CN107079031B - 经由与第二设备的通信对第一设备的基于用户认证的批准 - Google Patents
经由与第二设备的通信对第一设备的基于用户认证的批准 Download PDFInfo
- Publication number
- CN107079031B CN107079031B CN201580064166.2A CN201580064166A CN107079031B CN 107079031 B CN107079031 B CN 107079031B CN 201580064166 A CN201580064166 A CN 201580064166A CN 107079031 B CN107079031 B CN 107079031B
- Authority
- CN
- China
- Prior art keywords
- user
- observable information
- response
- information
- identity provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/33—Security of mobile devices; Security of mobile applications using wearable devices, e.g. using a smartwatch or smart-glasses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
描述了经由通过信道(例如,不安全信道)的与第二设备的通信对第一设备的基于用户认证的批准。所述第一设备从身份提供器接收会话ID和第一用户可观察的信息或者其标识符,向用户呈现所述第一用户可观察的信息,以及向所述第二设备发送所述会话ID。所述第二设备向所述身份提供器发送所述会话ID以便从其获得第二用户可观察的信息或者其标识符和安全性挑战。所述第二用户可观察的信息与所述第一用户可观察的信息具有用户可辨别的关系,并且被所述第二设备呈现给所述用户。所述第二设备能够至少基于从所述用户接收的输入生成用于向所述身份提供器传送的对所述安全性挑战的响应,对所述安全性挑战的所述响应指示所述第一设备对于批准的适合性。
Description
背景技术
术语“用户认证”可以指在为用户或者与用户相关联的设备提供对一个或多个资源的访问之前通过其对用户的身份进行确认的过程。例如,一种常见的用于在提供与特定账户相关联的服务之前对用户进行认证的方法是要求用户输入已被账户的拥有者使之与账户相关联的密码。也可以要求用户提供账户自身的标识符(ID)(有时被称为“用户ID”)。因此,理论上,仅账户的拥有者知道用户ID和密码两者,可以认为提供这些凭证足以对用户进行认证。
在经由互联网执行用户认证时,经常要求用户将这样的凭证输入在启用了互联网的设备上运行的web浏览器或者其它应用的图形用户界面(GUI)中。GUI通常被渲染到与设备相关联的富显示器(例如,被连接到计算机的监视器、膝上型计算机或者智能电话的显示器、被连接到游戏控制台的电视机等)。取决于被用于执行用户认证的设备,用户可以使用诸如是键盘、触摸屏、游戏控制器等这样的输入设备输入凭证。
具有无线联网能力的可穿戴计算设备现在正变得越来越流行。这些设备例如包括诸如是Google的GLASSTM这样的头戴式计算设备、诸如是Apple的APPLE WATCHTM这样的智能手表以及诸如是Microsoft的MICROSOFT BANDTM和Fitbit的FITBIT®活动跟踪设备这样的个人健身设备。在为可穿戴设备提供代表用户对资源的访问之前对用户进行认证以确保他或者她是特定的可穿戴设备的实际拥有者可以认为是必要或者期望的。然而,由于它们的小形状因素,许多可穿戴计算设备在显示能力和用户输入能力两方面上具有非常有限的用户接口。出于此原因,使用诸如是上面描述的方法那样的其中将用户凭证输入到被渲染到富显示器上的GUI中的传统方法经由这些设备进行用户认证可能是困难或者甚至不可能的。关于嵌入式计算设备,类似的问题可能出现,所述嵌入式计算设备诸如是被用于实施物联网(IoT)的那些。这些嵌入式计算设备中的许多嵌入式计算设备不包括富显示器和/或对于使用户能够以前述方式输入用户凭证来说必要的用户输入能力。
在一些场景中,用户可以拥有这样的设备,该设备出于用户认证的目的可以充当该用户的凭证。例如,设备可以被配置为自动地代表用户接收安全性挑战并且作出响应。在这样的场景中,用户可能不具有密码或者其它的基于用户输入的凭证,因为设备满足对于凭证的需求。如果是这样,则对于用户来说可能不存在对该用户希望经由其获得对资源的访问的另一个设备进行认证的方法。
发明内容
在本文中描述了经由与第二设备的通信促进对第一设备的基于用户认证的批准的系统、方法和计算机程序产品。根据实施例,所述第一设备从身份提供器接收会话ID和第一用户可观察的信息或者其标识符。所述第一设备向用户呈现所述第一用户可观察的信息。所述第一设备还通过信道向所述第二设备发送所述会话ID,所述信道可以包括不安全信道。所述第二设备向所述身份提供器发送所述会话ID以从其获得第二用户可观察的信息或者其标识符和安全性挑战。所述第二用户可观察的信息与所述第一用户可观察的信息具有用户可辨别的关系,并且被所述第二设备呈现给所述用户。所述第二设备进一步能够至少基于由所述第二设备从所述用户接收的输入生成用于向所述身份提供器传送的对所述安全性挑战的响应。对所述安全性挑战的所述响应指示所述第一设备对于由所述身份提供器进行的基于用户认证的批准的适合性。
提供本概要以便以简化形式介绍下面在具体实施方式中进一步描述的概念的选择。本概要不旨在识别所要求保护的主题的关键特征或者必要特征,其也不旨在被用于限制所要求保护的主题的范围。此外,应当指出,所要求保护的主题不限于在本文档的具体实施方式和/或其它小节中描述的具体的实施例。仅出于说明的目的在本文中呈现这样的实施例。基于包含在本文中的教导,附加的实施例对于相关领域的技术人员将是明显的。
附图说明
被并入本文并且构成本说明书的部分的附图图示了本发明的实施例,并且连同本说明一起进一步用于解释本发明的原理和使相关领域的技术人员能够制作和使用本发明。
图1是根据一个实施例的经由与第二设备的通信促进对第一设备的基于用户认证的批准的系统的方框图。
图2是示出根据一个实施例的在第一设备、第二设备和身份提供器之间被执行以获得对第一设备的基于用户认证的批准的通信的序列的图。
图3描绘了根据一个实施例的可以被用于执行用于对第一设备的基于用户认证的批准的技术的第一设备和第二设备。
图4描绘了根据另一个实施例的可以被用于执行用于对第一设备的基于用户认证的批准的技术的第一设备和第二设备。
图5描绘了根据又另一个实施例的可以被用于执行用于对第一设备的基于用户认证的批准的技术的第一设备和第二设备。
图6描绘了根据一个实施例的可以被结合第二设备和身份提供器操作的第一设备执行以获得对其的基于用户认证的批准的方法的流程图。
图7描绘了根据一个实施例的可以被结合第一设备和身份提供器操作的第二设备执行以获得对第一设备的基于用户认证的批准的方法的流程图。
图8描绘了根据一个实施例的可以被结合第一设备和第二设备操作的身份提供器执行以获得对第一设备的基于用户认证的批准的方法的流程图。
图9是可以被用于实施各种实施例的示例移动设备的方框图。
图10是可以被用于实施各种实施例的示例的基于处理器的计算机系统的方框图。
结合附图,本发明的特征和优点将从下面阐述的详细说明中变得明显,在附图中,同样的参考标号自始至终识别对应的元素。在附图中,同样的参考标号一般地指示相同的、功能上相似的和/或结构上相似的元素。元素在其中第一次出现的图由对应的参考标号中的最左边的数字指示。
具体实施方式
I. 介绍
下面的详细说明参考图示了本发明的示例性实施例的附图。然而,本发明的范围不限于这些实施例,而替代地由所附的权利要求定义。因此,诸如是所图示的实施例的经修改的版本这样的超出附图中所示的那些的实施例仍然可以被本发明包括。
在本说明书中对“一个实施例”、“实施例”、“示例实施例”等的引用指示所描述的实施例可以包括特定的特征、结构或者特性,但是每个实施例可能不必然包括该特定的特征、结构或者特性。此外,这样的短语不必然涉及相同的实施例。此外,在结合实施例描述特定的特征、结构或者特性时,认为结合其它实施例实施这样的特征、结构或者特性在相关领域的技术人员的知识内,不论其是否被明确地描述。
在本文中描述了经由与第二设备的通信促进对第一设备的基于用户认证的批准的系统、方法和计算机程序产品。根据实施例,第一设备从身份提供器接收会话ID和第一用户可观察的信息或者其标识符。第一设备向用户呈现第一用户可观察的信息。第一设备还通过可以包括不安全信道的信道向第二设备发送会话ID。第二设备向身份提供器发送会话ID以从其获得第二用户可观察的信息或者其标识符和安全性挑战。第二用户可观察的信息与第一用户可观察的信息具有用户可辨别的关系,并且被第二设备呈现给用户。第二设备进一步能够至少基于由第二设备从用户接收的输入生成用于向身份提供器传送的对安全性挑战的响应。对安全性挑战的响应指示第一设备对于由身份提供器进行的基于用户认证的批准的适合性。
根据前述技术,如果第二设备可以向身份提供器提供对安全性挑战的有效响应,则身份提供器可以确定第二设备的用户是应当使资源对于其可经由第一设备访问的用户。此外,在实施例中,由于用户可以对由第一设备呈现的第一用户可观察的信息和由第二设备呈现的第二用户可观察的信息进行比较,以及确定这两者之间是否存在有效的关系(例如,在一些实施例中,通过看所述信息是否是相同的),所以用户可以控制第二设备是否将提供将导致第一设备被批准的对安全性挑战的响应。例如,如果用户未看到由第一设备呈现的第一用户可观察的信息与由第二设备呈现的第二用户可观察的信息之间存在有效的关系,则该用户可以确定与另一个用户(例如,恶意用户)相关联的某个设备正在寻求对访问该用户的资源的批准。在这样的情况下,用户可以决定不经由第二设备提供对安全性挑战的响应。
根据特定的实施例,前述技术使第一设备能够以不要求用户向第一设备中输入任何信息(例如,用户凭证)的方式被批准。此外,为实施特定的实施例,第一设备仅需要包括能够呈现第一用户可观察的信息的用户接口。如将在本文中讨论的,第一用户可观察的信息可以是图像、字、字母数字代码、声音或者可以被第一设备在不要求使用富显示器的情况下呈现的其它的信息。因此,前述技术为获得对诸如是一些可穿戴计算设备和嵌入式计算设备这样的具有有限的显示和/或用户输入能力的设备的基于用户认证的批准的问题提供了技术解决方案。如上面在背景技术小节中指出的,在尝试使用要求向被渲染到富显示器的GUI中输入用户凭证的传统方法时,经由这样的设备进行用户认证可能是困难或者甚至不可能的。
根据另外的实施例,前述技术还使第一设备能够通过利用第二设备而被批准,第二设备出于用户认证的目的被配置为充当针对用户的凭证。如上面在背景技术小节中指出的,在第二设备被配置为充当针对用户的凭证时,用户可以不具有密码,因为第二设备满足对于凭证的需求。在这样的情况下,能够以本文中描述的方式使用第二设备来促进对第一设备的基于用户认证的批准解决了在用户不具有密码或者其它的基于用户输入的凭证时获得对第一设备的基于用户认证的批准的技术问题。
在下面的小节中,将更充分地描述前述的系统、方法和计算机程序产品的实施例。特别地,小节II描述了经由与第二设备的通信促进对第一设备的基于用户认证的批准的系统。小节III描述了可以被用于实施小节II中描述的系统的示例移动设备。小节IV描述了可以被用于实施小节II中描述的系统的示例的基于处理器的计算机系统。小节V描述了一些附加的示例性实施例。小节VI提供了一些结束语。
II. 经由与第二设备的通信促进对第一设备的基于用户认证的批准的示例系统
图1是根据一个实施例的经由与第二设备的通信促进对第一设备的基于用户认证的批准的示例系统100的方框图。如图1中所示,系统100包括服务器102、第一设备104和第二设备106。
服务器102旨在表示基于处理器的计算设备,其可操作来向可以经由一个或多个网络连接到其的其它计算设备提供服务。下面参考图10描述了可以被用于实施服务器102的基于处理器的计算设备的一个示例。然而,该示例不旨在是限制性的,并且可以使用多种其它的服务器实施方案。
如图1中所示,服务器102包括身份提供器120。在一个实施例中,身份提供器120包括被服务器102的一个或多个处理器执行的软件。然而,该示例不旨在是限制性的,并且有可能的是身份提供器120的一个或多个特征或者功能可以用硬件(例如,使用数字的和/或模拟的电路)或者作为由处理器执行的软件和硬件的组合被实施。此外,尽管身份提供器120被示为服务器102的部分,但有可能的是身份提供器120可以由使用分布式计算技术等的多个服务器实施。
一般地,身份提供器120被配置为创建、维护和管理针对各种用户的身份信息,以及利用这样的身份信息来向可以经由诸如是互联网这样的网络连接到身份提供器120的各种客户端提供用户认证服务。例如,身份提供器120可以被配置为从客户端接收一个或多个凭证,基于凭证对客户端的用户进行认证,以及然后向客户端发送指示该用户已被认证的安全性令牌。该安全性令牌然后可以被客户端用于代表用户访问资源(例如,代表用户访问由服务提供者提供的服务)。
如将在本文中讨论的,身份提供器120被进一步配置为执行协议,该协议使诸如是第一设备104这样的第一设备能够以涉及与诸如是第二设备106这样的第二设备的通信的方式从身份提供器120接收基于用户认证的批准(例如,从身份提供器120接收安全性令牌)。
第一设备104可以包括能够代表用户通过网络访问资源并且包括用于与用户交互的某种形式的用户接口的任何类型的设备。在特定的实施例中,第一设备104的用户接口仅提供有限的显示和/或用户输入能力,以使得第一设备104不能被用于或者不能容易地被用于参与依赖于用户输入和/或富显示器的传统的用户认证协议,所述传统的用户认证协议诸如是要求用户向GUI中输入账户ID和密码的协议。例如,第一设备104可以包括仅提供有限的显示和/或用户输入能力的可穿戴计算设备或者嵌入式计算设备。可以实施第一设备104的特征的可穿戴计算设备的示例包括但不限于诸如是Google的GLASSTM这样的头戴式计算设备、诸如是Apple的APPLE WATCHTM这样的智能手表以及诸如是Microsoft的MICROSOFTBANDTM和Fitbit的FITBIT®活动跟踪设备这样的个人健身设备。可以实施第一设备104的特征的嵌入式计算设备的示例包括但不限于常在消费者、烹饪、工业、汽车、医疗、商业和军事应用中被找到的嵌入式计算设备以及被用于实施物联网(IoT)的嵌入式计算设备。
然而,第一设备104不必然是具有有限的显示和/或用户输入能力的设备。相反,第一设备104可以包括具有联网能力和用户接口的多种设备中的任一种设备。例如,第一设备104可以包括个人计算机、膝上型计算机、平板、上网本、智能电话、游戏控制台、个人媒体播放器、个人导航助手等。
第二设备106也可以包括能够代表用户通过网络访问资源并且包括用于与用户交互的某种形式的用户接口的任何类型的设备。在实施例中,第一设备104和第二设备106是对于相同的用户可访问的。根据这样的实施例,由于相同的用户可以访问第一设备104和第二设备106两者,所以他或者她可以根据本文中描述的技术使用第二设备106来获得对第一设备104的基于用户认证的批准,以使得第一设备104可以代表他或者她访问服务。
第二设备106可以包括上面参考第一设备104讨论的设备类型中的任一种。在特定的实施例中,相比于第一设备104的用户接口,第二设备106具有提供更广泛的显示和/或用户输入能力的用户接口。例如,第二设备106可以具有可以被用于或者可以容易地被用于参与依赖于用户输入和/或富显示器的传统的用户认证协议的用户接口,所述传统的用户认证协议诸如是要求用户向GUI中输入账户ID和密码的协议,而第一设备104可能不具有这样的用户接口。
如图1中所示,第一设备104包括基于用户认证的批准逻辑130和用户接口132。在一个实施例中,基于用户认证的批准逻辑130包括被第一设备104的一个或多个处理器执行的软件。然而,本示例不旨在是限制性的,并且有可能的是基于用户认证的批准逻辑130的一个或多个特征或者功能可以用硬件(例如,使用数字的和/或模拟的电路)或者作为由处理器执行的软件和硬件的组合被实施。
基于用户认证的批准逻辑130被配置为执行操作,所述操作促进由第一设备104从身份提供器120获得基于用户认证的批准,以使得第一设备104可以代表用户获得对资源的访问。将在本文中更详细地描述这些操作。这些操作涉及第一设备104的基于用户认证的批准逻辑130与服务器102的身份提供器120之间的通过通信信道110的通信以及第一设备104的基于用户认证的批准逻辑130与第二设备106的基于用户认证的批准逻辑140之间的通过通信信道114的通信。
用户接口132包括用于向用户输出信息的至少一个装置。这样的装置可以例如而不限于包括显示器、一个或多个音频扬声器、一个或多个发光二极管(LED)、压电式触觉致动器或者其它的触觉输出设备和/或用于向用户输出信息的任何其它的机制。用户接口132还可以包括用于由用户输入信息的装置,尽管这样的装置不需要被用于实施本文中描述的技术。这样的装置可以例如而不限于包括键盘、键区、鼠标、触摸屏、触摸板、轨迹球、操纵杆、指点杆、有线手套、运动跟踪传感器、游戏控制器或者游戏手柄、诸如是照相机这样的视频捕获设备和/或用于由用户输入信息的任何其它的机制。
如图1中进一步示出的,第二设备106包括基于用户认证的批准逻辑140和用户接口142。在一个实施例中,基于用户认证的批准逻辑140包括被第二设备106的一个或多个处理器执行的软件。然而,该示例不旨在是限制性的,并且有可能的是基于用户认证的批准逻辑140的一个或多个特征或者功能可以用硬件(例如,使用数字的和/或模拟的电路)或者作为由处理器执行的软件和硬件的组合被实施。
基于用户认证的批准逻辑140被配置为执行操作,所述操作促进由第一设备104从身份提供器120获得基于用户认证的批准,以使得第一设备104可以代表用户获得对资源的访问。将在本文中更详细地描述这些操作。这些操作涉及第二设备106的基于用户认证的批准逻辑140与第一设备104的基于用户认证的批准逻辑130之间的通过通信信道114的通信以及第二设备106的基于用户认证的批准逻辑140与服务器102的身份提供器120之间的通过通信信道112的通信。
用户接口142包括用于向用户输出信息的至少一个装置。这样的装置可以例如而不限于包括显示器、一个或多个音频扬声器、一个或多个LED、一个或多个压电式触觉致动器或者其它的触觉输出设备和/或用于向用户输出信息的任何其它的机制。用户接口142还包括用于由用户输入信息的至少一个装置。这样的装置可以例如而不限于包括键盘、键区、鼠标、触摸屏、触摸板、轨迹球、操纵杆、指点杆、有线手套、运动跟踪传感器、游戏控制器或者游戏手柄、诸如是照相机这样的视频捕获设备和/或用于由用户输入信息的任何其它的机制。
第一设备104与服务器102之间的通信信道110和第二设备106与服务器102之间的通信信道112中的每个通信信道可以包括在一个或多个网络上被建立的通信信道。这样的网络可以包括但不限于诸如是互联网这样的广域网、局域网、专用网络、公共网络、分组网络、电路交换网、有线网络和/或无线网络。在实施例中,通信信道110和通信信道112中的一个或者全部两个通信信道包括使用一个或多个加密协议实施的安全通信信道。
在实施例中,第一设备104与第二设备106之间的通信信道114在不安全信道上被实施。也就是说,第一设备104与第二设备106之间的通信信道114可以不受任何加密协议的保护。然而,还有可能的是本文中描述的技术可以在其中通信信道114包括安全信道的实施例中被执行。
在实施例中,第一设备104和第二设备106被接近地定位,以使得它们两者是对于相同的用户可同时访问的。根据这样的实施例,通信信道114可以使用用于在两个被接近地定位的设备之间建立通信的多种点对点或者基于网络的技术或者协议中的任一种被实施。例如,通信信道114可以在局域网、IEEE 802.11(“WiFi”)网络、WiFi直接连接、蓝牙®微微网、近场通信(NFC)会话、家庭电话线网络、家庭电力线网络、有线串行连接(例如,USB连接)、无线串行连接(例如,无线USB连接)、红外线连接(例如,IrDA连接)、ZigBee网络、Z-Wave网络或者体域网上被实施。
然而,通信信道114不需要在两个被接近地定位的设备之间被实施,以实施本文中描述的技术。此外,通信信道114可以使用不同于或者附加于上面描述的那些技术或者协议之外的技术或者协议被实施。例如,通信信道114可以在诸如是互联网这样的广域网上、在电信网络等上被实施。
现在将参考图2的序列图200描述根据一个或多个实施例的第一设备104、第二设备106和服务器102交互以获得对第一设备104的基于用户认证的批准的方式。特别地,序列图200图示了一个或多个实施例中的在第一设备104的基于用户认证的批准逻辑130、第二设备106的基于用户认证的批准逻辑140和服务器102的身份提供器120之间被执行以获得对第一设备104的基于用户认证的批准的通信的序列。
序列图200中所示的每个通信可以包括该通信的相应的发送方和接收方之间的单个消息、多个消息或者一个或多个双向消息交换。相关领域的技术人员将认识到,执行每个通信的方式可以取决于诸如是被用于实施第一设备104、第一设备106和服务器102之间的各种通信信道的特定通信协议和媒体这样的因素而改变。
如图2中所示,在第一设备104的基于用户认证的批准逻辑130经由通信信道110向身份提供器120发送请求202时通信的序列被发起。在实施例中,第一基于用户认证的批准逻辑130被配置为响应于预定的事件的发生而自动地生成并且传送请求202。例如,第一基于用户认证的批准逻辑130可以被配置为响应于第一设备104第一次被上电而自动地生成并且传送请求202。在另一个实施例中,第一基于用户认证的批准逻辑130被配置为至少基于经由第一设备104的用户接口132接收的用户输入或者由用户经由这样的用户接口执行的活动而生成并且传送请求202。例如,第一基于用户认证的批准逻辑130可以被配置为响应于用户为了将第一设备104置于“设置”状态下、为了激活第一设备104的特定应用或者操作系统或者与其交互、为了使用第一设备104来访问远程服务等与用户接口132交互而生成并且传送请求202。
响应于接收到请求202,身份提供器120经由通信信道110向第一设备104的基于用户认证的批准逻辑130发送响应204。响应204包括会话标识符(ID)和第一用户可观察的信息。会话ID可以表示寻求对其的基于用户认证的批准的会话。在实施例中,会话ID包括由身份提供器120生成的密码安全随机数或者密码安全伪随机数。第一用户可观察的信息包括适于经由用户接口132向第一设备104的用户呈现的信息。
在第一设备104接收第一用户可观察的信息之后,它经由用户接口132向用户呈现第一用户可观察的信息。取决于被第一设备104实施的用户接口的类型,可以以可观看的形式(例如,经由第一设备104的显示器、经由第一设备104的一个或多个LED等)、以可听的形式(例如,经由第一设备104的一个或多个音频扬声器)和/或以触摸可感知的形式(例如,经由第一设备104的一个或多个触觉输出设备)呈现第一用户可观察的信息。
第一用户可观察的信息可以例如包括图像。作为另一个示例,第一用户可观察的信息可以包括字。作为又另一个示例,第一用户可观察的信息可以包括字母数字代码。在另外的实施例中,第一用户可观察的信息可以包括LED的特定闪烁模式、声音的特定序列或者触摸可感知感觉的特定模式。可以使用多种其它类型的用户可观察的信息。第一用户可观察的信息仅需要是可以被用户识别的信息,其识别的程度对于确定第一用户可观察的信息是否与第二用户可观察的信息具有某种关系是必要的,第二用户可观察的信息将由第二设备106以将在下面被描述的方式显示。
在前述内容中,已说到响应204包括第一用户可观察的信息。在替换的实施例中,响应204不包括第一用户可观察的信息,而替代地包括其标识符。根据这样的实施例,第一设备104可以使用该标识符来识别第一用户可观察的信息的本地存储的版本(例如,被存储在第一设备104上的存储器中的第一用户可观察的信息的版本),第一设备104然后可以向用户呈现该版本。有可能的是由第一设备104接收的第一用户可观察的信息的标识符也可以被第一设备104用于从另一个源(例如,从第一设备104可以被通信地连接到的远程设备)检索第一用户可观察的信息。
在第一设备104的第一基于用户认证的批准逻辑130从身份提供器120接收响应204之后,它经由通信信道114向第二设备106的第二基于用户认证的批准逻辑140发送包括会话ID的通信206。如之前指出的,通信信道114可以包括不安全信道。
在第二设备106的第二基于用户认证的批准逻辑140接收通信206之后,它从其中提取会话ID。第二基于用户认证的批准逻辑140然后经由通信信道112向身份提供器120发送包括会话ID的通信208。
响应于接收通信208(和被包括在其中的会话ID),身份提供器120向第二设备106的第二基于用户认证的批准逻辑140发送包括第二用户可观察的信息和安全性挑战的通信210。第二用户可观察的信息包括适于经由用户接口142向第二设备106的用户呈现的信息。第二用户可观察的信息还与被第一设备104呈现给用户的第一用户可观察的信息具有用户可辨别的关系。
在第二设备106接收第二用户可观察的信息之后,它经由用户接口142向用户呈现第二用户可观察的信息。取决于被第二设备106实施的用户接口的类型,可以以可观看的形式(例如,经由第二设备106的显示器、经由第二设备106的一个或多个LED等)、以可听的形式(例如,经由第二设备106的一个或多个音频扬声器)和/或以触觉可感知的形式(例如,经由第二设备106的一个或多个触觉输出设备)呈现第二用户可观察的信息。
与被第一设备104呈现给用户的第一用户可观察的信息类似,第二用户可观察的信息可以包括图像、字、字母数字代码、LED的特定闪烁模式、声音的特定序列、触摸可感知的感觉的特定集合或者多种其它类型的用户可观察的信息中的任一种。被第二设备106呈现的第二用户可观察的信息仅需要是可以被用户识别的信息,其识别的程度对于确定它是否与由第一设备104呈现给用户的第一用户可观察的信息具有某种关系是必要的。
现在将提供第一用户可观察的信息与第二用户可观察的信息之间的用户可辨别的关系的非限制性的示例。在一个实施例中,第一用户可观察的信息与第二用户可观察的信息相同。例如,根据这样的实施例,第一用户可观察的信息可以是树的图像,以及第二用户可观察的信息可以是该树的相同的图像。在另一个示例中,第一用户可观察的信息可以是字母数字代码X1J43BL7,以及第二用户可观察的信息可以也是字母数字代码X1J43BL7。
在另一个实施例中,第一用户可观察的信息是一种形式的信息的表示,而第二用户可观察的信息是另一种形式的相同的信息的表示。例如,根据这样的实施例,第一用户可观察的信息可以是字“大象”,以及第二用户可观察的信息可以是大象的图像。在另一个示例中,第一用户可观察的信息可以是第一设备104上的LED的特定的开/关模式,以及第二用户可观察的信息可以是被渲染到第二设备104的显示器的LED的图像上的相同的开/关模式的图形表示。
在另外的实施例中,第一用户可观察的信息是第一对象的表示,以及第二用户可观察的信息是与第一对象具有已知的关系的第二对象的表示。例如,根据这样的实施例,第一用户可观察的信息可以是口述的字“盐”的声音,以及第二用户可观察的信息可以是书写的字“胡椒”。作为另一个示例,第一用户可观察的信息可以是串“2 + 2”,以及第二用户可观察的信息可以是数字“4”。
在再另外的实施例中,第一用户可观察的信息与第二用户可观察的信息之间的用户可辨别的关系是被用户提前定义的关系。例如,用户可以在较早的时间点与IDP 120交互以便指定或者选择第一用户可观察的信息和第二用户可观察的信息,从而创建可能仅将被该用户知道的其间的关系。例如,用户可以指定第一用户可观察的信息是树的图像,以及第二用户可观察的信息是书写的字“胡椒”。尽管那两个信息项对于局外人来说将看起来是不相关的,但该用户将理解,这样的信息项由于用户已指定或者选择它们用于在设备批准协议中使用从而在它们之间创建了关联而实际上是相关的。
如可以从前述内容中看到的,多种用户可辨别的关系中的任一种可以存在于被第一设备104呈现的第一用户可观察的信息与被第二设备106呈现的第二用户可观察的信息之间。相应地,上面提供的示例不旨在是限制性的。
在前述内容中,已说到通信210包括第二用户可观察的信息。在替换的实施例中,通信210不包括第二用户可观察的信息,而替代地包括其标识符。根据这样的实施例,第二设备106可以使用该标识符来识别第二用户可观察的信息的本地存储的版本(例如,被存储在第二设备106上的存储器中的第二用户可观察的信息的版本),第二设备106然后可以向用户呈现该版本。有可能的是由第二设备106接收的第二用户可观察的信息的标识符也可以被第二设备106用于从另一个源(例如,从第二设备106可以被通信地连接到的远程设备)检索第二用户可观察的信息。
附加于向用户呈现第二用户可观察的信息,第二基于用户认证的批准逻辑140还可以操作来生成对作为通信210的部分被接收的安全性挑战的响应212以用于向身份提供器120传送。然而,对安全性挑战的这样的响应212将仅被发送到身份提供器120(如果第二设备106的用户经由与用户接口142的交互授权这样的行动的话)。第二设备106的用户可以通过其对向身份提供器120发送响应212进行授权的方式将取决于从身份提供器120接收的安全性挑战的类型而改变。
例如,安全性挑战可以包括对于用户经由与用户接口142的交互提供一个或多个凭证(例如,用户ID和密码)的请求。根据这样的实施例,对安全性挑战的响应212将仅在用户经由用户接口142输入被请求的凭证之后仅被第二基于用户认证的批准逻辑140生成和传送到身份提供器120。
作为另一个示例,安全性挑战可以包括第二基于用户认证的批准逻辑140可以基于已被存储在第二设备106上的凭证自动地生成对其的响应的类型的安全性挑战。在这种情况下,第二基于用户认证的批准逻辑140将在生成并且向身份提供器120发送响应212之前从用户请求许可。例如,第二基于用户认证的批准逻辑140可以经由用户接口142针对对于发送响应212的许可提示用户。如果用户提供被请求的许可,则响应212将被发送到身份提供器120。然而,如果用户不提供被请求的许可,则响应212将不被发送到身份提供器120。
如果对安全性挑战的响应212被发送到身份提供器120,则身份提供器120将对响应212进行检查以便确定它是否包括对安全性挑战的有效响应。如果身份提供器120确定响应212是对安全性挑战的有效响应,则身份提供器120将批准第一设备104。例如,身份提供器120可以通过经由通信信道110向第一设备104的第一基于用户认证的批准逻辑130发送安全性令牌214来批准第一设备104,其中,安全性令牌指示第一设备104的用户已被认证。安全性令牌214然后可以被第一设备104用于代表用户获得对资源的访问(例如,用于代表用户访问由服务提供商提供的服务)。
根据对序列图200的前述的说明,如果第二设备106可以向身份提供器120提供对安全性挑战的有效响应,则身份提供器120可以确定第二设备106的用户是应当使资源对于其可经由第一设备104访问的用户。此外,由于用户可以将由第一设备104呈现第一用户可观察的信息与由第二设备106呈现的第二用户可观察的信息进行比较,并且确定这两者之间是否存在有效的关系,所以用户可以控制第二设备106是否将提供将导致第一设备104被批准的对安全性挑战的响应。例如,如果用户未看到由第一设备104呈现的第一用户可观察的信息与由第二设备106呈现的第二用户可观察的信息之间存在有效的关系,则该用户可以确定与另一个用户(例如,恶意用户)相关联的某个设备正在寻求对访问该用户的资源的批准。在这样的情况下,用户可以决定不经由第二设备106提供对安全性挑战的响应。
根据特定的实施例,前述技术使第一设备104能够以不要求用户向第一设备104中输入任何信息(例如,用户凭证)的方式被批准。此外,为实施特定的实施例,第一设备104仅需要包括能够呈现第一用户可观察的信息的用户接口。因此,前述技术为获得对诸如是某些可穿戴计算设备和嵌入式计算设备这样的具有有限的显示和/或用户输入能力的设备的基于用户认证的批准的问题提供了技术解决方案。
根据其中第二设备106被配置为充当针对用户的凭证以使得该用户不具有密码或者其它的基于用户输入的凭证的另外的实施例,前述技术还使第一设备104能够通过利用第二设备106而被批准。因此,上面描述的技术解决了在用户不具有密码或者其它的基于用户输入的凭证时获得对第一设备104的基于用户认证的批准的技术问题。
图3-5描绘了图1的第一设备102和第二设备104的各种示例实施例。在本文中描述这些图以便帮助进一步解释系统100的构件的操作的方式和图示其一些益处。
例如,图3描绘了第一设备302和第二设备304。第一设备302是图1的第一设备104的实施例,以及第二设备304是图1的第二设备106的实施例。第一设备302可以例如表示具有有限的显示和用户输入能力的恒温器,而第二设备304可以例如表示具有相对上等的显示和用户输入能力的智能电话。
如图3中所示,第一设备302已从身份提供器获得是苹果的图像的第一用户可观察的信息334,并且将它渲染到第一设备302的显示器332。第一设备302还从身份提供器接收会话ID,并且经由通信信道(例如,不安全通信信道)将它发送给第二设备304。第二设备304使用会话ID来从身份提供器获得是苹果的图像的第二用户可观察的信息344和安全性挑战。第二设备304将第二用户可观察的信息344显示在第二设备304的显示器342以及GUI中,用户可以通过其输入用户ID和密码的形式的用户凭证,并且然后通过与“登录”按钮交互提交这样的凭证。所提交的凭证可以被第二设备304用于对安全性挑战作出响应。
由于第一设备302和第二设备304的用户可以看到这两设备正在显示相同的用户可观察的信息(即,苹果的相同的图像),所以用户可以感觉经由第二设备304提交他的或者凭证是舒服的,因为对相同的图像的显示向用户指示由此提供的凭证将被用于批准第一设备302而非某个其它的设备(例如,被某个其他的用户拥有的设备)。此外,由于用户可以经由由设备304提供的GUI输入他或者她的凭证,所以用户不需要尝试经由具有更有限的用户接口的设备302提供这样的凭证。
作为另一个示例,图4描绘了第一设备402和第二设备404。第一设备402是图1的第一设备104的另一个恒温器实施例,以及第二设备404是图1的第二设备106的另一个智能电话实施例。
如图4中所示,第一设备402已从身份提供器获得是字母数字代码X1BCN4的第一用户可观察的信息434,并且将它渲染到第一设备402的显示器432。第一设备402还从身份提供器接收会话ID,并且经由通信信道(例如,不安全通信信道)将它发送给第二设备404。第二设备404使用会话ID来从身份提供器获得是字母数字代码X1BCN4的第二用户可观察的信息444和安全性挑战。第二设备304将第二用户可观察的信息444显示在第二设备404的显示器442中。在该实施例中,第二设备404已存储一个或多个凭证,并且因此可以自动地生成其自己的对安全性挑战的响应。因此,第二设备404仅需要经由用户接口442提示用户看用户是否想要批准第一设备402。如果用户作出响应“是”(例如,通过与“是”按钮交互),则第二设备404将生成并且向身份提供器传送对安全性挑战的响应。然而,如果用户作出响应“否”(例如,通过与“否”按钮交互),则第二设备404将不对安全性挑战作出响应。
由于第一设备402和第二设备404的用户可以看到这两者设备正在显示相同的用户可观察的信息(即,相同的字母数字代码X1BCN4),所以用户可以感觉指示第一设备402应当被批准是舒服的,因为对相同的字母数字代码的显示向用户指示由第二设备404提供的对安全性挑战的响应将被用于批准第一设备402而非某个其它的设备(例如,被某个其他的用户拥有的设备)。
作为另一个示例,图5描绘了第一设备502和第二设备504。第一设备502是图1的第一设备104的另一个恒温器实施例,以及第二设备504是图1的第二设备106的另一个智能电话实施例。
如图5中所示,第一设备502正在经由显示器532显示第一用户可观察的信息534,其中,第一用户可观察的信息534是苹果的图像。第二设备504正在经由显示器542显示第二用户可观察的信息544,其中,第二用户可观察的信息544是足球的图像。第二设备504还正在经由显示器542提示用户批准另一个设备。在该场景中,由于用户可以看到设备正在显示针对其不存在任何可辨别的关系的用户可观察的信息(即,苹果的图像与足球的图像不具有可辨别的关系),所以用户可以决定通过与显示器542上的“否”按钮交互不批准另一设备。对不相关的图像的显示向用户指示由第二设备504提供的对安全性挑战的响应将被用于批准第一设备502之外的某个设备(例如,被某个其他的用户拥有的设备)。
现在将参考图6的流程图600描述诸如是第一设备104、第一设备302、第一设备402或者第一设备502中的任一项这样的第一设备可以结合第二设备和身份提供器操作以便从身份提供器获得基于用户认证的批准的方法。然而,流程图600的方法不限于这些实施例。
如图6中所示,流程图600的方法在步骤602处开始,在该步骤中,第一设备向身份提供器发送请求。
在步骤604处,第一设备从身份提供器接收包括会话ID和第一用户可观察的信息或者其标识符的响应。
在步骤606处,第一设备向用户呈现第一用户可观察的信息。
在步骤608处,第一设备向第二设备发送会话ID。第一设备可以例如通过不安全信道向第二设备发送会话ID。
会话ID可以是可以被第二设备用于从身份提供器获得第二用户可观察的信息或者其标识符以及安全性挑战的。第二用户可观察的信息可以与第一用户可观察的信息具有用户可辨别的关系。第二设备可以是可操作来向用户呈现第二用户可观察的信息和至少基于经由第二设备的用户接口从用户接收的输入生成用于向身份提供器传送的对安全性挑战的响应的。对安全性挑战的响应可以指示第一设备对于由身份提供器进行的基于用户认证的批准的适合性。
现在将参考图7的流程图700描述诸如是第二设备106、第二设备304、第二设备404或者第二设备504中的任一项这样的第二设备可以结合第一设备和身份提供器操作以便从身份提供器获得对第一设备的基于用户认证的批准的方法。然而,流程图700的方法不限于这些实施例。
如图7中所示,流程图700的方法在步骤702处开始,在该步骤中,第二设备从第一设备接收会话ID。可以例如通过不安全信道接收会话ID。
在步骤704处,第二设备向身份提供器发送会话ID。
在步骤706处,第二设备从身份提供器接收第一用户可观察的信息或者其标识符和安全性挑战。第一用户可观察的信息与被第一设备呈现给用户的第二用户可观察的信息具有用户可辨别的关系。
在步骤708处,第二设备向用户呈现第一用户可观察的信息。
在步骤710处,第二设备至少基于从用户接收的输入生成对安全性挑战的响应并且向身份提供器发送对安全性挑战的响应。在实施例中,第二设备至少基于由用户经由第二设备的用户接口输入的密码生成对安全性挑战的响应。在另一个实施例中,第二设备响应于经由第二设备的用户接口从用户接收对第一设备将被批准的指示自动地生成对安全性挑战的响应。
现在将参考图8的流程图800描述诸如是身份提供器120的身份提供器可以结合第一设备和第二设备操作以便获得对第一设备的基于用户认证的批准的方法。然而,流程图800的方法不限于这些实施例。
如图8中所示,流程图800的方法在步骤802处开始,在该步骤中,身份提供器从第一设备接收请求。
在步骤804处,响应于从第一设备接收请求,身份提供器向第一设备发送会话ID和第一用户可观察的信息或者其标识符。第一用户可观察的信息是适于被第一设备呈现给用户的。
在步骤806处,身份提供器从第二设备接收会话ID。
在步骤808处,响应于从第二设备接收会话ID,身份提供器向第二设备发送第二用户可观察的信息或者其标识符和安全性挑战。第二用户可观察的信息与第一用户可观察的信息具有用户可辨别的关系,并且是适于被第二设备呈现给用户的。
在步骤810处,身份提供器从第二设备接收对安全性挑战的响应。
在步骤812处,身份提供器确定对安全性挑战的响应是否包括有效响应。
在步骤814处,响应于至少确定对安全性挑战的响应包括有效响应,身份提供器批准第一设备。对第一设备的批准可以例如需要向第一设备发送可以被第一设备用于代表用户访问资源的安全性令牌。尽管未在流程图800中示出,但身份提供器可以确定:没有响应已被提供给安全性挑战或者无效响应已被提供给安全性挑战。在这些情况下,身份提供器将不批准第一设备。
III. 示例移动设备实施方案
图9是可以实施本文中描述的实施例的示例性移动设备902的方框图。如图9中所示,移动设备902包括多种可选的硬件和软件构件。移动设备902中的任何构件可以与任何其它的构件通信,尽管为了易于图示,并非全部连接被示出。移动设备902可以是多种计算设备中的任一种计算设备(例如,蜂窝电话、智能电话、手持型计算机、个人数字助理(PDA)等),并且可以允许与诸如是蜂窝或者卫星网络这样的一个或多个移动通信网络904或者与局域网或者广域网的无线双向通信。
所图示的移动设备902可以包括用于执行诸如是信号编码、数据处理、输入/输出处理、功率控制和/或其它功能这样的任务的控制器或者处理器910(例如,信号处理器、微处理器、ASIC或者其它的控制和处理逻辑电路)。操作系统912可以控制移动设备902的构件的分配和使用,以及为一个或多个应用程序914(也被称为“应用”或者“app”)提供支持。应用程序914可以包括常见的移动计算应用(例如,电子邮件应用、日历、联系人管理器、web浏览器、消息传送应用)和任何其它的计算应用(例如,字处理应用、地图应用、媒体播放器应用)。
所图示的移动设备902可以包括存储器920。存储器920可以包括非可移除存储器922和/或可移除存储器924。非可移除存储器922可以包括RAM、ROM、闪存、硬盘或者其它公知的存储器设备或者技术。可移除存储器924可以包括闪存或者在GSM通信系统中公知的用户身份模块(SIM)卡或者诸如是“智能卡”这样的其它公知的存储器设备或者技术。存储器920可以被用于存储用于运行操作系统912和应用914的数据和/或代码。示例数据可以包括web页面、文本、图像、声音文件、视频数据或者将经由一个或多个有线或者无线网络被发送到一个或多个网络服务器或者其它设备和/或从一个或多个网络服务器或者其它设备接收的其它数据。存储器920可以被用于存储诸如是国际移动用户身份(IMSI)这样的用户标识符和诸如是国际移动设备标识符(IMEI)这样的设备标识符。可以将这样的标识符传送到网络服务器以便识别用户和设备。
移动设备902可以支持诸如是触摸屏932、麦克风934、照相机936、物理键盘938和/或轨迹球940这样的一个或多个输入设备930和诸如是扬声器952和显示器954这样的一个或多个输出设备950。诸如是触摸屏932这样的触摸屏可以以不同的方式检测输入。例如,电容式触摸屏在对象(例如,指尖)扭曲或者中断横跨表面运行的电流时检测触摸输入。作为另一个示例,触摸屏可以使用光学传感器以便在来自光学传感器的波束被中断时检测触摸输入。与屏幕的表面的物理接触对于将被某些触摸屏检测的输入来说不是必要的。
其它可能的输出设备(未示出)可以包括压电式或者其它的触觉输出设备。一些设备可以提供多于一项输入/输出功能。例如,可以将触摸屏932和显示器954合并到单个输入/输出设备中。输入设备930可以包括自然用户界面(NUI)。
无线调制解调器960可以被耦接到天线(未示出),并且可以如本领域中很好地理解的那样支持处理器910与外部设备之间的双向通信。调制解调器960被一般地示出,并且可以包括用于与移动通信网络904通信的蜂窝调制解调器966和/或其它的基于无线电的调制解调器(例如,蓝牙964和/或Wi-Fi 962)。无线调制解调器960中的至少一个典型地被配置用于与诸如是GSM网络这样的一个或多个蜂窝网络的通信,以用于单个蜂窝网络内的、蜂窝网络之间的或者移动设备与公共交换电话网络(PSTN)之间的数据和语音通信。
移动设备902可以进一步包括至少一个输入/输出端口980、电源982、诸如是全球定位系统(GPS)接收器这样的卫星导航系统接收器984、加速度计986和/或可以是USB端口、IEEE 1394(火线)端口和/或RS-232端口的物理连接器990。移动设备902的所图示的构件不是必需的或者全部包括的,因为如将被相关领域的技术人员认识到的,任何构件可以被删除,以及其它的构件可以被添加。
在实施例中,移动设备902被配置为执行如上面参考图1描述的第一设备104或者第二设备106、如上面参考图3描述的第一设备302或者第二设备304、如上面参考图4描述的第一设备402或者第二设备404或者如上面参考图5描述的第一设备502或者第二设备504的功能中的任一个。用于执行这些设备的功能的计算机程序逻辑可以被存储在存储器920中,并且被处理器910执行。通过执行这样的计算机程序逻辑,可以导致处理器910实施这些设备中的任一个设备的特征中的任一个特征。此外,通过执行这样的计算机程序逻辑,可以导致处理器910执行图6或者7中所描绘的流程图中的任一个或者全部流程图的步骤中的任一个或者全部步骤。
IV. 示例计算机系统实施方案
图10描绘了可以被用于实施本文中描述的各种实施例的示例的基于处理器的计算机系统1000。例如,系统1000可以被用于实施如上面参考图1描述的服务器102、第一设备104或者第二设备106、如上面参考图3描述的第一设备302或者第二设备304、如上面参考图4描述的第一设备402或者第二设备404或者如上面参考图5描述的第一设备502或者第二设备504中的任一项。系统1000还可以被用于实施图6-8中所描绘的流程图中的任一个或者全部流程图的步骤中的任一个或者全部步骤。本文中提供的对系统1000的描述是出于说明的目的被提供的,而不旨在是限制性的。可以用如将对于相关领域的技术人员已知的另外类型的计算机系统来实施实施例。
如图10中所示,系统1000包括处理单元1002、系统存储器1004和将包括系统存储器1004的各种系统构件耦接到处理单元1002的总线1006。处理单元1002可以包括一个或多个微处理器或者微处理器核。总线1006表示几种类型的总线结构中的任一种中的一条或多条,所述总线结构包括存储器总线或者存储器控制器、外围总线、加速图形端口和使用多种总线架构中的任一种总线架构的处理器或者本地总线。系统存储器1004包括只读存储器(ROM)1008和随机存取存储器(RAM)1010。基本输入/输出系统1012(BIOS)被存储在ROM1008中。
系统1000还具有以下驱动器中的一个或多个:用于从硬盘读和向其写的硬盘驱动器1014、用于从可移除磁盘1018读或者向其写的磁盘驱动器1016和用于从可移除光盘1022读或者向其写的光盘驱动器1020,可移除光盘1022诸如是CD ROM、DVD ROM、蓝光TM盘或者其它光学媒体。硬盘驱动器1014、磁盘驱动器1016和光盘驱动器1020分别通过硬盘驱动器接口1024、磁盘驱动器接口1026和光驱接口1028被连接到总线1006。驱动器及其关联的计算机可读媒体为计算机提供对计算机可读指令、数据结构、程序模块和其它数据的非易失性的存储。尽管描述了硬盘、可移除磁盘和可移除光盘,但诸如是闪存卡、数字视频磁盘、随机存取存储器(RAM)、只读存储器(ROM)等这样的其它类型的计算机可读存储器设备和存储结构可以被用于存储数据。
数个程序模块可以被存储在硬盘、磁盘、光盘、ROM或者RAM上。这些程序模块包括操作系统1030、一个或多个应用程序1032、其它程序模块1034和程序数据1036。根据各种实施例,程序模块可以包括计算机程序逻辑,其可由处理单元1002执行以便执行如上面参考图1描述的服务器102、第一设备104或者第二设备106、如上面参考图3描述的第一设备302或者第二设备304、如上面参考图4描述的第一设备402或者第二设备404或者如上面参考图5描述的第一设备502或者第二设备504的功能和特征中的任一项或者全部。程序模块还可以包括在被处理单元1002执行时执行参考图6-8的流程图所示出或者描述的步骤或者操作中的任一个的计算机程序逻辑。
用户可以通过诸如是键盘1038和指点设备1040这样的输入设备向系统1000中输入命令和信息。其它的输入设备(未示出)可以包括麦克风、操纵杆、游戏控制器、扫描仪等。在一个实施例中,结合显示器1044提供触摸屏以便允许用户经由对触摸屏上的一个或多个点施加触摸(如例如通过手指或者触笔)提供用户输入。这些和其它的输入设备通常通过被耦接到总线1006的串行端口接口1042而被连接到处理单元1002,但可以通过诸如是并行端口、游戏端口或者通用串行总线(USB)这样的其它接口被连接。这样的接口可以是有线的或者无线的接口。
显示器1044也经由诸如是视频适配器1046这样的接口被连接到总线1006。附加于显示器1044,系统1000可以包括诸如是扬声器和打印机这样的其它外围输出设备(未示出)。
系统1000通过网络接口或者适配器1050、调制解调器1052或者适于通过网络建立通信的其它的合适装置被连接到网络1048(例如,局域网或者诸如是互联网的广域网)。可以位于内部或者外部的调制解调器1052经由串行端口接口1042被连接到总线1006。
如本文中使用的,术语“计算机程序介质”、“计算机可读介质”和“计算机可读存储介质” 一般地被用于指诸如是与硬盘驱动器1014相关联的硬盘、可移除磁盘1018、可移除光盘1022这样的存储器设备或者存储结构以及诸如是闪存卡、数字视频磁盘、随机存取存储器(RAM)、只读存储器(ROM)等这样的其它存储器设备或者存储结构。这样的计算机可读存储媒体是与通信媒体有区别和非重叠的(不包括通信媒体)。通信媒体典型地将计算机可读指令、数据结构、程序模块或者其它数据体现在诸如是载波这样的经调制的数据信号中。术语“经调制的数据信号”意指这样的信号,所述信号使它的特性中的一个或多个特性以使得将信息编码在该信号中的方式被设置或者改变。作为示例而非限制,通信媒体包括诸如是声学、RF、红外线和其它无线媒体这样的无线媒体。实施例也针对这样的通信媒体。
如上面指出的,计算机程序和模块(包括应用程序1032和其它程序模块1034)可以被存储在硬盘、磁盘、光盘、ROM或者RAM上。这样的计算机程序也可以经由网络接口1050、串行端口接口1042或者任何其它的接口类型被接收。这样的计算机程序在被应用执行或者加载时使系统1000能够实施本文中讨论的本发明的实施例的特征。相应地,这样的计算机程序表示系统1000的控制器。
实施例还针对包括被存储在任何计算机可用介质上的软件的计算机程序产品。这样的软件当在一个或多个数据处理设备中被执行时导致数据处理设备如本文中描述的那样操作。本发明的实施例使用现在或者未来已知的任何计算机可用或者计算机可读介质。计算机可读介质的示例包括但不限于诸如是RAM、硬盘驱动器、软盘、CD ROM、DVD ROM、压缩盘、磁带、磁性存储设备、光学存储设备、MEM、基于纳米技术的存储设备等的存储器设备和存储结构。
在替换的实施方案中,系统1000可以被实施为硬件逻辑/电气电路或者固件。根据另外的实施例,这些构件中的一个或多个构件可以用片上系统(SoC)被实施。SoC可以包括集成电路芯片,集成电路芯片包括处理器(例如,微控制器、微处理器、数字信号处理器(DSP)等)、存储器、一个或多个通信接口和/或用于执行其功能的另外的电路和/或嵌入式固件中的一项或多项。
V. 附加的示例性实施例
在本文中描述了一种设备。所述设备包括用户接口和基于用户认证的批准逻辑。用户接口可操作来向用户呈现信息和从其接收输入。基于用户认证的批准逻辑可操作来通过不安全信道从另一个设备接收会话ID,以及响应于至少从另一设备接收会话ID执行以下操作:向身份提供器发送会话ID;从身份提供器接收第一用户可观察的信息或者其标识符和安全性挑战,第一用户可观察的信息与被所述另一设备呈现给用户的第二用户可观察的信息具有用户可辨别的关系;经由用户接口向用户呈现第一用户可观察的信息;以及至少基于经由用户接口从用户接收的输入,生成对安全性挑战的响应并且向身份提供器传送对安全性挑战的响应,对安全性挑战的响应指示所述另一设备对于由身份提供器进行的基于用户认证的批准的适合性。
在前述设备的实施例中,基于用户认证的批准逻辑可操作来通过以下各项中的一项从所述另一设备接收会话ID:局域网;IEEE 802.11网络;蓝牙®微微网;以及近场通信会话。
在前述设备的另一个实施例中,会话ID包括密码安全随机数或者密码安全伪随机数。
在前述设备的又另一个实施例中,第一用户可观察的信息与第二用户可观察的信息相同。
在前述设备的再另一个实施例中,第一用户可观察的信息和第二用户可观察的信息中的一项或多项包括适于以以下形式中的至少一种形式向用户呈现的信息:可观看的形式;可听的形式;以及触摸可感知的形式。
在前述设备的另外的实施例中,第一用户可观察的信息和第二用户可观察的信息中的一项或多项表示:图像;字;或者字母数字代码。
在前述设备的再另外的实施例中,基于用户认证的批准逻辑可操作来至少基于由用户经由用户接口输入的密码生成对安全性挑战的响应。
在前述设备的另一个实施例中,基于用户认证的批准逻辑可操作来响应于经由用户接口从用户接收对于所述另一设备将被批准的指示,自动地生成对安全性挑战的响应。
在前述设备的又另一个实施例中,所述另一设备是可穿戴计算设备;或者嵌入式计算设备中的一项。
还在本文中描述了一种计算机程序产品。所述计算机程序产品包括具有记录在其上的计算机程序逻辑的计算机可读存储器,所述计算机程序逻辑在被至少一个处理器执行时导致该至少一个处理器执行用于获得对第一设备的基于用户认证的批准的方法。所述方法包括:向身份提供器发送请求;从身份提供器接收包括会话ID和第一用户可观察的信息或者其标识符的响应;向用户呈现第一用户可观察的信息;以及通过不安全信道向第二设备发送会话ID,会话ID可以被第二设备用于从身份提供器获得第二用户可观察的信息或者其标识符和安全性挑战,第二用户可观察的信息与第一用户可观察的信息具有用户可辨别的关系,第二设备可操作来向用户呈现第二用户可观察的信息,以及至少基于经由第二设备的用户接口从用户接收的输入生成用于向身份提供器传送的对安全性挑战的响应,对安全性挑战的响应指示第一设备对于由身份提供器进行的基于用户认证的批准的适合性。
在前述计算机程序产品的一个实施例中,不安全信道包括以下各项中的一项:局域网;IEEE 802.11网络;蓝牙®微微网;以及近场通信会话。
在前述计算机程序产品的另一个实施例中,第一用户可观察的信息与第二用户可观察的信息相同。
在前述计算机程序产品的又另一个实施例中,第一用户可观察的信息和第二用户可观察的信息中的一项或多项包括适于以以下各种形式中的至少一种形式向用户呈现的信息:可观看的形式;可听的形式;以及触摸可感知的形式。
还在本文中描述了一种用于由身份提供器基于用户认证对第一设备进行批准的方法,身份提供器被实施在一个或多个计算机上。所述方法包括:从第一设备接收请求;响应于从第一设备接收请求,向第一设备发送会话ID和第一用户可观察的信息或者其标识符,第一用户可观察的信息适于被第一设备呈现给用户;从第二设备接收会话ID;响应于从第二设备接收会话ID,向第二设备发送第二用户可观察的信息或者其标识符和安全性挑战,第二用户可观察的信息与第一用户可观察的信息具有用户可辨别的关系,并且适于被第二设备呈现给用户;从第二设备接收对安全性挑战的响应;确定对安全性挑战的响应是否包括有效响应;以及,响应于至少确定对安全性挑战的响应包括有效响应,批准第一设备。
在前述方法的一个实施例中,会话ID包括密码安全随机数或者密码安全伪随机数,并且所述方法进一步包括:生成密码安全随机数或者密码安全伪随机数。
在前述方法的另一个实施例中,第一用户可观察的信息与第二用户可观察的信息相同。
在前述方法的又另一个实施例中,第一用户可观察的信息和第二用户可观察的信息中的一项或多项包括适于以以下各种形式中的至少一种形式向用户呈现的信息:可观看的形式;可听的形式;以及触摸可感知的形式。
在前述方法的再另一个实施例中,第一用户可观察的信息和第二用户可观察的信息中的一项或多项表示:图像;字;或者字母数字代码。
在前述方法的另外的实施例中,向第二设备发送安全性挑战包括:向第二设备发送对于至少密码的请求。
在前述方法的再另外的实施例中,通过安全信道执行与第一和第二设备的通信。
VI. 结论
尽管已在上面描述了各种实施例,但应当理解,它们已仅作为示例而非限制被呈现。对于相关领域的技术人员将明显的是,可以在其中作出形式和细节上的各种改变,而不脱离本发明的精神和范围。因此,本发明的广度和范围不应当受上面描述的示例性实施例中的任一个示例性实施例的限制,而应当仅根据下面的权利要求以及它们的等同物被定义。
Claims (20)
1.一种设备,包括:
处理电路,被配置为执行:
用户接口,其可操作以向用户呈现信息和从其接收输入;以及
基于用户认证的批准逻辑,其可操作以从通过无线信道传输会话ID的另一设备接收所述会话ID,并且响应于至少从所述另一设备接收所述会话ID执行以下:
向身份提供器发送所述会话ID;
在向所述身份提供器发送所述会话ID之后,从所述身份提供器接收第一用户可观察的信息或者所述第一用户可观察的信息的标识符和安全性挑战,所述第一用户可观察的信息与第二用户可观察的信息具有用户可辨别的关系,所述第二用户可观察的信息由所述另一设备从所述身份提供器接收、并且在所述基于用户认证的批准逻辑接收到对所述安全性挑战的响应之前被呈现给所述另一设备的用户;
在接收到对所述安全性挑战的响应之前,经由所述用户接口向所述用户呈现所述第一用户可观察的信息;以及
至少基于经由所述用户接口从所述用户接收的输入,接收对所述安全性挑战的响应并且向所述身份提供器传送对所述安全性挑战的所述响应,对所述安全性挑战的所述响应指示所述另一设备对于由所述身份提供器进行的基于用户认证的批准的适合性。
2.根据权利要求1所述的设备,其中,所述基于用户认证的批准逻辑可操作来通过以下各项中的一项从所述另一设备接收所述会话ID:
局域网;
IEEE 802.11网络;
近场通信会话。
3.根据权利要求1所述的设备,其中,所述会话ID包括密码安全随机数或者密码安全伪随机数。
4.根据权利要求1所述的设备,其中,所述第一用户可观察的信息与所述第二用户可观察的信息相同。
5.根据权利要求1所述的设备,其中,所述第一用户可观察的信息和所述第二用户可观察的信息中的一项或多项包括适于以以下形式中的至少一种形式向所述用户呈现的信息:
可观看的形式;
可听的形式;以及
触摸可感知的形式。
6.根据权利要求1所述的设备,其中,所述第一用户可观察的信息和所述第二用户可观察的信息中的一项或多项表示:
图像;
字;或者
字母数字代码。
7.根据权利要求1所述的设备,其中,所述基于用户认证的批准逻辑可操作来通过至少接收由所述用户经由所述用户接口输入的密码来接收对所述安全性挑战的所述响应。
8.根据权利要求1所述的设备,其中,所述基于用户认证的批准逻辑可操作来响应于经由所述用户接口从所述用户接收所述另一设备将被批准的指示,自动地生成对所述安全性挑战的所述响应。
9.根据权利要求1所述的设备,其中,所述另一设备是以下各项中的一项:
可穿戴计算设备;或者
嵌入式计算设备。
10.一种计算机可读存储介质,所述计算机可读存储介质具有记录在其上的计算机程序逻辑,所述计算机程序逻辑在被第一设备的至少一个处理器执行时导致该至少一个处理器执行用于获得对所述第一设备的基于用户认证的批准的方法,所述方法包括:
向身份提供器发送请求;
从所述身份提供器接收包括会话ID和第一用户可观察的信息或者所述第一用户可观察的信息的标识符的响应;
在第二设备接收到对安全性挑战的响应之前,向用户呈现所述第一用户可观察的信息;以及
通过无线信道向所述第二设备发送会话ID,所述会话ID可以被所述第二设备用于从所述身份提供器获得第二用户可观察的信息或者所述第二用户可观察的信息的标识符和安全性挑战,所述第二用户可观察的信息与所述第一用户可观察的信息具有用户可辨别的关系,所述第二设备可操作来在接收到对所述安全性挑战的响应之前向所述用户呈现所述第二用户可观察的信息,以及至少基于经由所述第二设备的用户接口从所述用户接收的输入来接收用于向所述身份提供器传送的对所述安全性挑战的响应,对所述安全性挑战的所述响应指示所述第一设备对于由所述身份提供器进行的基于用户认证的批准的适合性。
11.根据权利要求10所述的计算机可读存储介质,其中所述无线信道包括以下中的一项:
局域网;
IEEE 802.11网络;
近场通信会话。
12.根据权利要求10所述的计算机可读存储介质,其中第一用户可观察的信息与第二用户可观察的信息相同。
13.根据权利要求10所述的计算机可读存储介质,其中第一用户可观察的信息和第二用户可观察的信息中的一项或多项包括适于以以下形式中的至少一种形式向用户呈现的信息:
可观看的形式;
可听的形式;以及
触摸可感知的形式。
14.一种用于由身份提供器基于用户认证对第一设备进行批准的方法,所述身份提供器被实施在一个或多个计算机上,所述方法包括:
从所述第一设备接收请求;
响应于从所述第一设备接收所述请求,向所述第一设备发送会话ID和第一用户可观察的信息或者所述第一用户可观察的信息的标识符,所述第一用户可观察的信息适于在第二设备接收到对安全性挑战的响应之前由所述第一设备向用户呈现;
从所述第二设备接收所述会话ID;
响应于从所述第二设备接收所述会话ID,向所述第二设备发送第二用户可观察的信息或者所述第二用户可观察的信息的标识符和所述安全性挑战,所述第二用户可观察的信息与所述第一用户可观察的信息具有用户可辨别的关系,并且适于在接收到安全性挑战的响应之前由所述第二设备向所述用户呈现;
从所述第二设备接收对所述安全性挑战的响应;
确定对所述安全性挑战的所述响应是否包括有效响应;以及
响应于至少确定对所述安全性挑战的所述响应包括有效响应,批准所述第一设备。
15.根据权利要求14所述的方法,其中,所述会话ID包括密码安全随机数或者密码安全伪随机数,并且其中,所述方法进一步包括:
生成所述密码安全随机数或者所述密码安全伪随机数。
16.根据权利要求14所述的方法,其中,所述第一用户可观察的信息与所述第二用户可观察的信息之间的所述用户可辨别的关系由于所述用户在所述第一用户可观察的信息与所述第二用户可观察的信息之间创建关联而存在。
17.根据权利要求14所述的方法,其中,所述第一用户可观察的信息和所述第二用户可观察的信息中的一项或多项包括适于以以下形式中的至少一种形式向所述用户呈现的信息:
可观看的形式;
可听的形式;以及
触摸可感知的形式。
18.根据权利要求14所述的方法,其中,所述第一用户可观察的信息和所述第二用户可观察的信息中的一项或多项表示:
图像;
字;或者
字母数字代码。
19.根据权利要求14所述的方法,其中,向所述第二设备发送所述安全性挑战包括:
向所述第二设备发送对于至少密码的请求。
20.根据权利要求14所述的方法,其中与第一和第二设备的通信通过安全信道被执行。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/553708 | 2014-11-25 | ||
| US14/553,708 US9706401B2 (en) | 2014-11-25 | 2014-11-25 | User-authentication-based approval of a first device via communication with a second device |
| PCT/US2015/060778 WO2016085683A1 (en) | 2014-11-25 | 2015-11-16 | User-authentication-based approval of a first device via communication with a second device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107079031A CN107079031A (zh) | 2017-08-18 |
| CN107079031B true CN107079031B (zh) | 2020-12-18 |
Family
ID=54705869
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580064166.2A Active CN107079031B (zh) | 2014-11-25 | 2015-11-16 | 经由与第二设备的通信对第一设备的基于用户认证的批准 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9706401B2 (zh) |
| EP (1) | EP3225008B1 (zh) |
| CN (1) | CN107079031B (zh) |
| WO (1) | WO2016085683A1 (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10218700B2 (en) * | 2015-02-23 | 2019-02-26 | Ca, Inc. | Authorizations for computing devices to access a protected resource |
| JP7053039B2 (ja) * | 2015-08-12 | 2022-04-12 | ヘイヴンテック プロプライエタリー リミテッド | デバイス認証システム |
| US10305891B2 (en) * | 2016-05-12 | 2019-05-28 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
| US10091194B2 (en) | 2016-05-12 | 2018-10-02 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
| CN108259164B (zh) * | 2016-12-29 | 2021-01-15 | 华为技术有限公司 | 一种物联网设备的身份认证方法及设备 |
| US20180212958A1 (en) * | 2017-01-26 | 2018-07-26 | Teltech Systems, Inc. | Two Factor Authentication Using SMS |
| US10749875B2 (en) | 2018-06-28 | 2020-08-18 | Microsoft Technology Licensing, Llc | Security configuration lifecycle account protection for minors |
| EP3657750B1 (de) * | 2018-11-21 | 2023-01-11 | TeamViewer Germany GmbH | Verfahren zur authentifizierung einer datenbrille in einem datennetz |
| US11316849B1 (en) * | 2019-04-04 | 2022-04-26 | United Services Automobile Association (Usaa) | Mutual authentication system |
| CN111787131B (zh) * | 2020-06-24 | 2023-02-21 | 百度在线网络技术(北京)有限公司 | Id生成方法和电子设备 |
| US11641665B2 (en) | 2020-09-09 | 2023-05-02 | Self Financial, Inc. | Resource utilization retrieval and modification |
| US11470037B2 (en) | 2020-09-09 | 2022-10-11 | Self Financial, Inc. | Navigation pathway generation |
| US20220075877A1 (en) * | 2020-09-09 | 2022-03-10 | Self Financial, Inc. | Interface and system for updating isolated repositories |
| US11475010B2 (en) | 2020-09-09 | 2022-10-18 | Self Financial, Inc. | Asynchronous database caching |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010030130A2 (ko) * | 2008-09-10 | 2010-03-18 | 소프트캠프(주) | 입력정보 보안방법 |
| CN102314731A (zh) * | 2010-07-06 | 2012-01-11 | 中国银联股份有限公司 | 移动支付方法和用于实现该移动支付方法的设备 |
| CN103636162A (zh) * | 2011-06-28 | 2014-03-12 | 阿尔卡特朗讯公司 | 经由两个通信设备的认证系统 |
| CN103853951A (zh) * | 2014-04-01 | 2014-06-11 | 北京金山安全软件有限公司 | 一种在移动终端中进行登陆的方法及系统 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1566938A1 (en) | 2004-02-18 | 2005-08-24 | Sony International (Europe) GmbH | Device registration in a wireless multi-hop ad-hoc network |
| US9137012B2 (en) * | 2006-02-03 | 2015-09-15 | Emc Corporation | Wireless authentication methods and apparatus |
| EP1987627B1 (en) * | 2006-02-03 | 2016-11-16 | Mideye AB | A system, an arrangement and a method for end user authentication |
| CN101179373A (zh) * | 2006-11-08 | 2008-05-14 | 许丰 | 可视智能密码钥匙 |
| KR100915589B1 (ko) * | 2007-07-12 | 2009-09-07 | 엔에이치엔비즈니스플랫폼 주식회사 | 보안 인증 시스템 및 방법 |
| US20090063850A1 (en) * | 2007-08-29 | 2009-03-05 | Sharwan Kumar Joram | Multiple factor user authentication system |
| CN100477753C (zh) * | 2007-08-29 | 2009-04-08 | 北京数码视讯科技股份有限公司 | 一种实现一户多端的数字电视终端系统及方法 |
| US20110219427A1 (en) | 2010-03-04 | 2011-09-08 | RSSBus, Inc. | Smart Device User Authentication |
| CN102413224B (zh) * | 2010-09-25 | 2015-02-04 | 中国移动通信有限公司 | 绑定、运行安全数码卡的方法、系统及设备 |
| US20120198531A1 (en) | 2011-01-31 | 2012-08-02 | Microsoft Corporation | Multi-device session pairing using a visual tag |
| US20130189925A1 (en) * | 2011-07-29 | 2013-07-25 | SIFTEO, Inc. | Pairing Wireless Device Using Multiple Modalities |
| EP2600319A1 (fr) | 2011-11-29 | 2013-06-05 | Gemalto SA | Système d'appairage entre un terminal et un élément de type eGo porté au poignet ou à la main d'un utilisateur et procédé correspondant |
| US8935777B2 (en) * | 2012-02-17 | 2015-01-13 | Ebay Inc. | Login using QR code |
| AU2013243768B2 (en) | 2012-04-01 | 2017-12-21 | Payfone, Inc. | Secure authentication in a multi-party system |
| US9485102B2 (en) | 2012-06-27 | 2016-11-01 | Intel Corporation | Techniques for user-validated close-range mutual authentication |
| GB201213277D0 (en) | 2012-07-26 | 2012-09-05 | Highgate Labs Ltd | Two device authentication mechanism |
| CN103888436B (zh) | 2012-12-20 | 2018-09-14 | 伊姆西公司 | 用户认证的方法和装置 |
| US9027085B2 (en) | 2012-12-22 | 2015-05-05 | John Scott Kula | Method, system and program product for secure authentication |
| US20140185808A1 (en) * | 2012-12-31 | 2014-07-03 | Cloud Star Corporation | Apparatus, systems, and methods for encryption key distribution |
| US20140282923A1 (en) | 2013-03-14 | 2014-09-18 | Motorola Mobility Llc | Device security utilizing continually changing qr codes |
| US9130929B2 (en) * | 2013-03-15 | 2015-09-08 | Aol Inc. | Systems and methods for using imaging to authenticate online users |
| SG2013038278A (en) | 2013-05-16 | 2014-12-30 | Fast And Safe Technology Private Ltd | Authentication device and method |
-
2014
- 2014-11-25 US US14/553,708 patent/US9706401B2/en active Active
-
2015
- 2015-11-16 WO PCT/US2015/060778 patent/WO2016085683A1/en active Application Filing
- 2015-11-16 CN CN201580064166.2A patent/CN107079031B/zh active Active
- 2015-11-16 EP EP15801605.5A patent/EP3225008B1/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010030130A2 (ko) * | 2008-09-10 | 2010-03-18 | 소프트캠프(주) | 입력정보 보안방법 |
| CN102314731A (zh) * | 2010-07-06 | 2012-01-11 | 中国银联股份有限公司 | 移动支付方法和用于实现该移动支付方法的设备 |
| CN103636162A (zh) * | 2011-06-28 | 2014-03-12 | 阿尔卡特朗讯公司 | 经由两个通信设备的认证系统 |
| CN103853951A (zh) * | 2014-04-01 | 2014-06-11 | 北京金山安全软件有限公司 | 一种在移动终端中进行登陆的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107079031A (zh) | 2017-08-18 |
| US9706401B2 (en) | 2017-07-11 |
| WO2016085683A1 (en) | 2016-06-02 |
| EP3225008A1 (en) | 2017-10-04 |
| EP3225008B1 (en) | 2020-02-05 |
| US20160150406A1 (en) | 2016-05-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107079031B (zh) | 经由与第二设备的通信对第一设备的基于用户认证的批准 | |
| CN110463161B (zh) | 用于访问受保护资源的口令状态机 | |
| CN108140082B (zh) | 使用非对称密钥的多因素用户认证框架 | |
| KR102395799B1 (ko) | 메신저 서비스를 제공하는 장치 및 방법 | |
| US10728222B2 (en) | System and method for providing vehicle information based on personal authentication and vehicle authentication | |
| KR102460459B1 (ko) | 전자 장치를 이용한 카드 서비스 방법 및 장치 | |
| CN107222485B (zh) | 一种授权方法以及相关设备 | |
| EP2809046B1 (en) | Associating distinct security modes with distinct wireless authenticators | |
| KR102441737B1 (ko) | 인증 방법 및 이를 지원하는 전자 장치 | |
| KR20180072389A (ko) | 액세서리에 대응하는 콘텐트를 제공하기 위한 방법 및 그 전자 장치 | |
| EP3276910B1 (en) | Bluetooth-based identity recognition method and device | |
| JP2020520009A (ja) | Botユーザのセキュアな認証 | |
| CN112313983B (zh) | 使用伴随设备的用户认证 | |
| KR102436509B1 (ko) | 임시 계정 정보를 제공하는 방법, 장치 및 시스템 | |
| WO2015055095A1 (en) | Identity authentication method and device and storage medium | |
| US20160103494A1 (en) | System and method for network configuration and behavior control by proximity enabled devices | |
| US20150281214A1 (en) | Information processing apparatus, information processing method, and recording medium | |
| KR20160132407A (ko) | 기계 판독 가능 코드를 사용한 장치 인증 및 페어링 방법 | |
| US20160294835A1 (en) | Initiating a Secure Action Via Physical Manipulation | |
| KR20200050813A (ko) | 생체 인증을 이용한 결제 방법 및 그 전자 장치 | |
| US10848972B2 (en) | Mobile device wireless restricted peripheral sessions | |
| CN104811304B (zh) | 身份验证方法及装置 | |
| US10652241B1 (en) | Dynamic and secure coupling between auxiliary devices and endpoint resources | |
| JP2015176317A (ja) | 情報処理装置、情報処理方法及びコンピュータプログラム | |
| CN104378202B (zh) | 一种信息处理方法、电子终端和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |