CN108141434B - 经由设备通知提供多因素认证凭证 - Google Patents
经由设备通知提供多因素认证凭证 Download PDFInfo
- Publication number
- CN108141434B CN108141434B CN201680043933.6A CN201680043933A CN108141434B CN 108141434 B CN108141434 B CN 108141434B CN 201680043933 A CN201680043933 A CN 201680043933A CN 108141434 B CN108141434 B CN 108141434B
- Authority
- CN
- China
- Prior art keywords
- application
- authentication
- notification
- computing device
- user interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了用于提供多因素认证凭证的各种实施方案。在一个实施方案中,响应于来自应用的请求,在显示器的通知区域中生成通知。经由所述通知来便于用户批准的输入。响应于接收到所述批准,向所述应用传送安全凭证。在另一个实施方案中,可以在所述通知区域中显示所述安全凭证,使得用户可以在所述应用的表单字段中输入所述安全凭证。
Description
相关申请的交叉引用
本申请要求2016年7月27日提交的美国申请No. 14/809,757的优先权和权益,并要求2016年7月27日提交的美国申请No. 14/809,762的优先权和权益,这些美国申请的全文以引用方式并入本文中。
背景技术
多因素认证是一种访问控制方法,比传统采用的单因素方法提供了更高程度的安全性。多因素认证可以采用从以下各项中选择的两个或更多个认证因素:用户知道什么(例 如,密码、基于认知的问题, 等等)、用户有什么(例如,由令牌生成的一次性密码、经由不同通信信道发送的一次性密码,等等)和用户是谁(例如,指纹扫描或其他生物统计数据)。例如,要成功登录到网络服务,用户可能必须提供用户名、密码和由硬件令牌生成的一次性密码。因此,危及用户名和密码的恶意用户无法登录,同时也无法访问硬件令牌。可经由基于时间的一次性密码算法、散列链和其他方法来生成一次性密码。
附图简述
参考以下附图可以更好地理解本公开的多个方面。附图中的组件不一定按比例绘制,而是着重于清楚地示出本公开的原理。此外,在附图中,相同的参考数字在所有视图中表示对应的部分。
图1A和图1B是根据本公开的各种实施方案的由移动设备呈现的示例用户界面的直观图。
图2A和图2B是根据本公开的各种实施方案的联网环境的示意性框图。
图3至图5是根据本公开的各种实施方案的示出了作为在图2A的联网环境中在客户端中执行的认证器应用的部分来实现的功能的例子的流程图。
图6是根据本公开的各种实施方案的示出了作为在图2A的联网环境中在客户端中执行的客户端应用的部分来实现的功能的一个例子的流程图。
图7是根据本公开的各种实施方案的示出了作为在图2B的联网环境中在客户端应用、认证器应用、认证端点和认证代理之间的交互作用的一个例子的序列图。
图8是根据本公开的各种实施方案的提供了在图2A的联网环境中采用的计算环境的一个示例图示的示意性框图。
具体实施方式
本公开涉及用于提供多因素认证凭证的方法。多因素认证越来越多地用于登录网络站点或应用。在过去,用户名和密码可能已经是认证所需的全部内容,而网络站点和应用现在可能需要提供额外的认证因素。除了必须证明他或她知道什么之外(即,密码),用户现在可能必须证明他或她有什么。这可能涉及由用户设备生成的和/或经由可信通信信道发送给用户的一次性密码(例如, 到已知地址的电子邮件、到已知电话号码的文本消息、到已知电话号码的语音呼叫, 等)。
可能要求用户将一次性密码与其他安全凭证(诸如用户名和密码)一起输入到网络页面或应用表单中。如果一次性密码在一台设备上显示并在另一台设备上输入表单中,这可能是一个简单的过程。在这种场景中,用户可以仅查看和键入一次性密码。然而,如果一次性密码由第一应用呈现并且由用户经由第二应用输入,则用户可能必须记住第一应用所显示的一次性密码,切换到第二应用,且然后尝试根据记忆输入一次性密码。这个过程可能涉及在第二应用和第一应用之间不方便地来回切换以输入一次性密码的部分,因为一次性密码可能超出用户的工作记忆的界限。
本公开的各种实施方案利用设备通知以便于用户输入经由不同应用获得的一次性密码和/或其他多因素认证凭证。在移动应用范例中,其可由移动设备中未执行的操作系统使用,应用的用户界面填满了设备显示器的大部分。因此多任务涉及切换在显示器上呈现哪个单一应用,而不是使用对于较小显示器大小可能效率低的窗口化范例。尽管如此,操作系统呈现的通知区域可以与具有焦点的应用的用户界面一起显示。通知区域可以显示当前时间、无线网络信号强度、电池状态和其他状态信息。如本文将要描述的那样,可以在通知区域中显示一次性密码或其他凭证,然后用户可以查看一次性密码或其他凭证并将其键入应用表单字段中以便执行多因素认证。
在另一个实施方案中,可以在通知区域中显示批准请求,并且在批准之后,一次性密码或其他凭证可以向请求它的应用或向代表该应用的服务器自动地传送。这种自动传送可以避免可能另外需要的多个上下文切换,其中用户手动地切换到认证器应用,且然后切换回客户端应用。
在其他方法中,可以使用代理服务器来向或从认证端点传送一个或多个认证因素,而可由客户端设备直接向或从认证端点传送一个或多个其他认证因素。使用实际上不执行认证功能的代理服务器可以提高安全性。例如,如果代理服务器被恶意攻击者危及,则这可能是一次性密码被拦截。然而,一次性密码本身实用性有限,因为它们是有时间限制的。如果没有系统来生成或验证一次性密码,则单独代理服务器的危及不会允许恶意攻击者得到认证。
参考图1A,示出了根据本公开的各种实施方案的便于输入登录信息的示例移动设备100a。移动设备100a包括触摸屏显示器103。触摸屏显示器103上呈现的是应用用户界面106和通知区域109。应用用户界面106对应于在移动设备100中给予焦点的当前正在执行的应用。在这个例子中,应用用户界面106对应于移动银行应用(“移动银行”)并且包括登录表单112,该登录表单请求多个认证因素,该多个认证因素包括用户名、密码和与一次性密码相对应的验证代码。
用户已经选择了要扩展的通知区域109。在扩展的通知区域109内的是组件115,该组件当被选择时,能够将与移动银行应用相对应的一次性密码输入到的登录表单112中用于验证代码。在多个账户与特定应用或登录表单相关联的情况下,用户可以使用通知区域109中的相应组件115来从多个账户中进行选择。虽然在这个例子中,组件115在扩展的通知区域109内,但在其他例子中,组件115可在未扩展的通知区域109内。
现在转向图1B,示出了根据本公开的各种实施方案的便于输入登录信息的示例移动设备100b。与图1A相比,一次性密码本身在通知区域109内作为组件118显示,而不是包括批准组件115。在这个例子中,通知区域109是未扩展的,并且登录表单112具有焦点。因此,用户可以在登录表单112的表单字段中输入一次性密码的同时在组件118中查看一次性密码。在下面的讨论中,提供了该系统及其组件的一般描述,之后讨论了它们的操作。
参考图2A,示出了根据各种实施方案的联网环境200。联网环境200包括经由网络209进行数据通信的计算环境203和一个或多个客户端206。网络209包括例如因特网、内联网、外联网、广域网(WAN)、局域网(LAN)、有线网、无线网、电缆网、卫星网或其他合适的网络或者两个或更多这样的网络的任何组合。
计算环境203可以包括例如服务器计算机或提供计算能力的任何其他系统。另选地,计算环境203可以采用被布置在例如一个或多个服务器组或计算机组或其他布置中的多个计算设备。这样的计算设备可以位于单个安装部分中,或者可以分布在许多不同的地理位置。例如,计算环境203可以包括多个计算设备,该多个计算设备可以共同包括托管或“云”计算资源、网格计算资源和/或任何其他分布式计算布置。在一些情况下,计算环境203可对应于弹性计算资源,其中处理资源、网络资源、存储资源或其他计算相关资源的分配容量可随时间变化。
根据各种实施方案,可以在计算环境203中执行各种应用和/或其他功能。而且,各种数据存储在计算环境203可访问的数据存储区212中。可以理解的是,数据存储区212可以表示多个数据存储区212。例如,存储在数据存储区212中的数据与以下描述的各种应用和/或功能实体的操作相关联。
例如,在计算环境203上执行的组件包括认证端点215和本文未详细讨论的其他应用、服务、过程、系统、引擎或功能。执行认证端点215以促进对网络资源的认证。该认证可以采取多因素认证的形式。例如,认证端点215可从客户端206接收诸如用户名和密码的传统的基于认知的凭证,但认证端点215还可能需要另外的占有因素诸如一次性密码。
在一个实施方案中,客户端206被配置成向认证端点215发送指定注册凭证221的凭证请求218。假设注册凭证221是有效的,则认证端点215可以返回可以对应于一次性密码的安全凭证224。注册凭证221可以对应于指示客户端206的认证的长期凭证以接收安全凭证224。在另一个实施方案中,认证端点215可以从客户端206接收共享种子请求225,且然后返回共享种子226以用于生成安全凭证224,假设客户端206另外进行了认证。
认证端点215可以采用诸如超文本传输协议(HTTP)、简单对象访问协议(SOAP)、代表性状态转移(REST)和/或其他协议的协议。在一个实施方案中,认证端点215可以包括商业上可用的HTTP服务器,例如,Apache® HTTP服务器、Apache® Tomcat®服务器、Microsoft®因特网信息服务 (IIS)服务器等。
存储在数据存储区212中的数据包括例如共享种子226、注册凭证221以及潜在的其他数据。所存储的另外的数据可以包括例如登录信息、用户名、密码、实名、网站名称和域名、统一资源定位符(URL)、支付工具信息(例如,信用卡号码和相关联信息、活期账户信息等)、识别号码、安全密钥、生日、对基于认知的安全问题的回答、宠物名称、出生地点和/或其他信息。
客户端206是可以耦合到网络209的多个客户端设备的代表。客户端206可以包括例如基于处理器的系统诸如计算机系统。这个计算机系统可在以下形式中体现:台式计算机;膝上型计算机;信息亭;个人数字助理;蜂窝电话;智能电话;机顶盒;音乐播放器;网络平板电脑;平板计算机系统;游戏控制台;电子书阅读器;销售点(POS)终端;信用卡终端;或具有相似能力的其他设备。客户端206可以包括显示器233。显示器233可以包括例如一个或多个设备诸如触摸屏、液晶显示器(LCD)显示器、基于气体等离子体的平板显示器、有机发光二极管(OLED)显示器、电泳墨水(E墨水)显示器、LCD投影仪或其他类型的显示设备。
客户端206可以被配置成执行各种应用和系统,诸如认证器应用236、客户端应用239、操作系统240、通知区域小组件241和/或其他应用。在一种情况下,执行认证器应用236以在显示器233上呈现用户界面242,这使得用户能够配置认证器应用236来为账户提供安全凭证224诸如一次性密码。认证器应用236可以被配置成使用共享种子243来生成这样的安全凭证224,或者可以被配置成通过注册凭证221来从诸如认证端点215的服务器获得这样的凭证。
可以在例如客户端206中执行客户端应用239以访问由计算环境203和/或其他服务器提供的网络内容,由此在显示器233上呈现用户界面242。每个客户端应用239可以例如对应于浏览器、移动应用、购物应用、银行应用、音乐播放应用、视频应用、游戏应用、社交应用和/或可能请求用户的信息以不时地操作的其他应用。客户端应用239可以对应于本地应用、web应用、混合应用或其他应用。
认证器应用236可以与操作系统240集成,使得当用户执行各种客户端应用239时使安全凭证224可用。例如,操作系统240可以包括通知区域小组件241,诸如在Android® 平台上找到的状态栏。当显示器233上正呈现客户端应用239的用户界面242时,可以经由显示器233访问通知区域小组件241。认证器应用236可以将一个或多个通知组件添加到通知区域小组件241,使得通知组件的选择可以批准向当前正在执行的客户端应用239提供安全凭证224。另选地,通知区域小组件241可以被配置成呈现安全凭证224,使得用户可以手动地将其输入到客户端应用239的用户界面242的表单字段中。
在2013年12月16日提交的且标题为“PROVIDING ACCOUNT INFORMATION TOAPPLICATIONS”的美国专利申请号14/107,150中描述了用于经由状态栏向应用提供存储的账户信息的技术,该文献全文以引用方式并入本文。在2014年12月16日提交的且标题为“COMPUTING DEVICE WITH INTEGRATED AUTHENTICATION TOKEN”的美国专利申请号14/572,739中描述了用于在显示器上呈现认证代码的技术,该文献全文以引用方式并入本文。
参考图2B,示出了根据各种实施方案的另一联网环境250。联网环境250包括经由网络209进行数据通信的计算环境203、计算环境252以及一个或多个客户端206。计算环境252可以类似于计算环境203,但可以由不同的实体操作和/或可以与计算环境203保持一定程度的网络分离。
在计算环境252上执行的是认证代理254。认证代理254可用于提供安全凭证224(图2A)的生成和/或解释的分离等级。在该实施方案中,客户端206上的认证器应用236经由认证请求256来与认证代理254进行通信。认证代理254仅经由代理的认证请求258来向计算环境203的认证端点215传递认证请求256。认证端点215生成认证响应260,该认证响应被返回到认证代理254。认证代理254将认证响应260作为代理的认证响应262返回给客户端206。另选地,上述通信可由认证端点215发起,而不是由客户端206发起。
图2B的代理体系结构可用于为多因素认证中的多个因素之一的传送和接收提供分离层。在一个场景中,认证器应用236可与认证代理254进行通信以授权客户端应用239的访问,其中客户端应用239已经向认证端点215提供了不同的认证因素。例如,可以通过认证代理254来从认证端点215向认证器应用236发送推送通知。
用户可以使用认证器应用236批准认证,其中经由认证代理254来向认证端点215发送该批准。批准可包括一次性密码,或使用公私密钥对。在一些例子中,可以诸如通过活动目录(ACTIVE DIRECTORY)来将公私密钥对内置到客户端206。认证代理254不执行对客户端206返回的结果的验证 (即,认证请求256)。相反,认证代理254可能不能验证或证实由客户端206提供的认证因素。就这一点而言,可以在计算环境203处维护用于执行该验证的密钥和/或共享种子226。认证端点215可以执行该验证,或者可在计算环境203中通过单独的服务(例如,远程认证拨入用户服务(RADIUS)服务器)来处理该验证。
同时,由客户端206向认证端点215直接提供附加的认证因素(例如,密码),而不需要认证代理254的代理。在一些实施中,认证端点215可以强制要求由单独的客户端206执行对认证器应用236和客户端应用239的认证。这可以参照可以唯一地标识客户端206的因特网协议(IP)地址、媒体访问控制(MAC)地址、操作系统标识符、设备标识符和/或其他类型的标识符来实施。
接下来参考图3,示出了根据实施方案的提供认证器应用236的一部分的操作的一个例子的流程图。应当理解,图3的流程图仅提供了可用于实现如本文所述的认证器应用236的部分的操作的许多不同类型的功能布置的例子。作为替代方案,图3的流程图可被视为描绘了根据一个或多个实施方案的在客户端206中实现的方法的元素的例子。
从框303开始,认证器应用236获取用于生成安全凭证224 (图2A)的共享种子243(图2A)。例如,认证器应用236可以从包含快速响应(QR)码、条形码、机器可读文本 等等的图像中获取共享种子243。也可经由近场通信(NFC)、蓝牙、WI-FI、红外、声学耦合和/或其他无线技术来传输共享种子243。在一些情况下,获取共享种子243可涉及生成种子并且经由网络209 (图2A)来与认证端点215共享它。在框306中,认证器应用236将共享种子243与一个或多个客户端应用239 (图2A)或账户相关联。可能的是,对于不同的账户或客户端应用239可以使用不同的共享种子243。
在框309中,认证器应用236获得生成安全凭证224的请求。可以从客户端应用239接收该请求。例如,认证器应用236可与特定方案名称(例如,“认证器”)相关联,并且客户端应用239可经由统一资源定位符(URL)诸如“authenticator:// generatePassword/appID=UID”来调用认证器应用236,其中UID对应于特定客户端应用239的唯一标识符。也可以指定账户标识符。在另一场景中,可通过认证端点215 (图2A)来向注册认证器应用236推送请求。
在框312中,认证器应用236确定与客户端应用239相关联的共享种子243。在框315中,认证器应用236至少部分地基于当前时间和所确定的共享种子243来生成安全凭证224。在其他实施方案中,可使用其他算法来生成安全凭证224。
在框318中,认证器应用236使批准组件在通知区域小组件241 (图2A)中作为通知呈现,这与图1A的例子类似。批准组件可向用户指示特定客户端应用239已经请求访问特定安全凭证224。用户可以选择批准或拒绝向客户端应用239传送安全凭证224的请求。
在框321中,认证器应用236接收用户批准的指示。在一个例子中,用户可仅选择按钮或其他用户界面组件来指示批准。在另一个例子中,用户可能必须提供指纹或其他生物标识符以进一步保护批准过程。认证器应用236可被配置成在认为用户批准已经发生之前验证生物标识符。客户端206可在触摸屏显示器233中结合指纹识别技术,或者可在客户端206中存在单独的设备以接收指纹。在需要指纹识别的一些情况下,认证器应用236可能需要识别对应于特定用户的特定手指。在又一个例子中,可能要求用户输入个人标识号(PIN)或其他标识符以便于用户批准。在各种情况下,用户批准可对应于家长控制,使得在儿童用户能够经由安全凭证224的传送来访问应用或资源之前可能需要父母的指纹或其他标识符。
在框324中,认证器应用236响应于用户批准来向客户端应用239传送安全凭证224。例如,可由认证器应用236调用具有与特定客户端应用239相关联的方案名称的URL(例 如,“clientApplication://code=314159” ,其中“314159”是安全凭证224)来自动地传送安全凭证224。在一些情况下,认证器应用236可被配置成向服务器自动地传送安全凭证224。此后,认证器应用236的该部分结束。
转到图4,示出了根据另一个实施方案的提供认证器应用236的一部分的操作的一个例子的流程图。应当理解,图4的流程图仅提供了可用于实现如本文所述的认证器应用236的部分的操作的许多不同类型的功能布置的例子。作为替代方案,图4的流程图可被视为描绘了根据一个或多个实施方案的在客户端206中实现的方法的元素的例子。
从框403开始,认证器应用236获取用于生成安全凭证224 (图2A)的共享种子243(图2A)。例如,认证器应用236可以从包含快速响应(QR)码、条形码、机器可读文本 等等的图像中获取共享种子243。也可经由近场通信(NFC)、蓝牙、WI-FI、红外、声学耦合和/或其他无线技术来传输共享种子243。在一些情况下,获取共享种子243可涉及生成种子并且经由网络209 (图2A)来与认证端点215共享它。在框406中,认证器应用236将共享种子243与一个或多个客户端应用239 (图2A)或账户相关联。可能的是,对于不同的账户或客户端应用239可以使用不同的共享种子243。
在框409中,认证器应用236获得生成安全凭证224的请求。可以从客户端应用239接收该请求。例如,认证器应用236可与特定方案名称(例如,“认证器”)相关联,并且客户端应用239可经由统一资源定位符(URL)诸如“authenticator:// generatePassword/appID=UID”来调用认证器应用236,其中UID对应于特定客户端应用239的唯一标识符。也可以指定账户标识符。在另一场景中,可通过认证端点215 (图2A)来向注册认证器应用236推送请求。
在框412中,认证器应用236确定与客户端应用239相关联的共享种子243。在框415中,认证器应用236至少部分地基于当前时间和所确定的共享种子243来生成安全凭证224。在其他实施方案中,可使用其他算法来生成安全凭证224。
在框418中,认证器应用236使所生成的安全凭证224在通知区域小组件241中呈现为通知,这与图1B的例子类似。然后,用户可以查看安全凭证224并将其手动输入到由客户端应用239呈现的用户界面242 (图2A)的表单字段中。因此,通知可以与客户端应用239的用户界面242一起在显示器233 (图2A)上同时呈现。
尤其是从被配置成诸如利用移动设备在显示器233上一次呈现至多一个应用用户界面242的操作系统240的观点来看,这可能是重要的。例如,用户界面242和通知区域小组件241可以被配置成当安全凭证224呈现在通知区域小组件241中时填满整个显示器233。
在框421中,认证器应用236可以使包含安全凭证224的通知从通知区域小组件241中移除。这可以在预定义的时间量过去之后或者响应于指示安全凭证224已使用的通信而完成。例如,客户端应用239或认证端点215 (图2A)可以对认证器应用236进行回叫,该回叫指示安全凭证224已被使用。可经由使用X.509证书、安全套接字层(SSL)和/或其他技术来确认来自认证端点215的通信的真实性。可由认证器应用236使用认证器应用236和认证端点215或客户端应用239之间的推式或拉式通信布置来接收该通信。此后,认证器应用236的该部分结束。
继续参考图5,示出了根据又一实施方案的提供认证器应用236的一部分的操作的一个例子的流程图。应当理解,图5的流程图仅提供了可用于实现如本文所述的认证器应用236的部分的操作的许多不同类型的功能布置的例子。作为替代方案,图5的流程图可被视为描绘了根据一个或多个实施方案的在客户端206中实现的方法的元素的例子。
从框503开始,认证器应用236接收用于从认证端点215 (图2A)获得安全凭证224(图2A)的注册凭证221 (图2A)。注册凭证221可以是长期凭证。客户端206可以被认证以便接收注册凭证221。在框506中,认证器应用236将注册凭证221与一个或多个客户端应用239(图2A)或账户相关联。
在框509中,认证器应用236接收对安全凭证224的请求。例如,认证器应用236可与特定方案名称(例如,“认证器”)相关联,并且客户端应用239可经由统一资源定位符(URL)诸如“authenticator:// generatePassword/appID=UID”来调用认证器应用236,其中UID对应于特定客户端应用239的唯一标识符。也可以指定账户标识符。在另一场景中,可通过认证端点215 (图2A)来向注册认证器应用236推送请求。在框512中,认证器应用236确定与客户端应用239相关联的注册凭证221。
在框515中,认证器应用236至少部分地基于注册凭证221而经由网络209 (图2A)来从认证端点215(图2A)请求安全凭证224。换句话说,认证器应用236能够使用注册凭证221来与认证端点215进行认证,以便接收安全凭证224。在框518中,认证器应用236如图4的框418那样向用户呈现安全凭证224或者如图3的框318至324那样向客户端应用239传送安全凭证224。在一些情况下,认证器应用236可被配置成向服务器自动地传送安全凭证224。此后,认证器应用236的该部分结束。
接下来参考图6,示出了根据各种实施方案的提供客户端应用239的一部分的操作的一个例子的流程图。应当理解,图6的流程图仅提供了可用于实现如本文所述的客户端应用239的部分的操作的许多不同类型的功能布置的例子。作为替代方案,图6的流程图可被视为描绘了根据一个或多个实施方案的在客户端206 (图2A)中实现的方法的元素的例子。
从框603开始,客户端应用239确定要求安全凭证224 (图2A)。在框603中,客户端应用239可从认证器应用236请求安全凭证224 (图2A)。另选地,客户端应用239可从服务器请求安全凭证224。在一些场景中,安全凭证224可对于特定客户端应用239或由客户端应用239使用的账户是特定的。例如,客户端应用239可经由统一资源定位符(URL)诸如“authenticator://generatePassword/ appID=UID”来调用认证器应用236,其中UID对应于特定客户端应用239的唯一标识符。另选地,客户端应用239可仅呈现提示用户输入安全凭证224的用户界面242,并且用户可手动调用认证器应用236来提供安全凭证224。如果客户端应用239和认证器应用236在不同客户端206上执行,则可以在不同客户端206之间建立直接网络连接以请求和/或交换安全凭证224。
在框606中,客户端应用239确定是否自动传送安全凭证224。如果自动传送安全凭证224,则在框612中,客户端应用239从认证器应用236接收安全凭证224。例如,认证器应用236可以调用具有与特定客户端应用239相关联的方案名称的URL,例如,“clientApplication://code=314159”,其中“314159”是安全凭证224。通过自动传送,避免了客户端应用239和认证器应用239之间的不必要的上下文切换。在一些情况下,可经由网络209从与认证器应用239通信的服务器接收安全凭证224。在自动传送时,用户界面242的表单字段可用安全凭证224预先填充。客户端应用239前进至框615。
如果客户端应用239不使用自动传送来接收安全凭证224,则客户端应用239从框609移动到框618并且经由用户界面242的表单字段从用户手动接收安全凭证224。通知区域小组件241 (图2A)可呈现示出安全凭证224的通知组件,并且用户可以同时查看和输入安全凭证224。客户端应用239然后移到框615。
在框615中,客户端应用239至少部分地基于安全凭证224来与认证端点215 (图2A)进行认证。在一个例子中,安全凭证224仅是将要提供给认证端点215以成功认证的几个认证器因素之一。客户端应用239的用户界面242可以引出其他因素,诸如用户名、密码、生物统计因素等等。在认证之后,可启用客户端应用239以访问安全的网络资源。此后,客户端应用239的该部分结束。
转到图7,示出了根据各种实施方案的提供了客户端应用239、认证器应用236、认证端点215和认证代理254之间的交互作用的一个例子的序列图700。应当理解,图7的序列图700仅提供了如本文所述的许多不同类型的功能布置的例子。
从框703开始,客户端应用239生成指定第一认证因素的认证请求。然后,向认证端点215发送认证请求。例如,客户端应用239可通过用户名和密码组合来请求认证。另选地,客户端应用239可仅通知认证端点215或认证器应用236已请求了认证。
在框706中,认证端点215从认证器应用236请求第二认证因素。另选地,对第二认证因素的请求可源自客户端应用239。另选地,用户可以显式地调用认证器应用236。在认证器应用236和客户端应用239在不同客户端206 (图2A)中执行的情况下,可采用本地网络上的发现程序来实现通信。
在框709中,认证器应用236生成用户界面242,该用户界面被配置成接收对客户端应用239的用户批准以继续进行认证。例如,认证器应用236可呈现批准按钮,该批准按钮在被选择时指示用户批准客户端应用239的认证。在框712中,认证器应用236经由用户界面242接收用户批准。在框715中,认证器应用236产生第二认证因素, 例如,一次性密码。另选地,认证器应用236可从服务器接收第二认证因素。
然后,认证器应用236向认证代理254发送第二认证因素。认证代理254是充当认证端点215的代理的认证服务。认证代理254可能不能验证第二认证因素。在框721中,认证代理254向认证端点215转发第二认证因素。到此为止,认证端点215已从多个来源(客户端应用239和认证器应用236) (通过认证代理254)接收到针对认证请求的多个认证因素。
在框724中,认证端点215验证第一和第二认证因素。而且,认证端点215可验证第一和第二认证因素由不同的客户端206提供。在框727中,在认证了客户端应用239之后,认证端点215可向客户端应用239返回认证令牌。之后,序列图700结束。
参考图8,示出了根据本公开的实施方案的客户端206的示意性框图。客户端206包括至少一个处理器电路,该至少一个处理器电路例如具有处理器803和存储器806,处理器和存储器均耦合到本地接口809。可以理解的是,本地接口809可包括例如具有伴随地址的数据总线/控制总线或其他总线结构。计算环境203 (图2A)可由具有相似结构的一个或多个计算设备组成。
存储在存储器806中的是数据和可由处理器803执行的若干组件。具体地讲,存储在存储器806中并且可由处理器803执行的是认证器应用236、客户端应用239以及潜在的其他应用。还存储在存储器806中的可以是数据存储区。另外,具有通知区域小组件241的操作系统240可存储在存储器806中并且可以由处理器803执行。
应当理解,可存在其他应用存储在存储器806中并且可由处理器 803执行,如可以理解的那样。在本文讨论的任何组件以软件的形式实现的情况下,可以采用多种编程语言中的任何一种,例如C、C++、C#、Objective C、Java®、JavaScript®、Perl、PHP、Visual Basic®、Python®、Ruby、Flash®或其他编程语言。
多个软件组件存储在存储器806中并且可由处理器803执行。在这方面,术语“可执行”是指处理器803最终可运行的形式的程序文件。可执行程序的例子可以是例如:以可加载到存储器806的随机存取部分中并且由处理器803运行的格式的可转换成机器代码的编译程序;可以诸如能够加载到存储器806的随机存取部分中并且由处理器803执行的目标代码的正确格式来表达的源代码;或者可由另一个可执行程序解释以在存储器806的随机存取部分中生成指令以由处理器803执行的源代码;等等。可执行程序可存储在存储器806的任何部分或组件中,包括例如随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、固态驱动器、USB闪存驱动器、存储卡、诸如压缩盘(CD)或数字多功能盘(DVD)的光盘、软盘、磁带或其他存储器组件。
存储器806在本文中被定义为包括易失性和非易失性存储器以及数据存储组件。易失性组件是在断电时不保留数据值的组件。非易失性组件是在断电时保留数据的组件。因此,存储器806可包括例如随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器、固态驱动器、USB闪存驱动器、经由存储卡读卡器存取的存储卡、经由相关联的软盘驱动器存取的软盘、经由光盘驱动器存取的光盘、经由适当的磁带驱动器存取的磁带和/或其他存储器组件,或者这些存储器组件中的任何两个或更多个的组合。另外,RAM可包括例如静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)或磁随机存取存储器(MRAM)以及其他这样的设备。ROM可包括例如可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或其他类似的存储器设备。
而且,处理器803可表示多个处理器803和/或多个处理器内核,并且存储器806可表示分别在并行处理电路中操作的多个存储器806。在这种情况下,本地接口809可以是促进多个处理器803中的任何两个处理器之间、任何处理器803与任何存储器806之间、或任何两个存储器806之间等等的通信的适当网络。本地接口809可以包括被设计为协调该通信的另外系统,包括例如执行负载平衡。处理器803可具有电结构或某个其他合适的结构。
虽然认证器应用236、客户端应用239、操作系统240以及本文所述的其他各种系统可如上文所论述以通用硬件执行的软件或代码来体现,但作为替代方案,它们也可以专用硬件或者软件/通用硬件和专用硬件的组合来体现。如果以专用硬件体现,则每一个都可以被实现为采用多种技术中的任何一种或组合的电路或状态机。这些技术可以包括但不限于具有用于在施加一个或多个数据信号时实现各种逻辑功能的逻辑门的分立逻辑电路、具有适当逻辑门的专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其他组件 等等。这些技术通常为本领域技术人员所熟知,且因此在此不再详述。
图3至图6的流程图和图7的序列图示出了认证器应用236、客户端应用239、认证端点215和/或认证代理254的各部分的实现的功能和操作。如果以软件体现,则每个框都可以表示包括用于实现指定逻辑功能的程序指令的代码的模块、段或部分。程序指令可以以源代码的形式来体现,该源代码包括以编程语言编写的人类可读语句或者包括由合适的执行系统(诸如计算机系统或其他系统中的处理器803)可识别的数字指令的机器代码。机器代码可以从源代码转换而来等等。如果以硬件体现,则每个框都可以表示用于实现指定逻辑功能的电路或多个互连电路。
尽管图3至6的流程图和图7的序列图示出了特定执行顺序,但应当理解,执行顺序可不同于所描述的顺序。例如,两个或更多个框的执行顺序可以相对于所示的顺序被加扰。而且,在图3至图7中连续示出的两个或更多个框可以同时执行或部分同时执行。此外,在一些实施方案中,可以跳过或省略图3至图7中示出的一个或多个框。另外,为了增强实用性、计费、性能测量或提供故障排除辅助等,可能向本文所述的逻辑流添加任何数量的计数器、状态变量、警告信号或消息。应当理解,所有这些变化都在本公开的范围内。
而且,本文所述的包括认证器应用236、客户端应用239和操作系统240的包括软件或代码的任何逻辑或应用都可以任何非暂时性计算机可读介质来体现,该非暂时性计算机可读介质供指令执行系统诸如计算机系统或其他系统中的处理器803使用或与之结合使用。在这个意义上,逻辑可以包括例如包括可以从计算机可读介质提取并且由指令执行系统执行的包括指令和声明的语句。在本公开的上下文中,“计算机可读介质”可以是能够包含、存储或维护本文描述的供指令执行系统使用或与指令执行系统结合使用的逻辑或应用的任何介质。
计算机可读介质可以包括许多物理介质中的任何一个,诸如磁介质、光介质或者半导体介质。合适的计算机可读介质的更具体例子包括但不限于磁带、磁性软盘、磁性硬盘驱动器、存储卡、固态驱动器、USB闪存驱动器或光盘。此外,计算机可读介质可以是随机存取存储器(RAM),该随机存取存储器包括例如静态随机存取存储器(SRAM)和动态随机存取存储器(DRAM)或磁性随机存取存储器(MRAM)。另外,计算机可读介质可以是只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)或其他类型的存储器设备。
此外,本文描述的任何逻辑或应用(包括认证器应用236、客户端应用239和操作系统240)可以以各种方式来实现和结构化。例如,所描述的一个或多个应用可实现为单个应用的模块或组件。此外,本文所述的一个或多个应用可以在共享或分离的计算设备或其组合中执行。例如,本文描述的多个应用可以在相同的计算设备中执行,或者在相同的计算环境203中的多个计算设备中执行。此外,应当理解,诸如“应用”、“服务”、“系统”、引擎”、“模块”等的术语可以是可互换的,而并非旨在进行限制。
除非另外特别说明,否则诸如短语“X、Y或Z中的至少一个”的析取语言在上下文中通常应理解为用于呈现项目、项等可以是X、Y或Z或它们的任意组合(例如,X、Y和/或Z)。因此,这种析取语言一般并非意图并且不应该暗示某些实施方案要求X中的至少一个、Y中的至少一个或Z中的至少一个每个都存在。
本公开的实施方案可以根据以下条款来描述:
条款1. 一种体现计算设备中可执行的第一应用的非暂时计算机可读介质,所述非暂时计算机可读介质包括:从图像获取共享种子的代码;将共享种子与第二应用相关联的代码;至少部分地基于当前时间和共享种子来生成一次性密码的代码;响应于经由第一统一资源定位符(URL)从第二应用接收到请求而在计算设备的显示器的操作系统通知区域中生成通知的代码;便于经由通知输入用户批准的代码;以及响应于接收到用户批准而经由第二URL向第二应用传送一次性密码的代码。
条款2. 根据条款1所述的非暂时计算机可读介质,其中第一URL包括与第一应用相关联的第一方案名称,并且第二URL包括与第二应用相关联的第二方案名称。
条款3. 根据条款1至2所述的非暂时计算机可读介质,其中通知包括一次性密码。
条款4. 一种系统,其包括:至少一个计算设备;以及在至少一个计算设备中执行的第一应用,该第一应用包括;在至少一个计算设备的显示器的通知区域中生成通知的逻辑;便于经由通知输入用户批准的逻辑;以及响应于接收到用户批准而向在至少一个计算设备中执行的第二应用传送安全凭证的逻辑。
条款5. 根据条款4所述的系统,其中生成通知的逻辑被配置成响应于来自第二应用的请求而生成通知。
条款6. 根据条款4至5所述的系统,其中生成通知的逻辑被配置成响应于来自服务器的请求而生成通知。
条款7. 根据条款4至6所述的系统,其中安全凭证是一次性密码。
条款8. 根据条款4至7所述的系统,其中第一应用进一步包括经由网络从服务器接收一次性密码的逻辑。
条款9. 根据条款4至8所述的系统,其中第一应用进一步包括生成一次性密码的逻辑。
条款10. 根据条款4至9所述的系统,其中第一应用进一步包括从图像获取种子的逻辑,该种子用于生成一次性密码。
条款11. 根据条款4至10所述的系统,其中第一应用经由具有与第一应用相关联的第一方案名称的第一统一资源定位符(URL)接收请求,并且第二应用经由具有与第二应用相关联的第二方案名称的第二URL接收安全凭证。
条款12. 根据条款4至11所述的系统,其中通知区域与第二应用的用户界面同时呈现在显示器上。
条款13. 根据条款4至12所述的系统,其中安全凭证对于第二应用是特定的。
条款14. 根据条款4至13所述的系统,其中第二应用采用多个认证因素,并且安全凭证对应于多个认证因素中的一个。
条款15. 根据条款4至14所述的系统,其中至少一个计算设备被配置成在显示器上一次呈现一个应用用户界面。
条款16. 一种方法,其包括:通过经由一个或多个计算设备中的至少一个执行的第一应用来确定安全凭证;导致在一个或多个计算设备中的至少一个的显示器上的通知区域中呈现安全凭证,同时在显示器上还呈现经由一个或多个计算设备中的至少一个而执行的第二应用的用户界面;以及通过经由一个或多个计算设备中的至少一个而执行的第二应用来通过用户界面的表单字段接收安全凭证。
条款17. 根据条款16所述的方法,其进一步包括由第二应用向第一应用发送显示安全凭证的请求。
条款18. 根据条款16至17所述的方法,其中经由统一资源定位符(URL)发送显示安全凭证的请求,该统一资源定位符包括注册到第一应用的方案名称。
条款19. 根据条款16至18所述的方法,其中确定安全凭证进一步包括:由第一应用至少部分地基于当前时间和共享种子来生成一次性密码;以及由第一应用至少部分地基于第二应用来从多个种子中识别共享种子。
条款20. 根据条款16至19所述的方法,其中当在通知区域中呈现安全凭证时,用户界面和通知区域填满整个显示器。
条款21. 一种体现至少一个计算设备中可执行的第一应用和第二应用的非暂时计算机可读介质,所述非暂时计算机可读介质包括:确定第一应用已请求认证的代码;导致由第二应用呈现第一用户界面的代码,该第一用户界面引出对认证的用户批准;由第二应用生成一次性密码的代码;响应于接收到用户批准而向第一应用自动地传送一次性密码的代码;导致由第一应用呈现第二用户界面的代码,该第二用户界面包括预先填充有一次性密码的第一表单字段和被配置成接收用户指定的安全凭证的第二表单字段;以及向至少一个认证服务提交一次性密码和用户指定的安全凭证以完成对第一应用的认证的代码。
条款22. 根据条款21所述的非暂时计算机可读介质,其中至少一个认证服务包括第一认证服务和第二认证服务,用户指定的安全凭证被提交给第一认证服务,一次性密码被提交给第二认证服务,并且第二认证服务充当第一认证服务的代理。
条款23. 一种系统,其包括:至少一个计算设备;在至少一个计算设备中执行的第一应用,该第一应用包括:向第一认证服务发送认证请求的逻辑,该认证请求指定第一认证因素;以及在至少一个计算设备中执行的第二应用,该第二应用包括:在至少一个计算设备的显示器上生成用户界面的逻辑,该用户界面有助于输入用户批准;以及响应于接收到用户批准而向第二认证服务发送第二认证因素的逻辑,其中第二认证服务作为第一认证服务的代理来操作。
条款24. 根据条款23所述的系统,其中第一认证服务和第二认证服务由不同的实体操作。
条款25. 根据条款23至24所述的系统,其中第二认证服务不能验证第二认证因素。
条款26. 根据条款23至25所述的系统,其中生成用户界面的逻辑被配置成响应于来自第二认证服务的请求而生成用户界面。
条款27. 根据条款23至26所述的系统,其中生成用户界面的逻辑被配置成响应于来自第一应用的请求而生成用户界面。
条款28. 根据条款23至27所述的系统,其中至少一个计算设备包括第一计算设备和第二计算设备,第一应用在第一计算设备中执行,并且第二应用在第二计算设备中执行。
条款29. 根据条款23至28所述的系统,其中第一认证服务被配置成验证第一应用和第二应用在不同的计算设备中执行。
条款30. 根据条款23至29所述的系统,其中至少一个计算设备包括单个计算设备,并且第一应用和第二应用都在单个计算设备中执行。
条款31. 根据条款23至30所述的系统,其中用户界面包括通知区域中的通知。
条款32. 一种方法,其包括:经由一个或多个计算设备中的至少一个确定第一应用已请求认证;经由一个或多个计算设备中的至少一个导致由第二应用呈现用户界面,该用户界面引出用户批准;经由一个或多个计算设备中的至少一个由第二应用接收用户批准;以及响应于用户批准,经由一个或多个计算设备中的至少一个向接收方自动地传送认证因素,其中认证因素对应于用于执行认证的多个认证因素中的一个。
条款33. 根据条款32所述的方法,其中经由统一资源定位符(URL)向接收方传送认证因素,该统一资源定位符包括向接收方注册的方案名称。
条款34. 根据条款32至33所述的方法,其中认证因素对应于一次性密码。
条款35. 根据条款32至34所述的方法,其中多个认证因素中的另一个对应于用户提供的密码。
条款36. 根据条款32至35所述的方法,其进一步包括由第二应用生成一次性密码。
条款37. 根据条款32至36所述的方法,其进一步包括由第二应用经由网络从另一个计算设备接收一次性密码。
条款38. 根据条款32至37所述的方法,其进一步包括由第一应用向被配置成执行认证的认证服务发送多个认证因素中的至少一个。
条款39. 根据条款32至38所述的方法,其中接收方对应于第一应用。
条款40. 根据条款32至39所述的方法,其中接收方对应于认证服务。
应该强调的是,本公开的上述实施方案仅仅是为了清楚地理解本公开的原理而提出的实施的可能例子。可以对上述实施方案做出许多变化和修改,而实质上不脱离本公开的精神和原理。在本文中,所有这类修改和变化意图被包括在本公开的范围内,并且受所附权利要求书保护。
Claims (15)
1.一种系统,其包括:
数据存储区;和
与所述数据存储区通信的第一计算设备,其中当执行第一应用时,所述第一计算设备被配置为至少:
经由网络从第二计算设备接收一次性密码;
在所述第一计算设备的显示器的操作系统通知区域中生成通知,所述通知包括所述一次性密码;
通过在第二应用的用户界面窗口具有焦点时与所述用户界面窗口同时地显示所述操作系统通知,便于经由在所述显示器上呈现的所述通知将所述一次性密码输入到所述第二计算设备中,其中所述操作系统通知区域和所述用户界面窗口被配置为在所述用户界面窗口具有焦点时基本填满整个所述显示器;以及
响应于接收所述一次性密码,经由统一资源定位符(URL)将安全凭证传送给第二应用,其中所述第二应用在执行所述第一应用的所述第一计算设备上执行。
2.根据权利要求1所述的系统,其中所述一次性密码是由所述第二计算设备至少部分地基于当前时间来生成的。
3.根据权利要求1所述的系统,其中所述一次性密码是由所述第二计算设备至少部分地基于共享种子来生成的。
4.根据权利要求3所述的系统,其中当执行所述第一应用时,所述第一计算设备被配置为经由无线数据传输将所述共享种子至少发送给所述第二计算设备。
5.根据权利要求1所述的系统,其中所述操作系统通知区域还示出所述第一计算设备的电池状态。
6.根据权利要求1所述的系统,其中所述第一计算设备被配置为在所述显示器上一次呈现单个应用用户界面。
7.根据权利要求1所述的系统,其中所述安全凭证特定于由所述第二应用所使用的帐户。
8.一种方法,其包括:
经由一个或多个计算设备中的至少一个接收一次性密码;
通过所述一个或多个计算设备中的至少一个经由统一资源定位符(URL)接收对安全凭证的请求;
经由所述一个或多个计算设备中的至少一个确定所述安全凭证;
经由所述一个或多个计算设备中的至少一个,导致在应用的用户界面窗口具有焦点时,在所述用户界面窗口也呈现在显示器上时在所述显示器上的通知区域中呈现所述安全凭证,其中所述用户界面窗口和所述通知区域被配置为当所述安全凭证呈现在所述通知区域中时基本填满整个所述显示器;
借助于所述用户界面窗口的表单字段,经由所述一个或多个计算设备中的至少一个接收所述应用中的安全凭证。
9.根据权利要求8所述的方法,其中所述应用采用多个认证因素,并且所述安全凭证对应于所述多个认证因素之一。
10.根据权利要求8所述的方法,其中所述通知区域包括通知区域小组件,并且导致在所述通知区域中呈现所述安全凭证包括:将通知组件添加到所述通知区域小组件。
11.根据权利要求8所述的方法,其中所述一次性密码是经由网络从服务器接收的。
12.根据权利要求8所述的方法,进一步包括通过所述一个或多个计算设备中的至少一个经由第二URL从所述应用接收显示所述安全凭证的请求。
13.根据权利要求8所述的方法,其中所述安全凭证特定于由所述应用所使用的账户。
14.根据权利要求8所述的方法,其中所述通知区域作为所述显示器上的状态栏来呈现。
15.根据权利要求8所述的方法,其中所述URL是本地URL。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110889778.2A CN113973004B (zh) | 2015-07-27 | 2016-07-26 | 经由设备通知提供多因素认证凭证 |
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/809,762 US9864852B2 (en) | 2015-07-27 | 2015-07-27 | Approaches for providing multi-factor authentication credentials |
| US14/809757 | 2015-07-27 | ||
| US14/809,757 US10362026B2 (en) | 2013-12-16 | 2015-07-27 | Providing multi-factor authentication credentials via device notifications |
| US14/809762 | 2015-07-27 | ||
| PCT/US2016/043964 WO2017019652A1 (en) | 2015-07-27 | 2016-07-26 | Providing multi-factor authentication credentials via device notifications |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110889778.2A Division CN113973004B (zh) | 2015-07-27 | 2016-07-26 | 经由设备通知提供多因素认证凭证 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108141434A CN108141434A (zh) | 2018-06-08 |
| CN108141434B true CN108141434B (zh) | 2021-08-20 |
Family
ID=56609960
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110889778.2A Active CN113973004B (zh) | 2015-07-27 | 2016-07-26 | 经由设备通知提供多因素认证凭证 |
| CN201680043933.6A Active CN108141434B (zh) | 2015-07-27 | 2016-07-26 | 经由设备通知提供多因素认证凭证 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110889778.2A Active CN113973004B (zh) | 2015-07-27 | 2016-07-26 | 经由设备通知提供多因素认证凭证 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP3329650B1 (zh) |
| JP (2) | JP6622900B2 (zh) |
| CN (2) | CN113973004B (zh) |
| CA (1) | CA2991067C (zh) |
| WO (1) | WO2017019652A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7025684B2 (ja) * | 2017-08-23 | 2022-02-25 | コニカミノルタ株式会社 | 代理認証システム、代理認証方法、プログラム |
| US10586033B2 (en) * | 2017-08-29 | 2020-03-10 | International Business Machines Corporation | Automatic upgrade from one step authentication to two step authentication via application programming interface |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468119A (zh) * | 2014-11-21 | 2015-03-25 | 上海瀚之友信息技术服务有限公司 | 一种一次性密码认证系统及认证方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007095265A2 (en) * | 2006-02-10 | 2007-08-23 | Rsa Security Inc. | Method and system for providing a one time password to work in conjunction with a browser |
| WO2012167352A1 (en) * | 2011-06-10 | 2012-12-13 | Securekey Technologies Inc. | Credential authentication methods and systems |
| US8881250B2 (en) * | 2011-06-17 | 2014-11-04 | Ebay Inc. | Passporting credentials between a mobile app and a web browser |
| KR101284481B1 (ko) * | 2011-07-15 | 2013-07-16 | 아이리텍 잉크 | 생체이미지 정보를 포함하는 일회용 비밀번호를 이용한 인증방법 및 장치 |
| US20130139222A1 (en) * | 2011-11-29 | 2013-05-30 | Rawllin International Inc. | Authentication of mobile device |
| US10049204B2 (en) * | 2012-05-15 | 2018-08-14 | Symantec Corporation | Computer readable storage media for multi-factor authentication and methods and systems utilizing same |
| WO2014022778A1 (en) * | 2012-08-03 | 2014-02-06 | Vasco Data Security, Inc. | User-convenient authentication method and apparatus using a mobile authentication application |
| CN103634265B (zh) * | 2012-08-20 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 安全认证的方法、设备及系统 |
| US20140259028A1 (en) * | 2013-03-05 | 2014-09-11 | Google Inc. | Mechanism for establishing temporary background communication between applications |
| US9055055B1 (en) * | 2013-06-21 | 2015-06-09 | Amazon Technologies, Inc. | Provisioning account credentials via a trusted channel |
-
2016
- 2016-07-26 EP EP16747957.5A patent/EP3329650B1/en active Active
- 2016-07-26 WO PCT/US2016/043964 patent/WO2017019652A1/en unknown
- 2016-07-26 JP JP2018500503A patent/JP6622900B2/ja active Active
- 2016-07-26 CA CA2991067A patent/CA2991067C/en active Active
- 2016-07-26 CN CN202110889778.2A patent/CN113973004B/zh active Active
- 2016-07-26 CN CN201680043933.6A patent/CN108141434B/zh active Active
-
2019
- 2019-11-22 JP JP2019211318A patent/JP6736748B2/ja active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468119A (zh) * | 2014-11-21 | 2015-03-25 | 上海瀚之友信息技术服务有限公司 | 一种一次性密码认证系统及认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108141434A (zh) | 2018-06-08 |
| WO2017019652A1 (en) | 2017-02-02 |
| JP2020024764A (ja) | 2020-02-13 |
| CN113973004A (zh) | 2022-01-25 |
| EP3329650B1 (en) | 2022-09-07 |
| JP2018530028A (ja) | 2018-10-11 |
| JP6622900B2 (ja) | 2019-12-18 |
| CA2991067A1 (en) | 2017-02-02 |
| CA2991067C (en) | 2021-01-12 |
| CN113973004B (zh) | 2022-08-09 |
| EP3329650A1 (en) | 2018-06-06 |
| JP6736748B2 (ja) | 2020-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9864852B2 (en) | Approaches for providing multi-factor authentication credentials | |
| US10362026B2 (en) | Providing multi-factor authentication credentials via device notifications | |
| US10904234B2 (en) | Systems and methods of device based customer authentication and authorization | |
| US10348715B2 (en) | Computer-implemented systems and methods of device based, internet-centric, authentication | |
| US11050741B2 (en) | Applying a function to a password to determine an expected response | |
| US20170244676A1 (en) | Method and system for authentication | |
| US9787672B1 (en) | Method and system for smartcard emulation | |
| US10841297B2 (en) | Providing multi-factor authentication credentials via device notifications | |
| US11563740B2 (en) | Methods and systems for blocking malware attacks | |
| US20110277025A1 (en) | Method and system for providing multifactor authentication | |
| US10122697B2 (en) | Native authentication experience with failover | |
| US9270666B2 (en) | Verification of user communication addresses | |
| Ferry et al. | Security evaluation of the OAuth 2.0 framework | |
| US11770379B1 (en) | Proxy service for two-factor authentication | |
| US11777942B2 (en) | Transfer of trust between authentication devices | |
| JP6736748B2 (ja) | 認証を実行するコンピュータ可読記録媒体、システム、及び方法 | |
| US10866711B1 (en) | Providing account information to applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |