CN113918914A - 用于访问管理的无密码认证 - Google Patents

用于访问管理的无密码认证 Download PDF

Info

Publication number
CN113918914A
CN113918914A CN202111212955.XA CN202111212955A CN113918914A CN 113918914 A CN113918914 A CN 113918914A CN 202111212955 A CN202111212955 A CN 202111212955A CN 113918914 A CN113918914 A CN 113918914A
Authority
CN
China
Prior art keywords
computer device
user
access
information
security data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111212955.XA
Other languages
English (en)
Inventor
V·P·莎斯瑞
S·R·奇图瑞
V·莫图库图
M·巴特坎德
S·K·乔石
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oracle International Corp
Original Assignee
Oracle International Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oracle International Corp filed Critical Oracle International Corp
Publication of CN113918914A publication Critical patent/CN113918914A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本公开涉及用于访问管理的无密码认证。公开了一种可以通过无密码认证来提供对资源的访问的访问管理***。该访问管理***可以在考虑风险因素(例如,设备、位置等等)的情况下为认证提供多层安全性,以确保认证而不侵害访问。基于移动设备的用户的上下文细节可以被用于基于对设备的拥有的认证。可以通过将设备和/或位置(例如,地理位置)注册为可信的来启用用户的无密码认证。嵌有经加密的数据的安全数据可以被发送到第一设备,以便在该设备上对用户进行无密码认证。向用户注册的第二设备可以从第一设备获得安全数据。第二设备可以解密数据并将经解密的数据发送到访问管理***以进行核实,从而在第一设备处启用无密码认证。

Description

用于访问管理的无密码认证
本申请是申请日为2016年10月21日、题为“用于访问管理的无密码认证”的发明专利申请201680061204.3的分案申请。
相关申请的交叉引用
本PCT专利申请要求于2015年10月23日提交的标题为“PASSWORD-LESSAUTHENTICATION FOR ACCESS MANAGEMENT”的美国临时申请No.62/245,891的权益和优先权,该申请的内容通过引用整体上并入本文,用于所有目的。
技术领域
一般而言,本申请涉及数据处理。更具体而言,本申请涉及用于多阶段认证的技术。
背景技术
现代企业依赖控制和生成对业务运营至关重要的信息的各种应用和***。不同的应用常常提供不同的服务和信息,并且不同的用户可以需要访问每个***或应用内的不同级别的信息。用户被授予的访问级别可以取决于用户的角色。例如,经理可以需要访问关于向其报告的员工的某些信息,但是让该经理访问关于他向其报告的人的相同信息可能是不恰当的。
之前,较不复杂的应用将访问管理业务逻辑直接结合到应用代码中。即,例如,每个应用将需要用户拥有单独的帐户、单独的策略逻辑和单独的许可。此外,当用户被这些应用中的一个应用认证时,该认证对于企业中的其它应用仍然是未知的,因为与第一应用的认证已发生的事实不被共享。因此,在使用不同***进行认证和访问控制的应用之间没有信任概念。工程师们很快意识到,为企业中的每个应用设置访问管理***就像为每辆车配备加油站,并且确定认证和访问控制作为共享资源将更高效地被实现和管理。这些共享资源被知晓为访问管理***。
访问管理***常常使用策略和其它业务逻辑来确定是否应当将特定访问请求授予特定资源。在确定应当授予访问时,令牌被提供给请求者。这个令牌就像钥匙,可以用来打开保护受限数据的门。例如,用户可以尝试访问人力资源数据库以搜集关于某些员工的信息(诸如工资信息)。用户的Web浏览器向应用发出请求,该请求需要认证。如果Web浏览器没有令牌,那么用户会被要求登录以访问管理***。当用户通过认证时,用户的浏览器接收表示令牌的cookie,该令牌可用于访问人力资源应用。
在企业中,用户(例如,员工)通常可以访问一个或多个不同的***和应用。这些***和应用中的每一个可以利用不同的访问控制策略并且需要不同的凭证(例如,用户名和密码)。单点登录(SSO)可以在初次登录之后为用户提供对多个***和应用的访问。例如,当用户登录他们的工作计算机时,用户然后也可以访问一个或多个其它资源(诸如***和应用)。访问管理***可以质询用户,以核实他/她的身份,以确定对资源的访问。用户可以被质询基于“你有什么”、“你知道什么”和“你是谁”的组合的信息。
访问管理***可以利用客户端设备上的图形用户界面来提示用户,以质询用户信息,从而核实用户的凭证。有时候,用户请求的信息可以包括敏感的机密信息,如果这些敏感的机密信息被侵害,那么可能威胁到个人的身份和个人信息(例如,财务信息或账户信息)。因此,用户在不确信请求该信息的***是否确实控制对那些资源的访问的情况下可能会犹豫是否向***(诸如服务器)提供敏感信息以获得对资源的访问。
随着使用诸如欺诈和网络钓鱼之类的技术的身份盗用的基于技术的持续进步,用户甚至更不愿意在不确信接收者是访问管理***的情况下提供他们的凭证。访问管理***也不确信凭证来源的真实性。在一些情况下,客户端***可以接收一次性代码(例如,密码),以使得操作客户端***的用户能够经由访问管理***来访问资源。客户端***如果被侵害或被盗,那么可以使操作客户端***的用户使用一次性代码获得对资源的未经授权的访问。
尽管密码一直是用于认证用户和提供访问的被接受的准则(norm),但它们充满了问题——人们忘记他们的密码或者使其容易到足以被猜到。使用分层安全和多认证因素作为用于防止欺诈的更安全的认证方法,正在得到发展。
发明内容
本公开涉及一种访问管理***。某些技术与启用无密码认证相关。这些技术在考虑各种风险因素(设备、位置等等)的情况下为认证提供多层安全性,以确保合法用户具有容易的方式来认证以及访问他们所需的资源,同时使欺诈者难以戏弄(game)该***。随着移动设备使用的增加,本文公开的技术使得能够将移动设备用作多因素认证的信任点。本公开中的访问管理***可以基于设备来利用用户的上下文细节,从而确保基于对设备的拥有(possession)而对用户进行认证。
访问管理***可以协调与用户相关联的设备(例如,移动设备)和/或位置(例如,地理位置)的注册。一旦设备和/或位置被注册,针对与这些设备和/或位置相关联的用户的访问,这些设备和/或位置就可以被访问管理***信任。访问管理***可以启用与可信设备和/或位置中的任何一个相关联的用户的无密码认证。在使用向访问管理***注册的设备的情况下,用户可以被提供对(一个或多个)资源的访问。向访问管理***注册的设备可以被用于无密码认证,以认证在可信设备和/或位置处的用户。对注册设备的拥有可以作为信任点,以确保与该设备相关联的用户作为先前通过认证的用户是合法的。
在至少实施例中,可以利用设备指纹识别(fingerprinting)和地理定位技术来可靠地将设备或与设备相关联的位置识别为用户从该设备或位置请求访问是可信任的。为了将设备或位置注册为可信任,访问管理***可以采用一个或多个认证处理(例如,多因素认证)。例如,多因素认证可以包括利用已经针对用户的帐户预先注册的设备(例如,移动电话)来使用带外核实处理。一旦注册,该设备就可以用于无密码认证,以捕获发送到要从其执行无密码认证的不同设备的安全数据。在允许用户执行无密码认证之前,可以使用在预先注册的设备处的进一步认证(例如,生物计量认证)来可靠地识别用户。基于移动设备的用户的上下文细节可以用于基于对预先向访问管理***注册的设备的拥有来进行用户认证。
访问管理***可以通过生成嵌有经加密的数据的安全数据来执行无密码认证。安全数据可以被发送到要从其执行无密码验证的第一设备。向用户注册的第二设备可以从第一设备获得安全数据。第二设备可以使用由访问管理***提供给它的安全信息(例如,密钥)来解密该数据。第二设备可以将经解密的数据发送到访问管理***进行核实。在成功核实时,访问管理***可以向第一设备发送消息,以通过无密码认证启用访问。
本文公开的技术启用多个不同的认证处理的使用,以用于无密码认证。设备指纹识别和地理位置可以可靠地识别请求访问的设备。使用带外认证(例如,一次性密码)可以允许用户授权敏感访问。通过使用用于本地认证的生物计量来控制在注册设备处的访问还可以确保拥有用户的设备的安全性。对安全数据使用加密可以保护用于无密码认证的设备与在其处请求无密码认证的设备之间的通信。使用多种认证技术(包括使用注册设备作为认证器)可以提高安全性,以确保经由访问管理***的访问不被侵害。
在一些实施例中,访问管理***可以包括被配置为实现本文公开的方法和操作的计算机***。计算机***可以包括一个或多个处理器以及一个或多个处理器可访问并存储一个或多个指令的一个或多个存储器,所述一个或多个指令在由一个或多个处理器执行时使一个或多个处理器实现本文公开的方法和/或操作。还有其它实施例涉及采用或存储用于本文公开的方法和操作的指令的***和机器可读有形存储介质。
在至少一个实施例中,一种方法包括从第一设备接收用户对访问资源的请求。该方法可以包括基于在该请求之前该用户在第一设备处的认证来基于该请求确定第一设备是为该用户注册的。该方法可以包括生成用于确定用户使用第一设备访问资源的认证的安全数据。安全数据可以包括基于与该用户相关的信息的第一数据,并且其中第一数据基于加密密钥被加密。该方法可以包括将加密密钥发送到用户已经向访问管理***注册的第二设备,其中第二设备不同于第一设备。第二设备可以是移动设备,并且第一设备可以是计算机***。该方法可以包括将安全数据发送到第一设备,其中第一设备在第一设备的界面处呈现该安全数据。该方法可以包括从第二设备接收由第二设备基于包括在安全数据中的第一数据的解密所生成的第二数据。第一数据的解密可以由第二设备使用被发送到第二设备的加密密钥来执行。安全数据可以由第二设备从第一设备处安全数据的呈现中获得。该方法可以包括确定第二数据是否包括第一数据中包括的信息。该方法可以包括,基于确定第二数据包括该信息,使第一设备能够访问资源。
在一些实施例中,在第一设备处呈现安全数据是在第一设备处显示安全数据。安全数据可以包括在第一设备处显示的、用于呈现安全的快速响应(QR)码。安全数据中所包括的第一数据可以嵌在QR码中。
在一些实施例中,该方法可以包括基于用于确定在第一设备处对用户的认证的一个或多个认证处理来将第一设备识别为为该用户注册的,并且其中在将第二设备识别为为用户注册时,将加密密钥发送到第二设备。基于为了在第二设备处进行访问而对用户进行认证,第二设备可以使用户能够操作第二设备以从第一设备处安全数据的呈现中获得安全数据。为了在第二设备处进行访问而对用户进行认证可以包括基于为用户的注册所提供的先前生物计量输入来执行用户的生物计量认证。
在一些实施例中,请求包括识别第一设备的信息。基于与识别第一设备的信息相关联的用户的认证,第一设备可以被第一设备识别为注册的。
在一些实施例中,用户的认证是基于包括第一认证处理和第二认证处理的一个或多个认证处理来确定。第二认证处理可以不同于第一认证处理。该方法还可以包括在请求之前执行第一认证处理。第一认证处理可以包括核实从第一设备接收的用户的凭证信息。该方法可以包括在请求之前向第二设备发送临时访问信息并且从第一设备接收临时访问信息。该方法可以包括在请求之前执行第二认证处理。第二认证处理可以包括确定接收到的临时访问信息与发送到第二设备的临时访问信息匹配。在一些实施例中,临时访问信息是与该临时访问信息对第二认证处理有效的时间段相关联的个人识别号。
在一些实施例中,该方法包括向第一设备发送指示对资源的访问被启用的消息。第一设备可以生成图形界面,以启用在第一设备处对资源的访问。
在参考以下说明书、权利要求书和附图之后,前述内容以及其它特征和实施例将变得更加明显。
附图说明
以下参考以下附图详细描述本公开的说明性实施例:
图1图示了根据实施例的、用于由访问管理***启用针对访问的多因素认证的***的高级图。
图2A和图2B图示了根据实施例的、示出用于由访问管理***启用针对访问的多因素认证的操作的顺序图。
图3-图18图示了用于由访问管理***启用针对访问的多因素认证的界面。
图19和图20图示了根据一些实施例的、用于认证的处理的流程图的示例。
图21绘出了用于实现实施例的分布式***的简化图。
图22图示了根据本公开的实施例的、其中服务可以作为云服务提供的***环境的一个或多个部件的简化框图。
图23图示了可以被用来实现本公开实施例的示例性计算机***。
具体实施方式
在以下描述中,为了说明的目的,阐述了具体的细节,以便提供对本公开的实施例的透彻理解。但是,显而易见的是,各种实施例可以在没有这些具体细节的情况下实践。例如,电路、***、算法、结构、技术、网络、处理和其它部件可以以框图形式示为部件,以免用不必要的细节混淆实施例。附图和描述不旨在是限制性的。
I.用于无密码认证的访问管理***的高级概述
公开了用于使用多个客户端(例如,计算设备104和计算设备114)进行多因素认证的一些实施例(诸如***、方法和机器可读介质)。图1图示了***100,其中用户(例如,用户102)可以将设备注册为“可信设备”,以启用向访问管理***140的无密码认证。无密码认证可以使设备能够被注册为“可信”设备,用于经由访问管理***对用户进行认证,以获得对资源的访问。可信设备可以被注册以用于与这些设备相关联的用户的无密码认证。与设备一起被识别出的地理位置可以被注册为“可信位置”,在被检测到后,该位置可以是在注册之后可以实现无密码认证的位置。
***100可以提供单点登录(SSO)访问。在基于对凭证信息(例如,用户名和密码)的认证的初始认证之后,SSO会话可以向用户提供对一个或多个***的访问。对***的访问可以提供对一个或多个资源的访问。资源可以包括由计算***管理和/或存储的任何项(诸如应用、文档、文件、电子内容等)。资源可以由统一资源定位符(URL)或指示资源的来源的其它数据识别。
客户端可以包括计算设备或在计算设备上执行的应用。在图1中,计算设备104(例如,台式计算机***)可以包括在计算设备104上执行的应用106。应用106可以从诸如在线应用商店(例如,应用商店180)之类的源下载。应用106可以是web浏览器,其提供对访问管理门户(例如,“OOW访问门户”)的访问,其中访问管理门户与访问管理***140通信以控制对资源的访问。计算设备114(例如,移动设备)可以包括在计算设备114上执行的应用116。应用116可以从应用商店180下载。应用116可以是为访问管理***140管理认证的认证应用。应用可以是由Oracle公司提供的移动认证器应用。如下面将要描述的,应用106、116可以用于向访问管理***140注册客户端。应用106可以提供对资源的访问,而应用116启用在计算设备104处的用户102的注册和无密码认证。
为了说明的目的,如本文所述的“会话”包括SSO会话;但是,会话可以包括向用户启用访问的其它类型的会话。访问管理***140可以提供对一个或多个资源的访问。访问管理***140可以实现登录***(例如,SSO***),其可以建立SSO会话以提供对一个或多个资源的SSO访问。
资源可以包括但不限于文件、web页面、文档、web内容、计算资源或应用。例如,***100可以包括诸如应用120和/或通过这些应用120可访问的内容之类的资源。可以使用应用来请求和访问资源。例如,应用可以基于识别所请求的资源的URL来请求对来自资源服务器的web页面的访问。资源可以由一个或多个计算***(例如,在SSO***中对用户102的认证后提供对一个或多个资源的访问的资源服务器)提供。
访问管理***140可以由计算***实现。计算***可以包括一个或多个计算机和/或服务器(例如,一个或多个访问管理器服务器),其可以是通用计算机、专用服务器计算机(作为示例,包括PC服务器、UNIX服务器、中程服务器、大型计算机、机架式服务器,等等)、服务器场、服务器集群、分布式服务器,或任何其它适当的布置和/或其组合。访问管理***140可以运行任何操作***或各种附加服务器应用和/或中间层应用,包括HTTP服务器、FTP服务器、CGI服务器、Java服务器、数据库服务器等。示例性数据库服务器包括但不限于可从Oracle、Microsoft等商购获得的那些数据库服务器。访问管理***140可以使用硬件、固件、软件或其组合来实现。
在一些实施例中,访问管理***140可以由在数据中心中部署为集群的多个计算设备(例如,访问管理器服务器)实现,这允许可伸缩性和高可用性。具有访问管理器服务器集群的多个这种地理上分散的数据中心可以被(有线或无线地)连接,以构成多数据中心(MDC)***。MDC***可以满足企业计算机网络内访问服务器的高可用性、负载分布和灾难恢复要求。MDC***可以充当单个逻辑访问服务器,以支持用于访问管理***140的SSO服务。
访问管理***140可以包括至少一个存储器、一个或多个处理单元(或(一个或多个)处理器)和存储器。(一个或多个)处理单元可以用硬件、计算机可执行指令、固件或其组合适当地实现。在一些实施例中,访问管理***140可以包括若干子***和/或模块。例如,访问管理***140可以包括访问管理器142,访问管理器142可以用硬件、在硬件上执行的软件(例如,程序代码、可由处理器执行的指令)或其组合实现。在一些实施例中,软件可以存储在存储器(例如,非瞬态计算机可读介质)中、存储器设备上或某种其它物理存储器上,并且可以由一个或多个处理单元(例如,一个或多个处理器、一个或多个处理器核、一个或多个GPU等等)执行。(一个或多个)处理单元的计算机可执行指令或固件实现可以包括以任何合适的编程语言编写以执行本文描述的各种操作、功能、方法和/或处理的计算机可执行指令或机器可执行指令。存储器可以存储可在(一个或多个)处理单元上加载和执行的程序指令,以及在这些程序的执行期间生成的数据。存储器可以是易失性的(诸如随机存取存储器(RAM))和/或非易失性的(诸如只读存储器(ROM)、闪存等等)。存储器可以使用任何类型的持久存储设备(诸如计算机可读存储介质)来实现。在一些实施例中,计算机可读存储介质可以被配置为保护计算机免受包含恶意代码的电子通信的危害。计算机可读存储介质可以包括存储在其上的指令,所述指令在处理器上执行时执行本文描述的操作。
计算设备104、114中的每一个可以经由一个或多个通信网络与访问管理***140通信。访问管理***140可以经由一个或多个通信网络170与计算设备104通信。访问管理***140可以经由一个或多个通信网络130与计算设备114通信。通信网络的示例可以包括移动网络、无线网络、蜂窝网络、局域网(LAN)、广域网(WAN)、其它无线通信网络或其组合。
图1示出了其中用户102可以参与与访问管理***140的通信以基于他在客户端(例如,计算设备104)处的动作防止他的访问被拒绝的示例。在这个示例中,操作计算设备114的用户102可以尝试访问诸如应用106之类的资源,例如应用120或者通过应用120可访问的资源中的任何一个。在成功认证用户102的凭证信息时,应用120可以对用户102是可访问的。用户102可以尝试提供凭证信息,在几次不成功的尝试之后,用户102可以被拒绝访问。基于尝试的访问阈值次数被满足,访问可以被拒绝。访问管理***140可以与目的地(例如,计算设备114)通信以向用户提供临时访问信息,用户可以在计算设备104处将该临时访问信息提供给访问管理***,以防止他的访问被拒绝。
在尝试访问应用时,用户102可以操作经由访问管理***140管理对用户账户的访问的应用(例如,应用106)。例如,应用106是可以呈现界面(诸如图形用户界面(GUI))的访问管理应用,其中的一些界面在本文公开。应用可以作为服务(例如,云服务)或基于网络的应用的一部分来提供。应用可以使用户能够访问和执行由访问管理***140提供的服务。访问管理***140可以被配置为运行在前述公开中描述的一个或多个服务或软件应用。例如,访问管理***140可以提供许多SSO服务,包括对资源的访问(例如,授予/拒绝访问)的管理、自动登录、应用密码的改变和重置、会话管理、应用凭证供应以及会话的认证。在一些实施例中,访问管理***140可以为应用120(诸如运行或从客户端设备访问的
Figure BDA0003309498910000111
应用、Web应用、
Figure BDA0003309498910000112
应用以及基于大型机/终端的应用)提供自动单点登录功能。如上面所解释的,访问管理***140可以执行对操作客户端设备(例如,计算设备114)的用户(例如,用户102)的认证。认证是如下的处理,即,通过该处理,用户被核实以确定他/她是他/她自称的人。
访问管理***140还可以提供服务或软件应用,可以包括非虚拟环境和虚拟环境。在一些实施例中,可以将这些服务作为基于web的服务或云服务或者依据软件即服务(SaaS)模型提供给客户端的用户。由访问管理***140提供的服务可以包括应用服务。应用服务可以由访问管理***140经由SaaS平台提供。SaaS平台可以被配置为提供属于SaaS类别的服务。SaaS平台可以管理和控制用于提供SaaS服务的底层软件和基础设施。通过利用由SaaS平台提供的服务,客户可以利用在访问管理***140中执行的应用,其可以被实现为云基础设施***。用户可以获取应用服务,而无需客户购买单独的许可证和支持。可以提供各种不同的SaaS服务。操作客户端的用户可以继而利用一个或多个应用来与访问管理***140交互,以利用由访问管理***140的子***和/或模块提供的服务。
在一些实施例中,访问管理***140可以使用存储在数据存储库中的一个或多个策略160(“策略”)来控制对资源的访问。策略160可以包括认证策略,该认证策略指定将用于认证必须为其在给定资源上提供访问的用户的认证方法。策略160定义资源访问被保护的方式(例如,加密的类型等)。策略160可以包括指定用户或用户组可以访问资源的条件的授权策略。例如,管理员可以只授权组内的某些用户访问特定资源。访问管理***140可以基于策略160中的一个或多个来确定用于SSO会话的认证。
访问管理***140还可以包括或耦合到附加的存储装置,这些存储装置可以使用任何类型的永久性存储设备(诸如存储器存储设备或其它非暂态计算机可读存储介质)来实现。在一些实施例中,本地存储装置可以包括或实现一个或多个数据库(例如,文档数据库、关系数据库或其它类型的数据库)、一个或多个文件存储库、一个或多个文件***,或其组合。例如,访问管理***140耦合到或包括用于存储诸如访问数据150、策略160、应用商店180和客户端注册数据190(“客户端注册数据”)之类的数据的一个或多个数据存储库。存储器和附加的存储装置都是计算机可读存储介质的示例。例如,计算机可读存储介质可以包括以用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术实现的易失性或非易失性、可移除或不可移除介质。
访问管理器142可以处置处理,以确定是否存在用于让用户102访问资源的有效会话。访问管理器142检查用于让用户102访问受保护的请求资源的有效会话。访问管理器142可以基于对适用于用户102的一个或多个访问策略的考虑来评估针对用户102的会话的有效性。基于确定对于用户102不存在有效会话,访问管理器142可以请求来自用户102的凭证信息(“凭证”)。凭证信息的成功认证可以向用户提供对一个或多个资源的访问,这一个或多个资源可以包括所请求的资源。访问管理器142可以实现多因素认证,以确定用户的认证。多因素认证可以涉及使用多种不同的认证技术。
在一些实施例中,访问管理器142可以注册与用户相关联的客户端(诸如计算设备104)。客户端可以如图2A中所描述的那样使用不同的客户端(例如,计算设备114)进行注册。关于注册客户端的信息(包括地理位置信息)可以存储在客户端注册数据190中。用户的认证凭证可以存储在访问数据150中。在注册期间,访问管理器142可以生成或确定与客户端(例如,计算设备104和计算设备114)共享的安全信息(例如,一个或多个加密密钥),以支持访问管理***140对设备的注册和多因素认证。加密密钥可以存储在访问数据150中。如本文所公开的那样执行的加密可以使用一种或多种已知的加密技术。安全数据可以由访问管理器142生成,或者可以由另一个***预先生成。可以使用为注册用户指定的加密密钥来加密安全数据。
用户102可以操作计算设备104,以使用应用106来访问由访问管理***140提供的门户(例如,web页面),以将设备(诸如计算设备104、114)注册为可信认证设备。计算设备104可以通过门户请求访问管理***140访问用于设备注册的特征。请求可以被传送到计算设备104,作为响应,计算设备104提示用户102输入用户凭证以确定会话的认证。请求可以包括到往用于接收凭证信息的web页面或用户界面(例如,web页面、门户或面板)的信息(例如,URL)。访问管理器142可以执行认证用户102的凭证信息的操作。在一些实施例中,在成功认证用户时,访问管理器142可以存储关于建立的会话的信息。对于SSO会话(例如,SSO经认证的会话),可以将该SSO会话作为如下的SSO会话进行管理,即,该SSO会话基于对用户的凭证信息的成功认证而启用对用户可访问的所有资源的访问。访问管理器142可以确定受保护的资源并且可以基于认证会话确定对于会话被允许和/或限制的资源。
在设备(例如,计算设备114)被注册为被信任用作用于无密码认证的移动认证器时,可以使用该设备来执行对于在门户处访问资源的后续尝试的无密码认证。例如,计算设备114可以通过捕获在计算设备104处呈现的安全数据而被用于用户的无密码认证。在计算设备104被注册为可信设备/位置之后,访问管理器142可以在有来自计算设备104的访问资源的请求时使用无密码认证来确定用户102的认证。访问管理器142可以生成并向计算设备104发送包括被加密的信息的安全数据。计算设备104可以向用户102呈现该安全数据。计算设备114可以获得190由计算设备104呈现的安全数据。计算设备114可以与计算设备104通信以获得该安全数据。图2B图示了在注册设备时的无密码认证的示例。访问管理器142可以管理关于可信设备的信息,使得访问管理器142可以将安全信息(例如,安全密钥)传送到注册设备,以使这些设备能够操作作为用于无密码认证的认证器。本文进一步公开用于无密码认证的技术。
计算设备104、114和访问管理***140之间的通信可以通过网关***来接收。网关***可以支持访问管理服务。网关***可以支持访问管理服务。例如,单点登录(SSO)网关可以实现一个或多个访问代理(诸如代理(例如,网络门代理)),以平衡和/或处置来自客户端和访问管理***140的请求。在一些实施例中,访问管理***140可以根据代理-服务器模型在***100中实现,以用于计算设备114、104与为访问管理***140实现的访问管理器服务器中的任一访问管理器服务器之间的通信。代理-服务器模型可以包括代理部件(例如,网关***)和服务器部件。代理部件可以被部署在主机***上,并且服务器部件可以被部署在服务器(例如,访问管理器服务器)上。计算设备114可以是工作站、个人计算机(PC)、膝上型计算机、智能电话、可穿戴计算机或其它联网的电子设备。
访问管理***140可以以质询的形式(例如,经由计算设备114处的用户的web浏览器)向用户102呈现对于认证凭证的请求。在一些实施例中,用户102可以通过在计算设备114上执行的客户端或通过计算设备114上的web浏览器来访问SSO用户界面。SSO用户界面可以在访问管理***140处被实现。访问管理***140可以发送SSO用户界面或使得能够访问SSO用户界面的信息(例如,URL)。
在一些实施例中,SSO用户界面可以包括用户102通常使用的应用的列表。用户102可以通过SSO用户界面管理他们的与应用相关联的策略和凭证。当用户102通过SSO用户界面请求访问应用(例如,应用140)时,可以从计算设备114向访问管理***140发送请求,以从适用于用户102的一个或多个策略160中确定用于该应用的策略类型。访问管理***140可以确定对于该用户是否存在有效会话,并且如果存在,那么它可以基于该策略类型确定用户102的凭证信息。
在一些实施例中,请求可以包括来自之前的登录的认证cookie,其可以被用于确定用户102是否被授权取回凭证。如果被授权,那么用户可以使用该凭证来登录到应用。在一些实施例中,代理可以使用户能够使用由访问管理***提供的SSO服务来访问应用120。可以通过web浏览器直接提供访问,而无需首先访问SSO用户界面或使用在计算设备114上执行的客户端。如果用户102未被授权,那么访问管理***可以请求来自用户102的凭证。SSO用户界面可以呈现界面,以接收包括凭证信息的输入。该凭证信息可以被发送到访问管理***140,以确定用户102的认证。
在一些实施例中,可以支持多个凭证类型,诸如Oracle访问管理受保护资源、联合应用/资源(federated application/resource)和表单填写应用。凭证类型的示例可以包括智能卡/感应卡(Proximity card)、令牌、公钥基础设施(PKI)、Windows登录、轻量级目录访问协议(LDAP)登录、生物计量输入等。对于受OAM保护的资源,用户请求可以被认证,然后指向与所请求的资源相关联的URL。对于联合应用,可以提供到联合合作伙伴和资源(包括企业对企业(B2B)合作伙伴应用和SaaS应用)的链接。对于表单填写应用,可以使用模板来识别通过其可以提交凭证的应用web页面的字段。
II.将设备注册为用于无密码认证的认证器的处理
一些实施例(诸如关于图2A、图2B和图3-图18所公开的实施例)可以被描述为被绘制为流程图、流图、数据流图、结构图、顺序图或框图的处理。虽然顺序图或流程图可以将操作描述为顺序处理,但是许多操作可以并行或并发地执行。此外,操作的次序可以被重新安排。处理在其操作完成时终止,但是可以具有图中不包括的附加步骤。处理可以与方法、函数、过程、子例程、子程序等对应。当处理与函数对应时,其终止可以对应于该函数返回到调用函数或主函数。
本文描述的处理(诸如参考图2A、图2B和图3-图18描述的处理)可以用由一个或多个处理单元(例如,处理器核)执行的软件(例如,代码、指令、程序)、硬件或其组合实现。软件可以存储在存储器中(例如,在存储器设备上、在非瞬态计算机可读存储介质上)。在一些实施例中,在本文的流程图中描绘的处理可以由访问管理***(例如,图1的访问管理***140)的计算***来实现。本公开中的处理步骤的特定系列并不旨在限制。也可以根据替代实施例执行步骤的其它顺序。例如,本公开的替代实施例可以以不同的次序执行上面概述的步骤。而且,附图中所示的各个步骤可以包括多个子步骤,这些子步骤可以以对个体步骤适当的各种顺序执行。此外,取决于特定的应用,可以添加或移除附加的步骤。本领域的普通技术人员将认识到许多变化、修改和替代。
在一些实施例的一方面,图2A、图2B和图3-图18中的每个处理可以由一个或多个处理单元执行。处理单元可以包括一个或多个处理器(包括单核或多核处理器)、一个或多个处理器核或其组合。在一些实施例中,处理单元可以包括一个或多个专用协处理器(诸如图形处理器、数字信号处理器(DSP)等)。在一些实施例中,处理单元中的一些或全部可以使用定制电路(诸如专用集成电路(ASIC)或现场可编程门阵列(FPGA))来实现。
现在转向图2A,根据实施例,示出了可用于启用无密码认证的多因素认证的操作200的示例。参考访问管理***140描述的操作可以由访问管理器142或访问管理***140中的多个模块或块来实现。
在步骤210处开始,用户可以操作客户端202(例如,计算设备114),以从源(例如,应用商店180)访问或下载应用(例如,移动认证器应用)。源可以是访问管理***140的一部分。该应用可以被用于客户端202向访问管理***140注册以进行无密码认证。在注册客户端202之后,该应用可以用于用户的无密码认证。
作为认证处理的一部分,用户可能需要向访问管理***140注册客户端202和204。在使用该应用时,应用可以请求用户提供凭证信息以认证用户。在步骤212处,凭证信息可以被发送到访问管理***140。在步骤214处,访问管理***140可以认证用户,并且一旦通过认证,就可以存储指示用户的认证的访问数据。在步骤216处,访问管理***140可以向客户端202发送安全或访问信息(例如,加密密钥)。该信息可以包括密钥对,该密钥对包括私钥和公钥,从而使得客户端202能够对来自访问管理***140的通信进行加密。访问管理***140与客户端202之间的后续通信将用这些密钥加密,以确保安全性。
在步骤218处,用户可以操作应用,以配置该应用用于无密码认证。客户端202可以***作以注册用于多因素认证的安全信息。为了使用该应用进行无密码认证,安全信息可以被用于配置附加的安全性。安全信息(诸如访问码(例如,4至6位的个人识别号码(PIN))和用于生物计量识别的生物计量数据(例如,指纹))可以被注册以用于访问该应用。对于该应用的每次后续使用,用户可能必须提供安全信息,以确保使用可信设备进行无密码认证的附加安全性。
在步骤220处,用户可以操作不同的客户端(客户端204(例如,台式计算机(诸如计算设备104))),以访问由访问管理***140保护的资源。该访问可以基于对要访问资源的用户的认证。资源可以通过在应用(例如,浏览器)中呈现的界面(诸如图形用户界面)来访问。为了确定访问,访问管理***140的应用可以促进认证处理。认证可以包括将其它设备注册为可信设备以用于无密码认证。应用可以提供交互式控件,以促进设备的注册。注册处理可以包括使用单因素或多因素认证对用户进行认证。在步骤220处,用户可以与由访问管理***140提供的、用于管理对资源的访问的应用进行交互。在资源可以被访问之前,该应用可以被呈现为具有用于访问的界面(例如,门户)。界面的示例在图3中示出。资源可以经由如图10中所示的界面提供。该界面可以使用户能够请求设备的注册,以用于未来的认证。
客户端204可以是促进其它可信设备(诸如客户端202)的注册的设备。客户端204可以提供界面,以使客户端202、204能够被注册以进行无密码认证。在步骤220处,客户端204可以向访问管理***140发送要被注册为可信设备的请求。在一些实施例中,请求可以包括关于客户端204的信息(诸如设备信息或关于通过其请求资源的应用的信息)。这种信息可以基于如浏览器版本、插件等等因素来确定。请求可以包括根据浏览器的IP地址的用户的地理位置。该信息可以由客户端204和/或应用来确定。请求可以指示关于请求注册设备的用户的信息。
在至少一个实施例中,在用户请求访问以注册设备时,在步骤222处,访问管理***140可以确定用户的认证,以注册客户端202。访问管理***140可以确定用户是否具有访问管理***140的认证,如果是,那么确定被允许的访问是否包括用于无密码认证的设备的注册。在一些实施例中,访问管理***140还可以确定为其请求认证的设备是已经注册的设备。访问管理***140还可以使用来自步骤220处的请求的信息来确定任何设备是否与被请求注册的设备对应。在一些实施例中,访问管理***140可以确定请求中的位置信息是否与关于用户的信息(诸如与用户的访问相关联的位置)匹配。关于用户的信息可以从访问管理***可访问的权威来源(诸如人力资源***)获得。访问管理***140可以确定要注册的设备的设备/地理位置,并验证它是否是来自访问管理***140的储存库的用户的可信设备/地理位置之一。如果用户先前已经使用设备进行了认证,那么该设备是可信的。在这个示例中,客户端204不是可信的,因此访问管理***140可以确定该设备未被认证。
在步骤224处,在确定用户未在客户端204处被认证时,访问管理***140可以发送对凭证信息(“凭证”)的请求,以认证用户从而注册设备。客户端204可以基于来自访问管理***140的请求在应用处对用户进行提示以请求凭证信息。在一些实施例中,作为由访问管理***140实现的SSO处理的一部分,凭证信息可以被自动提供给访问管理***140。在步骤226处,用户可以向应用提供凭证信息,该应用将凭证信息发送到访问管理***140以对用户进行认证。
在步骤228处,访问管理***140可以验证凭证信息,以确定它是否匹配在为用户创建访问时先前存储的凭证信息。在一些实施例中,访问管理***140可以确定从其发起注册请求的客户端204是否是用户可以从其注册其它设备的可信设备。访问管理***140可以基于地理位置或某种其它信息来确定在用户的可信列表中是否找到客户端204。在确定在该列表中找到该设备时,访问管理***140可以不向用户质询凭证,并且可以前进到步骤242。在确定未在可信列表中找到客户端204时,访问管理***140将在用户之后向用户质询访问信息(例如,一次性PIN或密码)。访问信息可以是临时的,使得其基于一个或多个标准(诸如用途、时间或其组合)保持有效。
在步骤230处,访问管理***140可以请求客户端204提供临时访问信息。可以在生成临时访问信息之前或之后发送对临时信息的请求。在步骤232处,临时访问信息可以由访问管理***140生成。在一些实施例中,访问管理***140可以向客户端204处的应用发送请求,以请求该应用生成临时访问信息。在一些实施例中,临时访问信息基于一个或多个标准在使用中受到限制。访问管理***140可以请求向访问管理***140注册的另一个设备(例如,客户端202)生成临时访问信息。访问管理***140可以生成临时访问信息,然后以加密形式将其发送到客户端202,该加密形式使客户端202能够使用先前客户端202上的应用注册时所提供的安全信息来解密该信息。
在一些实施例中,在步骤230处,访问管理***140可以请求应用使用临时访问信息来发起用于认证的处理。客户端204处的应用可以利用界面提示用户选择用于接收临时访问信息的选项。步骤232可以基于所选择的选项来执行。应用可以与访问管理***140通信,以提供针对临时访问信息的选项。在步骤232处,可以使用各种技术来提供临时访问信息,以确保用于将设备注册为可信设备的安全访问。这些技术包括将临时访问信息发送到用户的设备(例如,客户端202)、用户的电子邮件帐户、与电话号码相关联的设备(例如,短消息***消息),或者通过应用(诸如在客户端202处下载的应用)发送到设备。关于用户的信息可以从权威来源(诸如人力资源***)获得。在步骤234处,客户端202可以***作以访问临时访问信息。如果用户是合法用户,那么他将能够使用他的指纹在客户端202处的应用上认证他自己。客户端202上的应用可以提供临时访问信息。临时访问信息可以在客户端202处生成或者从访问管理***140接收。可以使用客户端202或提供对其发送了临时访问信息的电子邮件的访问的应用,通过电子邮件来访问临时访问信息。
在步骤236处,客户端204可以用于取回临时访问信息,该临时访问信息可以是从客户端204可访问的。客户端204处的应用可以提供界面以接收临时访问信息。用户可以操作客户端204,以提供由访问管理***140请求的临时访问信息。该信息可以与将客户端204识别为从其访问管理***140的访问被允许的可信设备/位置的其它信息一起被提供。
在步骤238处,客户端204上的应用可以将临时访问信息发送到访问管理***140。在240处,访问管理***140可以核实临时访问信息,以确定该临时访问信息如生成的那样正确并且针对为临时访问信息定义的标准是有效的。在确定该临时访问信息与之前生成的临时访问信息不匹配时,可以在应用处拒绝注册客户端204的访问。在确定临时访问信息正确时,访问管理***140可以通过将关于客户端204的信息添加到可信列表来存储该信息。地理位置可以与该信息一起被保存。
在一些实施例中,访问管理***140可以将安全信息发送到与被注册为新可信设备的客户端204认证的用户相关联的设备。安全信息可以被发送到客户端202。可以基于从权威来源获得的关于用户的信息来识别与用户相关联的设备。在客户端204被确定为可信设备之前,安全信息可以已被发送。
在步骤242处,在确定临时访问信息被核实时,访问管理***140可以向客户端204发送指示用户通过认证以访问资源的消息。客户端204处的应用可以改变界面,从而使用户能够访问资源并注册设备以进行无密码认证。访问管理***140可以发送用户被认证的信息(诸如对资源的访问以及关于为用户注册的设备和位置的其它信息)。
图2B图示了根据一些实施例的用于无密码认证的操作250的示例。在图2B中,在成功认证用户时,客户端204可以向用户提供对应用的访问。用户可以通过参考图2A所公开的操作被认证以访问应用。在图2B的步骤260处,客户端204可以提供界面,以使用户能够注销(logout)或结束用于访问应用的会话。用户可以与该界面交互,以通过应用终止访问会话。在步骤262处,用户可以通过应用再次请求对特征和资源的访问。用户可以与应用交互,以请求访问。在304处,客户端204可以发送对访问的请求。该请求可以包括关于客户端204的信息(例如,设备信息)和/或地理位置信息。该信息可以使用本文公开的技术(诸如参考图2A描述的技术)来获得。
在步骤264处,访问管理***140可以确定用户是否被认证用于使用该应用进行访问。访问管理***140可以基于请求中包括的信息来确定客户端204是可信设备。可以将请求中的信息与访问管理***为用户注册的可信设备存储的信息进行比较。因为客户端204基于通过执行操作200的先前注册处理被注册在可信列表上,所以访问管理***可以确定客户端204是可信设备。
在步骤264处,在确定设备不被信任时,访问管理***140可以向客户端204拒绝访问。访问管理***140可以发起认证处理(诸如参考图2A描述的认证处理)。在确定客户端204是注册的可信设备时,访问管理***140可以生成安全数据。安全数据可以是音频数据、视频数据、图像数据、其它类型的数据、可以被设备识别或捕获的其它可感知数据,或其组合。在至少一个实施例中,安全数据被生成为图像数据(例如,快速响应(QR)码)。安全数据可以被生成为具有实现无密码认证处理的信息。例如,安全数据可以被生成为具有对于被提供访问的用户是唯一的安全信息(例如,加密密钥)。该信息可以基于用户唯一的或相关的信息(例如,出生日期、电话号码、个人信息等)来生成。该信息可以是令牌。该信息可以使用安全信息(例如,加密密钥)来加密。该信息可以使用本领域已知的一种或多种用于加密的技术来加密。安全数据可以包含唯一的请求id,其中,将使用之前发送到由用户操作的客户端202的加密密钥来加密该唯一的请求id。安全数据可以由与用户相关联的具有访问权的设备(诸如客户端202)上的应用解密。安全数据用作将关于的个人信息从一个设备(例如,客户端204)传送到另一个设备(例如,客户端202)的便利方式。
在一些实施例中,因为客户端204是可信设备(例如,被识别为基于多因素认证为用户认证的设备),所以在步骤266处,访问管理***可以将安全信息发送到客户端204,用于让客户端204处的应用生成安全数据。安全信息可以通过应用(例如,移动认证器应用)被发送到向访问管理***注册的其它设备。在确定客户端204是可信设备时,可以将安全信息发送到客户端202。移动设备(诸如客户端202)可以用于通过使用安全信息解密安全数据中的信息来执行无密码认证。客户端202可以基于从权威来源获得的信息与用户相关联。为了防止在客户端204处未经授权的访问,可以将安全数据与安全信息一起发送,以防止客户端202获得安全信息。安全数据中的安全信息可以使用用于用户的加密密钥来加密。加密密钥可以被发送到向访问管理***140注册以用于通过无密码认证进行移动认证的设备(诸如客户端202)。加密密钥可以用于读取和/或解密安全数据中的安全信息。
在步骤268处,客户端204可以在客户端204处呈现安全数据。安全数据可以在提供访问管理***140的界面的应用中呈现。例如,由访问管理***140提供的应用可以在客户端204处显示安全数据。安全数据可以基于一个或多个标准来呈现。标准可以是可配置的,以限制安全数据被显示临时时间段(诸如60-90秒),在该时间段内可以预期合法(例如,授权)用户完成无密码认证。这减少了可用于让欺诈者访问旨在用于授权用户的安全数据代码的时间。安全的呈现可以提示用户操作向访问管理注册的另一个设备(例如,客户端202)作为用于无密码认证的可信设备。
在步骤270处,访问管理***可以将安全数据发送到客户端202。客户端202可以是作为用户的设备向访问管理***注册的设备。该设备可以包括用于启用无密码认证的应用。该安全数据可以不同于在步骤266处发送的安全数据。该安全数据可以包括安全信息,以使客户端202能够读取(例如,解密)在客户端204处呈现的安全数据。
在步骤272处,用户可以操作客户端202以获得对客户端202的访问。可以使用一种或多种认证技术来控制访问。可以使用多因素认证来改进使用客户端202进行无密码认证的安全性。这些认证技术可以包括生物计量认证和其它输入驱动的认证技术。客户端202可以包括由访问管理***140提供的用于经由访问管理***140进行认证的应用。该应用可以使用一种或多种认证技术来启用对该应用的访问。用户在应用中本地地认证他自己,然后使应用的特征能够读取发送到客户端204的安全数据。应用可以被配置为利用设备上的一个或多个功能(例如,相机、麦克风或视频记录器)捕获在客户端处提供的安全数据。在一些实施例中,在步骤270处发送的安全数据可以在用户于步骤272处获得对应用的访问时被发送。应用可以与访问管理***140通信,以进行用户的认证。在成功认证时,访问管理***140可以发送安全数据。
在获得客户端202处的访问权时,在步骤274处,用户操作客户端202(具体而言是应用)。客户端202可以***作以使用其功能之一(例如,相机)来读取或捕获在步骤268处显示的安全数据。例如,客户端202可以***作,以使用其相机来捕获利用访问管理***140向客户端204提供的安全信息加密的安全数据(例如,QR码)。
在步骤276处,客户端202***作以处理在步骤274处获得的安全数据。在至少一个实施例中,客户端202上的应用可以***作以捕获由客户端204在步骤268处呈现的安全数据。如果客户端202为用户已向访问管理***140注册,那么它可以读取所捕获的安全数据中的安全信息。客户端202可以具有从访问管理***140获得的安全数据。应用可以使用该安全数据从在步骤274处捕获的安全数据中读取安全信息。由于应用将能够利用它从访问管理***140获得的安全数据来解密该安全数据,因此应用可以在应用中向用户显示请求细节并呈现用于确认安全数据的接收的一个或多个交互式元素。当用户确认时,在步骤278处,应用可以将安全通信发送回访问管理***140。
在步骤276处,应用可以执行操作,以获得从客户端204捕获的安全数据中的数据。该数据可以使用由访问管理***提供的安全数据通过解密来获得。在一些实施例中,从客户端204获得的安全数据可以被发送到访问管理***140以用于解密。
在步骤278处,客户端202上的应用可以与访问管理***140通信。安全通信可以与关于从客户端204捕获的安全数据的信息一起被发送。该信息可以包括从客户端204获得的安全数据。例如,应用可以发送通过解密从客户端204获得的安全数据而确定的安全信息。该通信可以包括用户的认证信息。在确定应用已经对访问管理***140认证了该用户时,该安全通信可以不包括认证信息。
在步骤280处,访问管理***140可以基于从客户端202接收到的通信来核实访问。访问管理***可以核实如从客户端204捕获的安全数据中获得的那样的、从客户端202接收到的信息(例如,请求标识符或安全密钥)与在步骤266处发送到客户端204的安全数据中的信息匹配。信息可以被比较,以确定它们是否匹配。该信息可以是包括在安全数据中的信息的解密形式。解密形式的信息可以与从安全数据中加密的信息解密的信息进行比较。该信息可以与由访问管理***140生成的安全数据的标准相关联,使得标准被评估以确定安全信息是否是从满足该标准(例如,时间)的客户端202接收到的。
在步骤280处,在确定在步骤278处从客户端202接收到的信息与之前生成的安全数据中的信息不匹配时,访问管理***140可以向客户端204拒绝访问。用户可以操作客户端202,以请求访问管理***140向客户端202发送新的安全数据。被拒绝的访问可以包括对资源的访问。访问管理***140可以与客户端204通信,以发送新的安全数据。本文公开的操作可以被重复,以启用对无密码认证的另一次尝试。尝试的次数作为期望级别的安全访问的标准可以是可配置的。
在确定在步骤278处从客户端202接收到的信息与之前生成的安全数据中的信息匹配时,访问管理***140可以向客户端204允许访问。
在步骤282处,访问管理***140可以与客户端202通信,以基于在步骤278处发送的通信来发送关于用户访问是否被允许的信息。该信息可以是关于用户是否被允许访问的通知。在步骤284处,客户端202可以提供该信息。
在步骤286处,访问管理***140可以与客户端204通信,以启用对资源的访问。访问管理***140可以发送信息,以通知客户端204上的应用启用对资源的访问。该信息可以包括关于可访问的资源的信息或用于显示选项以启用访问的信息。在步骤288处,客户端204上的应用可以启用对资源的访问。例如,应用可以提供用于访问不同资源的界面(例如,门户)。资源可以由一个或多个资源管理***提供。
如上所述,参考图2A和图2B所公开的操作在将设备向访问管理***140注册为可信任时启用无密码认证。用户可以通过在移动设备(例如,客户端202)处提供认证来在可信设备处进行认证,并且使用该移动设备来捕获来自可信设备的信息。如果注册用户不能在可配置的时间段内捕获安全数据,那么访问管理***140可以根据来自客户端202的请求生成新的安全数据。然而,访问管理***140还维护重试计数器。如果用户试图做出超过最大次数配置的生成安全数据的重试尝试,那么访问管理***140可以锁定或防止用户的访问,以阻止欺诈。
可选地,访问管理***140可以被配置为使用多因素认证在移动设备(例如,客户端202)处质询用户。这可以允许三个因素——用户拥有的东西(他的智能电话)、用户具有的东西(例如,指纹)以及用户知道的东西(例如,个人访问码),以提供认证。虽然用户可能必须记住安全信息,但安全信息不需要与密码一样强,因为它在移动设备处与其它因素结合使用并且使用移动设备从可信设备捕获信息。
由于可以从合法用户的可信设备实现基于安全数据的无密码认证,因此欺诈者不能从任何其它设备或位置使用它。如果欺诈者设法从合法用户的设备和位置访问资源,那么他将可能无法利用客户端202中的应用捕获安全数据,因为该应用可能没有安全信息来解密旨在用于合法用户的安全数据。如果欺诈者设法从合法用户的设备和位置访问资源并且还盗取合法用户的智能电话,那么他将仍然不能继续,因为客户端204上的应用可能需要合法用户的指纹以继续捕获安全数据。
III.用于无密码认证的界面
图3-图18图示了根据实施例的界面,例如用于访问管理***中的多因素认证的图形用户界面(GUI)。图3-图18中的GUI可以作为访问门户(诸如web站点或应用)的一部分被显示。图3-图18中的每个GUI可以显示在设备上的应用中。图3-图18中的每个GUI可以由管理对一个或多个资源的访问的访问管理应用显示。每个GUI可以从访问管理***140访问,或者可以是安装在客户端上的用于与访问管理***140通信的应用的一部分。
现在转向图3,图3是用于接收凭证信息(例如,用户名和密码)的GUI300。GUI 300可以在由用户操作的计算设备104或客户端204处呈现。GUI 300可以在应用(例如,浏览器)中呈现。
GUI 300可以在用户首次操作客户端设备以通过经由访问管理***140的认证来获得对资源的访问时被呈现。当用户请求访问资源时,可以呈现GUI 300。GUI 300可以作为支持访问管理***140的应用(例如,“OOW访问门户”)(诸如访问门户应用或web站点)的一部分被呈现。GUI 300可以作为用于为用户注册客户端设备的一个或多个认证处理的一部分被呈现。可以在GUI 300中实现任何类型的认证处理。
GUI 300可以包括一个或多个交互式元素,以提供用于认证处理的输入(例如,凭证信息)。GUI 300中的交互式元素302可以接收用于用户标识的输入(例如,“用户名”)。GUI300中的交互式元素304可以接收用于凭证的输入(例如,“密码”)。GUI中的交互式元素306可以是交互式的,以提交利用在交互式元素中接收到的输入进行认证的请求。
在与交互式元素306交互时,输入到GUI 300中的凭证信息可以从计算设备104被发送到访问管理***140以用于认证。该凭证信息可以是用户先前已经为了向访问管理***140注册而提供的凭证信息。
图4和图5图示了用于用户的多因素认证的认证处理的GUI,用于将设备注册为可信设备以进行无密码认证。图4的GUI 400或图5的GUI 500中的每一个可以呈现用于选择接收安全信息的选项的一个或多个交互式元素。安全信息可以与一个或多个标准相关联,使得安全信息对于认证是临时可用的。GUI400可以显示具有一个或多个交互式元素的交互式区域402。在移动设备处的应用(例如,移动认证器应用)中,交互式元素402可以使用户能够选择用于让设备(例如,计算设备104或客户端204)接收移动设备(例如,设备114或客户端202)处的安全信息(例如,一次性密码)的选项。与交互式元素406的交互可以使设备请求访问管理***140,以请求移动设备提供安全信息。GUI500可以显示具有一个或多个交互式元素(例如,交互式元素510、512、514)的交互式区域502,用于选择用于获得安全信息的不同选项。交互式元素510可以与在移动设备上的应用处接收安全信息的选项对应。交互式元素512可以与在移动设备处使用短消息服务(SMS)(诸如文本消息)接收安全信息的选项对应、与和用户相关联的位置(例如,电话号码或电子邮件地址)对应。交互式元素514可以与在与用户相关联的电子邮件地址处接收安全信息的选项对应。与交互式元素516的交互可以使设备请求与所选择的选项对应的安全信息。通过将安全信息发送到与用户相关联的另一个设备或位置,确保安全访问信息不被未经授权的用户访问。
图6图示了使得另一个设备(例如,计算设备104或客户端204)能够被注册为可信设备的设备602(例如,计算设备114或客户端202)的示例。设备602被示出为具有访问管理***140的应用(例如,移动认证器应用)的不同GUI。该应用可以用于将设备(例如,客户端204)注册为可信设备和/或可以用于在注册之后在可信设备处对用户的无密码认证。设备602可以提供一个或多个认证处理,以访问应用的特征。认证处理可以包括多因素认证,其可以利用设备602上的认证处理。例如,设备602可以提供具有提示604的界面,提示604请求用于认证的生物计量(例如,指纹)输入。交互式元素606可以被用于提供生物计量输入。
设备602可以提供具有元素622的界面,元素622提供用于向访问管理***140注册不同设备的安全信息。如本文所公开的,安全信息可以由访问管理***提供,或者可以由应用在设备602处生成。安全信息可以以用于使用安全信息的一个或多个标准(例如,时间)来显示。交互式元素624可以使用户能够请求设备602的操作,以捕获显示在将要向访问管理***140注册的设备处的安全数据。
图7和图8图示了用于提供应用(例如,提供用于认证用户以访问应用的GUI的移动认证器应用)的设备700的示例。类似于图6,应用可以支持一个或多个认证处理(诸如凭证信息(例如,代码或个人识别号码)的输入和/或生物计量输入)。认证处理可以基于提供给访问管理***140的、用于为了使用应用进行认证而注册用户的信息来确定。凭证信息和生物计量输入可以先前为应用注册。应用可以提供用于接收凭证信息的输入的交互式元素702。应用可以提供用于接收生物计量输入的交互式元素704。应用可以基于该输入来确定认证。图7中的示例示出了基于对交互式元素702、704中的任一个的输入的成功认证706。图8中的示例示出了基于对交互式元素702、704中的任一个的用户输入的未成功认证806。在一些实施例中,认证处理可以在确定认证不成功时防止应用被用于无密码认证。图8示出了用户不能使用设备700继续捕获安全数据的通知。
图9示出了多个设备(要被注册为可信设备的呈现GUI 900的设备(例如,客户端204),以及要用作用于注册该设备的移动认证器的设备950)上的GUI。GUI 900可以包括用于多因素认证处理的辅助认证处理的交互式区域902。例如,可以在图3中所示的初始认证处理之后显示GUI900以用于辅助认证处理。交互区域902可以包括用于注册设备(例如,客户端204)的辅助认证处理的交互式元素。交互式元素904可以是交互式的,以接收安全信息(诸如由图4或图5中选择的选项之一提供的一次性密码)的输入。如图9中所示,安全信息可以按照设备950处的应用(例如,移动认证器应用)处的一个选项来接收。设备950示出了类似于图6中所示的GUI。设备950可以提供具有指示安全信息的交互式元素952的GUI。该GUI可以提供用于请求从GUI 900捕获安全数据的交互式元素954。GUI 900中的交互式元素906可以是交互式的,以使得用户能够指定设备/位置是否要被注册为可信设备/位置。交互式元素908和910可以接收用于配置可信设备/位置的信息(例如,名称和位置)的输入。交互式元素912可以接收请求对辅助认证处理进行认证的输入。交互式元素914可以接收改变GUI以呈现如图4和图5中的GUI中所公开的用于辅助认证的选项的输入。
图10图示了在利用访问管理***140对用户进行认证时提供对一个或多个资源的访问的应用的GUI 1000。该认证可以作为用于将客户端设备注册为可信设备/位置的多因素认证处理来执行。GUI1000可以为在成功认证时可访问的每个资源提供交互式元素1010、1012、1014、1016、1018。GUI 1000可以包括控制用于访问管理的一个或多个设置的交互式元素1002。与交互式元素1002的交互可以使图11和图12中的GUI当中的任何GUI在设备处被呈现。
图11图示了GUI 1100,其显示关于由访问管理***140核实的可信设备和可信位置的信息。GUI 1100可以包括用于配置这些位置和/或设备的交互式元素。GUI 1100可以包括用于向访问管理***注册为被信任的每个设备和每个位置的交互式元素。例如,对于向访问管理***140注册的每个相应的不同设备,设备1(例如,“我的台式机-Firefox”)、设备2(例如,“我的工作Iphone”)和设备3(例如,“工作台式机”),GUI 1100可以包括交互式元素1102、1104和1106。这些设备中的每个设备可以与一个或多个可信位置相关联。GUI 1100可以包括用于每个相应位置(例如,“Acme-伦敦”)、位置(例如,“家”)和位置(例如,“Acme-HQ”)的交互式元素1108、1110和1112。每个交互式元素可以是交互式的,以使得显示交互式的GUI(例如,图12中的GUI),以配置用于被信任的设备和/或位置的设置。GUI 1100可以包括交互式元素1120(“保存”)以配置使用GUI 1100来保存设置。
图12图示了显示关于由访问管理***140核实的可信设备和可信位置的信息的GUI1200。类似于图11,GUI1200可以包括用于对被注册为可信设备进行配置的一个或多个交互式元素1202。GUI 1200可以包括用于对被注册为可信位置进行配置的一个或多个交互式元素1204。在一些实施例中,GUI1200可以包括一个或多个交互式元素1206,以配置用于管理对可信设备和位置的访问的设置。这些设置可以包括一个或多个属性(诸如质询问题和答案)。GUI1200可以包括一个或多个交互式元素1208,以配置一个或多个认证处理(诸如第二因素认证)的设置。用于辅助因素认证的设置可以包括用于接收安全信息(例如,一次性密码)的偏好和与这些偏好相关联的标准。
当在设备或位置(诸如任何一个注册的设备或位置)处对用户进行认证时,可以从访问管理***获得图11和图12中所示的设备或位置。
图13图示了可以在被注册为可信的设备上显示的GUI 1300。GUI 1300可以在用户在认证之后请求终止(例如,注销或退出)服务会话时显示。GUI 1300可以在图10-图12中的任何GUI之后显示。GUI 1300可以包括请求访问管理以在认证之后终止访问会话的交互式元素1302。GUI 1300可以在成功完成访问会话的终止时显示指示1304。
图14图示了在向访问管理***140注册为可信设备的设备处的GUI1400。在用户终止访问会话之后(诸如图13中所示),可以向用户呈现用于从在先前的认证期间注册了的相同设备进行无密码认证的选项。在通过访问管理***140确定设备被注册为可信设备或者该设备位于可信位置时,GUI 1400可以在该设备处的应用中呈现。GUI 1400可以提供用于无密码认证的安全数据。如上面所解释的,安全数据可以包括安全信息。安全数据1402(例如,QR码)可以在设备处呈现,以使另一个注册设备(例如,移动设备1450)能够用于无密码认证。设备1450可以被用于捕获该安全数据。
设备1450可以向访问管理***140注册。设备1450上的应用(例如,移动认证器应用)可以请求用户进行认证,以使用该应用。该认证可以包括本文公开的技术,诸如参考图7描述的。例如,设备1450可以提供用于认证的界面,包括用于接收输入(例如,个人识别码)的交互式元素1452和用于接收生物计量输入的交互式元素1454。认证可以包括与访问管理***140的通信。该认证为无密码认证提供了附加的安全级别。
在成功认证用户时,应用可以被用来捕获在GUI 1400中呈现的安全数据1402。例如,应用可以启用设备1450的相机的操作,以捕获该安全数据。
图15的GUI 1500、图16的GUI 1600和图17的GUI 1700与GUI 1400相似,在已经注册为可信设备的设备处呈现安全数据1502、1602、1702。图15的设备1550、图16的设备1650和图17的设备1750可以是与用作用于无密码认证的移动认证器的设备1450类似的设备。在图15中,设备1550(例如,设备1450)上的应用可以改变其显示,以示出被捕获的安全数据1552和关于安全数据的处理的状态信息,以确定安全数据是否可以被在设备1450处认证了的用户访问。如本文所公开的,移动设备(诸如设备1550)可以作为认证器来操作,以处理安全数据,从而确定应用是否可以解密安全数据中的信息。设备1550可以使用由访问管理***140提供的安全信息(例如,加密密钥)来解密安全数据。设备可以将经解密的安全数据发送到访问管理***140,用于核实它是否与包括在之前由访问管理***140生成的安全数据中的安全信息匹配。设备1550可以在它确定安全数据被成功解密(例如,从访问管理***140接收到其通知)时显示通知1554(“扫描成功”)。
在图16的另一个示例中,设备1650可以显示安全数据被成功读取和解密的通知1652。该通知可以指示呈现安全数据的可信设备可以被启用对资源的访问。在图17的另一个示例中,在确定从GUI 1700捕获的安全数据不能被解密时,设备1750可以显示安全数据不能被解密的通知1752(“无效的QR码”)。
图18图示了用作用于无密码认证的移动认证器的设备1800的示例。界面1802可以作为应用(例如,移动认证器应用)的一部分被呈现。当访问管理***140从可信设备接收到基于无密码认证访问资源的请求时,界面1802可以指示通知。界面1802可以包括允许该请求的交互式元素1804并且可以包括拒绝该请求的交互式元素1806。与这些交互式元素的交互可以使应用能够确定用户是否想参与无密码认证。本文公开的移动设备上用于移动认证应用的界面可以在用户“允许”针对无密码认证的请求后被呈现。
图19图示了用于无密码认证的处理的流程图1900。该处理可以由图1的访问管理***140来实现。该处理可以包括在启用无密码认证之前将设备/位置注册为可信的。
流程图1900可以在步骤1902处通过从设备(例如,第一设备)接收由用户进行访问的请求(例如,第一请求)开始。该请求可以是为了访问资源或者可以是将第一设备注册用于无密码认证的明确请求。访问可以基于使用一个或多个认证处理(诸如多因素认证)在设备处对用户的认证。如果用户是第一次从第一设备请求访问,那么可以确定对用户进行认证。
在步骤1904处,为该请求确定用户是否是通过认证的。该请求可以包括关于第一设备的信息和/或关于第一设备的地理位置信息。这些信息可以用于确定与第一设备相关联的用户是否是通过认证的。在步骤1906处,在第一设备处为用户做出用户认证的确定。可以基于先前的认证来确定该认证,并且如果没有先前的认证,那么可以在第一设备处为用户执行一个或多个认证处理。访问管理***140可以向第一设备发送信息,以让应用向用户提示与一个或多个认证处理中的每一个对应的输入。确定认证可以包括认证处理,由此将与标准(例如,时间)相关联的安全信息(例如,一次性密码)发送到用于接收安全信息的多个选项中的一个。确定认证可以包括接收凭证信息或其它信息(例如,安全信息)以进行核实从而确定认证。确定认证可以包括与由用户操作作为移动认证器的第二设备进行通信,该第二设备可以提供安全信息。
基于根据一个或多个认证处理确定用户是通过认证的,访问可以被允许。访问可以被终止。在从第一设备接收到终止(例如,注销)为了使用户能够访问一个或多个资源而创建的会话的请求时,访问可以被终止。在满足定义访问的一个或多个标准时,访问可以被终止。
在步骤1908处,将第一设备识别为可信设备或与可信位置相关联。在确定用户在第一设备处通过认证时,在与第一设备的通信中,可以从第一设备获得关于第一设备和/或其位置的信息,以用于确定认证。该信息可以与要求由访问管理***所管理的访问的用户相关联。第一设备和/或其位置可以被识别为访问的可信来源,由此允许在有来自该设备/位置的后续请求时进行无密码认证。
在步骤1910处,可以从第一设备接收由用户进行访问的请求(例如,第二请求)。第二请求可以在用户先前向访问管理***认证之后被接收。例如,可以在访问会话终止之后接收第二请求。该请求可以包括关于第一设备或其位置的信息。
在步骤1912处,基于关于设备和/或其位置的信息,做出第一设备是可信设备或位置的确定。该信息可以被识别为与先前用户的认证相关联。照此,访问管理***可以确定用户正在从可信设备/位置请求访问。
在步骤1914处,由于请求是来自可信设备或位置,因此生成用于启用无密码认证的安全数据(例如,QR码)。安全数据可以被生成为包括信息。该信息可以是特定于用户的信息(诸如关于用户的识别信息)。安全数据可以嵌入有经加密的数据(诸如经加密的信息)。该数据可以使用一种或多种已知的加密技术来加密。数据可以使用加密密钥来加密。安全数据可以与一个或多个标准(例如,时间段)相关联,以根据标准进一步确保安全使用。
在步骤1916处,可以将加密信息(例如,加密密钥)发送到用户向访问管理***注册的第二设备。第二设备与第一设备不同。第二设备可以是移动设备。用户可以已经使用第二设备上的应用(例如,移动认证器应用)向访问管理***进行认证。关于第二设备的信息可以与该用户相关联。第二设备可以使用加密密钥来解密嵌入在安全数据中的信息。
在步骤1918处,安全数据可以被发送到第一设备。第一设备可以在第一设备处呈现(例如,显示)安全数据。安全数据可以以足以让用户基于数据类型来感知安全数据的方式呈现。
在步骤1920处,可以从第二设备接收数据。第二设备可以捕获由第一设备呈现的安全数据。第二设备可以使用加密密钥来解密从第一设备捕获的安全数据中的安全信息。经解密的安全信息可以是从第二设备接收的数据。
在步骤1922处,确定从第二设备接收到的数据是否与嵌入在步骤1914处生成的安全数据中的未加密形式的数据匹配。该确定可以包括:确定数据是否包含嵌入在安全数据中的数据所包括的(例如,与用户相关的)信息。在确定从第二设备接收到的数据与嵌入在所生成的安全数据中的数据匹配时,用户可以被认证进行访问。当数据包括最初包括在安全数据中加密的数据中的信息时,该数据可以匹配。在确定从第二设备接收到的数据与嵌入在所生成的安全数据中的数据不匹配时,用户可能不被认证进行访问。在确定数据包括嵌入在安全数据中的数据中所包括的(例如,与用户相关的)信息时,可以由访问管理***启用对资源的访问。
在步骤1924处,基于在步骤1922处为用户确定的认证,向第一设备发送指示用户是否被允许进行访问的通知。该通知可以连同关于可用的资源的其它信息一起发送,或与其分开发送。如果用户通过认证以访问那些资源,那么该信息可以被第一设备用来访问资源。第一设备处的应用(例如,web站点上的门户)可以允许用户通过第一设备处的应用来访问资源。
在步骤1926处,基于在步骤1922处为用户确定的认证,向第二设备发送指示用户是否被允许进行访问的通知。第二设备上的应用可以呈现该通知,以使用户能够确定无密码认证是否允许用户访问。
流程图1900可以在步骤1928处结束。
图20图示了无密码认证的处理的流程图2000。该处理可以由被注册为可信设备或与可信位置相关联的设备(例如,图1的计算设备104)实现。该处理可以包括在启用无密码认证之前将设备/位置注册为可信的。
在步骤2002处,在第一设备处接收由用户进行访问的请求。该请求可以通过第一设备处的应用的界面来接收。该界面可以由访问管理***140作为门户或应用的一部分来提供。该请求可以是为了访问资源,或者是将第一设备注册为可信设备的请求。
在步骤2004处,基于由访问管理***为访问定义的一个或多个认证处理来确定用户的认证。认证处理可以是参考图3-图9公开的认证处理。认证处理可以包括用户提供输入(诸如认证凭证)和由访问管理***提供的安全信息。(一个或多个)认证处理可以借助于第二设备(诸如具有提供用于帮助(一个或多个)认证处理的信息的应用(例如,移动认证器应用)的移动设备)来实现。(一个或多个)认证处理可以包括经由界面在第一设备处接收输入并且与访问管理***140通信以核实用于认证处理的输入。认证处理可以被实现,以将第一设备注册为可信设备或在可信位置处。
在步骤2006处,允许第一设备作为可信设备或可信位置进行访问。第一设备可以基于在步骤2004处用户的认证来从访问管理***接收指示第一设备是可信的信息。照此,第一设备可以基于从访问管理***140接收到的信息来允许用户访问资源。
在步骤2008处,第一设备接收用户在第一设备处进行访问的第二请求。第二请求可以在用户先前向访问管理***认证之后被接收。例如,可以在访问会话被终止了之后接收第二请求。
在步骤2010处,第一设备可以在确定用户通过认证可以作为可信设备进行访问后向访问管理***发送请求。在一些实施例中,第一设备可以发送第二请求,并且访问管理***140可以发送指示第一设备是否是可信设备并且无密码认证是否允许访问的信息。该请求可以包括关于第一设备或其位置的信息。
在步骤2012处,从访问管理***接收安全数据。访问管理可以在确定第一设备是可信设备或在可信位置处时生成安全数据。在接收到信息(例如,安全信息)时,安全数据可以由第一设备生成。安全数据可以嵌有经加密的数据,该经加密的数据是基于访问管理***140可访问的信息加密的。
在步骤2014处,以安全数据被生成或接收的格式呈现安全数据。安全数据可以被另一个设备(诸如为用户向访问管理***140注册的第二设备)捕获。第二设备可以包括可以捕获在第一设备处呈现的安全数据的应用(例如,移动认证器应用)。第二设备可以捕获安全数据或其一部分,然后将数据发送到访问管理***。数据可以从被捕获的安全数据中获得。数据可以基于安全数据中的经加密的数据的解密来生成。访问管理***可以处理从第二设备接收到的数据,以确定从第二设备接收到的数据是否与嵌在由第一设备从访问管理***140接收到的安全数据中的数据匹配。
在步骤2016处,第一设备可以从访问管理***接收通知。该通知可以基于为用户确定的认证来指示用户是否被允许访问。该通知可以连同关于可访问的资源的其它信息一起发送,或与其分开发送。如果用户通过认证以访问资源,那么该信息可以被第一设备用来访问这些资源。第一设备处的应用(例如,web站点上的门户)可以允许用户通过第一设备处的应用访问资源。基于由第二设备捕获的安全数据以及被传送到访问管理***的用于让访问管理***为用户确定是否允许第一设备进行访问的数据,可以通过无密码认证允许用户进行访问。
在步骤2018处,第一设备可以生成用于显示关于通知的信息的界面(例如,GUI)。该信息可以基于为用户确定的认证来指示用户是否被允许访问。该界面可以是图10中所示的GUI 1000,用于在用户被允许访问时启用对资源的访问。当通知指示访问不被允许时,该界面可以指示不允许访问的消息。
流程图2000可以在步骤2020处结束。
图21绘出了用于实现实施例的分布式***2100的简化图。在所示实施例中,分布式***2100包括一个或多个客户端计算设备2102、2104、2106和2108,这些客户端计算设备被配置为通过(一个或多个)网络2110执行和操作客户端应用(诸如web浏览器、专有客户端(例如,Oracle Forms)等等)。服务器2112可以经由网络2110与远程客户端计算设备2102、2104、2106和2108通信地耦合。
在各种实施例中,服务器2112可以适于运行一个或多个服务或软件应用。在某些实施例中,服务器2112还可以提供其它服务,或者软件应用可以包括非虚拟环境和虚拟环境。在一些实施例中,这些服务可以作为基于web的服务或云服务或者在软件即服务(SaaS)模型下提供给客户端计算设备2102、2104、2106和/或2108的用户。操作客户端计算设备2102、2104、2106和/或2108的用户可以进而利用一个或多个客户端应用与服务器2112交互,以利用由这些部件提供的服务。
在图21所绘出的配置中,***2100的软件部件2118、2120和2122被示为在服务器2112上实现。在其它实施例中,***2100的一个或多个部件和/或由这些部件提供的服务也可以由客户端计算设备2102、2104、2106和/或2108中的一个或多个实现。操作客户端计算设备的用户然后可以利用一个或多个客户端应用来使用由这些部件提供的服务。这些部件可以用硬件、固件、软件或其组合实现。应当理解的是,各种不同的***配置是可能的,其可以与分布式***2100不同。因此,图21中所示的实施例是用于实现实施例***的分布式***的一个示例,并且不旨在进行限制。
客户端计算设备2102、2104、2106和/或2108可以包括各种类型的计算***。例如,客户端计算设备可以包括便携式手持设备(例如,
Figure BDA0003309498910000391
蜂窝电话、
Figure BDA0003309498910000392
计算平板、个人数字助理(PDA))或可穿戴设备(例如,Google
Figure BDA0003309498910000393
头戴式显示器),其运行诸如Microsoft Windows
Figure BDA0003309498910000394
之类的软件和/或诸如iOS、Windows Phone、Android、BlackBerry 10,Palm OS之类的各种移动操作***。设备可以支持各种应用(诸如各种互联网相关的应用、电子邮件、短消息服务(SMS)应用),并且可以使用各种其它通信协议。客户端计算设备还可以包括通用个人计算机,作为示例,其包括运行各种版本的Microsoft
Figure BDA0003309498910000395
Apple
Figure BDA0003309498910000396
和/或Linux操作***的个人计算机和/或膝上型计算机。客户端计算设备可以是运行任何各种商用的
Figure BDA0003309498910000397
或类UNIX操作***(包括但不限于诸如例如Google Chrome OS的各种GNU/Linux操作***)的工作站计算机。客户端计算设备还可以包括能够通过(一个或多个)网络2110进行通信的电子设备(诸如瘦客户端计算机、启用互联网的游戏***(例如,具有或不具有
Figure BDA0003309498910000398
手势输入设备的Microsoft
Figure BDA0003309498910000399
游戏控制台)和/或个人消息传送设备)。
虽然图21中的分布式***2100被示为具有四个客户端计算设备,但是可以支持任何数量的客户端计算设备。其它设备(诸如具有传感器的设备等)可以与服务器2112交互。
分布式***2100中的(一个或多个)网络2110可以是对本领域技术人员熟悉的可以利用任何各种可用协议支持数据通信的任何类型的网络,其中这些协议包括但不限于TCP/IP(传输控制协议/互联网协议)、SNA(***网络体系架构)、IPX(互联网分组交换)、AppleTalk等。仅仅作为示例,(一个或多个)网络2110可以是局域网(LAN)、基于以太网的网络、令牌环、广域网、互联网、虚拟网络、虚拟专用网络(VPN)、内联网、外联网、公共交换电话网络(PSTN)、红外网络、无线网络(例如,在任何电气和电子协会(IEEE)1002.11协议套件、
Figure BDA0003309498910000401
和/或任何其它无线协议下操作的网络)和/或这些网络和/或其它网络的任意组合。
服务器2112可以由一个或多个通用计算机、专用服务器计算机(作为示例,包括PC(个人计算机)服务器、
Figure BDA0003309498910000402
服务器、中档服务器、大型计算机、机架安装的服务器等)、服务器场、服务器集群或任何其它适当的布置和/或组合组成。服务器2112可以包括运行虚拟操作***的一个或多个虚拟机,或涉及虚拟化的其它计算体系架构。一个或多个灵活的逻辑存储设备池可以被虚拟化,以维护用于服务器的虚拟存储设备。虚拟网络可以由服务器2112利用软件定义的联网来控制。在各种实施例中,服务器2112可以适于运行在前述公开中描述的一个或多个服务或软件应用。例如,服务器2112可以与根据本公开的实施例的用于执行如上所述的处理的服务器对应。
服务器2112可以运行包括以上讨论的任何操作***的操作***,以及任何商用的服务器操作***。服务器2112还可以运行任何各种附加的服务器应用和/或中间层应用,包括HTTP(超文本传输协议)服务器、FTP(文件传输协议)服务器、CGI(公共网关接口)服务器、
Figure BDA0003309498910000403
服务器、数据库服务器等。示例性数据库服务器包括但不限于可从Oracle、Microsoft、Sybase、IBM(国际商业机器)等商业获得的数据库服务器。
在一些实现中,服务器2112可以包括一个或多个应用,以分析和整合从客户端计算设备2102、2104、2106和2108的用户接收到的数据馈送和/或事件更新。作为示例,数据馈送和/或事件更新可以包括但不限于从一个或多个第三方信息源和连续数据流接收到的
Figure BDA0003309498910000411
馈送、
Figure BDA0003309498910000412
更新或实时更新,连续数据流可以包括与传感器数据应用、金融报价机、网络性能测量工具(例如,网络监视和流量管理应用)、点击流分析工具、汽车流量监视等相关的实时事件。服务器2112还可以包括经由客户端计算设备2102、2104、2106和2108的一个或多个显示设备显示数据馈送和/或实时事件的一个或多个应用。
分布式***2100还可以包括一个或多个数据库2114和2116。这些数据库可以提供用于存储信息(诸如用户交互信息、使用模式信息、自适应规则信息、和由本公开的实施例使用的其它信息)的机制。数据库2114和2116可以驻留在各种位置中。作为示例,数据库2114和2116中的一个或多个可以驻留在服务器2112本地(和/或驻留在其中)的非瞬态存储介质上。可替代地,数据库2114和2116可以远离服务器2112,并且经由基于网络的连接或专用的连接与服务器2112通信。在一组实施例中,数据库2114和2116可以驻留在存储区域网络(SAN)中。类似地,用于执行服务器2112所具有的功能的任何必要的文件可以适当地本地存储在服务器2112上和/或远程存储。在一组实施例中,数据库2114和2116可以包括关系数据库(诸如由Oracle提供的数据库),其适于响应于SQL格式的命令而存储、更新和检索数据。
在一些实施例中,云环境可以提供一个或多个服务。图22示出根据本公开的实施例的、在其中服务可以作为云服务被提供的***环境2200的一个或多个部件的简化框图。在图22所示的实施例中,***环境2200包括一个或多个客户端计算设备2204、2206和2208,这一个或多个客户端计算设备804、2206和2208可以被用户用来与提供云服务的云基础设施***2202交互。云基础设施***2202可以包括一个或多个计算机和/或服务器,这一个或多个计算机和/或服务器可以包括上面针对服务器2112所描述的那些计算机和/或服务器。
应当认识到的是,图22中所绘出的云基础设施***2202可以具有除所绘出的那些部件之外的其它部件。另外,图22中所示的实施例仅仅是可以结合本公开的实施例的云基础设施***的一个示例。在一些其它实施例中,云基础设施***2202可以具有比图中所示出的更多或更少的部件、可以组合两个或更多个部件、或者可以具有不同的部件配置或布置。
客户端计算设备2204、2206和2208可以是与上面针对客户端计算设备2102、2104、2106和2108所描述的那些设备相似的设备。客户端计算设备2204、2206和2208可以被配置为操作客户端应用(诸如web浏览器、专有客户端应用(例如,Oracle Forms)或可以被客户端计算设备的用户使用以与云基础设施***1302交互来使用由云基础设施***2202提供的服务的一些其它应用)。虽然示例性***环境2200被示为具有三个客户端计算设备,但是可以支持任何数量的客户端计算设备。其它设备(诸如具有传感器的设备等)可以与云基础设施***2202交互。
(一个或多个)网络2210可以促进客户端计算设备2204、2206和2208与云基础设施***2202之间的数据通信和交换。每个网络可以是对本领域技术人员熟悉的、可以利用任何各种商用的协议支持数据通信的任何类型的网络,其中这些协议包括以上针对(一个或多个)网络2110所描述的那些协议。
在某些实施例中,由云基础设施***2202提供的服务可以包括对云基础设施***的用户按需可用的一系列服务。也可以提供各种其它服务,包括但不限于在线数据存储和备份解决方案、基于Web的电子邮件服务、托管的办公套件和文档协作服务、数据库处理、受管理的技术支持服务等。由云基础设施***提供的服务可以动态扩展,以满足其用户的需求。
在某些实施例中,由云基础设施***2202提供的服务的具体实例化在本文中可以被称为“服务实例”。一般而言,经由通信网络(诸如互联网)从云服务提供者的***使得对用户可用的任何服务被称为“云服务”。通常,在公共云环境中,构成云服务提供者的***的服务器和***与客户自己的本地服务器和***不同。例如,云服务提供者的***可以托管应用,并且用户可以经由诸如互联网的通信网络按需订购和使用应用。
在一些示例中,计算机网络云基础设施中的服务可以包括对由云供应商向用户或者如本领域中另外已知方式提供的存储装置、托管的数据库、托管的web服务器、软件应用或者其它服务的受保护的计算机网络访问。例如,服务可以包括通过互联网对云上的远程存储装置的受密码保护的访问。作为另一个示例,服务可以包括基于web服务的托管的关系数据库和脚本语言中间件引擎,用于由联网的开发人员专门使用。作为另一个示例,服务可以包括对在云供应商的web站点上托管的电子邮件软件应用的访问。
在某些实施例中,云基础设施***2202可以包括以自助服务、基于订阅、弹性可扩展、可靠、高度可用和安全的方式交付给客户的应用套件、中间件和数据库服务产品。这种云基础设施***的示例是由本受让人提供的Oracle Public Cloud(Oracle公共云)。
云基础设施***2202还可以提供与“大数据”相关的计算和分析服务。术语“大数据”一般用来指可由分析员和研究者存储和操纵以可视化大量数据、检测趋势和/或以其它方式与数据交互的极大数据集。这种大数据和相关应用可以在许多级别和不同规模上由基础设施***托管和/或操纵。并行链接的数十个、数百个或数千个处理器可以作用于这种数据,以便呈现该数据、或者模拟对数据或数据所表示的内容的外力。这些数据集可以涉及结构化数据(诸如在数据库中组织或以其它方式根据结构化模型组织的数据)和/或非结构化数据(例如,电子邮件、图像、数据blob(二进制大对象)、web页面、复杂事件处理)。通过利用实施例的相对快速地将更多(或更少)的计算资源聚焦在目标上的能力,云基础设施***可以更好地用于基于来自企业、政府机构、研究组织、私人个人、一群志同道合的个人或组织或其它实体的需求来在大数据集上实施任务。
在各种实施例中,云基础设施***2202可以适于自动地供应、管理和跟踪客户对由云基础设施***2202提供的服务的订阅。云基础设施***2202可以经由不同的部署模型来提供云服务。例如,服务可以在公共云模型下提供,其中云基础设施***2202由销售云服务的组织拥有(例如,由Oracle公司拥有)并且使服务对一般公众或不同的工业企业可用。作为另一个示例,服务可以在私有云模型下提供,其中云基础设施***2202仅针对单个组织操作,并且可以为组织内的一个或多个实体提供服务。云服务还可以在社区云模型下提供,其中云基础设施***2202和由云基础设施***2202提供的服务由相关社区中的若干个组织共享。云服务还可以在混合云模型下提供,混合云模型是两个或更多个不同模型的组合。
在一些实施例中,由云基础设施***2202提供的服务可以包括在软件即服务(SaaS)类别、平台即服务(PaaS)类别、基础设施即服务(IaaS)类别、或包括混合服务的其它服务类别下提供的一个或多个服务。客户经由订阅订单可以订购由云基础设施***2202提供的一个或多个服务。云基础设施***2202然后执行处理,以提供客户的订阅订单中的服务。
在一些实施例中,由云基础设施***2202提供的服务可以包括但不限于应用服务、平台服务和基础设施服务。在一些示例中,应用服务可以由云基础设施***经由SaaS平台提供。SaaS平台可以被配置为提供属于SaaS类别的云服务。例如,SaaS平台可以提供在集成的开发和部署平台上构建和交付点播应用套件的能力。SaaS平台可以管理和控制用于提供SaaS服务的底层软件和基础设施。通过利用由SaaS平台提供的服务,客户可以利用在云基础设施***上执行的应用。客户可以获取应用服务,而无需客户购买单独的许可证和支持。可以提供各种不同的SaaS服务。示例包括但不限于为大型组织提供用于销售绩效管理、企业集成和业务灵活性的解决方案的服务。
在一些实施例中,平台服务可以由云基础设施***2202经由PaaS平台提供。PaaS平台可以被配置为提供属于PaaS类别的云服务。平台服务的示例可以包括但不限于使组织(诸如Oracle)能够在共享的公共体系架构上整合现有应用的服务,以及利用由平台提供的共享服务构建新应用的能力。PaaS平台可以管理和控制用于提供PaaS服务的底层软件和基础设施。客户可以获取由云基础设施***2202提供的PaaS服务,而无需客户购买单独的许可证和支持。平台服务的示例包括但不限于Oracle Java云服务(JCS)、Oracle数据库云服务(DBCS)以及其它。
通过利用由PaaS平台提供的服务,客户可以采用由云基础设施***支持的编程语言和工具,并且还控制所部署的服务。在一些实施例中,由云基础设施***提供的平台服务可以包括数据库云服务、中间件云服务(例如,Oracle Fusion Middleware服务)和Java云服务。在一个实施例中,数据库云服务可以支持共享服务部署模型,其使得组织能够汇集数据库资源并且以数据库云的形式向客户提供数据库即服务。在云基础设施***中,中间件云服务可以为客户提供开发和部署各种业务应用的平台,并且Java云服务可以为客户提供部署Java应用的平台。
可以由云基础设施***中的IaaS平台提供各种不同的基础设施服务。基础设施服务促进底层计算资源(诸如存储装置、网络和其它基本计算资源)的管理和控制,以便客户利用由SaaS平台和PaaS平台提供的服务。
在某些实施例中,云基础设施***2202还可以包括基础设施资源2230,用于提供用来向云基础设施***的客户提供各种服务的资源。在一个实施例中,基础设施资源2230可以包括执行由PaaS平台和SaaS平台提供的服务的硬件(诸如服务器、存储装置和联网资源)的预先集成和优化的组合,以及其它资源。
在一些实施例中,云基础设施***2202中的资源可以由多个用户共享并且按需动态地重新分配。此外,资源可以以不同时区分配给用户。例如,云基础设施***2202可以使第一时区中的第一用户集合在指定的小时数内能够利用云基础设施***的资源,并且然后使得能够将相同资源重新分配给位于不同时区中的另一用户集合,从而最大化资源的利用率。
在某些实施例中,可以提供由云基础设施***2202的不同部件或模块共享的多个内部共享服务2232,以使得能够由云基础设施***2202供应服务。这些内部共享服务可以包括但不限于安全和身份服务、集成服务、企业储存库服务、企业管理器服务、病毒扫描和白名单服务、高可用性、备份和恢复服务、用于启用云支持的服务、电子邮件服务、通知服务、文件传输服务等。
在某些实施例中,云基础设施***2202可以提供对云基础设施***中的云服务(例如,SaaS、PaaS和IaaS服务)的综合管理。在一个实施例中,云管理功能可以包括用于供应、管理和跟踪由云基础设施***2202等接收到的客户的订阅的能力。
在一个实施例中,如图22中所绘出的,云管理功能可以由诸如订单管理模块2220、订单编排模块2222、订单供应模块2224、订单管理和监视模块2226以及身份管理模块2228的一个或多个模块提供。这些模块可以包括一个或多个计算机和/或服务器,或可以利用一个或多个计算机和/或服务器来提供,该一个或多个计算机和/或服务器可以是通用计算机、专用服务器计算机、服务器场,服务器集群或任何其它适当的布置和/或组合。
在示例性操作中,在步骤2234处,使用客户端设备(诸如客户端计算设备2204、2206或2208)的客户可以通过请求由云基础设施***2202提供的一个或多个服务并且对由云基础设施***2202提供的一个或多个服务的订阅下订单,来与云基础设施***2202交互。在某些实施例中,客户可以访问诸如云UI 2212、云UI 2214和/或云UI 2216的云用户界面(UI)并经由这些UI下订阅订单。响应于客户下订单而由云基础设施***2202接收到的订单信息可以包括识别客户以及客户打算订阅的由云基础设施***2202提供的一个或多个服务的信息。
在步骤2236处,从客户接收到的订单信息可以存储在订单数据库2218中。如果这是新的订单,则可以为该订单创建新的记录。在一个实施例中,订单数据库2218可以是由云基础设施***2218操作的若干数据库当中的一个,并且与其它***元件结合操作。
在步骤2238处,订单信息可以被转发到订单管理模块2220,订单管理模块2220可以被配置为执行与订单相关的计费和记帐功能,诸如验证订单以及在通过验证时预订订单。
在步骤2240处,关于订单的信息可以被传送到订单编排模块2222,订单编排模块2222被配置为编排用于由客户下的订单的服务和资源的供应。在一些情况下,订单编排模块2222可以使用订单供应模块2224的服务以用于供应。在某些实施例中,订单编排模块2222使得能够管理与每个订单相关联的业务过程,并且应用业务逻辑来确定订单是否应当继续供应。
如图22中绘出的实施例所示,在步骤2242处,在接收到新订阅的订单时,订单编排模块2222向订单供应模块2224发送分配资源和配置履行订阅订单所需的资源的请求。订单供应模块2224使得能够为由客户订购的服务分配资源。订单供应模块2224提供由云基础设施***2202提供的云服务和用来供应用于提供所请求的服务的资源的物理实现层之间的抽象级别。这使得订单编排模块2222能够与实现细节隔离,诸如服务和资源实际上是实时供应,还是预先供应并且仅在请求时才进行分配/指定。
在步骤2244处,一旦供应了服务和资源,就可以向进行订阅的客户发送指示所请求的服务现在已准备好用于使用的通知。在一些情况下,可以向客户发送使得客户能够开始使用所请求的服务的信息(例如,链接)。
在步骤2246处,可以由订单管理和监视模块2226来管理和跟踪客户的订阅订单。在一些情况下,订单管理和监视模块2226可以被配置为收集关于客户使用所订阅的服务的使用统计数据。例如,可以针对所使用的存储量、所传送的数据量、用户的数量以及***启动时间和***停机时间的量等来收集统计数据。
在某些实施例中,云基础设施***2200可以包括身份管理模块2228,其被配置为提供身份服务,诸如云基础设施***2200中的访问管理和授权服务。在一些实施例中,身份管理模块2228可以控制关于希望利用由云基础设施***2202提供的服务的客户的信息。这种信息可以包括认证这些客户的身份的信息以及描述那些客户被授权相对于各种***资源(例如,文件、目录、应用、通信端口、存储器段等)执行的动作的信息。身份管理模块2228还可以包括关于每个客户的描述性信息以及关于如何和由谁来访问和修改这些描述性信息的管理。
图23示出根据一些示例性实施例的、可以被用于实现本公开的实施例的示例性计算机***2300。在一些实施例中,计算机***2300可以被用来实现上述任何各种服务器和计算机***。如图23所示,计算机***2300包括各种子***,包括经由总线子***2302与多个***子***通信的处理单元2304。这些***子***可以包括处理加速单元2306、I/O子***2308、存储子***2318和通信子***2324。存储子***2318可以包括有形的计算机可读存储介质2322和***存储器2310。
总线子***2302提供用于让计算机***2300的各种部件和子***按照期望彼此通信的机制。虽然总线子***2302被示意性地示为单个总线,但是总线子***的可替代实施例可以利用多个总线。总线子***2302可以是若干种类型的总线结构中的任何一种,包括利用任何各种总线体系架构的存储器总线或存储器控制器、***总线和局部总线。例如,此类体系架构可以包括工业标准体系架构(ISA)总线、微通道体系架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线和***部件互连(PCI)总线,其可以实现为根据IEEE P1386.1标准制造的夹层(Mezzanine)总线,等等。
处理子***2304控制计算机***2300的操作并且可以包括一个或多个处理单元2332、2334等。处理单元可以包括一个或多个处理器,其包括单核或多核处理器、处理器的一个或多个核、或其组合。在一些实施例中,处理子***2304可以包括一个或多个专用协处理器,诸如图形处理器、数字信号处理器(DSP)等。在一些实施例中,处理子***2304的处理单元中的一些或全部可以利用定制电路来实现,诸如专用集成电路(ASIC)或现场可编程门阵列(FPGA)。
在一些实施例中,处理子***2304中的处理单元可以执行存储在***存储器2310中或计算机可读存储介质2322上的指令。在各种实施例中,处理单元可以执行各种程序或代码指令,并且可以维护多个并发执行的程序或进程。在任何给定的时间,要执行的程序代码中的一些或全部可以驻留在***存储器2310中和/或计算机可读存储介质2310上,潜在地包括在一个或多个存储设备上。通过适当的编程,处理子***2304可以提供各种功能。
在某些实施例中,可以提供处理加速单元2306,用于执行定制的处理或用于卸载由处理子***2304执行的一些处理,以便加速由计算机***2300执行的整体处理。
I/O子***2308可以包括用于向计算机***2300输入信息和/或用于从或经由计算机***2300输出信息的设备和机制。一般而言,术语“输入设备”的使用旨在包括用于向计算机***2300输入信息的所有可能类型的设备和机制。用户接口输入设备可以包括,例如,键盘、诸如鼠标或轨迹球的指示设备、结合到显示器中的触摸板或触摸屏、滚轮、点拨轮、拨盘、按钮、开关、键板、具有语音命令识别***的音频输入设备、麦克风以及其它类型的输入设备。用户接口输入设备也可以包括使用户能够控制输入设备并与其交互的诸如Microsoft
Figure BDA0003309498910000501
运动传感器的运动感测和/或姿势识别设备、Microsoft
Figure BDA0003309498910000502
360游戏控制器、提供用于接收利用姿势和口语命令的输入的接口的设备。用户接口输入设备也可以包括眼睛姿势识别设备,诸如从用户检测眼睛活动(例如,当拍摄图片和/或进行菜单选择时的“眨眼”)并将眼睛姿势转换为到输入设备(例如,Google
Figure BDA0003309498910000503
)中的输入的Google
Figure BDA0003309498910000504
眨眼检测器。此外,用户接口输入设备可以包括使用户能够通过语音命令与语音识别***(例如,
Figure BDA0003309498910000505
导航器)交互的语音识别感测设备。
用户接口输入设备的其它示例包括但不限于三维(3D)鼠标、操纵杆或指示杆、游戏板和图形平板、以及音频/视频设备,诸如扬声器、数字相机、数字摄像机、便携式媒体播放器、网络摄像机、图像扫描仪、指纹扫描仪、条形码读取器3D扫描仪、3D打印机、激光测距仪、以及眼睛注视跟踪设备。此外,用户接口输入设备可以包括例如医疗成像输入设备,诸如计算机断层摄影、磁共振成像、位置发射断层摄影、医疗超声检查设备。用户接口输入设备也可以包括例如音频输入设备,诸如MIDI键盘、数字乐器等。
用户接口输出设备可以包括显示子***、指示器灯或诸如音频输出设备的非可视显示器等。显示子***可以是阴极射线管(CRT)、诸如利用液晶显示器(LCD)或等离子体显示器的平板设备、投影设备、触摸屏等。一般而言,术语“输出设备”的使用旨在包括用于从计算机***2300向用户或其它计算机输出信息的所有可能类型的设备和机制。例如,用户接口输出设备可以包括但不限于,可视地传达文本、图形和音频/视频信息的各种显示设备,诸如监视器、打印机、扬声器、耳机、汽车导航***、绘图仪、语音输出设备和调制解调器。
存储子***2318提供用于存储由计算机***2300使用的信息的储存库或数据存储。存储子***2318提供有形非瞬态计算机可读存储介质,用于存储提供一些实施例的功能的基本编程和数据结构。当由处理子***2304执行时提供上述功能的软件(程序、代码模块、指令)可以存储在存储子***2318中。软件可以由处理子***2304的一个或多个处理单元执行。存储子***2318也可以提供用于存储根据本公开使用的数据的储存库。
存储子***2318可以包括一个或多个非瞬态存储器设备,包括易失性和非易失性存储器设备。如图23所示,存储子***2318包括***存储器2310和计算机可读存储介质2322。***存储器2310可以包括多个存储器,包括用于在程序执行期间存储指令和数据的易失性主随机存取存储器(RAM)和其中存储固定指令的非易失性只读存储器(ROM)或闪存存储器。在一些实现中,包含帮助在诸如启动期间在计算机***2300内的元件之间传送信息的基本例程的基本输入/输出***(BIOS)通常可以存储在ROM中。RAM通常包含当前由处理子***2304操作和执行的数据和/或程序模块。在一些实现中,***存储器2310可以包括多个不同类型的存储器,诸如静态随机存取存储器(SRAM)或动态随机存取存储器(DRAM)。
作为示例而非限制,如在图23中所绘出的,***存储器2310可以存储应用程序2312,其可以包括客户端应用、Web浏览器、中间层应用、关系数据库管理***(RDBMS)等、程序数据2314和操作***2316。作为示例,操作***2316可以包括各种版本的Microsoft
Figure BDA0003309498910000511
Apple
Figure BDA0003309498910000512
和/或Linux操作***、各种商用
Figure BDA0003309498910000513
或类UNIX操作***(包括但不限于各种GNU/Linux操作***、Google
Figure BDA0003309498910000514
OS等)和/或诸如iOS、
Figure BDA0003309498910000515
Phone、
Figure BDA0003309498910000516
OS、
Figure BDA0003309498910000519
10OS和
Figure BDA0003309498910000518
OS操作***的移动操作***。
计算机可读存储介质2322可以存储提供一些实施例的功能的编程和数据构造。当由处理子***2304执行时使处理器提供上述功能的软件(程序、代码模块、指令)可以存储在存储子***2318中。作为示例,计算机可读存储介质2322可以包括非易失性存储器,诸如硬盘驱动器、磁盘驱动器、诸如CD ROM、DVD、Blu-
Figure BDA0003309498910000521
(蓝光)盘或其它光学介质的光盘驱动器。计算机可读存储介质2322可以包括但不限于,
Figure BDA0003309498910000522
驱动器、闪存存储器卡、通用串行总线(USB)闪存驱动器、安全数字(SD)卡、DVD盘、数字视频带等。计算机可读存储介质2322也可以包括基于非易失性存储器的固态驱动器(SSD)(诸如基于闪存存储器的SSD、企业闪存驱动器、固态ROM等)、基于易失性存储器的SSD(诸如基于固态RAM、动态RAM、静态RAM、DRAM的SSD、磁阻RAM(MRAM)SSD),以及使用基于DRAM和基于闪存存储器的SSD的组合的混合SSD。计算机可读介质2322可以为计算机***2300提供计算机可读指令、数据结构、程序模块和其它数据的存储。
在某些实施例中,存储子***2300也可以包括计算机可读存储介质读取器2320,其可以进一步连接到计算机可读存储介质2322。计算机可读存储介质2322与***存储器2310一起和可选地相组合,可以全面地表示用于存储计算机可读信息的远程、本地、固定和/或可移动存储设备加上存储介质。
在某些实施例中,计算机***2300可以提供对执行一个或多个虚拟机的支持。计算机***2300可以执行诸如管理程序之类的程序,以便促进虚拟机的配置和管理。每个虚拟机可以被分配存储器资源、计算资源(例如,处理器、内核)、I/O资源和联网资源。每个虚拟机通常运行其自己的操作***,其可以与由计算机***2300执行的其它虚拟机执行的操作***相同或不同。相应地,多个操作***可以潜在地由计算机***2300并发地运行。每个虚拟机一般独立于其它虚拟机运行。
通信子***2324提供到其它计算机***和网络的接口。通信子***2324用作用于从计算机***2300的其它***接收数据和向其发送数据的接口。例如,通信子***2324可以使计算机***2300能够经由互联网建立到一个或多个客户端计算设备的通信信道,用于从客户端设备接收信息和发送信息到客户端计算设备。
通信子***2324可以支持有线和/或无线通信协议两者。例如,在某些实施例中,通信子***2324可以包括用于(例如,使用蜂窝电话技术、高级数据网络技术(诸如3G、4G或EDGE(全球演进的增强数据速率)、WiFi(IEEE 802.11族标准)、或其它移动通信技术、或其任意组合)接入无线语音和/或数据网络的射频(RF)收发器部件、全球定位***(GPS)接收器部件和/或其它部件。在一些实施例中,作为无线接口的附加或替代,通信子***2324可以提供有线网络连接(例如,以太网)。
通信子***2324可以以各种形式接收和发送数据。例如,在一些实施例中,通信子***2324可以以结构化和/或非结构化的数据馈送2326、事件流2328、事件更新2330等形式接收输入通信。例如,通信子***2324可以被配置为实时地从社交媒体网络的用户和/或其它通信服务接收(或发送)数据馈送2326(诸如
Figure BDA0003309498910000531
馈送、
Figure BDA0003309498910000532
更新、诸如丰富站点摘要(RSS)馈送的web馈送)和/或来自一个或多个第三方信息源的实时更新。
在某些实施例中,通信子***2324可以被配置为以连续数据流的形式接收数据,连续数据流本质上可能是连续的或无界的没有明确结束,其中连续数据流可以包括实时事件的事件流2328和/或事件更新2330。生成连续数据的应用的示例可以包括例如传感器数据应用、金融报价机、网络性能测量工具(例如网络监视和流量管理应用)、点击流分析工具、汽车流量监视等。
通信子***2324也可以被配置为向一个或多个数据库输出结构化和/或非结构化的数据馈送2326、事件流2328、事件更新2330等,其中所述一个或多个数据库可以与耦合到计算机***2300的一个或多个流数据源计算机通信。
计算机***2300可以是各种类型中的一种,包括手持便携式设备(例如,
Figure BDA0003309498910000541
蜂窝电话、
Figure BDA0003309498910000542
计算平板、PDA)、可穿戴设备(例如,Google
Figure BDA0003309498910000543
头戴式显示器)、个人计算机、工作站、大型机、信息站、服务器机架或任何其它数据处理***。
由于计算机和网络不断变化的性质,对图23中绘出的计算机***2300的描述旨在仅仅作为具体示例。具有比图23中所绘出的***更多或更少部件的许多其它配置是可能的。基于本文所提供的公开内容和教导,本领域普通技术人员将理解实现各种实施例的其它方式和/或方法。
虽然已经描述了本公开的具体实施例,但是各种修改、更改、替代构造和等效物也包含在本公开的范围之内。这些修改包括所公开的特征的任何相关组合。本公开的实施例不限于在某些特定数据处理环境内的操作,而是可以在多个数据处理环境内自由操作。此外,虽然已利用特定的一系列的事务和步骤描述了本公开的实施例,然而,对本领域技术人员应当清楚的是,本公开的范围不限于所描述的一系列的事务和步骤。上述实施例的各种特征和方面可以被单独或结合使用。
另外,虽然已经利用硬件和软件的特定组合描述了本发明的实施例,但是应当认识到,硬件和软件的其它组合也在本公开的范围之内。本公开的实施例中的一些可以只用硬件、或只用软件、或利用其组合来实现。本文描述的各种过程可以在同一处理器或以任何组合的不同处理器上实现。相应地,在部件或模块被描述为被配置为执行某些操作的情况下,这种配置可以例如通过设计电子电路来执行操作、通过对可编程电子电路(诸如微处理器)进行编程来执行操作、或通过其任意组合来实现。进程可以利用各种技术来通信,包括但不限于用于进程间通信的常规技术,并且不同的进程对可以使用不同的技术,或者同一对进程可以在不同时间使用不同的技术。
因而,说明书和附图应当在说明性而不是限制性的意义上考虑。然而,将清楚的是,在不背离权利要求中阐述的更广泛精神和范围的情况下,可以对其进行添加、减少、删除和其它修改和改变。因此,虽然已描述了具体的实施例,但是这些实施例不旨在进行限制。各种修改和等效物都在以下权利要求的范围之内。

Claims (20)

1.一种方法,包括:
由访问管理***AMS接收来自用户的第一计算机设备的访问请求;
响应于所述访问请求,由所述AMS确定所述第一计算机设备已被注册为所述用户的可信设备;
基于确定所述第一计算机设备已被注册为所述用户的可信设备,从所述AMS向所述第一计算机设备发送第一安全数据,其中所述第一安全数据被加密发送;
由所述AMS从与所述第一计算机设备分离并且从所述第一计算机设备接收所述第一安全数据的第二计算机设备接收第二安全数据,所述第二安全数据是由所述第二计算机设备在基于提供给所述第二计算机设备的用户输入而成功认证所述用户时并且通过使用从所述AMS发送到所述第二计算机设备的加密密钥来解密所述第一安全数据而生成的;
由所述AMS确定所述第二安全数据与所述第一安全数据匹配,以及
基于确定所述第二安全数据与所述第一安全数据匹配,使得所述第一计算机设备能够访问所述访问请求中识别的资源。
2.如权利要求1所述的方法,其中,所述第一安全数据作为快速响应码被发送到所述第一计算机设备,并且其中,所述第二计算机设备通过扫描所述第一计算机设备的显示器上的所述快速响应码来捕获所述第一安全数据。
3.如权利要求1所述的方法,还包括:
在所述第一计算机设备生成所述访问请求之前,利用所述AMS将所述第一计算机设备注册为可信设备,该注册包括:
由所述AMS生成临时访问信息,所述临时访问信息包括在特定时间段内有效的一次性代码;
基于所述AMS确定所述第二计算机设备已被注册为所述用户的可信设备,将所述临时访问信息发送给所述第二计算机设备;
由所述AMS从所述第一计算机设备接收所述临时访问信息;
由所述AMS确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配;以及
响应于确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配,由所述AMS存储用于将所述第一计算机设备识别为可信设备的信息。
4.如权利要求3所述的方法,其中,用于将所述第一计算机设备识别为可信设备的信息的存储是以在所述一次性代码有效的所述特定时间段内从所述第一计算机设备接收到所述临时访问信息为条件的。
5.如权利要求3所述的方法,其中,用于将所述第一计算机设备识别为可信设备的信息包括所述第一计算机设备的地理位置。
6.如权利要求5所述的方法,其中,确定所述第一计算机设备已被注册为所述用户的可信设备包括:确定在所述AMS接收到所述访问请求时所述第一计算机设备的地理位置与所存储的信息中的地理位置相对应。
7.如权利要求1所述的方法,其中,对所述用户的所述认证基于个人识别号的用户输入。
8.如权利要求1所述的方法,其中,对所述用户的所述认证基于生物计量数据的用户输入。
9.如权利要求1所述的方法,还包括:
基于所述AMS确定所述第二计算机设备已被注册为所述用户的可信设备,将所述加密密钥从所述AMS发送到所述第二计算机设备。
10.一种计算机***,包括:
一个或多个处理器;以及
所述一个或多个处理器可访问的存储器,所述存储器存储指令,所述指令在由所述一个或多个处理器执行时,使所述一个或多个处理器:
接收来自用户的第一计算机设备的访问请求;
响应于所述访问请求,确定所述第一计算机设备已被注册为所述用户的可信设备;
基于确定所述第一计算机设备已被注册为所述用户的可信设备,向所述第一计算机设备发送第一安全数据,其中所述第一安全数据被加密发送;
从与所述第一计算机设备分离并且从所述第一计算机设备接收所述第一安全数据的第二计算机设备接收第二安全数据,所述第二安全数据是由所述第二计算机设备在基于提供给所述第二计算机设备的用户输入而成功认证所述用户时并且通过使用从所述计算机***发送到所述第二计算机设备的加密密钥来解密所述第一安全数据而生成的;
确定所述第二安全数据与所述第一安全数据匹配,以及
基于确定所述第二安全数据与所述第一安全数据匹配,使得所述第一计算机设备能够访问所述访问请求中识别的资源。
11.如权利要求10所述的计算机***,其中,所述第一安全数据作为快速响应码被发送到所述第一计算机设备,并且其中,所述第二计算机设备通过扫描所述第一计算机设备的显示器上的所述快速响应码来捕获所述第一安全数据。
12.如权利要求10所述的计算机***,其中,所述指令还使得所述一个或多个处理器:
在所述第一计算机设备生成所述访问请求之前,将所述第一计算机设备注册为可信设备,该注册包括:
生成临时访问信息,所述临时访问信息包括在特定时间段内有效的一次性代码;
基于确定所述第二计算机设备已被注册为所述用户的可信设备,将所述临时访问信息发送给所述第二计算机设备;
从所述第一计算机设备接收所述临时访问信息;
确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配;以及
响应于确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配,存储用于将所述第一计算机设备识别为可信设备的信息。
13.如权利要求12所述的计算机***,其中,用于将所述第一计算机设备识别为可信设备的信息包括所述第一计算机设备的地理位置。
14.如权利要求13所述的计算机***,其中,确定所述第一计算机设备已被注册为所述用户的可信设备包括:确定在所述计算机***接收到所述访问请求时所述第一计算机设备的地理位置与所存储的信息中的地理位置相对应。
15.如权利要求10所述的计算机***,其中,所述指令还使得所述一个或多个处理器:
基于确定所述第二计算机设备已被注册为所述用户的可信设备,将所述加密密钥发送到所述第二计算机设备。
16.一种存储指令的非瞬态计算机可读介质,所述指令在由计算机***的一个或多个处理器执行时使所述一个或多个处理器执行包括以下各项的处理:
接收来自用户的第一计算机设备的访问请求;
响应于所述访问请求,确定所述第一计算机设备已被注册为所述用户的可信设备;
基于确定所述第一计算机设备已被注册为所述用户的可信设备,向所述第一计算机设备发送第一安全数据,其中所述第一安全数据被加密发送;
从与所述第一计算机设备分离并且从所述第一计算机设备接收所述第一安全数据的第二计算机设备接收第二安全数据,所述第二安全数据是由所述第二计算机设备在基于提供给所述第二计算机设备的用户输入而成功认证所述用户时并且通过使用从所述计算机***发送到所述第二计算机设备的加密密钥来解密所述第一安全数据而生成的;
确定所述第二安全数据与所述第一安全数据匹配,以及
基于确定所述第二安全数据与所述第一安全数据匹配,使得所述第一计算机设备能够访问所述访问请求中识别的资源。
17.如权利要求16所述的非瞬态计算机可读介质,其中,所述第一安全数据作为快速响应码被发送到所述第一计算机设备,并且其中,所述第二计算机设备通过扫描所述第一计算机设备的显示器上的所述快速响应码来捕获所述第一安全数据。
18.如权利要求16所述的非瞬态计算机可读介质,其中,所述指令还使所述一个或多个处理器执行包括以下各项的处理:
在所述第一计算机设备生成所述访问请求之前,将所述第一计算机设备注册为可信设备,该注册包括:
生成临时访问信息,所述临时访问信息包括在特定时间段内有效的一次性代码;
基于确定所述第二计算机设备已被注册为所述用户的可信设备,将所述临时访问信息发送给所述第二计算机设备;
从所述第一计算机设备接收所述临时访问信息;
确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配;以及
响应于确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配,存储用于将所述第一计算机设备识别为可信设备的信息。
19.如权利要求18所述的非瞬态计算机可读介质,其中,用于将所述第一计算机设备识别为可信设备的信息包括所述第一计算机设备的地理位置。
20.如权利要求19所述的非瞬态计算机可读介质,其中,确定所述第一计算机设备已被注册为所述用户的可信设备包括:确定在所述计算机***接收到所述访问请求时所述第一计算机设备的地理位置与所存储的信息中的地理位置相对应。
CN202111212955.XA 2015-10-23 2016-10-21 用于访问管理的无密码认证 Pending CN113918914A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562245891P 2015-10-23 2015-10-23
US62/245,891 2015-10-23
CN201680061204.3A CN108351927B (zh) 2015-10-23 2016-10-21 用于访问管理的无密码认证

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CN201680061204.3A Division CN108351927B (zh) 2015-10-23 2016-10-21 用于访问管理的无密码认证

Publications (1)

Publication Number Publication Date
CN113918914A true CN113918914A (zh) 2022-01-11

Family

ID=57233891

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201680061204.3A Active CN108351927B (zh) 2015-10-23 2016-10-21 用于访问管理的无密码认证
CN202111212955.XA Pending CN113918914A (zh) 2015-10-23 2016-10-21 用于访问管理的无密码认证

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201680061204.3A Active CN108351927B (zh) 2015-10-23 2016-10-21 用于访问管理的无密码认证

Country Status (5)

Country Link
US (2) US10158489B2 (zh)
EP (1) EP3365824B1 (zh)
JP (1) JP6895431B2 (zh)
CN (2) CN108351927B (zh)
WO (1) WO2017070412A1 (zh)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101652625B1 (ko) * 2015-02-11 2016-08-30 주식회사 이베이코리아 온라인 웹사이트의 회원 로그인을 위한 보안인증 시스템 및 그 방법
US10250594B2 (en) 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
US10257205B2 (en) 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10164971B2 (en) 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
EP3365824B1 (en) 2015-10-23 2020-07-15 Oracle International Corporation Password-less authentication for access management
US10198595B2 (en) 2015-12-22 2019-02-05 Walmart Apollo, Llc Data breach detection system
US10511592B1 (en) * 2016-01-07 2019-12-17 Charles Schwab & Co., Inc. System and method for authenticating a user via a mobile device to provide a web service on a different computer system
CN108701194B (zh) 2016-01-19 2022-06-24 雷韦兹公司 掩蔽限制访问控制***
US20170257363A1 (en) * 2016-03-04 2017-09-07 Secureauth Corporation Secure mobile device two-factor authentication
US10171506B2 (en) * 2016-03-21 2019-01-01 Fortinet, Inc. Network security management via social media network
US11310224B2 (en) * 2017-02-15 2022-04-19 Adp, Inc. Enhanced security authentication system
US10783235B1 (en) * 2017-05-04 2020-09-22 Amazon Technologies, Inc. Secure remote access of computing resources
US10645079B2 (en) 2017-05-12 2020-05-05 Bank Of America Corporation Preventing unauthorized access to secured information systems using authentication tokens and multi-device authentication prompts
JP6972729B2 (ja) * 2017-07-24 2021-11-24 コニカミノルタ株式会社 画像表示システム、資料提供支援装置、資料取得装置、資料提供支援方法、およびコンピュータプログラム
US10681034B2 (en) * 2017-08-01 2020-06-09 Verizon Patent And Licensing Inc. Identity management via a centralized identity management server device
US11153303B2 (en) * 2017-11-15 2021-10-19 Citrix Systems, Inc. Secure authentication of a device through attestation by another device
US10068082B1 (en) * 2017-11-16 2018-09-04 Fmr Llc Systems and methods for maintaining split knowledge of web-based accounts
US11496462B2 (en) * 2017-11-29 2022-11-08 Jpmorgan Chase Bank, N.A. Secure multifactor authentication with push authentication
US11323434B1 (en) * 2017-12-31 2022-05-03 Charles Schwab & Co., Inc. System and method for secure two factor authentication
US10754972B2 (en) * 2018-01-30 2020-08-25 Salesforce.Com, Inc. Multi-factor administrator action verification system
US11227318B2 (en) * 2018-02-01 2022-01-18 Capital One Services, Llc Systems and methods for authenticated delivery by unmanned vehicle (UV)
KR102584459B1 (ko) * 2018-03-22 2023-10-05 삼성전자주식회사 전자 장치 및 이의 인증 방법
US11645378B2 (en) * 2018-05-02 2023-05-09 Hewlett-Packard Development Company, L.P. Document security keys
US11057375B1 (en) * 2018-06-25 2021-07-06 Amazon Technologies, Inc User authentication through registered device communications
US11017100B2 (en) * 2018-08-03 2021-05-25 Verizon Patent And Licensing Inc. Identity fraud risk engine platform
US11907354B2 (en) 2018-08-09 2024-02-20 Cyberark Software Ltd. Secure authentication
US10749876B2 (en) 2018-08-09 2020-08-18 Cyberark Software Ltd. Adaptive and dynamic access control techniques for securely communicating devices
US10594694B2 (en) 2018-08-09 2020-03-17 Cyberark Software Ltd. Secure offline caching and provisioning of secrets
US11184173B2 (en) * 2018-08-24 2021-11-23 Powch, LLC Secure distributed information system
US11082451B2 (en) * 2018-12-31 2021-08-03 Citrix Systems, Inc. Maintaining continuous network service
US11651357B2 (en) 2019-02-01 2023-05-16 Oracle International Corporation Multifactor authentication without a user footprint
AU2020100285B4 (en) * 2019-03-18 2020-09-10 Apple Inc. User interfaces for subscription applications
WO2020197779A1 (en) * 2019-03-22 2020-10-01 Zev Industries System and method for the measurement of impact kinetics
US11316849B1 (en) * 2019-04-04 2022-04-26 United Services Automobile Association (Usaa) Mutual authentication system
US10952015B2 (en) * 2019-04-10 2021-03-16 Bank Of America Corporation Interlinked geo-fencing
US11409861B2 (en) * 2019-04-11 2022-08-09 Herbert Bolimovsky Passwordless authentication
CN110086634B (zh) * 2019-05-16 2021-12-14 山东浪潮科学研究院有限公司 一种智能摄像头安全认证和访问的***及方法
CN110224713B (zh) * 2019-06-12 2020-09-15 读书郎教育科技有限公司 一种基于高安全性智能儿童手表的安全防护方法及***
GB2586785A (en) * 2019-08-30 2021-03-10 Mobilise Consulting Ltd Authentication
US20210211421A1 (en) * 2020-01-02 2021-07-08 Vmware, Inc. Service authentication through a voice assistant
US11907356B2 (en) * 2020-01-09 2024-02-20 Arris Enterprises Llc System, method, and computer-readable recording medium of creating, accessing, and recovering a user account with single sign on password hidden authentication
JP2023522835A (ja) * 2020-04-17 2023-06-01 トゥルソナ,インコーポレイテッド 暗号化認証のためのシステム及び方法
US11503009B2 (en) 2020-04-23 2022-11-15 Cisco Technology, Inc. Password-less wireless authentication
US11687629B2 (en) * 2020-06-12 2023-06-27 Baidu Usa Llc Method for data protection in a data processing cluster with authentication
CN111835734A (zh) * 2020-06-24 2020-10-27 北京达佳互联信息技术有限公司 信息处理方法、装置、电子设备、服务器及存储介质
US11784991B2 (en) * 2020-07-20 2023-10-10 Bank Of America Corporation Contactless authentication and event processing
US11777917B2 (en) * 2020-10-15 2023-10-03 Cisco Technology, Inc. Multi-party cloud authenticator
JP2022083290A (ja) 2020-11-24 2022-06-03 株式会社リコー 情報処理装置、情報処理システム、情報処理方法、及びプログラム
CN115134330A (zh) * 2021-03-24 2022-09-30 佳能株式会社 图像/信息处理设备、***、方法、服务器设备和介质
CN113055169B (zh) * 2021-03-29 2023-04-14 京东方科技集团股份有限公司 数据加密方法、装置、电子设备及存储介质
US20220353256A1 (en) * 2021-04-29 2022-11-03 Microsoft Technology Licensing, Llc Usage-limited passcodes for authentication bootstrapping
US11658955B1 (en) 2021-06-15 2023-05-23 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11848930B1 (en) * 2021-06-15 2023-12-19 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11743035B2 (en) * 2021-06-15 2023-08-29 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US11843636B1 (en) 2021-06-15 2023-12-12 Whatsapp Llc Methods, mediums, and systems for verifying devices in an encrypted messaging system
US20230177592A1 (en) * 2021-12-03 2023-06-08 Amazon Technologies, Inc. Systems for enabling access to a shipping benefit from seller content
US20230237138A1 (en) * 2022-01-24 2023-07-27 Zinatt Technologies Inc. System and methods for user authentication after failed attempts
US20240154956A1 (en) * 2022-11-09 2024-05-09 Traitware inc. Authentication System and Method for Windows Systems

Family Cites Families (133)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04252350A (ja) * 1991-01-28 1992-09-08 Hitachi Ltd セキュリティチェック方法
US5636280A (en) * 1994-10-31 1997-06-03 Kelly; Tadhg Dual key reflexive encryption security system
US6412077B1 (en) 1999-01-14 2002-06-25 Cisco Technology, Inc. Disconnect policy for distributed computing systems
US6892307B1 (en) 1999-08-05 2005-05-10 Sun Microsystems, Inc. Single sign-on framework with trust-level mapping to authentication requirements
US6609198B1 (en) 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6950949B1 (en) 1999-10-08 2005-09-27 Entrust Limited Method and apparatus for password entry using dynamic interface legitimacy information
US6246769B1 (en) 2000-02-24 2001-06-12 Michael L. Kohut Authorized user verification by sequential pattern recognition and access code acquisition
US7086085B1 (en) 2000-04-11 2006-08-01 Bruce E Brown Variable trust levels for authentication
JP3855595B2 (ja) 2000-04-25 2006-12-13 株式会社日立製作所 通信システム、通信方法及び通信装置
US7590684B2 (en) 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
GB0119629D0 (en) 2001-08-10 2001-10-03 Cryptomathic As Data certification method and apparatus
US7076797B2 (en) 2001-10-05 2006-07-11 Microsoft Corporation Granular authorization for network user sessions
US7562222B2 (en) 2002-05-10 2009-07-14 Rsa Security Inc. System and method for authenticating entities to users
EP1434404B1 (en) 2002-12-20 2005-03-16 Alcatel Method and system to provide authentication for a user
JP2004198872A (ja) 2002-12-20 2004-07-15 Sony Electronics Inc 端末装置およびサーバ
US7283048B2 (en) 2003-02-03 2007-10-16 Ingrid, Inc. Multi-level meshed security network
US20040215750A1 (en) 2003-04-28 2004-10-28 Stilp Louis A. Configuration program for a security system
WO2004111940A1 (ja) 2003-06-16 2004-12-23 Yokohama Tlo Co., Ltd. 個人認証装置、及び個人認証装置を備えるシステム
US7395424B2 (en) 2003-07-17 2008-07-01 International Business Machines Corporation Method and system for stepping up to certificate-based authentication without breaking an existing SSL session
US7724700B1 (en) 2003-08-25 2010-05-25 Cisco Technology, Inc. Application server-centric quality of service management in network communications
US8128474B2 (en) 2004-03-05 2012-03-06 Cantor Index, Llc Computer graphics processing methods and systems for presentation of graphics objects or text in a wagering environment
JP4160092B2 (ja) 2004-03-09 2008-10-01 ケイティーフリーテル カンパニー リミテッド パケットデータ課金細分化方法及びそのシステム
JP2007115226A (ja) * 2005-03-29 2007-05-10 Bank Of Tokyo-Mitsubishi Ufj Ltd ユーザ認証システム
US7574212B2 (en) 2005-06-22 2009-08-11 Sprint Spectrum L.P. Method and system for managing communication sessions during multi-mode mobile station handoff
WO2007017878A2 (en) 2005-08-11 2007-02-15 Sandisk Il Ltd. Extended one-time password method and apparatus
US20070136573A1 (en) 2005-12-05 2007-06-14 Joseph Steinberg System and method of using two or more multi-factor authentication mechanisms to authenticate online parties
US20070130463A1 (en) 2005-12-06 2007-06-07 Eric Chun Wah Law Single one-time password token with single PIN for access to multiple providers
US20070125840A1 (en) 2005-12-06 2007-06-07 Boncle, Inc. Extended electronic wallet management
US7904946B1 (en) 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
WO2007095240A2 (en) 2006-02-13 2007-08-23 Tricipher, Inc. Flexible and adjustable authentication in cyberspace
US20070200597A1 (en) 2006-02-28 2007-08-30 Oakland Steven F Clock generator having improved deskewer
JP4693171B2 (ja) 2006-03-17 2011-06-01 株式会社日立ソリューションズ 認証システム
US8010996B2 (en) 2006-07-17 2011-08-30 Yahoo! Inc. Authentication seal for online applications
US8671444B2 (en) 2006-10-06 2014-03-11 Fmr Llc Single-party, secure multi-channel authentication for access to a resource
US20080120507A1 (en) 2006-11-21 2008-05-22 Shakkarwar Rajesh G Methods and systems for authentication of a user
US8156536B2 (en) 2006-12-01 2012-04-10 Cisco Technology, Inc. Establishing secure communication sessions in a communication network
US8032922B2 (en) 2006-12-18 2011-10-04 Oracle International Corporation Method and apparatus for providing access to an application-resource
AU2008294354A1 (en) 2007-06-20 2009-03-12 Mchek India Payment Systems Pvt. Ltd. A method and system for secure authentication
US9009327B2 (en) 2007-08-03 2015-04-14 Citrix Systems, Inc. Systems and methods for providing IIP address stickiness in an SSL VPN session failover environment
US8122251B2 (en) 2007-09-19 2012-02-21 Alcatel Lucent Method and apparatus for preventing phishing attacks
US8209209B2 (en) 2007-10-02 2012-06-26 Incontact, Inc. Providing work, training, and incentives to company representatives in contact handling systems
JP2009147571A (ja) * 2007-12-13 2009-07-02 Nec Corp 映像配信システム、端末装置、プログラム、及び映像配信方法
US8302167B2 (en) 2008-03-11 2012-10-30 Vasco Data Security, Inc. Strong authentication token generating one-time passwords and signatures upon server credential verification
KR101496329B1 (ko) 2008-03-28 2015-02-26 삼성전자주식회사 네트워크의 디바이스 보안 등급 조절 방법 및 장치
US8584196B2 (en) 2008-05-05 2013-11-12 Oracle International Corporation Technique for efficiently evaluating a security policy
US8006291B2 (en) 2008-05-13 2011-08-23 Veritrix, Inc. Multi-channel multi-factor authentication
US8339954B2 (en) 2008-05-16 2012-12-25 Cisco Technology, Inc. Providing trigger based traffic management
US8141140B2 (en) 2008-05-23 2012-03-20 Hsbc Technologies Inc. Methods and systems for single sign on with dynamic authentication levels
US7523309B1 (en) 2008-06-27 2009-04-21 International Business Machines Corporation Method of restricting access to emails by requiring multiple levels of user authentication
US8738488B2 (en) 2008-08-12 2014-05-27 Branch Banking & Trust Company Method for business on-line account opening with early warning system
US8327422B1 (en) 2008-09-26 2012-12-04 Emc Corporation Authenticating a server device using dynamically generated representations
US8281379B2 (en) 2008-11-13 2012-10-02 Vasco Data Security, Inc. Method and system for providing a federated authentication service with gradual expiration of credentials
US8843997B1 (en) 2009-01-02 2014-09-23 Resilient Network Systems, Inc. Resilient trust network services
NO332479B1 (no) 2009-03-02 2012-09-24 Encap As Fremgangsmåte og dataprogram for verifikasjon av engangspassord mellom tjener og mobil anordning med bruk av flere kanaler
JP2010211294A (ja) * 2009-03-06 2010-09-24 Toshiba Corp ユーザ認証システムおよびユーザ認証方法
US9160753B2 (en) 2009-05-22 2015-10-13 Raytheon Company Analog voice bridge
US9130903B2 (en) 2009-07-01 2015-09-08 Citrix Systems, Inc. Unified out of band management system for desktop and server sessions
US8453224B2 (en) 2009-10-23 2013-05-28 Novell, Inc. Single sign-on authentication
JP5443943B2 (ja) * 2009-10-27 2014-03-19 株式会社東芝 商取引システム、商取引方法、商取引サーバ、ユーザ端末およびユーザプログラム
JP2011215753A (ja) * 2010-03-31 2011-10-27 Nomura Research Institute Ltd 認証システムおよび認証方法
US8490165B2 (en) 2010-06-23 2013-07-16 International Business Machines Corporation Restoring secure sessions
US8572268B2 (en) 2010-06-23 2013-10-29 International Business Machines Corporation Managing secure sessions
US8312519B1 (en) 2010-09-30 2012-11-13 Daniel V Bailey Agile OTP generation
US8555355B2 (en) 2010-12-07 2013-10-08 Verizon Patent And Licensing Inc. Mobile pin pad
US8806591B2 (en) 2011-01-07 2014-08-12 Verizon Patent And Licensing Inc. Authentication risk evaluation
AP2013006967A0 (en) 2011-01-13 2013-07-31 Infosys Ltd System and method for accessing integrated applications in a single sign-on enabled enterprise solution
US8549145B2 (en) 2011-02-08 2013-10-01 Aventura Hq, Inc. Pre-access location-based rule initiation in a virtual computing environment
US8640214B2 (en) 2011-03-07 2014-01-28 Gemalto Sa Key distribution for unconnected one-time password tokens
US8763097B2 (en) 2011-03-11 2014-06-24 Piyush Bhatnagar System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
WO2012156785A1 (en) 2011-05-13 2012-11-22 Shenoy Gurudatt Systems and methods for device based password-less user authentication using encryption
US8856893B2 (en) 2011-06-09 2014-10-07 Hao Min System and method for an ATM electronic lock system
US8677464B2 (en) 2011-06-22 2014-03-18 Schweitzer Engineering Laboratories Inc. Systems and methods for managing secure communication sessions with remote devices
US9886688B2 (en) 2011-08-31 2018-02-06 Ping Identity Corporation System and method for secure transaction process via mobile device
US8627438B1 (en) * 2011-09-08 2014-01-07 Amazon Technologies, Inc. Passwordless strong authentication using trusted devices
US8943320B2 (en) * 2011-10-31 2015-01-27 Novell, Inc. Techniques for authentication via a mobile device
US8904507B2 (en) 2011-11-29 2014-12-02 American Megatrends, Inc. System and method for controlling user access to a service processor
US8954758B2 (en) 2011-12-20 2015-02-10 Nicolas LEOUTSARAKOS Password-less security and protection of online digital assets
US9438575B2 (en) * 2011-12-22 2016-09-06 Paypal, Inc. Smart phone login using QR code
EP3576343A1 (en) 2011-12-27 2019-12-04 INTEL Corporation Authenticating to a network via a device-specific one time password
KR101236544B1 (ko) 2012-01-12 2013-03-15 주식회사 엘지씨엔에스 결제 방법 및 이와 연관된 결제 게이트웨이 서버, 모바일 단말 및 시점 확인서 발행 서버
US10120847B2 (en) 2012-01-27 2018-11-06 Usablenet Inc. Methods for transforming requests for web content and devices thereof
US20130205373A1 (en) 2012-02-08 2013-08-08 Aventura Hq, Inc. Adapting authentication flow based on workflow events
US8898765B2 (en) 2012-02-15 2014-11-25 Oracle International Corporation Signing off from multiple domains accessible using single sign-on
US8935777B2 (en) * 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
US8578476B2 (en) 2012-03-23 2013-11-05 Ca, Inc. System and method for risk assessment of login transactions through password analysis
US8856892B2 (en) 2012-06-27 2014-10-07 Sap Ag Interactive authentication
CN103532919B (zh) 2012-07-06 2018-06-12 腾讯科技(深圳)有限公司 用户账户保持登录态的方法及***
US20140047233A1 (en) 2012-08-07 2014-02-13 Jeffrey T. Kalin System and methods for automated transaction key generation and authentication
US9554389B2 (en) 2012-08-31 2017-01-24 Qualcomm Incorporated Selectively allocating quality of service to support multiple concurrent sessions for a client device
US20140317713A1 (en) * 2012-09-02 2014-10-23 Mpayme Ltd. Method and System of User Authentication Using an Out-of-band Channel
GB2505710A (en) 2012-09-11 2014-03-12 Barclays Bank Plc Registration method and system for secure online banking
US9083691B2 (en) 2012-09-14 2015-07-14 Oracle International Corporation Fine-grained user authentication and activity tracking
US9092607B2 (en) 2012-10-01 2015-07-28 Oracle International Corporation Dynamic flow control for access managers
CN103793819B (zh) 2012-10-31 2017-12-19 天地融科技股份有限公司 交易***及方法
US9218476B1 (en) 2012-11-07 2015-12-22 Amazon Technologies, Inc. Token based one-time password security
US8625796B1 (en) 2012-11-30 2014-01-07 Mourad Ben Ayed Method for facilitating authentication using proximity
EP2743857A1 (en) 2012-12-13 2014-06-18 Gemalto SA Methof for allowing establishment of a secure session between a device and a server
US8966591B2 (en) 2013-01-18 2015-02-24 Ca, Inc. Adaptive strike count policy
US20140279445A1 (en) 2013-03-18 2014-09-18 Tencent Technology (Shenzhen) Company Limited Method, Apparatus, and System for Processing Transactions
CN103220280A (zh) 2013-04-03 2013-07-24 天地融科技股份有限公司 动态口令牌、动态口令牌数据传输方法及***
US9569472B2 (en) 2013-06-06 2017-02-14 Oracle International Corporation System and method for providing a second level connection cache for use with a database environment
GB2515289A (en) 2013-06-17 2014-12-24 Mastercard International Inc Display card with user interface
EP2821972B1 (en) 2013-07-05 2020-04-08 Assa Abloy Ab Key device and associated method, computer program and computer program product
CN103366111B (zh) * 2013-07-10 2016-02-24 公安部第三研究所 移动设备上基于二维码实现智能卡扩展认证控制的方法
US9787657B2 (en) 2013-09-19 2017-10-10 Oracle International Corporation Privileged account plug-in framework—usage policies
US9866640B2 (en) 2013-09-20 2018-01-09 Oracle International Corporation Cookie based session management
US9544293B2 (en) 2013-09-20 2017-01-10 Oracle International Corporation Global unified session identifier across multiple data centers
CN103473824A (zh) * 2013-09-25 2013-12-25 中山爱科数字科技股份有限公司 一种基于二维码标签的考勤方法
US9742757B2 (en) 2013-11-27 2017-08-22 International Business Machines Corporation Identifying and destroying potentially misappropriated access tokens
US9202035B1 (en) 2013-12-18 2015-12-01 Emc Corporation User authentication based on biometric handwriting aspects of a handwritten code
US10212143B2 (en) 2014-01-31 2019-02-19 Dropbox, Inc. Authorizing an untrusted client device for access on a content management system
US9537661B2 (en) 2014-02-28 2017-01-03 Verizon Patent And Licensing Inc. Password-less authentication service
US10079826B2 (en) * 2014-03-19 2018-09-18 BluInk Ltd. Methods and systems for data entry
US9560076B2 (en) 2014-03-19 2017-01-31 Verizon Patent And Licensing Inc. Secure trust-scored distributed multimedia collaboration session
US10136315B2 (en) 2014-04-17 2018-11-20 Guang Gong Password-less authentication system, method and device
US11030587B2 (en) 2014-04-30 2021-06-08 Mastercard International Incorporated Systems and methods for providing anonymized transaction data to third-parties
US10270780B2 (en) * 2014-08-18 2019-04-23 Dropbox, Inc. Access management using electronic images
GB2529632A (en) 2014-08-26 2016-03-02 Ibm Authentication management
US9495522B2 (en) 2014-09-03 2016-11-15 Microsoft Technology Licensing, Llc Shared session techniques
CN104660412A (zh) 2014-10-22 2015-05-27 南京泽本信息技术有限公司 一种移动设备无密码安全认证方法及***
US10547599B1 (en) 2015-02-19 2020-01-28 Amazon Technologies, Inc. Multi-factor authentication for managed directories
US20180027006A1 (en) 2015-02-24 2018-01-25 Cloudlock, Inc. System and method for securing an enterprise computing environment
EP3065366B1 (en) 2015-03-02 2020-09-09 Bjoern Pirrwitz Identification and/or authentication system and method
CN104700479B (zh) * 2015-03-10 2017-06-13 上海金融云服务集团安全技术有限公司 基于带外认证的门禁方法
US10250594B2 (en) 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
US9769147B2 (en) 2015-06-29 2017-09-19 Oracle International Corporation Session activity tracking for session adoption across multiple data centers
US10693859B2 (en) 2015-07-30 2020-06-23 Oracle International Corporation Restricting access for a single sign-on (SSO) session
SG10201508081TA (en) 2015-09-29 2017-04-27 Mastercard International Inc Method and system for dynamic pin authorisation for atm or pos transactions
US10164971B2 (en) 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10257205B2 (en) 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
EP3365824B1 (en) 2015-10-23 2020-07-15 Oracle International Corporation Password-less authentication for access management
US10038787B2 (en) 2016-05-06 2018-07-31 Genesys Telecommunications Laboratories, Inc. System and method for managing and transitioning automated chat conversations

Also Published As

Publication number Publication date
CN108351927A (zh) 2018-07-31
EP3365824A1 (en) 2018-08-29
US20190074972A1 (en) 2019-03-07
EP3365824B1 (en) 2020-07-15
JP6895431B2 (ja) 2021-06-30
JP2019501557A (ja) 2019-01-17
US20170118025A1 (en) 2017-04-27
US10158489B2 (en) 2018-12-18
CN108351927B (zh) 2021-11-09
WO2017070412A1 (en) 2017-04-27
US10735196B2 (en) 2020-08-04

Similar Documents

Publication Publication Date Title
US10735196B2 (en) Password-less authentication for access management
US10666643B2 (en) End user initiated access server authenticity check
US10142327B2 (en) Rule based device enrollment
US10462142B2 (en) Techniques for implementing a data storage device as a security device for managing access to resources
US10257205B2 (en) Techniques for authentication level step-down
US10157275B1 (en) Techniques for access management based on multi-factor authentication including knowledge-based authentication
US10454936B2 (en) Access manager session management strategy
US10581826B2 (en) Run-time trust management system for access impersonation
US10693859B2 (en) Restricting access for a single sign-on (SSO) session
US10225283B2 (en) Protection against end user account locking denial of service (DOS)
CN113728603B (zh) 经由不可提取的不对称密钥的浏览器登录会话的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination