CN111492358B - 设备认证 - Google Patents

设备认证 Download PDF

Info

Publication number
CN111492358B
CN111492358B CN201880081743.2A CN201880081743A CN111492358B CN 111492358 B CN111492358 B CN 111492358B CN 201880081743 A CN201880081743 A CN 201880081743A CN 111492358 B CN111492358 B CN 111492358B
Authority
CN
China
Prior art keywords
user
credential
authentication service
credentials
local area
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201880081743.2A
Other languages
English (en)
Other versions
CN111492358A (zh
Inventor
A·禅达拉娜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
British Telecommunications PLC
Original Assignee
British Telecommunications PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by British Telecommunications PLC filed Critical British Telecommunications PLC
Publication of CN111492358A publication Critical patent/CN111492358A/zh
Application granted granted Critical
Publication of CN111492358B publication Critical patent/CN111492358B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/047Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
    • H04W12/0471Key exchange
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一种向认证服务注册设备的方法;其中,所述方法包括:所述设备执行:在所述设备与第二设备之间建立安全连接;其中,所述第二设备被注册到所述认证服务;其中,所述第二设备被分配给所述用户;其中,所述安全连接包括以下中的一项:无线数据连接;以及通过LAN的有线数据连接;其中,所述方法还包括:所述设备执行:通过所述安全连接从已注册的设备获得与已注册的设备唯一关联的标识符;向认证服务提供用户已知的第一凭证和根据所述标识符得出的第二凭证;以及基于第一凭证和第二凭证请求进行注册。

Description

设备认证
技术领域
本发明涉及认证服务并且涉及向认证服务注册设备。
背景技术
计算机网络的网络接入点(诸如有线接入点或无线接入点)向计算设备提供对诸如局域网、广域网或这两者的组合的接入。这样的设备可以包括:诸如移动计算机、蜂窝电话、普及型设备、可佩戴设备等的移动设备;包括传感器、电气用具、检测器、开关、发送器、接收器等的物联网(IoT)设备;以及对于熟悉计算机网络领域的人员来说显而易见的其它移动设备。安全性通常是由实施双因素认证的认证服务提供的。为了使用双因素认证来证明所述设备的身份,用户需要他们所知道的(something they know)(例如,认证服务也知道的密码)和他们所拥有的(something they have)。
当前技术能够破解大量常用密码。黑客只需要使用用户的用户名(这通常为用户的电子邮件地址)和密码,以便接入甚至控制用户的已注册的设备。客户常常跨多个第三方服务重复使用其密码,从而使用户接入的其它服务易受攻击。
通过如下所述地向认证服务注册用户的设备(例如,移动电话),可以实现该移动电话的认证。认证服务通常会将包含PIN码的SMS消息发送至移动电话的电话号码。然后,用户操作他们的移动电话,以通过不同的链路(通常经由移动电话上加载的app或web浏览器)将该PIN发送回认证服务。成功地返回PIN证实用户可以使用移动电话(你所拥有的(something you have))。然而,对SMS的依赖性在认证方案中引入了弱点,因为SMS消息是未加密的,并且例如因传输延迟而可能不可靠。
发明内容
因此,在第一方面,本发明提供了一种向认证服务注册设备的方法;其中,所述方法包括:所述设备执行以下操作:在所述设备与第二设备之间建立安全连接;其中,所述第二设备被注册到所述认证服务;其中,所述第二设备被分配给所述用户;其中,所述安全连接包括以下中的一项:局域网上的无线数据连接;以及局域网上的有线数据连接;其中,所述方法还包括:所述设备执行以下操作:通过所述安全连接从已注册的设备获得与所述已注册的设备唯一关联的标识符;向所述认证服务提供所述用户已知的第一凭证和根据所述标识符得出的第二凭证;以及基于所述第一凭证和所述第二凭证请求进行注册。
一旦设备被成功注册,这就以“你所拥有的”的形式来提供增强安全源。有利地,该解决方案提供了改进的客户体验,这是因为一旦未注册的移动电话处于局域网的范围内,并且不包含一次性令牌、经由SMS交换的PIN码等,就可以自动地实施该解决方案。
因此,在第二方面,本发明提供了所述设备:在所述设备与多个第二设备之间建立安全连接,其中,所述多个第二设备中的各个第二设备(已经)向所述认证服务进行了注册,其中,所述多个第二设备中的各个第二设备被分配给所述用户;其中,所述安全连接中的各个安全连接皆包括以下中的一项:通过局域网的无线数据连接;以及通过局域网的有线数据连接;从多个所述已注册的设备中的各个已注册的设备获得与所述已注册的设备唯一关联的标识符;向所述认证服务提供多个第二凭证,所述多个第二凭证是根据从多个所述已注册的设备中的各个已注册的设备获得的所述标识符得出的;以及基于所述第一凭证和所述多个第二凭证请求进行注册。
根据实施方式,所述第二凭证可以例如依靠包括所述标识符的散列、包括所述标识符的加密形式或者简单地包括所述标识符而根据所述标识符得出。
优选地,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证均是通过所述安全连接/各个安全连接(并且优选地仅通过所述安全连接/各个安全连接)直接获得和/或提供的。
优选地,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证均是经由安全应用编程接口直接获得和/或提供的。
优选地,所述安全应用编程接口是由所述第一设备提供(或托管(host))的。
优选地,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证均是仅在所述第一网络设备和所述第二网络设备连接至同一局域网时才获得和/或提供的。
优选地,与所述第一设备的位置无关的情况下执行所述第一设备的注册(已经向所述认证服务提供了所述第一凭证和所述第二凭证)。位置可以是:绝对的;与所述第二设备相对的;和/或与所述局域网相对的。
优选地,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证各自是通过单播或多播来获得和/或提供的。优选地,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证是在没有广播的情况下获得和/或提供的。
优选地,所述认证服务对所述第一设备的注册是永久性的。优选地,注册不是有时间限制/临时的。优选地,所述第一设备可在没有所述安全连接的情况下向所述认证服务进行注册,所述第一设备已经获得了所述标识符/各个标识符。
优选地,所述标识符是静态的(即,随着前述方法的每次迭代皆保持不变)或者是动态的(即,其在前述方法的迭代之间发生改变)。
根据实施方式,所述无线数据连接可以是IEEE 802.11中规定的Wi-FiTM连接。
根据实施方式,所述无线数据连接可以是由BluetoothTM Special InterestGroup规定的BluetoothTM连接。
根据实施方式,所述方法可以包括:所述设备通过检查到所述设备的IP地址与所述第二设备的IP地址处于同一地址域内,确定所述设备与所述第二设备是经由局域网连接的。
根据实施方式,所述方法可以包括:所述设备通过检查到所述设备连接至的无线网络的SSID与所述第二设备连接至的无线网络的SSID是相同的,确定所述设备与所述第二设备是经由局域网连接的。
根据实施方式,所述设备和所述第二设备或者各个第二设备可以共享密钥。
根据实施方式,所述安全连接或者各个安全连接是通过Wi-FiTM、BluetoothTM、ZwaveTM、ZigBeeTM、以太网以及USBTM中的至少一者建立的。
根据实施方式,所述安全连接或者各个安全连接可以通过对等链路建立。
根据实施方式,所述设备可以是各自具有通信能力的移动电话、平板计算机设备以及移动计算设备中的一者。
根据实施方式,所述设备和所述第二设备或者各个第二设备共处在一地。
优选地,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证是加密的。
优选地,其中,一旦所述第一设备被注册到所述认证服务,所述第一设备就适于在前述方法的另一迭代中作为所述第二设备。
根据实施方式,所述安全连接或者各个安全连接可以遍布在由所述用户占据的房屋中。
根据实施方式,所述安全连接或者各个安全连接可以被约束至由所述设备和由所述第二设备所占据的房屋。
因此,在第三方面,本发明提供了一种包括计算机程序代码的计算机程序部件,所述计算机程序代码在被加载到计算机系统中并且在该计算机系统上执行时,使所述计算机执行如上所阐述的方法的步骤。
本发明扩展至本文所描述和/或例示的任何新颖的方面或特征。本发明扩展至大致如本文所描述的和/或如参照附图所例示的方法和/或设备。本发明还提供了用于执行本文所描述的任何方法和/或用于具体实施本文所描述的任何设备特征的计算机程序和计算机程序产品,以及存储有用于执行本文所描述的任何方法和/或用于具体实施本文所描述的任何设备特征的程序的计算机可读介质。
本发明还提供了具体实施用于执行本文所描述的任何方法和/或用于具体实施本文所描述的任何设备特征的计算机程序的信号、发送这种信号的方法、以及具有这样的操作系统的计算机产品,即,该操作系统支持用于执行本文所描述的任何方法和/或用于具体实施本文所描述的任何设备特征的计算机程序。
也可以将本文所描述的任何设备特征提供为方法特征,并且同样也可以将本文所描述的任何方法特征提供为设备特征。如本文所使用的,设备加功能特征可以根据它们的对应结构(诸如适当编程的处理器和相关联的存储器)另选地进行表达。
可以将本发明的一个方面的任何特征以任何恰当的组合应用于本发明的其它方面。特别地,可以将方法方面应用于设备方面,并且同样可以将设备方面应用于方法方面。而且,可以将一个方面的任何、一些和/或所有特征以任何恰当的组合应用于任何其它方面的任何、一些和/或所有特征。还应清楚,可以独立地实现和/或提供和/或使用在本发明的任何方面中描述和定义的各种特征的特定组合。
在本说明书中,除非另有说明,否则单词“或”可以以排它性或包容性意义来加以解释。
而且,以硬件实现的特征通常可以以软件来实现,并且以软件实现的特征同样也可以以硬件来实现。应当相应地解释本文中对软件和硬件特征的任何引用。
本发明扩展至对如本文所描述的和/或大致如参照附图所例示的设备进行注册的方法。
附图说明
为了可以更好理解本发明,现在,参照附图,仅通过示例的方式,对本发明的实施方式进行描述,其中:
图1示意性地示出了示例性局域网;
图2示意性地示出了示例性移动电话;
图3和图4示意性地示出了根据实施方式的向认证服务注册设备的系统;以及
图5和图6指示实施方式的操作。
具体实施方式
现在,我们描述示例性实施方式,该示例性实施方式致力于解决用户想要对未注册的设备(例如,移动电话或台式计算机)进行认证以接入诸如在线账户的安全资源的情形。根据示例性实施方式,未注册设备的认证基于被添加至常规单因素认证的附加因素,同时避免依赖SMS。根据实施方式,额外的因素利用用户的未注册的设备与向认证服务注册了的第二设备之间的通过用户的局域网的通信。当设备的网络地址属于同一子网和/或所述设备具有相同的广播地址时,认为这些设备连接至或属于同一局域网。局域网通常可以基于Wi-FiTM/以太网路由器,诸如来自British Telecommunications plcTM的BT Home HubTM。可以连接至用户的局域网并向认证服务进行了注册的第二设备的示例是物联网(IoT)设备。IoT设备包括:恒温器、智能音箱、智能电源插座、网络摄像机以及提供多种不同功能的其它设备。用户家中的IoT设备通常连接至用户的局域网(诸如Wi-FiTM或以太网),以提供与其它本地设备的通信,并且经由宽带调制解调器与互联网上的远程服务器进行通信。在用户的局域网上通过有线连接接入第二设备是安全的,这是由于其被限制成直接接入局域网的物理布线的设备,这通常意味着在用户的房屋或者其它受限制的区域内部的接入。通过无线连接接入第二设备将被限制成本地无线网络的物理范围内的设备,该本地无线网络可能会延伸到街道和附近的物业。无线连接的接入是安全的,这是由于其被进一步限制成安全登录到促进局域网通信的无线集线器或路由器的设备。
图1示出了示例性局域网,该局域网具有通过无线和有线连接来支持局域网的基站(宽带家庭网关1)。局域网通常将被安装在客户的房屋9处,并且通过诸如互联网6的数据通信系统连接至包括认证服务4在内的一个或更多个远程服务器。家庭网关1具有通信接口硬件17,该通信接口硬件在处理器的控制下支持通过无线接口12的通信,以与一个或更多个无线设备7进行无线(例如,Wi-FiTM)通信;并且支持通过有线接口13的通信,以通过线缆连接与一个或更多个有线设备8进行(例如,以太网)通信。家庭网关1还包括路由器11,该路由器在局域网接口12、13与外部连接硬件16之间切换通信业务,从而在连接至家庭网关1的设备7、8与诸如“互联网”6的外部通信网络之间提供连接。家庭网关1是由管理系统14控制的,该管理系统包括处理器(未示出),该处理器执行在代码存储部15中保持的管理软件代码,以控制家庭网关的操作,所述操作包括路由器11、外部连接硬件16以及通信接口硬件17的操作。如本文所使用的,术语处理器广义上是指诸如微控制器、微处理器、微型计算机、可编程逻辑控制器、专用集成电路以及具有执行存储的程序的能力的任何其它可编程电路的计算设备。
图2更详细地示出了示例性移动电话200。移动电话200的主要功能部件是在工作上能够联接至存储器220的处理器210。存储器220中存储有计算机软件代码,该计算机软件代码提供对移动电话200的操作(诸如无线通信以及消息和网页的显示)的各个方面进行控制的指令。提供通信接口硬件234以在处理器210的控制下发送和接收通信业务。通信接口可以是被连接至天线以进行无线通信的无线收发器。显示驱动器接口硬件236连接至触摸屏显示器25,以在处理器210的控制下将图形元素提供在该显示器上。触摸屏传感器接口硬件238连接至触摸屏显示器25,以在处理器210的控制下对触摸信号进行处理。
图3通过示例性实施方式示出了向认证服务注册设备的系统。未注册的设备310经由局域网路由器314连接在局域网312中。其它设备(诸如个人计算机316和IoT设备318)也经由局域网路由器314连接在局域网312中。根据实施方式,可以将一对或更多对设备按照对等关系相互连接(尽管为清楚起见,没有示出这样的连接)。局域网312经由局域网路由器314通过互联网连接至位于云服务322中的远程认证服务器320。认证服务320(例如,运行认证软件代码的服务器)可以使用数据库324,该数据库保持着向认证服务320进行了注册的设备的记录。
图4通过另一示例性实施方式示出了向认证服务注册设备的另一系统。未注册的设备410和已注册的设备418(例如,IoT设备)通过专有的对等连接412进行了相互连接。未注册的设备410还经由蜂窝电话网络414并且通过互联网连接至位于云服务422中的远程认证服务器420。认证服务420(例如,运行认证软件代码的服务器)可以使用数据库424,该数据库保持着向认证服务420进行了注册的设备的记录。
现在,我们通过示例性实施方式,参照图5来讨论本发明的应用:当用户的移动电话在局域网中连接时,向认证服务注册该移动电话。应当清楚,本发明并不特定于移动电话,并且本发明涵盖了针对其它类型的用户设备(诸如运行WindowsTM软件的台式计算机、运行AndroidTM软件的平板计算机、IoT设备以及可佩戴技术)的认证的其它实施方式。当用户在家时,该用户的移动电话可以通过Wi-FiTM连接至家庭局域网。另选实施方式适用于运行WindowsTM软件的用户的台式计算机,该计算机通过以太网线缆连接至家庭局域网。移动电话app(诸如由
Figure GDA0004209379680000071
和BelkinTM提供的那些app)可用于例如通过Wi-FiTM对IoT设备进行监测和控制。现在,我们部分地基于在移动电话与连接至用户的局域网且向认证服务进行了注册的第二设备(例如,IoT设备)之间的交换来描述向认证服务注册未注册的移动电话。
根据所提出的解决方案,未注册的移动电话运行客户端app,该客户端app在移动电话上实施安全处理以证实用户确实是该用户。返回至图5,在512,用户输入凭证(你所知道的(something you know)),例如,用户的用户名和密码。客户端app被编程为与认证服务进行通信,并且在514,例如经由OAuth或者使用另选的基于API的登录将输入的凭证提供给认证服务,客户端app还向认证服务提供了用户的设备的唯一标识符。对于移动电话,该唯一标识符可以是UUID(RFC 4122)。对于其它形式的用户设备,其它形式的唯一标识符可能是优选的,例如,对于台式计算机,可以从用户代理头部(RFC 1945)得出唯一标识符。在516,认证服务检查唯一设备标识符(例如,UUID或者另一唯一ID)的记录是否存在于已注册设备数据库324中,以指示该用户的移动电话已进行了注册。在用户的移动电话被记录为已进行了注册的情况下,在518,认证服务向用户提供对安全资源的接入。在用户的移动电话未被记录为已注册的情况下,在520,认证服务通知客户端app基于“你所拥有的”来启动二级安全证实处理。
在得到认证服务通知的情况下,客户端app对连接至该移动电话当前连接至的局域网的设备进行检查。在开始验证处理时,在522,客户端app对与分配给用户的用户移动电话处于同一局域网上的其它设备进行搜索。客户端app与局域网上的其它设备进行通信,以获得分配给该设备的一个或更多个唯一标识符(例如,UUID或者其它唯一ID)。为了安全地进行该操作,根据一个实施方式,客户端app经由在已注册的设备上运行的专有API(应用编程接口)对第二设备进行认证。在客户端app在同一局域网312上发现一个或更多个其它设备的情况下,在524,客户端app获得对于同一局域网上的所述其它设备或者各个其它设备唯一的一个或更多个标识符。一旦从局域网上的至少一个其它设备成功地获得一个或更多个标识符,在未注册的移动电话上运行的客户端app就与认证服务进行通信,并将所述一个或更多个标识符作为一个或更多个凭证提供给认证服务。在获得了对于同一局域网上的另一设备唯一的至少一个标识符后,在526,客户端app向认证服务320呈现一个或更多个另一凭证,其中,所述凭证或各个凭证是根据从同一局域网上的另一设备获得的一个或更多个设备唯一标识符得出的。
在528,认证服务320检查在已注册设备数据库324中是否存在以下记录:将分配给用户的已注册的设备映射至从未注册的设备接收到的所述一个或更多个凭证。可以在建立时(即,在用户首次将设备(诸如IoT设备)配置成连接至它们的局域网时),将设备分配给用户。在其它实施方式中,可以将设备(例如,机顶盒)在派送时分配给用户。然后,分配给各个用户的设备的列表对于认证服务器变得可用,例如,“已经将具有序列号XYX12345的机顶盒发送至jo.vloggs@bt.com”。
如果在唯一标识符的记录中成功地发现匹配,这向认证服务指示未注册的移动电话可以接入分配给该用户且已向认证服务进行了注册的设备,即,“你所拥有的”。如果发现一个或多个合适的记录,在530,认证服务将用户的先前未注册的设备的唯一标识符添加至分配给该用户的已注册的设备的列表,然后在532,相应地通知用户。根据实施方式,在518,认证服务可以向用户提供对安全资源的接入。现在,用户可以在不依赖于与局域网的任何连接的情况下,使用移动电话(即,呈现该移动电话的唯一标识符)作为附加凭证,利用两部分认证来登录认证服务。在另选情况下,如果在已注册设备数据库中找不到一个或多个合适的记录,在534,认证服务提示用户的移动电话显示适当的错误消息或帮助消息,例如,提示用户当他们在局域网上时进行重试。
现在,我们通过示例性实施方式,参照图6来讨论本发明的另一应用:当用户的移动电话通过P2P连接与认证服务连接(即,局域网等同于两个设备之间的链路)时,对该用户的移动电话进行注册。常见的P2P技术是BluetoothTM,现在通过示例性实施方式来描述部分地基于在移动电话与第二设备(例如,IoT设备)之间的交换来向认证服务注册未注册的移动电话,该第二设备通过BluetoothTM进行通信并且已向认证服务进行了注册。BluetoothTM通信是现代移动电话的标准功能。当用户的移动电话处于活动的BluetoothTM设备(即,正在主动发送Bluetooth信号的如IoT设备的设备)的范围内时,用户的移动电话可以通过BluetoothTM连接至BluetoothTM设备。
根据所提出的解决方案,未注册的移动电话运行客户端app,该客户端app在移动电话上实施安全处理以证实用户确实就是该用户。返回至图6,在612,用户输入凭证(你所知道的),例如,用户的用户名和密码。在614,使用OAuth或另选方式将输入的凭证呈现给认证服务。移动设备的唯一设备ID也被呈现给认证服务。在616,认证服务检查该唯一设备ID记录是否存在于已注册设备数据库324中,以指示该用户的移动电话已进行注册。在用户的移动电话被记录为已进行了注册的情况下,在618,认证服务向用户提供对安全资源的接入。在用户的移动电话未被记录为已注册的情况下,在620,认证服务通知客户端app开始验证处理。在开始验证处理时,在622,客户端app对处于分配给用户的用户移动电话的范围内的其它有BluetoothTM功能的设备进行搜索。如果客户端app在范围内发现Bluetooth设备,在624,客户端app建立与该BluetoothTM设备的BluetoothTM连接,并获得该BluetoothTM设备唯一的一个或更多个标识符。在通过BluetoothTM连接获得了另一设备唯一的至少一个标识符后,在626,客户端app经由蜂窝电话网络414并且通过互联网向认证服务320呈现一个或更多个另一凭证,其中,所述凭证或各个凭证是根据另一设备唯一的所述一个或更多个标识符得出的。在628,认证服务320检查在已注册设备数据库324中是否存在以下记录:该记录将凭证映射至分配给用户的已注册的设备。在发现一个或多个合适的记录的情况下,在630,认证服务将用户的先前未注册的设备添加至分配给该用户的已注册的设备的列表,然后在632,相应地通知用户。在618,认证服务向用户提供对安全资源的接入。在另选情况下,如果在已注册设备数据库中找不到一个或多个合适的记录,在634,认证服务提示用户的移动电话显示适当的错误或帮助消息,例如,提示用户在接下来处于活动的BluetoothTM设备的范围内时进行重试。
客户端app可以经由路由器或者通过移动电话与已注册的设备之间的直接的对等(P2P)局域网连接来建立局域网连接。可以有多种方式来实现未注册的移动电话与已注册的设备之间的交互。根据实施方式,经由路由器执行的交互可以包括以下(1)或(2),或者(1)和(2)的组合:
1)基于分配给移动电话的IP地址,客户端app检查未注册的移动电话的IP地址是否处于局域网的地址域内—即,与移动电话处于同一地址域内(例如,其中局域网的地址域为192.168.x.x,并且已注册的IoT设备的IP地址也包含在地址范围192.168.x.x中)。与其它企业网络或互联网没有直接连接的企业网络将可以使用其它地址范围。
2)客户端app可以检查未注册的移动电话所连接至的无线网络的SSID与已注册的设备所连接至的无线网络的SSID是否相同。例如,客户端app经由安全API与已注册的设备进行对话,并且要求已注册的设备确认该已注册的设备所连接至的无线网络的SSID。
未注册的设备经由路由器与已注册的设备进行对话,从已注册的设备得到唯一ID,并将该唯一ID呈现给认证服务,该认证服务指示所述唯一ID是否对应于被分配给用户的已注册的设备。
根据实施方式,经由P2P执行的交互可以包括下面的(3)。
3)客户端app在移动电话与第二设备之间建立直接的P2P连接(例如,经由Wi-FiTM或BluetoothTM)。在BluetoothTM的情况下,客户端app利用共享的公用“链路密钥”通过加密的BluetoothTM链路从第二设备获得唯一ID,该链路密钥被用于安全地交换加密数据。在P2PWi-FiTM的情况下,局域网上的这种交互将类似于利用路由器的标准Wi-FiTM网络。基于i)IP地址处于地址域内,并且也基于ii)证实客户端设备所连接至的SSID是网关设备正在广播的同一SSID来证实局域网。未注册的设备以P2P模式与已注册的设备进行对话,从已注册的设备得到唯一ID,并将该唯一ID呈现给认证服务,该认证服务指示该唯一ID是否对应于分配给用户的已注册的设备。
局域网可以包括DECT或低功率无线技术,诸如ZWaveTM、ZigbeeTM以及BluetoothTM。这些技术通常使用连接至路由器或者被包括在路由器中的网关。网关充当低特定无线频率范围内的所有通信的中介。根据实施方式,经由DECT或低功率无线技术执行的交互可以包括:未注册的移动设备向路由器发送搜索已注册的设备的请求。路由器将该请求转发至网关,然后网关向低功率无线技术设备询问这些低功率无线技术设备的唯一ID。将所述唯一ID传递回路由器,然后路由器使所述唯一ID可用于客户端app。然后,客户端app如在上面的情况中所述的那样继续进行请求注册。如上所述,与路由器的通信可以是有线的或无线的。
只要所描述的本发明的实施方式至少部分地可使用诸如微处理器、数字信号处理器或其它处理设备的软件控制可编程处理设备、数据处理设备或系统来实现,就应当清楚,对实现前述方法的可编程设备、设备或系统进行配置的计算机程序都被设想为本发明的一方面。该计算机程序例如可以被具体实施为源代码或者经历编译以在处理设备、设备或系统上实现,或者可以被具体实施为目标代码。
合适地,该计算机程序是以机器或设备可读形式存储在载体介质上的,例如存储在固态存储器、诸如磁盘或磁带的磁存储器、光学或磁光可读存储器(诸如光盘或数字通用盘等)中,并且处理设备利用该程序或该程序的一部分来配置该处理设备以供操作。可以从在诸如电子信号、射频载波或光学载波的通信媒介中具体实施的远程源提供该计算机程序。这种载体介质也被设想为本发明的各方面。
本领域技术人员应当明白,尽管已经关于上述示例实施方式对本发明进行了描述,但本发明不限于此,而是存在落入本发明的范围内的许多可能变型和修改。本发明不限于移动电话的使用,并且可以使用能够通过本地无线通信网络以及通过电话网络进行通信的另选设备(诸如平板电脑或计算机)来实现。
可以独立地或者以任何恰当的组合来提供在说明书中以及(在合适的情况下)权利要求和附图中公开的各个特征。
出现在权利要求中的标号仅是例示性的,并且对权利要求的范围没有限制作用。

Claims (23)

1.一种向认证服务注册设备的方法,所述方法由第一设备执行,所述方法包括以下步骤:
在所述第一设备与第二设备之间建立安全连接,其中,所述第二设备被注册到所述认证服务并且被分配给用户,并且其中,所述安全连接包括以下中的一项:
局域网上的无线数据连接;以及
局域网上的有线数据连接;
通过所述安全连接从所述第二设备获得与所述第二设备唯一关联的标识符;
向所述认证服务提供所述用户已知的第一凭证和根据所述标识符得出的第二凭证,所述用户已知的所述第一凭证包括所述用户的用户名和密码;以及
基于所述第一凭证和所述第二凭证,请求向所述认证服务注册所述第一设备。
2.根据权利要求1所述的方法,所述方法还包括以下步骤:
在所述第一设备与多个第二设备之间建立安全连接,其中,所述多个第二设备中的各个第二设备被注册到所述认证服务并且被分配给所述用户,并且其中,所述安全连接中的各个安全连接包括以下中的一项:
局域网上的无线数据连接;以及
局域网上的有线数据连接;
从所述多个第二设备中的各个第二设备获得与所述多个第二设备中的至少一个第二设备唯一关联的标识符;
向所述认证服务提供多个第二凭证,所述多个第二凭证是根据从所述多个第二设备中的各个第二设备获得的标识符得出的;以及
基于所述第一凭证和所述多个第二凭证请求进行注册。
3.根据权利要求1或2所述的方法,其中,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证是通过所述安全连接/各个安全连接直接获得和/或提供的。
4.根据权利要求1或2所述的方法,其中,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证是经由安全应用编程接口直接获得和/或提供的。
5.根据权利要求4所述的方法,其中,所述安全应用编程接口是由所述第一设备提供的。
6.根据权利要求1或2所述的方法,其中,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证是仅在所述第一设备和所述第二设备连接至同一局域网时才获得和/或提供的。
7.根据权利要求1或2所述的方法,其中,不管所述第一设备的位置在哪里,执行所述第一设备的注册。
8.根据权利要求1或2所述的方法,其中,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证是通过单播或多播获得和/或提供的。
9.根据权利要求1或2所述的方法,其中,所述认证服务对所述第一设备的注册是永久性的。
10.根据权利要求1或2所述的方法,其中,所述无线数据连接是IEEE 802.11中规定的Wi-FiTM连接。
11.根据权利要求1或2所述的方法,其中,所述无线数据连接是由BluetoothTMSpecialInterest Group规定的BluetoothTM连接。
12.根据权利要求1或2所述的方法,其中,所述第一设备与所述第二设备或各个第二设备共享密钥。
13.根据权利要求1或2所述的方法,所述方法还包括以下步骤:通过检查到所述第一设备的IP地址与所述第二设备或各个第二设备的IP地址处于同一地址域内,所述第一设备确定所述第一设备与该第二设备是经由局域网连接的。
14.根据权利要求1或2所述的方法,所述方法还包括以下步骤:通过检查到所述第一设备连接至的无线网络的SSID与所述第二设备或各个第二设备连接至的无线网络的SSID是相同的,所述第一设备确定所述第一设备与所述第二设备或各个第二设备是经由局域网连接的。
15.根据权利要求1或2所述的方法,其中,所述安全连接或者各个安全连接是通过Wi-FiTM、BluetoothTM、ZwaveTM、ZigBeeTM、以太网以及USBTM中的至少一者建立的。
16.根据权利要求1或2所述的方法,其中,所述安全连接或者各个安全连接是通过对等链路建立的。
17.根据权利要求1或2所述的方法,其中,所述第一设备是具有通信能力的移动电话、平板计算机以及移动计算设备中的一者。
18.根据权利要求1或2所述的方法,其中,所述第一设备与所述第二设备或各个第二设备共处在一地。
19.根据权利要求1或2所述的方法,其中,所述安全连接或各个安全连接遍布在所述用户占据的房屋中。
20.根据权利要求1或2所述的方法,其中,所述安全连接或各个安全连接被约束至由所述第一设备和由所述第二设备所占据的房屋。
21.根据权利要求1或2所述的方法,其中,所述标识符/各个标识符、所述第一凭证和/或所述第二凭证/各个第二凭证是加密的。
22.根据权利要求1或2所述的方法,其中,一旦所述第一设备被所述认证服务注册,所述第一设备适于在根据权利要求1至21中任一项所述的方法的另一迭代中作为所述第二设备。
23.一种包括计算机程序代码的计算机程序部件,所述计算机程序代码在被加载到计算机系统中并且在该计算机系统上执行时,使所述计算机执行根据权利要求1至22中任一项所述的方法的步骤。
CN201880081743.2A 2017-12-22 2018-12-06 设备认证 Active CN111492358B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP17210433.3 2017-12-22
EP17210433 2017-12-22
PCT/EP2018/083838 WO2019121043A1 (en) 2017-12-22 2018-12-06 Device authentication

Publications (2)

Publication Number Publication Date
CN111492358A CN111492358A (zh) 2020-08-04
CN111492358B true CN111492358B (zh) 2023-06-16

Family

ID=60915341

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880081743.2A Active CN111492358B (zh) 2017-12-22 2018-12-06 设备认证

Country Status (4)

Country Link
US (1) US11812262B2 (zh)
EP (1) EP3729310B1 (zh)
CN (1) CN111492358B (zh)
WO (1) WO2019121043A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11777992B1 (en) * 2020-04-08 2023-10-03 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US11706241B1 (en) 2020-04-08 2023-07-18 Wells Fargo Bank, N.A. Security model utilizing multi-channel data
US12015630B1 (en) 2020-04-08 2024-06-18 Wells Fargo Bank, N.A. Security model utilizing multi-channel data with vulnerability remediation circuitry

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105578467A (zh) * 2015-12-29 2016-05-11 腾讯科技(深圳)有限公司 接入无线接入点的系统、方法及装置
CN105635165A (zh) * 2012-12-27 2016-06-01 英特尔公司 无线设备的安全在线注册和配置
CN105830414A (zh) * 2013-10-01 2016-08-03 鲁库斯无线公司 使用凭证的安全的网络接入

Family Cites Families (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007089217A2 (en) * 2004-11-05 2007-08-09 Kabushiki Kaisha Toshiba Network discovery mechanisms
US8762263B2 (en) * 2005-09-06 2014-06-24 Visa U.S.A. Inc. System and method for secured account numbers in proximity devices
US8775647B2 (en) * 2007-12-10 2014-07-08 Deluxe Media Inc. Method and system for use in coordinating multimedia devices
US8752770B2 (en) * 2008-08-19 2014-06-17 Mastercard International Incorporated Methods and systems to remotely issue proximity payment devices
US20100151929A1 (en) * 2008-12-12 2010-06-17 Oram Thomas K Gaming Method, System and Apparatus Incorporating Personalized Guaranteed Prize Structure
CA2789216C (en) * 2010-02-08 2017-02-14 Daniel Friedlaender Method, apparatus, and use of presence detection
US8898759B2 (en) * 2010-08-24 2014-11-25 Verizon Patent And Licensing Inc. Application registration, authorization, and verification
US8713589B2 (en) * 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
US8769304B2 (en) * 2011-06-16 2014-07-01 OneID Inc. Method and system for fully encrypted repository
US9544075B2 (en) * 2012-02-22 2017-01-10 Qualcomm Incorporated Platform for wireless identity transmitter and system using short range wireless broadcast
US10419907B2 (en) * 2012-02-22 2019-09-17 Qualcomm Incorporated Proximity application discovery and provisioning
US8392712B1 (en) * 2012-04-04 2013-03-05 Aruba Networks, Inc. System and method for provisioning a unique device credential
US9300578B2 (en) * 2013-02-21 2016-03-29 Applied Micro Circuits Corporation Large receive offload functionality for a system on chip
US10152706B2 (en) * 2013-03-11 2018-12-11 Cellco Partnership Secure NFC data authentication
US9113300B2 (en) * 2013-03-15 2015-08-18 Apple Inc. Proximity fence
US10270748B2 (en) * 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
WO2014185743A1 (en) * 2013-05-16 2014-11-20 Samsung Electronics Co., Ltd. Scheme for discovery in a communication network
US9240989B2 (en) * 2013-11-01 2016-01-19 At&T Intellectual Property I, Lp Apparatus and method for secure over the air programming of a communication device
US10664833B2 (en) * 2014-03-05 2020-05-26 Mastercard International Incorporated Transactions utilizing multiple digital wallets
US20150332258A1 (en) * 2014-05-19 2015-11-19 Qualcomm Incorporated Identity Verification via Short-Range Wireless Communications
US9544714B2 (en) * 2014-05-30 2017-01-10 Apple Inc. Companion application for activity cooperation
US9801120B2 (en) * 2014-05-30 2017-10-24 Apple Inc. Client-initiated tethering for electronic devices
US9451438B2 (en) * 2014-05-30 2016-09-20 Apple Inc. Predefined wireless pairing
US10055567B2 (en) * 2014-05-30 2018-08-21 Apple Inc. Proximity unlock and lock operations for electronic devices
US9424417B2 (en) * 2014-06-04 2016-08-23 Qualcomm Incorporated Secure current movement indicator
US10235512B2 (en) * 2014-06-24 2019-03-19 Paypal, Inc. Systems and methods for authentication via bluetooth device
US9264419B1 (en) 2014-06-26 2016-02-16 Amazon Technologies, Inc. Two factor authentication with authentication objects
US9743450B2 (en) * 2014-09-05 2017-08-22 Apple Inc. Learned dual band WiFi network association method
US9661091B2 (en) * 2014-09-12 2017-05-23 Microsoft Technology Licensing, Llc Presence-based content control
US10027667B2 (en) 2014-11-12 2018-07-17 Time Warner Cable Enterprises Llc Methods and apparatus for provisioning services which require a device to be securely associated with an account
US10306705B2 (en) * 2014-12-09 2019-05-28 Verizon Patent And Licensing Inc. Secure connected device control and monitoring system
US9584964B2 (en) 2014-12-22 2017-02-28 Airwatch Llc Enforcement of proximity based policies
WO2016126491A1 (en) * 2015-02-02 2016-08-11 Eero, Inc. Systems and methods for intuitive home networking
US9853971B2 (en) 2015-03-30 2017-12-26 Vmware, Inc. Proximity based authentication using bluetooth
US10122709B2 (en) * 2015-05-12 2018-11-06 Citrix Systems, Inc. Multifactor contextual authentication and entropy from device or device input or gesture authentication
US9407624B1 (en) * 2015-05-14 2016-08-02 Delphian Systems, LLC User-selectable security modes for interconnected devices
US10247701B2 (en) 2016-06-28 2019-04-02 International Business Machines Corporation Dissolved-oxygen sensor utilizing ionic oxygen motion
GB2566657B8 (en) * 2016-06-30 2022-04-13 Sophos Ltd Proactive network security using a health heartbeat
US10637853B2 (en) * 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10769635B2 (en) * 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US20180182665A1 (en) * 2016-12-28 2018-06-28 Invensas Bonding Technologies, Inc. Processed Substrate
US10237070B2 (en) * 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105635165A (zh) * 2012-12-27 2016-06-01 英特尔公司 无线设备的安全在线注册和配置
CN105830414A (zh) * 2013-10-01 2016-08-03 鲁库斯无线公司 使用凭证的安全的网络接入
CN105578467A (zh) * 2015-12-29 2016-05-11 腾讯科技(深圳)有限公司 接入无线接入点的系统、方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于云服务的智能家居系统的设计与实现;祁冬等;《中国信息化》(第09期);第103-106页 *
基于强身份认证的网络应用单点登录系统研究;丁德胜等;《计算机工程》(第07期);第169-171页 *

Also Published As

Publication number Publication date
US11812262B2 (en) 2023-11-07
WO2019121043A1 (en) 2019-06-27
US20200322799A1 (en) 2020-10-08
EP3729310A1 (en) 2020-10-28
CN111492358A (zh) 2020-08-04
EP3729310B1 (en) 2022-08-24

Similar Documents

Publication Publication Date Title
US11019491B2 (en) Apparatus and method for providing mobile edge computing services in wireless communication system
US11425104B2 (en) Secure transfer of a data object between user devices
US8392712B1 (en) System and method for provisioning a unique device credential
CN112566050B (zh) 附件无线设备的蜂窝服务账户转移
EP3080963B1 (en) Methods, devices and systems for dynamic network access administration
US9549318B2 (en) System and method for delayed device registration on a network
US11765164B2 (en) Server-based setup for connecting a device to a local area network
CN111492358B (zh) 设备认证
US20160261569A1 (en) Device-to-Device Network Location Updates
KR20200130141A (ko) 무선 통신 시스템에서 모바일 엣지 컴퓨팅 서비스를 제공하기 위한 장치 및 방법
US10750363B2 (en) Methods and apparatuses for conditional WiFi roaming
CN115462108A (zh) 无密码无线认证
US9531700B2 (en) Authentication survivability for assigning role and VLAN based on cached radius attributes
CN111034240B (zh) 网络通信的以及与其相关的改进
Nguyen et al. An SDN‐based connectivity control system for Wi‐Fi devices
GB2569804A (en) Device authentication
US20200053578A1 (en) Verification of wireless network connection
CN110024443B (zh) 用于与网关配对的方法
CA2829892C (en) System and method for delayed device registration on a network
CN117561749A (zh) 预配无头wifi设备以及相关系统、方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant