[发明专利]基于硬件的证书分发

说明书

背景技术

证书(credential)允许服务在提供资源或者与客户端共享数据之前认证客户端。服务通常将可验证的证书分发给客户端以允许客户端通过网络访问资源或者数据。然而，证书不是无限的，并且只应该被分发给该服务的真实用户。随意分发证书会导致非法使用服务或中断服务，诸如恶意实体的拒绝服务攻击。

为了限制证书的分发，许多服务依靠人力验证方法。当服务被访问时，这些人力验证方法使用登录(login)、密码和/或质询响应测试(challenge response test)来验证客户端的身份。虽然这些人力验证方法有助于将证书分发限制到与人类用户关联的客户端，但是它们损害了用户的计算体验。

发明概述

本文档描述了基于硬件配置文件（hardware profile）分发证书的各种技术。这些技术可以通过将请求实体的硬件配置文件与和请求实体关联的在先硬件配置文件相匹配而验证对资源的请求。一旦通过验证，这些技术分发用于访问资源的证书。通过这样做，这些技术保护资源免受非法使用或攻击，并且不会损害用户的计算体验。

提供本概述以便按照简化的方式介绍概念的选择，所述概念在下面的具体实施方式中被进一步描述。本概述其意不在确定所要求的主题的关键或必要特征，也不在被用作帮助确定所要求的主题的范围。

附图说明

参考附图进行详细的描述。在图中，附图标记最左边的数字标识该附图标记首次出现的图。在具体实施方式和附图的不同实例中，相同附图标记可以指示类似的或相同的项目。

图1图示了可以执行这些技术的示例环境。

图2更详细地图示了图1的示例计算设备。

图3是流程图，描述了使用基于硬件配置文件分发的证书来访问资源的示例过程。

图4是流程图，描述了用于基于硬件配置文件分发证书的示例过程。

图5是流程图，描述了用于基于请求有效性的指示而授权访问资源的示例过程。

具体实施方式

概述

本文档描述了基于硬件配置文件分发证书的各种技术。通过放弃登录、密码和/或响应质询，这些技术能够改善用户的计算经验，尽管为了附加的安全性，这些技术能够与人力验证方法结合使用。

示例环境

图1是示例环境100的图示，该示例环境100具有计算设备102、服务器104和通信网络106，其中计算设备102和服务器104可以通过通信网络106通信。通常，计算设备102通过通信网络106请求访问服务器104的资源。在一些实施方式中，在计算设备102和服务器104之间建立通信网络106上的安全通信信道，以提供资源和/或交换可信数据。

计算设备102能够是有能力通过网络（例如，通信网络106）通信，访问服务资源和交换可信数据的任意设备。通过示例而非限制的方式，计算设备102被图示为智能手机108、膝上型计算机110、机顶盒112、桌面计算机114或平板计算机116中的一个。通信网络106可以包括任何合适的网络，诸如互联网、局域网、广域网、无线网络、个人区域网、拨号网络和/或USB总线，诸如此类。

服务器104可以是具有资源和/或提供(host)用于管理资源（诸如对象、数据、功能性等等）的服务的任意计算设备。在与请求访问资源的客户端共享资源之前，服务器104的服务要求认证客户端。在一些情况中，认证可以与计算设备102直接进行或者通过与服务器104和计算设备102两者关联的第三方（未示出）代理。服务器104的资源通常通过统一资源定位符（URL）或统一资源标识符（URI）来引用(reference)。URL或URI被诸如计算设备102之类的客户端用来发起资源访问。在其它情况中，可以通过以扩展标记语言（XML）形式的抽象域（abstract domain）（诸如命名空间）来引用资源。

图2更详细地图示了图1的示例计算设备102。计算设备102包括（一个或多个）处理器202、计算机可读介质（CRM）204和网络接口206。网络接口206允许计算设备102通过通信网络106通信并且可以包括唯一的介质访问控制（MAC）地址（未示出）。计算机可读介质204包含存储器介质208、存储介质210和资源访问管理器212，其作为下面讨论的处理过程的一部分被描述。