CN104903904B - 用于资源请求的条形码认证 - Google Patents
用于资源请求的条形码认证 Download PDFInfo
- Publication number
- CN104903904B CN104903904B CN201480004266.1A CN201480004266A CN104903904B CN 104903904 B CN104903904 B CN 104903904B CN 201480004266 A CN201480004266 A CN 201480004266A CN 104903904 B CN104903904 B CN 104903904B
- Authority
- CN
- China
- Prior art keywords
- token
- bar code
- client devices
- mobile device
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Information Transfer Between Computers (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephone Function (AREA)
Abstract
描述了与客户机‑服务器认证相关联的移动设备、客户机设备和服务器。在实施例中,该移动设备可包括相机和令牌提取器。该令牌提取器可耦合到该相机并且被配置成分析该相机所捕获的图像。所捕获的图像可包含条形码并且响应于服务器请求访问资源可被显示在客户机设备上。该条形码可包含令牌,该令牌可由该令牌提取器提取以便用于访问服务器所请求的资源。可描述和/或要求保护其他实施例。
Description
相关申请
本申请要求于2013年2月8日提交的标题为“用于资源请求的条形码认证(BARCODEAUTHENTICATION FOR RESOURCE REQUESTS)”的美国申请13/763,116的优先权。
技术领域
本公开的实施例涉及数据处理领域并且更具体地涉及使用条形码认证资源请求的领域。
背景
当前存在用于认证请求在线资源的用户的很多方法。这些方法的范围从要求相对少的安全性的方法到要求附加安全层的方法。
要求相对少的安全性的一种认证方法由用于认证用户的存在的质询-响应(challenge-response)所代表。在质询-响应场景中,用户被呈现计算机容易生成但是计算机难以解析的质询。这种情况的一个示例是常用的CAPTCHA屏幕,其中单词或短语的失真图像被作为质询呈现给用户并且用户能够解密失真图像并且做出响应,由此验证用户的存在。质询-响应认证(诸如CAPTCHA)的问题是易于受到恶意软件攻击。
要求附加安全层的认证方法由多因素认证所代表。在多因素认证中,通常使用用户所知道的(即,用户名和口令)以及用户所具有的(即,RSA安全ID表链(fob))两者来认证用户。然而,这些认证方法能够受到中间人攻击(MITM)损害。这种认证方法还承受以下事实:驻留在RSA安全ID表链上的相同算法必须还驻留在认证服务器上并且这两个方法必须对相同的种子值进行动作以便正确地认证用户。这造成了不必要的冗余和低效。如果这种算法在任一端受到损害,则这两个设备上的方法必须改变。
附图简述
图1描绘根据本公开的某些实施例的说明性计算系统。
图2是根据本公开的某些实施例的图1的计算系统中的服务器的说明性配置的简图。
图3是根据本公开的某些实施例的图1的计算系统中的移动设备的一种可能配置的简图。
图4是根据本公开的某些实施例的图1的计算系统中的客户机设备的一种可能配置的简图。
图5是根据本公开的某些实施例的客户机设备的说明性资源请求的流程图。
图6是根据本公开的某些实施例的服务器的说明性资源请求的流程图。
图7是根据本公开的某些实施例的移动设备上的说明性令牌提取的流程图。
图8描绘根据本公开的某些实施例的说明性登录屏幕。
说明性实施方案的详细说明
描述了与客户机-服务器认证相关联的移动设备、客户机设备和服务器。在实施例中,该移动设备可包括相机和令牌提取器。该令牌提取器可耦合到该相机并且被配置成用于分析该相机所捕获的图像。所捕获的图像可包含条形码并且响应于服务器请求访问资源可被显示在客户机设备上。该条形码可包含令牌,该令牌可由该令牌提取器提取以便用于访问服务器所请求的资源。例如,所请求的资源可以是应用,条形码可以是快速响应(QR)码,并且移动设备可以是智能电话。
在以下详细描述中,参考形成其一部分并且通过可实践的说明实施例示出的附图,其中,相同的标号指示相同的部件。应当理解可使用其他实施例以及可在不背离本公开的范围的情况下做出结构或逻辑改变。因此,不应以限制性的意义解释以下详细描述,并且实施例的范围由所附权利要求书及其等效方案定义。
各操作可被描述为按顺序的多个离散动作或操作,其方式为最有助于理解所要求保护的主题。然而,描述的顺序不应被解释为暗示这些操作必需依赖于顺序。具体而言,可不按展示顺序执行这些操作。可以用不同于所描述的实施例的顺序执行所描述的操作。可执行各附加操作和/或可在附加实施例中忽略所描述的操作。
为了本公开的目的,短语“A和/或B”是指(A)、(B)、或(A和B)。为了本公开的目的,短语“A、B和/或C”是指(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或(A、B和C)。本描述可使用短语“在一实施例中”或“在实施例中”,其可各自指代相同或不同实施例中的一个或多个。此外,如结合本公开的实施例所使用的,术语“包括”、“包含”、“具有(having)”等等是同义的。
图1描绘适合实践本公开的某些实施例的说明性计算安排。如所示,该计算安排可由通过网络108连接到客户机设备104的服务器102组成。在实施例中,用户可使用客户机设备104请求服务器102所提供的资源或者通过其请求资源。响应于该请求,服务器102可生成包含令牌的条形码并且将条形码传输到客户机设备以便用于认证。客户机设备可在接收到条形码时将条形码显示给客户机设备的用户。
在实施例中,移动设备106可用于解码包含在条形码(在该图中描绘为QR码、显示在客户机设备104上)中的数据并且输出至少一部分解码数据(诸如令牌)以便用于使得能访问所请求的资源。在某些实施例中,移动设备106可能已经之前被预设成以特定于移动设备106的方式解码包含在条形码中的数据,并且服务器102可能已经以相应的方式编码条形码。在某些实施例中,服务器102可在对资源的请求中传递标识例如移动设备106和/或移动设备106的用户的或者设备和/或用户标识符。在某些实施例中,用户标识符可由服务器102作为交叉引用用于在表、数据库或本地地存储在服务器102上或者远程地存储在另一个服务器上的其他类似的存储库中定位设备标识符。
在某些实施例中,可以特定于移动设备106的方式编码条形码,从而使得条形码本身的解码可做为认证移动设备106的用户的措施进行动作以便授权访问所请求的资源。例如,在某些实施例中,如果所请求的资源要求多因素认证,用户所输入的口令可以是认证的一个因素,同时移动设备106解码条形码从而提取令牌并且将该令牌输入到客户机设备104中可以是认证中的后续因素。在本示例中,未授权用户或恶意计算机程序将不能提取辅助认证所需的信息,即使未授权用户或恶意计算程序能够捕获显示在客户机设备上的条形码。
在某些实施例中,移动设备特定编码可替代用户名和口令使用。例如,在某些实施例中,用户可能已经之前就所请求的资源设置过登录策略,从而使得访问所请求的资源所需的所有东西是包含在条形码中的令牌。在某些实施例中,特定编码可在用户已经忘记所请求的资源的口令的情况中使用。在这些情况中,令牌可用于获得对所请求的资源的访问和/或发起口令改变。此外,在某些实施例中,移动设备特定编码可用于生成一次性口令(OTP),从而使得授权用户无需记住静态口令,并且未授权用户或恶意计算机程序不能通过尝试打破口令例如通过蛮力攻击访问资源。
在某些实施例中,无需以特定于移动设备106的方式编码条形码。例如,在某些实施例中,如果所请求的资源仅要求用户存在认证,条形码可总体上由服务器102编码,从而使得移动设备106可以能够解码条形码而无需先前配置。在这些实施例中,一旦令牌被输入到客户机设备104中,移动设备106解码条形码以便提取令牌的动作可足以认证用户的存在。
在某些实施例中,可以特定于所请求的资源的方式编码条形码。在这种实施例中,移动设备106可被预设成针对所请求的资源解码条形码。在某些实施例中,将设备预设成基于所请求的资源解码条形码可通过在尝试解码条形码之前向所请求的资源注册移动设备106执行。例如,在某些实施例中,用户可使用移动设备106通过连接到服务器(诸如服务器102)注册移动设备106。响应于连接,服务器102可在移动设备106上安装解码算法以便稍后代表所请求的资源用于解码由客户机设备104所显示的条形码。
在某些实施例中,无需注册移动设备106以便使得解码与获得对资源的访问相关联的条形码。在某些实施例中,可使用任何计算机可读介质方式作为递送机制通过安装合适的解码算法或密钥配置移动设备106。
在某些实施例中,可以特定于移动设备106和所请求的资源两者的方式编码条形码。在某些实施例中,可以所标识的方式通过利用所请求的资源的标识符和用户和/或移动设备106的标识符两者以便实现唯一标识符从而在编码方法中使用来编码条形码。在某些实施例中,如上所述,可在解码条形码之前预设移动设备106从而使得移动设备106能解码这种条形码。
移动设备106可根据某些实施例从用户接收输入以便标识已经为哪个所请求的资源编码了表形码。例如,在某些实施例中,用户可被呈现有已经在移动设备106上预设的资源算法或密钥列表。
用户可从该列表选择与请求相关联的资源,从而选择用其解码条形码的合适算法或密钥。在某些实施例中,所请求的资源的身份可被编码在一部分条形码中,从而使得该部分可以能够被解码而无需所请求的资源的知识。在这些情况下,资源的解码身份可用于标识合适的算法以便解码条形码的剩余部分并且提取令牌,该令牌然后可被输入到客户机设备104中以便用于认证。
在实施例中,所请求的资源可由服务器102提供。在其他实施例中,服务器102可充当中间程序并且将资源请求路由到一个或多个其他服务器(诸如资源服务器110)从而实现资源请求。在某些实施例中,服务器102可执行所请求的认证,而不管服务器102是否可提供所请求的资源。在其他实施例中,认证可由可提供所请求的资源的资源服务器110之一来执行。
在某些实施例中,所请求的资源可以是客户机设备104和服务器102之间的安全连接。在这些情况下,令牌可由加密密钥组成。加密密钥可如上所述由移动设备106解码并且输入到客户机设备104中以便由客户机设备104用于通过网络108向服务器102发送和从服务器102接收经加密的传输。在这些情况下,所提取的令牌的输入和用该令牌正确加密的消息的传输可充当足够的认证机制。在某些实施例中,令牌可以是Diffie-Hellman(迪斐-海尔曼)加密密钥。
在某些实施例中,可通过以字母数字格式显示所提取的令牌将所提取的令牌输入到客户机设备104中,从而使得移动设备106的用户可手动地将令牌输入到客户机设备104中。在其他实施例中,可通过无线数据连接将令牌传输到客户机设备104。在某些实施例中,该无线数据连接可包括但不限于蓝牙、无线USB或近场通信(NFC)通道或其他无线数据连接。
尽管客户机设备104在图1中被描绘为膝上计算机,将认识到可使用能够执行客户机设备104的功能的任何合适的计算设备而不背离本公开的范围。然后将认识到客户机设备104可以是任何便携式或非便携式计算设备,诸如但不限于膝上计算机、桌上计算机、手持式计算设备、公共门户(诸如公用电话亭、终端,诸如在用于接受信用卡支付的结账队伍中所使用的那些)、或能够显示登录屏幕或条形码的任何其他设备(诸如在图8中描绘的)。网络108可以是任何类型的有线或无线网络,包括但不限于局域网(LAN)、广域网(WAN)、蜂窝网络和互联网。可使用适合传输请求数据的任何网络而不背离本公开的范围。还将认识到网络108可包括一个或多个有线和/或无线网络而不背离本公开的范围。本公开是等同地可应用的,而不管网络的类型和/或组成如何。
图2描绘根据本公开的某些实施例的服务器102的说明性配置。服务器102可包括处理器200、网络接口卡(NIC)202和存储设备204。处理器200、NIC 202和存储设备204可使用系统总线206全部耦合在一起。
处理器200在某些实施例中可以是单个处理器或在其他实施例中可由多个处理器组成。在某些实施例中,该多个处理器可具有相同的类型,即,同构的,或者它们可具有不同的类型,即,异构的,并且可包括任何类型的单核或多核处理器。本公开是等同地可应用的,而不管处理器的类型和/或数量如何。
在实施例中,NIC 202可被服务器102用于访问网络108。在实施例中,NIC 202可用于从客户机设备104接收请求或者对其做出响应。在实施例中,NIC 202可用于访问有线或无线网络;本公开是等同地可应用的。NIC 202还可在此被称为网络适配器、LAN适配器或无线NIC,针对本公开的目的其可被视为同义词,除非上下文明确地以其他方式指明;并且因此,这些术语可互换地使用。
在实施例中,存储设备204可以是任何类型的计算机可读存储介质或不同类型的计算机可读存储介质的任何组合。例如,在实施例中,存储设备204可包括但不限于固态驱动器(SSD)、磁或光盘硬驱动器、易失性或非易失性、动态或静态随机存取存储器、闪存、或其任何多个或组合。在实施例中,存储设备可存储指令,当由处理器200执行时,这些指令致使服务器102执行以下参照图6所描述的过程的一个或多个操作。在某些实施例中,存储设备204可包含记录数据库,诸如交叉引用用户标识符与合适的移动设备标识符的表格。
图3描绘根据本公开的某些实施例的图1的计算系统中的移动设备106的一种可能配置。移动设备106可由耦合到相机302的令牌提取器300组成。在某些实施例中,移动设备106还可包括显示器304和/或近场通信(NFC)收发器306,其中之一或两者也可耦合到令牌提取器300。
在某些实施例中,令牌提取器300包括耦合到一个或多个计算机可读存储介质的一个或多个处理器。该一个或多个计算机可读存储介质可包括指令,当由该一个或多个处理器执行时,这些指令致使移动设备106执行以下参照图7描述的过程中的一个或多个。在其他实施例中,令牌提取器300可由致使移动设备106执行以下参照图7描述的一个或多个过程的任何数量的硬件和/或软件组件组成。
该一个或多个处理器可以是任何类型的单核或多核处理器或其任何组合。本公开是等同地可应用的,而不管处理器的类型和/或数量如何。相机302、显示器304、和/或NFC收发器306可全部包含在移动设备106中,或者这些组件中的一个或多个可外围地附接到移动设备106而不背离本公开的范围。
图4描绘根据本公开的某些实施例的图1的计算系统中的客户机设备104的一种可能配置。客户机设备104可由一个或多个处理器400、存储器402、网络接口卡(NIC)406、以及显示器408组成。在某些实施例中,移动设备106还可包括近场通信(NFC)收发器104。所有这些组件可通过总线410耦合到一起。
在具有多于一个处理器的实施例中,处理器可具有相同的类型,即,同构的,或者它们可具有不同的类型,即,异构的。此外,该一个或多个处理器可以是任何类型的单核或多核处理器。本公开是等同地可应用的,而不管处理器的类型和/或数量如何。
在实施例中,NIC 402可被客户机设备104用于访问网络108。在实施例中,NIC 402可用于发送请求和/或从服务器102接收请求。在实施例中,NIC 402可用于访问有线或无线网络,本公开是等同地可应用的并且本公开不限于此。NIC 402还可在此被称为网络适配器、LAN适配器或无线NIC,针对本公开的目的其可被视为同义词,除非上下文明确地以其他方式指明。因此,这些术语可互换地使用。
在实施例中,存储器402可以是任何类型的计算机可读存储介质或不同类型的计算机可读存储介质的任何组合。例如,在实施例中,存储器402可包括但不限于固态驱动器(SSD)、磁或光盘硬驱动器、易失性或非易失性、动态或静态随机存取存储器、闪存、或其任何多个或组合。在实施例中,存储器402可存储指令,当由处理器200执行时,这些指令致使客户机设备104执行以下参照图5所描述的过程的一个或多个操作。
图5描绘根据本公开的某些实施例的客户机设备104的说明性资源请求的流程图。在实施例中,过程可在框500开始,其中客户机设备104可接收请求资源的输入。在某些实施例中,该输入可接收自用户。在其他实施例中,该输入可接收自请求访问该资源的应用。在实施例中,所请求的资源可包括但不限于应用、网站、web服务或安全数据连接。
在框502中,客户机设备104可生成在进行服务器102的资源请求时传输的信息。在某些实施例中,这可包括从在框500中所接收的输入提取所请求的资源的标识符,诸如统一源资定位符(URL)、IP地址等等。在某些实施例中,这可包括从在框500中所接收的输入提取用户和/或移动设备标识符。在其他实施例中,客户机设备104可从存储器402检索用户和/或移动设备106的标识符。在某些实施例中,客户机设备104可针对用户和/或移动设备标识符提醒给用户。
作为示例,在某些实施例中,当客户机设备104接收到请求资源的输入时,客户机设备104可尝试从存储在客户机设备104的存储器402中的cookie检索用户和/或移动设备的标识符。如果用户和/或移动设备的标识符不能被检索到,即,合适的cookie尚未被存储在存储器402中,用户可被提醒输入用户和/或移动设备的合适标识符。
在框504中,资源请求与所请求的资源的标识符一起可被转发到服务器102。在实施例中,被转发到服务器102的资源请求还可包括用户和/或移动设备的标识符。在某些实施例中,服务器102可针对所请求的资源要求用户和/或移动设备的标识符并且服务器102可向客户机设备104发送请求,从而向客户机设备104请求用户和/或移动设备的标识符,如果这种标识符未被包括在请求中,或者以其他方式对服务器102可用。
在框506中,客户机设备104可从服务器102接收条形码,诸如QR码。在某些实施例中,条形可被嵌入在登录屏幕中,诸如在图8中描绘的登录屏幕。在某些实施例中,条形码可被与服务器102所传输的任何其他数据分开地接收。如以上参照图1所讨论的,在某些实施例中,条形码的编码可依赖于所请求的资源和/或用户和/或移动设备的标识符。
在框508中,客户机设备104可在显示器408上渲染条形码。在某些实施例中,客户机设备104可使用安全显示通道渲染条形码,包括但不限于英特尔的保护音频视频路径(PAVP)。用户然后可利用移动设备106解码条形码并且提取令牌,如以上参照图1所讨论的。
一旦条形码已经被解码并且令牌已经被提取,移动设备106可向客户机设备104输出所提取的令牌。在框510中,客户机设备104可接收令牌作为输入。如以上参照图1所讨论的,令牌可被手动地输入到客户机设备104中或者其可通过移动设备106和客户机设备104之间的有线或无线数据连接传输。在框512中,客户机设备104可然后向服务器102传输输入令牌。接下来,服务器102可至少部分地基于所提取的令牌认证资源请求。接下来,在框514中,客户机设备104可接收对所请求的资源的访问的授权或拒绝,这取决于认证的成功。
图6是根据本公开的某些实施例的服务器102的说明性资源请求的流程图。在实施例中,过程可在框600开始,其中服务器102可从客户机设备104接收对资源的请求,诸如由客户机设备104在图5的框504中所传输的请求。在实施例中,该请求可包括所请求的资源的标识符。在某些实施例中,该请求还可包括用户和/或移动设备的标识符。
在框602中,服务器102可从所接收的请求提取资源标识符。在某些实施例中,服务器102还可提取用户和/或移动设备的标识符,其中这种标识符已经被包括在请求中。在框604中,服务器102可生成令牌。在某些实施例中,令牌可仅在预定的时间量内有效和/或单次使用有效。在框606中,令牌可被编码到条形码中。条形码然后被以任何格式编码并且可以是任何类型的1维或2维条形码,包括但不限于QR码。如以上参照图1所讨论的,条形码可被以通用方式编码,或者可被以特定于所请求的资源和/或移动设备106的方式编码。在某些实施例中,条形码可由服务器签名以便向移动设备106验证服务器102。
在框608,条形码然后可被传输到客户机设备104,其中其可被显示给客户机设备104的用户。用户然后可利用移动设备106解码条形码,该移动设备从条形码提取令牌并且输出将在框610中被输入到客户机设备104并且发送到服务器102以便认证的令牌。在框612中,基于认证成功,服务器102然后可授权或拒绝对所请求的资源的访问。在某些实施例中,如上所述,移动设备106可被专门地预设成用于解码条形码并且仅这种专门预设的移动设备能够解码条形码。
图7描绘根据本公开的某些实施例的移动设备106上的令牌提取的说明性流程图。过程可在框700中开始,其中可扫描在客户机设备104上显示的图像。在框702,然后可从所扫描的图像提取条形码。在框704中,移动设备106然后可解码条形码。在某些实施例中,在解码条形码之前,移动设备106可要求口令或个人标识号(PIN)。如以上参照图1所讨论的,该解码可以是通用的或者可特定于移动设备和/或资源。在框706中,移动设备106然后可从所解码的条形码提取令牌。在某些实施例中,可通过解析所解码的数据提取令牌。令牌然后可由移动设备106输出。在某些实施例中,可通过以字母数字格式显示令牌来输出令牌,从而使得其可由用户手动地输入到客户机设备104中。在某些实施例中,可经由移动设备106和客户机设备104之间的有线或无线数据连接输出令牌。在解码可特定于移动设备106的实施例中,未授权用户/设备或恶意计算机程序将不能提取辅助认证所需的信息。这是因为即使未授权用户/设备或恶意计算机程序能够捕获在客户机设备104上显示的条形码,其未被预设成能够解码条形码,如以上参照图1所讨论的。
图8描绘根据本公开的某些实施例的说明性登录屏幕800。在某些实施例中,登录屏幕800可在服务器102处生成并且可显示在客户机设备104上。在某些实施例中,条形码810可利用英特尔的保护音频视频路径(PAVP)、ARM有限公司的或另一种形式的图形处理单元内容保护(GPU-CP)在显示器部分808中显示。在某些实施例中,条形码810可被显示给可使用移动设备106解码条形码并从所解码的条形码提取令牌的用户。在某些实施例中,用户可将所提取的令牌输入到令牌输入框812中。在某些实施例中,用户可替代地选择通过点击NFC按钮804输入所提取的令牌以便利用近场通信(NFC)数据连接输入所提取的令牌。在其他实施例中,用户可仅需要用客户机设备的一部分轻击移动设备106以便经由NFC传递令牌。在某些实施例中,用户和/或移动设备标识符可被包含在web浏览器的cookie中。在某些实施例中,cookie中的标识符可能不对应于客户机设备104的当前用户并且用户可需要通过点击改变用户按钮806输入对应于当前用户和/或移动设备的新标识符。在将令牌输入到客户机设备104中之后,用户可激活登录按钮802以便将令牌提交给服务器102以便认证。基于认证结果,用户可被授权或拒绝对所请求的资源的访问。
本公开的实施例可采取完全硬件实施例、完全软件实施例或包含硬件和软件元素两者的实施例的形式。在各实施例中,软件可包括但不限于固件、驻留软件、微代码等等。此外,本公开可采取可从提供程序代码以便由或结合计算机或任何指令执行系统使用的计算机可用或计算机可读介质访问的计算机程序产品的形式。
为了本描述的目的,计算机可用或计算机可读介质可以是可包含、存储、传递、传播或传输程序以便由或结合指令执行系统、装置或设备使用的任何装置。介质可以是电、磁、光、电磁、红外或半导体系统(或装置或设备)或传播介质。计算机可读介质的示例包括半导体或固态存储器、磁带、可移除计算机磁盘、随机存取存储器(RAM)、只读存储器(ROM)、刚性硬盘和光盘。光盘的当前示例包括致密盘-只读存储器(CD-ROM)、致密盘-读/写(CD-R/W)和DVD。
因此,在此所描述的内容包括移动设备以及至少一个计算机可读存储介质。在实施例中,移动设备可包括相机和与相机耦合的令牌提取器。令牌提取器可被配置成用于分析相机从客户机设备的显示器捕获的图像并且可从图像提取条形码。条形码可包含令牌并且响应于客户机设备请求访问资源可被显示在客户机设备上。令牌提取器可被进一步配置成用于提取包含在条形码中的令牌并且可使得令牌能用于获得对资源的所请求的访问。
在某些实施例中,移动设备可包括存储器和耦合到存储器和相机的处理器。令牌提取器可驻留在存储器中并且可由处理器执行。在某些实施例中,移动设备还可包括认证模块,该认证模块被配置成在执行令牌提取器以使得用户能使用令牌获得对所请求的资源的访问之前认证用户。
在实施例中,令牌提取器可被进一步配置成通过使用与资源相关联的算法提取包含在条形码中的令牌以便解码条形码从而从条形码获得数据。令牌提取器可从数据提取令牌。
在实施例中,移动设备还可包括与令牌提取器耦合的近场通信(NFC)收发器。令牌提取器可被配置成通过NFC收发器向客户机设备传输令牌从而使得能使用令牌获得对资源的所请求的访问。在某些实施例中,令牌提取器可被配置成显示所提取的令牌从而使得能通过用户输入令牌到客户机设备中来使用令牌获得对所请求的资源的访问。在某些实施例中,条形码可以是矩阵条形码。在某些实施例中,条形码可以是QR码。在某些实施例中,所请求的资源可以是应用。
在实施例中,该至少一个计算机可读存储介质可包括指令,当由客户机设备执行时,这些指令致使客户机向服务器传输访问资源的请求。请求可包括标识移动设备的标识符。当由客户机设备执行时,这些指令还致使客户机设备在客户机设备的显示器上渲染来自服务器的响应,从而使得包含在响应中的条形码内的令牌能被解码。令牌然后可被传输回服务器以便认证客户机设备。可至少部分地基于将移动设备标识为解码设备的标识符编码条形码。在某些实施例中,标识符以cookie的形式存储在客户机设备中。
在实施例中,当由客户机设备执行时,这些指令可进一步使得客户机设备接受令牌作为输入并且将令牌传输给服务器。在实施例中,当由客户机设备执行时,这些指令可进一步使得客户机设备能经由客户机设备的近场通信收发器接受令牌作为输入。
在实施例中,当由客户机设备执行时,这些指令可进一步使得客户机设备能经由到客户机设备上的显示器的安全通道在客户机设备的显示器上渲染条形码。在某些实施例中,安全通道可以是保护音频视频路径(PAVP)。
在实施例中,资源可以是服务器和客户机设备之间的安全数据通道。在条形码中传输的令牌可以是将被客户机设备用于加密传输到服务器的数据并且解密经由安全数据通道从服务器接收的数据的密码密钥。在某些实施例中,密码密钥可以是Diffie-Hellman密钥。
在实施例中,该至少一个计算机可读存储介质可包括指令,响应于由服务器执行,这些指令将服务器配置为从客户机设备接收访问资源的请求。响应于由服务器执行,这些指令将服务器配置为响应于请求生成包含令牌的条形码并且将条形码传输到客户机设备。条形码可在客户机设备上显示以便使得能由移动设备使用相机提取令牌并且用于向服务器认证客户机设备的用户从而使得服务器能授权所请求的访问。
在实施例中,当由服务器执行时,这些指令可将服务器配置为从客户机设备接收响应、确定响应是否包括令牌并且至少部分地基于确定结果授权或拒绝所请求的访问。在实施例中,用于生成包含令牌的条形码的这些指令在由服务器执行这些指令时可进一步将服务器配置为以特定于移动设备的方式用令牌编码条形码。在实施例中,请求可进一步包括移动设备的标识符并且特定于移动设备和所请求的资源两者的格式至少部分地基于标识符。
在实施例中,当由服务器执行时,这些指令进一步将服务器配置为生成用于访问所请求的资源的登录页。登录页可至少包含条形码并且将条形码传输到客户机设备进一步包括以能够向用户显示的格式将登录页传输到客户机设备。
在某些实施例中,条形码可以是矩阵条形码。在各实施例中,条形码可以是QR码。在某些实施例中,所请求的资源可以是应用。在某些实施例中,令牌是一次性口令(OTP)。
尽管已经在此展示和描述了特定实施例,本领域普通技术人员将认识到各种各样的替代和/或等效实现方式可在不背离所公开的技术的实施例的范围的情况下替换所展示和描述的特定实施例。本申请旨在覆盖在此讨论的实施例的任何适配或变化。因此,主要旨在本公开的实施例仅由以下权利要求书及其等效方案限制。
Claims (24)
1.一种用于从条形码提取令牌的移动设备,所述移动设备包括:
相机;以及
令牌提取器,所述令牌提取器耦合到所述相机并且被配置成:
分析由所述相机从客户机设备的显示器捕获的图像并且从所述图像提取条形码,其中所述条形码包含令牌并且响应于所述客户机设备请求访问资源而被显示在所述客户机设备上;
从所述条形码中解码所述资源的身份;
至少部分地基于所解码的所述资源的身份,从多个算法选择与所述资源相关联的算法;
使用所选择的算法提取包含在所述条形码中的所述令牌,以解码所述条形码从而从所述条形码获得数据;
从所述数据提取所述令牌;以及
使得所述令牌能被用于获得对所述资源的所请求的访问。
2.如权利要求1所述的移动设备,其特征在于,所述移动设备进一步包括:
存储器;以及
处理器,其耦合到所述存储器和所述相机;并且
其中,所述令牌提取器驻留在所述存储器中并且由所述处理器执行。
3.如权利要求2所述的移动设备,其特征在于,进一步包括认证模块,所述认证模块被配置成:
在执行所述令牌提取器以使得用户能使用所述令牌来获得对所请求的资源的访问之前认证所述用户。
4.如权利要求1至3中任一项所述的移动设备,其特征在于,进一步包括与所述令牌提取器耦合的近场通信NFC收发器;
其中所述令牌提取器被配置成通过所述近场通信NFC收发器向所述客户机设备传输所述令牌从而使得能使用所述令牌来获得对所述资源的所请求的访问。
5.如权利要求1至3中任一项所述的移动设备,其特征在于,所述令牌提取器被配置成显示所提取的令牌从而使得能经由用户输入所述令牌到所述客户机设备中来使用所述令牌获得对所请求的资源的访问。
6.如权利要求1至3中任一项所述的移动设备,其特征在于,所述条形码是矩阵条形码。
7.如权利要求6所述的移动设备,其特征在于,所述矩阵条形码是QR码。
8.如权利要求1至3中任一项所述的移动设备,其特征在于,所请求的资源是应用。
9.一种用于从服务器请求资源的设备,包括:
用于由客户机设备向服务器传输访问资源的请求的装置,其中所述请求包括将移动设备标识为解码设备的标识符;
用于由所述客户机设备在所述客户机设备的显示器上渲染来自所述服务器的响应,从而使得包含在在所述响应中的条形码中的令牌能通过基于所述条形码中编码的所述资源的身份选自多个算法的算法来解码并被传输回所述服务器以便认证所述客户机设备的装置,其中至少部分地基于将所述移动设备标识为所述解码设备的所述标识符来编码所述条形码。
10.如权利要求9所述的设备,其特征在于,所述标识符以cookie的形式存储在所述客户机设备上。
11.如权利要求9所述的设备,其特征在于,进一步包括:
用于由所述客户机设备将所述令牌接受为输入的装置;以及
用于由所述客户机设备将所述令牌传输到所述服务器的装置。
12.如权利要求9所述的设备,其特征在于,将所述令牌接受为输入进一步包括通过所述客户机设备的近场通信收发器接受所述令牌。
13.如权利要求9所述的设备,其特征在于,在所述客户机的所述显示器渲染所述条形码是在所述客户机设备上通过到所述显示器的安全通道实现的。
14.如权利要求13所述的设备,其特征在于,所述安全通道包括保护音频视频路径PAVP。
15.如权利要求9至13中任一项所述的设备,其特征在于,所述资源是所述服务器和所述客户机设备之间的安全数据通道,并且在所述条形码中传输的所述令牌是将被所述客户机设备用来加密传输到所述服务器的数据以及解密通过所述安全数据通道从所述服务器接收的数据的密码密钥。
16.如权利要求15所述的设备,其特征在于,所述密码密钥是Diffie-Hellman密钥。
17.一种用于管理资源请求的设备,包括:
用于由服务器从客户机设备接收访问资源的请求的装置;
用于从多个算法选择与所述资源相关联的算法的装置;
用于由所述服务器响应于所述请求生成包含令牌的条形码的装置,其中生成所述令牌包括将所述资源的身份编码到所述条形码中,其中所述令牌是使用所选算法在所述条形码中编码的;以及
用于由所述服务器将所述条形码传输到所述客户机设备的装置,其中所述条形码将在所述客户机设备上显示以便使得能由移动设备使用相机提取所述令牌并用于向所述服务器认证所述客户机设备的用户从而使得所述服务器能授权所请求的访问。
18.如权利要求17所述的设备,其特征在于,进一步包括:
用于由所述服务器从所述客户机设备接收响应的装置;
用于由所述服务器确定所述响应是否包括所述令牌的装置;以及
用于至少部分地基于所述确定的结果授权或拒绝所请求的访问的装置。
19.如权利要求17所述的设备,其特征在于,生成包含令牌的所述条形码进一步包括以特定于所述移动设备的方式用令牌编码所述条形码。
20.如权利要求17所述的设备,其特征在于,生成包含令牌的所述条形码进一步包括以特定于所述移动设备和所请求的资源两者的方式用令牌编码所述条形码。
21.如权利要求20所述的设备,其特征在于,所述请求进一步包括所述移动设备的标识符并且特定于所述移动设备和所请求的资源两者的格式至少部分地基于所述标识符。
22.如权利要求17至21中任一项所述的设备,其特征在于,进一步包括生成用于访问至少包含所述条形码的所请求的资源的登录页,并且其中,将所述条形码传输到所述客户机设备进一步包括以能够向用户显示的格式将所述登录页传输到所述客户机设备。
23.如权利要求17至21中任一项所述的设备,其特征在于,所述条形码是QR码。
24.如权利要求17至21中任一项所述的设备,其特征在于,所请求的资源是应用。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/763,116 US9378352B2 (en) | 2013-02-08 | 2013-02-08 | Barcode authentication for resource requests |
US13/763,116 | 2013-02-08 | ||
PCT/US2014/011333 WO2014123663A1 (en) | 2013-02-08 | 2014-01-13 | Barcode authentication for resource requests |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104903904A CN104903904A (zh) | 2015-09-09 |
CN104903904B true CN104903904B (zh) | 2018-03-13 |
Family
ID=51298454
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480004266.1A Expired - Fee Related CN104903904B (zh) | 2013-02-08 | 2014-01-13 | 用于资源请求的条形码认证 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9378352B2 (zh) |
EP (1) | EP2954451B1 (zh) |
KR (1) | KR101699733B1 (zh) |
CN (1) | CN104903904B (zh) |
WO (1) | WO2014123663A1 (zh) |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014113817A2 (en) * | 2013-01-21 | 2014-07-24 | Humetrix. Com, Inc. | Secure real-time health record exchange |
US9479499B2 (en) * | 2013-03-21 | 2016-10-25 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for identity authentication via mobile capturing code |
US9495586B1 (en) | 2013-09-18 | 2016-11-15 | IDChecker, Inc. | Identity verification using biometric data |
US9430625B1 (en) | 2013-09-18 | 2016-08-30 | Intuit Inc. | Method and system for voice match based data access authorization |
US8995774B1 (en) | 2013-09-19 | 2015-03-31 | IDChecker, Inc. | Automated document recognition, identification, and data extraction |
US9213825B1 (en) * | 2014-02-21 | 2015-12-15 | American Megatrends, Inc. | User authentication using two-dimensional barcodes |
US10079826B2 (en) * | 2014-03-19 | 2018-09-18 | BluInk Ltd. | Methods and systems for data entry |
US9979725B1 (en) * | 2014-04-14 | 2018-05-22 | Symantec Corporation | Two-way authentication using two-dimensional codes |
US9665754B2 (en) * | 2014-05-28 | 2017-05-30 | IDChecker, Inc. | Identification verification using a device with embedded radio-frequency identification functionality |
US11461567B2 (en) | 2014-05-28 | 2022-10-04 | Mitek Systems, Inc. | Systems and methods of identification verification using hybrid near-field communication and optical authentication |
US11640582B2 (en) | 2014-05-28 | 2023-05-02 | Mitek Systems, Inc. | Alignment of antennas on near field communication devices for communication |
US10270780B2 (en) * | 2014-08-18 | 2019-04-23 | Dropbox, Inc. | Access management using electronic images |
CN104270404B (zh) * | 2014-08-29 | 2018-09-04 | 小米科技有限责任公司 | 一种基于终端标识的登录方法及装置 |
US10776809B1 (en) | 2014-09-11 | 2020-09-15 | Square, Inc. | Use of payment card rewards points for an electronic cash transfer |
US9805182B1 (en) * | 2014-09-26 | 2017-10-31 | EMC IP Holding Company LLC | Authentication using a client device and a mobile device |
US10178166B2 (en) * | 2014-12-08 | 2019-01-08 | Ebay Inc. | Delivering personalized content to authenticated user devices |
US9479916B2 (en) | 2014-12-31 | 2016-10-25 | Motorola Solutions, Inc. | Method and apparatus for providing access to local services and applications to multi-agency responders |
CN107209889B (zh) * | 2015-01-27 | 2022-05-10 | 维萨国际服务协会 | 多协议交易加密 |
KR101652625B1 (ko) | 2015-02-11 | 2016-08-30 | 주식회사 이베이코리아 | 온라인 웹사이트의 회원 로그인을 위한 보안인증 시스템 및 그 방법 |
US11042863B1 (en) | 2015-03-20 | 2021-06-22 | Square, Inc. | Grouping payments and payment requests |
KR102362654B1 (ko) | 2015-07-03 | 2022-02-15 | 삼성전자주식회사 | 오븐 |
CN105391549B (zh) * | 2015-12-10 | 2018-10-12 | 四川长虹电器股份有限公司 | 客户端与服务器之间通信动态密钥实现方法 |
CN107403319B (zh) * | 2016-05-18 | 2023-09-05 | 艾玛迪斯简易股份公司 | 基于条形码和令牌通过网络的敏感数据的安全交换 |
US11048454B2 (en) * | 2018-03-07 | 2021-06-29 | Zebra Technologies Corporation | Method and apparatus to protect sensitive information on media processing devices |
WO2020023448A1 (en) * | 2018-07-24 | 2020-01-30 | De Rozairo Damian | System and method for biometric access control |
US10893043B1 (en) * | 2018-09-12 | 2021-01-12 | Massachusetts Mutual Life Insurance Company | Systems and methods for secure display of data on computing devices |
EP3640878B1 (fr) * | 2018-10-17 | 2023-06-21 | Swatch Ag | Procede et systeme d'activation d'un objet portable de paiement sans contact |
IL262773B (en) | 2018-11-04 | 2021-12-01 | Au10Tix Ltd | A system, method and computer program product for differentiating images comprising original scans of documents, from images of documents that are not original scans |
US11316849B1 (en) * | 2019-04-04 | 2022-04-26 | United Services Automobile Association (Usaa) | Mutual authentication system |
US11954989B2 (en) * | 2021-04-15 | 2024-04-09 | Motorola Solutions, Inc. | Image recognition based configuration/authorization method for video security systems |
US11823191B1 (en) | 2022-08-29 | 2023-11-21 | Block, Inc. | Integration for performing actions without additional authorization requests |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101897165A (zh) * | 2007-10-30 | 2010-11-24 | 意大利电信股份公司 | 数据处理系统中验证用户的方法 |
WO2011079872A1 (en) * | 2009-12-30 | 2011-07-07 | Nec Europe Ltd. | Method and system for user authentication |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6550685B1 (en) * | 2000-11-14 | 2003-04-22 | Hewlett-Packard Development Company Lp | Methods and apparatus utilizing visually distinctive barcodes |
US20030141368A1 (en) * | 2002-01-29 | 2003-07-31 | Florante Pascual | System and method for obtaining information from a bar code for use with a healthcare system |
US7243233B2 (en) * | 2002-06-28 | 2007-07-10 | Hewlett-Packard Development Company, L.P. | System and method for secure communication between electronic devices |
GB0229765D0 (en) * | 2002-12-20 | 2003-01-29 | Radicall Projects Ltd | Payment system |
US7455224B2 (en) | 2003-06-26 | 2008-11-25 | Kochevar Peter D | Site-specific access management |
US20060183462A1 (en) * | 2005-02-11 | 2006-08-17 | Nokia Corporation | Managing an access account using personal area networks and credentials on a mobile device |
US8646052B2 (en) * | 2008-03-31 | 2014-02-04 | Intel Corporation | Method and apparatus for providing a secure display window inside the primary display |
EP2224665B1 (en) | 2009-02-26 | 2015-04-08 | BlackBerry Limited | Authentication using a wireless mobile communication device |
KR101052936B1 (ko) * | 2009-05-18 | 2011-07-29 | 이숙희 | 생체정보 저장부를 갖는 생체인식매체를 이용한 네트워크기반의 생체인증시스템 및 생체정보 위변조 방지방법 |
US20110219427A1 (en) * | 2010-03-04 | 2011-09-08 | RSSBus, Inc. | Smart Device User Authentication |
KR20120014318A (ko) | 2010-08-09 | 2012-02-17 | 주식회사 팬택 | 휴대용 단말기 간 어플리케이션을 공유하는 장치 및 그 방법 |
US8438285B2 (en) | 2010-09-15 | 2013-05-07 | At&T Intellectual Property I, L.P. | System for managing resources accessible to a mobile device server |
US8572701B2 (en) * | 2011-08-22 | 2013-10-29 | Verizon Patent And Licensing Inc. | Authenticating via mobile device |
US8862888B2 (en) * | 2012-01-11 | 2014-10-14 | King Saud University | Systems and methods for three-factor authentication |
-
2013
- 2013-02-08 US US13/763,116 patent/US9378352B2/en not_active Expired - Fee Related
-
2014
- 2014-01-13 KR KR1020157018135A patent/KR101699733B1/ko active IP Right Grant
- 2014-01-13 CN CN201480004266.1A patent/CN104903904B/zh not_active Expired - Fee Related
- 2014-01-13 EP EP14748931.4A patent/EP2954451B1/en active Active
- 2014-01-13 WO PCT/US2014/011333 patent/WO2014123663A1/en active Application Filing
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101897165A (zh) * | 2007-10-30 | 2010-11-24 | 意大利电信股份公司 | 数据处理系统中验证用户的方法 |
WO2011079872A1 (en) * | 2009-12-30 | 2011-07-07 | Nec Europe Ltd. | Method and system for user authentication |
Also Published As
Publication number | Publication date |
---|---|
KR101699733B1 (ko) | 2017-01-25 |
KR20150093781A (ko) | 2015-08-18 |
EP2954451B1 (en) | 2019-08-28 |
EP2954451A4 (en) | 2016-10-05 |
EP2954451A1 (en) | 2015-12-16 |
WO2014123663A1 (en) | 2014-08-14 |
US9378352B2 (en) | 2016-06-28 |
CN104903904A (zh) | 2015-09-09 |
US20140230039A1 (en) | 2014-08-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104903904B (zh) | 用于资源请求的条形码认证 | |
US9741033B2 (en) | System and method for point of sale payment data credentials management using out-of-band authentication | |
US9438575B2 (en) | Smart phone login using QR code | |
DK2885904T3 (en) | PROCEDURE FOR USER-EASY AUTHENTICATION AND DEVICE USING A MOBILE APPLICATION FOR AUTHENTICATION | |
CN107302539B (zh) | 一种电子身份注册及认证登录的方法及其系统 | |
US9208304B2 (en) | Method for web service user authentication | |
US8869255B2 (en) | Method and system for abstracted and randomized one-time use passwords for transactional authentication | |
CN101897165B (zh) | 数据处理系统中验证用户的方法 | |
JP2017175244A (ja) | 1:n生体認証・暗号・署名システム | |
CN108737080B (zh) | 密码的存储方法、装置、系统及设备 | |
US20130121490A1 (en) | Method and apparatus for trust based data scanning, capture, and transfer | |
EP3777070B1 (en) | Deep link authentication | |
CN103944877A (zh) | 一种基于二维码实现银行网站安全登录的方法及系统 | |
US20170076285A1 (en) | Payment Method and Apparatus and Payment Factor Processing Method and Apparatus | |
US20230155999A1 (en) | Method and System for Detecting Two-Factor Authentication | |
TWI725443B (zh) | 用於第三方認證的身分的註冊與存取控制方法 | |
WO2017091133A1 (en) | Method and system for secure storage of information | |
JP2007065789A (ja) | 認証システム及び方法 | |
WO2016013924A1 (en) | System and method of mutual authentication using barcode | |
KR20080030599A (ko) | 이중 생체 인증 방법 | |
KR100886410B1 (ko) | 시변코드를 이용한 인증 시스템 및 그 방법 | |
CN109933965B (zh) | 身份识别登录系统以及身份识别终端 | |
TW202134911A (zh) | 身分認證方法 | |
TWM553464U (zh) | 無密碼登入系統 | |
TWM549918U (zh) | 配合一行動裝置實現的交互驗證系統 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180313 Termination date: 20200113 |