CN109564600A - 基于电话号码循环的认证 - Google Patents
基于电话号码循环的认证 Download PDFInfo
- Publication number
- CN109564600A CN109564600A CN201780047278.6A CN201780047278A CN109564600A CN 109564600 A CN109564600 A CN 109564600A CN 201780047278 A CN201780047278 A CN 201780047278A CN 109564600 A CN109564600 A CN 109564600A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- account
- telephone number
- cai
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/313—User authentication using a call-back technique via a telephone network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2103—Challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
提供了一种用于认证用户的方法和***。在一些实施例中,安全***确定自所述上一次认证成功以来的所述时间是否小于循环电话号码周期(例如电话号码可以被分配给新用户之前的所述最小时间)。如果所述时间小于所述循环电话号码周期,则所述安全***基于从所述用户接收到的电话号码执行所述用户的初次认证。当所述初次认证成功时,所述安全***指示所述用户已经被认证。当所述时间不小于循环电话号码周期时,所述安全***执行所述用户的二次认证。当所述二次认证成功时,所述安全***指示所述用户已经被认证。
Description
背景技术
传统上,已经基于将用户名和密码用作安全凭证,来执行对用户的认证。例如,当用户尝试账户提供商的账户(例如银行的银行账户)时,用户(即,账户持有者)为其账户提供用户名和密码。该用户名是其账户的账户标识符,并且该密码是用以验证用户被授权访问该账户的共享密钥(即,由用户和账户提供商所共享)。如果用户名与账户提供商的账户的用户名匹配,并且密码与该账户的密码匹配,那么该用户通过认证并且允许访问该账户。
已经证明,使用用户名和密码进行认证不太安全,主要是因为用户名和密码容易被窃取。作为一个示例,大型社交网络一旦被黑客入侵,则数百万用户名和密码被盗。作为另一示例,感染计算机的恶意软件可以安装击键记录器,该击键记录器可以在用户录入用户名和密码以登录到其账户时捕获和记录用户名和密码。当然,一旦账户的用户名和密码被窃取,窃贼就可以使用用户名和密码来访问用户的账户。
一旦发生盗窃,窃贼经常可以访问用户的许多账户,因为用户经常针对不同账户使用相同的用户名和密码。用户使用相同的用户名和密码,部分的原因是难以记住不同的用户名和密码。为了进一步提高安全性,一些账户提供商已经增加了密码所需的最小复杂度。例如,密码可能需要至少长八个字符,并且包括大写字母、数字和特殊字符。随着密码的复杂度增加,记住密码的难度也增加。因此,用户更趋向于针对不同账户使用相同的用户名和密码。
为了有助于防止密码被盗,一些账户提供商存储密码的哈希值,而不是存储密码本身。这种账户提供商可以使用单向哈希函数,该单向哈希函数输入密码并且输出其哈希值。为了对用户进行认证,用户提供其密码,并且账户提供商生成该密码的哈希值。账户提供商将所生成的哈希值与所存储的哈希值相比较,并且如果它们是相同的,则用户通过认证。账户提供商然后可以丢弃密码,使得无法从账户提供商处窃取密码。即使无法从账户提供商处窃取密码,但是仍然容易经由击键记录器或通过搜索包含用户的密码的文件(例如名为“passwords.txt”的文件)的恶意软件来窃取密码。
为了增强安全性,一些账户提供商使用多因素认证技术。例如,当用户录入其用户名和密码时,账户提供商可以将具有认证码的文本消息发送给用户的电话,并且提示用户录入该认证码。一旦用户录入正确的认证码,该用户就通过认证。作为另一示例,可以向用户提供令牌(例如,专用硬件设备或程序),其基于与账户提供商为该用户生成的代码同步的时间来生成代码。为了访问其账户,用户提供其当前代码及其用户名和密码。如果该代码与针对该账户所预料的代码匹配,则用户通过认证。尽管多因素认证比单因素认证(例如用户名和密码)更安全,但是用户仍然需要记住其复杂的密码,对于每个账户来说,这些密码在理想情况下是不同的。
发明内容
本公开提供了一种用于认证用户的方法和***。在一些实施例中,安全***确定是否满足循环账户标识符标准(例如最小时间,账户标识符可以在该最小时间之前被分配给新的用户)。如果满足循环账户标识符标准,则安全***执行二次认证。否则,安全***执行初次认证。然后,当被执行的认证成功时,安全***指示用户已经通过认证。
提供本发明内容来以简化的形式介绍对于在下面的详细说明中进一步描述的构思的选择。本发明内容不旨在标识要求保护的主题的关键特征或者必要特征,也不旨在用于限制要求保护的主题的范围。
附图说明
图1是图示了在一些实施例中由CAI安全***进行认证的数据流程图。
图2是图示了在一些实施例中由CAI安全***进行认证的处理的流程图。
图3是图示了在一些实施例中由用户设备进行处理以支持用户的认证的流程图。
图4是图示了在一些实施例中的CAI安全***的组件的框图。
图5是图示了在一些实施例中的CAI安全***的处理访问请求组件的处理的流程图。
图6是图示了在一些实施例中的CAI安全***的初次认证组件的处理的流程图。
图7是图示了在一些实施例中的CAI安全***的主动二次认证组件的处理的流程图。
图8是图示了在一些实施例中的CAI安全***的被动二次认证组件的处理的流程图。
具体实施方式
为了有助于确保未经授权的用户无法访问账户,同时避免用户需要记住复杂的密码,一些账户提供商可能使用用户的电话号码作为其账户标识符。例如,为了访问其账户,用户在账户提供商的登录页面处录入其电话号码。账户提供商确定该电话号码是否是账户的账户标识符。如果是,则账户提供商将认证码(例如经由SMS消息或语音呼叫)发送给该电话号码。当用户接收到认证码时,用户在登录页面处录入该认证码。然后账户提供商确定录入的认证码与所发送的认证码是否匹配。如果匹配,则账户提供商已经对用户进行了认证,并且允许用户访问其账户。一些账户提供商可以使用用户的电子邮件地址作为其账户标识符。如果是,则用户将录入其电子邮件地址作为其账户标识符,接收具有认证码的电子邮件消息,并且录入该认证码以访问其账户。使用通信账户(例如SMS账户或电子邮件账户)的账户标识符的这种认证称为通信账户标识符(“CAI”)认证。
使用CAI认证简化了认证过程,并且有助于确保未经授权的用户无法访问账户。不幸的是,CAI容易被循环,即,从一个用户处取消分配并且被重新分配给另一用户。例如,如果用户的通信账户是具有作为电话号码的CAI的固定电话账户,那么当用户移动时,该电话号码可能被分配给不同用户。作为另一示例,在一些区域中,手机号码被分配给作为手机号码的本地分配器的手机运营商。在这种情况下,当用户切换手机运营商时,新用户可能被分配有用户的旧手机号码,并且用户分配有新手机运营商的新手机号码,其本身可能是新手机运营商的前用户的旧号码。作为另一示例,如果用户关闭其电子邮件地址的电子邮件账户(例如[email protected]),则另一用户然后可能打开使用相同的电子邮件地址的电子邮件账户。将先前由一个用户使用的CAI分配给另一用户称为循环CAI,并且这种CAI称为可循环CAI。
当CAI被循环时,使用可循环CAI进行CAI认证存在安全漏洞,这被称为可循环CAI漏洞。当利用使用CAI认证的账户提供商建立账户时,用户提供用于其通信账户的他们的CAI,以作为新建立账户的账户标识符。例如,用户可以使用其手机号码作为其新建立的社交网络账户的账户标识符。如果用户然后放弃其通信账户,则该用户的CAI然后可以分配给新用户。例如,当用户切换手机运营商时,用户的手机号码可能会分配给新用户。新用户然后可以使用其新分配的CAI来无意地访问用户的账户。新用户将经由其新通信账户接收认证码,并且使用该认证码来访问其他用户的账户。例如,新用户可以使用其新手机号码来访问相同社交网络上他们认为是其自己账户的账户。在这种情况下,新用户将经由其新手机号码接收认证码,并且录入该认证码来访问其他用户的账户。
本公开提供了一种方法和***,该方法和***采用对可循环CAI漏洞的对策,来减少该漏洞将被利用的机会。在一些实施例中,当初次认证(例如,CAI认证)易受到可循环CAI漏洞的影响时,CAI安全***进行二次认证。当满足循环CAI标准时,CAI安全***确定初次认证可能易受到可循环CAI漏洞的影响。如果账户的循环CAI标准当用户尝试访问其账户时得到满足,则CAI安全***执行二次认证并且还可以执行初次认证。二次认证依赖于独立于初次认证但特定于账户持有者的信息,以控制对账户的访问。例如,二次认证可以请求用户标识账户持有者的母亲的婚前姓。由于正在使用循环CAI的新用户将无法访问账户持有者的信息,所以CAI安全***将不会允许新用户访问该账户,但是会允许账户持有者访问该账户。一旦账户持有者访问了已经被循环的CAI的账户,账户持有者可以将其账户的CAI改变为其新CAI。
循环CAI标准可以基于CAI从一个用户取消分配与分配给新用户之间的最小时间量。该最小时间量称为循环CAI周期(例如循环电话号码周期)。通信账户提供商通常会公布其循环CAI周期。例如,一些电话运营商可以使用一个月的循环CAI周期,而其他电话运营商可以使用六个月的循环周期。循环CAI标准可以基于账户的上一次认证的时间和循环CAI周期。如果自上一次认证以来的时间长度小于循环CAI周期,那么无法利用可循环CAI漏洞。在这种情况下,CAI安全***仅需要使用初次认证来认证用户。然而,如果自上一次认证以来的时间长度不小于循环CAI周期,则该账户易受到可循环CAI漏洞的影响。在这种情况下,CAI安全***执行二次认证。已经被分配有先前分配给账户持有者的CAI的新用户不太可能知道或访问二次认证所需的信息,并且将拒绝新用户访问该账户。然而,账户持有者将知道所需的信息或能够访问该所需的信息,并且将能够访问其账户,并且如果账户持有者不再被分配有其先前的CAI,则可以改变其CAI。因此,CAI安全***采取对策,来防止可循环CAI漏洞被加以利用。
在一些实施例中,采用CAI安全***,以防止电话号码的可循环CAI漏洞被加以利用。当用户尝试通过提供电话号码来访问账户时,CAI安全***确定自该账户的上一次认证成功以来的时间是否小于电话号码的循环周期。如果小于,则CAI安全***仅需要执行诸如CAI认证等初次认证。如果初次认证成功,则允许用户访问该账户。然而,如果自上一次认证成功以来的时间不小于循环周期,那么CAI安全***基于信息来执行二次认证,对于已经被分配有先前被分配给账户持有者的电话号码的新用户来说,该信息不太可能是可用的。如果二次认证成功,那么可以允许用户访问该账户。在一些实施例中,CAI安全***可能始终需要成功的初次认证以允许访问账户。如果是,则当自上一次认证成功以来的时间不小于循环周期时,仅当初次认证和二次认证都成功时,才允许用户访问该账户。
在一些实施例中,CAI安全***可以提供单独的技术,该技术用于允许账户持有者在当前CAI已经从其取消分配之后改变其账户的CAI。如果当前CAI已经从账户持有者取消分配,那么初次认证无法成功,这是因为账户持有者不再能够访问通信账户(例如具有当前CAI的电话号码的手机)。例如,单独的技术可以是网页,账户持有者通过该网页提供账户的当前CAI(或者账户的一些其他标识符)并且请求改变CAI,因为账户持有者不再分配给当前CAI。在这种情况下,CAI安全***可以执行与二次认证类似的认证。如果用户通过认证,那么CAI安全***允许用户将其账户的CAI改变为新CAI,并且可以执行初次认证,以确认将该用户分配给具有新CAI的通信账户。
在一些实施例中,二次认证可以是主动认证或被动认证。主动认证要求用户主动地提供信息,已经分配有用户的循环电话号码的新用户可能不知道该信息。这种主动提供的信息可以包括完成账号持有者的模糊的电子邮件地址以及录入发送给该电子邮件地址的认证码、账户持有者的第一个学校的名称、账户持有者的名字和出生日期、账户持有者的母亲的婚前姓、账户持有者的第一只宠物的名字、生物特性(例如指纹)等。被动认证不要求用户主动地提供信息,而是被动地收集关于用户的信息。如果被动收集的信息与先前收集的账户持有者的信息类似,那么二次认证成功。例如,被动收集的信息可以包括由全球定位***或IP地址地理定位***确定的用户的设备(例如台式计算机)的当前位置。如果当前位置与账户持有者的设备的先前位置非常接近,那么可以认为二次认证成功,这是因为被新分配有电话号码的用户不可能处于这种先前位置。作为另一示例,被动收集的信息可以包括从用户的设备收集到的信息,诸如设备标识符、操作***和版本、安装的应用程序和版本、文件的名称、应用程序的数据等。应用程序的数据可以包括地址簿中的名字、由浏览器存储的账户的用户名、由浏览器使用的cookie等。被新分配有电话号码的用户不可能在其计算机上存储类似信息。被动收集的信息还可以包括用户的行为生物特征,诸如打字速度。
在一些实施例中,当执行二次认证时,CAI安全***可以首先采用被动认证。如果被动认证成功,那么认为二次认证是成功的。然而,如果被动认证未成功,那么CAI安全***采用主动认证。在这种情况下,即使被动认证未成功,如果主动认证成功,则也认为二次认证成功。通过这种方式,仅当被动认证未成功时,账户持有者才会负担二次认证。CAI安全***可以被动地收集多种不同类型的信息,诸如应用程序的名称和地址簿中的名字。CAI安全***可以针对每种类型的信息基于其与先前被动收集的信息的相似度来生成分数,并且对分数加以组合,以生成总分或经组合的分数。如果经组合的分数满足阈值分数,那么认为被动认证是成功的。还可以基于用于认证的信息类型的有效性来对每种类型的信息的分数进行加权。备选地,被动收集的信息可以表示为特征向量,使用余弦相似度度量,来将该特征向量与先前收集的信息的特征向量相比较。
图1是图示了在一些实施例中由CAI安全***进行认证的数据流程图。CAI安全***在服务器120上执行,该服务器120可以是身份提供商的服务器,其为账户提供商的账户提供认证。服务器与用户计算机110和用户电话130交互。为了访问他们的账户,用户140经由用户计算机录入电话号码,该用户计算机将(1)电话号码发送给服务器。服务器验证该电话号码与账户匹配,并且经由SMS消息将(2)认证码发送给电话号码。当SMS消息到达用户电话时,用户从用户电话检索(3)认证码,并且如用户计算机所提示的那样录入该认证码。用户计算机将(4)认证码发送给服务器。服务器确保该认证码与被发送给用户电话的认证码相匹配。如果匹配的话,则初次认证已完成。如果自上一次认证以来的时间不小于电话号码的循环CAI周期,那么服务器生成挑战并且将(5)挑战发送给用户计算机。例如,挑战可以请求用户录入账户持有者的母亲的婚前姓。然后,用户经由用户计算机录入响应,并且用户计算机将(6)响应发送给服务器。如果该响应是正确的,那么服务器指示用户已经通过认证以访问该账户。
图2是图示了在一些实施例中由CAI安全***进行认证的处理的流程图。调用认证组件200,传递用户已提交的电话号码,以访问账户。在框201中,该组件执行诸如CAI认证等初次认证。在判定框202中,如果满足电话号码的循环CAI标准,那么该组件在框203中继续,否则该组件在框204中继续。在框203中,该组件执行二次认证。在判定框204中,如果已经执行的每次认证都是成功的,则该组件返回成功的指示,否则该组件返回失败的指示。备选地,在执行初次认证之前,如果满足循环CAI标准,则该组件可以执行二次认证。如果二次认证成功,则该组件可以向用户赋予将他们的账户标识符改变为新CAI的选项。无论用户是否改变了他们的账户标识符,该组件然后都可以执行初次认证。
图3是图示了在一些实施例中由用户设备进行处理以支持用户的认证的流程图。在框301中,用户设备300从用户接收电话号码,并且将该电话号码发送给CAI安全***。在框302中,用户设备从用户接收认证码,该认证码作为SMS消息从CAI安全***被发送给电话号码。在框303中,用户设备将认证码发送给CAI安全***。在判定框304中,如果CAI***确定满足循环标准,那么用户设备在框305中继续,否则用户设备完成其认证处理。在框305中,用户设备从CAI安全***接收挑战。在框306中,用户设备将该挑战呈现给用户。在框307中,用户设备从用户接收对挑战的响应。在框308中,用户设备将该响应发送给CAI安全***,然后完成。
图4是图示了在一些实施例中的CAI安全***的组件的框图。CAI安全***400可以包括接收访问请求组件401、处理访问请求组件402、初次认证组件403、主动二次认证组件404、被动二次认证组件405和收集被动认证数据组件406。CAI安全***还包括账户库411和被动认证库412。接收访问请求组件接收由用户提供的电话号码,以访问账户。处理访问请求组件被调用,以对用户被授权访问账户进行认证。处理访问请求组件调用初次认证组件、主动二次认证组件和/或被动二次认证组件。初次认证组件执行CAI认证。主动二次认证组件将以下挑战呈现给用户,即用户需要正确响应以便访问账户。被动二次认证组件被动地收集信息,并且基于收集到的信息确定是否认证用户。账户库存储每个账户的信息,诸如作为账户标识符的电话号码、账户持有者的名字和在执行主动二次认证时使用的挑战和响应信息。调用收集被动认证数据组件,以被动地收集用于认证用户的信息。被动认证库存储先前已经被动收集的信息,并且用于基于当前被动收集的信息确定是否认证用户。每次用户访问他们的账户并且更新被动认证库时,CAI安全***都可以被动地收集信息,以确保在执行被动认证时信息是最新的。
可以在其上实施CAI安全***的计算***可以包括中央处理单元、输入设备、输出设备(例如显示设备和扬声器)、存储设备(例如存储器和磁盘驱动器)、网络接口、图形处理单元、加速度计、蜂窝无线电链路接口、全球定位***设备等。该输入设备可以包括键盘、指向设备、触摸屏、手势识别设备(例如用于悬浮手势)、头部和眼睛追踪设备、用于语音识别的麦克风等。该计算***可以包括数据中心的服务器、大规模并行***等。计算***可以访问包括计算机可读存储介质和数据传输介质的计算机可读介质。计算机可读存储介质是不包括暂时传播的信号的有形存储设备。计算机可读存储介质的示例包括存储器,诸如主存储器、高速缓冲存储器和辅助存储器(例如DVD)和其他存储设备。计算机可读存储介质可以具有记录在其上的数据或者可以利用计算机可执行指令或实施CAI安全***的逻辑进行编码。数据传输介质用于通过经由有线或无线连接暂时传播的信号或载波(例如电磁学)传输数据。该计算***可以包括安全加密处理器作为中央处理单元的一部分,其用于生成密钥和安全地存储密钥,并且用于使用该密钥加密和解密部署数据。
可以在由一个或多个计算机、处理器或其他设备执行的诸如程序模块和组件等计算机可执行指令的一般语境中描述该CAI安全***。通常,程序模块或组件包括执行特定任务或实施特定数据类型的例程、程序、对象、数据结构等。通常,该程序模块的功能可以根据需要组合或分布在各种示例中。CAI安全***的各个方面可以使用例如专用集成电路(ASIC)被实施在硬件中。
图5是图示了在一些实施例中的CAI安全***的处理访问请求组件的处理的流程图。调用处理访问请求组件500,以对正在请求访问账户的用户进行认证。向该组件传递由用户录入的电话号码。在框501中,该组件调用初次认证组件以对用户执行初次认证。在判定框502中,如果初次认证成功,那么该组件在框503中继续,否则该组件可以返回失败的指示。如果初次认证未成功,那么不将该电话号码分配给录入电话号码的用户(即,账户持有者或其他用户)。在这种情况下,该组件可以在框505中继续,以执行二次认证,并且如果二次认证成功,则也允许用户改变作为账户的CAI的电话号码。在框503中,该组件计算自上一次成功的初次认证(或任何成功的认证)以来的时间(PAdelta)。在判定框504中,如果自上一次成功的初次认证以来的时间小于循环CAI周期,那么该组件返回成功的指示,否则该组件在框505中继续。在框505中,该组件调用二次认证组件,以对用户执行二次认证。在判定框506中,如果二次认证成功,那么该组件在框507中继续,否则该组件返回失败的指示。在框507中,该组件将上一次成功的初次认证的时间设置为当前时间,然后返回成功的指示。
图6是图示了在一些实施例中的CAI安全***的初次认证组件的处理的流程图。初次认证组件600基于所传递的电话号码来执行CAI认证。在框601中,该组件生成认证码。例如,认证码可以是随机生成的号码。在框602中,该组件将认证码发送给电话号码作为SMS消息。在框603中,该组件从用户的计算机接收认证码。在判定框604中,如果在接收到认证码之前超时周期已经到期,那么该组件返回失败的指示,否则该组件在框605中继续。在判定框605中,如果接收到的认证码与所发送的认证码相匹配,那么该组件返回成功的指示,否则该组件返回失败的指示。
图7是图示了在一些实施例中的CAI安全***的主动二次认证组件的处理的流程图。向主动二次认证组件700传递与账户相关联的电话号码,并且该主动二次认证组件700用户进行认证。在框701中,该组件检索与由电话号码所标识的账户相关联的电子邮件地址。在框702中,该组件将电子邮件地址的模糊版本(例如字母丢失)显示给用户。在框703中,该组件从用户接收电子邮件地址。在判定框704中,如果在接收到电子邮件地址之前发生超时,那么该组件返回失败的指示,否则该组件在框705中继续。在判定框705中,如果接收到的电子邮件地址与检索到的电子邮件地址相匹配,那么该组件在框706中继续,否则该组件返回失败的指示。在框706中,该组件调用初次认证组件,传递电子邮件地址的指示以基于电子邮件地址执行CAI认证。然后,该组件返回由初次认证组件所返回的响应。
图8是图示了在一些实施例中的CAI安全***的被动二次认证组件的处理的流程图。调用被动二次认证组件800,传递要执行被动认证的账户的电话号码。在框801至框802中,该组件确定正在与CAI安全***通信的用户设备的位置,并且基于该位置和与该账户相关联的先前已知的位置的匹配程度来生成分数。在框803至框804中,该组件检索正在与CAI安全***通信的用户设备的设备标识符,并且基于该设备标识符与该账户的先前已知的设备标识符是否匹配来生成分数。在框805至框806中,该组件标识安装在正在与CAI安全***通信的用户设备上的软件,并且基于该软件与先前安装在访问该账户的用户设备上的软件的匹配程度来生成分数。在框807至框808中,该组件标识计算机的应用数据(例如由浏览器存储的用户名),并且基于将该应用数据与先前从访问该账户的用户设备收集到的应用数据相比较,来生成分数。省略号指示可以收集不同类型或类别的数据的更多数据,并且生成更多的分数。在框809中,该组件将分数组合成总分(例如其范围从0到100)。在判定框810中,如果经组合的分数满足认证阈值(例如90或更高的分数),则该组件返回成功的指示,否则该组件返回失败的指示。
以下段落描述了CAI安全***的各个方面的各种实施例。CAI安全***的实施方式可以采用实施例的任何组合。下面描述的处理可以由具有处理器的计算设备执行,该处理器执行实施CAI安全***的存储在计算机可读存储介质上的计算机可执行指令。
在一些实施例中,提供了一种由计算***执行的用于认证用户的方法。当自上一次认证成功以来的时间小于循环电话号码周期时,该方法基于从用户接收到的电话号码执行用户的初次认证,并且当初次认证成功时,指示用户已经被认证。当自上一次认证成功以来的时间不小于循环电话号码周期时,该方法执行用户的二次认证,并且当二次认证成功时,指示用户已经被认证。在一些实施例中,初次认证的执行从用户接收电话号码,发送被寻址到该电话号码的认证码,从用户接收认证码,并且当接收到的认证码与所发送的认证码匹配时,指示初次认证成功。在一些实施例中,二次认证是主动认证。在一些实施例中,执行二次认证包括:将挑战呈现给用户,从用户接收响应,并且确定该响应是否是正确的。在一些实施例中,二次认证是被动认证。在一些实施例中,用户使用与计算***通信的用户设备,并且二次认证收集与该用户设备相关的信息,并确定所收集到的信息与先前从用户设备收集到的信息是否一致,该用户设备在用户访问具有电话号码作为账户标识符的账户时与计算***通信。在一些实施例中,收集到的信息包括不同类别的信息,针对每个类别生成分数,将分数组合成经组合的分数,并且当经组合的分数满足认证阈值时,指示二次认证成功。在一些实施例中,当初次认证未成功时,该方法执行二次认证。在一些实施例中,在未成功的初次认证之后执行二次认证,允许用户改变作为账户标识符的电话号码。在一些实施例中,循环电话号码周期基于电话号码的本地分配器而变化。
在一些实施例中,提供了一种用于认证用户的计算***。该计算***包括存储计算机可执行指令的计算机可读存储介质以及处理器,该处理器执行被存储在计算机可读存储介质中的计算机可执行指令。当循环账户标识符标准被满足时,该指令执行二次认证。当循环账户标识符标准未被满足时,该指令执行初次认证。当被执行的认证成功时,该指令指示用户已经被认证。在一些实施例中,账户标识符是电子邮件地址。在一些实施例中,账户标识符是电话号码。在一些实施例中,初次认证是通信账户标识符认证。在一些实施例中,二次认证是主动认证。在一些实施例中,二次认证是被动认证。在一些实施例中,执行二次认证的指令执行被动认证,并且当被动认证未成功时,执行主动认证。
在一些实施例中,提供了一种由用户的设备执行的用于认证用户的方法。该方法向认证***发送被分配给用户的电话的电话号码。该方法从用户接收认证码,该认证码从认证***被发送给电话。该方法将认证码发送给认证***,使得认证***可以确定初次认证是否成功。当循环电话号码标准被满足时,该方法从认证***接收挑战,将接收到的挑战呈现给用户,从用户接收对该挑战的响应,并且将响应发送给认证***,使得认证***可以确定二次认证是否成功。在一些实施例中,认证码被发送给电话作为短消息服务(“SMS”)消息。在一些实施例中,循环的电话号码标准基于用户的上一次认证是否发生在循环电话号码周期更早之前。
尽管已经用针对结构特征和/或动作的语言描述了主题,但是要理解,在随附权利要求书中限定的主题并不一定限于上文描述的特定特征或动作。相反,将上文描述的特定特征和动作公开为实施权利要求书的示例形式。因此,除了随附权利要求书之外,本发明不受限制。
Claims (15)
1.一种由计算***执行的用于认证用户的方法,所述方法包括:
当自上一次认证成功以来的时间小于循环电话号码周期时,
基于从所述用户接收到的电话号码执行所述用户的初次认证;以及
当所述初次认证成功时,指示所述用户已经被认证;以及
当自所述上一次认证成功以来的所述时间不小于所述循环电话号码周期时,
执行所述用户的二次认证;以及
当所述二次认证成功时,指示所述用户已经被认证。
2.根据权利要求1所述的方法,其中所述初次认证的所述执行包括:
从所述用户接收所述电话号码;
发送被寻址到所述电话号码的认证码;
从所述用户接收认证码;以及
当接收到的所述认证码与所发送的所述认证码匹配时,指示所述初次认证成功。
3.根据权利要求1所述的方法,其中所述二次认证是主动认证。
4.根据权利要求1所述的方法,其中所述二次认证是被动认证。
5.根据权利要求4所述的方法,其中所述用户使用与所述计算***通信的用户设备,并且所述二次认证收集与所述用户设备相关的信息并且确定所收集到的所述信息与先前从如下用户设备收集到的信息是否一致,所述用户设备在所述用户利用所述电话号码作为所述账户标识符访问账户时与所述计算***通信。
6.根据权利要求1所述的方法,还包括:当所述初次认证未成功时,执行二次认证。
7.根据权利要求1所述的方法,其中所述循环电话号码周期基于电话号码的本地分配器而变化。
8.一种由用户的设备执行的用于认证所述用户的方法,所述方法包括:
向认证***发送被分配给所述用户的电话的电话号码;
从所述用户接收认证码,所述认证码已经从所述认证***被发送给所述电话;
将所述认证码发送给所述认证***,使得所述认证***能够确定初次认证是否成功;以及
当循环的电话号码标准被满足时,
从所述认证***接收挑战;
将接收到的所述挑战呈现给所述用户;
从所述用户接收对所述挑战的响应;以及
将所述响应发送给所述认证***,使得所述认证***能够确定二次认证是否成功。
9.根据权利要求8所述的方法,其中所述认证码作为短消息服务(SMS)消息被发送给所述电话。
10.一种用于认证用户的计算***,所述计算***包括:
存储计算机可执行指令的计算机可读存储介质,所述计算机可执行指令:
当循环账户标识符标准被满足时,执行二次认证;
当循环账户标识符标准未被满足时,执行初次认证;以及
当所执行的认证成功时,指示所述用户已经被认证;和
处理器,执行被存储在所述计算机可读存储介质中的所述计算机可执行指令。
11.根据权利要求10所述的计算***,其中所述账户标识符是电子邮件地址。
12.根据权利要求10所述的计算***,其中所述账户标识符是电话号码。
13.根据权利要求10所述的计算***,其中所述初次认证是通信账户标识符认证。
14.根据权利要求10所述的计算***,其中所述二次认证是主动认证。
15.根据权利要求10所述的计算***,其中执行所述二次认证的指令执行被动认证,并且当所述被动认证未成功时,执行主动认证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/225,608 | 2016-08-01 | ||
| US15/225,608 US10389706B2 (en) | 2016-08-01 | 2016-08-01 | Authentication based on telephone number recycling |
| PCT/US2017/044055 WO2018026608A1 (en) | 2016-08-01 | 2017-07-27 | Authentication based on telephone number recycling |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109564600A true CN109564600A (zh) | 2019-04-02 |
| CN109564600B CN109564600B (zh) | 2023-06-27 |
Family
ID=59558492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780047278.6A Active CN109564600B (zh) | 2016-08-01 | 2017-07-27 | 基于电话号码循环的认证 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10389706B2 (zh) |
| EP (1) | EP3491564B1 (zh) |
| CN (1) | CN109564600B (zh) |
| WO (1) | WO2018026608A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11171941B2 (en) * | 2015-02-24 | 2021-11-09 | Nelson A. Cicchitto | Mobile device enabled desktop tethered and tetherless authentication |
| US10749875B2 (en) | 2018-06-28 | 2020-08-18 | Microsoft Technology Licensing, Llc | Security configuration lifecycle account protection for minors |
| US10389708B1 (en) * | 2019-01-03 | 2019-08-20 | Capital One Services, Llc | Secure authentication of a user associated with communication with a service representative |
| US11316849B1 (en) * | 2019-04-04 | 2022-04-26 | United Services Automobile Association (Usaa) | Mutual authentication system |
| US12047373B2 (en) * | 2019-11-05 | 2024-07-23 | Salesforce.Com, Inc. | Monitoring resource utilization of an online system based on browser attributes collected for a session |
| US11722488B2 (en) * | 2020-07-29 | 2023-08-08 | Cujo LLC | Non-intrusive / agentless network device identification |
| CN114422217A (zh) * | 2021-12-31 | 2022-04-29 | 中国电信股份有限公司 | 一种拨号认证方法、装置、设备及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2008073606A2 (en) * | 2006-11-02 | 2008-06-19 | Legitimi Limited | Access control system based on a hardware and software signature of a requesting device |
| CN101304596A (zh) * | 2007-05-09 | 2008-11-12 | 杨一兵 | 移动鉴权网关技术 |
| US20100130172A1 (en) * | 2008-11-26 | 2010-05-27 | Ringcentral, Inc. | Fraud prevention techniques |
| US20100210264A1 (en) * | 1998-10-02 | 2010-08-19 | Eran Netanel | Portable cellular phone system having automatic initialization |
| US20110016320A1 (en) * | 2008-01-28 | 2011-01-20 | Paycool International Ltd. | Method for authentication and signature of a user in an application service, using a mobile telephone as a second factor in addition to and independently of a first factor |
| WO2013028901A2 (en) * | 2011-08-23 | 2013-02-28 | Visa International Service Association | Authentication process for value transfer machine |
| US20140192969A1 (en) * | 2013-01-04 | 2014-07-10 | International Business Machines Corporation | Optimized call handling for recycled telephone numbers |
| CN104093139A (zh) * | 2014-07-15 | 2014-10-08 | 中国联合网络通信集团有限公司 | 空中写卡方法、服务器和智能卡 |
| CN105100028A (zh) * | 2014-05-22 | 2015-11-25 | 中兴通讯股份有限公司 | 账号管理方法及装置 |
| CN105101196A (zh) * | 2014-05-06 | 2015-11-25 | 阿里巴巴集团控股有限公司 | 一种用户账户管理方法及装置 |
| US20160014603A1 (en) * | 2014-07-11 | 2016-01-14 | Early Warning Services, Llc | System and method for mobile number verification |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4563662B2 (ja) | 2002-07-17 | 2010-10-13 | パナソニック株式会社 | 記録媒体不正使用防止システム |
| US20110202565A1 (en) | 2002-12-31 | 2011-08-18 | American Express Travel Related Services Company, Inc. | Method and system for implementing and managing an enterprise identity management for distributed security in a computer system |
| US20050008133A1 (en) * | 2003-07-11 | 2005-01-13 | Liu Kenneth A. | Method and apparatus for validating an identity |
| US7530098B2 (en) | 2004-04-28 | 2009-05-05 | Scenera Technologies, Llc | Device ownership transfer from a network |
| KR101096767B1 (ko) | 2009-08-13 | 2011-12-21 | 에스케이플래닛 주식회사 | 폰 번호를 이용한 사용자 인증 시스템 및 방법 |
| TWI446774B (zh) * | 2010-11-12 | 2014-07-21 | Chunghwa Telecom Co Ltd | 簡訊認證方法 |
| US8627438B1 (en) * | 2011-09-08 | 2014-01-07 | Amazon Technologies, Inc. | Passwordless strong authentication using trusted devices |
| JP2014534514A (ja) * | 2011-10-11 | 2014-12-18 | タンゴメ,インコーポレイテッド | デバイスのユーザの認証 |
| US8781454B2 (en) | 2012-06-21 | 2014-07-15 | Apple Inc. | Methods and apparatus for automated communications forwarding |
| US9378491B1 (en) | 2013-10-15 | 2016-06-28 | Square, Inc. | Payment transfer by sending E-mail |
| US9338652B1 (en) | 2014-11-13 | 2016-05-10 | International Business Machines Corporation | Dynamic password-less user verification |
-
2016
- 2016-08-01 US US15/225,608 patent/US10389706B2/en active Active
-
2017
- 2017-07-27 CN CN201780047278.6A patent/CN109564600B/zh active Active
- 2017-07-27 WO PCT/US2017/044055 patent/WO2018026608A1/en unknown
- 2017-07-27 EP EP17749289.9A patent/EP3491564B1/en active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100210264A1 (en) * | 1998-10-02 | 2010-08-19 | Eran Netanel | Portable cellular phone system having automatic initialization |
| WO2008073606A2 (en) * | 2006-11-02 | 2008-06-19 | Legitimi Limited | Access control system based on a hardware and software signature of a requesting device |
| CN101304596A (zh) * | 2007-05-09 | 2008-11-12 | 杨一兵 | 移动鉴权网关技术 |
| US20110016320A1 (en) * | 2008-01-28 | 2011-01-20 | Paycool International Ltd. | Method for authentication and signature of a user in an application service, using a mobile telephone as a second factor in addition to and independently of a first factor |
| US20100130172A1 (en) * | 2008-11-26 | 2010-05-27 | Ringcentral, Inc. | Fraud prevention techniques |
| WO2013028901A2 (en) * | 2011-08-23 | 2013-02-28 | Visa International Service Association | Authentication process for value transfer machine |
| US20140192969A1 (en) * | 2013-01-04 | 2014-07-10 | International Business Machines Corporation | Optimized call handling for recycled telephone numbers |
| CN105101196A (zh) * | 2014-05-06 | 2015-11-25 | 阿里巴巴集团控股有限公司 | 一种用户账户管理方法及装置 |
| CN105100028A (zh) * | 2014-05-22 | 2015-11-25 | 中兴通讯股份有限公司 | 账号管理方法及装置 |
| US20160014603A1 (en) * | 2014-07-11 | 2016-01-14 | Early Warning Services, Llc | System and method for mobile number verification |
| CN104093139A (zh) * | 2014-07-15 | 2014-10-08 | 中国联合网络通信集团有限公司 | 空中写卡方法、服务器和智能卡 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180034798A1 (en) | 2018-02-01 |
| US10389706B2 (en) | 2019-08-20 |
| WO2018026608A1 (en) | 2018-02-08 |
| CN109564600B (zh) | 2023-06-27 |
| EP3491564A1 (en) | 2019-06-05 |
| EP3491564B1 (en) | 2021-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11108752B2 (en) | Systems and methods for managing resetting of user online identities or accounts | |
| US10992659B2 (en) | Multi-factor authentication devices | |
| US20200236147A1 (en) | Brokered authentication with risk sharing | |
| CN109564600A (zh) | 基于电话号码循环的认证 | |
| US11876807B2 (en) | Secure online access control to prevent identification information misuse | |
| KR101721032B1 (ko) | 보안 챌린지 지원 패스워드 프록시 | |
| US9628460B2 (en) | Method of controlling access to an internet-based application | |
| CN108989278A (zh) | 认证服务***及方法 | |
| US20090276839A1 (en) | Identity collection, verification and security access control system | |
| Boonkrong et al. | Multi-factor authentication | |
| JP2016062457A (ja) | 認証方法及び認証装置 | |
| Karim et al. | Choosing the right MFA method for online systems: A comparative analysis | |
| Thakur et al. | AntiPhiMBS-Auth: A new anti-phishing model to mitigate phishing attacks in mobile banking system at authentication level | |
| Abiodun et al. | Securing Digital Transaction Using a Three-Level Authentication System | |
| Majdalawieh et al. | Assessing the Attacks Against the Online Authentication Methods Using a Comparison Matrix: A Case of Online Banking | |
| US20220400108A1 (en) | Tokenizing authentication information | |
| Shanmugam | Improving Customer Experience and Reducing Customer Churn by Implementing Frictionless, Adaptive, and Risk-Based Authentication Controls for Digital Assets | |
| Baxter et al. | ENHANCING IDENTITY AND ACCESS MANAGEMENT IN THE US NAVY VIA MIGRATION TO MORE MODERN STANDARDS OF AUTHENTICATION | |
| Huan | Privacy Protection of Node Location and Data in Wireless Sensor Networks. | |
| Msgna et al. | WYK: Mobile Device Authentication Using the User’s Address Book | |
| CN117917043A (zh) | 凭证输入检测和威胁分析 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |