Интерфейс для удостоверений
Изобретение относится к системам передачи цифровой информации, а именно к системам, используемым для подтверждения личности (аутентификации) человека. Техническим результатом является гибкая и расширяемая настройка пользовательского интерфейса. Технический результат достигается тем, что система принимает множество наборов удостоверяющей информации для множества удостоверений от множества источников удостоверений и представляет упомянутое множество удостоверений в графическом пользовательском интерфейсе, причем графический пользовательский интерфейс включает в себя соответствующую часть для каждого из данного множества удостоверений, которая настроена на основе его набора удостоверяющей информации. При этом система выполнена с возможностью гибко настраивать графический пользовательский интерфейс. 3 н. и 16 з.п. ф-лы, 6 ил.
Область техники, к которой относится изобретение
Изобретение относится к пользовательским интерфейсам, используемым для подтверждения личности (аутентификации) человека.
Предшествующий уровень техники
Для того чтобы определить, являются ли люди теми, кем они себя называют, могут использоваться удостоверения. Предположим, например, что человек подходит к кассиру банка и говорит, что его зовут "Дж. Уоррен Смолли" и что он хотел бы снять со своего текущего счета, открытого на имя Дж. Уоррена Смолли, двести долларов. Кассир банка может использовать удостоверение, чтобы определить, действительно ли этот человек является Дж. Уорреном Смолли. Банки часто используют документарные удостоверения, такие как паспорт или водительское удостоверение, которое содержит фотографию и имя. Если человек похож на фотографию человека на документе, и в документе указано, что это фотография Дж. Уоррена Смолли, банк может удостовериться, что этот человек действительно Дж. Уоррен Смолли.
Банк также может использовать другие типы удостоверений, такие как некий секрет или нечто характерное только для определенного человека. Банк может подтвердить, что человек действительно Дж. Уоррен Смолли, если у банка есть карточка с подписью Дж. Уоррена Смолли - нечто характерное только для Дж. Уоррена Смолли - и подпись человека соответствует подписи на карточке. Банк может также подтвердить личность этого человека при помощи секрета, например, пароля. Так, если человек представляет кассиру банка личный идентификационный номер (PIN), совпадающий с PIN для Дж. Уоррена Смолли, то банк может подтвердить, что человек действительно тот, кем он себя называет.
Компьютеры также взаимодействуют с людьми с целью их идентификации и для этого часто используют в качестве основного удостоверения пару имя/пароль. Например, множество управляемых компьютером систем требует от пользователя ввести пароль для аутентификации. Для обеспечения такого взаимодействия операционная система может предоставлять графический пользовательский интерфейс. Этот интерфейс может показывать учетные записи, относящиеся к различным пользователям, предоставлять возможность человеку выбрать одну из этих учетных записей и давать возможность ввести пароль для выбранной учетной записи. Затем операционная система может принять введенный пароль и подтвердить, что этот пароль идентифицирует пользователя, связанного с выбранной учетной записью. Затем операционная система может подключить человека, разрешить определенное действие и т. п.
Однако этот графический интерфейс пользователя часто допускает один единственный тип удостоверений - имя пользователя и пароль - которыми может быть подтверждена личность пользователя. Это может вызвать сложности, если требуются или разработаны позднее другие типы удостоверений. Если некая компания разрабатывает тип удостоверений, который лучше, чем удостоверение имя пользователя/пароль, или, по меньшей мере, может использоваться вместе с удостоверением имя пользователя/пароль, такой компании может понадобиться создать новый графический пользовательский интерфейс для обеспечения использования этого типа удостоверений. Предположим, что компания разрабатывает тип удостоверений, основанный на отпечатке большого пальца человека. Компания может продавать сканеры, которые сканируют большие пальцы людей, и программное обеспечение, способное подтвердить, что сканированный большой палец соответствует данному лицу. Однако чтобы компьютеры имели возможность использовать это удостоверение, компании может понадобиться написать новый пользовательский интерфейс взамен интерфейсов на основе пароля, которые часто используются компьютерами. Создание этого нового пользовательского интерфейса может потребовать много недель или месяцев работы опытных программистов.
Кроме того, даже если компания создаст этот новый пользовательский интерфейс, другая компания может разработать другой тип удостоверений, например, удостоверение на основе сетчатки глаза. В этом случае, компании, специализирующейся на сканировании сетчатки, может понадобиться другой пользовательский интерфейс, чтобы компьютеры использовали ее удостоверение на основе сетчатки глаза. И этот пользовательский интерфейс может быть не способен обрабатывать удостоверение на основе отпечатка большого пальца. Если компания или государство хочет подтвердить личность человека при помощи пароля, отпечатка большого пальца и сканированной сетчатки глаза, она не сможет этого сделать, не создав еще один пользовательский интерфейс, который потребует еще больше времени и усилий.
Сущность изобретения
Описаны системы и/или способы ("инструментальные средства") для обеспечения представления и/или сбора удостоверений. В некоторых вариантах осуществления инструментальные средства формируют графический интерфейс для удостоверений, позволяющий пользователю выбирать между множеством типов удостоверений и/или представлять множество типов удостоверений. В другом варианте осуществления эти инструментальные средства могут также собирать удостоверения произвольных типов и формировать пользовательский интерфейс для предоставления этих произвольных типов удостоверений.
Перечень фигур чертежей
Фиг.1 - пример рабочей среды, в которой могут действовать различные варианты осуществления.
Фиг.2 - пример блок-схемы формирования пользовательского интерфейса для удостоверений, позволяющего пользователю подключиться к операционной системе.
Фиг.3 - пример графического пользовательского интерфейса, имеющего три выбираемых типа удостоверений.
Фиг.4 - пример графического пользовательского интерфейса, выполненный с возможностью представления удостоверения в виде большого пальца.
Фиг.5 - пример процесса сбора удостоверения при помощи пользовательского интерфейса для удостоверений.
Фиг.6 - пример графического пользовательского интерфейса, выполненный с возможностью представления удостоверения в виде пароля.
Одинаковые номера позиций используются во всем описании и на всех чертежах для обозначения одинаковых компонентов и деталей.
Подробное описание
Краткий обзор
Нижеследующее описание описывает одно или несколько инструментальных средств, обеспечивающих интерфейс для удостоверений. В одном варианте осуществления инструментальные средства создают интерфейс для удостоверений, позволяющий пользователю выбрать между множеством типов удостоверения и/или представить множество типов удостоверений. Это может быть выгодно пользователю тем, что пользователь может решить представить аутентификатор в виде отпечатка большого пальца для удостоверения вместо предоставления аутентификатора в виде пароля для удостоверения типа имя/пароль, например, если пользователь забыл свой пароль. Это может также обеспечить большую степень уверенности в правильной идентификации пользователя, если пользователь представит множество аутентификаторов, таких как пароль или сканированное изображение сетчатки.
В другом варианте осуществления инструментальные средства собирают информацию о произвольных типах удостоверений и формируют пользовательский интерфейс для представления аутентификаторов для этих произвольных типов удостоверений. Тем самым источники удостоверений могут отказаться от формирования пользовательского интерфейса для своих удостоверений, что потенциально экономит им значительное количество времени и усилий.
Пример рабочей среды
Прежде чем подробно описывать инструментальные средства, представляется нижеследующее описание примера рабочей среды с целью помочь читателю понять, где и каким образом могут применяться эти инструментальные средства. Представленное ниже описание содержит всего один пример и не подразумевает ограничение области применения инструментальных средств какой-либо одной определенной рабочей средой.
На фиг.1 приведена одна такая рабочая среда 100, содержащая компьютер 102, имеющий один или несколько процессоров 104 и машиночитаемые носители 106. Процессор(ы) способен осуществлять доступ к и/или обеспечивать исполнение машиночитаемых носителей. Машиночитаемые носители содержат операционную систему 108, средство 110 запроса на аутентификацию, приложение 112 для удостоверений, имеющее пользовательский интерфейс 114 для удостоверений, первый источник 116 удостоверений, второй источник 118 удостоверений, третий источник 120 удостоверений и модуль 122 аутентификации.
Средство 110 запроса на аутентификацию может содержать программное обеспечение, апплет, модуль или другой объект, который может запросить аутентификацию человека. Средство запроса может быть частью обеспечивающей безопасность секции или программ операционной системы, программного обеспечения с контролируемым доступом, такого как программное обеспечение, позволяющее осуществлять контроль со стороны родителей, и т.п.
Приложение 112 для удостоверений обеспечивает пользовательский интерфейс 114 для удостоверений. Приложение для удостоверений может сформировать или настроить пользовательский интерфейс для удостоверений, в некоторых случаях посредством сбора удостоверений произвольного типа или из произвольных источников, таких как первый, второй и третий источники 116, 118 и 120 удостоверений. Пользовательский интерфейс для удостоверений может также быть сформирован для того, чтобы пользователь мог выбрать и предоставить аутентификаторы для одного или нескольких типов удостоверений.
Источники удостоверений предоставляют информацию о своих удостоверениях. В одном варианте осуществления источники удостоверений предоставляют информацию о своих удостоверениях и основную информацию о том, что предпочтительно для источника удостоверений на пользовательском интерфейсе. Это может быть информация о предпочтении относительно того, какое поле для ввода данных следует поместить вместе с текстом, описывающим тип удостоверения, о том, каким образом следует представить это поле на пользовательском интерфейсе и т.п. В одном описанном ниже варианте осуществления первый источник удостоверений является единым целым или связан с операционной системой 108 и содержит удостоверение типа имя/пароль.
Модуль 122 аутентификации может быть единым целым с каждым из источников удостоверений или быть отдельным от них. Может иметься множество модулей аутентификации, например, по одному для каждого источника удостоверений, либо может иметься один модуль аутентификации. Модуль аутентификации может определять, подтверждает или нет относящийся к удостоверению аутентификатор, представленный посредством пользовательского интерфейса для удостоверений, конкретную идентификационную информацию или учетную запись, связанную с этим удостоверением. То, как это конкретно делается, может предписываться источником удостоверений для представленного удостоверения или иным образом.
Ниже подробно изложены различные варианты осуществления этих элементов компьютера 102, и, в частности, каким образом эти элементы действуют и взаимодействуют для выполнения примера процесса и создают пример пользовательского интерфейса.
Логический вход в операционную систему
Существует много случаев, когда вычислительное устройство может использоваться для подтверждения личности человека при помощи удостоверения. Один из этих случаев - логический вход человека в операционную систему компьютера. Ниже описываются примеры того, каким образом элементы операционной среды 100 позволяют человеку осуществить логический вход в операционную систему компьютера 102 при помощи одного или нескольких удостоверений. Это описание не подразумевает ограничение рамок или области применения инструментальных средств для логического входа человека в операционную систему.
На фиг.2 приведен пример блок-схемы 200 последовательности операций, позволяющей пользователю осуществить логический вход в операционную систему. Блок-схема 200 иллюстрирует набор действий, выполняемых элементами среды 100 и пользователем 202, и сопровождающий их обмен данными между элементами среды 100 и пользователем 202 - в данном случае приведены такие элементы, как операционная система 108, средство 110 запроса на аутентификацию, приложение 112 для удостоверений, пользовательский интерфейс 114 для удостоверений, источники 116, 118 и 120 удостоверений и модуль 122 аутентификации. Действия и сопровождающий их обмен данными обозначены стрелками. Блок-схема направлена на то, чтобы продемонстрировать действия элементов компьютера и действия пользователя, причем обмен данными между компьютером и пользователем представлен линиями, пересекающими пунктирную линию, разделяющие элементы компьютера и пользователя. Эта блок-схема может быть реализована на любом подходящем аппаратном обеспечении, программном обеспечении, встроенном программно-аппаратном обеспечении или на их сочетании. В случае программного обеспечения или встроенного программно-аппаратного обеспечения эта схема представляет набор операций, реализованных в виде машиноисполняемых команд (за исключением тех, что выполняет пользователь).
По стрелке 1 пользователь 202 включает компьютер 102 или иным образом показывает желание осуществить логический вход в операционную систему 108. После получения этого указания операционная система выдает прямой или косвенный запрос пользователю 102 на аутентификацию, что приводит к обмену данными с приложением для удостоверений по стрелке 2 для сбора соответствующих удостоверений для проведения аутентификации. В некоторых случаях запрос на аутентификацию выдает не операционная система, например, когда пользователь уже осуществил логический вход, а запрос на аутентификацию выдает программа, осуществляющая родительский контроль. Однако в приведенном варианте осуществления операционная система одновременно является средством запроса на аутентификацию, что обозначено перекрывающимися рамками, относящимися к операционной системе и средству запроса на аутентификацию.
По стрелке 3 приложение 112 для удостоверений принимает удостоверяющую информацию от одного или нескольких источников удостоверений. В данном случае первый, второй и третий источники 116, 118 и 120 удостоверений ранее зарегистрировались в приложении для удостоверений. Приложение для удостоверений могло заранее принять удостоверяющую информацию или может запросить и принять ее в этот момент. Приложение для удостоверений представляет удостоверяющую информацию пользовательскому интерфейсу 114 посредством заранее заданного интерфейса прикладного программирования.
Удостоверяющая информация содержит информацию об удостоверении и информацию, достаточную для того, чтобы приложение 112 для удостоверений сформировало или настроило пользовательский интерфейс, чтобы позволить пользователю выбрать и представить удостоверения для выбранного типа (или для выбранного источника и типа, если один тип имеется в нескольких источниках).
В приведенном варианте осуществления первый источник 116 удостоверений содержит удостоверение парольного типа. Источник 116 - это код или база данных, ассоциированная с операционной системой 108 или составляющая с ней единое целое. Удостоверяющая информация для удостоверения парольного типа содержит: перечень типов полей, необходимых для воспроизведения удостоверения на пользовательском интерфейсе (например, тип поля "статический текст" для имени пользователя и тип поля "окно редактирования" для пароля); состояние каждого поля (например, скрытое, только для чтения, отключенное, выделенное); отметку доступности для каждого поля и данные, связанные с полем.
Удостоверяющая информация указывает, что пользователю должен быть представлен следующий текст (но не форма, цвет или размер текста):
Аутентифицировать при помощи пароля?
Удостоверяющая информация также указывает, что в случае выбора удостоверения парольного типа следует отображать текст и поле ввода данных, например, поле ввода данных вместе со следующим текстом:
Введите пароль и нажмите Ввод.
Второй источник 118 удостоверений содержит удостоверение типа отпечатка большого пальца. Источник 118 направляет приложению для удостоверений удостоверяющую информацию, достаточную для того, чтобы приложение для удостоверений сформировало пользовательский интерфейс, позволяющий пользователю представить удостоверение биометрического типа. В данном случае удостоверяющая информация содержит данные удостоверения и данные для просмотра удостоверения. Данные для просмотра содержат указание на то, что для выбора пользователем этого типа удостоверения пользователю должен быть представлен следующий текст:
Аутентифицировать при помощи сканирования большого пальца?
И название источника удостоверений:
Acme Biometrics
Данные для просмотра содержат также текст, который будет отображаться, если выбрать сканирование большого пальца:
Поместите большой палец правой руки на считыватель большого пальца, держите палец не менее одной секунды.
Третий источник 120 удостоверений содержит удостоверение типа распознавания голоса. Источник 120 направляет удостоверяющую информацию, достаточную для того, чтобы приложение для удостоверений обеспечило прием голосовых удостоверений. Удостоверяющая информация содержит также указание на то, что для выбора пользователем этого удостоверения пользователю должен быть представлен следующий текст:
Аутентифицировать при помощи сканирования голоса?
И название источника удостоверений:
Улучшенное распознавание звука
Эта информация содержит также другой текст, который будет отображаться при выборе голосовых удостоверений:
Пожалуйста, скажите в микрофон своего компьютера следующую фразу: "Раз, два, застегни ботинок".
По стрелке 4 приложение 112 для удостоверений формирует и/или настраивает на основе удостоверяющей информации пользовательский интерфейс для сбора удостоверений. В данном случае приложение для удостоверений настраивает пользовательский интерфейс для удостоверений для представления трех вышеупомянутых типов удостоверений.
По стрелке 5 пользовательский интерфейс 114 для удостоверений отображает пользователю 202 удостоверения, которые пользователь 202 может выбрать. Пользовательский интерфейс для удостоверений может отображать типы удостоверений и позволять пользователю выбирать их непосредственно, например, щелкнув по тексту или прилагаемому графическому изображению, или косвенно путем представления аутентификатора для какого-либо удостоверения.
На фиг.3 приведен интерфейс 302 для логического входа по удостоверениям. Интерфейс для логического входа по удостоверениям представляет три типа удостоверений и позволяет пользователю выбрать один тип из трех. Первый - это удостоверение типа имя/пароль, обозначенное позицией 304, второй - это удостоверение типа отпечатка большого пальца, обозначенное позицией 306 (содержащее идентификатор пользователя или учетную запись и аутентификатор в виде сканированного большого пальца), и третий - это удостоверение типа распознавания голоса, обозначенное позицией 308 (содержащее идентификатор пользователя или учетную запись и аутентификатор в виде распознавания голоса).
Интерфейс логического входа по удостоверениям настроен на источники удостоверений, от которых поступает удостоверяющая информация. В этом варианте осуществления фразы "Аутентифицировать при помощи пароля", "Аутентифицировать при помощи сканирования большого пальца", "Acme Biometrics", "Аутентифицировать при помощи сканирования голоса" и "Улучшенное распознавание звука" были встроены в интерфейс. Каждый из вариантов выбора удостоверения показан также в виде необязательного графического изображения. В данном случае графические изображения выбраны источниками удостоверений из заранее созданной библиотеки, доступной для источников удостоверений.
По стрелке 6 пользователь 202 выбирает одно из удостоверений. В некоторых вариантах осуществления пользователь может выбрать удостоверение, которое образовано не из одного, а из множества типов аутентификаторов (например, выбранный вариант удостоверения требует одновременно пароля и сканированного отпечатка большого пальца). В приведенном варианте осуществления пользователь выбирает одно из удостоверений, в данном случае удостоверение 306 типа отпечатка большого пальца. Кроме того, по стрелке 6 пользовательский интерфейс для удостоверений принимает выбор, сделанный пользователем.
По стрелке 7 пользовательский интерфейс 114 для удостоверений обеспечивает представление аутентификатора. В некоторых случаях пользовательский интерфейс для удостоверений делает это посредством представления поля ввода данных для представления аутентификатора, связанного с удостоверением, таким как пароль и т. п. В других случаях поле ввода данных или графический пользовательский интерфейс не используется.
На фиг.4 приведен интерфейс 402 для логического входа по удостоверениям, настроенный на представление аутентификатора удостоверения в виде отпечатка большого пальца. Интерфейс для логического входа по удостоверениям содержит инструкции 404 для пользователя. В данном случае они основаны на удостоверяющей информации, принятой по стрелке 3, о чем сказано выше. Это инструкции сообщают пользователю, что для представления аутентификатора в виде отпечатка большого пальца пользователь должен "Поместить большой палец правой руки на считыватель большого пальца, держать не менее одной секунды". Считыватель большого пальца содержит аппаратные средства и/или программное обеспечение, способное принимать аутентификатор большого пальца, в данном случае это биометрическое устройство сканирования.
Кроме того, по стрелке 7 пользовательский интерфейс 114 для удостоверений принимает представленный пользователем аутентификатор большого пальца.
По стрелке 8 после приема этого аутентификатора пользовательский интерфейс для удостоверений может переслать аутентификатор и идентификатор для удостоверений (в данном случае представленный аутентификатор и идентификатор, ассоциированный с удостоверением, такой как имя учетной записи) соответствующему источнику удостоверений (в данном случае второму источнику 118 удостоверений). Интерфейс пользователя для удостоверений может затем переслать эти данные источнику удостоверений непосредственно или посредством приложения 112 для удостоверений (не показано). Источник удостоверений может затем упаковать представленный аутентификатор с идентификатором (которые оба ассоциированы с удостоверением) в форму удостоверения, понятную модулю 122 аутентификации. Аутентификатор может быть упакован в определенный тип или форму, такую как расширяемый язык разметки (XML), которая указывает форму или другие определяющие характеристики сканированного большого пальца.
По стрелке 9 источник удостоверений может упаковать аутентификатор и идентификатор и направить это упакованное удостоверение средству 110 запроса на аутентификацию. Удостоверение может быть переправлено от источника удостоверений посредством приложения 112 для удостоверений (не показано). В этом случае приложение для удостоверений принимает упакованное удостоверение и затем направляет его средству запроса на аутентификацию.
По стрелке 10 средство 110 запроса на аутентификацию предоставляет упакованное удостоверение модулю 122 аутентификации. В данном случае модуль аутентификации представляет собой модуль, способный проанализировать принятое удостоверение, успешно или неуспешно аутентифицировать удостоверение и сообщить о результате этого определения. Он может сравнить удостоверение с базой данных удостоверений, сопоставить его с конкретным пользователем (если возможно) и подтвердить подлинность или отказать в подтверждении подлинности представленного удостоверения. В случае отказа элементы могут сообщить пользователю о неудаче и предложить пользователю помощь. Способы, при помощи которых пользовательский интерфейс для удостоверений информирует пользователя и предоставляет помощь, может также быть стандартным или быть настроен в соответствии с удостоверяющей информацией, принятой по стрелке 3.
Если модуль аутентификации подтверждает подлинность представленного удостоверения, он сообщает об этом средству запроса 110 на аутентификацию. В приведенном варианте осуществления средство запроса на аутентификацию может сообщить об этом непосредственно операционной системе 108.
В ответ на прием подтверждения подлинности операционная система 108 осуществляет логический вход пользователя 202 в операционную систему по стрелке 11.
Предоставление пользовательского интерфейса для удостоверений
Описанный выше пример блок-схемы процедуры логического входа пользователя в операционную систему является всего лишь одним примером способов, при помощи которых инструментальные средства позволяют компьютерам аутентифицировать пользователей при помощи удостоверений. Приведенный ниже процесс описывает и представляет дополнительные варианты осуществления этих инструментальных средств.
На фиг.5 приведен процесс 500 предоставления пользовательского интерфейса для удостоверений. Этот процесс может быть реализован любыми подходящими аппаратными средствами, программными средствами, встроенными программно-аппаратными средствами и их сочетанием. В случае программных и встроенных программно-аппаратных средств это процесс представляет собой набор операций, реализованных в виде машиноисполняемых команд.
На этапе 502 инструментальные средства принимают удостоверяющую информацию. Удостоверяющая информация может быть принята от множества источников удостоверений и от источников множества типов удостоверений. Типы удостоверений могут включать, например, биометрические данные на основе отпечатка большого пальца, биометрические данные на основе сетчатки глаза, средство распознавания голоса, пароль и смарт-карту. Тип и происхождение удостоверения могут быть любыми, даже еще неизвестным типом и источником. Эта способность позволяет инструментальным средствам создать расширяемый пользовательский интерфейс для представления удостоверений, обсуждение которого приведено ниже.
Удостоверяющая информация имеет тип и формат, достаточный для того, чтобы инструментальные средства обеспечили представление аутентификатора для удостоверения. Тип и формат могут быть общедоступными, например, на общедоступном Web-сайте. Эта информация может содержать, например, указания на необходимость некоторых типов полей ввода данных, вопросы и инструкции, которые следует представить, графические изображения, которые следует показать. Графическое изображение может быть выбрано инструментальными средствами по умолчанию или на основе принятой удостоверяющей информации. В случае выбора на основе принятой удостоверяющей информации графическое изображение может содержать собственную пиктограмму компании или пиктограмму или графическое изображение, выбранное из заранее сформированной библиотеки, доступной источнику и инструментальным средствам.
Эта информация может быть предоставлена источником удостоверений с меньшими усилиями и с большей надежностью, чем зачастую было бы, если бы источник удостоверений вместо этого создавал бы свой собственный пользовательский интерфейс. Удостоверяющая информация может также относиться к типу, который не раскрывает фирменные механизмы аутентификации и т.п., поскольку инструментальные средства необязательно выполняют аутентификацию. Удостоверяющая информация может также, в одном варианте осуществления, относиться к таким типам и приниматься таким образом, какие указаны в блок-схеме 200 логического входа.
Для приема удостоверяющей информации инструментальные средства могут осуществлять поиск источников удостоверений в реестре удостоверений и запрашивать у каждого удостоверяющую информацию. Удостоверяющая информация может быть принята в один или во множество этапов, таких как прием удостоверяющей информации, достаточной для представления варианту пользователя, и, если пользователь выбрал это удостоверение, прием дополнительной удостоверяющей информации, достаточной для обеспечения представления аутентификатора для удостоверения.
На этапе 504 инструментальные средства принимают запрос на аутентификацию пользователя и/или сбор одного или нескольких удостоверений. Инструментальные средства могут принять этот запрос от операционной системы, такой как операционная система 108 в соответствии с блок-схемой 200. Инструментальные средства могут также принять этот запрос от программных средств с контролируемым доступом или непосредственно от пользователя, например, когда пользователь желает перейти к другой учетной записи, выполнить действие, требующее аутентификации и т.п. Инструментальные средства могут принять или ответить различным запрашивающим объектам, расположенным в различных системах или процессах компьютера, в том числе в тех, которые работают только после логического входа пользователя.
На этапе 506 инструментальные средства обеспечивают пользователю возможность представить аутентификатор и/или выбрать собственно удостоверение, например, посредством выбора идентифицирующей информации для удостоверения. Инструментальные средства могут выполнять это посредством графического пользовательского интерфейса или невизуального интерфейса.
Приложение для удостоверений может сформировать или настроить пользовательский интерфейс, достаточный для выбора удостоверения пользователем (например, для выбора идентификационной информации удостоверения, например, посредством щелчка на имени или значке для удостоверения) и представить аутентификатор для удостоверения. Однако приложение для удостоверений может воздержаться от проведения значительной визуальной индивидуализации пользовательского интерфейса для удостоверений. В этом случае пользователь может видеть единообразное изображение для каждого из множества удостоверений и источников удостоверений. Кроме того, в этом случае от источников удостоверений можно принимать небольшой объем информации. Удостоверяющая информация необязательно должна включать информацию, указывающую приложению для удостоверений, как что-то должно выглядеть на дисплее компьютера с учетом определенного разрешения в точках на дюйм, протоколы отклика для событий WinLogon (логического входа в Windows), местоположение, доступность клавиатуры, прокрутку и т.п. Но инструментальные средства формируют или настраивают пользовательский интерфейс отчасти на основе принятой удостоверяющей информации; так, если источник удостоверений указывает, что необходимо поле ввода данных для ввода пароля, он может представить это поле ввода данных.
Для невизуального интерфейса инструментальные средства могут предоставлять пользователю возможность представить аутентификатор и выбрать удостоверение без визуальных подсказок или инструкций, например, посредством обеспечения приема сканированного большого пальца просто в результате того, что пользователь поместил свой большой палец на устройство сканирования большого пальца. В этом случае удостоверяющая информация может содержать, например, вопросы или инструкции, которые должны выдаваться в звуковом виде через акустическую систему компьютера, формат представленного аутентификатора для обеспечения возможности его приема (в данном случае данные сканированного большого пальца, созданные определенным типом устройства сканирования большого пальца), и аппаратные и программные протоколы для приема аутентификатора для удостоверения.
Для графических пользовательских интерфейсов, инструментальные средства могут формировать пользовательский интерфейс, который может представлять на экране множество удостоверений и/или источников удостоверений. Один пример этого типа пользовательского интерфейса приведен на фиг.3, где представлено три удостоверения.
На фиг.6 приведено поле 602 ввода данных, обеспечивающее возможность представления аутентификатора в виде пароля для удостоверения типа имя/пароль, в качестве составной части графического пользовательского интерфейса 604. В данном случае аутентификатор в виде пароля может использоваться для подтверждения того, что пользователь "Эбби Салазар" имеет право использовать учетную запись, озаглавленную "Эбби Салазар", и желает расширить свои права для разблокирования некоторой программы. Таким образом, подлинность удостоверения типа имя/пароль, идентифицированного именем "Эбби Салазар", может быть подтверждена представленным паролем.
Пользовательский интерфейс может обеспечить пользователю возможность выбрать одно удостоверение из множества удостоверений (например, фиг.3 и 4), представить один аутентификатор (например, фиг.6) или выбрать одно удостоверение, составленное из множества аутентификаторов (тем самым от пользователя требуется представить множество аутентификаторов). В некоторых случаях пользователь может представить аутентификатор без выполнения отдельного действия по выбору удостоверения, имеющего аутентификатор, например, просто поднеся глаз к устройству сканирования сетчатки без предварительного выбора удостоверения типа сетчатки из списка удостоверений. Пример, когда пользователь выбирает удостоверение из множества удостоверений, описан в качестве составной части блок-схемы 200 и изображен на фиг.3 и 4.
На этапе 508 инструментальные средства принимают от пользователя представление аутентификатора. В некоторых вариантах осуществления инструментальные средства переходят непосредственно к этапу 512. Однако в некоторых других вариантах осуществления инструментальные средства, перед тем как продолжить, предварительно проверяют представленный аутентификатор, (переходят к этапу 510). Если удостоверяющая информация указала, что аутентификатор в виде пароля не может, например, содержать пробелы или математические символы, инструментальные средства могут проверить представленные пароль на предмет наличия пробелов и математических символов. Если таковые отсутствуют, инструментальные средства могут перейти к этапу 512. Если таковые имеются, инструментальные средства могут указать, что у представленного пароля неправильна форма. Инструментальные средства могут сделать это способом, указанным в удостоверяющей информации, например, при помощи сообщения: "Пробелы и математические символы запрещены, просьба ввести пароль еще раз", или способом, заданным по умолчанию, например, "пароль имеет неправильную форму, просьба ввести еще раз". Эта предварительная проверка может уменьшить количество времени и ресурсов, необходимых для аутентификации удостоверения. Например, если пользователь представляет аутентификатор, который точно не будет подлинным, и потому пользователь должен будет ввести его вновь, пользователю, возможно, придется ждать окончания процесса аутентификации. Если же можно определить, что представленный аутентификатор не является подлинным из-за неправильного формата и т.п., один процесс аутентификации можно будет не выполнять, дав указание пользователю представить аутентификатор вновь.
На этапе 512 инструментальные средства предоставляют удостоверение, ассоциированное с представленным аутентификатором, на аутентификацию. Удостоверение можно отправить отдельному аутентификационному программному обеспечению, как, например, описано на блок-схеме 200.
Удостоверение, предоставленное инструментальными средствами, может обеспечить возможность другим программам, например, программе, выдающей запрос на аутентификацию пользователя, разрешить выполнение различных действий, таких как логический вход пользователя в операционную систему, расширение прав пользователя для разрешения выполнения в настоящее время запрещенной задачи и т.п.
Кроме того, инструментальные средства могут настраивать пользовательский интерфейс по-разному в разное время. Пользовательский интерфейс, по меньшей мере в этом смысле, является гибким и расширяемым. Например, инструментальные средства могут принять новую удостоверяющую информацию от новых источников. В ответ на это инструментальные средства настраивают пользовательский интерфейс для разрешения выбора или представления аутентификаторов для этих новых удостоверений. Кроме того, источник удостоверений может прекратить отправку удостоверяющей информации, или системный администратор может решить уменьшить число удостоверений на пользовательском интерфейсе. В ответ на это изменение инструментальные средства могут изменить пользовательский интерфейс, чтобы прекратить отображение какого-то удостоверения.
Заключение
Описаны системы и/или способы, которые обеспечивают интерфейс для удостоверений. Этот интерфейс для удостоверений может позволить источникам удостоверений отказаться от формирования пользовательского интерфейса для своих удостоверений, что потенциально экономит им значительное количество времени и усилий. Хотя для описания изобретения использовались термины, характерные для определенных конструктивных особенностей и/или методологических этапов, должно быть понятно, что изобретение, характеризуемое прилагаемой формулой, необязательно ограничено этими описанными определенными особенностями и этапами. Точнее, эти определенные особенности и этапы раскрыты в качестве предпочтительных форм реализации заявленного изобретения.
1. Компьютерно-реализованная система для аутентификации пользователя, содержащая средства, выполненные с возможностью:
приема множества наборов удостоверяющей информации для множества удостоверений от множества источников удостоверений, причем каждый набор удостоверяющей информации обеспечивает упомянутым средствам возможность настраивать часть графического пользовательского интерфейса для представления одного или более из упомянутого множества удостоверений и задавать приемлемый тип удостоверений для этих одного или более из упомянутого множества удостоверений;
приема запроса на аутентификацию пользователя;
представления упомянутого множества удостоверений в графическом пользовательском интерфейсе, причем графический пользовательский интерфейс включает в себя соответствующую часть для каждого из данного множества удостоверений, которая настроена на основе его набора удостоверяющей информации; и
приема аутентификатора, определяемого одним из упомянутого множества удостоверений, которое относится к упомянутому приемлемому типу удостоверений, причем аутентификатор предназначен для аутентификации пользователя,
при этом упомянутые средства выполнены с возможностью гибко настраивать графический пользовательский интерфейс таким образом, что
когда источник удостоверений из упомянутого множества источников удостоверений прекращает посылать его набор удостоверяющей информации, представление удостоверения, ассоциированного с этим набором удостоверяющей информации, в графическом пользовательском интерфейсе прекращается, и
когда новые наборы удостоверяющей информации для новых удостоверений принимаются из новых источников удостоверений, в графическом пользовательском интерфейсе представляются эти новые удостоверения, и обеспечивается возможность представления аутентификаторов для них.
2. Система по п.1, в которой по меньшей мере одно из упомянутого множества удостоверений содержит удостоверение биометрического типа.
3. Система по п.1, в которой прием запроса содержит прием запроса от операционной системы компьютерного устройства, причем запрос операционной системы выполняется с целью определить, следует ли осуществлять логический вход пользователя в операционную систему.
4. Система по п.1, в которой осуществляется логический вход пользователя в операционную систему компьютерного устройства, и прием запроса содержит прием запроса от программного обеспечения с контролируемым доступом, причем запрос программного обеспечения с контролируемым доступом выполняется с целью определить, давать или не давать разрешение на запрещенную в настоящее время задачу.
5. Система по п.1, в которой упомянутый приемлемый тип удостоверений включает в себя одно из биометрических данных отпечатка большого пальца, биометрических данных сетчатки глаза, средства распознавания голоса, пароля и смарт-карты.
6. Система по п.1, в которой упомянутые средства дополнительно выполнены с возможностью предоставления принятого аутентификатора и упомянутого одного из упомянутого множества удостоверений субъекту, выполненному с возможностью аутентификации пользователя при помощи этого удостоверения.
7. Система по п.1, в которой упомянутые средства дополнительно выполнены с возможностью приема выбора одного из упомянутого множества удостоверений, представленных в графическом пользовательском интерфейсе.
8. Система по п.1, в которой прием запроса выполняется до приема множества наборов удостоверяющей информации.
9. Компьютерно-реализованная система для аутентификации пользователя, содержащая средства, выполненные с возможностью:
сбора наборов информации, ассоциированных с двумя или более удостоверениями, причем каждое удостоверение приспособлено аутентифицировать пользователей, причем набор информации, ассоциированный с этим каждым из упомянутых удостоверений, включает в себя инструкции для представления аутентифицирующему субъекту по меньшей мере одного аутентификатора для этого каждого из упомянутых удостоверений;
настройки графического пользовательского интерфейса на упомянутые наборы информации, ассоциированные с упомянутыми двумя или более удостоверениями, для представления этих удостоверений пользователю;
представления графического пользовательского интерфейса, причем графический пользовательский интерфейс обеспечивает возможность выбора по меньшей мере одного из этих двух или более удостоверений; и
приема по меньшей мере одного аутентификатора, определяемого упомянутыми инструкциями, для одного из упомянутых удостоверений, причем аутентификатор предназначен для аутентификации пользователя,
при этом упомянутые средства выполнены с возможностью гибко настраивать графический пользовательский интерфейс таким образом, что
когда набор информации из упомянутых наборов информации более недоступен, представление удостоверения, ассоциированного с этим набором информации, в графическом пользовательском интерфейсе прекращается, и
когда получены новые наборы информации для новых удостоверений, в графическом пользовательском интерфейсе эти новые удостоверения представляются, и обеспечивается возможность их выбора.
10. Система по п.9, в которой сбор наборов информации содержит запрашивание наборов информации от источников удостоверений, имеющих определенный формат.
11. Система по п.9, в которой сбор наборов информации содержит прием наборов информации от двух или более источников удостоверений.
12. Система по п.9, в которой сбор наборов информации содержит сбор набора информации, ассоциированного с одним из упомянутых удостоверений, причем этот набор информации указывает, что обеспечение возможности представления аутентификатора для этого удостоверения требует поля ввода данных и текстовых инструкций, которые должны быть представлены в графическом пользовательском интерфейсе.
13. Система по п.12, в которой настройка графического пользовательского интерфейса на упомянутые наборы информации содержит добавление поля ввода данных и текстовых инструкций в графический пользовательский интерфейс.
14. Система по п.9, в которой одно из упомянутых удостоверений требует двух или более аутентификаторов, при этом упомянутые средства дополнительно выполнены с возможностью
обеспечения возможности представления аутентификаторов,
приема представления аутентификаторов,
упаковывания представленных аутентификаторов вместе с удостоверением, требующим аутентификаторов, приспособленных обеспечить возможность аутентификации удостоверения, и
разрешения пользователю выполнить логический вход в операционную систему, когда подлинность упомянутых двух или более аутентификаторов подтверждена аутентифицирующим субъектом.
15. Система по п.9, в которой упомянутые средства дополнительно выполнены с возможностью, до настройки графического пользовательского интерфейса, принимать запрос на аутентификацию пользователя, причем данный запрос принимается от операционной системы компьютерного устройства.
16. Система по п.9, дополнительно в которой упомянутые средства дополнительно выполнены с возможностью, в ответ на прием выбора одного из упомянутых удостоверений, изменять графический пользовательский интерфейс для обеспечения возможности представления аутентификатора для выбранного удостоверения.
17. Машиночитаемый носитель, содержащий машиночитаемые команды, которые при их исполнении компьютерным устройством вызывают выполнение компьютерным устройством действий, содержащих:
представление, в ответ на прием первого набора информации от первого набора источников удостоверений, первой части графического пользовательского интерфейса, которая настроена на основе первого набора информации для отображения первого набора удостоверений, используемых для аутентификации пользователя;
представление, в ответ на прием второго набора информации от второго набора источников удостоверений, второй части графического пользовательского интерфейса, которая настроена на основе второго набора информации для отображения второго набора удостоверений, используемых для аутентификации пользователя, причем типы первого набора удостоверений и второго набора удостоверений различаются;
прием аутентификатора, определяемого первым набором информации первого набора удостоверений или вторым набором информации второго набора удостоверений, причем аутентификатор предназначен для аутентификации пользователя; и
упаковывание аутентификатора в форму расширяемого языка разметки (XML) для передачи аутентифицирующему субъекту, причем XML-формой определяются характеристики аутентификатора.
18. Машиночитаемый носитель по п.17, в котором и первая часть графического пользовательского интерфейса, и вторая часть графического пользовательского интерфейса приспособлены обеспечивать пользователю возможность представить аутентификатор.
19. Машиночитаемый носитель по п.18, дополнительно содержащий разрешение пользователю осуществить логический вход в операционную систему, если подлинность аутентификатора подтверждена аутентифицирующим субъектом.