単一インターフェースを通してデジタルアイデンティティを管理する方法及び装置
【課題】単一インターフェースを通してデジタルアイデンティティを管理する方法及び装置を提供すること。
【解決手段】本発明の一態様は、ユーザに関連したデジタルアイデンティティを管理することに関する。エンティティのアイデンティティポリシーが得られる。それらデジタルアイデンティティから、少なくとも1つの関連デジタルアイデンティティが選択される。各関連デジタルアイデンティティは、そのアイデンティティポリシーによって要求される情報を含む。選択デジタルアイデンティティが、その又はそれらの関連デジタルアイデンティティから得られる。そのアイデンティティポリシーに従うその選択デジタルアイデンティティの表現が、そのエンティティへ与えられる。
【解決手段】本発明の一態様は、ユーザに関連したデジタルアイデンティティを管理することに関する。エンティティのアイデンティティポリシーが得られる。それらデジタルアイデンティティから、少なくとも1つの関連デジタルアイデンティティが選択される。各関連デジタルアイデンティティは、そのアイデンティティポリシーによって要求される情報を含む。選択デジタルアイデンティティが、その又はそれらの関連デジタルアイデンティティから得られる。そのアイデンティティポリシーに従うその選択デジタルアイデンティティの表現が、そのエンティティへ与えられる。
【発明の詳細な説明】
【技術分野】
【0001】
[0001]本発明の実施形態は、一般に、コンピュータに係る。より詳細には、この開示は、単一インターフェースを通してデジタルアイデンティティを管理する方法及び装置に係る。
【背景技術】
【0002】
[0002]インターネットの如きネットワークは、パーティ間で情報を安全に通信するのに使用されることが増えてきている。現在では、インターネットウエブサイトの如きネットワークホストの大半は、ユーザ名及びパスワードに基づいてユーザを認証している。典型的に、ユーザは、郵送先住所、Eメールアドレス、ユーザ名及びパスワードの如き種々のタイプの情報を与えるために、ウエブサイトによって与えられるフォームに書き込むことを初めに要求される。それから、ユーザは、アカウントを確立するため、そのウエブサイトにそのフォームを送る。その後、そのウエブサイトは、そのユーザがそのアカウントにアクセスするために、その正しいユーザ名及びパスワードを要求する。要するに、アカウントを確立するのに使用される情報は、ユーザのデジタルアイデンティティである。
【0003】
[0003]ユーザ名及びパスワードに基づく認証は、安全でないとされてきている。例えば、ユーザ名及びパスワードは、悪意の目的でそのユーザのアカウントにアクセスするためにその情報を使用しようとするような不許可のパーティに対して、不注意により開示されてしまい易いものである。従って、他のより安全なデジタルアイデンティティが使用されてきている。例えば、現在のデジタルアイデンティティの標準及びシステムとしては、オープンID、軽量アイデンティティプロトコル(LID)、安全拡張アイデンティティプロトコル(SXIP)、マイクロソフトカードスペース、等がある。更に、シマンテックから入手できるノートンコンフィデンシャルの如きソフトウエアパッケージによれば、デジタルアイデンティティ情報の安全な記憶及びウエブサイトのフォームの自動書き込みが行える。
【発明の開示】
【発明が解決しようとする課題】
【0004】
[0004]ウエブサイト間においてデジタルアイデンティティシステムの多様性が増すにつれて、ユーザは、異なるフォーマットにて表され異なる標準に従う多くの異なるデジタルアイデンティティを維持することを要求される。これでは、ユーザは、伝統的なユーザ名/パスワードアイデンティティの方を好み、より安全なフォームのデジタルアイデンティティを避けるようになってしまうかもしれない。従って、ユーザのために単一インターフェースを使用して異なるフォーマットのデジタルアイデンティティを管理する方法及び装置が当業分野において必要とされている。
【課題を解決するための手段】
【0005】
[0005]単一インターフェースを通してデジタルアイデンティティを管理する方法及び装置が提供される。本発明の一態様は、ユーザに関連したデジタルアイデンティティを管理することに関する。エンティティのアイデンティティポリシーが得られる。それらデジタルアイデンティティから、少なくとも1つの関連デジタルアイデンティティが選択される。各関連デジタルアイデンティティは、そのアイデンティティポリシーによって要求される情報を含む。選択デジタルアイデンティティが、その又はそれらの関連デジタルアイデンティティから得られる。その選択デジタルアイデンティティの表現が、そのアイデンティティポリシーに従うエンティティに与えられる。
【0006】
[0006]本発明の前述した特徴を詳細に理解できるように、その概要について簡単に前述した本発明について、以下に、図面に幾つかを例示しているような実施形態に関連して、より詳細に説明する。しかしながら、添付図面は、本発明の典型的な実施形態のみを例示しているのであって、本発明の範囲をそれらに限定しようとしているものではなく、本発明は、その他の均等の効果を発揮する種々の実施形態を考えることができるものであることに、注意されたい。
【発明を実施するための最良の形態】
【0007】
[0010]図1は、本発明の1つ以上の態様に沿った、ネットワークコンピュータシステム100の典型的な実施形態を示すブロック図である。このシステム100は、コンピュータ104に結合されるネットワーク102を含む。コンピュータ104は、プロセッサ108、メモリ114、種々のサポート回路110及び入出力インターフェース106を含むものとして例示されている。プロセッサ108は、当業分野において知られている1つ以上のマイクロプロセッサを含むことができる。プロセッサ108のためのサポート回路110は、通常のキャッシュ、電力供給装置、クロック回路、データレジスタ、入出力インターフェース等を含む。入出力インターフェース106は、メモリ114に直接に結合することもできるし、又は、プロセッサ108を通して結合することもできる。入出力インターフェース106は、ネットワーク装置、種々の記憶装置、マウス、キーボード等の如き入力装置111及び/又は出力装置113と通信するように構成することもできる。特に、出力装置113は、ディスプレイ150を含むことができる。入出力インターフェース106は、ネットワーク102にも結合される。ネットワーク102は、ハブ、スイッチ、ルーター等の如き種々のタイプの良く知られたネットワーク素子によって促進され、ワイヤ、ケーブル、光ファイバ及び/又はワイヤレスリンクによってコンピュータシステムを接続する通信システムを備える。ネットワーク102は、情報を通信するため種々の良く知られたプロトコルを使用することができる。例えば、ネットワーク102は、インターネットの部分であってよい。
【0008】
[0011]メモリ114は、プロセッサ108によって実行され及び/又はプロセッサ108によって使用される、プロセッサ実行可能な命令及び/又はデータを記憶する。これらのプロセッサ実行可能な命令は、ハードウエア、ファームウエア、ソフトウエア等又はそれらの組合せを含んでもよい。メモリ114に記憶されるプロセッサ実行可能な命令を有するモジュールは、アイデンティティマネージャー116を含むことができる。コンピュータ104は、良く知られたプラットフォームの中でも、OS/2、Java仮想マシン、リナックス、ソラリス、ユニックス、HPUX、AIX、Windowsを含むことのできるオペレーティングシステム124でプログラムされることができる。オペレーティングシステム124の少なくとも一部分は、メモリ114に配設することができる。メモリ114は、ランダムアクセスメモリ、リードオンリーメモリ、磁気抵抗効果リード/ライトメモリ、光リード/ライトメモリ、キャッシュメモリ、磁気リード/ライトメモリ等並びに以下に説明するような信号担持媒体のうちの1つ以上のものを含むことができる。
【0009】
[0012]アイデンティティマネージャー116は、ユーザのための複数のデジタルアイデンティティ120を管理するように構成されている。これらデジタルアイデンティティ120は、ネットワーク102を介して遠隔のエンティティとのトランザクションにおいて使用される。典型的なシナリオにおいては、ユーザは、ここでは信頼パーティ128と称する遠隔のエンティティとのトランザクションを開始するために、ウエブブラウザの如きアプリケーションを使用することができる。この信頼パーティ128は、そのユーザからのデジタルアイデンティティを要求し、何らかの方法でデジタルアイデンティティを信頼するエンティティである。例えば、この信頼パーティ128は、そのユーザを認証するのにそのデジタルアイデンティティを使用することができる。信頼パーティ128は、アイデンティティポリシーをそのユーザアプリケーションへ提示する。そのアイデンティティポリシーは、その信頼パーティ128によって受け取られるデジタルアイデンティティのフォーマット及びコンテンツを指示する。
【0010】
[0013]アイデンティティマネージャー116は、そのデジタルアイデンティティ120へのアクセス権を有する。デジタルアイデンティティは、そのユーザに関連した情報を含む。その情報のうちの少なくともいくつかを、そのユーザを識別し、認証するのに使用することができる。その情報は、例えば、ユーザ信用証明情報(例えば、ユーザ名、パスワード等)、アドレスデータ(例えば、ホームアドレス、ビリングアドレス、シッピングアドレス等)、口座番号データ(例えば、クレジットカード口座番号、銀行口座番号等)、ユーザの好み及び/又は無数の他のタイプのデータのうちのいずれかを含むことができる。このようなデジタルアイデンティティの情報は、ここでは、その「コンテンツ」と称される。
【0011】
[0014]デジタルアイデンティティは、1つ以上のフォーマットにて表すことができる。それらフォーマットのうちのあるものは、ネットワーク102を介して信頼パーティ128へ提示されるとき、異なる方法で使用される。例えば、1つのフォーマットでは、デジタルアイデンティティのコンテンツは、ユーザプロファイルとして記憶される。信頼パーティ128は、ユーザに関連した情報(例えば、ユーザ名、パスワード、アドレス等)を書き込むためのフィールドを含むようなあるフォーム又はそれと同様のものをユーザに提示する。このフォームは、その信頼パーティ128のアイデンティティポリシーを含む。そのユーザプロファイルは、自動フォーム書き込みを行うのに使用される。即ち、要求された情報がそれらフィールドに自動的に書き込まれる。このようなデジタルアイデンティティフォーマットを使用する典型的な市販のソフトウエアは、カリフォルニア州クパチーノのシマンテックコーポレーションから入手できるノートンコンフィデンシャルである。
【0012】
[0015]別の典型的なデジタルアイデンティティフォーマットは、信頼パーティ128へのユーザによるセキュリティートークン(トークンと称される)の提示を含む。信頼パーティ128は、トークン(アイデンティティポリシー)を要求するフォーム又はそれと同様のものをユーザへ提示する。トークンは、そのデジタルアイデンティティによって搬送される全情報のうちのある部分をそれぞれ含む1つ以上のクレームを含む。例えば、トークンは、ユーザネーム、パスワード、クレジットカード番号及び/又は無数の他のタイプの情報のためのクレームを含むことができる。これらトークンは、X.509証明書、ケルベロスチケット等の如き種々異なるフォーマットでよい。トークンは、セキュリティーアサーションマークアップ言語(SAML)の如き標準言語を使用して生成することもできる。トークンを使用する典型的なソフトウエアは、メタファーの理解を容易とするマイクロソフトカードスペースである。このカードスペースは、ユーザがそのプロファイル情報を表す「カード」(即ち、オブジェクト)を生成することができるようにする。そして、そのカードは、ネットワーク102を通してエンティティへ提示することのできるセキュリティートークンを生成するのに使用される。
【0013】
[0016]カードスペースの如き幾つかのトークンベースのアイデンティティフォーマットによれば、2つのタイプのデジタルアイデンティティ、即ち、自己管理アイデンティティ及び被管理アイデンティティを与えることができる。これら2つのタイプのアイデンティティの間の区別をするため、ユーザに対してデジタルアイデンティティを与えるエンティティであるアイデンティティプロバイダーを定めるのが有用である。自己管理アイデンティティは、ユーザとアイデンティティプロバイダーとが1つで同じであるような場合のものである。例えば、ユーザがアマゾンドットコムの如きオンラインプロバイダーにアカウントを生成している場合には、そのユーザは、自分自身のアイデンティティ(例えば、ユーザ名、パスワード、アドレス等)を生成しているのである。自己管理アイデンティティは、公開鍵基盤(PKI)によって支持される。当業分野においてよく知られるように、PKIによれば、公開/秘密鍵の対を使用して非対称暗号化を行うことができる。自己管理アイデンティティを搬送するセキュリティートークンは、ユーザの秘密鍵を使用して署名され、信頼パーティ128は、そのユーザの公開鍵を使用してそのユーザから発せられたようなセキュリティートークンを認証する。このような認証機構は、当業分野においてよく知られている。
【0014】
[0017]被管理アイデンティティは、情報が第三者によって支持され、従って、より信用できるものであると推定されるようなより強い形式のデジタルアイデンティティである。即ち、ユーザとは無関係のアイデンティティプロバイダー130により、そのユーザへデジタルアイデンティティが与えられる。被管理アイデンティティの場合には、そのデジタルアイデンティティのコンテンツのあるもの又はすべては、コンピュータ104に記憶されない。むしろ、そのコンテンツのあるもの又はすべては、アイデンティティプロバイダー130によって記憶され管理されるのである。従って、ユーザは、アイデンティティプロバイダー130に要求して、そのアイデンティティプロバイダー130からセキュリティートークンを受け取り、それから、そのセキュリティートークンが信頼パーティ128へ提示されるのである。
【0015】
[0018]別のタイプのデジタルアイデンティティ表現は、フォーム書き込み及びトークンベース表現に加えて、一様なリソース識別子(URI)を使用することを含む。このような典型的なアイデンティティシステムとしては、オープンID、軽量アイデンティティプロトコル(LID)、安全拡張アイデンティティプロトコル(SXIP)等がある。URIベースシステムでは、アイデンティティプロバイダー130は、信頼パーティ128に対してユーザを認証するのに使用されるURIをユーザに与える。ユーザは、そのURIを信頼パーティ128へ提示し、その信頼パーティ128は、そのURIの所有者を確認するためにアイデンティティプロバイダー130とやり取りする。
【0016】
[0019]一般的に、デジタルアイデンティティのフォーマットは、デジタルアイデンティティの「表現」と称される。即ち、所定のデジタルアイデンティティは、1つ以上の表現(例えば、フォーム書き込みのためのユーザプロファイル、セキュリティートークン、URIベース又は同様のもの)を有することができる。デジタルアイデンティティ120のうちの1つ以上のものは、1つ以上のアプリケーション125を使用して生成することができる。例えば、デジタルアイデンティティ120のうちのあるものは、カードスペースを使用して生成することができる。デジタルアイデンティティ120のうちの他のものは、ノートンコンフィデンシャルを使用して生成することができる。後述するように、デジタルアイデンティティ120のうちの1つ以上のものは、アイデンティティマネージャー116を使用して生成することができる。
【0017】
[0020]特に、ある実施形態では、アイデンティティマネージャー116は、デジタルアイデンティティ120のうちの既存のもの(例えば、アプリケーション125によって生成されたデジタルアイデンティティ)を取り込むように構成されている。典型的には、各取り込まれるデジタルアイデンティティは、単一表現を含むが、1つより多い表現を与えることもできる。いずれの場合においても、各取り込まれたデジタルアイデンティティに対して、アイデンティティマネージャー116は、1つ以上の代替表現を生成することができる。あるデジタルアイデンティティ(例えば、自己管理アイデンティティ)に対して、アイデンティティマネージャー116は、その代替表現を生成するのにコンピュータ104に記憶されたコンテンツを使用する。もし、そのデジタルアイデンティティのすべて又は部分がそのコンピュータの外部に、例えば、アイデンティティプロバイダー130に記憶されているならば、その時には、そのアイデンティティマネージャー116は、そのアイデンティティプロバイダー130からコンテンツを要求することができる(例えば、被管理アイデンティティについて)。
【0018】
[0021]デジタルアイデンティティの代替表現は、アイデンティティマネージャー116によって自動的に生成することができ、又は、ユーザからのコマンドに応答して生成することもできる。例えば、所定のデジタルアイデンティティは、フォーム書き込みのために使用されるユーザプロファイルを含むことができる。アイデンティティマネージャー116は、自己管理トークンベースのアイデンティティ(例えば、カードスペースにおける自己管理カード)を生成するため、ユーザプロファイル(デジタルアイデンティティのコンテンツ)を使用することができる。アイデンティティマネージャー116は、その逆のことを行うこともできる。即ち、自己管理トークンベースのアイデンティティにおける情報は、フォーム書き込みのためのユーザプロファイルを生成するのに使用することができる。アイデンティティマネージャー116は、複数の表現を有するデジタルアイデンティティを生成するのに使用することもできる。いずれの場合においても、デジタルアイデンティティ120のあるもの又はすべては、アイデンティティマネージャー116によって複数の表現を有するように構成することができる。
【0019】
[0022]信頼パーティとの各トランザクションについて、アイデンティティマネージャー116は、アイデンティティポリシーを得るように構成することができる。アイデンティティマネージャー116は、そのアイデンティティポリシーによって要求される情報を決定し、1つ以上の関連デジタルアイデンティティを識別する。それら関連デジタルアイデンティティは、そのアイデンティティポリシーを満足するために使用することができるコンテンツを含む。それら関連デジタルアイデンティティは、ディスプレイ150上の可視表現152として、選択のためユーザに提示することができる。アイデンティティマネージャー116は、そのアイデンティティポリシーに対して関連しないデジタルアイデンティティ(例えば、要求されたコンテンツを有していないデジタルアイデンティティ)を、その信頼パーティ128で使用できないようにすることができる。それらの使用できないようにされたデジタルアイデンティティは、ディスプレイ150上にてユーザに見えないようにすることができ、又は、それらが使用できないものとされたことを示すような仕方で(例えば、「グレイアウト」可視表現により)表示することもできる。ユーザは、それら関連デジタルアイデンティティの中から、あるデジタルアイデンティティを選択して信頼パーティ128へ提示することができる。あるいは、アイデンティティマネージャー116は、それら関連デジタルアイデンティティのうちの1つを自動的に選択するように、ユーザにより又は他のやり方で構成される。
【0020】
[0023]ある実施形態では、アイデンティティマネージャー116は、アイデンティティポリシーによって要求されるフォーマットとは関係なしに関連デジタルアイデンティティを決定する。即ち、アイデンティティマネージャー116は、デジタルアイデンティティがそのアイデンティティポリシーに要求されるコンテンツを有するかについてのみ決定する。もし、選択デジタルアイデンティティがそのアイデンティティポリシーによって要求されるフォーマットにないならば、アイデンティティマネージャー116は、そのコンテンツからそのアイデンティティポリシーに従うようなデジタルアイデンティティの表現を生成することができる。あるいは、前述したように、アイデンティティマネージャー116は、選択デジタルアイデンティティのための代替表現を予め生成しておくこともできる。もし、アイデンティティポリシーによって要求される表現が選択デジタルアイデンティティのために既に生成されているならば、この表現がアイデンティティマネージャー116により選択され信頼パーティ128へ送信される。
【0021】
[0024]ある実施形態では、アイデンティティマネージャー116は、コンテンツ及びフォーマットに基づいて関連デジタルアイデンティティを決定する。例えば、前述したように、アイデンティティマネージャー116は、デジタルアイデンティティ120のための代替表現を生成しておくことができる。関連デジタルアイデンティティを決定するとき、アイデンティティマネージャー116は、要求されたコンテンツ及び要求された表現を有するアイデンティティのみを選択することができる。それから、アイデンティティマネージャー116は、それらの関連アイデンティティをユーザへ提示する。例えば、あるデジタルアイデンティティが代替表現を有することができないという場合がある。このような場合には、アイデンティティマネージャー116は、前述したように、「オンザフライ」で正しい表現を生成することができないことがある。従って、アイデンティティマネージャー116は、要求されたフォーマットへ変換することができないようなデジタルアイデンティティをユーザに示さない。
【0022】
[0025]ある実施形態では、信頼パーティ128のアイデンティティポリシーは、複数の異なる表現(例えば、フォーム書き込み及びトークンベース機構)をサポートすることができる。ユーザが信頼パーティ128へ提示するデジタルアイデンティティを選択するとき、アイデンティティマネージャー116は、それら表現のうちの1つを最も安全な表現として選択し、この表現を信頼パーティ128へ提示されるべきものとして指定する。例えば、信頼パーティ128は、フォーム書き込み及びトークンベースアイデンティティフォーマットの両方を受け取ることができる。アイデンティティマネージャー116は、より安全なトークンベースフォーマットを選択することができ、従って、選択デジタルアイデンティティのトークンベース表現を使用することができる。選択アイデンティティに対して、選択される最も安全なフォーマットを、前述したように、予め生成しておくこともできるし、又はオンザフライで生成することもできる。アイデンティティマネージャー116は、このようなフォーマット選択を自動的に行うことができる。あるいは、アイデンティティマネージャー116は、選択のために、異なるフォーマットをユーザに提示することができる。アイデンティティマネージャー116は、ユーザの選択のガイドとして最も安全な表現について推奨することができる。
【0023】
[0026]ある実施形態では、デジタルアイデンティティは、同じ情報に関連する複数のユーザ信用証明情報を含むことができる。例えば、デジタルアイデンティティは、複数の信頼パーティで使用することができるアドレス情報(例えば、郵送先住所及びEメールアドレス)を含むことができる。しかしながら、ユーザは、信頼パーティの各々と異なる信用証明情報(例えば、ユーザ名及びパスワード)を確立する。このような場合において、そのアドレス情報(又はそれらエンティティの間での共通の任意の他の情報)及びそれら複数の信用証明情報を含む単一デジタルアイデンティティが生成される。あるいは、ユーザは、単一信頼パーティに対して複数の信用証明情報を使用することができる。いずれの場合においても、アイデンティティマネージャー116は、所定のデジタルアイデンティティについて、これらの信用証明情報を、時間経過につれて加えたり除去したりすることを含めて、管理するように構成しておくことができる。アイデンティティマネージャー116は、信頼パーティ128へ与えられるデジタルアイデンティティの表現に含めるため、信用証明情報のうちの1つを選択するように構成しておくこともできる。例えば、関連デジタルアイデンティティがユーザに提示されるとき、それらデジタルアイデンティティのうちの任意の1つに対して複数の信用証明情報が存在する事実を、そのユーザへ伝えることができる(例えば、ディスプレイ150上の可視キュー)。こうすることにより、ユーザは、デジタルアイデンティティを選択し且つ信頼パーティ128に対して使用するための望ましい信用証明情報を選択することができる。もし、デジタルアイデンティティが複数の信用証明情報を有するならば、それら信用証明情報のうちの1つを、デフォルト信用証明情報として指定しておき、ユーザによる選択がなされない場合に、アイデンティティマネージャー116がそのデフォルト信用証明情報を使用するようにすることができる。
【0024】
[0027]ある実施形態では、アイデンティティマネージャー116は、信頼パーティの信用レベルを確立するため、その信頼パーティ128とのトランザクションのセキュリティーを分析する。信用レベルは、信頼パーティ128の評判、データ交換のために使用されるセキュリティー機構、信頼パーティ128が営業していた時間の長さ、信頼パーティ128とやり取りするユーザの数等の如き信頼パーティ128の種々の属性を分析するヒューリスティックタイプ又は他のタイプのルールベースエンジンを使用して確立することができる。このような情報は、アイデンティティマネージャー116によりローカル的に決定することができ、又は第三者(例えば、他のサイトの評判を評価する第三者サイト)から得ることができ、又は、信頼パーティ128自身から得ることができ、又は、このようなソースの組合せから得ることができる。
【0025】
[0028]アイデンティティマネージャー116は、提示すべき特定のデジタルアイデンティティを選択するのにその信用レベルを使用する。例えば、ユーザは、実際のアイデンティティ情報(「実デジタルアイデンティティ」)及び匿名デジタルアイデンティティを有するデジタルアイデンティティを確立することができる。実デジタルアイデンティティは、そのユーザにとっての実際のアイデンティティ情報を含む。匿名デジタルアイデンティティは、偽アイデンティティ情報(例えば、偽Eメールアドレス、偽名等)を含むことができる。アイデンティティマネージャー116は、信頼パーティ128に対して決定された信用レベルに基づいて、実デジタルアイデンティティ又は匿名デジタルアイデンティティをユーザに提示する。例えば、もし、高い信用レベルが決定されるならば、実デジタルアイデンティティをユーザが選択するように推奨することができる。もし、低い信用レベルが決定されるならば、匿名デジタルアイデンティティをユーザが選択するように推奨することができる。アイデンティティマネージャー116は、ユーザがその推奨とは関係なくいずれかのデジタルアイデンティティを選択できるようにすることもできる。このような信用レベルに基づくアイデンティティ選択は、前述したようなアイデンティティ選択機構(即ち、信頼パーティのポリシー及びプロトコルに基づくアイデンティティの選択)に加えて行うことができる。
【0026】
[0029]ある実施形態では、匿名デジタルアイデンティティは、プライバシー保護機能を有しつつ、実アイデンティティ情報を含む。例えば、匿名デジタルアイデンティティは、ユーザの実際の住所、Eメールアドレス又は電話番号についてなんら明らかにしていない転送住所、転送Eメールアドレス、及び/又は転送電話番号を含むことができる。別の実施例では、匿名デジタルアイデンティティは、1回限り使用可能なクレジットカード番号を含む。信頼パーティ128がそのクレジットカード番号を使用した後は、それはもはや有効ではない。別の実施例では、匿名デジタルアイデンティティは、サイト特有のEメールアドレスを含む。即ち、ユーザは、特定の信頼パーティで使用するEメールアドレスを確立する。サイト特有のEメールアドレスは、ユーザの実際のEメールアドレスを明らかにしない。
【0027】
[0030]アイデンティティマネージャー116は、デジタルアイデンティティを示すため、種々の可視表現152を使用することができる。一般的に、アイデンティティマネージャー116は、デジタルアイデンティティをオブジェクト(例えば、カード)として示す。ある実施形態では、所定のオブジェクトは、デジタルアイデンティティの複数の表現とリンクすることができる。従って、ユーザは、多数のオブジェクト攻めに合うことはない。あるいは、1つのオブジェクトは、デジタルアイデンティティの1つの表現のみとすることができる(例えば、1つのオブジェクトは、デジタルアイデンティティ書き込みフォームに対するものであり、別のオブジェクトは、同じデジタルアイデンティティのトークンベース表現に対するものである)。
【0028】
[0031]図2は、本発明の1つ以上の態様に沿った、ユーザに関連するデジタルアイデンティティを管理する方法200の典型的な実施形態を示すフロー図である。この方法200は、ユーザに対して1つ以上のデジタルアイデンティティが識別されるステップ202で始まる。ステップ204にて、それらデジタルアイデンティティの各々のコンテンツが得られる。あるアイデンティティの場合には、そのコンテンツは、それらアイデンティティを記憶しているコンピュータからローカル的に得ることができる。他の被管理アイデンティティの場合には、そのコンテンツは、アイデンティティプロバイダーから得ることができる。ステップ206にて、各デジタルアイデンティティに対するコンテンツは、各デジタルアイデンティティのための1つ以上の代替表現を生成するのに使用される。ステップ208にて、1つ以上のオブジェクトが各デジタルアイデンティティに対して確立される。それらオブジェクトは、ユーザに対して可視的に表示される。ある実施形態では、各デジタルアイデンティティ及びその表現は、単一オブジェクトにリンクされる。他の実施形態では、各デジタルアイデンティティの各表現に対して1つのオブジェクトが確立される。デジタルアイデンティティ120を取り込む及び/又は別のやり方でデジタルアイデンティティ120を確立するために、アイデンティティマネージャー116は方法200を行うことができる。
【0029】
[0032]図3は、本発明の1つ以上の態様に沿った、ユーザのデジタルアイデンティティを信頼パーティへ与える方法300の典型的な実施形態を示すフロー図である。この方法300は、エンティティのアイデンティティポリシーが得られるステップ302で始まる。前述したように、そのアイデンティティポリシーは、要求されるデジタルアイデンティティのコンテンツ及びフォーマットを指示する。ステップ303にて、そのエンティティの信用レベルが決定される。ステップ304にて、1つ以上の関連デジタルアイデンティティが識別される。各関連デジタルアイデンティティは、そのアイデンティティポリシーによって要求される情報を含む。一実施形態では、各関連アイデンティティは、そのアイデンティティポリシーによって要求されるコンテンツを含む。別の実施形態では、各関連アイデンティティは、そのアイデンティティポリシーによって要求される表現及びコンテンツを含む。それら関連デジタルアイデンティティは、そのエンティティに対して決定された信用レベルに基づいて識別することもできる。例えば、もし、信用が高いならば、それら関連デジタルアイデンティティは、実アイデンティティ情報を有するデジタルアイデンティティを含むだけでよい。一方、もし、信用が低いならば、それら関連デジタルアイデンティティは、匿名情報(即ち、偽情報又はプライバシーが保護された実情報)を有するものであることができる。ステップ306にて、それら関連アイデンティティは、選択のためユーザへ提示される。一実施形態では、他の非関連デジタルアイデンティティは、信頼パーティで使用できないものとされ、ユーザへ提示することができる。ある実施形態では、それら関連アイデンティティは、ユーザへ提示され推奨される。例えば、もし、ステップ303にて、信用が高いと決定されるならば、実情報を有するそれらのアイデンティティを推奨することができる。あるいは、もし、信用が低いならば、匿名情報を有するアイデンティティを推奨することができる。別の実施例では、もし、そのエンティティが2つの種類のデジタルアイデンティティを承認するならば、そのより安全な方をユーザに推奨することができる。
【0030】
[0033]ステップ308にて、選択デジタルアイデンティティが、それら関連デジタルアイデンティティから得られる。その選択デジタルアイデンティティは、ステップ306によってユーザにより確立することができる。あるいは、デジタルアイデンティティは、それら関連デジタルアイデンティティから自動的に選択される。ステップ310にて、信用証明情報が選択デジタルアイデンティティにおいて選択される。前述したように、デジタルアイデンティティは、複数の信用証明情報を含むことがある。それら信用証明情報のうちのデフォルト信用証明情報を自動的に選択することができる。あるいは、ユーザは、それら信用証明情報のうちの1つを選択することができる。ステップ312にて、アイデンティティポリシーに従った選択デジタルアイデンティティの表現が信頼パーティへ与えられる。一実施形態では、選択デジタルアイデンティティは、信頼パーティのアイデンティティポリシーに従う第2の表現へと変換される第1の表現を含む。別の実施形態では、選択デジタルアイデンティティは、複数の表現を含み、それらの表現のうちの少なくとも1つは、信頼パーティのアイデンティティポリシーに従うものである。アイデンティティポリシーに従う表現が選択される。ある実施形態では、アイデンティティポリシーは、複数の表現をサポートし、選択デジタルアイデンティティは、複数の表現を含む。それらのうちの複数のものは、そのアイデンティティポリシーに従うものである。信頼パーティへ与えられる表現は、ありうる表現のすべての中で最も安全であるとみなされるものであってもよい。信頼パーティとやり取りするときに、アイデンティティマネージャー116がこの方法300を行うことができる。
【0031】
[0034]本発明の一態様は、コンピュータシステムで使用するプログラム製品として実施される。このプログラム製品のプログラムは、実施形態の機能を定めており、種々の信号担持媒体に含ませることができる。信号担持媒体は、これに限定されるものではないが、(i)非書き込み記憶媒体(例えば、CD-ROMドライブ又はDVDドライブによって読み取り可能なCD-ROM又はDVD-ROMディスクの如きコンピュータ内のリードオンリーメモリ装置)に恒久的に記憶された情報、(ii)書き込み可能記憶媒体(例えば、ディスケットドライブ又はハードディスクドライブ内のフロッピーディスク又は読み取り/書き込み可能CD又は読み取り/書き込み可能DVD)に記憶された変更可能な情報、又は(iii)ワイヤレス通信を含むコンピュータ又は電話ネットワークを介しての如き通信媒体によってコンピュータへ搬送される情報、を含む。後者の実施形態は、特に、インターネット及び他のネットワークからダウンロードされる情報を含む。このような信号担持媒体は、本発明の機能を導くコンピュータ読み取り可能な命令を担持するとき、本発明の実施形態となっている。
【0032】
[0035]本発明の実施形態について前述してきたのであるが、本発明の基本的範囲から逸脱せずに、本発明の他の更なる実施形態を考えることができるものであり、本発明の範囲は、特許請求の範囲によって決定されるものである。
【図面の簡単な説明】
【0033】
【図1】本発明の1つ以上の態様に沿った、ネットワークコンピュータシステムの典型的な実施形態を示すブロック図である。
【図2】本発明の1つ以上の態様に沿った、ユーザに関連したデジタルアイデンティティを管理する方法の典型的な実施形態を示すフロー図である。
【図3】本発明の1つ以上の態様に沿った、ユーザのデジタルアイデンティティを信頼パーティへ与える方法の典型的な実施形態を示すフロー図である。
【符号の説明】
【0034】
100・・・ネットワークコンピュータシステム、102・・・ネットワーク、104・・・コンピュータ、106・・・入出力インターフェース、108・・・プロセッサ、110・・・サポート回路、111・・・入力装置、113・・・出力装置、114・・・メモリ、116・・・アイデンティティマネージャー、120・・・デジタルアイデンティティ、124・・・オペレーティングシステム、125・・・アプリケーション、128・・・信頼パーティ、130・・・アイデンティティプロバイダー、150・・・ディスプレイ、152・・・可視表現。
【技術分野】
【0001】
[0001]本発明の実施形態は、一般に、コンピュータに係る。より詳細には、この開示は、単一インターフェースを通してデジタルアイデンティティを管理する方法及び装置に係る。
【背景技術】
【0002】
[0002]インターネットの如きネットワークは、パーティ間で情報を安全に通信するのに使用されることが増えてきている。現在では、インターネットウエブサイトの如きネットワークホストの大半は、ユーザ名及びパスワードに基づいてユーザを認証している。典型的に、ユーザは、郵送先住所、Eメールアドレス、ユーザ名及びパスワードの如き種々のタイプの情報を与えるために、ウエブサイトによって与えられるフォームに書き込むことを初めに要求される。それから、ユーザは、アカウントを確立するため、そのウエブサイトにそのフォームを送る。その後、そのウエブサイトは、そのユーザがそのアカウントにアクセスするために、その正しいユーザ名及びパスワードを要求する。要するに、アカウントを確立するのに使用される情報は、ユーザのデジタルアイデンティティである。
【0003】
[0003]ユーザ名及びパスワードに基づく認証は、安全でないとされてきている。例えば、ユーザ名及びパスワードは、悪意の目的でそのユーザのアカウントにアクセスするためにその情報を使用しようとするような不許可のパーティに対して、不注意により開示されてしまい易いものである。従って、他のより安全なデジタルアイデンティティが使用されてきている。例えば、現在のデジタルアイデンティティの標準及びシステムとしては、オープンID、軽量アイデンティティプロトコル(LID)、安全拡張アイデンティティプロトコル(SXIP)、マイクロソフトカードスペース、等がある。更に、シマンテックから入手できるノートンコンフィデンシャルの如きソフトウエアパッケージによれば、デジタルアイデンティティ情報の安全な記憶及びウエブサイトのフォームの自動書き込みが行える。
【発明の開示】
【発明が解決しようとする課題】
【0004】
[0004]ウエブサイト間においてデジタルアイデンティティシステムの多様性が増すにつれて、ユーザは、異なるフォーマットにて表され異なる標準に従う多くの異なるデジタルアイデンティティを維持することを要求される。これでは、ユーザは、伝統的なユーザ名/パスワードアイデンティティの方を好み、より安全なフォームのデジタルアイデンティティを避けるようになってしまうかもしれない。従って、ユーザのために単一インターフェースを使用して異なるフォーマットのデジタルアイデンティティを管理する方法及び装置が当業分野において必要とされている。
【課題を解決するための手段】
【0005】
[0005]単一インターフェースを通してデジタルアイデンティティを管理する方法及び装置が提供される。本発明の一態様は、ユーザに関連したデジタルアイデンティティを管理することに関する。エンティティのアイデンティティポリシーが得られる。それらデジタルアイデンティティから、少なくとも1つの関連デジタルアイデンティティが選択される。各関連デジタルアイデンティティは、そのアイデンティティポリシーによって要求される情報を含む。選択デジタルアイデンティティが、その又はそれらの関連デジタルアイデンティティから得られる。その選択デジタルアイデンティティの表現が、そのアイデンティティポリシーに従うエンティティに与えられる。
【0006】
[0006]本発明の前述した特徴を詳細に理解できるように、その概要について簡単に前述した本発明について、以下に、図面に幾つかを例示しているような実施形態に関連して、より詳細に説明する。しかしながら、添付図面は、本発明の典型的な実施形態のみを例示しているのであって、本発明の範囲をそれらに限定しようとしているものではなく、本発明は、その他の均等の効果を発揮する種々の実施形態を考えることができるものであることに、注意されたい。
【発明を実施するための最良の形態】
【0007】
[0010]図1は、本発明の1つ以上の態様に沿った、ネットワークコンピュータシステム100の典型的な実施形態を示すブロック図である。このシステム100は、コンピュータ104に結合されるネットワーク102を含む。コンピュータ104は、プロセッサ108、メモリ114、種々のサポート回路110及び入出力インターフェース106を含むものとして例示されている。プロセッサ108は、当業分野において知られている1つ以上のマイクロプロセッサを含むことができる。プロセッサ108のためのサポート回路110は、通常のキャッシュ、電力供給装置、クロック回路、データレジスタ、入出力インターフェース等を含む。入出力インターフェース106は、メモリ114に直接に結合することもできるし、又は、プロセッサ108を通して結合することもできる。入出力インターフェース106は、ネットワーク装置、種々の記憶装置、マウス、キーボード等の如き入力装置111及び/又は出力装置113と通信するように構成することもできる。特に、出力装置113は、ディスプレイ150を含むことができる。入出力インターフェース106は、ネットワーク102にも結合される。ネットワーク102は、ハブ、スイッチ、ルーター等の如き種々のタイプの良く知られたネットワーク素子によって促進され、ワイヤ、ケーブル、光ファイバ及び/又はワイヤレスリンクによってコンピュータシステムを接続する通信システムを備える。ネットワーク102は、情報を通信するため種々の良く知られたプロトコルを使用することができる。例えば、ネットワーク102は、インターネットの部分であってよい。
【0008】
[0011]メモリ114は、プロセッサ108によって実行され及び/又はプロセッサ108によって使用される、プロセッサ実行可能な命令及び/又はデータを記憶する。これらのプロセッサ実行可能な命令は、ハードウエア、ファームウエア、ソフトウエア等又はそれらの組合せを含んでもよい。メモリ114に記憶されるプロセッサ実行可能な命令を有するモジュールは、アイデンティティマネージャー116を含むことができる。コンピュータ104は、良く知られたプラットフォームの中でも、OS/2、Java仮想マシン、リナックス、ソラリス、ユニックス、HPUX、AIX、Windowsを含むことのできるオペレーティングシステム124でプログラムされることができる。オペレーティングシステム124の少なくとも一部分は、メモリ114に配設することができる。メモリ114は、ランダムアクセスメモリ、リードオンリーメモリ、磁気抵抗効果リード/ライトメモリ、光リード/ライトメモリ、キャッシュメモリ、磁気リード/ライトメモリ等並びに以下に説明するような信号担持媒体のうちの1つ以上のものを含むことができる。
【0009】
[0012]アイデンティティマネージャー116は、ユーザのための複数のデジタルアイデンティティ120を管理するように構成されている。これらデジタルアイデンティティ120は、ネットワーク102を介して遠隔のエンティティとのトランザクションにおいて使用される。典型的なシナリオにおいては、ユーザは、ここでは信頼パーティ128と称する遠隔のエンティティとのトランザクションを開始するために、ウエブブラウザの如きアプリケーションを使用することができる。この信頼パーティ128は、そのユーザからのデジタルアイデンティティを要求し、何らかの方法でデジタルアイデンティティを信頼するエンティティである。例えば、この信頼パーティ128は、そのユーザを認証するのにそのデジタルアイデンティティを使用することができる。信頼パーティ128は、アイデンティティポリシーをそのユーザアプリケーションへ提示する。そのアイデンティティポリシーは、その信頼パーティ128によって受け取られるデジタルアイデンティティのフォーマット及びコンテンツを指示する。
【0010】
[0013]アイデンティティマネージャー116は、そのデジタルアイデンティティ120へのアクセス権を有する。デジタルアイデンティティは、そのユーザに関連した情報を含む。その情報のうちの少なくともいくつかを、そのユーザを識別し、認証するのに使用することができる。その情報は、例えば、ユーザ信用証明情報(例えば、ユーザ名、パスワード等)、アドレスデータ(例えば、ホームアドレス、ビリングアドレス、シッピングアドレス等)、口座番号データ(例えば、クレジットカード口座番号、銀行口座番号等)、ユーザの好み及び/又は無数の他のタイプのデータのうちのいずれかを含むことができる。このようなデジタルアイデンティティの情報は、ここでは、その「コンテンツ」と称される。
【0011】
[0014]デジタルアイデンティティは、1つ以上のフォーマットにて表すことができる。それらフォーマットのうちのあるものは、ネットワーク102を介して信頼パーティ128へ提示されるとき、異なる方法で使用される。例えば、1つのフォーマットでは、デジタルアイデンティティのコンテンツは、ユーザプロファイルとして記憶される。信頼パーティ128は、ユーザに関連した情報(例えば、ユーザ名、パスワード、アドレス等)を書き込むためのフィールドを含むようなあるフォーム又はそれと同様のものをユーザに提示する。このフォームは、その信頼パーティ128のアイデンティティポリシーを含む。そのユーザプロファイルは、自動フォーム書き込みを行うのに使用される。即ち、要求された情報がそれらフィールドに自動的に書き込まれる。このようなデジタルアイデンティティフォーマットを使用する典型的な市販のソフトウエアは、カリフォルニア州クパチーノのシマンテックコーポレーションから入手できるノートンコンフィデンシャルである。
【0012】
[0015]別の典型的なデジタルアイデンティティフォーマットは、信頼パーティ128へのユーザによるセキュリティートークン(トークンと称される)の提示を含む。信頼パーティ128は、トークン(アイデンティティポリシー)を要求するフォーム又はそれと同様のものをユーザへ提示する。トークンは、そのデジタルアイデンティティによって搬送される全情報のうちのある部分をそれぞれ含む1つ以上のクレームを含む。例えば、トークンは、ユーザネーム、パスワード、クレジットカード番号及び/又は無数の他のタイプの情報のためのクレームを含むことができる。これらトークンは、X.509証明書、ケルベロスチケット等の如き種々異なるフォーマットでよい。トークンは、セキュリティーアサーションマークアップ言語(SAML)の如き標準言語を使用して生成することもできる。トークンを使用する典型的なソフトウエアは、メタファーの理解を容易とするマイクロソフトカードスペースである。このカードスペースは、ユーザがそのプロファイル情報を表す「カード」(即ち、オブジェクト)を生成することができるようにする。そして、そのカードは、ネットワーク102を通してエンティティへ提示することのできるセキュリティートークンを生成するのに使用される。
【0013】
[0016]カードスペースの如き幾つかのトークンベースのアイデンティティフォーマットによれば、2つのタイプのデジタルアイデンティティ、即ち、自己管理アイデンティティ及び被管理アイデンティティを与えることができる。これら2つのタイプのアイデンティティの間の区別をするため、ユーザに対してデジタルアイデンティティを与えるエンティティであるアイデンティティプロバイダーを定めるのが有用である。自己管理アイデンティティは、ユーザとアイデンティティプロバイダーとが1つで同じであるような場合のものである。例えば、ユーザがアマゾンドットコムの如きオンラインプロバイダーにアカウントを生成している場合には、そのユーザは、自分自身のアイデンティティ(例えば、ユーザ名、パスワード、アドレス等)を生成しているのである。自己管理アイデンティティは、公開鍵基盤(PKI)によって支持される。当業分野においてよく知られるように、PKIによれば、公開/秘密鍵の対を使用して非対称暗号化を行うことができる。自己管理アイデンティティを搬送するセキュリティートークンは、ユーザの秘密鍵を使用して署名され、信頼パーティ128は、そのユーザの公開鍵を使用してそのユーザから発せられたようなセキュリティートークンを認証する。このような認証機構は、当業分野においてよく知られている。
【0014】
[0017]被管理アイデンティティは、情報が第三者によって支持され、従って、より信用できるものであると推定されるようなより強い形式のデジタルアイデンティティである。即ち、ユーザとは無関係のアイデンティティプロバイダー130により、そのユーザへデジタルアイデンティティが与えられる。被管理アイデンティティの場合には、そのデジタルアイデンティティのコンテンツのあるもの又はすべては、コンピュータ104に記憶されない。むしろ、そのコンテンツのあるもの又はすべては、アイデンティティプロバイダー130によって記憶され管理されるのである。従って、ユーザは、アイデンティティプロバイダー130に要求して、そのアイデンティティプロバイダー130からセキュリティートークンを受け取り、それから、そのセキュリティートークンが信頼パーティ128へ提示されるのである。
【0015】
[0018]別のタイプのデジタルアイデンティティ表現は、フォーム書き込み及びトークンベース表現に加えて、一様なリソース識別子(URI)を使用することを含む。このような典型的なアイデンティティシステムとしては、オープンID、軽量アイデンティティプロトコル(LID)、安全拡張アイデンティティプロトコル(SXIP)等がある。URIベースシステムでは、アイデンティティプロバイダー130は、信頼パーティ128に対してユーザを認証するのに使用されるURIをユーザに与える。ユーザは、そのURIを信頼パーティ128へ提示し、その信頼パーティ128は、そのURIの所有者を確認するためにアイデンティティプロバイダー130とやり取りする。
【0016】
[0019]一般的に、デジタルアイデンティティのフォーマットは、デジタルアイデンティティの「表現」と称される。即ち、所定のデジタルアイデンティティは、1つ以上の表現(例えば、フォーム書き込みのためのユーザプロファイル、セキュリティートークン、URIベース又は同様のもの)を有することができる。デジタルアイデンティティ120のうちの1つ以上のものは、1つ以上のアプリケーション125を使用して生成することができる。例えば、デジタルアイデンティティ120のうちのあるものは、カードスペースを使用して生成することができる。デジタルアイデンティティ120のうちの他のものは、ノートンコンフィデンシャルを使用して生成することができる。後述するように、デジタルアイデンティティ120のうちの1つ以上のものは、アイデンティティマネージャー116を使用して生成することができる。
【0017】
[0020]特に、ある実施形態では、アイデンティティマネージャー116は、デジタルアイデンティティ120のうちの既存のもの(例えば、アプリケーション125によって生成されたデジタルアイデンティティ)を取り込むように構成されている。典型的には、各取り込まれるデジタルアイデンティティは、単一表現を含むが、1つより多い表現を与えることもできる。いずれの場合においても、各取り込まれたデジタルアイデンティティに対して、アイデンティティマネージャー116は、1つ以上の代替表現を生成することができる。あるデジタルアイデンティティ(例えば、自己管理アイデンティティ)に対して、アイデンティティマネージャー116は、その代替表現を生成するのにコンピュータ104に記憶されたコンテンツを使用する。もし、そのデジタルアイデンティティのすべて又は部分がそのコンピュータの外部に、例えば、アイデンティティプロバイダー130に記憶されているならば、その時には、そのアイデンティティマネージャー116は、そのアイデンティティプロバイダー130からコンテンツを要求することができる(例えば、被管理アイデンティティについて)。
【0018】
[0021]デジタルアイデンティティの代替表現は、アイデンティティマネージャー116によって自動的に生成することができ、又は、ユーザからのコマンドに応答して生成することもできる。例えば、所定のデジタルアイデンティティは、フォーム書き込みのために使用されるユーザプロファイルを含むことができる。アイデンティティマネージャー116は、自己管理トークンベースのアイデンティティ(例えば、カードスペースにおける自己管理カード)を生成するため、ユーザプロファイル(デジタルアイデンティティのコンテンツ)を使用することができる。アイデンティティマネージャー116は、その逆のことを行うこともできる。即ち、自己管理トークンベースのアイデンティティにおける情報は、フォーム書き込みのためのユーザプロファイルを生成するのに使用することができる。アイデンティティマネージャー116は、複数の表現を有するデジタルアイデンティティを生成するのに使用することもできる。いずれの場合においても、デジタルアイデンティティ120のあるもの又はすべては、アイデンティティマネージャー116によって複数の表現を有するように構成することができる。
【0019】
[0022]信頼パーティとの各トランザクションについて、アイデンティティマネージャー116は、アイデンティティポリシーを得るように構成することができる。アイデンティティマネージャー116は、そのアイデンティティポリシーによって要求される情報を決定し、1つ以上の関連デジタルアイデンティティを識別する。それら関連デジタルアイデンティティは、そのアイデンティティポリシーを満足するために使用することができるコンテンツを含む。それら関連デジタルアイデンティティは、ディスプレイ150上の可視表現152として、選択のためユーザに提示することができる。アイデンティティマネージャー116は、そのアイデンティティポリシーに対して関連しないデジタルアイデンティティ(例えば、要求されたコンテンツを有していないデジタルアイデンティティ)を、その信頼パーティ128で使用できないようにすることができる。それらの使用できないようにされたデジタルアイデンティティは、ディスプレイ150上にてユーザに見えないようにすることができ、又は、それらが使用できないものとされたことを示すような仕方で(例えば、「グレイアウト」可視表現により)表示することもできる。ユーザは、それら関連デジタルアイデンティティの中から、あるデジタルアイデンティティを選択して信頼パーティ128へ提示することができる。あるいは、アイデンティティマネージャー116は、それら関連デジタルアイデンティティのうちの1つを自動的に選択するように、ユーザにより又は他のやり方で構成される。
【0020】
[0023]ある実施形態では、アイデンティティマネージャー116は、アイデンティティポリシーによって要求されるフォーマットとは関係なしに関連デジタルアイデンティティを決定する。即ち、アイデンティティマネージャー116は、デジタルアイデンティティがそのアイデンティティポリシーに要求されるコンテンツを有するかについてのみ決定する。もし、選択デジタルアイデンティティがそのアイデンティティポリシーによって要求されるフォーマットにないならば、アイデンティティマネージャー116は、そのコンテンツからそのアイデンティティポリシーに従うようなデジタルアイデンティティの表現を生成することができる。あるいは、前述したように、アイデンティティマネージャー116は、選択デジタルアイデンティティのための代替表現を予め生成しておくこともできる。もし、アイデンティティポリシーによって要求される表現が選択デジタルアイデンティティのために既に生成されているならば、この表現がアイデンティティマネージャー116により選択され信頼パーティ128へ送信される。
【0021】
[0024]ある実施形態では、アイデンティティマネージャー116は、コンテンツ及びフォーマットに基づいて関連デジタルアイデンティティを決定する。例えば、前述したように、アイデンティティマネージャー116は、デジタルアイデンティティ120のための代替表現を生成しておくことができる。関連デジタルアイデンティティを決定するとき、アイデンティティマネージャー116は、要求されたコンテンツ及び要求された表現を有するアイデンティティのみを選択することができる。それから、アイデンティティマネージャー116は、それらの関連アイデンティティをユーザへ提示する。例えば、あるデジタルアイデンティティが代替表現を有することができないという場合がある。このような場合には、アイデンティティマネージャー116は、前述したように、「オンザフライ」で正しい表現を生成することができないことがある。従って、アイデンティティマネージャー116は、要求されたフォーマットへ変換することができないようなデジタルアイデンティティをユーザに示さない。
【0022】
[0025]ある実施形態では、信頼パーティ128のアイデンティティポリシーは、複数の異なる表現(例えば、フォーム書き込み及びトークンベース機構)をサポートすることができる。ユーザが信頼パーティ128へ提示するデジタルアイデンティティを選択するとき、アイデンティティマネージャー116は、それら表現のうちの1つを最も安全な表現として選択し、この表現を信頼パーティ128へ提示されるべきものとして指定する。例えば、信頼パーティ128は、フォーム書き込み及びトークンベースアイデンティティフォーマットの両方を受け取ることができる。アイデンティティマネージャー116は、より安全なトークンベースフォーマットを選択することができ、従って、選択デジタルアイデンティティのトークンベース表現を使用することができる。選択アイデンティティに対して、選択される最も安全なフォーマットを、前述したように、予め生成しておくこともできるし、又はオンザフライで生成することもできる。アイデンティティマネージャー116は、このようなフォーマット選択を自動的に行うことができる。あるいは、アイデンティティマネージャー116は、選択のために、異なるフォーマットをユーザに提示することができる。アイデンティティマネージャー116は、ユーザの選択のガイドとして最も安全な表現について推奨することができる。
【0023】
[0026]ある実施形態では、デジタルアイデンティティは、同じ情報に関連する複数のユーザ信用証明情報を含むことができる。例えば、デジタルアイデンティティは、複数の信頼パーティで使用することができるアドレス情報(例えば、郵送先住所及びEメールアドレス)を含むことができる。しかしながら、ユーザは、信頼パーティの各々と異なる信用証明情報(例えば、ユーザ名及びパスワード)を確立する。このような場合において、そのアドレス情報(又はそれらエンティティの間での共通の任意の他の情報)及びそれら複数の信用証明情報を含む単一デジタルアイデンティティが生成される。あるいは、ユーザは、単一信頼パーティに対して複数の信用証明情報を使用することができる。いずれの場合においても、アイデンティティマネージャー116は、所定のデジタルアイデンティティについて、これらの信用証明情報を、時間経過につれて加えたり除去したりすることを含めて、管理するように構成しておくことができる。アイデンティティマネージャー116は、信頼パーティ128へ与えられるデジタルアイデンティティの表現に含めるため、信用証明情報のうちの1つを選択するように構成しておくこともできる。例えば、関連デジタルアイデンティティがユーザに提示されるとき、それらデジタルアイデンティティのうちの任意の1つに対して複数の信用証明情報が存在する事実を、そのユーザへ伝えることができる(例えば、ディスプレイ150上の可視キュー)。こうすることにより、ユーザは、デジタルアイデンティティを選択し且つ信頼パーティ128に対して使用するための望ましい信用証明情報を選択することができる。もし、デジタルアイデンティティが複数の信用証明情報を有するならば、それら信用証明情報のうちの1つを、デフォルト信用証明情報として指定しておき、ユーザによる選択がなされない場合に、アイデンティティマネージャー116がそのデフォルト信用証明情報を使用するようにすることができる。
【0024】
[0027]ある実施形態では、アイデンティティマネージャー116は、信頼パーティの信用レベルを確立するため、その信頼パーティ128とのトランザクションのセキュリティーを分析する。信用レベルは、信頼パーティ128の評判、データ交換のために使用されるセキュリティー機構、信頼パーティ128が営業していた時間の長さ、信頼パーティ128とやり取りするユーザの数等の如き信頼パーティ128の種々の属性を分析するヒューリスティックタイプ又は他のタイプのルールベースエンジンを使用して確立することができる。このような情報は、アイデンティティマネージャー116によりローカル的に決定することができ、又は第三者(例えば、他のサイトの評判を評価する第三者サイト)から得ることができ、又は、信頼パーティ128自身から得ることができ、又は、このようなソースの組合せから得ることができる。
【0025】
[0028]アイデンティティマネージャー116は、提示すべき特定のデジタルアイデンティティを選択するのにその信用レベルを使用する。例えば、ユーザは、実際のアイデンティティ情報(「実デジタルアイデンティティ」)及び匿名デジタルアイデンティティを有するデジタルアイデンティティを確立することができる。実デジタルアイデンティティは、そのユーザにとっての実際のアイデンティティ情報を含む。匿名デジタルアイデンティティは、偽アイデンティティ情報(例えば、偽Eメールアドレス、偽名等)を含むことができる。アイデンティティマネージャー116は、信頼パーティ128に対して決定された信用レベルに基づいて、実デジタルアイデンティティ又は匿名デジタルアイデンティティをユーザに提示する。例えば、もし、高い信用レベルが決定されるならば、実デジタルアイデンティティをユーザが選択するように推奨することができる。もし、低い信用レベルが決定されるならば、匿名デジタルアイデンティティをユーザが選択するように推奨することができる。アイデンティティマネージャー116は、ユーザがその推奨とは関係なくいずれかのデジタルアイデンティティを選択できるようにすることもできる。このような信用レベルに基づくアイデンティティ選択は、前述したようなアイデンティティ選択機構(即ち、信頼パーティのポリシー及びプロトコルに基づくアイデンティティの選択)に加えて行うことができる。
【0026】
[0029]ある実施形態では、匿名デジタルアイデンティティは、プライバシー保護機能を有しつつ、実アイデンティティ情報を含む。例えば、匿名デジタルアイデンティティは、ユーザの実際の住所、Eメールアドレス又は電話番号についてなんら明らかにしていない転送住所、転送Eメールアドレス、及び/又は転送電話番号を含むことができる。別の実施例では、匿名デジタルアイデンティティは、1回限り使用可能なクレジットカード番号を含む。信頼パーティ128がそのクレジットカード番号を使用した後は、それはもはや有効ではない。別の実施例では、匿名デジタルアイデンティティは、サイト特有のEメールアドレスを含む。即ち、ユーザは、特定の信頼パーティで使用するEメールアドレスを確立する。サイト特有のEメールアドレスは、ユーザの実際のEメールアドレスを明らかにしない。
【0027】
[0030]アイデンティティマネージャー116は、デジタルアイデンティティを示すため、種々の可視表現152を使用することができる。一般的に、アイデンティティマネージャー116は、デジタルアイデンティティをオブジェクト(例えば、カード)として示す。ある実施形態では、所定のオブジェクトは、デジタルアイデンティティの複数の表現とリンクすることができる。従って、ユーザは、多数のオブジェクト攻めに合うことはない。あるいは、1つのオブジェクトは、デジタルアイデンティティの1つの表現のみとすることができる(例えば、1つのオブジェクトは、デジタルアイデンティティ書き込みフォームに対するものであり、別のオブジェクトは、同じデジタルアイデンティティのトークンベース表現に対するものである)。
【0028】
[0031]図2は、本発明の1つ以上の態様に沿った、ユーザに関連するデジタルアイデンティティを管理する方法200の典型的な実施形態を示すフロー図である。この方法200は、ユーザに対して1つ以上のデジタルアイデンティティが識別されるステップ202で始まる。ステップ204にて、それらデジタルアイデンティティの各々のコンテンツが得られる。あるアイデンティティの場合には、そのコンテンツは、それらアイデンティティを記憶しているコンピュータからローカル的に得ることができる。他の被管理アイデンティティの場合には、そのコンテンツは、アイデンティティプロバイダーから得ることができる。ステップ206にて、各デジタルアイデンティティに対するコンテンツは、各デジタルアイデンティティのための1つ以上の代替表現を生成するのに使用される。ステップ208にて、1つ以上のオブジェクトが各デジタルアイデンティティに対して確立される。それらオブジェクトは、ユーザに対して可視的に表示される。ある実施形態では、各デジタルアイデンティティ及びその表現は、単一オブジェクトにリンクされる。他の実施形態では、各デジタルアイデンティティの各表現に対して1つのオブジェクトが確立される。デジタルアイデンティティ120を取り込む及び/又は別のやり方でデジタルアイデンティティ120を確立するために、アイデンティティマネージャー116は方法200を行うことができる。
【0029】
[0032]図3は、本発明の1つ以上の態様に沿った、ユーザのデジタルアイデンティティを信頼パーティへ与える方法300の典型的な実施形態を示すフロー図である。この方法300は、エンティティのアイデンティティポリシーが得られるステップ302で始まる。前述したように、そのアイデンティティポリシーは、要求されるデジタルアイデンティティのコンテンツ及びフォーマットを指示する。ステップ303にて、そのエンティティの信用レベルが決定される。ステップ304にて、1つ以上の関連デジタルアイデンティティが識別される。各関連デジタルアイデンティティは、そのアイデンティティポリシーによって要求される情報を含む。一実施形態では、各関連アイデンティティは、そのアイデンティティポリシーによって要求されるコンテンツを含む。別の実施形態では、各関連アイデンティティは、そのアイデンティティポリシーによって要求される表現及びコンテンツを含む。それら関連デジタルアイデンティティは、そのエンティティに対して決定された信用レベルに基づいて識別することもできる。例えば、もし、信用が高いならば、それら関連デジタルアイデンティティは、実アイデンティティ情報を有するデジタルアイデンティティを含むだけでよい。一方、もし、信用が低いならば、それら関連デジタルアイデンティティは、匿名情報(即ち、偽情報又はプライバシーが保護された実情報)を有するものであることができる。ステップ306にて、それら関連アイデンティティは、選択のためユーザへ提示される。一実施形態では、他の非関連デジタルアイデンティティは、信頼パーティで使用できないものとされ、ユーザへ提示することができる。ある実施形態では、それら関連アイデンティティは、ユーザへ提示され推奨される。例えば、もし、ステップ303にて、信用が高いと決定されるならば、実情報を有するそれらのアイデンティティを推奨することができる。あるいは、もし、信用が低いならば、匿名情報を有するアイデンティティを推奨することができる。別の実施例では、もし、そのエンティティが2つの種類のデジタルアイデンティティを承認するならば、そのより安全な方をユーザに推奨することができる。
【0030】
[0033]ステップ308にて、選択デジタルアイデンティティが、それら関連デジタルアイデンティティから得られる。その選択デジタルアイデンティティは、ステップ306によってユーザにより確立することができる。あるいは、デジタルアイデンティティは、それら関連デジタルアイデンティティから自動的に選択される。ステップ310にて、信用証明情報が選択デジタルアイデンティティにおいて選択される。前述したように、デジタルアイデンティティは、複数の信用証明情報を含むことがある。それら信用証明情報のうちのデフォルト信用証明情報を自動的に選択することができる。あるいは、ユーザは、それら信用証明情報のうちの1つを選択することができる。ステップ312にて、アイデンティティポリシーに従った選択デジタルアイデンティティの表現が信頼パーティへ与えられる。一実施形態では、選択デジタルアイデンティティは、信頼パーティのアイデンティティポリシーに従う第2の表現へと変換される第1の表現を含む。別の実施形態では、選択デジタルアイデンティティは、複数の表現を含み、それらの表現のうちの少なくとも1つは、信頼パーティのアイデンティティポリシーに従うものである。アイデンティティポリシーに従う表現が選択される。ある実施形態では、アイデンティティポリシーは、複数の表現をサポートし、選択デジタルアイデンティティは、複数の表現を含む。それらのうちの複数のものは、そのアイデンティティポリシーに従うものである。信頼パーティへ与えられる表現は、ありうる表現のすべての中で最も安全であるとみなされるものであってもよい。信頼パーティとやり取りするときに、アイデンティティマネージャー116がこの方法300を行うことができる。
【0031】
[0034]本発明の一態様は、コンピュータシステムで使用するプログラム製品として実施される。このプログラム製品のプログラムは、実施形態の機能を定めており、種々の信号担持媒体に含ませることができる。信号担持媒体は、これに限定されるものではないが、(i)非書き込み記憶媒体(例えば、CD-ROMドライブ又はDVDドライブによって読み取り可能なCD-ROM又はDVD-ROMディスクの如きコンピュータ内のリードオンリーメモリ装置)に恒久的に記憶された情報、(ii)書き込み可能記憶媒体(例えば、ディスケットドライブ又はハードディスクドライブ内のフロッピーディスク又は読み取り/書き込み可能CD又は読み取り/書き込み可能DVD)に記憶された変更可能な情報、又は(iii)ワイヤレス通信を含むコンピュータ又は電話ネットワークを介しての如き通信媒体によってコンピュータへ搬送される情報、を含む。後者の実施形態は、特に、インターネット及び他のネットワークからダウンロードされる情報を含む。このような信号担持媒体は、本発明の機能を導くコンピュータ読み取り可能な命令を担持するとき、本発明の実施形態となっている。
【0032】
[0035]本発明の実施形態について前述してきたのであるが、本発明の基本的範囲から逸脱せずに、本発明の他の更なる実施形態を考えることができるものであり、本発明の範囲は、特許請求の範囲によって決定されるものである。
【図面の簡単な説明】
【0033】
【図1】本発明の1つ以上の態様に沿った、ネットワークコンピュータシステムの典型的な実施形態を示すブロック図である。
【図2】本発明の1つ以上の態様に沿った、ユーザに関連したデジタルアイデンティティを管理する方法の典型的な実施形態を示すフロー図である。
【図3】本発明の1つ以上の態様に沿った、ユーザのデジタルアイデンティティを信頼パーティへ与える方法の典型的な実施形態を示すフロー図である。
【符号の説明】
【0034】
100・・・ネットワークコンピュータシステム、102・・・ネットワーク、104・・・コンピュータ、106・・・入出力インターフェース、108・・・プロセッサ、110・・・サポート回路、111・・・入力装置、113・・・出力装置、114・・・メモリ、116・・・アイデンティティマネージャー、120・・・デジタルアイデンティティ、124・・・オペレーティングシステム、125・・・アプリケーション、128・・・信頼パーティ、130・・・アイデンティティプロバイダー、150・・・ディスプレイ、152・・・可視表現。
【特許請求の範囲】
【請求項1】
ユーザに関連したデジタルアイデンティティを管理する方法において、
エンティティのアイデンティティポリシーを得るステップと、
前記デジタルアイデンティティから、前記アイデンティティポリシーによって要求される情報を各々が含む少なくとも1つの関連デジタルアイデンティティを識別するステップと、
前記少なくとも1つの関連デジタルアイデンティティのうちの選択デジタルアイデンティティを得るステップと、
前記アイデンティティポリシーに従う前記選択デジタルアイデンティティの表現を前記エンティティに与えるステップと、
を備える方法。
【請求項2】
前記選択デジタルアイデンティティを選択するために前記少なくとも1つの関連デジタルアイデンティティを前記ユーザに提示するステップを更に備える、請求項1に記載の方法。
【請求項3】
前記少なくとも1つの関連デジタルアイデンティティ以外の前記デジタルアイデンティティの各々を前記エンティティで使用できないようにするステップを更に備える、請求項2に記載の方法。
【請求項4】
前記エンティティの信用レベルを決定するステップと、
前記信用レベルに基づいて前記少なくとも1つの関連デジタルアイデンティティのうちの推奨されるものを前記ユーザに提示するステップと、
を更に備える、請求項2に記載の方法。
【請求項5】
前記推奨されたデジタルアイデンティティは、前記信用レベルが高い場合には、前記ユーザにとっての実アイデンティティ情報を含み、前記信用レベルが低い場合には、前記ユーザにとっての匿名アイデンティティ情報を含む、請求項4に記載の方法。
【請求項6】
前記選択デジタルアイデンティティは、第1の表現を含み、
前記与えるステップは、前記選択デジタルアイデンティティの前記第1の表現を前記アイデンティティポリシーに従う表現に変換する段階を含む、請求項1に記載の方法。
【請求項7】
前記選択デジタルアイデンティティは、第1の表現を含み、
前記選択デジタルアイデンティティの前記第1の表現に対する少なくとも1つの代替表現を生成して、複数の表現を生成するステップ、
を更に備える、請求項1に記載の方法。
【請求項8】
前記与えるステップは、前記アイデンティティポリシーに従う表現として前記複数の表現のうちの1つを選択する段階を含む、請求項7に記載の方法。
【請求項9】
前記デジタルアイデンティティの各々は、少なくとも1つの表現を含み、
前記少なくとも1つの関連デジタルアイデンティティの各々の前記少なくとも1つの表現は、前記アイデンティティポリシーに従う表現を含む、請求項1に記載の方法。
【請求項10】
前記選択デジタルアイデンティティにおける情報は、複数の信用証明情報を含み、
前記エンティティに与えられる前記選択デジタルアイデンティティの表現に含ませるために、前記複数の信用証明情報のうちの1つを選択するステップ、
を更に備える、請求項1に記載の方法。
【請求項11】
前記アイデンティティポリシーは、複数の表現をサポートし、前記選択デジタルアイデンティティは、前記複数の表現を含み、
最も安全な表現として前記複数の表現のうちの1つを選択するステップと、
前記エンティティに与える表現として前記最も安全な表現を指定するステップと、
を更に備える、請求項1に記載の方法。
【請求項12】
ユーザに関連したデジタルアイデンティティを管理する装置において、
エンティティのアイデンティティポリシーを得るための手段と、
前記デジタルアイデンティティから、前記アイデンティティポリシーによって要求される情報を各々が含む少なくとも1つの関連デジタルアイデンティティを識別する手段と、
前記少なくとも1つの関連デジタルアイデンティティのうちの選択デジタルアイデンティティを得るための手段と、
前記アイデンティティポリシーに従う前記選択デジタルアイデンティティの表現を前記エンティティに与える手段と、
を備える装置。
【請求項13】
前記選択デジタルアイデンティティを選択するために前記少なくとも1つの関連デジタルアイデンティティを前記ユーザに提示する手段と、
前記エンティティの信用レベルを決定する手段と、
前記信用レベルに基づいて前記少なくとも1つの関連デジタルアイデンティティのうちの推奨されるものを前記ユーザに提示する手段と、
を更に備える、請求項12に記載の装置。
【請求項14】
前記選択デジタルアイデンティティは、第1の表現を含み、
前記与える手段は、前記選択デジタルアイデンティティの前記第1の表現を、前記アイデンティティポリシーに従う表現に変換する手段を備える、請求項12に記載の装置。
【請求項15】
前記選択デジタルアイデンティティは、第1の表現を含み、
前記選択デジタルアイデンティティの前記第1の表現に対する少なくとも1つの代替表現を生成して、複数の表現を生成する手段、
を更に備える、請求項12に記載の装置。
【請求項16】
前記与える手段は、前記アイデンティティポリシーに従う表現として前記複数の表現のうちの1つを選択する手段を備える、請求項15に記載の装置。
【請求項17】
前記アイデンティティポリシーは、複数の表現をサポートし、前記選択デジタルアイデンティティは、前記複数の表現を含み、
最も安全な表現として前記複数の表現のうちの1つを選択する手段と、
前記エンティティに与える表現として前記最も安全な表現を指定する手段と、
を更に備える、請求項13に記載の装置。
【請求項18】
ユーザに関連したデジタルアイデンティティを記憶するように構成されたメモリと、
ネットワークにおけるエンティティと通信するように構成されたインターフェースと、
前記インターフェースを通して前記エンティティのアイデンティティポリシーを得て、前記デジタルアイデンティティから、前記アイデンティティポリシーによって要求される情報を各々が含む少なくとも1つの関連デジタルアイデンティティを識別し、前記少なくとも1つの関連デジタルアイデンティティのうちの選択デジタルアイデンティティを得て、前記アイデンティティポリシーに従う前記選択デジタルアイデンティティの表現を前記インターフェースを通して前記エンティティに与えるように構成されたアイデンティティマネージャーと、
を備えるコンピュータシステム。
【請求項19】
ディスプレイを更に備え、
前記アイデンティティマネージャーは、前記選択デジタルアイデンティティの選択のために、前記ディスプレイ上の可視表現を使用して前記少なくとも1つの関連デジタルアイデンティティを前記ユーザに提示するように更に構成されている、請求項18に記載のコンピュータシステム。
【請求項20】
前記選択デジタルアイデンティティは、第1の表現を含み、前記アイデンティティマネージャーは、前記選択デジタルアイデンティティの前記第1の表現に対する少なくとも1つの代替表現を生成して、複数の表現を生成するように構成されている、請求項18に記載のコンピュータシステム。
【請求項1】
ユーザに関連したデジタルアイデンティティを管理する方法において、
エンティティのアイデンティティポリシーを得るステップと、
前記デジタルアイデンティティから、前記アイデンティティポリシーによって要求される情報を各々が含む少なくとも1つの関連デジタルアイデンティティを識別するステップと、
前記少なくとも1つの関連デジタルアイデンティティのうちの選択デジタルアイデンティティを得るステップと、
前記アイデンティティポリシーに従う前記選択デジタルアイデンティティの表現を前記エンティティに与えるステップと、
を備える方法。
【請求項2】
前記選択デジタルアイデンティティを選択するために前記少なくとも1つの関連デジタルアイデンティティを前記ユーザに提示するステップを更に備える、請求項1に記載の方法。
【請求項3】
前記少なくとも1つの関連デジタルアイデンティティ以外の前記デジタルアイデンティティの各々を前記エンティティで使用できないようにするステップを更に備える、請求項2に記載の方法。
【請求項4】
前記エンティティの信用レベルを決定するステップと、
前記信用レベルに基づいて前記少なくとも1つの関連デジタルアイデンティティのうちの推奨されるものを前記ユーザに提示するステップと、
を更に備える、請求項2に記載の方法。
【請求項5】
前記推奨されたデジタルアイデンティティは、前記信用レベルが高い場合には、前記ユーザにとっての実アイデンティティ情報を含み、前記信用レベルが低い場合には、前記ユーザにとっての匿名アイデンティティ情報を含む、請求項4に記載の方法。
【請求項6】
前記選択デジタルアイデンティティは、第1の表現を含み、
前記与えるステップは、前記選択デジタルアイデンティティの前記第1の表現を前記アイデンティティポリシーに従う表現に変換する段階を含む、請求項1に記載の方法。
【請求項7】
前記選択デジタルアイデンティティは、第1の表現を含み、
前記選択デジタルアイデンティティの前記第1の表現に対する少なくとも1つの代替表現を生成して、複数の表現を生成するステップ、
を更に備える、請求項1に記載の方法。
【請求項8】
前記与えるステップは、前記アイデンティティポリシーに従う表現として前記複数の表現のうちの1つを選択する段階を含む、請求項7に記載の方法。
【請求項9】
前記デジタルアイデンティティの各々は、少なくとも1つの表現を含み、
前記少なくとも1つの関連デジタルアイデンティティの各々の前記少なくとも1つの表現は、前記アイデンティティポリシーに従う表現を含む、請求項1に記載の方法。
【請求項10】
前記選択デジタルアイデンティティにおける情報は、複数の信用証明情報を含み、
前記エンティティに与えられる前記選択デジタルアイデンティティの表現に含ませるために、前記複数の信用証明情報のうちの1つを選択するステップ、
を更に備える、請求項1に記載の方法。
【請求項11】
前記アイデンティティポリシーは、複数の表現をサポートし、前記選択デジタルアイデンティティは、前記複数の表現を含み、
最も安全な表現として前記複数の表現のうちの1つを選択するステップと、
前記エンティティに与える表現として前記最も安全な表現を指定するステップと、
を更に備える、請求項1に記載の方法。
【請求項12】
ユーザに関連したデジタルアイデンティティを管理する装置において、
エンティティのアイデンティティポリシーを得るための手段と、
前記デジタルアイデンティティから、前記アイデンティティポリシーによって要求される情報を各々が含む少なくとも1つの関連デジタルアイデンティティを識別する手段と、
前記少なくとも1つの関連デジタルアイデンティティのうちの選択デジタルアイデンティティを得るための手段と、
前記アイデンティティポリシーに従う前記選択デジタルアイデンティティの表現を前記エンティティに与える手段と、
を備える装置。
【請求項13】
前記選択デジタルアイデンティティを選択するために前記少なくとも1つの関連デジタルアイデンティティを前記ユーザに提示する手段と、
前記エンティティの信用レベルを決定する手段と、
前記信用レベルに基づいて前記少なくとも1つの関連デジタルアイデンティティのうちの推奨されるものを前記ユーザに提示する手段と、
を更に備える、請求項12に記載の装置。
【請求項14】
前記選択デジタルアイデンティティは、第1の表現を含み、
前記与える手段は、前記選択デジタルアイデンティティの前記第1の表現を、前記アイデンティティポリシーに従う表現に変換する手段を備える、請求項12に記載の装置。
【請求項15】
前記選択デジタルアイデンティティは、第1の表現を含み、
前記選択デジタルアイデンティティの前記第1の表現に対する少なくとも1つの代替表現を生成して、複数の表現を生成する手段、
を更に備える、請求項12に記載の装置。
【請求項16】
前記与える手段は、前記アイデンティティポリシーに従う表現として前記複数の表現のうちの1つを選択する手段を備える、請求項15に記載の装置。
【請求項17】
前記アイデンティティポリシーは、複数の表現をサポートし、前記選択デジタルアイデンティティは、前記複数の表現を含み、
最も安全な表現として前記複数の表現のうちの1つを選択する手段と、
前記エンティティに与える表現として前記最も安全な表現を指定する手段と、
を更に備える、請求項13に記載の装置。
【請求項18】
ユーザに関連したデジタルアイデンティティを記憶するように構成されたメモリと、
ネットワークにおけるエンティティと通信するように構成されたインターフェースと、
前記インターフェースを通して前記エンティティのアイデンティティポリシーを得て、前記デジタルアイデンティティから、前記アイデンティティポリシーによって要求される情報を各々が含む少なくとも1つの関連デジタルアイデンティティを識別し、前記少なくとも1つの関連デジタルアイデンティティのうちの選択デジタルアイデンティティを得て、前記アイデンティティポリシーに従う前記選択デジタルアイデンティティの表現を前記インターフェースを通して前記エンティティに与えるように構成されたアイデンティティマネージャーと、
を備えるコンピュータシステム。
【請求項19】
ディスプレイを更に備え、
前記アイデンティティマネージャーは、前記選択デジタルアイデンティティの選択のために、前記ディスプレイ上の可視表現を使用して前記少なくとも1つの関連デジタルアイデンティティを前記ユーザに提示するように更に構成されている、請求項18に記載のコンピュータシステム。
【請求項20】
前記選択デジタルアイデンティティは、第1の表現を含み、前記アイデンティティマネージャーは、前記選択デジタルアイデンティティの前記第1の表現に対する少なくとも1つの代替表現を生成して、複数の表現を生成するように構成されている、請求項18に記載のコンピュータシステム。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2008−282388(P2008−282388A)
【公開日】平成20年11月20日(2008.11.20)
【国際特許分類】
【外国語出願】
【出願番号】特願2008−59971(P2008−59971)
【出願日】平成20年3月10日(2008.3.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
2.リナックス
3.WINDOWS
4.フロッピー
【出願人】(501113353)シマンテック コーポレイション (78)
【氏名又は名称原語表記】Symantec Corporation
【住所又は居所原語表記】20330 Stevens Creek Boulevard, Cupertino, California 95014, USA
【Fターム(参考)】
【公開日】平成20年11月20日(2008.11.20)
【国際特許分類】
【出願番号】特願2008−59971(P2008−59971)
【出願日】平成20年3月10日(2008.3.10)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVA
2.リナックス
3.WINDOWS
4.フロッピー
【出願人】(501113353)シマンテック コーポレイション (78)
【氏名又は名称原語表記】Symantec Corporation
【住所又は居所原語表記】20330 Stevens Creek Boulevard, Cupertino, California 95014, USA
【Fターム(参考)】
[ Back to top ]