用于多個網(wǎng)絡(luò)站點的帳戶管理的制作方法
【專利摘要】本發(fā)明公開了用于多個網(wǎng)絡(luò)站點的帳戶管理的各種實施方案�����。在計算裝置中維護用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶����。所述計算裝置將要訪問網(wǎng)絡(luò)站點的受保護資源�����。響應(yīng)于確定所述帳戶不能夠訪問所述受保護資源���,創(chuàng)建新帳戶���,或者升級現(xiàn)有帳戶�����。將關(guān)于所述用戶的一組信息提供給所述網(wǎng)絡(luò)站點以創(chuàng)建或升級所述帳戶�����。
【專利說明】用于多個網(wǎng)絡(luò)站點的帳戶管理
[0001]相關(guān)申請的交叉引用
本申請請求以下各案的優(yōu)先權(quán)和利益:2012年2月I日提交的發(fā)明名稱為“用于多個網(wǎng)絡(luò)站點的帳戶管理(ACCOUNT MANAGEMENT FOR MULTIPLE NETWORK SITES)”的美國專利申請第13/363�,654號;2012年2月I日提交的發(fā)明名稱為“認證管理服務(wù)(AUTHENTICAT1NMANAGEMENT SERVICES)”的美國專利申請第13/363,664號;2012年2月I日提交的發(fā)明名稱為“向網(wǎng)絡(luò)站點呈現(xiàn)受管理的安全憑證(PRESENTING MANAGED SECU RITY CREDENTIALSTO NETWORK SITES)”的美國專利申請第13/363�,675號�;2012年2月I日提交的發(fā)明名稱為“受管理的安全憑證的恢復(fù)(RECOVERY OF MANAGED SECURITY CREDENTIALS)”的美國專利申請第13/363,681號;以及2012年2月I日提交的發(fā)明名稱為“從多個網(wǎng)絡(luò)站點注銷(LOGOUT FROM MULTIPLE NETWORK SITES)” 的美國專利申請第 13/363���,685 號���,上述各案以全文引用的方式并入本文中�。
[0002]發(fā)明背景
許多網(wǎng)站要求用戶用用戶名和密碼登錄���,使得可以安全地識別用戶。然而,用戶經(jīng)常會忘記他們需要用來登錄到網(wǎng)站的用戶名和/或密碼��。用戶通常還會將相同的用戶名和/或密碼用于多個網(wǎng)站�。管理數(shù)十或甚至數(shù)百用戶名和密碼是用戶苦惱的主要原因且導(dǎo)致過大的放棄率,其中如果新服務(wù)需要新帳戶����,那么用戶完全無法注冊新服務(wù)�����。
[0003]附圖簡述
參看以下圖式可以更好地理解本公開的許多方面�。圖式中的組件不一定按比例繪制,而是將重點放在清楚地說明本公開的原理���。此外���,在圖式中���,若干附圖中的相同元件符號表示對應(yīng)的部件。
[0004]圖1是根據(jù)本公開的各種實施方案的網(wǎng)絡(luò)環(huán)境的圖式��。
[0005]圖2A到圖2C是根據(jù)本公開的各種實施方案的由圖1的網(wǎng)絡(luò)環(huán)境中的客戶端呈現(xiàn)的用戶界面的實例的圖式�。
[0006]圖3到圖6B是圖示了根據(jù)本公開的各種實施方案的實施為在圖1的網(wǎng)絡(luò)環(huán)境中的客戶端中執(zhí)行的認證管理客戶端的多個部分的功能性的實例的流程圖�����。
[0007]圖7是圖示了根據(jù)本公開的各種實施方案的實施為在圖1的網(wǎng)絡(luò)環(huán)境中的計算裝置中執(zhí)行的認證端點的多個部分的功能性的一個實例的流程圖。
[0008]圖8是圖示了根據(jù)本公開的各種實施方案的實施為在圖1的網(wǎng)絡(luò)環(huán)境中的計算裝置中執(zhí)行的認證管理服務(wù)的多個部分的功能性的一個實例的流程圖�����。
[0009]圖9是提供了根據(jù)本公開的各種實施方案的在圖1的網(wǎng)絡(luò)環(huán)境中使用的客戶端的一個實例圖示的示意框圖���。
【具體實施方式】
[0010]本公開涉及管理安全憑證,例如用戶名���、密碼����、安全密鑰和/或其它安全憑證��。盡管密碼在恰當使用時可以是很強的安全憑證�,但是它們通常被誤用。舉例來說���,用戶可能會設(shè)置相對較弱的密碼����,例如詞典中的詞語或者否則容易猜出的密碼��。用戶還可能會為在多個網(wǎng)絡(luò)站點上且具有不同安全要求的多個帳戶設(shè)置相同的密碼。因此��,如果一個帳戶受到威脅,那么使用相同密碼的所有其它帳戶也是易受攻擊的。
[0011]因此����,與使用密碼作為安全憑證相關(guān)聯(lián)的許多問題是因為人類不能處理密碼所表示的那類數(shù)據(jù)而造成。強的密碼通常含有隨機字符并且是長的����,這使得它們難以記住。密碼通常不是單塊信息且可以延伸人類工作記憶的極限��。本文中公開的系統(tǒng)使用戶與密碼在很大程度上分離,由此解決了許多所述問題����。舉例來說���,所述系統(tǒng)可使用從網(wǎng)絡(luò)站點可接受的整個字符集合中選出的字符來為每一網(wǎng)絡(luò)站點自動生成獨特的強密碼���。這可以使得從強力、彩虹表和/或其它攻擊中得到極好恢復(fù)���。在一般使用中�����,用戶可能無需知道用于網(wǎng)絡(luò)站點的密碼���。另外,所述系統(tǒng)可將密碼存儲在服務(wù)器上且使用戶在多個客戶端裝置上��、甚至在例如信息亭等公用客戶端裝置上可以使用所述密碼��。對集中存儲的密碼的訪問可以通過基于知識的問題�����、主控密碼和/或其它方法來保護���。用于強憑證生命周期管理的各種技術(shù)由2011年7月29日提交的發(fā)明名稱為“管理安全憑證(MANAGING SECURITY CREDENTIALS)”的美國專利申請第13/194�,287號描述���,所述申請以全文引用方式并入本文中。
[0012]在各種實施方案中,可以通過認證管理客戶端來自動地創(chuàng)建帳戶��,所述認證管理客戶端將關(guān)于用戶的信息的基本集合提供給網(wǎng)絡(luò)站點或標識提供者的帳戶創(chuàng)建端點���。在必要時可以通過提供額外的信息以訪問某些受保護資源來升級帳戶�����。多個用戶可以能夠登錄到認證管理客戶端,這樣可以允許用戶創(chuàng)建相應(yīng)帳戶且通過使用認證管理客戶端進行認證來訪問網(wǎng)絡(luò)站點的受保護資源��。在一些實施方案中�����,多個認證管理服務(wù)可能是可用的����,且可能可以由競爭實體提供����。一些網(wǎng)絡(luò)站點或標識提供者可支持所述認證管理服務(wù)中的一些但不支持另一些。用戶可以從一個認證管理服務(wù)遷移到另一認證管理服務(wù)�。
[0013]在各種實施方案中,認證管理客戶端使用域名匹配或其它分組根據(jù)網(wǎng)絡(luò)站點的域名來向網(wǎng)絡(luò)站點(或標識提供者)呈現(xiàn)安全憑證�����。一些網(wǎng)絡(luò)站點可支持使用多個標識提供者進行認證��。用戶可存儲對認證管理客戶端將使用的優(yōu)選標識提供者的偏好����,其中多個標識提供者是可用的。在一些情形中,由認證管理服務(wù)管理的帳戶和安全憑證僅可以通過預(yù)先授權(quán)的客戶端來恢復(fù)和使用�。此外,可改變或?qū)С鰬{證以方便在認證客戶端外部使用�����。在一些實施方案中���,在認證客戶端方便使用多個帳戶登錄到多個網(wǎng)絡(luò)站點的情況下�,認證客戶端可被配置來提供用于所述多個網(wǎng)絡(luò)站點的自動注銷功能性����。在以下論述中,提供對所述系統(tǒng)以及其組件的大體描述��,之后再論述其操作�。
[0014]參看圖1�����,示出了根據(jù)本公開的各種實施方案的網(wǎng)絡(luò)環(huán)境100��。網(wǎng)絡(luò)環(huán)境100包括可借助網(wǎng)絡(luò)115與計算裝置106和計算裝置112進行數(shù)據(jù)通信的客戶端103����。網(wǎng)絡(luò)115包括(例如)互聯(lián)網(wǎng)�、內(nèi)聯(lián)網(wǎng)�����、外聯(lián)網(wǎng)����、廣域網(wǎng)(WAN)、局域網(wǎng)(LAN)���、有線網(wǎng)絡(luò)��、無線網(wǎng)絡(luò)或其它合適網(wǎng)絡(luò)等��,或兩個或兩個以上此類網(wǎng)絡(luò)的任何組合�����?���?蛻舳?03還可借助(例如)本地接口�、數(shù)據(jù)總線或另一網(wǎng)絡(luò)115與便攜式數(shù)據(jù)存儲裝置118進行數(shù)據(jù)連接���。
[0015]客戶端103可包括(例如)計算機系統(tǒng),例如臺式計算機�、膝上型計算機、個人數(shù)字助理���、移動電話�、智能電話���、機頂盒�、音樂播放器���、上網(wǎng)平板�、平板計算機系統(tǒng)�����、游戲控制臺���、電子書閱讀器、信息亭或具有類似能力的其它裝置��。另外,客戶端103還可包括可經(jīng)由網(wǎng)絡(luò)115與計算裝置106��、112通信以執(zhí)行各種功能的具有網(wǎng)絡(luò)能力的任何裝置�����。此類客戶端103可包括(例如)具有處理器電路的基于處理器的裝置��,所述處理器電路包括處理器和存儲器���。
[0016]客戶端103可被配置來執(zhí)行各種應(yīng)用程序�,例如瀏覽器121���、認證管理客戶端124和/或其它應(yīng)用程序���。瀏覽器121可以在客戶端103中執(zhí)行,例如�,以訪問和呈現(xiàn)網(wǎng)絡(luò)頁面,例如網(wǎng)頁�����、gopher頁面����、移動應(yīng)用內(nèi)容或由計算裝置106和/或其它服務(wù)器提供的其它形式的網(wǎng)絡(luò)內(nèi)容���。可執(zhí)行認證管理客戶端124以管理用于網(wǎng)絡(luò)站點和標識提供者的用戶帳戶���,包括用戶名����、密碼��、私用和公開密鑰����、證書和/或其它安全憑證。
[0017]在一些實施方案中�����,認證管理客戶端124作為瀏覽器121的插件應(yīng)用程序來運行���。舉例來說�,認證管理客戶端124可實施為瀏覽器121的工具欄�。認證管理客戶端124可用超文本標記語言(HTML)第5版或另一語言來實施��。在其它實施方案中,認證管理客戶端124可為與瀏覽器121��、移動應(yīng)用程序和/或要求認證管理的其它應(yīng)用程序介接的獨立應(yīng)用程序����。客戶端103可被配置來執(zhí)行瀏覽器121和認證管理客戶端124以外的應(yīng)用程序���,例如電子郵件應(yīng)用程序�����、即時消息應(yīng)用程序和其它應(yīng)用程序���。
[0018]客戶端103包括數(shù)據(jù)存儲裝置127且可能的其它數(shù)據(jù)存儲裝置,所述數(shù)據(jù)存儲裝置可包括數(shù)據(jù)和被配置來提供對所述數(shù)據(jù)訪問的應(yīng)用程序�����?��?墒褂脭?shù)據(jù)存儲裝置127來存儲客戶端帳戶數(shù)據(jù)130�、標識提供者偏好數(shù)據(jù)131、證書信任數(shù)據(jù)133和/或可能還有其它數(shù)據(jù)���?�?蛻舳藥魯?shù)據(jù)130可包括(例如)用以訪問各種網(wǎng)絡(luò)站點或網(wǎng)絡(luò)頁面的安全憑證��、關(guān)于認證端點的信息和/或其它信息�。在各種實施方案中���,客戶端帳戶數(shù)據(jù)130可以以加密格式來存儲��。在各種實施方案中���,可暫時存儲客戶端帳戶數(shù)據(jù)130,使得在認證管理客戶端124的會話終止時擦除安全憑證��。在一個實施方案中�����,數(shù)據(jù)存儲裝置127可存儲經(jīng)加密密鑰�����,所述經(jīng)加密密鑰可響應(yīng)于從用戶獲得的主控安全憑證而解密?�?山又褂媒?jīng)解密密鑰來對客戶端帳戶數(shù)據(jù)130進行解密���。
[0019]客戶端帳戶數(shù)據(jù)130還可包括關(guān)于用戶的一組信息,認證管理客戶端124可使用所述信息來自動地創(chuàng)建或升級帳戶�����。此類信息可包括(例如)名字���、姓氏���、中間名縮寫或中間名、電子郵件地址�����、電話號碼����、實際地址、出生日期和/或其它信息。所存儲的用戶信息可劃分為較敏感的集合和較不敏感的集合����,所述兩個集合在用戶同意分享所述信息時可突出顯示。在一個實施方案中�����,可默認分享被視為較不敏感的信息以創(chuàng)建或升級帳戶����。如果請求用戶信息以進行帳戶創(chuàng)建或升級但所述用戶信息并不存儲在客戶端帳戶數(shù)據(jù)130中,那么可呈現(xiàn)表單以便用戶提供缺失信息��。在一個實施方案中�,信息的“基本”集合可通過標準來界定。
[0020]標識提供者偏好數(shù)據(jù)131可指示對于認證管理客戶端124將使用的標識提供者的用戶偏好�,其中對于一個網(wǎng)絡(luò)站點,有多個標識提供者可用��。證書信任數(shù)據(jù)133可描述發(fā)布網(wǎng)絡(luò)站點所用的數(shù)字證書的受信任證書授權(quán)中心�。證書信任數(shù)據(jù)133可包括(例如)與受信任證書授權(quán)中心相關(guān)聯(lián)的公開密鑰?���?墒褂盟龉_密鑰來驗證受信任證書授權(quán)中心在數(shù)字證書上的數(shù)字簽名。
[0021]計算裝置106可包括(例如)服務(wù)器計算機或提供計算能力的任何其它系統(tǒng)。替代地����,可使用多個計算裝置106,所述計算裝置被布置成(例如)一個或多個服務(wù)器組或計算機組或其它布置�����。舉例來說�,多個計算裝置106 —起可包括云計算資源、網(wǎng)格計算資源和/或任何其它分布式計算布置����。此類計算裝置106可局限在單個裝置中或可分布在許多不同地理位置間��。出于方便起見�,計算裝置106在本文中以單數(shù)來提及。盡管計算裝置106以單數(shù)來提及����,但應(yīng)理解,如上所述��,可在各種布置中使用多個計算裝置106���。
[0022]計算裝置106被配置來執(zhí)行各種應(yīng)用程序�,例如網(wǎng)絡(luò)頁面服務(wù)器136、具有帳戶創(chuàng)建端點138和認證端點139的認證服務(wù)137��,以及其它應(yīng)用程序�。網(wǎng)絡(luò)頁面服務(wù)器136被配置來向各種客戶端103提供網(wǎng)絡(luò)頁面(例如網(wǎng)頁)和來自計算裝置106的其它數(shù)據(jù)。網(wǎng)絡(luò)頁面服務(wù)器136可被配置來通過超文本傳輸協(xié)議(HTTP)��、安全超文本傳輸協(xié)議(HTTPS)或某一其它協(xié)議來發(fā)送網(wǎng)絡(luò)頁面���。網(wǎng)絡(luò)頁面服務(wù)器136可使用使用(例如)安全套接字層(SSL)�、傳輸層安全性(TLS)和/或某一其它方法進行的加密����。網(wǎng)絡(luò)頁面服務(wù)器136的非限制性實例包括Apache? HTTP服務(wù)器、Apache? Tomcat�����、Microsoft?互聯(lián)網(wǎng)信息服務(wù)(IIS)和其它服務(wù)器應(yīng)用程序�。
[0023]網(wǎng)絡(luò)頁面服務(wù)器136可被配置來提供一個或多個網(wǎng)絡(luò)站點140。這樣的網(wǎng)絡(luò)站點140據(jù)稱是由網(wǎng)絡(luò)頁面服務(wù)器136托管����。網(wǎng)絡(luò)站點140可包括與域名(例如規(guī)范名稱)和目錄(例如根目錄(即�,“/ “)或某一其它目錄)相關(guān)聯(lián)的一組網(wǎng)絡(luò)頁面和/或文件����。每一網(wǎng)絡(luò)站點140可與網(wǎng)絡(luò)頁面服務(wù)器136中的不同配置設(shè)置相關(guān)聯(lián),而其它默認配置設(shè)置可在網(wǎng)絡(luò)站點140間共享��。
[0024]執(zhí)行認證服務(wù)137以促進帳戶創(chuàng)建和認證����。認證服務(wù)137可通過網(wǎng)絡(luò)站點140操作或者可由多個網(wǎng)絡(luò)站點140使用。在認證服務(wù)137由多個網(wǎng)絡(luò)站點140使用的情況下����,認證服務(wù)137可被稱作標識提供者。作為標識提供者��,認證服務(wù)137可由通過許多不同實體操作的許多不同網(wǎng)絡(luò)站點140使用����。在一些情況中����,網(wǎng)絡(luò)站點140可支持多個認證服務(wù)137或標識提供者。在各種實施方案中�,網(wǎng)絡(luò)站點140和認證服務(wù)137可在同一計算裝置106中或在不同計算裝置106中執(zhí)行�。
[0025]帳戶創(chuàng)建端點138可包括網(wǎng)絡(luò)頁面和/或軟件��,所述網(wǎng)絡(luò)頁面和/或軟件被配置來方便使用帳戶創(chuàng)建協(xié)議在用于一個或多個網(wǎng)絡(luò)站點140的客戶端103處創(chuàng)建一個或多個帳戶和/或建立用于一個或多個用戶的現(xiàn)有帳戶的安全憑證���。在各種實施方案中�,認證管理客戶端124經(jīng)由網(wǎng)絡(luò)頁面服務(wù)器136與帳戶創(chuàng)建端點138通信�。為此,帳戶創(chuàng)建端點138可為網(wǎng)絡(luò)頁面服務(wù)器136的插件或其它模塊�����,即�,嵌入于網(wǎng)絡(luò)頁面內(nèi)或否則嵌入于網(wǎng)絡(luò)站點140內(nèi)且借助解釋程序或通用網(wǎng)關(guān)接口執(zhí)行或以某其它方式經(jīng)由網(wǎng)絡(luò)頁面服務(wù)器136來訪問的腳本或其它軟件。在其它實施方案中����,帳戶創(chuàng)建端點138可以是在與網(wǎng)絡(luò)頁面服務(wù)器136相同或不同的計算裝置106上執(zhí)行的服務(wù)器應(yīng)用程序。
[0026]認證端點139可包括被配置來方便在用于一個或多個網(wǎng)絡(luò)站點140的客戶端103處進行用戶認證的網(wǎng)絡(luò)頁面和/或軟件����。在各種實施方案中,認證管理客戶端124經(jīng)由網(wǎng)絡(luò)頁面服務(wù)器136與認證端點139通信����。為此��,認證端點139可為網(wǎng)絡(luò)頁面服務(wù)器136的插件或其它模塊��,即�����,嵌入于網(wǎng)絡(luò)頁面內(nèi)或否則嵌入于網(wǎng)絡(luò)站點140內(nèi)且借助解釋程序或通用網(wǎng)關(guān)接口執(zhí)行或以某其它方式經(jīng)由網(wǎng)絡(luò)頁面服務(wù)器136來訪問的腳本或其它軟件�����。在其它實施方案中�����,認證端點139可以是在與網(wǎng)絡(luò)頁面服務(wù)器136相同或不同的計算裝置106上執(zhí)行的服務(wù)器應(yīng)用程序����。
[0027]計算裝置106包括數(shù)據(jù)存儲裝置142以及可能的其它數(shù)據(jù)存儲裝置�����,所述數(shù)據(jù)存儲裝置可包括數(shù)據(jù)以及被配置來能夠訪問所述數(shù)據(jù)的應(yīng)用程序����。可使用數(shù)據(jù)存儲裝置142來存儲網(wǎng)絡(luò)頁面145�����、配置文件148�����、站點帳戶數(shù)據(jù)151�����、證書數(shù)據(jù)154和/或可能的其它數(shù)據(jù)�。網(wǎng)絡(luò)頁面145可包括為網(wǎng)絡(luò)頁面服務(wù)器136所托管的網(wǎng)絡(luò)站點140提供的網(wǎng)絡(luò)頁面和/或文件。配置文件148可包括一個或多個安全憑證規(guī)范和/或描述一個或多個帳戶創(chuàng)建端點138和/或認證端點139的界面�。站點帳戶數(shù)據(jù)151包括安全憑證和/或與一個或多個網(wǎng)絡(luò)站點140的用戶相關(guān)聯(lián)的其它數(shù)據(jù)。證書數(shù)據(jù)154包括可由網(wǎng)絡(luò)頁面服務(wù)器136���、認證端點139和/或計算裝置106上的其它應(yīng)用程序用來識別網(wǎng)絡(luò)站點和/或加密數(shù)據(jù)的數(shù)字證書�。
[0028]計算裝置112可包括(例如)服務(wù)器計算機或提供計算能力的任何其它系統(tǒng)���。替代地��,可使用多個計算裝置112����,計算裝置112被布置在(例如)一個或多個服務(wù)器組或計算機組或其它布置中。舉例來說����,多個計算裝置112 —起可包括云計算資源、網(wǎng)格計算資源和/或任何其它分布式計算布置��。此類計算裝置112可位于單個裝置中或可分布在許多不同地理位置間����。出于方便起見,計算裝置112在本文中以單數(shù)來提及���。盡管計算裝置112以單數(shù)來提及��,但應(yīng)理解����,如上所述�����,可在各種布置中使用多個計算裝置112��。
[0029]根據(jù)各種實施方案�����,可在計算裝置112中執(zhí)行各種應(yīng)用程序和/或其它功能性����。此夕卜,各種數(shù)據(jù)存儲在計算裝置112可訪問的數(shù)據(jù)存儲裝置160中��。如可了解到��,數(shù)據(jù)存儲裝置160可表示多個數(shù)據(jù)存儲裝置160����。存儲在數(shù)據(jù)存儲裝置160中的數(shù)據(jù)(例如)與下文描述的各種應(yīng)用程序和/或功能實體的操作相關(guān)聯(lián)。
[0030]在計算裝置112上執(zhí)行的組件(例如)包括認證管理服務(wù)163和本文中未詳細論述的其它應(yīng)用程序�����、服務(wù)����、過程、系統(tǒng)、引擎或功能性�。執(zhí)行認證管理服務(wù)163以能夠訪問與用于網(wǎng)絡(luò)站點140的用戶帳戶相關(guān)聯(lián)的由計算裝置112存儲的安全憑證。在各種實施方案中���,認證管理服務(wù)163可被配置來在客戶端103處代表用戶針對網(wǎng)絡(luò)站點140產(chǎn)生用戶帳戶和/或建立安全憑證��。在各種實施方案中���,認證管理服務(wù)163可使用主控安全憑證和/或基于知識的問題對客戶端1 3進行認證。
[0031]在一個實施方案中�,將認證管理服務(wù)163注冊在此類服務(wù)的目錄中。這樣一個目錄可由中立的第三方來維護��。認證管理服務(wù)163相對于彼此可能是有區(qū)別的�。一些認證管理服務(wù)163可(例如)提供隱私友好服務(wù),所述隱私友好服務(wù)向用戶保證認證管理服務(wù)163不會記錄下他們的瀏覽習(xí)慣�。其它認證管理服務(wù)163可選擇追蹤通過認證管理客戶端124執(zhí)行的登錄。用戶可以能夠借助遷移協(xié)議將其帳戶數(shù)據(jù)從一個認證管理服務(wù)163遷移到另一認證管理服務(wù)163��。
[0032]存儲在數(shù)據(jù)存儲裝置160中的數(shù)據(jù)包括(例如)服務(wù)器帳戶數(shù)據(jù)166�����、有效主控憑證169�����、有效輔助憑證170、靜態(tài)的基于知識的問題172�、用戶數(shù)據(jù)175�����、配置文件176以及可能還有其它數(shù)據(jù)���。存儲在數(shù)據(jù)存儲裝置160中的數(shù)據(jù)可分割為用戶特定數(shù)據(jù)和全局數(shù)據(jù)�����。服務(wù)器帳戶數(shù)據(jù)166包括安全憑證以便用戶向網(wǎng)絡(luò)站點140進行認證��。此類安全憑證可以以加密形式或未加密形式來存儲����。服務(wù)器帳戶數(shù)據(jù)166還可包括關(guān)于帳戶創(chuàng)建端點138��、認證端點139的信息和/或其它信息��。認證管理客戶端124可被配置來頻繁地更新和同步服務(wù)器帳戶數(shù)據(jù)166與客戶端帳戶數(shù)據(jù)130以在用戶經(jīng)由多個客戶端103登錄時確保新鮮度���。
[0033]使用有效主控憑證169來向認證管理服務(wù)163對用戶進行認證�。在一個實例中,有效主控憑證169可對應(yīng)于用戶建立的主控安全憑證的哈希版本��。有效輔助憑證170對應(yīng)于也可以用來向認證管理服務(wù)163對用戶進行認證的輔助憑證�����。與主控安全憑證不同�����,對用戶進行認證可能需要一個或多個有效輔助憑證170與對一個或多個基于知識的問題的正確回答的組合��?���?蓪⑾鄳?yīng)權(quán)重應(yīng)用于用以確定認證的得分的每一分量。
[0034]靜態(tài)的基于知識的問題172對應(yīng)于用戶已預(yù)先配置好答案的基于知識的問題�。此類問題可由用戶選擇或可以是預(yù)先選擇的。用戶數(shù)據(jù)175對應(yīng)于與用戶相關(guān)聯(lián)的各種數(shù)據(jù)��。此類用戶數(shù)據(jù)175可與用戶與在線零售商的購買交易��、瀏覽歷史���、訂購歷史��、搜索歷史���、簡檔信息和/或其它數(shù)據(jù)有關(guān)�。如將描述的���,用戶數(shù)據(jù)175可用以產(chǎn)生動態(tài)的基于知識的問題。在一些實施方案中,用戶數(shù)據(jù)175可對應(yīng)于描述用戶與網(wǎng)絡(luò)站點140的交互的數(shù)據(jù)。
[0035]配置文件176可包括一個或多個安全憑證規(guī)范和/或描述一個或多個帳戶創(chuàng)建端點138和/或認證端點139的界面�����。雖然先前論述的在數(shù)據(jù)存儲裝置160中的數(shù)據(jù)具有用戶特定的性質(zhì)�,但配置文件176可以是非用戶特定的且因此可以被視為全局數(shù)據(jù)�����。
[0036]便攜式數(shù)據(jù)存儲裝置118可包括(例如)通用串行總線(USB)閃存存儲裝置�����、固態(tài)存儲裝置��、便攜式硬盤、軟盤����、光盤和/或其它便攜式存儲裝置。在各種實施方案中���,便攜式數(shù)據(jù)存儲裝置118可包括包括處理器和存儲器的處理器電路�����。在其它實施方案中����,便攜式數(shù)據(jù)存儲裝置118可僅由非暫時性計算機可讀存儲媒體組成�����。在一些實施方案中����,便攜式數(shù)據(jù)存儲裝置118可以是可卸除地附接到客戶端103。
[0037]便攜式數(shù)據(jù)存儲裝置118可被配置來存儲便攜式帳戶數(shù)據(jù)178����、認證管理客戶端代碼179和/或其它數(shù)據(jù)�。便攜式帳戶數(shù)據(jù)178可包括(例如)用以訪問各種網(wǎng)絡(luò)站點140或網(wǎng)絡(luò)頁面145的安全憑證�����、關(guān)于認證端點139的信息��、用以對客戶端帳戶數(shù)據(jù)130進行解密的主控安全憑證�,和/或其它信息。在各種實施方案中��,便攜式帳戶數(shù)據(jù)178可為客戶端帳戶數(shù)據(jù)130或服務(wù)器帳戶數(shù)據(jù)166的鏡像�����。在其它實施方案中����,便攜式帳戶數(shù)據(jù)178可替代客戶端帳戶數(shù)據(jù)130或服務(wù)器帳戶數(shù)據(jù)166�����。便攜式帳戶數(shù)據(jù)178可以以加密格式來存儲�����。
[0038]為此,便攜式數(shù)據(jù)存儲裝置118可包括用以對用戶進行認證以便能夠訪問便攜式數(shù)據(jù)存儲裝置118上的數(shù)據(jù)(例如便攜式帳戶數(shù)據(jù)178)的裝置(例如�,指紋掃描儀或其它生物特征辨識裝置、Pin碼小鍵板等)���;或者它可包括準許用戶鍵入密碼和/或解密密鑰以便能夠訪問便攜式數(shù)據(jù)存儲裝置118上的數(shù)據(jù)的硬件和/或軟件��。另外�����,在一些實施方案中�����,認證管理客戶端124可作為認證管理客戶端代碼179存儲在便攜式數(shù)據(jù)存儲裝置118上且例如在便攜式數(shù)據(jù)存儲裝置118附接到客戶端103時在客戶端103中執(zhí)行�����。
[0039]接下來�����,提供對網(wǎng)絡(luò)環(huán)境100中的各種組件的操作的大體描述��。首先���,用戶可將認證管理客戶端124安裝到客戶端103上且針對與網(wǎng)絡(luò)站點140相關(guān)聯(lián)的現(xiàn)有帳戶預(yù)先配置認證管理客戶端124的操作��。舉例來說�����,用戶可向認證管理客戶端124和/或認證管理服務(wù)163提供現(xiàn)有安全憑證(例如��,用戶名��、密碼�、安全密鑰�、證書和/或其它安全憑證)以及與所述安全憑證相關(guān)聯(lián)的網(wǎng)絡(luò)站點140和/或統(tǒng)一資源定位器(URL)的識別信息。認證管理客戶端124可與多個認證管理服務(wù)163中的一個或多個相關(guān)聯(lián)��。認證管理客戶端124可以或可以不借助標準的認證管理協(xié)議與認證管理服務(wù)163交互���。在一些情況中,認證管理客戶端124可以示出與對應(yīng)的認證管理服務(wù)163相關(guān)聯(lián)的某一標志或其它標牌�。
[0040]用戶還可針對認證管理客戶端124配置主控安全憑證,例如用戶名��、密碼����、生物特征標識等�����,使得安全憑證可經(jīng)加密或以其它方式進行保護以防在未經(jīng)用戶授權(quán)的情況下在客戶端103上使用或觀看����。在一個實施方案中����,在安裝了認證管理客戶端124之后,認證管理客戶端124即刻使用隨機產(chǎn)生的高熵主控密鑰對客戶端帳戶數(shù)據(jù)130進行加密�。此主控密鑰又可被加密成用戶指定的主控密鑰,其可與客戶端帳戶數(shù)據(jù)130 —起存儲以便可以進行本地解密�����。在一些實施方案中�,在客戶端103中對操作系統(tǒng)用戶會話的訪問可以使得能夠在沒有單獨用戶登錄的情況下訪問客戶端帳戶數(shù)據(jù)130。在客戶端103執(zhí)行Windows?操作系統(tǒng)的一個實施方案中����,主控安全憑證可存儲在“憑證管理器”中。
[0041]在安全憑證存儲在計算裝置112的服務(wù)器帳戶數(shù)據(jù)166中的情況下,用戶可針對認證管理服務(wù)163來建立有效主控憑證169�。在一個實施方案中�,用戶的服務(wù)器帳戶數(shù)據(jù)166可以以加密形式來存儲��。在一個實施方案中��,使用由于客戶端103與計算裝置112之間的SSL/TLS會話而產(chǎn)生的安全憑證,例如Rivest Cipher 4 (RC4)對稱密鑰或某其它安全憑證��,對用戶的服務(wù)器帳戶數(shù)據(jù)166進行加密��。所述加密可以在認證管理客戶端124中執(zhí)行����,使得安全憑證細節(jié)不會不受阻礙地給予認證管理服務(wù)163。在一些情況中���,用戶可以針對認證管理服務(wù)163來配置靜態(tài)的基于知識的問題172的答案�����。
[0042]帳戶信息可由認證管理客戶端124存儲在客戶端103上的客戶端帳戶數(shù)據(jù)130中和/或存儲在某其它位置處�。舉例來說��,認證管理客戶端124可以將帳戶信息備份到位于計算裝置106上的帳戶數(shù)據(jù)160��、位于便攜式數(shù)據(jù)存儲裝置118中的便攜式帳戶數(shù)據(jù)178和/或另一位置�。與帳戶信息在客戶端103上的存儲有關(guān)的各種技術(shù)由2009年8月12日提交的發(fā)明名稱為“認證管理器(AUTHENTICAT1N MANAGER)”的美國專利申請第12/539���,886號描述�����,所述申請以全文引用的方式并入本文中�。
[0043]在一些實施方案中,帳戶信息可以集中托管在計算裝置112的服務(wù)器帳戶數(shù)據(jù)166中��。當使用計算裝置112���、便攜式數(shù)據(jù)存儲裝置118或其它存儲位置存儲帳戶信息時��,用戶可以能夠在另一客戶端103上使用認證管理客戶端124和帳戶信息。為此��,可在另一客戶端103上(例如)自動地下載��、配置和載入認證管理客戶端124�。另外,被描述為由認證管理客戶端124執(zhí)行的各種功能可改為由認證管理服務(wù)163執(zhí)行����。舉例來說,認證管理服務(wù)163可被配置來替代認證管理客戶端124來創(chuàng)建帳戶�、重新產(chǎn)生安全憑證等。在一些情況中�����,認證管理客戶端124可表征為認證管理服務(wù)163的客戶端應(yīng)用程序����。
[0044]安全憑證可以在認證管理客戶端124的多個用戶間共享。作為非限制性實例�,一組織中的若干用戶可以共享在線銀行帳戶。第一用戶可以使用認證管理客戶端124和/或認證管理服務(wù)163來為帳戶創(chuàng)建用戶名和密碼�����。第一用戶可以將所述帳戶標記為共享的且提供被授權(quán)訪問所述帳戶的用戶的列表(包括第二用戶在內(nèi))��。當所述帳戶分布到客戶端帳戶數(shù)據(jù)130���、服務(wù)器帳戶數(shù)據(jù)166����、便攜式帳戶數(shù)據(jù)178時,它可以是受保護的�,使得僅授權(quán)用戶可以訪問它����。當?shù)诙脩艚酉聛硎褂谜J證管理客戶端124時,可向第二用戶給予機會來同步新帳戶與位于屬于第二用戶的便攜式數(shù)據(jù)存儲裝置118中或位于某其它位置中的便攜式帳戶數(shù)據(jù)178�����。
[0045]在安裝過程期間�����,在一個實施方案中�����,用戶可指定認證管理客戶端124將作為瀏覽器121的插件還是作為獨立的應(yīng)用程序來操作����。認證管理客戶端124可經(jīng)安裝且針對多個瀏覽器 121 (例如 Firefox?、Internet Explorer?�、Safari?�、Chrome? 和 / 或其它瀏覽器121)來進行配置��。還可在客戶端103上針對多個用戶來配置認證管理客戶端124��。
[0046]當用戶借助瀏覽器121或另一應(yīng)用程序來訪問網(wǎng)絡(luò)站點140時�����,認證管理客戶端124確定網(wǎng)絡(luò)站點140是否與所存儲的帳戶信息相關(guān)聯(lián)�,所述帳戶信息可(例如)集中存儲在服務(wù)器帳戶數(shù)據(jù)166中或本地存儲在客戶端帳戶數(shù)據(jù)130中。認證管理客戶端124可與網(wǎng)絡(luò)站點140或單獨的標識提供者的認證服務(wù)137通信���。
[0047]認證管理客戶端124可用到網(wǎng)絡(luò)站點140的域名以便將所存儲的帳戶與網(wǎng)絡(luò)站點140相關(guān)����。在一些情況中�����,具有不同域名的多個網(wǎng)絡(luò)站點140可使用相同的所存儲帳戶����。有時,此確定可基于域名的一部分,例如二級域名部分����。作為非限制性實例,公司可能具有若干網(wǎng)絡(luò)站點140���,所述網(wǎng)絡(luò)站點140具有針對各種地理位置的不同域名或一般的頂級域名�����,例如“e-retailer.com”、“e-retailer.net”�����、“e_ retailer, c0.uk”���、“e_retailer.eu�����,���,、“e-retailer, c0.jp”等等。認證管理客戶端124可根據(jù)字符串“e_ retailer”在域名中而非根據(jù)對域名的完全匹配來識別用戶帳戶����。然而,所述匹配可能不是決定性的��,且網(wǎng)絡(luò)站點140實際上可能是不相關(guān)的��。因此���,在與網(wǎng)絡(luò)站點140交換來自所存儲帳戶的任何受保護信息之前���,可向用戶呈現(xiàn)所述帳戶的標識以便進行顯式確認。
[0048]如果網(wǎng)絡(luò)站點140不與所存儲帳戶信息相關(guān)聯(lián)�,那么認證管理客戶端124可通知用戶且如果用戶具有現(xiàn)有帳戶則可提示用戶提供安全憑證。用戶提供的安全憑證可接著由認證管理客戶端124存儲在客戶端帳戶數(shù)據(jù)130�、服務(wù)器帳戶數(shù)據(jù)166或便攜式帳戶數(shù)據(jù)178中的一個或多個中。
[0049]替代地或此外����,認證管理客戶端124和/或認證管理服務(wù)163可輔助用戶創(chuàng)建網(wǎng)絡(luò)站點140的帳戶。所述帳戶可以是一次性帳戶�、用戶的第一帳戶或用戶的第二或后續(xù)帳戶。認證管理客戶端124和/或認證管理服務(wù)163可(例如)基于嵌入于網(wǎng)絡(luò)頁面145內(nèi)的表單的結(jié)構(gòu)來確定如何創(chuàng)建網(wǎng)絡(luò)站點140的帳戶����。這樣一個表單可用超文本標記語言(HTML)�����、可擴展標記語言(XML)或某一其它語言來定義����。
[0050]作為非限制性實例�,在網(wǎng)絡(luò)頁面145上的提交輸入元件與例如“創(chuàng)建帳戶”等文本相關(guān)聯(lián)時,認證管理客戶端124可識別帳戶創(chuàng)建表單����。認證管理客戶端124還可檢查URL以查找相關(guān)關(guān)鍵字�����。作為另一非限制性實例��,在質(zhì)詢響應(yīng)測試(例如“Captcha”)存在時���,認證管理客戶端124可識別帳戶創(chuàng)建表單����。認證管理客戶端124可使用(例如)網(wǎng)絡(luò)頁面145上名為“用戶名”、“密碼”或其它可識別名稱的輸入元件來自動地識別安全憑證的必需字段�。在各種實施方案中,認證管理客戶端124可使用戶識別帳戶創(chuàng)建表單和/或標記所述表單的輸入元件�,使得認證管理客戶端124可準確地識別可如何通過表單填充來創(chuàng)建帳戶。這樣一個標記列表可存儲在配置文件176中���,所述配置文件接著可上傳到計算裝置112�����。在此����,配置文件176可由其它用戶使用認證管理客戶端124來訪問且被他們用來簡化由配置文件176所描述的在網(wǎng)絡(luò)站點140上的帳戶創(chuàng)建����。替代地或此外,配置文件176可由計算裝置112存儲以便認證管理客戶端124����、認證管理服務(wù)163和/或其它應(yīng)用程序訪問。
[0051]在各種實施方案中����,認證管理客戶端124和/或認證管理服務(wù)163可通過表單填充以外的方法以自動方式來創(chuàng)建帳戶��。舉例來說��,認證管理客戶端124和/或認證管理服務(wù)163可從用于網(wǎng)絡(luò)站點140的網(wǎng)絡(luò)頁面服務(wù)器136或可提供與網(wǎng)絡(luò)站點140相關(guān)聯(lián)的配置文件176的計算裝置112獲得與網(wǎng)絡(luò)站點140相關(guān)聯(lián)的配置文件148���。配置文件148、176可定義用于網(wǎng)絡(luò)站點140的一個或多個帳戶創(chuàng)建端點138����,其中認證管理客戶端124和/或認證管理服務(wù)163可通過填寫表單之外的方法來認證和/或創(chuàng)建帳戶。舉例來說���,配置文件148�����、176可定義通過帳戶創(chuàng)建端點138以自動方式創(chuàng)建帳戶所需的URL�、參數(shù)���、編碼和/或其它信息。在一些實施方案中����,一個帳戶創(chuàng)建端點138可由多個網(wǎng)絡(luò)站點140和/或網(wǎng)絡(luò)頁面服務(wù)器136共享���。為了防止對帳戶的未經(jīng)授權(quán)自動創(chuàng)建,認證管理客戶端124和/或認證端點139可包括“Captchas”��,限制帳戶創(chuàng)建的速度和/或采取其它措施����。
[0052]配置文件148、176還可包括與網(wǎng)絡(luò)站點140相關(guān)聯(lián)的安全憑證規(guī)范���。所述安全憑證規(guī)范可指定用于用戶名和/或密碼的字符集�����、最小長度���、最大長度和/或其它參數(shù)。所述安全憑證規(guī)范還可指定可應(yīng)用于公開密鑰基礎(chǔ)結(jié)構(gòu)或其它類型的安全憑證的最小密鑰長度���、可接受算法和格式和/或其它參數(shù)��。
[0053]認證管理客戶端124和/或認證管理服務(wù)163可基于安全憑證規(guī)范來產(chǎn)生一個或多個安全憑證�����。在一個實施方案中�,認證管理服務(wù)163可被配置來根據(jù)基于訂閱的推送模型來獲得安全憑證規(guī)范。在另一實施方案中����,認證管理服務(wù)163可被配置來按有規(guī)律的時間間隔從計算裝置106拉取安全憑證規(guī)范。
[0054]當認證管理客戶端124和/或認證管理服務(wù)163正通過表單填充來創(chuàng)建帳戶時��,認證管理客戶端124可提示用戶提供安全憑證規(guī)范��,使得認證管理客戶端124和/或認證管理服務(wù)163可產(chǎn)生一個或多個安全憑證以便填到表單中����。用戶可在帳戶創(chuàng)建表單附近看到關(guān)于顯示于網(wǎng)絡(luò)頁面145上的安全憑證的必要屬性的信息。認證管理客戶端124可提供多個選項���,包括但不限于安全憑證的長度�、使用某一字符集的指示�����、使用至少一個數(shù)字的指示��、使用至少一個非字母數(shù)字字符的指示以及其它選項����。
[0055]作為非限制性實例,認證管理客戶端124可向用戶呈現(xiàn)圖形界面����,所述圖形界面列出了可用于產(chǎn)生安全憑證的各種屬性。這樣一個圖形界面可包括(例如)復(fù)選框����、單選按鈕、下拉框�����、文本字段��、文本區(qū)等���。所述圖形界面可用默認選擇來預(yù)先配置���。在安全憑證由認證管理服務(wù)163產(chǎn)生的情況下,認證管理服務(wù)163可執(zhí)行表單填充�,或可將安全憑證傳送給認證管理客戶端124以便認證管理客戶端124執(zhí)行表單填充。
[0056]在各種實施方案中����,當認證管理客戶端124正在通過表單填充來創(chuàng)建帳戶時��,認證管理客戶端124可(例如)用精靈界面來替代填充表單過程中的正常用戶交互�����。所述精靈界面可省略可以通過認證管理客戶端124自動完成的任務(wù)或字段�。然而����,精靈界面可獲得來自用戶的輸入以便填充例如“Captchas”和其它質(zhì)詢響應(yīng)測試等字段。雖然認證管理客戶端124和/或認證管理服務(wù)163可被配置來填充與其它個人信息(例如�,姓名、出生日期�、社會保險號碼、電話號碼�����、地址等)有關(guān)的字段����,但認證管理客戶端124可改為被配置來提示用戶填寫所述信息。在各種實施方案中,認證管理客戶端124可空出未經(jīng)辨識的表單字段以便用戶完成���。
[0057]因此,認證管理客戶端124和/或瀏覽器121將與所產(chǎn)生的安全憑證相關(guān)聯(lián)的帳戶創(chuàng)建請求發(fā)送給網(wǎng)絡(luò)站點140�。在提交了帳戶創(chuàng)建請求之后,將會或不會針對網(wǎng)絡(luò)站點140創(chuàng)建帳戶�����。網(wǎng)絡(luò)站點140通常提供指示帳戶創(chuàng)建是否成功的響應(yīng)頁面����。這樣一個網(wǎng)絡(luò)頁面145可由認證管理客戶端124自動地剖析或可留給用戶另外輸入到認證管理客戶端124。
[0058]在一些情況中�����,響應(yīng)頁面將包括具有存在問題的指示的另一表單�����。作為非限制性實例��,用戶名字段可突出顯示且具有指定用戶名已被使用的解釋����。認證管理客戶端124可被配置來自動地響應(yīng)此類請求和/或?qū)で笥脩糨斎?��。?jīng)由認證端點139作出的帳戶創(chuàng)建響應(yīng)可通過認證管理客戶端124以類似方式處置。在一個實施方案中���,認證管理客戶端124可以只是假定創(chuàng)建了帳戶��。
[0059]響應(yīng)于帳戶創(chuàng)建��,認證管理客戶端124和/或認證管理服務(wù)163將帳戶信息(包括但不限于安全憑證���、URL以及與帳戶和網(wǎng)絡(luò)站點140相關(guān)聯(lián)的域名)存儲在客戶端帳戶數(shù)據(jù)130、服務(wù)器帳戶數(shù)據(jù)166或便攜式帳戶數(shù)據(jù)178中的一個或多個中��。明確地說��,網(wǎng)絡(luò)站點140或認證端點139可在帳戶創(chuàng)建過程期間呈現(xiàn)來自證書數(shù)據(jù)154的受信任證書�����。與此受信任證書有關(guān)的信息(包括域名�、證書授權(quán)中心和來自證書的其它信息)可與帳戶信息一起存儲。
[0060]所述帳戶信息因此可被標記為在與受信任證書中提供的域名對應(yīng)的網(wǎng)絡(luò)站點140上可用��,或者在較高安全系數(shù)環(huán)境中僅在能夠呈現(xiàn)所述特定證書的網(wǎng)絡(luò)站點140上可用。存儲在客戶端帳戶數(shù)據(jù)130����、服務(wù)器帳戶數(shù)據(jù)166或便攜式帳戶數(shù)據(jù)178中的任一個中的帳戶信息可通過認證管理客戶端124和/或認證管理服務(wù)163手動或自動地復(fù)制到任何其它客戶端帳戶數(shù)據(jù)130、服務(wù)器帳戶數(shù)據(jù)166或便攜式帳戶數(shù)據(jù)178���,使得所述帳戶信息可在客戶端帳戶數(shù)據(jù)130、服務(wù)器帳戶數(shù)據(jù)166或便攜式帳戶數(shù)據(jù)178中的任兩者或兩者以上間鏡像映射���。
[0061]為了進行備份����,認證管理客戶端124和/或認證管理服務(wù)163可以能夠呈現(xiàn)客戶端帳戶數(shù)據(jù)130��、服務(wù)器帳戶數(shù)據(jù)166或便攜式帳戶數(shù)據(jù)178中的所存儲帳戶信息的列表以便查看或打印�。為了方便查看或打印,認證管理客戶端124和/或認證管理服務(wù)163可被配置來使用適當?shù)淖址瘉懋a(chǎn)生人類可讀或可打印的安全憑證�����。替代地�����,認證管理客戶端124和/或認證管理服務(wù)163可使用編碼方法(例如UUencoding、BinHex�����、多用途互聯(lián)網(wǎng)郵件擴展(MME)編碼�����、Base64和其它編碼方法)以可打印形式來對安全憑證進行編碼���。
[0062]另外�����,為了進行恢復(fù)�,可將主控安全憑證寫入到可卸除式媒體����,例如通用串行總線(USB)盤。為了在恢復(fù)情況中提高安全性����,可將主控安全憑證加密成存儲在客戶端103中的密文。這樣確保丟失的USB盤或其它可卸除式媒體不能用來訪問服務(wù)器帳戶數(shù)據(jù)166��。在一些實施方案中,恢復(fù)有時可至少部分由操作系統(tǒng)通過將主控安全憑證綁定到操作系統(tǒng)中的用戶帳戶來實施��。
[0063]為了實現(xiàn)漫游和恢復(fù)����,可由認證管理客戶端124產(chǎn)生一組一次性密碼。這些密碼中的每一個都可用來產(chǎn)生主控安全憑證的額外經(jīng)加密版本��,所述經(jīng)加密版本中每一個可附加到服務(wù)器帳戶數(shù)據(jù)166����。在使用到一次性密碼時����,可以通過認證管理客戶端124從服務(wù)器帳戶數(shù)據(jù)166移除每一條目來施行所述一次性密碼。用戶可負責將這些一次性密碼保存在系統(tǒng)外的某些地方(例如���,打印出�、在錢包卡上等等)�����。
[0064]在一些實施方案中�����,可以通過認證管理服務(wù)163依照機器來管理恢復(fù)和重置能力。在一個實施方案中�,僅用于給定認證管理帳戶的第一客戶端103可以能夠進行恢復(fù)。認證管理服務(wù)163可提供用戶界面來管理客戶端103��,包括允許在額外客戶端103上進行恢復(fù)/重置的能力����。另外,可支持不同類型的帳戶數(shù)據(jù)恢復(fù)機制(例如���,一次性密碼����、操作系統(tǒng)恢復(fù)�、存儲在可卸除式媒體上的憑證等),且可以依照客戶端來啟用或停用這些帳戶數(shù)據(jù)恢復(fù)機制的子集���。舉例來說�,認證管理客戶端124可被配置來請求準許使用所述帳戶數(shù)據(jù)恢復(fù)機制中的特定機制�。這樣一個請求可包括客戶端識別令牌。
[0065]認證管理服務(wù)163可根據(jù)是否已向特定客戶端103授予授權(quán)來啟用或停用所請求的帳戶數(shù)據(jù)恢復(fù)機制����。作為非限制性實例�,第一經(jīng)注冊客戶端103 (例如�,家里的機器)可以能夠使用所有恢復(fù)機制,但默認的是��,沒有恢復(fù)機制可以在其它客戶端103 (例如��,朋友的機器)上使用��。這可以用來預(yù)先制止通過此類恢復(fù)機制進行安全攻擊的可能性��?�?商峁┡c認證管理服務(wù)163的接口以便用戶針對特定客戶端103選擇性地啟用或停用特定恢復(fù)機制�。
[0066]為了促進對丟失的主控安全憑證的恢復(fù)�����,可將主控安全憑證寫入到便攜式數(shù)據(jù)存儲裝置118或其它可卸除式媒體��。為了在這樣一種情形中提高安全性���,可將主控安全憑證加密成存儲在客戶端103中的密鑰���,使得即便便攜式數(shù)據(jù)存儲裝置118或可卸除式媒體被偷了��,也只有在客戶端103上才能對主控安全憑證解密�。在一些實施方案中�,主控安全憑證可對應(yīng)于由操作系統(tǒng)管理的操作系統(tǒng)憑證。
[0067]在一些實施方案中���,可由認證管理客戶端124產(chǎn)生一組一次性密碼��,且這些密碼中的每一個都可用來產(chǎn)生主控安全憑證的額外經(jīng)加密版本�����,所述經(jīng)加密版本中的每一個可附加到客戶端帳戶數(shù)據(jù)130和服務(wù)器帳戶數(shù)據(jù)166����。為了施行所述一次性密碼�����,在使用到一次性密碼時����,由認證管理客戶端124從客戶端帳戶數(shù)據(jù)130移除每一條目���。用戶可負責使這些一次性密碼在系統(tǒng)外保持安全(例如,打印出���、在錢包卡上等等)�。
[0068]當存在用于網(wǎng)絡(luò)站點140的所存儲帳戶時��,認證管理客戶端124和/或認證管理服務(wù)163確定是否向網(wǎng)絡(luò)站點140提供安全憑證����。作為初步事項,認證管理客戶端124和/或認證管理服務(wù)163可要求用戶借助主控安全憑證(例如密碼�、便攜式數(shù)據(jù)存儲裝置118在客戶端103處存在、生物特征標識�、本機操作系統(tǒng)標識或某其它認證)來向認證管理客戶端124和認證管理服務(wù)163進行認證。響應(yīng)于認證��,認證管理客戶端124可對所存儲的客戶端帳戶數(shù)據(jù)130��、服務(wù)器帳戶數(shù)據(jù)166或便攜式帳戶數(shù)據(jù)178進行解密���。在一些實施方案中,響應(yīng)于提供主控安全憑證�����,認證管理客戶端124將可以訪問所存儲的客戶端帳戶數(shù)據(jù)130、服務(wù)器帳戶數(shù)據(jù)166或便攜式帳戶數(shù)據(jù)178���。認證管理客戶端124接著驗證網(wǎng)絡(luò)站點140的標識����。
[0069]驗證網(wǎng)絡(luò)站點140的標識可(例如)通過將與在登錄時由網(wǎng)絡(luò)站點140提供的受信任證書相關(guān)聯(lián)的域名與在所存儲的帳戶信息中的與網(wǎng)絡(luò)站點140相關(guān)聯(lián)的域名進行比較來執(zhí)行�。認證管理客戶端124可將與由網(wǎng)絡(luò)站點140提供的受信任證書相關(guān)聯(lián)的域名(例如)與由用戶提供的域名、通過啟發(fā)式分析推斷出的域名或某其它域名進行比較�,以便識別網(wǎng)絡(luò)站點140看起來類似哪個所存儲帳戶。通過使用受信任證書來驗證網(wǎng)絡(luò)站點140的標識可能比通過僅(例如)經(jīng)由域名服務(wù)(DNS)名稱解析或?qū)⑺鎯Φ挠蛎c瀏覽器121的地址欄中顯示的域名進行比較來驗證標識較不易受到欺騙攻擊�����。
[0070]如果網(wǎng)絡(luò)站點140不提供證書(例如��,在HTTP下認證)或者如果證書不受信任(例如�����,自簽名的或由證書信任數(shù)據(jù)133中不認為是受信任的證書授權(quán)中心發(fā)出的)��,那么認證管理客戶端124可向用戶顯示警告。在一些情況中����,用戶可接受警告且繼續(xù)操作。在一些實施方案中���,認證管理客戶端124可記住此類特性且使用它們來輔助將來對網(wǎng)絡(luò)站點140的標識驗證����。在其它情況中�����,認證管理客戶端124可識別欺騙攻擊或其它網(wǎng)絡(luò)釣魚嘗試的明確使用��,且提供額外警告���、停用特定網(wǎng)絡(luò)站點140處的認證���、要求用戶向認證管理客戶端124重新認證和/或采取其它預(yù)防措施。另外���,通過將認證管理客戶端124與提供網(wǎng)絡(luò)站點140的信譽數(shù)據(jù)的站點集成,認證管理客戶端124可警告用戶網(wǎng)絡(luò)站點140是惡意的。
[0071]認證管理客戶端124可另外通過其它方法來驗證網(wǎng)絡(luò)站點140的標識����。一種驗證方法可包括將瀏覽器121中的地址欄的內(nèi)容與所存儲的URL或域名進行比較。第二種驗證方法可包括將所訪問的網(wǎng)絡(luò)站點140所發(fā)送的HTTP標頭的內(nèi)容與所存儲的URL或域名進行比較����。第三種驗證方法可包括對與所訪問的網(wǎng)絡(luò)站點140相關(guān)聯(lián)的互聯(lián)網(wǎng)協(xié)議(IP)地址執(zhí)行反向DNS查找且將所述域名與所存儲的URL或域名進行比較。還可使用其它驗證方法�。在降級到不那么安全的方法之前可使用較安全的方法,且用戶可指定證明網(wǎng)絡(luò)站點140的標識的可接受方法����。
[0072]一旦驗證了網(wǎng)絡(luò)站點140的標識,認證管理客戶端124便可經(jīng)由認證端點139自動地將安全憑證提供給網(wǎng)絡(luò)站點140�����,或可獲得用戶確認���。如果認證管理客戶端124被配置來獲得用戶輸入����,那么認證管理客戶端124可在瀏覽器121的頂部中或上呈現(xiàn)按鈕或其它用戶界面特征以獲得確認��。
[0073]當沒有為網(wǎng)絡(luò)站點140定義認證端點139時,認證管理客戶端124可被配置來檢測是否呈現(xiàn)認證表單�。認證管理客戶端124可檢查網(wǎng)絡(luò)頁面145以查找多個元件,例如與例如“登錄”等文本相關(guān)聯(lián)的提交輸入元件���、匹配“用戶名”和/或“密碼”的輸入字段��、使用密碼類型的字段和其它識別元件�����。認證管理客戶端124還可檢查URL以查找相關(guān)關(guān)鍵字���。在一些實施方案中,認證管理客戶端124和/或認證管理服務(wù)163可將與網(wǎng)絡(luò)站點140相關(guān)聯(lián)的URL存儲在客戶端帳戶數(shù)據(jù)130����、服務(wù)器帳戶數(shù)據(jù)166或便攜式帳戶數(shù)據(jù)178中,所述URL可用于認證���。認證管理客戶端124可通過表單填充將安全憑證提供給網(wǎng)絡(luò)站點140��。這樣一個表單的提交可以是自動的或可以通過用戶輸入(例如對“提交”或“登錄”按鈕或其它用戶界面元件的選擇)來進行���。
[0074]在一些情況中��,用戶可能會忘記主控安全憑證或者可能不可以在另一客戶端103上訪問主控安全憑證�。用戶接著可以能夠通過由認證管理服務(wù)器163實施的程序來重置主控安全憑證或者可以至少暫時訪問所存儲的安全憑證���。在用戶選擇了主控安全憑證或重置選項之后,認證管理服務(wù)163即刻可以產(chǎn)生提供一個或多個基于知識的問題的用戶界面�。舉例來說,用戶界面可對應(yīng)于用于在瀏覽器121中呈現(xiàn)的網(wǎng)絡(luò)頁面���。替代地����,可向認證管理客戶端124發(fā)送數(shù)據(jù)以便由認證管理客戶端124呈現(xiàn)用戶界面����。
[0075]用戶界面可呈現(xiàn)由用戶預(yù)先配置的靜態(tài)的基于知識的問題172。舉例來說���,用戶界面可呈現(xiàn)“你母親婚前姓名是什么�����? ”�����、“你出生在哪個城市�����? ”����、“你高中的吉祥物是什么? ”等等問題�。用戶界面可呈現(xiàn)是非問題?�!笆恰眴栴}對應(yīng)于可以由用戶和認證管理服務(wù)163兩者驗證的對用戶來說是獨特的問題�。“非”問題是經(jīng)設(shè)計以抓住試圖未經(jīng)授權(quán)就訪問安全憑證的攻擊者的那些問題�。舉例來說,“非”問題可以是:“你上次出租卡車是多少錢���? ”�,其中正確的答案應(yīng)該是:“我沒有卡車”���。
[0076]此外�����,用戶界面可呈現(xiàn)由認證管理服務(wù)163動態(tài)地產(chǎn)生的基于知識的問題���。就動態(tài)地產(chǎn)生的問題來說����,用戶可能預(yù)先不知道將會問哪一類型的問題�。動態(tài)地產(chǎn)生的問題可使用用戶數(shù)據(jù)175���,包括獨特的顧客問題����,例如購買交易歷史和/或其它數(shù)據(jù)��。動態(tài)地產(chǎn)生的問題的一個實例可以是:“我看到你昨天從E-Retailer購買了物品���,你能告訴我賬單金額嗎��? ”��。
[0077]在一用戶界面中可呈現(xiàn)多個基于知識的問題�。認證管理服務(wù)163可使用對基于知識的問題的回答來產(chǎn)生得分。當?shù)梅譂M足預(yù)定義閾值(例如�,正確回答一個問題、正確回答三個問題�����、正確回答基于最近的數(shù)據(jù)的一個動態(tài)地產(chǎn)生的問題等等)時��,可準許用戶訪問服務(wù)器帳戶數(shù)據(jù)166的所存儲的安全憑證和/或可建立新的有效主控憑證169����。注意,在產(chǎn)生得分過程中�����,可將不同權(quán)重應(yīng)用于不同類型的問題�����。舉例來說�����,可向基于最近的事件的動態(tài)問題給予比基于在帳戶創(chuàng)建期間獲得的信息的靜態(tài)問題大的權(quán)重。在對于動態(tài)地產(chǎn)生的問題沒有呈現(xiàn)出足夠的用戶數(shù)據(jù)175的新的或非?��?陀脩舻那闆r中���,認證管理服務(wù)163可以轉(zhuǎn)向使用靜態(tài)的基于知識的問題172。
[0078]一旦認證管理服務(wù)163經(jīng)由使用基于知識的問題或經(jīng)由有效主控安全憑證對用戶進行了認證�����,便可將用戶的來自服務(wù)帳戶數(shù)據(jù)166的安全憑證下載到客戶端帳戶數(shù)據(jù)130以供認證管理客戶端124使用��。在一個實例中���,客戶端103對應(yīng)于信息亭或另一公用客戶端103。在這樣一個實例中����,安全憑證可以暫時留存在客戶端103的存儲器中,使得在用戶注銷��、從瀏覽器121退出或以其它方式結(jié)束認證管理客戶端124的會話時���,將它們從存儲器擦除�����。替代地�,可將安全憑證保存到客戶端帳戶數(shù)據(jù)130以便將來經(jīng)由客戶端103使用。
[0079]此外��,一旦認證管理服務(wù)163對用戶進行了認證���,便可向用戶提出設(shè)置新安全憑證的機會����。舉例來說��,用戶可以將新安全憑證與先前的安全憑證一起或不與先前的安全憑證一起供應(yīng)���。通過認證管理服務(wù)163來更新有效主控憑證169以存儲新的有效主控憑證169���。注意,有效主控憑證169可以是經(jīng)過哈希處理的或以其它方式進行編碼����。
[0080]還可使用認證管理服務(wù)163來根據(jù)配置文件176中的安全憑證規(guī)范來產(chǎn)生或重新產(chǎn)生安全憑證。除了初始帳戶創(chuàng)建和配置之外����,認證管理服務(wù)163還可被配置來周期性地或在由用戶或管理員觸發(fā)時重新產(chǎn)生安全憑證����。舉例來說���,管理員可以響應(yīng)于潛在的安全風(fēng)險來觸發(fā)為具有用于某一網(wǎng)絡(luò)站點140的帳戶的許多用戶自動地重新產(chǎn)生安全憑證�����。在重新產(chǎn)生安全憑證之后�,認證管理服務(wù)163可即刻使用適當?shù)膸魟?chuàng)建端點138來借助各種網(wǎng)絡(luò)站點140建立新產(chǎn)生的安全憑證�����。認證管理服務(wù)163可供應(yīng)先前的安全憑證以方便建立新產(chǎn)生的安全憑證���。安全憑證可經(jīng)產(chǎn)生或經(jīng)重新產(chǎn)生以具有安全憑證規(guī)范容許的最高安全強度。
[0081]在多個認證管理服務(wù)163可用的情況下���,認證管理客戶端124可被配置來導(dǎo)入/導(dǎo)出客戶端帳戶數(shù)據(jù)130以便與不同的認證管理服務(wù)163 —起使用���。認證管理客戶端124可由認證管理服務(wù)163的不同提供者或由其它方部署。在一些實施方案中,特定的認證管理客戶端124可僅與對應(yīng)的認證管理服務(wù)163 —起起作用����。因此,認證管理客戶端124可被配置來允許客戶端帳戶數(shù)據(jù)130導(dǎo)入和導(dǎo)出到不同認證管理客戶端124以便與不同的認證管理服務(wù)163 —起使用�����。
[0082]在一個實施方案中��,認證管理服務(wù)163可提供撤銷用戶界面以便撤銷與服務(wù)器帳戶數(shù)據(jù)166相關(guān)聯(lián)的安全憑證��。為了方便此集中撤銷��,服務(wù)器帳戶數(shù)據(jù)166中的安全憑證可以是基于令牌的而不是基于用戶憑證的字面存儲����。在一些實施方案中,撤銷和重置可由認證管理客戶端124執(zhí)行����。舉例來說,認證管理客戶端124可包括將自動地將每一憑證重置為新產(chǎn)生的憑證的“重置所有憑證”功能����?���?梢韵蛴脩籼釂柣谥R的問題���,以在執(zhí)行自動憑證重置之前再一次檢查用戶的標識�。
[0083]除了憑證重置之外����,認證管理客戶端124還可支持憑證更換為用戶指定密碼等等。在用戶正在度假而沒法訪問認證管理客戶端124的情況中���,此類支持可能是有用的�。用戶可能想要將自動產(chǎn)生的安全憑證更換為可以容易記住的單個臨時密碼���。在度完假回來之后���,用戶可以將臨時密碼重置為新的自動產(chǎn)生的安全憑證。在一個實施方案中�,單個臨時密碼可能具有終止期�,這將由認證管理服務(wù)163施行。
[0084]現(xiàn)在轉(zhuǎn)到圖2A���,示出了根據(jù)本公開的各種實施方案的由在網(wǎng)絡(luò)環(huán)境100 (圖1)中的客戶端103 (圖1)中執(zhí)行的瀏覽器121 (圖1)呈現(xiàn)的網(wǎng)絡(luò)頁面145 (圖1)的實例�����。在此實例中���,用戶可能已經(jīng)鍵入或可能已經(jīng)自動重定向到URL “https://www.e-retailer,site/�����,”所述URL顯示在瀏覽器121的地址欄203中����。由網(wǎng)絡(luò)站點140 (圖1)響應(yīng)于URL而提供的網(wǎng)絡(luò)頁面145包括具有用戶名字段206�����、密碼字段209和提交按鈕212的認證表單��。
[0085]瀏覽器121包括安全指示215����,所述安全指示指示網(wǎng)絡(luò)站點140已呈現(xiàn)受信任的證書且客戶端103與計算裝置106 (圖1)之間的通信經(jīng)加密。在圖2A中�����,認證管理客戶端124 (圖1)已驗證了網(wǎng)絡(luò)站點140的標識且正呈現(xiàn)認證系統(tǒng)選擇218。認證系統(tǒng)選擇218指示用戶已安裝了認證管理客戶端124且與網(wǎng)絡(luò)站點140相關(guān)聯(lián)的帳戶信息是可用的����。明確地說,認證系統(tǒng)選擇218允許從多個認證服務(wù)137 (圖1)中選擇帳戶數(shù)據(jù)�����。在圖2A中可假定用戶先前已向認證管理客戶端124進行認證或者假如選擇了所支持的認證服務(wù)137則將提出認證機會�����。如果帳戶數(shù)據(jù)不存在����,那么認證系統(tǒng)選擇218可以允許借助所選的認證服務(wù)137來進行帳戶創(chuàng)建。
[0086]一旦用戶選擇了認證服務(wù)137�,認證管理客戶端124便可填寫用戶名字段206和密碼字段209。認證管理客戶端124還可通過在程序上按下提交按鈕212來自動地提交登錄請求����。在一些實施方案中,可以在驗證了網(wǎng)絡(luò)站點140的標識之后即刻借助安全憑證來自動預(yù)先填充用戶名字段206和密碼字段209��。安全憑證可以示出為位置固定的字符或示出為純文本�。
[0087]替代地,如果(例如)定義了認證端點139 (圖1)�,那么認證管理客戶端124或認證管理服務(wù)163 (圖1)可以借助認證端點139在后臺進行認證。認證管理客戶端124可以給出成功或失敗的指示且可以提供另一用戶界面元件以便從網(wǎng)絡(luò)站點140注銷���。
[0088]移到圖2B�,示出了根據(jù)本公開的各種實施方案的由在網(wǎng)絡(luò)環(huán)境100 (圖1)中的客戶端103 (圖1)中執(zhí)行的瀏覽器121 (圖1)呈現(xiàn)的網(wǎng)絡(luò)頁面145 (圖1)的另一實例��。在圖2B的實例中�����,在客戶端103中配置了認證管理客戶端124 (圖1)�,但沒有找到用于當前網(wǎng)絡(luò)站點140 (圖1)的帳戶。因此����,向用戶呈現(xiàn)用戶名字段206和密碼字段209以及沒有找到帳戶的通知221?�?梢蕴峁┡c通知221相關(guān)聯(lián)的復(fù)選框或其它用戶界面組件以便用戶同意將所提供的舊帳戶信息添加到認證管理客戶端124����。另外,可提供鏈接���、按鈕或其它用戶界面組件以便用戶同意帳戶創(chuàng)建����。
[0089]參看圖2C�,示出了根據(jù)本公開的各種實施方案的由在網(wǎng)絡(luò)環(huán)境100 (圖1)中的客戶端103 (圖1)中執(zhí)行的瀏覽器121 (圖1)呈現(xiàn)的網(wǎng)絡(luò)頁面145 (圖1)的又一實例。在圖2C的實例中�����,網(wǎng)絡(luò)站點140 (圖1)支持借助認證管理客戶端124 (圖1)來進行認證����,但沒有檢測到認證管理客戶端124。在這種情況中���,可以呈現(xiàn)大意如此的通知224��?�?梢猿尸F(xiàn)與用戶界面組件227 (例如按鈕��、鏈接等)相關(guān)聯(lián)的通知224��,以允許用戶查看關(guān)于認證管理客戶端124的更多信息����、借助認證管理服務(wù)163 (圖1)來創(chuàng)建帳戶�、下載和/或安裝認證管理客戶端124和/或執(zhí)行其它動作��。替代地���,用戶可以使用用戶名字段206和密碼字段209用舊的用戶名和密碼來登錄到網(wǎng)絡(luò)站點140����。
[0090]接下來參看圖3���,示出了提供根據(jù)各種實施方案的認證管理客戶端124的一部分的操作的一個實例的流程圖。應(yīng)理解��,圖3中的流程圖僅提供了可用來如本文所述實施認證管理客戶端124的所述部分的操作的許多不同類型的功能布置的實例��。作為替代方案,圖3中的流程圖可被視為描繪了根據(jù)一個或多個實施方案的在客戶端103 (圖1)中實施的方法的步驟的實例。
[0091]以框303開始���,認證管理客戶端124使用戶向認證管理服務(wù)163 (圖1)進行認證。舉例來說��,用戶可以登錄到綁定到認證管理客戶端124的會話的操作系統(tǒng)會話����。替代地����,用戶可以直接登錄到認證管理客戶端124。在框306中�����,認證管理客戶端124從認證管理服務(wù)163獲得經(jīng)加密的帳戶數(shù)據(jù)��。在一些情況中�,此經(jīng)加密的帳戶數(shù)據(jù)可能已經(jīng)作為客戶端帳戶數(shù)據(jù)130 (圖1)存儲在客戶端103中或者作為便攜式帳戶數(shù)據(jù)178 (圖1)存儲在便攜式數(shù)據(jù)存儲裝置118 (圖1)中。在框309中��,認證管理客戶端124至少部分基于由用戶供應(yīng)的主控安全憑證來對經(jīng)加密的帳戶數(shù)據(jù)進行解密�。經(jīng)解密的帳戶數(shù)據(jù)可以至少暫時作為客戶端帳戶數(shù)據(jù)130來存儲以便在認證管理客戶端124的用戶會話期間使用。
[0092]在框312中,認證管理客戶端124確定將要訪問網(wǎng)絡(luò)站點140 (圖1)的受保護資源����。舉例來說,用戶可使用瀏覽器121 (圖1)來導(dǎo)航到受保護的網(wǎng)絡(luò)頁面145 (圖1)或其它受保護的網(wǎng)絡(luò)資源���。在框315中,認證管理客戶端124確定客戶端帳戶數(shù)據(jù)130是否包括用于網(wǎng)絡(luò)站點140的帳戶(或由網(wǎng)絡(luò)站點140使用的標識提供者)���。為此,認證管理客戶端124可以確定與網(wǎng)絡(luò)站點140相關(guān)聯(lián)的具有認證端點139 (圖1)和帳戶創(chuàng)建端點138(圖1)的一個或多個認證服務(wù)137 (圖1)���。在一些情況中���,認證服務(wù)137可對應(yīng)于第三方認證提供者。認證管理客戶端124可向網(wǎng)絡(luò)站點140發(fā)送查詢以確定所支持的認證服務(wù)137和/或可以至少部分基于瀏覽器121已經(jīng)獲得的網(wǎng)絡(luò)資源的內(nèi)容來確定所支持的認證服務(wù)137���。
[0093]認證管理客戶端124可根據(jù)網(wǎng)絡(luò)站點140的域名或經(jīng)由可從網(wǎng)絡(luò)站點140獲得的其它識別數(shù)據(jù)來確定客戶端帳戶數(shù)據(jù)130中存在帳戶����。在一個實施方案中�����,認證管理客戶端124可向認證管理服務(wù)163查詢以獲得用以將網(wǎng)絡(luò)站點140的域名映射到所存儲帳戶的信息。在另一實施方案中�,認證管理客戶端124可對域名的至少一部分(例如二級域名,例如 ^e-retailer, com” 和 ^e-retailer, c0.uk” 內(nèi)的 “e-retailer”)執(zhí)行匹配���。因此,在確定可使用哪個帳戶時���,可忽略不同的一級域名。
[0094]在跨不同域名執(zhí)行匹配的情況下����,在實際上利用經(jīng)識別的現(xiàn)有帳戶之前,可以請求顯式用戶確認��。在針對同一基礎(chǔ)域名配置多個帳戶的情況下�,可使用具有最長匹配的帳戶。作為非限制性實例�����,用于“us.e-retailer.com”的帳戶可以優(yōu)先登錄到“www.e-retailer.com”,而不是用于 “e-retailer.com” 的帳戶�。
[0095]如果識別出現(xiàn)有帳戶,那么在框318中��,認證管理客戶端124使用預(yù)先存在的帳戶的安全憑證來向網(wǎng)絡(luò)站點140的認證服務(wù)137進行認證。隨后��,可訪問網(wǎng)絡(luò)站點140的受保護資源����。在大多數(shù)情況中,此認證可以在沒有用戶介入的情況下自動地發(fā)生�����。然而�����,在一些情況中(例如���,就高價值的交易來說),認證服務(wù)137可在認證協(xié)議中設(shè)置旗標以要求顯式同意���,由此迫使用戶同意使用認證管理客戶端124來登錄�����。此外����,在識別出多個帳戶的情況下,認證管理客戶端124可被配置來呈現(xiàn)用戶界面以獲得對所述帳戶中的一個的用戶選擇�。其后,認證管理客戶端124的部分結(jié)束�。
[0096]如果未識別出現(xiàn)有帳戶,那么認證管理客戶端124從框315移動到框321且確定用戶是否具有舊帳戶�,即,客戶端帳戶數(shù)據(jù)130中不可用的現(xiàn)有帳戶����。為此,認證管理客戶端124可呈現(xiàn)用戶界面�����,所述用戶界面被配置來提示用戶鍵入舊帳戶信息和安全憑證(假如用戶具有舊帳戶)��。如果用戶具有舊帳戶����,那么在框324中,認證管理客戶端124從用戶獲得舊帳戶信息���。
[0097]在框327中�,認證管理客戶端124將舊帳戶信息存儲在客戶端帳戶數(shù)據(jù)130中。在一些情況中�����,認證管理客戶端124可如安全憑證規(guī)范中定義般將所提供的安全憑證轉(zhuǎn)變?yōu)檩^強的憑證����。可提示用戶同意這樣一種憑證更換����。在框330中,認證管理客戶端124使用相應(yīng)的認證服務(wù)137和舊帳戶信息來向網(wǎng)絡(luò)站點140進行認證����。其后,認證管理客戶端124的部分結(jié)束��。
[0098]如果用戶不提供舊帳戶信息��,或者如果用戶確認了用戶沒有現(xiàn)有帳戶能夠訪問受保護資源��,那么認證管理客戶端124從框321移動到框333��。在框333中�,認證管理客戶端124確定是否將針對網(wǎng)絡(luò)站點140創(chuàng)建新帳戶。舉例來說�����,用戶可能已指定可以與帳戶創(chuàng)建端點138共享以便創(chuàng)建帳戶的一組信息(例如姓名��、電子郵件地址�、年齡等)。用戶可能已建立規(guī)則來自動地同意分享一些信息但不分享其它信息���。如果沒有要創(chuàng)建帳戶����,例如����,用戶不沒有給出同意或者所存儲的偏好不允許分享信息,那么認證管理客戶端124的部分結(jié)束�����。否則����,如果將為用戶創(chuàng)建新帳戶�,那么認證管理客戶端124從框333轉(zhuǎn)移到框336�����。
[0099]在框336中��,認證管理客戶端124從用戶獲得對分享創(chuàng)建能夠訪問受保護資源的帳戶所需的信息的同意���。這樣一個同意可對應(yīng)于用戶界面中的顯式確認�、所存儲的同意偏好和/或其它形式的同意�。認證管理客戶端124可通過從帳戶創(chuàng)建端點138獲得特定集合的指示來確定需要(信息超集中的)哪一個一組信息。在一些情況中�,認證管理客戶端124可從用戶獲得額外信息。所述額外信息可包括自由表單數(shù)據(jù)�、多個選項選擇、是或否回答和/或其它數(shù)據(jù)���。
[0100]在框339中�����,認證管理客戶端124通過與帳戶創(chuàng)建端點138通信使用關(guān)于用戶的一組信息來自動地創(chuàng)建帳戶。在一些情況中��,所述帳戶可以借助網(wǎng)絡(luò)站點140的操作者來完成。在其它情況中�����,所述帳戶可以借助第三方標識提供者來完成����,所述第三標識提供者可以使得帳戶能夠訪問與多個操作者相關(guān)聯(lián)的多個網(wǎng)絡(luò)站點140上的多個受保護資源。
[0101]在框342中���,如果成功創(chuàng)建了帳戶���,那么認證管理客戶端124將所得帳戶信息,包括(例如)自動產(chǎn)生的安全憑證���,存儲在客戶端帳戶數(shù)據(jù)130中��。在框345中����,認證管理客戶端124使用新帳戶向網(wǎng)絡(luò)站點140的認證端點139進行認證以方便訪問受保護資源�����。其后,認證管理客戶端124的部分結(jié)束�。
[0102]現(xiàn)在轉(zhuǎn)向圖4,示出了提供根據(jù)各種實施方案的認證管理客戶端124的另一部分的操作的一個實例的流程圖���。具體來說��,圖4與可包括升級現(xiàn)有帳戶的帳戶創(chuàng)建工作流有關(guān)�����?����?蓤?zhí)行升級以訪問現(xiàn)有帳戶原本不能訪問的網(wǎng)絡(luò)站點的受保護資源�。舉例來說���,用戶可在不提供送貨地址的情況下用在線商家來創(chuàng)建帳戶以進行瀏覽�,但送貨地址可能是發(fā)出訂單所必要的��。用戶可以能夠通過提供送貨地址來升級帳戶以發(fā)出訂單���。應(yīng)理解�����,圖4中的流程圖僅提供了可用來如本文所述實施認證管理客戶端124的所述部分的操作的許多不同類型的功能布置的實例��。作為替代方案�,圖4中的流程圖可被視為描繪了根據(jù)一個或多個實施方案的在客戶端103 (圖1)中實施的方法的步驟的實例���。
[0103]以框403開始�,認證管理客戶端124確定將借助認證服務(wù)137 (圖1)創(chuàng)建帳戶以便訪問網(wǎng)絡(luò)站點140 (圖1)的一個或多個受保護資源��。如果存在現(xiàn)有帳戶��,那么可能會拒絕經(jīng)由所述特定的現(xiàn)有帳戶訪問特定受保護資源�。在框406中,認證管理客戶端124確定客戶端帳戶數(shù)據(jù)130 (圖1)是否包括用于網(wǎng)絡(luò)站點140的現(xiàn)有帳戶�。如果客戶端帳戶數(shù)據(jù)130不包括用于網(wǎng)絡(luò)站點140的現(xiàn)有帳戶,那么認證管理客戶端124移動到框409��。
[0104]如果客戶端帳戶數(shù)據(jù)130不包括現(xiàn)有帳戶��,那么認證管理客戶端124從框406移動到框412且確定現(xiàn)有帳戶是否可升級來訪問所請求的受保護資源��。如果現(xiàn)有帳戶不是可升級的,那么認證管理客戶端124從框412移動到框409�。注意,在一些實施方案中��,所有或幾乎所有的帳戶都是可以能夠升級的以及在必要時用額外信息來擴充��。也就是說�,用戶已經(jīng)具有用于網(wǎng)絡(luò)站點140的帳戶但必須創(chuàng)建另一帳戶可能是很少見的情形。
[0105]在框409中��,認證管理客戶端124從用戶獲得對分享創(chuàng)建能夠訪問受保護資源的帳戶所需的信息的同意���。這樣一個同意可對應(yīng)于用戶界面中的顯式確認��、所存儲的同意偏好和/或其它形式的同意�。用戶還可以提供額外信息���。在框415中��,認證管理客戶端124通過與帳戶創(chuàng)建端點138 (圖1)通信使用關(guān)于用戶的一組信息以及可能還有新提供的信息來自動地創(chuàng)建全新的帳戶�。在框418中�,如果成功創(chuàng)建了帳戶,那么認證管理客戶端124將所得帳戶信息���,包括(例如)自動產(chǎn)生的安全憑證�����,存儲在客戶端帳戶數(shù)據(jù)130中�����。其后����,認證管理客戶端124的部分結(jié)束���。
[0106]如果認證管理客戶端124改為確定現(xiàn)有帳戶可升級以訪問受保護資源����,那么認證管理客戶端124從框412前進到框421��。在框421中��,認證管理客戶端124確定升級現(xiàn)有帳戶以訪問受保護資源所需的用戶一組信息的子集����。在框424中�,認證管理客戶端124從用戶獲得對分享用戶信息的子集的同意�����。認證管理客戶端124還可以或者改為從用戶獲得在用戶信息的集合中已經(jīng)不可獲得的其它信息��。在框427中����,認證管理客戶端124通過向網(wǎng)絡(luò)站點140的帳戶創(chuàng)建端點138提供額外用戶信息(包括所述用戶一組信息的子集和/或新提供的用戶信息)來升級現(xiàn)有帳戶。其后�����,認證管理客戶端124的部分結(jié)束����。
[0107]轉(zhuǎn)向圖5,示出了提供根據(jù)各種實施方案的認證管理客戶端124的又一部分的操作的一個實例的流程圖���。明確地說�����,圖5與認證管理客戶端124的多用戶使用以及從多個網(wǎng)絡(luò)站點140 (圖1)注銷有關(guān)��。應(yīng)理解�,圖5中的流程圖僅提供了可用來如本文所述實施認證管理客戶端124的所述部分的操作的許多不同類型的功能布置的實例。作為替代方案��,圖5中的流程圖可被視為描繪了根據(jù)一個或多個實施方案的在客戶端103 (圖1)中實施的方法的步驟的實例��。
[0108]以框503開始����,認證管理客戶端124響應(yīng)于用戶提供某一安全憑證而使用戶向認證管理服務(wù)163 (圖1)進行認證���。在框506中����,認證管理客戶端124從認證管理服務(wù)163獲得經(jīng)加密的帳戶數(shù)據(jù)�����。在框509中���,認證管理客戶端124至少部分基于由用戶提供的主控安全憑證來對帳戶數(shù)據(jù)進行解密��。在框512中��,認證管理客戶端124通過與認證服務(wù)137(圖1)的認證端點139 (圖1)通信來登錄到網(wǎng)絡(luò)站點140�����。
[0109]認證管理客戶端124提供來自客戶端帳戶數(shù)據(jù)130 (圖1)的所存儲安全憑證����。在多個認證服務(wù)137可用于給定網(wǎng)絡(luò)站點140的情況下,用戶可以顯式地選擇所述認證服務(wù)137中的一個�,或者可以根據(jù)標識提供者偏好數(shù)據(jù)131 (圖1)中的所存儲偏好來自動地選擇一個認證服務(wù)。在帳戶不再存在的情況下���,可以如先前結(jié)合圖3和圖4中的流程圖所述般自動地創(chuàng)建或升級帳戶�。
[0110]在框515中���,認證管理客戶端124確定是否訪問另一網(wǎng)絡(luò)站點140�。替代地�,可以訪問同一網(wǎng)絡(luò)站點140的需要單獨登錄的另一受保護資源。如果訪問另一網(wǎng)絡(luò)站點140����,那么認證管理客戶端124返回到框512且使用所存儲的安全憑證來登錄到另一網(wǎng)絡(luò)站點140。因此,認證管理客戶端124可以向?qū)?yīng)于多個網(wǎng)絡(luò)站點140的多個認證服務(wù)137自動進行認證�����??梢詾槊恳痪W(wǎng)絡(luò)站點140建立相應(yīng)會話,所述會話可包括會話數(shù)據(jù)���,例如由瀏覽器121 (圖1)存儲的會話cookie��、經(jīng)高速緩存的網(wǎng)絡(luò)資源等等�����。如果不訪問另一網(wǎng)絡(luò)站點140�,那么認證管理客戶端124改為從框515前進到框518����。
[0111]在框518中�,認證管理客戶端124從用戶獲得通用注銷請求。這樣一個注銷請求可以是顯式的����,例如用戶選擇了認證管理客戶端124的用戶界面上的單個注銷按鈕,或者可以是隱式的��,例如用戶從認證管理客戶端124退出。認證管理客戶端124的用戶會話可以在用戶發(fā)出切換用戶請求時或者在用戶從操作系統(tǒng)帳戶注銷時結(jié)束��。在一些情況中���,與認證管理客戶端124的用戶會話可以在預(yù)定義的不活動時段之后自動結(jié)束��。在一些實施方案中�,用戶可以提供針對特定網(wǎng)絡(luò)站點140或網(wǎng)絡(luò)站點140的集合的注銷請求���。
[0112]響應(yīng)于所述注銷請求����,在框521中��,認證管理客戶端124從每一網(wǎng)絡(luò)站點140注銷�����。為此�����,認證管理客戶端124可向認證服務(wù)137中的每一個自動發(fā)送相應(yīng)注銷指示。在框524中�,認證管理客戶端124可自動刷新任何會話數(shù)據(jù)和客戶端帳戶數(shù)據(jù)130。具體來說��,可將經(jīng)解密的帳戶數(shù)據(jù)從客戶端103移除��。在注銷請求是特定注銷請求而非通用注銷請求的情況下�����,可僅針對指定網(wǎng)絡(luò)站點140執(zhí)行注銷�。因此,在特定注銷的情況中�,用戶可繼續(xù)利用在特定注銷請求中未指示的會話。
[0113]在框527中�����,認證管理客戶端124確定另一用戶是否將要使用認證管理客戶端124����。舉例來說�����,認證管理客戶端124可被配置來在單個操作系統(tǒng)用戶會話內(nèi)容納多個用戶。如果將要對另一用戶進行認證�����,那么認證管理客戶端124返回到框503���。否則����,認證管理客戶端124的部分結(jié)束����。
[0114]現(xiàn)在繼續(xù)到圖6A,示出了提供根據(jù)各種實施方案的認證管理客戶端124的又一部分的操作的一個實例的流程圖�。明確地說,圖6A與重置安全憑證有關(guān)���。應(yīng)理解���,圖6A中的流程圖僅提供了可用來如本文所述實施認證管理客戶端124的所述部分的操作的許多不同類型的功能布置的實例。作為替代方案����,圖6A中的流程圖可被視為描繪了根據(jù)一個或多個實施方案的在客戶端103 (圖1)中實施的方法的步驟的實例����。
[0115]以框603開始�,認證管理客戶端124響應(yīng)于用戶提供某一安全憑證而使用戶向認證管理服務(wù)163 (圖1)進行認證。在框606中��,認證管理客戶端124從認證管理服務(wù)163獲得經(jīng)加密的帳戶數(shù)據(jù)����。在框609中,認證管理客戶端124至少部分基于由用戶提供的主控安全憑證來對帳戶數(shù)據(jù)進行解密����。在框612中,認證管理客戶端124獲得重置客戶端帳戶數(shù)據(jù)130 (圖1)中的安全憑證的請求����。這樣一種請求可涵蓋重置請求、更換請求和/或臨時更換請求����。
[0116]在框615中,認證管理客戶端124確定是否準許所述操作�����。舉例來說���,認證管理服務(wù)163可配置認證管理客戶端124�,使得僅準許針對特定認證管理帳戶向認證管理服務(wù)163注冊的第一客戶端103執(zhí)行某些操作�,例如重置憑證和/或其它操作。其它客戶端103也可由用戶預(yù)先授權(quán)��。在一些情況中���,用戶可提供一次性密碼來實現(xiàn)重置或更換�,且認證管理服務(wù)163可施行所述一次性密碼�����。此外����,在一些情況中,認證管理客戶端124可向用戶呈現(xiàn)一個或多個靜態(tài)的基于知識的問題172 (圖1)以驗證用戶的標識���。關(guān)于是否準許所述操作的確定可以由認證管理服務(wù)163來進行�。
[0117]如果不準許所述操作�,那么認證管理客戶端124移動到框618且產(chǎn)生錯誤�����。其后�,認證管理客戶端124的部分結(jié)束�。否則,認證管理客戶端124前進到框621且重置或更換客戶端帳戶數(shù)據(jù)130中的用于用戶的帳戶的每一個安全憑證���。
[0118]在一些情況中��,認證管理客戶端124可建立單個臨時密碼來代替自動產(chǎn)生的憑證��。認證管理客戶端124可針對臨時密碼來配置終止期����,其中在終止期之后為用戶的每一個帳戶重新產(chǎn)生和重置安全憑證���。在框624中����,認證管理客戶端124使客戶端帳戶數(shù)據(jù)130與服務(wù)器帳戶數(shù)據(jù)166 (圖1)同步���。其后�����,認證管理客戶端124的部分結(jié)束���。
[0119]轉(zhuǎn)到圖6B,示出了提供根據(jù)各種實施方案的認證管理客戶端124的又一部分的操作的一個實例的流程圖����。明確地說,圖6B與響應(yīng)于服務(wù)器發(fā)出的請求而重置安全憑證有關(guān)���。應(yīng)理解���,圖6B中的流程圖僅提供了可用來如本文所述實施認證管理客戶端124的所述部分的操作的許多不同類型的功能布置的實例。作為替代方案�,圖6B中的流程圖可被視為描繪了根據(jù)一個或多個實施方案的在客戶端103 (圖1)中實施的方法的步驟的實例。
[0120]以框633開始�,認證管理客戶端124響應(yīng)于用戶提供某一安全憑證而使用戶向認證管理服務(wù)163 (圖1)進行認證。在框636中����,認證管理客戶端124從認證管理服務(wù)163獲得經(jīng)加密的帳戶數(shù)據(jù)。在框639中���,認證管理客戶端124至少部分基于由用戶提供的主控安全憑證來對帳戶數(shù)據(jù)進行解密���。在框642中�,認證管理客戶端124從認證管理服務(wù)163獲得重置安全憑證的請求��。這樣一個請求在性質(zhì)上可以是一次性或周期性的�。
[0121]認證管理客戶端124前進到框651且重置或更換客戶端帳戶數(shù)據(jù)130中的用于用戶的帳戶的每一個安全憑證。在一些情況中���,認證管理客戶端124可建立單個臨時密碼來代替自動產(chǎn)生的憑證��。認證管理客戶端124可針對臨時密碼來配置終止期�,其中在終止期之后為用戶的每一個帳戶重新產(chǎn)生和重置安全憑證�����。在框654中����,認證管理客戶端124使客戶端帳戶數(shù)據(jù)130與服務(wù)器帳戶數(shù)據(jù)166 (圖1)同步。其后��,認證管理客戶端124的部分結(jié)束。
[0122]接下來參看圖7����,示出了提供根據(jù)各種實施方案的認證端點139的一部分的操作的一個實例的流程圖。應(yīng)理解����,圖7中的流程圖僅提供了可用來如本文所述實施認證端點139的所述部分的操作的許多不同類型的功能布置的實例。作為替代方案�����,圖7中的流程圖可被視為描繪了根據(jù)一個或多個實施方案的在計算裝置106 (圖1)中實施的方法的步驟的實例����。
[0123]以框703開始���,認證端點139從認證管理客戶端124 (圖1)獲得認證請求�����。認證請求可借助受與認證管理服務(wù)163 (圖1)具有不同密切度的多個認證管理客戶端124支持的認證協(xié)議來獲得�。舉例來說�����,認證管理客戶端124可由認證管理服務(wù)163的提供者分發(fā),且認證管理客戶端124可能與特定認證管理服務(wù)163具有密切度����。作為另一實例,認證管理客戶端124可由第三方分發(fā)但仍可與特定認證管理服務(wù)163或多個認證管理服務(wù)163的集合具有密切度���。
[0124]在框706中�,認證端點139根據(jù)請求來確定認證管理客戶端124的密切度����。舉例來說,認證端點139可根據(jù)用戶代理字符串中的標識符來確定認證管理客戶端124的密切度���。情況可能是認證端點139支持一些認證管理客戶端124但不支持另一些認證管理客戶端���。類似地,帳戶創(chuàng)建端點138 (圖1)可以支持一些認證管理客戶端124但不支持另一些認證管理客戶端�。
[0125]在框709中,認證端點139確定是否支持特定認證管理客戶端124����。如果不支持所述認證管理客戶端124,那么認證端點139移動到框712且拒絕認證請求。其后���,認證端點139的部分結(jié)束�����。如果支持所述認證管理客戶端124���,那么認證端點139從框709移動到框715。
[0126]在框715中�,認證端點139從認證管理客戶端124獲得安全憑證。在框718中���,認證端點139確定憑證是否有效。如果憑證無效�����,那么認證端點139移動到框712且拒絕認證請求�。其后,認證端點139的部分結(jié)束�。
[0127]在框721中,認證端點139響應(yīng)于成功認證而為用戶創(chuàng)建會話����。為此�,認證端點139可借助會話令牌來設(shè)置一個或多個會話cookie和/或執(zhí)行其它動作�����。另外���,認證端點139可向認證管理客戶端124發(fā)送帶標牌的經(jīng)驗數(shù)據(jù)(例如����,標志�����、圖形��、文本等)���。認證管理客戶端124可被配置來至少部分基于帶標牌的經(jīng)驗數(shù)據(jù)來在客戶端103 (圖1)中為與認證端點139相關(guān)聯(lián)的標識提供者定制用戶界面���。帶標牌的經(jīng)驗數(shù)據(jù)可包括(例如)網(wǎng)絡(luò)站點140或標識提供者的標志、到隱私策略的鏈接�����、用于使用條款的鏈接、和/或其它信息�。
[0128]在框724中,認證端點139確定是否將更換認證管理客戶端124使用的安全憑證�����?����?梢栽谡J證端點139中或在認證管理客戶端124中通過來自用戶的手動更換請求或通過預(yù)定義的更換時間間隔的終止來促進這樣一種更換�。如果將更換安全憑證,那么認證端點139從框724移動到框727且建立新的安全憑證����。這樣一個憑證可由認證端點139產(chǎn)生且發(fā)送給認證管理客戶端124���,或者它可由認證管理客戶端124產(chǎn)生且接著發(fā)送給認證端點139�����。其后���,認證端點139的部分結(jié)束�����。如果將不更換安全憑證�,那么認證端點139的部分也結(jié)束�。
[0129]轉(zhuǎn)向圖8,示出了提供根據(jù)各種實施方案的認證管理服務(wù)163的一部分的操作的一個實例的流程圖�。應(yīng)理解,圖8中的流程圖僅提供了可用來如本文所述實施認證管理服務(wù)163的所述部分的操作的許多不同類型的功能布置的實例���。作為替代方案�,圖8中的流程圖可被視為描繪了根據(jù)一個或多個實施方案的在計算裝置112 (圖1)中實施的方法的步驟的實例���。
[0130]以框803開始�,認證管理服務(wù)163從客戶端103 (圖1)處的認證管理客戶端124(圖1)獲得對帳戶數(shù)據(jù)的請求���。在框806中���,認證管理服務(wù)163確定所述請求是否包括有效主控憑證169 (圖1)。如果所述請求不包括用于與帳戶數(shù)據(jù)相關(guān)聯(lián)的用戶的有效主控憑證169�����,那么認證管理服務(wù)163轉(zhuǎn)移到框809且拒絕對帳戶數(shù)據(jù)的請求。其后�,認證管理服務(wù)163的部分結(jié)束。
[0131]如果所述請求指定了有效主控憑證169��,那么認證管理服務(wù)163從框806繼續(xù)進行到框812且確定客戶端103是否對應(yīng)于預(yù)先授權(quán)的客戶端103����。舉例來說,認證管理服務(wù)163可評估所述請求的源網(wǎng)絡(luò)地址���、所述請求中存在的客戶端識別令牌和/或其它數(shù)據(jù)�����。如果認證管理服務(wù)163確定客戶端103不對應(yīng)于預(yù)先授權(quán)的客戶端103�,那么認證管理服務(wù)163移動到框813且向客戶端103提示需要有效的輔助憑證170 (圖1)����,例如一次性密碼�、對基于知識的問題的回答等。如果不提供有效的輔助憑證170��,那么認證管理服務(wù)163移動到框809且拒絕對帳戶數(shù)據(jù)的請求。其后����,認證管理服務(wù)163的部分結(jié)束。
[0132]如果提供有效的輔助憑證170�����,那么認證管理服務(wù)163從框813繼續(xù)前進到框815��。如果客戶端103改為是經(jīng)預(yù)先授權(quán)的��,那么認證管理服務(wù)163從框812移動到框815�。在框815中,認證管理服務(wù)163將一些或所有的經(jīng)加密帳戶數(shù)據(jù)從服務(wù)器帳戶數(shù)據(jù)166 (圖O發(fā)送給認證管理客戶端124�。在框818中,認證管理服務(wù)163可從認證管理客戶端124獲得對經(jīng)加密帳戶數(shù)據(jù)的更新��。如果認證管理服務(wù)163獲得了此類更新���,那么在框821中�,認證管理服務(wù)163使服務(wù)器帳戶數(shù)據(jù)166同步���。其后����,認證管理服務(wù)163的部分結(jié)束。
[0133]參看圖9�,示出了根據(jù)本公開的實施方案的客戶端103的示意框圖??蛻舳?03包括(例如)具有處理器903和存儲器906的至少一個處理器電路,處理器903和存儲器906兩者耦合到本地接口 909�����。為此�����,客戶端103可包括(例如)至少一個客戶端計算機或類似裝置�。如可了解,本地接口 909可包括(例如)具有隨附地址/控制總線的數(shù)據(jù)總線或其它總線結(jié)構(gòu)��?����?深愃朴诳蛻舳?03來對計算裝置106和112進行說明�,且以下論述也與計算裝置106和112有關(guān)。
[0134]可由處理器903執(zhí)行的數(shù)據(jù)和若干組件兩者存儲在存儲器906中。明確地說���,瀏覽器121、認證管理客戶端124以及可能還有其它應(yīng)用程序存儲在存儲器906中且可由處理器903執(zhí)行���。數(shù)據(jù)存儲裝置127和其它數(shù)據(jù)也可存儲在存儲器906中�����。另外�,操作系統(tǒng)可存儲在存儲器906中且可由處理器903執(zhí)行�。
[0135]應(yīng)理解,如可了解����,可以有其它應(yīng)用程序存儲在存儲器906中且可由處理器903執(zhí)行。在本文中論述的任何組件實施為軟件形式的情況下��,可使用多種編程語言中的任一種��,例如 C> C++> C#>Objective C�、Java?、JavaScript?���、Perl����、PHP、Visual Basic?��、Python?�����、Ruby�、Delphi?、Flash?或其它編程語言��。
[0136]多個軟件組件存儲在存儲器906中且可由處理器903執(zhí)行�����。就此來說����,術(shù)語“可執(zhí)行”表示呈最終可由處理器903運行的形式的程序文件?����?蓤?zhí)行程序的實例可以是(例如)可翻譯為呈可下載到存儲器906的隨機存取部分中且由處理器903運行的格式的機器代碼的經(jīng)編譯程序、可以用能夠下載到存儲器906的隨機存取部分中且由處理器903執(zhí)行的適當格式(例如目標代碼)來表達的源代碼或可以通過另一可執(zhí)行程序解譯以在存儲器906的隨機存取部分中產(chǎn)生指令以供處理器903執(zhí)行的源代碼等等�����?��?蓤?zhí)行程序可存儲在存儲器906的任何部分或組件中,包括(例如)隨機存取存儲器(RAM)�����、只讀存儲器(ROM)�、硬盤、固態(tài)硬盤�����、USB閃存盤���、存儲卡���、光盤(例如壓縮光盤(CD)或數(shù)字通用光盤(DVD)、軟盤�、磁帶或其它存儲組件。
[0137]存儲器906在本文中被定義為包括易失性和非易失性存儲器和數(shù)據(jù)存儲組件兩類。易失性組件是在失去電力之后不會留存數(shù)據(jù)值的那些組件�。非易失性組件是在失去電力之后還留存數(shù)據(jù)的那些組件。因此��,存儲器906可包括(例如)隨機存取存儲器(RAM)����、只讀存儲器(ROM)、硬盤�����、固態(tài)硬盤��、USB閃存盤��、經(jīng)由存儲卡讀取器存取的存儲卡���、經(jīng)由相關(guān)聯(lián)的軟盤驅(qū)動器存取的軟盤���、經(jīng)由光盤驅(qū)動器存取的光盤、經(jīng)由適當磁帶驅(qū)動器存取的磁帶和/或其它存儲器組件或者這些存儲器組件中的任兩者或兩者以上的組合���。另外�,RAM可包括(例如)靜態(tài)隨機存取存儲器(SRAM)、動態(tài)隨機存取存儲器(DRAM)或磁性隨機存取存儲器(MRAM)以及其它此類裝置���。ROM可包括(例如)可編程只讀存儲器(PR0M)���、可擦除可編程只讀存儲器(EPR0M)、電可擦除可編程只讀存儲器(EEPROM)或其它類似存儲裝置���。
[0138]此外,分別地���,處理器903可表示多個處理器903��,且存儲器906可表示在并行處理電路中操作的多個存儲器906��。在這樣一種情況中����,本地接口 909可以是方便多個處理器903中的任兩者之間��、任一處理器903與存儲器906中的任一個之間或存儲器906中的任兩者之間等等的通信的適當網(wǎng)絡(luò)�����。本地接口 909可包括經(jīng)設(shè)計以協(xié)調(diào)此通信(包括(例如)執(zhí)行負載平衡)的額外系統(tǒng)。處理器903可以是電的或某一其它可用構(gòu)造�。
[0139]雖然瀏覽器121、認證管理客戶端124�、網(wǎng)絡(luò)頁面服務(wù)器136 (圖1)、認證服務(wù)137(圖1)����、認證管理服務(wù)163 (圖1)以及本文中描述的其它各種系統(tǒng)可如上文所論述用由通用硬件執(zhí)行的軟件或代碼來體現(xiàn),但作為替代方案����,它們也可由專用硬件或軟件/通用硬件和專用硬件的組合來體現(xiàn)。如果以專用硬件來體現(xiàn)���,那么上述每一個可實施為使用多種技術(shù)中的任一個或組合的電路或狀態(tài)機�。這些技術(shù)可包括但不限于具有用于在應(yīng)用一個或多個數(shù)據(jù)信號之后即刻實施各種邏輯功能的邏輯門的離散邏輯電路��、具有適當邏輯門的專用集成電路或者其它組件等等�。此類技術(shù)一般是本領(lǐng)域的技術(shù)人員眾所周知的,因此本文中不進行詳細描述�。
[0140]圖3到圖8中的流程圖示出了認證管理客戶端124、認證端點139 (圖1)和認證管理服務(wù)163的多個部分的實現(xiàn)方案的功能性和操作��。如果以軟件來體現(xiàn)�����,那么每一框可表示包括實施指定邏輯功能的程序指令的模塊、區(qū)段或代碼部分����。所述程序指令可體現(xiàn)為以下形式:包括以編程語言編寫的人類可讀語句的源代碼或包括可通過合適的執(zhí)行系統(tǒng)(例如計算機系統(tǒng)中的處理器903或其它系統(tǒng))辨識的數(shù)字指令的機器代碼。機器代碼可由源代碼等轉(zhuǎn)換而來�����。如果以硬件體現(xiàn)��,那么每一框可表示用以實施指定邏輯功能的一個電路或多個互連電路���。
[0141]雖然圖3到圖8中的流程圖示出了特定的執(zhí)行次序,但應(yīng)理解��,執(zhí)行次序可不同于所描繪的次序���。舉例來說��,兩個或兩個以上框的執(zhí)行次序可相對于所示的次序有所打亂����。此夕卜,圖3到圖8中連續(xù)示出的兩個或兩個以上框可以同時執(zhí)行或者部分同時執(zhí)行�。另外,在一些實施方案中�����,可以跳過或省略圖3到圖8中所示的框中的一個或多個�����。另外��,可向本文中描述的邏輯流增添任何數(shù)目的計數(shù)器�、狀態(tài)變量、警告信號燈或消息����,以便實現(xiàn)增強的功用、計帳���、性能測量或提供故障查找輔助等等�����。應(yīng)理解����,所有此類變化都屬于本公開的范圍內(nèi)。
[0142]此外��,本文中描述的包括軟件或代碼的任何邏輯或應(yīng)用程序(包括瀏覽器121�����、認證管理客戶端124��、網(wǎng)絡(luò)頁面服務(wù)器136����、認證服務(wù)137和認證管理服務(wù)163)可體現(xiàn)在任何非暫時性計算機可讀媒體中以供指令執(zhí)行系統(tǒng)(例如計算機系統(tǒng)中的處理器903或其它系統(tǒng))使用或與指令執(zhí)行系統(tǒng)結(jié)合使用。在這個意義上�����,邏輯可包括(例如)包括可從計算機可讀媒體提取且由指令執(zhí)行系統(tǒng)執(zhí)行的指令和聲明的語句����。在本公開的上下文中�,“計算機可讀媒體”可以是可容納、存儲或維護本文中所描述的邏輯或應(yīng)用程序以供指令執(zhí)行系統(tǒng)使用或與指令執(zhí)行系統(tǒng)結(jié)合使用的任何媒體���。
[0143]計算機可讀媒體可包括許多物理媒體中的任一個��,例如磁性�����、光學(xué)或半導(dǎo)體媒體����。合適計算機可讀媒體的更多特定實例將包括但不限于磁帶、軟磁盤���、硬磁盤����、存儲卡�����、固態(tài)硬盤�、USB閃存盤或光盤。此外����,計算機可讀媒體可以是隨機存取存儲器(RAM)���,包括(例如)靜態(tài)隨機存取存儲器(SRAM)和動態(tài)隨機存取存儲器(DRAM)或者磁性隨機存取存儲器(MRAM)0另外,計算機可讀媒體可以是只讀存儲器(ROM)�、可編程只讀存儲器(PR0M)、可擦除可編程只讀存儲器(EPR0M)�����、電可擦除可編程只讀存儲器(EEPROM)或其它類型的存儲裝置�����。
[0144]應(yīng)強調(diào)�����,本公開的上述實施方案僅僅是為了清楚地理解本公開的原理而陳述的實現(xiàn)方案的可能實例���。在不實質(zhì)脫離本公開的精神和原理的情況下�����,可以對上述實施方案作出許多變動和修改。所有此類修改和變動在本文中意欲包括在本公開的范圍內(nèi)且受以下技術(shù)方案保護。
[0145]可以鑒于以下條款來描述本公開的實施方案:
條款1.一種體現(xiàn)可在計算裝置中執(zhí)行的程序的非暫時性計算機可讀媒體����,所述程序包括:
維護多個用戶中的每一個的用于多個網(wǎng)絡(luò)站點的多個帳戶的代碼;
對所述用戶中的一個進行認證的代碼����;
使用主控安全憑證對與所述用戶中的所述一個的所述帳戶有關(guān)的數(shù)據(jù)進行解密的代碼,所述數(shù)據(jù)包括與所述帳戶有關(guān)的多個安全憑證和關(guān)于所述用戶中的所述一個的一組信息�����;
確定所述計算裝置將要訪問所述網(wǎng)絡(luò)站點中的一個的第一受保護資源的代碼���;
使用與所述帳戶有關(guān)的所述數(shù)據(jù)中的第一安全憑證來訪問所述第一受保護資源的代碼����;
確定所述計算裝置將要訪問另一網(wǎng)絡(luò)站點的第二受保護資源的代碼����;
響應(yīng)于確定所述帳戶不能夠訪問所述第二受保護資源且響應(yīng)于從所述用戶中的所述一個獲得同意指示而借助所述另一網(wǎng)絡(luò)站點來創(chuàng)建新帳戶的代碼,其中將關(guān)于所述用戶中的所述一個的所述一組信息的子集自動提供給所述另一網(wǎng)絡(luò)站點以創(chuàng)建所述新帳戶����;
自動地產(chǎn)生用于所述新帳戶的第二安全憑證的代碼�;以及使用所述第二安全憑證來訪問所述第二受保護資源的代碼���。
[0146]條款2.如條款I(lǐng)所述的非暫時性計算機可讀媒體��,其中所述程序進一步包括在預(yù)定義的不活動時段之后結(jié)束所述用戶中的所述一個的會話的代碼���,且在所述會話結(jié)束時將已解密的所述數(shù)據(jù)從所述計算裝置移除。
[0147]條款3.如條款I(lǐng)或2中任一項所述的非暫時性計算機可讀媒體���,其中所述程序進一步包括在所述用戶中的所述一個的會話結(jié)束之后對所述用戶中的另一個進行認證的代碼����。
[0148]條款4.一種系統(tǒng),其包括:
計算裝置�����;以及
可在所述計算裝置中執(zhí)行的認證管理客戶端應(yīng)用程序�����,所述認證管理客戶端應(yīng)用程序包括:
維護用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶的邏輯�����;
確定所述計算裝置將要訪問網(wǎng)絡(luò)站點的受保護資源的邏輯;
確定所述帳戶是否能夠訪問所述受保護資源的邏輯����;以及
響應(yīng)于確定所述帳戶不能夠訪問所述受保護資源而借助所述網(wǎng)絡(luò)站點來創(chuàng)建新帳戶的邏輯���,其中將關(guān)于所述用戶的一組信息自動提供給所述網(wǎng)絡(luò)站點以創(chuàng)建所述新帳戶�。
[0149]條款5.如條款4所述的系統(tǒng)�,其中所述認證管理客戶端應(yīng)用程序進一步包括: 響應(yīng)于確定所述帳戶不能夠訪問所述受保護資源而從所述用戶獲得所述用戶沒有現(xiàn)有帳戶能夠訪問所述受保護資源的確認的邏輯;且
其中所述創(chuàng)建新帳戶的邏輯被配置來響應(yīng)于所述確認而創(chuàng)建所述新帳戶���。
[0150]條款6.如條款4或5中任一項所述的系統(tǒng)�����,其中所述創(chuàng)建新帳戶的邏輯進一步包括確定所述用戶先前是否授權(quán)使用所述一組信息進行自動帳戶創(chuàng)建的邏輯��。
[0151]條款7.如條款4到6中任一項所述的系統(tǒng)�����,其中所述創(chuàng)建新帳戶的邏輯進一步包括根據(jù)安全憑證規(guī)范自動地產(chǎn)生用于所述新帳戶的安全憑證的邏輯�。
[0152]條款8.如條款4到7中任一項所述的系統(tǒng)��,其中所述創(chuàng)建新帳戶的邏輯進一步包括根據(jù)在所述計算裝置與所述網(wǎng)絡(luò)站點之間的傳輸層安全性(TLS)會話中產(chǎn)生的對稱密鑰來自動地建立用于所述新帳戶的安全憑證的邏輯。
[0153]條款9.如條款4到8中任一項所述的系統(tǒng)�����,其中所述維護帳戶的邏輯被配置來維護處于經(jīng)加密狀態(tài)的與所述帳戶有關(guān)的數(shù)據(jù)且響應(yīng)于從所述用戶獲得的主控安全憑證對與所述帳戶有關(guān)的所述數(shù)據(jù)進行解密���。
[0154]條款10.如條款9所述的系統(tǒng)���,其中所述維護帳戶的邏輯被配置來:
使用所述主控安全憑證對密鑰進行解密;以及
使用所述密鑰對與所述帳戶有關(guān)的所述數(shù)據(jù)進行解密��。
[0155]條款11.如條款4到10中任一項所述的系統(tǒng)���,其中所述創(chuàng)建新帳戶的邏輯進一步包括在創(chuàng)建所述新帳戶之前從所述用戶獲得額外信息的邏輯���,所述額外信息包括在自動提供給所述網(wǎng)絡(luò)站點以創(chuàng)建所述新帳戶的所述一組信息中。
[0156]條款12.如條款4到11中任一項所述的系統(tǒng)�����,其中所述創(chuàng)建新帳戶的邏輯進一步包括在創(chuàng)建所述新帳戶之前從所述用戶獲得同意指示的邏輯����。
[0157]條款13.如條款12所述的系統(tǒng)���,其中所述一組信息對應(yīng)于關(guān)于所述用戶的信息超集的多個子集中的一個,所述創(chuàng)建新帳戶的邏輯被配置來從所述網(wǎng)絡(luò)站點獲得所述子集中的所述一個的標識��,且所述獲得同意指示的邏輯被配置來向所述用戶指示所述子集中的所述一個�。
[0158]條款14.如條款4到13中任一項所述的系統(tǒng)�����,其中所述一組信息包括所述用戶的姓名��。
[0159]條款15.如條款4到14中任一項所述的系統(tǒng)�,其中所述一組信息包括所述用戶的實際地址。
[0160]條款16.如條款4到15中任一項所述的系統(tǒng)��,其中所述一組信息包括所述用戶的出生日期��。
[0161]條款17.如條款4到16中任一項所述的系統(tǒng)�,其中所述一組信息包括所述用戶的聯(lián)系息。
[0162]條款18.如條款4到17中任一項所述的系統(tǒng)���,其中所述新帳戶是借助第三方標識提者來創(chuàng)建的�����,且所述新帳戶能夠訪問與多個網(wǎng)絡(luò)站點操作者相關(guān)聯(lián)的多個網(wǎng)絡(luò)站點上的多個受保護資源��。
[0163]條款19.一種方法����,其包括以下步驟:
在計算裝置中維護用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶;
在所述計算裝置中確定所述計算裝置將要訪問網(wǎng)絡(luò)站點的受保護資源��;
在所述計算裝置中確定所述帳戶是否能夠訪問所述受保護資源���;以及在所述計算裝置中響應(yīng)于確定所述帳戶不能夠訪問所述受保護資源而升級所述帳戶中的一個����,其中將關(guān)于所述用戶的一組信息提供給所述網(wǎng)絡(luò)站點以升級所述帳戶中的一個��。
[0164]條款20.如條款19所述的方法��,其中所述一組信息先前沒有提供給所述網(wǎng)絡(luò)站點用來創(chuàng)建所述帳戶中的一個�����。
[0165]條款21.如條款19或20所述的方法��,其進一步包括以下步驟:
在所述計算裝置中確定所述計算裝置將要訪問所述網(wǎng)絡(luò)站點的另一受保護資源; 在所述計算裝置中確定所述帳戶是否能夠訪問所述另一受保護資源��;
在所述計算裝置中響應(yīng)于確定所述帳戶能夠訪問所述另一受保護資源而將與所述帳戶中的一個相關(guān)聯(lián)的所存儲安全憑證自動提供給所述網(wǎng)絡(luò)站點�;以及在所述計算裝置中從所述網(wǎng)絡(luò)站點訪問所述另一受保護資源。
[0166]條款22.如條款19到21中任一項所述的方法��,其中所述升級步驟進一步包括在所述計算裝置中從所述用戶獲得所述一組信息中的至少一個元素的步驟�。
[0167]條款23.如條款19到22中任一項所述的方法,其中所述升級步驟進一步包括在所述計算裝置中從所存儲的數(shù)據(jù)獲得所述一組信息中的至少一個元素的步驟�����。
[0168]條款24.如條款19到23中任一項所述的方法��,其中所述升級步驟進一步包括在所述計算裝置中從所述用戶獲得同意指示的步驟�,且響應(yīng)于獲得所述同意指示而將所述一組信息自動提供給所述網(wǎng)絡(luò)站點�。
[0169]條款25.如條款19到24中任一項所述的方法,其中所述維護步驟進一步包括在所述計算裝置中維護處于經(jīng)加密狀態(tài)的用于所述帳戶的數(shù)據(jù)的步驟�,且所述方法進一步包括以下步驟:
在所述計算裝置中從所述用戶獲得主控安全憑證;以及
在所述計算裝置中使用所述主控安全憑證對用于所述帳戶的所述數(shù)據(jù)進行解密��。
[0170]條款26.如條款25所述的方法���,進一步包括在所述計算裝置中從另一計算裝置獲得用于所述帳戶的所述數(shù)據(jù)的步驟����。
[0171]條款27.—種系統(tǒng),其包括:
計算裝置;以及
可在所述計算裝置中執(zhí)行的認證管理客戶端應(yīng)用程序���,所述認證管理客戶端應(yīng)用程序包括:
維護用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶的邏輯���,其中借助網(wǎng)絡(luò)使用于所述帳戶的經(jīng)加密安全憑證與認證管理服務(wù)同步;
確定所述計算裝置將要訪問網(wǎng)絡(luò)站點的受保護資源的邏輯�;
確定所述帳戶是否能夠訪問所述受保護資源的邏輯;以及
響應(yīng)于確定所述帳戶不能夠訪問所述受保護資源而使用舊帳戶向所述網(wǎng)絡(luò)站點進行認證的邏輯��,其中從所述用戶獲得用于所述舊帳戶的至少一個安全憑證�。
[0172]條款28.如條款27所述的系統(tǒng),其中所述認證管理客戶端應(yīng)用程序進一步包括將所述舊帳戶增添到由所述維護邏輯維護的所述帳戶的邏輯���。
[0173]條款29.如條款28所述的系統(tǒng)�,其中所述認證管理客戶端應(yīng)用程序進一步包括將所述至少一個安全憑證轉(zhuǎn)變?yōu)楦鶕?jù)與所述網(wǎng)絡(luò)站點相關(guān)聯(lián)的安全憑證規(guī)范自動產(chǎn)生的至少一個替換安全憑證的邏輯�。
[0174]條款30.如條款27到29中任一項所述的系統(tǒng),其中所述認證管理客戶端應(yīng)用程序進一步包括從所述認證管理服務(wù)獲得所述經(jīng)加密安全憑證的邏輯����。
[0175]條款31.—種體現(xiàn)可在計算裝置中執(zhí)行的至少一個程序的非暫時性計算機可讀媒體,所述至少一個程序包括:
響應(yīng)于從用戶獲得主控安全憑證對由第一認證管理客戶端所存儲的與用戶帳戶相關(guān)聯(lián)的安全憑證進行解密的代碼�;
使用所述第一認證管理客戶端借助認證協(xié)議將第一認證請求發(fā)送到與網(wǎng)絡(luò)站點的受保護資源相關(guān)聯(lián)的認證服務(wù)的代碼,所述第一認證請求指定與所述用戶帳戶相關(guān)聯(lián)的所述安全憑證;
在響應(yīng)于所述第一認證請求而被所述認證服務(wù)認證之后訪問所述受保護資源的代碼���;
將所述安全憑證從所述第一認證管理客戶端導(dǎo)入到第二認證管理客戶端的代碼�����;使用所述第二認證管理客戶端借助所述認證協(xié)議將第二認證請求發(fā)送到所述認證服務(wù)的代碼��,所述第二認證請求指定所述安全憑證���;以及
在響應(yīng)于所述第二認證請求而被所述認證服務(wù)認證之后訪問所述受保護資源的代碼。
[0176]條款32.如條款31所述的非暫時性計算機可讀媒體���,其中所述第一認證管理客戶端和所述第二認證管理客戶端是由認證管理服務(wù)的不同提供者部署�����。
[0177]條款33.如條款31或32所述的非暫時性計算機可讀媒體,其中所述程序進一步包括:
響應(yīng)于所述用戶嘗試訪問所述網(wǎng)絡(luò)站點的另一受保護資源而從所述用戶獲得升級確認的代碼��,所述用戶帳戶被拒絕訪問所述另一受保護資源���;
使用所述第二認證管理客戶端將對所述用戶帳戶的帳戶升級請求發(fā)送給所述認證服務(wù)的代碼�����,所述帳戶升級請求指定關(guān)于所述用戶的一組信息��;以及
在升級所述用戶帳戶之后訪問所述網(wǎng)絡(luò)站點的所述另一受保護資源的代碼�。
[0178]條款34.—種系統(tǒng),其包括:
至少一個計算裝置;以及
可在所述至少一個計算裝置中執(zhí)行的認證服務(wù)��,所述認證服務(wù)包括:
借助認證協(xié)議從在客戶端計算裝置中執(zhí)行的認證管理客戶端獲得認證請求的邏輯���,所述認證請求指定與用戶帳戶相關(guān)聯(lián)的安全憑證�����;
至少部分基于所述認證管理客戶端的密切度來確定是否支持所述認證管理客戶端的邏輯����;以及
響應(yīng)于所述認證請求且響應(yīng)于支持所述認證管理客戶端而在所述客戶端計算裝置處對所述用戶帳戶進行認證以便訪問網(wǎng)絡(luò)站點的至少一個受保護資源的邏輯�。
[0179]條款35.如條款34所述的系統(tǒng),其中具有不同密切度的多個認證管理客戶端被配置來使用所述認證協(xié)議����。
[0180]條款36.如條款34或35所述的系統(tǒng),其中支持所述認證管理客戶端中的至少一個����,且不支持所述認證管理客戶端中的至少一個���。
[0181]條款37.如條款34到36中任一項所述的系統(tǒng),其中所述認證服務(wù)被配置來借助用戶代理字符串來識別所述認證管理客戶端的所述密切度���。
[0182]條款38.如條款34到37中任一項所述的系統(tǒng)�,其中所述認證服務(wù)進一步包括: 從所述認證管理客戶端獲得帳戶創(chuàng)建請求的邏輯�����,所述帳戶創(chuàng)建請求指定關(guān)于用戶的一組信息��;以及響應(yīng)于確定支持所述認證管理客戶端而根據(jù)所述帳戶創(chuàng)建請求來創(chuàng)建所述用戶帳戶的邏輯����。
[0183]條款39.如條款34到38中任一項所述的系統(tǒng),其中所述用戶帳戶與由多個實體操作的多個網(wǎng)絡(luò)站點相關(guān)聯(lián)��。
[0184]條款40.如條款34到39中任一項所述的系統(tǒng)���,其中所述認證服務(wù)由標識提供者操作,所述認證服務(wù)進一步包括向所述認證管理客戶端發(fā)送帶標牌的經(jīng)驗數(shù)據(jù)的邏輯����,且所述認證管理客戶端被配置來至少部分基于所述帶標牌的經(jīng)驗數(shù)據(jù)來在所述客戶端計算裝置中為所述標識提供者定制用戶界面���。
[0185]條款41.如條款34到40中任一項所述的系統(tǒng),其中所述認證服務(wù)進一步包括: 在認證之后獲得更換用于所述用戶帳戶的所述安全憑證的請求的邏輯�;以及
響應(yīng)于所述更換安全憑證的請求而建立用于所述用戶帳戶的新安全憑證的邏輯。
[0186]條款42.如條款41所述的系統(tǒng)���,其中所述建立新安全憑證的邏輯進一步包括:
自動地產(chǎn)生所述新安全憑證的邏輯���;以及
將所述新安全憑證提供給所述認證管理客戶端的邏輯。
[0187]條款43.如條款41或42所述的系統(tǒng)�,其中所述更換安全憑證的請求是在所述認證管理客戶端中自動發(fā)出。
[0188]條款44.如條款41或42所述的系統(tǒng)����,其中所述更換安全憑證的請求不是在所述認證管理客戶端中發(fā)出。
[0189]條款45.如條款41到44中任一項所述的系統(tǒng)���,其中所述認證服務(wù)進一步包括: 將安全憑證規(guī)范提供給所述認證管理客戶端的邏輯�����;且
其中所述更換安全憑證的請求指定所述新安全憑證���,且所述新安全憑證是通過所述認證管理客戶端根據(jù)所述安全憑證規(guī)范來自動產(chǎn)生�����。
[0190]條款46.—種方法����,其包括以下步驟:
在至少一個計算裝置中借助認證協(xié)議從在第一客戶端計算裝置中執(zhí)行的第一認證管理客戶端獲得第一認證請求���,所述第一認證請求指定與第一用戶帳戶相關(guān)聯(lián)的第一安全憑證��;
在所述至少一個計算裝置中響應(yīng)于所述第一認證請求而在所述第一客戶端計算裝置處對所述第一用戶帳戶進行認證以便訪問網(wǎng)絡(luò)站點的至少一個受保護資源��;
在所述至少一個計算裝置中借助所述認證協(xié)議從在第二客戶端計算裝置中執(zhí)行的第二認證管理客戶端獲得第二認證請求��,所述第二認證請求指定與第二用戶帳戶相關(guān)聯(lián)的第二安全憑證���;
在所述至少一個計算裝置中響應(yīng)于所述第二認證請求而在所述第二客戶端計算裝置處對所述第二用戶帳戶進行認證以便訪問所述網(wǎng)絡(luò)站點的所述至少一個受保護資源;且其中所述第一認證管理客戶端和所述第二認證管理客戶端是由認證管理服務(wù)的不同提供者部署�。
[0191]條款47.如條款46所述的方法,其進一步包括以下步驟:
在所述至少一個計算裝置中向所述第一認證管理客戶端和所述第二認證管理客戶端發(fā)送帶標牌的經(jīng)驗數(shù)據(jù)��;且
其中所述第一認證管理客戶端被配置來至少部分基于所述帶標牌的經(jīng)驗數(shù)據(jù)來在所述第一客戶端計算裝置中定制第一用戶界面�,且所述第二認證管理客戶端被配置來至少部分基于所述帶標牌的經(jīng)驗數(shù)據(jù)來在所述第二客戶端計算裝置中定制第二用戶界面。
[0192]條款48.如條款46或47所述的方法���,進一步包括以下步驟:
在所述至少一個計算裝置中響應(yīng)于所述第一認證請求而確定是否支持所述第一認證管理客戶端�����;以及
在所述至少一個計算裝置中響應(yīng)于所述第二認證請求而確定是否支持所述第二認證管理客戶端����。
[0193]條款49.如條款46到48中任一項所述的方法����,進一步包括以下步驟:
在所述至少一個計算裝置中在認證之后獲得更換用于所述第一用戶帳戶的所述第一安全憑證的請求,所述更換第一安全憑證的請求是在所述第一認證管理客戶端中自動發(fā)出�;以及
在所述至少一個計算裝置中響應(yīng)于所述更換第一安全憑證的請求而建立用于所述第一用戶帳戶的新安全憑證。
[0194]條款50.如條款49所述的方法���,其中所述新安全憑證對應(yīng)于所述第一客戶端計算裝置與所述至少一個計算裝置之間的傳輸層安全性(TLS)會話使用的對稱密鑰��。
[0195]條款51.如條款46到50中任一項所述的方法�,其進一步包括以下步驟:
在所述至少一個計算裝置中在認證之后從所述第一認證管理客戶端獲得帳戶升級請求�����,所述帳戶升級請求指定關(guān)于用戶的一組信息;
在所述至少一個計算裝置中根據(jù)所述帳戶升級請求來升級所述第一用戶帳戶�;以及在所述至少一個計算裝置中在升級之后在所述第一客戶端計算裝置處對所述第一用戶帳戶進行認證以便訪問所述網(wǎng)絡(luò)站點的另一受保護資源。
[0196]條款52.如條款51所述的方法����,其中所述第一認證管理客戶端被配置來響應(yīng)于所述用戶嘗試在所述第一客戶端計算裝置中訪問所述另一受保護資源且響應(yīng)于從所述用戶獲得同意指示而向所述至少一個計算裝置發(fā)送所述帳戶升級請求。
[0197]條款53.—種體現(xiàn)可在計算裝置中執(zhí)行的至少一個程序的非暫時性計算機可讀媒體����,所述至少一個程序包括:
維護用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶的代碼;
確定所述計算裝置將要訪問網(wǎng)絡(luò)站點的受保護資源的代碼����;
至少部分基于所述網(wǎng)絡(luò)站點的域名和從所述網(wǎng)絡(luò)站點獲得的所支持的第三方認證提供者的列表而識別被所述網(wǎng)絡(luò)站點接受的多個帳戶以便向所述受保護資源進行認證的代碼;
使得顯示被配置來獲得對所述多個所述帳戶中的一個的用戶選擇的用戶界面的代碼��;
存儲對與所述網(wǎng)絡(luò)站點的所述域名相關(guān)聯(lián)的所述多個所述帳戶中的所述一個的所述用戶選擇的代碼��;以及
使用與所述多個所述帳戶中通過所述用戶選擇選擇的所述一個帳戶相關(guān)聯(lián)的安全憑證向所述網(wǎng)絡(luò)站點進行自動認證的代碼�。
[0198]條款54.如條款53所述的非暫時性計算機可讀媒體,其中所述多個所述帳戶中的至少一個與多個所述網(wǎng)絡(luò)站點相關(guān)聯(lián)�。
[0199]條款55.如條款53或54所述的非暫時性計算機可讀媒體,其中所述識別所述多個所述帳戶的代碼進一步包括將所述域名的二級部分與不同的所存儲域名的二級部分相比較的代碼��。
[0200]條款56.—種系統(tǒng),其包括:
計算裝置�����;以及
可在所述計算裝置中執(zhí)行的認證管理客戶端應(yīng)用程序����,所述認證管理客戶端應(yīng)用程序包括:
維護用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶的邏輯���;
確定所述計算裝置將要訪問網(wǎng)絡(luò)站點的受保護資源的邏輯��;
根據(jù)所述網(wǎng)絡(luò)站點的域名來識別所述帳戶中的一個的邏輯�,所述帳戶中的所述一個與具有與所述域名不同的域名的不同網(wǎng)絡(luò)站點相關(guān)聯(lián)�����;以及
使用與所述帳戶中的所述一個相關(guān)聯(lián)的安全憑證向所述網(wǎng)絡(luò)站點進行自動認證的邏輯���。
[0201]條款57.如條款56所述的系統(tǒng)���,其中所述識別所述帳戶中的所述一個的邏輯進一步包括:
向認證管理服務(wù)發(fā)送帳戶識別請求的邏輯,所述帳戶識別請求包括所述網(wǎng)絡(luò)站點的所述域名����;以及
響應(yīng)于所述帳戶識別請求而從所述認證管理服務(wù)獲得帳戶標識的邏輯����,所述帳戶標識指定所述帳戶中的所述一個��。
[0202]條款58.如條款56或57所述的系統(tǒng)��,其中所述不同網(wǎng)絡(luò)站點的所述不同域名包括與所述域名共同的部分�����,且所述共同部分不包括一級域名在內(nèi)��。
[0203]條款59.如條款56到58中任一項所述的系統(tǒng)�,其中所述網(wǎng)絡(luò)站點是所述不同網(wǎng)絡(luò)站點的附屬網(wǎng)絡(luò)站點。
[0204]條款60.如條款56到59中任一項所述的系統(tǒng)����,其中所述向所述網(wǎng)絡(luò)進行自動認證的邏輯進一步被配置來在借助所述網(wǎng)絡(luò)站點進行自動認證之前從所述用戶獲得同意指
/Jn ο
[0205]條款61.如條款60所述的系統(tǒng),其中所述同意指示事先由所述用戶存儲�。
[0206]條款62.如條款56到61中任一項所述的系統(tǒng),其中所述識別所述帳戶中的所述一個的邏輯進一步被配置來根據(jù)所述網(wǎng)絡(luò)站點的二級域名而識別所述帳戶中的所述一個��。
[0207]條款63.如條款56到62中任一項所述的系統(tǒng)��,其中所述認證管理客戶端應(yīng)用程序進一步包括:
確定所述計算裝置將要訪問另一網(wǎng)絡(luò)站點的另一受保護資源的邏輯;
根據(jù)所述另一網(wǎng)絡(luò)站點的另一域名來識別所述帳戶中的所述一個的邏輯��;以及使用與所述帳戶中的所述一個相關(guān)聯(lián)的所述安全憑證向所述另一網(wǎng)絡(luò)站點進行自動認證的邏輯�。
[0208]條款64.如條款63所述的系統(tǒng),其中所述域名和所述另一域名各自具有相同的二級域名和不同的一級域名��。
[0209]條款65.如條款56到64中任一項所述的系統(tǒng)���,其中所述識別所述帳戶中的所述一個的邏輯進一步包括: 根據(jù)所述網(wǎng)絡(luò)站點的所述域名來識別多個所述帳戶的邏輯;
產(chǎn)生被配置來獲得對所述多個所述帳戶中的一個的用戶選擇的用戶界面的邏輯��;以及根據(jù)所述用戶選擇來識別所述帳戶中的所述一個的邏輯��。
[0210]條款66.如條款56到65中任一項所述的系統(tǒng)��,其中所述識別所述帳戶中的所述一個的邏輯進一步包括:
根據(jù)所述網(wǎng)絡(luò)站點的所述域名來識別多個所述帳戶的邏輯���;以及
根據(jù)所存儲的用戶偏好來從所述多個所述帳戶中識別出所述帳戶中的所述一個的邏輯��。
[0211]條款67.—種方法����,包括以下步驟:
在計算裝置中維護用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶�����;
在所述計算裝置中確定所述計算裝置將要訪問網(wǎng)絡(luò)站點的受保護資源;
在所述計算裝置中確定被所述網(wǎng)絡(luò)站點接受的多個所述帳戶以便向所述受保護資源進行認證�����;
在所述計算裝置中選擇所述多個所述帳戶中的一個以便向所述受保護資源進行認證��;
以及
在所述計算裝置中使用與所述多個所述帳戶中所選擇的所述一個帳戶相關(guān)聯(lián)的安全憑證來向所述網(wǎng)絡(luò)站點進行自動認證���。
[0212]條款68.如條款67所述的方法����,其中所述選擇步驟進一步包括以下步驟:
使得在所述計算裝置中顯示被配置來獲得對所述多個所述帳戶中的所述一個的用戶選擇的用戶界面�����;以及
在所述計算裝置中獲得所述用戶選擇��。
[0213]條款69.如條款67或68所述的方法����,其中所述選擇步驟進一步包括在所述計算裝置中根據(jù)所存儲的偏好來選擇所述多個帳戶中的所述一個的步驟。
[0214]條款70.如條款67到69中任一項所述的方法��,其中所述多個所述帳戶中的至少一個是借助第三方認證提供者來創(chuàng)建的。
[0215]條款71.如條款67到70中任一項所述的方法���,其中所述在所述計算裝置中確定被所述網(wǎng)絡(luò)站點接受的所述多個所述帳戶以便向所述受保護資源進行認證的步驟進一步包括在所述計算裝置中至少部分基于所述網(wǎng)絡(luò)站點的域名來識別所述多個所述帳戶的步驟���。
[0216]條款72.如條款67到71中任一項所述的方法,其中所述在所述計算裝置中確定被所述網(wǎng)絡(luò)站點接受的所述多個所述帳戶以便向所述受保護資源進行認證的步驟進一步包括在所述計算裝置中從所述網(wǎng)絡(luò)站點獲得多個所支持認證提供者的列表的步驟��。
[0217]條款73.—種體現(xiàn)可在計算裝置中執(zhí)行的程序的非暫時性計算機可讀媒體����,所述程序包括:
向認證管理服務(wù)發(fā)送對帳戶數(shù)據(jù)的請求的代碼,所述請求指定用于訪問所述帳戶數(shù)據(jù)的安全憑證和客戶端識別令牌�,所述帳戶數(shù)據(jù)包括用戶的用于訪問多個網(wǎng)絡(luò)站點的多個安全憑證����,其中所述認證管理服務(wù)被配置來維護處于加密形式的所述帳戶數(shù)據(jù);
響應(yīng)于對所述帳戶數(shù)據(jù)的所述請求而從所述認證管理服務(wù)獲得所述帳戶數(shù)據(jù)的代碼����; 從所述用戶獲得主控安全憑證的代碼;
使用所述主控安全憑證對所述帳戶數(shù)據(jù)進行解密的代碼���;
從所述用戶獲得將所述安全憑證重置為由所述用戶指定的單個臨時安全憑證的請求的代碼�;以及
通過以下操作將所述安全憑證中的每一個自動重置為所述單個臨時安全憑證的代碼:
使用所述相應(yīng)安全憑證向相應(yīng)認證服務(wù)進行認證;以及向所述相應(yīng)認證服務(wù)發(fā)送指定所述單個臨時安全憑證的對應(yīng)重置請求��。
[0218]條款74.如條款73所述的非暫時性計算機可讀媒體�,其中所述程序進一步包括施行所述單個臨時安全憑證的終止的代碼。
[0219]條款75.如條款73或74所述的非暫時性計算機可讀媒體���,其中所述程序進一步包括:
從所述用戶獲得將所述單個臨時安全憑證重置為多個新的安全憑證的代碼���;以及通過以下步驟針對每一認證服務(wù)自動地重置所述單個臨時安全憑證的代碼:
使用所述單個臨時安全憑證向所述相應(yīng)認證服務(wù)進行認證;以及針對所述相應(yīng)認證服務(wù)將所述單個臨時安全憑證重置為相應(yīng)的新安全憑證����。
[0220]條款76.—種系統(tǒng),其包括:
至少一個計算裝置;以及
可在所述至少一個計算裝置中執(zhí)行的服務(wù)����,所述服務(wù)包括:
存儲包括與用戶的多個網(wǎng)絡(luò)站點相關(guān)聯(lián)的多個安全憑證的帳戶數(shù)據(jù)的邏輯����,所述帳戶數(shù)據(jù)以加密形式來存儲;
從客戶端獲得對所述帳戶數(shù)據(jù)的請求的邏輯��,所述請求指定用于訪問所述帳戶數(shù)據(jù)的安全憑證���;以及
響應(yīng)于確定所述客戶端對應(yīng)于預(yù)先授權(quán)的客戶端且響應(yīng)于確定用于訪問所述帳戶數(shù)據(jù)的所述安全憑證是有效的而向所述客戶端發(fā)送所述帳戶數(shù)據(jù)的邏輯。
[0221]條款77.如條款76所述的系統(tǒng)���,其中所述安全憑證由所述客戶端的可卸除式計算機可讀媒體存儲���。
[0222]條款78.如條款76或77所述的系統(tǒng)��,其中所述服務(wù)進一步包括至少部分基于所述請求的源網(wǎng)絡(luò)地址來確定所述客戶端是否對應(yīng)于預(yù)先授權(quán)的客戶端的邏輯�����。
[0223]條款79.如條款76到78中任一項所述的系統(tǒng)����,其中所述服務(wù)進一步包括至少部分基于所述請求中呈現(xiàn)的客戶端識別令牌來確定所述客戶端是否對應(yīng)于預(yù)先授權(quán)的客戶端的邏輯。
[0224]條款80.如條款76到79中任一項所述的系統(tǒng)�,其中所述帳戶數(shù)據(jù)是未從所述經(jīng)加密形式解密發(fā)送到所述客戶端��。
[0225]條款81.如條款76到80中任一項所述的系統(tǒng)����,其中所述服務(wù)是由相對于所述網(wǎng)絡(luò)站點的第三方實體操作�����。
[0226]條款82.如條款76到81中任一項所述的系統(tǒng),其中所述服務(wù)進一步包括:
從所述客戶端獲得使用多個帳戶數(shù)據(jù)恢復(fù)機制中的一個的請求的邏輯���;
響應(yīng)于確定所述客戶端被授權(quán)使用所述多個帳戶數(shù)據(jù)恢復(fù)機制中的所述一個而啟用對所述帳戶數(shù)據(jù)恢復(fù)機制中的所述一個的使用的邏輯�;以及
響應(yīng)于確定所述客戶端不被授權(quán)使用所述多個帳戶數(shù)據(jù)恢復(fù)機制中的所述一個而停用對所述帳戶數(shù)據(jù)恢復(fù)機制中的所述一個的使用的邏輯���。
[0227]條款83.如條款82所述的系統(tǒng),其中對使用所述帳戶數(shù)據(jù)恢復(fù)機制的選定子集的授權(quán)是依照客戶端來指定���。
[0228]條款84.—種方法�����,其包括以下步驟:
在計算裝置中向認證管理服務(wù)發(fā)送對帳戶數(shù)據(jù)的請求����,所述請求指定用于訪問所述帳戶數(shù)據(jù)的安全憑證�,所述帳戶數(shù)據(jù)包括用戶的用于訪問多個網(wǎng)絡(luò)站點的多個安全憑證��;在所述計算裝置中響應(yīng)于對所述帳戶數(shù)據(jù)的所述請求而從所述認證管理服務(wù)獲得所述帳戶數(shù)據(jù)��;
在所述計算裝置中獲得主控安全憑證���;
在所述計算裝置中使用所述主控安全憑證對所述帳戶數(shù)據(jù)進行解密����;以及在所述計算裝置中將所述安全憑證中的每一個自動重置為相應(yīng)的新安全憑證�����。
[0229]條款85.如條款84所述的方法�,其中所述在所述計算裝置中獲得所述主控安全憑證的步驟進一步包括以下步驟:
在所述計算裝置中從可卸除式計算機可讀媒體獲得所述主控安全憑證的經(jīng)加密版本�����;
以及
在所述計算裝置中至少部分基于存儲在所述計算裝置中的另一安全憑證而對所述主控安全憑證的所述經(jīng)加密版本進行解密���。
[0230]條款86.如條款84或85所述的方法�,其中所述主控安全憑證與所述計算裝置的操作系統(tǒng)相關(guān)聯(lián)。
[0231]條款87.如條款84到86中任一項所述的方法����,其進一步包括以下步驟:
在所述計算裝置中產(chǎn)生多個一次性安全憑證;以及
在所述計算裝置中將所述一次性安全憑證與所述帳戶數(shù)據(jù)一起存儲�。
[0232]條款88.如條款87所述的方法,其進一步包括以下步驟:
在所述計算裝置中從所述用戶獲得所述一次性安全憑證中的一個��;
在所述計算裝置中至少部分基于所述一次性安全憑證中的所述一個而產(chǎn)生所述主控安全憑證��;以及
在所述計算裝置中將所述一次性安全憑證中的所述一個從所述帳戶數(shù)據(jù)移除�����。
[0233]條款89.如條款84到88中任一項所述的方法��,其中所述自動重置步驟是響應(yīng)于所述用戶起始的重置請求而執(zhí)行��。
[0234]條款90.如條款89所述的方法��,其進一步包括以下步驟:
在所述計算裝置中響應(yīng)于所述重置請求而向所述用戶呈現(xiàn)至少一個基于知識的問題��;
在所述計算裝置中從所述用戶獲得對所述至少一個基于知識的問題的至少一個回答;
在所述計算裝置中向所述認證管理服務(wù)進行查詢以確定所述至少一個回答是否有效�;
且
其中所述自動重置步驟是響應(yīng)于所述至少一個回答是有效的而執(zhí)行。
[0235]條款91.如條款84到90中任一項所述的方法��,其中所述自動重置步驟是響應(yīng)于預(yù)定義的重置時間間隔而執(zhí)行。
[0236]條款92.如條款84到91中任一項所述的方法�����,其中所述自動重置步驟進一步包括以下步驟:
對于所述安全憑證中的每一個:
在所述計算裝置中使用所述相應(yīng)安全憑證向與所述網(wǎng)絡(luò)站點中的至少一個相關(guān)聯(lián)的相應(yīng)認證服務(wù)進行認證��;以及
在所述計算裝置中向所述相應(yīng)認證服務(wù)發(fā)送對應(yīng)的重置請求�。
[0237]條款93.如條款84到92中任一項所述的方法��,其中所述安全憑證中的一個與多個所述網(wǎng)絡(luò)站點相關(guān)聯(lián)��。
[0238]條款94.如條款84到93中任一項所述的方法�����,其中對所述帳戶數(shù)據(jù)的所述請求包括由所述計算裝置存儲的客戶端識別令牌�。
[0239]條款95.如條款84到94中任一項所述的方法,其中所述新安全憑證對應(yīng)于從所述用戶獲得的單個新安全憑證�����。
[0240]條款96.如條款84到95中任一項所述的方法��,進一步包括在所述計算裝置中根據(jù)與所述對應(yīng)網(wǎng)絡(luò)站點中的至少一個相關(guān)聯(lián)的至少一個安全憑證規(guī)范來自動地產(chǎn)生所述新安全憑證中的至少一些的步驟����。
[0241]條款97.如條款84到96中任一項所述的方法����,其進一步包括以下步驟:
在所述計算裝置中獲得手動導(dǎo)出所述新安全憑證的請求���;以及
在所述計算裝置中以明文來呈現(xiàn)所述安全憑證的列表���。
[0242]條款98.如條款84到97中任一項所述的方法,進一步包括在所述計算裝置中更新由所述認證管理服務(wù)維護的所述帳戶數(shù)據(jù)以存儲所述新安全憑證的步驟����。
[0243]條款99.如條款98所述的方法,其中所述更新步驟進一步包括在向所述認證管理服務(wù)發(fā)送所述帳戶數(shù)據(jù)之前在所述計算裝置中使用所述主控安全憑證對包括所述新安全憑證的所述帳戶數(shù)據(jù)進行加密的步驟���。
[0244]條款100.—種體現(xiàn)可在計算裝置中執(zhí)行的程序的非暫時性計算機可讀媒體���,所述程序包括:
經(jīng)由網(wǎng)絡(luò)從認證管理服務(wù)獲得用于用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶的帳戶數(shù)據(jù)的代碼,所述帳戶數(shù)據(jù)包括用于所述帳戶中的每一個的相應(yīng)安全憑證�����;
響應(yīng)于所述用戶訪問所述多個網(wǎng)絡(luò)站點中的每一個而使用相應(yīng)的多個所述帳戶來向與多個所述網(wǎng)絡(luò)站點對應(yīng)的多個認證服務(wù)進行自動認證的代碼���,其中為所述網(wǎng)絡(luò)站點中的每一個建立相應(yīng)會話����;
至少部分基于用戶注銷指示和預(yù)定的用戶不活動時段的終止中的至少一個來確定將要執(zhí)行注銷的代碼;以及
通過結(jié)束所述會話中的每一個而執(zhí)行所述注銷的代碼���,所述執(zhí)行注銷的代碼進一步被配置來:
向所述認證服務(wù)中的每一個自動發(fā)送相應(yīng)的注銷指示;
在所述計算裝置中自動刷新與所述會話有關(guān)的數(shù)據(jù)����;以及從所述計算裝置自動刷新所述帳戶數(shù)據(jù)。
[0245]條款101.如條款100所述的非暫時性計算機可讀媒體����,其中與所述會話有關(guān)的所述數(shù)據(jù)包括由在所述計算裝置執(zhí)行的瀏覽器應(yīng)用程序存儲的多個會話cookie。
[0246]條款102.如條款100或101所述的非暫時性計算機可讀媒體����,其中所述帳戶數(shù)據(jù)是使用從所述用戶獲得的主控安全憑證來進行解密。
[0247]條款103.—種系統(tǒng)���,其包括:
計算裝置��;以及
可在所述計算裝置中執(zhí)行的認證客戶端����,所述認證客戶端包括:
維護用于用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶的帳戶數(shù)據(jù)的邏輯,所述帳戶數(shù)據(jù)包括用于所述帳戶中的每一個的相應(yīng)安全憑證��;
響應(yīng)于所述用戶訪問所述多個所述網(wǎng)絡(luò)站點中的每一個而使用相應(yīng)的多個所述帳戶來向與多個所述網(wǎng)絡(luò)站點對應(yīng)的多個認證服務(wù)進行自動認證的邏輯��,其中為所述網(wǎng)絡(luò)站點中的每一個建立相應(yīng)會話�����;
確定將要執(zhí)行注銷的邏輯�����;以及
通過結(jié)束所述會話中的每一個而執(zhí)行所述注銷的邏輯��。
[0248]條款104.如條款103所述的系統(tǒng)���,其中所述執(zhí)行注銷的邏輯被配置來向所述認證服務(wù)中的每一個自動發(fā)送相應(yīng)的注銷指示�。
[0249]條款105.如條款103或104所述的系統(tǒng)�,其中所述執(zhí)行注銷的邏輯被配置來在所述計算裝置中自動刷新與所述會話有關(guān)的數(shù)據(jù)。
[0250]條款106.如條款105所述的系統(tǒng)��,其中與所述會話有關(guān)的所述數(shù)據(jù)包括多個會話 cookie����。
[0251]條款107.如條款103到106中任一項所述的系統(tǒng)�,其中所述用戶借助在所述計算裝置中執(zhí)行的瀏覽器應(yīng)用程序來訪問所述多個所述網(wǎng)絡(luò)站點中的每一個���。
[0252]條款108.如條款103到107中任一項所述的系統(tǒng)�,其中所述確定將要執(zhí)行注銷的邏輯被配置來從所述用戶獲得單個注銷請求�。
[0253]條款109.如條款103到108中任一項所述的系統(tǒng),其中所述確定將要執(zhí)行注銷的邏輯被配置來從所述用戶獲得切換用戶請求��。
[0254]條款110.如條款103到109中任一項所述的系統(tǒng)�����,其中所述確定將要執(zhí)行注銷的邏輯被配置來確定預(yù)定的用戶不活動時段是否已滿���。
[0255]條款111.如條款103到110中任一項所述的系統(tǒng),其中所述確定將要執(zhí)行注銷的邏輯被配置來確定所述用戶是否已從操作系統(tǒng)帳戶注銷�。
[0256]條款112.如條款103到111中任一項所述的系統(tǒng),其中所述認證客戶端被配置來從認證管理服務(wù)下載呈加密形式的所述帳戶數(shù)據(jù)����。
[0257]條款113.如條款112所述的系統(tǒng),其中所述認證客戶端被配置來使用從所述用戶獲得的主控安全憑證對所述帳戶數(shù)據(jù)進行解密�����。
[0258]條款114.一種方法,其包括以下步驟:
在計算裝置中經(jīng)由網(wǎng)絡(luò)從認證管理服務(wù)獲得用于用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶的帳戶數(shù)據(jù)�,所述帳戶數(shù)據(jù)包括用于所述帳戶中的每一個的相應(yīng)安全憑證;
在所述計算裝置中響應(yīng)于所述用戶訪問所述多個所述網(wǎng)絡(luò)站點中的每一個而使用相應(yīng)的多個所述帳戶來向與多個網(wǎng)絡(luò)站點對應(yīng)的多個認證服務(wù)進行自動認證�����,其中為所述網(wǎng)絡(luò)站點中的每一個建立相應(yīng)會話���;
在所述計算裝置中確定將要執(zhí)行注銷�;以及
在所述計算裝置中通過結(jié)束所述會話中的每一個而執(zhí)行所述注銷����。
[0259]條款115.如條款114所述的方法,其進一步包括在所述計算裝置中使用從所述用戶獲得的主控安全憑證對所述帳戶數(shù)據(jù)進行解密的步驟����。
[0260]條款116.如條款114或115所述的方法,其進一步包括在所述計算裝置中使用存儲在所述計算機裝置中的計算機可讀媒體中的主控安全憑證來對所述帳戶數(shù)據(jù)進行解密的步驟���。
[0261]條款117.如條款114到116中任一項所述的方法��,其中所述執(zhí)行步驟進一步包括在所述計算裝置中向所述認證服務(wù)中的每一個自動發(fā)送相應(yīng)注銷指示的步驟����。
[0262]條款118.如條款114到117中任一項所述的方法,其中所述執(zhí)行步驟進一步包括在所述計算裝置中自動刷新與所述會話有關(guān)的數(shù)據(jù)的步驟���。
[0263]條款119.如條款114到118中任一項所述的方法�,其中所述執(zhí)行步驟進一步包括從所述計算裝置自動刷新所述帳戶數(shù)據(jù)的步驟��。
【權(quán)利要求】
1.一種系統(tǒng)����,其包括: 計算裝置;以及 可在所述計算裝置中執(zhí)行的認證管理客戶端應(yīng)用程序�,所述認證管理客戶端應(yīng)用程序包括: 維護用戶的用于多個網(wǎng)絡(luò)站點的多個帳戶的邏輯�; 確定所述計算裝置將要訪問網(wǎng)絡(luò)站點的受保護資源的邏輯; 確定所述帳戶是否能夠訪問所述受保護資源的邏輯���;以及 響應(yīng)于確定所述帳戶不能夠訪問所述受保護資源而用所述網(wǎng)絡(luò)站點來創(chuàng)建新帳戶的邏輯��,其中將關(guān)于所述用戶的一組信息自動提供給所述網(wǎng)絡(luò)站點以創(chuàng)建所述新帳戶����。
2.如權(quán)利要求1所述的系統(tǒng)���,其中所述創(chuàng)建所述新帳戶的邏輯進一步包括根據(jù)安全憑證規(guī)范自動生成用于所述新帳戶的安全憑證的邏輯���。
3.如權(quán)利要求1所述的系統(tǒng)��,其中所述維護所述帳戶的邏輯被配置來: 維護處于加密狀態(tài)的與所述帳戶有關(guān)的數(shù)據(jù)���;以及 響應(yīng)于從所述用戶獲得的主控安全憑證對與所述帳戶有關(guān)的所述數(shù)據(jù)進行解密。
4.如權(quán)利要求1所述的系統(tǒng)�,其中所述一組信息包括所述用戶的姓名、所述用戶的實際地址��、所述用戶的出生日期或所述用戶的聯(lián)系信息中的一個或多個��。
5.如權(quán)利要求1所述的系統(tǒng)��,其進一步包括: 確定所述用戶是否具有將被所述計算裝置訪問的用于所述網(wǎng)絡(luò)站點的現(xiàn)有帳戶的邏輯��;以及 響應(yīng)于確定所述用戶具有用于所述網(wǎng)絡(luò)站點的現(xiàn)有帳戶且所述帳戶不能夠訪問所述受保護資源而升級所述多個帳戶中的一個的邏輯��,其中將關(guān)于所述用戶的所述一組信息提供給所述網(wǎng)絡(luò)站點以升級所述帳戶中的所述一個���。
6.如權(quán)利要求5所述的系統(tǒng)�����,其中所述一組信息先前沒有提供給所述網(wǎng)絡(luò)站點用來創(chuàng)建所述帳戶中的所述一個����。
7.如權(quán)利要求1所述的系統(tǒng),其中所述受保護資源是第一受保護資源�,所述認證管理客戶端應(yīng)用程序進一步包括: 確定所述計算裝置將要訪問所述網(wǎng)絡(luò)站點的第二受保護資源的邏輯; 確定所述帳戶是否能夠訪問所述第二受保護資源的邏輯�����; 響應(yīng)于確定所述帳戶能夠訪問所述第二受保護資源而將與所述帳戶中的一個相關(guān)聯(lián)的所存儲安全憑證自動提供給所述網(wǎng)絡(luò)站點的邏輯�;以及從所述網(wǎng)絡(luò)站點訪問所述第二受保護資源的邏輯。
8.如權(quán)利要求1所述的系統(tǒng)�����,其進一步包括: 借助網(wǎng)絡(luò)使用于所述帳戶的經(jīng)加密安全憑證與認證管理服務(wù)同步的邏輯�����;以及響應(yīng)于確定所述帳戶不能夠訪問所述受保護資源而使用舊帳戶對所述網(wǎng)絡(luò)站點進行認證的邏輯���,其中從所述用戶獲得用于所述舊帳戶的至少一個安全憑證。
9.如權(quán)利要求1所述的系統(tǒng),進一步包括: 根據(jù)所述網(wǎng)絡(luò)站點的域名來識別所述多個帳戶中的一個的邏輯����,所述多個帳戶中的所述一個與具有與所述域名不同的域名的不同網(wǎng)絡(luò)站點相關(guān)聯(lián);以及 使用與所述帳戶中的所述一個相關(guān)聯(lián)的安全憑證對所述網(wǎng)絡(luò)站點進行自動認證的邏輯����。
10.如權(quán)利要求1所述的系統(tǒng),其進一步包括: 至少部分基于所述網(wǎng)絡(luò)站點的域名和從所述網(wǎng)絡(luò)站點獲得的所支持的第三方認證提供者的列表而識別被所述網(wǎng)絡(luò)站點接受的多個所述帳戶以便對所述受保護資源進行認證的邏輯�����; 使得顯示被配置來獲得對所述多個所述帳戶中的一個的用戶選擇的用戶界面的邏輯���; 存儲對與所述網(wǎng)絡(luò)站點的所述域名相關(guān)聯(lián)的所述多個所述帳戶中的所述一個的所述用戶選擇的邏輯����;以及 使用與所述多個所述帳戶中通過所述用戶選擇選擇的所述一個帳戶相關(guān)聯(lián)的安全憑證對所述網(wǎng)絡(luò)站點進行自動認證的邏輯���。
11.如權(quán)利要求1所述的系統(tǒng)�����,其進一步包括: 向認證管理服務(wù)發(fā)送對帳戶數(shù)據(jù)的請求的邏輯�,所述請求指定用于訪問所述帳戶數(shù)據(jù)的安全憑證,所述帳戶數(shù)據(jù)包括用戶用于訪問所述多個網(wǎng)絡(luò)站點的多個安全憑證���; 響應(yīng)于對所述帳戶數(shù)據(jù)的所述請求而從所述認證管理服務(wù)獲得所述帳戶數(shù)據(jù)的邏輯���; 獲得主控安全憑證的邏輯; 使用所述主控安全憑證對所述帳戶數(shù)據(jù)進行解密的邏輯�;以及 將所述安全憑證中的每一個自動重置為相應(yīng)的新安全憑證的邏輯。
12.如權(quán)利要求1所述的系統(tǒng)�,其進一步包括: 維護用于所述用戶的用于所述多個網(wǎng)絡(luò)站點的所述多個帳戶的帳戶數(shù)據(jù)的邏輯,所述帳戶數(shù)據(jù)包括用于所述帳戶中的每一個的相應(yīng)安全憑證�; 響應(yīng)于所述用戶訪問所述多個所述網(wǎng)絡(luò)站點中的每一個而使用相應(yīng)的多個所述帳戶來對與多個所述網(wǎng)絡(luò)站點對應(yīng)的多個認證服務(wù)進行自動認證的邏輯,其中為所述網(wǎng)絡(luò)站點中的每一個建立相應(yīng)會話�; 確定將要執(zhí)行注銷的邏輯;以及 通過結(jié)束所述會話中的每一個而執(zhí)行所述注銷的邏輯�����。
13.—種系統(tǒng),其包括: 至少一個計算裝置�����;以及 可在所述至少一個計算裝置中執(zhí)行的認證服務(wù)���,所述認證服務(wù)包括: 借助認證協(xié)議從在第一客戶端計算裝置中執(zhí)行的第一認證管理客戶端獲得第一認證請求的邏輯�,所述第一認證請求指定與第一用戶帳戶相關(guān)聯(lián)的第一安全憑證����; 響應(yīng)于所述第一認證請求而在所述第一客戶端計算裝置處對所述第一用戶帳戶進行認證以便訪問網(wǎng)絡(luò)站點的至少一個受保護資源的邏輯; 借助所述認證協(xié)議從在第二客戶端計算裝置中執(zhí)行的第二認證管理客戶端獲得第二認證請求的邏輯��,所述第二認證請求指定與第二用戶帳戶相關(guān)聯(lián)的第二安全憑證���;以及響應(yīng)于所述第二認證請求而在所述第二客戶端計算裝置處對所述第二用戶帳戶進行認證以便訪問所述網(wǎng)絡(luò)站點的所述至少一個受保護資源的邏輯����, 其中所述第一認證管理客戶端和所述第二認證管理客戶端是由認證管理服務(wù)的不同提供者部署����。
14.如權(quán)利要求13所述的系統(tǒng),其進一步包括: 至少部分基于所述第一認證管理客戶端的密切度來確定是否支持所述第一認證管理客戶端的邏輯���;以及 響應(yīng)于所述第一認證請求且響應(yīng)于支持所述第一認證管理客戶端而在所述第一客戶端計算裝置處對所述第一用戶帳戶進行認證以便訪問所述網(wǎng)絡(luò)站點的所述至少一個受保護資源的邏輯�����。
15.如權(quán)利要求13所述的系統(tǒng)�����,其中所述第一認證管理客戶端被配置來: 響應(yīng)于從用戶獲得主控安全憑證對由所述第一認證管理客戶端所存儲的與所述第一用戶帳戶相關(guān)聯(lián)的所述第一安全憑證進行解密�����; 使用所述第一認證管理客戶端借助所述認證協(xié)議將所述第一認證請求發(fā)送給與所述網(wǎng)絡(luò)站點的所述至少一個受保護資源相關(guān)聯(lián)的所述認證服務(wù),所述第一認證請求指定與所述第一用戶帳戶相關(guān)聯(lián)的所述第一安全憑證; 在響應(yīng)于所述第一認證請求而被所述認證服務(wù)認證之后訪問所述至少一個受保護資源����;以及 將所述第一安全憑證從所述第一認證管理客戶端導(dǎo)入到在所述第一客戶端計算裝置中執(zhí)行的第三認證管理客戶端中�����。
16.如權(quán)利要求13所述的系統(tǒng)��,其進一步包括: 存儲包括與用戶的多個網(wǎng)絡(luò)站點相關(guān)聯(lián)的多個安全憑證的帳戶數(shù)據(jù)的邏輯�,所述帳戶數(shù)據(jù)以加密形式來存儲���; 從第三客戶端獲得對所述帳戶數(shù)據(jù)的請求的邏輯���,所述請求指定用于訪問所述帳戶數(shù)據(jù)的第三安全憑證;以及 響應(yīng)于確定所述第三客戶端對應(yīng)于預(yù)先授權(quán)的客戶端且響應(yīng)于確定用于訪問所述帳戶數(shù)據(jù)的所述第三安全憑證是有效的而向所述第三客戶端發(fā)送所述帳戶數(shù)據(jù)的邏輯��。
17.如權(quán)利要求13所述的系統(tǒng)����,其進一步包括: 在認證之后獲得更換用于所述第一用戶帳戶的所述第一安全憑證的請求的邏輯,所述更換所述第一安全憑證的請求是在所述第一認證管理客戶端中自動發(fā)出����;以及 響應(yīng)于所述更換所述第一安全憑證的請求而建立用于所述第一用戶帳戶的新安全憑證的邏輯。
18.如權(quán)利要求13所述的系統(tǒng)�,其進一步包括: 在認證之后從所述第一認證管理客戶端獲得帳戶升級請求的邏輯,所述帳戶升級請求指定關(guān)于用戶的一組信息�; 根據(jù)所述帳戶升級請求來升級所述第一用戶帳戶的邏輯;以及在升級之后在所述第一客戶端計算裝置處對所述第一用戶帳戶進行認證以便訪問所述網(wǎng)絡(luò)站點的另一受保護資源的邏輯�。
【文檔編號】H04L29/06GK104364792SQ201380018421
【公開日】2015年2月18日 申請日期:2013年1月30日 優(yōu)先權(quán)日:2012年2月1日
【發(fā)明者】D.W.希奇科克, B.L.坎貝爾 申請人:亞馬遜科技公司