专利名称:用于身份认证的方法和设备的制作方法
技术领域:
本申请一般地涉及通信系统,并且更具体地,涉及用于身份认证的方法和设备。
背景技术:
当在不安全的公共网络诸如互联网上通信时,可能期望的是,允许用户安全地和秘密地交换数据。当用户从服务提供器请求一个或多个服务时,这种安全性可能是特别期望的,所述服务提供器例如为在线商店或者中央文档存储库。存在若干种方法来对尝试获得对数据的安全访问的用户的身份进行认证,这些方法例如有用户名和密码组合、公共/ 私有密匙组合和生物特征识别数据。对于所有这些认证方法,用户可能必须记住或利用对于每一个服务提供器截然不同的认证方法。另外,对于维持多个服务提供器的组织,每一个服务提供器必须创建、维持和更新它自己的身份认证机构。对于具有属于不同功能单元的多个服务提供器的大的组织而言,这些完全不同的认证机构的管理可能是有问题的。此外,从用户的角度看,对用于不同服务提供器的多个身份认证机构进行了解的复杂性可能是不期望的。随着越来越多的数据被远程存储以及通过各种服务对数据进行访问变得日益重要,相应地变得重要的是,准确地认证用户的身份,从而确保数据仅可以被适当的用户所访问。
发明内容
本发明提供了一种用于身份认证的方法和设备,其基本上消除了或减少了至少一些与以前方法和系统相关联的缺点和问题。根据一个实施方式,一种用于身份认证的方法可以包括从服务提供器接收一个或多个策略,其中所述一个或多个策略与访问由所述服务提供器提供的一个或多个资源所需要的多个属性相关。该方法还可以包括从服务提供器接收资源识别,其中所述资源识别对由所述服务提供器提供并且由通信装置请求的被请求的资源进行命名。该方法还可以包括从所述一个或多个策略识别资源策略,其中所述资源策略与所述被请求的资源相关联并且对访问所述被请求的资源所需要的一组被要求的属性进行识别。一旦已经识别该一组被要求的属性,该方法就可以通知属性收集代理。该方法然后可以从所述属性收集代理接收属性报告,其中所述属性报告包括多个属性值,所述多个属性值与所述通信装置相关联并且与所述一组被要求的属性相关。一旦接收到,该方法然后就可以鉴定属性报告。该方法然后可以确定所述多个属性值是否满足策略,并且向所述服务提供器通知是否满足策略。还提供了一种用于身份认证的系统,所述系统包括数据库和耦合到所述数据库的处理器。所述数据库可操作以存储一个或多个策略,其中所述策略与访问由服务提供器提供的一个或多个资源所需要的多个属性相关。所述处理器可操作以从所述服务提供器接收一个或多个策略;从所述服务提供器接收资源识别;从所述一个或多个策略识别资源策略;识别对于访问被请求的资源所需要的一组被要求的属性;将所述一组被要求的属性通知给属性收集代理;从所述属性收集代理接收属性报告;鉴定所述属性报告;确定所述多个属性值是否满足策略;以及向所述服务提供器通知是否满足策略。本发明的特定实施方式的技术优点包括提供专用的、经过验证的、和集中的安全身份认证。更具体地,以鉴定的属性为基础的基于托管策略的认证允许用于认证的属性的更多样性和更可靠性,从而更好地保护服务提供器。使认证集中化允许服务提供器资源专注于它的功能任务而不是身份认证。此外,集中化可以允许多服务提供器环境的有效管理, 同时赋予单独的服务提供器保持最适合于它们的资源的认证策略的灵活性。从下面的附图、描述和权利要求,其它技术优点对于本领域技术人员将更加明显。此外,尽管上面已经列举了具体优点,但是各种实施方式可以包括列举的优点的全部或一些,或者没有包括列举的优点。
为了对本发明及其优点的更加完整的理解,现在结合附图参考下面的描述,其中图1是根据本发明的特定实施方式的身份认证系统的简化框图;图2是例示根据本发明的特定实施方式的认证服务器的各个功能组件的简化框图;和图3例示根据本发明的特定实施方式的用于对通信装置的用户的身份进行认证的示例方法的流程图。
具体实施例方式图1是根据本发明的特定实施方式的身份认证系统10的简化框图。根据示例的实施方式,身份认证系统10包括通信网络20、通信装置30、认证服务器50和服务提供器60。一般地,身份认证系统10的组件可以使用与通信装置30相关联的一组属性来安全地认证对以服务提供器60为宿主的资源的一个或多个请求。通信装置30可以经由通信网络20请求对资源的访问。认证服务器50可以接收并且认证与通信装置30相关联的特定属性,并且然后分析那些属性以查看它们是否满足关于被请求的资源的访问策略。下面参考图2到图3更加详细地描述在认证服务器50上存储的策略。由认证服务器50接收的属性可以包括不随用户的物理位置或鉴定过程改变的数据(“静态数据”),诸如用户名称/ 密码、生物特征识别数据或硬件密钥;或者可以基于用户的物理位置或鉴定过程改变的数据(“动态数据”),诸如用户的当前网络、安装在通信装置30上的操作系统或其它软件、以及当前时间。如所例示的,通信网络20代表能够发送音频和/或视频电信信号、数据、和/或消息的任何网络。在特定实施方式中,通信网络20可以包括无线电接入网的全部或一部分;公共交换电话网(PSTN);公共或私人数据网络;局域网(LAN);城域网(MAN);广域网 (WAN);本地通信、地区通信或全球通信或者诸如互联网的计算机网络;有线网络或无线网络;企业内部网;或者前述的任何组合。在操作中,利用任何适当通信协议,通信网络20提供在耦合到通信网络20的组件之间的连接。为了促进描述的通信能力,通信网络20可以包括路由器、集线器(hub)、交换器、网关、呼叫控制器、和/或以任何合适形式或布置的任何其它合适的组件。另外地,通信网络20可以包括被构造为传送以包、信元、帧、段或其它数据部分的形式的信息的任何硬件和/或软件。虽然通信网络20被例示为单个网络,但是通信网络20可以包括任何数量或构造的网络。而且,身份认证系统10的特定实施方式可以包括任何数量或构造的通信网络20。通信装置30可以代表硬件、软件和/或编码逻辑器件的任何适当组合以向用户提供通信服务。此外,通信装置30可以代表信息台、电话、手机、个人数字助理(PDA)、计算机运行电话、电子邮件(Email)或其它形式的消息和/或通信软件或者利用身份认证系统10 支持语音、视频、文本或其它形式的数据的传送的任何其它通信硬件、软件和/或编码逻辑器件。如所例示的,通信装置30包括属性收集代理。在一些实施方式中,通信装置30的用户可以在请求对服务的访问之前,开始从指定服务器例如认证服务器50下载属性收集代理的过程。在其它实施方式中,认证服务器50可以在从服务提供器60接收到资源识别时向通信装置30发送属性收集代理以用于安装。在一些实施方式中,认证服务器50可以经由通信网络20,通过信息传递技术诸如Java Web Mart或者ActiveX来传递属性收集代理。认证服务器50可以代表管理安全策略和鉴定属性的可信任的专用服务器。认证服务器50可以包括数据库,该数据库包括大量的策略,所述策略限定了在通信装置30的用户能够访问服务提供器60的资源之前必须满足的一组属性值。下面参考图2到图3更加详细地描述在认证服务器50上存储的策略。认证服务器50可以从通信装置30接收属性报告,该属性报告识别了与通信装置30相关联的多个属性。在鉴定了属性之后,认证服务器50可以向服务提供器60通知服务提供器60是否应该向通信装置30提供被请求的服务。 下面参考图2到图3更加详细地描述认证服务器50。服务提供器60可以一般地代表硬件和软件的任何组合,包括控制逻辑器件,用于向通信装置30提供一个或多个服务。在特定的实施方式中,仅作为示例,服务提供器60可以代表中央文档存储库,诸如医疗记录。在其它实施方式中,仅作为示例,服务提供器60可以代表应用服务提供器,该应用服务提供器在网络上提供对特定的应用、软件或其它媒体的访问。此外,如此的应用、软件或媒体可以包括文献阅读器、网页浏览器或者文献编辑软件。