CN1520090A - 认证确实性和降低的***和方法 - Google Patents
认证确实性和降低的***和方法 Download PDFInfo
- Publication number
- CN1520090A CN1520090A CNA200410003713XA CN200410003713A CN1520090A CN 1520090 A CN1520090 A CN 1520090A CN A200410003713X A CNA200410003713X A CN A200410003713XA CN 200410003713 A CN200410003713 A CN 200410003713A CN 1520090 A CN1520090 A CN 1520090A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- visit
- equipment
- grade
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/40—User authentication by quorum, i.e. whereby two or more security principals are required
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Collating Specific Patterns (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明针对在网络环境中用于安全认证的方法和***。本发明允许由网络化设备共享安全信息。它还根据认证确实性允许对网络化设备的访问。这个***根据用户识别的模式和方法将确实性等级指派给网络。而且,本发明允许因超时用户认证的逐渐降低,并从而逐渐降低对网络化设备的访问。另外,本发明区别在网络环境中的个人身份与角色。与认证关联的确实性等级提供对网络化设备或设备部件的访问的预定等级。本发明提供改进的安全性,并减少通过身份盗用对网络欺骗性的访问的风险。
Description
技术领域
本发明涉及计算环境。更具体地说,本发明针对用于安全认证的***和方法。本发明基于各种识别方法的确实性(surety)等级提供和允许访问,以及进一步降低(decay)确实性等级并从而降低超时(over time)的安全访问。
背景技术
在多个不同环境中,受登录和口令保护的对***和设备的访问是众所周知的。例如,要求用户输入或否则提供用于识别的字母数字字符的设备已经使用了一段时间。另外,还存在诸如大楼安全***这样的设备,要求某些形式的生物测定识别以允许访问。但这些设备独立地且不一致地发生作用。随着通信发展,网络化设备的数量在缓慢地增加。人们期望的是以新且方便的方法调节(leverage)这个设备的网络。换句话说,人们期望的是无需在每个设备上重复认证的情况下使用网络化设备,同时还减少身份被盗的可能性。
存在着有关安全模型和接入点的紧密联系(tie)更特殊的需要。人们期望的是增加安全模型的范围以覆盖包括在网络上特定设备的整个网络。例如,当前的安全***只允许从单一接入点访问,在接入点中用户提供它们的***识别(systemidentification)。当用户在计算机终端登录到网络时,他们只能在这个单一的终端上执行涉及或在那个网络上的功能。他们否则将必须在其它终端或设备上重新识别他们自己,以获得对那些终端或设备的访问。虽然在大多数环境中这可能看上去合理的,但是在诸如家这样的设置中特别麻烦。当一个用户基于在门口的一些认证被准予进入家里时,这个用户应该不必再向家里其它通常共享的、安全的和网络化设备诸如个人计算机识别自己。这个家应该‘了解’这个用户在场,并从而基于那个了解,提供对在该个人计算机上一组有限的功能、部件和应用的访问。
还存在有关将所有的登录或***识别视为同一安全模型的更进一步的需要。也就是说,当前的安全模型为所有的登录指派相等的确实性等级,与位置、识别的方法或自认证用户以来经过的时间无关。就登录到***或识别一个人到***存在众多的方法来说,安全***应该承认这些变化,并且至少把它们视为因素。***应该解决每个登录方法提供不同确定性的事实。换句话说,一些登录方法更易受身份欺骗(identity fraud)的影响,从而不应该给予这些登录方法与其它方法相同的认证确实性。而且,在一个用户已经登录到诸如家这样的网络***中之后,这个***应该解决这个可能性,即随着时间过去,这个用户可能已经离开最近认证的大楼或紧靠的周围地区。因此,***需要能够随着时间过去减少与认证关联的确实性等级。
按照前面所述,存在提供一种***和方法的需要,这个***和方法可使不同的安全等级能够与用户对于***的识别方法关联起来。而且,存在对一种***和方法的需要,这个***和方法以时间和对于***的用户识别的模式两者的函数的形式,减少对***组件或选项的安全访问。换句话说,存在对一种***和方法的需要,在这个***和方法中,用户对设备、和对那些设备的某些应用或属性的访问,是由这个***所具有的用户是他们所声称的人的确定性或确实性的程度确定的。而且,这些访问权限不应该无限期地保留,而是在一适当的时间段内变化。
概述
本发明针对一种使用于计算环境中对多个网络化设备以保持和提供安全访问的方法和***。
在一个方面,本发明针对接受用户识别,为这个识别指派一确实性等级,以及利用组合的信息准予对网络化设备及其部件的适当访问。
在另一个方面,本发明将一确实性等级与由用户使用的方法和认证设备关联起来,以提供他的/她的对于网络的识别。
在另一个方面,本发明以在网络环境内按照经过的时间、对于***用户识别的方法或最近认证的位置的函数的形式,降低用户认证。
本发明的其它方面,以及从属于它们的优点和新颖性,将部分地在下面的说明中阐述,以及部分地对于在本领域中熟练技术人员在研究下面内容后将是显而易见的,或者可从本发明的实践中学到。可通过在所附权利要求书中所特别指出的方法、手段和组合实现和得到本发明的目标和优点。
附图说明
通过下面对本发明的较佳实施例的附图的详细说明,将使本发明的这些和其它目的和优点更易理解,而这些附图是用说明书引入的。其中:
图1是计算***环境的方框图;
图2A是表示本发明的例示组件的示意图;
图2B是本发明使用的信息的示范性数据表的图表;
图3A是表示跟踪用户的认证和确实性的方法的示意性流程图;
图3B是表示在本发明内处理认证的过程的流程图;
图4A是表示网络化设备和确实性等级记录的相互关系的方框图;以及
图4B是示出用于在本发明内为用户提供对网络化设备的访问的示范性过程的流程图。
本发明的详细说明
本发明提供一种***和方法,用于建立对于网络化设备的***的识别的质量和确实性。安全性与整个网络关联,而不是与在网络上的各个接入点关联。按照用户使用的识别模式,指派认证确实性的各不相同的等级。由认证等级控制对网络化设备或设备部件的访问。认证等级超时不持续,而是基于几个因素被降低,这几个因素包括自从最近的认证起的持续时间,认证方法的确实性,最近的认证的位置和在设备上的新认证。
本发明的***和方法包括几个不同的组件,它们一起提供了上面简述的认证和确实性***。通过这些组件的每一个,可确定当前被识别的个人或角色(persona)对于网络设备的质量和确实性。例如,在一个设备的受控制网络中,诸如具有灯、电视、计算机***、微波炉和其它电子设备的家庭网络中,本发明的***和方法可跟踪一个身份是否在一给定的空间内以及这个事实的确定程度。基于这个确定性,***将准予或拒绝对设备和设备部件的访问。个人对网络化设备的访问,在尝试访问的时候,必须在一适当的等级。***解决认证等级和认证方法的质量或可信赖度(trustworthiness)两者。
虽然对于***登录或识别一个人存在多种模式,诸如文本口令、指纹、智能卡(smart card)等等,但是这些模式的每个模式的准确度或可信赖度的等级是不同的。例如,指纹比文本口令安全得多,但不如虹膜扫描那样安全。本发明基于识别方法的质量/可信赖度,允许跟踪和指派各不相同的认证等级。例如,如果用户“乔(Joe)”使用一文本口令登录上个人计算机(PC),***可能设定乔真的在使用计算机的确定性值为50%。文本口令确定性等级可准予用户访问乔的桌面和网络冲浪应用。然而,如果用户设法访问乔的Microsoft Money(微软财富)帐号,则***可要求这个用户确实是乔的更高的确实性等级。例如,可要求90%的确实性等级以访问机密或金融信息。因此,***将在准予访问Microsoft Money帐号之前,提示用户使用能提供所需要的90%确实性等级的其它登录方法。这种登录方法可包括智能卡、指纹或一些其它更安全的识别模式。由于***能够跟踪访问计算机和网络上各种内容或服务所要求的一系列确实性等级,所以用户随后也能够访问计算机上其它‘高确实性等级’功能或网络上的设备。
在本发明的另外一个方面,***还允许在网络上的设备中聚集(aggregate)和共享认证等级。例如,当已经通过在前门的虹膜扫描器识别一个用户时,不仅通过开启这扇门准予这个用户进入这个家,而且还可准予访问虹膜扫描所关联的认证等级是适当的,例如用户的电子邮件消息,的任何网络化设备或部件。***可执行认证确实性等级的聚集,导致将最高的最近的确实性等级设定为用户在网络上的当前确实性等级。由于虹膜是非常独特的,事实上大约是指纹的一千倍,所以一个基于用户的虹膜扫描的认证实际上是真实的,这存在很高的置信度。换句话说,***能够确信用户X在家里。当用户X使用连接在网络上的电灯开关时,***使用具有用户X事实上在家里的高确实性等级的信息,并因而提供用户X有待阅电子邮件的通知。另外,在用户去看也在网络上的电视时,在电视上有以一个专用于用户X的顺序自动排列的显示列表和互联网内容。这个动作是在不需要用户X必须单独地为电视提供一个识别的情况下完成的。
当用户在住宅中走来走去或逗留时,在没有由家里的任何设备或***重新识别用户的情况下,***可缓慢地降低网络所具有的关于特定用户的存在和认证的确实性数值。如果在任何时间那个用户的确实性等级下降到低于一个访问一些设备或内容所必需的等级,则***可提示用户需要重新识别和认证他们自己,以便获得访问。换句话说,限制或拒绝对服务或内容的访问,直到网络具有适当的确实性等级为止。一个实例可能是,一个成年用户在通过前门虹膜扫描器的认证后进入家里之后观看电视。如果用户立即选取要求90%确实性值的某些“R”级内容,则用户可简单地能够通过一个菜单这样做并让它开始播放。不过,如果用户坐着并观看某些广播“G”级电视播放足够长而没有任何重新识别,则***认证确实性可能已经相当地降低,例如至70%确实性。如果在这段经过的时间周期之后,用户准备选取“R”级电影,则将要求重新识别,因为确实性等级已经降低到低于90%。
已经简要地提供本发明的这个概观,现在参考图1至4B将详细地讨论认证、为认证指派确实性等级、共享认证等级和降低认证等级的细节。
首先在下面描述一个典型的操作环境。
典型操作环境
主要参考附图并且最初特别是图1,其中,在各个图中相同的标号标识相同的组件,示出用于实现本发明的典型操作环境,并被统称为操作环境100。计算***环境100只是合适的计算环境的一个实例,并且不是想要提出任何有关本发明的使用范围或功能的限制。也不应该将这个计算环境解释为具有对在典型操作***100中所示的组件的任何组件或其组合有依赖性或要求。
可在有关诸如由计算机执行的程序模块这样的计算机可执行指令的一般背景中描述本发明。通常,程序模块包括执行特定的任务或实现特定的抽象数据类型的例程、程序、对象、组件、数据结构等。而且,在本领域中熟练技术人员将意识到本发明可用多种多样的计算机***配置实践,包括手持设备、多处理器***、基于微处理器或可编程消费电子产品、小型机、大型机等等。本发明也可在分布式计算环境中实践,在其中由通过通信网络链接的远程处理设备执行任务。在一个分布式计算环境中,可将程序模块定位在本地和远程两者的包括存储器设备在内的计算机存储介质中。
参考图1,用于实现本发明的典型***100包括以计算机110形式的通用计算设备,计算机110包括处理单元120、***存储器130和连接包括***存储器在内的各种***组件至处理单元120的***总线121。
计算机110一般包括多种多样的计算机可读介质。作为例子,不是限制,计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质的实例包括,但不限于,RAM(随机存取存储器)、ROM(只读存储器)、电可擦除可编程只读存储器(EEPROM)、闪存或其它存储技术、CD-ROM(光盘)、数字通用盘(DVD)或其它光盘存储器、磁盒、磁带、磁盘存储器或其它磁存储设备,或者可能被用于存储想要的信息和能由计算机110存取的任何其它介质。***存储器130包括以易失的和/或非易失的存储器形式的计算机存储介质,诸如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出***133(BIOS),包含帮助在计算机110内的部件之间传送信息的基本例程,诸如在起动期间,它一般被存储在ROM131中。RAM132一般包含由处理单元120可直接存取和/或目前操作的数据和/或程序模块。作为例子,不是限制,图1示出操作***134、应用程序135、其它程序模块136和程序数据137。
计算机110还可包括其它可移动的/不可移动的、易失的/非易失计算机存储介质。只是作为例子,图1示出读写不可移动的、非易失的磁介质的硬盘驱动器141,读写可移动的、非易失的磁盘152的磁盘驱动器151,和读写可移动的、非易失的光盘156诸如CD ROM或其它光介质的光盘驱动器155。能用于典型操作环境的其它可移动的/不可移动的、易失的/非易失的计算机存储介质包括,但不限于,磁带盒、闪存卡、数字通用盘、数字视频带、固态RAM、固态ROM等等。硬盘驱动器141一般通过不可移动的存储器接口诸如接口140连接至***总线121,以及磁盘驱动器151和光盘驱动器155一般由可移动的存储器接口诸如接口150连接至***总线121。
上面所述和在图1中所示的驱动器及其关联的计算机存储介质,为计算机110提供计算机可读指令、数据结构、程序模块和其它数据的存储。在图1中,例如,硬盘驱动器141被示为存储操作***144、应用程序145、其它程序模块146和程序数据147。注意这些组件可以与操作***134、应用程序135、其它程序模块136和程序数据137或者相同,或者不同。一般地,存储在RAM中的操作***、应用程序等等是相应于从硬盘驱动器141读取的***、程序或数据的部分,根据所需的功能,这些部分的大小和范围可变化。操作***144、应用程序145、其它程序模块146和程序数据147在这里给出不同的号码,至少说明它们是不同的拷贝。用户可通过输入设备,诸如键盘162和普通被称为鼠标、轨迹球或触摸垫的指点器161,将命令和信息输入到计算机110中。其它输入设备(未示出)可包括话筒、游戏杆、游戏垫、卫星天线、扫描器等等。这些和其它输入设备常常通过连接到***总线的用户输入接口160连接至处理单元120,但是也可以通过其它接口和总线结构连接,诸如并行端口、游戏端口或通用串行总线(USB)。监视器191或其它类型的显示设备也通过接口诸如视频接口190连接至***总线121。除监视器之外,计算机还可包括其它外部输出设备诸如扬声器197和打印机196,它们可通过输出外部接口195连接。
在本发明中的计算机110可在使用逻辑连接至一个或多个远程计算机诸如远程计算机180的网络化环境中运行。远程计算机180可以是个人计算机,并且一般包括上面所述的与计算机110有关的许多或全部部件,尽管在图1中只示出存储器设备181。图1中所示的逻辑连接包括局域网(LAN)171和广域网(WAN)173,但还可包括其它网络。
当在LAN网络环境中使用时,计算机110通过网络接口或适配器170连接至LAN171。当在WAN网络环境中使用时,计算机110一般包括调制解调器172或用于建立在WAN173诸如因特网上的通信的其它工具。调制解调器172,可以是内置的或外置的,可通过用户输入接口160或其它适当的机制连接至***总线121。在网络化环境中,所述的与计算机110有关的程序模块,或其一部分,可存储在远程存储器设备中。作为例子,不是限制,图1示出远程应用程序185为驻留在存储设备181上。应理解为所示的网络连接是示例性的,也可使用用于在计算机之间建立通信链路的其它方法。
虽然未示出计算机110的许多其它内部组件,但是本领域熟练技术人员会理解为这样的组件和互连是众所周知的。因此,有关计算机110的内部结构的附加细节不需要连同本发明一起揭示。
当启动或重置计算机110时,存储在ROM131中的BIOS133指示处理单元120从硬盘驱动器140把操作***或其必需的部分装入RAM132。一旦描述为操作***144的操作***的拷贝部分被装入RAM132,处理单元120就执行操作***代码并将与操作***134的用户界面关联的可视单元显示在监视器191上。一般地,当由用户打开应用程序145时,从硬盘驱动器141中读取程序代码和相关的数据,并将必需的部分拷贝到RAM132,所拷贝的部分在这里用标记号码135表示。
用于认证确实性和降低的***和方法
本发明的方法和***鉴定通过认证设备的网络接收的信息所提供身份的质量和确实性两者。使用这个鉴定来建立用于由应用程序和网络化设备使用的认证的等级。在这里最初的讨论将集中在如在图2中所示的***的基本组件,以及这些能辨识认证等级和提供对网络化设备的访问的组件的使用上。然后将参考图3A和3B讨论认证和确实性的获得和跟踪。将参考图4A和4B讨论由网络设备访问的确实性等级。应该理解在这里提供的实例只是本发明的***和方法的一个可能的使用,并且这些实例不是想要以任何方式限制本发明的***和方法。
在图2中示意性地示出包含本发明的基本特点的认证***。本发明的***和方法要求首先以某些方式对认证***200识别用户。认证设备202A、202B、202C和202D,统称为202,接受和处理用于对认证***200识别个人的信息。认证设备202可包括典型设备、智能卡和多种生物测定设备中之一,诸如虹膜扫描器、拇指指纹阅读器或语音识别***。它还能够包括标准的按键式输入设备。应该注意到认证设备202的类型或用户输入的方法影响一个特定的用户是他们所声称的人的确实性程度。认证设备能够或者是被动的或者是主动的设备。例如,虹膜扫描器和指纹扫描器是主动的,因此在任何时候,它们总是“活着的(alive)”并在认证时通知认证***。被动的认证设备需要由认证***指示以认证或变成活着的。例如,键盘口令入口是被动式设备驱动器,认证***可指示它为口令提示用户。换句话说,可以用于识别的设备或方法的函数的形式指派不同的确实性等级。这个函数涉及确实性和访问的等级,将在本文的后面详细地讨论。
一般而言,认证信息从认证设备202传递到降低事件管理器(Decay EventManager)204。降低事件管理器204处理认证并且还注册网络化用户设备。降低事件管理器204一般是一个模块,它能够保持用户身份,并且超时降低这种身份的认证确实性。客户机注册模块(Client Registry Module)212提供和查询来自降低事件管理器204以及认证模块(Authentication Module)206的信息。客户机注册模块212方便网络化设备的登录和注册,这些网络化设备服从和顺从本***的认证规则。在图2B中所述的和所示的模块,可在诸如在图1中所示这样的计算机中实现。
本发明的一个方面是用户身份与角色之间的区别。如在这里所使用的,角色指以给定的作用或模式操作的个人。如个人能够具有唯一一个身份,但可具有多个角色,并且那个身份代替角色。例如,一个典型的个人用户具有工作场所角色、家庭角色和有可能团体角色。换句话说,对于一个用户存在几个可利用的作用。本发明识别和能够意识到在这些角色中的每个角色与每个角色能访问的设备、应用或部件的类型之间的差别。例如,文本口令登录可能只提供访问以及只允许用户的家庭角色。可要求智能卡或办公室身份标志(office ID badge)以识别工作场所角色。因而当通过文本口令提供识别时,将不准予用户访问工作电子邮件。为此,本发明包括身份角色共同体(Identity Persona Community)214。IPC214与降低事件管理器模块204通信和交互以适当地将认证与角色关联起来。有关认证和角色的信息存储在安全数据库(DB2)220中。安全数据库220除角色交叉引用信息之外,还包含对于大多数安全***是典型的信息。认证设备可将个人或者以身份形式或者以角色形式认证。然后取决于IPC和存储在数据库中的信息以相应地认证这个人。例如,虹膜扫描器可使用他/她的身份认证这个人。因为身份能代表一个或多个角色,所以***不应该对所有角色相等地指派认证等级。例如,虽然虹膜认证可准予某个人完全访问个人的电子邮件和财务时,但它可能不想准予访问工作相关信息。关于如何对角色分配等级的信息被存储在数据库中。另一方面,智能卡阅读器,例如,可只认证特定的角色,如工作角色,而不认证身份。
在本发明的***和方法已经接收和存储认证和安全信息时,允许网络化设备访问和共享那些信息。使用认证信息的网络化设备的实例包括个人计算机、电视机、灯具、微波炉以及任何其它能够通过网络通信的电子设备。这类设备由客户机设备(Client Device)208表示。在本发明的另外方面,对于访问请求认证等级验证是位置专用的(location specific)。对于身份或角色不存在组合的确实性等级。确实性等级是位置专用的并相应地准予访问。例如,一个小孩可具有完全访问以改变电灯亮度,只要这个小孩在同一房间里。不过,如果他/她不在房间或住宅里,则可不接受/拒绝这个请求。
客户机设备208能够包括一个服务器通信模块(Server CommunicationModule)210,它便于与前面所述的认证信息以及还与服务器(Server)218通信。通过认证模块206提供对认证信息的访问。认证模块206与降低事件管理器204、注册客户模块(Register Clients Module)212和位置访问控制模块(Location Access ControlModule)(LAC)216通信。
LAC216简化和整理与设备访问有关的信息并管理特性作用(property role)。LAC216还处理关于与客户机设备208有关的认证设备202的物理位置的信息。例如,在用户试图访问一个特定的客户机设备208的事件中并且不能够这样做,因为它们或者还没有识别他们自己,或者认证等级已经降低超出这个设备的可接受等级的范围,LAC216能够提供信息给用户,指示他们到一个认证设备202,这个认证设备202既在客户机设备208的附近范围内且又可提供合适的认证等级。发生在网络上的认证事件连同这个事件的时间、这个事件的位置和与这个事件关联的认证等级一起,由LAC216管理和处理。
数据库(DB1)222为实现当前***的功能所必需的信息提供存储。如本领域熟练技术人员可理解的,这种数据存储能伸展到多个数据库、计算***或数据表。存储在DB1222中的信息包括一个特性信息结构(property information structure)234(示于图2B),由当前***的各种模块使用。在图2B中示出一个包含特性信息结构234的数据的示意性表格。特性信息结构234包含与客户机设备208及其部件的有关信息的记录236-242,在这里将它们称为实体(entity)和特性(property)。特性信息结构的一个典型记录可包括下列:实体标识符(entity ID)224,诸如电灯、电炉(furnace)或电视;特性(property)226,诸如在电灯的情况下为亮度,或在电炉的情况下为温度设定值。值(value)228可与这些特性的任何一个关联,例如,在电灯的情况下为亮度的实际百分比,或在电炉的情况下为温度值。认证标志(authenticationflag)232指定用户会对记录内的特定特性的访问,这种访问只包括读或写。实体或设备的位置(location)230也构成特性信息结构234的一部分。将在本文的后面参考图4详细地讨论这个特性信息结构234的使用。
在***的示意性使用中,图3A的示意性流程图显示跟踪用户的认证和确实性的过程。这个过程开始于将一个可变的百分比值,而不是现有安全***的典型二进制值,指派给用户对于***的认证或识别。常规的安全***给用户认证指派一个二进制值,指示成功或失败的登录。如前所述,用户用各种认证设备202对***识别它们的存在。通过对***提供初始的输入完成识别。可通过多种现有的或将来的输入设备或***202提供这种输入,诸如虹膜扫描器202A、指纹阅读器202B、智能卡个人识别号数(smart card pin number)202C或文本口令202D。如本领域的熟练技术人员可意识到的,这些输入方法的每个方法的准确性和错误/欺骗敏感度变化很大。因此,每个输入方法具有一个认证确实性值。每个确实性值表示由每个输入方法提供的识别的确定性。因此,具有识别的最大确定性的虹膜扫描器202A,在步骤314被指派一个值为99的确实性。指纹阅读器202B、智能卡202C和文本口令202D,在步骤316、318和320分别被指派了值为80、70和50的确实性,对应于它们的识别确定性。应该注意到由前面指定的识别模式代表的确实性的百分比值只是示范性的,并且是为了便于讨论而提供的,以及告知这个事实:识别模式不同,有些较好或不易受欺骗。
在用户已经提供输入之后,在步骤322有一个检查被进行,以确定那个用户是否被在网络上实际注册了。如果用户没有被注册,则如在步骤328所示的注册过程发生。如果另一方面,用户已经被注册到网络,那么在步骤324,然后更新与这个用户是他们所声称的人的确实性关联的值。在步骤328注册用户也以在步骤324更新确实性值而终结。更新确实性值涉及产生条目(entry)到确实性等级表(surety leveltable)326中。这个过程涉及在确实性等级表中用用户识别及其关联确实性等级值填充的多个字段。
如前所述,与确实性等级有关的信息不是静态的。事实上,超时存在如在步骤330所示的确实性的缓慢降低,它导致在步骤324对确实性值的更新。用这些动态的确实性等级值更新确实性等级表326。在运行中,由网络设备208使用确实性等级表326,以允许用户访问由网络设备提供的功能或部件。在确实性等级表326中其它参数的细节将结合认证300的过程讨论,如在图3B中所示。
认证过程300开始于在认证设备202上的认证事件,如在步骤302所示。这种事件可包括登录、试图进入家里、或引起个人对***识别他们自己的其它行为。在步骤302认证事件发生,导致在步骤304通过获得认证事件处理程序登记这个事件。因此,例如,一个唯一的识别号码与由用户X对***识别他们自己的试图关联。跟随着这个步骤是分类与所提供的用户X识别关联的角色的试图。IPC214获得必需的信息块,以用由用户提供的登录信息识别和匹配这个角色。然后在步骤306执行识别对于角色的交叉引用。在步骤310,IPC过程的完成实现相关的角色的属性的更新。更新的属性包括时间戳、初始认证等级连同与认证设备202关联的位置。在步骤312,然后由降低事件管理器204存储和监控角色信息连同所有关联的属性。在这个点上,降低事件管理器204然后监控和降低超时的与角色关联的初始等级。
在本发明的实施例中,对于一个给定角色的确实性等级的降低速度可以按照认证的类型变化。换句话说,除虹膜扫描器可接收较高等级的确实性的事实之外,还有这种情况,与虹膜扫描的认证关联的等级,可以用比与拇指指纹认证关联的等级更缓慢的速度降低。例如,对于***使用虹膜扫描器202A识别用户X,并因而接收一个99的认证等级,如在步骤314所示。另一方面,用户Y使用文本口令202D提供识别,因而接收一个50的确实性等级,如在步骤320所示。在本发明的一个实施例中,认证等级可用一个统一的速度减少,例如,每半小时百分之十。在本发明的另一个实施例中,认证等级可用变化的速度减少,使虹膜相关的等级以每半小时百分之五的速度减少,而文本口令等级以每半小时百分之十的速度减少。
让用户对于本发明的***识别他们自己的目的是最终允许他们使用在网络上的设备和部件。因此,如在图4A中所示,网络400可具有多个设备,诸如电视402和电灯开关404。当用户想要使用这些设备的任意一个时,用户可按照惯例首先前往每个设备并在需要时登录或识别他们自己,然后试图使用这个设备。另一方面,通过共享由本发明的***和方法提供的网络认证,用户只要试图访问电视402的部件或电灯开关404,因为这个用户对于这个网络已经被识别。这个试图的访问提示关于***对于这个用户实际在那里的确定程度的判断。通过咨询确实性等级表326作出这个判断。
访问诸如电视402或电灯开关404这样的客户机***的粗略概述,为涉及访问任何普通的客户机设备208细节的讨论提供一框架。将参考图4B讨论对普通客户机设备208的访问。
当用户试图使用一个客户机设备208的部件或功能时,由这个客户机产生一个请求至认证模块206,如在步骤408所示。认证模块206然后在步骤410执行一个特性访问请求(property access request)(PAR)。使用PAR,基于这个用户的认证确实性和这个设备特性所要求的确实性,确定当前被识别的用户是否能够访问这个客户机设备208的特定特性。换句话说,必须对设备特性226是否具有值228和关联的允许这个用户访问或改变值228的访问标志232作出判断。例如,转到图2B的电炉记录238,当用户试图改变电炉实体224的温度特性226时,必须对所指定的确实性值228,在这个情况下值为20,是否已经符合用户的认证作出判断。此外,访问标志232必须也允许这种访问。
返回到图4B,当在步骤410发布PAR时,存在多个可能的结果。这个请求可能过时,如在步骤412所示,或者可能接受或拒绝这个请求,如在步骤414所示。万一这个PAR过时或不被接受,在步骤430,将那个结果作为没有成功传送回客户机设备208。另一方面,如果接受这个PAR,在步骤416,认证模块206与LAC216进行通信。这个通信的目的是要从特性信息结构234取得适当的记录,如在步骤418所示。如前所述,这个信息存储在DB1 222中。对于这个请求的应答包括前面讨论的特性信息结构234的各种字段,连同指定角色及其关联的认证等级的附加字段。返回的角色和认证等级是对特性信息结构234中有兴趣的特性和记录的有特殊用途的东西。在当前的实例中,将返回与温度特性226或火炉238关联的角色和认证等级。换句话说,返回一个经授权的角色列表。在步骤418,在认证模块206接收这个信息。
在这个点上,***现在具有关于特定特性226连同关于能改变或访问这个特性的各种角色的信息。***还具有对这些角色的访问所要求的等级的信息。利用这个信息,***然后能够交叉引用这个信息至试图访问的用户的特定识别。
在步骤420,认证模块206与降低事件管理器204进行通信,为了获得正在试图访问的所识别的***用户的当前百分比等级。如果所识别的用户具有的当前访问等级在所寻求的特性226的允许的容许度之内,那么在步骤422准予访问。然后在步骤424产生角色相关的信息与特性信息结构234记录的关联,并传送到服务器218。在步骤426,这个信息归档并为其它目的诸如审记日志等存储这个信息。然后在步骤428与客户机设备208进行通信,通知这个客户机成功访问或允许这个用户执行最初提出的请求。
如可看到的,本发明的***和方法允许由网络化设备共享安全信息。它还根据认证确实性允许访问网络化设备。***根据用户对于网络的认证指派确实性等级。更进一步,本发明允许用户认证因超时逐渐降低,并从而因超时逐渐降低对网络化设备的访问。另外,本发明区别在网络环境中个人身份与角色。
上述***和方法使用户能够利用连接在网络上的多个设备的任何一个设备,不需要对每个设备重复识别。通过对于网络的一次认证,能访问任意数量的设备。然后在需要时从网络为设备提供认证。
本发明确定确实性的等级或程度。认证可与个人或角色有关。通过识别和分类用于对网络***识别的方法和设备的过程,将确实性值指派给每个认证事件。
与认证关联的确实性等级提供访问网络化设备或设备部件的预定等级。超时以及作为识别所使用的模式和方法的函数,与认证关联的确实性等级缓慢地降低。降低还提供更多的安全性,并减少通过身份盗用对网络的欺骗性访问的风险。
如本领域熟练技术人员可理解的,在这里所讨论的功能可在客户机端、服务器端或两者的任何组合上执行。这些功能也可在任何一个或多个计算设备上,以多种多样的组合与配置执行,并且这样的变化方案是预期的并且在本发明的范围之内。
已结合特定的实施例描述了本发明,从所有方面看,这些实施例是想作为例示性的而不作为限制性的。可替换的实施例,对于在本发明所属的领域中熟练技术人员将是显而易见的,而不脱离本发明的范围。
从前面所述,将看到这个发明是一个很适合于获得上面所阐述的所有目的和目标,以及对于***和方法是明显的和固有的的其它优点的发明。应理解某些特点和子组合是有用的,并且可在不涉及其它特点和子组合的情况下实施。这是可预料的并且在权利要求书的范围之内。
Claims (29)
1.一种在计算环境中用于保持安全性和对多个网络化设备的访问的方法,其特征在于,所述方法包括:接受用户识别;为所述用户识别指派确实性等级;以及使用所述用户识别结合所述确实性等级准予或拒绝对多个网络化设备的访问。
2.如权利要求1所述的方法,其特征在于,所述用户识别是通过生物测定设备提供的。
3.如权利要求2所述的方法,其特征在于,所述生物测定设备是虹膜扫描器。
4.如权利要求2所述的方法,其特征在于,所述生物测定设备是语音识别***。
5.如权利要求1所述的方法,其特征在于,所述用户识别是通过文本口令输入提供的。
6.如权利要求1所述的方法,其特征在于,所述确实性等级是用其提供所述用户识别的方法或设备的函数。
7.如权利要求1所述的方法,其特征在于,所述方法还包括在网络上共享所述用户识别和所述确实性等级。
8.如权利要求1所述的方法,其特征在于,所述方法还包括所述确实性等级的降低。
9.如权利要求8所述的方法,其特征在于,所述降低依据自用户识别以来的时间期限。
10.如权利要求8所述的方法,其特征在于,所述降低是所述用户识别的方法的函数。
11.如权利要求6所述的方法,其特征在于,所述确实性等级在网络上被聚集。
12.一种在网络环境中根据网络对用户的存在的了解提供对多个网络化设备的访问的方法,其特征在于,所述方法包括:获得来自用户的识别;认证所述识别;以及通过提供所述认证的识别的存储和使用所述存储的请求过程,使所述认证的识别可用于多个网络化设备。
13.如权利要求12所述的方法,其特征在于,所述认证包括将一个值指派给所述认证的识别。
14.如权利要求13所述的方法,其特征在于,所述值代表与所述获得的用户识别关联的确定性。
15.如权利要求12所述的方法,其特征在于,所述用户识别是通过生物测定设备提供的。
16.如权利要求15所述的方法,其特征在于,所述生物测定设备是虹膜扫描器。
17.如权利要求15所述的方法,其特征在于,所述生物测定设备是语音识别***。
18.如权利要求13所述的方法,其特征在于,所述值是用其提供所述用户识别的方法或设备的函数。
19.如权利要求13所述的方法,其特征在于,所述方法还包括所述值的降低。
20.一种在计算环境中据与用户识别关联的确定性提供对网络化客户机设备的访问的方法,其特征在于,所述方法包括:接受来自网络化输入设备的用户识别;根据所述网络化输入设备的准确度,指派确实性等级,准确度是作为所述网络化输入设备正确地和唯一地识别个人的能力被确定的;以及使用所述确实性等级准予或拒绝由所述用户对网络化客户机设备的部分或全部网络化客户机设备的访问。
21.一种在拥有多个网络化设备的环境中提供认证的***,其特征在于,所述***包括:存储器;认证模块组件,用以接收对网络化设备的一个或多个的访问的请求;以及位置访问控制组件,用以提供一个或多个网络化设备的可访问特性的信息以及管理与认证关联的事件,用于存储在所述存储器中。
22.如权利要求21所述的认证***,其特征在于,所述***还包括降低事件管理器组件,其特征在于,所述降低事件管理器组件与所述认证组件通信,以给用户的认证提供确实性的等级,所述的认证与所述用户试图访问所述一个或多个网络化设备有关。
23.如权利要求22所述的认证***,其特征在于,所述***还包括身份角色共同体组件,所述身份角色共同体组件与所述降低事件管理器组件通信,以将所述用户的认证与角色关联。
24.一种在计算环境中用于提供安全访问的方法,其特征在于,所述方法包括:将确实性值与用户认证关联;使用所述确实性值提供对计算环境的一个或多个部件的访问;以及超时降低所述确实性值以更好地防护所提供的访问。
25.如权利要求24所述的方法,其特征在于,所述方法还包括:接受随后的用户识别;以及在响应所述随后的用户识别时更新所述确实性值。
26.一种包含用于保持安全性和对多个网络化设备的访问的指令的计算机可读介质,其特征在于,所述指令包括:接受用户识别;将确实性等级指派给所述用户识别;以及使用所述用户识别结合所述确实性等级准予对多个网络化设备的访问。
27.一种在计算环境中用于提供受控访问的方法,其特征在于,所述方法包括:为用户身份提供多个角色;对于所述多个角色的每个角色定义对计算环境的部件的访问权限,其中,所述访问权限可以是相同的或不同的;识别至少一个相应于由所述用户身份的登录事件的角色;认证所述至少一个角色;以及提供只对与所述角色关联的部件而不是对可用于所述用户身份的全部部件的访问。
28.如权利要求27所述的方法,其特征在于,所述角色的认证包括提供确实性等级,以及提供的对计算环境的挑选部件的访问基于所述确实性等级。
29.一种在计算环境中用于认证对网络化设备的访问的方法,其特征在于,所述方法包括:接收用户对访问的请求;请求特性信息结构,以获得与能够有可能访问的网络设备的特性有关的信息;其中,所述特性信息结构指定要求的访问等级,所述访问等级是任何用户为了访问所述网络设备特性所必须具有的;以及如果所述请求的用户符合所述要求的访问等级,则允许对所述网络设备特性的访问。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/354,589 US7636853B2 (en) | 2003-01-30 | 2003-01-30 | Authentication surety and decay system and method |
| US10/354,589 | 2003-01-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1520090A true CN1520090A (zh) | 2004-08-11 |
| CN100409617C CN100409617C (zh) | 2008-08-06 |
Family
ID=32655552
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200410003713XA Expired - Fee Related CN100409617C (zh) | 2003-01-30 | 2004-01-30 | 认证确实性和降低的***和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7636853B2 (zh) |
| EP (1) | EP1445679A3 (zh) |
| JP (1) | JP2004234665A (zh) |
| KR (1) | KR20040070059A (zh) |
| CN (1) | CN100409617C (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101488955A (zh) * | 2008-01-15 | 2009-07-22 | 安讯士有限公司 | 处理访问权限的方法和设备 |
| CN100590632C (zh) * | 2005-11-04 | 2010-02-17 | 佳能株式会社 | 信息处理装置、认证方法 |
| CN101170811B (zh) * | 2006-10-24 | 2010-09-01 | 中兴通讯股份有限公司 | 通用引导体系中安全等级的协商方法 |
| CN1859096B (zh) * | 2005-10-22 | 2011-04-13 | 华为技术有限公司 | 一种安全认证***及方法 |
| CN102292932A (zh) * | 2009-01-23 | 2011-12-21 | 微软公司 | 被动的安全执行 |
| CN103369022A (zh) * | 2012-03-26 | 2013-10-23 | 国际商业机器公司 | 与存储设备通信的方法和*** |
| CN103616868A (zh) * | 2004-05-25 | 2014-03-05 | 费舍-柔斯芒特***股份有限公司 | 配置加工厂的方法和*** |
| CN105308607A (zh) * | 2013-06-18 | 2016-02-03 | 阿姆Ip有限公司 | 受信任的装置 |
| CN106953869A (zh) * | 2017-03-30 | 2017-07-14 | 联想(北京)有限公司 | 终端设备和该终端设备中的控制方法 |
| CN108491681A (zh) * | 2010-07-27 | 2018-09-04 | 梅索磅秤技术有限公司 | 消耗品数据管理 |
| CN110096855A (zh) * | 2013-05-30 | 2019-08-06 | 英特尔公司 | 自适应认证***和方法 |
| CN112737792A (zh) * | 2020-12-31 | 2021-04-30 | 五八有限公司 | 一种多挑战方式接入方法、装置、电子设备及存储介质 |
Families Citing this family (64)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2351588B (en) * | 1999-07-01 | 2003-09-03 | Ibm | Security for network-connected vehicles and other network-connected processing environments |
| US6906164B2 (en) | 2000-12-07 | 2005-06-14 | Eastman Chemical Company | Polyester process using a pipe reactor |
| EP1339199A1 (en) * | 2002-02-22 | 2003-08-27 | Hewlett-Packard Company | Dynamic user authentication |
| US9191215B2 (en) * | 2003-12-30 | 2015-11-17 | Entrust, Inc. | Method and apparatus for providing authentication using policy-controlled authentication articles and techniques |
| US8918900B2 (en) * | 2004-04-26 | 2014-12-23 | Ivi Holdings Ltd. | Smart card for passport, electronic passport, and method, system, and apparatus for authenticating person holding smart card or electronic passport |
| US9270769B1 (en) * | 2004-08-11 | 2016-02-23 | Aol Inc. | Mobile communications device |
| US20060116970A1 (en) * | 2004-11-18 | 2006-06-01 | Helmut Scherzer | System and method to grant or refuse access to a system |
| US20060294390A1 (en) * | 2005-06-23 | 2006-12-28 | International Business Machines Corporation | Method and apparatus for sequential authentication using one or more error rates characterizing each security challenge |
| US7810149B2 (en) * | 2005-08-29 | 2010-10-05 | Junaid Islam | Architecture for mobile IPv6 applications over IPv4 |
| DE602006001570D1 (de) | 2006-01-10 | 2008-08-07 | Alcatel Lucent | Verfahren und Zugangsserver, um einen Benutzer eine zentrale Anmeldungsprozedur bereitzustellen |
| RU2412460C2 (ru) * | 2006-04-10 | 2011-02-20 | Электролюкс Хоум Продактс Корпорейшн Н.В. | Бытовой электроприбор, оснащенный датчиком идентификации "отпечатка пальца" |
| US7864987B2 (en) * | 2006-04-18 | 2011-01-04 | Infosys Technologies Ltd. | Methods and systems for secured access to devices and systems |
| US8359278B2 (en) | 2006-10-25 | 2013-01-22 | IndentityTruth, Inc. | Identity protection |
| US7943094B2 (en) | 2006-12-07 | 2011-05-17 | Grupo Petrotemex, S.A. De C.V. | Polyester production system employing horizontally elongated esterification vessel |
| JP4899853B2 (ja) * | 2006-12-19 | 2012-03-21 | 富士ゼロックス株式会社 | 認証プログラム、認証サーバおよびシングルサインオン認証システム |
| JP4924713B2 (ja) * | 2007-04-26 | 2012-04-25 | 富士通株式会社 | 入退室管理プログラム、入退室管理方法および入退室管理装置 |
| WO2008143985A1 (en) * | 2007-05-15 | 2008-11-27 | Consentry Networks | Role derivation in remotely implemented network security policies |
| JP5260908B2 (ja) | 2007-07-20 | 2013-08-14 | 日本電気通信システム株式会社 | 制御装置、通信装置、制御システム、制御方法及び制御プログラム |
| US7882340B2 (en) | 2007-07-31 | 2011-02-01 | Hewlett-Packard Development Company, L.P. | Fingerprint reader remotely resetting system and method |
| US7966350B2 (en) * | 2008-04-11 | 2011-06-21 | Visa U.S.A. Inc. | Evidence repository application system and method |
| US20100088753A1 (en) * | 2008-10-03 | 2010-04-08 | Microsoft Corporation | Identity and authentication system using aliases |
| US8087071B2 (en) * | 2008-12-05 | 2011-12-27 | International Business Machines Corporation | Authentication method and system |
| JP5228872B2 (ja) * | 2008-12-16 | 2013-07-03 | 富士通株式会社 | 生体認証装置、生体認証方法及び生体認証用コンピュータプログラムならびにコンピュータシステム |
| JP5375352B2 (ja) | 2009-06-15 | 2013-12-25 | コニカミノルタ株式会社 | 情報処理装置、情報処理装置の制御方法、および情報処理装置の制御プログラム |
| US8312157B2 (en) * | 2009-07-16 | 2012-11-13 | Palo Alto Research Center Incorporated | Implicit authentication |
| US8756661B2 (en) * | 2009-08-24 | 2014-06-17 | Ufp Identity, Inc. | Dynamic user authentication for access to online services |
| US9652802B1 (en) | 2010-03-24 | 2017-05-16 | Consumerinfo.Com, Inc. | Indirect monitoring and reporting of a user's credit data |
| EP2676197B1 (en) | 2011-02-18 | 2018-11-28 | CSidentity Corporation | System and methods for identifying compromised personally identifiable information on the internet |
| JP5643716B2 (ja) * | 2011-05-31 | 2014-12-17 | 楽天株式会社 | 情報処理システム、情報処理方法、情報処理装置、情報処理端末、プログラム及び記録媒体 |
| CN102986164B (zh) | 2011-07-12 | 2016-10-12 | 松下知识产权经营株式会社 | 个人认证装置以及个人认证方法 |
| US10546306B2 (en) | 2011-09-07 | 2020-01-28 | Elwha Llc | Computational systems and methods for regulating information flow during interactions |
| US10546295B2 (en) | 2011-09-07 | 2020-01-28 | Elwha Llc | Computational systems and methods for regulating information flow during interactions |
| US9690853B2 (en) | 2011-09-07 | 2017-06-27 | Elwha Llc | Computational systems and methods for regulating information flow during interactions |
| US9432190B2 (en) | 2011-09-07 | 2016-08-30 | Elwha Llc | Computational systems and methods for double-encrypting data for subsequent anonymous storage |
| US9491146B2 (en) | 2011-09-07 | 2016-11-08 | Elwha Llc | Computational systems and methods for encrypting data for anonymous storage |
| US9747561B2 (en) | 2011-09-07 | 2017-08-29 | Elwha Llc | Computational systems and methods for linking users of devices |
| US9159055B2 (en) | 2011-09-07 | 2015-10-13 | Elwha Llc | Computational systems and methods for identifying a communications partner |
| US9141977B2 (en) | 2011-09-07 | 2015-09-22 | Elwha Llc | Computational systems and methods for disambiguating search terms corresponding to network members |
| US9195848B2 (en) | 2011-09-07 | 2015-11-24 | Elwha, Llc | Computational systems and methods for anonymized storage of double-encrypted data |
| US9167099B2 (en) | 2011-09-07 | 2015-10-20 | Elwha Llc | Computational systems and methods for identifying a communications partner |
| US10263936B2 (en) | 2011-09-07 | 2019-04-16 | Elwha Llc | Computational systems and methods for identifying a communications partner |
| US9928485B2 (en) | 2011-09-07 | 2018-03-27 | Elwha Llc | Computational systems and methods for regulating information flow during interactions |
| US10185814B2 (en) * | 2011-09-07 | 2019-01-22 | Elwha Llc | Computational systems and methods for verifying personal information during transactions |
| US8819793B2 (en) | 2011-09-20 | 2014-08-26 | Csidentity Corporation | Systems and methods for secure and efficient enrollment into a federation which utilizes a biometric repository |
| US11030562B1 (en) | 2011-10-31 | 2021-06-08 | Consumerinfo.Com, Inc. | Pre-data breach monitoring |
| US8806610B2 (en) * | 2012-01-31 | 2014-08-12 | Dell Products L.P. | Multilevel passcode authentication |
| US8812387B1 (en) | 2013-03-14 | 2014-08-19 | Csidentity Corporation | System and method for identifying related credit inquiries |
| US9590966B2 (en) * | 2013-03-15 | 2017-03-07 | Intel Corporation | Reducing authentication confidence over time based on user history |
| CN103544421A (zh) * | 2013-10-16 | 2014-01-29 | 无锡优创生物科技有限公司 | 一种生物特征综合识别***及方法 |
| US20160050209A1 (en) * | 2014-08-18 | 2016-02-18 | Ebay Inc. | Access control based on authentication |
| US10339527B1 (en) | 2014-10-31 | 2019-07-02 | Experian Information Solutions, Inc. | System and architecture for electronic fraud detection |
| US11151468B1 (en) | 2015-07-02 | 2021-10-19 | Experian Information Solutions, Inc. | Behavior analysis using distributed representations of event data |
| GB2541679A (en) * | 2015-08-25 | 2017-03-01 | Int Cons Airlines Group | System and method for dynamic identity authentication |
| US9749317B2 (en) | 2015-08-28 | 2017-08-29 | At&T Intellectual Property I, L.P. | Nullifying biometrics |
| JP6721435B2 (ja) * | 2016-07-04 | 2020-07-15 | 株式会社東芝 | Icカード、携帯可能電子装置及び情報処理方法 |
| US10977345B2 (en) | 2017-02-17 | 2021-04-13 | TwoSesnse, Inc. | Authentication session extension using ephemeral behavior detection |
| US20180375847A1 (en) * | 2017-06-21 | 2018-12-27 | Anchorid, Inc | Stored value user identification system using blockchain or math-based function |
| US10699028B1 (en) | 2017-09-28 | 2020-06-30 | Csidentity Corporation | Identity security architecture systems and methods |
| US10896472B1 (en) | 2017-11-14 | 2021-01-19 | Csidentity Corporation | Security and identity verification system and architecture |
| US11625473B2 (en) * | 2018-02-14 | 2023-04-11 | Samsung Electronics Co., Ltd. | Method and apparatus with selective combined authentication |
| CN109167770B (zh) * | 2018-08-21 | 2021-02-09 | 北京小米移动软件有限公司 | 输出联网认证信息的方法、联网方法、装置及存储介质 |
| JP2022059099A (ja) * | 2019-02-25 | 2022-04-13 | ソニーグループ株式会社 | 情報処理装置、情報処理方法、及び、プログラム |
| US10936712B1 (en) * | 2019-06-06 | 2021-03-02 | NortonLifeLock Inc. | Systems and methods for protecting users |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2237670B (en) * | 1989-11-03 | 1993-04-07 | De La Rue Syst | Reciprocal transfer system |
| US5375244A (en) * | 1992-05-29 | 1994-12-20 | At&T Corp. | System and method for granting access to a resource |
| US6263447B1 (en) * | 1998-05-21 | 2001-07-17 | Equifax Inc. | System and method for authentication of network users |
| US6295605B1 (en) | 1998-09-10 | 2001-09-25 | International Business Machines Corporation | Method and apparatus for multi-level security evaluation |
| US6115709A (en) * | 1998-09-18 | 2000-09-05 | Tacit Knowledge Systems, Inc. | Method and system for constructing a knowledge profile of a user having unrestricted and restricted access portions according to respective levels of confidence of content of the portions |
| US6668322B1 (en) * | 1999-08-05 | 2003-12-23 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
| WO2001022319A1 (en) | 1999-09-20 | 2001-03-29 | Ethentica, Inc. | Trust arbitrage in cryptographic authentication |
| US7013485B2 (en) | 2000-03-06 | 2006-03-14 | I2 Technologies U.S., Inc. | Computer security system |
| US7086085B1 (en) * | 2000-04-11 | 2006-08-01 | Bruce E Brown | Variable trust levels for authentication |
| WO2001090859A1 (en) * | 2000-05-19 | 2001-11-29 | Netscape Communications Corporation | Adaptive multi-tier authentication system |
| US7039951B1 (en) * | 2000-06-06 | 2006-05-02 | International Business Machines Corporation | System and method for confidence based incremental access authentication |
| JP2001351047A (ja) * | 2000-06-09 | 2001-12-21 | Akesesu:Kk | 個人認証方法 |
| US7137008B1 (en) * | 2000-07-25 | 2006-11-14 | Laurence Hamid | Flexible method of user authentication |
| US7305550B2 (en) * | 2000-12-29 | 2007-12-04 | Intel Corporation | System and method for providing authentication and verification services in an enhanced media gateway |
| GB2372343A (en) * | 2001-02-17 | 2002-08-21 | Hewlett Packard Co | Determination of a trust value of a digital certificate |
| US7028191B2 (en) * | 2001-03-30 | 2006-04-11 | Michener John R | Trusted authorization device |
| US20030074209A1 (en) * | 2001-10-15 | 2003-04-17 | Tobin Christopher M. | User device with service finding and purchasing functionality |
| JP3668175B2 (ja) * | 2001-10-24 | 2005-07-06 | 株式会社東芝 | 個人認証方法、個人認証装置および個人認証システム |
| EP1339199A1 (en) * | 2002-02-22 | 2003-08-27 | Hewlett-Packard Company | Dynamic user authentication |
| US20030229782A1 (en) * | 2002-06-07 | 2003-12-11 | Robert Bible | Method for computer identification verification |
| US7404086B2 (en) * | 2003-01-24 | 2008-07-22 | Ac Technology, Inc. | Method and apparatus for biometric authentication |
-
2003
- 2003-01-30 US US10/354,589 patent/US7636853B2/en not_active Expired - Fee Related
- 2003-12-29 EP EP03029939A patent/EP1445679A3/en not_active Ceased
-
2004
- 2004-01-29 KR KR1020040005771A patent/KR20040070059A/ko not_active Application Discontinuation
- 2004-01-30 JP JP2004024850A patent/JP2004234665A/ja active Pending
- 2004-01-30 CN CNB200410003713XA patent/CN100409617C/zh not_active Expired - Fee Related
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103616868A (zh) * | 2004-05-25 | 2014-03-05 | 费舍-柔斯芒特***股份有限公司 | 配置加工厂的方法和*** |
| CN103616868B (zh) * | 2004-05-25 | 2017-09-26 | 费舍-柔斯芒特***股份有限公司 | 配置加工厂的方法和*** |
| CN1859096B (zh) * | 2005-10-22 | 2011-04-13 | 华为技术有限公司 | 一种安全认证***及方法 |
| US8539249B2 (en) | 2005-10-22 | 2013-09-17 | Huawei Technologies Co., Ltd. | System and method for security authentication using biometric authentication technique |
| CN100590632C (zh) * | 2005-11-04 | 2010-02-17 | 佳能株式会社 | 信息处理装置、认证方法 |
| CN101170811B (zh) * | 2006-10-24 | 2010-09-01 | 中兴通讯股份有限公司 | 通用引导体系中安全等级的协商方法 |
| CN101488955A (zh) * | 2008-01-15 | 2009-07-22 | 安讯士有限公司 | 处理访问权限的方法和设备 |
| CN101488955B (zh) * | 2008-01-15 | 2014-01-01 | 安讯士有限公司 | 处理访问权限的方法和设备 |
| US9641502B2 (en) | 2009-01-23 | 2017-05-02 | Microsoft Technology Licensing, Llc | Passive security enforcement |
| US10389712B2 (en) | 2009-01-23 | 2019-08-20 | Microsoft Technology Licensing, Llc | Passive security enforcement |
| CN102292932A (zh) * | 2009-01-23 | 2011-12-21 | 微软公司 | 被动的安全执行 |
| CN108491681A (zh) * | 2010-07-27 | 2018-09-04 | 梅索磅秤技术有限公司 | 消耗品数据管理 |
| US11960552B2 (en) | 2010-07-27 | 2024-04-16 | Meso Scale Technologies, Llc. | Consumable data management |
| US11630871B2 (en) | 2010-07-27 | 2023-04-18 | Meso Scale Technologies, Llc. | Consumable data management |
| CN103369022A (zh) * | 2012-03-26 | 2013-10-23 | 国际商业机器公司 | 与存储设备通信的方法和*** |
| CN103369022B (zh) * | 2012-03-26 | 2017-04-26 | 国际商业机器公司 | 与存储设备通信的方法和*** |
| CN110096855A (zh) * | 2013-05-30 | 2019-08-06 | 英特尔公司 | 自适应认证***和方法 |
| CN110096855B (zh) * | 2013-05-30 | 2023-08-15 | 英特尔公司 | 自适应认证***和方法 |
| US10042996B2 (en) | 2013-06-18 | 2018-08-07 | Arm Ip Limited | Trusted device |
| CN105308607B (zh) * | 2013-06-18 | 2019-01-01 | 阿姆Ip有限公司 | 受信任的装置 |
| US10452831B2 (en) | 2013-06-18 | 2019-10-22 | Arm Ip Limited | Trusted device |
| US11106774B2 (en) | 2013-06-18 | 2021-08-31 | Arm Ip Limited | Trusted device |
| CN105308607A (zh) * | 2013-06-18 | 2016-02-03 | 阿姆Ip有限公司 | 受信任的装置 |
| CN106953869A (zh) * | 2017-03-30 | 2017-07-14 | 联想(北京)有限公司 | 终端设备和该终端设备中的控制方法 |
| CN112737792A (zh) * | 2020-12-31 | 2021-04-30 | 五八有限公司 | 一种多挑战方式接入方法、装置、电子设备及存储介质 |
| CN112737792B (zh) * | 2020-12-31 | 2022-09-30 | 五八有限公司 | 一种多挑战方式接入方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20040153656A1 (en) | 2004-08-05 |
| EP1445679A3 (en) | 2005-01-05 |
| US7636853B2 (en) | 2009-12-22 |
| JP2004234665A (ja) | 2004-08-19 |
| CN100409617C (zh) | 2008-08-06 |
| EP1445679A2 (en) | 2004-08-11 |
| KR20040070059A (ko) | 2004-08-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100409617C (zh) | 认证确实性和降低的***和方法 | |
| CN108292331B (zh) | 用于创建、验证和管理身份的方法及*** | |
| EP1255179B1 (en) | Methods and arrangements for controlling access to resources based on authentication method | |
| RU2320009C2 (ru) | Системы и способы для защищенной биометрической аутентификации | |
| US6035406A (en) | Plurality-factor security system | |
| US20020087857A1 (en) | Security system for high level transactions between devices | |
| US20080052245A1 (en) | Advanced multi-factor authentication methods | |
| CN1610292A (zh) | 能共同操作的凭证收集和访问模块度 | |
| IL126552A (en) | Remote administration of smart cards for secure access systems | |
| WO2010065240A1 (en) | Multi-level secure collaborative computing environment | |
| CN1682204A (zh) | 认证处理硬件、认证处理***及使用管理硬件 | |
| CN101310286A (zh) | 改进的单点登录 | |
| CN101034981A (zh) | 一种网络访问控制***及其控制方法 | |
| CN1409835A (zh) | 对程序或服务应用鉴定数据的信息设备 | |
| US12002035B2 (en) | Metaverse authentication | |
| WO2023215777A1 (en) | Controlling publishing of assets on a blockchain | |
| CN1494686A (zh) | 使用改进的密码输入方法的用户识别 | |
| WO2004092965A1 (en) | Self-enrollment and authentication method | |
| EP3684004A1 (en) | Offline interception-free interaction with a cryptocurrency network using a network-disabled device | |
| US10255558B1 (en) | Managing knowledge-based authentication systems | |
| RU2573235C2 (ru) | Система и способ проверки подлинности идентичности личности, вызывающей данные через компьютерную сеть | |
| KR20200004666A (ko) | 머신러닝과 블록체인을 이용한 생체정보 인증 시스템 | |
| WO2008024362A9 (en) | Advanced multi-factor authentication methods | |
| GB2423396A (en) | Use of a token to retrieve user authentication information | |
| JP2004013865A (ja) | 連想記憶による本人認証方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080806 Termination date: 20130130 |