TWI567582B - 用以管理使用者認證之方法,裝置,及系統 - Google Patents
用以管理使用者認證之方法,裝置,及系統 Download PDFInfo
- Publication number
- TWI567582B TWI567582B TW101149595A TW101149595A TWI567582B TW I567582 B TWI567582 B TW I567582B TW 101149595 A TW101149595 A TW 101149595A TW 101149595 A TW101149595 A TW 101149595A TW I567582 B TWI567582 B TW I567582B
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- computing device
- user
- vendor
- data
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
本發明係有關用以管理使用者認證之方法,裝置,及系統。
電腦系統及其他電子裝置使用使用者認證機制以驗證使用者的身分並控制對重要或敏感資料及功能的存取。有許多不同種類之用於此種目的的使用者認證機制,包括,例如,使用者通行碼機制、憑證為基的認證機制、詢問回應機制、安全符記、生物識別、及臉孔及語音辨識等。
依賴使用者通行碼機制的系統逐漸要求可能需要許多字元(例如,十二個字元或更長)的通行碼、使用特殊字元的通行碼、及/或無意義結構的強效通行碼。然而,不使用該強效通行碼的實體備份複製,使用者難以記憶且當需要時難以回想強效通行碼,其降低通行碼自身的安全有效性。此外,許多電腦系統,諸如,金融系統,需要使用者週期性地更新或改變彼等的通行碼。此種更新需要更增加使用者維持強效通行碼的難度。此在使用者接觸各者可能需要強效、頻繁改變通行碼的多個電腦系統及電子裝置的該等情形中特別如此。
雖然本揭示發明的觀念易受各種修改及變化形式影
響,其之特定範例實施例已藉由範例方式顯示在該等圖式中並將於本文中詳細地描述。然而,應理解未意圖將本揭示發明的觀念限制成所揭示的特定形式,而相對地,意圖涵蓋與本揭示發明及隨附之申請專利範圍一致的所有修改、等效實例、及變化。
在以下描述中,將陳述許多特定細節,諸如,邏輯實作、運算碼、指定運算元的機構、資源分割/分享/複製實作、系統組件的種類及相互關係、及邏輯分割/積體選擇,以提供對本揭示發明的更徹底理解。然而,熟悉本發明之人士將領會實踐本發明本揭示發明的實施例可能無需此種具體細節。在其他實例中,並未詳細地顯示控制結構、閘級電路、及全部軟體指令序列,以免混淆本發明。熟悉本發明之人士將能以所包括的描述實作適當功能而無須過度實驗。
引用於本說明書中的「一實施例」、「實施例」、「範例實施例」等指示所描述的實施例可能包括特定特性、結構、或特徵,但可能不係每個實施例均需包括該特定特性、結構、或特徵。此外,此種片語不必然指相同的實施例。另外,當特定特性、結構、或特徵關聯於實施例描述時,無論是否明顯地描述,認為其係在熟悉本發明之人士的知識內,以影響與其他實施例關聯之此種特性、結構、或特徵。
本發明的實施例可能以硬體、韌體、軟體、或彼等的任何組合實作。實作在電腦系統中的本發明的實施例可能
包括在組件之間的一或多個匯流排為基的互連及/或在組件之間的一或多個點-對-點互連。也可能將本發明的實施例實作為藉由實體或非實體機器可讀媒體運載或儲存於其上的指令,彼等可能由一或多個處理器讀取及執行。可能將機器可讀媒體具現為用於以可由機器(例如,計算裝置)讀取之形式儲存或傳輸資訊的任何裝置、機制、或實體結構。例如,可能將機器可讀媒體具現為唯讀記憶體(ROM);隨機存取記憶體(RAM);磁碟儲存媒體;光學儲存媒體;快取記憶體裝置;迷你型或微型SD卡;記憶條、電子訊號、及其他。
在該等圖式中,可能為便於描述而顯示圖解元件,諸如,代表裝置、模組、指令區塊、及資料元件的功率元件,的特定配置或次序。然而,熟悉本技術的人士應理解圖解元件在該等圖式中的特定次序或配置並無意暗示需要處理的特定次序或序列或處理的分拆。另外,包括在圖式中的圖解元件並無意暗示此種元件在所有實施例中均係必要的,或此種元件所代表的特性可能不包括在部分實施例中或與其他元件中組合。
通常用於代表指令區塊的圖解元件可能使用任何合適形式的機器可讀指令實作,諸如,軟體或韌體應用程式、程式、函數、模組、常式、行程、程序、外掛程式、元件、界面工具集、碼片段、及/或其他,且各此種指令可能使用任何合適的程式語言、程式庫、應用程式發展介面(API)、及/或其他軟體發展工具實作。例如,部分實施
例可能使用Java、C++、及/或其他程式語言實作。相似地,用於代表資料或資訊的圖解元件可能使用任何合適的電子配置或結構實作,諸如,暫存器、資料儲存器、表、記錄、陣列、索引、雜湊、映射、樹、串列、圖、檔案(任何種類)、資料夾、目錄、資料庫、及/或其他。
另外,在使用連接元件,諸如,實或虛線或箭號,描繪二或多個其他圖解元件之間的連接、關係、或關聯的該等圖式中,缺少任何此種連接元件並無意暗示連接、關係、或關聯不可存在。換言之,元件間的部分連接、關係、或關聯可能不顯示在該等圖式中,以不混淆本揭示發明。此外,為便於說明,可能使用單一連接元件代表元件間的多個連接、關係、或關聯。例如,在連接元件代表訊號、資料、或指令的通訊時,熟悉本技術的人士應理解此種元件可能代表可能如所需的一或多條訊號路徑(例如,匯流排),以使通訊有效。
現在參考圖1,用於管理使用者認證的系統100包括計算裝置102及複數個遠端供應商伺服器104。計算裝置102可能選擇性地透過網路106與各供應商伺服器104通訊。在使用時,將計算裝置102組態成產生並維護認證資料,以對各遠端供應商伺服器104認證計算裝置102的使用者。認證資料可能包括個別遠端供應商伺服器104所需要的任何種類的資料,以對其認證使用者。在一實施例中,例如,將認證資料具現為使用者名稱及通行碼。然而,因為係計算裝置102而不係計算裝置102的使用者產
生及維護認證資料,可能跨越遠端伺服器104將用於各遠端供應商伺服器104的使用者名稱及通行碼選擇成特別強效及獨特的。或者,在其他實施例中,可能將認證資料具現為數位識別資料,諸如,硬體識別數字的雜湊等。
如將於下文更詳細地討論的,計算裝置102藉由從供應商伺服器104接收或推斷認證約束產生認證資料。可能將認證約束具現為界定或限制認證資料的任何品質,諸如,格式、尺寸、主題內容、排列、次序、有效字元、字體、獨特性、或認證資料之其他品質,的任何種類的資料。例如,在部分實施例中,認證約束可能界定最小通行碼長度及將一或多個特殊字元(例如,與字元)包括在通行碼中的要求。計算裝置102將認證資料產生成滿足從各遠端供應商伺服器104接收的認證約束。在部分實施例中,計算裝置102使用一些或不使用來自使用者的輸入(例如,使用者可能沒有該已產生使用者名稱及通行碼的知識)產生及管理認證資料。此外,為更增加認證資料的安全性或回應於供應商伺服器104的要求,計算裝置102可能週期性或回應性地更新或改變認證資料。
一旦產生,計算裝置102可能使用已產生的認證資料將使用者對遠端供應商伺服器104認證的處理(例如,登入處理)自動化。為作到此,在部分實施例中,計算裝置102可能首先對計算裝置102自身認證使用者。計算裝置102可能使用任何合適方法,包括,通行碼機制、生物資料、臉孔/語音辨識、及/或金鑰符記等,以認證使用者。
在部分實施例中,使用者僅需要對計算裝置102認證一次。然而,在其他實施例中,計算裝置102可能需要使用者週期性地或回應於請求對計算裝置102認證,以與遠端供應商伺服器104之一者通訊。無論如何,因為使用者僅需對計算裝置102而非對各供應商伺服器104認證,使用者可能選擇單一、強效通行碼或其他安全措施,彼等可能相對於多個強效通行碼或裝置更易於記憶及/或管理。
若使用者成功地對計算裝置102認證,使用者可能操作計算裝置102以存取任何遠端供應商伺服器104。在如此作時,將計算裝置102組態成藉由取得並傳輸用於對應供應商伺服器104的已產生認證資料將使用者認證自動化,或另外將認證資料提供至個別供應商伺服器104以因此對供應商伺服器104認證使用者。以此方式,計算裝置102產生及維護用於各供應商伺服器104的強效、獨特認證資料,其增加使用者的整體安全。
可能將計算裝置102具體為能實施本文描述的功能之任何種類的計算裝置。在一特定實施例中,將計算裝置102具現為行動計算裝置,諸如,智慧型手機、平板電腦、膝上型電腦、行動網際網路裝置(MID)、個人數位助理、或其他行動計算或電子裝置。在其他實施例中,可能將計算裝置102具現為實質固定的計算或電子裝置,諸如,桌上型電腦、及/或智慧型器具等。
在圖1的說明實施例中,計算裝置102包括處理器110、I/O次系統114、記憶體116、通訊電路118、資料
儲存器120、安全引擎130、及一或多個周邊裝置160。在部分實施例中,可能將數個上述組件合併在計算裝置102的主機板上,其他組件可能同時經由,例如,周邊埠,通訊地耦合至該主機板。另外,應理解計算裝置102可能包括常在行動計算裝置中發現的其他組件、次組件、及裝置,為了說明之明晰性,未將彼等描繪在圖1中。
可能將計算裝置102的處理器110具現為能執行軟體/韌體之任何種類的處理器,諸如,微處理器、數位訊號處理器、或微控制器等。將處理器110說明性地具現為具有處理器核心112的單核心處理器。然而,在其他實施例中,可能將處理器110具現為具有多個處理器核心112的多核心處理器。此外,計算裝置102可能包括具有一或多個處理器核心112的額外處理器110。
可能將計算裝置102的I/O次系統114具現為電路及/或組件,以促進與計算裝置102之處理器110及/或其他組件的輸入/輸出操作。在部分實施例中,可能將I/O次系統114具現為記憶體控制器集線器(MCH或「北橋」)、輸入/輸出控制器集線器(ICH或「南橋」)、及韌體裝置。在此種實施例中,可能將I/O次系統114的韌體裝置具現為用於儲存基本輸入/輸出系統(BIOS)資料及/或指令及/或其他資訊(例如,在計算裝置102開機期間使用的BIOS驅動程式)的記憶體裝置。然而,在其他實施例中,可能使用具有其他組態的I/O次系統。例如,在部分實施例中,可能將I/O次系統114具現為平台控制器集線
器(PCH)。在此種實施例中,可能將記憶體控制器集線器(MCH)合併入或另外關聯於處理器110,且處理器110可能直接與記憶體116通訊(如藉由圖1中的虛線所示)。此外,在其他實施例中,I/O次系統114可能形成系統單晶片((SoC)的一部分,並連同計算裝置102的處理器110及其他組件合併在單一積體電路晶片上。
處理器110可能經由許多訊號路徑通訊地耦合至I/O次系統114。可能將此等訊號路徑(及描繪於圖1中的其他訊號路徑)具現為能促進計算裝置102之組件間的通訊之任何種類的訊號路徑。例如,可能將訊號路徑具現為任何數量的點-對-點鏈路、佈線、纜線、光導、印刷電路板、通孔、匯流排、及/或中間裝置等。
可能將計算裝置102的記憶體116具現為或另外包括一或多個一或多個記憶體裝置或資料儲存位置,包括,例如,動態隨機存取記憶體裝置(DRAM)、同步動態隨機存取記憶體裝置(SDRAM)、雙倍資料速率同步動態隨機存取記憶體裝置(DDR SDRAM)、遮罩唯讀記憶體(ROM)裝置、可抹除可程式化ROM(EPROM)、電子可抹除可程式化ROM(EEPROM)裝置、快取記憶體裝置、及/或其他揮發性及/或非揮發性記憶體裝置。記憶體116可能經由許多訊號路徑通訊地耦合至I/O次系統114。雖然僅在圖1中描繪單一記憶體裝置116,計算裝置102在其他實施例中可能包括額外記憶體裝置。可能將各種資料及軟體儲存在記憶體116。例如,構成由處理器
110執行之軟體堆疊的一或多個作業系統、應用程式、程式庫、及驅動程式可能在執行期間駐留在記憶體116中。
計算裝置102的通訊電路118可能包括用於將計算裝置102及遠端供應商伺服器104間之透過網路106的通訊致能之任何數量的裝置及電路。計算裝置102可能依據,例如,特定種類的網路(等)106,使用任何合適通訊協定以透過網路106與供應商伺服器104通訊。可能將網路106具現為任何數量的各種有線及/或無線通訊網路。例如,可能將網路106具現為或另外包括區域網路(LAN)、廣域網路(WAN)、或可公開存取、全球網路,諸如,網際網路。另外,網路106可能包括任何數量的額外裝置,以促進計算裝置102及遠端供應商伺服器(等)104之間的通訊。
在部分實施例中,通訊電路118也可能包括非接觸式通訊機制,諸如,近場通訊(NFC)電路或藍牙®通訊電路。在此種實施例中,計算裝置102可能使用非接觸式通訊機制以與一或多個區域供應商伺服器180通訊,以與用於對遠端供應商伺服器104認證使用者相似的方式認證計算裝置102的使用者。
可能將資料儲存器120具現為針對資料之短期或長期儲存組態的任何種類的裝置或裝置等,諸如,記憶體裝置及電路、記憶卡、硬碟、固態硬碟、或其他資料儲存裝置。可能將各種軟體程式,諸如作業系統及關聯軟體程式程式,儲存在資料儲存器120中並在計算裝置102的操作
期間從資料儲存器120載入。
可能將安全引擎130具現為組態成實施如下文所更詳細地描述的安全、加密、及/或認證功能之任何種類的硬體及關聯韌體。例如,可能將安全引擎130具現為或另外包括可用於在計算裝置102上建立安全環境之安全共處理器、帶外處理器、可信賴平台模組(TPM)、及/或其他安全強化硬體及/或關聯軟體模組。在說明實施例中,安全引擎130包括使用者認證模組140、安全儲存器150、及加密引擎156。然而,應理解安全引擎130可能在其他實施例中包括額外模組及/或裝置。
可能將使用者認證模組140具現為組態成對供應商伺服器104、180認證計算裝置102之使用者的各種軟體、韌體、及/或關聯硬體(例如邏輯單元)。為作到此,如下文更詳細地討論的,使用者認證模組140從供應商伺服器104、180接收或推斷認證約束,並將認證資料152產生為此種認證約束的函數。此外,使用者認證模組140控制及管理使用者對計算裝置102自身的認證。如上文討論的,可能將認證資料具現為由供應商伺服器104、180要求的任何種類的資料,以對個別供應商伺服器104、180認證(例如,登入)使用者,諸如,使用者名稱及關聯通行碼。使用者認證模組140可能將認證資料儲存在安全儲存器150中,可能將其具現為安全引擎130的區域安全記憶體或記憶體116的安全分區。在部分實施例中,安全引擎130也可能包括加密引擎156,以使用對應加密金鑰
154實施各種加密功能。例如,在部分實施例中,可能使用加密金鑰156加密計算裝置102及供應商伺服器104、180之間的通訊。
在部分實施例中,計算裝置102也可能包括一或多個周邊裝置160。此種周邊裝置可能包括任何數量的額外輸入/輸出裝置、介面裝置、及/或其他周邊裝置。例如,在部分實施例中,周邊裝置160可能包括用於將資訊顯示至計算裝置102之使用者的顯示器及用於從使用者接收輸入的鍵盤或其他輸入裝置。
可能將供應商伺服器104、180具現為需要認證計算裝置102的使用者之任何種類的資料伺服器、計算裝置、或其他電子裝置。例如,在部分實施例中,可能將一或多個遠端供應商伺服器104具現為金融資料伺服器,諸如,銀行伺服器、組態成促進線上交易的電子商務伺服器、或組態成將雲端為基服務提供至計算裝置102的雲端為基伺服器。此外,在部分實施例中,可能將區域供應商伺服器180具現為金融計算裝置,諸如,需要認證計算裝置102之使用者的自動櫃員機(ATM)或其他金融計算裝置。應理解雖然在本文中將供應商伺服器104、180稱為「供應商伺服器」,可能將伺服器104、180具現為需要認證計算裝置102的使用者之任何種類的電子裝置。亦即,在部分實施例中,供應商伺服器104、180可能不具現為標準資料伺服器或並不將特定產品或服務提供給使用者。例如,在部分實施例中,可能將供應商伺服器104、180具
現為需要認證使用者的電子裝置,諸如,智慧型器具、或家庭電腦等。
供應商伺服器104、180可能包括常在伺服器、計算裝置、及其他電子裝置中發現的裝置及結構,諸如,一或多個處理器、記憶體裝置、I/O次系統、資料儲存裝置、及各種周邊裝置,為了說明的明晰性,未將彼等描繪在圖1中。例如,各遠端供應商伺服器104可能包括通訊電路172以促進與計算裝置102之透過網路106的通訊。相似地,區域供應商伺服器180可能包括通訊電路182,諸如,非接觸式通訊電路,以如上文討論地促進與計算裝置102的非接觸式通訊。
現在參考圖2,在使用時,計算裝置102可能建立作業環境200。環境200說明性地包括一或多個軟體應用程式202,可能將彼等組態成經由一或多個應用程式發展介面204(API)與安全引擎130的使用者認證模組140通訊或另外互動。可能將軟體應用程式202具現為可在計算裝置102上執行的任何種類的軟體應用程式(例如,可在計算裝置102的作業系統上執行),並如下文討論地需要使用使用者認證模組140的認證功能。例如,軟體應用程式202可能包括需要或促進計算裝置102之使用者對一或多個供應商伺服器104、180認證的一或多個網頁瀏覽器、金融管理應用程式、電子商務應用程式、或其他軟體應用程式。
如上文討論的,使用者認證模組140控制及管理計算
裝置102的使用者對供應商伺服器104、180及對計算裝置102自身的認證。為促進此種功能,在圖2的說明實施例中,使用者認證模組包括裝置認證模組210、供應商認證模組212、認證資料產生模組214、事件記錄模組216、及安全儲存器150。裝置認證模組210促進並管理使用者對計算裝置102自身的認證。例如,如更於下文詳細討論的,裝置認證模組210可能向使用者請求認證資料,諸如,通行碼、生物資料、語音或臉孔辨識、安全符記、或其他認證資料,並將此種使用者認證資料儲存在安全儲存器150中。裝置認證模組210可能週期性地或回應性地請求使用者對計算裝置102認證,並基於儲存在安全儲存器150中的使用者認證資料驗證使用者身分。以此方式,計算裝置102的使用者必需使用認證資料的單一實例(例如,單一通行碼)對計算裝置102認證,其可能容許使用者認證資料更強效。例如,使用者可能使用用於對計算裝置102認證的更強效通行碼,因為如下文討論的,使用者僅需要記憶單一通行碼以對多個供應商伺服器104、180認證他/她自身。
供應商認證模組212管理及控制計算裝置102的使用者對供應商伺服器104、180的認證。為作到此,供應商認證模組212最初從供應商伺服器104、180得到(例如,接收、取得、或推斷)認證約束,彼等界定認證資料的各種實施樣態或品質(例如,通行碼長度、格式等)。供應商認證模組212將此種認證約束傳至認證資料產生模
組214,其將認證資料產生為認證約束的函數。亦即,認證資料產生模組214產生可能用於對個別供應商伺服器104、180認證計算裝置102之使用者的認證資料(例如,使用者名稱及通行碼),並將已產生的認證資料儲存在安全儲存器150中。為作到此,認證資料產生模組214可能使用任何合適方法或演算法以產生認證資料。例如,在一實施例中,認證資料產生模組214可能隨機地產生認證資料,使得隨機化的認證資料滿足認證約束。在此種實施例中,認證資料產生模組214可能將認證資料的實施樣態或品質隨機化。例如,在認證資料係使用者名稱及/或通行碼的實施例中,認證資料產生模組214可能產生當產生後,仍滿足供應商伺服器104、180的認證約束之具有隨機化字元及/或隨機化大寫之隨機長度的使用者名稱及/或通行碼。此外,在部分實施例中,認證資料產生模組214可能記錄已產生之認證資料的歷史,以確保各已產生認證資料相關於先前產生的認證資料係獨特的,使得認證資料不重複。
一旦認證資料產生模組214已產生用於特定供應商伺服器104、180的認證資料,供應商認證模組212可能從安全儲存器150取得該認證資料並使用該認證資料對個別供應商伺服器104、180認證使用者(例如,登入)。例如,供應商認證模組212可能藉由透過網路106傳輸認證資料而將認證資料提供至遠端供應商伺服器104。
在部分實施例中,使用者認證模組140也可能包括事
件記錄模組216。事件記錄模組216監視使用者認證模組140的操作並針對稍後的分析記錄各種事件。例如,當特定安全事件發生時(例如,使用者不能對計算裝置102認證他/她自身),事件記錄模組216可能記錄此種安全事件。此外,在部分實施例中,若發生到達參考臨界的安全事件,可能將事件記錄模組216或安全引擎130的其他安全模組組態成執行一或多個安全功能,諸如,鎖住計算裝置102、及/或關閉通訊電路118等。
現在參考至圖3,如上文討論的,計算裝置102可能執行用於建立區域使用者認證資料以對計算裝置102自身認證使用者的方法300。方法300可能由,例如,使用者認證模組140的裝置認證模組210執行。方法300從裝置認證模組210決定該使用者對計算裝置102是否係新使用者的區塊302開始。在部分實施例中,計算裝置102可能支援多個使用者,彼等各者可能使用不同認證資料對相同或不同的供應商伺服器104、180認證。裝置認證模組210可能基於預建立的使用者認證資料項目藉由促請使用者提供此種資訊及/或其他合適方法,決定該使用者是否係新使用者。若使用者不係新使用者,方法300前進至裝置認證模組210決定既存使用者是否希望更新或改變他/她的既存認證資料的區塊304。在部分實施例中,使用者可能啟始認證資料的更新或改變。或者,裝置認證模組210可能需要週期性地更新/改變用於對計算裝置102認證使用者的使用者認證資料。若不需要更新/改變使用者認證資
料,方法300結束。
然而,若該使用者係新使用者(區塊302)或若既存使用者期望或提示其更新/改變既存認證資料(區塊304),方法300前進至裝置認證模組210建立區域使用者認證資料的區塊306。如上文所討論的,該使用者及/或裝置認證模組210可能基於,例如,計算裝置102的種類及/或其意圖提供的功能,使用任何種類的認證資料以對計算裝置102認證使用者。例如,如上文所討論的,可能將使用者認證資料具現為通行碼資料、生物資料、臉孔/語音辨識資料、及/或金鑰符記資料等。使用者可能使用計算裝置102自身將認證資料輸入或另外提供至裝置認證模組210。
在部分實施例中,裝置認證模組210可能在區塊308中加密使用者認證資料。為作到此,裝置認證模組210可能使用加密引擎156以加密使用者認證資料。無論如何,在區塊310中,裝置認證模組210將使用者認證資料儲存在安全引擎130的安全儲存器150中。在計算裝置102具有多個使用者的實施例中,如下文所討論的,裝置認證模組210可能將使用者認證資料儲存在與個別使用者的識別資料關聯之及/或與用於對供應商伺服器104、180認證使用者的該已產生認證資料關聯的安全儲存器150中。
現在參考至圖4,在使用時,計算裝置102可能執行用於對一或多個供應商伺服器104、180認證計算裝置102之使用者的方法400。方法400從使用者認證模組140之
供應商認證模組212決定使用者是否意圖與供應商伺服器104、180交易的區塊402開始。供應商認證模組212可能基於,例如,計算裝置102及對應供應商伺服器104、180之間的通訊流量、及/或從使用者或應用程式接收的請求等,產生此種決定。若期望與供應商伺服器104、180交易,方法400前進至供應商認證模組212識別該供應商的區塊404。為作到此,供應商認證模組212可能再度監視計算裝置102及供應商伺服器104、180之間的通訊流量,或經由來自使用者及/或應用程式的請求啟始。或者,在部分實施例中,供應商伺服器104、180可能基於,例如,識別符或識別資料通知計算裝置102其身分。
在區塊406中,供應商認證模組212決定目前供應商是否係既存供應商(亦即,認證資料是否已針對該特定供應商產生)。為作到此,供應商認證模組212可能使用用於決定目前供應商是否係既存供應商的任何合適方法。例如,在部分實施例中,將已產生認證資料儲存在與對應供應商之識別資料關聯的安全儲存器150中。在此種實施例中,供應商認證模組212可能分析識別資料以決定目前供應商是否係既存供應商。或者,供應商認證模組212可能維護既存供應商列表,其可能儲存在安全儲存器150中。
若供應商認證模組212決定目前供應商不係既存供應商,方法400在部分實施例中前進至區塊408。在區塊408中,計算裝置102請求使用者對計算裝置102認證。亦即,在部分實施例中,裝置認證模組210可能需要使用
者對與一或多個供應商伺服器104、180的每個交易對計算裝置102認證。或者,在其他實施例中,裝置認證模組210可能僅需要使用者對計算裝置認證一次(例如,每一通信一次)。
為對計算裝置102認證使用者,計算裝置102的裝置認證模組210可能執行如圖5所示的使用者認證方法500。方法500從裝置認證模組210決定該使用者是否對計算裝置102認證的區塊502開始。若係如此,方法500前進至裝置認證模組210請求使用者輸入使用者認證資料的區塊504。此種請求的形式可能依據,例如,用於認證使用者之使用者認證資料的種類。例如,在請求使用者輸入通行碼的實施例中,裝置認證模組210可能在計算裝置102的顯示螢幕上提示使用者輸入通行碼。或者,在將使用者認證資料具現為臉孔或語音辨識資料的實施例中,裝置認證模組210可能請求使用者正視計算裝置102的照相機或對計算裝置102的麥克風說話。無論如何,在區塊506中,裝置認證模組210接收使用者的認證資料。
在區塊508中,裝置認證模組210從安全儲存器150取得預建立的區域使用者認證資料。如上文討論的,裝置認證模組210可能使用圖3的方法300以產生用於對計算裝置102認證使用者的區域使用者認證資料。若使用者的預建立認證資料係以加密狀態儲存,裝置認證模組210可能在區塊510使用加密引擎156將認證資料解密。
在區塊512中,裝置認證模組210比較該已取得、預
建立的使用者認證資料與在區塊506中供應至計算裝置102的使用者認證資料。若裝置認證模組210決定認證資料不匹配,方法500前進至裝置認證模組210拒絕使用者之認證的區塊514。在部分實施例中,事件記錄模組216可能如上文討論地將拒絕認證記錄為安全事件及/或採取額外安全措施。然而,若裝置認證模組210決定認證資料確實匹配,方法500前進至裝置認證模組210對計算裝置102認證使用者的區塊516。
參考回圖4的方法400,若使用者在區塊408中成功地對計算裝置102認證,方法400前進至供應商認證模組212向供應商伺服器104、180請求新使用者註冊的區塊410。或者,在部分實施例中,在區塊412中,新使用者註冊請求可能從供應商伺服器104、180接收。無論如何,在區塊414,供應商認證模組212決定用於供應商伺服器104、180的認證約束。例如,在部分實施例中,供應商認證模組212可能在區塊416中直接向供應商伺服器104、180請求認證約束。作為回應,供應商伺服器104、180可能將認證約束傳輸至計算裝置102。例如,在部分實施例中,計算裝置102及供應商伺服器104、180可能使用預建立協定以轉移認證約束。為作到此,計算裝置102可能查詢供應商伺服器104、180以請求認證約束。認證約束回應可能具有作為認證約束協定之一部分的預建立格式(例如,uer_id/device_id、通行碼長度、通行碼過期等),或可能使用合適的交握協定在計算裝置102及供應
商伺服器104、180之間決定。回應於從計算裝置102接收對認證約束的請求,供應商伺服器104、180可能使用任何合適全安機制,諸如,共享秘密、或Rivest-Shamir-Adleman(RSA)公開金鑰對,與計算裝置102建立安全通道。建立認證約束的資料轉移以及認證約束自身可能使用對稱或非對時金鑰加密演算法加密。
或者,在部分實施例中,供應商認證模組212可能在區塊416中推斷認證約束。為作到此,供應商認證模組212可能使用任何合適方法或演算法以在用於對供應商伺服器104、180認證使用者的認證資料上推斷該等約束。例如,在部分實施例中,供應商認證模組212可能從供應商伺服器104、180之網站或使用者螢幕的元資料或本文擷取資訊。如上文所討論的,可能將認證約束具現為如上文討論之界定或限制用於對供應商伺服器104、180認證使用者之認證資料的任何品質之任何種類的資料。
在部分實施例中,計算裝置102的使用者可能將用於產生認證資料的認證約束及/或使用者方針儲存在雲端或遠端伺服器上。認證約束及/或使用者方針的雲端儲存或備份容許使用者跨越多個裝置同步認證約束、使用者方針、及認證資料。
一旦供應商認證模組212已決定用於供應商伺服器104、180的認證約束,供應商認證模組212可能將此種認證約束提供至認證資料產生模組214。隨後,在區塊418中,認證資料產生模組214將認證資料產生為認證約束的
函數,以對供應商伺服器104、180認證使用者。如上文所討論的,認證資料產生模組214可能使用任何合適方法或演算法以產生認證資料。在一特定實施例中,將認證資料具現為使用者名稱及關聯通行碼。在此種實施例中,例如,供應商認證模組212可能如上文討論地使用任何合適方法(例如,隨機方法)產生使用者名稱及通行碼各者。應理解因為除了通行碼外,使用者名稱係由認證資料產生模組214產生,認證資料的安全性可能增加。
另外或替代地,在部分實施例中,可能將認證資料具現為獨特地識別計算裝置102的數位識別資料。此種數位識別資料可能基於平台的可信任根據,諸如,處理器110之識別數字的雜湊、乙太網路或WiFiTM機器存取控制(MAC)位址的雜湊、其他硬體裝置識別數字、或由,例如,安全引擎130產生的獨特隨機數或通行金鑰,由計算裝置102產生。應理解此種硬體為基數位識別資料的使用會將對個別供應商伺服器104、180的存取更限制在計算裝置102的特定平台。
在認證資料產生模組214已產生認證資料以對個別供應商伺服器104、180認證計算裝置102的使用者之後,方法400前進至認證資料產生模組214將新產生的認證資料儲存在安全儲存器150中的區塊422。如上文討論的,在部分實施例中,認證資料產生模組214經由加密引擎156的協助以加密狀態儲存已產生的認證資料。在部分實施例中,已產生的認證資料可能與供應商伺認證資料關聯
地儲存,以容許取得用於各供應商伺服器104、180的正確認證資料。此外,在部分實施例中,認證資料以不容許計算裝置102的使用者觀看已產生之認證資料的方式產生及儲存。亦即,在部分實施例中,認證資料始終係安全的。
在認證資料產生模組214在區塊422中儲存新產生的認證資料之後,計算裝置102可能在區塊424中完成與新供應商的認證處理。為作到此,供應商認證模組212可能從安全儲存器150取得已產生的認證資料,並將認證資料傳輸或另外提供至個別供應商伺服器104、180。在部分實施例中,供應商伺服器104、180可能在區塊426中偶爾請求使用者更新或改變認證資料(例如,更新使用者名稱或通行碼)。若係如此,方法400迴路回供應商認證模組212決定用於供應商伺服器104、180的認證約束(彼等可能已改變)的區塊414,且認證資料產生模組214在區塊418中基於新或先前的認證約束產生新認證資料。然而,若不需要更新認證資料,方法400前進至計算裝置102完成認證或登入處理的區塊428。使用者隨後可能一如平常地操作計算裝置102以與供應商伺服器104、180互動。
現在參考回區塊406,若供應商認證模組決定供應商係既存供應商,方法400在部分實施例中前進至區塊430。在區塊430中,計算裝置102請求使用者對計算裝置102認證。如相關於區塊408於上文討論的,計算裝置102的裝置認證模組210可能執行使用者認證方法500
(見圖5)以對計算裝置102認證使用者。
在使用者已成功地對計算裝置102認證之後(或若不需要使用者認證),方法400前進至供應商認證模組212從安全儲存器150取得對應於既存供應商之先前產的認證資料的區塊432。如上文所討論的,可能將認證資料具現為供應商伺服器104、180所需要的任何種類資料,以認證計算裝置102的使用者。例如,在部分實施例中,將認證資料具現為使用者名稱及關聯通行碼。在此種實施例中,供應商認證模組212在區塊434中取得用於既存供應商的使用者名稱及通行碼。
如上文討論的,認證資料在部分實施例中可能以加密狀態儲存在安全儲存器150中。若係如此,供應商認證模組212在區塊436中使用加密引擎156解密認證資料。方法400隨後前進至供應商認證模組212將認證資料傳輸或另外提供至個別供應商伺服器104、180的區塊424。再度,在區塊426中,供應商伺服器104、180可能請求使用者更新或改變認證資料。若係如此,方法400迴路回供應商認證模組212決定用於供應商伺服器104、180之認證約束(彼等可能已改變)的區塊414。然而,若不需要更新認證資料,方法400前進至計算裝置102完成認證或登入處理的區塊428。以此方式,計算裝置102的使用者可能以與此種認證資料的產生及/或維護的些許互動甚至無互動的方式產生及管理用於多個供應商伺服器104、180的強效認證資料。
雖然本揭示發明已於該等圖式及以上描述中詳細地說明及描述,將此種說明及描述視為範例性而非限制性的角色,應理解僅顯示及描述說明性實施例並希望與本揭示發明及所敘述之申請專利範圍一致的所有改變及修改均受到保護。
100‧‧‧系統
102‧‧‧計算裝置
104‧‧‧遠端供應商伺服器
106‧‧‧網路
110‧‧‧處理器
112‧‧‧處理器核心
114‧‧‧I/O次系統
116‧‧‧記憶體
118‧‧‧通訊電路
120‧‧‧資料儲存器
130‧‧‧安全引擎
140‧‧‧使用者認證模組
150‧‧‧安全儲存器
152‧‧‧認證資料
154‧‧‧加密金鑰
156‧‧‧加密引擎
160‧‧‧周邊裝置
172、182‧‧‧通訊電路
180‧‧‧區域供應商伺服器
200‧‧‧作業環境
202‧‧‧軟體應用程式
204‧‧‧應用程式發展介面(API)
210‧‧‧裝置認證模組
212‧‧‧供應商認證模組
214‧‧‧認證資料產生模組
216‧‧‧事件記錄模組
300、400、500‧‧‧方法
描述於本文的本發明在該等隨附圖式中係經由範例之方式而非限制的方式說明。為使說明簡化及明確,描繪於該等圖式中的元件不必按比例繪製。例如,部分元件的尺寸可能為了清楚而相對於其他元件誇大。另外,在適當的情形下,參考標籤已於該等圖式之間重複,以指示對應或類似元件。
圖1係用於管理對多個供應商伺服器或系統認證使用者的系統之至少一實施例的簡化方塊圖;圖2係圖1之計算裝置的軟體環境之至少一實施例的簡化方塊圖;圖3係用於建立區域使用者認證資料的方法之至少一實施例的簡化流程圖,其可能由圖1的計算裝置執行;圖4係用於以供應商伺服器認證使用者的方法之至少一實施例的流程圖;且圖5係用於對圖1之計算裝置認證使用者的方法之至少一實施例的流程圖。
100‧‧‧系統
102‧‧‧計算裝置
104‧‧‧遠端供應商伺服器
106‧‧‧網路
110‧‧‧處理器
112‧‧‧處理器核心
114‧‧‧I/O次系統
116‧‧‧記憶體
118‧‧‧通訊電路
120‧‧‧資料儲存器
130‧‧‧安全引擎
140‧‧‧使用者認證模組
150‧‧‧安全儲存器
152‧‧‧認證資料
154‧‧‧加密金鑰
156‧‧‧加密引擎
160‧‧‧周邊裝置
172、182‧‧‧通訊電路
180‧‧‧區域供應商伺服器
Claims (68)
- 一種計算裝置,包含:供應商認證模組,從供應商計算裝置接收認證約束,以對該供應商計算裝置認證該計算裝置的使用者;及認證資料產生模組,將認證資料產生為該等認證約束的函數,以對該供應商計算裝置認證該使用者,其中該供應商認證模組藉由將該已產生認證資料提供至該供應商計算裝置,以對該供應商計算裝置認證該使用者。
- 如申請專利範圍第1項的計算裝置,其中該供應商計算裝置包含金融資料伺服器、電子商務伺服器、及雲端為基服務伺服器之一者。
- 如申請專利範圍第1項的計算裝置,其中該計算裝置包含行動計算裝置。
- 如申請專利範圍第1項的計算裝置,其中該等認證約束包含用於產生使用者通行碼的通行碼約束,以對該供應商計算裝置認證該使用者。
- 如申請專利範圍第4項的計算裝置,其中該等通行碼約束包含該通行碼的最小字元長度及非文字字元要求的至少一者。
- 如申請專利範圍第4項的計算裝置,其中該等認證約束更包含用於產生使用者名稱的使用者名稱約束,以對該供應商計算裝置認證該使用者。
- 如申請專利範圍第6項的計算裝置,其中該等使用 者名稱約束包含該使用者名稱的最小字元長度及非文字字元要求的至少一者。
- 如申請專利範圍第1項的計算裝置,其中該供應商認證模組根據預建立協定從該供應商計算裝置接收認證約束。
- 如申請專利範圍第8項的計算裝置,其中該供應商認證模組與該供應商計算裝置建立安全通訊通道,以接收該等認證約束。
- 如申請專利範圍第1項的計算裝置,其中該認證資料產生模組產生滿足該等認證約束的通行碼。
- 如申請專利範圍第10項的計算裝置,其中該認證資料產生模組產生滿足該等認證約束的使用者名稱。
- 如申請專利範圍第1項的計算裝置,更包含具有該認證資料儲存於其中的安全資料儲存器,其中該供應商認證模組更組態成:從該供應商計算裝置接收登入提示符號;從該安全資料儲存器取得該認證資料;且將該認證資料提供至該供應商計算裝置,對該供應商計算裝置認證該使用者。
- 如申請專利範圍第1項的計算裝置,其中該認證資料產生模組更週期性地將新認證資料產生為該等認證約束的函數。
- 如申請專利範圍第1項的計算裝置,其中:該供應商認證模組更接收請求,以從該供應商計算裝 置更新該認證資料,且該認證資料產生模組不使用來自該使用者的輸入而將新認證資料產生為該等認證約束的函數。
- 如申請專利範圍第14項的計算裝置,其中該認證資料產生模組更接收新認證約束,以對該供應商計算裝置認證使用者,並將該新認證資料產生為該等新認證約束的函數。
- 如申請專利範圍第1項的計算裝置,其中認證資料產生模組不使用來自該使用者的輸入而將該認證資料產生為該等認證約束的函數。
- 如申請專利範圍第1項的計算裝置,其中該認證資料包含從該計算裝置之硬體組件的硬體識別數字形成的數位識別資料。
- 如申請專利範圍第17項的計算裝置,其中該數位識別資料係該硬體識別數字的雜湊值。
- 如申請專利範圍第1項的計算裝置,更包含裝置認證模組,以對該計算裝置認證該使用者。
- 如申請專利範圍第19項的計算裝置,其中該裝置認證模組在該供應商認證模組將該已產生認證資料提供至該供應商計算裝置之前,對該計算裝置認證該使用者。
- 如申請專利範圍第20項的計算裝置,其中該裝置認證模組:以使用者識別、使用者名稱、通行碼、生物資料、及金鑰符記之至少一者提示該使用者;且 將該使用者認證為該使用者識別、該使用者名稱、該通行碼、生物資料、及金鑰符記之至少一者的函數。
- 如申請專利範圍第1項的計算裝置,其中:該供應商認證模組更從複數個額外供應商計算裝置接收認證約束;且該認證資料產生模組不使用來自該使用者的輸入,更將用於該等複數個額外供應商計算裝置各者的獨特認證資料產生為該等對應認證約束的函數,以對該等額外供應商計算裝置各者認證該使用者。
- 如申請專利範圍第1項的計算裝置,其中該供應商認證模組藉由導致認證資料透過近場通訊鏈路傳輸至該供應商計算裝置而認證該使用者。
- 如申請專利範圍第1項的計算裝置,更包含安全儲存器,其中該認證資料產生模組更將該已產生認證資料儲存在安全儲存器中,而不通知該認證資料之該識別的該使用者。
- 一種系統,包含:複數個供應商計算裝置,及行動計算裝置,以透過網路與該等複數個供應商計算裝置各者通訊,其中該行動計算裝置包含:供應商認證模組,以從該等複數個供應商計算裝置各者接收認證約束,對該等供應商計算裝置各者認證該行動計算裝置的使用者;且認證資料產生模組,以將用於該等複數個供應商計算 裝置各者的獨特認證資料產生為該等對應認證約束的函數,對各對應供應商計算裝置認證該使用者。
- 如申請專利範圍第25項的系統,其中該等複數個供應商計算裝置各者包含金融資料伺服器、電子商務伺服器、及雲端為基服務伺服器之一者。
- 如申請專利範圍第25項的系統,其中該等認證約束包含用於產生使用者通行碼的通行碼約束,以對各供應商計算裝置認證該使用者。
- 如申請專利範圍第27項的系統,其中該等通行碼約束包含該通行碼的最小字元長度及非文字字元要求的至少一者。
- 如申請專利範圍第25項的系統,其中該等認證約束更包含用於產生使用者名稱的使用者名稱約束,以對各供應商計算裝置認證該使用者。
- 如申請專利範圍第29項的系統,其中該等使用者名稱約束包含該使用者名稱的最小字元長度及非文字字元要求的至少一者。
- 如申請專利範圍第25項的系統,其中該供應商認證模組根據預建立協定從該供應商計算裝置接收認證約束。
- 如申請專利範圍第31項的系統,其中該供應商認證模組與該供應商計算裝置建立安全通訊通道,以接收該等認證約束。
- 如申請專利範圍第25項的系統,其中該認證資料 產生模組產生滿足各對應供應商計算裝置的該等認證約束之用於各供應商計算裝置的通行碼。
- 如申請專利範圍第33項的系統,其中該認證資料產生模組產生滿足各供應商計算裝置的該等認證約束之用於各供應商計算裝置的使用者名稱。
- 如申請專利範圍第25項的系統,其中該認證資料產生模組更週期性地將用於各供應商計算裝置的新認證資料產生為該等對應認證約束的函數。
- 如申請專利範圍第25項之系統,其中該供應商認證模組更接收請求,以從該等供應商計算裝置之一者更新該認證資料,且該認證資料產生模組不使用來自該使用者的輸入而將新認證資料產生為該等對應認證約束的函數。
- 如申請專利範圍第25項的系統,其中認證資料產生模組不使用來自該使用者的輸入而將該認證資料產生為該等認證約束的函數。
- 如申請專利範圍第25項的系統,其中該認證資料包含從該計算裝置之硬體組件的硬體識別數字形成的數位識別資料。
- 如申請專利範圍第38項的系統,其中該數位識別資料係該硬體識別數字的雜湊值。
- 如申請專利範圍第25項的系統,其中該行動計算裝置更包含裝置認證模組,對該行動計算裝置認證該使用者。
- 如申請專利範圍第40項的系統,其中該裝置認證模組:以使用者識別、使用者名稱、通行碼、生物資料、及金鑰符記之至少一者提示該使用者;且將該使用者認證為該使用者識別、該使用者名稱、該通行碼、生物資料、及金鑰符記之至少一者的函數。
- 如申請專利範圍第25項的系統,其中該行動計算裝置更包含安全儲存器,該認證資料產生模組更將該已產生的認證資料儲存在該安全儲存器中,而不通知該認證資料之該識別的該使用者。
- 一種方法,包含:使用第一計算裝置接收認證約束,以對第二計算裝置認證使用者;在該第一計算裝置上將認證資料產生為該等認證約束的函數,以對該第二計算裝置認證該使用者;且將該認證資料傳輸至該第二計算裝置,以對該第二計算裝置認證該使用者。
- 如申請專利範圍第43項的方法,其中接收認證約束包含接收用於產生使用者通行碼的通行碼約束,以對該第二計算裝置認證該使用者。
- 如申請專利範圍第44項的方法,其中該等通行碼約束包含該通行碼的最小字元長度及非文字字元要求的至少一者。
- 如申請專利範圍第44項的方法,其中接收認證約 束包含接收用於產生使用者名稱的使用者名稱約束,以對該第二裝置認證該使用者。
- 如申請專利範圍第46項的方法,其中該等使用者名稱約束包含該使用者名稱的最小字元長度及非文字字元要求的至少一者。
- 如申請專利範圍第43項的方法,其中接收認證約束包含根據預建立協定從該第二計算裝置接收認證約束。
- 如申請專利範圍第48項的方法,更包含與該第二計算裝置的安全通訊通道,以接收該等認證約束。
- 如申請專利範圍第43項的方法,其中產生認證資料包含產生滿足該等認證約束的通行碼。
- 如申請專利範圍第50項的方法,其中產生認證資料包含產生滿足該等認證約束的使用者名稱。
- 如申請專利範圍第43項的方法,其中產生該認證資料包含在行動計算裝置上產生該認證資料。
- 如申請專利範圍第43項的方法,其中接收該等認證約束包含從金融資料伺服器、電子商務伺服器、及雲端為基服務伺服器之至少一者接收認證約束,以對該金融資料伺服器、該電子商務伺服器、及該雲端為基服務伺服器之至少一者認證該使用者。
- 如申請專利範圍第43項之方法,更包含:從該第二計算裝置接收登入提示符號;從該第一計算裝置的安全資料儲存器取得該認證資料;及 將該認證資料傳輸至該第二計算裝置,以對該第二計算裝置認證該使用者。
- 如申請專利範圍第43項之方法,更包含:接收請求,以從該第二計算裝置更新該認證資料;及在該第一計算裝置上且不使用來自該使用者的輸入將新認證資料產生為該等認證約束的函數。
- 如申請專利範圍第55項之方法,更包含:使用該第一計算裝置接收新認證約束,以對該第二計算裝置認證使用者,其中產生新認證資料包含將新認證資料產生為該等新認證約束的函數。
- 如申請專利範圍第43項的方法,更包含對該第一計算裝置認證該使用者。
- 如申請專利範圍第57項的方法,其中對該第一計算裝置認證該使用者包含將該認證資料傳輸至該第二計算裝置之前,對該第一計算裝置認證該使用者。
- 如申請專利範圍第58項之方法,其中認證該使用者包含:在該第一計算裝置上,以使用者識別、使用者名稱、通行碼、生物資料、及金鑰符記之至少一者提示該使用者;且對該第一計算裝置將該使用者認證為該使用者識別、該使用者名稱、該通行碼、生物資料、及金鑰符記之至少一者的函數。
- 如申請專利範圍第43項之方法,更包含:使用該第一計算裝置從複數個第三計算裝置接收認證約束;在該第一計算裝置上且不使用來自該使用者的輸入,將用於該等複數個第三計算裝置各者的獨特認證資料產生為該等對應認證約束的函數,以對該等第三計算裝置各者認證該使用者。
- 如申請專利範圍第43項的方法,其中傳輸該認證資料至該第二計算裝置包含使用不具有來自該使用者之輸入的該認證資料自動地將該使用者登入該第二計算裝置中。
- 如申請專利範圍第43項的方法,其中接收認證約束包含接收回應於該使用者在該第二計算裝置上沒有使用者帳戶的認證約束。
- 如申請專利範圍第43項的方法,其中傳輸該認證資料包含透過近場通訊鏈路傳輸該認證資料。
- 如申請專利範圍第43項的方法,更包含將該已產生認證資料儲存在該第一計算裝置的安全儲存器中,而不通知該認證資料之該識別的該使用者。
- 如申請專利範圍第43項的方法,其中產生認證資料包含不使用來自該使用者的輸入將該認證資料產生為該等認證約束的函數。
- 如申請專利範圍第43項的方法,產生認證資料包含產生從該計算裝置之硬體組件的硬體識別數字形成的數 位識別資料。
- 一種行動計算裝置,包含:處理器;以及記憶體,具有儲存於其中的複數個指令,當該等指令由該處理器執行時,導致該行動計算裝置實施如申請專利範圍第43-66項之任一項的方法。
- 一或多個機器可讀媒體,包含儲存於其上的複數個指令,該等指令回應於受執行,導致行動計算裝置實施如申請專利範圍第43-66項之任一項的方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2011/068280 WO2013101245A1 (en) | 2011-12-31 | 2011-12-31 | Method, device, and system for managing user authentication |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201339886A TW201339886A (zh) | 2013-10-01 |
TWI567582B true TWI567582B (zh) | 2017-01-21 |
Family
ID=48698477
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW101149595A TWI567582B (zh) | 2011-12-31 | 2012-12-24 | 用以管理使用者認證之方法,裝置,及系統 |
Country Status (7)
Country | Link |
---|---|
US (1) | US20130318576A1 (zh) |
EP (1) | EP2798774A4 (zh) |
JP (1) | JP5928854B2 (zh) |
KR (2) | KR101841860B1 (zh) |
CN (1) | CN104025505B (zh) |
TW (1) | TWI567582B (zh) |
WO (1) | WO2013101245A1 (zh) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10841151B2 (en) * | 2012-07-30 | 2020-11-17 | Nec Corporation | Method and system for configuring a user equipment |
JP5995648B2 (ja) * | 2012-10-15 | 2016-09-21 | 株式会社日立ソリューションズ | パスワード代行入力システムおよびパスワード代行入力方法 |
US8832813B1 (en) * | 2012-12-19 | 2014-09-09 | Emc Corporation | Voice authentication via trusted device |
TWI584145B (zh) | 2013-12-06 | 2017-05-21 | 神盾股份有限公司 | 生物資料辨識設備、系統、方法及電腦可讀取式媒體 |
JP6170844B2 (ja) * | 2014-02-14 | 2017-07-26 | 株式会社Nttドコモ | 認証情報管理システム |
KR102194341B1 (ko) * | 2014-02-17 | 2020-12-22 | 조현준 | 비밀정보를 안전하고 편리하게 제출하기 위한 방법과 장치 |
TWI551105B (zh) * | 2014-05-30 | 2016-09-21 | 臺灣網路認證股份有限公司 | 管理憑證之系統及其方法 |
US9990479B2 (en) * | 2014-12-27 | 2018-06-05 | Intel Corporation | Technologies for authenticating a user of a computing device based on authentication context state |
TWI615733B (zh) * | 2015-03-18 | 2018-02-21 | Univ Kun Shan | 網路連線自動認證方法、電腦程式產品、電腦可讀取紀錄媒體 |
US20160330201A1 (en) * | 2015-05-08 | 2016-11-10 | Thi Chau Nguyen-Huu | Systems and Methods for Controlling Access to a Computer Device |
US10803229B2 (en) * | 2015-07-16 | 2020-10-13 | Thinxtream Technologies Pte. Ltd. | Hybrid system and method for data and file conversion across computing devices and platforms |
CA3015695C (en) | 2016-02-29 | 2022-06-21 | Securekey Technologies Inc. | Systems and methods for distributed data sharing with asynchronous third-party attestation |
CA3015697C (en) * | 2016-02-29 | 2022-11-22 | Securekey Technologies Inc. | Systems and methods for distributed identity verification |
US10142841B2 (en) * | 2016-07-11 | 2018-11-27 | Disney Enterprises, Inc. | Configuration for multi-factor event authorization |
CN108011824B (zh) * | 2016-11-02 | 2021-07-09 | 华为技术有限公司 | 一种报文处理方法以及网络设备 |
US20180174227A1 (en) * | 2016-12-18 | 2018-06-21 | Synergex Group | System and method for placing a purchase order via sign to buy |
DE102017202002A1 (de) | 2017-02-08 | 2018-08-09 | Siemens Aktiengesellschaft | Verfahren und Computer zum kryptografischen Schützen von Steuerungskommunikation in und/oder Service-Zugang zu IT-Systemen, insbesondere im Zusammenhang mit der Diagnose und Konfiguration in einem Automatisierungs-, Steuerungs- oder Kontrollsystem |
US11429745B2 (en) | 2017-10-30 | 2022-08-30 | Visa International Service Association | Data security hub |
JP7119660B2 (ja) * | 2018-07-05 | 2022-08-17 | 大日本印刷株式会社 | スマートスピーカ、セキュアエレメント及びプログラム |
CN109344582B (zh) * | 2018-08-21 | 2021-12-14 | 中国联合网络通信集团有限公司 | 认证方法、装置和存储介质 |
US11321716B2 (en) | 2019-02-15 | 2022-05-03 | Visa International Service Association | Identity-based transaction processing |
WO2020167317A1 (en) * | 2019-02-15 | 2020-08-20 | Visa International Service Association | Identity-based transaction processing |
US11750380B2 (en) * | 2019-07-29 | 2023-09-05 | Safelishare, Inc. | Storing and retrieving user data using joint, non-correlative, irreversible and private indexical expressions |
KR102506294B1 (ko) * | 2021-08-11 | 2023-03-06 | 주식회사 카인드소프트 | 블록체인에 기반한 로그인 이상징후 감지 및 로그인 관련 로그 데이터 관리 방법, 및 이를 수행하기 위한 장치 |
CN113872761B (zh) * | 2021-11-17 | 2023-07-07 | 湖北工业大学 | 智能家居设备批量认证方法、计算设备、可存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100080471A1 (en) * | 2008-09-26 | 2010-04-01 | Pitney Bowes Inc. | System and method for paper independent copy detection pattern |
TW201104611A (en) * | 2009-07-30 | 2011-02-01 | United Security Appl Id Inc | Identity verification system for monitoring and authorizing transactions |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5903721A (en) * | 1997-03-13 | 1999-05-11 | cha|Technologies Services, Inc. | Method and system for secure online transaction processing |
US6643784B1 (en) * | 1998-12-14 | 2003-11-04 | Entrust Technologies Limited | Password generation method and system |
JP4372936B2 (ja) * | 2000-01-25 | 2009-11-25 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 代行管理方法及びエージェント装置 |
US7140036B2 (en) * | 2000-03-06 | 2006-11-21 | Cardinalcommerce Corporation | Centralized identity authentication for electronic communication networks |
US20030041251A1 (en) * | 2001-08-23 | 2003-02-27 | International Business Machines Corporation | Rule-compliant password generator |
JP3668175B2 (ja) * | 2001-10-24 | 2005-07-06 | 株式会社東芝 | 個人認証方法、個人認証装置および個人認証システム |
JP2003186839A (ja) * | 2001-12-21 | 2003-07-04 | Nec Fielding Ltd | パスワード代行システム及び方法 |
JP4409970B2 (ja) * | 2003-01-29 | 2010-02-03 | 株式会社リコー | 画像形成装置、及び認証プログラム |
EP1513313A1 (en) * | 2003-09-08 | 2005-03-09 | Alcatel | A method of accessing a network service or resource, a network terminal and a personal user device therefore |
EP1693999A4 (en) * | 2003-12-11 | 2011-09-14 | Panasonic Corp | PACK STATION DEVICE |
US7373509B2 (en) * | 2003-12-31 | 2008-05-13 | Intel Corporation | Multi-authentication for a computing device connecting to a network |
JP2005332201A (ja) * | 2004-05-20 | 2005-12-02 | Nec Engineering Ltd | ネットワーク、ネットワーク管理装置、通信装置及びそれらに用いるパスワード自動変更方法 |
US20060274753A1 (en) * | 2005-06-07 | 2006-12-07 | Samsung Electronics Co., Ltd. | Method and system for maintaining persistent unique identifiers for devices in a network |
US20070226783A1 (en) * | 2006-03-16 | 2007-09-27 | Rabbit's Foot Security, Inc. (A California Corporation) | User-administered single sign-on with automatic password management for web server authentication |
JP4867927B2 (ja) * | 2008-02-08 | 2012-02-01 | 日本電気株式会社 | アクセス制御システム、アクセス制御方法、情報処理装置、及び被アクセス媒体 |
US8789152B2 (en) * | 2009-12-11 | 2014-07-22 | International Business Machines Corporation | Method for managing authentication procedures for a user |
-
2011
- 2011-12-31 CN CN201180076051.7A patent/CN104025505B/zh not_active Expired - Fee Related
- 2011-12-31 JP JP2014550273A patent/JP5928854B2/ja not_active Expired - Fee Related
- 2011-12-31 US US13/997,746 patent/US20130318576A1/en not_active Abandoned
- 2011-12-31 KR KR1020167014073A patent/KR101841860B1/ko active IP Right Grant
- 2011-12-31 WO PCT/US2011/068280 patent/WO2013101245A1/en active Application Filing
- 2011-12-31 EP EP11878598.9A patent/EP2798774A4/en not_active Withdrawn
- 2011-12-31 KR KR1020147017686A patent/KR20140105497A/ko active Search and Examination
-
2012
- 2012-12-24 TW TW101149595A patent/TWI567582B/zh not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100080471A1 (en) * | 2008-09-26 | 2010-04-01 | Pitney Bowes Inc. | System and method for paper independent copy detection pattern |
TW201104611A (en) * | 2009-07-30 | 2011-02-01 | United Security Appl Id Inc | Identity verification system for monitoring and authorizing transactions |
Also Published As
Publication number | Publication date |
---|---|
KR20140105497A (ko) | 2014-09-01 |
JP2015507267A (ja) | 2015-03-05 |
US20130318576A1 (en) | 2013-11-28 |
CN104025505A (zh) | 2014-09-03 |
EP2798774A1 (en) | 2014-11-05 |
WO2013101245A1 (en) | 2013-07-04 |
EP2798774A4 (en) | 2015-10-14 |
KR20160073418A (ko) | 2016-06-24 |
CN104025505B (zh) | 2018-10-16 |
JP5928854B2 (ja) | 2016-06-01 |
TW201339886A (zh) | 2013-10-01 |
KR101841860B1 (ko) | 2018-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI567582B (zh) | 用以管理使用者認證之方法,裝置,及系統 | |
US10873468B2 (en) | Legacy authentication for user authentication with self-signed certificate and identity verification | |
US9094212B2 (en) | Multi-server authentication token data exchange | |
US8997192B2 (en) | System and method for securely provisioning and generating one-time-passwords in a remote device | |
JP6921222B2 (ja) | Id情報に基づく暗号鍵管理 | |
EP3195558B1 (en) | Efficient and reliable attestation | |
US11552798B2 (en) | Method and system for authenticating a secure credential transfer to a device | |
CN108476404A (zh) | 安全设备配对 | |
JP2019508763A (ja) | ローカルデバイス認証 | |
US9053305B2 (en) | System and method for generating one-time password for information handling resource | |
WO2016191376A1 (en) | Initial provisioning through shared proofs of knowledge and crowdsourced identification | |
US10554652B2 (en) | Partial one-time password | |
WO2017093917A1 (en) | Method and system for generating a password | |
CN112862484A (zh) | 一种基于多端交互的安全支付方法及装置 | |
JP6172774B2 (ja) | ユーザ認証を管理するための方法、デバイス、及びシステム | |
US9560046B2 (en) | Device notarization | |
JP2015207205A (ja) | データ管理システム、データ管理方法及びデータ管理プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |