各实施例可使用EV(或其它证书)来在可信验证者112中获得最初的信任。
[0031] 一般化:运是W下安全原则的特定实现:查看器(例如,浏览器)具有在查看器上 运行的与普通用户隔离的安全显示区域(例如,地址栏)。正在经历与用户的显式交互的元 素(例如,可信背包/组/徽章)的身份,可使用上面定义的密码协议来验证,且其结果显 示在隔离的区域(例如,地址栏)中。如果显示器(诸如上面示例中的纸)是抵抗欺骗的 (因为该纸是通过带外的且可信的过程接收的),那么上面的过程可被一般化到其它实体, 如下:显示器仅接受可信显示器上的来自可信实体的元素。显示器不显示它不能验证其可 信性的任何内容。
[0032] 例如,可信显示器可W是一应用,该应用从可信源(例如,微软骇/莫兹拉基金会 (MozillaFoundation)/等)下载,并在过滤掉由外部元数据(像徽章发放者身份)定义的 不可信元素之后,呈现由人类验证者指向的页的html。诸如在一个示例中,通过诸如虚拟帐 户或微软參.视窗中的强制性完整性控制(MandatcxryIntegrityControl)的基于0S的隔 离机制,显示器被假设为运行在不同于(例如浏览器中的)该显示的安全边界中,该机制已 经被集成到诸如从华盛顿州雷蒙德的微软?公司可用的InternetExplorer;坂的浏览器中。
[0033] W可信方式显示徽章可多个不同方式中的任何一个来实现。例如,在某些实 施例中,可信验证者112可向实体108提供只显示经验证的徽章的安全web页,所述徽章 已经根据实体108标识或提供的策略110进行了验证。可替换地,不满足策略的徽章可被 显示,但是它们可连同例如指示不真实性的明确指示(诸如覆盖在徽章上的红讶一起被显 /J、- 〇
[0034] 附加地或替换地,可信验证者112可提供关于提交给该可信验证者的徽章的报 告。该报告可标识符合策略的徽章和/或不符合策略的徽章。报告可进一步指定特定徽章 不符合哪个策略检查,其导致徽章被声明为不符合该策略。
[0035] 附加地或替换地,各实施例可提供叠印在徽章上的覆盖W指示其符合或不符合策 略。例如,如图2所示,用户可使用具有相机的平板设备200来认证徽章。用户可将平板设 备200的相机指向徽章104。平板设备200可连接到可信验证者112并将徽章104的图像 传送到可信验证者112。可信验证者112可指示该徽章符合该策略。平板设备100可接着 将徽章连同符合策略的指示(诸如绿色光晕202或其它指示)一起显示。当徽章被确定为 不符合该策略时,平板设备200可将该徽章连同红色光晕、红X或指示该徽章不符合该策略 的其它指示一起显示。类似的实施例可将指示符投影到徽章的物理复制体上。例如,戴着 专用眼镜(该眼镜具有拍摄徽章的图像的相机和上传徽章的图像的网络硬件)的用户还可 W具有投影仪,诸如平视显示投影仪或能够直接投影到徽章的复制体上的投影仪。指示符 可被投影到徽章的物理复制体上,从而指示该徽章是否符合该策略。说明性地,使用运样的 设备的雇佣管理者通过使用平板设备或投影硬件可快速评估具有印在它们上面的徽章的 简历。
[0036] W下示出徽章验证场景的虚构示例。在W下示例中,W下角色的演员表被用于示 范各原理:
[0037] GreatCompany(大公司):具有已建立的市场品牌的开放徽章发放者。 W38]Badgemi11(徽章制造厂):根本不具有已建立的存在但寻求铸造伪装成GreatCompany.com发放的那些的徽章的开放徽章发放者。
[0039]Polonius:来自Badgemill.comW及其它开放徽章发放者的徽章的不道德的消费 者。
[0040] Gertrude:具有来自GreatCompany的徽章的人。
[0041] Fortinbras:雇佣管理者。
[0042] 可信开放徽章验证者:评估被称为徽章限制表达式(例如策略)的表达式的服务。
[0043] 当化dinbras看着Gedrude和化lonius的在线简档页面时,他看见了他认为 是GreatCompany发放的有效开放徽章的事物。抱着怀疑的态度,F'oi'tinbras将Ge;rt;rude 和化lonius两者的简档发送到可信开放徽章验证者,该可信开放徽章验证者接着验证由 ^dinbras创造的先前配置的徽章限制表达式是经验证的。化dinbras已经用W下(针 对化dinbras的)徽章限制表达式来配置可信开放徽章验证者:
[0044] 徽章必须使用EV证书来签署,该EV证书在签署时有效地加盖了时戳; W45] EV证书必须由更好的CA列表扣RI)中的可信CA发放拟及
[0046] 发放者CN在化ustwort^tech(可信技术)处(其本身被更好的CA列表中的EV 证书保护)的公司列表中被发现。
[0047] 可信开放徽章验证者访问Gedrude和化lonius两者的页面并下载内容;提取全 部PNG并标识任何徽章;检索每个的声明;过滤掉不适合由化dinbras在徽章限制表达 式中施加的准则的全部徽章;W及,显示器(其仅显示从受信验证者接收的徽章)打印出 Gedrude和化lonius两者的页面的PDF。由于化lonius的徽章未通过T0BI评估的条件, 显示器选择将化lonius的页面连同贯穿不满足表达式的化lonius的全部徽章的红色X- 起显示。
[0048] 注意运里发生了什么:验证者过滤掉不满足限制表达式定义的策略的全部徽章; 在此情况中,显示器隐式地仅显示被上面的限制表达式所违抗的徽章;并且由于显示器的 可信性被接受为表面价值(其本身由EV证书验证),用户只需要获得可信开放徽章验证者 和显示器的信任,因为他相信可信开放徽章验证者忠实地实施他的策略并且显示器仅显示 从受信验证者接收的徽章。显示器和可信开放徽章验证者可通过带外手段(诸如证书或密 钥交换或其它发凭证过程)建立此信任。
[0049] 存在由开放体系结构的分布式特性引起的挑战:例如,开放徽章框架被设计为分 布的W及平台不可知的。因此可能存在多种多样的发放者、背包、W及显示器。运引起了诸 如W下的挑战:如何协调其中发放者使用一个背包而挣取徽章者使用另一个背包的情况。 各实施例可通过使用依赖背包之间的信任关系的联盟来补救运样的情况,W使得发放者/ 挣取者/显示器可访问来自任何单个入口点的各徽章的总和。联盟可W是浅的或深的。例 如,在浅的联盟中,实际上,不同背包可简单地传递并中继来自其它背包的信息。对于深的 联盟,全部信息的深度复制可被执行W同步各背包。深度联盟具有使得系统更能抵御联盟 中各背包的临时或永久丢失的优点,但同时带来新的挑战,诸如不受信背包创建的恶意徽 章可能被复制到受信背包并因此挣取到不应有的信任的风险。运些风险可W使用和已经应 用到CA的那些策略类似的策略W及和本文描述的那些扩展类似的扩展来缓解。
[0050] 各实施例可使用附加的元数据来实现徽章的虚拟分组。如果显示器预处理背包或 组中的完整的徽章集合,各实施例可基于密码检查的结果来创建虚拟分组。例如,容器可仅 示出经验证徽章,将各徽章按经验证和未经验证分组到各虚拟组,和/或根据证书授权机 构(CA)和/或发放者来分组徽章。运样的虚拟分组为用户(例如实体108)提供了附加的 信息,并使得用户更容易理解徽章收集的完形的可信性。根据徽章对背包、CA或发放者设 置的特定规则和策略的符合性,可在逐个徽章的基础上示出附加元数据。运个元数据可显 示为颜色、文本、图像等,来指示诸如"难度"、"范围"、"年龄"、"信誉"和/或其它定量值和 定性值之类的品质。注意当徽章的元数据被签名密钥签署时,元数据也被该签名验证,并且 因此运些组本身可被显示器密码地验证。
[0051] 某些实施例可实现背包根据发放者来限制徽章接受。在先前系统中,背包不在发 放徽章的各发放者之间进行区分。相反,如果用户将徽章上传或发放者将徽章转发到背包, 背包将接收它。此处各实施例可被扩展W允许背包服务限制徽章是否被导入背包。例如, 各实施例可给予背包访问拥有者限制哪些徽章可被存储在背包中的能力。运可在某些实施 例中通过定义在此被称为基础限制表达式的表达式来完成。限制表达式可使用包括各种参 数来定义W基于参数允许或不允许徽章。运样的参数可W包括:发放者m?L;发放者证书参 数(徽章是否被签署),包括但不限于证书拥有者的共同名称、电子邮件地址、位置、拇指指 纹等;徽章声明类型(经签署对未经签署);发放者证书属性和表达式的组合,包括但不限 于:
[0052] Assertion, badge, issuer.*(声明.徽章.发放者.*)
[0053] Assertion, badge, criteria(声明.徽章.准则)
[0054] Assertion, badge. issued_on(声明.徽章.已发放_开启) 阳化5] Asse;rtion. badge, expires(声明.徽章.期满) 阳化6] 等。
[0057] 限制表达式将被合适地归一化并被散列W使得能够在各种完整性保护方案(诸 如签署或HMAC)下验证限制表达式的完整性。因此,限制表达式本身可被签名保护。
[0058] 运样的功能性将给予背包服务拥有者定义多个规则的能力。附加地或替换地,运 可给予背包服务拥有者还创建"黑名单"规则的能力。
[0059]各实施例可包括允许限制表达式规则能够在稍后的日子被应用的功能性。
[0060]各实施例还包括用于处理各种情况(其中由于限制表达式规则,曾经被接受的徽 章现在不被接受)的功能性。在运样的情况中,徽章拥有者可被通知,并且徽章"隐藏"不 被共享。
[0061]各实施例还包括允许用户能够将附加的