使用口令对移动设备的安全访问的制作方法
【技术领域】
[0001] 本公开内容设及对计算设备上所执行的应用或计算设备中的加密数据能够进行 安全访问,更具体地,设及使用口令来授权访问移动计算设备中的加密数据或应用。
【背景技术】
[0002] 口令是用于对用户的身份进行认证或用于获得对受限资源的访问的单词或字符 串。口令通常被单独使用或与其它方案(例如数字证书)结合使用,W对用户进行认证。口令 的安全等级可W取决于口令的长度W及在口令中可W使用的可能的字符数目而不同。可容 许的口令的长度越长并且口令中的可用字符的数目越大,口令的安全等级越高。与较长的 口令相比,具有对可用字符的有限选择的短口令更易受到破解(例如,通过强力攻击)。
[0003] 为方便起见,口令主要用于对用户进行认证或对移动设备上的资源的访问进行控 审IJ。移动设备通常具有用户接口设备,例如较低精度和操作较慢的触摸屏。因此,当使用移 动设备时,用户往往避开使用复杂的口令或其它更复杂的认证方案。在智能手机上,例如, 比起较长并且较复杂的口令,大多数用户偏好使用四位数字口令。
[0004] 尽管尺寸小和便携性,移动计算设备如智能手机经常存储和访问敏感信息。例如, 运样的敏感信息可W包括:个人信息(如社会保障号、银行账户号码和口令)、机密电子邮件 或短信W及信用卡号码。通常,由简单口令所提供的安全性是不足的,从而使得移动计算设 备易受第=方攻击。
【发明内容】
[0005] 实施方式设及至少基于第一信息与第二计算设备处的第二信息的比较来对第一 计算设备的用户进行认证。响应于在第二计算设备处对用户进行认证,第一计算设备从第 二计算设备中接收未加密服务器令牌。未加密服务器令牌用于访问应用或加密数据。根据 在第一时间处所接收的用户输入得到第一信息。根据由用户在第一时间之前的第二时间处 提供的第一 口令得到第二信息。
[0006] 在一个实施方式中,第二计算设备还基于下述中的至少一个来对用户进行认证: 第一计算设备的地理位置;W及与第一计算设备的使用相关联的统计信息。
[0007] 在一个实施方式中,将未加密服务器令牌用作密钥,W用于访问应用或加密数据。 可替选地,可W对未加密服务器令牌进行处理来获得密钥。
[000引在一个实施方式中,未加密服务器令牌与第一计算设备的设备令牌结合使用,W 生成用于访问应用或加密数据的密钥。
[0009] 在一个实施方式中,当在第=时间处第一计算设备与第二计算设备之间的通信不 可用时,在第=时间处接收来自第一计算设备的用户的第二口令。使用第二口令对存储在 第一计算设备中的加密服务器令牌进行解密,W获得未加密服务器令牌。
[0010] 在一个实施方式中,第二口令比第一口令强。例如,第二口令比第一口令长。可替 选地或另外,第一口令可W是第一可能字符的组合,而第二口令可W是第二可能字符的组 合,其中,第二可能字符的数目大于第一可能字符的数目。
[0011] 在一个实施方式中,通过由散列函数来处理在第一时间处所接收的用户输入来获 得第一信息,并且通过由散列函数来处理在第二时间处所接收的第一口令来获得第二信 息。
[0012] 在一个实施方式中,响应于终止对应用或加密数据的访问,从第一计算设备中删 除未加密服务器令牌和根据未加密服务器令牌得到的数据。
[0013] 在说明书中描述的特征和优点并非均是包括性的,并且特别地,考虑到附图、说明 书和权利要求,许多另外的特征和优点对于本领域普通技术人员将是明显的。此外,应当注 意,主要出于可读性和指导性目的选择了在说明书中使用的语言,而并非被选择用于划定 或限定主题。
【附图说明】
[0014] 通过结合附图来考虑下面的详细说明可W很容易理解本实施方式的教示。
[0015] 图1是示出了根据一个实施方式的服务器向在客户端设备上执行的应用提供增强 的安全性的系统的架构的示意图。
[0016] 图2是示出了根据本发明的一个实施方式的客户端设备的框图。
[0017] 图3是示出了根据一个实施方式的服务器的框图。
[0018] 图4是示出了根据一个实施方式的设立增强的认证方案的过程的交互图。
[0019] 图5是示出了根据一个实施方式的当客户端设备与服务器之间的通信可用时对用 户进行认证的过程的交互图。
[0020] 图6是示出了根据一个实施方式的当客户端设备与服务器之间的通信不可用时对 用户进行认证的过程的流程图。
[0021] 图7A是根据一个实施方式的当客户端设备与服务器之间的通信可用时用于接收 用户口令的图形用户接口图。
[0022] 图7B是根据一个实施方式的当客户端设备与服务器之间的通信不可用时用于接 收用户口令的图形用户接口图。
【具体实施方式】
[0023] 附图和下面的描述仅通过图示的方式而设及优选实施方式。应当注意,根据下面 的讨论,容易将本文所公开的结构和方法的替选实施方式视为在不偏离所要求保护的主题 的原理的情况下可W采用的可行的替选方案。
[0024] 现在将详细地参考几个实施方式,其示例在附图中示出。应当注意,只要可行,类 似或相同的附图标记可W被用在附图中,并且可W指示类似或相同的功能。附图仅出于示 出目的来描述实施方式。在不偏离本文所描述的原理的情况下,可W采用本文所示出的结 构和方法的替选实施方式。
[0025] 实施方式设及提供用于访问客户端设备上的应用或数据的增强的安全措施。客户 端设备接收来自服务器的对访问应用或数据的授权,该服务器将在客户端设备处所接收的 口令与之前存储在服务器中的口令进行比较。除了比较口令之外,服务器可能执行另外的 安全措施(如,检查客户端设备的地理位置或对客户端设备上的可疑模式的使用进行监 视),W增强访问客户端设备上的应用或数据的安全性。此外,可W取决于客户端设备与服 务器是否具有连接来使用不同强度的不同口令。当连接不可用时,可W使用较长和/或较复 杂的口令而非较短和/或较简单的口令,W提供增加的安全性。
[0026] 图1是示出了根据一个实施方式的服务器130向在客户端设备IOOA至100N(在下文 中统称为"客户端设备100")上执行的应用提供增强的安全措施的系统的架构的示意图。客 户端设备100存储用于一个或更多个应用的软件代码,所述一个或更多个应用可W被加载 并在客户端设备100上执行。在一个或更多个实施方式中,应用经由网络110与服务器130进 行交互或从服务器130接收信息。客户端设备100可W与多个服务器进行交互,所述多个服 务器中的一些服务器可W为某些应用所专用。
[0027] 网络110可W是包括无线通信网络和有线通信网络的各种类型的通信网络,例如 PSTN(公共交换电话网)网、有线电视网、蜂窝电话网和卫星通信网。网络可W是因特网的一 部分或向因特网提供连接。
[0028] 服务器130是能够向多个客户端设备100提供服务和信息的计算设备。在一个或更 多个实施方式中,服务器130经由TCP/IP(传输控制协议/互联网协议)协议和HTTP(或 HTTPS)协议与客户端设备100进行通信。由服务器130提供的服务或功能包括对客户端设备 100的用户进行认证。尽管图1中仅示出了单个服务器130,但是可W提供多于一个服务器来 为大量的客户端设备100服务。
[002