CN111903104B - 用于执行用户认证的方法及系统 - Google Patents
用于执行用户认证的方法及系统 Download PDFInfo
- Publication number
- CN111903104B CN111903104B CN201980012921.0A CN201980012921A CN111903104B CN 111903104 B CN111903104 B CN 111903104B CN 201980012921 A CN201980012921 A CN 201980012921A CN 111903104 B CN111903104 B CN 111903104B
- Authority
- CN
- China
- Prior art keywords
- authentication
- mobile device
- information
- user
- authentication data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Abstract
系统及方法涉及用于授权对数字系统及内容、计算系统及装置的存取及物理位置的进入的用户认证系统。授权对数字系统及内容的存取的所述认证系统涉及移动装置、计算装置及服务器。授权对计算系统及装置的存取及物理位置的进入的所述认证系统涉及移动装置、界面装置、安全系统及服务器。所描述的所述认证系统准许用户仅使用用户的移动装置存取数字系统及内容、计算系统及装置及进入物理位置。所述移动装置运行使用在所述移动装置上获得的生物识别数据执行认证功能性的移动应用。认证数据以加密格式存储在所述移动装置上且不与所述认证系统中的其它装置共享。
Description
相关申请案的交叉参考
本申请案主张在2018年8月30日申请的第16/118,416号美国专利申请案的权益,第16/118,416号美国专利申请案主张在2018年1月17日申请的第62/618,209号美国临时专利申请案的权益,所述美国专利申请案中的每一者的全部内容以引用方式并入本文中。
技术领域
本发明大体上涉及安全认证领域。更明确来说,本发明涉及用于针对对数字系统及内容、计算系统及装置的存取及物理位置的进入执行用户认证的系统及方法。
背景技术
尽管先进的计算系统及因特网使存取数字信息及计算机装置变得更加容易,但由于现代技术已引入可能容易被利用的若干弱点,因此限制对数字信息、计算装置的存取及甚至物理位置的进入也变得越来越困难。尽管用户验证系统通常被用于限制对特定信息、装置、计算机系统的存取或物理位置的进入,但可通过欺诈及/或入侵或通过以其它方式绕过验证系统而不适当地存取这些系统。此外,用户可通过共享用户名及/或密码信息准许对前述内容的未经授权存取。
关于对数字内容及计算机装置及系统的存取,唯一用户名及密码组合可帮助防御未经授权存取。然而,用户经常会忘记用户名及密码,这是因为用户通常具有多个在线账户,每一账户具有不同用户名及密码。而且,用户可使其用户名及密码简单明了或可使用可容易地确定的通用密码。虽然已开发解决方案,例如令牌生成器及一次性密码(OTP),但这些解决方案易于被篡改及/或入侵。而且,这些解决方案通常过度复杂且成本较高且甚至可能要求用户携带产生令牌或密码的单独装置,所述装置可能被放错位置。
关于对物理位置的进入,存在若干众所周知的方法。举例来说,具有唯一数字标识符的物理钥匙卡可组合接近读取器使用以授权用户通过门或闸门进入。然而,这些系统可能是昂贵的且要求用户将钥匙卡带在身上。此外,如果钥匙卡可由未经授权的个人用来进入限制区。那么也可通过键入唯一密码授权进入物理位置。然而,这些系统需要易于出现上文关于数字认证描述的相同弱点的计算装置。
因此,需要用于执行涉及简单认证过程的用户认证的经改进方法及系统,所述简单认证过程是具成本效益的、较不易受入侵及未经授权的密码共享影响且以其它方式克服上文提及的问题及/或限制中的一或多者。
发明内容
本发明涉及用于认证用户以提供对数字系统及内容、计算系统及装置的存取及物理位置的进入的认证系统。认证系统优选地涉及在具有至少一个生物识别传感器及至少一个计算装置(其可为界面装置)的至少一个移动装置上运行的软件。移动装置运行移动应用且包含具有用户界面的显示器。认证系统可进一步包含在与移动装置通信的至少一个服务器上运行的软件。移动装置与计算装置或界面装置通信。服务器与计算装置或界面装置通信且可与移动装置通信。
认证系统可提供对网站或网络门户的访问。为了访问网站或网络门户,用户可将移动应用下载到移动装置。应用也可被下载到在其上访问网站或网络门户的计算装置。替代地,应用可被下载在服务器上的网站或网络门户的后端上。使用移动应用,用户将设置用户配置文件且提供用户标识信息,认证数据包含生物识别数据及证书信息(例如,网站用户名及密码)以访问特定网站或网络门户。用户标识信息(例如,电话号码及/或任何其它唯一移动装置标识符)及证书信息将与服务器共享。认证数据将被保存在移动装置上。
用户将起始装置之间的通信且向计算装置上的应用提供将由服务器验证的用户标识信息。对认证数据的请求将被发送到移动装置,且移动应用将提示用户使用生物识别传感器产生包含生物识别信息的认证数据。移动应用将比较产生的认证数据与用户配置文件中的认证数据以验证认证数据。移动应用将向服务器通知用户已被验证且证书信息将被发送到网站或网络门户以访问网站或网络门户。
存取计算装置、数字信息或功能性、进入物理位置或对象的认证系统涉及呈可涉及或可不涉及显示器且与移动装置以及具有打开及关闭位置的安全系统的移动装置介接的界面装置的形式的计算装置。可采用类似方法来访问安全系统,涉及用户使用移动应用来创建用户配置文件及使用由移动应用产生的认证数据在移动装置上验证用户。
根据本发明的原理,移动装置可通过在移动装置上执行移动应用来实施授权系统。使用移动装置的用户可致使移动应用将第一用户认证信息(例如,电话号码)传输到服务器。接着,用户可使用移动应用来使用移动装置上的生物识别传感器产生第一认证数据且将第一认证数据保存到移动装置。一旦从计算装置接收对第二用户标识信息的请求,移动应用就可将第二用户标识信息发送到计算装置或服务器。接下来,移动装置可接收对第二认证数据的请求,且作为响应,用户可使用移动应用来使用移动装置上的生物识别传感器产生第二认证数据。移动应用可比较第一认证数据与第二认证数据,且可确定第二认证数据是否对应于第一认证数据。接着,移动应用可将在第二认证数据被确定是对应于第一认证数据时确认认证成功的消息传输到计算装置。可操作地耦合到移动装置中的至少一个处理器的非暂时性存储器媒体可经配置以存储用以执行前述操作及任务的多个指令。
根据本发明的原理,计算装置可通过在计算装置上执行产生对用户标识信息的请求且将对用户标识信息的请求传输到移动装置的应用来实施授权系统。在计算装置上执行的应用可从移动装置接收用户标识信息且将用户标识信息传输到服务器。接下来,在计算装置上执行的应用可从服务器接收确认用户标识信息有效的消息。作为响应,应用可产生认证请求,且可将认证请求传输到移动装置。接着,计算装置可从移动装置接收确认认证成功的消息。接着,在计算装置上执行的应用可从服务器产生对证书信息的请求且将对证书信息的请求传输到服务器。接着,在计算装置上执行的应用可从服务器接收证书信息。可操作地耦合到计算装置中的至少一个处理器的非暂时性存储器媒体可经配置以存储用以执行前述操作及任务的多个指令。
附图说明
图1说明根据本发明的方面的用于授权对数字内容的存取的实例性认证系统。
图2A到2B是计算装置及移动装置的实例性电子及硬件组件的示意图。
图3是说明在实施用于授权对数字内容的存取的认证系统时进行的操作及决策的实施例的流程图。
图4说明用于授权对计算装置的存取或物理位置的进入的实例性认证系统。
图5是计算装置及移动装置的实例性电子及硬件组件的示意图。
图6是说明在实施用于授权对计算装置的存取或物理位置的进入的认证系统时进行的操作及决策的实施例的流程图。
从结合附图进行的以下描述及所附权利要求书,本发明的前述及其它特征将变得显而易见。理解这些图仅描绘根据本发明的若干实施例且因此不应被认为限制其范围,将通过使用附图以额外详情及细节描述本发明。
具体实施方式
本发明涉及执行认证任务以向用户授权对数字内容、计算系统及装置的存取及/或物理位置或对象的进入的用户认证系统。用户认证系统涉及移动装置,所述移动装置运行执行认证任务且一旦成功认证就与至少一个其它计算装置通信以存取数字内容、计算系统及装置及/或进入物理位置或对象的用户认证应用。
现参考图1,说明实例性用户认证系统100。用户认证系统100经设计以在移动装置106上执行用户认证且授权对数字内容及系统的存取。举例来说,用户认证系统100可授权使用移动装置106的用户对网络浏览器、网络门户或其它软件系统的访问。
用户认证系统100涉及移动装置106、计算装置110、服务器102及数据库114。移动装置106可为具有处理能力、存储、网络连接性、输入装置、显示器及优选地至少一个生物识别传感器的任何装置。举例来说,移动装置106可为移动电话、个人计算机、膝上型计算机、平板计算机或具有前述特征的任何其它计算装置。计算装置110可为具有处理能力、存储、网络连接性、输入装置及显示器的任何装置。举例来说,计算装置110可为膝上型计算机、个人计算机、移动电话、平板计算机或具有前述特征的任何其它计算装置。服务器102是通过云计算平台经由因特网(例如(举例来说)云计算服务)托管及递送的一或多个服务器。服务器102可具有与包含至少处理器及网络连接性的计算装置110相同的组件。数据库114是可包含信息的数据库,信息例如下文所定义的用户配置文件、用户标识信息、授权信息、注册信息及/或证书信息,同样地,与认证系统相关的其它信息。数据库114可存储在服务器102上或以其它方式并入到服务器102中或作为服务器102的部分或可存储在其它地方且可由服务器102存取。
移动装置106经配置以运行移动应用318。移动应用318可为任何移动软件应用,其经配置以在移动装置106上运行且在移动装置106上产生用户界面,且经编程以执行在本文中描述的移动装置106上执行的任务。计算装置110经配置以运行应用220。应用220是软件应用,其可为基于网络的且经配置以在计算装置110上执行及/或托管于服务器102上且经由计算装置110存取。
运行移动应用318的移动装置106可与运行应用220的计算装置110通信以执行本文中关于认证系统100描述的操作。应用220可由用户安装在计算装置110上或经安装在网站或基于网络的应用的后端上。移动装置106可经由下文进一步详细地描述的任何众所周知的有线或无线连接与计算装置110通信。运行移动应用318的移动装置106可使用任何众所周知的方法连接到因特网且可经由因特网与计算装置110及/或服务器102通信。应理解,移动装置106可使用不同通信技术或相同通信技术与计算装置110及服务器102通信。应进一步理解,在一些情况中,移动装置106可与服务器102直接通信(例如,经由因特网)。在数据库114未存储在服务器102上的情况下,服务器102可经由因特网或经由任何众所周知的有线或无线连接存取数据库114。
现参考图2A及2B,说明表示计算装置110及移动装置106的软件及硬件组件的实例性功能块。如图2A中展示,计算装置110可包含处理单元202及系统存储器204。处理单元202可为经配置以运行应用220且执行本文中陈述的计算装置110的任务及操作的任何处理器。系统存储器204可包括(但不限于)易失性(例如,随机存取存储器(RAM))、非易失性(例如,只读存储器(ROM))、快闪存储器或其任何组合。操作系统205及一或多个编程模块206同样地程序数据207可在计算装置110上运行。操作系统205可适用于控制计算装置110的操作。编程模块206可任选地包含图像处理模块、机器学习模块及/或图像分类模块。应理解,可连同图形库、其它操作系统或任何其它应用程序实践计算装置110。
计算装置110可具有额外特征及功能性。举例来说,计算装置110还可包含额外数据存储装置(可移式及/或非可移式),例如(举例来说)磁盘、光盘或磁带。此额外存储装置在图2A中通过可移式存储装置209及非可移式存储装置210说明。计算机存储媒体可包含实施于任何方法或技术中以用于信息(例如计算机可读指令、数据结构、程序模块或其它数据)的存储的易失性及非易失性、可移式及非可移式媒体。系统存储器204、可移式存储装置209及非可移式存储装置210全都是计算机存储媒体实例(即,存储器存储装置)。计算机存储媒体可包含(但不限于)RAM、ROM、电可擦除只读存储器(EEPROM)、快闪存储器或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光学存储装置、磁带盒、磁带、磁盘存储装置或其它磁性存储装置、或可用于存储信息且可由计算装置110存取的任何其它媒体。任何此类计算机存储媒体可为计算装置110的部分。计算装置110还可具有输入装置212,例如键盘、鼠标、笔、声音输入装置、触控输入装置(例如,触控垫或触控屏)、位置传感器、相机等。还可包含(若干)输出装置214,例如显示器、扬声器、打印机等。输出装置214可显示用户界面。
