CN110574350B - 执行优先生成第二因素认证的方法和系统 - Google Patents

执行优先生成第二因素认证的方法和系统 Download PDF

Info

Publication number
CN110574350B
CN110574350B CN201880028786.4A CN201880028786A CN110574350B CN 110574350 B CN110574350 B CN 110574350B CN 201880028786 A CN201880028786 A CN 201880028786A CN 110574350 B CN110574350 B CN 110574350B
Authority
CN
China
Prior art keywords
application
authentication code
factor authentication
user
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880028786.4A
Other languages
English (en)
Other versions
CN110574350A (zh
Inventor
贾斯汀·刘易斯
托马斯·普赖斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Google LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Google LLC filed Critical Google LLC
Publication of CN110574350A publication Critical patent/CN110574350A/zh
Application granted granted Critical
Publication of CN110574350B publication Critical patent/CN110574350B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/40User authentication by quorum, i.e. whereby two or more security principals are required
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

一种方法包括通过安装在客户端电子装置上的第一应用来提示用户将第二应用安装在所述客户端电子装置上,且通过所述第一应用来提示所述用户授权优先登录所述第二应用。响应于从所述用户接收安装所述第二应用的指示和从所述用户接收授权优先登录所述第二应用的指示,安装所述第二应用,且生成授权所述用户登录到所述第二应用中的双因素认证代码。所述方法包括向所述第二应用发送消息、启动所述第二应用和自动将所述用户登录到所述第二应用中而无需所述用户提供所述双因素认证代码或者任何其它形式的第二因素认证。

Description

执行优先生成第二因素认证的方法和系统
相关申请的交叉引用
本申请是2017年9月26日提交的美国专利申请No.15/715,815的继续申请,该美国专利申请的公开内容以引用的方式并入本文中。
背景技术
在电子装置上运行或者以其它方式可由电子装置访问的许多服务都要求用户输入双因素认证(2FA)代码或者其它第二因素认证令牌。
双因素认证是安全特征,除了单因素认证凭证(诸如例如用户名和密码)外,该安全特征还要求用户提供2FA代码或者令牌,以便于访问资源。在某些情景时(诸如在用户试图访问来自新装置、新装置上、来自未知互联网协议地址或者其它未知环境中的资源时),可使用双因素认证。
在这些情景时,将2FA代码以安全方式发送给用户。例如,2FA代码可在文本消息中发送给用户或者在电子邮件消息中发送给已经验证为属于用户的电子邮件账户。随后,要求用户提供2FA代码以访问相关联的资源。
现在,在电子装置上运行的许多软件应用推广了其它应用的使用。被推广的应用可为与推广应用相关的应用或者由与推广应用的服务提供商相同的服务提供商提供的应用。然而,通常要求用户经过2FA过程以访问甚至被推广的应用。2FA工作流程对于用户而言可为累赘的,且因为取回和键入2FA代码的过程过难且耗时,所以服务通常丢失在安装之后不登录被推广的应用的大量用户。
发明内容
这个文档描述了用于与触发应用的安装并行地优先地触发第二形式的认证的生成的方法和系统。单次提示允许用户在单个步骤中在客户端电子装置上从第一应用安装和授权登录第二应用。代码的安装和生成并行地发生,且在启动第二应用时,不要求用户键入2FA代码。相反,第二因素认证的代码或者其它确认已经传输到第二应用。
在实施例中,方法包括通过安装在客户端电子装置上的第一应用来提示用户将第二应用安装在客户端电子装置上,且通过第一应用来提示用户授权优先(preemptive)登录第二应用。方法包括响应于从用户接收安装第二应用的指示和从用户接收授权优先登录第二应用的指示:通过客户端电子装置安装该第二应用,且生成授权用户登录到该第二应用中的双因素认证代码。方法包括通过客户端电子装置向第二应用发送消息,其中,该消息包括用户授权登录第二应用的双因素认证代码;启动该第二应用;以及自动将用户登录到该第二应用中而无需用户提供双因素认证代码或者任何其它形式的第二因素认证。
可选地,生成双因素认证代码可包括使用与第一应用相关联的私钥来生成双因素认证代码。
向电子装置发送与第二应用相关联的消息可包括将双因素认证代码嵌入于消息中。将双因素认证代码嵌入于消息中可包括将双因素认证代码嵌入于消息的营销标记中。
方法可进一步包括通过第一应用使用与该第一应用相关联的私钥将消息的至少一部分加密。方法可包括通过第二应用向登录服务器发送消息的至少一部分和通过第二应用从登录服务器接收双因素认证代码有效的指示。
自动将用户登录到第二应用中而无需用户提供额外形式的认证可包括在互联网连接不存在的情况下自动将用户登录到第二应用中。
方法可进一步包括获得与用户访问第二应用相关联的一个或多个访问凭证,其中,该一个或多个访问凭证不包括双因素认证代码或者其它形式的第二因素认证。
在实施例中,方法可包括通过安装在客户端电子装置上的第一应用来提示用户将第二应用安装在客户端电子装置上,且通过第一应用来提示用户授权优先登录第二应用。方法可包括响应于从用户接收安装第二应用的指示和从用户接收授权优先登录第二应用的指示:通过客户端电子装置安装该第二应用,通过第一应用来生成包括用户已经授权登录第二应用的指示的消息,且通过客户端电子装置向登录服务器发送消息。方法可包括启动第二应用和自动将用户登录到该第二应用中而无需用户提供双因素认证代码或者任何其它形式的第二因素认证。
可选地,方法可包括通过第一应用使用与该第一应用相关联的私钥将消息的至少一部分加密。用户已经授权登录第二应用的指示与以下中的一个或多个相关联:指示有效的时间段、指示有效的使用次数或者登录有效的应用的指示。
在实施例中,系统可包括客户端电子装置和计算机可读存储介质,其中,第一应用安装在客户端电子装置上。计算机可读存储介质可包括一个或多个编程指令,该一个或多个编程指令在被执行时使客户端电子装置进行以下操作:提示用户将第二应用安装在客户端电子装置上,提示用户授权优先登录第二应用,响应于从用户接收安装第二应用的指示和从用户接收授权优先登录第二应用的指示:安装该第二应用,且生成授权用户登录到第二应用中的双因素认证代码,向第二应用发送消息,其中,该消息包括用户授权登录第二应用的双因素认证代码,启动第二应用,且自动将用户登录到第二应用中而无需用户提供双因素认证代码或者任何其它形式的第二因素认证。
可选地,在执行时使客户端电子装置生成双因素认证代码的一个或多个编程指令可包括在执行时使客户端电子装置使用与第一应用相关联的私钥来生成双因素认证代码的一个或多个编程指令。
在执行时使客户端电子装置向该电子装置发送与第二应用相关联的消息的一个或多个编程指令可包括在执行时使客户端电子装置将双因素认证代码嵌入于消息中的一个或多个编程指令。
在执行时使客户端电子装置将双因素认证代码嵌入于消息中的一个或多个编程指令可包括在执行时使客户端电子装置将双因素认证代码嵌入于消息的营销标记中的一个或多个编程指令。
可选地,计算机可读存储介质可进一步包括在被执行时使客户端电子装置使用与第一应用相关联的私钥将消息的至少一部分加密的一个或多个编程指令。
第二应用可被配置成:向登录服务器发送消息的至少一部分;以及从登录服务器接收双因素认证代码有效的指示。
在实施例中,系统包括客户端电子装置和计算机可读存储介质,其中,第一应用安装在客户端电子装置上。计算机可读存储介质包括一个或多个编程指令,该一个或多个编程指令在被执行时使客户端电子装置进行以下操作:提示用户将第二应用安装在客户端电子装置上,提示用户授权优先登录第二应用,响应于从用户接收安装第二应用的指示和从用户接收授权优先登录第二应用的指示:安装该第二应用,生成包括用户已经授权登录第二应用的指示的消息,且向登录服务器发送该消息,启动第二应用,且自动将用户登录到第二应用中而无需用户提供双因素认证代码或者任何其它形式的第二因素认证。
计算机可读存储介质可进一步包括在被执行时使客户端电子装置使用与第一应用相关联的私钥将消息的至少一部分加密的一个或多个编程指令。
用户已经授权登录第二应用的指示与以下中的一个或多个相关联:指示有效的时间段;指示有效的使用次数;或者登录有效的应用的指示。
附图说明
图1图示了根据实施例的用于生成第二形式的认证的示例系统。
图2图示了根据实施例的用于生成第二形式的认证的示例方法。
图3、4A和4B图示了根据各种实施例的示例提示。
图5图示了根据实施例的并行地执行登录认证的生成和被推广的应用的安装的示例方式。
图6和7图示了根据各种实施例的启动被推广的应用的示例方法。
图8图示了根据实施例的可用于包含或者实施程序指令的示例硬件的框图。
具体实施方式
与这个公开相关的术语包括:
除非明确表明,否则单数形式“一”、“一个”和“该”包括复数形式。同样,术语“包括(comprising)”(或者“包括(comprise)”)意思是“包括(including)(或者包括(include))但不限于”。相对术语“长”和“短”旨在作为相对于彼此的相对测量,因为命名为“长”的项的测量值将比命名为“短”的对应项的测量值相对更长。除非另有定义,否则这个文档中使用的所有技术和科学术语具有与本领域的普通技术人员通常理解成的含义相同的含义。
“应用”是指被配置成通知客户端装置执行一个或多个任务的程序。
“电子装置”或者“计算装置”是指包括处理器和存储器的装置。每个装置可具有其自身的处理器和/或存储器,或者如在虚拟机或者容器布置中,处理器和/或存储器可与其它装置共享。存储器将包含或者接收编程指令,这些编程指令在由处理器执行时使电子装置根据编程指令执行一个或多个操作。电子装置的示例包括个人计算机、服务器(诸如托管服务中使用的服务器)、大型计算机、虚拟机、容器、游戏系统、电视和移动电子装置(诸如智能电话、个人数字助理、相机、平板计算机、膝上型计算机、媒体播放器等)。在客户端服务器布置中,客户端装置和服务器是电子装置,其中,服务器包含客户端装置经由一个或多个通信网络中的一个或多个通信链路访问的指令和/或数据。在虚拟机布置中,服务器可为电子装置,且每个虚拟机或者容器也可视为电子装置。在下文论述中,出于简洁起见,客户端装置、服务器装置、虚拟机或者容器可简称为“装置”。
术语“存储器”、“存储器装置”、“数据存储”、“数据存储设施”等各自称为非暂时性装置,计算机可读数据、编程指令或者两者被存储在该非暂时性装置上。除非另有特别说明,否则术语“存储器”、“存储器装置”、“数据存储”、“数据存储设施”等旨在包括单个装置实施例、多个存储器装置一起或者共同地存储数据或者指令集的实施例以及这种装置内的区段。
术语“处理器”和“处理装置”是指被配置成执行编程指令的电子装置的硬件部件。除非另有特别说明,否则单数术语“处理器”或者“处理装置”旨在包括单处理装置实施例和多个处理装置共同执行过程的实施例两者。
图1图示了根据实施例的用于生成第二形式的认证的示例系统。如图1所图示,系统100包括客户端电子装置102。客户端电子装置102可为智能电话、可穿戴设备(诸如例如智能手表)、平板计算机和/或其它电子装置,经由该客户端电子装置,用户可访问本地安装的应用或者远程服务。如图1中所示出,客户端电子装置102可具有安装在客户端电子装置上的第一应用104。出于这个文档的目的,这个应用104贯穿全文称为“推广应用”。推广应用104可推荐或者提示用户安装一个或多个其它应用,这些应用在这个公开中称为“被推广的应用”。
如图1中所图示,客户端电子装置102与应用电子装置106通信。应用电子装置可存储和/或托管一个或多个被推广的应用114a-N。客户端电子装置102经由一个或多个通信网络108与应用电子装置通信。客户端电子装置102可经由一个或多个通信网络112与登录服务器110通信。
图2图示了根据实施例的用于生成第二形式的认证的示例方法。如图2中所示出,推广应用提示200用户安装被推广的应用。推广应用可安装在客户端电子装置(诸如例如智能电话)上。推广应用可提示200用户将被推广的应用安装在客户端电子装置上。可选地,被推广的应用可为与推广应用相关的应用。例如,被推广的应用可为由与推广应用的服务提供商相同的服务提供商提供的应用。可替代地,被推广的应用可为推广应用基于推广应用的用户的使用推荐的应用。
推广应用通过使接口被显示来提示200用户安装被推广的应用。接口可要求用户确认用户是否愿意安装被推广的应用。图3图示了根据实施例的示例提示。
客户端电子装置从用户接收202指示用户是否愿意安装被推广的应用的输入。输入可经由客户端电子装置的触摸屏、经由键盘、鼠标、触笔或者其它输入装置或者经由一个或多个语音指令或者命令提供。
响应于接收指示用户愿意安装被推广的应用的输入,推广应用提示204用户优先批准登录被推广的应用。推广应用可通过使接口被显示来提示用户批准登录被推广的应用。提示可显示为与上文所论述的安装提示分开的接口,或者提示可与安装提示一起显示,如图4A和4B所图示。可替代地,推广应用可在单个提示中提示204用户优先批准登录被推广的应用且安装被推广的应用。用户可仅做出一次选择(例如选择图标、按下按钮)来同意两个提示。
客户端电子装置从用户接收206指示用户是否授权登陆被推广的应用的输入。响应于从用户接收指示用户愿意安装被推广的应用且用户授权登录被推广的应用的输入,推广应用并行地生成208登录授权且安装被推广的应用。同样地,不要求用户分开地安装、登录和提供对被推广的应用的登录(例如经由第二因素认证代码)的认证。反而,用户可并行地授权安装和登录,这产生更无缝和用户友好的体验。除了节约用户时间之外,同时授权安装和登录还通过要求用户花费较少时间(和因此较少处理能力)来完成安装应用和登录到应用中的步骤来节省电池使用量。此外,双因素认证的主要优点和安全性质也可用于被推广的应用,因为如以下中将解释,自动登录到被推广的应用也是基于双因素认证,但不需要被推广的应用提示用户或者要求用户提供认证代码或者任何其它形式的第二因素认证。
图5图示了根据实施例的并行地执行208登录认证的生成和被推广的应用的安装的示例方式。如图5所图示,推广应用将被推广的应用安装500在客户端电子装置上。推广应用可通过向应用电子装置发送一个或多个指令来安装500被推广的应用,被推广的应用可从该应用电子装置访问。响应于接收指令,应用电子装置向安装被推广的应用的客户端电子装置发送被推广的应用。被推广的应用的安装可经由内联安装对话框在用户不离开推广应用的情况下发生。
作为另一示例,推广应用可通过将用户重定向到用户可安装被推广的应用的位置来安装500被推广的应用。例如,推广应用可通过选择“安装”按钮或者类似选项将用户重定向到用户可安装被推广的应用的市场或者商店。
一旦安装,就启动502被推广的应用。被推广的应用可通过推广应用自动启动502。可替代地,用户可独立地启动502被推广的应用。
图6图示了根据实施例的启动502被推广的应用的示例方法。如图6中所示出,客户端电子装置可生成600认证代码。认证代码的示例是双因素(或者第二因素)认证(2FA)代码。客户端电子装置可使用与推广应用和/或客户端电子装置相关联的私钥生成600认证代码。以此方式,可验证认证代码是由推广应用和/或客户端电子装置发起。
作为示例,客户端电子装置可包括代码生成器应用。代码生成器应用可具有私钥。登录服务器(或者其它服务器)可具有与客户端的私钥相关联的私钥。在各种实施例中,两个私钥可能已经由服务器在代码生成器应用的初始设置期间生成。
客户端电子装置可通过将其私钥与其它旋转或者动态数据进行组合来生成认证代码。例如,客户端电子装置可检索与客户端电子装置相关联的时钟时间或者计数器。客户端电子装置可生成数学上地从其私钥和旋转数据导出的认证代码。
在各种实施例中,推广应用可将已经生成的认证代码嵌入于602消息中。例如,推广应用可将认证代码嵌入于602消息的营销标记中。营销标记是指收集某些信息的一个或多个数据收集编程指令。营销标记可嵌入于应用、网站等中以促进这种信息的收集。可收集的信息包括但不限于访客行为信息、与营销活动相关的信息(例如指示哪个推广应用将用户引导到被推广的应用的信息)和/或与网络分析有关的信息。信息还可包括用于启动产品功能的信息,诸如例如某些广告的显示。推广应用可将消息的全部或者部分加密604。例如推广应用可使用推广应用唯一的密钥将消息的至少一部分加密604。
推广应用向被推广的应用发送606消息。被推广的应用接收608消息。被推广的应用向登录服务器发送610经过加密的消息的至少一部分以供验证。例如,被推广的应用可向登录服务器发送610经过加密的认证代码以供验证。被推广的应用还可发送与推广应用和/或被推广的应用相关联的识别符。
登录服务器从被推广的应用接收612消息和/或认证代码。登录服务器将消息和/或认证代码解密614。登录服务器确认616接收的认证代码是否有效。在实施例中,登录服务器可通过确定认证代码是否从与登录服务器的私钥相关联的客户端私钥导出来确认616认证代码是否有效。
如果认证代码有效,则登录服务器向被推广的应用发送618指示认证代码有效的消息。如果认证代码无效,则登录服务器向被推广的应用发送620指示认证代码无效和/或不能验证的消息。
响应于接收622指示已经验证认证代码的消息,被推广的应用自动将用户登录624到被推广的应用中而无需提示用户或者要求用户提供认证代码或者任何其它形式的第二因素认证。例如,第二因素认证可能不通过实际上要求用户键入用户看得见的代码来执行。反而,第二因素认证可能通过在可信环境中提供提示来执行。例如,可提示用户简单地单击应用中的提示上的“是”、“接受”等来确认用户在另一装置上、另一应用中等登录。
在实施例中,自动将用户登录到被推广的应用中可能涉及获得并非第二因素认证凭证的一个或多个访问凭证。访问凭证的示例可包括例如用户名、密码、对一个或多个安全问题的一个或多个回答等。获得一个或多个访问凭证可能涉及提示用户一个或多个访问凭证。例如,系统可提示用户提供用户名和/或密码以访问被推广的应用。然而,不提示用户提供2FA代码或者任何其它第二因素认证。作为另一示例,获得一个或多个访问凭证可能涉及从安全存储位置访问这些凭证。同样地,可能不要求用户输入一个或多个访问凭证。
将用户登录624到应用中是指准予用户访问应用的内容和/或功能。在某些实施例中,被推广的应用可将用户登录624到被推广的应用中而无需互联网或者其它网络连接。例如,可能存在用户可在无互联网或者其它网络连接的情况下访问的某一内容或者功能。在建立了互联网或者网络连接时可准予完全访问。
图7图示了根据实施例的启动502被推广的应用的另一示例方法。如图7所图示,推广应用可生成700认证代码。推广应用可使用与推广应用相关联的私钥生成700认证代码。以此方式,可验证认证代码是由推广应用发起。在各种实施例中,认证代码可能仅在有限的时间内有效。例如,认证代码可在一定时间之后过期。作为另一示例,认证代码可能仅在一定使用次数内有效。作为又一示例,认证代码可能仅对登录特定应用有效。
推广应用向登录服务器发送702认证代码。登录服务器接收704认证代码,且将接收的认证代码存储706在数据存储中。登录服务器可存储706接收的认证代码以使得其与推广应用和被推广的应用相关联。例如,推广应用可向登录服务器发送与推广应用相关联的识别符和与被推广的应用的实例相关联的识别符。登录服务器可存储这个信息的至少一部分以使得其与认证代码相关联。
被推广的应用向登录服务器发送708消息以确认登录。消息可包括与推广应用和/或被推广的应用相关联的识别符。登录服务器接收710消息,且确定712其是否已经接收用于被推广的应用的认证代码。例如,登录服务器可检索与推广应用和/或被推广的应用相关联的识别符,且可使用这个信息来针对与这种信息相关联的认证代码搜索数据存储。响应于确定登录服务器已经接收认证代码,其向被推广的应用发送714一个或多个指令以不提示用户第二形式的认证。被推广的应用接收716指令。作为响应,被推广的应用不提示718用户任何形式的第二因素认证。被推广的应用准予720用户访问被推广的应用的内容、特征或者功能的至少一部分。
在各种实施例中,被推广的应用可能不生成认证代码,但可向登录服务器提供用户已经发出对于登录到被推广的应用中有效的第二因素确认的指示。例如,双因素认证可能根本不涉及客户端侧生成的代码,而是在可信环境中显示2FA提示。2FA提示是指用户在不同环境中(诸如例如在不同装置上、在另一应用中等)确认登录的提示。可信环境可为用户已经提供一个或多个访问凭证(或者以其它方式验证用户的身份)以访问环境的环境。同样地,用户可在2FA提示上选择“是”、“接受”、“确认”等来确认用户的登录。例如,用户可在搜索应用上的2FA提示上选择“是”来确认用户登录电子邮件应用。
推广应用可生成包括用户已经肯定地确认了2FA提示的指示的消息。推广应用可向登录服务器发送消息。在各种实施例中,推广应用可将消息在发送给登录服务器之前加密。加密使用与推广应用相关联的私钥来完成。这个消息可充当对登录服务器不要求被推广的应用中的第二形式的认证的指示。例如,在由被推广的应用联系时,登录服务器可能注意到已经为这个登录生成了2FA,且可指令被推广的应用不提示用户第二形式的认证。
如上文所提及,对2FA提示的用户确认可能与一个或多个限制相关联。例如,用户确认可能仅在有限的时间或有限的使用次数中有效、仅对从被推广的应用识别符而非从任何其它应用登录有效、仅对使用特定主要凭证有效(例如,仅对使用由那个开发者的所有应用共享的共享主要凭证(通常存储在装置的“秘钥串”空间等中)的登录有效)。
图8描绘了可用于包含或者实施程序指令的硬件的框图,诸如托管服务、针对托管服务的监视服务、正在访问托管服务的电子装置或者充当这些角色中的任何一个的虚拟机或者容器的程序指令。总线800充当互连硬件的其它图示部件的信息高速公路。总线可为系统的元件之间的物理连接或者有线或者无线通信系统,经由有线或者无线通信系统,系统的各种元件共享数据。处理器805是系统的执行计算和逻辑运算的处理装置,这些计算和逻辑运算是执行程序所需要的。由于这些术语在这个公开中使用,所以单独或者与图8中所公开的其它元件中的一个或多个结合的处理器805是处理装置、计算装置或者处理器的示例。处理装置可为物理处理装置、含于另一处理装置内的虚拟装置或者包括于处理装置内的容器。
存储器装置820是硬件元件或者硬件元件的区段,可将编程指令、数据或者两者存储与其上。只读存储器(ROM)和随机存取存储器(RAM)与云端存储服务一起构成存储器装置。
可选显示接口830可准许将信息以声音、视觉、图形或者字母数字格式显示在显示器835上。与外部装置的通信可使用各种通信装置840(诸如通信端口或者天线)来进行。通信装置840可通信地连接到通信网络,诸如互联网或者内联网。
硬件还可包括用户输入接口845,该用户输入接口允许从输入装置(诸如键盘或者小键盘850)或者其它输入装置855(诸如鼠标、触摸板、触摸屏、遥控器、指向装置、视频输入装置和/或麦克风)接收数据。数据还可从图像捕获装置810(诸如数码相机或者摄像机)接收。可包括位置传感器815和/或运动传感器865以检测装置的位置和移动。运动传感器870的示例包括陀螺仪或者加速度计。位置传感器815诸如从外部GPS网络接收位置数据的全球定位系统(GPS)传感器装置的示例。
上文所描述的特征和功能以及替代物可组合成许多其它不同系统或者应用。本领域的技术人员可做出各种替代、修改、变型或者改进,这些中的每一个也旨在被所公开的实施例包括。
技术在计算机处理和认证领域中具有广泛适用性。

Claims (20)

1.一种用于执行第二因素认证的生成的方法,包括:
通过安装在客户端电子装置上的第一应用来提示用户将第二应用安装在所述客户端电子装置上;
通过所述第一应用来提示所述用户授权所述第一应用生成双因素认证代码以用于登录所述第二应用;
响应于从所述用户接收安装所述第二应用的指示和从所述用户接收授权所述第一应用生成双因素认证代码的指示:
在所述客户端电子装置上安装所述第二应用,以及
由所述第一应用生成所述双因素认证代码;
通过所述第一应用向安装在所述客户端电子装置上的所述第二应用发送消息,其中,所述消息包括所述双因素认证代码;
启动安装在所述客户端电子装置上的所述第二应用;以及
使用所述双因素认证代码自动将所述用户登录到所述第二应用中而无需由所述第二应用提示所述用户提供所述双因素认证代码。
2.根据权利要求1所述的方法,其中,生成所述双因素认证代码包括使用与所述第一应用相关联的私钥来生成所述双因素认证代码。
3.根据权利要求1所述的方法,其中,向所述第二应用发送所述消息包括将所述双因素认证代码嵌入于所述消息中。
4.根据权利要求3所述的方法,其中,将所述双因素认证代码嵌入于所述消息中包括将所述双因素认证代码嵌入于所述消息的营销标记中。
5.根据权利要求1所述的方法,进一步包括通过所述第一应用使用与所述第一应用相关联的私钥将所述消息的至少一部分加密。
6.根据权利要求5所述的方法,进一步包括:
通过所述第二应用向登录服务器发送所述消息的所述至少一部分;以及
通过所述第二应用从所述登录服务器接收所述双因素认证代码有效的指示。
7.根据权利要求1所述的方法,其中,自动将所述用户登录到所述第二应用中包括在没有互联网连接的情况下自动将所述用户登录到所述第二应用中。
8.根据权利要求1所述的方法,进一步包括获得与所述用户访问所述第二应用相关联的一个或多个访问凭证,其中,所述一个或多个访问凭证不包括所述双因素认证代码。
9.根据权利要求1所述的方法,其中,所述双因素认证代码还包括与所述客户端电子装置的时钟或计数器相关联的动态数据。
10.一种用于执行第二因素认证的生成的方法,包括:
通过一个或多个服务器从客户端电子装置上的第一应用接收双因素认证代码以用于用户登录所述客户端电子装置上的第二应用;
通过所述一个或多个服务器从所述第二应用接收指示所述用户确认登录所述第二应用的消息;
由所述一个或多个服务器确定从所述第一应用接收到的所述双因素认证代码有效;以及
由所述一个或多个服务器向所述第二应用发送一个或多个指令以不针对所述双因素认证代码提示所述用户。
11.根据权利要求10所述的方法,其中,所述双因素认证代码与以下中的一个或多个相关联:
所述双因素认证代码有效的时间段;
所述双因素认证代码有效的使用次数;或者
所述第二应用的标识符,针对所述第二应用所述双因素认证代码有效。
12.一种用于执行第二因素认证的生成的系统,包括:
客户端电子装置,其中,第一应用安装在所述客户端电子装置上;
计算机可读存储介质,所述计算机可读存储介质包括一个或多个编程指令,所述一个或多个编程指令在被执行时使所述客户端电子装置进行以下操作:
提示用户将第二应用安装在所述客户端电子装置上,
提示所述用户授权所述第一应用生成双因素认证代码以用于登录所述第二应用,
响应于从所述用户接收安装所述第二应用的指示和从所述用户接收授权所述第一应用生成双因素认证代码的指示:
安装所述第二应用,以及
经由所述第一应用生成所述双因素认证代码,
经由所述第一应用向所述第二应用发送消息,其中,所述消息包括所述双因素认证代码,
启动所述第二应用,以及
使用所述双因素认证代码自动将所述用户登录到所述第二应用中而无需由所述第二应用提示所述用户提供所述双因素认证代码。
13.根据权利要求12所述的系统,其中,在执行时使所述第一应用生成所述双因素认证代码的所述一个或多个编程指令包括在执行时使所述第一应用使用与所述第一应用相关联的私钥来生成所述双因素认证代码的一个或多个编程指令。
14.根据权利要求12所述的系统,其中,在执行时使所述第一应用向所述第二应用发送所述消息的所述一个或多个编程指令包括在执行时使所述第一应用将所述双因素认证代码嵌入于所述消息中的一个或多个编程指令。
15.根据权利要求14所述的系统,其中,在执行时使所述第一应用将所述双因素认证代码嵌入于所述消息中的所述一个或多个编程指令包括在执行时使所述第一应用将所述双因素认证代码嵌入于所述消息的营销标记中的一个或多个编程指令。
16.根据权利要求12所述的系统,其中,所述计算机可读存储介质进一步包括在被执行时使所述第一应用使用与所述第一应用相关联的私钥将所述消息的至少一部分加密的一个或多个编程指令。
17.根据权利要求16所述的系统,其中,所述第二应用被配置成:
向登录服务器发送所述消息的所述至少一部分;以及
从所述登录服务器接收所述双因素认证代码有效的指示。
18.根据权利要求12所述的系统,其中,所述双因素认证代码还包括与所述客户端电子装置的时钟或计数器相关联的动态数据。
19.一种用于执行第二因素认证的生成的系统,包括:
一个或多个服务器,所述一个或多个服务器被配置为:
从客户端电子装置上的第一应用接收双因素认证代码以用于用户登录第二应用;
从所述第二应用接收指示所述用户确认登录所述第二应用的消息;
确定从所述第一应用接收到的所述双因素认证代码有效;以及
向所述第二应用发送一个或多个指令以不针对所述双因素认证代码提示所述用户。
20.根据权利要求19所述的系统,其中,所述双因素认证代码与以下中的一个或多个相关联:
所述双因素认证代码有效的时间段;
所述双因素认证代码有效的使用次数;或者
所述第二应用的标识符,针对所述第二应用所述双因素认证代码有效。
CN201880028786.4A 2017-09-26 2018-08-02 执行优先生成第二因素认证的方法和系统 Active CN110574350B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/715,815 2017-09-26
US15/715,815 US10496810B2 (en) 2017-09-26 2017-09-26 Methods and systems of performing preemptive generation of second factor authentication
PCT/US2018/044991 WO2019067086A1 (en) 2017-09-26 2018-08-02 METHODS AND SYSTEMS FOR PERFORMING ANTICIPATION GENERATION OF SECOND FACTOR AUTHENTICATION

Publications (2)

Publication Number Publication Date
CN110574350A CN110574350A (zh) 2019-12-13
CN110574350B true CN110574350B (zh) 2022-03-11

Family

ID=63209728

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880028786.4A Active CN110574350B (zh) 2017-09-26 2018-08-02 执行优先生成第二因素认证的方法和系统

Country Status (4)

Country Link
US (1) US10496810B2 (zh)
EP (1) EP3603014B1 (zh)
CN (1) CN110574350B (zh)
WO (1) WO2019067086A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11122034B2 (en) 2015-02-24 2021-09-14 Nelson A. Cicchitto Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system
US11171941B2 (en) * 2015-02-24 2021-11-09 Nelson A. Cicchitto Mobile device enabled desktop tethered and tetherless authentication
US10218695B1 (en) * 2018-03-27 2019-02-26 Capital One Services, Llc Systems and methods for providing credentialless login using a random one-time passcode
US11184173B2 (en) 2018-08-24 2021-11-23 Powch, LLC Secure distributed information system
US11283794B2 (en) * 2020-01-09 2022-03-22 Michael Kübler Method for monitoring activity of database server administrator in enterprise resource planning system and the tamper-proof enterprise resource planning system
CN112464244A (zh) * 2020-11-26 2021-03-09 中孚安全技术有限公司 一种基于系统登录过程进行安全加固方法,系统,终端及存储介质
US12021860B2 (en) * 2022-05-23 2024-06-25 Bank Of America Corporation Systems and methods for multi-stage, identity-based, digital authentication

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013049392A1 (en) * 2011-09-29 2013-04-04 Oracle International Corporation Mobile application, single sign-on management
CN103634316A (zh) * 2013-11-26 2014-03-12 乐视网信息技术(北京)股份有限公司 一种账号登录方法及电子设备
CN105007280A (zh) * 2015-08-05 2015-10-28 郑州悉知信息技术有限公司 一种应用登录方法和装置
EP3093786A1 (en) * 2015-05-13 2016-11-16 Spotify AB Automatic login on a website by means of an app
EP3179397A1 (en) * 2015-12-10 2017-06-14 Xiaomi Inc. Methods and devices for managing automatic parallel login and logout in several applications

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020004935A1 (en) * 2000-07-03 2002-01-10 Huotari Allen Joseph System for remote automated installation and configuration of digital subscriber line modems
US20050044385A1 (en) * 2002-09-09 2005-02-24 John Holdsworth Systems and methods for secure authentication of electronic transactions
US7707626B2 (en) * 2005-06-01 2010-04-27 At&T Corp. Authentication management platform for managed security service providers
WO2008074133A1 (en) * 2006-12-21 2008-06-26 Sxip Identity Corp. System and method for simplified login using an identity manager
CN101657807A (zh) * 2007-02-01 2010-02-24 瑞士信贷证券(美国)有限责任公司 用于动态控制对网络的访问的方法和系统
FR2926938B1 (fr) * 2008-01-28 2010-03-19 Paycool Dev Procede d'authentification et de signature d'un utilisateur aupres d'un service applicatif, utilisant un telephone mobile comme second facteur en complement et independamment d'un premier facteur
US8635701B2 (en) * 2008-03-02 2014-01-21 Yahoo! Inc. Secure browser-based applications
US20090249078A1 (en) * 2008-03-28 2009-10-01 Electronics And Telecommunications Research Institute Open id authentication method using identity selector
KR101446779B1 (ko) * 2008-07-09 2014-10-01 삼성전자주식회사 플래시 사용을 제한하는 촬영 제어 방법 및 장치
US20100077467A1 (en) 2008-09-19 2010-03-25 Microsoft Corporation Authentication service for seamless application operation
US8910274B2 (en) * 2011-07-28 2014-12-09 Xerox Corporation Multi-factor authentication using digital images of barcodes
US8844013B2 (en) * 2011-10-04 2014-09-23 Salesforce.Com, Inc. Providing third party authentication in an on-demand service environment
US9338156B2 (en) * 2013-02-22 2016-05-10 Duo Security, Inc. System and method for integrating two-factor authentication in a device
CN104348777B (zh) * 2013-07-24 2019-04-09 腾讯科技(深圳)有限公司 一种移动终端对第三方服务器的访问控制方法及系统
CN103595809A (zh) * 2013-11-22 2014-02-19 乐视致新电子科技(天津)有限公司 智能电视中的账户信息管理方法及装置
US10356071B2 (en) * 2014-04-14 2019-07-16 Mcafee, Llc Automatic log-in and log-out of a session with session sharing
US10206099B1 (en) * 2015-07-31 2019-02-12 Symantec Corporation Geolocation-based two-factor authentication

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013049392A1 (en) * 2011-09-29 2013-04-04 Oracle International Corporation Mobile application, single sign-on management
CN103634316A (zh) * 2013-11-26 2014-03-12 乐视网信息技术(北京)股份有限公司 一种账号登录方法及电子设备
EP3093786A1 (en) * 2015-05-13 2016-11-16 Spotify AB Automatic login on a website by means of an app
CN105007280A (zh) * 2015-08-05 2015-10-28 郑州悉知信息技术有限公司 一种应用登录方法和装置
EP3179397A1 (en) * 2015-12-10 2017-06-14 Xiaomi Inc. Methods and devices for managing automatic parallel login and logout in several applications

Also Published As

Publication number Publication date
WO2019067086A1 (en) 2019-04-04
US10496810B2 (en) 2019-12-03
EP3603014A1 (en) 2020-02-05
EP3603014B1 (en) 2021-12-01
US20190095606A1 (en) 2019-03-28
CN110574350A (zh) 2019-12-13

Similar Documents

Publication Publication Date Title
CN110574350B (zh) 执行优先生成第二因素认证的方法和系统
US10735196B2 (en) Password-less authentication for access management
US10462142B2 (en) Techniques for implementing a data storage device as a security device for managing access to resources
EP3365827B1 (en) End user initiated access server authenticity check
US10492067B2 (en) Secure access authorization method
CN107222485B (zh) 一种授权方法以及相关设备
EP3365830B1 (en) Establishing trust between containers
EP3272093B1 (en) Method and system for anti-phishing using smart images
EP3198421A1 (en) Rule based device enrollment
US11750590B2 (en) Single sign-on (SSO) user techniques using client side encryption and decryption
US11196736B2 (en) Systems and methods for location-aware two-factor authentication
WO2018164920A1 (en) Quick response (qr) code for secure provisioning of a user device to perform a secure operation
CN103036852A (zh) 一种实现网络登录的方法以及装置
EP3619904B1 (en) Smart card thumb print authentication
US20150381622A1 (en) Authentication system, authentication method, authentication apparatus, and recording medium

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant