CN108781163A - 用于无密码计算机登录的服务辅助移动配对的***和方法 - Google Patents
用于无密码计算机登录的服务辅助移动配对的***和方法 Download PDFInfo
- Publication number
- CN108781163A CN108781163A CN201780010317.5A CN201780010317A CN108781163A CN 108781163 A CN108781163 A CN 108781163A CN 201780010317 A CN201780010317 A CN 201780010317A CN 108781163 A CN108781163 A CN 108781163A
- Authority
- CN
- China
- Prior art keywords
- pairing
- computer
- computing device
- key
- mobile
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C5/00—Ciphering apparatus or methods not provided for in the preceding groups, e.g. involving the concealment or deformation of graphic data such as designs, written or printed messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/062—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/77—Graphical identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了用于使用网络服务将移动设备与计算机配对以进行无密码登录的***和方法。所述方法可以包括从计算设备向网络服务器发送配对请求,其中所述配对请求包括计算机认证数据和计算机公共密钥。所述网络服务器可以将所述移动设备与所述计算设备配对;其中,所述计算设备可以生成配对秘密密钥和相关联的QR图像,所述用户被提示使用所述移动设备扫描所述图像。所述移动设备内的配对代理可以验证所述计算机认证数据并从中解析所述计算机公共密钥。在一些实施方案中,PIN可以由所述计算机显示并且由所述用户输入到所述移动设备中,或者在彼此靠近时在所述计算机和所述移动设备之间静默地交换以用于相互认证数据验证。所述方法还可包括在用于企业部署或最终用户自助服务管理的所述网络服务器处注册所述用户移动设备和计算机设备以用于行政管理。
Description
背景技术
鉴于各种关于密码和用户权限方面的计算机网络要求的增加,使用密码和用户名对计算设备上的用户进行认证通常对大多数人造成了一定程度的困难。例如,用户可以在各种不同的计算设备上拥有各种账户,所有账户都有不同的用户名和密码,这些用户名和密码需要字母数字和特殊字符的组合。具体地讲,每个账户可能需要密码具有特定数量的字符,包括数字、字母和特殊字符。所有这些密码和用户名都要求用户记住和回想太多的数据。此外,当机器上存在具有按键跟踪功能的恶意代码时,在登录尝试期间使用密码可能存在安全问题。有些用户可能会受到引诱而下载该恶意代码,这使得基于密码的认证容易受到黑客攻击。此外,通过伪造营销链接诱骗用户泄露用户名和密码的电子邮件网络钓鱼企图也可能将用户的密码和用户名泄露给黑客。
作为针对基于密码的认证的解决办法,与计算机中用户相关联的移动个人设备的近端检测功能可以使得无密码登录功能更安全。具体地讲,考虑到用户在尝试登录到计算机期间很可能携带有移动设备,因此与计算机相关联的移动设备可以用作自然认证器。也就是说,一些计算环境可以使用近端检测功能以在用户登录期间将移动设备与同一用户的计算设备配对。已有促进无密码计算机登录的尝试,其中用户能够使用用户注册的移动设备(诸如电话或可穿戴设备)中的批准点击来批准登录尝试。但是,此类解决方案通常通过使用低功耗蓝牙(BLE)来利用移动设备的近端检测。也就是说,一些计算环境可以与使用BLE协议的移动设备配对。但是,在许多计算环境中,不存在BLE功能。因此,当前面临的一个挑战是支持所有计算设备和环境,例如具有混合类型的计算机模型的部署,其不具备BLE检测功能。例如,具有版本7的机器(其不具有BLE检测)目前是常用环境。一些供应商提供BLE加密狗供用户安装以解决该问题。然而,BLE加密狗使得无密码登录变得更加繁琐,因为这只是时间和计算资源的又一次浪费。正是在这种情况下,以下实施方案应运而生。
发明内容
提供了用于使用网络服务将移动设备与计算设备安全配对以进行无密码登录的***和方法的实施方案。应当理解,本实施方案可以以多种方式实现,诸如过程、装置、***、设备或方法。下面描述了几个发明实施方案。
在一些实施方案中,提供了用于数据通信的***和方法。该方法可以包括从计算设备向网络服务器发送配对请求,其中配对请求包括计算机认证数据和计算机公共密钥。该方法还可以包括响应于配对请求,使用网络服务器将移动设备与计算设备配对。例如,在设备配对期间,计算设备可以生成配对秘密密钥和相关联的QR图像,用户被提示使用移动设备扫描该图像。移动设备内的配对代理可以读取计算机认证数据并从中解析计算机公共密钥。配对代理还可以从扫描的QR图像中提取配对秘密密钥以验证配对请求,并且生成密码加密密钥以用于加密计算设备上的用户登录密码。该方法可以实现不对称加密,由此密码加密密钥可以存储在移动端,同时登录密码作为加密版本存储在计算机端。密码加密密钥通过计算机的公共密钥以加密形式发送到计算机端。计算机可以使用加密密钥在注册时加密登录密码或在登录时解密加密密码。
在一些实施方案中,提供了数据通信***。数据通信***可以包括计算设备,其可操作以从计算设备向网络服务器发送配对请求,其中配对请求包括计算机认证数据和计算机公共密钥。网络服务器可以包括耦接到处理器的存储器,处理器可操作以响应于配对请求将移动设备与计算设备配对。该移动设备可以包括第二处理器,该第二处理器可操作以基于计算机公共密钥对密码加密密钥进行加密,并将加密的密码加密密钥和移动认证数据传送给计算设备。计算设备还可以进一步操作以使用计算机公共密钥对加密的密码加密密钥进行解密。此外,计算设备可操作以使用密码加密密钥加密登录密码并存储该加密版本的登录密码;同时删除密码加密密钥。
在一些实施方案中,有形非暂态计算机可读介质具有指令,其中所述指令当由处理器执行时,使得处理器执行本文所述的数据通信方法。该方法可以包括从计算设备向网络服务器发送配对请求,其中配对请求包括计算机认证数据和计算机公共密钥。该方法还可以包括响应于配对请求,使用网络服务器将移动设备与计算设备配对。在移动设备处,该方法可以包括由移动设备基于计算机公共密钥对密码加密密钥进行加密。该密码加密密钥可以与移动认证数据一起传送到计算设备,其中计算设备认证该移动认证数据。该方法还可以包括:响应于验证的数据,使用计算机公共密钥对加密的密码加密密钥进行解密,并且利用密码加密密钥对登录密码进行加密。该加密的登录密码可以被存储,同时密码加密密钥被删除。
根据以下结合附图的具体实施方式,实施方案的其他方面和优点将变得显而易见,所述附图以举例的方式示出了所描述的实施方案的原理。
附图说明
通过参考以下结合附图的描述可完全理解所描述的实施方案及其优点。在不脱离所描述的实施方案的实质和范围的情况下,这些附图决不限制本领域技术人员可对所描述的实施方案进行的形式和细节上的任何更改。
图1是根据一些实施方案的使用网络服务将移动设备与计算机安全配对以进行无密码登录的数据通信***的透视图。
图2A-1和图2A-2是根据一些实施方案的使用网络服务将移动设备与计算机安全配对以进行无密码登录的数据通信***的示例性具体实施。
图2B是在一些实施方案中,在接收配对之后,用于图2A的移动设备的一个或多个移动设备的数据通信***移动端的示例性图形用户界面(GUI)图。
图2C是在一些实施方案中用于图2A的可穿戴移动设备中的一个或多个可穿戴移动设备的用于验证配对请求的数据通信***移动端的示例性GUI的另一图。
图3A示出了根据一些实施方案的用于无密码计算机登录的通信和/或操作体系架构。
图3B示出了根据一些实施方案的用于具有BLE流优化的无密码计算机登录的通信和/或操作架构。
图4是示出了根据一些实施方案的数据通信***的配对协议的框图。
图5是示出了根据一些实施方案的数据通信***的第二配对协议的框图。
图6A是根据一些实施方案的使用网络服务将移动设备与计算机安全配对以进行无密码登录的方法的流程图。
图6B是根据一些实施方案的用于通过网络服务使用无密码登录登录到计算机的方法660的流程图。
图7是示出了可实现本文所述的实施方案的示例性计算设备的示意图。
具体实施方式
以下实施方案描述了使用网络服务将移动设备与计算机安全配对以进行无密码登录的数据通信***和方法。对于本领域技术人员而言显而易见的是,缺少某些或全部这些具体细节也能实施该实施方案。在其他情况下,为了免去不必要地混淆实施方案,未详细描述众所周知的处理操作。
用于数据通信的***和方法可以包括从计算设备向网络服务器发送配对请求,其中配对请求包括计算机认证数据和计算机公共密钥。该方法还可以包括响应于配对请求,使用网络服务器将移动设备与计算设备配对。例如,在设备配对期间,计算设备可以生成配对秘密密钥和相关联的QR图像,用户被提示使用移动设备扫描该图像。移动设备内的配对代理可以读取计算机认证数据并从中解析计算机公共密钥。配对代理还可以从扫描的QR图像中提取配对秘密密钥以验证配对请求,并且生成密码加密密钥以用于加密计算设备上的用户登录密码。该方法可以实现不对称加密,由此登录密码(或密码加密密钥)可以存储在移动端,同时登录密码作为加密版本存储在计算机端。因此,由于只有计算机具有计算机公共密钥,因此只有计算机可以解密密码。
这种用于数据通信的***和方法包括通过配对的移动设备修改的计算机登录协议,其确保端到端安全性,使得云计算服务无法冒充任何客户端。此外,修改的计算机登录协议消除了对单独的企业托管的网关实用程序的需要,其中该实用程序用于在配对计算设备和移动设备时保护用户登录,从而消除了将计算机认证凭据从计算机设备发送到云计算服务的需要。相反,用于数据通信的该***和方法的认证方案实现了配对PIN的使用,其中该配对PIN在计算机侧显示并且在启用该功能的移动侧进行输入或扫描。例如,在一个实施方案中,配对PIN可以是随机生成的具有6至10位的数字串。此外,可以使用长秘密密钥或直接嵌入在QR图像中的计算机公共密钥实现该功能。扫描QR图像进行本地认证和配对可以提高易用性、增强安全性并促进用户友好的应用程序。
这种用于数据通信的***和方法定义了一种协议,该协议通过网络服务诸如云服务在任何两个客户端组件之间建立信任和秘密交换,其中所述网络服务不限于特定的凭据提供商。这种用于数据通信的***和方法不仅使用数据对象诸如公共密钥以在设备之间建立信任。由于缺乏对发送源的认证,这种基本交换可能会受到“中间人”攻击。具体地讲,数据通信***可以使用云服务来辅助配对计算设备和移动设备。在计算设备和移动设备之间交换的数据可以是唯一已知的并且存储在这些设备上;而不是网络服务器上。因此,为了提高计算机安全性,尽管参与了设备配对,但网络服务器不能加密消息、解密加密的密码密钥或发现交换的数据。这避免了“中间人”攻击,即第三方能够承担网络服务器或两个设备中的任何一者的角色和权限。该实施方案防止未经授权将设备与计算机或计算机与移动设备配对。具体地讲,在配对阶段期间,响应于配对请求,网络服务可以用作配对计算设备与移动设备的联络方。
在一些实施方案中,当计算设备和移动设备处于近端范围内并且具有使用近端检测协议(诸如低功耗蓝牙(BLE))直接进行连接的功能时,该***和方法使用网络服务器用于注册和集中管理。在该实施方案中,网络服务器不充当用于配对设备的中介。相反,网络服务器出于管理目的诸如跟踪和监视服务消耗,对计算机和移动设备两者注册中央网络服务。这使得服务提供商的***管理员能够在例如电话丢失或被盗的情况下关闭配对功能。同时,中央网络服务不能冒充任何设备。此外,网络服务器能够利用客户账户来识别和跟踪计算设备,而不使用特殊客户账户凭据诸如账户证书。尽管用于数据通信的该***和方法可以利用计算设备和移动设备的近端检测功能,但是近端检测功能的存在对于本公开的数据通信的***和方法的成功实施不是必需的。这使得本文描述的***适用于更广泛的传统计算机以供企业部署。
以下将说明更多有关细节。然而,对本领域技术人员而言,显而易见,缺少这些具体细节也能实施本发明。在一些情况下,为避免使本发明表述不清,将以框图形式(而非详细说明)说明众所周知的结构和设备。
在随后的部分详细说明中,将从计算机存储器中数据位操作的算法和符号表示角度进行说明。这些算法描述和表示是数据处理领域技术人员用以向其他同行表述其工作本质的有效手段。此处的算法通常为一系列能达到所需结果的有序步骤。所述步骤是指那些需要对物理量进行的物理操作步骤。通常(但并非必须),这些物理量以能够被存储、传输、组合、比较以及其他方式操作的电信号或磁信号的形式出现。已经证明,主要出于常见用途原因,有时可将这些信号方便地称为位、值、元素、符号、字符、项、数等等。
然而,应该牢记,所有这些名称和类似术语均将与适当的物理量关联,并且仅仅是应用于这些量的方便标记。除非特别说明,否则从以下讨论显而易见,可以理解,在整个说明书中,利用诸如“提供”、“生成”、“安装”、“监视”、“强制执行”、“接收”、“记录”、“拦截”等术语的讨论是指计算机***或类似电子计算设备的动作和过程,其对表示计算机***寄存器和存储器中物理(电子)量的数据进行操作,并将所述数据转换为表示所述计算机***存储器或寄存器(或其他此类信息存储、传输或显示设备)中其他类似物理量的其他数据。
本发明还涉及一种用于执行本文中操作的设备。该设备可出于所需目的而专门构造,或者其可包括由存储在计算机中的计算机程序选择性地启动或重新配置的通用计算机。此类计算机程序可存储在一种计算机可读存储介质中,例如其不限于如软盘、光盘、CD-ROM和磁光盘在内的任何类型的磁盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁卡或光卡,或适用于存储电子指令的任何类型的介质,每种介质均耦接至计算机***总线。
本文提及的“一个实施方案”或“实施方案”是指结合该实施方案所描述的特定特征、结构或特性包括在本发明的至少一个实施方案中。本说明书不同场合出现的短语“在一个实施方案中”并不一定涉及同一实施方案。相同的编号表示图示中的相同元件。
参考图1,示出了用于使用网络服务将移动设备与计算设备安全配对以进行无密码登录的***和方法的示例性实施方案。该***在网络服务计算环境150内包括至少一个客户端计算设备110、至少一个移动设备120和至少一个网络服务器140。计算设备110和移动设备120两者均可耦接到网络服务器140。计算设备110、网络服务器140和移动设备120可驻留在相同LAN上,或者驻留在可通过互联网耦接在一起但被防火墙、路由器和/或其他网络设备分开的不同LAN上。在一个实施方案中,计算设备110可通过移动通信网络联接到网络150。类似地,移动设备120可以通过移动通信网络联接到网络150。在另一个实施方案中,计算设备110、网络服务器140和移动设备120可以驻留在不同的网络上。
每个计算设备110可以包括客户端配对代理112、存储器114和处理器116。虽然未示出,但是每个计算设备110可包括监视器,用于在计算设备和移动设备的配对阶段期间显示与计算设备相关联的QR图像或PIN。例如,可以通过使用配对PIN、长密钥和/或直接嵌入在QR图像中的计算机公共密钥来进行本地认证过程。计算设备110的示例可以包括但不限于个人计算机、膝上型电脑、PDA、移动电话、网络设备等。客户端配对代理110可用于生成配对请求,包括由用户发起的计算机认证数据和计算机公共密钥(参考下面使用网络服务器的配对方法进一步详细讨论)。客户端配对代理110还可用于通过网络服务器140间接地将这些请求传送给移动设备120。一旦通过移动通知服务提示,客户端配对代理110也可以在配对阶段期间发起显示与计算设备110相关联的QR图像或PIN。此外,客户端配对代理110可以与存储器114和处理器116耦接,以解密响应于配对请求而发送的由移动设备120生成的密码加密密钥(在下面给出的配对方法中提供了更多细节)。客户端配对代理100还可以使用QR码的替代信道向附近的移动设备传输配对PIN,例如,使用BLE作为一种替代方案(如果计算设备具有这种功能)。
在一些实施方案中,移动设备120可以包括移动配对代理122、存储器124和处理器126。移动配对代理122可用于通过网络服务器140间接地将配对批准传达给计算设备110。移动配对代理122可以基于请求与移动设备配对的计算机的公共密钥生成并加密密码加密密钥。在一些实施方案中,代理122还能够扫描QR码或接收客户端配对代理112已经发送的BLE消息。尽管未示出,但在各种实施方案中,移动设备120可以是网络设备、移动电话、智能电话、寻呼机、射频(RF)设备、红外(IR)设备、个人数字助理(PDA)、机顶盒、相机、结合上述设备中的至少两种的集成设备等。
在一个实施方案中,网络服务器140可包括配对模块142、存储器144和处理器146。在一个实施方案中,数据通信***100可以使用云服务来辅助配对计算设备110和移动设备120。在计算设备和移动设备之间交换的数据可以是唯一已知的,并且存储在设备(110,120)上而不是网络服务器140上。因此,尽管参与了设备(110,120)的配对,但网络服务器140无法解密经加密的密码密钥或发现交换的数据。具体地讲,在配对阶段期间,响应于配对请求,配对模块142可以用作配对计算设备110与移动设备120的联络方。例如,当计算设备110发送配对请求时,配对模块142可向移动设备120发送移动推送通知,指示已经发起配对请求并在移动设备120处请求来自用户的响应。配对模块142还可以在安装移动配对代理时注册移动设备120,使得网络服务器140可以在允许配对请求完成之前检测移动设备是否被注册。也就是说,在一些实施方案中,在未注册移动设备120的情况下,配对模块142可以拒绝由计算设备110发送的配对请求。通过注册,网络服务能够发起与移动设备120的联系,以验证由移动设备使用现有移动凭据诸如凭据标识符、用户标识符和一次性密码或拥有签名证明等发送的数据。因此,配对模块142能够跟踪配对服务的使用。此外,配对模块142可以请求来自检测到的实体提供商的服务使用权利响应,使得配对模块142可以基于来自实体提供商的验证来认证配对请求,并且跟踪其使用。在替代方案中,配对模块142可以使用SMS、语音呼叫等请求来自移动设备的响应。在该实施方案中,用户可以选择输入在计算设备的监视器上显示的PIN,或者可以扫描显示在其上的QR图像。在另一个实施方案中,计算设备110可以生成配对秘密密钥并将该密钥与QR图像关联,以显示在与计算设备110相关联的监视器上。在又一个实施方案中,如果计算设备具有BLE功能,则计算设备110可以使用BLE来经由BLE静默地传输配对秘密密钥到移动设备。
网络服务计算环境150可包括例如服务器计算机140或提供计算功能的任何其他***。另选地,网络服务计算环境150可以采用例如布置在一个或多个服务器库或计算机库或其他布置中的多个计算设备。这样的计算设备可以位于单个安装中或者可以分布在许多不同的地理位置。例如,网络服务计算环境150可以包括多个计算设备,这些设备一起可包括云计算资源、网格计算资源和/或任何其他分布式计算布置。在一些情况下,网络服务计算环境150可对应于弹性计算资源,其中处理、网络、存储或其他计算相关资源的分配容量可随时间变化。
在一个实施方案中,在移动设备120和计算设备110配对之后,配对模块142还可以通过向移动设备120声明移动推送通知来辅助响应于无密码登录请求。在该无密码登录期间,移动配对代理122可以从请求计算设备110提取计算机公共密钥,并且作为响应,检测移动设备与计算设备之间是否存在配对。移动配对代理还可以加密并发送密码加密密钥至客户端计算设备110,客户端计算设备可以解密密码加密密钥。此密码加密密钥可用于加密和解密用户登录密码。在无密码登录期间,客户端配对代理能够解密先前在移动设备120和计算设备110的配对阶段期间存储的加密的用户登录密码。
图2A-1和图2A-2是根据一些实施方案的使用网络服务将移动设备与计算机安全配对以进行无密码登录的数据通信***的示例性具体实施。如图2A-1所示,响应于配对请求,在计算设备监视器上显示QR图像。在移动设备扫描QR图像之后,用户将根据配对后的配对协议和登录协议登录到计算设备中(将参考图4至图6A详细描述)。在图2A-2中,PIN(个人识别号码)可以由计算机显示并由用户输入到移动设备中,以进行如下文进一步描述的相互认证数据验证。图2B示出了在一些实施方案中,在接收配对之后,用于图1、图2A-1和图2A-2的移动设备120的一个或多个移动设备的数据通信***移动端的示例性图形用户界面(GUI)图。如图2B所示,云服务150可以向移动设备120a声明移动通知推送,包括计算设备、关联的用户凭据(诸如电子邮件地址)和凭据标识符的通知。如图所示,移动设备120a的用户可以通过选择按钮来选择是否批准或拒绝配对请求。图2C是在一些实施方案中用于图2A的可穿戴移动设备120b中的一个或多个可穿戴移动设备的用于验证配对请求的数据通信***的移动端的示例性GUI的另一图。佩戴手表、移动设备120b的用户可以通过触摸触敏用户屏幕来确认配对请求。例如,向上滑动一个手指可表示批准,而向下滑动一个手指可表示拒绝。移动设备120可被配置为感测响应于移动推送通知而做出的各种手势,包括检测做出该手势的手指的数量以及轻扫、轻击的方向或手指比出的形状。
图3A示出了根据一些实施方案的用于无密码计算机登录的通信和/或操作体系架构。如图所示,计算设备110通过由具有推送服务功能的网络服务器140执行的云服务与移动设备120配对。推送服务可以在云服务外部或位于网络服务器140内部。作为第一动作,可以通过近端检测服务诸如BLE或间接通过云辅助服务来进行移动设备与计算设备的配对。其次,计算设备可以提交公共密钥以及可选地企业令牌,诸如携带关于用户的陈述的安全断言标记语言(SAML)令牌,所述陈述是一个实体关于另一个实体所做出的要求集合。此外,可发生云服务辅助配对,其中公共密钥和令牌被用于验证配对请求并通过移动推送服务提示移动设备,如图所示。接下来,计算机设备可以显示PIN、长密钥和/或直接嵌入在QR图像中的计算机公共密钥。作为响应,移动设备的用户可以输入PIN和/或长密钥。在替代方案中,移动设备的用户可以选择扫描QR图像。在另一种替代方案中,如果两个设备之间存在此种功能,则不显示计算机生成的长密钥并且静默地将其传输到相邻BLE配对设备。此外,移动设备可以生成移动公共密钥(M_pub)和密码加密密钥。移动设备可以加密密码加密密钥并将该加密的密钥发送到网络服务器140执行的云服务,连同一次性密码(OTP)令牌证明和从配对PIN生成的验证数据或者在两个设备之间本地传输的秘钥。最后,计算设备可以检索打包的(加密的)密码加密密钥以及移动设备的公共密钥。如图所示,移动设备密钥对(M_KP)和密码加密密钥保持存储在移动设备上,同时计算机交换密钥对(C_KP)和加密的密码保持存储在计算设备中。这样,密钥对可以用于安全的端到端数据交换。在初始配置交换之后,每一端都持有另一端的公共密钥。当将来一端需要将数据发送给另一端时,其将使用另一端的公共密钥以加密数据。这样,只有预期的目标端可以解密接收到的数据。因此,移动密钥对(M_KP)和计算机密钥对(C_KP)可用于未来的安全数据交换。例如,在一些实施方案中,交换密钥对可用于未来计费和管理目的。
图3B示出了根据一些实施方案的用于具有BLE流优化的无密码计算机登录的通信和/或操作架构。在一些实施方案中,当计算设备110和移动设备120具有近端检测(诸如BLE)时,数据通信的***和方法可以用于增强设备和安全实用程序的配对。作为第一动作,可以通过近端检测服务诸如BLE进行移动设备与计算设备的配对。其次,计算设备可以提交公共密钥以及企业令牌诸如携带陈述的安全断言标记语言(SAML)令牌,所述陈述是一个实体关于另一个实体所做出的要求的集合。此外,计算机设备可以可选地显示PIN,同时经由BLE静默地传输PIN到移动设备120以供视觉确认。作为响应,在视觉匹配检查时,移动设备的用户可以可选地批准PIN,并且发起与移动交换密钥对(M_KP)和计算机交换密钥对(C_KP)的密钥交换。移动设备可以利用计算机的公共密钥对密码加密密钥(打包密钥)进行加密,并且将该加密的密钥可选地连同来自先前注册该服务的移动凭据的一次性密码(OTP)和利用PIN生成的认证数据一并发送至云服务。作为响应,云服务可以对配对和账户管理进行辅助,其中每个移动和计算设备的跟踪连同服务消耗的监视一起发生。最后,计算设备可以检索打包的(加密的)密码加密密钥以及移动认证数据以及移动设备的公共密钥。
图4是示出了根据一些实施方案的数据通信***的配对协议的框图。如图1所示,数据通信***100可以包括存储在计算设备110内(在存储器114中)并由处理器116执行的配对计算机应用程序(C_PA)。此外,如图1所示,***100可以包括存储在移动设备120内(在存储器124中)并由处理器126执行的配对移动应用程序(M_PA)。移动设备120可以包括用于配对通信和/或QR读取功能的设备。***100还可以包括云服务以促进移动设备和计算机之间的通信;以及代表云服务向用户的移动设备发送通知的移动推送服务。
安全配对和密码交换流程可以包括使用计算设备110生成配对和数据交换密钥。例如,计算机配对应用程序C_PA可以生成本地一次性配对密钥(C_LPS)和持续数据交换密钥对C_KP。配对密钥C_LPS可以在发起配对请求(协议的步骤1,如图所示)期间在计算设备屏幕中显示为QR码。可选地,计算设备可以显示作为移动键盘友好PIN的明确密钥值。QR图像也可以包含用户信息诸如用户名。此外,QR图像可能包括C_PA的公共秘钥值,但这可能会造成密度过高而无法识别。因此,QR图像的优选呈现是短QR友好配对密钥之一。
其次,计算设备110可以请求配对。例如,配对计算机应用程序(C_PA)可向云服务发送配对请求,指示其使用移动推送来通知用户注册的移动设备。在一个实施方案中,该请求不仅可以包括其私钥的拥有证明(POP),而且还可以包括通过客户端的公共密钥(C_Pub)从配对密钥导出的计算机认证数据(C_AuthData)(协议的步骤2,如图所示)。例如,计算设备可以使用散列算法函数(诸如金钥杂凑讯息鉴别码(HMAC))来生成计算机认证数据:
C_AuthData=HMAC(KDF(C_LPS),ContextData|C_Pub)
[1]
ContextData=Username|C_KeyID
[2]
其中,KDF是密钥导出函数,其使用伪随机函数从密钥值诸如主密钥、密码或密码短语等中导出一个或多个秘密密钥。在一个实施方案中,秘密密钥可以从C_LPS中导出。上下文数据(ContextData)可以是用户名或计算机密钥标识符(C_KeyID)。使用这种格式,数据的接收者(无论是网络服务器还是移动设备)能够验证数据是否来自原始来源,并且因此可以检测通过“中间人”实施的任何更改。
可选地,该请求还可能包括关联功能。在一个实施方案中,请求可以包括向云服务提供计算设备的服务使用权利证明的关联数据。在该过程中,环境的授权身份提供商可以使用其登录用户名和密码或其他认证方法验证计算设备和关联用户。作为对验证用户的响应,授权身份提供商可以将其认证声明(例如,SAML)发送到云服务作为认证用户的证明。
接下来,云配对服务可以验证移动设备注册,并且响应于验证的注册,触发移动应用程序运行。在一个实施方案中,云服务可以在注册的移动设备的数据库中搜索请求的移动设备以进行配对(协议的步骤3,如图所示)。当匹配发生时,云配对服务可以发起针对推送服务的动作,以向用户移动设备发送具有事务ID的移动推送通知(协议的步骤4,如图所示)。在一些实施方案中,由于文件大小要求和隐私考虑,原始配对请求消息可能不包括在推送通知内。
此外,还将发生移动配对安全性的处理。用户可以可选地输入在计算设备的显示器上显示的明确PIN或扫描QR图像,作为对QR功能受限情况的后备。在用户选择输入PIN的情况下,配对移动应用程序(M_PA)可从位于云配对服务上的初始配对请求有效载荷读取计算机认证数据(协议的步骤5和6,如图所示)。在替代方案中,配对移动应用程序(M_PA)可提示用户扫描并读取显示在计算设备的监视器上的QR码图像(协议的步骤6,如图所示)。在BLE功能可用的其他情况下,移动设备可以经由BLE通道静默地接收配对密钥(C_LPS),而无需使用QR扫描。移动应用程序验证配对请求,并且存储计算设备的公共密钥(C_Pub)。
在PIN输入或QR图像扫描或基于BLE的C_LPS获取后,可能会发生移动密码加密密钥交换。在一个实施方案中,配对移动应用程序(M_PA)可生成其自己的数据交换密钥对(M_KP)和密码加密密钥K_PWD。应用程序(M_PA)可使用请求计算机的公共密钥C_Pub连同其认证数据以加密密码加密密钥K_PWD。此外,可以通过将移动应用程序(M_PA)配对到云配对服务来发送该加密密钥K_PWD(或K_enc)(协议的步骤7,如图所示)。在一些实施方案中,移动应用程序可以发送拥有证明(POP)和使用散列算法函数(HMAC)(类似于用于生成计算机认证数据的那个)导出的移动认证数据以及在附近本地接收的C_LPS。该数据交换还可以包括移动公共密钥(M_pub)和配对的移动设备密钥标识符(M_KID)。例如,配对移动应用程序(M_PA)可以使用HMAC算法来生成移动认证数据:
CipherData=Encrypt(K_PWD,C_Pub)
[3]
M_POP=Signed(CipherData,M_Priv)
[4]
M_AuthData=HMAC(KDF(C_LPS),M_KID|username|CipherData|POP)
[5]
其中,解密数据(CipherData)是基于请求计算机的公共密钥C_Pub的密码加密密钥K_PWD的加密版本。解密数据(CipherData)和移动私钥(M_Priv)的签名函数可用于生成拥有证明(M_POP)。此外,可以使用带密钥的散列函数、杂凑秘密密钥的HMAC、配对的移动设备密钥标识符(M_KID)、用户名、解密数据(CipherData)以及拥有证明(M_POP)生成移动认证数据(M_AuthData)。与上述类似,可以使用计算机设备已知的C_LPS从密钥导出函数中导出秘密密钥。
在完成计算机设备与移动设备的配对时,云配对服务可以注册设备并且为每个设备存储多个配对变量(该协议的步骤8,如图所示)。此时,计算设备可以验证从与移动设备相关的云服务接收的响应数据(协议的步骤10,如图所示)。例如,可以使用C_LPS、计算机的私人配对密钥验证移动设备。其中,配对计算机应用程序(C_PA)可以验证数据,该数据从具有基于配对密钥的认证数据的移动设备发送。此时,计算设备可以存储配对的移动设备密钥标识符(M_KID)、移动公共密钥(M_Pub),并且使用密码加密密钥(K_PWD)加密其计算机登录密码。配对计算机应用程序(C_PA)可以存储加密的密码,并且在加密之后丢弃加密密钥。此外,可以在计算设备和云服务之间确认配对和注册(协议的步骤11和12,如图所示)。
在计算机设备与移动设备配对之后,无密码计算机登录可包括从计算机应用程序(C_PA)到云服务的请求,以执行至移动设备的移动推送以检索密码加密密钥。该请求可包括计算机的数据交换密钥标识符和其私钥的拥有证明(POP)。作为响应,移动应用程序(M_PA)可以请求用户确认以批准该登录请求。在验证请求方先前已与移动设备配对后,移动应用程序(M_PA)也可使用请求方的公共密钥(C_Pub)以加密形式发送密码加密密钥(K_PWD)。先前配对的计算设备将能够解密加密的密码加密密钥(K_PWD),获取用户的密码并且使用标准登录实用程序登录到该账户。
在一些实施方案中,当计算设备应用程序C_PA将配对请求消息发送到云配对服务时,不必使用认证凭据。这也可能是对网络服务的匿名请求。
在一个实施方案中,可以使用QR图像将计算机公共密钥(C_pub)传输到M_PA,而无需经过网络服务来解决“中间人”情况。当使用QR图像时,移动应用程序M_PA将不需要进行往返以检索由计算设备发送的配对请求。但是,QR数据可能过于密集,可能会导致扫描QR码的时间更长。
在一些实施方案中,当用户具有多个移动设备时,可以实现向所有相关的推送使能设备的移动推送广播。在一些实施方案中,推送广播可以仅包括配对请求标识符。在推送广播期间不需要直接发送实际请求消息。这可允许更大的请求数据量;然而,移动推送广播可能需要更多时间。
在一些实施方案中,为了尝试减轻向网络服务发送垃圾邮件,可能在来自计算机应用程序C_PA的请求中使用一次性密码或其他先前已知的云服务凭据。
在移动设备对配对请求的响应期间,可以触发移动应用程序M_PA来检索和响应配对请求消息。如果用户选择输入PIN,移动应用程序M_PA调用云服务以检索实际消息。移动应用程序M_PA也可以从推送消息发送请求事务ID。此外,移动应用程序M_PA可以使用其移动推送凭据向云服务发送认证数据。因此,移动应用程序M_PA从云服务接收配对请求数据。如果用户选择扫描QR码,移动应用程序M_PA从QR图像中提取C_LPS以及可选地C_Pub。
在该示例中,在基于C_LPS对给定数据的配对请求进行验证之后,可以从移动设备端生成密钥对,包括移动公共密钥M_Pub、移动私钥M_Priv和设备标识符(M_ID)。移动配对应用程序可生成随机数据加密密钥M_DK并存储计算机标识符(C_ID)、公共密钥(C_Pub)、用户标识符(用户标识)、设备标识符(M_ID)、移动公共密钥(M_Pub)、移动私钥(M_Priv)和数据加密密钥(M_DK)。作为响应,移动配对应用程序可以将消息构造回到云网络服务以用于计算设备轮询。具体地讲,移动配对应用程序M_PA可向云服务发送配对响应消息(pairingResp),其中移动推送凭据被用于服务认证。
在处理配对响应(pairingResp)期间,云服务可以使用移动凭据来认证移动设备。云服务可以注册配对标识符(C_ID、M_ID、用户名、企业ID)并存储来自响应消息的数据。云服务可以通过发送消息“pairingResp”以响应于计算设备的轮询请求以获得配对响应。当C_ID和事务ID与云服务存储的内容匹配时,可以接受轮询请求。该检查是可选的,以增加安全性。
在配对响应的处理期间,计算设备验证具有从C_LPS以相同密钥导出算法导出的密钥的认证数据,并且验证移动认证数据M_POP。计算设备可以解密CipherData以利用其私钥C_Priv获得数据密钥“M_DK”。此外,计算设备可以以安全的方式存储移动设备标识符(M_ID)和移动设备的公共密钥M_Pub,以备未来使用。此时,两个设备(计算设备C_PA和移动设备M_PA)已经交换并且建立了具有进行端到端安全数据交换功能的相互信任。
建立的配对可用于辅助无密码的计算机登录。在这种使用情况下,计算设备可以进一步使用加密密钥M_DK来加密密码。出于安全目的,不会存储密码加密密钥M_DK。
在一些实施方案中,计算机设备将确认消息发送回云服务以及可选地移动设备以确认配对。同时,该确认可用于未来计费和管理目的,其中计算设备被确认为已注册的合法设备。
当云配对服务注册用于未来验证通信的计算设备时,网络服务可以执行消息验证并且在服务数据库中注册计算机和移动设备标识符C ID、M_ID之间的配对。
图5是示出根据一些实施方案的用于数据通信***的第二配对协议的框图,其中企业用户身份在供企业管理员进行配对管理的云端注册。类似于图4的协议,可以使用由网络服务器140执行的云服务将计算设备C_PA与移动设备M_PA配对。图4和图5的协议之间的区别在于,第二配对协议包括获取对云服务的企业用户身份声明的步骤,从而允许云服务将用户与设备绑定以进行企业管理。
图6A是根据一些实施方案的使用网络服务将移动设备与计算机安全配对以进行无密码登录的方法600的流程图。在动作610中,在移动设备注册云配对服务。此外,可在移动设备注册企业服务提供商。例如,移动设备可以注册到网络服务器,其中可以生成移动凭据数据,包括与移动设备相关联的用户标识符和电话号码。稍后,初始移动推送通知可基于移动OTP凭据以用于附加安全性。
在动作612中,计算设备可通过向网络服务器发送请求来发起配对请求。配对请求可包含计算设备的认证数据、计算机公共密钥和拥有证明密钥。计算机设备也可生成配对和数据交换密钥。例如,计算设备内的计算机配对应用程序C_PA可生成本地一次性配对密钥(C_LPS)和持续数据交换密钥对C_KP。数据交换密钥对C_KP可能在未来用于验证目的。
在判定动作614中,网络服务器可验证与配对请求相对应的移动设备是否被注册。如果移动设备未被注册,则网络服务器可以拒绝配对请求,如动作638所示。如果移动设备被注册,则在动作616中,计算设备可以显示与计算机公共密钥和秘密配对密钥(C_LPS)对应的PIN或QR图像。计算设备在显示QR图像之前先生成该图像。PIN可以是预先选择的字母数字代码,或者可以在发起配对请求之前或期间由计算设备随机生成。另选地,动作616可以在检测到移动设备注册之前发生,其中计算设备紧接在发起配对请求之后显示PIN或QR图像。如果BLE功能可用,计算设备可以使用BLE将C_LPS传输到可与BLE在本地配对而无需使用QR扫描的移动设备。
在动作618中,在移动设备中提示用户输入PIN或扫描QR图像以获取C_LPS。在一些实施方案中,网络服务器可以发起具有事务标识符的移动推送通知,其中移动推送通知还包括计算机认证数据。计算机认证数据可以在计算设备发起配对请求之前生成。计算机认证数据可以基于配对秘密密钥。此外,在动作619中,网络服务器可以接收计算机认证数据。
在判定动作620中,移动设备应用程序M_PA可以确定由移动设备用户输入的PIN是否可以验证来自计算设备的请求。另选地,移动设备可以确定扫描的QR图像或BLE接收的C_LPS是否可以验证配对请求中提供的认证数据。当在任何一种情况下都不存在匹配时,移动设备可以在动作638中拒绝配对请求。尽管未示出,但移动设备用户可以被给予不止一次的机会来输入正确的PIN或重新扫描QR图像或重试C_LPS的BLE传输。具体地讲,该过程将循环回到动作618。作为PIN、QR图像或经由BLE通道检索C_LPS的重复尝试可以被预设为特定尝试次数,其中配对请求最终被拒绝,并且过程在动作640中结束。然而,当匹配发生时,移动设备可继续提取计算机公共密钥。在替代方案中(尽管未示出),移动设备可以从网络服务器请求相同的信息。
在动作624中,移动设备可以生成密码加密密钥并且加密密码加密密钥。在替代方案中,移动设备可以从存储器中检索密码加密密钥。密码加密密钥的加密可以使用在配对发起请求中发送的计算机公共密钥来实现。在动作626中,可以将加密的密码加密密钥传送给计算设备。此外,移动设备可以在相同的动作626中生成并传送移动认证数据。具体地讲,加密的密钥可以被传送到网络服务器,网络服务器再将其转发给计算设备。
一旦接收到加密的密钥和移动认证数据,计算设备即可以在判定动作628中检测移动认证数据是否有效。当移动认证数据无效时,计算设备可以在动作638中通过网络服务器间接拒绝配对请求。另一方面,当移动认证数据有效时,计算设备可以在动作630中使用计算机私钥对加密的密钥进行解密。
在动作632中,计算设备可以使用密码加密密钥来加密与其用户账户相关联的登录密码。在动作634中,该加密的登录密码可在无密码登录期间由计算设备存储以便将来使用。此外,在动作636中,为了用户安全的目的,可以删除密码加密密钥。
图6B是根据一些实施方案的用于通过网络服务使用无密码登录登录到计算机的方法660的流程图。在动作662中,请求计算设备可请求对特定计算设备的无密码登录访问。具体地讲,该请求可以被发送到网络服务器,作为响应网络服务器在判定动作664中检测计算设备和移动设备先前是否已经配对。当不存在先前配对时,在动作668中拒绝无密码登录访问。当存在先前的配对时,网络服务器在动作666中向移动设备声明移动推送通知。移动推送将提醒移动设备用户无密码登录请求。尽管未示出,但是此时用户可能有机会拒绝登录请求。在动作670所示的替代方案中,移动设备可以检索无密码登录请求的数据有效载荷,并且从登录请求中提取计算机认证数据和公共密钥。在替代方案中,网络服务器可以提取计算机认证数据和公共密钥并将其传送到移动设备。
在动作672中,移动设备可以使用计算机公共密钥来加密密码密钥。该加密的密码密钥可以在动作674中传送到计算设备,其中计算设备在动作676中使用其计算机公共密钥解密该加密的密码密钥。此外,在动作678中,计算设备可以解密先前在配对阶段期间存储的加密的登录密码。最后,在动作680中,计算机设备可以使用登录密码执行登录。
应当理解,可以利用数字处理***诸如常规通用计算机***执行这里描述的方法。可以使用设计或编程为仅执行一项功能的专用计算机。图7是示出了可实现本文所述的实施方案的示例性计算设备的示意图。根据一些实施方案,图7的计算设备700可用于执行用于执行使用网络服务安全地将移动设备与计算机配对以进行无密码登录的方法的功能的实施方案。计算设备700包括通过总线706耦接到存储器704的中央处理单元(CPU)702和大容量存储设备708。大容量存储设备708表示持续数据存储设备诸如软盘驱动器或固定盘驱动器,在一些实施方案中,其可以是本地或远程的。在一些实施方案中,大容量存储设备708可以实现备份存储。存储器704可以包括只读存储器、随机存取存储器等。在一些实施方案中,驻留在计算设备上的应用程序可以存储在计算机可读介质(诸如存储器704或大容量存储设备708)上或通过计算机可读介质访问。应用程序也可以是调制电子信号的形式,该调制电子信号通过计算设备的网络调制解调器或其他网络接口调制访问。应当理解,在一些实施方案中,CPU 702可以体现在通用处理器、专用处理器或专门编程的逻辑设备中。
显示器712通过总线706与CPU702、存储器704和大容量存储设备708进行通信。显示器712被配置为显示与本文描述的***相关联的任何可视化工具或报告。输入/输出设备710耦接到总线706以便将命令选择中的信息传送到CPU702。应当理解,去往和来自外部设备的数据可以通过输入/输出设备710传送。CPU 702可被定义为执行本文所述的功能以实现参考图1至图6B所描述的功能。在一些实施方案中,体现该功能的代码可以被存储在存储器704或大容量存储设备708中以供处理器诸如CPU 702执行。计算设备上的操作***可以是iOSTM、MS-WINDOWSTM、OS/2TM、UNIXTM、LINUXTM或其他已知的操作***。应当理解,本文所述的实施方案还可与虚拟化计算***结合。
上文对诸多细节做出陈述。然而,对本领域技术人员而言,显而易见,缺少这些具体细节也能实施本发明。在一些情况下,为避免使本发明表述不清,将以框图形式(而非详细说明)说明众所周知的结构和设备。
应当理解,上述描述旨在做示例性描述,而非限制性描述。在阅读并理解上述描述后,许多其他实施方案对于本领域技术人员而言将是显而易见的。虽然本文已结合具体示例性实施方案对本发明进行说明,但应认识到,本发明并不限于所述的实施方案,在不脱离所附权利要求书的精神和范围情况下,本发明在实施中可做有关修改和变更。因此,应以说明性意义而非限制性意义看待本说明书和附图。因此,应结合所附权利要求书以及所述权利要求书有权获得的等效物的完整范围,共同确定本发明的范围。
本文公开了详细的示例性实施方案。然而,出于描述实施方案的目的,本文所公开的具体功能细节仅仅是代表性的。然而,实施方案可体现为许多另选形式,并且不应被理解为仅限于本文所述的实施方案。
应当理解,虽然术语第一、第二等可以在本文中用于描述各种步骤或计算,但是这些步骤或计算不应受到这些术语的限制。这些术语仅用于将一个步骤或计算与另一个步骤或计算进行区分。例如,第一计算可被称为第二计算,并且类似地,第二步骤可被称为第一步骤,而不脱离本公开的范围。如本文所用,术语“和/或”和“I”符号包括一个或多个相关联的所列项目的任何和所有组合。如本文所用,除非上下文另外明确地指出,否则单数形式“一”、“一个”和“该”也旨在包括复数形式。还应当理解,当在本文中使用时,术语“包括(comprises)”、“包括(comprising)”、“包括(includes)”和/或“包括(including)”指明存在所述特征、整体、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整体、步骤、操作、元件、组件和/或其组合。因此,本文所使用的术语仅仅是为了描述具体实施方案,并非旨在进行限制。
还应该指出的是,在一些另选具体实施中,所提及的功能/动作可以不按照附图中指出的顺序发生。例如,取决于所涉及的功能/动作,连续示出的两个图实际可基本上同时执行,或者有时可以相反的顺序执行。考虑到上述实施方案,应当理解,这些实施方案可采用涉及存储在计算机***中的数据的各种计算机实现的操作。这些操作是需要物理量的物理操纵的那些操作。通常(但并非必须),这些物理量以能够被存储、传输、组合、比较以及其他方式操作的电信号或磁信号的形式出现。此外,所执行的操纵通常被称为术语诸如产生、识别、确定或比较。本文所述的形成实施方案的一部分的任何操作是可用的机器操作。这些实施方案还涉及用于执行这些操作的设备或装置。该装置可根据所需目的而特别构造,或者该装置可以是通用计算机,该通用计算机由存储在计算机中的计算机程序选择性地激活或配置。具体地讲,各种通用机器可以与根据本文的教导内容编写的计算机程序一起使用,或者可以更方便地构造更专用的装置来执行所需操作。
模块、应用程序、层、代理或其他方法可操作实体可被实现为硬件、固件或执行软件的处理器或它们的组合。应当理解,在本文所公开的基于软件的实施方案的情况下,软件可体现在物理机器诸如控制器中。例如,控制器可以包括第一模块和第二模块。控制器可被配置为执行例如方法、应用程序、层或代理的各种动作。
这些实施方案也可实施为非暂态计算机可读介质上的计算机可读代码。计算机可读介质是可以存储数据的任何数据存储设备,所述数据随后可由计算机***读取。计算机可读介质的示例包括硬盘驱动器、附网存储(NAS)、只读存储器、随机存取存储器、CD-ROM、CD-R、CD-RW、磁带、闪存存储器设备以及其他光学和非光学数据存储设备。计算机可读介质还可以分布在网络耦接的计算机***上,使得计算机可读代码以分布式方式存储和执行。本文所述的实施方案可以利用包括手持设备、平板电脑、微处理器***、基于微处理器或可编程消费电子产品、小型计算机、大型计算机等的各种计算机***配置来实施。这些实施方案也可以在分布式计算环境中实施,其中任务由通过基于有线或无线网络链接的远程处理设备执行。
尽管方法操作是以特定顺序描述的,但是应当理解,其他操作可以在所描述的操作之间执行,所描述的操作可被调整使得它们在稍微不同的时间发生,或者所描述的操作可以分布在***中,该***允许以与处理相关联的各种间隔发生处理操作。
在各种实施方案中,本文所述的方法和机制的一个或多个部分可以形成云计算环境的一部分。在此类实施方案中,根据一个或多个各种模型,资源可以作为服务通过互联网提供。此类模型可包括基础设施即服务(IaaS)、平台即服务(PaaS)和软件即服务(SaaS)。在IaaS中,计算机基础结构作为服务提供。在这种情况下,计算装置通常由服务提供商拥有和运营。在PaaS模型中,开发人员用于开发软件解决方案的软件工具和底层装置可作为服务提供并由服务提供商托管。SaaS通常包括作为按需服务的服务提供商许可软件。服务提供商可托管该软件,或者可将软件部署到客户一段给定的时间。上述模型的许多组合是可能的并且是可以预期的。
各种单元、电路或其他组件可被描述或要求为“被配置为”执行一个或多个任务。在此类上下文中,通过指示单元/电路/组件包括在操作期间执行一个或多个任务的结构(例如,电路),短语“被配置为”被用于如此表示结构。这样,即使当指定的单元/电路/组件当前不可操作(例如,未开启)时,也可以说单元/电路/组件被配置为执行任务。与“被配置为”语言一起使用的单元/电路/组件包括硬件;例如,电路、存储可执行以实现操作的程序指令的存储器等。记住,单元/电路/组件“被配置为”执行一个或多个任务明确表示针对该单元/电路/组件,不援引35U.S.C.112,第六段。另外,“被配置为”可包括由软件和/或固件(例如,FPGA或执行软件的通用处理器)操纵以能够执行相关任务的方式进行操作的通用结构(例如,通用电路)。“被配置为”还可包括调整制造过程(例如,半导体制造设施)以制造适于实现或执行一个或多个任务的设备(例如,集成电路)。
出于阐释目的,已参考特定实施方案进行了以上描述。然而,以上示例性讨论并非旨在是穷举的或将本发明限制为所公开的精确形式。鉴于上述教导,许多修改形式和变型形式都是可能的。为了最好地解释这些实施方案的原理及其实际应用,选择并描述了实施方案,由此使得本领域其他技术人员能最好地利用这些实施方案以及具有可适合所设想的具体用途的各种修改形式。因此,本实施方案被认为是例示性的而非限制性的,并且本发明不限于本文给出的细节,而是可以在所附权利要求的范围和等同物内进行修改。
Claims (21)
1.一种***中的数据通信方法,包括:
从计算设备向网络服务器发送配对请求,其中所述配对请求包括计算机认证数据和计算机公共密钥;
响应于所述配对请求,使用网络服务器将移动设备与所述计算设备配对;
由所述移动设备基于所述计算机公共密钥对密码加密密钥进行加密;
将所述加密的密码加密密钥、移动公共密钥和移动认证数据从所述移动设备传送到所述计算设备;
使用所述计算机认证数据验证所述移动认证数据;
响应于所述验证的数据,使用所述计算机公共密钥解密所述加密的密码加密密钥;以及
利用所述密码加密密钥对登录密码进行加密。
2.根据权利要求1所述方法,其中发送所述配对请求包括:
生成所述计算设备的配对秘密密钥和交换密钥对;
从所述配对秘密密钥和计算机私钥生成所述计算机认证数据;
生成包括所述计算机认证数据的所述配对请求;
将所述配对秘密密钥与快速响应(QR)图像相关联;以及
将所述配对请求从所述计算设备传送到所述网络服务器。
3.根据权利要求1所述的方法,其中所述配对包括:
在所述计算设备的显示器上显示QR图像;
检测所述移动设备是否注册到所述网络服务器;
响应于所述检测到的注册,发起具有事务标识符的移动推送通知,其中所述移动推送通知包括基于配对秘密密钥的所述计算机认证数据;
由所述移动设备读取所述计算机认证数据;
从所述计算机认证数据解析所述计算设备的所述公共密钥;
提示所述用户使用所述移动设备扫描所述QR图像;
由所述移动设备扫描所述QR图像;
从所述QR图像中提取所述配对秘密密钥;
响应于所述扫描的QR图像,基于所述公共密钥和所述配对秘密密钥验证所述配对请求;
响应于所述验证的配对请求,生成所述密码加密密钥;
将所述计算设备的所述公共密钥存储在所述移动设备中;
验证所述计算设备中的移动响应;
在所述计算设备中利用所述密码加密密钥加密用户计算机登录密码;以及
将所述加密的用户密码存储在所述计算设备中。
4.根据权利要求1所述方法,其中发送所述配对请求包括:
生成所述计算设备的配对秘密密钥和交换密钥对;
从所述配对秘密密钥和计算机私钥生成所述计算机认证数据;
生成包括所述计算机认证数据的所述配对请求;
经由蓝牙将所述配对秘密密钥传送到所述计算机设备附近的移动设备;
将所述配对请求从所述计算设备传送到所述网络服务器。
5.根据权利要求1所述的方法,还包括:
从请求计算设备向所述网络服务器传输无密码登录请求,其中所述无密码登录请求包括与请求计算机公共密钥相关联的计算机数据交换密钥标识符和私钥拥有证明;
响应于所述无密码登录请求,通过所述网络服务器向所述移动设备声明第二移动推送通知;
从所述私钥拥有证明中提取所述请求计算机公共密钥;
基于所述请求计算机公共密钥,检测所述请求计算设备和所述移动设备之间是否存在配对;
响应于所述检测到的配对和用户确认,使用所述请求计算机公共密钥加密所述密码加密密钥;
将所述加密的密码加密密钥从所述移动设备传输到所述请求计算设备;
对所述加密的密码加密密钥进行解密;
使用所述密码加密密钥解密所述加密的登录密码以检索所述登录密码;以及
使用所述登录密码登录到所述请求计算设备。
6.根据权利要求1所述的方法,还包括:
将所述移动设备注册到所述网络服务器;以及
生成包括与所述移动设备相关联的用户标识符和电话号码的移动凭据,使得发起所述移动推送通知基于所述移动凭据。
7.根据权利要求1所述的方法,还包括:
从授权身份提供商请求企业服务用户权利;
从所述授权身份提供商接收企业验证数据;以及
处理企业验证数据以验证所述配对请求。
8.根据权利要求1所述的方法,还包括:
监视所述计算设备和所述移动设备之间的每个完成的设备配对;
存储每个完成的设备配对;以及
基于多个存储的完成的设备配对认证每个随后的配对服务请求。
9.一种数据通信***,包括:
可操作以从所述计算设备向网络服务器发送配对请求的计算设备,其中所述配对请求包括计算机认证数据和计算机公共密钥;
其中所述网络服务器包括耦接到第一处理器的存储器,所述第一处理器可操作以响应于所述配对请求将移动设备与所述计算设备配对;
其中所述移动设备包括第二处理器,所述第二处理器可操作以:
基于所述计算机公共密钥加密密码加密密钥,并且
当所述计算设备在附近时,经由所述网络服务器或蓝牙将所述加密的密码加密密钥和移动认证数据传送到所述计算设备;并且
其中所述计算设备可操作以:
使用所述计算机公共密钥对所述加密的密码加密密钥进行解密;以及
利用所述密码加密密钥对登录密码进行加密。
10.根据权利要求9所述的数据通信***,
其中所述计算设备可操作以从请求计算设备向所述网络服务器传输无密码登录请求,其中所述无密码登录请求包括与请求计算机公共密钥相关联的计算机数据交换密钥标识符和私钥拥有证明;
其中所述第一处理器可操作以响应于所述无密码登录请求向所述移动设备声明第二移动推送通知;
其中所述第二处理器可操作以:
从所述私钥拥有证明中提取所述请求计算机公共密钥;
基于所述请求计算机公共密钥,检测所述请求计算设备和所述移动设备之间是否存在配对;
响应于所述检测到的配对和用户确认,使用所述请求计算机公共密钥加密所述密码加密密钥;
将所述加密的密码加密密钥从所述移动设备传输到所述请求计算设备;以及
其中所述计算设备可操作以:
解密所述加密的密码加密密钥以检索用户密码,并且
使用所述用户密码登录到所述请求计算设备。
11.根据权利要求9所述的数据通信***,其中计算设备可操作以:
生成配对秘密密钥和交换密钥对;以及
从所述配对秘密密钥和计算机私钥生成所述计算机认证数据;
生成包括所述计算机认证数据的所述配对请求;
将所述配对秘密密钥与快速响应(QR)图像相关联;以及
将所述配对请求从所述计算设备传送到所述网络服务器。
12.根据权利要求10所述的数据通信***,其中在所述配对期间:
所述计算设备可操作以在显示屏幕上显示QR图像;
所述第一处理器可操作以发起具有事务标识符的移动推送通知,其中所述移动推送通知包括基于配对秘密密钥的所述计算机认证数据;并且
所述第二处理器可操作以:
由所述移动设备读取所述计算机认证数据;
从所述计算机认证数据解析所述计算设备的所述公共密钥;
提示所述用户使用所述移动设备扫描所述QR图像;
由所述移动设备扫描所述QR图像;
从所述QR图像中提取所述配对秘密密钥;
响应于所述扫描的QR图像,基于所述公共密钥和所述配对秘密密钥验证所述配对请求;
响应于所述验证的配对请求,生成所述密码加密密钥;以及
存储所述公共密钥。
13.根据权利要求9所述的数据通信***,所述第一处理器可操作以:
从授权身份提供商请求企业服务用户权利;
从所述授权身份提供商接收企业验证数据;以及
处理企业验证数据以验证所述配对请求。
14.根据权利要求9所述的数据通信***,其中所述第一处理器可操作以:
监视所述计算设备和所述移动设备之间的每个完成的设备配对;
存储每个完成的设备配对;以及
基于多个存储的完成的设备配对认证每个随后的配对服务请求。
15.根据权利要求9所述的数据通信***,其中所述第一处理器可操作以:
将所述移动设备注册到所述网络服务器;以及
生成包括与所述移动设备相关联的用户标识符和电话号码的移动一次性密码(OTP)凭据,使得发起所述移动推送通知基于所述移动凭据。
16.一种包括用于执行方法的代码的非暂态计算机可读介质,所述方法包括:
从计算设备向网络服务器发送配对请求,其中所述配对请求包括计算机认证数据和计算机公共密钥;
响应于所述配对请求,使用网络服务器将移动设备与所述计算设备配对;
由所述移动设备基于所述计算机公共密钥对密码加密密钥进行加密;
将所述加密的密码加密密钥和移动认证数据从所述移动设备传送到所述计算设备;
使用计算机认证密钥验证移动认证数据;
响应于所述验证的数据,使用计算机私钥解密所述加密的密码加密密钥;以及
利用所述密码加密密钥对登录密码进行加密。
17.根据权利要求16所述的计算机可读介质,其中发送所述配对请求包括:
生成配对秘密密钥和交换密钥对;
从所述配对秘密密钥和所述计算机私钥生成所述计算机认证数据;
生成包括所述计算机认证数据的所述配对请求;
将所述配对秘密密钥与快速响应(QR)图像相关联;以及
将所述配对请求从所述计算设备传送到所述网络服务器。
18.根据权利要求16所述的计算机可读介质,其中所述配对包括:
在所述计算设备的显示器上显示QR图像;
检测所述移动设备是否注册到所述网络服务器;
响应于所述检测到的注册,发起具有事务标识符的移动推送通知,其中所述移动推送通知包括基于配对秘密密钥的所述计算机认证数据;
由所述移动设备读取所述计算机认证数据;
从所述计算机认证数据解析所述计算设备的所述公共密钥;
提示所述用户使用所述移动设备扫描所述QR图像;
由所述移动设备扫描所述QR图像;
从所述QR图像中提取所述配对秘密密钥;
响应于所述扫描的QR图像,基于所述公共密钥和所述配对秘密密钥验证所述配对请求;
响应于所述验证的配对请求,生成所述密码加密密钥;以及
存储所述计算设备的所述公共密钥。
19.根据权利要求16所述的计算机可读介质,还包括:
从请求计算设备向所述网络服务器传输无密码登录请求,其中所述无密码登录请求包括与请求计算机公共密钥相关联的计算机数据交换密钥标识符和私钥拥有证明;
响应于所述无密码登录请求,通过所述网络服务器向所述移动设备声明第二移动推送通知;
从所述私钥拥有证明中提取所述请求计算机公共密钥;
基于所述请求计算机公共密钥,检测所述请求计算设备和所述移动设备之间是否存在配对;
响应于所述检测到的配对和用户确认,使用所述请求计算机公共密钥加密所述密码加密密钥;
将所述加密的密码加密密钥从所述移动设备传输到所述请求计算设备;
对所述加密的密码加密密钥进行解密;
使用所述密码加密密钥解密所述加密的登录密码以检索所述登录密码;以及
使用所述登录密码登录到所述请求计算设备。
20.根据权利要求16所述的计算机可读介质,还包括:
从授权实体提供商请求企业服务使用权利;
从所述授权实体提供商接收企业验证数据;以及
处理企业验证数据以验证所述配对请求。
21.根据权利要求16所述的计算机可读介质,还包括:
监视所述计算设备和所述移动设备之间的每个完成的设备配对;
存储每个完成的设备配对;以及
基于多个存储的完成的设备配对认证每个随后的配对服务请求。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662300472P | 2016-02-26 | 2016-02-26 | |
| US62/300472 | 2016-02-26 | ||
| US15/418,344 US10666642B2 (en) | 2016-02-26 | 2017-01-27 | System and method for service assisted mobile pairing of password-less computer login |
| US15/418344 | 2017-01-27 | ||
| PCT/US2017/019213 WO2017147346A1 (en) | 2016-02-26 | 2017-02-23 | System and method for service assisted mobile pairing of password-less computer login |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108781163A true CN108781163A (zh) | 2018-11-09 |
| CN108781163B CN108781163B (zh) | 2021-06-18 |
Family
ID=59679057
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780010317.5A Active CN108781163B (zh) | 2016-02-26 | 2017-02-23 | 用于数据通信的方法、***以及计算机可读介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10666642B2 (zh) |
| EP (1) | EP3420677B1 (zh) |
| JP (1) | JP6701364B2 (zh) |
| CN (1) | CN108781163B (zh) |
| WO (1) | WO2017147346A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111885201A (zh) * | 2020-07-31 | 2020-11-03 | 中国工商银行股份有限公司 | 数据传输方法、装置、设备及介质 |
| CN113508609A (zh) * | 2019-01-04 | 2021-10-15 | 法拉第未来公司 | 一种用户友好的车载蓝牙配对方案 |
| CN114866251A (zh) * | 2022-04-25 | 2022-08-05 | ***股份有限公司 | 一种设备互联安全认证***、方法、装置、服务器及介质 |
| US20230164112A1 (en) * | 2019-07-24 | 2023-05-25 | Lookout, Inc. | Service protecting privacy while monitoring password and username usage |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9560019B2 (en) * | 2013-04-10 | 2017-01-31 | International Business Machines Corporation | Method and system for managing security in a computing environment |
| FR3028639B1 (fr) * | 2014-11-17 | 2016-12-23 | Oberthur Technologies | Procede de securisation d'un jeton de paiement |
| KR101652625B1 (ko) | 2015-02-11 | 2016-08-30 | 주식회사 이베이코리아 | 온라인 웹사이트의 회원 로그인을 위한 보안인증 시스템 및 그 방법 |
| US10154017B2 (en) * | 2015-04-30 | 2018-12-11 | Mcafee, Llc | Device pairing in a local network |
| JP6639430B2 (ja) * | 2017-01-31 | 2020-02-05 | キヤノン株式会社 | 情報処理装置、制御方法およびプログラム |
| US10691788B2 (en) * | 2017-02-03 | 2020-06-23 | Ademco Inc. | Systems and methods for provisioning a camera with a dynamic QR code and a BLE connection |
| US10334439B2 (en) | 2017-02-22 | 2019-06-25 | Samsung Electronics Co., Ltd. | Method and apparatus for authenticating users in internet of things environment |
| WO2019055068A1 (en) * | 2017-09-13 | 2019-03-21 | Cortez Jessie | SYSTEM AND METHOD FOR SECURING ACCESS TO ELECTRONIC DATA |
| US10511446B2 (en) * | 2017-09-22 | 2019-12-17 | Cisco Technology, Inc. | Methods and apparatus for secure device pairing for secure network communication including cybersecurity |
| CN107819751A (zh) * | 2017-10-27 | 2018-03-20 | 浙江码博士防伪科技有限公司 | 一种安全的自动登录管理*** |
| WO2019107314A1 (ja) * | 2017-11-30 | 2019-06-06 | 株式会社アドテクニカ | 情報処理装置、情報処理方法、情報処理システム及びプログラム |
| CA3087150A1 (en) * | 2018-01-05 | 2019-07-11 | Xirgo Technologies, Llc | Secured pairing of video capture device and mobile device |
| US20190356652A1 (en) * | 2018-05-15 | 2019-11-21 | Centre For Development Of Telematics | Secure Interoperable Set Top Box Through Reverse OTP |
| US10924289B2 (en) | 2018-07-13 | 2021-02-16 | Visa International Service Association | Public-private key pair account login and key manager |
| US10848304B2 (en) * | 2018-07-17 | 2020-11-24 | Visa International Service Association | Public-private key pair protected password manager |
| US11005971B2 (en) * | 2018-08-02 | 2021-05-11 | Paul Swengler | System and method for user device authentication or identity validation without passwords or matching tokens |
| US10893043B1 (en) * | 2018-09-12 | 2021-01-12 | Massachusetts Mutual Life Insurance Company | Systems and methods for secure display of data on computing devices |
| KR102050823B1 (ko) * | 2018-11-26 | 2019-12-03 | 주식회사 두빛나래소프트 | Qr 코드를 이용한 정보 송수신 방법, 장치 및 시스템 |
| TWI709097B (zh) * | 2018-12-14 | 2020-11-01 | 兆豐國際商業銀行股份有限公司 | 網路銀行登入系統與方法 |
| EP3672306A1 (en) * | 2018-12-20 | 2020-06-24 | Baintex Technologies, S.L. | Method for linking a plurality of devices through bluetooth low energy protocol |
| US10666431B1 (en) * | 2019-03-11 | 2020-05-26 | Capital One Services, Llc | Systems and methods for enhancing web security |
| US11070980B1 (en) * | 2019-03-25 | 2021-07-20 | Sprint Communications Company L.P. | Secondary device authentication proxied from authenticated primary device |
| US11000759B2 (en) | 2019-03-29 | 2021-05-11 | Valve Corporation | Game controller operable in bluetooth low energy (BLE) mode |
| US11316849B1 (en) | 2019-04-04 | 2022-04-26 | United Services Automobile Association (Usaa) | Mutual authentication system |
| SG10201906806XA (en) * | 2019-07-23 | 2021-02-25 | Mastercard International Inc | Methods and computing devices for auto-submission of user authentication credential |
| US11336639B1 (en) * | 2019-09-19 | 2022-05-17 | Ca, Inc. | Systems and methods for managing a need-to-know domain name system |
| US11184736B2 (en) * | 2019-10-08 | 2021-11-23 | International Business Machines Corporation | Digital person and digital persona verification |
| CN110995416A (zh) * | 2019-10-12 | 2020-04-10 | 武汉信安珞珈科技有限公司 | 一种将移动端与客户端关联的方法 |
| US11304246B2 (en) * | 2019-11-01 | 2022-04-12 | Microsoft Technology Licensing, Llc | Proximity-based pairing and operation of user-specific companion devices |
| WO2021113034A1 (en) * | 2019-12-05 | 2021-06-10 | Identité, Inc. | Full-duplex password-less authentication |
| US20220116385A1 (en) * | 2019-12-05 | 2022-04-14 | Identité, Inc. | Full-Duplex Password-less Authentication |
| US11323283B2 (en) * | 2020-02-27 | 2022-05-03 | Haier Us Appliance Solutions, Inc. | Domestic appliance commissioning |
| US11537701B2 (en) * | 2020-04-01 | 2022-12-27 | Toyota Motor North America, Inc. | Transport related n-factor authentication |
| AU2021349869B2 (en) | 2020-09-28 | 2024-05-23 | Jamf Software, Llc | Passwordless authentication |
| WO2022069056A1 (en) * | 2020-10-02 | 2022-04-07 | Huawei Technologies Co., Ltd. | Protection of sensitive user data in communication networks |
| US20220191027A1 (en) * | 2020-12-16 | 2022-06-16 | Kyndryl, Inc. | Mutual multi-factor authentication technology |
| CN113726807B (zh) * | 2021-09-03 | 2023-07-14 | 烟台艾睿光电科技有限公司 | 一种网络摄像机访问方法、设备、***及存储介质 |
| EP4399879A1 (en) * | 2021-09-09 | 2024-07-17 | Koninklijke Philips N.V. | Checking locality of devices |
| US20230345241A1 (en) * | 2022-04-25 | 2023-10-26 | Apple Inc. | Brokered service discovery and connection management |
| US20240283657A1 (en) * | 2022-08-05 | 2024-08-22 | Scramble Id, Inc. | Systems methods and devices for dynamic authentication and identification |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101345622A (zh) * | 2007-07-10 | 2009-01-14 | 李代甫 | 可以明确装置持有者权力的信息安全装置 |
| US8103247B2 (en) * | 2006-10-31 | 2012-01-24 | Microsoft Corporation | Automated secure pairing for wireless devices |
| CN102461128A (zh) * | 2009-05-04 | 2012-05-16 | 苹果公司 | 基于接近而配对移动设备的方法和装置 |
| CN104205123A (zh) * | 2012-03-26 | 2014-12-10 | 赛门铁克公司 | 用于安全的第三方数据存储的***和方法 |
| US20150026723A1 (en) * | 2010-12-10 | 2015-01-22 | Rogers Communications Inc. | Method and device for controlling a video receiver |
| WO2015056008A1 (en) * | 2013-10-17 | 2015-04-23 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| US9032498B1 (en) * | 2014-05-25 | 2015-05-12 | Mourad Ben Ayed | Method for changing authentication for a legacy access interface |
| CN105230111A (zh) * | 2013-03-15 | 2016-01-06 | 脸谱公司 | 用于网络计算的便携式平台 |
| CN105323059A (zh) * | 2014-07-31 | 2016-02-10 | 三星电子株式会社 | 设置或去除内容的安全措施的设备和方法 |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11110350A (ja) * | 1997-09-30 | 1999-04-23 | Mitsubishi Materials Corp | コンピュータとパスワード管理方法並びにパスワード管理プログラムを記憶したコンピュータに読み取り可能な記録媒体及びパスワード管理データを記憶したコンピュータに読み取り可能な記録媒体 |
| JP2003108519A (ja) * | 2001-09-27 | 2003-04-11 | Hitachi Ltd | ファイル転送システム及びプログラム |
| US7463861B2 (en) * | 2005-03-07 | 2008-12-09 | Broadcom Corporation | Automatic data encryption and access control based on bluetooth device proximity |
| ATE411694T1 (de) * | 2006-07-17 | 2008-10-15 | Research In Motion Ltd | Automatische verwaltung von sicherheitsinformationen für eine vorrichtung mit sicherheitstokenzugang und mehrfachen anschlüssen |
| US8850031B2 (en) * | 2007-11-07 | 2014-09-30 | Nec Corporation | Pairing system, pairing management device, pairing method, and program |
| JP2009135688A (ja) * | 2007-11-29 | 2009-06-18 | Fujitsu Ten Ltd | 認証方法、認証システムおよび車載装置 |
| GB2488766A (en) * | 2011-03-04 | 2012-09-12 | Intercede Ltd | Securely transferring data to a mobile device |
| EP2509275A1 (en) * | 2011-04-04 | 2012-10-10 | Buntinx | Method and system for authenticating entities by means of mobile terminals |
| JP5624510B2 (ja) * | 2011-04-08 | 2014-11-12 | 株式会社東芝 | 記憶装置、記憶システム及び認証方法 |
| KR101853813B1 (ko) | 2011-04-22 | 2018-05-03 | 삼성전자주식회사 | 디바이스들간의 보안 연결 생성 방법 및 그 장치 |
| US9378356B2 (en) * | 2012-04-13 | 2016-06-28 | Paypal, Inc. | Two factor authentication using a one-time password |
| US9106721B2 (en) * | 2012-10-02 | 2015-08-11 | Nextbit Systems | Application state synchronization across multiple devices |
| US9412283B2 (en) * | 2012-12-31 | 2016-08-09 | Piyush Bhatnagar | System, design and process for easy to use credentials management for online accounts using out-of-band authentication |
| CA2836297A1 (en) * | 2013-01-22 | 2014-07-22 | Quantera Group, Inc. Dba Push Science | System and method for managing, controlling and enabling data transmission from a first device to at least one other second device, wherein the first and second devices are on different networks |
| KR102092731B1 (ko) | 2013-05-30 | 2020-03-24 | 주식회사 알티캐스트 | 페어링 서비스 제공 방법 및 장치 |
| US9634999B1 (en) * | 2013-11-04 | 2017-04-25 | Mobile Iron, Inc. | Mobile device key management |
| US9639710B2 (en) * | 2013-12-23 | 2017-05-02 | Symantec Corporation | Device-based PIN authentication process to protect encrypted data |
| US9621645B2 (en) * | 2013-12-30 | 2017-04-11 | Google Inc. | Device pairing via a cloud server |
| US9537661B2 (en) | 2014-02-28 | 2017-01-03 | Verizon Patent And Licensing Inc. | Password-less authentication service |
| US20150304851A1 (en) * | 2014-04-22 | 2015-10-22 | Broadcom Corporation | Portable authorization device |
| US9264423B2 (en) * | 2014-06-12 | 2016-02-16 | Nadapass, Inc. | Password-less authentication system and method |
| CN111355749A (zh) * | 2014-06-18 | 2020-06-30 | 维萨国际服务协会 | 用于已认证的通信的高效方法 |
| US9197414B1 (en) * | 2014-08-18 | 2015-11-24 | Nymi Inc. | Cryptographic protocol for portable devices |
| CA2963867A1 (en) * | 2014-10-10 | 2016-04-14 | Visa International Service Association | Methods and systems for partial personalization during mobile application update |
| US9413757B1 (en) * | 2015-01-15 | 2016-08-09 | International Business Machines Corporation | Secure identity authentication in an electronic transaction |
| US10162978B2 (en) * | 2015-09-22 | 2018-12-25 | Mastercard International Incorporated | Secure computer cluster with encryption |
| JP6558577B2 (ja) * | 2015-12-03 | 2019-08-14 | リコーイメージング株式会社 | 電力情報管理装置及び電力情報管理システム |
| US10754968B2 (en) * | 2016-06-10 | 2020-08-25 | Digital 14 Llc | Peer-to-peer security protocol apparatus, computer program, and method |
-
2017
- 2017-01-27 US US15/418,344 patent/US10666642B2/en active Active
- 2017-02-23 CN CN201780010317.5A patent/CN108781163B/zh active Active
- 2017-02-23 EP EP17757249.2A patent/EP3420677B1/en active Active
- 2017-02-23 JP JP2018542782A patent/JP6701364B2/ja active Active
- 2017-02-23 WO PCT/US2017/019213 patent/WO2017147346A1/en active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8103247B2 (en) * | 2006-10-31 | 2012-01-24 | Microsoft Corporation | Automated secure pairing for wireless devices |
| CN101345622A (zh) * | 2007-07-10 | 2009-01-14 | 李代甫 | 可以明确装置持有者权力的信息安全装置 |
| CN102461128A (zh) * | 2009-05-04 | 2012-05-16 | 苹果公司 | 基于接近而配对移动设备的方法和装置 |
| US20150026723A1 (en) * | 2010-12-10 | 2015-01-22 | Rogers Communications Inc. | Method and device for controlling a video receiver |
| CN104205123A (zh) * | 2012-03-26 | 2014-12-10 | 赛门铁克公司 | 用于安全的第三方数据存储的***和方法 |
| CN105230111A (zh) * | 2013-03-15 | 2016-01-06 | 脸谱公司 | 用于网络计算的便携式平台 |
| WO2015056008A1 (en) * | 2013-10-17 | 2015-04-23 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| US9032498B1 (en) * | 2014-05-25 | 2015-05-12 | Mourad Ben Ayed | Method for changing authentication for a legacy access interface |
| CN105323059A (zh) * | 2014-07-31 | 2016-02-10 | 三星电子株式会社 | 设置或去除内容的安全措施的设备和方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113508609A (zh) * | 2019-01-04 | 2021-10-15 | 法拉第未来公司 | 一种用户友好的车载蓝牙配对方案 |
| US20230164112A1 (en) * | 2019-07-24 | 2023-05-25 | Lookout, Inc. | Service protecting privacy while monitoring password and username usage |
| US11792158B2 (en) * | 2019-07-24 | 2023-10-17 | Lookout, Inc. | Service protecting privacy while monitoring password and username usage |
| US12021828B2 (en) | 2019-07-24 | 2024-06-25 | Lookout, Inc. | Client device security for domain name resolution and browsing |
| CN111885201A (zh) * | 2020-07-31 | 2020-11-03 | 中国工商银行股份有限公司 | 数据传输方法、装置、设备及介质 |
| CN111885201B (zh) * | 2020-07-31 | 2022-11-08 | 中国工商银行股份有限公司 | 数据传输方法、装置、设备及介质 |
| CN114866251A (zh) * | 2022-04-25 | 2022-08-05 | ***股份有限公司 | 一种设备互联安全认证***、方法、装置、服务器及介质 |
| CN114866251B (zh) * | 2022-04-25 | 2023-07-07 | ***股份有限公司 | 一种设备互联安全认证***、方法、装置、服务器及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10666642B2 (en) | 2020-05-26 |
| US20170250974A1 (en) | 2017-08-31 |
| CN108781163B (zh) | 2021-06-18 |
| JP6701364B2 (ja) | 2020-05-27 |
| EP3420677B1 (en) | 2021-08-11 |
| EP3420677A1 (en) | 2019-01-02 |
| JP2019508972A (ja) | 2019-03-28 |
| WO2017147346A1 (en) | 2017-08-31 |
| EP3420677A4 (en) | 2019-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108781163A (zh) | 用于无密码计算机登录的服务辅助移动配对的***和方法 | |
| US10187211B2 (en) | Verification of password using a keyboard with a secure password entry mode | |
| US9954687B2 (en) | Establishing a wireless connection to a wireless access point | |
| US9419969B2 (en) | Method and system for granting access to a secured website | |
| Farb et al. | Safeslinger: easy-to-use and secure public-key exchange | |
| US10848304B2 (en) | Public-private key pair protected password manager | |
| US20140211944A1 (en) | System and method of protecting, storing and decrypting keys over a computerized network | |
| CN101815091A (zh) | 密码提供设备、密码认证***和密码认证方法 | |
| JP2015033038A (ja) | 情報処理装置、情報処理方法及びコンピュータプログラム | |
| JPWO2020070807A1 (ja) | 認証システム、認証方法、アプリケーション提供装置、認証装置、認証用プログラム | |
| Khattak et al. | Analysis of open environment sign-in schemes-privacy enhanced & trustworthy approach | |
| TW201539239A (zh) | 伺服器、用戶設備以及用戶設備與伺服器的交互方法 | |
| CN113826096A (zh) | 利用用户生物特征识别数据的用户认证及签名装置和方法 | |
| KR101206854B1 (ko) | 고유식별자 기반 인증시스템 및 방법 | |
| Li et al. | A proximity authentication system for smartphones | |
| JP7079528B2 (ja) | サービス提供システム及びサービス提供方法 | |
| CN201717885U (zh) | 密码提供设备和密码认证*** | |
| Zhan et al. | Authentication using multi-level social networks | |
| JP6307610B2 (ja) | データ改竄検知装置、データ改竄検知方法、及びプログラム | |
| TW201530339A (zh) | 一種身分認證系統及方法 | |
| Ussatova et al. | Software implementation of 2 FA Software implementation of two-factor authentication to ensure security when accessing an information system | |
| JP7174730B2 (ja) | 端末装置、情報処理方法及び情報処理プログラム | |
| KR101987579B1 (ko) | 웹 메일과 otp 및 디피 헬만 키교환을 이용한 보안메일의 송수신 방법 및 시스템 | |
| KR101405832B1 (ko) | 이동통신기기를 이용한 로그인 인증 시스템 및 방법 | |
| Cetin | Authentication and SQL-Injection Prevention Techniques in Web Applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20191231 Address after: California, USA Applicant after: CA,INC. Address before: California, USA Applicant before: Symantec Corporation |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |