具有令牌赎回的匿名认证的制作方法

背景技术：

1、客户端设备通过诸如因特网的公用网络传送请求和其他数据。这些通信能够被其他方更改，其他方诸如拦截通信的各方和/或接收通信并将它们转发到其他方的中介。

2、其他方能够模拟客户端设备发送似乎源自客户端设备但实际上来自其他方的设备的请求。

3、各种认证技术能够用于验证试图通过公用网络执行事务的客户端设备的身份。同时，这些认证技术能够牵涉隐私关注。例如，客户端设备的用户可能不希望分享能够用于跟踪客户端设备或这些客户端设备的用户的信息(诸如稳定设备标识符)，并且数据提供者可以在防止他们接收或者处理此类信息的隐私保护标准下操作。

技术实现思路

1、本说明书描述用于验证客户端设备的完整性/真实性而同时避免使用能够用于跟踪客户端设备或其用户的稳定设备标识符的认证技术。

2、通常，本说明书中描述的主题的第一创新方面能够被体现在一种用于匿名证明的方法中，该方法包括：由在客户端设备上运行的应用从托管在第一内容提供者的第一域上的第一服务器接收要对用户进行认证以从与第一内容提供者不同的第二内容提供者的第二域接收内容的认证请求；响应于接收到认证请求，由应用利用发行了证明用户针对第二内容提供者的认证的匿名证明令牌的证明令牌发行系统通过与第二请求一起传送匿名证明令牌来赎回匿名证明令牌；响应于第二请求由应用从证明令牌发行系统接收表示证明令牌是否被成功地赎回并且由证明令牌发行系统使用数字签名来签名的赎回结果，其中，赎回结果能操作用于在不用针对第二内容提供者识别用户的情况下针对第二内容提供者验证针对第二内容提供者认证了用户；由应用向第一内容提供者传送由证明令牌发行系统签名的赎回结果。

3、在一些实现方式中，赎回结果能操作用于在不用向第一内容提供者提供用户的凭证集的情况下在允许用户保持匿名时向接收者验证针对第二内容提供者认证了用户。

4、在一些实现方式中，第二内容提供者是新闻提供者，第一内容提供者是新闻聚合器域，以及由应用向第一内容提供者传送由证明令牌发行系统签名的赎回结果是响应于请求访问由新闻提供者托管的资源的用户动作而执行的。

5、在一些实现方式中，第二内容提供者是媒体托管平台，第一内容提供者是社交媒体平台，以及由应用向第一内容提供者传送由证明令牌发行系统签名的赎回结果是响应于请求访问由媒体托管平台托管的资源的用户动作而执行的。

6、在一些实现方式中，该方法包括：由客户端设备上的应用向能够访问客户端设备的用户的向实体认证用户的凭证的受信任程序传送对证明用户针对第二内容提供者的认证的匿名证明令牌的第一请求；由受信任程序向证明令牌发行系统传送对匿名证明令牌的第三请求，第三请求包括客户端设备的用户的凭证集；以及由应用从证明令牌发行系统接收匿名证明令牌，匿名证明令牌包括(i)指示匿名证明令牌的创建时间的证明令牌创建时间戳、以及(ii)证明令牌发行系统的第二数字签名。

7、在一些实现方式中，该方法包括由应用通过第一内容提供者的电子资源从第二内容提供者请求来自第二内容提供者的内容。

8、在一些实现方式中，该方法包括由应用接收来自第二内容提供者的内容。

9、在一些实现方式中，证明令牌发行系统的数字签名是根据盲签名方案而创建的。

10、在一些实现方式中，证明令牌发行系统的数字签名是使用组签名方案和发行给客户端设备的匿名证书而创建的，并且该方法包括将匿名证书存储在客户端设备上的安全私有密钥库中。

11、在一些实现方式中，传送由证明令牌发行系统签名的赎回结果进一步包括提供(i)由应用签名并且(ii)不使用户与凭证集相关的附加数据。

12、在一些实现方式中，该请求指示要发行的证明令牌的数目。

13、在一些实现方式中，该请求使用由应用维护的私有密钥利用第三数字签名进行签名，并且第三数字签名能够使用(i)对应于私有密钥并且(ii)由应用发布的公开密钥来验证。

14、在一些实现方式中，第二数字签名使用由证明令牌发行系统维护的私有密钥来创建，并且第三数字签名能够使用(i)对应于私有密钥并且(ii)由证明令牌发行系统发布的公开密钥来验证。

15、在一些实现方式中，赎回结果包括表示证明令牌是否被成功地赎回的单个比特。

16、这个方面的其他实施例包括对应的系统、装置和编码在计算机存储设备上的计算机程序，这些计算机程序被配置成执行方法的动作。

17、能够在特定实施例中实现本说明书中描述的主题以便实现以下优点中的一个或多个。

18、使用证明令牌来对客户端设备或用户进行认证在客户端设备与其他实体的计算机或其他设备之间提供安全通信通道。与证明令牌一起包括证明令牌中所包括的数据的数字签名使得实体能够验证证明令牌中的数据在证明令牌被创建之后未被改变。另外，在证明令牌中包括令牌创建时间使得接收者能够确定请求是否是新的或者潜在地为由第三方欺诈地使用授权设备的身份来执行操作的方案的部分。

19、例如，证明令牌能够用于在不用向特定资源识别客户端设备的情况下识别客户端设备被授权访问该资源，从而允许保持该资源的方确信客户端设备是合法授权用户并且允许客户端设备维护其关于该资源的匿名性。

20、证明令牌系统提供跨相同平台内的不同web站点并且跨不同平台对设备和/或用户进行认证而不用与web站点或平台共享个人可识别信息(pii)的能力。例如，证明令牌系统允许用户在不用向第三方内容聚合平台和web站点或提供者提供pii的情况下通过第三方内容聚合平台和web站点来访问来自需要认证的平台或提供者的资源和内容。证明令牌系统是隐私保护的，从而在不同web站点与平台之间强制执行边界，并且以方便的无缝方式提供对资源和内容的访问。不是向第三方内容聚合平台提供诸如用户名和密码的pii以使用此类pii来访问资源，而是客户端设备能够提供向第三方内容聚合平台认证客户端设备的用户能够访问资源的赎回结果。因此，第三方内容聚合平台不接收用户的通常用于访问资源的pii(例如，用户的将用于直接访问资源的用户名和密码)，并且资源的发布者不能够确定用户正在通过第三方内容聚合平台访问资源。这保护用户关于用户的用于资源的pii的隐私并且保护用户使用第三方内容聚合平台的隐私。

21、证明令牌系统通过去除用户摩擦的来源来改进用户体验。例如，证明令牌能够用于在不需要用户提供附加认证信息的情况下允许用户访问受限资源。

22、证明令牌还能够包括指示传送了证明令牌的客户端设备的完整性的设备完整性判决，这使得证明令牌的接收者能够验证数据来自受信任客户端设备，例如，而不是来自模拟器或受损设备。设备完整性判决能够由受信任设备分析器(例如，第三方设备分析器)生成并数字签名，使得证明令牌的接收者能够验证客户端设备由受信任设备分析器评价并且设备完整性判决中的数据在由受信任设备分析器创建之后未被修改。

23、虽然证明令牌保护从客户端设备传送的通信的完整性，但是存在与证明令牌的使用相关联的潜在隐私问题。第一隐私问题是在与内容发布者或平台的多次交互内重复使用相同证明令牌能够潜在地使得证明令牌接收者能够使由相同客户端设备传送的多个请求相关并且基于相关来聚合用户数据。本文档中描述的技术能够通过使用各自包括客户端设备的独特公开密钥的多个证明令牌来增强隐私以防这种相关。例如，客户端设备能够生成一批n个公开/私有密钥对，并且然后将这n个公开密钥发送到第三方设备分析器以接收一批n个对应的证明令牌。然后客户端设备能够例如针对每个请求使用新的证明令牌；或者客户端设备能够针对某个时间间隔内的所有请求使用相同证明令牌；或者客户端设备能够针对源自客户端设备上的相同应用的所有请求使用相同证明令牌；或者它们的某种组合。限制每个公开密钥的使用限制接收者能够基于公开密钥使之相关的请求的量，并且能够增加应用服务器在它消费赎回记录时具有的确信的量。例如，应用服务器能够确定令牌越旧，客户端已经将令牌无意地暴露给恶意软件的可能性越大。使用这种分批方法还通过具有更少的请求要处理来降低设备分析器上的负担，降低网络带宽的消耗，并且降低在传送将包括证明令牌的请求时客户端设备处的延时，在每次需要证明令牌时客户端设备都发送对证明令牌的请求的情况下将会引入该延时。

24、第二隐私问题是与设备分析器共享客户端设备的稳定公开密钥能够潜在地使得设备分析器能够跟踪客户端设备。例如，如果多个截然不同的证明令牌的接收者能够得知设备分析器在来自相同设备的同一批请求中接收到那些证明令牌，则因此令牌的接收者能够使由相同客户端设备传送的多个请求相关并且基于相关来聚合用户数据。接收者将需要与设备分析器数据存储串通或者破坏设备分析器数据存储以便获得此类数据。本文档中描述的技术能够通过向设备分析器发送公开密钥的盲化版本而不是公开密钥的原始值来增强隐私以防此类跟踪。例如，客户端设备能够生成一批n个公开-私有密钥对，使n个公开密钥(或公开密钥的密码散列)盲化，并且然后将n个盲化密钥发送到设备分析器；第三方设备分析器返回一批n个对应的盲签名，而永远不会接收到客户端设备公开密钥的原始值。

25、所描述的证明令牌可以由于所描述的盲化(blinding)方案而对仅有限量的信息进行编码，以便增加在令牌内对期满时间进行编码的难度并且增加令牌的安全性。例如，在存在有限量的信息的情况下限制令牌的生存期的一种方法是将每个令牌定义为仅在用于生成该令牌的发行密钥的生存期期间有效。

26、防止pii与提供受限内容和/或资源的请求证明令牌的方或用户正在通过其访问受限内容和/或资源的方共享的令牌生成和赎回过程能够作为资源和/或内容访问数据流的部分与现有系统集成。此过程在不需要用户做出附加努力的情况下扩展中介平台和web站点的功能性并且增加请求证明令牌的各方的可及范围时改进用户隐私、体验、以及对资源和/或内容的访问。此外，此过程不需要请求令牌的方接收有关被认证用户是谁或令牌正在如何被创建的任何信息。接收者简单地接收指示试图访问特定资源和/或内容的用户或设备已经被认证、他们的身份被验证为授权方、或者他们否则在特定级别上值得信任的证明令牌。接收者还确信请求客户端设备/用户的身份以确保他们是正确用户/被认证用户。

27、在下面参考各图描述前述主题的各种特征和优点。根据本文描述的主题和权利要求，附加特征和优点是显而易见的。