專利名稱:使用別名的身份和驗證系統(tǒng)的制作方法
使用別名的身份和驗證系統(tǒng)
背景技術(shù):
對于用戶和商業(yè)之類來說,因特網(wǎng)不斷地變得越來越有價值。越來越多的人將因特網(wǎng)用于每天的任務(wù),從購物、銀行業(yè)務(wù)和付帳單到消費媒體和娛樂。電子商務(wù)正伴隨在因特網(wǎng)上商業(yè)遞送更多服務(wù)和內(nèi)容、在線通信和合作以及為用戶創(chuàng)造新的途徑來彼此聯(lián)絡(luò)而不斷發(fā)展。目前,用戶能夠從包括計算機、移動和智能電話、游戲控制臺和其他具有網(wǎng)絡(luò)連通性的設(shè)備的多種多樣的平臺集合中訪問在線資源。當訪問一些站點和服務(wù)時,用戶需要被驗證以使得互動是合適的并且沒有在某些方面被誤用。例如,嘗試訪問在線銀行帳號的用戶需要被驗證以證明該用戶就是他所聲明的用戶(即擁有帳戶或被授權(quán)訪問該帳戶的合法銀行客戶)。另一個例子是,除其它原因以外,社交網(wǎng)站的用戶需要被驗證以防止仿冒者獲得對用戶頁面的訪問并貼出惡意或偽造的內(nèi)容。驗證通常涉及輸入被稱為“證書”以證明他的或她的身份的用戶ID(或登錄ID、帳號名、用戶名等)以及密碼或個人標識號碼(“PIN”)的用戶。雖然一些驗證系統(tǒng)提供了令人滿意的性能,但當前的系統(tǒng)并不能滿足在線社區(qū)的所有需求。例如,用戶既想使得他們在線設(shè)計的身份的靈活性,又要一種簡單的方法來維護他們的身份的安全性而不需要使用經(jīng)常是很長的密碼列表(這將增加不安全的體驗,例如跨多個網(wǎng)站上的重用帳號名和密碼)。提供本背景技術(shù)來介紹以下概述和詳細描述的簡要上下文。本背景技術(shù)不旨在幫助確定所要求保護的主題的范圍,也不旨在被看作將所要求保護的主題限于解決以上所提出的問題或缺點中的任一個或全部的實現(xiàn)。
發(fā)明內(nèi)容
一種身份和驗證平臺利用了一種數(shù)據(jù)模型,該數(shù)據(jù)模型能夠?qū)⒅T如電子郵件地址、移動電話號碼、昵稱、游戲ID和其他用戶ID等多個身份用作別名,所述別名是一個主帳號名的唯一的子身份。用戶可以使用驗證證書的通用集或主帳號的證書來訪問該平臺所支持的別名并使用別名來設(shè)計多個不同的在線身份。該平臺進一步被配置為將所述別名展現(xiàn)給各個客戶機應(yīng)用程序和因特網(wǎng)可訪問的站點與服務(wù),例如電子郵件、即時消息、媒體共享、游戲和社交網(wǎng)絡(luò)等等,以便能夠?qū)崿F(xiàn)各種使用別名的使用場景。在各種說明性示例中,支持別名使用的網(wǎng)站和服務(wù)依靠身份和驗證服務(wù)以為網(wǎng)站和服務(wù)的用戶提供驗證(統(tǒng)稱為“依靠服務(wù)”)。依靠服務(wù)可以與運行在web瀏覽器上的應(yīng)用程序(即“瘦客戶機”應(yīng)用程序)或更多特征豐富的客戶機應(yīng)用程序(即“胖客戶機”應(yīng)用程序)結(jié)合起來操作,以提供廣泛范圍的使用別名的使用場景。例如,用戶可以登錄到依靠服務(wù),并使用他們的主帳號名和密碼或使用別名和相同的主帳號密碼來驗證用戶??梢约械毓芾矶鄠€電子郵件帳號(其中每個電子郵件帳號用不同的別名標識用戶),以便用戶能夠登錄到驗證的主電子郵件帳號,并隨后接收定址到不同電子郵件別名的電子郵件消息。并且,依靠服務(wù)的用戶可以通過使用這樣的用戶的別名來找到其他用戶。 可以將使用事件計劃服務(wù)生成的邀請定址到,例如用戶的別名,但仍然遞送到該用戶的主帳號?;蛘?,游戲玩家可以通過在線游戲服務(wù)上的別名來查找并找到另一玩家的簡檔。為用戶提供用于使用別名管理他們在線身份的工具。用戶具有創(chuàng)建、更新和刪除別名并管理在各種服務(wù)中如何使用它們的能力。用戶還可以設(shè)置與他們的別名相關(guān)聯(lián)的一個或多個屬性,以限制在別名和主帳號名之間的關(guān)聯(lián)在服務(wù)上公開的范圍。這使得用戶能夠在任何期望的時候維護隱私,同時仍然能夠享受別名所提供的益處。有利地,本身份和驗證平臺是在各種各樣的服務(wù)上可擴展并可縮放的,這些服務(wù)是可由不相關(guān)的服務(wù)提供者操作的(例如電子郵件別名可以被應(yīng)用到使用由不同的提供者主持的不同的域的電子郵件帳號)。該平臺為用戶提供了一種便捷和安全方法來使用和展現(xiàn)別名以管理在在線社區(qū)中如何察覺他們,同時控制何時且如何能聯(lián)系他們以及在期望的時候保護他們的隱私。提供本概述是為了以簡化的形式介紹將在以下詳細描述中進一步描述的一些概念。本概述不旨在標識出所要求保護的主題的關(guān)鍵特征或必要特征,也不旨在用于幫助確定所要求保護的主題的范圍。
圖1示出一種說明性在線服務(wù)環(huán)境,在其中,在客戶機設(shè)備處的用戶可以與依靠支持別名的身份和驗證服務(wù)的在線站點和服務(wù)互動;圖2示出可以與別名一起使用的站點和服務(wù)的說明性集;圖3示出了可以在客戶機設(shè)備上運行的說明性的瘦客戶機應(yīng)用程序和胖客戶機應(yīng)用程序;圖4示出說明性的別名數(shù)據(jù)模型;圖5示出可以與主帳號名相關(guān)聯(lián)的別名的說明性集;圖6示出可以與別名相關(guān)聯(lián)的屬性的說明性集;圖7示出了由API(應(yīng)用編程接口)展現(xiàn)給客戶機應(yīng)用程序和依靠服務(wù)的方法的說明性集;圖8示出第一說明性使用場景,其中,用戶可以使用瘦客戶機應(yīng)用程序用別名登錄到服務(wù);圖9示出第二說明性使用場景,其中,用戶可以使用胖客戶機應(yīng)用程序用別名登錄到服務(wù);圖10示出第三說明性使用場景,其中,用戶可以接收發(fā)送給多個不同電子郵件別名的電子郵件消息;以及圖11示出第四說明性使用場景,其中,可通過別名由其他用戶聯(lián)絡(luò)用戶。各附圖中相同的附圖標記指示相同的元素。除非另外指明,否則各元素不是按比例繪制的。
具體實施例方式計算機用戶經(jīng)常維護不同的身份以用于不同的在線站點和服務(wù)。單個用戶可以使用各種標識符,例如電子郵件地址、昵稱、用戶名、移動電話號碼、游戲名字或ID和其他構(gòu)造,在不同的時間和不同的設(shè)置中來反映用戶在線身份。因此,例如,用戶可以使用基于現(xiàn)有的網(wǎng)絡(luò)服務(wù)利用移動電話號碼,基于現(xiàn)有的網(wǎng)絡(luò)服務(wù)例如可與移動電話一起操作的即時消息(“IM”)。另外,用戶可以用用戶名登錄在線社交網(wǎng)站并在登錄飛行??蛶ぬ枙r使用電子郵件地址。用戶可以發(fā)現(xiàn)維護多個分散的身份是麻煩的。例如,因為越來越多的站點和服務(wù)要求帳號創(chuàng)建來使用它們,不同的帳號名和密碼的擴散會導致用戶的“密碼疲勞”。對于這些用戶而言,記住他們的密碼是很困難的,這將導致用戶在多個站點和服務(wù)上重用相同的證書。這種體驗不僅造成了易于盜竊和身份欺騙,而且用戶也失去了如何將他們自己呈現(xiàn)給在線社區(qū)的靈活性。用戶經(jīng)常想要以不同的身份代表他們自己的能力,因為這允許他們使他們的身份適應(yīng)于特定的在線上下文,并且在一些情況中,將該能力擴展到其他用戶以聯(lián)絡(luò)他們。然而,在大多數(shù)的在線服務(wù)上,用戶典型地僅被允許具有與給定帳號相關(guān)聯(lián)的單個身份。盡管存在多個昵稱可以與一個帳號相關(guān)聯(lián)的現(xiàn)有服務(wù),它們目前都被限制在涉及組討論的在線服務(wù),并且這些昵稱在該組之外就不能使用。昵稱也不能用于登錄主帳號。這些限制使得那些想要具有豐富的在線社交互動的用戶感到灰心。本身份和驗證系統(tǒng)使用戶受益,并解決了當前在線環(huán)境的限制。該系統(tǒng)為用戶提供了一種簡單的方法來使用別名管理他們的在線身份,以控制何時和如何聯(lián)絡(luò)他們?,F(xiàn)在轉(zhuǎn)向附圖,圖1示出說明性在線服務(wù)環(huán)境100,其中,在各個客戶機設(shè)備IU1, 2...N處的用戶IOS1,"可以在諸如因特網(wǎng)120等網(wǎng)絡(luò)上與各種在線站點和服務(wù)進行互動。客戶機設(shè)備112可以采用各種形狀因素并被配置為具有不同的能力和資源。在這個示例中, 客戶機設(shè)備112包括桌面PC IU1、膝上PC 1122、移動設(shè)備1123(例如智能電話、移動電話等)、以及視頻游戲控制臺11 。然而,要強調(diào)的是,這些設(shè)備旨在是說明性的,并且還可以滿足特定實現(xiàn)的需求所需要的那樣來使用其他類型的設(shè)備。將在線站點和服務(wù)配置為依靠服務(wù)122來提供身份和驗證。因此,在線站點和服務(wù)被稱為“依靠服務(wù)”,并且由圖1中的附圖標記115來統(tǒng)一地標識??蛻魴C設(shè)備112、依靠服務(wù)115以及身份和驗證服務(wù)典型地使用HTTP (超文本傳輸協(xié)議)來通信。在一些實現(xiàn)中,依靠服務(wù)115以及身份和驗證服務(wù)122中的一個或多個可以由相同的實體來操作。然而,這并不是一種要求,因為,依靠服務(wù)提供者也可以將用戶驗證委派給操作身份和驗證服務(wù)122的無聯(lián)系的第三方提供者。依靠服務(wù)115可以包括可由一個或多個服務(wù)提供者操作的廣泛的各種不同的服務(wù)。圖2示出了可以在一些實現(xiàn)中使用的特定依靠服務(wù)的說明性示例。這些示例旨在進行說明,在每個應(yīng)用中并不需要使用在圖2中示出的所有示例,并且在給定的實現(xiàn)中可以使用沒有示出的其他服務(wù)。說明性的依靠服務(wù)115包括支持下述項的服務(wù)即時消息206i ; 桌面電子郵件20 ;個人網(wǎng)頁20 ;主機電子郵件20 ;在線文件存儲和/或共享20 ;媒體內(nèi)容(例如圖片、音頻或視頻)共享20 ;網(wǎng)絡(luò)論壇和/或討論組2067 ;博客(即網(wǎng)頁博客)20 ;事件計劃20 ;或社交網(wǎng)絡(luò)2061(|。提供不是如上所列出的但卻依靠身份和驗證服務(wù)122的服務(wù)的網(wǎng)站也可被使用(如由圖2中的附圖標記20 所統(tǒng)一標識的)。為了向使用別名的用戶105提供特別的體驗,客戶機設(shè)備112(圖1)通過安裝在該設(shè)備上并在其上運行的客戶機應(yīng)用程序與依靠服務(wù)115(以及身份和驗證服務(wù)122)互動。如圖3所示,客戶機設(shè)備(如由桌面PC 11 所代表)可以運行包括瘦客戶機應(yīng)用程
6序30A,2...n和胖客戶機應(yīng)用程序306^兩者的各種客戶機應(yīng)用程序。雖然在圖2中示出了 N個胖客戶機應(yīng)用程序和瘦客戶機應(yīng)用程序,在給定客戶機設(shè)備112上使用的特定類型和數(shù)目的應(yīng)用程序可以隨實現(xiàn)和客戶機設(shè)備的能力而變化。例如,移動設(shè)備可以不運行與 PC和游戲控制器相比那樣多的客戶機應(yīng)用程序,而其所運行的那些應(yīng)用程序可以適應(yīng)于該移動設(shè)備所支持的更加約束資源的運行時環(huán)境。瘦客戶機應(yīng)用程序302典型地是那些可以使用web瀏覽器,例如在PC上的微軟因特網(wǎng)瀏覽器 和移動設(shè)備的因特網(wǎng)瀏覽器移動版,來實現(xiàn)的應(yīng)用程序。瘦客戶機應(yīng)用程序通常以瀏覽器支持的語言,例如HTML(超文本標記語言)和XML(可擴展標記語言),來編碼并執(zhí)行如腳本和ActiveX控件的特征。胖客戶機應(yīng)用程序306典型地由使用諸如PC上的Win32等編程環(huán)境的獨立應(yīng)用程序來實現(xiàn)。胖客戶機應(yīng)用程序通常包括例如桌面電子郵件、博客和IM客戶端的應(yīng)用程序,這些應(yīng)用程序與作為瘦客戶機實現(xiàn)的類似的應(yīng)用程序相比典型地為本地數(shù)據(jù)存儲提供了更加豐富的特征集和更好的靈活性。在一些實現(xiàn)中,可以使用客戶機側(cè)別名接口 315(即本地安裝的API)向胖客戶機應(yīng)用程序306展現(xiàn)別名功能性。然而,這樣的接口 315并不需要在所有實現(xiàn)中使用,并且一些胖客戶機應(yīng)用程序306可以被配置為通過調(diào)用經(jīng)由所述身份和驗證服務(wù)122所支持的API (應(yīng)用編程接口)所展現(xiàn)的方法來直接與別名服務(wù)對接,如將在下面結(jié)合圖7所述的文本中更詳細描述。身份和驗證服務(wù)122 (圖1)被安排為在靈活的數(shù)據(jù)模型下將別名展現(xiàn)給依靠服務(wù) 115和客戶機應(yīng)用程序302和306,所述數(shù)據(jù)模型支持廣泛范圍的別名使用場景(這些使用場景中的一些在圖8-11中被示出并將結(jié)合文本進行描述)。圖4示出說明性的別名數(shù)據(jù)模型400,它提供了別名是主帳號的子身份(如附圖標記415所指示)。由身份和驗證服務(wù) 122提供該主帳號。例如,身份和驗證服務(wù)122可以作為微軟的Windows Live ID 服務(wù)的一部分來實現(xiàn),這樣,該主帳號包括Windows Live ID,例如電子郵件地址(例如“userOlive. C0m”、“User@h0tmail.C0m”等),用戶使用它來訪問各種在線服務(wù),所述服務(wù)包括微軟公司提供的這些服務(wù)以及第三方提供的服務(wù)。在替換安排中,主帳號可以被依靠服務(wù)115中的一個的提供者所支持。無論誰是主帳號提供者,一般而言,依靠服務(wù)115將(例如通過適當范圍的服務(wù)合同)同意給定的用戶105將能夠訪問所有的依靠服務(wù)115并且由身份和驗證服務(wù)122使用該主帳號和其關(guān)聯(lián)的別名來驗證。別名數(shù)據(jù)模型400進一步提供別名可以包括各種類型的標識020)。如圖5所示, 用戶(由用戶105!代表性指示)可以有資格使用與主帳號名512(即userihotmail. com) 相關(guān)聯(lián)的一個或多個別名505。別名說明性地包括,但不是必須局限于,電子郵件地址505” 昵稱50 、移動電話號碼50 以及在微軟公司的)(b0X LIVE 在線游戲服務(wù)的情況下被稱為“玩家標簽”50 的游戲玩家簡檔名字。這些特定類型的標識是說明性的,并且如特定應(yīng)用所要求可以使用其他的類型。電子郵件地址別名5051可以包括來自不同域的電子郵件地址,并且可以被不同的和/或不相關(guān)的依靠服務(wù)提供者所支持。昵稱別名50 和玩家標簽別名50 是在域中的名字,雖然該域自身并不會展現(xiàn)給用戶105。例如,雖然,出于系統(tǒng)跟蹤該別名的起源的目的,昵稱別名包括(例如“nickname@domain.com”)的域,但用戶105所使用和看到的別名僅是簡單的“nickname”。
回看圖4,數(shù)據(jù)模型400提供了所有的別名505在服務(wù)環(huán)境100中都是唯一的025),并且每個別名都與一個固定的標識符(430)相關(guān)聯(lián),所述標識符在此稱為 “AUID”(別名唯一標識符)。模型下的唯一性確保了用戶105可以聲明使用別名的專有權(quán), 并且與該別名明確關(guān)聯(lián)。并且通過成為固定的(即決不被改變或重分配),AUID使得系統(tǒng)數(shù)據(jù)與別名相關(guān)聯(lián)并被跟蹤,這樣,可以在用戶105決定以任何方式更新或修改別名的情況下維護服務(wù)的連續(xù)性。例如,如下將詳細描述,用戶105可以希望基于使用別名的詢問限制主帳號名的展現(xiàn)。這種限制可以關(guān)聯(lián)于AUID,這樣,如果改變了別名的名字(例如從 "Nicknamel"變?yōu)椤癗ickname〗”),還可以對新別名的名字維持有關(guān)隱私的用戶的偏好。數(shù)據(jù)模型400還提供了別名可以具有屬性(435),這些屬性形成了用于定義用戶 105的身份的核心。一個示例性的屬性集600在圖6中被示出。在這個示例中的屬性包括IsEmail (是電子郵件)(如附圖標記605所指示)IsMobile (610)(是移動電話)IsGamertag (615)(是玩家標簽)IsNickname (620)(是昵稱)IsVerified(625)(是被證明的)IsPrivate (630)(是私有的)Context (635)(上下文)注意,并不是所有的上面示出的屬性都必須在任意給定的實現(xiàn)中都被使用。屬性IsEmail 605、IsMobile 610、IsGamertag 615 以及 IsNickname 620 分別被用于標識別名類型。這種標識可以用于使得依靠服務(wù)115以及身份和驗證服務(wù)122以合適于別名類型的方式來使用這些別名。被設(shè)計用于向電子郵件別名遞送的消息,被用于向移動電話號碼別名發(fā)送時,例如由于消息協(xié)議的變化以及設(shè)備特性例如現(xiàn)實和呈現(xiàn)能力的差異,將必定不會有效率地工作。當電子郵件地址被用作別名并且該電子郵件地址由與身份和驗證服務(wù)122的提供者無關(guān)的依靠服務(wù)115所提供時,IsVerified屬性625是典型地可應(yīng)用的。在這種情況,服務(wù)122需要在允許別名與主帳號相關(guān)聯(lián)并由依靠服務(wù)115使用之前證明該別名的有效性。當電子郵件別名的用戶已經(jīng)證明他或她擁有該電子郵件地址時可以為該電子郵件別名設(shè)置IsVerified屬性標志。否則,當未被證明時由服務(wù)122來跟蹤該電子郵件別名,這將典型地限制了其中可以使用未被證明的別名的使用場景。例如,如果使用未被證明的別名(即該別名的IsVerified屬性標志未設(shè)置)來從事件計劃服務(wù)20 發(fā)送邀請給被邀請者,那么,被邀請者將不能接受該邀請,直到被邀請者可以示出該別名屬于被邀請者并對其具有權(quán)限。未被證明的電子郵件別名通過一種方法獲取證明,在該方法中,身份和驗證服務(wù)122發(fā)送單獨的定址到該未被證明的電子郵件別名的電子郵件。來自服務(wù)122的電子郵件包括包含確認令牌的確認鏈路。當點擊鏈路時,將打開一個網(wǎng)頁,被邀請者可以登錄到該網(wǎng)頁,由此證明在對該電子郵件別名的合法收件箱處接收了確認電子郵件。確認還可以用于用作別名的移動電話號碼。包含代碼的SMS(短消息服務(wù))消息可以被發(fā)送給移動電話號碼別名。用戶可以轉(zhuǎn)到使用例如PC或該電話上的移動瀏覽器建立的網(wǎng)頁,并將來自SMS消息的代碼輸入由該站點提供的用戶界面,由此用身份和驗證服務(wù)122證明該移動電話號碼別名。IsPrivate屬性630提供了一個展現(xiàn)別名505和主帳號名512之間的關(guān)系的別名用戶的偏好的指示。如果設(shè)置了 IsPrivate屬性標志,那么,身份和驗證服務(wù)122將不會對來自調(diào)用者的查詢展現(xiàn)任意別名505之下的主帳號名512。這樣,IsPrivate屬性630的使用使得用戶能夠允許或阻止某個人或某個服務(wù)查找與別名相關(guān)聯(lián)的主帳號名。在一些實現(xiàn)中,也支持反向情況,其中用戶可以允許或阻止對與主帳號名相關(guān)聯(lián)的所有別名或別名的所選子集的查找。Context屬性6;35可被用于指示使用別名的上下文。例如,Context屬性6;35可以指示使用了哪些特定的依靠服務(wù)115或哪些特定的依靠服務(wù)115與給定別名505相關(guān)聯(lián)。當實現(xiàn)某些使用場景或服務(wù)特征時,其他依靠服務(wù)115可以隨后使用這種上下文。例如,可以標記在第一依靠服務(wù)內(nèi)部創(chuàng)建的電子郵件別名的Context屬性635,即Context = servicel。隨后,第二依靠服務(wù)可以檢查該Context屬性并發(fā)現(xiàn)該電子郵件別名還沒有與第二服務(wù)一起使用。隨后可以通知用戶有關(guān)將該電子郵件別名與第二依靠服務(wù)一起使用的選項。Context屬性635的其他使用可以包括向用戶105顯示哪些別名與哪些依靠服務(wù)115 一起被使用,或基于使用率分類別名。如在圖7中所示,別名數(shù)據(jù)模型400可以用于定義各種方法700,這些方法可以由身份和驗證服務(wù)122通過API 704展現(xiàn)給來自依靠服務(wù)115和應(yīng)用程序302和306的遠程調(diào)用(分別由附圖標記710和714所指示)。方法700示例性包括Create Alias (創(chuàng)建別名)(如附圖標記TOO1所指示)Delete Alias (刪除別名)(7002)Rename Alias (重命名別名)(7003)Update Alias (更新別名)(7004)GetAliasesForAccount (獲得帳戶的別名)(7005)GetAccountForAliases (獲得別名的帳戶)(7006)當調(diào)用Create Alias方法TOO1時,將創(chuàng)建與主帳號名相關(guān)聯(lián)的別名并設(shè)置初始的屬性集600。如果在創(chuàng)建別名時提供了確認令牌,那么,將設(shè)置屬性IsVerified 625,這樣, 所創(chuàng)建的別名505是經(jīng)證明的別名。Delete Alias方法7002和Rename Alias方法7003分別允許從系統(tǒng)中刪除別名和重命名別名。如果用戶105重命名別名505,如上所述,其屬性和與其相關(guān)聯(lián)的任意其他數(shù)據(jù)將使用固定的標識符(例如AUID)被持久保存。調(diào)用者可以調(diào)用Update Alias方法7004來改變與別名相關(guān)聯(lián)的屬性600。例如,可以切換IsPrivate 屬性630以使得隱私有效或無效?,F(xiàn)在轉(zhuǎn)到圖8-11,示出了使用別名的幾個示例性使用場景。需要強調(diào),這些使用場景旨在突出本系統(tǒng)能夠?qū)崿F(xiàn)的各種服務(wù)特征和用戶體驗,并不是要意圖以任意方式來限制其可應(yīng)用的范圍。圖8示出用戶(代表性地示為用戶105)可以使用在桌面客戶機設(shè)備11 上運行的瘦客戶機應(yīng)用程序302用別名登錄到依靠服務(wù)115的示例性使用場景800。雖然在該示例中使用了桌面客戶機設(shè)備112”但該使用場景對于圖1所示的其他客戶機設(shè)備也是類似的,并將在附加的文本中描述。所述場景在當用戶嘗試使用由瘦客戶機應(yīng)用程序302所實現(xiàn)的web瀏覽器訪問依靠服務(wù)115時開始(如附圖標記810所指示)。
依靠服務(wù)115將返回含有登錄鏈接的頁面(820)。當用戶IOS1點擊該鏈接時,重定向該用戶到身份和驗證服務(wù)122(830)以代表依靠服務(wù)115執(zhí)行對該用戶的驗證。身份和驗證服務(wù)122呈現(xiàn)一個登錄對話框,通過該對話框,用戶可以登錄。雖然用戶IOS1具有使用該用戶的主帳號名和密碼進行登錄的選項,但在本場景中,該用戶用別名和密碼進行登錄(840)。典型地,出于為用戶IOS1提供方便的考慮,對于所有該用戶的別名,密碼都將是與主帳號名相關(guān)聯(lián)的相同密碼。然而,并不要求用戶使用公用的密碼。身份和驗證服務(wù)122使用提供的別名和密碼來驗證該用戶IOS1,并將驗證令牌返回給客戶機(850)。驗證令牌將包括加密形式的數(shù)據(jù),所述數(shù)據(jù)包括與別名相關(guān)聯(lián)的主帳號名、密碼和AUID。身份和驗證服務(wù)122隨后重定向該用戶105!到依靠服務(wù)115(860)。 使用在身份和驗證服務(wù)122和依靠服務(wù)115預(yù)先共享的密鑰,依靠服務(wù)115可以從傳遞自客戶機的驗證令牌中提取并解密數(shù)據(jù),由此,向用戶IOS1顯示受保護的內(nèi)容或提供個性化服務(wù)(870)。由于驗證令牌包括主帳號的驗證證書,用別名登錄到依靠服務(wù)115通過驗證下層的主帳號來對用戶IOS1進行驗證。這種特征確保了用戶105訪問合適的內(nèi)容和個性 (personalization),因為,依靠服務(wù)115將總是識別該主帳號名。圖9示出用戶IOS1H用在桌面客戶機設(shè)備11 上運行的胖客戶機應(yīng)用程序306用別名登錄到依靠服務(wù)115的示例性使用場景900。這個使用場景與使用瘦客戶機應(yīng)用程序的場景800相類似,但在實現(xiàn)細節(jié)上不同。該場景在當用戶IOS1嘗試通過應(yīng)用程序306訪問依靠服務(wù)115時開始(如由附圖標記910所指示)。向用戶IOS1呈現(xiàn)一個登錄UI(用戶界面)。用戶用別名和密碼登錄該UI,并且所捕獲的證書被發(fā)送給身份和驗證服務(wù)122(920)。 在一些實現(xiàn)中,客戶機側(cè)的別名界面315,在圖3中示出并將在附加文本中描述,可被配置為將API展現(xiàn)給胖客戶機應(yīng)用程序以啟動捕獲和發(fā)送功能。身份和驗證服務(wù)122使用該別名驗證該用戶1051;并將驗證票據(jù)返回給客戶機 (930),該驗證票據(jù)包括加密形式的數(shù)據(jù),所述數(shù)據(jù)包括與別名相關(guān)聯(lián)的主帳號名、密碼和 AUID。胖客戶機應(yīng)用程序306可以使用所述數(shù)據(jù)來請求來自依靠服務(wù)115的一個或多個服務(wù)票據(jù)(940)。以與上述場景800相類似的方式,驗證票據(jù)包括主帳號名的事實使得依靠服務(wù)能合適地標識用戶IOS1,即使該用戶以別名登錄。隨后,依靠服務(wù)返回合適的服務(wù)票據(jù) (950)。胖客戶機應(yīng)用程序306接著通過將先前步驟所接收的服務(wù)票據(jù)傳遞給依靠服務(wù)來從該依靠服務(wù)請求受保護和/或個性化的內(nèi)容和服務(wù)(960)。依靠服務(wù)115響應(yīng)于所述請求將內(nèi)容或服務(wù)提供給用戶105J970)。圖10示出第三說明性使用場景1000,其中,用戶可以接收發(fā)送給多個不同電子郵件別名的電子郵件消息。在該示例中,桌面客戶機11 處的用戶105i使用瘦客戶機應(yīng)用程序302與依靠服務(wù)115互動,在該場景中該依靠服務(wù)115包括主持的電子郵件服務(wù)。用戶 IOS1請求訪問依靠服務(wù)115的一個特征(1010),該特征允許電子郵件消息定址給要統(tǒng)一檢索的多個不同的別名。依靠服務(wù)115將返回含有登錄鏈接的頁面(1020)。當用戶IOS1點擊該鏈接時, 重定向該用戶到身份和驗證服務(wù)122(1030)以代表依靠服務(wù)115執(zhí)行對該用戶IOS1的驗證。身份和驗證服務(wù)122呈現(xiàn)一個登錄對話框,通過該對話框,用戶IOS1用別名和密碼登錄(1040)。
10
身份和驗證服務(wù)122使用提供的別名和密碼來驗證該用戶IOS1,并將驗證令牌返回給客戶機(1050)。驗證令牌將包括加密形式的數(shù)據(jù),所述數(shù)據(jù)包括與別名相關(guān)聯(lián)的主帳號名、密碼和AUID。另外,驗證令牌將包含HasAliases (具有別名)字段。(注意,對于胖客戶機應(yīng)用程序306,HasAliases字段還被移入來自身份和驗證服務(wù)122的響應(yīng)的HTTP頭部)。該HasAliases字段包括指示對該別名的最后的改變的時間戳(例如創(chuàng)建別名、重命名別名、更新其屬性的時間等)。身份和驗證服務(wù)122重定向該用戶IOS1到依靠服務(wù)115(1060)。依靠服務(wù) 115可以從傳遞自客戶機的包括主帳號名的驗證令牌中提取數(shù)據(jù)。當依靠服務(wù)115從驗證令牌中讀取HasAliases字段時,它可以調(diào)用通過別名API 704(圖7)所展現(xiàn)的 GetAliasesForAccount 方法(1070)。身份和驗證服務(wù)122響應(yīng)于來自依靠服務(wù)的API調(diào)用返回用戶IOS1與主帳號名相關(guān)聯(lián)的一別名列表(1080)。隨后,依靠服務(wù)115可以將所有定址到各個電子郵件別名的電子郵件提供給用戶105^1090)。電子郵件別名可以由依靠服務(wù)115緩存,直到 HasAliases字段中的時間戳指示該別名已經(jīng)被改變。那時,依靠服務(wù)115可以做出另一個 GetAliasesR)rAccount調(diào)用以獲取經(jīng)更新的別名列表。圖11示出第四說明性使用場景1100,其中,可通過別名由其他用戶聯(lián)絡(luò)用戶。在運行瘦客戶機應(yīng)用程序302的膝上客戶機設(shè)備11 的用戶10 與在此場景中包括事件計劃服務(wù)的依靠服務(wù)115進行互動。用戶10 希望將對事件的邀請發(fā)送給另一用戶IOS1 (相應(yīng)地,出于使得描述清楚的目的,后面的用戶10 將被稱為“主機”,而用戶被稱為 “被邀請者”)該場景在主機與依靠服務(wù)115互動以創(chuàng)建定址到被邀請者的電子郵件別名的邀請時開始(1110)。依靠服務(wù)115調(diào)用GetAccountForAliases方法(1120),該方法通過別名API 704被展現(xiàn)并將在邀請中命名的電子郵件別名作為該方法的一個參數(shù)傳遞。身份和驗證服務(wù)122返回與被邀請者的電子郵件別名相關(guān)聯(lián)的主帳號名(1130)。然而,如果設(shè)置了電子郵件別名的IsPrivate屬性(指示被邀請者IOS1不希望展現(xiàn)下層帳號名給來自別名的查找),那么身份和驗證服務(wù)122將不會響應(yīng)于API調(diào)用返回主帳號名。假設(shè),別名沒有被設(shè)置為私有,依靠服務(wù)115將把邀請索引到從 GetAccounti^rAliases調(diào)用返回的主帳號名。例如通過電子郵件來給出通知,這樣,被邀請者可以登錄以獲得邀請(1140)。被邀請者可以點擊通知中的鏈接以被重定向到身份和驗證服務(wù)122(1150)并使用用戶主帳號名和密碼或別名和密碼來登錄(1160)。身份和驗證服務(wù)122使用提供的證書來驗證該被邀請者,并將驗證令牌返回給客戶機(1170)。驗證令牌將包括數(shù)據(jù),所述數(shù)據(jù)包括與別名相關(guān)聯(lián)的主帳號名、密碼和AUID。 身份和驗證服務(wù)122隨后重定向該用戶被邀請者到依靠服務(wù)115(1180)。隨后,依靠服務(wù) 115可以響應(yīng)于來自驗證令牌的數(shù)據(jù)提供事件邀請(1190)。在上述場景中,事件邀請被發(fā)送到被邀請者的電子郵件地址。在替換的場景中,如果事件邀請被發(fā)送給不是別名的電子郵件地址,那么所述通知可以為被邀請者提供一個將電子郵件地址作為登錄到使用主帳號名和密碼的服務(wù)時的經(jīng)證明的電子郵件別名加入的選項。盡管用結(jié)構(gòu)特征和/或方法動作專用的語言描述了本主題,但可以理解,所附權(quán)利要求書中定義的主題不必限于上述具體特征或動作。相反,上述具體特征和動作是作為實現(xiàn)權(quán)利要求的示例形式公開的。
權(quán)利要求
1.一種用于通過使用一個或多個別名(505)來向服務(wù)(122)標識用戶(105)的方法, 所述方法包括下述步驟使用別名數(shù)據(jù)模型G00),通過該別名數(shù)據(jù)模型將所述一個或多個別名(50 作為主帳號(512)的唯一的子身份來維護;展現(xiàn)用于操作所述一個或多個別名(505)的方法(700);以及當所述用戶(105)使用所述一個或多個別名(505)中的一個登錄到所述服務(wù)(122)時向所述主帳號(512)驗證該用戶(105)。
2.如權(quán)利要求1所述的方法,其特征在于,所展現(xiàn)的方法包括創(chuàng)建別名、刪除別名或重命名別名中的至少一個。
3.如權(quán)利要求1所述的方法,其特征在于,包括將一個或多個屬性與別名關(guān)聯(lián)的進一步的步驟。
4.如權(quán)利要求3所述的方法,其特征在于,所展現(xiàn)的方法包括更新與所述別名關(guān)聯(lián)的屬性。
5.如權(quán)利要求3所述的方法,其特征在于,與所述別名關(guān)聯(lián)的屬性提供下述至少一項 a)標識所述別名是否被證明,b)標識所述別名是否是私有的,c)標識所述別名的類型,或 d)提供所述別名的上下文。
6.如權(quán)利要求1所述的方法,其特征在于,所述別名數(shù)據(jù)模型允許從電子郵件地址、昵稱、玩家標簽或移動電話號碼之中選擇出所述一個或多個別名。
7.如權(quán)利要求1所述的方法,其特征在于,所述別名數(shù)據(jù)模型提供了與所述一個或多個別名的每個相關(guān)聯(lián)的固定的標識符。
8.一個或多個計算機可讀存儲媒體,包括由放置在電子設(shè)備上的一個或多個處理器執(zhí)行時履行一種用于操作API (704)的方法的指令,所述方法包括下述步驟配置所述API (704)來向調(diào)用者(710、714)展現(xiàn)用于操作與主帳號(512)相關(guān)聯(lián)的別名(505)的方法(700),所述別名(505)在別名數(shù)據(jù)模型(400)下作為所述主帳號(512)的子身份被安排;在API (704)處接收請求與所述主帳號(512)相關(guān)聯(lián)的別名列表(1070);以及將所述別名列表響應(yīng)地返回給所述調(diào)用者(1080)。
9.如權(quán)利要求8所述的一個或多個計算機可讀存儲媒體,其特征在于,所述調(diào)用者是依靠服務(wù),所述依靠服務(wù)被安排為依靠用于下述項的API方法a)使用別名驗證所述依靠服務(wù)的用戶,b)接收與所述主帳號相關(guān)聯(lián)的別名列表,或c)接收與別名相關(guān)聯(lián)的主帳號的標識。
10.如權(quán)利要求8所述的一個或多個計算機可讀存儲媒體,其特征在于,所述數(shù)據(jù)模型進一步提供了所述別名是唯一的并使用固定的標識符來標識。
11.如權(quán)利要求8所述的一個或多個計算機可讀存儲媒體,其特征在于,所述數(shù)據(jù)模型進一步提供了所述別名具有一個或多個相關(guān)聯(lián)的屬性,這些屬性提供了下述至少一項a) 標識所述別名是否被證明,b)標識所述別名是否是私有的,c)標識所述別名的類型,或d) 提供所述別名的上下文。
12.如權(quán)利要求11所述的一個或多個計算機可讀存儲媒體,其特征在于,所述方法還包括下述步驟在API接收請求與別名相關(guān)聯(lián)的所述主帳號的調(diào)用,并且如果所述一個或多個屬性沒有指示該別名是私有的,則將所述主帳號的標識返回給所述調(diào)用者。
13.如權(quán)利要求11所述的一個或多個計算機可讀存儲媒體,其特征在于,所述方法進一步包括包含下述至少一項的步驟a)響應(yīng)于對創(chuàng)建別名的API的調(diào)用來創(chuàng)建所述別名, b)響應(yīng)于對刪除別名的API的調(diào)用來刪除所述別名,c)響應(yīng)于對重命名別名的API的調(diào)用來重命名所述別名,或d)改變與別名相關(guān)聯(lián)的所述屬性。
14.如權(quán)利要求13所述的一個或多個計算機可讀存儲媒體,其特征在于,如果當創(chuàng)建所述別名時提供了驗證令牌,則將所述別名作為經(jīng)證明的別名來創(chuàng)建。
15.如權(quán)利要求14所述的一個或多個計算機可讀存儲媒體,其特征在于,所述驗證令牌進一步包括下述數(shù)據(jù)a)指示所述主帳號具有一個或多個關(guān)聯(lián)的別名的數(shù)據(jù),以及b)包括指示別名最后被改變的時間的時間戳的數(shù)據(jù)。
全文摘要
一種身份和驗證平臺(122)利用了一種數(shù)據(jù)模型(400),該數(shù)據(jù)模型能夠?qū)⒍鄠€身份例如電子郵件地址、移動電話號碼、昵稱、游戲ID和其他用戶ID用作別名(505),所述別名是一個主帳號名(512)的唯一的子身份。用戶(105)可以使用平臺(122)所支持的別名(505)來使用主帳號(512)的驗證證書設(shè)計多個不同的在線身份。該平臺(122)進一步被配置為將所述別名(505)展現(xiàn)給各個客戶機應(yīng)用程序和因特網(wǎng)可訪問的站點與服務(wù)(206),例如電子郵件、即時消息、媒體共享、游戲和社交網(wǎng)絡(luò)等等,以便能夠?qū)崿F(xiàn)各種使用別名(505)的使用場景。
文檔編號G06Q20/00GK102171712SQ200980139829
公開日2011年8月31日 申請日期2009年9月18日 優(yōu)先權(quán)日2008年10月3日
發(fā)明者L·C·艾爾斯, N·馬哈帕特洛, R·陳, W-Q·M·郭 申請人:微軟公司