[go: up one dir, main page]

ES2597815T3 - Aprovisionamiento de representaciones de identidad digital - Google Patents

Aprovisionamiento de representaciones de identidad digital Download PDF

Info

Publication number
ES2597815T3
ES2597815T3 ES08713521.6T ES08713521T ES2597815T3 ES 2597815 T3 ES2597815 T3 ES 2597815T3 ES 08713521 T ES08713521 T ES 08713521T ES 2597815 T3 ES2597815 T3 ES 2597815T3
Authority
ES
Spain
Prior art keywords
dir
identity
principal
representation
digital
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08713521.6T
Other languages
English (en)
Inventor
Vijay K. Gajjala
Colin H. Brace
Derek T. Del Conte
Kim Cameron
Arun K. Nanda
Hervey O. Wilson
Stuart L.S. Kwan
Rashmi Raj
Vijayavani Nori
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Application granted granted Critical
Publication of ES2597815T3 publication Critical patent/ES2597815T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Un sistema (100) para aprovisionar una representación (930) de identidad digital para un principal (110), que comprende: un sistema (164) de generación de representación de identidad digital adaptado para generar una representación de identidad digital, DIR (930) para un principal (110), y para enviar la DIR al principal, siendo la DIR específica para un proveedor (115) de identidad y que incluye una política de emisión del proveedor de identidad para testigos (150, 945) de identidad, así como reclamaciones acerca del principal; el proveedor (115) de identidad, adaptado para recibir la DIR, para generar un testigo (150) de identidad que corresponde a la DIR y para enviar el testigo de identidad al principal, rellenándose el testigo de identidad con información acerca del principal que corresponde a las reclamaciones incluidas en la DIR para satisfacer una política de seguridad; y un almacenamiento (168) de datos de identidad, conectado de manera operativa al proveedor de identidad y al sistema de generación de representación de identidad digital, adaptado para almacenar las reclamaciones acerca del principal incluidas en la DIR y la correspondiente información acerca del principal usada para rellenar el testigo de identidad, en el que la generación de la DIR mediante el sistema de generación de representación de identidad digital y la generación del testigo de identidad mediante el proveedor de identidad se realizan accediendo al mismo almacenamiento de datos de identidad para asegurar que la información acerca del principal que corresponde a las reclamaciones contenidas en la DIR está de hecho disponible en el almacenamiento de datos de identidad para rellenar el testigo de identidad.

Description

5
10
15
20
25
30
35
40
45
50
55
DESCRIPCION
Aprovisionamiento de representaciones de identidad digital Antecedentes
Recientemente ha tenido lugar una innovacion tremenda en sistemas de desarrollo para proporcionar a los individuos mas control sobre como se distribuye y usa su informacion de identidad personal, particularmente en un contexto digital. Por ejemplo, Microsoft Corporation de Redmond, Washington, entre otros, ha propagado un sistema en ocasiones denominado como el Selector de Tarjeta de Informacion - denominandose la instanciacion de Microsoft como Windows CardSpace. En un sistema Windows CardSpace, un principal obtiene una o mas representaciones de identidad digital, en ocasiones denominadas como tarjetas de informacion. Cuando el principal intenta acceder a un recurso (una "parte confiante") que solicita un conjunto de reclamaciones realizadas acerca del principal, el principal emplea una representacion de identidad digital (en lo sucesivo denominada una "DIR") para iniciar la comunicacion con un proveedor de identidad que puede afirmar estas reclamaciones. En algunos casos, el proveedor de identidad puede controlarse mediante un principal y ejecutarse en la propia maquina del principal. En otros puede controlarse mediante una tercera parte. El proveedor de identidad devuelve un "testigo de identidad" que incluye la informacion de las reclamaciones requerida.
Se ha dirigido poca atencion, sin embargo, hacia la creacion y aprovisionamiento de las DIR. Actualmente, los administradores de sistemas de identidad digital se ven forzados a formar las DIR manualmente. Por ejemplo, un administrador puede usar manualmente una utilidad de software, tal como un generador de XML, para formar una DIR y grabarla a una localizacion particular. El administrador puede a continuacion enviar al principal un puntero a la DIR, y el principal ina a continuacion a recuperar la DIR. Este sistema es ad hoc, sometido a errores y vulnerabilidades de seguridad, y de trabajo intensivo para un administrador.
El documento US 2005/283443 A1 se refiere a un sistema de gestion de identidad. En un sistema de gestion de identidad jerarquico distribuido, se asigna a los usuarios un identificador unico global (GUID) que se denomina tambien como un identificador personal globalmente unico (GUPI). Un sitio de miembros (MS) proporciona al usuario un servicio, y requiere informacion de identificacion acerca del usuario que se obtendra desde un sitio domestico (HS). Un usuario emplea un explorador para iniciar una sesion con el MS, y a continuacion se le solicita informacion de identificacion o un inicio de sesion. El usuario indica que la informacion requerida puede proporcionarse mediante el HS. El MS genera una solicitud para la informacion almacenada mediante el HS y la reenvfa, preferentemente como una forma HTTPS, al usuario. La forma HTTPS tiene preferentemente un numero aleatorio utilizado solo una vez asociado con el para actuar como un identificador de sesion e incluye una redireccion al HS. Si el usuario todavfa no ha iniciado sesion y se ha autenticado, el HS obtiene informacion de inicio de sesion para autenticar al usuario. El HS a continuacion busca preferentemente autorizacion de usuario para liberar la informacion solicitada al MS. La informacion solicitada podna ser tan sencilla como el GUPI proporcionado como un par nombre-valor codificado en URL, o tan rico como un fragmento de XML.
El documento US 2004/162786 A1 se refiere a un procedimiento y dispositivo asociado para gestionar ciclos de vida de ID digital para programas de aplicacion, y programas de aplicacion de abstraccion para multiples tipos de credenciales a traves de un Sistema de Gestion de Identidad Digital (DIMS) comun y una capa de Interfaz de Programacion de Aplicacion (API).
El documento US 2006/005020 A1 se refiere a un procedimiento y sistema para seguridad escalonada en un sistema de gestion de identidad que utiliza diferentes niveles de sensibilidad de tiempo, seguridad de canal y seguridad de autenticacion para proporcionar un enfoque multidimensional para proporcionar el ajuste correcto para diferentes solicitudes de identidad. Los diferentes niveles de seguridad pueden seleccionarse mediante preferencias de usuario, solicitud de sitio de miembros o polttica de sitio domestico.
Sumario
Es el objeto de la presente invencion proporcionar un sistema y procedimiento para aprovisionar una representacion de identidad digital (DIR) para un principal.
Este objeto se resuelve mediante la materia objeto de las reivindicaciones independientes.
Se proporcionan realizaciones en las reivindicaciones dependientes.
Este resumen se proporciona para introducir una seleccion de conceptos en una forma simplificada que se describen adicionalmente a continuacion en la descripcion detallada. Este resumen no se pretende para identificar caractensticas clave o caractensticas esenciales de la materia objeto reivindicada, ni se pretende para usarse como un ayuda al determinar el alcance de la materia objeto reivindicada.
Un aspecto se refiere a un sistema para aprovisionar una DIR para un principal. El sistema incluye un sistema de generacion de DIR que esta adaptado para recibir una solicitud para generar una DIR para el principal y a continuacion generar la DIR. Tambien se proporciona un proveedor de identidad adaptado para generar un testigo
5
10
15
20
25
30
35
40
45
50
55
de identidad en respuesta a la comunicacion iniciada usando la DIR, y un almacenamiento de datos de identidad, conectado de manera operativa tanto al sistema de generacion de DIR como al proveedor de identidad. El sistema de generacion de DIR accede al almacenamiento de datos de identidad al generar la DIR y el proveedor de identidad tambien accede al almacenamiento de datos de identidad al generar el testigo de identidad.
Otro aspecto se refiere a un procedimiento para aprovisionar una DIR para un principal. El procedimiento incluye autenticar el principal en un sistema de generacion de DIR usando informacion de inicio de sesion tal como un nombre de usuario y contrasena. El procedimiento incluye adicionalmente recibir una solicitud para una DIR y generar la DIR solicitada de una manera que incluya al menos alguna de la informacion de inicio de sesion. Por ejemplo, la misma informacion de inicio de sesion puede usarse para proteger o "respaldar" la DIR resultante. Esto proporciona un indicio para el principal de autenticacion con respecto a que informacion de autenticacion proporcionar en un momento mas adelante para iniciar sesion.
Otro aspecto se refiere a otro procedimiento para aprovisionar una DIR para un principal. En este procedimiento ejemplar, se genera un primer descriptor de DIR y un segundo descriptor de DIR. Estos pueden presentar, por ejemplo, diferentes DIR que estan disponibles para los principales. A continuacion, el primer y segundo descriptores de DIR se envfan al principal de modo que el principal conoce, por ejemplo, que DIR estan disponibles. Se recibe a continuacion una solicitud desde el principal para al menos una primera DIR conforme al primer descriptor de DIR. La primera DIR se crea a continuacion.
Otro aspecto se refiere a otro procedimiento mas para aprovisionar una DIR para un principal. Se solicita el acceso a una parte confiante. Se recibe a continuacion un mensaje que deniega el acceso y que transmite la polttica de seguridad de la parte confiante. Una DIR que satisface la polttica de seguridad se solicita a continuacion desde un sistema de generacion de DIR. Finalmente, se recibe la DIR.
Breve descripcion de los dibujos
Se hara referencia ahora a los dibujos adjuntos, que no estan necesariamente dibujados a escala, y en los que:
La Figura 1 ilustra un sistema de DIR de ejemplo que incluye un principal, una maquina principal, una parte confiante, un proveedor de identidad, un sistema de generacion de DIR, un almacenamiento de datos de identidad, un sistema de administrador, y un sistema de captura de datos;
La Figura 2 ilustra un procedimiento de ejemplo para aprovisionamiento y uso de DIR;
La Figura 3 ilustra otro procedimiento de ejemplo para aprovisionamiento y uso de DIR;

La Figura 4 ilustra otro procedimiento de ejemplo para aprovisionamiento de DIR;

La Figura 5 ilustra otro procedimiento de ejemplo para aprovisionamiento de DIR;

La Figura 6 ilustra otro procedimiento de ejemplo para aprovisionamiento de DIR;

La Figura 7 ilustra otro procedimiento de ejemplo para aprovisionamiento de DIR;
La Figura 8 ilustra otro procedimiento de ejemplo para aprovisionamiento de DIR; y
La Figura 9 ilustra un ejemplo de un dispositivo informatico.
Descripcion detallada:
Se describiran ahora realizaciones de ejemplo mas completamente en lo sucesivo con referencia a los dibujos adjuntos. Numeros de referencia similares hacen referencia a elementos similares a lo largo de todo el presente documento.
Las realizaciones de ejemplo desveladas en el presente documento se refiere en general a sistemas de identidad que incluyen DIR usadas al iniciar comunicacion para produccion de testigos de identidad que pueden intercambiarse entre un principal, un proveedor de identidad, y una parte confiante para autenticar una identidad y/o informacion relacionada con el principal. En realizaciones de ejemplo del presente documento, el principal puede ser una persona o personas naturales, un ordenador, una red o cualquier otra entidad. La parte confiante tiene bienes, servicios u otra informacion que el principal desea acceder y/u obtener. En realizaciones de ejemplo, la parte confiante puede ser cualquier recurso, privilegio o servicio que requiere una polftica de seguridad para entrar, acceso o uso. Por ejemplo, una parte confiante puede comprender uno o mas de: ordenadores, redes de ordenadores, datos, bases de datos, edificios, personal, servicios, compares, organizaciones, localizaciones ffsicas, dispositivos electronicos o cualquier otro tipo de recurso.
Haciendo referencia ahora a la Figura 1, se muestra un sistema 100 de DIR de ejemplo que incluye un principal 110 y una parte 120 confiante. El principal 110 esta en posesion o control sobre la maquina 111 principal. La maquina 111 principal incluye un sistema informatico controlado al menos temporalmente mediante el principal 110. La parte 120 confiante puede incluir tambien un sistema informatico. El sistema 100 puede incluir tambien un sistema 160 de administrador, un sistema 162 de captura de datos, un sistema 164 de generacion de DIR, y almacenamiento 168 de datos de identidad, y un proveedor 115 de identidad, cada uno de los cuales se analiza adicionalmente a continuacion y puede incluir, o ser parte de, un sistema informatico.
El principal 110 y la parte 120 confiante pueden comunicar entre sf a traves de una o mas redes, tal como internet, o a traves de formas telefonicas u otras de comunicacion cableada o inalambrica. En realizaciones de ejemplo, el
5
10
15
20
25
30
35
40
45
50
55
60
principal 110 puede solicitar bienes, servicios, informacion, privilegios u otra forma de acceso a partir de la parte 120 confiante. La parte 120 confiante puede requerir autenticacion de la identidad de, o informacion acerca del, principal 110 antes o en conjunto con proporcionar el acceso solicitado al principal 110.
Tambien se muestra en la Figura 1 un proveedor 115 de identidad de ejemplo. El proveedor 115 de identidad incluye un sistema informatico. En realizaciones de ejemplo, el proveedor 115 de identidad incluye un transformador 130 de reclamaciones y una autoridad 140 de reclamaciones. El transformador 130 de reclamaciones se denomina en ocasiones como un "servicio de testigo de seguridad". En el ejemplo mostrado, el proveedor 115 de identidad puede proporcionar una o mas reclamaciones acerca del principal 110. Una reclamacion es una sentencia o afirmacion realizada acerca del principal, que incluye posiblemente informacion acerca del principal tal como, por ejemplo, nombre, direccion, numero de la seguridad social, edad, historial de credito, requisitos transaccionales, etc. Como se describe adicionalmente a continuacion, el proveedor 115 de identidad puede proporcionar reclamaciones al principal 110 y/o a la parte 120 confiante en forma de un testigo de identidad firmado digitalmente. En realizaciones de ejemplo, el proveedor 115 de identidad esta en una relacion confiable con la parte 120 confiante, de modo que la parte 120 confiante conffa las reclamaciones en el testigo de identidad firmado desde el proveedor 115 de identidad.
Aunque el transformador 130 de reclamaciones y la autoridad 140 de reclamaciones del proveedor 115 de identidad se muestran como entidades separadas en la Figura 1, en realizaciones alternativas el transformador 130 de reclamaciones y la autoridad 140 de reclamaciones pueden ser la misma entidad o entidades diferentes. El proveedor 115 de identidad puede tomar la forma de un servicio de testigo de seguridad en algunas realizaciones de ejemplo. De manera similar, el proveedor 115 de identidad y el sistema 164 de generacion de DIR pueden ser la misma o diferentes entidades.
Los sistemas informaticos descritos en el presente documento incluyen, sin limitacion, un ordenador personal, ordenador servidor, dispositivo de mano o portatil, sistema de microprocesador, sistema basado en microprocesador, electronica de consumo programable, PC de red, miniordenadores, ordenador central, tarjeta inteligente, telefono, dispositivo de comunicacion movil o celular, asistente de datos personal, entorno informatico distribuido que incluye cualquiera de los sistemas o dispositivos anteriores y similares. Algunos sistemas informaticos descritos en el presente documento pueden comprender dispositivos informaticos portatiles. Un dispositivo informatico portatil es cualquier sistema informatico que esta disenado para llevarse ffsicamente por un usuario. Cada sistema informatico puede incluir tambien uno o mas perifericos, incluyendo sin limitacion: teclado, raton, una camara, una camara web, una camara de video, un escaner de huellas digitales, un escaner de iris, un dispositivo de visualizacion tal como un monitor, un microfono o altavoces.
Cada sistema informatico incluye un sistema operativo, tal como (sin limitacion) el sistema operativo WINDOWS de Microsoft Corporation, y uno o mas programas almacenados en el medio legible por ordenador. Cada sistema informatico puede incluir tambien uno o mas dispositivos de comunicaciones de entrada y salida que permiten al usuario comunicar con el sistema informatico, asf como permitir al sistema informatico comunicar con otros dispositivos. Las comunicaciones entre los sistemas informaticos usados mediante el principal 110 (por ejemplo, maquina 111 principal), parte 120 confiante, sistema 164 de generacion de DIR, sistema 160 de administrador, sistema 162 de captura de datos, y proveedor 115 de identidad pueden implementarse usando cualquier tipo de enlace de comunicaciones, incluyendo, sin limitacion, internet, redes de area extensa, intranets, Ethernet, rutas cableadas directas, satelites, escaneres de infrarrojos, comunicaciones celulares o cualquier otro tipo de comunicaciones cableadas o inalambricas.
En algunas realizaciones de ejemplo desveladas en el presente documento, el sistema 100 se implementa al menos en parte como un sistema de tarjeta de informacion proporcionado en la estructura .NET 3.0 desarrollada por Microsoft Corporation de Redmond, Washington. El sistema de tarjeta de informacion permite a los principales manejar multiples DIR desde diversos proveedores de identidad.
El sistema de tarjeta de informacion utiliza una plataforma de servicios web tal como la Estructura de Comunicacion de Windows en la estructura .NET 3.0. Ademas, el sistema de tarjeta de informacion se crea usando las especificaciones de seguridad de servicios web propagadas al menos en parte por Microsoft Corporation de Redmond, Washington. Estas especificaciones incluyen un modelo de seguridad de mensaje seguridad WS, una polftica de seguridad WS de polftica de punto de extremo, un intercambio de metadatos WS, y un modelo de confianza WS-Tmst. En general, el modelo de seguridad WS describe como unir testigos de identidad a mensajes. El modelo de polftica de seguridad WS describe requisitos de polftica de punto de extremo, tales como testigos de identidad requeridos y algoritmos de encriptacion soportados. Tales requisitos de polftica pueden transportarse y negociarse usando un protocolo de metadatos definido mediante intercambio de metadatos WS. El modelo de confianza WS describe una estructura para modelos de confianza que posibilita que interoperen diferentes servicios web. Algunas realizaciones de ejemplo descritas en el presente documento hacen referencia a las especificaciones de seguridad de servicios web anteriormente descritas. En realizaciones alternativas, una u otras especificaciones mas pueden usarse para facilitar las comunicaciones entre los diversos subsistemas en el sistema 100.
Haciendo referencia de nuevo a la Figura 1, el principal 110 puede enviar una solicitud mediante la maquina 111 principal a la parte 120 confiante para acceder a bienes, servicios, u otra informacion. Por ejemplo, en una realizacion, la maquina 111 principal envfa una solicitud a la parte 120 confiante para acceder a informacion desde la
5
10
15
20
25
30
35
40
45
50
55
parte 120 confiante que el principal 110 desea. La solicitud enviada mediante la maquina 111 principal puede incluir una solicitud para los requisitos de autenticacion de la parte 120 confiante usando, por ejemplo, los mecanismos proporcionados en intercambio de metadatas WS.
En respuesta a la solicitud, la parte 120 confiante puede enviar a la maquina 111 principal requisitos para que la parte 120 confiante autentique la identidad del principal u otra informacion acerca del principal 110. Los requisitos de la parte 120 confiante para autenticacion se denominan en el presente documento como una polftica de seguridad. Una polftica de seguridad define mmimamente el conjunto de reclamaciones desde un proveedor 115 de identidad confiable que el principal 110 debe proporcionar a la parte 120 confiante para que la parte 120 confiante autentique al principal 110. Una polftica de seguridad puede incluir un requisito de prueba con respecto a una caractenstica personal (tal como edad), identidad, estado financiero, etc. Puede incluir tambien reglas con respecto al nivel de verificacion y autenticacion requeridas para autenticar cualquier oferta de prueba (por ejemplo, firma digital desde un proveedor de identidad particular).
En un ejemplo, la parte 120 confiante especifica su polftica de seguridad usando polftica de seguridad WS, incluyendo tanto los requisitos de reclamacion como el tipo de testigo de identidad requeridos por la parte 120 confiante. Ejemplos de tipos de reclamaciones incluyen, sin limitacion, los siguientes: nombre, apellidos, direccion de correo electronico, direccion de la calle, nombre de localidad o ciudad, estado o provincia, codigo postal, pafs, numero de telefono, numero de la seguridad social, fecha de nacimiento, genero, numero de identificador personal, calificacion de credito, estado financiero, estado legal, etc.
La polftica de seguridad puede usarse tambien para especificar el tipo de testigo de identidad requerido por la parte 120 confiante, o puede usarse un tipo por defecto segun se determina por el proveedor de identidad. Ademas de especificar las reclamaciones requeridas y el tipo de testigo, la polftica de seguridad puede especificar un proveedor de identidad particular requerido por la parte confiante. Como alternativa, la polftica puede omitir este elemento, dejando la determinacion del proveedor de identidad apropiado al principal 110. Pueden especificarse tambien otros elementos en la polftica de seguridad tales como, por ejemplo, la caducidad del testigo de seguridad requerida.
En algunas realizaciones, el principal 110 puede requerir que la parte 120 confiante se identifique asf misma a la maquina 111 principal de modo que el principal 110 pueda decidir si satisfacer o no la polftica de seguridad de la parte 120 confiante, como se describe mas adelante. En un ejemplo, la parte 120 confiante se identifica asf misma usando un certificado X509. En otras realizaciones, la parte 120 confiante puede identificarse a sf misma usando otros mecanismos tales como, por ejemplo, un certificado de servidor de Capa de Conexiones Seguras ("SSL").
La maquina 111 principal puede incluir una o mas DIR para el principal 110. Estas DIR (en ocasiones denominadas como "tarjetas de informacion" en el sistema de Windows Cardspace proporcionado en la estructura .NET 3.0 desarrollada por Microsoft Corporation de Redmond, Washington) son artefactos que representan la relacion de emision de testigo entre el principal 110 y un proveedor de identidad particular, tal como el proveedor 115 de identidad. Cada DIR puede corresponder a un proveedor de identidad particular, y el principal 110 puede tener multiples DIR a partir del mismo o diferentes proveedores de identidad. El uso de las DIR en un sistema de identidad se describe en detalle en la Solicitud de Patente de Estados Unidos N. ° 11/361.281.
Las DIR pueden incluir, entre otra informacion, la polftica de emision del proveedor de identidad para testigos de identidad, incluyendo el tipo de testigos que pueden emitirse, los tipos de reclamaciones para los que tiene autoridad, y/o las credenciales para usar para la autenticacion cuando se solicitan testigos de identidad. Las DIR pueden representarse como documentos de XML que se emiten por los proveedores 115 de identidad o los sistemas 164 de generacion de DIR y almacenarse mediante los principales 110 en un dispositivo de almacenamiento tal como la maquina 111 principal.
La maquina 111 principal puede incluir tambien un selector de identidad. En general, un selector de identidad es un programa informatico e interfaz de usuario que permiten al principal 110 seleccionar entre una o mas DIR del principal 110 en la maquina 111 principal para solicitar y obtener testigos de identidad desde uno o mas proveedores de identidad, tal como el proveedor 115 de identidad. Por ejemplo, cuando se recibe una polftica de seguridad desde la parte 120 confiante mediante la maquina 111 principal, el selector de identidad puede programarse para identificar una o mas DIR que satisfacen una o mas de las reclamaciones requeridas por la polftica de seguridad usando la informacion en las DIR. Una vez que el principal 110 recibe la polftica de seguridad desde la parte 120 confiante, el principal 110 puede comunicar con (usando, por ejemplo, la maquina 111 principal) uno o mas proveedores de identidad para recoger las reclamaciones requeridas por la polftica.
En realizaciones de ejemplo, el principal 110 solicita uno mas testigos de identidad desde el proveedor 115 de identidad usando el mecanismo de emision descrito en confianza WS. En realizaciones de ejemplo, el principal 110 reenvfa los requisitos de reclamacion en la polftica de la parte 120 confiante al proveedor 115 de identidad. La identidad de la parte 120 confiante puede especificarse, pero no es necesario, en la solicitud enviada mediante el principal 110 al proveedor 115 de identidad. La solicitud puede incluir otros requisitos tambien, tal como una solicitud para un testigo de visualizacion.
5
10
15
20
25
30
35
40
45
50
55
En general, la autoridad 140 de reclamaciones del proveedor 115 de identidad puede proporcionar una o mas de las reclamaciones requeridas por la polttica de seguridad desde la parte 120 confiante. El transformador 130 de reclamaciones del proveedor 115 de identidad esta programado para transformar las reclamaciones y para generar uno o mas testigos 150 de identidad firmados que incluyen la reclamacion o reclamaciones relacionadas con el principal 110.
Como se ha indicado anteriormente, el principal 110 puede solicitar un testigo de identidad en un cierto formato en su solicitud al proveedor 115 de identidad, basandose en requisitos desde la parte 120 confiante. El transformador 130 de reclamaciones puede programarse para generar testigos de identidad en uno de una pluralidad de formatos incluyendo, sin limitacion, X509, Kerberos, SAML (versiones 1.0 y 2.0), Protocolo de identidad sencillo extensible ("SXIP"), etc.
Por ejemplo, en una realizacion, la autoridad 140 de reclamaciones esta programada para generar reclamaciones en un primer formato A, y la polttica de seguridad de la parte 120 confiante requiere un testigo de identidad en un segundo formato B. El transformador 130 de reclamaciones puede transformar las reclamaciones de la autoridad 140 de reclamaciones desde el formato A en el formato B antes de enviar un testigo de identidad al principal 110. Ademas, el transformador 130 de reclamaciones puede programarse para perfeccionar la semantica de una reclamacion particular. En realizaciones de ejemplo, la semantica de una reclamacion particular se transforma para minimizar la cantidad de informacion proporcionada en una reclamacion particular y/o testigo de identidad para reducir o minimizar la cantidad de informacion personal que se transporta mediante una reclamacion dada.
En realizaciones de ejemplo, el transformador 130 de reclamaciones reenvfa el testigo 150 de identidad al principal 110 usando los mecanismos de respuesta descritos en confianza WS. En una realizacion, el transformador 130 de reclamaciones incluye un servicio de testigo de seguridad (en ocasiones denominado como un "STS"). En una realizacion de ejemplo, el principal 110 reenvfa el testigo 150 de identidad a la parte 120 confiante vinculando el testigo 150 de identidad a un mensaje de aplicacion usando los mecanismos de vinculacion de seguridad descritos en seguridad WS. En otras realizaciones, el testigo 150 de identidad puede enviarse directamente desde el proveedor 115 de identidad a la parte 120 confiante.
Una vez que la parte 120 confiante recibe el testigo 150 de identidad, la parte 120 confiante puede verificar (por ejemplo, decodificando o desencriptando el testigo 150 de identidad) el origen del testigo 150 de identidad firmado. La parte 120 confiante puede utilizar tambien la reclamacion o reclamaciones en el testigo 150 de identidad para satisfacer la polftica de seguridad de la parte 120 confiante para autenticar el principal 110.
El aprovisionamiento de las DIR se analizara ahora en mayor detalle. El principal 110 puede obtener una DIR de una diversidad de maneras. En la realizacion de ejemplo ilustrada en la Figura 1, el sistema 164 de generacion de DIR se usa en general para comunicar con el principal 110, crear nuevas DIR, y notificar al principal 110 de DIR disponibles. El sistema 164 de generacion de DIR puede comprender en algunas realizaciones un sitio web de internet. En otras realizaciones, el sistema 164 de generacion de DIR puede comprender un servicio web. El sistema 164 de generacion de DIR puede incluir tambien o funcionar en conjunto con un servidor 166 de informacion de internet (IIS) en ciertas realizaciones.
El almacenamiento 168 de datos de identidad es un almacenamiento de informacion digital que puede accederse en ciertas realizaciones mediante el proveedor 115 de identidad, el sistema 164 de generacion de DIR y el sistema 160 de administrador. El almacenamiento 168 de datos de identidad puede comprender un servidor de base de datos, memoria informatica o cualquier otro dispositivo o dispositivos de almacenamiento de datos. El almacenamiento 168 de datos de identidad puede estar comprendido de una pluralidad de dispositivos o sistemas en un modelo de datos distribuido. El almacenamiento 168 de datos de identidad puede incluir o comprender un servicio de directorio tal como el Directorio 169 Activo propagado por Microsoft Corporation de Redmond, Washington.
El sistema 160 de administrador puede incluir un sistema informatico, que incluye una interfaz de usuario que permitira a un administrador comunicar con el almacenamiento 168 de datos de identidad y el sistema 164 de generacion de DIR. El sistema 160 de administrador permite a un administrador organizar y administrar los datos en el almacenamiento 168 de datos de identidad. Permite tambien a un administrador determinar los tipos de DIR que el sistema 164 de generacion de DIR crea, y permite a un administrador controlar si un principal particular es elegible para recibir DIR particulares. El uso del sistema 160 de administrador se analiza adicionalmente a continuacion.
Ciertas realizaciones pueden incluir un sistema 162 de captura de datos separado. El sistema 162 de captura de datos puede comprender un sistema informatico adaptado para capturar informacion relacionada con los principales. Por ejemplo, el sistema 162 de captura de datos puede comprender un sistema informatico de recursos humanos que captura informacion personal acerca de un principal, tal como el nombre, numero de telefono, numero de la seguridad social, direccion, etc. El sistema 162 de captura de datos puede incluir almacenamiento separado o puede utilizar el almacenamiento 168 de datos de identidad.
La Figura 2 ilustra un procedimiento 200 que puede implementarse mediante el sistema 100. En la etapa 210, un administrador configura un almacenamiento de datos de identidad. Por ejemplo, un administrador puede usar el sistema 160 de administrador para configurar el almacenamiento 168 de datos de identidad. El administrador puede,
5
10
15
20
25
30
35
40
45
50
55
60
en algunas realizaciones, usar el sistema 160 de administrador para establecer tablas en el almacenamiento 168 de datos de identidad que se usaran para administrar, generar y gestionar las DIR. En una realizacion ejemplar, el administrador puede determinar los tipos de reclamaciones que se soportaran en las DIR creadas mediante el sistema 164 de generacion de DIR y testigos de identidad generados mediante el proveedor 115 de identidad. El administrador puede usar tambien el sistema 160 de administrador para configurar el almacenamiento 168 de datos de identidad para almacenar informacion de polttica, tal como los tipos de testigos que el proveedor 115 de identidad soporta, informacion de permisos y metadatos de federacion. Otra informacion en el almacenamiento 168 de datos de identidad que puede embeberse en una DIR incluye una fotograffa del principal 110 e informacion de conectividad relacionada con los proveedores de identidad tales como el proveedor 115 de identidad.
El procedimiento 200 a continuacion continua a la etapa 220, cuando el principal 110 solicita una DIR. Una solicitud para una DIR puede hacerse de una diversidad de maneras. Por ejemplo, el principal 110 puede usar la maquina 111 principal para acceder al sistema 164 de generacion de DIR. En algunas realizaciones, el sistema 164 de generacion de DIR es un sitio web, y la maquina 111 principal accede al sistema 164 de generacion de DIR a traves de un explorador de internet para solicitar una DIR. En algunas realizaciones, el principal 110 solicita una DIR particular. En otras realizaciones, analizadas adicionalmente a continuacion, el principal 110 solicita una lista de DIR disponibles para el principal 110 y elige desde esa lista.
El procedimiento 200 a continuacion continua a la etapa 230, cuando el sistema 164 de generacion de DIR comprueba con el almacenamiento 168 de datos de identidad, genera la DIR, y proporciona la DIR al principal 110. En una realizacion, el sistema 164 de generacion de DIR comprueba en primer lugar con el almacenamiento 168 de datos de identidad para determinar si el principal 110tiene permisos para la DIR solicitada. Esto puede conseguirse de una diversidad de maneras, incluyendo comprobando una DLL de permisos en el almacenamiento 168 de datos de identidad, realizar una comprobacion de acceso de Directorio Activo, etc. El sistema 164 de generacion de DIR puede acceder tambien a metadatos de sistema de identidad almacenados en el almacenamiento 168 de datos de identidad para determinar que tipos de reclamaciones de identidad estan disponibles para incluirse en la nueva DIR.
Cuando el sistema 164 de generacion de DIR crea la nueva DIR, la DIR puede tomar la forma de un documento de XML y puede incluir, entre otra informacion: una imagen para visualizar en la maquina principal; una lista de reclamaciones incluidas en la DIR; una lista de tipos de testigo disponibles para la DIR; un identificador de DIR unico; un indicio de credencial (analizado adicionalmente a continuacion); identificacion del proveedor de identidad; y una referencia de punto de extremo para el proveedor 115 de identidad. La nueva DIR puede proporcionarse al principal en una diversidad de maneras tambien, incluyendo un correo electronico de la nueva DIR, un mensaje de HTTP u otros procedimientos. Como se usa en el presente documento, "correo electronico" incluye mensajena de texto, mensajena instantanea y formas similares de comunicacion electronica.
Tras la recepcion de la nueva DIR, el principal 110 almacena 240 la DIR, por ejemplo en memoria asociada con la maquina 111 principal. El principal 250 a continuacion solicita acceso a una parte confiante, tal como la parte 120 confiante. La parte confiante deniega el acceso (por ejemplo, mediante una redireccion a una pagina de autenticacion) y proporciona 260 su polttica de seguridad de vuelta al principal 110. El principal 110 a continuacion selecciona 270 una DIR para satisfacer la polttica de seguridad de la parte 120 confiante. Esto puede conseguirse, por ejemplo, a traves de una interfaz de usuario en la maquina 111 principal que visualiza todas las DIR disponibles para el principal 110. En algunas realizaciones, las DIR que cumplen los requisitos de la polftica de seguridad de la parte confiante pueden destacarse para el principal 110, y pueden atenuarse otras tarjetas para realizar el procedimiento de seleccion masfacil para el principal 110.
El principal 110 a continuacion envfa 280 la solicitud para un testigo de identidad a un proveedor de identidad, tal como el proveedor 115 de identidad. Esta solicitud para un testigo de identidad puede generarse automaticamente mediante la maquina 111 principal tras la seleccion mediante el principal 110 de una DIR almacenada en la maquina 111 principal. El proveedor 115 de identidad comprueba 285 el almacenamiento 168 de datos de identidad para obtener la informacion requerida para rellenar el testigo de identidad solicitado. Esta informacion podna incluir, por ejemplo, datos de reclamaciones. Por ejemplo, si la DIR seleccionada indica una reclamacion de edad, el proveedor 115 de identidad puede comprobar el almacenamiento 168 de datos de identidad para determinar la edad del principal 110. El proveedor 115 de identidad a continuacion puede crear 285 el testigo de identidad solicitado y enviarlo 290 al principal. El principal a continuacion envfa 295 el testigo de identidad a la parte confiante y se le concede acceso como se ha analizado anteriormente.
Al proporcionar acceso mediante el proveedor 115 de identidad al mismo almacenamiento 168 de datos de identidad usado mediante el sistema 164 de generacion de DIR, un administrador puede asegurar que la generacion de las DIR permanece en sincronizacion con los datos reales disponibles para satisfacer reclamaciones en un testigo de identidad solicitado. Por ejemplo, si un administrador configura el almacenamiento 168 de datos de identidad de manera que los datos para una reclamacion de edad no se almacenan allf, a continuacion el sistema 164 de generacion de DIR no creara una DIR que incluya una opcion para una reclamacion de edad. De otra manera, pueden surgir problemas de sincronizacion. Por ejemplo, suponiendo que un administrador crea una nueva DIR ad hoc (sin referencia a datos de identidad disponibles), y se incluye una reclamacion de edad y se envfa como parte de un respaldo de DIR a un principal. Cuando el principal intenta obtener un testigo de identidad con una reclamacion de edad, esa informacion no esta disponible, y el testigo se rechazara por la parte confiante como insuficiente. El
5
10
15
20
25
30
35
40
45
50
55
60
sistema 100, en contraste, permite la sincronizacion automatica de las DIR generadas y la disponibilidad de datos subyacentes para rellenar testigos de identidad correspondientes. Se proporciona a un administrador la capacidad a traves del sistema 160 de administrador para hacer cambios en el almacenamiento de datos de identidad que afectaran automaticamente tanto el aprovisionamiento de las DIR como la emision de correspondientes testigos de identidad.
En algunas realizaciones, cuando el administrador hace cambios particulares al almacenamiento 168 de datos de identidad que afectan a la validez de DIR ya emitidas, cualquier principal que haya recibido DIR afectadas se notifica y permite obtener nuevas DIR. Por ejemplo, suponiendo que las normativas de privacidad requieren que el administrador elimine las direcciones domesticas de cualquier principal almacenadas en el almacenamiento 168 de datos de identidad. Cualquier principal 110 que haya recibido una DIR que incluya una reclamacion en cuanto a su direccion domestica ahora tiene una DIR invalida (puesto que ya no hay ningun dato en el almacenamiento 168 de datos de identidad para satisfacer esa reclamacion). En una realizacion, se notifica a todos tales principales, por ejemplo mediante un correo electronico desde el sistema 164 de generacion de DIR, que la o las DIR son ahora invalidas e invita a los principales a obtener una nueva DIR que no incluya la reivindicacion de direccion domestica ya no soportada mas. De esta manera, el cambio sencillo por el administrador al almacenamiento 168 de datos de identidad (a) evita que se emitan nuevas DIR con una reclamacion de direccion domestica, y (b) alerta a los principales que las DIR existentes que incluyen esa reclamacion son invalidas y pueden sustituirse.
Haciendo referencia ahora a la Figura 3, se describe un procedimiento 300 ejemplar en relacion con el sistema 100 mostrado en la Figura 1. En este ejemplo, el principal 110 autentica a la maquina 111 principal. La maquina 111 principal, por ejemplo, puede estar conectada a una intranet que incluye un servicio de directorio, tal como el servidor 169 de Directorio Activo. La autenticacion del principal 110 a la maquina 111 principal puede incluir usar informacion de inicio de sesion a partir de cualquier procedimiento conocido, incluyendo nombre de usuario/contrasena, tarjeta inteligente, etc. El principal 110 a continuacion inicia 320 una solicitud de DIR apuntando, por ejemplo, en un explorador en la maquina 111 principal a un sitio web que comprende el sistema 164 de generacion de DIR. El principal 110 a continuacion autentica 330 en el sistema 164 de generacion de DIR. En algunas realizaciones, la maquina 111 principal, el sistema 164 de generacion de DIR, el almacenamiento 168 de datos de identidad, el proveedor 115 de identidad, y el sistema 160 de administrador podnan ser parte de la misma intranet. En esa realizacion, es posible que pueda estar disponible esa capacidad de inicio de sesion unico. Por ejemplo, si la maquina principal esta ejecutando un sistema operativo WINDOWS disponible a partir de Microsoft Corporation de Redmond, Washington, y la Autenticacion Integrada de Windows esta activada, entonces la autenticacion en el sistema 164 de generacion de DIR puede ser automatica e ininterrumpida para el principal 110 - la informacion usada para iniciar sesion en la maquina 111 principal se pasa al sistema 164 de generacion de DIR junto con la solicitud para acceso. En otras realizaciones, el administrador puede configurar el sistema 164 de generacion de DIR para requerir una autenticacion separada del principal 110. El administrador puede configurar el sistema 164 de generacion de DIR para requerir cualquiera de una diversidad de mecanismos de autenticacion, incluyendo nombre de usuario/contrasena, tarjeta inteligente, etc. En algunas realizaciones, el principal 110 puede autenticarse mediante el IIS 166, que puede configurarse facilmente por un administrador para aceptar cualquiera de una diversidad de procedimientos de autenticacion.
Una vez que el principal 110 esta autenticado, el sistema 164 de generacion de DIR accede 350 al almacenamiento 168 de datos de identidad. En este ejemplo, el sistema 164 de generacion de DIR toma la forma de un servicio web para permitir la negociacion entre el sistema de generacion de DIR y el principal 110. En este ejemplo, la negociacion determina el tipo de DIR que se devolvera al principal 110. En este caso, el sistema 164 de generacion de DIR obtiene 350 descriptores de DIR disponibles. En realizaciones ejemplares, un administrador usa el sistema 160 de administrador para crear descriptores de DIR. Por ejemplo, un administrador TI corporativo puede crear descriptores que representan diferentes DIR para diferentes niveles de empleados. Un empleado a tiempo parcial, por ejemplo, puede tener un conjunto diferente de reclamaciones que un empleado a tiempo completo. Un director general puede tener un conjunto diferente de reclamaciones que un empleado de plantilla. Incluso las imagenes que estan asociadas con cada descriptor de DIR pueden variar - por ejemplo, la imagen de DIR del grupo de ventas puede ser naranja mientras que la imagen de la DIR de grupo de contabilidad ser verde. Ademas, es posible personalizar la imagen de la tarjeta para contener la imagen del principal 110 (obtenida a partir del almacenamiento 168 de datos de identidad). Esto potencia la asociacion que el principal 110 hace entre sus DIR y el proveedor 115 de identidad. Proporciona mejores capacidades de "huella digital" tambien.
En algunas realizaciones, el sistema 160 de administrador incluye una interfaz de usuario que analiza a traves de todos los tipos disponibles de informacion disponible en el almacenamiento 168 de datos de identidad y presenta al administrador con una manera facil de crear descriptores. Por ejemplo, el administrador puede presentarse con una lista de: (a) clases de principales (por ejemplo, empleado a tiempo parcial, empleado a tiempo completo, miembro de equipo ejecutivo, miembro de grupo de ventas, etc.); (b) tipos de reclamacion (nombre, direccion, numero de telefono, edad, etc.); (c) acreditaciones de seguridad; (d) estado de empleado (actual, terminado); etc. El administrador podna a continuacion decidir crear distintos descriptores disponibles para algunas o todas las clases de principales. Por ejemplo, todos los principales pueden ser elegibles para recibir una DIR basica que incluya el nombre, numero de telefono y estado de empleado del principal. Sin embargo, unicamente el equipo ejecutivo puede ser elegible para recibir una DIR que incluya tambien una acreditacion de seguridad de alto nivel. Estos descriptores pueden crearse por el administrador y grabarse en el almacenamiento de datos de identidad junto con una polttica
5
10
15
20
25
30
35
40
45
50
55
60
que delimita a que principales se permite recibir DIR que corresponden a descriptores particulares. Posibles comandos que pueden ser utiles para un administrador al gestionar descriptores incluyen: "OBTENER DESCRIPTORES, OBTENER TODOS LOS DESCRIPTORES, ANADIR DESCRIPTORES, CAMBIAR DESCRIPTORES, BORRAR DESCRIPTORES, COPIAR DESCRIPTOR, etc."
La solicitud por el principal 110 para descriptores disponibles puede conseguirse mediante la maquina 111 principal a traves de un procedimiento de servicio web tal como "OBTENER DESCRIPTORES". Esto provocana que el sistema de generacion de DIR compruebe el principal 110 contra la polttica establecida por el administrador para determinar cuales descriptores, si los hubiera, estan disponibles para ese principal 110. Esto puede conseguirse, por ejemplo, mediante una comprobacion de acceso de Directorio Activo. Los descriptores pueden almacenarse en cualquiera o todos de, por ejemplo: un almacenamiento 168 de datos de identidad, memoria asociada con el sistema 164 de generacion de DIR o un almacenamiento separado.
El sistema 164 de generacion de DIR a continuacion envfa 360 los descriptores disponibles a la maquina 111 principal. El principal 110 a continuacion selecciona 370 desde los descriptores disponibles y solicita la o las DIR particulares que corresponden al descriptor o descriptores. De nuevo, esto puede conseguirse, por ejemplo, mediante un procedimiento de servicio web tal como "OBTENER TARJETA O TARJETAS" (que hace referencia en este ejemplo a tarjetas de informacion disponibles en el sistema Windows CardSpace propagado al menos en parte por Microsoft Corporation de Redmond, Washington). Un principal 110 puede solicitar una o varias DIR disponibles.
El sistema 164 de generacion de DIR a continuacion crea 380 la o las DIR solicitadas. En realizaciones ejemplares, el sistema de generacion de DIR incluye en la DIR un indicio de credencial para "respaldar" la DIR. Por ejemplo, la DIR puede incluir un indicio de credencial de nombre de usuario/contrasena, y el principal 110 puede requerirse que autentique usando ese nombre de usuario/contrasena para usar la DIR para obtener un testigo de identidad. En algunas realizaciones, el tipo de autenticacion puede tomarse a partir de la autenticacion usada mediante el principal 110 para obtener acceso al sistema 164 de generacion de DIR. Por ejemplo, si el principal 110 uso una combinacion de nombre de usuario/ contrasena para autenticarse al IIS 166, el sistema 164 de generacion de DIR puede usar el mismo nombre de usuario y contrasena para respaldar la DIR cuando se envfa de vuelta al principal 110.
En otras realizaciones, el sistema de generacion digital puede tener acceso a un servicio de directorio, tal como el Directorio 169 Activo, que puede incluir otros procedimientos de autenticacion disponibles para un principal 110 particular. Por ejemplo, si el principal 110 usa un nombre de usuario/contrasena para autenticar al sistema 164 de generacion de DIR, pero el Directorio Activo incluye tambien un certificado asociado con una tarjeta inteligente registrada para el principal 110, el sistema 164 de generacion de DIR podna incluir cualquiera o ambos tipos de autenticacion como parte de la DIR devuelta al principal 110. Ademas, si se posibilita la capacidad de inicio de sesion unico entre la maquina 111 principal y el sistema 164 de generacion de DIR, el tipo de autenticacion que se incluye en la DIR puede ser el tipo de autenticacion usada por el principal 110 para autenticar a la maquina 111 principal.
Una vez que la o las DIR se ha/han generado mediante el sistema 164 de generacion de DIR, se envfan 390 al principal 110 mediante cualquiera de una diversidad de procedimientos, incluyendo correo electronico, HTTP, etc. En algunas realizaciones, el fichero que incluye el o las DIR puede estar protegido por pin. Esto es debido a que, particularmente en el caso donde se envfan multiples DIR al principal 110, el fichero que contiene las DIR puede incluir material de clave criptografica que debena protegerse frente a acceso no autorizado. El pin permite el establecimiento de un secreto compartido entre la maquina 111 principal y el sistema 164 de generacion de DIR. Un fichero que contiene la o las DIR podna desencriptarse a continuacion mediante el principal cuando se instalan las DIR en la maquina 111 principal. Se analizan adicionalmente a continuacion procedimientos ejemplares para iniciar, aprobar y enviar las DIR.
Haciendo referencia ahora a la Figura 4, se ilustra un procedimiento 400. En la etapa 410 se recibe una solicitud para crear una DIR a traves de un primer canal. Por ejemplo, el principal 110 puede usar un explorador de internet en la maquina 111 principal para solicitar una nueva DIR desde el sistema 164 de generacion de DIR. En la etapa 420, se emite 420 una notificacion a traves de un segundo canal que la DIR ha solicitado. Por ejemplo, en respuesta a una solicitud para una nueva DIR desde el principal 110, el sistema 164 de generacion de DIR o una aplicacion que se ejecuta en la maquina 111 principal puede enviar una notificacion de correo electronico de que la solicitud se ha realizado. Esto puede actuar como una "comprobacion" para asegurar que el principal 110 es el que solicita la DIR y no un impostor. En algunas realizaciones, el correo electronico puede dirigirse a una direccion de correo electronico conocida por el principal. En otras realizaciones, la notificacion puede dirigirse a una tercera parte cuya polftica del administrador requiere aprobar la emision de una nueva DIR para el principal 110 particular. Por ejemplo, algunas DIR pueden estar disponibles para ciertos empleados en una organizacion unicamente si sus directores aprueban la emision. Este tipo de DIR puede usarse, por ejemplo, para obtener acceso a un grupo de trabajo confidencial.
Como se usa en el presente documento, un "canal" se refiere a la manera en la que se comunica la informacion en la emision. La distincion entre diferentes canales en el procedimiento 400 es una logica. Dos distintos canales podnan emplear alguna o todas del mismo enlace de comunicacion ffsico o electronico o diferentes rutas a la vez. Por ejemplo, podna enviarse una notificacion en la etapa 420 a traves del mismo enlace de comunicacion (por
5
10
15
20
25
30
35
40
45
50
55
ejemplo, internet) como la aprobacion en la etapa 430, pero los canales pueden ser logicamente diferentes (por ejemplo, uno podna ser un correo electronico y el otro podna ser un mensaje de HTTP).
En la etapa 430, se recibe una aprobacion para la DIR a crear. Por ejemplo, el receptor de la notificacion en la etapa 420 desde el sistema 364 de generacion de DIR puede responder y aprobar la emision de la DIR solicitada. Esto puede conseguirse de una diversidad de maneras. Por ejemplo, la notificacion en la etapa 420 podna comprender un correo electronico con un enlace a un sitio de aprobacion alojado mediante el sistema 364 de generacion de DIR.
En la etapa 440, se crea la DIR solicitada. Si la aprobacion se denegara por el receptor de la notificacion en la etapa 420, pueden tener lugar otros eventos. Por ejemplo, puede notificarse al administrador de que se realizo una solicitud no autorizada para una DIR.
Haciendo referencia ahora a la Figura 5, se muestra otro procedimiento ejemplar 500. En la etapa 510, se emite una notificacion de que una DIR esta disponible para un principal. Por ejemplo, el sistema 364 de generacion de DIR podna enviar al principal 110 un correo electronico que alerta al principal 1l0 de que una nueva DIR esta disponible. Como alternativa, la notificacion podna ir a una tercera parte, tal como el director del principal. Este tipo de notificacion podna ser util en una situacion donde el administrador tiene, por ejemplo, el almacenamiento 168 de datos de identidad cambiado para incluir un descriptor adicional. El sistema 364 de generacion de DIR podna a continuacion usarse para notificar a todos los principales en una clase que califica al descriptor de que la nueva DIR esta disponible. Por ejemplo, un director en una unidad de negocio particular puede solicitar a un administrador crear un nuevo descriptor para una DIR para usarse en conjunto con un objeto particular. Una vez que el administrador crea el descriptor, la notificacion de todos los principales que el director desea tener la nueva DIR podna ser automatica.
La notificacion 510 podna incluirse tambien como parte de un flujo de trabajo de negocio general. Por ejemplo, cuando un nuevo principal empieza a trabajar en una organizacion, el departamento de recursos humanos podna capturar informacion acerca del principal a traves del sistema 162 de captura de datos. Esos datos capturados podnan poner en marcha una serie de etapas automatizadas, incluyendo almacenar los datos de identidad relevantes con respecto al principal en el almacenamiento 168 de datos de identidad y notificar al principal 110 que una DIR esta ahora disponible para el/ella. La notificacion puede tomar muchas formas, incluyendo un correo electronico al principal que incluye un enlace a un sitio web que comprende el sistema 164 de generacion de DIR. Como alternativa, podna ejecutarse una aplicacion en la maquina 111 principal que esta adaptada para recibir un mensaje desde el sistema 164 de generacion de DIR de que una nueva DIR esta disponible para el principal 110 (por ejemplo, la aplicacion podna generar un mensaje de ventana emergente, podna aparecer un icono en una barra de herramientas en la maquina 111 principal, etc.).
En la etapa 520, se recibe una solicitud para crear la DIR. Esta etapa puede conseguirse de nuevo de una diversidad de maneras. Por ejemplo, el principal 110 podna responder a un correo electronico de notificacion haciendo clic en un enlace que le lleva a una pagina web que proporciona al principal la opcion de solicitar la DIR. Como alternativa, cuando una aplicacion en la maquina 111 principal alerta al principal 110 de que la DIR esta disponible, el principal podna solicitar la DIR en tal aplicacion y la aplicacion podna enviar un mensaje de vuelta al sistema 364 de generacion de DIR para realizar la solicitud.
En la etapa 530, se crea la DIR segun se solicita. La creacion de la DIR puede conseguirse como se describe en cualquier otra parte en el presente documento. La DIR se envfa a continuacion 540 al principal, tambien como se describe en cualquier otra parte en el presente documento.
Haciendo referencia ahora a la Figura 6, se muestra otro procedimiento ejemplar 600. En la etapa 610, se interroga un sistema de generacion de DIR para nuevas DIR que esten disponibles para el principal. Por ejemplo, la maquina 111 principal puede programarse para interrogar periodicamente el sistema 164 de generacion de DIR a intervalos predeterminados. En la etapa 620, se determina si esta disponible alguna nueva DIR para el principal. El sistema 164 de generacion de DIR, por ejemplo, podna comprobar en el almacenamiento 168 de datos de identidad si se ha hecho disponible algun descriptor nuevo para el principal 110 desde el tiempo que se interrogo por ultima vez mediante la maquina 111 principal. En la etapa 630, se realiza una solicitud de que se cree la nueva DIR. Continuando el ejemplo, tras la recepcion de la notificacion de que una nueva DIR esta disponible, el principal 110 podna solicitar que el sistema 164 de generacion de DIR cree la nueva DIR. En la etapa 640, se recibe la nueva DIR (por ejemplo, podna recibirse una nueva DIR mediante la maquina 111 principal desde el sistema 164 de generacion de DIR). Este procedimiento 600 es otro ejemplo de como podna simplificarse un trabajo de un administrador. Si todas las maquinas de los principales se programaran para interrogar nuevas DIR, por ejemplo, cuando un administrador crea un nuevo descriptor de DIR en el almacenamiento 168 de datos de identidad, la emision y la entrega de las nuevas DIR es automatica y no requiere trabajo adicional por cuenta del administrador.
Puede ser beneficioso tambien poder crear las DIR dinamicamente en respuesta a una polftica de seguridad de una parte confiante. Haciendo referencia ahora a la Figura 7, se ilustra un procedimiento de ejemplo 700. En la etapa 710, se solicita el acceso a una parte confiante. Por ejemplo, si la parte 120 confiante es un sitio web restringido, la maquina 111 principal intenta acceder al sitio web a traves de un explorador. En la etapa 720, se deniega el acceso a la parte confiante y se recibe una polftica de seguridad desde la parte confiante. Continuando el ejemplo, la parte
5
10
15
20
25
30
35
40
45
50
55
60
120 confiante envfa a la maquina 111 principal su polftica de seguridad y un mensaje de HTTP que redirige al explorador de la maquina 111 principal a una pagina web de autenticacion. Una DIR que satisface la polftica de seguridad se solicita a continuacion 730 desde un sistema de generacion de DIR. En el ejemplo anterior, la maquina 111 principal puede comprobar en primer lugar si tiene una DIR suficiente y, si no, la maquina 111 principal puede programarse para consultar una cache local para el proveedor de identidad que ofrece las DIR que cumplen la polftica de seguridad de la parte 120 confiante. La maquina principal puede consultar tambien una lista publica de proveedores de DIR alojados mediante una tercera parte. El principal 110 puede a continuacion elegir un proveedor de DIR y sistema de generacion de DIR apropiados, tal como el sistema 164 de generacion de DIR. En la etapa 740, se recibe la DIR. En el ejemplo anterior, la maquina 111 principal recibe la nueva DIR, que puede a continuacion reenviarse al proveedor 115 de identidad para obtener el testigo de identidad necesario para obtener acceso a la parte 120 confiante.
En algunas realizaciones, la maquina 111 principal puede renviar la polftica de seguridad de la parte 120 confiante al sistema 164 de generacion de DIR. El sistema 164 de generacion de DIR puede a continuacion comprobar el almacenamiento 168 de datos de identidad para determinar si las reclamaciones y otros requisitos expuestos en la polftica de seguridad pueden satisfacerse. Si es asf, se creana una DIR que cumple la polftica de seguridad. De esta manera, un principal puede obtener una DIR en una base segun sea necesario, independientemente de si el administrador tiene un descriptor de identidad preconfigurado que cumple las necesidades de esa polftica de seguridad de la parte confiante particular.
Haciendo referencia ahora a la Figura 8, se muestra otro procedimiento ejemplar 800. En la etapa 810 se establece una polftica para un grupo de principales, que autoriza al grupo de principales de que esta disponible una DIR. Con referencia al sistema 100 ejemplar de la Figura 1, un administrador podna usar el sistema de administrador para establecer una polftica en el almacenamiento 168 de datos de identidad que autoriza a todos los principales que son parte de un grupo particular a recibir una DIR particular. En algunas realizaciones, esto puede conseguirse por un administrador usando la caractenstica de "Polftica de Grupo" disponible en el Directorio 169 Activo u otros medios para lanzar una aplicacion del lado del cliente residente en la maquina 111 principal. En la etapa 820, se notifica al grupo de principales a los que la DIR esta disponible. En el ejemplo anterior, se activa la aplicacion del lado del cliente residente en la maquina 111 principal. Esto puede dar como resultado que se avise al principal 110 de que una nueva DIR esta ahora disponible (por ejemplo, a traves de una ventana emergente, un icono de barra de herramientas, etc.). La aplicacion del lado del cliente puede tener su propio conjunto de reglas (por ejemplo, capacidad para que el principal 110 elija que se recuerde mas tarde, para proporcionar al principal 110 unicamente una cierta cantidad de tiempo para recuperar la nueva DIR, etc.). En la etapa 830, se recibe una solicitud desde al menos un primer principal en el grupo de principales para crear la DIR. En algunas realizaciones esto puede implicar que el usuario autorice la creacion de la DIR a traves de la aplicacion del lado del cliente residente en la maquina 111 principal. En otras realizaciones, la aplicacion del lado del cliente puede solicitar la DIR sin implicacion adicional del principal 110. En la etapa 840, se crea la DIR para el primer principal.
La Figura 9 ilustra un dispositivo 900 informatico general (tambien denominado en el presente documento como un ordenador o sistema informatico), que puede usarse para implementar las realizaciones descritas en el presente documento. El dispositivo 900 informatico es unicamente un ejemplo de un entorno informatico y no se pretende para sugerir ninguna limitacion en cuanto al alcance de uso o funcionalidad de las arquitecturas informaticas y de red. Ni debena interpretarse que el dispositivo 900 informatico tiene alguna dependencia o requisito relacionado con uno cualquiera o combinacion de los componentes ilustrados en el dispositivo 900 informatico de ejemplo. En las realizaciones, el dispositivo 900 informatico puede usarse, por ejemplo, como una maquina 111 principal, sistema 164 de generacion de DIR, sistema 162 de captura de datos, IIS 166, almacenamiento 168 de datos de identidad, directorio 169 activo, sistema 160 de administrador, proveedor 115 de identidad, o parte 120 confiante como se ha descrito anteriormente con respecto a la Figura 1.
En su configuracion mas basica, el dispositivo 900 informatico incluye tfpicamente al menos una unidad 902 de procesamiento y memoria 904. Dependiendo de la configuracion exacta y tipo de dispositivo informatico, la memoria 904 puede ser volatil (tal como RAM), no volatil (tal como ROM, memoria flash, etc.) o alguna combinacion de las dos. Esta configuracion mas basica se ilustra en la Figura 9 mediante la lmea 906 discontinua. La memoria 904 de sistema almacena aplicaciones que se ejecutan en el dispositivo 900 informatico. Ademas de las aplicaciones, la memoria 904 puede almacenar tambien informacion que se usa en operaciones que se realizan mediante el dispositivo 900 informatico, tal como una solicitud 910 de creacion de DIR y/o una notificacion 911 de disponibilidad de DIR, como se ha descrito anteriormente con respecto a las Figuras 1-8.
Adicionalmente, el dispositivo 900 informatico puede tener tambien caractensticas/funcionalidad adicionales. Por ejemplo, el dispositivo 900 informatico puede incluir tambien almacenamiento 908 adicional (extrafble y/o no extrafble) incluyendo, pero sin limitacion, discos o cinta magneticos u opticos. Tal almacenamiento adicional se ilustra en la Figura 9 mediante el almacenamiento 908. El medio de almacenamiento informatico incluye memoria volatil y no volatil, extrafble y no extrafble implementada en cualquier procedimiento o tecnologfa para almacenamiento de informacion tal como instrucciones legibles por ordenador, estructuras de datos, modulos de programa u otros datos. La memoria 904 y el almacenamiento 908 son ejemplos de medio de almacenamiento informatico. El medio de almacenamiento informatico incluye, pero sin limitacion, RAM, ROM, EEPROM, memoria flash u otra tecnologfa de memoria, CD-ROM, discos versatiles digitales (DVD) u otro almacenamiento optico,
5
10
15
20
25
30
35
40
45
50
casetes magneticas, cinta magnetica, almacenamiento de disco magnetico u otros dispositivos de almacenamiento magnetico, o cualquier otro medio que pueda usarse para almacenar la informacion deseada y que pueda accederse mediante el dispositivo 900 informatico. Cualquier medio de almacenamiento informatico de este tipo puede ser parte del dispositivo 900 informatico.
Como apreciaran los expertos en la materia, el almacenamiento 908 puede almacenar una diversidad de informacion. Entre otros tipos de informacion, el almacenamiento 908 puede almacenar una representacion 930 de identidad digital (por ejemplo, en el caso de una maquina principal) o un testigo 945 de identidad (por ejemplo, en el caso de un proveedor de identidad).
El dispositivo 900 informatico puede contener tambien conexion o conexiones 912 de comunicaciones que permiten al sistema comunicar con otros dispositivos. La conexion o conexiones 912 de comunicaciones son un ejemplo de medio de comunicacion. El medio de comunicacion tfpicamente incorpora instrucciones legibles por ordenador, estructuras de datos, modulos de programa u otros datos en una senal de datos modulada tal como una onda portadora u otro mecanismo de transporte e incluye cualquier medio de entrega de informacion. La expresion "senal de datos modulada" significa una senal que tiene una o mas de sus caractensticas establecidas o cambiadas de tal manera para codificar informacion en la senal. A modo de ejemplo, y no como limitacion, el medio de comunicacion incluye medio cableado tal como una red cableada o conexion cableada directa, y medio inalambrico tal como acustico, RF, infrarrojos y otros medios inalambricos. La expresion medio legible por ordenador como se usa en el presente documento incluye tanto medio de almacenamiento como medio de comunicacion.
El dispositivo 900 informatico puede tener tambien el dispositivo o dispositivos 914 de entrada tales como el teclado, raton, lapiz, dispositivo de entrada de voz, dispositivo de entrada tactil, etc. Pueden incluirse tambien dispositivo o dispositivos 916 de salida tales como una pantalla, altavoces, impresora, etc. Todos estos dispositivos son bien conocidos en la tecnica y no necesitan analizarse en profundidad en este punto.
Las diversas realizaciones anteriormente descritas se proporcionan a modo de ilustracion unicamente y no debenan interpretarse como limitantes. Los expertos en la materia reconoceran facilmente que pueden realizarse diversas modificaciones y cambios a las realizaciones anteriormente descritas sin alejarse del alcance de la divulgacion o de las siguientes reivindicaciones.
Lo siguiente es una lista de realizaciones preferidas adicionales de la invencion:
Realizacion 1: un sistema (100) para aprovisionar una representacion (930) de identidad digital para un principal (110), que comprende:
un sistema (164) de generacion de representacion de identidad digital para generar la representacion (930) de identidad digital;
un proveedor (115) de identidad para generar un testigo (150) de identidad en respuesta a recibir una solicitud de testigo de identidad, en el que la solicitud de testigo de identidad se genera en respuesta a la seleccion de la representacion (930) de identidad digital; y
un almacenamiento (168) de datos de identidad, conectado de manera operativa al proveedor (115) de identidad y al sistema (164) de generacion de representacion de identidad digital;
en el que el sistema (164) de generacion de representacion de identidad digital accede al almacenamiento (168) de datos de identidad al generar la representacion (930) de identidad digital y el proveedor (115) de identidad accede al almacenamiento (168) de datos de identidad al generar el testigo (150) de identidad.
Realizacion 2: el sistema de la realizacion 1, en el que el sistema de generacion de representacion de identidad digital esta adaptado adicionalmente para:
recibir una solicitud a traves de un primer canal para crear la representacion de identidad digital para el principal;
emitir una notificacion a traves de un segundo canal de que se ha solicitado la representacion de identidad digital; y
recibir una aprobacion para que se cree la representacion de identidad digital.
Realizacion 3: el sistema de la realizacion 1, en el que el sistema de generacion de representacion de identidad digital esta adaptado adicionalmente para:
emitir una notificacion de que una o mas representaciones de identidad digital estan disponibles para el principal; y
recibir una solicitud para crear la una o mas representaciones de identidad digital.
5
10
15
20
25
30
35
40
45
Realizacion 4: el sistema de la realizacion 1, que comprende ademas una maquina principal, en el que la maquina principal esta adaptada para:
interrogar el sistema de generacion de representacion de identidad digital para determinar si esta disponible una nueva representacion de identidad digital para el principal;
solicitar que se cree la nueva representacion de identidad digital; y
recibir la nueva representacion de identidad digital.
Realizacion 5: el sistema de la realizacion 1, que comprende ademas una maquina de administrador, controlada por un administrador y adaptada para establecer una polftica de que se permite a un grupo de principales acceder a la representacion de identidad digital, y en el que se notifica al grupo de principales de que la representacion de identidad digital esta disponible y el sistema de generacion de representacion de identidad digital esta adaptado para recibir una solicitud desde al menos un primer principal en el grupo de principales para crear la representacion de identidad digital.
Realizacion 6: el sistema de la realizacion 1, en el que el almacenamiento de datos de identidad incluye al menos una primera categona de datos y una segunda categona de datos, que comprende ademas:
una maquina de administrador, conectada de manera operativa al almacenamiento de datos de identidad, para crear un cambio en al menos la primera categona de datos;
en el que, despues del cambio, el sistema de generacion de representacion de identidad digital genera las representaciones de identidad digital que reflejan el cambio y el proveedor de identidad genera testigos de identidad que reflejan el cambio.
Realizacion 7: el sistema de la realizacion 6, en el que, si el cambio afecta a la validez de cualquier representacion de identidad digital ya generada por el sistema de generacion de representacion de identidad digital, el sistema de generacion de representacion de identidad digital notifica a cada principal que recibio la representacion de identidad digital afectada y crea una nueva representacion de identidad digital que refleja el cambio.
Realizacion 8: el sistema de la realizacion 1, en el que el sistema de generacion de representacion de identidad digital esta adaptado adicionalmente para proteger criptograficamente la representacion de identidad digital y enviar la representacion de identidad digital criptograficamente protegida a una maquina principal.
Realizacion 9: el sistema de la realizacion 1, que comprende ademas:
una maquina de administrador para crear un primer descriptor de representacion de identidad digital; y
una maquina principal para solicitar una representacion de identidad digital conforme al primer descriptor de representacion de identidad digital.
Realizacion 10: un procedimiento (300) para aprovisionar una representacion de identidad digital para un principal, que comprende:
autenticar (330) el principal a un sistema (164) de generacion de representacion de identidad digital usando informacion de inicio de sesion;
recibir (370) una solicitud para una representacion (930) de identidad digital;
generar (380) la representacion (930) de identidad digital para el principal (110), en el que la representacion (930) de identidad digital incluye al menos alguna de la informacion de inicio de sesion.
Realizacion 11: el procedimiento de la realizacion 10, en el que la informacion de inicio de sesion comprende al menos alguna informacion de inicio de sesion usada para iniciar sesion en una maquina principal.
Realizacion 12: el procedimiento de la realizacion 10, que comprende ademas la etapa de:
crear un primer descriptor de representacion de identidad digital;
en el que la representacion de identidad digital solicitada se ajusta al primer descriptor de representacion de identidad digital.
Realizacion 13: el procedimiento de la realizacion 10, que comprende ademas la etapa, antes de la etapa de autenticacion, de:
emitir una notificacion al principal de que la representacion de identidad digital esta disponible para el principal.
5
10
15
20
25
30
35
40
Realizacion 14: el procedimiento de la realizacion 10, en el que la etapa de recibir una solicitud comprende recibir la solicitud para la representacion de identidad digital a traves de un primer canal, y que comprende ademas las etapas de:
emitir una notificacion a traves de un segundo canal de que la representacion de identidad digital se ha solicitado; y
recibir la aprobacion para que se genere la representacion de la identidad digital.
Realizacion 15: el procedimiento de la realizacion 10, que comprende ademas la etapa, antes de la etapa de generacion, de:
determinar si el principal es un miembro de un grupo aprobado para recibir la representacion de identidad digital.
Realizacion 16: el procedimiento de la realizacion 10, que comprende ademas la etapa de:
responder a una solicitud en cuanto a si alguna representacion de identidad digital esta disponible para el principal.
Realizacion 17: un procedimiento (300) para aprovisionar una representacion (930) de identidad digital para un principal (110), que comprende las etapas de:
generar (350) un primer descriptor de representacion de identidad digital y un segundo descriptor de representacion de identidad digital;
enviar (360) el primer y segundo descriptores de representacion de identidad digital al principal (110);
recibir (370) una solicitud desde el principal (110) para al menos una primera representacion (930) de identidad digital conforme al primer descriptor de representacion de identidad digital;
crear al menos la primera representacion (930) de identidad digital.
Realizacion 18: el procedimiento de la realizacion 17, en el que la solicitud se recibe a traves de un primer canal, y que comprende ademas las etapas de:
emitir una notificacion a traves de un segundo canal de que la primera representacion de identidad digital se ha solicitado; y
recibir la aprobacion para que se genere la primera representacion de identidad digital.
Realizacion 19: un procedimiento (700) para aprovisionar una representacion (930) de identidad digital para un principal (110), que comprende las etapas de:
solicitar (710) acceso a una parte (120) confiante;
recibir (720) desde la parte (120) confiante una denegacion de acceso;
solicitar (730) desde un sistema (164) de generacion de representacion de identidad digital una representacion (930) de identidad digital que es suficiente para obtener el acceso para la parte (120) confiante;
recibir (740) la representacion (930) de identidad digital.
Realizacion 20: el procedimiento de la realizacion 19, en el que la etapa de recibir desde la parte confiante una denegacion de acceso incluye recibir una polttica de seguridad desde la parte confiante y que comprende ademas la etapa de:
enviar la representacion de identidad digital a un proveedor de identidad; y
obtener un testigo de identidad suficiente para satisfacer la polftica de seguridad de la parte confiante.

Claims (13)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    REIVINDICACIONES
    1. Un sistema (100) para aprovisionar una representacion (930) de identidad digital para un principal (110), que comprende:
    un sistema (164) de generacion de representacion de identidad digital adaptado para generar una representacion de identidad digital, DIR (930) para un principal (110), y para enviar la DIR al principal, siendo la DIR espedfica para un proveedor (115) de identidad y que incluye una polttica de emision del proveedor de identidad para testigos (150, 945) de identidad, asf como reclamaciones acerca del principal;
    el proveedor (115) de identidad, adaptado para recibir la DIR, para generar un testigo (150) de identidad que corresponde a la DIR y para enviar el testigo de identidad al principal, rellenandose el testigo de identidad con informacion acerca del principal que corresponde a las reclamaciones incluidas en la DIR para satisfacer una polttica de seguridad; y
    un almacenamiento (168) de datos de identidad, conectado de manera operativa al proveedor de identidad y al sistema de generacion de representacion de identidad digital, adaptado para almacenar las reclamaciones acerca del principal incluidas en la DIR y la correspondiente informacion acerca del principal usada para rellenar el testigo de identidad,
    en el que la generacion de la DIR mediante el sistema de generacion de representacion de identidad digital y la generacion del testigo de identidad mediante el proveedor de identidad se realizan accediendo al mismo almacenamiento de datos de identidad para asegurar que la informacion acerca del principal que corresponde a las reclamaciones contenidas en la DIR esta de hecho disponible en el almacenamiento de datos de identidad para rellenar el testigo de identidad.
  2. 2. El sistema de la reivindicacion 1, en el que el sistema de generacion de representacion de identidad digital esta adaptado adicionalmente para realizar uno de:
    recibir una solicitud a traves de un primer canal para crear la DIR para el principal, emitir una notificacion a traves de un segundo canal de que la DIR ha sido solicitada, y recibir una aprobacion para que se cree la DIR; y emitir una notificacion de que uno o mas descriptores de representacion de identidad digital estan disponibles para el principal, y recibir una solicitud para crear una o mas DIR que corresponden al uno o mas descriptores de representacion de identidad digital.
  3. 3. El sistema de la reivindicacion 1, que comprende ademas una maquina (111) principal, en el que la maquina principal esta adaptada para:
    interrogar (610) el sistema de generacion de representacion de identidad digital para determinar si un nuevo descriptor de representacion de identidad digital esta disponible para el principal;
    solicitar (630) que se cree una nueva DIR que corresponde al descriptor de representacion de identidad digital disponible recientemente; y recibir (640) la nueva DIR.
  4. 4. El sistema de la reivindicacion 1, que comprende ademas una maquina (160) de administrador, controlada por un administrador y adaptada para establecer una polttica de que se permite a un grupo de principales acceder a la DIR, y en el que se notifica al grupo de principales de que la DIR esta disponible y el sistema de generacion de representacion de identidad digital esta adaptado para recibir una solicitud desde al menos un primer principal en el grupo de principales para crear la DIR.
  5. 5. El sistema de la reivindicacion 1, que comprende ademas:
    una maquina (160) de administrador, conectada de manera operativa al almacenamiento de datos de identidad y adaptada para crear un cambio que afecta una validez de DIR ya emitidas,
    en el que, despues del cambio, el sistema de generacion de representacion de identidad digital esta adaptado adicionalmente para notificar a cada principal que recibio una DIR afectada por el cambio y para generar nuevas DIR que reflejan el cambio, y
    en el que el proveedor de identidad esta adaptado adicionalmente para generar testigos de identidad que reflejan el cambio.
  6. 6. El sistema de la reivindicacion 1, en el que el sistema de generacion de representacion de identidad digital esta adaptado adicionalmente para proteger criptograficamente la DIR y para enviar la DIR criptograficamente protegida a una maquina (111) principal.
  7. 7. El sistema de la reivindicacion 1, que comprende ademas:
    una maquina (160) de administrador adaptada para crear un primer descriptor de representacion de identidad digital; y
    una maquina (111) principal adaptada para solicitar una DIR conforme al primer descriptor de representacion de identidad digital.
    10
    15
    20
    25
    30
    35
    40
    45
    50
  8. 8. Un procedimiento para aprovisionar una representacion (930) de identidad digital para un principal (110), que comprende:
    generar, en un sistema (164) de generacion de representacion de identidad digital, una representacion de identidad digital, DIR (930) para un principal (110), siendo la DIR espedfica para un proveedor (115) de identidad y que incluye una polftica de emision del proveedor de identidad para testigos de identidad, asf como reclamaciones acerca del principal;
    enviar, mediante el sistema de generacion de representacion de identidad digital, la DIR al principal (110); recibir la DIR en el proveedor de identidad;
    generar, mediante el proveedor de identidad, un testigo (150) de identidad que corresponde a la DIR, rellenandose el testigo de identidad con informacion acerca del principal que corresponde a las reclamaciones incluidas en la DIR para satisfacer una polftica de seguridad; y enviar, mediante el proveedor de identidad, el testigo de identidad al principal,
    en el que las reclamaciones acerca del principal incluidas en la DIR y la correspondiente informacion acerca del principal usada para rellenar el testigo de identidad se almacenan en un mismo almacenamiento (168) de datos de identidad, y
    en el que la generacion de la DIR mediante el sistema de generacion de representacion de identidad digital y la generacion del testigo de identidad mediante el proveedor de identidad se realizan accediendo al mismo almacenamiento de datos de identidad para asegurar que la informacion acerca del principal que corresponde a las reclamaciones contenidas en la DIR estan de hecho disponibles en el almacenamiento de datos de identidad para rellenar el testigo de identidad.
  9. 9. El procedimiento de la reivindicacion 8, en el que la etapa de generar la DIR comprende:
    autenticar (330) el principal para el sistema (164) de generacion de representacion de identidad digital usando informacion de inicio de sesion; recibir (370) una solicitud para la DIR; y
    generar (380) la DIR para el principal, en el que la DIR incluye al menos alguna de la informacion de inicio de sesion.
  10. 10. El procedimiento de la reivindicacion 9, en el que la informacion de inicio de sesion comprende al menos alguna informacion de inicio de sesion usada para iniciar sesion en una maquina principal.
  11. 11. El procedimiento de la reivindicacion 9, que comprende ademas uno de:
    crear un primer descriptor de representacion de identidad digital, en el que la DIR solicitada se ajusta al primer descriptor de representacion de identidad digital;
    antes de la etapa de autenticacion, emitir una notificacion al principal de que la DIR esta disponible para el principal;
    antes de la etapa de generacion, determinar si el principal es un miembro de un grupo aprobado para recibir la DIR; y
    responder a una solicitud en cuanto a si alguna DIR esta disponible para el principal.
  12. 12. El procedimiento de la reivindicacion 9, en el que la etapa de recibir una solicitud comprende recibir la solicitud para la DIR a traves de un primer canal, y que comprende ademas las etapas de:
    emitir una notificacion a traves de un segundo canal de que la DIR se ha solicitado; y recibir la aprobacion para que se genere la DIR.
  13. 13. Un procedimiento (700) en una maquina (111) principal para aprovisionar una representacion de identidad digital, DIR (930), para un principal (110), que comprende las etapas de:
    solicitar (710) acceso a una parte (120) confiante;
    recibir (720) desde la parte confiante una denegacion de acceso;
    solicitar (730) desde un sistema (164) de generacion de representacion de identidad digital una DIR que es suficiente para obtener el acceso para la parte (120) confiante, siendo la DIR espedfica para un proveedor (115) de identidad y que incluye una polftica de emision del proveedor de identidad para testigos de identidad, asf como reclamaciones acerca del principal; recibir (740) la DIR;
    enviar la DIR al proveedor de identidad; y
    obtener un testigo de identidad que se rellena con informacion acerca del principal que corresponde a las reclamaciones incluidas en la DIR para satisfacer la polftica de seguridad de la parte confiante, en el que las reclamaciones acerca del principal incluidas en la DIR y la correspondiente informacion acerca del principal usada para rellenar el testigo de identidad se obtienen a partir de un mismo almacenamiento (168) de datos de identidad para asegurar que la informacion acerca del principal que corresponde a las reclamaciones contenidas en la DIR esta de hecho disponible en el almacenamiento de datos de identidad para rellenar el testigo de identidad.
ES08713521.6T 2007-01-18 2008-01-04 Aprovisionamiento de representaciones de identidad digital Active ES2597815T3 (es)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US856617 1986-04-25
US88559807P 2007-01-18 2007-01-18
US885598P 2007-01-18
US11/856,617 US8087072B2 (en) 2007-01-18 2007-09-17 Provisioning of digital identity representations
PCT/US2008/050204 WO2008088944A1 (en) 2007-01-18 2008-01-04 Provisioning of digital identity representations

Publications (1)

Publication Number Publication Date
ES2597815T3 true ES2597815T3 (es) 2017-01-23

Family

ID=39636329

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08713521.6T Active ES2597815T3 (es) 2007-01-18 2008-01-04 Aprovisionamiento de representaciones de identidad digital

Country Status (8)

Country Link
US (1) US8087072B2 (es)
EP (1) EP2109955B1 (es)
JP (1) JP5264775B2 (es)
BR (1) BRPI0806607A2 (es)
ES (1) ES2597815T3 (es)
RU (1) RU2463715C2 (es)
TW (1) TWI438642B (es)
WO (1) WO2008088944A1 (es)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8104074B2 (en) 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
US20070203852A1 (en) * 2006-02-24 2007-08-30 Microsoft Corporation Identity information including reputation information
US8117459B2 (en) * 2006-02-24 2012-02-14 Microsoft Corporation Personal identification information schemas
US8078880B2 (en) * 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US8407767B2 (en) * 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US8087072B2 (en) 2007-01-18 2011-12-27 Microsoft Corporation Provisioning of digital identity representations
US8689296B2 (en) * 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US20090178112A1 (en) * 2007-03-16 2009-07-09 Novell, Inc. Level of service descriptors
US8074257B2 (en) * 2007-03-16 2011-12-06 Felsted Patrick R Framework and technology to enable the portability of information cards
US20090077655A1 (en) * 2007-09-19 2009-03-19 Novell, Inc. Processing html extensions to enable support of information cards by a relying party
US8151324B2 (en) 2007-03-16 2012-04-03 Lloyd Leon Burch Remotable information cards
US20090077118A1 (en) * 2007-03-16 2009-03-19 Novell, Inc. Information card federation point tracking and management
US20090249430A1 (en) * 2008-03-25 2009-10-01 Novell, Inc. Claim category handling
US20090204622A1 (en) * 2008-02-11 2009-08-13 Novell, Inc. Visual and non-visual cues for conveying state of information cards, electronic wallets, and keyrings
US20090077627A1 (en) * 2007-03-16 2009-03-19 Novell, Inc. Information card federation point tracking and management
US8296245B2 (en) * 2008-01-03 2012-10-23 Kount Inc. Method and system for creation and validation of anonymous digital credentials
US20090199284A1 (en) * 2008-02-06 2009-08-06 Novell, Inc. Methods for setting and changing the user credential in information cards
US20090205035A1 (en) * 2008-02-11 2009-08-13 Novell, Inc. Info card selector reception of identity provider based data pertaining to info cards
US20090204542A1 (en) * 2008-02-11 2009-08-13 Novell, Inc. Privately sharing relying party reputation with information card selectors
US8079069B2 (en) 2008-03-24 2011-12-13 Oracle International Corporation Cardspace history validator
US20090272797A1 (en) * 2008-04-30 2009-11-05 Novell, Inc. A Delaware Corporation Dynamic information card rendering
US20100011409A1 (en) * 2008-07-09 2010-01-14 Novell, Inc. Non-interactive information card token generation
US20100031328A1 (en) * 2008-07-31 2010-02-04 Novell, Inc. Site-specific credential generation using information cards
US9003474B1 (en) 2008-08-22 2015-04-07 Taser International, Inc. Systems and methods for managing disclosure of protectable information
US8561172B2 (en) * 2008-08-29 2013-10-15 Novell Intellectual Property Holdings, Inc. System and method for virtual information cards
US20100095372A1 (en) * 2008-10-09 2010-04-15 Novell, Inc. Trusted relying party proxy for information card tokens
US8171057B2 (en) * 2008-10-23 2012-05-01 Microsoft Corporation Modeling party identities in computer storage systems
US8083135B2 (en) * 2009-01-12 2011-12-27 Novell, Inc. Information card overlay
US8632003B2 (en) * 2009-01-27 2014-01-21 Novell, Inc. Multiple persona information cards
US20100251353A1 (en) * 2009-03-25 2010-09-30 Novell, Inc. User-authorized information card delegation
US20100287603A1 (en) * 2009-05-08 2010-11-11 Microsoft Corporation Flexible identity issuance system
DE102009031817A1 (de) * 2009-07-03 2011-01-05 Charismathics Gmbh Verfahren zur Ausstellung, Überprüfung und Verteilung von digitalen Zertifikaten für die Nutzung in Public-Key-Infrastrukturen
JP2011034529A (ja) * 2009-08-06 2011-02-17 Fuji Xerox Co Ltd 認証装置及び認証プログラム
US8959570B2 (en) * 2010-07-02 2015-02-17 International Business Machines Corporation Verifying a security token
US8830032B2 (en) * 2010-10-25 2014-09-09 International Business Machines Corporation Biometric-based identity confirmation
WO2013188301A2 (en) * 2012-06-13 2013-12-19 International Association Of Flight Training Professionals, Inc. Secure system and method for collecting, authenticating, and using personal data
US9264415B1 (en) 2012-07-11 2016-02-16 Microstrategy Incorporated User credentials
US9887992B1 (en) 2012-07-11 2018-02-06 Microstrategy Incorporated Sight codes for website authentication
US8775807B1 (en) 2012-10-26 2014-07-08 Microstrategy Incorporated Credential tracking
US9640001B1 (en) 2012-11-30 2017-05-02 Microstrategy Incorporated Time-varying representations of user credentials
US9154303B1 (en) * 2013-03-14 2015-10-06 Microstrategy Incorporated Third-party authorization of user credentials
CN105162747B (zh) 2014-01-10 2019-12-24 北京华夏创新科技有限公司 用于压缩设备与解压缩设备探索及握手的系统和方法
US20160217459A1 (en) * 2015-01-28 2016-07-28 American Express Travel Related Services Company, Inc. Systems and methods for smart token allocation scheme
CN105100708B (zh) * 2015-06-26 2018-12-25 小米科技有限责任公司 请求处理方法及装置
US10542077B1 (en) * 2016-05-19 2020-01-21 Equinix, Inc. Event-driven notification and network service bus for a cloud exchange
US11177937B1 (en) * 2018-03-08 2021-11-16 Anonyome Labs, Inc. Apparatus and method for establishing trust of anonymous identities
US10771245B2 (en) * 2018-04-20 2020-09-08 Mastercard International Incorporated Systems and methods for use in computer network security
US12184912B2 (en) * 2018-08-07 2024-12-31 Setos Family Trust System for temporary access to subscriber content over non-proprietary networks

Family Cites Families (165)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5657388A (en) * 1993-05-25 1997-08-12 Security Dynamics Technologies, Inc. Method and apparatus for utilizing a token for resource access
US5442704A (en) * 1994-01-14 1995-08-15 Bull Nh Information Systems Inc. Secure memory card with programmed controlled security access control
US5473692A (en) * 1994-09-07 1995-12-05 Intel Corporation Roving software license for a hardware agent
ATE305682T1 (de) * 1994-07-19 2005-10-15 Certco Llc Verfahren zur sicheren anwendung digitaler unterschriften in einem kommerziellen verschlüsselungssystem
US5678015A (en) 1995-09-01 1997-10-14 Silicon Graphics, Inc. Four-dimensional graphical user interface
US5898435A (en) 1995-10-02 1999-04-27 Sony Corporation Image controlling device and image controlling method
US5796832A (en) * 1995-11-13 1998-08-18 Transaction Technology, Inc. Wireless transaction and information system
US6005939A (en) 1996-12-06 1999-12-21 International Business Machines Corporation Method and apparatus for storing an internet user's identity and access rights to world wide web resources
US5907838A (en) * 1996-12-10 1999-05-25 Seiko Epson Corporation Information search and collection method and system
US5887131A (en) * 1996-12-31 1999-03-23 Compaq Computer Corporation Method for controlling access to a computer system by utilizing an external device containing a hash value representation of a user password
US5995625A (en) 1997-03-24 1999-11-30 Certco, Llc Electronic cryptographic packing
US6016476A (en) * 1997-08-11 2000-01-18 International Business Machines Corporation Portable information and transaction processing system and method utilizing biometric authorization and digital certificate security
JP4313873B2 (ja) * 1998-01-30 2009-08-12 キヤノン株式会社 電子機器及びデータ処理方法
FR2776415A1 (fr) 1998-03-20 1999-09-24 Philips Consumer Communication Appareil electronique comportant un ecran et procede pour afficher des graphismes
US6161125A (en) 1998-05-14 2000-12-12 Sun Microsystems, Inc. Generic schema for storing configuration information on a client computer
US20020056043A1 (en) 1999-01-18 2002-05-09 Sensar, Inc. Method and apparatus for securely transmitting and authenticating biometric data over a network
JP2000215172A (ja) 1999-01-20 2000-08-04 Nec Corp 個人認証システム
US7083095B2 (en) * 1999-02-18 2006-08-01 Colin Hendrick System for automatic connection to a network
EP1762958A1 (en) 1999-03-08 2007-03-14 Spyrus, Inc. Method and system for enforcing access to a computing resource using a licensing certificate
JP2000259278A (ja) * 1999-03-12 2000-09-22 Fujitsu Ltd 生体情報を用いて個人認証を行う認証装置および方法
US6553494B1 (en) * 1999-07-21 2003-04-22 Sensar, Inc. Method and apparatus for applying and verifying a biometric-based digital signature to an electronic document
US6526434B1 (en) * 1999-08-24 2003-02-25 International Business Machines Corporation System and method for efficient transfer of data blocks from client to server
US6785810B1 (en) * 1999-08-31 2004-08-31 Espoc, Inc. System and method for providing secure transmission, search, and storage of data
AU7621300A (en) * 1999-09-28 2001-04-30 Chameleon Network Inc. Portable electronic authorization system and associated method
JP5265830B2 (ja) 1999-10-20 2013-08-14 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 情報処理装置
JP3580200B2 (ja) * 1999-10-28 2004-10-20 ブラザー工業株式会社 記録情報処理装置および記録情報処理プログラムを記録したコンピュータ読み取り可能な記録媒体
US7680819B1 (en) * 1999-11-12 2010-03-16 Novell, Inc. Managing digital identity information
WO2001039143A1 (de) * 1999-11-19 2001-05-31 Swisscom Mobile Ag Verfahren und system zum bestellen und ausliefern von digitalen zertifikaten
US6754829B1 (en) * 1999-12-14 2004-06-22 Intel Corporation Certificate-based authentication system for heterogeneous environments
US6738901B1 (en) * 1999-12-15 2004-05-18 3M Innovative Properties Company Smart card controlled internet access
US6856963B1 (en) * 2000-01-11 2005-02-15 Intel Corporation Facilitating electronic commerce through automated data-based reputation characterization
US6763459B1 (en) * 2000-01-14 2004-07-13 Hewlett-Packard Company, L.P. Lightweight public key infrastructure employing disposable certificates
US6802002B1 (en) 2000-01-14 2004-10-05 Hewlett-Packard Development Company, L.P. Method and apparatus for providing field confidentiality in digital certificates
US7020778B1 (en) * 2000-01-21 2006-03-28 Sonera Smarttrust Oy Method for issuing an electronic identity
US8949608B2 (en) 2000-02-18 2015-02-03 Vasco Data Security, Inc. Field programmable smart card terminal and token device
US20010034746A1 (en) 2000-02-26 2001-10-25 Alex Tsakiris Methods and systems for creating user-defined personal web cards
US6791583B2 (en) 2000-03-09 2004-09-14 Sun Microsystems, Inc. System and method for providing spatially distributed device interaction
US7409543B1 (en) * 2000-03-30 2008-08-05 Digitalpersona, Inc. Method and apparatus for using a third party authentication server
US6839690B1 (en) * 2000-04-11 2005-01-04 Pitney Bowes Inc. System for conducting business over the internet
US7000108B1 (en) * 2000-05-02 2006-02-14 International Business Machines Corporation System, apparatus and method for presentation and manipulation of personal information syntax objects
JP4586237B2 (ja) * 2000-05-23 2010-11-24 沖電気工業株式会社 生体照合システム
JP2001344205A (ja) 2000-05-31 2001-12-14 Nippon Telegr & Teleph Corp <Ntt> サービス提供システムおよびサービス提供方法ならびに記録媒体
US6895385B1 (en) * 2000-06-02 2005-05-17 Open Ratings Method and system for ascribing a reputation to an entity as a rater of other entities
US7028180B1 (en) * 2000-06-09 2006-04-11 Northrop Grumman Corporation System and method for usage of a role certificate in encryption and as a seal, digital stamp, and signature
US20020046041A1 (en) * 2000-06-23 2002-04-18 Ken Lang Automated reputation/trust service
US7424457B2 (en) 2000-08-08 2008-09-09 Squaretrade, Inc. Managing an electronic seal of certification
JP2002063530A (ja) * 2000-08-23 2002-02-28 Hitachi Ltd カード管理システム及びカード情報の処理方法
US6836765B1 (en) 2000-08-30 2004-12-28 Lester Sussman System and method for secure and address verifiable electronic commerce transactions
US6961857B1 (en) * 2000-09-28 2005-11-01 Cisco Technology, Inc. Authenticating endpoints of a voice over internet protocol call connection
JP2002132730A (ja) * 2000-10-20 2002-05-10 Hitachi Ltd 個人情報の信頼度および開示度による認証またはアクセス管理システム、および管理方法
US6877656B1 (en) 2000-10-24 2005-04-12 Capital One Financial Corporation Systems, methods, and apparatus for instant issuance of a credit card
GB0027685D0 (en) * 2000-11-13 2000-12-27 Canon Kk Filter based authoring tool
US7047418B1 (en) * 2000-11-29 2006-05-16 Applied Minds, Inc. Imaging method and device using biometric information for operator authentication
US6934913B2 (en) * 2000-12-07 2005-08-23 International Business Machines Corp. Graphical data entry screen
US20020103801A1 (en) * 2001-01-31 2002-08-01 Lyons Martha L. Centralized clearinghouse for community identity information
US20040205243A1 (en) * 2001-03-09 2004-10-14 Hans Hurvig System and a method for managing digital identities
US20020133535A1 (en) * 2001-03-14 2002-09-19 Microsoft Corporation Identity-centric data access
US6981043B2 (en) 2001-03-27 2005-12-27 International Business Machines Corporation Apparatus and method for managing multiple user identities on a networked computer system
US20020175916A1 (en) 2001-04-16 2002-11-28 Nichols Michael R. Method for presenting circular dialog windows
US7069447B1 (en) * 2001-05-11 2006-06-27 Rodney Joe Corder Apparatus and method for secure data storage
ATE521928T1 (de) * 2001-06-12 2011-09-15 Ibm Verfahren zum unsichtbaren einbetten der lizenzidentifikation der erzeugenden lizensierten software in ein textdokument
US7533063B2 (en) 2001-06-14 2009-05-12 Silicon Storage Technology, Inc. Smart memory card wallet
US7509498B2 (en) * 2001-06-29 2009-03-24 Intel Corporation Digital signature validation
GB2377782A (en) * 2001-07-21 2003-01-22 Ibm Method and system for the communication of assured reputation information
US7356837B2 (en) * 2001-08-29 2008-04-08 Nader Asghari-Kamrani Centralized identification and authentication system and method
US20030046575A1 (en) * 2001-08-30 2003-03-06 International Business Machines Corporation Digital identity information cards
US20030048904A1 (en) * 2001-09-07 2003-03-13 Po-Tong Wang Web-based biometric authorization apparatus
US6993652B2 (en) * 2001-10-05 2006-01-31 General Instrument Corporation Method and system for providing client privacy when requesting content from a public server
US20030074660A1 (en) * 2001-10-12 2003-04-17 Liberate Technologies System method and apparatus for portable digital identity
US7103773B2 (en) 2001-10-26 2006-09-05 Hewlett-Packard Development Company, L.P. Message exchange in an information technology network
AU2002352607A1 (en) * 2001-11-14 2003-06-17 Joseph Murray Access, identity, and ticketing system for providing multiple access methods for smart devices
US7610390B2 (en) * 2001-12-04 2009-10-27 Sun Microsystems, Inc. Distributed network identity
US20030135500A1 (en) 2002-01-07 2003-07-17 Henri Chevrel Integrated gas supply system and computer network for enhanced user service
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
FR2836251B1 (fr) 2002-02-18 2004-06-25 Gemplus Card Int Dispositif et procede de securisation de donnees sensibles, notamment entre deux parties via un organisme tiers
US20040054913A1 (en) * 2002-02-28 2004-03-18 West Mark Brian System and method for attaching un-forgeable biometric data to digital identity tokens and certificates, and validating the attached biometric data while validating digital identity tokens and certificates
US7308579B2 (en) * 2002-03-15 2007-12-11 Noel Abela Method and system for internationally providing trusted universal identification over a global communications network
JP4079887B2 (ja) 2002-03-18 2008-04-23 富士通株式会社 カード発行システム
US7512649B2 (en) 2002-03-22 2009-03-31 Sun Microsytems, Inc. Distributed identities
US7039701B2 (en) 2002-03-27 2006-05-02 International Business Machines Corporation Providing management functions in decentralized networks
US7162475B2 (en) * 2002-04-17 2007-01-09 Ackerman David M Method for user verification and authentication and multimedia processing for interactive database management and method for viewing the multimedia
US7096200B2 (en) 2002-04-23 2006-08-22 Microsoft Corporation System and method for evaluating and enhancing source anonymity for encrypted web traffic
US6993659B2 (en) * 2002-04-23 2006-01-31 Info Data, Inc. Independent biometric identification system
US7401235B2 (en) 2002-05-10 2008-07-15 Microsoft Corporation Persistent authorization context based on external authentication
US20030216136A1 (en) 2002-05-16 2003-11-20 International Business Machines Corporation Portable storage device for providing secure and mobile information
US20030233580A1 (en) 2002-05-29 2003-12-18 Keeler James D. Authorization and authentication of user access to a distributed network communication system with roaming features
US7793095B2 (en) 2002-06-06 2010-09-07 Hardt Dick C Distributed hierarchical identity management
KR100378445B1 (en) 2002-06-24 2003-03-29 C & C Entpr Co Ltd Method for managing card approval information using memory address and credit card system using the same
US20040010720A1 (en) * 2002-07-12 2004-01-15 Romi Singh System and method for remote supervision and authentication of user activities at communication network workstations
US20040064708A1 (en) * 2002-09-30 2004-04-01 Compaq Information Technologies Group, L.P. Zero administrative interventions accounts
US20040103040A1 (en) * 2002-11-27 2004-05-27 Mostafa Ronaghi System, method and computer program product for a law community service system
ATE357698T1 (de) * 2002-10-15 2007-04-15 Socket Communications Inc Zurückgestellte tupleraum-programmierung von erweiterungsmodulen
AU2003272809A1 (en) 2002-10-15 2004-05-04 E2Open Llc Network directory for business process integration of trading partners
US6810480B1 (en) 2002-10-21 2004-10-26 Sprint Communications Company L.P. Verification of identity and continued presence of computer users
US7461051B2 (en) 2002-11-11 2008-12-02 Transparensee Systems, Inc. Search method and system and system using the same
US8065717B2 (en) * 2002-11-27 2011-11-22 Activcard Automated security token administrative services
US7284062B2 (en) * 2002-12-06 2007-10-16 Microsoft Corporation Increasing the level of automation when provisioning a computer system to access a network
US20040114571A1 (en) * 2002-12-13 2004-06-17 Timmins Timothy A. Information assistance system and method for effectively consulting multiple resources to assist a user to perform a task
GB0229894D0 (en) 2002-12-21 2003-01-29 Ibm Methods, apparatus and computer programs for generating and/or using conditional electronic signatures and/or for reporting status changes
US7467206B2 (en) * 2002-12-23 2008-12-16 Microsoft Corporation Reputation system for web services
US7703128B2 (en) * 2003-02-13 2010-04-20 Microsoft Corporation Digital identity management
US8255978B2 (en) 2003-03-11 2012-08-28 Innovatrend, Inc. Verified personal information database
US8014570B2 (en) * 2004-11-16 2011-09-06 Activcard, Inc. Method for improving false acceptance rate discriminating for biometric authentication systems
US8108920B2 (en) 2003-05-12 2012-01-31 Microsoft Corporation Passive client single sign-on for web applications
US7406601B2 (en) 2003-05-23 2008-07-29 Activecard Ireland, Ltd. Secure messaging for security token
US7020474B2 (en) * 2003-06-25 2006-03-28 Cross Match Technologies, Inc. System and method for securing short-distance wireless communications, and applications thereof
GB2404535B (en) 2003-07-29 2006-07-19 Ncipher Corp Ltd Secure transmission of data within a distributed computer system
US6817521B1 (en) 2003-08-21 2004-11-16 International Business Machines Corporation Credit card application automation system
JP2005079912A (ja) * 2003-08-29 2005-03-24 Matsushita Electric Ind Co Ltd セキュアデータ管理装置
US7769594B2 (en) * 2003-09-05 2010-08-03 France Telecom Evaluation of reputation of an entity by a primary evaluation centre
WO2005038731A2 (en) * 2003-09-12 2005-04-28 Aristocrat Technologies Australia Pty Ltd Adaptive display system and method for a gaming machine
US20050074028A1 (en) * 2003-10-02 2005-04-07 Openwave System Inc. System and method for mobile access to resources
US7631060B2 (en) * 2003-10-23 2009-12-08 Microsoft Corporation Identity system for use in a computing environment
US7822988B2 (en) * 2003-10-23 2010-10-26 Microsoft Corporation Method and system for identity recognition
US7181472B2 (en) * 2003-10-23 2007-02-20 Microsoft Corporation Method and system for synchronizing identity information
US7577659B2 (en) * 2003-10-24 2009-08-18 Microsoft Corporation Interoperable credential gathering and access modularity
US20050114447A1 (en) * 2003-10-24 2005-05-26 Kim Cameron Method and system for identity exchange and recognition for groups and group members
US8190893B2 (en) * 2003-10-27 2012-05-29 Jp Morgan Chase Bank Portable security transaction protocol
US20050108575A1 (en) * 2003-11-18 2005-05-19 Yung Chong M. Apparatus, system, and method for faciliating authenticated communication between authentication realms
US7480265B2 (en) 2003-12-03 2009-01-20 Lenovo (Sinapore) Pte. Ltd. System and method for autonomic extensions to wake on wireless networks
US20050124320A1 (en) * 2003-12-09 2005-06-09 Johannes Ernst System and method for the light-weight management of identity and related information
US20050125677A1 (en) * 2003-12-09 2005-06-09 Michaelides Phyllis J. Generic token-based authentication system
US7146159B1 (en) 2003-12-23 2006-12-05 Sprint Communications Company L.P. Over-the-air card provisioning system and method
US7634801B2 (en) * 2004-01-09 2009-12-15 Panasonic Corporation Multifunction machine and personal authentication method of multifunction machine
US20050172229A1 (en) * 2004-01-29 2005-08-04 Arcot Systems, Inc. Browser user-interface security application
US7953759B2 (en) * 2004-02-17 2011-05-31 Microsoft Corporation Simplifying application access to schematized contact data
US7355110B2 (en) * 2004-02-25 2008-04-08 Michael Tepoe Nash Stringed musical instrument having a built in hand-held type computer
FR2867881B1 (fr) 2004-03-17 2006-06-30 Sagem Procede de controle d'identification de personnes et systeme pour la mise en oeuvre du procede
US20060010007A1 (en) * 2004-07-09 2006-01-12 Denman John F Process for using smart card technology in patient prescriptions, medical/dental/DME services processing and healthcare management
US20060080702A1 (en) * 2004-05-20 2006-04-13 Turner Broadcasting System, Inc. Systems and methods for delivering content over a network
US8504704B2 (en) * 2004-06-16 2013-08-06 Dormarke Assets Limited Liability Company Distributed contact information management
US9245266B2 (en) 2004-06-16 2016-01-26 Callahan Cellular L.L.C. Auditable privacy policies in a distributed hierarchical identity management system
US8527752B2 (en) * 2004-06-16 2013-09-03 Dormarke Assets Limited Liability Graduated authentication in an identity management system
JP2006139747A (ja) * 2004-08-30 2006-06-01 Kddi Corp 通信システムおよび安全性保証装置
US7774365B2 (en) * 2004-08-31 2010-08-10 Morgan Stanley Organizational reference data and entitlement system
US7451921B2 (en) * 2004-09-01 2008-11-18 Eric Morgan Dowling Methods, smart cards, and systems for providing portable computer, VoIP, and application services
CN1642083A (zh) * 2004-09-23 2005-07-20 华为技术有限公司 网络侧选择鉴权方式的方法
US20060206723A1 (en) 2004-12-07 2006-09-14 Gil Youn H Method and system for integrated authentication using biometrics
US20060129509A1 (en) * 2004-12-09 2006-06-15 Calpine Corporation, A Delaware Corporation Database schema
US8700729B2 (en) * 2005-01-21 2014-04-15 Robin Dua Method and apparatus for managing credentials through a wireless network
US8365293B2 (en) * 2005-01-25 2013-01-29 Redphone Security, Inc. Securing computer network interactions between entities with authorization assurances
US20060174350A1 (en) * 2005-02-03 2006-08-03 Navio Systems, Inc. Methods and apparatus for optimizing identity management
US20060206724A1 (en) 2005-02-16 2006-09-14 David Schaufele Biometric-based systems and methods for identity verification
US7555784B2 (en) 2005-03-04 2009-06-30 Microsoft Corporation Method and system for safely disclosing identity over the internet
US8032562B2 (en) 2005-03-29 2011-10-04 Microsoft Corporation Identity management user experience
US7748046B2 (en) 2005-04-29 2010-06-29 Microsoft Corporation Security claim transformation with intermediate claims
US20060253582A1 (en) 2005-05-03 2006-11-09 Dixon Christopher J Indicating website reputations within search results
US7707626B2 (en) 2005-06-01 2010-04-27 At&T Corp. Authentication management platform for managed security service providers
US7844816B2 (en) 2005-06-08 2010-11-30 International Business Machines Corporation Relying party trust anchor based public key technology framework
US20070011100A1 (en) * 2005-06-21 2007-01-11 Phil Libin Preventing identity theft
US7788499B2 (en) * 2005-12-19 2010-08-31 Microsoft Corporation Security tokens including displayable claims
CN1794284B (zh) 2005-12-26 2010-09-15 上海洲信信息技术有限公司 实现电子邮箱的单账户多用户名的方法及系统
JPWO2007094165A1 (ja) 2006-02-15 2009-07-02 日本電気株式会社 本人確認システムおよびプログラム、並びに、本人確認方法
US20100227680A1 (en) 2006-02-20 2010-09-09 Wms Gaming Inc. Wagering game machine wireless key
US8104074B2 (en) * 2006-02-24 2012-01-24 Microsoft Corporation Identity providers in digital identity system
US8117459B2 (en) * 2006-02-24 2012-02-14 Microsoft Corporation Personal identification information schemas
US20070203852A1 (en) 2006-02-24 2007-08-30 Microsoft Corporation Identity information including reputation information
US20070300183A1 (en) 2006-06-21 2007-12-27 Nokia Corporation Pop-up notification for an incoming message
US8078880B2 (en) * 2006-07-28 2011-12-13 Microsoft Corporation Portable personal identity information
US20080034412A1 (en) * 2006-08-02 2008-02-07 Informed Control Inc. System to prevent misuse of access rights in a single sign on environment
GB0621189D0 (en) * 2006-10-25 2006-12-06 Payfont Ltd Secure authentication and payment system
US8087072B2 (en) 2007-01-18 2011-12-27 Microsoft Corporation Provisioning of digital identity representations
US8407767B2 (en) 2007-01-18 2013-03-26 Microsoft Corporation Provisioning of digital identity representations
US8689296B2 (en) 2007-01-26 2014-04-01 Microsoft Corporation Remote access of digital identities
US20080289020A1 (en) 2007-05-15 2008-11-20 Microsoft Corporation Identity Tokens Using Biometric Representations

Also Published As

Publication number Publication date
TWI438642B (zh) 2014-05-21
WO2008088944A1 (en) 2008-07-24
EP2109955B1 (en) 2016-07-20
TW200842648A (en) 2008-11-01
US8087072B2 (en) 2011-12-27
US20080178271A1 (en) 2008-07-24
EP2109955A1 (en) 2009-10-21
BRPI0806607A2 (pt) 2011-09-06
JP5264775B2 (ja) 2013-08-14
RU2009127801A (ru) 2011-01-27
JP2010517140A (ja) 2010-05-20
RU2463715C2 (ru) 2012-10-10
EP2109955A4 (en) 2011-08-17

Similar Documents

Publication Publication Date Title
ES2597815T3 (es) Aprovisionamiento de representaciones de identidad digital
ES2610420T3 (es) Aprovisionamiento de representaciones de identidad digital
US10110584B1 (en) Elevating trust in user identity during RESTful authentication and authorization
US9596089B2 (en) Method for generating a certificate
US10599830B2 (en) System and method for controlled decentralized authorization and access for electronic records
JP4856755B2 (ja) カスタマイズ可能なサインオンサービス
JP5479111B2 (ja) デジタルid提示の配布および使用のコントロール
ES2553222T3 (es) Seguridad de autentificación 2CHK mejorada con transacciones de consulta
KR101130405B1 (ko) 아이덴티티 인식 방법 및 시스템
US20100251353A1 (en) User-authorized information card delegation
JP2016535902A (ja) 複数のデバイスからデータにアクセスするためのシステム
BRPI0616692A2 (pt) métodos fora de linha para autenticação em um sistema de autenticação cliente/servidor
US12068064B2 (en) Prescription data verification
US20200035339A1 (en) Blockchain security system for secure record access across multiple computer systems
US20110088090A1 (en) Enhancements to claims based digital identities
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
JP2005209181A (ja) ファイル管理システム及び管理方法
CN101601022B (zh) 数字身份表示的供应
Klingelbrunner Datenschutz in SSI Systemen basierend auf Hyperledger Technologie