CN107077546A - 用于更新持有因素凭据的系统和方法 - Google Patents
用于更新持有因素凭据的系统和方法 Download PDFInfo
- Publication number
- CN107077546A CN107077546A CN201580049334.0A CN201580049334A CN107077546A CN 107077546 A CN107077546 A CN 107077546A CN 201580049334 A CN201580049334 A CN 201580049334A CN 107077546 A CN107077546 A CN 107077546A
- Authority
- CN
- China
- Prior art keywords
- user
- identity
- previously specified
- service
- once held
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000001514 detection method Methods 0.000 claims abstract description 24
- 230000004044 response Effects 0.000 claims abstract description 16
- 238000012790 confirmation Methods 0.000 claims description 28
- 230000015654 memory Effects 0.000 claims description 16
- 238000004891 communication Methods 0.000 description 35
- 238000010586 diagram Methods 0.000 description 11
- 230000008859 change Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 10
- 238000007726 management method Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 8
- 238000013500 data storage Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000004590 computer program Methods 0.000 description 5
- 230000000712 assembly Effects 0.000 description 4
- 238000000429 assembly Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- RTZKZFJDLAIYFH-UHFFFAOYSA-N Diethyl ether Chemical compound CCOCC RTZKZFJDLAIYFH-UHFFFAOYSA-N 0.000 description 2
- 230000005611 electricity Effects 0.000 description 2
- 210000000056 organ Anatomy 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- TVEXGJYMHHTVKP-UHFFFAOYSA-N 6-oxabicyclo[3.2.1]oct-3-en-7-one Chemical compound C1C2C(=O)OC1C=CC2 TVEXGJYMHHTVKP-UHFFFAOYSA-N 0.000 description 1
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000035699 permeability Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种用于更新持有因素凭据的计算机实现的方法,所述计算机实现的方法可以包括:(1)检测来自服务的用户的对指定新的对象的请求,所述新的对象将替代先前指定的对象被所述服务用作持有因素凭据;(2)在允许所述用户指定所述新的对象前,通过以下方式验证所述用户:对所述用户的身份进行证实以核实所述用户的声称的身份是所述用户的实际身份,并且核实所述用户的所证实的身份曾持有所述先前指定的对象;以及(3)响应于核实所述用户的所证实的身份曾持有所述先前指定的对象,将所述新的对象指定为所述持有因素凭据。本发明还公开了各种其他方法、系统和计算机可读介质。
Description
背景技术
许多服务使用多重因素身份验证控制可访问在线用户账户的人。根据多重因素身份验证,服务请求用户呈递两种(或更多种)不同形式的身份验证以建立被授权访问其对应账户的身份。例如,服务可以请求用户呈递知识因素(例如,对先前指定密码的了解)和持有因素(例如,对用户持有的先前指定的对象的访问权限)。
由于用户可能忘记知识因素或失去对持有因素的访问权限,在线服务已开发了用于允许用户将这些因素更新的方法。通常,用于更新丢失的持有因素的传统协议与用于更新忘记的知识因素的协议是相同的。具体地讲,该协议允许用户在成功回答安全问题的情况下,更新因素。不幸的是,这个传统协议允许用户放弃呈递持有因素(即,对象的持有),而替代以呈递知识因素(即安全问题的答案)。因此,用户可以绕过持有因素,这基本上抵消因使用持有因素机制而增加的安全性。因此,本公开标识出对用于更新持有因素身份验证凭据的改进系统和方法的需要。
发明内容
如以下将更详细地描述,本公开描述了各种用于安全地使用户能够更新持有因素凭据的系统和方法,更新持有因素凭据通过例如以下方式进行:对尝试来更新持有因素凭据的用户的身份进行证实,以及核实证实的身份具有对先前被指定为持有因素凭据的对象的访问权限。在一个示例中,一种用于更新持有因素凭据的计算机实现的方法可以包括:(1)检测来自服务的用户的对指定新的对象的请求,所述新的对象将替代先前指定的对象被服务用作持有因素凭据;(2)在允许用户指定新的对象前,通过以下方式身份验证用户:对用户的身份进行证实以便核实用户的声称的身份是用户的实际身份,并且核实用户的证实的身份曾持有先前指定的对象;以及(3)响应于核实用户的证实的身份曾持有先前指定的对象,将新的对象指定为持有因素凭据。
在一些示例中,检测来自用户对指定新的对象的请求可以包括检测用户不具有对先前指定的对象的访问权限。在一个实施例中,先前指定的对象和/或新的对象可以包括:(1)电话;(2)从服务接收的物理令牌;和/或(3)从服务接收的软令牌。在一些示例中,对用户的身份进行证实可以包括:(1)向用户提交与用户的身份有关的问题;以及(2)确定由用户提供的作为对问题回答的答案对应于实际身份。
在一个实施例中,先前指定的对象可以包括用户在对象被指定为持有因素凭据时曾持有的对象。在这个实施例中,核实用户的证实的身份曾持有先前指定的对象可以包括:(1)检索与用户关联的记录;以及(2)识别记录中的对先前指定的对象的引用。在一个示例中,引用先前指定的对象的记录可以包括(1)信用报告;(2)纳税申报表;(3)借贷申请;和/或(4)电话目录。在一些示例中,核实用户的证实的身份曾持有先前指定的对象可以包括:(1)识别与用户关联的第三方;以及(2)向第三方查询与用户是否曾持有先前指定的对象有关的信息。
在一个实施例中,先前指定的对象可以包括由服务发给用户的令牌。在这个实施例中,核实用户的证实的身份曾持有先前指定的对象可以包括:(1)识别令牌发送到的物理位置和/或对象;以及(2)确定用户曾持有令牌发送到的物理位置和/或对象。
在一些示例中,确定用户曾持有令牌发送到的物理位置和/或对象可以包括:(1)检索与用户关联的记录;以及(2)识别记录中的对令牌发送到的物理位置和/或对象的引用。在一个实施例中,引用令牌发送到的物理位置和/或对象的记录可以包括:(1)信用报告;(2)纳税申报表;(3)借贷申请;和/或(4)电话目录。
在一些示例中,确定用户曾持有令牌发送到的物理位置和/或对象可以包括:(1)识别与用户关联的第三方;以及(2)向第三方查询与用户是否曾持有令牌发送到的物理位置和/或对象有关的信息。在另一实施例中,计算机实现的方法可以包括:(1)识别用户对登录由服务提供的用户账户的尝试;(2)确定用户已经持有新的对象;以及(3)至少部分地基于确定用户已经持有新的对象,允许用户登录由服务提供的用户账户。
在一个实施例中,一种用于实现以上所述的方法的系统可以包括(1)存储在存储器中的检测模块,所述检测模块检测来自服务的用户的对指定新的对象的请求,所述新的对象将替代先前指定的对象被所述服务用作持有因素凭据;(2)存储在存储器中的核实模块,所述核实模块在允许用户指定新的对象前,通过以下方式验证用户:对用户的身份进行证实以便核实用户的声称的身份是用户的实际身份,并且核实用户的证实的身份曾持有先前指定的对象;(3)存储在存储器中的指定模块,所述指定模块响应于所述核实模块核实用户的证实的身份曾持有先前指定的对象,将新的对象指定为持有因素凭据;以及(4)至少一个物理处理器,所述物理处理器被配置成执行检测模块、核实模块和指定模块。
在一些例子中,可将上述方法编码为非暂态计算机可读介质上的计算机可读指令。例如,一种计算机可读介质可以包括一个或多个计算机可执行指令,当由计算设备的至少一个处理器执行时,所述指令可使所述计算设备:(1)检测来自服务的用户的对指定新的对象的请求,所述新的对象将替代先前指定的对象被服务用作持有因素凭据;(2)在允许用户指定新的对象前,通过以下方式验证用户:对用户的身份进行证实以核实用户的声称的身份是用户的实际身份,并且核实用户的证实的身份曾持有先前指定的对象;以及(3)响应于核实用户的证实的身份曾持有先前指定的对象,将新的对象指定为持有因素凭据。
来自上述实施例中的任何一者的特征可根据本文所述的一般原理彼此结合地使用。通过结合附图和权利要求阅读下面的详细描述,将会更充分地理解这些和其他实施例、特征和优点。
附图说明
附图示出了多个示例性实施例并且为说明书的一部分。这些附图结合下面的描述展示并且说明本发明的各种原理。
图1是用于更新持有因素凭据的示例性系统的框图。
图2是用于更新持有因素凭据的额外示例性系统的框图。
图3是用于更新持有因素凭据的示例性方法的流程图。
图4是示出用户与持有因素身份验证中使用的各种对象之间的示例性关系的框图。
图5是持有因素身份验证中使用的示例性先前指定的对象和示例性记录的框图。
图6是能够实现本文描述和/或示出的实施例中的一者或多者的示例性计算系统的框图。
图7是能够实现本文描述和/或示出的实施例中的一者或多者的示例性计算网络的框图。
在全部附图中,相同引用字符和描述指示类似但未必相同的元件。虽然本文所述的示例性实施例易受各种修改和替代形式的影响,但在附图中以举例的方式示出了特定实施例并且将在本文详细描述。然而,本文所述的示例性实施例并非旨在限于所公开的特定形式。相反,本发明涵盖落在所附权利要求范围内的所有修改形式、等同形式和替代形式。
具体实施方式
本公开整体涉及用于更新持有因素凭据的系统和方法。如以下将更详细地解释,本公开可使在线服务能够确定用户对更新持有因素凭据的尝试是合法(例如,用户身份对应于初始创建账户并由此被授权访问账户且对账户做出改变的身份)还是非法(例如,用户身份并非对应于初始创建账户并由此未被授权访问账户且对账户做出改变的身份)的。公开的系统和方法由此可以在用户不另外证实持有先前指定持有因素凭据的情况下,关闭允许用户仅使用薄弱身份证实机制来更新持有因素凭据的漏洞。
以下将参照图1-图2来提供对用于更新持有因素凭据的示例性系统的详细描述。还将结合图3-图5提供对应计算机实现的方法的详细描述。此外,将分别结合图6和图7提供能够实现本文所述实施例中的一者或多者的示例性计算系统和网络体系结构的详细描述。
图1是用于更新持有因素凭据的示例性系统100的框图。如该图所示,示例性系统100可包括用于执行一个或多个任务的一个或多个模块102。例如,并且如以下将更详细地解释,示例性系统100还可包括检测模块104,检测模块可以检测来自服务的用户的对指定新的对象的请求,所述新的对象将替代先前指定的对象被服务用作持有因素凭据。示例性系统100还可另外包括核实模块106,核实模块可以在允许用户指定新的对象前,通过以下方式验证用户:(1)对用户的身份进行证实以核实用户的声称的身份是用户的实际身份,并且(2)核实用户的证实的身份曾持有先前指定的对象。示例性系统100还可包括指定模块108,指定模块可以响应于核实模块106核实用户的证实的身份曾持有先前指定的对象,将新的对象指定为持有因素凭据。尽管被示为独立元件,但图1中的模块102中的一者或多者可表示单个模块或应用程序的部分。
在某些实施例中,图1中的模块102中的一者或多者可表示一个或多个软件应用程序或程序,所述软件应用程序或程序在被计算设备执行时,可使计算设备执行一个或多个任务。例如,并且如将在下文更详细地描述,模块102中的一者或多者可表示存储在一个或多个计算设备上并且被配置为在一个或多个计算设备上运行的软件模块,所述计算设备诸如为图2中示出的设备(例如,计算设备202和/或服务器206)、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。图1中的模块102中的一者或多者还可表示被配置为执行一个或多个任务的一台或多台专用计算机的全部或部分。
如图1所示,示例性系统100还可包括一个或多个数据库,诸如数据库120。在一个示例中,数据库120可以被配置为存储对先前指定的对象的引用,诸如对先前指定的对象的引用122和/或用户账户诸如用户账户124,如以下进一步讨论。
数据库120可表示单个数据库或计算设备的组成部分或者多个数据库或计算设备。例如,数据库120可表示图2中的服务器206的一部分、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。作为另外一种选择,图1中的数据库120可表示能够通过计算设备访问的一个或多个物理独立设备,诸如图2中的服务器206、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。
图1中的示例性系统100可用多种方式来实现。例如,示例性系统100的全部或一部分可表示图2中的示例性系统200的部分。如图2所示,系统200可包括经由网络204与服务器206通信的计算设备202。在一个例子中,计算设备202可用模块102中的一者或多者进行编程和/或可存储数据库120中的数据的全部或一部分。除此之外或作为另外一种选择,服务器206可用模块102中的一者或多者进行编程和/或可存储数据库120中的数据的全部或一部分。在一些示例中,服务器206可以用作在允许访问前验证尝试访问由在线服务维护的用户账户的用户的在线服务的一部分。
在一个实施例中,图1的模块102中的一者或多者在通过计算设备202的至少一个处理器和/或服务器206执行时,可使计算设备202和/或服务器206能够更新持有因素凭据。例如,并且如以下将更详细地描述,检测模块104可以检测来自服务的用户的对指定新的对象208的请求,所述新的对象将替代先前指定的对象被服务用作持有因素凭据。核实模块106可以通过以下方式验证用户:对用户的身份进行证实以核实用户的声称的身份是用户的实际身份,并且核实用户的证实的身份曾持有先前指定的对象。指定模块108可以将新的对象208指定为持有因素凭据。
计算设备202通常表示能够读取计算机可执行指令的任何类型或形式的计算设备。计算设备202的例子包括但不限于笔记本电脑、平板电脑、台式机、服务器、移动电话、个人数字助理(PDA)、多媒体播放器、嵌入式系统、可穿戴设备(例如,智能手表、智能眼镜等)、游戏机、这些设备中一者或多者的组合、图6中的示例性计算系统610,或任何其他合适的计算设备。
服务器206通常表示能够读取计算机可读指令的任何类型或形式的计算设备。服务器206的例子包括但不限于被配置为提供各种数据库服务和/或运行某些软件应用程序的应用程序服务器和数据库服务器。
网络204通常表示能够促进通信或数据传输的任何介质或体系结构。网络204的例子包括但不限于内联网、广域网(WAN)、局域网(LAN)、个人区域网(PAN)、互联网、电力线通信网(PLC)、蜂窝网络(例如,全球移动通信系统(GSM)网络)、图7中的示例性网络体系结构700等等。网络204可使用无线或有线连接来促进通信或数据传输。在一个实施例中,网络204可促进计算设备202与服务器206之间的通信。
图3是用于更新持有因素凭据的示例性计算机实现的方法300的流程图。图3中示出的步骤可通过任何合适的计算机可执行代码和/或计算系统来执行。在一些实施例中,图3中示出的步骤可通过图1中的系统100、图2中的系统200、图6中的计算系统610和/或图7中的示例性网络体系结构700的部分的组件中的一者或多者执行。
如图3所示,在步骤302处,本文所述系统中的一者或多者可以检测来自服务的用户的对指定新的对象的请求,所述新的对象将替代先前指定的对象被所述服务用作持有因素凭据。例如,作为图2的服务器206的一部分,检测模块104可以检测来自服务的图4(如以下进一步论述)中的用户410的对指定新的对象208的请求,所述新的对象将替代先前指定的对象被服务用作持有因素凭据。
如本文所用,术语“持有因素凭据”通常是指正经历多重因素身份验证的用户证实他/她持有的对象。如本文所用,术语“多重因素身份验证”通常是指使用至少两个不同因素的组合来验证个体的任何类型或形式的进程、过程和/或事件。这些因素可以包括用户所知道的事物(诸如密码或社会安全号码)和/或用户所持有的事物(即,持有因素凭据)。持有因素凭据示例可以包括用户可证实持有的任何对象,诸如电话、从服务接收的物理令牌、从服务接收的软令牌、借记卡等。
在一些示例中,在允许用户访问用户账户前,服务可使用多重因素身份验证来验证用户。在这些示例中,用户可以指定他/她曾持有的对象将被服务用作持有因素凭据。例如,服务可以提示用户诸如图4中所示的用户410指定用户持有的电话诸如蜂窝电话430的电话号码,以便用于未来身份验证。在这个示例中,服务可以随后通过经由例如SHORTMESSAGE SERVICE(短消息服务)消息或自动语音呼叫向指定电话号码发送代码来验证用户。用户可以接着通过在经由电话接收代码后向服务提交代码来证实持有电话。
除此之外或作为另外一种选择,服务可向用户发送令牌用作持有因素凭据。例如,服务可向用户诸如用户410发送硬令牌诸如硬令牌450,以便用于未来身份验证。在这个示例中,服务可能已指定了令牌,或者用户可能已从由服务提供的潜在持有因素凭据列表选择令牌。在一些示例中,用户可以提交服务可将硬令牌发送到的位置。在另外示例中,服务可以随后通过请求用户证实他或她持有硬令牌来验证用户。例如,银行可以借记卡的形式向用户发送硬令牌。在这个示例中,可能要求尝试通过自动柜员机来访问账户的用户通过将借记卡插入自动柜员机中,以此证实他/她持有借记卡。在另一示例中,服务可向用户发送软令牌,诸如可下载到电话或计算机的软件或数据,其发送到由用户指定的对象。例如,用户诸如用户410可以指定电话诸如蜂窝电话430,并且作为响应,服务可向蜂窝电话430发送软令牌以供下载。在这个示例中,服务可以随后通过请求他/她来证实他/她持有软令牌(例如,数据、密钥和/或密码)以验证用户。
检测模块104可以多种方式检测来自服务的用户的对指定新的对象代替先前指定的对象的请求。在一些示例中,检测模块104可通过检测用户不具有对先前指定的对象的访问权限来检测来自该用户的请求。在这些示例中,先前指定的对象可能已经丢失、错放、被盗或被毁。在一些示例中,用户可能已经通过移动过程(或在移动过程期间)移交和丢失对象的持有权。在其他示例中,先前指定的对象可能已经丢失,无需检测模块104进一步检测对象丢失。值得注意的是,在一些示例中,系统200可基于多重因素身份验证来检测并非仅仅是持有的所有权。
在一些示例中,作为登录过程的一部分,检测模块104可作为在线服务的一部分操作来核实用户持有先前指定的对象。在这些示例中,检测模块104可检测到尝试登录某账户的用户无法证实他或她具有对先前指定的对象的访问权限。在一些示例中,用户可向在线服务表明他/她不具有对先前指定的对象的访问权限,并且他/她想指定新的对象代替先前指定的对象来用作持有因素凭据。
在步骤304处,本文所述系统中的一者或多者可以通过以下方式验证用户:(1)对用户的身份进行证实以核实用户的声称的身份是用户的实际身份,并且(2)核实用户的证实的身份曾持有先前指定的对象。例如,作为图2中的服务器206的一部分,核实模块106可以通过以下方式验证图4中的用户410:(1)对用户410的身份进行证实以便核实用户410的声称的身份是用户410的实际身份,以及(2)核实用户410的证实的身份曾持有先前指定的对象,诸如蜂窝电话430和/或硬令牌450。值得注意的是,虽然图3示出了(1)身份证实和(2)核实持有情况两者是步骤304的一部分,这些中的每者构成各子步骤,它们可单独地执行、可由不同模块(或由核实模块106或系统200内的不同的子模块)执行和/或使用不同的方法和技术执行。此外,可以任何合适或逻辑的顺序执行这样的子步骤,就像方法300内的所有步骤(以及整个本说明书中论述的关联的子步骤)。
如本文所用,短语“验证”通常是指用于核实用户被授权访问用户帐户和/或对其做出改变的任何类型或形式的进程、过程和/或事件。核实模块106可以多种方式验证用户。在一些示例中,核实模块106可通过对用户的身份进行证实来验证用户。如本文所用,短语“证实身份”通常是指用于确定在线用户的真实世界身份的过程。一般来说,身份证实可以包括确定用户的声称的身份是用户的实际身份。在这些示例中,术语“用户的声称的身份”通常是指用户在他/她建立某服务的在线帐户诸如用户帐户124时所声称的身份。
核实模块106可以多种方式对用户的身份进行证实。在一些示例中,核实模块106可向用户提交与用户身份有关的问题。在这些示例中,核实模块106可以基于响应于接收到问题由用户提供的答案是否对应用户实际身份对用户的身份进行证实。在一个实施例中,用户先前可能已选择了问题,并且在用户选择问题时,该用户也可能已提交了问题答案。在这个实施例中,如果响应于接收到问题提供的答案匹配先前提交的答案,那么核实模块106就可证实该用户的身份。问题可以包括不受信任个体不可能成功回答的问题诸如“谁是您童年最好的朋友”或“您第一只宠物的名字是什么”,或者可请求识别信息诸如生日、社会安全号码等。除此之外或作为另外一种选择,核实模块106可能已经基于记录诸如用户的个人记录或财务记录而创建了问题。在这个实施例中,如果响应于接收到问题由用户提交的答案匹配用户的个人记录或财务记录中出现的信息,那么核实模块106就可证实该用户的身份。
在一些示例中,核实模块106可使用物理识别认证来证实用户身份。在这些示例中,核实模块106可通过检查(但不限于)用户驾驶执照、用户护照和/或任何其他物理识别卡、令牌或身份证(例如,由政府或其他机构发行)来证实的身份。在一些示例中,核实模块106可使用地址认证来证实用户身份。在这些示例中,核实模块106可通过将代码寄送到用户地址并核实用户是否可接收到它来证实的身份。在一些示例中,核实模块106可使用财务记录认证来证实用户身份。在这些示例中,核实模块106可对用户的信用卡收取少量费用和/或发起向用户的活期存款账户进行小额储蓄,并且测试用户对收费和/或储蓄的了解。
在一些示例中,核实模块106可通过核实该用户的证实的身份持有先前指定的对象来验证用户。如本文所用,术语“持有”通常是指具有对象的所有权和/或具有对象的访问权限的用户。核实模块106可以多种方式核实该用户的证实的身份持有先前指定的对象。
如上论述,在步骤302处,在一些实施例中,先前指定的对象可为用户在对象被指定为持有因素凭据时曾持有的对象。在这些实施例中,核实模块106可以通过以下方式核实用户的证实的身份曾持有先前指定的对象:(1)检索与用户的证实的身份关联的记录;以及(2)识别记录中的对先前指定的对象的引用。例如,如图4所示,核实模块106可以使用身份证实(如上论述)确定用户410对应名为“John Doe”的真实世界个体。核实模块106还会在请求该验证的服务的数据库诸如数据库120中找到对先前指定的对象的引用122。如图5所示,对先前指定的对象的引用122可以指示先前指定的对象是具有电话号码555-854-4555的电话。核实模块106可以接着检索对应于名为“John Doe”的证实的身份的财务记录440,并且识别财务记录440中的对John Doe的电话号码(即,555-854-4555)的引用。基于在财务记录440中识别出的电话号码匹配在对先前指定的对象的引用122中识别出的电话号码,核实模块106可推断出John Doe持有先前指定的对象(即,具有电话号码555-854-4555的电话)。
核实模块106可以多种方式检索与某用户的证实的身份关联的记录。在一些示例中,核实模块106可查询用户记录。在其他示例中,核实模块106可通过搜索公开可用数据来检索记录。在其他示例中,核实模块106可向第三方查询记录。在一些示例中,核实模块106可以查询外部身份核实器诸如EXPERIAN或RELYID等。记录可呈以下形式(但不限于)信用报告、借贷申请、电话目录、提供方记录、电话服务记录、财务报表和/或纳税申报表。
除了使用记录核实持有情况之外或作为其替代,核实模块106可以(1)识别与该用户的证实的身份关联的第三方;以及(2)向第三方查询与用户是否曾持有先前指定的对象有关的信息。第三方可为将具有与用户是否持有先前指定的对象诸如银行、外部身份核实器、信用卡公司、电话服务公司、政府机构等有关的信息的任一方。
在一些实施例中,如以上在步骤302处论述的,先前指定的对象可为由服务发给用户的令牌。在这些实施例中,核实模块106可以通过以下方式核实该用户的证实的身份曾持有先前指定的对象:(1)识别令牌发送到的物理位置和/或对象;以及(2)确定用户曾持有令牌发送到的物理位置和/或对象(例如,即使用户并未将物理位置和/或对象指定为持有因素凭据)。例如,如图4所示,核实模块106可以使用身份证实(如上论述)确定用户410对应名为“John Doe”的真实世界个体。核实模块106还可确定服务经由住宅420将硬令牌450寄送给用户410。核实模块106可以接着检索对应于John Doe的记录诸如借贷申请,并且将住宅420识别为John Doe的住所。基于记录中的住所匹配硬令牌450寄送到的位置,核实模块106可推断出John Doe持有硬令牌450。类似地,在确定用户410对应名为“JohnDoe”的真实世界个体后,核实模块106可以识别与用户用来从服务下载软令牌的IP地址关联的家庭地址。核实模块106可以接着检索对应于John Doe的记录,并且将同一家庭地址识别为与IP地址关联的家庭地址。基于记录中的住所匹配与IP地址关联的家庭地址,核实模块106可推断出John Doe持有软令牌。
除了使用记录核实令牌持有情况之外或作为其替代,核实模块106可以(1)识别与该用户的证实的身份关联的第三方;以及(2)向第三方查询与用户是否曾持有令牌发送到的物理地址和/或对象有关的信息。第三方可为将具有与用户是否持有令牌发送到的物理地址和/或对象诸如银行、外部身份核实器、信用卡公司、电话服务公司、政府机构等有关的信息的任一方。
在步骤306处,本文所述系统中的一者或多者可以响应于核实用户的证实的身份曾持有先前指定的对象,将新的对象指定为持有因素凭据。例如,作为图2中的服务器206的一部分,指定模块108可以响应于核实模块106核实用户410的证实的身份曾持有先前指定的对象,将新的对象208指定为持有因素凭据。指定模块108可以多种方式将新的对象指定为持有因素凭据。例如,指定模块108可以用对新的对象的引用诸如对新的对象208的引用来替代对由服务维护的先前指定的对象的引用诸如对先前指定的对象的引用122。
在一些示例中,在指定模块108已经将新的对象指定为持有因素凭据后,指定模块108可在用户证实用户持有新的对象的情况下,允许用户访问与用户关联的账户和/或对其做出改变。例如,在指定新的对象208后,指定模块108可以(1)识别用户410对登录账户124和/或对其做出改变的尝试,(2)确定用户410已经持有新的对象208,并且(3)至少部分地基于确定用户410持有新的对象208,允许用户410登录账户124和/或对其做出改变。
如上论述,在此公开的系统和方法可使服务能够确定用户对更新持有因素凭据的尝试是合法(例如,用户身份对应于初始创建账户并由此被授权访问账户且对账户做出改变的身份)还是非法(例如,用户身份并非对应于初始创建账户并由此未被授权访问账户且对账户做出改变的身份)的。公开的系统和方法由此可以在用户不另外证实持有先前指定持有因素凭据的情况下,关闭允许用户仅使用薄弱身份证实机制来更新持有因素凭据的漏洞。
图6为能够实现本文描述和/或示出的实施例中的一者或多者的示例性计算系统610的框图。例如,计算系统610的全部或一部分可执行和/或作为一种装置用于单独地或与其他元件结合来执行本文所述的步骤中的一者或多者(诸如图3所示的步骤中的一者或多者)。计算系统610的全部或一部分也可执行和/或作为一种装置用于执行本文描述和/或示出的任何其他步骤、方法或过程。
计算系统610在广义上表示能够执行计算机可读指令的任何单处理器或多处理器计算设备或系统。计算系统610的例子包括但不限于:工作站、笔记本电脑、客户端侧终端、服务器、分布式计算系统、手持式设备或任何其他计算系统或设备。在其最基本的配置中,计算系统610可包括至少一个处理器614和系统存储器616。
处理器614通常表示能够处理数据或解译和执行指令的任何类型或形式的物理处理单元(例如,硬件实现的中央处理单元)。在某些实施例中,处理器614可接收来自软件应用程序或模块的指令。这些指令可使处理器614执行本文描述和/或示出的一个或多个示例性实施例的功能。
系统存储器616通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统存储器616的例子包括但不限于:随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器或任何其他适用的存储器设备。尽管不是必需的,但在某些实施例中,计算系统610可包括易失性存储器单元(诸如系统存储器616)和非易失性存储设备(诸如,主要存储设备632,如下详述)两者。在一个例子中,图1的模块102中的一者或多者可加载到系统存储器616中。
在某些实施例中,除处理器614和系统存储器616之外,示例性计算系统610还可包括一个或多个组件或元件。例如,如图6所示,计算系统610可包括存储器控制器618、输入/输出(I/O)控制器620和通信接口622,它们中的每一者都可通过通信基础结构612互连。通信基础结构612通常表示能够促进计算设备的一个或多个组件之间的通信的任何类型或形式的基础结构。通信基础结构612的例子包括但不限于:通信总线(诸如工业标准体系结构(ISA))、外围组件互连(PCI)、PCI Express(PCIe)或类似的总线)和网络。
存储器控制器618通常表示能够处理存储器或数据或者控制计算系统610的一个或多个组件之间的通信的任何类型或形式的设备。例如,在某些实施例中,存储器控制器618可通过通信基础结构612来控制处理器614、系统存储器616和I/O控制器620之间的通信。
I/O控制器620通常表示能够协调和/或控制计算设备的输入和输出功能的任何类型或形式的模块。例如,在某些实施例中,I/O控制器620可控制或促进计算系统610的一个或多个元件之间的数据传输,所述元件诸如处理器614、系统存储器616、通信接口622、显示适配器626、输入接口630和存储接口634。
通信接口622在广义上表示能够促进示例性计算系统610与一个或多个附加设备之间的通信的任何类型或形式的通信设备或适配器。例如,在某些实施例中,通信接口622可促进计算系统610与包括附加计算系统的专用或公共网络之间的通信。通信接口622的例子包括但不限于:有线网络接口(诸如网络接口卡)、无线网络接口(诸如无线网络接口卡)、调制解调器和任何其他合适的接口。在至少一个实施例中,通信接口622可通过与网络(诸如互联网)的直接链接来提供与远程服务器的直接连接。通信接口622还可通过例如局域网(诸如以太网网络)、个人区域网、电话或电缆网络、蜂窝电话连接、卫星数据连接或任何其他合适的连接来间接提供此类连接。
在某些实施例中,通信接口622还可表示主机适配器,该主机适配器被配置为通过外部总线或通信信道来促进计算系统610与一个或多个附加网络或存储设备之间的通信。主机适配器的例子包括但不限于:小型计算机系统接口(SCSI)主机适配器、通用串行总线(USB)主机适配器、电气与电子工程师协会(IEEE)1394主机适配器、高级技术附件(ATA)、并行ATA(PATA)、串行ATA(SATA)和外部SATA(eSATA)主机适配器、光纤通道接口适配器、以太网适配器等。通信接口622还可允许计算系统610参与分布式或远程计算。例如,通信接口622可接收来自远程设备的指令或将指令发送到远程设备以供执行。
如图6所示,计算系统610还可包括至少一个显示设备624,该显示设备通过显示适配器626联接到通信基础结构612。显示设备624通常表示能够以可视方式显示显示适配器626转发的信息的任何类型或形式的设备。类似地,显示适配器626通常表示被配置为转发来自通信基础结构612(或来自帧缓冲器,如本领域所已知)的图形、文本和其他数据以在显示设备624上显示的任何类型或形式的设备。
如图6所示,示例性计算系统610还可包括经由输入接口630联接到通信基础结构612的至少一个输入设备628。输入设备628通常表示能够向示例性计算系统610提供输入(由计算机或人生成)的任何类型或形式的输入设备。输入设备628的例子包括但不限于:键盘、指示设备、语音识别设备或任何其他输入设备。
如图6所示,示例性计算系统610还可包括主要存储设备632和经由存储接口634联接到通信基础结构612的备份存储设备633。存储设备632和633通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。例如,存储设备632和633可为磁盘驱动器(例如,所谓的硬盘驱动器)、固态驱动器、软盘驱动器、磁带驱动器、光盘驱动器、闪存驱动器等等。存储接口634通常表示用于在计算系统610的存储设备632和633与其他组件之间传输数据的任何类型或形式的接口或设备。在一个例子中,图1的数据库120可存储在主要存储设备632中。
在某些实施例中,存储设备632和633可被配置为对被配置为存储计算机软件、数据或其他计算机可读信息的可移除存储单元执行读取和/或写入。合适的可移除存储单元的例子包括但不限于:软盘、磁带、光盘、闪存存储器设备等。存储设备632和633还可包括允许将计算机软件、数据或其他计算机可读指令加载到计算系统610内的其他类似结构或设备。例如,存储设备632和633可被配置为读取和写入软件、数据或其他计算机可读信息。存储设备632和633还可为计算系统610的一部分,或者可为通过其他接口系统进行访问的独立设备。
可将许多其他设备或子系统连接到计算系统610。相反地,无需图6中示出的所有组件和设备都存在,亦可实践本文描述和/或示出的实施例。上文提及的设备和子系统也可通过不同于图6所示的方式互连。计算系统610也可采用任何数量的软件、固件和/或硬件配置。例如,本文所公开的一个或多个示例性实施例可被编码为计算机可读介质上的计算机程序(也称为计算机软件、软件应用程序、计算机可读指令或计算机控制逻辑)。如本文所用,术语“计算机可读介质”通常指能够存储或携带计算机可读指令的任何形式的设备、载体或介质。计算机可读介质的例子包括但不限于:传输型介质(诸如载波)和非暂态型介质(诸如磁存储介质,如硬盘驱动器、磁带驱动器和软盘)、光存储介质(如,光盘(CD)、数字视频盘(DVD)和蓝光光盘)、电子存储介质(如,固态驱动器和闪存介质)和其他分配系统。
可将包含计算机程序的计算机可读介质加载到计算系统610中。然后可将计算机可读介质上存储的全部或部分计算机程序存储在系统存储器616和/或存储设备632和633的各个部分中。当由处理器614执行时,加载到计算系统610中的计算机程序可使处理器614执行和/或作为一种装置用于执行本文描述和/或示出的示例性实施例中的一者或多者的功能。除此之外或作为另外一种选择,可在固件和/或硬件中实现本文描述和/或示出的示例性实施例中的一者或多者。例如,计算系统610可被配置为用于实现本文所公开的示例性实施例中的一者或多者的专用集成电路(ASIC)。
图7为示例性网络体系结构700的框图,其中客户端系统710、720和730以及服务器740和745可联接到网络750。如上文所详述,网络体系结构700的全部或一部分可执行和/或作为一种装置用于单独地或与其他元件结合来执行本文所公开的步骤中的一者或多者(诸如图3所示的步骤中的一者或多者)。网络体系结构700的全部或一部分也可用于执行和/或作为一种装置用于执行本公开中阐述的其他步骤和特征。
客户端系统710、720和730通常表示任何类型或形式的计算设备或系统,诸如图6中的示例性计算系统610。类似地,服务器740和745通常表示被配置为提供各种数据库服务和/或运行某些软件应用程序的计算设备或系统,诸如应用程序服务器或数据库服务器。网络750通常表示任何电信或计算机网络,包括例如内联网、WAN、LAN、PAN或因特网。在一个例子中,客户端系统710、720和/或730和/或服务器740和/或745可包括图1的系统100的全部或一部分。
如图7所示,一个或多个存储设备760(1)-(N)可直接附接到服务器740。类似地,一个或多个存储设备770(1)-(N)可直接附接到服务器745。存储设备760(1)-(N)和存储设备770(1)-(N)通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。在某些实施例中,存储设备760(1)-(N)和存储设备770(1)-(N)可表示被配置为使用各种协议(诸如网络文件系统(NFS)、服务器消息块(SMB)或通用互联网文件系统(CIFS))与服务器740和745进行通信的网络附接存储(NAS)设备。
服务器740和745也可连接到存储区域网络(SAN)架构780。SAN架构780通常表示能够促进多个存储设备之间的通信的任何类型或形式的计算机网络或体系结构。SAN架构780可促进服务器740和745与多个存储设备790(1)-(N)和/或智能存储阵列795之间的通信。SAN架构780还可通过网络750以及服务器740和745以这样的方式促进客户端系统710、720和730与存储设备790(1)-(N)和/或智能存储阵列795之间的通信:设备790(1)-(N)和阵列795呈现为客户端系统710、720和730的本地附接设备。与存储设备760(1)-(N)和存储设备770(1)-(N)相同,存储设备790(1)-(N)和智能存储阵列795通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。
在某些实施例中,并参照图6的示例性计算系统610,通信接口(诸如图6中的通信接口622)可用于在每个客户端系统710、720和730与网络750之间提供连接。客户端系统710、720和730可能能够使用例如网页浏览器或其他客户端软件来访问服务器740或745上的信息。此类软件可允许客户端系统710、720和730访问由服务器740、服务器745、存储设备760(1)-(N)、存储设备770(1)-(N)、存储设备790(1)-(N)或智能存储阵列795托管的数据。尽管图7示出了使用网络(诸如互联网)来交换数据,但本文描述和/或示出的实施例并非仅限于互联网或任何特定的基于网络的环境。
在至少一个实施例中,本文所公开的一个或多个示例性实施例中的全部或一部分可被编码为计算机程序并加载到服务器740、服务器745、存储设备760(1)-(N)、存储设备770(1)-(N)、存储设备790(1)-(N)、智能存储阵列795、或它们的任意组合上并加以执行。本文所公开的一个或多个示例性实施例中的全部或一部分也可被编码为计算机程序,存储在服务器740中,由服务器745运行,以及通过网络750分配到客户端系统710、720和730。
如上详述,计算系统610和/或网络体系结构700的一个或多个组件可执行和/或作为一种方式用于单独或与其他元件结合来执行用于更新持有因素凭据的示例性方法的一个或多个步骤。
虽然上述公开内容使用特定框图、流程图和例子阐述了各种实施例,但每个框图组件、流程图步骤、操作和/或本文描述和/或示出的组件可使用多种硬件、软件或固件(或其任何组合)配置单独和/或共同地实现。此外,包含在其他组件内的组件的任何公开内容应当被视为在本质上是示例性的,因为可实施许多其他体系结构来实现相同功能。
在一些例子中,图1中的示例性系统100的全部或一部分可表示云计算环境或基于网络的环境的部分。云计算环境可通过互联网提供各种服务和应用程序。这些基于云的服务(例如软件即服务、平台即服务、基础结构即服务等)可通过网页浏览器或其他远程接口进行访问。本文所述的各种功能可通过远程桌面环境或任何其他基于云的计算环境提供。
在各种实施例中,图1中的示例性系统100的全部或一部分可促进基于云的计算环境内的多租户应用。换句话讲,本文所述的软件模块可配置计算系统(例如,服务器)以促进本文所述功能中的一者或多者的多租户应用。例如,本文所述软件模块中的一者或多者可对服务器进行编程以允许两个或更多个客户端(例如,顾客)共享正在服务器上运行的应用程序。以这种方式编程的服务器可在多个顾客(即,租户)之间共享应用程序、操作系统、处理系统和/或存储系统。本文所述模块中的一者或多者还可为每个顾客分割多租户应用程序的数据和/或配置信息使得一个顾客不能访问另一个顾客的数据和/或配置信息。
根据各种实施例,图1中的示例性系统100的全部或一部分可在虚拟环境中实现。例如,本文所述模块和/或数据可在虚拟机内驻留和/或执行。如本文所用,术语“虚拟机”通常指由虚拟机管理器(例如,超级管理程序)从计算硬件中抽象出来的任何操作系统环境。除此之外或作为另外一种选择,本文所述的模块和/或数据可在虚拟化层内驻留和/或执行。如本文所用,术语“虚拟化层”通常指覆盖操作系统环境和/或从操作系统环境中抽象出来的任何数据层和/或应用层。虚拟化层可由软件虚拟化解决方案(例如,文件系统过滤器)管理,软件虚拟化解决方案将虚拟化层呈现为就好像它是底层基本操作系统的一部分。例如,软件虚拟化解决方案可将最初定向至基本文件系统和/或注册表内的位置的调用重定向至虚拟化层内的位置。
在一些例子中,图1中的示例性系统100的全部或一部分可表示移动计算环境的部分。移动计算环境可由多种移动计算设备来实现,这些设备包括移动电话、平板电脑、电子书阅读器、个人数字助理、可穿戴计算设备(例如,具有头戴式显示器的计算设备、智能手表等),等等。在一些例子中,移动计算环境可具有一个或多个显著特征,包括(例如)对电池供电的依赖、在任何给定时间只呈现一个前台应用程序、远程管理特征、触摸屏特征、(例如,由全球定位系统、陀螺仪、加速度计等提供的)位置和移动数据、限制对系统级配置的修改和/或限制第三方软件检查其他应用程序的行为的能力的受限平台、限制应用程序的安装的控制装置(例如,仅安装来源于经批准的应用程序商店的应用程序),等等。本文所述的各种功能可被提供用于移动计算环境和/或可与移动计算环境交互。
此外,图1中的示例性系统100的全部或一部分可表示一个或多个信息管理系统的部分,与一个或多个信息管理系统交互,使用由一个或多个信息管理系统产生的数据,并且/或者产生被一个或多个信息管理系统使用的数据。如本文所用,术语“信息管理”可以指数据的保护、组织和/或存储。信息管理系统的例子可包括但不限于:存储系统、备份系统、存档系统、复制系统、高可用性系统、数据搜索系统、虚拟化系统等。
在一些实施例中,图1中的示例性系统100的全部或一部分可表示一个或多个信息安全系统的部分,产生受一个或多个信息安全系统保护的数据,并且/或者与一个或多个信息安全系统通信。如本文所用,术语“信息安全”可以指对受保护数据的访问控制。信息安全系统的例子可包括但不限于:提供受管理的安全服务的系统、数据丢失防护系统、身份认证系统、访问控制系统、加密系统、政策遵循系统、入侵检测与防护系统、电子发现系统等等。
根据一些例子,图1中的示例性系统100的全部或一部分可表示一个或多个端点安全系统的部分,与一个或多个端点安全系统通信,并且/或者受一个或多个端点安全系统保护。如本文所用,术语“端点安全”可以指保护端点系统以避免未授权和/或不合法的使用、访问和/或控制。端点保护系统的例子可包括但不限于:反恶意软件系统、用户认证系统、加密系统、保密系统、垃圾邮件过滤服务,等等。
本文描述和/或示出的过程参数和步骤序列仅通过举例的方式给出并且可根据需要改变。例如,虽然本文示出和/或描述的步骤可以特定顺序示出或讨论,但这些步骤不必按示出或讨论的顺序来执行。本文描述和/或示出的各种示例性方法也可省略本文描述或示出的步骤中的一者或多者,或除了所公开的那些步骤之外还包括附加步骤。
虽然本文已经在全功能计算系统的背景中描述和/或示出了各种实施例,但这些示例性实施例中的一者或多者可作为各种形式的程序产品来分配,而不考虑用于实际进行分配的计算机可读介质的特定类型。本文所公开的实施例也可使用执行某些任务的软件模块来实现。这些软件模块可包括脚本、批文件或可存储在计算机可读存储介质上或计算系统中的其他可执行文件。在一些实施例中,这些软件模块可将计算系统配置为执行本文所公开的示例性实施例中的一者或多者。
此外,本文所述的模块中的一者或多者可将数据、物理设备和/或物理设备的表示从一种形式转换为另一种形式。例如,本文所述模块中的一个或多个可以接收与用户身份和用户财产相关的信息,并将该信息转换成用于确定是否允许持有因素指定更新的发生的确定因素。除此之外或作为另外一种选择,本文所述模块中的一者或多者可通过在计算设备上执行、在计算设备上存储数据和/或以其他方式与计算设备交互,来将处理器、易失性存储器、非易失性存储器、和/或物理计算设备的任何其他部分从一种形式转换为另一种形式。
提供前面描述的目的是使本领域的其他技术人员能够最好地利用本文所公开的示例性实施例的各种方面。该示例性描述并非旨在是详尽的或局限于所公开的任何精确形式。在不脱离本发明精神和范围的前提下,可进行许多修改和变化。本文所公开的实施例在所有方面均应被视为示例性的而非限制性的。应当参考所附权利要求及其等同形式来确定本发明的范围。
除非另有说明,否则在本说明书和权利要求中使用的术语“连接到”和“联接到”(以及其衍生形式)应该理解为允许直接和间接(即,经由其他元件或组件)连接。此外,在本说明书和权利要求中使用的术语“一”或“一个”应当理解为表示“...中的至少一者”。最后,为了易于使用,在本说明书和权利要求中使用的术语“包括”和“具有”(以及其衍生形式)与词语“包含”可互换并且与词语“包含”具有相同含义。
Claims (20)
1.一种用于更新持有因素凭据的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的计算设备来执行,所述方法包括:
检测来自服务的用户的对指定新的对象的请求,所述新的对象将替代先前指定的对象被所述服务用作持有因素凭据;
在允许所述用户指定所述新的对象前,通过以下方式验证所述用户:
对所述用户的身份进行证实以核实所述用户的声称的身份是所述用户的实际身份;
核实所述用户的所证实的身份曾持有所述先前指定的对象;
响应于核实所述用户的所证实的身份曾持有所述先前指定的对象,将所述新的对象指定为所述持有因素凭据。
2.根据权利要求1所述的计算机实现的方法,其中检测来自所述用户对指定所述新的对象的所述请求包括检测所述用户不具有对所述先前指定的对象的访问权限。
3.根据权利要求1所述的计算机实现的方法,其中所述先前指定的对象和/或所述新的对象包括以下至少一者:
电话;
从所述服务接收的物理令牌;
从所述服务接收的软令牌。
4.根据权利要求1所述的计算机实现的方法,其中对所述用户的身份进行证实包括:
向所述用户提交与所述用户的身份有关的问题;
确定由所述用户提供的作为响应于所述问题的答案对应于所述实际身份。
5.根据权利要求1所述的计算机实现的方法,其中所述先前指定的对象包括所述用户在所述对象被指定为所述持有因素凭据时曾持有的对象。
6.根据权利要求5所述的计算机实现的方法,其中核实所述用户的所证实的身份曾持有所述先前指定的对象包括:
检索与所述用户关联的记录;
识别所述记录中的对所述先前指定的对象的引用。
7.根据权利要求6所述的计算机实现的方法,其中所述记录包括以下至少一者:
信用报告;
纳税申报表;
借贷申请;
电话目录。
8.根据权利要求5所述的计算机实现的方法,其中核实所述用户的所证实的身份曾持有所述先前指定的对象包括:
识别与所述用户关联的第三方;
向所述第三方查询与所述用户是否曾持有所述先前指定的对象有关的信息。
9.根据权利要求1所述的计算机实现的方法,其中:
所述先前指定的对象包括由所述服务发给所述用户的令牌;
核实所述用户的所证实的身份曾持有所述先前指定的对象包括:
识别所述令牌发送到的物理位置和/或对象;
确定所述用户曾持有所述令牌发送到的所述物理位置和/或对象。
10.根据权利要求9所述的计算机实现的方法,其中确定所述用户曾持有所述令牌发送到的所述物理位置和/或对象包括:
检索与所述用户关联的记录;
识别所述记录中的对所述令牌发送到的所述物理位置和/或对象的引用。
11.根据权利要求10所述的计算机实现的方法,其中所述记录包括以下至少一者:
信用报告;
纳税申报表;
借贷申请;
电话目录。
12.根据权利要求9所述的计算机实现的方法,其中确定所述用户曾持有所述令牌发送到的所述物理位置和/或对象包括:
识别与所述用户关联的第三方;
向所述第三方查询与所述用户是否曾持有所述令牌发送到的所述物理位置和/或对象有关的信息。
13.根据权利要求1所述的计算机实现的方法,还包括:
识别所述用户对登录由所述服务提供的用户账户的尝试;
确定所述用户持有所述新的对象;
至少部分地基于确定所述用户持有所述新的对象,允许所述用户登录由所述服务提供的所述用户账户。
14.一种用于更新持有因素凭据的系统,所述系统包括:
存储在存储器中的检测模块,所述检测模块检测来自服务的用户的对指定新的对象的请求,所述新的对象将替代先前指定的对象被所述服务用作持有因素凭据;
存储在存储器中的核实模块,所述核实模块在允许所述用户指定所述新的对象前,通过以下方式验证所述用户:
对所述用户的身份进行证实以核实所述用户的声称的身份是所述用户的实际身份;
核实所述用户的所证实的身份曾持有所述先前指定的对象;
存储在存储器中的指定模块,所述指定模块响应于所述核实模块核实所述用户的所证实的身份曾持有所述先前指定的对象,将所述新的对象指定为所述持有因素凭据;
至少一个物理处理器,所述物理处理器被配置成执行所述检测模块、所述核实模块和所述指定模块。
15.根据权利要求14所述的系统,其中所述检测模块通过检测到所述用户不具有对所述先前指定的对象的访问权限来检测来自所述用户对指定所述新的对象的所述请求。
16.根据权利要求14所述的系统,其中所述先前指定的对象和/或所述新的对象包括以下至少一者:
电话;
从所述服务接收的物理令牌;
从所述服务接收的软令牌。
17.根据权利要求14所述的系统,其中所述核实模块通过以下方式对所述用户的身份进行证实:
向所述用户提交与所述用户的身份有关的问题;
确定由所述用户提供的作为响应于所述问题的答案对应于所述实际身份。
18.根据权利要求14所述的系统,其中所述先前指定的对象包括所述用户在所述对象被指定为所述持有因素凭据时曾持有的对象。
19.根据权利要求18所述的系统,其中所述核实模块通过以下方式核实所述用户的所证实的身份曾持有所述先前指定的对象:
检索与所述用户关联的记录;
识别所述记录中的对所述先前指定的对象的引用。
20.一种非暂态计算机可读介质,其包括一个或多个计算机可读指令,当由计算设备的至少一个处理器执行时,所述指令致使所述计算设备:
检测来自服务的用户的对指定新的对象的请求,所述新的对象将替代先前指定的对象被所述服务用作持有因素凭据;
在允许所述用户指定所述新的对象前,通过以下方式验证所述用户:
对所述用户的身份进行证实以核实所述用户的声称的身份是所述用户的实际身份;
核实所述用户的所证实的身份曾持有所述先前指定的对象;
响应于核实所述用户的所证实的身份曾持有所述先前指定的对象,将所述新的对象指定为所述持有因素凭据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/492777 | 2014-09-22 | ||
| US14/492,777 US9477833B2 (en) | 2014-09-22 | 2014-09-22 | Systems and methods for updating possession factor credentials |
| PCT/US2015/045576 WO2016048482A1 (en) | 2014-09-22 | 2015-08-17 | Systems and methods for updating possession factor credentials |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107077546A true CN107077546A (zh) | 2017-08-18 |
| CN107077546B CN107077546B (zh) | 2020-03-10 |
Family
ID=54105971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580049334.0A Expired - Fee Related CN107077546B (zh) | 2014-09-22 | 2015-08-17 | 用于更新持有因素凭据的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9477833B2 (zh) |
| EP (1) | EP3198499A1 (zh) |
| JP (1) | JP6473499B2 (zh) |
| CN (1) | CN107077546B (zh) |
| WO (1) | WO2016048482A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10091212B2 (en) | 2016-03-04 | 2018-10-02 | BlueTalon, Inc. | Policy management, enforcement, and audit for data security |
| US10212145B2 (en) * | 2016-04-06 | 2019-02-19 | Avaya Inc. | Methods and systems for creating and exchanging a device specific blockchain for device authentication |
| US11843597B2 (en) * | 2016-05-18 | 2023-12-12 | Vercrio, Inc. | Automated scalable identity-proofing and authentication process |
| CN106888201A (zh) * | 2016-08-31 | 2017-06-23 | 阿里巴巴集团控股有限公司 | 一种校验方法及装置 |
| US10164977B2 (en) | 2016-11-17 | 2018-12-25 | Avaya Inc. | Mobile caller authentication for contact centers |
| US10803190B2 (en) | 2017-02-10 | 2020-10-13 | BlueTalon, Inc. | Authentication based on client access limitation |
| EP3376421A1 (en) * | 2017-03-17 | 2018-09-19 | Gemalto Sa | Method for authenticating a user and corresponding device, first and second servers and system |
| US10862979B2 (en) | 2017-04-07 | 2020-12-08 | Microsoft Technology Licensing, Llc | Techniques for supporting remote micro-services as native functions in spreadsheet applications |
| US10791105B2 (en) * | 2017-04-07 | 2020-09-29 | Microsoft Technology Licensing, Llc | Credential-based proactive discovery of remote micro-services by spreadsheet applications |
| US10291602B1 (en) | 2017-04-12 | 2019-05-14 | BlueTalon, Inc. | Yarn rest API protection |
| US10250723B2 (en) | 2017-04-13 | 2019-04-02 | BlueTalon, Inc. | Protocol-level identity mapping |
| US11146563B1 (en) | 2018-01-31 | 2021-10-12 | Microsoft Technology Licensing, Llc | Policy enforcement for search engines |
| US11005889B1 (en) | 2018-02-02 | 2021-05-11 | Microsoft Technology Licensing, Llc | Consensus-based policy management |
| US11790099B1 (en) | 2018-02-09 | 2023-10-17 | Microsoft Technology Licensing, Llc | Policy enforcement for dataset access in distributed computing environment |
| US11210387B2 (en) * | 2018-08-16 | 2021-12-28 | Cyberark Software Ltd. | Detecting and preventing unauthorized credential change |
| US11263319B2 (en) * | 2018-08-21 | 2022-03-01 | Microsoft Technology Licensing, Llc | Suspicious credential change detection and mitigation |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070022196A1 (en) * | 2005-06-29 | 2007-01-25 | Subodh Agrawal | Single token multifactor authentication system and method |
| CN101263533A (zh) * | 2005-07-27 | 2008-09-10 | 英根亚技术有限公司 | 真实性验证 |
| JP2012137893A (ja) * | 2010-12-24 | 2012-07-19 | Daiwa Securities Group Inc | 住所変更システム、住所変更サーバ、住所変更処理方法、およびプログラム |
| CN103917999A (zh) * | 2011-07-14 | 2014-07-09 | 多塞股份公司 | 社区中的在线签名身份和验证 |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2078246C (en) * | 1991-09-23 | 1998-02-03 | Randolph J. Pilc | Improved method for secure access control |
| US6401206B1 (en) * | 1997-03-06 | 2002-06-04 | Skylight Software, Inc. | Method and apparatus for binding electronic impressions made by digital identities to documents |
| ATE347131T1 (de) * | 1999-03-08 | 2006-12-15 | Software Ag | Verfahren zur zugriffsprüfung eines anwenders |
| GB2390703A (en) * | 2002-07-02 | 2004-01-14 | Ascent Group Ltd | Storage and authentication of data transactions |
| US7836308B2 (en) | 2003-06-19 | 2010-11-16 | Qualcomm Incorporated | Apparatus and method for multiple function authentication device |
| US20090132813A1 (en) * | 2007-11-08 | 2009-05-21 | Suridx, Inc. | Apparatus and Methods for Providing Scalable, Dynamic, Individualized Credential Services Using Mobile Telephones |
| JP2009245208A (ja) * | 2008-03-31 | 2009-10-22 | Hitachi Software Eng Co Ltd | 携帯通信端末を使用した本人認証システム |
| US9112702B2 (en) * | 2009-04-29 | 2015-08-18 | Microsoft Technology Licensing, Llc | Alternate authentication |
| KR20130007797A (ko) * | 2011-07-11 | 2013-01-21 | 삼성전자주식회사 | 개방형 인증 방법 및 시스템 |
| US9824199B2 (en) * | 2011-08-25 | 2017-11-21 | T-Mobile Usa, Inc. | Multi-factor profile and security fingerprint analysis |
| US20130054433A1 (en) * | 2011-08-25 | 2013-02-28 | T-Mobile Usa, Inc. | Multi-Factor Identity Fingerprinting with User Behavior |
| US8707405B2 (en) | 2012-01-11 | 2014-04-22 | International Business Machines Corporation | Refreshing group membership information for a user identifier associated with a security context |
| US9407620B2 (en) * | 2013-08-23 | 2016-08-02 | Morphotrust Usa, Llc | System and method for identity management |
| US9536065B2 (en) * | 2013-08-23 | 2017-01-03 | Morphotrust Usa, Llc | System and method for identity management |
| EP3860083A1 (en) * | 2013-08-23 | 2021-08-04 | IDEMIA Identity & Security USA LLC | System and method for identity management |
| US20150082390A1 (en) * | 2013-09-08 | 2015-03-19 | Yona Flink | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device |
| WO2015066511A1 (en) * | 2013-11-01 | 2015-05-07 | Ncluud Corporation | Determining identity of individuals using authenticators |
| US9571645B2 (en) * | 2013-12-16 | 2017-02-14 | Nuance Communications, Inc. | Systems and methods for providing a virtual assistant |
-
2014
- 2014-09-22 US US14/492,777 patent/US9477833B2/en active Active
-
2015
- 2015-08-17 CN CN201580049334.0A patent/CN107077546B/zh not_active Expired - Fee Related
- 2015-08-17 EP EP15763121.9A patent/EP3198499A1/en not_active Withdrawn
- 2015-08-17 WO PCT/US2015/045576 patent/WO2016048482A1/en active Application Filing
- 2015-08-17 JP JP2017513463A patent/JP6473499B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070022196A1 (en) * | 2005-06-29 | 2007-01-25 | Subodh Agrawal | Single token multifactor authentication system and method |
| CN101263533A (zh) * | 2005-07-27 | 2008-09-10 | 英根亚技术有限公司 | 真实性验证 |
| JP2012137893A (ja) * | 2010-12-24 | 2012-07-19 | Daiwa Securities Group Inc | 住所変更システム、住所変更サーバ、住所変更処理方法、およびプログラム |
| CN103917999A (zh) * | 2011-07-14 | 2014-07-09 | 多塞股份公司 | 社区中的在线签名身份和验证 |
Non-Patent Citations (1)
| Title |
|---|
| 刘媛等: "财务业务一体化应用的探讨", 《中国管理信息化》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US9477833B2 (en) | 2016-10-25 |
| WO2016048482A1 (en) | 2016-03-31 |
| US20160085962A1 (en) | 2016-03-24 |
| JP2017534951A (ja) | 2017-11-24 |
| JP6473499B2 (ja) | 2019-02-20 |
| EP3198499A1 (en) | 2017-08-02 |
| CN107077546B (zh) | 2020-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107077546A (zh) | 用于更新持有因素凭据的系统和方法 | |
| TWI706368B (zh) | 基於區塊鏈的服務租賃方法、裝置、系統及電子設備 | |
| US11003760B2 (en) | User account recovery techniques using secret sharing scheme with trusted referee | |
| CN104364790B (zh) | 用于实施多因素认证的系统和方法 | |
| US9697660B1 (en) | Systems and methods for verifying user attributes | |
| CN106133743B (zh) | 用于优化预安装应用程序的扫描的系统和方法 | |
| US8266306B2 (en) | Systems and methods for delegating access to online accounts | |
| CN102930199B (zh) | 多承租人订阅环境中的安全机器登记 | |
| CN105874464B (zh) | 用于在子系统输出信号中引入变化以防止设备指纹分析的系统和方法 | |
| CN108701188A (zh) | 响应于检测潜在勒索软件以用于修改文件备份的系统和方法 | |
| CN104769598B (zh) | 用于检测非法应用程序的系统和方法 | |
| US10200359B1 (en) | Systems and methods for creating credential vaults that use multi-factor authentication to automatically authenticate users to online services | |
| CN103597494A (zh) | 用于管理文档的数字使用权限的方法和设备 | |
| KR20200105998A (ko) | 블록체인-기반 데이터 관리를 위한 시스템 및 방법 | |
| JP6978603B2 (ja) | ユーザアカウントを匿名化するためのシステム及び方法 | |
| US10217178B2 (en) | Customer identity verification | |
| CN106664291A (zh) | 用于对本地网络设备提供安全访问的系统和方法 | |
| CN102685122B (zh) | 基于云端服务器的软件保护的方法 | |
| JP7401288B2 (ja) | ユーザデータへの不正アクセスの脅威下でアカウントレコードのパスワードを変更するシステムおよび方法 | |
| US10402549B1 (en) | Systems and methods for creating validated identities for dependent users | |
| CN107872440A (zh) | 身份鉴权方法、装置和系统 | |
| US20180157795A1 (en) | Multilevel object file storage | |
| US10193880B1 (en) | Systems and methods for registering user accounts with multi-factor authentication schemes used by online services | |
| US10783728B1 (en) | Systems and methods for controlling access | |
| US10375077B1 (en) | Systems and methods for mediating information requests |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Norton weifuke company Address before: California, USA Patentee before: Symantec Corp. |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Norton weifuke company Address before: California, USA Patentee before: Symantec Corp. |
|
| CP02 | Change in the address of a patent holder | ||
| CP02 | Change in the address of a patent holder |
Address after: Arizona, USA Patentee after: Norton weifuke company Address before: California, USA Patentee before: Norton weifuke company |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20200310 Termination date: 20200817 |