CN108292454B - 访问管理方法及装置 - Google Patents
访问管理方法及装置 Download PDFInfo
- Publication number
- CN108292454B CN108292454B CN201580085017.4A CN201580085017A CN108292454B CN 108292454 B CN108292454 B CN 108292454B CN 201580085017 A CN201580085017 A CN 201580085017A CN 108292454 B CN108292454 B CN 108292454B
- Authority
- CN
- China
- Prior art keywords
- access
- access token
- list
- token
- sequence number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/08—Allotting numbers to messages; Counting characters, words or messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2109—Game systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Abstract
根据本发明的示例性方面,提供一种装置,其包括:存储器,其被配置为存储加密密钥和访问令牌列表;以及至少一个处理核,其被配置为:至少部分地基于当前时间和序列号中的至少一个,从访问令牌列表中选择第一访问令牌;至少部分地基于第一访问令牌,决定是否准许用户设备访问该装置;以及使该装置从该用户设备和第二用户设备中的至少一个接收第二访问令牌列表。
Description
技术领域
本发明涉及管理使用访问令牌对设备的访问的领域。
背景技术
当用户设备尝试访问访问受控的装置时,该用户设备可被要求提供凭证以证明它或该用户被授权访问该装置。例如,当在被访问的装置是电子锁控制器的情况下,用户设备需要拥有密钥,该密钥可以包括例如用以向该装置出示以使得访问得以授权的密码令牌。
凭证可以是静态的,因为它随时间保持不变,或者访问受控装置可被布置为例如通过固定网络连接周期性地接收新凭证。改变凭证的优点在于,在单个凭证被泄露的情况下,未经授权方无法获得对访问受控设备的永久访问。
在物联网(IoT)设置中,访问受控装置例如可被布置为周期性地或一旦凭证用完就根据请求,经由适合的固定网关来请求新凭证。凭证可以包括访问令牌,其中,用户设备可以配备有与访问受控装置中的访问令牌相匹配的访问令牌。例如,访问令牌可以包括可在建立用户设备与访问受控装置之间的密码协议连接中使用的共享密钥。访问令牌例如可在认证用户设备和/或访问受控装置中使用。
用户设备与访问受控装置之间的连接可被实现为有线或无线连接,例如,通用串行总线USB连接、无线局域网WLAN或蓝牙连接,这是方便的并且取决于所讨论的实现。
除了电子锁控制器之外,访问受控设备的示例可以包括实验室设备、医疗设备、汽车、自行车、摩托车、诸如洗衣机的个人电器、工业机械、工业过程控制器以及商用或住宅机械。
发明内容
本发明由独立权利要求的特征限定。一些具体实施例在从属权利要求中限定。
根据本发明的第一方面,提供一种装置,其包括:存储器,其被配置为存储加密密钥和访问令牌列表;以及至少一个处理核,其被配置为:至少部分地基于当前时间和序列号中的至少一个,从访问令牌列表中选择第一访问令牌;至少部分地基于第一访问令牌,决定是否准许用户设备访问该装置;以及使该装置从该用户设备和第二用户设备中的至少一个接收第二访问令牌列表。
第一方面的各个实施例可以包括来自以下符号列表的至少一个特征:
·至少一个处理核被配置为使该装置通过短距离无线接口接收第二访问令牌列表;
·短距离无线接口包括蓝牙接口;
·存储器被配置为存储多个访问令牌列表,其中,每个访问令牌列表包括能够在获得对该装置的不同级别的访问中使用的访问令牌;
·每个列表与用户可相对于该装置而假定的不同角色相对应;
·至少一个处理核被配置为至少部分地基于当前时间,选择第一访问令牌,其中,每个访问令牌与有效性时间间隔相关联;
·至少一个处理核被配置为通过允许每个访问令牌被使用预定次数,至少部分地基于序列号而选择第一访问令牌;
·至少一个处理核被配置为至少部分地基于序列号,选择第一访问令牌,其中,每个访问令牌被启用持续预先配置的时段,在该时段之后所使用的序列号被递增;
·至少一个处理核被配置为使该装置通告当前时间和序列号中的至少一个;
·至少一个处理核被配置为使该装置使用加密密钥来解密第二访问令牌列表,以及至少部分地基于解密的结果,认证第二访问令牌列表。
根据本发明的第二方面,提供一种装置,其包括:至少一个处理核;包括计算机程序代码的至少一个存储器,至少一个存储器和计算机程序代码被配置为与至少一个处理核一起,使该装置至少:获得访问令牌列表;处理信息,该信息包括序列号和当前时间指示中的至少一个;以及至少部分地基于序列号和当前时间指示中的至少一个,从访问令牌列表中选择第一访问令牌,并至少部分地基于第一访问令牌,建立与第一设备的连接。
第二方面的各个实施例可以包括来自以下符号列表的至少一个特征:
·至少一个存储器和计算机程序代码被配置为与至少一个处理核一起,使该装置至少部分地基于当前时间,选择第一访问令牌,其中,每个访问令牌与有效性时间间隔相关联;
·至少一个存储器和计算机程序代码被配置为与至少一个处理核一起,使该装置至少部分地基于序列号,选择第一访问令牌,其中,每个访问令牌被允许使用预定次数;
·至少一个存储器和计算机程序代码被配置为与至少一个处理核一起,使该装置至少部分地基于序列号,选择第一访问令牌,其中,每个访问令牌被启用持续预先配置的时段,在该时段之后所使用的序列号被递增;
·至少一个存储器和计算机程序代码被配置为与至少一个处理核一起,使该装置获得第二访问令牌列表,以及向第一设备提供第二访问令牌列表。
根据本发明的第三方面,提供一种方法,其包括:存储加密密钥和访问令牌列表;至少部分地基于当前时间和序列号中的至少一个,从访问令牌列表中选择第一访问令牌;至少部分地基于第一访问令牌,决定是否准许用户设备访问装置;以及使该装置从该用户设备和第二用户设备中的至少一个接收第二访问令牌列表。
第三方面的各个实施例可以包括与来自先前结合第一方面列出的符号列表的特征相对应的至少一个特征。
根据本发明的第四方面,提供一种方法,其包括:获得访问令牌列表;处理信息,该信息包括序列号和当前时间指示中的至少一个;以及至少部分地基于序列号和当前时间指示中的至少一个,从访问令牌列表中选择第一访问令牌,并至少部分地基于第一访问令牌,建立与第一设备的连接。
第四方面的各个实施例可以包括与来自先前结合第二方面列出的符号列表的特征相对应的至少一个特征。
根据本发明的第五方面,提供一种装置,其包括:用于存储加密密钥和访问令牌列表的装置;用于至少部分地基于当前时间和序列号中的至少一个,从访问令牌列表中选择第一访问令牌的装置;用于至少部分地基于第一访问令牌,决定是否准许用户设备访问装置的装置;以及用于使该装置从该用户设备和第二用户设备中的至少一个接收第二访问令牌列表的装置。
根据本发明的第六方面,提供一种装置,其包括:用于获得访问令牌列表的装置;用于处理在第一设备中始发的通告的装置,其中,该通告包括序列号和当前时间指示中的至少一个;以及用于至少部分地基于序列号和当前时间指示中的至少一个,从访问令牌列表中选择第一访问令牌,并至少部分地基于第一访问令牌,建立与第一设备的连接的装置。
根据本发明的第七方面,提供一种非暂时性计算机可读介质,其上存储有一组计算机可读指令,所述一组计算机可读指令在由至少一个处理器执行时使装置至少:存储加密密钥和访问令牌列表;至少部分地基于当前时间和序列号中的至少一个,从访问令牌列表中选择第一访问令牌;至少部分地基于第一访问令牌,决定是否准许用户设备访问装置;以及使该装置从该用户设备和第二用户设备中的至少一个接收第二访问令牌列表。
根据本发明的第八方面,提供一种非暂时性计算机可读介质,其上存储有计算机可读指令,所述一组计算机可读指令在由至少一个处理器执行时使装置至少:获得访问令牌列表;处理在第一设备中始发的通告,该通告包括序列号和当前时间指示中的至少一个;以及至少部分地基于序列号和当前时间指示中的至少一个,从访问令牌列表选择第一访问令牌,并至少部分地基于第一访问令牌,建立与第一设备的连接。
根据本发明的第九方面,提供一种计算机程序,其被配置为使得根据第二和第三方面中的至少一个的方法被执行。
附图说明
图1示出根据本发明的至少一些实施例的系统;
图2示出根据本发明的至少一些实施例的系统;
图3示出能够支持本发明的至少一些实施例的示例性装置;
图4示出根据本发明的至少一些实施例的信令;
图5是根据本发明的至少一些实施例的第一方法的第一流程图;
图6是根据本发明的至少一些实施例的第二方法的第二流程图。
具体实施方式
通过经由用户设备而不是经由网关接收来自访问服务的访问令牌,可以获得以下优点:访问受控设备可以变得更简单,因为访问受控设备可能不再需要配备有面向网关的不同的通信能力。在下面提供访问受控设备和用户设备的示例。
图1示出了根据本发明的至少一些实施例的系统。该系统包括访问受控设备120,其例如可以包括IoT设备或另一类访问受控设备,例如,医疗患者信息储存库或其控制器。访问受控设备120可以包括处理核和存储器,并且可由稳定的电源或者例如通过可再充电电池来供电。例如,访问受控设备120可以包括个人可穿戴和/或嵌入式设备。访问受控设备120可被配置为收集传感器数据和/或致动其它设备,例如,门。访问受控设备120可能够以不同的角色访问,使得例如在访问受控设备120包括患者信息储存库的情况下,医生可以比护士更广泛地访问其中包含的信息,而护士只能更有限地访问。更广泛的访问例如可以包括修改治疗计划的权限,而更有限的访问可以包括查看治疗计划的权限。访问受控设备120可能缺少固定的连接。
用户设备110例如可以包括移动电话、智能手机、平板设备、膝上型计算机或其它适合的设备。用户设备110可用于例如经由连接112来访问访问受控设备120。连接112可以包括有线连接或如图所示的无线连接。连接112例如可以包括USB、WLAN或蓝牙连接。
用户设备110可被配置为经由连接112访问访问受控设备120。访问受控设备120可被配置为验证用户设备110是否被授权访问它,其中,这样的验证可以包括采用密码信息。通常,这样的密码信息可被称为访问令牌。为了成功的验证,在一些实施例中,用户设备110和访问受控设备120可被要求具有匹配的访问令牌。匹配的访问令牌可以包括相同的密码信息,或者不相同但兼容的密码信息。在密码信息相同的情况下,它可以包括共享秘密。在密码信息不相同的情况下,它例如可以包括一方具有的公钥密码系统中的公钥-私钥对的公钥和另一方具有的该公钥-私钥对的私钥。
用户设备110可以根据在用户设备110中从访问受控设备120接收的信息来选择要使用的访问令牌。该信息例如可以从由访问受控设备120发送的广播中接收,或者通过查询并响应地接收该信息。广播可以包括不寻址到任何具体节点的传输。广播可以是无线的,例如通过蓝牙接口。蓝牙广播可以包括蓝牙通告分组。访问受控设备120可以根据该信息来选择对应的访问令牌。作为基于在访问受控设备120中始发的信息来选择访问令牌的替代,访问受控设备120和用户设备110两者可以基于对这两个设备可用的信息来选择它们的访问令牌。这种对这两个设备可用的信息的示例是时钟信号。
用户设备110可以为它自己选择地址以用于与访问受控设备120进行通信。例如,用户设备110可以选择可解析的私有设备地址,使得在通过连接112进行通信时,由访问受控设备察觉的用户设备110身份与所使用的加密密钥一致。这种密钥的示例是身份解析密钥,其可被包括在所使用的访问令牌中。用户设备110对访问受控设备120假定的角色可以确定用户设备110对访问受控设备120使用哪个访问令牌、哪个加密密钥以及因此使用哪个地址。
访问受控设备120可以存储访问令牌列表,每个列表包括可在以对应的角色访问访问受控设备120中使用的访问令牌。换言之,对应于第一角色,访问受控设备120可具有被配置为准许第一种访问的第一访问令牌列表,而对应于第二角色,访问受控设备120可具有被配置为准许第二种访问的第二访问令牌列表。换言之,当使用来自第一列表的访问令牌访问访问受控设备120时,访问受控设备120可以准许与第一角色对应的第一种访问。例如,护士可以使用与护士角色相关联的访问令牌来请求对医疗信息存储的访问,并且他将响应地被准许护士角色访问。
访问令牌可被配置为可使用有限次数,和/或可在有限时长内使用。如果访问令牌是静态的,即永久的,则被盗的访问令牌可能会被用来提供对访问受控设备的永久的未经授权访问。因此,不时地改变访问令牌提高了访问受控设备的安全级别。
可被设置在服务器或云服务中的访问服务140例如可被布置为向用户设备110提供访问令牌。例如,访问服务140可以向用户设备110提供访问令牌,这些访问令牌被布置为提供对访问受控设备120适当级别的访问。适当级别的访问例如可以与用户设备110的用户所具有的角色相对应。在用户设备110可具有若干用户的情况下,这些用户可相对于访问受控设备具有不同的角色,并且这样的用户设备可被提供适当的访问令牌以使得多个用户能够以多个角色进行这种使用。用户设备110例如可以经由无线链路115、基站150、连接156、控制器160、连接167、网关170和连接174与访问服务140通信。无线链路115和基站150可被布置为根据适合的蜂窝或非蜂窝技术来工作。蜂窝技术的示例包括长期演进LTE和无线码分多址WCDMA。非蜂窝技术的示例包括WLAN和全球微波接入互操作性WiMAX。可替代地,用户设备110可被配置为例如经由与服务器的触摸交互,更直接地与访问服务140通信。近场通信NFC可以提供基于触摸交互的通信。用户设备110可以在向其提供来自访问服务140的访问令牌之前被认证。这种认证例如可以基于密码凭证,或者仅仅基于口令。在采用与访问服务的更直接的通信的情况下,基站150、连接156、控制器160、连接167、网关170和连接174是可选的特征。
访问受控设备120也可以从访问服务140获得访问令牌。原则上,访问受控设备120可以经由连接123、网关130和连接134来获得访问令牌,其中,永久数据路径被布置为或可用于将访问受控设备120与访问服务140相链接。然而,在缺少连接123、网关130和连接134的情况下,根据本发明的各个实施例,访问受控设备120可以使用用户设备(例如,用户设备110)从访问服务140获得访问令牌。访问受控设备120可能缺少到访问服务140的固定连接。访问受控设备120可能缺少独立于用户设备的到访问服务140的连接。
为了经由用户设备向访问受控设备120提供访问令牌,例如访问令牌列表,访问服务140可以使用在访问受控设备120和访问服务140中配置的加密密钥来加密这样的访问令牌。这样的加密密钥例如可被称为主加密密钥。访问服务140可以向用户设备提供加密的访问令牌,例如连同向用户设备提供单独的访问令牌以供用户设备使用。之后,当用户设备访问访问受控设备120时,除了正常地访问访问受控设备120之外,用户设备还可以向访问受控设备120提供加密的访问令牌。访问受控设备120然后可以使用加密密钥来解密访问令牌,并将它们用于由用户设备进行的后续访问中。所使用的加密例如可以基于高级加密标准AES。
访问服务140可以使用随机或伪随机过程来生成访问令牌。原则上,可以使用这样的过程无限量地生成访问令牌,换言之,访问服务140从来没有发现它自己处于没有访问令牌来提供的情况下。
如上所述,访问受控设备120和用户设备110可以各自根据信息来选择要使用的访问令牌。该信息可以在访问受控设备120中始发,或者可以从另一个源获得,例如,卫星定位信号、时钟信号。选择要使用的访问令牌可以以单独的方式来实现。
首先,访问令牌列表中的每个访问令牌可以与有效性时间相关联。例如,该列表上的第一个访问令牌可在1月1日有效,而第二个访问令牌将在1月2日有效,其中,在第二个访问令牌有效时,第一个访问令牌将到期,使得在任何给定时间,有效访问令牌的数量都很低,例如,只有一个。有效性时间例如可以表示为日期,表示为单独的开始和结束时间,或者表示为开始或结束时间以及相关联的持续时段。在该第一方案中在选择访问令牌时使用的信息包括当前时间的指示,当访问受控设备120和用户设备110两者都使用相同的当前时间的指示时,这使得在访问受控设备120和用户设备110两者中都能够从列表中选择正确的访问令牌。
其次,访问受控设备120可被配置为使用每个访问令牌预定的次数,例如,一次或十次,之后列表中的下一个访问令牌将被使用。在这些实施例中,访问受控设备120可以在信息中提供关于当前哪个访问令牌在使用的指示,以使得用户设备110能够选择对应的访问令牌。这样的指示例如可以包括在使用的访问令牌的序列号。在访问受控设备120中在使用多个访问令牌列表的情况下,访问受控设备120可以提供关于在每个列表中的哪个访问令牌在使用的指示。例如,由访问受控设备120所提供的信息可以包括形式{{列表_A,访问_令牌_i},{列表_B,访问_令牌_j}}或类似形式的指示,以向用户设备通知关于每个列表上的哪个访问令牌在使用。当访问令牌已经被使用了预定次数时,访问受控设备120可以在所提供的信息中递增访问令牌编号,并且停止接受使用先前的访问令牌的访问。该第二方案的优点在于不需要时钟以产生第一方案的当前时间的指示,因为不需要当前时间本身的指示。另一方面,可能很难预测在第二方案中访问令牌用完的速率。例如,可以提供更长的访问令牌列表来防止其耗尽。类型{列表_A,访问_令牌_i}的指示的变化是单个计数器维持的,而不是每个列表一个计数器。在该变化中,每次访问令牌被使用,单个计数器都会递增,而不管所使用的访问令牌包括在哪个列表中。该变化的优点在于由于不必需多个计数器,所以访问受控设备120可被构造为更简单的规格。该变化的另一个优点在于耗尽访问令牌列表的时间对列表的访问分布不太敏感,从而增加了可预测性。
第三,访问受控设备120可以允许在每个列表中的每个访问令牌将在预定的时间段内使用。在该第三方案中,访问受控设备120可以在信息中提供关于哪个访问令牌可用的指示,例如对于如在第二方案中的每个列表。第三方案的优点在于不需要绝对时间,而只需要由访问受控设备120衡量的时间段。
第一、第二和第三方案甚至可以同时使用,因为用户设备110可被配置为根据信息来选择访问令牌。一些访问受控设备可以使用第一方案,而其它的访问受控设备可以使用第二或第三方案。用户设备110可被配置为对所提供的每个类型的信息正确作出反应,以选择适合的访问令牌。如果用户设备110具有被编号的访问令牌列表,但访问受控设备120在信息中提供当前时间的指示,则例如可以向用户示出错误,以用于管理纠正措施。
根据蓝牙规范,访问令牌例如可以包括长期密钥、连接签名解析密钥和/或身份解析密钥。在其它实现中,另一类的密码信息可被包括在访问令牌中。
如果访问受控设备120表示其处于没有有效访问令牌的状况,则可以使用主访问令牌以使得管理员能够访问访问受控设备120以向其提供访问令牌。例如在访问令牌具有如在第一方案中以绝对时间定义的有效性时间,并且列表中的最后一个访问令牌的有效期结束而没有提供新访问令牌的情况下,访问令牌可能会耗尽。可替代地,访问受控设备的内部时钟可被重置或改变为在可用访问令牌的有效性时间之外的值。在这种情况下,管理员可以使用主访问令牌和他自己的用户设备访问访问受控设备,以提供新访问令牌和/或设置访问受控设备120的内部时钟。这样的新访问令牌还是可以在访问服务140中始发。在一些实施例中,主访问令牌在其每次被使用时都被改变。
总体而言,可以从第一、第二和第三方案中的每个方案单独地和/或组合地获得的优点在于,访问受控设备不需要具有它们自己到访问服务140的连接以获得访问令牌。
图2示出了根据本发明的至少一些实施例的系统。在图2中,相同的编号表示与图1中相同的结构。在图2中,用户设备110与访问服务140之间的连接用连接114来示意性地表示。
图2的系统包括应用管理功能210,其可在管理在用户设备上运行的应用中使用。这样的应用例如可用于生成对访问受控设备120的访问请求,并生成用户接口以使用户能够与访问受控设备120中的信息交互。管理应用例如可以包括提供影响应用的软件更新。
图2的系统还包括用户设备数据库220。数据库220可以包括将特定的用户设备与对各种访问受控设备的访问级别相关联的信息。例如,当向用户设备提供访问令牌时,数据库220可被访问服务140查询以使得能够提供正确类型的访问令牌。
图2的系统还包括存储用于分析数据的域特定的算法的数据库230。这样的算法可支持可视化、预测条件,和/或提供推荐和个性化通知。
图3示出了能够支持本发明的至少一些实施例的示例性装置。示出了设备300,其例如可以包括图1或图2的用户设备110或访问受控设备120。设备300中包括处理器310,其例如可以包括单核或多核处理器,其中,单核处理器包括一个处理核,而多核心处理器包括多于一个处理核。处理器310可以包括多于一个处理器。处理核例如可以包括由ARMHoldings制造的Cortex-A8处理核或由先进微器件(Advanced Micro Devices)公司制造的Steamroller处理核。处理器310可以包括至少一个高通骁龙(Qualcomm Snapdragon)和/或Intel凌动(Intel Atom)处理器。处理器310可以包括至少一个专用集成电路ASIC。处理器310可以包括至少一个现场可编程门阵列FPGA。处理器310可以是用于在设备300中执行方法步骤的装置。处理器310可以至少部分地由计算机指令配置以执行动作。
设备300可以包括存储器320。存储器320可以包括随机存取存储器和/或永久性存储器。存储器320可以包括至少一个RAM芯片。存储器320例如可以包括固态、磁性、光学和/或全息存储器。存储器320可以至少部分地由处理器310访问。存储器320可以至少部分地包括在处理器310中。存储器320可以是用于存储信息的装置。存储器320可以包括处理器310被配置以执行的计算机指令。当被配置为使处理器310执行某些动作的计算机指令被存储在存储器320中并且设备300整体被配置为在处理器310使用来自存储器320的计算机指令的管理下运行时,处理器310和/或其至少一个处理核可被认为被配置为执行所述某些动作。存储器320可以至少部分地包括在处理器310中。存储器320可以至少部分地位于设备300的外部,但是可以由设备300访问。
设备300可以包括发射机330。设备300可以包括接收机340。发射机330和接收机340可被配置为根据至少一个蜂窝或非蜂窝标准分别发送和接收信息。发射机330可以包括多于一个发射机。接收机340可以包括多于一个接收机。发射机330和/或接收机340例如可被配置为根据全球移动通信系统GSM、宽带码分多址WCDMA、长期演进LTE、IS-95、无线局域网WLAN、以太网和/或全球微波接入互操作性WiMAX等标准来工作。
设备300可以包括近场通信NFC收发机350。NFC收发机350可以支持至少一个NFC技术,诸如NFC、蓝牙、Wibree或类似的技术。
设备300可以包括用户接口UI 360。UI 360可以包括以下中的至少一个:显示器、键盘、触摸屏、被布置为通过使设备300振动来向用户发信号的振动器、扬声器和麦克风。用户例如可能够经由UI 360操作设备300,例如寻求对访问受控设备的访问。
设备300可以包括或被设置为接受用户身份模块370。用户身份模块370例如可以包括可安装在设备300中的用户身份模块SIM卡。用户身份模块370可以包括识别设备300的用户的订阅的信息。用户身份模块370可以包括可用于验证设备300的用户的身份和/或有助于对设备300的用户经由设备300进行的通信所传送的信息和计费进行加密的密码信息。
处理器310可以配备有被布置为经由设备300内部的电引线将来自处理器310的信息输出到设备300中包括的其它设备的发射机。这样的发射机可以包括例如被布置为经由至少一个电引线将信息输出到存储器320以存储在其中的串行总线发射机。替代串行总线,发射机可以包括并行总线发射机。类似地,处理器310可以包括被布置为经由设备300内部的电引线在处理器310中接收来自设备300中包括的其它设备的信息的接收机。这样的接收机可以包括例如被布置为经由从接收机340开始的至少一个电引线接收信息以用于在处理器310中进行处理的串行总线接收机。替代串行总线,接收机可以包括并行总线接收机。
设备300可以包括未在图3中示出的其它组件。例如,在设备300包括智能电话的情况下,它可以包括至少一个数字摄像头。一些设备300可以包括后置摄像头和前置摄像头,其中,后置摄像头可旨在用于数字照相,而前置摄像头可旨在用于视频电话。设备300可以包括被布置为至少部分地认证设备300的用户的指纹传感器。在一些实施例中,设备300缺少至少一个上述设备。例如,一些设备300可能缺少NFC收发机350和/或用户身份模块370。
处理器310、存储器320、发射机330、接收机340、NFC收发机350、UI 360和/或用户身份模块370可以采用许多不同的方式通过设备300内部的电引线来互连。例如,前述设备中的每一个可以分别连接到设备300内部的主总线,以允许设备交换信息。然而,如本领域的技术人员将理解的,这仅仅是一个示例,在不背离本发明的范围的情况下,根据实施例,可以选择互连前述设备中的至少两个的各种方式。
图4示出了根据本发明的至少一些实施例的信令。在垂直轴上,从左到右布置访问受控设备120、用户设备110以及最后的访问服务140。时间从顶部向底部前进。
在阶段410,访问受控设备120例如通过广播或响应于请求,向用户设备110提供信息。在阶段420,用户设备120至少部分地基于在阶段410接收的信息,例如从列表中选择访问令牌。该选择可以进一步基于访问受控设备120的身份和/或用户设备110的用户想要相对于访问受控设备120而假定的角色。
在阶段430,用户设备110请求对访问受控设备120进行访问。该阶段可以包括将用户设备的地址设置为使用从所选择的访问令牌获得的身份解析密钥生成的可解析私有地址。可解析私有地址可以包括随机组件,这使得局外人尝试确定用户设备110的角色变得更加困难。
在阶段440,访问受控设备120验证由用户设备110所出示的访问凭证是否正确。如果由用户设备110所出示的凭证不正确,则访问受控设备120可以拒绝访问。访问受控设备120还选择访问令牌,访问令牌可以与用户设备110相对于访问受控设备120所寻求的角色相对应。在访问受控设备120中的访问令牌的选择还可以取决于在阶段410所传送的信息。在阶段450,在访问受控设备120与用户设备110之间提供连接。这样的连接可以用加密方法来保护,并且至少部分地基于所选择的访问令牌的内容。
在阶段460,用户设备110与访问服务140进行通信。在此通信期间,用户设备110可被认证并且被提供新访问令牌,例如,新访问令牌列表,每个所提供的列表与用户设备110可相对于访问受控设备而假定的角色相对应。可以为不同的访问受控设备提供单独的访问令牌列表。此外,在阶段460,可向用户设备110提供要传送给至少一个访问受控设备的加密访问令牌列表。这种加密访问令牌列表可以包括用于用户设备可相对于所关注的访问受控设备而假定的每个角色的访问令牌列表。
在阶段470,如同在阶段410,访问受控设备120例如通过广播向用户设备110提供信息。随后在阶段480、490和4100,如同在对应的阶段420、430和440,用户设备110向访问受控设备120进行认证。
在阶段4110,在访问受控设备120与用户设备110之间提供连接。用户设备110可以访问访问受控设备120,并且访问受控设备120可以从用户设备110获得一个或多个加密访问令牌列表。然后,访问受控设备120可以解密所述一个或多个访问令牌列表,以保持最新的访问令牌存储。
图5是根据本发明的至少一些实施例的第一方法的第一流程图。所示出的方法例如可以在访问受控设备中执行,或者在被配置为控制访问受控设备的功能的控制设备中执行(在控制设备被植入访问受控设备时)。
阶段510包括存储加密密钥和访问令牌列表。阶段520包括至少部分地基于当前时间和序列号中的至少一个,从访问令牌列表中选择第一访问令牌。阶段530包括至少部分地基于第一访问令牌,决定是否准许用户设备访问装置,以及使该装置从该用户设备和第二用户设备中的至少一个接收第二访问令牌列表。
图6是根据本发明的至少一些实施例的第二方法的第二流程图。所示出的方法例如可以在用户设备中执行,或者在被配置为控制用户设备的功能的控制设备中执行(在控制设备被植入用户设备时)。
阶段610包括获得访问令牌列表。阶段620包括处理信息,该信息包括序列号和当前时间指示中的至少一个。阶段630包括至少部分地基于序列号和当前时间指示中的至少一个,从访问令牌列表中选择第一访问令牌,并至少部分地基于第一访问令牌,建立与第一设备的连接。该信息可在第一设备中始发。该信息可以包括广播的消息。所广播的消息可以包括通告。该方法还可以包括获得第二访问令牌列表,以及向第一设备提供第二访问令牌列表。第二访问令牌列表可以包括多个访问令牌列表。第二访问令牌列表可以用执行图6的方法的装置不具有的加密密钥来进行加密。第二访问令牌列表可以从访问服务获得。
应当理解,所公开的本发明的实施例不限于在本文中所公开的特定结构、过程步骤或材料,而是如相关领域的普通技术人员将认识到的,扩展到其等同物。还应当理解,在本文中使用的术语仅用于描述特定实施例的目的,而并非旨在进行限制。
在本说明书中提及“一个实施例”或“实施例”意味着结合实施例描述的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在本说明书的各个地方出现的短语“在一个实施例中”或“在实施例中”并非是指相同的实施例。在使用例如“大约”或“基本上”的术语引用数值时,也公开了确切的数值。
如在本文中使用的,多个项、结构元件、组成元素和/或材料为了方便起见可以展示在公共列表中。然而,这些列表应当被解释为列表中的每个成员都分别被标识为单独且唯一的成员。因此,在没有相反的指示的情况下,这样的列表中的各个成员都不应当仅根据它们在公共群组中的出现而被解释为相同列表中的任何其它成员的事实等同物。此外,本发明的各种实施例和示例可以在本文中与其各种组件的替代物一起被引用。应当理解,这样的实施例、示例和替代物不应被解释为彼此的事实等同物,而是应被认为是本发明的单独和自主表示。
此外,所描述的特征、结构或特性可采用任何合适的方式在一个或多个实施例中组合。在以下说明中,提供了诸如长度、宽度、形状的示例等的多个具体细节,以提供对本发明的实施例的全面理解。然而,相关领域的技术人员将认识到,本发明可无需一个或多个具体细节或者采用其它方法、组件、材料等来实施。在其它实例中,公知的结构、材料或操作没有被详细示出或描述以避免混淆本发明的各个方面。
虽然前面的示例在一个或多个特定应用中描述了本发明的原理,但是对于本领域的普通技术人员显而易见地,可以无需运用创造性能力以及不背离本发明的原理和概念,而在实现的形式、使用和细节上进行多个修改。因此,除了由所附权利要求阐述的之外,并不旨在限制本发明。
在本文中使用的动词“包括”和“包含”为开放性限制,既不排除也不要求其它未列举的特征的存在。除非另行明确说明,否则从属权利要求中列举的特征可以相互任意组合。此外,应当理解,在本文中使用的“一”或“一个”(即,单数形式)并不排除多个。
工业适用性
本发明的至少一些实施例发现在管理访问受控设备方面的工业应用,以提高安全性。
缩略词列表
AES 高级加密标准
LoT 物联网
LTE 长期演进
NFC 近场通信
USB 通用串行总线
WCDMA 宽带码分多址
WiMAX 全球微波接入互操作性
WLAN 无线局域网
参考标号列表
110 | 用户设备 |
120 | 访问受控设备 |
130 | 网关 |
140 | 访问服务 |
150 | 基站 |
160 | 控制器 |
170 | 网关 |
210 | 应用管理功能 |
220 | 用户设备数据库 |
230 | 存储域特定的算法的数据库 |
300–370 | 图3的设备的结构 |
410–4110 | 图4的方法的各阶段 |
510–530 | 图5的方法的各阶段 |
610-640 | 图6的方法的各阶段 |
Claims (17)
1.一种用于提供访问管理的方法,包括:
在装置中存储加密密钥和访问令牌列表;
在所述装置中,至少部分地基于当前时间和序列号中的至少一个,从所述访问令牌列表中选择第一访问令牌;
在所述装置中,至少部分地基于所述第一访问令牌,决定是否准许用户设备访问所述装置;以及
由所述装置从所述用户设备和第二用户设备中的至少一个接收第二访问令牌列表。
2.根据权利要求1所述的方法,其中,由所述装置接收所述第二访问令牌列表是在短距离无线接口上发生的。
3.根据权利要求2所述的方法,其中,所述短距离无线接口包括蓝牙接口。
4.根据权利要求1所述的方法,还包括:由所述装置存储多个访问令牌列表,其中,每个访问令牌列表包括能够在获得对所述装置的不同级别的访问中使用的访问令牌。
5.根据权利要求4所述的方法,其中,每个列表与用户可相对于所述装置而假定的不同角色相对应。
6.根据权利要求1至5中任一项所述的方法,其中,由所述装置选择所述第一访问令牌是至少部分地基于所述当前时间,其中,每个访问令牌与有效性时间间隔相关联。
7.根据权利要求1至5中任一项所述的方法,其中,由所述装置选择所述第一访问令牌是通过允许每个访问令牌被使用预定次数而至少部分地基于所述序列号。
8.根据权利要求1至5中任一项所述的方法,其中,由所述装置选择所述第一访问令牌是至少部分地基于所述序列号,其中,每个访问令牌被启用持续预先配置的时段,在所述时段之后所使用的序列号被递增。
9.根据权利要求1至5中任一项所述的方法,还包括:由所述装置通告所述当前时间和所述序列号中的至少一个。
10.根据权利要求1至5中任一项所述的方法,还包括:由所述装置使用所述加密密钥来解密所述第二访问令牌列表,以及由所述装置至少部分地基于所述解密的结果,认证所述第二访问令牌列表。
11.一种用于提供访问管理的方法,包括:
在用户设备中获得访问令牌列表;
在所述用户设备中处理信息,所述信息包括序列号和当前时间指示中的至少一个;
在所述用户设备中,至少部分地基于所述序列号和所述当前时间指示中的所述至少一个,从所述访问令牌列表中选择第一访问令牌,并至少部分地基于所述第一访问令牌,建立与第一设备的连接;以及
在所述用户设备中获得第二访问令牌列表,并从所述用户设备向所述第一设备提供所述第二访问令牌列表。
12.根据权利要求11所述的方法,其中,选择所述第一访问令牌是至少部分地基于所述当前时间,其中,每个访问令牌与有效性时间间隔相关联。
13.根据权利要求11所述的方法,其中,选择所述第一访问令牌是至少部分地基于所述序列号,其中,每个访问令牌被允许使用预定次数。
14.根据权利要求11所述的方法,其中,选择所述第一访问令牌是至少部分地基于所述序列号,其中,每个访问令牌被启用持续预先配置的时段,在所述时段之后所使用的序列号被递增。
15.一种用于提供访问管理的装置,包括:
用于存储加密密钥和访问令牌列表的装置;
用于至少部分地基于当前时间和序列号中的至少一个,从所述访问令牌列表中选择第一访问令牌的装置;
用于至少部分地基于所述第一访问令牌,决定是否准许用户设备访问所述装置的装置;以及
用于从所述用户设备和第二用户设备中的至少一个接收第二访问令牌列表的装置。
16.一种用于提供访问管理的装置,包括:
用于获得访问令牌列表的装置;
用于处理在第一设备中始发的通告的装置,其中,所述通告包括序列号和当前时间指示中的至少一个;以及
用于至少部分地基于所述序列号和当前时间指示中的至少一个,从所述访问令牌列表中选择第一访问令牌,并至少部分地基于所述第一访问令牌,建立与所述第一设备的连接的装置,
所述用于获得的装置进一步被配置为获得第二访问令牌列表,由此,所述装置还包括用于向所述第一设备提供所述第二访问令牌列表的装置。
17.一种非暂时性计算机可读介质,其上存储有一组计算机可读指令,所述一组计算机可读指令在由至少一个处理器执行时使所述至少一个处理器执行根据权利要求1至14中任一项所述的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/FI2015/050852 WO2017093597A1 (en) | 2015-12-03 | 2015-12-03 | Access management |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108292454A CN108292454A (zh) | 2018-07-17 |
CN108292454B true CN108292454B (zh) | 2020-08-14 |
Family
ID=58796364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580085017.4A Active CN108292454B (zh) | 2015-12-03 | 2015-12-03 | 访问管理方法及装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11200307B2 (zh) |
EP (1) | EP3384471B1 (zh) |
CN (1) | CN108292454B (zh) |
WO (1) | WO2017093597A1 (zh) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU2015411394B2 (en) * | 2015-10-07 | 2021-07-08 | Smith & Nephew, Inc. | Systems and methods for applying reduced pressure therapy |
US10129252B1 (en) * | 2015-12-17 | 2018-11-13 | Wells Fargo Bank, N.A. | Identity management system |
US10652365B2 (en) * | 2016-01-06 | 2020-05-12 | Adobe Inc. | Robust computing device identification framework |
US10360358B2 (en) * | 2016-06-09 | 2019-07-23 | Christopher Michael Robinson | Biometric authenticated content |
US10089801B1 (en) * | 2017-05-15 | 2018-10-02 | Amazon Technologies, Inc. | Universal access control device |
EP3454243B1 (en) | 2017-09-12 | 2022-03-30 | Bitwards Oy | Token execution system for access control |
US10498538B2 (en) | 2017-09-25 | 2019-12-03 | Amazon Technologies, Inc. | Time-bound secure access |
EP4220465A1 (en) | 2017-11-03 | 2023-08-02 | Visa International Service Association | Secure identity and profiling system |
US11147459B2 (en) * | 2018-01-05 | 2021-10-19 | CareBand Inc. | Wearable electronic device and system for tracking location and identifying changes in salient indicators of patient health |
US10729211B2 (en) | 2018-04-12 | 2020-08-04 | CareBand Inc. | Wristband locking mechanism, wristband, wearable electronic device and method of securing an article to a person |
CN109104722B (zh) * | 2018-07-27 | 2022-01-18 | 努比亚技术有限公司 | 终端访问方法、装置及计算机可读存储介质 |
SG10201806604WA (en) * | 2018-08-02 | 2020-03-30 | Mastercard International Inc | Methods and systems for facilitating a client-server communication using cyclic tokens |
US11184354B2 (en) * | 2019-03-22 | 2021-11-23 | International Business Machines Corporation | Network-based authorization for disconnected devices |
SE1951173A1 (en) * | 2019-10-17 | 2021-04-18 | Assa Abloy Ab | Authenticating with an authentication server for requesting access to a physical space |
US11451396B2 (en) * | 2019-11-05 | 2022-09-20 | Microsoft Technology Licensing, Llc | False positive reduction in electronic token forgery detection |
JP2021089469A (ja) * | 2019-12-02 | 2021-06-10 | 富士フイルムビジネスイノベーション株式会社 | 情報処理装置およびプログラム |
CN113225188B (zh) * | 2020-01-19 | 2023-09-22 | 华为技术有限公司 | 登录认证方法、装置与系统 |
EP3897019A1 (en) * | 2020-04-17 | 2021-10-20 | Secure Thingz Limited | A provisioning control apparatus, system and method |
US11503434B2 (en) * | 2020-04-22 | 2022-11-15 | CareBand Inc. | Method and system for connectivity between a personal area network and an internet protocol network via low power wide area network wearable electronic device |
US11228592B1 (en) * | 2020-04-27 | 2022-01-18 | Identity Reel, LLC | Consent-based authorization system |
TWI775090B (zh) * | 2020-06-04 | 2022-08-21 | 曾惠瑜 | 執行加解密及開鎖管理的系統及方法 |
CN116114219A (zh) * | 2020-12-25 | 2023-05-12 | Oppo广东移动通信有限公司 | 访问令牌处理方法和设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1450312A2 (en) * | 2003-02-18 | 2004-08-25 | Computerized Security Systems, Inc. | Electronic access control system |
CN101641892A (zh) * | 2007-01-18 | 2010-02-03 | 易腾迈科技Ip公司 | 用于动态授权对被许可内容的访问的方法、系统和产品 |
US8042163B1 (en) * | 2004-05-20 | 2011-10-18 | Symatec Operating Corporation | Secure storage access using third party capability tokens |
EP2434463A2 (en) * | 2005-03-18 | 2012-03-28 | Phoniro AB | An access control system and associated device and method |
US8793784B2 (en) * | 2011-03-08 | 2014-07-29 | Openways Sas | Secure method for controlling the opening of lock devices by means of a communicating object such as a mobile phone |
Family Cites Families (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7269844B2 (en) * | 1999-01-15 | 2007-09-11 | Safenet, Inc. | Secure IR communication between a keypad and a token |
US20030110011A1 (en) * | 2000-03-31 | 2003-06-12 | Satoshi Kyotoku | Software unlawful use prevention apparatus |
US7114178B2 (en) * | 2001-05-22 | 2006-09-26 | Ericsson Inc. | Security system |
US7325064B2 (en) * | 2001-07-17 | 2008-01-29 | International Business Machines Corporation | Distributed locking protocol with asynchronous token prefetch and relinquish |
US7379420B2 (en) * | 2001-12-28 | 2008-05-27 | Network Equipment Technologies, Inc. | Method and apparatus for multiple qualities of service to different network connections of a single network path |
US7571472B2 (en) * | 2002-12-30 | 2009-08-04 | American Express Travel Related Services Company, Inc. | Methods and apparatus for credential validation |
JP5058600B2 (ja) | 2003-09-12 | 2012-10-24 | イーエムシー コーポレイション | 無連絡認証を提供するシステムおよび方法 |
US7693797B2 (en) * | 2004-06-21 | 2010-04-06 | Nokia Corporation | Transaction and payment system security remote authentication/validation of transactions from a transaction provider |
US20070140496A1 (en) * | 2005-12-15 | 2007-06-21 | Honeywell International Inc. | Escrow compatible key generation |
US8087075B2 (en) | 2006-02-13 | 2011-12-27 | Quest Software, Inc. | Disconnected credential validation using pre-fetched service tickets |
ES2517865T3 (es) | 2006-03-08 | 2014-11-04 | Monitise Limited | Métodos, aparatos y software para usar un testigo para calcular contraseña limitada en tiempo en teléfono celular |
CN101510246B (zh) * | 2006-05-18 | 2011-12-07 | 松下电器产业株式会社 | 电子设备、内容再现控制方法以及集成电路 |
EP2037651A1 (en) | 2007-09-12 | 2009-03-18 | ABB Technology AG | Method and system for accessing devices in a secure manner |
US8307210B1 (en) * | 2008-05-02 | 2012-11-06 | Emc Corporation | Method and apparatus for secure validation of tokens |
US8209394B2 (en) * | 2008-06-02 | 2012-06-26 | Microsoft Corporation | Device-specific identity |
US8387137B2 (en) | 2010-01-05 | 2013-02-26 | Red Hat, Inc. | Role-based access control utilizing token profiles having predefined roles |
US8683562B2 (en) | 2011-02-03 | 2014-03-25 | Imprivata, Inc. | Secure authentication using one-time passwords |
CN103460215B (zh) * | 2011-03-08 | 2016-10-26 | 电话有限公司 | 为服务应用提供授权访问以便使用最终用户的受保护资源的方法 |
US8959347B2 (en) * | 2011-08-29 | 2015-02-17 | Salesforce.Com, Inc. | Methods and systems of data security in browser storage |
US9043886B2 (en) * | 2011-09-29 | 2015-05-26 | Oracle International Corporation | Relying party platform/framework for access management infrastructures |
US9197623B2 (en) * | 2011-09-29 | 2015-11-24 | Oracle International Corporation | Multiple resource servers interacting with single OAuth server |
US8689294B1 (en) | 2011-11-11 | 2014-04-01 | Symantec Corporation | Systems and methods for managing offline authentication |
CN103249047B (zh) | 2012-02-10 | 2018-11-23 | 南京中兴新软件有限责任公司 | 无线局域网热点的接入认证方法及装置 |
US8955086B2 (en) | 2012-03-16 | 2015-02-10 | Red Hat, Inc. | Offline authentication |
JP2015514269A (ja) | 2012-03-23 | 2015-05-18 | アンビエント・コーポレイション | 組み込まれた許可属性を用いたオフライン認証 |
US8856887B2 (en) * | 2012-07-09 | 2014-10-07 | Ping Identity Corporation | Methods and apparatus for delegated authentication token retrieval |
US20140173695A1 (en) * | 2012-12-18 | 2014-06-19 | Google Inc. | Token based account access |
US9954843B2 (en) * | 2013-02-28 | 2018-04-24 | Microsoft Technology Licensing, Llc | Web ticket based upon a symmetric key usable for user authentication |
US9043605B1 (en) | 2013-09-19 | 2015-05-26 | Emc Corporation | Online and offline validation of tokencodes |
CN105659558B (zh) * | 2013-09-20 | 2018-08-31 | 甲骨文国际公司 | 计算机实现的方法、授权服务器以及计算机可读存储器 |
US9386004B2 (en) | 2013-10-23 | 2016-07-05 | Qualcomm Incorporated | Peer based authentication |
US9001370B1 (en) * | 2013-11-15 | 2015-04-07 | Ricoh Company, Ltd. | Card authentication for OAuth supported cloud services on a multi-function device |
US9629076B2 (en) * | 2014-11-20 | 2017-04-18 | At&T Intellectual Property I, L.P. | Network edge based access network discovery and selection |
JP6293648B2 (ja) * | 2014-12-02 | 2018-03-14 | 東芝メモリ株式会社 | メモリデバイス |
US10803175B2 (en) * | 2015-03-06 | 2020-10-13 | Microsoft Technology Licensing, Llc | Device attestation through security hardened management agent |
JP6046765B2 (ja) * | 2015-03-24 | 2016-12-21 | タタ コンサルタンシー サービシズ リミテッドTATA Consultancy Services Limited | 秘密情報にアクセスするための、多重パーティ及び多重レベルの承認を可能にするシステム及び方法 |
US10366551B2 (en) * | 2015-06-05 | 2019-07-30 | Brivo Systems Llc | Analytic identity measures for physical access control methods |
US9652913B2 (en) * | 2015-06-05 | 2017-05-16 | Brivo Systems, Llc | Geo-location estimate (GLE) sensitive physical access control apparatus, system, and method of operation |
CN105050081B (zh) * | 2015-08-19 | 2017-03-22 | 腾讯科技(深圳)有限公司 | 网络接入设备接入无线网络接入点的方法、装置和系统 |
US10397191B2 (en) * | 2015-12-01 | 2019-08-27 | Adobe Inc. | Passing content securely from web browsers to computer applications |
-
2015
- 2015-12-03 EP EP15909664.3A patent/EP3384471B1/en active Active
- 2015-12-03 US US15/777,807 patent/US11200307B2/en active Active
- 2015-12-03 CN CN201580085017.4A patent/CN108292454B/zh active Active
- 2015-12-03 WO PCT/FI2015/050852 patent/WO2017093597A1/en active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1450312A2 (en) * | 2003-02-18 | 2004-08-25 | Computerized Security Systems, Inc. | Electronic access control system |
US8042163B1 (en) * | 2004-05-20 | 2011-10-18 | Symatec Operating Corporation | Secure storage access using third party capability tokens |
EP2434463A2 (en) * | 2005-03-18 | 2012-03-28 | Phoniro AB | An access control system and associated device and method |
CN101641892A (zh) * | 2007-01-18 | 2010-02-03 | 易腾迈科技Ip公司 | 用于动态授权对被许可内容的访问的方法、系统和产品 |
US8793784B2 (en) * | 2011-03-08 | 2014-07-29 | Openways Sas | Secure method for controlling the opening of lock devices by means of a communicating object such as a mobile phone |
Also Published As
Publication number | Publication date |
---|---|
EP3384471B1 (en) | 2022-04-13 |
EP3384471A1 (en) | 2018-10-10 |
WO2017093597A1 (en) | 2017-06-08 |
CN108292454A (zh) | 2018-07-17 |
US20180375849A1 (en) | 2018-12-27 |
EP3384471A4 (en) | 2019-08-14 |
US11200307B2 (en) | 2021-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108292454B (zh) | 访问管理方法及装置 | |
US11411963B2 (en) | Network access sharing | |
US9191814B2 (en) | Communications device authentication | |
EP3605995A1 (en) | Method and apparatus for discussing digital certificate by esim terminal and server | |
EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
CN103597799A (zh) | 服务访问认证方法和系统 | |
WO2009141493A1 (en) | Methods, apparatuses, and computer program products for bootstrapping device and user authentication | |
US11271922B2 (en) | Method for authenticating a user and corresponding device, first and second servers and system | |
CN107205208B (zh) | 鉴权的方法、终端和服务器 | |
EP3956792B1 (en) | Cryptographic key generation for mobile communications device | |
CN108028755B (zh) | 用于认证的方法及装置 | |
US20210258174A1 (en) | Secure cryptoprocessor | |
CN107950003B (zh) | 用于双用户认证的方法及装置 | |
CN113569210A (zh) | 分布式身份认证方法、设备访问方法及装置 | |
EP2811769A1 (en) | Method and system for accessing a service | |
US20230112506A1 (en) | Systems and methods for providing access to a wireless communication network based on radio frequency response information and context information | |
CN113569209A (zh) | 基于区块链的用户注册方法及装置 | |
EP3024194A1 (en) | Method for accessing a service and corresponding server, device and system | |
KR20140056041A (ko) | 가입자 인증 모듈을 관리하는 개체를 변경하는 방법 및 이를 이용하는 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |