[发明专利]针对计算设备保护用户证书

说明书

背景技术

随着计算机已经变得日益普及，用户期望从各种不同的计算机对万维网（也被简称为Web）上的资源或其它服务进行访问。这些资源或其它服务经常要求用户提供诸如用户名和密码之类的用户证书以便对该资源或服务进行访问。用户经常期望从多个不同计算机访问这些资源，而其中的许多计算机由于它们并不属于用户而并不被用户所信任。此外，即使可能被用户所信任的计算机可会被恶意程序所感染。用户所输入的用户证书因此由于被恶意程序所窃取而暴露于一定程度的风险之中，这降低了这样的资源或其它服务以及整体Web的安全性。

发明内容

提供该发明内容而以随后在具体实施方式中进一步描述的简化形式引入概念的选集。该发明内容并非意在标示出所请求保护主题的关键特征或必要特征，也并非意在被用来限制所请求保护主题的范围。

依据一个或多个方面，（例如，由证书服务）从计算设备接收用于将与该计算设备的用户相关联的用户证书提供至标识提供方的请求。还接收该计算设备和标识提供方之间的第一安全会话的安全会话参数。从证书服务重新协商或恢复该第一安全会话，这导致证书服务和标识提供方之间的第二安全会话。与用户相关联的用户证书经由该第二安全会话被提供至标识提供方。

依据一个或多个方面，从标识提供方接收针对计算设备的用户的用户证书的请求。还接收针对要由证书服务所提供的与标识提供方相关联的用户证书的用户请求。响应于该用户请求，计算设备和标识提供方之间的第一安全会话的安全会话参数被提供至证书服务。从证书服务所接收的用户证书经由证书服务和标识提供方之间的第二安全会话传输至标识提供方。

附图说明

贯穿附图使用相同的附图标记来指代同样的特征。

图1图示了依据一个或多个实施例的针对计算设备保护用户证书的示例系统。

图2图示了依据一个或多个实施例的针对计算设备保护用户证书的另一个示例系统。

图3图示了依据一个或多个实施例的针对计算设备保护用户证书的另一个示例系统。

图4图示了依据一个或多个实施例的示例证书服务。

图5是图示依据一个或多个实施例的用于针对计算设备保护用户证书的示例处理的流程图。

图6是图示依据一个或多个实施例的用于针对计算设备保护用户证书的另一个示例处理的流程图。

图7是图示依据一个或多个实施例的用于针对计算设备保护用户证书的另一个示例处理的流程图。

图8图示了依据一个或多个实施例的能够被配置为实施针对计算设备保护用户证书的示例计算设备。

具体实施方式

本文对针对计算设备保护用户证书进行了讨论。用户可以是任意的各种不同安全当事人。在计算设备和标识提供方（例如，Web服务）之间建立安全会话。该安全会话的诸如一个或多个密钥之类的参数被传输至证书服务，这允许证书服务安全地与标识提供方进行通信。证书服务在证书服务和标识提供方之间建立新的安全会话，并且用户证书经由该新的安全会话从证书服务传递至标识提供方。计算设备并没有新的安全会话的参数并且因此不能访问所传递的用户证书。该证书服务随后在证书服务和标识提供方之间建立附加安全会话。该附加安全会话的诸如一个或多个密钥的参数被传输至计算设备。因此，即使用户证书在计算设备并不了解该用户证书的情况下被提供至标识提供方，该计算设备也能够继续（经由该附加安全会话）与标识提供方安全通信。

图1图示了依据一个或多个实施例的针对计算设备保护用户证书的示例系统100。系统100包括计算设备102、标识提供方104、证书服务106和信赖方108，它们中的每一个由一个或多个各种不同类型的计算设备所实施。例如，计算设备102、标识提供方104、证书服务106和信赖方108中的每一个可以由台式计算机、服务器计算机、计算集群（例如，网络或云服务）、移动站点、娱乐电器、通信耦合至显示设备的机顶盒、电视机、膝上或上网本电脑、记事板或平板电脑、蜂窝或其它无线电话、游戏机、汽车用电脑等来实施。虽然系统100被图示为具有一个计算设备102、一个标识提供方104、一个证书服务106和一个信赖方108，但是系统100可以包括任意数量的计算设备102、任意数量的标识提供方104、任意数量的证书服务106和任意数量的信赖方108。