CN109416710A - 移动装置上的基于用户隐私保护位置的认证 - Google Patents
移动装置上的基于用户隐私保护位置的认证 Download PDFInfo
- Publication number
- CN109416710A CN109416710A CN201780039756.9A CN201780039756A CN109416710A CN 109416710 A CN109416710 A CN 109416710A CN 201780039756 A CN201780039756 A CN 201780039756A CN 109416710 A CN109416710 A CN 109416710A
- Authority
- CN
- China
- Prior art keywords
- authentication
- application program
- information
- location
- tied
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/06—Answer-back mechanisms or circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了用于在计算装置中实施基于位置的认证的技术。根据这些技术的实例方法包含:将位置认证信息绑定到用于信赖方RP应用程序的认证密钥;从所述RP应用程序接收对签署的认证响应的请求;获得用于所述计算装置的当前位置信息;基于绑定到所述认证密钥的所述位置认证信息认证用于所述计算装置的所述当前位置信息;以及响应于所述认证用于所述计算装置的所述当前位置信息通过所述计算装置将所述签署的认证响应提供到所述RP应用程序,其中所述签署的认证响应是使用绑定到所述位置认证信息的所述认证密钥签署的。
Description
背景技术
计算装置的安全密钥管理(SKM)服务通常将用户认证信息(例如,生物计量认证信息、个人身份识别码(PIN)和/或密码)绑定到用于对信赖方(RP)应用程序的认证响应进行签署的密钥。举例来说,RP应用程序可以包含用于财务交易的购买或支付应用程序。此类绑定为RP应用程序的交易提供了增强的安全性。将计算装置位置信息提供到RP应用程序可以进一步增强交易安全性。SKM服务可以通过将位置信息添加到认证证书而将位置信息提供到RP应用程序。在例如的服务中,举例来说,RP应用程序收集当前位置信息作为用户认证过程的一部分。RP应用程序可以使用所提供的位置信息以便根据地理围栏策略限制交易和/或基于所提供的位置信息验证用户标识。然而,将位置信息提供到RP应用程序可能会危害计算装置的用户的安全性和/或隐私。
发明内容
根据本发明的在计算装置中实施基于位置的认证的实例方法包含:将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥;从RP应用程序接收对签署的认证响应的请求;在计算装置处获得用于计算装置的当前位置信息;在计算装置处基于绑定到认证密钥的位置认证信息认证用于计算装置的当前位置信息;以及响应于认证用于计算装置的当前位置信息通过计算装置将签署的认证响应提供到RP应用程序,其中签署的认证响应是使用绑定到位置认证信息的认证密钥签署的。
此类方法的实施方案可包含以下特征中的一或多个。将签署的认证响应提供到RP应用程序而不将当前位置信息提供到RP应用程序。在计算装置处产生位置认证信息,其中位置认证信息指示RP应用程序的交易的一或多个所允许的位置。将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥包含将与多个不同位置相关联的位置信息绑定到认证密钥。将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥包含将第一位置认证信息绑定到用于RP应用程序的第一交易的第一认证密钥,并且将第二位置认证信息绑定到用于RP应用程序的第二交易的第二认证密钥,其中第二位置认证信息不同于第一位置认证信息。从RP应用程序接收对签署的认证响应的请求进一步包括从RP应用程序接收对RP应用程序的特定交易的签署的认证响应的请求,其中特定交易包括第一交易或第二交易中的一个。基于绑定到认证密钥的位置认证信息认证用于计算装置的当前位置信息包含基于用于特定交易的绑定的位置认证信息认证用于计算装置的当前位置信息,并且用于特定交易的绑定的位置认证信息包括第一位置认证信息或第二位置认证信息中的一个。响应于认证用于计算装置的当前位置信息提供签署的认证响应包含使用对应于特定交易的认证密钥对签署的认证响应进行签署,并且对应于特定交易的认证密钥包括与第一位置认证信息绑定的第一认证密钥或与第二位置认证信息绑定的第二认证密钥中的一个。从计算装置的位置认证器受信任应用程序接收用于计算装置的当前位置信息。将额外的认证信息绑定到用于信赖方(RP)应用程序的认证密钥;基于绑定到认证密钥的额外的认证信息认证用于设备的额外的认证信息;以及响应于认证用于计算装置的当前位置信息和额外的认证信息通过计算装置将签署的认证响应提供到RP应用程序,其中签署的认证响应是使用绑定到位置认证信息和额外的认证信息的认证密钥签署的。额外的认证信息包含生物计量信息、装置状态信息、授权凭证,或其组合。
根据本发明的实例设备包含:用于将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥的装置;用于从RP应用程序接收对签署的认证响应的请求的装置;用于在设备处获得用于设备的当前位置信息的装置;用于在设备处基于绑定到认证密钥的位置认证信息认证用于设备的当前位置信息的装置;以及用于响应于认证用于设备的当前位置信息通过设备将签署的认证响应提供到RP应用程序的装置,其中签署的认证响应是使用绑定到位置认证信息的认证密钥签署的。
此类设备的实施方案可包含以下特征中的一或多个。用于将签署的认证响应提供到RP应用程序而不将当前位置信息提供到RP应用程序的装置。用于在设备处产生位置认证信息的装置,其中位置认证信息指示RP应用程序的交易的一或多个所允许的位置。用于将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥的装置包含将与多个不同位置相关联的位置信息绑定到认证密钥。用于将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥的装置包含:用于将第一位置认证信息绑定到用于RP应用程序的第一交易的第一认证密钥的装置;以及用于将第二位置认证信息绑定到用于RP应用程序的第二交易的第二认证密钥的装置,其中第二位置认证信息不同于第一位置认证信息。用于从RP应用程序接收对签署的认证响应的请求的装置进一步包含用于从RP应用程序接收对RP应用程序的特定交易的签署的认证响应的请求的装置,并且特定交易包括第一交易或第二交易中的一个。用于基于绑定到认证密钥的位置认证信息认证用于计算装置的当前位置信息的装置进一步包括用于基于用于特定交易的绑定的位置认证信息认证用于计算装置的当前位置信息的装置,并且用于特定交易的绑定的位置认证信息包括第一位置认证信息或第二位置认证信息中的一个。
根据本发明的设备包含存储器和耦合到存储器的处理器。处理器经配置以:将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥;从RP应用程序接收对签署的认证响应的请求;在设备处获得用于设备的当前位置信息;在设备处基于绑定到认证密钥的位置认证信息认证用于设备的当前位置信息;以及响应于认证用于设备的当前位置信息通过设备将签署的认证响应提供到RP应用程序,其中签署的认证响应是使用绑定到位置认证信息的认证密钥签署的。
此类设备的实施方案可包含以下特征中的一或多个。处理器进一步经配置以将签署的认证响应提供到RP应用程序而不将当前位置信息提供到RP应用程序。处理器进一步经配置以在设备处产生位置认证信息,并且其中位置认证信息指示RP应用程序的交易的一或多个所允许的位置。处理器进一步经配置以将与多个不同位置相关联的位置信息绑定到认证密钥。经配置以将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥的处理器进一步经配置以:将第一位置认证信息绑定到用于RP应用程序的第一交易的第一认证密钥;以及将第二位置认证信息绑定到用于RP应用程序的第二交易的第二认证密钥,其中第二位置认证信息不同于第一位置认证信息。处理器进一步经配置以从RP应用程序接收对RP应用程序的特定交易的签署的认证响应的请求,并且特定交易包括第一交易或第二交易中的一个。
一种上面存储有用于在计算装置中实施基于位置的认证的计算机可读指令的非暂时性计算机可读媒体包含经配置以使得计算装置进行以下操作的指令:将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥;从RP应用程序接收对签署的认证响应的请求;在计算装置处获得用于计算装置的当前位置信息;在计算装置处基于绑定到认证密钥的位置认证信息认证用于计算装置的当前位置信息;以及响应于认证用于计算装置的当前位置信息通过计算装置将签署的认证响应提供到RP应用程序,其中签署的认证响应是使用绑定到位置认证信息的认证密钥签署的。
此类非暂时性计算机可读媒体的实施方案可包含以下特征中的一或多个。指令经配置以使得计算装置将签署的认证响应提供到RP应用程序而不将当前位置信息提供到RP应用程序。指令经配置以使得计算装置在计算装置处产生位置认证信息,其中位置认证信息指示RP应用程序的交易的一或多个所允许的位置。经配置以使得计算装置将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥的指令包含经配置以使得计算装置将与多个不同位置相关联的位置信息绑定到认证密钥的指令。经配置以使得计算装置将位置认证信息绑定到用于信赖方(RP)应用程序的认证密钥的指令包含经配置以使得计算装置进行以下操作的指令:将第一位置认证信息绑定到用于RP应用程序的第一交易的第一认证密钥;以及将第二位置认证信息绑定到用于RP应用程序的第二交易的第二认证密钥,其中第二位置认证信息不同于第一位置认证信息。经配置以使得计算装置从RP应用程序接收对签署的认证响应的请求的指令进一步包括经配置以使得计算装置从RP应用程序接收对RP应用程序的特定交易的签署的认证响应的请求的指令,其中特定交易包括第一交易或第二交易中的一个。
附图说明
图1是用于计算装置的通信系统的实例的示意图。
图2是图1的计算装置的硬件组件的框图。
图3是用于基于位置的认证的计算装置架构的实例的框图。
图4是用于实施基于位置的认证的实例过程的框图。
图5是用于在计算装置中将位置信息绑定到认证密钥的实例过程的流程图。
图6是用于在计算装置中实施基于位置的认证的实例过程的流程图。
图7是用于在计算装置中实施基于位置的认证的实例过程的流程图。
图8是用于在计算装置中实施基于位置的认证的实例过程的流程图。
图9是用于在计算装置中实施基于位置的认证的实例过程的流程图。
具体实施方式
提供了用于在计算装置上实施基于位置的认证的技术。本文中所提供的技术可用于在安全密钥管理(SKM)服务中实施位置绑定。位置绑定可以通过用户认证绑定实施以进一步增强SKM服务的安全性。所述技术提供绑定到位置认证信息和/或用户认证信息的密钥的安全密钥管理。位置认证信息和用户认证信息在计算装置的受信任执行环境内处理并且不对利用SKM服务的信赖方(RP)应用程序公开以确保敏感的用户相关信息不被公开。
参考图1,示出了可以实施本文中所公开的技术的通信系统10的实例的示意图。通信系统10包含计算装置11、调制解调器13、通信网络接入装置14、计算机网络15、无线通信网络16、卫星定位系统(SPS)卫星17和服务器18。图1中的每个组件的数量仅为实例,且可使用其它数量的每个或任何组件。此外,除了图1中所说明的组件中的一或多个之外或替代于图1中所说明的组件中的一或多个,其它组件可以包含于通信系统10中。
计算装置11是电子计算装置和/或系统。虽然在图1中示出为移动电话,但是电子装置11可以是另一电子装置。计算装置11的实例包含(例如但不限于)集成电路、大型主机、迷你计算机、服务器、工作站、机顶盒、个人计算机、膝上型计算机、移动装置、手持式装置、可穿戴式装置、无线装置、导航装置、娱乐电器、平板计算机、调制解调器、电子阅读器、个人数字助理、电子游戏、汽车、飞机、机械设备,或其组合。所主张的标的物不限于特定类型、类别、大小等的计算装置。
通信网络接入装置14可以是基站、存取点、毫微微基站等。基站也可以被称作例如NodeB或eNB(例如,在LTE无线网络的情形下)等。通信网络接入装置14可以发射/接收网络信号95以用于无线网络通信。调制解调器13是计算机网络存取装置并且可以包含路由器。调制解调器13以通信方式耦合到计算装置11和计算机网络15。计算机网络15可以包含移动交换中心和分组数据网络(例如,在本文中被称作因特网的因特网协议(IP)网络)。虽然单独地示出,但是计算机网络15可以是无线通信网络16的一部分。
无线通信网络16可以通信方式耦合到计算装置11、通信网络接入装置14、计算机网络15和/或服务器18。无线通信网络16可以包含(但不限于)无线广域网(WWAN)、无线局域网(WLAN)、无线个域网(WPAN)等等。本文中可以互换使用术语“网络”与“系统”。WWAN可以是码分多址(CDMA)网络、时分多址(TDMA)网络、频分多址(FDMA)网络、正交频分多址(OFDMA)网络、单载波频分多址(SC-FDMA)网络等等。CDMA网络可以实施一或多种无线电存取技术(RAT)(例如,cdma2000、宽带-CDMA(W-CDMA)、时分同步码分多址(TD-SCDMA))以仅列举一些无线电技术。此处,cdma2000可以包含根据IS-95、IS-2000和IS-856标准实施的技术。TDMA网络可以实施全球移动通信系统(GSM)、数字高级移动电话系统(D-AMPS)或某种其它RAT。GSM和W-CDMA描述于来自名为“第3代合作伙伴计划”(3GPP)的联盟的文献中。Cdma2000描述于来自名为“第3代合作伙伴计划2”(3GPP2)的联盟的文献中。3GPP和3GPP2文献是公开可供使用的。WLAN可以包含IEEE 802.11x网络,且WPAN可以包含(例如)蓝牙网络、IEEE802.15x。无线通信网络可以包含所谓的下一代技术(例如,“4G”),例如,长期演进(LTE)、高级LTE、WiMax、超移动宽带(UMB)和/或类似者。
服务器18可以是(例如但不限于)网络服务器、定位服务器、企业服务器、与特定网站和/或应用程序相关联的服务器、云网络服务器或其组合。虽然为简单起见在图1中示出了仅一个服务器18,但是可以使用其它数量的服务器(例如,一或多个服务器或多个服务器)。服务器18是包含至少一个处理器和存储器的计算装置,且经配置以执行计算机可执行指令。处理器优选地是智能装置,例如,如同由公司或制造的那些的个人计算机中央处理单元(CPU)、微控制器、专用集成电路(ASIC)等。存储器包含存储处理器可执行和处理器可读指令(即,软件代码)的非暂时性的处理器可读存储媒体,所述指令经配置以在执行时使得所述处理器执行如可以是本文中所描述的各种功能(虽然描述可以仅指处理器执行所述功能)。存储器可以包含随机存取存储器(RAM)和只读存储器(ROM)。计算机网络15和/或无线通信网络16可以将服务器18通信地耦合到计算装置11。举例来说,通信网络接入装置14和/或调制解调器13可以与服务器18通信并且检索信息以供计算装置11使用。服务器18作为远程服务器的配置仅是示例性的,且不是限制。在一个实施例中,服务器18可以直接连接到通信网络接入装置14,或者功能性可以包含于通信网络接入装置14中。服务器18可以包含一或多个数据库。在一个实例中,服务器18包括多个服务器单元。所述多个服务器单元可以由一或多个企业管理。
SPS卫星17包含合适的逻辑、电路和代码以产生和发送射频(RF)SPS信号90,所述信号可以在计算装置11处被接收以用于确定计算装置11的基于SPS的位置。SPS可以包含例如以下系统:全球定位系统(GPS)、伽利略(Galileo)、格洛纳斯(Glonass)、北斗(Compass)、日本上方的准天顶卫星系统(QZSS)、印度上方的印度区域性导航卫星系统(IRNSS)、中国上方的北斗等,和/或可以与一或多个全球和/或区域性导航卫星系统相关联或以其它方式经启用以与所述系统一起使用的各种扩增系统(例如,基于卫星的扩增系统(SBAS))。借助实例而非限制,SBAS可以包含提供完整性信息、微分校正等的扩增系统,例如,广域扩增系统(WAAS)、欧洲地球同步卫星导航叠加服务(EGNOS)、多功能卫星扩增系统(MSAS)、GPS辅助地理扩增导航或GPS和地理扩增导航系统(GAGAN)和/或类似者。在一些实施例中,在本文中呈现的技术/过程不限于用于SPS的全球系统(例如,GNSS)。举例来说,本文中所提供的技术可应用于或以其它方式经启用以用于在各种区域性系统中使用,例如,日本上方的准天顶卫星系统(QZSS)、印度上方的印度区域性导航卫星系统(IRNSS)、中国上方的北斗等,和/或可以与一或多个全球和/或区域性导航卫星系统相关联或以其它方式经启用以与所述系统一起使用的各种扩增系统(例如,基于卫星的扩增系统(SBAS))。借助实例而非限制,SBAS可以包含提供完整性信息、微分校正等的扩增系统,例如,广域扩增系统(WAAS)、欧洲地球同步卫星导航叠加服务(EGNOS)、多功能卫星扩增系统(MSAS)、GPS辅助地理扩增导航或GPS和地理扩增导航系统(GAGAN)和/或类似者。因此,如本文中所使用,SPS可以包含一或多个全球和/或区域性导航卫星系统和/或扩增系统的任何组合,且SPS信号可以包含SPS、类似SPS和/或与此类一或多个SPS相关联的其它信号。
参考图2,通过进一步参考图1,示出了可用于实施图1的计算装置11的实例计算装置的硬件组件的框图。图2中的每个组件的数量仅为实例,且可使用其它数量的每个或任何组件。此外,组件中的一或多个可以省略并且其它组件可以包含于计算装置11的其它实施方案中。
计算装置11包含处理器220、存储器230、收发器240、天线245、计算机网络接口250、有线连接器255、位置确定模块260、生物计量传感器263和输入/输出装置接口265。组件220、230、240、250、260、263和265以通信方式耦合(直接和/或间接)到彼此以用于双向通信。虽然在图2中示出为单独的实体,但是收发器240和计算机网络接口250可以组合到一或多个离散组件中和/或可以是处理器220的部分。
收发器240可通过一或多个无线网络(例如,图1中的无线通信网络16)经由天线245发送和接收无线信号。计算装置11被说明为具有单个收发器240。然而,计算装置11可以替代地具有多个收发器240和/或天线245以支持多个通信标准,例如,Wi-Fi、码分多址(CDMA)、宽带CDMA(WCDMA)、长期演进(LTE)、蓝牙等。收发器240可以进一步经配置以使得计算装置11能够直接或间接与其它通信网络实体(例如,服务器18、通信网络接入装置14)传送和交换信息。收发器240还可以经配置以使得计算装置11(例如,从图1中的SPS卫星17)接收SPS信号90。
