然已经以特定于结构特征和/或方法动作的语言描述了本主题,但是要理解,在随附权利要求中限定的主题不必限制于以上描述的特定特征或者动作。而是,上文描述的特定特征和动作被公开为实现权利要求的示例形式。
[0062]如在本申请中使用的,术语“组件”、“模块”、“系统”、“接口”等等一般打算指代计算机有关实体,其或是硬件、硬件和软件的组合、软件,或是执行中的软件。例如,组件可以但不限于是在处理器上运行的进程、处理器、对象、可执行文件、执行的线程、程序和/或计算机。作为图示,在控制器上运行的应用和控制器两者可以是组件。一个或者多个组件可以常驻于进程内和/或执行的线程内,并且组件可以在一台计算机上本地化和/或在两台或者更多计算机之间分布。
[0063]此外,所要求保护的主题可以实现为方法、装置、或者使用标准编程和/或工程技术来产生软件、固件、硬件或者其任何组合以控制计算机实现所公开的主题的制品。本文使用的术语“制品”打算涵盖可从任何计算机可读设备、载体或者介质访问的计算机程序。当然,本领域技术人员将认识到,可对该配置做出许多修改而不偏离所要求保护的主题的范围或者精神。
[0064]本文提供了实施例的各种操作。在一个实施例中,所描述的操作中的一个或者多个可以构成存储在一个或者多个计算机可读介质上的计算机可读指令,所述计算机可读指令如果由计算设备执行,则将促使计算设备执行所描述的操作。描述操作中的一些或者全部的次序不应被解读为暗示这些操作必然依赖于次序。可替换的排序将由得益于本描述的本领域技术人员所领会。进一步地,将理解,不是所有操作都必须在本文提供的每个实施例中呈现。
[0065]而且,词语“示范性”在本文中用来意味着充当示例、实例或者说明。本文被描述为“示范性”的任何方面或者设计不一定解读为比其他方面或者设计有利。而是,词语示范性的使用打算以具体方式呈现概念。如在本申请中使用的,术语“或者”打算意味着包含性的“或者”而不是排他性的“或者”。也就是说,除非以其他方式规定或者从上下文中清楚,否则“X采用A或者B”打算意味着自然包含性排列中的任一项。也就是说,如果X采用A、X采用B、或者X采用A和B两者,则“X采用A或者B”满足前述实例中的任一项。附加地,如在本申请中使用的冠词“一”或者“一个” 一般地可以被解读为意味着“一个或者多个”,除非以其他方式规定或者从上下文中清楚是针对单数形式。
[0066]另外,虽然已经相对于一个或者多个实现方式示出和描述了本公开内容,但是对于本领域技术人员而言,基于对本说明书和附图的阅读和理解将发现等同的更改和修改。本公开内容包括所有这样的修改和更改并且仅由以下权利要求的范围限定。特别是关于由以上描述的组件(例如,元件、资源等等)执行的各种功能而言,除非以其他方式进行指示,否则用来描述这样的组件的术语打算对应于执行所描述组件的所规定功能(例如,在功能上等同)的任何组件,即便在结构上不等同于执行在本文中图示的本公开内容的示范性实现方式中的功能的公开结构。附加地,虽然已经相对于数个实现方式中的仅仅一个实现方式公开了本公开内容的特定特征,但是这样的特征可以与其他实现方式的一个或者多个其他特征组合,如对于任何给定或者特定应用所可能按期望和有利的。此外,就术语“包括”、“具有”、“有”、“以及”或者其变型用于【具体实施方式】或者权利要求中的程度而言,这样的术语打算是以相似于术语“包含”的方式而为包含性的。
【主权项】
1.一种在具有处理器并与包括至少一个客户端的客户端集合通信的设备上评估由认证机构分别颁发的证书的方法,所述方法包括: 在处理器上执行指令,其促使设备: 从客户端接收被呈现给所述客户端并且由认证机构颁发的至少一个证书; 针对相应认证机构: 针对由所述认证机构颁发的相应证书,确定证书信任水平;以及按照由所述认证机构颁发的证书的证书信任水平,确定所述认证机构的认证机构信任水平;以及 向客户端分布标识相应认证机构的认证机构信任水平的认证机构信任集合。2.权利要求1的方法,其中所述认证机构信任集合进一步针对至少一个证书标识所述证书的证书?目任水平。3.权利要求1的方法,进一步包括:在接收到由不具有认证机构信任集合中的认证机构信任水平的所选认证机构颁发的证书后,在所述认证机构信任集合中存储针对所选认证机构的不可信认证机构信任水平。4.权利要求1的方法,进一步包括:在从客户端接收到由之前尚未被评估的认证机构颁发的所选证书后,向所述认证机构通知所选证书。5.权利要求1的方法,进一步包括:在针对所选证书确定不可信证书信任水平后,向颁发所选证书的认证机构通知针对所选证书的不可信证书信任水平。6.权利要求5的方法,其中: 所述方法进一步包括:标识安全实践,所述安全实践如果由认证机构实现,则减轻由所述认证机构颁发的至少一个证书的不可信证书信任水平;以及 向所述认证机构进行通知进一步包括:向所述认证机构通知所述安全实践。7.权利要求6的方法,进一步包括:在向所述认证机构通知安全实践之后检测到所述认证机构无法在实现时段内实现所述安全实践后,减小所述认证机构的认证机构信任水平。8.—种用于促进包括至少一个客户端的客户端集合利用分别由认证机构颁发的证书的系统,所述系统包括: 证书评估器,其在从客户端接收到由认证机构颁发给所述客户端的证书后,评估所述证书以确定证书信任水平;以及认证机构评估器,其: 针对相应认证机构,基于由所述认证机构颁发的证书的证书信任水平来确定认证机构的认证机构信任水平; 生成认证机构信任集合,其针对相应认证机构而标识所述认证机构的认证机构信任水平;以及 将所述认证机构信任集合发送给客户端。9.权利要求8的系统,其中 所述客户端集合包括: 至少一个不可信客户端,以及 至少一个可信客户端;并且 所述证书评估器通过以下过程来确定证书的证书信任水平: 将发送所述证书的客户端标识为不可信客户端或者可信客户端; 在将所述客户端标识为不可信客户端后,以第一证书信任水平置信度来确定所述证书的证书信任水平;以及 在将所述客户端标识为可信客户端后,以高于所述第一证书信任水平置信度的第二证书信任水平置信度来确定所述证书的证书信任水平。10.权利要求9的系统,其中所述认证机构评估器按照针对由认证机构颁发的相应证书的证书信任水平以及所述证书信任水平的证书信任水平置信度来确定针对相应认证机构的认证机构信任水平。11.权利要求9的系统,其中所述系统还包括可信客户端控制器,其针对相应可信客户端而指令所述可信客户端: 探索包括至少一个节点的网络;以及 在探索网络的所选节点的同时接收到由认证机构颁发的证书后,将所述证书和所述认证机构的标识符发送给证书评估器。12.权利要求11的系统,其中所述可信客户端控制器通过在从至少一个不可信客户端接收到要探索的网络的所选节点后指令可信客户端探索网络的所选节点而指令相应可信客户端探索网络。13.权利要求11的系统,其中网络的所选节点按照选择准则集合来选择,所述选择准则集合包括: 新节点选择准则,其将所选节点标识为网络的新节点;以及 可疑节点活动选择准则,其将节点与至少一个潜在可疑的节点活动相关联。14.权利要求11的系统,其中, 可信客户端集合的相应可信客户端与可信客户端区相关联; 网络的相应节点与节点区相关联;并且 可信客户端控制器通过针对要探索的相应所选节点进行以下过程来指令相应可信客户端探索网络: 标识所选节点的节点区; 标识相关联于与所选节点的节点区有关的可信客户端区的所选可信客户端;以及 指令所选可信客户端探索网络的所选节点。15.—种评估由认证机构分别颁发到具有处理器并与认证机构信任服务通信的设备的证书的方法,所述方法包括: 在处理器上执行指令,其被配置成: 在从认证机构信任服务接收到标识针对相应认证机构的认证机构信任水平的认证机构信任集合后,存储所述认证机构信任集合;以及 在接收到由认证机构颁发的与已认证项相关联的证书后: 向所述认证机构信任服务发送证书; 使用所述认证机构信任集合,确定颁发证书的认证机构的认证机构信任水平;以及 按照颁发针对已认证项的证书的认证机构的认证机构信任水平,评估所述已认证项。16.权利要求15的方法,其中: 所述认证机构信任集合进一步针对至少一个证书标识所述证书的证书信任水平; 所述方法进一步包括:在接收到由认证机构颁发的证书后,确定由所述认证机构信任集合规定的证书的证书信任水平;以及 评估所述已认证项进一步包括:按照颁发针对所述已认证项的证书的认证机构的认证机构信任水平以及由认证机构信任集合规定的证书的证书信任水平,评估所述已认证项。17.权利要求16的方法,其中将证书发送到认证机构信任服务进一步包括:仅仅针对不具有证书机构信任集合中的证书信任水平的证书,将所述证书发送到认证机构信任服务。18.权利要求15的方法,其中将证书发送到认证机构信任服务进一步包括:仅仅针对与公开可访问的已认证项相关联的证书,将所述证书和认证机构的标识符发送到认证机构信任服务。19.权利要求15的方法,进一步包括:在从网络的所选节点接收到已认证项后,向认证机构信任服务发送用于探索网络的所选节点的请求。
【专利摘要】在许多信息安全情景中,由认证机构颁发的证书可以被呈现给客户端,以便判断诸如消息或者web页面之类的已认证项的信任水平。然而,由于认证机构之中的分散结构和不完整合作,对于颁发不可信证书的安全易损性的存在和运用可能难以确定,特别是对于单个客户端而言。本文呈现了用于提供认证机构信任服务的技术,所述认证机构信任服务收集和评估由认证机构提交给客户端的证书,并且向客户端建议针对相应认证机构的认证机构信任水平(例如,被确定为由认证机构颁发的所评估证书的共识)。客户端可以使用由认证机构信任服务分布的认证机构信任集合来确定是否信任从特定认证机构颁发的证书。
【IPC分类】H04L9/32, H04L29/06
【公开号】CN105519070
【申请号】CN201380077931
【发明人】A.萨布尔, M.U.简朱亚, N.波特, P.哈林, H.李, 苏晓红, K.尤, A.P.彭塔
【申请人】微软技术许可有限责任公司
【公开日】2016年4月20日
【申请日】2013年9月21日
【公告号】EP3005641A1, US20140359280, US20140359281, US20160036593, WO2014196999A1