专利名称:使用生物测定表示来标识令牌的制作方法
使用生物测定表示来标识令牌
背景
个人身份信息帮助服务提供商确保不将商品和服务提供给错误的人,尤其 是在通过诸如因特网等计算机网络的情况下。因为因特网一般是匿名论坛,所 以身份信息对于服务提供商是一个重大问题。例如,通过因特网来进行商务活 动的厂商可能想要通过验证试图购买商品的某人的身份来防止欺诈。类似地,
只针对孩子的web服务的提供商会想要针对可能的成人恋童癖者访问该站点 进行保护。结果,许多厂商和其他服务提供者收集比他们可能需要的更多的信 息以具有尽可能多的参考点以防止欺诈或其他不正当行为。例如,许多网站收 集用户的姓名、地址、电话号码、电子邮件地址以及甚至社会保险号。当面标 识方法通常还需要揭露比所需最少量的信息更多的信息。例如,店主在他能够 可靠地告知顾客超过21岁的情况下将无需知道一个人的姓名、地址、驾照编 号或甚至确切年龄。
同时,许多守法的人正对向厂商或其他中介提供个人信息变得更加警惕。 身份盗窃正变成常见且烦扰的问题,并且各人逐渐想要限制其散布的个人信 息。此外,许多厂商不想收集大量个人信息,因为维护大型个人消费者信息数 据库在发生对该数据库的非授权访问的情况下可导致重大责任。
此外,伪造仍然是一个问题。尽管用于认证物理标识的安全措施己经改进, 但诸如驾照等物理标识文档历来容易遭受重大伪造问题的困扰。使用指纹扫描 仪、虹膜扫描仪、脸部特征识别技术等的自动生物测定标识系统最近已作为针 对伪造的附加安全措施来开发。然而,这些系统依靠依赖方来保存可在某人请 求访问该依赖方时查询的大型生物测定信息数据库(除了个人标识信息之外)。 这导致甚至比在没有生物测定信息测试的情况下散布更多的个人标识信息。
概述
提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的 一些概念。本概述不旨在标识所要求保护的主题的关键特征或必要特征,也不200880015890.6 。
一实施例的一方面涉及一种用于满足访问依赖方的安全策略的方法。该方 法包括通过第一通道来从试图访问依赖方的主体接收身份令牌。该身份令牌包 括可能是关于该主体的个人信息片段的声明,以及诸如照片等该主体的生物测 定表示。该声明和生物测定表示由数字签名来绑定。该方法还包括通过第二通 道来从主体接收生物测定信息,诸如通过发射机应答器捕捉到并基本上实时发 送到依赖方的主体的视频。该方法还包括通过将生物测定信息与生物测定表示 进行比较来确定声明的真实性。这可例如准许依赖方确定身份令牌对其作出特 定声明的人是否是试图访问该依赖方的同一个人。
一实施例的另一方面涉及一种用于发放身份令牌的方法。该方法包括至少 验证关于主体的第一声明。例如,身份提供者可通过审阅一个特定人的驾照和 /或护照来验证这个人是某一年龄。该方法还包括收集诸如照片等主体的生物测 定表示。此外,该方法包括至少部分地通过用数字签名来将生物测定表示和第 一声明绑定在一起来创建身份令牌。
一实施例的又一方面涉及具有用于执行特定步骤的计算机可执行指令的 计算机可读介质。 一个这样的步骤包括向身份提供者请求身份令牌。所请求的
身份令牌至少包括第一声明和主体的生物测定表示以使得这两者由数字签名 来绑定。另一步骤包括通过第一通道来向依赖方发送身份令牌。又一步骤包括 通过第二通道来提供对关于主体的生物测定信息的访问。
其他实施例的其他方面在以下详细描述和所附权利要求书中阐明。
附图描述
现在将对附图做出参考,这些附图不一定是按比例绘制的并且可描述 不旨在限制范围的特定实施例,并且其中
图1示出了包括身份提供者、主体、主体机器和依赖方的数字身份系统的 示例。
图2示出了用于认证的示例方法。
图3示出了身份令牌的示例。
图4示出了另一身份系统的示例。图5示出了可与图4中的系统一起使用的用于认证的示例方法。
图6示出了另一身份系统的示例。
图7示出了可与图6中的系统一起使用的用于认证的示例方法。 图8示出了另一身份系统的示例。
图9示出了可与图8中的系统一起使用的用于认证的示例方法。 详细描述
现将参考附图,在下文更详细地描述各示例实施例。
此处所公开的示例实施例一般涉及身份系统,该系统包括可在主体和依赖 方之间交换以认证关于主体的身份和/或信息的数字身份。在此处的示例实施例 中,主体是一个或多个自然人。依赖方具有商品、服务、或主体期望访问和/ 或获取的其它信息。在各示例实施例中,依赖方可以是需要安全策略来进入、 访问或使用的任何资源、特权或服务。例如,依赖方可包括以下各项中的一个 或多个计算机、计算机网络、数据、数据库、建筑物、人员、服务、公司、 组织、物理位置、电子设备、或任何其它类型的资源。
现在参考图1,示出了包括主体110和依赖方120的示例数字身份系统 100。主体110拥有或控制主体机器111。主体机器111包括至少临时地由主体 控制的计算机系统。依赖方120可包括依赖方机器126。依赖方机器126包括 至少临时地由依赖方120控制的计算机系统。依赖方120还可包括人类操作员 122。
主体110和依赖方120可以通过诸如因特网等一个或多个网络或通过当 面、电话或其它形式的有线或无线通信来彼此通信,如下所述。在各示例实施 例中,主体110可以向依赖方120请求商品、服务、信息、特权或其它访问。 依赖方120在向主体IIO提供所请求的访问之前或结合该提供,可以要求认证 主体110的身份或关于主体110的信息。
图1还示出了示例身份提供者115。身份提供者115包括计算机系统并且 还可包括人类操作员。在各示例实施例中,身份提供者115包括声明变换器130 和声明授权机构140。声明变换器130有时被称为"安全令牌服务"。在所示示 例中,身份提供者115可以提供关于主体110的一个或多个声明。声明是所做出的关于主体的陈述或断言,该陈述或断言涉及主体的身份或关于主体的信 息,诸如例如,姓名、地址、社会保险号、年龄、信用历史等。如将在以下进 一步描述的,身份提供者115能够以经数字签名的安全令牌的形式来向主体
110和/或依赖方120提供声明。在各示例实施例中,身份提供者115与依赖方 120是可信关系,以使得依赖方120信任来自身份提供者115的经签署的身份 令牌中的声明。
尽管身份提供者115的声明变换器130和声明授权机构140在图1中被示 为分开的实体,但在替换实施例中,声明变换器130和声明授权机构140可以 是同一实体或不同的实体。在某些示例实施例中,身份提供者115可以采取安 全令牌服务的形式。
在各示例实施例中,主体IIO、依赖方120和身份提供者115各自可利用 一个或多个计算机系统。此处所描述的计算机系统包括但不限于,个人计算机、 服务器计算机、手持式或膝上型设备、微处理器系统、基于微处理器的系统、 可编程消费电子产品、网络PC、小型机、大型计算机、智能卡、电话、移动 或蜂窝通信设备、个人数据助理、包括上述系统或设备中的任一个的分布式计 算环境等等。此处所描述的某些计算机系统可包括便携式计算设备。便携式计 算设备是被设计成由用户物理地携带的任何计算机系统。每一计算机系统可包 括一个或多个外围设备,包括但不限于键盘、鼠标、摄像机、web摄像头、 摄影机、指纹扫描仪、虹膜扫描仪、诸如监视器等显示设备、话筒或扬声器。 每一个计算机系统都包括易失性和非易失性计算机可读介质中的一个或多个。
计算机可读介质包括以用于储存诸如计算机可读指令、数据结构、程序模块或 其它数据等信息的任一种方法或技术实现的存储介质以及可移动和不可移动 介质。该计算机系统还包括通信介质,该通信介质通常具体化为诸如载波或其 它传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其 它数据,并包括任何信息传送介质。通信介质包括诸如有线网络或直线连接这 样的有线介质,以及诸如声学、RF、红外和其它无线介质这样的无线介质。以 上的任何组合也应包括在计算机可读介质的范围内。
每一计算机系统包括诸如(但不限于)来自微软公司的WINDOWS操作 系统等操作系统,以及存储在计算机可读介质上的一个或多个程序。每一计算机系统还可包括允许用户与计算机系统通信以及允许计算机系统与其它设备 通信的一个或多个输入和输出通信设备。主体no所使用的计算机系统(例如, 主体机器111)、依赖方120 (例如,依赖方机器126)和身份提供者115之间 的通信可以使用任何类型的通信链路来实现,包括但不限于,因特网、广域网、 内联网、以太网、直接线路径、卫星、红外扫描、蜂窝通信、或任何其它类型 的有线或无线通信。
在此处所公开的某些示例实施例中,系统100至少部分地被实现为在华盛 顿州雷蒙德市的微软公司所开发的.NET 3.0框架中所提供的信息卡系统。该信 息卡系统允许主体管理来自各种身份提供者的多个数字身份。
该信息卡系统利用诸如.NET 3.0框架中的Windows通信框架等web服务 平台。此外,该信息卡系统是使用至少部分地由华盛顿州雷蒙德市的微软公司 推广的web服务安全规范来构建的。这些规范包括消息安全模型WS-Security、 端点策略WS-SecurityPolicy、元数据协议WS-MetadataExchange、以及信任模 型WS-Trust。 一般而言,WS-安全模型描述了如何将身份令牌附加到消息。 WS-安全策略模型描述了端点策略要求,如所需身份令牌和所支持的加密算 法。这些策略要求可以使用WS-元数据交换定义的元数据协议来传达和协商。 WS-信任模型描述了允许不同web服务互操作的信任模型的框架。此处所述的 某些示例实施例参考了上述web服务安全规范。在替换实施例中,可使用一个 或多个其它规范来方便系统100中的各种子系统之间的通信。
再次参考图1,主体110可以经由主体机器110向依赖方120发送访问商 品、服务或其它信息的请求。例如,在一个实施例中,主体机器lll向依赖方 120发送访问来自依赖方120的、主体110所需的信息的请求。主体机器110 发送的请求可包括对依赖方120的使用例如WS-元数据交换中提供的机制的认 证要求的请求。
响应于该请求,依赖方120可以向主体机器111发送依赖方120认证主体 的身份或关于主体110的其它信息的要求。依赖方120的认证要求此处被称为 安全策略。安全策略定义了来自可信身份提供者115的声明集,主体110必须 向依赖方120提供该声明集以供依赖方120认证主体110。安全策略可包括关 于个人特征(如年龄)、身份、财务状况等的证明的要求。它还可包括关于认
9证任何证明提供(例如,来自特定身份提供者的数字签名)所需的验证和认证 等级的规则。
在一个示例中,依赖方120使用WS-安全策略来指定其安全策略,包括依
赖方120所需的声明要求和身份令牌的类型。声明类型的示例包括但不限于以
下各项名、姓、电子邮件地址、街道地址、地区名或城市、州或省、邮政编 码、国家、电话号码、社会保险号、生日、性别、个人标识号、信用得分、财 务状况、法律状况等等。
安全策略也可用于指定依赖方120所需的身份令牌的类型,或可使用身份
提供者所确定的默认类型。除了指定所需声明和令牌类型之外,安全策略还可 指定依赖方所需的特定身份提供者。或者,该策略可省略该元素,从而将对适
当身份提供者的确定留给主体110。也可在安全策略中指定其它元素,诸如,
例如所需安全令牌的新鲜度。
在某些实施例中,主体110可以要求依赖方120向主体机器111标识其自 身以使主体110能决定是否满足依赖方120的安全策略,如以下所描述的。在 一个示例中,依赖方120使用X509证书来标识其自身。在其它实施例中,依 赖方120可以使用诸如,例如安全套接字层("SSL")服务器证书等其它机制 来标识其自身。
主体机器111可包括主体110的一个或多个数字身份。这些数字身份(在 华盛顿州雷蒙德市的微软公司开发的.NET 3.0框架中提供的Windows Cardspace系统中有时称为"信息卡")是表示主体110和诸如身份提供者115 等特定身份提供者之间的令牌发放关系的人工产物。每一数字身份都可对应于 一特定身份提供者,且主体110可具有来自相同或不同身份提供者的多个数字 身份。在身份系统中对数字身份的使用在美国专利申请11/361,281号中有详细 描述,该申请如同在此完整阐述一样通过引用结合于此。
数字身份可包括身份提供者对于身份令牌的发放策略以及其它信息,该发 放策略包括可被发放的令牌的类型、该身份提供者对其具有权威的声明类型、 和/或在请求身份令牌时要用于认证的凭证。数字身份可被表示为由身份提供者 115发放并由主体110存储在诸如主体机器111等存储设备上的XML文档。
主体机器111还可包括身份选择器。 一般而言,身份选择器是准许主体110在主体机器111上的主体110的一个或多个数字身份之间进行选择以从诸
如身份提供者115等一个或多个身份提供者请求并获得身份令牌的计算机程序和用户界面。例如,当主体机器111接收到来自依赖方120的安全策略时,身份选择器可被编程为使用数字身份中的信息来标识满足安全策略所需的一个或多个声明的一个或多个数字身份。 一旦主体110接收到来自依赖方120的安全策略,主体110可与一个或多个身份提供者(例如使用主体机器lll)通信以收集该策略所需的声明。
在各示例实施例中,主体110使用WS-信任中所描述的发放机制来向身份提供者115请求一个或多个身份令牌。在各示例实施例中,主体110将依赖方120的策略中的声明要求转发给身份提供者115。依赖方120的身份能够,但不一定在主体110发送给身份提供者115的请求中指定。该请求也可包括其它要求,诸如对显示令牌的请求。在各示例实施例中,依赖方120的安全策略包括返回给依赖方120的身份令牌包括主体110的生物测定表示158的要求。如此处所使用的,生物测定表示158包括主体或关于主体的任何记录或存储的生物测定数据,包括照片、视频记录、语音记录、指纹、虹膜扫描等。在各示例实施例中,主体110的生物测定表示158由身份提供者115来捕捉或收集。
一般而言,身份提供者115的声明授权机构140可以提供来自依赖方120的安全策略所需的一个或多个声明。身份提供者115的声明变换器130被编程为变换声明并生成包括主体110的声明和生物测定表示158的一个或多个经签署的身份令牌150。
如上所述,主体110可以基于来自依赖方120的要求在其对身份提供者115的请求中以特定格式请求身份令牌。声明变换器130可被编程为以多种格式中的一种来生成身份令牌,这些格式包括但不限于,X509、 Kerberos、 SAML(1.0禾卩2.0版)、简单可扩展身份协议("SXIP,,)等等。
例如,在一个实施例中,声明授权机构140被编程为以第一格式A生成声明,而依赖方120的安全策略要求第二格式B的身份令牌。声明变换器130在将身份令牌发送给主体110之前可将来自声明授权机构140的声明从格式A变换成格式B。另外,声明变换器130可被编程为细化特定声明的语义。在各示例实施例中,变换特定声明的语义以最小化特定声明和 或身份令牌中提供的信息量,以减少或最小化给定声明所传达的个人信息量。
声明变换器130还数字签名来将声明和生物测定表示158绑定在一起。如
此处所使用的,数字签名指的是经由加密来将各数字信息片段绑定在一起的任何加密过程、算法、方法或系统的结果。数字签名算法和系统的一个示例包括
但不限于,公钥基础结构(PKI)系统。
在各示例实施例中,声明变换器130使用WS-信任中所描述的响应机制将身份令牌150转发给主体110。在一个实施例中,声明变换器130包括安全令牌服务(有时称为"STS")。在一示例实施例中,主体110通过使用WS-安全中所描述的安全绑定机制将身份令牌150绑定到应用程序消息来通过第一通道175来将身份令牌150转发给依赖方120。在其它实施例中,身份令牌150可以直接从身份提供者115发送到依赖方120。在任一种情况下,身份令牌150经由第一通道175来发送到依赖方120。通道将在以下进一步讨论。
一旦依赖方120接收到身份令牌150,依赖方120就可验证经签署的身份令牌150的来源(例如,通过对身份令牌150解码或解密)。依赖方120还可利用身份令牌150中的声明来满足依赖方120认证主体110的安全策略。依赖方120还可使用身份令牌150中所包括的生物测定表示158来认证主体110,如下所述。
身份系统100还包括依赖方120用于从主体110接收生物测定信息179的第二通道180。生物测定信息179包括可通过通信链路经由发射机应答器来传输或通过当面观察而观察到的主体的任何生物测定特性,包括视觉特征(头发和眼睛颜色、身高、体重、外表年龄等)、听觉特征(主体语音的声音)或者手动/机器检査的特征(指纹、虹膜特性等)。在一示例实施例中,主体机器111可配备从主体110捕捉生物测定信息179的发射机应答器112。例如,发射机应答器112可以是可捕捉可传送到依赖方120的主体110的视频的web摄像头。发射机应答器112还可包括话筒、虹膜扫描仪、指纹扫描仪或足以捕捉生物测定信息179的任何其他设备。生物测定信息179可经由与用于发送令牌150的第一通道175不同的第二通道从发射机应答器112传送到依赖方120。
如此处所使用的,"通道"指的是依赖方120收集和接收所述信息的方式。身份系统100中不同通道之间的区别是逻辑区别。两个不同通道可采用同一物理或电子通信链路中的某一些或全部,或采用完全不同的路径。例如,身份令牌150可通过与主体视频相同的通信链路(例如,因特网)来发送,但通道在逻辑上是不同的(例如,身份令牌是源自身份提供者的存储的表示,主体视频
是通过发射机应答器捕捉到的实况信息)。在另一示例实施例中,第一通道175是电子通信链路,而第二通道180是面对面观察。
在示例实施例中,依赖方120可包括人类操作员,其可审阅身份令牌150中的生物测定表示158和通过第二通道180接收到的生物测定信息179两者。如果生物测定表示158和生物测定信息179充分匹配,则在依赖方120处的人类操作员可认证主体110和身份令牌150中所包含的声明并准许访问依赖方120。 一旦认证完成,依赖方120就可提供对主体110所请求的商品、服务或其他信息的访问。
现在参考图2,示出了示例方法200。在操作205,身份提供者验证关于主体的第一声明。例如,主体可向身份提供者(诸如银行或政府机构)处的人类操作员呈现物理文档(例如,驾照、护照等)以证实诸如主体的生日等声明。身份提供者还可验证第二声明207,诸如主体的社会保险号。身份提供者然后收集主体的生物测定表示210。例如,身份提供者可拍摄主体的照片或视频。或者,不作限制,身份提供者可要求主体提供语音样本或进行指纹扫描或虹膜扫描。身份提供者然后可存储生物测定表示以及包括该第一和第二声明的数据两者。
在操作220,请求身份提供者提供具有数字地签署在一起的第一声明和生物测定表示的身份令牌。可能不请求身份提供者包括第二声明。身份提供者创建具有生物测定表示和第一声明的身份令牌230并数字地签署该身份令牌中的信息。在某些示例实施例中,身份提供者可在请求身份令牌220之前创建身份令牌230。
在操作240,通过第一通道来将身份令牌发送到依赖方。例如,身份提供者可将身份令牌发送到主体,该主体将该身份令牌转发给依赖方。在另一示例实施例中,主体可指示身份提供者直接将身份令牌发送到依赖方。依赖方通过第一通道来接收包括生物测定表示和第一声明的身份令牌245。
因为身份令牌已由与依赖方是可信关系的身份提供者数字地签署,所以依
13赖方可确保第一声明对于生物测定表示所表示的人是真实的。然而,在没有验证试图访问依赖方的人是生物测定表示中所表示的同一个人的情况下,依赖方不能肯定没有犯下欺诈。例如,如果作恶者获取对其他人的数字身份及任何相关联的口令的访问权,则依赖方将无法验证它正向正确的人提供访问。
在操作250,通过第二通道来向依赖方提供对生物测定信息的访问。例如,
主体可通过打开将捕捉该主体的视频的web摄像头来向依赖方提供对生物测定信息的访问。在其他示例实施例中,主体可进行语音测试、虹膜扫描、指纹扫描、当面检查或其他生物测定测试或检査。依赖方通过第二通道来获取生物测定信息255。例如,在生物测定信息是主体的视频的情况下,该生物测定信息可由依赖方通过在监视器上显示主体的视频以供依赖方处的人类操作员査看来获取。操作250和255中的任一个可在操作240和245之前、之后或与其并行执行。
在操作260,依赖方至少部分地通过将生物测定表示与生物测定信息进行比较来确定第一声明的真实性。在一示例实施例中,生物测定信息是照片,生物测定信息是视频,而第一声明是主体超过21岁。在该示例中,依赖方可例如比较视频和照片以证实身份提供者将其验证为超过21岁的同一个人就是当前试图访问依赖方的人。
图3示出了身份令牌150的示例实施例。身份令牌150可包括计算令牌152和显示令牌154。计算令牌152包括由身份提供者115以加密格式提供的声明和生物测定表示。声明变换器130以可由依赖方120理解(即,解密)的加密格式来生成计算令牌152。在示例实施例中,计算令牌包括关于主体110的第一声明156和主体110的生物测定表示158两者。
声明变换器130还可生成显示令牌154。 一般而言,显示令牌154至少包括身份令牌150的计算令牌152中所包括的声明的概述以及主体110的生物测定表示158。例如,在某些实施例中,显示令牌154包括计算令牌152中所包括的所有声明的列表加上主体110的照片。显示令牌154能够以可由主体110(例如,使用主体机器111)和/或依赖方120 (例如,使用依赖方机器126)审阅的格式来生成。
在某些实施例中,包括计算令牌152的身份令牌150根据SAML标准来发放。例如,身份令牌150可根据SAML 1.1或SAML2.0标准来发放。也可 使用其他标准,诸如,作为示例而非限制,X.509证书和Kerberos权证。
另外,身份令牌150可由声明变换器130使用已知算法来密码地签署或背 签以创建数字签名159。作为示例而非限制,在一个实施例中,使用2048位非 对称Rivest-Shamir-Adleman ("RSA")密钥。在其他实施例中,可使用其他加 密算法,诸如例如,高级加密系统("AES")对称加密密钥。在一个实施例中, 默认使用对称密钥。以此方式,在所示示例中, 一方,诸如依赖方120可密码 地验证身份令牌150源自身份提供者115。
在示例实施例中,身份令牌150通过数字地签署来自身份提供者的、包含 计算令牌152和显示令牌154两者的整个响应消息来密码地背签。以此方式, 第一声明156和生物测定表示158被密码地绑定在一起,如同计算令牌152绑 定到显示令牌154那样。另外, 一方,诸如依赖方120可密码可验证第一声明 156和生物测定表示158由身份提供者115来链接并且未受损。
现在参考图4,示出了示例身份系统400。在该非限制性示例中,主体机 器111包括个人计算机113和诸如web摄像头等发射机应答器112。资源120 包括依赖方机器126 (在该案例中是web服务器),人类操作员122和监视器 121。身份提供者115包括声明变换器130、声明授权机构140和标识信息存储 116。主体机器111、依赖方120和身份提供者115在该示例中全都通过因特网 来进行通信。
现在参考图5,示出了参考图4所示的示例系统400和图3所示的示例身 份令牌的示例方法500。在该示例中,主体110试图访问依赖方120处的受限 网站。依赖方120具有安全策略,该安全策略要求请求访问的一方必须在18 岁以下(例如,访问只有孩子的聊天室)并且必须提供(a)来自身份提供者 115的、包括主体的照片和该主体在18岁以下的经验证的声明的身份令牌;以 及(b)传送到依赖方的主体的实况视频。
根据上述非限制性示例,主体110向身份提供者115提供505数据以证实 第一声明156。例如,主体可以是在校学生,而该学校在该案例中可以是身份 提供者115。该学生可向学校代表呈现他或她自己以及会包括他/她的生日的标 识文档。身份提供者115然后捕捉主体110 (在该案例中是学生)的生物测定表示。在该示例中,学校代表可拍摄该学生的照片。身份提供者115然后至少 将生物测定表示和支持第一声明156的信息(在该案例中是学生的照片和生日)
存储在身份信息存储116中515。在该示例中,操作505、 510和515可在身份 提供者115完成身份令牌150之前的任何时刻完成。
当主体110准备访问依赖方120时,主体110请求访问依赖方120处的所 需网页520。这可经由HTTP/GET来完成。依赖方机器126确定对所请求的页 面的访问是否是受限的525。如果不是,则经由例如HTTP/POST来向个人计 算机113上的因特网浏览器发送cookie和浏览器重定向530,并准许主体访问 该网页。如果该网页是受限的,则依赖方机器126向主体机器111发送适用的 安全策略535并将个人计算机113处的浏览器重定向到登录页面。个人计算机 113用对该登录页面的HTTP/GET来响应,并且依赖方机器126将该登录页面 发送到个人计算机113。
该登录页面可包括调用该个人计算机上的信息卡应用程序的HTML标签。 例如,如果个人计算机113来利用可从华盛顿州雷蒙德市的微软公司购买到的 Windows CardSpace系统,则来自依赖方机器126的HTML标签可调用个人计 算机113上的Windows CardSpace的实例。然后将提示主体110从将满足由依 赖方机器126转发的安全策略的存储的信息卡中进行选择。
个人计算机113将安全策略转发540给身份提供者115并要求身份令牌 150遵守该安全策略。在该示例中,要求身份令牌包含与主体110小于18岁的 声明数字地签署在一起的主体110的照片。如果主体采用Windows CardSpace, 则这通过选择信息卡来完成,从而使得个人计算机113经由诸如至少由华盛顿 州雷蒙德市的微软公司传播的WS-元数据交换和WS-信任等身份元系统协议 来向身份提供者115请求令牌。
身份提供者115创建545身份令牌150,包括数字地签署主体110的生物 测定表示158和第一声明156。在该示例中,身份提供者115的声明授权机构 140访问身份提供者存储116,创建计算令牌152,该计算令牌至少包括学生的 照片以及该学生的生日的声明。声明变换器然后可将关于学生生日的信息变换 成更具体且较少泄露的声明以满足依赖方机器126的安全策略。例如,声明授 权机构140可被编程为提供主体110的实际生日的声明(例如,"生日=1995年1月1日")。当该声明被提供给声明变换器130时,声明变换器130将该
声明的语义从主体110的实际生日变换为主体110在18岁以下的声明(例如, "年龄< 18=真")。以此方式,当该声明被打包到身份令牌150中时,较少 的关于主体110的个人信息与依赖方120共享,同时仍满足依赖方120的要求。
身份提供者115然后数字地签署该令牌以使得其中所包含的信息片段(例 如,计算令牌152、显示令牌154、生物测定表示158和第一声明156)无法彼 此分离。身份提供者115然后发送550令牌150。在该示例中,身份提供者115 将令牌150发回到个人计算机113,该个人计算机经由第一通道175将令牌150 转发到依赖方机器126 (例如,经由HTTP/POST)。在某些示例实施例中,主 体110可被准许在决定是否向依赖方机器126发送令牌150之前审阅令牌150 的内容,由此向主体110提供对他/她的个人信息的散布的更多控制。在其他示 例实施例中,主体110可指示令牌经被直接发送到依赖方机器126或由个人计 算机113自动转发而不由主体110审阅。依赖方机器126解码令牌150以访问 第一声明和生物测定表示555。
还提示主体110通过第二通道180来向依赖方提供生物测定信息179。在 该示例中,生物测定信息179包括经由web摄像头等发射机应答器112捕捉到 的主体110的实况视频订阅源。可例如经由到依赖方机器126上的受限网页的 登录页面来提示主体对依赖方120启动实况视频订阅源。主体110然后通过例 如打开他/她的发射机应答器112以启动视频订阅源来准许565依赖方120访问 生物测定信息179。
依赖方120然后经由第二通道180获取570生物测定信息179。在该示例 实施例中,依赖方120包括具有从发射机应答器112接收视频订阅源的监视器 121的人类操作员122。生物测定信息179可通过由个人计算机112和依赖方 机器126使用的相同的因特网连接或通过不同的通信链路来从发射机应答器 112发送到监视器121。另外,监视器121可通过依赖方机器126或适用于接 收发射机应答器112所传播的生物测定信息179的任何其他设备来从发射机应 答器112接收生物测定信息179。在其他示例实施例中,操作560、 565和570 中的部分或全部可在操作535、 540、 545、 550和555之前、之后或与其并行 执行。
17在图4和5所示的实施例中,第一通道175和第二通道180可共享主体机 器111和依赖方机器126之间的相同的通信链路。例如,安全令牌150可由主 体机器111通过因特网经由第一通道175来发送到依赖方机器126。类似地, 生物测定信息179可至少部分地通过主体机器111和依赖方机器126之间的相 同的因特网连接来传送。然而,第一通道175和第二通道180仍然是不同的。 例如,第一通道175是安全令牌150中所包含的数字信息的管道,该管道源自 身份提供者115并经由主体机器111 (该示例中)通往依赖方机器126。相反, 第二通道180使用发射机应答器来捕捉通过因特网传送到依赖方机器126的基 本上实时的生物测定信息179。
作为进一步的安全步骤,为了确保主体110提供基本上实况生物测定信息 179 (而不是已记录的关于其他人的信息),依赖方120可要求主体IIO执行 某一非预期动作。例如,人类操作员122可告知主体110 (通过话筒/扬声器连 接、即时消息会话等)抬起他/她的右臂。如果主体110以及时的方式执行该动 作,则依赖方120对生物测定信息179是基本上实时提供的具有更高的置信度。
在操作575,依赖方120确定身份令牌150中所包含的生物测定表示158 是否充分匹配由该依赖方获取的生物测定信息179。在所述示例中,人类操作 员122将身份令牌中的学生照片与主体110的视频进行比较。如果该照片不匹 配视频订阅源中的人,则人类操作员122拒绝访问580。如果生物测定信息179 和生物测定表示158的确充分匹配,则依赖方120确定身份令牌150中所包含 的第一声明是否足以满足依赖方120的安全策略585。在上述示例中,依赖方 120确定第一声明156是否确认主体110在18岁以下。如果是,则授权访问 590。否则,拒绝访问580。对第一声明是否满足依赖方120的安全策略的确定 可由依赖方机器126 (通过解码计算令牌152)来自动完成或由人类操作员122 (通过审阅显示令牌154)来完成或以其他方式完成。在其他实施例中,操作 585和575可以按不同的次序或彼此并行发生。
另外,其他示例实施例可包括供依赖方机器126的其他用户拒绝对主体 IIO的访问的能力。例如,主体110试图根据上述方法500来访问由依赖方机 器126主存的聊天室。然而,在该示例中,依赖方120不包括人类操作员122。 相反,如果第一声明156满足安全策略(例如,他/她在18岁以下),则主体110被准许访问由依赖方机器126主存的聊天室。主体110的生物测定表示158 (例如,身份令牌150中所包含的他./她的照片)被显示在该聊天室中。另外, 该聊天室的其他用户可查看经由发射机应答器112捕捉到的主体110的生物测 定信息179 (例如,视频)。如果该聊天室的另一用户注意到生物测定信息179 不匹配生物测定表示158,则可向该另一用户提供终止或拒绝主体110对该聊 天室的访问的能力。以此方式,无需人类操作员122,并且依赖方120利用该 依赖方120中的社区来执行生物测定信息179和生物测定表示158之间的比较。 现在参考图6,示出了另一示例身份系统600。在该示例中,主体机器lll 包括存储由身份提供者115提供的令牌150的存储114。在该示例中,主体机 器111包括智能卡或其他便携式计算设备。该非限制性示例中的依赖方120是 提供受限服务的物理场所。依赖方120包括人类操作员122和依赖方机器126。 依赖方机器126可以是执行此处所阐述的任务所必需的任何计算设备,诸如个 人计算机,包括诸如监视器、扫描仪、红外通信能力等外围设备,等等。在该 示例中,第二通道180包括依赖方120为收集生物测定信息179而对主体110 的当面观察。
图7示出了参考图6的示例身份系统600和图3的示例身份令牌的示例方 法。在该非限制性示例方法中,主体110是希望从依赖方120购买酒精饮料的 人。依赖方120是酒类商店,包括人类操作员122 (例如,销售员工)。主体 110首先必须向身份提供者115验证他/她超过21岁。这可例如在主体110试 图从依赖方120购买酒精饮料之前的任何时刻完成。主体110向身份提供者115 提供数据以证实其他/她超过21岁的声明。在该示例中,身份提供者可以是政 府代理机构,并且所提供的验证数据可包括驾照或护照。
在操作715,身份提供者115捕捉主体110的生物测定表示158。在该示 例中,生物测定表示158是主体110的照片。身份提供者115然后创建720身 份令牌150,包括以上述方式数字地签署第一声明156(例如,年龄>21=真) 和生物测定表示158。在该示例中,甚至在依赖方120请求它之前创建身份令 牌720。另外,将身份令牌150存储在主体机器111 (在该示例中是智能卡) 上725。在某些示例实施例中,由主体IIO提供的身份令牌150、验证数据、 生物测定表示都并非由身份提供者115来存储。相反,在该示例中,身份令牌只存在于主体机器lll上。因为主体机器111在主体110的控制下,所以主体 110可理解他/她的个人信息不是其他人的个人信息的中央数据库的一部分。另 外,可加密主体机器lll上所包含的任何声明信息以访问其他人访问。即使其 他人访问过令牌150中的声明信息,因为声明已被数字地签署到主体110的照 片,所以这些声明对于利用此处所阐述的验证方法的任何依赖方都将会是无用 的。
主体110请求访问730依赖方120。在当前示例中,主体110请求从依赖
七1 ,A mfi ^T、、/Tfff姓^^ Ji,f rVi^匕+ /t^fe七1 ,八r^rt +1 1 A 士曰乂it廿^人站m夂72《 允
该示例中,依赖方120的安全策略可包括要求主体110向依赖方120提供来自 身份提供者115的、包括(a)主体110的年龄足够的声明;以及(b)诸如照片等 主体110的生物测定表示158的身份令牌150。主体110然后通过第一通道 175来向依赖方120提供740来自主体机器111的身份令牌150。在该示例中, 第一通道175包括主体机器111和依赖方机器126之间的操作连接(直接或无 线)。这可包括将智能卡(主体机器111)连接(直接或无线)到依赖方机器 126。例如,依赖方机器126可包括外围智能卡阅读器。然后通过依赖方机器 126上的用户界面来提示主体110选择存储在主体机器111上的身份令牌。主 体110选择适当的身份令牌150并将该身份令牌发送到依赖方机器126。在示 例性实施例中,将身份令牌发送到依赖方机器还可包括允许依赖方机器从身份 令牌在主体机器111上的位置访问该身份令牌。依赖方机器126然后解码并显 示745 (例如,在附连到依赖方机器126的监视器上)令牌150以使得人类操 作员122能够看见生物测定表示158 (例如,主体110的照片)。
主体110还通过第二通道180来向依赖方120提供对生物测定信息179 的访问750。在该案例中,第二通道180是对主体110的当面观察,并且主体 110通过物理地出现在依赖方120的场所来提供该访问。依赖方120获取755 关于主体110的生物测定信息179。在该示例中,人类操作员122当面査看主 体110。在其他实施例中,依赖方120可通过要求主体110例如说话或使他/ 她自己进行指纹扫描或虹膜扫描来收集关于主体110的生物测定信息179,这 取决于依赖方必须针对什么生物测定表示来进行比较。步骤750或755中的任 一个可在步骤745之前、之后或与其并行发生。依赖方120确定生物测定信息179和生物测定表示158是否匹配760。在 该示例中,人类操作员122 (例如,酒类商店处的员工)确定物理地在该商店 中的主体110是否是与身份令牌150包括在一起的照片中所描绘的同一个人。 如果不是,则依赖方拒绝主体IIO访问765 (例如,员工拒绝将酒类卖给主体 110)。如果在生物测定信息179和生物测定表示158之间存在匹配,则依赖 方120确定第一声明156是否满足依赖方120的安全策略770。如果是,则授 权主体110访问780 (例如,购买酒精饮料的能力)。如果否,则拒绝访问775。 在其他实施例中,操作760和770可以按不同的次序或彼此并行发生。
尽管对主体110的身份的原始验证仍然可能受到呈现给身份提供者115 的伪造文档的损害,但如果身份提供者115比依赖方120更善于验证诸如护照 和驾照等文档,则该系统的总体可靠性仍然得到了提高。例如,图6和7所描 述的系统和方法消除了对依赖方120的人类操作员(例如,酒类商店处的员工) 识别这些伪造文档的需求。
在另一示例实施例中,生物测定表示158可包括指纹扫描、虹膜扫描、语 音样本或来自主体110的其他生物测定数据。在这些情况下,通过第二通道180 收集到的生物测定信息179将相应地改变。例如,如果在图6和7所示的示例 实施例中生物测定表示158包括指纹扫描,则人类操作员122可要求主体110 将他/她的手指放在作为依赖方机器126的一部分的指纹扫描仪上。在这种情况 下,生物测定信息179是人类操作员122所收集到的指纹扫描,并且生物测定 信息179和生物测定表示158之间的比较可由依赖方机器126来执行。在身份 提供者115收集其他类型的生物测定表示158的情况下,也构想对生物测定信 息179的收集的相关改变。
在另一实施例中,依赖方120可包括自动售货机。例如,销售酒精饮料的 自动售货机仍将需要试图购买酒精饮料的主体110的年龄足够的证明。在该示 例性实施例中,人类操作员122无需物理地出现在自动售货机处。相反,依赖 方120的自动售货机可配备将生物测定信息179传送到人类操作员122的显示 设备的摄像头或其他发射机应答器。以此方式,人类操作员122可从一中央位 置为多个自动售货机服务。在该实施例中,依赖方120的自动售货机可担当以 所述方式接收并解码身份令牌150的依赖方机器126。参考图6和7描述的系统和方法在声明的主题是静态信息片段(例如,年 龄、性别等)时最有用,因为主体可使这一数据由身份提供者来验证一次并在 主体机器上携带包括该声明的令牌。换言之,该声明将永不过时。然而,对于 更易变的信息,需要更新验证。例如,假设依赖方具有要求主体证明他/她具有 超过特定最小值的信用得分的安全策略。因为信用得分随时间改变,所以对于 主体而言存储具有关于他/她的信用得分的声明的身份令牌以供以后使用可能 不够。然而,对于依赖方而言具有对生物测定表示/生物测定信息比较的附加保 证仍将有用。另外,主体仍将发现控制诸如他/她的信用得分等个人信息的散布
的能力是有益的。参考图8和9示出的系统和方法对于所述情形特别有用。
现在参考图8,描述了另一示例身份系统800。身份提供者115包括标识 信息存储116。主体110同样控制或拥有主体机器111。主体机器111在该非 限制性示例中可以是便携式计算设备,诸如具有存储和计算能力的智能卡。依 赖方120包括依赖方机器126和人类操作员122。
现在参考图9,参考图8所示的系统和图3的示例身份令牌描述示例方法 900。在该示例中,依赖方120是诸如汽车经销商等具有物理场所的销售商。 人类操作员122是依赖方雇员,诸如财务专员。为了从依赖方120购买汽车, 根据依赖方的安全策略,主体110必须证实他/她的信用得分超过特定最小值。 主体110向身份提供者115呈现数据910。在该示例中,主体110呈现给 身份提供者115的数据不一定是将会是安全令牌中的声明的主题的相同信息。 例如,主体110可向身份提供者115呈现标识信息以允许身份提供者115在某 一稍后时刻对主体110进行信用检査。身份提供者115将由主体IIO提供的信 息存储在身份提供者存储116中920。身份提供者115还以上述方式捕捉930 主体110的生物测定表示158。出于该示例的目的,生物测定表示158是主体 IIO的照片。
身份提供者110然后向主体110和/或主体机器111提供940身份令牌存 取码119。例如,身份提供者115可向主体110提供个人标识号(PIN),主 体IIO稍后可响应于依赖方的安全策略使用该PIN来获取身份令牌。身份提供 者115还可向主体机器111提供身份令牌存取码119以便电子地存储在存储 114中,以使得主体IIO无需稍后记住身份令牌存取码119。
22步骤910、 920、 930和940可在主体110请求950访问依赖方120之前的 任何时刻执行。在该示例中,请求访问950包括主体IIO试图从依赖方120(汽 车经销商)购买汽车。依赖方120向主体110提供其安全策略955。在该示例 中,依赖方120要求来自诸如身份提供者115等身份提供者的身份令牌150, 该身份令牌包括(a)主体110的生物测定表示158,以及(b)主体110具有超 出定义的最小值的信用评级的第一声明156。
主体110向身份提供者115提供身份令牌存取码119 (例如,PIN)。这 可直接或通过依赖方机器126来完成。例如,主体110可经由电话连接来呼叫 身份提供者115的代表并口头提供身份令牌存取码119。或者,主体机器111 可发起与身份提供者115的通信(例如,在主体机器111具有无线通信能力的 情况下)。在又一些实施例中,依赖方120可将访问提供给依赖方机器126, 在那里主体UO可键入他的身份令牌存取码119或者可从主体机器111中读取 /扫描身份令牌存取码119(例如,通过依赖方机器126中所包括的红外扫描仪)。 在某些实施例中,主体机器lll可存储若干信息卡;当主体机器lll由依赖方 机器126来扫描时,启动准许主体110选择包含身份提供者115所发放的身份 令牌存取码119的信息卡的用户界面。依赖方机器126然后被编程为使用身份 令牌存取码119来向身份提供者115请求身份令牌150。
在接收到身份令牌存取码119后,身份提供者115创建965身份令牌150。 在该示例中,身份提供者115使用在步骤920处存储的信息来证实第一声明 156,即,主体110具有超过预定最小值的信用得分。例如,身份提供者115 可使用在步骤920处存储的标识信息来访问第三方征信代理机构处的信用历史 文件。或者,如果身份提供者115是征信代理机构,则身份提供者115可直接 计算主体110的信用得分。在验证主体IIO具有超过预定最小值的信用得分后, 身份提供者115将该第一声明156绑定到在步骤930处捕捉到的生物测定表示 158以便以上述方式创建身份令牌150。在这种情况下,身份令牌150中所包 括的第一声明156可以是简单陈述信用得分 > 最小值。以此方式,主体110 无需向依赖方120泄露他/她的确切信用得分或者关于该信用得分的底层交易 中的任一个。身份令牌150由身份提供者115数字地签署以便将第一声明156 和生物测定表示绑定在一起。来接收身份令牌150。身份令牌150可在 依赖方机器126或主体机器111处接收。然后解码975身份令牌150以显示生 物测定表示158和第一声明156的内容。如果身份令牌150在依赖方机器126 处接收到970 (如图所示),则依赖方机器126可解码该令牌以供人类操作员 122使用975。或者,如果身份令牌150在主体机器111处接收到970,则主体 机器111可自己解码975身份令牌150或将该身份令牌150传递给依赖方机器 126。例如,主体机器111可经由无线通信链路来接收身份令牌150,将该身份 令牌150传递给解码身份令牌150的依赖方机器126 (例如,经由红外扫描)。
主体110还通过第二通道180来向依赖方120提供对生物测定信息179 的访问980。在该案例中,第二通道180是对主体110的当面观察,并且主体 110通过物理地出现在依赖方120的场所来提供该访问980。依赖方120在该 示例中通过人类操作员122当面观察主体110来收集985主体110的生物测定 信息179。在其他实施例中,依赖方120可通过要求主体110例如说话或使他/ 她自己进行指纹扫描或虹膜扫描来收集关于主体110的生物测定信息179,这 取决于依赖方120必须针对什么生物测定表示158来进行比较。步骤980和985 可在步骤950、 955、 960、 965、 970和975中的任一个之前、之后或与其并行 发生。
依赖方120确定生物测定信息179和生物测定表示158是否匹配990。在 该示例中,人类操作员122 (例如,汽车经销商处的财务专员)确定物理地在 经销商店中的主体110是否与身份令牌150包括在一起的照片中所描绘的同一 个人990。如果不是,则依赖方120拒绝主体IIO访问992 (例如,该财务专 员拒绝允许主体110购买汽车)。如果在生物测定信息179和生物测定表示158 之间存在匹配,则依赖方120确定第一声明156是否满足依赖方120的安全策 略995。如果是,则授权主体IIO访问997 (例如,购买汽车的能力)。如果 否,则拒绝访问992。在其他实施例中,操作990和995可以按不同的次序或 彼此并行发生。
尽管此处所示的各示例实施例示出了由身份提供者转发给主体并且然后 转发给依赖方的身份令牌,但在替换实施例中,该身份令牌可直接从身份提供 者转发至依赖方。例如,在某些实施例中,包括计算令牌(以及可能的显示令牌)的一个身份令牌可被转发给依赖方,而包含显示令牌(以及可能的计算令 牌)的另一身份令牌可被转发给主体。其他配置是可能的。
尽管此处所示的各示例实施例示出了只要求单个声明和由一个身份提供 者发放的单个身份令牌的安全策略,但在其他实施例中, 一策略可要求多个声 明,并且一个或多个身份提供者可发放具有一个或多个声明的一个或多个身份 令牌以满足该策略。
尽管所示的各示例实施例利用人来执行生物测定信息和生物测定表示之 间的比较,但在其他实施例中,可使用用于生物测定信息和生物测定表示之间 的计算机比较的系统和方法。例如,可使用指纹、虹膜扫描和脸部特征技术来
执行生物测定表示和生物测定信息之间的比较。
上述各实施例仅作为说明提供,并且不应被解释为限制。本领域的技术人 员将容易地认识到可对上述各实施例做出的各种修改和改变,而不背离本发明 或所附权利要求的真实精神和范围。
2权利要求
1.一种满足安全策略的方法,所述方法包括以下步骤通过第一通道(175)来从主体(110)接收(245)身份令牌(150),其中所述身份令牌(150)至少包括第一声明(156)和生物测定表示(158),并且其中所述第一声明(156)和所述生物测定表示(158)由数字签名(159)来绑定;通过第二通道(180)来获取(255)关于所述主体(110)的生物测定信息(179);以及至少部分地通过将所述生物测定信息(179)与所述生物测定表示(158)进行比较来确定(260)所述第一声明(156)的真实性。
2. 如权利要求1所述的方法,其特征在于,所述第一声明和所述生物测定 表示由第三方身份提供者来数字地签署。
3. 如权利要求1所述的方法,其特征在于,所述第二通道包括当面观察。
4. 如权利要求1所述的方法,其特征在于,所述第二通道包括基本上实时 的电子通信链路。
5. 如权利要求4所述的方法,其特征在于,所述获取步骤包括以下子步骤 向所述主体提出执行可通过所述通信链路观察到的非预期动作的挑战。
6. 如权利要求1所述的方法,其特征在于,所述从主体接收身份令牌的步 骤包括在所述主体的指示下从第三方接收所述身份令牌。
7. 如权利要求1所述的方法,其特征在于,还包括在所述接收步骤之前的 向第三方发送身份令牌存取码的步骤。
8. 如权利要求1所述的方法,其特征在于,所述确定步骤包括人类将所述 生物测定信息与所述生物测定表示进行比较。
9. 一种用于发放身份令牌(150)的方法,包括 至少验证(205)关于主体(110)的第一声明(156); 收集(210)所述主体(110)的生物测定表示(158);至少创建(230)第一身份令牌(150),包括用数字签名(159)来将所 述第一声明(156)和所述生物测定表示(158)绑定在一起。
10. 如权利要求9所述的方法,其特征在于,还包括以下附加步骤将所述第一身份令牌存储在主体机器上。
11. 如权利要求10所述的方法,其特征在于,所述主体机器包括便携式计算设备。
12. 如权利要求9所述的方法,其特征在于,所述第一身份令牌的内容被限于最低限度地满足依赖方的安全策略。
13. 如权利要求9所述的方法,其特征在于,还包括以下步骤向第三方发送所述第一身份令牌。
14. 如权利要求9所述的方法,其特征在于,所述验证步骤包括验证关于所述主体的第二声明,并且其中所述第一身份令牌不包括所述第二声明。
15. 如权利要求9所述的方法,其特征在于,还包括以下步骤生成身份令牌存取码;以及在所述创建第一身份令牌的步骤之前接收所述身份令牌存取码。
16. —种具有用于执行以下步骤的计算机可执行指令的计算机可读介质,所述步骤包括请求(220)身份令牌(150),其中所述身份令牌(150)至少包括主体(110)的第一声明(156)和生物测定表示(158),并且其中所述第一声明(156)和所述生物测定表示(158)由数字签名(159)来绑定;通过第一通道(175)来向依赖方(120)发送(240)所述身份令牌(150);通过第二通道(180)来向所述依赖方(120)提供(250)对关于所述主体(110)的生物测定信息(179)的访问。
17. 如权利要求16所述的计算机可读介质,其特征在于,还具有用于在所述请求步骤之前执行以下步骤的计算机可执行指令尝试访问所述依赖方;以及从所述依赖方接收安全策略。
18. 如权利要求17所述的计算机可读介质,其特征在于,所述身份令牌的内容被限于只满足所述安全策略。
19. 如权利要求16所述的计算机可读介质,其特征在于,所述发送步骤包括指示身份提供者向所述依赖方发送所述身份令牌。
20. 如权利要求16所述的计算机可读介质,其特征在于,所述提供访问步骤包括激活发射机应答器来参与同所述依赖方的基本上实时的通信链路。
全文摘要
一种身份系统和方法在身份令牌中使用生物测定表示。当一主体请求访问依赖方时,该依赖方可请求包含关于该主体的第一声明以及该主体的生物测定表示的身份令牌。身份提供者然后可创建包括数字签名的身份令牌。依赖方可通过第一通道来接收该身份令牌并解码该身份令牌。依赖方还可通过第二通道来接收关于主体的生物测定信息并使用该信息,至少部分地通过将生物测定表示与生物测定信息进行比较来验证第一声明的真实性。
文档编号G06K19/07GK101682509SQ200880015890
公开日2010年3月24日 申请日期2008年5月2日 优先权日2007年5月15日
发明者A·K·纳恩达, K·卡梅隆 申请人:微软公司