開的系統(tǒng)和方法的特定實(shí)施例的系統(tǒng)700。系統(tǒng)700可以例如包括膝上型計(jì)算機(jī)系統(tǒng)、臺(tái)式計(jì)算機(jī)系統(tǒng)、服務(wù)器計(jì)算機(jī)系統(tǒng)、移動(dòng)設(shè)備(諸如智能電話或平板)、游戲系統(tǒng)、ATM、家用電器和/或被配置為實(shí)現(xiàn)在此所描述的系統(tǒng)和方法的任何其它的系統(tǒng)或設(shè)備。在特定實(shí)施例中，系統(tǒng)700可以執(zhí)行與鑒權(quán)服務(wù)系統(tǒng)或其它受信任的鑒權(quán)方、服務(wù)提供商系統(tǒng)、客戶機(jī)設(shè)備和/或在此所公開的任何其它的系統(tǒng)關(guān)聯(lián)的特定功能。
[0061]如圖7中圖解那樣，系統(tǒng)700可以包括:處理器702 ;系統(tǒng)存儲(chǔ)器704，其可以包括高速RAM、非易失性存儲(chǔ)器和/或一個(gè)或多個(gè)體非易失性計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(例如硬盤、閃速存儲(chǔ)器等)，以用于存儲(chǔ)用于由處理器702使用并且執(zhí)行的程序和其它數(shù)據(jù)；用戶界面714 (例如輸入/輸出界面)，其可以包括顯示器和/或一個(gè)或多個(gè)輸入設(shè)備(諸如例如觸摸屏、鍵盤、鼠標(biāo)、和/或追蹤面板等)；端口 706，用于與可以包括一個(gè)多個(gè)磁盤、光存儲(chǔ)介質(zhì)和/或其它計(jì)算機(jī)可讀介質(zhì)(例如閃速存儲(chǔ)器、拇指驅(qū)動(dòng)器(thumb drive)、USB保護(hù)鎖、壓縮盤、DVD等)的可移除存儲(chǔ)器708進(jìn)行接口 ；網(wǎng)絡(luò)接口 710，用于使用一種或多種通信技術(shù)經(jīng)由網(wǎng)絡(luò)712與其它系統(tǒng)進(jìn)行通信；以及一個(gè)或多個(gè)總線718，用于通信地耦合前面提到的元件。
[0062]在特定實(shí)施例中，網(wǎng)絡(luò)712可以包括互聯(lián)網(wǎng)、局域網(wǎng)、虛擬專用網(wǎng)絡(luò)和/或利用一種或多種電子通信技術(shù)和/或標(biāo)準(zhǔn)的任何其它的通信網(wǎng)絡(luò)(例如以太網(wǎng)等)。在一些實(shí)施例中，網(wǎng)絡(luò)接口 710和/或網(wǎng)絡(luò)712可以是無線載波系統(tǒng)(諸如PCS)和/或合并任何合適的通信標(biāo)準(zhǔn)和/或協(xié)議的任何其它的合適的通信系統(tǒng)的部分。在進(jìn)一步的實(shí)施例中，網(wǎng)絡(luò)接口 710和/或網(wǎng)絡(luò)712可以是模擬移動(dòng)通信網(wǎng)絡(luò)和/或利用例如CDMA標(biāo)準(zhǔn)、GSM標(biāo)準(zhǔn)、FDMA標(biāo)準(zhǔn)和/或TDMA標(biāo)準(zhǔn)的數(shù)字移動(dòng)通信網(wǎng)絡(luò)。在又一進(jìn)一步的實(shí)施例中，網(wǎng)絡(luò)接口 710和/或網(wǎng)絡(luò)712可以合并一個(gè)或多個(gè)衛(wèi)星通信鏈路，和/或利用IEEE的802.11標(biāo)準(zhǔn)、近場(chǎng)通信、藍(lán)牙' UWB、Zigbee?和/或任何其它合適的一種或多種技術(shù)。
[0063]在一些實(shí)施例中，系統(tǒng)700可以替換地或附加地包括SPU 716，SPU 716通過利用安全物理技術(shù)和/或虛擬安全性技術(shù)而被保護(hù)以免遭系統(tǒng)700或其它實(shí)體的用戶篡改。SPU716可以有助于增強(qiáng)并且/或者促進(jìn)敏感操作(諸如安全密鑰的私人管理和/或使用和/或在此所公開的系統(tǒng)和方法的其它方面)的安全性。在特定實(shí)施例中，SPU 716可以在邏輯上安全的處理域中操作，并且可以被配置為保護(hù)秘密信息并且對(duì)其進(jìn)行操作。在一些實(shí)施例中，SPU 716可以包括內(nèi)部存儲(chǔ)器，內(nèi)部存儲(chǔ)器存儲(chǔ)被配置為使得SPU 716能夠執(zhí)行安全操作的可執(zhí)行指令或程序。
[0064]—般可以通過憑借執(zhí)行系統(tǒng)存儲(chǔ)器704(和/或其它計(jì)算機(jī)可讀介質(zhì)(諸如可移除存儲(chǔ)器708))中所存儲(chǔ)的軟件指令和程序進(jìn)行操作的處理器702來控制系統(tǒng)700的操作。系統(tǒng)存儲(chǔ)器704可以存儲(chǔ)用于控制系統(tǒng)700的操作的各種可執(zhí)行程序或模塊。例如，系統(tǒng)存儲(chǔ)器704可以包括:操作系統(tǒng)(“0S”)720，其可以至少部分地管理并且協(xié)調(diào)系統(tǒng)硬件資源并且為各種應(yīng)用的執(zhí)行提供公共服務(wù)；以及信任和隱私管理系統(tǒng)722，用于實(shí)現(xiàn)包括(包括安全密鑰的)秘密信息的保護(hù)和/或管理的信任和隱私管理功能。在并非限制的情況下，系統(tǒng)存儲(chǔ)器704可以進(jìn)一步包括:通信軟件724，被配置為至少部分地使能與系統(tǒng)700的通信以及由系統(tǒng)700進(jìn)行的通信；應(yīng)用726 (例如個(gè)性化應(yīng)用、鑒權(quán)令牌生成應(yīng)用等)；鑒權(quán)服務(wù)應(yīng)用728，被配置為執(zhí)行如在此所公開的安全令牌鑒權(quán)操作；安全密鑰盒730，被配置為保護(hù)安全密鑰以及使用其所執(zhí)行的計(jì)算(例如密碼化計(jì)算);和/或任何其它信息和/或應(yīng)用，被配置為實(shí)現(xiàn)在此所公開的系統(tǒng)和方法的實(shí)施例。
[0065]本領(lǐng)域的一個(gè)普通技術(shù)人員將領(lǐng)會(huì)的是，可以利用與圖7中圖解的計(jì)算設(shè)備相似或相同的計(jì)算設(shè)備或?qū)嵸|(zhì)上利用任何其它的合適的計(jì)算設(shè)備(包括不具有圖7中示出的一些組件的計(jì)算設(shè)備和/或具有未示出的其它組件的計(jì)算設(shè)備)來實(shí)踐在此所描述的系統(tǒng)和方法。因此，應(yīng)當(dāng)領(lǐng)會(huì)的是，為了圖解而不是進(jìn)行限制的目的而提供圖7。
[0066]在此所公開的系統(tǒng)和方法并非固有地與任何特定的計(jì)算機(jī)、電子控制單元或其它裝置有關(guān)，并且可以由硬件、軟件和/或固件的合適組合而來實(shí)現(xiàn)。軟件實(shí)現(xiàn)可以包括一個(gè)或多個(gè)計(jì)算機(jī)程序，一個(gè)或多個(gè)計(jì)算機(jī)程序包括當(dāng)由處理器或虛擬機(jī)執(zhí)行或解釋時(shí)可以引起計(jì)算機(jī)系統(tǒng)執(zhí)行至少部分地由可執(zhí)行指令限定的方法的代碼/指令。可以以任何形式的編程語言(包括被編譯或被解釋的語言)來寫計(jì)算機(jī)程序，并且可以以任何形式(包括作為單機(jī)程序或作為模塊、組件、子例程或適合用于在計(jì)算環(huán)境中使用的其它單元)來部署計(jì)算機(jī)程序。進(jìn)一步地，計(jì)算機(jī)程序可以被部署為要在處在一個(gè)地點(diǎn)處的或跨多個(gè)地點(diǎn)而分布并且由通信網(wǎng)絡(luò)互連的一臺(tái)計(jì)算機(jī)或多臺(tái)計(jì)算機(jī)上被執(zhí)行。軟件實(shí)施例可以被實(shí)現(xiàn)為包括被配置為存儲(chǔ)當(dāng)由處理器執(zhí)行時(shí)被配置為引起處理器根據(jù)指令執(zhí)行方法的計(jì)算機(jī)程序和指令的非暫態(tài)存儲(chǔ)介質(zhì)的計(jì)算機(jī)程序產(chǎn)品。在特定實(shí)施例中，非暫態(tài)存儲(chǔ)介質(zhì)可以采取能夠在非暫態(tài)存儲(chǔ)介質(zhì)上存儲(chǔ)處理器可讀指令的任何形式?？梢砸匀魏魏线m的形式來體現(xiàn)非暫態(tài)存儲(chǔ)介質(zhì)，在并非限制的情況下包括壓縮盤、數(shù)字視頻盤、磁帶、磁盤、閃速存儲(chǔ)器、集成電路和/或任何其它的非暫態(tài)存儲(chǔ)器。
[0067]雖然已經(jīng)為了清楚的目的而稍許詳細(xì)地描述了前述情況，但將明顯的是，可以在不脫離其原理的情況下作出特定改變和修改。應(yīng)注意的是，存在實(shí)現(xiàn)在此所描述的系統(tǒng)和方法這兩者的很多替換方式。相應(yīng)地，當(dāng)前的實(shí)施例要被看作是說明性的而非約束的，并且本發(fā)明不被限制于在此所給出的細(xì)節(jié)，而是可以在所附權(quán)利要求的范圍及等同物內(nèi)被修改。
【主權(quán)項(xiàng)】
1.一種由用于對(duì)用戶的訪問被管理的資源的權(quán)利進(jìn)行鑒權(quán)的系統(tǒng)執(zhí)行的方法，所述方法包括: 從與被管理的資源關(guān)聯(lián)的服務(wù)提供商系統(tǒng)接收由用戶提供給所述服務(wù)提供商系統(tǒng)的鑒權(quán)證書，所述鑒權(quán)證書包括由與所述用戶關(guān)聯(lián)的客戶機(jī)設(shè)備生成的第一安全令牌； 基于所述鑒權(quán)證書而重獲第一安全密鑰； 基于所述第一安全密鑰而生成第二安全令牌； 對(duì)所述第一安全令牌與所述第二安全令牌進(jìn)行比較； 基于所述比較的結(jié)果而生成鑒權(quán)結(jié)果；以及 將所述鑒權(quán)結(jié)果傳輸?shù)剿龇?wù)提供商系統(tǒng)。2.如權(quán)利要求1所述的方法，其中，所述方法進(jìn)一步包括: 基于所述比較的結(jié)果而確定所述第一安全令牌匹配所述第二安全令牌；以及 其中，所述鑒權(quán)結(jié)果包括第一安全令牌有效的指示。3.如權(quán)利要求1所述的方法，其中，所述方法進(jìn)一步包括: 基于所述比較的結(jié)果而確定所述第一安全令牌不匹配所述第二安全令牌；以及 其中，所述鑒權(quán)結(jié)果包括第一安全令牌無效的指示。4.如權(quán)利要求1所述的方法，其中，生成所述第二安全令牌包括: 基于所述第一安全密鑰以及對(duì)于所述系統(tǒng)和所述客戶機(jī)設(shè)備公用的其它信息而執(zhí)行計(jì)算。5.如權(quán)利要求4所述的方法，其中，所述計(jì)算包括密碼化散列計(jì)算。6.如權(quán)利要求4所述的方法，其中，所述計(jì)算包括基于時(shí)間的單次密碼(“TOTP”)計(jì)算。7.如權(quán)利要求4所述的方法，其中，所述計(jì)算包括基于HMAC的單次密碼(“HOTP”)計(jì)笪并ο8.如權(quán)利要求4所述的方法，其中，所述其它信息包括由時(shí)鐘提供的值。9.如權(quán)利要求4所述的方法，其中，所述其它信息包括由計(jì)數(shù)器提供的值。10.如權(quán)利要求1所述的方法，其中，對(duì)所述第一安全令牌與所述第二安全令牌進(jìn)行比較包括:確定所述第一安全令牌和所述第二安全令牌這兩者是在特定時(shí)間段內(nèi)生成的。11.如權(quán)利要求1所述的方法，其中，所述被管理的資源包括在線服務(wù)。
【專利摘要】描述了用于安全用戶鑒權(quán)的系統(tǒng)和方法。在特定實(shí)施例中，客戶機(jī)設(shè)備（諸如智能電話）可以配備有安全密鑰和/或其它秘密信息。所述客戶機(jī)設(shè)備可以被用于生成被與鑒權(quán)處理有關(guān)地使用的獨(dú)特的安全令牌和/或其它證書。用戶可以與用于訪問被管理的服務(wù)的請(qǐng)求有關(guān)地將所生成的令牌和/或其它證書提供給服務(wù)提供商。可以由與所述服務(wù)提供商通信的鑒權(quán)服務(wù)來驗(yàn)證所生成的令牌和/或其它證書的有效性。
【IPC分類】H04L9/32, H04L9/30
【公開號(hào)】CN105379177
【申請(qǐng)?zhí)枴緾N201480041639
【發(fā)明人】楊鵬, 龔家華, 黃啟泰
【申請(qǐng)人】英特托拉斯技術(shù)公司
【公開日】2016年3月2日
【申請(qǐng)日】2014年5月23日
【公告號(hào)】EP3000200A2, EP3000200A4, US20140351911, WO2015023341A2, WO2015023341A3