[发明专利]用户认证框架

权利要求书

1.一种非暂态计算机可读介质，其中存储有程序指令，所述程序指令由计算设备可执行以执行包括以下项的操作：

存储指示所述计算设备安全执行用户认证的能力的第一已签名证实；

接收存储由签发机关签发给用户的用于建立所述用户的身份的身份识别文档的凭证信息的请求；

响应于所述请求，向所述签发机关发送存储所述凭证信息的请求，其中所发送的请求包括所述第一已签名证实，以指示在允许访问所述凭证信息之前执行用户认证的能力；以及

响应于基于所述第一已签名证实对所发送的请求的批准，将所述凭证信息存储在所述计算设备的安全元件中。

2.根据权利要求1所述的计算机可读介质，其中所述操作还包括：

从尝试验证所述计算设备的用户的身份的验证系统接收对所述凭证信息的请求；

响应于所述对凭证信息的请求，执行对所述计算设备的所述用户的认证；以及

基于所执行的认证，将所请求的凭证信息从所述安全元件提供给所述验证系统。

3.根据权利要求2所述的计算机可读介质，其中所述操作还包括：

响应于发送所述存储凭证信息的请求，从所述签发机关接收第二已签名证实，其中所述第二已签名证实包括所述凭证信息的已签名副本和识别基于所述第一已签名证实确定的所述计算设备的可信度等级的指示；以及

向所述验证系统提供所述第二已签名证实。

4.根据权利要求3所述的计算机可读介质，其中所述操作还包括：

响应于接收到所述存储凭证信息的请求，所述计算设备的所述安全元件生成具有公钥和私钥的公共密钥对；

将所述公钥包括在发送给所述签发机关的所述请求中，其中所述签发机关可操作为将所述公钥包括在所述第二已签名证实中；以及

使用所述私钥与所述验证系统执行质询-响应交换。

5.根据权利要求1所述的计算机可读介质，其中所述操作还包括：

使用生物特征传感器执行生物特征认证，并且其中所述第一已签名证实指示所述计算设备执行所述生物特征认证的能力。

6.根据权利要求1所述的计算机可读介质，其中所述操作还包括：

存储与所述计算设备安全执行用户认证的能力相关联的密钥；

向服务器计算系统发送对所述第一已签名证实的请求，其中所述对所述第一已签名证实的请求包括使用所存储的密钥生成的签名；以及

响应于对所述签名的成功验证，从所述服务器计算系统接收所述第一已签名证实。

7.根据权利要求6所述的计算机可读介质，其中所述服务器计算系统由所述计算设备的制造商操作。

8.根据权利要求6所述的计算机可读介质，其中在所述计算设备的制造期间在所述计算设备中提供所述密钥。

9.根据权利要求1所述的计算机可读介质，其中所述操作还包括：

通过使用所述计算设备的相机捕获所述身份文档的图像来读取所述凭证信息的一部分；以及

将所述凭证信息的所述一部分包括在发送给所述签发机关的所述请求中。

10.根据权利要求1所述的计算机可读介质，其中所述操作还包括：

通过使用所述计算设备的近程无线电部件从嵌入所述身份文档中的电路读取所述凭证信息的一部分。

11.一种方法，所述方法包括：

由计算系统接收批准将凭证信息存储在计算设备中的请求，其中所述凭证信息是由签发机关签发给用户的用于建立所述用户的身份的身份识别文档；

由所述计算系统验证与所述请求一起接收的第一已签名证实，其中所述第一已签名证实指示在允许访问所述凭证信息之前所述计算设备执行用户认证的能力；以及

基于所述验证，由所述计算系统向所述计算设备签发对授权所述计算设备将所述凭证信息存储在所述计算设备的安全元件中的批准。