[发明专利]通过独立端点解析来获得数字身份或令牌

说明书

背景

1.背景和相关技术

常规计算机系统现在通常用于各种目的，无论是出于生产力、娱乐还是其他目的。其原因之一是，计算机系统往往通过任务自动化以及使得某些类型的交易更高效来增加效率。例如，过去某些类型的交易可能会花费用户几小时或几天来完成。特别地，如果用户要进行银行存款、银行转帐、或甚至在商店中购买物品，用户可能需要物理上行进到该银行或商店位置，以便验证用户的身份并呈现用于交易的指令。在验证了用户的身份后，银行或商店可随后发起并确认所请求的交易。在该场景中，银行或商店可以被认为是“依赖方”，该“依赖方”依赖于作为“身份提供者”的用户所提供的当面身份。

然而，最近自动化(或计算机化)机制已经将这些类型的交易简化到几秒钟或几分钟。特别地，诸如上述的交易由于允许用户从远程位置执行交易的自动化终端的出现而变得越来越高效和复杂。然而，自动化终端在提供接入服务之前允许用户满足多个质询和响应场景，而不是依赖当面身份验证。例如，用户可能需要呈现账户卡和个人识别号，该账户卡和个人识别号是先前在建立用户与依赖方之间的信任关系时从依赖方接收的。

如同自动化终端一样，最近的基于因特网的依赖方也请求最终用户建立某种信任关系，这通常通过要求用户提供某些可验证个人信息(例如，姓名、地址、生日等)来进行。依赖方还可要求用户呈现其他第三方验证信息，诸如信用卡信息、驾驶执照信息、或社会保险卡信息。在这些类型的情况下，依赖方不仅依赖于用户的自验证信息，而且还依赖于依赖方已与其建立信任关系的其他方(例如，信用卡公司，或政府实体)的验证。由此，当用户随后访问依赖方的服务时，依赖方可要求用户呈现先前交换的部分或全部个人和第三方信息。

由于效率增益通常是通过在线交易来提供的，因此数量愈趋增长的实体以此方式提供服务，并且用户对使用此方式的需求也在增长。然而，在线交易的增长产生了另一组问题。即，用户现在经常有大量并且数量增长的不同在线帐户需要他们跟踪和维护。特别是在用户向每个不同的依赖方提供不同的验证信息的情况下，用户可能需要记住或能够访问数量增长的不同的用户名、口令、以及潜在的其他验证信息。

一些常规机制试图通过实现“联合”身份验证系统来缓解其中一些问题。在联合系统中，单独的身份提供者维护数据，该数据可用于为用户在各种依赖方处的许多不同帐户生成一个或多个安全令牌。一般而言，“安全令牌”是身份提供者用以向依赖方断言用户身份的手段。为了使安全令牌可在许多不同的依赖方之间移植，这种类型的身份提供者将需要与用户想访问的每个不同的依赖方建立信任关系。

由此，当用户期望访问依赖方处的特定服务时，用户可联系身份提供者，向身份提供者验证自己，并且从身份提供者获得令牌。然后用户可向依赖方呈现来自身份提供者的令牌，该令牌包含某些有关用户和/或用户客户机系统的声明(以及一些有关身份提供者的信息)。由于依赖方信任身份提供者和用户，所以依赖方可使用所提供的信息来确认令牌，并且如果令牌得到确认，则依赖方向用户提供对各种所请求的服务或交易的访问权。

由于一些依赖方可以仅信任某些身份提供者，或可以仅具有与某些身份提供者建立的信任关系，因此用户也可以具有与多个不同的身份提供者所建立的账户。在常规系统中，用户维护或存储可在每个身份提供者处使用的一个或多个身份表示以获得安全令牌。存储在用户的客户计算机系统处的身份选择服务进而可管理和标识什么身份表示应用于任何给定身份提供者。

例如，用户可能需要对一个特定的身份提供者使用一个数字身份表示，来发放用于一个特定依赖方的令牌。用户然后可在同一(或不同)身份提供者处使用另一个数字身份表示来获得该依赖方处(或另一依赖方处)的另一些令牌。身份选择服务由此向适当的身份提供者提供适当的一个或多个数字身份表示。

一般而言，当用户已经与所需身份提供者建立信任关系时，上述联合系统往往工作良好。然而，在一些情况下，用户可遇到接受来自用户(或客户机系统)尚未与其建立信任关系的身份提供者的令牌的依赖方。尽管用户可经历与特定的身份提供者建立关系的过程，但用户仍需要能够标识身份提供者的姓名和位置。然而，提供有关身份提供者的名称和位置的信息可涉及多个安全风险。

例如，如果建立上述场景以便依赖方自动将客户机系统定向到特定的身份提供者，则用户会冒“网络钓鱼”攻击的风险。特别地，用户相信其为合法的恶意依赖方可自动将用户定向到恶意身份提供者。当用户试图与恶意身份提供者建立身份表示时，该身份提供者可简单地窃取该用户的身份并且利用该用户。该身份提供者甚至可提供用于访问该恶意依赖方的令牌，并且由此保持出现一段延长的时间。