CN107276977A - 在两个装置之间使用临时私钥的系统和方法 - Google Patents

在两个装置之间使用临时私钥的系统和方法 Download PDF

Info

Publication number
CN107276977A
CN107276977A CN201710256551.8A CN201710256551A CN107276977A CN 107276977 A CN107276977 A CN 107276977A CN 201710256551 A CN201710256551 A CN 201710256551A CN 107276977 A CN107276977 A CN 107276977A
Authority
CN
China
Prior art keywords
access
user
personal
access token
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710256551.8A
Other languages
English (en)
Other versions
CN107276977B (zh
Inventor
保罗·萨克斯曼
J·莱斯利·福格尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Publication of CN107276977A publication Critical patent/CN107276977A/zh
Application granted granted Critical
Publication of CN107276977B publication Critical patent/CN107276977B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及在两个装置之间使用临时私钥的系统和方法。一种方法在与用户相关联的个人用户装置处执行。所述方法从共享的用户装置接收请求,所述请求寻求访问与所述用户相关联的个人信息。所述个人信息被存储在资源服务器处。所述方法从所述用户接收访问认证信息。所述方法然后向认证服务器发送访问认证信息,并且接收访问令牌。所述访问令牌授予对于所述个人信息的访问特权。所述方法向所述共享的用户装置发送所述访问令牌,由此允许在所述共享的用户装置上执行的应用使用所述访问令牌来检索所述个人信息的至少一部分。所述方法检测所述个人用户装置的物理移动,然后向认证服务器发送撤消与所述访问令牌相关联的访问特权的消息。

Description

在两个装置之间使用临时私钥的系统和方法
分案说明
本申请属于申请日为2013年7月18日的中国发明专利申请201380048031.8的分案申请。
技术领域
本公开一般地涉及个人用户信息的安全,并且更具体地涉及用于允许对在共享装置上的个人信息的有限访问的方法和系统。
背景技术
诸如移动电话的个人装置可以用于安全地访问个人信息。一旦已经认证了用户,则用户可以继续访问信息。因为人们一般保留他们的电话的实体占有,所以仅存在下述的有限风险:未经授权的用户获得对于被认证电话的访问,并且由此访问电话拥有者的个人信息。
然而,电话具有小的显示器和小的输入机制(例如键盘或“软”键盘),并且因此,电话可能不是用于访问个人信息的最佳装置。
另一方面,诸如具有机顶盒的电视机或台式计算机的一些共享装置更好地适合于观看内容。例如,在30英寸显示器上比在3.5英寸显示器上观看内容要容易得多。然而,在共享装置上的观看的容易产生不同的问题。一旦用户已经提供了用于访问个人信息的证书,则该共享装置可以继续提供对于个人信息的访问,即使当用户不再使用该共享装置时。即,共享装置的随后的用户可能访问第一用户的个人信息。
公开的实现方式可以利用各种认证协议,诸如OAuth 2.0认证协议。认证协议使得用户能够共享对于受限资源的访问,而不共享用户的初级证书。在一些实现方式中,该协议利用访问令牌,该访问令牌可以在时间上和/或范围上受限。虽然访问令牌消除了共享用户的证书的必要,但是诸如OAuth 2.0的认证协议不防止共享的装置在用户不再使用共享的装置后(访问令牌仍然有效)继续访问该用户的个人信息。
发明内容
所公开的实现方式解决上面的缺陷和与对于在共享装置上观看的个人信息的有限访问相关联的其他问题。
根据一些实现方式,一种计算机实现的方法在具有一个或多个处理器和存储器的个人用户装置处执行。所述存储器存储用于被所述一个或多个处理器执行的一个或多个程序。所述程序包括用于从与所述个人用户装置不同的共享的用户装置接收请求的指令。所述个人用户装置与用户相关联,并且所述请求寻求对于与所述用户相关联的个人信息的访问。所述个人信息被存储在资源服务器处,所述资源服务器与所述个人用户装置和所述共享的用户装置不同。所述程序进一步包括从所述用户接收访问认证信息的指令。所述程序也包括响应于从所述用户接收到所述访问认证信息的指令:所述指令向认证服务器发送所述访问认证信息,并且从所述认证服务器接收访问令牌。所述访问令牌授予对于与所述用户相关联的所述个人信息的访问特权。所述程序进一步包括向所述共享的用户装置发送所述访问令牌的指令,由此允许在所述共享的用户装置上执行的应用使用所述访问令牌来检索所述个人信息的至少一部分。所述程序包括检测所述个人用户装置的物理移动的指令,其中,所述移动满足预定义的运动标准。所述程序也包括响应于检测到所述物理移动的指令:所述指令向所述认证服务器发送撤消与所述访问令牌相关联的访问特权的消息。
根据一些实现方式,一种计算机实现的方法在具有一个或多个处理器和存储器的认证服务器处执行。所述存储器存储用于由所述一个或多个处理器执行的一个或多个程序。所述程序包括从共享的用户装置接收请求的指令。所述请求寻求对于与所述用户相关联的个人信息的访问。所述个人信息被存储在资源服务器处。所述程序还包括从个人用户装置接收访问认证信息的指令。所述程序进一步包括建立用于授予对于与所述用户相关联的所述个人信息的访问特权的访问令牌,并且向所述共享的用户装置提供所述访问令牌的指令。所述程序也包括从所述个人用户装置接收用于撤消与所述访问令牌相关联的访问特权的命令的指令。所述程序进一步包括从所述资源服务器接收验证请求的指令。所述验证请求包括所述访问令牌。所述程序包括确定已经撤消了与所述访问令牌相关联的访问特权的指令。所述程序也包括向所述资源服务器通知所述验证请求失败的指令,由此防止所述共享的用户装置对于所述个人信息的访问。
因此,提供了使得用户能够观看在共享装置上的个人信息但是限制或防止其他方访问该个人信息的方法和系统,
附图说明
为了更好地明白本发明的上述实现方式以及其另外的实现方式,应当结合下面的附图参考下面的实施例的说明,在附图中,相似的附图标号贯穿附图指示对应的部分。
图1图示了其中一些实现方式运行的示例性环境。
图2是根据一些实现方式的个人装置的框图。
图3是根据一些实现方式的共享装置的框图。
图4是根据一些实现方式的资源服务器计算机系统的框图。
图5是根据一些实现方式的证书服务器计算机系统的框图。
图6和7示意地图示根据一些实现方式的共享的用户装置获得个人用户信息的过程。
图8A-C提供了根据一些实现方式的、在个人用户装置处执行的用于向共享的用户装置提供对于个人用户信息的访问的过程的流程图。
图9A-B提供了根据一些实现方式的、在认证服务器处执行的用于向共享的用户装置提供对于个人用户信息的访问的过程的流程图。
现在详细参考实现方式,其示例被图示在附图中。在下面的详细说明中,阐述了多个具体细节,以便彻底理解本发明。然而,对于本领域内的普通技术人员显然的是,可以在没有这些具体细节的情况下实践本发明。
在在此的本发明的说明书中使用的术语仅用于描述具体实现方式的目的,并且不意图限制本发明。在本发明的说明书和所附的权利要求中使用的单数形式“一个”和“该”意图也包括复数形式,除非上下文清楚地另外指示。也可以理解,在此使用的词语“和/或”指的是并且涵盖相关联的列出项目中的一个或多个的任何一个和全部可能的组合。进一步可以理解,词语“包括”当在本说明书中使用时指定陈述的特征、步骤、操作、元件和/或组件的存在,而不排除一个或多个其他特征、步骤、操作、元件、组件和/或其组的存在或增加。
具体实施方式
如上所述,有益的是,从共享装置108访问个人信息114,但是限制那个访问,使得其他用户不被允许访问那个个人信息114。例如,用户可能希望观看电子邮件或个人照片,或者与社交媒体应用交互。这样的行为更容易在具有大的观看区域的共享装置108上而不是在诸如蜂窝电话的小袖珍装置上被执行。如下更详细所述,所公开的实现方式可以通过利用个人用户装置106的特性来提供对于在共享的共享装置108上的个人信息114的受限访问。通过监视个人用户装置106对于共享装置108的接近,当移动个人装置106时,可以拒绝对于个人信息114的访问。即,所公开的实现方式通过检测个人装置106远离共享装置108的移动而识别用户110远离共享装置108的移动。
图1是图示一些实现方式的主要组件的框图。各个装置和服务器通过一个或多个网络112(诸如因特网)来进行通信。用户110操作个人用户装置106和共享的用户装置108。在一些实现方式中,个人用户装置106是移动电话,诸如运行ANDROIDTM操作系统的智能电话。在一些实现方式中,个人装置106是个人数字助理(PDA)、平板计算机、膝上型计算机、电子书阅读器或联网的数字媒体播放器。公共地,个人用户装置106小得足以被在口袋或钱包中携带。个人用户装置106通常被单个人管理。共享的用户装置108通常大于个人用户装置106。通常的共享的用户装置108是具有机顶盒的电视机(例如,GOOGLE电视机)或台式计算机。共享的用户装置108通常被两个或更多人使用。
诸如GMAILTM、GOOGLE+TM或TWITTERTM的软件应用118在共享装置108上执行。在一些实现方式中,软件应用118在web浏览器320内执行,并且在其他实现方式中,软件应用118独立于web浏览器320执行。(软件应用118也可以在个人用户装置106上执行,但是在个人用户装置106上执行软件应用118不产生由在此公开的实现方式解决的问题。)软件应用118利用与用户110相关联的某些个人信息114(例如电子邮件消息)。在资源服务器104处存储个人信息114。如下参考图6、7、8A-C和9A-B所述,与用户110相关联的个人信息114要求用于访问的认证。证书服务器102提供用于对于个人信息114的认证的访问的服务。通常,证书服务器102和资源服务器104是不同的服务器,但是在一些实现方式中,在单个服务器系统上实现证书服务器102和资源服务器104。在其他实现方式中,证书服务器102和资源服务器104是不同的服务器系统,但是共享公共的数据库服务器。证书服务器102在此也被称为“认证服务器”或“授权服务器”。
图2是图示根据一些公开的实现方式的、用户110利用来利用证书服务器102认证的个人装置106的框图。个人装置106通常包括:一个或多个处理单元(CPU)202,用于执行在存储器214中存储的模块、程序和/或指令,并且由此执行处理操作;一个或多个网络或其他通信接口204;存储器214;以及一条或多条通信总线212,用于互连这些组件。通信总线212可以包括互连和控制在系统组件之间的通信的电路(有时被称为芯片集)。个人装置106包括:用户界面206,其包括显示装置208;以及一个或多个输入装置或机制210。在一些实现方式中,该输入装置/机制包括键盘;在一些实现方式中,输入装置/机制包括“软”键盘,其根据需要被显示在显示装置208上,使得用户100能够“按下”在显示器208上出现的按键。在一些实现方式中,存储器214包括高速随机存取存储器,诸如DRAM、SRAM、DDR RAM或其他随机存取固态存储器装置。在一些实现方式中,存储器214包括非易失性存储器,诸如一个或多个磁盘存储装置、光盘存储装置、快闪存储器装置或其他非易失性固态存储装置。可选地,存储器214包括远离CPU 202的一个或多个存储装置,存储器214或替选地在存储器214内的非易失性存储器装置包括计算机可读存储介质。在一些实现方式中,存储器214或存储器214的计算机可读存储介质存储下面的程序、模块和数据结构或其子集:
·操作系统216,其包括用于处理各种基本系统服务并且用于执行硬件依赖任务的过程;
·通信模块218,其用于经由一个或多个网络接口204(有线或无线)和一个或多个通信网络112将个人装置106连接到其他计算机和装置,该一个或多个通信网络112例如是因特网、其他广域网、局域网和城域网等;
·web浏览器220(或其他客户端应用),其使得用户110能够通过网络112(诸如因特网)与远程计算机或装置进行通信;
·位置信息222,其识别相对于诸如共享装置108的另一个装置的个人装置106的绝对位置和/或个人装置106的位置;和/或其他信息,其可以用于识别个人装置106的移动。在一些实现方式中,位置信息222包括来自在个人装置106中包括的传感器的信息,该传感器例如是GPS硬件和软件、加速度计传感器或陀螺仪传感器。虽然陀螺仪或加速度计检测移动,但是它们可以与其他位置信息(例如GPS)相结合地用于识别位置。在一些实现方式中,位置信息222包括预定义的标准,该预定义的标准触发对于个人信息114的访问特权的撤消;
·位置模块224,其跟踪个人装置106的移动,并且确定移动何时满足预定义的运动标准;
·“永久”访问令牌226,个人装置106可以代替每次用户访问保护的信息时要求用户110输入访问证书来使用该“永久”访问令牌226。一些实现方式使用永久访问令牌226,但是不要求它们;
·认证模块228,其获取临时访问令牌322,并且向共享的用户装置108提供访问令牌322。如下参考图8A-C所述,访问令牌322使得共享装置108能够访问在资源服务器104处存储的个人用户信息114。当个人装置106的移动满足预定义的标准时,该认证模块也撤消访问令牌322的访问特权;
·访问扩展标准230,其指定何时可以扩展临时访问令牌322的有限持续时间。访问扩展标准230在此也被称为更新标准,并且与时间的扩展相关。(一些实现方式也提供了访问范围的扩展。)如下参考图8B所述,访问扩展标准230可以包括从用户接收更新的访问认证信息。例如,可能要求用户110重新输入用户名和密码。在一些实现方式中,访问扩展标准包括确定个人用户装置106在共享的用户装置108的更新半径内。在一些实现方式中,该访问扩展标准包括确定个人用户装置还没有移动超过预定义的更新距离;以及
·位置/运动传感器232,其直接地或间接地测量个人装置106的位置。在一些个人装置106中的传感器包括陀螺仪、加速度计和GPS装置。
图3是图示用户110利用来使用/访问/播放各种软件应用118的共享的用户装置108的框图。例如,软件应用118可以提供对于数字内容、电子邮件、在线社交媒体、交互游戏等的访问。共享装置108通常包括:一个或多个处理单元(CPU)302,用于执行在存储器314中存储的模块、程序和/或指令,并且由此执行处理操作;一个或多个网络或其他通信接口304;存储器314;以及一条或多条通信总线312,用于互连这些组件。通信总线312可以包括互连和控制在系统组件之间的通信的电路(有时被称为芯片集)。共享装置108可以包括:用户接口306,其包括零或更多的显示装置308A(例如,屏幕或监视器)和零或更多的输入装置或机制310A。在一些实现方式中,该输入装置/机制310B包括键盘。一些实现方式包括外部显示装置308B,诸如电视机(例如当共享装置108是机顶盒时)。一些实现方式包括外部输入装置310B,诸如手持遥控器。在一些实现方式中,存储器314包括高速随机存取存储器,诸如DRAM、SRAM、DDR RAM或其他随机存取固态存储器装置。在一些实现方式中,存储器314包括非易失性存储器,诸如一个或多个磁盘存储装置、光盘存储装置、快闪存储器装置或其他非易失性固态存储装置。可选地,存储器314包括远离CPU302的一个或多个存储装置。存储器314或替选地在存储器314内的非易失性存储器装置包括计算机可读存储介质。在一些实现方式中,存储器314或存储器314的计算机可读存储介质存储下面的程序、模块和数据结构或其子集:
·操作系统316,其包括用于处理各种基本系统服务并且用于执行硬件依赖任务的过程;
·通信模块318,其用于经由一个或多个网络接口304(有线或无线)和一个或多个通信网络112将共享装置108连接到其他计算机和装置,该一个或多个通信网络112例如是因特网、其他广域网、局域网和城域网等;
·web浏览器320(或其他客户端应用),其使得用户110能够通过网络112(诸如因特网)与远程计算机或装置进行通信;
·一个或多个软件应用118,其可以在web浏览器320内执行或可以独立于web浏览器320执行;以及
·临时访问令牌322,其用于访问在资源服务器104处存储的个人信息114。当存在利用个人信息114的多个软件应用118时,一些实现方式对于每一个软件应用118要求不同的临时访问令牌322,但是其他实现方式允许两个或更多的软件应用118使用单个临时访问令牌322。临时访问令牌322通常在持续时间和范围两者上受限,如下更详细所述。当装置(诸如共享装置108)寻求对于个人信息114的访问时,该装置包括具有请求的访问令牌322。以这种方式,验证对于个人信息114的每一个访问。
图4是图示根据一些实现方式的、存储由一个或多个软件应用118使用的信息的资源服务器104的框图。资源服务器104通常包括:一个或多个处理单元(CPU)402,用于执行在存储器414中存储的模块、程序和/或指令,并且由此执行处理操作;一个或多个网络或其他通信接口404;存储器414;以及一条或多条通信总线412,用于互连这些组件。通信总线412可以包括互连和控制在系统组件之间的通信的电路(有时被称为芯片集)。在一些实现方式中,资源服务器104包括:用户接口406,其可以包括显示装置408和一个或多个输入装置410。在一些实现方式中,存储器414包括高速随机存取存储器,诸如DRAM、SRAM、DDR RAM或其他随机存取固态存储器装置。在一些实现方式中,存储器414包括非易失性存储器,诸如一个或多个磁盘存储装置、光盘存储装置、快闪存储器装置或其他非易失性固态存储装置。在一些实现方式中,存储器414包括远离CPU 202的一个或多个存储装置。存储器414或替选地在存储器414内的非易失性存储器装置包括计算机可读存储介质。在一些实现方式中,存储器414或存储器414的计算机可读存储介质存储下面的程序、模块和数据结构或其子集:
·操作系统416,其包括用于处理各种基本系统服务并且用于执行硬件依赖任务的过程;
·通信模块418,其用于经由一个或多个网络接口404(有线或无线)和一个或多个通信网络112将资源服务器104连接到其他计算机,该一个或多个通信网络112例如是因特网、其他广域网、局域网和城域网等;
·数据库或文件服务器420,其存储由一个或多个软件应用118使用的数据和其他资源。该存储的信息包括用户110的个人用户信息114。诸如用户1信息114-1和用户2信息114-2的用于个体用户的个人信息可以被用户存储在独立的文件中,或者可以被合并。用于个体用户的个人信息114-1可以包括电子邮件消息114-1A、个人图片114-1B、联系人列表114-1C、人口统计信息114-1D或由软件应用118使用的其他个人信息114-1。与物理存储机制无关地,基于个体用户来限制对于个人信息114的访问。如下参考图5-7更详细所述,对于个人信息114的访问要求认证;
·web服务器422,其响应于web请求,该web请求包括检索个人信息114的请求;以及
·访问模块424,其从数据库420检索数据(诸如个人信息114),并且通过联系证书服务器102来验证每一个请求的访问特权。下面参考图6和7来更详细地描述该过程。
图5是图示根据一些实现方式的证书服务器102的框图,证书服务器102确定是否应当允许或拒绝对于个人信息114的访问。“证书服务器”在此也被称为认证服务器或授权服务器。证书服务器102通常包括一个或多个处理单元(CPU)502,用于执行在存储器514中存储的模块、程序和/或指令,并且由此执行处理操作;一个或多个网络或其他通信接口504;存储器514;以及一条或多条通信总线512,用于互连这些组件。通信总线512可以包括互连和控制在系统组件之间的通信的电路(有时被称为芯片集)。在一些实现方式中,证书服务器102包括:用户接口506,其可以包括显示装置508和一个或多个输入装置510。在一些实现方式中,存储器514包括高速随机存取存储器,诸如DRAM、SRAM、DDR RAM或其他随机存取固态存储器装置。在一些实现方式中,存储器514包括非易失性存储器,诸如一个或多个磁盘存储装置、光盘存储装置、快闪存储器装置或其他非易失性固态存储装置。可选地,存储器514包括远离CPU 502的一个或多个存储装置。存储器514或替选地在存储器514内的非易失性存储器装置包括计算机可读存储介质。在一些实现方式中,存储器514或存储器54的计算机可读存储介质存储下面的程序、模块和数据结构或其子集:
·操作系统516,其包括用于处理各种基本系统服务并且用于执行硬件依赖任务的过程;
·通信模块518,其用于经由一个或多个网络接口504(有线或无线)和一个或多个通信网络112将证书服务器102连接到其他计算机,该一个或多个通信网络112例如是因特网、其他广域网、局域网和城域网等;
·用户数据库520,其存储关于具有在资源服务器104处存储的个人信息114的用户110的信息。所存储的关于用户的信息可以包括用户名、用户的唯一标识符(例如用户的ID或电子邮件地址)、加密密码、在资源服务器104上存储的用户110的个人信息的列表和/或与用户相关联的访问令牌的列表。用户数据库520也可以包括用户行为的记录;
·令牌数据库522,其存储关于访问令牌的信息。访问令牌提供访问诸如个人信息114的被保护数据的替代手段。在一些实现方式中,用户可以利用用户ID和密码来认证,并且接收“永久”令牌226,其用于对于个人信息114(或其他被保护资源)的后续访问。在一些实现方式中,个人用户装置106在初始认证后使用永久访问令牌226。以这种方式,用户110不必每次要求对于个人信息114的访问时“登录”。然而,对于共享的用户装置108,永久令牌226可以是有问题的,提供对于一个用户的个人信息114的其他用户访问。临时访问令牌322类似于“永久”令牌226,但是固有地具有有限的使用期限(其在一些情况下是可扩展的)。在永久令牌226和临时令牌322之间的另一个共同的差别是一组访问特权。永久令牌226通常具有对于用户110的所有个人信息114的全部访问(例如等同于提供用户名和密码),而临时令牌322可以访问与用户110对应的个人信息114的有限部分。令牌数据库522包含关于访问令牌的信息,包括令牌的类型、访问特权、期满日期/时间和对应的用户。在一些实现方式中,令牌数据库522和用户数据库520被合并到单个数据库内,该单个数据库具有用于跟踪关于用户和令牌的信息的各种表。
·令牌分配模块524,其建立访问令牌并且将适当的访问特权与那些令牌相关联。在一些情况下,用户110可以使用在请求中的永久令牌226来建立临时令牌322。参考例如下面的图6;以及
·验证模块526,其接收令牌,并且识别当前与令牌相关联的访问特权(如果有)。在一些实现方式中,验证模块返回是/否值,用于指示令牌是否有效。在其他实现方式中,验证模块返回与令牌相关联的一组特权。如果令牌无效或期满,则该组特区将为空的。
在图2-5中的上述的元素中的每一个可以被存储在前述的存储器装置的一个或多个中,并且对应于用于执行如上所述的功能的一组指令。上述的模块或程序(即指令集)不必被实现为独立的软件程序、过程或模块,并且因此可以在各种实现方式中组合或重新布置这些模块的各个子集。在一些实现方式中,存储器214、314、414和514可以存储如上所述的模块和数据结构的子集。而且,存储器214、314、414和514可以存储上面未描述的另外的模块或数据结构。
虽然图2-5图示了个人装置、共享装置、资源服务器和证书服务器,但是这些附图意图更多地作为可以在一个或多个计算机集合中存在的各种特征的功能描述,而不是在此所述的实现方式的结构示意。实际上,并且如本领域内的普通技术人员认识到的,分别示出的项目可以被组合,并且可以分离一些项目。例如,可以在单独的计算机系统上实现在图5中分别示出的一些项目,并且可以通过一个或多个计算机系统来实现单个项目。用于实现这些特征的计算机的实际数量和如何在它们之间分配特征将从一个实现方式到另一个不同,并且可以部分地取决于系统在峰值使用时间段期间以及在平均使用时间段期间必须处理的数据业务的量。
图6和7图示了根据一些实现方式的、共享的用户装置108从资源服务器104获得个人用户信息114的两个示例性过程。在这些附图中,用户110与在共享的装置108上执行的软件应用118交互,并且软件应用118寻求对于在资源服务器104处存储的个人信息114的访问。例如,软件应用118可以是电子邮件应用,并且该电子邮件应用必须访问在资源服务器104上的用户的电子邮件(个人信息114)。
通常的软件应用将提示用户110输入用户名和密码,并且然后直接地进行到个人信息114。对于该典型手段的一个问题是共享装置108可以继续访问个人信息114,即使在用户110不再使用共享的装置108后。共享装置108的其他用户可以因此访问第一用户的私有个人信息114。图6和7图示了使用临时访问令牌322从共享装置108来访问个人信息114的替代方式。这些图示了实现方式相对于不经意地向其他用户给予对于第一用户的个人信息114的访问具有多个安全保护。
在图6中所示的实现方式中,在共享装置108处的用户110使用软件应用118,该软件应用118利用与用户110相关联的某些个人信息114。例如,社交媒体网站。在资源服务器104处存储个人信息114。软件应用118需要访问令牌322以便检索个人信息114。如果共享装置108没有已经具有用于软件应用118的有效访问令牌322(例如,根本没有现有的访问令牌322、访问令牌322期满等),则软件应用118请求访问。在一些实现方式中,共享装置108呈现可以授予对于个人信息114的访问的“授权”用户/装置的列表。在图6中的实现方式中,共享装置108请求(602)来自个人用户装置106的访问。在一些实现方式中,通过网络112来发送请求;在其他实现方式中,通过诸如蓝牙的直接通信来发送请求。
在一些实现方式中,个人装置106的用户接口206提示用户110输入认证信息,并且用户110使用个人装置106的用户接口206(例如,键盘或软键盘210)来输入认证信息。在其他实现方式中,在向个人用户装置106发送请求之前,共享装置108的用户接口306向用户110提示认证信息。在这些实现方式中,该认证信息可以被包括在请求中或被独立地发送。
在接收到请求后,个人用户装置106向证书服务器102提供(604)用户证书。在一些实现方式中,用户110使用个人用户装置106的用户接口206来供应证书(例如用户ID和密码)。在一些实现方式中,在个人用户装置106上存储永久访问令牌226,并且向证书服务器发送(604)永久令牌。在使用永久访问令牌226的一些实现方式中,提示用户110确认应当授予访问特权。在一些实现方式中,被发送到(604)证书服务器102的证书也包括要授予的访问特权的规格(specification)(例如,在时间上的限制和在范围上的限制)。
当证书服务器102从个人用户装置106接收到证书时,证书服务器102建立具有用于访问个人信息114的适当特权的临时访问令牌322。该临时访问令牌322具有期满日期/时间,其可以被提供证书的用户110明确地指定,或者可以被分配默认值(例如,在建立后的1小时或30分钟)。(在一些实现方式中,可以当期满时间接近时或自动地或通过用户确认来扩展期满日期/时间。)在一些实现方式中,临时访问令牌322与单个特定软件应用118和由那个软件应用118使用的个人数据114相关联。在其他实现方式中,临时访问令牌322与一组软件应用118相关联,并且该组包括一个或多个应用118(例如,当由两个或更多的应用118来共享个人信息114时)。
在建立临时访问令牌322后,证书服务器102向个人装置106发送(606)访问令牌322。个人装置106然后向共享装置108转发(608)访问令牌322。共享装置108在存储器314中存储临时访问令牌322以用于随后的使用。
在共享装置108上执行的软件应用118从资源服务器104请求(610)个人信息114的一部分。该请求包括临时访问令牌322。该请求也指定所寻求的个人信息114的一部分。在接收到对于具有访问令牌322的信息的请求后,资源服务器104通过从证书服务器102请求(612)临时访问令牌322的验证来确定如何响应。证书服务器102在其令牌数据库522中查找临时访问令牌322。几个不同的情况可以出现,包括:
·在令牌数据库522中未找到临时访问令牌322;
·临时访问令牌322在数据库522中存在,但是令牌322已经
期满;
·临时访问令牌322在数据库522中存在,但是已经撤消了所有特权;
·临时访问令牌322在数据库522中存在,但是所寻求的信息114的特定部分在与访问令牌322相关联的特权的范围之外;或者
·临时访问令牌322在数据库522中存在,令牌没有期满,还没有撤消令牌的特权,并且所请求的信息落在所授予的特权的范围内。
一些实现方式除了如上具体所述的那些之外也提供了另外的方案,并且一些实现方式具有更少的方案(例如,一些实现方式通过删除来自数据库522的记录或通过将令牌的期满日期设置为较早时间而实现特权的撤消)。
证书服务器102然后确认(614)或拒绝(614)对于个人信息114的访问。在一些实现方式中,响应是简单的是/否,用于指示是否应当允许对于个人信息114的访问。在一些实现方式中,证书服务器102在其对于资源服务器104的响应中包括错误消息或令牌查找的特定结果,使得资源服务器104能够当拒绝访问时提供更详细的错误消息。
根据来自证书服务器102的确定,资源服务器104或者向在共享装置108处的软件应用118发送(616)所请求的个人信息或者向在共享装置108处的软件应用118发送(616′)错误消息。在接收到个人信息114或错误消息时,软件应用118进行到使用信息114或向用户110显示错误消息。在一些实现方式中,某些错误消息(诸如期满的访问令牌322)的接收触发更新过程。在其他实现方式中,用户110可以根据需要手动地启动更新过程。在图6中未示出该更新过程。
用于临时访问令牌322的更新过程因为各种原因而开始,该各种原因包括:
·响应于用户对于保护的信息114的请求(例如,当已知访问令牌322期满时);
·响应于错误消息,如上面在步骤616′中所述;或者
·当访问令牌322的剩余的使用期限小于阈值水平(例如5分钟或0分钟)时,自动地。
在一些实现方式中,更新过程与初始访问请求近乎相同。用户110必须提供证书,证书服务器102验证该证书,并且返回更新(或新)的访问令牌322,个人装置106将其转发到共享装置108。在一些实现方式中,令牌的更新产生新的访问令牌322;在其他实现方式中,访问令牌322的更新更新了现有访问令牌322的期满日期。
在一些实现方式中,更新过程根据各种因素是手动的或自动的。一种因素是现有的访问令牌322的状态。如果已经撤消了访问特权,则更新不是自动的。用户110必须重新输入证书或以某种方式确认应当授予访问。另一种因素是个人装置106是否在适当的更新半径内。在一些实现方式中,从个人装置106的初始位置测量更新半径(当首次授予访问时);在其他实现方式中,从共享的用户装置108的位置测量该更新半径。以任何一种方式,都存在预定义的更新半径,并且如果个人装置106在那个半径内,则自动更新访问令牌322。实现方式通常将组合这两个因素。因此,如果个人装置106在更新半径内,并且还没有撤消访问特权,则自动更新访问令牌322。否则,用户110必须提供访问证书或其他确认,以便更新访问令牌322。一些实现方式利用用于确定何时自动更新临时访问令牌322的不同或另外的因素。
除了向临时访问令牌322施加的时间和范围限制,在图6中所示的实现方式也基于个人装置106的物理位置来施加访问限制。用户110通常保持个人装置106的拥有,以便用户110移动,个人装置106也移动。如果个人装置106移动超过阈值距离,则用户110可能不再访问共享的用户装置108,并且因此共享的用户装置108将不再访问用户110的个人信息114。
本领域内的技术人员可以认识到,存在测量个人装置106的移动的许多方式。在个人装置106处的位置模块224利用各种位置信息222和/或位置/运动传感器232来确定个人装置106的移动是否满足某个标准。在一些实现方式中,个人装置106具有GPS装置232或确定其相对于地球的位置的其他装置。在这些实现方式中,用于测量移动的一种方式是当从证书服务器102接收临时访问令牌322时,识别个人装置106的位置。当个人装置106相对于地球的位置大于距原始位置的阈值距离时,个人装置106已经移动(618),因此个人装置106撤消(620)使用访问令牌322的进一步访问。除了或取代用于测量个人装置106的移动的GPS之外,一些实现方式也使用加速度计232和/或陀螺仪232。
在其他实现方式中,位置模块224测量个人装置相对于共享的用户装置108或相对于无线路由器或无线接入点的移动。在一些实现方式中,个人装置106和共享装置108两者具有蓝牙能力,并且在装置之间的信号的强度与在该两个装置之间的距离相关。一些实现方式使用蓝牙信号的强度作为移动的测量。类似地,一些实现方式使用在个人装置106处的WiFi信号(例如,802.11)的强度作为移动的测量。来自无线路由器或无线接入点的WiFi信号用于网络连接(到网络112)以及识别个人装置106的移动两者。本领域内的技术人员可以认识到,由个人装置106或在个人装置106中包括的其他组件接收的其他无线信号可以被位置模块224用于测量移动。发起访问令牌撤消的阈值距离被称为撤消半径。
位置模块224可以使用如上所述的各种技术中的任何一种来检测(618)超过阈值量的个人用户装置106的移动。该阈值量可以被设置为几英尺(例如,3英尺)或更大的距离(例如,15英尺)。在一些实现方式中,用户110设置阈值移动,但是其他实现方式自动设置或固定移动的阈值量。当移动超过(618)阈值量时,个人装置106撤消(620)与访问令牌对应的访问特权。在一些实现方式中,当满足预定义的运动标准时,撤消是自动的;在其他实现方式中,用户接口206提示用户110确认或拒绝撤消。向证书服务器102发送(620)该撤消。一旦证书服务器102接收到该撤消,则证书服务器102将拒绝(614)响应于要验证(612)的所有随后的请求的访问。共享装置108因此不能获取个人信息114的任何另外的部分。
通常,更新半径小于撤消半径。一旦个人装置106已经移动到撤消半径之外,则撤消特权,并且如果用户110将个人装置移动回撤消半径内,则不自动恢复特权。另一方面,个人装置106在更新半径外的移动仅意味着将不在该时间更新访问令牌。一些实现方式试图更新访问令牌322多次,因此如果个人装置106在随后的更新尝试之一期间返回在更新半径内,则将更新访问令牌322。本领域内的技术人员认识到,当通过信号强度来测量移动时,通过信号强度而不是距离单位来测量更新半径和撤消半径,或者执行转换以将信号强度测量转换为距离。
因为撤消过程和更新过程是独立的特征,所以一些实现方式提供这些特征中的仅一个。例如,一些实现方式基于个人装置106的移动而提供特权的自动撤消,而不提供任何更新过程(或者仅提供手动更新过程)。其他实现方式提供更新过程,但是不基于个人装置106的移动而提供特权的自动撤消。
在图7中所示的实现方式类似于图6的实现方式,但是不包含在个人装置106和共享的用户装置108之间的直接通信。如在图6中那样,在共享装置108处的用户110在使用软件应用118,软件应用118利用与用户110相关联的某些个人信息114。在资源服务器104处存储个人信息114。软件应用118需要访问令牌322以便检索个人信息114。如果共享装置108未具有用于软件应用118的有效的访问令牌322(例如,根本没有现有的访问令牌322,访问令牌322期满等),则软件应用118请求访问。在图7的实现方式中,共享装置108请求(702)使用网络112的来自资源服务器104的访问。
如在图6中所示,一些实现方式提示用户110在共享装置108处输入访问认证信息,并且包括具有请求的认证信息。在这些实现方式中,不执行步骤(3)和(4)(706、708)。
在接收到请求后,资源服务器将该请求向证书服务器102转发(704)。证书服务器继而请求(706)来自个人装置106的访问证书。通常,用户110使用个人用户装置106的用户接口206来输入证书(例如,用户ID和密码),并且个人装置106向证书服务器提供(708)该证书。
在一些实现方式中,在个人用户装置106处存储永久访问令牌226,并且向证书服务器发送(708)发送永久令牌。在使用永久访问令牌226的一些实现方式中,提示用户110确认应当授予访问特权。在一些实现方式中,向证书服务器102提供(708)的证书也包括要授予的访问特权的规格(例如,在时间上的限制和在范围上的限制)。
当证书服务器102从个人用户装置106接收到证书时,证书服务器102建立具有访问个人信息114的适当特权的临时访问令牌322。该临时访问令牌322具有期满日期/时间,其可以被提供证书的用户110明确地指定,或者可以被分配默认值(例如1小时或30分钟)。(在一些实现方式中,可以当期满时间接近时或自动地或通过用户确认来扩展期满日期/时间。参考相对于图6的上面的说明。)在一些实现方式中,临时访问令牌322与单个特定软件应用118和由那个软件应用118使用的个人数据114相关联。在其他实现方式中,临时访问令牌322与一组软件应用118相关联,并且该组包括一个或多个应用118(例如当由两个或更多的应用118来共享个人信息114时)。
在建立临时访问令牌322后,证书服务器102向资源服务器104发送(710)访问令牌322,并且资源服务器104将访问令牌322转发(712)到共享装置108。共享装置108在存储器314中存储该临时访问令牌322以用于随后使用。
图7的剩余部分对应于在上面的图6中图示的过程。具体地说,在图7中的步骤714至718对应于在图6中的步骤610至614,在图7中的两个替选步骤720/720`对应于在图6中的两个替选步骤161/616`,并且在图7中的步骤722-724对应于在图6中的步骤618和620。另外,在图6中公开的用于访问令牌322的更新或撤消的技术同样适用于在图7中所示的实现方式。
图8A-C提供了由在个人用户装置106处的认证模块228执行的过程800的流程图。根据一些实现方式,过程800提供了共享的用户装置108对于个人用户信息114的访问。在具有一个或多个处理器和存储器的个人用户装置106执行(802)该过程800。该存储器存储要由该一个或多个处理器执行的一个或多个程序。在一些实现方式中,个人用户装置106是(804)蜂窝电话(例如智能电话,诸如运行ANDROIDTM操作系统的电话)。
过程800从与个人用户装置106不同的共享的用户装置108接收(806)请求。该个人用户装置与特定用户110相关联(808)。该请求寻求(810)对于与用户110相关联并且被存储(810)在资源服务器104处的个人信息114的访问。在一些实现方式中,共享的用户装置108是(812)连接到电视机的机顶盒(例如运行ANDROIDTM操作系统的GOOGLE电视机)。在其他实现方式中,共享的用户装置108是台式计算机或膝上型计算机。在一些实现方式中,过程800使用个人用户装置106的用户接口206向用户110通知(814)访问请求。个人装置106从用户110接收(816)访问认证信息,或者从个人装置106检索访问认证信息(例如用户ID和密码或永久访问令牌)。在一些实现方式中,在来自共享的用户装置108的请求中包括(818)从用户110接收的访问认证信息。即,用户在共享装置108上输入访问认证信息,并且在请求中包括那个信息。在其他实现方式中,通过用户利用个人用户装置106的用户接口来输入(820)从用户110接收的访问认证信息。
响应于(822)接收到访问认证信息,过程800执行几个操作,包括:向证书服务器102(也称为证书服务器)发送(824)访问认证信息;并且从证书服务器102接收(826)访问令牌322。
在一些实现方式中,与访问令牌322相关联的访问特权限制(828)令牌322允许对于个人信息114的访问的时间段。在一些实现方式中,该受限的时间段是(830)一小时或更少(例如,1小时、30分钟或10分钟)。在一些实现方式中,当用户提供访问认证信息时由用户110指定(832)该受限的时间段。
在限制(828)令牌322允许对于个人信息114的访问的时间段的一些实现方式中,过程800基于预定义的扩展标准来扩展(834)受限的时间段。在一些实现方式中,当剩余的时间小于阈值(例如,10分钟、0分钟、原始时间段的一半)时,扩展受限的时间段。在一些实现方式中,预定义的扩展标准包括(836)从用户110接收更新的访问认证信息。在一些实现方式中,预定义的扩展标准包括(838)确定个人用户装置106在共享的用户装置的更新半径内。在一些实现方式中,该预定义的扩展标准包括(840)确定个人用户装置106还没有移动超过预定义的更新距离。在一些实现方式中,该预定义的扩展标准包括确定还没有撤消用于访问令牌322的访问特权。
在一些实现方式中,与访问令牌322相关联的访问特权允许(842)对于个人信息114的受限部分的访问。在一些实现方式中,当用户110提供访问认证信息时,用户110指定(844)受限部分。
响应于(822)接收到访问认证信息,过程800也向共享的用户装置108发送(846)访问令牌322。访问令牌322使得(846)在共享的用户装置108上执行的软件应用118能够检索在资源服务器104处存储的用户的个人信息114的部分。在上面相对于图6和7更详细地描述了这一点。共享的用户装置108在其对于个人信息114的请求中包括其访问令牌322。在一些实现方式中,在个人用户装置106向共享的用户装置108发送访问令牌322之前,在共享的用户装置108上执行的软件应用118不被允许(848)访问个人信息114。在一些实现方式中,在受限的时间段期满后,在共享的用户装置108上执行的软件应用118不被允许(850)对于个人信息114的任何另外部分的访问。
如果用户110未移动个人用户装置106(或移动小于指定阈值),则用户110能够继续从共享的用户装置108访问个人信息114,直到访问令牌322期满。在个人用户装置106处的位置模块224监视个人用户装置106的移动,并且在一些情况下检测(852)满足预定义的运动标准的个人用户装置106的物理移动。在一些实现方式中,该预定义的运动标准包括(854)使得移动大于预定义的距离(例如相对于地球)。在一些实现方式中,该预定义的运动标准包括(856)使得个人用户装置106相对于共享的用户装置108移动超过预定义的距离。上面参考图6和7更详细地描述了测量移动的技术。响应于检测到物理移动,过程800向认证服务器102发送(858)撤消与访问令牌322相关联的访问特权的消息。在一些实现方式中,用户110必须确认访问特权的撤消。在一些实现方式中,在个人用户装置106向认证服务器102发送撤消与访问令牌322相关联的访问特权的消息后,在共享的用户装置108上执行的应用118不被允许(860)对于个人信息114的任何另外的部分的访问。
图9A-B提供了由在认证服务器102处的验证模块526执行的过程900的流程图。根据一些实现方式,过程900提供了共享的用户装置108对于个人用户信息114的访问。认证服务器在此也被称为证书服务器或认证服务器。在具有一个或多个处理器和存储器的认证服务器102处执行(902)执行过程900。过程900从共享的用户装置108接收(904)请求,该请求寻求对于与用户110相关联并且被存储在资源服务器104处的个人信息114的访问。如图6和7中所示,可以通过个人装置106或通过资源服务器104来路由对于访问的请求。在一些实现方式中,从共享的用户装置108向认证服务器102直接发送对于访问的请求。
认证服务器随后从个人用户装置106接收(906)访问认证信息(例如用户ID和密码或永久访问令牌226)。在一些实现方式中,个人用户装置是(908)蜂窝电话,诸如运行ANDROIDTM操作系统的智能电话。
认证服务器102建立(910)访问令牌322,访问令牌322授予访问与用户110相关联的个人信息114的特权。在一些实现方式中,认证服务器限制(912)访问令牌322允许对于个人信息114的访问的时间段。在一些实现方式中,该受限的时间段是(914)是一小时或更少(例如,精确地一小时、或30分钟或15分钟)。在一些实现方式中,认证服务器从个人用户装置106接收(916)受限时间段的规格。在一些实现方式中,认证服务器102随后基于预定义的扩展标准来扩展(918)受限的时间段。在一些实现方式中,该预定义的扩展标准包括(920)从个人用户装置106接收更新的访问认证信息。参考图6提供了更新过程和扩展标准的更多细节。
在一些实现方式中,与访问令牌322相关联的访问特权允许(922)对于个人信息114的有限部分的访问。在一些实现方式中,认证服务器从个人用户装置106接收(924)受限部分的规格。认证服务器102向共享的用户装置提供(926)访问令牌322。如图6和7中所示,可以通过个人装置106或资源服务器104向共享的用户装置108提供(926)访问令牌322。在一些实现方式中,认证服务器102直接地向共享装置108提供(926)访问令牌322。
一旦建立了临时访问令牌322,则它保持有效,直到它期满或撤消了其特权。在从个人装置106接收到(928)用于撤消与访问令牌相关联的访问特权的命令之前,在一些实现方式中,认证服务器从资源服务器104接收(930)验证请求,其包括访问令牌322。在一些实现方式中,认证服务器102确定(932)还没有撤消与访问令牌322相关联的访问特权,并且向资源服务器104通知(934)验证已经通过,这允许共享的用户装置108对于个人信息114的访问。
在一些实现方式中,过程900对于来自共享的用户装置108的访问来自资源服务器104的个人信息114的每一个请求执行(936)下面的步骤:i)从资源服务器接收(938)验证请求,其包括访问令牌322;ii)确定(940)与访问令牌322相关联的访问特权对于所请求的个人信息114是否当前有效;并且iii)向资源服务器通知(942)该确定,由此允许或防止共享的用户装置108对于个人信息114的访问。存在为什么拒绝访问的多个原因,包括:i)所提供的访问令牌322不在令牌数据库522中存在;ii)访问令牌322已经期满;iii)访问令牌已撤消其特权;或者iv)所寻求的特定个人信息114在与访问令牌322相关联的特权的范围之外。一些实现方式也实现安全特征,以防止未意图的装置使用访问令牌322(例如利用共享的用户装置108的唯一标识符或其散列值)。
认证服务器102从个人装置106接收(944)撤消与访问令牌322相关联的访问特权的命令。在接收到撤消命令后,认证服务器102从资源服务器104接收(946)验证请求,其包括访问令牌322。认证服务器确定(948)与访问令牌322相关联的访问特权已经被撤消,并且向资源服务器104通知(950)验证请求失败。该通知由此防止(950)由共享的用户装置108对于个人信息114的访问。
为了说明的目的,已经参考特定实现方式描述了上面的说明。然而,上面的说明性讨论不意图是穷尽性的或将本发明限于所公开的精确的形式。许多修改和变化考虑到上面的教导是可能的。实现方式被选择和描述以便最佳地解释本发明的原理和其实际应用,以由此使得其他本领域内的技术人员最佳地利用本发明和具有适合于所考虑的具体用途的各种修改的各种实现方式。

Claims (17)

1.一种在两个装置之间使用临时私钥的方法,包括:
从共享用户装置接收请求,所述请求寻求对于与用户相关联并且被存储在资源服务器处的个人信息的访问;
从个人用户装置接收访问认证信息;
建立访问令牌,所述访问令牌授予对于与所述用户相关联的所述个人信息的访问特权;
向所述共享用户装置提供所述访问令牌;
从所述个人用户装置接收用于撤消与所述访问令牌相关联的访问特权的命令;
从所述资源服务器接收验证请求,所述验证请求包括所述访问令牌;
确定已经撤消了与所述访问令牌相关联的访问特权;以及
向所述资源服务器通知所述验证请求失败,由此防止所述共享用户装置对于所述个人信息的访问。
2.根据权利要求1所述的方法,进一步包括在从所述个人用户装置接收到用于撤消与所述访问令牌相关联的访问特权的命令之前:
从所述资源服务器接收验证请求,所述验证请求包括所述访问令牌;
确定还没有撤消与所述访问令牌相关联的访问特权;以及
向所述资源服务器通知所述验证请求通过,由此允许所述共享用户装置对于所述个人信息的访问。
3.根据权利要求1所述的方法,其中,与所述访问令牌相关联的所述访问特权允许对于所述个人信息的访问达有限的时间段。
4.根据权利要求3所述的方法,进一步包括从所述个人用户装置接收所述有限的时间段的规格。
5.根据权利要求3所述的方法,进一步包括基于预定义的扩展标准来扩展所述有限的时间段。
6.根据权利要求5所述的方法,其中,所述预定义的扩展标准包括从所述个人用户装置接收更新的访问认证信息。
7.根据权利要求1所述的方法,其中,所述个人用户装置是蜂窝电话。
8.根据权利要求1所述的方法,进一步包括,对于来自所述共享用户装置的用于访问来自所述资源服务器的个人信息的每一个请求:
从所述资源服务器接收验证请求,所述验证请求包括所述访问令牌;
确定与所述访问令牌相关联的访问特权是否当前有效;以及
向所述资源服务器通知所述确定,由此允许或防止所述共享用户装置对于所述个人信息的访问。
9.一种认证服务器系统,包括:
一个或多个处理器;
存储器;以及
用于由所述一个或多个处理器执行的、在所述存储器中存储的一个或多个程序,所述一个或多个程序包括可执行指令,用于:
从共享用户装置接收请求,所述请求寻求对于与用户相关联并且被存储在资源服务器处的个人信息的访问;
从个人用户装置接收访问认证信息;
建立访问令牌,所述访问令牌授予对于与所述用户相关联的所述个人信息的访问特权;
向所述共享用户装置提供所述访问令牌;
从所述个人用户装置接收用于撤消与所述访问令牌相关联的访问特权的命令;
从所述资源服务器接收验证请求,所述验证请求包括所述访问令牌;
确定已经撤消了与所述访问令牌相关联的所述访问特权;以及
向所述资源服务器通知所述验证请求失败,由此防止所述共享用户装置对于所述个人信息的访问。
10.根据权利要求9所述的认证服务器系统,所述一个或多个程序进一步包括被配置为在从所述个人用户装置接收到用于撤消与所述访问令牌相关联的访问特权的命令之前执行的指令,所述指令用于:
从所述资源服务器接收验证请求,所述验证请求包括所述访问令牌;
确定还没有撤消与所述访问令牌相关联的访问特权;以及
向所述资源服务器通知所述验证请求通过,由此允许所述共享用户装置对于所述个人信息的访问。
11.根据权利要求9所述的认证服务器系统,其中,与所述访问令牌相关联的所述访问特权允许对于所述个人信息的访问达有限的时间段。
12.根据权利要求11所述的认证服务器系统,所述一个或多个程序进一步包括用于从所述个人用户装置接收所述有限的时间段的规格的指令。
13.根据权利要求11所述的认证服务器系统,所述一个或多个程序进一步包括用于基于预定义的扩展标准来扩展所述有限的时间段的指令。
14.根据权利要求13所述的认证服务器系统,其中,所述预定义的扩展标准包括从所述个人用户装置接收更新的访问认证信息。
15.根据权利要求9所述的认证服务器系统,其中,所述个人用户装置是蜂窝电话。
16.根据权利要求9所述的认证服务器系统,所述一个或多个程序进一步包括被配置为对于来自所述共享用户装置的用于访问来自所述资源服务器的个人信息的每一个请求执行的指令,所述指令用于:
从所述资源服务器接收验证请求,所述验证请求包括所述访问令牌;
确定与所述访问令牌相关联的访问特权是否当前有效;以及
向所述资源服务器通知所述确定,由此允许或防止所述共享用户装置对于所述个人信息的访问。
17.一种非暂时性计算机可读存储介质,用于存储一个或多个程序,所述一个或多个程序被配置为由认证服务器计算机系统执行,所述认证服务器计算机系统具有一个或多个处理器和用于存储用于由所述一个或多个处理器执行的一个或多个程序的存储器,所述一个或多个程序包括可执行指令,用于:
从共享用户装置接收请求,所述请求寻求对于与用户相关联并且被存储在资源服务器处的个人信息的访问;
从个人用户装置接收访问认证信息;
建立访问令牌,所述访问令牌授予对于与所述用户相关联的所述个人信息的访问特权;
向所述共享用户装置提供所述访问令牌;
从所述个人用户装置接收用于撤消与所述访问令牌相关联的访问特权的命令;
从所述资源服务器接收验证请求,所述验证请求包括所述访问令牌;
确定已经撤消了与所述访问令牌相关联的访问特权;以及
向所述资源服务器通知所述验证请求失败,由此防止所述共享用户装置对于所述个人信息的访问。
CN201710256551.8A 2012-07-20 2013-07-18 在两个装置之间使用临时私钥的系统和方法 Active CN107276977B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/554,928 2012-07-20
US13/554,928 US9256722B2 (en) 2012-07-20 2012-07-20 Systems and methods of using a temporary private key between two devices
CN201380048031.8A CN104620250B (zh) 2012-07-20 2013-07-18 在两个装置之间使用临时私钥的系统和方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201380048031.8A Division CN104620250B (zh) 2012-07-20 2013-07-18 在两个装置之间使用临时私钥的系统和方法

Publications (2)

Publication Number Publication Date
CN107276977A true CN107276977A (zh) 2017-10-20
CN107276977B CN107276977B (zh) 2020-09-08

Family

ID=48917697

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201710256551.8A Active CN107276977B (zh) 2012-07-20 2013-07-18 在两个装置之间使用临时私钥的系统和方法
CN201380048031.8A Active CN104620250B (zh) 2012-07-20 2013-07-18 在两个装置之间使用临时私钥的系统和方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201380048031.8A Active CN104620250B (zh) 2012-07-20 2013-07-18 在两个装置之间使用临时私钥的系统和方法

Country Status (5)

Country Link
US (2) US9256722B2 (zh)
EP (2) EP2875464B1 (zh)
KR (2) KR101737488B1 (zh)
CN (2) CN107276977B (zh)
WO (1) WO2014015147A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109767018A (zh) * 2017-11-08 2019-05-17 现代自动车株式会社 提供车辆共享服务的设备、包括该设备的系统及其方法
CN111869179A (zh) * 2018-08-13 2020-10-30 谷歌有限责任公司 基于位置访问受控访问资源
WO2022147763A1 (zh) * 2021-01-08 2022-07-14 Oppo广东移动通信有限公司 访问令牌处理方法、设备和云端

Families Citing this family (110)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10867298B1 (en) 2008-10-31 2020-12-15 Wells Fargo Bank, N.A. Payment vehicle with on and off function
US20100114768A1 (en) 2008-10-31 2010-05-06 Wachovia Corporation Payment vehicle with on and off function
CN104169935B (zh) * 2012-03-28 2017-10-31 索尼公司 信息处理装置、信息处理系统、信息处理方法
CN103716283B (zh) * 2012-09-29 2017-03-08 国际商业机器公司 用于在流程中处理调用的Web服务的OAuth认证的方法和系统
US9038142B2 (en) * 2013-02-05 2015-05-19 Google Inc. Authorization flow initiation using short-term wireless communication
US8904539B2 (en) * 2013-03-07 2014-12-02 Ricoh Co., Ltd. Location constraints for template access and form activities
US9356918B2 (en) * 2013-03-13 2016-05-31 Google Inc. Identification delegation for devices
US9979438B2 (en) * 2013-06-07 2018-05-22 Apple Inc. Controlling a media device using a mobile device
KR102142143B1 (ko) * 2013-08-20 2020-08-06 삼성전자주식회사 전자장치 공유시스템, 장치 및 방법
US9397990B1 (en) * 2013-11-08 2016-07-19 Google Inc. Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud
US9560449B2 (en) 2014-01-17 2017-01-31 Sony Corporation Distributed wireless speaker system
US9288597B2 (en) 2014-01-20 2016-03-15 Sony Corporation Distributed wireless speaker system with automatic configuration determination when new speakers are added
US9426551B2 (en) 2014-01-24 2016-08-23 Sony Corporation Distributed wireless speaker system with light show
US9866986B2 (en) 2014-01-24 2018-01-09 Sony Corporation Audio speaker system with virtual music performance
US9369801B2 (en) 2014-01-24 2016-06-14 Sony Corporation Wireless speaker system with noise cancelation
US20150222485A1 (en) * 2014-02-06 2015-08-06 Sas Institute Inc. Dynamic server configuration and initialization
KR102318279B1 (ko) 2014-02-18 2021-10-28 삼성전자주식회사 무선 통신 시스템에서 인증 정보 송수신 방법 및 장치
WO2015126398A1 (en) * 2014-02-20 2015-08-27 Empire Technology Development, Llc Device authentication in ad-hoc networks
US9232335B2 (en) 2014-03-06 2016-01-05 Sony Corporation Networked speaker system with follow me
US9483997B2 (en) 2014-03-10 2016-11-01 Sony Corporation Proximity detection of candidate companion display device in same room as primary display using infrared signaling
EP2925037A1 (en) * 2014-03-28 2015-09-30 Nxp B.V. NFC-based authorization of access to data from a third party device
KR101934321B1 (ko) 2014-04-09 2019-01-02 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 센서 데이터 이상 검출기
US9696414B2 (en) 2014-05-15 2017-07-04 Sony Corporation Proximity detection of candidate companion display device in same room as primary display using sonic signaling
US10070291B2 (en) 2014-05-19 2018-09-04 Sony Corporation Proximity detection of candidate companion display device in same room as primary display using low energy bluetooth
US20150339663A1 (en) * 2014-05-21 2015-11-26 Mastercard International Incorporated Methods of payment token lifecycle management on a mobile device
GB2527285B (en) * 2014-06-11 2021-05-26 Advanced Risc Mach Ltd Resource access control using a validation token
CN105224121B (zh) * 2014-07-03 2017-12-12 深圳Tcl新技术有限公司 密码输入方法及系统
US10834592B2 (en) 2014-07-17 2020-11-10 Cirrent, Inc. Securing credential distribution
US9942756B2 (en) 2014-07-17 2018-04-10 Cirrent, Inc. Securing credential distribution
US10356651B2 (en) 2014-07-17 2019-07-16 Cirrent, Inc. Controlled connection of a wireless device to a network
US10154409B2 (en) 2014-07-17 2018-12-11 Cirrent, Inc. Binding an authenticated user with a wireless device
US10623956B2 (en) 2014-08-21 2020-04-14 Hewlett-Packard Development Company, L.P. Request for network credential
US9762676B2 (en) * 2014-09-26 2017-09-12 Intel Corporation Hardware resource access systems and techniques
US9473504B2 (en) * 2014-10-15 2016-10-18 Ayla Networks, Inc. Role based access control for connected consumer devices
US9413756B1 (en) * 2014-12-09 2016-08-09 Google Inc. Systems and methods using short-lived proxy token values obfuscating a stable long-lived token value
US11429975B1 (en) 2015-03-27 2022-08-30 Wells Fargo Bank, N.A. Token management system
US9350556B1 (en) 2015-04-20 2016-05-24 Google Inc. Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key
US11252190B1 (en) * 2015-04-23 2022-02-15 Amazon Technologies, Inc. Limited access policy bypass
US10044718B2 (en) 2015-05-27 2018-08-07 Google Llc Authorization in a distributed system using access control lists and groups
US11503031B1 (en) * 2015-05-29 2022-11-15 Pure Storage, Inc. Storage array access control from cloud-based user authorization and authentication
US11170364B1 (en) 2015-07-31 2021-11-09 Wells Fargo Bank, N.A. Connected payment card systems and methods
CN105141589B (zh) * 2015-08-05 2018-06-22 北京思特奇信息技术股份有限公司 一种多实例的token共享与维护的方法及系统
CN105243318B (zh) * 2015-08-28 2020-07-31 小米科技有限责任公司 确定用户设备控制权限的方法、装置及终端设备
US9864854B2 (en) * 2015-10-06 2018-01-09 Verizon Patent And Licensing Inc. User authentication based on physical movement information
WO2017081639A2 (en) 2015-11-10 2017-05-18 Levin Pavel Method and system for network communication
JP6719894B2 (ja) * 2015-12-04 2020-07-08 キヤノン株式会社 機能デバイス、制御装置
WO2017131892A1 (en) 2016-01-29 2017-08-03 Google Inc. Device access revocation
US9693168B1 (en) 2016-02-08 2017-06-27 Sony Corporation Ultrasonic speaker assembly for audio spatial effect
US9826332B2 (en) 2016-02-09 2017-11-21 Sony Corporation Centralized wireless speaker system
US9826330B2 (en) 2016-03-14 2017-11-21 Sony Corporation Gimbal-mounted linear ultrasonic speaker assembly
US9693169B1 (en) 2016-03-16 2017-06-27 Sony Corporation Ultrasonic speaker assembly with ultrasonic room mapping
US11615402B1 (en) 2016-07-01 2023-03-28 Wells Fargo Bank, N.A. Access control tower
US11386223B1 (en) 2016-07-01 2022-07-12 Wells Fargo Bank, N.A. Access control tower
US11886611B1 (en) 2016-07-01 2024-01-30 Wells Fargo Bank, N.A. Control tower for virtual rewards currency
US11935020B1 (en) 2016-07-01 2024-03-19 Wells Fargo Bank, N.A. Control tower for prospective transactions
US10992679B1 (en) 2016-07-01 2021-04-27 Wells Fargo Bank, N.A. Access control tower
CN106878002B (zh) * 2016-07-05 2020-04-24 阿里巴巴集团控股有限公司 一种权限撤销方法及装置
US9794724B1 (en) 2016-07-20 2017-10-17 Sony Corporation Ultrasonic speaker assembly using variable carrier frequency to establish third dimension sound locating
US10348718B2 (en) 2016-09-14 2019-07-09 Oracle International Corporation Sharing credentials and other secret data in collaborative environment in a secure manner
US20180082053A1 (en) * 2016-09-21 2018-03-22 Telefonaktiebolaget Lm Ericsson (Publ) Application token through associated container
US9924286B1 (en) 2016-10-20 2018-03-20 Sony Corporation Networked speaker system with LED-based wireless communication and personal identifier
US9854362B1 (en) 2016-10-20 2017-12-26 Sony Corporation Networked speaker system with LED-based wireless communication and object detection
US10075791B2 (en) 2016-10-20 2018-09-11 Sony Corporation Networked speaker system with LED-based wireless communication and room mapping
EP3340562A1 (en) * 2016-12-23 2018-06-27 Vestel Elektronik Sanayi ve Ticaret A.S. Secure access verification method and secure access verification system
US10541992B2 (en) * 2016-12-30 2020-01-21 Google Llc Two-token based authenticated session management
US10462124B2 (en) 2016-12-30 2019-10-29 Google Llc Authenticated session management across multiple electronic devices using a virtual session manager
WO2018170504A1 (en) * 2017-03-17 2018-09-20 Labyrinth Research Llc Unified control of privacy-impacting devices
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
JP6857065B2 (ja) * 2017-03-27 2021-04-14 キヤノン株式会社 認証認可サーバー、リソースサーバー、認証認可システム、認証方法及びプログラム
US10936711B2 (en) * 2017-04-18 2021-03-02 Intuit Inc. Systems and mechanism to control the lifetime of an access token dynamically based on access token use
US11556936B1 (en) 2017-04-25 2023-01-17 Wells Fargo Bank, N.A. System and method for card control
US10645079B2 (en) * 2017-05-12 2020-05-05 Bank Of America Corporation Preventing unauthorized access to secured information systems using authentication tokens and multi-device authentication prompts
US11062388B1 (en) 2017-07-06 2021-07-13 Wells Fargo Bank, N.A Data control tower
IL253632B (en) * 2017-07-24 2022-01-01 Sensepass Ltd A system and method for distance-based secure communication over an unsecured communication channel
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
CN109818915B (zh) * 2017-11-22 2022-01-28 中移(杭州)信息技术有限公司 一种信息处理方法及装置、服务器及可读存储介质
US10635829B1 (en) 2017-11-28 2020-04-28 Intuit Inc. Method and system for granting permissions to parties within an organization
JP2021515767A (ja) 2018-03-07 2021-06-24 バイエル・アクチエンゲゼルシヤフト Erk5阻害剤の同定及び使用
US10838739B2 (en) 2018-04-19 2020-11-17 Circle Media Labs Inc. Network-connected computing devices and methods for executing operating programs in RAM memory
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
KR102575718B1 (ko) * 2018-09-05 2023-09-07 현대자동차주식회사 차량의 위치 정보 공유 장치 및 서버
US11645375B2 (en) * 2018-09-27 2023-05-09 International Business Machines Corporation Authorization of resource access
US10623859B1 (en) 2018-10-23 2020-04-14 Sony Corporation Networked speaker system with combined power over Ethernet and audio delivery
KR20200067015A (ko) 2018-12-03 2020-06-11 현대자동차주식회사 차량의 위치 정보 공유 장치 및 서버
US20220046023A1 (en) * 2018-12-11 2022-02-10 Visa International Service Association Trust tokens for resource access
US11546366B2 (en) * 2019-05-08 2023-01-03 International Business Machines Corporation Threat information sharing based on blockchain
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
CN110276197A (zh) * 2019-06-25 2019-09-24 四川长虹电器股份有限公司 基于共享黑名单撤销jwt令牌实时生效的方法
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
CN111783044B (zh) * 2019-10-25 2024-03-01 北京沃东天骏信息技术有限公司 一种共享登录态的方法和装置
US11451536B2 (en) * 2019-10-25 2022-09-20 Nymi Inc. User state monitoring system and method using motion, and a user access authorization system and method employing same
US11405425B2 (en) * 2019-10-31 2022-08-02 Microsoft Technology Licensing, Llc Rich token rejection system
US20210136114A1 (en) * 2019-10-31 2021-05-06 Microsoft Technology Licensing, Llc Instant policy enforcement
CN110784474B (zh) * 2019-10-31 2022-02-22 思必驰科技股份有限公司 嵌入式产品接入授权方法和装置
US11411736B2 (en) 2020-03-03 2022-08-09 Microsoft Technology Licensing, Llc Automatic renewal of a verifiable claim
CN113553600B (zh) * 2020-04-23 2024-06-14 花瓣云科技有限公司 资源获取方法、系统、服务器及存储介质
US11438328B2 (en) * 2020-04-30 2022-09-06 Vmware, Inc. Methods and apparatus to refresh a token
FR3110262B1 (fr) * 2020-05-18 2023-06-23 The Ring Io Procédé et système d’authentification d’un utilisateur auprès d’un serveur d’authentification
US10992606B1 (en) 2020-09-04 2021-04-27 Wells Fargo Bank, N.A. Synchronous interfacing with unaffiliated networked systems to alter functionality of sets of electronic assets
EP4218212A1 (en) * 2020-09-23 2023-08-02 ExtraHop Networks, Inc. Monitoring encrypted network traffic
EP3996403A1 (en) * 2020-11-10 2022-05-11 CAP Certified Limited Authentication systems and methods
US11546338B1 (en) 2021-01-05 2023-01-03 Wells Fargo Bank, N.A. Digital account controls portal and protocols for federated and non-federated systems and devices
US11811783B1 (en) * 2021-06-24 2023-11-07 Amazon Technologies, Inc. Portable entitlement
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11748374B2 (en) * 2021-11-30 2023-09-05 Snowflake Inc. Replication group objects configuration in a network-based database system
US11974011B2 (en) * 2022-03-23 2024-04-30 Amazon Technologies, Inc. Location restricted content streaming to non-location aware devices
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
US11695772B1 (en) * 2022-05-03 2023-07-04 Capital One Services, Llc System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user
US11997086B1 (en) * 2022-07-19 2024-05-28 One Footprint Inc. Systems and methods for identity verification and authentication

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101589361A (zh) * 2007-01-26 2009-11-25 微软公司 控制数字身份表示的分发和使用
CN101606370A (zh) * 2007-02-23 2009-12-16 索尼爱立信移动通讯股份有限公司 授权安全资源
CN102325028A (zh) * 2011-09-19 2012-01-18 北京金和软件股份有限公司 一种支持多个终端的身份认证与服务授权的方法
US20120050004A1 (en) * 2010-08-24 2012-03-01 Rhonda Enterprises, Llc Systems and methods for position-based loaning of electronic documents to electronic device users
CN102377788A (zh) * 2011-12-13 2012-03-14 方正国际软件有限公司 单点登录系统及其单点登录方法

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7290288B2 (en) * 1997-06-11 2007-10-30 Prism Technologies, L.L.C. Method and system for controlling access, by an authentication server, to protected computer resources provided via an internet protocol network
KR19990080484A (ko) * 1998-04-17 1999-11-15 김영환 이동통신 시스템의 핸드 오프 방법
US6360254B1 (en) * 1998-09-15 2002-03-19 Amazon.Com Holdings, Inc. System and method for providing secure URL-based access to private resources
US6965914B2 (en) * 2000-10-27 2005-11-15 Eric Morgan Dowling Negotiated wireless peripheral systems
US20050010780A1 (en) * 2003-07-09 2005-01-13 Kane John Richard Method and apparatus for providing access to personal information
US8042163B1 (en) * 2004-05-20 2011-10-18 Symatec Operating Corporation Secure storage access using third party capability tokens
US20060129829A1 (en) 2004-12-13 2006-06-15 Aaron Jeffrey A Methods, systems, and computer program products for accessing data with a plurality of devices based on a security policy
US20060174203A1 (en) * 2005-01-31 2006-08-03 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Viewfinder for shared image device
JP4618103B2 (ja) * 2005-11-11 2011-01-26 セイコーエプソン株式会社 情報表示装置
US20080133327A1 (en) * 2006-09-14 2008-06-05 Shah Ullah Methods and systems for securing content played on mobile devices
CN101290642B (zh) * 2007-04-16 2010-09-29 瞬联软件科技(北京)有限公司 基于区域限制的电子文件传播控制方法及其系统
US8347103B2 (en) * 2009-01-13 2013-01-01 Nic, Inc. System and method for authenticating a user using a graphical password
JP5434930B2 (ja) * 2009-02-06 2014-03-05 日本電気株式会社 情報管理システム
US20100242097A1 (en) * 2009-03-20 2010-09-23 Wavemarket, Inc. System and method for managing application program access to a protected resource residing on a mobile device
US20110137817A1 (en) * 2009-06-01 2011-06-09 Wavemarket, Inc. System and method for aggregating and disseminating personal data
US8667520B2 (en) * 2011-07-06 2014-03-04 Symphony Advanced Media Mobile content tracking platform methods
US8910246B2 (en) * 2010-11-18 2014-12-09 The Boeing Company Contextual-based virtual data boundaries
US9323915B2 (en) 2010-12-08 2016-04-26 Verizon Patent And Licensing Inc. Extended security for wireless device handset authentication
EP2689397A2 (en) * 2011-03-21 2014-01-29 Trucktrax, LLC Tracking and management system
US10380585B2 (en) * 2011-06-02 2019-08-13 Visa International Service Association Local usage of electronic tokens in a transaction processing system
WO2013020054A1 (en) * 2011-08-04 2013-02-07 Empire Technology Development Llc Wi-fi authentication by proxy
US20130139229A1 (en) * 2011-11-10 2013-05-30 Lawrence Fried System for sharing personal and qualifying data with a third party
US8918306B2 (en) * 2011-11-16 2014-12-23 Hartford Fire Insurance Company System and method for providing dynamic insurance portal transaction authentication and authorization
US8910309B2 (en) * 2011-12-05 2014-12-09 Microsoft Corporation Controlling public displays with private devices
US20130185772A1 (en) * 2012-01-12 2013-07-18 Aventura Hq, Inc. Dynamically updating a session based on location data from an authentication device
US8898743B1 (en) * 2012-02-27 2014-11-25 Google Inc. Personal content control on media device using mobile user device
US8884750B2 (en) * 2012-04-21 2014-11-11 Benjamin Bacal Inhibiting distracting operations of personal handheld devices by the operator of a vehicle
US8818276B2 (en) * 2012-05-16 2014-08-26 Nokia Corporation Method, apparatus, and computer program product for controlling network access to guest apparatus based on presence of hosting apparatus

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101589361A (zh) * 2007-01-26 2009-11-25 微软公司 控制数字身份表示的分发和使用
CN101606370A (zh) * 2007-02-23 2009-12-16 索尼爱立信移动通讯股份有限公司 授权安全资源
US20120050004A1 (en) * 2010-08-24 2012-03-01 Rhonda Enterprises, Llc Systems and methods for position-based loaning of electronic documents to electronic device users
CN102325028A (zh) * 2011-09-19 2012-01-18 北京金和软件股份有限公司 一种支持多个终端的身份认证与服务授权的方法
CN102377788A (zh) * 2011-12-13 2012-03-14 方正国际软件有限公司 单点登录系统及其单点登录方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109767018A (zh) * 2017-11-08 2019-05-17 现代自动车株式会社 提供车辆共享服务的设备、包括该设备的系统及其方法
CN111869179A (zh) * 2018-08-13 2020-10-30 谷歌有限责任公司 基于位置访问受控访问资源
CN111869179B (zh) * 2018-08-13 2022-09-13 谷歌有限责任公司 基于位置访问受控访问资源
US11558193B2 (en) 2018-08-13 2023-01-17 Google Llc Location-based access to controlled access resources
WO2022147763A1 (zh) * 2021-01-08 2022-07-14 Oppo广东移动通信有限公司 访问令牌处理方法、设备和云端

Also Published As

Publication number Publication date
KR101737488B1 (ko) 2017-05-18
US9602503B2 (en) 2017-03-21
WO2014015147A1 (en) 2014-01-23
EP2875464A1 (en) 2015-05-27
KR20170057461A (ko) 2017-05-24
EP2875464B1 (en) 2021-10-27
CN104620250B (zh) 2017-08-25
KR20150038223A (ko) 2015-04-08
US20140026193A1 (en) 2014-01-23
EP3809294B1 (en) 2024-01-10
CN104620250A (zh) 2015-05-13
CN107276977B (zh) 2020-09-08
EP3809294A1 (en) 2021-04-21
US9256722B2 (en) 2016-02-09
US20160087966A1 (en) 2016-03-24
KR101878415B1 (ko) 2018-07-13

Similar Documents

Publication Publication Date Title
CN104620250B (zh) 在两个装置之间使用临时私钥的系统和方法
RU2707939C2 (ru) Платформа обеспечения для межмашинных устройств
US10546291B2 (en) Method and apparatus for performing payment
CN105659557B (zh) 用于单点登录的基于网络的接口集成的方法和系统
CN105718782B (zh) 用于在移动设备上获得标识信息的方法和系统
CN108351933B (zh) 用于最终用户启动的访问服务器真实性检查的方法和系统
US9325687B2 (en) Remote authentication using mobile single sign on credentials
KR101830038B1 (ko) 페르소나를 이용한 사용자 인증 및 인가
US20160006745A1 (en) Propagating authentication between terminals
KR20170027160A (ko) 결제 거래를 수행하는 방법 및 장치
US11599665B2 (en) Controlling access to a secure computing resource
US9596234B2 (en) Methods and systems for providing bidirectional authentication
CN105659558A (zh) 具有单一、灵活、可插拔OAuth服务器的多个资源服务器和OAuth保护的RESTful OAuth同意管理服务,以及对OAuth服务的移动应用单点登录
KR20170035294A (ko) 전자 장치 및 이의 보안을 제공하는 결제 방법
US11604864B2 (en) Indexable authentication system with group access control and method
JP6494990B2 (ja) サービスアカウントに対するユーザ認証方法とユーザ認証システム、および記憶媒体
WO2014103487A1 (ja) 決済管理装置、情報処理装置、決済管理方法、および決済管理システム
JP2018147327A (ja) 生成装置、生成方法及び生成プログラム
JP2019220805A (ja) 情報処理装置、情報処理方法及びプログラム
JP2021051395A (ja) 再認証装置、再認証方法および再認証プログラム
JP2014191766A (ja) 貸出管理システム、貸出管理装置および貸出管理方法
JP7306771B2 (ja) プログラム、情報処理方法、端末
CN115408670A (zh) 数字访客证的生成方法及装置
KR20220111149A (ko) 아이템 거래 서비스 제공 장치 및 아이템 거래 서비스 제공 방법
KR20130083074A (ko) 클라우드 공인인증 시스템, 사용자 단말 및 클라우드 공인인증 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: American California

Applicant after: Google limited liability company

Address before: American California

Applicant before: Google Inc.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant