CN110032845B - 用于基于认证情境状态来对计算设备的用户进行认证的技术 - Google Patents

用于基于认证情境状态来对计算设备的用户进行认证的技术 Download PDF

Info

Publication number
CN110032845B
CN110032845B CN201910367255.4A CN201910367255A CN110032845B CN 110032845 B CN110032845 B CN 110032845B CN 201910367255 A CN201910367255 A CN 201910367255A CN 110032845 B CN110032845 B CN 110032845B
Authority
CN
China
Prior art keywords
computing device
mobile computing
state
security
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910367255.4A
Other languages
English (en)
Other versions
CN110032845A (zh
Inventor
N·史密斯
N·赫尔德-谢拉
M·J·舍勒
K·C·威尔斯
H·L·斯科菲尔德
N·J·高斯
S·潘迪安
B·H·尼德哈姆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Priority to CN201910367255.4A priority Critical patent/CN110032845B/zh
Publication of CN110032845A publication Critical patent/CN110032845A/zh
Application granted granted Critical
Publication of CN110032845B publication Critical patent/CN110032845B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2147Locking files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry
    • H04L2209/127Trusted platform modules [TPM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/65Environment-dependent, e.g. using captured environmental data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/68Gesture-dependent or behaviour-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Telephone Function (AREA)

Abstract

用于基于认证情境状态来对计算设备的用户进行认证的技术包括基于由移动计算设备的传感器生成的传感器数据来生成指示所述移动计算设备的各种情境状态的情境状态输出。所述计算设备的认证管理器实施认证状态机以便认证所述计算设备的用户。所述认证状态机包括许多认证状态,并且每个认证状态包括到另一个认证状态的一个或多个转变。所述转变中的每个转变取决于情境状态输出。所述计算设备还可以包括设备安全管理器,所述设备安全管理器实施包括多个安全状态的安全状态机。安全状态之间的转变取决于所述用户的当前认证状态。所述设备安全管理器可以在每个安全状态下实施不同安全功能。

Description

用于基于认证情境状态来对计算设备的用户进行认证的技术
本申请是PCT国际申请号为PCT/US2015/061873、国际申请日为2015年11月20日、中国国家申请号为201580064535.8、题为“用于基于认证情境状态来对计算设备的用户进行认证的技术”的申请的分案申请。
相关美国专利申请的交叉引用
本申请要求于2014年12月27日提交的题为“TECHNOLOGIES FOR AUTHENTICATINGA USER OF A COMPUTING DEVICE BASED ON AUTHENTICATION CONTEXT STATE(用于基于认证情境状态来对计算设备的用户进行认证的技术)”的美国发明专利申请序列号14/583,671的优先权。
背景技术
移动计算设备正变成无所不在的个人工具,在用户可能经过的几乎任何地方为用户提供数据访问、网络和其他功能。随着对移动计算设备的熟悉度以及甚至依赖度增大,与移动计算设备相关联的安全风险也增大。具体地,移动计算设备的许多常见用途导致用户对移动计算设备的物理控制减少。例如,用户可能期望通过将移动计算设备放到表面上来与其他个人共享图片、视频或其他内容从而促进由所有人进行的观看。可替代地,用户可以将移动计算设备传给每个熟人以便允许所述人员亲自观看或消耗内容。另外地,当移动计算设备无人看管时(比如,在充电期间),安全事件风险增大。
一些移动计算设备已经试图通过频繁的用户认证请求来提高设备上的安全性。例如,如果在某个持续时间内,在移动计算设备上未检测到任何活动,则移动计算设备可以在允许用户与移动计算设备交互之前提示用户积极地进行认证。这种用户认证请求越频繁,移动计算设备的安全性就越高。然而,重复的用户认证是不方便的,可能减小用户效率并且可能引起不良安全习惯(例如,通过使用户选择容易记住的密码)。
附图说明
在附图中通过示例的方式而不是通过限制的方式来展示了本文中所描述的概念。为了说明的简单和清晰起见,附图中所展示的要素不一定按比例绘制。在认为适当的情况下,在附图当中重复参考标记以表示相应或相似的要素。
图1是用于对用户进行认证的移动计算设备的至少一个实施例的简化图;
图2是可由图1的移动计算设备建立的环境的至少一个实施例的简化图;
图3至图6是可由图1和图2的移动计算设备使用的各种情境分类器的简化图;
图7是可由图1和图2的移动计算设备实施的安全状态机的至少一个实施例的简化图;
图8是可由图1和图2的移动计算设备实施的认证状态机的至少一个实施例的简化图;并且
图9和图10是可由图1和图2的移动计算设备执行的用于对用户进行认证的方法至少一个实施例的简化流程图。
具体实施方式
虽然本公开的概念易于经历各种修改和替代形式,但是在附图中已经通过示例的方式来示出了其特定实施例并且将在本文中对其进行详细描述。然而,应当理解的是,并不旨在将本公开的概念限制于所公开的特定形式,而相反,意图是覆盖与本公开和所附权利要求书一致的所有修改、等效物和替代物。
在说明书中提到“一个实施例”、“实施例”、“示意性实施例”等表明所描述的实施例可以包括特定特征、结构或特性,但每一个实施例可以或可以不一定包括所述特定特征、结构或特性。此外,这种短语不一定指相同的实施例。进一步地,当关于实施例而描述特定特征、结构或特性时,应当认为的是,无论是否进行了明确描述,结合其他实施例来实现这种特征、结构或特性都在本领域的技术人员的知识内。另外,应当理解的是,包括在采用“至少一个A、B和C”的形式的列表中的项目可以指(A)、(B)、(C)、(A和B)、(B和C)、(A和C)或(A、B和C)。类似地,采用“A、B或C中的至少一者”的形式来列出的项目可以指(A);(B);(C);(A和B);(B和C);(A或C)或(A、B和C)。
在一些情况下,可以在硬件、固件、软件或其任何组合中实施所公开的实施例。所公开的实施例还可以被实施为一个或多个瞬态或非瞬态机器可读(例如,计算机可读)存储介质所携带或存储在其上的指令,所述指令可以由一个或多个处理器读取和执行。机器可读存储介质可以被具体化为任何存储设备、机构或用于存储或传输采用机器可读形式的信息的其他物理结构(例如,易失性或非易失性存储器、介质盘或其他介质设备)。
在附图中,某些结构性特征或方法特征可以以特定安排和/或顺序示出。然而,应当理解的是,可能不需要这种特定安排和/或排序。相反,在一些实施例中,可以采用与在说明性附图中所示出的方式和/或顺序不同的方式和/或顺序来安排这种特征。另外,在具体的图中包括结构性特征或方法特征并不意味着暗示在所有实施例中都需要这种特征,并且在某些实施例中,可以不包括这种特征或者这种特征可以与其他特征组合。
现在参照图1,用于对用户进行认证的说明性移动计算设备100包括生成指示移动计算设备100的当前情境的各种传感器数据的一个或多个传感器130。在使用中,如以下所讨论的,移动计算设备100被配置成用于基于移动计算设备100的当前情境来认证用户,所述当前情境由情境分类器阵列确定。为了这样做,情境分类器中的每个情境分类器接收传感器数据作为输入并且生成指示移动计算设备100的各种相应情境特性的情境状态输出。例如,一个情境分类器可以生成指示移动计算设备100当前是在口袋中还是以其他方式由用户携带的情境状态输出。另一个情境分类器可以生成指示移动计算设备100的当前位置的情境状态输出。当然,可以使用移动计算设备100的任何类型的情境状态来像以下更加详细地讨论的那样认证用户。
为了促进对用户的认证,移动计算设备100实施一个或多个认证状态机。每个认证状态机包括在认证状态之间具有转变的许多不同认证状态(例如,经认证、未经认证、授权等)。各种认证状态之间的转变取决于移动计算设备100的当前情境状态。例如,如果情境分类器的情境状态输出指示移动计算设备100当前由用户携带,则当前认证可以是经认证状态。然而,如果相应情境状态输出改变为指示移动计算设备100不再被用户携带的情境状态输出,则这种情境改变可能引起移动计算设备100的认证状态从经认证状态转变成未经认证状态。以此方式,移动计算设备100利用认证状态机来管理当前用户认证并且基于移动计算设备100的当前情境在各种认证状态之间转变。
在说明性实施例中,移动计算设备100还实施一个或多个安全状态机以便控制移动计算设备100的当前安全状态和相关联安全功能。类似于认证状态机,每个安全状态机包括在安全状态之间具有转变的许多不同安全状态(例如,显示器锁定安全状态、显示器解锁安全状态、滑动删除安全状态等)。各种安全状态之间的转变取决于移动计算设备100的用户的当前认证状态。例如,如果用户的当前认证状态是“经认证”,则安全状态机的当前安全状态可以是“显示器解锁”。然而,如果当前认证状态从“经认证”转变成“未经认证”(例如,基于对移动计算设备100不再由用户携带的指示),则安全状态机同样可以从“显示器解锁”转变成“显示器锁定”。应当理解的是,移动计算设备100可以在每个安全状态下实施一个或多个安全功能(例如,使用不同安全质询等级来锁定显示器),这可能取决于特定安全状态。以此方式,可以基于用户的认证状态来管理移动计算设备100的安全性,所述认证状态基于移动计算设备100的当前情境。基于移动计算设备100的当前情境来管理移动计算设备100的安全性可能减少活动安全质询的需要或频率,这可以提高用户使用移动计算设备100的效率和整体体验。
移动计算设备100可以被具体化为能够确定本地情境并执行本文中所描述的附加功能的任何类型的计算设备。例如,移动计算设备100可以被具体化为或者以其他方式包括但不限于:智能电话、智能眼镜、智能手表、智能服装、智能电器、头戴式显示单元、平板计算机、笔记本计算机、膝上型计算机、蜂窝电话、手持设备、消息传送设备、多处理器系统、基于处理器的系统、消费者电子设备和/或能够基于移动计算设备100的情境来认证用户的任何其他计算设备。如在图1中所示出的,说明性计算设备100包括处理器110、I/O子系统112、存储器114、显示器116、数据存储设备120、通信电路122和传感器130。当然,在其他实施例中,移动计算设备100可以包括其他或附加部件,比如,在计算机中常见的部件(例如,各种输入/输出设备)。另外地,在一些实施例中,说明性部件中的一个或多个说明性部件可以结合在另一部件中,或以其他方式形成其一部分。例如,在一些实施例中,存储器114或其部分可以结合到处理器110中。
处理器110可以被具体化为能够执行本文中所描述的功能的任何类型的处理器。例如,处理器110可以被具体化为(多个)单核或多核处理器、单插槽或多插槽处理器、数字信号处理器、微控制器或者其他处理器或处理/控制电路。类似地,存储器114可以被具体化为能够执行本文中所描述的功能的任何类型的易失性或非易失性存储器或数据储存设备。在操作中,存储器114可以存储在对移动计算设备100的操作期间所使用的各种数据和软件,比如,操作系统、应用、程序、库和驱动程序。存储器114经由I/O子系统112通信地耦合至处理器110,所述子系统可以被具体化为用于促进与移动计算设备100的处理器110、存储器114以及其他部件的输入/输出操作的电路和/或部件。例如,I/O子系统112可以被具体化为或者以其他方式包括存储器控制器集线器、输入/输出控制集线器、固件设备、通信链路(即,点对点链路、总线链路、导线、线缆、光导、印刷电路板迹线等)和/或其他部件和子系统以便促进输入/输出操作。在一些实施例中,I/O子系统112可以形成片上系统(SoC)的一部分并且可以与移动计算设备100的处理器110、存储器114以及其他部件一起结合在单个集成电路芯片上。
显示器116可以被具体化为能够向用户显示图像、数据和/或其他信息的任何类型的显示器,包括但不限于:液晶显示器(LCD)、发光二极管(LED)、等离子显示器、阴极射线管(CRT)或者其他类型的显示设备。另外地,(多个)显示器116可以具有任何大小和形状并且可以具有任何适当的分辨率、颜色,和/或可以具有显示器中常见的任何其他特征或质量。在一些实施例中,显示器116可以包括触摸屏118以便促进用户交互。触摸屏118可以利用任何适当的触摸屏技术来从用户接收触觉输入,包括但不限于:电阻式、电容式和/或声学触摸屏技术。
数据存储设备120可以被具体化为被配置成用于对数据进行短期或者长期存储的任何类型的一个或多个设备。例如,数据存储设备120可以包括任何一个或多个存储器设备和电路、存储器卡、硬盘驱动器、固态驱动器或者其他数据存储设备。
通信电路122可以被具体化为能够使计算设备100与其他设备之间的通信成为可能的任何通信电路、通信设备或其集合。为了这样做,通信电路122可以被配置成用于使用任何一种或多种通信技术和相关联的协议(例如,以太网、WiMAX等)来实现这种通信。在一些实施例中,如以下所讨论的,通信电路122可以包括近距离通信电路(比如,/>或近场通信(NFC)电路)以便检测在移动计算设备100的接近度内的其他计算设备。
传感器130可以被具体化为能够生成指示移动计算设备100的情境的或者从其中可以确定移动计算设备100的情境的传感器数据的任何类型的传感器或传感器集合。根据移动计算设备100的特定实施方式和/或类型,移动计算设备100可以包括任何数量的传感器130。例如,传感器130可以包括被配置成用于生成指示移动计算设备100的当前位置的传感器数据的一个或多个位置传感器132,如例如,全球定位系统(GPS)传感器等。另外地或可替代地,传感器130可以包括被配置成用于生成指示移动计算设备100的运动或取向的传感器数据的一个或多个运动传感器134,如例如,加速度计、陀螺仪、磁强计等。另外地或可替代地,传感器130可以包括被配置成用于生成指示移动计算设备100的本地环境的传感器数据的一个或多个环境传感器,比如,相机、麦克风、温度传感器、近距离通信电路等。
在一些实施例中,移动计算设备100还可以包括安全引擎140。安全引擎140可以被具体化为能够在计算设备100上建立可信执行环境(TEE)的任何(多个)硬件部件和/或软件部件(例如,处理器指令扩展)。具体地,安全引擎140可以支持执行代码和/或访问独立于由计算设备100所执行的其他代码且不受其影响的数据。应当理解的是,安全引擎140和/或处理器110可以利用任何适当的技术来建立可信执行环境,包括例如,软件防护扩展(SGX)、可信执行引擎(TEE)、可信平台模块(TPM)、/>融合安全引擎(CSE)、管理引擎、/>Chaabi安全引擎、/>虚拟化指令和/或供安全引擎140和/或处理器110用于建立安全和可信执行环境的其他技术和机构。
在一些实施例中,计算设备100可以进一步包括一个或多个外围设备(未示出)。这种外围设备可以包括计算机设备中常见的任何类型的外围设备,例如,硬件键盘、输入/输出设备、外围通信设备和/或其它外围设备。
现在参照图2,在使用中,计算设备100可以建立环境200。说明性环境200包括一个或多个应用202、设备安全管理器模块204、认证管理器模块206和情境分类器引擎208。环境200的模块和其他部件中的每一者都可以被具体化为固件、软件、硬件或其组合。例如,环境200的各种模块、逻辑和其他部件可以形成处理器110、I/O子系统112、SoC或者计算设备100的其他硬件部件的一部分或以其他方式由其建立。如此,在一些实施例中,环境200的模块中的任何一个或多个模块可以被具体化为电子设备的电路或集合(例如,设备安全管理器电路、认证管理器电路、情境分类器引擎电路等)。
移动计算设备100可以在使用中执行各种类型和数量的应用202。例如,移动计算设备100可以执行图像库应用、web浏览器、相机应用、基于文本的通信应用和/或通常由移动计算设备执行的任何其他类型的应用。应用202中的一些应用可能需要移动计算设备100的安全功能或以其他方式与其交互。例如,图像库应用可能需要用户进行认证以便观看受保护图像和/或在某个不活动期之后进行重新认证。为了这样做,应用202中的任何一个应用可以与如以下所描述的设备安全管理器模块204对接。
设备安全管理器模块204对移动计算设备100(或移动计算设备100上的个人账户)的安全和相关安全功能进行管理。设备安全管理器模块204可以被具体化为能够在移动计算设备100上进行操作的任何类型的资源管理器。例如,在一些实施例中,设备安全管理器模块204可以被具体化为AndroidTM操作系统的KeyguardManager,但是在其他实施例中,可以使用其他资源管理器。在使用中,设备安全管理器模块204判定何时以及是否向移动计算设备100的用户呈现安全质询。由移动计算设备100执行的安全功能可以被具体化为计算设备通常采用的任何类型的安全功能,例如,使用密码/口令质询来锁定显示器116、使用滑动删除质询来锁定显示器116和/或其他安全功能。在一些实施例中,设备安全管理器模块204可以利用相同安全功能的多个等级(例如,具有各种困难等级的密码质询)。
在使用中,设备安全管理器模块204通过使用安全状态机212来确定并跟踪移动计算设备100的当前安全状态。安全状态机可以包括各自限定了移动计算设备100的不同安全状态或状况(例如,锁定、解锁等)的任何数量的单独安全状态。然而,不像基于单一用户动作(例如,解锁动作)和/或传感器数据(例如,解锁超时)来确定移动计算设备100的当前安全状态的典型资源管理器,设备安全管理器模块204基于用户认证的当前认证状态来确定移动计算设备100的当前安全状态,所述当前认证状态本身可以基于如以下更详细地讨论的移动计算设备100的各种情境状态。应当理解的是,设备安全管理器模块204可以基于用户、位置和/或其他标准来实施或利用多个安全状态机。
认证管理器模块206基于移动计算设备100的各种情境状态来管理和跟踪对移动计算设备100的用户的当前认证。为了这样做,类似于设备安全管理器模块204,认证管理器模块206实施认证状态机214。如以下更详细地讨论的,认证状态机214基于移动计算设备100的当前情境状态而包括用户的许多不同认证状态。例如,认证状态机214可以包括“经认证”状态、“未经认证”状态和/或“授权”状态(例如,经认证但当前不受主要用户直接拥有/控制)。认证状态机214可以根据特定实施方式、期望安全粒度等级、移动计算设备100的授权用户的数量和/或其他因素而包括任何数量的不同认证状态。各种认证状态之间的转变被确定或者基于移动计算设备100的一个或多个情境状态。例如,指示移动计算设备100是否由用户随身携带的情境状态的变化可能引起从“经认证”状态到“未经认证”状态的转变或反之亦然。应当理解的是,认证管理器模块206可以基于授权用户的数量、期望实施方式和/或其他标准来实施或利用多个认证状态机214。
如以上所讨论的,移动计算设备100的用户的当前认证状态是基于移动计算设备100的各种情境状态来确定的。情境分类器引擎208被配置成用于确定或生成指示移动计算设备100的各种情境状态的情境状态输出。为了这样做,情境分类器引擎208利用一个或多个分类器来确定每个情境状态。情境分类器引擎208可以基于要确定的期望情境状态的数量而包括任何数量的分类器。每个分类器可以被具体化为可以经由相关联机器学习分类算法(例如,支持向量机算法、逻辑回归算法等)和历史传感器数据230的相关联训练集来生成的分类规则或分类规则集合。情境分类器引擎208的每个分类器从一个或多个传感器130接收传感器数据并且生成指示移动计算设备100的相关联情境的情境状态输出。情境状态输出可以被具体化为二进制或n进制情境状态。例如,在家分类器(at-home classifier)可以基于指示移动计算设备100位于用户的家中的传感器数据来生成“真实”情境状态。
在图2的说明性实施例中,情境分类器引擎208包括随身携带分类器(on-personclassifier)222、周围区域内分类器(in-vicinity classifier)224、位置处分类器(at-location classifier)226和地理形状内分类器(in-geoshape classifier)228。当然,在其他实施例中,情境分类器引擎208可以包括用于生成指示移动计算设备的各种情境状态的情境状态输出的附加分类器或其他分类器。说明性地,随身携带分类器222接收指示移动计算设备100的取向(例如,设备100是否是水平的)和移动计算设备100的运动(例如,设备100是否已经在某个时间段内相对无运动)的传感器数据并生成指示移动计算设备100当前是否由用户携带的情境状态输出。周围区域内分类器224接收指示与另一个计算设备的通信链路(例如,近距离通信链路)的传感器数据并生成指示移动计算设备100是否处于另一个计算设备的参考距离或周围区域内的情境状态输出。位置处分类器226接收指示移动计算设备100的当前位置的传感器数据并生成指示移动计算设备100是否处于参考位置(例如,移动计算设备100是否在家、在工作等)处的情境状态输出。类似地,地理形状内分类器228接收指示移动计算设备100的当前位置的传感器数据并生成指示移动计算设备100是否处于参考地理位置内的情境状态输出,地理形状内分类器可能比位置处分类器具有更粗或更细的粒度(例如,移动计算设备100是否处于特定房间或建筑物内)。
在一些实施例中,认证管理器模块206和情境分类器引擎208可以建立于可信执行环境210中或以其他方式在其中进行操作。例如,可由安全引擎140建立的可信执行环境210确保对移动计算设备100的情境状态的确定和对用户的认证被保护免受外部来源的影响并且不会被偶然公开给不可信应用202。另外地,在一些实施例中,传感器130可以经由可信输入/输出路径向情境分类器引擎208提供所生成的传感器数据,所述路径可以进一步增加认证过程的安全性。
现在参照图3至图6,示出了情境分类器222、224、226和228的说明性实施例。如图3中所示出的,说明性随身携带分类器222包括“随身携带”情境状态300和“未随身携带”情境状态302。从“随身携带”情境状态300到“未随身携带”情境状态302的转变基于守护条件310,并且从“未随身携带”情境状态302到“随身携带”情境状态300的转变基于守护条件312。每个守护条件310、312可以被具体化为必须建立以便从一个情境状态转变成另一个情境状态的特定传感器数据要求。例如,在说明性实施例中,守护条件310、312基于移动计算设备100的取向和运动(例如,移动计算设备100在阈值时间量内是否水平和/或静止)。当然,在其他实施例中,其他传感器数据可以用作守护条件310、312的基础。
如图4中所示出的,示例性周围区域内分类器224包括“周围区域内”情境状态400和“周围区域外(out-of-vicinity)”情境状态402。从“周围区域内”情境状态400到“周围区域外”情境状态402的转变基于守护条件410,并且从“周围区域外”情境状态402到“周围区域内”情境状态400的转变基于守护条件412。再次,每个守护条件410、412可以被具体化为必须建立以便从一个情境状态转变成另一个情境状态的特定传感器数据要求。例如,在说明性实施例中,守护条件410、412基于是否已经与另一个本地计算设备建立近距离通信链路或者近距离通信链路是否已经超时。当然,在其他实施例中,其他传感器数据可以用作守护条件410、412的基础。
如在图5中所示出的,说明性位置处分类器226包括“位置处”情境状态500和“不在位置处(not-at-location)”情境状态502。从“位置处”情境状态500到“不在位置处”情境状态502的转变基于守护条件510,并且从“不在位置处”情境状态502到“位置处”情境状态500的转变基于守护条件512。再次,每个守护条件510、512可以被具体化为必须建立以便从一个情境状态转变成另一个情境状态的特定传感器数据要求。例如,在说明性实施例中,守护条件510、512基于指示移动计算设备100的当前位置的传感器数据。当然,在其他实施例中,其他传感器数据可以用作守护条件510、512的基础。
如在图6中所示出的,说明性地理形状内分类器228包括“地理形状内”情境状态600和“不在地理形状内”情境状态602。从“地理形状内”情境状态600到“不在地理形状内”情境状态602的转变基于守护条件610,并且从“不在地理形状内”情境状态602到“地理形状内”情境状态600的转变基于守护条件612。再次,每个守护条件610、612可以被具体化为必须建立以便从一个情境状态转变成另一个情境状态的特定传感器数据要求。例如,在说明性实施例中,类似于守护条件610、612,守护条件610、612基于指示移动计算设备100的当前位置的传感器数据。当然,在其他实施例中,其他传感器数据可以用作守护条件610、612的基础。
如以上所讨论的,来自情境分类器引擎208的分类器的各种情境状态输出影响或控制认证状态机214的转变。在图7中示出了说明性认证状态机214并且所述认证状态机包括“经认证”认证状态700、“未经认证”认证状态702和“授权”认证状态704。当然,在其他实施例中,认证状态机214可以包括附加认证状态或其他认证状态。单独认证状态700、702、704之间的转变基于相应守护条件710、712,守护条件714、716以及守护条件718、720。每个守护条件710、712、714、716、718、720可以基于由随身携带分类器222、周围区域内分类器224、位置处分类器226和/或地理形状内分类器228基于特定实施方式、特定用户、期望安全等级和/或其他标准来生成的一个或多个情境状态输出。例如,在一个实施例中,从“经认证”状态700到“授权”授权状态704的守护条件720可以基于随身携带分类器222和周围区域内分类器224的情境状态输出。例如,守护条件720可以在随身携带分类器222生成指示移动计算设备100正由用户(或另一个个人)携带的情境状态输出,而周围区域内分类器224生成指示所述移动计算设备100不处于另一个计算设备的阈值接近度内的情境状态输出时被满足。
应当理解的是,由守护条件720表示的转变取决于当前认证状态以及守护条件720的情境状态输出。也就是说,认证状态机基于随身携带分类器222和周围区域内分类器224而从“经认证”状态700转变成“授权”状态704,但是不可以基于随身携带分类器222和周围区域内分类器224的相同情境状态输出而从“未经认证”认证状态702转变成“授权”状态704。例如,如果移动计算设备100的用户经认证并且认证管理器模块206现在检测到移动计算设备100在附加计算设备的周围区域外,则认证管理器模块206可以推断用户已经将移动计算设备100授权给另一个用户(例如,用户的朋友)。以此方式,认证管理器模块206利用认证状态以及移动计算设备100的情境状态的变化来确定用户的新认证状态。
如以上所讨论的,认证状态机214的各种认证状态影响或控制安全状态机212的转变。在图8中示出了说明性安全状态机212并且所述安全状态机包括“显示器锁定”安全状态800、“显示器解锁”安全状态802和“滑动删除”安全状态804。当然,在其他实施例中,安全状态机212可以包括附加安全状态或其他安全状态。单独安全状态800、802、804之间的转变基于相应守护条件810、812,守护条件814、816以及守护条件818、820。每个守护条件810、812、814、816、818、820可以基于通过认证状态机214和/或其他标准确定的当前认证状态。例如,守护条件818可以在认证状态机214指示用户经认证或针对当前位置经认证时被满足。当然,守护条件810、812、814、816、818、820中的一些守护条件可以通过用户的动作或者除了或替代认证状态的其他标准来满足。例如,守护条件810可以通过用户成功地对密码质询等做出响应来满足。无论如何,应当理解的是,安全状态机212依赖于用户的基于认证状态机214来确定的当前认证状态,所述认证状态机利用由情境分类器引擎208的分类器生成的情境状态输出。
现在参照图9和图10,在使用中,移动计算设备100可以执行用于对用户进行认证的方法900。方法900开始于框902,在所述框中,移动计算设备100监测传感器130。例如,移动计算设备100可以周期性地或响应性地对由传感器130生成的传感器数据进行采样。在框904中,情境分类器引擎208从传感器130接收传感器数据。如以上所讨论的,传感器130可以包括任何类型的传感器,包括例如,位置传感器132、运动传感器134和/或环境传感器136。
在框906中,情境分类器引擎208基于当前传感器数据来确定移动计算设备100的各种情境参数。为了这样做,情境分类器引擎208使用各种情境分类器来分析传感器数据。例如,在框910中,随身携带分类器222可以从传感器130接收适当传感器数据并生成指示移动计算设备100当前是否由用户携带的情境状态输出。在框912中,周围区域内分类器224可以从传感器130接收适当数据以及指示移动计算设备100是否处于另一个计算设备的参考距离或周围区域内的情境状态输出。在框914中,位置处分类器226可以从传感器130接收适当数据并生成指示移动计算设备100是否处于参考位置处的情境状态输出。在框916中,地理形状内分类器228可以从传感器130接收适当传感器数据并生成指示移动计算设备100是否处于参考地理位置内的情境状态输出。再次,如以上所讨论的,在其他实施例中,情境分类器引擎208可以包括各自可以接收附加传感器数据或其他传感器数据作为输入以供进行分类的附加分类器或其他分类器。
在一些实施例中,在框918中,情境分类器引擎208可以与其他计算设备通信以便聚合情境分类器输出数据。例如,如以上所讨论的,在一些实施例中,移动计算设备100可以接收由另一个计算设备生成的传感器数据和/或由另一个计算设备生成的情境数据并且可以将其提供给情境分类器引擎208以供用于确定移动计算设备100的各种情境状态。
在框906中已经确定了移动计算设备100的当前情境状态之后,方法900前进到框920,在所述框中,认证管理器模块206确定设备的当前认证状态。为了这样做,如以上所讨论的,认证管理器模块206利用受移动计算设备100的当前情境状态影响的认证状态机214。如此,在框922中,认证管理器模块206接收在框906中生成的各种情境状态输出并基于所接收的情境状态输出来判定是否已经发生到认证状态机214的新认证状态的转变。另外地,在一些实施例中,认证管理器模块206可以将移动计算设备100的各种确定情境状态通知给设备安全管理器模块204。
如果在框926中未发生任何认证状态转变,则方法900循环回框902,在所述框中,移动计算设备100继续监测由传感器130生成的传感器数据。然而,如果已经发生认证状态转变,则方法900前进到图10的框928。在框928中,认证管理器模块206将新认证状态(例如,“经认证”、“未经认证”、“授权”等)通知给设备安全管理器模块204。另外地,在一些实施例中,在框930中,认证管理器模块206将移动计算设备100的用户的认证状态通知给其他计算设备。以此方式,移动计算设备100可以共享用户的认证状态,从而使得用户不需要向其他计算设备进行认证。
如以上所讨论的,用户的当前认证状态影响移动计算设备100的安全状态。如此,在框930中,设备安全管理器模块204确定移动计算设备100的当前安全状态。为了这样做,如以上所讨论的,设备安全管理器模块204利用安全状态机212,所述安全状态机受由认证管理器模块206确定的用户认证状态以及相关联认证状态机214的影响。如此,在框932中,设备安全管理器模块204基于用户的新认证状态来判定是否已经发生到新安全状态的转变。如果已经发生新认证状态,则设备安全管理器模块204可以执行与新安全状态相关联的任何安全功能(例如,提示用户密码、使用滑动屏幕来锁定显示器116等)。另外地,在一些实施例中,设备安全管理器模块204可以基于用户的当前认证状态以及由移动计算设备100执行的应用202所采取的或请求的动作来判定是否已经发生安全状态机212的安全状态的转变。例如,应用202可以请求安全功能。作为响应,设备安全管理器模块204可以基于用户的当前认证状态来确定所需要的安全功能的等级。无论如何,在框930中已经确定当前安全状态之后,方法循环回框902,在所述框中,移动计算设备100继续监测传感器130。
应当理解的是,通过使用(多个)认证状态机214和(多个)安全状态机212,可以在不依赖特定传感器、单一用户动作等的情况下确定移动计算设备100的用户认证和安全状态。相反,可以基于一些传感器数据(历史传感器数据和当前传感器数据两者)来确定移动计算设备100的情境,以便推进用户认证。如此,用户认证独立于通常可能引起执行安全功能的任何特定传感器或动作。
另外地,应当理解的是,本文中所描述的技术促进对用户的连续或持续情境认证,所述情境认证可以形成标准或典型认证需求的代理。例如,因为本文中所描述的对用户的基于情境的认证建立了与资源的已经保持恒定或以其他方式高于最低水平用户接近度,所以移动计算设备100的资源可能保持对用户可访问,甚至在授权期限或令牌已经过期之后。这种资源可以被具体化为在计算设备100上可用的任何类型的资源,比如,对移动计算设备100的登录、在移动计算设备100上执行的应用和/或可从移动计算设备100获得的内容。另外地,如以上所讨论的,移动计算设备100可以断言或确认与其他计算设备或服务的用户认证。如此,由移动计算设备100执行的基于用户情境的认证可以进一步用作对在其他计算设备上可用的资源的代理认证,包括例如,对个人计算设备的登录、web服务、web账户、云资源、在各种服务之间分布的资源、设备、或主机、互连设备或传感器的网络、或需要用户认证的任何其他资源、设备或服务。
示例
以下提供本文中所公开的设备、系统和方法的说明性示例。所述设备、系统和方法的实施例可以包括以下描述的示例中的任何一个或多个示例以及示例的任何组合。
示例1包括一种用于对用户进行认证的移动计算设备,所述移动计算设备包括:多个传感器,所述多个传感器用于生成指示所述移动计算设备的情境的传感器数据;情境分类器引擎,所述情境分类器引擎包括多个情境分类器,其中,每个情境分类器用于基于来自所述多个传感器中的至少一个传感器的传感器数据来生成指示所述移动计算设备的相应情境的情境状态输出;以及认证管理器模块,所述认证管理器模块用于基于认证状态机来确定所述移动计算设备的用户的认证状态,其中,所述认证状态机包括多个认证状态,并且每个认证状态具有到另一个认证状态的至少一个转变,其中,认证状态之间的每个转变取决于所述情境分类器引擎的至少一个情境状态输出。
示例2包括如示例1所述的主题,并且其中,所述认证管理器模块用于基于所述认证状态机以及所述情境分类器引擎的所述情境状态输出来确定当前认证状态。
示例3包括如示例1和2中任一项所述的主题,并且其中,所述认证状态机用于响应于所述情境分类器的至少一个情境状态输出的变化而从所述当前认证状态转变成新认证状态。
示例4包括如示例1至3中任一项所述的主题,并且其中,所述认证管理器模块用于将所述新认证状态通知给另一个计算设备。
示例5包括如示例1至4中任一项所述的主题,并且其中,所述认证管理器模块用于响应于到所述新认证状态的所述转变而通知所述移动计算设备的设备安全管理器模块。
示例6包括如示例1至5中任一项所述的主题,并且其中,所述设备安全管理器模块用于基于所述新认证状态来确定所述移动计算设备的当前安全状态并基于所述当前安全状态在所述移动计算设备上实施相应安全功能。
示例7包括如示例1至6中任一项所述的主题,并且其中,所述认证状态机包括经认证状态,所述经认证状态用于指示所述当前用户已经被认证;未经认证状态,所述未经认证状态用于指示所述当前用户还未被认证;以及授权状态,所述授权状态用于指示所述当前用户已经从经认证用户处授权了某个认证等级。
示例8包括如示例1至7中任一项所述的主题,并且进一步包括:设备安全管理器模块,所述设备安全管理器模块用于基于安全状态机来实施多个安全功能之一,其中,所述安全状态机包括多个安全状态,并且每个安全状态包括到另一个安全状态的至少一个转变,其中,安全状态之间的每个转变取决于所述认证状态机的所述当前认证状态。
示例9包括如示例1至8中任一项所述的主题,并且其中,安全状态之间的每个转变取决于所述认证状态机的所述当前认证状态以及从由所述移动计算设备执行的应用接收的指令。
示例10包括如示例1至9中任一项所述的主题,并且其中,所述安全状态机包括显示器锁定安全状态,在所述显示器锁定安全状态下,所述设备安全管理器模块使用密码安全功能来锁定所述显示器;滑动删除安全状态,在所述滑动删除安全状态下,所述设备安全管理器模块使用滑动安全功能来锁定所述移动计算设备的显示器;以及显示器解锁安全状态,在所述显示器解锁安全状态下,所述设备安全管理器模块解锁所述显示器。
示例11包括如示例1至10中任一项所述的主题,并且其中,所述情境分类器引擎和所述认证管理器模块是在可信执行环境中建立的。
示例12包括如示例1至11中任一项所述的主题,并且其中,所述多个情境分类器中的每个情境分类器基于来自所述多个传感器中的至少一个传感器的传感器数据以及历史传感器数据来生成情境状态输出。
示例13包括如示例1至12中任一项所述的主题,并且其中,所述情境分类器引擎进一步用于与另一个计算设备通信以便对由所述另一个计算设备生成的附加情境状态输出进行聚合,其中,所述附加情境状态输出指示所述移动计算设备的相应情境。
示例14包括如示例1至13中任一项所述的主题,并且其中,所述多个情境分类器包括随身携带分类器,所述随身携带分类器用于生成指示所述移动计算设备当前是否由所述用户携带的情境状态输出。
示例15包括如示例1至14中任一项所述的主题,并且其中,所述随身携带分类器基于(i)指示所述移动计算设备的取向的传感器数据和(ii)指示所述移动计算设备的运动的传感器数据来生成指示所述移动计算设备当前是否由所述用户携带的所述情境状态输出。
示例16包括如示例1至15中任一项所述的主题,并且其中,所述多个情境分类器包括周围区域内分类器,所述周围区域内分类器用于生成指示所述移动计算设备是否与另一个计算设备相距参考距离的情境状态输出。
示例17包括如示例1至16中任一项所述的主题,并且其中,所述周围区域内分类器基于指示与另一个计算设备的通信的传感器数据来生成指示所述移动计算设备是否与所述另一个计算设备相距参考距离的所述情境状态输出。
示例18包括如示例1至17中任一项所述的主题,并且其中,所述多个情境分类器包括位置处分类器,所述位置处分类器用于生成指示所述移动计算设备是否位于参考位置处的情境状态输出。
示例19包括如示例1至18中任一项所述的主题,并且其中,所述位置处分类器基于指示所述移动计算设备的当前位置的传感器数据来生成指示所述移动计算设备是否位于参考位置处的所述情境状态输出。
示例20包括如示例1至19中任一项所述的主题,并且其中,所述多个情境分类器包括地理形状内分类器,所述地理形状内分类器用于生成指示所述移动计算设备是否位于从参考地理空间区域内的情境状态输出。
示例21包括如示例1至20中任一项所述的主题,并且其中,所述地理形状内分类器基于指示所述移动计算设备的当前位置的传感器数据来生成指示所述移动计算设备是否位于参考地理空间区域内的所述情境状态输出。
示例22包括如示例1至21中任一项所述的主题,并且其中,所述多个传感器包括以下各项中的至少一项:位置传感器,所述位置传感器用于生成指示所述移动计算设备的位置的传感器数据;运动传感器,所述运动传感器用于生成指示所述移动计算设备的运动的传感器数据;或者环境传感器,所述环境传感器用于生成指示所述移动计算设备的本地环境的传感器数据。
示例23包括如示例1至22中任一项所述的主题,并且进一步地其中,所述认证管理器模块用于将所述用户的所述确定的认证状态通知给另一个计算设备以便向所述另一个计算设备认证所述用户从而促进由所述用户对在所述另一个计算设备上可用的资源进行的访问。
示例24包括如示例1至23中任一项所述的主题,并且其中,通知所述另一个计算设备包括向所述另一个计算设备认证所述用户以便减少由所述另一个计算设备对所述资源的访问进行的活动用户认证的发生。
示例25包括如示例1至24中任一项所述的主题,并且其中,在所述另一个计算设备上可用的所述资源包括以下各项中的至少一项:对所述另一个计算设备的登录、由所述另一个计算设备提供的服务、web服务、web账户访问和/或云资源或网络资源。
示例26包括一种用于对移动计算设备的用户进行认证的方法,所述方法包括:由所述移动计算设备的多个传感器生成指示所述移动计算设备的情境的传感器数据;由所述移动计算设备的情境分类器引擎的多个情境分类器中的每个情境分类器基于来自所述多个传感器中的至少一个传感器的传感器数据来生成指示所述移动计算设备的相应情境的情境状态输出;由所述移动计算设备的认证管理器模块基于认证状态机来确定所述移动计算设备的用户的认证状态,其中,所述认证状态机包括多个认证状态,并且每个认证状态具有到另一个认证状态的至少一个转变,其中,认证状态之间的每个转变取决于所述情境分类器引擎的至少一个情境状态输出。
示例27包括如示例26所述的主题,并且其中,确定所述用户的认证状态包括基于所述认证状态机以及所述情境分类器引擎的所述情境状态输出来确定所述用户的当前认证状态。
示例28包括如示例26和27中任一项所述的主题,并且进一步包括:响应于所述情境分类器的至少一个情境状态输出的变化而从所述当前认证状态转变成新认证状态。
示例29包括如示例26至28中任一项所述的主题,并且进一步包括:将所述新认证状态通知给另一个计算设备。
示例30包括如示例26至29中任一项所述的主题,并且进一步包括:响应于到所述新认证状态的所述转变而通知所述移动计算设备的设备安全管理器模块。
示例31包括如示例26至30中任一项所述的主题,并且进一步包括:由所述设备安全管理器模块基于所述新认证状态来确定所述移动计算设备的当前安全状态并基于所述当前安全状态在所述移动计算设备上实施相应安全功能。
示例32包括如示例26至31中任一项所述的主题,并且其中,所述认证状态机包括经认证状态,所述经认证状态用于指示所述当前用户已经被认证;未经认证状态,所述未经认证状态用于指示所述当前用户还未被认证;以及授权状态,所述授权状态用于指示所述当前用户已经从经认证用户处授权了某个认证等级。
示例33包括如示例26至32中任一项所述的主题,并且进一步包括:由所述移动计算设备的设备安全管理器模块基于安全状态机来实施多个安全功能之一,其中,所述安全状态机包括多个安全状态,并且每个安全状态包括到另一个安全状态的至少一个转变,其中,安全状态之间的每个转变取决于所述认证状态机的所述当前认证状态。
示例34包括如示例26至33中任一项所述的主题,并且其中,所述安全状态机的安全状态之间的每个转变取决于所述认证状态机的所述当前认证状态以及从由所述移动计算设备执行的应用接收的指令。
示例35包括如示例26至34中任一项所述的主题,并且其中,所述安全状态机包括显示器锁定安全状态,在所述显示器锁定安全状态下,所述设备安全管理器模块使用密码安全功能来锁定所述显示器;滑动删除安全状态,在所述滑动删除安全状态下,所述设备安全管理器模块使用滑动安全功能来锁定所述移动计算设备的显示器;以及显示器解锁安全状态,在所述显示器解锁安全状态下,所述设备安全管理器模块解锁所述显示器。
示例36包括如示例26至35中任一项所述的主题,并且进一步包括:在所述移动计算设备的可信执行环境中建立所述情境分类器引擎和所述认证管理器模块。
示例37包括如示例26至36中任一项所述的主题,并且其中,生成所述情境状态输出包括由每个情境分类器基于来自所述多个传感器中的至少一个传感器的传感器数据以及历史传感器数据来生成情境状态输出。
示例38包括如示例26至37中任一项所述的主题,并且进一步包括:由所述移动计算设备与另一个计算设备通信以便对由所述另一个计算设备生成的附加情境状态输出进行聚合,其中,所述附加情境状态输出指示所述移动计算设备的相应情境。
示例39包括如示例26至38中任一项所述的主题,并且进一步包括:由所述多个情境分类器中的随身携带分类器生成指示所述移动计算设备当前是否由所述用户携带的情境状态输出。
示例40包括如示例26至39中任一项所述的主题,并且其中,生成指示所述移动计算设备当前是否由所述用户携带的所述情境状态输出包括基于(i)指示所述移动计算设备的取向的传感器数据和(ii)指示所述移动计算设备的运动的传感器数据来生成指示所述移动计算设备当前是否由所述用户携带的所述情境状态输出。
示例41包括如示例26至40中任一项所述的主题,并且进一步包括:由所述多个情境分类器中的周围区域内分类器生成指示所述移动计算设备是否与另一个计算设备相距参考距离的情境状态输出。
示例42包括如示例26至41中任一项所述的主题,并且其中,生成指示所述移动计算设备是否与另一个计算设备相距参考距离的所述情境状态输出包括基于指示与所述另一个计算设备的通信的传感器数据来生成指示所述移动计算设备是否与所述另一个计算设备相距参考距离的所述情境状态输出。
示例43包括如示例26至42中任一项所述的主题,并且进一步包括:由所述多个情境分类器中的位置处分类器生成指示所述移动计算设备是否位于参考位置处的情境状态输出。
示例44包括如示例26至43中任一项所述的主题,并且其中,生成指示所述移动计算设备是否位于参考位置处的所述情境状态输出包括基于指示所述移动计算设备的当前位置的传感器数据来生成指示所述移动计算设备是否位于参考位置处的所述情境状态输出。
示例45包括如示例26至44中任一项所述的主题,并且进一步包括:由所述多个情境分类器中的地理形状内分类器生成指示所述移动计算设备是否位于参考地理空间区域内的情境状态输出。
示例46包括如示例26至45中任一项所述的主题,并且其中,生成指示所述移动计算设备是否位于参考地理空间区域内的所述情境状态输出包括基于指示所述移动计算设备的当前位置的传感器数据来生成指示所述移动计算设备是否位于参考地理空间区域内的所述情境状态输出。
示例47包括如示例26至46中任一项所述的主题,并且其中,所述多个传感器包括以下各项中的至少一项:位置传感器,所述位置传感器用于生成指示所述移动计算设备的位置的传感器数据;运动传感器,所述运动传感器用于生成指示所述移动计算设备的运动的传感器数据;或者环境传感器,所述环境传感器用于生成指示所述移动计算设备的本地环境的传感器数据。
示例48包括如示例26至47中任一项所述的主题,并且进一步包括:将所述用户的所述确定的认证状态通知给另一个计算设备以便向所述另一个计算设备认证所述用户从而促进由所述用户对在所述另一个计算设备上可用的资源进行的访问。
示例49包括如示例26至48中任一项所述的主题,并且其中,通知所述另一个计算设备包括向所述另一个计算设备认证所述用户以便减少由所述另一个计算设备对所述资源的访问进行的活动用户认证的发生。
示例50包括如示例26至49中任一项所述的主题,并且其中,在所述另一个计算设备上可用的所述资源包括以下各项中的至少一项:对所述另一个计算设备的登录、由所述另一个计算设备提供的服务、web服务、web账户访问和/或云资源或网络资源。
示例51包括一种或多种计算机可读存储介质,包括存储于其上的多条指令,所述指令响应于执行而使计算设备执行如示例26至50中任一项所述的方法。
示例52包括一种用于对用户进行认证的移动计算设备,所述移动计算设备包括:用于由所述移动计算设备的多个传感器生成指示所述移动计算设备的情境的传感器数据的装置;用于由所述移动计算设备的情境分类器引擎的多个情境分类器中的每个情境分类器基于来自所述多个传感器中的至少一个传感器的传感器数据来生成指示所述移动计算设备的相应情境的情境状态输出的装置;用于由所述移动计算设备的认证管理器模块基于认证状态机来确定所述移动计算设备的用户的认证状态的装置,其中,所述认证状态机包括多个认证状态,并且每个认证状态具有到另一个认证状态的至少一个转变,其中,认证状态之间的每个转变取决于所述情境分类器引擎的至少一个情境状态输出。
示例53包括如示例52所述的主题,并且其中,用于确定所述用户的认证状态的所述装置包括用于基于所述认证状态机以及所述情境分类器引擎的所述情境状态输出来确定所述用户的当前认证状态的装置。
示例54包括如示例52和53中任一项所述的主题,并且进一步包括:用于响应于所述情境分类器的至少一个情境状态输出的变化而从所述当前认证状态转变成新认证状态的装置。
示例55包括如示例52至54中任一项所述的主题,并且进一步包括:用于将所述新认证状态通知给另一个计算设备的装置。
示例56包括如示例52至55中任一项所述的主题,并且进一步包括:用于响应于到所述新认证状态的所述转变而通知所述移动计算设备的设备安全管理器模块的装置。
示例57包括如示例52至56中任一项所述的主题,并且进一步包括:用于由所述设备安全管理器模块基于所述新认证状态来确定所述移动计算设备的当前安全状态并基于所述当前安全状态在所述移动计算设备上实施相应安全功能的装置。
示例58包括如示例52至57中任一项所述的主题,并且其中,所述认证状态机包括经认证状态,所述经认证状态用于指示所述当前用户已经被认证;未经认证状态,所述未经认证状态用于指示所述当前用户还未被认证;以及授权状态,所述授权状态用于指示所述当前用户已经从经认证用户处授权了某个认证等级。
示例59包括如示例52至58中任一项所述的主题,并且进一步包括:用于由所述移动计算设备的设备安全管理器模块基于安全状态机来实施多个安全功能之一的装置,其中,所述安全状态机包括多个安全状态,并且每个安全状态包括到另一个安全状态的至少一个转变,其中,安全状态之间的每个转变取决于所述认证状态机的所述当前认证状态。
示例60包括如示例52至59中任一项所述的主题,并且其中,所述安全状态机的安全状态之间的每个转变取决于所述认证状态机的所述当前认证状态以及从由所述移动计算设备执行的应用接收的指令。
示例61包括如示例52至60中任一项所述的主题,并且其中,所述安全状态机包括显示器锁定安全状态,在所述显示器锁定安全状态下,所述设备安全管理器模块使用密码安全功能来锁定所述显示器;滑动删除安全状态,在所述滑动删除安全状态下,所述设备安全管理器模块使用滑动安全功能来锁定所述移动计算设备的显示器;以及显示器解锁安全状态,在所述显示器解锁安全状态下,所述设备安全管理器模块解锁所述显示器。
示例62包括如示例52至61中任一项所述的主题,并且进一步包括:用于在所述移动计算设备的可信执行环境中建立所述情境分类器引擎和所述认证管理器模块的装置。
示例63包括如示例52至62中任一项所述的主题,并且其中,用于生成所述情境状态输出的所述装置包括用于由每个情境分类器基于来自所述多个传感器中的至少一个传感器的传感器数据以及历史传感器数据来生成情境状态输出的装置。
示例64包括如示例52至63中任一项所述的主题,并且进一步包括:用于由所述移动计算设备与另一个计算设备通信以便对由所述另一个计算设备生成的附加情境状态输出进行聚合的装置,其中,所述附加情境状态输出指示所述移动计算设备的相应情境。
示例65包括如示例52至64中任一项所述的主题,并且进一步包括:用于由所述多个情境分类器中的随身携带分类器生成指示所述移动计算设备当前是否由所述用户携带的情境状态输出的装置。
示例66包括如示例52至65中任一项所述的主题,并且其中,用于生成指示所述移动计算设备当前是否由所述用户携带的所述情境状态输出的所述装置包括用于基于(i)指示所述移动计算设备的取向的传感器数据和(ii)指示所述移动计算设备的运动的传感器数据来生成指示所述移动计算设备当前是否由所述用户携带的所述情境状态输出的装置。
示例67包括如示例52至66中任一项所述的主题,并且进一步包括:用于由所述多个情境分类器中的周围区域内分类器生成指示所述移动计算设备是否与另一个计算设备相距参考距离的情境状态输出的装置。
示例68包括如示例52至67中任一项所述的主题,并且其中,用于生成指示所述移动计算设备是否与另一个计算设备相距参考距离的所述情境状态输出的所述装置包括用于基于指示与所述另一个计算设备的通信的传感器数据来生成指示所述移动计算设备是否与所述另一个计算设备相距参考距离的所述情境状态输出的装置。
示例69包括如示例52至68中任一项所述的主题,并且进一步包括:用于由所述多个情境分类器中的位置处分类器生成指示所述移动计算设备是否位于参考位置处的情境状态输出的装置。
示例70包括如示例52至69中任一项所述的主题,并且其中,用于生成指示所述移动计算设备是否位于参考位置处的所述情境状态输出的所述装置包括用于基于指示所述移动计算设备的当前位置的传感器数据来生成指示所述移动计算设备是否位于参考位置处的所述情境状态输出的装置。
示例71包括如示例52至70中任一项所述的主题,并且进一步包括:用于由所述多个情境分类器中的地理形状内分类器生成指示所述移动计算设备是否位于参考地理空间区域内的情境状态输出的装置。
示例72包括如示例52至71中任一项所述的主题,并且其中,用于生成指示所述移动计算设备是否位于参考地理空间区域内的所述情境状态输出的所述装置包括用于基于指示所述移动计算设备的当前位置的传感器数据来生成指示所述移动计算设备是否位于参考地理空间区域内的所述情境状态输出的装置。
示例73包括如示例52至72中任一项所述的主题,并且其中,所述多个传感器包括以下各项中的至少一项:位置传感器,所述位置传感器用于生成指示所述移动计算设备的位置的传感器数据;运动传感器,所述运动传感器用于生成指示所述移动计算设备的运动的传感器数据;或者环境传感器,所述环境传感器用于生成指示所述移动计算设备的本地环境的传感器数据。
示例74包括如示例52至73中任一项所述的主题,并且进一步包括:用于将所述用户的所述确定的认证状态通知给另一个计算设备以便向所述另一个计算设备认证所述用户从而促进由所述用户对在所述另一个计算设备上可用的资源进行的访问的装置。
示例75包括如示例52至74中任一项所述的主题,并且其中,用于通知所述另一个计算设备的所述装置包括用于向所述另一个计算设备认证所述用户以便减少由所述另一个计算设备对所述资源的访问进行的活动用户认证的发生的装置。
示例76包括如示例52至75中任一项所述的主题,并且其中,在所述另一个计算设备上可用的所述资源包括以下各项中的至少一项:对所述另一个计算设备的登录、由所述另一个计算设备提供的服务、web服务、web账户访问和/或云资源或网络资源。
示例77包括一种或多种计算机可读存储介质,包括存储于其上的多条指令,所述指令当被执行时使移动计算设备基于来自移动计算设备的一个或多个传感器的数据来确定所述移动计算设备的情境状态,所述情境状态用于指示所述移动计算设备当前是否处于口袋中、手提包中或者以其他方式由所述移动计算设备的用户携带;提示所述用户输入对用户认证质询的响应;响应于所述用户响应而输入所述移动计算设备的多个安全状态中的第一设备安全状态;并且至少基于所述情境状态而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例78包括如示例77所述的主题,并且其中,从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态包括至少基于(i)当前用户认证状态和(ii)所述情境状态而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例79包括如示例77和78中任一项所述的主题,并且其中,从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述不同安全状态包括响应于所述情境数据指示所述移动计算设备不再由所述用户携带而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例80包括如示例77和79中任一项所述的主题,并且其中,提示所述用户输入对用户认证质询的响应包括响应于所述情境数据指示所述移动计算设备不再由所述用户携带而提示所述用户输入对用户认证质询的响应。
示例81包括如示例77至80中任一项所述的主题,并且其中,从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述不同安全状态包括响应于所述情境数据指示所述移动计算设备当前在所述口袋中、在所述手提包中或者以其他方式由所述用户携带而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例82包括如示例77至81中任一项所述的主题,并且其中,当处于所述多个安全状态中的所述不同安全状态下时,所述多条指令当被执行时进一步使所述移动计算设备不提示所述用户输入对用户认证质询的响应。
示例83包括如示例77至82中任一项所述的主题,并且其中,确定所述移动计算设备的所述情境状态包括基于来自所述移动计算设备的加速度计的传感器数据来确定所述移动计算设备的所述情境状态。
示例84包括如示例77至83中任一项所述的主题,并且其中,确定所述移动计算设备的所述情境状态包括基于来自所述加速度计的所述传感器数据来确定指示所述移动计算设备当前是否由所述用户携带的情境状态。
示例85包括如示例77和84中任一项所述的主题,并且其中,所述情境状态用于指示所述移动计算设备当前是否由所述用户或另一个人员携带,并且其中,从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述不同安全状态包括响应于所述情境状态指示所述移动计算设备不再由所述用户或所述另一个人员携带而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例86包括如示例77至85中任一项所述的主题,并且其中,所述多条指令当被执行时进一步使所述移动计算设备基于所述多个安全状态中的所述不同安全状态来执行安全功能。
示例87包括一种用于对移动计算设备的用户进行认证的方法,所述方法包括基于来自移动计算设备的一个或多个传感器的数据来确定所述移动计算设备的情境状态,所述情境状态用于指示所述移动计算设备当前是否处于口袋中、手提包中或者以其他方式由所述移动计算设备的用户携带;提示所述用户输入对用户认证质询的响应;响应于所述用户响应而输入所述移动计算设备的多个安全状态中的第一设备安全状态;并且至少基于所述情境状态而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例88包括如示例87所述的主题,并且其中,从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态包括至少基于(i)当前用户认证状态和(ii)所述情境状态而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例89包括如示例87和88中任一项所述的主题,并且其中,从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述不同安全状态包括响应于所述情境数据指示所述移动计算设备不再由所述用户携带而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例90包括如示例87和89中任一项所述的主题,并且其中,提示所述用户输入对用户认证质询的响应包括响应于所述情境数据指示所述移动计算设备不再由所述用户携带而提示所述用户输入对用户认证质询的响应。
示例91包括如示例87至90中任一项所述的主题,并且其中,从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述不同安全状态包括响应于所述情境数据指示所述移动计算设备当前在所述口袋中、在所述手提包中或者以其他方式由所述用户携带而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例92包括如示例87至91中任一项所述的主题,并且进一步包括,当处于所述多个安全状态中的所述不同安全状态下时,不提示所述用户输入对用户认证质询的响应。
示例93包括如示例87至92中任一项所述的主题,并且其中,确定所述移动计算设备的所述情境状态包括基于来自所述移动计算设备的加速度计的传感器数据来确定所述移动计算设备的所述情境状态。
示例94包括如示例87至93中任一项所述的主题,并且其中,确定所述移动计算设备的所述情境状态包括基于来自所述加速度计的所述传感器数据来确定指示所述移动计算设备当前是否由所述用户携带的情境状态。
示例95包括如示例87和94中任一项所述的主题,并且其中,所述情境状态用于指示所述移动计算设备当前是否由所述用户或另一个人员携带,并且其中,从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述不同安全状态包括响应于所述情境状态指示所述移动计算设备不再由所述用户或所述另一个人员携带而从所述第一设备安全状态转变成所述移动计算设备的所述多个安全状态中的不同安全状态。
示例96包括如示例87至95中任一项所述的主题,并且进一步包括,基于所述多个安全状态中的所述不同安全状态来执行安全功能。

Claims (18)

1.一种或多种包括存储于其上的多条指令的非瞬态计算机可读存储介质,所述指令在被执行时使移动计算设备:
基于传感器数据确定移动计算设备的情境状态,所述传感器数据来自所述移动计算设备的多个传感器中的至少一个;
所述情境状态用于指示所述移动计算设备当前是否处于口袋中或者以其他方式由所述移动计算设备的用户携带;
确定所述移动计算设备的用户的多个认证状态中的当前用户认证状态;
确定所述移动计算设备的多个安全状态中的当前设备安全状态;以及
至少基于a)所述当前用户认证状态和b)所述情境状态确定是否从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态。
2.如权利要求1所述的一种或多种非瞬态计算机可读存储介质,其特征在于,从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态包括响应于所述情境数据指示所述移动计算设备不再由所述用户携带而从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态。
3.如权利要求1所述的一种或多种非瞬态计算机可读存储介质,其特征在于,提示所述用户输入对用户认证质询的响应包括响应于所述情境数据指示所述移动计算设备不再由所述用户携带而提示所述用户输入对用户认证质询的响应。
4.如权利要求1所述的一种或多种非瞬态计算机可读存储介质,其特征在于,从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述一个不同的安全状态包括响应于所述情境数据指示所述移动计算设备当前处于所述口袋中、处于手提包中或者以其他方式由所述用户携带而从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态。
5.如权利要求4所述的一种或多种非瞬态计算机可读存储介质,其特征在于,所述多条指令在被执行时进一步使所述移动计算设备在处于所述多个安全状态中的所述一个不同的安全状态下时,不提示所述用户输入对用户认证质询的响应。
6.如权利要求1所述的一种或多种非瞬态计算机可读存储介质,其特征在于,确定所述移动计算设备的所述情境状态包括基于来自所述移动计算设备的加速度计的传感器数据来确定所述移动计算设备的所述情境状态。
7.如权利要求6所述的一种或多种非瞬态计算机可读存储介质,其特征在于,确定所述移动计算设备的所述情境状态包括基于来自所述加速度计的所述传感器数据来确定指示所述移动计算设备当前是否由所述用户携带的情境状态。
8.如权利要求1所述的一种或多种非瞬态计算机可读存储介质,其特征在于,所述情境状态用于指示所述移动计算设备当前是否由所述用户或另一个人员携带,并且
其中从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述一个不同的安全状态包括响应于所述情境状态指示所述移动计算设备不再由所述用户或所述另一个人员携带而从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态。
9.如权利要求1所述的一种或多种非瞬态计算机可读存储介质,其特征在于,所述多条指令在被执行时进一步使所述移动计算设备基于所述多个安全状态中的所述一个不同的安全状态来执行安全功能。
10.一种用于对移动计算设备的用户进行认证的方法,所述方法包括:
基于传感器数据确定移动计算设备的情境状态,所述传感器数据来自所述移动计算设备的多个传感器中的至少一个;
使用所述情境状态来指示所述移动计算设备当前是否处于口袋中或者以其他方式由所述移动计算设备的用户携带;
确定所述移动计算设备的用户的多个认证状态中的当前用户认证状态;
确定所述移动计算设备的多个安全状态中的当前设备安全状态;以及
至少基于a)所述当前用户认证状态和b)所述情境状态确定是否从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态。
11.如权利要求10所述的方法,其特征在于,从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态包括响应于所述情境数据指示所述移动计算设备不再由所述用户携带而从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态。
12.如权利要求10所述的方法,其特征在于,提示所述用户输入对用户认证质询的响应包括响应于所述情境数据指示所述移动计算设备不再由所述用户携带而提示所述用户输入对用户认证质询的响应。
13.如权利要求10所述的方法,其特征在于,从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述一个不同的安全状态包括响应于所述情境数据指示所述移动计算设备当前处于所述口袋中、处于手提包中或者以其他方式由所述用户携带而从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态。
14.如权利要求13所述的方法,其特征在于,进一步包括在处于所述多个安全状态中的所述一个不同的安全状态下时,不提示所述用户输入对用户认证质询的响应。
15.如权利要求10所述的方法,其特征在于,确定所述移动计算设备的所述情境状态包括基于来自所述移动计算设备的加速度计的传感器数据来确定所述移动计算设备的所述情境状态。
16.如权利要求15所述的方法,其特征在于,确定所述移动计算设备的所述情境状态包括基于来自所述加速度计的所述传感器数据来确定指示所述移动计算设备当前是否由所述用户携带的情境状态。
17.如权利要求10所述的方法,其特征在于,所述情境状态用于指示所述移动计算设备当前是否由所述用户或另一个人员携带,并且
其中从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的所述一个不同的安全状态包括响应于所述情境状态指示所述移动计算设备不再由所述用户或所述另一个人员携带而从所述当前设备安全状态转变成所述移动计算设备的所述多个安全状态中的一个不同的安全状态。
18.如权利要求10所述的方法,其特征在于,进一步包括基于所述多个安全状态中的所述一个不同的安全状态来执行安全功能。
CN201910367255.4A 2014-12-27 2015-11-20 用于基于认证情境状态来对计算设备的用户进行认证的技术 Active CN110032845B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910367255.4A CN110032845B (zh) 2014-12-27 2015-11-20 用于基于认证情境状态来对计算设备的用户进行认证的技术

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US14/583,671 US9990479B2 (en) 2014-12-27 2014-12-27 Technologies for authenticating a user of a computing device based on authentication context state
US14/583,671 2014-12-27
CN201580064535.8A CN107004075B (zh) 2014-12-27 2015-11-20 用于基于认证情境状态来对计算设备的用户进行认证的技术
CN201910367255.4A CN110032845B (zh) 2014-12-27 2015-11-20 用于基于认证情境状态来对计算设备的用户进行认证的技术
PCT/US2015/061873 WO2016105738A1 (en) 2014-12-27 2015-11-20 Technologies for authenticating a user of a computing device based on authentication context state

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201580064535.8A Division CN107004075B (zh) 2014-12-27 2015-11-20 用于基于认证情境状态来对计算设备的用户进行认证的技术

Publications (2)

Publication Number Publication Date
CN110032845A CN110032845A (zh) 2019-07-19
CN110032845B true CN110032845B (zh) 2023-08-15

Family

ID=56151327

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201580064535.8A Active CN107004075B (zh) 2014-12-27 2015-11-20 用于基于认证情境状态来对计算设备的用户进行认证的技术
CN201910367255.4A Active CN110032845B (zh) 2014-12-27 2015-11-20 用于基于认证情境状态来对计算设备的用户进行认证的技术

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201580064535.8A Active CN107004075B (zh) 2014-12-27 2015-11-20 用于基于认证情境状态来对计算设备的用户进行认证的技术

Country Status (4)

Country Link
US (3) US9990479B2 (zh)
EP (2) EP3537322A1 (zh)
CN (2) CN107004075B (zh)
WO (1) WO2016105738A1 (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10932103B1 (en) * 2014-03-21 2021-02-23 Amazon Technologies, Inc. Determining position of a user relative to a tote
US9769169B2 (en) * 2015-09-25 2017-09-19 Intel Corporation Secure sensor data transport and processing
US10375083B2 (en) * 2017-01-25 2019-08-06 International Business Machines Corporation System, method and computer program product for location verification
WO2018208358A1 (en) * 2017-05-01 2018-11-15 Carrier Corporation System and method of mobile based user authentication for an access controlled environment
US10740494B2 (en) * 2017-09-06 2020-08-11 Google Llc Central and delegate security processors for a computing device
US11526745B2 (en) 2018-02-08 2022-12-13 Intel Corporation Methods and apparatus for federated training of a neural network using trusted edge devices
US11556730B2 (en) 2018-03-30 2023-01-17 Intel Corporation Methods and apparatus for distributed use of a machine learning model
KR102120674B1 (ko) * 2018-09-19 2020-06-10 엘지전자 주식회사 이동 단말기
US10972912B1 (en) * 2018-09-28 2021-04-06 Amazon Technologies, Inc. Dynamic establishment of trust between locally connected devices
US11099208B2 (en) * 2018-10-30 2021-08-24 Stmicroelectronics S.R.L. System and method for determining whether an electronic device is located on a stationary or stable surface
CN109871673B (zh) * 2019-03-11 2020-11-10 重庆邮电大学 基于不同上下文环境中的持续身份认证方法和系统
US11755704B2 (en) * 2020-03-31 2023-09-12 Fortinet, Inc. Facilitating secure unlocking of a computing device
US20240089254A1 (en) * 2022-09-08 2024-03-14 Cisco Technology, Inc. Proximity-aware multifactor authentication for continuous trusted access

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011030038A (ja) * 2009-07-28 2011-02-10 Nec Infrontia Corp 警備システム、phs親機、および警備方法
CN103155509A (zh) * 2010-08-04 2013-06-12 捷讯研究有限公司 用于基于动态个人信息来提供连续认证的方法和设备
CN104025505A (zh) * 2011-12-31 2014-09-03 英特尔公司 用于管理用户认证的方法、装置和系统

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8171298B2 (en) * 2002-10-30 2012-05-01 International Business Machines Corporation Methods and apparatus for dynamic user authentication using customizable context-dependent interaction across multiple verification objects
JP4967544B2 (ja) * 2006-09-01 2012-07-04 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
US20100146599A1 (en) * 2008-12-10 2010-06-10 Broadcom Corporation Client-based guest vlan
US8621583B2 (en) 2010-05-14 2013-12-31 Microsoft Corporation Sensor-based authentication to a computer network-based service
US20120108172A1 (en) * 2010-10-29 2012-05-03 Microsoft Corporation Personal digital context
US9229489B2 (en) 2011-05-03 2016-01-05 Facebook, Inc. Adjusting mobile device state based on user intentions and/or identity
US20120311695A1 (en) * 2011-05-31 2012-12-06 Kohlenberg Tobias M Method and apparatus for dynamic modification of authentication requirements of a processing system
US8856888B2 (en) * 2011-07-12 2014-10-07 Panasonic Corporation Personal authentication apparatus and personal authentication method
WO2013059464A1 (en) 2011-10-18 2013-04-25 Google Inc. Context-dependent authentication
US8892461B2 (en) 2011-10-21 2014-11-18 Alohar Mobile Inc. Mobile device user behavior analysis and authentication
US9619852B2 (en) 2012-04-17 2017-04-11 Zighra Inc. Context-dependent authentication system, method and device
US8886217B2 (en) * 2012-12-31 2014-11-11 Apple Inc. Location-sensitive security levels and setting profiles based on detected location
WO2014165230A1 (en) * 2013-03-13 2014-10-09 Lookout, Inc. System and method for changing security behavior of a device based on proximity to another device
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
KR20140134821A (ko) * 2013-05-14 2014-11-25 삼성전자주식회사 보안 방법 및 이를 구현하는 전자 장치
US9965611B2 (en) 2013-08-30 2018-05-08 Entit Software Llc Comparing real-time movements to pattern profile background
US9552684B2 (en) * 2014-02-04 2017-01-24 Secure Gravity Inc. Methods and systems configured to detect and guarantee identity for the purpose of data protection and access control
US9032498B1 (en) * 2014-05-25 2015-05-12 Mourad Ben Ayed Method for changing authentication for a legacy access interface

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011030038A (ja) * 2009-07-28 2011-02-10 Nec Infrontia Corp 警備システム、phs親機、および警備方法
CN103155509A (zh) * 2010-08-04 2013-06-12 捷讯研究有限公司 用于基于动态个人信息来提供连续认证的方法和设备
CN104025505A (zh) * 2011-12-31 2014-09-03 英特尔公司 用于管理用户认证的方法、装置和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于情境感知的智能手机安全管理方案设计与实现;黄蓓;《中国优秀硕士学位论文全文数据库信息科技辑》(第12期);第I138-13页 *

Also Published As

Publication number Publication date
EP3238115B1 (en) 2023-06-07
EP3537322A1 (en) 2019-09-11
EP3238115A1 (en) 2017-11-01
CN107004075A (zh) 2017-08-01
US10055556B2 (en) 2018-08-21
US20160188848A1 (en) 2016-06-30
US20180341756A1 (en) 2018-11-29
WO2016105738A1 (en) 2016-06-30
CN110032845A (zh) 2019-07-19
CN107004075B (zh) 2020-10-30
EP3238115A4 (en) 2018-05-23
US20160188853A1 (en) 2016-06-30
US9990479B2 (en) 2018-06-05

Similar Documents

Publication Publication Date Title
CN110032845B (zh) 用于基于认证情境状态来对计算设备的用户进行认证的技术
US9659158B2 (en) Technologies for determining confidence of user authentication
CN107609369B (zh) 基于面部识别登录到计算设备
US9578037B2 (en) Allowing varied device access based on different levels of unlocking mechanisms
JP6239808B1 (ja) 効率的な連続認証に対して挙動分析を使用するための方法およびシステム
CN104956715B (zh) 对移动设备上的行为特征的自适应观察
EP3058497B1 (en) Secure remote modification of device credentials using device-generated credentials
US20160253519A1 (en) Apparatus and method for trusted execution environment file protection
CN105933503B (zh) 一种信息处理方法和电子设备
US20140359712A1 (en) Electronic apparatus and control method
US10902101B2 (en) Techniques for displaying secure content for an application through user interface context file switching
CN116049813B (zh) 基于可信执行环境的触屏数据处理方法、设备及存储介质
US20220376902A1 (en) Resource access control
KR101984838B1 (ko) 휴대용 단말을 이용한 클라이언트 단말의 보안 관리 방법 및 시스템
Crawford Adventures in authentication–position paper
GB2587191A (en) Resource access control
KR20210056806A (ko) 소유기반 인증 및 클라이언트 취약점 분석을 통한 접근통제 시스템
Jadhav et al. Design of Lock Based Authentication System for Android Smartphone user.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant