專利名稱:基于模型的多層驗(yàn)證的制作方法
基于模型的多層驗(yàn)證
背景技術(shù):
許多計(jì)算服務(wù)(例如��,電子郵件����、文檔存儲(chǔ)����、社交網(wǎng)絡(luò)、在線銀行���、公司網(wǎng)絡(luò)訪問(wèn)����、博客服務(wù)等等)為了安全而使用驗(yàn)證機(jī)制。在線身份提供者可以提供由具有多種多樣安全需求的計(jì)算服務(wù)和用戶消耗的驗(yàn)證方案�。不幸地,用戶可能沒有能力來(lái)配置用于訪問(wèn)這些計(jì)算資源的驗(yàn)證方案內(nèi)的驗(yàn)證機(jī)制的類型����。例如,社交網(wǎng)絡(luò)服務(wù)可以為用戶提供包括用戶名和口令以及詢問(wèn)-響應(yīng)問(wèn)題的驗(yàn)證方案�����。如果例如在線身份提供者具有用于社交網(wǎng)絡(luò)服務(wù)的設(shè)置驗(yàn)證方案���,那么用戶可能沒有能力來(lái)定制驗(yàn)證方案�,諸如添加和/或移除在驗(yàn)證方案內(nèi)使用的驗(yàn)證機(jī)制(例如��,添加設(shè)備ID)����,這可能提供不太令人滿意的用戶體驗(yàn)����,而這種用戶體驗(yàn)可能基于提供者的類型而加劇。即�����,在不同類型的提供者之間對(duì)于如何完成驗(yàn)證可能存在顯著差異。例如���,大規(guī)模在線識(shí)別服務(wù)提供者可以提供由具有多種多樣安全需求的服務(wù)和消費(fèi)者消耗的身份服務(wù)���,而銀行例如可能具有相對(duì)固定的安全需求以及更一致的用戶基礎(chǔ)。因此�,考慮到驗(yàn)證需求和/或應(yīng)用的多樣性,相對(duì)靜態(tài)的不靈活的驗(yàn)證方案可能證明是不盡如人意的��。
發(fā)明內(nèi)容
提供這個(gè)概述部分來(lái)以簡(jiǎn)化形式介紹下面在具體描述部分中進(jìn)一步描述的概念的選擇���。這個(gè)概述部分既不打算識(shí)別所請(qǐng)求保護(hù)主題的關(guān)鍵因素或基本特征�,也不打算用于限制所請(qǐng)求保護(hù)主題的范圍�。如在這里所提供的,在線身份提供者可能例如能夠以消費(fèi)者友好方式通過(guò)可配置驗(yàn)證方案向大量且多樣的消費(fèi)群(例如���,單個(gè)用戶、一組用戶����、大型公司��、計(jì)算機(jī)服務(wù)提供者等等)提供各種驗(yàn)證機(jī)制���,因而給具有不同需求的不同的在線身份提供者提供靈活性。因此����,特別地,披露用于配置基于模型的驗(yàn)證方案的技術(shù)�����??梢越邮詹呗院?或包括至少一種驗(yàn)證機(jī)制的驗(yàn)證機(jī)制列表,以便與驗(yàn)證方案相關(guān)聯(lián)���。驗(yàn)證機(jī)制例如可以包括一種或多種預(yù)定義的驗(yàn)證機(jī)制(例如�����,從在線身份提供者已可獲得的驗(yàn)證機(jī)制)和/或一種或多種用戶插入式驗(yàn)證機(jī)制(例如����,由用戶創(chuàng)建和注冊(cè)的也許從在線身份提供者還不可獲得的驗(yàn)證機(jī)制)?���?梢砸庾R(shí)到驗(yàn)證機(jī)制可以被解釋為例如可以被表示為私鑰/公鑰對(duì)的驗(yàn)證技術(shù)(例如,用戶名和口令驗(yàn)證����、設(shè)備ID驗(yàn)證等等)。在另一個(gè)示例中����,用于驗(yàn)證的實(shí)際技術(shù)(例如, 源代碼)可能位于遠(yuǎn)程(例如����,位于遠(yuǎn)程用戶的桌面上),籍此該驗(yàn)證機(jī)制提供訪問(wèn)和執(zhí)行實(shí)際技術(shù)的方式���。策略例如可以包括用戶策略(例如�����,用于訪問(wèn)用戶資源的驗(yàn)證)���、組策略(例如����,用于訪問(wèn)組資源的驗(yàn)證)����、連接模式策略(例如�,以用于驗(yàn)證的設(shè)備的類型為基礎(chǔ)的驗(yàn)證)、服務(wù)策略(例如����,用于用戶訪問(wèn)服務(wù)的資源的驗(yàn)證)等等??梢砸庾R(shí)到策略可以被解釋成例如定義可以如何執(zhí)行一個(gè)或多個(gè)驗(yàn)證機(jī)制的驗(yàn)證配置(例如,可以驗(yàn)證誰(shuí)���,可以使用哪些驗(yàn)證機(jī)制�����,可以訪問(wèn)什么資源等等)�����。驗(yàn)證方案可以根據(jù)策略和/或驗(yàn)證機(jī)制列表來(lái)配置�。驗(yàn)證方案可以在接收到來(lái)自用戶的驗(yàn)證請(qǐng)求時(shí)被執(zhí)行。例如�����,可以依據(jù)驗(yàn)證請(qǐng)求來(lái)執(zhí)行在驗(yàn)證方案內(nèi)定義的一種或多種驗(yàn)證機(jī)制�,以便基于在驗(yàn)證方案內(nèi)配置的策略來(lái)驗(yàn)證用戶?���?梢砸庾R(shí)到驗(yàn)證方案可以進(jìn)行配置,以致在驗(yàn)證機(jī)制失敗時(shí)可以執(zhí)行替代的驗(yàn)證機(jī)制(例如����,如果用戶不具有設(shè)備ID,那么該用戶可以交替地使用一次性口令來(lái)驗(yàn)證)�。可以意識(shí)到例如���,驗(yàn)證方案可以被解釋成安全配置(例如�����,定義將對(duì)誰(shuí)進(jìn)行驗(yàn)證�, 如何驗(yàn)證他們�����,以及根據(jù)策略所規(guī)定的可以訪問(wèn)什么資源),而在線服務(wù)提供者可以使用這樣的安全配置來(lái)向特定的計(jì)算服務(wù)和/或用戶提供可配置的安全解決方案�。例如���,社交網(wǎng)絡(luò)web (網(wǎng)絡(luò))服務(wù)可以配置定義如何可以通過(guò)在線身份提供者來(lái)驗(yàn)證社交網(wǎng)絡(luò)web服務(wù)的用戶的驗(yàn)證方案�����。在線身份提供者可以通過(guò)執(zhí)行驗(yàn)證方案來(lái)對(duì)用戶進(jìn)行驗(yàn)證�。即�,當(dāng)用戶嘗試通過(guò)在線身份提供者來(lái)驗(yàn)證時(shí),可以基于由社交網(wǎng)絡(luò)網(wǎng)站配置的策略來(lái)執(zhí)行在驗(yàn)證方案內(nèi)配置的一種或多種驗(yàn)證機(jī)制���。用戶訪問(wèn)模型可以基于驗(yàn)證方案的執(zhí)行來(lái)創(chuàng)建����。例如���,用戶訪問(wèn)模型可以基于使用的式樣(例如���,用戶多久訪問(wèn)一次資源�,通過(guò)該資源執(zhí)行的活動(dòng)等等)來(lái)創(chuàng)建和/或更新��。 用戶訪問(wèn)模型可以與推薦的使用(例如���,用于特定資源的典型安全性)進(jìn)行比較�����,以呈現(xiàn)所建議的驗(yàn)證��。在一個(gè)示例中���,可以確定與用于頻繁訪問(wèn)的銀行數(shù)據(jù)的典型安全性相比,對(duì)于頻繁訪問(wèn)的銀行數(shù)據(jù)而言�,用戶可能具有低安全性驗(yàn)證方案??梢韵蛴脩舫尸F(xiàn)包括高安全性驗(yàn)證方案的建議的驗(yàn)證方案。在另一個(gè)示例中��,用戶可以具有用于個(gè)人電子郵件的高安全性驗(yàn)證方案�����,其中推薦的安全性可以是低安全性驗(yàn)證方案��。可以意識(shí)到例如����,用戶訪問(wèn)模型可以利用與用戶及其相應(yīng)的使用式樣相關(guān)聯(lián)的服務(wù)的選集(collection)來(lái)定義。例如�����,用戶訪問(wèn)模型可以被標(biāo)記為高身份層(tier)�,這是因?yàn)榕c沒有規(guī)定的通信服務(wù)或者展示這些服務(wù)的低使用的低身份層相比�����,相應(yīng)的用戶積極使用電子郵件和即時(shí)消息傳遞服務(wù)�����。對(duì)于與高身份層相對(duì)應(yīng)的用戶來(lái)說(shuō)�,在驗(yàn)證方案內(nèi)利用強(qiáng)驗(yàn)證策略來(lái)保護(hù)這些高身份可能是有利的。為了實(shí)現(xiàn)前述以及相關(guān)的目的���,下面的描述和附圖闡述某些說(shuō)明性方面和實(shí)現(xiàn)方式�����。這些描述和附圖指示其中可以采用一個(gè)或多個(gè)方面的各種方式中的一些方式�����。本披露內(nèi)容的其他方面��、優(yōu)點(diǎn)和新穎特征從下面結(jié)合附圖考慮的具體描述中將變得顯而易見����。
圖1是示出配置基于模型的驗(yàn)證方案的示例方法的流程圖。圖2是示出用于配置基于模型的驗(yàn)證方案的示例系統(tǒng)的組件框圖���。圖3是示出用于執(zhí)行基于模型的驗(yàn)證方案的示例系統(tǒng)的組件框圖��。圖4是驗(yàn)證方案配置接口的示例的例圖���。圖5是配置基于模型的驗(yàn)證方案的示例的例圖。圖6是配置基于模型的驗(yàn)證方案的示例的例圖�。圖7是執(zhí)行驗(yàn)證方案和呈現(xiàn)所建議的驗(yàn)證方案配置的示例的例圖。圖8是其中可以包括被配置成體現(xiàn)在這里闡述的一條或多條規(guī)定的處理器可執(zhí)行指令的示例計(jì)算機(jī)可讀介質(zhì)的例圖���。圖9示出其中可以實(shí)現(xiàn)在這里闡述的一條或多條規(guī)定的示例計(jì)算環(huán)境��。
具體實(shí)施例方式現(xiàn)在參考附圖來(lái)描述所請(qǐng)求保護(hù)的主題�����,其中相同的參考數(shù)字始終用于指示相同的元素�����。在以下的描述中�����,為了解釋的目的���,闡述眾多具體的細(xì)節(jié),以提供所請(qǐng)求保護(hù)主題的徹底了解����。然而,可能明顯的是所請(qǐng)求保護(hù)的主題可以在沒有這些具體細(xì)節(jié)的情況下進(jìn)行實(shí)踐����。在其他的實(shí)例中,為了便于描述所請(qǐng)求保護(hù)的主題��,結(jié)構(gòu)和設(shè)備以框圖的形式來(lái)闡明�����。當(dāng)前,由在線身份提供者給許多計(jì)算服務(wù)(例如�����,文檔存儲(chǔ)�、電子郵件、工作文件等等)提供具有極少可用配置的設(shè)置驗(yàn)證方案(例如��,預(yù)定義驗(yàn)證機(jī)制)���。在一個(gè)示例中�����,在線銀行網(wǎng)站可以使用在線身份提供者��,其給用戶提供用于驗(yàn)證的用戶名和口令機(jī)制�。不幸地����, 用戶和在線銀行網(wǎng)站可能無(wú)法配置設(shè)置驗(yàn)證方案(例如,用戶有可能無(wú)法將驗(yàn)證機(jī)制從用戶名和口令改成智能卡)。對(duì)于在線身份提供者來(lái)說(shuō)�,提供靈活的驗(yàn)證方案可能是有利的, 其中用戶和/或計(jì)算服務(wù)可以通過(guò)開放模型方案來(lái)定義安全機(jī)制����。以這種方式,特定的客戶(例如����,小型企業(yè)、個(gè)人用戶���、大型企業(yè)等等)可以定制其自己的驗(yàn)證方案來(lái)訪問(wèn)資源�����。特別地�,在這里提供用于配置基于模型的驗(yàn)證方案的技術(shù)�。該驗(yàn)證方案可以基于預(yù)定義驗(yàn)證機(jī)制和/或用戶插入式驗(yàn)證機(jī)制�����。即����,用戶可以利用可能尚未作為預(yù)定義驗(yàn)證機(jī)制而可獲得的用戶插入式驗(yàn)證機(jī)制來(lái)配置驗(yàn)證方案����,因而擴(kuò)展可用驗(yàn)證機(jī)制的列表��。驗(yàn)證方案也可以基于策略來(lái)配置�。該策略允許基于特定標(biāo)準(zhǔn)的驗(yàn)證方案的進(jìn)一步配置。例如�,特定標(biāo)準(zhǔn)可以考慮用于訪問(wèn)特定資源的設(shè)備的類型(例如,工作計(jì)算機(jī)相比于公用計(jì)算機(jī))��、正在訪問(wèn)什么資源(例如�����,電子郵件相比于敏感工作文件)�����、用戶屬于什么組 (例如����,組資源)和/或正被驗(yàn)證的用戶的類型(例如,被遠(yuǎn)程驗(yàn)證的銷售人員相比于通過(guò)工作計(jì)算機(jī)登錄的雇員)�。一旦被配置����,驗(yàn)證方案可以依據(jù)驗(yàn)證請(qǐng)求來(lái)執(zhí)行���。驗(yàn)證方案的執(zhí)行和/或資源使用的式樣可以用于對(duì)用戶的訪問(wèn)建模�。用戶的訪問(wèn)可以與推薦的使用進(jìn)行比較����,以提供反饋給用戶。例如���,可以給用戶提供提高或降低驗(yàn)證方案的安全性的建議(例如�����,用戶的安全性低于基于高使用頻率所推薦的安全性)�。在圖1中利用示例方法100來(lái)闡述配置基于模型的驗(yàn)證方案的一個(gè)實(shí)施例��。在 102����,該方法開始����。在104�����,可以接收策略和/或包括至少一個(gè)驗(yàn)證機(jī)制的驗(yàn)證機(jī)制列表�,以便與驗(yàn)證方案相關(guān)聯(lián)�。至少一個(gè)驗(yàn)證機(jī)制可以包括一個(gè)或多個(gè)預(yù)定義驗(yàn)證機(jī)制和/或一個(gè)或多個(gè)用戶插入式驗(yàn)證機(jī)制。驗(yàn)證方案可以對(duì)應(yīng)于多層驗(yàn)證模型�。驗(yàn)證機(jī)制列表可以包括與多個(gè)安全層相關(guān)聯(lián)的多個(gè)驗(yàn)證機(jī)制。例如���,驗(yàn)證機(jī)制列表可以包括與第一安全層相對(duì)應(yīng)的第一驗(yàn)證機(jī)制(例如���,用戶名和口令)以及與第二安全層相對(duì)應(yīng)的第二驗(yàn)證機(jī)制(例如,設(shè)備ID�、智能卡、一次性口令��、詢問(wèn)-響應(yīng)��、IP欺騙驗(yàn)證等等)����?����?梢砸庾R(shí)到一個(gè)或多個(gè)驗(yàn)證機(jī)制可以與安全層相關(guān)聯(lián)���,并且在驗(yàn)證方案內(nèi)可以配置一個(gè)或多個(gè)安全層。策略可以包括定義對(duì)用戶資源訪問(wèn)的用戶策略�、定義對(duì)組資源訪問(wèn)的組策略、基于用于連接到資源的模式(例如����,手機(jī)、工作計(jì)算機(jī)����、公用計(jì)算機(jī)等等)定義對(duì)資源訪問(wèn)的連接模式策略和/或定義對(duì)服務(wù)資源訪問(wèn)的服務(wù)策略(例如,用于雇員和銀行客戶的銀行定義驗(yàn)證)��。在一個(gè)示例中�,策略和/或驗(yàn)證機(jī)制列表可以通過(guò)用戶可能預(yù)定的接口(例如,在線服務(wù))來(lái)接收�����。最初可以向用戶呈現(xiàn)一個(gè)或多個(gè)預(yù)定義驗(yàn)證機(jī)制��。用戶可以通過(guò)注冊(cè)一個(gè)或多個(gè)用戶插入式驗(yàn)證機(jī)制(例如,由用戶創(chuàng)建的特定生物驗(yàn)證機(jī)制��,安裝在客戶的機(jī)器上的驗(yàn)證機(jī)制等)來(lái)擴(kuò)展可用驗(yàn)證機(jī)制�。當(dāng)執(zhí)行驗(yàn)證方案時(shí)�����,例如可以在客戶機(jī)上調(diào)用用戶插入式驗(yàn)證機(jī)制�����,以便驗(yàn)證��。這允許用戶提供其自己的可以被并入驗(yàn)證方案中的驗(yàn)證機(jī)制����。在106,驗(yàn)證方案可以根據(jù)策略和/或驗(yàn)證機(jī)制列表來(lái)配置��。在一個(gè)示例中����,驗(yàn)證方案可以利用用戶策略來(lái)配置,其中用戶策略定義將依據(jù)訪問(wèn)用戶的個(gè)人資源(例如�����,個(gè)人電子郵件、家庭計(jì)算機(jī)文件等等)的驗(yàn)證請(qǐng)求而執(zhí)行的特定的用戶插入式驗(yàn)證機(jī)制��。在另一個(gè)示例中��,服務(wù)(例如��,銀行)可以定義服務(wù)策略��,其定義用于雇員的驗(yàn)證機(jī)制(例如���,設(shè)備 ID和/或智能卡)以及用于銀行客戶的驗(yàn)證機(jī)制(例如�,用戶名以及口令和/或詢問(wèn)-響應(yīng))����。在還一個(gè)示例中,企業(yè)可以定義連接模式策略�,其中設(shè)備ID用于在工作計(jì)算機(jī)上驗(yàn)證雇員,而一次性口令用于在公用計(jì)算機(jī)上驗(yàn)證雇員�����。驗(yàn)證方案可以依據(jù)來(lái)自用戶的驗(yàn)證請(qǐng)求來(lái)執(zhí)行。即����,在驗(yàn)證方案內(nèi)定義的一個(gè)或多個(gè)驗(yàn)證機(jī)制(例如,第一驗(yàn)證機(jī)制��、第二驗(yàn)證機(jī)制�、第三驗(yàn)證機(jī)制等等)可以依據(jù)驗(yàn)證請(qǐng)求來(lái)執(zhí)行��?����?梢砸庾R(shí)到可以指定替代的驗(yàn)證機(jī)制����。例如,驗(yàn)證方案內(nèi)的第二安全層可以允許用戶通過(guò)一個(gè)或多個(gè)不同的驗(yàn)證機(jī)制來(lái)驗(yàn)證��。用戶訪問(wèn)模型可以基于驗(yàn)證方案的執(zhí)行來(lái)創(chuàng)建��。例如��,用戶訪問(wèn)模型可以包括與資源的類型����、訪問(wèn)的頻率����、使用的驗(yàn)證的類型相關(guān)的信息和/或與驗(yàn)證方案的執(zhí)行相關(guān)的其他信息����。用戶訪問(wèn)模型可以基于資源使用的式樣來(lái)更新。用戶訪問(wèn)模式可以與推薦的使用進(jìn)行比較����,以便向用戶呈現(xiàn)所建議的驗(yàn)證方案。例如��,所建議的驗(yàn)證方案可以指示用戶具有比普通的驗(yàn)證方案更低的驗(yàn)證方案�����。在108��,該方法結(jié)束�����。圖2示出被配置用于配置基于模型的驗(yàn)證方案的系統(tǒng)的示例200�����。該系統(tǒng)可以包括驗(yàn)證配置組件208。驗(yàn)證配置組件208可以被配置成向用戶202呈現(xiàn)驗(yàn)證方案配置接口 204��,其包括一組可用驗(yàn)證機(jī)制和/或一個(gè)或多個(gè)可配置策略��。驗(yàn)證配置接口 204可以允許用戶202注冊(cè)一個(gè)或多個(gè)用戶插入式驗(yàn)證機(jī)制�。驗(yàn)證配置接口 204可以允許用戶202創(chuàng)建策略和驗(yàn)證機(jī)制列表206。策略和驗(yàn)證機(jī)制列表206可以包括策略(例如�,用戶策略、組策略���、連接模式策略、服務(wù)策略等等)和/或驗(yàn)證機(jī)制列表�����。驗(yàn)證機(jī)制列表可以包括與驗(yàn)證方案200相關(guān)聯(lián)的預(yù)定義驗(yàn)證機(jī)制和/或用戶插入式驗(yàn)證機(jī)制���。例如���,驗(yàn)證機(jī)制列表可以包括設(shè)備ID、智能卡����、一次性口令��、詢問(wèn)-響應(yīng)����、IP欺騙����、生物驗(yàn)證等等?����?梢砸庾R(shí)到一個(gè)或多個(gè)驗(yàn)證機(jī)制可以與一個(gè)或多個(gè)安全層 (例如�����,多層驗(yàn)證模型內(nèi)的層)相關(guān)聯(lián)�。驗(yàn)證配置組件208可以被配置成接收策略和驗(yàn)證機(jī)制列表206,籍此驗(yàn)證配置組件208可以配置驗(yàn)證方案210�����。驗(yàn)證方案210可以根據(jù)來(lái)自用戶202的用于訪問(wèn)驗(yàn)證方案 210與之相關(guān)聯(lián)的資源(例如�����,資源212)的驗(yàn)證請(qǐng)求來(lái)執(zhí)行。圖3示出被配置用于執(zhí)行基于模型的驗(yàn)證方案的系統(tǒng)的示例300�����。該系統(tǒng)可以包括驗(yàn)證組件306和/或監(jiān)視組件312�����。驗(yàn)證組件306可以被配置成接收來(lái)自用戶302的驗(yàn)證請(qǐng)求304��。驗(yàn)證請(qǐng)求304例如可以用于驗(yàn)證用戶302��,以便訪問(wèn)資源310����。驗(yàn)證執(zhí)行組件 306可以被配置成依據(jù)驗(yàn)證請(qǐng)求304來(lái)執(zhí)行驗(yàn)證方案308�����。例如�����,驗(yàn)證執(zhí)行組件306可以執(zhí)行在驗(yàn)證方案308內(nèi)配置的一個(gè)或多個(gè)驗(yàn)證機(jī)制。監(jiān)視組件312可以被配置成基于驗(yàn)證方案執(zhí)行來(lái)創(chuàng)建用戶訪問(wèn)模型312����。該監(jiān)視組件312可以基于資源使用的式樣來(lái)更新用戶訪問(wèn)模型314。例如�,用戶302多久訪問(wèn)一次資源310(例如,用戶302多長(zhǎng)時(shí)間訪問(wèn)一次其電子郵件)�����、通過(guò)該資源執(zhí)行的活動(dòng)的類型 (例如��,通過(guò)電子郵件賬戶發(fā)送多少封電子郵件)�、利用驗(yàn)證方案提供的安全等級(jí)等等。監(jiān)視組件312可以基于比較用戶訪問(wèn)模型314與推薦的使用(例如��,基于資源310的特性所推薦的安全等級(jí)��,多長(zhǎng)時(shí)間使用一次資源310等等)來(lái)向用戶302呈現(xiàn)所建議的驗(yàn)證方案配置 316�����。圖4示出驗(yàn)證方案配置接口的示例400��?�?梢猿尸F(xiàn)包括一組可用驗(yàn)證機(jī)制412以及一個(gè)或多個(gè)可配置策略404的驗(yàn)證方案配置接口 402。該組可用驗(yàn)證機(jī)制412可以包括預(yù)定義驗(yàn)證機(jī)制(例如���,用戶名和口令416����、設(shè)備ID 420�����、一次性口令424)和/或用戶插入式驗(yàn)證機(jī)制(例如�,詢問(wèn)-響應(yīng)428)。驗(yàn)證方案配置接口 402可以包括安全層414�,其可以允許用戶將特定安全層指定給可用驗(yàn)證機(jī)制。驗(yàn)證方案配置接口 402可以給用戶提供配置驗(yàn)證方案的能力���。例如��,用戶可以選擇一個(gè)或多個(gè)驗(yàn)證機(jī)制來(lái)創(chuàng)建驗(yàn)證機(jī)制列表,以及選擇在驗(yàn)證方案配置接口 402內(nèi)的一個(gè)或多個(gè)策略���。驗(yàn)證方案配置接口 402也可以允許用戶注冊(cè)用戶插入式驗(yàn)證機(jī)制(例如����,注冊(cè)用戶插入式驗(yàn)證機(jī)制按鈕410)。例如�,用戶可以調(diào)用注冊(cè)用戶插入式驗(yàn)證機(jī)制按鈕410,以便利用驗(yàn)證方案配置接口 402來(lái)注冊(cè)詢問(wèn)-響應(yīng)428 (例如�,用戶插入式驗(yàn)證機(jī)制)。一旦被注冊(cè)����,則詢問(wèn)-響應(yīng)4 可用于選擇來(lái)配置該驗(yàn)證方案。在一個(gè)示例中�����,在一個(gè)或多個(gè)可配置策略404內(nèi)����,例如,可以由用戶指定與個(gè)人電子郵件資源406相關(guān)聯(lián)的用戶策略408��。即��,將基于用戶策略408進(jìn)行配置的驗(yàn)證方案可以與個(gè)人電子郵件資源406相關(guān)聯(lián)���,以致可以依據(jù)訪問(wèn)個(gè)人電子郵件資源406的驗(yàn)證請(qǐng)求來(lái)執(zhí)行驗(yàn)證方案���。在可用驗(yàn)證機(jī)制412內(nèi)�����,用戶名和口令416已被指定為層(1)418安全層�, 而詢問(wèn)-響應(yīng)428已被指定為層(2)430安全層���?����?梢砸庾R(shí)到一種或多個(gè)可用驗(yàn)證機(jī)制不可被選擇用于驗(yàn)證方案內(nèi)的配置����;因此���,安全層414可以包括指明安全層不適用于特定可用驗(yàn)證機(jī)制的N/A (例如���,N/A 422和N/A 426)?��?梢越邮沼脩舨呗?08以及包括一個(gè)或多個(gè)選擇的可用驗(yàn)證機(jī)制的驗(yàn)證機(jī)制列表。一個(gè)或多個(gè)選擇的可用驗(yàn)證機(jī)制可以包括相應(yīng)的安全層�。驗(yàn)證方案可以基于用戶策略 408以及驗(yàn)證機(jī)制列表來(lái)配置����。圖5示出配置基于模型的驗(yàn)證方案的示例500�����。策略502和驗(yàn)證機(jī)制列表504可以由驗(yàn)證配置組件506來(lái)接收��??梢砸庾R(shí)到在一個(gè)示例中,驗(yàn)證配置組件506可以通過(guò)各種技術(shù)諸如用戶接口(例如����,驗(yàn)證方案配置接口,諸如圖4所示的402)來(lái)實(shí)現(xiàn)����,其中策略502 和驗(yàn)證機(jī)制列表504可以響應(yīng)于用戶接口內(nèi)的用戶輸入而被接收。在策略502內(nèi)�,可以指定組策略和連接模式策略。組策略可以與組項(xiàng)目文件夾資源相關(guān)聯(lián)�。連接模式策略可以指定通過(guò)本地網(wǎng)絡(luò)設(shè)備(例如,工作計(jì)算機(jī))驗(yàn)證的用戶使用層(1)安全層來(lái)驗(yàn)證�����,以及通過(guò)遠(yuǎn)程設(shè)備(例如,公用計(jì)算機(jī))驗(yàn)證的用戶使用層(1)和層(2)安全層來(lái)驗(yàn)證����。驗(yàn)證機(jī)制列表504可以指定一個(gè)或多個(gè)驗(yàn)證機(jī)制,以便與驗(yàn)證方案508相關(guān)聯(lián)��。例如�,設(shè)備ID可以被指定為層(1)安全層,而一次性口令和/或智能卡可以被指定為層(2 )安全層(例如����,用戶可以使用一次性口令或智能卡來(lái)驗(yàn)證)。驗(yàn)證配置組件506可以基于策略 502以及驗(yàn)證機(jī)制列表504來(lái)配置驗(yàn)證方案508�。例如,驗(yàn)證機(jī)制列表504內(nèi)的驗(yàn)證機(jī)制可以被調(diào)用�����,以驗(yàn)證嘗試訪問(wèn)組項(xiàng)目文件夾資源的用戶(例如��,屬于與組策略相關(guān)聯(lián)的組的用戶)����。例如����,驗(yàn)證方案508可以通過(guò)在線身份提供者來(lái)實(shí)現(xiàn)�����。圖6示出配置基于模型的驗(yàn)證方案的示例600���。策略602和驗(yàn)證機(jī)制列表604可以利用驗(yàn)證配置組件606來(lái)接收。在策略602內(nèi)��,可以指定服務(wù)策略�����。服務(wù)策略可以與用戶銀行賬戶數(shù)據(jù)資源相關(guān)聯(lián)�。在一個(gè)示例中,服務(wù)策略可以由銀行來(lái)配置��,其中服務(wù)策略指定銀行客戶如何驗(yàn)證以訪問(wèn)銀行資源���。驗(yàn)證機(jī)制列表604可以指定一個(gè)或多個(gè)驗(yàn)證機(jī)制����, 以便與驗(yàn)證方案608相關(guān)聯(lián)。例如�����,用戶名和口令可以被指定為層(1)安全層�,而詢問(wèn)-響應(yīng)可以被指定為層(2)安全層。驗(yàn)證配置組件606可以基于策略602以及驗(yàn)證機(jī)制列表604來(lái)配置驗(yàn)證方案608����。 例如,在驗(yàn)證機(jī)制列表604內(nèi)指定的驗(yàn)證機(jī)制可以被調(diào)用����,以驗(yàn)證嘗試訪問(wèn)用戶銀行賬戶數(shù)據(jù)資源的用戶(例如,銀行用戶)����。例如,驗(yàn)證方案608可以通過(guò)在線身份提供者來(lái)實(shí)現(xiàn)�����。圖7示出執(zhí)行驗(yàn)證方案并呈現(xiàn)所建議的驗(yàn)證方案配置的示例700���。用戶702可以嘗試憑借手機(jī)706通過(guò)提供用戶名704來(lái)驗(yàn)證(例如��,發(fā)送驗(yàn)證請(qǐng)求708�,以驗(yàn)證對(duì)共享的在線文件夾714的訪問(wèn))。驗(yàn)證執(zhí)行組件710可以接收驗(yàn)證請(qǐng)求708�。驗(yàn)證執(zhí)行組件710可以執(zhí)行與共享的在線文件夾714相關(guān)聯(lián)的驗(yàn)證方案712。例如���,驗(yàn)證方案712可以利用用戶名驗(yàn)證機(jī)制(例如,層(1)安全層)來(lái)配置�,其中用戶名驗(yàn)證機(jī)制依據(jù)用戶名704來(lái)執(zhí)行,以驗(yàn)證用戶704來(lái)訪問(wèn)共享的在線文件夾714�。監(jiān)視組件716可以被配置成基于驗(yàn)證方案712的執(zhí)行來(lái)創(chuàng)建用戶訪問(wèn)模型718。 例如���,用戶訪問(wèn)模型718可以包括有關(guān)用戶名驗(yàn)證機(jī)制�����、共享的在線文件夾714的特性����、共享的在線文件夾714的使用式樣等等的信息��。監(jiān)視組件716可以基于資源使用的式樣來(lái)更新用戶訪問(wèn)模型718 (例如����,用戶多長(zhǎng)時(shí)間訪問(wèn)一次共享的在線文件夾714���,結(jié)合共享的在線文件夾714來(lái)執(zhí)行什么活動(dòng)等等)。監(jiān)視組件716可以比較用戶訪問(wèn)模型718與推薦的使用(例如�����,用于在線共享文件夾的典型安全性����,基于訪問(wèn)頻率的安全性,以及在線共享文件夾的使用���,等等)��,以創(chuàng)建所建議的驗(yàn)證方案配置720���。例如,監(jiān)視組件716可以確定為共享的在線文件夾推薦高安全等級(jí)����,諸如設(shè)備ID或一次性口令。監(jiān)視組件716可以呈現(xiàn)所建議的驗(yàn)證方案配置720����,其建議用戶702將驗(yàn)證方案712重新配置成增加的安全配置���,諸如設(shè)備ID和/或一次性口令。還一個(gè)實(shí)施例牽涉計(jì)算機(jī)可讀介質(zhì)�,其包括被配置成實(shí)現(xiàn)在這里介紹的一種或多種技術(shù)的處理器可執(zhí)行指令。在圖8中示出可以采用這些方式來(lái)設(shè)計(jì)的示例的計(jì)算機(jī)可讀介質(zhì)���,其中實(shí)現(xiàn)方式800包括其上是編碼的計(jì)算機(jī)可讀數(shù)據(jù)814的計(jì)算機(jī)可讀介質(zhì)816(例如�����,⑶-R、DVD-R或硬盤驅(qū)動(dòng)器的碟片)����。這個(gè)計(jì)算機(jī)可讀數(shù)據(jù)814又包括一組被配置成根據(jù)在這里闡述的一個(gè)或多個(gè)原理操作的計(jì)算機(jī)指令812。在一個(gè)這樣的實(shí)施例800中�,例如,處理器可執(zhí)行指令812可以被配置成執(zhí)行方法810�����,諸如圖1的示例方法100��。在另一個(gè)這樣的實(shí)施例中,例如����,處理器可執(zhí)行指令812可以被配置成實(shí)現(xiàn)系統(tǒng),諸如圖2的示例系統(tǒng)200以及圖3的示例系統(tǒng)300�。本領(lǐng)域技術(shù)人員可以設(shè)計(jì)出許多這樣的被配置成根據(jù)在這里介紹的技術(shù)操作的計(jì)算機(jī)可讀媒體。雖然以特定于結(jié)構(gòu)特征和/或方法動(dòng)作的語(yǔ)言描述了主題��,但是將理解在所附的權(quán)利要求中定義的主題未必限于上面描述的特定特征或動(dòng)作�����。相反����,上面描述的特定特征和動(dòng)作作為實(shí)現(xiàn)這些權(quán)利要求的示例形式來(lái)披露。如在這個(gè)申請(qǐng)中所使用的�����,術(shù)語(yǔ)“組件”�、“模塊”、“系統(tǒng)”����、“接口”等等一般用于指示計(jì)算機(jī)相關(guān)的實(shí)體����,或硬件�����、軟件與硬件的組合��、軟件或運(yùn)行中的軟件����。例如,組件可以是但不限于在處理器上運(yùn)行的進(jìn)程��、處理器��、對(duì)象�����、可執(zhí)行程序�、執(zhí)行的線程��、程序和/或計(jì)算機(jī)��。作為說(shuō)明,運(yùn)行在控制器上的應(yīng)用和控制器能夠是組件�����。一個(gè)或多個(gè)組件可以駐留在進(jìn)程和/或執(zhí)行的線程內(nèi)����,并且組件可以位于一臺(tái)計(jì)算機(jī)上和/或分布在兩個(gè)或更多計(jì)算機(jī)之間。此外�,所請(qǐng)求保護(hù)的主體可以使用標(biāo)準(zhǔn)編程和/或工程技術(shù)作為方法、設(shè)備或制品來(lái)實(shí)現(xiàn)���,以產(chǎn)生軟件��、固件�����、硬件或其任何組合����,從而控制計(jì)算機(jī)來(lái)實(shí)現(xiàn)所披露的主題����。如在這里使用的術(shù)語(yǔ)“制品”旨在包括從任何計(jì)算機(jī)可讀設(shè)備���、載體或媒體中可訪問(wèn)的計(jì)算機(jī)程序。當(dāng)然����,本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到在不脫離所請(qǐng)求保護(hù)的主體的范圍或精神的情況下,可以對(duì)這種配置進(jìn)行許多修改��。圖9和以下的描述提供用于實(shí)現(xiàn)在這里闡述的一個(gè)或多個(gè)規(guī)定的實(shí)施例的適當(dāng)計(jì)算環(huán)境的簡(jiǎn)要的一般性描述�。圖9的操作環(huán)境僅是適當(dāng)操作環(huán)境的一個(gè)示例,而不打算對(duì)于操作環(huán)境的使用范圍或功能建議任何限制�����。示例計(jì)算設(shè)備包括但不限于個(gè)人計(jì)算機(jī)����、 服務(wù)器計(jì)算機(jī)、手持式或膝上型設(shè)備����、移動(dòng)設(shè)備(諸如移動(dòng)電話���、個(gè)人數(shù)字助理(PDA)�����、媒體播放器等等)����、微處理器系統(tǒng)、消費(fèi)類電子設(shè)備�、迷你型計(jì)算機(jī)、大型計(jì)算機(jī)����、包括上面系統(tǒng)或設(shè)備之中任何一個(gè)的分布式計(jì)算環(huán)境等等。雖然不是要求的�����,但是在利用一個(gè)或多個(gè)計(jì)算設(shè)備執(zhí)行“計(jì)算機(jī)可讀指令”的通用上下文中描述實(shí)施例��。計(jì)算機(jī)可讀指令可以經(jīng)由計(jì)算機(jī)可讀媒體來(lái)分布(如下所述)��。計(jì)算機(jī)可讀指令可以被實(shí)現(xiàn)為執(zhí)行特定任務(wù)或?qū)崿F(xiàn)特定抽象數(shù)據(jù)類型的程序模塊��,諸如功能���、 對(duì)象��、應(yīng)用編程接口(API)��、數(shù)據(jù)結(jié)構(gòu)等等���。通常���,計(jì)算機(jī)可讀指令的功能可以根據(jù)需要在各種環(huán)境中進(jìn)行組合或分布。圖9示出系統(tǒng)910的示例��,其包括被配置成實(shí)現(xiàn)在這里提供的一個(gè)或多個(gè)實(shí)施例的計(jì)算設(shè)備912����。在一種配置中,計(jì)算設(shè)備912包括至少一個(gè)處理單元916以及存儲(chǔ)器918����。 取決于計(jì)算設(shè)備的確切配置和類型,存儲(chǔ)器918可以是易失性的(例如���,諸如RAM)���、非易失性的(例如,諸如ROM�����、閃速存儲(chǔ)器等等)或這二者的某種組合����。在圖9中利用虛線914示出這種配置。在其他的實(shí)施例中����,設(shè)備912可以包括附加特征和/或功能。例如��,設(shè)備912也可以包括(例如���,可拆卸和/或不可拆卸)附加存儲(chǔ)設(shè)備�,這包括但不限于磁存儲(chǔ)設(shè)備��、光存儲(chǔ)設(shè)備等等�����。在圖9中利用存儲(chǔ)設(shè)備920示出這樣的附加存儲(chǔ)設(shè)備�。在一個(gè)實(shí)施例中����,用于實(shí)現(xiàn)在這里提供的一個(gè)或多個(gè)實(shí)施例的計(jì)算機(jī)可讀指令可以位于存儲(chǔ)設(shè)備920中��。存儲(chǔ)設(shè)備920也可以存儲(chǔ)用于實(shí)現(xiàn)操作系統(tǒng)���、應(yīng)用程序等等的其他計(jì)算機(jī)可讀指令���。例如,計(jì)算機(jī)可讀指令可以被加載在存儲(chǔ)器918中����,以便由處理單元916執(zhí)行。在這里使用的術(shù)語(yǔ)“計(jì)算機(jī)可讀媒體”包括計(jì)算機(jī)存儲(chǔ)媒體��。計(jì)算機(jī)存儲(chǔ)媒體包括以用于存儲(chǔ)諸如計(jì)算機(jī)可讀指令或其他數(shù)據(jù)之類的信息的任何方法或技術(shù)來(lái)實(shí)現(xiàn)的易失性和非易失性�����、可拆卸和不可拆卸的媒體���。存儲(chǔ)器918和存儲(chǔ)設(shè)備920是計(jì)算機(jī)存儲(chǔ)媒體的示例��。計(jì)算機(jī)存儲(chǔ)媒體包括但不限于RAM����、ROM、EEPR0M���、閃速存儲(chǔ)器或其他存儲(chǔ)技術(shù)、 CD-ROM����、數(shù)字多用途盤(DVD)或其他光存儲(chǔ)設(shè)備、磁帶盒�、磁帶、磁盤存儲(chǔ)設(shè)備或其他磁存儲(chǔ)設(shè)備或能夠用于存儲(chǔ)所需信息且能被設(shè)備912訪問(wèn)的其他任何介質(zhì)�。任何這樣的計(jì)算機(jī)存儲(chǔ)媒體可以是設(shè)備912的一部分。設(shè)備912也可以包括允許設(shè)備912與其他設(shè)備通信的一個(gè)或多個(gè)通信連接擬6����。一個(gè)或多個(gè)通信連接擬6可以包括但不限于調(diào)制解調(diào)器、網(wǎng)絡(luò)接口卡(NIC)��、集成網(wǎng)絡(luò)接口�����、射頻發(fā)射機(jī)/接收機(jī)����、紅外端口����、USB連接或用于將計(jì)算設(shè)備912連接到其他計(jì)算設(shè)備的其他接口�����。一個(gè)或多個(gè)通信連接擬6可以包括有線連接或無(wú)線連接��。一個(gè)或多個(gè)通信連接 926可以發(fā)送和/或接收通信媒體����。術(shù)語(yǔ)“計(jì)算機(jī)可讀媒體”可以包括通信媒體。通信媒體通常包括在諸如載波之類的“調(diào)制數(shù)據(jù)信號(hào)”或其他傳輸機(jī)制中的計(jì)算機(jī)可讀指令或其他數(shù)據(jù)�,并包括任何信息傳遞媒體。術(shù)語(yǔ)“調(diào)制數(shù)據(jù)信號(hào)”可以包括信號(hào)���,其特征之中的一個(gè)或多個(gè)特征以在信號(hào)中編碼信息的方式進(jìn)行設(shè)置或改變�。設(shè)備912可以包括一個(gè)或多個(gè)輸入設(shè)備924��,諸如鍵盤�����、鼠標(biāo)、筆�����、語(yǔ)音輸入設(shè)備���、 觸摸輸入設(shè)備�����、紅外相機(jī)、視頻輸入設(shè)備和/或其他任何輸入設(shè)備���。在設(shè)備912中也可以包括一個(gè)或多個(gè)輸出設(shè)備922�����,諸如一個(gè)或多個(gè)顯示器���、揚(yáng)聲器、打印機(jī)和/或任何其他輸出設(shè)備��。一個(gè)或多個(gè)輸入設(shè)備924以及一個(gè)或多個(gè)輸出設(shè)備922可以經(jīng)由有線連接、無(wú)線連接或其任何組合而被連接到設(shè)備912�。在一個(gè)實(shí)施例中,來(lái)自另一個(gè)計(jì)算設(shè)備的輸入設(shè)備或輸出設(shè)備可以被用作計(jì)算設(shè)備912的一個(gè)或多個(gè)輸入設(shè)備擬4或者一個(gè)或多個(gè)輸出設(shè)備 922����。計(jì)算設(shè)備912的組件可以通過(guò)諸如總線之類的各種互連來(lái)連接。這樣的互連可以包括外設(shè)部件互連(PCI)���,諸如PCI Express��、通用串行總線(USB)����、火線(IEEE 1394)�、光學(xué)總線結(jié)構(gòu)等等。在另一個(gè)實(shí)施例中�����,計(jì)算設(shè)備912的組件可以利用網(wǎng)絡(luò)來(lái)互連����。例如,存儲(chǔ)器918可以包括位于利用網(wǎng)絡(luò)互連的不同物理位置中的多個(gè)物理存儲(chǔ)單元�。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到用于存儲(chǔ)計(jì)算機(jī)可讀指令的存儲(chǔ)設(shè)備可以被分布在網(wǎng)絡(luò)上。例如,經(jīng)由網(wǎng)絡(luò)擬8可訪問(wèn)的計(jì)算設(shè)備930可以存儲(chǔ)用于實(shí)現(xiàn)在這里提供的一個(gè)或多個(gè)實(shí)施例的計(jì)算機(jī)可讀指令����。計(jì)算設(shè)備912可以訪問(wèn)計(jì)算設(shè)備930以及下載用于運(yùn)行的一部分或所有的計(jì)算機(jī)可讀指令。作為替換���,計(jì)算設(shè)備912可以根據(jù)需要下載計(jì)算機(jī)可讀指令件����,或某些指令可以在計(jì)算設(shè)備912上運(yùn)行�����,而某些指令可以在計(jì)算設(shè)備930上運(yùn)行��。在這里提供實(shí)施例的各種操作�����。在一個(gè)實(shí)施例中��,所描述的一個(gè)或多個(gè)操作可以構(gòu)成存儲(chǔ)在一個(gè)或多個(gè)計(jì)算機(jī)可讀媒體上的計(jì)算機(jī)可讀指令����,其中這些指令當(dāng)由計(jì)算設(shè)備運(yùn)行時(shí)將導(dǎo)致計(jì)算設(shè)備執(zhí)行所描述的操作。描述某些或所有操作的順序不應(yīng)被解釋成暗示這些操作必定是順序相關(guān)的����。得益于此描述的本領(lǐng)域技術(shù)人員將意識(shí)到替代的排序。進(jìn)一步�,將明白不是所有的操作一定存在于在這里提供的每一個(gè)實(shí)施例中。此外��,詞“示例”在這里用于表示用作示例����、實(shí)例或例證。在這里被描述為“示例” 的任何方面或設(shè)計(jì)不一定被解釋成優(yōu)于其他的方面或設(shè)計(jì)����。相反,詞“示例”的使用打算以具體的方式來(lái)介紹概念���。如在這個(gè)申請(qǐng)中所使用的�,術(shù)語(yǔ)“或”打算表示包含性的“或”而非排他性的“或”���。換言之�,除非另外指明或者從上下文中是清楚的���,否則“X采用A或B”旨在表示任何的自然包容置換����。即,如果X采用A ;X采用B �;或X采用A和B 二者,那么在任何前述實(shí)例中滿足“X采用A或B”����。此外,除非另外指明或者從上下文中清楚其涉及單數(shù)形式����, 否則在這個(gè)申請(qǐng)以及所附的權(quán)利要求書中使用的冠詞“一”和“一個(gè)” 一般可以被解釋成表示“一個(gè)或多個(gè)”的意思。此外����,雖然本披露內(nèi)容相對(duì)于一個(gè)或多個(gè)實(shí)現(xiàn)方式進(jìn)行顯示和描述了,但是對(duì)于本領(lǐng)域的技術(shù)人員來(lái)說(shuō)���,通過(guò)閱讀和理解這個(gè)說(shuō)明書以及附圖,等效的替換和修改將發(fā)生�。 本披露內(nèi)容包括所有這樣的修改和替換,并且僅利用隨后的權(quán)利要求書的范圍來(lái)限制���。特別地�����,對(duì)于由上述組件(例如�����,元素�、資源等等)執(zhí)行的各種功能,除非另外指明���,否則用于描述這樣的組件的術(shù)語(yǔ)用于與執(zhí)行所述組件的特定功能的任何組件相對(duì)應(yīng)(例如���,在功能上是等效的),即使在結(jié)構(gòu)上不等效于所披露的在這里示出的該披露內(nèi)容的示例實(shí)現(xiàn)方式中執(zhí)行功能的結(jié)構(gòu)����。此外,雖然該披露內(nèi)容的特定特征可能已對(duì)照若干實(shí)現(xiàn)方式中的僅僅一種實(shí)現(xiàn)方式進(jìn)行披露了�,但是這樣的特征可以與其他實(shí)施方式的一個(gè)或多個(gè)其他特征進(jìn)行組合,其中這樣的組合對(duì)于任何給定的或特定的應(yīng)用而言可能是希望的和有利的����。此外�,對(duì)于在具體描述部分或權(quán)利要求書中使用術(shù)語(yǔ)“包括”��、“具有”���、“有”��、“帶有”或其變體的程度����, 這樣的術(shù)語(yǔ)打算以類似于術(shù)語(yǔ)“包括”的方式而是包括在內(nèi)的�。
權(quán)利要求
1.一種用于配置基于模型的驗(yàn)證方案的方法100,包括接收104策略和包括至少一個(gè)驗(yàn)證機(jī)制的驗(yàn)證機(jī)制列表���,以便與驗(yàn)證方案相關(guān)聯(lián)���;以及根據(jù)策略和驗(yàn)證機(jī)制列表,配置106驗(yàn)證方案�����。
2.權(quán)利要求1的方法�,所述至少一個(gè)驗(yàn)證機(jī)制包括至少以下之一 預(yù)定義驗(yàn)證機(jī)制����;以及用戶插入式驗(yàn)證機(jī)制��。
3.權(quán)利要求1的方法���,所述策略包括至少以下之一用戶策略,被配置成定義對(duì)與用戶相關(guān)聯(lián)的一個(gè)或多個(gè)資源的訪問(wèn)���; 組策略�,被配置成定義對(duì)與一組用戶相關(guān)聯(lián)的一個(gè)或多個(gè)資源的訪問(wèn)�; 連接模式策略,被配置成基于用于連接到一個(gè)或多個(gè)資源的模式來(lái)定義對(duì)一個(gè)或多個(gè)資源的訪問(wèn)�����;以及服務(wù)策略���,被配置成定義對(duì)服務(wù)的一個(gè)或多個(gè)資源的訪問(wèn)����。
4.權(quán)利要求1的方法���,包括依據(jù)來(lái)自用戶的驗(yàn)證請(qǐng)求����,執(zhí)行驗(yàn)證方案。
5.權(quán)利要求4的方法���,包括基于驗(yàn)證方案執(zhí)行����,創(chuàng)建用戶訪問(wèn)模型����。
6.權(quán)利要求5的方法,包括基于資源使用的式樣�,更新用戶訪問(wèn)模型。
7.權(quán)利要求5的方法���,包括以比較用戶訪問(wèn)模型與推薦的使用為基礎(chǔ)����,呈現(xiàn)建議的驗(yàn)證方案配置�����。
8.一種用于配置基于模型的驗(yàn)證方案的系統(tǒng),包括 驗(yàn)證配置組件208�����,其被配置成接收策略和包括至少一個(gè)驗(yàn)證機(jī)制的驗(yàn)證機(jī)制列表208���,以便與驗(yàn)證方案210相關(guān)聯(lián);以及根據(jù)策略和驗(yàn)證機(jī)制列表208�,配置驗(yàn)證方案210。
9.權(quán)利要求8的系統(tǒng)���,所述至少一個(gè)驗(yàn)證機(jī)制包括至少以下之一 預(yù)定義驗(yàn)證機(jī)制���;以及用戶插入式驗(yàn)證機(jī)制。
10.權(quán)利要求8的方法��,所述策略包括至少以下之一用戶策略���,被配置成定義對(duì)與用戶相關(guān)聯(lián)的一個(gè)或多個(gè)資源的訪問(wèn)�; 組策略���,被配置成定義對(duì)與一組用戶相關(guān)聯(lián)的一個(gè)或多個(gè)資源的訪問(wèn)�; 連接模式策略,被配置成基于用于連接到一個(gè)或多個(gè)資源的模式來(lái)定義對(duì)一個(gè)或多個(gè)資源的訪問(wèn)�����;以及服務(wù)策略���,被配置成定義對(duì)服務(wù)的一個(gè)或多個(gè)資源的訪問(wèn)���。
11.權(quán)利要求8的系統(tǒng),包括驗(yàn)證執(zhí)行組件��,其被配置成依據(jù)來(lái)自用戶的驗(yàn)證請(qǐng)求來(lái)執(zhí)行驗(yàn)證方案�。
12.權(quán)利要求11的系統(tǒng),包括監(jiān)視組件�,其被配置成基于驗(yàn)證方案執(zhí)行來(lái)創(chuàng)建用戶訪問(wèn)模型。
13.權(quán)利要求12的系統(tǒng)��,所述監(jiān)視組件被配置成基于資源使用的式樣來(lái)更新用戶訪問(wèn)模型�。
14.權(quán)利要求12的系統(tǒng),所述監(jiān)視組件被配置成以比較用戶訪問(wèn)模型與推薦的使用為基礎(chǔ)來(lái)呈現(xiàn)建議的驗(yàn)證方案配置���。
15.權(quán)利要求8的系統(tǒng)�,所述驗(yàn)證配置組件被配置成呈現(xiàn)驗(yàn)證方案配置接口���,其包括一組可用驗(yàn)證機(jī)制以及一個(gè)或多個(gè)可配置策略�。
全文摘要
驗(yàn)證被廣泛用于保護(hù)消費(fèi)者數(shù)據(jù)和計(jì)算服務(wù),諸如電子郵件����、文檔存儲(chǔ)以及在線銀行。諸如由在線身份提供者采用的當(dāng)前驗(yàn)證模型對(duì)于驗(yàn)證方案可能具有有限的選項(xiàng)和配置�。因此�,如在這里所提供的,可以基于策略和/或驗(yàn)證機(jī)制列表來(lái)配置基于模型的驗(yàn)證方案���。策略可以定義目標(biāo)資源���、用戶、用戶所屬的組�����、用于連接到目標(biāo)資源的設(shè)備���、擁有目標(biāo)資源的服務(wù)等等��。驗(yàn)證機(jī)制列表可以包括預(yù)定義驗(yàn)證機(jī)制和/或用戶插入式驗(yàn)證機(jī)制(例如����,用戶創(chuàng)建的驗(yàn)證機(jī)制)。一旦驗(yàn)證方案被配置��,則可以依據(jù)來(lái)自用戶的驗(yàn)證請(qǐng)求來(lái)執(zhí)行該驗(yàn)證方案��??梢曰谀繕?biāo)資源的使用式樣向用戶提供反饋。
文檔編號(hào)H04L9/32GK102439898SQ201080022432
公開日2012年5月2日 申請(qǐng)日期2010年5月18日 優(yōu)先權(quán)日2009年5月22日
發(fā)明者S. 楊 K., C. 麥唐納 O., 莫瓦 R., M. 郭 W-Q., I. 盧斯科夫 Y., 陳國(guó)偉 申請(qǐng)人:微軟公司