TW201820196A - 出現識別技術 - Google Patents

出現識別技術 Download PDF

Info

Publication number
TW201820196A
TW201820196A TW106137394A TW106137394A TW201820196A TW 201820196 A TW201820196 A TW 201820196A TW 106137394 A TW106137394 A TW 106137394A TW 106137394 A TW106137394 A TW 106137394A TW 201820196 A TW201820196 A TW 201820196A
Authority
TW
Taiwan
Prior art keywords
mobile device
user
time password
public key
identification server
Prior art date
Application number
TW106137394A
Other languages
English (en)
Other versions
TWI692703B (zh
Inventor
羅蘭度 R. 費瑞拉
安德瑞溝 N. 品席洛
法比歐 拉斐爾
卡瑞尼 馬雅
喬斯 P. 皮爾斯
克里斯多夫 C. 莫爾曼
瓦利 阿里
Original Assignee
美商惠普發展公司有限責任合夥企業
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 美商惠普發展公司有限責任合夥企業 filed Critical 美商惠普發展公司有限責任合夥企業
Publication of TW201820196A publication Critical patent/TW201820196A/zh
Application granted granted Critical
Publication of TWI692703B publication Critical patent/TWI692703B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

關聯於出現識別技術的範例被描述。一範例包括偵測藉由一行動裝置廣播的一出現識別符。此行動裝置屬於一使用者。此出現識別符的一部份係基於一一次性密碼種子而產生。此出現識別符的該部分被提供至一識別伺服器。自識別伺服器接收關聯於使用者的識別資訊。識別伺服器使用該部分以基於一次性密碼種子識別此使用者。基於此識別資訊執行一動作。

Description

出現識別技術
發明領域 本發明大致係有關出現識別技術。
發明背景 人們在每天的生活及工作中使用各種行動裝置(例如:手機、平板、筆電)。商業上,有時需要使用行動裝置來識別及/或認證個別使用者。舉例來說有時候可在一多因素認證方案中藉由使用作為一因素的一行動裝置來達到這種需求。舉例來說可藉由在行動裝置上顯示一密碼、自行動裝置廣播一信標等等來達到此方案。
發明概要 依據本發明之一可行實施例,係特地提出一種方法,其包含偵測藉由屬於一使用者的行動裝置廣播的一出現識別符,其中該出現識別符的一部份係基於一一次性密碼種子而產生;提供該出現識別符的該部分至一識別伺服器;自該識別伺服器接收與該使用者相關聯的識別資訊,其中該識別伺服器使用該部分以基於該一次性密碼種子識別該使用者;及基於該識別資訊執行一動作。
較佳實施例之詳細說明 關聯於出現識別的系統、方法及同等設備被描述。如上所述,由裝置所廣播的信標可被用來對部分的商業資訊科技基礎設施識別及/或認證使用者。儘管如此,當一使用者之行動裝置經常廣播一訊號信標或包括與該使用者相關的個人資訊時,即可能存在隱私及/或安全的顧慮。舉例說明,經常廣播一信標的使用者可能會在他移動、拜訪客戶等等的時候被追蹤。進一步的,廣播一識別信標可能易於遭受重覆攻擊,此攻擊係允許某人藉由傳輸該信標的複本至一經處理資源來存取此資源。
為了處理隱私及安全的挑戰,一使用者的行動裝置可被嵌入一一次性密碼種子,其複本被儲存於在管理資訊科技資源方面協助一公司的一識別伺服器中。因此,一行動裝置可基於此一次性密碼種子及此行動裝置已知的一時間表轉換其出現識別符,而不是廣播一單一出現識別符。當此出現識別符被一經管理裝置偵測到的時候,此經管理裝置可跟識別伺服器確認此出現識別符係真實的。此識別伺服器可使用其一次性密碼種子的複本來認證此使用者,及准許經管理裝置根據此經管理裝置的功能連結到行動裝置及/或與使用者互動。
圖1描繪關聯於出現識別之範例裝置。應了解的是描繪於圖1中的項目為例示性範例,且諸多不同的系統、裝置等等,可依據各種範例操作。
圖1描繪一行動裝置100。舉例來說行動裝置可為:一手機、一平板、一膝上型電腦等等。行動裝置100可藉由一使用者控制。此使用者可企圖在一公司的資料科技基礎設施中將自己關聯於行動裝置100,使得使用者可利用由基礎設施管理的資源及裝置。舉例來說,這在當使用者係公司的一員工、付錢以使用由公司提供的服務…等等時是適當的。因此,使用者可將行動裝置100登記到一識別伺服器120。在一些範例中,此登記可能係透過一註冊裝置130來處理。舉例來說註冊裝置可為使用者個個人電腦、當使用者係公司的員工時由公司提供的一電腦等等。在其他情況下行動裝置100直接與識別伺服器120導引登記係適當的。其在行動裝置100有辦法建立一安全連結至識別伺服器120時係適當的。
登記的程序可使得識別伺服器120儲存關聯於使用者及行動裝置100的識別資訊。識別資訊亦可包括作為部分登記程序而提供至行動裝置100一一次性密碼種子125。此外,識別資訊一可包括一第一公共金鑰。此第一公共金鑰可藉由行動裝置100產生,並與行動裝置秘密儲存的一第一私人金鑰配對。如同將在下方描述的,第一公共金鑰及第一私人金鑰可由行動裝置100使用來與藉由資訊科技基礎設施(例如:經管理裝置110)管理的裝置安全地通訊及/或建立安全連結。
一旦行動裝置100接收了一次性密碼種子125,行動裝置100可開始週期性地廣播一出現識別符105。出現識別符105可藉由行動裝置100基於一次性密碼種子125而產生。特別是,基於行動裝置100及識別伺服器120已知的時間表,行動裝置100可廣播一系列的不同出現識別符105。舉例說明,在一第一時間期間內,行動裝置100可廣播基於關聯於第一時間期間的一時間戳記及基於一次性密碼種子125產生的一第一出現識別符。在一第一時間期間結束後的一第二時間期間開始時,行動裝置100可基於關聯於第二時間期間的一時間戳記及基於一次性密碼種子125廣播一第二出現識別符。行動裝置100廣播一個人出現識別符的時間的長度可取決於一公司操作識別伺服器120所要求的安全重要性、由行動裝置100的使用者要求的匿名性…等等。在一些範例中,各個由行動裝置100廣播的出現識別符105可針對其特定的廣播而被獨特的產生。
出現識別符可由經管理裝置110偵測。經管理裝置110可為構成一公司的資訊科技基礎設施的一裝置、設備…等等。舉例來說,這些裝置可包括:印表機、電腦、安全檢查點、會議科技、以及可能會有需要對其識別及/或認證行動裝置100的使用者的其他類型之裝置。
當經管理裝置110偵測到一出現識別符105時,經管理裝置可連絡識別伺服器120以判定此出現識別符105係否有效。因此,識別伺服器120可使用其一次性密碼種子125之複本來驗證出現識別符105及/或使用儲存在行動裝置100上的一次性密碼種子125之複本產生的出現識別符125之一部分。當識別伺服器120成功的驗證出現識別符105時,識別伺服器120可提供關聯於使用者及/或行動裝置100的識別資訊至經管理裝置110。此舉可允許經管理裝置110基於經管理裝置110的功能代表使用者及/或行動裝置100採取一些動作。
由經管理裝置110採取的行動的類型可基於經管理裝置110被設計來執行的功能的類型。舉例說明,當使用者走進一會議室時,此會議室的一經管理裝置110可偵測出現識別符105並,在與識別伺服器130確認出現識別符105之後,針對使用者保留此會議室。舉例來說,在一些範例中經管理裝置110亦可開始特定的會議室特色操作(例如:一投影機、一視訊會議服務)、啟動關聯於使用者之行事曆之一會議、在會議室的一電腦上開啟關聯於使用者之帳號的一虛擬桌面…等等。用來起動這些不同特點的資訊可能係自識別伺服器130本身、或自經管理裝置110能存取的資訊科技基礎建設的一部份之其他裝置獲得。舉例來說,經管理裝置110的其他類型可包括:電腦、印表機、安全措施…等等。
在其他的範例中,經管理裝置110與行動裝置100建立一安全連結係理想的。其在經管理裝置110係設計來使用儲存在行動裝置100上的資料執行一些服務時係理想的。舉例來說,一安全連結可基於藉由識別伺服器120促進的在行動裝置100及經管理裝置110間的安全金鑰之交換而建立。在一範例中,經管理裝置110可使用如上所述藉由識別伺服器120儲存保留在識別資訊中的第一公共金鑰。因此,當識別伺服器120驗證出現識別符105時,識別伺服器120可傳輸第一公共金鑰至經管理裝置110。另外,經管理裝置110可傳輸一第二公共金鑰至行動裝置100。此第二公共金鑰可與藉由經管理裝置110保有在一安全儲存器中的一第二私人金鑰配對。行動裝置100可接著與識別伺服器120驗證此第二公共金鑰以確保經管理裝置110係包括在關聯於識別伺服器120的資訊科技基礎建設中的一裝置。此驗證與藉由經管理裝置110接收的第一公共金鑰一起可完成一成功的安全金鑰之交換,其可用於確保行動裝置100及經管理裝置110間的通訊。
應理解的是,在下列描述中多個特定的細節被述說來提供此等範例的透徹了解。然而,應被理解的是這些範例可以在不限於此等特定細節的情況下被實現。在其他的狀況中,可能有對方法及結構的詳細描述以避免對此等範例之描述不必要的隱藏。此等範例亦可被彼此相互結合來使用。
本文所使用的「模組」包括但不限於硬體、韌體、儲存在一電腦可讀媒體上或在一機器上被執行的軟體、及/或其相互結合以執行一(或多)個功能或一(或多)個動作、及/或使另一個模組、方法及/或系統產生功能或動作。一模組可包括一經軟體控制的微處理器、一離散模組、一類比電路、一數位電路、一經程式化模組裝置、一含有指令之記憶體裝置…等等。模組可包括閘、閘的組合、或其他電路元件。複數個邏輯模組被描述時,此等複數個邏輯模組可能被包含進一實體模組中。類似地,一單一邏輯模組被描述時,此單一模組可能被分配至複數個實體模組之間。
圖2描繪一範例方法200。方法200可在儲存處理器可讀的指令之一非暫時性處理器可讀媒體上被實現。此等指令在由一處理器執行時可使得處理器執行方法200。在其他範例中,方法200可存在於一特定應用積體電路(ASIC)的邏輯閘及/或RAM中。
方法200可執行關聯於個人識別的各種任務。在不同的範例中,方法200可藉由經管理為一公司的資訊科技基礎建設之一部分的一裝置來執行,其類似於經管理裝置110(圖1)。方法200包括在動作210偵測一出現識別符。可自一行動裝置接收廣播。舉例來說,涉及行動裝置的整個方法200可藉由一匹配技術,諸如藍芽、近距離通訊、WIFI…等等發生。舉例來說,行動裝置可為一手機、一膝上型電腦、一平板…等等。行動裝置可能屬於使用者。出現識別符的一部份可能基於一一次性密碼種子而產生。此部分亦可基於行動裝置已知的一時間表而產生,使得行動裝置週期性的改變被廣播的出現識別符。此可允許行動裝置混淆行動裝置的使用者的身分。
方法200亦包括在動作220提供出現識別符的該部份至一識別伺服器。方法200亦可包括在動作230接收識別資訊。此識別資訊可關聯於該使用者。此識別資訊可接收自識別伺服器。識別伺服器可使用出現識別符的該部份來基於一次性密碼種子識別使用者。
方法200亦包括在動作240執行一動作。此動作可基於識別資訊而被執行。在不同的範例中,此動作可包括允許使用者存取藉由執行方法200的一裝置管理的一資產、為使用者提供一資源、與行動裝置建立一安全連結…等等。
藉由具體說明的方式,可藉由交換由識別伺服器認證的公共金鑰來建立一安全連結。舉例說明,一第一公共金鑰可被提供至行動裝置,此行動裝置可接著以識別伺服器驗證此第一公共金鑰。進一步的,關聯於行動裝置的一第二公共金鑰可包括由識別伺服器提供的識別資訊。因此,執行方法200的一裝置可能能夠使用此第二公共金鑰來與行動裝置安全地通訊,且此行動裝置可能能夠使用第一公共金鑰來與執行方法200的裝置安全地通訊。
圖3描繪一系統300。系統300包括一資料儲存器310。資料儲存器310可儲存關聯於具有行動裝置399的使用者之註冊資訊集合。註冊資訊集合可包括個別的一次性密碼種子。
系統300亦包括一註冊模組320。註冊模組320可自一使用者接收一註冊要求以將行動裝置399關聯餘此使用者。在一些範例中,註冊要求可透過一註冊裝置(未顯示)自行動裝置399接收。在此範例中,一次性密碼種子可透過註冊裝置提供至行動裝置399。
系統300亦包括一一次性密碼種子產生模組330。一次性密碼種子產生模組330可針對行動裝置399產生一一次性密碼種子。一次性密碼種子產生模組330亦可提供一次性密碼種子至行動裝置。一次性密碼種子產生模組330亦可在資料儲存器310中儲存關聯於使用者的註冊資料集合、行動裝置399、以及一次性密碼種子。
系統300亦包括一驗證模組340。驗證模組340可自一經管理裝置390接收一要求。自經管理裝置390的要求可響應於藉由行動裝置399廣播的一出現識別符而被接收。此出現識別符可包括基於在行動裝置399中的一次性密碼種子產生的一一次性密碼。接收到要求後,驗證模組340可接著基於儲存於資料儲存器310中的一次性密碼種子來驗證一次性密碼,及提供關聯於使用者的識別資訊至經管理裝置390。在一些範例中,提供關聯於使用者的識別資訊至經管理裝置390可控制經管理裝置390來針對行動裝置399的使用者執行一動作。藉由具體說明的方式,識別資訊可授權使用者以使用藉由經管理裝置390控制的資源。
在一範例中,由註冊模組320接收的註冊要求可包括由行動裝置399產生的一公共金鑰。此公共金鑰可與儲存於行動裝置399中的一私人金鑰配對。此公共金鑰可藉由一次性密碼種子產生模組330儲存在資料儲存器中做為關聯於使用者、行動裝置399、及一次性密碼種子的註冊資料集合的一部份。在此範例中,當識別資訊係由驗證模組340提供至經管理裝置390時,此識別資訊可包括公共金鑰。其可促進經管理裝置390及行動裝置399間安全通訊的建立。
圖4描繪一方法400。方法400可藉由像是行動裝置100(圖1)的裝置執行。此裝置可藉由一使用者控制。方法400包括在動作410傳輸註冊資料至一識別伺服器。註冊資料可包括一第一公共金鑰。第一註冊金鑰可與儲存在此裝置中的一第一私人金鑰配對。註冊資料可藉由識別伺服器使用來使一一次性密碼種子關聯於該裝置的一使用者。
方法400亦包括在動作420接收一次性密碼種子。一次性密碼種子可自識別伺服器接收。在一些範例中,在動作410傳輸至識別伺服器的註冊資料可以係透過一註冊裝置傳輸。在此範例中,一次性密碼種子可透過註冊裝置自識別伺服器接收。
方法400亦包括在動作430週期性地廣播一出現識別符。出現識別符可包括基於一次性密碼種子產生的一一次性密碼。因此,出現識別符可基於一次性密碼種子週期性地改變,其可能會混淆此裝置使用者的識別。出現識別符可由一經管理裝置使用以自識別伺服器獲得識別此裝置使用者的資訊。出現識別符及/或識別此裝置使用者的資訊可由經管理裝置使用以代表使用者執行一動作。
圖5描繪關聯於出現識別之一方法500。方法500包括數個類似於參考上述方法400(圖4)的動作。舉例說明,方法500包括在動作510傳輸註冊資料至一識別伺服器、在動作520接收一一次性密碼種子、及在動作530週期性地廣播一出現識別符。
方法500亦包括在動作540接收一第二公共金鑰。第二公共金鑰可接收自一經管理裝置,此經管理裝置接收在動作530廣播的出現識別符。
方法500亦包括在動作550以識別伺服器驗證第二公共金鑰。驗證第二公共金鑰可對執行動作500的裝置確保第二公共金鑰係自一裝置接收,此裝置係關聯於識別伺服器550的資訊科技基礎建設的一部分。因此,驗證第二公共金鑰可防止執行方法500的裝置在無意中傳輸敏感的資料至一未經授權的裝置。
方法500亦包括在動作560與經管理裝置建立一安全連結。此安全連結可基於第二公共金鑰及基於經管理裝置自該識別伺服器接收第一公共金鑰而建立,此第一公共金鑰係在由識別伺服器提供至經管理裝置的識別資訊中。
圖6描繪一範例運算裝置,在其中可操作一範例系統、及方法、以及同等設備。範例運算裝置可為一電腦600,其包括一處理器610及藉由一匯流排630連結的一記憶體620。電腦600包括一出現識別模組640。出現識別模組640可單獨或以結合的方式執行上列參考範例系統、方法等等描述的各種功能。在不同的範例中,出現識別模組640可實現為一非暫時性電腦可讀媒體,此非暫時性電腦可讀媒體在硬體、軟體、韌體、一特定應用積體電路、及/或其組合中存有可由處理器執行之指令。
此等指令亦可作為資料650及/或程序660而呈現至電腦600,資料650及/或程序660係暫時儲存於記憶體620中並稍後由處理器610執行。處理器610可為包括雙微處理器及其他多處理器架構的各種處理器。記憶體620可包括非依電性記憶體(例如:唯讀記憶體)及/或依電性記憶體(例如:隨機存取記憶體)。舉例說明,記憶體620亦可為一磁碟驅動器、一固態硬碟驅動器、一軟碟驅動器、一磁帶驅動器、一快閃記憶體卡片、一光碟…等等。因此,記憶體620可儲存程序660及/或資料650。電腦600亦可關聯於包括電腦、裝置、周邊設備…等等多種組態(未顯示)之其他裝置。
可以理解的,前述所揭露的範例係提供以使任何熟於此技者能夠做到或使用本發明。這些範例的各種變化對於熟於此技者而言將係顯而易見的,而本文所定義的通用原則亦可在不背離本發明之精神及範圍之情況下應用於其他範例中。因此,本發明並不意欲被限於本文所顯示之範例,而是符合與本文所揭露之原則及新穎特徵一致之最廣的範圍。
100、399‧‧‧行動裝置
105‧‧‧出現識別符
110、390‧‧‧經管理裝置
120‧‧‧識別伺服器
125‧‧‧一次性密碼種子
130‧‧‧註冊裝置
200、400、500‧‧‧方法
210、220、230、240、410、420、430、510、520、530、540、550、560‧‧‧動作
300‧‧‧系統
310‧‧‧資料儲存器
320‧‧‧註冊模組
330‧‧‧一次性密碼種子產生模組
340‧‧‧驗證模組
600‧‧‧電腦
610‧‧‧處理器
620‧‧‧記憶體
630‧‧‧匯流排
640‧‧‧出現識別模組
650‧‧‧資料
660‧‧‧程序
本發明可就所附圖式以及下方之詳細描述而更容易被完全了解。
圖1描繪關聯於出現識別之範例裝置。
圖2描繪關聯於出現識別之操作範例的一流程圖。
圖3描繪關聯於出現識別一範例系統。
圖4描繪關聯於出現識別之操作範例的另一流程圖。
圖5描繪關聯於出現識別之操作範例的另一流程圖。
圖6描繪一範例運算裝置,在其中可操作一範例系統、及方法、以及同等設備。

Claims (15)

  1. 一種方法,其包含: 偵測藉由屬於一使用者的行動裝置廣播的一出現識別符,其中該出現識別符的一部份係基於一一次性密碼種子而產生; 提供該出現識別符的該部分至一識別伺服器; 自該識別伺服器接收關聯於該使用者的識別資訊,其中該識別伺服器使用該部分以基於該一次性密碼種子識別該使用者;及 基於該識別資訊執行一動作。
  2. 如請求項1之方法,其中該動作係與該行動裝置的建立一安全連結。
  3. 如請求項2之方法,其中該方法包含提供一第一公共金鑰至該行動裝置,其中該識別資訊包括關聯於該行動裝置的一第二公共金鑰,且其中該安全連結係藉由自該識別伺服器接收該第二公共金鑰及該裝置以該識別伺服器驗證該第一公共金鑰而建立。
  4. 如請求項1之方法,其中該動作允許該使用者存取一資產、及供給該使用者一資源的其中一者。
  5. 如請求項1的方法,其中涉及該行動裝置的傳輸係透過一配對技術而發生。
  6. 一系統,其包含: 一資料儲存器,用以儲存將使用者關聯於行動裝置的註冊資料的集合,其中註冊資料的集合包括各別的一次性密碼種子; 一註冊模組,用以自一使用者接收一註冊要求以將一行動裝置關聯於該使用者; 一一次性密碼種子產生模組,用以針對該行動裝置產生一一次性密碼種子,以提供該一次性密碼種子至該行動裝置,及儲存關聯於該使用者、該行動裝置、及該一次性密碼種子的一註冊資料的集合;及 一驗證模組,用以響應於藉由該行動裝置廣播的一出現識別符而自一經管理裝置接收一要求,其中該出現識別符包括基於儲存在該行動裝置中的該一次性密碼種子產生的一一次性密碼,及用以在基於儲存在該資料儲存器中的該一次性密碼種子來驗證該一次性密碼後,提供關聯於該使用者的識別資訊至該經管理裝置。
  7. 如請求項6之系統,其中該註冊要求包括由該行動裝置產生的一公共金鑰,該公共金鑰係與儲存在該行動裝置上的一私人金鑰配對,及其中該公共金鑰係藉由該一次性密碼種子產生模組而與該註冊資料的集合一起儲存在該資料儲存器中。
  8. 如請求項7之系統,其中提供至該經管理裝置的該識別資訊包括該公共金鑰,以使得在該經管理裝置及該行動裝置間建立安全通訊更容易。
  9. 如請求項6之系統,其中提供至該經管理裝置的該識別資訊控制該經管理裝置以針對該使用者執行一動作。
  10. 如請求項6之系統,其中提供至該經管理裝置的該識別資訊授權該使用者以使用藉由該經管理裝置控制的一資源。
  11. 如請求項6之系統,其中該註冊要求係透過一註冊裝置而自該行動裝置接收,及其中該一次性密碼種子係透過該註冊裝置而提供至該行動裝置。
  12. 一儲存有可由裝置執行之指令之非暫時性電腦可讀媒體,當該等指令被執行時,使得該裝置進行下列動作: 將註冊資料傳輸至一識別伺服器,該註冊資料包含與儲存在該裝置中的一第一私人金鑰配對的一第一公共金鑰,且其中該註冊資料係由該識別伺服器使用以將一一次性密碼種子關聯於該裝置的一使用者; 自該識別伺服器接收該一次性密碼種子; 週期性地廣播一出現識別符,該出現識別符包括基於該一次性密碼種子產生的一一次性密碼,其中該出現識別符係由一經管理裝置使用,以自該識別伺服器獲得識別該裝置之該使用者之資訊及代表該使用者執行一動作。
  13. 如請求項12之非暫時性電腦可讀媒體,其中該等指令進一步使得該裝置進行下列動作: 自該經管理裝置接收一第二公共金鑰; 以該識別伺服器驗證該第二公共金鑰;及 基於該第二公共金鑰及基於該經管理裝置自該識別伺服器接收在該識別資訊中之該第一公共金鑰而與該經管理裝置建立一安全連結。
  14. 如請求項12之非暫時性電腦可讀媒體,其中該註冊資料係透過一註冊裝置傳輸至該識別伺服器,及其中該一次性密碼種子係透過該註冊裝置而自該識別伺服器接收。
  15. 如請求項12之非暫時性電腦可讀媒體,其中該出現識別符基於該一次性密碼種子而週期性地改變,以混淆該裝置的該使用者之身分。
TW106137394A 2016-11-21 2017-10-30 用於出現識別之方法與系統及相關電腦可讀媒體 TWI692703B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
PCT/US2016/063013 WO2018093386A1 (en) 2016-11-21 2016-11-21 Presence identification
WOPCT/US16/63013 2016-11-21
??PCT/US16/63013 2016-11-21

Publications (2)

Publication Number Publication Date
TW201820196A true TW201820196A (zh) 2018-06-01
TWI692703B TWI692703B (zh) 2020-05-01

Family

ID=62146763

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106137394A TWI692703B (zh) 2016-11-21 2017-10-30 用於出現識別之方法與系統及相關電腦可讀媒體

Country Status (5)

Country Link
US (1) US11329976B2 (zh)
EP (1) EP3497950B1 (zh)
CN (1) CN109964499B (zh)
TW (1) TWI692703B (zh)
WO (1) WO2018093386A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
MX2017000742A (es) * 2017-01-17 2018-07-16 Belhareth Sonia Sistema y metodo para la identificacion de dispositivos moviles por medio de wi-fi sin necesidad de una conexion.
US10771439B2 (en) * 2017-06-28 2020-09-08 Microsoft Technology Licensing, Llc Shielded networks for virtual machines
US11190511B2 (en) * 2019-01-29 2021-11-30 Salesforce.Com, Inc. Generating authentication information independent of user input
US20220022035A1 (en) * 2020-07-20 2022-01-20 Citrix Systems, Inc. Device management enforcement in secure installations
US11863683B2 (en) * 2021-09-10 2024-01-02 Lenovo (Singapore) Pte. Ltd Method and device for providing communication path

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030163739A1 (en) * 2002-02-28 2003-08-28 Armington John Phillip Robust multi-factor authentication for secure application environments
US7564345B2 (en) * 2004-11-12 2009-07-21 Verayo, Inc. Volatile device keys and applications thereof
US20060117174A1 (en) 2004-11-29 2006-06-01 Arcadyan Technology Corporation Method of auto-configuration and auto-prioritizing for wireless security domain
JP2009246417A (ja) * 2008-03-28 2009-10-22 Hitachi Ltd 認証サーバ、プログラム、認証システム及び認証方法
US8914000B2 (en) 2010-10-01 2014-12-16 Wallrust, Inc. Method and system for providing presence information
US8736438B1 (en) * 2012-08-15 2014-05-27 Google Inc. Computing device as a vehicle key
US20140095286A1 (en) * 2012-10-01 2014-04-03 Google Inc. Private Third Party Validation of Hardware Identification for Offer Enrollment
US9419953B2 (en) * 2012-12-23 2016-08-16 Mcafee, Inc. Trusted container
JP5260788B1 (ja) * 2012-12-31 2013-08-14 利仁 曽根 時刻同期式ワンタイムパスワード認証方法
US10350185B2 (en) 2013-03-11 2019-07-16 University Of Florida Research Foundation, Incorporated Materials and methods for improving lung function and for prevention and/or treatment of radiation-induced lung complications
US9537659B2 (en) 2013-08-30 2017-01-03 Verizon Patent And Licensing Inc. Authenticating a user device to access services based on a device ID
US9178889B2 (en) * 2013-09-27 2015-11-03 Paypal, Inc. Systems and methods for pairing a credential to a device identifier
JP6255091B2 (ja) 2013-11-25 2017-12-27 マカフィー, エルエルシー プライベートデータを保護するセキュアプロキシ
KR101444305B1 (ko) * 2013-12-13 2014-09-26 (주)세이퍼존 다중 otp를 사용한 보안키, 보안 서비스 장치 및 보안 시스템
US9998437B2 (en) 2015-02-04 2018-06-12 Belkin International Inc. Key exchange through a trusted proxy
US9401895B2 (en) 2014-04-30 2016-07-26 Fujitsu Limited Device configuration for secure communication
US9654581B2 (en) * 2014-05-30 2017-05-16 Apple Inc. Proxied push
US9526032B2 (en) 2014-09-26 2016-12-20 Apple Inc. Network bandwidth sharing for small mobile devices
KR102349605B1 (ko) * 2014-11-17 2022-01-11 삼성전자 주식회사 사용자 기기의 식별자에 기반하여 서비스를 제공하는 방법 및 장치
KR101634295B1 (ko) 2014-12-16 2016-06-30 주식회사 윈스 IoT 보안을 위한 인증 서비스 제공 시스템 및 방법
WO2016110601A1 (es) * 2015-01-05 2016-07-14 Ebiid,Products & Solutions, S.L. Procedimiento de generación de una identidad digital de un usuario de un dispositivo móvil, identidad digital de usuario, y procedimiento de autenticación usando dicha identidad digital de usuario

Also Published As

Publication number Publication date
EP3497950B1 (en) 2024-03-20
EP3497950A4 (en) 2020-03-18
US20190052627A1 (en) 2019-02-14
US11329976B2 (en) 2022-05-10
CN109964499A (zh) 2019-07-02
CN109964499B (zh) 2023-04-04
EP3497950A1 (en) 2019-06-19
TWI692703B (zh) 2020-05-01
WO2018093386A1 (en) 2018-05-24

Similar Documents

Publication Publication Date Title
US11558381B2 (en) Out-of-band authentication based on secure channel to trusted execution environment on client device
US20210350013A1 (en) Security systems and methods for continuous authorized access to restricted access locations
TWI692703B (zh) 用於出現識別之方法與系統及相關電腦可讀媒體
TWI716782B (zh) 用於向網路登記客戶端設備的方法、設備、及電腦程式產品
US10003582B2 (en) Technologies for synchronizing and restoring reference templates
US9659160B2 (en) System and methods for authentication using multiple devices
CN110334498B (zh) 利用一个设备解锁另一个设备的方法
US9380058B1 (en) Systems and methods for anonymous authentication using multiple devices
WO2016086584A1 (zh) 一种解锁管理权限的方法和认证设备
EP2998900B1 (en) System and method for secure authentication
JP2017513265A5 (zh)
US10772141B2 (en) System and method for peer-to-peer wireless communication
EP3282737B1 (en) Information processing device, authentication device, system, information processing method, program, and authentication method
US9294474B1 (en) Verification based on input comprising captured images, captured audio and tracked eye movement
JP2017210862A (ja) 位置設定可能な電子ロック制御方法、プログラム及びシステム
EP3206329B1 (en) Security check method, device, terminal and server
CA2813855A1 (en) Methods and systems for conducting smart card transactions
EP2974123B1 (en) Systems and methods for account recovery using a platform attestation credential
WO2016179923A1 (zh) 一种加密通话的处理方法、装置、终端及kmc
WO2019101156A1 (zh) 一种设备控制方法及其相关设备
WO2023141864A1 (zh) 会议数据的传输方法、装置、系统、电子设备及可读介质