通过设备特定的一次性密码向网络认证的制作方法
【专利摘要】一般而言,本发明描述了通过设备特定的一次性的密码向网络认证的方法和系统。在一个实施例中,方法可以包括至少部分地基于多个客户端设备属性,生成第一一次性的密码(OTP);以及,在第一会话过程中,向与私有网络相关联的认证器提供所述第一OTP,其中,所述认证器被配置成基于所提供的第一OTP,为第一会话之后的第二会话向私有网络以及私有网络中所包括的受保护的内容中的至少一项认证客户端设备。
【专利说明】通过设备特定的一次性密码向网络认证
【技术领域】
[0001]本发明涉及向网络认证,更具体而言,涉及通过设备特定的一次性密码向网络认证。
[0002]背景
[0003]许多企业具有私有网络。私有网络可以包括局域网(LAN)和/或企业网络。工作人员可能希望通过诸如因特网之类的公共网络远程访问这些私有网络。存在用于通过公共网络提供对私有网络的访问以及用于通过公共网络在用户的计算设备和私有网络之间提供消息和数据的安全的、加密的传输的技术。一种这样的技术是虚拟私有网络(VPN)。
[0004]私有网络可以被配置成防止未经授权的用户访问私有网络,并只允许被授权的用户访问私有网络和/或存储在私有网络中的信息。识别这样的被授权用户通常依赖于验证用户的身份,即,向网络认证用户。通常,用户可能被要求提供用户名和密码,以便向私有网络认证并访问私有网络。在某些情况下,可能要求用户提供诸如通行码(passcode)之类的附加的认证。
[0005]希望利用计算设备访问私有网络的用户可以使用用户名和密码向计算设备认证,然后,可能被请求利用另一密码以及可能另一用户名向私有网络认证。为确保安全性,密码应该相对频繁地改变。用户必须记住密码或将它们记录下来,供以后检索。没有一种技术特别可靠,且记录的密码可能被用户之外的某人检索,潜在地危及安全性。 【专利附图】
【附图说明】
[0006]随着以下详细描述继续,并且经过参考附图,所要求保护的主题的多个实施例的特征和优点将变得明显,在附图中相似标号描绘相似部件,并且其中:
[0007]图1示出了根据本发明的各实施例的设备特定的一次性密码认证系统;
[0008]图2示出了根据本发明的各实施例的设备特定的一次性密码认证系统的示例性操作的流程图;
[0009]图3示出了根据本发明的实施例的被配置成生成一次性密码的客户端设备的示例性操作的流程图;以及
[0010]图4示出了根据本发明的各实施例的被配置成提供第二认证的设备特定的一次性的密码认证系统的示例性操作的另一流程图。
[0011]虽然下列"详细描述"将参考说明性实施例来进行,但是,许多替代方案、修改以及其变体将对所属领域的技术人员显而易见。
【具体实施方式】
[0012]一般而言,本发明描述了使用一次性的密码(OTP)向私有网络认证的方法和系统。客户端设备被配置成至少部分地基于设备属性来生成一次性的密码。设备属性可以包括,但不仅限于,文件系统属性、设备设置(软件以及硬件两者)、硬件特征以及设备(用户)上下文。[0013]设备属性通常是设备特定的,在另一设备上不可以重复。用于生成OTP的特定设备属性可以是,例如,系统管理员可选择的,如此处所描述的。在当设备连接到私有网络时的会话中,OTP可以由客户端设备生成。OTP然后可以保存在客户端设备上,并提供给与私有网络相关联的认证器。然后,可以使用OTP来在下一会话中向私有网络认证客户端设备。如此,基于在另一设备上不可以重复的设备属性,利用潜在地唯一的随机0ΤΡ,向私有网络认证客户端设备。然后,可以不要求用户记住这样的密码。用户可以向客户端设备认证,然后,客户端设备可以向私有网络认证。
[0014]可以使用会话OTP来向私有网络认证客户端设备。可以类似地使用会话OTP来控制对私有网络中所包括的受保护内容的访问。内容可以包括信息、数据和/或应用。使用会话OTP向私有网络认证的客户端设备可以被配置成提供进一步的认证以访问受保护的内容。进一步的认证可以包括静态会话OTP和/或第二(动态)会话0ΤΡ,如此处所描述的。
[0015]在一个实施例中,可以执行第二认证。在此实施例中,客户端设备可以被配置成在认证时,基于设备属性,生成第二(动态)0ΤΡ。认证器可以被配置成如果第二 OTP在由客户端设备在以前的会话中所提供的保存的OTP的预定的容差内,则确定成功的认证。第二认证被配置成验证生成该存储的会话OTP的客户端设备是正在尝试第二认证的客户端设备。
[0016]例如,可以使用选择的文件系统属性来生成设备特定的会话0ΤΡ。可以基于由例如,系统管理员所定义的预定的规则,选择文件系统属性。在此示例中,所选文件系统属性可以对应于客户端设备中所包括的硬盘的指定的一个或多个区域。所选区域可以是静态的,或可被配置成相对不经常地改变。可以扫描所选区域,并可以捕捉被扫描的区域中存储的数据。然后,可以处理捕捉到的数据,以生成设备特定的0ΤΡ。例如,可以使用被配置成提供所希望的大小的OTP的加密散列函数来处理捕捉到的数据。如此,可以基于设备特定的设备属性,生成设备 特定的0ΤΡ。
[0017]图1示出了根据本发明的各实施例的设备特定的一次性的密码认证系统100。系统100 —般包括客户端设备102、私有网络104以及网络106。私有网络104 —般包括认证服务器“认证器”108、一个或多个服务器140和一个或多个存储设备142。存储设备142可以包括硬盘驱动器和/或其他存储介质,如此处所描述的。认证器108可以被包括在私有网络104中和/或可以与私有网络104(例如,网关)相关联。用户可以使用客户端设备102来通过网络106访问私有网络104。网络106可以是公共网络,例如,因特网。
[0018]客户端设备102可以包括安全存储器110、处理器“CPU”112、存储器114、一个或多个存储设备116和通信模块118。如此处所使用的“客户端设备”表示任何计算设备,包括,但不仅限于,移动电话、智能电话、平板计算机、笔记本计算机、台式计算机、超便携计算机、超移动计算机、上网本计算机、亚笔记本计算机、个人数字助理、企业数字助理、移动因特网设备和类似的设备。CPU112被配置成执行与客户端设备102中的应用和/或模块相关联的操作。存储器114被配置成存储客户端设备102的应用和/或数据。存储设备116可包括硬盘驱动器、可拆卸存储器设备,和/或其他存储介质,如此处所描述的。通信模块118被配置成为客户端设备102提供网络连接。通信设备118可以被配置成使用一个或多个通信协议,以有线或无线方式连接到网络106。
[0019]安全存储器110被配置成限制对包括在安全存储器110内的元件的访问。安全存储器Iio包括安全性引擎120、会话OTP生成器模块122、可以包括会话0TP123的本地会话OTP存储124、会话OTP规则126,并可以包括动态会话0TP128。安全性引擎120被配置成管理安全存储器110,控制对安全存储器110的访问,且可以被配置成执行加密和/或散列操作。
[0020]会话OTP生成器模块122被配置成基于设备属性130和会话OTP规则126,生成第一(静态)会话0TP123。会话OTP生成器122可以进一步被配置成生成第二(动态)会话0TP128,如此处所描述的。可以在当前会话结束紧之前生成静态会话0TP123。然后,可以使用静态会话0TP123来在下一会话中向私有网络104认证客户端设备102。在某些实施例中,静态会话0TP123可以包括被配置成包括静态会话0TP123的到期日期的日期字段。
[0021]会话OTP生成器模块122被配置成扫描客户端设备102,并且基于会话OTP规则126选择多个设备属性。然后,可以由 会话OTP生成器模块122,至少部分地基于会话OTP规则126,有选择地组合、加密和/或散列所选多个设备属性。散列被配置成提供所希望的长度(大小)的会话0ΤΡ。然后,结果可以存储在本地静态会话OTP存储124中,并提供给认证器108,以便存储供以后使用。
[0022]设备属性130包括,但不仅限于,文件系统属性、硬件特征、软件配置设置和用户上下文。文件系统属性包括目录(文件夹)、子目录(子文件夹),文件和文件特定的信息(文件位置、文件名、作者、日期/时间戳、文件大小、文件类型、文件内的字符串、文件统计和/或其他文件特定的信息)和/或其他文件系统属性。硬件特征包括存储器大小、MAC地址、存储设备字符串、图形特性和/或其他硬件特征。用户上下文包括用户(客户端设备102)位置、用户简档、用户生物特征和/或其他用户上下文数据。设备属性103可以包括任何设备特定的属性。如此,设备特定的属性包括不可以在另一设备上重复的多个设备特定的数据。
[0023]会话OTP规则126被配置成定义选择了哪些设备属性,选择的设备属性的数量,并可以被配置成定义散列参数。会话OTP规则126可以由,例如,与私有网络104相关联的系统管理员确定。选择的特定的设备属性和选择的设备属性的数量可以基于所希望的安全性的级别。例如,与选择较小数量的设备属性相比,选择较大数量的设备属性更有可能导致唯-OTP0会话OTP规则126可以包括选择相对不经常改变的至少某些设备属性。会话OTP规则126可以包括至少某些随机功能。随机功能可以被配置成确保每一个所生成的OTP都可能相对于以前或以后所生成的OTP是唯一的。例如,可以随机地选择特定的设备属性。在另一个示例中,选择的设备属性的数量可以是随机的,并可以约束到大于阈值数。如此,可以基于多个设备属性,生成一般的唯一 0ΤΡ。
[0024]例如,如果选择的设备属性包括应用的配置设置,那么,可以使用用户简档属性字符串来生成会话0ΤΡ。可以扫描和捕捉用户简档属性字符串。可以散列捕捉到的数据,以产生会话0ΤΡ。散列参数可以被配置成提供指定大小的会话0ΤΡ。
[0025]所生成的会话0TP123可以存储在客户端设备102中的本地会话OTP存储124中,并可以被提供给认证器108。认证器108被配置成为私有网络104提供认证服务。认证器108包括客户端会话OTP确认模块150和客户端会话OTP存储152,并可以包括动态会话OTP确认模块154和OTP确认规则156。
[0026]客户端会话OTP确认模块150被配置成从客户端设备102接收会话0ΤΡ,例如,第一会话0TP123,并管理确认的客户端会话OTP。会话0TP123被配置成被用来在下一会话认证客户端设备102,如此处所描述的。认证器108被配置成将接收到的会话OTP123存储在客户端会话OTP存储152中,供以后使用。如此,一旦会话OTP已经由客户端设备102生成,所生成的会话0TP123可以存储在客户端设备102的本地会话OTP存储124中,以及认证器108的客户端会话OTP存储152中。
[0027]当用户希望使用客户端设备102访问私有网络104时,用户可以向客户端设备102认证他自己或她本人,然后,客户端设备102可以尝试向私有网络104认证。存储在本地会话OTP存储124中的会话0ΤΡ(“本地会话0ΤΡ”)可以作为认证过程的一部分向认证器108提供。客户端会话OTP确认模块150被配置成接收本地会话0ΤΡ,并将接收到的本地会话OTP与存储在客户端会话OTP存储152中的会话OTP ( “客户端会话0ΤΡ”)进行比较。如果本地会话OTP对应于客户端会话0ΤΡ,那么,客户端设备102可以向私有网络104认证,访问可以被允许。
[0028]当客户端设备102接收到会话结束的指示时,会话OTP生成器模块122被配置成生成新会话0ΤΡ,将新会话OTP存储在本地会话OTP存储124中,并向认证器108提供新会话0ΤΡ。然后,认证器108可以将接收到的新会话OTP存储在客户端会话OTP存储152中,供在下一会话中使用。
[0029]如此,可以在当前会话过程中生成唯一设备特定的会话0ΤΡ,并将其存储,用于在下一会话中向私有网络104认证客户端设备102。可以使用唯一设备特定的会话OTP或另一设备特定的会话0ΤΡ,来认证客户端设备102,用于对私有网络中的受保护的内容的访问。可以基于客户端设备属性130和会话OTP规则126,生成会话0ΤΡ。可以不要求用户记住用于访问私有网络104的常常变化的密码。会话OTP对应于在客户端设备102和私有网络104之间共享的密钥(secret)。 [0030]在某些情况下,可能需要请求第二认证,用于对私有网络104和/或私有网络104中的受保护的内容的访问。这样的第二认证被配置成比只利用第一认证可以获得的安全性相对更高级别的安全性。第二认证被配置成确定,尝试认证的设备是在以前的会话中提供第一会话0TP123的客户端设备102。第一认证可以利用第一(静态)会话OTP来执行,如此处所描述的。然后,第二认证可以利用第二(动态)会话OTP来执行。第一会话OTP可以由客户端设备102生成,存储在客户端设备102中,并提供给认证器108,以便存储,供在下一会话中使用,如此处所描述的。如此,在下一会话之前,第一会话OTP存在于客户端设备102中。第二(动态)会话OTP被配置成在认证尝试时而并非以前的会话中生成。如此,在认证时,基于设备属性生成第二会话0ΤΡ。第二认证被配置成确定,尝试向私有网络认证的设备是提供存储在认证器108中的第一会话0TP123的客户端设备102。
[0031]如果请求了第二(动态)认证(基于策略),则可以基于设备属性130和会话OTP规则126,生成第二动态会话0TP128。用于生成第二(动态)会话0TP128的会话OTP规则126对应于用来生成第一(静态)会话0TP123的会话OTP规则126。换言之,可以使用相同规则来生成第一会话0TP123和第二会话0TP128。类似地,相同设备属性130可以用于生成第一会话0TP123和第二会话0TP128。然而,与设备属性相关联的值可能已经在第一会话0TP123的生成和第二会话0TP128的生成之间改变。例如,文件可能已经被编辑。在另一个示例中,设备设置可能已经改变。在另一个示例中,设备上下文,例如,位置,可能已经改变。如此,当评估第二会话0TP128是否对应于第一会话0TP123时,可以使用容差(即,范围)。如果第二会话OTP128在第一会话OTP123的容差内,那么,可以认为第二认证是成功的。
[0032]动态会话OTP确认模块154被配置成至少部分地基于OTP确认规则156,执行第二认证。OTP确认规则156可以包括要被用于第二确认的容差参数。第二(动态)会话0TP128可以响应于对第二认证的请求而生成。第二会话0TP128可以由会话OTP生成器模块122生成,并提供给认证器108。动态会话OTP确认模块154被配置成接收第二会话0TP128,将第二会话0TP128与来自客户端会话OTP存储152的第一(静态)会话0TP123进行比较,并基于OTP确认规则156,判断第二会话0TP128是否对应于第一(静态)会话0TP123。
[0033]例如,被选为用于生成会话OTP的基础的设备属性可以包括文件系统属性。可以在预定义的范围内的多个随机位置扫描文件系统,并捕捉数据。然后,可以将安全散列应用于扫描的(并捕捉到的)属性,以生成会话0ΤΡ。安全散列可以被配置成产生所希望的大小的会话0ΤΡ。然后,可以将会话OTP提供到认证器108。认证器108可以存储会话0ΤΡ,并可以包括带有存储的会话OTP的时间戳。如果请求第二认证,则可以在相同范围内的多个位置扫描文件系统。可以散列捕捉到的扫描结果,以生成第二(动态)0ΤΡ。可以将第二OTP提供到认证器108。然后,认证器108可以将存储的会话OTP与动态OTP进行比较。由于文件系统属性在生成第一会话OTP和生成第二会话OTP之间可能已经改变,因此,如果第二会话OTP在预定的百分比(例如,90% )内对应于第一会话0ΤΡ,则客户端设备可被确认。
[0034]在另一个示例中,设备属性可以包括时间戳。在此示例中,可以使用硬件属性来生成第一会话OTP和第二会话0ΤΡ。在此示例中,在预定时间间隔内的低于阈值的硬件属性变化可能会导致成功的确认,而 在预定时间间隔内高于阈值的硬件属性变化可能会导致确认失败。
[0035]图2示出了根据本发明的各实施例的设备特定的OTP认证系统的示例性操作的流程图200。流程图200的操作可以由客户端设备(例如,客户端设备102)和/或认证器(例如,认证器108)执行。具体而言,流程图200描绘了根据本发明的被配置成使用设备特定的OTP向私有网络认证客户端设备的示例性操作。
[0036]流程图200的操作可以从用户登录到客户端设备开始202。私有网络访问请求可以在操作204中启动。在操作206中,可以确定在认证器中是否存在有效客户端会话0ΤΡ。如果有效客户端会话OTP不存在于认证器中,则可以在操作208中执行标准用户认证。在操作210中,可以确定标准认证是否成功。如果标准认证不成功,则在操作212中中断连接。如果标准认证成功,则程序流程可以转到操作218,如此处所描述的。
[0037]返回到操作206,如果有效客户端会话OTP存在于认证器中,则可以在操作214中,从客户端设备请求本地会话OTP。在操作216中,可以确定接收到的本地会话OTP是否对应于存储在认证器中的客户端会话0ΤΡ。如果接收到的本地会话OTP不对应于存储的客户端会话0ΤΡ,则可以在操作208中执行标准用户认证。如果本地会话OTP对应于存储的客户端会话0ΤΡ,在操作218中,访问可以被允许,和/或可以请求第二(动态)用户认证,这取决于策略。在操作220中,可以确定会话是否结束。如果会话结束,则在操作222中,可以由客户端设备生成新会话0ΤΡ,并将其提供给认证器。在操作224中,新会话OTP可以由认证器存储作为客户端会话0ΤΡ。然后会话可在操作226结束。
[0038]图3示出了根据本发明的实施例的被配置成生成设备特定的会话OTP的客户端设备的示例性操作的流程图300。流程图300的操作可以由客户端设备(例如,客户端设备102)来执行,并对应于图2的操作222。具体而言,流程图300描绘了被配置成生成会话OTP以便提供到认证器供在下一会话中认证客户端设备的示例性操作。程序流程可以从会话结束302的指示开始。操作304包括检索(捕捉)选择的设备属性。捕捉到的特定的设备属性可以基于会话OTP规则。在操作306中,新会话OTP可以至少部分地基于选择的设备属性和会话OTP规则来生成。操作308包括将新会OTP话存储在客户端设备上的本地会话OTP存储中,并向认证器提供新会话OTP。然后会话可在操作310结束。
[0039]图4示出了根据本发明的一实施例的被配置成提供第二认证的设备特定的OTP认证系统的示例性操作的流程图400。流程图400的操作可以由客户端设备(例如,客户端设备102)和认证器(例如,认证器108)执行。具体而言,流程图400描绘了被配置成使用在认证时基于设备属性所生成的第二(动态)0ΤΡ来执行第二认证的示例性操作。流程图400的操作可以被包括在图2的操作218中。流程图400的操作可以从对第二用户认证402的请求开始。操作404可以包括至少部分地基于选择的设备属性和会话OTP规则来生成第二(动态)会话0ΤΡ。在操作406中,可以将第二(动态)会话OTP提供到认证器。在操作408中,可以确定动态会话OTP是否在预定的容差内对应于存储的客户端会话OTP。如果动态会话OTP不以预定的容差对应于存储的客户端会话0ΤΡ,则在操作410中动态认证可能失败,会话可以在操作412中结束。如果动态会话OTP以预定的容差对应于存储的客户端会话0ΤΡ,则在操作414中动态认证成功,会话可以在操作416中继续。
[0040]如此,可以使用基于多个设备属性和会话OTP规则所生成的会话0ΤΡ,向私有网络和/或受保护的内容认证客户端设备。多个设备属性是对应于设备“指纹”的设备特定的。设备属性可能随着时间而变化,选择用于生成会话OTP的设备属性也可能变化。如此,所生成的每一个会话OTP可以基本上是唯一的,一般是随机的。在当前会话过程中可以生成会话0ΤΡ,用于下一会话的认证。如此,会话OTP可以对应于客户端设备和认证器之间的共享密钥。
[0041]在某些实施例中,第二动态认证可以使用在认证尝试之前所生成的第一会话OTP和在认证尝试过程中所生成的第二会话OTP来执行。第二会话OTP被配置成利用较大的置信水平来验证客户端设备的身份。由于在认证时生成第二会话OTP并且不存储在客户端设备上,因此,第二会话OTP相对来说更安全。由于设备属性在生成第一会话OTP和生成第二会话OTP之间可能已经变化,因此,可以预期第一会话OTP和第二会话OTP之间的某些变化。如此,可以使用容差和/或阈值来解决此变化。
[0042]尽管图2到4示出了根据一实施例的各种操作,但是,可以理解,并非图2至4中所描绘的所有操作都是其他实施例所必需的。实际上,此处完全设想,在本发明的其他实施例中,图到2至4中所描绘的操作和/或此处所描述的其他操作可以以在附图中的任何一个中没有专门示出的,但是仍完全符合本发明的方式组合。如此,涉及未正好在一个附图中示出的特征和/或操作的权利要求被视为在本发明的范围和内容内。
[0043]此处所描述的任何操作都可在包括一个或多个存储介质的系统中实现,一个或多个存储介质上单独或组合地存储有指令,该指令在被一个或多个处理器执行时执行这些方法。这里,处理器可以包括,例如,客户端设备CPU、服务器CPU和/或其他可编程电路。此外,此处所描述的操作还可以跨多个物理设备(诸如一个以上的不同的物理位置处的处理结构)分发。该存储介质可包括任何类型的有形介质,例如包括硬盘、软盘、光盘、紧致盘只读存储器(CD-ROM)、可重写紧致盘(CD-RW)以及磁光盘的任何类型的盘;诸如只读存储器(ROM)、诸如动态和静态RAM之类的随机存取存储器(RAM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、闪存、固体盘(SSD)之类的半导体器件;磁卡或光卡;或适合于存储电子指令的任何类型的介质。其他实施例可以实现为由可编程控制设备执行的软件模块。存储介质可以是非瞬时的。
[0044]尽管前面的内容是作为示例性系统架构和方法来提供的,但是,对本公开的修改也是可以的。例如,存储器,例如,客户端设备存储器114、认证器存储器和/或服务器存储器可以包括下列类型的存储器中的一个或多个:半导体固件存储器、可编程存储器、非易失性存储器、只读存储器、电可编程存储器、随机存取存储器、闪存、磁盘存储器和/或光盘存储器。另选地或另外地,客户端设备存储器114、认证器存储器和/或服务器存储器可以包括其他和/或以后开发的类型的计算机可读取的存储器。
[0045]客户端设备102可以被配置成使用各种通信协议来与网络106和/或私有网络104进行通信。通信协议可以包括,但不仅限于,无线通信协议,诸如W1-F1、3G、4G和/或其他通信协议。通信协议可以符合其他相关的因特网工程任务组(IETF)标准和/或与它们兼容。
[0046]W1-Fi协议可以符合由电气电子工程师学会(IEEE)于2007年3月8日发布的标题为 “IEEE802.ll-2007Standard, IEEE Standard for InformationTechnology-Telecommunications and Information Exchange Between Systems-Localand Metropolitan Area Networks-Specific Requirements-Partll:ffireless LAN MediumAccess Control (MAC) and Physical Layer (PHY) Specifications” 的 802.11 标准,和 / 或此标准的更高版本,或与它们兼容。
[0047]3G协议可以符合由国际电信联盟(ITU)于2000年发布的标题为“MT-2000”的国际移动电信(MT)标准,和/或此标准的更高版本或与它们兼容。4G协议可以符合由ITU于2008发布的标题为“ MT-AdvancedI^頂T标准,和/或此标准的更高版本,或与它们兼容。
[0048] 客户端设备102可以能够使用选择的分组交换网络通信协议来与网络106和/或私有网络104进行通信。一个示例性通信协议可以包括可以能够允许使用传输控制协议/网际协议(TCP/IP)进行通信的以太网通信协议。以太网协议可以符合由电气电子工程师学会(IEEE)于2002年3月发布的标题为“IEEE802.3标准”和/或此标准的更高版本或与它们兼容。另选地或另外地,客户端设备102可以能够使用X.25通信协议来与网络106和/或私有网络104进行通信。X.25通信协议可以符合由国际电信联盟-电信标准化部门(ITU-T)发布的标准或与其兼容。另选地或另外地,客户端设备102可以能够使用帧中继通信协议来与网络106和/或私有网络104进行通信。帧中继通信协议可以符合由国际电报电话咨询委员会(CCITT)和/或美国国家标准协会(ANSI)发布的标准或与其兼容。另选地或另外地,客户端设备102可以能够使用异步传输模式(ATM)通信协议来与网络106和/或私有网络104进行通信。ATM通信协议可以符合由ATM论坛在20018月发布的标题为“ATM-MPLS网络交互1.0”的ATM标准,和/或此标准的更高版本或与它们兼容。当然,不同的和/或以后开发的面向连接的网络通信协议也是同样地设想的。[0049]如本文所描述的任何实施例中所使用,“电路”可单独或以任何组合包括例如存储可由可编程电路执行的指令的硬连线电路、可编程电路、状态机电路和/或固件。如此处的任何实施例中所使用的,应用和/或模块可以作为电路来实现。电路可以作为诸如集成电路芯片之类的集成电路来实现。
[0050]如此,描述了使用设备特定的会话OTP向私有网络认证的方法和系统。客户端设备被配置成至少部分地基于设备属性来生成会话0ΤΡ。会话OTP可以由客户端设备在当设备连接到私有网络时的会话过程中生成。然后,会话OTP可以存储在客户端设备上,并提供给与私有网络相关联的认证器。然后,可以使用会话OTP来在下一会话中向私有网络认证客户端设备。在一个实施例中,可以执行第二认证。在此实施例中,客户端设备可以被配置成在认证时,基于设备属性,生成第二(动态)0ΤΡ。在此实施例中,认证器可以被配置成如果第二 OTP在由客户端设备在以前的会话中所提供的保存的OTP的预定的容差内,则确定成功的认证。
[0051]如此,基于设备属性,利用潜在地唯一的随机0ΤΡ,向私有网络认证客户端设备。然后,用户可以不要求记住这样的密码。用户可以向客户端设备认证,然后,客户端设备可以向私有网络认证。第二认证被配置成提供不依赖于存储在客户端设备上的会话OTP的相对来说更加健壮的认证。
[0052]根据一个方面,提供了一种方法。该方法可以包括至少部分地基于多个客户端设备属性,生成第一一次性的密码(OTP);以及,在第一会话过程中,向与私有网络相关联的认证者提供所述第一 0ΤΡ,其中,所述认证者被配置成基于所提供的第一 0ΤΡ,为所述第一会话之后的第二会话向所述私有网络以及所述私有网络中所包括的受保护的内容中的至少一项认证所述客户端设备。 [0053]根据另一方面,提供了一种系统。系统可以包括客户端设备和认证器。所述客户端设备被配置成至少部分地基于多个客户端设备属性,生成第一一次性的密码(OTP),在第一会话过程中,向与私有网络相关联的所述认证器提供所述第一 0ΤΡ,以及,所述认证器被配置成基于所提供的第一 0ΤΡ,为所述第一会话之后的第二会话向所述私有网络以及所述私有网络中所包括的受保护的内容中的至少一项认证客户端设备。
[0054]根据另一方面,提供了一种系统。该系统包括单独或组合地存储指令的一个或多个存储介质,所述指令在被一个或多个处理器执行时导致以下操作,所述操作包括:至少部分地基于多个客户端设备属性,生成第一一次性的密码(OTP);以及,在第一会话过程中,向与私有网络相关联的认证者提供所述第一 0ΤΡ,其中,所述认证者被配置成基于所提供的第一 0ΤΡ,为所述第一会话之后的第二会话向所述私有网络以及所述私有网络中所包括的受保护的内容中的至少一项认证客户端设备。
[0055]此处所使用的术语和表达被用作描述的术语,在使用这样的术语和表达时,没有排除所示出的和所描述的特征的任何等效内容(或其某些部分),应该认识到,在权利要求书的范围内,各种修改都是可以的。相应地,权利要求书旨在涵盖所有这样的等效内容。
【权利要求】
1.一种方法,包括: 至少部分地基于多个客户端设备属性,生成第一一次性的密码(OTP);以及, 在第一会话过程中,向与私有网络相关联的认证器提供所述第一 0ΤΡ, 其中,所述认证器被配置成基于所提供的第一 0ΤΡ,为所述第一会话之后的第二会话向所述私有网络以及所述私有网络中所包括的受保护的内容中的至少一项认证所述客户端设备。
2.如权利要求1所述的方法,还包括: 至少部分地基于所述多个客户端设备属性,生成第二 0ΤΡ,其中,当所述客户端设备正在为所述第二会话向所述私有网络认证时,生成所述第二 0ΤΡ,且所述第二 OTP被配置成提供辅助认证。
3.如权利要求1所述的方法,还包括: 在所述客户端设备中存储所述第一 OTP ;以及 将所述存储的第一 OTP与提供给所述认证器的所述第一 OTP进行比较,其中,如果所述存储的第一 OTP对应于提供给所述认证器的所述第一 0ΤΡ,则所述客户端设备通过了向所述私有网络的认证。
4.如权利要求2所述的方法,还包括: 将所述第一 OTP与所述第二 OTP进行比较,其中,如果所述第一 OTP在所述第二 OTP的容差内,则所述客户端设备通过了向所述私有网络的认证。
5.如权利要求1所述的方法,还包括: 基于预定的OTP规则,选择所述多个设备属性。
6.如权利要求1所述的方法,其特征在于,所述生成所述第一OTP包括向所述多个设备属性应用安全散列。
7.如权利要求1到6中任一权利要求所述的方法,其特征在于,所述客户端设备属性包括文件系统属性、硬件特征、软件配置设置以及用户上下文中的至少一项。
8.一种系统,包括: 客户端设备;以及 认证器, 其中,所述客户端设备被配置成至少部分地基于多个客户端设备属性,生成第一一次性的密码(OTP),并且在第一会话过程中,向与私有网络相关联的所述认证器提供所述第一0ΤΡ,以及,所述认证器被配置成基于所提供的第一 0ΤΡ,为所述第一会话之后的第二会话向所述私有网络以及所述私有网络中所包括的受保护的内容中的至少一项认证所述客户端设备。
9.如权利要求8所述的系统,其特征在于,所述客户端设备进一步被配置成至少部分地基于所述多个客户端设备属性,生成第二 0ΤΡ,当所述客户端设备正在为所述第二会话向所述私有网络认证时,生成所述第二 0ΤΡ,且所述第二 OTP被配置成提供辅助认证。
10.如权利要求8所述的系统,其特征在于,所述客户端设备进一步被配置成存储所述第一 0ΤΡ,并且所述认证器进一步被配置成将存储在所述客户端设备中的所述第一 OTP与提供给所述认证器的所述第一 OTP进行比较,如果所述存储的第一 OTP对应于提供给所述认证器的所述第一 0ΤΡ,则所述客户端设备通过了向所述私有网络的认证。
11.如权利要求9所述的系统,其特征在于,所述认证器进一步被配置成将所述第一OTP与所述第二 OTP进行比较,如果所述第一 OTP在所述第二 OTP的容差内,则所述客户端设备通过了向所述私有网络的认证。
12.如权利要求8所述的系统,其特征在于,所述客户端设备进一步被配置成基于预定的OTP规则,选择所述多个设备。
13.如权利要求8到12中的任何一个所述的系统,其特征在于,所述客户端设备属性包括文件系统属性、硬件特征、软件配置设置以及用户上下文中的至少一项。
14.一种系统,包括单独或组合地存储指令的一个或多个存储介质,所述指令在被一个或多个处理器执行时导致以下操作,所述操作包括: 如权利要求1到6中的任一权利要求所述的方法的操作。
15.如权利要求14所述的系统,其特征在于,所述客户端设备属性包括文件系统属性、硬件特征、软件配置设置 以及用户上下文中的至少一项。
【文档编号】H04L9/32GK104025504SQ201180075982
【公开日】2014年9月3日 申请日期:2011年12月27日 优先权日:2011年12月27日
【发明者】J·S·巴卡, H·李, T·M·科兰伯格, D·斯塔纳索洛维奇, M·H·普莱斯, S·J·伯克尔, K·W·利斯, R·塔弗亚 申请人:英特尔公司