TWI629610B - 經由持久經認證設備網路提供對受限資源的存取的方法和裝置 - Google Patents

經由持久經認證設備網路提供對受限資源的存取的方法和裝置 Download PDF

Info

Publication number
TWI629610B
TWI629610B TW104138034A TW104138034A TWI629610B TW I629610 B TWI629610 B TW I629610B TW 104138034 A TW104138034 A TW 104138034A TW 104138034 A TW104138034 A TW 104138034A TW I629610 B TWI629610 B TW I629610B
Authority
TW
Taiwan
Prior art keywords
computing device
user
authenticated
network
persistent
Prior art date
Application number
TW104138034A
Other languages
English (en)
Other versions
TW201627900A (zh
Inventor
馬可M 瑞捷
Original Assignee
聯想企業解決方案(新加坡)有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 聯想企業解決方案(新加坡)有限公司 filed Critical 聯想企業解決方案(新加坡)有限公司
Publication of TW201627900A publication Critical patent/TW201627900A/zh
Application granted granted Critical
Publication of TWI629610B publication Critical patent/TWI629610B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/43Security arrangements using identity modules using shared identity modules, e.g. SIM sharing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申請案的各實施例係關於經由持久經認證設備網路提供對受限資源的存取。經由持久經認證設備網路提供對受限資源的存取包括:對使用者進行認證;加入持久經認證設備網路;在預定時段的期滿時,迭代地確定使用者是否保持經認證;回應於確定使用者保持經認證,確定持久經認證設備網路中的下游計算設備是否正嘗試存取受限資源;以及回應於確定持久經認證設備網路中的下游計算設備正嘗試存取受限資源,向下游計算設備提供使用者認證資訊。

Description

經由持久經認證設備網路提供對受限資源的存取的方法和裝置
本發明的領域是資料處理,或者更具體地,是用於經由持久經認證設備網路提供對受限資源的存取的方法、裝置和產品。
現代計算設備和包含在其中的資源經常旨在於僅由某些使用者使用。這樣,使用者的身份可以經常通過使用者提供使用者名稱和密碼來在授予對這樣的資源的存取之前被認證。使用者利用的密碼的數目可能增加並且變得難以管理,因為使用者經常無法容易地記住在不同環境中使用的全部密碼,即使是正當地有權存取這樣的資源的密碼的所有者。對終端使用者的負擔一直增加並且正被使用的這一途徑繼續依賴於陳舊並且低效的架構。
用於經由持久經認證設備網路提供對受限資源的存取的方法、裝置和產品,包括:對使用者進行認證;加入持久經認證設備網路;在預定時段的期滿時,迭代地確定使用者是否保持經認證;回應於確定使 用者保持經認證,確定持久經認證設備網路中的下游計算設備是否正嘗試存取受限資源;以及回應於確定持久經認證設備網路中的下游計算設備正嘗試存取受限資源,向下游計算設備提供使用者認證資訊。
通過對如在附圖中圖示的本發明的示例實施例的以下更多特別描述,本發明的前述和其他物件、特徵和優點將變得明顯,其中在附圖中相似的參考號通常代表本發明的示例實施例的相似部分。
100‧‧‧資料通信網路
102‧‧‧使用者
104‧‧‧智慧型手機
106‧‧‧工作站
108‧‧‧伺服器
110‧‧‧資料通信網路
112‧‧‧膝上型電腦
114‧‧‧個人電腦
116‧‧‧平板電腦
118‧‧‧遠端存放設備
120‧‧‧持久經認證設備網路
122‧‧‧耳機
124‧‧‧生物識別感測器
126‧‧‧認證資訊分發模組
152‧‧‧電腦
154‧‧‧作業系統
156‧‧‧處理器
158‧‧‧匯流排轉接器
160‧‧‧擴展匯流排
162‧‧‧前端匯流排
164‧‧‧視頻匯流排
166‧‧‧記憶體匯流排
167‧‧‧通信轉接器
168‧‧‧隨機存取記憶體
170‧‧‧資料儲存
172‧‧‧磁碟機轉接器
178‧‧‧輸入/輸出轉接器
180‧‧‧顯示裝置
181‧‧‧使用者輸入裝置
182‧‧‧電腦
209‧‧‧視訊卡轉接器
302‧‧‧計算設備
304‧‧‧認證使用者
306‧‧‧使用者
308‧‧‧加入持久經認證設備網路
310‧‧‧使用者是否保持經認證?
312‧‧‧預定時段是否期滿?
314‧‧‧是
316‧‧‧是
318‧‧‧否
320‧‧‧下游計算設備是否正嘗試存取受限資源?
322‧‧‧受限資源
324‧‧‧下游計算設備
326‧‧‧提供使用者認證資訊給下游計算設備
328‧‧‧使用者認證資訊
330‧‧‧否
402‧‧‧離開持久經認證設備網路
404‧‧‧確定使用者是否在第一計算設備的第一距離內?
502‧‧‧連接資訊
504‧‧‧與受限資源建立連接
506‧‧‧從受限資源接收連接資訊
508‧‧‧向下游設備提供連接資訊
602‧‧‧創建持久經認證設備網路
604‧‧‧連續地確定使用者是否保持經認證
圖1闡明了根據本發明的實施例的、用於經由持久經認證設備網路提供對受限資源的存取的系統的網路圖。
圖2闡明了根據本發明的實施例的、包括在經由持久經認證設備網路提供對受限資源的存取中有用的示例電腦的自動化計算機的框圖。
圖3闡明了根據本發明的實施例的、圖示了用於經由持久經認證設備網路提供對受限資源的存取的示例方法的流程圖。
圖4闡明了根據本發明的實施例的、圖示了用於經由持久經認證設備網路提供對受限資源的存取的附加示例方法的流程圖。
圖5闡明了根據本發明的實施例的、圖示了用於經由持久經認證設備網路提供對受限資源的存取的附加示例方法的流程圖。
圖6闡明了根據本發明的實施例的、圖示了用於經由持久經認證設備網路提供對受限資源的存取的附加示例方法的流程圖。
根據本發明的、用於經由持久經認證設備網路提供對受限資源的存取的示例方法、裝置和產品參考附圖、從圖1開始而被描述。圖1闡明了根據本發明的實施例的、用於經由持久經認證設備網路(120)提供對受限資源的存取的系統的網路圖。
圖1的系統包括共同地形成持久經認證設備網路(120)的多個設備。持久經認證設備網路(120)代表可以出於共享用於存取受限資源的使用者認證資訊的目的、直接地或者間接地相互通信的設備的彙集。這樣的受限資源可以體現為例如對其的存取係為受限的計算設備、對其的存取係為受限的特定檔、對其的存取係為受限的網頁等。在這樣的示例中,受限資源僅可以由經認證使用者所存取,經認證使用者的身份通過對使用者認證資訊(比如使用者名稱和密碼、生物識別資料或諸如此類)的使用而被確認。
圖1中描繪的系統包括智慧型手機(104)、工作站(106)、伺服器(108)、膝上型電腦(112)、個人電腦(114)、平板電腦(116)、無線耳機(122)和遠端存放(118)設備。在圖1中描繪的示例中,當中許多設備連接到資料通信網路(110),從而使得每個設備可以經由資料通信網路(110)相互通信。然而,讀者將領會到,當中許多設備也可以被配置用於在不使用資料通信網路(110)的情況下相互通信。例如,當中許多設備可以被配置用於使用近場通信技術、藍牙技術、當中的兩個或者更多個設備之間鋪設的佈線等來通信。
圖1中描繪的示例包括智慧型手機(104)的使用者(102)。 智慧型手機(104)的使用者(102)可以例如通過在由智慧型手機(104)提供的小鍵盤上鍵入使用者名稱和密碼、通過在包括在智慧型手機(104)中或者以其他方式附接到智慧型手機(104)的指紋掃描器上按壓手指、通過使用包括在智慧型手機(104)中或者以其他方式附接到智慧型手機(104)的掃描器來執行視網膜掃描、通過生物識別感測器(124)檢測來自使用者(102)的生物識別資料來向智慧型手機(104)提供使用者認證資訊等等。以這樣的方式,使用者(102)提供資訊給智慧型手機(104),其可用以存取受限資源。如以下將更加詳細地描述的,當智慧型手機(104)的使用者(102)嘗試經由持久經認證設備網路(120)當中的任何其他設備存取受限資源時,智慧型手機(104)可以向持久經認證設備網路(120)中的其他設備傳輸用來存取受限資源的資訊,從而使得使用者(102)可以使用持久經認證設備網路(120)中的這些其他設備存取受限資源,而無需向持久經認證設備網路(120)中的這些其他設備提供這樣的使用者認證資訊(例如,密碼,視網膜掃描等)。以這樣的方式,智慧型手機(104)可以充當使用者的代理(surrogate),因為是智慧型手機(104)而不是使用者將向持久經認證設備網路(120)中的這些其他設備提供認證資訊。讀者將領會到,儘管圖1的智慧型手機(104)充當了代理設備,但是在圖1中描繪的任何其他設備都可以充當代理設備。例如,如果使用者(104)也已向平板電腦(116)中輸入了使用者名稱和密碼,則平板電腦(116)可以向持久經認證設備網路(120)中的另一設備提供這樣的使用者名稱和密碼,只要使用者自輸入該使用者名稱和密碼器以來保持連續地經認證,如以下更加詳細地描述的。
組成圖1中所圖示的示例系統的伺服器和其他設備的佈置是 出於說明而非出於限制。根據本發明的各種實施例有用的資料處理系統可以包括如本領域技術人員將想到的、圖1中未示出的附加伺服器、路由器、其他設備和對等(peer-to-peer)架構。這樣的資料處理系統中的網路可以支援許多資料通信協定,例如包括TCP(傳輸控制協議)、IP(網際協議)、HTTP(超文字傳輸協定)、WAP(無線存取協議)、HDTP(手持設備傳輸協定)以及本領域技術人員將想到的其他協議。本發明的各種實施例可以被實施在除了圖1中所圖示的硬體平台之外的各種硬體平台上。
根據本發明的、經由持久經認證設備網路提供對受限資源的存取通常利用電腦實施,也就是說,利用自動化計算機實施。在圖1的系統中,例如,智慧型手機(104)、工作站(106)、伺服器(108)、膝上型電腦(112)、個人電腦(114)、平板電腦(116)、和遠端存放(118)設備至少在某種程度上被實施為電腦。為了進一步的說明,因此圖2闡明了根據本發明的實施例的、包括在經由持久經認證設備網路提供對受限資源的存取中有用的示例電腦(152)的自動化計算機的框圖。圖2的電腦(152)包括至少一個電腦處理器(156)(或者“CPU”)以及通過高速記憶體匯流排(166)和匯流排轉接器(158)連接到處理器(156)和電腦(152)的其他部件的隨機存取記憶體(168)(“RAM”)。
在RAM(168)中儲存的是認證資訊分發模組(126),其為根據本發明的實施例的、用於經由持久經認證設備網路提供對受限資源的存取的電腦程式指令的模組。認證資訊分發模組(126)可以被配置用於通過以下步驟來經由持久經認證設備網路提供對受限資源的存取:對使用者進行認證;加入持久經認證設備網路;在預定時段的期滿時,迭代地確定 使用者是否保持經認證;回應於確定使用者保持經認證,確定持久經認證設備網路中的下游計算設備是否正嘗試存取受限資源;以及回應於確定持久經認證設備網路中的下游計算設備正嘗試存取受限資源,向下游計算設備提供使用者認證資訊。
也在RAM(168)中儲存的是作業系統(154)。根據本發明的實施例的、在經由持久經認證設備網路提供對受限資源的存取中有用的作業系統包括UNIXTM、LinuxTM、Microsoft XPTM、AIXTM、IBM的i5/OSTM以及本領域技術人員將想到的其他作業系統。圖2的示例中的作業系統(154)和認證資訊分發模組(126)在RAM(168)中所示,但是這樣的軟體的許多組成部分通常也被儲存在非揮發性記憶體中,比如例如磁碟機(170)上。
圖2的電腦(152)包括通過擴展匯流排(160)和匯流排轉接器(158)耦合到處理器(156)和電腦(152)的其他部件的磁碟機轉接器(172)。磁碟機轉接器(172)以磁碟機(170)的形式將非揮發性資料儲存裝置連接到電腦(152)。根據本發明的實施例的、在經由持久經認證設備網路提供對受限資源的存取中有用的磁碟機轉接器包括集成驅動電子設備(“IDE”)轉接器、小型電腦系統介面(“SCSI”)轉接器以及本領域技術人員將想到的其他轉接器。非揮發性電腦記憶體也可以被實施用於光碟驅動、電可擦除可程式設計唯讀記憶體(所謂的“EEPROM”或者“快閃”記憶體)、RAM驅動等,如本領域技術人員將想到的。
圖2的示例電腦(152)包括一個或者多個輸入/輸出(“I/O”)轉接器(178)。I/O轉接器通過例如用於控制對例如電腦顯示螢 幕之類的顯示裝置的輸出以及來自例如鍵盤和滑鼠之類的使用者輸入裝置(181)的輸入的軟體驅動程式和電腦硬體來實現面向使用者的輸入/輸出。圖2的示例電腦(152)包括視訊卡(209),其為被具體設計用於對例如顯示螢幕或者電腦監視器之類的顯示裝置(180)的圖形輸出的I/O轉接器的示例。視訊卡轉接器(209)通過高速視頻匯流排(164)、匯流排轉接器(158)以及也是高速匯流排的前端匯流排(162)連接到處理器(156)。
圖2的示例電腦(152)包括用於與其他電腦(182)的資料通信以及用於與資料通信網路(100)的資料通信的通信轉接器(167)。這樣的資料通信可以通過比如通用序列匯流排(“USB”)之類的外部匯流排、通過比如IP資料通信網路之類的資料通信匯流排以及按照本領域技術人員將想到的其他方式被執行。通信轉接器通過哪一個電腦向另一電腦發送資料通信、直接地或者通過資料通信網路來實現資料通信的硬體級別。根據本發明的實施例的、在經由持久經認證設備網路提供對受限資源的存取中有用的通信轉接器的示例包括用於有線撥號通信的數據機、用於有線資料通信網路通信的乙太網(IEEE 802.3)轉接器以及用於無線資料通信網路通信的802.11轉接器。
出於進一步的說明,圖3闡明了根據本發明的實施例的、圖示了用於經由持久經認證設備網路提供對受限資源的存取的示例方法的流程圖。持久經認證設備網路代表可以出於共享用於存取受限資源的使用者認證資訊的目的、直接地或者間接地相互通信的設備的彙集。這樣的受限資源可以例如體現為對其的存取受限的計算設備、對其的存取受限的特定檔、對其的存取受限的網頁等。在這樣的示例中,受限資源僅可以由經認 證使用者存取,經認證使用者的身份通過對使用者認證資訊(比如使用者名稱和密碼、生物識別資料等)的使用而被確認。
圖3中描繪的示例方法由在比如圖3中描繪的計算設備(302)之類的第一計算設備上執行的電腦程式網路執行。雖然在圖3中未被圖示,但是計算設備(302)可以包括用於儲存電腦程式指令的電腦記憶體和用於執行電腦程式指令的電腦處理器。計算設備(302)可以例如被體現為智慧型手機、平板電腦、比如智慧手錶之類的可穿戴計算設備以及許多其他形式。這樣的計算設備(302)可以包括用來接收用來標識計算設備(302)的使用者(304)的資訊的輸入裝置,比如例如用於接收使用者名稱和密碼的小鍵盤、用於檢測使用者(304)指紋的指紋掃描器、用於掃描使用者(304)視網膜的視網膜掃描器等。計算設備(302)還可以包括用於與另一計算設備或者資料通信網路通信的電腦硬體。這樣的資料通信硬體可以包括例如被配置用於與資料通信網路的無線分組化通信的無線轉接器、用於與行動通信網路(例如,LTE網路、4G網路)通信的行動通信轉接器、用於近場通信的RFID轉發器(transponder)、用於通過短距離交換資料的藍牙轉接器等。
圖3中描繪的示例方法包括對計算設備(302)的使用者(306)進行認證(304)。對計算設備(302)的使用者(306)進行認證(304)可以例如通過從使用者(306)接收比如使用者名稱和密碼之類的輸入、通過從使用者(306)接收比如使用者的指紋或者使用者的視網膜掃描之類的生物識別資料或者通過接收用來對使用者(306)的身份進行驗證的一些其他形式的資訊被執行。這些資訊可以隨後與之前收集的資訊進行比較以對使 用者(306)的身份進行認證。例如,從使用者(306)接收的使用者名稱和密碼可以與之前取得的使用者名稱和密碼進行比較、接收的生物識別資料可以與之前取得的生物識別資料進行比較等。在這樣的示例中,如果從使用者接收的資訊在預定容差內與之前收集的資訊匹配,則使用者(306)可以被認證(304)。
圖3中描繪的示例方法還包括加入(308)持久經認證設備網路。在圖3中描繪的示例方法中,持久經認證設備網路代表可以相互共享使用者認證資訊的計算設備的彙集(collection)。圖3的計算設備(302)可以通過加入現有持久經認證設備網路或者創建持久經認證設備網路(其中計算設備(302)是這樣的網路的第一個成員)來加入(308)持久經認證設備網路。
圖3中描繪的示例方法還包括確定(310)使用者(306)是否保持經認證。計算設備(302)的使用者(306)可以例如通過簡單地保持在計算設備(302)的第一距離內來保持經認證。這樣,確定(310)使用者(306)是否保持經認證可以例如通過使用用來確認使用者的存在的一個或者多個感測器而被執行。這樣的感測器可以例如被體現為被配置用於檢查使用者脈搏的存在、從而使得脈搏的缺乏指示出使用者(306)不再在計算設備(302)的第一距離內的生物識別感測器。備選地,這樣的感測器可以被體現為被配置用於檢查使用者的體熱的存在、從而使得檢測到的溫度降至預定閥值以下指示出使用者(306)不再在計算設備(302)的第一距離內的熱感測器。讀者將領會到,使用者(306)對計算設備(302)的接近可以按照利用各種技術的各種方式被確定。
除了通過確定使用者(306)是否在計算設備(302)的第一距離內來確定(310)使用者(306)是否保持經認證之外,在備選實施例中,確定(310)使用者(306)是否保持經認證可以通過定期提示使用者提供用來證實使用者的身份的資訊而被執行。這樣的資訊可以包括密碼、生物識別資料等。類似地,對計算設備(302)的連續使用可以用來確定(310)使用者(306)是否保持經認證,因為對設備的連續使用可以是最初提供了認證資訊的使用者仍正在使用計算設備(302)的證據。
在圖3中描繪的示例方法中,確定(310)使用者(306)是否保持經認證在預定時段的期滿時被迭代地執行。預定時段可以足夠小(例如,1秒)以使得實際上計算設備(302)不斷地確定(310)使用者(306)是否保持經認證。事實上,計算設備(302)可以被配置以使得執行確定(310)使用者(306)是否保持經認證的過程的電腦程式指令可以在無線迴圈中,從而使得每當計算設備(302)已經肯定地(316)確定使用者(306)保持經認證時,計算設備(302)立即開始重新執行確定(310)使用者(306)是否保持經認證的過程。同樣地,用來確定(310)使用者(306)是否保持經認證的感測器(例如,被配置用於檢測使用者的脈搏的生物識別感測器)可以被連續地啟動(power up)並且連續地監視使用者的存在。
在圖3中描繪的示例方法中,如果計算設備(302)確定使用者(306)並非(318)經認證,則計算設備(302)可以從持久經認證設備網路移除其自身並且重新發起對計算設備(302)的使用者(306)進行認證(304)的過程。然而,如果計算設備(302)肯定地(316)確定使用者(306)保持經認證,則計算設備(302)可以確定(312)預定時段是否期 滿,並且如果肯定地(314)確定預定時段已經期滿,則計算設備(302)可以重新發起確定(310)使用者(306)是否保持經認證的過程。在對肯定地(316)確定使用者(306)保持經認證的進一步的回應中,計算設備(302)也可以確定(320)持久經認證設備網路中的下游計算設備(324)是否正嘗試存取受限資源(322)。讀者將領會到,計算設備(302)可以確定(312)預定時段是否期滿並且還例如通過使用在計算設備(302)上執行的、用於執行每個功能的多個執行緒來確定(320)持久經認證設備網路中的下游計算設備(324)是否正嘗試存取受限資源(322)。
圖3的受限資源(322)可以例如被體現為對其的存取受限的計算設備、對其的存取受限的特定檔、對其的存取受限的網頁等。在這樣的示例中,受限資源(322)僅可以由經認證使用者存取,經認證使用者的身份通過對使用者認證資訊(比如使用者名稱和密碼、生物識別資料等)的使用而被確認。
圖3的下游計算設備(324)代表作為持久經認證設備網路的部分的設備。持久經認證設備網路中的下游計算設備(324)可以被體現為例如桌上型電腦、膝上型電腦、平板電腦等。這樣的設備從以下意義上來講是“下游的”:使用者認證資訊被提供給計算設備(302)並且被從計算設備(302)向下傳給下游計算設備(324),從而使得使用者(302)可以經由下游計算設備(324)存取受限資源(322)而無需輸入或者提供已經被提供給計算設備(302)的認證資訊。
在圖3中描繪的示例方法中,確定(320)持久經認證設備網路中的下游計算設備(324)是否正嘗試存取受限資源(322)可以例如通 過計算設備(302)從下游計算設備(324)接受包括用於下游計算設備(324)正嘗試存取的受限資源(322)的識別符、下游計算設備(324)的識別符以及其他可能需要的資訊而被執行。下游計算設備(324)可以例如使用近場通信轉接器或者藍牙轉接器來廣播這樣的消息,從而使得僅在下游計算設備(324)的第一距離內的那些設備可以接收消息。以這樣的方式,計算設備(302)可以僅從計算設備(302)的第一距離內的其他設備接收標識其他設備正嘗試存取的受限資源(322)的消息。
圖3中描繪的示例方法還包括向下游計算設備(324)提供(326)使用者認證資訊(328)。計算設備(302)可以例如通過向下游計算設備(324)發送包括使用者認證資訊、用於受限資源(322)的識別符以及其他可能需要的資訊來向下游計算設備(324)提供(326)使用者認證資訊(328)。在圖3中描繪的示例方法中,使用者認證資訊(328)僅回應於肯定地(328)確定(320)在持久經認證設備網路中的下游計算設備(324)正嘗試存取受限資源(322)而被提供(326)給下游計算設備(324)。
出於進一步的說明,圖4闡明了根據本發明的實施例的、圖示了用於經由持久經認證設備網路提供對受限資源的存取的另外的示例方法的流程圖。圖4中描繪的示例方法類似於圖3中描繪的示例方法,因為圖4中描繪的示例方法也包括計算設備(302)執行對計算設備(302)的使用者(306)進行認證(304)、加入(308)持久經認證設備網路、確定(310)使用者(306)是否保持經認證、確定(320)持久經認證設備網路中的下游計算設備(324)是否正嘗試存取受限資源(322)以及向下游計算設備(324)提供(326)使用者認證資訊(328)的步驟。
圖4中描繪的示例方法還包括:回應於確定使用者(306)並未(318)保持經認證,離開(402)持久經認證設備網路。在圖4中描繪的示例方法中,通過離開持久經認證設備網路,計算設備(302)將不再與持久經認證設備網路中的其他設備共享使用者認證資訊(328),因為計算設備(302)不再是持久經認證設備網路的部分。以這樣的方式,要求計算設備(302)的使用者(306)持續地被計算設備(302)認證以便計算設備(302)與其他設備共用使用者認證資訊(328)的政策被強制實施,因為計算設備(302)將僅在計算設備(302)和其他設備是同一持久經認證設備網路的部分時與這些其他設備共享使用者認證資訊(328)。
在圖4中描繪的示例方法中,確定(310)使用者(306)是否保持經認證可以包括確定(404)使用者(306)是否在第一計算設備(302)的第一距離內。回應於肯定地確定使用者(306)在第一計算設備(302)的第一距離內,使用者(306)保持經認證並且使用者(306)因此仍然是持久經認證設備網路的成員。然而,如果使用者(306)並不在第一計算設備(302)的第一距離內,則使用者(306)停止保持經認證並且因此離開(402)持久經認證設備網路。
在圖4中描繪的示例方法中,第一距離可以被體現為例如根據英寸、英尺、米等而被計算的物理距離。備選地,第一距離可以被體現為特定感測器的檢測範圍,從而使得如果感測器可以檢測到使用者的存在,則使用者被視為在計算設備(302)的第一距離內。這樣,確定(404)使用者(306)是否在計算設備(302)的第一距離內可以通過使用被包括在計算設備(302)中或者通信地附接到計算設備(302)的一個或者多個 感測器而被執行。這樣的感測器可以包括例如被設計用於檢測用於使用者(306)的脈搏的生物識別感測器、被設計用於檢測來自接近的使用者的體熱的溫度感測器等。例如,如果脈搏檢測感測器檢測到使用者(306)的脈搏,則使用者(306)被確定為在計算設備(302)的第一距離內。同樣地,如果溫度感測器檢測到使用者(306)的溫度在預定閥值之上,則使用者(306)被確定為在計算設備(302)的第一距離內。
出於進一步的說明,圖5闡明了根據本發明的實施例的、圖示了用於經由持久經認證設備網路提供對受限資源的存取的另外示例方法的流程圖。圖5中描繪的示例方法類似於圖3中描繪的示例方法,因為圖5中描繪的示例方法也包括計算設備(302)執行對計算設備(302)的使用者(306)進行認證(304)、加入(308)持久經認證設備網路、確定(310)使用者(306)是否保持經認證、確定(320)持久經認證設備網路中的下游計算設備(324)是否正嘗試存取受限資源(322)以及向下游計算設備(324)提供(326)使用者認證資訊(328)的步驟。
圖5中描繪的示例方法還包括與受限資源(322)建立(504)連接。在圖5中描繪的示例方法中,與受限資源(322)建立(504)連接可以例如通過計算設備(302)通過資料通信連接向受限資源(322)傳遞比如使用者名稱和密碼之類的使用者認證資訊(328)而被執行。備選地,與受限資源(322)建立(504)連接可以通過計算設備(302)通過資料通信連接向受限資源(322)傳遞指示計算設備(302)已經對使用者進行了認證的資訊、從而使得是計算設備(302)而不是受限資源(322)進行關於使用者(306)是否應當被授予對受限資源(322)的存取的確定而被執行。 一旦已經在計算設備(302)和受限資源(322)之間建立了連接,計算設備(302)就自由地存取和使用受限資源(322)。
圖5中描繪的示例方法還包括從受限資源(322)接收(506)連接資訊(502)。在圖5中描繪的示例方法中,這樣的連接資訊(502)可以包括描述在計算設備(302)與受限資源(322)之間的連接的資訊。這樣的連接資訊(322)可以包括例如會話識別符、用來存取受限資源(322)的連接符記、用來存取受限資源(322)的埠號等。
在圖5中描繪的示例方法中,向下游計算設備(324)提供(326)使用者認證信息(328)還可以包括向下游設備(324)提供(508)連接資訊(502)。憑藉擁有連接資訊(502),下游設備(324)可以通過簡單地利用已經由計算設備(302)建立的連接、而不是通過向受限資源(322)提供使用者認證資訊(328)來建立新的連接來存取受限資源(322)。
為了進一步的說明,圖6闡明了根據本發明的實施例的、圖示了用於經由持久經認證設備網路提供對受限資源的存取的另外示例方法的流程圖。圖6中描繪的示例方法類似於圖3中描繪的示例方法,因為圖6中描繪的示例方法也包括計算設備(302)執行對計算設備(302)的使用者(306)進行認證(304)、加入(308)持久經認證設備網路、確定(310)使用者(306)是否保持經認證、確定(320)持久經認證設備網路中的下游計算設備(324)是否正嘗試存取受限資源(322)以及向下游計算設備(324)提供(326)使用者認證資訊(328)的步驟。
在圖6中描繪的示例方法中,加入(308)持久經認證設備網路可以包括創建(602)持久經認證設備網路。在圖6中描繪的示例方法中, 創建(602)持久經認證設備網路可以通過計算設備(302)進入預定模式而被執行,在該預定模式中,來自其他計算設備(324)的對於使用者認證資訊(328)的請求可以被計算設備(302)提供服務,只要計算設備(302)和其他計算設備(324)相互在第一距離內。備選地,創建(602)持久經認證設備網路可以通過計算設備(302)向集中式網路集線器發送指示出計算設備(302)已經進入了如下預定模式的消息而被執行,在該預定模式中,來自其他計算設備(324)的對於使用者認證資訊(328)的請求可以被計算設備(302)提供服務,只要計算設備(302)和其他計算設備(324)相互在第一距離內。
在圖6中描繪的示例方法中,在預定時段的期滿時,迭代地確定(310)使用者(306)是否保持經認證可以包括連續地(604)確定使用者(306)是否保持經認證。連續地(604)確定使用者(306)是否保持經認證可以例如通過使比如脈搏監視器之類的生物識別感測器不斷地被啟動、通過按照迴圈模式執行認證過程以使得在完成認證過程時認證過程再次開始等而被執行。
本發明可以是系統和/或方法。
在此參考根據實施例的方法和裝置(系統)的流程圖圖示和/或框圖而描述了本發明的各種態樣。
附圖中的流程圖和框圖圖示了根據各種實施例的系統、方法的可能實現方式的架構、功能和操作。在一些備選實現方式中,在框中標注的功能可以按照附圖中標注的順序發生。例如,被接連示出的兩個框事實上可以基本上同時被執行,或者框有時可以按照相反順序被執行,這取 決於所涉及的功能。將注意到,框圖和/或流程圖圖示中的每個框以及框圖和/或流程圖圖示中的框的組合可以由執行指定的功能或者動作或者執行專用硬體的組合的專用硬體式的系統實施。
根據前述描述將理解到,可以在本發明的各種實施例中進行修改和改變而不脫離其真實精神。本說明書的描述僅出於例示的目的而並不將被解釋為限制的意義。本發明的範圍僅由隨後的申請專利範圍的語言限制。

Claims (10)

  1. 一種經由持久經認證設備網路提供對受限資源的存取的方法,包括:一第一計算設備對一使用者進行認證;該第一計算設備加入一持久經認證設備網路;該第一計算設備在一預定時段的期滿時,迭代地確定該使用者係保持經認證,其中包含利用一生物識別感測器確定該使用者在該第一計算設備的一第一距離內以確認該使用者的存在;該第一計算設備回應於確定該使用者保持經認證,確定該持久經認證設備網路中的一下游計算設備正嘗試存取一受限資源;以及該第一計算設備回應於確定該持久經認證設備網路中的該下游計算設備正嘗試存取該受限資源,向該下游計算設備提供使用者認證資訊。
  2. 根據申請專利範圍第1項所述的方法,還包括:該第一計算設備回應於確定該使用者未保持經認證,離開該持久經認證設備網路,因此該第一計算設備不再屬於該持久經認證設備網路。
  3. 根據申請專利範圍第1項所述的方法,還包括:該第一計算設備與該受限資源建立一連接;該第一計算設備從該受限資源接收連接資訊;且其中,該第一計算設備向該下游計算設備提供使用者認證資訊的步驟還包括:該第一計算設備向該下游設備提供該連接資訊。
  4. 根據申請專利範圍第1項所述的方法,其中該第一計算設備在該預定時段的期滿時,迭代地確定該使用者係保持經認證的步驟還包括:該第一 計算設備連續地確定該使用者係保持經認證。
  5. 根據申請專利範圍第1項所述的方法,更包括:創建該持久經認證設備網路。
  6. 一種經由持久經認證設備網路提供對受限資源的存取的裝置,該裝置包含一電腦處理器以及與該電腦處理器連結之一電腦記憶體,其中該電腦記憶體具有電腦程式指令,該電腦程式指令被該電腦處理器執行以進行以下操作:對一使用者進行認證;加入一持久經認證設備網路;在一預定時段的期滿時,迭代地確定該使用者係保持經認證,其中包含利用一生物識別感測器確定該使用者在該第一計算設備的一第一距離內以確認該使用者的存在;回應於確定該使用者保持經認證,確定該持久經認證設備網路中的一下游計算設備正嘗試存取一受限資源;以及回應於確定該持久經認證設備網路中的該下游計算設備正嘗試存取該受限資源,向該下游計算設備提供使用者認證資訊。
  7. 根據申請專利範圍第6項所述的裝置,其更被配置以確定該使用者未保持經認證,離開該持久經認證設備網路,因此該第一計算設備不再屬於該持久經認證設備網路。
  8. 根據申請專利範圍第6項所述的裝置,其更被配置以進行以下操作:與該受限資源建立一連接;從該受限資源接收連接資訊;且其中, 向該下游計算設備提供使用者認證資訊的操作還包括向該下游設備提供該連接資訊。
  9. 根據申請專利範圍第6項所述的裝置,其中被配置以在該預定時段的期滿時,迭代地確定該使用者係保持經認證的操作還包括被配置以連續地確定該使用者係保持經認證。
  10. 根據申請專利範圍第6項所述的裝置,其中該電腦程式指令被該電腦處理器執行更進行以下操作:創建該持久經認證設備網路。
TW104138034A 2014-11-24 2015-11-18 經由持久經認證設備網路提供對受限資源的存取的方法和裝置 TWI629610B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/552,090 2014-11-24
US14/552,090 US9923896B2 (en) 2014-11-24 2014-11-24 Providing access to a restricted resource via a persistent authenticated device network

Publications (2)

Publication Number Publication Date
TW201627900A TW201627900A (zh) 2016-08-01
TWI629610B true TWI629610B (zh) 2018-07-11

Family

ID=56011381

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104138034A TWI629610B (zh) 2014-11-24 2015-11-18 經由持久經認證設備網路提供對受限資源的存取的方法和裝置

Country Status (3)

Country Link
US (1) US9923896B2 (zh)
CN (1) CN105635104B (zh)
TW (1) TWI629610B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10013540B2 (en) * 2015-03-10 2018-07-03 Lenovo (Singapore) Pte. Ltd. Authentication based on body movement
DE102015208510A1 (de) * 2015-05-07 2016-11-10 Robert Bosch Gmbh Verfahren zum Ausführen einer sicherheitskritischen Funktion einer Recheneinheit in einem cyber-physischen System
CN106647292A (zh) * 2015-10-30 2017-05-10 霍尼韦尔国际公司 用于智能家居系统的可穿戴手势控制设备和方法
US10715518B2 (en) 2015-12-08 2020-07-14 Lenovo (Singapore) Pte. Ltd. Determination of device with which to establish communication based on biometric input
US9882918B1 (en) * 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US11290459B2 (en) * 2018-05-15 2022-03-29 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Granting guest devices access to a network using out-of-band authorization
US11811783B1 (en) * 2021-06-24 2023-11-07 Amazon Technologies, Inc. Portable entitlement

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088450A (en) * 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US20050081044A1 (en) * 2003-10-14 2005-04-14 Ibm Corporation Method and apparatus for pervasive authentication domains
US20050221798A1 (en) * 2004-03-30 2005-10-06 Intel Corporation Method and apparatus for providing proximity based authentication, security, and notification in a wireless system
TW201433133A (zh) * 2013-02-04 2014-08-16 Delta Networks Xiamen Ltd 認證與授權的方法及系統
US20140289824A1 (en) * 2013-03-21 2014-09-25 Nextbit Systems Inc. Sharing authentication profiles between a group of user devices
CN104081714A (zh) * 2012-01-25 2014-10-01 思科技术公司 网络调解多装置共享认证

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6247026B1 (en) * 1996-10-11 2001-06-12 Sun Microsystems, Inc. Method, apparatus, and product for leasing of delegation certificates in a distributed system
GB0210692D0 (en) 2002-05-10 2002-06-19 Assendon Ltd Smart card token for remote authentication
US7697920B1 (en) 2006-05-05 2010-04-13 Boojum Mobile System and method for providing authentication and authorization utilizing a personal wireless communication device
US8553885B2 (en) 2005-01-27 2013-10-08 Blackberry Limited Wireless personal area network having authentication and associated methods
US7802297B2 (en) 2005-02-07 2010-09-21 Broadcom Corporation Keyboard with built in display for user authentication
US7953670B2 (en) 2006-12-27 2011-05-31 Colella Brian A Biometrically secured identification authentication and card reader device
US20090006846A1 (en) 2007-06-27 2009-01-01 Apple Inc. Bluetooth device as security access key
US20090177892A1 (en) 2008-01-09 2009-07-09 Microsoft Corporation Proximity authentication
EP2689372B1 (en) * 2011-03-25 2019-11-27 Thales Dis France SA User to user delegation service in a federated identity management environment
WO2012140477A1 (en) * 2011-04-15 2012-10-18 Nokia Corporation Method and apparatus for providing secret delegation
US20140380443A1 (en) * 2013-06-24 2014-12-25 Cambridge Silicon Radio Limited Network connection in a wireless communication device
US9705869B2 (en) * 2013-06-27 2017-07-11 Intel Corporation Continuous multi-factor authentication
US9053310B2 (en) * 2013-08-08 2015-06-09 Duo Security, Inc. System and method for verifying status of an authentication device through a biometric profile

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088450A (en) * 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US20050081044A1 (en) * 2003-10-14 2005-04-14 Ibm Corporation Method and apparatus for pervasive authentication domains
US20050221798A1 (en) * 2004-03-30 2005-10-06 Intel Corporation Method and apparatus for providing proximity based authentication, security, and notification in a wireless system
CN104081714A (zh) * 2012-01-25 2014-10-01 思科技术公司 网络调解多装置共享认证
TW201433133A (zh) * 2013-02-04 2014-08-16 Delta Networks Xiamen Ltd 認證與授權的方法及系統
US20140289824A1 (en) * 2013-03-21 2014-09-25 Nextbit Systems Inc. Sharing authentication profiles between a group of user devices

Also Published As

Publication number Publication date
US20160149881A1 (en) 2016-05-26
CN105635104A (zh) 2016-06-01
TW201627900A (zh) 2016-08-01
US9923896B2 (en) 2018-03-20
CN105635104B (zh) 2020-09-25

Similar Documents

Publication Publication Date Title
TWI629610B (zh) 經由持久經認證設備網路提供對受限資源的存取的方法和裝置
US11025618B2 (en) Mobile device access to a protected account associated with a website
US10742645B2 (en) Proximity detection for mobile device access to protected resources
US10742648B2 (en) Mobile device access to a protected machine
US11026085B2 (en) Authentication apparatus with a bluetooth interface
US10171241B2 (en) Step-up authentication for single sign-on
US10375119B2 (en) Dynamic multi-factor authentication challenge generation
US8701199B1 (en) Establishing a trusted session from a non-web client using adaptive authentication
KR101764197B1 (ko) 연속적인 다중 인자 인증
WO2016165536A1 (zh) 一种身份验证方法和设备
US20130212653A1 (en) Systems and methods for password-free authentication
US11237636B2 (en) System and method for network configuration and behavior control by proximity enabled devices
EP2395446A1 (en) Method for pairing a first device with a second device
US11934247B2 (en) Information processing apparatus and information processing method
KR20150050280A (ko) 지문 정보 및 인증번호를 이용한 인증 방법, 사용자 단말기 및 금융사 서버
KR101944696B1 (ko) 생체정보 기반의 자동 로그인 방법 및 이를 적용한 컴퓨터로 읽을 수 있는 저장매체
EP4055503B1 (en) Methods and devices for granting temporary remote access via biometric data
KR101719687B1 (ko) 스마트 기기와 그를 활용한 본인인증 시스템 및 방법
WO2016112792A1 (zh) 身份认证方法及装置
JP6451498B2 (ja) プログラム、情報処理端末、情報処理方法、及び情報処理システム
KR20150104667A (ko) 인증 방법
US11102085B2 (en) Service implementations via resource agreements
CN115622791A (zh) 账号管理方法及装置
JP2013235484A (ja) セッション管理システム、セッションid生成装置、セッション管理装置、セッションid生成方法、セッション管理方法、及びプログラム