CN105379177A - 安全授权系统和方法 - Google Patents
安全授权系统和方法 Download PDFInfo
- Publication number
- CN105379177A CN105379177A CN201480041639.2A CN201480041639A CN105379177A CN 105379177 A CN105379177 A CN 105379177A CN 201480041639 A CN201480041639 A CN 201480041639A CN 105379177 A CN105379177 A CN 105379177A
- Authority
- CN
- China
- Prior art keywords
- authentication
- security token
- user
- service
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
描述了用于安全用户鉴权的系统和方法。在特定实施例中,客户机设备(诸如智能电话)可以配备有安全密钥和/或其它秘密信息。所述客户机设备可以被用于生成被与鉴权处理有关地使用的独特的安全令牌和/或其它证书。用户可以与用于访问被管理的服务的请求有关地将所生成的令牌和/或其它证书提供给服务提供商。可以由与所述服务提供商通信的鉴权服务来验证所生成的令牌和/或其它证书的有效性。
Description
相关申请
本申请遵照35 U.S.C.§119(e)要求题为“SECURE AUTHORIZATION SYSTEMS AND METHODS”的并且于2013年5月23日提交的美国临时专利申请No.61/826,613的优先权的利益,该美国临时专利申请的内容被在其整体上通过引用而合并到此。
版权授权
该专利文献的公开的部分可以包含受到版权保护的材料。版权拥有者不反对由任何人对专利文献或专利公开进行传真复制,因为其出现在美国专利和商标局专利文件或记录中,但是另外地无论如何都保留所有版权权利。
发明内容
用户鉴权技术可以用在各种应用中。例如,在提供对资源的访问之前,用户鉴权处理可以允许管理资源(诸如在线服务)的计算机系统验证用户有权利访问资源(例如,通过在允许对敏感数据的用户访问之前和/或在允许用户对数据执行敏感操作之前验证用户的身份等,如具有在线或销货点金融交易、提供对金融记录、个人记录、机密记录、商业记录或医疗记录(以及/或者类似物等)的访问的情况下那样)。相似地,可以关于物理访问或存货控制系统使用用户鉴权,允许对用户的基于所表明的对特定标识证书的拥有而对于在物理上访问受保护的区域和/或存货的权利(例如,对建筑和/或建筑内的区域(或类似物等)访问、对医院内的医疗供应存货柜的访问等)进行确认。
在此所公开的系统和方法使用单次密码(“OTP”)鉴权处理来促进安全用户鉴权。与所公开的实施例一致的OTP鉴权处理可以使用随着时间经过而改变和/或对于单次鉴权交易而言和/或对于特定时间段而言有效的密码、密钥和/或其它合适的证书。在特定实施例中,可以在用户希望从事鉴权交易的时间基于随机处理和/或伪随机处理而生成与所公开的OTP鉴权处理有关地使用的密码、密钥和/或其它合适的证书。除了其它方面以外,与在此所公开的实施例一致的OTP鉴权处理还优于静态密码鉴权处理而可以提供特定的益处,包括增加的免遭来自恶意方的重放攻击的保护。
在特定实施例中,用户可以与所公开的OTP鉴权处理有关地使用客户机设备(诸如例如智能电话或其它移动设备)。客户机设备和/或其上执行的应用可以配备有可以用于生成与OTP鉴权处理有关地使用的令牌、密码、密钥和/或其它证书的安全密钥和/或其它秘密信息。在一些实施例中,鉴权服务提供商和/或其它受信任的鉴权方可以提供安全密钥和/或其它秘密信息。
基于安全密钥和/或其它秘密信息,客户机设备可以生成用于与OTP鉴权处理有关地使用的令牌、密码、密钥和/或其它证书。客户机设备的用户可以将所生成的令牌、密码、密钥和/或其它证书提供给管理资源的系统(例如服务提供商系统、访问控制系统等),以确认它们的访问资源的权利。在特定实施例中,系统可以与鉴权服务系统进行通信,以关于确定用户是否具有特定的权利来对被管理的资源的进行访问来确认由用户提供的令牌、密码、密钥和/或其它证书的真实性。
与所公开的OTP用户鉴权处理的实施例有关地使用客户机设备(诸如智能电话)可以通过例如消除对于分离的专用鉴权设备(如密钥卡或保护锁)的需要来减少部署的成本和/或易于采用基于OTP的鉴权。此外,所公开的系统和方法的一些实施例可以不要求在令牌、密码、密钥和/或其它证书被生成和/或被另外地提供给用户之时客户机设备具有对于其它系统和/或服务的特定连接性,如可能是在短消息服务(“SMS”)OTP鉴权处理中的情况那样。此外,使用在客户机设备上执行的第三方鉴权服务和/或可下载的令牌鉴权应用可以易于与各种被管理的资源和/或服务有关地集成所公开的安全OTP用户鉴权处理的实施例。
附图说明
通过参照结合随附附图的以下详细描述,将容易地理解独创的工作主体,在附图中:
图1图解与本公开的实施例一致的用于安全用户鉴权的系统。
图2图解与本公开的实施例一致的用于安全用户鉴权的移动应用的界面。
图3图解与本公开的实施例一致的实现安全用户鉴权的服务界面。
图4图解与本公开的实施例一致的用于由移动设备生成鉴权令牌的方法的流程图。
图5图解与本公开的实施例一致的用于用户的服务提供商鉴权的方法的流程图。
图6图解与本公开的实施例一致的用于对用户进行鉴权的方法的流程图。
图7图解可以用于实现本公开的系统和方法的特定实施例的系统。
具体实施方式
以下提供与本公开的实施例一致的系统和方法的详细描述。虽然描述了若干实施例,但应理解,本公开不限于任何一个实施例,而是相反地囊括大量替换、修改和等同物。此外,虽然在以下描述中阐述大量具体细节以便提供在此所公开的实施例的透彻理解,但可以在没有一些或所有这些细节的情况下实践一些实施例。此外,为了清楚的目的,并未详细描述现有技术中已知的特定技术材料,以便避免不必要地模糊本公开。
通过参照附图可以理解本公开的实施例,其中,相同的部分可以由相同的标号指定。可以以各种各样不同的配置来布置并且设计如在此在各图中一般地描述并且图解的所公开的实施例的组件。因此,本公开的系统和方法的实施例的以下详细描述并非意图限制所要求保护的本公开的范围,而是仅仅表示本公开的可能的实施例。此外,在此所公开的任何方法的步骤不一定需要按任何特定顺序或甚至依次执行,步骤也不需要仅被执行一次,除非另外指定。
在此所公开的实施例允许安全用户鉴权。在特定实施例中,可以与数字版权管理(“DRM”)技术(诸如于2006年10月18日提交并且公开为美国专利No.2007/0180519
A1的共同受让共同未决待审美国专利申请No.11/583,693“Digital Rights Management Engine Systems and Methods”中(“‘693’应用”)所描述的那些技术)和/或服务编排和DRM技术(诸如于共同受让的美国专利No.8,234,387“Interoperable Systems and Methods for Peer-to-Peer Service
Orchestration”(“‘387’专利”)中所描述的那些技术)有关地使用在此所描述的系统和方法。将领会的是,这些系统和方法是新颖的,如其中所采用的很多组件、系统和方法那样。
图1图解与本公开的实施例一致的用于安全用户鉴权的系统。在特定实施例中,用户100可能希望访问资源(诸如例如由服务提供商系统102管理的在线服务104(例如在线金融账户、数据库等))。在特定实施例中,用户100可以使用移动设备110和/或计算机101远程地访问服务提供商的系统102。在其它实施例中,用户可以直接访问服务提供商的系统102(例如,如可能是具有销货点终端、ATM和/或售货亭等的情况那样)。因此,将领会的是,在一些实施例中,由系统101、102和/或110执行的操作的一些可以与在关于图1提供的下面的说明性描述中不同地被组合或分布。此外,虽然与在线服务104有关地图解,但将领会的是,服务提供商系统102可以管理对于用户100可能希望访问的各种其它类型的资源的访问。例如,在一些实施例中,服务提供商系统102可以包括物理访问和/或存货控制系统,物理访问和/或存货控制系统被配置为管理由一个或多个用户对受保护区域和/或特定存货物品等的物理访问。
与所公开的系统和方法的特定实施例一致,服务提供商系统102可以实现安全鉴权处理,以确认用户100有权访问受管理资源。例如,在特定实施例中,通过对服务提供商系统102和/或另一关联系统表明安全令牌120的知识,用户100可以确认他或她的访问由服务提供商系统102所管理的资源的权利。如下面更详细地讨论的那样,在特定实施例中,用户100可以使用在客户机设备110上执行的鉴权令牌应用116以生成安全令牌120。在一些实施例中,可以至少部分地基于安全密钥114而生成安全令牌120。在一些实施例中,可以由鉴权服务系统106的个性化服务112将安全密钥114提供给客户机设备110。在一些实施例中,鉴权服务系统106可以与对由用户100(例如经由设备101和/或110)提供给系统102的安全令牌120进行确认有关地来与服务提供商系统102进行通信。在特定实施例中,鉴权服务系统106可以包括使用代表性状态传送(“REST”)API的HTTP鉴权服务。虽然被图解为分离的系统,但将领会的是,在其它实施例中,可以由单个系统和/或系统的任何合适的组合来执行服务提供商系统102、鉴权服务系统106和/或客户机设备101和110的特定功能。
服务提供商系统102、鉴权服务系统106、客户机设备110、客户机设备101和/或一个或多个其它关联系统(未示出)可以包括被配置为实现在此所公开的系统和方法的实施例的任何合适的计算系统或系统的组合。在特定实施例中,服务提供商系统102、鉴权服务系统106、客户机设备101和/或110和/或其它关联系统可以包括被配置为执行存储在关联的非瞬态计算机可读存储介质上的指令的至少一个处理器系统。如下面更详细地讨论的那样,服务提供商系统102、鉴权服务系统106、客户机设备101和/或110和/或其它关联系统可以进一步包括安全处理单元(“SPU”), 安全处理单元被配置为执行敏感操作(诸如受信任的证书和/或密钥管理、令牌生成和/或确认和/或在此所公开的系统和方法的其它方面)。服务提供商系统102、鉴权服务系统106、客户机设备101和/或110和/或其它关联系统可以进一步包括被配置为使得能够经由一个或多个关联的网络连接在系统101、102、106、110之间进行信息的电子通信的软件和/或硬件。
服务提供商系统102、鉴权服务系统106和/或客户机设备101和/或110可以包括执行被配置为实现在此所公开的系统和方法的实施例的一个或多个应用的计算设备。在特定实施例中,服务提供商系统102、鉴权服务系统106和/或客户机设备101和/或110可以包括膝上型计算机系统、桌面计算机系统、智能电话、平板计算机、服务器系统、游戏系统、自动柜员机(ATM)、售货亭和/或可以与所公开的系统和方法相关地利用的任何其它的计算系统和/或设备。在特定实施例中,服务提供商系统102、鉴权服务系统106和/或客户机设备101和/或110可以包括被配置为除了其它方面以外还提供安全密钥114、生成安全令牌120、管理对资源的访问和/或确认安全令牌120的真实性的软件和/或硬件。在一些实施例中,可以使用在服务提供商系统102、鉴权服务系统106和/或客户机设备101和/或110上执行的一个或多个应用(例如鉴权服务108、个性化服务112、鉴权令牌应用116和/或在线服务104)来实现这样的功能。
所公开的实施例中的某些可以允许与安全标签鉴权和/或存在验证相关地来使用一般目的的客户机设备110。例如,在特定实施例中,执行鉴权令牌应用116(例如由用于与安全令牌生成有关地使用的鉴权服务系统106和/或另一受信任的服务提供商所提供的应用)的一般目的的智能电话和/或平板计算设备可以被利用于实现所公开的实施例的特定方面。在一些实施例中,使用一般目的的智能电话和/或平板计算设备作为客户机设备110可以减少部署的成本和/或易于采用实现所公开的系统和方法的实施例的基于OTP的鉴权处理。
各个系统102、106、110可以经由包括任何合适的数量的网络和/或网络连接的一个或多个网络进行通信。网络连接可以包括各种网络通信设备和/或信道,并且可以利用促进所连接的设备与系统之间的通信的任何合适的通信协议和/或标准。网络连接可以例如包括互联网、局域网、虚拟专用网和/或利用一种或多种电子通信技术和/或标准的任何其它通信网络(例如以太网等)。在一些实施例中,网络连接可以包括无线载波系统(诸如个人通信系统(“PCS”))和/或合并任何合适的通信标准和/或协议的任何其它合适的通信系统。在进一步的实施例中,网络连接可以包括利用例如码分多址(“CDMA”)、全球移动通信系统或移动特别小组(“GSM”)、频分多址(“FDMA”)和/或时分多址(“TDMA”)技术的模拟移动通信网络和/或数字移动通信网络。在特定实施例中,网络连接可以合并一个或多个卫星通信链路。在又一进一步的实施例中,网络连接可以利用IEEE的802.11标准、蓝牙®、超宽带(UWB)、Zigbee(紫蜂)®和或任何其它合适的(多个)通信协议。
希望与在线服务104鉴权的用户100可以具有客户机设备110(诸如由个性化服务112个性化的移动设备)。个性化服务112可以与鉴权服务系统106和/或另一受信任的鉴权方关联。为了个性化客户机设备110,用户100可以首先与鉴权服务系统106和/或其它受信任的鉴权方鉴权他们的身份和/或他们的访问在线服务104的权利。在特定实施例中,可以与鉴权服务系统106和/或其它受信任的鉴权方与鉴权用户的身份和/或访问在线服务104的权利有关地利用用户名和/或密码鉴权、生物测定鉴权、个人标识号鉴权和/或任何其它合适的类型的鉴权技术。
在特定实施例中,可以与牵涉用户100、服务提供商系统102和/或在线服务104和/或鉴权服务系统106的交易有关地来执行用户鉴权。例如,用户100可能希望购买权利以访问在线服务104。作为购买交易的部分,可以与鉴权服务系统106和/或其它受信任的鉴权方鉴权用户的访问在线服务104并且使关联的客户机设备110个性化的权利。
在与鉴权服务系统106和/或其它受信任的鉴权方鉴权用户100时,个性化服务112可以个性化客户机设备110以用于与和在此所公开的实施例一致的安全OTP用户鉴权处理相关地进行使用。在特定实施例中,作为个性化处理的部分,客户机设备110可以配备有可以用于生成安全OTP令牌120的安全密钥114和/或其它秘密信息。在一些实施例中,安全密钥114可以是对于关联的客户机设备110来说独特的密钥。虽然参照安全密钥114讨论在此所公开的实施例,但将领会的是,也可以使用可以用于生成与OTP鉴权处理的实施例相关地使用的令牌、密码、密钥和/或其它证书的任何其它秘密信息。如下面更详细地讨论的那样,在特定实施例中,由鉴权服务系统106和/或其它受信任的鉴权方提供给客户机设备110的安全密钥114可以被存储在操作于客户机设备110上的安全密钥盒118中。
客户机设备110可以进一步配备有鉴权令牌应用116,鉴权令牌应用116被配置为除了其它方面以外还允许用户100请求与安全OTP鉴权处理有关地生成安全令牌120和/或生成这样的安全令牌120。在特定实施例中,可以由鉴权服务系统106和/或另外的受信任的鉴权方将鉴权令牌应用116提供给客户机设备110。在进一步的实施例中,鉴权令牌应用116可以被从供给各种应用的在线资源(诸如“app商店”等)下载到客户机设备110。
为了对他或她的访问在线服务104的权利进行鉴权,在一些实施例中,用户可以首先请求由客户机设备110和/或在其上执行的鉴权令牌应用116生成安全令牌120。在其它实施例中,可以由例如服务器102和/或在用户的设备上运行的客户机应用自动地作出这样的请求。虽然参照安全令牌120讨论在此所公开的一些实施例,但将领会的是,其它实施例可以与所公开的鉴权处理的实施例有关地利用所生成的令牌、密码、密钥和/或其它证书。如下面更详细地讨论的那样,在特定实施例中,可以在受保护的处理环境(诸如例如被配置为在生成安全令牌120期间保护安全密钥114和/或关联的安全令牌生成算法的秘密性和/或完整性的安全密钥盒118)中生成安全令牌120。
在一些实施例中,可以至少部分地基于安全密钥114而生成安全令牌120。在特定实施例中,可以通过使用安全密钥114和在客户机应用110与鉴权服务系统106之间共享的其它信息(诸如例如由被同步的计数器和/或时钟提供的值)执行计算来生成安全令牌120。例如,在一些实施例中,可以通过使用安全密钥114和由时钟所提供的值执行密码化散列和/或摘要计算来生成安全令牌120。在进一步的实施例中,与生成安全密钥114有关地使用的其它信息可以是共享的非随机值、随机值和/或伪随机值。在特定实施例中,与生成安全令牌120有关地使用的信息(例如安全密钥144、由计数器和/或时钟提供的值等)可以对于客户机设备110和/或鉴权服务系统106这两者可用,和/或另外地与客户机设备110和/或鉴权服务系统106这两者同步或共享。在一些实施例中,可以使用基于时间的单次密码(“TOTP”)算法来生成安全令牌120。
可以以各种其它方式生成安全令牌120。例如,在一些实施例中,可以使用基于HMAC的单次密码(“HOTP”)算法来生成安全令牌120。在进一步的实施例中,可以至少部分地基于先前生成的安全令牌而生成安全令牌120。在又一进一步的实施例中,可以至少部分地基于由用户100提供的对质询的响应而生成安全令牌120。将领会的是,可以与生成安全令牌120相关地来利用各种其它方法,并且可以与所公开的鉴权处理的实施例相关地来使用任何合适的方法或其组合。
所提供的安全密钥114可以由客户机设备110存储在受保护的处理环境(诸如安全密钥盒118)中。在特定实施例中,安全密钥盒118可以被配置为保护安全密钥114的秘密性和/或完整性。安全密钥盒118可以进一步保护与用于由客户机设备110生成安全令牌120的安全计算有关地使用的软件代码。在一些实施例中,可以使用诸如在共同受让美国专利No.7,430,585(“‘585专利”)和/或美国专利No.5,892,900(“‘900专利”)中所描述的受保护的处理环境和/或安全处理单元,所说的美国专利中的每个被通过引用合并到此。
在一些实施例中,安全密钥盒118可以使用白盒密码化方法,其甚至在执行关联的安全令牌120生成方法期间允许安全密钥114保持被加密。在特定实施例中,安全密钥盒118可以使得能够在不以明文暴露安全密钥114的情况下与生成安全令牌120有关地存储和/或使用安全密钥114。例如,在一些实施例中,安全密钥盒118可以允许在不在代码中和/或具有开放架构的客户机设备100的存储器中暴露安全密钥114的情况下存储和/或使用安全密钥114。在一些实施例中,使用由whiteCryption公司所供给的安全密钥盒技术(见例如www.cryptanium.com/secure_key_box)来实现安全密钥盒。
可以与静态密钥和/或可以在运行时间被加载和/或解密的加密动态密钥这两者有关地来使用安全密钥盒118。在进一步的实施例中,与不同客户机设备110关联的分离的安全密钥盒118可以使用不同的加密格式来存储安全密钥114和/或对其进行操作。在特定实施例中,安全密钥盒118可以在不使用被包括在客户机设备110中的专用安全性硬件的情况下使得能够保护安全密钥114和/或使用其所执行的计算。
在一些实施例中,诸如例如安全密钥114的安全信息可以在被传输出安全密钥盒118时被加密。在特定实施例中,安全密钥114可以在对其操作的分离的安全密钥盒(未示出)中由鉴权服务系统106管理。当被作为客户机设备110的个性化处理的部分而从鉴权服务系统106的安全密钥盒传输时,鉴权服务系统106的安全密钥盒可以利用与客户机设备110的安全密钥盒118共享的公共导出密钥来加密安全密钥114。在由客户机设备110接收时,安全密钥盒118可以使用用于与生成安全令牌120有关地使用的公共导出密钥来对接收到的加密安全密钥114进行解密。
可以与客户机设备110有关地进一步实现软件模糊和/或完整性保护技术,以保护安全密钥114和/或使用安全密钥114所执行的操作(例如用于生成安全令牌120的计算)。例如,在一些实施例中,各种安全性技术可以被应用于执行利用(例如安全密钥盒118之外和/或之内的)安全密钥114的操作的软件代码,包括但不限制于包括完整性保护、模糊、反窃取、反除错和共享库保护。在特定实施例中,可以在关联的软件代码的不同层处应用集成的保护机制。在一些实施例中,可以使用软件模糊和/或代码校验技术(诸如在共同受让的美国专利No.6,668,325 B1,Obfuscation Techniques for Enhancing Software Security、美国专利申请No.11/102,306(公开No.2005/0183072
A1),Software Self-Defense Systems and
Methods;美国专利申请No.11/737,428(公开No.2008/0028474 A1),Systems
and Methods for Watermarking Software and Other Media;和/或美国专利申请No.10/172,682(公开No.2003/0023856 A1),Software
Self-Checking Systems and Methods中所描述的那些技术),其中的每个在这里被通过引用而合并到此。
在一些实施例中,完整性保护技术可以被用于防止被配置为使用安全密钥114来执行操作的软件代码免遭攻击者修改。例如,在一些实施例中,很多个完整性校验器可以被插入到被配置为监控关联二进制文件中的特定范围(例如代码的重叠范围)的软件代码中。如果修改应用,则所插入的校验器(例如校验和)可能不再匹配先前所生成的二进制足迹,并且应用可以通过终止执行来保卫自身。在特定实施例中,可以以如下这样的方式来插入校验器:它们保护其它校验器并且相对地难以检测和/或要耗费时间来移除。
在一些实施例中,软件模糊技术可以被用于对与使用安全密钥114执行的操作关联的代码进行转换,以使得静态分析工具可以在标识关联的可执行中的特定功能上面对困难。各种软件模糊技术可以被用于保护安全密钥114和/或使用安全密钥114所执行的操作,包括例如模糊关联的二进制代码中的消息调用,模糊代码中的串语义从而它们不是容易地可读的并且仅在这样的语义被处理之前对它们进行解码,将反除错代码的实例插入到所保护的代码中,实现如果检测到要在越狱的客户机设备110上执行则保护代码的完整性的安全性机制,封装二进制文件以使得利用在运行时间解密到存储器中的随附残段来加密关联的可执行二进制代码,和/或包括被配置为破坏导致崩溃的关联的应用的程序状态的防御性代码等。
在特定实施例中,可以由客户机设备110响应于来自用户120的请求而生成安全令牌120。在进一步的实施例中,可以由客户机设备100自动地生成安全令牌120。在一些实施例中,所生成的安全令牌120可以随着时间的经过(例如每30秒等)而被更新。例如,在其中通过计算安全密钥114的密码化散列以及由共享时钟提供的值来计算安全令牌120的实施例中,可以随着时钟值递增而周期性地更新安全令牌120。在一些实施例中,用户100可以被提供有关于安全令牌120将何时在客户机设备110上被周期性地更新的指示(例如,经由所显示的计数等)。
希望访问在线服务104和/或由服务提供商系统102管理的另外的资源的用户100可以对服务提供商系统102提供特定的鉴权证书122,以用于在确定用户是否具有权利访问在线服务104和/或被管理的资源中使用。与在此所公开的实施例一致,鉴权证书122可以包括由客户机设备生成的安全令牌120。在进一步的实施例中,鉴权证书122可以包括各种其它鉴权信息,包括例如用户名和/或与用户100和/或密码关联的其它标识信息。
服务提供商系统102可以基于鉴权证书122而生成鉴权询问124。除了其它方面以外,鉴权询问124可以还包括由用户100提供的安全令牌120。鉴权询问124可以进一步包括鉴权证书122中所包括的其它鉴权信息(例如用户名、密码等)、和/或关于用户100想访问的服务和/或资源的信息等。服务提供商系统102可以将鉴权询问124传输到鉴权服务系统106。
在接收到鉴权询问124时,鉴权服务系统106可以使用例如在其上执行的鉴权服务应用108来执行鉴权处理。在特定实施例中,鉴权处理可以包括:至少部分地使用在鉴权服务系统106和/或客户机设备110之间共享的密钥114来生成安全令牌。例如,鉴权服务系统106可以通过使用共享安全密钥114和由共享的和/或另外地同步的时钟生成的值来执行密码化散列或其它计算而生成安全令牌。由鉴权服务系统106生成的安全令牌可以与由用户100所提供的客户机设备110所生成的安全令牌120进行比较。如果安全令牌匹配,则用户100可以是经鉴权的。如果安全令牌不匹配,则用户100可以是未被鉴权的。在一些实施例中,可以选取时间值中的有效位的数量,以允许服务器的时钟与客户机的时钟之间的预先限定的误差裕量(例如,时间可以被测量为最接近的分钟)。
在特定实施例中,鉴权服务系统106可以确定由用户提供的安全令牌120是否匹配已经由和/或可能已经由鉴权服务系统106在特定时间段内生成的安全令牌。也就是说,鉴权服务系统106可以检查安全令牌120是“新鲜的”。如果安全令牌120不是已经由和/或可能已经由鉴权系统106在特定时间段内生成的安全令牌(即,不是“新鲜的”),则鉴权服务系统106可以确定安全令牌120不是鉴权的和/或另外地是无效的,无论其是否可能已经是经鉴权的和/或有效的(如果由鉴权服务系统106在更早时间接收到的话)。以此方式,可以缓解使用更旧的安全令牌的可能的重放攻击。在一些实施例中,鉴权系统106可以基于当前时间以及预先限定的数量的先前时间间隔和/或未来时间间隔而计算令牌值,并且只要在接收到的令牌与在该窗口中计算出的任何令牌之间存在匹配就确定接收到令牌是新鲜的并且是鉴权的,由此允许在客户机的时钟与服务器的时钟之间的精确同步性的可能的缺少。例如,服务器106可以针对先前的分钟、当前时间和下一分钟计算令牌,并且只要从设备110接收到的令牌匹配这三个值中的任一个就对其进行鉴权,由此避免因为客户机和服务器上的小的时间差、客户机与服务器之间的传输上的延迟、和/或令牌值的缓慢的用户输入等的不正确的结果。
指示鉴权服务系统106是否确认包括由用户100提供的安全令牌120的鉴权证书122的鉴权结果126可以被发送到服务提供商系统102。基于鉴权结果126,服务提供商系统102可以允许或限制对用户100希望访问的在线服务104和/或其它资源的访问。
将领会的是,可以在创新的工作主体的范围内对与图1有关地提出的架构和关系作出大量变化。例如,在并非限制的情况下,在一些实施例中,可以由服务提供商系统102执行由鉴权服务系统106执行的一些或所有功能。相似地,可以由服务提供商系统102执行由客户机设备101和/或110执行的一些或所有功能。因此,将领会的是,为了图解和解释而非限制的目的提供图1图解的架构和关系。
图2图解与本公开的实施例一致的用于安全用户鉴权的移动应用的界面200。可以例如使用关联的客户机设备110将界面200显示给用户。在一些实施例中,用户可以经由令牌选择菜单202选择用户想让客户机设备110生成的安全令牌120的类型。例如,如所图解那样,用户可以经由令牌选择菜单202选择HOTP令牌生成和/或TOTP令牌生成。在其它实施例中,自动地执行令牌的选择和/或生成。
当用户想使用客户机设备110生成安全令牌120时,用户可以通过选择包括在界面200中的一个或多个令牌生成元素204来发起令牌生成处理。如所图解那样,安全令牌120可以包括数值令牌或代码(例如改变的六位数代码等)。在进一步的实施例中,安全令牌120可以包括字母数字令牌或代码。将领会的是,客户机设备110可以生成各种类型的安全性令牌120,并且可以与所公开的实施例有关地生成或使用任何合适的类型的安全令牌120。
在特定实施例中,所生成的安全令牌120可以被周期性地更新(例如每30秒等)。例如,在其中通过计算安全密钥的密码化散列以及由共享的时钟提供的值来计算安全令牌120的实施例中,可以随着时钟值递增而在界面200上周期性地更新安全令牌120。在特定实施例中,客户机设备110的用户可以通过选择界面200上的适当的令牌生成元素204来终止新的安全令牌120的生成。
图3图解与本公开的实施例一致的实现安全用户鉴权的服务界面300。在特定实施例中,服务界面300可以与由服务提供商系统102管理的服务和/或另外的资源关联。在一些实施例中,可以经由web浏览器应用来显示服务界面300。在进一步的实施例中,服务界面300可以是分立的应用的界面。
可以首先要求希望访问由服务提供商系统102管理的服务和/或其它资源的用户为服务提供商系统102提供特定的鉴权证书,以用于在确定用户是否有权利访问在线服务和/或被管理的资源中使用。在特定实施例中,可以经由服务界面300的登录信息窗口302来提供这样的证书。如所图解那样,用户可以在登录信息窗口302中经由关联的字段304为服务和/或其它被管理资源提供各种鉴权证书,包括但不限制于用户名和/或与用户关联的其它标识信息(例如电子邮件地址)、密码信息和/或使用例如与图3有关地在此所公开的令牌生成处理的实施例所生成的安全令牌。于在登录信息窗口302中输入适当的鉴权证书之后,用户可以选择登录按钮306以发起与服务提供商系统102的鉴权处理。
图4图解与本公开的实施例一致的用于由移动设备生成鉴权令牌的方法400的流程图。可以以各种方式(包括使用软件、固件、硬件和/或它们的任何组合)来实现所图解的方法400。在特定实施例中,如上面描述那样,可以至少部分地由在客户机设备上执行的鉴权令牌应用和/或安全密钥盒来实现方法400。
在402,可以从用户和/或在用户的设备上运行的应用接收用于生成安全令牌的请求。在特定实施例中,请求可以包括安全令牌的类型和/或要被用于生成安全令牌的计算方法的指示。例如,用户可以指定他们想使用HOTP令牌生成和/或TOTP令牌生成处理来使安全令牌被生成。
基于请求的参数,可以在404生成安全令牌。与在此所公开的实施例一致,可以基于由鉴权服务系统和/或另外的受信任的鉴权方提供给客户机设备的安全密钥而生成安全令牌。除了安全密钥之外,可以进一步基于其它信息(诸如时间值、质询/响应或在客户机设备与鉴权服务系统之间所共享的信息)而生成安全令牌。例如,在一些实施例中,可以通过使用安全密钥和由时钟提供的值来执行密码化散列和/或摘要计算从而生成安全令牌。在406,所生成的安全令牌可以经由客户机设备的界面而被提供给用户,以用于传输到服务器(例如通过在web界面(诸如在图3中示出的界面)上输入令牌的值)。在其它实施例中,安全令牌可以被自动地和/或直接地通信到服务器。使用安全令牌,服务器可以对用户的访问服务和/或被管理的资源的权利进行鉴权。
图5图解与本公开的实施例一致的用于用户的服务提供商鉴权的方法500的流程图。可以以各种方式(包括使用软件、固件、硬件和/或它们的任何组合)来实现所图解的方法500。在特定实施例中,可以至少部分地由与服务提供商系统关联的被管理的服务和/或资源来实现方法500,如上面描述的那样。
在502,可以从用户接收鉴权证书。鉴权证书在并非限制的情况下可以包括用户名和/或与用户关联的其它标识信息(例如电子邮件地址)、密码信息、和/或使用在此所公开的令牌生成处理的实施例所生成的安全令牌等。可以至少部分地基于接收到的鉴权证书而在504生成鉴权询问并且将其发送到鉴权服务。除了其它方面以外,鉴权询问可以还包括由鉴权证书中所包括的用户提供的安全令牌。鉴权询问可以进一步包括鉴权证书中所包括的其它信息(例如用户名、密码等)、和/或关于用户想访问的服务和/或资源的信息等。
在506,可以响应于鉴权询问而从鉴权服务接收鉴权结果。在508,可以对鉴权结果是否指示由鉴权服务进行的包括在鉴权询问中的信息的鉴权是成功的作出确定。如果鉴权不是成功的,则在510,用户可能被拒绝进行所请求的对服务和/或其它被管理的资源的访问。如果鉴权是成功的,则在512,用户可以被允许进行所请求的对服务和/或其它被管理的资源的访问。
图6图解与本公开的实施例一致的用于对用户进行鉴权的方法600的流程图。可以以各种方式(包括使用软件、固件、硬件和/或它们的任何组合)来实现所图解的方法600。在特定实施例中,如上面描述那样,可以至少部分地由与鉴权服务系统关联的鉴权服务应用和/或安全密钥盒来实现方法600。
在602,可以从管理服务和/或其它资源的服务提供商系统接收鉴权询问。除了其它方面以外,鉴权询问可以还包括由用户提供的安全令牌、其它鉴权证书(例如用户名、密码等)、和/或关于用户想访问的服务和/或资源的信息等。
在604,可以由鉴权服务系统基于在602接收到的鉴权询问中所包括的或从在602接收到的鉴权询问推导出的安全密钥而生成安全令牌。除了安全密钥之外,可以进一步基于当前时间值和/或在客户机设备与鉴权服务系统之间所共享的其它信息而生成安全令牌。例如,在一些实施例中,可以通过使用安全密钥和由时钟提供的值来执行密码化散列和/或摘要计算从而生成安全令牌。
由鉴权服务系统在604生成的安全令牌可以在606与由关联于用户的客户机设备生成的鉴权询问中所包括的安全令牌进行比较。在608,可以基于关于在604生成的安全令牌和包括在鉴权询问中的安全令牌是否匹配的比较而作出确定。如果令牌不匹配,则可以在610将指示包括在鉴权询问中的安全令牌并非有效的鉴权结果发送到服务提供商系统。如果令牌匹配,则可以在612将指示包括在鉴权询问中的安全令牌是有效的鉴权结果发送到服务提供商系统。匹配的令牌可以指示由鉴权服务系统生成的安全令牌以及由客户机设备生成的安全令牌是基于同一安全密钥和/或其它信息(例如同步的时钟值)生成的,并且/或者是使用同一密码化计算生成的。基于接收到的鉴权结果,服务提供商系统可以相应地管理由用户进行的对服务和/或资源的访问。
图7图解可以被用于实现本公开的系统和方法的特定实施例的系统700。系统700可以例如包括膝上型计算机系统、台式计算机系统、服务器计算机系统、移动设备(诸如智能电话或平板)、游戏系统、ATM、家用电器和/或被配置为实现在此所描述的系统和方法的任何其它的系统或设备。在特定实施例中,系统700可以执行与鉴权服务系统或其它受信任的鉴权方、服务提供商系统、客户机设备和/或在此所公开的任何其它的系统关联的特定功能。
如图7中图解那样,系统700可以包括:处理器702;系统存储器704,其可以包括高速RAM、非易失性存储器和/或一个或多个体非易失性计算机可读存储介质(例如硬盘、闪速存储器等),以用于存储用于由处理器702使用并且执行的程序和其它数据;用户界面714(例如输入/输出界面),其可以包括显示器和/或一个或多个输入设备(诸如例如触摸屏、键盘、鼠标、和/或追踪面板等);端口706,用于与可以包括一个多个磁盘、光存储介质和/或其它计算机可读介质(例如闪速存储器、拇指驱动器(thumb drive)、USB保护锁、压缩盘、DVD等)的可移除存储器708进行接口;网络接口710,用于使用一种或多种通信技术经由网络712与其它系统进行通信;以及一个或多个总线718,用于通信地耦合前面提到的元件。
在特定实施例中,网络712可以包括互联网、局域网、虚拟专用网络和/或利用一种或多种电子通信技术和/或标准的任何其它的通信网络(例如以太网等)。在一些实施例中,网络接口710和/或网络712可以是无线载波系统(诸如PCS)和/或合并任何合适的通信标准和/或协议的任何其它的合适的通信系统的部分。在进一步的实施例中,网络接口710和/或网络712可以是模拟移动通信网络和/或利用例如CDMA标准、GSM标准、FDMA标准和/或TDMA标准的数字移动通信网络。在又一进一步的实施例中,网络接口710和/或网络712可以合并一个或多个卫星通信链路,和/或利用IEEE的802.11标准、近场通信、蓝牙®、UWB、Zigbee®和/或任何其它合适的一种或多种技术。
在一些实施例中,系统700可以替换地或附加地包括SPU 716,SPU 716通过利用安全物理技术和/或虚拟安全性技术而被保护以免遭系统700或其它实体的用户篡改。SPU
716可以有助于增强并且/或者促进敏感操作(诸如安全密钥的私人管理和/或使用和/或在此所公开的系统和方法的其它方面)的安全性。在特定实施例中,SPU
716可以在逻辑上安全的处理域中操作,并且可以被配置为保护秘密信息并且对其进行操作。在一些实施例中,SPU
716可以包括内部存储器,内部存储器存储被配置为使得SPU 716能够执行安全操作的可执行指令或程序。
一般可以通过凭借执行系统存储器704(和/或其它计算机可读介质(诸如可移除存储器708))中所存储的软件指令和程序进行操作的处理器702来控制系统700的操作。系统存储器704可以存储用于控制系统700的操作的各种可执行程序或模块。例如,系统存储器704可以包括:操作系统(“OS”)720,其可以至少部分地管理并且协调系统硬件资源并且为各种应用的执行提供公共服务;以及信任和隐私管理系统722,用于实现包括(包括安全密钥的)秘密信息的保护和/或管理的信任和隐私管理功能。在并非限制的情况下,系统存储器704可以进一步包括:通信软件724,被配置为至少部分地使能与系统700的通信以及由系统700进行的通信;应用726(例如个性化应用、鉴权令牌生成应用等);鉴权服务应用728,被配置为执行如在此所公开的安全令牌鉴权操作;安全密钥盒730,被配置为保护安全密钥以及使用其所执行的计算(例如密码化计算);和/或任何其它信息和/或应用,被配置为实现在此所公开的系统和方法的实施例。
本领域的一个普通技术人员将领会的是,可以利用与图7中图解的计算设备相似或相同的计算设备或实质上利用任何其它的合适的计算设备(包括不具有图7中示出的一些组件的计算设备和/或具有未示出的其它组件的计算设备)来实践在此所描述的系统和方法。因此,应当领会的是,为了图解而不是进行限制的目的而提供图7。
在此所公开的系统和方法并非固有地与任何特定的计算机、电子控制单元或其它装置有关,并且可以由硬件、软件和/或固件的合适组合而来实现。软件实现可以包括一个或多个计算机程序,一个或多个计算机程序包括当由处理器或虚拟机执行或解释时可以引起计算机系统执行至少部分地由可执行指令限定的方法的代码/指令。可以以任何形式的编程语言(包括被编译或被解释的语言)来写计算机程序,并且可以以任何形式(包括作为单机程序或作为模块、组件、子例程或适合用于在计算环境中使用的其它单元)来部署计算机程序。进一步地,计算机程序可以被部署为要在处在一个地点处的或跨多个地点而分布并且由通信网络互连的一台计算机或多台计算机上被执行。软件实施例可以被实现为包括被配置为存储当由处理器执行时被配置为引起处理器根据指令执行方法的计算机程序和指令的非暂态存储介质的计算机程序产品。在特定实施例中,非暂态存储介质可以采取能够在非暂态存储介质上存储处理器可读指令的任何形式。可以以任何合适的形式来体现非暂态存储介质,在并非限制的情况下包括压缩盘、数字视频盘、磁带、磁盘、闪速存储器、集成电路和/或任何其它的非暂态存储器。
虽然已经为了清楚的目的而稍许详细地描述了前述情况,但将明显的是,可以在不脱离其原理的情况下作出特定改变和修改。应注意的是,存在实现在此所描述的系统和方法这两者的很多替换方式。相应地,当前的实施例要被看作是说明性的而非约束的,并且本发明不被限制于在此所给出的细节,而是可以在所附权利要求的范围及等同物内被修改。
Claims (11)
1.一种由用于对用户的访问被管理的资源的权利进行鉴权的系统执行的方法,所述方法包括:
从与被管理的资源关联的服务提供商系统接收由用户提供给所述服务提供商系统的鉴权证书,所述鉴权证书包括由与所述用户关联的客户机设备生成的第一安全令牌;
基于所述鉴权证书而重获第一安全密钥;
基于所述第一安全密钥而生成第二安全令牌;
对所述第一安全令牌与所述第二安全令牌进行比较;
基于所述比较的结果而生成鉴权结果;以及
将所述鉴权结果传输到所述服务提供商系统。
2.如权利要求1所述的方法,其中,所述方法进一步包括:
基于所述比较的结果而确定所述第一安全令牌匹配所述第二安全令牌;以及
其中,所述鉴权结果包括第一安全令牌有效的指示。
3.如权利要求1所述的方法,其中,所述方法进一步包括:
基于所述比较的结果而确定所述第一安全令牌不匹配所述第二安全令牌;以及
其中,所述鉴权结果包括第一安全令牌无效的指示。
4.如权利要求1所述的方法,其中,生成所述第二安全令牌包括:
基于所述第一安全密钥以及对于所述系统和所述客户机设备公用的其它信息而执行计算。
5.如权利要求4所述的方法,其中,所述计算包括密码化散列计算。
6.如权利要求4所述的方法,其中,所述计算包括基于时间的单次密码(“TOTP”)计算。
7.如权利要求4所述的方法,其中,所述计算包括基于HMAC的单次密码(“HOTP”)计算。
8.如权利要求4所述的方法,其中,所述其它信息包括由时钟提供的值。
9.如权利要求4所述的方法,其中,所述其它信息包括由计数器提供的值。
10.如权利要求1所述的方法,其中,对所述第一安全令牌与所述第二安全令牌进行比较包括:确定所述第一安全令牌和所述第二安全令牌这两者是在特定时间段内生成的。
11.如权利要求1所述的方法,其中,所述被管理的资源包括在线服务。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201361826613P | 2013-05-23 | 2013-05-23 | |
US61/826613 | 2013-05-23 | ||
PCT/US2014/039415 WO2015023341A2 (en) | 2013-05-23 | 2014-05-23 | Secure authorization systems and methods |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105379177A true CN105379177A (zh) | 2016-03-02 |
Family
ID=51936325
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480041639.2A Pending CN105379177A (zh) | 2013-05-23 | 2014-05-23 | 安全授权系统和方法 |
Country Status (5)
Country | Link |
---|---|
US (3) | US10021091B2 (zh) |
EP (1) | EP3000200A4 (zh) |
JP (1) | JP2016520230A (zh) |
CN (1) | CN105379177A (zh) |
WO (1) | WO2015023341A2 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109474608A (zh) * | 2018-12-06 | 2019-03-15 | 郑州云海信息技术有限公司 | 一种多平台通讯方法及系统 |
CN113613046A (zh) * | 2018-03-30 | 2021-11-05 | 苹果公司 | 管理回放组 |
US11974338B2 (en) | 2018-03-30 | 2024-04-30 | Apple Inc. | Pairing devices by proxy |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9531749B2 (en) * | 2014-08-07 | 2016-12-27 | International Business Machines Corporation | Prevention of query overloading in a server application |
US20160149894A1 (en) * | 2014-11-25 | 2016-05-26 | Appright, Inc. | System and method for providing multi factor authentication |
RU2710670C2 (ru) * | 2014-12-24 | 2019-12-30 | Конинклейке Филипс Н.В. | Криптографическая система и способ |
US10439815B1 (en) * | 2014-12-30 | 2019-10-08 | Morphotrust Usa, Llc | User data validation for digital identifications |
EP3101535B1 (en) * | 2015-06-01 | 2022-04-13 | OpenSynergy GmbH | Method for updating a control unit for an automotive vehicle, control unit for an automotive vehicle, and computer program product |
US10013684B2 (en) | 2015-06-02 | 2018-07-03 | Bank Of America Corporation | Processing cardless transactions at automated teller devices |
KR102424055B1 (ko) * | 2015-12-08 | 2022-07-25 | 한국전자통신연구원 | 두 개의 api 토큰을 이용한 api 인증 장치 및 방법 |
EP3179395A1 (en) * | 2015-12-10 | 2017-06-14 | Thomson Licensing | Device and method for executing protected ios software modules |
US10348713B2 (en) * | 2016-09-16 | 2019-07-09 | Oracle International Corporation | Pluggable authentication for enterprise web application |
US20180091641A1 (en) * | 2016-09-28 | 2018-03-29 | Sensormatic Electronics, LLC | Repeater for frictionless access control system |
US20180095500A1 (en) * | 2016-09-30 | 2018-04-05 | Intel Corporation | Tap-to-dock |
JP6404958B2 (ja) * | 2017-01-20 | 2018-10-17 | 日本電信電話株式会社 | 認証システム、方法及びプログラム並びにサーバ |
EP3376421A1 (en) * | 2017-03-17 | 2018-09-19 | Gemalto Sa | Method for authenticating a user and corresponding device, first and second servers and system |
AU2018263282B2 (en) * | 2017-05-04 | 2023-05-11 | Hangar Holdings Pty Ltd | Access control system |
US11138371B2 (en) | 2017-09-28 | 2021-10-05 | Oracle International Corporation | Editable table in a spreadsheet integrated with a web service |
JP7207412B2 (ja) * | 2018-02-06 | 2023-01-18 | ソニーグループ株式会社 | 情報処理装置、情報処理方法、およびプログラム |
JP6538923B2 (ja) * | 2018-04-26 | 2019-07-03 | 日本電信電話株式会社 | 認証システム、方法及びプログラム並びにサーバ |
US10887317B2 (en) * | 2018-11-28 | 2021-01-05 | Sap Se | Progressive authentication security adapter |
US11296874B2 (en) | 2019-07-31 | 2022-04-05 | Bank Of America Corporation | Smartwatch one-time password (“OTP”) generation |
US11259181B2 (en) * | 2020-07-09 | 2022-02-22 | Bank Of America Corporation | Biometric generate of a one-time password (“OTP”) on a smartwatch |
US11595214B2 (en) | 2020-11-10 | 2023-02-28 | Okta, Inc. | Efficient transfer of authentication credentials between client devices |
US11652646B2 (en) | 2020-12-11 | 2023-05-16 | Huawei Technologies Co., Ltd. | System and a method for securing and distributing keys in a 3GPP system |
US11811929B2 (en) * | 2021-01-27 | 2023-11-07 | International Business Machines Corporation | Detection of compromised credentials |
US11750597B2 (en) * | 2021-06-18 | 2023-09-05 | Kyndryl, Inc. | Unattended authentication in HTTP using time-based one-time passwords |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030163739A1 (en) * | 2002-02-28 | 2003-08-28 | Armington John Phillip | Robust multi-factor authentication for secure application environments |
US20090165111A1 (en) * | 2007-12-21 | 2009-06-25 | General Instrument Corporation | Method and apparatus for secure management of debugging processes within communication devices |
US20120233684A1 (en) * | 2011-03-07 | 2012-09-13 | Jerome Denis | Key distribution for unconnected one-time password tokens |
WO2012165716A1 (en) * | 2011-06-03 | 2012-12-06 | Neowiz Games Co., Ltd. | Authentication agent apparatus, and method and system for authenticating online service |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7861082B2 (en) | 2002-05-24 | 2010-12-28 | Pinder Howard G | Validating client-receivers |
DE60309216T2 (de) | 2003-04-04 | 2007-08-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Verfahren und vorrichtungen zur bereitstellung eines datenzugriffs |
US7532723B2 (en) | 2003-11-24 | 2009-05-12 | Interdigital Technology Corporation | Tokens/keys for wireless communications |
CN101076807B (zh) * | 2004-10-15 | 2014-09-03 | 弗里塞恩公司 | 一次性密码验证的方法和系统 |
US9768963B2 (en) * | 2005-12-09 | 2017-09-19 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
NZ547322A (en) * | 2006-05-18 | 2008-03-28 | Fronde Anywhere Ltd | Authentication method for wireless transactions |
US8353019B2 (en) * | 2010-03-26 | 2013-01-08 | Canon Kabushiki Kaisha | Security token destined for multiple or group of service providers |
EP2475144A1 (en) * | 2011-01-05 | 2012-07-11 | Gemalto SA | Method for communicating between a server and a client and corresponding client, server and system |
US10102510B2 (en) * | 2012-11-28 | 2018-10-16 | Hoverkey Ltd. | Method and system of conducting a cryptocurrency payment via a mobile device using a contactless token to store and protect a user's secret key |
US9104853B2 (en) * | 2013-05-16 | 2015-08-11 | Symantec Corporation | Supporting proximity based security code transfer from mobile/tablet application to access device |
WO2017127564A1 (en) * | 2016-01-19 | 2017-07-27 | Priv8Pay, Inc. | Network node authentication |
-
2014
- 2014-05-23 JP JP2016515126A patent/JP2016520230A/ja active Pending
- 2014-05-23 CN CN201480041639.2A patent/CN105379177A/zh active Pending
- 2014-05-23 US US14/286,618 patent/US10021091B2/en active Active
- 2014-05-23 WO PCT/US2014/039415 patent/WO2015023341A2/en active Application Filing
- 2014-05-23 EP EP14836332.8A patent/EP3000200A4/en not_active Withdrawn
-
2018
- 2018-06-12 US US16/006,389 patent/US11070544B2/en active Active
-
2021
- 2021-07-06 US US17/367,860 patent/US20210344669A1/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030163739A1 (en) * | 2002-02-28 | 2003-08-28 | Armington John Phillip | Robust multi-factor authentication for secure application environments |
US20090165111A1 (en) * | 2007-12-21 | 2009-06-25 | General Instrument Corporation | Method and apparatus for secure management of debugging processes within communication devices |
US20120233684A1 (en) * | 2011-03-07 | 2012-09-13 | Jerome Denis | Key distribution for unconnected one-time password tokens |
WO2012165716A1 (en) * | 2011-06-03 | 2012-12-06 | Neowiz Games Co., Ltd. | Authentication agent apparatus, and method and system for authenticating online service |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113613046A (zh) * | 2018-03-30 | 2021-11-05 | 苹果公司 | 管理回放组 |
CN113613046B (zh) * | 2018-03-30 | 2024-03-12 | 苹果公司 | 管理回放组 |
US11974338B2 (en) | 2018-03-30 | 2024-04-30 | Apple Inc. | Pairing devices by proxy |
CN109474608A (zh) * | 2018-12-06 | 2019-03-15 | 郑州云海信息技术有限公司 | 一种多平台通讯方法及系统 |
CN109474608B (zh) * | 2018-12-06 | 2021-01-15 | 苏州浪潮智能科技有限公司 | 一种多平台通讯方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
US20140351911A1 (en) | 2014-11-27 |
US10021091B2 (en) | 2018-07-10 |
WO2015023341A2 (en) | 2015-02-19 |
EP3000200A2 (en) | 2016-03-30 |
EP3000200A4 (en) | 2016-06-08 |
US20210344669A1 (en) | 2021-11-04 |
US11070544B2 (en) | 2021-07-20 |
WO2015023341A3 (en) | 2015-04-23 |
US20190098001A1 (en) | 2019-03-28 |
JP2016520230A (ja) | 2016-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105379177A (zh) | 安全授权系统和方法 | |
US10102510B2 (en) | Method and system of conducting a cryptocurrency payment via a mobile device using a contactless token to store and protect a user's secret key | |
JP6818679B2 (ja) | セキュアホストカードエミュレーションクレデンシャル | |
JP5802137B2 (ja) | 安全なプライベート・データ記憶装置を有する集中型の認証システム、および方法 | |
US8850206B2 (en) | Client-server system with security for untrusted server | |
TWI445380B (zh) | 具自動憑證負載之大量儲存裝置 | |
CN108781210A (zh) | 具有可信执行环境的移动设备 | |
US20160294794A1 (en) | Security System For Data Communications Including Key Management And Privacy | |
EP2251810B1 (en) | Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method | |
US11303443B2 (en) | Electronic system to enable rapid acquisition and delivery of services and to provide strong protection of security and privacy | |
JP2008269610A (ja) | リモートアプリケーションを対象とした機密データの保護 | |
WO2013107362A1 (zh) | 一种保护数据的方法和系统 | |
WO2020199028A1 (zh) | 一种安全芯片、安全处理方法及相关设备 | |
CA3097749A1 (en) | Peer identity verification | |
EP3292654B1 (en) | A security approach for storing credentials for offline use and copy-protected vault content in devices | |
KR20060027347A (ko) | 패스워드를 인증하는 방법 및 장치 | |
US20050125698A1 (en) | Methods and systems for enabling secure storage of sensitive data | |
EP2273416A1 (en) | Method of managing a one-time password in a portable electronic device | |
Schürmann et al. | Openkeychain: an architecture for cryptography with smart cards and nfc rings on android | |
Wilusz et al. | Secure protocols for smart contract based insurance services | |
Bulut | Secure hardware cryptocurrency wallet within common criteria framework | |
Raji et al. | Enhancing Public Cloud Security by Developing a Model For User Authentication and Data Integrity Checking | |
Poniszewska-Marańda et al. | Security library for safe data storage on android platform | |
Naing Oo | E2PM: Enclosed Portable Password Manager | |
Kennedy et al. | Framework Design for Implementation of Secured TPM on E-commerce |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160302 |