条件登录推广的制作方法

本文描述的实施例通常涉及计算的领域，并且更具体地涉及条件登录推广。

背景技术：

基于网络的服务（诸如流式视频服务）越来越流行。这些基于网络的服务的提供者通常要求用户在允许访问它们的服务之前由用户标识和认证。通常，在准许访问之前，用户必须向特定提供者提供一个或多个认证凭证，诸如用户名和密码。通常，用户必须为需要繁琐的冗余独立登录的每个服务维持单独的认证凭证，以由用户提供给每个服务。

附图说明

在附图的各图中以示例而非限制的方式图示了实施例，其中相同的附图标记指示相似的元件，并且其中：

图1图示了根据一个实施例的包括客户端侧和服务器侧组件的用于条件登录推广的高级架构；

图2图示了根据一个实施例的用于条件登录推广的通信系统；

图3a-3b图示了根据一个实施例的用于本地操作系统（os）登录推广的过程流程的示例；

图4是根据一个实施例的图示与用于本地os登录推广相关联的示例操作的简化流程图；

图5是图2的客户端设备的实施例的简化框图；

图6是图2的认证服务器的实施例的简化框图；

图7图示了根据一个实施例的用于使用生物计量和动态设备标识符认证向信赖方实体进行认证的通信系统；

图8图示了根据一个实施例的用于向认证服务器注册客户端设备的过程流程的示例；

图9图示了根据一个实施例的用于向认证服务器认证客户端设备的过程流程的示例；

图10a-10b是根据一个实施例的图示与客户端设备的注册和认证相关联的示例操作的简化流程图；

图11图示了根据一个实施例的用于在网络安全平台（nsp）内的网络安全资源的策略管理的通信系统；

图12图示了传统网络安全平台gui内的保护简档接口管理页面；

图13图示了根据一个实施例的用于网络安全平台的策略管理gui页面；

图14图示了根据一个实施例的用于执行过滤操作的网络安全平台的策略管理gui页面；

图15图示了根据一个实施例的用于执行批量编辑操作的网络安全平台的策略管理gui页面；以及

图16图示了根据一个实施例的用于执行策略定义的查看、编辑和创建的网络安全平台的策略管理gui页面。

具体实施方式

一个或多个示例实施例针对将由与客户端设备相关联的用户的本地操作系统（os）登录条件推广到通过与信赖方（rp）实体相关联的一个或多个服务器在网络（诸如云网络）内提供资源的一个或多个rp实体。根据一个或多个实施例，由与rp实体相关联的一个或多个服务器提供的资源可以包括服务和/或应用。在一些实施例中，使用基于云的策略引擎来推广本地os窗口登录云中的信赖方实体以向信赖方实体认证用户，由此消除了在本地os级别和rp实体两者处的冗余登录的需要。在一个或多个实施例中，rp实体是诸如网站、供应商以及数据和服务的其他提供者之类的实体，其要求它们的用户在访问它们的资源之前被标识和认证。rp实体的示例包括基于网络的服务，诸如netflix、facebook、linkedin、fedex、dropbox等。

根据各种实施例，提供一种认证框架以利用本地os登录以及从用户获得的附加认证因素，以使用包括生物计量的多个认证因素来提供对用户的云服务的访问，同时消除重复登录到个人服务的需要。此处描述的一个或多个实施例针对将本地os登录推广到信赖方实体，所述信赖方实体向用户提供云服务以允许本地os登录来向信赖方实体认证用户。

图1图示了根据一个实施例的包括客户端侧和服务器侧组件的用于条件登录推广的高级架构100。在图1所示的特定实施例中，架构100包括认证组件102和注册/管理组件104。认证组件102包括被配置为处理来自客户端设备的认证请求的一个或多个认证模块，如将在本文进一步描述的。在所示实施例中，认证组件102的认证模块包括流程和动作处理器模块、管理配置应用编程接口（api）、配置储存、表述性状态转移（rest）服务器、会话储存和restapi。在特定实施例中，认证模块根据oauth开放标准进行配置。注册/管理组件104包括上下文数据模块、信赖方管理工具、用户/应用策略管理模块和专用restapi。

认证组件102和注册/管理组件104均进一步与云服务106、服务器108和身份认证服务110通信。云服务106还包括数据抽象层（dal）、上下文模块用户简档模块、风险分析引擎和restapi。服务器108包括硬件注册/验证模块、鉴证模块和restapi。身份认证服务110包括被配置为促进与架构100内的其他组件的通信的restapi。云服务106进一步与一个或多个数据库112通信。在具体图示的实施例中，数据库112包括会话数据库、生物计量数据库和认证数据库。

架构100还包括驻留在与一个或多个信赖方实体相关联的一个或多个服务器中的信赖方网站114和信赖方应用116。信赖方网站114和信赖方应用116中的每个与认证组件102通信。中继方网站包括网络（web）软件开发工具包（sdk），并且进一步与认证网络接口118通信。认证网络接口118进一步与注册/管理组件104通信。应答方应用116进一步与认证客户端应用120通信。认证客户端应用120进一步与注册/管理组件104通信。架构100还包括与注册/管理组件104通信的认证os登录组件122。认证客户端应用120和认证os登录组件122中的每个都包括本地生物计量库，以促进从用户获得生物计量数据。

认证组件102被配置为处理针对认证功能的认证请求，并创建与诸如用户简档、策略和生物计量组件之类的组件交互以处理认证请求的认证特定流程和动作处理器。在注册过程期间，注册/管理组件104经由专用restapi与各种组件对接，并创建用于特定用户的用户简档，并且将用户简档与标识特定rp客户端的信赖方（rp）客户端标识符（id）相关联。在一个或多个实施例中，用户简档和rp客户端策略被创建并存储在一个或多个数据库（db）112中。在特定实施例中，与认证模块102共享用于用户简档、rp应用策略和上下文数据的db结构以用于认证请求。

在一个示例实施例中，一个或多个认证服务器内的策略引擎管理用于向一个或多个rp实体的登录推广的策略。在特定实施例中，与用户相关联的策略可由订阅rp实体和用户自己的安全设置两者来配置，以控制由用户对由rp实体提供的资源的访问。在特定实施例中，设置用于认证因素的使用的最小安全级别，并且用户和/或rp实体可以增加该级别和用于认证的因素的数量，但是不减少其。策略引擎可以被配置为基于由用户用于认证本地登录的认证因素来确定本地os登录的推广是否可以应用于基于云的应用。所考虑的认证因素可以包括主动（active）认证因素（要求用户采取动作，诸如呈现他们的面部和/或眨眼）和被动（passive）认证因素（对于用户是透明的，诸如用户从其进行连接的客户端设备的身份被信任）两者。结果所得的推广提供了对用户的认证的容易，同时实施所需的安全设置和由rp实体、用户或两者命令的附加认证因素。

一个或多个实施例可以提供比现有解决方案更好的认证解决方案，因为它允许在一个地方集中所有登录和认证要求，并且消除了为各种应用维持单独的认证凭证和对这些多个服务的冗余的独立登录的需要。一个或多个实施例将认证过程和认证因素集中并维持在本地安全设置中，从而避免这些认证因素在云中的传输和复制，以得到认证数据的附加安全性。本文描述的一个或多个实施例提供了多个主动和被动认证因素的使用，除了决定关于由用户提供的认证因素是否满足所需的安全级别以将信任推广到其他应用之外。

根据一个或多个实施例，认证架构简化了用户认证和标识机制，并且在一个工具中联合了针对多个服务的认证要求。在特定实施例中，认证架构提供两种类型的基于云的服务：1）信赖方——订阅的并且为其认证需要利用认证功能的服务，以及2）尚未启用认证的服务。在特定实施例中，认证架构使得用户能够本地地登录到windowsos，并且如果本地登录成功且如果用户已经配置了用于认证的云帐户，则创建新会话并检查以确定云推广是否可能。可以指示云推广是可能的条件的示例包括是否存在互联网连接、不存在其他活动（active）会话、以及其他边界检查。如果成功，则认证架构可以呈现云仪表板图形用户界面（gui）（诸如密码框gui），以允许连接到用户的rp实体，并且如果用户满足要求，则将把os登录会话信息推广到云中的rp。在特定实施例中，认证架构为用户创建云会话，确保两个会话中的数据匹配，并且如果成功，则将用户登录到其他启用认证的服务。

在更具体的实施例中，认证架构利用密码和/或诸如各种生物计量和其他主动认证因素的任何其他认证因素结合附加的被动认证因素（除其他之外尤其诸如使用可信设备、可信网络或可信地理位置）将用户登录到他们的本地机器。在一个或多个实施例中，认证架构不使用他们的云登录直接将用户登录到云中；作为代替，它推广他们的本地登录的效果，以使得能够透明地实现他们对基于云的应用的访问。本文描述的一个或多个方案的各种实施例利用使用主动认证因素的用户本地确证，利用被动认证因素（除其他之外尤其诸如基于可信设备、网络和位置的计算的设备id、接近度和安全区域（可信wi-fi位置））来增强它，然后将信任推广到云。在使用主动/被动认证因素的结果的一个示例中，如果用户利用生物计量从可信设备登录到本地os中，但策略引擎确定用户没有从安全区域登录（例如未知的妻子（wife）网络），则云登录推广将不发生。

在一个或多个实施例中，结果所得的云简档追踪用户的最近应用使用，并自动将用户登录到他或她的应用中。在特定实施例中，用户可以配置他或她的仪表板以在用户登录到windows时自动将用户登录到应用中。在特定实施例中，作为主密码的代替或附加，认证架构可以利用面部识别作为认证因素。在一个或多个特定实施例中，策略引擎透明地使用javascript来处理登录。在特定实施例中，用户可以为其自己配置不同级别的安全设置，并且与启用认证的应用相关联的rp可以增加这些设置。除了要用于认证的多个因素的可配置性之外，在一个或多个实施例中，用户具有将他或她的设备添加到可信列表以用作带外（oob）认证因素的选项。例如，用户最初从其注册到认证架构中的设备可以被认为是可信设备以及用户可以添加到列表的移动设备。附加功能可以使得可信网络和可信位置能够被添加并用作附加的认证/标识因素。

在特定实施例中，当用户执行作为被动认证因素的一部分的本地登录时，唯一的可信设备id被计算并与用户相关联。设备id和可配置认证因素的组合使得策略引擎能够决定关于是否应该允许将本地登录推广到云中的rp。

根据各种实施例，访问级别由云中的策略引擎定义。在一个或多个实施例中，可以允许若干级别的认证强度，如由策略确定的那样。基于应用的要求，一些应用可能要求附加的因素。在特定实施例中，信赖方可以设置用于应用的特定要求，并且该级别也可以由用户设置引起。在一个或多个实施例中，信赖方选择与信赖方相关联的特定应用所需的安全级别，诸如需要哪些认证因素（例如面部识别、可信设备、可信网络等等）来访问rp站点和/或应用。该信息可以存储在用于信赖方的简档中。在特定实施例中，用户可以添加附加的因素，诸如带外因素（例如，其可信设备之一）。在特定实施例中，用户可以加强安全性，但不能将其降低到信赖方要求以下。安全级别确定用户需要呈现哪些认证因素来认证以获得对信赖方的网站和/或应用的访问。在一个或多个实施例中，简档与用户相关联以在认证中使用。在特定示例中，根据预定义的模板来生成用户简档。此外，针对对信赖方的站点的一个或多个部分的安全访问可能存在附加的要求。在一个或多个实施例中，在用户简档和信赖方之间建立关系。在设置用户简档和信赖方之间的关系之前，策略引擎确定用户设置如何与信赖方要求进行交互以确定关系的性质。该机制允许用户和数据的提供者两者在指定所需的认证级别时共享。

图2图示了根据一个实施例的用于条件登录推广的通信系统200。通信系统200包括经由一个或多个接入网络204与认证服务器206通信的第一客户端设备202a和第二客户端设备202b。认证服务器206进一步经由互联网208与第一信赖方服务器210a、第二信赖方服务器210b和第三信赖方服务器210c通信。第一客户端设备202a和第二设备202b中的每个包括允许设备的用户向认证服务器206提供本地登录和认证信息的用户接口以便确定本地登录是否要被推广到信赖方服务器210a-210c中的一个或多个。（多个）接入网络204可以包括移动接入网络、互联网或任何其他合适的接入网络中的一个或多个，以允许客户端设备202a-202b与认证服务器206通信。认证服务器206包括先前关于图1描述的认证组件102和注册组件104。在特定实施例中，认证服务器206可以位于服务提供者的核心网络内。尽管在图2中未图示，但是应当理解，在特定实施例中，认证服务器可以包括云服务106、服务器108、身份认证服务110和（多个）数据库112中的一个或多个，或与云服务106、服务器108、身份认证服务110和（多个）数据库112中的一个或多个通信。

第一客户端设备202a和第二客户端设备202b中的每个分别包括第一用户接口（ui）212a和第二用户接口（ui）212b，其被配置为促进与信赖方（rp）服务器210a-210c中的一个或多个相关联的用户的登录和认证，如将在本文进一步描述的。客户端设备202a-202b可以包括能够访问由信赖方服务器210a-210c中的一个或多个提供的服务或应用的任何电子或计算设备。这些客户端设备可以包括例如移动电话、台式pc、膝上型计算机、平板计算机、个人数据助理（pda）、智能电话、便携式媒体文件播放器、电子书阅读器、便携式计算机、头戴式显示器、交互式信息亭、移动电话、网络书籍、单板计算机（sbc）、嵌入式计算机系统、可穿戴计算机（例如手表或眼镜）、游戏控制台、家庭影院pc（htpc）、tv、dvd播放器、数字有线电视盒、数字录像机（dvr）、能够运行网络浏览器的计算机系统、或这些中的任何两个或更多个的组合。计算设备可以使用包括但不限于安卓、伯克利软件套件（bsd）、iphoneos（ios）、linux、osx、unix类实时操作系统（例如qnx）、微软windows、windowphone和ibmz/os的操作系统。

信赖方（rp）服务器210a-210c是与诸如网站、供应商和数据、服务和应用的其他提供者之类的实体相关联的服务器，其要求其用户在访问其资源之前被标识和认证。

在示例实现中，第一客户端设备202a、第二客户端设备202b、认证服务器206第一rp服务器210a、第二rp服务器201b和第三rp服务器210c是网络元件，其意图包括网络器具、服务器、路由器、交换机、网关、网桥、负载平衡器、处理器、模块或可操作以在网络环境中交换信息的任何其他合适的设备、组件、元件或对象。网络元件可以包括促进其操作的任何合适的硬件、软件、组件、模块或对象，以及用于在网络环境中接收、发送和/或以其他方式传送数据或信息的合适的接口。这可以包括允许数据或信息的有效交换的适当的算法和通信协议。

关于与通信系统200相关联的内部结构，第一客户端设备202a、第二客户端设备202b、认证服务器206第一rp服务器210a、第二rp服务器201b和第三rp服务器210c中的每个可以包括用于存储要在本文概述的操作中使用的信息的存储器元件。在适当的情况下以及基于特定需要，第一客户端设备202a、第二客户端设备202b、认证服务器206第一rp服务器210a、第二rp服务器201b和第三rp服务器210c中的每个可以将信息保持在任何合适的存储器元件（例如，随机存取存储器（ram）、只读存储器（rom）、可擦除可编程rom（eprom）、电可擦除可编程rom（eeprom）、专用集成电路（asic）等）、软件、硬件、固件中、或任何其他合适的组件、设备、元件、或对象中。本文讨论的存储器项目中的任何一个都应被解释为包含在广义术语“存储器元件”内。此外，在通信系统200中使用、追踪、发送或接收的信息可以被提供在任何数据库、寄存器、队列、表、高速缓存、控制列表或其他存储结构中，所有这些都可以在任何合适的时间范围处被引用。任何这样的存储选项也可以包括在如本文所使用的广义术语“存储器元件”内。

在某些示例实现中，本文中概述的功能可以由编码在一个或多个有形介质中的逻辑（例如，要由处理器或其他类似机器等执行的asic中提供的嵌入式逻辑、数字信号处理器（dsp）指令、软件（潜在地包括目标代码和源代码））来实现，所述有形介质可以包括非暂时计算机可读介质。在这些实例中的一些中，存储器元件可以存储被用于本文描述的操作的数据。这包括存储器元件能够存储被执行以执行本文描述的活动的软件、逻辑、计算机代码或处理器指令。

在示例实现中，诸如第一客户端设备202a、第二客户端设备202b、认证服务器206第一rp服务器210a、第二rp服务器201b和第三rp服务器210c之类的通信系统200的网络元件可以包括用于实现或促进如本文概述的操作的软件模块。这些模块可以以任何适当的方式恰当地组合，这可以基于特定的配置和/或预置需要。在某些实施例中，这样的操作可以由硬件执行，在这些元件的外部执行，或者被包括在某个其他网络设备中以实现预期的功能。此外，模块可以被实现为软件、硬件、固件或其任何合适的组合。这些元件还可以包括可以与其他网络元件协调以便实现如本文所概述的操作的软件（或往复式软件）。

此外，第一客户端设备202a、第二客户端设备202b、认证服务器206第一rp服务器210a、第二rp服务器201b和第三rp服务器210c中的每个可以包括可以执行软件或算法来执行如本文所讨论的活动的处理器。处理器可以执行与数据相关联的任何类型的指令以实现本文详述的操作。在一个示例中，处理器可以将元件或物品（例如，数据）从一个状态或事物变换为另一状态或事物。在另一示例中，本文概述的活动可以利用固定逻辑或可编程逻辑（例如，由处理器执行的软件/计算机指令）来实现，并且本文标识的元件可以是某种类型的可编程处理器、可编程数字逻辑（例如，现场可编程门阵列（fpga）、eprom、eeprom）或包括数字逻辑、软件、计算机代码、电子指令或其任何合适的组合的asic。本文描述的潜在的处理元件、模块和机器中的任何一个应被解释为包含在广义术语“处理器”内。

图3a-3b图示了根据一个实施例的用于本地os登录推广的处理流程300的示例。在302中，客户端设备202a的用户发起本地操作系统（os）登录过程，以经由客户端设备202a的用户接口（ui）（诸如图形用户界面（gui））从用户接收与客户端设备202a的本地os相关联的本地登录信息。在特定实施例中，本地登录信息可以包括用户标识符、密码、个人识别号码（pin）或登录到客户端设备202a的本地os所需的任何其他合适的信息中的一个或多个。在304中，客户端设备202a从用户接收一个或多个认证因素。在一个或多个实施例中，认证因素可以包括从用户获得的一个或多个生物计量认证因素，诸如指纹或面部识别。在特定实施例中，从用户接收的认证因素可以包括主动认证因素和/或被动认证因素。在特定实施例中，主动认证因素可以包括要求用户向与客户端设备202a相关联的相机采取诸如呈现用户的面部和/或用户的眼睛的眨眼之类的动作。在又其他特定实施例中，被动认证因素可以包括对于用户透明的认证因素，诸如指示客户端设备202a的客户端设备202a的身份被认证服务器206信任。

在306中，客户端设备202a执行本地登录匹配过程以确定由用户提供的本地登录信息是否与所存储的与用户相关联的本地登录信息相匹配。在特定实施例中，所存储的本地登录信息可以存储在客户端设备202a内。在又其他特定实施例中，所存储的本地登录信息可以存储在与客户端设备202a相关联的服务器内。如果匹配成功，则在308中，客户端设备202a向认证服务器206发送成功的本地操作系统登录的指示和一个或多个认证因素。在310中，认证服务器206响应于接收到本地登录和认证信息而为客户端设备202a创建新会话。

在312中，认证服务器206确证本地os登录是否满足用于将本地os登录推广到与rp服务器210相关联的rp服务和/或应用的一个或多个os推广条件。在一个或多个实施例中，os推广条件可以包括以下中的一个或多个：确定会话标志是否指示没有与客户端设备202a的活动会话、确定是否存在网络连接、确定远程用户表中的当前用户数量是否小于预定阈值[推广的用户的os登录数量]、确定远程用户表和本地用户表中的信息是否相同、确定针对用户的最后推广是否超过预定时间段、以及确定一个或多个认证因素（诸如活力（liveliness）指示）是否满足认证用户所需的安全级别。在特定实施例中，如果活动会话标志被设置为假、存在与互联网的网络连接、远程用户表中的当前用户数量小于预定阈值、远程用户表和本地用户表中的用户数据是相同的、针对该用户的最后推广在至少24小时之前、以及用户的活力检查（诸如用户眨眼的指示）成功，则将本地os登录推广到rp服务器210a。

如果要执行推广，则认证服务器206组件向认证组件102发送认证消息，其指示用户经由客户端设备202a的本地os登录将被推广到rp服务器210a。在一个或多个实施例中，认证消息包括与信赖方相关联的标识符、与用户相关联的标识符、以及为客户端设备202a建立活动会话的指示。在特定实施例中，认证消息的形式为认证（rpid，电子邮件，处理帧，活动=真），其中rpid是rp标识符，电子邮件是标识用户的电子邮件地址，处理帧是当前处理的帧，并且活动=真是活动会话被建立的指示符。

在316中，如果认证组件102尚未将所请求的信赖方信息存储在与认证组件102相关联的高速缓存内，则认证组件102从rp服务器210a请求与所请求的rp服务和/或rp应用相关联的来自rp服务器210a的信赖方信息。在特定实施例中，信赖方信息可以包括与信赖方、信赖方服务器210a、信赖方服务和/或信赖方应用相关联的身份。在318中，认证组件102从rp服务器210a接收所请求的信赖方信息。在320中，认证组件102使用白名单来确证rp信息，以确定信赖方服务和/或应用是否有效。如果rp有效，则在322中，认证组件102生成标识客户端设备102a的交易设备id和标识由rp服务器210a提供的特定rp服务和/或应用的rp应用id。

在324中，认证组件102向rp服务器210a发送授权消息，其授权与客户端设备102a相关联的用户访问由rp服务器210a提供的服务和/或应用。在特定实施例中，授权消息的形式为授权用户（用户数据（oauthtransid，电子邮件，帧），rp数据），其中用户数据字段包括oauth交易id、用户的电子邮件地址、以及要处理的帧，并且rp数据字段包括要发送到rp服务器210的数据。在326中，rp服务器210a执行风险分析以确定是否准许用户对所请求的rp服务和/或应用的访问。在328中，rp服务器210a将指示风险分析结果的第一操作结果消息发送到授权组件102。第一操作结果消息指示风险分析是否指示该用户将被准许对由rp服务器210a提供的rp服务和/或应用的访问。如果第一操作结果指示准许访问，则在330中授权组件102创建用户会话。在332中，认证组件102向认证服务器206发送指示用户会话的创建是否成功的第二操作结果消息。如果成功，则授权服务器206在334中更新会话信息，并在336中将活动会话设置为真。在完成上述过程之后，在客户端设备202a和rp服务器210a之间建立活动会话，以允许客户端设备202a访问由rp服务器210a提供的一个或多个服务和/或应用。

图4是根据一个实施例的图示与本地os登录推广相关联的示例操作的简化流程图400。在402中，认证服务器206从与用户相关联的客户端设备202a接收由用户的本地操作系统登录的指示。在404中，认证服务器206从客户端设备202a接收与用户相关联的一个或多个认证因素。在406中，认证服务器206基于与用户相关联的一个或多个认证因素来确定本地操作系统登录是否要被推广到信赖方实体（诸如rp服务器210a）。在一个多个实施例中，确定本地操作系统登录是否要被推广到信赖方实体包括确定一个或多个认证因素是否满足所需的安全级别。在一个或多个实施例中，一个或多个认证因素包括至少一个主动认证因素和至少一个被动认证因素中的一个或多个。在特定实施例中，至少一个主动认证因素包括生物计量认证因素。在又其他特定实施例中，生物计量认证因素包括用户的面部识别。在又其他特定实施例中，至少一个主动认证因素包括用户的活力指示。在其他特定实施例中，至少一个被动认证因素包括与客户端设备相关联的设备标识符。

如果确定认证因素不满足预定的安全级别，则操作结束。如果确定认证因素确实满足预定的安全级别，则在408中认证服务器206响应于确定认证因素满足所需的安全级别而将本地操作系统登录推广到信赖方实体。在特定实施例中，将本地操作系统登录推广到信赖方实体包括授权客户端设备202a访问与信赖方实体相关联的一个或多个资源。在特定实施例中，一个或多个资源包括由信赖方实体提供的服务或由信赖方实体提供的应用中的至少一个。在410中，认证服务器206响应于将本地操作系统登录推广到信赖方实体而在客户端设备202a和信赖方实体之间建立活动会话。

现在参考图5，图5是图2的客户端设备202a的实施例的简化框图。客户端设备202a包括（多个）处理器502、存储器元件504、图形用户界面506、认证模块508和一个或多个生物计量传感器。（多个）处理器502被配置为执行软件指令以执行如本文描述的客户端设备202a的各种操作。存储器元件504可以被配置为存储与客户端设备202a相关联的软件指令和数据。（多个）处理器502可以是任何类型的处理器，诸如微处理器、嵌入式处理器、数字信号处理器（dsp）、网络处理器或用于执行代码的其他设备。尽管在图5中仅图示了一个处理器502，但是应当理解，在一些实施例中，客户端设备202a可以包括多于一个处理器。

图形用户界面506被配置为向客户端设备202a的用户提供图形用户界面，以促进如本文描述的本地os登录过程。认证模块508被配置为执行与客户端设备202a相关联的认证功能，如本文描述的。（多个）生物计量传感器510被配置为从用户收集生物计量认证因素，如本文描述的。在特定实施例中，（多个）生物计量传感器510可以包括相机、指纹传感器或麦克风中的一个或多个。

现在参考图6，图6是图2的认证服务器206的实施例的简化框图。认证服务器206包括（多个）处理器602、存储器元件604、认证组件102和注册组件104。（多个）处理器602被配置为执行软件指令以执行如本文描述的认证服务器206的各种操作。存储器元件604可以被配置为存储与认证服务器206相关联的软件指令和数据。（多个）处理器602可以是任何类型的处理器，诸如微处理器、嵌入式处理器、数字信号处理器（dsp）、网络处理器或执行代码的其他设备。尽管在图6中仅图示了一个处理器602，但是应当理解，在一些实施例中，认证服务器206可以包括多于一个处理器。

认证组件102被配置为促进如本文描述的认证服务器206的认证和本地os登录推广功能，并且注册组件104被配置为促进如本文描述的认证服务器206的注册、管理和策略管理功能。

一个或多个实施例可以提供以下有利效果中的一个或多个：提供利用多个被动因素（例如，可信设备id）增强的、被处理和在本地安全地维持的、被远程推广以透明地允许对不同的资源的访问的多个主动认证因素（例如，生物计量）的使用，而不需要为各种远程应用中的每种重复认证过程；与单个机制的使用对照，增加认证因素；组合不同性质（主动/被动）的因素来防范欺骗尝试；不会将实际凭证上传到需要它们的云或云服务，也不会尝试使直接登录到云服务以及所需凭证的所要求传输自动化；给用户和服务提供者两者设置和加强在允许对服务的访问之前要满足的安全栏（bar）的机会；维持与用户的信任根并在本地级别内，其可以维持在安全环境中；以及基于所建立的信任而生成被用于向多个远程服务透明地认证用户的用户简档。

现有的解决方案上的单个签名（sign）通常不涉及生物计量，并且通常是单因素认证机制。在解决方案上的单个签名中，信任根维持在多个网站之间。根据本文描述的各种实施例，信任根与用户相关联，并且被维持在本地安全设置中，并且从不分布在许多实体之间。

其他实施例针对将生物计量认证与动态设备标识符组合，以便加强向一个或多个信赖方实体（诸如基于云的实体）的认证。存在网站用于在准许其用户访问之前认证其用户的多种现有机制。这些机制中的一些包括用户名/密码、如一次性密码（otp）的第二因素、以及甚至可能是生物计量。然而，现今，这些因素中的每个彼此独立，这允许恶意实体通过各种已知机制独立地获得这些因素，并尝试欺骗其认证。

本文描述的各种实施例提供了组合生物计量、设备标识和基于设备的鉴证的机制，以唯一地确认发送到信赖方实体的认证和上下文因素彼此相关以及从已经与用户的帐户相关联的设备生成。在一个或多个特定实施例中，使用一次性密码（otp）作为设备标识符，这允许不能被追踪或重复使用的短命的、不断变化的标识符。因此，恶意实体将需要获得多种类型的因素来在认证上欺骗，包括“你有什么”、“你知道什么”和“你是什么”类型的因素。然而，根据一个或多个实施例，真正的用户不负担必须证明所有这些项目。根据一个或多个实施例，提供了一种系统，所述系统促进隐含地提供这些项目中的一些，由此在良好的可用性和高安全性之间实现平衡。

根据一个或多个实施例，向信赖方实体（诸如网站或其他云托管的信赖方实体）的对传统的基于用户名/密码的认证机制的替代方案。在根据至少一个实施例的示例过程中，用户首先向信赖方实体注册相关联的客户端设备。在特定实施例中，可以加强注册客户端设备的过程，从而将设备标识符生成安排在客户端设备内的安全元件中。然后，用户向信赖方实体注册诸如面部的生物计量认证因素。在特定实施例中，信赖方还可以选择为用户设置附加的认证因素，诸如密码或简单的pin。

在认证期间，用户提供相关联的生物计量认证因素，并且系统透明地提供特定客户端设备的身份与用户向信赖方实体注册的客户端设备的身份相同的证明。信赖方实体还可以要求用户输入附加认证因素（例如，pin），以及要求系统在生物计量数据被发送用于认证之前唯一地签名生物计量数据。所有这些认证因素彼此绑定，并由信赖方实体一起验证，以便准许由客户端设备对信赖方实体的资源的访问。

图7图示了根据一个实施例的用于使用生物计量和动态设备标识符认证向信赖方实体进行认证的通信系统700。通信系统700包括经由一个或多个接入网络204与认证服务器710通信的客户端设备702。认证服务器710进一步经由互联网208与信赖方（rp）服务器716通信。在特定实施例中，认证服务器710与授权服务提供者相关联。客户端设备702包括安全元件704、认证客户端706和用户接口（ui）708。安全元件704被配置为安全地生成和存储与客户端设备702相关联的动态设备标识符。用户接口（ui）708被配置为促进与客户端设备702相关联的用户向信赖方（rp）服务器716的注册和认证，如将在本文进一步描述的。认证客户端706被配置为促进向认证服务器710传送注册和认证信息。

（多个）接入网络204可以包括移动接入网络、互联网或任何其他合适的接入网络中的一个或多个，以允许客户端设备202a-202b与认证服务器206通信。认证服务器710包括被配置为提供本文描述的认证功能的认证组件712以及被配置为提供本文描述的注册功能的注册组件714。在特定实施例中，认证服务器710可以位于服务提供者的核心网络内。

客户端设备702可以包括能够访问由信赖方服务器716提供的服务或应用的任何电子或计算设备。这些客户端设备可以包括例如移动电话、台式pc、膝上型计算机、平板计算机、个人数据助理（pda）、智能电话、便携式媒体文件播放器、电子书阅读器、便携式计算机、头戴式显示器、交互式信息亭、移动电话、网络书籍、单板计算机（sbc）、嵌入式计算机系统、可穿戴计算机（例如，手表或眼镜）、游戏控制台、家庭影院pc（htpc）、tv、dvd播放器、数字有线电视盒、数字录像机（dvr）、能够运行网络浏览器的计算机系统、或这些中的任何两个或更多个的组合。计算设备可以使用包括但不限于安卓、伯克利软件套件（bsd）、iphoneos（ios）、linux、osx、unix类实时操作系统（例如qnx）、微软windows、windowphone和ibmz/os的操作系统。

信赖方（rp）服务器716是与诸如网站、供应商和数据、服务和应用的其他提供者之类的提供资源的信赖方实体相关联的服务器，其要求客户端设备702的用户在访问它们的资源之前被标识和认证。

在示例实现中，客户端设备702、认证服务器710和rp服务器716是网络元件，其意图包括网络器具、服务器、路由器、交换机、网关、网桥、负载平衡器、处理器、模块或可操作以在网络环境中交换信息的任何其他合适的设备、组件、元件或对象。网络元件可以包括促进其操作的任何合适的硬件、软件、组件、模块或对象，以及用于在网络环境中接收、发送和/或以其他方式传送数据或信息的合适的接口。这可以包括允许数据或信息的有效交换的适当的算法和通信协议。

关于与通信系统700相关联的内部结构，客户端设备702、认证服务器710和rp服务器716中的每个可以包括用于存储要在本文概述的操作中使用的信息的存储器元件。在适当的情况下以及基于特定需要，客户端设备702、认证服务器710和rp服务器716中的每个可以将信息保持在任何合适的存储器元件（例如，随机存取存储器（ram）、只读存储器（rom）、可擦除可编程rom（eprom）、电可擦除可编程rom（eeprom）、专用集成电路（asic）等）、软件、硬件、固件中、或任何其他合适的组件、设备、元件、或对象中。本文讨论的存储器项目中的任何一个都应被解释为包含在广义术语“存储器元件”内。此外，在通信系统700中使用、追踪、发送或接收的信息可以被提供在任何数据库、寄存器、队列、表、高速缓存、控制列表或其他存储结构中，所有这些都可以在任何合适的时间范围处被引用。任何这样的存储选项也可以包括在如本文所使用的广义术语“存储器元件”内。

在某些示例实现中，本文中概述的功能可以由编码在一个或多个有形介质中的逻辑（例如，要由处理器或其他类似机器等执行的asic中提供的嵌入式逻辑、数字信号处理器（dsp）指令、软件（潜在地包括目标代码和源代码））来实现，所述有形介质可以包括非暂时计算机可读介质。在这些实例中的一些中，存储器元件可以存储被用于本文描述的操作的数据。这包括存储器元件能够存储被执行以执行本文描述的活动的软件、逻辑、计算机代码或处理器指令。

在示例实现中，诸如客户端设备702、认证服务器710和rp服务器716之类的通信系统200的网络元件可以包括用于实现或促进如本文概述的操作的软件模块。这些模块可以以任何适当的方式恰当地组合，这可以基于特定的配置和/或预置需要。在某些实施例中，这样的操作可以由硬件执行，在这些元件的外部执行，或者被包括在某个其他网络设备中以实现预期的功能。此外，模块可以被实现为软件、硬件、固件或其任何合适的组合。这些元件还可以包括可以与其他网络元件协调以便实现如本文所概述的操作的软件（或往复式软件）。

此外，客户端设备702、认证服务器710和rp服务器716中的每个可以包括可以执行软件或算法来执行如本文所讨论的活动的处理器。处理器可以执行与数据相关联的任何类型的指令以实现本文详述的操作。在一个示例中，处理器可以将元件或物品（例如，数据）从一个状态或事物变换为另一状态或事物。在另一示例中，本文概述的活动可以利用固定逻辑或可编程逻辑（例如，由处理器执行的软件/计算机指令）来实现，并且本文标识的元件可以是某种类型的可编程处理器、可编程数字逻辑（例如，现场可编程门阵列（fpga）、eprom、eeprom）或包括数字逻辑、软件、代码、电子指令或其任何合适的组合的asic。本文描述的潜在的处理元件、模块和机器中的任何一个应被解释为包含在广义术语“处理器”内。

图8图示了根据一个实施例的用于向认证服务器710注册客户端设备702的过程流程800的示例。客户端设备702的注册允许验证后续认证尝试的源。如果在客户端设备702的安全元件704内执行设备标识符的注册和后续生成，则设备注册被显著加强。注册还包括作为用户认证的一部分的来自用户的生物计量认证因素的注册。

在802中，认证客户端706发起向认证服务器710的设备注册。在804中，客户端设备702在安全元件704内生成令牌。在特定实施例中，基于公钥密码算法来生成令牌。在806中，作为设备注册的一部分，客户端设备702将令牌从安全元件704发送到认证服务器710。在808中，客户端设备702的认证客户端706从与客户端设备702相关联的用户接收一个或多个第一生物计量认证因素。在810中，客户端设备702的认证客户端706注册（多个）第一生物计量认证因素，并将（多个）第一生物计量认证因素与客户端设备702相关联。在812中，客户端设备702的认证客户端706将令牌和相关联的（多个）第一生物计量认证因素发送到认证服务器710。在814中，认证服务器710将令牌与（多个）用户生物计量相关联。因此，客户端设备702向认证服务器710注册，以允许向认证服务器710的客户端设备702的后续认证。

图9图示了根据一个实施例的用于向认证服务器710认证客户端设备702的过程流程900的示例。在902中，客户端设备702的认证客户端706从与客户端设备702相关联的用户捕获第二生物计量认证因素。在904中，认证客户端706发送从安全元件704检索设备标识符的请求。在906中，客户端设备702从安全元件704内的令牌生成设备标识符。在908中，客户端设备702将生成的设备标识符发送到认证客户端706。在910中，认证客户端706利用设备标识符来数字签名（多个）第二生物计量认证因素。在特定实施例中，使用从设备标识符导出的密钥来签名（多个）第二生物计量认证因素。在又另一个实施例中，使用在设备注册过程期间建立的另一个密钥来签名用户生物计量。

在912中，认证客户端706将（多个）经签名的第二生物计量认证因素和设备标识符发送到认证服务器710。在914中，认证服务器710使用先前接收的令牌来验证设备标识符。在916中，认证服务器710基于设备标识符来验证（多个）经签名的第一生物计量认证因素。在特定实施例中，如果（多个）第二生物计量认证因素与（多个）第一生物计量认证因素匹配，则认证服务器710验证（多个）第二生物计量认证因素。在特定实施例中，使用从设备标识符导出的密钥来验证经签名的用户生物计量。在918中，在验证后，认证服务器710向客户端设备702的认证客户端706发送与客户端设备702相关联的用户已经被认证的指示，以便准许对rp服务器716的访问。在920中，在客户端设备702和rp服务器716之间建立会话，以允许客户端设备702访问由与rp服务器716相关联的信赖方实体提供的一个或多个资源。

在一个或多个实施例中，用户生物计量和设备标识符的组合提供了授权请求来自注册的设备的置信度，并且在授权请求和注册的设备之间等候（biding）。使用这种组合，授权服务器710可以获得授权请求是真实的高置信度。根据一个或多个实施例，生成的设备标识符用作一次性密码。任何形式的标识（用户或设备）都可能给其带来许多隐私问题，特别是如果存在可以跨使用而追踪的静态标识符的话。使用生成的设备标识符作为一次性密码可以具有以下特性中的一个或多个：1）一个被生成，其仅在短持续时间内有效；（2）一旦由认证服务器验证，则其变得无用。

由于根据各种实施例，设备标识符本质上是一次性密码，所以这允许设备标识符对于每个认证会话是唯一的。如果设备标识符被盗，则它将是无用的，因为它不能重新用于后续的认证会话。此外，一旦被生成，则设备标识符必须在非常短的持续时间内使用。如果没有，则它再一次变得无用。

图10a-10b是根据一个实施例的图示与客户端设备的注册和认证相关联的示例操作的简化流程图1000。在1002中，诸如客户端设备702的与用户相关联的客户端设备发起向诸如认证服务器710的服务器的设备注册。在1004中，客户端设备在与用户相关联的客户端设备的诸如安全元件704的安全元件内生成令牌。在1006中，客户端设备将令牌发送到服务器。在1008中，客户端设备接收与用户相关联的一个或多个第一生物计量认证因素。在1010中，客户端设备向服务器发送一个或多个第一生物计量认证因素，其中服务器被配置为将令牌与一个或多个生物计量认证因素相关联。

在1012中，客户端设备从用户捕获一个或多个第二生物计量认证因素。在1014中，客户端设备从令牌生成与客户端设备相关联的设备标识符。在1016中，客户端设备利用设备标识符来数字地签名一个或多个第二生物计量认证因素。在特定实施例中，在安全元件内生成设备标识符。在其他特定实施例中，使用从设备标识符导出的密钥来签名一个或多个第二生物计量认证因素。

在1018中，客户端设备将经签名的生物计量认证因素和设备标识符发送到服务器。在一个或多个实施例中，服务器被配置为验证设备标识符和经签名的生物计量认证因素。在1020中，客户端设备响应于服务器验证设备标识符和经签名的生物计量认证因素，而从服务器接收与客户端设备相关联的用户已被认证的指示。在1022中，客户端设备在客户端设备和信赖方实体之间建立会话，以访问与信赖方实体相关联的一个或多个资源。然后操作结束。

另一个实施例针对用于其中多个对象被分配到多个资源的网络安全平台（nsp）内的网络安全资源的策略管理的图形用户界面。一个或多个实施例通过将所有入侵防御系统传感器的所有网络接口暴露在“单个玻璃窗格”上然后使得用户能够以最小的用户接口交互一次在一个或多个接口上查看、创建、编辑和分配策略来提供策略管理。根据各种实施例，“单个玻璃窗格”是指使用单个控制面板来执行许多策略管理功能。

重要的是要理解，现今许多网络安全产品的上下文中的策略实际上是多种策略类型的集合。例如，分配到给定网络接口的“策略”可以包括用于以下策略类型中的每种的定义/分组：（1）入侵防御；（2）高级恶意软件分析；（3）业务检查；（4）防火墙/访问控制；（5）速率限制/标签规则；以及（6）连接限制/拒绝服务（dos）防御。这种固有的复杂性在传统系统的管理上呈现困难，因为看似与将策略分配到单个接口一样简单的某些事物实际上包括六组定义的分配。在其中管理员具有十个设备而每个设备具有十个接口的常见用例中，需要管理六百个分配。此外，由于每个接口的复杂度级别，网络安全平台传统上暴露了每个接口的管理。也就是说，管理员被迫一次为单个接口管理分配。为了管理这些六百个分配，可能需要导航（navigate）一百个不同的ui页面，并且在每个页面上，分配将需要被更新并保存改变。根据一个或多个实施例，将接口暴露在“单个玻璃窗格”上允许在十几次点击中跨例如一百个接口的策略分配的潜在更新，并且沿途避免人类错误的大的可能。

网络安全上下文中的集中策略管理的核心用例包括：

1.比较和对比跨多个接口的当前策略类型分配。

2.基于现有的分配和/或接口元数据过滤或滤掉接口。

3.更新用于一个或多个接口的分配。

4.查看用于给定策略定义的细节。

5.编辑用于给定策略定义的细节。

6.创建新的策略定义。

图11图示了根据一个实施例的用于在网络安全平台（nsp）内的网络安全资源的策略管理的通信系统1100。通信系统1100包括网络安全平台1102，网络安全平台1102包括策略管理模块1104、第一入侵防御传感器（ips）1106a、第二ips1106b和第三ips1106c。通信系统1100还包括客户端模块1108和管理设备1110，每个与网络安全平台1102通信。网络安全平台1102进一步与互联网208通信。网络安全平台1102进一步与互联网208通信。在一个或多个实施例中，第一ips1106a、第二ips1106b和第三ips1106c中的每个都是网络元件、硬件设备和/或软件模块，其被配置为检测和防御对网络业务和/或网络元件（诸如通信网络1100内的客户端设备1108）的入侵和其他攻击。

策略管理模块1104被配置为管理在第一ips1106a、第二ips1106b和第三ips1106c中的每个上配置的一个或多个策略。策略是用户配置的安全规则，其确定如何执行入侵检测以及如何由通信网络1100内的第一ips1106a、第二ips1106b和第三ips1106c中的每个处理客户端设备1108和互联网208之间的业务。可以由第一ips1106a、第二ips1106b和第三ips1106c中的一个或多个执行的功能的示例包括但不限于有状态业务检查、签名检测、异常检测、拒绝服务（dos）检测、入侵防御和加密攻击保护。

管理设备1110包括连接到其并且被配置为向管理设备1110的管理员或其他用户提供策略管理图形用户界面（gui）的显示器1112。策略管理gui被配置为允许管理员与网络安全平台1102的策略管理模块1104对接，以使得能够实现第一ips1106a、第二ips1106b和第三ips1106c的配置，如将在本文进一步描述的。客户端设备1108和/或管理设备1110可以包括能够与网络安全平台1102通信的任何电子或计算设备，并且可以包括例如移动电话、台式pc、膝上型计算机、平板计算机、个人数据助理（pda）、智能电话、便携式媒体文件播放器、电子书阅读器、便携式计算机、头戴式显示器、交互式信息亭、移动电话、网络书籍、单板计算机（sbc）、嵌入式计算机系统、可穿戴计算机（例如手表或眼镜）、游戏控制台、家庭影院pc（htpc）、tv、dvd播放器、数字有线电视盒、数字录像机（dvr）、能够运行网络浏览器的计算机系统、或这些中的任何两个或更多个的组合。计算设备可以使用包括但不限于安卓、伯克利软件套件（bsd）、iphoneos（ios）、linux、osx、unix类实时操作系统（例如qnx）、微软windows、windowphone和ibmz/os的操作系统。

图12图示了传统网络安全平台gui内的保护简档接口管理页面1200。示出了网络安全平台gui中的保护简档页面1200，其允许用于单个接口的分配的用户管理。保护简档页面的一些缺点包括：

1.无法比较/对比跨多个接口的分配，因为一次只能暴露单个接口的分配。

2.无法一次改变到多于单个的接口的分配。

3.网络安全平台传统上将策略定义与策略分配分离，因此不存在用于查看、编辑或创建策略定义的一致选项。

本文描述的各种实施例可以解决这些缺点中的一个或多个。

图13图示了根据一个实施例的用于网络安全平台的策略管理gui页面1300。在一个或多个实施例中，图13的页面1300可以用于执行核心策略管理任务，诸如添加、编辑和分配策略。策略管理gui页面1300包括接口选项卡1302和设备选项卡1304，其中将接口选项卡1302示出为被选择。接口选项卡1302包括网格视图，其包括设备名称字段、接口名称字段、策略组字段以及各个策略分配字段。各个策略分配字段包括ips字段、高级恶意软件字段、检查选项字段、连接限制字段、防火墙字段和服务质量（qos）字段。在图13的示例中，示出了具有三个接口的一个设备。如图13中所示，可以看出，比较和对比分配很容易执行，因为所有接口及其分配都可在网格上查看。

图14图示了根据一个实施例的用于执行过滤操作的网络安全平台的策略管理gui页面1400。策略管理gui页面1400包括“快速搜索”字段1402，以促进设置当前过滤器和“清除所有过滤器”字段1404以清除当前过滤器。利用网格视图，搜索/过滤是直截了当的。例如，用户可以基于接口名称或分配的策略而容易地过滤。

图15图示了根据一个实施例的用于执行批量编辑操作的网络安全平台的策略管理gui页面1500。批量编辑操作提供了跨接口同时编辑策略分配的能力。当在gui内选择多个接口时，页面1500进入批量编辑模式，其通过提供“多接口选择”面板1502来提供低至策略类型的粒度，在“多接口选择”面板1502中可以分配用于所选择的接口的策略组以及为每个接口同时设置所有的各个策略分配（例如ips、高级恶意软件、检查选项、连接限制、防火墙和服务质量（qos）。例如，用户可以选择将相同的连接限制策略分配到所有选择的接口，而不影响当前分配到每个接口的ips策略。

图16图示了根据一个实施例的用于执行对策略定义的查看、编辑和创建的网络安全平台的策略管理gui页面1600。在选择一个或多个接口1602后，策略编辑面板1604被配置为打开，在其中各个策略分配中的一个或多个可以被操纵，包括创建新策略、查看现有策略以及编辑现有策略。例如，典型的ips策略包含数千个攻击定义，并且防火墙策略可以包含数十到数千个规则。因此，尽管保持策略定义与其分配分离的管理是有意义的，但gui页面1600使得能够实现在两个工作流之间的容易转变。具体地，查看/编辑所选择的策略的细节可利用点击而得到，如在需要时创建新策略的能力那样。

因此，一个或多个实施例允许使用“单个玻璃窗格”或单个控制面板来集中和简化对象的管理，诸如策略及其对诸如网络接口的资源的分配。

示例

以下示例涉及另外的实施例。

示例1是用于认证的系统，包括至少一个处理器和至少一个存储器元件，其中所述系统被配置用于：从与用户相关联的客户端设备接收由用户的本地操作系统登录的指示；从所述客户端设备接收与所述用户相关联的一个或多个认证因素；以及基于与所述用户相关联的所述一个或多个认证因素来确定所述本地操作系统登录是否要被推广到信赖方实体。

在示例2中，示例1的主题可以可选地包括其中确定所述本地操作系统登录是否要被推广到信赖方实体包括确定所述一个或多个认证因素是否满足所要求的安全级别。

在示例3中，示例2的主题可以可选地包括其中所述系统还被配置用于响应于确定所述认证因素满足所要求的安全级别而将所述本地操作系统登录推广到信赖方实体。

在示例4中，示例1-3的主题可以可选地包括其中将所述本地操作系统登录推广到信赖方实体包括授权所述客户端设备访问与所述信赖方实体相关联的一个或多个资源。

在示例5中，示例4的主题可以可选地包括其中所述一个或多个资源包括由所述信赖方实体提供的服务或由所述信赖方实体提供的应用中的至少一个。

在示例6中，示例1-5的主题可以可选地包括其中所述系统还被配置用于响应于将所述本地操作系统登录推广到信赖方实体而在所述客户端设备和所述信赖方实体之间建立活动会话。

在示例7中，示例1-6的主题可以可选地包括其中所述一个或多个认证因素包括至少一个主动认证因素和至少一个被动认证因素中的一个或多个。

在示例8中，示例7的主题可以可选地包括其中所述至少一个主动认证因素包括生物计量认证因素。

在示例9中，示例8的主题可以可选地包括其中所述生物计量认证因素包括所述用户的面部识别。

在示例10中，示例7的主题可以可选地包括其中所述至少一个主动认证因素包括所述用户的活力指示。

在示例11中，示例7的主题可以可选地包括其中所述至少一个被动认证因素包括与所述客户端设备相关联的设备标识符。

示例12是至少一种用于存储计算机代码的非暂时计算机存储介质，包括：用于从与用户相关联的客户端设备接收由用户的本地操作系统登录的指示的计算机代码；用于从所述客户端设备接收与所述用户相关联的一个或多个认证因素的计算机代码；以及用于基于与所述用户相关联的所述一个或多个认证因素来确定所述本地操作系统登录是否要被推广到信赖方实体的计算机代码。

在示例13中，示例12的主题可以可选地包括其中确定所述本地操作系统登录是否要被推广到信赖方实体包括确定所述一个或多个认证因素是否满足所要求的安全级别。

在示例14中，示例13的主题可以可选地包括其中所述系统还被配置用于响应于确定所述认证因素满足所要求的安全级别而将所述本地操作系统登录推广到信赖方实体。

在示例15中，示例12-14的主题可以可选地包括其中将所述本地操作系统登录推广到信赖方实体包括授权所述客户端设备访问与所述信赖方实体相关联的一个或多个资源。

在示例16中，示例15的主题可以可选地包括其中所述一个或多个资源包括由所述信赖方实体提供的服务或由所述信赖方实体提供的应用中的至少一个。

在示例17中，示例12-16的主题可以可选地包括其中所述系统还被配置用于响应于将所述本地操作系统登录推广到信赖方实体而在所述客户端设备和所述信赖方实体之间建立活动会话。

在示例18中，示例12-17的主题可以可选地包括其中所述一个或多个认证因素包括至少一个主动认证因素和至少一个被动认证因素中的一个或多个。

在示例19中，示例18的主题可以可选地包括其中所述至少一个主动认证因素包括生物计量认证因素。

在示例20中，示例19的主题可选地包括其中所述生物计量认证因素包括所述用户的面部识别。

在示例21中，示例18的主题可以可选地包括其中所述至少一个主动认证因素包括所述用户的活力指示。

在示例22中，示例18的主题可以可选地包括其中所述至少一个被动认证因素包括与所述客户端设备相关联的设备标识符。

示例23是用于认证的计算机实现的方法，包括：从与用户相关联的客户端设备接收由用户的本地操作系统登录的指示；从所述客户端设备接收与所述用户相关联的一个或多个认证因素；以及基于与所述用户相关联的所述一个或多个认证因素来确定所述本地操作系统登录是否要被推广到信赖方实体。

在示例24中，示例23的主题可以可选地包括其中确定所述本地操作系统登录是否要被推广到信赖方实体包括确定所述一个或多个认证因素是否满足所要求的安全级别。

在示例25中，示例24的主题可以可选地包括响应于确定所述认证因素满足所要求的安全级别而将所述本地操作系统登录推广到信赖方实体。

在示例26中，示例23-25的主题可以可选地包括其中将所述本地操作系统登录推广到信赖方实体包括授权所述客户端设备访问与所述信赖方实体相关联的一个或多个资源。

在示例27中，示例23-26的主题可以可选地包括其中所述一个或多个认证因素包括至少一个主动认证因素和至少一个被动认证因素中的一个或多个。

示例28是用于认证的装置，包括：用于从与用户相关联的客户端设备接收由用户的本地操作系统登录的指示的部件；用于从所述客户端设备接收与所述用户相关联的一个或多个认证因素的部件；以及用于基于与所述用户相关联的所述一个或多个认证因素来确定所述本地操作系统登录是否要被推广到信赖方实体的部件。

在示例29中，示例28的主题可以可选地包括其中确定所述本地操作系统登录是否要被推广到信赖方实体包括确定所述一个或多个认证因素是否满足所要求的安全级别。

在示例30中，示例29的主题可以可选地包括用于响应于确定所述认证因素满足所要求的安全级别而将所述本地操作系统登录推广到信赖方实体的部件。

在示例31中，示例28-30的主题可以可选地包括其中将所述本地操作系统登录推广到信赖方实体包括授权所述客户端设备访问与所述信赖方实体相关联的一个或多个资源。

在示例32中，示例28-31的主题可以可选地包括其中所述系统还被配置用于响应于将所述本地操作系统登录推广到信赖方实体而在所述客户端设备和所述信赖方实体之间建立活动会话。

示例33是包括至少一个处理器和至少一个存储器元件的系统，其中所述系统被配置用于：在与用户相关联的客户端设备的安全元件内生成令牌；将所述令牌发送到服务器；接收与所述用户相关联的一个或多个第一生物计量认证因素；以及将所述一个或多个第一生物计量认证因素发送到所述服务器，其中所述服务器被配置为将所述令牌与所述一个或多个生物计量认证因素相关联。

在示例34中，示例33的主题可以可选地包括其中所述系统还被配置用于：从所述用户捕获一个或多个第二生物计量认证因素；从所述令牌生成与所述客户端设备相关联的设备标识符；以及利用所述设备标识符来数字签名所述一个或多个第二生物计量认证因素。

在示例35中，示例34的主题可以可选地包括其中所述设备标识符在所述安全元件内生成。

在示例36中，示例33-35的主题可以可选地包括其中所述一个或多个第二生物计量认证因素使用从所述设备标识符导出的密钥来签名。

在示例37中，示例36的主题可以可选地包括其中所述系统还被配置用于将经签名的生物计量认证因素和所述设备标识符发送到所述服务器。

在示例38中，示例37的主题可以可选地包括其中所述服务器被配置为验证所述设备标识符和所述经签名的生物计量认证因素。

在示例39中，示例38的主题可以可选地包括其中所述系统还被配置用于响应于所述服务器验证所述设备标识符和所述经签名的生物计量认证因素，而从所述服务器接收与所述客户端设备相关联的用户已被认证的指示。

在示例40中，示例39的主题可以可选地包括其中所述系统还被配置为在所述客户端设备和信赖方实体之间建立会话以访问与所述信赖方实体相关联的一个或多个资源。

示例41是至少一种用于存储计算机代码的非暂时计算机存储介质，包括：用于在与用户相关联的客户端设备的安全元件内生成令牌的计算机代码；用于将所述令牌发送到服务器的计算机代码；用于接收与所述用户相关联的一个或多个第一生物计量认证因素的计算机代码；以及用于将所述一个或多个第一生物计量认证因素发送到所述服务器的计算机代码，其中所述服务器被配置为将所述令牌与所述一个或多个生物计量认证因素相关联。

示例42是权利要求41的至少一种非暂时计算机存储介质，还包括：用于从所述用户捕获一个或多个第二生物计量认证因素的计算机代码；用于从所述令牌生成与所述客户端设备相关联的设备标识符的计算机代码；以及用于利用所述设备标识符来数字签名所述一个或多个第二生物计量认证因素的计算机代码。

在示例43中，示例42的主题可以可选地包括其中所述一个或多个第二生物计量认证因素使用从所述设备标识符导出的密钥来签名。

在示例44中，示例43的主题可以可选地包括用于将经签名的生物计量认证因素和所述设备标识符发送到所述服务器的计算机代码。

在示例45中，示例44的主题可以可选地包括其中所述服务器被配置为验证所述设备标识符和所述经签名的生物计量认证因素。

在示例46中，示例45的主题可以可选地包括用于响应于所述服务器验证所述设备标识符和所述经签名的生物计量认证因素而从所述服务器接收与所述客户端设备相关联的用户已被认证的指示的计算机代码。

在示例47中，示例46的主题可以可选地包括用于在所述客户端设备和信赖方实体之间建立会话以访问与所述信赖方实体相关联的一个或多个资源的计算机代码。

示例48是用于认证的计算机实现的方法，包括：在与用户相关联的客户端设备的安全元件内生成令牌；将所述令牌发送到服务器；接收与所述用户相关联的一个或多个第一生物计量认证因素；以及将所述一个或多个第一生物计量认证因素发送到所述服务器，其中所述服务器被配置为将所述令牌与所述一个或多个生物计量认证因素相关联。

在示例49中，示例48的主题可以可选地包括从所述用户捕获一个或多个第二生物计量认证因素；从所述令牌生成与所述客户端设备相关联的设备标识符；以及利用所述设备标识符来数字签名所述一个或多个第二生物计量认证因素。

在示例50中，示例49的主题可以可选地包括将经签名的生物计量认证因素和所述设备标识符发送到所述服务器，其中所述服务器被配置为验证所述设备标识符和所述经签名的生物计量认证因素。

在示例51中，示例50的主题可以可选地包括响应于所述服务器验证所述设备标识符和所述经签名的生物计量认证因素，而从所述服务器接收与所述客户端设备相关联的用户已被认证的指示。

在示例52中，示例51的主题可以可选地包括在所述客户端设备和信赖方实体之间建立会话以访问与所述信赖方实体相关联的一个或多个资源。

示例53是用于认证的装置，包括：用于在与用户相关联的客户端设备的安全元件内生成令牌的部件；用于将所述令牌发送到服务器的部件；用于接收与所述用户相关联的一个或多个第一生物计量认证因素的部件；以及用于将所述一个或多个第一生物计量认证因素发送到所述服务器的部件，其中所述服务器被配置为将所述令牌与所述一个或多个生物计量认证因素相关联。

在示例54中，示例53的主题可以可选地包括用于从所述用户捕获一个或多个第二生物计量认证因素的部件；用于从所述令牌生成与所述客户端设备相关联的设备标识符的部件；以及用于利用所述设备标识符来数字签名所述一个或多个第二生物计量认证因素的部件。

在示例55中，示例54的主题可以可选地包括用于将经签名的生物计量认证因素和所述设备标识符发送到所述服务器的部件，其中所述服务器被配置为验证所述设备标识符和所述经签名的生物计量认证因素。

在示例56中，示例55的主题可以可选地包括用于响应于所述服务器验证所述设备标识符和所述经签名的生物计量认证因素而从所述服务器接收与所述客户端设备相关联的用户已被认证的指示的部件。

在示例57中，示例56的主题可以可选地包括用于在所述客户端设备和信赖方实体之间建立会话以访问与所述信赖方实体相关联的一个或多个资源的部件。

示例58是包括用于执行如前述权利要求中任一项所要求保护的方法的部件的装置。

示例59是包括机器可读指令的机器可读存储装置，所述机器可读指令当被执行时实现或实施如前述权利要求中任一项所要求保护的方法或装置。