作为另一个示例,服务提供器还可以是在线网络网站或者电子邮件提供器。在操作中,通信装置30可以经由通信网络20从服务提供器60请求资源。服务提供器然后可以经由通信网络20向认证服务器50提供对被请求的资源进行命名的资源识别。认证服务器50可以包括数据库,该数据库包括大量的策略,所述策略限定了在通信装置30能够访问服务提供器60的资源之前必须满足的一组属性值。下面参考图2到图3更加详细地描述在认证服务器50上存储的策略。认证服务器50可以从存储在通信装置30 上的属性收集代理接收属性报告,该属性报告识别了与通信装置30相关联的多个属性。在鉴定了属性之后,认证服务器50可以分析鉴定的属性以查看它们是否满足与被请求的资源相关联的被识别的策略。在分析之后,认证服务器50可以向服务提供器60通知服务提供器60是否应该向通信装置30提供被请求的服务。图2是例示根据本发明的特定实施方式的认证服务器50的各个功能组件的简化框图。例示的认证服务器50可以包括报告收集组件202、代理传递组件204、策略引擎206、数据库208和鉴定组件210。在一些实施方式中,认证服务器50的各个组件可以是存储在计算机可读介质上并且可由认证服务器50的处理器运行的软件程序。为了描述的清楚,图 1将各个组件描述为分离的模块。在一些实施方式中,组件可以是独立的软件程序。然而, 所述组件也可以是更大软件程序的组件或者子程序,或者可以是硬编码到计算机可读介质中,并且/或者是构造为执行上述功能的任何硬件或软件模块。报告收集组件202可以构造为从通信装置30接收属性报告。如上面参考图1更加详细地描述的,属性报告可以包括与通信装置30相关联的并且由属性收集代理所收集的多个静态属性和动态属性。属性收集代理可以响应于来自代理传递组件204的输入而构成属性报告。代理传递组件204可以构造为向通信装置30传递属性收集代理。在一些实施方式中,在认证服务器50从服务提供器60接收到资源识别之后,代理传递组件204可以将属性收集代理发送到没有事先安装代理的通信装置30。在一些实施方式中,通信装置30可以已经通过其它方式安装了属性收集代理。如上面参考图1描述的,代理传递组件204可以利用信息传递技术诸如Java Web Mart或者ActiveX来向通信装置30发送代理。另外地,在一些实施方式中,代理传递组件204可能构造为通知属性收集代理对于给定资源请求,哪些属性应该从通信装置30收集和/或传输。在一些实施方式中,属性收集代理可以收集静态信息和动态信息两者,所述静态信息和动态信息准确地识别与通信装置30相关联的信息。如果要求的话,可以利用可信任的计算技术来聚集这些属性,从而更加可靠地报告与通信装置30身份相关联的信息。这些可信任的计算技术可以包括使用可信任平台模块(TPM)和/或可信任网络连接(TNC)来验证聚集的属性反映了通信装置30的当前状态, 并且没有在通信装置30中或者在从通信装置30到认证服务器50的传输期间被其它程序所连累。在其它实施方式中,属性收集代理可以聚集与通信装置30相关联的动态信息,诸如在通信装置30上运行的操作系统、安装在通信装置30上的或者在通信装置30上运行的任何其它软件、或者通信装置30的物理位置(如由通信装置30的GPS位置或当前网络或者任何其它适当的数据代表)。作为示例,如果策略要求用户的生物特征识别数据,那么代理传递组件204可以通知属性收集代理,该属性收集代理转而可以从通信装置30请求该数据。数据库208可以构造为存储与访问由服务提供器60提供的资源所必需的属性相关的一个或多个策略。策略可以包括允许通信装置30访问由服务提供器60提供的资源所必需的一组要求的属性值。在一些实施方式中,策略可以包括将一个或多个静态和动态属性与关于每一个属性的适当值相关的一组陈述。这些陈述可以以适当的方式组合,从而确定通信装置30是否可访问被识别的资源。作为示例,策略可以要求通信装置30连接到特定的通信网络20并且安装特定的硬件密钥。策略引擎206可以构造为识别存储在数据库208内的策略。在一些实施方式中, 服务提供器60可以向认证服务器50发送一个或多个策略,所述策略限定关于由服务提供器60提供的资源的访问规则。如上所述,这些策略可以存储在数据库208中。一旦服务提供器60接收到对特定资源的访问请求,服务提供器60就可以将那一被请求的资源传送到认证服务器50。一般被称为“资源识别”的上述传送向认证服务器50识别被请求的资源。 在一些实施方式中,服务提供器60可以接收来自多个通信装置30的多个请求,并且在单独地识别被请求的资源的单个消息中组合所述多个被请求的资源。在其它实施方式中,服务提供器60可以针对每一个被请求的资源向认证服务器50发送单独的消息。到认证服务器 50的通信可以采取任何适当的通信标准的形式,包括OpenID。在一些实施方式中,资源识别可以包括另外的信息,诸如通信装置30的IP地址或MAC地址,从而认证服务器50可以直接地与通信装置30通信。在一些实施方式中,策略引擎206可以进一步构造为向代理传递组件204传送针对给定资源请求,基于与那一资源相关联的策略,哪些属性将被收集。策略可以包括允许访问在从服务提供器60接收到的资源识别中命名的资源所必需的一组要求的属性值。在一些实施方式中,策略可以包括将一个或多个属性与关于每一个属性的适当值相关的一组陈述。这些陈述可以以适当的方式组合,从而确定通信装置30是否可访问被识别的资源。仅作为示例,使用信息台的医生可以从服务提供器60请求访问包括患者的医疗记录的网页。服务提供器60可以向认证服务器50识别被请求的资源。认证服务器50可以在数据库208中包括对访问被请求的网页所必要的属性进行限定的策略。那一策略可以例如声明,当用户试图访问资源时,只有当(1)用户是与患者相关的医生并且(2)该医生身处特定医院中时,用户才可以访问该特定的网页。由报告收集组件202接收到的属性报告可以包括足以将通信装置30的用户识别为医生的静态和动态属性(例如,用户名、生物特征识别识别数据、或卡访问数据),和足以将用户的位置识别为在医院内的属性(例如, 由通信装置30使用的网络)。如果收集的属性符合限定在适当策略内的属性,那么满足策略并且认证服务器50可以通知服务提供器60请求的有效性。该情形被仅提供作为示例, 并且不应该被理解为限制本公开的范围。例如,在其它实施方式中,策略可以仅依赖于动态数据或仅特定类型的尤其可信任的数据,或者如果满足一组条件中的任何一个(而不是所有),则同意访问。在一些实施方式中,在认证服务器50上驻留的策略被配置为可以由服务提供器 60更新。服务提供器60可以在任何时候确定应该更新策略。策略引擎206可以进一步构造为接收策略更新并且对存储在数据库208中的策略做出被请求的改变。鉴定组件210可以被构造为对在报告收集组件202处接收到的属性报告进行鉴定。在一些实施方式中,鉴定组件210可以使用可信任的计算技术诸如可信任平台模块 (TPM)来鉴定属性报告。TPM可以是与由可信任计算组发布的TPM规范相符合的任何安全设备。在一些实施方式中,可信任平台模块(TPM)安装在通信装置30上并且用来记录通信装置30当前的状态(例如,安装的软件和它们的驱动器,以及安装并且运行的软件)以及在通信装置30的历史中在一些时间点通信装置30的状态。在TPM内的记录信息不能由通信装置30修改。当必要时,诸如当属性报告将被发送到报告收集组件202时,TPM可以生成通信装置30的当前状态的报告并且用TPM的独特密钥(unique key)对它进行签署。在一些实施方式中,该报告可以是包括在属性报告中的动态数据的一些或全部的源。当鉴定组件210接收到属性报告时,它可以对TPM的签名进行认证,并且因此高度确信报告由TPM 生成,报告的内容没有被其它组件修改,并且报告是值得相信的。在操作中,认证服务器50的组件可以通过任何合适的软件或硬件机构,例如操作系统或者内部总线,进行通信。下面参考图3更加详细地总体描述组件功能。图3例示根据本发明的特定实施方式的用于对通信装置30的用户的身份进行认证的示例方法300的流程图。方法300包括接收属性报告;鉴定属性报告;接收资源识别; 识别相关策略;确定属性是否满足策略;如果满足策略,则发送有效性消息;并且如果不满足策略,则发送无效性消息。根据一个实施方式,方法300优选地以步骤302开始。本公开的教导可以以认证服务器50的多种构造来实施。同样,关于方法300的优选的开始点以及组成方法300的步骤302到326的顺序可以取决于选择的实施方式。另外,方法300的步骤可以以除了例示的顺序以外的其它适当顺序来执行。在步骤302,通信装置30可以经由通信网络20请求对服务提供器60的资源的访问。在接收到请求之后,服务提供器60可以在步骤304向认证服务器50发送资源识别,以识别通信装置30试图访问的资源。在一些实施方式中,服务提供器60可以接收来自多个通信装置30的多个请求,并且在单独地识别被请求的资源的单个消息中组合所述多个被请求的资源。在其它实施方式中,服务提供器60可以针对每一个被请求的资源向认证服务器50发送单独的消息。在一些实施方式中,资源识别可以包括另外的信息,诸如通信装置 30的IP地址或MAC地址,从而认证服务器50可以直接地与通信装置30通信。在认证服务器50接收到资源识别之后,方法300可以进行到步骤306。在步骤 306,认证服务器50可以识别与由服务提供器60识别的资源相关的策略。该识别可以包括识别访问命名的资源所必要的属性值。在识别必要的属性值之后,方法可以进行到步骤 308。在步骤308,认证服务器50可以联系通信装置30以确定属性收集代理是否预先安装。 如果没有,则方法300可以进行到步骤310,其中认证服务器50的代理传递组件204可以向通信装置30发送属性收集代理。在发送属性收集代理之后,方法300可以进行到步骤312。 如果属性收集代理预先安装在通信装置30上,则方法300也可以进行到步骤312。如下面所述,方法300的步骤可以以任何合适的顺序发生(包括同时发生),或者可以组合。例如,步骤308和步骤306可以在认证服务器50接收到资源识别之后同时发生。 在身份认证系统10的一些构造中,可能理想的是,按顺序执行这些步骤,从而在如步骤310 中所描述的将属性收集代理发送到通信装置30之前,可以针对为了满足在步骤306中识别的策略应该收集哪些属性来构造属性收集代理。在其它构造中,可能理想的是,保持非特殊构造的属性收集代理,以发送到通信装置30。在如此的构造中,可能必要的是,然后通知发送的属性收集代理为了满足在步骤306中识别的策略,哪些属性应该被收集。该步骤被单独地例示为步骤312。在通知之后,方法300可以进行到步骤314,其中,属性收集代理以属性报告的形式向认证服务器50的报告收集组件202发送必要的属性。方法300然后可以进行到步骤 316。在进行到步骤318之前,在步骤316,由认证服务器50的鉴定组件210来鉴定属性报告。在步骤318,策略引擎206可以分析在步骤316中鉴定的属性,以确定它们是否满足在步骤306中识别的策略。如果不满足策略,则在方法进行到步骤3 之前,方法300可以进行到步骤322,其中,认证服务器50向服务提供器60发送无效性消息,该无效性消息指示 通信装置30无权访问被请求的资源。如果鉴定的属性确定满足策略,则方法300可以进行到步骤320,其中认证服务器50向服务提供器60发送通信装置30可访问被请求的资源的有效性消息。于在步骤320中发送有效性消息之后,方法300可以进行到步骤324。在步骤324,认证服务器50或服务提供器60可以向通信装置30发送电子令牌,通信装置30可以使用该电子令牌来在预定量的时间内指示通信装置30已经经过认证并且可以不必再认证。作为示例,服务提供器60可以向通信装置30发布数字凭证。假如通信装置30需要在接下来的十分钟内对相同请求的访问(仅作为示例),通信装置30可以与资源访问请求一起地发送数字凭证。数字凭证可以指示通信装置30不必被再认证。在向通信装置30发布电子令牌之后,方法300可以返回到步骤302以等待另一个资源请求。于在步骤322中发送无效性消息之后,方法300可以进行到步骤326。在步骤326, 服务提供器60可以向通信装置30提供指示资源请求被拒绝的原因的附加信息。在一些实施方式中,所述附加信息可以被包括作为在步骤322中发送到服务提供器60的无效性消息的一部分。在提供附加信息之后,方法300可以返回到步骤302以等待另一个资源请求。虽然图3公开了关于方法300将采用的一定数量的步骤,但是方法300可以通过比在图3中描述的那些步骤更多或更少的步骤来执行。例如,在一些实施方式中,认证服务器50可以在从通信装置30的用户获得允许之后,向服务提供器60提供聚集的属性的一些,以用于更多高级认证目的。在其它实施方式中,认证系统10的选择的构造可以使得执行步骤3 或3 是不期望的。另外,虽然图3公开了组成方法300的步骤的特定顺序,但是组成方法300的步骤可以按照任何适当的顺序来完成。例如,在所示的方法300的实施方式中,在从服务提供器 60接收到资源识别之后,认证服务器50确定通信装置30是否已经预先安装了属性收集代理。然而,该确定可以在任何适当的时候进行,或者根本不进行。例如,通信装置30可以作出对一个或多个服务提供器60的多个资源请求。方法300可以仅进行该确定一次。利用这里公开的方法和系统,可以改善、减少或消除与对通信装置30的用户的身份进行认证相关的特定问题。例如,这里公开的方法和系统允许通过可信任的属性的鉴定和将它们应用到资源策略而实现身份认证。
权利要求
1.一种用于身份认证的方法,所述方法包括从服务提供器接收一个或多个策略,所述一个或多个策略与访问由所述服务提供器提供的一个或多个资源所需要的多个静态属性和动态属性相关;从所述服务提供器接收资源识别,所述资源识别对由所述服务提供器提供并且由通信装置请求的被请求的资源进行识别;从所述一个或多个策略识别资源策略,所述资源策略与所述被请求的资源相关联并且对访问所述被请求的资源所需要的一组被要求的静态属性和动态属性进行识别; 将所述一组被要求的静态属性和动态属性通知给属性收集代理; 从所述属性收集代理接收属性报告,所述属性报告包括多个属性值,所述多个属性值与所述通信装置相关联并且与所述一组被要求的静态属性和动态属性相关; 鉴定所述属性报告;确定所述多个属性值是否满足所述资源策略; 向所述服务提供器通知所述多个属性值是否满足所述资源策略。
2.根据权利要求1所述的方法,其中,所述资源识别也识别所述通信装置。
3.根据权利要求1所述的方法,该方法进一步包括将所述属性收集代理发送到所述通I H衣且。
4.根据权利要求1所述的方法,其中,所述多个静态属性和动态属性包括生物特征识别数据。
5.根据权利要求1所述的方法,其中,所述多个静态属性和动态属性包括与所述通信装置相关联的环境数据。
6.根据权利要求1所述的方法,该方法进一步包括如果所述多个属性值满足所述资源策略,则向所述通信装置发送电子令牌,所述电子令牌允许所述通信装置在预定量的时间内避免针对所述被请求的资源而进行身份认证。
7.根据权利要求1所述的方法,该方法进一步包括如果所述多个属性值不满足所述资源策略,则向所述通信装置提供附加信息,用于指示关于拒绝对所述被请求的资源的访问的原因。
8.根据权利要求1所述的方法,该方法进一步包括 从所述服务提供器接收对所述资源策略的更新;和更新所述资源策略。
9.一种用于身份认证的方法,所述方法包括向认证服务器发送一个或多个策略,所述一个或多个策略与访问由服务提供器提供的一个或多个资源所需要的多个静态属性和动态属性相关; 从通信装置接收用于对被请求的资源的访问的请求;向所述认证服务器发送资源识别,所述资源识别对所述被请求的资源进行识别; 从所述认证服务器接收消息,所述消息指示所述通信装置是否已经满足资源策略,所述资源策略由所述认证服务器基于至少所述资源识别而选择;如果所述消息指示所述通信装置满足所述资源策略,则同意所述通信装置访问;以及如果所述消息指示所述通信装置不满足所述资源策略,则拒绝所述通信装置访问。
10.根据权利要求9所述的方法,其中,同意所述通信装置访问进一步包括向所述通信装置发送认证令牌,所述电子令牌允许所述通信装置在预定量的时间内避免针对所述被请求的资源而进行身份认证。
11.根据权利要求9所述的方法,其中,拒绝所述通信装置访问进一步包括向所述通信装置提供附加信息,用于指示关于拒绝对所述被请求的资源的访问的原因。
12.根据权利要求9所述的方法,其中,所述资源识别也识别所述通信装置。
13.一种用于身份认证的系统,所述系统包括数据库,所述数据库能够操作以存储一个或多个策略,其中所述一个或多个策略与访问由服务提供器提供的一个或多个资源所需要的多个静态属性和动态属性相关; 处理器,所述处理器耦合到所述数据库并且能够操作以 从所述服务提供器接收所述一个或多个策略;从服务提供器接收资源识别,所述资源识别对由所述服务提供器提供并且由通信装置请求的被请求的资源进行识别;从所述一个或多个策略识别资源策略,所述资源策略与所述被请求的资源相关联并且对访问所述被请求的资源所需要的一组被要求的静态属性和动态属性进行识别; 将所述一组被要求的静态属性和动态属性通知给属性收集代理; 从所述属性收集代理接收属性报告,所述属性报告包括多个属性值,所述多个属性值与所述通信装置相关联并且与所述一组被要求的静态属性和动态属性相关; 鉴定所述属性报告;确定所述多个属性值是否满足所述资源策略; 向所述服务提供器通知所述多个属性值是否满足所述资源策略。
14.根据权利要求13所述的系统,其中,所述资源识别也识别所述通信装置。
15.根据权利要求13所述的系统,该系统进一步包括将所述属性收集代理发送到所述通f曰装直ο
16.根据权利要求13所述的系统,其中,所述多个静态属性和动态属性包括生物特征识别数据。
17.根据权利要求13所述的系统,其中,所述多个静态属性和动态属性包括与所述通信装置相关联的环境数据。
18.根据权利要求13所述的系统,其中,所述处理器进一步能够操作,以在所述多个属性值满足所述资源策略的情况下,向所述通信装置发送电子令牌,所述电子令牌允许所述通信装置在预定量的时间内避免针对所述被请求的资源而进行身份认证。
19.根据权利要求13所述的系统,其中,所述处理器进一步能够操作,以在所述多个属性值不满足所述资源策略的情况下,向所述通信装置提供附加信息,用于指示关于拒绝对所述被请求的资源的访问的原因。
20.根据权利要求13所述的系统,其中,所述处理器进一步能够操作以 从所述服务提供器接收对所述资源策略的更新;和更新所述资源策略。
全文摘要
一种用于身份认证的方法包括从服务提供器接收用于身份证明的请求和接收与通信装置的用户相关联的生物特征识别信息。该方法还包括确定接收到的生物特征识别信息与包括和通信装置的注册用户相关联的生物特征识别信息的生物特征识别特征匹配。该方法还包括响应于确定接收到的生物特征识别信息与生物特征识别特征匹配而解锁与注册用户相关联的私有密匙,以及发送对于数字凭证的请求,所述数字凭证签署有所述与注册用户相关联的私有密匙。该方法还包括接收数字凭证,所述数字凭证包括与注册用户相关联的公共密匙并且满足对于身份认证的请求。该方法还包括向所述服务提供器转发所述数字凭证。
文档编号H04L29/06GK102498701SQ201080040941
公开日2012年6月13日 申请日期2010年8月24日 优先权日2009年9月18日
发明者宋哲炫, 益冈龙介 申请人:富士通株式会社