CN109154954A - 延迟的提供系统中的账户验证 - Google Patents
延迟的提供系统中的账户验证 Download PDFInfo
- Publication number
- CN109154954A CN109154954A CN201780030230.4A CN201780030230A CN109154954A CN 109154954 A CN109154954 A CN 109154954A CN 201780030230 A CN201780030230 A CN 201780030230A CN 109154954 A CN109154954 A CN 109154954A
- Authority
- CN
- China
- Prior art keywords
- user
- account
- identifying code
- correlative factor
- identification system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2117—User registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Power Engineering (AREA)
- Data Mining & Analysis (AREA)
- Economics (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Information Transfer Between Computers (AREA)
Abstract
提供用户账户。一种方法包括在本地实体处联系身份系统以开始用户账户提供。方法还包括从身份系统接收与从身份系统发送到用户的验证码有关的相关因素。方法还包括从用户接收被录入本地实体中的简档信息,其中简档信息将被存储在用户账户中。方法还包括从用户接收对应于相关因素的验证码。方法还包括将相关因素、用户录入的验证码以及用户录入的简档信息发送到身份系统,其中身份系统确定验证码与相关因素恰当地相关,并且因此提供用户账户并且将简档信息存储在用户账户中。
Description
背景技术
计算机和计算系统已经影响现代生活的几乎每个方面。计算机通常涉及工作、休闲、医疗保健、交通运输、娱乐、家务管理,等等。用户可以常常在在线服务上创建账户以使用服务的功能。这样的账户常常存储需要通过某些保护措施保护的个人可识别信息(PII)作为最佳商业实践的一部分,而且在许多情况下归因于行业和/或政府要求。例如,健康保险携带和责任法案(HIPAA)隐私法律可以要求某些保护措施针对包括医学信息的PII放置在适当的位置。实现保护措施在计算资源方面可能是昂贵的,因此可以存在最小化要求保护措施的数据的期望。
在大多数在线身份系统中,用户可以使用其电子邮件地址或者其电话号码作为登录字符串在注册表单中创建账户。为了确保用户不占用其他人的电子邮件或者电话号码,大多数系统要求用户验证其拥有其正试图注册的该电子邮件地址和/或电话号码。例如,这可以通过将具有码的文本消息发送给用户并且让用户将码录入回到注册表单中来完成。为了验证电子邮件地址,历史地,系统发送具有用户必须点击的链接的电子邮件。点击链接将账户标记为“已验证”。最近,行业已经移到基于码和嵌入的验证。这意味着将在电子邮件消息内的码发送到用户,并且让用户在注册表单中录入该码。当注册在托管流程中发生时(例如,在应用内),这样做的益处是明显的。嵌入验证允许用户保持在注册流程中,同时点击电子邮件中的链接将打开新网络浏览器窗口,这破坏应用内注册体验。
关于电子邮件或电话验证的一个重要的工程考虑涉及系统是否应当等待直到用户已经验证码以在身份系统中提供账户。一个选项是将账户提供为“未验证的”并且防止用户使用其直到验证发生。该方法的关心问题在于,其迫使系统被设计为支持具有相同电子邮件地址或电话号码的并发注册,使得针对相同电子邮件地址或电话号码的多个账户存在。这样的系统可以被迫使实现用于一个或多个账户的昂贵的保护措施,因为其可以包含PII和凭证,即使那些账户可以最后绝不被验证和使用,其要求在某些法律、法规或者最佳实践下的保护。
备选方案是等待直到用户在提供账户之前已经证明电子邮件地址或电话号码的所有权。这样做的最简单的方式是等待直到用户验证(例如)电子邮件的所有权直到让她创建密码并且提供简档信息。这可以导致不太可接受的用户体验。
在此要求保护的主题不限于解决任何缺点或者仅在诸如上文所描述的那些环境的环境中操作的缺点的实施例。相反,该背景技术仅被提供以说明其中可以实践在此所描述的一些实施例的一个示例性技术领域。
发明内容
在此所说明的一个实施例包括一种可以被实践在计算环境中的方法。方法包括用于提供用户账户的动作。方法包括联系身份系统以开始用户账户提供。方法还包括从身份系统接收与从身份系统发送到用户的验证码有关的相关因素。方法还包括从用户接收录入本地实体中的简档信息,其中简档信息将被存储在用户账户中。方法还包括从用户接收对应于相关因素的验证码。方法还包括将相关因素、用户录入的验证码和用户录入的简档信息发送到身份系统,其中身份系统确定验证码与相关因素恰当地相关,并且因此提供用户账户并且将简档信息存储在用户账户中。
提供本发明内容以引入以在具体实施方式中下面进一步描述的简化形式的概念的选择。本发明内容不旨在标识要求保护的主题的关键特征或基本特征,其也不旨在被用作辅助确定要求保护的主题的范围。
附加特征和优点将从下面的描述中被阐述并且部分地将从描述显而易见或者可以由本文中的教导的实践学习。可以借助于在所附权利要求书中特别地指出的装置和组合实现和获得本发明的特征和优点。本发明的特征将从以下描述和所附权利要求变得更充分地明显,或者可以通过如在下文中所阐述的本发明的实践而被学习。
附图说明
为了描述可以获得上文记载和其他优点和特征的方式,上文简要描述的主题的更特别的描述将通过参考在附图中图示的特定实施例而被提供。理解这些附图描绘仅典型的实施例并且因此将不被认为是对范围的限制,通过使用附图利用附加的特殊性和细节将描述和解释实施例,其中:
图1图示了用于在身份系统处创建账户的计算系统交互的用户;
图2A图示了注册表单;
图2B图示了不同的状态中的注册表单;
图3图示了用于账户注册和验证的备选流程;
图4图示了提供用户账户的方法;以及
图5图示了提供用户账户的另一方法。
具体实施方式
在此实施例可以实现其中用户账户直到电子邮件地址或电话号码(或其他用户账户、标识符)被验证才在身份系统处被提供的系统,但是仍然允许用户提供简档信息(其可以包括需要被保护的信息)和/或密码信息,同时最小化在身份系统处存储和保护这样的信息的需要。特别地,简档信息本地被存储在本地实体(例如,浏览器或应用)处直到用户能够录入验证码。身份系统将验证码带外发送给用户(诸如到其电话或电子邮件账户)。身份系统还向本地实体发送相关因素(诸如从验证码和/或会话标识符创建的散列码),其被存储在本地实体处。一旦用户录入验证码,验证码、相关因素和简档信息就全部被发送给身份系统。身份系统可以然后验证验证码和相关因素匹配,并且然后提供账户,包括以简档信息恰当地被保护的这样的方式将简档信息存储在身份系统处。以这种方式,身份系统将仅需要存储并且保护针对已经验证的简档的有效简档信息,而不存储并保护针对尚未验证的简档的潜在地无效简档信息。这导致可以利用较少的存储装置和被用于保护用户信息的其他资源实现的更高效的身份系统。其还避免必须针对多个账户存储PII直到这样的账户有效地被验证。
现在图示了示例场景。对图1进行参考。图1图示了用户102在本地计算系统108处的本地实体106的注册表单104上。在图示的示例中,本地实体106是浏览应用,其包括网络浏览器。然而,如在其他示例中所图示的,本地实体106可以是应用或者其他接口机制。因此,虽然在图示的示例中,注册表单104被提供在浏览器中,但是其可以是应用的网络视图中所示(例如,使得其感觉被集成在应用体验中)或者使用应用内的本机代码提供的网页。
在图示的示例中,并且参考图2A,用户102试图通过将电子邮件地址录入注册表单的电子邮件字段110中来利用电子邮件地址118(在图示的示例中,kelly@contoso.com)进行注册。用户然后选择发送码按钮112。如在图1中所图示的,这使得电子邮件地址114被发送到身份系统116。身份系统116验证尚未存在被存储在身份系统116的存储系统118中的、具有该电子邮件地址114的账户。
身份系统116生成验证码120,其在这种情况下是随机验证码。身份系统116还生成相关因素122,在图示的示例中,生成相关因素122包括计算验证码120的散列,其中验证码的散列(或者验证码的散列的某种变型)是相关因素。
身份系统116诸如通过将验证码发送到用户的电子邮件地址(或者将验证码发短信到电话号码,如果用户利用电话号码注册而不是电子邮件地址)将验证码120的清楚文本版本带外发送到用户102(即,不到本地实体106)。用户102可以在便携式计算设备124(诸如具有文本和/或电子邮件功能的蜂窝电话)上获得验证码120,或者可以甚至在本地计算系统108上但是在与本地实体106不同的应用中接收验证码120。例如,用户102可以在本地计算系统108处的电子邮件应用或者文本消息应用中接收验证码120。
身份系统116将相关因素122(其在这种情况下是验证码120的散列版本)发送给注册表单104。在一个示例实施例中,如果注册表单利用HTML建立,则实施例可以包括散列码相关因素122作为注册表单104中的隐藏表单字段130(参见图2B)。
如在图2B中所图示的,在注册表单104中的本地实体106处,用户102填写其他表单字段128,包括诸如(在图示的示例中)名和姓、DOB、其他简档信息的东西并且创建新密码。注意,如果需要的话,该表单可以被加页码。分页可以隐藏和取消隐藏注册表单的不同部分。分页仅是表单的部分可以如何隐藏或者取消隐藏的一个示例。例如,在一些实施例中,Javascript可以被用于修改页面的内容,或者隐藏和取消隐藏页面上的元素。
当用户102将信息填写在注册表单104中时,验证码120经由电子邮件(或者文本消息)到达,诸如在本地计算系统108或者便携式计算设备124处。用户将经由电子邮件(或者文本消息)接收到的明文验证码120录入注册表单104中的验证码界面元素126中。
用户通过点击提交按钮132提交注册表单。注册表单104现在包含验证码120的明文版本、加上相关因素122,其在这种情况下是验证码120的散列版本、以及录入其他表单字段128中的注册表单104中的简档信息。
在身份系统116处,当该数据被接收在服务器端点处时,身份系统116将散列算法应用到从本地实体106提交的验证码120的明文版本。注意,形成散列函数并且验证用户的提供的散列的正确性的系统不必是与身份系统相同的系统。如果结果匹配沿着验证码120的明文版本提交的相关因素122,则其意味着验证码120由用户有效地接收,其意味着用户已经成功地证明其拥有电子邮件地址(或者电话号码)。
这时候,身份系统116将在身份系统中提供账户。在身份系统116中提供账户包括将简档信息134存储在具有任何要求的保护措施的存储系统118中。该账户被认为是已验证的。
实施例可以有助于其中存在试图在用户之一被验证之前利用相同的电子邮件地址(或者电话号码)注册的处理情况,而不需要在身份系统处存储用于两个用户的简档信息。
一个选项是生成用于每个用户的不同验证码。仅控制电子邮件地址(或者电话号码)并且接收明文码的用户将能够提交包含明文和相同的验证码的散列版本的表单。
第二选项是生成验证码作为用于注册的电子邮件地址或者电话号码的不可逆的功能。例如,电话号码或者电子邮件地址可以具有应用的散列函数并且散列的预定部分可以被用作验证码120。该第二方法为试图同时从两个不同的浏览器/设备注册的合法用户提供额外的益处。该用户将接收两个验证电子邮件或文本消息,但是两者将包含相同的验证码。这可以导致更好的用户体验。
如上文所描述的,可以实现不需要存储被发送的验证码120的实施例。验证码可以或者针对每个新注册请求被随机地生成,或者是用于注册的用户名(例如,电子邮件地址或者电话号码)的散列函数。
新的简档信息(包括PII和凭证)被持久在用户的浏览器中直到该信息准备被记录在存储系统118中。
实施例可以处理具有相同电子邮件地址或者相同电话号码的多个并发注册,无论这是恶意情况还是合法情况。
可以实现如上文描述的所实现的实施例,使得其不需要提供未验证的用户账户,并且因此不需要当其得到“验证”时移除或者更新他们。
注意,虽然该实现可以对于一些应用是足够的,但是存在考虑的若干安全隐含。例如,以上实现其自身不防止简单地重放与每个可能的安全码相同的安全散列的“暴力”攻击。这归因于缺乏针对每个码的“重试”尝试的跟踪以及缺乏终止时间。
下文增强描述了保护涉及减轻该攻击向量的应用的机制。当服务器侧存储装置被引入时,该机制特意地避免任何用户账户创建或者PII的暂时存储,直到用户的电子邮件账户已经完成验证过程。存储的信息还可以在规则的短期节奏上被清除。
在该高级流程中,实施例可以监测重试计数来防止暴力攻击。例如,可以实现被配置为执行以下各项的服务:
-针对验证电子邮件地址的所有新请求,生成密码唯一相关因素来,以及用于该会话的相关联的验证码。
-维护绑定在一起的存储表:相关因素、正确的验证码、验证验证码的尝试的数目的计数以及、会话被发起时的时间戳。
-将具有明文验证码的电子邮件或文本消息发送到用户的电子邮件收件箱。
-检查给定请求以验证验证码针对给定相关因素(例如,会话ID)是正确的,并且否则增加重试计数。如果码是不正确的并且重试计数高于允许阈值,则会话被终止,用于会话的相关联的存储装置从表被移除,并且用户必须在其希望验证其电子邮件地址的情况下开始新会话(生成新相关因素、验证电子邮件和验证码)。
-基于时间戳周期性地移除比指定寿命更长的会话表条目。
注意,在该实现中,账户创建服务和账户验证服务可以是或可以不是相同的物理服务。分离可以出于工程目的是期望的,或者简单地维持账户验证服务与账户标识符验证服务之间的隔离,以确保由后者维持的信息的暂时存储不能可能地包含PII。此外,注意,在这种情况下,除了被发送到浏览器/用户代理的相关因素是会话ID而不是在基本流中看到的安全散列之外,流程的剩余部分很大程度上不变。
在图3中示出了该高级实现方案的概述。在该示例中,账户标识符验证服务132被假定为与身份系统116的分离的实体。然而,应当理解,在其他实施例中,账户标识符验证服务132可以是与身份系统116相同的实体。
现在参考图3,用户在本地实体106(其在该情况下是浏览器窗口)处浏览到注册表单。注册表单由如在1处所图示的身份系统116提供。
身份系统116显示如在2处所图示的页面,请求来自用户的信息诸如用户的电子邮件地址或者其他账户标识符(诸如蜂窝电话号码)和任何其他期望的简档信息。如在3处所图示的,在账户创建页面处,用户录入待确认的账户标识符(例如,电子邮件地址)并且请求码(诸如以参考图2A上文所图示的方式)。
这时候,如在4处所图示的,身份系统116将询问存储装置118以标识电子邮件地址或其他账户标识符可用于创建用户账户。如果身份系统116能够确认账户标识符是可用的,那么身份系统116可以请求验证服务132应当将通知发送给用户,如在5处所图示的。在该示例中,通知将是被发送到用户的电子邮件收件箱134的电子邮件,如在7处所图示的。如先前所述,电子邮件收件箱134可以被实现在便携式计算设备124上、在计算设备108上或者在某个其他计算设备上。
验证服务132生成新相关因素(其在一些实施例中可以是会话ID)和相关联的验证码并且将相关因素和验证码存储在存储库136中,诸如指示没有重试尝试已经执行的表,如在6处所图示的。在该示例中,验证服务132还将电子邮件发送到用户的电子邮件收件箱134(但是在其他实施例中可以发送文本消息或者其他消息),其包括已生成的验证码,如在7处所图示的。在图3中所图示的示例中,验证服务132将相关因素发送到身份系统116,如在8处所图示的。相关因素被发送到本地实体106,如在9处所图示的。在一些实施例中,除了相关因素之外,相关因素可以与验证服务的位置一起被发送。相关因素可以作为明文被发送到本地实体106,虽然相关因素不必被示出给用户。
用户可以然后打开其电子邮件收件箱134中的电子邮件来获得验证码。用户然后将验证码录入注册表单中,如在10处所图示的。
用户然后将相关因素和验证码提交到身份系统116,如在11处所图示的。
相关因素和验证码被发送到待被验证正确性的验证服务132并且递增重试计数,如在12处所图示的。相关因素被用于查找存储库136中的验证码和当前重试计数、如在13处所图示的。如果码是正确的,则成功消息被返回到身份系统116,其可以然后在存储装置118中创建用户账户,如在14处所图示的。如果码是不正确的,那么重试计数增加。只要重试计数小于预定阈值重试计数,用户就被提示以再次输入验证码。如果重试计数超过预定阈值,那么会话被删除并且用户被给定终端误差。
注意,虽然在该示例中图示了身份系统116和验证服务132是分离的实体,但是应当理解,在其他实施例中,账户创建服务身份系统116和电子邮件验证服务132可以被实现为具有用于验证码和电子邮件账户的相关因素的功能的单个实体。
以下讨论现在指代可以被执行的若干方法和方法动作。虽然可以以特定次序讨论或者以如以特定次序发生的流程图中图示方法步骤,然而,除非特别说明或者要求,因为动作取决于在动作被执行之前完成的另一动作,否则不要求特定排序。
现在参考图4,图示了方法400。方法400包括用于提供用户账户的动作。
方法400包括在本地实体(诸如浏览器或者应用)处联系身份系统以开始用户账户提供(动作410)。例如,用户可以导航到注册表单104并且录入账户标识符诸如录入电子邮件地址或电话号码并且点击发送码按钮112,如上文所图示的。
方法400还包括从身份系统接收与从身份系统发送到用户的验证码有关的相关因素(动作420)。例如,如在图1中所图示的,相关因素122可以在浏览器处从身份系统116被接收。
方法400还包括从用户接收录入本地实体中的简档信息,其中简档信息将被存储在用户账户中(动作430)。因此,例如,如在图2B中所图示的,用户可以录入姓名、地址、出生日期、建议密码,等等。
方法400还包括从用户接收对应于相关因素的验证码(动作440)。例如,用户可以将验证码122录入元素126中,如图2B中所图示的。
方法400还包括将相关因素、用户录入的验证码以及用户录入的简档信息发送到身份系统,其中身份系统确定验证码与相关因素恰当地相关,并且因此提供用户账户并且将简档信息存储在用户账户中(动作450)。例如,如在图1中所图示的,验证码122、相关因素120以及简档信息134被发送到身份提供者116,其中身份提供者可以验证验证码122和相关因素120匹配,并且因此将简档信息134存储在存储装置118中。
在一些实施例中,可以实践其中相关因素基于验证码的散列的方法400。
在一些实施例中,可以实践其中相关因素基于会话ID的方法400。
在一些实施例中,可以实践其中相关因素包括数据实体的散列的位置的方法400,其中位置是验证服务(诸如验证服务132)。
在一些实施例中,可以实践其中联系系统以开始账户提供包括提供账户标识符的方法400。这样的账户标识符可以是例如电子邮件地址或者电话号码。
现在参考图5,图示了方法500。方法包括用于提供用户账户的动作。
方法500包括在身份系统处从本地实体接收请求以开始针对用户账户的用户账户提供(动作510)。例如,本地实体106可以将电子邮件地址114发送给其中其被接收的身份系统116。这可以指示开始创建用于用户102的账户的期望。
方法500还包括使得验证码带外发送到用户(动作520)。例如,图1图示了验证码120被发送到用户102。
方法500还包括使得相关因素被发送给本地实体,其中相关因素与被发送给用户的验证码有关(动作530)。例如,图1图示了身份系统116将相关因素122发送到本地实体106。
方法500还包括从本地实体接收相关因素、用户录入的验证码以及用户录入的简档信息(动作540)。例如,图1图示了本地实体106向身份系统发送验证码120、相关因素122以及简档信息134。
方法500还包括确定验证码与相关因素恰当地相关(动作550)。例如,身份系统116可以确定验证码120恰当地散列到相关因素122。备选地,实施例可以检查使会话ID与验证码相关的表以确定验证码120与相关因素何时相关。
因此,方法500还包括使得用户账户被提供并且简档信息被存储在用户账户中(动作560)。
可以实践其中相关因素基于验证码的散列的方法500。
可以实践其中相关因素基于会话ID的方法500。
可以实践其中相关因素包括数据实体的散列的位置的方法500,其中位置是验证服务。
可以实践其中开始针对用户账户的用户账户提供的来自本地实体的请求包括接收账户标识符的方法500。因此例如,账户标识符可以包括电子邮件地址或电话号码。
可以实践其中使得验证码带外被发送到用户并且使得相关因素被发送到本地实体的方法500,包括使得分离的验证服务:生成并且存储会话ID;生成并且存储与会话ID相关联的验证码;发送验证码;生成相关因素;以及发送相关因素。因此,如上文所图示的,各种动作可以通过与身份系统一致工作的分离的验证服务来执行。
进一步地,可以通过包括一个或多个处理器和计算机可读介质(诸如计算机存储器)来实践方法。特别地,计算机存储器可以存储当由一个或多个处理器执行时使得各种功能被执行的计算机可执行指令(诸如实施例中所记载的动作)。
本发明的实施例可以包括或者利用包括计算机硬件的专用或通用计算机,如下面更详细地讨论的。本发明的范围内的实施例还包括用于携带或者存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可以由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此,以示例而非限制的方式,本发明的实施例可以包括至少两个不同地不同的种类的计算机可读介质:物理计算机可读存储介质和传输计算机可读介质。
物理计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或者其他光盘存储装置(诸如CD、DVD等)、磁盘存储装置或者其他磁性存储设备或者可以被用于以计算机可执行指令或数据结构的形式存储期望的程序代码装置并且可以由通用或专用计算机访问的任何其他介质。
“网络”被定义为实现计算机系统和/或模块和/或其他电子设备之间的电子数据的传输的一个或多个数据链路。当信息通过网络或其他通信连接(或者硬连线、无线或者硬连线或无线的组合)被传送或被提供到计算机时,计算机适当地将连接视为传输介质。传输介质可以包括可以被用于以计算机可执行指令或数据结构的形式携带期望的程序代码装置并且可以由通用或专用计算机访问的网络和/或数据链路。上文的组合也被包括在计算机可读介质的范围内。
进一步地,在到达各种计算机系统组件时,以计算机可执行指令或数据结构的形式的程序代码装置可以从传输计算机可读介质自动地传送到物理计算机可读存储介质(或反之亦然)。例如,通过网络或数据链路接收到的计算机可执行指令或数据结构可以被缓冲在网络接口节点(例如,“NIC”)内的RAM中,并且然后最终地被传送到计算机系统RAM和/或计算机系统处的较少的易失性计算机可读物理存储介质。因此,计算机可读物理存储介质可以被包括在还(或甚至主要地)利用传输介质的计算机系统组件中。
计算机可执行指令包括例如使得通用计算机、专用计算机或者专用处理设备执行特定功能或功能组的指令和数据。计算机可执行指令可以是例如二进制、中间格式指令(诸如汇编语言或甚至源代码)。虽然已经以特定于结构特征和/或方法动作的语言描述主题,但是将理解到,所附权利要求中定义的主题不必限于上文所描述的特征或者动作。相反,所描述的特征和行为被公开为实现权利要求的示例形式。
本领域的技术人员将理解到,本发明可以被实践在具有许多类型的计算机系统配置的网络计算环境中,包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持式设备、可穿戴设备、多处理器系统、基于微处理器或可编程的消费者电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、平板电脑、寻呼机、路由器、交换机等。本发明还可以被实践在其中通过网络链接(或者通过硬连线数据链路、无线数据链路或者通过硬连线数据链路和无线数据链路的组合)本地计算系统和远程计算机系统二者执行任务的分布式系统环境中。在分布式系统环境中,程序模块可以被定位在本地存储器存储设备和远程存储器存储设备二者中。
备选地,或者另外,可以至少部分地通过一个或多个硬件逻辑部件执行在此所描述的功能。例如,并且非限制性地,可以使用的说明性类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统(SOC)、复杂可编程逻辑器件(CPLD)等。
在不脱离其精神或特点的情况下,可以以其他特定形式实现本发明。所描述的实施例将在所有方面中仅被认为是说明性而非限制性的。因此,本发明的范围由所附权利要求书指示,而不是由前述描述指示。落在权利要求的等效物的意义和范围内的所有改变将被包含在其范围内。
Claims (14)
1.一种计算系统,包括:
一个或多个处理器;以及
一个或多个计算机可读介质,所述一个或多个计算机可读介质具有存储在其上的指令,所述指令由所述一个或多个处理器可执行以将所述计算机系统配置为提供用户账户,包括可执行以将所述计算机系统配置为执行至少以下的指令:
在本地实体处联系身份系统以开始用户账户提供;
从所述身份系统接收与由所述身份系统发送给所述用户的验证码有关的相关因素;
从所述用户接收被录入到所述本地实体中的简档信息,其中所述简档信息将被存储在所述用户账户中;
从所述用户接收对应于所述相关因素的所述验证码;以及
向所述身份系统发送所述相关因素、用户录入的验证码以及所述用户录入的简档信息,其中所述身份系统确定所述验证码与所述相关因素恰当地相关,并且因此提供所述用户账户并将所述简档信息存储在所述用户账户中。
2.根据权利要求1所述的系统,其中所述相关因素基于所述验证码的散列。
3.根据权利要求1所述的系统,其中所述相关因素基于会话ID。
4.根据权利要求1所述的系统,其中所述相关因素包括所述数据实体的散列的位置,其中所述位置是验证服务。
5.根据权利要求1所述的系统,其中联系身份系统以开始账户提供包括提供账户标识符。
6.根据权利要求5所述的系统,其中所述账户标识符包括电子邮件地址。
7.根据权利要求5所述的系统,其中所述账户标识符包括电话号码。
8.一种提供用户账户的方法:
在本地实体处联系身份系统以开始用户账户提供;
从所述身份系统接收与由所述身份系统发送给所述用户的验证码有关的相关因素;
从所述用户接收被录入到所述本地实体中的简档信息,其中所述简档信息将被存储在所述用户账户中;
从所述用户接收对应于所述相关因素的所述验证码;以及
向所述身份系统发送所述相关因素、用户录入的验证码以及所述用户录入的简档信息,其中所述身份系统确定所述验证码与所述相关因素恰当地相关,并且因此提供所述用户账户并将所述简档信息存储在所述用户账户中。
9.根据权利要求8所述的方法,其中所述相关因素基于所述验证码的散列。
10.根据权利要求8所述的方法,其中所述相关因素基于会话ID。
11.根据权利要求8所述的方法,其中所述相关因素包括所述数据实体的散列的位置,其中所述位置是验证服务。
12.根据权利要求8所述的方法,其中联系身份系统以开始账户提供包括提供账户标识符。
13.根据权利要求12所述的方法,其中所述账户标识符包括电子邮件地址。
14.根据权利要求12所述的方法,其中所述账户标识符包括电话号码。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/167,749 | 2016-05-27 | ||
| US15/167,749 US10542010B2 (en) | 2016-05-27 | 2016-05-27 | Account verification in deferred provisioning systems |
| PCT/US2017/033895 WO2017205306A1 (en) | 2016-05-27 | 2017-05-23 | Account verification in deferred provisioning systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109154954A true CN109154954A (zh) | 2019-01-04 |
| CN109154954B CN109154954B (zh) | 2021-11-02 |
Family
ID=58794256
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780030230.4A Active CN109154954B (zh) | 2016-05-27 | 2017-05-23 | 提供用户账户的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10542010B2 (zh) |
| EP (1) | EP3465510B1 (zh) |
| CN (1) | CN109154954B (zh) |
| WO (1) | WO2017205306A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112131550A (zh) * | 2020-09-30 | 2020-12-25 | 深圳软牛科技有限公司 | 一种系统解锁方法、装置、电子设备及计算机可读介质 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10778634B2 (en) * | 2017-11-29 | 2020-09-15 | Salesforce.Com, Inc. | Non-interactive e-mail verification |
| US10749875B2 (en) | 2018-06-28 | 2020-08-18 | Microsoft Technology Licensing, Llc | Security configuration lifecycle account protection for minors |
| US10389708B1 (en) * | 2019-01-03 | 2019-08-20 | Capital One Services, Llc | Secure authentication of a user associated with communication with a service representative |
| US11651342B2 (en) * | 2020-12-15 | 2023-05-16 | Toast, Inc. | Point-of-sale terminal for transaction handoff and completion employing ephemeral token |
| US11651344B2 (en) | 2020-12-15 | 2023-05-16 | Toast, Inc. | System and method for transaction handoff and completion employing indirect token |
| US11386194B1 (en) | 2021-07-09 | 2022-07-12 | Oversec, Uab | Generating and validating activation codes without data persistence |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1521649A (zh) * | 2003-01-30 | 2004-08-18 | 北京九恒星科技有限责任公司 | 本地/远程独立作业的多数据系统信息传递群控调度的方法 |
| WO2007084593A2 (en) * | 2006-01-18 | 2007-07-26 | Sms.Ac, Inc. | Package billing for micro-transactions |
| CN101120350A (zh) * | 2005-02-22 | 2008-02-06 | 国际商业机器公司 | 通过多模态基于web的界面的用户验证 |
| CN101523428A (zh) * | 2006-08-01 | 2009-09-02 | Q佩控股有限公司 | 交易授权系统和方法 |
| CN102404116A (zh) * | 2010-09-30 | 2012-04-04 | 微软公司 | 将附加认证因素绑定到多个身份的加密设备 |
| CN103324879A (zh) * | 2013-07-05 | 2013-09-25 | 公安部第三研究所 | 移动设备基于人脸识别和智能卡的身份验证系统及方法 |
| CN103377333A (zh) * | 2012-04-25 | 2013-10-30 | 宋嘉佑 | 虚实身分验证电路、系统及电子消费方法 |
| US20140068787A1 (en) * | 2012-08-28 | 2014-03-06 | Sap Ag | Instant account access after registration |
| CN104573516A (zh) * | 2014-12-25 | 2015-04-29 | 中国科学院软件研究所 | 一种基于安全芯片的工控系统可信环境管控方法和平台 |
| US20150312236A1 (en) * | 2014-04-29 | 2015-10-29 | Twitter, Inc. | Authentication mechanism |
| CN105144140A (zh) * | 2013-03-12 | 2015-12-09 | 律商联讯风险解决方案公司 | 用于远程信息控制及通信的系统及方法 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001018636A1 (en) | 1999-09-09 | 2001-03-15 | American Express Travel Related Services Company, Inc. | System and method for authenticating a web page |
| US8650103B2 (en) * | 2001-10-17 | 2014-02-11 | Ebay, Inc. | Verification of a person identifier received online |
| US7660880B2 (en) * | 2003-03-21 | 2010-02-09 | Imprivata, Inc. | System and method for automated login |
| US20070260556A1 (en) * | 2005-06-06 | 2007-11-08 | Michael Pousti | System and method for verification of identity for transactions |
| US8151116B2 (en) * | 2006-06-09 | 2012-04-03 | Brigham Young University | Multi-channel user authentication apparatus system and method |
| US8769652B2 (en) | 2008-04-23 | 2014-07-01 | Clear Channel Management Services, Inc. | Computer based method and system for registering a user at a server computer system |
| US8789153B2 (en) | 2010-01-27 | 2014-07-22 | Authentify, Inc. | Method for secure user and transaction authentication and risk management |
| US20110185406A1 (en) | 2010-01-26 | 2011-07-28 | Boku, Inc. | Systems and Methods to Authenticate Users |
| US8613065B2 (en) * | 2010-02-15 | 2013-12-17 | Ca, Inc. | Method and system for multiple passcode generation |
| US8640212B2 (en) | 2010-05-27 | 2014-01-28 | Red Hat, Inc. | Securing passwords with CAPTCHA based hash when used over the web |
| US8910247B2 (en) | 2010-10-06 | 2014-12-09 | Microsoft Corporation | Cross-site scripting prevention in dynamic content |
| WO2012071552A2 (en) * | 2010-11-24 | 2012-05-31 | Coral Networks, Inc. | System and method for access control and identity management |
| US8838973B1 (en) | 2011-02-28 | 2014-09-16 | Google Inc. | User authentication method |
| US8505085B2 (en) | 2011-04-08 | 2013-08-06 | Microsoft Corporation | Flexible authentication for online services with unreliable identity providers |
| TW201310959A (zh) | 2011-08-31 | 2013-03-01 | Ibm | 動態提供演算式密碼/盤問鑑定的方法與電腦裝置 |
| WO2013163616A1 (en) * | 2012-04-26 | 2013-10-31 | Whoat, Llc | Systems and methods for facilitating user interactions |
| US9154470B2 (en) | 2012-05-25 | 2015-10-06 | Canon U.S.A., Inc. | System and method for processing transactions |
| US8752148B1 (en) | 2012-06-25 | 2014-06-10 | Emc Corporation | Processorless token for producing a one-time password |
| US9032519B1 (en) | 2012-10-29 | 2015-05-12 | Amazon Technologies, Inc. | Protecting websites from cross-site scripting |
| US9218476B1 (en) | 2012-11-07 | 2015-12-22 | Amazon Technologies, Inc. | Token based one-time password security |
| US9386011B2 (en) * | 2013-08-29 | 2016-07-05 | Aol Inc. | Systems and methods for managing resetting of user online identities or accounts |
| US9038157B1 (en) | 2014-02-09 | 2015-05-19 | Bank Of America Corporation | Method and apparatus for integrating a dynamic token generator into a mobile device |
| US10142309B2 (en) * | 2014-12-19 | 2018-11-27 | Dropbox, Inc. | No password user account access |
| US20160241536A1 (en) * | 2015-02-13 | 2016-08-18 | Wepay, Inc. | System and methods for user authentication across multiple domains |
| US10127469B2 (en) * | 2015-08-31 | 2018-11-13 | Microsoft Technology Licensing, Llc | Leveraging digital images of user information in a social network |
| US10135801B2 (en) * | 2015-09-09 | 2018-11-20 | Oath Inc. | On-line account recovery |
-
2016
- 2016-05-27 US US15/167,749 patent/US10542010B2/en active Active
-
2017
- 2017-05-23 CN CN201780030230.4A patent/CN109154954B/zh active Active
- 2017-05-23 WO PCT/US2017/033895 patent/WO2017205306A1/en unknown
- 2017-05-23 EP EP17726516.2A patent/EP3465510B1/en active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1521649A (zh) * | 2003-01-30 | 2004-08-18 | 北京九恒星科技有限责任公司 | 本地/远程独立作业的多数据系统信息传递群控调度的方法 |
| CN101120350A (zh) * | 2005-02-22 | 2008-02-06 | 国际商业机器公司 | 通过多模态基于web的界面的用户验证 |
| WO2007084593A2 (en) * | 2006-01-18 | 2007-07-26 | Sms.Ac, Inc. | Package billing for micro-transactions |
| CN101523428A (zh) * | 2006-08-01 | 2009-09-02 | Q佩控股有限公司 | 交易授权系统和方法 |
| CN102404116A (zh) * | 2010-09-30 | 2012-04-04 | 微软公司 | 将附加认证因素绑定到多个身份的加密设备 |
| CN103377333A (zh) * | 2012-04-25 | 2013-10-30 | 宋嘉佑 | 虚实身分验证电路、系统及电子消费方法 |
| US20140068787A1 (en) * | 2012-08-28 | 2014-03-06 | Sap Ag | Instant account access after registration |
| CN105144140A (zh) * | 2013-03-12 | 2015-12-09 | 律商联讯风险解决方案公司 | 用于远程信息控制及通信的系统及方法 |
| CN103324879A (zh) * | 2013-07-05 | 2013-09-25 | 公安部第三研究所 | 移动设备基于人脸识别和智能卡的身份验证系统及方法 |
| US20150312236A1 (en) * | 2014-04-29 | 2015-10-29 | Twitter, Inc. | Authentication mechanism |
| CN104573516A (zh) * | 2014-12-25 | 2015-04-29 | 中国科学院软件研究所 | 一种基于安全芯片的工控系统可信环境管控方法和平台 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112131550A (zh) * | 2020-09-30 | 2020-12-25 | 深圳软牛科技有限公司 | 一种系统解锁方法、装置、电子设备及计算机可读介质 |
| CN112131550B (zh) * | 2020-09-30 | 2024-05-10 | 深圳软牛科技有限公司 | 一种Windows系统解锁方法、装置、电子设备及计算机可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3465510B1 (en) | 2024-03-06 |
| EP3465510A1 (en) | 2019-04-10 |
| US10542010B2 (en) | 2020-01-21 |
| WO2017205306A1 (en) | 2017-11-30 |
| CN109154954B (zh) | 2021-11-02 |
| US20170346829A1 (en) | 2017-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109154954A (zh) | 延迟的提供系统中的账户验证 | |
| US20220123931A1 (en) | Technologies for private key recovery in distributed ledger systems | |
| US9967261B2 (en) | Method and system for secure authentication | |
| JP5802137B2 (ja) | 安全なプライベート・データ記憶装置を有する集中型の認証システム、および方法 | |
| KR101851686B1 (ko) | 거래 인증을 위하여 추출된 무작위 일회용 패스워드 | |
| US8695071B2 (en) | Authentication method | |
| US9516008B2 (en) | Generating challenge response sets utilizing semantic web technology | |
| JP2014535103A (ja) | ユーザ識別情報の検証の提供 | |
| JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
| EP3937040B1 (en) | Systems and methods for securing login access | |
| CN109462602A (zh) | 登录信息存储方法、登录验证方法、装置、设备及介质 | |
| US8566957B2 (en) | Authentication system | |
| JP6494584B2 (ja) | 認証方法、当該認証方法をコンピュータに実行させるプログラム、および装置 | |
| CN107409129A (zh) | 使用访问控制列表和群组的分布式系统中的授权 | |
| CN106878244B (zh) | 一种真实性证明信息提供方法及装置 | |
| KR102250430B1 (ko) | Pki 기반의 일회성 아이디를 사용하여 서비스를 사용하는 방법, 및 이를 사용한 사용자 단말 | |
| US20140157433A1 (en) | Management apparatus, membership managing method, service providing apparatus, and membership managing system | |
| US8800014B2 (en) | Authentication method | |
| KR101267229B1 (ko) | 입력패턴을 이용한 인증 방법 및 시스템 | |
| US20130103544A1 (en) | Authentication system | |
| US10652276B1 (en) | System and method for distinguishing authentic and malicious electronic messages | |
| JP2007065789A (ja) | 認証システム及び方法 | |
| KR102215600B1 (ko) | 보안 등급에 기초한 차등 인증 처리를 통해 문서에 삽입되는 주석으로 활용 가능한 공공 데이터를 제공하는 공공 데이터 제공 장치 및 그 동작 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |