身份断言

摘要

本发明涉及使用由断言代理提供的授权信息来控制接收代理和身份代理之间的身份相关交互，所述身份代理代表断言代理而起作用。授权信息可以直接或通过接收代理被提供给身份代理。当断言代理向接收代理断言相关联实体的身份时，断言代理向接收代理递送断言信息，所述断言信息可以但无需包括授权信息。断言信息包括声明信息，所述声明信息包括实际声明或标识可用声明。当接收到断言信息时，接收代理可以与身份代理交互。身份代理将使用授权信息来控制与接收代理的声明相关交互。

说明书

本申请要求于2007年6月4日提交的美国临时申请(序列号60/941,724)的权益，并将其全部内容合并于此作为参考。

技术领域

本发明涉及实体的身份(identity)，具体地涉及控制对实体身份的断言(assertion)。

背景技术

诸如个人、系统或对象之类的实体的身份涉及对于个人、系统或对象而言独一无二的属性或信息。实体的身份通常是通过从诸如本地、州、和联邦政府之类的任意数量的身份权力机构(authority)提供的信息来保持的。诸如金融机构之类的其他机构可以具有对于特定实体而言唯一的类似信息，并且可以有助于标识特定实体。无论身份信息是如何创建的或谁创建了身份信息，保护身份信息并使其不会落入错误的人的手中变得愈加重要。因特网和电子商务的演进需要愈加频繁地交换易受攻击的身份信息。当身份信息落入错误的人的手中时，身份窃贼能够轻易地步入另一人的身份，并在我们的电子社会中为所欲为。

给定当身份被窃时可能发生的损害以及恢复被窃身份的难度，持久地需要用于保护实体身份、并使实体能够充分参与我们的电子社会的技术。具体而言，需要避免在经常丢失从而使有价值的身份信息轻易被得到的便携电子设备上保持大量身份信息。还需要最小化或限制与通信会话或电子交易相关联地通过因特网或类似通信网络传输的身份信息量。

发明内容

本发明涉及使用由断言代理(asserting agent)提供的授权信息来控制接收代理和身份代理之间的身份相关交互，所述身份代理代表断言代理而起作用。授权信息可以直接或通过接收代理被提供给身份代理。当断言代理向接收代理断言相关联实体的身份时，断言代理向接收代理递送断言信息，所述断言信息可以但无需包括授权信息。断言信息包括与一个或多个声明(claim)相关的声明信息，所述声明信息定义了实体的属性或关于实体的事实，并且涉及实体身份以及与实体相关联的唯一(unique)信息。声明信息可以包括实际声明或标识可用声明。当接收到断言信息时，接收代理可以与身份代理交互。在一个实施例中，接收代理与身份代理交互，以验证与实体相关联的特定声明。在另一实施例中，接收代理向身份代理请求与实体相关联的声明。身份代理将使用授权信息来控制与接收代理的声明相关交互。

授权信息可以根据不同的准则限制身份代理与接收代理交互的能力。授权信息可以限制与接收代理的交互次数，或在特定时间段内授权交互。例如，授权信息可以仅允许身份代理和接收代理之间的一次交互，其中，给定交互可能需要身份代理和接收代理之间的多次交换，以促进交互。可替换地，授权信息可以仅允许在到期前24小时时段内进行这样的交互或者允许针对断言代理和接收代理之间的给定会话的任意交互。

授权信息可以仅允许给定上下文(context)内的交互。这样一来，身份代理和接收代理之间的交互可以被限制于给定目的，或与断言代理和接收代理之间特定类型的会话相关联。例如，仅仅使得涉及所定义目的并且被存储在身份代理上的那些实体的声明对于接收代理是可用的。给定上下文可以对应于同与特定实体或所定义的实体组相关联的接收代理(一个或多个)的交互。

授权信息可以基于上述或其他准则的任意组合来限制身份代理和接收代理之间的交互。例如，可以针对单一用途、在设置时间量内、针对单次交互并且在所定义的上下文中提供授权信息。上下文可以直接或间接标识特定接收代理或授权信息的目的所在。所属领域技术人员将意识到授权信息可以被配置为限制身份代理和任意数量的接收代理之间的交互的多种方式。

在阅读了以下结合附图对于优选实施例的详细描述后，所属领域技术人员将理解本发明的范围，并意识到其附加方面。

附图说明

被结合至并形成了本说明书的一部分的附图示出了本发明的多个方面，并且与描述一起用于解释本发明的原理。

图1是根据本发明的一个实施例的通信环境的框图表示。

图2A-2D示出了根据本发明的各种实施例的多个身份断言的通信流。

图3是根据本发明的一个实施例的身份代理的框图表示。

图4是根据本发明的一个实施例的用户终端的框图表示。

具体实施方式

以下阐述的实施例表示使所属领域技术人员能够实现本发明的必要信息，并说明了实现本发明的最佳方式。在鉴于附图阅读以下说明时，所属领域技术人员将理解本发明的概念并将认识到未在此处特别提到的对这些概念的应用。应当理解，这些概念和应用落入本公开和所附权利要求的范围内。

在许多实例中，希望从一个设备向另一个设备断言实体的身份，以试图在两个设备或与两个设备相关联的实体之间建立一定级别的信任(trust)。断言相关联实体的身份的设备被称为断言代理，而向其断言实体身份的设备被称为接收代理。参考图1，通信环境被图示为包括支持各种用户终端12(如固定电话终端、移动电话终端和个人计算机)之间的通信的通信网络10。对于给定情形，任意用户终端12可以是断言代理14或接收代理16。实体可以表示与用户终端12相关联的人；诸如用户终端12、服务器、计算机或网站之类的系统；对象等。相应地，断言代理14或接收代理16可以是在表示该实体的设备上运行的功能。可替换地，该实体可以是人、系统或对象，并且断言代理14或接收代理16可以是设备或在与该人、系统或对象相关联的设备上运行的功能。

实体的身份可以由一个或多个声明来定义。在某些情形下，在凭证(credential)中提供声明。声明对应于实体的属性或关于实体的事实，并且涉及实体的身份或与实体相关联的唯一信息。凭证是用于关联针对实体的所选择的一组声明的机制，并且可以由被称为身份权力机构18的适当的权力机构提供。例如，驾驶执照或护照是一种凭证，并且其上的信息(如文件编号、社会保险号、年龄、身高、到期日、住所信息、公民身份、生物统计信息等)可以表示相应凭证的声明。信用卡或借记卡也可以被看作凭证，其中相关联卡号、过期日和安全码是信用卡的声明。另一凭证示例包括用于验证web(网络)服务器等的身份的web凭证。

实质上，断言代理14断言相关联实体的身份，以使得接收代理16能够以所期望的置信度确定断言代理14或相关联实体就是它们所声称的代理或相关联实体。一旦做出了这种确定，断言代理14和接收代理16可以建立会话或通过所建立的会话来提供特定通信。当断言实体的身份时，断言代理14可以采取某种动作以将特定的实体声明递送至接收代理16，所述接收代理16将处理所述声明以确定是否以及如何与断言代理14进行交互。在许多情况下，接收代理16使用所述声明来足够肯定地确定与断言设备相关联的实体对应于所断言的身份。基于这样的确定，接收代理16可以确定是否与断言代理14交互、如何与断言代理14交互、或同时确定这两者。

如上所述，断言实体的身份包括向接收代理16呈递实体的一个或多个声明，接收代理16可以处理所述声明，以确定是否联系(engage)断言代理14。声明可以由断言代理14直接以及由身份代理20间接呈递给接收代理16，所述身份代理20代表断言代理14而起作用。身份代理20将与断言代理14具有可信赖的(trustworthy)关系，并且可以被配置为存储与断言代理14相关联的实体的特定声明和相关信息，并依请求将这样的信息提供给接收代理16。身份代理20还可以被配置为验证特定信息，如用作接收代理16的实体的声明、凭证、或相关信息。

在一个实施例中，身份代理20可以存储实体的声明，以及被配置为在断言代理14进行身份断言之前，基于特定的实体声明来验证实体信息。响应于身份断言，接收代理16可以从身份代理20获得特定的实体声明，令身份代理20基于接收代理16从断言代理14接收的声明来验证实体的信息，或者执行这二者。

相应地，接收代理16可以响应于断言代理14向接收代理16断言相关联实体的身份，以多种方式与身份代理20交互。对于本发明，断言代理14必须与断言代理14向接收代理16进行的身份断言相关联地授权身份代理20和接收代理16之间的一些或全部交互。具体地，断言代理14将提供授权信息，所述授权信息管理身份代理20和接收代理16之间适当的交互。授权信息可以被直接传递至身份代理20，或者可以被发送至接收代理16，所述接收代理16将向身份代理20提供授权信息。无论授权信息是如何从断言代理14接收的，身份代理20都将使用该授权信息来控制与接收代理16的交互。

授权信息可以根据不同的准则来限制身份代理20与接收代理16交互的能力。授权信息可以限制与接收代理16的交互次数，或授权在特定时间段内交互。例如，授权信息可以仅允许身份代理20和接收代理16之间的一次交互，其中，给定交互可能需要身份代理20和接收代理16之间的多次交换，以促进给定交互。可替换地，授权信息可以仅允许在到期前24小时时段内进行这样的交互或者允许针对断言代理14和接收代理16之间的给定会话的任意交互。

授权信息可以仅允许给定上下文内的交互。这样一来，身份代理20和接收代理16之间的交互可以被限制于给定目的，或与断言代理14和接收代理16之间特定类型的会话相关联。例如，仅仅使得涉及针对交互或会话的所定义目的并且被存储在身份代理20上的那些实体的声明对于接收代理16是可用的。给定上下文可以对应于同与特定实体或所定义的实体组相关联的特定接收代理16(一个或多个)的交互。例如，授权信息可以规定，总体上或针对特定实体，仅允许针对信用卡授权或安全视频会议的交互。授权信息可以基于上述或其他准则的任意组合，来限制身份代理20和接收代理16之间的交互。作为另一示例，可以针对单一用途、在设置时间量内、针对单次交互并且在所定义的上下文内提供授权信息。如上所述，上下文可以直接或间接标识特定接收代理16或授权信息的目的所在。

在另一实施例中，授权信息可以规定，在总体上或在给定上下文内可以向接收代理16提供实体的多少信息(包括凭证或声明)。例如，如果上下文是需要有效的政府发行ID的信用卡交易，提供给接收代理16的信息可以仅仅指示与信用卡相匹配的有效的政府发行ID确实存在，而不发送与政府发行ID相关联的所有声明，所述政府发行ID具有与信用卡上的名称相对应的名称。仅需要向接收代理16提供与信用卡信息相对应的声明以及关于政府发行ID存在的指示。这样一来，使重要身份信息被保护，并且仅仅将这样的必要或所需的信息提供给接收代理16。在另一示例中，假定不能与年龄在21岁以下的人建立会话。对于针对32岁的实体的身份断言，可以使用适当的授权信息向身份代理20命令(instruct)：仅仅通过指示实体超过21岁而不提供通常与提供这样的信息的凭证相关联的确切出生日期和其他机密声明，来对年龄请求进行响应。相应地，可以使社会保险号、驾驶执照号、或护照号保持机密，而接收代理16仍能针对给定会话确认实体超过21岁，所述给定会话可能与购买酒精饮料或访问特定媒体内容有关。

采用本发明，身份代理20的使用以及允许断言代理14控制身份代理20允许实体保持对身份代理20的完全控制。在特定情形下，在具体上下文中必须针对用于交互的特定会话对每次交互进行授权。所属领域技术人员将认识到授权信息可以被配置为限制身份代理20和任意数量接收代理16之间的交互的多种方式。

下面参考图2A至2D提供通信流，以分别说明向接收代理16A和16B断言与断言代理14相关联的实体的身份的各种情形。通信流说明了根据不同的情形，可以如何使用断言代理14所提供的授权信息来控制身份代理20和接收代理16A、16B之一之间的交互。

参考图2A，假定断言代理14接收并存储非凭证声明，所述非凭证声明是可能与特定凭证不相关联的声明(步骤100)。此外，假定身份权力机构18发行具有各种凭证声明的凭证(步骤102)，并将具有凭证声明的凭证递送至断言代理14(步骤104)。在特定实施例中，身份权力机构18可以被配置为依断言代理14(或与该实体相关联的其他用户终端12)的授权，直接向身份代理20递送凭证和特定凭证声明(步骤106)。可替换地，断言代理14可以向身份代理20提供特定的凭证和声明(非凭证声明或凭证声明)(步骤108)。身份代理20将存储用于实体的凭证和声明(步骤110)。实体还可以规定身份代理20管理声明和凭证，以及实体所期望的任意其他信息。实体可以建立允许身份代理20与各接收代理16A、16B交互的控制简档(profile)，并根据直接从断言代理14或经由接收代理16A、16B从断言代理14接收到的授权信息来控制这样的交互。如上所述，假定断言代理14授权这样的交互，身份代理20能够向接收代理16A、16B提供特定信息，并针对接收代理16A、16B验证该信息。

对于第一情形，断言代理14向接收代理16A断言与断言代理14相关联的实体的身份。接收代理16A将从断言代理14接收声明，并基于声明来请求身份代理20验证这些声明或与实体相关联的其他信息的真实性。针对身份代理20和接收代理16A之间的交互的授权信息被直接从断言代理14传递至身份代理20。

相应地，断言代理14将确定发起与接收代理16A的会话(步骤112)，并向接收代理16A发送会话发起消息(步骤114)。断言代理14还将生成授权信息，所述授权信息将控制身份代理20如何与接收代理16A交互(步骤116)。在本示例中，断言代理14将授权信息直接发送至身份代理20(步骤118)。可以针对单一用途、在设置时间量内、针对单次交互、在所定义的上下文内或以上述任意组合，提供授权信息。在本示例中，假定授权信息至少允许身份代理20响应于从接收代理16A接收到针对实体的声明信息而验证与实体相关联的信息。

接着，断言代理14可以通过向接收代理16A发送身份断言信息，来向接收代理16A断言实体的身份(步骤120)。身份断言信息可以包括声明(如声明A和声明B)或其他相关声明信息，以及身份代理20的身份或统一资源标识符(URI)。这样一来，接收代理16A能够使用身份代理URI来向身份代理20发送验证请求，以验证实体的特定信息(步骤122)。假定验证请求包括针对实体的声明A和B，并且指示了对验证这些声明以及与实体相关联的其他特定信息的期望。身份代理20将接收验证请求，并基于先前接收的授权信息来处理该验证请求(步骤124)。在本示例中，身份代理20被授权处理该验证请求，其中，验证请求基于实体的声明。如果验证请求不对应于授权信息中提供的授权，则身份代理20将限制验证响应或完全避免与接收代理16A的交互。由于在所说明的示例中身份代理20被授权与接收代理16A交互，验证响应被提供给接收代理16A(步骤126)，所述接收代理16A将处理该验证响应(步骤128)并根据需要继续处理。在本示例中，接收代理16A被配置为，通过与断言代理14建立信任关系和会话来对验证响应进行响应(步骤130)。

在下一情形下，不直接向身份代理20提供授权信息。而是，断言代理14将直接向接收代理16B提供授权信息，以用于控制身份代理20和接收代理16B之间的交互。此外，将授权信息与身份断言信息一起提供。相应地，断言代理14可以确定发起与接收代理16B的会话(步骤132)，并向接收代理16B发送会话发起消息(步骤134)。断言代理14将生成授权信息，以控制身份代理20和接收代理16B之间的交互(步骤136)，并向接收代理16B递送身份断言信息(步骤138)。再次，身份断言信息是用于向接收代理16B断言实体的身份的媒介(vehicle)。身份断言信息不仅包括声明A和B以及身份代理URI，而且还包括授权信息。接收代理16B可以基于声明A和B再次发送验证请求以验证声明A和B或者与实体相关联的其他信息(步骤140)。验证请求还可以包括授权信息，并且这样一来，身份代理20将识别出授权信息，并基于授权信息来处理验证请求(步骤142)。假定对于这种情形，授权与接收代理16B进行交互，身份代理20将向接收代理16B提供验证响应(步骤144)。接收代理16B将处理验证响应(步骤146)，并且假定验证是肯定的，在断言代理14和接收代理16B之间建立会话(步骤148)。虽然授权信息被示为承载在身份断言信息中以及验证请求中，但也可以在与身份断言信息和验证请求相同或不同的消息中提供授权信息。

对于下一情形，授权信息被直接递送至身份代理20；然而，身份代理20能够向接收代理16A递送诸如实体的声明之类的信息。相应地，断言代理14可以确定发起与接收代理16A的会话(步骤150)，并且向接收代理16A发送对应的会话发起消息(步骤152)。再次，断言代理14将生成授权信息，以控制身份代理20和接收代理16A之间的交互(步骤154)，并直接向身份代理20发送授权信息(步骤156)。

在本示例中，断言代理14不存储与实体相关联的特定声明，但识别出这些声明是由身份代理20提供的。相应地，断言代理14将使用身份断言信息向接收代理16A断言相关联实体的身份(步骤158)。身份断言信息可以包括指示能够使用身份代理URI从身份代理20获得声明C和D的信息(获取声明C、D)。在接收到身份断言信息时，接收代理16A可以向身份代理20发送声明请求以获得声明C和D(步骤160)。身份代理20将基于授权信息来处理声明请求(步骤162)。假定该声明请求被断言代理14授权，身份代理20将访问实体的声明C和D，并在声明响应中将它们提供给接收代理16A(步骤164)。接收代理16A可以处理声明C和D(步骤166)，并且如果期望，继续与断言代理14建立可信赖的关系以及会话(步骤168)。

对于最终情形，假定来自前一示例的授权信息在身份断言信息中被发送至接收代理16B，而不是直接被发送至身份代理20。因此，接收代理16B必须将授权信息呈递给身份代理20。继续该通信流，假定断言代理14确定发起与接收代理16B的会话(步骤170)，并向接收代理16B发送会话发起消息(步骤172)。断言代理14可以生成适当的授权信息，以控制身份代理20和接收代理16B的交互(步骤174)，并将授权信息与断言信息一起提供给接收代理16B(步骤176)。如前一示例一样，身份断言信息通过命令接收代理16B使用身份代理URI从身份代理20获取声明C和D来断言实体的信息。接收代理16B将生成包括授权信息和用于获得声明C和D的命令的声明请求，并将该声明请求发送至身份代理20(步骤178)。身份代理20将基于授权信息来处理声明请求(步骤180)，并且如果身份代理20和接收代理16B之间的交互被授权，则身份代理20将向接收代理16B提供包括声明C和D的声明响应(步骤182)。接收代理16B将处理声明C和D以及从身份代理20接收的其他任何信息(步骤184)，以确定是否与断言代理14建立可信赖的关系以及会话(步骤186)。

在上述示例中，与从断言代理14发起会话相关联地提供身份断言。所属领域技术人员将认识到身份断言可以发生在发起会话之前，或会话已经被建立之后。此外，断言代理14无需是发起与身份断言相关联的会话的代理。

采用本发明，可以将用于身份断言的声明或凭证存储在断言代理14、身份代理20、或其组合中。在某些情形下，断言代理14将存储由断言代理14发起的交互所必需的所有声明或凭证。在其他情形下，声明和凭证可以全部存储在身份代理20处，而断言代理14不存储任何凭证或声明。在其他情形下，声明可以分布在断言代理14和身份代理20之间。相应地，接收代理16可以使用从断言代理14接收到的声明来验证实体的特定信息，并从身份代理20接收未存储在断言代理14上的声明。此外，可以使用多个身份代理20来存储给定实体的不同凭证或声明。这样一来，凭证或声明被分布在各身份代理20间。为了验证实体的信息或获得实体的凭证或声明，可以要求接收代理16针对特定的身份断言，与身份代理20中不同的身份代理交互。在这样的情形下，实质上保护了实体身份的凭证和声明，当存储在断言代理14上的凭证或声明受限时尤其如此。在这些情形下，可以针对不同的身份代理20创建不同的授权信息，其中不同的身份代理20能够为接收代理16提供不同的身份断言功能。

参考图3，根据本发明的一个实施例示出了身份代理20的框图表示。身份代理20可以包括控制系统22，所述控制系统22具有用于必要的软件36和数据38的充足的存储器24，以按上述方式操作。控制系统22还可以与通信接口30相关联，以促成通过通信网络10进行通信。

参考图4，根据本发明的一个实施例示出了用户终端12。用户终端12可以包括控制系统32，所述控制系统32具有用于必要的软件36和数据38的充足的存储器34，以提供如上所述的断言代理14或接收代理16。控制系统32可以与通信接口40相关联，以促成以直接或间接方式通过通信网络10进行通信。此外，控制系统32可以与用户接口42相关联，以促成与用户进行交互，以及支持与其他用户终端12的通信会话。因此，用户接口42可以包括用于传统功能的、以传统方式操作的麦克风、扬声器、键盘、显示器等。

所属领域技术人员将认识到对本发明优选实施例的改进和修改。所有这样的改进和修改都被认为处于此处公开的概念和所附权利要求的范围内。