专利名称:服务访问控制的制作方法
技术领域:
本发明涉及身份(identity)管理和服务访问控制领域。
背景技术:
许多服务提供商要求在许可对应用(application)的访问之前以某种方式来识别用户。已经开发了用于在用户设备处识别用户的多种机制。许多识别方案要求在用户设备处使用特殊硬件,诸如智能卡读取器或指纹读取器。智能卡和指纹读取器两者都要求在用户设备处安装相关读取器;因此,此类机构不是容易携带的,且因此常常具有设备依赖性。 另一已知识别方案利用可信平台模块(TPM),其除了所需的软件之外还需要在最终用户设备处提供附加芯片。再次地,附加硬件要求导致TPM通常具有设备依赖性。用于识别用户的许多其它机制要求用户向表格中输入数据。例如,可能要求用户输入用户名/ 口令对或一次性密钥。在某些情况下,由对照活动目录(active directory) 或半径服务器(radius server)的HTTP-Digest来识别用户。通常,由正在被访问的应用来控制用户访问。如果用户想要注册新的服务,则必须配置新的服务;例如,通过设置新的用户访问权限。最终用户必要地参与授权和/或认证过程。因此,需要配置并维护最终设备,并且如果用户使用不同的最终设备,则通常需要重复该程序。在某些识别方案中,最终用户设备不仅参与用户识别程序,而且保持某些或全部的用户访问许可数据。如果在不同的用户之间共享用户设备(因为其例如在因特网咖啡屋中),则这尤其有问题,因为其开启了这样的可能性,即设备的稍后用户可能能够访问获得对受限应用的访问所需的信息。用户证书在用户设备上的存储有时被用来帮助用户访问安全服务。举例来说, HTTP cookies (信息记录程序)能够被本地地存储以向已经被用户之前访问的服务器识别用户。然而,虽然此类方法对于用户而言可能是方便的,但是其还可能代表着安全风险,因为稍后的用户可能能够获得对先前用户的证书的访问。此外,由用户输入以获得对应用的访问的信息可能被诸如特洛伊木马之类的恶意软件所记录,这再次地可能使得另一用户能够获得对另一用户的用户证书的访问。
发明内容
本发明设法解决上述的至少某些问题。根据本发明的一方面,提供了一种装置(诸如身份棒(identity stick)),其包括 控制器;第一接口,适合于使得控制器能够与用户设备通信(例如,以便获得关于将被访问的应用的指令和/或获得第一用户信息);第二接口,适合于使得控制器能够与身份管理系统通信以便获得用于所述应用的用户特定属性;以及第三接口,适合于使得控制器能够依照用户特定属性与所述应用通信。因此,所述装置不要求向用户设备提供从身份管理系统获得的用户特定属性。在本发明的某些形式中,所述装置的特定单个接口可以实现上文所述的接口中的不止一个。例如,单个接口可以提供第二接口(与IDM通信)和第三接口(与应用通信)。在本发明的某些形式中,所述第一接口适合于接收关于将被访问的应用的指令。 所述应用的标识可以在获得用于该应用的用户特定属性时被第二接口使用。在本发明的某些形式中,第一接口适合于从用户设备接收第一用户识别信息。当获得用于本发明的用户特定属性时,可以使用第一用户识别信息。根据本发明的另一方面,提供了一种方法,包括从用户设备接收对访问应用的请求,在第二设备处接收该请求;使用第二设备来从身份管理系统获得用于所述应用的用户特定属性(例如,通过使用第一用户识别信息和/或应用信息);以及依照用户特定属性使用第二设备来访问所述应用。因此,不需要向用户设备提供用于相关应用的用户特定属性,从而改善了安全性。所述第二设备可以被可去除地连接到用户设备。所述第二设备可以被在物理上连接到用户设备,例如使用诸如USB连接之类的连接。可替换地,所述第二设备可以经由无线连接被连接到用户设备。根据本发明的另一方面,提供了一种设备(诸如身份棒),其包括用于从用户设备接收对访问应用的请求的器件(means);用于从身份管理系统获得用于所述应用的用户特定属性的器件;以及用于依照用户特定属性来访问所述应用的器件。因此,不需要向用户设备提供所述用户特定属性,从而改善安全性。本发明的装置可以是可去除地连接到用户设备。在本发明的某些实施例中,可以将本发明的某些元件组合。例如,可以由单个硬件或软件元件来提供用于从用户设备接收请求的器件和用于获得第一用户识别信息的器件。根据本发明的另一方面,提供了一种计算机程序,包括用于从用户设备接收对访问应用的请求的代码;用于从身份管理系统获得用于所述应用的用户特定属性的代码(例如,通过利用第一用户识别信息和/或应用信息);以及用于依照用户特定属性来访问所述应用的代码。所述计算机程序可以是计算机程序产品,该计算机程序产品包括计算机可读介质,所述计算机可读介质承载在其中包含的计算机程序代码以供计算机使用。可以例如在身份棒或可以被可去除地连接到用户设备的某其它装置上提供所述计算机程序。根据本发明的另一方面,提供了一种计算机程序产品,包括用于从用户设备接收对访问应用的请求的器件;用于从身份管理系统获得用于所述应用的用户特定属性的器件;以及用于依照用户特定属性来访问所述应用的器件。在本发明的某些实施例中,可以将本发明的某些元件组合。例如,可以由单个硬件或软件元件来提供用于从用户设备接收请求的器件和用于从用户设备获得第一用户识别信息的器件。所述计算机程序产品还可以包括用于例如从用户设备获得第一用户识别信息的器件。可以在身份棒上或可以被可去除地连接到用户设备的某其他装置上或以该形式来提供所述计算机程序产品。在本发明的某些形式中,所述用户特定属性包括诸如登录数据之类的用户证书。 所述应用可能要求所述用户证书以便许可对该应用的用户访问。向所述应用提供用户特定属性的步骤可以包括向所述应用提供用户证书。因此,在本发明的某些形式中,可以向该应用提供用于特定应用的用户证书,而不需要向正在使用的用户设备提供用户证书。所述控制器可以包括中央处理单元。所述控制器可以包括存储软件模块的存储器。
所述控制器可以被实现为软件模块。在此类布置中,不需要将用来控制最终用户设备对应用的访问的软件模块存储在最终用户设备处,从而改善了安全性。在本发明的一个形式中,所述装置适合于可去除地连接到用户设备,并且可以例如是闪速存储器件。所述装置可以适合于经由直接物理连接(诸如用户设备的USB端口)来可去除地连接。不是在本发明的所有形式中都要求直接物理连接的提供;例如,可以提供有线或无线连接。事实上,该连接可以是远程的(例如,经由网络)。在用户设备是诸如移动电话之类的移动通信设备的情况下,可以将本发明的装置结合在移动通信设备中,例如作为硬件或软件模块,或者可以作为可去除模块来提供,或者可以适合于可无线地连接到移动通信设备。可以将所述控制器布置为经由诸如内部网或因特网之类的网络与身份管理系统
ififn。可以将所述控制器布置为经由诸如内部网或因特网的网络与所述应用通信。本发明的装置可以是可连接到多个用户设备中的任何一个的。因此,用户可能能够从多个用户设备中的任何一个使用本发明的装置来访问安全资源。因此,本发明能够为用户提供安全和方便两者。本发明可以包括获得第一用户识别信息(例如,从用户设备)。在本发明的某些形式中,可以使用所述用户设备的识别硬件来获得第一用户信息。本发明还可以包括确定什么硬件可用于识别用户的步骤。本发明还可以包括在用于识别用户的多个可用硬件选项之间进行选择。举例来说,识别硬件可以包括指纹读取器及其它计量生物学传感器。当然,可获得其它识别硬件选项。在本发明的某些形式中,在未检测到适当识别硬件的情况下,可以提示用户输入用户名和/或口令。在使用中,本发明的装置可以充当用户与应用之间的代理,经由该代理向/从用户和向/从应用传递数据。事实上,本发明的装置可以充当用于存在于用户最终设备或所述装置本身上的应用的多协议代理。例如,所述装置可以不仅提供认证/识别功能,而且还提供通信的修改,以便在到达其目的地之前对来自应用的数据进行修改。因此,例如,如果发送了电子邮件,则所述装置可以自动地提供数字签名,而本地设备不知道这一点。如上所述,本发明的装置可以用来为用户提供对应用的访问。在本发明的某些方面中,用户与应用之间的后续通信不需要利用本发明的装置。如果本发明的装置是诸如移动电话的移动通信设备,则所述应用还可以直接存在于移动通信设备本身上。本发明的装置可以是便携式的。提供便携式装置(例如以身份棒的形式)使得用户能够以方便的方式将所述装置从一个用户设备携带至另一个。
下面参考以下编号的附图仅以示例的方式来描述本发明的示例性实施例。图1是依照本发明的一个方面的系统的方框图2是举例说明图1的系统的示例性使用的一个方面的流程图; 图3是举例说明图1的系统的示例性使用的一个方面的流程图; 图4是举例说明图1的系统的操作的一个方面的消息序列; 图5是举例说明图1的系统的操作的另一方面的消息序列;以及图6是依照本发明的一个方面的系统的方框图。
具体实施例方式图1是依照本发明的一个方面的一般用附图标记2来指示的系统的方框图。系统 2包括用户浏览器4、身份棒6、应用8、身份管理系统(IDM)10和在操作上耦合到IDM 10的数据库12。身份棒6被耦合在浏览器4与应用8之间,并且还被耦合到IDM 10。身份棒6 与浏览器4、应用8和IDM 10中的每一个进行双向通信。在使用中,用户浏览器4和身份棒6在用户机器处。身份棒6可以例如是例如经由USB端口被可去除地连接到用户的机器的闪速存储卡。身份棒通常经由诸如因特网之类的网络来与应用8和IDM 10通信。身份棒6包括被用来控制身份棒的功能的预先安装软件。特别地,该软件控制在用户与身份棒之间以及还在身份棒与IDM 10之间的交互。身份棒还可以用来存储诸如用户数据之类的数据。图2是示出供系统2使用的一般用附图标记20来指示的示例性算法的流程图。算法20在步骤22处开始,在步骤22处,由身份提供器(provider) 6从浏览器4 接收对访问应用8的请求。响应于从浏览器接收到该请求,身份提供器可以寻找用于浏览器的用户的识别细节,如下文进一步讨论的。例如,身份棒可以从用户获得识别信息(例如, 以用户名/ 口令对的形式,或者以指纹样本的形式,或者通过提供通用引导架构(generic bootstrapping architecture, GBA)机制)。算法20移动至步骤对,在步骤M处,身份棒6向IDM 10请求数据以使得能够给予对应用8的访问。此数据可以采取许多不同形式。通常,数据包括用于应用8的用户特定属性,诸如访问应用所需的用户证书或用户授权和策略。为了获得此类用户特定属性,身份棒6可能需要识别浏览器的用户以使IDM 10满意。可替换地,或另外,从IDM 10获得的数据可以包括用于应用的统一资源定位符(URL)或使得身份棒能够与应用通信的任何其它 fn息ο接下来,在步骤沈处,在身份棒6的控制下修改从浏览器4接收到的访问应用8 的请求以添加从IDM 10获得的数据。例如,身份棒可以根据应用8的要求将用户证书添加到该请求。可替换地或另外,身份棒可以添加用于应用8的URL。然后将已修改的请求发送到应用8。接下来,身份棒6在步骤28处从应用8接收响应并将该响应发送到浏览器。在本发明的某些形式中,身份棒6在将响应转送到浏览器之前修改来自应用的响应。浏览器4的用户可以经由身份棒6继续向应用8发送其它请求,并且应用可以经由身份棒继续向浏览器发送多个响应。因此,身份棒6充当代理。可替换地,一旦用户已被许可对应用8的访问,则可以直接进行浏览器4与应用8之间的进一步通信,而不要求使用身份棒6。如上所述,算法20的步骤22可以包括身份棒6从用户获得识别信息。在本发明的一个形式中,身份棒6利用诸如指纹传感器或智能卡读取器之类的可用硬件来获得用于传递至IDM的适当识别信息。由安装在身份棒6上的软件来控制此过程。在图3中示出了一般用附图标记30来指示的用于此过程的可能算法。
算法30在步骤32处开始,在步骤32处,身份棒6处的软件确定诸如指纹读取器或智能卡读取器之类的适当硬件是否可用于识别用户。如果存在此类硬件,则身份棒在步骤34中选择将用于识别用户的硬件并随后提示用户使用该硬件(步骤36)。如果不存在此类硬件,则算法30从步骤32移动至步骤38,在该步骤处,提示用户输入用户名和/或口令。 在本发明的某些形式中,省略步骤36,因为不需要提示用户。例如,如果使用通用引导架构 (GBA)机制,则情况可能如此,因为在这种情况下,用户将不需要做任何事,因此不需要提示用户。算法30从步骤36或步骤38移动至步骤40 (或者如果省略了步骤36,则直接从步骤34至步骤40),在该步骤处,将从用户获得的数据传递至IDM 10,并要求IDM为用户提供访问应用8所需的证书。在本发明的一个实施方式中,身份棒6被用户用来获得对来自共享计算机资源 (例如在因特网咖啡屋中)的安全资源的访问。在此类环境中,可用于识别用户的硬件在位置之间可能变化很大。算法30使得身份棒6能够利用在任何特定位置上可用于识别用户以使IDM 10满意的资源。在步骤34处进行的选择可以取决于DIM 10的要求,或者可以取决于正在被访问的应用的要求。如果选择是应用相关的,则可能仅在用户已请求访问特定应用之后执行算法30。当然,算法30仅仅是能够用于从用户获得识别信息的许多算法中的一个。其它可能性包括GBA、TCA/TPM或公钥基础设施(PKI)解决方案(在这种情况下,身份棒将包含PKI 应用编程接口(API)和安全存储器)。本领域的技术人员将知道可以使用的其它适当装置。上述算法20举例说明了系统2的示例性使用。图4示出一般用附图标记50来指示的示例性消息序列,其示出在执行算法20时可以在浏览器4、身份棒6、应用8和IDM 10 之间传输的消息。消息序列50开始于用户使用浏览器4来发出访问应用8的请求52,该应用要求在许可访问之前检验用户的身份。用户请求52被从浏览器4发送到身份棒6。身份棒6与 IDM 10保持联络以便获得用于用户的证书。这通过身份棒6向IDM 10发送证书请求M且 IDM在消息56中返回证书来实现。请求M可以包括对其它信息的请求,诸如对应用8的 URL的请求。身份棒6现在拥有用于用户的证书并将用户请求52修改为包括用户证书。已修改的请求被作为服务请求58发送到应用8。作为响应,应用许可对应用的用户访问并向身份棒6返回服务响应60。身份棒6可以修改来自应用的响应并将该响应作为消息62 (或者以修改形式或者如应用提供的一样)发送到浏览器4。用户然后可以向应用8发送一个或多个其它请求64,所述请求最初被发送到身份棒6,所述身份棒将服务请求作为消息66转送到应用。应用8响应于请求66向身份棒发送服务响应68,所述响应被作为消息70从身份棒发送到浏览器4 (可能以修改形式)。因此,身份棒6充当浏览器4与应用8之间的代理。身份棒能够从IDM 10获得用户证书并将那些证书传送到应用8,而不要求将任何用户数据存储在用户的机器处。此外, 不要求在用户的机器处安装特殊软件;因此,算法是便携式的。通过使用身份棒6,用户的最终设备不需要安装特殊硬件,因为安装在棒上的软件能够适合于找到并利用可用机制来识别用户以使IDM 10满意。如果用户想要访问特殊服务(诸如受限企业服务),则棒上的身份管理软件向IDM 10请求许可和用于该服务的用户证书,改变最终设备与服务之间的通信,例如通过以对于最终用户而言不可见的方式向请求中插入证书(例如cookies)。身份棒上的软件还可以在来自应用8的响应到达浏览器4之前对其进行修改。以这种方式,使用户匿名(例如通过过滤cookies并将其保存在身份棒6处),并且还可以为用户提供受限内容(例如通过向被用户访问的所有网页添加企业特定数据)。通过从IDM 10获得用户的证书和访问标准(诸如应用8的URL),不需要用户记住它们,这改善了最终用户的方便性以及安全性。此外,管理员现在具有单个位置,其中他能够管理所有访问数据并在不直接联系用户的情况下将其提供给用户。一旦用户离开最终设备,其仅仅需要从用户设备去除身份棒6。由于没有数据被保存在最终设备处,所以用户的隐私和可靠性得到保护,并且下一个用户将不能访问该内容。 此外,如果用户现在将身份棒6连接到另一设备,则他可以重新使用存储在身份棒6上的 cookies以继续使用应用8,常常如同他从未改变被使用的该最终用户设备一样。如上文所讨论的,身份棒6能够访问存储在IDM 10处的用户证书,其中那些用户证书被提供给应用8而浏览器4不需要访问那些用户证书。因此,用户甚至不需要知道用户证书。举例来说,IDM 10可以存储访问特定应用8所需的用户名和口令。应用可以要求周期性地修改口令,其中新的口令被存储在IDM 10处。如果用户经由在本申请中所描述的装置来访问应用8,则用户能够获得对应用的访问,而不需要知道新口令。因此,能够改变用户证书而不告知用户,从而提供改善的安全性。身份棒6可以包括(例如使用特殊密钥)所实现的硬件认证机制,其不能被读出 (由于受保护和加密存储,例如以对于用户标识模块(SIM)卡而言已知的类似方式),但是身份棒提供使用它们的方式(例如,由于签名应用编程接口(API))。因此,身份棒上的应用用现有方法中的一个(例如使用智能卡读取器或指纹读取器)向IDM 10认证用户,在IDM 10处读取用户的授权和策略,处理对用户希望访问的服务的进一步认证(例如,通过注入 (inject)用于特定网页的用户证书),并且可以提供对页面/服务本身的访问(例如,通过充当DNS或提供VPN隧道)。身份棒6还可以将相关数据(例如cookies)存储在其存储器中; 此类数据不需要被转送给用户,从而增加安全性。如参考图4所讨论的,身份棒6向IDM 10发送证书请求M且IDM向身份棒返回证书56。多种方法可以被IDM 10用于提供证书56。下面参考图5来描述一个可能的布置。图5示出一般用附图标记80指示的消息序列,其开始于从身份棒6到IDM 10的证书请求M的发送并结束于从IDM到身份棒的证书56的发送。响应于接收到证书请求54,IDM 10与用户存储(store)14通信。用户存储包含用户数据,并且由IDM 10从身份棒6接收到的数据能够用来识别用户。消息序列80示出被从IDM 10发送到用户存储14的单个消息82和被从用户存储14发送到IDM 10的单个答复84。当然,IDM 10与用户存储14之间的交换可以包括沿着每个方向发送的不止那一个消息。用户存储可以例如是活动目录或AAA (认证、授权和计帐)系统。在接收到识别用户的消息84时,IDM 10向用户帐户存储16发送消息86。用户帐户存储16存储用于用户设法访问的应用8的用户特定属性。用户特定属性可以包括登录数据,但是不限于登录数据。用户帐户存储16在消息80中向IDM 10返回用户数据。在此阶段,IDM 10拥有识别用户的数据(消息84)和提供用于应用8的用户特定属性的数据(消息88)。接下来,IDM 10准备身份棒所需的证书并在消息56中将那些证书发送到身份棒。因此,图5的布置示出在其中在公共数据库中未提供用于特定应用的用户识别信息和用户证书的情况下如何能够提供用户证书。用户存储14和用户帐户存储16提供上文参考图1所述的数据库12的功能。当然,可以在单个数据库中提供用户存储和用户帐户存储。此外,许多替换布置对于本领域的技术人员来说将是显而易见的。例如,电信运营商使用大量的软件模块,其中的每一个提供不同的功能。例如,AAA服务器可以提供认证用户的方法,其中使用IDM来“转换”不同身份。然后可以使用数据库来存储应用配置信息,并且可以使用另一数据库来保持用于特定应用的用户特定数据。图6是依照本发明的一个方面的、一般用附图标记90来指示的系统的方框图。系统90示出经由因特网92来访问多个web应用8a’、8b’的多个用户(和相关联身份棒)6a’、 6b’、6c’。系统90包括与用户帐户目录14’和用户帐户存储16’以及与用户6a’、6b’和6c’ 通信的IDM 10’。系统90示出IDM 10'如何能够利用两个不同的数据库(用户目录14’和用户帐户存储16’)来为多个用户提供对多个应用的访问。本发明的布置能够用来为用户提供单点登录(single-sigrmSSO)功能。用户能够向身份棒识别其本身和期望访问的应用,并且身份棒能够获得用于该应用的用户证书。 用户只需记住识别其本身以使IDM 10满意所需的用户证书,所述证书可以对于IDM为之保持用户证书数据的所有应用而言是相同的。如上所述,本发明可以在因特网咖啡屋环境中使用,其中,用户希望在其中其它用户可能在不同时间访问同一设备的情况下获得对安全资源的访问;然而,本发明不限于此。 例如,本发明能够在企业环境中用来控制对多个应用的访问。考虑其中为公司的许多雇员提供膝上型计算机和闪速存储卡的方案。膝上型计算机包括浏览器4且闪速存储卡提供系统2的身份棒6。闪速存储卡能够被公司编程以使得特定用户能够获得对由公司提供的某些应用的访问。这样,公司能够控制哪些用户可访问哪些应用,而不需要改变计算机设置。身份棒6可以是闪速存储卡,诸如USB记忆棒;然而,这不是必需的。身份棒可以是能够用来存储数据并与用户希望用来访问应用的设备兼容的任何便携式设备。例如,身份棒可以是丰富的智能卡(rich smartcard)或移动电话。本发明的实施例包括以下优点中的至少某些
可以使用身份棒6作为用户简档数据的寄存处(deposit)。·可以将身份棒6用于具有“特殊”要求的服务,例如具有机密内容的服务(诸如网上银行和公司内部网)。·身份卡6能够取代先前的系统,诸如HBCI卡(其在德国被广泛地用于访问银行账户)或一次性密钥系统的使用。·身份棒6能够与基于SIM的设备相结合地用来为基于SIM的设备提供对安全服务的容易的访问。·身份棒6能够与TCA/TPM机制相组合地用于数据的安全处理。·身份棒6能够被用作便携式cookie存储。能够将cookie保存到该棒并运送到新的位置。因此,浏览器4不需要存储cookies。·依照本发明的系统能够容易地将身份棒6作为识别器件的使用与IDM 10作为网关的使用组合。·身份棒6能够用于软件许可证的检验和确认。·能够在身份提供器处改变和存储口令,而不需要告知用户。例如,周期性地改变的口令能够被自动地改变并存储新的口令细节。上文所述的本发明的实施例是说明性而不是限制性的。对于本领域的技术人员来说将显而易见的是在不脱离本发明的一般范围的情况下上述设备和方法可以结合许多修改。意图在本发明的范围内包括所有此类修改,达这种程度,即只要它们落在所附权利要求的范围内。
权利要求
1.一种装置,包括 控制器;第一接口,适合于使得控制器能够与用户设备通信;第二接口,适合于使得控制器能够与身份管理系统通信以便获得用于应用的用户特定属性;以及第三接口,适合于使得控制器能够依照用户特定属性与应用通信。
2.如权利要求1所述的装置,其中,所述用户特定属性包括用户证书。
3.如权利要求1或权利要求2所述的装置,其中,所述装置适合于可去除地连接到用户设备。
4.如权利要求1至3中的任一项所述的装置,其中,所述装置是闪速存储卡。
5.如任何前述权利要求所述的装置,其中,所述第二接口适合于使得控制器能够经由网络与身份管理系统通信。
6.如任何前述权利要求所述的装置,其中,所述第三接口适合于使得控制器能够经由网络与应用通信。
7.如任何前述权利要求所述的装置,其中,所述装置可连接到多个用户设备中的任何一个。
8.如任何前述权利要求所述的装置,其中,所述第一接口适合于从所述用户设备获得弟“"用户fn息。
9.如权利要求8所述的装置,其中,使用所述用户设备的识别硬件来获得第一用户信息。
10.一种方法,包括从用户设备接收对访问应用的请求,在第二设备处接收所述请求; 使用第二设备来从身份管理系统获得用于应用的用户特定属性;以及依照用户特定属性使用第二设备来访问应用。
11.如权利要求10所述的方法,还包括获得第一用户识别信息。
12.如权利要求11所述的方法,其中,从用户设备获得第一用户识别信息。
13.如权利要求11或权利要求12所述的方法,还包括在获得用户特定属性时使用第一用户识别信息。
14.如权利要求11至13中的任一项所述的方法,还包括使用用户设备的识别硬件来获得所述第一用户信息。
15.如权利要求14所述的方法,还包括从多个识别硬件选项中选择所述识别硬件。
16.如权利要求10至15中的任一项所述的方法,其中,所述用户特定属性包括用户证书,应用要求所述用户证书以便许可对应用的用户访问。
17.如权利要求16所述的方法,其中,访问应用包括向应用提供用户证书。
18.如权利要求10至17中的任一项所述的方法,还包括经由网络与身份管理系统和 /或应用通信。
19.如权利要求10至18中的任一项所述的方法,还包括充当用户设备与应用之间的代理。
20.如权利要求10至19中的任一项所述的方法,其中,所述第二设备被可去除地连接到用户设备。
21. 一种计算机程序,包括用于从用户设备接收对访问应用的请求的代码;用于从身份管理系统获得用于应用的用户特定属性的代码;以及用于依照用户特定属性来访问应用的代码。
全文摘要
提供了USB记忆棒或类似设备,具有安装在其上面的软件以使得用户能够在用户设备不需要处理用户证书数据的情况下访问受限应用。在使用中,该棒从用户设备接收对访问应用的请求,从用户设备获得第一用户识别信息,使用第一用户识别信息和应用信息来从身份管理系统获得用户证书,应用要求所述用户证书以便许可对应用的用户访问,并在不需要向用户设备提供用户证书的情况下向应用提供用户证书。
文档编号H04L29/06GK102272769SQ200880132579
公开日2011年12月7日 申请日期2008年12月30日 优先权日2008年12月30日
发明者迈尔 G., 鲍尔-赫尔曼 M., 赛德尔 R. 申请人:诺基亚西门子通信公司