CN109074439A - 用于服务的证书 - Google Patents
用于服务的证书 Download PDFInfo
- Publication number
- CN109074439A CN109074439A CN201680085251.1A CN201680085251A CN109074439A CN 109074439 A CN109074439 A CN 109074439A CN 201680085251 A CN201680085251 A CN 201680085251A CN 109074439 A CN109074439 A CN 109074439A
- Authority
- CN
- China
- Prior art keywords
- service
- account
- mobile device
- target device
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
在一些示例中,移动设备利用帐户控制服务对第一服务的帐户进行登记,所述帐户控制服务与所述第一服务分离。响应于所述移动设备相对于所述帐户控制服务被授权,所述移动设备搜索处于所述移动设备的通信范围内的目标设备。所述移动设备向在所述搜索中发现的所述目标设备传送由所述目标设备在网络上访问的第一服务的帐户的证书。
Description
背景技术
用户能够使用电子设备对在远程服务器的服务进行访问。为了访问该服务,用户可能不得不键入证书,例如包括用户名及密码。一旦在该服务接收到证书且验证,能够创建电子设备和服务之间的活动会话。
附图说明
关于附图来描述本公开文件的一些实施例。
图1为根据一些示例、包括移动设备、目标设备和帐户控制服务的布置的框图。
图2根据一些示例,图示了利用帐户控制服务、由客户端应用进行的登记和客户端应用的各种状态。
图3为根据一些示例的、由帐户控制服务、客户端应用和目标应用所执行的过程的流程图。
图4为根据进一步的示例、多个用户能够访问同一目标应用的布置的框图。
图5为根据一些示例、移动设备内存储机器可读指令的存储介质的框图。
图6为根据一些示例的帐户控制系统的框图。
图7为根据一些示例、目标设备所执行的过程的流程图。
具体实施方式
用户能够具有涉及相应的不同网络可访问服务的多个帐户,包括以下服务的任一或某种组合:社交网络服务,在线游戏服务,银行服务,电子邮件服务,卫星或有线电视服务,或能够在远程服务器提供、且可由用户在网络上访问的任意其它服务。网络可访问服务能够指的是在网络上可访问的服务,网络能够为有线网络、无线网络或两者的组合。在本公开文件中,网络可访问服务称作“在线服务”,或简称为“服务”。
用户能够对涉及在线服务的帐户进行设置。在一些示例中,在线服务的帐户能够指的是规定具体用户可访问的在线服务的特征、对在线服务使用的限制、于具体用户相关联的文件或文档、和用于访问在线服务的信息(以证书形式)的信息集合。更一般地,在线服务的帐户指的是允许相应的用户(或用户群)访问在线服务的信息。
作为对涉及在线服务的帐户进行设置的一部分,用户能够对用于授权用户访问在线服务的证书进行设置。证书能够指的是被提供给在线服务、以授权访问在线服务的任意信息。作为示例,证书能够包括下面的任一或某种组合:用户名或用户标识符,密码,访问码(包括数字或字符的序列或其组合)、访问密钥、会话令牌或其它信息。用户能够对用于不同在线服务的帐户的相应证书进行设置。
为了提供强大的安全性,期望诸如密码之类的证书是无法由另一人轻易猜到的。通过使证书长而复杂(例如,通过将小写及大写字母、字符和/或符号的组合进行混合),能够使它更安全。然而,此类证书对于用户来说可能难以记住,尤其是当不同的证书用于不同的在线服务时。在一些情况下,假如用户有许多帐户,该用户可能为不同的帐户重复相同的证书,或使用较易记住的证书,诸如包括常用词或包括诸如生日、用户姓名、亲属姓名、宠物名等之类关于用户的信息的证书之类。将相同的证书用于多个帐户或使用易于猜到的证书,可能增加未授权用户侵入用户帐户的可能性。
根据本公开文件的一些实施例,管理用户对在线服务的安全访问的认证技术或机制包括帐户控制服务和移动设备中的移动应用。在本讨论中,用户试图从目标设备(与帐户控制服务和移动设备分离)访问在线服务,来自目标设备的、对在线服务的此访问基于帐户控制服务和移动设备中移动应用的使用。作为示例,用于访问在线服务的目标设备能够包括下面任一:台式计算机、笔记本电脑、平板电脑、智能电话、游戏设备、用于电视的机顶盒或任意其它电子设备。根据一些实施例、用作认证技术或机制的一部分的移动设备能够包括与目标设备分离、且用户随身携带的设备。作为示例,移动设备能够包括下面任一:智能电话、可穿戴设备(例如,智能手表、智能眼镜等)、平板电脑、或移动且能随着用户活动、由用户带到不同位置的任意电子设备)。
帐户控制服务用于对用于不同在线服务的帐户的用户证书进行管理。帐户控制服务能够提供用户能够用来对不同在线服务的帐户进行登记的集中式服务。用帐户控制服务登记在线服务的帐户能够包括给帐户控制服务提供对在线服务进行标识的信息和用于访问在线服务的证书。多个用户能够用帐户控制服务登记他们各自的在线服务帐户。
除了使用帐户控制服务,用户的移动设备进一步用于控制对在线服务的访问。基于假设用户通常将他或她的移动设备带在用户身上,用户的移动设备的邻近性提供了用户在附近、因而可能是试图用目标设备(与移动设备分离)访问在线服务的人的指示。检测到的用户移动设备的邻近性因而在用于访问在线服务的目标设备、提供用户身份的验证。
移动设备中的移动应用能够用于使用帐户控制服务来登记不同在线服务的帐户的用户证书。另外,当移动设备在目标设备的通信范围内时,移动设备能够给目标用户提供在线服的帐户的证书,这样目标设备能够用于用户对在线服务的访问。
图1为示例性布置的框图,包括目标设备102、移动设备104(由用户116携带)和执行帐户控制服务108的帐户控制系统106。帐户控制服务108能够包括帐户控制系统106中的一个处理器(或多个处理器)可执行的机器可读指令。帐户控制系统106能够用计算机或计算机的分布式布置来实现。在一些示例中,帐户控制系统106能够是云的一部分。
