專利名稱:通過(guò)對(duì)有價(jià)值資產(chǎn)的要求建立特權(quán)的制作方法
通過(guò)對(duì)有價(jià)值資產(chǎn)的要求建立特權(quán)
背景技術(shù):
在計(jì)算領(lǐng)域內(nèi)��,許多方案涉及具有特權(quán)級(jí)別的一組實(shí)體。作為第一示例�,可以給一組用戶提供服務(wù),每個(gè)用戶已經(jīng)確定了該服務(wù)的特權(quán)級(jí)別��,并且該服務(wù)可以給每個(gè)用戶提供與該用戶的特權(quán)級(jí)別相關(guān)聯(lián)的不同級(jí)別的服務(wù)(例如�,在文件共享服務(wù)中,相比于具有較低特權(quán)級(jí)別的用戶����,可以給具有較高特權(quán)級(jí)別的用戶分配較大量的存儲(chǔ)空間,和/或給予其更廣泛的存取特權(quán)(access privilege))���。作為第二示例���,可以給一組裝置提供服務(wù)(例如���,被配置為將通信服務(wù)提供給一組無(wú)線裝置的蜂窩通信網(wǎng)絡(luò))���,并且每個(gè)裝置可以與不同的特權(quán)級(jí)別相關(guān)聯(lián)(例如,服務(wù)的供應(yīng)商直接給用戶提供的高特權(quán)級(jí)別裝置的第一集合�;隸屬于該服務(wù)的供應(yīng)商的公司給用戶提供的特權(quán)信賴級(jí)別的第二集合;以及未知公司給用戶提供的低特權(quán)級(jí)別裝置的第三集合)��。具有較低特權(quán)級(jí)別的裝置很可能被改變和/或被用于以未被授權(quán)的方式訪問(wèn)服務(wù);因此��,相比于具有較低特權(quán)級(jí)別的裝置來(lái)說(shuō)�,可以給具有較聞特權(quán)級(jí)別的裝置提供較聞級(jí)別的服務(wù)。在其中可以應(yīng)用這種技術(shù)的特定方案包括對(duì)試圖應(yīng)用服務(wù)以便達(dá)到不懷好意的結(jié)果的檢測(cè)和阻止����,例如,訪問(wèn)另一個(gè)實(shí)體的帳戶(例如�,訪問(wèn)銀行帳戶,以便竊取資金����,或者訪問(wèn)網(wǎng)絡(luò)服務(wù)器的網(wǎng)絡(luò)帳戶,以便插入廣告)���,發(fā)送未經(jīng)請(qǐng)求的(unsolicited)大量電子郵件消息(“垃圾郵件”(spam))或者對(duì)目標(biāo)執(zhí)行分布式拒絕服務(wù)(“DDoS”)攻擊�。為了在廣大范圍上達(dá)到這些結(jié)果���,這種企圖的策動(dòng)者(instigator)可以應(yīng)用自動(dòng)進(jìn)程��,例如��,試圖識(shí)別服務(wù)中的安全性弱點(diǎn)或者試圖猜測(cè)不同個(gè)體帳戶的身份證書(shū)(例如���,用戶ID和密碼)的蠻力(brute-force)算法��。這種服務(wù)的管理者可以應(yīng)用各種技術(shù)來(lái)驗(yàn)證請(qǐng)求訪問(wèn)該服務(wù)的實(shí)體是人而非自動(dòng)進(jìn)程��。作為一個(gè)這種技術(shù)��,可以應(yīng)用“captcha (全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試)”機(jī)制����,其中生成以及呈現(xiàn)圖像�,所述圖像難以被自動(dòng)進(jìn)程解釋,但是相對(duì)來(lái)說(shuō)更容易被真人解釋(例如����,在嘈雜背景上以扭曲方式呈現(xiàn)的文本)。只有在給出了圖像內(nèi)容的正確識(shí)別之后�����,才可以將該服務(wù)提供給實(shí)體���。
在這些及其他方案內(nèi),許多技術(shù)可以用來(lái)識(shí)別以及更新與特定實(shí)體相關(guān)聯(lián)的特權(quán)級(jí)別��。例如,可以應(yīng)用不同級(jí)別的身份驗(yàn)證���,以用更高程度的信用度確定(establish)用戶或裝置的身份(例如���,請(qǐng)求和驗(yàn)證不斷增加的與用戶有關(guān)的信息的個(gè)人、私人�、敏感和/或廣泛的級(jí)別,或者以更好的粒度檢查裝置的部件)��。例如�,為了用更高程度的信用度驗(yàn)證實(shí)體的身份,captcha技術(shù)可以提供更加冗長(zhǎng)或者更加復(fù)雜的captcha���,或者可以用更高程度的精確度檢查實(shí)體的響應(yīng)�?���?梢砸勒赵趯?shí)體中確定的信用度來(lái)確定實(shí)體的特權(quán)級(jí)別,并且可以以各種方式使用該實(shí)體的特權(quán)級(jí)別(例如�����,用來(lái)決定提供給實(shí)體的服務(wù)程度)����。
發(fā)明內(nèi)容
提供本發(fā)明內(nèi)容而以簡(jiǎn)化形式對(duì)精選的觀點(diǎn)進(jìn)行介紹����,在以下具體實(shí)施方式
中將進(jìn)一步描述這些觀點(diǎn)���。本發(fā)明內(nèi)容沒(méi)有打算標(biāo)識(shí)所要求保護(hù)的主題的主要因素和基本特征����,也沒(méi)有打算用來(lái)限制所要求保護(hù)的主題的范圍�。為了確定實(shí)體的特權(quán)級(jí)別,服務(wù)可以檢查�、檢驗(yàn)和驗(yàn)證關(guān)于實(shí)體的眾多類型的信息。具體地���,可能有利的是���,基于實(shí)體與具有真實(shí)成本和價(jià)值的資產(chǎn)的關(guān)聯(lián)(association),確定實(shí)體的身份。例如�,當(dāng)用戶請(qǐng)求創(chuàng)建服務(wù)的帳戶時(shí)��,該服務(wù)可以請(qǐng)求用戶識(shí)別一個(gè)或多個(gè)購(gòu)買的產(chǎn)品��,例如,在零售店購(gòu)買的產(chǎn)品的收據(jù)�。因此,基于所識(shí)別的資產(chǎn)的總價(jià)值(以及可能的可靠性)���,選出與用戶相關(guān)聯(lián)的特權(quán)(且可能是服務(wù))的級(jí)別�����。對(duì)于惡意用戶來(lái)說(shuō)����,這種技術(shù)可能格外難以進(jìn)行欺騙�����。例如���,自動(dòng)的算法也許不能夠以自動(dòng)的方式注冊(cè)許多帳戶�����,因?yàn)檫@可以限制服務(wù)所識(shí)別出的這 種資產(chǎn)的可用性���。因此�����,可能有利的是�����,基于與各種實(shí)體相關(guān)聯(lián)的資產(chǎn)以及這種資產(chǎn)的總價(jià)值��,配置服務(wù)以確定和更新各種實(shí)體的特權(quán)級(jí)別��。例如��,資產(chǎn)可以包含各種軟件產(chǎn)品的軟件許可證���,依照資產(chǎn)標(biāo)識(shí)符(例如,許可證密鑰或者注冊(cè)號(hào)碼)可以識(shí)別軟件許可證的每一個(gè)����,已經(jīng)以特定價(jià)值交換購(gòu)買了資產(chǎn)標(biāo)識(shí)符(例如,該資產(chǎn)標(biāo)識(shí)符的許可證成本(cost))��。該服務(wù)可以請(qǐng)求實(shí)體識(shí)別這種資產(chǎn)標(biāo)識(shí)符的集合�����,可以驗(yàn)證每個(gè)資產(chǎn)標(biāo)識(shí)符����,并且可以依照所識(shí)別的資產(chǎn)的數(shù)量和價(jià)值來(lái)設(shè)置實(shí)體的特權(quán)級(jí)別。然后�����,該服務(wù)可以將識(shí)別出的實(shí)體的特權(quán)級(jí)別用于各種方式��,例如��,用于選擇提供給實(shí)體的服務(wù)的質(zhì)量水平�。相比于由另選的技術(shù)所識(shí)別出的,使用這種技術(shù)確定實(shí)體的特權(quán)級(jí)別將格外難以進(jìn)行規(guī)避��,并且因此可以提供更加可靠的實(shí)體特權(quán)級(jí)別����。為了實(shí)現(xiàn)前述以及相關(guān)的目標(biāo),以下描述和附加的附圖闡述了某些例證性的方面和實(shí)現(xiàn)方式���。這些指示了其中可以使用一個(gè)或多個(gè)方面的各種方式的少數(shù)幾個(gè)���。從結(jié)合附圖參考的以下詳細(xì)描述中�,將會(huì)明了本公開(kāi)的其他方面����、優(yōu)點(diǎn)和新穎的特征。
圖I是具備給應(yīng)用服務(wù)的實(shí)體分配特權(quán)級(jí)別的示范性方案的圖示����。圖2是具備依據(jù)本文介紹的技術(shù)給應(yīng)用服務(wù)的實(shí)體分配特權(quán)級(jí)別的示范性方案的圖示。圖3是圖示給實(shí)體分配特權(quán)級(jí)別的示范性方法的流程圖�。圖4是圖示用于給實(shí)體分配特權(quán)級(jí)別的示范性系統(tǒng)的部件框圖。圖5是示范性計(jì)算機(jī)可讀媒介的圖示����,該計(jì)算機(jī)可讀媒介包括被配置為具體化本文闡述的一個(gè)或多個(gè)規(guī)定(provision)的處理器可執(zhí)行指令。圖6是具備使用驗(yàn)證票(verification ticket)識(shí)別實(shí)體要求的資產(chǎn)以及相應(yīng)地為之分配的特權(quán)級(jí)別的示范性方案的圖示�。圖7圖示了其中可以實(shí)現(xiàn)本文闡述的一個(gè)或多個(gè)規(guī)定的示范性計(jì)算環(huán)境。
具體實(shí)施例方式現(xiàn)在�,參照附圖描述所要求保護(hù)的主題,其中相同的參考數(shù)字自始至終用來(lái)表示相同的元素�����。在以下描述中����,為了解釋起見(jiàn)���,將闡述許多具體的細(xì)節(jié)以便提供對(duì)所要求保護(hù)的主題的透徹理解。然而�,顯然的是�,在沒(méi)有這些具體細(xì)節(jié)的情況下也可以實(shí)施所要求保護(hù)的主題。在其他實(shí)例中�����,以框圖的形式示出結(jié)構(gòu)和裝置�,以方便描述所要求保護(hù)的主題。在計(jì)算領(lǐng)域內(nèi)���,許多方案涉及一組實(shí)體(例如�,用戶或裝置)的表示����,其中,每個(gè)實(shí)體都與特權(quán)級(jí)別相關(guān)聯(lián)�。可以依照各種因素設(shè)置這個(gè)特權(quán)級(jí)別�,例如��,實(shí)體安全性方面的信用度(例如���,用戶的安全清算(security clearance)級(jí)別,在裝置上執(zhí)行的安全性和完整性機(jī)制的強(qiáng)度)和/或?qū)嶓w認(rèn)證方面的信用度(例如,保證從實(shí)體接收的通信是由那個(gè)實(shí)體發(fā)起�,而不會(huì)由另一個(gè)實(shí)體偽造或者篡改的安全性機(jī)制的強(qiáng)度)?��?梢杂煞?wù)以許多方式使用這些特權(quán)級(jí)別����。作為一個(gè)示例����,可以將服務(wù)提供給一組實(shí)體,例如����,被配置為為這種實(shí)體接收、存儲(chǔ)和發(fā)送電子郵件消息的電子郵件服務(wù)��;被配置為接收文件��、存儲(chǔ)文件和發(fā)送文件給這種實(shí)體的文件服務(wù)����;以及被配置為安裝和維持在裝置上存儲(chǔ)的應(yīng)用的應(yīng)用服務(wù)(其中����,裝置或者這種裝置的用戶被識(shí)別為實(shí)體)���。應(yīng)用服務(wù)的實(shí)體被加以(attribute)不同級(jí)別的特 權(quán)��,并且該服務(wù)可以被配置為為這種實(shí)體提供不同級(jí)別的服務(wù)��。例如,在文件服務(wù)中�����,相比于具有較低特權(quán)級(jí)別的實(shí)體而言���,可以允許具有較高特權(quán)級(jí)別的實(shí)體存儲(chǔ)更多或更大的文件�����,與更多用戶共享這種文件��,和/或下載更多由其他用戶共享的文件�����。在其中這種技術(shù)可能格外有利的一種方案包含防護(hù)服務(wù)免于誤用(misuse)�����。在眾多現(xiàn)代的方案中�����,惡意用戶可能試圖以各種方式誤用服務(wù)��。作為第一示例��,電子郵件服務(wù)可以被配置為向其他用戶發(fā)送消息��,而惡意用戶可能設(shè)法通過(guò)電子郵件服務(wù)給其他用戶發(fā)送大量未經(jīng)請(qǐng)求的電子郵件消息(“spam”)�。作為第二示例,聊天服務(wù)可以允許用戶交換聊天消息��,而惡意用戶可能設(shè)法給其他用戶發(fā)送包含廣告的消息�。作為第三示例,文件服務(wù)可以允許用戶存儲(chǔ)文件���,而惡意用戶可能設(shè)法存儲(chǔ)惡意活動(dòng)中所牽涉的資產(chǎn)��,例如可被調(diào)用以對(duì)目標(biāo)服務(wù)器執(zhí)行分布式拒絕服務(wù)(DDoS)攻擊的可執(zhí)行的二進(jìn)制程序����,用于占有(Co-opt)其他服務(wù)器的工具(例如,rootkit和bot軟件),或者非法對(duì)象(例如,將與其他用戶共享的受版權(quán)保護(hù)的作品的副本)����。在這些示例的每一個(gè)中,用戶可能尋求對(duì)該服務(wù)創(chuàng)建一個(gè)帳戶�����,經(jīng)由該帳戶執(zhí)行惡意活動(dòng)�。此外,該服務(wù)監(jiān)視以及觀看各種帳戶的活動(dòng)�,并且關(guān)閉那些被誤用的帳戶�����,但是惡意用戶可以通過(guò)自動(dòng)地注冊(cè)比該服務(wù)監(jiān)控的帳戶更多的帳戶而盡力繞過(guò)這些安全措施���。如此��,盡管對(duì)賬戶活動(dòng)進(jìn)行仔細(xì)管控(policing)����,惡意用戶會(huì)經(jīng)常確定并且持續(xù)服務(wù)的誤用。已經(jīng)實(shí)施另外的安全措施來(lái)阻止或者減少各種服務(wù)上帳戶的自動(dòng)注冊(cè)和使用��。作為一個(gè)這種示例�,常常應(yīng)用“反向圖靈測(cè)試”來(lái)驗(yàn)證請(qǐng)求服務(wù)的安全活動(dòng)(例如注冊(cè)帳戶或者下載文件)的實(shí)體是人而不是自動(dòng)進(jìn)程。針對(duì)這個(gè)示例的技術(shù)包括“captcha”技術(shù)�����,其中����,該服務(wù)生成媒體對(duì)象并將其呈現(xiàn)給實(shí)體,媒體對(duì)象包括由噪聲混淆的信號(hào)�����,例如����,包括呈現(xiàn)在嘈雜背景上的字的圖像或包括具有大量(considerable)背景噪聲的口語(yǔ)單詞的錄音。因?yàn)槿说母杏X(jué)處理系統(tǒng)相對(duì)于現(xiàn)代的自動(dòng)進(jìn)程而言�����,對(duì)從噪聲中提取這種信號(hào)顯著地更加熟練,所以該服務(wù)可以斷定正確地識(shí)別“captcha”信號(hào)的那些實(shí)體是人�,并且可以執(zhí)行所請(qǐng)求的服務(wù)。如此���,該服務(wù)可以僅響應(yīng)于來(lái)自人的請(qǐng)求而執(zhí)行這種安全活動(dòng)���,并且因此,可以阻止由可能誤用該服務(wù)的自動(dòng)進(jìn)程對(duì)活動(dòng)的調(diào)用(invocation)�����。圖I呈現(xiàn)了具備將“captcha”技術(shù)用于保護(hù)被配置為共享存儲(chǔ)在文件存儲(chǔ)器14中的文件的服務(wù)12的示范性方案10�。在這個(gè)示范性方案10中,服務(wù)12接收請(qǐng)求以執(zhí)行來(lái)自一個(gè)或多個(gè)實(shí)體16的各種活動(dòng)�����。這種實(shí)體16可以包含人或自動(dòng)進(jìn)程�����,并且所請(qǐng)求的活動(dòng)可以包括授權(quán)的活動(dòng)(例如��,存儲(chǔ)或者訪問(wèn)無(wú)害的(innocuous)文件)以及惡意活動(dòng)28(例如����,存儲(chǔ)或者訪問(wèn)非法或者有害的文件)。為了減少誤用�,服務(wù)12可以為每個(gè)實(shí)體16存儲(chǔ)用戶帳戶18,并且可以只接受從具有用戶帳戶18的實(shí)體16接收的執(zhí)行活動(dòng)的請(qǐng)求���。此夕卜���,每個(gè)用戶帳戶18可以與特權(quán)級(jí)別20相關(guān)聯(lián),特權(quán)級(jí)別20指示所表示的實(shí)體16沒(méi)有正在執(zhí)行惡意活動(dòng)的服務(wù)12的信用度��?��?梢曰趯?shí)體16的活動(dòng)調(diào)整這種特權(quán)級(jí)別20 ;例如���,可以降低被識(shí)別為冒充人的自動(dòng)進(jìn)程、或者被識(shí)別為最近試圖執(zhí)行惡意活動(dòng)28的實(shí)體16����,同時(shí)可以提高被驗(yàn)證為人且具有執(zhí)行授權(quán)的活動(dòng)28的歷史記錄的實(shí)體16。服務(wù)12可以使用各種用戶帳戶18的特權(quán)級(jí)別20選擇一組特權(quán)22��,例如可以在服務(wù)12內(nèi)執(zhí)行的活動(dòng)的類型,其由所表示的實(shí)體16許可����。例如,對(duì)于具有高特權(quán)級(jí)別20的實(shí)體16���,服務(wù)12可以選擇一組寬泛的特權(quán)22���,例如用高帶寬傳送文件以及分配大的存儲(chǔ)份額,其允許存儲(chǔ)大容量的數(shù)據(jù)��;但是對(duì)于具有低特權(quán)級(jí)別20的實(shí)體16��,服務(wù)12可以選擇一組受限的特權(quán)22�,例如用低帶寬傳送文件以及分配小的存儲(chǔ)份額,其允許只存儲(chǔ)小容量的數(shù)據(jù)�����。如此�,沒(méi)有給予完全特權(quán)的實(shí)體16可以被允許僅以受限方式訪問(wèn)服務(wù)12,從而降低了誤用服務(wù)12的可能性�。如圖I的示范性方案10所進(jìn)一步圖示的,基于由所表示的實(shí)體16執(zhí)行的各種活動(dòng)����,服務(wù)12可以確定并且調(diào)整各種用戶帳戶18的特權(quán)級(jí)別20。作為第一示例�����,服務(wù)12可以呈現(xiàn)captcha 24�,以便驗(yàn)證每個(gè)實(shí)體16是人而不是自動(dòng)進(jìn)程??梢栽趯?shí)體16請(qǐng)求執(zhí)行安全活動(dòng)(例如,倉(cāng)Il建實(shí)體16新的用戶帳戶18)時(shí)呈現(xiàn)這個(gè)captcha 24���。例如�����,當(dāng)?shù)谝粚?shí)體16 (包含人)請(qǐng)求創(chuàng)建用戶帳戶18�����,服務(wù)12可以生成captcha 24并且將其發(fā)送給第一���、實(shí)體16,以及識(shí)別呈現(xiàn)在captcha 24中信號(hào)的請(qǐng)求(例如�,對(duì)照嘈雜背景呈現(xiàn)的人類可讀詞語(yǔ))�。當(dāng)?shù)谝粚?shí)體16提供正確地識(shí)別captcha 24的信號(hào)(例如�,可讀詞語(yǔ))的回答26時(shí),服務(wù)12可以判斷第一實(shí)體16是人��,并且可以給第一實(shí)體16的用戶帳戶18分配高特權(quán)級(jí)別20�����。相反���,當(dāng)?shù)诙?shí)體16 (包含自動(dòng)進(jìn)程)請(qǐng)求創(chuàng)建用戶帳戶18時(shí)�����,服務(wù)12可以給第二實(shí)體16發(fā)送相同的captcha 24�����,不過(guò)在接收錯(cuò)誤地識(shí)別可讀文本(例如����,識(shí)別常被傳統(tǒng)光學(xué)字符識(shí)別(OCR)技術(shù)錯(cuò)誤地決定為可讀文本的字符)的回答26之后����,服務(wù)12可以判斷第二實(shí)體16是自動(dòng)進(jìn)程�,并且可以給第二實(shí)體16的用戶帳戶18分配低特權(quán)級(jí)別20 (或者可以是簡(jiǎn)單地拒絕創(chuàng)建第二實(shí)體16的用戶帳戶18)��。此外�����,服務(wù)12可以繼續(xù)監(jiān)控實(shí)體16的活動(dòng)�,并且可以相應(yīng)地調(diào)整用戶帳戶18的特權(quán)級(jí)別20���。例如��,當(dāng)具有高特權(quán)級(jí)別20的第三實(shí)體16請(qǐng)求執(zhí)行惡意活動(dòng)28時(shí)���,服務(wù)12可以降低第三實(shí)體16的用戶帳戶18的特權(quán)級(jí)別20,并且因此可以降低擴(kuò)展到第三實(shí)體16的該組特權(quán)22��。雖然圖I的示范性方案10呈現(xiàn)了 captcha技術(shù)的一些優(yōu)點(diǎn),但是captcha技術(shù)的一些缺點(diǎn)和局限性可能限制了它在保護(hù)服務(wù)12方面的有效性��。作為第一示例�����,captcha技術(shù)可以呈現(xiàn)許多錯(cuò)誤肯定(錯(cuò)誤地將人識(shí)別為自動(dòng)進(jìn)程)和錯(cuò)誤否定(錯(cuò)誤地將自動(dòng)進(jìn)程識(shí)別為人)�。這種錯(cuò)誤可能變得更加普遍�����,因?yàn)閻阂庥脩魧?duì)設(shè)計(jì)準(zhǔn)確地回答captcha的自動(dòng)進(jìn)程變得更加熟練��,例如應(yīng)用越來(lái)越復(fù)雜的(sophisticated)光學(xué)字符識(shí)別(OCR)和語(yǔ)音識(shí)別技術(shù)��。作為第二示例��,人可能發(fā)現(xiàn)captcha是令人不愉快的�����,具體地,這是由于captcha的難度增加以阻礙越來(lái)越復(fù)雜的自動(dòng)進(jìn)程���。作為第三示例,captcha在阻止由人執(zhí)行的惡意活動(dòng)方面是無(wú)效的�����,并且captcha的“土耳其機(jī)器人”(mechanical Turk)解決方案(使用人來(lái)正確地回答這種挑戰(zhàn))可以允許惡意用戶繞過(guò)這種服務(wù)的安全措施�。鑒于這些限制,有利的是發(fā)展用于保護(hù)服務(wù)12的應(yīng)用的另選的技術(shù)��。可以意識(shí)至IJ���,在這種方案中��,惡意用戶會(huì)應(yīng)用諸如廣泛傳播(widespread)的用戶賬戶注冊(cè)自動(dòng)化之類的技術(shù)���,因?yàn)槭〉某杀臼俏⒉蛔愕赖摹R簿褪钦f(shuō)���,對(duì)于誤用服務(wù)12的失敗嘗試來(lái)說(shuō),惡意用戶的成本是輕微的�����,而即只有很小比率的這種嘗試可以成功����,這些成功嘗試的價(jià)值也勝過(guò)不成功的嘗試的成本。作為一個(gè)示范性方案����,其中價(jià)值定位影響惡意用戶所采用的策略,典型地��,廣播給用戶的未經(jīng)請(qǐng)求的大量電子郵件消息(“spam”)獲得一個(gè)非常低的響應(yīng)率(例如,對(duì)做廣告網(wǎng)站的點(diǎn)擊次數(shù))-常常低于每發(fā)送10�����,000, 000個(gè)消息作出一個(gè)響應(yīng)-但是這些響應(yīng)的集體價(jià)值可以大大地超過(guò)發(fā)送所有消息的輕微的成本���,從而導(dǎo)致電子郵件服務(wù)非常有利可圖的誤用��。因此��,在降低服務(wù)誤用方面可以有效的策略涉及將失敗嘗試的成本增加到非輕微的級(jí)別���。例如,spam電子郵件消息的反對(duì)者不時(shí)提議收取微小的發(fā)送電子郵件消息的每個(gè)消息的成本(例如���,$0. 01)����,其可能不會(huì)顯著地影響合法電子郵件消息的發(fā)送者�����,但是其可能致使spam的發(fā)送非常無(wú)利可圖�����。然而,直接將成本加于安全活動(dòng)的解決方案可能會(huì)不希望地處罰那些合理地執(zhí)行大量安全活動(dòng)的實(shí)體(例如�����,每個(gè)消息費(fèi)用會(huì)顯著地影響廣泛流行的電子通訊的發(fā)送者)���。 鑒于這些特征�,本文介紹的技術(shù)包括使特權(quán)級(jí)別20與具有一個(gè)或多個(gè)有價(jià)值資產(chǎn)的實(shí)體16相關(guān)聯(lián)����。例如�����,當(dāng)實(shí)體16請(qǐng)求生成用戶帳戶18時(shí)�����,服務(wù)12可以請(qǐng)求實(shí)體16識(shí)別具有可識(shí)別價(jià)值的一個(gè)或多個(gè)資產(chǎn)����,例如商品、服務(wù)、或者物體或房地產(chǎn)的所有權(quán)的購(gòu)買�����。這種識(shí)別可以由實(shí)體16以各種方式來(lái)斷言(assert)�����,例如���,通過(guò)提供金融交易的證據(jù)(例如��,收據(jù)副本)或資產(chǎn)所有權(quán)的標(biāo)識(shí)符�。然后���,服務(wù)12可以依照實(shí)體16要求(claim)的資產(chǎn)給實(shí)體16分配特權(quán)級(jí)別20�。作為一個(gè)這種示例�,分配給實(shí)體16的特權(quán)級(jí)別20可以與實(shí)體16要求的資產(chǎn)的總價(jià)值成比例(例如,低價(jià)值資產(chǎn)的要求可以導(dǎo)致實(shí)體16特權(quán)級(jí)別20的小幅提升���,同時(shí)高價(jià)值資產(chǎn)的要求可以實(shí)體16特權(quán)級(jí)別20的大幅提升)�����。如果實(shí)體16稍后執(zhí)行減小實(shí)體16的特權(quán)級(jí)別20 (或者甚至導(dǎo)致實(shí)體16的用戶帳戶18注銷)的惡意活動(dòng)28���,則該服務(wù)還可以使要求的資產(chǎn)無(wú)效��。這個(gè)無(wú)效可以只涉及拒絕這種資產(chǎn)與其他實(shí)體16相關(guān)聯(lián)�����,或者可以進(jìn)一步地對(duì)要求的資產(chǎn)產(chǎn)生影響�;例如�,如果已經(jīng)從服務(wù)12購(gòu)買了資產(chǎn),則可以消除或減小該資產(chǎn)����。如此,執(zhí)行惡意活動(dòng)28的實(shí)體就要求的資產(chǎn)而言可能遭受了價(jià)值上重大的損失�����,從而增加了惡意活動(dòng)28的成本(特別地����,與涉及這種惡意活動(dòng)28的輕微處罰的現(xiàn)代的技術(shù)相比)�。此外���,因?yàn)橄鄳?yīng)的實(shí)體16在單獨(dú)的交易(與安全活動(dòng)的執(zhí)行無(wú)關(guān))中已經(jīng)購(gòu)買了所提供的資產(chǎn),所以執(zhí)行安全活動(dòng)的每個(gè)活動(dòng)的成本沒(méi)有直接分?jǐn)偨o實(shí)體16����,并且沒(méi)有過(guò)度地影響執(zhí)行大量合法活動(dòng)的實(shí)體16。圖2介紹了具備基于具有對(duì)特定價(jià)值34的資產(chǎn)32的要求�����,給實(shí)體16分配特權(quán)級(jí)別20的示范性方案30的圖示����。在這個(gè)示范性方案30中,服務(wù)12還包含文件存儲(chǔ)器14���,其被配置為接收文件����、存儲(chǔ)文件以及發(fā)送文件給各種實(shí)體16��。服務(wù)12還被配置為將文件服務(wù)提供給具有一組特定特權(quán)22的每個(gè)實(shí)體16����,所述特權(quán)與分配給實(shí)體16的用戶帳戶18的特權(quán)級(jí)別20相關(guān)聯(lián)����。依據(jù)本文所介紹的技術(shù),基于對(duì)資產(chǎn)32的要求分配實(shí)體16的特權(quán)級(jí)別20���。在這個(gè)示范性方案30中����,實(shí)體16要求的資產(chǎn)32包含為各種軟件產(chǎn)品和/或服務(wù)(例如操作系統(tǒng)���、軟件應(yīng)用以及因特網(wǎng)服務(wù)(例如���,網(wǎng)頁(yè)托管和文件服務(wù)))購(gòu)買的許可證。相應(yīng)的實(shí)體16以一個(gè)成本購(gòu)買資產(chǎn)32��,從而給資產(chǎn)32加上特定價(jià)值34 (例如����,與第一軟件產(chǎn)品的昂貴許可證相關(guān)聯(lián)的高價(jià)值34,以及與第二軟件產(chǎn)品的便宜許可證相關(guān)聯(lián)的低價(jià)值34)�。例如�����,當(dāng)?shù)谝粚?shí)體16請(qǐng)求向服務(wù)12注冊(cè)用戶帳戶18時(shí),服務(wù)12最初給第一實(shí)體16分配低特權(quán)級(jí)別20�����,其與一組相對(duì)小的特權(quán)22相關(guān)聯(lián)�,例如,小的文件存儲(chǔ)器限額以及以低帶寬傳送文件存儲(chǔ)器14的文件的能力����。第二實(shí)體16可以請(qǐng)求向服務(wù)12注冊(cè)用戶帳戶18 (或者,提高用戶帳戶18的特權(quán)級(jí)別20)���,并且可以提交資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36�,例如��,識(shí)別軟件產(chǎn)品的許可證的許可證密鑰����,其可以由第二實(shí)體以特定價(jià)值34購(gòu)買。服務(wù)12可以通過(guò)驗(yàn)證資產(chǎn)標(biāo)識(shí)符36 (例如�,驗(yàn)證許可證密鑰是有效的,并且未被另一個(gè)實(shí)體16要求)來(lái)對(duì)第二實(shí)體16的請(qǐng)求作出響應(yīng)����,并且在驗(yàn)證資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36之后����,可以提高第二實(shí)體16的用戶帳戶18的特權(quán)級(jí)別20����。此外,可以與資產(chǎn)32的價(jià)值34 (例如���,獲得軟件產(chǎn)品許可證的成本)成比例地提高特權(quán)級(jí)別20���。因此,如果第二實(shí)體16提交具有相當(dāng)?shù)偷某杀镜馁Y產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36�,則服務(wù)12可以將第二實(shí)體16的用戶帳戶18的特權(quán)級(jí)別20提高到中等特權(quán)級(jí)別20,從而授予第二實(shí)體16 —組擴(kuò)展的特權(quán)22���,其中包括中等大小的文件存儲(chǔ)器限額以及以中等帶寬傳送文件存儲(chǔ)器14的文件的能力��。類似的�,如果第三實(shí)體16提交具有高價(jià)值34的資產(chǎn)32 (例如��,軟件產(chǎn)品的高成本許可證)的若干資產(chǎn)標(biāo)識(shí)符36�����,則服務(wù)12可以將第三實(shí)體16的特權(quán)級(jí)別20提高到高特權(quán)級(jí)別20����,并且可以授予一組寬泛的特權(quán)22,其中包括大的文件存儲(chǔ)器限額以及以高帶寬傳送文件存儲(chǔ)器14的文件的能力���。以這種方式以及依據(jù)本文所介紹的技術(shù)�����,示范性方案30允許依照實(shí)體16所斷言的相應(yīng)資產(chǎn)32的價(jià)值34為應(yīng)用服務(wù)12的各種實(shí)體16分配特權(quán)級(jí)別�����。因?yàn)楝F(xiàn)在每個(gè)用戶帳戶18與有價(jià)值的資產(chǎn)相關(guān)聯(lián)�,所以阻止了實(shí)體16執(zhí)行惡意活動(dòng)28�����,這是由于服務(wù)12可 以通過(guò)針對(duì)那些有價(jià)值的資產(chǎn)32處罰實(shí)體16來(lái)作出響應(yīng)��。該處罰可以簡(jiǎn)單地涉及限制與資產(chǎn)32相關(guān)聯(lián)的用戶帳戶18���,和/或拒絕向資產(chǎn)32注冊(cè)另外的用戶帳戶18�����。然而����,也可以實(shí)施更加嚴(yán)厲的處罰;例如�,服務(wù)12能使資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36無(wú)效(例如,使實(shí)體16購(gòu)買的軟件產(chǎn)品的許可證無(wú)效)��,和/或能基于資產(chǎn)32識(shí)別試圖執(zhí)行惡意活動(dòng)28的個(gè)體(例如����,基于購(gòu)買實(shí)體16要求的資產(chǎn)32所使用的信用卡來(lái)識(shí)別經(jīng)由服務(wù)12執(zhí)行非法活動(dòng)的個(gè)體)。此外��,通過(guò)無(wú)效資產(chǎn)32的威脅來(lái)阻止打算執(zhí)行惡意活動(dòng)28的實(shí)體16��,并且因此���,執(zhí)行惡意活動(dòng)28的嘗試變得無(wú)利可圖或者不值得去做����。圖3介紹了這些技術(shù)的第一實(shí)施例,其被圖示為識(shí)別實(shí)體16的特權(quán)級(jí)別20的示范性方法40���?��?梢允褂镁哂刑幚砥鞯难b置執(zhí)行示范性方法40����,并且例如,可以將其實(shí)現(xiàn)為存儲(chǔ)在該裝置的存儲(chǔ)器(例如�����,存儲(chǔ)電路�,硬盤驅(qū)動(dòng)器的盤,固態(tài)存儲(chǔ)裝置�,或者磁或光盤)中的、收錄本文所介紹的技術(shù)的一組軟件指令���。示范性方法40開(kāi)始于42��,并且包括在處理器上執(zhí)行44指令���。具體地�,指令包括給實(shí)體16分配46特權(quán)級(jí)別20����,并且在檢測(cè)到實(shí)體16的活動(dòng)后,基于該活動(dòng)調(diào)整48實(shí)體16的特權(quán)級(jí)別20�。該指令還包括,在從實(shí)體16接收到實(shí)體16購(gòu)買的資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36后,驗(yàn)證50資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36����,并且在驗(yàn)證資產(chǎn)標(biāo)識(shí)符36之后,提高52實(shí)體16的特權(quán)級(jí)別20�。如此,基于對(duì)具有特定價(jià)值34的資產(chǎn)32的要求���,依據(jù)本文所介紹的技術(shù)����,示范性方法40給實(shí)體16分配特權(quán)級(jí)別20��,從而結(jié)束于54�。圖4介紹了這些技術(shù)的第二實(shí)施例,其被圖示為操作于具備基于對(duì)具有價(jià)值34的資產(chǎn)32的要求來(lái)給實(shí)體16分配特權(quán)級(jí)別20的示范性方案60內(nèi)的示范性系統(tǒng)66��。示范性系統(tǒng)66操作在具有處理器64的裝置62上�����,并且例如,可以實(shí)現(xiàn)為共同實(shí)現(xiàn)本文所介紹的技術(shù)的互操作模塊的集合�����。例如����,相應(yīng)的互操作模塊可以包含存儲(chǔ)在裝置62的存儲(chǔ)部件(例如�����,存儲(chǔ)電路�����,硬盤驅(qū)動(dòng)器的盤�����,固態(tài)存儲(chǔ)裝置�,或磁盤或光盤)上的一組指令,當(dāng)由處理器64執(zhí)行時(shí),與系統(tǒng)66的一個(gè)或多個(gè)其他部件進(jìn)行互操作以完成與本文所介紹的技術(shù)相關(guān)聯(lián)的一個(gè)或多個(gè)任務(wù)��。示范性系統(tǒng)66包括實(shí)體特權(quán)啟動(dòng)部件68,其被配置為給實(shí)體16分配特權(quán)級(jí)別20��。示范性系統(tǒng)66還包括實(shí)體監(jiān)控部件70���,其被配置為在檢測(cè)到實(shí)體16的活動(dòng)74后�,基于活動(dòng)74調(diào)整實(shí)體16的特權(quán)級(jí)別20�。示范性系統(tǒng)66還包括實(shí)體資產(chǎn)驗(yàn)證部件72,其被配置為在從實(shí)體16接收到實(shí)體16購(gòu)買的資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36后���,驗(yàn)證資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36����,并且在驗(yàn)證資產(chǎn)標(biāo)識(shí)符36后���,提高實(shí)體16的特權(quán)級(jí)別20 (例如�,相對(duì)于資產(chǎn)32的價(jià)值34成比例地提高)��。如此����,依據(jù)本文所介紹的技術(shù),圖3的示范性系統(tǒng)66的部件進(jìn)行互操作��,以基于對(duì)由此斷言的資產(chǎn)32的要求來(lái)完成實(shí)體16的特權(quán)級(jí)別的分配。又一個(gè)實(shí)施例包括計(jì)算機(jī)可讀媒介�����,該計(jì)算機(jī)可讀媒介包含被配置為應(yīng)用本文介紹的技術(shù)的處理器可執(zhí)行指令����。這種計(jì)算機(jī)可讀介質(zhì)可以包括,例如����,包括有形裝置的計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),例如存儲(chǔ)器半導(dǎo)體(例如�����,應(yīng)用靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)�����、動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(DRAM)和/或同步動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(SDRAM)技術(shù)的半導(dǎo)體)���,硬盤驅(qū)動(dòng)器的盤,閃速存儲(chǔ)器裝置���,或磁盤或光盤(例如���,CD-R����,DVD-R或軟磁盤)��,編碼計(jì)算機(jī)可讀指令的 集合��,當(dāng)由裝置的處理器執(zhí)行時(shí)�,使得該裝置實(shí)現(xiàn)本文所介紹的技術(shù)。這種計(jì)算機(jī)可讀介質(zhì)還可以包括(作為不同于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)的一類技術(shù))各種類型的傳播介質(zhì)�����,例如可以經(jīng)由各種物理現(xiàn)象(例如�����,電磁信號(hào)�����,聲波信號(hào)或光信號(hào))以及在各種有線方案(例如,經(jīng)由以太網(wǎng)或光纖電纜)和/或無(wú)線方案(例如���,諸如WiFi的無(wú)線局域網(wǎng)(WLAN)�����,例如諸如藍(lán)牙的個(gè)人區(qū)域網(wǎng)��,或蜂窩或無(wú)線電網(wǎng)絡(luò))中進(jìn)行傳播����,并且其還可以編碼計(jì)算機(jī)可讀指令的集合�����,當(dāng)由裝置的處理器執(zhí)行時(shí)�,使得該裝置實(shí)現(xiàn)本文所介紹的技術(shù)。圖5圖示了可以以這些方式設(shè)計(jì)的示范性的計(jì)算機(jī)可讀媒介����,其中��,實(shí)現(xiàn)方式80包含計(jì)算機(jī)可讀媒介82 (舉例來(lái)說(shuō)�����,⑶-R,DVD-R����,或者硬盤驅(qū)動(dòng)器的盤),在其上編碼有計(jì)算機(jī)可讀數(shù)據(jù)84��。這個(gè)計(jì)算機(jī)可讀數(shù)據(jù)84又包含被配置為依照本文闡述的原理進(jìn)行操作的一組計(jì)算機(jī)指令86���。在一個(gè)這種實(shí)施例中���,處理器可執(zhí)行的指令86可以被配置為執(zhí)行一種給實(shí)體分配特權(quán)級(jí)別的方法,例如圖3的示范性方法40��。在另一個(gè)這樣的實(shí)施例中�����,處理器可執(zhí)行的指令86可以被配置為實(shí)現(xiàn)一種用于給實(shí)體分配特權(quán)級(jí)別的系統(tǒng)��,例如圖4的示范性系統(tǒng)66�����。這個(gè)計(jì)算機(jī)可讀媒介的一些實(shí)施例可以包含非臨時(shí)性計(jì)算機(jī)可讀存儲(chǔ)媒介(例如,硬盤驅(qū)動(dòng)器�����,光盤或閃速存儲(chǔ)裝置)�����,其被配置為存儲(chǔ)以這種方式配置的處理器可執(zhí)行的指令�。本領(lǐng)域的那些普通技術(shù)人員可以設(shè)計(jì)出被配置為依據(jù)本文介紹的技術(shù)進(jìn)行操作的許多這樣的計(jì)算機(jī)可讀介質(zhì)??梢杂枚喾矫娴淖兓瘉?lái)設(shè)計(jì)本文所討論的技術(shù),而相對(duì)于這些及其他技術(shù)的其他變化��,一些變化可以呈現(xiàn)另外的優(yōu)點(diǎn)和/或減少缺點(diǎn)�����。此外�����,可以以組合的方式實(shí)現(xiàn)一些變化�����,而一些組合可以通過(guò)協(xié)同合作而具備另外的優(yōu)點(diǎn)和/或減少缺點(diǎn)����。這些變化可以并入各種實(shí)施例(例如,圖3的示范性方法40以及圖4的示范性系統(tǒng)66)中���,從而給予這些實(shí)施例以個(gè)別和/或協(xié)同的優(yōu)點(diǎn)����?����?稍谶@些技術(shù)的實(shí)施例之間進(jìn)行改變的第一方面涉及可以應(yīng)用這種技術(shù)的方案����。作為第一示例,可以應(yīng)用這些技術(shù)以確定多種類型實(shí)體16的特權(quán)級(jí)別20��,例如個(gè)體���、個(gè)體的群組�����、組織���、公司��、裝置以及自動(dòng)進(jìn)程����。作為這個(gè)第一方面的第二示例��,可以確定多種類型的特權(quán)級(jí)別(例如����,不連續(xù)的級(jí)別,等級(jí)或分?jǐn)?shù))���,并且這種特權(quán)級(jí)別20可以基于多種類型的信息(例如����,實(shí)體16采取的活動(dòng)74的歷史記錄�����,數(shù)量以及類型�,以及實(shí)體16在其他實(shí)體16之間的信譽(yù))�����。作為這個(gè)第一方面的第三示例,特權(quán)級(jí)別20可以用于確定提供給相應(yīng)實(shí)體16的服務(wù)的眾多標(biāo)準(zhǔn)����,例如,可以在實(shí)體16和該服務(wù)之間交換的數(shù)據(jù)量(例如���,文件服務(wù)可為實(shí)體16存儲(chǔ)的數(shù)據(jù)的最大容量)�,可由該服務(wù)的實(shí)體16進(jìn)行的請(qǐng)求的數(shù)量和類型(例如���,可由電子郵件服務(wù)為實(shí)體16在特定時(shí)段發(fā)送的電子郵件消息的數(shù)量和類型)�����,以及實(shí)體16在該服務(wù)內(nèi)執(zhí)行某些類型的活動(dòng)74的特權(quán)(例如�����,實(shí)體16為文件服務(wù)存儲(chǔ)的文件系統(tǒng)的特定部分所擴(kuò)展的讀和/或?qū)懺L問(wèn))��。作為一個(gè)這種示例����,可以給實(shí)體16提供具有與特權(quán)級(jí)別20相關(guān)聯(lián)的服務(wù)質(zhì)量的服務(wù)(例如,規(guī)定視頻流服務(wù)的分辨率或幀率�����,或規(guī)定IP語(yǔ)音(VOIP)電話服務(wù)的音頻質(zhì)量)����,并且可以以與任一實(shí)體16的特權(quán)級(jí)別20相關(guān)聯(lián)的服務(wù)質(zhì)量將該服務(wù)提供給所述實(shí)體16。作為這個(gè)第一方面的第四示例�����,可以由相應(yīng)的實(shí)體16要求多種類型的資產(chǎn)32�����,例如在零售或連鎖商店購(gòu)買的商品���、從服務(wù)供應(yīng)商購(gòu)買的服務(wù)�����、以及實(shí)體16以可識(shí)別的成本從其他實(shí)體16獲取的商品或服務(wù)�����?����?梢砸庾R(shí)到����,在一些方案中�,這種實(shí)體16要求的資產(chǎn)32的成本可以有效地?cái)⑹霰疚慕榻B的技術(shù)的優(yōu)點(diǎn)。例如��,通過(guò)將由該服務(wù)檢測(cè)出的這種惡意活動(dòng)28與對(duì)要求的資產(chǎn)32的影響相關(guān)聯(lián)�,可以將這些技術(shù)用來(lái)阻止實(shí)體16執(zhí)行惡意活動(dòng)28,例如�����,不能要求這種資產(chǎn)32供由相同或另一個(gè)實(shí)體16建立的其他帳戶使用�����。具體地�����,如果資產(chǎn)32包含為了訪問(wèn)軟件資產(chǎn)而以可識(shí)別成本購(gòu)買的許可證(例如,為了聯(lián)機(jī)服務(wù)而 購(gòu)買的帳戶�,或者玩聯(lián)機(jī)游戲的許可),檢測(cè)惡意活動(dòng)28的響應(yīng)可以包括限制���、中止和/或無(wú)效許可證��,從而對(duì)執(zhí)行惡意活動(dòng)28的實(shí)體16施加非輕微的處罰�。此外����,遭受這種處罰的風(fēng)險(xiǎn)可以顯著地阻止實(shí)體16去嘗試這種惡意活動(dòng)28。在這種方案中���,可以意識(shí)到�����,懲罰和/或威懾作用的大小與資產(chǎn)32可識(shí)別的成本有關(guān)�;例如�����,以低成本或免費(fèi)成本獲得的資產(chǎn)32可以施加極小或者不施加懲罰和/或威懾作用,而僅能以重大成本獲得的資產(chǎn)32可以對(duì)實(shí)體16施加相應(yīng)地重大的影響����,否則,實(shí)體16可能嘗試或執(zhí)行惡意活動(dòng)28���。因此����,如果由實(shí)體16以資產(chǎn)成本購(gòu)買資產(chǎn)20����,則這些技術(shù)的實(shí)施例可以被配置為與資產(chǎn)32的資產(chǎn)成本成比例地提高實(shí)體16的特權(quán)級(jí)別20����。例如,希望在特權(quán)級(jí)別20方面獲得顯著增加(以及在提供給實(shí)體16的服務(wù)的服務(wù)質(zhì)量方面相應(yīng)地增加)的實(shí)體16可以將高價(jià)值的一個(gè)或若干資產(chǎn)32要求為交換高特權(quán)級(jí)別20所提供的抵押品��。作為這個(gè)第一方面的第五變化�����,驗(yàn)證資產(chǎn)32的資產(chǎn)要求可以出現(xiàn)在服務(wù)的眾多方面。作為第一個(gè)這種變化�,對(duì)一個(gè)或多個(gè)資產(chǎn)32的要求可以被確定為給實(shí)體16提供服務(wù)的條件。另選地���,最初����,可以將該服務(wù)以低服務(wù)質(zhì)量提供給(無(wú)特權(quán)的)實(shí)體16�����,但是通過(guò)要求一個(gè)或多個(gè)資產(chǎn)32�����,實(shí)體16可以確保(secure)較高的服務(wù)質(zhì)量���。作為第二個(gè)備選方案���,對(duì)一個(gè)或多個(gè)資產(chǎn)32的要求可以被提供為用于確保較高的特權(quán)級(jí)別20的若干機(jī)制之一。例如��,該服務(wù)可以允許實(shí)體16以眾多方式實(shí)現(xiàn)較高的特權(quán)級(jí)別20�����,包括完成一個(gè)或多個(gè)另選的驗(yàn)證技術(shù)(例如,一個(gè)或多個(gè)captcha 24), —個(gè)或多個(gè)資產(chǎn)32的要求,或僅僅通過(guò)以非惡意的方式在延長(zhǎng)時(shí)段與該服務(wù)進(jìn)行交互�����。用于確定及提高實(shí)體16的特權(quán)級(jí)別20的另選機(jī)制的規(guī)定對(duì)于應(yīng)用服務(wù)的實(shí)體16來(lái)說(shuō)是有吸引力的��。本領(lǐng)域的那些普通技術(shù)人員可以設(shè)計(jì)多種方案����,其中,可以便利地應(yīng)用本文所介紹的技術(shù)�。可在這些技術(shù)的實(shí)施例中間進(jìn)行改變的第二方面涉及驗(yàn)證實(shí)體16所要求的資產(chǎn)32的方式���。作為第一示例,實(shí)體16可以提交金融或其他類型交易的證據(jù)���,例如收據(jù)���。這些技術(shù)的實(shí)施例可以驗(yàn)證該證據(jù)(例如,通過(guò)聯(lián)系交易中所牽涉的另一個(gè)實(shí)體16�����,例如交易中所牽涉的另一個(gè)當(dāng)事人或經(jīng)由其進(jìn)行付款的銀行),并且在驗(yàn)證該證據(jù)之后�,可以增加實(shí)體16的特權(quán)級(jí)別20。作為這個(gè)第二方面的第二示例����,實(shí)體16可以具有與各種資產(chǎn)32相關(guān)聯(lián)的帳戶(例如,經(jīng)由其進(jìn)行各種交易的信用卡�,或經(jīng)由其進(jìn)行一個(gè)或多個(gè)資產(chǎn)32購(gòu)買的購(gòu)買帳戶),并且可以通過(guò)簡(jiǎn)單地展示專用帳戶的所有權(quán)來(lái)要求相關(guān)聯(lián)的資產(chǎn)32����。作為這個(gè)第二方面的第三示例,實(shí)體可以通過(guò)提出(tender)交易的標(biāo)識(shí)符來(lái)要求資產(chǎn)32���。具體地���,其中資產(chǎn)32包含軟件資產(chǎn)的軟件許可證,資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36可以包含表示軟件資產(chǎn)的軟件許可證的軟件許可證證書(shū)����。軟件許可證證書(shū)可以包含已經(jīng)由軟件資產(chǎn)的軟件許可證發(fā)行者進(jìn)行加密簽名的證書(shū),或者可以包含許可證密鑰��,實(shí)體16可以將其提供給軟件資產(chǎn)的安裝副本,以便展示許可的證據(jù)����。在這些及其他方案中,軟件許可證證書(shū)是可以由軟件許可服務(wù)驗(yàn)證的��,并且一個(gè)實(shí)施例可以通過(guò)將資產(chǎn)標(biāo)識(shí)符36發(fā)送給軟件許可服務(wù)并從軟件許可服務(wù)接收對(duì)于軟件許可證證書(shū)的驗(yàn)證來(lái)驗(yàn)證資產(chǎn)標(biāo)識(shí)符36�。在一些方案中,其中實(shí)體16可以頻繁地提交針對(duì)活動(dòng)74的請(qǐng)求�,可以為活動(dòng)74驗(yàn)證特權(quán)級(jí)別20,這些技術(shù)的一個(gè)實(shí)施例可以重復(fù)地驗(yàn)證由實(shí)體16要求的資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36�。然而,這種重復(fù)的驗(yàn)證可能是過(guò)度的資源密集(例如���,強(qiáng)加上涉及計(jì)算資源重大支出的復(fù)雜的驗(yàn)證過(guò)程�����,和/或在活動(dòng)74完成后強(qiáng)加不希望的延遲)�����。另選地或附加地,在 一些方案中����,第一裝置或服務(wù)可被配置為驗(yàn)證所要求的資產(chǎn)32�,同時(shí)第二裝置或服務(wù)可被 配置為執(zhí)行所請(qǐng)求的活動(dòng)74 (基于先前驗(yàn)證的請(qǐng)求活動(dòng)74的實(shí)體16的特權(quán)級(jí)別20)�。在其他方案中,被配置為驗(yàn)證資產(chǎn)32和/或執(zhí)行所請(qǐng)求的活動(dòng)74的服務(wù)可以被配置為以無(wú)狀態(tài)的方式進(jìn)行操作��。例如���,代替在本地存儲(chǔ)識(shí)別相應(yīng)的實(shí)體16的特權(quán)級(jí)別20的信息���,月艮務(wù)可以將信息發(fā)送給識(shí)別自身特權(quán)級(jí)別20的實(shí)體16 ;并且當(dāng)實(shí)體16稍后請(qǐng)求執(zhí)行活動(dòng)74時(shí),該服務(wù)可以請(qǐng)求并且從實(shí)體16接收識(shí)別它的特權(quán)級(jí)別20的信息���,并且可以檢查該信息�,以便決定實(shí)體16的特權(quán)級(jí)別20����,同時(shí)評(píng)估是否執(zhí)行所請(qǐng)求的活動(dòng)74。
鑒于這些理由��,這些技術(shù)的一些實(shí)施例可以應(yīng)用驗(yàn)證票(verification ticket),其包含被驗(yàn)證的資產(chǎn)標(biāo)識(shí)符36的臨時(shí)標(biāo)識(shí)符�,資產(chǎn)標(biāo)識(shí)符36可以存儲(chǔ)在實(shí)體16的裝置上。當(dāng)實(shí)體16要求資產(chǎn)32時(shí)����,該實(shí)施例可以驗(yàn)證資產(chǎn)32�����,并且然后可以生成驗(yàn)證票����,并且將驗(yàn)證票發(fā)送給實(shí)體16�����,該驗(yàn)證票識(shí)別由實(shí)體16要求的資產(chǎn)和/或與所要求的資產(chǎn)32相關(guān)聯(lián)的實(shí)體16的特權(quán)級(jí)別20����。例如,可以將驗(yàn)證票生成為存儲(chǔ)在實(shí)體16的裝置的網(wǎng)絡(luò)瀏覽器內(nèi)的cookie����,并且可以包括生成服務(wù)的加密簽名(以便由實(shí)體16驗(yàn)證真實(shí)性以及不存在對(duì)驗(yàn)證票內(nèi)容的篡改)。通過(guò)請(qǐng)求�����、接收以及檢查由實(shí)體16存儲(chǔ)的驗(yàn)證票��,該服務(wù)隨后可以驗(yàn)證實(shí)體16的資產(chǎn)標(biāo)識(shí)符�����,和/或識(shí)別實(shí)體16的特權(quán)級(jí)別20(例如�,同時(shí)評(píng)估來(lái)自實(shí)體16的請(qǐng)求以執(zhí)行所請(qǐng)求的活動(dòng)74)。如此��,該實(shí)施例可以應(yīng)用驗(yàn)證票以方便驗(yàn)證相應(yīng)的實(shí)體16的特權(quán)級(jí)別20��。圖6介紹了具備使用驗(yàn)證票94來(lái)追蹤分配給實(shí)體16的特權(quán)級(jí)別20的示范性方案90的圖示���。在這個(gè)示范性方案90中�,第一服務(wù)器92被配置為通過(guò)驗(yàn)證由實(shí)體16要求的各種資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36���,來(lái)給實(shí)體16分配特權(quán)級(jí)別20�。例如����,當(dāng)實(shí)體16購(gòu)買具有特定價(jià)值34的資產(chǎn)32時(shí),實(shí)體16可以通過(guò)將資產(chǎn)標(biāo)識(shí)符36 (例如����,軟件許可證的許可證密鑰)提交到第一服務(wù)器92來(lái)要求資產(chǎn)32���,第一服務(wù)器92可以被配置為驗(yàn)證資產(chǎn)標(biāo)識(shí)符36以及生成驗(yàn)證票94,并且將驗(yàn)證票94發(fā)送給實(shí)體16�����,該驗(yàn)證票94識(shí)別基于要求的資產(chǎn)32而分配給實(shí)體16的特權(quán)級(jí)別20��。還可以由第一服務(wù)器92對(duì)驗(yàn)證票94進(jìn)行加密簽名��,從而將驗(yàn)證票94認(rèn)證為已經(jīng)由第一服務(wù)器92生成����,和/或提供一種機(jī)制以決定驗(yàn)證票94的內(nèi)容自生成以來(lái)是否有過(guò)改變。由實(shí)體16操作的裝置可以存儲(chǔ)驗(yàn)證票94����。實(shí)體16稍后可以請(qǐng)求來(lái)自第二服務(wù)器96 (例如被配置為提供文件服務(wù)或電子郵件服務(wù)的服務(wù)器)的活動(dòng)74,并且還可以與請(qǐng)求一起發(fā)送驗(yàn)證票94以執(zhí)行活動(dòng)74�。第二服務(wù)器96可以通過(guò)檢查驗(yàn)證票94驗(yàn)證它的真實(shí)性和/或未改變狀態(tài)來(lái)決定是否允許實(shí)體16執(zhí)行活動(dòng)74,并且�����,如果是,則可以識(shí)別由驗(yàn)證票94分配的實(shí)體16的特權(quán)級(jí)別20��。存在于這個(gè)示范性方案中的技術(shù)可以便于實(shí)體16的特權(quán)級(jí)別20的有效率的決定(具體地�����,其中第一服務(wù)器92執(zhí)行資產(chǎn)標(biāo)識(shí)符36的驗(yàn)證以及特權(quán)級(jí)別20的分配����,并且其中第二服務(wù)器96可以只將驗(yàn)證票94的內(nèi)容驗(yàn)證為實(shí)體16執(zhí)行活動(dòng)74的請(qǐng)求的一部分)���,和/或便于以無(wú)狀態(tài)方式執(zhí)行特權(quán)級(jí)別20的分配(例如����,以便第一服務(wù)器92和第二服務(wù)器96兩者都可以不存儲(chǔ)與分配給實(shí)體16的特權(quán)級(jí)別20有關(guān)的信息)�����。在一些方案中�,可以無(wú)限制地生成驗(yàn)證票94 ;例如,由服務(wù)器生成的驗(yàn)證票94可以只包含對(duì)由實(shí)體16要求的資產(chǎn)32的標(biāo)識(shí)����,并且可能還包含給作為要求的資產(chǎn)32的結(jié)果 分配給實(shí)體16的特權(quán)級(jí)別20。然而,在其他方案中�����,還可以利用一個(gè)或多個(gè)驗(yàn)證票限制來(lái)生成驗(yàn)證票94�����,一個(gè)或多個(gè)驗(yàn)證票限制以一個(gè)或多個(gè)方式限制了驗(yàn)證票94的使用����。可以從驗(yàn)證票限制集合中選出這種驗(yàn)證票限制�����,包括驗(yàn)證票持續(xù)時(shí)間限制����,其限制驗(yàn)證票94有效時(shí)的時(shí)段(例如,自生成日期之后有效期為兩個(gè)星期的驗(yàn)證票94);驗(yàn)證票裝置限制�,其限制可以有效地從中提交驗(yàn)證票94的實(shí)體16的裝置(例如,只有從特定裝置提交給服務(wù)才有效的驗(yàn)證票94);驗(yàn)證票實(shí)體限制���,其限制可以有效地提交他的驗(yàn)證票94的實(shí)體16 ;以及驗(yàn)證票使用計(jì)數(shù)限制�����,其限制驗(yàn)證票94有效使用的數(shù)量(例如����,為指示實(shí)體16的特權(quán)級(jí)別20僅對(duì)于100次使用有效的驗(yàn)證票94)。如果違反了驗(yàn)證票限制(例如����,如果驗(yàn)證票94的驗(yàn)證票持續(xù)時(shí)間限制到期����,或者如果將驗(yàn)證票94傳送給依照驗(yàn)證票94的驗(yàn)證票裝置限制而無(wú)效的裝置),存儲(chǔ)驗(yàn)證票94的裝置和/或隨后接收驗(yàn)證票94的服務(wù)可以使驗(yàn)證票94無(wú)效(例如�����,或者通過(guò)除去驗(yàn)證票94�,和/或通過(guò)將驗(yàn)證票94的標(biāo)識(shí)符記錄到不接受的無(wú)效驗(yàn)證票94的列表中)。另選地或者附加地�,如果服務(wù)接收違反一個(gè)或多個(gè)驗(yàn)證票限制的驗(yàn)證票94,則該服務(wù)可以再檢查實(shí)體16對(duì)資產(chǎn)32 (為其已經(jīng)原始生成了驗(yàn)證票94)的要求(例如��,從實(shí)體16重新請(qǐng)求軟件許可證書(shū)���,或檢查資產(chǎn)要求的數(shù)據(jù)庫(kù)以決定實(shí)體16對(duì)資產(chǎn)32的要求是否仍然是有效的)�����,以及��,如果這種要求仍然是有效的���,則可以生成更新的驗(yàn)證票94�,并將其發(fā)送給實(shí)體16���,更新的驗(yàn)證票94具有更新的驗(yàn)證票限制�。這種票的重新檢查以及重新發(fā)行可能是有利的�����,例如��,有利于使得許可較高的特權(quán)級(jí)別的驗(yàn)證票94被撤回(revoke)����,例如,在濫用資產(chǎn)標(biāo)識(shí)符36的情況下��。應(yīng)用這種技術(shù)的示范性方案包括將驗(yàn)證票94限制到一個(gè)或多個(gè)裝置,例如由特定實(shí)體16操作的裝置���。例如�,可以通過(guò)在驗(yàn)證票94內(nèi)指定裝置的設(shè)備標(biāo)識(shí)符來(lái)實(shí)現(xiàn)這個(gè)驗(yàn)證票限制�,該裝置是可以與執(zhí)行活動(dòng)74的請(qǐng)求一起有效地提交驗(yàn)證票94的裝置。當(dāng)實(shí)體16將來(lái)自特定裝置的請(qǐng)求提交給服務(wù)以執(zhí)行活動(dòng)74時(shí)��,該裝置可以被配置為發(fā)送它的設(shè)備標(biāo)識(shí)符�,該服務(wù)可以將所述設(shè)備標(biāo)識(shí)符與驗(yàn)證票94指示的設(shè)備標(biāo)識(shí)符進(jìn)行比較,并且只有當(dāng)該裝置的設(shè)備標(biāo)識(shí)符為驗(yàn)證票94所規(guī)定時(shí)才執(zhí)行活動(dòng)74����。這個(gè)限制可以降低從授權(quán)的裝置到未授權(quán)的裝置傳送的驗(yàn)證票94的濫用���。另外�����,一個(gè)或多個(gè)裝置可以被配置為存儲(chǔ)非驗(yàn)證票����,其可以表示可從裝置接收的任何資產(chǎn)32的任何資產(chǎn)標(biāo)識(shí)符36的驗(yàn)證的扣交(withholding);以及服務(wù)可以被配置為在從裝置接收非驗(yàn)證票后���,拒絕驗(yàn)證任何接收自該裝置的任何資產(chǎn)32的任何資產(chǎn)標(biāo)識(shí)符36�。例如,這個(gè)技術(shù)可以有利于由許多用戶所使用的裝置(例如��,頻繁地借給公眾成員的裝置����,或者在圖書(shū)館和社區(qū)中心可獲得的公用終端),其不會(huì)被用于從任何服務(wù)請(qǐng)求包含特權(quán)級(jí)別的活動(dòng)���。實(shí)際上���,可以由該服務(wù)將這種裝置記于黑名單中,并且可以不參加包括特權(quán)級(jí)別20的活動(dòng)���。本領(lǐng)域的那些普通技術(shù)人員可以依據(jù)本文所介紹的技術(shù)設(shè)計(jì)驗(yàn)證由實(shí)體16提交的資產(chǎn)32的要求的眾多方式���。可以在這些技術(shù)的實(shí)施例之間進(jìn)行改變的第三方面涉及在檢測(cè)到實(shí)體16的惡意活動(dòng)28后服務(wù)可以執(zhí)行的操作���。這種操作可以涉及實(shí)體16或者由此操作的裝置�����;涉及分配給實(shí)體16的特權(quán)級(jí)別20�,涉及由實(shí)體16要求的資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36和/或驗(yàn)證票94 ;和/或涉及由實(shí)體16要求的實(shí)際資產(chǎn)32。作為這個(gè)第三方面的第一示例��,這些技術(shù)的一個(gè)實(shí)施例可以被配置為在檢測(cè)到資產(chǎn)32濫用后���,使資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36無(wú)效��。例如��,如果實(shí)體16以惡意方式使用軟件產(chǎn)品����,或者如果實(shí)體16以與軟件產(chǎn)品的軟件許可證不符合的方式交易軟件產(chǎn)品(例如����,版權(quán)侵害)�����,則可以使分配給實(shí)體16的軟件產(chǎn)品的許可證密鑰無(wú)效�����。這種無(wú)效可能導(dǎo)致實(shí)體16對(duì)資產(chǎn)32的要求的否定,以及對(duì)先前由資產(chǎn)32的要求所確保的實(shí)體16的特權(quán)級(jí)別20增����、加的否定。另選地或者附加地�����,這種無(wú)效還可能導(dǎo)致實(shí)體16不能應(yīng)用資產(chǎn)32 (例如��,實(shí)體16的軟件許可證的無(wú)效��,導(dǎo)致不能在由實(shí)體16操作的任何裝置上運(yùn)行軟件產(chǎn)品)��。作為一個(gè)這種示例,資產(chǎn)32僅可以由少量實(shí)體16 (例如��,一個(gè))有效地要求�,并且若干實(shí)體16對(duì)要求資產(chǎn)32的嘗試可以導(dǎo)致資產(chǎn)32的資產(chǎn)標(biāo)識(shí)符36的無(wú)效。例如���,可以將這個(gè)機(jī)制實(shí)現(xiàn)為資產(chǎn)驗(yàn)證計(jì)數(shù)限制和資產(chǎn)驗(yàn)證計(jì)數(shù)��,所述資產(chǎn)驗(yàn)證計(jì)數(shù)限制與資產(chǎn)標(biāo)識(shí)符3 6相關(guān)(例如����,可以要求資產(chǎn)32的實(shí)體16的最大數(shù))以及所述資產(chǎn)驗(yàn)證計(jì)數(shù)在接收到對(duì)于資產(chǎn)32的每個(gè)要求后增加。資產(chǎn)驗(yàn)證計(jì)數(shù)增加超過(guò)資產(chǎn)驗(yàn)證計(jì)數(shù)限制可以被認(rèn)為是資產(chǎn)32的濫用(例如�����,違反許可協(xié)議的可能指示符)�����,并且可以導(dǎo)致資產(chǎn)標(biāo)識(shí)符36的無(wú)效(例如�����,利用軟件許可證發(fā)行的許可證密鑰)�����。作為這個(gè)第三方面的這個(gè)第一示例的進(jìn)一步的示例��,資產(chǎn)標(biāo)識(shí)符36相應(yīng)的驗(yàn)證可以與由實(shí)體16操作的特定裝置相關(guān)聯(lián)(例如��,驗(yàn)證票可以包括指示那些要求過(guò)資產(chǎn)標(biāo)識(shí)符36的裝置的設(shè)備標(biāo)識(shí)符的驗(yàn)證票裝置限制)��。例如�����,可以允許實(shí)體16在由實(shí)體16操作的特定數(shù)量的裝置上要求資產(chǎn)32��。如果資產(chǎn)驗(yàn)證計(jì)數(shù)增加到資產(chǎn)帳戶限制以上�����,則該服務(wù)可以給實(shí)體16呈現(xiàn)與資產(chǎn)標(biāo)識(shí)符36相關(guān)聯(lián)的裝置的列表(例如����,從中已經(jīng)要求資產(chǎn)標(biāo)識(shí)符36的裝置),并且可以允許實(shí)體16選擇將與資產(chǎn)標(biāo)識(shí)符36分離的裝置����。如果實(shí)體16選擇將分離的裝置,則該服務(wù)可以接收選出的裝置��,使選出的裝置與資產(chǎn)標(biāo)識(shí)符36分離�,遞減資產(chǎn)標(biāo)識(shí)符36的資產(chǎn)驗(yàn)證計(jì)數(shù),以及撤銷對(duì)實(shí)體的特權(quán)級(jí)別的提高���,其是響應(yīng)于實(shí)體對(duì)資產(chǎn)標(biāo)識(shí)符36的要求而已經(jīng)授予的特權(quán)級(jí)別��。如果選出的裝置隨后提交相同的資產(chǎn)標(biāo)識(shí)符36��,則該服務(wù)可以拒絕為選出的裝置驗(yàn)證資產(chǎn)標(biāo)識(shí)符36����。如此,可以允許實(shí)體16分離那些先前曾要求過(guò)資產(chǎn)32的裝置,從而保留了其余裝置對(duì)資產(chǎn)32的要求。作為這個(gè)第三方面的第二示例���,這些技術(shù)的一個(gè)實(shí)施例可以響應(yīng)于對(duì)若干實(shí)體16的每一個(gè)檢測(cè)的資產(chǎn)32的濫用而施加操作,實(shí)體16與資產(chǎn)標(biāo)識(shí)符36相關(guān)聯(lián)�。例如��,如果四個(gè)實(shí)體16試圖要求僅可以由一個(gè)實(shí)體16有效地要求的資產(chǎn)32 (例如��,僅擴(kuò)展到一個(gè)實(shí)體16和/或裝置的軟件許可證可能存在的版權(quán)侵害),則可以假定,試圖要求資產(chǎn)32的所有的實(shí)體16都潛在地涉及濫用�,并且可以將它的影響歸因于所有的這四個(gè)實(shí)體16��,例如,通過(guò)降低每個(gè)實(shí)體16的特權(quán)級(jí)別20。相反���,如果基于由實(shí)體16執(zhí)行的活動(dòng)74 (例如�����,執(zhí)行惡意活動(dòng)28的企圖)將實(shí)體16的特權(quán)級(jí)別20調(diào)整成較低的特權(quán)級(jí)別�����,則這些技術(shù)的實(shí)施例可以識(shí)別由實(shí)體16要求的所有資產(chǎn)32的所有資產(chǎn)標(biāo)識(shí)符36�,并且可以使與實(shí)體16相關(guān)聯(lián)的所有資產(chǎn)標(biāo)識(shí)符36無(wú)效。本領(lǐng)域的那些普通技術(shù)人員可以設(shè)計(jì)許多這種操作���,其響應(yīng)于檢測(cè)到的資產(chǎn)32濫用而被進(jìn)行���,同時(shí)實(shí)現(xiàn)了本文所介紹的技術(shù)��。雖然已經(jīng)以具體到結(jié)構(gòu)特征和/或方法過(guò)程的表達(dá)方式描述了本主題,但是應(yīng)理解的是�����,在附加的權(quán)利要求中定義的主題沒(méi)有必要局限于以上所述的具體特征或過(guò)程���。相反��,將以上所述的具體特征和過(guò)程作為實(shí)現(xiàn)權(quán)利要求的示例性形式而公開(kāi)��。作為本申請(qǐng)使用的術(shù)語(yǔ)“部件”�����、“模塊”���、“系統(tǒng)”����、“接口”等通常用來(lái)表示與計(jì)算機(jī)相關(guān)的實(shí)體,或者硬件��、硬件和軟件的組合�、軟件、或執(zhí)行中的 軟件�����。例如�,部件可以是,但不局限于�,在處理器上運(yùn)行的進(jìn)程����、處理器、對(duì)象����、可執(zhí)行文件、執(zhí)行的線程�����、程序和/或計(jì)算機(jī)。作為例證�,在控制器上運(yùn)行的應(yīng)用和該控制器二者都可以是部件����。一個(gè)或多個(gè)部件可以駐留在進(jìn)程和/或執(zhí)行的線程內(nèi),并且部件可以位于一個(gè)計(jì)算機(jī)上和/或分布在兩個(gè)或多個(gè)計(jì)算機(jī)之間�����。此外�����,可使用標(biāo)準(zhǔn)編程和/或工程技術(shù)來(lái)將所要求保護(hù)的主題實(shí)現(xiàn)為一種方法�、設(shè)備、或制品,來(lái)生產(chǎn)軟件�、固件、硬件或它們的任何組合以控制計(jì)算機(jī)實(shí)現(xiàn)所公開(kāi)的主題��。本文使用的術(shù)語(yǔ)“制品”是用來(lái)包括可從任何計(jì)算機(jī)可讀裝置��、載體或者介質(zhì)存取的計(jì)算機(jī)程序����。當(dāng)然,本領(lǐng)域的那些技術(shù)人員將認(rèn)識(shí)到可以對(duì)這些配置進(jìn)行許多修改��,而不脫離本所要求保護(hù)的主題的范圍或精神��。圖7及其后討論提供了實(shí)現(xiàn)本文闡述的一個(gè)或多個(gè)規(guī)定的實(shí)施例的適合的計(jì)算環(huán)境的簡(jiǎn)短���、概括描述�����。圖7的操作環(huán)境僅僅是適合的操作環(huán)境的一個(gè)示例,而沒(méi)有打算暗示對(duì)于操作環(huán)境的使用或功能范圍的任何限制�。示例性計(jì)算裝置包括,但不局限于����,個(gè)人計(jì)算機(jī)���、服務(wù)器計(jì)算機(jī)、手持式或者膝上型計(jì)算機(jī)裝置��、移動(dòng)裝置(例如移動(dòng)電話�����、個(gè)人數(shù)字助理(PDA)����、媒體播放器等)、多處理器系統(tǒng)�����、消費(fèi)電子設(shè)備�����、小型計(jì)算機(jī)��、大型計(jì)算機(jī)��,包括以上所述系統(tǒng)或裝置的任何一個(gè)的分布式計(jì)算環(huán)境等。盡管不作要求���,實(shí)施例是在由一個(gè)或多個(gè)計(jì)算裝置執(zhí)行的“計(jì)算機(jī)可讀指令”的一般語(yǔ)境下描述的���。可以經(jīng)由計(jì)算機(jī)可讀介質(zhì)分發(fā)計(jì)算機(jī)可讀指令(以下將討論)�。可以將計(jì)算機(jī)可讀指令作為程序模塊實(shí)現(xiàn)���,例如函數(shù)����、對(duì)象����、應(yīng)用編程接口(API)、數(shù)據(jù)結(jié)構(gòu)等��,其執(zhí)行特定任務(wù)或者實(shí)現(xiàn)特定抽象數(shù)據(jù)類型����。典型地�����,可以根據(jù)需要在各種環(huán)境中組合或分布計(jì)算機(jī)可讀指令的功能性。圖7圖示了包含被配置為實(shí)現(xiàn)本文提供的一個(gè)或多個(gè)實(shí)施例的計(jì)算裝置712的系統(tǒng)710的示例����。在一個(gè)配置中,計(jì)算裝置102包括至少一個(gè)處理單元106和存儲(chǔ)器108�。根據(jù)計(jì)算裝置具體配置和類型,存儲(chǔ)器108可以是易失性的(例如�����,諸如RAM)��,非易失性的(例如�,諸如ROM、閃速存儲(chǔ)器等)或這兩者的一些組合��。在圖7中用虛線104圖示了這個(gè)配置��。在其他實(shí)施例中���,裝置102可以包括另外的部件和/或功能�。例如���,裝置102還可以包括輔助存儲(chǔ)裝置(例如���,可拆卸的和/或不可拆卸的)��,包括但不限于磁存儲(chǔ)裝置�、光存儲(chǔ)裝置等�。在圖7用存儲(chǔ)裝置110圖示了這種輔助存儲(chǔ)裝置。在一個(gè)實(shí)施例中��,實(shí)現(xiàn)本文提供的一個(gè)或多個(gè)實(shí)施例的計(jì)算機(jī)可讀指令可以在存儲(chǔ)裝置110中�。存儲(chǔ)裝置110還可以存儲(chǔ)用來(lái)實(shí)現(xiàn)操作系統(tǒng)、應(yīng)用程序等的其他計(jì)算機(jī)可讀指令��。例如�����,可以將計(jì)算機(jī)可讀指令載入存儲(chǔ)器108����,以由處理單元106執(zhí)行。
本文使用的術(shù)語(yǔ)“計(jì)算機(jī)可讀介質(zhì)”包括計(jì)算機(jī)存儲(chǔ)介質(zhì)����。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令或者其他數(shù)據(jù)之類的信息的任何方法或技術(shù)實(shí)現(xiàn)的易失性的和非易失性的�、可拆卸的和不可拆卸的介質(zhì)�����。存儲(chǔ)器108和存儲(chǔ)裝置110是計(jì)算機(jī)存儲(chǔ)介質(zhì)的示例�。計(jì)算機(jī)存儲(chǔ)介質(zhì)包括����,但不局限于,RAM�����、R0M�、EEPR0M、閃速存儲(chǔ)器或其他存儲(chǔ)技術(shù)�、CD-ROM、數(shù)字通用光盤(DVD)或其他光存儲(chǔ)裝置��、磁卡帶���、磁帶�、磁盤存儲(chǔ)裝置或其他磁存儲(chǔ)裝置�、或可用于存儲(chǔ)期望的信息且可由計(jì)算裝置102訪問(wèn)的任何其他媒介���。任何這種計(jì)算機(jī)存儲(chǔ)介質(zhì)都可以是裝置102的一部分。裝置102還可以包括通信連接116����,其允許裝置102與其他裝置進(jìn)行通信。通信連接116可以包括�����,但不局限于�,調(diào)制解調(diào)器、網(wǎng)絡(luò)接口卡(NIC)�����、綜合網(wǎng)絡(luò)接口��、射頻發(fā)射器/接收器��、紅外線端口�����、USB連接或者用于將計(jì)算裝置102連接到其他計(jì)算裝置的其他接口。通信連接116可以包括有線連接或無(wú)線連接����。通信連接116可以傳送和/或接收通信媒體。術(shù)語(yǔ)“計(jì)算機(jī)可讀介質(zhì)”可以包括通信介質(zhì)����。典型地�����,通信介質(zhì)以“調(diào)制數(shù)據(jù)信號(hào)” 來(lái)具體化計(jì)算機(jī)可讀指令或者其他數(shù)據(jù)�����,例如載波或者其他傳送機(jī)構(gòu)���,并且包括任何信息遞送介質(zhì)���。術(shù)語(yǔ)“調(diào)制數(shù)據(jù)信號(hào)”可以包括以在該信號(hào)中編碼信息的方式設(shè)置或改變其一個(gè)或多個(gè)特性的信號(hào)。裝置102可以包括輸入裝置114����,例如鍵盤、鼠標(biāo)、筆��、語(yǔ)音輸入裝置�����、觸摸式輸入裝置����、紅外照相機(jī)、視頻輸入裝置和/或任何其他輸入裝置�����。在裝置102中還可以包括輸出裝置112���,例如���,一個(gè)或多個(gè)顯示器、揚(yáng)聲器���、打印機(jī)和/或任何其他輸出裝置����。可以經(jīng)由有線連接��、無(wú)線連接或者它們的任何組合來(lái)將輸入裝置114和輸出裝置112連接到裝置102����。在一個(gè)實(shí)施例中,可以將來(lái)自另一個(gè)計(jì)算裝置的輸入裝置或者輸出裝置用作計(jì)算裝置102的輸入裝置114或者輸出裝置112���?�?梢酝ㄟ^(guò)各種互連����,例如總線���,連接計(jì)算裝置102的各部件。這種互連可以包括外設(shè)圍部件互連(PCI )���,例如PCIExpress����,通用串行總線(USB)��,火線(IEEE1394),光學(xué)總線結(jié)構(gòu)等���。在另一個(gè)實(shí)施例中����,可以通過(guò)網(wǎng)絡(luò)互連計(jì)算裝置102的部件���。例如�����,可以由位于通過(guò)網(wǎng)絡(luò)互連的不同物理位置的多個(gè)物理存儲(chǔ)器單元組成存儲(chǔ)器108��。本領(lǐng)域的那些普通技術(shù)人員將認(rèn)識(shí)到����,可以跨網(wǎng)絡(luò)分布用于存儲(chǔ)計(jì)算機(jī)可讀指令的存儲(chǔ)裝置���。例如��,可經(jīng)由網(wǎng)絡(luò)118訪問(wèn)的計(jì)算裝置120可以存儲(chǔ)計(jì)算機(jī)可讀指令�,以實(shí)現(xiàn)本文提供的一個(gè)或多個(gè)實(shí)施例�。計(jì)算裝置102可以訪問(wèn)計(jì)算裝置120��,并且下載部分或全部計(jì)算機(jī)可讀指令以用于執(zhí)行����。另選地���,計(jì)算裝置102可以根據(jù)需要下載計(jì)算機(jī)可讀指令的片段����,或者在計(jì)算裝置102處可以執(zhí)行一些指令�,以及在計(jì)算裝置120處可以執(zhí)行一些指令。本文提供了實(shí)施例的各種操作���。在一個(gè)實(shí)施例中��,描述的一個(gè)或多個(gè)操作可以組成在一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)的計(jì)算機(jī)可讀指令,當(dāng)由計(jì)算裝置執(zhí)行時(shí)��,其將使得計(jì)算裝置執(zhí)行所描述的操作�����。對(duì)一些或全部操作進(jìn)行描述的順序不應(yīng)被看作是意味著這些操作必須依賴于該順序�。本領(lǐng)域技術(shù)人員在獲取了本說(shuō)明的益處后將意識(shí)到另選的排序���。此外,將理解的是���,并不是所有的操作都必須存在于本文提供的每個(gè)實(shí)施例中��。此外���,詞語(yǔ)“示例性的”在本文中用來(lái)表示用作示例、實(shí)例�����、或例證��。本文描述為“示例性的”任何方面或設(shè)計(jì)沒(méi)有必要被理解為優(yōu)于其他方面或設(shè)計(jì)�。相反,詞語(yǔ)示范性的使用是用來(lái)以具體方式介紹觀點(diǎn)�。如在本申請(qǐng)中使用的,術(shù)語(yǔ)“或”是指包括性的“或”����,而不是排他性的“或”。也就是說(shuō)�����,除非另外規(guī)定,或者根據(jù)上下文清楚理解����,“X使用A或B”是指正常包括性排列的任意一個(gè)。也就是說(shuō)�����,如果X使用A ����;X使用B ;或者X使用A和B兩者,則在前述實(shí)例的任意一個(gè)下都滿足“X使用A或B”�����。另外�,通常���,可以將本申請(qǐng)和所附權(quán)利要求中使用的冠詞“一個(gè)”和“一種”理解為“一個(gè)或多個(gè)”����,除非另外規(guī)定或者從上下文清楚理解為針對(duì)單數(shù)形式。同樣�,盡管已經(jīng)參照一個(gè)或多個(gè)實(shí)現(xiàn)方式示出以及描述了本公開(kāi),但是基于對(duì)本說(shuō)明書(shū)和所附附圖的閱讀和理解��,本領(lǐng)域的其他技術(shù)人員會(huì)想到等同的替換和修改����。本公開(kāi)包括所有這些修改和替換,并且僅僅受限于以下權(quán)利要求的范圍�����。尤其對(duì)于由以上描述的部件(例如��,元件�,資源等)執(zhí)行的各種功能,用來(lái)描述這些部件所使用的術(shù)語(yǔ)規(guī)定為與執(zhí)行所描述的部件的具體功能(例如�����,功能上等同的)的任何部件相對(duì)應(yīng)��,除非另有陳述�,即使在結(jié)構(gòu)上未能與執(zhí)行本公開(kāi)示范性實(shí)現(xiàn)方式所圖示的本文中的功能的本公開(kāi)結(jié)構(gòu)相等同。另外�,盡管可參照若干實(shí)現(xiàn)方式中的僅僅一個(gè)公開(kāi)了本公開(kāi)的具體特征���,但是可以將這種 特征與其余實(shí)現(xiàn)方式的一個(gè)或多個(gè)其他特征進(jìn)行組合,因?yàn)檫@可能是期望的并且對(duì)于任何給定的或具體的應(yīng)用而言是有利的�����。此外�����,在具體實(shí)施方式
或權(quán)利要求中使用的術(shù)語(yǔ)“包括”���、“具有”�、“擁有”�����、“帶有”或者它們的變體的情況下��,這樣的術(shù)語(yǔ)被規(guī)定為類似于術(shù)語(yǔ)“包含”的方式的包括性�����。
權(quán)利要求
1.一種利用具有處理器(64)的裝置(62)識(shí)別實(shí)體(16)的特權(quán)級(jí)別(20)的方法(40)���,所述方法(40)包括 在所述處理器(64)上執(zhí)行(44)的指令(86)����,其被配置為 給所述實(shí)體(16)分配(46)特權(quán)級(jí)別(20)����; 在檢測(cè)到所述實(shí)體(16)的活動(dòng)(74)后,基于所述活動(dòng)(74)調(diào)整(48)所述實(shí)體(16)的所述特權(quán)級(jí)別(20);以及 在從所述實(shí)體(16)接收(50)到由所述實(shí)體(16)購(gòu)買的資產(chǎn)(32)的資產(chǎn)標(biāo)識(shí)符(36)后 驗(yàn)證(52)所述資產(chǎn)(32)的所述資產(chǎn)標(biāo)識(shí)符(36);以及 在驗(yàn)證所述資產(chǎn)標(biāo)識(shí)符(36)之后�����,提高(54)所述實(shí)體(16)的所述特權(quán)級(jí)別(20)�����。
2.如權(quán)利要求I所述的方法 所述裝置包括另選的驗(yàn)證技術(shù)����;以及 所述指令被配置為,在從實(shí)體接收到提高所述實(shí)體的所述特權(quán)級(jí)別的請(qǐng)求后 給所述實(shí)體呈現(xiàn)資產(chǎn)驗(yàn)證選項(xiàng)以及另選的驗(yàn)證選項(xiàng)���; 在從所述實(shí)體接收到所述資產(chǎn)驗(yàn)證選項(xiàng)的選擇后����,從所述實(shí)體請(qǐng)求由所述實(shí)體購(gòu)買的資產(chǎn)的至少一個(gè)資產(chǎn)標(biāo)識(shí)符;以及 在從所述實(shí)體接收到另選的驗(yàn)證選項(xiàng)的選擇后���,調(diào)用所述另選的驗(yàn)證技術(shù)����。
3.如權(quán)利要求I所述的方法 所述裝置包括具有與所述實(shí)體的所述特權(quán)級(jí)別相關(guān)聯(lián)的服務(wù)質(zhì)量的�、被提供給相應(yīng)的實(shí)體的服務(wù);以及 所述指令被配置為以與所述實(shí)體的所述特權(quán)級(jí)別相關(guān)聯(lián)的所述服務(wù)質(zhì)量將所述服務(wù)提供給所述實(shí)體���。
4.如權(quán)利要求I所述的方法 由所述實(shí)體以資產(chǎn)成本購(gòu)買所述資產(chǎn)�����;以及 提高所述實(shí)體的所述特權(quán)級(jí)別包括與所述資產(chǎn)的所述資產(chǎn)成本成比例地提高所述實(shí)體的所述特權(quán)級(jí)別����。
5.如權(quán)利要求I所述的方法 所述資產(chǎn)包括軟件資產(chǎn)的軟件許可證����;以及 所述資產(chǎn)標(biāo)識(shí)符包括表示所述軟件資產(chǎn)的所述軟件許可證的軟件許可證證書(shū)。
6.如權(quán)利要求5所述的方法 所述軟件許可證證書(shū)可由軟件許可服務(wù)驗(yàn)證����;以及 所述指令被配置為 將所述軟件許可證證書(shū)發(fā)送給所述軟件許可服務(wù)���,以及 從所述軟件許可服務(wù)接收對(duì)所述軟件許可證證書(shū)的驗(yàn)證��。
7.如權(quán)利要求6所述的方法��,所述指令被配置為 在從所述軟件許可服務(wù)接收到所述軟件許可證書(shū)的驗(yàn)證后 生成表示所述軟件許可證書(shū)驗(yàn)證的驗(yàn)證票��,以及 將所述驗(yàn)證票發(fā)送給所述實(shí)體�����;以及 驗(yàn)證所述資產(chǎn)標(biāo)識(shí)符包括從所述實(shí)體接收驗(yàn)證票�,以及 驗(yàn)證所述實(shí)體的所述驗(yàn)證票。
8.如權(quán)利要求7所述的方法�����,所述驗(yàn)證票包括一個(gè)驗(yàn)證票限制�����。
9.如權(quán)利要求8所述的方法��,所述驗(yàn)證票限制選自驗(yàn)證票限制集合,其包括 驗(yàn)證票持續(xù)時(shí)間限制���; 驗(yàn)證票裝置限制�; 驗(yàn)證票實(shí)體限制����;以及 驗(yàn)證票使用計(jì)數(shù)限制。
10.如權(quán)利要求8所述的方法���,所述指令被配置為在接收到違反至少一個(gè)驗(yàn)證票限制的驗(yàn)證票后����,使所述驗(yàn)證票無(wú)效��。
11.如權(quán)利要求8所述的方法�����,所述指令被配置為在接收的違反至少一個(gè)驗(yàn)證票限制的驗(yàn)證票后 請(qǐng)求來(lái)自所述實(shí)體的所述軟件許可證書(shū)�����;以及 在從所述軟件許可服務(wù)接收到所述軟件許可證書(shū)的驗(yàn)證后 生成表示所述軟件許可證書(shū)驗(yàn)證的更新的驗(yàn)證票�,以及 將所述更新的驗(yàn)證票發(fā)送給所述實(shí)體���。
12.如權(quán)利要求8所述的方法 相應(yīng)的驗(yàn)證票包括至少一個(gè)裝置的至少一個(gè)設(shè)備標(biāo)識(shí)符;以及 驗(yàn)證所述資產(chǎn)標(biāo)識(shí)符包括 從發(fā)送所述驗(yàn)證票的裝置接收至少一個(gè)設(shè)備標(biāo)識(shí)符�,以及 驗(yàn)證所述驗(yàn)證票包括所述裝置的至少一個(gè)設(shè)備標(biāo)識(shí)符。
13.如權(quán)利要求I所述的方法�����,所述指令被配置為在檢測(cè)到資產(chǎn)的濫用后����,使所述資產(chǎn)的所述資產(chǎn)標(biāo)識(shí)符無(wú)效�。
14.如權(quán)利要求13所述的方法 至少一個(gè)資產(chǎn)標(biāo)識(shí)符與資產(chǎn)驗(yàn)證計(jì)數(shù)限制相關(guān)聯(lián); 驗(yàn)證所述資產(chǎn)標(biāo)識(shí)符包括在驗(yàn)證所述資產(chǎn)標(biāo)識(shí)符后�,增加所述資產(chǎn)標(biāo)識(shí)符的資產(chǎn)驗(yàn)證計(jì)數(shù);以及 檢測(cè)所述資產(chǎn)的濫用包括將所述資產(chǎn)驗(yàn)證計(jì)數(shù)增加到所述資產(chǎn)驗(yàn)證計(jì)數(shù)限制以上����。
15.一種被配置為識(shí)別實(shí)體(16)的特權(quán)級(jí)別(20)的系統(tǒng)(66),所述系統(tǒng)(66)包括 實(shí)體特權(quán)啟動(dòng)部件(68)���,其被配置為給所述實(shí)體(16)分配(46)特權(quán)級(jí)別(20)��; 實(shí)體監(jiān)控部件(70)����,其被配置為在檢測(cè)到所述實(shí)體(16)的活動(dòng)(74)后,基于所述活動(dòng)(74)調(diào)整(48)所述實(shí)體(16)的所述特權(quán)級(jí)別(20);以及 實(shí)體資產(chǎn)驗(yàn)證部件(72)�����,其被配置為在從所述實(shí)體(16)接收到由所述實(shí)體(16)購(gòu)買的資產(chǎn)(32)的資產(chǎn)標(biāo)識(shí)符(36)后 驗(yàn)證(52)所述資產(chǎn)(32)的所述資產(chǎn)標(biāo)識(shí)符(36);以及 在驗(yàn)證所述資產(chǎn)標(biāo)識(shí)符(36)后���,提高(54)所述實(shí)體(16)的所述特權(quán)級(jí)別(20)�。
全文摘要
可以將由一組實(shí)體可訪問(wèn)的服務(wù)基于實(shí)體的特權(quán)級(jí)別�,以不同的服務(wù)級(jí)別(例如,具有一組不同的特權(quán))提供給每個(gè)實(shí)體�。然而,許多用戶試圖通過(guò)該服務(wù)執(zhí)行惡意活動(dòng)��,并且這樣做而可能不受懲罰��,如果檢測(cè)的處罰是不合理的����。相反,可以基于對(duì)具有可識(shí)別價(jià)值的資產(chǎn)的要求來(lái)確定實(shí)體的特權(quán)級(jí)別��?�?梢酝ㄟ^(guò)將資產(chǎn)標(biāo)識(shí)符提交給該服務(wù)來(lái)確定這種要求,例如����,通過(guò)提交以真實(shí)成本購(gòu)買的許可證密鑰而識(shí)別出的軟件許可證的證據(jù)。對(duì)于這種用戶執(zhí)行惡意活動(dòng)的處罰可以包括無(wú)效這種資產(chǎn)標(biāo)識(shí)符�。以這個(gè)方式確定相應(yīng)實(shí)體的特權(quán)級(jí)別提高了試圖對(duì)服務(wù)惡意使用的處罰,并且因此提高了威懾力����。
文檔編號(hào)H04L29/06GK102739638SQ20121009473
公開(kāi)日2012年10月17日 申請(qǐng)日期2012年3月31日 優(yōu)先權(quán)日2011年3月31日
發(fā)明者E.吉倫, E.弗萊施曼, H.T.博斯坦奇, M.R.埃爾斯, R.E.樊凡特 申請(qǐng)人:微軟公司