[发明专利]服务访问控制

说明书

技术领域

本发明涉及身份（identity）管理和服务访问控制领域。

背景技术

许多服务提供商要求在许可对应用（application）的访问之前以某种方式来识别用户。已经开发了用于在用户设备处识别用户的多种机制。许多识别方案要求在用户设备处使用特殊硬件，诸如智能卡读取器或指纹读取器。智能卡和指纹读取器两者都要求在用户设备处安装相关读取器；因此，此类机构不是容易携带的，且因此常常具有设备依赖性。另一已知识别方案利用可信平台模块(TPM），其除了所需的软件之外还需要在最终用户设备处提供附加芯片。再次地，附加硬件要求导致TPM通常具有设备依赖性。

用于识别用户的许多其它机制要求用户向表格中输入数据。例如，可能要求用户输入用户名/口令对或一次性密钥。在某些情况下，由对照活动目录（active directory）或半径服务器（radius server）的HTTP-Digest来识别用户。通常，由正在被访问的应用来控制用户访问。如果用户想要注册新的服务，则必须配置新的服务；例如，通过设置新的用户访问权限。最终用户必要地参与授权和/或认证过程。因此，需要配置并维护最终设备，并且如果用户使用不同的最终设备，则通常需要重复该程序。

在某些识别方案中，最终用户设备不仅参与用户识别程序，而且保持某些或全部的用户访问许可数据。如果在不同的用户之间共享用户设备（因为其例如在因特网咖啡屋中），则这尤其有问题，因为其开启了这样的可能性，即设备的稍后用户可能能够访问获得对受限应用的访问所需的信息。

用户证书在用户设备上的存储有时被用来帮助用户访问安全服务。举例来说，HTTP cookies（信息记录程序）能够被本地地存储以向已经被用户之前访问的服务器识别用户。然而，虽然此类方法对于用户而言可能是方便的，但是其还可能代表着安全风险，因为稍后的用户可能能够获得对先前用户的证书的访问。此外，由用户输入以获得对应用的访问的信息可能被诸如特洛伊木马之类的恶意软件所记录，这再次地可能使得另一用户能够获得对另一用户的用户证书的访问。

发明内容

本发明设法解决上述的至少某些问题。

根据本发明的一方面，提供了一种装置（诸如身份棒（identity stick）），其包括：控制器；第一接口，适合于使得控制器能够与用户设备通信（例如，以便获得关于将被访问的应用的指令和/或获得第一用户信息）；第二接口，适合于使得控制器能够与身份管理系统通信以便获得用于所述应用的用户特定属性；以及第三接口，适合于使得控制器能够依照用户特定属性与所述应用通信。因此，所述装置不要求向用户设备提供从身份管理系统获得的用户特定属性。在本发明的某些形式中，所述装置的特定单个接口可以实现上文所述的接口中的不止一个。例如，单个接口可以提供第二接口（与IDM通信）和第三接口（与应用通信）。

在本发明的某些形式中，所述第一接口适合于接收关于将被访问的应用的指令。所述应用的标识可以在获得用于该应用的用户特定属性时被第二接口使用。在本发明的某些形式中，第一接口适合于从用户设备接收第一用户识别信息。当获得用于本发明的用户特定属性时，可以使用第一用户识别信息。

根据本发明的另一方面，提供了一种方法，包括：从用户设备接收对访问应用的请求，在第二设备处接收该请求；使用第二设备来从身份管理系统获得用于所述应用的用户特定属性（例如，通过使用第一用户识别信息和/或应用信息）；以及依照用户特定属性使用第二设备来访问所述应用。因此，不需要向用户设备提供用于相关应用的用户特定属性，从而改善了安全性。

所述第二设备可以被可去除地连接到用户设备。所述第二设备可以被在物理上连接到用户设备，例如使用诸如USB连接之类的连接。可替换地，所述第二设备可以经由无线连接被连接到用户设备。

根据本发明的另一方面，提供了一种设备（诸如身份棒），其包括：用于从用户设备接收对访问应用的请求的器件（means）；用于从身份管理系统获得用于所述应用的用户特定属性的器件；以及用于依照用户特定属性来访问所述应用的器件。因此，不需要向用户设备提供所述用户特定属性，从而改善安全性。本发明的装置可以是可去除地连接到用户设备。在本发明的某些实施例中，可以将本发明的某些元件组合。例如，可以由单个硬件或软件元件来提供用于从用户设备接收请求的器件和用于获得第一用户识别信息的器件。