CN109076070A - 用于辅助无摩擦双因素认证的方法和装置 - Google Patents
用于辅助无摩擦双因素认证的方法和装置 Download PDFInfo
- Publication number
- CN109076070A CN109076070A CN201780022667.3A CN201780022667A CN109076070A CN 109076070 A CN109076070 A CN 109076070A CN 201780022667 A CN201780022667 A CN 201780022667A CN 109076070 A CN109076070 A CN 109076070A
- Authority
- CN
- China
- Prior art keywords
- equipment
- identification information
- instance
- equipment identification
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000004590 computer program Methods 0.000 claims abstract description 28
- 238000013475 authorization Methods 0.000 claims abstract description 19
- 230000001413 cellular effect Effects 0.000 claims description 11
- 238000010606 normalization Methods 0.000 claims description 9
- 241001269238 Data Species 0.000 claims description 5
- 230000005611 electricity Effects 0.000 claims description 2
- 230000008569 process Effects 0.000 description 36
- 238000004891 communication Methods 0.000 description 25
- 230000006870 function Effects 0.000 description 14
- 238000012795 verification Methods 0.000 description 10
- 238000001514 detection method Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 6
- 230000015654 memory Effects 0.000 description 6
- 230000003993 interaction Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000011521 glass Substances 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000018199 S phase Effects 0.000 description 1
- 230000004308 accommodation Effects 0.000 description 1
- 230000003321 amplification Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000004438 eyesight Effects 0.000 description 1
- 210000003128 head Anatomy 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000003199 nucleic acid amplification method Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000010010 raising Methods 0.000 description 1
- 210000001525 retina Anatomy 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 210000000707 wrist Anatomy 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/12—Payment architectures specially adapted for electronic shopping systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
- G06Q30/08—Auctions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- Finance (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了一种用于辅助执行无摩擦双因素认证的方法、装置和计算机程序产品。一种示例方法包括从第一实体接收在第一实体处接收的请求的指示,以从与用户相关联的设备访问账户,所述指示包括具有授权访问账户的至少一个设备的第一设备标识信息的至少一个实例,从第二实体接收第二设备标识信息,第二设备标识信息在设备访问网络地址时被确定,执行第一设备标识信息与第二设备标识信息之间的实时比较,并且如果在第一设备标识信息和第二设备标识信息之间检测到匹配,则提示第一实体准许设备访问账户。
Description
技术领域
本文描述的实施例总地涉及无摩擦双因素认证。具体地,本文描述的实施例涉及提供对访问的认证同时减少用户输入,并且具体地,涉及用于从指示具有授权的设备的安全***以及从指示设备试图访问安全***的网络提供商两者接收设备标识信息的方法、装置和计算机程序产品。
背景技术
虽然传统的双因素认证确实在标准登录过程方面提供了一些提高的安全性,但是部分地由于给用户带来的不便而尚未被广泛采用。
在这方面,已经确定了用于改进已知的、现有的和/或传统的认证***的领域。通过应用努力、独创性和创新,已经实现了用于改进这种***的解决方案,并且结合本发明的实施例对其进行了描述。
概述
借助IoT(物联网),黑客现在可以访问我们的物理世界,并且没有足够的安全/认证,能够解锁其他人的锁、霸占他们的汽车,甚至禁用或破坏关键基础设施,如水坝和电网。
通过首先验证解锁设备的移动设备身份,本发明的实施例能够更好地保护个人和公共IoT资产免受迫在眉睫的威胁。在一些实施例中,设备的所有权(例如,通过设备自己的生物特征和与IoT设备的接近度)也可以用于认证。
计算设备(例如,利用移动应用程序的移动设备、使用浏览器的计算机、为特定目的设计的信息亭)是普遍的,并且与用于电子账户访问(例如,“登录”)的单点登录***相结合,用于在线银行业务、解锁您的房屋或汽车、访问您的社交网络环境、购买和销售门票等一切。最常见的,用户名和密码是必需的,但已被发现很容易破解,因为许多用户容易忘记或懒得创建安全密码。传统的双因素认证可能会有所帮助,但却充满了摩擦-用户可能会保存其用户名和密码,但传统的双因素认证要求他们等待代码然后在访问之前输入代码。
本发明的实施例提供2FA的安全性,但不需要等待和随后输入代码的摩擦。其他实施例将无摩擦双因素认证的过程与生物特征输入(例如,指纹、视网膜扫描等)和位置数据中的一个或两者组合,以在例如解锁您的房屋或汽车或允许访问您的银行账户之前对设备及其一个或两个拥有物或其附近进行认证。
简要内容
本文描述的实施例提供无摩擦双因素认证。具体地,提供了一种方法、装置和计算机程序产品,用于从指示具有授权的设备的安全***和从指示设备试图访问安全***以认证访问的网络提供商两者接收设备标识信息。
在一些实施例中,可以提供一种用于执行无摩擦双因素认证的方法,所述方法包括:从第一实体接收在所述第一实体处接收的从与用户相关联的设备访问账户的请求的指示,所述指示包括具有授权访问所述账户的至少一个设备的第一设备标识信息的至少一个实例,向所述第一实体提供网络地址,所述网络地址被配置为从所述第一实体被发送到所述设备,从第二实体接收第二设备标识信息,所述第二设备标识信息在所述设备访问所述网络地址时被确定,执行所述第一设备标识信息和所述第二设备标识信息之间的实时比较,以及如果在所述第一设备标识信息和所述第二设备标识信息之间检测到匹配,则提示所述第一实体准许所述设备访问所述账户。
在一些实施例中,所述网络地址是统一资源定位符(URL)地址。在一些实施例中,所述第一实体是银行服务器。在一些实施例中,所述第二实体是蜂窝网络提供商或电缆网络提供商。在一些实施例中,所述方法可以进一步包括确定(i)所述第一设备标识信息与(ii)所述第二设备标识信息相匹配的置信度。
在一些实施例中,所述方法可以进一步包括归一化所述第一设备标识信息和所述第二设备标识信息,以及确定(i)归一化的第一设备标识信息与(ii)归一化的第二设备标识信息是否相匹配。
在一些实施例中,所述第一设备标识信息和所述第二设备标识信息是电话号码、设备序列号、唯一序列号(ICCID)、国际移动订户身份(IMSI)号码或国际移动设备身份(IMEI)中的至少一个。
在一些实施例中,所述方法可以进一步包括从所述第一实体接收第一组生物特征数据,所述第一组生物特征数据在所述第一实体处登录时使用,从所述第二实体接收第二组生物特征数据,所述第二组生物特征数据在访问网络地址时使用,以及执行所述第一组生物特征数据和所述第二组生物特征数据之间的比较。
在一些实施例中,可以提供一种用于执行无摩擦双因素认证的装置,所述装置包括至少一个处理器和包括计算机程序代码的至少一个存储器,所述至少一个存储器和所述计算机程序代码被配置为利用所述处理器使所述装置至少:从第一实体接收在所述第一实体处接收的从与用户相关联的设备访问账户的请求的指示,所述指示包括具有授权访问所述账户的至少一个设备的第一设备标识信息的至少一个实例,向所述第一实体提供网络地址,所述网络地址被配置为从所述第一实体被发送到所述设备;从第二实体接收第二设备标识信息,所述第二设备标识信息在所述设备访问所述网络地址时被确定,执行所述第一设备标识信息和所述第二设备标识信息之间的实时比较,以及如果在所述第一设备标识信息和所述第二设备标识信息之间检测到匹配,则提示所述第一实体准许所述设备访问所述账户。
在一些实施例中,所述网络地址是统一资源定位符(URL)地址。在一些实施例中,所述第一实体是银行服务器。在一些实施例中,所述第二实体是蜂窝网络提供商或线缆网络提供商。
在一些实施例中,所述至少一个存储器和所述计算机程序代码进一步被配置为利用所述处理器使所述装置确定(i)所述第一设备标识信息与(ii)所述第二设备标识信息相匹配的置信度。
在一些实施例中,所述至少一个存储器和所述计算机程序代码进一步被配置为利用所述处理器使所述装置归一化所述第一设备标识信息和所述第二设备标识信息,并确定(i)归一化的第一设备标识信息与(ii)归一化的第二设备标识信息是否相匹配。
在一些实施例中,所述第一设备标识信息和所述第二设备标识信息是电话号码、设备序列号、唯一序列号(ICCID)、国际移动订户身份(IMSI)号码或国际移动设备身份(IMEI)中的至少一个。
在一些实施例中,所述至少一个存储器和所述计算机程序代码进一步被配置为利用所述处理器使所述装置从所述第一实体接收第一组生物特征数据,所述第一组生物特征数据在所述第一实体处登录时使用,从所述第二实体接收第二组生物特征数据,所述第二组生物特征数据在访问所述网络地址时使用,以及执行所述第一组生物特征数据和所述第二组生物特征数据之间的比较。
在一些实施例中,可以提供一种用于执行无摩擦双因素认证的计算机程序产品,所述计算机程序产品包括至少一个非暂时性计算机可读存储介质,其中存储有计算机可执行程序代码指令,所述计算机可执行程序代码指令包括用于以下操作的程序代码指令:从第一实体接收在所述第一实体处接收的从与用户相关联的设备访问账户的请求的指示,所述指示包括具有授权访问所述账户的至少一个设备的第一设备标识信息的至少一个实例;向所述第一实体提供网络地址,所述网络地址被配置为从所述第一实体被发送到所述设备;从第二实体接收第二设备标识信息,所述第二设备标识信息在所述设备访问所述网络地址时被确定;执行所述第一设备标识信息和所述第二设备标识信息之间的实时比较;以及如果在所述第一设备标识信息和所述第二设备标识信息之间检测到匹配,则提示所述第一实体准许所述设备访问所述账户。
在一些实施例中,所述网络地址是统一资源定位符(URL)地址。在一些实施例中,所述第一实体是银行服务器。在一些实施例中,所述第二实体是蜂窝网络提供商或电缆网络提供商。
在一些实施例中,所述计算机可执行程序代码指令进一步包括用于以下操作的程序代码指令:确定(i)所述第一设备标识信息与(ii)所述第二设备标识信息相匹配的置信度。
在一些实施例中,所述计算机可执行程序代码指令进一步包括用于以下操作的程序代码指令:归一化所述第一设备标识信息和所述第二设备标识信息,以及确定(i)归一化的第一设备标识信息与(ii)归一化的第二设备标识信息是否相匹配。
在一些实施例中,所述第一设备标识信息和所述第二设备标识信息是电话号码、设备序列号、唯一序列号(ICCID)、国际移动订户身份(IMSI)号或国际移动设备身份(IMEI)中的至少一个。
在一些实施例中,所述计算机可执行程序代码指令进一步包括用于以下操作的程序代码指令:从所述第一实体接收第一组生物特征数据,所述第一组生物特征数据在所述第一实体处登录时使用,从所述第二实体接收第二组生物特征数据,所述第二组生物特征数据在访问所述网络地址时使用,以及执行所述第一组生物特征数据和所述第二组生物特征数据之间的比较。
在一些实施例中,可以提供一种用于执行无摩擦双因素认证的装置,所述装置包括用于从第一实体接收在所述第一实体处接收的从与用户相关联的设备访问账户的请求的指示的装置,所述指示包括具有授权访问所述账户的至少一个设备的第一设备标识信息的至少一个实例,用于向所述第一实体提供所述网络地址的装置,所述网络地址被配置为从所述第一实体被发送到所述设备,用于从第二实体接收第二设备标识信息的装置,所述第二设备标识信息在所述设备访问所述网络地址时被确定,用于执行所述第一设备标识信息和所述第二设备标识信息之间的实时比较的装置,以及如果在所述第一设备标识信息和所述第二设备标识信息之间检测到匹配,用于提示第一实体准许所述设备访问所述账户的装置。
在一些实施例中,所述网络地址是统一资源定位符(URL)地址。在一些实施例中,所述第一实体是银行服务器。在一些实施例中,所述第二实体是蜂窝网络提供商或电缆网络提供商。
在一些实施例中,所述装置可以进一步包括用于确定(i)所述第一设备标识信息与(ii)所述第二设备标识信息相匹配的置信度的装置。
在一些实施例中,所述装置可以进一步包括用于归一化所述第一设备标识信息和所述第二设备标识信息的装置,以及用于确定(i)归一化的第一设备标识信息与(ii)归一化的第二设备标识信息是否相匹配的装置。
在一些实施例中,所述第一设备标识信息和所述第二设备标识信息是电话号码、设备序列号、唯一序列号(ICCID)、国际移动订户身份(IMSI)号码或国际移动设备身份(IMEI)中的至少一个。
在一些实施例中,所述装置可以进一步包括用于从所述第一实体接收第一组生物特征数据的装置,所述第一组生物特征数据在所述第一实体处登录时使用,用于从所述第二实体接收第二组生物识别数据的装置,所述第二组生物特征数据在访问所述网络地址时使用,以及用于执行所述第一组生物特征数据和所述第二组生物特征数据之间的比较的装置。
附图简要说明
已经用通用术语描述了本发明的实施例,现在将参考附图,附图不一定按比例绘制,并且其中:
图1是可以根据本发明的示例性实施例具体配置的***的框图;
图2是可以根据本发明的示例性实施例具体配置的装置的框图;
图3、图4A和图4B是数据流程图,每个示出了根据本发明的实施例的示例***的示例性操作;以及
图5、图6A和图6B描绘了流程图,每个流程图示出了根据本发明的实施例的示例装置的示例性操作方法。
详细描述
现在将在下文中参考附图更全面地描述一些示例性实施例,附图中示出了一些但不是所有的实施例。实际上,示例性实施例可以采用许多不同的形式,并且不应该被解释为限于本文阐述的实施例;相反,提供这些实施例是为了使本公开满足适用的法律要求。相同的附图标记始终指代相同的元件。
如本文所使用的,术语“数据”、“内容”、“信息”和类似术语可以互换使用,以指代根据本发明的实施例能够被发送、接收和/或存储的数据。因此,不应该使用任何这样的术语来限制本发明的实施例的精神和范围。此外,在本文中描述的计算设备从另一计算设备接收数据的情况下,应当理解的是,数据可以直接从另一计算设备接收,或者可以经由一个或更多中间计算设备(诸如,例如,一个或更多服务器、中继器、路由器、网络接入点、基站、主机等,本文有时称为“网络”)间接接收。类似地,在本文描述的计算设备将数据发送到另一计算设备的情况下,应当理解的是,数据可以直接发送到另一计算设备,或者可以经由一个或更多中间计算设备(诸如,例如,一个或更多服务器、中继器、路由器、网络接入点、基站、主机等)间接发送。
此外,如本文中可能使用的术语“示例性”不是为了传达任何定性评估而提供的,而是仅仅为了传达示例的说明。因此,不应该使用任何这样的术语来限制本发明的实施例的精神和范围。
本文使用的术语“设备标识信息”指的是可以标识计算设备的任何信息。例如,设备标识信息可以指用户的订户ID,其可以与以下项类似或相同:移动设备的电话号码/来电ID号码、移动设备的电话号码、移动设备的来电ID号码、国际移动设备身份(InternationalMobile Equipment Identity,IMEI)/唯一序列号(unique serial number,ICCID)数据、基于网络的MAC地址、计费记录的调制解调器证书、DOCSIS集线器/媒体访问层路由分配、电缆调制解调器证书、设备序列号等,英特尔博锐以及受信平台模块密钥等。在一些实施例中,可以使用公共/私有密钥加密或其他加密手段或其他类似算法(例如,用于***/客户/银行/无线网络/其他隐私或其他原因)数据形式以散列、单向散列、加密、数字签名来存储、发送和/或接收设备标识信息。
本文使用的“网络提供商”可以是,例如,无线网络提供商(例如,Verizon、AT&T、T-Mobile等),其可以具有诸如用户名、账单地址、设备安装地址、出生日期、到用户的无线设备(例如,移动电话)的塔式路由/路由器信息、IP WAN地址、IP LAN地址、IP DMZ信息、无线设备的设备信息(序列号、证书编号、型号、IMEI号等),以及其他信息之类的数据,它可以类似地提供给第三方。
类似地,在用户可以通过有线连接(例如,经由电缆、DSL、诸如经由卫星天线***的任何非无线电话运营商装置)访问互联网的那些实施例中,“网络提供商”可以是例如有线网络提供商。例如,用户的电缆电视公司(例如:cox电缆)可以具有诸如用户名、账单地址、设备安装地址、出生日期等其他字段,到用户的电缆调制解调器(家庭)的电缆有线路由/路由器信息、IP WAN地址、IP LAN地址、IP DMZ信息、电缆调制解调器设备信息(序列号、证书编号、型号等),以及其他信息之类的数据,它可以类似地提供给第三方。
例如,本文使用的“安全***”可以指任何组织、个人、公司、政府或寻求提供安全数据环境的其他实体,包括例如银行、电子商务公司、娱乐公司、IOT设备/公司(IOT意味着物联网),金融科技(fintech)公司、社交网络公司、文件存储公司等。
如本文所使用的,例如,“匹配”可以以例如二进制形式或更细粒度形式(例如,分数,例如,范围从0-100等)来检测、确定和/或报告。
***体系架构
本发明的方法、装置和计算机程序产品可以由各种设备中的任何一种来体现。例如,示例性实施例的方法、装置和计算机程序产品可以由被配置为与一个或更多设备(诸如一个或更多用户设备、网络运营商/提供商,以及安全平台和支付***(例如,银行***、支付***、电子商务平台、IoT设备、IoT设备公司或任何其他组织、个人、公司、政府或其他实体,如金融科技公司、社交网络平台或公司、文件存储平台或公司)的提供商)进行通信的联网设备(诸如服务器或其他网络实体)来体现。附加地或替代地,联网设备可以包括固定计算设备,诸如个人计算机或计算机工作站。更进一步地,示例性实施例可以由各种移动终端中的任何一种来体现,诸如便携式数字助理(portable digital assistant,PDA)、移动电话、智能手机、膝上型计算机、平板计算机或上述设备的任何组合。
在这方面,图1示出了本发明的实施例可以在其中操作的示例计算***。具体地,可以包括服务器114和数据库116的认证服务102可操作为:从安全***104接收第一设备标识信息,其指示例如用户或具有对安全***104的预授权访问的设备,接收指示试图获得对安全***104的访问的实际用户或设备的第二设备标识信息,比较第一设备标识信息和第二设备标识信息,并且在它们匹配的实例中,提示安全***104允许访问。认证服务102可以由例如网络服务器、云服务器、Linux或LAMP服务器堆栈、Windows服务器、移动设备来体现,并且被连接到互联网、无线通信基础设施和相关联的路由器和其他相关设备。
服务器114可以体现为单个计算机或多个计算机,并且可以提供对访问安全***104A-104N的用户和/或设备的认证。数据库116可以体现为数据存储设备,诸如一个或更多网络附加存储(Network Attached Storage,NAS)设备,或者体现为一个或更多单独的数据库服务器。数据库116包括由服务器114访问和存储以辅助对认证服务102的操作的信息。
返回图1,操作例如用户设备108A-108N的用户可以经由网络112(例如,互联网等)访问或尝试访问安全***104A-104N。在一些实施例中,数据流量可以通过网络提供商110A-110N路由或由网络提供商110A-110N管理。安全***104A-104N可以经由网络112访问认证服务102,以例如认证尝试访问***的用户和/或设备。在电子商务实施例中,用户设备108A-108N和/或安全***104A-104N可以经由网络112访问或尝试访问支付***106A-106N。
用户设备108A-108N可以是本领域已知的并且由用户操作的任何计算设备。由安全***104A-104N、支付***106A-106N或网络提供商110A-110N从用户设备108A-108N接收的电子数据可以以各种形式并经由各种方法提供。用户设备108A-108N可以包括移动设备,诸如膝上型计算机、智能电话、上网本、平板计算机、可穿戴设备(例如,电子表、腕带、眼镜等)等。这样的移动设备可以向安全***104提供访问安全***104的请求或搜索查询,或者尝试访问安全***104。
在用户设备108A-108N是诸如智能电话或平板电脑之类的移动设备的实施例中,用户设备108A-108N可以执行“应用程序”或“用户应用程序”,以与安全***104A-104N、支付***106A-106N和/或网络提供商110A-110N进行交互。这种应用程序通常设计为在移动设备(诸如平板电脑或智能手机)上执行而不使用浏览器。例如,可以提供在移动设备操作***(诸如Apple公司的Alphabet公司的或Microsoft公司的)上执行的应用程序。这些平台通常提供允许应用程序彼此之间以及与移动设备的特定硬件和软件组件进行通信的框架。例如,上面提到的移动操作***各自提供框架,用于以允许应用程序之间的改进交互同时还保持用户的隐私和安全性的方式与位置服务电路、有线和无线网络接口、用户联系人和其他应用程序进行交互。在一些实施例中,移动操作***还可以提供改进的通信接口,用于与外部设备(例如,家庭和/或汽车安全和/或自动化***、导航***等)进行交互。
与在应用程序外部执行的硬件和软件模块通信通常经由移动设备操作***提供的应用程序编程接口(application programming interface,API)提供。
附加地或替代地,用户设备108A-108N可以经由网页浏览器通过安全***104A-104N和/或支付***106A-106N进行交互。作为又一示例,用户设备108A-108N可以包括被设计为与一个或更多安全***104A-104N和/或支付***106A-106N接口的各种硬件或固件(例如,其中用户设备108A-108N是为与安全***104A-104N和/或支付***106A-106N(例如商店信息亭)进行通信的主要目的而提供的专用设备)。
再次,返回参考图1,***100经由网络112支持用户设备108A-108N与安全***104A-104N和/或支付***106A-106N之间的通信。虽然***100可以支持经由5G、长期演进(Long Term Evolution,LTE)或高级LTE(LTE-A)网络的通信,但是一些实施例还可以支持用户设备108A-108N与安全***104之间的通信,包括根据以下项进行配置的那些通信:宽带码分多址(W-CDMA)CDMA2000、全球移动通信***(GSM)、通用分组无线业务(GPRS)、IEEE802.11标准(包括,例如IEEE 802.11ah或802.11ac标准或其他较新的修订标准)、无线本地接入网络(WLAN)、全球微波接入互操作性(WiMAX)协议、通用移动电信***(UMTS)、地面无线电接入网络(UTRAN)等,以及其他标准,例如,关于多域网络的标准,其可以包括工业无线通信网络,例如蓝牙、ZigBee等。
安全***104A-104N和/或支付***106A-106N可以由各种网络实体中的任何一种体现,诸如,例如服务器等。在其他实施例中,网络实体可以包括移动电话、智能电话、便携式数字助理(PDA)、台式计算机、膝上型计算机、平板计算机、许多其他手持或便携式通信设备中的任何一种、计算设备、内容生成设备、内容消费设备(例如,移动媒体播放器、虚拟现实设备、混合现实设备、可穿戴设备、虚拟机、基于云的设备或其组合)、物联网(IoT)设备、传感器、仪表等。
例如,IoT设备、传感器和/或仪表可以部署在各种不同的应用程序中,包括家庭和/或汽车安全和/或自动化应用程序,以便例如在环境监测应用程序中、在工业过程自动化应用程序中、车辆或运输自动化应用程序中、在医疗保健和健身应用程序中、在建筑自动化和控制应用程序中和/或在温度传感应用程序中服务。
认证服务102和/或服务器114可以体现为或者包括具体配置为执行相应设备的功能的装置200,通常由图2的框图所表示。虽然可以采用该装置,例如,如图2所示,应该注意的是,下面描述的组件、设备或元件可以不是强制性的,因此在某些实施例中可以省略一些。另外,一些实施例可以包括除了本文示出和描述的那些之外的其他或不同的组件、设备或元件。
装置体系架构
无论体现认证服务102或服务器112的设备的类型如何,认证服务102或服务器112可以包括装置200或者与装置200相关联,如图2所示。在这方面,该设备可以包括或以其他方式与处理器202、存储器设备204、通信接口206、用户接口208和比较模块210进行通信。这样,在一些实施例中,尽管设备或元件被示出为彼此通信,但是在下文中这样的设备或元件应被认为能够体现在相同的设备或元件内,因此,被示出为处于通信中的设备或元件应该被理解为可选地是同一设备或元件的一部分。
在一些实施例中,处理器202(和/或协处理器或协助处理器或以其他方式与处理器相关联的任何其他处理电路)可以经由总线与存储器设备204进行通信,用于在装置的组件之间传递信息。例如,存储器设备可以包括例如一个或更多易失性和/或非易失性存储器。换句话说,例如,存储器设备可以是电子存储设备(例如,计算机可读存储介质),其包括被配置为存储可由机器(例如,类似处理器的计算设备)检索的数据(例如,比特)的栅极。存储器设备可以被配置为存储信息、数据、内容、应用程序、指令等,以使得装置200能够执行根据本发明示例性实施例的各种功能。例如,存储器设备可以被配置为缓冲输入数据,以供处理器处理。附加地或替代地,存储器设备可以被配置为存储指令用于由处理器执行。
如上所述,装置200可以由被配置为采用本发明的一个或更多示例性实施例的认证服务102或服务器114来体现。然而,在一些实施例中,该装置可以体现为芯片或芯片组。换句话说,该装置可包括一个或更多物理封装(例如,芯片),其包括结构组件(例如,基板)上的材料、部件和/或连线。结构组件可以为其上包括的组件电路提供物理强度、尺寸保持和/或电相互作用的限制。因此,在一些情况下,该装置可以被配置为在单个芯片上或作为单个“片上***”实现本发明的实施例。因此,在一些情况下,芯片或芯片组可以构成用于执行用于提供本文描述的功能的一个或更多操作的装置。
处理器202可以以多种不同方式体现。例如,处理器可以体现为各种硬件处理装置中的一个或更多,诸如协处理器、微处理器、控制器、数字信号处理器(digital signalprocessor,DSP)、具有或不具有伴随DSP的处理元件或各种其他处理电路,包括集成电路,诸如,例如ASIC(application specific integrated circuit,专用集成电路)、FPGA(field programmable gate array,现场可编程门阵列)、微控制器单元(microcontrollerunit,MCU)、硬件加速器、专用计算机芯片等。这样,在一些实施例中,处理器可以包括被配置为独立执行的一个或更多处理核。多核处理器可以使得能够在单个物理包内进行多处理。附加地或替代地,处理器可以包括经由总线串联配置的一个或更多处理器,以使得能够独立执行指令、流水线和/或多线程。
在示例性实施例中,处理器202可以被配置为执行存储在存储器设备204中或者处理器可访问的指令。可替代地或附加地,处理器可以被配置为执行硬编码功能。这样,无论是通过硬件或软件方法配置,还是通过其组合配置,处理器可以表示能够根据本发明的实施例执行操作同时相应地进行配置的实体(例如,物理地包含在电路中)。因此,例如,当处理器体现为ASIC、FPGA等时,处理器可以是专门配置的硬件,用于进行本文描述的操作。或者,作为另一示例,当处理器体现为软件指令的执行器时,指令可以具体地配置处理器以在执行指令时执行本文描述的算法和/或操作。然而,在一些情况下,处理器可以是特定设备的处理器,其被配置为通过由用于执行本文描述的算法和/或操作的指令进一步配置处理器来利用本发明的实施例。处理器可以包括时钟、算术逻辑单元(arithmetic logic unit,ALU)和被配置为支持处理器的操作的逻辑门等。在一个实施例中,处理器还可以包括用户接口电路,其被配置为控制用户接口208的一个或更多元件的至少一些功能。
同时,通信接口206可以是以被配置为接收和/或发送数据的硬件或硬件和软件的组合体现的任何装置,诸如设备或电路。在这方面,通信接口206可以包括例如天线(或多个天线)和用于实现无线通信的支持硬件和/或软件。附加地或替代地,通信接口可以包括用于与一个或更多天线进行交互的电路,以使得经由一个或更多天线发送信号或者处理经由一个或更多天线接收的信号的接收。例如,通信接口可以被配置为与可穿戴设备(例如,头戴式显示器)进行无线通信,例如通过Wi-Fi、蓝牙或其他无线通信技术。在一些情况下,通信接口可以替代地或还可以支持有线通信。这样,例如,通信接口可以包括通信调制解调器和/或用于支持经由电缆、数字订户线(digital subscriber line,DSL)、通用串行总线(universal serial bus,USB)或其他机制的通信的其他硬件/软件。例如,通信接口可以被配置为经由有线通信与计算设备的其他部件进行通信。
用户接口208可以与处理器202(例如用户接口电路)进行通信,以接收用户输入的指示和/或向用户提供听觉、视觉、机械或其他输出。这样,用户接口可以包括例如键盘、鼠标、操纵杆、显示器、触摸屏显示器、麦克风、扬声器和/或其他输入/输出机构。在一些实施例中,显示可以指在屏幕上、墙壁上、眼镜上(例如,近眼显示器)、空中等显示。用户接口还可以与存储器204和/或通信接口206进行通信,例如通过总线。
数据流
图3描绘了示例性数据流300,其示出了用户设备(例如,诸如用户设备108A-108N之一的用户设备302、诸如安全***104A-104N之一的安全***304、诸如网络提供商110A-110N之一的网络提供商306)和认证***102之间的交互。数据流300示出了根据本发明的实施例的如何在各种***之间传递电子信息。
在步骤302中,用户设备350发送数据(例如,页面请求),或者例如在一些实施例中,启动API,尝试访问安全***360。在304中,提供登录页面,并且操作用户设备306的用户提供登录凭证。在一些实施例中,保存登录凭证,并且提供登录凭证不需要来自用户的即时输入。
然后在步骤308中,需要双因素认证的安全***通过向认证服务380提供认证请求和例如第一设备标识信息来请求认证用户设备。第一设备标识信息可以包括用于具有对安全***的预授权访问的一个或更多用户设备的每一个的一个或更多电话号码。例如,当注册时或在先前的登录时,用户可以提供被授权设备的列表和/或被授权设备的设备标识信息,从而允许它们访问该账户。
为了努力确定当前正尝试访问安全***的用户设备的标识信息,***可以执行多个过程中的一个或更多。通常,***可以被配置为将用户设备引导到可以在该处确定、检测、识别或以其他方式访问标识信息的目的地。例如,可以向用户设备提供用以检测连接(ping)的URL、要连接的应用程序等。在一些实施例中,可以从安全***接收目的地,而在其他实施例中,可以从认证服务接收目的地。通过发送SMS消息从而需要点击、经由来自应用程序的通知、或者任何其他形式的例如用户对机器的电子通信,目的地可以经由API调用、经由机器人程序(bot)直接提供给用户设备、在其上执行的浏览器、在那里执行的应用程序。
例如,认证服务380可以在步骤310中请求网络地址,并且在步骤312中接收网络地址,网络地址例如可以是被配置为传递到安全***或直接传递到用户设备的URL等,用于用户设备检测连接或以其他方式访问。这样,在步骤314中,认证服务将网络地址提供给安全***,并且在步骤316中,将网络地址提供给用户设备。在步骤318中,用户设备检测连接或以其他方式访问网络地址,其中,例如,网络提供商在步骤320中,例如从分组报头接收、读取、提取或以其他方式确定设备标识信息。
具体地,用户设备可以存储标识信息或以其他方式与标识信息相关联。例如,在移动环境中,订户识别模块(subscriber identification module,SIM)、通用订户身份模块(Universal Subscriber Identity Module,USIM)、可移除用户身份模块(Removable UserIdentity Module,R-UIM)或CDMA订户身份模块(CDMA Subscriber Identity Module,CSIM),其任何一个可以是例如存储在SIM卡或通用集成电路卡(Universal IntegratedCircuit Card,UICC)上的软件应用程序或集成电路,可以包括至少唯一的序列号(ICCID)或国际移动订户身份(international mobile subscriber identity,IMSI)号码。如本文所提到的,SIM卡可以是迷你、微型、纳米、虚拟或嵌入式的SIM。
在步骤322中,网络提供商提供并且认证服务接收第二设备标识信息,该第二设备标识信息指示试图访问安全***360的设备的设备标识信息。在没有试图访问安全***360的设备的设备标识(例如,第二设备标识信息)可用或不能够被确定、检测、识别或以其他方式访问的实例中,认证服务可被配置为执行用于双因素认证的不同过程,其中,例如,利用第一标识信息的认证服务向用户设备提供代码等,以及经由用户设备请求用户向安全***提供代码(例如,输入到应用程序或浏览器中),例如,其可能会打开认证会话。
在步骤324中,认证服务比较第一设备标识信息和第二设备标识信息。在一些实施例中,如本领域普通技术人员将理解的,从安全***接收的第一设备标识信息和/或从网络提供商接收的第二设备标识信息可以是原始的、标记化的、散列的或者以其他方式转码的(例如,出于安全原因)。比较可以首先涉及例如解码设备标识信息和比较原始数据或比较经转码的信息。在一些实施例中,比较还可以涉及设备标识信息的归一化(normalization)。也就是说,第一标识信息可以是方便的格式,例如,用于在用户的在线账户内输入或显示-其可以包括或不包括诸如标点符号(例如破折号、圆括号、括号等)、国家代码、空格等之类的元素,比较可以简单地忽略这些元素、剥离元素、或以其他方式清除(clean)数据等。
在一些实施例中,因为页面请求被监测、引导或以其他方式通过网络提供商370,所以可以在初始请求时将第二设备标识信息传递给安全***-使得安全***能够随着第一设备标识信息或在第一设备标识信息之后传递数据(例如数据分组报头)到认证***,所述数据可以被标记、散列或以其他方式转码。
在进行比较时,在步骤326中,在该比较确定例如第一设备标识信息和第二设备标识信息之间存在匹配的实例中,认证服务380可以认证和/或提示安全***认证或准许(grant)访问用户设备。然后,在步骤328中,安全***可以准许访问用户设备。
然而,在该比较确定例如第一设备标识信息和第二设备标识信息之间不存在匹配的实例中,在步骤330中,认证服务380可以通知和/或提示安全***指示其无法进行认证。然后,在步骤332中,安全***拒绝对用户设备的访问。
图4A描绘了示出用户设备和认证***102之间的交互的示例性数据流400,所述用户设备例如,诸如用户设备108A-108N之一的用户设备302、诸如安全***104A-104N之一的安全***304、诸如网络提供商110A-110N之一的网络提供商306。数据流300示出了根据本发明的实施例的如何在各种***之间传递电子信息,并且具体地,图4示出了生物特征数据的使用如何可以增加或以其他方式辅助图3的认证过程。
在一些实施例中,在确定第一设备标识信息与第二设备标识信息匹配时,安全***和/或认证服务可以被配置为执行附加认证。而在其他实施例中,安全***和/或认证服务可以被配置为使用图3中所示的无摩擦双因素认证以及生物特征数据来执行认证。也就是说,在并行使用图3所示的无摩擦双因素认证以及生物特征数据两者的实例中,安全***可以被配置为在步骤308中提供例如先前已被授权访问***的一个或更多用户的生物特征数据。在其他实施例中,例如,如图4A所示,可以在确定第一设备标识信息与第二设备标识信息匹配时提供生物特征数据。
无论何时接收到先前已被授权访问***的一个或更多用户的生物特征数据,如步骤410所示,认证服务可以请求操作当前尝试访问安全***的设备的用户的生物特征数据,在步骤415中,接收该生物特征数据。随后,在步骤420中,认证服务可以被配置为确定先前注册的生物特征数据和当前生物特征数据是否匹配。
类似于图3,在该比较确定例如先前注册的生物特征数据和当前生物特征数据之间存在匹配的实例中,在步骤425中,认证服务可以认证和/或提示安全***认证或准许访问用户设备。然后,在步骤430中,安全***可以准许访问用户设备。
然而,在该比较确定不存在匹配的实例中,认证服务380可以通知和/或提示安全***未进行匹配。然后,安全***可以拒绝对安全***的访问。
图4B描绘了示出用户设备和认证***102之间的交互的示例性数据流400,所述用户设备例如,诸如用户设备108A-108N之一的用户设备302、诸如安全***104A-104N之一的安全***304、诸如网络提供商110A-110N之一的网络提供商306。数据流300示出了根据本发明的实施例的如何在各种***之间传递电子信息,并且具体地,图4示出了位置数据的使用如何可以增加或以其他方式辅助图3的认证过程。
在一些实施例中,在确定第一设备标识信息和第二设备标识信息匹配时,安全***和/或认证服务可以被配置为执行附加认证。在其他实施例中,安全***和/或认证服务可以被配置为使用图3所示的无摩擦双因素认证以及位置数据两者来执行认证。
在并行使用图3所示的无摩擦双因素认证以及位置数据两者的实例中,安全***可以被配置为在步骤308中提供例如先前已被授权访问***的一个或更多用户的位置数据。在其他实施例中,例如,如图4B所示,可以在确定第一设备标识信息与第二设备标识信息匹配时提供位置数据。
此外,在并行使用图3所示的无摩擦双因素认证以及位置数据两者的实例中,网络提供商可以被配置为例如在步骤322中提供当前正尝试访问安全***的用户设备的位置数据。类似于设备标识信息,用户设备(例如,在数据分组报头等内)可以向网络提供商提供位置信息,而在其他实施例中,网络提供商可以根据进行连接的位置在特定方差内确定位置。在其他实施例中,例如,如图4B所示,可以在确定第一设备标识信息与第二设备标识信息匹配时提供位置数据。
然而,如果先前尚未接收到先前已被授权访问***的一个或更多用户的位置数据,如步骤455所示,则认证服务可以请求并接收先前已被授权访问安全***的一个或更多用户的位置数据。
在先前尚未接收到当前正尝试访问安全***的用户设备的位置数据的实例中,如步骤460所示,认证服务可以请求并且在步骤465中从网络提供商接收当前正尝试访问安全***的用户设备的位置数据。在也可以被执行的另一个实施例中,如步骤470所示,认证服务可以从用户设备请求并且在步骤475中从用户设备接收当前尝试访问安全***的用户设备的位置数据。随后,在步骤480中,认证服务可以被配置为确定先前注册的位置数据和当前位置数据是否匹配。
类似于图3,在该比较确定例如先前注册的位置数据和当前位置数据之间存在匹配的实例中,在步骤485中,认证服务可以认证和/或提示安全***认证或准许访问用户设备。然后,在步骤490中,安全***可以准许访问用户设备。然而,在该比较确定不存在匹配的实例中,认证服务380可以通知和/或提示安全***未进行匹配。然后,安全***可以拒绝对安全***访问。
用于实现本发明的实施例的示例性操作
在一些实施例中,装置200可以被配置为执行无摩擦双因素认证。图5、图6A和图6B示出了用于确定是否认证用户设备、提示批准或拒绝对账户的访问的示例性过程。
接收认证请求
图5示出了描绘根据本发明的实施例的用于认证设备的过程500的示例的流程图。该过程示出了在接收到认证请求时,认证***或与其相关的API如何可以接收具有先前给定的授权以访问安全***(例如,银行账户)的设备的标识信息和当前正在尝试访问安全***的设备的标识信息,并在接收到时,执行实时匹配以确定是否提示安全***允许访问。过程500可以由装置(诸如上面参考图2描述的装置200)执行。
第一实体(例如,如上所述的安全***,其可以包括例如在线银行平台)可以接收账户的登录凭证。在接收到登录凭证时,第一实体例如经由认证服务提供的API打开认证会话。这样,如图5的框505所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为从第一实体接收请求的指示。在一些实施例中,在第一实体处接收该请求,以从与用户相关联的设备访问账户。在认证服务处接收的请求的指示可以包括至少一个用户和/或具有访问账户的授权的设备的第一设备标识信息的至少一个实例。
例如,在注册时或之后的任何时间,用户可以向他们的银行或网上银行平台提供一个或更多电话号码的列表(例如,他们的蜂窝电话号码)。在其他实施例中,用户可以提供被授权访问账户的用户的列表(例如,他们的名字和姓氏等)。这样,在接收到访问账户的请求时,第一实体可以在其所有物中提供指示具有授权访问的用户或设备的设备标识信息的一个或更多实例。
在接收到访问安全***的请求的指示时,认证服务可以发起其确定当前正尝试访问账户的设备的设备标识信息的过程。在一些实施例中,认证服务可以直接向第一实体或设备提供到检测连接的URL。如图5的框510所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为向第二实体发送对网络地址的请求,并且如图5的方框515所示,该装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为从第二实体接收网络地址。
一旦拥有网络地址,则认证服务然后可以如上所述将网络地址发送到第一实体或直接发送到设备。这样,如图5的框520所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为向第一实体提供网络地址。网络地址可以被配置为从第一实体被发送到设备。
在设备检测连接或以其他方式正尝试访问网络地址之后,网络提供商可以检测、确定或以其他方式识别例如当前正尝试访问账户的设备的设备标识信息,然后将设备标识信息发送到认证服务。然后,认证接收该信息,具体地是例如订户ID(例如,电话号码)和/或在一些实施例中,接收如上所述的网络提供商可以使其与该设备相关联的其他信息(例如,账户名称、账单地址等)。因此,如图5的框525所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为从第二实体接收第二设备标识信息。在一些实施例中,可以在设备检测连接或以其他方式访问或正尝试访问网络地址时确定第二设备标识信息。
如普通技术人员将理解的,信息的格式可以变化。例如,如上所述,第一标识信息可以包括标点符号、空格等,而第二设备标识信息可以是相同或不同的格式。因此,在一些实施例中,认证可以“清除”或归一化设备标识信息,例如,以辅助将第一标识信息与第二标识信息进行比较。这样,如图5的框530所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为将数据归一化。
具有第一标识信息和第二标识信息两者,可以进行比较。因此,如图5的框535所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为执行第一设备标识信息和第二设备标识信息之间的实时比较。
在第一设备标识信息和第二设备标识信息之间匹配的实例中,如图5的框540所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为提示第一实体准许设备访问账户。也就是说,在检测到匹配的情况下,认证服务可以确定正尝试访问账户的设备实际上被授权访问账户,并且可以通知安全***。
在第一设备标识信息和第二设备标识信息之间不匹配的实例中,如图5的框545所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为提示第一实体拒绝设备访问账户。也就是说,在未检测到匹配的情况下,认证服务可能不确定正尝试访问账户的设备实际上被授权访问账户,并且因此可以通知安全***。
在一些实施例中,认证服务可以报告二进制结果(例如,匹配/不匹配)。然而,如上所述,在一些实施例中,认证服务可以报告更细粒度的结果,诸如,例如,置信度。例如,在正尝试访问账户的设备的电话号码与预授权的电话号码不匹配的情况下,认证服务可以看到标识信息(例如,账户上的名称)与正尝试账户的设备的电话号码被注册的名称匹配。这样,二进制结果可以是不匹配的结果,更细粒度的结果可以向安全***提供允许访问的置信度,或者在一些实施例中,提示更多信息。在一些实施例中,第一设备标识信息可以包括多个数据元素中的每一个,例如电话号码、名称和位置(GPS相关、账单地址等)。例如,在设备检测连接所提供的网络地址之后从网络提供商接收的第二设备标识信息可以提供包括在第一设备标识信息中的数据元素的子集。认证服务可以在进行第一设备标识信息和第二设备标识信息的比较时计算非二进制结果。
图6A和图6B分别示出了描绘根据本发明实施例的用于认证设备和用户的示例性过程600和650的流程图。该过程说明了在接收到认证请求时,认证服务或与其相关的API如何可以首先执行如图5所示的双因素认证过程,并且在认证设备时,分别使用生物特征数据和位置数据认证设备的用户。如普通技术人员将从以下公开内容中理解的,认证服务或与其相关的API可以首先执行如图5所示的双因素认证过程,并且在认证设备时,进一步使用位置数据执行对设备的认证和/或使用生物特征数据执行对设备的用户的认证。也就是说,公开了一种无摩擦三因素认证过程,其可以包括图5的无摩擦双因素认证过程和图6A或图6B中所示的任一过程。并且公开了一种无摩擦的四因素认证过程,其可以包括图5的无摩擦双因素认证过程和图6A或图6B中所示的过程,其中的每一个可以并行或以任何顺序执行。
图6A示出了描绘根据本发明的实施例的用于认证设备和用户的过程600的示例的流程图。该过程示出了在接收到认证请求时,认证服务或与其相关的API如何可以首先执行如图5所示的双因素认证过程,并且在认证设备时,使用生物特征数据认证设备的用户。过程600可以由装置(诸如上面参考图2描述的装置200)执行。
图6A的过程可以包括图5中例如如框505-530所示的与接收相关的那些步骤。如图6A的框605所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为。随后,如图5的框535所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为执行第一设备标识信息和第二设备标识信息之间的实时比较。
在第一设备标识信息和第二设备标识信息之间匹配的实例中,如图6的框605所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为向第一实体提示或请求生物特征数据。
如图6A的框610所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为从第一实体接收第一生物特征数据以及在第一实体处接收的从与用户相关联的设备访问账户的请求的指示,所述第一生物特征数据在该设备处被捕获。
如图6A的框615所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为接收第二生物特征数据,第二生物特征数据是与已被准许授权访问账户的用户相关联的数据。例如,用户可能已经在账户设置或任何先前访问的时间注册了他的指纹。
如图6A的框620所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为归一化生物特征数据。
如图6A的框625所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为执行第一生物特征数据和第二生物特征数据之间的实时比较。
在第一生物特征数据和第二生物特征数据之间匹配的实例中,如图6A的框630所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为提示第一实体准许设备访问账户。
在第一生物特征数据和第二生物特征数据之间不匹配的实例中,如图6A的框635所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为提示第一实体拒绝设备访问账户。
图6B示出了描绘根据本发明的实施例的用于认证设备和用户的过程650的示例的流程图。该过程示出了在接收到认证请求时,认证服务或与其相关的API如何可以首先执行如图5所示的双因素认证过程,并且在认证设备时,使用位置数据认证设备的用户。过程600可以由装置(诸如上面参考图2描述的装置200)执行。
图6B的过程可以包括图5的那些步骤,例如,如框505-530所示,涉及接收第一设备标识信息和第二设备标识信息。随后,如图5的框535所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为执行第一设备标识信息和第二设备标识信息之间的实时比较。
在第一设备标识信息和第二设备标识信息之间匹配的实例中,如图6B的框655所示,装置(例如,由例如认证服务102、服务器114等体现的设备200)可以被配置为向第一实体提示或请求位置数据。
在一些实施例中,图6B的过程可以包括图6A中例如如框605-635所示的关于接收第一生物特征数据和第二生物特征数据的那些步骤。在那些实施例中,并且在第一生物特征数据和第二生物特征数据之间匹配的实例中,如图6B的框655所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为向第一实体提示或请求位置数据。
无论装置是使用如图5所示的无摩擦双因素认证过程还是将图5的过程补充为如图6A所示,装置都可以被配置为使用位置进一步认证访问。如图6B的框660所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为从第一实体接收第一位置数据以及在第一实体处接收的从与用户相关联的设备访问账户的请求的指示,第一位置数据可以在设备处捕获和/或在一些实施例中从网络提供商捕获(例如,经由三角测量、到具有已知位置和半径的蜂窝基站的连接、到Wi-Fi接入点的连接、经由蓝牙、ZigBee等的连接)。
如图6B的框665所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为接收第二位置数据,第二位置数据是与已被准许授权访问账户的用户相关联的数据。例如,用户可能已经在账户设置或任何先前访问的时间注册了他的地址(例如,家庭住址、工作地址等)。
如图6B的框670所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为归一化位置数据。
如图6B的框675所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为执行第一位置数据和第二位置数据之间的实时比较。
在第一位置数据和第二位置数据之间匹配的情况,如图6B的框680所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为提示第一实体准许设备访问账户。
在第一位置数据和第二位置数据之间不匹配的实例中,如图6B的框685所示,装置(例如,由例如认证服务102、服务器114等体现的装置200)可以被配置为提示第一实体拒绝设备访问账户。
使用案例
在本发明的示例性实施例中,可以提供装置或计算机程序产品,以实现或执行用于在尝试访问IoT设备时辅助无摩擦双因素认证的方法、过程或算法,所述IoT设备例如,(i)保护或以其他方式控制对家庭、公寓、旅馆房间、汽车、存储单元、保险箱、锁(例如,自行车锁、容器锁,公文包锁、行李箱锁等)等的访问的安全***(例如,配备有本发明的实施例的物理锁),(ii)自动化***(例如,配置用于控制汽车、电力或大坝***中的一个或更多各种开关的***),或(iii)票务***。
这里,例如操作具有安装在其上的具有特定目的的移动应用程序的用户设备(例如,访问诸如他们的汽车上的锁的安全***)的用户打开应用程序,其可能需要或可能不需要登录凭证。登录后,然后用户可以向安全***或自动化***发送命令。该命令用作对访问的请求。这样,如关于图5所描述的,认证服务接收该请求的指示。
存在两个不同的实施例。首先,在用户设备和安全***可以访问例如无线网络(例如,蜂窝网络、Wi-Fi网络、专用网络等)的情况下,该过程可以如上所述继续。具体地,用户设备将命令发送到例如安全***(例如,配置用于解锁您的IoT设备),认证服务接收该请求的指示,用户设备检测连接网络地址,以及向认证服务提供指示当前正尝试访问安全***的用户设备的设备标识信息。在匹配的情况下,在安全***是远程的一个实例中,通过安全***向锁发送指示其打开的信号而打开锁,或者在安全***是本地的实例中,安全***指示锁打开。此外,如上所述,认证服务可以被配置为通过经由生物特征数据确认设备的所有权和/或经由位置数据确认接近度来进一步认证。
在另一个实施例中,通常可以访问蜂窝网络或无线电缆网络的用户设备暂时或永久地不能访问蜂窝网络或无线电缆网络。在这种情况下,可以使用例如本地近距离网络信号来使用本地近距离网络。例如,在建立例如与用户设备的蓝牙连接时,安全***可以接收命令(例如,对访问的请求),该命令在使用本地近距离网络信号时(例如,蓝牙、近场无线电信号、RF信号等)确实提供设备标识信息(即,蓝牙连接仅由请求设备识别其自身建立)并且例如在本地发起与认证服务的认证会话。在提供请求的指示时,安全***提供在建立蓝牙连接时由正尝试访问的设备提供的设备标识信息和本地存储的设备标识信息两者。然后,认证服务如上所述比较第一设备标识信息和第二设备标识信息,并如上所述提示安全***。这样,即使没有“外部”连接,本文描述的无摩擦双因素认证***也可以运行。
在票务***的实例中,在售票或转售票时,本发明的实施例可用于确认票和所有者组合的真实性。例如,票务***可以实现票的转售(例如,季票保持不能制作游戏并销售票)。在确认销售之前,已经提供销售、接收和接受要约的票的用户可以向票务***发送命令,所述票务***例如,被配置为使得能够收集票的付款和转移。票务***可以与认证服务打开认证会话,并向认证服务提供已知最近购买票的用户设备的用户设备信息(例如,第一设备标识信息)。用户设备检测连接到网络地址,并且网络提供商向认证服务提供当前尝试访问售票***的设备的设备标识信息(例如,第二设备标识信息)。在匹配时,认证服务可以提示票务***完成交易-而在没有匹配的实例中(尝试销售票的设备的设备标识信息与上次购买票的设备的设备标识信息不匹配),认证服务提示票务***拒绝交易。
此外,当试图访问事件时,用户设备可以将票提交给连接到票务***的票收集设备/信息亭,票的提交是对访问的请求。票务***(或票收集设备/信息亭)可以发起与认证服务的认证会话。同样,向认证服务提供请求上次已购买票的用户设备的设备标识信息(例如,第一设备标识信息)的指示。然后,票务***可以提示用户设备检测连接网络地址,用户设备检测连接到网络地址,并且网络提供商向认证服务提供当前正尝试访问售票***的设备的设备标识信息(例如,第二设备标识信息)。在比较之后,一旦匹配,认证服务可以提示票务***允许进入-而在没有匹配的实例中(尝试利用票进入的设备的设备标识信息与上次购买票的设备的设备标识信息不匹配),则认证服务提示票务***拒绝进入。
在另一个使用案例中,例如,在账户的初始建立中,其中用户仅提供注册信息,并且例如,安全***不提供第一设备标识信息(例如,没有先前授权的设备),认证服务可以被配置为利用能够将安全***确实提供的信息(例如,诸如姓名和地址之类的注册信息)与第二设备标识信息相关联的信息来确定、检测、识别或以其他方式访问一个或更多数据库。
具体地,操作用户设备的用户发起打开账户的过程。一定数量的注册信息是必要的。然后,安全***可以启动与认证服务的认证会话,并向注册信息提供请求的指示。用户设备检测连接网络地址,并且认证服务接收第二设备标识信息。
操作
图3、图4A、图4B、图5、图6A和图6B示出了由根据本发明的实施例的方法、装置和计算机程序产品执行的示例性操作的数据流或流程图(下文中,流程图)。将理解的是,流程图的每个框以及流程图中的框的组合可以通过各种装置(诸如硬件、固件、处理器、电路和/或与包括一个或更多计算机程序指令的软件的执行相关联的其他设备)来实现。例如,上述过程中的一个或更多可以由计算机程序指令实现。在这方面,体现上述过程的计算机程序指令可以由采用本发明实施例的装置的存储器206存储,并由装置中的处理器204执行。将理解的是,可以将任何这样的计算机程序指令加载到计算机或其他可编程装置(例如,硬件)上以产生机器,使得所得到的计算机或其他可编程装置提供流程图的一个或更多框中指定的功能的实现。这些计算机程序指令还可以存储在非暂时性计算机可读存储存储器中,该存储器可以指示计算机或其他可编程装置以特定方式起作用,使得存储在计算机可读存储存储器中的指令产生一种制品,其执行实现流程图的一个或更多框中指定的功能。计算机程序指令也可以加载到计算机或其他可编程装置上,以使得在计算机或其他可编程装置上执行一系列操作,以产生计算机实现的过程,使得在计算机或其他可编程的装置上执行的指令提供用于实现流程图的一个或更多框中指定的功能的操作。这样,图3、图4A、图4B、图5、图6A和图6B的操作在被执行时将计算机或处理电路转换成被配置成执行本发明的示例性实施例的特定机器。因此,图3、图4A、图4B、图5、图6A和图6B的操作定义了用于配置计算机或处理以执行示例性实施例的算法。在一些情况下,可以向通用计算机提供处理器的实例,其执行图3、图4A、图4B、图5、图6A和图6B的算法以将通用计算机变换为被配置为执行示例性实施例的特定机器。
因此,流程图的框支持用于执行指定功能的装置的组合和用于执行指定功能的操作的组合。还将理解的是,流程图的一个或更多框以及流程图中的框的组合可以由执行指定功能的基于硬件的专用计算机***或专用硬件和计算机指令的组合来实现。
在一些实施例中,本文中的某些操作可以是不必要的、被修改或进一步被放大的。应当理解的是,每个修改、可选的操作或放大可以单独地或与本文描述的任何其他特征一起包括在操作中。
受益于前述描述和相关附图中呈现的教导,本发明所属领域的技术人员将想到本文所阐述的本发明的许多变型和其他实施例。因此,应该理解的是,本发明不限于所公开的具体实施例,并且变型和其他实施例旨在包括在所附权利要求的范围内。此外,尽管前面的描述和相关附图在元件和/或功能的某些示例性组合的上下文中描述了示例性实施例,但是应当理解的是,可以通过替代性实施例提供元件和/或功能的不同组合而不脱离所附权利要求的范围。在这方面,例如,也可以预期元件和/或功能的不同组合,而不是上面明确描述的那些,如可以在一些所附权利要求中阐述的。尽管本文采用了特定术语,但它们仅用于一般性和描述性意义,而不是用于限制的目的。
Claims (24)
1.一种用于执行无摩擦双因素认证的方法,所述方法包括:
从第一实体接收在所述第一实体处接收的从与用户相关联的设备访问账户的请求的指示,所述指示包括具有授权访问所述账户的至少一个设备的第一设备标识信息的至少一个实例;
向所述第一实体提供网络地址,所述网络地址被配置为从所述第一实体被发送到所述设备;
从第二实体接收第二设备标识信息,所述第二设备标识信息在所述设备访问所述网络地址时被确定;
执行所述第一设备标识信息和所述第二设备标识信息之间的实时比较;以及
如果在所述第一设备标识信息和所述第二设备标识信息之间检测到匹配,则提示所述第一实体准许所述设备访问所述账户。
2.根据权利要求1所述的方法,其中,所述网络地址是统一资源定位符(URL)地址。
3.根据权利要求1或权利要求2中任一项所述的方法,其中,所述第一实体是银行服务器。
4.根据权利要求1-3中任一项所述的方法,其中,所述第二实体是蜂窝网络提供商或电缆网络提供商。
5.根据权利要求1-4中任一项所述的方法,进一步包括:确定(i)所述第一设备标识信息与(ii)所述第二设备标识信息相匹配的置信度。
6.根据权利要求1-5中任一项所述的方法,进一步包括:归一化所述第一设备标识信息和所述第二设备标识信息;以及确定(i)所述归一化的第一设备标识信息与(ii)所述归一化的第二设备标识信息是否相匹配。
7.根据权利要求1-6中任一项所述的方法,其中,所述第一设备标识信息和所述第二设备标识信息是电话号码、设备序列号、唯一序列号(ICCID)、国际移动订户身份(IMSI)号码或国际移动设备身份(IMEI)中的至少一个。
8.根据权利要求1-7中任一项所述的方法,进一步包括:从所述第一实体接收第一组生物特征数据,所述第一组生物特征数据在所述第一实体处登录时使用;从所述第二实体接收第二组生物特征数据,所述第二组生物特征数据在访问所述网络地址时使用;以及执行所述第一组生物特征数据和所述第二组生物特征数据之间的比较。
9.一种用于执行无摩擦双因素认证的装置,所述装置包括至少一个处理器和包括计算机程序代码的至少一个存储器,所述至少一个存储器和所述计算机程序代码被配置为利用所述处理器使所述装置至少:
从第一实体接收在所述第一实体处接收的从与用户相关联的设备访问账户的请求的指示,所述指示包括具有授权访问所述账户的至少一个设备的第一设备标识信息的至少一个实例;
向所述第一实体提供网络地址,所述网络地址被配置为从所述第一实体被发送到所述设备;
从第二实体接收第二设备标识信息,所述第二设备标识信息在所述设备访问所述网络地址时被确定;
执行所述第一设备标识信息和所述第二设备标识信息之间的实时比较;以及
如果在所述第一设备标识信息和所述第二设备标识信息之间检测到匹配,则提示所述第一实体准许所述设备访问所述账户。
10.根据权利要求9所述的装置,其中,所述网络地址是统一资源定位符(URL)地址。
11.根据权利要求9或10中任一项所述的装置,其中,所述第一实体是银行服务器。
12.根据权利要求9-11中任一项所述的装置,其中,所述第二实体是蜂窝网络提供商或电缆网络提供商。
13.根据权利要求9-12中任一项所述的装置,其中,所述计算机可执行程序代码指令进一步包括用于以下操作的程序代码指令:确定(i)所述第一设备标识信息与(ii)所述第二设备标识信息相匹配的置信度。
14.根据权利要求9-13中任一项所述的装置,其中,所述计算机可执行程序代码指令进一步包括用于以下操作的程序代码指令:归一化所述第一设备标识信息和所述第二设备标识信息;以及确定(i)归一化的第一设备标识信息与(ii)归一化的第二设备标识信息是否相匹配。
15.根据权利要求9-14中任一项所述的装置,其中,所述第一设备标识信息和所述第二设备标识信息是电话号码、设备序列号、唯一序列号(ICCID)、国际移动订户身份(IMSI)号码或国际移动设备身份(IMEI)中的至少一个。
16.根据权利要求9-15中任一项所述的装置,其中,所述计算机可执行程序代码指令进一步包括用于以下操作的程序代码指令:从所述第一实体接收第一组生物特征数据,所述第一组生物特征数据在所述第一实体处登录时使用;从所述第二实体接收第二组生物特征数据,所述第二组生物特征数据在访问所述网络地址时使用;以及执行所述第一组生物特征数据和所述第二组生物特征数据之间的比较。
17.一种用于执行无摩擦双因素认证的计算机程序产品,所述计算机程序产品包括至少一个非暂时性计算机可读存储介质,其中存储有计算机可执行程序代码指令,所述计算机可执行程序代码指令包括用于以下操作的程序代码指令:
从第一实体接收在所述第一实体处接收的从与用户相关联的设备访问账户的请求的指示,所述指示包括具有授权访问所述账户的至少一个设备的第一设备标识信息的至少一个实例;
向所述第一实体提供网络地址,所述网络地址被配置为从所述第一实体被发送到所述设备;
从第二实体接收第二设备标识信息,所述第二设备标识信息在所述设备访问所述网络地址时被确定;
执行所述第一设备标识信息和所述第二设备标识信息之间的实时比较;以及
如果在所述第一设备标识信息和所述第二设备标识信息之间检测到匹配,则提示所述第一实体准许所述设备访问所述账户。
18.根据权利要求17所述的计算机程序产品,其中,所述网络地址是统一资源定位符(URL)地址。
19.根据权利要求17或18中任一项所述的计算机程序产品,其中,所述第一实体是银行服务器。
20.根据权利要求17-19中任一项所述的计算机程序产品,其中,所述第二实体是蜂窝网络提供商或电缆网络提供商。
21.根据权利要求17-20中任一项所述的计算机程序产品,其中,所述计算机可执行程序代码指令进一步包括用于以下操作的程序代码指令:确定(i)所述第一设备标识信息与(ii)所述第二设备标识信息相匹配的置信度。
22.根据权利要求17-21中任一项所述的计算机程序产品,其中,所述计算机可执行程序代码指令进一步包括用于以下操作的程序代码指令:归一化所述第一设备标识信息和所述第二设备标识信息;以及确定(i)归一化的第一设备标识信息与(ii)归一化的第二设备标识信息是否相匹配。
23.根据权利要求17-22中任一项所述的计算机程序产品,其中,所述第一设备标识信息和所述第二设备标识信息是电话号码、设备序列号、唯一序列号(ICCID)、国际移动订户身份(IMSI)号码或国际移动设备身份(IMEI)中的至少一个。
24.根据权利要求17-23中任一项所述的计算机程序产品,其中,所述计算机可执行程序代码指令进一步包括用于以下操作的程序代码指令:从所述第一实体接收第一组生物特征数据,所述第一组生物特征数据在所述第一实体处登录时使用;从所述第二实体接收第二组生物特征数据,所述第二组生物特征数据在访问所述网络地址时使用;以及执行所述第一组生物特征数据和所述第二组生物特征数据之间的比较。
Applications Claiming Priority (9)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662290491P | 2016-02-03 | 2016-02-03 | |
| US62/290,491 | 2016-02-03 | ||
| US201662313845P | 2016-03-28 | 2016-03-28 | |
| US62/313,845 | 2016-03-28 | ||
| US201662325478P | 2016-04-21 | 2016-04-21 | |
| US62/325,478 | 2016-04-21 | ||
| US201662416210P | 2016-11-02 | 2016-11-02 | |
| US62/416,210 | 2016-11-02 | ||
| PCT/IB2017/050618 WO2017134632A1 (en) | 2016-02-03 | 2017-02-03 | Method and apparatus for facilitating frictionless two-factor authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109076070A true CN109076070A (zh) | 2018-12-21 |
Family
ID=59499464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780022667.3A Pending CN109076070A (zh) | 2016-02-03 | 2017-02-03 | 用于辅助无摩擦双因素认证的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US20190287109A1 (zh) |
| EP (1) | EP3412017B1 (zh) |
| CN (1) | CN109076070A (zh) |
| WO (1) | WO2017134632A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301687A (zh) * | 2021-12-29 | 2022-04-08 | 河南紫联物联网技术有限公司 | 一种无线通信设备认证方法、装置、电子设备及计算机可读存储介质 |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190287109A1 (en) | 2016-02-03 | 2019-09-19 | Averon Us, Inc. | Method and apparatus for facilitating performing payment option aggregation utilizing an automated authentication engine |
| CN107483419B (zh) * | 2017-07-28 | 2020-06-09 | 深圳市优克联新技术有限公司 | 服务器认证接入终端的方法、装置、***、服务器及计算机可读存储介质 |
| CN110869963A (zh) * | 2017-08-02 | 2020-03-06 | 麦克赛尔株式会社 | 生物认证结算***、结算***和收银*** |
| US20190281053A1 (en) * | 2018-03-07 | 2019-09-12 | Averon Us, Inc. | Method and apparatus for facilitating frictionless two-factor authentication |
| WO2019191362A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating frictionless two-factor authentication |
| WO2019191394A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating authorization of a specified task via multi-stage and multi-level authentication processes utilizing frictionless two-factor authentication |
| WO2019191367A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating multi-element bidding for influencing a position on a payment list generated by an automated authentication engine |
| WO2019191427A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating access to a device utilizing frictionless two-factor authentication |
| WO2019191433A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating payment option aggregation and without additional user input, payment option selection, utilizing an automated authentication engine |
| WO2019191365A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating performing payment option aggregation utilizing an automated authentication engine |
| WO2019191369A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating access to publish or post utilizing frictionless two-factor authentication |
| WO2019191417A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating access to an automobile utilizing frictionless two-factor authentication |
| WO2019191404A1 (en) * | 2018-03-28 | 2019-10-03 | Averon Us, Inc. | Method and apparatus for facilitating payment option aggregation to complete a transaction initiated at a third party payment apparatus, utilizing an automated authentication engine |
| CA3072637C (en) * | 2019-02-14 | 2023-03-21 | Bank Of Montreal | Systems and methods for secure storage and retrieval of trade data |
| US11245680B2 (en) * | 2019-03-01 | 2022-02-08 | Analog Devices, Inc. | Garbled circuit for device authentication |
| GB2582169B (en) * | 2019-03-13 | 2021-08-11 | Trustonic Ltd | Authentication method |
| US11070379B2 (en) * | 2019-04-18 | 2021-07-20 | Advanced New Technologies Co., Ltd. | Signature verification for a blockchain ledger |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
| US11962596B2 (en) | 2021-08-04 | 2024-04-16 | Bank Of America Corporation | Integrated multifactor authentication for network access control |
| CN113423116B (zh) * | 2021-08-25 | 2021-12-24 | 广州朗国电子科技股份有限公司 | 基于Android***的5G热点默认模式的配置方法 |
| US11875034B2 (en) * | 2021-09-27 | 2024-01-16 | Honeywell International Inc. | Systems and methods for flight deck customization and pilot performance analytics |
| US11647392B1 (en) | 2021-12-16 | 2023-05-09 | Bank Of America Corporation | Systems and methods for context-aware mobile application session protection |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070056022A1 (en) * | 2005-08-03 | 2007-03-08 | Aladdin Knowledge Systems Ltd. | Two-factor authentication employing a user's IP address |
| CN101795196A (zh) * | 2010-03-10 | 2010-08-04 | 宇龙计算机通信科技(深圳)有限公司 | 一种登录网上银行的认证方法及认证*** |
| CN102143482A (zh) * | 2011-04-13 | 2011-08-03 | 中国工商银行股份有限公司 | 一种手机银行客户端信息认证方法、***及移动终端 |
| EP2448305A1 (en) * | 2010-10-29 | 2012-05-02 | France Telecom | Data processing for securing local resources in a mobile device |
| CN103944737A (zh) * | 2014-05-06 | 2014-07-23 | 中国联合网络通信集团有限公司 | 用户身份认证方法、第三方认证平台、运营商认证平台 |
| EP2933981A1 (en) * | 2014-04-17 | 2015-10-21 | Comptel OYJ | Method and system of user authentication |
| CN105144656A (zh) * | 2013-04-26 | 2015-12-09 | 交互数字专利控股公司 | 用于实现要求的认证确保级别的多因素认证 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6014085A (en) | 1997-10-27 | 2000-01-11 | Lucent Technologies Inc. | Strengthening the authentication protocol |
| CA2358129A1 (en) | 2001-10-02 | 2003-04-02 | Wmode Inc. | Method and system for delivering confidential information |
| JP3610341B2 (ja) | 2002-02-19 | 2005-01-12 | キヤノン株式会社 | ネットワーク機器及び遠隔制御中継サーバ |
| US6993659B2 (en) | 2002-04-23 | 2006-01-31 | Info Data, Inc. | Independent biometric identification system |
| US8751801B2 (en) * | 2003-05-09 | 2014-06-10 | Emc Corporation | System and method for authenticating users using two or more factors |
| GB0400270D0 (en) | 2004-01-07 | 2004-02-11 | Nokia Corp | A method of authorisation |
| US9391985B2 (en) * | 2005-04-26 | 2016-07-12 | Guy Hefetz | Environment-based two-factor authentication without geo-location |
| US8090945B2 (en) * | 2005-09-16 | 2012-01-03 | Tara Chand Singhal | Systems and methods for multi-factor remote user authentication |
| EP2506184A1 (en) | 2006-03-29 | 2012-10-03 | The Bank of Tokyo-Mitsubishi UFJ, Ltd. | Apparatus, method, and program for validating user |
| US8249965B2 (en) | 2006-03-30 | 2012-08-21 | Obopay, Inc. | Member-supported mobile payment system |
| US20090119170A1 (en) | 2007-10-25 | 2009-05-07 | Ayman Hammad | Portable consumer device including data bearing medium including risk based benefits |
| US8321285B1 (en) | 2009-10-05 | 2012-11-27 | Mocapay, Inc. | Method and system for routing transactions to a mobile-commerce platform |
| US9208482B2 (en) | 2010-04-09 | 2015-12-08 | Paypal, Inc. | Transaction token issuing authorities |
| US8601602B1 (en) | 2010-08-31 | 2013-12-03 | Google Inc. | Enhanced multi-factor authentication |
| CN102804200B (zh) * | 2010-10-05 | 2015-04-01 | 株式会社希爱思异 | 双因素用户认证***及其方法 |
| US9542545B2 (en) * | 2011-03-21 | 2017-01-10 | Webcetera, L.P. | System, method and computer program product for access authentication |
| US8984605B2 (en) * | 2011-08-23 | 2015-03-17 | Zixcorp Systems, Inc. | Multi-factor authentication |
| US8649768B1 (en) | 2011-08-24 | 2014-02-11 | Cellco Partnership | Method of device authentication and application registration in a push communication framework |
| US8799655B1 (en) | 2012-09-26 | 2014-08-05 | Emc Corporation | Mobile offline authentication using one-time passcodes |
| US20140136353A1 (en) | 2012-11-15 | 2014-05-15 | Wallaby Financial Inc. | System and method for optimizing card usage in a payment transaction |
| GB2509895A (en) | 2012-11-22 | 2014-07-23 | Visa Europe Ltd | Activation and Use of a Digital Wallet via Online Banking |
| US9355231B2 (en) | 2012-12-05 | 2016-05-31 | Telesign Corporation | Frictionless multi-factor authentication system and method |
| US9143506B2 (en) | 2013-02-13 | 2015-09-22 | Daniel Duncan | Systems and methods for identifying biometric information as trusted and authenticating persons using trusted biometric information |
| US9292832B2 (en) | 2013-02-25 | 2016-03-22 | Qualcomm Incorporated | Collaborative intelligence and decision-making in an IoT device group |
| US20140258110A1 (en) * | 2013-03-11 | 2014-09-11 | Digimarc Corporation | Methods and arrangements for smartphone payments and transactions |
| US9445220B2 (en) | 2013-09-06 | 2016-09-13 | Paypal, Inc. | Systems and methods for enabling additional devices to check in to bluetooth low energy (BLE) beacons |
| CN104574057B (zh) | 2013-10-25 | 2020-06-16 | 腾讯科技(深圳)有限公司 | 一种在线支付方法及相关设备、*** |
| US9032498B1 (en) | 2014-05-25 | 2015-05-12 | Mourad Ben Ayed | Method for changing authentication for a legacy access interface |
| US9887995B2 (en) | 2015-03-20 | 2018-02-06 | Cyberdeadbolt Inc. | Locking applications and devices using secure out-of-band channels |
| US10185948B2 (en) | 2015-05-06 | 2019-01-22 | Visa International Service Association | Systems and methods to generate a location dependent alert in a mobile device of a user |
| US10552904B2 (en) | 2015-07-24 | 2020-02-04 | Castor Pollux Holdings SARL | Device, system, and method for transfer of commodities |
| US10084780B2 (en) | 2015-12-15 | 2018-09-25 | Verizon Patent And Licensing Inc. | Network-based authentication and security services |
| US9992198B2 (en) | 2015-12-15 | 2018-06-05 | Verizon Patent And Licensing Inc. | Network-based frictionless two-factor authentication service |
| CN105654302B (zh) | 2015-12-24 | 2020-02-28 | 北京小米支付技术有限公司 | 支付方法和装置 |
| US20190287109A1 (en) | 2016-02-03 | 2019-09-19 | Averon Us, Inc. | Method and apparatus for facilitating performing payment option aggregation utilizing an automated authentication engine |
| US9949130B2 (en) | 2016-02-04 | 2018-04-17 | StarHome Mach GmbH | Data security for internet of things (IOT) devices |
-
2017
- 2017-02-03 US US15/424,596 patent/US20190287109A1/en not_active Abandoned
- 2017-02-03 US US15/424,597 patent/US20190287110A1/en not_active Abandoned
- 2017-02-03 CN CN201780022667.3A patent/CN109076070A/zh active Pending
- 2017-02-03 US US15/424,595 patent/US10587614B2/en not_active Expired - Fee Related
- 2017-02-03 WO PCT/IB2017/050618 patent/WO2017134632A1/en active Application Filing
- 2017-02-03 EP EP17706313.8A patent/EP3412017B1/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070056022A1 (en) * | 2005-08-03 | 2007-03-08 | Aladdin Knowledge Systems Ltd. | Two-factor authentication employing a user's IP address |
| CN101795196A (zh) * | 2010-03-10 | 2010-08-04 | 宇龙计算机通信科技(深圳)有限公司 | 一种登录网上银行的认证方法及认证*** |
| EP2448305A1 (en) * | 2010-10-29 | 2012-05-02 | France Telecom | Data processing for securing local resources in a mobile device |
| CN102143482A (zh) * | 2011-04-13 | 2011-08-03 | 中国工商银行股份有限公司 | 一种手机银行客户端信息认证方法、***及移动终端 |
| CN105144656A (zh) * | 2013-04-26 | 2015-12-09 | 交互数字专利控股公司 | 用于实现要求的认证确保级别的多因素认证 |
| EP2933981A1 (en) * | 2014-04-17 | 2015-10-21 | Comptel OYJ | Method and system of user authentication |
| CN103944737A (zh) * | 2014-05-06 | 2014-07-23 | 中国联合网络通信集团有限公司 | 用户身份认证方法、第三方认证平台、运营商认证平台 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114301687A (zh) * | 2021-12-29 | 2022-04-08 | 河南紫联物联网技术有限公司 | 一种无线通信设备认证方法、装置、电子设备及计算机可读存储介质 |
| CN114301687B (zh) * | 2021-12-29 | 2024-05-14 | 河南紫联物联网技术有限公司 | 一种无线通信设备认证方法、装置、电子设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190287110A1 (en) | 2019-09-19 |
| US10587614B2 (en) | 2020-03-10 |
| EP3412017A1 (en) | 2018-12-12 |
| US20190287109A1 (en) | 2019-09-19 |
| WO2017134632A1 (en) | 2017-08-10 |
| EP3412017B1 (en) | 2020-08-26 |
| US20190260737A1 (en) | 2019-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109076070A (zh) | 用于辅助无摩擦双因素认证的方法和装置 | |
| CN109691014B (zh) | 物联网装置和应用程序之间的生物计量识别和验证 | |
| US20180295514A1 (en) | Method and apparatus for facilitating persistent authentication | |
| US10299118B1 (en) | Authenticating a person for a third party without requiring input of a password by the person | |
| US10621326B2 (en) | Identity authentication method, server, and storage medium | |
| US20180146374A1 (en) | System, methods and software for user authentication | |
| US20180316671A1 (en) | Method and apparatus for facilitating authorization of a specified task via multi-stage and multi-level authentication processes utilizing frictionless two-factor authentication | |
| US10728244B2 (en) | Method and system for credential management | |
| US20180232514A1 (en) | Method and apparatus for facilitating access to a device utilizing frictionless two-factor authentication | |
| CN107925668A (zh) | 资源驱动的动态授权框架 | |
| US11132425B1 (en) | Systems and methods for location-binding authentication | |
| US11240220B2 (en) | Systems and methods for user authentication based on multiple devices | |
| KR20160062085A (ko) | 비공개 데이터를 보호하는 보안 프록시 | |
| US20180234418A1 (en) | Method and apparatus for facilitating access to publish or post utilizing frictionless two-factor authentication | |
| JP2022524095A (ja) | 接近に基づくユーザの識別及び認証のシステム及び方法 | |
| US20180316670A1 (en) | Method and apparatus for facilitating frictionless two-factor authentication | |
| US20170331821A1 (en) | Secure gateway system and method | |
| JP2022511545A (ja) | 近接場情報認証方法、近接場情報認証装置、電子機器及びコンピュータ記憶媒体 | |
| KR101814079B1 (ko) | 모바일 단말기를 통한 간편 인증 방법, 이를 위한 인증 어플리케이션, 컴퓨터 프로그램 및 인증 서비스 장치 | |
| US20190281053A1 (en) | Method and apparatus for facilitating frictionless two-factor authentication | |
| US20220255929A1 (en) | Systems and methods for preventing unauthorized network access | |
| WO2019191427A1 (en) | Method and apparatus for facilitating access to a device utilizing frictionless two-factor authentication | |
| EP3602995B1 (en) | Fraudulent wireless network detection through proximate network data | |
| WO2019191417A1 (en) | Method and apparatus for facilitating access to an automobile utilizing frictionless two-factor authentication | |
| CN106156549A (zh) | 应用程序授权处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40002173 Country of ref document: HK |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20181221 |