CN105556893B - 使用口令对移动设备的安全访问 - Google Patents
使用口令对移动设备的安全访问 Download PDFInfo
- Publication number
- CN105556893B CN105556893B CN201480045863.9A CN201480045863A CN105556893B CN 105556893 B CN105556893 B CN 105556893B CN 201480045863 A CN201480045863 A CN 201480045863A CN 105556893 B CN105556893 B CN 105556893B
- Authority
- CN
- China
- Prior art keywords
- equipment
- password
- user
- token
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
提供了用于使用加密方案来访问客户端设备上的应用或数据的增强的安全措施。客户端设备从服务器接收对访问应用或数据的授权,该服务器将在客户端设备处所接收的口令与之前存储在服务器中的口令进行比较。除了比较口令之外,服务器可以实现另外的安全措施,如检查客户端设备的地理位置,或监视客户端设备上的可疑模式的使用。此外,可以取决于客户端设备与服务器是否具有连接来使用不同的口令。当连接不可用时,可以使用较长或较复杂的口令而非较短或较简单的口令,以提供增加的安全性。当用户被认证时,使得密钥可用,以访问客户端设备上的应用或数据。
Description
技术领域
本公开内容涉及对计算设备上所执行的应用或计算设备中的加密数据能够进行安全访问,更具体地,涉及使用口令来授权访问移动计算设备中的加密数据或应用。
背景技术
口令是用于对用户的身份进行认证或用于获得对受限资源的访问的单词或字符串。口令通常被单独使用或与其它方案(例如数字证书)结合使用,以对用户进行认证。口令的安全等级可以取决于口令的长度以及在口令中可以使用的可能的字符数目而不同。可容许的口令的长度越长并且口令中的可用字符的数目越大,口令的安全等级越高。与较长的口令相比,具有对可用字符的有限选择的短口令更易受到破解(例如,通过强力攻击)。
为方便起见,口令主要用于对用户进行认证或对移动设备上的资源的访问进行控制。移动设备通常具有用户接口设备,例如较低精度和操作较慢的触摸屏。因此,当使用移动设备时,用户往往避开使用复杂的口令或其它更复杂的认证方案。在智能手机上,例如,比起较长并且较复杂的口令,大多数用户偏好使用四位数字口令。
尽管尺寸小和便携性,移动计算设备如智能手机经常存储和访问敏感信息。例如,这样的敏感信息可以包括:个人信息(如社会保障号、银行账户号码和口令)、机密电子邮件或短信以及信用卡号码。通常,由简单口令所提供的安全性是不足的,从而使得移动计算设备易受第三方攻击。
发明内容
实施方式涉及至少基于第一信息与第二计算设备处的第二信息的比较来对第一计算设备的用户进行认证。响应于在第二计算设备处对用户进行认证,第一计算设备从第二计算设备中接收未加密服务器令牌。未加密服务器令牌用于访问应用或加密数据。根据在第一时间处所接收的用户输入得到第一信息。根据由用户在第一时间之前的第二时间处提供的第一口令得到第二信息。
在一个实施方式中,第二计算设备还基于下述中的至少一个来对用户进行认证:第一计算设备的地理位置;以及与第一计算设备的使用相关联的统计信息。
在一个实施方式中,将未加密服务器令牌用作密钥,以用于访问应用或加密数据。可替选地,可以对未加密服务器令牌进行处理来获得密钥。
在一个实施方式中,未加密服务器令牌与第一计算设备的设备令牌结合使用,以生成用于访问应用或加密数据的密钥。
在一个实施方式中,当在第三时间处第一计算设备与第二计算设备之间的通信不可用时,在第三时间处接收来自第一计算设备的用户的第二口令。使用第二口令对存储在第一计算设备中的加密服务器令牌进行解密,以获得未加密服务器令牌。
在一个实施方式中,第二口令比第一口令强。例如,第二口令比第一口令长。可替选地或另外,第一口令可以是第一可能字符的组合,而第二口令可以是第二可能字符的组合,其中,第二可能字符的数目大于第一可能字符的数目。
在一个实施方式中,通过由散列函数来处理在第一时间处所接收的用户输入来获得第一信息,并且通过由散列函数来处理在第二时间处所接收的第一口令来获得第二信息。
在一个实施方式中,响应于终止对应用或加密数据的访问,从第一计算设备中删除未加密服务器令牌和根据未加密服务器令牌得到的数据。
在说明书中描述的特征和优点并非均是包括性的,并且特别地,考虑到附图、说明书和权利要求,许多另外的特征和优点对于本领域普通技术人员将是明显的。此外,应当注意,主要出于可读性和指导性目的选择了在说明书中使用的语言,而并非被选择用于划定或限定主题。
附图说明
通过结合附图来考虑下面的详细说明可以很容易理解本实施方式的教示。
图1是示出了根据一个实施方式的服务器向在客户端设备上执行的应用提供增强的安全性的系统的架构的示意图。
图2是示出了根据本发明的一个实施方式的客户端设备的框图。
图3是示出了根据一个实施方式的服务器的框图。
图4是示出了根据一个实施方式的设立增强的认证方案的过程的交互图。
图5是示出了根据一个实施方式的当客户端设备与服务器之间的通信可用时对用户进行认证的过程的交互图。
图6是示出了根据一个实施方式的当客户端设备与服务器之间的通信不可用时对用户进行认证的过程的流程图。
图7A是根据一个实施方式的当客户端设备与服务器之间的通信可用时用于接收用户口令的图形用户接口图。
图7B是根据一个实施方式的当客户端设备与服务器之间的通信不可用时用于接收用户口令的图形用户接口图。
具体实施方式
附图和下面的描述仅通过图示的方式而涉及优选实施方式。应当注意,根据下面的讨论,容易将本文所公开的结构和方法的替选实施方式视为在不偏离所要求保护的主题的原理的情况下可以采用的可行的替选方案。
现在将详细地参考几个实施方式,其示例在附图中示出。应当注意,只要可行,类似或相同的附图标记可以被用在附图中,并且可以指示类似或相同的功能。附图仅出于示出目的来描述实施方式。在不偏离本文所描述的原理的情况下,可以采用本文所示出的结构和方法的替选实施方式。
实施方式涉及提供用于访问客户端设备上的应用或数据的增强的安全措施。客户端设备接收来自服务器的对访问应用或数据的授权,该服务器将在客户端设备处所接收的口令与之前存储在服务器中的口令进行比较。除了比较口令之外,服务器可能执行另外的安全措施(如,检查客户端设备的地理位置或对客户端设备上的可疑模式的使用进行监视),以增强访问客户端设备上的应用或数据的安全性。此外,可以取决于客户端设备与服务器是否具有连接来使用不同强度的不同口令。当连接不可用时,可以使用较长和/或较复杂的口令而非较短和/或较简单的口令,以提供增加的安全性。
图1是示出了根据一个实施方式的服务器130向在客户端设备100A至100N(在下文中统称为“客户端设备100”)上执行的应用提供增强的安全措施的系统的架构的示意图。客户端设备100存储用于一个或更多个应用的软件代码,所述一个或更多个应用可以被加载并在客户端设备100上执行。在一个或更多个实施方式中,应用经由网络110与服务器130进行交互或从服务器130接收信息。客户端设备100可以与多个服务器进行交互,所述多个服务器中的一些服务器可以为某些应用所专用。
网络110可以是包括无线通信网络和有线通信网络的各种类型的通信网络,例如PSTN(公共交换电话网)网、有线电视网、蜂窝电话网和卫星通信网。网络可以是因特网的一部分或向因特网提供连接。
服务器130是能够向多个客户端设备100提供服务和信息的计算设备。在一个或更多个实施方式中,服务器130经由TCP/IP(传输控制协议/互联网协议)协议和HTTP(或HTTPS)协议与客户端设备100进行通信。由服务器130提供的服务或功能包括对客户端设备100的用户进行认证。尽管图1中仅示出了单个服务器130,但是可以提供多于一个服务器来为大量的客户端设备100服务。
图2是示出了根据一个实施方式的客户端设备100A的框图。客户端设备100A可以是各种设备中的一种,例如智能手机、个人计算机、膝上型计算机、电子书阅读器、电子相框、桌上型小型播放器、个人数字助理(PDA)、MP3播放器、独立多媒体播放器(例如Divx播放器)和蜂窝电话。在一个或更多个实施方式中,客户端设备100A能够执行能够访问客户端设备中所存储的数据的一个或更多个应用。
客户端设备100A可以包括除其它模块之外的处理器210、存储器230、输入模块214、显示模块250和通信模块218。并未在图2中示出客户端设备100A中的所有部件,并且在本文中省略了用于实施方式的说明并非必需的某些部件(例如音频扬声器)。客户端设备100A的每个部件可以通过总线260在通信上耦接。客户端设备100A的每个部件(无论是独立的部件还是与其它部件结合的部件)都可以例如以软件、硬件、固件或其任何其它组合来实现。
处理器210是常规的处理器或控制器,例如处理器和ARM处理器。处理器210读取并执行存储在存储器230中的指令和/或数据。处理器210上执行的指令和/或数据包括用于执行本文中所描述的任何技术的代码。在一个实施方式中,存储器230是动态随机存取存储器(DRAM)设备、静态随机存取存储器(SRAM)设备或一些其它的常规存储器设备。
输入模块214是用户接口设备,例如鼠标、轨迹球、触控笔、笔、触摸屏、键盘或用于接收与对客户端设备100A上执行的应用的操纵有关的用户输入的其它机构。经由输入模块214所接收的用户输入包括除其它之外的用于对客户端设备100A的用户进行认证的口令。
显示模块250可以包括用于显示可以由用户查看的屏幕的显示设备,例如有机发光二极管(OLED)和液晶显示器(LCD)。显示模块250的屏幕可以显示如下面参照图7A和图7B详细描述的图形用户接口画面。
通信模块218可以包括用于通过网络110与服务器130进行通信的一个或更多个有线或无线通信接口。例如,通信接口218可以包括用于经由网络110与服务器130进行通信的长期演进(LTE)接口、3G移动通信接口、增强的语音数据优化(EVDO)接口或Wi-Fi接口(例如IEEE802.11b/g)。
存储器230是可以存储代码模块的非暂态计算机可读存储介质,该代码模块包括除其它之外的应用234和操作系统238。操作系统238包括用于管理客户端设备100A上可用的软件资源和硬件资源的指令代码。示例操作系统238包括iOS、Android、Windows Phone、Linux、OS X和Windows。
应用234包括用于使所选的用户能够访问加密数据(ED)268的指令代码。在一个实施方式中,应用234可以存储设备令牌(DT)266和加密服务器令牌(ST)267。如下面参照图4和图6详细描述的,当与服务器130的连接不可用时,设备令牌266和加密服务器令牌267使用户能够通过对加密数据268进行解密来访问加密数据268。在其它实施方式中,应用234不存储或不使用设备令牌(DT)266。在这样的实施方式中,应用234仅使用可以被解密以访问加密数据(ED)268的加密服务器令牌(ST)267。如下面参照图4和图5详细描述的,应用234还包括服务器接口(SI)270,其用于当与服务器130的连接可用时执行操作以使服务器130能够对用户进行认证。
应用234可以是提供服务的软件模块,所提供的服务包括但不限于:(i)电子邮件客户端服务;(ii)即时通讯服务;(iii)存储个人信息的实用程序;(iv)金融交易服务;(v)社交网络服务;(vi)在线支付服务;以及(vii)医疗信息服务。应用234还可以起到网关装置的作用,所述网关装置准许或不准许访问或使用其它应用。
设备令牌266是存储在客户端设备100A中的一条信息。服务器令牌是由服务器130生成的一条信息,其与设备令牌166结合使用来对存储在客户端设备100A中的加密数据268进行解密的。使用设备令牌是有利的,除其它原因之外是因为可以通过简单地从客户端设备100A中删除设备令牌266来阻止对客户端设备100A的未授权访问。然而,使用设备令牌266不是必需的,并且一些实施方式可以通过去除设备令牌266来简化加密方案。
当授权用户试图使用应用或访问加密数据268时,可以经由网络110从服务器130接收未加密服务器令牌。未加密服务器令牌被去除并且不被存储在客户端设备100A中,以阻止未授权用户对加密数据268的未授权访问。未加密服务器令牌本身可以用作密钥,以用于访问加密数据,可以通过函数(例如散列函数)来处理未加密服务器令牌以获得密钥,或者未加密服务器令牌可以与另一条信息(例如设备令牌)一起使用而获得密钥。对未加密服务器令牌的处理可以生成用于与加密算法一起使用的预定长度的密钥。未加密服务器令牌还可以根据存储在客户端设备100A中的加密服务器令牌267通过使用从用户接收的口令来获得。
图3是示出了根据一个实施方式的服务器130的框图。服务器130可以包括除其它模块之外的处理器310、存储器330和通信模块320。图3中并非示出了服务器130中的所有部件,并且在本文中省略了用于本发明的说明并非必需的某些部件(例如,输入模块)。服务器130的每个部件可以通过总线322在通信上耦接。服务器130的每个部件(无论是独立的部件还是与其它部件结合的部件)都可以例如以软件、硬件、固件或其任何其它组合来实现。
处理器310是常规的处理器或控制器,例如处理器和ARM处理器。处理器310读取并执行存储在存储器330中的指令和/或数据。处理器310上执行的指令和/或数据包括用于执行本文中所描述的任何技术的代码。在一个实施方式中,存储器330是动态随机存取存储器(DRAM)设备、静态随机存取存储器(SRAM)设备或一些其它的常规存储器设备。通信模块320执行操作以与客户端设备100建立连接并进行通信。
存储器330是非暂态计算机可读存储介质,其存储除其它数据之外的用户认证模块340、应用数据库342和操作系统354。应用数据库342将图3中所示出的用于不同客户端设备的数据条目存储为设备信息1至设备信息N。每条设备信息条目存储有针对相应客户端设备的用户的口令散列和服务器令牌。尽管图3中并未示出,但是每条设备信息条目还可以存储每个用户专用的信息,例如用户账户信息和用户数据(其可以是加密数据268的复本)。操作系统354对服务器130的软件资源和硬件资源进行管理,并且支持应用数据库342所执行的各种功能。
用户认证模块340通过将所存储的口令散列与随后接收到的用户输入的散列值进行比较来对用户进行认证。另外,用户认证模块340可以实现另外的安全措施,例如响应于接收到来自用户的禁止请求而禁止向客户端设备发送服务器令牌。可替选地或另外,当客户端设备100处的活动可疑时,用户认证模块340可以使用客户端设备100的地理位置、客户端请求的频率和间隔(指示由机器生成的攻击)或其它统计信息来阻止服务器令牌的发送。
图4是示出了根据一个实施方式的设立增强的认证方案的过程的交互图。首先,客户端设备100接收412第一口令。客户端设备100还接收414第二口令。例如,通过在口令中包括较长字符串和/或使得口令中有更多个不同的字符选择,第二口令在对抗第三方的攻击方面比第一口令强。例如,第一口令可以是4个字符长,而第二口令可以是8个字符长。此外,第一口令的每个字符可以是从0至9的数字,而第二口令的每个字符可以是包括数字和字母字符二者的字母数字。要注意的是,与第二口令相比,第一口令较容易使用且在客户端设备100上输入得较快。
客户端设备100还生成并且存储415设备令牌,该设备令牌可以与服务器令牌结合使用来生成用于访问安全应用或者加密数据或解密数据的密钥。
然后,由服务器接口270使用设备令牌对第一口令进行散列416。然后向服务器130发送418经散列的第一口令。服务器130将经散列的第一口令存储422在与用户关联的应用程序数据库342的数据库条目中。如下面参照图5详细描述的,经散列的第一口令随后可以用于基于用户所提供的用户输入对用户进行认证。
服务器130生成426针对用户的服务器令牌。所生成的服务器令牌被存储428在与用户的客户端设备关联的应用数据库342的数据库条目中。所生成的服务器令牌还被发送430至客户端设备100。
客户端设备100接收服务器令牌并且使用第二口令对服务器令牌进行加密434。还可以使用设备令牌对服务器令牌进行加密。然后,将经加密的服务器令牌存储436在客户端设备100中。如下面参照图6详细描述的,当与服务器130的连接不可用时,经加密的服务器令牌随后用于访问应用或加密数据268。
上面参照图4所描述的过程仅是说明性的。可以对图4中所示出的步骤做出各种修改。例如,可以避免使用设备令牌,并且可以在不使用任何设备令牌的情况下对第一口令进行散列416。此外,可以改变步骤的次序。例如,生成设备令牌的步骤可以在接收第一口令和第二口令的步骤之前。
图5是示出了根据一个实施方式的当客户端设备100与服务器130之间的通信可用时对用户进行认证的过程的交互图。首先,将用户认为是第一口令的用户输入提供给客户端设备100,并且在客户端设备100处接收512用户输入。客户端100还检索514设备令牌。使用设备令牌对接收到的用户输入进行散列516,并且然后将经散列的用户输入发送518给服务器130。
服务器130对存储在应用数据库342中的经散列的用户的第一口令进行检索522。然后确定524是否至少基于经散列的用户输入和检索到的经散列的第一口令来对用户进行认证524。如果经散列的用户输入与经散列的第一口令匹配,则用户可以被认证。另外,服务器130可以使用另外的因素来对用户进行认证,例如检测客户端设备100的位置,分析使用模式或使用其它统计信息来对引起用户认证上的可疑因素进行检测。通过使用这样的另外的认证方案,尽管使用简单的第一口令,服务器130可以降低未授权人员对应用或加密数据的未授权访问的可能性。如果客户端设备100的用户未被认证,则该过程终止,而不向客户端设备100发送服务器令牌。
如果用户被认证,则服务器130通过网络110向客户端设备100发送528未加密服务器令牌。客户端设备100接收到未加密的服务器令牌后,客户端设备100使用服务器令牌和设备令牌的组合来生成530密钥。客户端设备100然后可以使用生成的密钥对数据进行加密或解密534。
在终止对安全应用或加密数据的访问之后,从客户端设备100中删除538密钥和服务器令牌,以阻止使用所存储的服务器令牌的未授权访问。
图5的过程仅是说明性的。在其它实施方式中,服务器令牌本身可以用作密钥,以用于对数据进行加密或解密,或者可以通过函数(例如散列函数)来处理服务器令牌以获得密钥。在这样的实施方式中,生成密钥的步骤530可以被省略。此外,在一些实施方式中,不使用设备令牌。在这样的实施方式中,在不使用设备令牌的情况下对用户输入进行散列516。
图6是示出了根据一个实施方式的当客户端设备100与服务器130之间的通信不可用时对用户进行认证的过程的流程图。当客户端设备100在用户试图访问应用或加密数据时无法经由网络110从服务器130接收到未加密服务器令牌时,使用存储在客户端设备100中的加密服务器令牌来获得对客户端设备100中的安全应用或加密数据268的访问。为了对加密服务器令牌进行解密,客户端设备100接收612用户认为是第二口令的用户输入。
使用第二口令对存储在客户端设备100中的加密服务器令牌进行解密616。检索626存储在客户端设备100中的设备令牌。在客户端设备100处使用服务器令牌和设备令牌的组合来生成630用于访问安全应用和/或加密数据268的密钥。然后在客户端设备100处使用该密钥对数据进行加密或解密634。
在终止对安全应用或加密数据的访问之后,从客户端设备100中删除638密钥和服务器令牌,以阻止未授权人员使用服务器令牌和密钥来访问安全应用或加密数据。
由于例如在口令中可以使用的较长或较多样化的字符集,所以用于对服务器令牌进行解密的第二口令在对抗破解方面比第一口令强。然而,由于相同的原因,在用户方面,第二口令可能花费较多时间和较多努力以在客户端设备处输入。因此,可以将第二口令的使用限制于当客户端设备100无法与服务器130进行通信时的情况。以此方式,当客户端设备100可以与服务器130通信时,用户在大多数时间可以方便地使用较短且不太复杂的第一口令来访问安全应用或加密数据268,而当客户端设备100无法与服务器130通信时,允许用户使用较长且较复杂的第二口令来访问安全应用或加密数据268。
如图6所示的方法仅是说明性的,并且可以对图6中的步骤和步骤的次序做出各种修改。在其它实施方式中,可以将未加密服务器令牌用作密钥,以用于对数据进行加密或解密。在这样的实施方式中,检索设备令牌的步骤626和生成密钥的步骤630可以被省略。可替选地,可以通过函数(例如散列函数)来处理未加密服务器令牌以获得密钥。在这样的实施方式中,检索设备令牌的步骤626可以被省略。
图7A是根据一个实施方式的当客户端设备100与服务器130之间的通信可用时用于接收第一口令的图形用户接口图。图形用户接口包括第一区域710和第二区域720。当用户正在输入字符时,第一区域710显示第一口令的字符。在该示例中第一口令的长度是4个字符。第二区域720显示可以被按下以输入第一口令的数字和字符。
图7B是根据一个实施方式的当客户端设备与服务器之间的通信不可用时用于接收第二口令的图形用户接口图。图形用户接口包括第一区域710和第二区域720。当正在输入字符时,第一区域710显示第二口令的字符。在该示例中第二口令的长度是8个字符。第二区域720显示可以被按下以输入第二口令的数字和字符。
在一个实施方式中,第二口令的长度可以是可变的。即,代替使用固定长度的字符(例如8个字符),用户可以选择第二口令的长度。
图7A和图7B的用户接口图仅是说明性的。可以使用各种其它类型的布置来接收和显示口令。此外,第一口令和第二口令中的字符的数目分别可不限于4个和8个。
在阅读本公开内容时,本领域普通技术人员还将意识到用于对客户端设备上的安全应用和加密数据的访问进行认证的另外的替选结构和功能设计。因此,当已经示出并描述了本发明的特定实施方式和应用时,要理解的是,在不偏离本公开内容的精神和范围的情况下,这些实施方式可以经历对本领域技术人员将是明显的各种修改、改变以及变型,可以在本文中所公开的方法和装置的布置、操作和细节中做出所述各种修改、改变以及变型。
Claims (16)
1.一种对第一计算设备上的用户进行认证的方法,包括:
在设立过程中:
所述第一计算设备从第二计算设备接收未加密服务器令牌;
所述第一计算设备使用第二口令将所述未加密服务器令牌加密成第一加密服务器令牌;以及
将经加密的服务器令牌存储在所述第一计算设备中;以及在所述设立过程之后的认证过程中:
在第一时间处接收来自所述第一计算设备的用户的用户输入,以对所述用户进行认证;
在所述第一计算设备处生成根据所述用户输入得到的第一信息;
将所述第一信息发送至第二计算设备以将所述第一信息与存储在所述第二计算设备中的第二信息进行比较,根据由所述用户在设立过程中所提供的第一口令得到所述第二信息;
响应于所述第二计算设备至少基于所述第一信息与所述第二信息的匹配对所述用户进行认证,从所述第二计算设备中接收所述未加密服务器令牌;
使用所接收的未加密服务器令牌访问所述第一计算设备中的应用或加密数据;
在第二时间处接收来自所述第一计算设备的用户的第二口令以对所述用户进行认证,在所述第二时间处所述第一计算设备与所述第二计算设备之间的通信不可用;以及
使用所述第二口令对存储在所述第一计算设备中的经加密的服务器令牌进行解密,以获得所述未加密服务器令牌。
2.根据权利要求1所述的方法,其中,所述第二计算设备还基于下述中的至少一个来对所述用户进行认证:所述第一计算设备的地理位置;来自所述第一计算设备的请求的频率或间隔;以及与所述第一计算设备的使用相关联的统计信息。
3.根据权利要求1所述的方法,其中,使用所述未加密服务器令牌包括:(i)将所述未加密服务器令牌用作密钥;或者(ii)通过处理所述未加密服务器令牌来生成所述密钥,以访问所述应用或所述加密数据。
4.根据权利要求1所述的方法,其中,使用所述未加密服务器令牌包括:基于所述未加密服务器令牌和所述第一计算设备的设备令牌,生成用于访问所述应用或所述加密数据的密钥。
5.根据权利要求1所述的方法,其中,所述第二口令比所述第一口令强。
6.根据权利要求1所述的方法,其中,所述第二口令比所述第一口令长。
7.根据权利要求1所述的方法,其中,通过由散列函数处理所述用户输入而获得所述第一信息,并且通过由所述散列函数处理所述第一口令而获得所述第二信息。
8.根据权利要求1所述的方法,还包括:响应于终止对所述应用或所述加密数据的访问,从所述第一计算设备中删除所述未加密服务器令牌和根据所述未加密服务器令牌得到的数据。
9.一种第一计算设备,包括:
处理器;
输入模块,其被配置成在第一时间和第二时间处接收来自所述第一计算设备的用户的用户输入,以对所述用户进行认证;以及
应用,其被配置成:
在设立过程中:
所述第一计算设备从第二计算设备接收未加密服务器令牌;
所述第一计算设备使用第二口令加密所述未加密服务器令牌;以及
将经加密的服务器令牌存储在所述第一计算设备中;以及在所述设立过程之后的认证过程中:
生成根据所述用户输入得到的第一信息,
将所述第一信息发送至第二计算设备以将所述第一信息与存储在所述第二计算设备中的第二信息进行比较,根据由所述用户在所述设立过程中所提供的第一口令得到所述第二信息,
响应于所述第二计算设备至少基于所述第一信息与所述第二信息的匹配对所述用户进行认证,从所述第二计算设备中接收所述未加密服务器令牌;
使用所接收的未加密服务器令牌访问所述第一计算设备中的应用或加密数据;
在所述第二时间处接收来自所述第一计算设备的用户的第二口令以对所述用户进行认证,在所述第二时间处所述第一计算设备与所述第二计算设备之间的通信不可用;以及
使用所述第二口令对存储在所述第一计算设备中的经加密的服务器令牌进行解密,以获得所述未加密服务器令牌。
10.根据权利要求9所述的第一计算设备,其中,所述第二计算设备被配置成还基于下述中的至少一个来对所述用户进行认证:所述第一计算设备的地理位置;来自所述第一计算设备的请求的频率或间隔;以及与所述第一计算设备的使用相关联的统计信息。
11.根据权利要求9所述的第一计算设备,其中,所述应用被配置成:(i)将所述未加密服务器令牌用作密钥;或者(ii)通过处理所述未加密服务器令牌来生成所述密钥,以访问所述应用或所述加密数据。
12.根据权利要求9所述的第一计算设备,其中,所述应用被配置成:基于所述未加密服务器令牌和所述第一计算设备的设备令牌,生成用于访问所述应用或所述加密数据的密钥。
13.根据权利要求9所述的第一计算设备,其中,所述第二口令比所述第一口令强。
14.根据权利要求9所述的第一计算设备,其中,所述第二口令比所述第一口令长。
15.根据权利要求9所述的第一计算设备,其中,通过由散列函数处理所述用户输入来获得所述第一信息,并且通过由所述散列函数处理所述第一口令来获得所述第二信息。
16.根据权利要求9所述的第一计算设备,其中,所述应用还被配置成:响应于终止对所述应用或所述加密数据的访问,从所述第一计算设备中删除所述未加密服务器令牌和根据所述未加密服务器令牌得到的数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/973,817 US9021248B2 (en) | 2013-08-22 | 2013-08-22 | Secure access of mobile devices using passwords |
| US13/973,817 | 2013-08-22 | ||
| PCT/US2014/043282 WO2015026435A1 (en) | 2013-08-22 | 2014-06-19 | Secure access of mobile devices using passwords |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105556893A CN105556893A (zh) | 2016-05-04 |
| CN105556893B true CN105556893B (zh) | 2019-05-10 |
Family
ID=52481473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480045863.9A Active CN105556893B (zh) | 2013-08-22 | 2014-06-19 | 使用口令对移动设备的安全访问 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9021248B2 (zh) |
| CN (1) | CN105556893B (zh) |
| WO (1) | WO2015026435A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6465542B2 (ja) * | 2013-09-02 | 2019-02-06 | キヤノン株式会社 | 情報処理装置、その制御方法及びプログラム |
| GB2533340A (en) * | 2014-12-17 | 2016-06-22 | Ibm | Network system and method for transferring cryptocurrencies between a user account and a receiving account |
| US10230700B2 (en) * | 2016-08-09 | 2019-03-12 | Lenovo (Singapore) Pte. Ltd. | Transaction based message security |
| US10063533B2 (en) | 2016-11-28 | 2018-08-28 | International Business Machines Corporation | Protecting a web server against an unauthorized client application |
| US10218708B1 (en) | 2018-06-21 | 2019-02-26 | Capital One Services, Llc | Systems for providing electronic items having customizable locking mechanism |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212294A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 上网认证的实现方法和系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5491752A (en) * | 1993-03-18 | 1996-02-13 | Digital Equipment Corporation, Patent Law Group | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens |
| US6064736A (en) * | 1997-09-15 | 2000-05-16 | International Business Machines Corporation | Systems, methods and computer program products that use an encrypted session for additional password verification |
| US7546276B2 (en) * | 2006-01-23 | 2009-06-09 | Randle William M | Common authentication service for network connected applications, devices, users, and web services |
| AU2003301719A1 (en) * | 2002-10-25 | 2004-05-25 | Grand Virtual Inc | Password encryption key |
| US9137012B2 (en) * | 2006-02-03 | 2015-09-15 | Emc Corporation | Wireless authentication methods and apparatus |
| US8751815B2 (en) * | 2006-10-25 | 2014-06-10 | Iovation Inc. | Creating and verifying globally unique device-specific identifiers |
| US8756660B2 (en) * | 2008-04-17 | 2014-06-17 | Microsoft Corporation | Enabling two-factor authentication for terminal services |
| KR20110112570A (ko) * | 2010-04-07 | 2011-10-13 | 삼성전자주식회사 | 이동통신 단말기에서 네트워크 접속 제한 방법 및 장치 |
| US8555355B2 (en) * | 2010-12-07 | 2013-10-08 | Verizon Patent And Licensing Inc. | Mobile pin pad |
-
2013
- 2013-08-22 US US13/973,817 patent/US9021248B2/en active Active
-
2014
- 2014-06-19 CN CN201480045863.9A patent/CN105556893B/zh active Active
- 2014-06-19 WO PCT/US2014/043282 patent/WO2015026435A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101212294A (zh) * | 2006-12-29 | 2008-07-02 | 北大方正集团有限公司 | 上网认证的实现方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105556893A (zh) | 2016-05-04 |
| US9021248B2 (en) | 2015-04-28 |
| US20150058618A1 (en) | 2015-02-26 |
| WO2015026435A1 (en) | 2015-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10904234B2 (en) | Systems and methods of device based customer authentication and authorization | |
| US11818272B2 (en) | Methods and systems for device authentication | |
| US10348715B2 (en) | Computer-implemented systems and methods of device based, internet-centric, authentication | |
| US9185096B2 (en) | Identity verification | |
| US8745401B1 (en) | Authorizing actions performed by an online service provider | |
| US11070556B2 (en) | Context-based possession-less access of secure information | |
| US11563740B2 (en) | Methods and systems for blocking malware attacks | |
| WO2021184755A1 (zh) | 应用访问方法、装置、电子设备以及存储介质 | |
| CN106575281B (zh) | 用于实施托管的验证服务的系统和方法 | |
| US20130205360A1 (en) | Protecting user credentials from a computing device | |
| US20170310663A1 (en) | Local and Remote Access Apparatus and System for Password Storage and management | |
| US20210099431A1 (en) | Synthetic identity and network egress for user privacy | |
| Vapen et al. | 2-clickauth optical challenge-response authentication | |
| US11362828B2 (en) | Systems and methods for authenticated communication sessions | |
| CN105556893B (zh) | 使用口令对移动设备的安全访问 | |
| TW201544983A (zh) | 資料通訊方法和系統及客戶端和伺服器 | |
| Kaur et al. | A comparative analysis of various multistep login authentication mechanisms | |
| US10461932B2 (en) | Method and system for digital signature-based adjustable one-time passwords | |
| Pravinbhai | Implementation of multi-tier authentication technique for single-sign on access of cloud services | |
| Ahmad et al. | Enhancing the Authentication Mechanism of Social Media Websites using Face Detection | |
| CN117097508A (zh) | Nft跨设备安全管理的方法和装置 | |
| Shahmehri | 2-clickAuth–Optical Challenge-Response Authentication | |
| Kadhem | MINHO: A novel authentication scheme based on pre-authentication service | |
| VANAJA et al. | NONINTRUSIVE SMARTPHONE USER VERIFICATION USING ANONYMZED MULTIMODAL DATA |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160505 Address after: American California Applicant after: The United States Aimutelasi Technology Co. Ltd. Address before: American California Applicant before: SOLIDMOBILE INC |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: Delaware Applicant after: Gourmet Technology Ltd Address before: American California Applicant before: The United States Aimutelasi Technology Co. Ltd. |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |