用于最小披露凭证的身份托管管理的制作方法

用于最小披露凭证的身份托管管理的制作方法
【专利说明】用于最小披露凭证的身份托管管理
[0001]Μ?
[0002] 各组织越来越关注安全地标识在因特网上以及离线地访问并利用其服务和资源 的用户，同时保持这些用户的信息对其他任何人的私密性。这些用户认证和数据共享需求 被成本和效率考虑、被利用个人信息的新业务模型、以及被钓鱼、身份盗窃以及其他安全威 胁的爆炸性增长所驱动。用于用户认证和数据共享的传统机制（诸如塑料卡和纸质凭证） 是昂贵的、易于伪造的、且难以在线使用的。
[0003] 结果，存在对于可以软件和/或硬件实现并被用来防护因特网上的货币或财务交 易的机制（例如，X. 509证书）的快速增长的兴趣。然而，这些机制受到限制，因为例如这 些机制不能在不披露与用户相关联的至少一部分信息的情况下被使用。在验证手续期间， 为了确定给定凭证是否有效，用户必须提供至少一些身份数据以便被认证。
[0004] 即使一些传统机制能够保持匿名，也存在导致这些传统机制的使用出现问题的其 他关注点。在一些情况下，依赖方（诸如商品/服务的提供商）可能期望标识其凭证非法 的特定用户，诸如当该用户可能不再有资格使用先前颁发的凭证、其中包含的属性已经变 得临时或永久无效、或该用户违反了与该服务提供商相关联的策略时。在服务提供商例如 期望能够标识用户以阻止欺诈的同时，这些用户寻求通过控制/最小化所披露的关于他们 的信息来限制公开暴露。
[0005]
[0006] 提供本概述以便以简化形式介绍将在以下的详细描述中进一步描述的一些代表 性概念的选集。本概述不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在 以限制所要求保护的主题的范围的任何方式来使用。
[0007] 简言之，本文公开的主题的各方面涉及经由身份托管管理来实现数据安全和隐 私。在一个方面，实现身份托管管理的技术允许受信用户匿名访问在线服务/资源，同时 向这些服务/资源的提供者（例如，依赖方）保证在线交易不受用户不当行为（包括欺 诈）的危害。然而，要领会，这种不当行为不限于欺诈且可涉及任何不恰当的请求/活 动，诸如违反服务条款。如果用户在某个方面行为不当，则审计者组件将该用户解除匿名 (de-anonymize)，并且必要时阻止对任何在线资源/服务的未来访问。
[0008] 在一个方面，身份管理系统和审计者被配置成通过实现密码加密方案 (cryptographicencryptionscheme)来提供身份托管管理。使用此加密方案，根据一 个方面，身份管理系统的一个或多个组件选择一个或多个凭证作为能够解析用户的身份 的假名（pseudonym)。一个组件（身份托管证明者）基于素数阶密码群（prime-order cryptographicgroup)使用私有密码密钥来对每个假名加密。为了阻止用户加密垃圾数 据而不是实际的假名，身份证明者生成对假名的承诺和加密形式的假名之间的一致性证据 (proofofconsistency)〇
[0009] 在一个方面，另一组件（身份托管验证者）证实此证据以及假名的真实性。如果 此证据有效，则该假名是根据密码加密方案被正确加密的。当与用于最小披露凭证的证实 的呈递证据相组合时，可证明密码加密方案针对密文延展性（ciphertextmalleability) 是安全的。当审计者在解密之前检查呈递证据时，对经加密的假名的任何打击将被检测到， 从而导致失败。
[0010] 结合附图阅读以下详细描述，本发明的其他优点会变得显而易见。
[0011] 附图简沐
[0012] 作为示例而非限制，在附图中示出了本发明，附图中相同的附图标记指示相同或 相似的元素，附图中：
[0013] 图1是解说根据一个示例实现的示例身份托管管理架构的框图。
[0014] 图2是解说根据一个或多个示例实现的用于身份托管管理的示例协议的框图。
[0015] 图3是解说根据一个示例实现的用于用假名来保护最小披露凭证的示例步骤的 流程图。
[0016] 图4是解说根据一个示例实现的用于将最小披露凭证解除匿名的示例步骤的流 程图。
[0017] 图5是解说根据一个示例实现的用于颁发配置有用于身份托管管理的假名的最 小披露凭证的示例步骤的流程图。
[0018] 图6是表示示例非限制联网环境的框图，其中可实现本文所描述的各种实施例。
[0019] 图7是表示其中可实现本文所描述各实施例的一个或多个方面的示例非限制计 算系统或操作环境的框图。
[0020] 详细描沐
[0021] 本文描述的技术的各方面一般涉及计算环境中的身份托管管理。身份托管管理可 在以下计算环境中实现：其中需要端到端交易审计和/或其中用户跟踪被规章禁止或者因 其他原因是不期望的。身份托管管理平衡了期望标识被怀疑从事欺诈的用户的依赖方（例 如，服务提供商）和期望限制对其在线活动的跟踪并最小化其信息的披露的用户之间的相 对立的关注点。身份托管管理的示例实现允许用户匿名性，但是在适当时，准许向某些实体 (诸如执法机构和/或依赖方）披露该用户的身份。披露通常在适当的情况下发生，诸如系 统滥用或来自执法机构的请求。
[0022] 在一个或多个示例实现中，身份托管管理涉及通过对凭证持有者的身份托管假名 加密并向依赖方呈递加密形式的假名而使得凭证能够被匿名呈递给依赖方。如果需要，可 以通过将凭证持有者的假名解密并且访问与该假名相对应的标识信息来将凭证持有者的 身份解除匿名。审计者管理用于将凭证持有者的身份解密的私有密钥并且阻止其他硬件/ 软件组件访问该私有密钥，从而保护凭证持有者的身份不受滥用/误用的危害。
[0023] 数个密码加密方案可被配置成为安全凭证的各个实施例提供身份托管管理，所述 安全凭证包括最小披露或匿名凭证。这些凭证一般使得用户能够发起安全交易，同时几乎 不披露关于该用户的标识信息。即使向依赖方隐瞒某些信息（诸如属性），基于这种加密方 案的呈递证据被配置成证明这些凭证正确地标识该用户并仍旧有效。实现用于此呈递证据 的身份托管使得这些凭证与期望在在线执行交易时负有责任的服务提供商兼容。而且，将 呈递证据和身份托管管理相组合导致语义安全的密码加密方案。
[0024] 一个示例实施例将身份托管管理实现为"身份管理即服务"（IdMaaS)的组件， IdMaaS可以是被配置成提供私有/公共/混合云计算服务以管理组织的雇员、合作伙伴和 顾客的身份关系以便高效地将该组织的社交图的各成员彼此连接并将这些成员与其应用 和数据连接的平台。另一示例实施例采用微软Azure?ActiveDirectory?(活动目录?) 来构建IdMaaS平台，该平台具有对该组织的内部用户（例如，雇员、成员、学生）的内置支 持。一个示例微软Azure? ActiveDirectory^服务组件将IdMaaS扩展到外部用户（例 如，顾客、服务提供商、供应商、合作伙伴和其他依赖方）、自动化联合信任管理、信息安全和 用户隐私。
[0025] 用于颁发/验证凭证的一个示例密码加密方案可被实现为其中用户跟踪被禁用 的协议网关服务。为了阻止用户跟踪，微软Azure?ActiveDireetoryi)服务（其驻留于 用户、依赖方和身份提供商之间并且担当颁发者和验证者）禁用对用户的动作的端到端可 见性。审计者的角色由在微软Azure?ActiveDirectory^服务外部的一个或多个组件来 执行。例如，微软Azure?ActiveDirectory?^服务不应当能够看到某个人使用他/她的微 软帐户（例如，身份提供者）来登录到Skype? web服务器（例如，担当依赖方的服务提供 商）。当此人从身份提供者获得凭证时，微软Azure?ActiveDimctary?服务将此凭证映 射到包括等效属性的最小披露凭证。
[0026] 当该人利用其凭证时，拥有证据被生成并被发送至依赖方，依赖方进而将该证据 转发到微软Azure?ActiveDirectory'?服务以进行验证。最小披露凭证颁发和验证的不可 链接性（unlinkability)确保了微软Azure?ActiveDirectory.服务不具有足够的信息 来端到端地跟踪用户。微软Azure?ActiveDirectory?服务可确认该人从微软帐户曾获 得凭证并稍后观察到某个用户登录了Skype?网站，但是微软Azure?ActiveDirectory? 服务不能容易地将这两个事件正确地关联。
[0027] 应当理解，本文中的任何示例均是非限制的。因此，本发明不限制于在此描述的任 何具体的实施例、方面、概念、结构、功能或示例。相反，本文所描述的任何实施例、方面、概 念、结构、功能或示例都是非限制性的，可以以一般而言在计算和计算安全性中提供好处和 优点的各种方式来使用本发明。
[0028] 图1是解说根据一个或多个示例实现的示例身份管理系统的框图。身份管理系统 的一个示例组件包括证明者102,该证明者被配置成代表用户与颁发者104协商安全凭证， 并随后通过经由针对验证者106的请求证明这些凭证的有效性来与依赖方交换交易相关 数据。颁发者104-般是指用于由身份管理系统所管理的用户计算机的密码信息（包括公 共/私有密码密钥和安全凭证）的权威来源。例如在用户计算机上运行的证明者向颁发者 104提供各种数据，一旦被认证，所述数据作为编码在凭证108内的安全属性数据被返回， 该凭证在本文中可被称为最小披露凭证。为了解说一个示例，凭证108可被存储在设备（例 如，智能卡、移动电话、或在线服务器）内。
[0029] 验证者106-般是指在向依赖方提供各种服务（包括凭证证实、身份托管管理等） 的计算设备内运行的受信硬件/软件机制。验证者106可使用各种硬件/软件组件来实现 这种身份托管管理，包括如本文所述的身份托管验证者。作为一个示例，为了保证与某个服 务提供商发起的交易的安全，验证者106处理证明者102所提供的认证组件110,其被配置 成证明凭证108的有效性并且如果适当，提供用于将提交凭证108的用户解除匿名的机制。
[0030] 凭证108-般可包括经编码的属性数据，诸如身份数据（例如，全名、社保号 (SSN)、和/或类似者），以及各种其他数据。证明者102可将凭证108配置成编码属性数 据的不同部分以使得用户能选择性地披露某些属性，或者如果期望，根本不披露任何属性。 根据一个示例实现，颁发者104使用各种数据来为凭证10