CN103155513A - 加速认证的方法和装置 - Google Patents
加速认证的方法和装置 Download PDFInfo
- Publication number
- CN103155513A CN103155513A CN2011800465253A CN201180046525A CN103155513A CN 103155513 A CN103155513 A CN 103155513A CN 2011800465253 A CN2011800465253 A CN 2011800465253A CN 201180046525 A CN201180046525 A CN 201180046525A CN 103155513 A CN103155513 A CN 103155513A
- Authority
- CN
- China
- Prior art keywords
- user
- data
- certificate
- message
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Information Transfer Between Computers (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
用于加速认证的技术包括接收第一数据,其指示用于第一用户的用户证书的第一部分而非用于所述第一用户的用户证书的第二部分。验证所述用户证书的第一部分是否有效。如果所述用户证书的第一部分有效,则发送第二数据,其指示用于所述第一用户的用户证书的第二部分的有效值。其他技术包括接收第一数据,其指示用于第一用户的用户证书的第一部分而非用于所述第一用户的用户证书的第二部分。在接收到指示用于所述第一用户的用户证书的第二部分之前,向远程过程发送指示所述用户证书的第一部分的第一消息,所述远程过程根据所述用户证书的第一部分启动对所述第一用户的认证。
Description
背景技术
服务提供商和设备制造商(例如,无线、蜂窝服务提供商和设备制造商)不断受到挑战,例如通过提供引人注目的网络服务来向消费者提供价值和便捷性。许多消费者网络服务需要用户认书以便向用户提供特定内容和服务。在客户应用的某种专用认证(authentication)用户界面中,用户被提示填写用户名、密码和可能的其他信息。当用户已经提供所有这样的信息时,客户应用在网络的安全通信信道上将它或它的一个变换提交给认证服务。认证服务器根据认证数据库验证该信息。如果成功,则认证服务器返回一访问令牌,其能够被用于在预定时间内获得网络服务。这个过程较长,因为:用户填写认证用户界面通常要花费几秒时间,特别是在具有较小或屏幕键盘的移动设备上;在移动电话上建立数据信道并接着与网络服务其建立安全会话由于客户端和服务器之间的多个往返通常也要花费几秒时间;认证服务在通常包含有数百万用户的数据库中定位该用户的信息要花费几百毫秒时间;并且网络服务在成功认证后满足由客户应用做出的请求要花费几百毫秒时间。当寄放(host)网络和认证服务的服务或设备忙时,后两个部分通常要花费额外时间。在这个漫长的过程中,用户设备不太可用于执行其他用户启动功能,从而浪费了用户设备的处理能力和带宽。
发明内容
从而,需要一种方法来加速认证和服务响应。
根据一个实施例,一种方法包括接收第一数据,其指示用于第一用户的用户证书的第一部分,但未指示用于该第一用户的用户证书的第二部分。用户证书被用于认证一个用户。该方法还包括在接收指示用于该第一用户的用户证书的第二部分的第二数据之前,根据用户证书的第一部分,确定向启动该第一用户的认证的远程过程发送第一消息,该第一消息指示该用户证书的第一部分。
根据另一个实施例,一种方法包括接收第一数据,其指示用于第一用户的用户证书的第一部分,但未指示用于该第一用户的用户证书的第二部分。该方法还包括判断用户证书的第一部分是否有效。该方法还包括当用户证书的第一部分有效时,确定发送第二数据,其指示用于该第一用户的用户证书的第二部分的有效值。
根据另一个实施例,一种方法包括方便访问被配置为允许访问至少一个服务的至少一个接口,该至少一个服务被配置为至少执行上述方法中的一个的步骤。
根据另一个实施例,一种装置包括至少一个处理器、和包含有计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为,用至少一个处理器,至少部分地使得该装置至少执行上述方法中的一个的步骤。
根据另一个实施例,一种装置包括用于至少执行上述方法中的一个的每个步骤的装置。
根据另一个实施例,一种计算机可读存储媒体携带有一个或多个指令的一个或多个序列,所述指令当由一个或多个处理器执行时,至少部分地使得该装置至少执行上述方法中的一个的步骤。
根据另一个实施例,一种计算机程序产品包括一个或多个指令的一个或多个序列,所述指令当由一个或多个处理器执行时,至少部分地使得该装置至少执行上述方法中的一个的步骤。
通过下面的详细说明,简单地通过描述若干特定实施例和实现,包括被认为是实现本发明的最佳模式,本发明的另一些其他方面,特征和优点是显而易见的。本发明也能够具有其他和不同的实施例,且其若干细节可在各种明显的方面被修改,这些都没有脱离本发明的精神和范围。因此,附图和说明被认为在本质上是说明性的,而不是限制性的。
附图说明
作为例子,但不作为限制,在后面的附图中说明了本发明的实施例:
图1是根据一个实施例能够实现加速认证的系统的图;
图2是根据一个实施例用户认证网络服务的时序图;
图3A是根据另一个实施例的加速认证的时序图;
图3B是根据另一个实施例的加速认证的时序图;
图4A是根据一个实施例的服务请求消息的图;
图4B是根据一个实施例的认证成功消息的图;
图4C是根据一个实施例的服务响应消息的图;
图5是根据一个实施例的加速认证服务过程的流程图;
图6是根据一个实施例的加速认证客户端过程的流程图;
图7A-7B是根据多个实施例在过程中利用的用户界面的图;
图8是根据一个实施例的加速认证代理过程的流程图;
图9是可被用于实现本发明实施例的硬件的图;
图10是可被用于实现本发明实施例的芯片组的图;
图11是被用于实现本发明实施例的移动终端(例如手机)的图。
具体实施方式
公开了用于加速认证的方法、装置和计算机程序的例子。在下面说明中,为了解释的目的,许多特定细节被描述以提供对本发明实施例的全面理解。然而,本领域的技术人员知道无需这些特定细节或用等同的安排,本发明的实施例也可以被实现。在其他情况下,为了避免不必要地模糊本发明的实施例,公知的结构和设备以框图的形式被示出。
图1是根据一个实施例的能够实现加速认证的系统100的图。许多消费者网络服务110a至110n(在后面被统称为网络服务110)请求用户认证以便提供用户特定内容和服务。在用户设备101上的客户应用114或万维网浏览器107中的某个专用认证用户界面(UI)上,用户被提示填写用户名、密码和可能的其他信息,其一起构成用户证书。当用户已经提供所有这些信息时,客户应用或浏览器在网络105上的安全通信信道中,直接或间接地通过对应网络服务110将它或它的一变换提交给认证服务120。认证服务120对照认证数据存储122(例如数据库)验证该信息。如果成功,则认证服务120返回一访问令牌,其能够被用于在预定时间内从一个或多个网络服务110获取服务。如在之前部分描述的那样,这个过程较长,特别是当一个或多个网络服务110或认证服务120忙时或当网络105拥塞时。对于移动设备来说,这个过程会更长,该移动设备首先花费时间来与无线基站建立数据网络并接着花费额外时间来在这个数据信道上例如使用传输层安全(TLS)协议建立安全会话。在这个漫长的过程中,用户设备,例如UE101,不太可用于执行其他用户启动的功能,从而浪费了UE101上的处理能力和带宽。由网络服务110提供给UE101的用户的个性化服务在某种程度上由存储在网络服务110a至110n各自中的用户简档数据存储112a至112n(在后面被统称为用户简档数据存储112)中的用户简档数据来确定。当认证数据存储122或用户简档数据存储112变得较大时,要花费更多时间来查找这些数据存储以提供认证或其他个性化服务。
为解决这个问题,通过配置加速认证模块130、或网络服务110a至110n中各自的加速认证代理134a至134n(在后面被统称为加速认证代理134)、或加速认证客户端136、或某种组合来执行一个或多个认证或网络服务功能或这两者,图1的系统100引入加速用于网络服务的认证的能力,而用户仍在UE101中输入证书。在某些实施例中,加速认证模块130的一个或多个功能通过应用编程接口132被访问。
如图1所示,系统100包含用户设备(UE)101,其通过通信网络105连接到网络服务110和认证服务120。作为例子,系统100的通信网络105包括一个或多个网络,诸如数据网络(未示出)、无线网络(未示出)、电话网络(未示出)、或它们的任何组合。可以设想,数据网络可以是任何局域网(LAN)、城域网(MAN)、广域网(WAN)、公共数据网络(例如互联网)、短距无线网或任何其他适当的分组交换网络,诸如商业拥有的专有分组交换网络,例如专有电缆或光缆网络等,或它们的任何组合。另外,无线网络例如可以是蜂窝网络并可以应用多种技术,包括用于全球演进的增强数据率(EDGE)、通用分组无线电服务(GPRS)、移动通信全球系统(GSM)、互联网协议多媒体子系统(IMS)、通用移动电信系统(UMTS)等,以及其他任何适当的无线媒体,例如全球微波接入互操作性(WiMAX)技术、长期演进(LTE)网络、码分多址(CDMA)、宽带码分多址(WCDMA),无线高保真(WiFi),无线LAN(WLAN)、蓝牙
网际协议(IP)数据广播(data casting)、卫星、移动即兴(ad-hoc)网络(MANET)等,以及它们的任何组合。
UE101是任何类型的移动终端、固定终端、或包括移动手机的便携式终端、站、单元、设备、多媒体计算机、多媒体平板计算机、互联网节点、通信器、桌上型计算机、膝上型计算机、笔记本计算机、上网本、平板计算机、个人通信系统(PCS)设备、个人导航设备、个人数字助理(PDA)、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、无线广播接收器、电子书设备、游戏设备或它们的任何组合,包括这些设备的附件和外围设备或它们的任何组合。还可以设想,UE101可支持任何类型的用户界面(诸如“可佩带”电路等)。
作为例子,使用公知的、新的或仍在开发的协议,UE101、网络服务110和认证服务120彼此并和通信网络105的其他组件相互进行通信。在本上下文中,协议包含一组规则,其定义通信网络105中的网络节点根据在通信链路上发送的信息如何彼此进行交互。协议在每个节点中的不同操作层有效,从生成和接收各种类型的物理信号,到选择用于传输这些信号的链路,到由这些信号所指示的信息格式,到识别计算机系统上运行的哪个软件应用发送或接收信息。用于在网络上交换信息的概念性不同协议层在开放系统互联(OSI)参考模型中被描述。
网络节点之间的通信通常通过交换离散的数据包来实现。每个包通常包括(1)与特定协议有关的报头信息,和(2)有效荷载信息,其跟在报头信息后并包含可独立于该特定协议被处理的信息。在某些协议中,包包含(3)尾部信息,其跟在有效荷载之后并指示有效荷载信息的结束。报头包含信息,诸如包的源、它的目标、有效荷载的长度和协议使用的其他属性。通常,用于特定协议的有效荷载中的数据包含用于有关OSI参考模型的不同的、更高层的不同协议的报头和有效荷载。用于特定协议的报头通常指示用于包含在它的有效荷载中的下一个协议的类型。更高层协议被说成是封装在更低层协议中。例如,TLS协议包含加密的有效荷载;并被封装在传输控制协议(TCP)中。包含在穿越诸如互联网的多个异构网络的包中的报头通常包含由OSI参考模型定义的物理(层1)报头、数据链路(层2)报头、互联网络(层3)报头、和传输(层4)报头、以及多个应用报头(层5,层6和层7)。
在多个设备中执行的过程通常使用广泛知晓和使用的网络通信的客户端-服务器模型进行通信。根据客户端-服务器模型,客户端过程在一个或多个数据包中向服务器过程(也被称为服务)发送包含有请求的消息,服务器过程通过提供服务来响应。服务器过程还向客户端过程返回带有响应的消息。通常,客户端过程和服务器过程在被称为主机的不同计算设备上执行,并使用一个或多个用于网络通信的协议通过网络进行通信。术语“服务器”通常被用于指提供服务的过程或该过程运行所在的主机。类似地,术语“客户端”通常被用于指做出请求的过程或该过程运行所在的主机。如这里所使用的,术语“客户端”和“服务器”以及“服务”是指过程,而不是主机,除非在上下文中另有清楚的说明。另外,基于包括可靠性、可伸缩性和冗余性等原因,由服务器执行的过程可以被分解,作为多个过程在多个主机(有时被称为层(tier))上运行。在连接到通信网络的大多数设备(被称为节点)上可用的一个公知客户端过程是万维网客户端(被称为“web浏览器”,或简称为“浏览器”),其通过根据超文本传输协议(HTTP)格式化的消息与提供网页服务的被称为万维网(WWW)服务器的大量服务器中的任何一个进行交互。
如图1所示,UE101包含浏览器107。UE101还包含客户端应用114(后面被称为客户端114),其与一个或多个网络服务110进行交互。
作为例子,模块130、134和136包含一个或多个用于提供加速认证的组件。可以设想,这些组件的功能可以结合在一个或多个组件中或由连接到网络105上的同一或不同主机上的具有等同功能的其他组件来实现。
尽管为了说明的目的,服务110和120、客户端114和数据结构112和122被示为网络105的特定节点上的特定安排中的完整模块,但在其他实施例中,一个或多个过程或数据结构或它们的部分可以不同顺序被安排在连接到网络上的相同、不同或不同数量的节点中,例如数据存储112或122被安排在一个或多个数据库中。
图2是根据一个实施例的为用户认证网络服务的时序图200。在时序图中,时间向下增加(不按比例),各个过程由在顶部由矩形标记的垂直长条框表示。从一个过程发送到另一个过程的消息由从发送过程指向接收过程的水平箭头表示。在单个过程上的步骤由分段箭头表示,该分段箭头在指示该步骤发生的相对时间的垂直位置循环回该过程。在图2中表示的过程包括客户端114中的加速认证客户端136、网络服务110中的加速认证代理134和认证服务120。
在所示实施例中,通过在请求认证的消息中包含对服务的请求,提供某些加速。未对认证服务120做出任何改变。
当用户例如通过浏览器107或客户端114联系服务110以获得个性化服务时,用户登录提示在包括一个或多个数据包的消息211中被发送到浏览器或客户端。该消息被加速认证客户端136截获或被转发到加速认证客户端136,其呈现认证用户界面(UI)。图7A-7B是根据多个实施例的在过程中利用的用户界面的图。
图7A是表示在UE101上呈现的示例性屏幕的图。屏幕701包括设备工具条710显示部分,其包含零个或多个活动区域。众所周知,活动区域是用户可以使用指点设备(诸如光标和光标移动设备,或触摸屏)进行指点从而使得包含该显示屏的设备启动动作的显示区域。活动区域的公知形式是独立按钮、单选按钮、下拉菜单、滚动列表和文本框等。尽管为了说明起见,区域、活动区域、工具条窗口在图7A至7B中被示为特定屏幕上的特定安排中的整体模块,但在其他实施例中,一个或多个屏幕、窗口或活动区域或它们的部分可以不同的顺序被安排,可以是不同的类型,或者一个或多个被省略,或额外区域被包含进来,或用户界面以某种组合方式被改变。
为了说明的目的,假定设备工具条701包含活动区域711、713、715a和715b。活动区域711由用户激活来显示安装在UE101上的应用,其能够被启动并开始执行,诸如电子邮件应用或视频播放器。活动区域713由用户激活来显示UE101的当前上下文,诸如当前日期和时间以及位置和信号强度。在某些实施例中,活动区域713是一个略缩图,其描述当前时间、或用于移动终端的信号强度或这两者,当被激活时其展开。活动区域715a由用户激活来显示内置于UE中的工具,诸如照相机、闹钟、自动拨号器、联系人列表、GPS和web浏览器。活动区域715b由用户激活来显示保存于UE上的内容,诸如图片、视频、音乐、语音备忘录等。
屏幕701还包含应用用户界面(UI)区域720,其中显示的数据由当前正执行的程序控制,所述程序诸如像游戏或网络服务110的客户端114或浏览器107的本地应用。根据某些实施例,应用UI区域720包括开始按钮722和关闭按钮724。
如果用户激活关闭按钮724,应用UI区域720被关闭。如果用户激活开始按钮720,认证用户界面(UI)被呈现。图7B是示出在UE10上呈现的示例性屏幕702的图。屏幕702包含如上所述的设备工具条710部分和应用UI区域720的一部分,以及认证用户界面(UI)区域730。
认证UI区域730包括提交按钮732和放弃按钮734、用户姓名文本框742和密码文本框744。如果用户激活放弃按钮734,认证UI区域730被关闭。如果用户在用户姓名文本框742中输入用户姓名并在密码文本框744中输入密码,并按下提交按钮,则用户证书由客户端114传递给网络服务110或认证服务120。在所示实施例中,对服务的请求也包含在被发送到服务110的消息中。在某些实施例中,提交按钮被停用(例如通过置灰按钮732指示),除非和直到用户向每个文本框742和744至少输入最少数量的字符。
回到图2,呈现认证UI区域732和接收用户激活提交按钮732的过程由接收用户输入过程213指示,并表示几秒时间,例如大约5到10秒。
在该过程结束后,例如使用网际协议安全(IPSec)、安全壳(SSH)、安全套接字层(SSL)或传输层安全(TLS)协议中的一个或多个,在一个或多个消息215中建立安全连接。对于蜂窝电话,消息215包含与接入提供商基站交换的用于建立数据信道的那些消息,通过该数据信道安全连接被建立。这些消息可耗费数百至数千毫秒时间。
在包含一个或多个数据包的消息217中,完整的用户证书和服务请求被发送到代理134(通过服务110)。代理134使完整的用户证书在消息221中被发送给认证服务120。在过程223中,认证服务120对照认证数据存储122中的内容检查用户证书,该过程可花费几百毫秒时间。如果证书失败(例如不匹配,或匹配一个被阻挡或赖账用户的证书),则直接地或者通过代理134将失败消息(未示出)发送到客户端136,所述代理134向客户端发送拒绝消息(未示出)来呈现给用户。在某些实施例中,消息215包含客户端136到认证服务120的重定向,且消息217被直接传送到服务120,而失败消息或成功消息被直接地传递到客户端136。为了说明的目的,假定客户端136和认证服务120之间的消息通过代理134来传递。
如果证书成功(例如未失败),则成功消息231被返回。在示出的实施例中,成功消息包含用户令牌。用户令牌是这样的数据,其被第一用户用于在预定时间段(例如四小时内)从一组一个或多个网络服务获取服务。例如,在某些实施例中,用户令牌可以在它的生命周期内被认证服务120存储于认证数据存储122中;相对于完整的用户证书,数据存储中的用户令牌部分被更快地检索。在来自同一用户的从一个或多个相关服务110(例如由于它们共享用户认证证书而相关)获取服务的进一步的请求消息中,用户令牌被包含进来并与数据存储122中仍有效的令牌相比较。在某些实施例中,在令牌的生命周期内,用户令牌被服务110保留并用于认证包含在该令牌的进一步的消息。
在所示实施例中,当代理134接收到成功消息231时,在过程233期间,包含在消息217中的服务请求(如果有的话)被满足。例如,服务110上的用户主页被组装以便传递到客户端114或浏览器107。对请求的服务响应和用户令牌例如通过加速认证客户端136被发送给客户端114或浏览器107。从用户按下提交按钮732到对服务请求的响应在消息235中被接收之间的时间是延迟240。
在所示实施例中,在令牌被传递到加速认证客户端136之前,在过程233中满足服务请求。在先前的方法中,仅用户令牌被包含在消息235中;而带有用户令牌的单独的请求消息(未示出)被发送来启动过程233。此后,在过程233中,在服务110上满足请求;随后,服务请求响应,例如用户主页,在又一个消息(未示出)中被传递到客户端。该额外交换增加了额外时间,导致甚至大于延迟240的延迟。因此,延迟240表示根据某些实施例的加速认证过程。
如参照用于不可信客户端的图3A和用于可信客户端的图3B更详细描述的那样,在其他实施例中,提供了更进一步的加速,导致比延迟240极大降低的延迟。可信客户端是确信执行预期功能的客户端,例如执行不能被UE101的用户合理地改变、并由服务110发送的机器代码的客户端。
图3A是根据一个实施例的加速认证的时序图310。图3A中表示的过程包括作为客户端114中的加速认证客户端136的不可信客户端303、网络服务110中的加速认证代理134、和认证服务120中的加速认证模块130。在这个实施例中,加速认证模块130仅检查完整的用户证书的第一部分,其中第一部分不包括完整的用户证书的第二部分。另外,当第一部分检查未失败时,加速认证模块130提供用户证书的第二部分。
为了说明的目的,假定第一部分包括用户姓名(例如输入到用户姓名文本框742中的全部字符)和密码的第一部分(例如输入到密码文本框744中的前四个字符),但不包括密码的第二部分(例如输入到密码文本框744中的第五至最后字符)。在其他实施例中,以其他方式来定义该第一部分。
包含完整的用户姓名和部分密码的优点是防止攻击通过猜测第一部分来发现用户证书。然而,在其中增加的加速被评价为高于保护不受这种攻击的某些实施例中,第一部分包含更少的字符。例如,在多个实施例中,第一部分仅包含用户姓名,或仅包含用户姓名的第一部分,例如用户姓名的前五个字符。在这些实施例的某些中,第一部分不是预定数量的字符;例如在这些实施例的某些中,第一部分仅包含截止在用户输入字符过程中出现犹豫时输入的字符。
在第一部分中包含完整的用户姓名(该用户姓名在一个或单个服务110的所有用户中通常是唯一的)的优点在于仅有单个用户的认证被考虑。包含少于完整的用户姓名意味着,至少在某些情况下,将被认证的用户是模糊的,且在使用具有少于完整的用户姓名的第一部分的实施例中,几个候选用户被考虑。在某些实施例中,使用上下文信息,诸如用于用户设备的基站位置和一天中的时间,模糊性可以被降低,但这耗费了额外处理,从而妨碍希望的加速。
用户登录提示消息211和接收用户输入过程213如上面参照图2所述。不像在图2所述时序中建立数据信道和安全会话的消息215,在图3A中,在过程213完成之前很久,例如在用户激活提交按钮732之前很久,建立数据信道和安全会话的消息315开始。
也在过程213被完成之前,用户证书的第一部分和对服务的请求被包含在发送到服务110上的代理134的一个或多个消息中。在所示实施例中,一旦用户提供第一部分,消息317就被发送。例如,加速认证客户端136获取键入到用户姓名文本框742和密码文本框744中的每个字符。一旦密码的第一部分完成,例如一旦在密码文本框744中键入第四个字符,消息317就被发送。在某些实施例中,消息317包含用于完整的用户姓名的第一消息和用于键入到密码文本框744中每个字符的单独的消息。在某些实施例中,消息317包含用于完整的用户姓名的一部分的第一消息,和用于键入到用户姓名文本框742和密码文本框744中的每个随后的字符的单独的消息。在某些实施例中,消息317包括用于键入到用户姓名文本框742和密码文本框744中的每个字符的单独的消息。
图4A是根据一个实施例的服务请求消息400的图。服务请求消息400是消息317的一个特定实施例。尽管为了说明的目的在图4A以及后面的图4B和4C中消息和字段被示为特定顺序的完整方块,但在其他实施例中,一个或多个字段或它们的部分可以不同顺序被安排在相同或不同或不同数量的消息中,或被省略,或一个或多个附加字段被添加,或以某种方式组合被改变。如所示那样,请求消息400包含用户证书第一部分字段210和服务请求字段420。
用户证书的第一部分字段410包含有指示用户证书的第一部分的数据。例如,在所示实施例中,用户证书第一部分字段410包括用户标识符(ID)字段412和密码第一部分字段414。用户ID字段413包含指示用户标识符(诸如输入到用户姓名文本框742中的文本)的数据。密码第一部分字段414包含指示密码的第一部分(诸如输入到密码文本框744中的前四个字符)的数据。
服务请求字段420包含指示对由接收消息400的网络服务110提供的某个服务的请求(诸如对主页或联系人列表或用于服务110的用户的设置页面的请求)的数据。在某些实施例中,服务请求自动420被省略。
当加速认证代理134接收到用户证书的第一部分时,则第一部分在一个或多个消息321中被发送到加速认证模块130(例如通过API或认证服务120)。
在过程323中,加速认证模块130对照认证数据存储122的内容检查用户证书的第一部分,该过程可能花费几百毫秒。如果第一部分失败(例如不匹配,或者仅匹配被阻挡或赖帐用户证书),则失败消息(未示出)被发送到代理134,其向客户端136发送拒绝消息(未示出)以呈现给用户。
如果证书成功(例如未失败),则成功消息331被返回。在所示实施例中,成功消息包含用户令牌和指示用于用户证书第二部分的有效值的数据。在其中第一部分使用少于完整的用户姓名的实施例中,在某些情况下,多个候选用户名不会失败。在这种情况下,用于第二部分的多个有效值被包含在一个或多个成功消息331中。
图4B是根据一个实施例的认证成功消息450的图。认证成功消息450是消息331的特定实施例。成功消息450包含有效第二部分字段452和令牌字段454。
有效第二部分字段452包含指示用于用户证书的第二部分的有效值,诸如用于密码的第二部分的有效值。在某些实施例中,字段452包含有效值的变换,诸如哈希值或其他加密值。如果比较过程知道变换或逆变换,变换的有效值仍可被用于和用户输入的第二部分相比较。逆变换被用于从字段452中的值导出第二部分的有效值。变换被用于将用户输入的值变换为能够与字段452中的变换值相比较的值(诸如哈希值)。在使用加密的实施例中,哈希与由共享密钥或安全传输的密钥值结合,或者逆变换基于共享密钥或安全传输的密钥。
令牌字段454包含指示可以被用于来自同一用户对共享认证的一组服务110的进一步请求的令牌。在某些实施例中,令牌字段454中的数据也被变换。
在所示实施例中,当在模块130上进行过程323时,服务110上的代理134根据第一部分中的用户姓名执行过程325。例如,服务110花费几百毫秒时间从用户简档数据存储112中获取用户简档,其中的用户姓名与第一部分中的用户姓名相匹配。执行用户简档获取,因为预期任何用户感知响应利用用户简档中的至少某些数据。如果多个候选用户姓名是可能的,在过程325期间,开始获取所有候选用户简档。在某些实施例中,过程325被省略。包含过程325的优点在于利用从在消息321中发送第一部分到在消息331中接收响应之间的时间来执行将在之后用户等待响应时才执行的任务。这减少了在代理134和客户端136上处理能力的浪费。
过程325期间或之后,成功消息331被接收。成功消息指示用户证书的第一部分是有效的。在某些实施例中,用户证书的第一部分足够用于授权某些服务响应。例如,消费者互联网服务通常支持多级的访问控制,诸如用于访问电子邮件的一级访问控制和用于变更在线电子邮件服务上的简档设置的更严格访问控制。类似地,下载应用接受第一级访问控制,而从应用商店购买应用接收更严格访问控制。通常,像访问电子邮件和下载应用的平常操作比像修改简档设置和购买应用的高级操作更频繁。在某些实施例中,较不严格的控制用于较频繁的操作。在这些实施例的某些中,用户证书的第一部分足够满足用于较频繁操作的较不严格控制(例如第一部分被定义为包括密码的第一部分,其足够满足第一级的访问控制)。
如果所请求的服务被第一部分授权,则在过程333,所请求服务完成;且在一个或多个消息335中,对所请求服务的响应被传递到客户端114或浏览器107。应当指出,在处理213完成之前,例如在用户激活提交按钮732之前,允许服务被传递。
图4C是根据一个实施例的服务响应消息460的图。响应消息460包括有效第二部分字段452和令牌字段(两者都如上面参照图4B所示的那样),以及一个服务数据字段462。
服务数据字段462包含响应诸如在服务请求字段420中指示的服务请求所提供的数据。例如,服务数据字段462包含这样的数据,其指示服务110中的用于UE101的用户的部分或全部主页。在某些实施例中,如果在字段420中没有服务被请求,或如果字段420被省略,则字段462为空或被省略。
在某些实施例中,如下面参照图3B更详细地描述的那样,有效第二部分字段452和令牌字段454不包含在发送给客户端136的消息345中,除非客户端过程是可信的客户端。
当过程213完成时,例如当用户激活提交按钮732时,在一个或多个消息341中,用户证书的第二部分被提交。在某些实施例中,消息341包括每个字符一个消息以及指示证书结束的一个最终消息。这时,客户端134执行所在的UE101的用户正等待响应并且不太可能在该UE101上启动另一个应用,从而浪费了UE101上的能力。
在过程343中,加速认证代理134在本地检查在消息341中提供的第二部分和在消息331中接收到的有效值。这样,当用户正等待时,与认证服务120(或模块130)交换消息221和231(或321和331)以及在过程223(或323)中较大数据存储122的一个或多个查找以及对应检查被避免。
如果在过程343中,在与消息331中接收到的有效值的比较中,消息341中提供的第二部分失败,则认证失败;并且,失败消息(未示出)被返回到客户端114或浏览器107(例如通过客户端136)。
然而,如果在过程343期间,在与消息331中接收到的有效值的比较中,消息341中提供的第二部分未失败,则认证成功;并且,一个或多个响应消息345被返回到客户端114或浏览器107(例如通过客户端136)。在所示实施例中,响应消息345包含用户令牌和由完整的用户证书授权的服务响应,但不包含用于第二部分的有效值。在某些实施例中,用户令牌和授权的服务中的一个或两者被省略。响应消息460的有效第二部分字段452在消息345中被省略,因为客户端136不是可信客户端。
对来自任何相关服务110的服务的后续请求在一个或多个请求消息347中被发送。在所示实施例中,请求消息347包含用户令牌。
作为参考,图2A的过程期间经历的延迟240在图3A中被表示为虚线双箭头。在过程213结束后(例如用户激活提交按钮732),响应消息345在延迟352后被接收,该延迟比延迟240小很多,从而浪费更少得多正执行客户端136的UE101的能力。这是因为在过程213结束之前,而不是过程213结束之后,消息315、317、321、331被发送并且过程323、325和333被执行。这样,在延迟240和延迟352之间的差异所给出的时间段内,UE101的能力未被浪费,相反可以被利用,从而增加了UE101的计算效率。即使在其中在过程213结束之前仅有几个消息315、317、321和331被发送、或在过程213结束之前过程325和33中的一个被执行或都不被执行的实施例中,认证也被加速,只是加速的程度较小。
如上所述,在某些实施例中,所请求的服务由用户证书的第一部分授权。在这种实施例中,如果第一部分是有效的,则所请求服务在一个或多个消息335中被传递,所述消息在载有用户令牌的消息345或基于完整的用户证书的其他服务之前很久被接收到。在这种实施例中,延迟远小于延迟352。在所示实施例中,由第一部分授权的服务在过程213结束之前的提前时间350在消息335中被接收到。这样,在提前350加上延迟240的整个时间段内,UE101的能力未被浪费,而是被利用,从而提高了UE101的计算效率。
图3B是根据另一个实施例的加速认证的时序图302。在图3B中表示的过程包括用作客户端114中的加速认证客户端136的可信加速认证客户端304、网络服务110中的加速认证代理134,和加速认证服务120中的加速认证模块130。在这个实施例中,加速认证代理304是可信的,以确保在发布用户令牌和由完整的证书授权的任何服务数据之前,从第一用户接收到的数据基本上与该第一用户的用户证书的第二部分一致。
如果客户端程序136是可信客户端304,则令牌和用于密码第二部分的有效值例如分别在响应消息460的字段452和454中被返回到客户端应用304(例如直接从认证模块130或间接地通过代理134)。代理304不会发布用户令牌,直到客户端304已经验证用户给出的所有字符都是正确的。这个验证很快,因为不涉及网络往返(roundtrip)。应用认证,例如万维网上带有com扩展名的nokia域的wikis.in子域的Wsecurity目录中的PlatformAtestation页面,提供了一种由加速认证模块130或代理134验证客户端136是否是可信客户端304的示例性方法。可替代地,为了进一步地提高安全性,加速认证模块130使得认证服务120返回由诸如完整密码的正确证书加密(例如使用上述目录中的页面Authenticated_encryption)的某些随机数。如果客户端能够使用用户提供的完整的密码成功地解密认证加密,则它知晓该密码是正确的。在这种情况下,密码不会暴露给客户端304;然而,客户端304被信任不会作字典式攻击。
在图3B中,消息211、315、317、321、331和过程213、323、325和333如上所述。一个或多个消息335由一个或多个消息361代替,所述消息361包括诸如在服务响应消息460中的令牌和用户证书的第二部分以及由第一部分授权的任何服务数据。在某些实施例中,没有服务数据被仅仅第一部分授权,服务数据字段462为空或从消息361中省略。
在所示实施例中,在对可信客户端成功认证的预期中,由完整的用户证书授权的请求的处理,如果有的话,在过程367中开始。
当过程213完成后,例如当用户激活提交按钮732时,用户证书的第二部分未在一个或多个消息中发送给认证模块130或代理134。相反,在新的过程363中,用户证书的第二部分在可信客户端304本地上与在一个或多个消息361中接收到的有效值相比较。可以使用任何方法,包括直接比较值、逆变换在消息361中接收到的数据、或变换用户在过程213期间输入的数据、或某种组合。如果比较失败,例如没有匹配,则失败通知(未示出)被显示在UE101上。
如果在过程363期间确定比较未失败,则用户令牌被发布给客户端114或浏览器107,以支持对来自一个或多个网络服务110的服务的进一步请求。如果由完整的用户证书授权的请求已经例如在字段420中被发送,则在一个或多个消息365中,用户令牌被发送给代理134,从而通知代理314成功认证。通过检查该令牌与在一个或多个消息331中从加速认证模块130中接收到的令牌一致,过程367被完成。当过程367被充分完成时,一个或多个包含有由完整的用户证书授权的服务数据的响应消息369被发送到客户端114或浏览器107(例如直接地或通过可信代理304)。
如图3A所示,对来自任何相关服务110的服务的后续请求在一个或多个请求消息347中被发送。在所示实施例中,请求消息347包含用户令牌。
作为参考,图2A的过程中经历的延迟240在图3B中被表示为虚线双箭头。同图3A中描述的序列一样,在过程213结束后(例如用户激活提交按钮732),响应消息369在延迟354后被接收,该延迟比延迟240小很多。由于对第二部分的检查在过程363中在代理304的本地被完成,额外时间被节省,因为不需要与代理134交换消息来检测第二部分。因此,延迟354很可能甚至小于图3A中描述的序列的延迟352。
如上所述,在某些实施例中,所请求服务由用户证书的第一部分授权。在这种实施例中,如果第一部分有效,则所请求服务在一个或多个消息361中被传递,所述消息361在载有用户令牌或基于完整的用户证书的其他服务的消息345之前很久被接收到。在这种实施例中,该延迟大大小于延迟354。基本上与图3A所示相同地,在所示实施例中,在过程213结束之前的提前时间350,由第一部分授权的服务在消息361中被接收到。
图5是根据一个实施例的加速认证服务过程500的流程图。在一个实施例中,加速认证模块130执行过程500,并被实现在例如包含有图10所示的处理器和存储器的芯片组中,或如图9所示的通用计算机中。
在步骤501,认证请求消息被接收。在步骤503,判断该消息是否如在遗留系统中那样包含完整的证书。如果是,则在步骤505,则如在遗留系统中定义的那样确定认证的成功,并在根据遗留系统的通知消息中发送成功或失败消息。接着控制进行到步骤531,以确定是否满足结束条件,例如服务正被关闭。如果是,过程结束,否则过程继续进行到步骤501来接收下一个消息。
然而,如果在步骤503确定未包含完整的证书,则控制进行到步骤511。例如,在步骤503,确定从加速代理134或从重定向到模块130的加速认证客户端136接收到类似于请求消息400的消息,但没有字段420。该消息仅包含用户证书的第一部分,缺少第二部分,例如密码的第二部分。因此,步骤503包含接收第一数据,其指示第一用户的用户证书的第一部分而不是该第一用户的用户证书的第二部分,其中用户证书被用于认证用户。如上所述,在某些实施例中,第一部分是用户证书的预定部分,例如完整的用户姓名和密码的前四个字符。在这个或某些其他实施例中,第一部分包含指示第一用户的用户标识符的数据和指示第一用户的部分密码的数据;而第二部分包含指示密码剩余部分的数据。
在步骤511,确定证书第一部分的有效性。例如,在上述过程323中,将用户证书的第一部分与认证数据存储122中一个或多个记录的对应部分相比较。如果第一部分不匹配任何用户或仅匹配被阻挡或赖账或由于其他原因被禁止访问的用户,第一部分无效。因此,步骤511包括确定用户证书第一部分是否有效。
在步骤513,根据第一部分的有效性,流进行分支。如果无效,在则步骤515,失败消息被发送到代理134或客户端136。控制进到步骤531,以如上所述判断结束条件是否满足。
如果第一部分有效,则在步骤521,用于用户证书第二部分的有效值被准备发送到代理134或客户端136。例如,在所示实施例中,例如通过用共享秘钥哈希或通过用包含第二部分中的数字(例如包括密码第二部分的正确的完整的密码)来哈希一共享值,用于第二部分的有效值被加密。因此,步骤521包括当用户证书第一部分有效时发送第二数据,其指示用于该第一用户的用户证书的第二部分的有效值。在某些实施例中,第二数据指示用于该第一用户的用户证书的第二部分的有效值的加密版本。用于第一用户的用户证书的第二部分的有效值的加密版本被远程过程(代理134或可信客户端304)用于验证从该第一用户接收到的数据。
在步骤523,确定在预定时间(例如四小时)内将被这个用户使用的授权令牌。例如,选择唯一随机数并将其与未来四小时的过期时间相关联地存储在授权数据存储中。该唯一随机数被用作这个用户的令牌。因此,第二部分包含一个令牌,其被第一用户用于在预定时间段内从一组一个或多个网络服务中获取服务。在某些实施例中,每当用户做出新的请求时,执行加速认证;而令牌不被使用或包含在第二数据中。
在步骤525,模块130确定发送消息,其指示成功认证结果。该消息包含令牌和指示用于第二部分的有效值的数据,诸如加密值。例如,模块130使成功消息450发送到代理134或客户端136。接着如上所述,控制进行到步骤531。接收指示用于第二部分的有效值的第二数据的远程过程是网络服务110的代理134,且在某些实施例中,是UE101上的可信客户端304,它们每个都是可信的以确保从第一用户接收到的数据基本上与用于该第一用户的用户证书的第二部分的有效值相一致。因此,在某些实施例中,该远程过程是被配置为向第一用户提供服务的网络服务;并且在某些实施例中,该远程过程是由第一用户操作的设备上的客户端过程。
图6是根据一个实施例的加速认证客户端过程600的流程图。在一个实施例中,加速认证客户端136执行过程600,并被实现在例如包含有图10所示的处理器和存储器的芯片组中,其如图11所示的移动终端中。
在步骤601,用于用户登录证书的提示被确定和呈现在UE101上。例如,当从客户端114或浏览器107联系服务110时,认证UI区域730被接收以便呈现在UE101的显示器上。步骤601包含使得认证UI区域730被呈现。在步骤601期间,如果用户例如通过激活放弃按钮734来放弃登录过程,则过程结束。
在步骤603,甚至在用户响应提示已经完成输入数据之前,例如甚至在用户已经完成在认证UI区域730输入用户证书的第一部分之前,安全数据会话被启动。例如,如上所述,消息315被交换以在客户端136和代理134或模块130之间建立安全会话。
在步骤605,用户响应登录提示输入的下一个字符被接收到。例如,输入到姓名文本框742或密码文本框744中的下一个字符被接收到。
在步骤607,确定第一部分是否完成。例如,确定用户的键入是否已经犹豫,或用户姓名是否已经完成,或在所示实施例中,是否用户姓名已经完成并且密码的前四个字符已经被输入。如果否,控制进行回到步骤605来接收用户输入的下一个字符。
如果在步骤607确定第一部分完成,则在步骤609,发送第一认证消息,其包含用户证书的第一部分但不包含第二部分。例如,发送请求消息400,其在字段410中具有用户证书的第一部分。在某些实施例中,第一认证消息包含可选的对服务的请求,例如在请求消息420的字段420中的对用户主页或联系人列表的请求。因此,步骤609包含接收包含第一数据,其指示用于第一用户的用户证书的第一部分而不是用于第一用户的用户证书的第二部分,其中用户证书被用于认证一个用户。步骤609还包括确定向远程过程发送指示用户证书的第一部分的第一消息,该远程过程在接收到指示用于第一用户的用户证书的第二部分的第二数据之前,根据用户证书的第一部分启动认证第一用户。在某些实施例中,在步骤609中发送的第一消息还包括对来自该远程过程的服务的请求。
在步骤611,用户响应登录提示输入的下一个字符被接收到。例如输入到用户姓名文本框742和密码文本框744中的下一个字符被接收到。
在步骤613,确定服务数据是否被接收到。例如,在用户完成输入用户证书的第二部分之前,由用户证书的第一部分授权的服务数据可能在一个或多个消息335或361中被接收到。如果是,则在步骤615,服务数据被用于例如准备和呈现用于认证UI730后面的应用UI区域720的内容,诸如用户主页或联系人列表。因此,步骤613包括当用于第一用户的用户证书的第一部分有效并且第一部分足够用于获取服务数据时,响应请求从远程过程接收服务数据。
在步骤617,确定第二部分是否已经完成。例如,确定用户是否激活提交按钮732。如果否,则控制回到步骤611来接收用户输入的下一个字符。
如果在步骤617确定第二部分已经完成,则接下来的步骤,确定用户输入的第二部分是否有效,如分支点619所示,是通过客户端是否是可信客户端确定的。如果不是可信客户端,则控制进行到步骤621和下面描述的后续步骤,来确定第二部分是否有效;并且在某些实施例中,步骤631至635被省略。如果是可信客户端,则控制进行到步骤631和再下面描述的后续步骤,来确定第二部分是否有效;并且在某些实施例中,步骤621值625被省略。在任一情况下,步骤609包括接收第二数据,其指示用于第一用户的认证数据的第二部分。下面的步骤响应接收到第二数据,确定第二部分是否有效。
在步骤621,不可信客户端发送第二认证消息,其带有用户证书的第二部分。例如一个或多个消息341被发送到服务110上的加速认证代理134。因此步骤621包括确定向远程过程发送指示用户证书的第二部分的第二消息。
在步骤623,确定失败通知消息是否被接收到。如果是,控制回到如上所述的步骤601,来提示用户输入用户证书。如果否,则在步骤625,成功消息被接收到。成功消息包含用户令牌和由完整的用户证书授权的任何可选服务。例如,从服务110上的加速认证代理134接收到一个多个消息345。因此,步骤625包括确定远程过程是否响应于第二消息返回指示成功认证的第三数据。
在步骤637,由完整的用户证书授权的服务数据,如果有的话,被呈现在应用UI区域720,诸如将被修改的电子邮件设置。步骤637包括向一个或多个服务110发送包括用户令牌的进一步的服务请求消息,诸如消息347。步骤637包括移除任何登录提示(如果它仍在被呈现的话),例如关闭认证UI区域730。接着控制进行到步骤641,以判断结束条件是否满足,例如用户是否已经激活关闭按钮724或用户令牌是否已经过期。如果是,则过程结束。否则,控制回到步骤637,以发送包含用户令牌的进一步的服务请求消息。
在(当客户端是可信客户端时执行的)步骤631,确定是否从代理134接收到失败通知消息。如果是,则控制回到如上所述的步骤601,来提示用户输入用户证书。如果否,则在步骤633,从服务110上的加速认证代理134接收到一个或多个响应消息361。响应消息361包含用户令牌、指示用于第二部分的有效值的数据、和由完整的用户证书授权的任何可选服务。例如,接收到响应消息460,其具有在字段454中的用户令牌、在字段452中的指示用于第二部分的有效值的加密数据、以及在字段462中的任何服务数据。因此,步骤633包括从远程过程接收第三数据,其指示用于用户证书的第二部分的有效值。
在步骤635,通过与字段452中指示有效值的数据相比较,确定用户输入的用户证书的第二部分是否有效。可信客户端可以被信任来确保这种比较被正确地完成。如上所述,任何方法可以被用于做出这个判断。如果用户输入无效,则控制回到步骤601来确定呈现的登录提示,例如继续呈现认证UI区域730。因此,步骤635包括确定来自用户的第二数据是否与例如来自代理134或模块130的远程过程的第三数据相一致。
如果在步骤635中确定用户输入的用户证书的第二部分是有效的,则在步骤637,用户令牌被用于做出进一步的请求,且任何请求数据例如被呈现在应用UI区域720,并且如上所述,登录提示被移除,例如认证UI730被关闭。
图8是根据一个实施例的加速认证代理过程800的流程图。在一个实施例中,加速认证代理134执行过程800,并例如实现在包含有如图10所示的处理器和存储器的芯片组中,其如图9所示的通用计算机。
在步骤801,从客户端过程接收到(例如从客户端114的加速认证客户端136接收到)具有用户证书的第一部分但不具有用户证书的第二部分的第一数据。例如,在一个或多个消息317中,从客户端接收到在字段410中具有用户证书的第一部分的请求消息400。因此,步骤801包括接收第一数据,其指示用于第一用户的用户证书的第一部分,而不是用于第一用户的用户证书的第二部分,其中用户证书被用于认证用户。在某些实施例中,消息400在字段420中包含对服务的请求。因此从客户端136接收到的第一数据还指示对服务的请求。
在步骤803,第一消息被发送到认证服务,例如认证服务120中的加速认证模块130。第一消息包含这样的数据,其指示用户证书的第一部分,而不指示用户证书的第二部分。例如,一个或多个消息321从代理134发送到模块130,所述消息具有来自请求消息400的字段410。因此,步骤803包括确定向远程过程(例如加速认证模块130)发送指示用户证书的第一部分的第一消息,该远程过程在接收指示用于第一用户的用户证书的第二部分的第二数据之前,根据用户证书的第一部分启动对第一用户的认证。(第二数据或者随后被接收到,如后面参照用于不可信客户端的步骤843所述的那样,或者在是可信客户端的情况下根本不会被接收到。在任一情况下,在接收到第二部分之前,第一消息被发送)
在步骤805,当等待认证特征消息时,代理开始注意请求。例如,在过程325中,根据用户证书的第一部分中的用户姓名或它的一部分,从用户简档数据存储112中获取用户简档数据。因此,步骤805包括在接收到指示用于第一用户的用户证书的第二部分的第二数据之前,确定至少部分地根据用于第一用户的用户证书的第一部分中的用户标识符获取用于第一用户的本地用户简档数据。
在步骤807,确定是否例如从模块130接收到失败通知消息。如果是,则在步骤809,失败消息被转发到客户端,例如转发到客户端136,而过程结束。如果否,则在步骤811,从认证服务接收第二消息。第二消息包含指示用户令牌和用于证书的第二部分的有效值。例如,一个或多个消息331被接收到,诸如成功消息450,其在字段452中有指示用于第二部分的有效值的可能加密数据且在字段454中有用户令牌。因此步骤811包括当远程过程(例如模块130)确定用于第一用户的用户证书的第一部分有效时,从远程过程(例如加速认证模块130)接收第二消息,其包括指示用于第一用户的用户证书的第二部分的有效值的数据。另外,在步骤811期间接收到的第二消息包括令牌,其指示第一用户被授权预定时间段。
在步骤813,作为包含在从客户端接收到的第一数据中的可选请求的结果,服务数据被确定。在步骤815,确定用户证书的第一部分是否足够用于授权将该服务数据呈现给该客户端的用户。如果是,则在步骤817中,可选的服务数据被认为被授权在给客户端的下一个消息中发送给该客户端。因此,步骤817包括如果服务数据被用户证书的第一部分授权并且如果远程过程确定用于第一用户的用户证书的第一部分有效,确定向运行在该用户所操作设备上的不同远程过程(例如UE101上的加速认证客户端136)发送服务数据。
如分支点821所示,下面的步骤由客户端是否是可信客户端确定。如果是可信客户端,则控制进行到下面描述的步骤823,且在某些实施例中,步骤841至847被省略。如果不是可信客户端,则控制进行到再下面描述的步骤841,且在某些实施例中,步骤823被省略。针对可信和不可信客户端,步骤831至851都执行。
在步骤823,代理向可信客户端发送响应消息,其具有指示用于用户证书的第二部分的有效值的数据、用户令牌、和用户证书的第一部分授权的任何服务数据。例如,一个或多个响应消息361被发送给加速认证可信客户端304。例如,响应消息460被发送给客户端,该响应消息在字段462中具有指示用于第二部分的有效值的数据,在字段454中具有用户令牌,且在字段462中具有由第一部分授权的可选服务数据。因此,步骤823包括响应从远程过程(例如模块130)接收到具有有效值的第二消息,确定向不同的远程过程(例如加速认证客户端136)发送第三消息,其指示用于第一用户的用户证书的第二部分的有效值。另外,在步骤823期间发送的第三消息包括用户令牌。步骤823还包括如果服务数据被用户证书的第一部分授权并且如果远程过程确定用于第一用户的用户证书的第一部分有效,确定向运行在该用户所操作设备上运行的不同远程过程(例如UE101上的加速认证客户端136)发送服务数据。
在步骤831,判断是否接收到下一个服务请求(例如可选请求后的第一个请求,如果有该可选请求的话)。例如,判断一个或多个消息347是否被接收到。如果否,则控制进行到步骤851以确定结束条件是否被满足,例如包含代理134的网络服务110是否正关闭。如果是,则过程结束。否则,控制回到步骤831,以确定下一个请求消息是否已被接收到。
如果在步骤831确定下一个服务请求被接收到,则在步骤833,确定令牌是否有效。例如,确定该令牌是否在代理所保存的那些令牌中且没有过期;并因此是有效的。如果令牌无效,则控制再次进行到步骤851,以如上所述,再次确定结束条件是否被满足。如果令牌有效,则在步骤835,所请求的服务直接或间接地通过加速认证客户端136发送给客户端,例如客户端114或浏览器107。然后如上所述,控制进行到步骤851。
如客户不是可信客户,则在步骤841,由用户证书的第一部分授权的任何服务数据被发送给客户。例如,一个或多个消息335被发送给加速认证不可信客户端303。因此,步骤841包括如果服务数据被用户证书的第一部分授权并且如果远程过程确定用于第一用户的用户证书的第一部分有效,确定向运行在该用户所操作设备上的不同远程过程(例如,UE101上的加速认证客户端136)发送服务数据。
在步骤843,从客户端接收到第二数据。第二数据单独指示由用户输入的用户证书的第二部分,或带有可选的服务请求。例如,从不可信客户端303接收到一个或多个消息341。因此,步骤843包括接收第二数据,其指示用于第一用户的用户证书的第二部分。
在步骤845,通过与字段452中指示有效值的数据相比较,确定第二数据是否有效(例如用户证书的第二部分,诸如密码的第二部分,是否有效)。不可信客户不能被信任来确保这种比较被正确地完成,因此它由包含代理134的服务110信任的加速认证代理134来完成。如上所述,任何方法可被用于做出这种判断。因此,步骤845包括至少部分地根据指示用于第一用户的用户证书的第二部分的有效值的数据,确定第二数据是否有效。
如果第二数据无效,则控制进行到步骤851,以如上所述检测结束条件。如果第二数据有效,则在步骤847,代理向不可信客户端303发送响应消息,其具有用户令牌、和由完整的用户证书授权的任何服务数据。步骤847包括例如在过程343中完成确定对请求的响应。例如,一个或多个响应消息345被发送给加速认证不可信客户端303。接着控制进行到步骤831和如上所述的后续步骤,以响应包含用户令牌的进一步的服务请求。因此,步骤847包括如果第二数据被确定为有效,为从不同远程过程(例如客户端136)接收到的服务请求提供服务。步骤847还包括如果第二数据被确定为有效,确定向不同远程过程(例如客户端136)发送包含令牌的第三消息。如果在步骤801中从客户端136接收到的第一数据包含服务请求时,则在步骤847中发送的第三消息包含由第一用户的第一部分和第二部分授权的更多安全服务数据。
利用一个或多个上述方法,在用户准备好在认证用户界面区域730上提交消息时,客户端应用已经从认证服务器接收到访问令牌。当客户应用使用令牌向内容服务器作出第一请求时,响应会将很快到来。在某些实施例中,响应于包含在第一消息中的第一请求的服务数据已经呈现在应用用户界面区域720中。
这里所描述的用于加速认证的过程可有利地通过软件、硬件、固件、或软件和/或硬件和/或固件的组合来实现。例如,这里所述过程可有利地通过处理器、数字信号处理(DSP)芯片、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等来实现。用于实现所述功能的示例性硬件在下面详细地描述。
图9示出计算机系统900,其上可以实现本发明的实施例。尽管参照特定设备和装置来描述计算机系统900,但可以设想图9中其他设备或装置(例如网络单元、服务器等)可以部署所示出的系统900的硬件和组件。计算机系统900被编程(例如通过计算机程序代码或指令)以如这里所述加速认证,并包括诸如总线910的通信机制,以在计算机系统900的其他内部或外部组件之间传送信息。信息(也被称为数据)被表示为可测量现象的物理表达,所述可测量现象通常是电压,但在其他实施例中包括诸如磁、电磁、压力、化学、生物、分子、原子,亚原子和量子交互的现象。例如,北极或南极磁场、或零和非零电压表示二进制数字(比特)的两个状态(0,1)。其他现象可表示更高基数的数字。测量前多个同时量子状态的叠加表示量子位(qubit)。一个或多个数字的序列构成数字数据,它被用于表示数或字符的代码。在某些实施例中,被称为模拟数据的信息由特定范围内可测量值的近连续统(near continuum)表示。计算机系统900或它的一部分构成用于执行加速认证的一个或多个步骤的装置。
总线910包括一条或多条并行的信息导体,从而使得信息能够在连接到总线910的设备之间快速地传送。用于处理信息的一个或多个处理器902连接到总线910上。
处理器(或多个处理器)902如有关加速认证的计算机程序代码所指定的那样在信息上执行一组操作。该计算机程序代码是一组指令或语句,其提供用于处理器和/或计算系统操作来执行指定功能的指令。代码例如可以用计算机语言来编写,其被编译成处理器的本机指令组。还可以用本机指令组(例如机器语言)来直接编写计算机程序。这组操作包括从总线910中取得信息和将信息置于总线910上。这组指令通常还包括诸如通过加、乘或像“或”、“异或”(XOR)、和“与”的逻辑操作比较两个或更多个信息单元、移动信息单元的位置、以及结合两个或多个信息单元。可由处理器执行的该组操作中的每个操作由被称为指令的信息(诸如一个或多个数字的操作码)提供给处理器。将由处理器902执行的操作序列,诸如操作码的序列,构成处理器指令,也被称为计算机系统指令,或简单地称为计算机指令。处理器可以单独地或组合地被实现为机械、电、磁、光、化学或量子组件等。
计算机系统900还包括连接到总线910的存储器904。诸如随机存取存储器(RAM)或任何其他动态存储设备的存储器904可以存储信息,包括用于提供加速认证的处理器指令。动态存储器允许存储在其中的信息被计算机系统900修改。RAM允许存储在被称为存储器地址的位置上的信息单元独立于相邻地址处的信息被存储和检索。在执行处理器指令期间,存储器904还被处理器902用于存储临时值。计算机系统900还包括连接到总线910的只读存储器(ROM)906或其他静态存储设备,其用于存储不会被计算机系统900改变的静态信息,包括指令。某些存储器是由易失性存储器组成,当断电时其上面存储的信息丢失。也连接到总线910的是非易失性(永久性)存储设备908,诸如磁盘、光盘或闪存卡,其用于存储即使在计算机系统900关机或由于其他原因断电的情况下也会永久存在的信息,包括指令。
包括用于加速认证的指令的信息从外部输入设备912,诸如包含由人类用户操作的字母数字键的键盘或传感器,被提供给总线910来由处理器使用。传感器检测它周围的状况并将这些检测转换为兼容于用于在计算机系统900中表示信息的可测量物理现象的物理表示。连接到总线910的主要用于与总线进行交互的其他外部设备包括用于呈现文本或图像的显示设备914,诸如阴极射线管(CRT)、液晶显示器(LCD)、发光二级管显示器(LED)、有机LED显示器(OLED)显示器、等离子屏幕或打印机,以及用于控制在显示器914上呈现的小光标图像的位置、并发出与在显示器914上呈现的图形单元有关的命令的指点设备916,诸如鼠标、轨迹球、光标方向键或运动传感器。在某些实施例中,例如在其中计算机系统900自动执行所有功能而无需人工输入的实施例中,一个或多个外部输入设备912、显示设备914和指点设备916被省略。
在指示的实施例中,诸如专用集成电路(ASIC)920的专用硬件连接到总线910上。专用硬件被配置为专门足够快地执行处理器902不执行的操作。专用集成电路的例子包括用于为显示器914生成图像的图形加速器卡、用于加密和解密在网路上发送的信息的密码板(cryptographic board)、语音识别和到特殊外部设备的接口,所述特殊外部设备诸如机器人臂和医疗扫描装置,其能够重复执行在硬件中实现会更高效地实现的某种复杂操作序列。
计算机系统900还包含连接到总线910的一个或多个通讯接口970的实例。通讯接口970提供到各种外部设备的单向或双向通信连接,所述外部设备以它们自己的处理器来运行,诸如打印机、扫描仪和外部磁盘。通常,这种连接是通过连接到局域网980上的网络链路978来进行,具有它们自己的处理器多个外部设备连接到该局域网上。例如,通信接口970可以是个人计算机上的并行端口或串行端口或通用串行总线(USB)端口。在某些实施例中,通信接口970是集成服务数字网络(ISDN)卡或数字用户线(DSL)卡或电话调制解调器,其向对应类型的电话线提供通信连接。在某些实施例中,通信接口970是线缆调制解调器,其将总线910上的信号转换为用于在同轴电缆上的通信连接的信号或转换为用于在光纤上的通信连接的光信号。作为另一个例子,通信接口970可以是局域网(LAN)网卡,其向诸如以太网的兼容LAN提供数据通信连接。无线链路也可能被实现。对于无线链路,通讯接口970发送或接收或既发送又接收电、声或电磁信号,包括红外和光信号,这些信息携带诸如数字数据的信息流。例如,在诸如像蜂窝电话的移动电话的无线手持设备中,通信接口970包括被称为无线收发器的无线带宽电磁发射器和接收器。在某些实施例中,通信接口970使得能够连接到通信网络105以用于与UE101的加速认证。
如这里使用的术语“计算机可读媒体”是指任何媒体,其参与向处理器902提供信息,包括用于执行的指令。这种媒体可采用许多形式,包括但不局限于计算机可读存储媒体(例如非易性失媒体、易失性媒体),和传输媒体。诸如非易失性媒体的非暂时媒体例如包括光或磁盘,诸如存储器设备908。易失性媒体例如包括动态存储器904。传输媒体例如包括双绞线、同轴电缆、铜线、光纤和无需电线或电缆能在空间穿过的载波,诸如声波和电磁波,包括无线电波、光波和红外波。信号包括在传输媒体中传送的振幅、频率、相位、极化或其他物理属性的人造瞬态变化。计算机可读媒体的共同属性例如包括软盘、软磁盘、硬盘、磁带、任何其他磁媒体、CD-ROM、CDRW、DVD、任何其他光媒体、打孔卡、纸带、光标示表单(optical mark sheet)、任何其他具有孔或其他可光学识别标记的图案的物理媒体、RAM、PROM、EPROM、FLASH-EPROM、EEPROM、闪速存储器、任何其他存储芯片或盒、载波、或计算机可从中读取的任何媒体。术语计算机可读存储媒体在这里被用于指除传输媒体之外的任何计算机可读媒体。
在一个或多个有形媒体中编码的逻辑包括计算机可读存储媒体和诸如ASIC920的专用硬件上的处理器指令中的一个或两者。
网络链路978通常使用传输媒体通过一个或多个网络向使用或处理信息的其他设备提供信息通信。例如,网络链路978可提供通过局域网980到主机计算机982或到互联网服务提供商(ISP)运行的设备984的连接。ISP设备984转而通过网络的公共全球分组交换通信网络提供数据通信服务,该网络现在通常被称为互联网990。
连接到互联网上的被称为服务器主机992的计算机存放(host)响应于通过互联网接收到的信息提供服务的过程。例如,服务器主机992存放一过程,其提供表示用于在显示器914上显示的视频数据的信息。可以设想,系统900的组件可以多种配置被部署在例如主机982和服务器992的其他计算机系统中。
本发明的至少某些实施例涉及使用计算机系统900来实现这里所描述的某些或全部技术。根据本发明一个实施例,这些技术可由计算机系统900实现,以响应处理器执行存储器904中包含的一个或多个处理器指令的一个或多个序列。也被称计算机指令、软件和程序代码的这种指令可以从诸如存储器设备908或网络链路978的另一个计算机可读媒体读入到存储器904中。包含在存储器904中的指令序列的执行使得处理器902执行这里所述的一个或多个方法步骤。在其他实施例中,诸如ASIC920的硬件可以被用于替代或结合软件来实现本发明。因此,除非在这里另外特别指出,本发明的实现不局限于任何特定硬件和软件的组合。
通过通信接口970在网络链路978和其他网络上发送的信号携带去往和来自计算机系统900的信息。计算机系统900能够通过网络980、990等经由网络链路978和通信接口970来发送和接收信息,包括程序代码。在使用互联网990的一个例子中,通过互联网990、ISP设备984、局域网980和通信接口970,服务器主机992发送由从计算机900发送来的消息请求的、用于特定应用的程序代码。当它被接收到时,所接收的代码可以被处理器902执行,或存储于存储器904或存储设备908中或任何其他非易失性存储器中以便以后执行,或者是这两者。这样,计算机系统900可以获得形式为载波上的信号的应用程序代码。
在将一个或多个序列指令或数据或这两者携带到处理器902来执行时,可以涉及多种形式的计算机可读媒体。例如,指令和数据最初可被携带在诸如主机982的远程计算机的磁盘上。远程计算机将该指令和数据加载到它的动态存储器中并使用调制解调器通过电话线路发送指令和数据。计算机系统900本地的调制解调器接收电话线上的指令和数据并使用红外发射器将指令和数据转换为用作网络链路978的红外载波上的信号。用作通信接口970的红外检测器接收到在红外信号中携带的指令和数据并将代表指令和数据的信息放置到总线910上。总线910将信息携带到存储器904,从这里处理器902获取指令并使用随着指令发送的某些数据来执行指令。在由处理器902执行前或后,在存储器904中接收到的指令和数据可以可选地被存储在存储器设备908中。
图10指示其上面可以实现本发明的实施例的芯片组或芯片1000。芯片组1000被编程以如这里所述加速认证,并例如包括一个或多个参照图9所述的处理器和存储器组件,它们包含在一个或多个物理封装(例如芯片)中。作为例子,物理封装包括结构组装(例如基板)上一个或多个材料,组件,和/或线路的布置,以提供一个或多个特征,诸如物理强度、尺寸保持(size conservation)、和/或电交互限制。可以设想在某些实施例中,芯片组1000可以实现为单个“片上系统”。还可以设想在某些实施例中,例如将不使用单独的ASIC,并且这里公开的所有相关功能将由一个或多个处理器执行。芯片组或芯片1000或其一部分构成一个装置,其用于执行提供与功能可用性相关的用户接口导航信息的一个或多个步骤。芯片组或芯片1000或其一部分构成用于执行加速认证的一个或多个步骤的装置。
在一个实施例中,芯片组或芯片1000包括诸如总线1001的通信机制,以用于在芯片组1000的组件之间传送信息。处理器1003连接到总线1001上来执行例如存储在存储器1005中的指令和处理其中存储的信息。处理器1003可包括一个或多个处理器核,每个核被配置为独立地执行。多核处理器允许单个物理封装中的多处理。多核处理器的例子包括双核、四核、八核或更大数量的处理器核。可替换地或附加地,处理器1003可包括一个或多个微处理器,其被配置为通过总线串通起来以实现指令的独立执行、流水线和多线程。处理器1003还可以附带有一个或多个专用组件来执行某些处理功能和任务,诸如一个或多个数字信号处理器(DSP)1007、或一个或多个专用集成电路(ASIC)1009。DSP1007通常被配置为独立于处理器1003实时地处理现实世界的信号(例如声音)。类似地,ASIC1009可被配置为执行不能容易地由通用处理器执行的特别功能。有助于执行这里描述的本发明功能的其他专用组件可包括一个或多个现场可编程门阵列(FPGA)(未示出)、一个或多个控制器(未示出)、或一个或多个其他专用计算机芯片。
在一个实施例中,芯片组1000或芯片仅包括一个或多个处理器和支持和/或相关于和/或用于所述一个或多个处理器的一些软件和/或固件。
处理器1003和附属组件通过总线1001连接到存储器1005。存储器1005可包括动态存储器(例如RAM、磁盘、可写光盘等)和静态存储器(例如ROM、CD-ROM等),以用于存储可执行的指令,当所述指令被执行时执行这里所述的加速认证的本发明的步骤。存储器1005还存储与执行本发明的步骤相关或由执行本发明的步骤生成的数据。
图11是根据一个实施例的用于通信的移动终端(例如手机)的示例性组件的图,该移动终端能够在图1的系统中运行。在某些实施例中,移动终端1100或它的一部分构成用于执行加速认证的一个或多个步骤的装置。一般来说,无线电接收器经常根据前端或后端特征来定义。接收器的前端包括所有射频(RF)电路,而后端包括所有基带处理电路。如本申请所使用的,术语“电路”是指:(1)仅有硬件的实现(诸如仅有模拟和/或数字电路的实现),和(2)电路和软件(和/或固件)的组合(诸如当适用于特定上下文时,包括数字信号处理器的处理器、软件和存储器的组合,它们一起工作来使诸如移动电话或服务器的装置执行多种功能)。“电路”的这种定义适用于本申请中(包括权利要求书中)该术语的所有使用。作为另一个例子,如本申请所使用的和当适用于特定上下文时,术语“电路”还可以覆盖仅仅有处理器(或多个处理器)和它(或它们)的附带软件/或固件的实现。当适用于特定上下文时,术语“电路”还可覆盖例如移动电话中的基带集成电路或应用处理器集成电路,或者蜂窝网络设备或其他网络设备中的类似集成电路。
电话的相关内部组件包括主控制单元(MCU)1103、数字信号处理器(DSP)、和包含麦克风增益控制单元和扬声器增益控制单元的接收器/发射器。主显示单元1107向用户提供显示以支持实现或支持加速认证的步骤的多种应用和移动终端功能。显示器1107包括显示电路,其被配置为显示移动终端(例如移动电话)的至少一部分用户界面。另外,显示器1107和显示电路被配置为方便用户控制移动终端的至少一些功能。音频功能电路1109包括麦克风1111和麦克风放大器,该放大器放大从麦克风1111输出的语音信号。从麦克风1111输出的放大后的语音信号被馈送到编码/解码器(CODEC)1113。
无线电部分1115放大功率并转换频率来通过天线1117与包含在移动通信系统中的基站进行通信。如本领域所知的,功率放大器(PA)1119和发射器/调制器电路可操作地对MCU1103作出响应,PA1119的输出连接到双工器1121或循环器或天线开关。PA1119还连接到电池接口和功率控制电路1120。
使用中,移动终端1101的用户对着麦克风1111说话,并且他或她的语音连同任何检测到的背景噪音被转换成模拟电压。于是通过模数转换器(ADC)1123将模拟电压转换成数字信号。控制单元1103将该数字信号路由到DSP1105以便在这里进行处理,诸如语音编码、信道编码、加密和交织。在一个实施例中,使用诸如蜂窝传输协议由未单独示出的单元对处理过的信号进行编码,所述协议诸如用于全球演进的增强数据率(EDGE)、通用分组无线电服务(GPRS)、移动通信全球系统(GSM)、互联网协议多媒体子系统协议(IMS)、通用移动电信系统(UTMS)等,以及任何其他适当的无线媒体,例如微波访问(WiMAX)、长期演进(LTE)网络、码分多址(CDMA)、宽带码分多址(WCDMA)、无线高保真(WiFi)、卫星等,或者其组合。
接着,编码后的信号被路由到均衡器1125,以补偿空中传输期间发生的任何依赖于频率的损害,诸如相位和振幅失真。在均衡比特流后,调制器1127将该信号与RF接口1129中生成的RF信号结合起来。通过频率或相位调制,调制器1127生成正弦波。为了准备用于传输的信号,上变频器1131将从调制器1127输出的正弦波与合成器1133生成的另一个正弦波结合起来获得传输所需要的频率。接着,该信号通过PA1119被发送以将该信号增大到适当功率水平。在实际系统中,PA1119充当变量增益放大器,其增益由DSP1105根据从网络基站接收到的信号来进行控制。接着该信号在双工器1121中被过滤并可选地发送到天线连接器1135,以匹配阻抗来提供最大功率传输。最后,通过天线1117将该信号发送到本地基站。自动增益控制(AGC)可以被提供以控制接收器最后阶段的增益。信号可以从那里被转发到远方电话,其可以是另一个蜂窝电话、任何其他移动电话或者连接到公共交换电话网络(PSTN)或其他电话网络的陆上线路。
发送到移动终端1101的语音信号通过天线1117接收到并立即由低噪音放大器(LNA)1137放大。下变频器1139降低载波频率,而解调器1141剥离RF仅留下数字比特流。接着,信号通过均衡器1125并由DSP1105处理。数模转换器(DAC)1143转换信号,而得到的输出通过扬声器1145被传送给用户,所有这些都受主控制电路(MCU)1103的控制,该主控电路可被实现为中央处理单元(CPU)(未示出)。
MCU1103从键盘1447接收包括输入信号的多种信号。键盘1147和/或MCU1103以及其他用户输入组件(例如麦克风1111)包括用于管理用户输入的用户接口电路。MCU1103运行用户接口软件来方便用户控制移动终端1101的至少某些功能,以加速认证。MCU1103还分别将显示命令和开关命令传送给显示器1107和语音输出开关控制器。另外,MCU1103与DSP1105交换信息并可访问可选地包含的SIM卡1149和存储器1151。另外,MCU1103执行终端所要求的多种控制功能。根据实现,DSP1105可在语音信号上执行多种传统数字处理功能中的任何一种。另外,DSP1105根据由麦克风1111检测到的信号确定本地环境的背景噪音水平,并将麦克风1111的增益设置到一个水平,该水平被选择来补偿移动终端1101用户的天然倾向。
CODEC1113包括ADC1123和DAC1143。存储器1151存储多种数据,包括呼入电话的语音数据,并能够存储其他数据,包括例如从全球互联网接收到到音乐数据。软件模块可位于RAM存储器、闪速存储器、寄存器、或本领域所知的任何其他形式的可写存储媒体中。存储器设备1151可以但不局限于是单个存储器、CD、DVD、ROM、RAM、EEPROM、光存储器、磁盘存储器、闪速存储器、或能够存储数字数据的任何其他非易失性存储媒体。
可选地包含的SIM卡1149例如载有重要信息,诸如蜂窝电话号码、提供服务的运营商、预订详情(subscription detail)和安全信息。SIM卡1149主要用于在无线电网络中识别移动终端1101。卡1149还包含存储器,用于存储个人电号码登记、文本消息、和用户特定的移动终端设置。
尽管已经结合若干实施例和实现描述了本发明,但本发明并不局限于此,而是覆盖多种明显变形和等同配置,它们都落入所附权利要求的保护范围。尽管本发明的特征在权利要求中被表述为某些组合,可以设想这些特征可以被安排为任何组合和顺序。
Claims (44)
1.一种方法,包括:
接收第一数据,其指示用于第一用户的用户证书的第一部分而非用于所述第一用户的用户证书的第二部分,其中用户证书被用于认证用户;
确定所述用户证书的第一部分是否有效;以及
如果所述用户证书的第一部分有效,则确定发送第二数据,其指示用于所述第一用户的用户证书的第二部分的有效值。
2.如权利要求1所述的方法,其中所述第二数据被发送到远程过程,该远程过程被信任以确保从所述第一用户接收到的数据基本与用于所述第一用户的用户证书的第二部分的有效值相一致。
3.如权利要求1或所述的方法,其中所述第二数据还指示令牌,其被所述第一用户用于在预定时间段内从一组一个或多个网络服务获取服务。
4.如权利要求1-3中的任何一个所述的方法,其中所述第二数据指示用于所述第一用户的用户证书的第二部分的有效值的加密版本。
5.如权利要求4所述的方法,其中用于所述第一用户的用户证书的第二部分的有效值的加密版本被远程过程用于验证从所述第一用户接收到的数据。
6.一种方法,包括:
接收第一数据,其指示用于第一用户的用户证书的第一部分而非用于所述第一用户的用户证书的第二部分,其中用户证书被用于认证用户;以及
在接收指示用于所述第一用户的用户证书的第二部分的第二数据之前,确定向远程过程发送指示所述用户证书的第一部分的第一消息,所述远程过程根据所述用户证书的第一部分启动对所述第一用户的认证。
7.如权利要求6所述的方法,还包括:
接收指示用于所述第一用户的用户证书的第二部分的第二数据;以及
响应于接收到所述第二数据,确定所述第二数据是否有效。
8.如权利要求7所述的方法,其中确定所述第二数据是否有效还包括:
确定向所述远程过程发送指示所述用户证书的第二部分的第二消息;以及
确定所述远程过程是否响应于所述第二消息返回指示成功认证的第三数据。
9.如权利要求7所述的方法,其中确定所述第二数据是否有效还包括:
从所述远程过程接收第三数据,其指示用于所述用户证书的第二部分的有效值;以及
确定所述第二数据是否与所述第三数据相一致。
10.如权利要求6-9中的任何一个所述的方法,其中所述第一消息还指示对来自所述远程过程的服务的请求。
11.如权利要求6-10中的任何一个所述的方法,其中所述远程过程是认证服务,并且所述第一数据和第二数据是从运行于由所述第一用户操作的设备上的不同远程过程接收的。
12.如权利要求6-11中的任何一个所述的方法,还包括,在接收到指示用于所述第一用户的用户证书的第二部分的第二数据之前,至少部分地根据用于所述第一用户的用户证书的第一部分中的用户标识符来确定获取用于所述第一用户的本地用户简档数据。
13.如权利要求6-11中的任何一个所述的方法,还包括,如果所述远程过程确定用于所述第一用户的用户证书的第一部分有效,从所述远程过程接收第二消息,其包含指示用于所述第一用户的用户证书的第二部分的有效值的数据。
14.如权利要求6-13中的任何一个所述的方法,还包括,响应于接收到所述第二消息,确定向不同远程过程发送第三消息,其指示用于所述第一用户的用户证书的第二部分的有效值。
15.如权利要求6-13中的任何一个所述的方法,还包括:
接收第二数据,其指示用于所述第一用户的用户证书的第二部分;以及
至少部分地根据指示用于所述第一用户的用户证书的第二部分的有效值的数据确定所述第二数据是否有效。
16.一种装置,包括:
至少一个处理器;以及
包含用于一个或多个程序的计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置为,用所述至少一个处理器,使得所述装置至少:
接收第一数据,其指示用于第一用户的用户证书的第一部分而非用于所述第一用户的用户证书的第二部分,其中用户证书被用于认证用户;
确定所述用户证书的第一部分是否有效;以及
如果所述用户证书的第一部分有效,则确定发送第二数据,其指示用于所述第一用户的用户证书的第二部分的有效值。
17.如权利要求16所述的装置,其中所述第二数据被发送到远程过程,其被信任以确保从所述第一用户接收到的数据基本与用于所述第一用户的用户证书的第二部分的有效值相一致。
18.一种装置,包括:
至少一个处理器;以及
包含用于一个或多个程序的计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置为,用所述至少一个处理器,使得所述装置至少:
接收第一数据,其指示用于第一用户的用户证书的第一部分而非用于所述第一用户的用户证书的第二部分,其中用户证书被用于认证用户;以及
在接收指示用于所述第一用户的用户证书的第二部分之前,确定向远程过程发送指示所述用户证书的第一部分的第一消息,所述远程过程根据所述用户证书的第一部分启动对所述第一用户的认证。
19.如权利要求18所述的装置,其中还使得所述装置:
接收指示用于所述第一用户的用户证书的第二部分的第二数据;以及
响应于接收到所述第二数据,确定所述第二数据是否有效。
20.如权利要求18所述的装置,其中所述装置是移动电话,还包括:
用户接口电路和用户接口软件,其被配置为方便用户通过使用显示器来控制所述移动电话的至少一些功能,并被配置为响应用户输入;以及
显示器和显示电路,其被配置为显示所述移动电话的至少一部分用户界面,所述显示器和显示电路被配置为方便用户控制所述移动电话的至少一些功能。
21.如权利要求1-4中的任何一个所述的方法,其中所述第二数据还指示令牌,其被所述第一用户用于在预定时间段内获取来自一组一个或多个网络服务的服务。
22.如权利要求1-4或21中的任何一个所述的方法,其中所述第一部分是用户证书的预定部分。
23.如权利要求1-4或21-22中的任何一个所述的方法,其中:
所述第一部分包含指示用于所述第一用户的用户标识符的数据和指示用于所述第一用户的密码的一部分的数据;以及
所述第二部分包含指示所述密码的剩余部分的数据。
24.如权利要求1-4或21-23中的任何一个所述的方法,其中所述第二数据指示用于所述第一用户的用户证书的第二部分的有效值的加密版本。
25.如权利要求24所述的方法,其中用于所述第一用户的用户证书的第二部分的有效值的加密版本被远程过程用于验证从所述第一用户接收到的数据。
26.如权利要求7-8中的任何一个所述的方法,其中确定所述第二数据是否有效还包括:
从所述远程过程接收第三数据,其指示用于所述用户证书的第二部分的有效值;以及
确定所述第二数据与所述第三数据是否相一致。
27.如权利要求6-8或26中的任何一个所述的方法,其中所述第一消息还指示对来自所述远程过程的服务的请求。
28.如权利要求27所述的方法,还包括如果用于所述第一用户的用户证书的第一部分有效并且所述第一部分足够用于获取所述服务数据,则响应所述请求,从所述远程过程接收服务数据。
29.如权利要求6-8或26-28中的任何一个所述的方法,其中所述远程过程是认证服务,并且所述第一数据和第二数据是从运行于由所述第一用户操作的设备上的不同远程过程接收的。
30.如权利要求29所述的方法,还包括在接收到指示用于所述第一用户的用户证书的第二部分的第二数据之前,至少部分地根据用于所述第一用户的用户证书的第一部分中的用户标识符来确定获取用于所述第一用户的本地用户简档数据。
31.如权利要求29-30中的任何一个所述的方法,还包括,如果服务数据被所述用户证书的第一部分授权并且如果所述远程过程确定用于所述第一用户的用户证书的第一部分有效,确定向运行于由所述第一用户操作的设备上的不同远程过程发送服务数据。
32.如权利要求29-31中的任何一个所述的方法,还包括如果所述远程过程确定用于所述第一用户的用户证书的第一部分有效,从所述远程过程接收第二消息,其包含指示用于所述第一用户的用户证书的第二部分的有效值的数据。
33.如权利要求32所述的方法,还包括响应于接收到所述第二消息,确定向所述不同远程过程发送第三消息,其指示用于所述第一用户的用户证书的第二部分的有效值。
34.如权利要求33所述的方法,其中
所述第二消息还包含令牌,其指示所述第一用户在预定时间段内被认证;以及
所述第三消息包含所述令牌。
35.如权利要求32-34中的任何一个所述的方法,还包括:
接收第二数据,其指示用于所述第一用户的用户证书的第二部分;以及
至少部分地根据指示用于所述第一用户的用户证书的第二部分的有效值的数据确定所述第二数据是否有效。
36.如权利要求35所述的方法,还包括,如果所述第二数据被确定为有效,则为从所述不同远程过程接收到的服务请求提供服务。
37.如权利要求34-36中的任何一个所述的方法,还包括:
所述第二消息包含令牌,其指示所述第一用户在预定时间段内被认证;以及
所述方法还包括,如果所述第二数据被确定为有效,则确定向所述不同远程过程发送包含所述令牌的第三消息。
38.如权利要求37所述的方法,其中:
所述第一数据还指示对服务的请求;以及
所述第三消息还包含由所述第一用户的用户证书的第一部分和第二部分两者授权的服务数据。
39.一种方法,包括方便访问至少一个接口,其被配置为允许访问至少一个服务,所述至少一个服务被配置为至少执行权利要求1-38中的任何一个所述的方法的步骤。
40.一种装置,包括:
至少一个处理器;以及
包含用于一个或多个程序的计算机程序代码的至少一个存储器,
所述至少一个存储器和所述计算机程序代码被配置为,用所述至少一个处理器,使得所述装置至少执行权利要求1-38中的任何一个所述的方法的步骤。
41.如权利要求40所述的装置,其中所述装置是移动电话,还包括:
用户界面电路和用户界面软件,其被配置为方便用户通过使用显示器来控制所述移动电话的至少一些功能,并被配置为响应用户输入;以及
显示器和显示电路,其被配置为至少显示所述移动电话一部分用户界面,所述显示器和显示电路被配置为方便用户控制所述移动电话的至少一些功能。
42.一种装置,其包含用于执行权利要求1-38中的任何一个所述的方法的每个步骤的装置。
43.一种计算机可读存储媒体,其载有一个或多个指令的一个或多个序列,所述指令当由一个或多个处理器执行时,使得所述装置至少执行权利要求1-39中的任何一个所述的方法的步骤。
44.一种计算机程序产品,其包含一个或多个指令的一个或多个序列,所述指令当由一个或多个处理器执行时,使得所述装置至少执行权利要求1-39中的任何一个所述的方法的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/891,476 | 2010-09-27 | ||
| US12/891,476 US9667423B2 (en) | 2010-09-27 | 2010-09-27 | Method and apparatus for accelerated authentication |
| PCT/FI2011/050798 WO2012042103A1 (en) | 2010-09-27 | 2011-09-16 | Method and apparatus for accelerated authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103155513A true CN103155513A (zh) | 2013-06-12 |
| CN103155513B CN103155513B (zh) | 2016-01-27 |
Family
ID=45872076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180046525.3A Active CN103155513B (zh) | 2010-09-27 | 2011-09-16 | 加速认证的方法和装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US9667423B2 (zh) |
| CN (1) | CN103155513B (zh) |
| WO (1) | WO2012042103A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106063188A (zh) * | 2013-11-28 | 2016-10-26 | 弗里德瑞奇·基斯特斯 | 在通信网络中的认证和/或标识方法 |
| CN107408278A (zh) * | 2015-03-24 | 2017-11-28 | 大日本印刷株式会社 | 系统设定管理系统 |
| CN107637044A (zh) * | 2015-04-24 | 2018-01-26 | 思杰系统有限公司 | 安全带内服务检测 |
| US20220376906A1 (en) * | 2015-07-02 | 2022-11-24 | Adrian Kent | Quantum tokens |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8555332B2 (en) | 2010-08-20 | 2013-10-08 | At&T Intellectual Property I, L.P. | System for establishing communications with a mobile device server |
| US8989055B2 (en) | 2011-07-17 | 2015-03-24 | At&T Intellectual Property I, L.P. | Processing messages with a device server operating in a telephone |
| US8516039B2 (en) * | 2010-10-01 | 2013-08-20 | At&T Intellectual Property I, L.P. | Apparatus and method for managing mobile device servers |
| US8504449B2 (en) | 2010-10-01 | 2013-08-06 | At&T Intellectual Property I, L.P. | Apparatus and method for managing software applications of a mobile device server |
| US9392316B2 (en) | 2010-10-28 | 2016-07-12 | At&T Intellectual Property I, L.P. | Messaging abstraction in a mobile device server |
| US9066123B2 (en) | 2010-11-30 | 2015-06-23 | At&T Intellectual Property I, L.P. | System for monetizing resources accessible to a mobile device server |
| US20120297015A1 (en) * | 2011-05-19 | 2012-11-22 | Third Solutions, Inc. | System and method for building data relevant applications |
| CN104205721B (zh) | 2012-03-08 | 2018-03-23 | 诺基亚技术有限公司 | 情景感知自适应认证方法和装置 |
| US9571478B2 (en) * | 2014-01-09 | 2017-02-14 | Red Hat, Inc. | Conditional request processing |
| US9311463B2 (en) * | 2014-02-27 | 2016-04-12 | International Business Machines Corporation | Multi-level password authorization |
| US10015720B2 (en) | 2014-03-14 | 2018-07-03 | GoTenna, Inc. | System and method for digital communication between computing devices |
| US9722996B1 (en) * | 2015-03-23 | 2017-08-01 | EMC IP Holding Company LLC | Partial password-based authentication using per-request risk scores |
| WO2017007936A1 (en) * | 2015-07-07 | 2017-01-12 | Shape Security, Inc. | Split serving of computer code |
| CN105187450B (zh) * | 2015-10-08 | 2019-05-10 | 飞天诚信科技股份有限公司 | 一种基于认证设备进行认证的方法和设备 |
| EP3340560A1 (en) * | 2016-12-22 | 2018-06-27 | Mastercard International Incorporated | Mobile device user validation method and system |
| US10193992B2 (en) | 2017-03-24 | 2019-01-29 | Accenture Global Solutions Limited | Reactive API gateway |
| US10355864B2 (en) * | 2017-08-29 | 2019-07-16 | Citrix Systems, Inc. | Policy based authentication |
| US11503015B2 (en) * | 2017-10-12 | 2022-11-15 | Mx Technologies, Inc. | Aggregation platform portal for displaying and updating data for third-party service providers |
| CN111713122B (zh) | 2018-02-15 | 2024-02-06 | 瑞典爱立信有限公司 | 用于提高数据传输安全性的方法、用户设备和网络节点 |
| US10813169B2 (en) | 2018-03-22 | 2020-10-20 | GoTenna, Inc. | Mesh network deployment kit |
| US11522713B2 (en) | 2018-03-27 | 2022-12-06 | Workday, Inc. | Digital credentials for secondary factor authentication |
| US11716320B2 (en) | 2018-03-27 | 2023-08-01 | Workday, Inc. | Digital credentials for primary factor authentication |
| US11700117B2 (en) | 2018-03-27 | 2023-07-11 | Workday, Inc. | System for credential storage and verification |
| US11770261B2 (en) | 2018-03-27 | 2023-09-26 | Workday, Inc. | Digital credentials for user device authentication |
| US11698979B2 (en) | 2018-03-27 | 2023-07-11 | Workday, Inc. | Digital credentials for access to sensitive data |
| US11792181B2 (en) | 2018-03-27 | 2023-10-17 | Workday, Inc. | Digital credentials as guest check-in for physical building access |
| US11792180B2 (en) | 2018-03-27 | 2023-10-17 | Workday, Inc. | Digital credentials for visitor network access |
| US11019053B2 (en) | 2018-03-27 | 2021-05-25 | Workday, Inc. | Requesting credentials |
| US11641278B2 (en) | 2018-03-27 | 2023-05-02 | Workday, Inc. | Digital credential authentication |
| US11531783B2 (en) | 2018-03-27 | 2022-12-20 | Workday, Inc. | Digital credentials for step-up authentication |
| US11683177B2 (en) | 2018-03-27 | 2023-06-20 | Workday, Inc. | Digital credentials for location aware check in |
| US11627000B2 (en) | 2018-03-27 | 2023-04-11 | Workday, Inc. | Digital credentials for employee badging |
| JP7100561B2 (ja) * | 2018-10-30 | 2022-07-13 | ウイングアーク1st株式会社 | 認証システム、認証サーバおよび認証方法 |
| US11641363B2 (en) * | 2019-01-14 | 2023-05-02 | Qatar Foundation For Education, Science And Community Development | Methods and systems for verifying the authenticity of a remote service |
| EP4144067A4 (en) * | 2020-04-30 | 2023-10-25 | Visa International Service Association | TOKEN-FOR-TOKEN PROVISION |
| US11770377B1 (en) * | 2020-06-29 | 2023-09-26 | Cyral Inc. | Non-in line data monitoring and security services |
| CN115883119B (zh) * | 2021-09-29 | 2024-05-24 | 富联精密电子(天津)有限公司 | 服务验证方法、电子装置及存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5168520A (en) * | 1984-11-30 | 1992-12-01 | Security Dynamics Technologies, Inc. | Method and apparatus for personal identification |
| US5237614A (en) * | 1991-06-07 | 1993-08-17 | Security Dynamics Technologies, Inc. | Integrated network security system |
| US20040098609A1 (en) * | 2002-11-20 | 2004-05-20 | Bracewell Shawn Derek | Securely processing client credentials used for Web-based access to resources |
| CN1717111A (zh) * | 2004-06-30 | 2006-01-04 | 微软公司 | 通过蜂窝网络的设备的安全证书登记 |
| US20060020679A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for pluggability of federation protocol runtimes for federated user lifecycle management |
| US20060021018A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
| US7228291B2 (en) * | 2000-03-07 | 2007-06-05 | International Business Machines Corporation | Automated trust negotiation |
| CN101006680A (zh) * | 2004-06-24 | 2007-07-25 | 诺基亚公司 | 向服务提供者认证用户的系统和方法 |
| CN101175094A (zh) * | 2007-11-08 | 2008-05-07 | 中国传媒大学 | 一种集成版权管理的互为服务器的设计方法以及网络架构 |
| CN101179373A (zh) * | 2006-11-08 | 2008-05-14 | 许丰 | 可视智能密码钥匙 |
| US20090006861A1 (en) * | 2007-06-27 | 2009-01-01 | Bemmel Jeroen Ven | Method and Apparatus for Preventing Internet Phishing Attacks |
| CN101366037A (zh) * | 2005-12-05 | 2009-02-11 | 诺基亚公司 | 在移动终端中用于安全http摘要响应验证以及完整性保护的计算机程序产品、装置以及方法 |
| CN101521884A (zh) * | 2009-03-25 | 2009-09-02 | 刘建 | 一种自组网模式下安全关联建立方法及终端 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5367572A (en) | 1984-11-30 | 1994-11-22 | Weiss Kenneth P | Method and apparatus for personal identification |
| US4720860A (en) | 1984-11-30 | 1988-01-19 | Security Dynamics Technologies, Inc. | Method and apparatus for positively identifying an individual |
| US4885778A (en) | 1984-11-30 | 1989-12-05 | Weiss Kenneth P | Method and apparatus for synchronizing generation of separate, free running, time dependent equipment |
| US4998279A (en) | 1984-11-30 | 1991-03-05 | Weiss Kenneth P | Method and apparatus for personal verification utilizing nonpredictable codes and biocharacteristics |
| US4856062A (en) | 1984-11-30 | 1989-08-08 | Kenneth Weiss | Computing and indicating device |
| EP0555219B1 (en) | 1990-10-19 | 2002-06-26 | RSA Security Inc. | Method and apparatus for personal identification |
| US5485519A (en) | 1991-06-07 | 1996-01-16 | Security Dynamics Technologies, Inc. | Enhanced security for a secure token code |
| US5479512A (en) | 1991-06-07 | 1995-12-26 | Security Dynamics Technologies, Inc. | Method and apparatus for performing concryption |
| US6842860B1 (en) | 1999-07-23 | 2005-01-11 | Networks Associates Technology, Inc. | System and method for selectively authenticating data |
| BR0308702A (pt) * | 2002-03-28 | 2005-02-09 | Robertshaw Controls Co | Sistema e método de gerenciamento de suprimento de energia, dispositivo de termostato e método de desvio de pedidos de energia |
| JP3956130B2 (ja) | 2002-12-25 | 2007-08-08 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 認証装置、認証システム、認証方法、プログラム、及び記録媒体 |
| US7784089B2 (en) * | 2004-10-29 | 2010-08-24 | Qualcomm Incorporated | System and method for providing a multi-credential authentication protocol |
| US20070136792A1 (en) * | 2005-12-05 | 2007-06-14 | Ting David M | Accelerating biometric login procedures |
| US7720091B2 (en) * | 2006-01-10 | 2010-05-18 | Utbk, Inc. | Systems and methods to arrange call back |
| ATE510396T1 (de) | 2006-02-01 | 2011-06-15 | Research In Motion Ltd | System und methode für die validierung eines benutzerkontos mit einer drahtlosen vorrichtung |
| US7886346B2 (en) | 2006-02-13 | 2011-02-08 | Vmware, Inc. | Flexible and adjustable authentication in cyberspace |
| KR101139407B1 (ko) | 2007-10-11 | 2012-04-27 | 주식회사 인포틱스 | 보안 인증 방법 및 시스템 |
-
2010
- 2010-09-27 US US12/891,476 patent/US9667423B2/en active Active
-
2011
- 2011-09-16 WO PCT/FI2011/050798 patent/WO2012042103A1/en active Application Filing
- 2011-09-16 CN CN201180046525.3A patent/CN103155513B/zh active Active
-
2017
- 2017-05-24 US US15/604,134 patent/US9979545B2/en active Active
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5168520A (en) * | 1984-11-30 | 1992-12-01 | Security Dynamics Technologies, Inc. | Method and apparatus for personal identification |
| US5237614A (en) * | 1991-06-07 | 1993-08-17 | Security Dynamics Technologies, Inc. | Integrated network security system |
| US7228291B2 (en) * | 2000-03-07 | 2007-06-05 | International Business Machines Corporation | Automated trust negotiation |
| US20040098609A1 (en) * | 2002-11-20 | 2004-05-20 | Bracewell Shawn Derek | Securely processing client credentials used for Web-based access to resources |
| CN101006680A (zh) * | 2004-06-24 | 2007-07-25 | 诺基亚公司 | 向服务提供者认证用户的系统和方法 |
| CN1717111A (zh) * | 2004-06-30 | 2006-01-04 | 微软公司 | 通过蜂窝网络的设备的安全证书登记 |
| US20060021018A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for enabling trust infrastructure support for federated user lifecycle management |
| US20060020679A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for pluggability of federation protocol runtimes for federated user lifecycle management |
| CN101366037A (zh) * | 2005-12-05 | 2009-02-11 | 诺基亚公司 | 在移动终端中用于安全http摘要响应验证以及完整性保护的计算机程序产品、装置以及方法 |
| CN101179373A (zh) * | 2006-11-08 | 2008-05-14 | 许丰 | 可视智能密码钥匙 |
| US20090006861A1 (en) * | 2007-06-27 | 2009-01-01 | Bemmel Jeroen Ven | Method and Apparatus for Preventing Internet Phishing Attacks |
| CN101175094A (zh) * | 2007-11-08 | 2008-05-07 | 中国传媒大学 | 一种集成版权管理的互为服务器的设计方法以及网络架构 |
| CN101521884A (zh) * | 2009-03-25 | 2009-09-02 | 刘建 | 一种自组网模式下安全关联建立方法及终端 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106063188A (zh) * | 2013-11-28 | 2016-10-26 | 弗里德瑞奇·基斯特斯 | 在通信网络中的认证和/或标识方法 |
| CN106063188B (zh) * | 2013-11-28 | 2019-07-23 | 弗里德瑞奇·基斯特斯 | 在通信网络中的认证和/或标识方法 |
| CN107408278A (zh) * | 2015-03-24 | 2017-11-28 | 大日本印刷株式会社 | 系统设定管理系统 |
| CN107408278B (zh) * | 2015-03-24 | 2021-06-22 | 大日本印刷株式会社 | 系统设定管理系统 |
| CN107637044A (zh) * | 2015-04-24 | 2018-01-26 | 思杰系统有限公司 | 安全带内服务检测 |
| US11032379B2 (en) | 2015-04-24 | 2021-06-08 | Citrix Systems, Inc. | Secure in-band service detection |
| CN107637044B (zh) * | 2015-04-24 | 2021-06-11 | 思杰系统有限公司 | 安全带内服务检测 |
| US11750709B2 (en) | 2015-04-24 | 2023-09-05 | Citrix Systems, Inc. | Secure in-band service detection |
| US20220376906A1 (en) * | 2015-07-02 | 2022-11-24 | Adrian Kent | Quantum tokens |
| US11962688B2 (en) * | 2015-07-02 | 2024-04-16 | Quantinuum Limited | Quantum tokens |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170264437A1 (en) | 2017-09-14 |
| WO2012042103A1 (en) | 2012-04-05 |
| US20120079570A1 (en) | 2012-03-29 |
| CN103155513B (zh) | 2016-01-27 |
| US9667423B2 (en) | 2017-05-30 |
| US9979545B2 (en) | 2018-05-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103155513B (zh) | 加速认证的方法和装置 | |
| US11361065B2 (en) | Techniques for authentication via a mobile device | |
| US11438168B2 (en) | Authentication token request with referred application instance public key | |
| CN112333198B (zh) | 安全跨域登录方法、系统及服务器 | |
| US11750603B2 (en) | System and method for authenticating users across devices | |
| KR101270323B1 (ko) | 단일 서비스 사인 온을 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 | |
| US7540022B2 (en) | Using one-time passwords with single sign-on authentication | |
| US11831680B2 (en) | Electronic authentication infrastructure | |
| US20110239282A1 (en) | Method and Apparatus for Authentication and Promotion of Services | |
| US9213931B1 (en) | Matrix barcode enhancement through capture and use of neighboring environment image | |
| US9325683B2 (en) | Mobile application management framework | |
| US20170180337A1 (en) | Techniques to verify location for location based services | |
| CN104081742A (zh) | 用于提供联合服务账户的方法和装置 | |
| US20110239281A1 (en) | Method and apparatus for authentication of services | |
| US20090328141A1 (en) | Authentication, identity, and service management for computing and communication systems | |
| CN112131021B (zh) | 一种访问请求处理方法及装置 | |
| CN102754098A (zh) | 用于安全跨站脚本的方法和装置 | |
| US20210099431A1 (en) | Synthetic identity and network egress for user privacy | |
| CN102763395A (zh) | 提供基于认证上下文的会话的方法和装置 | |
| US20180262471A1 (en) | Identity verification and authentication method and system | |
| CN111555884A (zh) | 用于位置感知双因素认证的系统和方法 | |
| Fan et al. | Secure ultra-lightweight RFID mutual authentication protocol based on transparent computing for IoV | |
| EP4040720A1 (en) | Secure identity card using unclonable functions | |
| EP3673395B1 (en) | Systems and methods for authenticated parameterized application installation and launch | |
| US20170351866A1 (en) | Authentication method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| GR01 | Patent grant | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160105 Address after: Espoo, Finland Applicant after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Applicant before: Nokia Oyj |