由一個嵌套憑證,使用一個參考服務(wù)提供者服務(wù)器的憑證來直接訪問服務(wù)提供者服務(wù)器3515中的一個或多個。
根據(jù)與數(shù)據(jù)相關(guān)聯(lián)的質(zhì)量聲明,聯(lián)合身份服務(wù)器3520聲明將被存儲的數(shù)據(jù)的真實性、精確度和完整性。QoS可能是一個對指示了所執(zhí)行核對的級別的策略聲明的參考。
聯(lián)合用戶驗證服務(wù)器3525以同等組的方式執(zhí)行用戶驗證服務(wù),例如按Gnutella對等搜索協(xié)議(Gnutella the peer-to-peer search protocol)和JXTATM。
PDA 3545和手機3550可使用包括BluetoothTM、IEEE 802.15和包括快速紅外線(FIR)與串行紅外線的紅外線數(shù)據(jù)協(xié)會(IrDA)數(shù)據(jù)標(biāo)準(zhǔn)的協(xié)議與客戶主機3500進行通信。所屬領(lǐng)域的技術(shù)人員將承認同樣可使用其它協(xié)議。
PDA 3545和手機3550設(shè)備可裝備有一個卡片讀取器以接受外部智能卡。如果裝備有外部卡片讀取器和到客戶主機3500的通信鏈路,那么可將PDA 3545或手機3550用作卡片讀取器3535?;蛘?,可在無外部智能卡的情況下使用PDA3545和手機3550。此外,手機3550可直接與服務(wù)提供者服務(wù)器3515進行通信。
根據(jù)本發(fā)明一個實施例,客戶主機3500維護優(yōu)選服務(wù)門戶列表。在經(jīng)由另一個服務(wù)門戶進行連接之前,試圖經(jīng)由此優(yōu)選列表上的一個服務(wù)門戶進行連接。
直接訪問服務(wù)提供者服務(wù)器如先前所提及,服務(wù)提供者服務(wù)器要求用戶登錄。根據(jù)本發(fā)明的一個實施例,由于這些門戶執(zhí)行用戶驗證并創(chuàng)造驗證登錄消息,所以其充當(dāng)了權(quán)威或單一注冊服務(wù)(single sign on service)服務(wù)器。根據(jù)本發(fā)明的一個實施例,登錄消息包含一個如參看圖9A和9B所描述的憑證。接著,將登錄憑證返回給用戶,以供隨后用作單一注冊符記。用戶可將此單一注冊符記存儲在如智能卡、手機或PDA等的個人設(shè)備上。此登錄憑證或單一注冊符記使用戶能夠直接訪問服務(wù)提供者服務(wù)器。當(dāng)需要其以訪問服務(wù)器時,用戶激活PDA、智能卡或手機上的訪問控制,并將單一注冊符記發(fā)送給服務(wù)提供者服務(wù)器。取決于被請求的服務(wù)類型,服務(wù)提供者服務(wù)器可要求額外的用戶驗證。
現(xiàn)在參看圖36,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于使用利用隨機化用戶標(biāo)識符的聯(lián)合身份識別服務(wù)器和聯(lián)合用戶驗證服務(wù)器以便可訪問服務(wù)同時保持隱私的方法的流程圖。在3600處獲得隨機化用戶標(biāo)識符。在3605處,做出關(guān)于是否到了使用憑證的時間的判定。當(dāng)?shù)搅耸褂脩{證的時間,在3610處將隨機化ID提供給服務(wù)門戶。在3615處,服務(wù)門戶將用戶驗證請求發(fā)送給包含隨機化標(biāo)識符的身份服務(wù)器聯(lián)合。在3620處,身份服務(wù)器同等組中的所有服務(wù)器搜索與隨機化標(biāo)識符的匹配。在3625處,做出關(guān)于是否發(fā)現(xiàn)了匹配的判定。如果沒有匹配,那么在3630處產(chǎn)生一個指示。如果存在匹配,那么在3635處將來自身份服務(wù)器聯(lián)合的匹配輸入項提供給用戶驗證服務(wù)器聯(lián)合,以判定單一有效用戶數(shù)據(jù)輸入項。取決于所需的用戶驗證量和每一個用戶驗證服務(wù)器的能力,多個用戶驗證服務(wù)器可合作提供所需的用戶驗證。
根據(jù)本發(fā)明的一個實施例,聯(lián)合身份同等組由子組組成,且給每一個子組分配一個優(yōu)先級值。根據(jù)子組優(yōu)先級來搜索隨機化ID。具有最高優(yōu)先級的子組第一個搜索隨機化ID。如果沒有發(fā)現(xiàn)隨機化ID,那么具有次最高優(yōu)先級值的子組執(zhí)行此搜索。
現(xiàn)在參看圖37,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于使用利用隨機化用戶標(biāo)識符的聯(lián)合身份識別服務(wù)器和聯(lián)合用戶驗證服務(wù)器以便可訪問服務(wù)同時保持隱私的方法的流程圖。在3700處,用戶為了服務(wù)進行登記。在3705處,響應(yīng)此登記而接收一隨機化ID。根據(jù)本發(fā)明的一個實施例,接收一個印刷的隨機化ID。根據(jù)本發(fā)明的另一個實施例,接收一個表示隨機化ID的條碼。在3710處,存儲隨機化ID。在3715處,做出關(guān)于是否到了使用ID的時間的判定。當(dāng)?shù)搅耸褂肐D的時間,在3720處,將隨機化ID用來獲得服務(wù)。
在隨機化ID創(chuàng)造者與隨機化ID用戶之間的策略判定隨機化ID是否有效。根據(jù)本發(fā)明的一個實施例,隨機化ID在預(yù)定時間量中有效。根據(jù)本發(fā)明的另一個實施例,隨機化ID在預(yù)定使用數(shù)中有效。換句話說,此ID在其變?yōu)闊o效之前可被使用預(yù)定數(shù)目的次數(shù)。所屬領(lǐng)域的技術(shù)人員將承認其它ID有效性機制也是可能的。
再次參看圖37,在3725處做出關(guān)于ID是否仍然有效的判定。如果ID仍然有效,那么在3715的開始處使用此ID。如果ID呈條碼的形式,那么通過掃描此條碼來使用其。如果ID存儲在如手機、PDA或智能卡等的個人設(shè)備中,那么將數(shù)字從個人設(shè)備傳送到服務(wù)提供者環(huán)球網(wǎng)服務(wù)器。如果ID不再有效,那么在3720處接收新的ID,并在3710的開始處使用其來獲得服務(wù)。
現(xiàn)在參看圖38,其中提供了根據(jù)本發(fā)明的一個實施例說明向身份服務(wù)器登記的方塊圖。在3850處,直接使用客戶主機3800或通過經(jīng)由如智能卡3835、PDA 3840或手機3845等的個人設(shè)備來使用客戶主機3800,用戶3825將用戶身份憑證請求傳送給聯(lián)合身份服務(wù)器3815。用戶將待存儲的數(shù)據(jù)包括在用戶身份憑證請求3850內(nèi)。此請求也包括優(yōu)選用戶驗證機制和服務(wù)質(zhì)量(QoS)指示符。聯(lián)合身份服務(wù)器3815根據(jù)此QoS指示符來核對待存儲的數(shù)據(jù)的真實性、精確度和完整性。此核對可包括如上文所描述的數(shù)據(jù)驗證。此核對也可包括用戶驗證。
一旦聯(lián)合身份服務(wù)器3815已經(jīng)核對了數(shù)據(jù),聯(lián)合身份服務(wù)器3815在聯(lián)合用戶驗證服務(wù)中的一個中登記用戶,這些服務(wù)可被請求來執(zhí)行一個或多個特定用戶驗證過程以在未來的登錄請求中驗證此用戶。在3855處,聯(lián)合身份服務(wù)器3815經(jīng)由客戶主機3800將用戶身份憑證返回給用戶3825。
在用戶3825使用服務(wù)門戶3805來在環(huán)球網(wǎng)上獲得服務(wù)之前,必須驗證此用戶3825。通過使用用戶身份憑證和其中的驗證數(shù)據(jù)來完成此驗證。這可導(dǎo)致一個服務(wù)憑證。用戶3825發(fā)布服務(wù)請求,其包括服務(wù)器組ID和用戶身份憑證。服務(wù)門戶3805將身份憑證傳給由此服務(wù)器組ID所指示的聯(lián)合身份服務(wù)器組以驗證用戶。聯(lián)合身份服務(wù)器3815可將一些或所有用戶驗證任務(wù)委托給聯(lián)合用戶驗證服務(wù)器3820。
根據(jù)本發(fā)明的一個實施例,用戶驗證包括從聯(lián)合用戶驗證服務(wù)器3820向用戶的個人設(shè)備(3835、3840、3845)直接發(fā)布質(zhì)詢。根據(jù)本發(fā)明的一個實施例,用戶驗證包括從聯(lián)合用戶驗證服務(wù)器3820經(jīng)由客戶主機3800向用戶的個人設(shè)備(3835、3840、3845)發(fā)布質(zhì)詢。
根據(jù)本發(fā)明的一個實施例,將對質(zhì)詢的響應(yīng)直接傳送給發(fā)布此質(zhì)詢的聯(lián)合用戶驗證服務(wù)器3820。根據(jù)本發(fā)明的另一個實施例,經(jīng)由客戶主機3800將對質(zhì)詢的響應(yīng)傳送給發(fā)布此質(zhì)詢的聯(lián)合用戶驗證服務(wù)器3820。根據(jù)本發(fā)明的一個實施例,由手機、智能卡、PDA來密碼地處理對此質(zhì)詢的響應(yīng)。
一旦驗證了用戶,服務(wù)門戶3805經(jīng)由客戶主機3800將登錄憑證返回給客戶3825。用戶可使用此登錄憑證來從經(jīng)由服務(wù)門戶3805可訪問的服務(wù)提供者處獲得服務(wù)。
現(xiàn)在參看圖39,其中提供了根據(jù)本發(fā)明的一個實施例說明可能的憑證類型的方塊圖。參考數(shù)字3900表示創(chuàng)造一個用戶身份憑證。用戶身份憑證包含隨機化ID和身份識別權(quán)威的ID。
用戶身份憑證指示用戶已經(jīng)為獲取由用戶身份服務(wù)器聯(lián)合提供的單一注冊服務(wù)而登記。上文關(guān)于圖38描述了創(chuàng)造用戶身份憑證。
一旦獲得了用戶身份憑證,用戶可接著執(zhí)行一登錄過程以創(chuàng)造登錄憑證3905??蓪⒌卿洃{證3905作為“會話ID cookie”存儲在客戶主機上。登錄憑證3905包括登錄憑證將何時期滿的指示和客戶主機IP地址或任何其它獨特的標(biāo)識符,由此將特定客戶主機固定到登錄憑證和由此憑證所表示的用戶。登錄憑證由此而在時間和位置上受到限制。上文關(guān)于圖38描述了創(chuàng)造登錄憑證。
登錄憑證指示用戶通過在特定位置處的特定客戶主機登錄。這使得能夠安全遞送所有權(quán)或償付信息,或其它必須被遞送給正確設(shè)備的內(nèi)容。可將登錄憑證存儲在客戶主機上,因為其僅當(dāng)用戶在那個客戶主機上工作時才是有效的。
可在獲得登錄憑證3905的過程中獲得新的動態(tài)用戶身份憑證3900。在重新登記過程中,其可被用額外的用戶數(shù)據(jù)和憑證3910更新?;蛘撸蓪⒌卿洃{證3905用來創(chuàng)造服務(wù)憑證。
服務(wù)憑證是用于與特定服務(wù)器的會話的一次性符記,其可通過當(dāng)訪問服務(wù)時應(yīng)用登錄憑證來獲得,而登錄憑證可用于多個服務(wù)提供者的多個同時會話。服務(wù)提供者創(chuàng)造一個其自己使用的服務(wù)憑證。服務(wù)憑證可適用于獲得用于立即使用或履行或者用于延期使用或履行的另外特定服務(wù)。如果服務(wù)憑證被應(yīng)用于服務(wù)的立即使用,那么可動態(tài)地創(chuàng)造履行憑證3925以滿足被請求的使用。參考數(shù)字3939表示履行憑證的消耗或使用,在此時間之后,不可再使用此履行憑證并可將其拋棄。
如果將服務(wù)憑證應(yīng)用于稍后使用的服務(wù),那么可創(chuàng)造一個權(quán)利密鑰憑證3935??蓪⒄麄€權(quán)利密鑰憑證存儲在安全客戶主機或個人設(shè)備上。或者,可將權(quán)利密鑰憑證存儲在柜3950中,并創(chuàng)造一個柜訪問憑證3955,并接著將其存儲3960在安全主機或個人訪問設(shè)備上。換句話說,第一方法將整個權(quán)利密鑰憑證存儲在安全設(shè)備上,而第二方法將整個權(quán)利密鑰存儲或鎖定在環(huán)球網(wǎng)上某處的資源服務(wù)器上,并將此權(quán)利密鑰的密鑰存儲在安全設(shè)備上。柜訪問憑證是特殊的權(quán)利密鑰憑證,其中由此權(quán)利密鑰所保護的資源是其它憑證。
柜機制的示范性用途如下用戶在賣方環(huán)球網(wǎng)站選購并購買了在一年中聽一組所選擇音樂曲目的權(quán)利。一組權(quán)利密鑰憑證用來存儲用戶所購買的權(quán)利,并且這些權(quán)利密鑰稍后被用來直接訪問(多個)資源。
根據(jù)本發(fā)明的另一個實施例,登錄憑證、服務(wù)憑證和履行憑證中的任何一個都是cookie。
關(guān)于圖39所描述的過程并不意欲以任何方式為限制性的。所屬領(lǐng)域的技術(shù)人員將承認可為了其它目的而創(chuàng)造其它憑證。此外,可使用不同于圖39所示順序的順序來創(chuàng)造憑證。
現(xiàn)在參看圖40,其中提供了根據(jù)本發(fā)明的一個實施例說明將隨機化標(biāo)識符用于訪問分布資源同時保持隱私的方塊圖。如圖40所示,用戶數(shù)據(jù)分布在多個位置中。由一個或多個憑證保護對用戶所擁有的資源的訪問。憑證包括隨機化ID,其未泄露關(guān)于接受者身份的任何內(nèi)容。此搜索和匹配操作完全隱藏了訪問數(shù)據(jù)的實體的身份,由此防止了泄漏關(guān)于打開或獲取對資源的訪問的用戶的身份的信息。此外,使數(shù)據(jù)分布在若干同等組確保了隱私,因為沒有單一實體能實際地使用這些組中每一個組存儲的信息。
根據(jù)本發(fā)明的實施例,用戶驗證服務(wù)器聯(lián)合對來自身份服務(wù)器聯(lián)合的匹配輸入項執(zhí)行用戶驗證。用戶驗證服務(wù)器聯(lián)合執(zhí)行足夠級別的用戶驗證以支持所需的QoS。用戶驗證可接收一個支持第一QoS的憑證;執(zhí)行額外的用戶驗證;并接著返回一個支持更高級別QoS的憑證。
現(xiàn)在參看圖41,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于將來自身份服務(wù)器聯(lián)合的一個匹配輸入項或多個匹配輸入項提供給用戶驗證服務(wù)器聯(lián)合以判定單一有效用戶數(shù)據(jù)輸入項的方法的流程圖。圖41為圖36的參考數(shù)字3635提供更多細節(jié)。在4100處,針對每一個用戶驗證服務(wù)器,檢索已由身份識別服務(wù)器所發(fā)現(xiàn)的用戶的用戶輸入項。在4105處,做出關(guān)于當(dāng)前用戶驗證服務(wù)器是否可符合用戶驗證的所需QoS的判定。如果當(dāng)前用戶驗證服務(wù)器不能符合所需QoS,那么在4110處請求一個或多個其它合作的用戶驗證服務(wù)器執(zhí)行額外用戶驗證。如果當(dāng)前用戶驗證服務(wù)器能符合所需QoS,那么在4115處使用質(zhì)詢-響應(yīng)協(xié)議或其它協(xié)議與客戶進行接洽以獲得所需QoS。在此情況中,術(shù)語“QoS”是這樣一種指示,其指示了一起工作的用戶驗證服務(wù)器已經(jīng)做出了多少努力來確定用戶實際上在終端機處并意圖繼續(xù)如(例如)購買事務(wù)處理等的服務(wù)請求。在4120處,返回用戶驗證憑證。
根據(jù)本發(fā)明的一個實施例,用戶驗證包括判定用戶的手機號碼和經(jīng)由手機將用戶驗證質(zhì)詢發(fā)布給此用戶。此用戶驗證質(zhì)詢可能是(例如)口令質(zhì)詢。
根據(jù)本發(fā)明的另一個實施例,用戶驗證包括使用如視網(wǎng)膜掃描或指紋等的生物測量。
根據(jù)本發(fā)明的另一個實施例,用戶驗證包括請求智能卡接入(engage in)一密碼協(xié)議以便證實用戶已經(jīng)輸入了此卡的PIN號碼。
根據(jù)本發(fā)明的另一個實施例,用戶驗證包括請求智能卡接入一個協(xié)議以便使用存儲在此卡上的生物測量來驗證用戶。
根據(jù)本發(fā)明的另一個實施例,將加密PIN小鍵盤(PIN pad)用來輸入卡的PIN號碼。
根據(jù)本發(fā)明的另一個實施例,用戶驗證包括口令/PIN與生物測量的組合。
根據(jù)本發(fā)明的另一個實施例,用戶驗證服務(wù)器聯(lián)合包括專門用來執(zhí)行單一類型的用戶驗證的至少一個用戶驗證服務(wù)器。因為關(guān)于個體的數(shù)據(jù)被分布于多個服務(wù)器中,所以執(zhí)行不同功能的分別的用戶驗證服務(wù)器增強了隱私。
圖42A-46C說明了使用一個或多個憑證來訪問數(shù)據(jù)的本發(fā)明的實施例。
現(xiàn)在參看圖42A,其中提供了根據(jù)本發(fā)明的一個實施例說明存儲在資源服務(wù)器中的數(shù)據(jù)的方塊圖。如圖42A所示,資源服務(wù)器存儲資源4200和相關(guān)的權(quán)利密鑰憑證標(biāo)識符。資源可能是(例如)對環(huán)球網(wǎng)頁或音頻曲目的訪問。每一個權(quán)利密鑰憑證包括允許訪問相關(guān)資源的一個或多個密碼密鑰。因此,標(biāo)識符4205是準(zhǔn)許訪問資源的憑證的標(biāo)識符。
當(dāng)用戶想要使用資源時,此用戶將權(quán)利密鑰憑證和對資源的請求提供給資源服務(wù)器。此資源服務(wù)器發(fā)現(xiàn)匹配此權(quán)利密鑰憑證的資源。此憑證中的權(quán)利密鑰係用于打開或獲得對資源的訪問。
根據(jù)本發(fā)明的一個實施例,將整個權(quán)利密鑰憑證存儲在安全設(shè)備上。根據(jù)本發(fā)明的另一個實施例,將憑證ID存儲在安全設(shè)備中并分開存儲權(quán)利密鑰憑證的剩余部分。
此實施例的一個實例用途存在于資源被并非擁有者但得到擁有者的許可可訪問此資源的第三方(例如一個訪問用戶數(shù)據(jù)的商人)請求時。在該情況下,以下這樣是可能的當(dāng)資源擁有者登記時,此資源擁有者可授權(quán)第三方訪問擁有者的憑證并將其復(fù)制到第三方的憑證機制中,由此將對由此憑證所保護的資源的間接訪問提供給第三方??蓞⒄沼蓳碛杏脩羲钟械臋?quán)利密鑰憑證使第二權(quán)利密鑰ID與資源相關(guān)聯(lián)。
現(xiàn)在參看圖42B,其中提供了根據(jù)本發(fā)明的一個實施例說明存儲在資源服務(wù)器中的數(shù)據(jù)的方塊圖。圖42B類似于圖42A,除了圖42B包括對一個或多個密碼保護機制4220的參考,當(dāng)將資源內(nèi)容傳遞給用戶時這些密碼保護機制可用于提供密碼保護。
現(xiàn)在參看圖43A,其中提供了根據(jù)本發(fā)明的一個實施例說明響應(yīng)一個包括一組權(quán)利密鑰的資源請求而從資源服務(wù)器獲得資源的方塊圖。
現(xiàn)在參看圖43B,其中提供了根據(jù)本發(fā)明的一個實施例說明從資源服務(wù)器中獲得資源以響應(yīng)包括一組權(quán)利密鑰和對傳遞保護機制的參考以及視情況目標(biāo)設(shè)備的資源請求的方塊圖。根據(jù)該實施例,將資源遞送到在所參考的密碼機制保護下的視情況提供的目標(biāo)設(shè)備或客戶主機。
現(xiàn)在參看圖43C,其中提供了根據(jù)本發(fā)明的一個實施例說明權(quán)利密鑰憑證的方塊圖。憑證數(shù)據(jù)字段4365和密封憑證數(shù)據(jù)字段4370包括密碼密鑰數(shù)據(jù)??蓪⒐妹荑€存儲在憑證數(shù)據(jù)字段4365中,而將秘密密鑰存儲在密封憑證數(shù)據(jù)字段4370中。嵌套憑證4375可指的是涉及資源傳遞機制的憑證。例如,擁有賦予用戶播放MP3文件的權(quán)限的憑證的用戶可指示應(yīng)使用如MP3播放器等的客戶設(shè)備經(jīng)由紅外連接直接地連接到客戶主機。這增加了用戶對使用遠程存儲的資源的控制。
現(xiàn)在參看圖44,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于獲得對資源的訪問的方法的流程圖。在4400處,將一個包括權(quán)利密鑰憑證的資源請求發(fā)送給資源服務(wù)器。在4405處,資源服務(wù)器將密鑰與同資源相關(guān)的一組標(biāo)識符中的標(biāo)識符匹配。在4410處,做出關(guān)于是否必須創(chuàng)造新的ID的判定。如果必須創(chuàng)造新的ID,那么在4415處創(chuàng)造其。如果是在該情況下,那么將ID返回給用戶。在4420處,返回在4405處發(fā)現(xiàn)的資源。
現(xiàn)在參看圖45,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于獲得對需要多個密鑰的資源的訪問的方法的流程圖。例如,當(dāng)資源的擁有者和請求此資源的實體是不同的實體時,可使用多個密鑰。在4500處,將一個包括第一權(quán)利密鑰憑證和第二權(quán)利密鑰憑證的資源請求發(fā)送給資源服務(wù)器。在4505處,資源服務(wù)器將兩個密鑰與同資源相關(guān)的一組標(biāo)識符中的標(biāo)識符匹配。在4510處,做出關(guān)于是否必須創(chuàng)造新的ID的判定。可能無需創(chuàng)造ID、可能需要創(chuàng)造一個ID或兩個ID。如果必須創(chuàng)造新的ID,那么在4515處創(chuàng)造其。在4520處,返回在4505處發(fā)現(xiàn)的資源。
圖46A是根據(jù)本發(fā)明的一個實施例說明一個包括權(quán)利密鑰憑證以訪問存儲在資源服務(wù)器同等組中的服務(wù)器上的特定類別的資源的通用資源定位符(URL)的方塊圖。如圖46A所示,URL 4600包括資源服務(wù)器同等組4620、用于特定類型資源的資源目錄4625和資源的權(quán)利密鑰4630。
圖46B是根據(jù)本發(fā)明的一個實施例說明一個包括權(quán)利密鑰憑證數(shù)據(jù)的超文本傳輸協(xié)議(HTTP)消息的方塊圖。
圖46C是根據(jù)本發(fā)明的一個實施例說明一個包括權(quán)利管理小程序的智能卡的方塊圖。
圖46D、47和48說明了以隱私敏感的方式使用近似用戶數(shù)據(jù)來為用戶獲得服務(wù)的本發(fā)明的實施例。
為了本揭示目的起見,術(shù)語“聚集”指的是將特定用戶數(shù)據(jù)變換為較不特定的用戶數(shù)據(jù)并由此產(chǎn)生更近似的用戶數(shù)據(jù),且術(shù)語“聚集權(quán)威”指的是執(zhí)行此功能的權(quán)威。聚集包括獲得關(guān)于用戶的不確切信息。例如,服務(wù)提供者可能存儲任何具有確定屬性的環(huán)球網(wǎng)頁被訪問的次數(shù),而不是存儲環(huán)球網(wǎng)頁URL或環(huán)球網(wǎng)頁本身。
可按照權(quán)威應(yīng)用的聚集策略來對聚集權(quán)威進行分類。外部聚集權(quán)威應(yīng)用公開接受的聚集策略。同等聚集權(quán)威應(yīng)用與另一個同等聚集權(quán)威共享的聚集策略。內(nèi)部聚集權(quán)威應(yīng)用其自己的專用聚集策略。一個同等組權(quán)威可將對其策略的訪問限制在其同位體(peer)。
聚集本身可能是靜態(tài)或動態(tài)的。術(shù)語“靜態(tài)聚集”指的是僅僅基于用戶提供的信息來執(zhí)行聚集。聚集權(quán)威接收用戶提供的信息,將聚集策略應(yīng)用于用戶提供的數(shù)據(jù)并將近似用戶數(shù)據(jù)返回給用戶。
術(shù)語“動態(tài)聚集”指的是基于用戶提供的信息和在與服務(wù)相互作用期間所搜集的關(guān)于用戶的局部信息兩者來執(zhí)行聚集。在動態(tài)聚集中,服務(wù)提供者從用戶處接收用戶數(shù)據(jù)。服務(wù)提供者也存儲并搜集它自己的關(guān)于用戶的信息。服務(wù)提供者將兩種類型的用戶數(shù)據(jù)提供給一個權(quán)威。聚集權(quán)威將聚集策略應(yīng)用于組合的數(shù)據(jù)以獲得新的近似用戶數(shù)據(jù),并將此新的近似用戶數(shù)據(jù)返回給服務(wù)提供者。
現(xiàn)在參看圖46D,其中提供了根據(jù)本發(fā)明的一個實施例說明用戶數(shù)據(jù)的動態(tài)聚集的方塊圖。圖46D包括用戶4645、第一賣方環(huán)球網(wǎng)站4635、第二賣方環(huán)球網(wǎng)站4640和權(quán)威4630。用戶4645在第一賣方環(huán)球網(wǎng)站4635和第二賣方環(huán)球網(wǎng)站4640處選購。賣方(4635、4640)與權(quán)威4630進行通信?;谌缭谫u方環(huán)球網(wǎng)站處的用戶活動等的更特定用戶數(shù)據(jù)來獲得近似用戶數(shù)據(jù)。此近似用戶數(shù)據(jù)成為用戶保留的供訪問其它環(huán)球網(wǎng)站時使用的用戶數(shù)據(jù)的一部分。根據(jù)本發(fā)明的一個實施例,用戶數(shù)據(jù)存儲在安全用戶數(shù)據(jù)存儲器中。
更詳細地,在4650處,用戶4645將用戶概況提供給第一書籍賣方4635。第一書籍賣方4635收集關(guān)于使用第一書籍賣方的環(huán)球網(wǎng)站所查看或購買的書籍類型的信息。例如,書籍賣方4635可記下用戶購買了許多科學(xué)幻想小說和許多園藝書籍。在4655處,書籍賣方將此收集的用戶數(shù)據(jù)和從用戶4645處獲得的用戶概況提供給權(quán)威4630。此權(quán)威將聚集策略應(yīng)用于用戶概況和收集的用戶數(shù)據(jù)以獲得近似用戶數(shù)據(jù)。例如,一種可能的聚集策略可為使用一組共同接受的類別來對用戶對書籍類別的興趣分級。如果用戶數(shù)據(jù)指示用戶4645既不對科學(xué)幻想感興趣又不對園藝感興趣,并且如果所搜集的用戶數(shù)據(jù)指示用戶4645最近在每一類別中從書籍賣方4635處購買了十本書籍,那么修改用戶數(shù)據(jù)以包括用戶對這些兩種類別的興趣等級。
仍然參看圖46D,在4670處,用戶4645可隨后在第二書籍賣方環(huán)球網(wǎng)站處選購。用戶4645提供一個包括當(dāng)此用戶訪問第一賣方4635環(huán)球網(wǎng)站時所創(chuàng)造的近似用戶數(shù)據(jù)的用戶概況。第二書籍賣方4640可以使用此近似用戶信息來適應(yīng)用戶在第二賣方環(huán)球網(wǎng)站選購時的體驗。使用類似于關(guān)于第一賣方4635所論述過程的過程,第二書籍賣方4640也可收集關(guān)于使用第二書籍賣方的環(huán)球網(wǎng)站所查看或購買的書籍類型的信息,將此信息提供給權(quán)威4630并接收更新的近似用戶數(shù)據(jù)。
現(xiàn)在參看圖47,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于用戶數(shù)據(jù)的動態(tài)聚集的方法的流程圖。在4700處,服務(wù)提供者接收服務(wù)請求和相關(guān)的用戶數(shù)據(jù)。在4705處,收集用戶概況信息。在4710處,將用戶數(shù)據(jù)和用戶概況信息或?qū)Υ诵畔⒌膮⒖继峁┙o權(quán)威。在4715處,服務(wù)提供者從權(quán)威處接收近似用戶信息。在4720處,將此近似用戶信息返回給用戶。
現(xiàn)在參看圖48,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于用戶數(shù)據(jù)的靜態(tài)聚集的方法的流程圖。在4800處,接收用戶數(shù)據(jù)。在4805處,將聚集策略應(yīng)用于用戶數(shù)據(jù)以獲得近似用戶數(shù)據(jù)。在4810處,將此近似用戶數(shù)據(jù)返回給用戶。
根據(jù)本發(fā)明的一個實施例,將所聚集的用戶數(shù)據(jù)存儲在一個憑證中。根據(jù)本發(fā)明的另一個實施例,概況包括一個或多個憑證,這些憑證又包括所聚集的用戶數(shù)據(jù)。概況因此是一種關(guān)于用戶的信息的聚集形式。根據(jù)本發(fā)明的另一個實施例,概況中數(shù)據(jù)的一部分是位映射的。
聚集是隱私保護的,因為所存儲的信息不是確切的。因此,其不會泄露關(guān)于作為個體的用戶的任何信息??墒褂媒朴脩粜畔砻枋鋈魏斡脩舳恢劣谛孤洞擞脩舻纳矸?。此外,可隱藏用于編譯此信息的機制。
現(xiàn)在參看圖49,其中提供了根據(jù)本發(fā)明的一個實施例說明使用智能卡來安全地存儲并重新配置cookie的方塊圖。如圖49所示,計算機4930裝備有用于接收智能卡4940的卡片讀取器4935。可將計算機4930連接到一個與復(fù)數(shù)個其它計算設(shè)備(例如環(huán)球網(wǎng)服務(wù)器4900)進行通信的網(wǎng)絡(luò)4920。環(huán)球網(wǎng)服務(wù)器4900包括cookie處理邏輯4915、重新配置的cookie 4910和與智能卡4940上的小程序4945共享的至少一個秘密4905。智能卡4940也包括cookie處理邏輯4960和用于存儲至少一個cookie 4955的存儲器。
在操作中,環(huán)球網(wǎng)服務(wù)器4900發(fā)布一個由計算機4930所接收的cookie請求。如果被請求的cookie在智能卡4940上并且如果此cookie包含動態(tài)cookie,那么cookie處理邏輯4960使用共享的秘密4905來重新配置cookie的位模式(bitpattern),并且重新配置的cookie被經(jīng)由計算機4930發(fā)送到環(huán)球網(wǎng)服務(wù)器4900。環(huán)球網(wǎng)服務(wù)器4900上的cookie處理邏輯4915接收此重新配置的cookie,并判定是否需要重構(gòu)此cookie。如果需要重構(gòu)cookie,那么cookie處理邏輯4915使用共享的秘密4905來重構(gòu)cookie。因為在發(fā)送cookie之前對其進行了重新配置,所以封包探測器(packet sniffer)5025或類似設(shè)備不能將cookie數(shù)據(jù)與特定用戶匹配。
根據(jù)本發(fā)明的一個實施例,cookie與一個時間戳相關(guān)聯(lián)。如果時間戳指示cookie是陳舊的,那么將不處理此cookie。
根據(jù)本發(fā)明的另一個實施例,卡上的所有cookie都是靜態(tài)的,由此無需共享的秘密(4905、4950)。
根據(jù)本發(fā)明的另一個實施例,cookie管理憑證指定將被執(zhí)行的cookie管理類型。
現(xiàn)在參看圖50,其中提供了根據(jù)本發(fā)明的一個實施例說明使用智能卡來安全地存儲并重新配置cookie的方塊圖。除了秘密5065僅存在于環(huán)球網(wǎng)服務(wù)器5000上并且不與智能卡5040共享外,圖50類似于圖49。此外,將cookie更新邏輯(5005、5050)用來周期性地更新智能卡5040上的cookie。
現(xiàn)在參看圖51,其中提供了根據(jù)本發(fā)明的一個實施例說明一種用于瀏覽環(huán)球網(wǎng)(WWW)的方法的流程圖。在5100處,將卡放置在卡片讀取器中。在5135處,瀏覽器訪問環(huán)球網(wǎng)站。在5140處,做出關(guān)于是否需要cookie的判定。如果需要cookie,那么在5145處瀏覽器從此卡處請求cookie。在5105處,卡接收cookie請求并判定此卡是否具有匹配此請求的cookie。如果卡具有匹配此請求的cookie,那么在5110處做出關(guān)于用戶是否已經(jīng)啟用此卡(例如藉由輸入PIN)以返回用于此請求的cookie的判定。如果卡已經(jīng)啟用用于請求的cookie,那么在5115處做出關(guān)于此cookie是否是動態(tài)的判定。如果cookie是動態(tài)的,那么在5120處重新配置cookie的位模式,并在5125處返回重新配置的cookie。如果cookie是靜態(tài)的,那么在5125處返回此cookie而無需對其重新配置。如果卡不具有與請求匹配的cookie或如果用戶沒有啟用用于請求的cookie,那么在5130處返回一個將不返回cookie的指示。
在5150處,瀏覽器做出關(guān)于是否從卡處返回了cookie的判定。如果沒有從卡處返回cookie,那么從此卡以外的其它地方獲得cookie,例如本地硬盤驅(qū)動器,并在5160處將此cookie發(fā)送給服務(wù)器。
如果從卡處返回了cookie,那么在5160處將來自此卡的cookie發(fā)送給服務(wù)器。在5165處,服務(wù)器判定是否從瀏覽器處返回了cookie。如果沒有從瀏覽器處返回cookie,那么在5185處終止此過程。如果從瀏覽器處返回了cookie,那么在5170處做出關(guān)于是否需要重構(gòu)此cookie的判定。如果需要重構(gòu)cookie,那么在5175處對其進行重構(gòu),并在5180處使用該cookie。如果無需重構(gòu)cookie。在任一情況下,都在5180處使用該cookie。
本發(fā)明的實施例具有許多優(yōu)點。服務(wù)提供者可以交換關(guān)于個人的信息而不至于泄露不適當(dāng)?shù)幕虿槐匾男畔ⅲ纱丝稍谌缫蛱鼐W(wǎng)等的開放網(wǎng)絡(luò)上進行商業(yè)事務(wù)處理同時保持隱私。
雖然已經(jīng)展示并描述了本發(fā)明的實施例和應(yīng)用,但是受益于本揭示內(nèi)容的所屬領(lǐng)域的技術(shù)人員將明白在不脫離本文的發(fā)明性概念的情況下,可存在比上文提及的內(nèi)容更多的修改。因此,除了附加的權(quán)利要求的精神之外,將不對本發(fā)明進行限制。
權(quán)利要求
1.一種用于一個數(shù)據(jù)通信網(wǎng)絡(luò)中的身份識別方面的增強隱私保護的方法,該方法包含在所述數(shù)據(jù)通信網(wǎng)絡(luò)上為了一個服務(wù)進行登記;響應(yīng)所述登記而接收一個隨機化標(biāo)識符(ID);存儲所述隨機化ID;和在所述數(shù)據(jù)通信網(wǎng)絡(luò)上使用所述隨機化ID來獲得服務(wù)。
2.一種可由一個機器讀取的程序存儲設(shè)備,其包含一個可由該機器執(zhí)行以執(zhí)行一種用于一個數(shù)據(jù)通信網(wǎng)絡(luò)中的身份識別方面的增強隱私保護的方法的指令程序,該方法包含在所述數(shù)據(jù)通信網(wǎng)絡(luò)上為了一個服務(wù)進行登記;響應(yīng)所述登記而接收一個隨機化標(biāo)識符(ID);存儲所述隨機化ID;和在所述數(shù)據(jù)通信網(wǎng)絡(luò)上使用所述隨機化ID來獲得服務(wù)。
3.一種用于一個數(shù)據(jù)通信網(wǎng)絡(luò)中的身份識別方面的增強隱私保護的裝置,該裝置包含用于在所述數(shù)據(jù)通信網(wǎng)絡(luò)上為了一個服務(wù)進行登記的構(gòu)件;用于響應(yīng)所述登記而接收一個隨機化標(biāo)識符(ID)的構(gòu)件;用于存儲所述隨機化ID的構(gòu)件;和用于在所述數(shù)據(jù)通信網(wǎng)絡(luò)上使用所述隨機化ID來獲得服務(wù)的構(gòu)件。
4.一種用于一個數(shù)據(jù)通信網(wǎng)絡(luò)中的身份識別方面的增強隱私保護的裝置,該裝置包含一個智能卡,其配置成存儲一個響應(yīng)在所述數(shù)據(jù)通信網(wǎng)絡(luò)上為獲取一個服務(wù)進行登記而獲得的隨機化ID,進一步配置所述智能卡以釋放所述隨機化ID以在所述數(shù)據(jù)通信網(wǎng)絡(luò)上獲得服務(wù)。
