近場通信認證機制的制作方法
【專利摘要】描述了一種計算設備。該計算設備包括接收傳感數(shù)據(jù)的輸入/輸出(I/O)電路和受信任的執(zhí)行環(huán)境,該受信任的執(zhí)行環(huán)境監(jiān)視I/O電路以檢測計算設備的一個或多個上下文特征,并基于上下文特征,認證用戶身份。
【專利說明】近場通信認證機制
[0001 ] 領域
[0002]此處所描述的各實施例一般涉及計算機系統(tǒng)用戶認證。更具體而言,各實施例涉及用于在計算設備上進行上下文認證的機制。
【背景技術】
[0003]在當前計算機系統(tǒng)應用中,基于標準的傳統(tǒng)的認證方法來唯一地標識用戶已經(jīng)變得困難,因為身份會輕松地被盜用,詐騙非常普遍。具體地,實現(xiàn)密碼以促進用戶認證的應用程序會危害安全性和隱私。
[0004]附圖簡述
[0005]各實施例作為示例而非限制在所附附圖中示出,在附圖中,同樣的參考編號指代同樣的元件。
[0006]圖1是示出了網(wǎng)絡系統(tǒng)的一個實施例的框圖。
[0007]圖2示出了本地計算設備的一個實施例的框圖。
[0008]圖3示出了受信任的執(zhí)行環(huán)境的一個實施例的框圖。
[0009]圖4是示出了由受信任的執(zhí)行環(huán)境執(zhí)行的過程的一個實施例的流程圖。
[0010]圖5是示出了由受信任的執(zhí)行環(huán)境執(zhí)行的認證的一個實施例的流程圖。
[0011 ]圖6是示出了由受信任的執(zhí)行環(huán)境執(zhí)行的身份提供的一個實施例的流程圖。
[0012]圖7是示出了由受信任的執(zhí)行環(huán)境執(zhí)行的認證的另一實施例的流程圖。
[0013]圖8是示出了受信任的執(zhí)行環(huán)境的另一實施例的框圖。
[0014]圖9是示出了由受信任的執(zhí)行環(huán)境執(zhí)行的認證的另一實施例的流程圖。
[0015]圖10是示出了遠程證明過程的一個實施例的流程圖。
【具體實施方式】
[0016]在下面的描述中,闡述了眾多特定細節(jié)。然而,可在不具有這些特定細節(jié)的情況下實踐本文中所述的諸實施例。在其他實例中,沒有詳細示出公知的電路、結構以及技術,以便不至于使對本描述的理解變得模糊。
[0017]貫穿本文檔,諸如“邏輯”、“組件”、“模塊”、“框架”、“引擎”、“存儲”等等之類的術語可以被可互換地引用,并作為示例可包括,軟件、硬件和/或軟件與硬件的任何組合(諸如,固件)。
[0018]盡管本公開的概念易于具有各種修改和替代形式,但是已在附圖中以示例方式示出了本公開的特定實施例,并將在本文中詳細地描述。然而,應該理解,沒有將本公開的概念限制于所公開的特定形式的意圖,相反,意圖旨在涵蓋符合本公開和所附權利要求書的所有修改、等效和替代方案。
[0019]說明書中對“一個實施例”、“實施例”、“說明性實施例”等等的引用指示所描述的實施例可包括特定特征、結構或特性,但是,每一個實施例可包括或可以不一定包括該特定特征、結構或特性。此外,這樣的短語不一定是指同一個實施例。此外,當結合實施例描述特定特征、結構或特性時,認為結合無論是否明確描述的其他實施例來實施這樣的特征、結構或特性在本領域技術人員的知識范圍之內。
[0020]在某些情況下,可在硬件、固件、軟件或其任何組合中實現(xiàn)所公開的實施例。所公開的實施例也可以實現(xiàn)為可以由一個或多個處理器讀取并執(zhí)行的、由暫態(tài)或非暫態(tài)機器可讀(例如,計算機可讀)存儲介質承載或存儲于其上的指令。機器可讀存儲介質可以具體化為用于以可由機器讀取的形式存儲或傳輸信息的任何存儲設備、機制或其他物理結構(例如,易失性或非易失性存儲器、介質盤或其他介質設備)。
[0021]在附圖中,某些結構或方法特征能以特定安排和/或排序示出。然而,應當理解,這樣的特定安排和/或排序可能不是必需的。相反,在某些實施例中,這樣的特征能以與在說明性附圖中所示出的不同的方式和/或順序安排。另外,在特定附圖中對結構或方法特征的包括不意味著暗示這樣的特征在所有實施例中都時必需的,并且在某些實施例中,可以不包括這樣的特征,或者它可以與其他特征相結合。
[0022]圖1公開了包括本地計算設備102、網(wǎng)絡104以及遠程計算設備106的系統(tǒng)100。在使用中,如下面比較詳細地討論的,本地計算設備102和遠程計算設備106可以通過網(wǎng)絡104彼此進行通信,以建立單向的、雙向的或多邊的信任關系。雖然在圖1中只說明性地示出了一個本地計算設備102、一個網(wǎng)絡104,以及一個遠程計算設備106,但是,在其他實施例中,系統(tǒng)100可包括任意數(shù)量的本地計算設備102、網(wǎng)絡104,以及遠程計算設備106。
[0023]本地計算設備102可以具體化為能夠執(zhí)行本文中所描述的功能的任何類型的計算設備。例如,本地計算設備102可以具體化為臺式計算機、膝上型計算機、移動因特網(wǎng)設備、手持式計算機、智能電話、個人數(shù)字助理、電話設備,或其他計算設備。在圖1的說明性實施例中,本地計算設備102包括處理器108、1/0子系統(tǒng)110、存儲器112、通信電路116、數(shù)據(jù)存儲設備118、一個或多個外圍設備120、安全協(xié)處理器122、數(shù)據(jù)庫密鑰生成器124,以及密鑰數(shù)據(jù)庫126。
[0024]本地計算設備102還可以包括安全存儲器114、生物測定捕捉設備128以及安全輸入/輸出電路130。在某些實施例中,前述的組件中的多個可以被包括在本地計算設備102的主板上,而其他組件可以通過,例如,外圍端口,可通信地耦合到主板。此外,還應該理解,本地計算設備102可以包括通常在計算機和/或計算設備中發(fā)現(xiàn)的在圖1中為描述清楚起見未示出的其他組件、子組件,以及器件。
[0025]本地計算設備102的處理器108可以具體化為能夠執(zhí)行軟件/固件的任何類型的處理器,諸如微處理器、數(shù)字信號處理器、微控制器等等。在某些實施例中,處理器108可以是具有處理器核的單核處理器。然而,在其他實施例中,處理器108可以具體化為具有多個處理器核的多核處理器。另外,本地計算設備102可包括額外的處理器108,每一處理器108都具有一個或多個處理器核。
[0026]本地計算設備102的I/O子系統(tǒng)110可以具體化為電路和/或組件以促進利用本地計算設備102的處理器108和/或其他組件的輸入/輸出操作。在某些實施例中,I/O子系統(tǒng)110可以具體化為存儲器控制器中樞(MCH或“北橋”)、輸入/輸出控制器中樞(ICH或“南橋”)以及固件設備。在這樣的實施例中,I/O子系統(tǒng)110的固件設備可以具體化為存儲器設備,用于存儲基本輸入/輸出系統(tǒng)(B1S)數(shù)據(jù)和/或指令和/或其他信息(例如,在本地計算設備102的啟動過程中使用的B1S驅動程序)。
[0027]然而,在其他實施例中,可以使用具有其他配置的I/O子系統(tǒng)。例如,在某些實施例中,I/O子系統(tǒng)110可以被實現(xiàn)為平臺控制器中樞(PCH)。在這樣的實施例中,存儲器控制器中樞(MCH)可以被包含在處理器108中或以別的方式與處理器108相關聯(lián),處理器108可以直接與存儲器112進行通信(如圖1中的虛線所示)。另外,在其他實施例中,I/O子系統(tǒng)204可以形成片上系統(tǒng)(SoC)的一部分,并可與本地計算設備102的處理器108、及其他組件一起被合并在單個集成電路芯片上。
[0028]處理器108通過許多信號路徑可通信地耦合到I/O子系統(tǒng)110。這些信號路徑(及圖1中所示出的其他信號路徑)可以被實現(xiàn)為能夠促進本地計算設備102的各組件之間的通信的任何類型的信號路徑。例如,信號路徑可以被實現(xiàn)為任意數(shù)量的線路、電纜、光波導、印刷電路板跡線、通道、總線、中間設備,和/或等等。
[0029]本地計算設備102的存儲器112可以被實現(xiàn)為或以別的方式包括一個或多個存儲器設備或數(shù)據(jù)存儲位置,包括,例如,動態(tài)隨機存取存儲器設備(DRAM)、同步動態(tài)隨機存取存儲器設備(SDRAM)、雙倍數(shù)據(jù)速率同步動態(tài)隨機存取存儲器設備(DDR SDRAM)、帶掩模的只讀存儲器(ROM)設備、可擦除編程ROM(EPROM)、電可擦可編程序只讀存儲器(EEPROM)設備、閃存設備,和/或其他易失性和/或非易失性存儲器設備。存儲器112通過許多信號路徑可通信地耦合到I/O子系統(tǒng)110。雖然在圖1中只示出了單一存儲器設備112,但是,在其他實施例中,本地計算設備102可包括另外的存儲器設備。各種數(shù)據(jù)和軟件可以存儲在存儲器設備112中。例如,構成由處理器108執(zhí)行的軟件堆棧的一個或多個操作系統(tǒng)、應用程序、程序、庫,以及驅動程序可以在執(zhí)行過程中駐留在存儲器112中。進一步地,存儲在存儲器112中的軟件和數(shù)據(jù)可以作為存儲器管理操作的一部分,在存儲器112和數(shù)據(jù)存儲118之間交換。
[0030]本地計算設備102的通信電路116可以被實現(xiàn)為用于通過網(wǎng)絡104在本地計算設備102和遠程計算設備(例如,遠程計算設備106)之間實現(xiàn)通信的任意數(shù)量的設備和電路。網(wǎng)絡104可具體化為任意數(shù)量的各種有線和/或無線通信網(wǎng)絡。例如,網(wǎng)絡104可具體化為或以其他方式包括,局域網(wǎng)(LAN)、廣域網(wǎng)(WAN)和/或諸如因特網(wǎng)之類的可公開地訪問的全球網(wǎng)絡。在某些實施例中,網(wǎng)絡104可以包括一層鏈路級別的安全性。
[0031 ]另外,網(wǎng)絡104還可包括任意數(shù)量的額外的設備以促進本地計算設備102和遠程計算設備106之間的通信。取決于,例如,特定類型的網(wǎng)絡104,本地計算設備102和遠程計算設備106可以使用任何合適的通信協(xié)議來通過網(wǎng)絡104相互進行通信。在某些實施例中,本地計算設備102和遠程計算設備106可以使用標準化的因特網(wǎng)密鑰交換(IKE)協(xié)議的一個版本,通過網(wǎng)絡104相互進行通信。在其他實施例中,本地計算設備102和遠程計算設備106可以使用SIGMA Sign-and-MAC協(xié)議(例如,SIGMA Sign-and-MAC算法的任何變體,包括,但不僅限于,SIGMA-1、SIGMA-R、SIGMA-4,和/或 JFK)來進行通信。
[0032]數(shù)據(jù)存儲設備118可以被實現(xiàn)為任何類型的被配置成用于數(shù)據(jù)的短期或長期存儲的設備,諸如,例如,存儲器設備和電路、存儲器卡、硬盤驅動器、固態(tài)驅動器、或其他數(shù)據(jù)存儲設備。本地計算設備102的經(jīng)加密的密鑰數(shù)據(jù)庫126可以存儲在數(shù)據(jù)存儲設備118中。在一個實施例中,可以使用數(shù)據(jù)庫包裝器密鑰來加密密鑰數(shù)據(jù)庫126,數(shù)據(jù)庫包裝器密鑰可以是作為本地計算設備102的硬件的函數(shù)生成的對稱的密碼密鑰。例如,在某些實施例中,可以使用物理不可克隆的函數(shù)(PUF或PUFS)和/或PUF電路,來生成數(shù)據(jù)庫包裝器密鑰。
[0033]本地計算設備102的外圍設備120可包括任意數(shù)量的外圍或接口設備。例如,外圍設備120可包括顯示器、鍵盤、鼠標、外接揚聲器和/或其他外圍設備。外圍設備120中所包括的特定設備可以取決于,例如,本地計算設備102的計劃的用途。外圍設備120通過許多信號路徑,可通信地耦合到I/O子系統(tǒng)110,由此,允許I/O子系統(tǒng)110和/或處理器108接收來自外圍設備120的輸入并向外圍設備120發(fā)送輸出。
[0034]安全性協(xié)處理器122可以具體化為能夠建立受信任的執(zhí)行環(huán)境202的任何硬件組件或電路(參見圖2)。例如,安全性協(xié)處理器122可以被具體化為可信平臺模塊(“TPM”)、可管理性引擎(ME)或帶外處理器。在某些實施例中,可以在安全性協(xié)處理器122的制造過程中,將公共增強型隱私標識(EPID)密鑰和私人EPID密鑰提供到安全性協(xié)處理器122中。在其他實施例中,可以將EPID密鑰提供到本地計算設備102的一個或多個其他組件中。
[0035]EPID密鑰與具有單一公共EPID密鑰的組相關聯(lián)??梢詫儆谠摻M的任何私人EPID(可以有許多)與公共EPID密鑰配對,作為有效公共-私人加密對。例如,本地計算設備102的安全性協(xié)處理器122可以具有一個私人EPID密鑰,而遠程計算設備106的安全性協(xié)處理器146可以具有不同的私人EPID密鑰。如果安全性協(xié)處理器122和安全性協(xié)處理器146都是同一組的成員,那么,它們的私人EPID密鑰兩者都是帶有相同公共EPID密鑰的有效非對稱密鑰對。如此,EPID密鑰允許成員的匿名性和不可鏈接性兩者。在其他實施例中,可以使用另一個一對多加密方案。
[0036]數(shù)據(jù)庫密鑰生成器124可以具體化為能夠作為本地計算設備102的硬件的函數(shù),生成數(shù)據(jù)庫包裝器密鑰的任何硬件組件或電路。例如,數(shù)據(jù)庫密鑰生成器124可包括PUF電路或電路元件或以別的方式使用抗竄改硬件熵源(例如,基于PUF技術)來生成數(shù)據(jù)庫包裝器密鑰。在某些實施例中,數(shù)據(jù)庫密鑰生成器124還可以包括與PUF電路相關聯(lián)的錯誤校正電路或邏輯。
[0037]可以在本地計算設備102的啟動時,實現(xiàn)數(shù)據(jù)庫密鑰生成器124,以生成可以被用來解密密鑰數(shù)據(jù)庫126的數(shù)據(jù)庫包裝器密鑰(S卩,對稱的密碼密鑰)。密鑰數(shù)據(jù)庫126可以是適用于存儲加密密鑰和唯一設備/實體標識符的任何電子布局或結構。在說明性實施例中,密鑰數(shù)據(jù)庫126利用數(shù)據(jù)庫包裝器密鑰來加密,并存儲在永久性存儲器中,諸如,例如,數(shù)據(jù)存儲設備118。為了訪問加密密鑰或以別的方式更新密鑰數(shù)據(jù)庫126,受信任的執(zhí)行環(huán)境202從數(shù)據(jù)存儲設備118中檢索經(jīng)加密的密鑰數(shù)據(jù)庫126,并利用數(shù)據(jù)庫包裝器密鑰來解密經(jīng)加密的密鑰數(shù)據(jù)庫126。
[0038]在要求在本地計算設備102上驗證用戶存在的各實施例中,本地計算設備102可包括安全存儲器114、生物測定捕捉設備128,以及安全輸入/輸出電路130。在這樣的實施例中,安全輸入/輸出電路130可以被包括在I/O子系統(tǒng)110中,是安全地傳輸媒體的硬件加強的路徑。另外,存儲器112還可包括安全存儲器114的一部分。安全存儲器114可以用于應用程序和硬件之間的硬件實施的保護。
[0039]在某些實施例中,安全存儲器114可以被包括在處理器圖形電路或圖形外圍卡上或可以是存儲器112的供處理器圖形電路或圖形外圍卡使用的單獨的分區(qū)。在一個實施例中,可以使用受保護的音頻視頻路徑(PAVP)和/或受保護的事務顯示(PTD)技術,使用安全存儲器114和安全輸入/輸出電路130,來實現(xiàn)這樣的硬件加強的安全性。例如,在某些實施例中,可以使用受保護的事務顯示,通過隨機化的個人標識號(PIN)襯墊來認證用戶,該隨機化的個人標識號襯墊通過受保護的音頻視頻路徑,虛擬地顯示在本地計算設備102的顯示器上。進一步地,還應該理解,硬件加強的安全性的替代的實現(xiàn)可以使用安全存儲器114和安全輸入/輸出電路130以驗證用戶存在。
[0040]生物測定捕捉設備128可以具體化為能夠生成本地計算設備102的用戶的實時生物測定數(shù)據(jù)的任何類型的生物測定捕捉設備。例如,生物測定捕捉設備128可以具體化為能夠生成本地計算設備102的用戶的實時圖像的照相機(攝像機),諸如靜物照相機、視頻攝像機,等等??闪磉x地或另外,生物測定捕捉設備128可包括指紋掃描器、手紋掃描器、虹膜掃描器、視網(wǎng)膜掃描器,或聲音分析器。生物測定捕捉設備還可以包括可以具體化為任何類型的生物測定系統(tǒng)的生物測定系統(tǒng),包括多模態(tài)生物測定系統(tǒng)。在某些實施例中,生物測定捕捉設備128可以被包括到本地計算設備102的外殼中。例如,生物測定捕捉設備128可以是在本地計算設備102的顯示屏幕附近包括的攝像機(例如,網(wǎng)絡攝像頭)。具體而言,攝像機可以捕捉本地計算設備102的當前用戶的面部圖像。在其他實施例中,生物測定捕捉設備128可以是可通信地耦合到本地計算設備102的外圍設備。
[0041]遠程計算設備106可以類似于本地計算設備102。如此,遠程計算設備106可以具體化為能夠執(zhí)行本文中所描述的功能的任何類型的計算設備。在圖1的說明性實施例中,遠程計算設備106包括處理器132、I/O子系統(tǒng)134、存儲器136、通信電路140、數(shù)據(jù)存儲設備142、一個或多個外圍設備144、安全協(xié)處理器146、數(shù)據(jù)庫密鑰生成器148,以及密鑰數(shù)據(jù)庫150。
[0042]遠程計算設備106還可以包括安全存儲器138、生物測定捕捉設備152,以及安全輸入/輸出電路154。在某些實施例中,前述的組件中的多個可以被包括在遠程計算設備106的主板上,而其他組件可以通過,例如,外圍端口,可通信地耦合到主板。此外,還應該理解,遠程計算設備106可以包括通常在計算機和/或計算設備中發(fā)現(xiàn)的在圖1中為描述清楚起見未示出的其他組件、子組件,以及器件。
[0043]處理器132、1/0子系統(tǒng)134、存儲器136、安全存儲器138、通信電路140、數(shù)據(jù)存儲設備142、一個或多個外圍設備144、安全性協(xié)處理器146、數(shù)據(jù)庫密鑰生成器148、密鑰數(shù)據(jù)庫150、生物測定捕捉設備152,以及安全輸入/輸出電路154可以類似于如上文所描述的本地計算設備102的對應的組件。如此,對本地計算設備102的這樣的類似的組件的描述同樣地適用于遠程計算設備106的類似的組件,為描述清楚起見,此處不重復。
[0044]在使用中,如圖2所示,本地計算設備102可以建立受信任的環(huán)境200。在說明性實施例中,環(huán)境200包括受信任的執(zhí)行環(huán)境202、數(shù)據(jù)庫密鑰生成器124、密鑰數(shù)據(jù)庫126、通信模塊204、安全輸入/輸出模塊206,以及生物測定捕捉設備128。
[0045]受信任的執(zhí)行環(huán)境202可以由安全性協(xié)處理器122植入以建立安全環(huán)境。在某些實施例中,在使用時,存儲在密鑰數(shù)據(jù)庫126中的加密密鑰只能被受信任的執(zhí)行環(huán)境202訪問。當不在使用時,密鑰數(shù)據(jù)庫126可以利用由數(shù)據(jù)庫密鑰生成器124生成的數(shù)據(jù)庫包裝器密鑰來加密,并存儲在數(shù)據(jù)存儲設備118中。在圖2的說明性實施例中,存儲在密鑰數(shù)據(jù)庫126中的密碼密鑰和由數(shù)據(jù)庫密鑰生成器124生成的數(shù)據(jù)庫包裝器密鑰無法被處理器108訪問。如此,在某些實施例中,只有受信任的執(zhí)行環(huán)境202才可以訪問數(shù)據(jù)庫包裝器密鑰。在某些實施例中,環(huán)境200還可以包括安全輸入/輸出模塊206,該模塊206可以是被設計用于安全地與本地計算設備102的I /0子系統(tǒng)110中的安全輸入/輸出電路130進行交互的軟件/固件。
[0046]通信模塊204可以通過網(wǎng)絡104,處理本地計算設備102和遠程計算設備(包括遠程計算設備106)之間的通信。在又一實施例中,通信模塊204促進通過NFC或藍牙的通信。在這樣的實施例中,通信模塊204包括可以與NFC設備或遠程計算設備106進行通信的NFC讀取器。
[0047]受信任的執(zhí)行環(huán)境202、數(shù)據(jù)庫密鑰生成器124、密鑰數(shù)據(jù)庫126、通信模塊204、安全輸入/輸出模塊206,以及生物測定捕捉設備128中的每一個都可以具體化為硬件、軟件、固件或其組合。應該理解,遠程計算設備106可以建立類似于環(huán)境200的用于與本地計算設備102進行通信的環(huán)境。例如,遠程計算設備106還可以具有可以通過通信模塊204與受信任的執(zhí)行環(huán)境202進行通信的受信任的執(zhí)行環(huán)境。
[0048]如上文所討論的,由于安全缺陷,常規(guī)密碼認證機制不完全。根據(jù)一實施例,受信任的執(zhí)行環(huán)境202使用基于上下文的認證來降低對密碼的依賴。在這樣的實施例中,受信任的執(zhí)行環(huán)境202實現(xiàn)本地計算設備102的基于上下文的特征,來驗證用戶的身份。上下文特征可以標識提供唯一標識符而不會公開可能是身份盜竊的目標的其他標識屬性(例如,姓名、地址、年齡,等等)的屬性。
[0049]設備認證
[0050]根據(jù)一實施例,受信任的執(zhí)行環(huán)境202認證NFC設備,諸如智能卡或啟用NFC的計算設備(例如,智能電話),并監(jiān)視用戶存在。圖3示出了這樣的受信任的執(zhí)行環(huán)境202的一個實施例的框圖。根據(jù)一實施例,執(zhí)行環(huán)境202包括反射鏡通過模塊330和身份保護模塊350。反射鏡通過模塊330是多因素認證模塊,該模塊包括認證管理器332以提供對用戶的NFC設備的認證。在這樣的實施例中,認證管理器332接收表示檢測到對在計算設備102上實現(xiàn)的NFC讀取器的敲擊的信號,如此,開始認證過程。
[0051]反射鏡通過模塊330接收從NFC設備輸出的用戶私鑰和來自用戶記錄334的數(shù)據(jù),以執(zhí)行認證。一旦被認證,狀態(tài)管理器335就監(jiān)視用戶存在。如此,不再要求NFC卡。在一個實施例中,狀態(tài)管理器335接收并分析來自接近度傳感器(例如,紅外線、超聲波、藍牙,等等)的信號,以判斷用戶是否仍在本地計算設備102的附近。在這樣的實施例中,狀態(tài)管理器335可以接收來自安全輸入/輸出模塊206和/或生物測定捕捉設備128的信號。
[0052]在又一實施例中,一旦成功地執(zhí)行認證,反射鏡通過模塊330就將私鑰安裝在身份保護模塊350中。身份保護模塊350是使用從反射鏡通過模塊330接收到的私鑰來建立對一個或多個遠程計算設備(例如,遠程計算設備106)上的資源的訪問的資源管理器。在一個實施例中,在檢測到經(jīng)認證的用戶不再存在時,反射鏡通過模塊330就禁用私鑰并從身份保護模塊350中將其刪除。
[0053]圖4是示出了由受信任的執(zhí)行環(huán)境執(zhí)行的認證過程的一個實施例的流程圖。在處理框410,給NFC設備提供私鑰。在一個實施例中,如果使用證書,則在PKI實施之后,創(chuàng)建證書。在各實施例中,證書可以存儲在NFC設備中,在受信任的執(zhí)行環(huán)境202中或兩者中。在處理框420,用戶使用NFC敲擊來認證,這會導致私鑰被導出到受信任的執(zhí)行環(huán)境202。在一個實施例中,反射鏡通過模塊330選擇隨機地生成的密鑰導出包裹密鑰。在這樣的實施例中,NFC設備使用包裹密鑰來構建公鑰加密標準12(PKCS12)密鑰導出塊。隨后,NFC設備保留私鑰的副本。然后,用戶可以將NFC卡置于NFC讀取器的范圍之外(例如,放在口袋中)。
[0054]在處理框430,反射鏡通過模塊330打開PKCS12塊,并將導出密鑰轉發(fā)到受信任的執(zhí)行環(huán)境202。在處理框440,受信任的執(zhí)行環(huán)境202導入私鑰,并使其可供計算設備102上的宿主軟件或其他受信任的執(zhí)行環(huán)境202服務使用。在處理框450,遠程計算設備上的遠程web/企業(yè)服務使用私鑰來建立對資源的安全訪問。
[0055]在判斷框460,就用戶是否持續(xù)被檢測到作出判斷。如果是,則控制保持在判斷框460。否則,狀態(tài)管理器335檢測到用戶不再存在,并通知身份保護模塊350,經(jīng)認證的用戶的存在丟失,處理框470 ο在處理框480,身份保護模塊350刪除導入的私鑰,如此,阻止對遠程的訪問。在一個實施例中,顯示設備刪除通知。
[0056]在其他實施例中,NFC設備實現(xiàn)通常通過NFC構架交換的認證協(xié)議,該協(xié)議被稱為“用于帶有隱私的訪問控制、標識,以及票據(jù)的開放協(xié)議(OPACITY)”協(xié)議。OPACITY被設計成防止NFC卡和讀取器的無線電范圍內的惡意軟件。根據(jù)一實施例,反射鏡通過模塊330包括模塊336以為OPACITY認證協(xié)議提供支持。在這樣的實施例中,opacity模塊336以固件或主機可加載的固件來實現(xiàn),用于啟動前操作,第三方可以有選擇性地更新OPACITY算法。在又一實施例中,在第一次提供時,使用認證管理器332存儲器密鑰,來加密opacity模塊336。
[0057]圖5是示出了由受信任的執(zhí)行環(huán)境202使用OPACITY認證協(xié)議執(zhí)行的認證的一個實施例的流程圖。在處理框505,作為制造或初始部署的一部分,在受信任的執(zhí)行環(huán)境202中,提供廠家模塊336。在一個實施例中,類似地提供了廠家錨密鑰,而在受信任的執(zhí)行環(huán)境202和遠程計算設備之間,使用SIGMA協(xié)議,實現(xiàn)錨提供。在又一實施例中,可以使用廠家密鑰,進一步加密opacity模塊336。在進一步的實施例中,使用反射鏡通過模塊330存儲器密鑰,來保護廠家密鑰。在這樣的實施例中,使用反射鏡通過模塊330閃存存儲器來本地地存儲包裹的密鑰,或由主機存儲,并在OPACITY模塊336被加載時動態(tài)地加載。
[0058]在處理框510,廠家頒發(fā)包括非對稱密鑰和用戶記錄的NFC卡。在判斷框515,就NFC卡對通信模塊204中的NFC讀取器的敲擊是否是用戶第一次敲擊特定卡作出判斷。如果是,則使用非對稱密鑰來根據(jù)OPACITY協(xié)議,執(zhí)行簽名的Diffie-Hel Iman密鑰交換,處理框520。在一個實施例中,受信任的執(zhí)行環(huán)境202支持與多個用戶的配對關系,其中,每一用戶都可以擁有多個配對的設備(例如,智能電話,卡或平板)。在處理框525,為受信任的執(zhí)行環(huán)境202和NFC卡兩者,記住對稱的密鑰SKMAC和SKENC。
[0059]隨后,或如果敲擊是NFC卡的隨后的敲擊,則根據(jù)OPACITY協(xié)議,使用SKMAC和SKENC,來保護認證質詢/響應,處理框530。在處理框535 ,OPACITY模塊336驗證交換的用戶記錄,并將用戶記錄傳遞到認證管理器232,以與緩存在用戶記錄334中的用戶記錄進行比較。在其中無本地緩存的副本可用的各實施例中,OPACITY模塊336可以聯(lián)絡服務器,以在反射鏡通過模塊330本地地緩存用戶記錄之前,執(zhí)行后端驗證。在處理框540,狀態(tài)管理器335監(jiān)視存在傳感器,如上文所討論的,以檢測經(jīng)認證的用戶存在的丟失。
[0060]智能電話認證
[0061]也可以使用配備有NFC或藍牙無線電的移動計算設備(例如,智能電話)作為認證設備。然而,現(xiàn)有的機制要求受信任的后端服務器提供智能電話認證能力。進一步,連續(xù)性計算設備配對協(xié)議不能確保用戶計劃將智能電話用作認證因素,并且不會作為配對的一部分,提供用戶憑據(jù)。提供用戶身份會在提供過程中向中間人攻擊監(jiān)聽器暴露個人可標識的?目息(PII) ο
[0062]根據(jù)一實施例,實現(xiàn)受信任的執(zhí)行環(huán)境202,以提供用戶身份提供,和對具有NFC和/或藍牙能力的智能電話的認證。圖6是示出了由受信任的執(zhí)行環(huán)境202執(zhí)行的身份提供的一個實施例的流程圖。在處理框605 JFC或藍牙發(fā)現(xiàn)協(xié)議向受信任的執(zhí)行環(huán)境202引入智能電話。在一個實施例中,當智能電話廣告它可以被用作認證因素時,通知反射鏡通過模塊330。
[0063]在處理框610,反射鏡通過模塊330提示用戶將智能電話配置為認證因素,此時,NFC設備記錄被實例化。在處理框615,通過安全輸入/輸出電路130(受保護的事務顯示),提示用戶,授權設置。此過程確定了用戶打算將反射鏡通過模塊330與智能電話配對。在處理框620,在反射鏡通過模塊330和智能電話之間建立共享的設備密鑰。在一個實施例中,協(xié)議通過協(xié)商對稱的加密密鑰,優(yōu)化認證性能。例如,SIGMA會話為保密性和完整性保護,產生SK、MK密鑰。
[0064]在處理框625,智能電話生成配對PIN,供向用戶顯示,這確定了用戶打算將智能電話與反射鏡通過模塊330配對。在處理框630,使用MK/SK來包裹配對PIN,以建立正確的反射鏡通過模塊330設備上下文。另外,還可以提供其他標識和用戶信息。在處理框635,通過受保護的事務顯示,顯示配對PIN。在一個實施例中,用戶可以確認,此PIN是通過智能電話顯示的同一個(例如,受保護的事務顯示對話框可以顯示ΟΚ/CANCEL消息)。在這樣的實施例中,反射鏡通過模塊330認識到,只有用戶才會同意配對。雖然上文討論了為認證實現(xiàn)PIN,但是,其他實施例可以采用替代的用戶認證機制(例如,迅速響應(QR)代碼。
[0065]在處理框640,智能電話設備記錄與反射鏡通過模塊330中的用戶記錄相關聯(lián)。在處理框645,在用戶記錄334中,預先提供的用戶記錄被更新(或新使用,創(chuàng)建記錄),包括智能電話設備記錄。在處理框650,使用MK/SK來包裹用戶記錄,以建立反射鏡通過模塊330設備上下文,并提供到智能電話。在一個實施例中,用戶記錄可以被縮寫。
[0066]上文所描述的提供過程既不要求受信任的啟動OS/驅動程序,也不要求后端服務器提供智能電話。此外,無敏感的用戶身份信息對藍牙/NFC信道可見。智能電話設備可以驗證計算設備102的真實性,而計算設備102可以證明其身份正在被配對的用戶實際授權了配對。
[0067]圖7是示出了由受信任的執(zhí)行環(huán)境202執(zhí)行的認證的一個實施例的流程圖。在處理框705,藍牙/NFC發(fā)現(xiàn)協(xié)議向受信任的執(zhí)行環(huán)境202引入智能電話。在一個實施例中,當智能電話廣告它可以被用作NFC認證因素時,通知反射鏡通過模塊330。在處理框710,反射鏡通過模塊330從用戶記錄334中定位預先存儲的設備記錄,并構建用戶認證質詢。
[0068]在處理框715,用戶認證質詢被傳輸?shù)街悄茈娫挕樘幚砜?20,智能電話為反射鏡通過模塊330定位用戶記錄和設備記錄。在處理框725,使用預先協(xié)商的共享的密鑰(MK/SK),包裹用戶記錄。在處理框730,反射鏡通過模塊330打開憑據(jù)。在處理框735,反射鏡通過模塊330驗證用戶和設備記錄信息。在處理框740,反射鏡通過模塊330確定訪問特權。在處理框745,反射鏡通過模塊330將訪問特權安裝在身份保護模塊350中,如此,指出訪問各種平臺資源的授權。
[0069]自適應認證
[0070]在一個實施例中,受信任的執(zhí)行環(huán)境202實現(xiàn)一種靈活的身份驗證機制,該機制基于給定情況,修改質詢/響應認證。例如,當房間暗,不適合于面部識別時,受信任的執(zhí)行環(huán)境202平臺感應到用戶存在,以及沒有光用于好的面部識別,自動地呈現(xiàn)替換的認證機制。
[0071]圖8是示出了被實現(xiàn)以執(zhí)行自適應認證的受信任的執(zhí)行環(huán)境202的一個實施例的框圖。在此實施例中,除前面所討論的組件之外,受信任的執(zhí)行環(huán)境202還包括傳感器中樞810,以及上下文知曉自適應認證(CA3)分析器850。傳感器中樞810通過安全輸入/輸出模塊206和/或生物測定捕捉設備128,耦合到在計算設備102中實現(xiàn)的所有可用的傳感器,以便接收傳感器數(shù)據(jù)。
[0072]CA3分析器850從傳感器中樞810接收傳感器數(shù)據(jù),并分析數(shù)據(jù),以動態(tài)地確定要用于執(zhí)行用戶驗證的一組認證因素。根據(jù)一實施例,CA3分析器850評估計算設備102,以修改并動態(tài)地確定執(zhí)行認證質詢和響應的最佳方式。具體而言,CA3分析器850為成功的用戶認證,確定哪些用戶屬性將被驗證。
[0073]在一個實施例中,判斷基于關于外部上下文條件的信息(例如,地理位置、噪聲、無線接入點、靜止網(wǎng)絡設備,等等),平臺能力(可用的傳感器、0S、VPN,等等),和/或平臺狀態(tài),諸如內部存儲的信息(例如,高速緩存、策略、配置文件)以及功率狀態(tài)。對于基于狀態(tài)的認證策略,CA3分析器850可以基于日志以及行為分析,高速緩存用戶并設置用戶簡檔,以作出認證機制選擇。相應地,CA3分析器850可以基于特定上下文內的用戶的認證歷史,修改質詢和響應。
[0074]一旦CA3分析器850確定認證方法,反射鏡通過模塊330內的認證管理器335就獲取結果,并基于確定的方法,作出認證決策。圖9是示出了由受信任的執(zhí)行環(huán)境執(zhí)行的自適應認證過程的一個實施例的流程圖。在處理框905,由用戶觸發(fā)計算設備102上的實體驗證請求。在各實施例中,觸發(fā)可以是主動的(例如,按Ctr 1+A1 t+DeI按鈕)或被動的(例如,用戶接近系統(tǒng))過程。
[0075]在處理框910,CA3分析器850收集上下文信息。在此過程中,CA3分析器850從傳感器中樞810收集上下文信息,作為外部上下文信息(例如,噪聲、光、位置等等)。例如,如果房間內的光亮小于最小光量,則不考慮基于攝像機的諸如面部識別之類的認證機制,使用諸如語音之類的替代方案。在此過程中,CA3分析器850還從安全存儲器114搜集信息,作為內部上下文信息。
[0076]在處理框915,除認證策略之外(例如,本地和IT),CA3分析器850還基于收集到的上下文,評估認證選項。這會產生對即將來臨的認證會話是最好的帶有對應的傳感器(Si,82,83)的用戶屬性(€142汀3"_)的列表。在處理框920,認證管理器335執(zhí)行認證。在一個實施例中,認證管理器335執(zhí)行認證過程,直到給定認證選項完成(例如,驗證了對應于認證選項的所有因素)。
[0077]在判斷框925,就認證是否成功作出判斷。如果認證成功,則用戶被授予對系統(tǒng)或請求的資源的訪問,處理框930。更具體而言,可以將最終結果安裝在身份保護模塊350中,用于關于身份驗證和認證的強度的發(fā)布聲明,該發(fā)布聲明又可以被資源提供商及其他平臺組件使用。如果認證不成功,則訪問被拒絕,向用戶呈現(xiàn)錯誤消息,處理框930。在處理框940,記錄結果,用于審核和潛在地長期的行為分析,分析結果可以用于將來的認證選擇中。
[0078]基于上下文的遠程證明
[0079]根據(jù)一實施例,上文所描述的自適應上下文認證可以在遠程證明應用程序中實現(xiàn),可以被實現(xiàn)以與一個或多個遠程計算設備(例如,計算設備106)建立信任關系。在這樣的實施例中,遠程計算設備操作基于云的證明服務(證明服務計算設備),該服務通過硬件、安裝的軟件、傳感輸入(例如,用戶存在),行為模式和基于位置的數(shù)據(jù),執(zhí)行本地計算設備102的遠程證明。如此,受信任的執(zhí)行環(huán)境202給基于云的服務,提供用于證明的可靠的,可信任的并且精確的數(shù)據(jù),這些數(shù)據(jù)可以基于計算設備102屬性,唯一地標識用戶。在一個實施例中,用戶可以控制哪些上下文信息被包括在證明中。如果上下文度量與常規(guī)用戶憑據(jù)組合,則信譽身份可以變?yōu)槠髽I(yè)身份管理系統(tǒng)的典型的強的身份。
[0080]根據(jù)一實施例,證明服務計算設備生成證明結果令牌,該證明結果令牌通過安全信道,被傳輸回本地計算設備102,到受信任的執(zhí)行環(huán)境202。在其他實施例中,證明服務計算設備可以另外執(zhí)行傳統(tǒng)的安全性掃描,根據(jù)軟件模塊白名單、惡意軟件黑名單,等等,驗證掃描結果。在證明成功時,本地計算設備102被允許與另一遠程計算設備(第三方計算設備)進行交互。
[0081]在這樣的實施例中,第三方計算設備將具有測量本地計算設備102和用戶的安全性信譽的能力,該能力可以幫助確定應用于事務的策略類型。在一個實施例中,當本地計算設備102連接到第三方計算設備(例如,銀行)時,呈現(xiàn)令牌并驗證。在一個實施例中,除標準標識數(shù)據(jù)之外,驗證還涉及第三方計算設備通過令牌驗證證明服務計算設備的簽名。在一個實施例中,通過在本地計算設備102和第三方計算設備之間直接建立的安全會話,提供令牌。安全令牌充當本地計算設備102包括執(zhí)行事務的必要的資格的證據(jù),用戶的上下文屬性被適當?shù)刈C實。結果,事務可以安全地進行。
[0082]圖10是示出了基于上下文的遠程證明過程的一個實施例的流程圖。在處理框1005,本地計算設備102試圖訪問第三方計算設備上的資源(例如,網(wǎng)頁),此時,第三方計算設備請求證明令牌。在處理框1010,本地計算設備102訪問證明服務計算設備。在處理框1015,在本地計算設備102和證明服務計算設備之間建立安全通信會話。
[0083]在一個實施例中,通過SIGMA協(xié)議實現(xiàn)通信會話。在這樣的實施例中,隨后的SIGMA會話使用來自前一會話的令牌,作為上下文屬性中的一個。在又一實施例中,證明服務計算設備選擇本地計算設備102將被知道所采用的名稱,以允許本地計算設備102最初保留隱私。隨著本地計算設備102參與證明,可以暴露區(qū)別本地計算設備102與其他客戶端的上下文屬性。此信息可以在某個時候唯一地全局性地標識本地計算設備102。
[0084]在處理框1020,本地計算設備102將上下文屬性報告給證明服務計算設備。在一個實施例中,使用混合函數(shù)(例如,X0R)來組合上下文屬性,以產生令牌,該令牌被保存,用于下一會話,等等。如上文所討論的,本地計算設備102可以暴露可區(qū)別的上下文信息,該上下文信息允許用戶甚至在第三方計算設備使用令牌作為標識符(圍繞該標識符,構建信譽簡檔)的情況下控制隱私簡檔。如此,第三方計算設備可以基于簡檔行為,合理地減輕詐騙,但是,可能不會準確地知道表現(xiàn)出可疑的行為的本地計算設備102。
[0085]在處理框1025,證明服務計算設備針對predicate策略,評估上下文屬性。在判斷框1030,就是否滿足了策略作出判斷。如果沒有,則過程結束。否則,生成令牌,處理框1035。在處理框1040,證明服務計算設備利用其私鑰,對令牌進行簽名。在處理框1045,在本地計算設備102內的受信任的執(zhí)行環(huán)境202中接收令牌。在處理框1050,保存令牌。
[0086]在處理框1055,令牌被傳輸?shù)降谌接嬎阍O備。在判斷框1060,就令牌是否有效作出判斷。在一個實施例中,驗證要求本地計算設備102通過向第三方計算設備證明,令牌是由證明服務計算設備向本地計算設備102頒發(fā)的,來認證。在這樣的實施例中,本地計算設備102可以使用Kerberos票據(jù)來對令牌進行簽名/加密,其中,令牌包括本地計算設備102的身份字符串。這可使第三方計算設備將令牌中的身份與票據(jù)中的身份進行比較。進一步,令牌可包括日期戳,以使第三方計算設備能夠判斷令牌是否陳舊。
[0087]在替換實施例中,第三方計算設備可以基于由所述證明服務計算設備包括在所述令牌中的現(xiàn)時值,確定令牌新鮮度,第三方計算設備可以將該現(xiàn)時值與前一消息比較,以確保所述現(xiàn)時值單調地增大。如果在判斷框1060,令牌被判斷為無效,則過程終止。否則,第三方計算設備向本地計算設備102提供對資源的訪問,處理框1065。
[0088]應當理解,對于某些實現(xiàn),比上文所描述的示例更少或更多配備的系統(tǒng)可以是優(yōu)選的。因此,取決于諸如價格約束、性能要求、技術改善或其他情況之類的眾多因素,計算設備102的配置在各實現(xiàn)之間不同。電子設備或計算機系統(tǒng)102的示例可包括但不限于,移動設備、個人數(shù)字助理、移動計算設備、智能電話、蜂窩電話、手持設備、單向尋呼機、雙向尋呼機、消息傳送設備、計算機、個人計算機(PC)、臺式計算機、膝上型計算機、筆記本計算機、手持式計算機、平板計算機、服務器、服務器陣列或服務器場、web服務器、網(wǎng)絡服務器、互聯(lián)網(wǎng)服務器、工作站、小型計算機、大型計算機、超級計算機、網(wǎng)絡設備、web設備、分布式計算系統(tǒng)、多處理器系統(tǒng)、基于處理器的系統(tǒng)、消費電子產品、可編程消費電子產品、電視機、數(shù)字電視、機頂盒、無線接入點、基站、訂戶站、移動訂戶中心、無線電網(wǎng)絡控制器、路由器、集線器、網(wǎng)關、橋接器、交換機、機器或其組合。
[0089]諸實施例可以被實現(xiàn)為下列各項中的任何一項或其組合:使用母板互連的一個或多個微芯片或集成電路、硬連線邏輯、由存儲器設備存儲并由微處理器執(zhí)行的軟件、固件、專用集成電路(ASIC)和/或現(xiàn)場可編程門陣列(FPGA)。術語“邏輯”作為示例可以包括軟件、硬件和/或軟件和硬件的組合。
[0090]可提供例如作為計算機程序產品的諸實施例,該計算機程序產品可以包括具有存儲于其上的機器可執(zhí)行指令的一種或多種機器可讀介質,當由諸如計算機、計算機網(wǎng)絡,或其他電子設備之類的一個或多個機器執(zhí)行這些機器可執(zhí)行指令時,這些指令可使一個或多個機器實施根據(jù)本文中所描述的諸實施例的操作。機器可讀介質可包括但不限于,軟盤、光盤、CD-ROM(緊致盤-只讀存儲器),以及磁光盤、R0M、RAM、EPR0M(可擦除可編程只讀存儲器)、EEPR0M(電可擦可編程只讀存儲器)、磁卡或光卡,閃存,或適于存儲機器可執(zhí)行指令的任何類型的介質/機器可讀介質。
[0091]此外,各實施例還可以被作為計算機程序產品下載,其中,經(jīng)由通信鏈路(例如,調制解調器和/或網(wǎng)絡連接),通過被具體化在載波或其他傳播介質中和/或由載波或其他傳播調制的一個或多個數(shù)據(jù)信號,可將程序從遠程計算機(例如,服務器)傳輸?shù)秸埱笥嬎銠C(例如,客戶機)。
[0092]如在權利要求書中所使用的那樣,除非另外指定,否則用于描述共同元件的序數(shù)形容詞“第一”、“第二”、“第三”等的使用僅僅指示正在指同樣的元件的不同的實例,并且不旨在暗示如此所描述的元件必須按給定順序(無論是在時間上、在空間上),按排名或按任何其他方式。
[0093]以下條款和/或示例涉及進一步的實施例或示例。這些示例中的細節(jié)可以在一個或多個實施例中的任何地方被使用。能以各種方式將不同的實施例或示例的各種特征所包括的某些特征及被排除的其特征相結合以適應各種不同的應用。示例可包括下列主題,諸如方法、用于執(zhí)行方法的動作的裝置,包括指令的至少一個機器可讀取的介質,所述指令,當由機器執(zhí)行時,使機器執(zhí)行根據(jù)此處所描述的實施例和示例的便于廣告內容和用戶內容的內容摹式和分布的方法或設備或系統(tǒng)的動作。
[0094]一些實施例涉及示例I,該示例I包括計算設備,其中具有接收傳感數(shù)據(jù)的輸入/輸出(I/o)電路和受信任的執(zhí)行環(huán)境,該受信任的執(zhí)行環(huán)境監(jiān)視I/O電路以檢測計算設備的一個或多個上下文特征,并基于上下文特征,認證用戶身份。
[0095]示例2包括示例I所述的主題,其中,所述受信任的執(zhí)行環(huán)境包括認證近場通信(NFC)設備的多因素認證模塊。
[0096]示例3包括示例2所述的主題,其中,所述多因素認證模塊包括認證所述(NFC)設備的認證管理器模塊;以及,狀態(tài)管理器,所述狀態(tài)管理器監(jiān)視所述傳感數(shù)據(jù)以檢測從所述I/O電路接收到的所述傳感數(shù)據(jù)。
[0097]示例4包括示例3所述的主題,其中,所述狀態(tài)管理器分析所述傳感數(shù)據(jù)以檢測用戶是否位于所述用戶設備的附近。
[0098]示例5包括示例4所述的主題,其中,所述認證管理器從所述NFC設備接收私鑰。
[0099]示例6包括示例5所述的主題,進一步包括身份保護模塊,用于從所述認證管理器接收所述私鑰,以及使用所述私鑰,保護對遠程計算設備上的資源的訪問。
[0100]示例7包括示例6所述的主題,其中,在所述狀態(tài)管理器檢測到所述用戶不在所述用戶設備附近時,所述認證管理器禁用來自所述身份保護模塊的所述私鑰。
[0101]示例8包括示例5所述的主題,其中,所述認證管理器生成包裹密鑰,并將所述包裹密鑰傳輸?shù)剿鯪FC設備。
[0102]示例9包括示例3所述的主題,其中,所述多因素認證模塊進一步包括用于帶有隱私的訪問控制、標識,以及票據(jù)的開放協(xié)議(OPACITY)模塊,以通過OPACITY認證協(xié)議,與所述NFC設備進行通信。
[0103]示例10包括示例9所述的主題,其中,使用來自所述認證管理器的存儲密鑰,加密所述OPACITY模塊。
[0104]示例11包括示例2所述的主題,其中,所述NFC設備是智能卡。
[0105]示例12包括示例2所述的主題,其中,在檢測到所述NFC設備可以被用作認證因素時,所述多因素認證模塊就提供所述NFC設備。
[0106]示例13包括示例12所述的主題,其中,所述多因素認證模塊傳輸將所述NFC設備配置為認證因素的提示,并實例化NFC設備的記錄。
[0107]示例14包括示例13所述的主題,其中,所述多因素認證模塊為NFC設備建立共享的加密密鑰。
[0108]示例15包括示例13所述的主題,其中,所述多因素認證模塊從所述NFC設備接收配對Pin,并將讓用戶輸入所述配對pin供顯示的提示傳輸?shù)斤@示設備。
[0109]示例16包括示例15所述的主題,其中,所述多因素認證模塊驗證用戶的所述配對pin的輸入,并將所述NFC設備與存儲的記錄相關聯(lián)。
[0110]示例17包括示例16所述的主題,其中,所述多因素認證模塊使用所述記錄,建立所述NFC設備的上下文。
[0111]示例18包括示例17所述的主題,其中,所述多因素認證模塊通過將認證質詢傳輸?shù)剿鯪FC設備,認證所述NFC設備,在驗證接收到對所述質詢的真實的響應時,就確定所述NFC設備的訪問特權。
[0112]示例19包括示例12所述的主題,其中,所述NFC設備是啟用NFC的計算設備。
[0113]示例20包括示例2所述的主題,其中,受信任的執(zhí)行環(huán)境包括:從所述I/O電路接收所述傳感數(shù)據(jù)的傳感器中樞,上下文知曉自適應認證(CA3)分析器,用于分析所述傳感數(shù)據(jù)并基于所述計算設備的特征,動態(tài)地確定認證所述用戶身份的方法,以及,認證所述用戶身份的多因素認證模塊。
[0114]示例21包括示例20所述的主題,其中,所述CA3分析器基于通過所述I/O電路接收到的關于所述計算設備上的外部條件的信息,確定所述認證所述用戶身份的方法。
[0115]示例22包括示例21所述的主題,其中,所述CA3分析器基于指出所述計算設備的能力的上下文,確定認證所述用戶身份的所述方法。
[0116]示例23包括示例22所述的主題,其中,所述CA3分析器基于指出所述計算設備的狀態(tài)的上下文,確定認證所述用戶身份的所述方法。
[0117]示例24包括示例23所述的主題,其中,所述CA3分析器基于指出存儲在所述計算設備上的信息的上下文,確定認證所述用戶身份的所述方法。
[0118]示例25包括示例20所述的主題,并進一步包括基于所述計算設備的特征,與遠程計算設備建立信任關系的身份保護模塊。
[0119]示例26包括示例25所述的主題,其中,所述身份保護模塊通過網(wǎng)絡從證明服務計算設備接收令牌,并使用所述令牌進行認證,通過所述網(wǎng)絡訪問第三方計算設備。
[0120]示例27是包括下列各項的方法:在輸入/輸出(I/O)電路中接收傳感數(shù)據(jù),在受信任的執(zhí)行環(huán)境中監(jiān)視所述I/O電路,以檢測計算設備的一個或多個上下文特征,以及,所述受信任的執(zhí)行環(huán)境基于所述傳感數(shù)據(jù)的特征,認證用戶身份。
[0121]示例28包括示例27所述的主題,其中,所述受信任的執(zhí)行環(huán)境認證近場通信(NFC)設備。
[0122]示例29包括示例28所述的主題,其中,所述受信任的執(zhí)行環(huán)境認證用戶身份包括認證近場通信(NFC)設備,以及,分析所述傳感數(shù)據(jù)以檢測用戶是否位于所述用戶設備的附近。
[0123]示例30包括示例29所述的主題,其中,認證所述NFC設備包括從所述NFC設備接收私鑰。
[0124]示例31包括示例30所述的主題,進一步包括將所述私鑰安裝在身份保護模塊中;以及,所述身份保護模塊使用所述私鑰,保護對遠程計算設備上的資源的訪問。
[0125]示例32包括示例31所述的主題,并進一步包括,在檢測到所述用戶不在所述用戶設備附近時,就從所述身份保護模塊中刪除所述私鑰。
[0126]示例33包括示例31所述的主題,并進一步包括生成包裹密鑰,并將所述包裹密鑰傳輸?shù)剿鯪FC設備。
[0127]示例34包括示例29所述的主題,并進一步包括,所述受信任的執(zhí)行環(huán)境通過帶有隱私的訪問控制、標識以及票據(jù)的開放協(xié)議(OPACITY)認證協(xié)議,與所述NFC設備進行通信。
[0128]示例35包括示例28所述的主題,并進一步包括,在檢測到所述NFC設備可以被用作認證因素時,就提供所述NFC設備。
[0129]示例36包括示例35所述的主題,其中,提供所述NFC設備進一步包括傳輸將所述NFC設備配置為認證因素的提示;以及,實例化NFC設備的記錄。
[0130]示例37包括示例36所述的主題,其中,提供所述NFC設備進一步包括為NFC設備建立共享加密密鑰。
[0131]示例38包括示例37所述的主題,其中,提供所述NFC設備進一步包括從所述NFC設備接收配對pin,并將讓用戶輸入所述配對pin供顯示的提示傳輸?shù)斤@示設備。
[0132]示例39包括示例38所述的主題,其中,提供所述NFC設備進一步包括驗證用戶的所述配對pin的輸入;以及,將所述NFC設備與存儲的記錄相關聯(lián)。
[0133]示例40包括示例39所述的主題,其中,提供所述NFC設備進一步包括使用所述NFC設備的上下文,建立記錄。
[0134]示例41包括示例28所述的主題,其中,認證所述NFC設備包括將認證質詢傳輸?shù)剿鯪FC設備,在驗證接收到對所述質詢的真實的響應時,就確定所述NFC設備的訪問特權。
[0135]示例42包括示例35所述的主題,其中,所述NFC設備是啟用NFC的計算設備。
[0136]示例43包括示例28所述的主題,其中,所述NFC設備是智能卡。
[0137]示例44包括示例27所述的主題,并進一步包括在從所述I/O電路接收到所述傳感數(shù)據(jù)之后,分析所述傳感器數(shù)據(jù);以及,基于所述計算設備的特征,動態(tài)地確定認證所述用戶身份的方法。
[0138]示例45包括示例44所述的主題,其中,基于通過所述I/O電路接收到的關于所述計算設備上的外部條件的信息,確定所述認證所述用戶身份的方法。
[0139]示例46包括示例45所述的主題,其中,基于指出所述計算設備的能力的上下文,確定認證所述用戶身份的所述方法。
[0140]示例47包括示例46所述的主題,其中,基于指出所述計算設備的狀態(tài)的上下文,確定認證所述用戶身份的所述方法。
[0141]示例48包括示例47所述的主題,其中,基于指出存儲在所述計算設備上的信息的上下文,確定認證所述用戶身份的所述方法。
[0142]示例49包括示例44所述的主題,并進一步包括基于所述計算設備的特征,與遠程計算設備建立信任關系。
[0143]示例50包括示例49所述的主題,并進一步包括通過網(wǎng)絡從證明服務計算設備接收令牌,并使用所述令牌進行認證,通過所述網(wǎng)絡,訪問第三方計算設備。
[0144]示例51包括其中包括多條指令的機器可讀取的介質,響應于在計算設備上被執(zhí)行,導致計算設備執(zhí)行包括下列各項的操作:在輸入/輸出(I/O)電路中接收傳感數(shù)據(jù),在受信任的執(zhí)行環(huán)境中監(jiān)視所述I/O電路,以檢測計算設備的一個或多個上下文特征,以及,所述受信任的執(zhí)行環(huán)境基于所述傳感數(shù)據(jù)的特征,認證用戶身份。
[0145]示例52包括示例51所述的主題,其中,所述受信任的執(zhí)行環(huán)境認證近場通信(NFC)設備。
[0146]示例53包括示例52所述的主題,其中,所述受信任的執(zhí)行環(huán)境認證用戶身份包括認證近場通信(NFC)設備,以及,分析所述傳感數(shù)據(jù)以檢測用戶是否位于所述用戶設備的附近。
[0147]示例54包括示例53所述的主題,其中,認證所述NFC設備包括從所述NFC設備接收私鑰。
[0148]示例55包括示例54所述的主題,進一步包括將所述私鑰安裝在身份保護模塊中;以及,所述身份保護模塊使用所述私鑰,保護對遠程計算設備上的資源的訪問。
[0149]示例56包括示例55所述的主題,并進一步包括,在檢測到所述用戶不在所述用戶設備附近時,就從所述身份保護模塊中刪除所述私鑰。
[0150]示例57包括示例55所述的主題,并進一步包括生成包裹密鑰,并將所述包裹密鑰傳輸?shù)剿鯪FC設備。
[0151]示例58包括示例53所述的主題,并進一步包括,所述受信任的執(zhí)行環(huán)境通過帶有隱私的訪問控制、標識,以及票據(jù)的開放協(xié)議(OPACITY)認證協(xié)議,與所述NFC設備進行通
?目O
[0152]示例59包括示例52所述的主題,并進一步包括,在檢測到所述NFC設備可以被用作認證因素時,就提供所述NFC設備。
[0153]示例60包括示例59所述的主題,其中,提供所述NFC設備進一步包括傳輸將所述NFC設備配置為認證因素的提示;以及,實例化NFC設備的記錄。
[0154]示例61包括示例60所述的主題,其中,提供所述NFC設備進一步包括為NFC設備建立共享加密密鑰。
[0155]示例62包括示例61所述的主題,其中,提供所述NFC設備進一步包括從所述NFC設備接收配對pin,并將讓用戶輸入所述配對pin供顯示的提示傳輸?shù)斤@示設備。
[0156]示例63包括示例62所述的主題,其中,提供所述NFC設備進一步包括驗證用戶的所述配對pin的輸入;以及,將所述NFC設備與存儲的記錄相關聯(lián)。
[0157]示例64包括示例63所述的主題,其中,提供所述NFC設備進一步包括使用所述NFC設備的上下文,建立記錄。
[0158]示例65包括示例52所述的主題,其中,認證所述NFC設備包括將認證質詢傳輸?shù)剿鯪FC設備,在驗證接收到對所述質詢的真實的響應時,就確定所述NFC設備的訪問特權。
[0159]示例66包括示例59所述的主題,其中,所述NFC設備是啟用NFC的計算設備。
[Ο??Ο] 示例67包括示例52所述的主題,其中,所述NFC設備是智能卡。
[0161]示例68包括示例51所述的主題,并進一步包括在從所述I/O電路接收到所述傳感數(shù)據(jù)之后,分析所述傳感器數(shù)據(jù);以及,基于所述計算設備的特征,動態(tài)地確定認證所述用戶身份的方法。
[0162]示例69包括示例68所述的主題,其中,基于通過所述I/O電路接收到的關于所述計算設備上的外部條件的信息,確定所述認證所述用戶身份的方法。
[0163]示例70包括示例69所述的主題,其中,基于指出所述計算設備的能力的上下文,確定認證所述用戶身份的所述方法。
[0164]示例71包括示例70所述的主題,其中,基于指出所述計算設備的狀態(tài)的上下文,確定認證所述用戶身份的所述方法。
[0165]示例72包括示例71所述的主題,其中,基于指出存儲在所述計算設備上的信息的上下文,確定認證所述用戶身份的所述方法。
[0166]示例73包括示例68所述的主題,并進一步包括基于所述計算設備的特征,與遠程計算設備建立信任關系。
[0167]示例74包括示例73所述的主題,并進一步包括通過網(wǎng)絡從證明服務計算設備接收令牌,并使用所述令牌進行認證,通過所述網(wǎng)絡,訪問第三方計算設備。
[0168]示例75包括受信任的執(zhí)行環(huán)境,該受信任的執(zhí)行環(huán)境包括多因素認證模塊,用于監(jiān)視在I/O電路上接收到的數(shù)據(jù),以檢測計算設備的一個或多個上下文特征,并基于上下文特征,認證用戶身份。
[0169]示例76包括權利要求752所述的主題,其中,所述多因素認證模塊包括認證所述(NFC)設備的認證管理器模塊;以及,狀態(tài)管理器,所述狀態(tài)管理器監(jiān)視所述傳感數(shù)據(jù)以檢測從所述I/O電路接收到的所述傳感數(shù)據(jù)。
[0170]示例77包括權利要求76所述的主題,其中,所述狀態(tài)管理器分析所述傳感數(shù)據(jù)以檢測用戶是否位于所述用戶設備的附近。
[0171]示例78包括權利要求77所述的主題,其中,所述認證管理器從所述NFC設備接收私鑰。
[0172]示例79包括權利要求78所述的主題,進一步包括身份保護模塊,用于從所述認證管理器接收所述私鑰,以及使用所述私鑰,保護對遠程計算設備上的資源的訪問。
[0173]示例80包括權利要求79所述的主題,其中,在所述狀態(tài)管理器檢測到所述用戶不在所述用戶設備附近時,所述認證管理器禁用來自所述身份保護模塊的所述私鑰。
[0174]示例81包括權利要求78所述的主題,其中,所述認證管理器生成包裹密鑰,并將所述包裹密鑰傳輸?shù)剿鯪FC設備。
[0175]示例82包括權利要求76所述的主題,其中,所述多因素認證模塊進一步包括用于帶有隱私的訪問控制、標識,以及票據(jù)的開放協(xié)議(OPACITY)模塊,以通過OPACITY認證協(xié)議,與所述NFC設備進行通信。
[0176]示例83包括權利要求82所述的主題,其中,使用來自所述認證管理器的存儲密鑰,加密所述OPACITY模塊。
[0177]示例84包括權利要求75所述的主題,其中,在檢測到所述NFC設備可以被用作認證因素時,所述多因素認證模塊就提供所述NFC設備。
[0178]示例85包括權利要求84所述的主題,其中,所述多因素認證模塊通過受信任的輸入通道,傳輸將所述NFC設備配置為認證因素的用戶提示,并實例化NFC設備的記錄。
[0179]示例86包括權利要求85所述的主題,其中,所述多因素認證模塊為NFC設備確定共享的加密密鑰。
[0180]示例87包括權利要求85所述的主題,其中,所述多因素認證模塊通過受信任的輸入通道,從所述NFC設備接收配對pin,并將讓用戶輸入所述配對pin供顯示的提示傳輸?shù)斤@示設備。
[0181]示例88包括權利要求87所述的主題,其中,所述多因素認證模塊驗證用戶的所述配對pin的輸入,并將所述NFC設備與存儲的記錄相關聯(lián)。
[0182]示例89包括權利要求88所述的主題,其中,所述多因素認證模塊使用所述記錄,確定所述NFC設備的上下文。
[0183]示例90包括權利要求89所述的主題,其中,所述多因素認證模塊通過將認證質詢傳輸?shù)剿鯪FC設備,認證所述NFC設備,在驗證接收到對所述質詢的真實的響應時,就確定所述NFC設備的訪問特權。
[0184]示例91包括權利要求75所述的主題,進一步包括:從所述I/O電路接收所述傳感器數(shù)據(jù)的傳感器中樞,上下文知曉自適應認證(CA3)分析器,用于分析所述傳感數(shù)據(jù)并基于所述計算設備的一個或多個特征,動態(tài)地確定認證所述用戶身份的方法,以及,認證所述用戶身份的多因素認證模塊。
[0185]示例92包括權利要求91所述的主題,其中,所述CA3分析器基于通過所述I/O電路接收到的關于所述計算設備上的外部條件的信息,確定所述認證所述用戶身份的方法。
[0186]示例93包括權利要求92所述的主題,其中,所述CA3分析器基于指出所述計算設備的能力的上下文,確定認證所述用戶身份的所述方法。
[0187]示例94包括權利要求93所述的主題,其中,所述CA3分析器基于指出所述計算設備的狀態(tài)的上下文,確定認證所述用戶身份的所述方法。
[0188]示例95包括權利要求94所述的主題,其中,所述CA3分析器基于指出存儲在所述計算設備上的信息的上下文,確定認證所述用戶身份的所述方法。
[0189]示例96包括權利要求91所述的主題,進一步包括基于所述主題的特征,與遠程主題建立信任關系的身份保護模塊。
[0190]示例97包括權利要求96所述的主題,其中,所述身份保護模塊通過網(wǎng)絡從證明服務主題接收令牌,并使用所述令牌進行認證,通過所述網(wǎng)絡,訪問第三方主題。
[0191]示例98包括其中包括多條指令的機器可讀取的介質,響應于在計算設備上被執(zhí)行,導致計算設備執(zhí)行根據(jù)示例27到50中的任何一項所述的操作。
[0192]示例99包括其中包括執(zhí)行根據(jù)權利要求示例27到50中的任何一項所述的操作的機制的系統(tǒng)。
[0193]示例100包括其中包括執(zhí)行根據(jù)權利要求示例27到50中的任何一項所述的操作的裝置的系統(tǒng)。
[0194]附圖以及前述描述給出了諸實施例的示例。本領域技術人員將理解,所描述的元件中的一個或多個可以合并成單個功能元件?;蛘?,某些元件可以被拆分成多個功能元件??梢詫碜砸粋€實施例的元件添加到另一實施例中。例如,本文中所描述的過程的順序可以改變,并且不限于本文中所描述的方式。此外,任何流程圖的動作不需要按照所示出的順序實現(xiàn);也不是這些動作的全部一定需要被執(zhí)行。此外,不依賴于其他動作的那些動作也可以與其他動作并行地執(zhí)行。各實施例的范圍絕非由這些特定示例限制。眾多變型(無論是否在說明書中顯式地給出),諸如結構、尺寸以及材料的使用方面的差異是可能的。諸實施例的范圍至少與由所附權利要求書給出的范圍一樣廣泛。
【主權項】
1.一種計算設備,包括: 接收傳感數(shù)據(jù)的輸入/輸出(I/o)電路;以及 受信任的執(zhí)行環(huán)境,所述受信任的執(zhí)行環(huán)境監(jiān)視所述I/o電路,以檢測所述計算設備的一個或多個上下文特征,并基于上下文特征,認證用戶身份。2.如權利要求1所述的計算設備,其中,所述受信任的執(zhí)行環(huán)境包括認證近場通信(NFC)設備的多因素認證模塊。3.如權利要求2所述的計算設備,其中,所述多因素認證模塊包括: 認證所述(NFC)設備的認證管理器模塊;以及 狀態(tài)管理器,所述狀態(tài)管理器監(jiān)視所述傳感數(shù)據(jù)以檢測從所述I/O電路接收到的所述傳感數(shù)據(jù)。4.如權利要求3所述的計算設備,其中,所述狀態(tài)管理器分析所述傳感數(shù)據(jù)以檢測用戶是否位于所述用戶設備的附近。5.如權利要求4所述的計算設備,其中,所述認證管理器從所述NFC設備接收私鑰。6.如權利要求5所述的計算設備,進一步包括身份保護模塊,用于從所述認證管理器接收所述私鑰并且使用所述私鑰保護對遠程計算設備上的資源的訪問。7.如權利要求6所述的計算設備,其中,在所述狀態(tài)管理器檢測到所述用戶不在所述用戶設備附近時,所述認證管理器禁用來自所述身份保護模塊的所述私鑰。8.如權利要求5所述的計算設備,其中,所述認證管理器生成包裹密鑰,并將所述包裹密鑰傳輸?shù)剿鯪FC設備。9.如權利要求3所述的計算設備,其中,所述多因素認證模塊進一步包括“用于帶有隱私的訪問控制、標識以及票據(jù)的開放協(xié)議(OPACITY)”模塊,以通過OPACITY認證協(xié)議與所述NFC設備進行通信。10.如權利要求9所述的計算設備,其中,使用來自所述認證管理器的存儲密鑰來加密所述OPACITY模塊。11.如權利要求2所述的計算設備,其中,所述NFC設備是智能卡。12.如權利要求2所述的計算設備,其中,在檢測到所述NFC設備可以被用作認證因素時,所述多因素認證模塊就提供所述NFC設備。13.如權利要求12所述的計算設備,其中,所述多因素認證模塊通過受信任的輸入通道傳輸將所述NFC設備配置為認證因素的用戶提示并實例化NFC設備的記錄。14.如權利要求13所述的計算設備,其中,所述多因素認證模塊為NFC設備確定共享的加密密鑰。15.如權利要求13所述的計算設備,其中,所述多因素認證模塊通過受信任的輸入通道從所述NFC設備接收配對pin并將讓用戶輸入所述配對pin供顯示的提示傳輸?shù)斤@示設備。16.如權利要求15所述的計算設備,其中,所述多因素認證模塊驗證用戶的所述配對pin的輸入,并將所述NFC設備與存儲的記錄相關聯(lián)。17.如權利要求16所述的計算設備,其中,所述多因素認證模塊使用所述記錄來建立所述NFC設備的上下文。18.如權利要求17所述的計算設備,其中,所述多因素認證模塊通過將認證質詢傳輸?shù)剿鯪FC設備來認證所述NFC設備,并且在驗證接收到對所述質詢的真實的響應時確定所述NFC設備的訪問特權。19.如權利要求12所述的計算設備,其中,所述NFC設備是啟用NFC的計算設備。20.如權利要求2所述的計算設備,其中,所述受信任的執(zhí)行環(huán)境包括: 從所述I/0電路接收所述傳感數(shù)據(jù)的傳感器中樞; 上下文知曉自適應認證(CA3)分析器,用于分析所述傳感數(shù)據(jù)并基于所述計算設備的一個或多個特征動態(tài)地確定認證所述用戶身份的方法;以及 認證所述用戶身份的多因素認證模塊。21.如權利要求20所述的計算設備,其中,所述CA3分析器基于通過所述I/O電路接收到的關于所述計算設備上的外部條件的信息來確定認證所述用戶身份的方法。22.如權利要求21所述的計算設備,其中,所述CA3分析器確定認證所述用戶身份的方法基于指出所述計算設備的能力的上下文。23.如權利要求22所述的計算設備,其中,所述CA3分析器確定認證所述用戶身份的方法基于指出所述計算設備的狀態(tài)的上下文。24.如權利要求23所述的計算設備,其中,所述CA3分析器確定認證所述用戶身份的方法基于指出存儲在所述計算設備中的信息的上下文。25.如權利要求20所述的計算設備,進一步包括:基于所述計算設備的特征與遠程計算設備建立信任關系的身份保護模塊。26.如權利要求25所述的計算設備,其中,所述身份保護模塊通過網(wǎng)絡從證明服務計算設備接收令牌,并使用所述令牌進行認證以通過所述網(wǎng)絡訪問第三方計算設備。27.一種方法,包括: 在輸入/輸出(I /0)電路中接收傳感數(shù)據(jù); 在受信任的執(zhí)行環(huán)境中監(jiān)視所述I/O電路,以檢測計算設備的一個或多個上下文特征;以及 所述受信任的執(zhí)行環(huán)境基于所述傳感數(shù)據(jù)的特征來認證用戶身份。28.如權利要求27所述的方法,其中,所述受信任的執(zhí)行環(huán)境認證近場通信(NFC)設備。29.如權利要求28所述的方法,其中,所述受信任的執(zhí)行環(huán)境認證用戶身份包括: 認證近場通信(NFC)設備;以及 分析所述傳感數(shù)據(jù)以檢測用戶是否位于所述用戶設備的附近。30.如權利要求29所述的方法,其中,認證所述NFC設備包括從所述NFC設備接收私鑰。31.如權利要求30所述的方法,進一步包括: 將所述私鑰安裝在身份保護模塊中;以及 所述身份保護模塊使用所述私鑰來保護對遠程計算設備上的資源的訪問。32.如權利要求6所述的方法,進一步包括:在檢測到所述用戶不在所述用戶設備附近時從所述身份保護模塊中刪除所述私鑰。33.如權利要求31所述的方法,進一步包括: 生成包裹密鑰;以及 將所述包裹密鑰傳輸?shù)剿鯪FC設備。34.如權利要求29所述的方法,進一步包括所述受信任的執(zhí)行環(huán)境通過“用于帶有隱私的訪問控制、標識,以及票據(jù)的開放協(xié)議(OPACITY)”認證協(xié)議而與所述NFC設備進行通信。35.如權利要求28所述的方法,進一步包括:在檢測到所述NFC設備可以被用作認證因素時提供所述NFC設備。36.如權利要求35所述的方法,其中,提供所述NFC設備進一步包括: 傳輸將所述NFC設備配置為認證因素的提示;以及 實例化NFC設備的記錄。37.如權利要求36所述的方法,其中,提供所述NFC設備進一步包括為NFC設備建立共享加密密鑰。38.如權利要求37所述的方法,其中,提供所述NFC設備進一步包括: 通過受信任的輸入通道,從所述NFC設備接收配對pin;以及 將讓用戶輸入所述配對pin供顯示的提示傳輸?shù)斤@示設備。39.如權利要求38所述的方法,其中,提供所述NFC設備進一步包括: 驗證用戶的所述配對pin的輸入;以及 將所述NFC設備與存儲的記錄相關聯(lián)。40.如權利要求39所述的方法,其中,提供所述NFC設備進一步包括使用所述NFC設備的上下文來建立記錄。41.如權利要求28所述的方法,其中,認證所述NFC設備包括: 將認證質詢傳輸?shù)剿鯪FC設備;以及 在驗證接收到對所述質詢的真實的響應時確定所述NFC設備的訪問特權。42.如權利要求35所述的方法,其中,所述NFC設備是啟用NFC的計算設備。43.如權利要求28所述的方法,其中,所述NFC設備是智能卡。44.如權利要求27所述的方法,進一步包括: 在從所述I/O電路接收到所述傳感數(shù)據(jù)之后,分析所述傳感器數(shù)據(jù);以及 基于所述計算設備的一個或多個特征,動態(tài)地確定認證所述用戶身份的方法。45.如權利要求44所述的方法,其中,基于通過所述I/O電路接收到的關于所述計算設備上的外部條件的信息,確定認證所述用戶身份的方法。46.如權利要求45所述的方法,其中,基于指出所述計算設備的能力的上下文,確定認證所述用戶身份的方法。47.如權利要求46所述的方法,其中,基于指出所述計算設備的狀態(tài)的上下文,確定認證所述用戶身份的方法。48.如權利要求47所述的方法,其中,基于指出存儲在所述計算設備中的信息的上下文,確定認證所述用戶身份的方法。49.如權利要求44所述的方法,進一步包括基于所述計算設備的特征,與遠程計算設備建立信任關系。50.如權利要求49所述的方法,進一步包括: 通過網(wǎng)絡,從證明服務計算設備接收令牌;以及 使用所述令牌進行認證通過所述網(wǎng)絡來訪問第三方計算設備。51.包括多條指令的機器可讀取的介質,響應于在計算設備上被執(zhí)行,導致計算設備執(zhí)行根據(jù)權利要求27到50中的任何一項所述的操作。
【文檔編號】H04L9/32GK105960774SQ201380080899
【公開日】2016年9月21日
【申請日】2013年12月12日
【發(fā)明人】N·M·史密斯, V·C·穆爾, A·卡能, E·雷瑟夫, A·奈舒圖特, O·波格列里克, A·巴佳伍-史班扎爾, C·T·歐文, H·M·科斯拉維
【申請人】英特爾公司