专利名称:无线认证的制作方法
无线认证背景单纯使用密码的认证不能为贵重的公司资源提供足够的安全性。一种解决方案是 使用诸如智能卡等安全卡。然而,这些卡经常使用起来很不方便,并且使用了较少的安全技 术。这种使用上的不方便也使得用户试图诸如通过紧跟在别人后面通过大门以及将证书存 储在移动设备上等来阻扰安全性。概述以下提出了本发明的简要概述,以便向读者提供基本的理解。本概述不是本发明 的宽泛概要,也并非要标识本发明的关键要素或描绘本发明的范围。其唯一目的是以简化 的形式提出在此公开的一些概念,作为对将在下文提出的更详细描述的前序。在此描述的是涉及用于无线认证的方法和系统的各种技术和方法。根据所述技术 的一种实现,当认证设备收到访问受保护资源的意图的指示时,该认证设备发送一对密钥 请求。该认证设备和无线用户设备随后可以进行安全密钥交换。该认证设备确定该密钥是 否有效,并且如果密钥有效,则可以允许对受保护资源的访问。在所述技术的另一种实现 中,该认证设备可以请求对用户身份的进一步验证,诸如请求密钥持有者验证。如果密钥和 密钥持有者验证都有效,则该认证设备就可以允许对受保护资源的访问。将更容易地认识许多附带特征,因为通过参考下面结合附图考虑的详细描述,将 更好地理解这些附带特征。附图描述根据附图来阅读下面的详细描述,可以更好地理解本说明书,附图中
图1是用于无线认证的示例性系统的框图。图2是用于无线认证的示例性设备的框图。图3是示出无线认证的示例性过程的流程图。图4示出其中可以实现本发明的某些方面的示例性计算环境。在各附图中,相同的参考标号用于指定相同的部分。详细描述下面结合附图提供的详细描述旨在作为对本发明各个示例的描述,而并非旨在表 示其中可以构造或利用本发明各个示例的仅有形式。该描述阐述了示例的功能以及用于构 造与操作该示例的步骤序列。然而,可以通过不同的示例来实现相同或等价的功能和序列。图1是用于无线认证的示例性系统100的框图。系统100包括一个或多个认证设 备,诸如106和108。每个认证设备可以通信地耦合到诸如110、112和114等一个或多个 无线用户设备。这些无线用户设备中的每一个都可以通信地耦合到各认证设备中的一个或 多个。诸如110等具有无线用户设备的用户可以表明访问受保护资源的意图。当认证设备 106收到该访问受保护资源的意图的指示时,该认证设备106将启动一认证过程。认证设备 106将请求与用户设备110的密钥交换。随后用户设备110可以与认证设备106安全地交 换密钥。密钥提供了用户的安全凭证。认证设备106随后可以验证通过密钥交换所获得的 密钥的有效性。该密钥的有效性可以本地地或通过经由网络104与可信认证授权机构102
4进行通信来验证。如果密钥有效,则认证设备106可以授予对资源的访问。可信认证授权 机构102可以请求附加安全凭证,并且这些凭证可以由认证设备106在授予对资源的访问 之前提供。为了进一步验证,认证设备106可以另外向用户请求密钥持有者验证来进一步验 证用户的身份。密钥持有者验证的示例可以包括但不限于个人身份号码、一系列击键、操纵 杆触发的组合、运动、或姿势。当认证设备106收到密钥持有者验证时,该认证设备106可以 本地地或通过与可信认证授权机构102进行通信来检查该密钥持有者验证的有效性。如果 密钥是有效的,并且密钥持有者验证也是有效的,则认证设备106可以授予对资源的访问。可以存储密钥持有者验证的有效性以供将来访问。对密钥持有者验证可以有一期 满策略设置。期满策略的示例可以包括但不限于期限、密钥的访问或使用次数、或资源类 型。例如,如果设置了期限,则密钥持有者验证在所设期限以前的一段时间内可以保持有 效。在到达该期限之前,如果使用了密钥,则密钥持有者验证可保持有效,且用户无需提供 密钥持有者验证。在到达该期限以后,在访问资源前将请求用户再次提供密钥持有者验证。 如果设置了使用次数,则密钥持有者验证在对密钥使用完所设置的使用次数之前可以是有 效的。期满策略还可以基于资源类型而变化。可以使用其它准则来设置期满策略。期满策 略可以由可信认证授权机构、认证设备或其它设备或认证机构来设置。图2是用于无线认证的示例性认证设备230和示例性无线用户设备240的框图。 认证设备230包括处理器204、发送器206、接收器208、锁202、一个或多个密钥212、和存储 元件210。锁202保护对一个或多个资源的访问。认证设备230通信地耦合到无线用户设 备240。无线用户设备240包括处理器222、发送器216、接收器218、一个或多个密钥220、 和存储元件214。一个或多个密钥220包括用户的安全凭证。这些安全凭证可以用于对锁 202进行解锁,并可以提供对受锁202保护的一个或多个资源的访问。无线用户设备的示例 可以包括但不限于集成在证件中的设备、可佩带的设备、或用户可以携带的任何其它移动 设备。根据一种示例性实现,认证设备230可以是计算设备,诸如PC、笔记本计算机、蜂 窝电话、PDA、或VOIP电话。锁202和任何其它必要的模块可以被内置于该计算设备中,或 通过诸如SDIO卡、USB密钥、PCMCIA卡、压缩闪存、或PCI卡等各种插入式附件接口与该计 算设备连接。或者,认证设备230可以被集成在诸如门、橱柜、或上锁装置等用于防止物理访问 的装置中。认证设备230还可以被集成在诸如打印机、复印机、收银机、电话会议设备、信贷 设备、或演示设备等设备中。此外,认证设备230可以被集成来保护任何其它贵重的资产或 文档。在一个示例性实现中,认证设备230可以轮询无线用户设备。在另一个示例性实 现中,诸如摄像机或运动传感器等运动传感设备可以用于感应在认证设备230周围的运 动。在这些和其它实现中,访问资源的意图的指示可以是无线用户设备240进入了认证设 备230的某一邻近范围。当认证设备230接收到访问资源的意图的指示后,该认证设备230 可以启动认证过程。例如,当具有无线用户设备240的用户进入到该用户的膝上型计算机 的邻近范围时,该膝上型计算机可识别出用户的访问资源的意图,并随后自动从该无线用 户设备处获取用户的密钥。该膝上型计算机还可以提示用户输入个人身份号码来验证用户身份。密钥和个人身份号码可以被验证以确认有效性,并且膝上型计算机可以向操作系统 以及网络认证用户。如果用户离开了该膝上型计算机的附近,则该膝上型计算机可以从操 作系统和网络解除认证。当用户在一特定期限内回到该膝上型计算机的邻近范围时,该膝 上型计算机可以解锁并重新认证,而无需提示用户重新输入个人身份号码。或者,访问资源的意图的指示可以是物理动作,诸如在计算设备的键盘上打字、接 触门柄、或按下复印机上的按钮。该物理动作可以提示认证设备启动认证过程。认证设备 可以向用户设备请求密钥。认证设备也可以向用户请求密钥持有者验证。在确定密钥和/ 或密钥持有者验证为有效后,可以准许对资源的访问。或者,表达密钥持有者验证的动作本身也可以用于传达访问资源的意图。在这种 情况下,认证设备不需要明确地请求密钥持有者验证,而是相反,需要通过启动密钥交换来 响应任何密钥持有者验证的表示。应了解,在其它实现中,可以使用并识别访问资源的意图 的其它表示。无线用户设备还可以用于跟踪用户位置及用户数。例如,可以跟踪从某扇门进入 或离开的人数。无线用户设备可以用于确定会议的出席人数。无线用户设备还可以用于找 出某人并警告某人。无线用户设备可以包括对应于用户希望向其认证的一个或多个认证设备的一个 或多个简介。当无线用户设备进入该无线用户设备没有其简介的认证设备的邻近范围时, 该无线用户设备将不会尝试向该认证设备认证。无线用户设备可以包括可探查在附近的新 认证设备的发现功能。当发现一新的认证设备时,用户可以选择是否将该新认证设备的简 介添加到无线用户设备中。如果用户选择添加该新认证设备简介,则可以提示用户输入密 钥持有者验证。一旦添加了该新认证设备简介,该新认证设备将在无线用户设备进入该新 认证设备的邻近范围时自动启动认证过程。图3是示出无线认证的示例性过程的流程图。尽管可以参考其它附图来对图3进 行描述,但应了解,图3中所示的示例性过程并不旨在限于与任何特定的一幅或多幅附图 中的系统或其它内容相关联。另外,应了解,尽管图3的示例性过程指示了操作执行的特定 顺序,但在一个或多个可选实现中,这些操作也可以按不同的顺序来排列。而且,图3的示 例性过程中所示的步骤和数据中的某一些可能不是必须的,并且在某些实现中可被省略。 最后,尽管图3的示例性过程包含多个分立的步骤,但应意识到,在某些环境中,这些操作 中的某一些可以被组合或同时执行。在310处,设备接收访问资源的意图的指示。访问资源的意图的指示可以是被 动动作,诸如无线用户设备进入认证设备的邻近范围;明示动作,诸如密钥持有者验证的表 示;表明访问资源的意图的物理动作,诸如接触认证设备;或者是指示访问资源的意图的 其它动作。在320处,认证设备发送对密钥交换和/或密钥持有者验证的请求。密钥交换的 示例包括但不限于PCP (优秀私密性)、GPG (Gnu私密性防护)、或公钥密码(PKC)。在330 处,用户设备与认证设备交换密钥。如果请求了密钥持有者验证,则用户设备或认证设备可 以要求用户提供密钥持有者验证。在340处,认证设备确定通过密钥交换所获得的一个或 多个密钥是否有效。如果请求并提供了密钥持有者验证,则认证设备还确定该密钥持有者 验证是否有效。在350处,如果一个或多个密钥和/或密钥持有者验证是有效的,则可以允 许用户访问资源。如果密钥和密钥持有者验证都是无效的,则在360处,可以拒绝对资源的访问ο图4示出了其中可以实现本发明的某些方面的示例性计算环境。应了解,计算环 境400只是其中可使用在此描述的各种技术的合适计算环境的一个示例,而并非旨在对在 此描述的技术的使用范围或功能提出任何限制。也不应将该计算环境400解释为必定需要 在此所示的所有组件。在此描述的技术可以用许多其它通用或专用计算环境或配置来实施。可以适用于 在此描述的技术的公知的计算环境和/或配置的示例包括,但不限于,个人计算机、服务器 计算器、手持式或膝上型设备、图形输入板设备、多处理器系统、基于微处理器的系统、机顶 盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、包括上述系统或设备中的任意 一种的分布式计算环境等。参考图4,计算环境400包括通用计算设备410。计算设备410的组件可以包括, 但不限于,处理单元412、存储器414、存储设备416、输入设备418、输出设备420、和通信连 接 422。取决于计算设备的配置和类型,存储器414可以是易失性的(诸如RAM)、非易失性 的(诸如ROM、闪存等)或这两者的某种组合。计算设备414还可以包括附加存储(可移动 的和/或不可移动的),其包括但不限于,磁盘、光盘或磁带。这种附加存储在图4中用存 储416来示出。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块 或其它数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。 存储器414和存储416是计算机存储介质的示例。计算机存储介质包括,但不限于,RAM、 ROM、EEPR0M、闪存或其它存储器技术,CD-ROM、数字通用盘(DVD)或其它光学存储、磁带盒、 磁带、磁盘存储或其它磁性存储设备、或可以用来存储期望信息并且可以被计算机410所 访问的任何其它介质。任何这种计算机存储介质都可以是计算设备410的部分。计算设备410还可以包含允许计算设备410与其它设备进行通信(诸如通过网络 430与其它计算设备进行通信)的通信连接422。通信连接422是通信介质的一个示例。通 信介质通常以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结 构、程序模块或其它数据,并且包括任何信息传送介质。术语“已调制数据信号”指以在信 号中编码信息的方式来设置或改变其一个或多个特性的信号。作为示例,而非限制,通信介 质包括有线介质,诸如有线网络或直接线连接等,还包括无线介质,诸如声学、射频、红外和 其它无线介质。如在此使用的术语计算机可读介质包括存储介质。计算设备410还可以具有输入设备418,诸如键盘、鼠标、输入笔、语音输入设备、 触摸输入设备和/或任何其它输入设备。还可以包括输出设备420,诸如一个或多个显示 器、扬声器、打印机、和/或任何其它输出设备。尽管已按照多个示例性实现描述了本发明,但本领域的普通技术人员应意识到, 本发明并不仅限于所描述的实现,而可以用在所附权利要求书的精神和范围之内的修改和 变化来实施。因此本描述被认为是说明性的,而非限制性的。
权利要求
一种或多种包括设备可执行指令的设备可读介质,所述设备可执行指令用于执行以下步骤接收来自移动用户设备的、访问受保护资源的意图的指示;响应于来自所述移动用户设备的、访问所述资源的意图的指示,请求与所述移动用户设备进行密钥交换;与所述移动用户设备交换一个或多个密钥,其中所述一个或多个密钥提供用户的安全凭证;验证通过所述密钥交换获得的所述一个或多个密钥是否有效;以及如果通过所述密钥交换获得的所述一个或多个密钥有效,则授权对所述受保护资源的访问。
2.如权利要求1所述的一种或多种设备可读介质,其特征在于,所述访问受保护资源 的意图的指示包括被动动作。
3.如权利要求2所述的一种或多种设备可读介质,其特征在于,所述被动动作包括接 近认证设备。
4.如权利要求1所述的一种或多种设备可读介质,其特征在于,所述访问受保护资源 的意图的指示包括明示动作。
5.如权利要求4所述的一种或多种设备可读介质,其特征在于,所述明示动作包括密 钥持有者验证的表示。
6.如权利要求4所述的一种或多种设备可读介质,其特征在于,所述明示动作包括接 触认证设备。
7.如权利要求1所述的一种或多种设备可读介质,其特征在于,所述步骤还包括请求 密钥持有者验证。
8.如权利要求7所述的一种或多种设备可读介质,其特征在于,所述密钥持有者验证 包括个人身份号码。
9.如权利要求7所述的一种或多种设备可读介质,其特征在于,所述密钥持有者验证 包括一系列击键。
10.如权利要求7所述的一种或多种设备可读介质,其特征在于,所述密钥持有者验 证包括姿势。
11.如权利要求7所述的一种或多种设备可读介质,其特征在于,所述步骤还包括验 证所述密钥持有者验证是否有效。
12.如权利要求11所述的一种或多种设备可读介质,其特征在于,授权对所述受保护 资源的访问包括如果密钥和所述密钥持有者验证两者都是有效的,则授权对所述受保护资 源的访问。
13.一种系统,包括无线用户设备,所述无线用户设备包括密钥,所述密钥存储与用户相关联的安全凭证;以及通信地耦合到所述无线用户设备的认证设备,所述认证设备包括保护对一个或多个资 源的访问的锁;所述认证设备识别用户要访问所述一个或多个资源的意图、从所述无线用 户设备获取所述密钥、验证所述密钥是否有效、以及如果所述密钥有效则允许对所述一个或多个资源的访问。
14.如权利要求13所述的系统,其特征在于,还包括通信地耦合到所述认证设备的服 务器,所述服务器在验证了从所述认证设备接收到的安全凭证后允许对附加资源的访问。
15.一种方法,包括触发第一设备上的、保护对资源的访问的锁,其中触发所述锁包括提供访问所述资源 的意图的指示;在第二设备处接收对用于解锁所述锁的密钥的请求;通过安全密钥交换将所述密钥从所述第二设备发送到所述第一设备;以及如果所述密钥有效,则接收对所述资源的访问。
16.如权利要求15所述的方法,其特征在于,触发在第一设备上的、保护对资源的访 问的锁包括进入所述第一设备的邻近范围。
17.如权利要求16所述的方法,其特征在于,还包括离开所述第一设备的邻近范围, 并促使所述锁重新锁定以便防止对所述资源的访问。
18.如权利要求15所述的方法,其特征在于,还包括接收对密钥持有者验证的请求, 并提示用户提供密钥持有者验证。
19.如权利要求18所述的方法,其特征在于,还包括向所述第一设备发送所述密钥持 有者验证。
20.如权利要求19所述的方法,其特征在于,接收对所述资源的访问包括如果所述密 钥和所述密钥持有者验证两者都有效,则接收对所述资源的访问。
全文摘要
在此描述了用于在允许访问受保护资源前对用户进行认证的无线认证系统。认证设备接收访问受保护资源的意图的指示。该认证设备发送对密钥的请求。无线用户设备和认证设备可以进行密钥交换。认证设备确定通过密钥交换所获得的一个或多个密钥是否有效,并且如果该一个或多个密钥有效,则可允许对受保护资源的访问。认证设备可以请求对户身份的进一步验证,诸如密钥持有者验证。如果密钥和密钥持有者验证都有效,则认证设备可以允许对受保护资源的访问。
文档编号H04L9/08GK101933286SQ200780001537
公开日2010年12月29日 申请日期2006年12月13日 优先权日2005年12月13日
发明者D·M·莱赫曼, D·R·汤普森, R·I·桑切斯 申请人:微软公司