CN110178153A - 降低的用户认证输入要求 - Google Patents

降低的用户认证输入要求 Download PDF

Info

Publication number
CN110178153A
CN110178153A CN201880006770.3A CN201880006770A CN110178153A CN 110178153 A CN110178153 A CN 110178153A CN 201880006770 A CN201880006770 A CN 201880006770A CN 110178153 A CN110178153 A CN 110178153A
Authority
CN
China
Prior art keywords
user
confirmation
data
geographical location
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201880006770.3A
Other languages
English (en)
Inventor
G·E·鲁索斯
C·S·迪肯斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN110178153A publication Critical patent/CN110178153A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/02Reservations, e.g. for tickets, services or events
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Human Resources & Organizations (AREA)
  • Strategic Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Economics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Tourism & Hospitality (AREA)
  • Marketing (AREA)
  • General Business, Economics & Management (AREA)
  • Quality & Reliability (AREA)
  • Operations Research (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Development Economics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Educational Administration (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Game Theory and Decision Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本文中公开的技术使得系统能够通过对经由通信服务(例如,电子邮件)发送给用户的交通数据和/或事件数据进行分析而在用户出行期间减少用户认证要求。系统可以分析数据,以便确定用户在将来某个时刻所处的位置,并最终验证针对这些确定的访问请求,以减轻在用户出行时对提高的用户认证要求的需求。例如,系统可以识别发送给用户的航空公司预订,并且使得用户能够确认她具有相应的出行计划。一旦她确认了她的出行计划,系统就可以避免针对与确认的出行计划相匹配的访问请求,从单因素认证(SFA)增加到多因素认证(MFA)输入要求的身份验证要求。

Description

降低的用户认证输入要求
背景技术
多因素认证(MFA)要求可以在各种情况下被触发,并且可能需要多层用户输入,这为用户成功访问帐户数据设置了障碍。虽然要求提高的登录要求通常带有保护用户信息免受未授权实体盗用的崇高意图,但迫使用户进入非常规认证协议可能会具有延迟或甚至完全限制授权用户访问的意外后果。例如,对于源自用户的家之外的访问请求,服务提供商可能要求安全问题的答案或来自安全密钥卡的代码作为与MFA相关联的附加因素。不幸的是,用户可能在出行时无意中将安全密钥卡留在家中或者仅仅忘记了安全问题的答案,因为它是在用户启动帐户时提供的,可能已经过去数年了。在任何一种情况下以及作为示例,在出国出行时,服务提供商将拒绝用户的登录请求,并且用户将无法访问帐户中保存的有价值信息。
针对这些和其它考虑,提出了本文所公开的内容。
发明内容
本文中描述的技术提供了降低的用户认证输入要求。概括地说,本文中公开的配置使得系统能够通过使用从经由通信服务(例如,电子邮件)发送给用户的预订(reservation)数据中提取的交通数据和/或事件数据在用户出行时减少用户认证要求。系统可以分析预订数据,以便确定用户在将来某个时刻所处的位置,并最终接着验证针对这些确定的访问请求,以减轻在用户出行时尝试访问敏感材料时对提高的用户认证要求的需求(例如,机密公司资产和/或受医疗隐私规则保护的材料)。例如,系统可以识别发送给用户的航空公司预订,并且使用户能够确认她具有相应的出行计划。一旦她确认了她的出行计划,系统就可以避免针对与确认的出行计划相匹配的访问请求,从单因素认证(SFA)增加到多因素认证(MFA)输入要求的身份验证要求。作为具体的例子,如果用户确认她计划于2017年4月24日从她的家乡旧金山出行到不列颠哥伦比亚省的温哥华(Vancouver,BC),那么系统可以允许她在温哥华使用正常的SFA输入要求来访问各种用户帐户,而不是在她的确认的出行时段期间响应于请求的外地来源来提高对MFA的要求。
交通数据标识指示用户可能的未来位置的交通段。示例性交通段包括但不限于预定的(scheduled)航班、火车、渡轮、公共汽车或汽车租赁上客/下客。交通数据可以指示与交通段相对应的日期和位置。举例来说,对于预定的航班,相应的交通数据可以指示具体的出发机场和时间以及具体的到达机场和时间(例如,通过例如KSFO的唯一机场标识符)。事件数据标识指示用户的可能未来位置的事件。示例性事件数据包括但不限于博览会、音乐会、专业培训活动的票据,酒店或其它住宿预订等。例如,事件数据可以包括电子邮件或附加到电子邮件的文件形式的事件票据,其中票据指示相应娱乐事件的日期、时间和位置。
在一些配置中,本文公开的技术使系统能够从通信服务(例如,电子邮件服务、即时消息传送服务等)中保持的或通过通信服务发送的电子通信中提取预订数据。例如,系统可以识别发送给用户的航空公司确认电子邮件,以提取指示预期用户在此期间将处于特定地理位置的未来时间段的预订数据。基于预订数据,系统可以生成确认包装器以提示用户确认她的出行计划,例如,确认她打算在未来的时间段期间处于特定的地理位置。尽管该具体实施方式提供了用户出于商业目的出行的示例场景(即,前往不列颠哥伦比亚省的萨里(Surrey,BC)为她的雇主主持会议),但是可以理解的是:本文描述的系统和技术可用于确认任何类型的出行计划,无论其起源的原因是什么。例如,可以发送确认包装器以确认休闲出行(例如到著名的电影主题度假村的家庭出行)以及商务出行(例如参加专业会议和/或继续教育研讨会以满足专业许可要求的出行)。在一些实施例中,系统可以被配置为:对源自与用户不相关联的位置的访问请求提供额外的审查。例如,系统针对源自用户的家或工作场所附近的访问请求可能仅要求SFA,而针对源自异常位置(即偏离预期用户所在的一个或多个位置或与之不一致的位置)的访问请求则要求MFA。基于用户对其出行计划的确认,系统然后可以在确认的时间段期间将源自确认位置的访问请求视为非异常的,并根据SFA来处理该请求。如本文将描述的,这样的确认位置和确认时间段可以用于定义临时信任区域,用户可以从该临时信任区域登录而不触发提高的认证协议。
在一些实施例中,通信服务可以依赖于认证服务来全部或部分地处理来自用户帐户的对访问电子通信的请求。例如,电子邮件服务可以依赖于认证服务来对访问由电子邮件服务管理的电子邮件帐户的请求进行处理。此外,在一些实施例中,通信服务可以是生产力套件(例如,G-SuiteTMOffice Suite或Office 365TM)的组件,使得在登录到通信服务(其可以是作为生产力套件的一部分提供的电子邮件服务)时,用户同时被授予对生产力套件的多个其它组件的访问。在一些实施例中,通信服务可以包括认证模块,该模块避免依赖于单独的认证服务。例如,通信服务可以是独立的电子邮件服务,具有纳入其中的其自己的用户认证能力。
为了说明的目的,考虑以下场景:用户在旧金山湾区域生活和工作但是定期进行商务出行,在此期间她需要完全访问她的工作电子邮件和生产力套件帐户的各种其它组件。为了在为雇员提供对其生产力套件帐户进行可靠且便捷访问的利益与保护敏感商业数据的利益之间取得平衡,用户的雇主可以允许她从非异常位置(例如她工作的市中心以及她在戴利城(Daly City)的家周围的预先确定的半径内)使用SFA来访问她的账户。但是,针对源自这些受信任位置或“信任区域”之外的访问请求,用户的雇主可以将认证要求提高到MFA级别。因此,如果用户请求从外地位置访问帐户,则雇主的认证策略可以要求她提供证明其身份的一个或多个附加因素。例如,她的雇主可以允许她通过输入单一密码来从家中或工作场所中访问她的帐户,但可能要求她提供密码并回答安全问题以便从某个异常位置访问帐户,因为此类尝试相对更有可能是欺诈性的,即由用户以外的人发起。然而,在用户出行的时间段期间,源自其物理位置附近的访问请求比源自她家乡的访问请求更有可能来自她。换句话说,永久信任区域(例如,家庭位置、工作地点等)可能由于其确认的离开永久信任区域的出行而暂时变为不活动的。针对各项考虑中的这一考虑,在本文中描述了临时信任区域的生成。
在一些配置中,系统可以对通过通信服务发送的预订数据进行分析,以确定用户何时可能不在家以及用户可能在何处。然后,基于用户位置的该先验知识,系统可以避免在这些预先识别和/或预先确认的出行计划期间增加登录用户帐户的负担。在一些配置中,系统可以使用提取的预订数据的部分来生成确认包装器,该确认包装器提示用户确认她的出行计划。确认包装器可以是电子邮件的形式,其指示基于某些预订数据(例如航空公司确认)已经识别出的可能的出行事件,提供可能的出行事件的相关细节,并且使得用户能够确认、否认和/或编辑可能的出行事件的细节。例如,确认包装器可以指示航空公司已经发送了以下确认电子邮件:从加利福尼亚州的旧金山(San Francisco,CA)到不列颠哥伦比亚省的温哥华(Vancouver,BC)的去程航班,以及从华盛顿州的贝灵汉姆(Bellingham,WA)回到加利福尼亚州的旧金山的返程航班。确认包装器还可以为用户提供一些手段,以便向系统指示她是否将在那些航班上出行和/或关于她在出行期间将在何处的附加数据。
基于用户对确认包装器的响应-如果有的话-系统还可以生成确认的行程,该行程将用户的出行计划的确认细节与用户的帐户相关联。例如,如果用户通过确认她将通过去程航班前往不列颠哥伦比亚省的温哥华(Vancouver,BC),并通过来自贝灵汉姆(Bellingham)的返程航班回到家中来回复确认包装器,则系统可以以与她的帐户相关的方式存储这些细节,以便源自不列颠哥伦比亚省的温哥华(Vancouver,BC)和贝灵汉姆(Bellingham)之间的登录请求在她出行的那一周可以被视为非异常的或预期的。在一些配置中,确认包装器可以使得用户能够提供关于她的出行的附加细节,以使系统能够以细化的准确度在认证协议之间进行选择。例如,确认包装器可以使得用户进一步指示她将在她位于不列颠哥伦比亚省的萨里(Surrey,BC)的工程公司的办公室附近度过五天,然后在国际边界以南的华盛顿州的布莱恩(Blaine,WA)与亲戚度过周末,然后最终在她返程航班那天的早上开车前往贝灵汉姆(Bellingham)国际机场。系统可以使用这些附加细节来细化确认的时间段和相应位置和/或临时信任区域的准确度。例如,基于这些附加细节,系统可能认为源自不列颠哥伦比亚省兰利镇(Langley,BC)的访问请求在整个出行期间是异常的,因为用户没有确认她将前往兰利并且还在她出行的最后一个周末将来自不列颠哥伦比亚省萨里(Surrey,BC)的访问请求视为不正常的,因为她表示了她在那时已经离开萨里了。
本文中公开的配置提供了对用户认证技术领域的显著改进,至少是因为传统认证系统在响应于访问请求来选择要施加的适当级别的认证要求时缺乏考虑预先确定的出行计划的能力。具体而言,传统的认证系统通常对其用户施加预先确定的和静态的认证要求,而不管其当前位置如何。然而,如果用户大部分时间都在她的家乡,那么大多数时间源自她家乡以外的访问她帐户的请求可能是不真实的,即不是由她发起的。因此,对源自异常位置的访问请求施加提高的认证要求是有益的,因为这样的请求可能是要渗透用户帐户的恶意企图。通常,增加认证要求包括增加用户为了访问她的账户必须要提供的证据因素的数量(例如,从一个因素到多个因素,或者从N个因素到M个因素,其中N和M是整数并且M大于N)。然而,存在各种原因导致用户在出行时可能无法提供这样的额外因素。例如,如果附加因素是在相对短的时间段内输入文本消息提供的代码,则由于电信运营商不兼容和/或关闭了“漫游”数据以避免严重的电信费用,用户可能无法这样做。因此,本文中公开的配置通过对与用户相关联的通信进行分析来改进传统的认证系统,以获得她将在何处以及在根据预先识别和/或预先确认的行程出行时何时减轻对她施加繁重的认证要求的必要性的先验知识。
应当理解,上述发明主题也可以实现为计算机控制的装置、计算机进程、计算系统,或者诸如计算机可读介质的制品。通过阅读下文的具体实施方式以及浏览相关联的附图,这些以及各种其它特征将是显而易见的。提供本发明内容以便以简化的形式对下面在具体实施方式中进一步描述的设计构思的选择进行介绍。
本发明内容并不旨在标识要求保护的发明主题的关键特征或重要特征,也不旨在表示本发明内容用于限制要求保护的发明主题的范围。另外,要求保护的发明主题不局限于解决本公开内容的任何部分中指出的任何或所有缺点的实现。
附图说明
参考附图描述了具体实施方式。在附图中,附图标记的最左边的数字标识该附图标记首次出现的附图。相同的附图标记在不同的附图中指示相似或相同的项目。对多个项目中的各个单独项目的引用可以使用具有字母序列中的字母的附图标记来指代每个单独的项目。对项目的一般引用可以使用没有字母序列的特定附图标记。
图1A示出了通过使用预订数据和/或确认的行程数据将预先确定的出行地点视为临时信任区域,在预先识别的出行计划期间提供降低的用户认证输入要求的系统的示例数据流场景。
图1B示出了通过使用预订数据和/或确认的行程数据将预先确定的出行地点视为临时信任区域,在预先识别的出行计划期间提供降低的用户认证输入要求的系统的另一个示例数据流场景。
图2示出了可以在用户设备上显示以传送如本文所述的确认包装器的细节的用户界面的各个方面。该示例用户界面可以显示在各种设备类型上,例如桌面式计算机、移动设备或设备的组合。
图3A示出了用户家乡的各种细节,其包括用户的多个永久信任区域和临时信任区域。
图3B示出了与用户的出行计划相关联的出行目的地的各种细节,其包括用户的多个临时信任区域。
图4A示出了第一用户界面的各个方面,该第一用户界面可以在出行期间在用户设备上显示以提示用户选择提高的认证协议以获得帐户访问权。
图4B示出了第二用户界面的各个方面,该第二用户界面可以在出行期间在用户设备上显示以通知用户由于对其出行计划的先验知识将不会使用提高的认证。
图5是通过针对与用户相对应的确认的行程数据对访问用户帐户的请求进行验证来在各个认证协议之间进行选择的说明性过程的流程图。
图6示出了用于能够执行如本文所述的通信服务和/或认证服务及其任何程序组件的计算机的示例计算机体系结构的附加细节。
具体实施方式
以下具体实施方式描述了在各个用户的预先识别的出行计划期间实现降低的用户认证输入要求的技术。一般而言,本文公开的配置通过对发送到用户账户的通信进行解析以提取例如与用户相对应的交通数据来减少在预先识别的出行计划期间认证用户所需的用户输入量。例如,本文公开的技术可以使计算系统能够识别交通数据并使用它来生成确认包装器,该确认包装器使得用户能够确认从交通数据中提取的特定出行细节。基于对确认包装器的响应,系统然后可以生成与出行细节相对应的确认行程。然后,在用户出行时,系统可以针对确认的行程来对帐户访问请求进行验证,以便在多个认证协议之间进行选择。
为了说明的目的,考虑以下场景:用户在旧金山湾区域生活和工作但经常出差去城外,同时仍然需要完全访问她的工作电子邮件和/或生产力套件帐户的各种其它组件。系统可以确定用户经常从她的家中和工作场所登录她的用户帐户,使得源自这些位置的登录尝试具有很高的真实概率,例如,是由她而不是未经授权的第三方发起。在某些情况下,用户甚至可能已指示系统信任这些位置。因此,这些位置可以由系统指定为信任区域,使得与源自这些信任区域之外的请求相比,源自这些位置的请求可以需要相对较不繁琐的认证协议。例如,可允许用户从家中或工作场所使用单条证据(例如输入密码或仅拥有特定计算设备)访问她的帐户,但从外地访问她的账户可能需要提供多条证据,除非系统提前知道用户的出行计划。具体而言,在没有预先识别和/或预先确认的出行计划的情况下,系统可能有很少或者没有关于用户何时将在何地的信息。系统可能仅仅知道用户经常在家或在工作场所,因此,与其它请求相比,可以足够信任来自这些位置的请求以要求相对较少的认证协议。然而,通过主动从用户的通信账户提取数据以确定用户何时将在何处,系统可以获得对源自与系统对用户出行计划的先验知识相对应的位置和时间的访问请求的信任。
为了说明本文公开的技术的各方面,图1A-图1B示出了在预先识别的出行计划期间提供降低的用户认证输入要求的系统的示例性数据流场景。图1A-图1B的场景包括通信服务102,其存储与用户账户(例如用户A 110A的电子邮件或即时消息传送账户)相对应的通信数据104。通信服务102可以从商业设备108接收发送到与用户A 110A相关联的用户账户的至少一些预订数据106。例如,响应于用户A 110A操作用户设备A 114A上的网络浏览器模块112A来与商业设备108交互,商业设备108可以生成至少一些预订数据106并将其发送到用户帐户。举例来说,商业设备108可以部署在线预约服务,该在线预约服务使得用户A110A能够预约航班和/或购买音乐会门票,然后触发预订数据106被发送到用户账户。在一些情况下,用户A 110A可以在不使用通信服务102的情况下与商业设备108交互,例如,交互数据116可以在不通过通信服务102的情况下在设备114A和108之间传递。例如,在一些场景中,商业设备108可以包括服务器和/或虚拟机,其被配置为部署在线航班预约服务以使得用户能够经由网络浏览器模块112A直接搜索航班选项和购买机票(例如,或者向用户提供对互联网的访问的任何其它模块)。因此,尽管预订数据106最终可由通信服务102访问,但是在某些情况下,这可能仅在通过除了通信服务102之外的手段(例如在线和/或电话购票)进行预订之后才发生。
尽管这些示例场景描述了针对访问通信服务102上的用户帐户的请求在多个认证协议124之间进行选择,但可以理解的是,本文公开的技术可以应用于针对与用户出行计划的先验知识相对应的帐户访问请求,期望减少用户认证要求的任何场景。例如,本文公开的技术可以应用于访问金融账户的请求(例如,账户持有人在交易点刷信用卡或借记卡),或者在出行时访问虚拟专用网(VPN)帐户的请求(例如,雇员在出行时试图“VPN接入”工作资源)。
图1A的示例示出了以下场景:系统100A包括认证服务118,该认证服务118对与登录或以其它方式访问通信服务102(或其它服务,就此而言例如刷信用卡)相关联的访问请求120A、120B、120C(本文中可以统称为120)进行认证。例如,用户A 110A可以与用户设备A114A交互以使得通信模块112B(例如,本地或基于网络的电子邮件应用,诸如GmailTM网络邮件服务或)向认证服务118发送访问请求120A。认证服务118可以包括认证模块122,其通过基于访问请求120A的特性在多个认证协议124之间进行选择来处理访问请求120A。例如,为了确定访问请求120A是异常的还是预期的,认证模块122可以确定访问请求120A的起源的地理位置和/或IP地址,然后将其与和用户A 110A相关联的信任区域数据126进行比较来选择认证协议124中的一个合适的认证协议。信任区域数据126可以指示用户的先前已知位置、用户访问这些位置的频率、已经访问过这些位置的新近度,以及与确认的用户出行计划相对应的确认的临时位置。源自“信任区域”(例如用户A 110A的家或如本文所述的临时信任区域)的访问请求120A可以触发认证模块122选择第一认证协议优于可以在其它情况下选择的一个或多个其它认证协议。在一些实施例中,认证模块122被配置为:针对源自信任区域的访问请求120选择N因素认证协议,否则选择M因素认证协议—M和N是整数,并且M大于N。例如,系统100A可以基于这样的前提来设计:与源自用户A110A不可能所在的位置的请求相比,源自用户A 110A可能物理上存在的位置的请求相对更有可能是真实的。因此,在所有其它条件相同的情况下,与访问请求120A源自用户A 110A从未去过的城市(并且没有表明她将要去)的情况相比,源自用户A 110A的家或工作场所的访问请求120A的特性可以使得系统100A相对更多地信任该访问请求120A。
由于源自用户A 110A的当前物理位置附近的请求120的特性可以增加请求120的真实性概率,系统可以利用指示用户A 110A将来某个时间可能在何处的确认的行程数据128生成临时信任区域(例如,在与用户出行时相对应的一段时间内保持有效的信任区域)来增强信任区域数据126。例如,一旦通信服务102接收到预订数据106,系统100A就可以分析预订数据106以识别用户A 110A将要前往何处。虽然预订数据106可以以多种形式出现,但示例性形式是由航空公司或第三方预约服务发送的航空公司预订确认电子邮件的形式,以确认由用户A 110A做出的或代表用户A 110A做出的航班预订。在一些实施例中,系统100A可以对这样的确认电子邮件进行解析以识别用户A 110A的出行计划的具体细节。例如,系统100A可以被配置为:基于特定实体用来自动生成确认电子邮件的预先确定的格式从确认电子邮件的字段中提取数据。在预订数据106包括交通数据106(1)(其包括航班确认)的场景中,系统100A可以提取数据,例如出发机场标识符和相应的出发时间以及到达机场标识符和相应的到达时间。
虽然预订数据106可以包括指示用户将来某个时间将在何处的任何数据,但是预订数据106的示例性形式包括标识指示用户的可能未来位置的交通段的交通数据106(1)和标识指示用户的可能未来位置的事件的事件数据106(2)。例如,交通数据106(1)可以包括与用户A 110A将使用的交通段相关联的任何类型的数据,例如,航空公司航班、火车、渡轮、公共汽车和/或汽车租赁数据。在一些情况下,交通数据可以指示与交通段相对应的时间和位置。此外,事件数据106(2)可以包括用户将处于特定事件的任何类型的指示。事件数据106(2)的示例性形式可以包括:响应于用户110A已经完成对事件的票务(例如,用户将出于专业目的访问的投资或技术会议和/或用户将在招待专业客户的专业体育赛事的门票)的订单而从事件票务供应商向用户110A发送的确认电子邮件。在各个实施例中,系统100A可以被配置为:搜索发送给用户A 110A的通信主体内和/或附加到这种通信的电子文件或文档内的预订数据106。
在一些实施例中,系统100A可以对补充数据130进行分析,尽管没有详细说明具体的行程段或事件,但仍指示用户A 110A未来将在某个特定地点。例如,系统100A可以对从用户B 110B向用户A 110A发送的电子邮件进行分析,并识别用户A 110A将要出行的指示。出于说明的目的,考虑用户B 110B向用户A 110A发送电子邮件的场景,邮件中写道:“HeyKat,if you could go ahead and head up next week’s meeting in Surrey-thatwould be great.I’ve booked your flight-see attached.Thanks,B.Lumbergh.(嘿,Kat,如果你可以继续并参加下周在萨里的会议-这将太棒了。我预订了你的航班-见附件。谢谢,B.Lumbergh。)”在这样的场景中,系统100A可以对通信进行分析并识别它指示用户A110A将要出行,尽管缺乏关于何时何地的精确细节。因此,系统100A可以对通信数据104进行进一步分析以获得关于可能的出行事件的附加细节,例如通过对附加到电子邮件的任何文件进行分析以提取关于出行的附加细节。例如,在用户B 110B已经将文件(例如,航空公司确认电子邮件或pdf机票或酒店预订确认)附加到电子邮件的场景中,系统100A可以访问附件以从电子邮件的正文和/或从任何附件中提取预订数据106。
在一些实施例中,系统100A可以被配置为:从与用户A 110A的帐户分开的用户B110B的用户帐户中提取与用户A 110A相关联的预订数据106。出于说明的目的,考虑用户B110B代表他自己并代表用户A 110A进行出行预订的场景。在这种场景下,预订数据106可以被发送到用户B 110B的用户帐户而不是用户A 110A的用户帐户。因此,单独对用户A 110A的帐户进行扫描可能无法发现任何预订数据106。然而,在对与用户B 110B的帐户相关联存储的通信数据104进行分析时,系统100A可以识别检测到的预订数据106中的一些预订数据与不同于用户B 110B的用户相对应。然后,系统100A可以对这样的预订数据106进行解析以确定未识别出的出行者的姓名,以便将该姓名与和包括用户A 110A的用户帐户的多个用户帐户相关联的用户数据132的数据库进行比较。使用用户数据132,系统100A可以确定在用户B 110B的帐户上识别出的预订数据106中的至少一些预订数据与用户A 110A相对应。
在一些实施例中,系统100可以使用预订数据106和/或补充数据130的提取的部分来生成确认包装器134,以提示用户确认她的出行计划,例如,确认她打算在未来某个时间段处于某个特定的地理位置或在其附近。例如,简要参考图2,确认包装器134可以是发送到通信模块112B的电子邮件的形式,其目的是要求用户A 110A确认(或拒绝)出行计划。在一些情况下,确认包装器134可以醒目地显示预订数据106的相关部分,例如,与识别出的一个或多个航班预订相关联的日期、时间、位置、航空公司和/或航班持续时间。虽然确认包装器134可以包括各种类型的数据并且可以以各种形式呈现,但示例性确认包装器134可以使得用户A 110A能够确认出行细节并选择减少出行时登录她的帐户所需的用户输入的量和/或选择不允许减少用户输入。
如图2所示,通过点击“YES(是)”按钮,用户A 110A可以确认她将于2017年4月24日早上7点出发从旧金山国际机场(KSFO)前往温哥华国际机场(CYVR),然后于2017年4月30日上午11:30从贝灵汉姆(Bellingham)国际机场(KBLI)出发返回SFO。在图示场景中,通过点击“YES(是)”,用户A 110A还将选择允许系统以与否则针对源自温哥华地区的访问请求所触发的用户认证协议相比较不繁琐的用户认证协议来验证访问请求120,该访问请求在起源的地点和时间方面与她的出行计划相匹配。换句话说,通过点击“YES(是)”,用户A可以允许系统临时信任与她的出行计划相对应的位置或区域,本文中称为“临时信任区域”。相反,通过点击“NO(否)”按钮,用户A 110A可以选择不将源自她打算前往的位置的请求120临时视为相比这些位置否则会被视作的方式相对更加受信任(即视为信任区域)。如图2中进一步所示,在一些场景中,确认包装器134可以使得用户A 110A能够在确认之前编辑她的行程。例如,通过点击“EDIT ITINERARY(编辑行程)”按钮,用户A 110A可以编辑她的出行细节,然后,一旦手动输入了编辑,她就可以确认她编辑的行程,以便系统针对其来验证访问请求120。将参考图3更详细地讨论该特征。
现在回头参考图1A,在一些配置中,系统包括至少一个应用程序编程接口136(“API 136”),其公开以下接口:通过该接口,通信服务102可以向用户设备114A-114C和/或商业设备108和/或认证服务118发送数据以及从它们接收数据。通过使用该数据接口和其它接口,本文中描述的设备和服务可以用这样的方式来传送和处理数据,以便实现本文中公开的功能。例如,API 136可以使通信服务102能够将确认包装器134发送到用户设备A114A处的通信模块112B,然后从通信模块112B接收回确认的行程数据128。在一些实施例中,API 136还可以提供对行程管理器138的访问,以使得用户A 110A能够校正在确认包装器134内提供的出行细节和/或提供系统尚不知晓的额外细节。例如,假设用户A 110A仍打算前往不列颠哥伦比亚省温哥华(Vancouver,BC),但已致电航空公司ABC将她的离港航班提前一周至2017年4月17日。在没有发送更新的预订数据106以反映该更改的情况下,用户A110A可以访问行程管理器138来手动地向系统提供该信息。
一旦获得该信息,则可以将确认的行程数据128发送到认证服务118,以使得能够针对用户的可能物理位置的先验知识来验证访问请求120。例如,假设在用户A 110A试图访问她的通信数据104(例如,电子邮件帐户)时,通信模块112B将访问请求120A发送到认证服务118。根据各种因素,认证服务118然后可以选择认证协议124中的一个或多个认证协议用于处理访问请求120A。例如,假设用户A 110A通过对确认包装器134中提供的出行细节进行确认并选择降低的认证要求来对确认包装器134进行响应。然后,如果访问请求120A在确认的出行时段期间并且在不列颠哥伦比亚省的温哥华(Vancouver,BC)和贝灵汉姆(Bellingham)之间的临时信任区域内发起,则系统可以选择与第二认证协议相比相对较不严格的第一认证协议。相反,如果访问请求120A在确认的出行时段之外源自不列颠哥伦比亚省的温哥华(Vancouver,BC)或者来自任何临时信任区域之外,则系统可以选择第二认证协议。然后,认证模块122可以根据所选择的协议来处理访问请求120A,以生成指示访问请求120A是否已被成功认证的许可数据140。在一些实施例中,认证服务118可以将许可数据140发送到通信服务102,以用于基于访问请求120A来确定是否授权对用户设备A 114A的访问。例如,许可数据140可以使通信服务102能够基于访问请求120A是否通过相应的认证协议来授权或拒绝访问。
在一些实施例中,认证模块122可以使用确认的行程数据128来选择认证协议124中的一个或多个认证协议以用于处理访问请求120B,访问请求120B与不同于通信模块112B的“其它”程序模块112C相对应。例如,其它程序模块112C可以是与通信模块不同的生产力模块,但是其是与通信模块112A相同的生产力套件的组件。因此,在一些实施例中,通过经由第一程序模块(例如,通信模块112B)确认她的出行计划,用户A 110A可以免除针对与作为第一程序模块的公共用户帐户相关联的程序模块的整个生产力套件输入额外安全数据的负担。可以向用户A 110A提供针对其的同时访问的示例性程序模块包括但不限于:文字处理模块、电子表格模块、日历模块、在线协作模块、文档共享模块、基于云的文档存储模块或者与生产力套件兼容的任何其它类型的模块(例如G-SuiteTMOfficeSuite或者Office 365TM)。
在一些实施例中,认证模块122可以逐个设备地在认证协议124之间进行选择,使得在所有其它事项相同的情况下,由用户设备B 114B发送的访问请求120C可以得到不同的处理,并且遭受与用户设备A 114A发送的访问请求120B不同的认证协议。例如,即使访问请求120B与确认的出行计划(例如,其源自用户指示她将所处的地点和时间)相对应,认证模块122可以区分设备114A和114B之间的信任级别并相应地选择不同的认证协议。作为具体示例,用户A 114A的雇主可能已经向用户A 110A发布了用户设备114A,因此可以选择与不和其业务相关联的个人设备相比更信任该设备。在一些实施例中,认证模块122可以逐个设备地在认证协议124之间进行选择,使得在所有其它事项相同的情况下,先前已经与用户A110A相关联的那些设备可以得到不同的处理,并且遭受与先前已经和用户110A不相关联的其它设备不同的认证协议。例如,响应于确认包装器134提供确认的行程数据128可以减少对来自系统预先知道与用户110A相关联的任何设备的访问请求进行验证所需的用户输入量。
在一些实施例中,由用户A 110A经由用户设备114A提供的确认的行程数据128可以由认证模块122使用,以便在用于对源自与用户B 110B相对应的用户设备C 114C的访问请求120D进行处理的认证协议124之间进行选择。例如,如图2所示,在某些情况下,确认包装器可以使得用户A 110A能够通过提供在她的商务出行期间将与谁一起出行的指示以及其它细节来编辑行程数据。在用户A 110A提供关于她的出行的附加细节(包括用户B 110B将与她一起出行)的情况下,则由用户A 110提供的确认的行程数据128可以进一步与用户B110B的用户帐户相关联,而无需用户B 110B方面参与和/或用户B 110B方面的关于此的知识。可以理解的是:这样的特征将使同事和/或经理能够根据任何特定行程减少出行的整个个人群体的认证负担。例如,在用户A 110A花时间手动编辑和确认行程数据时,用户B 110B准确输入相同的出行细节将是多余的活动。在一些实施例中,确认的行程数据128可以由本身不会参与相应的出行事件的用户生成。例如,在各种情况下,用户A 110A和用户B 110B的管理者、同事或秘书可以代表他们来确认行程。
现在转向图1B,该示例示出了系统100B包括通信服务102的场景,该通信服务102包括内置的认证模块122,该认证模块122用于通过基于访问请求120A的特性在认证协议124之间进行选择来对访问请求120A进行处理。例如,如关于图1A-图1B所讨论的,认证模块122可以确定访问请求120A的起源的地理位置和/或IP地址,然后将其与和用户A 110A相关联的信任区域数据126进行比较来选择认证协议124中的一个合适的认证协议。源自“信任区域”(例如用户A 110A的家或工作场所)的访问请求120A可以触发认证模块122选择第一认证协议优于可以在其它情况下选择的一个或多个其它认证协议。可以理解,系统100B与系统100A有许多共同之处,因此,为简洁起见,不需要针对图1B详细讨论这些相似之处。还可以理解,这些系统之间存在若干差异;即,由于系统100B将认证模块122并入通信服务102中,因此缺少关于图1A描述的认证服务118的存在以及其它设备与其的交互。例如,与图1A的场景相反,在通信服务102处对访问请求进行处理,因此,不需要在不同服务之间传递许可数据。
图2示出了可以在用户设备114A上显示以传送如本文所述的确认包装器134的细节的用户界面200的各个方面。在图示场景中,确认包装器134已被发送到用户A 110A的电子邮件收件箱,以便将预订数据106中的一些或所有传送给用户A 110A并提示她提供相应的输入。例如,如图所示,确认包装器134显示关于航空公司ABC上的明显去程航班和航空公司XYZ上的明显回程航班的相关细节,这些细节已经从确认电子邮件中提取,该确认电子邮件是从预订服务(例如,航班搜索、 AmericanUnited或任何其它预订服务)发送给用户A的。在一些实施例中,确认包装器134还可以使得能够直接访问从预订服务发送的原始消息。例如,确认包装器134可以提供具有文本“点击这里以查看原始预订服务消息”的按钮,其超链接到原始消息。此外,确认包装器134还可以指示提供确认的行程数据128的好处,例如,现在确认出行细节可以避免用户在旅途中遭遇繁琐的登录要求。
确认包装器134还可以提供各种输入选项,如下所示提取的预订数据,即航班细节。例如,确认包装器134可以向用户提供下列选项中的一个或多个选项:(i)确认所显示的数据并选择减少登录协议,例如通过点击“YES(是)”,(ii)在选择之前编辑行程细节,例如通过点击“EDIT ITINERARY(编辑行程)”,以及(iii)选择完全退出,例如通过点击“NO(否)”。在某些场景中,当用户确认某些行程数据时(例如,通过点击“YES(是)”或通过点击“EDIT ITINERARY(编辑行程)”并确认手动输入的数据而不是显示的数据或者除了显示的数据之外),系统可以自动生成与各种确认的出行细节相关联的日历事件。例如,可以为每个航班和/或任何其它数据创建日历事件(例如在事件数据106(2)(例如,来自酒店预订确认电子邮件)中识别的酒店预订)。
图3A示出了用户家乡302的各种细节,其包括用户A 110A的多个永久信任区域304(1)-(N)以及与确认的行程数据128相对应的临时信任区域306(1)。信任区域可以由各种特性来定义,例如,围绕相关地标的区域或用户A 110A经常从其登录账户的具体IP地址。信任区域所基于的示例性地标包括但不限于在戴利(Daly)城附近的用户A 110A的家、她在旧金山市中心的雇主总部、她经常访问并且从其登录工作资源的最喜欢的咖啡店和/或用户经常使用的出行路线(例如工作场所和家之间的公共汽车路线)。在一些实施例中,认证模块122可以分析访问请求以确定相应的起源地点和时间,以便在认证协议124之间进行选择。因此,在访问请求120A在其活动的时段期间源自永久信任区域304和/或临时信任区域306的场景中,与否则将选择的认证协议相比,认证模块122可以为用户A 110A选择相对较不繁琐的认证协议来进行登录。例如,参考图3A,取决于认证模块122的具体设置或参数(例如,由用户或用户雇主的IT部门设置),可以基于SFA来对源自信任区域304(1)内的第一访问请求授权,而源自信任区域之外的斯威尼岭(Sweeny Ridge)区域的第二访问请求可能需要MFA以便得到授权。因此,可以理解,当用户从信任区域登录时,可以减轻用户所经历的认证负担。还可以理解,基于本文描述的技术,可以减轻用户由于繁重和/或很少使用的认证因素而无意中被拒绝访问她的帐户的可能性。
如本文所使用的,对认证所需的任何数量的因素的引用是从用户的角度来看的。例如,声明认证模块122仅需要来自用户的SFA来从她的家中登录仅仅意味着用户仅需要提供认证证据的单个因素—而不是认证模块122仅依赖于单个证据因素。实际上,访问请求120源自信任区域内的确定本身可以被认为是认证证据的因素,使得虽然认证对用户来说似乎仅仅基于SFA,但认证模块122用其自己的确定来补充由用户提供的因素以执行MFA。
图3B示出了与本文描述的用户A的出行计划相关联的用户A 110A的出行目的地308的各种细节。出行目的地308包括多个临时信任区域306(2)-306(N),其基于预订数据106和/或确认的行程数据128。图3A还示出了临时信任区域306(1),其基于预订数据106和/或确认的行程数据128。现在一起参考图3A-图3B,认证模块122可以针对临时信任区域306(1)-306(N)以及相应的有效时间段来验证访问请求120。例如,可以基于确认的行程数据128在位置和时间二者方面定义临时信任区域306,使得与在该时间段之外源自这些地理位置或者完全在这些地理位置之外的请求相比,可以向在时间段期间发起并且来自用户A确认她将所在的地理位置的访问请求120分配不同的认证协议。
在一些实施例中,行程管理器138使得用户能够通过添加、删除和/或修改具体行程数据来手动编辑行程,例如,添加指示用户将入住的酒店以及在哪些日期入住的住宿数据,指示用户在出行期间将花费时间的地点的兴趣点数据。为了说明的目的,考虑用户A110A将首先从旧金山国际机场(KSFO)飞往温哥华国际机场(CYVR),然后将前往贝灵汉姆(Bellingham)国际机场(KBLI)完成返回行程到KSFO的场景。可以理解,用户A可以通过许多方式完成此行程,并且在没有额外输入的情况下,可能需要系统在行程期间将相对大的信任区域分配给在CYVR和KBLI之间延伸的区域。然而,随着关于用户A 110A将在何时位于何处的特殊性增加,因此保持她的帐户的高安全性标准的有效性也可以增加,同时减少她登录她的帐户的负担。因此,在一些实施例中,行程管理器可以使得用户A能够输入关于她的出行计划的额外细节。例如,她可能会指示在抵达不列颠哥伦比亚省的温哥华(Vancouver,BC)的CYVR机场后,她将立即获得一辆已预订的租车,并直接开往位于不列颠哥伦比亚省的萨里(Surrey,BC)的工程公司的办公室。因此,可以分别针对CYVR机场和她位于不列颠哥伦比亚省的萨里(Surrey,BC)的工程公司的办公室建立临时信任区域306(2)和306(3)。用户A110A还可以指示她将入住酒店,因此可以针对酒店建立另一个信任区域306(4)。最后,她可能会指示在她出行的第二天的早晨到最后一天,她将开车去华盛顿州的布莱恩(Blaine,WA)的亲戚家过夜,然后开车前往KBLI机场返回家中。基于手动输入的行程数据,可以使系统能够生成临时信任区域306,其具有比没有这样的数据时更高的准确度。
在一些实施例中,一个或多个信任区域可以由受信任的兴趣点周围的预先确定的半径来定义。例如,永久信任区域304(1)和临时信任区域306(3)和306(5)由围绕相应兴趣点的圆形区域(例如,用户A的家、她的亲戚家和她雇主在萨里(Surrey)的办公室)定义。此外,在一些实施例中,半径的距离可以基于位置类型。例如,由于人通常可能常去他们家周围的许多地方但是可能倾向于在不熟悉的城镇中更靠近亲戚家,所以系统可以基于比用来定义围绕用户亲戚家的信任区域306(5)的半径更大的半径来定义围绕用户A的家的信任区域304(1)。在一些实施例中,一个或多个信任区域可以由不规则边界来定义,例如由定义都市区域的边界来定义。例如,永久信任区域304(2)可以由旧金山市中心的金融区的界限来定义,其可以具有如图所示的不规则边界。在一些实施例中,可以根据一个或多个具体IP地址而不是地理位置或区域来定义一个或多个信任区域。例如,与某些类型的位置相关联的那些临时信任区域(例如,机场、酒店或用户喜欢的地方(例如,与信任区域304(N)相关联的咖啡店)可以仅限于与那些位置相对应的IP地址,而不是那些地方周围的地理区域。
在一些实施例中,行程管理器138可以被配置为:提示用户在出行时段期间补充行程数据。例如,在用户A 110A尚未在她的出行之前确认她将住在哪个酒店的场景中,来自任何已经定义的临时信任区域之外的访问请求可以触发行程管理器138和/或认证模块122以提示用户为初始登录完成提升的认证协议,然后为她提供在其出行期间生成相应临时信任区域的选项。例如,在使用MFA协议成功登录后,可以经由用户界面来询问用户A 110A,“我们希望您在不列颠哥伦比亚省的温哥华(Vancouver,BC)的行程顺利。为了帮助生产力套件保持您的数据安全而不会给您带来一整周的负担,请告诉我们您是否打算本周在该地点度过更多时间。如果是,那么我们将不会再问您这些安全问题—如果不是的话我们将会保护您的数据。”
在一些实施例中,可以在出行时段期间暂时禁用不与确认的行程数据相对应的信任区域。例如,在用户A 110A在2017年4月24日这周期间前往不列颠哥伦比亚省的温哥华(Vancouver,BC)然后在30日返回的场景中,永久信任区域304(1)-304(N)可以被暂时中止或被视为不受信任的,以触发在出行期间针对与这些地方相关联的请求的提高的认证。这样的特征可能是有益的,因为用户确认她将在此时段期间前往不列颠哥伦比亚省的温哥华(Vancouver,BC)在她发起该请求的意义上来说降低了在同一时段期间访问她的账户的请求是可信的概率。
图4A示出了当系统缺乏用户出行计划的先验知识时,响应于源自城外(例如,在图3A中描绘的区域之外)的访问请求,可以在用户设备114A上显示的第一用户界面400的方面。例如,在用户A 110A如本文所述前往不列颠哥伦比亚省的温哥华(Vancouver,BC)而系统不具有对其计划的先验知识的场景中,认证模块122可以选择MFA协议并提示用户A 110A提供其身份的额外证据因素。如图所示,这样的因素可以包括表明拥有智能卡或电话中的任一个。在各种实施例中,可以使用这样的附加因素来代替或者补充用户提供的另一条认证证据,例如,输入所记忆的密码。图4B示出了响应于在确认的出行时段(例如,2017年4月24日至30日)期间源自临时信任区域306中的一个之内的访问请求,可以在用户设备114A上显示的第二用户界面402的方面。例如,在用户A 110A如本文所述前往不列颠哥伦比亚省的温哥华(Vancouver,BC)并且尝试从可信位置306(3)登录她的工作资源(例如,通信服务102)的场景中,认证模块122可以简单地提供欢迎消息并通知用户A 110A由于系统对其出行的先验知识,因此将不需要提高的认证。
图5是通过针对与用户相对应的确认的行程数据对访问用户帐户的请求进行验证来在各个认证协议之间进行选择的说明性过程500的流程图。参考图1A-图4B描述过程500。过程500被示为逻辑流程图中的块的集合,其表示可以以硬件、软件或者它们的组合实现的操作序列。在软件的上下文中,块表示计算机可执行指令,当由一个或多个处理器执行时,执行所阐述的操作。通常,计算机可执行指令包括执行或实现特定功能的例程、程序、对象、组件、数据结构等。对操作进行描述的顺序不应当被解释为限制,并且可以以任何顺序和/或并行地对任何数量的所描述的块进行组合以实现过程。此外,在各个实施例中,操作可以由如关于图1B描述的单个系统来执行,或者操作可以跨越如关于图1A所描述的多个系统来执行,在这种情况下,可能需要实现如图1A所示的系统之间的各种通信。除了过程500之外,应该相应地解释贯穿本公开内容描述的其它过程。
在框501处,系统可以接收与用户110A相关联的数据,例如预订数据106和/或补充数据130。在一些场景中,可以从商业设备108(诸如服务器计算机、膝上型计算机、桌面式计算机或任何其它类型的计算设备)接收预订数据106。例如,在一些实施例中,商业设备108可以是可扩展的基于云的服务器资源,其是通过预订预约服务以订阅为基础来租用的。在一些其它场景中,可以从与用户B 110B相关联的用户设备114C接收预订数据106。尽管在附图中示出为膝上型计算设备,但用户设备114C可以是服务器计算机、膝上型计算机、桌面式计算机或任何其它类型的计算设备。如本文所述,预订数据106的示例性形式包括但不限于航空公司预订确认电子邮件或附加到发送到用户A 110A的帐户的电子邮件的音乐会门票。
在框503处,系统可以对预订数据进行分析以识别预期用户A 110A在特定地理位置或在特定地理位置附近的预期时间段。例如,系统可以识别航空公司旅程线路和相关联的出发位置和时间以及到达位置和时间。基于该识别的信息,系统可以“预期”用户A 110A将在特定时间处于特定位置或附近。例如,基于图2中所示的预订数据106,系统可以“预期”用户A 110A将于2017年4月24日在太平洋标准时间大约上午9:30到达不列颠哥伦比亚省的温哥华(Vancouver,BC)。尽管本说明书多次引用航空公司预订作为示例性预订数据,但应当理解,即使缺少出行的具体细节,预订数据可以包括指示可能的用户出行的任何类型的数据。例如,系统可能会对收到的电子邮件进行分析,例如“Dear Kat,I’m so excited tobe back at the lodge with you this fall.I have reserved the entire propertyfor our family from December 3rd to the 15th and the snow predictions are allawesome-see you on the slopes!”(亲爱的Kat,我很高兴今年秋天和你一起回到小屋。我从12月3日到15日为我们的家人预订了整座房子,关于雪的预测很棒-在斜坡上见!)在这种场景中,系统可以将该消息识别为对未来出行的指示并提示用户提供额外信息以填补任何空白。
在框505处,系统可以基于其对预订数据106的分析来生成确认包装器,以提示用户确认所识别的任何预期时间段和位置和/或提供关于来自框503处的操作的任何发现的附加细节。例如,继续方才的上一个示例,系统可以生成确认包装器,其陈述道:“Productivity Suite has noticed you may be out of town from DEC 3-15.Is thisright?To help us keep your stuff safe without hindering your own access toit,please let us know where you’re headed and when as well as anything elseyou’d like us to know,e.g.how you plan to get there.”(生产力套件已经注意到你可能会在12月3日至15日之间出城。这是正确的吗?为了帮助我们确保您的事物安全而不妨碍您自己访问它,请告诉我们您要前往的地点和时间以及您希望我们知道的任何其它内容,例如,你打算如何到达那里。)
在框507处,系统可以生成确认的行程数据128,其指示与用户的出行计划相关联的各种细节。例如,用户可以通过使用行程管理器138来回复确认包装器,以通知系统她将在即将到来的12月3日前往Whistler滑雪场。基于这样的回复,系统可以生成确认的行程数据以便与用户的用户帐户相关联。
然后,在框509处,系统可以接收与用户的账户相对应的访问请求。例如,用户A110A可以前往惠斯勒(Whistler)并尝试从她的旅馆房间登录她的工作帐户。
在框511处,系统可以针对在框507处接收的确认的行程数据128来验证访问请求,以便在多个认证协议之间进行选择。例如,根据预先设置的系统参数,酒店房间可能或可能没有落入已经针对其出行定义的临时信任区域内。在一些实施例中,系统参数可以由用户A的雇主的信息技术(IT)部门来设置。例如,IT部门可以指定系统是否要基于预订数据来建立临时信任区域,以及如果是,如何定义这样的临时信任区域。在一些实施例中,在框511处验证访问请求可以包括对确认的地理位置(例如,用户指示她将所在的位置)进行分析以确定一个或多个临时信任区域与用户指示她将处于该地理位置的时间段相关联。例如,虽然用户可能仅仅指示她将于12月3日至15日在酒店,但系统可以从陈述“see you on theslopes!(在斜坡上见!)”的电子邮件中推断出,用户A也将经常光顾由Whistler滑雪场的滑雪区定义的整个区域。
在一些实施例中,在框511处验证请求还可以包括选择众多认证协议中的适当的一个。例如,可以响应于在12月3日至15日期间源自所确定的信任区域内的请求来选择第一认证协议,而可以响应于在12月3日至15日之外或在信任区域之外发起的请求来选择第二认证协议。
图6示出了用于能够执行如本文所述的通信服务102和/或认证服务118及其任何程序组件的计算机的示例计算机体系结构600的附加细节。因此,图6所示的计算机体系结构600示出了服务器计算机或服务器计算机网络的体系结构,或适用于实现本文所述功能的任何其它类型的计算设备。计算机体系结构600可用于执行本文呈现的软件组件的任何方面。
图6所示的计算机体系结构600包括中央处理单元602(CPU)、系统存储器604、包括随机存取存储器606(“RAM”)和只读存储器(“ROM”)608的系统存储器604,以及将存储器604耦合至CPU 602的系统总线610。包含有助于在计算机体系结构600内的元件之间传输信息(如在启动期间)的基本例程的基本输入/输出系统存储在ROM 608中。计算机体系结构600还包括用于存储操作系统614、其它数据,以及一个或多个应用程序的大容量存储设备612。大容量存储设备612还可以包括通信服务102和/或认证服务118中的一项或多项。
大容量存储设备612通过连接到总线610的大容量存储控制器(未示出)连接到CPU602。大容量存储设备612及其相关联的计算机可读介质为计算机体系结构600提供非易失性存储。尽管本文中包含的计算机可读介质的描述提及了诸如固态驱动器、硬盘或CD-ROM驱动器的大容量存储设备,但本领域技术人员应该明白的是:计算机可读介质可以是可由计算机体系结构600访问的任何可用计算机存储介质或通信介质。
通信介质包括计算机可读指令、数据结构、程序模块或调制数据信号(如载波波形)或其它传输机制中的其它数据并且包括任何传递介质。术语“调制数据信号”意指使其特性中的一个或多个特性以对信号中的信息进行编码的方式改变或设置的信号。通过举例而非限制的方式,通信介质包括诸如有线网络或直接线连接的有线介质,以及诸如声音、RF、红外线和其它无线介质的无线介质。上述各项中任意项的组合也应该包括在计算机可读介质的范围之内。
通过举例而非限制的方式,计算机存储介质可以包括用于存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的,以任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。例如,计算机介质包括但不限于:RAM、ROM、EPROM、EEPROM、闪存或其它固态存储器技术、CD-ROM、数字多功能盘(“DVD”)、HD-DVD、BLU-RAY或其它光学存储、磁带盒、磁带、磁盘存储或其它磁存储设备、或者可用于存储所需的信息且可由计算机体系结构600访问的任何其它介质。出于权利要求的目的,短语“计算机存储介质”、“计算机可读存储介质”及其变体本身不包括波、信号和/或其它瞬态和/或无形通信介质。
根据各种配置,计算机体系结构600可以使用通过网络650和/或另一个网络(未示出)到远程计算机的逻辑连接在联网环境中进行操作。计算机体系结构600可通过连接到总线610的网络接口单元616连接到网络650。应该明白的是:网络接口单元616也可以用于连接到其它类型的网络和远程计算机系统。计算机体系结构600还可以包括用于接收和处理来自包括键盘、鼠标或电子手写笔(图6中未示出)的多个其它设备的输入的输入/输出控制器618。类似地,输入/输出控制器618可以向显示屏幕、打印机或其它类型的输出设备(图6中也未示出)提供输出。还应当理解的是:经由通过网络接口单元616到网络650的连接,通信架构可以使通信服务102和/或认证服务118能够与用户设备114A-C和/或商业设备108中的一个或多个进行通信。
应当理解的是:本文中描述的软件组件当被加载到CPU 602中并被执行时,将CPU602和整个计算机体系结构600从通用计算系统变换成专门定制的专用计算系统以促进本文中呈现的功能。CPU 602可以由任何数量的晶体管或其它分立电路元件构成,其可以单独地或共同地采取任何数量的状态。更具体地,响应于包含在本文中公开的软件模块内的可执行指令,CPU 602可以作为有限状态机操作。这些计算机可执行指令可以通过指定CPU602如何在状态之间转换来变换CPU 602,从而变换构成CPU 602的晶体管或其它分立硬件元件。
对本文中呈现的软件模块进行编码还可以转换本文中呈现的计算机可读介质的物理结构。物理结构的具体转换可依赖于本说明书的不同实现中的各种因素。这些因素的示例可以包括但不限于:用于实现计算机可读介质的技术、计算机可读介质被表征为主存储器还是辅助存储器等。例如,如果计算机可读介质被实现为基于半导体的存储器,则可以通过变换半导体存储器的物理状态来将本文中公开的软件编码在计算机可读介质上。例如,软件可以转换构成半导体存储器的晶体管、电容器或其它分立电路元件的状态。软件还可以转换这些组件的物理状态,以便在其上存储数据。
作为另一个示例,本文中公开的计算机可读介质可以使用磁或光技术来实现。在这样的实现中,当在其中编码软件时,本文中呈现的软件可以转换磁或光介质的物理状态。这些转换可以包括改变给定磁介质内特定位置的磁特性。这些转换还可以包括改变给定光学介质内的特定位置的物理特征或特性,以改变那些位置的光学特性。在不脱离本说明书的范围和精神的前提下,物理介质的其它转换是可能的,提供前述示例仅为了便利该讨论。
鉴于上述描述,应当理解,在计算机体系结构600中发生许多类型的物理转换,以便存储和执行本文中呈现的软件组件。还应当理解的是:计算机体系结构600可以包括其它类型的计算设备,包括手持式计算机、嵌入式计算机系统、个人数字助理以及本领域技术人员已知的其它类型的计算设备。还考虑计算机体系结构600可能不包括图6所示的所有组件,可以包括图6中未明确示出的其它组件,或者可以使用与图6所示体系结构完全不同的体系结构。
示例条款
本文呈现的公开内容可以鉴于以下条款加以考虑。
示例条款A,一种用于在多个认证协议之间进行选择以处理帐户访问请求的系统,所述系统包括:至少一个处理器,以及与所述至少一个处理器通信的至少一个存储器,所述至少一个存储器具有存储在其上的计算机可读指令,当由所述至少一个处理器执行时,所述指令使得所述至少一个处理器实现通信服务和认证服务,所述通信服务用于:从至少一个第一计算设备接收指示与用户的预期地理位置相对应的预期时间段的数据;生成确认包装器以请求确认:所述预期时间段与所述用户的所述预期地理位置相对应;从至少一个第二计算设备并基于所述确认包装器来接收与所述用户的确认地理位置相对应的确认时间段;生成确认行程,所述确认行程将所述确认时间段和所述确认地理位置与所述用户的帐户进行关联;以及向所述认证服务提供所述确认行程;并且所述认证服务用于:接收访问所述用户的所述帐户的请求;以及响应于所述请求,基于对所述确认行程的请求的验证,选择所述多个认证协议中的认证协议。
示例条款B,根据示例条款A所述的系统,其中,所述指令还使所述认证服务:基于所述确认地理位置来确定用于与所述确认时间段进行关联的信任区域;以及选择下列各项中的一项:响应于在所述确认时间段期间源自所述信任区域内的所述请求,从所述多个认证协议中选择第一认证协议;或者响应于在所述确认时间段期间源自所述信任区域之外的所述请求,从所述多个认证协议中选择第二认证协议。
示例条款C,根据示例条款A或示例条款B所述的系统,其中,所述确认包装器被配置为:使所述用户能够提供输入以便接受所述预期时间段作为所述确认时间段,以及接受所述预期地理位置作为所述确认地理位置。
示例条款D,根据示例条款A至C中的任意一个示例条款所述的系统,其中,所述确认包装器被配置为:使所述用户能够提供输入以便进行下列各项中的至少一项:修改所述预期时间段以指示所述确认时间段,或者修改所述预期地理位置以指示所述确认地理位置。
示例条款E,根据示例条款A至D中的任意一个示例条款所述的系统,其中,所述数据包括下列各项中的一项或多项:指示与所述用户相关联的一个或多个预期交通段的交通数据,或者指示与所述用户相关联的一个或多个预期事件的事件数据。
示例条款F,根据示例条款A至E中的任意一个示例条款所述的系统,其中,所述数据包括电子行程确认,所述电子行程确认针对与所述用户相关联的至少一个交通段至少指示与预定出发位置相对应的预定出发时间以及与预定到达位置相对应的预定到达时间。
示例条款G,根据示例条款A至F中的任意一个示例条款所述的系统,其中,所述数据是响应于在所述至少一个第一计算设备与所述至少一个第二计算设备之间发送的用户交互数据生成的,并且其中,所述用户交互数据不是通过所述通信服务发送的。
虽然上文针对系统描述了示例条款A至G,但是在本文档的上下文中应当理解:示例条款A至G的主题也可以由设备、经由计算机实现的方法和/或经由计算机可读存储介质来实现。
示例条款H,一种计算机实现的方法,包括:从第一计算设备接收指示与和用户相关联的预期地理位置相对应的预期时间段的数据;从所述数据提取所述预期时间段和所述预期地理位置来生成确认包装器,以便提示以下确认:所述预期时间段与所述预期地理位置相对应;从第二计算设备接收指示确认时间段与和所述用户相关联的确认地理位置相对应的输入;至少部分基于所述输入,生成确认行程以便将所述用户的帐户与所述确认时间段和所述确认地理位置进行关联;以及向认证服务传送所述确认行程,其中,所述确认行程被配置为:使所述认证服务能够基于在所述确认时间段期间源自与所述确认地理位置相对应的信任区域内的所述请求来验证访问所述账户的请求。
示例条款I,根据示例条款H所述的计算机实现的方法,其中,所述认证服务被配置为:提供对至少具有用于发送电子消息的通信服务的生产力套件的访问。
示例条款J,根据示例条款H至I中的任何一个示例条款所述的计算机实现的方法,其中,提取所述预期时间段和所述预期地理位置以生成所述确认包装器包括:从所述电子消息中的至少一个电子消息中提取所述预期时间段和所述预期地理位置。
示例条款K,根据示例条款H至J中的任何一个示例条款所述的计算机实现的方法,其中,所述信任区域基于由所述认证服务或者所述认证服务的客户端中的至少一个定义的一个或多个参数。
示例条款L,根据示例条款H至K中的任何一个示例条款所述的计算机实现的方法,其中,向所述认证服务传送所述确认行程包括:向被配置为提供对所述用户的所述帐户的安全访问的至少一个虚拟专用网(VPN)服务发送所述确认行程。
示例条款M,根据示例条款H至L中的任何一个示例条款所述的计算机实现的方法,还包括:基于所述数据或所述输入中的至少一个,对从与所述用户相关联的通信服务获得的补充数据进行解析,以识别用户定义的约会、事件确认消息、用户的关联者的关联行程中的一项或多项,并且其中,所述信任区域是至少部分基于对所述补充数据的所述解析的。
示例条款N,根据示例条款H至M中的任何一个示例条款所述的计算机实现的方法,其中,所述输入还指示与所述确认地理位置相对应的所述确认时间段还与一个或多个其它用户相关联,并且其中,所述确认行程还将所述一个或多个其它用户的一个或多个其它帐户与至少所述确认时间段和所述确认地理位置进行关联。
示例条款O,根据示例条款H至N中的任何一个示例条款所述的计算机实现的方法,其中,所述确认时间段与交通段的至少一个预定出发时间和至少一个预定到达时间相关联,并且其中,所述确认地理位置与所述交通段的至少一个预定出发位置和至少一个预定到达位置相关联。
虽然上文针对方法描述了示例条款H至O,但是在本文档的上下文中应当理解:示例条款H至O的主题也可以由设备、由系统和/或经由计算机可读存储介质来实现。
示例条款P,一种具有存储在其上的计算机可执行指令的计算机可读存储介质,当由计算设备的一个或多个处理器执行时,所述指令使所述计算设备的所述一个或多个处理器:从第一计算设备接收指示与用户相关联的预期时间段或预期地理位置中的至少一项的数据;基于所述数据生成确认包装器以请求对与所述用户相关联的所述预期时间段或所述预期地理位置中的至少一项的确认;从第二计算设备接收与所述确认包装器相对应的响应,所述响应包括与所述用户相对应的确认时间段和确认地理位置;至少部分基于所述响应,生成确认行程,所述确认行程指示所述用户将在所述确认时间段期间在与所述确认地理位置相关联的信任区域内,所述确认行程将所述用户的帐户与至少所述确认时间段和所述确认地理位置进行关联;以及至少部分基于在所述确认时间段期间源自所述信任区域内的所述请求,从多个认证协议中选择第一认证协议。
示例条款Q,根据示例条款P所述的计算机可读存储介质,其中,所述指令还使所述计算设备的所述一个或多个处理器:至少部分基于在所述确认时间段期间源自所述信任区域之外的所述请求,从所述多个认证协议中选择第二认证协议。
示例条款R,根据示例条款P至Q中的任意一项示例条款所述的计算机可读存储介质,其中,所述第一认证协议包括N因素认证协议,并且所述第二认证协议包括M因素认证协议,其中M和N是整数,并且M大于N。
示例条款S,根据示例条款P至R中的任意一个示例条款所述的计算机可读存储介质,其中,所述指令还使所述计算设备的所述一个或多个处理器:至少部分基于在所述确认时间段期间源自与所述用户常去的一个或多个其它地理位置相关联的第二信任区域内的第二请求生成接入尝试通知。
示例条款T,根据示例条款P至S中的任意一个示例条款所述的计算机可读存储介质,其中,所述指令还使所述计算设备的所述一个或多个处理器:对与所述用户相关联的补充数据进行解析以识别与下列各项相对应的一个或多个实体:针对一个或多个住宿的预订、车辆上客位置、车辆下客位置、专业集会或娱乐事件;以及基于与所述一个或多个实体相关联的一个或多个地理位置来生成所述信任区域。
虽然上文针对系统描述了示例条款P和T,但是在本文档的上下文中应当理解:示例条款S和T的主题也可以由设备、经由计算机实现的方法和/或经由计算机可读存储介质来实现。
结论
最后,虽然以特定于结构特征和/或方法动作的语言对各种配置进行了描述,但应当理解的是:所附表示中定义的发明主题并不一定受限于上述具体特征或动作。而是,公开具体的特征和动作作为实现要求保护的发明主题的示例形式。

Claims (15)

1.一种用于在多个认证协议之间进行选择以处理帐户访问请求的系统,所述系统包括:
至少一个处理器;以及
与所述至少一个处理器通信的至少一个存储器,所述至少一个存储器具有存储在其上的计算机可读指令,当由所述至少一个处理器执行时,所述指令使得所述至少一个处理器实现通信服务和认证服务,
所述通信服务用于:
从至少一个第一计算设备接收指示与用户的预期地理位置相对应的预期时间段的数据;
生成确认包装器以请求确认:所述预期时间段与所述用户的所述预期地理位置相对应;
从至少一个第二计算设备并基于所述确认包装器来接收与所述用户的确认地理位置相对应的确认时间段;
生成确认行程,所述确认行程将所述确认时间段和所述确认地理位置与所述用户的帐户进行关联;以及
向所述认证服务提供所述确认行程;以及
所述认证服务用于:
接收访问所述用户的所述帐户的请求;以及
响应于所述请求,基于对所述确认行程的请求的验证,选择所述多个认证协议中的认证协议。
2.根据权利要求1所述的系统,其中,所述指令还使所述认证服务:
基于所述确认地理位置来确定用于与所述确认时间段进行关联的信任区域;以及
选择下列各项中的一项:
响应于在所述确认时间段期间源自所述信任区域内的所述请求,所述多个认证协议中的第一认证协议;或者
响应于在所述确认时间段期间源自所述信任区域之外的所述请求,所述多个认证协议中的第二认证协议。
3.根据权利要求1所述的系统,其中,所述确认包装器被配置为:使所述用户能够提供输入以便接受所述预期时间段作为所述确认时间段,以及接受所述预期地理位置作为所述确认地理位置。
4.根据权利要求1所述的系统,其中,所述确认包装器被配置为:使所述用户能够提供输入以便进行下列各项中的至少一项:修改所述预期时间段以指示所述确认时间段,或者修改所述预期地理位置以指示所述确认地理位置。
5.根据权利要求1所述的系统,其中,所述数据包括下列各项中的一项或多项:指示与所述用户相关联的一个或多个预期交通段的交通数据,或者指示与所述用户相关联的一个或多个预期事件的事件数据。
6.根据权利要求1所述的系统,其中,所述数据包括电子行程确认,所述电子行程确认针对与所述用户相关联的至少一个交通段至少指示与预定出发位置相对应的预定出发时间以及与预定到达位置相对应的预定到达时间。
7.根据权利要求1所述的系统,其中,所述数据是响应于在所述至少一个第一计算设备与所述至少一个第二计算设备之间发送的用户交互数据生成的,并且其中,所述用户交互数据不是通过所述通信服务发送的。
8.一种计算机实现的方法,包括:
从第一计算设备接收指示与和用户相关联的预期地理位置相对应的预期时间段的数据;
从所述数据提取所述预期时间段和所述预期地理位置;
基于所述数据生成确认包装器以请求对与所述用户相关联的所述预期时间段或所述预期地理位置中的至少一项的确认;
至少部分基于所述输入,生成确认行程以便将所述用户的帐户与所述确认时间段和所述确认地理位置进行关联;以及
向认证服务传送所述确认行程,其中,所述确认行程被配置为:使所述认证服务能够基于在所述确认时间段期间源自与所述确认地理位置相对应的信任区域内的所述请求来验证访问所述帐户的请求。
9.根据权利要求8所述的计算机实现的方法,其中,所述认证服务被配置为:提供对至少具有用于发送电子消息的通信服务的生产力套件的访问。
10.根据权利要求9所述的计算机实现的方法,其中,提取所述预期时间段和所述预期地理位置以生成所述确认包装器包括:从所述电子消息中的至少一个电子消息中提取所述预期时间段和所述预期地理位置。
11.根据权利要求8所述的计算机实现的方法,其中,所述信任区域基于由所述认证服务或者所述认证服务的客户端中的至少一项定义的一个或多个参数。
12.根据权利要求8所述的计算机实现的方法,其中,向所述认证服务传送所述确认行程包括:向被配置为提供对所述用户的所述帐户的安全访问的至少一个虚拟专用网(VPN)服务发送所述确认行程。
13.根据权利要求8所述的计算机实现的方法,还包括:基于所述数据或所述输入中的至少一项,对从与所述用户相关联的通信服务获得的补充数据进行解析,以识别用户定义的约会、事件确认消息、所述用户的关联者的关联行程中的一项或多项,并且其中,所述信任区域是至少部分基于对所述补充数据的所述解析的。
14.根据权利要求8所述的计算机实现的方法,其中,所述输入还指示与所述确认地理位置相对应的所述确认时间段还与一个或多个其它用户相关联,并且其中,所述确认行程还将所述一个或多个其它用户的一个或多个其它帐户与至少所述确认时间段和所述确认地理位置进行关联。
15.根据权利要求8所述的计算机实现的方法,其中,所述确认时间段与交通段的至少一个预定出发时间和至少一个预定到达时间相关联,并且其中,所述确认地理位置与所述交通段的至少一个预定出发位置和至少一个预定到达位置相关联。
CN201880006770.3A 2017-01-13 2018-01-09 降低的用户认证输入要求 Pending CN110178153A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/406,439 2017-01-13
US15/406,439 US10313357B2 (en) 2017-01-13 2017-01-13 Reduced user authentication input requirements
PCT/US2018/012853 WO2018132338A1 (en) 2017-01-13 2018-01-09 Reduced user authentication input requirements

Publications (1)

Publication Number Publication Date
CN110178153A true CN110178153A (zh) 2019-08-27

Family

ID=61028240

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880006770.3A Pending CN110178153A (zh) 2017-01-13 2018-01-09 降低的用户认证输入要求

Country Status (4)

Country Link
US (2) US10313357B2 (zh)
EP (1) EP3568819A1 (zh)
CN (1) CN110178153A (zh)
WO (1) WO2018132338A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11257038B2 (en) * 2017-06-02 2022-02-22 Apple Inc. Event extraction systems and methods
US10877784B1 (en) * 2018-05-30 2020-12-29 Facebook, Inc. Determining and servicing user intent with a virtual assistant
US11797962B2 (en) 2019-06-10 2023-10-24 The Toronto-Dominion Bank Configuring data transfers based on electronic messages

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102099827A (zh) * 2008-07-16 2011-06-15 微软公司 旅行管理系统
CN102378986A (zh) * 2009-02-02 2012-03-14 埃蒂斯控股有限公司 用于提供行程信息的设备和方法
CN102790674A (zh) * 2011-05-20 2012-11-21 阿里巴巴集团控股有限公司 身份验证方法、设备和系统
US8572696B1 (en) * 2011-11-23 2013-10-29 Google Inc. Contextual data aided security protection
US20150319185A1 (en) * 2013-12-13 2015-11-05 Palerra, Inc. Systems and Methods for Contextual and Cross Application Threat Detection and Prediction in Cloud Applications
CN105592463A (zh) * 2015-07-06 2016-05-18 杭州华三通信技术有限公司 一种接入认证方法及装置

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09198439A (ja) * 1996-01-22 1997-07-31 Toyota Motor Corp 旅行計画作成システム
US20040102979A1 (en) * 2002-01-23 2004-05-27 Robertson Steven C. System and method for providing electronic passenger and luggage handling services over a distributed network
US7805128B2 (en) * 2006-11-20 2010-09-28 Avaya Inc. Authentication based on future geo-location
US7747645B2 (en) * 2007-03-17 2010-06-29 Informed Control Inc. System and method for calendar-based anomalous access detection
US20090012824A1 (en) * 2007-07-06 2009-01-08 Brockway Gregg Apparatus and method for supplying an aggregated and enhanced itinerary
US8229853B2 (en) * 2008-07-24 2012-07-24 International Business Machines Corporation Dynamic itinerary-driven profiling for preventing unauthorized card transactions
US8869243B2 (en) 2008-12-26 2014-10-21 Facebook, Inc. Authenticating user sessions based on reputation of user locations
US20100174998A1 (en) 2009-01-06 2010-07-08 Kiha Software Inc. Calendaring Location-Based Events and Associated Travel
US8756705B2 (en) 2009-07-01 2014-06-17 Fiserv, Inc. Personalized security management
EP2537134A4 (en) * 2010-02-19 2014-01-08 Finsphere Corp SYSTEM AND METHOD FOR FINANCIAL TRANSACTION AUTHENTICATION USING TRAVEL INFORMATION
US9215244B2 (en) * 2010-11-18 2015-12-15 The Boeing Company Context aware network security monitoring for threat detection
US8910246B2 (en) * 2010-11-18 2014-12-09 The Boeing Company Contextual-based virtual data boundaries
US9177125B2 (en) * 2011-05-27 2015-11-03 Microsoft Technology Licensing, Llc Protection from unfamiliar login locations
US20130006858A1 (en) * 2011-07-01 2013-01-03 Fujitsu Limited System and method for automatically updating a purchase card account based on travel of the card user
US8863258B2 (en) * 2011-08-24 2014-10-14 International Business Machines Corporation Security for future log-on location
US8793776B1 (en) * 2011-09-12 2014-07-29 Google Inc. Location as a second factor for authentication
US8869241B2 (en) 2011-09-24 2014-10-21 Elwha Llc Network acquired behavioral fingerprint for authentication
US9299027B2 (en) * 2012-05-07 2016-03-29 Runaway 20, Inc. System and method for providing intelligent location information
US9449156B2 (en) * 2012-10-01 2016-09-20 Microsoft Technology Licensing, Llc Using trusted devices to augment location-based account protection
US9367676B2 (en) 2013-03-22 2016-06-14 Nok Nok Labs, Inc. System and method for confirming location using supplemental sensor and/or location data
US20150073841A1 (en) * 2013-05-19 2015-03-12 Blue Star Infotech Ltd Method and system for facilitating vacation planning and management
US9122853B2 (en) 2013-06-24 2015-09-01 A10 Networks, Inc. Location determination for user authentication
US9391968B2 (en) * 2013-09-24 2016-07-12 At&T Intellectual Property I, L.P. Scored factor-based authentication
JP5930218B2 (ja) * 2013-10-30 2016-06-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation ユーザの操作を制限する機能を有する情報処理装置、方法、及び、プログラム
US20150227926A1 (en) * 2014-02-07 2015-08-13 Bank Of America Corporation Determining user authentication requirements based on the current location of the user in comparison to a user's travel route
US9185117B2 (en) 2014-02-07 2015-11-10 Bank Of America Corporation User authentication by geo-location and proximity to user's close network
US9331994B2 (en) 2014-02-07 2016-05-03 Bank Of America Corporation User authentication based on historical transaction data
US20150227924A1 (en) * 2014-02-07 2015-08-13 Bank Of America Corporation Determining authentication requirements along a continuum based on a current state of the user and/or the service requiring authentication
US9390242B2 (en) * 2014-02-07 2016-07-12 Bank Of America Corporation Determining user authentication requirements based on the current location of the user being within a predetermined area requiring altered authentication requirements
US9088560B1 (en) 2014-03-05 2015-07-21 Symantec Corporation Systems and methods for validating login attempts based on user location
US20150358765A1 (en) * 2014-06-10 2015-12-10 International Business Machines Corporation Securing a mobile device by binding to an itinerary
US9491580B1 (en) * 2014-07-08 2016-11-08 Img Globalsecur, Inc. Systems and methods for electronically verifying user location
US9843649B1 (en) * 2014-08-02 2017-12-12 Google Llc Providing content based on event related information
US20160189158A1 (en) * 2014-12-29 2016-06-30 Ebay Inc. Authenticating requests to access accounts based on prior requests
US10139237B2 (en) * 2015-09-01 2018-11-27 Chris Outwater Method for remotely identifying one of a passenger and an assigned vehicle to the other
US9749308B2 (en) * 2016-01-04 2017-08-29 Bank Of America Corporation System for assessing network authentication requirements based on situational instance
US11477302B2 (en) * 2016-07-06 2022-10-18 Palo Alto Research Center Incorporated Computer-implemented system and method for distributed activity detection
US10389731B2 (en) * 2016-11-22 2019-08-20 Microsoft Technology Licensing, Llc Multi-factor authentication using positioning data

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102099827A (zh) * 2008-07-16 2011-06-15 微软公司 旅行管理系统
CN102378986A (zh) * 2009-02-02 2012-03-14 埃蒂斯控股有限公司 用于提供行程信息的设备和方法
CN102790674A (zh) * 2011-05-20 2012-11-21 阿里巴巴集团控股有限公司 身份验证方法、设备和系统
US8572696B1 (en) * 2011-11-23 2013-10-29 Google Inc. Contextual data aided security protection
US20150319185A1 (en) * 2013-12-13 2015-11-05 Palerra, Inc. Systems and Methods for Contextual and Cross Application Threat Detection and Prediction in Cloud Applications
CN105592463A (zh) * 2015-07-06 2016-05-18 杭州华三通信技术有限公司 一种接入认证方法及装置

Also Published As

Publication number Publication date
US20180205741A1 (en) 2018-07-19
US11425141B2 (en) 2022-08-23
US20190349387A1 (en) 2019-11-14
US10313357B2 (en) 2019-06-04
EP3568819A1 (en) 2019-11-20
WO2018132338A1 (en) 2018-07-19

Similar Documents

Publication Publication Date Title
US10735196B2 (en) Password-less authentication for access management
US10666643B2 (en) End user initiated access server authenticity check
US10250582B2 (en) Secure private location based services
US11572713B1 (en) Smart lock box
US10157275B1 (en) Techniques for access management based on multi-factor authentication including knowledge-based authentication
KR101486613B1 (ko) 전송 가능한 제한된 보안 토큰
US7428750B1 (en) Managing multiple user identities in authentication environments
US9397838B1 (en) Credential management
US9311679B2 (en) Enterprise social media management platform with single sign-on
CN104253812B (zh) 委托用于web服务的认证
CN105378768A (zh) 企业系统中的接近度和环境感知的移动工作空间
TWI661333B (zh) 用以傳送憑證之系統及方法
CN112119416A (zh) 经由移动设备对访问信息的安全传递
CN110930561B (zh) 智能锁的控制方法及装置
US11425141B2 (en) Reduced user authentication input requirements
KR102331159B1 (ko) 컴퓨터에 의해 판독 가능한 기록매체에 저장된 통합 인증 프로그램 및 이를 포함하는 통합 업무 관리 시스템
US11184736B2 (en) Digital person and digital persona verification
US11163862B2 (en) Authentication of users based on snapshots thereof taken in corresponding acquisition conditions
US11606696B2 (en) Security mechanism for wireless authentication devices
US11863980B1 (en) Authentication and authorization for access to soft and hard assets
Waghmare et al. Chatbot Integration
Serrano et al. Implementing the Internet of Everything Federation: Towards Cloud-Data Management for Secure AI-Powered Applications in Future Networks
Alhamdani Resilent Access Control Model
Shrivastav Ride hailing application with end to end encryption
US20200007480A1 (en) Authentication in messaging platforms for web content

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination