专利名称:对于受限资源的安全访问的制作方法
对于受限资源的安全访问
背景技术:
许多公司使用诸如令牌设备的安全设备,以管理对它们的受限资 源的访问。公司将令牌设备发给其雇员和/或客户。令牌设备生成随时 间(例如,每l分钟)改变的号码。公司的服务器也生成跟踪由这些令 牌设备生成的号码的号码。由公司的服务器生成的号码在时间上与由 令牌设备生成的号码同步。
当用户试图获得对该公司的受限资源的访问权时,用户将在其令 牌设备上当前所示的号码提供给公司的服务器,并且提供个人识别号
码(PIN)。该公司的服务器基于用户提供的号码与它所生成的号码匹 配以及用户的PIN来管理对受限资源的访问。
令牌设备是昂贵的。虽然每个令牌设备本身可能不太昂贵,但是 当为公司所有雇员和/或客户购买令牌设备时,它就变得昂贵了。而且, 令牌设备需要周期性地更换(例如,每三年)。因此,令牌设备成为 持续性的开支。而且,如果雇员/客户丢失或忘记了其令牌设备,则雇 员/客户就无法访问该公司的受限资源。
图l是图示此处所描述的概念的示例性视图2是其中可以实现此处所描述的系统和方法的网络的示例性视
图3是可以与图2的电话设备、服务提供商服务器、计算机设备和/ 或认证服务器中的一个或多个相对应的设备的示例性视图4是用于选择性地提供对受限资源的访问权的示例性过程的流
程图;图5A-5B是图示图4的过程的部分的电话设备的示例性视图; 图6是图示图4的过程的部分的计算机设备的示例性视图7是其中可以实现此处所描述的系统和方法的另一网络的示例 性视图;以及
图8是其中可以实现此处所描述的系统和方法的又一网络的示例 性视图。
具体实施例方式
下列具体描述参考了附图。在不同附图中相同的附图标记可以表 示相同或类似的元件。而且,下列详细描述并不限制本发明。
此处所描述的实施方式可以便于对受限资源的选择性访问。图1 是图示此处所描述的概念的示例性视图。如图1所示,用户可以使用 蜂窝电话来联系服务提供商。用户可以使用例如识别该用户的蜂窝电 话(例如,呼叫方识别(ID))的信息以及可能的密码(例如,任何 字母、数字和/或符号的组合)向服务提供商认证自身。如果用户被适 当地认证,则服务提供商可以提供可以在蜂窝电话的显示器上显示的 访问号码。用户可以将该访问号码输入提供对受限资源的访问权的计
算机设备的用户界面中。该访问号码可以用于认证该用户,并且提供 对受限资源的选择性访问权。
图2是其中可以实现此处所描述的系统和方法的网络200的示例 性视图。网络200可以包括经由网络230连接至服务提供商服务器220 的电话设备210,以及经由网络270连接至认证服务器250和受限资源 260的计算机设备240。出于简明目的,单个电话设备210、服务提供 商服务器220、计算机设备240、认证服务器250以及受限资源260已 经被图示为连接至网络230和270。在实践中,可以存在更多或更少的 电话设备、服务提供商服务器、计算机设备、认证服务器和/或受限资而且,在单个设备中实现电话设备210、服务提供商服务器220、
计算机设备240、认证服务器250和/或受限资源260的某种组合是可 能的。例如,电话设备210和计算机设备240可以被实现为单个设备, 认证服务器250和受限资源260可以被实现为单个设备,和/或计算机 设备240和受限资源260可以被实现为单个设备。
电话设备210可以包括任何类型或形式的通信设备,诸如蜂窝电 话、无绳电话、有线电话、卫星电话、无线电话、智能电话等。用户 可以使用电话设备210来联系服务提供商服务器220。
服务提供商服务器220可以包括能够经由网络230和网络270通 信的设备,诸如计算机系统。在一个实施例中,服务提供商服务器220 可以被实现为单个设备。在另一实施例中,服务提供商服务器220可 以被实现为位于同地或相互远离的多个设备。
计算机设备240可以包括任何类型或形式的计算或通信设备,诸 如个人计算机、膝上型计算机、个人数字助理(PDA)等。计算机设 备240的用户可以试图经由认证服务器250获得对受限资源260的访 问权。认证服务器250可以包括能够关于受限资源260的选择性访问 而认证用户的设备,诸如计算机系统。在一个实施例中,认证服务器 250可以基于来自服务提供商服务器220的访问号码来允许对受限资源 260的访问。受限资源260可以包括可以控制对其的访问的任何类型或 形式的资源,诸如专用网络(例如,公司内部网络)、设备(例如, 计算机、存储设备或外围设备)、数据(例如,与用户的账户或简档 相关联的数据)或软件(例如,电子邮件应用、文字处理程序或操作 系统)。
网络230可以包括电话网络(诸如蜂窝网络、公共交换电话网络 (PSTN))或网络的组合。网络270可以包括局域网(LAN)、广域 网(WAN)、诸如PSTN或蜂窝网络的电话网络、内部网络、因特网或网络的组合。网络230和网络270被实现为相同网络是可能的。
图3是可以与电话设备210、服务提供商服务器220、计算机设备 240和/或认证服务器250中的一个或多个相对应的设备。该设备可以 包括总线310、处理器320、主存储器330、只读存储器(ROM) 340、 存储设备350、输入设备360、输出设备370以及通信接口 380。总线 310可以包括允许在该设备的元件之间通信的路径。
处理器320可以包括处理器、微处理器或可以解释和执行指令的 处理逻辑。主存储器330可以包括随机访问存储器(RAM)或可以存 储供处理器320执行的信息和指令的另一类型的动态存储设备。ROM 340可以包括ROM设备或可以存储供处理器320使用的静态信息和指 令的另一类型的静态存储设备。存储设备350可以包括磁和/光记录介 质及其相应的驱动器。
输入设备360可以包括允许操作员将信息输入该设备的机构,诸 如键盘、鼠标、笔、语音识别和/或生物量测机制等。输出设备370可 以包括将信息输出给操作员的机制,包括显示器、打印机、扬声器等。 通信接口 380可以包括任何类似收发器的机制,该机构使得该设备能 够与其他设备和/或系统通信。例如,通信接口 380可以包括用于经由
诸如网络230或270的网络与另一设备或系统通信的机制。
如以下将详细描述的,图3所示的设备,如此处所描述的,可以 执行与获取对受限资源260的选择性访问权相关的某些操作。该设备 可以响应于处理器320执行在诸如存储器330的计算机可读介质中包 含的软件指令来执行这些操作。计算机可读介质可以被定义为物理或 逻辑存储设备和/或载波。
软件指令可以从诸如数据存储设备350的另一计算机可读介质或 经由通信接口 380从另一设备读入存储器330中。在存储器330中包
10含的软件指令可以使得处理器320执行将在下文描述的过程。替代地, 硬线电路可以取代软件指令或结合软件指令来使用,以实现此处所描 述的过程。因此,此处所描述的实施方式不限于硬件电路和软件的任 何特定组合。
图4是用于选择性地提供对受限资源的访问权的示例性过程的流
程图。在一种实施方式中,图4的过程可以由在电话设备210、服务提 供商处理器220、计算机设备240、认证服务器250或电话设备210、 服务提供商处理器220、计算机设备240和认证服务器250的组合中的 一个或多个软件和/或硬件组件来执行。图5A-5B是图示图4的过程的 部分的电话设备的示例性视图。图6是图示图4的过程的部分的计算 机设备的示例性视图。
处理可以从发起对预定电话号码的电话呼叫开始(框410)。例 如,如图5A所示,用户可以将与服务提供商服务器220相关联的电话 号码输入电话设备210中。当由用户指示时,电话设备210可以呼叫 服务提供商服务器220。
电话呼叫可以被接收,并且用户可以被认证(框420和430)。 例如,基于与电话设备210相关联的独特(unique)电话识别信息,诸 如呼叫方ID信息,国际移动用户身份(IMSI)信息或对于电话设备210 独特的其他信息,服务提供商服务器220可以识别该用户。基于特定 于该用户的用户识别信息,诸如密码或生物量测数据(例如,语音信 号),服务提供商服务器220可以识别电话设备210的用户。例如, 服务提供商服务器220可以要求该用户提供用户识别信息,并且可以 将该用户识别信息与先前与电话设备210相关联的识别信息相比较。 多个用户与相同电话设备210相关联是可能的。在该情形下,服务提 供商服务器220可以使用由用户提供的用户识别信息来确定该用户是 否是这些用户中的一个,以及如果是,则是哪一个。如果用户未被适当地认证,那么该呼叫可以被断开连接。然而, 如果用户被适当地认证,则可以将访问号码提供给电话设备210和认
证服务器250 (框440)。例如,服务提供商服务器220可以包括硬件 或软件访问号码生成器,该生成器被配置成生成预定长度的随机字符 串(例如,数字、字母和/或符号的任何组合)以用作访问号码。在一 种实施方式中,该访问号码可以包括嵌入其中的用户识别信息(或可 能是电话识别信息)。在该情形下,可以生成随机字符串,并且然后, 该字符串可以被修改以嵌入用户识别信息。用户识别信息可以以认证
服务器250已知的方式嵌入,以便认证服务器250能够根据访问号码 确定用户识别信息。
以不可再现的不可预测的方式生成访问号码是有益的(例如,通 过黑客方式)。该访问号码可以具有某个到期时间(例如,1分钟、5
分钟、30分钟等),该到期时间指示该访问号码何时到期。为了安全 目的,较短的到期时间与较长的到期时间相比更为有利。而且,该访 问号码可以被设计成一次性使用,以便该访问号码可以一旦使用立即 到期。
服务提供商服务器220可以将访问号码发送至电话设备210。在 一种实施方式中,如图5B所示,服务提供商服务器220可以在用于在 电话设备210的显示器上呈现的消息中发送访问号码。服务提供商服 务器220也可以将相同的访问号码发送至认证服务器250。在一种实施 方式中,服务提供商服务器220可以在消息中将访问号码连同关于用 户的信息一起发送至认证服务器250。认证服务器250可以使用该用户 信息,以将随后的用户访问尝试与从服务提供商服务器220接收到的 消息(以及因此,访问号码)相匹配。
在某个点,认证服务器250可以被联系(框450)。例如,如图6 所示,用户可以访问与计算机设备240或认证服务器250相关联的用 户界面。在一种实施方式中,用户可以使用例如在计算机设备240上设置的网络浏览器来访问用户界面。在另一实施方式中,在启动计算 机设备240之后,可以自动向用户呈现用户界面。
可以将访问号码呈现到认证服务器250 (框460)。例如,认证服 务器250可以请求各种信息,以适当地认证该用户。在一种实施方式 中,如图6所示,认证服务器250可以基于用户的用户名(例如,Billy West)以及访问号码(例如,46A9B39P)来认证该用户。如果访问号 码包括嵌入其中的用户识别信息(或电话识别信息),则认证服务器 250可以基于用户名、访问号码以及用户识别信息来认证该用户。
为了提供进一步的安全性,认证服务器250可以基于用户名、访 问号码以及一条或多条附加信息来认证该用户,诸如对于用户独特的 密码、对于用户独特的生物量测信息、对于一组用户独特的密码(例 如,相同公司的雇员)、对于由用户使用的计算机设备240独特的地 址或可以独特地或半独特地识别用户的某种其他信息。
访问号码可以以多种方式提供给认证服务器250。例如,用户可 以使用诸如键盘的输入设备来输入访问号码。替代地,访问号码可以 经由有线或无线连接直接或间接地从电话设备210传送至计算机设备 240。
用户可以基于访问号码被认证(框470)。例如,如上所述,认 证服务器250可以从用户搜集信息,并且认证该用户。在一种实施方 式中,如上所述,认证服务器250可以基于用户名和有效访问号码来 适当地认证该用户。当访问号码与从服务提供商服务器220接收到的 访问号码相匹配,并且该访问号码在到期之前被接收到时,该访问号 码可以被认为有效。在另一实施方式中,如上所述,认证服务器250 可以使用附加信息来适当地认证该用户。在访问号码使用之后,认证 服务器可以立即使之到期。在该情形下,如果用户随后试图使用相同 访问号码向认证服务器认证,则认证服务器250将不会适当地认证该用户,因为该访问号码将被识别为无效。
可以提供对受限资源260的选择性访问权(框480)。例如,如 果认证服务器250无法适当地认证该用户,那么认证服务器250可以 拒绝用户对受限资源260的访问。在该情形下,用户可能需要再次呼 叫服务提供商服务器220,以获取新的访问号码(例如,框410)。如 果认证服务器250适当地认证了该用户,那么认证服务器250可以授 予用户对受限资源260的访问权。在该情形下,认证服务器250可以 将消息发送至受限资源260,或管理对受限资源260的访问的另一设备
(例如,防火墙、网关等),以允许该用户的访问权。基于与受限资 源260相关联的策略,用户对受限资源260的访问权可以是不受限的
(例如,允许对受限资源260的任何部分的不受限访问)或受限的(例 如,仅允许对受限资源260的某个(些)部分的访问)。
在一个替代实施方式中,由服务提供商服务器220提供的访问号 码可以不包括嵌入其中的用户识别信息(或电话识别信息)。在该情 形下,认证服务器250可以基于用户名、访问号码以及诸如密码或生 物量测数据的对于用户独特的其他信息来认证用户。
在又一实施方式中,服务提供商服务器220可以仅基于电话识别 信息来认证用户。在该情形下,认证服务器250可以基于用户名、访 问号码以及诸如密码或生物量测数据的对于用户独特的其他信息来认 证该用户。
图7是其中可以实现此处所描述的系统和方法的另一网络700的 示例性视图。网络700可以包括经由网络230连接至服务提供商服务 器220的电话设备210,以及经由网络270连接至受限资源710-730的 计算机设备240。电话设备210、服务提供商服务器220、网络230、 计算机设备240以及网络270可以被配置成与关于图2描述的相同元 件类似。
14虽然在图7中未示出认证服务器250,但是可以假定对于每个公
司或每个受限资源(未示出)都存在认证服务器。替代地,认证服务
器的功能可以嵌入受限资源710-730中。
如关于图2所描述的,受限资源710-730中的每个可以被配置成 与受限资源260类似。虽然在图7中示出了三个受限资源710-730,但 是在实践中,可以存在更多或更少的受限资源。然而,假定在网络700 中受限资源710-730与不同法律实体(例如,公司)相关联。如图7 所示,受限资源710可以与公司A相关联,受限资源720可以与公司 B相关联,并且受限资源730可以与公司C相关联。公司A-C中的每 个可以预订由服务提供商服务器220提供的认证服务。
在该情形下,使用与关于图4的上述过程类似的过程,可以选择 性地向用户提供对受限资源710-730的任何一个的访问权。结果,服务 提供商服务器220能够将一个公司的受限资源的用户交叉认证至另一 公司。这可以创建信赖相同认证源(例如,服务提供商服务器220)的 公司团体。这也可以允许交叉促销,以便公司A可以向公司C促销, 使得公司C的客户可以使用他们当前对公司C所使用的相同认证程序 来获得对公司A的受限资源的快速和安全访问权。
当用户访问服务提供商服务器220以获取访问号码时,服务提供 商服务器220可以确定用户与哪一个或一些公司相关联。例如,用户 可以既是公司A也是公司B的客户。在该情形下,当服务提供商服务 器220将访问号码发送至用户时,服务提供商服务器220也可以将该 访问号码提供至这两个公司,预期用户试图获得对与这两个公司中的 一个相关联的受限资源的访问权。替代地,服务提供商服务器220可 以识别用户与多个公司相关联,并且要求该用户选择该用户随后试图 访问受限资源的公司中的 一 个。图8是其中可以实现此处所描述的系统和方法的又一网络800的 示例性视图。网络800可以包括经由网络230连接至服务提供商服务 器220并且经由网络270连接至认证服务器250和受限资源260的用 户设备810。服务提供商服务器220、网络230、认证服务器250、受 限资源260和网络270可以被配置成与关于图2描述的相同元件类似。
用户设备810可以包括任何类型的通信或计算设备,诸如与电话 设备210类似的电话设备、与计算机设备240类似的计算机设备或将 电话设备和计算机设备的一些方面组合的设备。在网络800中,用户 设备800可以不仅用于从服务提供商服务器220接收访问号码,而且 用于使用该访问号码来访问受限资源260。换言之,用户设备810可以 联系服务提供商服务器220,以获取访问号码。用户设备810可以随后 联系认证服务器250,并且使用该访问号码来获得对受限资源260的访 问权。在这些实施方式中,独立的电话设备和计算机设备可以不是必 需的。
此处所描述的实施方式可以提供一种用于向用户提供对受限资源 的访问权的安全技术。
前面的描述提供了图示和描述,但并不意在穷尽或将本发明限于 所公开的确切形式。各种修改和变更鉴于上述教导是可能的,或可以 从本发明的实践中获取。
例如,虽然已经关于图4描述了一系列动作,但是在其他实施方 式中,可以修改这些动作的顺序。而且,可以并行地执行非依附性动 作。
而且,虽然已经描述了用户经由电话呼叫从服务提供商服务器220 接收访问号码,但是并不必然是这种情形。在另一实施方式中,用户 可以经由诸如即时消息的文本消息或另一可靠、快速的通信形式来接收该访问号码。
而且,已经描述了经由认证服务器获得对受限资源的访问权。在 另一实施方式中,服务提供商可以作为用于该受限资源的代理服务器 而操作,以便用户可以通过该服务提供商服务器获得对该受限资源的 访问权。
显而易见,如上所述,这些系统和方法可以以在图中所示的实现
中的软件、固件和硬件的不同形式来实现。用于实现这些系统和方法
的实际软件代码或专用控制硬件不限制本发明。因此,在没有参考具 体软件代码的情况下描述了这些系统和方法的操作和性能,应当理解,
软件和控制硬件可以被设计成实现基于此处的描述的系统和方法。
除非另有明确描述,在本申请中所使用的元件、动作或指令都不 应当被解释为对本发明是关键的或必要的。而且,如在此处所使用的, 不加数量词的项意在包含一个或多个项。在仅指一个项的情况下,使 用术语"一个"或类似语言。而且,除非另有明确说明,短语"基于" 意在表示"至少部分地基于"。
权利要求
1.一种方法包括从用户接收电话呼叫;认证所述用户;当所述用户被认证时,生成访问号码;以及将所述访问号码发送至所述用户和认证服务器,以便基于发送至所述用户的所述访问号码和发送至所述认证服务器的所述访问号码来管理对受限资源的访问。
2. 根据权利要求l所述的方法,其中,所述用户使用电话设备进 行所述电话呼叫;以及其中,认证所述用户包括 确定与所述电话设备相关联的第一识别信息, 确定与所述用户相关联的第二识别信息,以及 基于所述第一识别信息和所述第二识别信息,认证所述用户。
3. 根据权利要求2所述的方法,其中,确定与所述电话设备相关联的第一识别信息包括确定呼叫方识别(ID)信息或国际移动用户身份信息中的至少一个。
4. 根据权利要求2所述的方法,其中,确定与所述用户相关联的 第二识别信息包括从所述用户接收密码或生物量测数据中的至少一个。
5. 根据权利要求2所述的方法,其中,生成访问号码包括生成随机字符串,以及将所述第一识别信息或所述第二识别信息中的一个嵌入所述随机 字符串中,作为所述访问号码。
6. 根据权利要求l所述的方法,进一步包括当所述用户未被认证时,在没有将所述访问号码发送至所述用户 的情况下,使所述电话呼叫断开连接。
7. 根据权利要求l所述的方法,其中,生成所述访问号码包括 生成预定长度的随机字符串作为所述访问号码。
8. 根据权利要求l所述的方法,其中,生成所述访问号码包括 生成具有指示所述访问号码何时到期的到期时间的预定长度的随机字符串作为所述访问号码。
9. 根据权利要求l所述的方法,进一步包括确定所述用户与多个公司相关联,所述公司中的每个包括相应的 认证服务器;以及其中,发送所述访问号码包括将所述访问号码传送至与所述多个公司相对应的所述认证服务器。
10. —种系统,包括 服务提供商,用于 从用户接收电话呼叫; 认证所述用户;当所述用户被认证时,生成访问号码;以及将所述访问号码提供给所述用户作为第一访问号码,并且提供给 认证服务器作为第二访问号码,以便基于所述第一访问号码和所述第 二访问号码来管理对受限资源的访问。
11. 根据权利要求10所述的系统,其中,所述用户使用电话设备 进行所述电话呼叫;以及其中,当认证所述用户时,所述服务提供商服务器被配置成 确定与所述电话设备相关联的第一识别信息, 确定与所述用户相关联的第二识别信息,以及 基于所述第一识别信息和所述第二识别信息,认证所述用户。
12. 根据权利要求ll所述的系统,其中,所述第一识别信息包括 呼叫方识别(ID)信息或国际移动用户身份信息中的至少一个。
13. 根据权利要求ll所述的系统,其中,所述第二识别信息包括 与所述用户相关联的密码或生物量测数据中的至少一个。
14. 根据权利要求ll所述的系统,其中,当生成所述访问号码时, 所述服务提供商被配置成生成随机字符串,以及将所述第一识别信息或所述第二识别信息中的一个嵌入所述随机 字符串中,作为所述访问号码。
15. 根据权利要求10所述的系统,其中,所述访问号码包括具有 指示所述访问号码何时到期的到期时间的预定长度的随机字符串。
16. 根据权利要求10所述的系统,其中,所述认证服务器被配置成从所述用户接收所述第一访问号码, 确定所述第一访问号码是否有效,将所述第一访问号码和所述第二访问号码相比较,以及 当所述第一访问号码有效并且所述第一访问号码与所述第二访问 号码匹配时,确定所述用户被允许访问所述受限资源。
17. 根据权利要求16所述的系统,其中,所述访问号码具有指示 所述访问号码何时到期的到期时间;以及其中,当确定所述第一访问号码是否有效时,所述认证服务器被 配置成当所述第一访问号码尚未到期时,确定所述第一访问号码有效。
18. —种系统,包括 认证服务器,用于 从服务提供商接收第一访问号码;从用户接收第二访问号码,所述第二访问号码经由电话呼叫从所 述服务提供商被提供给所述用户;确定所述第二访问号码是否有效;将所述第一访问号码和所述第二访问号码相比较;以及 基于所述第二访问号码是否有效以及所述第一访问号码和所述第二访问号码的所述比较的结果,向所述用户提供对受限资源的选择性访问权。
19. 根据权利要求18所述的系统,其中,所述第二访问号码具有 指示所述第二访问号码何时到期的至lj期时间;以及其中,当确定所述第二访问号码是否有效时,所述认证服务器被 配置成当所述第二访问号码尚未到期时,确定所述第二访问号码有效。
20. 根据权利要求18所述的系统,其中,当提供对所述受限资源 的选择性访问权时,所述认证服务器被配置成当所述第二访问号码有 效并且所述第一访问号码匹配所述第二访问号码时,确定所述用户被 允许访问所述受限资源。
21. 根据权利要求18所述的系统,其中,所述认证服务器进一步 被配置成在基于所述第二访问号码提供了对所述受限资源的选择性访 问权之后,使所述第二访问号码到期。
22. 根据权利要求18所述的系统,其中,当提供对所述受限资源 的选择性访问权时,所述认证服务器被配置成当所述用户被允许访问所述受限资源时,将消息发送至所述受限资源或管理对所述受限资源 的访问的设备,所述受限资源或设备授予所述用户对所述受限资源的 访问权。
23. —种系统,包括 用于生成访问号码的装置;用于经由电话呼叫将所述访问号码提供至用户的装置; 用于将所述访问号码提供至认证服务器的装置;以及 用于基于提供给所述用户的所述访问号码以及提供给所述认证服 务器的所述访问号码来管理所述用户对受限资源的访问的装置。
全文摘要
一种系统可以生成访问号码,将该访问号码经由电话呼叫提供给用户,并且将该访问号码提供给认证服务器。该系统可以基于提供给用户的访问号码和提供给认证服务器的访问号码来管理用户对受限资源的访问。
文档编号H04L9/00GK101611588SQ200780043423
公开日2009年12月23日 申请日期2007年11月20日 优先权日2006年11月22日
发明者亚历山大·菲诺格诺夫 申请人:威瑞森全球商务有限责任公司