安全授权系统和方法
【专利说明】安全授权系统和方法
[0001]相关申请
本申请遵照 35 U.S.C.§ 119(e)要求题为 “SECURE AUTHORIZAT1N SYSTEMS ANDMETHODS”的并且于2013年5月23日提交的美国临时专利申请N0.61/826,613的优先权的利益,该美国临时专利申请的内容被在其整体上通过引用而合并到此。
[0002]版权授权
该专利文献的公开的部分可以包含受到版权保护的材料。版权拥有者不反对由任何人对专利文献或专利公开进行传真复制,因为其出现在美国专利和商标局专利文件或记录中,但是另外地无论如何都保留所有版权权利。
【发明内容】
[0003]用户鉴权技术可以用在各种应用中。例如,在提供对资源的访问之前,用户鉴权处理可以允许管理资源(诸如在线服务)的计算机系统验证用户有权利访问资源(例如,通过在允许对敏感数据的用户访问之前和/或在允许用户对数据执行敏感操作之前验证用户的身份等,如具有在线或销货点金融交易、提供对金融记录、个人记录、机密记录、商业记录或医疗记录(以及/或者类似物等)的访问的情况下那样)。相似地,可以关于物理访问或存货控制系统使用用户鉴权,允许对用户的基于所表明的对特定标识证书的拥有而对于在物理上访问受保护的区域和/或存货的权利(例如,对建筑和/或建筑内的区域(或类似物等)访问、对医院内的医疗供应存货柜的访问等)进行确认。
[0004]在此所公开的系统和方法使用单次密码(“0ΤΡ”)鉴权处理来促进安全用户鉴权。与所公开的实施例一致的0TP鉴权处理可以使用随着时间经过而改变和/或对于单次鉴权交易而言和/或对于特定时间段而言有效的密码、密钥和/或其它合适的证书。在特定实施例中,可以在用户希望从事鉴权交易的时间基于随机处理和/或伪随机处理而生成与所公开的0ΤΡ鉴权处理有关地使用的密码、密钥和/或其它合适的证书。除了其它方面以外,与在此所公开的实施例一致的0ΤΡ鉴权处理还优于静态密码鉴权处理而可以提供特定的益处,包括增加的免遭来自恶意方的重放攻击的保护。
[0005]在特定实施例中,用户可以与所公开的0ΤΡ鉴权处理有关地使用客户机设备(诸如例如智能电话或其它移动设备)。客户机设备和/或其上执行的应用可以配备有可以用于生成与0ΤΡ鉴权处理有关地使用的令牌、密码、密钥和/或其它证书的安全密钥和/或其它秘密信息。在一些实施例中,鉴权服务提供商和/或其它受信任的鉴权方可以提供安全密钥和/或其它秘密信息。
[0006]基于安全密钥和/或其它秘密信息,客户机设备可以生成用于与0ΤΡ鉴权处理有关地使用的令牌、密码、密钥和/或其它证书。客户机设备的用户可以将所生成的令牌、密码、密钥和/或其它证书提供给管理资源的系统(例如服务提供商系统、访问控制系统等),以确认它们的访问资源的权利。在特定实施例中,系统可以与鉴权服务系统进行通信,以关于确定用户是否具有特定的权利来对被管理的资源的进行访问来确认由用户提供的令牌、密码、密钥和/或其它证书的真实性。
[0007]与所公开的OTP用户鉴权处理的实施例有关地使用客户机设备(诸如智能电话)可以通过例如消除对于分离的专用鉴权设备(如密钥卡或保护锁)的需要来减少部署的成本和/或易于采用基于0ΤΡ的鉴权。此外,所公开的系统和方法的一些实施例可以不要求在令牌、密码、密钥和/或其它证书被生成和/或被另外地提供给用户之时客户机设备具有对于其它系统和/或服务的特定连接性,如可能是在短消息服务(“SMS”)0TP鉴权处理中的情况那样。此外,使用在客户机设备上执行的第三方鉴权服务和/或可下载的令牌鉴权应用可以易于与各种被管理的资源和/或服务有关地集成所公开的安全0ΤΡ用户鉴权处理的实施例。
【附图说明】
[0008]通过参照结合随附附图的以下详细描述,将容易地理解独创的工作主体,在附图中:
图1图解与本公开的实施例一致的用于安全用户鉴权的系统。
[0009]图2图解与本公开的实施例一致的用于安全用户鉴权的移动应用的界面。
[0010]图3图解与本公开的实施例一致的实现安全用户鉴权的服务界面。
[0011]图4图解与本公开的实施例一致的用于由移动设备生成鉴权令牌的方法的流程图。
[0012]图5图解与本公开的实施例一致的用于用户的服务提供商鉴权的方法的流程图。
[0013]图6图解与本公开的实施例一致的用于对用户进行鉴权的方法的流程图。
[0014]图7图解可以用于实现本公开的系统和方法的特定实施例的系统。
【具体实施方式】
[0015]以下提供与本公开的实施例一致的系统和方法的详细描述。虽然描述了若干实施例,但应理解,本公开不限于任何一个实施例,而是相反地囊括大量替换、修改和等同物。此夕卜,虽然在以下描述中阐述大量具体细节以便提供在此所公开的实施例的透彻理解,但可以在没有一些或所有这些细节的情况下实践一些实施例。此外,为了清楚的目的,并未详细描述现有技术中已知的特定技术材料,以便避免不必要地模糊本公开。
[0016]通过参照附图可以理解本公开的实施例,其中,相同的部分可以由相同的标号指定。可以以各种各样不同的配置来布置并且设计如在此在各图中一般地描述并且图解的所公开的实施例的组件。因此,本公开的系统和方法的实施例的以下详细描述并非意图限制所要求保护的本公开的范围,而是仅仅表示本公开的可能的实施例。此外,在此所公开的任何方法的步骤不一定需要按任何特定顺序或甚至依次执行,步骤也不需要仅被执行一次,除非另外指定。
[0017]在此所公开的实施例允许安全用户鉴权。在特定实施例中,可以与数字版权管理(“DRM”)技术(诸如于2006年10月18日提交并且公开为美国专利N0.2007/0180519 A1的共同受让共同未决待审美国专利申请N0.11/583,693“Digital Rights Management EngineSystems and Methods”中(“‘693’应用”)所描述的那些技术)和/或服务编排和DRM技术(诸如于共同受让的美国专利 N0.8,234,387 “Interoperable Systems and Methods forPeer-to-Peer Service Orchestrat1n”(“‘387’专利”)中所描述的那些技术)有关地使用在此所描述的系统和方法。将领会的是,这些系统和方法是新颖的,如其中所采用的很多组件、系统和方法那样。
[0018]图1图解与本公开的实施例一致的用于安全用户鉴权的系统。在特定实施例中,用户100可能希望访问资源(诸如例如由服务提供商系统102管理的在线服务104(例如在线金融账户、数据库等))。在特定实施例中,用户100可以使用移动设备110和/或计算机101远程地访问服务提供商的系统102。在其它实施例中,用户可以直接访问服务提供商的系统102 (例如,如可能是具有销货点终端、ATM和/或售货亭等的情况那样)。因此,将领会的是,在一些实施例中,由系统101、102和/或110执行的操作的一些可以与在关于图1提供的下面的说明性描述中不同地被组合或分布。此外,虽然与在线服务104有关地图解,但将领会的是,服务提供商系统102可以管理对于用户100可能希望访问的各种其它类型的资源的访问。例如,在一些实施例中,服务提供商系统102可以包括物理访问和/或存货控制系统,物理访问和/或存货控制系统被配置为管理由一个或多个用户对受保护区域和/或特定存货物品等的物理访问。
[0019]与所公开的系统和方法的特定实施例一致,服务提供商系统102可以实现安全鉴权处理,以确认用户100有权访问受管理资源。例如,在特定实施例中,通过对服务提供商系统102和/或另一关联系统表明安全令牌120的知识,用户100可以确认他或她的访问由服务提供商系统102所管理的资源的权利。如下面更详细地讨论的那样,在特定实施例中,用户100可以使用在客户机设备110上执行的鉴权令牌应用116以生成安全令牌120。在一些实施例中,可以至少部分地基于安全密钥114而生成安全令牌120。在一些实施例中,可以由鉴权服务系统106的个性化服务112将安全密钥114提供给客户机设备110。在一些实施例中,鉴权服务系统106可以与对由用户100 (例如经由设备101和/或110)提供给系统102的安全令牌120进行确认有关地来与服务提供商系统102进行通信。在特定实施例中,鉴权服务系统106可以包括使用代表性状态传送(“REST”)API的HTTP鉴权服务。虽然被图解为分离的系统,但将领会