CN104881599B - 用于移动应用的密码恢复的系统、方法和计算机可读存储介质 - Google Patents
用于移动应用的密码恢复的系统、方法和计算机可读存储介质 Download PDFInfo
- Publication number
- CN104881599B CN104881599B CN201410721249.1A CN201410721249A CN104881599B CN 104881599 B CN104881599 B CN 104881599B CN 201410721249 A CN201410721249 A CN 201410721249A CN 104881599 B CN104881599 B CN 104881599B
- Authority
- CN
- China
- Prior art keywords
- password
- mobile
- data
- remote
- derived
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2131—Lost password, e.g. recovery of lost or forgotten passwords
Abstract
加密管理器可以被配置加密与运行在移动设备上的移动应用相关联的移动数据,其中该移动应用被配置为与运行在远程服务器上的远程应用交互,并且移动数据使用移动密码被加密。移动密码恢复管理器可以使用用于访问运行在远程服务器上的远程应用的远程密码加密移动密码,并且可以在移动密码丢失的情况下恢复移动数据,包括使用远程密码解密被加密的移动密码。
Description
技术领域
本说明书涉及密码恢复技术。
背景技术
运行在移动设备上的移动应用可以经常与运行在远程服务器上的远程应用相关联,例如,可以利用或以其他方式与远程应用交互。例如,在商务背景下,可以利用企业服务器运行企业应用并储存关联的企业数据,并且移动设备上的移动应用可以被配置为利用企业应用/数据。通过这种方式,例如,雇员可以受益于能访问必要的企业资源,甚至在旅行或远离办公室环境时。
在这些以及类似的背景下,远程服务器通常能访问广泛的安全服务,以及能访问利用这种安全服务所需的必要硬件/软件资源。因此,这种远程服务器可以被认为是相对安全的,以便远程服务器的用户或运营商可以对于与之共同存储的数据的保密性和完整性具有相当地信心。
相比之下,运行与远程服务器通信的移动应用的移动设备具有很少的资源可用于实现安全措施,以保护使用移动设备储存的数据。此外,这种移动设备从本质上讲也是易于丢失或被窃取的。结果,对于保持所储存的数据的保密性和完整性而言,移动设备通常被认为是潜在的故障点。因此,移动设备和移动应用往往与利用这种移动设备的漏洞的广为得知和精心研究的攻击技术相关联。
在诸如上面提及的那些情景下,相对于保持所储存在远程服务器中的数据的保密性和完整性而言,移动应用是潜在的故障点。因此,远程应用或其管理员可以相对于在移动设备中使用的用于访问移动应用的移动密码来强制执行密码策略。这种移动密码可以和在远程服务器中访问远程应用所需的远程密码一起使用,并且因此在可以由移动设备本身提供的安全机制以外,还可以提供额外的安全层。
然而,在传统的实现中,如果移动密码丢失或对于移动设备的用户变为不可用,则很难或不可能恢复这种移动密码。结果,在这种情境下,使用移动密码加密的全部数据可能变为不可访问,使得移动设备的用户可能不得不尝试恢复或重新创建这种丢失的数据。一般地,这种恢复或重新创建丢失数据的尝试在最好情况下将造成不便,而且在最坏的情况下是无用的,因此导致增加移动设备的用户的不满,以及潜在的利润损失、客户不满、和/或由远程应用的提供者遭受的其他坏处。
发明内容
根据一个总的方面,一种系统可以包括记录在非临时的计算机可读介质上、并且可由至少一个处理器运行的指令。所述系统可以包括:加密管理器,被配置为致使所述至少一个处理器加密与运行在移动设备上并且被配置为与运行在远程服务器上的远程应用交互的移动应用相关联的移动数据,该移动数据使用移动密码被加密。所述系统可以包括:移动密码恢复管理器,被配置为致使所述至少一个处理器使用用于访问运行在远程服务器上的远程应用的远程密码加密移动密码并且在移动密码丢失的情况下恢复移动数据,包括使用远程密码解密被加密的移动密码。
根据另一总的方面,用于运行储存在非临时的计算机可读存储介质上的指令的计算机实现的方法可以包括:加密与运行在移动设备上并且被配置为与运行在远程服务器上的远程应用交互的移动应用相关联的移动数据,所述移动数据使用移动密码被加密。所述方法还可以包括:使用用于访问运行在远程服务器上的远程应用的远程密码加密移动密码,并且在移动密码丢失的情况下恢复移动数据,包括使用远程密码解密被加密的移动密码。
根据另一总的方面,计算机程序产品可以有形地具体实现在非临时的计算机可读存储介质上并且可以包括指令,当由至少一个处理器运行该指令时,被配置为:加密与运行在移动设备上并且被配置为与运行在远程服务器上的远程应用交互的移动应用相关联的移动数据,所述移动数据使用移动密码被加密。当所述指令由所述至少一个处理器运行时,可以使用用于访问运行在远程服务器上的远程应用的远程密码加密移动密码,并且在移动密码丢失的情况下恢复移动数据,包括使用远程密码解密被加密的移动密码。
所述一个或多个实现的细节在附图和下面的描述中阐明。其他特征将从描述和附图以及从权利要求中变得清楚。
附图说明
图1是用于移动应用的密码恢复的系统的框图。
图2是示出图1的系统的示例操作的流程图。
图3是使用图1的系统的、用于加密和使用用于移动应用的移动密码的系统的框图。
图4是示出图3的系统的详细操作的流程图。
图5是使用相对于图1描述的技术的、用于恢复用于移动应用的移动密码的示例系统的框图。
图6是示出图5的系统的详细操作的流程图。
具体实施方式
图1是用于移动应用的密码恢复的系统100的框图。在图1的示例中,移动设备102被示出为正处于与远程服务器104的通信中,例如,用通信网络的方式。如上面提到地,远程服务器104可以被配置为向移动设备102的用户提供多种服务,并且在这种情况下,可以装备有以安全的方式提供这种服务所需的全部必要的和/或可用的人和计算资源。还如上面提到地,与此相比,移动设备102可能具有少得多的可支配的资源以用于确保由移动设备102使用的活动和数据的安全性。此外,移动设备102的小型和便携式性质可能使移动设备102面临安全危险,所述安全危险对于远程服务器104而言并不存在。
在图1的示例中,如下面详细描述地,假定远程服务器104的提供者对于移动设备102的用户的活动和数据的安全性感兴趣。例如,移动设备102的用户可以利用移动设备102存储由远程服务器104的提供者拥有的保密数据,包括提供到远程服务器104本身的访问的移动设备102的用户的授权。因此,如描述地,对于保护远程服务器104的数据的保密性和完整性,移动设备102是远程服务器104的提供者的薄弱点。
另一方面,部署移动设备102的原因包括为移动设备102的用户提供方便的便携的访问点,其中用户102通常理解为包括,例如,代理、消费者、雇员、或远程服务器104的其他代表或关联。因此,远程服务器104的提供者还对于确保移动设备102的用户的便利性和效率感兴趣,例如,以便在运行代表远程服务器104的提供者的服务时(或为了远程服务器104的提供者的利益)确保移动设备102的用户的生产力(productivity)和满意度。
为了平衡这些竞争的兴趣,系统100向移动设备102的用户提供移动密码。实际上,移动密码仅对移动设备102的用户已知。此外,加密算法,其代表远程服务器104使用移动密码来加密数据以存储在移动设备102中,不需要存储移动密码本身。因此,在移动设备102的用户丢失移动密码的情况下,系统100外部的移动设备102的用户将不能恢复移动密码本身,或者不能利用任何加密的数据。因此,在缺少本文描述的技术的情况下,移动设备102的用户将需要重新安装任何相关的移动应用,和/或恢复或重新创建先前使用丢失的移动密码所加密的任何数据。
然而,在图1的系统100中,如本文详细描述的,移动设备102可以被配置为利用包括(例如)提供给移动设备102的用户以用于在访问远程服务器104时使用的安全授权的远程服务器104的资源以恢复丢失的移动密码。结果,当使用图1的系统100时,即使在移动设备102的用户的移动密码完全丢失时,移动设备102的用户也可以不需要重新安装应用和/或恢复或重新创建丢失数据。因此,可以提高移动设备102的用户的效率、生产力和便利性,同时很少增加或者不增加关于移动设备102或远程服务器104的关联数据的保密性和完整性的风险。
在图1的示例中,移动设备102示出为包括至少一个处理器106、非临时的计算机可读存储介质108和操作系统110。当然,移动设备102可以被理解为包括各种其他标准组件,诸如,与例如功率管理、网络接口、显示屏、以及可以包括在移动设备102的多种实现中或与其相关联的多种其他元件有关的硬件/软件组件。虽然下面为了解释系统100的操作的目的在某种程度上提及这样的标准组件,但是可以理解地是,对于这些标准移动设备组件的提及的意图是,提供图1的系统100的实现的说明性的非限制的示例,并且示出通用移动计算设备到图1的系统100的专用移动设备的变换。
在这方面,可以理解地是,移动设备102实际上可以代表或包括任何移动计算设备。例如,这种设备包括便携式计算机、笔记本、上网本、平板、或智能电话计算设备的各种实现。因此,可以理解地是,包括至少一个处理器106和计算机可读存储介质108将相应于包括任何合适的或适当的这样的元件。类似地,操作系统110实际上可以代表任何当前或将来商业上可用的操作系统,该操作系统对于运行上面所提及的类型的移动设备的特定实现的背景而言是合适的或适当的。
在图1的示例中,移动设备102和操作系统110示出为运行移动应用112。在示例中,移动应用112可以被理解为与运行在远程服务器104上的远程应用114相关联。
例如,移动应用112可以提供远程应用114的功能和数据的子集,以由移动设备102的用户使用。此外,或者可替换地,移动应用112可以提供对于移动设备102的用户、或对于特定类型或种类的用户特别有用的多个功能,并且该多个功能补充或增加远程应用114的功能。在进一步的示例中,移动应用112可以获得、生成、和/或存储与远程应用114相关联的数据。例如,移动设备102的用户可以在移动设备102不连接到远程服务器104的时间段期间获得数据,并且可以在随后连接到远程服务器104时对于远程服务器104同步或上载获得的数据。
在本文描述的多个示例中,系统100可以被描述为在企业的背景或其他商务背景下运行。在这样的背景下,例如,远程应用114可以代表,例如,客户关系管理应用、库存管理应用、供应链管理应用、或企业资源计划应用。在特定示例中,远程应用114可以代表客户关系管理应用,并且移动设备102的用户可以是销售代表,其被分配有与客户关系管理应用一起存储的客户的定义子集。因此,在该示例中,移动应用112可以管理与客户的特定子集相关的信息,并且可以提供用于帮助移动设备102的用户识别、完成以及支持对于分配给移动设备102的用户的各个顾客进行销售的功能。
一般地说,如本文提及的,在诸如那些刚才提及的多种背景下以及在其他背景下,这种移动应用112连同后端或远程应用114一起的使用通常是公知的。如上面还提及地,远程服务器104可以与验证引擎116相关联,其可以被配置为当访问远程服务器104时确保由移动设备102的用户提供的密码或其他授权的有效性。以这种方式,远程服务器104可以确保移动设备102的用户相对于远程应用114的安全访问,并且可以从而保护连同在图1的示例中示出为包括在远程储存器118之内的远程应用114一起存储的数据的保密性和完整性。因此,移动设备102的用户可以提供有合适的授权,例如,用户名和密码,以用于访问远程服务器104,并且远程服务器104可以使用多种传统技术,包括用于在其丢失的情况下恢复这种授权的传统技术,来确保这种授权的保密性。
同时,移动设备102本身可以提供特定安全措施。例如,操作系统110可以实现传统的沙盒机制,或许连同对于来自移动设备102的用户的用户名/密码或其他授权的要求一起,从而尝试对于操作系统110以及运行在移动设备102上的全部应用的安全访问。然而,由于实际上对于移动设备102存在多种限制,如上面提及地,远程服务器104的提供者可能认为这种安全机制不足够强和安全。
因此,如所示,移动应用112可以包括加密管理器120,其可以被配置为相对于远程服务器104的提供者需要的移动密码实现多种安全措施,以用于移动设备102的用户访问移动应用112。具体来说,在本文描述的示例实现中,加密管理器120可以利用加密算法,其从由移动设备102的用户提供的移动密码直接导出加密密钥,然后利用导出的加密密钥来加密移动设备102的数据仓库之内的数据,而不需要在移动设备102处存储原始的移动密码。例如,加密管理器120可以实现公共密钥加密标准(PKCS)#_5,其提供基于密码的加密规范,如描述的,其能够基于所提供的密码来确定加密密钥,然后使用导出的加密密钥来加密数据,而不需要存储原始的移动密码。
在图1的示例中,由加密管理器120从移动密码102推导、或对其进一步推导的加密密钥,可以被用来安全地存储数据仓库122之内的数据,并且因此可以可选地在本文中称作数据仓库密码。例如,数据仓库122可以因此用于存储由移动应用112获得的任何数据,其可以被提供给远程应用114或由远程应用114使用。
类似地,数据仓库122可以被用于安全存储从远程储存器118下载的数据的子集。此外,数据仓库122可以被用于存储用于访问远程应用114的移动设备102的用户的远程密码(或其他授权)。通过安全地存储移动设备102的用户相对于远程应用114的这种访问授权,移动应用112可以容易地与远程应用114交互,而不需要针对与远程服务器104的每个这种交互提交远程密码。
然后,在移动设备102的用户丢失移动密码的情况下,移动密码恢复管理器124可以被配置为确保恢复丢失的移动密码的可能性,或者至少,可以被配置为确保对数据仓库122之内存储的数据的继续访问,连同设置新的移动密码以替换丢失的移动密码。具体来说,如本文描述的,移动密码恢复管理器124可以使用合适的加密算法以从用于访问远程服务器104的远程密码导出移动密码恢复密钥。然后,移动密码恢复密钥可以被用于加密移动密码本身,以用于稍后恢复移动密码。
例如,移动设备102的浏览器应用126可以被用于与移动设备102的用户交互,从而恢复和/或重置丢失的移动密码。例如,如所示,与浏览器应用126相关联的移动储存器128可以被用于存储加密的数据仓库密码122,即,使用从远程密码导出的移动密码恢复密钥加密的数据仓库密码。然后,基于移动设备102的用户可以恢复的远程密码,需要时,使用由远程服务器采用的传统的密码恢复技术,移动密码恢复管理器124可以以浏览器应用126的方式与移动设备102的用户交互,从而恢复并重置移动密码,同时确保对于数据仓库122之内存储的数据的继续访问。
因此,以这种方式,系统100可以被理解为通过将与远程服务器104相关联的密码或其他授权与用于访问数据仓库122的数据仓库密码(从移动密码导出的)或其他授权耦接来利用远程服务器104的优越资源。以这种方式,系统100提供以安全方式恢复忘记或丢失的移动密码的机制,而不危害数据仓库122或远程服务器104的安全性。
图2是示出图1的系统的示例操作的流程图200。图2的流程图200以简化方式提供图1的系统的示例操作的归纳、高级表示。如所示,流程图200示出示例操作202、204、206为分离的、顺序的操作。然而,在多个额外的或替换实现中,可以理解操作202-206中的任意两个或更多个,或图2中未明确地示出的额外的或替换操作可以以部分重叠或完全重叠或并行方式运行,或以套叠、迭代、循环或分支方式运行。
在图2的示例中,可以加密与运行在移动设备上并且被配置为与运行在远程服务器上的远程应用交互的移动应用相关联的移动数据,所述移动数据使用移动密码加密(202)。例如,如上相对于图1所述,存储在数据仓库122之内的移动数据可以与移动应用112相关联,移动应用112本身可以与远程应用114相关。然后,加密管理器120可以被配置为使用由移动设备102的用户提供的移动密码来加密这种移动数据。在图1的示例中,如描述的,移动密码可以通过PKCS#_5算法处理以确定加密密钥,该加密密钥由加密管理器120使用以加密数据仓库122之内的移动数据。
可以使用用于访问运行在远程服务器上的远程应用的远程密码来加密移动密码(204)。例如,移动密码恢复管理器124可以被配置为再次使用PKCS#_5算法或其他合适的算法来处理被用于访问远程应用114的远程密码,以获得移动密码恢复密钥,该移动密码恢复密钥本身然后可以被用于加密移动密码。在这方面,可以理解地是,可以直接或间接地加密移动密码。例如,从远程密码导出的移动密码恢复密钥可以被用于加密移动密码,或者,在其他实现中,从远程密码导出的移动密码恢复密钥可以被用于加密与从移动密码导出的加密密钥相关联的数据仓库密码,以便移动密码最终可从其中恢复。
因此,在丢失移动密码的情况下,移动数据可以被恢复,其中这种恢复可以包括使用远程密码解密被加密的移动密码(206)。例如,移动设备102的用户可以被提供有将远程密码连同移动密码恢复管理器124一起提交的能力,以便远程密码可以连同移动密码恢复密钥一起被使用以恢复用于数据仓库122的数据仓库密码,并且,如果期望,则恢复原始的移动密码本身。
在图1和图2的示例中,可以理解地是,连同在一起使用的术语“密码”,例如,“移动密码”和“远程密码”,可以泛指任何类型的授权或者其组合,其可以以上面相对于移动设备102和远程服务器104描述的方式被利用。例如,在常见情景下,用户验证授权可以包括组合用户名和密码,其中可以理解地是,用户名或密码可能丢失。此外,在其他示例中,密码或其他验证授权可以与额外的或替换验证技术相关联,诸如,例如,生物特征身份认证。
图3是示出被用于使能移动密码恢复的系统100的部分的简化示例实现的系统300的框图。具体地,如所示,系统300示出与企业移动应用304交互的移动设备102的用户302,其中企业移动应用304可以被理解为代表图1的移动应用112的示例。还如所示,企业移动应用304可以与代表远程应用114的示例实现的后端系统306通信。最后在图3中,代表图1的数据仓库122的示例实现的数据仓库308被示出正在与企业移动应用304通信。
图3的系统300的操作可以连同图4的流程图400一起理解。具体地,如图4中所示,用户302可以最初提供选定移动密码(402)。例如,加密管理器120可以被配置为与用户302交互以提供用于接收移动密码的图形用户界面或其他技术,并且,可选地,可以保证选定移动密码满足被设计成保证最小密码强度的特定标准。
用户302然后可以提供用于相对于后端306的验证的后端密码(404)。即,可以理解地是,在此背景下后端密码代表连同图1中的远程应用114一起使用的远程密码的特定示例。在该示例中,可以发生地是,要求用户创建后端密码,但是,在用户302已经预先与后端306交互以创建后端密码的情况下,用户302可以在企业移动应用304处简单地录入预先配置的后端密码。
因此,在后端306处可以成功验证(406)。然后,选定移动密码可以通过PKCS#_5算法(或其他合适的算法)处理,以导出用于提供用于保证数据仓库308的内容安全的数据仓库密码的加密密钥(408)。因此,与企业移动应用304相关联的移动数据,包括后端密码本身,可以使用数据仓库密码被存储在数据仓库308之内(410)。
然后,如上面提及地,后端密码可以使用PKCS#_5算法(或其他合适的算法)处理,从而导出然后可以被用于加密数据仓库密码的移动密码恢复密钥(412)。在某些示例实现中,如此加密的数据仓库密码可以存储在移动设备102的本地储存器中(例如,图1的移动储存器128)。例如,移动密码可以连同基于用户302的用户名的标号名一起存储在浏览器应用126的本地储存器128中(414),并且,如所描述的,利用从后端密码导出的移动密码恢复密钥来加密。
在这种情景下,基于在移动操作系统(例如,移动操作系统110)级处的成功验证,因而加密的数据仓库密码可访问企业移动应用304以及移动设备的操作系统的全部应用。如下面相对于图5和图6详细描述地,为了恢复和/或重置丢失的移动密码,本地储存器,例如,本地储存器128可以因而以浏览器应用126的方式被访问。
为了使用移动储存器128来存储加密的移动密码,浏览器应用126可以实现与HTML5标准相关联的多个可用的应用程序接口(API),并且连同用于脱机web应用的相关联的元素一起使用。例如,本地储存器LSAPI、webSQL数据库和/或脱机应用高速缓存API可用于创建脱机使用的web应用。因而,在特定示例中,为了存储加密的移动密码,可以利用以下示例的本地储存器代码的:
addEvent(dataInput,'keyup',function(){
localStorage.setItem('storage-event-test',this.value);
sessionStorage.setItem(‘user_name’,this.value);//this.value具有加密的企业移动应用密码.
});
代码部分1
在图4的流程图400的额外的或替换示例实现中,数据仓库密码可以被提供给后端306,并且加密的数据仓库密码可以被存储在后端306处(416)。这种操作代表可替换的实现,其可以被认为更安全,因为加密的数据仓库密码存储在后端306处,而不是连同企业移动应用304本身一起存储。当然,因为作为移动密码恢复操作的一部分,用户302将要求与后端306通信,所以这种额外的安全性在用户302为了恢复丢失的移动密码而访问加密的数据仓库密码的便利性方面带来潜在增加的成本。
图5是示出上面相对于图1和图2描述的移动密码恢复技术的特定示例实现的系统500的框图。如上面相对于图1和图2提及地,企业移动应用304,例如,移动密码恢复管理器124可以利用相应于图1的浏览器应用126的企业移动网络浏览器502。如图5中所示,以及下面相对于图6更详细讨论地,企业移动网络浏览器502可以与网络浏览器本地储存器504和/或后端306通信,以便利用从后端密码导出的并且被用于加密移动密码的移动密码恢复密钥,从而恢复和/或重置丢失或忘记的移动密码。
因而,如图6的流程图600中所示,用户302可以被理解为丢失移动密码,并且因而被拒绝访问数据仓库(602)。例如,用户302可能无法在企业移动应用304处验证。例如,可以预配置某些预定或最大允许的尝试,因此达到用户302的最大数量的尝试时,可以使用企业移动浏览器502发起移动密码恢复技术(604)。
例如,企业移动网络浏览器502可以被用于显示网页,以要求用户102使用用户的后端密码和/或其他授权进行验证。以这种方式,可以在企业移动网络浏览器502处从用户302接收后端密码(600)。
如果加密的数据仓库密码在本地存储(608),则本地储存器可以被访问以解密和恢复移动密码(610)。例如,继续上面相对于图4的操作414提供的示例,提供给用户302以接收后端密码的网页可以查找用户302的用户名之下的适当的本地储存(LS)变量,并且可以使用所提供的后端密码尝试解密如此定位的用于加密的数据仓库密码的值。
如果加密的数据仓库密码未在本地存储(608),则可以前进到使用企业移动网络浏览器502向用户302提供网页以接收后端密码,以便在后端306处使用所提供的后端密码进行验证,从而从后端306获得加密的数据仓库密码(612)。换句话说,操作612相应于图4的操作416,其中数据仓库密码和加密的数据仓库密码存储在后端306处,而不是本地存储在移动设备处。但是,一旦加密的数据仓库密码在移动设备处可用,可以进行使用加密的数据仓库密码来解密和恢复移动密码(610)。
随后,可以运行用于配置新的移动密码的设置过程(614)。在最简化的示例中,恢复的移动密码可以简单地被提供给用户302,因此用户302可以前进到使用恢复的移动密码访问数据仓库数据。然而,通常更安全的选择将是利用恢复的移动密码来初始化对数据仓库数据的访问,同时还对用户302隐藏恢复的移动密码,并且需要用户302创建新的移动密码。在这方面,操作可以如上所述相对于图4进行(616),例如,用户302可以被要求提供新的移动密码并且基于该新的移动密码重新建立对于后端的经验证的访问(例如,包括基于新的移动密码确定新的数据仓库密码,并且之后使用从后端密码导出的新的移动密码恢复密钥加密新的数据仓库密码,如相对于图4描述的)。
此处描述的多种技术的实现可以以数字电子管电路图实现,或以计算机硬件、固件、软件或它们的组合实现。所述实现可以被实现为计算机程序产品,即,有形的实现为信息载体的计算机程序、例如、以机器可读存储设备或以传播信号,用于运行或控制数据处理装置的操作,例如,可编程处理器、计算机或多个计算机。计算机程序,诸如上面描述的计算机程序,能够写入任一形式编程语言,包括编译或解释语言,并且不论何种形式的部署,包括作为单机程序或作为计算环境中可用的模块、组件,子例程或其他单元。计算机程序能够部署为运行在一个计算机或一个站点处的多个计算机上或者跨越多个站点分配并且通过通信网络互联。
方法步骤可以通过运行计算机程序的一个或多个可编程处理器执行以通过输入数据并且生成输出的操作执行功能。方法步骤还可以通过、并且装置可以实现为专用逻辑电路图执行,例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
适合于运行计算机程序数字电子计算机处理器包括,举例来说,一般微处理器并且专用微处理器两者,并且任何种类数字电子计算机的任何一个的或更多处理器。通常,处理器将从只读存储器或随机存取存储器或两者接收指令和数据。计算机的元件可以包括用于运行指令的至少一个处理器以及用于存储指令和数据的一个或多个储存器件。通常,计算机还可以包括,或可操作地耦接以从其接收数据或传送数据到,或两者,用于存储数据的一个或多个大量储存装置,例如,磁性、磁光盘、或光盘。适合于具体实现计算机程序指令和数据的信息载体包括全部形式的非易失性存储器,包括举例来说半导体存储器件,例如EPROM、EEPROM和快闪存储器件;磁盘,例如内部硬盘或活动磁盘;磁光盘;以及CD-ROM和DVD-ROM盘。处理器和存储器可以通过、或合并在专用逻辑电路图中。
为了提供用于与用户相互作用,所述实现可以被实现在具有显示设备1计算机上,例如,阴极射线管(CRT)或液晶显示器(LCD)监视器,用于向用户显示信息以及键盘和指示设备,例如,鼠标或跟踪球、通过其用户能够向计算机提供输入。其他种类的设备也可用于提供用于与用户相互作用;例如,向用户提供反馈可以是任一形式的传感反馈,例如,视觉反馈、听觉的反馈、或触觉反馈;并且来自用户的输入能够不论何种形式的接收,包括听觉的、通话或触觉输入。
所述实现可以被实现为计算系统,包括后台组件例如,数据服务器,或包括中间件组件,例如,应用服务器,或包括前台组件,例如,具有图形用户界面或用户可以与实现交互的网络浏览器的客户端计算机,或这种后台、中间件或前台组件的任一组合。组件可以通过任一形式或介质的数字数据通信互联,例如,通信网络。通信网络的示例包括局域网(LAN)和宽域网(WAN),例如因特网。
虽然已经如此处描述的示出了描述的实现的特定特征,但是对本领域技术人员现在将存在许多修改、置换、改变和等效。因此,理解地是,所附的权利要求意欲将所有这类修改和改变覆盖为实施例范围。
Claims (19)
1.一种包括记录在非临时的计算机可读介质上、并且可由至少一个处理器运行的指令的系统,所述系统包括:
加密管理器,被配置为致使所述至少一个处理器加密与运行在移动设备上并且被配置为与运行在远程服务器上的远程应用交互的移动应用相关联的移动数据,使用从移动密码导出的数据仓库密码,该移动数据被加密,并被存储在移动设备的数据仓库内,该移动密码由移动设备的用户提供并且被用于访问移动设备上的移动应用;以及
移动密码恢复管理器,被配置为致使所述至少一个处理器使用从用于访问运行在远程服务器上的远程应用的远程密码导出的移动密码恢复密钥,加密从移动密码导出的数据仓库密码,并且在移动密码丢失的情况下恢复移动数据,所述恢复移动数据包括:
当加密的数据仓库密码存储在本地时,使用从远程密码导出的移动密码恢复密钥解密被加密的从移动密码导出的数据仓库密码;或者
当加密的数据仓库密码不是存储在本地时,使用提供的远程密码在远程服务器进行验证,以便由此从远程服务器获得加密的数据仓库密码,以及使用从远程密码导出的移动密码恢复密钥解密被加密的从移动密码导出的数据仓库密码。
2.如权利要求1所述的系统,其中所述加密管理器还被配置为致使所述至少一个处理器使用不需要存储移动密码的加密算法,来加密移动数据。
3.如权利要求1所述的系统,其中所述移动密码恢复管理器还被配置为致使所述至少一个处理器使用不需要存储移动密码的加密算法,来加密从移动密码导出的数据仓库密码。
4.如权利要求1所述的系统,其中所述移动密码恢复管理器还被配置为致使所述至少一个处理器使用不需要存储移动密码的加密算法,来加密从移动密码导出的数据仓库密码。
5.如权利要求1所述的系统,其中加密的从移动密码导出的数据仓库密码使用移动设备的浏览器应用的本地储存器来存储。
6.如权利要求5所述的系统,其中所述密码恢复管理器还被配置为致使所述至少一个处理器恢复移动数据,所述恢复移动数据包括通过浏览器应用接收远程密码。
7.如权利要求1所述的系统,其中从移动密码导出的数据仓库密码存储在远程服务器处,而且其中加密的从移动密码导出的数据仓库密码也存储在远程服务器处。
8.如权利要求7所述的系统,其中所述密码恢复管理器还被配置为致使所述至少一个处理器恢复移动数据,所述恢复移动数据包括通过移动设备的浏览器应用接收远程密码,以及与远程服务器通信,以便使用从先前被用于加密从移动密码导出的数据仓库密码的远程密码导出的密码恢复密钥,解密从移动密码导出的数据仓库密码。
9.如权利要求1所述的系统,其中所述密码恢复管理器还被配置为致使所述至少一个处理器恢复移动数据而不提供恢复的移动密码给移动设备的用户,并且强制密码重新设置过程以从用户获得新的移动密码。
10.一种用于运行存储在非临时的计算机可读存储介质上的指令的计算机实现的方法,所述方法包括:
加密与运行在移动设备上并且被配置为与运行在远程服务器上的远程应用交互的移动应用相关联的移动数据,使用从移动密码导出的数据仓库密码,该移动数据被加密,并被存储在移动设备的数据仓库内,该移动密码由移动设备的用户提供并且被用于访问移动设备上的移动应用;
使用从用于访问运行在远程服务器上的远程应用的远程密码导出的移动密码恢复密钥,来加密从移动密码导出的数据仓库密码;以及
在丢失移动密码的情况下恢复移动数据,所述恢复移动数据包括:
当加密的数据仓库密码存储在本地时,使用从远程密码导出的移动密码恢复密钥解密被加密的从移动密码导出的数据仓库密码;或者
当加密的数据仓库密码不是存储在本地时,使用提供的远程密码在远程服务器进行验证,以便由此从远程服务器获得加密的数据仓库密码,以及使用从远程密码导出的移动密码恢复密钥解密被加密的从移动密码导出的数据仓库密码。
11.如权利要求10所述的方法,其中加密移动数据包括:
使用不需要存储移动密码的加密算法,来加密移动数据。
12.如权利要求10所述的方法,其中加密移动密码包括:
使用不需要存储移动密码的加密算法,来加密从移动密码导出的数据仓库密码。
13.如权利要求10所述的方法,其中恢复移动数据包括:
恢复移动数据而不提供恢复的移动密码给移动设备的用户;以及
强制密码重新设置过程以从用户获得新的移动密码。
14.一种非临时的计算机可读存储介质,包括存储于其上的指令,当所述指令被至少一个处理器运行时被配置为:
加密与运行在移动设备上并且被配置为与运行在远程服务器上的远程应用交互的移动应用相关联的移动数据,使用从移动密码导出的数据仓库密码,该移动数据被加密,并被存储在移动设备的数据仓库内,该移动密码由移动设备的用户提供并且被用于访问移动设备上的移动应用;
使用从用于访问运行在远程服务器上的远程应用的远程密码导出的移动密码恢复密钥,来加密从移动密码导出的数据仓库密码;以及
在丢失移动密码的情况下恢复移动数据,所述恢复移动数据包括:
当加密的数据仓库密码存储在本地时,使用从远程密码导出的移动密码恢复密钥解密被加密的从移动密码导出的数据仓库密码;或者
当加密的数据仓库密码不是存储在本地时,使用提供的远程密码在远程服务器进行验证,以便由此从远程服务器获得加密的数据仓库密码,以及使用从远程密码导出的移动密码恢复密钥解密被加密的从移动密码导出的数据仓库密码。
15.如权利要求14所述的计算机可读存储介质,其中当所述指令被所述至少一个处理器运行时还被配置为使用不需要存储移动密码的加密算法,来加密移动数据。
16.如权利要求15所述的计算机可读存储介质,其中当所述指令被所述至少一个处理器运行时还被配置为:
使用不需要存储移动密码的加密算法,来加密从移动密码导出的数据仓库密码。
17.如权利要求14所述的计算机可读存储介质,其中当所述指令被所述至少一个处理器运行时还被配置为使用不需要存储移动密码的加密算法,来加密从移动密码导出的数据仓库密码。
18.如权利要求14所述的计算机可读存储介质,其中从移动密码导出的数据仓库密码存储在远程服务器处,而且其中加密的从移动密码导出的数据仓库密码也存储在远程服务器处。
19.如权利要求14所述的计算机可读存储介质,其中当所述指令被所述至少一个处理器运行时还被配置为:
恢复移动数据而不提供恢复的移动密码给移动设备的用户;以及
强制密码重新设置过程以从用户获得新的移动密码。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/194,361 US9760710B2 (en) | 2014-02-28 | 2014-02-28 | Password recovering for mobile applications |
| US14/194,361 | 2014-02-28 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104881599A CN104881599A (zh) | 2015-09-02 |
| CN104881599B true CN104881599B (zh) | 2019-02-01 |
Family
ID=51846448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410721249.1A Active CN104881599B (zh) | 2014-02-28 | 2014-12-02 | 用于移动应用的密码恢复的系统、方法和计算机可读存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9760710B2 (zh) |
| EP (1) | EP2913775B1 (zh) |
| CN (1) | CN104881599B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9996686B2 (en) * | 2014-04-28 | 2018-06-12 | Blackberry Limited | Password retrieval system and method involving token usage without prior knowledge of the password |
| EP3702946B1 (en) | 2014-12-31 | 2021-10-20 | Citrix Systems Inc. | Shared secret vault for applications with single sign on |
| CN106788996A (zh) * | 2016-12-08 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种操作系统密码重置方法及系统 |
| US10764272B1 (en) | 2017-01-13 | 2020-09-01 | Walgreen Co. | Secured automatic user log-in at website via personal electronic device |
| US10404689B2 (en) * | 2017-02-09 | 2019-09-03 | Microsoft Technology Licensing, Llc | Password security |
| US10990687B2 (en) * | 2017-08-01 | 2021-04-27 | Dell Products L.P. | System and method for user managed encryption recovery using blockchain for data at rest |
| SG10201902395SA (en) * | 2019-03-18 | 2019-11-28 | Qrypted Tech Pte Ltd | Method and system for a secure transaction |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271037A (zh) * | 2010-06-03 | 2011-12-07 | 微软公司 | 基于在线密钥的密钥保护装置 |
| US8490167B2 (en) * | 2011-05-27 | 2013-07-16 | International Business Machines Corporation | Preventing password presentation by a computer system |
| CA2864151A1 (en) * | 2012-02-15 | 2013-08-22 | Blackberry Limited | Key management on device for perimeters |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6549626B1 (en) * | 1997-10-20 | 2003-04-15 | Sun Microsystems, Inc. | Method and apparatus for encoding keys |
| US6160891A (en) * | 1997-10-20 | 2000-12-12 | Sun Microsystems, Inc. | Methods and apparatus for recovering keys |
| US6460141B1 (en) | 1998-10-28 | 2002-10-01 | Rsa Security Inc. | Security and access management system for web-enabled and non-web-enabled applications and content on a computer network |
| US6668323B1 (en) * | 1999-03-03 | 2003-12-23 | International Business Machines Corporation | Method and system for password protection of a data processing system that permit a user-selected password to be recovered |
| US7725730B2 (en) | 2002-08-09 | 2010-05-25 | Emc Corporation | Cryptographic methods and apparatus for secure authentication |
| US20060041932A1 (en) * | 2004-08-23 | 2006-02-23 | International Business Machines Corporation | Systems and methods for recovering passwords and password-protected data |
| US7587608B2 (en) | 2004-11-30 | 2009-09-08 | Sap Ag | Method and apparatus for storing data on the application layer in mobile devices |
| US7809130B1 (en) | 2006-06-11 | 2010-10-05 | Elcomsoft Co. Ltd. | Password recovery system and method |
| EP1933522B1 (en) | 2006-12-11 | 2013-10-23 | Sap Ag | Method and system for authentication |
| US9158933B2 (en) | 2007-08-17 | 2015-10-13 | Sybase, Inc. | Protection of encryption keys in a database |
| US8321682B1 (en) | 2008-01-24 | 2012-11-27 | Jpmorgan Chase Bank, N.A. | System and method for generating and managing administrator passwords |
| US8881266B2 (en) | 2008-11-13 | 2014-11-04 | Palo Alto Research Center Incorporated | Enterprise password reset |
| US8380989B2 (en) | 2009-03-05 | 2013-02-19 | Sybase, Inc. | System and method for second factor authentication |
| US8713705B2 (en) * | 2009-08-03 | 2014-04-29 | Eisst Ltd. | Application authentication system and method |
| US9137017B2 (en) | 2010-05-28 | 2015-09-15 | Red Hat, Inc. | Key recovery mechanism |
| US8429760B2 (en) | 2010-07-01 | 2013-04-23 | Apple Inc. | System and method for storing a password recovery secret |
| US8539599B2 (en) | 2010-12-28 | 2013-09-17 | Sap Ag | Password protection using personal information |
| US8949929B2 (en) * | 2011-08-10 | 2015-02-03 | Qualcomm Incorporated | Method and apparatus for providing a secure virtual environment on a mobile device |
| US20130159699A1 (en) | 2011-12-16 | 2013-06-20 | F-Secure Corporation | Password Recovery Service |
| US8555085B2 (en) | 2012-03-09 | 2013-10-08 | Sap Ag | Enhancing useability of mobile devices that securely store data |
| US9106721B2 (en) * | 2012-10-02 | 2015-08-11 | Nextbit Systems | Application state synchronization across multiple devices |
| US8898756B2 (en) | 2012-11-21 | 2014-11-25 | Applied Research Works, Inc. | System and method for password recovery |
| US8572757B1 (en) * | 2012-11-30 | 2013-10-29 | nCrypted Cloud LLC | Seamless secure private collaboration across trust boundaries |
-
2014
- 2014-02-28 US US14/194,361 patent/US9760710B2/en active Active
- 2014-10-30 EP EP14003676.5A patent/EP2913775B1/en active Active
- 2014-12-02 CN CN201410721249.1A patent/CN104881599B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271037A (zh) * | 2010-06-03 | 2011-12-07 | 微软公司 | 基于在线密钥的密钥保护装置 |
| US8490167B2 (en) * | 2011-05-27 | 2013-07-16 | International Business Machines Corporation | Preventing password presentation by a computer system |
| CA2864151A1 (en) * | 2012-02-15 | 2013-08-22 | Blackberry Limited | Key management on device for perimeters |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2913775A1 (en) | 2015-09-02 |
| US9760710B2 (en) | 2017-09-12 |
| US20150248552A1 (en) | 2015-09-03 |
| CN104881599A (zh) | 2015-09-02 |
| EP2913775B1 (en) | 2017-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104881599B (zh) | 用于移动应用的密码恢复的系统、方法和计算机可读存储介质 | |
| US10496832B2 (en) | System and method for initially establishing and periodically confirming trust in a software application | |
| JP6818679B2 (ja) | セキュアホストカードエミュレーションクレデンシャル | |
| US8656180B2 (en) | Token activation | |
| US8555079B2 (en) | Token management | |
| US8972719B2 (en) | Passcode restoration | |
| CN110535833B (zh) | 一种基于区块链的数据共享控制方法 | |
| US9177169B2 (en) | Secure digital storage | |
| CN109118193B (zh) | 用于安全元件交易和资产管理的装置和方法 | |
| US8886964B1 (en) | Protecting remote asset against data exploits utilizing an embedded key generator | |
| US8751829B2 (en) | Dispersed secure data storage and retrieval | |
| CN112567366A (zh) | 用于确保电子交易平台安全的系统和方法 | |
| US20130208893A1 (en) | Sharing secure data | |
| CN103390124B (zh) | 安全输入和处理口令的设备、系统和方法 | |
| CN109417574A (zh) | 管理电子设备上的多个用户的凭据 | |
| JP2018522353A (ja) | サーバベースド支払のための認証システム及び方法 | |
| JP4326443B2 (ja) | 情報処理装置および情報処理方法、並びにプログラム | |
| US20150310427A1 (en) | Method, apparatus, and system for generating transaction-signing one-time password | |
| CN105359486A (zh) | 使用代理安全访问资源 | |
| CN107111500A (zh) | 应用库的无线储备 | |
| US20150180849A1 (en) | Mobile token | |
| CN106936588B (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| JP2019517229A (ja) | ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法 | |
| CN108768963A (zh) | 可信应用与安全元件的通信方法和系统 | |
| US20240104550A1 (en) | Mobile wallet with offline payment |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |