CN107438004B - 用于多因素认证的系统和方法 - Google Patents
用于多因素认证的系统和方法 Download PDFInfo
- Publication number
- CN107438004B CN107438004B CN201710316753.7A CN201710316753A CN107438004B CN 107438004 B CN107438004 B CN 107438004B CN 201710316753 A CN201710316753 A CN 201710316753A CN 107438004 B CN107438004 B CN 107438004B
- Authority
- CN
- China
- Prior art keywords
- authentication
- electronic device
- response
- factor
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
Abstract
一种在认证服务器处用于对电子设备进行多因素认证的方法,该方法包括:在认证服务器处接收对电子设备的认证请求;向电子设备发送信息;接收基于向电子设备发送的信息的响应,该响应还包括认证时限;对响应进行认证;以及在验证响应之后存储响应和时限。
Description
技术领域
本公开涉及多因素认证,具体地涉及用于促进多因素认证的系统和方法。
背景技术
如今随着能够通过公共网络提供许多服务和资源,越来越需要针对这些服务或资源提供强验证。强认证也被称为双因素认证或多因素认证,其被定义为三种可能的认证因素中的两种或更多种的验证。
这些认证因素包括你知道的事物、你拥有的事物和你表现出来的事物。例如,密码可能是你知道的事物。钥匙、物理令牌、手机或设备等物体可能是你拥有的事物。指纹、视网膜扫描、DNA、面部特征等选项可能是你表现出来的事物。
许多强认证机制现在依赖于移动设备作为实体认证因素。具体地,移动设备是“你拥有的事物”。
附图说明
参考附图将更好地理解本公开,其中:
图1是示出了通过电子设备的认证的数据流程图;
图2是示出了通过web门户的认证的数据流程图;
图3是用于设置认证有效时限的示例用户界面;
图4是示出了基于设备信息或上下文的认证的数据流程图;
图5是示出了简化的计算设备或服务器的框图;以及
图6是能够与本文所述的实施例一起使用的示例性移动设备的框图。
具体实施方式
本公开提供了一种在认证服务器处用于对电子设备进行多因素认证的方法,所述方法包括:在所述认证服务器处接收针对所述电子设备的认证的请求;向电子设备发送信息;接收基于向电子设备发送的信息的响应,该响应还包括认证时限;对响应进行认证;以及在验证响应之后存储响应和时限。
本公开还提供了一种用于对电子设备进行多因素认证的认证服务器,所述认证服务器包括:处理器;以及通信子系统,其中,认证服务器被配置为:接收针对所述电子设备的认证的请求;向电子设备发送信息,接收基于向电子设备发送的信息的响应,该响应还包括认证时限;对响应进行认证;以及在验证所述响应之后存储所述响应和时限。
本公开还提供了一种计算机可读介质,包括采用代码形式的指令,指令在由认证服务器的处理器执行时使认证服务器执行以下操作:接收针对电子设备的认证的请求;向电子设备发送信息;接收基于向所述电子设备发送的信息的响应,所述响应还包括认证时限;对响应进行认证;以及在验证所述响应之后存储所述响应和时限。
本公开还提供了一种用于对电子设备进行多因素认证的方法,包括:从电子设备向认证服务器发送认证请求;从电子设备向认证服务器提供由电子设备签名的令牌以及认证的时限;以及从认证服务器接收关于对电子设备的认证成功的确认。
本公开还提供了一种被配置用于多因素认证的电子设备,该电子设备包括:处理器;以及通信子系统,其中,电子设备被配置为:向认证服务器发送认证请求;向认证服务器提供由电子设备签名的令牌以及认证的时限;以及从认证服务器接收关于对电子设备的认证成功的确认。
本公开还提供了一种计算机可读介质,包括采用代码形式的指令,指令在由电子设备的处理器执行时使电子设备执行以下操作:向认证服务器发送认证请求;向认证服务器提供由电子设备签名的令牌以及认证的时限;以及从认证服务器接收关于对电子设备的认证成功的确认。
根据本公开的实施例,提供了一种用于执行多因素认证请求的认证的系统和方法,以用于在电子设备具有受限连接性或不可用时维持强认证安全性。电子设备的不可用性可能阻止发生强认证。特别地,当使用电子设备作为认证因素执行强认证或双因素认证时,在某些情况下,电子设备可能不可用、断开或关闭。这可能会阻止在电子设备上实时发生认证。在这种情况下,用户可能无法登录到需要强认证的资源或服务。
预认证描述了一种方法,通过该方法用户可以在主认证请求之前使用其电子设备进行认证,以允许用户将电子设备认证延长特定时间段。具体地,本文描述的系统和方法允许用户提前执行认证的电子设备部分,并且这种认证可以持续特定的时间段,在该时间段期间,允许用户使用单一因素(例如只使用密码)进行认证。
使用双因素认证来描述本公开,其中第一因素可以是凭证,第二因素基于电子设备。然而,本文描述的实施例可以同样用于任何多因素认证方案,其中至少一个因素包括电子设备。
强验证通常开始于应用从用户接收到用户名和密码时。如本文所使用的,应用是将用户认证委托给强认证服务器的系统或程序。示例包括虚拟专用网(VPN)网关、联合软件即服务(SaaS)应用或托管服务等的选项。
用户名和密码可以被提供给服务器,并作为第一个认证因素根据权威来源(例如轻量级目录访问协议(LDAP)目录或数据库)检查其有效性。
在其他系统中,作为用户名或密码的替代,可以将其他凭证或数据提供给认证服务器。例如,可以使用指纹扫描来代替密码。
诸如移动设备的电子设备可以用作第二认证因素。电子设备可以包括在认证期间使用的任何静止设备或移动设备或其他电子设备。电子设备可以包括但不限于计算设备、蜂窝电话、智能电话、膝上型计算机、台式计算机、平板电脑、智能手表或其他可穿戴设备、车辆或能够通过网络通信的任何其他电子设备。
认证服务器可以例如向设备发送通知并请求响应。通常可以使用短消息(SMS)消息或自动电话呼叫来完成第二个因素,其中提供可以随后被键入应用中的代码。在其他情况下,电子设备可以用于回复SMS消息或提供对电话呼叫的验证。
在另外的实施例中,认证服务器可以向电子设备上的特定应用发送通知,其中电子设备然后可以向认证服务器提供回令牌。例如,令牌可以依赖于公共密钥基础设施(PKI)或共享秘密以用于向认证服务器验证设备。例如,可以通过使用电子设备的私钥对来自认证服务器的通知的元素进行加密来生成令牌。令牌可以自动返回或者在用户许可(例如通过电子设备上的用户界面)之后返回。一旦在服务器处接收到令牌,服务器可以使用电子设备的公共密钥对令牌进行解密,以验证令牌的真实性。
在所有上述方法中,设备必须在无线或蜂窝网络上并连接到无线或蜂窝网络以接收通知。
存在可能无法通过网络到达电子设备的各种情况。在一个示例中,如果用户在飞机上,则电子设备可能不可用。例如,许多飞机目前为单个设备提供Wi-Fi连接。因此,如果用户尝试在膝上型计算机连接到飞机Wi-Fi系统的同时从膝上型计算机登录企业站点、云服务、VPN等选项,则电子设备可能不可达,这是因为用户仅购买了单个Wi-Fi连接,而不是多个Wi-Fi连接。在这种情况下,用户将无法通过膝上型计算机进行认证。
在另一个示例中,站点或工作场所可能是安全的,并且不允许电子设备。在这种情况下,电子设备将不能用作辅助认证机制。
在另一示例中,用户可能处于电子设备不在移动网络和Wi-Fi网络的覆盖范围内的位置。例如,用户可能处于远程位置,在该远程位置中,存在针对台式计算机的有线连接,但是不存在Wi-Fi或蜂窝信号。同样,电子设备将不能用于第二个认证因素。
在其他情况下,电池供电的电子设备可能具有非常弱的电池,并且在用户准备好执行强认证之前可能会耗尽电力。
在所有上述情况下,电子设备的不可达性是可预测的和时间受限的。因此,根据本公开,在多因素认证的第一因素之前,用户可以主动地使用电子设备对多因素认证的第二因素进行认证。这种主动认证通常将被限制于用户选择的时间段或默认提供的时间段。
电子设备的认证给用户提供了特定的时间段,在该时间段内,用户可以仅针对第一认证因素使用凭证向应用进行认证,而不需要来自电子设备的第二个因素。
在一些实施例中,对电子设备的认证请求可以通过用户与电子设备进行交互来手动地进行。在其他实施例中,对电子设备的自动认证可以基于电子设备的信息或上下文而发生。
现在参考图1,图1是示出了在强认证系统中对电子设备进行用户发起的认证的数据流程图。在图1的示例中,用户110具有电子设备112,并且还正在与计算设备上的应用114进行交互。计算设备可以是膝上型计算机或台式计算机、移动设备、平板电脑或能够通过网络通信的其他类似的设备。在一个实施例中,计算设备可以与电子设备112相同。然而,在其他实施例中,应用114可以在单独的计算设备上。例如,用户可能正在利用膝上型计算机或台式计算机来利用应用程序114访问VPN连接。
具体地,如图1所示,用户110与电子设备112进行通信。用户可能知道电子设备将很快不可用。然而,用户当前可能不能或可能没有准备好使用应用114。随后,当用户准备好或能够使用该应用时,电子设备112可能不可用。
这可能会发生在例如用户在航站楼并且想要在飞行期间连接到公司VPN的情况下。在航站楼中,电子设备仍然连接到网络,但是当登机时,膝上型计算机上的与公司VPN的任何连接都将丢失。相反,飞机上的膝上型计算机只能在空中使用一次,此时电子设备将不可用。
因此,为了允许在飞行期间的连接,用户110在电子设备112处请求认证,如消息120所示。例如,这可以通过在电子设备上打开强认证应用并请求认证而发生。
在一些实施例中,认证可以针对与设备相关联的任何服务或资源。在其他实施例中,认证可以针对特定或可选择的服务或资源发生。例如,在电子设备上打开的认证应用可以针对特定的服务或资源。在这种情况下,用户可能必须在多个认证应用之间选择以便打开用于认证。
在另外的实施例中,认证应用可以允许选择服务或资源。以下关于图3描述了可选择的菜单的一个示例。
然后,电子设备112将认证请求发送到强认证服务器116,如消息130所示。如本文所使用的,强认证服务器是代表应用执行用户认证的服务器。
在图1的示例中,可以在消息130中提供诸如电子设备令牌的凭证。在其他实施例中,在提供令牌之前,可以在电子设备112和强认证服务器116之间交换各种握手消息或其他消息。此外,在一些实施例中,可以在消息130中提供请求针对其进行强认证的服务或资源的标识。
一旦接收到令牌,强认证服务器116就在多因素认证中检查用于第二因素的令牌,并且如果第二因素成功,则强认证服务器116将认证成功消息132发送回电子设备112。
随后,但是在一定时间量内,用户可以尝试登录到应用114,并提供诸如用户名和密码等的凭证,如消息140所示。
然后,应用可以将凭证转发到强认证服务器116,如消息142所示。
然后,强认证服务器116可以通过发送验证凭证的请求来使用目录118进行验证,如消息150所示。目录118可以是LDAP服务器、数据库或其他类似目录,并且在一个实施例中,可以是强认证服务器116的一部分。在其他实施例中,目录118可以存储在远离强认证服务器116的服务器或计算设备上。如果认证有效,则目录可能返回肯定响应152。
强认证服务器116将检查以确定用户是否已经成功地执行了对服务或资源的认证,以及用户是否仍在认证时间窗内。如果存在对电子设备的认证,并且认证仍然有效,则认证服务器116然后可以将认证成功消息154提供回应用114。
如果设备的认证还未发生或已经期满,则替代消息154,强认证服务器116可以向电子设备112发送消息(未示出),以开始执行多因素认证的第二阶段。
根据图1,如果认证检查发现还未发生电子设备的成功认证或认证尝试在认证许可窗之外,并且如果电子设备没有成功地对询问消息进行响应,则强认证服务器116将向应用114发送认证不成功的消息。类似地,如果诸如用户名或密码的凭证不正确,则认证不成功消息也被发送到应用114。
在备选实施例中,代替使用电子设备上的强认证应用,用户可以登录到web门户,以开始针对电子设备、服务或资源的认证过程。现在参考图2。
如图2所示,用户210在多因素认证系统中具有用于第二因素的电子设备212。与用户使用电子设备来开始认证过程的图1不同的是,在图2的实施例中,用户210登录到web门户214,以发起针对电子设备的认证过程。在一些实施例中,为了开始认证过程,用户210可以向web门户214输入某些凭证。在一些实施例中,用户可以选择正在请求对其的认证的特定服务或资源。通过消息220示出了发起认证过程的请求。
一旦web门户214确信请求的真实性,则web门户214然后可以向强认证服务器216发送对用户210执行认证的请求。这种请求在图2的实施例中用消息222示出。
认证服务器216然后将继续向电子设备212请求认证。因此,在图2的示例中,认证服务器216向电子设备212发送提示认证确认的消息230。
然后,在某些实施例中,电子设备可以将响应232提供回认证服务器216。例如,响应232可以包括用电子设备212和认证服务器216之间的PKI凭证或共享秘密加密的消息。
在发送消息232之前,电子设备可以向使用电子设备的用户提示认证尝试是否应当被接受。这将确保用户同意认证,并且使用web门户的登录是有效的。
在其他实施例中,用户可以将设备设置为在某些条件下自动对消息232进行响应。例如,如果用户正在尝试使用电子设备可以通过诸如BluetoothTM的短距离通信机制来感测的膝上型计算机登录到服务或资源,则电子设备可以自动地对消息232进行响应。在这种情况下,消息230可能需要提供与正在尝试访问该服务或资源的计算设备有关的信息以用于电子设备处的验证。
在备选实施例中,消息230可以是具有代码的SMS消息。然后,用户210可以将代码输入到web门户214中以提供认证。在这种情况下,web门户214将输入的代码传送给认证服务器216,以提供认证。
在又一个实施例中,消息230可以是诸如自动电话呼叫的电话呼叫,其中通过电子设备212将消息或代码传送到用户210。此外,可以通过电子设备212或web门户214输入这样的代码。
如下所述,消息232还可以包括针对电子设备的认证的时限。
认证服务器216检查消息232,并且如果消息中的信息被验证,则认证服务器216存储认证信息以及后续登录尝试的时限。
在图2的示例中,一旦用户210准备好对需要强认证的服务进行认证,用户就可以登录到应用215,如消息240所示。这样的登录可以例如包括诸如用户名或密码的凭证。
然后,应用215可以向认证服务器216提供登录凭证,如消息242所示。
然后,认证服务器216可以将凭证发送到目录218以验证凭证,如消息244所示。
如果凭证有效,则目录218可以向认证服务器216提供回指示凭证有效的消息246。
认证服务器216检查以确定是否已成功地执行了对电子设备的认证,并且登录尝试在设置的时限内。如果电子设备的认证已经期满或根本没有发生,则当在认证服务器216处接收到消息248之后,该过程然后通过向电子设备212发送询问(未示出)来执行第二因素认证。然后,电子设备212需要使用认证服务器进行认证,以便允许用户访问服务或资源。
相反,如果主动执行了对电子设备的认证并且时限尚未期满,则认证服务器216可以向应用215提供认证成功消息250。
与图1的实施例一样,如果认证不成功,则消息250可以指示认证失败,并且用户在某些情况下可以有权再次尝试。
在上述图1和图2的实施例中,对电子设备的主动认证保持有效的时限可以被预先设置或者可以由用户设置。例如,资源或服务可以指定对电子设备的主动认证有效的最大时间。该最大时间可以用作默认值。备选地,用户可以指定对电子设备的认证有效的时限。例如,可以在图1或图2的消息130或232中指定这样的时限。时限可以被配置为高达服务或资源接受的最大值。
现在参考图3,图3示出了用于电子设备处的认证的用户界面显示。具体地,用户可以使用电子设备上的强认证应用进行认证。在这种情况下,电子设备310包括显示器312,显示器312显示了强认证应用。强认证应用可以例如通过选择按钮320给予用户认证的选项。
此外,可选择的选择框322可以允许用户选择期望对其进行认证的服务或资源。如果使用,则认证将只对在框322中选择的服务或资源有效。
在一些实施例中,可以提示用户输入认证有效的时间。因此,在图3的实施例中,显示器312显示了认证设置屏幕,在认证设置屏幕中用户可以选择认证有效的时间量。例如,如果用户正在进行三小时飞行,则用户可以选择在3小时或31/2小时期间对电子设备进行认证。因此,时间设置框330允许用户在一定时间段期间进行认证。该框可以是文本输入框、下拉选择、图形选择等选项。
选择可能受最大时间量约束。因此,例如,如果用户正在尝试登录的系统或服务允许仅3小时期间的主动认证,则框330中的选择可能受限于上限3小时。
在一些实施例中,框330处的设置也可以受限于下限。例如,为了避免持续认证所需的系统资源,认证可能在最短时间量期间有效。因此,例如,认证可以在至少10分钟期间有效。
在一些实施例中,为了确保来自电子设备的认证的安全,在发送认证请求之前,可能需要输入凭证来进行验证。例如,这样的凭证可以是本地的(包括设备密码)或外部的(包括目录用户标识和密码)。因此,在图3的实施例中,如果用户按下按钮320,则可能出现要求用户输入凭证的提示。
其他选项和变型是可能的。
在又一个实施例中,设备可以被配置为基于设备上下文或信息自动认证。例如,在一个实施例中,设备可以挖掘用户的日历,以便确定设备何时可能不可用于通信。因此,如果日历事件表示“飞行”或“正在飞行”,则设备可以推断出它将不具有网络连接并且可以在日历事件的持续时间期间自动执行认证。认证可以在事件开始之前的预定时间阈值时发生。例如,如果日历事件表示飞行从上午10点开始,则认证可以在上午9:45发生,以确保设备在认证发生之前尚未关闭或尚未变得不可用。
在其他实施例中,设备可以使用其位置,以便确定认证应该何时发生。因此,如果设备确定它在机场,则可以确定该设备可能很快不可用,并且因此可以执行认证。类似地,如果设备靠近历史上没有连接的设施,则它可以进行认证。此外,如果设备在网络上丢失信号强度并且没有新的网络可转移,则它可以在丢失蜂窝信号之前执行认证。其他选项是可能的。
现在参考图4。在图4的实施例中,电子设备412与认证服务器416进行通信。如在图4的实施例中所示,设备可以对关于设备的上下文或信息进行检查420以确定是否应该发生认证。检查420可以例如包括挖掘用户针对事件的日历或电子邮件、确定设备的位置、确定设备是否即将在蜂窝覆盖范围或Wi-Fi覆盖范围之外从而即将失去连接等等选项。
如果检查420确定电子设备在不久的将来可能变得不可用因此需要认证,则设备可以在设备不可用之前向认证服务器416请求认证。因此,如图4的示例所示,电子设备412可以向认证服务器416发送认证请求430。
然后,服务器416可以针对多因素认证的第二阶段执行认证。例如,消息430可以包含令牌。此外,消息430可以包括电子设备412和认证服务器416之间的多个通信,其包括来自认证服务器的询问和来自电子设备412的响应。
一旦认证服务器416验证了电子设备412,它就可以向电子设备412发送回指示成功的消息432。
然后,在特定时间量期间对电子设备进行认证。在某些情况下,时间段可以是在电子设备412或服务器416上默认设置的。在其他情况下,在发送消息430之前,设备可以通过指示认证即将发生来提示用户,并询问用户想要设置的时间段。在其他情况下,时间可以基于从用户的日历或电子邮件挖掘的信息,包括飞行持续时间信息或在安全设施处的会议持续时间信息等的选项。
然后,在认证时间段期间,用户可以登录到应用414。因此,如图4的实施例所示,用户410在消息440中向应用414发送登录凭证。然后,可以将登录凭证提供给认证服务器416,如消息442所示。
然后,认证服务器416可以在消息444中将凭证提供给目录418,并且如果凭证被验证,则目录418可以在消息446中向认证服务器416提供回凭证有效。
然后,认证服务器416可以检查以确定先前是否发生了第二认证因素,如果是,则检查以确定登录尝试是否处于在认证期间设置的时限内。如果是,则强认证机制的两个因素已被满足,并且认证服务器416可以将认证成功消息发送回应用414,如图4的实施例中的消息450所示。
如果还未发生使用电子设备的认证,或者如果为第二认证因素设置的时间段已经期满,则强认证服务器416可以向电子设备412发送询问消息,并且可以继续第二认证因素。
因此,在第一因素发生之前,允许在特定时间段期间使用强认证服务器将设备作为第二认证因素进行认证。当知道电子设备在一段时间期间将不可用时,进行第二认证因素。在第二个因素的主动认证时段期间,认证服务器从应用接受单一因素认证,从而允许用户使用服务或资源。
此外,可以在任何设备上执行上述实施例。例如,关于图5示出了一个简化的设备。图5的设备是上述任何计算设备、电子设备或服务器的简化版本。
在图5中,设备510包括处理器520以及通信子系统530,其中,处理器520以及通信子系统530协作以执行上文描述的实施例的方法。
处理器520被配置为执行可编程逻辑,该可编程逻辑可以连同数据一起被存储在设备510上,并且在图5的示例中示出为存储器540。存储器540可以是任意有形非瞬时性存储介质。
作为存储器540的备选或附加,设备510可以例如通过通信子系统530访问来自外部存储介质的数据或可编程逻辑。
通信子系统530允许设备510与其他设备或网络元件进行通信。
可以包括显示器和输入装置的用户界面作为UI 550被提供。
在一个实施例中,网络元件510中的各个元件之间的通信可以通过内部总线560进行。然而,其他形式的通信是可能的。
在一个实施例中,设备510可以是移动设备。可以使用任何移动设备来实现上述实施例。关于图6示出了一个示例性移动设备。
移动设备600可以是具有语音和数据通信能力的双向无线通信设备。根据所提供的确切功能,移动设备可以称作例如数据消息传送设备、双向寻呼机、无线电子邮件设备、具有数据消息传送能力的蜂窝电话、无线互联网家电、无线设备、用户设备、或数据通信设备。
在启用移动设备600来进行双向通信的情况下,移动设备1400可以并入通信子系统611,其包括接收机612和发射机614以及相关联的组件,例如,一个或多个天线元件616和618、本地振荡器(LO)613和诸如数字信号处理器(DSP)620等的处理模块。虽然未示出,但是通信子系统611可以包括附加组件。例如,UE 600可以包括多个接收机612和/或发射机614来允许同时的无线电活动。此外,通信领域技术人员将理解的是,通信子系统611的特定设计将取决于设备旨在在其中操作的通信网络。
网络接入需求还将取决于网络619的类型而变化。在一些网络中,网络接入与移动设备600的订户或用户相关联。为了在网络上工作,移动设备可能需要能够包含不同应用的一个或多个智能卡,应用是例如USIM、RUIM或SIM应用。智能卡接口644一般与智能卡能够插入和弹出的卡槽相类似。智能卡可以具有存储器,并保存许多密钥配置651和其他信息653,如标识和订户相关信息。
当完成了所要求的网络注册或激活过程时,移动设备600可以通过网络619来发送和接收通信信号。如图6所示,网络619可以由与移动设备进行通信的多个基站构成。
将天线616通过通信网络619接收的信号输入接收机612,接收机612可以执行这种公共接收机功能,诸如信号放大、下变频、滤波、信道选择等。接收信号的A/D转换允许在DSP620中执行更复杂的通信功能,诸如解调和解码。以类似的方式,要发送的信号被处理,包括例如由DSP 620执行的调制和编码,并且被输入到发射机614,以便进行数模转换、上变频、滤波、放大以及经由天线618通过通信网络619进行发射。DSP 620不仅处理通信信号,而且还提供接收机和发射机控制。例如,可通过在DSP 620中实施的自动增益控制算法自适应地控制应用于接收机612和发射机614中的通信信号的增益。
移动设备600通常包括处理器638,处理器638控制设备的整体操作。通过通信子系统611来执行包括数据通信和语音通信的通信功能。处理器638还与其它设备子系统进行交互,所述其它设备子系统例如是显示器622、闪存624、随机存取存储器(RAM)626、辅助输入/输出(I/O)子系统628、串行端口630、一个或多个键盘或键区632、扬声器634、麦克风636、诸如短距离通信子系统的其他通信子系统640和统一指示为642的其他设备子系统。串行端口630可以包括USB端口或现有技术中已知的其他端口。
图6中示出的一些子系统执行通信相关功能,而其他子系统可以提供“驻留”或机载(on-device)功能。值得注意的是,一些子系统(诸如键盘632和显示器622)例如可以既用于与通信相关的功能(诸如输入文本消息以在通信网络上传输),也用于设备驻留功能(如计算器或任务列表)。
可以在诸如闪存624(其替代地可以是只读存储器(ROM)或类似的存储单元(未示出))的永久性存储器中存储处理器638使用的操作系统软件。本领域技术人员将理解,操作系统、设备专用应用或其部分可被临时加载到易失性存储器(如RAM 626)。所接收的通信信号也可以存储于RAM 626中。
如图所示,可将闪存624分为计算机程序658和程序数据存储器650、652、654和656的不同区域。这些不同的存储类型指示每个程序可以针对它们自己的数据存储需求而被分配闪存624的一部分。除了处理器638的操作系统功能以外,处理器638还可以实现对移动设备上的软件应用的执行。控制基本操作的应用的预定集合(至少包括例如数据和语音通信应用)通常将在制造期间安装在移动设备600上。可以后续或动态地安装其他应用。
应用和软件可被存储在任何计算机可读存储介质上。计算机可读存储介质可以是有形的或者瞬时/非瞬时的介质,例如光学的(如CD、DVD等)、磁性的(如磁带)、闪存驱动器、硬盘驱动器或其他本领域已知的存储器。
一个软件应用可以是如上所述的安全认证应用。
在数据通信模式中,将通过通信子系统611处理诸如文本消息或下载的网页之类接收到的信号,并将其输入至处理器638,处理器638可以进一步处理接收到的信号,以输出至显示器622或备选地输出至辅助I/O设备628。
移动设备600的用户还可以使用键盘632结合显示器622以及可能的辅助I/O设备628来编写数据项,例如电子邮件消息,键盘632可以是完整的字母数字键盘或电话型键区。在其他实施例中,显示器622可以是触敏的,并且键盘632可以是虚拟的。这种编写的项目然后可以通过通信子系统611在通信网络上传输。
对于语音通信,移动设备600的整体操作是类似的,除了接收信号通常将输出至扬声器634并且发送信号将由麦克风636产生。还可以在移动设备600上实现备选的语音或音频I/O子系统,例如语音消息记录子系统。尽管语音或音频信号输出通常主要通过扬声器634来完成,但是显示器622也可以用来提供对例如主叫方的身份、语音呼叫的持续时间或其他与语音呼叫相关的信息的指示。
图6中的串行端口630一般将在需要与用户的台式计算机(未示出)进行同步的个人数字助理(PDA)型的移动设备中实现,但其是可选设备组件。这种端口630将使得用户能够通过外部设备或软件应用来设置偏好,且将通过除通过无线通信网络以外的方式向移动设备600提供信息或软件下载,来扩展移动设备600的能力。例如可以使用备选下载路径通过直接连接(因此是可靠且可信的连接)将加密密钥下载到设备上,从而实现安全设备通信。本领域技术人员将清楚的是,串行端口630还可以用于将UE连接至计算机以用作调制解调器或连接至壁式插座或计算机作为充电源。
其它通信子系统640(如短距离通信子系统)是另外的可选组件,其可以提供移动设备600和不同的系统或设备之间的通信,这些设备不是必须是相似的设备。例如,子系统640可以包括红外设备和相关联的电路和组件、或BluetoothTM通信模块,以提供与支持类似功能的系统和设备的通信。子系统640还可以包括非蜂窝通信,诸如Wi-Fi或WiMAX。子系统640可以进一步包括传感器,包括加速度计、相机等等。
本文中描述的和附图中示出的具体实施例的结构、特征、附件以及备选目的在相互兼容的范围内,广泛地应用在本公开的所有教导,包括应用在本文描述和示出的所有实施例。换句话说,除非有说明,否则具体实施例的结构、特征、附件以及备选并不旨在仅受限于具体实施例。
此外,本领域技术人员将理解本公开的附加特征和优点。
本文描述的实施例是结构、系统或方法的示例,其具有与本申请技术的要素相对应的要素。该撰写的说明书可以使本领域技术人员能够做出并使用具有与本申请的技术的要素相对应的替代元素的实施例。本申请技术的意向范围因此包括并非不同于本文中所描述的本申请的技术的其他结构、系统或方法,还包括与本文中所描述的本申请技术具有非实质性差异的其他结构、系统或方法。
Claims (23)
1.一种在认证服务器处用于对电子设备的用户进行多因素认证的方法,其中,所述多因素认证包括对所述电子设备的第一认证和基于与所述用户相关的另一认证因素的第二认证,所述方法包括:
在所述认证服务器处接收针对所述电子设备的第一认证的请求;
响应于接收到针对所述电子设备的第一认证的请求,向所述电子设备发送信息;
基于发送给所述电子设备的信息来接收响应,其中,所述响应包括认证时限;
基于接收到的响应来认证所述电子设备;以及
在认证所述电子设备之后存储所述认证时限,以使得能够通过在所述认证时限内完成所述第二认证来后续完成所述多因素认证。
2.根据权利要求1所述的方法,还包括:
在所述认证服务器处从计算设备上的应用接收与所述电子设备的用户相关联的凭证;
对所述凭证进行认证;
在对所述凭证进行认证之后,确认所述电子设备的第一认证已经发生,并且所述认证时限还未期满;以及
在确认之后,许可对所述应用的服务或资源进行访问。
3.根据权利要求2所述的方法,其中,所述确认进一步检查针对所述计算设备上的所述应用已完成所述电子设备的第一认证。
4.根据权利要求1所述的方法,其中,所接收的响应是由所述电子设备签名的令牌。
5.根据权利要求1所述的方法,其中,所接收的响应是来自向所述电子设备发送的信息的代码。
6.根据权利要求1所述的方法,其中,所接收的响应是由所述电子设备进行的电话验证。
7.根据权利要求1所述的方法,还包括:检查在所述认证服务器处接收到的所述认证时限是否未超过最大阈值。
8.根据权利要求1所述的方法,其中,所述请求是从所述电子设备接收的。
9.根据权利要求1所述的方法,其中,所述请求是从web门户接收的。
10.一种用于对电子设备的用户进行多因素认证的认证服务器,其中,所述多因素认证包括对所述电子设备的第一认证和基于与所述用户相关的另一认证因素的第二认证,所述认证服务器包括:
处理器;
存储器,能够操作为耦接到所述处理器;以及
通信子系统,
其中,所述认证服务器被配置为:
接收针对所述电子设备的第一认证的请求;
响应于接收到针对所述电子设备的第一认证的请求,向所述电子设备发送信息;
基于发送给所述电子设备的信息来接收响应,其中,所述响应包括认证时限;
基于接收到的响应来认证所述电子设备;以及
在认证所述电子设备之后存储所述认证时限,以使得能够通过在所述认证时限内完成所述第二认证来后续完成所述多因素认证。
11.一种非瞬时计算机可读介质,包括采用代码形式的指令,所述指令在由认证服务器的处理器执行时,使所述认证服务器执行以下操作来对电子设备的用户进行多因素认证,其中,所述多因素认证包括对所述电子设备的第一认证和基于与所述用户相关的另一认证因素的第二认证:
接收针对所述电子设备的第一认证的请求;
响应于接收到针对所述电子设备的第一认证的请求,向所述电子设备发送信息;
基于发送给所述电子设备的信息来接收响应,其中,所述响应包括认证时限;
基于接收到的响应来认证所述电子设备;以及
在认证所述电子设备之后存储所述认证时限,以使得能够通过在所述认证时限内完成所述第二认证来后续完成所述多因素认证。
12.一种在电子设备处用于对所述电子设备的用户进行多因素认证的方法,其中,所述多因素认证包括对所述电子设备的第一认证和基于与所述用户相关的另一认证因素的第二认证,所述方法包括:
从所述电子设备向认证服务器发送针对所述电子设备的第一认证的请求;
响应于接收到针对所述电子设备的第一认证的请求,接收从所述认证服务器发送的信息;
基于在所述电子设备处接收的信息,从所述电子设备向认证服务器提供响应,所述响应包括认证时限,以使所述认证服务器能够基于所提供的响应来认证所述电子设备,并且能够通过在所述认证时限内完成所述第二认证来后续完成所述多因素认证。
13.根据权利要求12所述的方法,其中,所述发送基于用户界面选择。
14.根据权利要求13所述的方法,其中,所述用户界面选择包括时限选择。
15.根据权利要求13所述的方法,其中,所述用户界面选择包括用于认证的服务或资源。
16.根据权利要求12所述的方法,其中,所述发送基于对所述电子设备上的日历条目或电子邮件消息进行解析,以确定所述电子设备何时将不能用于通信。
17.根据权利要求16所述的方法,其中,所述认证时限是基于所述解析确定的。
18.根据权利要求16所述的方法,其中,所述发送是在比所述电子设备变得不能用于通信早一个阈值时段之前执行的。
19.根据权利要求12所述的方法,其中,所述发送基于所述电子设备的当前位置。
20.根据权利要求19所述的方法,其中,所述发送还基于关于与所述电子设备的通信在特定位置处变得不能用于通信的历史数据。
21.根据权利要求12所述的方法,其中,所述发送基于所述电子设备处的通信信号的信号强度降低到阈值以下并且没有备选通信信号能够使用。
22.一种电子设备,配置用于所述电子设备的用户的多因素认证,其中,所述多因素认证包括对所述电子设备的第一认证和基于与所述用户相关的另一认证因素的第二认证,所述电子设备包括:
处理器;
存储器,能够操作为耦接到所述处理器;以及
通信子系统,
其中,所述电子设备被配置为:
从所述电子设备向认证服务器发送针对所述电子设备的第一认证的请求;
响应于接收到针对所述电子设备的第一认证的请求,接收从所述认证服务器发送的信息;
基于在所述电子设备处接收的信息,从所述电子设备向认证服务器提供响应,所述响应包括认证时限,以使所述认证服务器能够基于所提供的响应来认证所述电子设备,并且能够通过在所述认证时限内完成所述第二认证来后续完成所述多因素认证。
23.一种非瞬时计算机可读介质,包括采用代码形式的指令,所述指令在由电子设备的处理器执行时,使所述电子设备执行以下操作来对电子设备的用户进行多因素认证,其中,所述多因素认证包括对所述电子设备的第一认证和基于与所述用户相关的另一认证因素的第二认证:
从所述电子设备向认证服务器发送针对所述电子设备的第一认证的请求;
响应于接收到针对所述电子设备的第一认证的请求,接收从所述认证服务器发送的信息;
基于在所述电子设备处接收的信息,从所述电子设备向认证服务器提供响应,所述响应包括认证时限,以使所述认证服务器能够基于所提供的响应来认证所述电子设备,并且能够通过在所述认证时限内完成所述第二认证来后续完成所述多因素认证。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/148,571 | 2016-05-06 | ||
US15/148,571 US10305901B2 (en) | 2016-05-06 | 2016-05-06 | System and method for multi-factor authentication |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107438004A CN107438004A (zh) | 2017-12-05 |
CN107438004B true CN107438004B (zh) | 2022-03-08 |
Family
ID=58709776
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710316753.7A Active CN107438004B (zh) | 2016-05-06 | 2017-05-08 | 用于多因素认证的系统和方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10305901B2 (zh) |
EP (1) | EP3242499B1 (zh) |
CN (1) | CN107438004B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6891569B2 (ja) * | 2017-03-17 | 2021-06-18 | 株式会社リコー | 情報端末、情報処理システム、情報処理方法及びプログラム |
US10360366B1 (en) * | 2017-09-15 | 2019-07-23 | Symantec Corporation | Systems and methods for providing two-factor authentication with an enterprise gateway when an authentication server is unavailable |
US11398913B2 (en) | 2018-08-24 | 2022-07-26 | Powch, LLC | Secure distributed information system for public device authentication |
US11641363B2 (en) | 2019-01-14 | 2023-05-02 | Qatar Foundation For Education, Science And Community Development | Methods and systems for verifying the authenticity of a remote service |
CN111464482B (zh) * | 2019-01-18 | 2022-11-08 | 中兴通讯股份有限公司 | 认证处理方法、装置、存储介质及电子装置 |
US11336682B2 (en) * | 2019-07-09 | 2022-05-17 | Nice Ltd. | System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels |
US11134081B2 (en) * | 2019-10-31 | 2021-09-28 | International Business Machines Corporation | Authentication mechanism utilizing location corroboration |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101222488A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 控制客户端访问网络设备的方法和网络认证服务器 |
CN104539599A (zh) * | 2014-12-19 | 2015-04-22 | 广州杰赛科技股份有限公司 | 一种无感知接入认证方法及系统 |
CN104767719A (zh) * | 2014-01-07 | 2015-07-08 | 阿里巴巴集团控股有限公司 | 确定登录网站的终端是否是移动终端的方法及服务器 |
CN105119931A (zh) * | 2015-09-11 | 2015-12-02 | 深圳市亚略特生物识别科技有限公司 | 应用登录方法及系统 |
AU2015100350B4 (en) * | 2012-09-27 | 2016-05-26 | Commonwealth Bank Of Australia | Payment authorisation method and system |
Family Cites Families (46)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9807614B2 (en) * | 2001-08-21 | 2017-10-31 | Bookit Oy Ajanvarauspalvelu | Using successive levels of authentication in online commerce |
US10360545B2 (en) * | 2001-12-12 | 2019-07-23 | Guardian Data Storage, Llc | Method and apparatus for accessing secured electronic data off-line |
JP2003233725A (ja) * | 2002-02-08 | 2003-08-22 | Canon Inc | サービス提供システム、サービス提供装置、サービス提供方法およびプログラム |
US7299292B2 (en) * | 2002-03-29 | 2007-11-20 | Widevine Technologies, Inc. | Process and streaming server for encrypting a data stream to a virtual smart card client system |
US7526797B2 (en) * | 2002-07-24 | 2009-04-28 | Sun Microsystems, Inc. | System and method for processing callback requests included in web-based procedure calls through a firewall |
US7546276B2 (en) * | 2006-01-23 | 2009-06-09 | Randle William M | Common authentication service for network connected applications, devices, users, and web services |
US20080076395A1 (en) * | 2003-05-07 | 2008-03-27 | Randeep Bhatia | Method and System for Supporting Non-Intrusive and Effective Voice Communication Among Mobile Users |
US7493493B2 (en) * | 2003-12-12 | 2009-02-17 | International Business Machines Corporation | Method and apparatus for password generation |
US7475252B2 (en) * | 2004-08-12 | 2009-01-06 | International Business Machines Corporation | System, method and program to filter out login attempts by unauthorized entities |
JP2006311529A (ja) * | 2005-03-30 | 2006-11-09 | Seiko Epson Corp | 認証システムおよびその認証方法、認証サーバおよびその認証方法、記録媒体、プログラム |
EP2061205A3 (en) * | 2007-11-16 | 2009-06-17 | Hewlett-Packard Development Company, L.P. | Method and apparatus for accessing a network |
US20090249456A1 (en) * | 2008-03-25 | 2009-10-01 | Level 3 Communications Llc | System and method for authorizing and validating user agents based on user agent location |
US8875261B2 (en) * | 2008-10-22 | 2014-10-28 | International Business Machines Corporation | Rules driven multiple passwords |
US8365267B2 (en) * | 2008-11-13 | 2013-01-29 | Yahoo! Inc. | Single use web based passwords for network login |
US8495720B2 (en) * | 2010-05-06 | 2013-07-23 | Verizon Patent And Licensing Inc. | Method and system for providing multifactor authentication |
US8898759B2 (en) * | 2010-08-24 | 2014-11-25 | Verizon Patent And Licensing Inc. | Application registration, authorization, and verification |
JP4713693B1 (ja) * | 2010-10-05 | 2011-06-29 | 株式会社シー・エス・イー | オフライン二要素ユーザ認証システム、その方法、およびそのプログラム |
US8775532B1 (en) * | 2011-04-11 | 2014-07-08 | Cellco Partnership | Method and system for synchronizing messages across multiple digital message accounts |
KR101748732B1 (ko) * | 2011-06-27 | 2017-06-19 | 삼성전자주식회사 | 임시 키를 이용한 전자 장치의 컨텐츠 공유 방법 및 이를 적용한 전자 장치 |
US9374349B1 (en) * | 2011-09-08 | 2016-06-21 | The Boeing Company | Methods and credential servers for controlling access to a computer system |
US10212588B2 (en) | 2011-10-25 | 2019-02-19 | Salesforce.Com, Inc. | Preemptive authorization automation |
US9350733B2 (en) * | 2011-11-07 | 2016-05-24 | International Business Machines Corporation | Emergency server access for offline users |
US8689294B1 (en) * | 2011-11-11 | 2014-04-01 | Symantec Corporation | Systems and methods for managing offline authentication |
US9438629B2 (en) * | 2011-12-01 | 2016-09-06 | Nec Solution Innovators, Ltd. | Sensitive information leakage prevention system, sensitive information leakage prevention method, and computer-readable recording medium |
US10049204B2 (en) * | 2012-05-15 | 2018-08-14 | Symantec Corporation | Computer readable storage media for multi-factor authentication and methods and systems utilizing same |
US8763101B2 (en) * | 2012-05-22 | 2014-06-24 | Verizon Patent And Licensing Inc. | Multi-factor authentication using a unique identification header (UIDH) |
US9058324B2 (en) | 2012-09-28 | 2015-06-16 | Intel Corporation | Predictive precaching of data based on context |
US9015813B2 (en) * | 2012-11-21 | 2015-04-21 | Jack Bicer | Systems and methods for authentication, verification, and payments |
BR112015013079A2 (pt) | 2012-12-07 | 2017-07-11 | Microsec Szamitastechnikai Fejlesztoe Zrt | método e sistema para autenticação de usuário utilizando um dispositivo móvel e por meio de certificados |
JP6307593B2 (ja) * | 2013-04-26 | 2018-04-04 | インターデイジタル パテント ホールディングス インコーポレイテッド | 必要とされる認証保証レベルを達成するための多要素認証 |
US9301139B2 (en) * | 2013-05-07 | 2016-03-29 | Prathamesh Anand Korgaonkar | System and method for multifactor authentication and login through smart wrist watch using near field communication |
US10237732B2 (en) * | 2013-06-12 | 2019-03-19 | Telecom Italia S.P.A. | Mobile device authentication in heterogeneous communication networks scenario |
US9819623B2 (en) * | 2013-07-24 | 2017-11-14 | Oracle International Corporation | Probabilistic routing of messages in a network |
US20150039908A1 (en) * | 2013-07-30 | 2015-02-05 | Deutsche Telekom Ag | System and Method for Securing A Credential Vault On A Trusted Computing Base |
US9094396B2 (en) * | 2013-11-22 | 2015-07-28 | Match.Com, L.L.C. | Integrated profile creation for a social network environment |
US9444805B1 (en) * | 2014-01-27 | 2016-09-13 | Microstrategy Incorporated | Context-aware validation |
US9722984B2 (en) * | 2014-01-30 | 2017-08-01 | Netiq Corporation | Proximity-based authentication |
WO2015192208A1 (en) * | 2014-06-16 | 2015-12-23 | Kinderguardian Inc. | System and method for managing behavior |
GB2527603B (en) * | 2014-06-27 | 2016-08-10 | Ibm | Backup and invalidation of authentication credentials |
WO2016112290A1 (en) * | 2015-01-09 | 2016-07-14 | Interdigital Technology Corporation | Scalable policy based execution of multi-factor authentication |
US9756041B2 (en) * | 2015-04-30 | 2017-09-05 | Rockwell Automation Technologies, Inc. | Offline access control for an application |
US20160337353A1 (en) * | 2015-05-11 | 2016-11-17 | Interactive Intelligence Group, Inc. | System and method for multi-factor authentication |
US10304048B2 (en) * | 2015-06-30 | 2019-05-28 | Paypal, Inc. | Limited use authentication on detection of non-operational device |
US10075557B2 (en) * | 2015-12-30 | 2018-09-11 | Amazon Technologies, Inc. | Service authorization handshake |
US10009340B2 (en) * | 2016-03-25 | 2018-06-26 | Fortinet, Inc. | Secure, automatic second factor user authentication using push services |
US10127228B2 (en) * | 2016-04-13 | 2018-11-13 | Google Llc | Techniques for proactively providing translated text to a traveling user |
-
2016
- 2016-05-06 US US15/148,571 patent/US10305901B2/en active Active
-
2017
- 2017-05-04 EP EP17169459.9A patent/EP3242499B1/en active Active
- 2017-05-08 CN CN201710316753.7A patent/CN107438004B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101222488A (zh) * | 2007-01-10 | 2008-07-16 | 华为技术有限公司 | 控制客户端访问网络设备的方法和网络认证服务器 |
AU2015100350B4 (en) * | 2012-09-27 | 2016-05-26 | Commonwealth Bank Of Australia | Payment authorisation method and system |
CN104767719A (zh) * | 2014-01-07 | 2015-07-08 | 阿里巴巴集团控股有限公司 | 确定登录网站的终端是否是移动终端的方法及服务器 |
CN104539599A (zh) * | 2014-12-19 | 2015-04-22 | 广州杰赛科技股份有限公司 | 一种无感知接入认证方法及系统 |
CN105119931A (zh) * | 2015-09-11 | 2015-12-02 | 深圳市亚略特生物识别科技有限公司 | 应用登录方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
US20170324737A1 (en) | 2017-11-09 |
US10305901B2 (en) | 2019-05-28 |
CN107438004A (zh) | 2017-12-05 |
EP3242499B1 (en) | 2019-07-10 |
EP3242499A1 (en) | 2017-11-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107438004B (zh) | 用于多因素认证的系统和方法 | |
US9275218B1 (en) | Methods and apparatus for verification of a user at a first device based on input received from a second device | |
US10057022B2 (en) | Method for controlling access to an in-vehicle wireless network | |
US10075438B2 (en) | Methods and systems for server-initiated activation of device for operation with server | |
CN112566050B (zh) | 附件无线设备的蜂窝服务账户转移 | |
US9503894B2 (en) | Symbiotic biometric security | |
CN107241339B (zh) | 身份验证方法、装置和存储介质 | |
CN103152400A (zh) | 通过移动终端进行登录的方法、系统和云端服务器 | |
KR20080091382A (ko) | 최종 사용자 인증을 위한 시스템, 장치 및 방법 | |
US9946859B2 (en) | Systems and methods for enabling a lock screen of an electronic device | |
CN107852603B (zh) | 终端认证的方法及设备 | |
CN108028755B (zh) | 用于认证的方法及装置 | |
CN107710673B (zh) | 用户身份认证的方法及设备 | |
WO2016030132A1 (en) | A method for signing data, corresponding first device and system | |
US20140189789A1 (en) | Method and apparatus for ensuring collaboration between a narrowband device and a broadband device | |
CN105574400A (zh) | 一种信息处理方法及电子设备 | |
CN105227749A (zh) | 屏幕解锁方法及系统 | |
US11943624B2 (en) | Electronic subscriber identity module transfer eligibility checking | |
KR102054424B1 (ko) | 사용자 단말과의 복수 채널 인증을 지원하는 보안 서비스 제공 시스템 및 방법, 그리고 컴퓨터 프로그램이 기록된 비휘발성 기록매체 | |
CN111095248B (zh) | 对端辅助型增强认证 | |
US20230354040A1 (en) | In-field remote profile management for wireless devices | |
KR102054421B1 (ko) | 복수 채널 인증을 지원하는 보안 서비스 제공 시스템 및 방법, 그리고 컴퓨터 프로그램이 기록된 비휘발성 기록매체 | |
EP2712221A1 (en) | Smart plug or cradle | |
US20180248868A1 (en) | Method and communication system for secured and automated communication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |