专利名称:可信设备专用认证的制作方法
可信设备专用认证背景典型的用户认证机制在用户试图访问受保护的资源(例如经由因特网访问的服 务器)时验证用户的凭证,诸如通过确认用户名和口令。然而,使用这种传统的认证机制, 如果用户名和口令被恶意实体窃取,则该实体可以通过任何设备从世界上任何地方访问用 户的帐户,而导致不合需要的安全风险。另一认证场景涉及用户试图登录到远程设备上。用户认证机制可以认证用户,但 是这也涉及确定远程设备实际上是用户所期望的可信设备。例如,用户可能试图登录到远 程服务器上以上传凭证文件。如果认证过程未验证用户的凭证和设备的凭证两者,那么用 户可能将机密文件上传到错误的服务器上。搞错正在访问的设备的风险引入了严重的安全 风险。概述此处所描述和要求保护的实现通过组合设备凭证认证和用户凭证认证以提供对 用户方便并且跨企业边界有效的更加健壮的认证机制来解决上述问题。在一个实现中, 组合用户凭证验证和设备凭证验证以提供方便的双因素认证。一般地,用户提供用户凭证 (例如用户名和口令),而用户的设备提供已与用户和设备两者相关联的设备凭证。这样, 帐户授权服务或其他认证提供方依照用户想要访问的帐户网络资源的安全策略验证这两 个因素并且提供安全令牌。如果所需因素未得到验证,那么帐户授权服务可以用另一因素 (例如指纹扫描、视网膜扫描、HIP解决方案、秘密问题等)请求认证。目标帐户网络资源授 予的特权级别可以根据帐户授权服务验证的因素的数目和类型而变化。在一些实现中,提供制品作为计算机程序产品。计算机程序产品的一个实现提供 了计算机系统可读并且编码计算机程序的计算机程序存储介质。计算机程序产品的另一实 现可以由计算系统在体现在载波中并且编码计算机程序的计算机数据信号中提供。此处也 描述和陈述了其他实现。提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概 念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征;也不旨在用于确定 或限制所要求保护的主题的范围。附图简述
图1示出了采用可信设备专用认证的示例性系统。图2示出了用于生成可信设备专用证书的示例性操作和通信。图3示出了用于使用可信设备专用认证访问安全服务器的示例性操作和通信。图4示出了基于可信设备专用认证提供远程设备访问的示例性系统。图5示出了基于可信设备专用认证提供远程设备访问的示例性操作和通信。图6示出了可能可用于实现所述技术的示例性系统。详细描述图1示出了采用可信设备专用认证的示例性系统100。用户操作用户设备102在 设立用户帐户时经由通信网络108与帐户授权服务104通信。在一个实现中,用户帐户可用于访问各种网络服务或资源(统称为“帐户网络资源”)。例如,通过使用帐户授权服务104 设立帐户,用户可以配置可用于访问帐户网络内的电子邮件服务、日历制定服务、即时消息 传递服务、文本消息传递服务、博客制作服务、在线音乐服务、照片共享服务、各种电子商务 站点、各种远程设备等单组凭证。(术语“帐户网络”指与帐户授权服务有信任关系的帐户 网络资源的网络。)帐户授权服务104管理帐户网络内用户帐户的初始化与维护。帐户授 权服务104也维护与这些帐户网络资源中每一个的信任关系,使得每个帐户网络资源将基 于帐户授权服务104提供的身份表示(例如安全令牌)来允许用户访问。在一个实现中, 帐户授权服务基于保护帐户授权服务和每个帐户网络资源之间的通信的诸如使用条款、安 全策略和密钥的合同的组合来建立并维护与帐户网络资源的这些信任关系。安全令牌例如使用唯一的秘密来提供一个或多个实体(例如用户和/或设备)的 身份的证据。通过将安全令牌提供给另一实体,进行提供的实体提供其身份的证据。由进行 接收的实体基于安全令牌确定是否向进行提供的实体授予特权级别。此外,安全令牌可具 有有效期,在有效期之后安全令牌不再可靠。在一个实现中,安全令牌支持允许计算设备询 问它(例如以确定安全令牌是否包括用户名和/或设备ID)的API (应用程序编程接口)。 应该理解用户名是用户ID的一个示例,可以采用其他用户ID。其他示例可以包括电子邮件 地址和别名,包括游戏者标签。在一个实现中,虽然可以采用其他信息组合来设立用户帐户,用户提供用户凭证 (例如用户名和用户口令)来设立帐户。帐户信息被存储在可由帐户授权服务104访问的数 据存储库106中。例如,帐户记录可以包括用户名、口令、一个或多个设备ID以及它们相应 的设备口令和用户友好设备名等其他数据项。当用户试图登录到其帐户上时,帐户授权服 务104查找用户的帐户信息并对照存储在帐户信息中的那些信息来验证用户凭证。例如, 帐户授权服务104使用所提供的用户名来查找用户的帐户信息。接着,帐户授权服务104 认证用户凭证(例如用户名和口令)以授权对用户帐户的访问。无论是在帐户设立期间还是之后提供设备凭证(例如设备标识符(ID)和设备口 令),也可以将其从用户设备102发送给帐户授权服务104并且将其存储为与用户凭证相 关联的帐户信息。设备ID是指为设备生成的全局唯一的设备标识符。可以使用各种方法 生成设备ID。在一个实现中,设备ID可以是具有较大的值集的诸如全局唯一标识符的随 机生成的数字,使得一个设备ID不会与另一个设备ID冲突。另一实现可以包括对设备自 身的唯一特征的考虑。对于个人计算机设备,例如硬盘和BIOS的组合提供了可用于有助于 设备ID生成的某些唯一的、非易失性参数或特征。其他特征可以与操作系统内一般为非易 失性的用户设置相关。这些非易失性特征允许设备ID与实际设备本身关系密切,使得设备 ID较不能欺骗并且更易于从丢失中恢复。在一个实现中,用户指定用户设备102是可信设备,在用户设备102上执行的客户 端软件生成设备ID和设备口令,用户设备102将设备ID和设备口令作为设备凭证发送给 帐户授权服务104。用户也可以提供与设备凭证相关联的用户友好的设备名,使得用户(以 及潜在的其他用户)可以在将来标识用户设备102。在一个实现中,帐户授权服务104将设备ID与用户名相关联地记录在数据存储库 106中,以建立用户和用户设备102之间的信任关系。通过该过程,用户已声明用户设备102 是其在附属于与帐户授权服务104的帐户网络内的可信设备之一。应该理解用户可以使用类似的过程指定多个可信设备。此外,用户可以将设备从其帐户中的其可信设备列表中移除,这在当设备被盗且 用户希望防止通过被盗的设备认证时是有用的。例如,用户向帐户授权服务104发送请求 以解除其用户ID与指定设备ID的关联。帐户授权服务104作为响应可以从用户的帐户删 除指定设备的设备ID或用其他方式指示用户ID不再与该设备ID相关联。例如当用户正 在更新其计算机或移动电话时,该机制会是有用的——例如通过较老的用户设备的请求可 以指定“从我的可信设备列表移除该设备”。然而,在某些情况下,用户可能不再拥有要从可 信设备列表移除的用户设备(例如用户设备被损坏、丢失或被盗)。在某些情况下,用户可 以请求其可信设备列表并从该列表选择要移除的设备,所述可信设备可以按照用户友好的 设备名来列出。或者,用户可以仅在移除请求中向帐户授权服务105提供用户友好的设备 名。在一个实现中,如果用户用帐户授权服务104设立了其帐户,那么用户与用户设 备102的设备ID相关联,用户可以请求与用户设备102相关联的设备证书。一般地,设备证 书是将公钥与设备ID绑定的数字证书。设备证书提供了公钥属于设备ID所标识的设备的 证据。例如,用户可以生成公/私钥对并且将公钥与所关注的设备的引用(例如用户友好 的设备名称、设备ID等)一起发送给帐户授权服务104。将公钥与设备凭证和/或用户凭 证一起提交是为了确保证书请求是由可信设备和/或用户作出的。公钥可以在帐户设立的 同时或其后某一时间传送给帐户授权服务104。帐户授权服务104使用公钥来加密设备ID 以创建设备证书、使用其私钥签署设备证书并且将经签署的设备证书发回给用户设备102。 作为该事务的结果,用户设备102拥有它是由设备ID标识的设备的可信证据(例如设备证 书)。当用户希望启动对诸如电子商务服务器110的帐户网络资源的访问时,用户的浏 览器可以导航到电子商务服务器110,后者将用户的浏览器重定向到帐户授权服务104。用 户设备102可以在对访问电子商务服务器110的安全令牌的请求中将用户凭证和设备证书 提供给帐户授权服务104。在一个实现中,安全令牌可以包括用户名和/或设备ID,帐户网 络资源可以通过API访问该用户名和/或设备ID。在一个实现中,帐户授权服务104评估 用户凭证、设备证书和电子商务服务器110的安全策略以确定是否向用户设备102提供用 于访问电子商务服务器110的安全令牌。一般地,安全策略定义服务器定义了什么安全活 动的条款。安全策略针对对其中功能和流的约束、对包括程序的外部系统和对手访问以及 用户对数据的访问的约束。在另一实现中,帐户授权服务104也可以考虑用户凭证和设备 凭证是否两者都被认证,并且如果否,那么帐户授权服务104可以拒给安全令牌。这种拒给 可以依照网络服务的安全策略来执行或由帐户授权服务自身规定。如果用户设备102接收安全令牌,那么它将安全令牌转发给电子商务服务器110, 后者在允许用户在确定的特权级别下访问之前评估安全令牌。如果允许用户访问电子商务 服务器110,那么用户设备102和电子商务服务器110之间的通信可以在服务器的安全策略 的条款和用户的特权级别之下进行。多因素认证(例如双因素认证)可以提供比单因素认证更强的安全性。在一个实 现中,多因素可以包括用户凭证加上可信设备凭证,尽管可以在多因素认证中采用其他因 素组合。多因素认证往往更强大,因为单独的用户名称和口令可以被容易地钓鱼或盗用,但是对于恶意用户而言用户用于访问帐户网络资源的物理的可信设备更难以获取和操作。此 外,可以根据除了用户因素之外可信设备因素是否被认证来作出不同的安全决策。例如,安 全策略可以在从未注册的设备作出登录的尝试时通知用户,要求仅通过可信设备来进行对 用户的口令的改变,如果可信设备因素未被认证那么将安全令牌设置为具有较短的有效期寸。在一个实现中,电子商务服务器110可以根据可信设备因素是否被认证而向用户 提供不同的特权级别。例如,与仅用用户凭证认证的用户相比,用用户凭证和设备凭证(例 如由设备证书表示)两者认证的用户会被给予额外的存储或可经历较少的人类交互提示 (HIP)或其它安全提示。为了用户帐户的额外的安全性,如果用户不能获取用户凭证和可信设备的设备凭 证两者的验证,那么帐户授权服务104会阻止改变用户凭证和/或设备凭证的尝试。实践 上,如果具有有效的用户名/ 口令的用户不是通过可信设备访问帐户授权服务104的,该特 征可以防止该用户通过帐户授权服务104改变用户的帐户信息。另外地或另选地,如果请 求改变的用户不能获取用户凭证和可信设备的设备凭证两者的验证,那么可以通知用户改 变用户帐户信息的尝试。图2示出了用于生成可信设备专用证书的示例性操作和通信(共同地在200处)。 通信表示在用户设备和操作帐户授权服务的计算系统之间通常通过通信网络的数据传输。在一个实现中,在生成操作202中,用户设备上的客户端软件生成设备ID和设备 口令(“设备凭证”),两者都与用户设备相关联。用户也可以提供与设备ID相关联的用户 友好设备名。与创建帐户的请求相关联地,在传输操作204中,用户设备收集用户名/ 口令 和设备ID/ 口令(以及潜在地,用户友好设备名)并将它们发送给帐户授权服务。响应于 该请求,帐户授权服务在创建操作206中为用户创建帐户,将用户名与设备ID相关联并且 将两者都记录在存储在帐户授权服务可访问的数据库中的帐户信息中。用户口令和设备口 令两者也可以被存储在帐户信息中,通常带有密码保护。应该理解,用户名和设备ID也可以在其他情况下关联。例如,用户的帐户已经被 创建,使得用户随后提供设备凭证以便与先前创建的帐户相关联。此外,可以将用户名与多 个可信设备ID相关联,并且这些关联可以被记录在帐户信息中。在生成操作208中,用户设备生成公/私钥对。在请求操作210中,用户设备请求 与可信设备相关联的证书。在一个实现中,用户设备将用户友好设备名和公钥发送给帐户 授权服务。在一替换性实现中,用户设备可以替换地也发送用户名/ 口令以确保请求是由 用户从具有较高的安全保证的可信设备发起的。在生成操作212中,帐户授权服务将设备ID和公钥构造到设备证书中,并接着使 用帐户授权服务的私钥签署证书以便将用户设备的公钥绑定到设备ID上。以此方式,希望 确认设备ID属于用户设备的实体接着可以使用帐户授权服务的公钥来验证其数字签名以 评估证书。在一个实现中,用户可以将多个设备指定为“可信的”。相应地,可信设备的每个设 备ID与用户的用户名和用户友好的名称相关联地被记录在帐户信息中。以此方式,用户通 过提供用户友好的设备名标识其希望指定为“可信的”的设备。当请求设备证书时,用户可 以提供用户友好的设备名,使得帐户授权服务可以找到并访问用户的帐户并且提取对应于所提供的用户友好的设备名的设备ID。帐户授权服务接着将设备ID和公钥构造到它使用 其自己的私钥签署的设备证书中。在返回操作214中,帐户授权服务将所生成的设备证书返回给用户设备。在接收 操作216中,用户设备接收设备证书。用户设备稍后可以将设备证书用作它是设备ID标识 的设备的证据。图3示出了用于使用可信设备专用认证访问安全服务器的示例性操作和通信(共 同地在300处)。在该示例中,假定用户希望从其设备访问安全服务器。安全服务器与帐户 授权服务器有信任关系,它依赖该信任关系来认证用户和设备。在该信任关系中,帐户授权 服务知道安全服务器的安全策略并且当它被要求为访问安全服务器认证用户和/或设备 时执行所述策略。根据用户是提供用户凭证和设备凭证两者还是仅提供用户凭证,帐户授 权服务向用户授权以访问安全服务器的特权级别可以不同。例如,采用用户凭证和设备凭 证两者的认证可能导致帐户授权服务向用户授予比仅用用户凭证认证更高的特权级别。在所示的流程中,用户在请求操作302中(例如通过将浏览器导航到安全服务器 服务的网页)请求访问安全服务器。安全服务器设备检测到用户还未被帐户授权服务认证 以进行访问(例如用户的访问请求不包含用于访问安全服务器的安全令牌),并由此在重 定向操作304中将用户重定向到帐户授权服务以进行认证。帐户授权服务在接收操作306中接收重定向的请求(其包括对请求重定向的安全 服务器的标识)。帐户授权服务处的提示操作308提示用户提供凭证。用户设备在接收操 作310处接收提示并在发送操作312中提交凭证。通常,用户会提交其用户凭证(例如用户 名和口令)。在一替换性场景中,用户设备也可以提交设备证书(或设备ID和设备口令), 由此允许认证双因素。作为帐户授权服务和安全服务器之间的信任关系的一部分,帐户授权服务知道安 全服务器的安全策略。相应地,当帐户授权服务从用户设备处接收凭证时,它认证它们,并 且如果凭证满足安全服务器的安全要求(如在判定操作314中所确定的),那么帐户授权服 务就在操作320中发送安全令牌给用户设备。如果用户设备提供的凭证不满足安全服务器的安全要求,那么帐户授权服务316 可以提示用户设备提供附加凭证。例如,如果安全服务器要求诸如用户和设备凭证两者的 双因素认证,那么帐户授权服务器会要求用户经由可信设备认证。或者,如果设备ID因素 得不到满足,那么安全服务器可以接受备选的第二因素,诸如HIP解决方案、机密问题回答 (例如“母亲的婚前姓”)等。在其他场景中,如果未满足所要求数目的因素,那么可以以某种方式削弱帐户授 权服务授予的认证。例如,如果没有完成第二因素认证,那么帐户授权服务可以提供更快过 期的安全令牌。用户设备在接收操作322中接收安全令牌并且在发送操作3M中将它转发给安全 服务器。在授予操作326,安全服务器基于帐户授权服务执行的认证询问安全令牌以确定要 授予用户/设备的特权级别。在一个实现中,安全服务器询问安全令牌以确定用户凭证和 设备凭证是否两者都被包括在用帐户授权服务进行的认证中。如果是,那么安全服务器可 以经由用户设备允许用户拥有较高的特权级别。否则,安全服务器可以允许用户拥有较低 的特权级别或根本不允许访问。
图4示出了基于可信设备专用认证提供远程设备访问的示例性系统400。在设立 用户帐户过程中用户操作用户设备402以经由通信网络408与帐户授权服务404通信。在 一个实现中,用户帐户可用于访问各种帐户网络资源。例如,通过用帐户授权服务404设立 帐户,操作用户设备402的用户可以发布其希望与其他用户,诸如经由远程用户设备412的 远程用户共享的可信设备列表。帐户授权服务404管理帐户网络内用户帐户的初始化和维 护。帐户授权服务404也维护与用户、用户设备以及与耦合到帐户网络的其他用户和设备 的信任关系。在一个实现中,用户提供用户凭证(例如用户名和用户口令)以设立帐户,尽管可 以采用其他信息的组合来设立用户帐户。帐户信息存储在帐户授权服务404可访问的数据 存储库406中。当用户试图登录到其帐户时,帐户授权服务404查找用户帐户信息,并且对 照那些存储在帐户信息中的信息验证所提供的用户凭证。无论设备凭证是在帐户设立期间或之后提供的,设备凭证(例如设备标识符(ID) 和设备口令)也可以从用户设备402发送到帐户授权服务404并且被存储为与用户凭证相 关联的帐户信息。在一个实现中,用户指定用户设备402是可信设备,而在用户设备402上 执行的客户机软件生成设备ID和设备口令,用户设备402将其作为设备凭证发送给帐户授 权服务404。用户也可以提供用户友好的设备名,使得用户(以及潜在的其他用户)可以在 将来标识用户设备402。用户也可以通过发布设备共享指令将设备402指定为另一远程用户可访问的。在 一个实现中,用户在其帐户信息中设置标识用户设备402可由其他用户访问的参数。在另 一实现中,用户也可以将其希望与之共享设备的远程用户以及处于哪个特权级别指定为共 享参数。共享参数与帐户授权服务404从用户设备402接收到的设备ID相关联。帐户授 权服务404也可以将共享参数添加到证书上,并且在将证书返回给用户设备402之前签署 证书。在一个实现中,帐户授权服务404将设备ID和共享参数与用户名相关联地记录在 数据存储库406中,以建立用户和用户设备402之间的信任关系。通过该过程,用户声明了 用户设备402是其在附属于帐户授权服务404的帐户网络内的可信设备之一。在一个实现中,如果用户使用帐户授权服务404设立其帐户,使得用户与用户设 备402的设备ID相关联,那么用户可以请求与用户设备402相关联的设备证书。用户生成 公/私钥对并且将公钥与所关注的设备的引用(例如用户友好的设备名、设备ID等)一起 发送给帐户授权服务404。公钥可以结合帐户设立或在其后的某个其他时间发送给帐户授 权服务404。帐户授权服务404使用公钥加密设备ID以创建设备证书并将设备证书发回给 用户设备402。作为该处理的结果,用户设备402拥有它是由设备ID标识的设备的可信证 据(例如设备证书)。当另一远程用户试图通过远程用户设备412与用户设备402连接时,远程用户设 备412向帐户授权服务404请求与第一用户相关联的可共享的设备的列表(例如由第一用 户的电子邮件地址、游戏标签、用户名等标识的)。帐户授权服务404查找第一用户的帐户 信息,确定哪个用户设备被发布为可共享的,以及进行请求的远程用户是否被授权共享设 备。如果远程用户被如此授权,那么帐户授权服务404返回与第一用户相关联并且可用于 远程用户共享的可共享设备的列表。远程用户可以选择可共享设备之一,将选择返回给帐户授权服务404。帐户授权服务404接着从用户的帐户信息提取所选设备的设备ID并且将 所选设备的设备ID返回给远程用户设备412。返回给远程用户设备412的信息可以包括公 钥和用户设备402的IP地址。在远程用户设备412从可信帐户授权服务404获取了所选的可共享设备的设备ID 后,远程用户设备412可以连接到用户设备402。在一个实现中,连接是通过诸如带有用户 设备402的IP地址的TCP/IP的标准连网协议完成的。当远程用户设备412完成对用户设 备402的连接时,它从用户设备402请求设备证书并且验证由帐户授权服务404进行的签 名。(以此方式,远程用户设备412可以获取用户设备402的公钥。它也可以从帐户授权服 务404获取用户设备402的公钥。)远程用户设备412也请求用户设备402提供它知道匹配用户设备402的公钥的私 钥。提供的方法可以通过诸如SSL的标准协议完成,但也可以采用其他方法。在一个实现 中,用户设备402经历与远程用户设备402的网络质询和响应握手,这导致用户设备402用 其私钥来签署和/或加密某些数据。远程用户设备412接着可以使用用户设备402的公钥 来验证数据。通过验证用户设备402真实地拥有私钥,远程用户设备412确定其已连接到 它期望连接的设备上,而设备相应地可以安全地继续通信。如果验证失败,那么远程用户设 备412可以在将信息提供给错误的设备或向错误的设备授权访问之前中断连接。在一个实现中,用户设备402也可以请求远程用户设备412发送其(从帐户授权 服务404接收到的)安全令牌,这样可以向用户设备402保证远程用户设备412的身份。安 全令牌也可以是证书形式的公/私钥对,而设备402会经历验证签名和获取远程用户设备 412拥有私钥的证据的类似的过程。图5示出了用于基于可信设备专用认证提供远程设备访问的示例性操作和通信 (共同地在500处)。在发现请求操作502中,远程用户(经由远程用户设备)向帐户授权 服务请求与另一用户相关联的可共享设备的列表,使用诸如用户的电子邮件地址、游戏标 签、用户名等的用户标识符指定用户。在发现列表操作504中,帐户授权服务接收请求并且 访问指定的用户帐户以获取与指定用户相关联的可共享设备的列表。帐户授权服务将设备 名(通常为指定用户发起的用户友好设备名)收集到列表中,并且在发送操作506中将列 表发回给远程用户设备。远程用户可以审阅可共享设备列表并且在选择操作508中选择感兴趣的设备。在 发送操作510中,远程用户设备将对可共享设备的选择发回给帐户授权服务。帐户授权服 务访问另一用户的帐户信息以便在提取操作512中提取所选设备的设备ID并在发送操作 514中将它返回给远程用户设备。远程用户设备在接收操作516中接收设备ID。远程用户设备在连接操作518中连接到所选设备。如上所述,该连接可以通过诸 如TCP/IP的标准连网协议获取,尽管可以采用其他方法。可共享用户设备在连接操作520 中接受连接,所述连接操作520也证明拥有用户设备的私钥。远程用户设备接收拥有私钥 (例如设备证书)的声明并且确认在拥有私钥的声明中使用了用户设备的私钥。该验证机 制可以基于私/公钥对(例如经由SSL)来实现。远程用户设备也可以确认设备证书上的 帐户授权的签名。如果远程用户设备能够经由设备ID确认可共享的用户设备的身份,那么远程用 户设备确保它所连接到的设备是从可共享设备的列表选择的设备。这样,远程用户设备和可共享用户设备可以在操作5 和528中交互。如果远程用户设备不能确认可共享用户设 备的身份是它期望连接的设备,那么它可以终止连接以降低违反安全性的可能性。用于实现本发明的图6的示例性硬件和操作环境包括计算设备,诸如游戏控制台 或计算机20形式的通用计算设备、移动电话、个人数据助理(PDA)、机顶盒或其他类型的计 算设备。例如,在图6的实现中,计算机20包括处理单元21、系统存储器22以及在操作上 将包括系统存储器的各种系统组件耦合到处理单元21的系统总线23。可能只有一个或可 能有多于一个处理单元21,这样使得计算机20的处理器包括单个中央处理单元(CPU)或多 个处理单元,通称为并行处理环境。计算机20可以使常规的计算机、分布式计算机或任何 其他类型的计算机,本发明不限于此。系统总线23可以是若干种总线结构中的任一种,包括系统总线或系统控制器、并 行总线、交换光纤、点到点连接以及使用多种总线体系结构中的任一种的局部总线。系统存 储器也可以被简称为存储器,并且包括只读存储器(ROM) M和随机存取存储器(RAM) 25。基 本输入/输出系统(BIOS)沈被存储在ROM M中,它包含有助于例如在启动期间在计算机 20内的各元件之间传送信息的基本例程。计算机系统20还包括用于对硬盘进行读写的硬 盘驱动器27(未示出),用于对可移动磁盘四进行读写的磁盘驱动器28,以及用于对诸如 ⑶-ROM或其它光介质等可移动光盘31进行读写的光盘驱动器30。磁硬盘驱动器27、磁盘驱动器28和光盘驱动器30分别通过硬盘驱动器接口 32、 磁盘驱动器接口 33和光驱接口 34连接到系统总线23。驱动器及其相关联的计算机可读介 质为计算机20提供计算机可读指令、数据结构、程序模块和其他数据的非易失性存储。本 领域的技术人员应该理解可以在示例性操作环境中使用可以存储计算机可访问的数据的 任何类型的计算机可读介质,诸如磁盒、闪存卡、数字视频盘、随机存取存储器(RAM)、只读 存储器(ROM)等。多个程序模块可以被存储在硬盘、磁盘四、光盘31、ROM 24或RAM 25上,包括操 作系统35、一个或多个应用程序36、其他程序模块37和程序数据38。用户可以通过诸如 键盘40和定点设备42的输入设备将命令和信息输入到个人计算机20中。其他输入设备 (未示出)可以包括话筒、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等。这些和其它输入设 备通常由耦合至系统总线的串行端口接口 46连接至处理单元21,但也可以由其它接口,诸 如并行端口、游戏端口或通用串行总线(USB)连接。监视器47或其它类型的显示设备也经 由诸如视频接口 48等显示接口连接到系统总线23。除监视器以外,计算机通常包括其它外 围输出设备(未示出),诸如扬声器和打印机。计算机20可使用至一个或多个远程计算机,诸如远程计算机49的逻辑连接在网 络化环境中操作。这些逻辑连接是通过耦合到计算机的通信设备或计算机20的一部分来 完成的;本发明不限于特定类型的通信设备。远程计算机49可以是另一计算机、服务器、路 由器、网络PC、客户机、对等设备或其它常见网络节点,且通常包括上文相对于计算机20描 述的许多或所有元件,尽管在图6中只示出存储器存储设备50。图6中描述的逻辑连接包 括局域网(LAN)51和广域网(WAN)52。这样的网络环境在办公室网络、企业范围计算机网 络、内联网和因特网中是常见的,它们是所有类型的网络。当在LAN网络环境中使用时,计算机20通过网络接口或适配器53连接至LAN51, 适配器53是一种类型的通信设备。当在WAN网络环境中使用时,计算机20通常包括调制络适配器、一种通信设备或用于通过广域网52建立通信的任何其它类型的通 信设备。调制解调器M可以是内置或外置的,它可以通过串行端口接口 46连接至系统总 线23。在网络化环境中,相对于个人计算机20描述的程序模块或其部分可以存储在远程存 储器存储设备中。可以理解,示出的网络连接是示例性的,并且可以使用在计算机之间建立 通信链路的其它手段和通信设备。在示例性实现中,帐户授权服务模块和其他模块可以具体化为存储在存储器22 和/或存储设备四或31并且由处理单元21处理的指令。用户名、口令、设备标识符、证书、 安全令牌和其他数据可以存储在作为永久的数据存储的存储器22和/或存储设备四或31 中。此处描述的技术被实现为逻辑操作和/或一个或多个系统中的模块。逻辑操作可 以被实现为在一个或多个计算机系统中执行的一系列处理器实现的步骤以及可以被实现 为互连的机器或一个或多个计算机系统中的电路模块。同样地,可以按照模块执行或实现 的操作来提供各种组件模块的描述。所得的实现是取决于实现所述技术的底层系统的性能 要求来选择的。因此,组成本文所描述的技术的实施例的逻辑操作被不同地称为操作、步 骤、对象或模块。以上说明书、示例和数据提供了对结构的完整描述和对本发明的示例性实施例的 使用。虽然以上带有一定程度的特殊性或参考一个或多个个别的例子描述了本发明的各个 实施例,但是本领域的技术人员可以对所公开的实施例做出众多改变,而不背离本发明的 精神或范围。具体地,可以理解所描述的技术可以独立于个人计算机使用。因此可以构想 其他实施例。意图是包含在以上描述中和附图中所示的所有问题应该被解释为仅说明了特 定的实施例而非限制性的。可以做出细节和结构上的改变而不背离在所附权利要求中定义 的本发明的基本要素。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权 利要求书中定义的主题不必限于上述具体特征或动作。相反,上文所描述的具体特征和动 作是作为实现权利要求的示例形式来公开的。此外,应该理解,逻辑操作可以按照任何顺序 执行,除非用其他方式明确地做出权利要求或一种特定的顺序是权利要求的语言本质上需 要的。
权利要求
1.一种在帐户网络(100)中执行对用户的多因素认证的方法,所述方法包括接收用户的用户凭证(204)和用户用来访问帐户网络(100)的设备(102)生成的设备凭证(204);将所述用户凭证O04)的用户标识符与所述设备凭证O04)的设备标识符相关联 (206)以表示所述用户和所述设备之间的信任关系;评估(314)所述用户凭证(204)和所述设备凭证Q04)以生成验证结果;基于所述用户凭证(204)和所述设备凭证(204)两者的验证结果来提供(320)所述用 户的身份的证据。
2.如权利要求1所述的方法,其特征在于,其中所述用户的身份的证据包括所述用户 标识符和所述设备标识符领着。
3.如权利要求1所述的方法,其特征在于,其中所述关联操作包括关联地将所述用户标识符与所述设备标识符记录在所述帐户网络内的用户的帐户中。
4.如权利要求1所述的方法,其特征在于,其中所述关联操作包括记录所述用户标识符和所述设备标识符以及至少一个其他设备标识符,所述记录操作 将由所述设备标识符和所述至少一个其他设备标识符标识的设备指定为所述用户的可信 设备。
5.如权利要求1所述的方法,其特征在于,其中所述提供操作包括生成安全令牌作为所述用户的身份的证据,其中所述安全令牌包括所述用户标识符和 所述设备标识符两者。
6.如权利要求1所述的方法,其特征在于,其中所述提供操作包括生成安全令牌作为所述用户的身份的证据,其中所述安全令牌包括允许所述安全令牌 的接收方从所述安全令牌访问所述用户标识符和所述设备标识符两者的编程接口。
7.如权利要求1所述的方法,其特征在于,还包括在关联操作之后将所述用户标识符与所述设备标识符取消关联以从所述用户的可信 设备中移除所述设备。
8.如权利要求1所述的方法,其特征在于,其中提供操作仅在成功验证所述用户凭证 和所述设备凭证两者后提供所述身份的证据,并且还包括如果对所述用户凭证和所述设备凭证两者的验证未成功,那么就拒给所述用户的身份 的证据。
9.如权利要求1所述的方法,其特征在于,其中所述提供操作仅在成功验证所述用户 凭证和所述设备凭证两者后提供所述身份的证据,并且还包括如果所述用户凭证被成功验证而所述设备凭证未被成功验证,那么阻止所述用户改变 所述用户凭证和所述设备凭证的尝试。
10.如权利要求1所述的方法,其特征在于,其中所述提供操作仅在成功验证所述用户 凭证和所述设备凭证两者后提供所述身份的证据,并且还包括当成功验证所述用户凭证但未成功验证所述设备凭证时,向所述用户通知使用所述用 户凭证进行认证的尝试。
11.如权利要求1所述的方法,其特征在于,其中帐户网络资源响应于所述身份的证据 的接收而授予的特权级别取决于所述身份的证据是否指示所述设备凭证的成功验证。
12.—种具有用于执行在帐户网络内执行对用户的多因素认证的计算机进程的计算机 可执行指令的计算机可读存储介质(31),其中所述计算机进程包括接收用户的用户凭证(204)和用户用来访问帐户网络(100)的设备(102)生成的设备 凭证004),所述用户凭证(204)包括所述用户的用户标识符,所述设备凭证(204)包括所 述设备(102)的设备标识符;将所述用户标识符与所述设备标识符相关联(206)地记录在所述帐户网络(100)内的 所述用户的帐户(106)中,以表示所述用户和所述设备(102)之间的信任关系; 评估(314)所述用户凭证(204)和所述设备凭证Q04)以生成验证结果; 基于所述用户凭证(204)和所述设备凭证(204)两者的验证结果来提供(320)所述用 户的身份的证据。
13.如权利要求12所述的计算机可读存储介质,其特征在于,其中所述用户的身份的 证据包括所述用户标识符和所述设备标识符两者。
14.如权利要求12所述的计算机可读存储介质,其特征在于,其中所述关联操作包括 记录所述用户标识符和所述设备标识符以及至少一个其他设备标识符,所述记录操作将由所述设备标识符和所述至少一个其他设备标识符标识的设备指定为所述用户的可信 设备。
15.如权利要求12所述的计算机可读存储介质,其特征在于,其中所述提供操作包括 生成安全令牌作为所述用户的身份的证据,其中所述安全令牌包括所述用户标识符和所述设备标识符两者。
16.如权利要求12所述的计算机可读存储介质,其特征在于,其中所述提供操作包括 生成安全令牌作为所述用户的身份的证据,其中所述安全令牌包括允许所述安全令牌的接收方从所述安全令牌访问所述用户标识符和所述设备标识符两者的编程接口。
17.如权利要求12所述的计算机可读存储介质,其特征在于,其中帐户网络资源响应 于所述身份的证据的接收而授予的特权级别取决于所述身份的证据是否指示所述设备凭 证的成功验证。
18.一种授予用户用于访问帐户网络资源(110)的特权级别的方法,所述方法包括 从所述用户正通过其试图访问所述帐户网络资源(110)的设备(10 接收身份的证据(324);询问(326)所述身份的证据(324)以确定所述身份的证据是否指示所述帐户网络资源 (110)信任的认证提供方(104)对所述用户的用户凭证(204)和所述设备(10 的设备凭 证(204)两者的成功验证;如果所述身份的证据指示所述认证提供方(104)对所述用户的用户凭证(204)和所述 设备(10 的设备凭证(204)两者的成功验证,那么就授予(326)第一特权级别;如果所述身份的证据(324)指示所述认证提供者(104)对所述用户的用户凭证(204) 或所述设备的设备凭证O04)中任一个的不成功验证,那么就授予(326)第二特权级别。
19.如权利要求18所述的方法,其特征在于,其中所述第一特权级别高于所述第二特 权级别。
20.如权利要求18所述的方法,其特征在于,其中所述身份的证据包括提供所述帐户 网络资源可通过其访问所述用户凭证的用户标识符和所述设备凭证的设备标识符的编程接口的安全令牌。
全文摘要
认证系统将设备凭证验证与用户凭证验证组合以提供方便用户并且跨企业边界有效的更为健壮的认证机制。在一个实现中,用户凭证验证和设备凭证验证被组合以提供方便的双因素认证。以此方式,帐户授权服务或其他认证提供方验证这两个因素并且依照用户打算访问的帐户网络资源的安全策略来提供安全令牌。目标帐户网络资源授予的特权级别可以根据帐户授权服务验证的因素的数目和类型而变化。
文档编号H04W12/06GK102047709SQ200980121256
公开日2011年5月4日 申请日期2009年5月4日 优先权日2008年6月2日
发明者P-Y·W·翁, R·陈, W-Q(M.)·郭, Y·鲁斯科夫 申请人:微软公司