计算装置110还可含有通信连接216,所述通信连接216可允许计算装置110经由任何众所周知的有线或无线连接,且(例如,蜂窝、近场通信(NFC)、Wi-Fi Direct(P2P)、蓝牙、USB、射频(RF及RFID)、红外等)包含经由任何众所周知的标准(例如任何IEEE 802标准),与移动装置106、服务器102及认证系统100内或与认证系统100通信的任何其它计算装置217通信。通信连接216可由计算机可读指令、数据结构、程序模块或呈经调制数据信号的其它数据体现或由计算机可读指令、数据结构、程序模块或呈经调制数据信号的其它数据以其它方式促进。术语“经调制数据信号”可描述使一或多个特性被设置或改变以便在信号中编码信息的信号。
如上所述,数个程序模块及数据文件可存储于系统存储器204中,包含操作系统205。在于处理单元202上执行时,应用220及/或编程模块206可执行过程,所述过程包含(例如)本文中所描述的方法、算法、系统、应用、服务器、数据库的一或多个阶段。举例来说,编程模块206及/或应用220准许计算装置110与运行移动应用318的移动装置106及服务器102介接,如下文关于图3更详细描述。应用220可为扩展网络浏览器的功能性以包含下文更详细描述的认证功能性的浏览器扩展(即,网络浏览器插件)。替代地,应用220可为网站(例如,由www.wordpress.com产生的网站)的后端上的扩展且可托管于服务器102或不同服务器上。在其它配置中,应用220可体现为(例如(但不限于))网站、网络应用、桌面应用及/或兼容的移动应用。
可根据本发明的实施例使用的其它编程模块可包含声音编码/解码应用、机器学习应用、加密/解密应用、声分类器等。通常,程序模块可包含例行程序、程序、组件、数据结构及可执行特定任务或可实施特定抽象数据类型的其它类型的结构。当然应理解,计算装置110可包含额外组件或比图2A中说明的组件更少的组件且可包含一个以上每一类型的组件。
现参考图2B,展示移动装置106的实例性功能块。如图2B中展示,移动装置106可包含处理单元302及系统存储器304。处理单元302可为经配置以运行移动应用318且执行本文中关于移动装置106陈述的任务及操作的任何处理器。系统存储器304可包括(但不限于)易失性(例如,随机存取存储器(RAM))、非易失性(例如,只读存储器(ROM))、快闪存储器或任何组合。
操作系统305及一或多个编程模块306以及程序数据307可在计算装置110上运行。操作系统305可适用于控制移动装置106的操作。编程模块306可任选地包含图像处理模块、机器学习模块及/或图像分类模块。应理解,可连同图形库、其它操作系统或任何其它应用程序实践移动装置106。
移动装置106可具有额外特征及功能性。举例来说,移动装置106还可包含额外数据存储装置(可移式及/或非可移式)。此额外存储装置在图2B中通过可移式存储装置309及非可移式存储装置310说明。移动装置106可包含实施于任何方法或技术中以用于信息(例如计算机可读指令、数据结构、程序模块或其它数据)的存储的易失性及非易失性、可移式及非可移式媒体。系统存储器304、可移式存储装置309及非可移式存储装置310全都是计算机存储媒体实例(即,存储器存储装置)。
移动装置106还可具有(若干)输入装置312,例如键盘、鼠标、笔、声音输入装置、触控输入装置、位置传感器、相机等,以及(若干)输出装置314,例如(举例来说)显示器、扬声器等。移动装置106进一步包含生物识别传感器320,所述生物识别传感器320可为各自经配置以获得用户的生物识别数据的一或多个生物识别传感器。生物识别传感器可为(例如)相机、指纹扫描仪、视网膜扫描仪、麦克风、红外相机、热成像相机或适用于生物识别测量的任何其它传感器或输入装置。(若干)生物识别传感器320可为内建到移动装置106中且在处理单元302上执行的硬件与软件的组合。生物识别传感器320可采用(例如)以下各者中的一或多者:可涉及分析加衬在个人内眼的光敏表面中的血管图案的图像的众所周知的视网膜扫描功能性;可涉及分析眼睛瞳孔周围的环形区域内的唯一图案的众所周知的虹膜图案标识功能性;可涉及标识人类手指的图像中的凸起区域及分叉的图案的众所周知的指纹标识功能性;可涉及标识个人手指中的唯一血管图案的众所周知的手指静脉标识功能性;可涉及分析人脸上的多个节点的众所周知的面部扫描技术;及可涉及标识声调、音调、音调变化及/或说话风格中的一或多者且可依赖于由说话者的口及喉的形状创建的特性的众所周知的语音辨识功能性。
移动装置106还可含有通信连接316,所述通信连接316可允许移动装置106经由任何众所周知的有线或无线连接与计算装置110、服务器102及任何其它计算装置217通信。通信连接316可由计算机可读指令、数据结构、程序模块或呈经调制数据信号的其它数据体现或由计算机可读指令、数据结构、程序模块或呈经调制数据信号的其它数据以其它方式促进。
如上所述,数个程序模块及数据文件可存储于系统存储器304中,包含操作系统305。当在处理单元302上执行时,编程模块306可执行过程,所述过程包含(例如)本文中所描述的方法、算法、系统、应用、服务器、数据库的一或多个阶段。举例来说,编程模块306包含执行在移动装置106上执行且在本文中描述的认证功能性的移动应用318。可根据本发明的实施例使用的其它编程模块可包含(例如)编码/解码应用。当然应理解,移动装置106可包含额外组件或比图2B中说明的组件更少的组件且可包含一个以上每一类型的组件。
现参考图3,说明详述在实施认证系统100时进行的数据流及决策的流程图。如上文提及,认证系统100可用于认证使用移动装置106的用户。一旦使用生物识别数据在移动装置106上认证用户,移动装置106就将把特定证书提供到应用以授权用户对网络浏览器、网络门户或其它软件系统的访问。应理解,图3中陈述的过程适用,无论应用220是安装在计算装置、浏览器扩展上及/或是并入到网站的后端中。
为了起始图3中陈述的过程,在步骤351,用户将移动应用318下载到移动装置106上。用户可从因特网下载移动应用318。举例来说,使用移动装置106的用户可经由因特网或提供对可下载应用的访问的任何其它网站或应用访问苹果(Apple)或谷歌(Google)应用商店。接着,可将移动应用318安装在移动装置106上。
一旦将移动应用318下载到移动装置106上,在步骤352,用户就可使用移动应用318注册及产生用户配置文件。注册过程可能要求用户提供用户标识信息。替代地,移动应用318可从移动装置106自动检索用户标识信息。用户标识信息可为与用户的移动装置106相关联的电话号码或用户的不同字母数字标识符,且可为用户所独有的。又进一步,用户标识信息可为可关联到与用户的移动装置106相关联的电话号码或与用户的移动装置106相关联的其它唯一标识符(例如媒体存取控制(MAC)地址)的任何其它唯一标识符。举例来说,用户ID可为移动标识号(MIN)、移动订阅标识号(MSIN)、电子序列号(ESN)、移动设备标识符(MEID)、国际移动设备标识(IMEI)及/或国际移动用户标识(IMSI)或移动装置106所独有的任何其它标识符。用户配置文件可包含至少用户标识信息且可另外包含关于用户及/或移动装置的信息及/或任何其它用户信息。可将用户配置文件保存在服务器102以及计算装置110、移动装置106及/或(若干)数据库114上。
认证系统100可任选地要求用户确认用户持有对应于用户标识信息的移动装置。举例来说,一旦接收到用户标识信息,服务器就可发送具有验证码的验证消息(例如SMS验证消息)到对应于用户标识信息的移动装置。一旦接收到验证消息,使用移动应用的用户就可将验证码传输到服务器且服务器可确认所述代码是正确的。应理解,验证消息可包含用户可点击以将验证码自动发送到服务器的链接。应理解,服务器可与第三方验证服务协作以验证用户持有对应于用户标识信息的移动装置。举例来说,服务器可指示第三方服务器发送SMS验证消息到移动装置且确认从移动装置接收的代码是正确的。一旦执行此验证程序,第三方服务器就可向服务器通知移动装置已被验证。认证系统100可能仅要求用户在注册期间验证移动装置一次,或替代地,可能每当用户标识信息被提供到服务器时都需要验证。
此外,注册过程可能要求用户产生用户所独有的认证数据。认证数据可包含常规密码,包含一次性密码(OTP)、令牌或SMS文本(例如,数字/代码)及/或生物识别数据(例如视网膜扫描信息、虹膜图案信息、指纹扫描信息、手指静脉扫描信息、面部扫描信息、语音模式信息)。
举例来说,一旦将移动应用318下载到移动装置106,移动应用318就可指示用户选择一或多种认证方法及/或可提示用户使用一或多个生物识别传感器320根据经预编程及预选择认证方法产生认证数据。在此实例中,移动应用318可提示用户将其拇指放在可作为拇指指纹扫描仪的第一生物传感器上。接下来,移动应用318可提示用户使用作为相机的第二生物传感器拍摄其眼睛的照片。
认证数据将被本地保存在移动装置106上。认证数据可以加密格式存储在移动装置106上以保护用户的隐私。因为用户认证是由移动装置106执行,所以无需将认证数据传达到任何其它装置。然而,在一些配置中,认证数据可与远程服务器共享且存储在远程服务器上。
最终,注册过程包含收集用户希望使用认证系统100访问的每一网站或应用的用户证书。举例来说,移动应用318可提示用户标识一或多个网站且针对每一特定网站提供用户证书(例如,用户名或信息、密码信息及访问所述网站所需的任何其它信息),其被称为证书数据。证书数据可以加密格式存储在移动装置106上。替代地或另外,证书数据可与服务器102、数据库114及/或计算装置110共享且可以加密格式存储在服务器102、数据库114及/或计算装置110上。
为了准许移动装置106与计算装置110通信,在步骤353,用户还必须将应用220下载到计算装置110。用户可经由上文所论述的网站或应用商店(例如,苹果或谷歌应用商店)访问应用220。替代地,在一些情况中,应用220可为网站(例如,由www.wordpress.com产生的网站)的后端上的扩展且可托管于服务器102或不同服务器上。在应用220是网站的后端上的扩展的情况下,用户无需将应用220下载到计算装置110,且可跳过步骤353。在另一实例中,可将应用220预先安装在计算装置110上。
为了采用认证系统100,在步骤354,可起始移动应用318与应用220之间的通信。如上文解释,移动装置106及计算装置110可经由众所周知的短程通信方法(例如(举例来说)近场通信(NFC)、蓝牙及Wi-Fi Direct(P2P))与彼此通信。替代地,移动装置106及计算装置110及/或服务器102可使用其它众所周知的通信方法通信。举例来说,移动装置106及计算装置110可各自是可兼容Wi-Fi的且可经由因特网与彼此通信。
可例如通过点击由应用220产生的经更改浏览器上的启动图标来起始移动应用318与应用220之间的通信。一旦点击启动图标,浏览器就可提示用户将用户标识信息(例如对应于移动装置106的电话号码)键入到计算装置110中。替代地,用户可使用移动应用318将用户标识信息从移动装置106发送到计算装置110。运行应用220的计算装置110可与服务器102共享用户标识信息。
服务器102可确认所提供的手机号码或其它用户标识信息对应于经注册用户的用户标识信息。服务器102可与数据库114通信以作出此确认。一旦作出此确认,服务器102可向计算装置110通知所述确认。替代地,在计算装置110存储用户配置文件或至少用户标识信息的情况下,计算装置110可确认由用户提供的手机号码或其它用户标识信息对应于经注册用户的用户标识信息。
在应用220是网站的后端上的扩展的情况下,在步骤354,用户可通过经由计算装置110访问网站来起始移动装置106与计算装置110之间的通信。举例来说,一旦打开网站,网站就将提示用户键入用户名及密码。一旦验证用户名及密码是正确的(例如,通过比较用户名及密码与远程服务器上的数据库),网站就将提示用户键入电话号码或其它用户标识信息。替代地,一旦在计算装置110上访问网站,网站就可提示用户键入用户标识信息。如同其中系统涉及浏览器扩展的情况,可与服务器102共享提供到网站的用户标识信息。服务器102及/或(若干)数据库114可确认所提供的手机号码或其它用户标识信息对应于经注册用户的用户标识信息。
一旦确认所提供的用户标识信息对应于经注册用户的用户标识信息,在步骤355,应用220就将经由计算装置110或替代地服务器102把认证请求发送到移动装置106。在步骤356,运行移动应用318的移动装置106将获得认证数据。移动应用318可经编程以需要特定认证数据(例如,密码、指纹数据、视网膜数据、虹膜数据、面部数据、语音数据)来认证用户。移动应用318可经编程以具有对根据经编程层级的特定认证方法的偏向,且可进一步经编程以需要特定数目个认证方法。举例来说,移动应用318可经编程以具有涉及经由拇指指纹及面部辨识的认证的两步认证过程。在此实例中,移动应用318可首先提示用户将他或她的拇指放在生物识别传感器320(在此实例中其是指纹扫描仪)上,以获得指纹数据。接下来,移动应用318将提示用户使用第二生物传感器(在此实例中其是相机)获得他或她的面部图像,以获得面部数据。
在步骤357,运行移动应用318的移动装置106可使用(例如)众所周知的指纹分析、视网膜分析、虹膜分析、面部分析及语音分析技术分析认证数据。将比较收集的数据及/或分析的数据与对应于用户配置文件且本地保存在移动装置106上的认证数据。在决策358,在比较在步骤356获得的数据与对应于用户配置文件的认证数据之后,运行移动应用318的移动装置106将确定获得的数据是否相同于或基本上类似于在注册过程期间获得的认证,且因此确定用户是否已被认证。可由管理员设置及更改数据必须类似的程度。
如果运行移动应用318的移动装置106在决策358确定用户未被认证(即,在步骤356获得的认证数据并不相同或基本上类似于在注册期间获得的认证数据),那么在步骤359,移动装置106可任选地在移动装置106的显示器上产生认证失败的消息。如果第一次尝试认证失败,那么移动装置可重复步骤356到358预设数目次或甚至可提示用户产生不同生物识别数据(例如,虹膜图案扫描)。此外,在步骤360,运行移动应用318的移动装置106可向运行应用220的计算装置110及/或服务器102通知认证失败。应用220还可在计算装置的显示器上产生向用户通知认证失败的消息。
相反地,如果运行移动应用318的移动装置106在决策358确定用户被认证,那么在步骤361,移动装置106可任选地在移动装置106的显示器上产生认证成功的消息。此外,在步骤362,移动装置106将向应用220及/或服务器102通知认证成功。
在步骤363,响应于成功认证,移动装置106及/或服务器102可将证书传达到运行应用220的计算装置110。证书可经由上文陈述的众所周知的通信方法中的任何者传达到应用220,且可以加密格式传输。证书将特定于在步骤364中针对其起始通信的网站。替代地,在计算装置110已被提供且存储证书信息的情况下,计算装置110可提供证书信息。
在一个实例中,计算装置110可包含密码管理器模块,所述密码管理器模块可为应用220的一部分或可为在计算装置110上运行的独立软件应用。用户可使用密码管理器模块保存密码及各种信息,例如用户名。此信息可本地保存在应用220上,或可保存在远程服务器(例如,服务器102)上且可由应用220检索。一旦被通知认证成功,应用220就可与密码管理器模块通信以获得特定证书。明确来说,应用220可从密码管理器模块产生对证书信息的请求及/或将所述请求传输到密码管理器模块。一旦接收到请求,密码管理器模块就可在本地或从远程服务器检索请求的证书信息,且产生及/或传输请求的证书信息。
应用220一旦接收到证书就可将证书自动填入到对应字段中且可自动提交所述证书。替代地,应用220可在计算装置110上显示证书,且用户可将证书剪切及粘贴或以其它方式放置到图形用户界面上的适当位置中且手动地提交证书。以此方式,使用移动装置106的用户可在移动装置106上执行认证以在计算装置110上访问网站。
在一个实例中,服务器102可为由公司管理员使用管理员装置管理的管理器服务器。在公司寻求限制及控制对公司网站或网络门户的访问(例如,员工访问)的情况下,可采用管理器服务器。管理器服务器可在企业网络内部、在云上及/或基于区块链的平台上运行。应理解,管理器服务器也可用于控制对下文描述的认证系统400的存取且以其它方式管理认证系统400。
管理器服务器可维持及管理用户配置文件信息,包含用户标识信息及甚至是与所述网站或网络门户相关的证书信息。具有管理器服务器访问权的管理员可监督管理器服务器且设置及更改用户配置文件信息、用户标识、授权信息、注册信息及/或证书信息。举例来说,管理员可新增或删除用户配置文件,从而限制对网站或网络门户的访问,且可确定必须改变网站或网络门户的证书的频率。管理员可设置每一用户的证书信息,且可不允许个别用户(例如员工)查看证书信息(密码),但他们可仅被允许使用(复制及粘贴)密码及/或自动填充密码。管理器服务器可由安装在与管理员装置上的软件介接的管理器服务器上的软件控制。在一个实例中,管理器服务器可包含经编程以动态地改变证书信息的策略服务器或可与所述策略服务器介接。管理器服务器及/或策略服务器可在设置的时间周期之后(例如,每五分钟)改变对公司系统进行访问所必要的证书信息。管理器服务器及/或策略服务器还可改变与证书信息相关的公司策略(例如,可修改用于改变密码的经设置时间周期)。
如上文解释,可启动移动装置与计算装置之间的通信,且可请求用户标识信息。将把用户标识信息传达到管理器服务器以确认用户已经注册。替代地,如果用户的计算装置是在企业网络内(例如,未远程地访问网站或网络门户),那么用户的计算装置及管理器服务器可经由本地网络(例如,以太网或Wi-Fi)直接互动且自动地确认标识。
在确认用户已经注册之后,管理器服务器可发送认证用户的请求到移动装置。如上文解释,用户可在用户的计算装置(即,移动装置106)上提供所需认证数据(例如面纹、指纹、虹膜图案、语音模式)。此后,用户的计算装置可向管理器服务器通知认证是否成功。如果认证成功,那么密码管理器服务器发送对应证书(例如,发送到运行网站或网络门户的浏览器以提供对对应网站或网络门户的访问)。
此外,公司(或雇主)还可设置访问特权。举例来说,如果员工离开公司,那么管理员可通过删除对应于所述员工的用户配置文件或以其它方式更改用户配置文件撤销员工的访问权以防止访问。此外,管理器服务器可跟踪员工或其它用户的访问。而且,管理器服务器可限制对网站或网络门户内的特定信息的存取。举例来说,针对更敏感数据,公司可仅允许具有特定安全许可的员工存取。管理器服务器还可跟踪已安装移动应用的用户装置。公司可将对移动应用的访问限制为仅工作电话及工作计算机。使用管理员装置,管理员还可检测访问管理器服务器的任何可疑装置。
上文关于图3陈述的步骤及决策可适用于播放媒体内容的基于网络的订阅流服务(例如,Netflix、Hulu、HBO Go等)。在一个实例中,计算装置110可为连接到因特网且准许用户经由网站或基于网络的应用访问流服务的电视。用户可将电视应用下载到电视且还将移动应用下载到用户的移动电话(即,移动装置106),此与步骤351及353一致。电视应用可与网站或基于网络的应用介接且促进对订阅服务的访问。使用下载到移动电话的应用,用户可产生用户配置文件且注册移动电话,如上文关于步骤352描述。用户配置文件将包含用户标识信息(例如,电话号码)。电话号码将与电视共享用户标识信息,所述电视将把用户标识信息发送到远程服务器。替代地,移动电话将把用户标识信息直接发送到远程服务器。用户配置文件还将包含用于流服务的用户名及密码(即,证书信息)。移动电话将把所述证书信息发送到电视,所述电视将把用户名及密码保存在电视上。
为了访问流服务及以其它方式使用流服务,使用移动电话的用户可通过将用户标识信息(例如,电话号码)发送到未受提示的电视应用而在步骤354起始与电视的通信。如上文解释,移动电话及电视可经由众所周知的短程通信方法(例如蓝牙或Wi-Fi Direct(P2P))连接。替代地,用户可提示电视应用(例如,使用遥控)向附近计算装置或电视与其短程通信的计算装置发送对用户标识信息的请求。一旦接收到对用户标识信息的请求,移动应用就可将用户标识信息自动发送到电视应用或可将此信息直接发送到远程服务器。在两个实例中,在电视应用接收到用户标识信息的情况下,电视应用将经由因特网把此用户标识信息发送到远程服务器。
如上文关于步骤354及355解释,远程服务器将确认用户标识信息匹配保存在服务器上的用户标识信息(即,确认移动装置被注册)且将把认证请求发送到移动电话。替代地,服务器可将认证请求发送到电视,且电视可将认证请求发送到移动电话。接着,移动电话将认证用户,如上文关于决策358描述。在此实例中,移动应用可通过使用移动电话上的拇指指纹扫描仪扫描用户的拇指指纹及比较拇指指纹与在注册期间产生的拇指指纹来认证用户。
如果移动应用确定用户被认证(例如,获得的指纹匹配用户配置文件中的指纹),那么移动电话将发送向电视指示用户已被认证的消息到电视。一旦被指示用户已被认证,电视就将检索存储在电视上的证书信息以获得对流服务的访问。
应理解,用于在步骤354到363中与计算装置110通信的移动装置可为与在上文描述的步骤352中的注册过程期间使用的移动装置不同的移动装置。应进一步理解,用户可选择一或多个手机号码以将用户配置文件与对应于一或多个电话号码的移动装置相关联。如果不同移动装置用于与计算装置110通信,那么用户标识信息可任选地涉及非特定于在注册期间使用的移动装置的信息。举例来说,用户标识信息可为用户所独有的字母数字信息。此外,在不同移动装置用于与计算装置110通信的情况下,保存在服务器102上的用户配置文件信息将包含以加密格式保存的认证数据。在此配置中,一旦接收到认证请求且在步骤356获得认证数据,移动装置就将获得认证数据且将获得的认证数据发送到服务器102。因为用于获得认证数据的移动装置未将在注册期间产生的的认证数据保存在本地,所以服务器102将比较获得的认证数据与在注册期间获得的认证数据以认证用户。服务器102将向应用220通知用户是否已被认证。替代地,服务器102将把在注册期间产生的认证数据发送到移动装置,且移动装置将认证用户且向应用220通知用户是否已被认证。
应进一步理解,在步骤354起始通信的移动装置可为与在步骤355接收认证请求、在步骤356获得认证数据、在步骤357比较获得的认证数据与注册的认证数据及在决策358对认证数据进行认证的移动装置不同的移动装置。明确来说,由第一用户使用的第一移动装置可起始通信且致使认证系统100从由第二用户使用的第二移动装置产生对认证数据的请求。在两个移动装置实施授权系统100的情况下,第二移动装置可在决策358直接向第一移动装置通知认证是否成功及/或可经由服务器与第二移动装置通信。此方法在第一移动装置的用户不具有存取特定信息或数据的权力且需要来自第二用户的授权以存取信息或数据的情况下可为有用的。应理解,可能需要第一及第二移动装置两者注册,如上文陈述,或替代地,可能仅需要第二移动装置进行注册。
现参考图4,说明认证系统400。用户认证系统400经设计以执行用户认证且授权用户对数字系统或应用访问或物理位置的进入。举例来说,用户认证系统400可使用移动装置107授权用户对计算机装置(例如台式计算机)的存取或物理位置(例如建筑物、房间、限制区域或对象(例如,建筑物、房间、车库、停车场或甚至是车辆或储物柜))的进入。
用户认证系统400涉及移动装置107、界面装置405、安全系统410、服务器102及数据库114。(若干)服务器102及(若干)数据库114可为上文关于认证系统100描述的相同移动装置、服务器及数据库及/或可为管理器服务器。移动装置107与移动装置106相同,但代替运行移动应用318,移动装置107运行移动应用50(未展示)。
界面装置405可为具有处理能力、存储及网络连接性的任何计算装置且可任选地包含输入装置及显示器。应理解,界面装置405可为具有独立硬件及软件模块的独立计算装置或可被并入到安全系统410中。在一个实例中,界面装置405可为具有附装到安全系统410的一部分的机械按钮的计算装置。
安全系统410可为对物理位置的物理障碍物,例如门、闸门、臂、围栏或任何其它物理障碍物。安全系统410可涉及用以准许物理障碍物被锁定及解锁或打开及/或关闭的电子器件及机械结构。替代地,安全系统410可为计算装置,或甚至可为具有锁定配置及未锁定配置的软件系统或软件应用。在锁定配置中,信息及功能性无法被用户存取。界面装置405可任选地被并入到安全系统410中,使得安全系统410及界面装置405共享至少一些硬件及/或软件。
移动应用50可为任何移动软件应用,其经配置以在移动装置107上运行且在移动装置107上产生用户界面,且经编程以执行在本文中描述的移动装置107上执行的任务及操作。界面装置405经配置以运行软件应用420。运行移动应用50的移动装置107可与在界面装置405上运行的软件应用420通信以执行本文中的操作及以其它方式促进用户认证。
使用运行移动应用50的移动装置107,用户可经由任何众所周知的有线或无线连接与运行软件应用420的界面装置405通信。运行移动应用50的移动装置107可使用任何众所周知的方法连接到因特网且可经由因特网与界面装置405及/或服务器102通信。应理解,移动装置107可使用不同通信技术或相同通信技术与计算装置110及服务器102通信。应进一步理解,在一些情况中,移动装置107可与服务器102直接通信(例如,经由因特网)。
现参考图5,说明表示界面装置405的软件及硬件组件的实例性功能块。如在图5中展示,界面装置405可包含处理单元402及系统存储器404。处理单元402可为经配置以运行软件应用420且执行本文中陈述的任务及操作的任何处理器。系统存储器404可包括(但不限于)易失性(例如,随机存取存储器(RAM))、非易失性(例如,只读存储器(ROM))、快闪存储器或任何组合。操作系统418及一或多个编程模块406同样地程序数据407可在计算装置110上运行。操作系统418可适用于控制界面装置405的操作。编程模块406可任选地包含图像处理模块、机器学习模块及/或图像分类模块。应理解,可连同图形库、其它操作系统或任何其它应用程序实践界面装置405。
界面装置405可具有额外特征及功能性。举例来说,界面装置405还可包含额外数据存储装置(可移式及/或非可移式),例如(举例来说)磁盘、光盘或磁带。此额外存储装置在图5中通过可移式存储装置409及非可移式存储装置421说明。计算机存储媒体可包含实施于任何方法或技术中以用于信息(例如计算机可读指令、数据结构、程序模块或其它数据)的存储的易失性及非易失性、可移式及非可移式媒体。系统存储器404、可移式存储装置409及非可移式存储装置421全都是计算机存储媒体实例(即,存储器存储装置)。计算机存储媒体可包含(但不限于)RAM、ROM、电可擦除只读存储器(EEPROM)、快闪存储器或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光学存储装置、磁带盒、磁带、磁盘存储装置或其它磁性存储装置、或可用于存储信息且可由界面装置405存取的任何其它媒体。任何此类计算机存储媒体可为界面装置405的部分。界面装置405还可具有(若干)输入装置412,例如键盘、鼠标、笔、声音输入装置、触控输入装置、位置传感器、相机等。输入装置412也可为机械按钮或触控屏按钮。还可包含(若干)输出装置414,例如显示器、扬声器、打印机等。输出装置414可显示用户界面。
界面装置405还可含有通信连接416,所述通信连接416可允许界面装置405经由任何众所周知的有线或无线连接与移动装置107、服务器102及任何其它计算装置217通信。通信连接416可由计算机可读指令、数据结构、程序模块或呈经调制数据信号的其它数据体现或由计算机可读指令、数据结构、程序模块或呈经调制数据信号的其它数据以其它方式促进。
如上所述,数个程序模块及数据文件可存储于系统存储器404中,包含操作系统418。当在处理单元402上执行时,编程模块406可执行过程,所述过程包含(例如)本文中所描述的方法、算法、系统、应用、服务器、数据库的一或多个阶段。举例来说,编程模块406包含软件应用420,所述软件应用420准许界面装置405与运行移动应用50的移动装置107、服务器102及安全系统410介接,如下文更详细描述。软件应用420可为下载到界面装置405上且在界面装置405上执行的独立软件应用,或替代地,可托管于服务器102上且可经由界面装置405存取。可根据本发明的实施例使用的其它编程模块可包含编码/解码应用、机器学习应用、声分类器等。通常,程序模块可包含例行程序、程序、组件、数据结构及可执行特定任务或可实施特定抽象数据类型的其它类型的结构。当然应理解,界面装置405可包含额外组件或比图4中说明的组件更少的组件且可包含一个以上每一类型的组件。
现参考图6,说明详述在实施认证系统400时进行的数据流及决策的流程图。如上文提及,认证系统400可用于认证使用移动装置107的用户。如果在移动装置107上使用生物识别数据认证用户,那么移动装置107将向软件应用420通知用户已被认证且软件应用420将与安全系统410通信且合作以授权用户对数字内容的存取。在一些配置中,如果对于访问安全系统410而言必要的话,那么移动装置107或服务器102可提供证书到界面装置405。
为了起始图6中陈述的过程,在步骤501,用户将移动应用50下载到移动装置107上。类似于上文关于移动应用318解释的过程,用户可从因特网下载移动应用50。举例来说,使用移动装置107的用户可经由因特网或提供对可下载应用的访问的任何其它网站或应用访问苹果(Apple)或谷歌(Google)应用商店。接着,可将移动应用50安装在移动装置107上。
一旦将移动应用50下载到移动装置107上,在步骤502,用户就可使用移动应用50进行注册,类似于上文关于移动应用318描述的注册过程。举例来说,用户可提供用户标识信息,例如与用户的移动装置107相关联的电话号码。用户标识信息可为可关联到与用户的移动装置107相关联的电话号码的任何其它唯一标识符(例如,MAC地址、MIN、MSIN、ESN、MEID、IMEI及/或IMSI或移动装置107所独有的任何其它标识符)。可将用户标识信息及任何其它用户注册信息(被称为注册数据)保存在服务器102及/或数据库114上。
认证系统400(如同认证系统100)可任选地要求用户确认用户持有对应于用户标识信息的移动装置,且可采用与上文陈述的相同的验证程序。举例来说,一旦接收到用户标识信息,服务器就可发送具有验证码的验证消息(例如SMS验证消息)到对应于用户标识信息的移动装置,且一旦接收到验证消息,使用移动应用的用户就可将验证码传输到服务器且服务器可确认所述代码是正确的。如上文关于认证系统100解释,认证系统400可能仅要求用户在注册期间验证移动装置一次,或替代地,可能每当用户标识信息被提供到服务器时都需要验证。
此外,注册过程可能要求用户建立包含一或多个认证方法的用户配置文件。举例来说,认证方法可包含常规密码,包含一次性密码(OTP)、令牌或SMS文本(例如,数字/代码),同样地,上文已论述的生物识别认证方法,例如(举例来说)视网膜扫描、虹膜图案识别、指纹识别、手指静脉识别、面部辨识、语音模式辨识。一旦将移动应用50下载到移动装置107,移动应用50就可指示用户选择一或多种认证方法及/或将提示用户使用一或多个生物识别传感器320产生认证数据。
将把由移动装置107收集的生物识别数据及密码数据(被称为认证数据)(如果适用)本地保存在移动装置107。用于收集及获得认证数据的方法与上文关于认证系统100描述的相同。认证数据可以加密格式存储在移动装置107上以保护用户的隐私。因为用户认证是由移动装置107执行,所以无需将认证数据传达到任何其它装置。
针对其中安全系统410要求用户证书(例如,用户名及密码/用户标识号码(pin))来访问安全系统410的应用,注册过程可任选地包含收集需要证书来访问的每一安全系统410的用户证书(被称为安全系统证书数据)。举例来说,在安全装置是计算装置(例如台式计算机或自动柜员机(ATM))的情况下,这些系统的用户名及密码可从使用运行移动应用50的移动装置107的用户获得。安全系统证书数据可以加密格式存储在移动装置107上及/或与服务器102及/或数据库114共享,且以加密格式存储在服务器102及/或数据库114上。
如上文提及,运行移动应用50的移动装置107可与运行软件应用420的界面装置405通信。界面装置405最初可被设计及编程为具有软件应用420。替代地,在步骤503,能够存取界面装置405的用户或管理员可将软件应用420下载到界面装置405。在界面装置405最初被设计及编程为具有软件应用420的情况下,可跳过步骤503。
为了采用认证系统400,在步骤504,可起始运行移动应用50的移动装置107与运行软件应用420的界面装置405之间的通信。可通过(例如)用户按下或以其它方式接合输入装置412(其可为起始通信的物理按钮或界面装置405的按钮或屏幕)来起始通信。一旦点击输入装置412,运行软件应用420的界面装置405就将向运行移动应用50的移动装置107发送请求用户提供用户标识信息(例如对应于移动装置106的电话号码)的消息。
替代地,界面装置405可具有用于感测附近计算装置(例如移动装置107)的接近传感器或其它传感器。界面装置405可经编程以一旦检测到附近装置就自动产生对用户标识信息的请求。在又另一实例中,为了起始通信,用户可在未受界面装置405提示的情况下指示移动应用318将用户标识信息从移动装置107发送到界面装置405。
使用移动装置107的用户将把请求的用户标识信息键入到移动装置107中,所述移动装置107将把所述信息传输到界面装置405。替代地,移动装置107可经编程以自动响应于界面装置405且提供存储在移动装置107上或移动装置107另外已知的用户标识信息。运行软件应用420的界面装置405可与服务器102共享用户标识信息。服务器102及/或运行软件应用420的界面装置405可确认由移动装置107提供的手机号码或其它用户标识信息对应于有效注册用户。服务器102可任选地与数据库114通信以确认用户标识信息对应于有效注册用户。
一旦在步骤504起始通信,在步骤505软件应用420就经由界面装置405或服务器102将把认证请求发送到移动装置107。在步骤506,运行移动应用50的移动装置107将获得认证数据。如同移动应用318,移动应用50可经编程以需要一或多种类型的认证数据(例如,密码、指纹数据、视网膜数据、虹膜数据、面部数据、语音数据)来认证用户。移动应用50可经编程以具有用于对根据一个层级的特定认证方法的偏向及/或可能需要特定数目个认证方法。
在步骤507,运行移动应用50的移动装置107可使用(例如)众所周知的指纹分析、视网膜分析、虹膜分析、面部分析及语音分析技术分析认证数据。将比较收集的数据及/或分析的数据与对应于用户配置文件且本地保存在移动装置107上的认证数据。在决策508,在比较在步骤506获得的数据与对应于用户配置文件的认证数据之后,运行移动应用50的移动装置107将确定获得的数据是否相同于或基本上类似于对应于用户配置文件的数据,且因此确定用户是否已被认证。
如果运行移动应用318的移动装置107在决策508确定用户未被认证,那么在步骤509,移动装置107可任选地在移动装置107的显示器上产生认证失败的消息。如果第一次尝试认证失败,那么移动装置可重复步骤506及步骤507预设数目次或甚至可提示用户产生不同生物识别数据。此外,在步骤510,运行移动应用50的移动装置107可向软件应用420及/或服务器102通知认证失败。如果界面装置405包含显示器,那么软件应用420还可在界面装置405的显示器上产生向用户通知认证失败的消息。
相反地,如果运行移动应用50的移动装置107在决策508确定用户被认证(即,认证成功),那么在步骤511,移动装置106可任选地在移动装置107的显示器上产生认证成功的消息。此外,在步骤512,移动装置107将向软件应用420及/或服务器102通知认证成功。
在步骤513,响应于成功认证,移动装置106及/或服务器102可任选地将证书传达到界面装置405。证书可经由上文陈述的众所周知的通信方法中的任何者传达到软件应用420,且可以加密格式传输。替代地,证书信息被提供到界面装置405且本地保存在界面装置405。
在一个实例中,界面装置405可包含密码管理器模块,所述密码管理器模块可为软件应用420的一部分或可为在界面装置405上运行的独立软件应用。用户可使用密码管理器模块保存密码及各种信息,例如用户名。此信息可本地保存在软件应用420上,或可保存在远程服务器(例如,服务器102)上且可由应用420检索。一旦被通知认证成功,软件应用420就可与密码管理器模块通信以获得特定证书。明确来说,软件应用420可从密码管理器模块产生对证书信息的请求及/或将所述请求传输到密码管理器模块。一旦接收到请求,密码管理器模块就可在本地或从远程服务器检索请求的证书信息,且产生及/或传输请求的证书信息。
软件应用420一旦接收到证书就将把证书提交到安全系统410或以其它方式把证书传输到安全系统410,所述安全系统410一旦验证证书就将授权用户存取。替代地,在一些情况中,一旦在步骤512接收认证成功的通知,界面装置405就可在无需证书的情况下指示安全系统410授权用户存取。以此方式,使用移动装置107的用户可在移动装置107上执行认证以访问安全系统410。
如上文解释,可采用认证系统400授权用户对物理位置的进入。举例来说,安全系统410可为授权对安全工作设施的进入的门。门可保持锁定但可使用认证系统400解锁。
在此实例中,员工可接近设施的门且按下位于定位在门上或定位在门附近的界面装置405上的物理按钮。界面装置405可起始与员工的移动电话的通信,如上文陈述。已注册他或她的移动电话的员工可使用移动电话进入设施。
如上文关于步骤505到507描述,在按下按钮以起始通信之后,员工将在移动电话上接收请求用户键入用于认证的生物识别信息的消息。在此实例中,移动装置107经编程以向界面装置405自动发送呈对应于移动装置的由场外服务器验证的电话号码的形式的用户标识信息。
员工接下来将遵循他或她的移动电话的显示器上的提示。在此实例中,公司具有经编程应用50以首先请求拇指指纹且接着执行面部扫描,从而产生两步认证方法。遵循他或她的电话上的提示,员工将产生呈拇指指纹及面部扫描的形式的认证数据且在员工的移动电话上认证所述数据。
员工的电话将比较认证数据与本地存储在电话上的认证数据。如果确定认证成功,那么移动电话将向界面装置405发送向界面装置通知认证成功的消息。界面装置可与场外服务器共享此消息。接着,界面装置将经由有线或无线连接指示门(即,安全系统410)打开。
以此方式,员工可使用员工的移动电话进入工作设施。每一次界面装置指示安全系统打开门时都会通知场外服务器。以此方式,场外服务器可保持进入工作设施的每一用户及进入工作设施的时间的日志。类似认证系统可用于离开设施(当然允许紧急离开)。准许离开设施的系统也可与可产生离开工作设施的每一用户及离开工作设施的时间的日志的相同场外服务器通信。因此,日志可针对进入及离开设施的用户产生。日志可用于自动跟踪时薪员工的工作时间。
也如上文解释,可采用认证系统400授权用户对计算装置(例如ATM)及/或计算装置上的限制信息及/或功能性的存取。在此实例中,安全系统410与界面装置405是相同装置,及/或界面装置405被并入到台式计算机及ATM中且另外作为台式计算机及ATM的部分。
如上文关于图6陈述,用户可将移动应用下载到用户的移动电话。用户可注册且填入在移动电话上运行移动应用的用户配置文件。因此,使用移动装置,用户可产生存储在用户的移动电话上的生物识别认证数据。移动应用将经编程以将用户标识信息,在此情况中,用户的电话号码、名字及银行标识号存储在银行服务器上。为了完成注册,用户还将ATM登录证书输入到移动应用,所述证书将以加密格式被本地保存在移动电话上。出于此实例的目的,假定由银行管理员将软件应用420加载到ATM上。
为了存取ATM,用户将使用移动装置接近ATM。用户将按下ATM上的机械按钮或ATM上的触控屏按钮以起始与ATM的通信。替代地,ATM可包含接近传感器且确定用户的移动装置在附近。ATM将向移动电话发送请求用户标识信息的消息。替代地,ATM可通过银行服务器与移动电话通信。
用户将把请求的用户标识信息键入到移动电话中。ATM将把用户标识信息传达到银行服务器以进行验证。一旦确认用户已向银行的认证系统注册,ATM及/或银行服务器就将从移动电话请求认证数据。在此情况中,请求的认证数据涉及拇指指纹扫描。用户将使用移动装置产生请求的认证数据,且将比较所述认证数据与用户配置文件中的认证数据。
如果认证成功(即,获得的认证数据相同于或基本上类似于用户配置文件中的认证数据),那么移动装置将向ATM及/或银行服务器通知认证成功。接着,ATM及/或银行服务器将请求移动装置提供包含用户的ATM pin的ATM证书。用户证书存储在移动电话上作为用户配置文件的部分。移动电话将使用用户ATM证书自动产生加密响应。
银行服务器将比较接收到的ATM证书与银行数据库中的ATM证书。如果提供的证书匹配保存在银行服务器上的证书,那么服务器就将发送消息到ATM以授权用户在ATM上对用户银行账户的存取。以此方式,银行客户可仅使用用户的移动装置存取ATM。此方法降低欺骗性存取用户账户的风险。
用户可采用类似方法来存取计算装置,例如工作台式计算机。如同在ATM实例中,用户可将移动应用下载到用户的移动电话且注册用户配置文件。然而,在此实例中,证书将是计算装置的登录证书。用户配置文件将与公司服务器共享。出于此实例的目的,假定由公司管理员将软件应用420加载到工作台式计算机上。
为了存取工作计算机,用户将按下工作计算机触控屏上的启动按钮或使用输入装置(键盘或鼠标)来选择工作计算机的显示器上的启动按钮。工作计算机将继续向移动电话发送对用户标识信息的请求。在此情况中,运行移动应用50的移动电话将经编程以自动响应于对员工的用户标识信息的请求。工作计算机将把用户标识信息传达到公司服务器以进行验证。一旦确认用户已向公司的认证系统注册,工作计算机或公司服务器就将从移动电话请求认证数据。在此情况中,请求的认证数据涉及面部扫描。用户将使用移动装置产生请求的认证数据,且将比较所述认证数据与用户配置文件中的认证数据。
如果认证成功(即,获得的认证数据相同于或基本上类似于用户配置文件中的认证数据),那么移动装置将向工作计算机及/或公司服务器通知认证成功。作为响应,工作计算机将授权用户对工作计算机的存取。以此方式,银行客户可仅使用用户的移动装置存取工作计算机。
应进一步理解,在步骤504起始通信的移动装置可为与在步骤505接收认证请求、在步骤506获得认证数据、在步骤507比较获得的认证数据与注册的认证数据及在决策508对认证数据进行认证的移动装置不同的移动装置。明确来说,由第一用户使用的第一移动装置可起始通信且致使认证系统400从由第二用户使用的第二移动装置产生对认证数据的请求。在两个移动装置实施授权系统400的情况下,第二移动装置可在决策508直接向第一移动装置通知认证是否成功及/或可经由服务器与第二移动装置通信。此方法在第一移动装置的用户不具有进入特定位置的权力且需要来自第二用户的授权以进入所述位置的情况下可为有用的。应理解,可能需要第一及第二移动装置两者注册,如上文陈述,或替代地,可能仅需要第二移动装置进行注册。
移动应用318及/或移动应用50也可包含应急按钮。如果用户按下应急按钮达预定时间(例如,30秒),那么移动应用可发出警报及/或提醒执法机构。应急按钮可隐藏在用户界面的特定区域中。举例来说,用户可被盗贼胁迫使用她的移动电话对网上银行账户进行认证。在此情景中,用户可按下应急按钮达预定时间以发出警报且提醒执法机构。
认证系统100及/或认证系统400可由用户(例如授权人)用于授权其它人对位置的进入或信息的存取。举例来说,在一个位置的一个人可在授权人在不同位置时尝试获得对数字信息的存取或位置的进入。可产生对认证数据的请求且将其发送到授权人的移动装置。一旦接收到请求,授权人就可通过使用移动装置产生认证数据(例如生物识别数据)及认证所述数据授权个人对数字信息的存取或位置的进入,如上文陈述。一旦对认证数据进行认证,移动装置就可向服务器通知远程个人被授予许可进入位置或存取数字信息,且接着服务器可授权个人对位置的进入或数字信息的存取。服务器可保持由授权人授予的许可的日志。
认证系统100及/或认证系统400可用于获得忘记的密码或重设密码。管理员可能经常被安排从密码数据库检索员工忘记的密码的任务。而且,公司协议可能要求用户将员工的密码改成新密码。然而,认证系统100及/或认证系统400可允许忘记他们的密码的员工使用认证数据获得他们的密码或重设他们的密码。举例来说,一旦登录失败,移动应用50或移动应用318就可提示员工在移动装置(例如移动电话)上输入认证数据(例如生物识别数据)。接着,用户可产生认证数据且认证可被认证,如上文解释。一旦认证数据,移动应用50或移动应用318就可指示服务器提供忘记的密码、提供新密码或准许用户产生新密码。
认证系统100及/或认证系统400可用作个人定位器。举例来说,用户的移动装置可从另一装置接收输入生物识别数据的请求以提供那个人正在使用移动装置且亲自带着移动装置的保证。接收请求的用户可产生可被认证的认证数据,如上文描述。接着,将产生指示认证数据是否被认证的消息且将其发送到请求装置。消息还可包含移动装置的位置。
认证系统100及/或认证系统400可用于准许进入其内具有物理钥匙的钥匙盒以进入住宅或建筑物或可准许进入住宅或建筑物。举例来说,房地产专业人士可通过从移动装置存取认证系统100或认证系统400而进入其内具有钥匙的钥匙盒。房地产专业人士可通过致动钥匙盒上的认证按钮产生对认证数据的请求。替代地,房地产专业人士可通过访问移动应用318产生请求。可将对认证数据的请求发送到房地产专业人士的移动装置。一旦接收到请求,房地产中介就可使用移动装置产生请求的认证数据。接着,可对认证数据进行认证,如上文描述。一旦对认证数据进行认证,打开钥匙盒所需的代码就可从服务器发送到房地产中介的移动装置或服务器可直接发送指示钥匙盒打开的消息到钥匙盒。另外,与下文描述类似的过程可用于证明房地产中介是其声称从房主获得访问许可的人。
认证系统100及/或认证系统400可用于准许房主修改家庭安全系统,包含系统设置及/或密码信息。举例来说,房主可致动安全系统小键盘上的按钮或可访问安全系统网站或应用以产生对将要发送到移动装置的认证数据的请求。用户可在移动装置上产生认证数据,且数据可被认证,如上文解释。一旦被认证,安全系统可准许用户改变安全系统设置。
认证系统400可用于在投票站验证投票人的身份以确保投票人身处于投票站中。一旦进入投票站,那个人就可致动发送产生认证数据的请求到移动装置的按钮。投票站系统可另外要求用户键入其移动电话号码。一旦接收到对认证数据的请求,投票人就可产生请求的验证数据且数据可被认证,如上文描述。如果认证数据被认证,那么可提交选票。类似系统也可用于使用移动装置进行投票。举例来说,用于使用移动装置提交投票的网站或应用可能要求用户产生认证数据,且一旦产生认证数据,认证就可被认证,如上文描述。如果认证数据被认证,那么可提交选票。
认证系统100可用于认证社交媒体账户的持有人及/或改变社交媒体账户的设置。举例来说,当产生社交媒体账户时,社交媒体服务可发送认证请求到对应于所述账户的移动装置。移动装置的用户可产生认证数据且数据可被认证,如上文解释。认证系统100还可在用户在账户被停用之后试图重新启用账户时实施所述程序。可在任何数字账户的创建及维护中更普遍地使用类似方法。应理解,此方法可降低虚假账户的风险。
认证系统100可用于验证快递已完成。一旦快递完成,使用移动装置的快递员就可产生确认快递完成的消息且将所述消息发送到服务器。替代地,自动消息可基于快递员的移动装置的位置产生。响应于接收到快递完成的消息,可由服务器产生请求且将所述请求发送到请求认证数据的预期接收人或快递员的移动装置以确认快递完成。接着,请求的接收人可产生认证数据且使用相应移动装置认证所述数据,如上文解释。一旦认证数据,接收请求的移动装置就将发送确认快递完成的消息到服务器。在一个实例中,如果包裹的预期接收人在快递时不在场,那么快递员就可使用快递员的移动装置发送将包裹留在对应于预期接收人的快递地址或留在特定位置的授权请求。包裹的预期接收人可响应于所述请求产生认证数据,且认证数据可被认证,如上文描述。一旦对认证数据进行认证,预期接收人的移动装置就可产生指示快递员被授权将包裹留在对应于预期接收人的快递地址处或留在特定位置处的消息到服务器及/或快递员的移动装置。
认证系统100可用于将对数字文件及/或内容的存取限制于已被授权存取所述文件及/或内容的那些用户。举例来说,文档可能要求用户通过在打开文档时产生电话号码来键入认证数据。用户可键入与他或她的移动装置相关联的电话号码,且可将所述电话号码传达到服务器。接着,服务器可向与所述电话号码相关联的移动装置发送对认证数据的请求。接着,尝试打开文档的人将产生认证信息且使用移动装置认证所述认证信息,如上文解释。一旦对认证数据进行认证,用户就将被准许存取文档。
认证系统100可用于核证文件或文档或将经核证电子签名附加到文件或文档。举例来说,协议可能需要由一个人来签署。一旦在计算装置上打开数字文件,就可提示那个人提供证明或可能请求被提示提供证明。作为响应,将产生对认证数据的请求且将其发送到用户的移动装置。系统可请求个人的手机号码,前提是此信息是未知的。接着,个人将使用移动装置产生认证数据且认证数据将被认证,如上文描述。一旦对认证数据进行认证,文档就被个人核证。此可涉及附加经核证电子签名。
认证系统100可用于特定行动的按需批准。举例来说,员工可能需要针对工作用品(例如办公用品)的批准。员工可使用移动应用318或可访问URL(例如公司网址)来提交对购买工作用品的授权请求。请求可被自动按路线发送给已知授权人,或员工可将请求导引给特定人进行授权。请求可包含关于提议购买的量及/或信息。授权人可在授权人的移动装置上接收请求。请求可提示授权人产生批准请求或替代地拒绝请求的认证数据。授权人可产生认证数据,且移动应用可使用移动装置认证来认证数据信息,如上文解释。一旦对认证数据进行认证,授权人的移动装置就可向请求者通知支出已经被批准。举例来说,可将消息发送到URL及/或请求者的移动装置。如果认证失败或如果授权人拒绝请求,那么授权人的移动装置可向请求者的移动装置通知请求尚未被批准。可产生请求、批准及拒绝的日志。
认证系统100可用于存取在线账户(例如,在线银行账户)。举例来说,用户可访问网站以存取在线账户。网站可提示用户键入其移动电话号码或其它用户标识信息。接着,用户可键入其移动电话号码,所述移动电话号可被发送到服务器,服务器将认证请求传输到对应于移动电话号码的移动装置。用户可产生认证数据,且移动装置可对认证数据进行认证,如上文描述。一旦对认证数据进行认证,移动装置就向服务器通知用户已经被认证且用户可被授权对在线账户的存取。
应理解,管理服务提供者(MSP)可实施及管理认证系统100及/或认证系统400且因此具有管理密码服务器及动态密码及/或以其它方式实施本文中描述的程序及系统的能力。MSP可管理由用户提供的认证数据且请求额外认证数据。举例来说,MSP可确保生物识别数据是最新的。
应理解,本文中在上文描述的计算机操作中的任何者可至少部分被实施作为存储在计算机可读存储器上的计算机可读指令。当然应理解,本文中描述的实施例是说明性的,且组件可被布置、替代、组合及设计成多种多样的不同配置,其全部被预期且落在本发明的范围内。
出于说明及描述的目的,已呈现说明性实施例的前述描述。其不旨在在所揭示的精确形式方面是详尽的或具限制性的,且鉴于上文教示修改及变化是可能的或可从所揭示的实施例的实践获得修改及变化。本发明的范围旨在由其随附的权利要求书及其等效物定义。
Claims (36)
1.一种用于认证用户的方法,所述方法包括:
由移动装置将第一用户标识信息传输到服务器;
由所述移动装置使用所述移动装置上的生物识别传感器产生第一认证数据且将所述第一认证数据保存到所述移动装置;
由所述移动装置从计算装置或服务器接收对第二用户标识信息的请求;
由所述移动装置将所述第二用户标识信息传输到所述计算装置或服务器;
由所述移动装置接收对所述第二认证数据的请求;
由所述移动装置使用所述移动装置上的所述生物识别传感器产生第二认证数据;
由所述移动装置比较所述第一认证数据与所述第二认证数据;
由所述移动装置确定所述第二认证数据是否对应于所述第一认证数据;
由所述移动装置将在所述第二认证数据被确定是对应于所述第一认证数据的情况下确认所述认证成功的消息传输到所述计算装置或服务器;
由所述计算装置从所述服务器接收证书信息;及
由所述计算装置将所述证书信息的至少一部分自动填入到网站中,
其中所述网站是播放媒体内容的流服务网站。
2.根据权利要求1所述的方法,其中传输所述第一用户标识信息及传输所述第二用户标识信息涉及传输对应于所述移动装置的电话号码。
3.根据权利要求1所述的方法,其中产生所述第一认证数据及产生所述第二认证数据涉及产生以下各者中的一或多者:视网膜扫描信息、虹膜图案信息、指纹扫描信息、手指静脉扫描信息、面部扫描信息及语音模式信息。
4.根据权利要求1所述的方法,其中确定所述第二认证数据是否对应于所述第一认证数据涉及确定所述第二认证数据是否与所述第一认证数据相同。
5.根据权利要求1所述的方法,其进一步包括:由所述移动装置从所述计算装置或服务器接收提供忘记密码或新密码的消息。
6.根据权利要求1所述的方法,其进一步包括:由所述移动装置从所述服务器接收提供打开远程钥匙盒的代码的消息。
7.根据权利要求1所述的方法,其进一步包括:由所述移动装置从所述服务器接收更改安全系统的设置的许可。
8.根据权利要求1所述的方法,其进一步包括:由所述移动装置从所述计算装置或服务器接收提交电子投票选票的许可。
9.根据权利要求1所述的方法,其进一步包括:由所述移动装置从所述服务器接收创建社交媒体账户或重新启用社交媒体账户的许可。
10.根据权利要求1所述的方法,其进一步包括:由所述移动装置从所述计算装置或服务器接收打开文件的许可。
11.根据权利要求1所述的方法,其进一步包括:由所述移动装置将经核证电子签名附加到一文档。
12.根据权利要求1所述的方法,其进一步包括:由所述移动装置从所述服务器接收存取在线账户的许可。
13.根据权利要求1所述的方法,其进一步包括:在所述移动装置处从所述服务器接收具有验证码的SMS验证消息且由所述移动装置将所述验证码传输到所述服务器。
14.一种用于认证用户的方法,所述方法包括:
由计算装置产生对用户标识信息的请求;
由所述计算装置将对所述用户标识信息的所述请求传输到移动装置;
由所述计算装置从所述移动装置接收所述用户标识信息;
由所述计算装置将所述用户标识信息传输到服务器;
由所述计算装置从所述服务器接收确认所述用户标识信息有效的消息;
由所述计算装置产生认证请求;
由所述计算装置将所述认证请求传输到所述移动装置;及
由所述计算装置从所述移动装置接收确认认证成功的消息;
由所述计算装置从所述服务器接收证书信息;及
由所述计算装置将所述证书信息的至少一部分自动填入到网站中,
其中所述网站是播放媒体内容的流服务网站。
15.根据权利要求14所述的方法,其中接收所述用户标识信息涉及接收对应于所述移动装置的电话号码。
16.根据权利要求14所述的方法,其中将所述认证请求传输到所述移动装置涉及将使用所述移动装置上的生物识别传感器获得认证信息及比较获得的所述认证信息与本地保存在所述移动装置上的认证信息的请求传输到所述移动装置。
17.根据权利要求16所述的方法,其中使用所述生物识别传感器获得的所述认证信息及本地保存在所述移动装置上的所述认证信息涉及以下各者中的一或多者:视网膜扫描信息、虹膜图案信息、指纹扫描信息、手指静脉扫描信息、面部扫描信息及语音模式信息。
18.根据权利要求14所述的方法,其中从所述移动装置接收确认认证成功的消息涉及接收所述移动装置比较获得的所述认证信息与本地保存在所述移动装置上的认证信息及确定获得的所述认证信息与本地保存在所述移动装置上的所述认证信息相同的消息。
19.根据权利要求14所述的方法,其进一步包括:
从所述计算装置上的密码管理器模块产生对所述证书信息的请求;及
从所述密码管理器模块接收所述证书信息。
20.根据权利要求14所述的方法,其进一步包括:
由所述计算装置从所述服务器产生对所述证书信息的请求;及
由所述计算装置将对所述证书信息的所述请求传输到所述服务器。
21.根据权利要求20所述的方法,其中产生对所述证书信息的所述请求涉及产生对用于所述网站的至少一个密码的请求。
22.根据权利要求14所述的方法,其进一步包括:
由所述界面装置产生从关闭位置转变到打开位置的消息到安全系统;及
由所述界面装置将所述消息传输到所述安全系统。
23.根据权利要求14所述的方法,其进一步包括准许存取所述界面装置上的限制信息。
24.一种可操作地耦合到移动装置中的至少一个处理器的非暂时性存储器介质,其中所述非暂时性介质经配置以存储用以认证用户且致使所述至少一个处理器进行以下操作的多个指令:
将第一用户标识信息传输到服务器;
使用所述移动装置上的生物识别传感器产生第一认证数据且将所述第一认证数据保存到所述移动装置;
从计算装置接收对第二用户标识信息的请求;
将所述第二用户标识信息传输到所述计算装置;
从所述计算装置接收对第二认证数据的请求;
使用所述移动装置上的所述生物识别传感器产生所述第二认证数据;
比较所述第一认证数据与所述第二认证数据;
确定所述第二认证数据是否对应于所述第一认证数据;及
将在所述第二认证数据被确定是对应于所述第一认证数据的情况下确认所述认证成功的消息传输到所述计算装置;
从所述服务器接收证书信息;及
将所述证书信息的至少一部分自动填入到网站中,
其中所述网站是播放媒体内容的流服务网站。
25.根据权利要求24所述的非暂时性存储器介质,其中所述第一用户标识信息及所述第二用户标识信息涉及电话号码。
26.根据权利要求24所述的非暂时性存储器介质,其中所述第一认证数据及所述第二认证数据涉及以下各者中的一或多者:视网膜扫描信息、虹膜图案信息、指纹扫描信息、手指静脉扫描信息、面部扫描信息及语音模式信息。
27.根据权利要求24所述的非暂时性存储器介质,其中用以认证所述用户且致使所述至少一个处理器确定所述第二认证数据是否对应于所述第一认证数据的所述多个指令涉及致使所述至少一个处理器确定所述第二认证数据是否与所述第一认证数据相同。
28.一种涉及第一装置及第二装置的认证方法,所述方法包括:
由所述第二装置使用所述第二装置上的生物识别传感器产生第一认证数据且将所述第一认证数据保存到所述第二装置;
由所述第一装置起始在所述第二装置上的认证请求;
由所述第二装置接收所述认证请求;
由所述第二装置使用所述第二装置上的所述生物识别传感器产生第二认证数据;
由所述第二装置比较所述第一认证数据与所述第二认证数据;
由所述第二装置确定所述第二认证数据对应于所述第一认证数据;
由所述第二装置发送确认所述认证成功的消息;
由所述第一装置接收确认所述认证成功的消息;
在接收确认所述认证成功的所述消息后,通过所述第一装置从第三装置请求证书信息;以及
在接收确认所述认证成功的所述消息后,基于所述请求通过所述第一装置将所述证书信息的至少一部分自动填入。
29.根据权利要求28所述的认证方法,进一步包括一旦接收到确认所述认证成功的消息,通过所述第一装置授权存取对应于流服务网站或流服务应用的数字信息。
30.根据权利要求28所述的认证方法,其中使用所述生物识别传感器产生的所述第二认证数据是所述第二装置的用户独有的生物识别数据。
31.根据权利要求28所述的认证方法,其中在所述第一装置处接收确认所述认证成功的所述消息验证所述用户正在使用所述第二装置。
32.根据权利要求28所述的认证方法,其中一旦接收到确认所述认证成功的所述消息,所述第一装置授权存取物理位置。
33.根据权利要求32所述的认证方法,其中所述第一装置通过解锁物理障碍物授权存取物理位置。
34.根据权利要求28所述的认证方法,其中位于所述第二装置上的所述生物识别传感器适于确定视网膜扫描信息、虹膜图案信息、指纹扫描信息、手指静脉扫描信息、面部扫描信息或语音模式信息中的至少一者。
35.根据权利要求28所述的认证方法,进一步包括一旦接收到确认所述认证成功的所述消息,通过所述第一装置产生电子签名。
36.根据权利要求29所述的认证方法,进一步包括一旦接收到确认所述认证成功的所述消息,通过所述第一装置授权存取银行账户信息。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862618209P | 2018-01-17 | 2018-01-17 | |
| US62/618,209 | 2018-01-17 | ||
| US16/118,416 US10931667B2 (en) | 2018-01-17 | 2018-08-30 | Method and system for performing user authentication |
| US16/118,416 | 2018-08-30 | ||
| PCT/US2019/013716 WO2019143640A1 (en) | 2018-01-17 | 2019-01-15 | Method and system for performing user authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111903104A CN111903104A (zh) | 2020-11-06 |
| CN111903104B true CN111903104B (zh) | 2023-10-10 |
Family
ID=67214438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980012921.0A Active CN111903104B (zh) | 2018-01-17 | 2019-01-15 | 用于执行用户认证的方法及系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US10931667B2 (zh) |
| CN (1) | CN111903104B (zh) |
| WO (1) | WO2019143640A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9787669B2 (en) * | 2013-03-14 | 2017-10-10 | Comcast Cable Communications, Llc | Identity authentication using credentials |
| US11115403B2 (en) * | 2017-02-21 | 2021-09-07 | Baldev Krishan | Multi-level user device authentication system for internet of things (IOT) |
| US10931667B2 (en) | 2018-01-17 | 2021-02-23 | Baldev Krishan | Method and system for performing user authentication |
| PH12018502218A1 (en) * | 2018-01-23 | 2019-07-15 | Rococo Co Ltd | Ticketing management system and program |
| US10936708B2 (en) * | 2018-10-01 | 2021-03-02 | International Business Machines Corporation | Biometric data protection |
| US11399024B2 (en) * | 2018-10-10 | 2022-07-26 | Microsoft Technology Licensing, Llc | Proximity-based unlocking of communal computing devices |
| US11366886B2 (en) | 2018-10-10 | 2022-06-21 | Microsoft Technology Licensing, Llc | Authenticating users of communal computing devices using a limited search scope |
| US10885221B2 (en) * | 2018-10-16 | 2021-01-05 | International Business Machines Corporation | Obfuscating audible communications in a listening space |
| US11483309B2 (en) * | 2019-01-16 | 2022-10-25 | Visa International Service Association | Face-recognition for a value transfer |
| JP2022059099A (ja) * | 2019-02-25 | 2022-04-13 | ソニーグループ株式会社 | 情報処理装置、情報処理方法、及び、プログラム |
| JP7234699B2 (ja) * | 2019-03-05 | 2023-03-08 | ブラザー工業株式会社 | アプリケーションプログラムおよび情報処理装置 |
| JP7215234B2 (ja) | 2019-03-05 | 2023-01-31 | ブラザー工業株式会社 | アプリケーションプログラムおよび情報処理装置 |
| US11392922B2 (en) | 2019-06-20 | 2022-07-19 | Advanced New Technologies Co., Ltd. | Validating transactions using information transmitted through magnetic fields |
| US10681044B1 (en) | 2019-06-20 | 2020-06-09 | Alibaba Group Holding Limited | Authentication by transmitting information through magnetic fields |
| CN112188418B (zh) * | 2019-07-05 | 2022-10-14 | 青岛海链数字科技有限公司 | 基于区块链的短信验证方法 |
| US11711366B2 (en) * | 2020-07-16 | 2023-07-25 | Vmware, Inc. | Scalable onboarding for internet-connected devices |
| US11997093B2 (en) * | 2020-09-30 | 2024-05-28 | Goodwell Technologies, Inc. | Secure private network navigation |
| CN112528305B (zh) * | 2020-12-16 | 2023-10-10 | 平安银行股份有限公司 | 访问控制方法、装置、电子设备及存储介质 |
| CN114692105A (zh) * | 2020-12-31 | 2022-07-01 | 华为技术有限公司 | 一种密码重置的方法、装置和电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105453524A (zh) * | 2013-05-13 | 2016-03-30 | 霍约什实验室Ip有限公司 | 用于授权访问到访问控制环境的系统和方法 |
| CN106416189A (zh) * | 2014-04-14 | 2017-02-15 | 万事达卡国际股份有限公司 | 用于改进的认证的系统、设备和方法 |
Family Cites Families (54)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7047416B2 (en) * | 1998-11-09 | 2006-05-16 | First Data Corporation | Account-based digital signature (ABDS) system |
| US6694045B2 (en) | 2002-01-23 | 2004-02-17 | Amerasia International Technology, Inc. | Generation and verification of a digitized signature |
| US7483984B1 (en) | 2001-12-19 | 2009-01-27 | Boingo Wireless, Inc. | Method and apparatus for accessing networks by a mobile device |
| US20040193925A1 (en) * | 2003-03-26 | 2004-09-30 | Matnn Safriel | Portable password manager |
| US20060104224A1 (en) * | 2004-10-13 | 2006-05-18 | Gurminder Singh | Wireless access point with fingerprint authentication |
| US20060153346A1 (en) | 2005-01-11 | 2006-07-13 | Metro Enterprises, Inc. | On-line authentication registration system |
| US20060183462A1 (en) * | 2005-02-11 | 2006-08-17 | Nokia Corporation | Managing an access account using personal area networks and credentials on a mobile device |
| US20070074038A1 (en) * | 2005-09-29 | 2007-03-29 | International Business Machines Corporation | Method, apparatus and program storage device for providing a secure password manager |
| US7624417B2 (en) | 2006-01-27 | 2009-11-24 | Robin Dua | Method and system for accessing media content via the internet |
| US8090944B2 (en) * | 2006-07-05 | 2012-01-03 | Rockstar Bidco Lp | Method and apparatus for authenticating users of an emergency communication network |
| CN101365241A (zh) * | 2007-08-10 | 2009-02-11 | 鸿富锦精密工业(深圳)有限公司 | 移动通信系统及移动通信的鉴权方法以及移动通信装置 |
| US8914855B2 (en) * | 2010-04-01 | 2014-12-16 | Whitserve Llc | Portable password keeper with internet storage and restore |
| US9767262B1 (en) * | 2011-07-29 | 2017-09-19 | Amazon Technologies, Inc. | Managing security credentials |
| US20130254856A1 (en) * | 2011-10-18 | 2013-09-26 | Baldev Krishan | Password Generation And Management |
| US8862888B2 (en) * | 2012-01-11 | 2014-10-14 | King Saud University | Systems and methods for three-factor authentication |
| US9137242B2 (en) * | 2012-04-09 | 2015-09-15 | Medium Access Systems Private Ltd. | Method and system using a cyber ID to provide secure transactions |
| US20170076293A1 (en) * | 2015-09-16 | 2017-03-16 | Linq3 Technologies Llc | Creating, verification, and integration of a digital identification on a mobile device |
| US9286455B2 (en) * | 2012-10-04 | 2016-03-15 | Msi Security, Ltd. | Real identity authentication |
| US9038149B2 (en) * | 2012-12-18 | 2015-05-19 | Virtual Keyring, LLC | Cloud based password management |
| US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| US9088556B2 (en) * | 2013-05-10 | 2015-07-21 | Blackberry Limited | Methods and devices for detecting unauthorized access to credentials of a credential store |
| US9003196B2 (en) * | 2013-05-13 | 2015-04-07 | Hoyos Labs Corp. | System and method for authorizing access to access-controlled environments |
| US9467443B2 (en) * | 2013-12-09 | 2016-10-11 | Ram Balasubramaniam MOHAN | Authentication utilizing a dynamic passcode from a user-defined formula based on a changing parameter value |
| US9336378B2 (en) * | 2014-03-31 | 2016-05-10 | Google Inc. | Credential sharing |
| US9860241B2 (en) * | 2014-04-15 | 2018-01-02 | Level 3 Communications, Llc | Device registration, authentication, and authorization system and method |
| US10339293B2 (en) | 2014-08-15 | 2019-07-02 | Apple Inc. | Authenticated device used to unlock another device |
| TWI544357B (zh) * | 2014-08-20 | 2016-08-01 | 王基旆 | 具有單鍵快速安全登錄功能之電腦網路系統 |
| CA3186147A1 (en) * | 2014-08-28 | 2016-02-28 | Kevin Alan Tussy | Facial recognition authentication system including path parameters |
| DE102014219297A1 (de) * | 2014-09-24 | 2016-03-24 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Authentisierungs-Stick |
| US10021088B2 (en) * | 2014-09-30 | 2018-07-10 | Citrix Systems, Inc. | Fast smart card logon |
| WO2016145454A1 (en) | 2015-03-12 | 2016-09-15 | Wiacts, Inc. | Multi-factor user authentication |
| US10146931B1 (en) * | 2015-03-13 | 2018-12-04 | EMC IP Holding Company LLC | Organization-level password management employing user-device password vault |
| US9762392B2 (en) | 2015-03-26 | 2017-09-12 | Eurotech S.P.A. | System and method for trusted provisioning and authentication for networked devices in cloud-based IoT/M2M platforms |
| IN2015DE01659A (zh) | 2015-06-04 | 2015-07-03 | Hcl Technologies Ltd | |
| US20160379220A1 (en) | 2015-06-23 | 2016-12-29 | NXT-ID, Inc. | Multi-Instance Shared Authentication (MISA) Method and System Prior to Data Access |
| EP3318041A1 (en) | 2015-06-30 | 2018-05-09 | Raghav Bhaskar | User friendly two factor authentication |
| US10182043B2 (en) | 2015-07-17 | 2019-01-15 | Cybrook Inc. | Methods and system for user and device management of an IoT network |
| WO2017049302A1 (en) * | 2015-09-18 | 2017-03-23 | First Data Corporation | System for validating a biometric input |
| US10313881B2 (en) * | 2015-09-21 | 2019-06-04 | Lawrence Liu | System and method of authentication by leveraging mobile devices for expediting user login and registration processes online |
| US9692815B2 (en) | 2015-11-12 | 2017-06-27 | Mx Technologies, Inc. | Distributed, decentralized data aggregation |
| US10091193B2 (en) * | 2015-12-30 | 2018-10-02 | Mastercard International Incorporated | One time passcode |
| US10127366B2 (en) | 2016-04-04 | 2018-11-13 | Mastercard International Incorporated | Systems and methods for paired device authentication |
| US10055575B2 (en) * | 2016-04-22 | 2018-08-21 | Blackberry Limited | Smart random password generation |
| US11227268B2 (en) | 2016-06-30 | 2022-01-18 | Paypal, Inc. | Systems and methods for user data management across multiple devices |
| WO2018044282A1 (en) | 2016-08-30 | 2018-03-08 | Visa International Service Association | Biometric identification and verification among iot devices and applications |
| US10846390B2 (en) * | 2016-09-14 | 2020-11-24 | Oracle International Corporation | Single sign-on functionality for a multi-tenant identity and data security management cloud service |
| US20180176221A1 (en) | 2016-12-21 | 2018-06-21 | Facebook, Inc. | Methods and Systems for Verifying a User Login Using Contact Information of the User |
| US11115403B2 (en) | 2017-02-21 | 2021-09-07 | Baldev Krishan | Multi-level user device authentication system for internet of things (IOT) |
| US10491588B2 (en) | 2017-03-23 | 2019-11-26 | Baldev Krishan | Local and remote access apparatus and system for password storage and management |
| US10922690B2 (en) * | 2017-08-28 | 2021-02-16 | David Joseph Ross | System and method for purchasing using biometric authentication |
| KR102301599B1 (ko) | 2017-09-09 | 2021-09-10 | 애플 인크. | 생체측정 인증의 구현 |
| US10108870B1 (en) * | 2018-01-10 | 2018-10-23 | Ezee Steve, Llc | Biometric electronic signatures |
| US10931667B2 (en) | 2018-01-17 | 2021-02-23 | Baldev Krishan | Method and system for performing user authentication |
| WO2020219771A1 (en) | 2019-04-26 | 2020-10-29 | Baldev Krishan | Method and system for performing user authentication |
-
2018
- 2018-08-30 US US16/118,416 patent/US10931667B2/en active Active
-
2019
- 2019-01-15 US US16/962,787 patent/US11736475B2/en active Active
- 2019-01-15 CN CN201980012921.0A patent/CN111903104B/zh active Active
- 2019-01-15 WO PCT/US2019/013716 patent/WO2019143640A1/en active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105453524A (zh) * | 2013-05-13 | 2016-03-30 | 霍约什实验室Ip有限公司 | 用于授权访问到访问控制环境的系统和方法 |
| CN106416189A (zh) * | 2014-04-14 | 2017-02-15 | 万事达卡国际股份有限公司 | 用于改进的认证的系统、设备和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 一种安全性增强的三因子远程用户身份认证方案研究;余红芳等;《软件导刊》;20171215(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111903104A (zh) | 2020-11-06 |
| US11736475B2 (en) | 2023-08-22 |
| WO2019143640A1 (en) | 2019-07-25 |
| US20200358760A1 (en) | 2020-11-12 |
| US10931667B2 (en) | 2021-02-23 |
| US20190222570A1 (en) | 2019-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111903104B (zh) | 用于执行用户认证的方法及系统 | |
| US10706421B2 (en) | System and method of notifying mobile devices to complete transactions after additional agent verification | |
| US20220114245A1 (en) | Method and system for performing user authentication | |
| US20220311763A1 (en) | Method and system for performing user authentication | |
| US9876788B1 (en) | User enrollment and authentication | |
| US10742634B1 (en) | Methods for single sign-on (SSO) using optical codes | |
| US11900746B2 (en) | System and method for providing credential activation layered security | |
| CN112330855B (zh) | 一种电子锁安全管理方法、设备及系统 | |
| CN113302894B (zh) | 安全账户访问 | |
| EP1603003A1 (en) | Flexible method of user authentication | |
| US11716330B2 (en) | Mobile enrollment using a known biometric | |
| KR101719511B1 (ko) | 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 서버 및 컴퓨터 판독 가능한 기록 매체 | |
| US20230269249A1 (en) | Method and system for performing user authentication | |
| KR101722031B1 (ko) | 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 권한자 단말 및 컴퓨터 판독 가능한 기록 매체 | |
| US10984131B2 (en) | Method for providing personal information of a user requested by a given online service | |
| US20210397687A1 (en) | Method for authenticating a user on client equipment | |
| US20220321347A1 (en) | System, method and apparatus for transaction access and security | |
| US10757097B2 (en) | Temporal identity vaulting |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |