技術領域

本發明針對用戶賬戶恢復。特別地，本發明針對使用身份管理系統（IDM）來幫助用戶賬戶恢復。

背景技術

作為簡單且方便的認證方法，用戶名和口令對是在線服務提供商（SP）之間的最廣泛使用的認證方法。單個用戶在不同服務提供商之間擁有幾十個或者甚至幾百個用戶賬戶是完全可能的。隨著不同認證要求（諸如用戶名和口令對）的數目增加，用于特定服務提供商的訪問困難（例如由于用戶忘記其口令或者甚至其用戶名）的可能性明顯增加。

許多服務提供商提供了用以使得用戶能夠檢索諸如用戶名和/或口令的證書信息的機制。下面討論使得用戶能夠檢索用戶賬戶信息的許多現有方法。

在第一方法中，用戶在服務提供商處注冊有效電子郵件賬戶。當用戶嘗試恢復口令時，向電子郵件賬戶發送使得用戶能夠重置他/她的口令的電子郵件。這種方法存在的問題是用戶必須使他/她的電子郵件賬戶的細節暴露于服務提供商，該用戶可能不愿意這樣做。此外，用戶的電子郵件賬戶/口令還可能被忘記。此外，用此類布置的潛在危險是如果未授權的第三方獲取對用戶的電子郵件賬戶的訪問，則該第三方可能能夠獲得對用戶的在線服務提供商賬戶中的一個或多個的訪問。在最壞情況方案中，用戶可能失去相關賬戶的控制。

在第二方法中，要求用戶在服務提供商處注冊移動電話號碼，使得在口令恢復的情況下，能夠向用戶的移動電話發送新的一個時間確認串或臨時口令，并且在線服務提供商能夠命令用戶輸入發送的串或口令。這種方法要求使用用戶的移動電話號碼，如上文參考的電子郵件賬戶細節的情況一樣，用戶可能不愿意提供該移動電話號碼。此外，此類解決方案導致由服務提供商招致成本（當向用戶發送消息時），其可以防止用戶或服務提供商采用此類解決方案。此外，此類布置可能不適合于國際在線服務提供商，因為服務提供商可能需要針對不同國家運營商建立不同的SMS適配器。

在第三方法中，用戶用答案登記一組問題。可以要求用戶回答該問題以便恢復他/她的口令。用戶可能不愿意將這些種類的個人細節提供給不可信的在線服務提供商。此外，此類問題的答案常常易于被熟悉該用戶的其他人猜到。此外，用戶可能忘記某些問題的答案，這可能導致合法用戶被阻止訪問賬戶。

在第四方法中，請求用戶登記他/她的真實公民號碼或身份證號碼、出生日期等。在口令恢復時，詢問這些種類的問題。

在此類布置中，由于隱私問題，用戶常常登記假的細節。當使用口令恢復過程時，用戶通常已忘記那些假的細節并因此不能繼續進行賬戶恢復過程。

本發明設法解決上述問題中的至少某些。

發明內容

本發明提供了一種方法（諸如用于恢復用戶賬戶的方法），包括：在服務提供商處接收賬戶恢復請求（通常來自尋求賬戶恢復的用戶）；向身份管理系統發送用于第一賬戶恢復令牌的請求；從所述身份管理系統接收第一賬戶恢復令牌；將接收到的第一賬戶恢復令牌與服務提供商可訪問的一個或多個第二賬戶恢復令牌（典型地存儲在服務提供商處或存儲在該服務提供商可訪問的數據庫內）相比較；以及在所述一個或多個第二賬戶恢復令牌中的一個與所述第一賬戶恢復令牌匹配的情況下，恢復與所述一個或多個第二賬戶恢復令牌中的所述一個相關聯的用戶賬戶。

本發明還提供了一種設備（例如，服務提供商或服務器），包括：第一輸入端，其被配置成接收賬戶恢復請求；第一輸出端，其被配置成向身份管理系統發送用于第一賬戶恢復令牌的請求（在請求中可以識別或也可以不識別該用戶賬戶）；第二輸入端，其被配置成從所述身份管理系統接收第一賬戶恢復令牌；第一處理器（或某個其他比較裝置或比較器），其被配置成將第一賬戶恢復令牌與服務提供商可訪問的一個或多個第二賬戶恢復令牌相比較（那些第二賬戶恢復令牌通常被存儲在服務提供商處或存儲在服務提供商可訪問的數據庫內）；以及第二處理器（其可以與第一處理器相同），其被配置成在所述一個或多個第二賬戶恢復令牌中的一個與所述第一賬戶恢復令牌匹配的情況下恢復與所述一個或多個第二賬戶恢復令牌中的所述一個相關聯的用戶賬戶。該設備可以包括被配置成提示用戶識別IDM和/或提示用戶重置用于用戶的證書的用戶界面（user?interface）。

因此，本發明提供了一種其中當與許多在先技術布置相比較時增加用戶的隱私性的賬戶恢復機制。例如，用戶不需要向服務提供商提供隱私信息，諸如電子郵件賬戶細節、移動電話號碼、生日數據、對公共問題的響應等。

在本發明的一個形式中，使用OAuth協議來實現本發明。然而，這并不是對本發明的所有形式都必不可少的。