到计算机网络接口250的有线连接器255可以启用计算装置与计算机网络15之间的有线连接。计算机网络接口250可以包含适当的硬件,包含一或多个处理器(未示出),以耦合到例如调制解调器13和计算机网络15并且与调制解调器13和计算机网络15通信。计算机网络接口250可以包含网络接口卡(NIC)以启用因特网协议(IP)通信。另外或替代地,电子装置11与计算机网络15之间的通信耦合可以经由无线连接(例如,经由收发器240和天线245)。
位置确定模块260经配置以与收发器240和处理器220通信以处理SPS信号90和/或网络信号95以获得用于计算装置11的位置信息。位置信息可以包含全球导航卫星系统(GNSS)信息、通信网络信息、映射信息、情境信息、地理范围信息、路由信息、室内/室外信息等。虽然在图2中示出为单独的实体,但是在一个实施例中位置确定模块260可以是处理器220的部分。
生物计量传感器263可以包含(例如但不限于)指纹传感器、虹膜或视网膜眼睛扫描传感器、面部识别传感器、掌形传感器、光谱生物计量传感器、语音识别传感器,和/或其组合。生物计量是提供个体的独特的可测量的识别符的生理特征。输入到生物计量传感器263的生物计量可以包含(例如但不限于)指纹、手掌静脉信息、面部图像、DNA信息、掌印、虹膜扫描、视网膜扫描、语音记录等。生物计量传感器263的实例可以包含安置于外壳中的光学、注射射频(RF)或电容式扫描仪,所述外壳提供俘获放置或滑移的指纹的接触区域。生物计量传感器263的其它实例可以包含相机、扫描仪、麦克风、加速计、磁力计、光传感器、接近传感器、陀螺仪、压力传感器、温度传感器、血压传感器等。例如鼠标、键盘或操纵杆的输入/输出装置也可以提供生物计量信息。
输入/输出装置接口265以通信方式耦合到输入/输出装置和处理器220以处理来自输入/输出装置的信号。输入/输出装置可以包含(例如但不限于)显示面板、触摸屏、指向装置(例如,鼠标、轨迹球、触笔等)、键盘、麦克风或其它语音输入装置、操纵杆、相机等,或其组合(例如,键盘和鼠标)。输入/输出装置可以与计算装置11物理地分开或者可以与计算装置11物理地连接和/或共同扩展。
存储器230包含存储处理器可执行和处理器可读指令(即,软件代码)的非暂时性的处理器可读存储媒体,所述指令经配置以在执行时使得处理器220执行本文中所描述的各种功能(虽然描述可以仅指处理器220执行所述功能)。替代地,软件代码可以不可由处理器220直接执行,而是经配置以例如在被编译及执行时使得处理器220执行所述功能。存储器230可包含但不限于RAM、ROM、闪存、光盘驱动器、融合装置等。存储器230可以是与计算装置11相关联的长期、短期或其它存储器,且不限于任何特定类型的存储器或存储器的数目或存储器储存于其上的媒体的类型。存储器230可操作地耦合到处理器220。处理器220独立或结合存储器230,提供用于执行如本文中所描述的功能的装置,例如,执行存储于存储器230中的代码或指令。
处理器220是物理处理器(即,经配置以在计算装置11上执行如软件和/或固件所指定的操作的集成电路)。处理器220可以是智能硬件装置,例如,中央处理单元(CPU)、一或多个微处理器、控制器或微控制器、专用集成电路(ASIC)、通用处理器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)或其它可编程逻辑装置、状态机、离散门或晶体管逻辑、离散硬件组件,或被设计成执行本文中所描述的功能且可操作以在计算装置11上执行指令的其任何组合。处理器220可以是一或多个处理器,并且可以实施为计算装置的组合(例如,DSP与微处理器的组合、多个微处理器、一或多个微处理器结合DSP核心,或任何其它此类配置)。处理器220连同存储器230可以是芯片上系统(SoC)的组件。处理器220可以包含可在电子装置11中分布的多个单独的物理实体。
处理器220可以支持系统范围的受信任执行环境(TEE)安全性平台。TEE的实例实施方案包含但不限于开放源TEE(OP-TEE)和安全执行环境(QSEE)、TXT和安全执行环境。TEE安全性平台分割处理器220和存储器230的硬件和软件资源以形成安全世界处理环境和非安全世界处理环境。非安全世界处理环境通常被称作富执行环境(REE)。TEE和REE可以嵌入于一个处理器中或在单独的处理器中。TEE是被设计成存储和操控敏感信息并使此信息对REE保持私密的聚焦于安全性的执行环境。REE经由高级操作系统(HLOS)(例如, 等)与计算装置11的用户交互。
处理器220可以包含用户认证器单元270、位置认证器单元280和安全密钥管理(SKM)单元290。单元270、280和290是通过处理器220实施的功能单元。因此参考执行功能的处理器220等同于执行功能的相应的单元270、280、290。类似地,参考执行功能或经配置以执行功能的单元270、280、290中的任一个是根据软件和/或硬件和/或固件和/或其组合执行功能的处理器220的简写。
用户认证器单元270经配置以从生物计量传感器263和/或输入/输出装置接口265接收认证信息。基于接收到的认证信息,用户认证器单元270可以认证计算装置11的用户的身份。
位置认证器单元280经配置以从位置确定模块260和/或计算机网络接口250接收位置信息。基于接收到的位置信息,位置认证器模块可以认证计算装置11的位置。
SKM单元290经配置以从用户认证器单元270接收用户认证信息并且从位置认证器单元280接收位置认证信息。SKM单元290进一步经配置以接收信息并且将信息提供到在处理器220中执行的应用程序。具体地说,SKM模块经配置以从应用程序接收对签署的认证响应的请求并且将签署的认证响应提供到应用程序。在下文中关于在图3中说明的计算装置的功能框图且关于在图4到9中说明的过程进一步详细描述单元270、280、和290的功能。
进一步参考图1到2,图3是用于基于位置的认证的计算装置架构的实例的框图。如上文关于图2所论述,处理器220包含用户认证器单元270、位置认证器单元280和SKM单元290。SKM单元290提供密码密钥的安全存储和管理。举例来说,SKM单元290可以经配置以实施和安全机制。这些安全机制并不限制本发明,因为执行用于操作系统的类似功能的其它安全机制也可以通过SKM单元290实施。这些安全机制可以通过SKM单元290实施处理器220的TEE中的SKM受信任服务应用程序。
位置认证器单元280可以包含位置认证硬件抽象层(HAL)282和位置认证器受信任应用程序384。位置认证HAL 382可以经配置以在经配置以在处理器220的TEE内操作的位置认证器受信任应用程序384与可用于确定计算装置11的位置的计算装置11的一或多个硬件组件之间提供接口。举例来说,位置认证HAL 382可以经配置以与计算装置11的计算机网络接口250和/或位置确定模块260介接。位置认证HAL 382可以经配置以将请求发送到计算装置11的位置确定模块260以获得用于计算装置11的当前位置信息。位置确定模块260可以至少部分在计算装置11的REE中实施。位置确定模块260可以经配置以使用各种装置(例如,来自一或多个SPS卫星的信号、无线网络信号和/或其它信息)以确定计算装置11的位置。位置认证HAL 382还可以经配置以经由计算装置11的计算机网络接口250获得位置信息。位置认证HAL 382可以经配置以接触例如服务器18的服务器,所述服务器可以经配置以将位置信息提供到计算装置11。
位置认证器受信任应用程序384可以经配置以经由位置认证HAL 382获得用于计算装置11的位置信息。位置认证器受信任应用程序384可以经配置以作出计算装置11的当前位置是否落在绑定到认证密钥的所需要的位置内的确定。位置认证器受信任应用程序384可以经配置以从SKM 290接收位置验证请求。位置验证请求可以包含绑定到与RP应用程序350相关联的认证密钥的位置信息,其中SKM 290尝试认证用户。位置认证器受信任应用程序384可以经配置以响应于位置验证请求经由位置认证HAL 382获得位置信息并且作出计算装置110的当前位置是否落在绑定到认证密钥的位置认证信息内的确定。位置认证器受信任应用程序384可以经配置以响应于计算装置11的当前位置落在由绑定到认证密钥的位置信息定义的区域内产生认证令牌并且将认证令牌传递到SKM 290。位置认证器受信任应用程序384还可以经配置以响应于计算装置11的当前位置并不落在由绑定到认证密钥的位置信息定义的区域内产生错误消息并且将错误消息发送到SKM 290。
用户认证器单元270可以包含用户认证器HAL 372和用户认证器受信任应用程序374。用户认证器HAL 372可以经配置以在经配置以在处理器220的TEE内操作的用户认证器受信任应用程序374与可用于认证计算装置11的用户的计算装置11的一或多个硬件组件之间提供接口。举例来说,用户认证器HAL 372可以经配置以与计算装置11的生物计量传感器263和/或I/O装置接口265介接。用户认证器受信任应用程序374可以经配置以经由用户认证器HAL 372获得用于计算装置11的用户认证信息。用户认证器受信任应用程序374可以经配置以作出由计算装置11的用户提供的用户认证信息是否与绑定到认证密钥的用户认证信息匹配的确定。用户认证器受信任应用程序374可以经配置以从SKM 290接收用户认证请求。用户认证请求可以包含绑定到与RP应用程序350相关联的认证密钥的用户认证信息,其中SKM 290尝试认证用户,例如,生物计量信息和/或密码或PIN。位置认证器受信任应用程序384可以经配置以响应于用户认证请求经由用户认证器HAL 372获得用户认证信息并且作出从计算装置的用户获得的用户认证信息是否与绑定到认证密钥的用户认证信息匹配的确定。用户认证器受信任应用程序374可以经配置以响应于认证信息匹配绑定到认证密钥的认证信息产生认证令牌并且将认证令牌传递到SKM 290。用户认证器受信任应用程序374还可以经配置以响应于认证信息并不匹配绑定到认证密钥的认证信息产生错误消息并且将错误消息发送到SKM290。
RP应用程序350是可以在处理器220的REE中操作的第三方应用程序。RP应用程序350可以经配置以执行代表计算装置11的用户的交易,例如,代表计算装置11的用户进行购买和/或进行支付。RP应用程序350可以经配置以基于与交易相关联的风险需要不同水平的认证。每个水平的认证可以与绑定到用户的账户的密钥相关联。举例来说,RP应用程序可以经配置以使小于第一阈值货币化量的交易与第一认证密钥相关联,其中密钥绑定到pin或密码或绑定到生物计量信息。RP应用程序可以经配置以使处于或高于第一阈值货币化量且小于第二阈值货币化量的交易与第二认证密钥相关联,其中密钥仅绑定到生物计量数据。RP应用程序可以经配置以使处于或高于第二阈值货币化量的交易与第三认证密钥相关联,其中密钥绑定到生物计量数据且绑定到特定地理区域。举例来说,地理区域可包括城市、郡、州或国家,其中计算装置11必须经定位以便用于交易的执行。地理区域的间隔尺寸可以经配置以是较大区域或者可以是非常特定的。地理区域可以被定义为地址的特定集合(例如,用于工作、家庭、学校等的地址)或者可以被定义为定义应该准许特定交易的区域的地理坐标的集合,假设与交易相关联的任何其它用户认证要求也已经得到满足。
认证密钥和绑定信息通过SKM单元290安全地存储使得认证密钥和绑定信息从计算装置11的TEE外部是基本上不可存取的并且存取可以受限于在计算装置11的TEE内操作的某些受信任应用程序。SKM单元290经配置以将绑定到认证密钥的位置信息提供到位置认证器单元270并且将绑定到认证密钥的用户认证信息提供到用户认证器单元270以便响应于计算装置11的用户信息和/或当前位置被认证从位置认证器单元280和用户认证器单元270接收认证。位置信息和用户认证信息保持机密且并不从计算装置11的TEE释放以便保护计算装置11的用户的隐私和安全性。RP应用程序350并不代表SKM 290获得由位置认证器受信任应用程序384和用户认证器受信任应用程序374利用的位置信息和/或用户认证信息以作出认证确定。替代地,SKM 290证明用户已经满足绑定到与RP应用程序350相关联的适当的认证密钥的认证需求,并且RP应用程序350可以将证明馈送到具有额外信息(如果是可供使用的)的风险评估引擎中以作出是否继续进行所请求的交易的确定。SKM 290经配置以安全地存储与RP应用程序相关联的密钥并且仅响应于绑定到特定密钥的位置认证信息和/或用户认证信息需求得到满足通过所述密钥签署响应。SKM 290可以呈签署验证响应的形式提供证明信息。所签署的认证响应可以是使用由RP应用程序350所选择的且在对在SKM 290处从RP应用程序350接收的签署的认证响应的请求响应中识别的认证密钥签署的。所选择的认证密钥是与用户尝试使用RP应用程序350执行的交易的类型相关联的密钥。所签署的认证响应通过SKM 290充当绑定到认证密钥的位置认证信息和/或用户认证信息需求已经得到满足的证明。
图4是用于在计算装置中实施基于位置的认证的实例过程400的流程图。在图4中说明的过程可以通过在图1到3中说明的计算装置11实施。然而,过程400仅仅是实例且没有限制性。例如,可以通过添加、移除、重新布置、组合和/或同时地执行各阶段来更改过程400。
位置认证信息可以绑定到用于信赖方(RP)应用程序的认证密钥(阶段410)。位置认证信息可以包括定义地理区域或在尝试使用密钥的交易时计算装置11的当前位置落入的区域的信息。认证密钥可以绑定到一个以上地理区域。地理区域可以是地址中的一或多个的集合(例如,用于工作、家庭、学校等的地址)和/或可以包含定义应该准许特定交易的区域的地理坐标的一或多个集合,假设与交易相关联的任何其它用户认证要求也已经得到满足。位置认证信息可以通过RP应用程序的提供商确定,例如,财务机构、投资机构、在线零售商,或其它类型的商品或服务提供商,以确保经由RP应用程序进行的交易的安全。位置认证信息也可以至少部分通过RP应用程序和/或计算装置11的用户确定以经由RP应用程序进行安全交易。RP应用程序的提供商可以提供默认位置认证信息,所述默认位置认证信息限制经由RP应用程序的交易到特定区或RP应用程序的提供商进行业务或RP应用程序的用户被认为居住的区。所述区的大小可以改变。区可以包括城镇、村庄、城市、郡、州、省、地区或国家。也可以使用其它类型的地理区。RP应用程序的用户也可以定义用于RP应用程序的位置认证信息。举例来说,RP应用程序的用户可能希望将通过RP应用程序的交易限制于与包含于RP应用程序提供商提供的默认位置认证信息中的相比更有限的地理区域,或者RP应用程序提供商可能并不提供此类地理限制但是用户可能希望施加此类限制。RP应用程序350可以包含允许用户定义新的和/或编辑现有的位置认证信息的用户接口。用户接口可以经配置以需要用户提供用户认证信息,例如pin或密码或生物计量信息,以解锁使得用户配置位置认证信息的接口。位置认证信息和位置认证所绑定到的认证密钥可以存储在计算装置11的安全存储器位置中,例如,与计算装置11的TEE相关联的存储器位置。用户认证信息也可以绑定到一或多个认证密钥并且也可以存储在安全存储器位置中。
可以从RP应用程序接收对签署的认证响应的请求(阶段420)。RP应用程序350可以将请求发送到计算装置11的SKM 290,请求来自SKM 290的签署的认证响应。RP应用程序350可以经配置以响应于用户尝试使用RP应用程序350执行交易将请求发送到SKM 290。来自RP应用程序的请求可以包含指示RP应用程序350已经选择哪个密钥的密钥识别符。RP应用程序可以与一个以上密钥相关联并且每个密钥可以与其自身的位置认证信息相关联。所选择的密钥也可以与用户认证要求相关联。SKM 290经配置以安全地存储与RP应用程序相关联的密钥并且仅响应于绑定到特定密钥的位置认证信息和/或用户认证信息需求得到满足通过所述密钥签署响应。
可以获得用于计算装置的当前位置信息(阶段430)。通过对位置认证的请求,SKM290可以将与所选择的认证密钥相关联的位置认证信息提供到位置认证器单元280。位置认证器单元280的位置认证器受信任应用程序384可以从位置认证HAL 382获得用于计算装置11的当前位置信息。用于计算装置11的当前位置信息保留在正在计算装置11的TEE内执行的位置认证器受信任应用程序384内。当前位置信息并不被提供到RP应用程序350,由此避免与此类位置信息的传播相关联的隐私担忧。用户认证单元270还可以经配置以获得用户认证信息,其中密钥与位置认证信息和用户认证信息相关联。在图9中说明了此类交易的实例。
可以基于绑定的位置认证信息认证用于计算装置的当前位置信息(阶段440)。位置认证器受信任应用程序384可以作出计算装置11的当前位置是否满足在绑定到RP应用程序350所选择的认证密钥的位置认证信息中所指示的地理要求的确定。位置认证器受信任应用程序384可以经配置以响应于计算装置的当前位置满足在绑定到RP应用程序350所选择的认证密钥的位置认证信息中所指示的地理要求将认证令牌提供到SKM290。位置认证器受信任应用程序384还可以经配置以响应于计算装置的当前位置不满足在绑定到RP应用程序350所选择的认证密钥的位置认证信息中所指示的地理要求产生错误消息并且将错误消息发送到SKM 290。
响应于认证用于计算装置的当前位置信息可以将签署的认证响应提供到RP应用程序(阶段450)。SKM 290可以经配置以从位置认证器受信任应用程序384接收认证令牌并且响应于接收到位置认证令牌产生对RP应用程序350的签署的认证响应。SKM 290可以经配置以从位置认证器受信任应用程序384接收认证令牌且从用户认证器受信任应用程序374接收用户认证令牌并且响应于接收到位置认证令牌和用户认证令牌产生对RP应用程序350的签署的认证响应,其中在阶段420中所选择的密钥绑定到位置认证信息和用户认证信息两者。所签署的认证响应可以是使用由RP应用程序350所选择的且在对在SKM 290处从RP应用程序350接收的签署的认证响应的请求响应中识别的认证密钥签署的。所签署的认证响应通过SKM 290充当绑定到认证密钥的位置认证信息和/或用户认证信息需求已经得到满足的证明。接收签署的认证响应的RP应用程序可以确定源自SKM 290的证明并且确定与所请求的交易相关联的认证标准已经得到满足并且可以完成所请求的交易。
图5是用于在计算装置中将位置认证信息绑定到认证密钥的实例过程500的流程图。在图5中说明的过程可以通过在图1到3中说明的计算装置11实施。然而,过程500仅仅是实例且没有限制性。例如,可以通过添加、移除、重新布置、组合和/或同时地执行各阶段来更改过程500。过程500可用于至少部分实施在图4中说明的过程400的阶段410,其中位置信息绑定到一个以上交易或交易的类型。
第一位置认证信息可以绑定到用于与RP应用程序相关联的第一交易的第一认证密钥(阶段510)。SKM 290可以经配置以从RP应用程序接收第一位置认证信息和认证密钥。如上文所论述,也可以至少部分从RP应用程序350的用户接收第一位置认证信息。第一位置认证信息可以包含一或多个地址的集合(例如,用于工作、家庭、学校等的地址)或者可以包含定义应该准许特定交易的区域的地理坐标的一或多个集合的一个集合,假设与交易相关联的任何其它用户认证要求也已经得到满足。RP应用程序和/或计算装置11的用户也可以提供可以绑定到第一认证密钥的用户认证信息。SKM 290可以经配置以在计算装置11的TEE的安全存储器位置中存储第一位置认证信息和第一位置认证信息所绑定到的第一认证密钥,使得此信息从计算装置11的TEE外部是基本上不可存取的。SKM 290还可以经配置以响应于除了第一位置认证信息之外提供用户认证信息在计算装置11的TEE的安全存储器位置中存储绑定到第一认证证书的用户认证信息。RP应用程序350可以经配置以使第一认证密钥与可以使用RP应用程序350执行的一或多个交易类型相关联并且可以经配置以响应于此类交易由RP应用程序350的用户起始识别到SKM 290的第一认证密钥。
第二位置认证信息可以绑定到用于RP应用程序的第二交易的第二认证密钥(阶段520)。第二位置认证信息不同于第一位置认证信息。SKM 290可以经配置以从RP应用程序接收第二位置认证信息和第二认证密钥。如在上述实例中所论述,RP应用程序350可以经配置以对不同类型的交易施加不同地理限制,并且SKM 290可以绑定与每次交易的时间相关联的认证密钥以及与交易的类型相关联的位置认证信息。如上文所论述,也可以至少部分从RP应用程序350的用户接收第二位置认证信息。第二位置认证信息可以包含一或多个地址的集合(例如,用于工作、家庭、学校等的地址)或者可以包含定义应该准许特定交易的区域的地理坐标的一或多个集合的一个集合。RP应用程序和/或计算装置11的用户也可以提供可以绑定到第二认证密钥的用户认证信息。SKM 290可以经配置以在计算装置11的TEE的安全存储器位置中存储第二位置认证信息和第二位置认证信息所绑定到的第二认证密钥,使得此信息从计算装置11的TEE外部是基本上不可存取的。SKM 290还可以经配置以响应于除了第二位置认证信息之外提供用户认证信息在计算装置11的TEE的安全存储器位置中存储绑定到第二认证证书的用户认证信息。RP应用程序350可以经配置以使第二认证密钥与可以使用RP应用程序350执行的一或多个交易类型相关联并且可以经配置以响应于此类交易由RP应用程序350的用户起始识别到SKM 290的第二认证密钥。
在图5中说明的实例说明RP应用程序与各自绑定到不同位置认证信息的两个密钥相关联的实例。然而,在图5中说明的过程可以经扩展以使位置认证信息与两个以上密钥相关联。与特定RP应用程序相关联的特定数目的密钥可以取决于与RP应用程序相关联的安全需求并且可以是至少部分通过与RP应用程序和/或计算装置11和RP应用程序的用户相关联的服务的提供商可定制的。此外,除了位置认证信息之外每个认证密钥也可以绑定到用户认证信息。
图6是用于在计算装置中实施基于位置的认证的实例过程600的流程图。在图6中说明的过程可以通过在图1到3中说明的计算装置11实施。然而,过程600仅仅是实例且没有限制性。例如,可以通过添加、移除、重新布置、组合和/或同时地执行各阶段来更改过程600。过程600可用于至少部分实施在图4中说明的过程400的阶段420,其中位置信息绑定到一个以上交易或交易的类型。
可以从用于与多个交易的特定交易相关联的签署的认证响应的RP应用程序接收请求(阶段620)。举例来说,特定交易可以包括如在图5中说明的实例过程中所说明的第一交易和第二交易,但是在图6中说明的过程可应用于RP应用程序350已经将位置认证信息和/或用户认证信息绑定到更加认证密钥相关联的更多的两个不同的类型的交易的实施方案。RP应用程序350可以将请求发送到计算装置11的SKM 290,请求来自SKM290的签署的认证响应。RP应用程序350可以经配置以响应于用户尝试使用RP应用程序350执行交易将请求发送到SKM 290,所述交易在此实例实施方案中可以是第一交易或第二交易。来自RP应用程序的请求可以包含指示RP应用程序350已经选择哪个密钥的密钥识别符,其中密钥与待执行的交易相关联。RP应用程序可以与一个以上密钥相关联并且每个密钥与其自身的位置认证信息相关联。所选择的密钥也可以与用户认证要求相关联。SKM 290经配置以安全地存储与RP应用程序相关联的密钥并且仅响应于绑定到特定密钥的位置认证信息和/或用户认证信息需求得到满足通过所述密钥签署响应。
图7是用于在计算装置中实施基于位置的认证的实例过程700的流程图。在图7中说明的过程可以通过在图1到3中说明的计算装置11实施。然而,过程700仅仅是实例且没有限制性。例如,可以通过添加、移除、重新布置、组合和/或同时地执行各阶段来更改过程700。过程700可用于至少部分实施在图4中说明的过程400的阶段440,其中位置信息绑定到一个以上交易或交易的类型。
可以基于用于与RP应用程序相关联的多个所支持的交易类型的特定交易的绑定的位置认证信息认证用于计算装置的当前位置信息(阶段740)。RP应用程序可以识别哪个认证密钥与对签署的认证响应的请求相关联。通过对位置认证的请求,SKM 290可以将与所选择的认证密钥相关联的位置认证信息提供到位置认证器单元280。位置认证器单元280的位置认证器受信任应用程序384可以从位置认证HAL 382获得用于计算装置11的当前位置信息。用于计算装置11的当前位置信息保留在正在计算装置11的TEE内执行的位置认证器受信任应用程序384内。当前位置信息并不被提供到RP应用程序350,由此避免与此类位置信息的传播相关联的隐私担忧。位置认证器受信任应用程序384可以经配置以响应于计算装置的当前位置满足在绑定到RP应用程序350所选择的认证密钥的位置认证信息中所指示的地理要求将认证令牌提供到SKM 290。位置认证器受信任应用程序384还可以经配置以响应于计算装置的当前位置不满足在绑定到RP应用程序350所选择的认证密钥的位置认证信息中所指示的地理要求产生错误消息并且将错误消息发送到SKM 290。
图8是用于在计算装置中实施基于位置的认证的实例过程800的流程图。在图8中说明的过程可以通过在图1到3中说明的计算装置11实施。然而,过程800仅仅是实例且没有限制性。例如,可以通过添加、移除、重新布置、组合和/或同时地执行各阶段来更改过程800。过程800可用于至少部分实施在图4中说明的过程400的阶段450,其中位置信息绑定到一个以上交易或交易的类型。
响应于认证用于计算装置的当前位置信息可以将签署的认证响应提供到RP应用程序。可以使用与RP应用程序所选择的特定交易相关联的认证密钥对签署的认证响应进行签署(阶段850)。在图8中说明的实例中,RP应用程序与两个认证密钥相关联,并且对应于特定交易的认证密钥是与第一位置认证信息绑定的第一认证密钥或与第二位置认证信息绑定的第二认证密钥中的一个。在其它实施方案中,RP应用程序350可以与两个以上或两个以下认证密钥相关联。阶段850可以类似于在图4中说明的过程的阶段450实施。SKM 290可以经配置以通过与RP应用程序350的用户所请求的交易相关联的多个认证密钥的认证密钥对签署的认证响应进行签署。响应于位置认证器受信任应用程序384认证计算装置11的当前位置,SKM 290可以经配置以从位置认证器受信任应用程序384接收认证令牌。SKM 290也可以从用户认证器受信任应用程序374接收用户认证令牌。响应于使用与所请求的交易相关联的认证密钥接收到令牌,SKM 290可以产生签署的认证响应。接收签署的认证响应的RP应用程序350可以确定源自SKM 290的证明并且确定与所请求的交易相关联的认证标准已经得到满足并且可以完成所请求的交易。
图9是用于在计算装置中实施基于位置的认证的实例过程900的流程图。在图9中说明的过程可以通过在图1到3中说明的计算装置11实施。然而,过程900仅仅是实例且没有限制性。例如,可以通过添加、移除、重新布置、组合和/或同时地执行各阶段来更改过程900。过程700可用于实施在图4中说明的过程400的阶段,其中位置认证信息和用户认证信息都绑定到RP应用程序350的认证密钥。
额外的认证信息可以绑定到用于RP应用程序的认证密钥(阶段910)。额外的认证信息可以包括可用于认证计算装置11的用户的用户认证信息。用户认证信息可以包括例如生物计量信息和/或密码或PIN的信息。RP应用程序350可以包含允许用户定义新的和/或编辑现有的用户认证信息的用户接口。用户接口可以经配置以需要用户提供用户认证信息,例如pin或密码或生物计量信息,以解锁使得用户配置用户认证信息的接口。SKM 290可以经配置以在TEE的受保护的存储器区域中存储具有认证密钥的额外的认证信息。SKM 290可以进一步经配置以在SKM 290将使用认证密钥产生签署的认证响应之前除了也绑定到认证密钥的任何位置认证信息之外要求额外的认证信息的需求得到满足。
额外的认证信息可以基于绑定到认证密钥的额外的认证信息得到认证(阶段920)。SKM 290可以经配置以通过对用户认证的请求将额外的认证信息提供到用户认证器单元270。用户认证器单元270的用户认证器受信任应用程序374可以经配置以经由用户认证器HAL 372从计算装置11的用户获得用户认证信息。用户认证器受信任应用程序374可以经配置以促使用户提供一或多种类型的认证信息。举例来说,用户认证信息可以包括pin或密码,并且用户认证器受信任应用程序374可以经配置以在计算装置11上显示接口,请求用户输入PIN或密码。用户认证信息可以包括生物计量信息。用户认证器受信任应用程序374可以经配置以在计算装置11上显示接口,请求用户取决于计算装置11的性能和包含于绑定到认证密钥的用户认证信息中的生物计量信息的类型提供一或多种类型的生物计量信息。
用户认证器受信任应用程序374可以经配置以收集以下类型的生物计量数据中的一或多个。用户认证器受信任应用程序374可以经配置以促使用户将手指放置在指纹传感器上,因此可以扫描用户的指纹。用户认证器受信任应用程序374可以经配置以促使用户本身的位置在计算装置11的相机的前方,因此相机可用于俘获用户的图像或视频内容,所述图像或视频内容可用于执行面部识别和/或用户的身份的其它类型的生物计量验证。用户认证器受信任应用程序374可以经配置以俘获用户说话的音频内容以便执行计算装置的用户的语音识别。除了上文所论述的实例之外或替代于上文所论述的实例也可以收集其它类型的生物计量数据,包含打字节奏、步态图案、虹膜图案、视网膜图案以及其它类型的生物计量数据中的一或多个。
用户认证器受信任应用程序374可以经配置以比较所收集的用户认证信息与绑定到认证密钥的用户认证信息以确定是否认证所述用户。用户认证器受信任应用程序374可以经配置以响应于所收集的用户认证信息满足绑定到RP应用程序350所选择的认证密钥的用户认证信息产生用户认证令牌。用户认证器受信任应用程序374还可以经配置以响应于计算装置的当前位置不满足在绑定到RP应用程序350所选择的认证密钥的用户认证信息中所指示的用户认证要求产生错误消息并且将错误消息发送到SKM 290。
响应于认证用于计算装置的当前位置信息和额外的认证信息,可以将签署的认证响应提供到RP应用程序(阶段950)。阶段950可以替代图4的过程的阶段450,其中认证密钥绑定到位置认证信息和额外的认证信息两者。SKM 290可以经配置以从位置认证器受信任应用程序384接收认证令牌并且响应于接收到位置认证令牌产生对RP应用程序350的签署的认证响应。SKM 290可以经配置以从位置认证器受信任应用程序384接收认证令牌且从用户认证器受信任应用程序374接收用户认证令牌并且响应于接收到位置认证令牌和用户认证令牌产生对RP应用程序350的签署的认证响应,其中在阶段420中所选择的密钥绑定到位置认证信息和用户认证信息两者。所签署的认证响应可以是使用由RP应用程序350所选择的且在对在SKM 290处从RP应用程序350接收的签署的认证响应的请求响应中识别的认证密钥签署的。所签署的认证响应通过SKM 290充当绑定到认证密钥的位置认证信息和/或用户认证信息需求已经得到满足的证明。接收签署的认证响应的RP应用程序可以确定源自SKM 290的证明并且确定与所请求的交易相关联的认证标准已经得到满足并且可以完成所请求的交易。
其它实施例在本发明的范围内。举例来说,由于软件的本质,可使用软件、硬件、固件、硬连线或这些中的任一个的组合来实施上文所描述的功能。实施功能的特征也可在物理上位于各个位置处,包含经分布以使得功能的部分在不同物理位置处实施。并且,如本文中所使用,包含在权利要求书中,以“至少一个”开始的项目的列表中所使用的“或”指示分离性列表,以使得(例如)“A、B或C中的至少一个”的列表意味着A或B或C或AB或AC或BC或ABC(即,A及B及C),或与一个以上特征的组合(例如,AA、AAB、ABBC等)。
如本文中所使用,包含在权利要求书中,除非另外规定,否则功能或操作是“基于”项目或条件的表述意味着所述功能或操作是基于所陈述的项目或条件且可以基于除了所陈述的项目或条件之外的一或多个项目和/或条件。
可根据特定需求作出实质性变化。举例来说,还可使用定制硬件,和/或可将特定元件实施于硬件、软件(包含便携式软件,例如小程序等)或两者中。另外,可采用到例如网络输入/输出装置的其它计算装置的连接。
如本文中所使用,术语“机器可读媒体”、“计算机可读媒体”和“处理器可读媒体”是指参与提供使得机器以特定方式操作的数据的任何媒体。使用计算机系统、各种处理器可读媒体(例如,计算机程序产品)可涉及将指令/代码提供到处理器以用于执行和/或可用于存储和/或运载此类指令/代码(例如,作为信号)。在许多实施方案中,处理器可读媒体为物理和/或有形存储媒体。此类媒体可采用许多形式,包含但不限于非易失性媒体和易失性媒体。非易失性媒体包含例如光盘和/或磁盘。易失性媒体包含但不限于动态存储器。
物理的和/或有形的处理器可读媒体的常见形式包含例如软盘、柔性磁盘、硬盘、磁带或任何其它磁性媒体、CD-ROM、任何其它光学媒体,穿孔卡、纸带、具有孔图案的任何其它物理媒体、RAM、PROM、EPROM、FLASH-EPROM、任何其它存储器芯片或盒带、如下文所描述的载波,或计算机可从中读取指令和/或代码的任何其它媒体。
在将一或多个指令的一或多个序列运载到一或多个处理器以供执行的过程中可涉及各种形式的处理器可读媒体。仅举例来说,最初可将指令运载于远程计算机的磁盘和/或光学光盘上。远程计算机可将指令载入到其动态存储器中,并且经由传输媒体将指令作为信号进行发送以由计算机系统接收和/或执行。
可使用多种不同技术和技艺中的任一者来表示信息和信号。举例来说,可通过电压、电流、电磁波、磁场或磁粒子、光场或光粒子或其任何组合来表示在整个上文描述中可能参考的数据、指令、命令、信息、信号和符号。
上文所论述的方法、系统和装置为实例。各种替代性配置可视需要省略、替换或添加各种过程或组件。可将配置描述为被描绘为流程图或框图的过程。虽然每个流程图或框图可以将操作描述为依序过程,但是许多操作可并行地或同时地执行。另外,可以重新布置所述操作的次序。过程可具有不包含在图中的额外阶段。
在描述中给出特定细节以提供对(包含实施方案的)实例配置的透彻理解。然而,可在并无这些特定细节的情况下实践配置。举例来说,已在没有不必要细节的情况下示出了众所周知的电路、过程、算法、结构和技术,以便避免混淆所述配置。此描述仅提供实例配置,且并不限制权利要求的范围、可应用性或配置。实际上,配置的先前描述将向所属领域的技术人员提供用于实施所描述的技术的启用描述。在不脱离本发明的范围的情况下,可对元件的功能和布置作出各种改变。
并且,可以将配置描述为被描绘为流程图或框图的过程。虽然每个流程图或框图可以将操作描述为依序过程,但是许多操作可并行地或同时地执行。另外,可以重新布置所述操作的次序。过程可具有图中未包含的额外步骤或功能。此外,可用硬件、软件、固件、中间件、微码、硬件描述语言或其任何组合实施方法的实例。当以软件、固件、中间件或微码实施时,用于执行任务的程序代码或代码段可存储在非暂时性处理器可读媒体中,例如,存储媒体中。处理器可以执行所描述的任务。
图中所示和/或本文中所论述为彼此相连接或通信的功能性或其它组件以通信方式耦合。也就是说,它们可以直接或间接连接以启用在它们之间的通信。
已描述了若干实例配置,可在不脱离本发明的情况下使用各种修改、替代构造和等效物。举例来说,上述元件可以是较大系统的组件,其中其它规则可优先于本发明的应用或以其它方式修改本发明的应用。并且,可以在考虑以上元件之前、期间或之后进行许多操作。并且,技术发展,且因此,所述元件中的许多元件是实例,且并不约束本发明或权利要求书的范围。相应地,上述描述并不约束权利要求书的范围。另外,可以公开一个以上发明。
Claims (30)
1.一种在计算装置中实施基于位置的认证的方法,所述方法包括:
将位置认证信息绑定到用于信赖方RP应用程序的认证密钥;
从所述RP应用程序接收对签署的认证响应的请求;
在所述计算装置处获得用于所述计算装置的当前位置信息;
在所述计算装置处基于绑定到所述认证密钥的所述位置认证信息认证用于所述计算装置的所述当前位置信息;以及
响应于所述认证用于所述计算装置的所述当前位置信息通过所述计算装置将所述签署的认证响应提供到所述RP应用程序,其中所述签署的认证响应是使用绑定到所述位置认证信息的所述认证密钥签署的。
2.根据权利要求1所述的方法,其进一步包括将所述签署的认证响应提供到所述RP应用程序而不将所述当前位置信息提供到所述RP应用程序。
3.根据权利要求1所述的方法,其进一步包括在所述计算装置处产生所述位置认证信息,其中所述位置认证信息指示所述RP应用程序的交易的一或多个所允许的位置。
4.根据权利要求1所述的方法,其中将位置认证信息绑定到用于信赖方RP应用程序的认证密钥包括将与多个不同位置相关联的位置信息绑定到所述认证密钥。
5.根据权利要求1所述的方法,其中将位置认证信息绑定到用于信赖方RP应用程序的认证密钥进一步包括:
将第一位置认证信息绑定到用于所述RP应用程序的第一交易的第一认证密钥;以及
将第二位置认证信息绑定到用于所述RP应用程序的第二交易的第二认证密钥,其中所述第二位置认证信息不同于所述第一位置认证信息。
6.根据权利要求1所述的方法,其中从所述RP应用程序接收对所述签署的认证响应的所述请求进一步包括:
从所述RP应用程序接收对所述RP应用程序的特定交易的所述签署的认证响应的所述请求,其中所述特定交易包括所述第一交易或所述第二交易中的一个。
7.根据权利要求1所述的方法,其中基于绑定到所述认证密钥的所述位置认证信息认证用于所述计算装置的所述当前位置信息进一步包括基于用于所述特定交易的绑定的位置认证信息认证用于所述计算装置的所述当前位置信息,并且用于所述特定交易的所述绑定的位置认证信息包括所述第一位置认证信息或所述第二位置认证信息中的一个。
8.根据权利要求1所述的方法,其中响应于所述认证用于所述计算装置的所述当前位置信息提供所述签署的认证响应进一步包括使用对应于所述特定交易的所述认证密钥对所述签署的认证响应进行签署,其中对应于所述特定交易的所述认证密钥包括与所述第一位置认证信息绑定的所述第一认证密钥或与所述第二位置认证信息绑定的所述第二认证密钥中的一个。
9.根据权利要求1所述的方法,其进一步包括从所述计算装置的位置认证器受信任应用程序接收用于所述计算装置的所述当前位置信息。
10.根据权利要求1所述的方法,其进一步包括:
将额外的认证信息绑定到用于所述信赖方RP应用程序的所述认证密钥;
基于绑定到所述认证密钥的所述额外的认证信息认证用于设备的所述额外的认证信息;以及
响应于所述认证用于所述计算装置的所述当前位置信息和所述额外的认证信息通过所述计算装置将所述签署的认证响应提供到所述RP应用程序,其中所述签署的认证响应是使用绑定到所述位置认证信息和所述额外的认证信息的所述认证密钥签署的。
11.根据权利要求9所述的方法,其中所述额外的认证信息包括生物计量信息、装置状态信息、授权凭证,或其组合。
12.一种设备,其包括:
用于将位置认证信息绑定到用于信赖方RP应用程序的认证密钥的装置;
用于从所述RP应用程序接收对签署的认证响应的请求的装置;
用于在所述设备处获得用于所述设备的当前位置信息的装置;
用于在所述设备处基于绑定到所述认证密钥的所述位置认证信息认证用于所述设备的所述当前位置信息的装置;以及
用于响应于所述认证用于所述设备的所述当前位置信息通过所述设备将所述签署的认证响应提供到所述RP应用程序的装置,其中所述签署的认证响应是使用绑定到所述位置认证信息的所述认证密钥签署的。
13.根据权利要求12所述的设备,其进一步包括用于将所述签署的认证响应提供到所述RP应用程序而不将所述当前位置信息提供到所述RP应用程序的装置。
14.根据权利要求12所述的设备,其进一步包括用于在所述设备处产生所述位置认证信息的装置,其中所述位置认证信息指示所述RP应用程序的交易的一或多个所允许的位置。
15.根据权利要求12所述的设备,其中所述用于将位置认证信息绑定到用于信赖方RP应用程序的认证密钥的装置包括用于将与多个不同位置相关联的位置信息绑定到所述认证密钥的装置。
16.根据权利要求12所述的设备,其中所述用于将位置认证信息绑定到用于信赖方RP应用程序的认证密钥的装置进一步包括:
用于将第一位置认证信息绑定到用于所述RP应用程序的第一交易的第一认证密钥的装置;以及
用于将第二位置认证信息绑定到用于所述RP应用程序的第二交易的第二认证密钥的装置,其中所述第二位置认证信息不同于所述第一位置认证信息。
17.根据权利要求12所述的设备,其中所述用于从所述RP应用程序接收对所述签署的认证响应的所述请求的装置进一步包括:
用于从所述RP应用程序接收对所述RP应用程序的特定交易的所述签署的认证响应的所述请求的装置,其中所述特定交易包括所述第一交易或所述第二交易中的一个。
18.根据权利要求12所述的设备,其中所述用于基于绑定到所述认证密钥的所述位置认证信息认证用于计算装置的所述当前位置信息的装置进一步包括用于基于用于所述特定交易的绑定的位置认证信息认证用于所述计算装置的所述当前位置信息的装置,其中用于所述特定交易的所述绑定的位置认证信息包括所述第一位置认证信息或所述第二位置认证信息中的一个。
19.一种设备,其包括:
存储器;
处理器,其耦合到所述存储器,所述处理器经配置以:
将位置认证信息绑定到用于信赖方RP应用程序的认证密钥;
从所述RP应用程序接收对签署的认证响应的请求;
在所述设备处获得用于所述设备的当前位置信息;
在所述设备处基于绑定到所述认证密钥的所述位置认证信息认证用于所述设备的所述当前位置信息;以及
响应于所述认证用于所述设备的所述当前位置信息通过所述设备将所述签署的认证响应提供到所述RP应用程序,其中所述签署的认证响应是使用绑定到所述位置认证信息的所述认证密钥签署的。
20.根据权利要求17所述的设备,其中所述处理器进一步经配置以将所述签署的认证响应提供到所述RP应用程序而不将所述当前位置信息提供到所述RP应用程序。
21.根据权利要求17所述的设备,其中所述处理器进一步经配置以在所述设备处产生所述位置认证信息,并且其中所述位置认证信息指示所述RP应用程序的交易的一或多个所允许的位置。
22.根据权利要求17所述的设备,其中所述处理器进一步经配置以将与多个不同位置相关联的位置信息绑定到所述认证密钥。
23.根据权利要求17所述的设备,所述经配置以将位置认证信息绑定到用于信赖方RP应用程序的认证密钥的处理器进一步经配置以:
将第一位置认证信息绑定到用于所述RP应用程序的第一交易的第一认证密钥置;以及
将第二位置认证信息绑定到用于所述RP应用程序的第二交易的第二认证密钥,其中所述第二位置认证信息不同于所述第一位置认证信息。
24.根据权利要求17所述的设备,其中所述处理器进一步经配置以:
从所述RP应用程序接收对所述RP应用程序的特定交易的所述签署的认证响应的所述请求,其中所述特定交易包括所述第一交易或所述第二交易中的一个。
25.一种上面存储有用于在计算装置中实施基于位置的认证的计算机可读指令的非暂时性计算机可读媒体,其包括经配置以使得所述计算装置进行以下操作的指令:
将位置认证信息绑定到用于信赖方RP应用程序的认证密钥;
从所述RP应用程序接收对签署的认证响应的请求;
在所述计算装置处获得用于所述计算装置的当前位置信息;
在所述计算装置处基于绑定到所述认证密钥的所述位置认证信息认证用于所述计算装置的所述当前位置信息;以及
响应于所述认证用于所述计算装置的所述当前位置信息通过所述计算装置将所述签署的认证响应提供到所述RP应用程序,其中所述签署的认证响应是使用绑定到所述位置认证信息的所述认证密钥签署的。
26.根据权利要求25所述的非暂时性计算机可读媒体,其进一步包括经配置以使得所述计算装置将所述签署的认证响应提供到所述RP应用程序而不将所述当前位置信息提供到所述RP应用程序的指令。
27.根据权利要求25所述的非暂时性计算机可读媒体,其进一步包括经配置以使得所述计算装置在所述计算装置处产生所述位置认证信息的指令,其中所述位置认证信息指示所述RP应用程序的交易的一或多个所允许的位置。
28.根据权利要求25所述的非暂时性计算机可读媒体,其中所述经配置以使得所述计算装置将位置认证信息绑定到用于信赖方RP应用程序的认证密钥的指令进一步包括经配置以使得所述计算装置将与多个不同位置相关联的位置信息绑定到所述认证密钥的指令。
29.根据权利要求25所述的非暂时性计算机可读媒体,其中所述经配置以使得所述计算装置将位置认证信息绑定到用于信赖方RP应用程序的认证密钥的指令进一步包括经配置以使得所述计算装置进行以下操作的指令:
将第一位置认证信息绑定到用于所述RP应用程序的第一交易的第一认证密钥置;以及
将第二位置认证信息绑定到用于所述RP应用程序的第二交易的第二认证密钥,其中所述第二位置认证信息不同于所述第一位置认证信息。
30.根据权利要求25所述的非暂时性计算机可读媒体,其中所述经配置以使得所述计算装置从所述RP应用程序接收对所述签署的认证响应的所述请求的指令进一步包括经配置以使得所述计算装置进行以下操作的指令:
从所述RP应用程序接收对所述RP应用程序的特定交易的所述签署的认证响应的所述请求,其中所述特定交易包括所述第一交易或所述第二交易中的一个。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/208,382 US20180019986A1 (en) | 2016-07-12 | 2016-07-12 | User privacy protected location-based authentication on mobile devices |
| US15/208,382 | 2016-07-12 | ||
| PCT/US2017/037388 WO2018013280A1 (en) | 2016-07-12 | 2017-06-14 | User privacy protected location-based authentication on mobile devices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109416710A true CN109416710A (zh) | 2019-03-01 |
Family
ID=59227922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780039756.9A Pending CN109416710A (zh) | 2016-07-12 | 2017-06-14 | 移动装置上的基于用户隐私保护位置的认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20180019986A1 (zh) |
| EP (1) | EP3485413A1 (zh) |
| CN (1) | CN109416710A (zh) |
| WO (1) | WO2018013280A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116186672A (zh) * | 2023-04-20 | 2023-05-30 | 北京万讯博通科技发展有限公司 | 一种多特征变量的用户协同识别方法及系统 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10885168B2 (en) * | 2017-11-24 | 2021-01-05 | Mastercard International Incorporated | User authentication via fingerprint and heartbeat |
| CN109040088B (zh) * | 2018-08-16 | 2022-02-25 | 腾讯科技(深圳)有限公司 | 认证信息传输方法、密钥管理客户端及计算机设备 |
| CN112491844A (zh) * | 2020-11-18 | 2021-03-12 | 西北大学 | 一种基于可信执行环境的声纹及面部识别验证系统及方法 |
| US20220210145A1 (en) * | 2020-12-30 | 2022-06-30 | Open Text Holdings, Inc. | Systems and methods for identity and access management with extended trust |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1897006A (zh) * | 2005-07-12 | 2007-01-17 | 国际商业机器公司 | 用于建立虚拟认证凭证的方法与装置 |
| GB2492050A (en) * | 2011-06-13 | 2012-12-26 | Torben Kuseler | One-time multi-factor biometric representation for remote client authentication |
| US20130347058A1 (en) * | 2012-06-22 | 2013-12-26 | Ned M. Smith | Providing Geographic Protection To A System |
| US20140289833A1 (en) * | 2013-03-22 | 2014-09-25 | Marc Briceno | Advanced authentication techniques and applications |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4352728B2 (ja) * | 2003-03-11 | 2009-10-28 | 株式会社日立製作所 | サーバ装置、端末制御装置及び端末認証方法 |
| KR101393674B1 (ko) * | 2007-01-26 | 2014-05-13 | 인터디지탈 테크날러지 코포레이션 | 위치 정보를 보안유지하고 위치 정보를 이용하여 액세스를 제어하기 위한 방법 및 장치 |
| DE102011004469A1 (de) * | 2011-02-21 | 2012-08-23 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zur Absicherung ortsbezogener Nachrichten mittels ortsbasierter Schlüsselinfrastrukturen |
| SG2014012264A (en) * | 2011-09-29 | 2014-08-28 | Amazon Tech Inc | Parameter based key derivation |
| US8839367B2 (en) * | 2012-07-30 | 2014-09-16 | Avalanche Cloud Corporation | Automating calls between separate and distinct applications for invoking an identity verification function |
| WO2016076913A1 (en) * | 2014-11-13 | 2016-05-19 | Mcafee, Inc. | Conditional login promotion |
-
2016
- 2016-07-12 US US15/208,382 patent/US20180019986A1/en not_active Abandoned
-
2017
- 2017-06-14 CN CN201780039756.9A patent/CN109416710A/zh active Pending
- 2017-06-14 WO PCT/US2017/037388 patent/WO2018013280A1/en unknown
- 2017-06-14 EP EP17733683.1A patent/EP3485413A1/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1897006A (zh) * | 2005-07-12 | 2007-01-17 | 国际商业机器公司 | 用于建立虚拟认证凭证的方法与装置 |
| GB2492050A (en) * | 2011-06-13 | 2012-12-26 | Torben Kuseler | One-time multi-factor biometric representation for remote client authentication |
| US20130347058A1 (en) * | 2012-06-22 | 2013-12-26 | Ned M. Smith | Providing Geographic Protection To A System |
| US20140289833A1 (en) * | 2013-03-22 | 2014-09-25 | Marc Briceno | Advanced authentication techniques and applications |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116186672A (zh) * | 2023-04-20 | 2023-05-30 | 北京万讯博通科技发展有限公司 | 一种多特征变量的用户协同识别方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3485413A1 (en) | 2019-05-22 |
| WO2018013280A1 (en) | 2018-01-18 |
| US20180019986A1 (en) | 2018-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7346426B2 (ja) | 検証可能なクレームをバインドするシステム及び方法 | |
| JP7391860B2 (ja) | トランザクション確認及び暗号通貨のためのセキュアな鍵記憶装置の拡張 | |
| US20230129693A1 (en) | Transaction authentication and verification using text messages and a distributed ledger | |
| US11010803B2 (en) | Identity verification and authentication | |
| US10237070B2 (en) | System and method for sharing keys across authenticators | |
| US9183365B2 (en) | Methods and systems for fingerprint template enrollment and distribution process | |
| CN109416710A (zh) | 移动装置上的基于用户隐私保护位置的认证 | |
| ES2951585T3 (es) | Autenticación de transacciones usando un identificador de dispositivo móvil | |
| AU2016247162B2 (en) | Methods and systems for improving the accuracy performance of authentication systems | |
| US9325687B2 (en) | Remote authentication using mobile single sign on credentials | |
| US10785407B2 (en) | Information processing method, information processing device, and computer-readable non-transitory storage medium storing program | |
| JP6481073B1 (ja) | プログラム、情報処理方法、情報処理装置 | |
| JP6479245B1 (ja) | プログラム、情報処理方法、情報処理装置 | |
| JP6481074B1 (ja) | プログラム、情報処理方法、情報処理装置 | |
| JP2022180640A (ja) | 生体データ照合システム | |
| JP6490860B1 (ja) | プログラム、情報処理方法、情報処理装置 | |
| ES2912188T3 (es) | Código de seguridad dinámico para una transacción de tarjeta |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190301 |