使用身份上下文信息,对文档进行数字签名

摘要

当对文档进行数字签名时创建供实体使用的令牌。在计算环境中，访问实体的数字身份表示。数字身份表示包括标识关于实体的身份属性和提供供实体使用的令牌的身份提供者的能力的信息。访问上下文信息。上下文信息包括有关将使用数字身份表示中所标识的实体的哪些属性，如何使用这些属性，或在哪里使用这些属性中的一个或多个的信息。从数字身份表示中的信息和上下文信息创建安全令牌。安全令牌通过身份提供者作出断言。断言基于数字身份表示中的信息。令牌还包括涉及上下文信息的至少一部分的信息。

说明书

背景

计算机和计算系统几乎影响着现代生活的每一方面。计算机一般涉及工作、消遣、保健、交通、娱乐、家务管理等等。在计算机系统中，常常需要在计算机系统之间发送数字文档。

数字文档可以是经过数字签名的。对文档进行数字签名可以涉及随文档包括安全令牌。一些安全令牌一般包括通过身份提供者关于实体的断言。例如，令牌可包括关于与实体相关联的身份的属性的断言，其中，断言是由受信任的身份提供者实体作出的。断言可以被用来确保实体与特定身份相关联。例如，随文档包括的令牌可包括令牌的主体是企业的经理的断言。然后，用适用于企业中的经理的实体的信任级别来处理该包括令牌的文档。

选择发送哪一个令牌常常是由发送文档的用户执行的。不老练的用户，以及在很多情况下，老练的用户，在选择用于与文档包括在一起的适当令牌时可能具有困难。具体而言，用户实体可以与多个不同的令牌相关联，其中，每一个不同的令牌都计划用于不同的上下文中。例如，一个实体可以具有与它相关联的令牌，其中，该令牌与该实体作为经理的角色相关联。该实体可以具有与它相关联的不同的令牌，其中，令牌与实体作为公司雇员的角色相关联。经理令牌可以适用于一些上下文中，而在只有雇员令牌适合的其它上下文中经理令牌不适用。然而，简单地检测令牌，而没有额外的信息，可能不会提供用于确定用户应该选择哪一个令牌的足够的信息。

此处所要求保护的主题不仅限于解决任何缺点的实施例或只在诸如上文所描述的那些环境的环境中操作的实施例。相反，此背景只示出了其中可以实施此处所描述的一些实施例的一个示例性技术领域。

简要概述

一个实施例包括可以在计算环境中实施的方法。该方法包括当对文档进行数字签名时创建供实体使用的令牌的动作。该方法包括访问实体的数字身份表示。数字身份表示包括标识关于实体的身份属性和提供供实体使用的令牌的身份提供者的能力的信息。标识“身份提供者”的能力的信息包括身份提供者的身份的指示或身份提供者可以作出什么断言中的至少一个。该方法还包括访问上下文信息。上下文信息包括有关将使用数字身份表示中所标识的实体的哪些属性，如何使用使用这些属性，或在哪里使用这些属性中的一个或多个的信息。该方法还包括从数字身份表示中的信息和上下文信息创建安全令牌。安全令牌通过身份提供者作出断言。断言基于数字身份表示中的信息。令牌还包括涉及上下文信息的至少一部分的信息。

另一实施例包括可以在计算环境中实施的另一方法。该方法包括当对文档进行数字签名时促进实体选择供使用的令牌的动作。该方法包括访问安全令牌集合。每一安全令牌都通过身份提供者作出断言。断言基于数字身份表示中的信息。数字身份表示包括标识关于实体的身份属性和提供供实体使用的令牌的身份提供者的能力的信息。标识“身份提供者”的能力的信息包括身份提供者的身份的指示或身份提供者可以作出什么断言中的至少一个。断言还基于涉及上下文信息的至少一部分的信息。上下文信息包括有关将使用数字身份表示中所标识的实体的哪些属性，如何使用这些属性，或在哪里使用这些属性中的一个或多个的信息。该方法还包括为将使用安全令牌的集合中的安全令牌中的一个签名的文档确定上下文。该方法还包括判断上下文匹配安全令牌的集合中的一个或多个安全令牌中的上下文信息。在允许用户选择安全令牌的用户界面中向用户显示一个或多个安全令牌的表示。显示包括显示一个或多个安全令牌的表示，以便用户可以容易地判断安全令牌包括匹配上下文的上下文信息。

另一实施例包括可以在计算环境中实施的方法。该方法包括评估被用来对文档进行签名的文档签名和令牌的动作。该方法包括接收通过令牌签名的文档。令牌包括上下文属性。上下文属性包括涉及上下文信息的至少一部分的信息。上下文信息包括有关将使用数字身份表示中所标识的实体的哪些属性，如何使用这些属性，或在哪里使用这些属性中的一个或多个的信息。令牌还包括身份属性。身份属性包括数字身份表示中的信息。数字身份表示包括标识关于实体的身份属性和提供供实体使用的令牌的身份提供者的能力的信息。标识“身份提供者”的能力的信息包括身份提供者的身份的指示或身份提供者可以作出什么断言中的至少一个。该方法还包括通过判断令牌中的上下文信息和令牌中的身份信息与使用用来对文档进行签名的签名有关来判断文档是有效签名的文档。

提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。

本发明的附加特征和优点将在以下描述中叙述，且其一部分根据本描述将是显而易见的，或可通过对此处的原理的实践来获知。本发明的特征和优点可通过在所附权利要求书中特别指出的工具和组合来实现和获得。本发明的特征将通过以下描述和所附权利要求书变得更加显而易见，或可通过对下文中所述的本发明的实践来领会。

附图简述

为了描述可获得本主题的上述和其它优点和特征的方式，将通过参考附图中示出的本主题的具体实施例来呈现以上简要描述的本主题的更具体描述。可以理解，这些附图只描绘了典型实施例，并且因此不被认为是对其范围的限制，将通过使用附图并利用附加特征和细节来描述和解释各实施例，在附图中：

图1示出了被配置成为实体提供安全令牌的数字身份表示系统；

图2示出了安全令牌创建过程，包括利用安全令牌中的上下文信息创建安全令牌；

图3示出了创建安全令牌的方法；

图4示出了显示安全令牌以便促进对适当的安全令牌的选择的方法；以及

图5示出了验证对安全令牌的使用的方法。

详细描述

一些实施例涉及创建和/或使用令牌，令牌除身份属性之外，还包括涉及在哪里使用令牌为适当的上下文的上下文信息。例如，令牌可包括通过身份提供者的断言，其中，断言不仅包括涉及实体的身份的信息，而且，身份提供者作出的断言还涉及在哪里使用令牌为适当的一个或多个上下文。

位于美国华盛顿州的雷德蒙市的微软公司传播了有时被称为信息卡选择器(微软的实例化被称为Windows CardSpace(卡空间))的系统。在WindowsCardSpace系统中，实体获取一个或多个有时被称为信息卡的数字身份表示。当实体尝试访问资源或提供文档时，依赖方可能需要就实体作出一组主张以提供资源或信任文档。实体可以使用数字身份表示(有时被称为“DIR”)以启动与可以断言那些主张的身份提供者的通信。在某些情况下，身份提供者可以由实体进行控制，并在实体的自己的机器上运行。在其他情况下，它可以由第三方进行控制。身份提供者返回包括所需的主张信息的安全令牌。

此处所公开的示例实施例一般可以涉及身份系统，身份系统包括数字身份表示，数字身份表示用于启动通信以便产生可以在实体、身份提供者以及依赖方之间交换的安全令牌，以认证涉及该实体的身份和/或信息。在此处的示例实施例中，实体可以是自然人、计算机、网络，或任何其他实体。依赖方具有实体希望访问和/或获取的商品、服务或其他信息，和/或从实体接收文档或其他信息。在某些示例实施例中，依赖方可以是需要安全策略来进入、访问或使用的任何资源、特权或服务。例如，依赖方可以包括下列各项中的一个或多个：计算机、计算机网络、数据、数据库、建筑物、人员、服务、公司、组织、物理位置、电子设备或任何其他类型的资源。

现在参考图1，示出了一示例数字身份表示系统100，包括实体110和依赖方120。实体110拥有实体机器111或对实体机器111进行控制。实体机器111包括至少由实体110临时控制的计算机系统。依赖方120还可包括计算机系统。系统100还可包括管理员系统160、数据捕获系统162、数字身份表示生成系统164、身份数据存储器168，以及身份提供者115，下面将对它们中的每一个进行进一步的讨论，它们中的每一个都可包括计算机系统，或是计算机系统的一部分。

实体110和依赖方120可以通过一个或多个网络，如因特网，或通过电话的或其他形式的有线或无线通信，相互进行通信。在某些实施例中，实体110和依赖方120可以与同一个物理计算机系统相关联，以便可以通过计算机总线或其他内部计算机通信装置进行通信。在示例实施例中，实体110可以向依赖方120请求商品、服务、信息、特权或其他访问，或向依赖方120提供信息。依赖方120可以在向实体110提供所请求的访问或从实体110接收信息之前或同时，需要对实体110的身份或信息进行认证。

图1还示出了示例身份提供者115。身份提供者115包括计算机系统。在示例实施例中，身份提供者115包括主张转换器130和主张管理机构140。主张转换器130有时被称为“安全令牌服务”。在示出的示例中，身份提供者115可以提供关于实体110的一个或多个主张。主张是作出的关于实体的陈述或断言，可能包括关于实体的属性信息，诸如，例如，名称、地址、社会保障号码、年龄、信用历史、交易要求等等。如下面进一步描述的，身份提供者115可以以经过数字签名的安全令牌的形式向实体110和/或依赖方120提供主张。在示例实施例中，身份提供者115与依赖方120存在信任关系，使得依赖方120信任来自身份提供者115的经过签名的安全令牌中的主张。

虽然在图1中身份提供者115的主张转换器130和主张管理机构140被示为单独的实体，但是，在替换实施例中，主张转换器130和主张管理机构140可以是相同实体或不同的实体。在某些示例实施例中，身份提供者115可以采取安全令牌服务的形式。类似地，身份提供者115和数字身份表示生成系统164可以是相同的或不同的实体。

此处所描述的计算机系统包括，但不仅限于：个人计算机、服务器计算机、手持式或膝上型设备、微处理器系统、基于微处理器的系统、可编程消费电子产品、网络PC、小型计算机、大型计算机、智能卡、电话、移动或蜂窝式通信设备、个人数据助理、包括上面的系统或设备的中的任何一种的分布式计算环境等等。此处所描述的一些计算机系统可以包括便携式计算设备。便携式计算设备可包括被设计用于在物理上由用户携带的任何计算机系统。每一计算机系统还可包括一个或多个外围设备，包括，但不仅限于：键盘、鼠标、照像机、网络摄像头、摄像机、指纹扫描仪、虹膜扫描仪、诸如监视器之类的显示设备、麦克风或扬声器。

每一计算机系统都包括操作系统，诸如(但不仅限于)来自微软公司的WINDOWS操作系统，以及存储在计算机可读介质上的一个或多个程序。每一计算机系统还可包括允许用户与计算机系统进行通信以及允许计算机系统与其他设备进行通信的一个或多个输入和输出通信设备。实体110所使用的计算机系统(例如，实体机器111)、依赖方120、数字身份表示生成系统164、管理员系统160、数据捕获系统162，以及身份提供者115之间通信可以使用任何类型的通信链路来实现，包括，但不仅限于，因特网、广域网、内联网、以太网、直接有线路径、计算机总线、卫星、红外线扫描、蜂窝式通信，或任何其他类型的有线或无线通信。

在此处所公开的某些示例实施例中，系统100至少部分地实现为在美国华盛顿州雷德蒙市的微软公司所开发的.NET 3.0框架中所提供的信息卡系统。信息卡系统允许实体管理来自各种身份提供者的多个数字身份表示。

信息卡系统利用诸如.NET 3.0框架中的Windows通信框架之类的web服务平台。另外，信息卡系统是使用至少部分地由美国华盛顿州雷德蒙市的微软公司传播的web服务安全性规范构建的。这些规范包括消息安全性模型WS-安全、端点策略WS-安全策略、元数据交换协议WS-元数据交换、以及信任模型WS-信任。一般而言，WS-安全模型描述了如何将安全令牌附连到消息。WS-安全策略模型描述端点策略要求，诸如所需的安全令牌以及所支持的加密算法。这样的策略要求可以使用由WS-元数据交换所定义的元数据协议来表达和协商。WS-信任模型描述允许不同的web服务进行交互操作的信任模型的框架。此处所描述的一些示例实施例引用了上文所描述的web服务安全性规范。在替换实施例中，一个或多个其他规范可用于促进系统100中的各个子系统之间的通信。

再次参考图1，实体110可以经由实体机器111向依赖方120发送访问商品、服务或其他信息的请求，或可以以文档的形式向依赖方120提供信息。值得注意的是，在某些实施例中，以文档的形式提供信息可以是请求访问商品、服务及其他信息的过程的一部分，且因此不应该被解释为排除这样的活动。例如，在一个实施例中，实体机器111向依赖方120发送从依赖方120访问实体110所需的信息的请求，其中，请求可以是文档。由实体机器111所发送的请求可包括求依赖方120使用如WS-元数据交换中所提供的机制的认证要求的请求。

响应于该请求，依赖方120可以对实体机器111发送依赖方120对实体的身份或关于实体110的其他信息进行认证的要求。依赖方120的进行认证的要求此处被称为安全策略。安全策略最低限度地定义了来自受信任的身份提供者115的、实体110必须向依赖方120提供的供依赖方120认证实体110的主张集合。安全策略可包括涉及个人特征(诸如年龄)、身份、财务状况等等的凭据的要求。它还可以包括涉及认证任何凭据的提供(例如，来自特定身份提供者的数字签名)所需的验证和认证的级别的规则。

在一个示例中，依赖方120使用WS-安全策略指定其安全策略，包括主张要求和依赖方120所需的安全令牌的类型。主张的类型的示例包括，但不仅限于下列各项：名字、姓氏、电子邮件地址、街道地址、地区名称或城市、州或省、邮政编码、国家、电话号码、社会保障号码、出生日期、性别、个人标识号、信用分数、财务状况、法律地位等等。

安全策略还可以被用来指定依赖方120所需的安全令牌的类型，或者，可以使用由身份提供者确定的默认类型。除指定所需的主张和令牌类型之外，安全策略可以指定依赖方所需的特定身份提供者。可另选地，策略可以省略此元素，将适当的身份提供者的确定交由实体110决定。其他元素也可以在安全策略中指定，诸如，例如，所需的安全令牌的新鲜度。

在某些实施例中，实体110可以要求依赖方120向实体机器111标识其本身，以便实体110可以判断是否满足依赖方120的安全策略，如下面所描述的。在一个示例中，依赖方120使用X.509证书来标识其本身。在其他实施例中，依赖方120可以使用诸如，例如，安全套接字层(“SSL”)服务器证书之类的其他机制，来标识其本身。

实体机器111可包括实体110的一个或多个数字身份表示。这些数字身份表示(在位于美国华盛顿州雷德蒙市的微软公司开发的.NET 3.0框架中所提供的Windows CardSpace系统中有时被称为“信息卡”)是代表实体110和诸如身份提供者115之类的特定身份提供者之间的令牌发放关系的人为产物。每一数字身份表示都可以与特定身份提供者相对应，而实体110可以具有来自相同或不同的身份提供者的多个数字身份表示。

数字身份表示除其他信息之外可包括，身份提供者的安全令牌的发放策略，包括可以发放的令牌的类型，它具有权限的主张类型，和/或当请求安全令牌时用于认证的凭据。数字身份表示可以被表示为由身份提供者115或数字身份表示生成系统164发放、并由实体110存储在诸如实体机器111之类的存储设备上的XML文档。

实体机器111还可包括身份选择器。一般而言，身份选择器是允许实体110在实体机器111上的实体110的一个或多个数字身份表示之间进行选择以向诸如身份提供者115之类的一个或多个身份提供者请求并获取安全令牌的计算机程序和用户界面。例如，当由实体机器111接收到来自依赖方120的安全策略时，身份选择器可以被编程为使用数字身份表示中的信息来标识满足安全策略所需的一个或多个主张的一个或多个数字身份表示。一旦实体110从依赖方120接收安全策略，实体110可以与一个或多个身份提供者进行通信(例如，使用实体机器111)以收集策略所需的主张。

在示例实施例中，实体110使用WS-信任中所描述的发放机制，向身份提供者115请求一个或多个安全令牌。在示例实施例中，实体110将依赖方120的策略中的主张要求转发到身份提供者115。依赖方120的身份可以，但是不必，在由实体110向身份提供者115发送的请求中指定。请求也可包括诸如对显示令牌的请求之类的其他要求。

一般而言，身份提供者115的主张管理机构140可以提供来自依赖方120的安全策略所需的一个或多个主张。身份提供者115的主张转换器130被编程为转换主张，并生成包括涉及实体110的主张的一个或多个签名的安全令牌150。

如上文所指出的，实体110可以基于来自依赖方120的要求，在其对身份提供者115的请求中请求某一格式的安全令牌。主张转换器130可以被编程为以多种格式中的一个，包括，但不仅限于，X.509、Kerberos、SAML(版本1.0和2.0)、简单可扩展身份协议(“SXIP”)等等，生成安全令牌。

例如，在一个实施例中，主张管理机构140被编程为生成第一格式A的主张，而依赖方120的安全策略需要第二格式B的安全令牌。在将安全令牌发送到实体110之前，主张转换器130可以将来自主张管理机构140的主张从格式A转换为格式B。另外，主张转换器130可以被编程为细化特定主张的语义。在示例实施例中，转换特定主张的语义，以最小化特定主张和/或安全令牌中所提供的信息量，以减少或最小化由给定主张所传达的个人信息量。

在示例实施例中，主张转换器130使用WS-信任中所描述的响应机制，将安全令牌150转发到实体110。在一个实施例中，主张转换器130包括安全令牌服务(有时被称为“STS”)。在一示例实施例中，实体110通过使用WS-安全中所描述的安全绑定机制，将安全令牌150绑定到应用程序消息，来将安全令牌150转发到依赖方120。在某些实施例中，安全令牌150可以被用来对文档进行签名(如在图2中更详细地示出的)。文档可以被用来提供信息或请求商品、服务或其他信息。在其他实施例中，安全令牌150可以直接从身份提供者115被发送到依赖方120。

一旦依赖方120接收到安全令牌150，依赖方120可以验证(例如，通过对安全令牌150进行解码或解密)经过签名的安全令牌150的来源。依赖方120还可以使用安全令牌150中的主张来满足依赖方120的安全策略以认证实体110。

现在将参考图2示出文档签名的各种示例。图2示意地示出了令牌创建过程。具体而言，图2示出了多个202数字身份表示。多个202数字身份表示中的每一个数字身份表示都包括与实体相关联的身份的属性。属性的示例包括，但不仅限于名称、用户名、标识号码(诸如政府发放的、企业发放、教育机构发放等等标识号码)，帐号(诸如银行帐号、信用卡号、商业信用帐号、等等)、角色信息(诸如经理、雇员、网络管理员、市长、市民等等)或其他信息。可以与身份相关联的几乎任何类型的信息都可以作为属性包括在数字身份表示中。一些实施例可以限制可以作为属性包括的信息。例如，一些实施例可以将可以作为属性包括的信息限于上面枚举的属性中的一个或多个。

图2还示出多个204上下文表示。每一上下文表示都包括有关上下文的信息。具体而言，上下文表示可包括关于文档签名事件的上下文信息。这样的上下文信息可以涉及围绕对文档的签名的情况，诸如要签名的文档的类型、需要什么类型的管理机构对文档进行签名、文档的用途、文档将用于什么目的等等。概括地说，诸如关于应该使用哪些数字身份表示，将如何使用数字身份表示，或数字身份表示将在哪里与签名事件或仪式一起使用的信息之类的任何信息都可以解释为上下文信息。一些实施例可以限制可以作为上下文信息包括的信息。例如，一些实施例可以将可以作为上下文信息包括的信息限于上面枚举的信息中的一个或多个。

尽管在此示例中示出了多个202数字身份表示和多个204上下文表示，但是，一些实施例允许动态地构建数字身份表示和上下文表示，而不必需要从其相应的多个表示202或204中选择它们。

在图2中所示出的示例中，如箭头208所示，从多个202数字身份表示中选择数字身份表示206。另外，如箭头212所示，还从多个204上下文表示中选择包括上下文信息的上下文表示210。可以以多种不同的方式来选择数字身份表示206和上下文表示。例如，图2示出了可以通过接收特定证书224来促进对数字身份表示206的选择。具体而言，如果实体机器接收到证书224，则该接收可以启动从多个202数字身份表示中对数字身份表示206的选择。

在某些实施例中，如下面更详细地说明的，可以通过使用反馈222来促进对数字身份表示206和/或上下文表示210的选择，如图2中所示出的。例如，在一个实施例中，文档可包括指定当对文档进行签名时使用的令牌的适当特征的元数据。

数字身份表示206和上下文表示210被提供给身份提供者115。如上所述，身份提供者115是能够在安全令牌中作出断言的受信任的实体。在图2中所示出的示例中，身份提供者115组合来自数字身份表示206的信息和来自上下文表示210的信息，如求和操作216所示。来自数字身份表示206和上下文表示210的所组合的信息被包括在安全令牌150中。

安全令牌150包括由身份提供者115作出的断言，包括其中包括与数字身份表示206相关联的实体的身份的属性和来自上下文表示210的上下文信息的断言。在某些实施例中，安全令牌150还可以包括可以被用来对数字信息进行签名和/或加密的公钥。例如，图2示出了在文档220的签字仪式中在文档220中包括安全令牌150(如箭头222所示)。安全令牌150可包括被用来对文档220的全部或某些部分进行签名的公钥。

如前面所指出的，安全令牌150包括来自上下文表示210的上下文信息，其中，上下文信息具体地涉及文档220。例如，安全令牌150中所包括的上下文信息可以涉及文档220的类型。另选地或另外地，安全令牌150中所包括的上下文信息可以涉及与签名仪式相关联的上下文情况，在签名仪式中，利用安全令牌150对文档220进行签名。

如前面所指出的，可以基于反馈222，选择用于包括在安全令牌150中的上下文表示110。如在图2中通过箭头224所示的，可以基于涉及文档220的签名情况的上下文，提供反馈222。例如，在一个实施例中，文档220可包括表示将对文档220进行签名的上下文的元数据。文档220中所包括的元数据可以作为反馈222被发送到作为计算机系统上的计算机可执行的过程体现的上下文表示选择过程，以便反馈222与将被包括在用来对文档220进行签名的安全令牌150中的上下文信息一起促进对上下文表示210的选择。另外，反馈222可以用于选择包括在安全令牌150中的适当的数字身份表示206。具体而言，指派文档220的上下文可能需要在被用来对文档220进行签名的安全令牌150中包括特定数字身份表示206。如此，文档本身可包括可以用于标识数字身份表示206的信息。例如，文档220可包括表示应该利用适用于经理或其他角色的安全令牌150签名的文档220的元数据。此元数据可以作为反馈222发送，该反馈222可以被用来选择适用于经理的数字身份表示206。另外，可以创建或选择表示涉及经理身份的上下文的上下文表示210，以便安全令牌150可包括将安全令牌150标识为当对诸如文档220之类的文档进行签名时适用于经理的令牌的上下文信息。

下面的讨论现在引用了可以执行的多个方法和方法动作。值得注意的是，虽然可以以某一顺序讨论或在流程图中按特定顺序发生而示出了方法动作，但是，没有特定顺序是一定需要的，除非特别声明，或者是必需的，因为在一个动作被执行之前该动作取决于另一动作被完成。

一个实施例包括可以在计算环境中实施的方法300。该方法300包括创建当对文档进行数字签名时供实体使用的令牌的动作。该方法包括访问实体的数字身份表示(动作302)。数字身份表示包括标识关于实体的身份识属性的信息。例如，数字身份表示206(参见图2)可包括实体110的诸如名称、用户名、标识号、帐号、角色等等之类的属性(参见图1)。数字身份表示还包括提供供实体使用的令牌的身份提供者的能力。例如，数字身份表示206(图2)可包括标识“身份提供者”115的能力的信息。标识“身份提供者”的能力的信息可包括身份提供者的身份的指示或身份提供者可以作出什么断言中的至少一个。

方法300还包括访问上下文信息(动作304)。上下文信息包括有关将使用数字身份表示中所标识的实体的哪些属性，如何使用这些属性，或在哪里使用这些属性中的一个或多个的信息。例如，如图2所示出的，上下文表示210可包括有关将如何使用或在哪里使用数字身份表示206中的信息的信息。具体而言，上下文表示210可包括有关当使用包含数字身份表示206中的属性的安全令牌150时将如何使用那些属性的信息。

该方法300还包括从数字身份表示中的信息和上下文信息创建安全令牌(动作306)。安全令牌包括由身份提供者作出的断言，其中，断言基于数字身份表示中的信息。令牌还包括涉及上下文信息的至少一部分的信息。具体而言，如图2所示，安全令牌150作出断言，其中，那些断言包括来自数字身份表示206的信息和来自上下文表示210的信息。

可以执行方法300，其中，创建安全令牌(动作306)是响应于判断为对特定文档进行签名需要令牌而执行的。另外，涉及对特定文档进行签名的条件，或特定文档的属性这两者中的至少一项与上下文信息的至少一部分相关联。例如，这可以通过接收诸如图2中所示出的反馈222之类的反馈来达成。应该注意，涉及特定文档或涉及特定文档签名仪式的信息不仅可以被用来促进选择数字身份表示和/或上下文表示，而且也可以被用来在一开始触发安全令牌的创建。

方法300还可以包括作为输入评估上下文信息的至少一部分或数字身份表示中的信息的至少一部分中的至少一项，根据上下文信息的至少一部分或数字身份表示中的信息的至少一部分中的至少一项来确定应该创建安全令牌。创建安全令牌(动作306)是响应此而执行的。

可以实施方法300的此实施例，其中，根据上下文信息的至少一部分或数字身份表示中的信息的至少一部分中的至少一项来确定应该创建安全令牌包括执行一工作流。

该方法300还包括接收与上下文信息和数字身份表示中的信息分开的额外的输入。在此实施例的一个示例中，根据上下文信息的至少一部分或数字身份表示中的信息的至少一部分中的至少一项来确定应该创建安全令牌的动作考虑了该额外的输入。在此实施例的一个示例中，方法300可包括提示用户提供用户输入作为额外输入以便进行用户交互。如此，接收与上下文信息和数字身份表示中的信息分开的额外的输入是响应于此执行的。这样的输入可包括有关实体110、其他实体、管理员、阈值、例外的批准、替换批准等等的信息。

方法300还可以包括将创建的安全令牌高速缓存在安全令牌集合中。在此实施例中，方法300还可以包括允许用户选择用于文档签字仪式中的令牌的动作。例如，方法300还可以包括确定将要使用安全令牌集合中的一个安全令牌来签名的文档的上下文，判断该上下文匹配安全令牌集合中的一个或多个安全令牌中的上下文信息，并在用户界面中向用户显示一个或多个安全令牌的表示以允许用户选择显示的安全令牌。这可包括显示一个或多个安全令牌的表示，以便用户可以容易地判断安全令牌包括匹配上下文的上下文信息。例如，可以突出显示安全令牌的表示。在替换实施例中，显示可包括只显示包括匹配上下文的上下文信息的令牌的表示，而不显示不包括匹配上下文的上下文信息的令牌的表示。显示安全令牌的表示可包括多个不同的动作中的任何一个。例如，可以显示安全令牌所指派的名称。可以显示诸如图标之类的图形表示。可以显示诸如身份属性和/或上下文属性之类的安全令牌本身中的信息。在此处所描述的实施例的范围内，可以另选地或另外地使用其他合适的表示，尽管这里没有枚举。

现在参考图4，示出了方法400。可以在计算环境中实施方法400。该方法包括当对文档进行数字签名时促进选择供实体使用的令牌的动作。该方法包括访问安全令牌集合(动作402)。每一安全令牌都通过身份提供者作出断言。断言基于数字身份表示中的信息。数字身份表示包括标识关于实体的身份属性和提供供实体使用的令牌的身份提供者的能力的信息。标识“身份提供者”的能力的信息包括身份提供者的身份的指示或身份提供者可以作出什么断言中的至少一个。断言还基于涉及上下文信息的至少一部分的信息。上下文信息包括有关将使用数字身份表示中所标识的实体的哪些属性，如何使用这些属性，或在哪里使用这些属性中的一个或多个的信息。

该方法400还包括为将使用安全令牌的集合中的安全令牌中的一个签名的文档签名仪式确定上下文(动作404)。例如，上下文可以涉及与对文档进行签名所需的令牌相关联的角色或身份，应该如何对文档进行签名，应该在被用来对文档进行签名的令牌中包括什么样的信息等等。

该方法400还包括判断上下文匹配安全令牌的集合中的一个或多个安全令牌中的上下文信息(动作406)。例如，安全令牌中的上下文信息可以匹配签名仪式的上下文。在一个示例中，可基于存储在要签名的文档中的信息来确定签名仪式的上下文，其中信息被返回给计算机系统或由计算机系统访问，该计算机系统执行使一个或多个计算机处理器执行判断上下文匹配一个或多个安全令牌中的上下文信息的动作的程序指令。

方法400还包括向用户显示一个或多个安全令牌的表示(动作408)。可以在允许用户选择安全令牌的诸如图形用户界面之类的用户界面中向用户显示一个或多个安全令牌的表示。显示一个或多个安全令牌的表示包括显示一个或多个安全令牌的表示，以便用户可以容易地判断安全令牌包括匹配上下文的上下文信息。在某些实施例中，这可包括在图形用户界面元素突出显示令牌的图形用户界面中显示一个或多个安全令牌。另选地或另外地，显示一个或多个安全令牌的表示，以便用户可以容易地判断安全令牌包括匹配上下文的上下文信息并可包括只显示包括该上下文信息的令牌。

方法400还可以包括接收选择令牌之一的用户输入，结果，利用所选令牌，对文档进行签名。例如，用户可以通过与允许选择所显示的表示之一的用户界面元素进行交互来选择令牌。用户对令牌的选择导致令牌被计算系统使用，以对为其选择了该令牌的文档进行签名。

在方法400的另一实施例中，方法400可包括接收用户输入，结果，并基于用户输入，以使用户可以容易地判断安全令牌包括匹配上下文的上下文信息的方式显示较少的一个或多个安全令牌中。例如，可以通过用户与诸如计算机显示的图形用户界面之类的适当的计算机实现的用户界面进行交互，来提供上下文。由用户所提供的上下文可以与令牌中的上下文信息匹配，带有匹配用户所提供的上下文的上下文信息的令牌可以按照使用户可以容易地判断令牌包括匹配上下文的上下文信息的方式显示。

现在参考图5，示出了方法500。可以在计算环境中实施方法500。该方法500包括评估文档签名和被用来对文档进行签名的令牌的动作。该方法500包括接收通过令牌签名的文档(动作502)。令牌包括上下文属性。上下文属性包括涉及上下文信息的至少一部分的信息。上下文信息包括有关将使用数字身份表示中所标识的实体的哪些属性，如何使用这些属性，或在哪里使用这些属性中的一个或多个的信息。令牌还包括身份属性。身份属性包括数字身份表示中的信息。数字身份表示包括标识关于实体的身份属性和提供供实体使用的令牌的身份提供者的能力的信息。标识身份提供者的能力的信息包括身份提供者的身份的指示或身份提供者可以作出什么断言中的至少一个。

方法500还包括通过检查上下文属性和身份属性来判断文档是被有效地签名的文档(动作504)。在一个实施例中，这可以通过判断令牌中的上下文信息和令牌中的身份信息与使用签名来对文档进行签名有关来执行。

可以执行方法500的实施例，其中，判断文档是有效签名的文档包括执行计算机实现的工作流。

此处实施例的实施例可以包括含有各种计算机硬件的专用或通用计算机，这将在以下更详细地讨论。

各实施例还包括用于携带或其上储存有计算机可执行指令或数据结构的计算机可读介质。这样的计算机可读介质可以是可由通用或专用计算机访问的任何可用介质。作为示例而非限制，这样的计算机可读介质可包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储、磁盘存储或其他磁存储设备、或可用于携带或存储计算机可执行指令或数据结构形式的所需程序代码装置且可由通用或专用计算机访问的任何其他介质。当信息通过网络或另一通信连接(硬连线、无线或硬连线或无线的组合)传输或提供给计算机时，计算机将该连接完全视为计算机可读介质。因此，任何这样的连接被适当地称为计算机可读介质。上述的组合也应被包括在计算机可读介质的范围内。

计算机可执行指令例如包括，使通用计算机、专用计算机、或专用处理设备执行某一功能或某组功能的指令和数据。尽管用结构特征和/或方法动作专用的语言描述了本主题，但可以理解，所附权利要求书中定义的主题不必限于上述具体特征或动作。相反，上文所描述的具体特征和动作是作为实现权利要求的示例形式来公开的。

本发明可具体化为其它具体形式而不背离其精神或本质特征。所描述的实施例在所有方面都应被认为仅是说明性而非限制性的。从而，本发明的范围由所附权利要求书而非前述描述指示。落入权利要求书的等效方案的含义和范围内的所有改变应被权利要求书的范围所涵盖。