[发明专利]针对计算设备保护用户证书

权利要求书

1.一种由证书服务所实施的方法，该方法包括：

在该证书服务处从计算设备接收将与该计算设备的用户相关联的用户证书提供至标识提供方的请求以及先前在该计算设备和标识提供方之间建立的第一安全会话的第一安全会话参数，该证书服务由与计算设备分离的一个或多个附加计算设备实施；

从计算设备接收向证书服务认证该用户以便用户证书被提供给标识提供方的信息，其中与计算设备是已知设备的情况相比，在计算设备是未知设备的情况下用来认证的信息数量更大；

在将计算设备用作在证书服务和标识提供方之间传输数据的中介时，使用第二安全会话参数协商并且建立在证书服务和标识提供方之间的第二安全会话，第二安全会话参数是计算设备未知的并且是基于第一安全会话的重新协商而商定的；

经由该第二安全会话将与用户相关联的用户证书提供至标识提供方；

在将计算设备用作在证书服务和标识提供方之间传输数据的中介时，从证书服务与标识提供方通信以便重新协商第二安全会话并且使用在第二安全会话期间确定的第三安全会话参数来建立在证书服务和标识提供方之间的第三安全会话；并且

向计算设备提供第三安全会话参数以便允许使用第三安全会话参数在计算设备和标识提供方之间通信。

2.根据权利要求1的方法，该标识提供方是多个标识提供方之一，该方法进一步包括：

保存与用户相关联的多个不同用户证书，多个不同用户证书中的每一个与多个标识提供方中不同的一个相关联；并且

基于该标识提供方识别多个不同用户证书中的哪一个要作为用户证书而提供。

3.根据权利要求1的方法，进一步包括：

保存被加密的用户证书；

从计算设备接收基于该计算设备的密钥所解密的数值；并且

在向标识提供方提供用户证书之前，基于证书服务的密钥和基于计算设备的密钥所解密的数值对用户证书进行解密。

4.根据权利要求1的方法，进一步包括：

响应于针对临时信用卡号码的用户请求而从另外的标识提供方获得与该标识提供方相关联的临时信用卡号；并且

在计算设备不了解该临时信用卡号的情况下将该临时信用卡号提供给标识提供方。

5.根据权利要求1的方法，进一步包括保存哪些设备是用户已知设备的记录并且允许撤销所述已知设备中的任意一个或多个的已知状态。

6.根据权利要求1的方法，进一步包括：

与用户证书相关联地保存策略，该策略指示要被满足以便用户证书被提供给标识提供方的一个或多个条件；并且

仅在该一个或多个条件得以满足的情况下才将用户证书提供给标识提供方。

7.一种计算设备，包括：

一个或多个处理器；和

一个或多个具有存储于其上的多个指令的计算机可读存储性存储器，当被该一个或多个处理器所执行时，该指令使得该一个或多个处理器：

在计算设备处从标识提供方接收针对计算设备的用户的用户证书的请求；

在计算设备处接收针对要由证书服务所提供的与标识提供方相关联的用户证书的用户请求，该证书服务由与计算设备分离的一个或多个附加计算设备实施；

接收向证书服务认证该用户以便证书服务将用户证书提供给标识提供方的用户输入，其中与计算设备是已知设备的情况相比，在计算设备是未知设备的情况下用来认证的信息数量更大；

使用第一安全会话参数来协商并且建立在计算设备和标识提供方之间的第一安全会话；

响应于该用户请求，由计算设备向证书服务提供第一安全会话参数；

促进在证书服务和标识提供方之间的针对由证书服务从第一安全会话重新协商的第二安全会话的通信；

由证书服务经由第二安全会话向标识提供方传输用户证书；

在计算设备处从证书服务接收针对在证书服务和标识提供方之间的第三安全会话的第三安全会话参数，该第三安全会话参数已经基于第二安全会话的重新协商而确定；并且

由计算设备使用第三安全会话与标识提供方通信。

8.根据权利要求7的计算设备，该指令使得该一个或多个处理器接收针对用户证书的请求并且接收包括在计算设备的Web浏览器中的用户请求。