CN102308515B - 转换静态密码系统以变为二因素认证 - Google Patents
转换静态密码系统以变为二因素认证 Download PDFInfo
- Publication number
- CN102308515B CN102308515B CN201080006702.0A CN201080006702A CN102308515B CN 102308515 B CN102308515 B CN 102308515B CN 201080006702 A CN201080006702 A CN 201080006702A CN 102308515 B CN102308515 B CN 102308515B
- Authority
- CN
- China
- Prior art keywords
- password
- factor
- authentication
- module
- remote system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Abstract
本发明提供将采用静态密码认证或一因素认证的任何系统转换为采用强大的二因素认证的系统和方法,其要求用户呈现静态密码和动态密码,而不用修改现有系统。
Description
技术领域
本发明涉及二因素认证,并具体地涉及在静态密码系统上实现二因素认证的系统和方法。
背景技术
在现代电子领域中,实现识别采用的途径主要基于预定因素,诸如“您知道的某物”(诸如密码、PIN号码等)、“您具有的某物”(诸如令牌、访问卡等)或者“您是某物”(诸如指纹、虹膜扫描等)。验证因素的验证处理通常认为是认证。例如,如果Alice和Bob将进行约会,则他们能够彼此识别,通过:i)知道会面时间和地点(第一因素认证);ii)识别他们驾驶的车辆的车牌(第二因素认证);以及iii)见面时认出彼此的面部和声音(第三因素认证)。自然地这种认证处理将不认真和严格进行,而是在每次他们会面时潜意识地进行。但是,如果Bob忘记时间但是仍然驾驶相同车辆,Alice不会像当Bob驾驶不同车辆时或者甚至Bob看起来不同时一样产生怀疑。
不同的认证因素的组合使得被识别人被准确认证具有很强的可能性。例如,如果系统仅仅要求用户提供秘密密码(一个因素认证)被识别,而另一系统要求用户提供密码密码和从唯一令牌产生的动态密码(二因素认证或者2FA),后一系统在认证用户上将被认为是更安全的系统。已经存在很多成功的攻击,诸如对仅采用一因素认证以确定用户身份的系统进行钓鱼和嫁接(pharming),并且这种攻击逐渐增多。
即使这样,采用一单数认证运行的系统远超过采用2FA的系统。2FA通常被金融机构等采用。一因素认证比2FA更受欢迎有很多原因。这些原因包括成本可行性、系统可行性、协议兼容性和用户可控制性。
很多2FA方案,诸如RSA、VASCO、DS3等已经存在商业应用。其能够在他们的后端系统集成以实现对它们的用户的二因素认证。集成2FA方案要求对现有系统的重大升级。因此,在现有系统上部署和维护2FA的成本可能超过得到的益处。这变为使组织放弃进行这种实施的主要因素。
尽管组织努力使它们的应用系统开放并且更新,不可避免地存在一些遗留应用或者专用系统,超出组织的控制以修改或者重配置。即使组织已经具有企业规模的2FA方案,这些系统将不能利用添加的安全性。
存在与2FA的使用不兼容的多个密码协议,例如,包括MicrosoftWindows Active Directory,世界上大多数系统的企业骨干的很多系统广泛使用的Kerberos不兼容2FA。在用户登录阶段,Kerberos网络认证协议要求操纵静态密码作为与Kerberos服务器的密钥交换的一部分。当用户必须提供静态密码以及动态密码以便发送到后端认证服务器时,协议与2FA方案不能良好工作。
存在可用的多个应对方案,其涉及修改Windows GINA登录处理以单独负责动态密码,但是这些应对方案部署起来很困难并且甚至更难维护。
至此,2FA的实施被留下成为系统拥有者的权限。如果系统拥有者选择不实施2FA来保护用户帐号,则用户除了选择更复杂的密码以及仅仅使用信任的机器来登录以外没有其他选择。
很明显,尽管来自用户的需求很多,但在因特网上诸如GMail、MSN、Yahoo、Facebook、MapleStory等的大多数因特网和Web 2.0服务不提供2FA。希望2FA保护其帐户的用户仅由系统拥有者所支配。
发明内容
本发明提供将采用静态密码认证或一因素认证的任何系统转换为采用强大的二因素认证的系统和方法,其要求用户呈现静态密码和动态密码,而不用修改现有系统。
在本发明的一个方面,本发明提供一种用于在采用静态密码认证或者一因素认证的现有系统上实现二因素认证或者多因素认证的系统。所述系统包括:令牌管理器,可操作用于跟踪用户的令牌并且产生第二认证因素;密码管理器,可访问现有系统,密码管理器可操作用于基于第一认证因素和第二认证因素形成新认证代码,其中第一认证因素是在现有系统上注册以便访问的认证代码,密码管理器利用在现有系统上当前注册的新认证代码替换第一认证因素。
在一个实施方式中,产生第二认证因素和用新认证代码替换第一认证因素是以预定间隔递归地被执行。
在另一实施方式中,令牌管理器基于第一认证因素产生第二认证因素。在又一实施方式中,第一认证因素包括静态密码并且第二认证因素包括动态密码。
在另一实施方式中,密码管理器通过改变密码操作用新认证代码代替第一认证因素。还有可能密码管理器通过设置/重置密码操作用新认证代码代替第一认证因素。
在另一实施方式中,系统相对于现有系统远程地存在。还有可能系统存在于现有系统上。但是,当密码管理器存在于现有系统上时,令牌管理器可以相对于现有系统远程地存在。
在另一实施方式中,系统可以是软件模块或者硬件模块,或者为这两者的组合。
根据本发明的另一方面,本发明提供一种用于在采用静态密码认证或者一因素认证的现有系统上实现二因素认证或者多因素认证的方法,所述方法包括:部署模块;通过现有系统跟踪用户的令牌;产生第二认证因素;基于第一认证因素和第二认证因素形成新认证代码,其中第一认证因素是在现有系统上注册的用于访问的认证代码;用现有系统上的新认证代码替换第一认证因素,由此访问现有系统的认证将基于新认证密码。
在一个实施方式中,产生第二认证因素和用新认证代码替换第一认证因素是以预定间隔递归地被执行。
在一个实施方式中,第一认证因素包括静态密码并且第二认证因素包括动态密码。还有可能第二认证因素是基于第一认证因素产生的。
在另一实施方式中,用新认证代码替换第一认证因素包括改变现有系统上注册的密码。还有可能用新认证代码替换第一认证因素包括设置/重置现有系统上注册的密码。
在又一实施方式中,模块被部署以相对于现有系统远程地存在。还有可能模块被部署为存在于现有系统上。
另外,模块可以是软件模块或者硬件模块,或者该两者的组合。
附图说明
下面将参照附图描述本发明的优选实施方式,其中类似附图标记指代类似元素。
图1是根据本发明的一个实施方式的二因素认证系统的功能框图。
图2是根据本发明的另一实施方式的二因素认证系统的功能框图。
图3是根据本发明的另一实施方式的二因素认证系统的功能框图。
图4是根据本发明的另一实施方式的二因素认证系统的功能框图。
图5是根据本发明的另一实施方式的二因素认证系统的功能框图。
图6是根据本发明的另一实施方式的二因素认证系统的功能框图。
图7是根据本发明的另一实施方式的二因素认证系统的功能框图。
具体实施方式
与上文发明内容一致,以下多个具体和替换实施方式是为了理解本发明的发明特征而提供的。然而,对本领域技术人员明显地,本发明可以实施而不用这些具体细节。一些细节可以不详细描述以不混淆本发明。为了便于参考,在整个说明书中,当指代对附图共同的相同或者类似特征时使用相同的附图标记。
本发明的目的是提供一种可以在已建立的系统,通常为一因素认证系统上实施的方案,以支持二因素认证(2FA)。期望在已建立的一因素认证系统上实现2FA而不要求对现有系统进行任何修改。本发明提供将采用静态密码认证或者一因素认证的现有系统转换为2FA系统的系统和方法。在一个实施方式中,转换的系统将要求用户呈现静态密码和动态密码以便认证,而不需要修改现有系统。
为了说明,静态密码是指用于认证的预定代码或者字符串。静态密码是通常在将被访问的现有系统中存储的第一认证因素。静态密码通常在全部时间是固定的直至被用户的请求改变。在另一方面,动态密码是指基于预设算法产生的第二认证因素。
图1是根据本发明的一个实施方式的2FA系统100的功能图。2FA系统100总体上包括两部分:前端用户110和后端系统120。为了简化,前端用户110将还指代用户110,并且后端系统120将还指代后端系统120。用户或者前端用户110在下文称为具有合法权利用识别代码访问访问受限资源的任何人。后端系统120包括后端模块121和现有系统125。后端模块121能够访问现有系统125,并且能够被提供对现有系统125的进资源和出资源。现有系统125是一因素或者静态密码认证系统。在登录处理之前,用户110被给予用于获得用户动态密码的令牌。
令牌可以是硬件装置,在装置上运行的软件模块、诸如SMS、email等经过任何可用途径发送的消息的形式,或者甚至刮刮卡或者包含密码序列的任何物理介质。通常,通过令牌提供的动态密码是一次性密码(OTP),其为以预定间隔或者任何预定条件变化的伪随机码。这些条件可以在具体时间或者间隔专门针对用户。本领域技术人员将理解令牌广泛用于2FA或者多因素认证,并且由此细节在此不提供以便简洁。
可操作地,在后端系统120侧,以常规预设间隔,在步骤122后端模块121计算动态密码。当动态密码被产生时,在步骤124后端模块进行“改变密码”操作以将在现有系统125上注册的当前注册密码以预限定格式的改变为新密码,包括静态密码和模块化动态密码。改变密码操作是通常特征允许用户在任何一因素认证系统上主动改变注册密码。在步骤126,新密码进一步记录在后端模块,使得能够基于先前获得的新密码获得随后的新密码。通过在现有系统125上规则地改变和更新包括静态密码和动态密码的新密码,现有系统125能够被更好地保护,因为在现有系统125上注册的密码包括两个或者更多个认证因素。
用户110的静态密码是在现有系统125上注册的记录的密码。用户110假设使用静态密码来访问基于一因素认证的现有系统125。静态密码还应该用后端模块121预记录以便产生新密码。在用户110主动改变静态密码的情况下,后端模块121需要用新静态密码更新。
新密码的预限定的形式可以是静态密码和动态密码两者的组合,例如,以连锁形式。为了提高安全性,新密码可以还被编码。
在用户110侧,在步骤112用户110请求登录现有系统125。在步骤114用户110接着调出针对用户110的静态密码以访问现有系统125并在步骤116通过令牌获得动态密码。在步骤118当静态密码和动态密码对用户110可用时,两个密码被以预定方式组合并且提供到现有系统125,例如连锁,以验证在现有系统125上记录的新密码。
通过令牌获得的动态密码应与后端模块121产生的动态密码相同或者相应。类似地,来自用户110的组合密码的预定方式将与在现有系统125上注册的新密码相同或者相应。因此,从用户110侧发送的组合密码被验证在现有系统125注册的新密码以便认证。应注意密码的验证和认证是在现有系统125上通过一因素或者静态密码认证进行的。因此,2FA在现有系统125上通过后端模块121实现并且由此明显地提高现有系统125的安全性。
后端模块121是独立于采用一因素认证系统的现有系统125工作的添加应用或者系统。其自动地包括第二因素或者更多因素到一因素认证系统而不需要修改现有系统125。还没有对现有系统125采用的协议的改变和修改。
在一个实施方式中,静态密码存储在后端模块121上使得静态密码可获取以便与第二(或者更多个)因素连锁以便认证。
本领域技术人员应理解本发明可以在大多数如果不是全部采用一因素认证的现有系统上应用。提供一模块,其能够在现有系统上部署以将认证扩展到两个或者更多个因素认证,由此增加访问的安全性。通常,用户经过诸如个人计算机、移动电话等的电子装置经过诸如因特网的通信网络访问系统。
图2是根据本发明的另一实施方式的2FA系统200的功能图。2FA系统200包括用户210和后端系统220。后端系统220包括后端模块221和现有系统225。可操作地,在步骤222,后端模块221以规则预设间隔计算动态密码。动态密码接着与注册的静态密码连锁以便形成新密码。在步骤224,新密码被设置/重置作为授权密码以便访问现有系统225。通常,这种操作(即设置/重置密码)要求管理员权限来设置新密码,其不同于图1例示的“改变密码”操作。因此,在步骤226,从用户210发送的连锁密码验证后端模块221设置的新密码以便认证。
在用户210侧,用户210被给予令牌。在步骤212,用户210请求登录现有系统225。在步骤214,用户210调出静态密码,并且在步骤216,用户激活令牌以产生动态密码。在步骤218,包括静态密码和动态密码的新密码能够被形成并且提供到现有系统225。因此,现有系统225可以验证来自用户210的密码对在现有系统225上当前注册的连锁密码。
本领域技术人员应理解后端模块221被提供以改变和更新在现有系统225上注册的记录密码为包括原始静态密码和产生的密码的新密码。通过改变在现有系统225上注册的密码以包括第二因素(即动态密码)以便认证,上述实施方式在现有的一因素认证系统上实现2FA,由此在一因素认证系统上模拟2FA。
为了说明目的,操作“改变密码”和“设置/重置密码”主要不同在于访问现有系统225的权限。如上文提到的,在大多数系统中,通常用户被给予用户权限来主动改变他们的密码。为了执行改变密码操作,用户将要求输入现有系统225上当前注册的密码。在另一方面,设置/重置密码操作通常可被现有系统225的管理员操作,由此要求管理员权限来进行这种操作。通常在管理员权限下,在现有系统225上注册的密码能够被改变而无需知道密码。因此,认识到在一因素认证系统上实现2FA将要求用包括第二认证因素的规则替换注册密码很重要。因此,2FA或者多因素认证能够在任何现有系统上实现无需采用的系统和/或协议上的任何重要升级或者修改。
图3是根据本发明的另一实施方式的2FA系统300的功能图。2FA系统300包括用户310和后端系统320。后端系统320包括后端模块321和现有系统325。可操作地,在步骤322,位于后端系统320上的后端模块321以规则预设间隔计算动态密码。在步骤324,后端模块321进行“改变密码”操作以通过提供记录的当前密码改变记录的当前密码为后端模块321产生的动态密码。因此,现有系统325等待用户310用动态密码登录。类似地,产生动态密码和改变记录的密码的操作被以预定周期/间隔递归地进行。
在用户310侧,用户310被给予令牌。在步骤312,用户310请求登录现有系统325。在步骤314,用户向令牌输入静态密码。在步骤316,令牌提供动态密码。在步骤318动态密码接着被提供到后端系统320以便认证。提供匹配的动态密码的用户被允许对现有系统325的访问。
返回步骤322,后端模块可以基于在后端系统320上注册的静态密码计算动态密码。还有可能一旦用户ID被验证,后端模块计算动态密码而不需要静态密码。在此情况下,向令牌输入静态密码可以被认为是第一认证因素,而动态密码被认为是第二认证因素。
在本实施方式中,尽管在现有系统325仅仅使用动态密码进行验证,但要求另一认证因素以产生动态密码,因此2FA也被实现。
图4是根据本发明的另一实施方式的2FA系统400的功能图。2FA系统400包括用户410和后端系统420。后端系统420还包括后端模块421和现有系统425。可操作地,在步骤422,以规则的预设间隔,后端模块421计算动态密码。在步骤424,“改变密码”操作被后端模块421进行以将现有密码改变为连锁密码。在产生动态密码(步骤422)之后的步骤426中,动态密码被按照要求远程地传递到用户410。因此,现有系统425等待用户410登录。
在用户410侧,用户被提供预先指定的方式,诸如移动电话号码或者电子邮件地址或者任何消息ID以接收动态密码。当在步骤426动态密码被传递时动态密码被经过预先指定的方式远程地提供给用户410。用户410能够经过任何可用服务获得动态密码,例如产生的动态密码可以从后端模块421经过SMS或者email或者在线消息传递给用户410。在现有系统425上的密码被改变的时间点,在步骤416用户410从后端模块421接收动态密码。为了登录,在步骤414用户410调出先前用现有系统425注册的静态密码并且在步骤418与动态密码连锁。在步骤428连锁的密码接着被提供给现有系统421以便认证。
如以上实施方式中所示,2FA或者多因素认证能够在一因素认证或者静态密码认证系统上实现经过部署模块而无需修改或者改变现有系统的现有架构和协议。模块包括令牌管理器和密码管理器。令牌管理器是用于跟踪用户的令牌并且产生对应的动态密码而提供。令牌管理器适用于确保所产生的动态密码是新的并且同步。密码管理器适用于当要求认证时取得和替换现有密码为新密码。密码替换能够经过改变密码操作或者设置/重置密码操作进行。根据部署的类型,密码管理器可以要求存储/恢复原始密码。部署的类型可以是本地部署或者远程部署。
图5例示根据本发明的一个实施方式的2FA部署500的框图。2FA部署500在允许用户520访问的目标系统510上实现。目标系统510是采用静态密码或者一因素认证的系统。后端模块530在可访问目标系统510的远程系统上部署以便实现和模拟2FA。远程系统能够是外部装置提供商用于实现2FA系统。后端模块530适用于经过“改变密码”操作实现2FA。在此情况下,用户可以通过其上提供的令牌管理服务访问远程系统管理他们自身的动态令牌。本实施方式对于因特网和诸如Gmail的Web 2.0上的系统是期望的。
图6例示根据本发明的替换实施方式的2FA部署600的框图。以类似图5的2FA部署的方式2FA部署600在允许用户访问的目标系统610上实现,只是2FA部署600的后端模块630集成在目标系统610上之外。集成的2FA部署600性能更好并且处理开销更低。尽管不限于,2FA部署600适用于对目标系统610自身具有完全控制的企业,例如MicrosoftWindows Active Directory。针对用户的令牌管理等将有可能取决于管理员。
在本发明的又一实施方式中,提供如图7所示的2FA部署700。通过本地集成后端模块的密码管理器740,但是后端模块的令牌管理器730被远程地设置,2FA部署700在目标系统710上实现。当用户720请求登录时,密码管理器740可操作用于连接到令牌管理器以获得针对密码720的更新的密码。新密码将被产生以对用户720进行认证。类似地,密码管理器740可以进行“改变密码”以将当前注册的密码替换为新密码以便认证。该部署700适用于具有之上要求实现二因素认证的多个目标系统的企业。
添加模块的变化可以是将令牌管理放置在目标系统之外,并且保持改变密码部件在目标系统之内。以规则间隔,改变密码部件将连接到令牌管理服务以获得针对用户的更新的密码,并且设置针对用户的密码。这种设置适用于存在多个目标系统的企业。
本发明适用于将一单数认证系统转换为2FA系统。然而本领域技术人员理解本发明能够将任何现有系统(包括以建立的2FA系统)转换为多因素认证系统,不用对以上任何实施方式进行修改。
尽管已经描述和例示了本发明,应理解可以对本发明进行很多变化、修改、改变、和其组合而不背离本发明。
Claims (15)
1.一种部署在设备上的模块,用于在适应静态密码认证或者一因素认证的现有远程系统上实现二因素认证或者多因素认证,而无需修改和改变所述现有远程系统的现有认证架构,所述模块包括:
令牌管理器,可操作用于跟踪用户的令牌并且产生第二认证因素;
密码管理器,可访问所述现有远程系统,所述密码管理器可操作用于形成包括在所述现有远程系统上注册的第一认证因素和所述令牌管理器产生的所述第二认证因素的新认证代码,以及在所述现有远程系统上用所述新认证代码替换所述第一认证因素。
2.根据权利要求1所述的模块,其中所述第一认证因素包括静态密码并且所述第二认证因素包括动态密码。
3.根据权利要求1所述的模块,其中所述密码管理器通过改变密码操作来用所述新认证代码代替所述第一认证因素。
4.根据权利要求1所述的模块,其中所述密码管理器通过设置/重置密码操作来用所述新认证代码代替所述第一认证因素。
5.根据权利要求1所述的模块,其中所述模块相对于所述现有远程系统远程地存在。
6.根据权利要求1所述的模块,其中所述模块存在于所述现有远程系统上。
7.根据权利要求1所述的模块,其中所述令牌管理器相对于所述现有远程系统远程地存在,并且所述密码管理器存在于所述现有远程系统上。
8.根据权利要求1所述的模块,其中所述模块是软件模块。
9.根据权利要求1所述的模块,其中所述模块是硬件模块。
10.一种在设备上操作实施的方法,用于在适应静态密码认证或者一因素认证的现有远程系统上实现二因素认证或者多因素认证,所述方法包括:
部署模块,所述模块包括所述设备上的令牌管理器和密码管理器;
通过所述令牌管理器在所述现有远程系统上跟踪用户的令牌;
通过所述令牌管理器产生第二认证因素;
通过所述密码管理器形成包括在所述现有远程系统上注册的第一认证因素和所述令牌管理器产生的所述第二认证因素的新认证代码;
通过密码改变或重置操作,由所述密码管理器在所述现有远程系统上利用所述新认证代码替换所述第一认证因素,
由此当要求所述用户仅输入所述第一认证因素时,对访问所述现有远程系统的认证将基于所述新认证代码。
11.根据权利要求10所述的方法,其中所述第一认证因素包括静态密码并且所述第二认证因素包括动态密码。
12.根据权利要求10所述的方法,其中所述模块被部署以相对于所述现有远程系统远程地存在。
13.根据权利要求10所述的方法,其中所述模块被部署为存在于所述现有远程系统上。
14.根据权利要求10所述的方法,其中所述模块是软件模块。
15.根据权利要求10所述的方法,其中所述模块是硬件模块。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14971009P | 2009-02-04 | 2009-02-04 | |
| US61/149,710 | 2009-02-04 | ||
| PCT/SG2010/000038 WO2010090602A1 (en) | 2009-02-04 | 2010-02-04 | Transforming static password systems to become 2-factor authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102308515A CN102308515A (zh) | 2012-01-04 |
| CN102308515B true CN102308515B (zh) | 2015-01-28 |
Family
ID=42398805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080006702.0A Expired - Fee Related CN102308515B (zh) | 2009-02-04 | 2010-02-04 | 转换静态密码系统以变为二因素认证 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8341698B2 (zh) |
| EP (1) | EP2394389B1 (zh) |
| JP (1) | JP6061122B2 (zh) |
| KR (2) | KR101803244B1 (zh) |
| CN (1) | CN102308515B (zh) |
| CA (1) | CA2751138C (zh) |
| WO (1) | WO2010090602A1 (zh) |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8656473B2 (en) * | 2009-05-14 | 2014-02-18 | Microsoft Corporation | Linking web identity and access to devices |
| CN102104484A (zh) * | 2009-12-22 | 2011-06-22 | 鸿富锦精密工业(深圳)有限公司 | 电子设备及密码保护方法 |
| US8649766B2 (en) | 2009-12-30 | 2014-02-11 | Securenvoy Plc | Authentication apparatus |
| US9021562B1 (en) | 2010-02-26 | 2015-04-28 | United Services Automobile Association | Systems and methods for secure logon |
| US8677461B2 (en) * | 2011-04-21 | 2014-03-18 | Lsi Corporation | Method to provide chip based security for I/O packets in an array using dynamic topology |
| US9374349B1 (en) * | 2011-09-08 | 2016-06-21 | The Boeing Company | Methods and credential servers for controlling access to a computer system |
| KR20130104515A (ko) * | 2012-03-14 | 2013-09-25 | 에스케이플래닛 주식회사 | 서비스 사용자 인증 시스템 및 방법 |
| WO2014128751A1 (ja) * | 2013-02-19 | 2014-08-28 | 株式会社ブリリアントサービス | ヘッドマウントディスプレイ装置、ヘッドマウントディスプレイ用プログラム、およびヘッドマウントディスプレイ方法 |
| US9270649B1 (en) * | 2013-03-11 | 2016-02-23 | Emc Corporation | Secure software authenticator data transfer between processing devices |
| US9305161B1 (en) * | 2013-06-24 | 2016-04-05 | Emc Corporation | Password hardening system using password shares distributed across multiple servers |
| KR101561499B1 (ko) * | 2014-11-27 | 2015-10-20 | 주식회사 미래테크놀로지 | 엔에프씨 인증카드를 이용한 인증방법 |
| US11615199B1 (en) * | 2014-12-31 | 2023-03-28 | Idemia Identity & Security USA LLC | User authentication for digital identifications |
| DE102015010228A1 (de) * | 2015-08-12 | 2017-02-16 | Veridos Gmbh | Verfahren zum sicheren Zurücksetzen einer gesperrten Benutzerauthentisierung |
| US9779230B2 (en) * | 2015-09-11 | 2017-10-03 | Dell Products, Lp | System and method for off-host abstraction of multifactor authentication |
| CN106656907B (zh) * | 2015-10-28 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 用于认证的方法、装置、终端设备及系统 |
| CN105681044A (zh) * | 2015-12-25 | 2016-06-15 | 张晓峰 | 一种把密码或验证码作为顺序号验证码识别系统 |
| TWI560567B (en) * | 2016-02-03 | 2016-12-01 | Shiow Lin Hwu | Password-transforming method |
| CN107086907B (zh) | 2016-02-15 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的密钥同步、封装传递方法及装置 |
| CN107086908B (zh) | 2016-02-15 | 2021-07-06 | 阿里巴巴集团控股有限公司 | 一种量子密钥分发方法及装置 |
| CN107347058B (zh) | 2016-05-06 | 2021-07-23 | 阿里巴巴集团控股有限公司 | 数据加密方法、数据解密方法、装置及系统 |
| CN107370546B (zh) | 2016-05-11 | 2020-06-26 | 阿里巴巴集团控股有限公司 | 窃听检测方法、数据发送方法、装置及系统 |
| CN107404461B (zh) | 2016-05-19 | 2021-01-26 | 阿里巴巴集团控股有限公司 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
| CN107959656B (zh) | 2016-10-14 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 数据安全保障系统及方法、装置 |
| CN107959567B (zh) | 2016-10-14 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据存储方法、数据获取方法、装置及系统 |
| US10505946B2 (en) * | 2016-11-15 | 2019-12-10 | Vmware, Inc. | Adaptive token cache management |
| US20180145957A1 (en) * | 2016-11-22 | 2018-05-24 | Ca, Inc. | User-defined dynamic password |
| US10164778B2 (en) | 2016-12-15 | 2018-12-25 | Alibaba Group Holding Limited | Method and system for distributing attestation key and certificate in trusted computing |
| CN108667608B (zh) | 2017-03-28 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据密钥的保护方法、装置和系统 |
| CN108667773B (zh) | 2017-03-30 | 2021-03-12 | 阿里巴巴集团控股有限公司 | 网络防护系统、方法、装置及服务器 |
| CN108736981A (zh) | 2017-04-19 | 2018-11-02 | 阿里巴巴集团控股有限公司 | 一种无线投屏方法、装置及系统 |
| KR102413638B1 (ko) * | 2017-05-30 | 2022-06-27 | 삼성에스디에스 주식회사 | 인증 서비스 시스템 및 방법 |
| KR101953223B1 (ko) | 2017-09-01 | 2019-02-28 | (주) 시큐어가드테크놀러지 | 생체정보를 활용하는 2-요소 인증 방식의 로그인 방법 및 이를 적용한 컴퓨터로 읽을 수 있는 저장매체 |
| US10068082B1 (en) * | 2017-11-16 | 2018-09-04 | Fmr Llc | Systems and methods for maintaining split knowledge of web-based accounts |
| CN109450620B (zh) | 2018-10-12 | 2020-11-10 | 创新先进技术有限公司 | 一种移动终端中共享安全应用的方法及移动终端 |
| CN110691085B (zh) * | 2019-09-21 | 2022-04-19 | RealMe重庆移动通信有限公司 | 登录方法、装置、密码管理系统及计算机可读介质 |
| US11792184B2 (en) | 2019-12-05 | 2023-10-17 | Microsoft Technology Licensing, Llc | Autopilot re-enrollment of managed devices |
| US11429519B2 (en) | 2019-12-23 | 2022-08-30 | Alibaba Group Holding Limited | System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855810A (zh) * | 2005-04-26 | 2006-11-01 | 上海盛大网络发展有限公司 | 动态密码认证系统、方法及其用途 |
| WO2007136277A1 (en) * | 2006-05-18 | 2007-11-29 | Fronde Anywhere Limited | Authentication method for wireless transactions |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US200900A (en) * | 1878-03-05 | Improvement in banjos | ||
| US13402A (en) * | 1855-08-07 | Forming screw-threads | ||
| US3806874A (en) * | 1972-04-11 | 1974-04-23 | Gretag Ag | Identification system for individuals |
| IL64675A0 (en) * | 1981-12-30 | 1982-03-31 | Greenberg Avigdor | Data verification system |
| US4885778A (en) * | 1984-11-30 | 1989-12-05 | Weiss Kenneth P | Method and apparatus for synchronizing generation of separate, free running, time dependent equipment |
| US4720860A (en) * | 1984-11-30 | 1988-01-19 | Security Dynamics Technologies, Inc. | Method and apparatus for positively identifying an individual |
| US4800590A (en) * | 1985-01-14 | 1989-01-24 | Willis E. Higgins | Computer key and computer lock system |
| US5097505A (en) * | 1989-10-31 | 1992-03-17 | Securities Dynamics Technologies, Inc. | Method and apparatus for secure identification and verification |
| DE555219T1 (de) * | 1990-10-19 | 1996-11-28 | Security Dynamics Techn | Verfahren und einrichtung zur personenidentifikation. |
| US5657388A (en) * | 1993-05-25 | 1997-08-12 | Security Dynamics Technologies, Inc. | Method and apparatus for utilizing a token for resource access |
| KR20000066231A (ko) * | 1999-04-14 | 2000-11-15 | 유춘열 | 시간, 장소에 따라 변하는 가변 암호 체계 |
| WO2002023970A2 (fr) * | 2000-09-20 | 2002-03-28 | Mengfu Ci | Procede d'identification totalement dynamique sans identificateur |
| US7600128B2 (en) * | 2001-02-14 | 2009-10-06 | 5Th Fleet, Llc | Two-factor computer password client device, system, and method |
| JP3662511B2 (ja) * | 2001-04-25 | 2005-06-22 | 富士通フロンテック株式会社 | カード決済端末装置及びカード決済端末装置の電源投入方法 |
| GB2387254B (en) | 2002-04-05 | 2005-11-23 | Armoursoft Ltd | User authentication for computer systems |
| CA2494299C (en) * | 2002-08-06 | 2013-10-08 | Privaris, Inc. | Methods for secure enrollment and backup of personal identity credentials into electronic devices |
| EP1639421A1 (en) * | 2003-06-19 | 2006-03-29 | Koninklijke Philips Electronics N.V. | Method and apparatus for authenticating a password |
| US20050228993A1 (en) * | 2004-04-12 | 2005-10-13 | Silvester Kelan C | Method and apparatus for authenticating a user of an electronic system |
| WO2005107137A2 (en) * | 2004-04-23 | 2005-11-10 | Passmark Security, Inc. | Method and apparatus for authenticating users using two or more factors |
| WO2007017878A2 (en) * | 2005-08-11 | 2007-02-15 | Sandisk Il Ltd. | Extended one-time password method and apparatus |
| US20070107050A1 (en) * | 2005-11-07 | 2007-05-10 | Jexp, Inc. | Simple two-factor authentication |
| US8245292B2 (en) * | 2005-11-16 | 2012-08-14 | Broadcom Corporation | Multi-factor authentication using a smartcard |
| US20070136573A1 (en) * | 2005-12-05 | 2007-06-14 | Joseph Steinberg | System and method of using two or more multi-factor authentication mechanisms to authenticate online parties |
| JP2007249805A (ja) * | 2006-03-17 | 2007-09-27 | Internatl Business Mach Corp <Ibm> | 電子認証方法及び電子認証システム |
| US7841000B2 (en) * | 2006-10-16 | 2010-11-23 | Lenovo (Singapore) Pte. Ltd. | Authentication password storage method and generation method, user authentication method, and computer |
| US8041954B2 (en) * | 2006-12-07 | 2011-10-18 | Paul Plesman | Method and system for providing a secure login solution using one-time passwords |
| US20090007243A1 (en) * | 2007-06-27 | 2009-01-01 | Trusteer Ltd. | Method for rendering password theft ineffective |
| US20090235346A1 (en) * | 2007-07-19 | 2009-09-17 | Joseph Steinberg | System and method for augmented user and site authentication from mobile devices |
-
2010
- 2010-02-04 CN CN201080006702.0A patent/CN102308515B/zh not_active Expired - Fee Related
- 2010-02-04 JP JP2011547871A patent/JP6061122B2/ja not_active Expired - Fee Related
- 2010-02-04 KR KR1020177002505A patent/KR101803244B1/ko active IP Right Grant
- 2010-02-04 EP EP10738828.2A patent/EP2394389B1/en active Active
- 2010-02-04 CA CA2751138A patent/CA2751138C/en not_active Expired - Fee Related
- 2010-02-04 KR KR1020117020179A patent/KR20110126124A/ko active Search and Examination
- 2010-02-04 US US12/699,888 patent/US8341698B2/en not_active Expired - Fee Related
- 2010-02-04 WO PCT/SG2010/000038 patent/WO2010090602A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855810A (zh) * | 2005-04-26 | 2006-11-01 | 上海盛大网络发展有限公司 | 动态密码认证系统、方法及其用途 |
| WO2007136277A1 (en) * | 2006-05-18 | 2007-11-29 | Fronde Anywhere Limited | Authentication method for wireless transactions |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2751138A1 (en) | 2010-08-12 |
| KR20110126124A (ko) | 2011-11-22 |
| EP2394389B1 (en) | 2019-12-04 |
| KR101803244B1 (ko) | 2017-11-29 |
| CA2751138C (en) | 2018-06-19 |
| US20100199336A1 (en) | 2010-08-05 |
| EP2394389A1 (en) | 2011-12-14 |
| US8341698B2 (en) | 2012-12-25 |
| CN102308515A (zh) | 2012-01-04 |
| JP6061122B2 (ja) | 2017-01-18 |
| JP2012517139A (ja) | 2012-07-26 |
| KR20170015543A (ko) | 2017-02-08 |
| WO2010090602A1 (en) | 2010-08-12 |
| EP2394389A4 (en) | 2014-12-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102308515B (zh) | 转换静态密码系统以变为二因素认证 | |
| US9628472B1 (en) | Distributed password verification | |
| CN102301642B (zh) | 安全交易认证 | |
| KR101233401B1 (ko) | 네트워크 인증 방법 및 그를 구현 하기 위한 장치 | |
| CN108804906B (zh) | 一种用于应用登陆的系统和方法 | |
| CN101379762B (zh) | 处理用于简单网络管理协议的认证和权限的系统和方法 | |
| EP1829281B1 (en) | Authentication device and/or method | |
| WO2020172619A1 (en) | User authentication with self-signed certificate and identity verification | |
| CN102598577A (zh) | 使用云认证进行认证 | |
| KR102116235B1 (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 | |
| CN107302539A (zh) | 一种电子身份注册及认证登录的方法及其系统 | |
| CN104025505A (zh) | 用于管理用户认证的方法、装置和系统 | |
| CN103067399A (zh) | 无线发射/接收单元 | |
| CN101669128A (zh) | 级联认证系统 | |
| EP1542135B1 (en) | A method which is able to centralize the administration of the user registered information across networks | |
| CN109257381A (zh) | 一种密钥管理方法、系统及电子设备 | |
| KR102216285B1 (ko) | 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버 | |
| KR20200110118A (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 | |
| JP5434441B2 (ja) | 認証id管理システム及び認証id管理方法 | |
| KR20190114424A (ko) | 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버 | |
| JP2000105747A (ja) | シングルログイン方式のための画面制御方法 | |
| KR20200062098A (ko) | 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버 | |
| CN103870736A (zh) | 用于互联网访问控制的个人信息安全保护装置和访问方法 | |
| JP2005157571A (ja) | 情報処理装置、機器、情報処理システム、認証プログラム及び記録媒体 | |
| US20220353073A1 (en) | Method for authenticating an end-user account, method for single authenticating within a cluster of hsm, and method for implementing access control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1164580 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1164580 Country of ref document: HK |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150128 Termination date: 20210204 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |