数据通信网络中增强的身份识别质量的制作方法

专利名称：数据通信网络中增强的身份识别质量的制作方法
技术领域：
本发明涉及计算机科学领域。更明确地说，本发明涉及一种用于管理环球网中的身份识别的系统和方法。
背景技术：
环球网(WWW)的出现已使得任何拥有一台具有因特网联接的计算机的人可获取更多的信息。不幸的是，当前方法使得可相对容易地用关于一特定用户的特定数据来识别该用户，由此提高了隐私顾虑。
关于环球网上的身份识别和隐私的一个问题涉及环球网浏览器如何获得用户数据。通常，环球网浏览器从存储在本地硬盘上的一个或多个cookies中获得用户数据。这些cookies可能包含敏感用户信息。从cookie。在100处，环球网浏览器访问一个使用cookie的环球网站。在105处，做出关于cookie是否存在于用户计算机的本地盘上的判定。如果cookie不存在，那么在110处，浏览器用环球网服务器通用资源定位符(URL)和环球网服务器提供的用户数据来产生cookie。如果cookie存在，那么在115处，浏览器使用在用户计算机的本地盘上的cookie。
图1B是说明cookie的方块图。Cookie 120包括服务器标识符和用户数据。该用户数据包含关于用户的信息，诸如用户的姓名和地址。
不幸的是，由此方法所提供的隐私性较低，因为仅仅通过检验cookie内容就可相对容易地判定与该用户数据相关联的用户的身份。
关于环球网上的身份识别和隐私的另一个问题涉及用户验证。通常使用用户名和口令来完成环球网上的用户验证。图2是说明一种用于使用用户名和口令来执行用户验证的典型方法的流程图。在200处，用户访问服务提供者环球网站。在205处，服务提供者环球网站基于静态的用户名和口令来验证该用户。这种形式的用户验证通常包括填写一个被认为是与正被提供到环球网上的服务相关的数据的表格。在210处，做出关于此用户验证是否成功的判定。如果此用户验证失败，那么在215处拒绝服务。如果此用户验证成功，那么在220处提供服务。由这个方式所提供的隐私保护和安全性是低的。
此外，不能保证表格上所搜集数据的精确度和适当性。例如，如果由用户完成的服务提供者表格提示输入一个驾驶执照号码，服务提供者通常不会判定由该用户所输入的号码是否适于服务请求(例如，当提示输入驾驶执照号码时输入一个捕鱼许可证号码(fishing license number)是不适当的)。并且服务提供者通常不会判定所输入的驾驶执照是否实际上属于输入此号码的个人。
图3说明了如何使用一种“砖和砂浆(bricks and mortar)”方法来处理这些用户验证问题。图3是说明一种用于亲自支付货品和服务的典型方法的流程图。在300处，购买者开支票来支付货品或服务。在305处，卖方要求合乎接受支付所需的用户验证方法的凭证。这些凭证的实例包括驾驶执照和ATM卡。该用户验证提供了关于购买者身份的一种信任级别。对不同级别的用户验证提供不同类型的事务处理。例如，如果购买者企图购买相对便宜的物品，那么卖方可能会接受用于支付的支票而无需用户验证。如果购买者企图购买中等价格的物品，那么卖方可能会要求某一形式的身份识别，例如驾驶执照。如果购买者企图购买相对昂贵的物品，那么卖方会要求额外形式的身份识别。一旦购买者提供了所需形式的用户验证(310)，卖方就使用此所需形式的用户验证来核对凭证的真实性、精确度和完整性(315)。如果卖方不能满意地核对凭证，那么在325处拒绝事务处理。如果满意地核对了凭证，那么在330处完成销售。
图4是说明在环球网上维护用户特定信息的方块图。每一个因特网用户400-425经由服务提供者环球网服务器(435-460)来访问服务提供者的环球网站。每一个环球网服务器435-460通过提示输入用户名和口令来验证用户。每一个环球网服务器435-460也为每一个(用户名、口令)组合维护单独的一组用户数据。该用户数据包含关于每一个用户的信息。例如，一个环球网站可能存储与用户名相关联的邮政编码，使得用户无论何时登录该环球网站时在所述邮政编码处的当前天气均会被提供。另一个环球网站可能维护在该环球网站处购买的物品的清单，使得可当用户再次访问此网站时显示关于类似产品的信息。
为每一个环球网站维护单独的用户验证方案意味着用户必须记住其用于每一个网站的用户名和口令。个别人经常会将相同的用户名和口令用于每一个环球网站。因此，一旦知道了用户的用于一个环球网站的用户名和口令，就可在另一个环球网站使用相同的用户名和口令来访问该相同用户的信息。此外，个别人经常将其用户名和口令基于如社会安全号码或生日等的个人信息。这使得口令易受到黑客的攻击。
图5是说明集中式用户验证系统的方块图。在540处，用户访问一个服务器访问门户505。在545处，服务访问门户505收集用户验证数据。如果用户已经登记，那么就提示该用户输入用户名和口令，而且票证生成器520与用户验证数据库525对接(interface)以基于用户名和口令来验证用户。票证生成器520可以是一个KerberosTM票证生成器。票证生成器520与用户验证数据库525对接以执行用户验证，并在565处生成一个用户验证符记。如果用户尚未登记，那么在545处，提示该用户输入用户数据和一选定口令，并将此信息发送到用户数据生成器530。用户数据生成器530与用户数据库535对接以存储用户数据。用户数据生成器530也与用户验证数据库525对接以便为用户提供用户验证信息。在560处，用户数据生成器530与票证生成器520对接以生成一个用户验证符记。在565处，将该用户验证符记返回给服务提供者505。
在570处，将用户验证符记返回给用户500。在随后的用户与服务提供者之间的通信(575，580)中，服务提供者505将用户验证符记用作一个cookie或会话标识符。这些通信可能包括对存储在用户数据库535中的用户数据的请求585。由用户数据检索器(user data retriever)515接收这些请求585。数据检索器515从用户数据库535中检索用户数据，并在590处返回该用户数据。
不幸的是，使用此机制的服务提供者是一种单一控制点。用户对在哪里和于何时获得用户数据与在哪里和于何时服务提供者使用该用户数据不具有控制。一旦用户已识别了其本身，则所有用户数据就都处于公开状态。
图6是说明为访问多个环球网站提供单一登录的机制的方块图。全球验证器305通过提示输入一个(用户名、口令)组合来验证用户600-625。一旦用户600-625经过验证，该用户就可访问每一个成员环球网站635-660，而不必向每一个特定环球网站635-660注册。全球验证器630也维护全球客户数据库665中的每一个用户名的概况(profile)。
如图6所示，用户一旦经由全球验证器630登录就可访问多个成员环球网站。因此，全球客户数据库665必须包括与所有被访问的网站相关的用户信息。例如，如果用户访问金融环球网站和医疗计划环球网站，那么全球客户数据库665将包括医疗信息以及金融信息。此外，全球验证器630可配置成监控或跟踪个体的环球网活动，例如所访问的环球网站。将潜在不适当的数据与监控环球网活动的能力相混合提高了隐私顾虑。
与使用环球网有关的额外问题是缺少创造服务提供者将何物当作有效用户验证的踪迹的方式。用户或者使用任何人或程序可能已输入的用户名和口令来登录并被准许无限地访问多个服务，或者该用户输入错误的用户名和口令而一无所获。
因此，需要一种保护系统中隐私的解决办法，在所述系统中需要关于用户的信息来传递服务。需要另外一种使服务提供者能够交换关于个人的信息而不至于泄露不适当或不必要的信息的解决办法。需要另外一种可管理开放网络(如因特网)上的用户事务处理同时保持隐私的解决办法。需要另外一种可管理对用户数据的信任并创造该信任的评估与该评估如何进行的过程的踪迹的解决办法。需要另外一种保护存储于cookie中的用户数据的解决办法。

发明内容
一种用于管理数据通信网络中身份识别的方法，其包括接收一个用户可控安全存储设备(user-controlled secure storage device)和向一个权威网络网站登记用户。该登记包括提供由权威网络网站所请求的信息。此方法也包括响应此登记而接收用户数据；将此用户数据存储于用户可控安全存储设备中；使此用户可控安全存储设备能够释放用户数据；和在服务提供者网络网站处使用此用户数据以获得服务。
根据另一个方面，一种用于数据通信网络中的身份识别方面的增强隐私保护的方法包括为获取一服务在数据通信网络上进行登记；响应此登记而接收一随机化标识符(ID)；存储此随机化ID；和使用此随机化ID来在数据通信网络上获得服务。一种用于在数据通信网络上获得服务的装置包括一个配置成接受登记请求的登记权威。进一步配置此登记权威以响应登记请求而返回登记结果。这些登记结果包括用户数据，且可使用这些登记结果从服务提供者处获得服务。
根据另一个方面，一种用于数据通信网络中的增强的身份识别质量的方法包括获得一个包括身份识别服务器ID和身份识别随机化ID的用户标识符。身份识别服务器ID标识一个身份识别服务器同等组(peer group)。此身份识别服务器同等组包括至少一个服务器，其可维护身份识别随机化ID与能够验证同特定随机化ID相关的用户的用户验证同等组之间的映射，以及身份识别随机化ID与用户信息之间的映射。此方法也包括通过将用户标识符提供给对应的身份识别服务器同等组来请求用户授权。配置身份识别服务器同等组中的每一个服务器，以搜索包括随机化ID的一个或多个匹配输入项(matching entry)。
根据另一个方面，一种用于控制用户访问数据通信网络上分布资源的方法包括接收资源请求。此请求包括一个权利密钥凭证(rights key credential)，此权利密钥凭证包括至少一个密钥以提供对数据通信网络上资源的访问。此权利密钥凭证也包括一个包括资源服务器同等组ID和随机化ID的资源标识符。此资源服务器同等组ID标识资源服务器同等组。此资源服务器同等组包括维护随机化ID与至少一个密钥之间的映射的至少一个服务器。此方法也包括使用至少一个密钥来提供对资源的访问。
根据另一个方面，一种用于浏览数据通信网络的方法包括如果访问需要用户数据的网络网站，那么就从用户可控安全设备处请求此用户数据。在从另一个设备请求用户数据之前执行此请求。此方法也包括如果从用户可控安全设备处接收到用户数据，那么将此用户数据发送到与网络网站相关联的网络服务器。根据另一个方面，一种用于向数据通信网络信息单元提供服务的方法包括接收与网络网站相关的用户数据；如果此用户数据包括静态用户数据就使用此用户数据而如果此用户数据包括动态用户数据就在使用此用户数据之前重构此用户数据。
根据另一个方面，一种用于浏览数据通信网络的装置包括网络浏览器，此网络浏览器配置成如果访问需要用户数据的网络网站，那么就从用户可控安全设备处请求用户数据。此请求发生于从另一个设备处请求此用户数据之前。进一步将此网络浏览器配置成如果从用户可控安全设备处接收到用户数据，那么就将此用户数据发送到与网络网站相关的网络服务器。
根据另一个方面，一种用于浏览数据通信网络的装置包括一个配置成接收对用户数据的请求的智能卡。进一步将此智能卡配置成如果发现了用户数据且如果启用了返回用于此请求的用户数据且如果此用户数据包括静态用户数据，那么返回此用户数据。进一步将此智能卡配置成如果发现用户数据且如果启用了返回用于此请求的用户数据且如果此用户数据包括动态用户数据，那么就重新配置此用户数据。
根据另一个方面，一种用于向数据通信网络信息单元提供服务的装置包括一个配置成接收与网络网站相关联的用户数据的网络服务器。进一步将此网络服务器配置成如果用户数据包括静态用户数据，那么就使用此用户数据。进一步将此网络服务器配置成如果用户数据包括动态用户数据，那么就在使用此用户数据之前重构此用户数据。
根据另一个方面，一种用于在数据通信网络上获得服务的方法，该方法包括向一个权威登记和使用此登记结果来从服务提供者处获得服务。此登记创造包括用户数据的登记结果。服务提供者能够与此权威进行通信以核对登记结果。
根据另一个方面，一种用于在数据通信网络上获得服务的装置包括一个配置成接受登记请求的登记权威。进一步配置此登记权威以响应此登记请求而返回登记结果。这些登记结果包括用户数据，其用于从服务提供者处获得服务。根据另一个方面，一种用于在数据通信网络上获得服务的装置，该装置包括一个配置成接受服务请求和从登记权威处获得的登记结果的服务提供者。此服务提供者能够与此权威进行通信以核对登记结果，且将此服务提供者配置为基于登记结果和来自登记权威处的响应来提供服务。
根据另一个方面，一种用于在数据通信网络上保护隐私的方法包括接收用户标识符和与此用户标识符相关联的特定用户数据。此特定用户数据包括关于网络用户的数据。此方法也包括基于此特定用户数据来创造普遍化的用户数据和使此普遍化的用户数据与用户标识符相关联。此方法也包括返回用户标识符和普遍化的用户数据。根据另一个方面，一种用于在数据通信网络上保护隐私的方法，该方法包括将用于至少一个服务提供者服务器的用户登录信息存储在用户可控安全设备上。此至少一个服务提供者服务器包括能够向用户提供服务的至少一个网络服务器。此方法也包括登录此设备而提供对此至少一个服务提供者服务器的访问。


并入本说明书中且构成本说明书的一部分的附图连同详细描述说明了本发明的一个或多个实施例，用来解释本发明的原理和实施。
在附图中图1A是说明一种用于从cookie中获得用户信息的典型方法的流程图。
图1B是说明cookie的方块图。
图2是说明一种用于使用用户名和口令来执行用户验证的典型方法的流程图。
图3是说明一种用于亲自支付货品和服务的典型方法的流程图。
图4是说明在环球网上维护用户特定信息的方块图。
图5是说明集中式用户验证系统的方块图。
图6是说明一种为访问多个环球网站提供单一登录的机制的方块图。
图7是根据本发明的一个实施例说明使用经权威验证的用户数据来在环球网上进行安全事务处理的方块图。
图8是根据本发明的一个实施例说明一种用于使用经权威验证的用户数据来在环球网上进行安全事务处理的方法的流程图。
图9A是根据本发明的一个实施例说明凭证的方块图。
图9B是根据本发明的一个实施例说明将密码用作标识符的凭证的方块图。
图10是根据本发明的一个实施例说明一种用于生成凭证的方法的流程图。
图11是根据本发明的一个实施例说明一种用于处理凭证的方法的流程图。
图12是根据本发明的一个实施例说明一种用于应用凭证评估策略的方法的流程图。
图13是根据本发明的一个实施例说明一种用于评估凭证数据的方法的流程图。
图14是根据本发明的一个实施例说明一种用于执行用户验证的方法的流程图。
图15是根据本发明的一个实施例说明一种用于使用凭证来获得服务的方法的流程图。
图16是根据本发明的一个实施例说明将多个身份分配给个体的方块图。
图17是根据本发明的一个实施例说明将多组用户数据分配给身份的方块图。
图18是根据本发明的一个实施例说明在开放网络上在多方之间进行事务处理同时保持隐私的方块图。
图19是根据本发明的一个实施例说明一种用于在开放网络上在多方之间进行事务处理同时保持隐私的方法的流程图。
图20是根据本发明的一个实施例说明一种用于使用存储在用户可控设备上的用户数据来获得服务的方法的流程图。
图21是根据本发明的一个实施例说明一种用于提供服务的方法的流程图。
图22是根据本发明的一个实施例说明一种用于根据用户数据来提供服务的方法的流程图。
图23是根据本发明的一个实施例说明一种用于使用来自安全设备的支付数据来执行支付授权的方法的流程图。
图24是根据本发明的一个实施例说明将多个凭证分配给身份的方块图。
图25是根据本发明的一个实施例说明在开放网络上使用服务凭证在多方之间进行事务处理同时保持隐私的方块图。
图26是根据本发明的一个实施例说明一种用于在开放网络上使用服务凭证在多方之间进行事务处理同时保持隐私的方法的流程图。
图27是根据本发明的一个实施例说明使用嵌套凭证(nested credential)的方块图。
图28A是根据本发明的一个实施例说明一种用于在开放网络上使用服务凭证在多方之间进行事务处理同时保持隐私的方法的流程图。
图28B是根据本发明的一个实施例说明一种用于使用存储在用户可控设备上的服务凭证来获得服务的方法的流程图。
图29是根据本发明的一个实施例说明一种用于提供服务的方法的流程图。
图30A是根据本发明的一个实施例说明一种用于使用从服务凭证中提取的嵌套支付凭证来执行支付授权的方法的流程图。
图30B是根据本发明的一个实施例说明将多组用户数据分配给身份的方块图。
图31是根据本发明的一个实施例说明在开放网络上使用智能卡在多方之间进行事务处理同时保持隐私的方块图。
图32是说明可被用来为如智能卡等的资源约束设备提供安全用户访问控制功能的小程序开发的方块图。
图33A是说明连接到因特网并装备有用于接收智能卡的卡片读取器的计算机的方块图。
图33B是根据本发明的一个实施例说明将各种类型的用户数据分配给身份的方块图。
图34是根据本发明的一个实施例说明标识符的方块图。
图35是根据本发明的一个实施例说明利用使用随机化用户标识符的联合身份识别服务器(federated identification server)和联合用户验证服务器来获取对服务的访问同时保持隐私的方块图。
图36是根据本发明的一个实施例说明一种用于利用使用随机化用户标识符的联合身份识别服务器和联合用户验证服务器来获取对服务的访问同时保持隐私的方法的流程图。
图37是根据本发明的一个实施例说明一种用于利用使用随机化用户标识符的联合身份识别服务器和联合用户验证服务器来获取对服务的访问同时保持隐私的方法的流程图。
图38是根据本发明的一个实施例说明向身份服务器登记的方块图。
图39是根据本发明的一个实施例说明可能的凭证类型的方块图。
图40是根据本发明的一个实施例说明将随机化标识符用于访问分布资源同时保持隐私的方块图。
图41是根据本发明的一个实施例说明一种用于将一个匹配输入项或多个匹配输入项从身份服务器联合(identity server federation)提供到用户验证服务器联合以判定单一有效用户数据输入项的方法的流程图。
图42A是根据本发明的一个实施例说明存储在资源服务器中的数据的方块图。
图42B是根据本发明的一个实施例说明存储在资源服务器中的数据的方块图。
图43A是根据本发明的一个实施例说明响应一个包括一组权利密钥的资源请求而从资源服务器中获得资源的方块图。
图43B是根据本发明的一个实施例说明从资源服务器中获得资源以响应包括一组权利密钥和对传递保护机制的参考(reference)以及任意目标设备的资源请求的方块图。
图43C是根据本发明的一个实施例说明权利密钥凭证的方块图。
图44是根据本发明的一个实施例说明一种用于获得对资源的访问的方法的流程图。
图45是根据本发明的一个实施例说明一种用于获得对需要多个密钥的资源的访问的方法的流程图。
图46A是根据本发明的一个实施例说明一个包括权利密钥凭证以访问存储在资源服务器同等组中的服务器上的特定类型资源的通用资源定位符的方块图。
图46B是根据本发明的一个实施例说明一个包括权利密钥凭证数据的超文本传输协议(HTTP)消息的方块图。
图46C是根据本发明的一个实施例说明一个包括权利管理小程序的智能卡的方块图。
图46D是根据本发明的一个实施例说明用户数据的动态聚集(dynamicaggregation)的方块图。
图47是根据本发明的一个实施例说明一种用于用户数据之动态聚集的方法的流程图。
图48是根据本发明的一个实施例说明一种用于用户数据之静态聚集的方法的流程图。
图49是根据本发明的一个实施例说明使用智能卡来安全地存储和重新配置cookie的方块图。
图50是根据本发明的一个实施例说明使用智能卡来安全地存储和重新配置cookie的方块图。
图51是根据本发明的一个实施例说明一种用于浏览环球网(WWW)的方法的流程图。
具体实施例方式
本文就一种用于环球网中身份识别和隐私的方法和装置来说描述本发明的实施例。所属领域的技术人员将认识到下文对本发明的详细描述仅是说明性的，而非意欲是限制性的。受益于此揭示内容的这些技术人员将容易地想到本发明的其它实施例。现在将详细地参考如在附图中说明的本发明的实施。贯穿这些图式和下文详细描述所使用的相同的参考指示符指的是相同或类似的部分。
为清晰起见，未展示和描述在本文中所描述的实施的所有常规特征。当然，我们将了解到在任何此种实际实施的开发中必须做出许多实施特定决策，以达到开发者的特定目标，例如符合应用相关和商业相关的约束，并且我们将了解到这些特定目标将从一个实施到另一个实施和从一个开发者到另一个开发者而改变。此外，我们将了解到这样的开发努力可能是复杂的并消耗时间的，但是然而对于受益于此揭示内容的所属领域的技术人员来说将是一个常规的工程任务。
就本发明来说，术语“网络”包括局域网络、广域网络、因特网、有线电视系统、电话系统、无线电信系统、光导纤维网络、ATM网络、帧中继网络、卫星通信系统等等。在此项技术中我们已熟知这些网络，因此在此将不对其进行进一步的描述。
参考环球网描述了本发明的实施例。可类似于环球网地配置任何数据通信网络。
根据本发明的一个实施例，可使用在高性能计算机(例如一个将SunSolarisTM作为操作系统来运行的Enterprise 2000TM服务器。Enterprise 2000TM服务器和Sun SolarisTM操作系统是可从加利福尼亚州芒廷维尤市Sun Microsystems有限公司(Sun Microsystems，Inc.of Mountain View，California)购买的产品)上运行的C或C++程序来实施组件、过程和/或数据结构。可使用不同的实施，且这些实施可包括其它类型的操作系统、计算平台、计算机程序、固件、计算机语言和/或通用机器。此外，所属领域的技术人员将承认也可使用通用性质更少的设备，例如硬连线设备、现场可编程门阵列(FPGA)、特殊应用集成电路(ASIC)等等，而不会脱离本文所揭示的发明性概念的范畴和精神。
现在参看图7，其中提供了根据本发明的一个实施例说明使用经权威验证的用户数据来在环球网上进行安全事务处理的方块图。三个实体被表示为客户或用户700、权威705和服务提供者715。用户700表示一个从服务提供者请求并接收服务的实体。服务提供者715表示一个提供服务的实体。权威705表示一个验证凭证或其它用户数据以声明对凭证或其他用户数据的真实性、精确度和完整性的质量度量或级别之指示的实体。
凭证的发布者执行此凭证的数据验证。凭证是一个连同服务请求提供给服务提供者的证书，其指示了提供者被授权了什么。
根据本发明的实施例，用户首先向一个权威登记并接收验证凭证作为回复。接着，用户将此凭证和服务请求提供给服务提供者。接受凭证不是无条件的。服务提供者检验此请求和此凭证，并且可拒绝服务或同意服务。更详细地，在720处，用户700与权威705进行通信以发布凭证请求。此请求可包括相关参数和数据。这些相关参数和数据可涉及(例如)用户验证服务器710的身份，此用户验证服务器能够执行发布所请求凭证所需的用户验证的至少一部分。此请求也可包括支持凭证。权威705验证此凭证或多个凭证以声明对此凭证或多个凭证的质量度量的指示或对其真实性、精确度和完整性的指示。权威705可与次级权威710合作执行用户验证。在725处，此权威将经验证凭证返回到用户700。
使用凭证来获得服务从服务请求开始。如参考数字735所示，用户700与服务提供者715进行通信以发布服务请求。此请求可包括凭证和相关凭证参数及数据。服务提供者715评估凭证请求和支持信息。服务提供者715可与权威705合作以执行动态凭证验证(740，745)。权威705也可与次级权威710合作执行用户验证。在750处，服务提供者提供被请求的服务。
现在参看图8，其中提供了根据本发明的一个实施例说明一种用于使用经权威验证的用户数据来在环球网上进行安全事务处理的方法的流程图。在800处生成一个凭证。通过将凭证请求和支持数据提供给权威来创造此凭证。支持数据可包括由相同权威较早创造的凭证或由另一个权威创造的凭证。此凭证同样可为非数字的。例如，可使用驾驶执照或出生证书。取决于所需的验证类型，凭证可为全数字、全非数字或数字与非数字组合的凭证。
根据本发明的一个实施例，可对所创造出的凭证的使用产生限制。例如，所创造出的凭证可用于一次性使用、用于限制数目次数的使用或用于在特定位置使用。
根据本发明的另一个实施例，可将凭证存储于环球网服务器、智能卡、个人数字助理(PDA)、手机等等上。
再次参看图8，在805处，做出关于是否到了使用凭证的时间的判定。一个使用凭证的时间的实例是当需要此凭证来获得服务之时。一旦到了使用此凭证的时间，在810处将此凭证或对此凭证的参考提供给服务提供者，此服务提供者接着可提供服务。可通过包含于此凭证中的信息直接或间接指定此服务。服务提供者可在执行密码数据验证之后接受凭证数据。在815处，作出关于凭证是否仍然有效的判定。继续这个使用凭证来获得服务的过程，直到此凭证不再有效。
图9A和9B根据本发明的实施例说明了两种凭证数据格式。参看图9A，凭证900包括凭证标识符910、凭证密码915、凭证权威同等组ID 920、凭证参数925、凭证数据930、密封凭证数据935以及嵌套凭证940。根据本发明的一个实施例，凭证标识符910包含一个被分配给用户的独特标识符。根据本发明的一个实施例，凭证标识符910包含一个被分配给用户的随机化标识符。
凭证密码915用来验证凭证项925、930、935和940。较佳地，凭证密码915也用来验证凭证权威同等组ID 920。此数据验证可使用如由凭证权威或多个凭证权威所指定的算法和密钥。可将密钥和数据验证算法指定为凭证参数925。
根据本发明的一个实施例，将整个凭证密码(915，945)用作凭证ID。根据本发明的其它实施例，将密码的子集用作凭证ID。
凭证权威同等组ID 920标识提供用于凭证900的数据验证的实体。提供数据验证的实体可包含单一服务器。或者，提供数据验证的实体可包含多个凭证权威服务器，其中一个服务器维护对应于凭证ID的凭证数据。构成一个特定凭证权威同等组的凭证权威服务器合作以定位对应于凭证ID的凭证数据。
凭证参数925指的是命名的参数数据。凭证参数可包括(例如)数据验证机制或用户验证机制。凭证参数也可指定一个能够执行发布被请求的凭证所需的用户验证的至少一部分的用户验证服务器的身份。凭证参数925也可指定凭证数据格式和用来密封或启封凭证数据的机制。凭证参数925也可包括服务质量(QoS)标识符。QoS标识符指示在用户登记期间由凭证发布者所执行的核对。此核对可包括用户验证。此核对也可包括评估任何支持凭证的质量。此核对也可包括评估凭证数据的真实性、精确度和完整性。
凭证数据930包含与凭证相关联的数据。密封凭证数据935包含加密凭证数据。嵌套凭证940包含一个或多个额外凭证。应注意，仅必须验证凭证密码915以执行安全嵌套(secure nesting)。
可将凭证ID 910、凭证密码915和凭证权威同等组ID 920的组合用来表示整个凭证900。可分开存储凭证的剩余部分(参考数字925、930、935和940)。例如，可将凭证ID 910、凭证密码915和凭证权威同等组ID 920存储在如智能卡等的安全设备中，而将凭证的剩余部分(参考数字925、930、935和940)存储在环球网服务器上。
除了图9A包括单独的凭证ID 910，而由图9B所说明的凭证将凭证密码945用作标识符以外，图9B类似于图9A。
可将凭证数据元素910-940存储在一起。或者，可将某些凭证元素910-920用来表示完整的凭证，而分开存储其它凭证元素925-940。
现在参看图9B，其中提供了根据本发明的一个实施例说明一个将密码用作标识符的凭证的方块图。除了还将图9B中的凭证密码945用作标识符之外，图9B类似于图9A。
现在参看图10，其中提供了根据本发明的一个实施例说明一种用于生成凭证的方法的流程图。图10为图8的参考数字800提供更多的细节。在1000处，凭证权威接收包括一个或多个支持凭证的凭证请求。支持凭证可包括由此凭证权威先前创造的凭证。支持凭证也可包括由另一个凭证权威先前创造的凭证。在1005处处理这些凭证。在1010处，做出关于是否成功处理这些凭证的判定。如果未成功处理这些凭证，那么在1015处记录失败，并在1020处应用一失败策略。此失败策略指定当检测到失败时将执行的动作。一示范性失败策略当检测到错误时会执行用户通知功能。
仍然参看图10，如果成功处理了凭证，那么在1025处创造一个新的凭证，并在1030处将此凭证返回给请求它的用户。根据本发明的一个实施例，将整个凭证返回给用户。根据本发明的另一个实施例，返回凭证的独特识别信息，并分开存储凭证的剩余部分。例如，使用图9A的凭证格式的实施例会返回凭证ID910、凭证密码915和凭证权威同等组ID 920。使用图9B的凭证格式的实施例会返回凭证密码945和凭证权威同等组ID 950。
现在参看图11，其中提供了根据本发明的一个实施例说明一种用于处理凭证的方法的流程图。图11为图10的参考数字1005提供更多细节。在1100处，执行凭证的密码数据验证。将图9A的凭证格式用作实例，凭证密码915用来验证凭证字段(field)925、930、935和940。或者，特定的数据验证机制也可验证凭证同等组ID 920。将图9B的凭证格式用作实例，将凭证密码945用来验证凭证字段955、960、965和970。再次，特定的数据验证机制也可验证凭证权威同等组ID 950。在1105处，做出关于凭证密码是否验证了凭证数据的判定。如果凭证密码未验证凭证数据，那么在1145处此过程以一失败指示结束。
再次参看图11，在1110处，在成功的密码数据验证之后是应用凭证评估策略以便(1)如果是分开存储凭证数据，那么就获取此凭证数据；(2)对加密凭证数据进行解密；及(3)判定凭证数据有效性。在1120处，按照所提供的凭证数据的类型(type)、此凭证数据的内容(content)和所需的服务质量(QoS)来评估凭证数据以确保此凭证数据是适当的。在1130处，执行用户验证以确保凭证与实际发出此凭证请求的用户相关联。如果参考数字1100、1110、1120或1130的结果是失败，那么在1145处此过程以一失败指示结束。否则，在1140处此过程成功地结束。
现在参看图12，其中提供了根据本发明的一个实施例说明一种用于应用凭证评估策略的方法的流程图。图12为图11的参考数字1110提供更多的细节。如上文所论述，可将凭证的独特识别信息与此凭证数据的剩余部分分开存储。因此，在1200处，做出关于凭证数据是否包括于此凭证中的判定。如果凭证数据未包括于凭证中，那么在1205处获得此凭证数据。如果凭证数据包括于凭证中，那么在1210处做出关于所有所需的嵌入凭证(embedded credential)是否包括于此凭证中的判定。如果未包括所有这些凭证，那么在1215处获得所需的凭证。如果包括所有所需的凭证，那么在1220处做出关于是否需要启封此凭证中的任何数据的判定。将被启封的凭证数据可包括嵌套凭证数据。如果必须启封数据，那么在1225处将其启封。如果无需启封数据，那么在1230处做出关于凭证数据是否有效的判定。如果数据无效，那么在1240处此过程以一失败指示结束。如果数据有效，那么在1240处此过程成功地结束。
现在参看图13，其中提供了根据本发明的一个实施例说明一种用于评估凭证数据的方法的流程图。图13为图11的参考数字1120提供更多的细节。在1300处，做出关于对于所产生的请求来说所提供的凭证数据的类型是否足够的判定。换句话说，评估凭证的完整性。例如，如果凭证权威针对一个特定凭证请求要求一驾驶执照，那么做出关于凭证数据是否包括驾驶执照的判定。如果凭证数据不包括驾驶执照，那么对于此请求来说此凭证数据是不足的。如果凭证数据不足，那么拒绝请求。或者，可提示用户输入所需的凭证数据。
仍然参看图13，在1305处做出关于所提供的凭证数据是否与请求匹配的判定。评估凭证数据的内容。例如，假设用于特定凭证的凭证授予策略(credential-granting policy)要求有效的驾驶执照。在这种情况下，在1300处判定凭证请求是否包括驾驶执照，而在1305处判定此驾驶执照是否期满。如果此判定不成功地结束，那么在1325处返回一失败指示。通过权威在登记处理期间和服务提供者在提供服务的过程中使用由图13所说明的过程来评估凭证。权威创造凭证，且因此必须将数值赋予凭证数据，例如QoS指示符。服务提供者提供服务，且无需创造凭证(除非此服务提供者实际上是将提供凭证作为服务的权威)。因此，在1330处，做出关于是否需要创造凭证的判定。如果需要创造凭证，那么在1315处判定正被创造的凭证的服务质量(QoS)。
作为使凭证数据生效的一部分，权威或服务提供者可能需要一定级别的用户验证。用户验证判定凭证是否和与冒充成真实用户的其他人相对的实际发出请求的用户相关联或属于此实际发出请求的用户。用户验证可包括(例如)要求额外的生物测量办法，例如指纹或视网膜扫描等等。用户验证也可包括被传递给已知属于此用户的手机的口令质询(password challenge)。
QoS是一种将关于如何创造凭证的信息传输给使用或访问此凭证的其它实体的方式。QoS是对由权威或权威组所建立的策略声明(policy statement)的参考。例如，凭证的QoS参数可能指示检查用户的驾驶执照或出生证书的权威。不同的QoS可能指示检查用户的驾驶执照、出生证书和社会安全卡(socialsecurity card)的权威。
凭证可包括一个指示由验证此凭证的实体所执行的用户验证的级别的QoS指示符。服务提供者可判定在凭证中指示的QoS不足以准许服务请求。倘若如此，服务提供者可要求额外的用户验证。凭证也可包含关于能够执行额外的用户验证的用户验证服务器的信息。
根据本发明的另一个实施例，登录凭证包括一个声明用于用户验证的特定处理的嵌套凭证。换句话说，登录凭证包括一个包括用于用户验证的QoS的嵌套凭证。此登录凭证具有作为其凭证参数一部分嵌入的其自己的QoS参数。此登录凭证也具有预定的使用期。例如，登录凭证的QoS参数可在预定时间间隔或事件处要求特定形式的额外用户验证(例如指纹或其它生物测量)。
根据本发明的一个实施例，将一个第一凭证用来产生一个新的具有更多限制范畴的凭证。例如，可将授权观看一网页或信息单元的第一凭证用来创造仅在10分钟内提供对由第一网页直接参考的第二网页进行访问的第二凭证。相同的第一凭证可用来创造提供对从当前网页直接参考的任何其它网页进行访问的第三凭证。在下文参看图39提供了使用一个或多个凭证来创造另一个凭证的更多实例。
现在参看图14，其中提供了根据本发明的一个实施例说明一种用于执行用户验证的方法的流程图。图14为图11的参考数字1130提供更多的细节。在1400处，做出关于是否需要用户验证的判定。此判定基于用户提供的用户验证凭证和所要求的QoS。如果用户提供的用户验证凭证提供的QoS少于所要求的QoS，那么就需要额外的用户验证。如果需要用户验证，那么在1405处做出关于如果创造一凭证，或如服务提供者所要求，那么用户提供的或嵌套的凭证是否足以满足所需的QoS的判定。如果这些凭证不够充分，那么在1410处执行用户验证。
现在参看图15，其中提供了根据本发明的一个实施例说明一种用于使用凭证来获得服务的方法的流程图。图15为图8的参考数字810提供更多的细节，其包括由用户和服务器所执行的动作。在1500处，用户访问环球网站。在1505处，将服务请求和与用户相关的一个或多个凭证提供给服务提供者服务器。在1540处，服务器接收服务请求和凭证。在1550处，服务提供者如上文关于图11之描述来处理这些凭证。在1555处，服务器判定是否成功处理了这些凭证。如果不成功地处理了凭证，那么在1560处拒绝被请求的服务，并将服务拒绝1565发送给请求此服务的用户。如果成功地处理了凭证，那么在1570处提供服务。在1510处，用户判定服务请求是否成功。如果服务请求不成功，那么在1520处产生失败指示，且在1525处结束此过程。如果服务请求成功，那么在1530处使用此服务。
图16-33说明了在环球网上使用存储在安全用户数据存储器中的用户数据来增强隐私的本发明的实施例。图17-23说明了使用存储在安全用户数据存储器中的用户数据的本发明的实施例。图24-30A说明了采用用于用户数据的凭证格式的本发明的实施例。此凭证格式为如上文关于图9A和9B所说明的格式。图30B-33说明了将智能卡用作安全用户数据存储器的本发明的实施例。
现在参看图16，其中提供了根据本发明的一个实施例说明将多个身份分配给个体的方块图。如图16所示，个体1600可具有用于不同目的的多个身份。个体1600可为如信用卡(1602，1618)等的支付权威的客户、打高尔夫球的人1604、军队的成员1606和内科病人1608。个体也可为学生1610、投资者1612、雇员1614、大学毕业生1616和汽车驾驶员1620。每一个身份识别1602-1620都连接到相关数据。例如，打高尔夫球的人身份1604的相关数据可包括打高尔夫球的人的差点(handicap)1624。内科病人身份1608的相关数据可包括病人的病史1628。然而，打高尔夫球的人身份1604无需知道任何病史信息1628，而内科病人身份1608无需知道高尔夫差点(golfhandicap)1624。
仍然参看图16，一身份的一些或所有相关数据可能与另一个身份的相关数据相同。例如，学生身份1610的某些相关数据(例如学位课程)可与毕业生身份1616的相关数据相同。
现在参看图17，其中提供了根据本发明的一个实施例说明将多组用户数据分配给身份的方块图。如图17所示，用户数据1704-1720存储在安全用户数据存储器1702中。安全用户数据存储器1702由用户控制(用户可控)。用户数据1704-1720可包括加密数据和/或验证数据。安全用户数据存储器1702可包含如手机、PDA或智能卡等的便携式设备。安全用户数据存储器1702也可包含环球网服务器或其它计算机上的文件。
根据本发明的一个实施例，用户数据的一部分是位映射的(bit-mapped)。可基于(例如)在一个组或类中的全体成员来位映射用户数据。例如，可根据用户感兴趣的书籍的类来位映射用户的数据的一部分。
现在参看图18，其中提供了根据本发明的一个实施例说明在开放网络上在多方之间进行事务处理同时保持隐私的方块图。图18说明了从卖方环球网站购买产品。如先前关于图17的参考数字1702所说明，安全用户数据存储器1802存储用于身份的多组用户数据。安全用户数据存储器1802可存在于台式计算机、智能卡、PDA等等上。在1826处，用户向在支付代理的环球网站处的支付代理1(1810)登记。与此用户的登记特定相关的用户数据被存储在安全用户数据存储器1802中。支付代理1(1810)判定是否需要用户验证。如果需要用户验证，那么支付代理1(1810)也判定所需的用户验证级别。此外，支付代理1(1810)判定是否必须加密与用户登记特定相关的用户数据。
根据本发明的实施例，用户登记数据包括用于随后访问服务提供者环球网站的用户验证信息。换句话说，无论何时将用户数据组(user data set)用来访问服务提供者环球网站，都将服务提供者特定(service provider-specific)用户数据或对此用户数据的参考提供给此相同的服务提供者环球网站。特定服务提供者环球网站的用户验证要求将判定是否需要额外的用户验证。例如，所存储的用户验证数据可能满足对基于因特网的电子邮件网站的重复访问，但是登录一个军事环球网站可能在每次访问此网站时都会要求诸如生物测量的额外用户验证措施，而不管所存储的用户验证数据。
仍然参看图18，在1828处，将相同的用户数据组用来向航运代理1818登记。因此，航运代理环球网站1818执行任何所需的数据验证和/或用户数据的加密，并将此用户数据返回给安全用户数据存储器1802。这里，安全用户数据存储器1802包括一个已被用于向两个环球网站(1810，1818)登记的用户数据组。在1830处，将用户数据组用来在卖方A的环球网站(1806)处购买物品。一旦选择出购买的物品，卖方A 1806将用户数据发送给支付代理1(1810)以供支付授权。如果所需的用户数据被加密，那么支付代理1(1810)对用户数据进行解密。支付代理1(1810)结合卖方提供的事务处理细节来使用此用户数据以判定是否授权此购买。在1832处，支付代理1(1810)将一授权指示发送给卖方A1806。接着，卖方A 1806创造一个包括订购信息和来自安全用户数据存储器1802的航运信息的履行记录。在1838处，卖方A 1806将此履行记录发送给履行公司(Fulfillment Company)1814，并且履行公司1814使用来自源于用户数据的履行记录的航运信息来履行此订购。在1840处，履行公司1814将所购买的货品传递给航运代理1818。在1842处，航运代理将货品递送到来自安全数据存储器1(1802)的航运信息中的地址。
可以用相似的方式连接许多其他设备或子系统(未图示)。同样，为实践本发明无需使图7所示的所有设备全都存在，如下文所论述。此外，可以用不同于图7所示的方式来互连设备和子系统。可将实施本发明的代码可操作地设置在系统存储器中或存储在如固定盘、软盘或CD-ROM等的存储媒体上。
根据本发明的一个实施例，环球网站维护用户概况。概况的一个示范性用途是跟踪用户在特定环球网站处的活动。此概况与卖方A 1806维护关于用户活动性质的信息。例如，此概况可保留关于访问频率、先前购买的物品、已检验但未购买的物品、优选航运方法和优选支付方法的信息，因而允许卖方A 1806提供可适应特定用户数据组的购买模式的智能化服务。
上文所描述的关于安全用户数据存储器1(1802)中的用户数据组的相同过程同样可应用于安全用户数据存储器2(1804)中的用户数据组。
现在参看图19，其中提供了根据本发明的一个实施例说明一种用于在开放网络上在多方之间进行事务处理同时保持隐私的方法的流程图。在1900处，用户接收用户可控存储设备或用以控制对在环球网上此种设备的访问的密钥。在1905处，做出关于是否到了向服务提供者登记的时间的判定。当到了向服务提供者登记的时间，在1910处将由登记过程引起的用户数据存储在用户可控安全存储设备上。可对某些用户数据进行加密。此外，可密码地验证某些用户数据。在1915处，由用户做出关于是否到了使用存储在用户可控安全存储设备上的用户数据的时间的判定。当到了使用用户数据的时间，在1920处将存储在用户可控安全存储设备上的用户数据用来获得一个或多个服务。在1925处，做出关于用户数据是否仍然有效的判定。如果用户数据仍然有效，那么在1915处继续执行。如果用户数据不再有效，那么在1930处放弃此用户数据。
根据本发明的一个实施例，通过动态地组合对新服务的请求与从先前登记中获得的至少一个用户数据组来获取获得新服务所需的用户数据。例如，基于在环球网站购买的书籍与已检验但未购买的书籍，在第一书籍卖方环球网站处选购的用户可显示出一个或多个对属于特定类的书籍的偏好。此第一书籍卖方可将此信息保存在概况中。当用户在第二书籍卖方环球网站选购时，可能想要使用此信息的全部或一部分。因此，由用户在第二书籍卖方环球网站发出的对服务的服务请求将被自动地与当在第一书籍卖方环球网站选购时所使用的概况信息组合，由此而创造了供用户在此第二书籍卖方环球网站选购时使用的新的概况。
现在参看图20，其中提供了根据本发明的一个实施例说明一种用于使用存储在用户可控设备上的用户数据来获得服务的方法的流程图。图20为图19的参考数字1920提供更多细节。在2000处，用户访问一个环球网站。在2005处，将服务请求和相关用户数据提供给服务提供者服务器。在2030处，服务器接收服务请求和相关用户数据。在2040处，服务提供者处理用户数据以判定所提供的用户数据是否足以准许此请求。在2045处，服务器判定是否成功地处理了用户数据。如果未成功处理用户数据，那么在2050处拒绝被请求的服务，并将服务拒绝2055发送给请求此服务的用户。如果成功处理了用户数据，那么在2060处提供服务。在2010处，用户判定服务请求是否成功。如果服务请求不成功，那么在2015处产生一个失败指示，并在2075处结束此过程。如果服务请求成功，那么在2025处使用服务。
图21和22为图20的参考数字2060提供更多细节。图21说明了通过基于存储在用户可控设备上的用户数据来定制环球网站而提供服务，而图22说明了通过使用存储在用户可控设备上的用户数据来购买产品并将产品递送给用户而提供服务。这些提供服务的实例不意欲做任何方式的限制。所属领域的技术人员将承认可提供许多其它形式的服务。
现在参看图21，其中提供了根据本发明的一个实施例说明一种用于提供服务的方法的流程图。图21为图20的参考数字2060提供更多细节。在2100处，接收用户数据。在2105处，基于存储在用户可控设备上的用户数据来定制在环球网站上的一个或多个网页。
现在参看图22，其中提供了根据本发明的一个实施例说明一种用于提供服务的方法的流程图。图22为图20的参考数字2060提供更多细节。在2200处，卖方使用来自用户可控安全设备的支付数据来执行支付授权。在2205处，卖方创造一个包括订购信息和来自用户可控安全设备的航运信息的履行记录。在2210处，卖方将履行记录发送给履行公司。在2215处，履行公司使用来自源于用户数据的履行记录的航运信息来履行此订购。在2220处，履行公司将所购买的货品传递给航运代理。在2225处，航运代理将货品递送到来自用户可控安全设备的航运信息中的地址。
现在参看图23，其中提供了根据本发明的一个实施例说明一种用于使用来自安全设备的支付数据来执行支付授权的方法的流程图。图23为图22的参考数字2200提供更多细节。在2300处，卖方使用源于安全设备的支付数据来将支付请求发送给支付结算代理(payment-clearing agent)，并将如待收费数额等的事务处理细节包括在此请求中。在2305处，支付结算代理接收支付请求和待收费数额。在2310处，支付结算代理发送一个响应。例如，支付结算代理可发送事务处理ID和经收费数额。取决于此响应的内容，此响应的全部或一部分可包含密码地加密的消息。
图24-30A说明了采用用于用户数据的凭证格式的本发明的实施例。此凭证格式如上文关于图9A和9B所说明的格式。提供凭证格式的使用仅为达到说明性目的。所属领域的技术人员将承认可使用其它格式。
现在参看图24，其中提供了根据本发明的一个实施例说明将多个凭证分配给身份的方块图。除了服务凭证2404-2420存储在安全设备2402中之外，图24类似于图17。换句话说，图24的服务凭证2404-2420直接或间接地基于并包含图17的用户数据1704-1720。
现在参看图25，其中提供了根据本发明的一个实施例说明在开放网络上使用服务凭证在多方之间进行事务处理同时保持隐私的方块图。图25说明了从卖方环球网站购买产品。安全服务凭证存储器2502存储用于身份的多组服务凭证，如先前关于图24的参考数字2402所说明。安全服务凭证存储器2502可存在于台式计算机、智能卡、PDA等等上。在2526处，用户向在支付代理的环球网站处的支付代理1(2510)登记。与此用户登记特定相关的服务凭证被存储在安全服务凭证存储器2502中。支付代理1(2510)判定是否需要用户验证。如果需要用户验证，那么支付代理1(2510)也判定所需的用户验证级别。此外，支付代理1(2510)判定是否必须加密包括于与用户登记特定相关的服务凭证中的用户数据。
根据本发明的实施例，用户数据包括用于随后访问服务提供者环球网站的用户验证信息。换句话说，无论何时将服务凭证用来访问服务提供者环球网站，将权威特定验证数据或对此数据的参考提供给此相同的服务提供者环球网站。特定服务提供者环球网站的用户验证要求将判定是否需要额外的用户验证。例如，所存储的用户验证数据可能满足对基于因特网的电子邮件网站的重复访问，但是登录一个军事环球网站可能在每次访问此网站时都会要求诸如生物测量的额外用户验证措施，而不管所存储的用户验证数据。
仍然参看图25，在2528处，用户2500向航运代理2518登记，其提供如航运地址等的特定数据。在2528处当向航运代理2518登记所提供的数据可能完全或部分地不同于在2526处当向支付代理2510登记所提供的数据。因此，航运代理环球网站2518执行任何所需的数据验证和/或对服务凭证的加密，并将服务凭证返回给安全服务凭证存储器2502。这里，安全服务凭证存储器2502包括通过向充当权威的两个环球网站(2510，2518)登记而创造的服务凭证组。在2530处，将服务凭证组用来获得如在卖方A(2506)的环球网站处选购等的服务。一旦选择出购买的物品，卖方A 2506将从安全服务凭证存储器处获得的服务凭证发送给支付代理1(2510)以供支付授权。如果任何所需的数据被加密，那么支付代理1(2510)对任何包括于服务凭证中的数据进行解密。支付代理(2510)结合卖方提供的事务处理细节来使用包括于服务凭证中的数据以判定是否授权此购买。在2532处，支付代理1(2510)将授权指示发送给卖方A 2506。接着，卖方A 2506创造一个包括订购信息和从安全服务凭证存储器2502处获得的航运信息的履行消息。根据本发明的一个实施例，履行消息包含一个履行凭证。在2538处，卖方A 2506将此履行消息发送给履行公司2514，并且履行公司2514使用来自此履行消息的航运信息来履行订购。在2540处，履行公司2514将所购买的货品传递给航运代理2518。在2542处，航运代理将货品递送到源于安全数据存储器1(2502)的航运信息中的地址。
现在参看图26，其中提供了根据本发明的一个实施例说明一种用于在开放网络上使用服务凭证在多方之间进行事务处理同时保持隐私的方法的流程图。在2600处，生成一个服务凭证。在2605处，做出关于是否到了使用凭证的时间的判定。当到了使用服务凭证的时间，在2610处将此服务凭证用来获得服务。在2615处，做出关于服务凭证是否仍然有效的判定。如果服务凭证仍然有效，那么在2620处做出关于是否必须更新服务凭证的判定。如果必须更新服务凭证，那么在2625处对其更新。当服务凭证仍然有效时，在2605处继续执行。如果服务凭证不再有效，那么在2630处放弃此服务凭证。
现在参看图27，其中提供了根据本发明的一个实施例说明使用嵌套凭证的方块图。图27说明了将图9B的凭证格式用于参看图25所论述的实例。在此实例中，2002年1月1日的用户开始环球网体验(web experience)。登录凭证2700允许此用户访问环球网。登录凭证2700包括两个凭证参数2808。“类型”参数指示此凭证是“登录”凭证，且凭证数据是用户概况。“QoS”参数指示一个(用户名、口令)已用来验证用户的组合。“期满”参数也指示凭证在2002年1月1日期满。凭证数据2710包括位映射的客户概况，且不存在密封凭证数据2712。登录凭证2700也包括嵌套凭证2714。参考数字2702说明了嵌套凭证2714的展开图。
嵌套凭证(2714，2702)包括支付凭证2716和航运代理凭证2718。支付凭证参数2724指示此凭证是信用卡支付凭证。凭证数据2726包括此凭证的持有者被认可的购买级别。购买级别的实例包括(例如)特定最大值的旅馆支付或书籍支付。密封凭证数据2728包括如帐号和实际信用限额等的卡持有者细节。
航运代理凭证参数2736指示此凭证是“航运”凭证。凭证数据2738包括客户的最近航运代理位置和服务类型。密封凭证数据2740包括航运代理帐号和航运地址。
现在参看图28A，其中提供了根据本发明的一个实施例说明一种用于在开放网络上使用服务凭证在多方之间进行事务处理同时保持隐私的方法的流程图。在2800处，接收安全服务凭证存储设备。在2805处，做出关于是否到了向权威登记的时间的判定。当到了登记的时间，在2810处基于在登记请求中提供的用户信息来生成一个服务凭证。在2815处，存储凭证密码和凭证权威同等组ID。可将它们存储在用户可控个人设备中。用户可控个人设备的实例包括(例如)智能卡、手机、个人数字助理(PDA)等等。或者，可将它们存储在环球网柜(Weblocker)中，并可将将此柜的数字密钥存储在安全设备中。在2820处，做出关于是否到了使用服务凭证的时间的判定。当到了使用服务凭证的时间，在2825处将此服务凭证用来获得服务。在2830处，做出关于服务凭证是否仍然有效的判定。如果服务凭证仍然有效，那么在2835处做出关于是否必须更新服务凭证的判定。如果必须更新服务凭证，那么在2840处对其更新。当凭证仍然有效时，在2820处继续执行。如果凭证不再有效，那么在2845处放弃此凭证。
现在参看图28B，其中提供了根据本发明的一个实施例说明一种用于使用存储在用户可控设备上的服务凭证来获得服务的方法的流程图。图28B为图28A的参考数字2825提供更多细节。图28B类似于图20，除了图28B使用服务凭证进行说明，而图20使用用户数据进行说明。
现在参看图29，其中提供了根据本发明的一个实施例说明一种用于提供服务的方法的流程图。图29为图28B的参考数字2850提供更多细节。在2900处，卖方使用嵌套支付凭证来执行支付授权，其中此嵌套支付凭证从与所购买的物品特定相关的客户服务凭证中提取。在2905处，卖方创造一个包括订购信息和从客户服务凭证处提取的航运凭证的履行消息。根据本发明的一个实施例，履行消息包含履行凭证。在2910处，卖方将此履行消息发送给履行公司。在2915处，履行公司使用从履行消息中提取的嵌套航运凭证来履行此订购。在2920处，履行公司将所购买的货品传递给航运代理。在2925处，航运代理将货品递送到在凭证的密封部分中被加密的地址处。
在上文实例中的凭证格式的使用并不意欲做任何方式的限制。所属领域的技术人员将承认可使用其它数据格式。
根据本发明的一个实施例，不是通过履行公司来履行订购，而是在创造了履行消息之后(图29的参考数字2905)，将履行消息存储在安全服务凭证存储设备上。根据本发明的一个实施例，将履行消息存储在如PDA、手机或智能卡等的便携式设备上。根据本发明的另一个实施例，将包含履行凭证的环球网柜的数字密钥存储在设备上。接着，用户将安全服务凭证存储设备带到卖方的商店，并亲自将服务凭证递交给卖方。卖方处理此凭证并执行任何所需的用户验证。一旦适当地验证了用户，卖方就将所购买的物品提供给客户。
现在参看图30A，其中提供了根据本发明的一个实施例说明一种用于使用从服务凭证中提取的嵌套支付凭证来执行支付授权的方法的流程图。图30A为图29的参考数字2900提供更多细节。在3000处，卖方使用来自服务凭证的嵌套支付凭证来将支付请求发送给支付结算代理，并将如收费数额等的事务处理细节包括在此请求中。在3005处，支付结算代理对嵌套凭证的密封部分进行解密。在3010处，支付结算代理发送一个响应。例如，结算代理可发送一个包括事务处理标识符和收费数额的响应。取决于响应的内容，此响应的全部或一部分可包含密码地加密的消息。
图30B-33说明了将智能卡用作安全用户数据存储器的本发明的实施例。
同典型的台式计算机等相比较，资源约束(resource-constrained)设备通常被认为是那些在存储和/或计算能力或速度方面相对受限制的设备。虽然参考智能卡描述下文所论述的特定实施，但是本发明可配合其它资源约束设备一起使用，这些其它资源约束设备包括(但不限于)蜂窝式电话、边界扫描器件、现场可编程器件、个人数字助理(PDA)和寻呼机，以及其它微型或小型封装设备(footprint device)。也可将本发明用在非资源约束设备上。
对于本发明来说，术语“处理器”可用来指实体计算机(physical computer)或虚拟机。
现在参看图30B，其中提供了根据本发明的一个实施例说明将多组用户数据分配给身份的方块图。除了将智能卡3050用作安全数据存储器(图17的参考数字1702)以外，图31A类似于图17。
现在参看图31，其中提供了根据本发明的一个实施例在开放网络上使用智能卡在多方之间进行事务处理的方块图。除了将智能卡(3102，3104)用作安全用户数据存储器(图18的参考数字1802和1804)以外，图31类似于图18。
现在参看图32，其中提供了说明可用来为如智能卡等的资源约束设备提供安全用户访问控制功能的小程序开发的方块图。以类似于开发JavaTM程序的方式开始开发用于如智能卡3240等的资源约束设备的小程序。换句话说，开发者编写一个或多个JavaTM类，并用JavaTM编译器来编译源代码以产生一个或多个类文件3210。例如，可在使用模拟工具来模拟卡3240上的环境的工作站上运行、测试和调试此小程序。当预备好将此小程序下载到卡3240时，用转换器3214将类文件3210转换成转换过的小程序(CAP)文件3216。转换器3214可以是由台式计算机执行的JavaTM应用程序。除了待转换的类文件3210外，转换器3214还可把一个或多个输出文件3212当作其输入。输出文件3212包含用于由正被转换的类所输入的其它程序包的内容的命名或链接信息。
通常，CAP文件3216包括定义于单一JavaTM程序包中的所有的类和界面并由8位字节流来表示。通过读入两个或四个连续的8位字节来分别构造所有的16位和32位量。其中，CAP文件3216包括常量池组件(或“常量池”)3218，其与方法组件3220被装入分别的程序包内。常量池3218可包括各种类型的常量，这些常量包括当链接程序时或将程序下载到智能卡3240时或在智能卡执行此程序时所解析的方法和域引用(field reference)。方法组件3220指定将被下载到智能卡3240且随后由此智能卡执行的应用程序指令。
在转换之后，可将CAP文件3216存储在如硬盘驱动器、软盘、光存储媒体、闪存设备或某些其他适当媒体等的计算机可读媒体3217上。或者，此计算机可读媒体可呈载波的形式，例如网络数据传输或射频(RF)数据链路。
接着，可以将CAP文件3216复制或传输到如具有外围卡片读取器3224的台式计算机等的终端3222。卡片读取器3224允许将信息写入智能卡3240并从智能卡3240中检索信息。卡片读取器3224包括智能卡3240可插入的卡片端口(未图示)。一旦插入，来自一连接器的触点压抵在智能卡3240上的表面连接区域，以提供电力并允许与此智能卡进行通信，虽然在其他实施中可使用非接触式的通信。终端3222也包括将供传输的CAP文件3216载入卡3240的安装工具3226。
智能卡3240具有一个包括一组触点的输入/输出(I/O)端口3242，通过这些触点可提供程序、数据和其它通信。卡3240也包括一个安装工具3246，其用于接收CAP文件3216的内容并预备在卡3240上执行的小程序。可将安装工具3246实施为(例如)JavaTM程序，并可在卡3240上执行它。卡3240也具有存储器，包括如RAM 3250等的易失性存储器。卡3240也具有ROM 3252和非易失性存储器，如EEPROM 3254。可将由控制器3244预备的小程序存储在EEPROM3254中。
在一个特定实施中，由在微处理器3248上运行的虚拟机3249来执行小程序。可称为Java CardTM虚拟机的虚拟机3249无需载入或操作CAP文件3216。相反，Java CardTM虚拟机3249执行先前被作为CAP文件3216的一部分存储的小程序代码。Java CardTM虚拟机3249与安装工具3246之间的功能性分割允许此虚拟机与此安装工具两者都保持相对小。
通常，为如智能卡3240等的资源约束平台编写的实施和小程序遵循JavaTM平台程序包的标准规则。T.Lindholm等人的JavaTM虚拟机规范(JavaTMVirtualMachine Specfication)(1997)和K.Arnold等人的JavaTM程序设计语言第二版(JavaTMProgramming Language Second Edition)(1998)中描述了JavaTM虚拟机和JavaTM程序设计语言。可将用于智能卡平台的应用程序编程接口(API)类作为包括程序包指名(package designation)的JavaTM源文件来编写，其中一个程序包包括若干编译单元并具有一个独特的名称。程序包机制用来标识并控制对类、域和方法的访问。Java CardTMAPI允许为一个启用Java CardTM(JavaCardTM-enabled)的平台编写的应用程序在任何其它启用Java CardTM的平台上运行。此外，Java CardTMAPI可与如ISO 7816等的正式国际标准和如Europay/MasterCard/Visa(EMV)等的工业特定标准兼容。
虽然已将在微处理器3248上运行的虚拟机3249描述为一种用于在智能卡3240上执行字节代码的实施，但是在替代实施中，可以代替地使用特殊应用集成电路(ASIC)或硬件与固件的组合。
参看图32，控制器3244使用安装工具3246，以供接收CAP文件3216的内容并预备将由处理器3248执行的小程序。例如，可将安装工具3246实施为已经被适当地转换以便在智能卡3240上执行的JavaTM程序。在下文描述中，假定控制器3244包含在微处理器3248上运行的虚拟机程序3249。虚拟机3249无需载入或操作CAP文件3216。相反，虚拟机3249执行CAP文件3216中的小程序代码。虚拟机3249与安装工具3246之间的功能性分割允许此虚拟机与此安装工具两者都保持相对小。在替代实施中，例如，可将控制器3244硬连线为特殊应用集成电路(ASIC)或可将其实施为硬件与固件的组合。
如图33A所示，计算机3322装备有一个用于接收图32的卡3240的卡片读取器3324。可将计算机3322连接到与如服务器3347等的复数个其它计算设备进行通信的数据通信网络3345。可在数据通信网络3345上使用卡装备设备来将数据和软件载入到智能卡上，此性质的下载可包括将被载入到智能卡上的小程序或其它程序，以及概况数据、数字货币和根据各种电子商务及其它应用而使用的其它信息。可将用来控制卡片读取器与智能卡的处理元件的指令和数据存储在易失性或非易失性存储器中，或可在通信链路上将它们(例如)作为包含指令和/或数据的载波而直接接收。另外，例如，网络3345可以是一种LAN或一种诸如因特网或其它网络的WAN。
根据本发明的实施例，可将多种用户数据格式用来将用户数据存储在相同的安全用户存储设备中。如图33B所示，安全用户存储设备(3302)使用五种用户数据格式服务凭证(3340、3344、3356、3358)、cookie(3342、3350)、数据格式A(3346)、文本文件(3348、3354)和数据格式B(3352)。所属领域的技术人员将承认其他格式也是可能的。
图33B是根据本发明的一个实施例说明将各种类型用户数据分配给身份的方块图。
隐私保护登录机制图34-41说明了在环球网上使用随机化用户ID来保护用户身份的本发明的实施例。
为了此揭示目的起见，术语“随机化ID”指的是一个伪随机标识符。
现在参看图34，其中提供了根据本发明的一个实施例说明标识符的方块图。标识符3400包括身份识别服务器ID 3405和随机化ID 3410。身份识别服务器ID3405标识一个由一个或多个联合身份服务器组成的集合，该集合包括一个包含与随机化ID 3410相关联的额外信息的身份服务器。根据本发明的实施例，通过计算与ID相关联且存储在联合身份识别服务器中的一个服务器中的数据来得到身份识别随机化ID 3410。根据本发明的一个实施例，此计算包含使用一种密码算法，在这种情况下，ID 3410包含如先前关于图9A的参考数字915和图9B的参考数字945来描述的所存储数据的密码。
现在参看图35，其中提供了根据本发明的一个实施例说明使用利用随机化用户标识符的联合身份识别服务器和联合用户验证服务器以便可访问服务同时保持隐私的方块图。图35说明了两种机制，通过这两种机制，用户3530使用连接到客户主机3500的个人设备(3540、3545、3550)以便可访问一个或多个服务提供者服务器3515。这两种机制都使用图34的随机化ID来识别用户，由此保护用户隐私。第一机制采用与客户主机3500通信的门户3505。此门户执行身份识别和用户验证功能，以允许经由如智能卡3540、PDA 3545或手机3550等的个人设备连接到服务提供者3515。第二机制允许直接从个人设备(3540、3545、3550)访问服务或从个人设备(3540、3545、3550)经由客户主机3500访问服务。
客户主机3500包含一个能够接收用户输入并提供用户信息的终端或信息站(kiosk)。客户主机3500提供了到环球网的用户接口。可将客户主机3500配置为具有一个卡片读取器以接受智能卡。
服务门户3505包括一个如适应于开始环球网体验的网页等的用户接口。服务门户3505是用户获得登录凭证的位置。此登录凭证可包括所执行的用户验证的QoS的指示和时间戳。服务提供者可能需要额外的用户验证。
服务提供者服务器3515表示在环球网上可访问的所有环球网服务器，通过服务门户3505来对其进行参考。服务提供者服务器3515包含在环球网上可访问的没有它们自己的门户但要求用户登录的所有服务。为了此揭示目的起见，“登录”指的是对特定服务器结合提供一服务来处理如用户概况等的用户特定信息的要求。例如，服务提供者服务器3515可包括凭证权威、航运代理、支付代理、订购履行公司等等。因此，用户可经由服务门户3505来访问服务提供者服务器3515。也可直接或经由一个嵌套凭证，使用一个参考服务提供者服务器的凭证来直接访问服务提供者服务器3515中的一个或多个。
根据与数据相关联的质量声明，联合身份服务器3520声明将被存储的数据的真实性、精确度和完整性。QoS可能是一个对指示了所执行核对的级别的策略声明的参考。
联合用户验证服务器3525以同等组的方式执行用户验证服务，例如按Gnutella对等搜索协议(Gnutella the peer-to-peer search protocol)和JXTATM。
PDA 3545和手机3550可使用包括BluetoothTM、IEEE 802.15和包括快速红外线(FIR)与串行红外线的红外线数据协会(IrDA)数据标准的协议与客户主机3500进行通信。所属领域的技术人员将承认同样可使用其它协议。
PDA 3545和手机3550设备可装备有一个卡片读取器以接受外部智能卡。如果装备有外部卡片读取器和到客户主机3500的通信链路，那么可将PDA 3545或手机3550用作卡片读取器3535。或者，可在无外部智能卡的情况下使用PDA3545和手机3550。此外，手机3550可直接与服务提供者服务器3515进行通信。
根据本发明的一个实施例，客户主机3500维护优选服务门户列表。在经由另一个服务门户进行连接之前，试图经由此优选列表上的一个服务门户进行连接。
直接访问服务提供者服务器如先前所提及，服务提供者服务器要求用户登录。根据本发明的一个实施例，由于这些门户执行用户验证并创造验证登录消息，所以其充当了权威或单一注册服务(single sign on service)服务器。根据本发明的一个实施例，登录消息包含一个如参看图9A和9B所描述的凭证。接着，将登录凭证返回给用户，以供随后用作单一注册符记。用户可将此单一注册符记存储在如智能卡、手机或PDA等的个人设备上。此登录凭证或单一注册符记使用户能够直接访问服务提供者服务器。当需要其以访问服务器时，用户激活PDA、智能卡或手机上的访问控制，并将单一注册符记发送给服务提供者服务器。取决于被请求的服务类型，服务提供者服务器可要求额外的用户验证。
现在参看图36，其中提供了根据本发明的一个实施例说明一种用于使用利用随机化用户标识符的联合身份识别服务器和联合用户验证服务器以便可访问服务同时保持隐私的方法的流程图。在3600处获得随机化用户标识符。在3605处，做出关于是否到了使用凭证的时间的判定。当到了使用凭证的时间，在3610处将随机化ID提供给服务门户。在3615处，服务门户将用户验证请求发送给包含随机化标识符的身份服务器联合。在3620处，身份服务器同等组中的所有服务器搜索与随机化标识符的匹配。在3625处，做出关于是否发现了匹配的判定。如果没有匹配，那么在3630处产生一个指示。如果存在匹配，那么在3635处将来自身份服务器联合的匹配输入项提供给用户验证服务器联合，以判定单一有效用户数据输入项。取决于所需的用户验证量和每一个用户验证服务器的能力，多个用户验证服务器可合作提供所需的用户验证。
根据本发明的一个实施例，联合身份同等组由子组组成，且给每一个子组分配一个优先级值。根据子组优先级来搜索随机化ID。具有最高优先级的子组第一个搜索随机化ID。如果没有发现随机化ID，那么具有次最高优先级值的子组执行此搜索。
现在参看图37，其中提供了根据本发明的一个实施例说明一种用于使用利用随机化用户标识符的联合身份识别服务器和联合用户验证服务器以便可访问服务同时保持隐私的方法的流程图。在3700处，用户为了服务进行登记。在3705处，响应此登记而接收一随机化ID。根据本发明的一个实施例，接收一个印刷的随机化ID。根据本发明的另一个实施例，接收一个表示随机化ID的条码。在3710处，存储随机化ID。在3715处，做出关于是否到了使用ID的时间的判定。当到了使用ID的时间，在3720处，将随机化ID用来获得服务。
在随机化ID创造者与随机化ID用户之间的策略判定随机化ID是否有效。根据本发明的一个实施例，随机化ID在预定时间量中有效。根据本发明的另一个实施例，随机化ID在预定使用数中有效。换句话说，此ID在其变为无效之前可被使用预定数目的次数。所属领域的技术人员将承认其它ID有效性机制也是可能的。
再次参看图37，在3725处做出关于ID是否仍然有效的判定。如果ID仍然有效，那么在3715的开始处使用此ID。如果ID呈条码的形式，那么通过扫描此条码来使用其。如果ID存储在如手机、PDA或智能卡等的个人设备中，那么将数字从个人设备传送到服务提供者环球网服务器。如果ID不再有效，那么在3720处接收新的ID，并在3710的开始处使用其来获得服务。
现在参看图38，其中提供了根据本发明的一个实施例说明向身份服务器登记的方块图。在3850处，直接使用客户主机3800或通过经由如智能卡3835、PDA 3840或手机3845等的个人设备来使用客户主机3800，用户3825将用户身份凭证请求传送给联合身份服务器3815。用户将待存储的数据包括在用户身份凭证请求3850内。此请求也包括优选用户验证机制和服务质量(QoS)指示符。联合身份服务器3815根据此QoS指示符来核对待存储的数据的真实性、精确度和完整性。此核对可包括如上文所描述的数据验证。此核对也可包括用户验证。
一旦联合身份服务器3815已经核对了数据，联合身份服务器3815在联合用户验证服务中的一个中登记用户，这些服务可被请求来执行一个或多个特定用户验证过程以在未来的登录请求中验证此用户。在3855处，联合身份服务器3815经由客户主机3800将用户身份凭证返回给用户3825。
在用户3825使用服务门户3805来在环球网上获得服务之前，必须验证此用户3825。通过使用用户身份凭证和其中的验证数据来完成此验证。这可导致一个服务凭证。用户3825发布服务请求，其包括服务器组ID和用户身份凭证。服务门户3805将身份凭证传给由此服务器组ID所指示的联合身份服务器组以验证用户。联合身份服务器3815可将一些或所有用户验证任务委托给联合用户验证服务器3820。
根据本发明的一个实施例，用户验证包括从联合用户验证服务器3820向用户的个人设备(3835、3840、3845)直接发布质询。根据本发明的一个实施例，用户验证包括从联合用户验证服务器3820经由客户主机3800向用户的个人设备(3835、3840、3845)发布质询。
根据本发明的一个实施例，将对质询的响应直接传送给发布此质询的联合用户验证服务器3820。根据本发明的另一个实施例，经由客户主机3800将对质询的响应传送给发布此质询的联合用户验证服务器3820。根据本发明的一个实施例，由手机、智能卡、PDA来密码地处理对此质询的响应。
一旦验证了用户，服务门户3805经由客户主机3800将登录凭证返回给客户3825。用户可使用此登录凭证来从经由服务门户3805可访问的服务提供者处获得服务。
现在参看图39，其中提供了根据本发明的一个实施例说明可能的凭证类型的方块图。参考数字3900表示创造一个用户身份凭证。用户身份凭证包含随机化ID和身份识别权威的ID。
用户身份凭证指示用户已经为获取由用户身份服务器联合提供的单一注册服务而登记。上文关于图38描述了创造用户身份凭证。
一旦获得了用户身份凭证，用户可接着执行一登录过程以创造登录凭证3905。可将登录凭证3905作为“会话ID cookie”存储在客户主机上。登录凭证3905包括登录凭证将何时期满的指示和客户主机IP地址或任何其它独特的标识符，由此将特定客户主机固定到登录凭证和由此凭证所表示的用户。登录凭证由此而在时间和位置上受到限制。上文关于图38描述了创造登录凭证。
登录凭证指示用户通过在特定位置处的特定客户主机登录。这使得能够安全递送所有权或偿付信息，或其它必须被递送给正确设备的内容。可将登录凭证存储在客户主机上，因为其仅当用户在那个客户主机上工作时才是有效的。
可在获得登录凭证3905的过程中获得新的动态用户身份凭证3900。在重新登记过程中，其可被用额外的用户数据和凭证3910更新。或者，可将登录凭证3905用来创造服务凭证。
服务凭证是用于与特定服务器的会话的一次性符记，其可通过当访问服务时应用登录凭证来获得，而登录凭证可用于多个服务提供者的多个同时会话。服务提供者创造一个其自己使用的服务凭证。服务凭证可适用于获得用于立即使用或履行或者用于延期使用或履行的另外特定服务。如果服务凭证被应用于服务的立即使用，那么可动态地创造履行凭证3925以满足被请求的使用。参考数字3939表示履行凭证的消耗或使用，在此时间之后，不可再使用此履行凭证并可将其抛弃。
如果将服务凭证应用于稍后使用的服务，那么可创造一个权利密钥凭证3935。可将整个权利密钥凭证存储在安全客户主机或个人设备上。或者，可将权利密钥凭证存储在柜3950中，并创造一个柜访问凭证3955，并接着将其存储3960在安全主机或个人访问设备上。换句话说，第一方法将整个权利密钥凭证存储在安全设备上，而第二方法将整个权利密钥存储或锁定在环球网上某处的资源服务器上，并将此权利密钥的密钥存储在安全设备上。柜访问凭证是特殊的权利密钥凭证，其中由此权利密钥所保护的资源是其它凭证。
柜机制的示范性用途如下用户在卖方环球网站选购并购买了在一年中听一组所选择音乐曲目的权利。一组权利密钥凭证用来存储用户所购买的权利，并且这些权利密钥稍后被用来直接访问(多个)资源。
根据本发明的另一个实施例，登录凭证、服务凭证和履行凭证中的任何一个都是cookie。
关于图39所描述的过程并不意欲做任何方式的限制。所属领域的技术人员将承认可为了其它目的而创造其它凭证。此外，可使用不同于图39所示顺序的顺序来创造凭证。
现在参看图40，其中提供了根据本发明的一个实施例说明将随机化标识符用于访问分布资源同时保持隐私的方块图。如图40所示，用户数据分布在多个位置中。由一个或多个凭证保护对用户所拥有的资源的访问。凭证包括随机化ID，其未泄露关于接受者身份的任何内容。此搜索和匹配操作完全隐藏了访问数据的实体的身份，由此防止了泄漏关于打开或获取对资源的访问的用户的身份的信息。此外，使数据分布在若干同等组确保了隐私，因为没有单一实体能实际地使用这些组中每一个组存储的信息。
根据本发明的实施例，用户验证服务器联合对来自身份服务器联合的匹配输入项执行用户验证。用户验证服务器联合执行足够级别的用户验证以支持所需的QoS。用户验证可接收一个支持第一QoS的凭证；执行额外的用户验证；并接着返回一个支持更高级别QoS的凭证。
现在参看图41，其中提供了根据本发明的一个实施例说明一种用于将来自身份服务器联合的一个匹配输入项或多个匹配输入项提供给用户验证服务器联合以判定单一有效用户数据输入项的方法的流程图。图41为图36的参考数字3635提供更多细节。在4100处，针对每一个用户验证服务器，检索已由身份识别服务器所发现的用户的用户输入项。在4105处，做出关于当前用户验证服务器是否可符合用户验证的所需QoS的判定。如果当前用户验证服务器不能符合所需QoS，那么在4110处请求一个或多个其它合作的用户验证服务器执行额外用户验证。如果当前用户验证服务器能符合所需QoS，那么在4115处使用质询-响应协议或其它协议与客户进行接洽以获得所需QoS。在此情况中，术语“QoS”是这样一种指示，其指示了一起工作的用户验证服务器已经做出了多少努力来确定用户实际上在终端机处并意图继续如(例如)购买事务处理等的服务请求。在4120处，返回用户验证凭证。
根据本发明的一个实施例，用户验证包括判定用户的手机号码和经由手机将用户验证质询发布给此用户。此用户验证质询可能是(例如)口令质询。
根据本发明的另一个实施例，用户验证包括使用如视网膜扫描或指纹等的生物测量。
根据本发明的另一个实施例，用户验证包括请求智能卡接入(engage in)一密码协议以便证实用户已经输入了此卡的PIN号码。
根据本发明的另一个实施例，用户验证包括请求智能卡接入一个协议以便使用存储在此卡上的生物测量来验证用户。
根据本发明的另一个实施例，将加密PIN小键盘(PIN pad)用来输入卡的PIN号码。
根据本发明的另一个实施例，用户验证包括口令/PIN与生物测量的组合。
根据本发明的另一个实施例，用户验证服务器联合包括专门用来执行单一类型的用户验证的至少一个用户验证服务器。因为关于个体的数据被分布于多个服务器中，所以执行不同功能的分别的用户验证服务器增强了隐私。
图42A-46C说明了使用一个或多个凭证来访问数据的本发明的实施例。
现在参看图42A，其中提供了根据本发明的一个实施例说明存储在资源服务器中的数据的方块图。如图42A所示，资源服务器存储资源4200和相关的权利密钥凭证标识符。资源可能是(例如)对环球网页或音频曲目的访问。每一个权利密钥凭证包括允许访问相关资源的一个或多个密码密钥。因此，标识符4205是准许访问资源的凭证的标识符。
当用户想要使用资源时，此用户将权利密钥凭证和对资源的请求提供给资源服务器。此资源服务器发现匹配此权利密钥凭证的资源。此凭证中的权利密钥用于打开或获得对资源的访问。
根据本发明的一个实施例，将整个权利密钥凭证存储在安全设备上。根据本发明的另一个实施例，将凭证ID存储在安全设备中并分开存储权利密钥凭证的剩余部分。
此实施例的一个实例用途存在于资源被并非拥有者但得到拥有者的许可可访问此资源的第三方(例如一个访问用户数据的商人)请求时。在该情况下，以下这样是可能的当资源拥有者登记时，此资源拥有者可授权第三方访问拥有者的凭证并将其复制到第三方的凭证机制中，由此将对由此凭证所保护的资源的间接访问提供给第三方。可参照由拥有用户所持有的权利密钥凭证使第二权利密钥ID与资源相关联。
现在参看图42B，其中提供了根据本发明的一个实施例说明存储在资源服务器中的数据的方块图。图42B类似于图42A，除了图42B包括对一个或多个密码保护机制4220的参考，当将资源内容传递给用户时这些密码保护机制可用于提供密码保护。
现在参看图43A，其中提供了根据本发明的一个实施例说明响应一个包括一组权利密钥的资源请求而从资源服务器获得资源的方块图。
现在参看图43B，其中提供了根据本发明的一个实施例说明从资源服务器中获得资源以响应包括一组权利密钥和对传递保护机制的参考以及任意目标设备的资源请求的方块图。根据该实施例，将资源递送到在所参考的密码机制保护下的任意提供的目标设备或客户主机。
现在参看图43C，其中提供了根据本发明的一个实施例说明权利密钥凭证的方块图。凭证数据字段4365和密封凭证数据字段4370包括密码密钥数据。可将公用密钥存储在凭证数据字段4365中，而将秘密密钥存储在密封凭证数据字段4370中。嵌套凭证4375可指的是涉及资源传递机制的凭证。例如，拥有赋予用户播放MP3文件的权限的凭证的用户可指示应使用如MP3播放器等的客户设备经由红外连接直接地连接到客户主机。这增加了用户对使用远程存储的资源的控制。
现在参看图44，其中提供了根据本发明的一个实施例说明一种用于获得对资源的访问的方法的流程图。在4400处，将一个包括权利密钥凭证的资源请求发送给资源服务器。在4405处，资源服务器将密钥与同资源相关的一组标识符中的标识符匹配。在4410处，做出关于是否必须创造新的ID的判定。如果必须创造新的ID，那么在4415处创造它。如果是在该情况下，那么将ID返回给用户。在4420处，返回在4405处发现的资源。
现在参看图45，其中提供了根据本发明的一个实施例说明一种用于获得对需要多个密钥的资源的访问的方法的流程图。例如，当资源的拥有者和请求此资源的实体是不同的实体时，可使用多个密钥。在4500处，将一个包括第一权利密钥凭证和第二权利密钥凭证的资源请求发送给资源服务器。在4505处，资源服务器将两个密钥与同资源相关的一组标识符中的标识符匹配。在4510处，做出关于是否必须创造新的ID的判定。可能无需创造ID、可能需要创造一个ID或两个ID。如果必须创造新的ID，那么在4515处创造它。在4520处，返回在4505处发现的资源。
图46A是根据本发明的一个实施例说明一个包括权利密钥凭证以访问存储在资源服务器同等组中的服务器上的特定类别的资源的通用资源定位符(URL)的方块图。如图46A所示，URL 4600包括资源服务器同等组4620、用于特定类型资源的资源目录4625和资源的权利密钥4630。
图46B是根据本发明的一个实施例说明一个包括权利密钥凭证数据的超文本传输协议(HTTP)消息的方块图。
图46C是根据本发明的一个实施例说明一个包括权利管理小程序的智能卡的方块图。
图46D、47和48说明了以隐私敏感的方式使用近似用户数据来为用户获得服务的本发明的实施例。
对于本揭示来说，术语“聚集”指的是将特定用户数据变换为较不特定的用户数据并由此产生更近似的用户数据，且术语“聚集权威”指的是执行此功能的权威。聚集包括获得关于用户的不确切信息。例如，服务提供者可能存储任何具有确定属性的环球网页被访问的次数，而不是存储环球网页URL或环球网页本身。
可按照权威应用的聚集策略来对聚集权威进行分类。外部聚集权威应用公开接受的聚集策略。同等聚集权威应用与另一个同等聚集权威共享的聚集策略。内部聚集权威应用其自己的专用聚集策略。一个同等组权威可将对其策略的访问限制在其同位体(peer)。
聚集本身可能是静态或动态的。术语“静态聚集”指的是仅仅基于用户提供的信息来执行聚集。聚集权威接收用户提供的信息，将聚集策略应用于用户提供的数据并将近似用户数据返回给用户。
术语“动态聚集”指的是基于用户提供的信息和在与服务相互作用期间所搜集的关于用户的局部信息两者来执行聚集。在动态聚集中，服务提供者从用户处接收用户数据。服务提供者也存储并搜集它自己的关于用户的信息。服务提供者将两种类型的用户数据提供给一个权威。聚集权威将聚集策略应用于组合的数据以获得新的近似用户数据，并将此新的近似用户数据返回给服务提供者。
现在参看图46D，其中提供了根据本发明的一个实施例说明用户数据的动态聚集的方块图。图46D包括用户4645、第一卖方环球网站4635、第二卖方环球网站4640和权威4630。用户4645在第一卖方环球网站4635和第二卖方环球网站4640处选购。卖方(4635、4640)与权威4630进行通信。基于如在卖方环球网站处的用户活动等的更特定用户数据来获得近似用户数据。此近似用户数据成为用户保留的供访问其它环球网站时使用的用户数据的一部分。根据本发明的一个实施例，用户数据存储在安全用户数据存储器中。
更详细地，在4650处，用户4645将用户概况提供给第一书籍卖方4635。第一书籍卖方4635收集关于使用第一书籍卖方的环球网站所查看或购买的书籍类型的信息。例如，书籍卖方4635可记下用户购买了许多科学幻想小说和许多园艺书籍。在4655处，书籍卖方将此收集的用户数据和从用户4645处获得的用户概况提供给权威4630。此权威将聚集策略应用于用户概况和收集的用户数据以获得近似用户数据。例如，一种可能的聚集策略可为使用一组共同接受的类别来对用户对书籍类别的兴趣分级。如果用户数据指示用户4645既不对科学幻想感兴趣又不对园艺感兴趣，并且如果所搜集的用户数据指示用户4645最近在每一类别中从书籍卖方4635处购买了十本书籍，那么修改用户数据以包括用户对这两种类别的兴趣等级。
仍然参看图46D，在4670处，用户4645可随后在第二书籍卖方环球网站处选购。用户4645提供一个包括当此用户访问第一卖方4635环球网站时所创造的近似用户数据的用户概况。第二书籍卖方4640可以使用此近似用户信息来适应用户在第二卖方环球网站选购时的体验。使用类似于关于第一卖方4635所论述过程的过程，第二书籍卖方4640也可收集关于使用第二书籍卖方的环球网站所查看或购买的书籍类型的信息，将此信息提供给权威4630并接收更新的近似用户数据。
现在参看图47，其中提供了根据本发明的一个实施例说明一种用于用户数据的动态聚集的方法的流程图。在4700处，服务提供者接收服务请求和相关的用户数据。在4705处，收集用户概况信息。在4710处，将用户数据和用户概况信息或对此信息的参考提供给权威。在4715处，服务提供者从权威处接收近似用户信息。在4720处，将此近似用户信息返回给用户。
现在参看图48，其中提供了根据本发明的一个实施例说明一种用于用户数据的静态聚集的方法的流程图。在4800处，接收用户数据。在4805处，将聚集策略应用于用户数据以获得近似用户数据。在4810处，将此近似用户数据返回给用户。
根据本发明的一个实施例，将所聚集的用户数据存储在一个凭证中。根据本发明的另一个实施例，概况包括一个或多个凭证，这些凭证又包括所聚集的用户数据。概况因此是一种关于用户的信息的聚集形式。根据本发明的另一个实施例，概况中数据的一部分是位映射的。
聚集是隐私保护的，因为所存储的信息不是确切的。因此，其不会泄露关于作为个体的用户的任何信息。可使用近似用户信息来描述任何用户而不至于泄露此用户的身份。此外，可隐藏用于编译此信息的机制。
现在参看图49，其中提供了根据本发明的一个实施例说明使用智能卡来安全地存储并重新配置cookie的方块图。如图49所示，计算机4930装备有用于接收智能卡4940的卡片读取器4935。可将计算机4930连接到一个与复数个其它计算设备(例如环球网服务器4900)进行通信的网络4920。环球网服务器4900包括cookie处理逻辑4915、重新配置的cookie 4910和与智能卡4940上的小程序4945共享的至少一个秘密4905。智能卡4940也包括cookie处理逻辑4960和用于存储至少一个cookie 4955的存储器。
在操作中，环球网服务器4900发布一个由计算机4930所接收的cookie请求。如果被请求的cookie在智能卡4940上并且如果此cookie包含动态cookie，那么cookie处理逻辑4960使用共享的秘密4905来重新配置cookie的位模式(bitpattern)，并且重新配置的cookie被经由计算机4930发送到环球网服务器4900。环球网服务器4900上的cookie处理逻辑4915接收此重新配置的cookie，并判定是否需要重构此cookie。如果需要重构cookie，那么cookie处理逻辑4915使用共享的秘密4905来重构cookie。因为在发送cookie之前对其进行了重新配置，所以数据包探测器(packet sniffer)5025或类似设备不能将cookie数据与特定用户匹配。
根据本发明的一个实施例，cookie与一个时间戳相关联。如果时间戳指示cookie是陈旧的，那么将不处理此cookie。
根据本发明的另一个实施例，卡上的所有cookie都是静态的，由此无需共享的秘密(4905、4950)。
根据本发明的另一个实施例，cookie管理凭证指定将被执行的cookie管理类型。
现在参看图50，其中提供了根据本发明的一个实施例说明使用智能卡来安全地存储并重新配置cookie的方块图。除了秘密5065仅存在于环球网服务器5000上并且不与智能卡5040共享外，图50类似于图49。此外，将cookie更新逻辑(5005、5050)用来周期性地更新智能卡5040上的cookie。
现在参看图51，其中提供了根据本发明的一个实施例说明一种用于浏览环球网(WWW)的方法的流程图。在5100处，将卡放置在卡片读取器中。在5135处，浏览器访问环球网站。在5140处，做出关于是否需要cookie的判定。如果需要cookie，那么在5145处浏览器从此卡处请求cookie。在5105处，卡接收cookie请求并判定此卡是否具有匹配此请求的cookie。如果卡具有匹配此请求的cookie，那么在5110处做出关于用户是否已经启用此卡(例如藉由输入PIN)以返回用于此请求的cookie的判定。如果卡已经启用用于请求的cookie，那么在5115处做出关于此cookie是否是动态的判定。如果cookie是动态的，那么在5120处重新配置cookie的位模式，并在5125处返回重新配置的cookie。如果cookie是静态的，那么在5125处返回此cookie而无需对其重新配置。如果卡不具有与请求匹配的cookie或如果用户没有启用用于请求的cookie，那么在5130处返回一个将不返回cookie的指示。
在5150处，浏览器做出关于是否从卡处返回了cookie的判定。如果没有从卡处返回cookie，那么从此卡以外的其它地方获得cookie，例如本地硬盘驱动器，并在5160处将此cookie发送给服务器。
如果从卡处返回了cookie，那么在5160处将来自此卡的cookie发送给服务器。在5165处，服务器判定是否从浏览器处返回了cookie。如果没有从浏览器处返回cookie，那么在5185处终止此过程。如果从浏览器处返回了cookie，那么在5170处做出关于是否需要重构此cookie的判定。如果需要重构cookie，那么在5175处对它进行重构，并在5180处使用它。如果无需重构cookie。在任一情况下，都在5180处使用它。
本发明的实施例具有许多优点。服务提供者可以交换关于个人的信息而不至于泄露不适当的或不必要的信息，由此可在如因特网等的开放网络上进行商业事务处理同时保持隐私。
虽然已经展示并描述了本发明的实施例和应用，但是受益于本揭示内容的所属领域的技术人员将明白在不脱离本文的发明性概念的情况下，可存在比上文提及的内容更多的修改。因此，除了附加的权利要求的精神之外，将不对本发明进行限制。
权利要求
1.一种用于一个数据通信网络中的增强的身份识别质量的方法，该方法包含获得一个用户标识符，所述用户标识符包含一个身份识别服务器ID和一个身份识别随机化ID，所述身份识别服务器ID标识一个身份识别服务器同等组，所述身份识别服务器同等组包含至少一个服务器，此至少一个服务器维护一个身份识别随机化ID与一个能够验证一个同一个特定随机化ID相关的用户的用户验证同等组之间的一个映射，并维护所述身份识别随机化ID与用户信息之间的一个映射；通过将所述用户标识符提供给一个对应的身份识别服务器同等组来请求所述用户的授权，配置所述身份识别服务器同等组中的每一个服务器来搜索包括所述随机化ID的一个或多个匹配输入项。
2.一种可由一个机器读取的程序存储设备，其包含一个可由该机器执行以执行一种用于一个数据通信网络中的增强的身份识别质量的方法的指令程序，该方法包含获得一个用户标识符，所述用户标识符包含一个身份识别服务器ID和一个身份识别随机化ID，所述身份识别服务器ID标识一个身份识别服务器同等组，所述身份识别服务器同等组包含至少一个服务器，此至少一个服务器维护一个身份识别随机化ID与一个能够验证一个同一个特定随机化ID相关的用户的用户验证同等组之间的一个映射，并维护所述身份识别随机化ID与用户信息之间的一个映射；通过将所述用户标识符提供给一个对应的身份识别服务器同等组来请求所述用户的授权，配置所述身份识别服务器同等组中的每一个服务器来搜索包括所述随机化ID的一个或多个匹配输入项。
3.一种用于一个数据通信网络中的增强的身份识别质量的装置，该装置包含用于获得一个用户标识符的构件，所述用户标识符包含一个身份识别服务器ID和一个身份识别随机化ID，所述身份识别服务器ID标识一个身份识别服务器同等组，所述身份识别服务器同等组包含至少一个服务器，此至少一个服务器维护一个身份识别随机化ID与一个能够验证一个同一个特定随机化ID相关的用户的用户验证同等组之间的一个映射，并维护所述身份识别随机化ID与用户信息之间的一个映射；用于通过将所述用户标识符提供给一个对应的身份识别服务器同等组来请求所述用户的授权的构件，配置所述身份识别服务器同等组中的每一个服务器来搜索包括所述随机化ID的一个或多个匹配输入项。
全文摘要
一种用于数据通信网络中增强的身份识别质量的方法，其包括获得一个包括身份识别服务器ID和身份识别随机化ID的用户标识符。身份识别服务器ID标识一个身份识别服务器同等组。身份识别服务器同等组包括至少一个服务器，此至少一个服务器维护身份识别随机化ID与能够验证同特定随机化ID相关的用户的用户验证同等组之间的映射，并维护身份识别随机化ID与用户信息之间的映射。此方法也包括通过将用户标识符提供给对应的身份识别服务器同等组来请求用户授权。配置身份识别服务器同等组中的每一个服务器来搜索包括随机化ID的一个或多个匹配输入项。
文档编号G06F1/00GK1578938SQ02821509
公开日2005年2月9日 申请日期2002年10月29日 优先权日2001年10月29日
发明者E·K·德琼, M·利威, A·Y·梁 申请人:太阳微系统公司