5.一種用于存儲由一個正在一個數(shù)據(jù)處理系統(tǒng)上執(zhí)行的應(yīng)用程序所訪問的數(shù)據(jù)的存儲器,其包含一個存儲在所述存儲器中的數(shù)據(jù)結(jié)構(gòu),所述數(shù)據(jù)結(jié)構(gòu)包括憑證數(shù)據(jù);和一個權(quán)威同等組ID,其標(biāo)識一個提供用于所述憑證的數(shù)據(jù)驗證的實體,所述實體包含在一個數(shù)據(jù)通信網(wǎng)絡(luò)中的一個或多個網(wǎng)絡(luò)服務(wù)器,所述一個或多個網(wǎng)絡(luò)服務(wù)器中的一個提供用于所述憑證的數(shù)據(jù)驗證;一個由所述實體提供并用來驗證所述憑證數(shù)據(jù)的密碼。
6.一種用于在一個數(shù)據(jù)通信網(wǎng)絡(luò)上獲得一個服務(wù)的方法,該方法包含向所述數(shù)據(jù)通信網(wǎng)絡(luò)上的一個權(quán)威提供用戶數(shù)據(jù)和一個憑證請求;和響應(yīng)所述憑證請求而接收一個憑證,所述憑證包含一個隨機化標(biāo)識符;憑證用戶數(shù)據(jù);和一個對由所述權(quán)威響應(yīng)所述憑證請求而執(zhí)行的憑證用戶數(shù)據(jù)核對的指示。
7.一種用于在一個數(shù)據(jù)通信網(wǎng)絡(luò)上獲得一個服務(wù)的方法,該方法包含向所述數(shù)據(jù)通信網(wǎng)絡(luò)上的一個權(quán)威提供一個登錄請求;響應(yīng)所述用戶驗證數(shù)據(jù)而接收一個kerberos票證,所述票證包含一個隨機化用戶ID;和在所述數(shù)據(jù)通信網(wǎng)絡(luò)上使用所述kerberos票證來從一個或多個服務(wù)提供者處獲得服務(wù)。
8.一種可由一個機器讀取的程序存儲設(shè)備,其包含一個可由該機器執(zhí)行以執(zhí)行一種用于在一個數(shù)據(jù)通信網(wǎng)絡(luò)中獲得一個服務(wù)的方法的指令程序,該方法包含向所述數(shù)據(jù)通信網(wǎng)絡(luò)上的一個權(quán)威提供一個登錄請求;響應(yīng)所述用戶驗證數(shù)據(jù)而接收一個kerberos票證,所述票證包含一個隨機化用戶ID;和在所述數(shù)據(jù)通信網(wǎng)絡(luò)上使用所述kerberos票證來從一個或多個服務(wù)提供者處獲得服務(wù)。
9.一種用于在一個數(shù)據(jù)通信網(wǎng)絡(luò)上獲得一個服務(wù)的裝置,該裝置包含用于向所述數(shù)據(jù)通信網(wǎng)絡(luò)上的一個權(quán)威提供一個登錄請求的構(gòu)件;用于響應(yīng)所述用戶驗證數(shù)據(jù)而接收一個kerberos票證的構(gòu)件,所述票證包含一個隨機化用戶ID;和用于在所述數(shù)據(jù)通信網(wǎng)絡(luò)上使用所述kerberos票證來從一個或多個服務(wù)提供者處獲得服務(wù)的構(gòu)件。
10.一種用于在一個數(shù)據(jù)通信網(wǎng)絡(luò)上獲得一個服務(wù)的裝置,該裝置包含一個配置成接受一個登記請求的登記權(quán)威,進一步配置所述登記權(quán)威以響應(yīng)所述登記請求而返回登記結(jié)果,所述登記結(jié)果包含用戶數(shù)據(jù),所述登記結(jié)果用于從一個服務(wù)提供者處獲得一個服務(wù)。
11.一種用于在一個數(shù)據(jù)通信網(wǎng)絡(luò)上獲得一個服務(wù)的裝置,該裝置包含一個配置成接受一個服務(wù)請求和從一個登記權(quán)威處獲得的登記結(jié)果的服務(wù)提供者,所述服務(wù)提供者能夠與所述權(quán)威進行通信以核對所述登記結(jié)果,配置所述服務(wù)提供者以基于所述登記結(jié)果和一個來自所述登記權(quán)威的響應(yīng)來提供所述服務(wù)。
全文摘要
一種用于數(shù)據(jù)通信網(wǎng)絡(luò)中身份識別方面的增強隱私保護的方法,其包括在數(shù)據(jù)通信網(wǎng)絡(luò)上為了服務(wù)進行登記;響應(yīng)此登記而接收一個隨機化標(biāo)識符(ID);存儲此隨機化ID;并在數(shù)據(jù)通信網(wǎng)絡(luò)上使用此隨機化ID來獲得服務(wù)。一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)上獲得服務(wù)的裝置包括一個配置成接受登記請求的登記權(quán)威。進一步配置此登記權(quán)威以響應(yīng)登記請求而返回登記結(jié)果。登記結(jié)果包括用戶數(shù)據(jù),且可使用這些登記結(jié)果來從服務(wù)提供者處獲得服務(wù)。
文檔編號H04L29/06GK1579079SQ02821395
公開日2005年2月9日 申請日期2002年10月29日 優(yōu)先權(quán)日2001年10月29日
發(fā)明者E·K·德·瓊, M·利威, A·Y·梁 申請人:太陽微系統(tǒng)公司