帐户控制系统106能够在网络110上与移动设备104和目标设备102通信。网络110能够使诸如互联网之类的公共网络、或诸如局域网之类的私有网络。网络110能够包括有线网络或无线网络。
目标设备102能够为能用于对诸如相应的应用服务器114所提供的任意在线服务112之类的远程在线服务进行访问的任意电子设备。目标设备102能够在网络110或不同网络上与应用服务器114通信。应用服务器114能够包括计算机或计算机布置。在线服务112能够实现为应用服务器114的一个处理器(或多个处理器)可执行的机器可读指令。在一些示例中,在线服务112可能是网站的一部分。
目标设备102执行目标应用118,其能被实现为在目标设备102的一个处理器(或多个处理器)上执行的机器可读指令。在一些示例中,目标应用118可能是网络浏览器。在其它示例中,目标应用118可能是可用于访问相应的在线服务112的不同应用。用户116能够使用目标设备102来访问在线服务112。
移动设备104包括客户端应用120,其包含移动设备中的一个处理器(或多个处理器)可执行的机器可读指令。
使用客户端应用120,移动设备104的用户116能够用帐户控制服务108对不同在线服务112的帐户进行登记。不同在线服务112的帐户的登记能够包括用户给帐户控制服务108提供用于在线服务帐户的证书,帐户控制服务108能够代表用户116将证书存储在中央库中。
目标设备102和移动设备104各自分别包括无线接口112或124,以执行无线通信(例如,射频通信、红外通信、声音通信等)。当移动设备104来到目标设备102的通信范围内,移动设备104和目标设备102的无线接口124和无线接口112分别能够启动与彼此的通信,这样移动设备104能够将用于在线服务112的帐户的证书传送给目标设备102,该证书能被目标设备102用来访问在线服务112。
在一些示例中,网线接口122和124执行短距离无线通信,诸如蓝牙射频通信、近场通信(NFC)电磁感应通信、WI-FI无线局域网(WLAN)通信或任意其它类型的无线通信。响应于无线接口124和112能够检测到彼此传送的信号,用蓝牙及NFC无线通信,移动设备104和目标设备102在彼此的通信范围内。响应于移动设备104和目标设备102在WI-FI WLAN接入点的覆盖区内,使用WI-FI通信,移动设备104和目标设备102在彼此的通信范围内,因此移动设备104和目标设备102能够通过接入点彼此通信。更一般地,响应于移动设备104和目标设备102彼此接近,移动设备104和目标设备102在彼此的通信范围内,这样它们能够直接或间接地彼此通信。
尽管图1示出了与用户116相关联的一个移动设备104,但注意用户116可能具有多个移动设备,每个都加载了相应的、用户能够用来使用帐户控制服务108执行在线服务帐户的登记的客户端应用120。当移动设备在目标设备102的通信范围内,每个此类移动设备还能用于给移动设备102传送用于在线服务112的证书。
而且,尽管图1示出了一个目标设备102,但注意可能有用户116能够用来访问任意在线服务112的多个目标设备。例如,一个目标设备可能用户家中的用户个人计算机。另一目标设备可能是办公室的用户工作计算机。另一目标设备可能是公共计算机,诸如位于旅馆、机场或某个其它位置的公共计算机之类。作为进一步的示例,目标设备102可能是用户116的朋友或同事所拥有的目标设备。
另外,在进一步的示例中,多个用户(具有相应的类似于移动设备104的移动设备)能够使用帐户控制服务108和目标设备102来访问相应的在线服务112。
一旦客户端应用120使用客户端应用120和帐户控制服务108之间的一个登记过程(或多个登记过程)、用帐户控制服务108对不同在线服务的帐户进行登记,客户端应用120能够被置于允许客户端应用120给目标设备102传送用于从目标设备102访问的服务的证书的状态。
在一些示例中,如图2所示,客户端应用120能够具有数个不同状态,包括未登记状态、登记状态、授权状态和同步状态。尽管描述了特定状态,但注意在其它示例中,客户端应用120能够具有其它状态。
未登记状态是客户端应用120的、将客户端应用120安装入移动设备104后客户端应用120立刻启动的状态。
用户使用帐户控制服务执行登记202(图2)以用帐户控制服务108对用户的在线服务帐户进行登记后,客户端应用120从未登记状态转换到登记状态。一旦客户端应用120关于帐户控制服务108执行了登记,客户端应用120就一直处于登记状态(即,客户端应用120不转回未登记状态,除非用户116决定不用帐户控制服务108登记)。
客户端应用120还能包括授权状态和同步状态,下面进一步讨论。
起初,用户116能够使用客户端应用120来利用帐户控制服务108对用于用户116的主帐户204进行设置。不同的主帐户能够由帐户控制服务108为不同的用户维护。主帐户204的设置能够包括为主帐户204设置主证书(例如,用户名及密码)。主证书被用户116用来登录主帐户204,以管理在线用户的帐户,诸如增加用于在线服务112的证书、改变用于在线服务112的证书或删除用于在线服务112的证书之类。
用帐户控制服务108对用户的在线服务进行登记202能够导致用于各种在线服务的帐户信息存储在用户116的主帐户204内,包括用于第一在线服务的在线服务1帐户信息206、用于第二在线服务的在线服务2帐户信息208等。用于主帐户204中存储的相应在线服务的帐户信息能够包括用于在线服务帐户的证书和与在线服务相关联的其它信息,诸如在线服务的证书之类。用户116为相应的在线服务112所设置的帐户证书能够是对于各种在线服务112是不同的鲁棒证书,且难以被黑客猜到。
用于用户116的不同在线服务的帐户信息的登记能够在相应的不同时间进行。例如,用户116能够使用客户端应用120来用帐户控制服务108初始登记用户在线服务帐户的子集。用户116能够在以后执行进一步的登记过程,以用帐户控制服务108来登记另一在线服务帐户。
例如,用于在线服务的、能够存储在主帐户204中以由客户端应用120传送到目标应用118的证书能够为用户名和密码。在其它示例中,其它类型的证书能够用作其它用户认证技术的一部分。例如,证书能够包括访问密钥,其能包括由机器,诸如帐户控制系统106中执行的帐户控制服务108之类,生成的用户秘密。用户秘密包括与用户唯一相关联的任意信息。在一些情况下,访问密钥能够包括一对信息元素,诸如用户标识符和用户秘密之类。因此,术语“访问密钥”能够指的是单个信息元素或一对(或其它组)信息元素。能够创建与用于访问在线服务特征的不同许可相关联的多个访问密钥。
在使用访问密钥的示例中,作为使用帐户控制服务108的登记202的一部分,用户键入用户的用户名和密码以给帐户控制服务108认证。帐户控制服务108接着生成用于主帐户204的主访问密钥(包括,例如用户标识符和用户秘密),主访问密钥被提供给移动应用120以用于后面对帐户控制服务108的认证。移动应用120存储用于主帐户204的主访问密钥,而不是存储用于主帐户的用户名和密码。
类似地,访问密钥能够用于在线服务112,而不是用户名和密码。用户能够在主帐户204中存储用于特定在线服务112的用户名和密码。作为响应,帐户控制服务108能够创建用于特定在线服务112、提供给客户端应用120的访问密钥。客户端应用120能够将此在线服务访问密钥(而不是用户名和密码)传送给目标应用118,以由目标应用188用于创建与特定在线服务112的活动会话。
在进一步的示例中,会话令牌能够用作证书。会话令牌能够基于用户标识符和用户秘密、或基于其它信息创建。会话令牌能够具有规定的生命期——换言之,会话令牌在规定的持续时间是有效的,之后会话令牌不再有效。使用此类示例,移动应用120能够发送会话令牌给目标应用118,以用于访问在线服务112。
作为使用帐户控制服务108的登记202的一部分,客户端应用120还能设置访问码(诸如个人标识号或其它个人信息),用户116必须键入访问码以使客户端应用120从登记状态转换到授权状态。在授权状态中,移动设备104关于帐户控制服务108被授权。此类访问码作为访问码210存储在主帐户204中。当用户116键入合法的访问码(与访问码210匹配)时,客户端应用120转换到授权状态。
在一些示例中,客户端应用120不能搜索要连接的目标设备102,除非移动设备104处于授权状态。客户端应用120能够一直处于授权状态,直至发生规定的事件。规定的事件可以是响应于规定的持续时间到期而生成的超时事件。因此,一旦客户端应用120转换到授权状态,诸如从登记状态之类,客户端应用120能够一直处于授权状态。假如在规定的持续时间期间未发生活动,那么发生超时,客户端应用120从授权状态转回登记状态。能够使客户端应用120退出授权状态的另一事件是改变事件,诸如响应于检测到移动设备移到与目标设备超过一定距离或离开目标设备102的通信范围的不同位置的移动、而触发的事件之类。
当客户端应用120处于授权状态时,客户端应用120能够搜索要与之同步的目标设备102,这样客户端应用120能够与目标应用118同步。当客户端设备104移入目标设备102的通信范围内时,客户端应用120能够检测到目标设备102。一旦客户端应用120检测到目标设备102且与检测到的目标设备102的目标应用118连接时,客户端应用120从授权状态转换到同步状态。创建客户端应用120和目标应用118之间的连接能够指的是客户端应用120和目标应用118创建会话,这样客户端应用120和目标应用118能够互相通信,为的是允许客户端应用120传送在线服务帐户的证书(例如,用户名及密码、访问密钥、会话令牌等)给目标应用118,以用于访问在线服务112。
在使用短距离蓝牙或NFC的示例中,当移动设备104在与目标设备102的规定的短物理距离内时,移动设备104和目标设备102在通信范围内。
在使用较长范围蓝牙或WI-FI的进一步示例中,能够假设当移动设备104和目标设备102能够互相通信时,它们极为接近。在此类进一步示例中,用户能够请求特定目标设备102的访问,诸如通过扫描二维码(例如,在特定目标设备102上的快速响应即QR码)之类,或用户能够手动键入特定目标设备102的名称或标识符。
在使用WI-FI的示例中,当移动设备104进入WLAN时,移动设备104能够发送被广播给WLAN上的设备的消息,以通知潜在的目标设备存在移动设备104。
在其它示例中,移动应用120还能保留之前同步的目标设备、最爱的目标设备或允许移动应用120与之同步的附近目标设备的列表。
在一些示例中,客户端应用120能够创建与链接到目标应用118的模块119(图1)的连接。例如,假如目标应用118是网络浏览器,那么模块119能够是给网络服务器的插件模块。插件模块是包括能够给诸如目标应用118增加额外功能的机器可读指令的组件。在其它示例中,模块119可能是能够出于允许客户端应用120与目标应用118通信的目的、与目标应用118交互的另一类型的模块。
在进一步的示例中,模块119提供的功能能够包含在目标应用118自身内。
在本公开文件中,参考执行相应任务的目标应用118能够指的是执行相应任务的目标应用118或模块119之一或两者。
图3示出了能够在帐户控制服务108、客户端应用120和目标应用118间执行、以允许用户在目标设备102(其中执行目标应用118)访问在线服务112的示例性过程。在图3的示例中,假设客户端应用120创建了与目标应用118(例如,客户端应用处于同步状态)的连接。
当目标应用118诸如响应于使用目标应用118打开在线服务112的网页之类、接收(在302)对在远程应用服务器114的在线服务112进行访问的请求时,目标应用118能够给客户端应用120发送(在304)对要访问的在线服务112的帐户的证书的请求。响应于对证书的请求,客户端应用120能够生成(在305)提示,寻求用户确认允许客户端应用120发送证书给目标应用118。该提示能够以具有用户可触发的控制元件的对话框的形式,以确认用户希望继续创建与在线服务112的会话。在目标设备102为公共设备或某种其它不可信设备的情况下,能够生成该提示。在目标设备102为可信设备的其它情况下,不必向用户呈现该提示,以用于确认证书传送给目标应用118。响应于接收到目标设备102为可信设备的指示,客户端应用120能够响应于对证书的请求、自动发送相应的证书给目标应用118。
能够使用移动应用120对可信设备进行配置,诸如使用移动应用120键入可信设备的标识信息之类。或者,能够使用帐户控制服务108对可信设备进行配置,在此情况下可信设备的标识信息能够添加到用户的主帐户。在一些示例中,对于特定在线服务(诸如银行服务之类),某些目标设备能够是可信的,而其它不可信。例如,用户在家的个人计算机能够对于访问银行服务能够是可信设备,而工作计算机或公共计算机对于访问银行服务不会是可信设备。
假如有目标应用118试图访问的多个在线访问帐户,那么呈现(在305)给用户的提示能够列出多个在线访问帐户,用户能够选择允许移动应用120传送相应的证书给目标应用118的在线服务帐户。
接下来,移动应用120发送(在306)请求的证书给目标应用118。由客户端应用120发送给目标应用118的证书能够由客户端应用120从在帐户控制服务108的用户主帐户进行检索,或能够从在移动设备104的暂时存储的服务帐户信息的本地高速缓存进行检索。
目标应用118接着能够将证书转发(在308)给在线服务112,以允许在目标应用118和在线服务112之间创建(在312)活动会话。
根据一些实施例使用技术或机制,在目标设备102的目标应用118能够用于访问在线服务112,用户不必在目标设备手动键入证书。
在一些实施例中,目标应用118创建(在312)与在线服务112的活动会话之前,目标应用118在网络110上创建(在310)与帐户控制服务108的连接。目标应用118能够传送关于为用户创建的、目标应用118和相应的在线服务112(或多个在线服务112)之间的活动会话的信息。关于活动会话的信息能够包括活动会话的标识符和涉及活动会话属性的参数。关于由指定用户访问的每个活动会话的信息能够存储于在帐户控制服务108的、与指定用户相关联的主帐户。
目标应用118和帐户控制服务108之间的连接允许帐户控制服务108对目标应用118和服务112之间的活动会话进行管理。例如,帐户控制服务108能够通知目标应用118退出活动会话,或更改与活动会话相关联的某个参数。帐户控制范围108能够响应于从客户端应用120接收的请求,对目标应用118和服务112之间的活动会话进行管理。作为一个示例,用户116能够使用客户端应用120给帐户控制服务108发送请求,以使得帐户控制服务108发送退出活动会话或更改活动会话(诸如更改活动会话的参数之类)命令给目标应用118。
在目标设备102为不可信设备的示例性用例中,目标应用118能够对移动设备104的存在进行监控,以确保在活动会话进行中时、移动设备104一直在目标设备102的通信范围内。在目标设备102为不可信的此类示例性用例中,移动设备104移出目标设备102的通信范围触发了目标应用118退出目标应用118与在线服务112之间的活动会话。移动设备104移出目标设备102的通信范围指示用户不再物理地处于目标设备102,这样应该终止活动会话,以避免用户离开目标设备后他人看到活动会话的信息。
假如活动会话终止后、移动设备104再次移入目标设备102的范围,移动应用120能够自动与目标应用118同步(转换到上面讨论的同步状态),且移动应用120能够给用户呈现提示,以确定目标应用118要再次登录相应的在线服务。假如用户确认了,那么目标应用能够恢复之前的活动会话,在一些情况下甚至能够恢复查看过的网页。
在目标设备102为可信设备的其它用户用例中,那么目标应用118能够维持目标应用118和在线服务112之间的活动会话,即使移动设备104移出来自目标设备102的通信范围。
用户还能在移动设备104对目标设备102和在线服务112之间创建的活动会话进行控制。用户能够使用在移动设备104的客户端应用120登录用户的主帐户(例如,图2中的204)。用户的主帐户能够存储涉及用户当前参与的活动会话的信息。客户端应用120能够防止当前在目标设备102和在线服务112之间进行中的活动会话的可视化。可视化能够包括可由用户触发的、对活动会话进行控制的控制元件。例如,能够触发终止活动会话的一个控制元件,而能够触发更改活动会话的另一控制元件。
可视化中控制元件的触发导致发送给帐户控制服务108的对应指示,接着发送相应的命令给目标应用118,以导致关于活动会话执行的相应控制动作(例如,终止活动会话,更改活动会话)。
前述提及了用户能够通过帐户控制服务108和用户的移动设备120、使用可信的目标设备或不可信的目标设备对在线服务进行的用例,以支持对在线服务的认证。
在其它示例性用例中,诸如图4所示之类,与相应的移动设备104A和104B相关联的多个用户(例如,用户116A和用户116B)能够连接到同一目标应用118。如图4所示,用户116A能够使用移动设备104A的客户端应用120A将用于在线服务112的帐户信息登记在帐户控制服务108为用户116A维护的主帐户204A中,而用户116B能够使用移动设备104B中的客户端应用120B将用于在线服务112的帐户信息登记在帐户控制服务108为用户116B维护的主帐户204B中。
例如,在线服务112能够为在线游戏服务,目标设备102能够为游戏控制台、或允许多个用户访问在线游戏服务以合作玩在线游戏的另一计算机。
作为另一示例性用例,在线服务112能够为医师服务,医生能够使用医生的移动设备和支持认证的帐户控制服务108键入信息、进入医师服务,以对医师服务进行访问。后来,护士能够使用护士的移动设备和支持认证的帐户控制服务108对医师服务进行访问,以检索医师键入的信息。
尽管图4示出了访问目标设备102的多个用户对一个在线服务进行访问,当注意在其它示例性用例中,多个用户能够对目标设备102进行访问,以访问多个在线服务。
图5为非暂时性机器可读或计算机可读存储介质500的框图,存储可在移动设备(例如上面讨论的移动设备104或104A或104B)上执行的、根据本公开文件执行各种任务的机器可读指令。
机器可读指令包括用帐户控制服务(例如,108)登记第一服务(例如,在线服务112)的帐户的登记指令502,帐户控制服务与第一服务分离。机器可读指令进一步包括目标设备搜索指令504,响应于移动设备关于帐户控制服务被授权,搜索在移动设备的通信范围内的目标设备(例如,102)。机器可读指令进一步包括证书传送指令506,给在搜索中发现的目标设备发送由目标设备在网络上访问的第一服务的帐户的证书。
图6为示例性系统600的图,能够是上面讨论的帐户控制系统106。系统600包括与网络(例如,图1中的网络110)进行通信的通信接口602,执行证书存储指令606的处理器604,作为用移动设备在网络上执行的登记的一部分,存储第一服务(例如,在线服务112)的帐户的证书。处理器604进一步执行会话信息接收指令608以从网络上的目标设备(例如,上面讨论的102)接收涉及在目标设备的活动会话的信息,基于证书的使用对第一服务进行访问。处理器604进一步执行命令发送指令610,以响应于来自移动设备的请求,发送命令给目标设备,以执行活动会话的会话管理,诸如终止活动会话或更改活动会话之类。
前文中,执行相应机器可读指令的处理器604能够指的是执行机器可指令的一个处理器或执行机器可读指令的多个处理器。处理器能够包括微处理器、多核微处理器的核、微控制器、可编程集成电路、可编程门阵列或任意硬件处理电路或前述的任意组合。
图7为目标设备(例如,102)能够执行的示例性过程的流程图。该过程包括通过目标设备上运行的目标应用(例如,118)、与远离目标设备的系统(例如,帐户控制系统106)中的帐户控制服务(例如,108)连接。该过程包括给处于目标设备的通信范围内的第一用户的第一移动设备(例如,104、104A或104B)发送(在704)对使用目标应用访问第一服务(例如,112)的证书的请求。该过程包括响应于从第一移动设备接收证书、使用目标应用创建(在706)与第一服务的活动会话。该过程基于包括响应于来自帐户控制范围的命令、执行(在708)活动会话的管理。
图5的存储介质能够包括存储器的一种或多种不同形式,包括诸如动态或静态随机存取存储器(DRAM或SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)半导体存储器设备和闪存之类;诸如固定、软及可移除盘之类的磁盘;包括磁带的其它磁介质;诸如光盘(CD)或数字视频盘(DVD)之类的光介质;或其它类型的存储设备。注意能够在一个计算机可读或机器可读存储介质上提供上面讨论的指令,或替代地在可能具有多个节点的大型系统中分布的多个计算机可读或机器可读存储介质上提供。此类一个或多个计算机可读或机器可读存储介质被视为物品的一部分(或制品)。物品或制品能够指的是任意制造的单个组件或多个组件。一个或多个存储介质能够位于运行机器可读指令的机器上,或位于能够在网络上下载用于执行的机器可读指令的远程站点。
在前面的描述中,记载了若干细节,以提供本文公开的主题的理解。然而,没有这些细节的一些也可以实现实施例。其它实施例可以包括来自上面讨论的细节的更改和变化。旨在所附的权利要求涵盖此类更改和变化。
Claims (15)
1.一种非暂时性机器可读存储介质,用于存储指令,所述指令一经执行,就使移动设备:
利用帐户控制服务对第一服务的帐户进行登记,所述帐户控制服务与所述第一服务分离;
响应于所述移动用户相对于所述帐户控制服务被授权,而搜索在所述移动设备的通信范围内的目标设备;以及
向在所述搜索中发现的目标设备传送由所述目标设备在网络上访问的第一服务的帐户的证书。
2.根据权利要求1所述的非暂时性机器可读存储介质,其中,所述指令一经执行,就使所述移动设备在所述移动设备关于所述帐户控制服务被授权的情况下,响应于在所述移动设备接收到合法的访问码,而转换到授权状态。
3.根据权利要求2所述的非暂时性机器可读存储介质,其中所述指令一执行,就使所述移动设备:
在所述移动设备关于所述帐户控制服务不被授权的情况下,响应于规定的事件,而从授权状态转换到另一状态。
4.根据权利要求1所述的非暂时性机器可读存储介质,其中所述指令一经执行,就使所述移动设备:
用所述帐户控制服务对第二服务的帐户进行登记,所述第二服务的帐户的登记包括给所述帐户控制服务提供用于所述第二服务的帐户的证书;
提示用户确认所述移动设备被授权将第一及第二服务的帐户的哪个证书发送给所述目标设备。
5.根据权利要求1所述的非暂时性机器可读存储介质,其中所述指令一经执行,就使所述移动设备:
响应于所述目标设备为可信设备的指示,允许将所述第一服务的帐户的证书传送给所述目标设备,而不是首先提示用户进行确认。
6.根据权利要求1所述的非暂时性机器可读存储介质,其中传送所述第一服务的帐户的证书给所述目标设备包括将所述第一服务的帐户的证书传送给与在所述目标设备的目标应用相关联的模块,所述目标应用用于访问所述第一服务。
7.根据权利要求6所述的非暂时性机器可读存储介质,其中所述目标应用包括网络浏览器,并且所述模块为给所述网络浏览器的插件模块。
8.一种系统,包括:
通信接口,与网络进行通信;以及
处理器,用于:
存储第一服务的帐户的证书,作为用网络上的移动设备执行的登记的一部分;
从网络上的目标设备接收关于在所述目标设备的活动会话的信息,所述目标设备基于所述证书的使用、对所述第一服务进行访问;以及
响应于来自所述移动设备的请求,发送命令给所述目标设备,以执行所述活动会话的会话管理。
9.根据权利要求8所述的系统,其中所述处理器进一步:
存储第二服务的帐户的证书,作为登记的一部分;以及
从所述网络上的目标设备接收关于在所述目标设备的另一活动会话的信息,所述目标设备基于所述第二服务的帐户的证书的使用、对所述第二服务进行访问。
10.根据权利要求8所述的系统,其中所述第一服务由与所述系统分离的服务器提供。
11.根据权利要求8所述的系统,进一步包括非暂时性存储介质,存储可在所述处理器上执行的帐户控制指令,以:
作为登记的一部分,用所述移动设备对与所述帐户控制指令相关联的访问码进行设置,所述访问码可被所述移动设备用来对与所述目标设备连接的所述移动设备进行授权。
12.一种目标设备的方法,包括:
通过所述目标设备上运行的目标应用,与远离所述目标设备的系统中的帐户控制服务连接;
给在所述目标设备的通信范围内的第一用户的第一移动设备发送对证书的请求,以使用所述目标应用对第一服务进行访问;
响应于从所述第一移动设备接收到所述证书,使用所述目标应用创建与所述第一服务的活动会话;以及
响应于来自所述帐户控制服务的命令,执行所述活动会话的管理。
13.根据权利要求12所述的方法,进一步包括:
由所述目标设备给所述帐户控制服务发送所述活动会话的会话信息,以允许所述帐户控制服务对活动会话进行管理。
14.根据权利要求12所述的方法,进一步包括:
由所述目标设备给第二用户的第二移动设备发送对第二证书的请求,以使用所述目标应用来访问指定的服务,所述指定的服务是第一服务或第二服务;
响应于从所述第二移动设备接收到第二证书,使用所述目标应用创建与所述指定的服务的活动会话。
15.根据权利要求12所述的方法,进一步包括:
由所述目标设备检测所述第一移动设备已移出与所述目标设备的通信范围;以及
响应于所述检测,终止所述活动会话。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2016/041897 WO2018013089A1 (en) | 2016-07-12 | 2016-07-12 | Credential for a service |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109074439A true CN109074439A (zh) | 2018-12-21 |
| CN109074439B CN109074439B (zh) | 2022-04-15 |
Family
ID=60952165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680085251.1A Active CN109074439B (zh) | 2016-07-12 | 2016-07-12 | 用于服务的证书 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11176238B2 (zh) |
| EP (1) | EP3433784B1 (zh) |
| JP (1) | JP6686176B2 (zh) |
| KR (1) | KR102140921B1 (zh) |
| CN (1) | CN109074439B (zh) |
| WO (1) | WO2018013089A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10972916B2 (en) * | 2019-04-29 | 2021-04-06 | Sonicwall Inc. | Instant secure wireless network setup |
| US11997635B2 (en) | 2019-04-29 | 2024-05-28 | Sonicwall Inc. | Establishing simultaneous mesh node connections |
| KR20220140519A (ko) * | 2020-02-14 | 2022-10-18 | 인텔렉추얼디스커버리 주식회사 | 무선 통신 시스템에서 클라우드 인증 페어링 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002157226A (ja) * | 2000-11-16 | 2002-05-31 | Nec Corp | パスワード集中管理システム |
| US20060015358A1 (en) * | 2004-07-16 | 2006-01-19 | Chua Bryan S M | Third party authentication of an electronic transaction |
| JP2006195716A (ja) * | 2005-01-13 | 2006-07-27 | Nec Corp | パスワード管理システム、方法およびプログラム |
| CN101133421A (zh) * | 2005-04-01 | 2008-02-27 | 国际商业机器公司 | 用于运行时刻用户帐户创建操作的方法 |
| JP2008098893A (ja) * | 2006-10-11 | 2008-04-24 | Matsushita Electric Ind Co Ltd | 無線通信モジュール、及び無線通信システム |
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN102656841A (zh) * | 2009-12-18 | 2012-09-05 | 诺基亚公司 | 凭证转移 |
| CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN104221349A (zh) * | 2012-04-17 | 2014-12-17 | 高通股份有限公司 | 使用移动设备来使另一设备能够连接到无线网络 |
| WO2015119614A1 (en) * | 2014-02-06 | 2015-08-13 | Hewlett-Packard Development Company, L.P. | Registering a user with a subscription service using a network-enabled printer |
| US20160057139A1 (en) * | 2012-05-24 | 2016-02-25 | Fmr Llc | Communication session transfer between devices |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007293811A (ja) * | 2006-03-31 | 2007-11-08 | Nippon Telegr & Teleph Corp <Ntt> | 代理認証システム、代理認証方法及びそれに用いる認証装置 |
| JP4693818B2 (ja) * | 2007-07-09 | 2011-06-01 | 株式会社エヌ・ティ・ティ・ドコモ | 認証システム及び認証方法 |
| EP2249277B1 (en) * | 2008-02-28 | 2018-07-18 | Nippon Telegraph and Telephone Corporation | Authentication device, authentication method, and authentication program with the method mounted thereon |
| JP2010224785A (ja) * | 2009-03-23 | 2010-10-07 | Konica Minolta Business Technologies Inc | データ転送システム及びデータ転送方法 |
| JP2011128985A (ja) * | 2009-12-18 | 2011-06-30 | Toshiba Corp | アカウントアグリゲーションシステム、情報処理装置およびアカウントアグリゲーションシステムにおける暗号鍵管理方法 |
| JP5635381B2 (ja) * | 2010-12-07 | 2014-12-03 | 株式会社ピコ・ラボ | 認証方法、管理装置及び認証システム |
| US20120311038A1 (en) * | 2011-06-06 | 2012-12-06 | Trinh Trung Tim | Proximity Session Mobility Extension |
| US8635684B2 (en) | 2011-10-06 | 2014-01-21 | Sap Ag | Computer-implemented method for mobile authentication and corresponding computer system |
| WO2013089777A1 (en) | 2011-12-16 | 2013-06-20 | Intel Corporation | Login via near field communication with automatically generated login information |
| KR101700171B1 (ko) * | 2011-12-28 | 2017-01-26 | 인텔 코포레이션 | 네트워크 액세스 관련 애플리케이션의 인증 |
| US20140007205A1 (en) | 2012-06-28 | 2014-01-02 | Bytemobile, Inc. | No-Click Log-In Access to User's Web Account Using a Mobile Device |
| US9942750B2 (en) | 2013-01-23 | 2018-04-10 | Qualcomm Incorporated | Providing an encrypted account credential from a first device to a second device |
| US9565181B2 (en) | 2013-03-28 | 2017-02-07 | Wendell D. Brown | Method and apparatus for automated password entry |
| US9071967B1 (en) * | 2013-05-31 | 2015-06-30 | Amazon Technologies, Inc. | Wireless credential sharing |
| EP2833694A3 (en) * | 2013-07-29 | 2015-04-01 | HTC Corporation | Method of relay discovery and communication in a wireless communications system |
| US20150058191A1 (en) * | 2013-08-26 | 2015-02-26 | Apple Inc. | Secure provisioning of credentials on an electronic device |
| US9363251B2 (en) | 2013-10-01 | 2016-06-07 | Google Technology Holdings LLC | Systems and methods for credential management between electronic devices |
| US20150310452A1 (en) | 2014-04-27 | 2015-10-29 | AuthAir, Inc. | Access Control System For Medical And Dental Computer Systems |
| US10235512B2 (en) | 2014-06-24 | 2019-03-19 | Paypal, Inc. | Systems and methods for authentication via bluetooth device |
-
2016
- 2016-07-12 JP JP2018556852A patent/JP6686176B2/ja active Active
- 2016-07-12 US US16/095,757 patent/US11176238B2/en active Active
- 2016-07-12 EP EP16908990.1A patent/EP3433784B1/en active Active
- 2016-07-12 CN CN201680085251.1A patent/CN109074439B/zh active Active
- 2016-07-12 KR KR1020187031444A patent/KR102140921B1/ko active IP Right Grant
- 2016-07-12 WO PCT/US2016/041897 patent/WO2018013089A1/en active Application Filing
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002157226A (ja) * | 2000-11-16 | 2002-05-31 | Nec Corp | パスワード集中管理システム |
| US20060015358A1 (en) * | 2004-07-16 | 2006-01-19 | Chua Bryan S M | Third party authentication of an electronic transaction |
| JP2006195716A (ja) * | 2005-01-13 | 2006-07-27 | Nec Corp | パスワード管理システム、方法およびプログラム |
| CN101133421A (zh) * | 2005-04-01 | 2008-02-27 | 国际商业机器公司 | 用于运行时刻用户帐户创建操作的方法 |
| JP2008098893A (ja) * | 2006-10-11 | 2008-04-24 | Matsushita Electric Ind Co Ltd | 無線通信モジュール、及び無線通信システム |
| CN102656841A (zh) * | 2009-12-18 | 2012-09-05 | 诺基亚公司 | 凭证转移 |
| CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN104221349A (zh) * | 2012-04-17 | 2014-12-17 | 高通股份有限公司 | 使用移动设备来使另一设备能够连接到无线网络 |
| US20160057139A1 (en) * | 2012-05-24 | 2016-02-25 | Fmr Llc | Communication session transfer between devices |
| WO2015119614A1 (en) * | 2014-02-06 | 2015-08-13 | Hewlett-Packard Development Company, L.P. | Registering a user with a subscription service using a network-enabled printer |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3433784B1 (en) | 2022-02-23 |
| US11176238B2 (en) | 2021-11-16 |
| US20200336476A1 (en) | 2020-10-22 |
| CN109074439B (zh) | 2022-04-15 |
| EP3433784A1 (en) | 2019-01-30 |
| EP3433784A4 (en) | 2020-01-29 |
| JP6686176B2 (ja) | 2020-04-22 |
| WO2018013089A1 (en) | 2018-01-18 |
| KR102140921B1 (ko) | 2020-08-05 |
| JP2019521544A (ja) | 2019-07-25 |
| KR20180131586A (ko) | 2018-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2965253B1 (en) | Security challenge assisted password proxy | |
| CA2997954C (en) | Device enabled identity authentication | |
| CN105933353B (zh) | 安全登录的实现方法及系统 | |
| CN111742531B (zh) | 简档信息共享 | |
| WO2015183387A1 (en) | Shared network connection credentials on check-in at a user's home location | |
| US9699656B2 (en) | Systems and methods of authenticating and controlling access over customer data | |
| US11271922B2 (en) | Method for authenticating a user and corresponding device, first and second servers and system | |
| JP4897503B2 (ja) | アカウントリンキングシステム、アカウントリンキング方法、連携サーバ装置 | |
| CN108028755B (zh) | 用于认证的方法及装置 | |
| CN109074439A (zh) | 用于服务的证书 | |
| US20180115896A1 (en) | Seamless unique user identification and management | |
| JP5548952B2 (ja) | 無線装置、通信方法 | |
| WO2016090927A1 (zh) | 实现共享waln管理的方法、系统及wlan共享注册服务器 | |
| US20220209978A1 (en) | Systems, methods, computer-readable media, and devices for authenticating users | |
| KR102558821B1 (ko) | 사용자 및 디바이스 통합 인증 시스템 및 그 방법 | |
| US20150319180A1 (en) | Method, device and system for accessing a server | |
| Yeh et al. | A robust NFC-based personalized IPTV service system | |
| JP6920614B2 (ja) | 本人認証装置、本人認証システム、本人認証プログラム、および、本人認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |