CN105635104A - 经由持久经认证设备网络提供对受限资源的访问 - Google Patents

经由持久经认证设备网络提供对受限资源的访问 Download PDF

Info

Publication number
CN105635104A
CN105635104A CN201510824997.7A CN201510824997A CN105635104A CN 105635104 A CN105635104 A CN 105635104A CN 201510824997 A CN201510824997 A CN 201510824997A CN 105635104 A CN105635104 A CN 105635104A
Authority
CN
China
Prior art keywords
computing equipment
authenticated
user
device network
lasting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510824997.7A
Other languages
English (en)
Other versions
CN105635104B (zh
Inventor
M·M·伦根
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Lenovo Global Technologies International Ltd
Original Assignee
Lenovo Enterprise Solutions Singapore Pte Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lenovo Enterprise Solutions Singapore Pte Ltd filed Critical Lenovo Enterprise Solutions Singapore Pte Ltd
Publication of CN105635104A publication Critical patent/CN105635104A/zh
Application granted granted Critical
Publication of CN105635104B publication Critical patent/CN105635104B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules
    • H04W12/43Security arrangements using identity modules using shared identity modules, e.g. SIM sharing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请的各实施例涉及经由持久经认证设备网络提供对受限资源的访问。经由持久经认证设备网络提供对受限资源的访问包括:对用户进行认证;加入持久经认证设备网络;在预定时段的期满时,迭代地确定用户是否保持经认证;响应于确定用户保持经认证,确定持久经认证设备网络中的下游计算设备是否正尝试访问受限资源;以及响应于确定持久经认证设备网络中的下游计算设备正尝试访问受限资源,向下游计算设备提供用户认证信息。

Description

经由持久经认证设备网络提供对受限资源的访问
技术领域
本发明的领域是数据处理,或者更具体地,是用于经由持久经认证设备网络提供对受限资源的访问的方法、装置和产品。
背景技术
现代计算设备和包含在其中的资源经常旨在于仅由某些用户使用。这样,用户的身份可以经常通过用户提供用户名和口令来在授予对这样的资源的访问之前被认证。用户利用的口令的数目可能增加并且变得难以处理,因为用户经常无法容易地记住在不同环境中使用的全部口令,即使是正当地有权访问这样的资源的口令的所有者。对终端用户的负担一直增加并且正被使用的这一途径继续依赖于陈旧并且低效的架构。
发明内容
用于经由持久经认证设备网络提供对受限资源的访问的方法、装置和产品,包括:对用户进行认证;加入持久经认证设备网络;在预定时段的期满时,迭代地确定用户是否保持经认证;响应于确定用户保持经认证,确定持久经认证设备网络中的下游计算设备是否正尝试访问受限资源;以及响应于确定持久经认证设备网络中的下游计算设备正尝试访问受限资源,向下游计算设备提供用户认证信息。
通过对如在附图中图示的本发明的示例实施例的以下更多特别描述,本发明的前述和其他对象、特征和优点将变得明显,在附图中相似的参考号通常代表本发明的示例实施例的相似部分。
附图说明
图1阐明了根据本发明的实施例的、用于经由持久经认证设备网络提供对受限资源的访问的***的网络图。
图2阐明了根据本发明的实施例的、包括在经由持久经认证设备网络提供对受限资源的访问中有用的示例计算机的自动化计算机械的框图。
图3阐明了根据本发明的实施例的、图示了用于经由持久经认证设备网络提供对受限资源的访问的示例方法的流程图。
图4阐明了根据本发明的实施例的、图示了用于经由持久经认证设备网络提供对受限资源的访问的附加示例方法的流程图。
图5阐明了根据本发明的实施例的、图示了用于经由持久经认证设备网络提供对受限资源的访问的附加示例方法的流程图。
图6阐明了根据本发明的实施例的、图示了用于经由持久经认证设备网络提供对受限资源的访问的附加示例方法的流程图。
具体实施方式
根据本发明的、用于经由持久经认证设备网络提供对受限资源的访问的示例方法、装置和产品参考附图、从图1开始而被描述。图1阐明了根据本发明的实施例的、用于经由持久经认证设备网络(120)提供对受限资源的访问的***的网络图。
图1的***包括共同地形成持久经认证设备网络(120)的多个设备。持久经认证设备网络(120)代表可以出于共享用于访问受限资源的用户认证信息的目的、直接地或者间接地相互通信的设备的汇集。这样的受限资源可以例如体现为对其的访问受限的计算设备、对其的访问受限的特定文件、对其的访问受限的网页等。在这样的示例中,受限资源仅可以由经认证用户访问,经认证用户的身份通过对用户认证信息(比如用户名和口令、生物识别数据等)的使用而被确认。
图1中描绘的***包括智能电话(104)、工作站(106)、服务器(108)、膝上型计算机(112)、个人计算机(114)、平板计算机(116)、无线耳机(122)和远程存储(118)设备。在图1中描绘的示例中,设备中的许多设备连接到数据通信网络(110),从而使得每个设备可以经由数据通信网络(110)相互通信。然而,读者将领会到,设备中的该许多设备也可以被配置用于在不使用数据通信网络(110)的情况下相互通信。例如,设备中的许多设备可以被配置用于使用近场通信技术、蓝牙技术、在设备中的两个或者更多个设备之间铺设的布线等来通信。
图1中描绘的示例包括智能电话(104)的用户(102)。智能电话(104)的用户(102)可以例如通过在由智能电话(104)提供的小键盘上键入用户名和口令、通过在包括在智能电话(104)中或者以其他方式附接到智能电话(104)的指纹扫描仪上按压手指、通过使用包括在智能电话(104)中或者以其他方式附接到智能电话(104)的扫描仪来执行视网膜扫描、通过生物识别传感器(124)检测来自用户(102)的生物识别数据等来向智能电话(104)提供用户认证信息。如以下将更加详细地描述的,当智能电话(104)的用户(102)尝试经由持久经认证设备网络(120)中的其他设备中的任何其他设备访问受限资源时,智能电话(104)可以向持久经认证设备网络(120)中的其他设备传输用来访问受限资源的信息,从而使得用户(102)可以使用持久经认证设备网络(120)中的这些其他设备访问受限资源,而无需向持久经认证设备网络(120)中的这些其他设备提供这样的用户认证信息(例如,口令,视网膜扫描等)。以这样的方式,智能电话(104)可以充当用户的代理(surrogate),因为是智能电话(104)而不是用户将向持久经认证设备网络(120)中的这些其他设备提供认证信息。读者将领会到,尽管图1的智能电话(104)充当了代理设备,但是在图1中描绘的其他设备中的任何其他设备都可以充当代理设备。例如,如果用户(104)也已向平板计算机(116)中录入了用户名和口令,则平板计算机(116)可以向持久经认证设备网络(120)中的另一设备提供这样的用户名和口令,只要用户自录入该用户名和口令器保持连续地经认证,如以下更加详细地描述的。
组成图1中所图示的示例***的服务器和其他设备的布置是出于说明而非出于限制。根据本发明的各种实施例有用的数据处理***可以包括如本领域技术人员将想到的、图1中未示出的附加服务器、路由器、其他设备和对等架构。这样的数据处理***中的网络可以支持任何数据通信协议,包括例如TCP(传输控制协议)、IP(网际协议)、HTTP(超文本传输协议)、WAP(无线访问协议)、HDTP(手持设备传输协议)以及本领域技术人员将想到的其他协议。本发明的各种实施例可以被实施在除了图1中所图示的硬件平台之外的各种硬件平台上。
根据本发明的、经由持久经认证设备网络提供对受限资源的访问通常利用计算机实施,也就是说,利用自动化计算机械实施。在图1的***中,例如,智能电话(104)、工作站(106)、服务器(108)、膝上型计算机(112)、个人计算机(114)、平板计算机(116)、和远程存储(118)设备至少在某种程度上被实施为计算机。出于进一步的说明,图2因此阐明了根据本发明的实施例的、包括在经由持久经认证设备网络提供对受限资源的访问中有用的示例计算机(152)的自动化计算机械的框图。图2的计算机(152)包括至少一个计算机处理器(156)(或者“CPU”)以及通过高速存储器总线(166)和总线适配器(158)连接到处理器(156)和计算机(152)的其他部件的随机访问存储器(168)(“RAM”)。
在RAM(168)中存储的是认证信息分发模块(126),其为根据本发明的实施例的、用于经由持久经认证设备网络提供对受限资源的访问的计算机程序指令的模块。认证信息分发模块(126)可以被配置用于通过以下步骤来经由持久经认证设备网络提供对受限资源的访问:对用户进行认证;加入持久经认证设备网络;在预定时段的期满时,迭代地确定用户是否保持经认证;响应于确定用户保持经认证,确定持久经认证设备网络中的下游计算设备是否正尝试访问受限资源;以及响应于确定持久经认证设备网络中的下游计算设备正尝试访问受限资源,向下游计算设备提供用户认证信息。
也在RAM(168)中存储的是操作***(154)。根据本发明的实施例的、在经由持久经认证设备网络提供对受限资源的访问中有用的操作***包括UNIXTX、LinuxTM、MicrosoftXPTM、AIXTM、IBM的i5/OSTM以及本领域技术人员将想到的其他操作***。图2的示例中的操作***(154)和认证信息分发模块(126)被示出在RAM(168)中,但是这样的软件的许多组成部分通常也被存储在非易失性存储器中,比如例如盘驱动(170)上。
图2的计算机(152)包括通过扩展总线(160)和总线适配器(158)耦合到处理器(156)和计算机(152)的其他部件的盘驱动适配器(172)。盘驱动适配器(172)以盘驱动(170)的形式将非易失性数据存储装置连接到计算机(152)。根据本发明的实施例的、在经由持久经认证设备网络提供对受限资源的访问中有用的盘驱动适配器包括集成驱动电子设备(“IDE”)适配器、小型计算机***接口(“SCSI”)适配器以及本领域技术人员将想到的其他适配器。非易失性计算机存储器也可以被实施用于光盘驱动、电可擦除可编程只读存储器(所谓的“EEPROM”或者“快闪”驱动器)、RAM驱动等,如本领域技术人员将想到的。
图2的示例计算机(152)包括一个或者多个输入/输出(“I/O”)适配器(178)。I/O适配器通过例如用于控制对比如计算机显示屏之类的显示设备的输出以及来自比如键盘和鼠标之类的用户输入设备(181)的输入的软件驱动器和计算机硬件来实现面向用户的输入/输出。图2的示例计算机(152)包括视频适配器(209),其为被具体设计用于对比如显示屏或者计算机监视器之类的显示设备(180)的图形输出的I/O适配器的示例。视频适配器(209)通过高速视频总线(164)、总线适配器(158)以及也是高速总线的前端总线(162)连接到处理器(156)。
图2的示例计算机(152)包括用于与其他计算机(182)的数据通信以及用于与数据通信网络(100)的数据通信的通信适配器(167)。这样的数据通信可以通过比如通用串行总线(“USB”)之类的外部总线、通过比如IP数据通信网络之类的数据通信总线以及按照本领域技术人员将想到的其他方式被执行。通信适配器通过哪一个计算机向另一计算机发送数据通信、直接地或者通过数据通信网络来实现数据通信的硬件级别。根据本发明的实施例的、在经由持久经认证设备网络提供对受限资源的访问中有用的通信适配器的示例包括用于有线拨号通信的调制解调器、用于有线数据通信网络通信的以太网(IEEE802.3)适配器以及用于无线数据通信网络通信的802.11适配器。
出于进一步的说明,图3阐明了根据本发明的实施例的、图示了用于经由持久经认证设备网络提供对受限资源的访问的示例方法的流程图。持久经认证设备网络代表可以出于共享用于访问受限资源的用户认证信息的目的、直接地或者间接地相互通信的设备的汇集。这样的受限资源可以例如体现为对其的访问受限的计算设备、对其的访问受限的特定文件、对其的访问受限的网页等。在这样的示例中,受限资源仅可以由经认证用户访问,经认证用户的身份通过对用户认证信息(比如用户名和口令、生物识别数据等)的使用而被确认。
图3中描绘的示例方法由在比如图3中描绘的计算设备(302)之类的第一计算设备上执行的计算机程序网络执行。虽然在图3中未被图示,但是计算设备(302)可以包括用于存储计算机程序指令的计算机存储器和用于执行计算机程序指令的计算机处理器。计算设备(302)可以例如被体现为智能电话、平板计算机、比如智能手表之类的可穿戴计算设备以及许多其他形状。这样的计算设备(302)可以包括用来接收用来标识计算设备(302)的用户(304)的信息的输入设备,比如例如用于接收用户名和口令的小键盘、用于检测用户(304)的指纹的指纹扫描仪、用于扫描用户(304)的视网膜的视网膜扫描仪等。计算设备(302)还可以包括用于与另一计算设备或者数据通信网络通信的计算机硬件。这样的数据通信硬件可以包括例如被配置用于与数据通信网络的无线分组化通信的无线适配器、用于与移动通信网络(例如,LTE网络、4G网络)通信的移动通信适配器、用于近场通信的RFID转发器(transponder)、用于通过短距离交换数据的蓝牙适配器等。
图3中描绘的示例方法包括对计算设备(302)的用户(306)进行认证(304)。对计算设备(302)的用户(306)进行认证(304)可以例如通过从用户(306)接收比如用户名和口令之类的输入、通过从用户(306)接收比如用户的指纹或者用户的视网膜扫描之类的生物识别数据或者通过接收用来对用户(306)的身份进行验证的一些其他形式的信息被执行。一些信息可以随后与之前收集的信息进行比较以对用户(306)的身份进行认证。例如,从用户(306)接收的用户名和口令可以与之前捕获的用户名和口令进行比较、接收的生物识别数据可以与之前捕获的生物识别数据进行比较等。在这样的示例中,如果从用户接收的信息在预定容差内与之前收集的信息匹配,则用户(306)可以被认证(304)。
图3中描绘的示例方法还包括加入(308)持久经认证设备网络。在图3中描绘的示例方法中,持久经认证设备网络代表可以相互共享用户认证信息的计算设备的汇集。图3的计算设备(302)可以通过加入现有持久经认证设备网络或者创建持久经认证设备网络(其中计算设备(302)是这样的网络的第一个成员)来加入(308)持久经认证设备网络。
图3中描绘的示例方法还包括确定(310)用户(306)是否保持经认证。计算设备(302)的用户(306)可以例如通过简单地保持在计算设备(302)的第一距离内来保持经认证。这样,确定(310)用户(306)是否保持经认证可以例如通过使用用来确认用户的存在的一个或者多个传感器而被执行。这样的传感器可以例如被体现为被配置用于检查用户的脉搏的存在、从而使得脉搏的缺乏指示用户(306)不再在计算设备(302)的第一距离内的生物识别传感器。备选地,这样的传感器可以被体现为被配置用于检查用户的体热的存在、从而使得检测到的温度降至预定阈值以下指示用户(306)不再在计算设备(302)的第一距离内的热传感器。读者将领会到,用户(306)对计算设备(302)的接近可以按照利用各种技术的各种方式被确定。
除了通过确定用户(306)是否在计算设备(302)的第一距离内来确定(310)用户(306)是否保持经认证之外,在备选实施例中,确定(310)用户(306)是否保持经认证可以通过定期提示用户提供用来证实用户的身份的信息而被执行。这样的信息可以包括口令、生物识别数据等。类似地,对计算设备(302)的连续使用可以用来确定(310)用户(306)是否保持经认证,因为对设备的连续使用可以是最初提供了认证信息的用户仍正在使用计算设备(302)的证据。
在图3中描绘的示例方法中,确定(310)用户(306)是否保持经认证在预定时段的期满时被迭代地执行。预定时段可以足够小(例如,1秒)以使得实际上计算设备(302)不断地确定(310)用户(306)是否保持经认证。事实上,计算设备(302)可以被配置以使得执行确定(310)用户(306)是否保持经认证的过程的计算机程序指令可以在无线循环中,从而使得每当计算设备(302)已经肯定地确定用户(306)保持经认证时,计算设备(302)立即开始重新执行确定(310)用户(306)是否保持经认证的过程。同样地,用来确定(310)用户(306)是否保持经认证的传感器(例如,被配置用于检测用户的脉搏的生物识别传感器)可以被连续地加电并且连续地监视用户的存在。
在图3中描绘的示例方法中,如果计算设备(302)确定用户(306)并非(318)经认证,则计算设备(302)可以从持久经认证设备网络移除其自身并且重新发起对计算设备(302)的用户(306)进行认证(304)的过程。然而,如果计算设备(302)肯定地(316)确定用户(306)保持经认证,则计算设备(302)可以确定(312)预定时段是否期满,并且如果肯定地(314)确定预定时段已经期满,则计算设备(302)可以重新发起确定(310)用户(306)是否保持经认证的过程。在对肯定地(316)确定用户(306)保持经认证的进一步的响应中,计算设备(302)也可以确定(320)持久经认证设备网络中的下游计算设备(324)是否正尝试访问受限资源(322)。读者将领会到,计算设备(302)可以确定(312)预定时段是否期满并且还例如通过使用在计算设备(302)上执行的、用于执行每个功能的多个线程来确定(320)持久经认证设备网络中的下游计算设备(324)是否正尝试访问受限资源(322)。
图3的受限资源(322)可以例如被体现为对其的访问受限的计算设备、对其的访问受限的特定文件、对其的访问受限的网页等。在这样的示例中,受限资源(322)仅可以由经认证用户访问,经认证用户的身份通过对用户认证信息(比如用户名和口令、生物识别数据等)的使用而被确认。
图3的下游计算设备(324)代表作为持久经认证设备网络的部分的设备。持久经认证设备网络中的下游计算设备(324)可以被体现为例如台式计算机、膝上型计算机、平板计算机等。这样的设备从以下意义上来讲是“下游的”:用户认证信息被提供给计算设备(302)并且被从计算设备(302)向下传给下游计算设备(324),从而使得用户(302)可以经由下游计算设备(324)访问受限资源(322)而无需录入或者提供已经被提供给计算设备(302)的认证信息。
在图3中描绘的示例方法中,确定(320)持久经认证设备网络中的下游计算设备(324)是否正尝试访问受限资源(322)可以例如通过计算设备(302)从下游计算设备(324)接受包括用于下游计算设备(324)正尝试访问的受限资源(322)的标识符、下游计算设备(324)的标识符以及可能必需的其他信息而被执行。下游计算设备(324)可以例如使用近场通信适配器或者蓝牙适配器来广播这样的消息,从而使得仅在下游计算设备(324)的第一距离内的那些设备可以接收消息。以这样的方式,计算设备(302)可以仅从计算设备(302)的第一距离内的其他设备接收标识其他设备正尝试访问的受限资源(322)的消息。
图3中描绘的示例方法还包括向下游计算设备(324)提供(326)用户认证信息(328)。计算设备(302)可以例如通过向下游计算设备(324)发送包括用户认证信息、用于受限资源(322)的标识符以及可能必需的其他信息来向下游计算设备(324)提供(326)用户认证信息(328)。在图3中描绘的示例方法中,用户认证信息(328)仅响应于肯定地(328)确定(320)在持久经认证设备网络中的下游计算设备(324)正尝试访问受限资源(322)而被提供(326)给下游计算设备(324)。
出于进一步的说明,图4阐明了根据本发明的实施例的、图示了用于经由持久经认证设备网络提供对受限资源的访问的另外的示例方法的流程图。图4中描绘的示例方法类似于图3中描绘的示例方法,因为图4中描绘的示例方法也包括计算设备(302)执行对计算设备(302)的用户(306)进行认证(304)、加入(308)持久经认证设备网络、确定(310)用户(306)是否保持经认证、确定(320)持久经认证设备网络中的下游计算设备(324)是否正尝试访问受限资源(322)以及向下游计算设备(324)提供(326)用户认证信息(328)的步骤。
图4中描绘的示例方法还包括:响应于确定用户(306)并未(318)保持经认证,离开(402)持久经认证设备网络。在图4中描绘的示例方法中,通过离开持久经认证设备网络,计算设备(302)将不再与持久经认证设备网络中的其他设备共享用户认证信息(328),因为计算设备(302)不再是持久经认证设备网络的部分。以这样的方式,要求计算设备(302)的用户(306)持续地被计算设备(302)认证以便计算设备(302)与其他设备共享用户认证信息(328)的政策被强制实施——因为计算设备(302)将仅在计算设备(302)和其他设备是同一持久经认证设备网络的部分时与这些其他设备共享用户认证信息(328)。
在图4中描绘的示例方法中,确定(310)用户(306)是否保持经认证可以包括确定(404)用户(306)是否在第一计算设备(302)的第一距离内。响应于肯定地确定用户(306)在第一计算设备(302)的第一距离内,用户(306)保持经认证并且用户(306)因此仍然是持久经认证设备网络的成员。然而,如果用户(306)并不在第一计算设备(302)的第一距离内,则用户(306)停止保持经认证并且因此离开(402)持久经认证设备网络。
在图4中描绘的示例方法中,第一距离可以被体现为例如根据英寸、英尺、米等而被计算的物理距离。备选地,第一距离可以被体现为特定传感器的检测范围,从而使得如果传感器可以检测到用户的存在,则用户被视为在计算设备(302)的第一距离内。这样,确定(404)用户(306)是否在计算设备(302)的第一距离内可以通过使用被包括在计算设备(302)中或者通信地附接到计算设备(302)的一个或者多个传感器而被执行。这样的传感器可以包括例如被设计用于检测用于用户(306)的脉搏的生物识别传感器、被设计用于检测来自接近的用户的体热的温度传感器等。例如,如果脉搏检测传感器检测到用于用户(306)的脉搏,则用户(306)被确定为在计算设备(302)的第一距离内。同样地,如果温度传感器检测到用户(306)的温度在预定阈值之上,则用户(306)被确定为在计算设备(302)的第一距离内。
出于进一步的说明,图5阐明了根据本发明的实施例的、图示了用于经由持久经认证设备网络提供对受限资源的访问的另外的示例方法的流程图。图5中描绘的示例方法类似于图3中描绘的示例方法,因为图5中描绘的示例方法也包括计算设备(302)执行对计算设备(302)的用户(306)进行认证(304)、加入(308)持久经认证设备网络、确定(310)用户(306)是否保持经认证、确定(320)持久经认证设备网络中的下游计算设备(324)是否正尝试访问受限资源(322)以及向下游计算设备(324)提供(326)用户认证信息(328)的步骤。
图5中描绘的示例方法还包括与受限资源(322)建立(504)连接。在图5中描绘的示例方法中,与受限资源(322)建立(504)连接可以例如通过计算设备(302)通过数据通信连接向受限资源(322)传递比如用户名和口令之类的用户认证信息(328)而被执行。备选地,与受限资源(322)建立(504)连接可以通过计算设备(302)通过数据通信连接向受限资源(322)传递指示计算设备(302)以及对用户进行了认证的信息、从而使得是计算设备(302)而不是受限资源(322)进行关于用户(306)是否应当被授予对受限资源(322)的访问的确定而被执行。一旦已经在计算设备(302)和受限资源(322)之间建立了连接,计算设备(302)就自由地访问和使用受限资源(322)。
图5中描绘的示例方法还包括从受限资源(322)接收(506)连接信息(502)。在图5中描绘的示例方法中,这样的连接信息(502)可以包括描述在计算设备(302)与受限资源(322)之间的连接的信息。这样的连接信息(322)可以包括例如会话标识符、用来访问受限资源(322)的连接令牌、用来访问受限资源(322)的端口号等。
在图5中描绘的示例方法中,向下游计算设备(324)提供(326)用户认证信息(328)还可以包括向下游设备(324)提供(508)连接信息(502)。凭借拥有连接信息(502),下游设备(324)可以通过简单地利用已经由计算设备(302)建立的连接、而不是通过向受限资源(322)提供用户认证信息(328)来建立新的连接来访问受限资源(322)。
出于进一步的说明,图6阐明了根据本发明的实施例的、图示了用于经由持久经认证设备网络提供对受限资源的访问的另外的示例方法的流程图。图6中描绘的示例方法类似于图3中描绘的示例方法,因为图6中描绘的示例方法也包括计算设备(302)执行对计算设备(302)的用户(306)进行认证(304)、加入(308)持久经认证设备网络、确定(310)用户(306)是否保持经认证、确定(320)持久经认证设备网络中的下游计算设备(324)是否正尝试访问受限资源(322)以及向下游计算设备(324)提供(326)用户认证信息(328)的步骤。
在图6中描绘的示例方法中,加入(308)持久经认证设备网络可以包括创建(602)持久经认证设备网络。在图6中描绘的示例方法中,创建(602)持久经认证设备网络可以通过计算设备(302)进入预定模式而被执行,在该预定模式中,来自其他计算设备(324)的对于用户认证信息(328)的请求可以被计算设备(302)提供服务,只要计算设备(302)和这些其他计算设备(324)相互在第一距离内。备选地,创建(602)持久经认证设备网络可以通过计算设备(302)向集中式网络集线器发送指示计算设备(302)已经进入了如下预定模式的消息而被执行,在该预定模式中,来自其他计算设备(324)的对于用户认证信息(328)的请求可以被计算设备(302)提供服务,只要计算设备(302)和这些其他计算设备(324)相互在第一距离内。
在图6中描绘的示例方法中,在预定时段的期满时确定(310)用户(306)是否保持经认证可以包括连续地(604)确定用户(306)是否保持经认证。连续地(604)确定用户(306)是否保持经认证可以例如通过使比如脉搏监视器之类的生物识别传感器不断地被加电、通过按照循环模式执行认证过程以使得在完成认证过程时认证过程再次开始等而被执行。
本发明可以是***和/或方法。
在此参考根据实施例的方法和装置(***)的流程图图示和/或框图而描述了本发明的各方面。
附图中的流程图和框图图示了根据各种实施例的***、方法的可能的实现方式的架构、功能和操作。在一些备选实现方式中,在框中标注的功能可以按照附图中标注的顺序发生。例如,被接连示出的两个框事实上可以基本上同时被执行,或者框有时可以按照相反顺序被执行,这取决于所涉及的功能。将注意到,框图和/或流程图图示中的每个框以及框图和/或流程图图示中的框的组合可以由执行指定的功能或者动作或者执行专用硬件的组合的基于专用硬件的***实施。
根据前述描述将理解到,可以在本发明的各种实施例中进行修改和改变而不脱离其真实精神。本说明书的描述仅出于例示的目的而并不将被解释为限制的意义。本发明的范围仅由随后的权利要求的语言限制。

Claims (12)

1.一种方法,包括:
第一计算设备对用户进行认证;
所述第一计算设备加入持久经认证设备网络;
所述第一计算设备在预定时段的期满时,迭代地确定所述用户是否保持经认证;
所述第一计算设备响应于确定所述用户保持经认证,确定所述持久经认证设备网络中的下游计算设备是否正尝试访问受限资源;以及
所述第一计算设备响应于确定所述持久经认证设备网络中的所述下游计算设备正尝试访问受限资源,向所述下游计算设备提供用户认证信息。
2.根据权利要求1所述的方法,其中所述第一计算设备确定所述用户是否保持经认证还包括:所述第一计算设备确定所述用户是否在所述第一计算设备的第一距离内。
3.根据权利要求1所述的方法,还包括:
所述第一计算设备响应于确定所述用户未保持经认证,离开所述持久经认证设备网络。
4.根据权利要求1所述的方法,还包括:
所述第一计算设备与所述受限资源建立连接;
所述第一计算设备从所述受限资源接收连接信息;以及
其中所述第一计算设备向所述下游计算设备提供用户认证信息还包括:所述第一计算设备向所述下游设备提供所述连接信息。
5.根据权利要求1所述的方法,其中所述第一计算设备在预定时段的期满时,迭代地确定所述用户是否保持经认证还包括:所述第一计算设备连续地确定用户是否保持经认证。
6.根据权利要求1所述的方法,其中所述第一计算设备加入持久经认证设备网络还包括:所述第一计算设备创建所述持久经认证设备网络。
7.一种装置,被配置用于:
对用户进行认证;
加入持久经认证设备网络;
在预定时段的期满时,迭代地确定所述用户是否保持经认证;
响应于确定所述用户保持经认证,确定所述持久经认证设备网络中的下游计算设备是否正尝试访问受限资源;以及
响应于确定所述持久经认证设备网络中的所述下游计算设备正尝试访问受限资源,向所述下游计算设备提供用户认证信息。
8.根据权利要求7所述的装置,其中被配置用于确定所述用户是否保持经认证还包括:被配置用于确定所述用户是否在第一计算设备的第一距离内。
9.根据权利要求7所述的装置,还被配置用于:确定所述用户未保持经认证,离开所述持久经认证设备网络。
10.根据权利要求7所述的装置,还被配置用于:
与所述受限资源建立连接;
从所述受限资源接收连接信息;以及
其中向所述下游计算设备提供用户认证信息还包括:向所述下游设备提供所述连接信息。
11.根据权利要求7所述的装置,其中被配置用于在预定时段的期满时,迭代地确定所述用户是否保持经认证还包括:被配置用于连续地确定用户是否保持经认证。
12.根据权利要求7所述的装置,其中被配置用于加入持久经认证设备网络还包括:被配置用于创建所述持久经认证设备网络。
CN201510824997.7A 2014-11-24 2015-11-24 经由持久经认证设备网络提供对受限资源的访问 Active CN105635104B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/552,090 US9923896B2 (en) 2014-11-24 2014-11-24 Providing access to a restricted resource via a persistent authenticated device network
US14/552,090 2014-11-24

Publications (2)

Publication Number Publication Date
CN105635104A true CN105635104A (zh) 2016-06-01
CN105635104B CN105635104B (zh) 2020-09-25

Family

ID=56011381

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510824997.7A Active CN105635104B (zh) 2014-11-24 2015-11-24 经由持久经认证设备网络提供对受限资源的访问

Country Status (3)

Country Link
US (1) US9923896B2 (zh)
CN (1) CN105635104B (zh)
TW (1) TWI629610B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10013540B2 (en) * 2015-03-10 2018-07-03 Lenovo (Singapore) Pte. Ltd. Authentication based on body movement
DE102015208510A1 (de) * 2015-05-07 2016-11-10 Robert Bosch Gmbh Verfahren zum Ausführen einer sicherheitskritischen Funktion einer Recheneinheit in einem cyber-physischen System
CN106647292A (zh) * 2015-10-30 2017-05-10 霍尼韦尔国际公司 用于智能家居***的可穿戴手势控制设备和方法
US10715518B2 (en) 2015-12-08 2020-07-14 Lenovo (Singapore) Pte. Ltd. Determination of device with which to establish communication based on biometric input
US9882918B1 (en) * 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US11290459B2 (en) * 2018-05-15 2022-03-29 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Granting guest devices access to a network using out-of-band authorization
US11811783B1 (en) * 2021-06-24 2023-11-07 Amazon Technologies, Inc. Portable entitlement

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050221798A1 (en) * 2004-03-30 2005-10-06 Intel Corporation Method and apparatus for providing proximity based authentication, security, and notification in a wireless system
US20140289824A1 (en) * 2013-03-21 2014-09-25 Nextbit Systems Inc. Sharing authentication profiles between a group of user devices

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088450A (en) * 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US6247026B1 (en) * 1996-10-11 2001-06-12 Sun Microsystems, Inc. Method, apparatus, and product for leasing of delegation certificates in a distributed system
GB0210692D0 (en) 2002-05-10 2002-06-19 Assendon Ltd Smart card token for remote authentication
US7697920B1 (en) 2006-05-05 2010-04-13 Boojum Mobile System and method for providing authentication and authorization utilizing a personal wireless communication device
US7487537B2 (en) * 2003-10-14 2009-02-03 International Business Machines Corporation Method and apparatus for pervasive authentication domains
US8553885B2 (en) 2005-01-27 2013-10-08 Blackberry Limited Wireless personal area network having authentication and associated methods
US7802297B2 (en) 2005-02-07 2010-09-21 Broadcom Corporation Keyboard with built in display for user authentication
US7953670B2 (en) 2006-12-27 2011-05-31 Colella Brian A Biometrically secured identification authentication and card reader device
US20090006846A1 (en) 2007-06-27 2009-01-01 Apple Inc. Bluetooth device as security access key
US20090177892A1 (en) 2008-01-09 2009-07-09 Microsoft Corporation Proximity authentication
WO2012130782A1 (en) * 2011-03-25 2012-10-04 Gemalto Sa User to user delegation service in a federated identity management environment
CN103477602B (zh) * 2011-04-15 2018-05-18 诺基亚技术有限公司 用于提供秘密委托的方法和设备
US9172546B2 (en) * 2012-01-25 2015-10-27 Cisco Technology, Inc. Network mediated multi-device shared authentication
TWI499269B (zh) * 2013-02-04 2015-09-01 Delta Networks Xiamen Ltd 認證與授權的方法及系統
US20140380443A1 (en) * 2013-06-24 2014-12-25 Cambridge Silicon Radio Limited Network connection in a wireless communication device
CN108111545B (zh) * 2013-06-27 2021-02-02 英特尔公司 连续多因素认证
US9053310B2 (en) * 2013-08-08 2015-06-09 Duo Security, Inc. System and method for verifying status of an authentication device through a biometric profile

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050221798A1 (en) * 2004-03-30 2005-10-06 Intel Corporation Method and apparatus for providing proximity based authentication, security, and notification in a wireless system
US20140289824A1 (en) * 2013-03-21 2014-09-25 Nextbit Systems Inc. Sharing authentication profiles between a group of user devices

Also Published As

Publication number Publication date
TWI629610B (zh) 2018-07-11
CN105635104B (zh) 2020-09-25
TW201627900A (zh) 2016-08-01
US9923896B2 (en) 2018-03-20
US20160149881A1 (en) 2016-05-26

Similar Documents

Publication Publication Date Title
CN105635104A (zh) 经由持久经认证设备网络提供对受限资源的访问
US10009327B2 (en) Technologies for secure storage and use of biometric authentication information
CN108920366B (zh) 一种子应用调试方法、装置及***
CN100583114C (zh) 用于远程安全启用的***和方法
US11237636B2 (en) System and method for network configuration and behavior control by proximity enabled devices
JP2007310512A (ja) 通信システム、サービス提供サーバおよびユーザ認証サーバ
US9686819B2 (en) Methods, devices and systems for router access control
CN105827406A (zh) 一种身份验证方法、装置和***
CN111049946A (zh) 一种Portal认证方法、***及电子设备和存储介质
CN113259429B (zh) 会话保持管控方法、装置、计算机设备及介质
US11934247B2 (en) Information processing apparatus and information processing method
CN108282768A (zh) 蓝牙设备分享控制和请求方法及电子设备
US20220070166A1 (en) Enhanced authentication techniques using virtual persona
CN111586074B (zh) 一种通信方法、服务器、物联网***及可读存储介质
CN111859320A (zh) 跨***免登陆方法、装置、设备及可读存储介质
CN104346161A (zh) 一种信息处理的方法及电子设备
US11184765B2 (en) Method for authenticating a user and corresponding user device, server and system
CN109450887B (zh) 数据传输方法、装置及***
EP2575316A1 (en) Controlled access
CN110048864B (zh) 对特定于设备的消息群组的管理员进行验证的方法和装置
KR101329788B1 (ko) 모바일 환경에서의 서버 기반 싱글 사인온 방법
KR101984838B1 (ko) 휴대용 단말을 이용한 클라이언트 단말의 보안 관리 방법 및 시스템
CN113162920B (zh) 网络权限控制方法、装置、设备、存储介质和程序产品
CN106161371B (zh) 一种找回帐号信息的方法、装置和***
CN115622791A (zh) 账号管理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210902

Address after: 23 / F, Lincoln building, 979 King's road, Quarry Bay, Hong Kong, China

Patentee after: Lenovo Global Technology International Co.,Ltd.

Address before: Singapore City

Patentee before: Lenovo Enterprise Solutions (Singapore) Pte. Ltd.

TR01 Transfer of patent right