CN102099810B - 移动设备辅助的安全计算机网络通信 - Google Patents

移动设备辅助的安全计算机网络通信 Download PDF

Info

Publication number
CN102099810B
CN102099810B CN2009801282727A CN200980128272A CN102099810B CN 102099810 B CN102099810 B CN 102099810B CN 2009801282727 A CN2009801282727 A CN 2009801282727A CN 200980128272 A CN200980128272 A CN 200980128272A CN 102099810 B CN102099810 B CN 102099810B
Authority
CN
China
Prior art keywords
server
mobile device
user
client computer
secret value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2009801282727A
Other languages
English (en)
Other versions
CN102099810A (zh
Inventor
B·朱
M·冯
X·尹
Y·杨
Y·张
J·邵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of CN102099810A publication Critical patent/CN102099810A/zh
Application granted granted Critical
Publication of CN102099810B publication Critical patent/CN102099810B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/02Reservations, e.g. for tickets, services or events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Tourism & Hospitality (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Development Economics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

提出了采用移动设备(例如,移动电话、个人数字助理(PDA)等等)来辅助用户认证的移动设备辅助的安全计算机网络通信实施例。一般而言,这通过使用户将口令输入到和与安全Web站点关联的服务器联系的客户端计算机来完成。此口令与由该移动设备实时生成的秘密值集成。该秘密值被绑定至移动设备的硬件和正被访问的安全Web站点两者,以使它对于这两者来说是唯一的。以此方式,为所访问的每一安全Web站点生成不同的秘密值,且另一用户不能冒充该用户并登入安全Web站点,除非他或她同时知道该口令并持有该用户的移动设备。

Description

移动设备辅助的安全计算机网络通信
背景
人们日益依赖于因特网且尤其依赖于万维网。例如,Web常常用于访问电子邮件、进行商务活动、购买货物和服务,且用于在线银行业务等等(在此仅举例若干)。这些活动中的许多涉及经由Web站点与Web服务交互。
Web服务常常要求合适的用户认证以便标识用户并与诸如用户个人计算机(PC)的客户端计算机建立安全通道。与此类型的Web服务关联的Web站点有时被称为安全站点。尽管已经提出了许多安全认证方案,但在Web应用程序中仍主要使用口令,这是由于其便利性以及易于使用和部署。在基于口令的用户认证中,用户被要求输入帐户标识(常常被称为用户ID)和口令。在用户认证期间,可以将安全套接字层(SSL)连接可用于安全通信。
对用户ID-口令认证方案来说,最重要的是维持安全。这包括不但要保护登录凭证,而且还要保护敏感数据传输和关键的交互。
概述
在此描述的移动设备辅助的安全计算机网络通信实施例采用用户通常已经随身携带的移动设备(例如,移动电话、个人数字助理(PDA)等等)以便在与安全Web站点交互时辅助用户认证和加强安全。以此方式,用户可以用任何计算机甚至可以用不可信计算机来访问安全Web站点。一般而言,通过使用户将口令输入到与用户正尝试访问的安全Web站点有联系的客户端计算机来实现移动设备辅助的用户认证。此口令与由用户的移动设备实时生成的秘密值集成。该秘密值不被存储在移动设备中。另外,该秘密值可以与移动设备的硬件和正被访问的安全Web站点两者绑定,以使它对两者来说是唯一的。以此方式,为所访问的每一安全Web站点生成不同的秘密值,且敌方不能冒充用户并登入到安全Web站点,除非他或她同时知道口令并持有用户的移动设备。
在此安全用户认证的一种一般实现中,客户端计算机将访问安全Web站点的用户请求传输给与该站点关联的服务器。然后,该服务器发起与客户端计算机的SSL会话,并将用户认证请求提交给客户端计算机。该服务器还生成服务器询问号。然后,该服务器将服务器标识和该服务器所生成的询问号传输给客户端计算机。该客户端计算机提示用户输入先前已经为正被访问的Web站点制定的用户标识和口令。然后,该客户端计算机输入由用户输入的用户标识和口令,并将用户标识、服务器标识和服务器所生成的询问号提供给移动设备。然后,该移动设备生成前述的秘密值、移动设备询问号和秘密值表示。接下来,该移动设备将移动设备询问号和秘密值表示转发给客户端计算机。该客户端计算机组合秘密值表示和口令以产生组合表示。然后,该客户端计算机将用户标识、移动设备询问号和组合表示传输给服务器。该服务器接收这些数字并根据它们计算会话密钥。然后,该服务器将服务器版本的秘密值表示计算为包括会话密钥、用户标识和服务器标识的组合。然后,该服务器使用用户标识、服务器标识、服务器版本的秘密值表示和服务器已知的口令来计算服务器版本的组合表示。接下来,该服务器将服务器版本的组合表示与从客户端计算机接收的组合表示作比较,并确定服务器已知的口令和秘密值是否被用于生成从客户端计算机接收的组合表示。如果为是,则该服务器将准予访问的通知传输给客户端计算机。如果为否,则该服务器将拒绝防问的通知发送给客户端计算机。客户端计算机告知用户对网络站点的访问是否被准予。
还应注意的是,提供本概述以便以简化形式介绍下面在详细描述中进一步描述的概念的选集。本概述不旨在标识所要求保护的主题的关键特征或必要的特征,也不旨在用于帮助确定所要求保护的主题的范围。
附图描述
参考下列描述、所附权利要求和附图,将可以更好地理解本公开内容的具体的特征、方面、和优点,附图中:
图1是包括移动设备以及客户端计算机和服务器的基于Web的连网环境的简化的体系结构图。
图2是一般地分级显示(outline)设置过程的一个实施例的流程图,其中移动设备生成秘密值并将其将其提供给与安全Web站点关联的服务器。
图3A-C描绘一般地分级显示用户认证过程的实现的连续流程图。
图4A-B描绘一般地分级显示服务器认证过程的实现的连续流程图。
图5A-B描绘分级显示图3A-C的用户认证过程的一种变体的连续流程图,这种变体满足转发安全。
图6A-B描绘分级显示图4A-B的服务器认证过程的一种变体的连续流程图。
图7A-B描绘分级显示图3A-C的用户认证过程的一种变体的连续流程图,这种变体不具备转发安全。
图8A-C描绘一般地分级显示用于使用移动设备和服务器之间的安全信道来传递高安全性数据的过程的实现的连续流程图。
图9A-B描绘分级显示用于监视客户端计算机并且当与安全Web站点的会话结束时或者当确定用户的移动设备不再与客户端计算机通信时删除cookie、临时文件和缓存数据的过程的实现的连续流程图。
图10是描绘构成用于实现在此描述的移动设备辅助的安全计算机网络通信实施例的示例性系统的通用计算设备的示图。
详细描述
在下列描述中参照附图,附图形成说明书的一部分并且作为阐释示出可以实践的具体实施例。应理解,可以利用其它实施例,且可以在不偏离本发明的范围的情况下进行结构改变。
1.0移动设备辅助的安全计算机网络通信
在此描述的移动设备辅助的安全计算机网络通信实施例提供用于与安全Web站点交互的安全性。这一般地通过采用用户通常已经随身携带的移动个人设备(例如,移动电话、个人数字助理(PDA)等等)来辅助用户认证和可任选地在因特网上传递高安全性数据而完成。以此方式,用户可以用任何客户端计算机甚至不可信的客户端计算机来访问安全Web站点。例如,客户端计算机可以是网吧或图书馆中的公用个人计算机(PC),或者是属于其他人的借来的计算机。这样的PC可能感染了键盘记录器或其他恶意软件。
在呈现移动设备辅助的安全计算机网络通信实施例之前,将描述其中可以实现其部分的合适的基于Web的连网环境的一般描述。参见图1,客户端计算机102的用户100在客户端计算机使用浏览器来经由网络106(例如,因特网)连接到服务器104,以请求对与该服务器关联的安全Web站点的访问权。服务器104要求在允许访问之前进行用户认证。为了辅助用户认证,采用用户拥有的移动设备108。移动设备108经由任何适当的连接110与客户端计算机102通信。例如,可使用采用USB线缆的有线连接。适当连接的另一示例是无线连接,例如使用蓝牙的无线连接。在一个实施例中,在移动设备108和服务器104之间不存在直接通信,以使这两个实体104、108之间的通信通过客户端计算机102进行。还应注意,该前述的连网环境仅是合适环境的一个示例。也可采用提供相似通信方案的其他体系结构。
1.1安全用户认证
移动设备辅助的安全计算机网络通信实施例的一种实现涉及安全用户认证。如前所述,用于标识用户并建立与客户端计算机的安全通道的用户认证常常是访问安全Web站点的先决条件。在安全用户认证的这一实现中,由用户输入到客户端计算机中的口令与由用户的移动设备实时生成的秘密值集成。在一个实施例中,该秘密值不被存储在移动设备中。另外,该秘密值可以被绑定至移动设备的硬件和正被访问的安全Web站点两者,以使得它对这两者来说是唯一的。以此方式,为所访问的每一安全Web站点生成不同的秘密值,且获授权的或未获授权的另一用户不能冒充该用户并登入安全Web站点,除非他或她知道该口令且同时持有该用户的移动设备。
1.1.1设置
用户可首先与Web站点经由其关联服务器建立帐户。这包括生成唯一用户ID和口令以及秘密值。以典型的方式(通常经由客户端计算机)实现在用户和Web站点之间选择并共享唯一用户ID和口令。然而,从用户的移动设备实时生成的秘密值的共享是唯一的。为此,用户通过可信的信道获得秘密值生成程序的副本并将该程序安装在移动设备上。所获得的副本被个别处理以隐藏数字Rm。在一个实施例中,从在下载交互期间获得的关于该移动设备的硬件的唯一信息生成Rm,且主密钥仅被该下载中心知道。例如,如果该移动设备是带有用户识别模块(SIM)卡的移动电话,则前述的信息可以与电话的硬件和SIM卡两者有关。
在一个实施例中,混淆被用于防止从该移动设备的可执行文件提取所隐藏的数字Rm。替代地,如果该移动设备配备有可信任平台模块(TPM),则不需要执行前述的个别处理和混淆。Rm可以受TMP保护,且秘密值生成程序受基于TMP的系统保护。如果假设移动设备不受间谍软件和其他恶意软件影响,则也不需要个性化或混淆。
当用户经由与具有隐藏数字Rm和秘密值生成程序的副本两者的移动设备(例如,图1的108)通信的客户端计算机(例如,图1的102)首次访问安全Web站点时,可以执行设置过程。这可涉及移动设备生成秘密值并将其提供给与Web站点关联的服务器(例如,图1的104)。更具体地,参见图2,该先决条件设置从移动设备使用所下载的秘密值生成程序通过首先检索由移动设备200存储的隐藏数字Rm来生成秘密值开始。接下来,获得与移动设备的硬件关联的标识号(202)。可以容易地从大多数现代移动设备的操作系统获得这样的号码。另外,如果移动设备具有SIM卡,则能可任选地获得SIM标识号(204)。在此再一次地,SIM标识号是常规地嵌入SIM卡中且易于从该卡获得的号码。应注意,此最后动作的可任选性质通过在图2中使用虚线框来指示。还应注意,在一个实施例中,在秘密值生成过程(未示出)的替换实施例中可以单独使用SIM卡标识号而不需要该移动设备的标识号。在另一实施例中,仅SIM卡被用于生成秘密值,且用户可使用插入同一SIM卡的另一移动设备。在又一实施例中,仅使用移动电话硬件,且用户可以使用他或她的带有不同SIM卡的移动设备。然而,使用硬件和SIM卡标识两者具有要求呈现移动设备和SIM卡两者的附加安全优点。因而,例如,在没有移动设备的情况下,克隆的SIM卡不能用于生成正确的秘密值。
该过程通过组合隐藏数字Rm、移动设备的硬件标识号、可任选的SIM卡标识号以及最终标识所关注的安全Web站点的唯一号码(例如,该Web站点的URL)的动作206来继续。在一个实施例中,通过拼接这些数字、然后使用规定的密码散列函数(例如,联邦信息处理标准公布(FIPS PUBS)180-2安全散列标准中规定的SHA-256)计算该拼接的密码散列来完成组合,该规定的密码散列函数对移动电话和与所关注的Web站点关联的服务器来说是已知的。所得到的组合值被指派为秘密值(208)且经由安全信道被传送给与Web站点关联的服务器(210)。该服务器安全地存储秘密值以用于未来的用户认证。然而,应注意,该秘密值不被本地存储在移动设备中。在每次用户尝试访问设置过程中所涉及的安全Wed站点时它被再次生成,正如将在下面的各节中描述的那样。
还应注意,将移动设备的硬件标识号(和/或可能的SIM标识号)用作生成该秘密值的部分使得该值对该移动设备来说是唯一的。其它移动设备将具有不同的硬件(和/或SIM)标识符号,且因此将生成不同的秘密值。另外,由于Web站点标识号(例如其URL)被用于秘密值的生成,因此该值对Web站点来说也是唯一的。不同的安全Web站点将具有不同的标识号,且因此将导致生成不同的秘密值。给定前述内容,还应注意,当用户改变他或她的移动设备(和/或SIM卡,如果存在SIM卡的话),或者当丢失了该设备时,必须重复以上设置过程以便与关联于所关注的每一安全Web站点的服务器重新建立新的秘密值。
1.1.2用户认证过程
在安全用户认证的一个实施例中,当用户发送访问安全Web站点的请求时,与该站点关联的服务器建立与该用户正使用的客户端计算机的SSL会话。该服务器经由客户端计算机提交用户向服务器认证他或她自己的请求。用户照常输入他或她的用户ID和口令。客户端计算机还将用户认证请求传递给用户的移动设备,用户的移动设备经由本地有线或无线连接与客户端计算机通信。在一种变体中,要求用户按压移动设备上的按钮以使移动设备基于与该Web站点共享的前述秘密值生成附加登录凭证。然后,这些附加凭证被发送给客户端计算机,该客户端计算机将它们与口令组合,并经由网络将其传输给与该Web站点关联的服务器以供认证。如果用户成功地通过认证,则服务器准予该用户访问权限。
在图3A-C中示出实现前述的安全用户认证的过程。当客户端计算机将访问安全Web站点的用户请求传输给与该站点关联的服务器时,该过程开始(300)。服务器接收访问请求(302)并发起与客户端计算机的SSL会话(304)。然后,服务器生成服务器询问号(306)。此询问号可以采用若干形式,将简短地描述这些形式中的两种。然后,服务器将服务器标识和服务器所生成的询问号以及用户认证请求传输给客户端计算机(308)。客户端计算机接收服务器标识、服务器询问号和用户认证请求(310),并提示用户输入先前对正被访问的Web站点制定的用户标识和口令(312)。然后,客户端计算机输入由用户输入的用户标识和口令(314),并将用户标识、服务器标识和服务器所生成的询问号提供给移动设备(316)。该移动设备接收这些标识和号码(318),且然后生成前述的秘密值(320)、移动设备询问号(322)和秘密值表示(324)。接下来,该移动设备将移动设备询问号和秘密值表示转发给客户端计算机(326)。应注意,可以以许多方式提示移动设备产生前述的值。例如,简单地从客户端计算机接收标识和服务器询问号就足以发起该过程。或者,如前所示,此任务可涉及用户按压移动设备上的指定按钮。还应注意,移动设备询问号和秘密值表示可以采用若干形式,其中的一部分将进行简短的描述。
客户端计算机接收移动设备询问号和秘密值表示(328),并组合秘密值表示和口令以产生组合表示(330)。然后,客户端计算机将用户标识、移动设备询问号和组合表示传输给服务器(332)。服务器接收这些数字(334)并根据它们计算会话密钥(336),正如稍后更详细描述地。然后,服务器将服务器版本的秘密值表示计算为包括会话密钥、用户标识和服务器标识的组合(338)。然后,服务器使用用户标识、服务器标识、服务器版本的秘密值表示和服务器已知的口令来计算服务器版本的组合表示(340)。然后,服务器将服务器版本的组合表示和从客户端计算机接收的组合表示作比较(342),并确定服务器已知的口令和秘密值是否被用于生成从客户端计算机接收的组合表示(344)。如果为是,则服务器生成准予访问的通知(346)。如果为否,则服务器生成拒绝访问的通知(348)。服务器将所生成的通知传输给客户端计算机(350)。该客户端计算机从服务器接收通知(352)并告知该用户关于对网络站点的访问是否被准予(354)。
1.2服务器认证
移动设备辅助的安全计算机网络通信实施例的另一实现涉及服务器以及用户获得认证。这允许客户端计算机和移动设备确认它们和与正被访问的安全Web站点关联的真正服务器通信。在此实现中,服务器将认证凭证返回给客户端计算机,并经由客户端计算机返回给移动设备。客户端计算机和移动设备两者认证服务器,并且如果服务器认证失败则终止该会话。在此相互认证方案结束时,客户端计算机和移动设备两者将建立起与服务器的独立安全通道。
图4A-B中示出用于实现前述的服务器认证的过程的一个实施例。一旦访问权已经被准予用户以便访问Web站点,服务器就首先生成两个服务器认证值并将它们传输给客户端计算机(400)。在一种实现中,第一值用于客户端计算机。此第一值是包括服务器已知的口令和前述的服务器生成版本的秘密值表示的组合。第二值用于移动设备。此第二值是包括服务器生成版本的会话密钥的组合。客户端计算机接收服务器认证值(402),并从该第一值导出口令和服务器生成版本的秘密值表示(404)。然后,客户端计算机确定从服务器所生成的组合导出的口令是否匹配由用户输入的口令,以及前述的移动设备生成的秘密值表示是否匹配服务器生成版本的秘密值表示(406)。如果它们不匹配,那么该Web站点被视为是不可信的,且不允许用户访问它(408)。然而,如果它们匹配,则允许用户访问与服务器关联的Web站点(410),且第二服务器认证值被转发给移动设备(412)。移动设备接收第二服务器认证值(414),且从其导出服务器生成版本的会话密钥(416)。然后,移动设备确定移动设备生成的会话密钥是否匹配服务器生成版本的会话密钥(418)。如果匹配,则服务器被视为是可信的(420)。否则,它被视为是不可信的(422)。
应注意,在移动设备辅助的安全计算机网络通信的一些实施例中,当服务器认证用户和移动设备认证服务器时,允许经由客户端计算机在服务器和移动设备之间进行规定的高安全性数据的通信。在稍后的部分将描述这些实施例。
1.3具有转发安全的认证
以下是针对上述的用户和服务器认证的一种实现的过程。即,满足转发安全的过程。转发安全意味着如果秘密值l被泄密,则移动电话和服务器之间的先前通信仍然是安全的。
参见图5A-B,该过程从客户端计算机将访问请求发送给与用户希望访问的Web站点关联的服务器(500)开始。服务器接收请求(502)并在服务器和客户端计算机之间建立SSL会话,以创建它们之间的所有后续通信将使用的安全信道(504)。然后,服务器选择随机数
Figure BPA00001301117300081
计算
Figure BPA00001301117300082
并通过安全信道将Ns与其身份IDs发送给客户端计算机(510)。应注意,符号∈R是指从集合中随机地选择数字,且
Figure BPA00001301117300083
是整数模q的指定乘法群,
Figure BPA00001301117300084
是指计算其中g是
Figure BPA00001301117300086
中具有阶数q的指定数字,且其中p和q是使得q|p-1的大素数。客户端计算机接收(IDs,Ns)(512),提示用户输入用户ID(IDu)和口令pwd(514),然后将(IDs,IDu,Ns)传递给移动设备(516)。移动设备接收(IDs,IDu,Ns)(518),选择随机数
Figure BPA00001301117300087
并计算
Figure BPA00001301117300088
以及
Figure BPA00001301117300089
和θ=H(IDu||IDs||skms||0)(526)。然后,它将(IDs,Xm,θ)发送给客户端计算机(528)。应注意,εl(·)是l作为秘密密钥的指定对称加密算法对中的一种算法。Dl(·)是指定对称加密算法对中l作为秘密密钥的另一算法。将短暂地采用后一算法。还应注意,符号H(·||...||·)是指括号中包含的各值的拼接的指定密码散列函数。注意,值等于
Figure BPA00001301117300092
且值
Figure BPA00001301117300093
(将简短介绍)也等于
Figure BPA00001301117300094
客户端计算机从移动设备接收(IDs,Xm,θ)(530),并计算
Figure BPA00001301117300095
并经由安全信道将
Figure BPA00001301117300096
发送给服务器(534)。一从客户端计算机接收
Figure BPA00001301117300097
服务器就首先计算
Figure BPA00001301117300098
Figure BPA00001301117300099
和θ′=H(IDu||IDs||sk′ms||0)(542)。然后,服务器计算
Figure BPA000013011173000910
并将其与从客户端计算机接收的核对,以查看它是否匹配(546)。如果它匹配,则服务器准予用户对该Web站点的访问权限(548)。否则,访问不被准予(550)。
现在参见图6A-B,在包括服务器认证的实施例中,服务器接下来计算γ=H(IDu||IDs||sk′ms||1)(600)、ψ=H(IDu||IDs||pwd||θ′||1)(602),并将(IDs,γ,ψ)发送给客户端计算机(604)。如前所示,这些值被客户端计算机和移动设备用来验证服务器是否知道该口令pwd和秘密值l,而如果它确实与用户希望访问的安全Web站点关联则它会知道。该客户端计算机从服务器接收(IDs,γ,ψ)(606)并检查
Figure BPA000013011173000912
其中该式左边是从服务器接收的值而该式右边由客户端计算机计算。如果它不匹配,则由于该服务器不能表示它知道口令pwd和秘密值l两者,客户端计算机终止该会话(610)。应注意,将在不涉及移动设备的前提下进行前述的客户端计算机对服务器的认证。然而,如果发现匹配,则客户端计算机显示从服务器接收的Web数据(612),并将(IDu,γ)转发给移动设备(614)。移动设备从该客户端计算机接收(IDu,γ)(616)并检查其中该式左边从客户端计算机接收(616)且该式右边由移动设备计算。如果发现匹配,则移动设备肯定服务器知道秘密值l且服务器被视为是可信的(620)。以此方式,在移动设备和服务器之间已经建立起安全信道,该安全信道可将skms用作会话密钥。此安全信道可按需用于在客户端计算机不知道内容的情况下经由客户端计算机在移动设备和服务器之间传递高安全性数据和交互。另一方面,如果没有发现匹配,则服务器被视为是不可信的,且不设置安全信道(622)。
1.4不具有转发安全的认证
在一些实施例中,转发安全可能不是必要的。如果是这样的情况,则可以实现较简单的过程,其中移动设备不计算相当复杂的指数。以下是针对上述的用户和服务器认证的一种实现的过程,该过程不满足转发安全的要求。在此实现中,请注意,符号Ns和Xm已经被再次定义为分别由服务器和移动电话选择的随机数。它们分别对应于在上一节中描述的具有转发安全的认证中的ns和nm
参见图7A-B,该过程以客户端计算机将访问请求发送给与用户希望访问的Web站点关联的服务器开始(700)。服务器接收该请求(702)并在服务器和客户端计算机之间建立SSL会话,以创建它们之间的所有后续通信将使用的安全信道(704)。然后,该服务器选择随机数
Figure BPA00001301117300101
并通过该安全信道将它与其身份IDs一起发送给客户端计算机(708)。客户端计算机从服务器接收(IDs,Ns)(710),并提示用户输入用户ID即IDu和口令pwd(712),且然后将(IDs,IDu,Ns)传递给移动设备(714)。移动设备接收(IDs,IDu,Ns)(716)、选择随机数
Figure BPA00001301117300102
Figure BPA00001301117300103
并计算hs=H(IDu||IDs||l||Ns)(720)、hm=H(IDu||IDs||l||Xm)(722)、skms=H(IDu||IDs||hs||hm)(724)和θ=H(IDu||IDs||skms||0)(726)。然后它将(IDs,Xm,θ)发送给客户端计算机(728)。在从移动设备接收(IDs,Xm,θ)(730)之后,客户端计算机计算
Figure BPA00001301117300104
并经由安全信道将发送给服务器(734)。一从客户端计算机接收到
Figure BPA00001301117300106
服务器就计算h′s=H(IDu||IDs||l||Ns)(738)、h′m=H(IDu||IDs||l||Xm)(740)、sk′ms=H(IDu||IDs|h′s||h′m)(742)和θ′=H(IDu||IDs||sk′ms||0)(744)。然后,服务器计算
Figure BPA00001301117300107
并将其与从客户端计算机接收的
Figure BPA00001301117300108
核对,以查看它是否匹配(748)。如果它匹配,则服务器准予用户对该Web站点的访问权限(750)。否则,访问不被准予(752)。
在包括服务器认证的实施例中,除了skms,sk′ms,θ和θ′的值是在本节中而非前一节中所计算的值之外,该过程与结合图6描述的过程相同。
1.5高安全性数据和交互的保护
另一移动设备辅助的安全计算机网络通信实施例涉及使用移动设备来建立与服务器的安全信道以用于传递高安全性数据,高安全性数据诸如银行帐号、信用卡号、社会安全号等等。此安全信道还可以用于与所访问的Web站点的安全交互。例如,这可包括访问电子邮件、通过在线Web经纪帐户售卖股票或执行在线银行业务。当客户端计算机不可信时,这尤其有用。借助于此实现,与服务器的数据传递和交互被分类成两个安全等级-高安全等级和低安全等级。被指派高安全等级的数据和交互通过管道传输给移动设备以显示和与用户交互,从而仅该用户可以看到敏感数据并执行关键的交互。被指派低安全等级的数据和交互以正常方式通过客户端计算机显示和交互。因而,用户的关键数据和交互可以受到保护。例如,当使用不可信的客户端计算机时,敏感数据可能留存在该计算机存储中,或被运行在该计算机上的恶意程序记录。当然,用户可以将他或她的移动设备用于与安全Web站点的所有交互。然而,移动设备的用户界面通常难以使用,且对复杂的查看或交互极为低效。借助于前述的实现,该用户可将客户端计算机的优良界面(例如,更大的显示器、全尺寸键盘等等)用于查看低安全性数据并执行与Web站点的低安全性交互。仅高安全性数据和交互将通过该移动设备来处理。
图8A-C中示出实现前述的示例性过程。一旦用户和服务器已按先前描述的那样相互经过认证,该过程就开始,并涉及将高安全性数据和/或指令从服务器传递给移动设备,以及将反馈从移动设备传递给服务器。将高安全性数据和/或指令从移动设备传递给服务器的相反过程在此不再描述,可以通过简单地转换角色以相同的方式来完成。首先,服务器确定它将要发送给用户的数据先前是否已经被标识为高安全性数据(800)。应注意,一般地,该服务器判定对于相关联的安全Web站点什么数据或交互要求较高的安全性。这可以通过应用一组指定规则来实现。一方面,越多的数据和交互被分类到较高的安全等级就越安全。另一方面,越少的数据和交互被分类到较高的安全等级就越方便用户,这是由于客户端计算机通常具有大得多的显示器和全尺寸的键盘以及好得多的计算资源。应该小心地平衡这两种冲突的要求。总是需要对安全性和便利性进行折衷。如果确定正被发送给用户的数据不是高安全性数据,则以正常方式将它发送给客户端计算机(802)。然而,如果正被发送给用户数据是高安全性数据,则服务器选择不重性ns(804)。不重性可以是任何一次性使用的标记。服务器接下来生成正被传送的高安全性数据W、不重性ns和至少一个安全值的组合(806)。潜在的安全值包括:
a)被指派给高安全性数据的当前时间戳T;
b)表示该当前时间戳和与在具有不同时间戳的当前传递之前最近发送的高安全性数据关联的时间戳之间的周期的时间差ΔT;和
c)在其中被指派了当前时间戳的高安全性数据不能在一次传输中发送且因此在多次传输中发送的情况中,索引i表示全部传输c中的被用于传递与当前时间戳关联的高安全性数据的传输的序号。
在一个实施例中,通过计算所包括的项的拼接来生成前述的组合。然后,将指定的对称加密算法对中带有作为秘密密钥(例如,
Figure BPA00001301117300121
)的先前所计算的会话密钥skms的一种算法应用到该拼接来产生安全传输Ts。例如,如果所有前述的安全值都被采用,则
Figure BPA00001301117300122
应注意,会话密钥skms仅对服务器和移动电话来说是已知的,且因此提供安全密钥以便与加密算法一起使用。然后,服务器将安全传输传输给客户端计算机(808),该客户端计算机将它转发给移动设备(810)。移动电话经由该客户端计算机从服务器接收安全传输(812),并将该指定的对称加密算法对中的不被服务器用来加密高安全性数据组合的一算法应用于该传输(814)(例如,
Figure BPA00001301117300123
)。会话密钥skms再次被用作加密算法的秘密密钥。然后,移动电话从经解密的传输导出高安全性数据、不重性和所包括的一个或多个安全值(816)(例如,通过分拆所组合的数据)。出于此示例性过程的目的假定时间戳和时间差被包括在前述的组合中,这些值可与具有不同时间戳的最近接收传输的时间戳核对(818)。如果当前时间戳减去该时间差对应于具有不同时间戳的最近接收传输的时间戳,则该传输被接受(820)。如果不是这样,则该传输被忽略(822)且该过程结束。这就是说,该时间戳可以用于防止重放攻击,在重放攻击中旧的加密消息被恶意计算机捕捉并被重新发送给移动设备。当处理随时间变化的数据(诸如股票的当前市值)时,抵御重放攻击尤其有益。如果当前的安全传输被接受,则移动设备以正常方式处理来自经解密传输的高安全性数据,该正常方式必然将它显示在移动设备的显示屏幕上(824)。应注意,在其中时间差被包括在前述组合的情况中,它可还被用于检查是否存在高安全传输的任何丢弃。在其中索引和被用来传递与当前时间戳关联的高安全性数据的传输总数被包括在前述组合中的情况中,有可能检查是否存在高安全性数据的丢失块。
假定用户将要响应于所接收的高安全性数据发送给服务器的反馈输入到移动设备,则移动设备输入该反馈(826),然后生成反馈、最近接收的不重性以及在其中多个传输具有相同时间戳的情况中与用户反馈关联的高安全性数据的索引的组合(828)。在此再一次地,这可使计算这些项的拼接成为必需。然后,移动设备将该指定的对称加密算法对中将会话密钥用作其秘密密钥的一算法应用于所生成的组合,以产生安全反馈传输(830)。例如,移动设备可拼接反馈F、不重性ns和索引i,然后应用对称加密算法
Figure BPA00001301117300131
以产生安全反馈传输
Figure BPA00001301117300132
然后,移动设备将该安全反馈传输转发给客户端计算机(832),该客户端计算机将它传输给服务器(834)。服务器从客户端计算机接收安全反馈传输(836),并将该指定的对称加密算法对中不被移动设备用来加密反馈的一算法应用于传输(838)(例如,
Figure BPA00001301117300133
)。会话密钥skms再次被用作加密算法的秘密密钥。服务器接下来从经解密的组合导出反馈、不重性和潜在的索引(840)(例如,分拆所组合的数据)。然后,确定所导出的不重性是否匹配(如果包括索引,还确定索引是否匹配)用于产生与反馈关联的安全传输的不重性(和索引)(842)。如果不重性匹配(且如果适用的话用户反馈与正确的索引关联),则该反馈被接受(844)。如果不是这样,则反馈被忽略(846)。在此反馈情况中,不重性匹配被用于防止重放攻击。这对诸如转账的一些操作来说是重要的。
应注意,可以修改前述的过程,以供在不预期从移动设备得到反馈时使用。在这样的情况中,该过程将在动作824结束。
1.6客户端计算机清理
另一移动设备辅助的安全计算机网络通信实施例涉及从不可信的客户端计算机(或者如果该用户选择甚至是在可信的计算机上这样做)删除cookie、临时文件和缓存数据。一般而言,当与安全Web站点的会话结束时,或者可任选地当确定用户的移动设备不再与客户端计算机通信时,客户端计算机删除与该会话关联的cookie、临时文件和缓存数据。这具有即使先前用户忘记在离开之前清理数据时也能防止客户端计算机的后续用户阅读或访问来自安全Web站点的数据的优点。因而,当用户使用公共的或其它的不可信的客户端计算机时,此实施例是非常有用的。当对该安全Web站点的访问被准予时,实现此实施例所需要的插件可以从服务器下载到客户端计算机。
图9A-B中示出实现前述的示例性过程。该过程从客户端计算机监视当前开放会话的状态并记录被存储在客户端计算机中的关联cookie、临时文件和缓存数据开始(900)。另外,该客户端计算机监视其至用户的移动设备的通信链路的状态(902)。周期性地确定当前的会话是否仍然开放(904)。如果为是,则确定客户端计算机和移动设备之间的通信链路是否仍然完好(906)。如果当前的会话仍然开放且通信链路仍然完好,那么不采取任何动作,且监视继续进行。然而,如果确定当前的会话被关闭,则客户端计算机删除与所关闭的会话关联的任何cookie、临时文件和缓存数据(908)。如果确定当前的会话仍然开放,但是自上次检查以来客户端计算机和该移动设备之间的通信连接已经丢失,那么客户端计算机启动计时器并监视器通信链路(910)。周期性地确定该链路是否仍然不可用(912)。如果该链路再次出现,则不采取任何动作,且恢复常规监视。如果该链路仍然不可用,则确定自它丢失起是否已经过去了指定时间段(例如,5分钟)(914)。如果不是这样,则监视继续进行(916)。然而,如果指定时间段已经过去,那么假定用户已经离开且客户端计算机关闭了开放会话(918),并删除与所关闭的会话关联的任何cookie、临时文件和缓存数据(920)。
2.0抗攻击
在此描述的移动设备辅助的安全计算机网络通信实施例具有许多优点,包括抵抗许多类型的攻击。以下是一些示例。
2.1远程桌面攻击
恶意浏览器可将数据从服务器转发到由另一用户控制的另一计算机。然而,其他用户仅可以看到恶意浏览器已经访问的非高安全性数据。安全信道
Figure BPA00001301117300141
保护高安全性数据和操作免受恶意浏览器侵害,其中skms仅对移动电话和服务器来说是已知的。
2.2会话劫持攻击
在会话劫持攻击中,未获授权的用户获得对正由该用户使用的客户端计算机的完全控制,且可以修改该用户的操作或执行未获授权的操作。由于与2.1节中提到的相同原因,劫持攻击不能获得除了恶意浏览器已经访问的非高安全性数据之外的任何东西。
2.3并行会话攻击
在此攻击中,两个或更多个协议实例被同时运行。来自一个协议实例的消息被用于形成其他协议中的消息。由于在用户认证期间所涉及的所有方都使用和检查新鲜度,因此此攻击将不成功。在认证之后,移动设备和服务器之间的连接以及客户端计算机和服务器之间的连接是安全的。由在移动设备和服务器之间以及在客户端计算机和服务器之间进行相互认证的这些实施例提供另外的保护。
2.4中间人攻击
此类型的攻击由在移动设备和服务器之间以及在客户端计算机和服务器之间执行相互认证的实施例、以及由移动设备和服务器之间的安全通道排除。
2.5带有邻接攻击的键盘记录器
安装在正由用户使用的客户端计算机上的键盘记录器可以捕捉输入的口令。由于这在用户认证中还要求来自移动设备的秘密值,因此这一捕捉到的口令单独地并不允许另一用户冒充受害者来登入安全Web站点。一种可能的攻击是移动设备用来连接到客户端计算机的无线网络的范围内的另一计算机在不引起用户注意的情况下勾结键盘记录器来冒充用户登入安全Web站点。然而,在其中在移动设备涉及用户认证之前需要用户按压移动设备上的按钮的那些实施例中,这将是不可能的。
2.6移动恶意软件
在此描述的移动设备辅助的安全计算机网络通信实施例不要求移动设备是可信的,这是因为移动设备中不存储任何秘密。移动设备在用户认证中使用的秘密值被实时生成,且被绑定至移动设备的硬件(以及可能的SIM卡)。为推导此秘密值,敌方必须知道生成该秘密值的方法和参数,并在受害者的移动设备上运行模拟这些函数的恶意软件程序。然而,由于安装在移动设备上的程序被分别处理(即,对每一设备使用一不同的Rm),因此不同的移动设备不同地生成秘密值。由于安装在不同移动设备上的程序中含有不同的Rm值,因此对一个移动设备的程序的成功逆向工程不允许敌方在另一移动设备上运行相同的程序来正确地生成秘密值且因而正确地生成登录凭证。敌方必须破坏安装在特定移动设备上的软件以推导由该设备生成的秘密值。因而,只要安装在移动设备上的程序不被逆向工程或修改,安装在移动设备上的任何恶意软件就被阻止,对系统函数的调用就是安全的,且程序和移动设备用户之间的交互就不被修改或伪造。这是比可信的移动设备更逼真的假设。
2.7秘密值泄露
如果移动设备中的秘密值被破坏,则安全性被降低到与依赖于口令的常规系统相同的水平。如果这发生了,则用户应尽可能快地运行设置过程来更新秘密值。这与丢失移动设备时相同。注意,即使口令和移动设备的秘密值两者都被破坏,由于用户认证满足转发安全(假定采用转发安全实现),因此先前的通信仍然是安全的。
2.8公共口令攻击
用户常常将相同的口令用于不同的Web站点,这会使得公共口令攻击成功。在这样的攻击中,敌方可以侵入低安全性Web站点来检索用户id/口令对,然后将它们用于其他Web站点。然而,即使在用户为所有他或她的Web帐户选择相同的口令时,由于用于认证的凭证依赖于安全Web站点的ID(例如,URL)以及移动设备的硬件(和/或SIM卡),在此描述的移动设备辅助的安全计算机网络通信实施例还是使得不同的Web站点具有不同的登录凭证。此特征使得公共口令攻击无用。
2.9 社会工程
敌方可以使用诸如网络钓鱼的社会工程技术来冒充成可信赖的个人或企业,并欺骗性地要求用户泄露口令。此类型的攻击在此不起作用,这是由于用户认证需要从移动设备生成的认证凭证。敌方必须同时获得口令并持有移动设备才能登入安全Web站点。
2.10 Oracle攻击
敌方可通过发起许多登录请求以尝试获得关于该移动设备的秘密的有用信息来发动Oracle攻击。但是由于在此使用的加密算法可抵抗密文攻击,且一些实施例中使用的散列函数是无冲突的,因此Oracle攻击是无效的。
3.0计算环境
现在将描述其中可以实现在此描述的移动设备辅助的安全计算机网络通信实施例的部分的合适计算环境的简要且一般的描述。各实施例可用众多通用的或专用的计算系统环境或配置操作。合适的众所周知的计算系统、环境和/或配置的示例可以包括但不限于个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费性电子设备、网络PC、小型计算机、大型计算机、包括任何以上系统或设备的分布式计算环境等等。图10示出合适的计算系统环境的一示例。该计算系统环境仅是合适的计算环境的一个示例且不旨在暗示对在此描述的移动设备辅助的安全计算机网络通信实施例的使用范围或功能性的任何限制。计算环境也不应被解释成具有与该示例性操作环境中所示出的组件的任何之一或其组合相关的任何依赖性或要求。参考图10,用于实现在此描述的实施例的示例性系统包括诸如计算设备10的计算设备。在其最基本配置中,计算设备10通常包括至少一个处理单元12和存储器14。取决于计算设备的确切配置和类型,存储器14可以是易失性存储器(诸如RAM)、非易失性存储器(诸如ROM、闪存等等)或两者的某种组合。此最基本配置在图10中由虚线16例示。另外,设备10可以还具有另外的特征/功能性。例如,设备10还可包括另外的存储(可移动存储和/或不可移动存储),包括但不限于磁盘或光盘或带。此类另外的存储在图10中由可移动存储18和不可移动存储20例示。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据的信息的任何方法或技术实现的易失性介质和非易失性介质、可移动介质和不可移动介质。存储器14、可移动存储18和不可移动存储20都是计算机存储介质的示例。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁存储设备、或可用于存储所需信息且可以由设备10访问的任何其他介质。任何此类计算机存储介质可以是设备10的一部分。设备10还可含有允许设备与其他设备通信的通信连接22。设备10还可以具有输入设备24,诸如键盘、鼠标、笔、语音输入设备、触摸输入设备、照相机等等。还可包括输出设备26,诸如显示器、扬声器、打印机等等。所有这些设备在本领域中是众所周知的,且在此不需要详细讨论。可以进一步在诸如正由计算设备执行的程序模块的计算机可执行指令的一般上下文中描述在此描述的移动设备辅助的安全计算机网络通信实施例。一般而言,程序模块包括执行特定的任务或实现特定的抽象数据类型的例程、程序、对象、组件、数据结构等等。在此描述的实施例还可在其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境中实践。在分布式计算环境中,程序模块可位于包括存储器存储设备的本地计算机存储介质和远程计算机存储介质两者。
4.0其他实施例
应注意,在前述的描述中,移动设备辅助的安全计算机网络通信实施例不要求移动设备存储任何东西。作为变体,移动设备可以存储包括移动设备与之共享秘密值的所有安全Web站点的列表。当从与安全Web站点关联的服务器接收用户认证请求时,移动设备核对所存储的列表。如果Web站点是在该列表中,则认证过程进行。否则移动设备拒绝该请求并将该拒绝显示在其屏幕上。另一变体是为所存储的Web站点列表中的每一安全Web站点将种子存储在移动设备中。此种子被用于从移动设备的硬件(和可能的其SIM卡)和Web站点的ID生成秘密值以及唯一值Rm。此变体具有每一Web站点的秘密值可被个别更新的优点,这通过简单地更新Web站点的种子来完成。所存储的Web站点列表和种子可在别的地方备份。不需要使它们免受公开。
还应注意,贯穿本说明书的任何或所有的前述实施例可以以形成另外的混合实施例所希望的任何组合来使用。另外,尽管已经用对结构特征和/或方法论动作来说专用的语言描述了本主题,但应理解,在所述权利要求中界定的本主题不必限于以上所描述的具体特征或动作。相反,以上所描述的具体特征和动作是作为实现权利要求的示例形式而公开的。

Claims (20)

1.一种用于在包括经由计算机网络与客户端计算机通信的服务器和与所述客户端计算机通信的用户移动设备的系统中经由所述计算机网络进行通信的方法,所述方法包括使用所述客户端计算机来执行以下方法动作:
便于所述服务器对正尝试访问与所述服务器关联的网络站点的用户的认证,其中所述便于包括,
从所述移动设备接收包括一秘密值的秘密值表示(328),其中所述移动设备在需要时生成所述秘密值表示,且其中所述服务器知晓秘密值,并且其中所述秘密值是包括由所述移动设备存储的隐藏数字、对所述用户正尝试访问的所述网络站点来说是唯一的站点标识和移动设备标识号的组合,
组合所述秘密值表示和由所述用户输入到所述客户端计算机中的且所述服务器已知的口令,以产生组合表示(330),
将所述组合表示传送给所述服务器(332),以供用于确定所述服务器已知的所述口令和秘密值是否被用于生成所述组合表示,以及
从所述服务器接收关于对所述网络站点的访问是否已经被准予的通知(352),其中只有在所述服务器已知的所述口令和秘密值被用于生成所述组合表示时访问才被准予;以及
告知所述用户关于对所述网络站点的访问是否已经被准予(354)。
2.如权利要求1所述的方法,其特征在于,从所述移动设备接收秘密值表示的所述方法动作包括下列动作:
从所述服务器接收由所述服务器生成的服务器标识和服务器询问号;
提示所述用户经由所述客户端计算机的用户界面输入用户标识和口令,其中所述口令被为述服务器已知;
输入所述用户标识和口令,并将所述服务器标识、用户标识和服务器询问号转发给所述移动设备;以及
从所述移动设备接收由所述移动设备生成的移动设备询问号和所述秘密值表示。
3.如权利要求2所述的方法,其特征在于,将所述组合表示传送给所述服务器的所述方法动作进一步包括传送所述用户标识和所述移动设备询问号以及所述组合表示的动作。
4.如权利要求1所述的方法,其特征在于,每当从所述服务器接收关于准予对所述网络站点的访问的通知时,所述方法进一步包括下列方法动作:
从所述服务器接收用于所述客户端计算机的服务器认证值,所述服务器认证值包括所述口令和服务器生成版本的所述秘密值表示的组合;
确定由所述用户输入的所述口令和从移动设备传递的所述秘密值表示是否被所述服务器用于生成所述服务器认证值;
只有在由所述用户输入的所述口令和从所述移动设备传递的所述秘密值表示被所述服务器用于生成所述服务器认证值时,才允许所述用户访问所述网络站点;以及
当所述口令匹配且所述秘密值表示匹配时,将服务器生成版本的所述秘密值表示转发给所述移动设备。
5.如权利要求1所述的方法,其特征在于,所述方法进一步包括下列动作:
监视所述客户端计算机和所述服务器之间的通信会话的状态,并记录与所述会话关联的cookie、临时文件和缓存数据的存储位置;
监视所述客户端计算机和所述移动设备之间的通信链路;
每当发现所述客户端计算机和所述服务器之间的所述会话已经被关闭时,删除与所关闭的会话关联的任何cookie、临时文件和缓存数据;
每当发现所述客户端计算机和所述服务器之间的所述会话仍然开放、但所述客户端计算机和所述移动设备的所述通信链路已丢失了多于指定时间段时,
关闭所述客户端计算机和所述服务器之间的所述会话,以及
删除与所关闭的会话关联的任何cookie、临时文件和缓存数据。
6.一种用于在包括经由计算机网络与客户端计算机通信的服务器和所述客户端计算机的用户持有的且与所述客户端计算机通信的移动设备的系统中经由所述计算机网络进行通信的方法,所述方法包括使用所述移动设备来执行以下方法动作:
便于所述服务器对正尝试访问与所述服务器关联的网络站点的所述用户的认证,其中所述便于包括,
生成包括一秘密值的秘密值表示(324),其中所述移动设备在需要时生成所述秘密值表示,且其中所述服务器知晓所述秘密值,并且其中所述秘密值是包括由所述移动设备存储的隐藏数字、对所述用户正尝试访问的所述网络站点来说是唯一的站点标识和移动设备标识号的组合,以及
组合所述秘密值表示转发给所述客户端计算机(326)以供用于将所述秘密值表示和由所述用户输入到所述客户端计算机中的且所述服务器已知的口令,以产生组合表示,然后所述组合表示被传送给所述服务器以供用于确定所述服务器已知的所述口令和秘密值是否被用于生成所述组合表示。
7.如权利要求6所述的方法,其特征在于,生成所述秘密值表示的所述方法动作包括下列动作:
经由所述客户端计算机从所述服务器接收服务器标识和服务器询问号;
生成所述秘密值;
使用所述秘密值生成移动设备询问号;
生成包括用户标识、所述服务器标识、所述服务器询问号、所述移动设备询问号和从由所述移动设备生成的所述服务器询问号和数字创建的验证值的组合的会话密钥;以及
将所述秘密值表示生成为包括所述会话密钥与所述用户和服务器标识的组合。
8.如权利要求7所述的方法,其特征在于,其中生成所述秘密值的所述方法动作包括下列动作:
检索由所述移动设备存储的所述隐藏数字,其中所述隐藏数字对所述移动设备来说是唯一的;以及
将所述秘密值生成为所述隐藏数字、对所述用户正尝试访问的所述网络站点来说是唯一的所述站点标识和所述移动设备标识号的组合,以使所述秘密值对所述移动设备和所述用户正尝试访问的所述网络站点来说是唯一的。
9.如权利要求7所述的方法,其特征在于,使用所述秘密值生成所述移动设备询问号的所述方法动作包括下列动作:
从指定的数集
Figure FDA00002946337900031
随机地选择数字nm
计算
Figure FDA00002946337900032
mod p,其中g是
Figure FDA00002946337900033
中带有阶数q的指定数字,且其中p和q是使得q|p-1的大素数;
计算其中εl(·)是指定的对称加密算法对中l作为秘密密钥的一算法,且其中l是所述秘密值;以及
将所述计算的结果指派为所述移动设备询问号;且其中
所述验证值被计算为所述服务器询问号升到nm次幂模p。
10.如权利要求7所述的方法,其特征在于,当所述服务器已经准予对所述网络站点的访问时,所述方法进一步包括下列方法动作:
经由所述客户端计算机从所述服务器接收用于所述移动设备的服务器认证值,所述服务器认证值包括所述用户标识、所述服务器标识和服务器生成版本的所述会话密钥的组合;
导出移动设备生成版本的所述会话密钥;
确保所述移动设备生成的会话密钥匹配用于生成所述服务器认证值的服务器生成版本的所述会话密钥;以及
只有当所述移动设备生成的会话密钥匹配服务器生成版本的所述会话密钥时才允许经由所述客户端计算机在所述服务器和所述移动设备之间传递指定的高安全性数据。
11.如权利要求10所述的方法,其特征在于,只有当所述移动设备生成的会话密钥匹配服务器生成版本的所述会话密钥时才允许经由所述客户端计算机在所述服务器和所述移动设备之间传递指定的高安全性数据的所述方法动作进一步包括下列动作:
经由所述客户端计算机从所述服务器接收高安全性数据,所述高安全性数据使用采用先前生成的会话密钥的安全协议来加密,所述接收包括,
输入经所述服务器加密的高安全性数据,以及
解密所述高安全性数据,所述高安全性数据已由所述服务器经由所述安全协议加密,所述加密包括生成时间值、由所述服务器选择的不重性和所述高安全性数据的组合,并将指定的对称加密算法对中将所述会话密钥用作秘密密钥的一算法应用于所生成的组合,以产生经所述服务器加密的高安全性数据,其中所述解密包括,
将所述指定的对称加密算法对中的不被所述服务器用来加密所述高安全性数据的一算法应用于所输入的经服务器加密的高安全性数据,以及
从所述经解密的组合导出所述时间值、不重性和高安全性数据;
以及
响应于先前接收的高安全性数据将安全反馈传送给所述服务器,所述传送包括,
生成期望发送给所述服务器的所述先前接收的不重性和所述反馈的组合,
将所述指定的对称加密算法对中将所述会话密钥用作其秘密密钥的一算法应用于所生成的组合,以产生所述安全反馈,以及
经由所述客户端计算机将所述安全反馈传送给所述服务器。
12.如权利要求6所述的方法,其特征在于,生成所述秘密值表示的所述方法动作包括下列动作:
经由客户端计算机从所述服务器接收服务器标识和服务器询问号;
生成所述秘密值;
生成移动设备询问号;
生成包括用户标识、所述服务器标识、所述秘密值和所述服务器询问号的组合的形式的服务器验证值;
生成包括所述用户标识、所述服务器标识、所述秘密值和所述移动设备询问号的组合的形式的移动设备验证值;
生成包括所述用户标识、所述服务器标识、所述服务器验证值和移动设备验证值的组合的会话密钥;以及
将所述秘密值表示生成为包括所述会话密钥与所述用户和服务器标识的组合。
13.如权利要求12所述的方法,其特征在于,当所述服务器已经准予对所述网络站点的访问时,所述方法进一步包括下列方法动作:
经由所述客户端计算机从所述服务器接收用于所述移动设备的服务器认证值,所述服务器认证值包括所述用户标识、所述服务器标识和服务器生成版本的所述会话密钥的组合;
导出移动设备生成版本的所述会话密钥;
确保所述移动设备生成的会话密钥匹配用于生成所述服务器认证值的服务器生成版本的所述会话密钥;以及
只有在所述移动设备生成的会话密钥匹配服务器生成版本的所述会话密钥时才允许经由所述客户端计算机在所述服务器和所述移动设备之间传递指定的高安全性数据。
14.一种用于在包括经由计算机网络与客户端计算机通信的服务器和所述客户端计算机的用户持有的且与所述客户端计算机通信的移动设备的系统中经由所述计算机网络进行通信的方法,所述方法包括使用所述服务器来执行以下方法动作:
认证正尝试访问与所述服务器关联的网络站点的用户,其中所述认证包括,
生成询问号(306),
经由所述客户端计算机将服务器标识和服务器生成的询问号提供给所述移动设备(308);
从所述客户端计算机接收用户标识、移动设备生成的询问号和组合表示(334),其中所述组合表示是包括所述用户标识、所述服务器标识、移动设备生成的包括一秘密值的秘密值表示和由所述用户输入到所述客户端计算机的口令的组合,且其中所述秘密值以及所述口令是所述服务器已知的,并且其中所述秘密值是包括由所述移动设备存储的隐藏数字、对所述用户正尝试访问的所述网络站点来说是唯一的站点标识和移动设备标识号的组合,
计算包括所述用户标识、所述服务器标识、多个唯一数字的组合的会话密钥(336),
将服务器版本的所述秘密值表示计算为包括所述会话密钥、所述用户标识和所述服务器标识的组合(338),
使用所述用户标识、所述服务器标识、所述服务器版本的所述秘密值表示和所述服务器已知的所述口令来计算服务器版本的所述组合表示(340),
将所述服务器版本的所述组合表示与从所述客户端计算机接收的所述组合表示作比较(342),
确定所述服务器已知的所述口令和秘密值是否被用于生成从所述客户端计算机接收的所述组合表示(344),以及
将关于对所述网络站点的访问是否已经被准予的通知传送给所述客户端计算机,其中只有在所述服务器已知的所述口令和秘密值被用于生成从所述客户端计算机接收的所述组合表示时访问才被准予(350)。
15.如权利要求14所述的方法,其特征在于,计算所述会话密钥的所述方法动作包括下列动作:
使用所述服务器已知的所述秘密值从移动设备生成的询问号导出所述移动设备生成的认证值;以及
计算包括所述用户标识、所述服务器标识、服务器生成的询问号、所述移动设备生成的询问号和从所述服务器询问号和所述移动设备生成的认证值创建的验证值的组合的所述会话密钥。
16.如权利要求15所述的方法,其特征在于:
使用所述服务器已知的所述秘密值从所述移动设备生成的询问号(Xm)导出所述移动设备生成的认证值的所述方法动作包括下列动作,
计算Dl(Xm),其中Dl(·)是指定的对称加密算法对中将l用作秘密密钥的不被所述移动设备用来生成所述移动设备生成的询问号的一算法,且其中l是所述服务器已知的所述秘密值,以及
将所述Dl(Xm)计算的结果指派为移动设备生成的认证值
Figure FDA00002946337900071
;且其中生成服务器所成的询问号的所述方法动作包括下列动作,
从指定的数集
Figure FDA00002946337900072
随机地选择数字ns,以及
计算
Figure FDA00002946337900073
mod p,其中g是
Figure FDA00002946337900074
中带有阶数q的指定数字,且其中p和q是使得q|p-1的大素数。
17.如权利要求14所述的方法,其特征在于,当传送准予对所述网络站点的访问的通知时,所述方法包括以下方法动作:将服务器认证值传送给所述客户端计算机,所述服务器认证值包括所述服务器已知的所述口令和服务器生成版本的所述秘密值表示的组合,以使得所述服务器认证值可由所述客户端计算机用来验证用于生成服务器生成组合中的所述口令匹配由所述用户输入的所述口令,以及验证所述移动设备生成的秘密值表示匹配用于生成服务器生成组合中的服务器生成版本的所述秘密值表示,由此证实所述服务器的可信性。
18.如权利要求14所述的方法,其特征在于,当传送准予对所述网络站点的访问的通知时,所述方法进一步包括以下方法动作:经由所述客户端计算机将服务器生成版本的所述秘密值表示传送给所述移动设备,以使得服务器生成版本的所述秘密值表示可由所述移动设备用来验证所述移动设备生成的秘密值表示匹配服务器生成版本的所述秘密值表示,由此证实所述服务器的可信性。
19.如权利要求14所述的方法,其特征在于,计算所述会话密钥的所述方法动作包括下列动作:
生成包括所述用户标识、所述服务器标识、所述秘密值和所述服务器询问号的组合的形式的服务器验证值;
生成包括所述用户标识、所述服务器标识、所述秘密值和所述移动设备询问号的组合的形式的移动设备验证值;以及
生成包括所述用户标识、所述服务器标识、所述服务器验证值和移动设备验证值的组合的所述会话密钥。
20.如权利要求14所述的方法,其特征在于,当传送准予对所述网络站点的访问的通知时,所述方法进一步包括下列方法动作:
使用采用所述先前计算的会话密钥的安全协议经由所述客户端计算机将先前标识为高安全性数据的数据传送给所述移动设备,所述传送包括,
选择不重性,
生成当前时间值、所述不重性和正被传送的所述高安全性数据的组合,
将指定的对称加密算法对中将所述会话密钥用作其秘密密钥的一算法应用于所生成的组合,以产生安全传输,以及
经由所述客户端计算机将所述安全传输传输给所述移动设备;以及响应于所述先前传送的安全传输从所述移动设备接收安全反馈,所述安全反馈已经由所述移动设备使用采用所述先前计算的会话密钥的所述安全协议进行加密,所述接收包括,
输入经所述移动设备加密的安全反馈,以及
解密所述安全反馈,所述安全反馈已由移动电话经由所述安全协议加密,所述加密包括生成所述不重性和反馈的组合,以及将所述指定的对称加密算法对中将所述会话密钥用作其秘密密钥的一算法应用于所生成的组合,以产生所述安全反馈,其中所述解密包括,
将所述指定的对称加密算法对中不被所述移动设备用来加密所述安全反馈的一算法应用于所述经加密的安全反馈,以及
从所述经解密的组合导出所述不重性和反馈,
将所导出的不重性和由所述服务器选择且被用于产生所述安全传输的所述不重性作比较,以确保不重性匹配,以及
当所述不重性匹配时,接受所述反馈。
CN2009801282727A 2008-05-16 2009-05-15 移动设备辅助的安全计算机网络通信 Expired - Fee Related CN102099810B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/122,126 2008-05-16
US12/122,126 US8209744B2 (en) 2008-05-16 2008-05-16 Mobile device assisted secure computer network communication
PCT/US2009/044262 WO2009140663A1 (en) 2008-05-16 2009-05-15 Mobile device assisted secure computer network communications

Publications (2)

Publication Number Publication Date
CN102099810A CN102099810A (zh) 2011-06-15
CN102099810B true CN102099810B (zh) 2013-11-20

Family

ID=41317274

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009801282727A Expired - Fee Related CN102099810B (zh) 2008-05-16 2009-05-15 移动设备辅助的安全计算机网络通信

Country Status (4)

Country Link
US (1) US8209744B2 (zh)
EP (1) EP2304636B1 (zh)
CN (1) CN102099810B (zh)
WO (1) WO2009140663A1 (zh)

Families Citing this family (202)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237117B2 (en) 2001-03-16 2007-06-26 Kenneth P. Weiss Universal secure registry
US9412123B2 (en) 2003-07-01 2016-08-09 The 41St Parameter, Inc. Keystroke analysis
WO2005010715A2 (en) 2003-07-21 2005-02-03 Fusionone, Inc. Device message management system
US10999298B2 (en) 2004-03-02 2021-05-04 The 41St Parameter, Inc. Method and system for identifying users and detecting fraud by use of the internet
US9542076B1 (en) 2004-05-12 2017-01-10 Synchronoss Technologies, Inc. System for and method of updating a personal profile
TW200701732A (en) * 2005-06-21 2007-01-01 Ite2 Technology Inc Method and system for verifying personal identity in internet trades
US11301585B2 (en) 2005-12-16 2022-04-12 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US8938671B2 (en) 2005-12-16 2015-01-20 The 41St Parameter, Inc. Methods and apparatus for securely displaying digital images
US11227676B2 (en) 2006-02-21 2022-01-18 Universal Secure Registry, Llc Universal secure registry
US8234220B2 (en) 2007-02-21 2012-07-31 Weiss Kenneth P Universal secure registry
US8001055B2 (en) 2006-02-21 2011-08-16 Weiss Kenneth P Method, system and apparatus for secure access, payment and identification
US8151327B2 (en) 2006-03-31 2012-04-03 The 41St Parameter, Inc. Systems and methods for detection of session tampering and fraud prevention
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US9137844B2 (en) * 2007-10-04 2015-09-15 Qualcomm Incorporated Method and apparatus for handling user equipment capability information
KR20090113310A (ko) 2007-01-26 2009-10-29 퓨전원 인코포레이티드 모바일 디바이스에서 사용하기 위한 콘텐츠를 백업하는 시스템 및 방법
TW200937928A (en) * 2008-02-20 2009-09-01 Tatung Co Method for generating one-time-password
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8898293B2 (en) 2009-01-28 2014-11-25 Headwater Partners I Llc Service offer set publishing to device agent with on-device service selection
US8725123B2 (en) 2008-06-05 2014-05-13 Headwater Partners I Llc Communications device with secure data path processing agents
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8924543B2 (en) 2009-01-28 2014-12-30 Headwater Partners I Llc Service design center for device assisted services
US8630192B2 (en) 2009-01-28 2014-01-14 Headwater Partners I Llc Verifiable and accurate service usage monitoring for intermediate networking devices
US8924469B2 (en) 2008-06-05 2014-12-30 Headwater Partners I Llc Enterprise access control and accounting allocation for access networks
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
JP2010055153A (ja) * 2008-08-26 2010-03-11 Fujitsu Ltd 秘密情報の非表示化方法
US8447669B2 (en) 2008-08-26 2013-05-21 Visa U.S.A. Inc. System and method for implementing financial assistance programs
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US11985155B2 (en) 2009-01-28 2024-05-14 Headwater Research Llc Communications device with secure data path processing agents
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US8893009B2 (en) 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US11973804B2 (en) 2009-01-28 2024-04-30 Headwater Research Llc Network service plan design
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US8351898B2 (en) 2009-01-28 2013-01-08 Headwater Partners I Llc Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US8606911B2 (en) 2009-03-02 2013-12-10 Headwater Partners I Llc Flow tagging for service policy implementation
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
WO2010094331A1 (en) * 2009-02-19 2010-08-26 Nokia Siemens Networks Oy Authentication to an identity provider
US9112850B1 (en) 2009-03-25 2015-08-18 The 41St Parameter, Inc. Systems and methods of sharing information through a tag-based consortium
US8296580B2 (en) * 2010-01-27 2012-10-23 Research In Motion Limited System and method for protecting data on a mobile device
US8667263B2 (en) * 2010-02-12 2014-03-04 The Johns Hopkins University System and method for measuring staleness of attestation during booting between a first and second device by generating a first and second time and calculating a difference between the first and second time to measure the staleness
US8806190B1 (en) 2010-04-19 2014-08-12 Amaani Munshi Method of transmission of encrypted documents from an email application
US10319011B2 (en) 2010-07-27 2019-06-11 ReplyBuy, Inc. System and method for enabling global and remote flash sale or daily deal commerce through unsecured electronic channels
WO2012037479A1 (en) * 2010-09-17 2012-03-22 Universal Secure Registry, Llc Apparatus, system and method employing a wireless user-device
CN101964789B (zh) * 2010-09-26 2013-11-20 飞天诚信科技股份有限公司 安全访问受保护资源的方法及系统
US8738321B2 (en) 2010-09-30 2014-05-27 Fitbit, Inc. Methods and systems for classification of geographic locations for tracked activity
US8762102B2 (en) 2010-09-30 2014-06-24 Fitbit, Inc. Methods and systems for generation and rendering interactive events having combined activity and location information
US8805646B2 (en) 2010-09-30 2014-08-12 Fitbit, Inc. Methods, systems and devices for linking user devices to activity tracking devices
US9310909B2 (en) 2010-09-30 2016-04-12 Fitbit, Inc. Methods, systems and devices for physical contact activated display and navigation
US8694282B2 (en) 2010-09-30 2014-04-08 Fitbit, Inc. Methods and systems for geo-location optimized tracking and updating for events having combined activity and location information
US9253168B2 (en) 2012-04-26 2016-02-02 Fitbit, Inc. Secure pairing of devices via pairing facilitator-intermediary device
US8744803B2 (en) 2010-09-30 2014-06-03 Fitbit, Inc. Methods, systems and devices for activity tracking device data synchronization with computing devices
US9148483B1 (en) 2010-09-30 2015-09-29 Fitbit, Inc. Tracking user physical activity with multiple devices
US9390427B2 (en) 2010-09-30 2016-07-12 Fitbit, Inc. Methods, systems and devices for automatic linking of activity tracking devices to user devices
US8954291B2 (en) 2010-09-30 2015-02-10 Fitbit, Inc. Alarm setting and interfacing with gesture contact interfacing controls
US8712724B2 (en) 2010-09-30 2014-04-29 Fitbit, Inc. Calendar integration methods and systems for presentation of events having combined activity and location information
US9241635B2 (en) 2010-09-30 2016-01-26 Fitbit, Inc. Portable monitoring devices for processing applications and processing analysis of physiological conditions of a user associated with the portable monitoring device
US8615377B1 (en) 2010-09-30 2013-12-24 Fitbit, Inc. Methods and systems for processing social interactive data and sharing of tracked activity associated with locations
US10983945B2 (en) 2010-09-30 2021-04-20 Fitbit, Inc. Method of data synthesis
US8738323B2 (en) 2010-09-30 2014-05-27 Fitbit, Inc. Methods and systems for metrics analysis and interactive rendering, including events having combined activity and location information
US11243093B2 (en) 2010-09-30 2022-02-08 Fitbit, Inc. Methods, systems and devices for generating real-time activity data updates to display devices
US8620617B2 (en) 2010-09-30 2013-12-31 Fitbit, Inc. Methods and systems for interactive goal setting and recommender using events having combined activity and location information
US10004406B2 (en) 2010-09-30 2018-06-26 Fitbit, Inc. Portable monitoring devices for processing applications and processing analysis of physiological conditions of a user associated with the portable monitoring device
US8762101B2 (en) 2010-09-30 2014-06-24 Fitbit, Inc. Methods and systems for identification of event data having combined activity and location information of portable monitoring devices
US8954290B2 (en) 2010-09-30 2015-02-10 Fitbit, Inc. Motion-activated display of messages on an activity monitoring device
WO2012054646A2 (en) 2010-10-19 2012-04-26 The 41St Parameter, Inc. Variable risk engine
AU2011316955B2 (en) 2010-10-20 2016-12-01 Playspan Inc. Flexible monetization service apparatuses, methods and systems
US8943428B2 (en) 2010-11-01 2015-01-27 Synchronoss Technologies, Inc. System for and method of field mapping
US9412094B2 (en) 2010-11-11 2016-08-09 International Business Machines Corporation User identifier management
US8745401B1 (en) * 2010-11-12 2014-06-03 Google Inc. Authorizing actions performed by an online service provider
EP2461613A1 (en) * 2010-12-06 2012-06-06 Gemalto SA Methods and system for handling UICC data
US9081714B2 (en) * 2011-02-01 2015-07-14 Cleversafe, Inc. Utilizing a dispersed storage network access token module to store data in a dispersed storage network memory
US10204327B2 (en) 2011-02-05 2019-02-12 Visa International Service Association Merchant-consumer bridging platform apparatuses, methods and systems
US8739260B1 (en) * 2011-02-10 2014-05-27 Secsign Technologies Inc. Systems and methods for authentication via mobile communication device
US9953334B2 (en) 2011-02-10 2018-04-24 Visa International Service Association Electronic coupon issuance and redemption apparatuses, methods and systems
US10586227B2 (en) 2011-02-16 2020-03-10 Visa International Service Association Snap mobile payment apparatuses, methods and systems
CN109118199A (zh) 2011-02-16 2019-01-01 维萨国际服务协会 快拍移动支付装置,方法和系统
SG193510A1 (en) 2011-02-22 2013-10-30 Visa Int Service Ass Universal electronic payment apparatuses, methods and systems
AU2012223415B2 (en) 2011-02-28 2017-05-18 Visa International Service Association Secure anonymous transaction apparatuses, methods and systems
WO2012122060A1 (en) 2011-03-04 2012-09-13 Visa International Service Association Cloud service facilitator apparatuses, methods and systems
US9154826B2 (en) 2011-04-06 2015-10-06 Headwater Partners Ii Llc Distributing content and service launch objects to mobile devices
US9832183B2 (en) * 2011-04-19 2017-11-28 Early Warning Services, Llc Key management using quasi out of band authentication architecture
US9646291B2 (en) 2011-05-11 2017-05-09 Visa International Service Association Electronic receipt manager apparatuses, methods and systems
WO2012159191A1 (en) * 2011-05-20 2012-11-29 Research In Motion Limited Verifying passwords on a mobile device
WO2012167202A2 (en) 2011-06-03 2012-12-06 Visa International Service Association Virtual wallet card selection apparatuses, methods and systems
US8738925B1 (en) 2013-01-07 2014-05-27 Fitbit, Inc. Wireless portable biometric device syncing
US10121129B2 (en) 2011-07-05 2018-11-06 Visa International Service Association Electronic wallet checkout platform apparatuses, methods and systems
US9582598B2 (en) 2011-07-05 2017-02-28 Visa International Service Association Hybrid applications utilizing distributed models and views apparatuses, methods and systems
US9355393B2 (en) 2011-08-18 2016-05-31 Visa International Service Association Multi-directional wallet connector apparatuses, methods and systems
CN102868665B (zh) * 2011-07-05 2016-07-27 华为软件技术有限公司 数据传输的方法及装置
US10438176B2 (en) 2011-07-17 2019-10-08 Visa International Service Association Multiple merchant payment processor platform apparatuses, methods and systems
US10318941B2 (en) 2011-12-13 2019-06-11 Visa International Service Association Payment platform interface widget generation apparatuses, methods and systems
US10242358B2 (en) 2011-08-18 2019-03-26 Visa International Service Association Remote decoupled application persistent state apparatuses, methods and systems
US10825001B2 (en) 2011-08-18 2020-11-03 Visa International Service Association Multi-directional wallet connector apparatuses, methods and systems
US9710807B2 (en) 2011-08-18 2017-07-18 Visa International Service Association Third-party value added wallet features and interfaces apparatuses, methods and systems
US9117225B2 (en) 2011-09-16 2015-08-25 Visa International Service Association Apparatuses, methods and systems for transforming user infrastructure requests inputs to infrastructure design product and infrastructure allocation outputs
US10223730B2 (en) 2011-09-23 2019-03-05 Visa International Service Association E-wallet store injection search apparatuses, methods and systems
US10754913B2 (en) 2011-11-15 2020-08-25 Tapad, Inc. System and method for analyzing user device information
US8959604B2 (en) * 2011-11-25 2015-02-17 Synchronoss Technologies, Inc. System and method of verifying a number of a mobile terminal
US10096022B2 (en) 2011-12-13 2018-10-09 Visa International Service Association Dynamic widget generator apparatuses, methods and systems
US9953378B2 (en) 2012-04-27 2018-04-24 Visa International Service Association Social checkout widget generation and integration apparatuses, methods and systems
US10223710B2 (en) 2013-01-04 2019-03-05 Visa International Service Association Wearable intelligent vision device apparatuses, methods and systems
US10262148B2 (en) 2012-01-09 2019-04-16 Visa International Service Association Secure dynamic page content and layouts apparatuses, methods and systems
US11308227B2 (en) 2012-01-09 2022-04-19 Visa International Service Association Secure dynamic page content and layouts apparatuses, methods and systems
US8799165B2 (en) * 2012-01-11 2014-08-05 Rawllin International Inc. Electronic signature security algorithms
AU2013214801B2 (en) 2012-02-02 2018-06-21 Visa International Service Association Multi-source, multi-dimensional, cross-entity, multimedia database platform apparatuses, methods and systems
US10404615B2 (en) 2012-02-14 2019-09-03 Airwatch, Llc Controlling distribution of resources on a network
US9680763B2 (en) 2012-02-14 2017-06-13 Airwatch, Llc Controlling distribution of resources in a network
US9633201B1 (en) 2012-03-01 2017-04-25 The 41St Parameter, Inc. Methods and systems for fraud containment
US9930093B2 (en) * 2012-03-14 2018-03-27 International Business Machines Corporation Dynamic web session clean-up
US9521551B2 (en) 2012-03-22 2016-12-13 The 41St Parameter, Inc. Methods and systems for persistent cross-application mobile device identification
US9075978B2 (en) * 2012-04-23 2015-07-07 Sap Se Secure configuration of mobile applications
US9331995B2 (en) 2012-04-23 2016-05-03 Sap Se Secure configuration of mobile application
US9641239B2 (en) 2012-06-22 2017-05-02 Fitbit, Inc. Adaptive data transfer using bluetooth
WO2014022813A1 (en) 2012-08-02 2014-02-06 The 41St Parameter, Inc. Systems and methods for accessing records via derivative locators
US20150319613A1 (en) * 2012-08-25 2015-11-05 Viber Media Sarl Co-Activation For Authenticating A User's Registration
US9247432B2 (en) * 2012-10-19 2016-01-26 Airwatch Llc Systems and methods for controlling network access
WO2014078569A1 (en) 2012-11-14 2014-05-22 The 41St Parameter, Inc. Systems and methods of global identification
US9728059B2 (en) 2013-01-15 2017-08-08 Fitbit, Inc. Sedentary period detection utilizing a wearable electronic device
US9039614B2 (en) 2013-01-15 2015-05-26 Fitbit, Inc. Methods, systems and devices for measuring fingertip heart rate
CN103237005A (zh) * 2013-03-15 2013-08-07 福建联迪商用设备有限公司 密钥管理方法及系统
WO2014159862A1 (en) 2013-03-14 2014-10-02 Headwater Partners I Llc Automated credential porting for mobile devices
US20140280955A1 (en) 2013-03-14 2014-09-18 Sky Socket, Llc Controlling Electronically Communicated Resources
US9401915B2 (en) * 2013-03-15 2016-07-26 Airwatch Llc Secondary device as key for authorizing access to resources
US10902327B1 (en) 2013-08-30 2021-01-26 The 41St Parameter, Inc. System and method for device identification and uniqueness
WO2015034384A1 (en) 2013-09-04 2015-03-12 Churyumov Anton Nikolaevich Apparatus and method for authenticating a user via multiple user devices
NL2011717C2 (en) * 2013-10-31 2015-05-04 Ubiqu B V A first entity, a second entity, an intermediate node, methods for setting up a secure session between a first and second entity, and computer program products.
US9258331B2 (en) * 2013-12-27 2016-02-09 Trapezoid, Inc. System and method for hardware-based trust control management
US10305893B2 (en) 2013-12-27 2019-05-28 Trapezoid, Inc. System and method for hardware-based trust control management
US11990019B2 (en) 2014-02-27 2024-05-21 Fitbit, Inc. Notifications on a user device based on activity detected by an activity monitoring device
US9031812B2 (en) 2014-02-27 2015-05-12 Fitbit, Inc. Notifications on a user device based on activity detected by an activity monitoring device
US9288298B2 (en) 2014-05-06 2016-03-15 Fitbit, Inc. Notifications regarding interesting or unusual activity detected from an activity monitoring device
US10091312B1 (en) 2014-10-14 2018-10-02 The 41St Parameter, Inc. Data structures for intelligently resolving deterministic and probabilistic device identifiers to device profiles and/or groups
FR3030083B1 (fr) * 2014-12-12 2017-07-14 Cie Ind Et Financiere D'ingenierie Ingenico Procede d'authentification d'un utilisateur, serveur, terminal de communication et programmes correspondants
US9584964B2 (en) 2014-12-22 2017-02-28 Airwatch Llc Enforcement of proximity based policies
US9413754B2 (en) 2014-12-23 2016-08-09 Airwatch Llc Authenticator device facilitating file security
KR101686181B1 (ko) * 2015-01-12 2016-12-28 주식회사 엔터플 미리 지정된 url을 이용한 보안 통신 방법 및 장치
US11216468B2 (en) 2015-02-08 2022-01-04 Visa International Service Association Converged merchant processing apparatuses, methods and systems
CN104715404A (zh) * 2015-03-27 2015-06-17 北京圣世博泰科技股份有限公司 一种发票代开方法及装置
US9585015B2 (en) * 2015-04-21 2017-02-28 Motorola Solutions, Inc Method and apparatus for authentication of collaborative mobile devices
US10122709B2 (en) * 2015-05-12 2018-11-06 Citrix Systems, Inc. Multifactor contextual authentication and entropy from device or device input or gesture authentication
US10110566B2 (en) * 2015-07-21 2018-10-23 Baffle, Inc. Systems and processes for executing private programs on untrusted computers
CN105184176A (zh) * 2015-08-27 2015-12-23 安一恒通(北京)科技有限公司 用于电子设备的文件处理方法和装置
FR3042894B1 (fr) * 2015-10-27 2018-10-12 Ingenico Group Procede de securisation de traitement de donnees transactionnelles, terminal et programme d'ordinateur correspondant
CN105574378A (zh) * 2015-12-09 2016-05-11 小米科技有限责任公司 终端控制方法及终端控制装置
WO2017135942A1 (en) 2016-02-03 2017-08-10 Hewlett-Packard Development Company, L.P. Heartbeat signal verification
US10080530B2 (en) 2016-02-19 2018-09-25 Fitbit, Inc. Periodic inactivity alerts and achievement messages
CN108886519B (zh) * 2016-03-22 2021-09-14 皇家飞利浦有限公司 数据的云存储
US9801066B1 (en) * 2016-06-02 2017-10-24 Duo Security, Inc. Method for automatic possession-factor authentication
US9722803B1 (en) * 2016-09-12 2017-08-01 InfoSci, LLC Systems and methods for device authentication
US10419226B2 (en) 2016-09-12 2019-09-17 InfoSci, LLC Systems and methods for device authentication
US10686787B2 (en) * 2016-12-15 2020-06-16 Thales Dis France Sa Use of personal device for convenient and secure authentication
US11463439B2 (en) 2017-04-21 2022-10-04 Qwerx Inc. Systems and methods for device authentication and protection of communication on a system on chip
CN107122266B (zh) * 2017-05-24 2021-01-26 努比亚技术有限公司 一种备份资料的方法、设备及计算机可读存储介质
SG10201704772SA (en) * 2017-06-09 2019-01-30 Mastercard Asia Pacific Pte Ltd Method and system for authentication via audio transmission
US11019073B2 (en) * 2017-07-23 2021-05-25 AtScale, Inc. Application-agnostic resource access control
US20190238532A1 (en) * 2018-01-31 2019-08-01 Salesforce.Com, Inc. Authentication system utilizing secondary connection
US11463433B1 (en) * 2018-12-28 2022-10-04 Arpitha Chiruvolu Secure bearer-sensitive authentication and digital object transmission system and method for spoof prevention
CN110659522B (zh) * 2019-09-04 2020-11-10 广西电网有限责任公司防城港供电局 存储介质安全认证方法、装置、计算机设备和存储介质
KR20220071211A (ko) * 2019-10-02 2022-05-31 캐피탈 원 서비시즈, 엘엘씨 비접촉식 레거시 자기 스트라이프 데이터를 사용한 클라이언트 디바이스 인증
AU2020370497A1 (en) * 2019-10-23 2022-06-09 Signicat As Method and system for completing cross-channel transactions
JP2021128261A (ja) * 2020-02-14 2021-09-02 株式会社野村総合研究所 秘密分散ベースのマルチパーティ計算のための装置
WO2021189311A1 (en) * 2020-03-25 2021-09-30 Beijing Didi Infinity Technology And Development Co., Ltd. Read operation in object storage system using enhanced meta structure
US20220217136A1 (en) * 2021-01-04 2022-07-07 Bank Of America Corporation Identity verification through multisystem cooperation
CN113489719B (zh) * 2021-07-03 2023-05-23 深圳市泰壹格物信息技术有限公司 一种基于5g消息服务的人机验证应用系统
CN113486311B (zh) * 2021-07-22 2023-06-02 中国联合网络通信集团有限公司 访问授权方法及装置
CN114124374A (zh) * 2021-11-10 2022-03-01 郭胜群 一种通讯防重放方法及系统
US11709660B1 (en) 2022-10-12 2023-07-25 Stodge Inc. Integrated third-party application builder trigger for message flow

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1346108A (zh) * 2000-09-27 2002-04-24 梁鑫 一种电话网址及其建立方法和用途
CN1575580A (zh) * 2001-10-29 2005-02-02 太阳微系统公司 数据通信网络浏览的可移植性和隐私

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6985583B1 (en) * 1999-05-04 2006-01-10 Rsa Security Inc. System and method for authentication seed distribution
WO2001071525A1 (en) * 2000-03-23 2001-09-27 Tingo Inc. System and method for managing user-specific data
DE10124427A1 (de) * 2000-07-07 2002-01-17 Ibm System und Verfahren für einen sicheren Vergleich eines gemeinsamen Geheimnisses von Kommunikationsgeräten
US7373515B2 (en) 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
US7228417B2 (en) * 2002-02-26 2007-06-05 America Online, Inc. Simple secure login with multiple-authentication providers
US20030236983A1 (en) * 2002-06-21 2003-12-25 Mihm Thomas J. Secure data transfer in mobile terminals and methods therefor
US20040097217A1 (en) 2002-08-06 2004-05-20 Mcclain Fred System and method for providing authentication and authorization utilizing a personal wireless communication device
US7606560B2 (en) * 2002-08-08 2009-10-20 Fujitsu Limited Authentication services using mobile device
US7895443B2 (en) 2002-11-05 2011-02-22 Safenet, Inc. Secure authentication using hardware token and computer fingerprint
WO2004051964A2 (en) * 2002-12-03 2004-06-17 Funk Software, Inc. Tunneled authentication protocol for preventing man-in-the-middle attacks
US7299503B2 (en) * 2003-06-26 2007-11-20 International Business Machines Corporation Apparatus and method for location specific authentication using powerline networking
US20070186099A1 (en) 2004-03-04 2007-08-09 Sweet Spot Solutions, Inc. Token based two factor authentication and virtual private networking system for network management and security and online third party multiple network management method
WO2005107137A2 (en) * 2004-04-23 2005-11-10 Passmark Security, Inc. Method and apparatus for authenticating users using two or more factors
EP1650924B1 (en) * 2004-09-30 2007-03-21 Alcatel Mobile authentication for network access
US7379921B1 (en) * 2004-11-08 2008-05-27 Pisafe, Inc. Method and apparatus for providing authentication
US7870201B2 (en) 2004-12-03 2011-01-11 Clairmail Inc. Apparatus for executing an application function using a mail link and methods therefor
US8543814B2 (en) 2005-01-12 2013-09-24 Rpx Corporation Method and apparatus for using generic authentication architecture procedures in personal computers
JP4790731B2 (ja) 2005-02-18 2011-10-12 イーエムシー コーポレイション 派生シード
US7690026B2 (en) * 2005-08-22 2010-03-30 Microsoft Corporation Distributed single sign-on service
US20070136573A1 (en) 2005-12-05 2007-06-14 Joseph Steinberg System and method of using two or more multi-factor authentication mechanisms to authenticate online parties
EP1802155A1 (en) 2005-12-21 2007-06-27 Cronto Limited System and method for dynamic multifactor authentication
KR20070077569A (ko) 2006-01-24 2007-07-27 삼성전자주식회사 휴대폰을 이용한 일회용 패스워드 서비스 시스템 및 방법
NZ547903A (en) 2006-06-14 2008-03-28 Fronde Anywhere Ltd A method of generating an authentication token and a method of authenticating an online transaction
EP1881665B1 (en) 2006-07-20 2010-12-29 Research In Motion Limited System and method for provisioning device certificates

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1346108A (zh) * 2000-09-27 2002-04-24 梁鑫 一种电话网址及其建立方法和用途
CN1575580A (zh) * 2001-10-29 2005-02-02 太阳微系统公司 数据通信网络浏览的可移植性和隐私

Also Published As

Publication number Publication date
EP2304636B1 (en) 2018-08-01
US20090287921A1 (en) 2009-11-19
EP2304636A1 (en) 2011-04-06
CN102099810A (zh) 2011-06-15
EP2304636A4 (en) 2013-05-29
US8209744B2 (en) 2012-06-26
WO2009140663A1 (en) 2009-11-19

Similar Documents

Publication Publication Date Title
CN102099810B (zh) 移动设备辅助的安全计算机网络通信
TWI543574B (zh) 使用瀏覽器認證線上交易的方法
US7231526B2 (en) System and method for validating a network session
JP6012125B2 (ja) 問い合わせ型トランザクションによる強化された2chk認証セキュリティ
JP6105721B2 (ja) 企業トリガ式2chk関連付けの起動
JP4861417B2 (ja) 拡張ワンタイム・パスワード方法および装置
CN101662469B (zh) 基于USBKey网上银行交易信息认证的方法和系统
CN110995757B (zh) 加密装置、加密系统和数据的加密方法
US20080022085A1 (en) Server-client computer network system for carrying out cryptographic operations, and method of carrying out cryptographic operations in such a computer network system
CN102217277A (zh) 基于令牌进行认证的方法和系统
US20110119494A1 (en) Method and apparatus for sharing licenses between secure removable media
CN104767731A (zh) 一种Restful移动交易系统身份认证防护方法
WO2008109661A2 (en) Method and system for securely caching authentication elements
CA3098247A1 (en) Systems, methods, and devices for secure blockchain transaction and subnetworks
CN101420302A (zh) 安全认证方法和设备
JP4698751B2 (ja) アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム
KR101498120B1 (ko) 클라우드 공인인증 시스템 및 그 방법
US20100146605A1 (en) Method and system for providing secure online authentication
KR100892609B1 (ko) 보안 통신 시스템, 방법, 및 상기 방법을 실행시키기 위한컴퓨터 프로그램을 기록한 매체
US20080060060A1 (en) Automated Security privilege setting for remote system users
JP7000207B2 (ja) 署名システム
KR101490638B1 (ko) 스마트 카드 인증 방법, 이를 실행하는 서버 및 이를 실행하는 시스템
US12010228B2 (en) Systems, methods, and devices for secure blockchain transaction and subnetworks
KR101101190B1 (ko) 보안 통신 시스템, 방법, 및 상기 방법을 실행시키기 위한 컴퓨터 프로그램을 기록한 매체
KR20140047058A (ko) 클라우드 공인인증 시스템 및 그 제공방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: MICROSOFT TECHNOLOGY LICENSING LLC

Free format text: FORMER OWNER: MICROSOFT CORP.

Effective date: 20150525

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20150525

Address after: Washington State

Patentee after: Micro soft technique license Co., Ltd

Address before: Washington State

Patentee before: Microsoft Corp.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20131120

Termination date: 20200515

CF01 Termination of patent right due to non-payment of annual fee