专利名称:基于图像的密钥交换的制作方法
技术领域:
总的来说,本公开针对用于在设备之间传送数据时改善用户体验的技术。
背景技术:
出于安全目的,许多基于web的服务要求用户输入用户名和密码来获得访问。要求用户名和密码来访问web服务可以为用户和基于web的服务提供商提供某一级别的安全性。在线犯罪分子可能潜在在某些情况下,能够获取用户的用户名和密码。在线犯罪分子可以通过多种方法从远离用户的位置访问用户的用户名和密码。因此,所期望的是,基于web的服务提供商向用户提供额外安全措施来为用户减少身份失窃的机会。
发明内容
总的来说,本公开针对用于在设备之间交换认证密钥的技术。在此描述的各种技术在传送安全认证密钥时提供改善的用户体验,因为用户不需要手动输入安全认证密钥内容。本公开的技术进一步为在设备之间传送安全认证密钥提供改进的安全性。在一个示例中,在此描述了将计算设备配置成为密码保护的web服务提供二级认证密码的方法。该方法包括使用第一计算设备的图像捕捉设备来捕捉第二计算设备的显示器所呈现的编码的图形图像。该编码的图形图像指示安全认证密钥的表示。该方法进一步包括从检测到的编码的图形图像确定安全认证密钥。该方法进一步包括将安全认证密钥存储在计算设备上,以供随后使用来生成密码以获取对密码保护的web服务的访问。在另一个示例中,在此描述了计算设备。该计算设备包括处理器和图像捕捉设备。该计算设备进一步包括被配置成捕捉另一个计算设备的显示器的至少一个图像的摄像头模块(camera module),其中该至少一个捕捉到的图像包括至少一个编码的图形图像。该计算设备进一步包括用于对捕捉到的图像进行处理来确定编码的图形图像所表示的安全认证密钥的内容的装置。该计算设备进一步包括用于将安全认证密钥存储在该计算设备上的装置。该计算设备进一步包括存储模块,其用来将安全认证密钥存储在该计算设备上,以供随后使用来生成密码以获取对密码保护的web服务的访问。在另一个示例中,制品包括存储指令的计算机可读介质,所述指令被配置成促使计算设备将移动设备配置成为密码保护的web服务提供二级认证密码。所述指令促使计算设备通过通信地耦接到第一计算设备的图像捕捉设备捕捉通过第二计算设备的显示器呈现的编码的图形图像,其中该编码的图形图像指示安全认证密钥的表示。所述指令进一步促使第一计算设备从检测到的编码的图形图像确定安全认证密钥。所述指令进一步促使第一计算设备将安全认证密钥存储在计算设备上。所述指令进一步促使第一计算设备使用存储的安全认证密钥来生成二级密码,以与主密码协同使用来获取对密码保护的web服务的访问。在另一个示例中,在此描述了用于为密码保护的web服务提供二级密码认证的方法。该方法包括从用户接收对安全认证密钥的请求。该方法进一步包括生成包括安全认证密钥的至少一个指示的编码的图形图像。该方法进一步包括传输指示安全认证密钥的表示的图形图像以供第一计算设备的显示器显示,其中该安全认证密钥被配置成被存储在第二计算设备上并且随后由第二计算设备使用来生成密码以被使用来获得对密码保护的web服务的访问。在附图和下面描述中阐述了本公开的技术的各种示例的细节。根据描述和附图以及根据权利要求,本公开的技术的其他特征、目的和优势将是显而易见的。
图1是图示符合本公开的技术的用于将设备配置为密码设备的计算系统的一个示例的概念图。图2是图示符合本公开的技术的密码设备和设置设备的一个示例的框图。图3是图示符合本公开的技术的密码设备和登录设备的一个示例的框图。图4是图示符合本公开内容的交换安全认证密钥的方法的一个示例的流程图。
具体实施例方式图1是图示符合本公开的技术的被配置成使得能够进行对密码保护的web服务的二级密码认证的计算系统的一个示例的概念图。如图1中所示,该系统包括设置设备110和密码设备120。在图1的示例图示中,设置设备110是台式计算机,以及密码设备120是移动电话。在其他示例中,设置设备110和密码设备120可以是计算设备的任何组合。例如,设置设备110可以是膝上型计算机、上网本或智能本计算机、平板计算设备、电视或任何其他形式的计算设备。类似地,密码设备120可以是移动设备,诸如移动电话、平板计算机等,然而,密码设备120可以替代地是台式计算机、膝上型机、智能手机或上网本。尽管图1中未示出,然而,设置设备110可以被配置成操作web浏览器或用于访问web服务的、诸如通过网络(例如,通过因特网)提供服务的网页的其他机制。对于许多web服务,例如银行服务、购物服务等,所期望的是,向用户提供安全性来保护用户的信息。出于这种目的,许多web服务提供商向用户提供独特(unique)的用户名/密码标识来获得对web服务提供商所提供的部分或全部服务的访问。遗憾的是,尽管在被授权访问web服务之前使用用户名/密码组合来安全认证用户的身份可以提供某一级别的安全性,然而,可能的是,在一些情况下,在线犯罪分子使用各种技术来获取用户的登陆信息。通常,身份盗窃犯罪分子可以从远离用户的位置获取用户的登陆信息。因此,所期望的是,提供额外的机制来验证用户的身份以访问密码保护的web服务。一些安全的基于web的服务为安全性向用户提供设置比仅仅用户名/密码组合更安全的二级密码的能力。二级密码可以被捆绑在密码设备120上。在一个这样的示例中,安全认证密钥被存储在密码设备120上。安全认证密钥可以是待被保护的web服务和/或提供二级密码服务的不同web服务向用户提供的字母数字或其他字符的序列。安全认证密钥可以在每次用户期望访问web服务时,由密码设备120使用来生成独特的“一次性”二级密码。就每次用户试图获得对web服务的访问时生成新的密码的意义来说,这样的密码可以是“一次性的”。
在此描述的各种示例针对为了生成二级密码来获得对密码保护的web服务的访问的目的,使用图形图像来在设备之间通信安全认证密钥。仅出于示例性目的,提供了用来生成二级密码的本公开的技术的所描述的用途。本领域技术人员将认识到,本公开的技术还可以适用于对任何类型的认证密钥的设备内通信。可以基于特定算法来生成如在此所述的二级密码。密码生成算法和/或技术的各种示例是已被考虑的并且符合本公开的技术。可以用来生成二级密码的算法的一些非限制性示例是基于HMAC (基于哈希的消息认证码)的一次性密码(HOTP)以及基于时间的一次性密码(TOTP)算法。可以使用HOTP算法来在每次通过访问所生成的密码的数量的计数值来生成密码时,生成独特的二级密码。例如,对于第六个二级密码可以不同于第七个二级密码。可以使用TOTP算法来基于日内时间生成独特的二级密码。根据Τ0ΤΡ,基于预定义时间增量,可以不同地生成二级密码。例如,在预定义时间增量是10分钟的情况下,在下午12:01生成的二级密码将不同于在下午12:11生成的二级密码。Web服务可以被配置成拒绝输入,除非用户输入了由密码设备生成的二级密码。对于HOTP,web服务可以被配置成如果二级密码没有在预定义时间段内被输入,则拒绝访问。例如,如在此所述的二级密码可以包括时间戳的指示,以及web服务可以仅将在该预定义时间段期间内被输入的二级密码辨识为有效。对于Τ0ΤΡ,二级密码可以如上所述仅对用来生成该二级密码的预先确定的时间段才保持有效。通过要求密码设备120所生成的二级密码,可以为web服务提供更高级别的安全性,因为潜在在线犯罪分子不仅必须访问用户的用户名和密码,而且该犯罪分子还必须能够访问密码设备120来获取二级密码以获得对web服务的访问。在一些情况下,所期望的是,用户的密码设备120是在用户期望获得对密码保护的web服务的访问时用户将能够访问的移动电话、平板计算机或一些其他便携式设备,而不考虑用户的位置。为了将设备配置为如上所述的密码设备120,可以将安全认证密钥存储在密码设备120上。为了将认证密钥传送给密码设备120,可以通过设置设备110的显示器118向用户呈现表示安全认证密钥的文本的一个或多个文本图像114。因此,用户可以阅读文本图像114的文本,并且相应地,通过密码设备120的一个或多个输入机制,输入安全认证密钥。如上所述,安全认证密钥可以是较长和/或复杂的字母数字或其他字符的序列。为了节省空间并且将设备配置成期望形式因素,与诸如台式或膝上型计算机的更经典设备相比,许多设备(例如,移动电话、平板计算机)装有用于接收用户输入的有限机制。例如,许多设备装有有限物理键盘。作为另一个示例,许多触摸屏设备根本没有物理键盘,并且替代地依赖于在设备的显示器处呈现的图形键盘来接收用户输入。用于一些设备的有限输入机制可能使得诸如安全认证密钥的、较长和/或复杂字符的序列的输入对用户来说是麻烦的、耗时的和/或很难的。在一个示例中,如图1中所示,根据本公开的技术,可以通过设置设备110的显示器118向用户呈现表示安全认证密钥的内容的编码的图形图像112。密码设备120可以检测编码的图形图像112、对检测到的图像进行处理来确定安全认证密钥的内容、以及将所确定的安全认证密钥存储在密码设备120的一个或多个存储器设备中。在一个示例中,为了检测编码的图形图像112,密码设备120可以包括或通信地耦接到一个或多个摄像头元件122、124、或被配置成捕捉包括编码的图形图像112的显示器118的图像的其他图像传感器。如图1的示例中所示,密码设备120可以包括前置摄像头元件122或后置摄像头元件124中的一个或多个。可以利用前置122和后置摄像头124摄像头元件中的任一或两者来捕捉包括编码的图形图像112的图像。在一个示例中,编码的图形图像112可以是条形码、全息图、视频或可以用来以编码形式通信信息的其他图像。在一些示例中,可以与一个或多个其他形式的通信,例如设置设备Iio通信并且密码设备120可检测的音频信号,协同提供编码的图形图像112。密码设备120可以进一步包括对捕捉到的编码的图形图像120进行解码和/或另外处理来确定安全认证密钥的软件或电路的任何组合。密码设备120可以进一步将解码的安全认证密钥存储在存储器(例如,易失性或非易失性存储器)中,以供稍后在生成二级密码时使用,如在下面进一步详细描述的。在一些示例中,除安全认证密钥的内容外,如在此所述的编码的图形图像112可以包括各种信息。例如,如参考图2的示例进一步详细描述的,编码的图形图像112可以包括指示在生成二级密码时供密码设备120使用的各种参数的信息。通过编码的图形图像对这样的额外信息的通信可以为基于二级密码的用户身份认证提高安全级别。在一些示例中,可以以密码设备120和/或在密码设备120的处理器上执行的软件应用可辨识的特定格式对安全认证密钥进行编码。在一个示例中,可以通过图形图像112以统一资源定位符(URL)的形式通信安全认证密钥的内容。根据该示例,特定密码设备120可以被配置成辨识URL的前缀(例如,“前缀//[安全认证密钥][额外信息]),并且在辨识了该前缀时,促使一个或多个软件应用在密码设备120上发起和/或执行操作。例如,前缀可以指示软件应用应当对捕捉到的图形图像112进行解码、从图形图像112确定安全认证密钥、以及将安全认证密钥存储在密码设备120的存储器中。在符合本公开的技术的其他示例中,编码的图形图像112可以不包括对安全认证密钥的直接指示(例如,安全认证密钥的内容)。替代地,编码的图形图像112可以包括在其中可以访问安全认证密钥的网络位置的指示。根据该示例,编码的图形图像112可以包括在其中存储安全认证密钥的URL的指示,使得密码设备120可以通过网络从通信地耦接到密码设备120的一个或多个服务器访问安全认证密钥。在符合本公开的技术的一些示例中,如在此所述的编码的图形图像112可以在将设备配置为可操作来生成二级密码的密码设备120时提供改善的用户体验。在一个示例中,可以改善用户体验,因为用户不必通过打字来手动输入安全认证密钥的内容,这在一些设备上可能是麻烦的、复杂的和/或耗时的。另外,根据在设置设备110上不显示文本图像114的示例,可以减少其他人可能正在查看文本图像114以确定用户的安全认证密钥的风险。甚至进一步,用户可以在不需要密码设备120被耦接到诸如蜂窝网络或W1-Fi网络的网络的情况下对密码设备120进行配置。替代地,将安全认证密钥光学地通信给密码设备120。图2是一般地图示符合本公开的技术的适于将设备配置为密码设备220的设置设备210的一个示例的框图。如图2中所示,设置设备210包括密钥生成器211、显示控制模块217、以及显示器218、处理器241、存储器/存储242以及通信模块243。处理器241可以被配置成执行程序指令,例如待在设置设备210上运行的一个或多个软件应用。可以将软件应用的程序指令连同其他类型的信息一起存储在存储器/存储242 (例如,暂时性存储器(随机存取存储器)或长期存储(例如,磁硬盘、闪存))中。通信模块243可以通过一个或多个网络建立与其他计算设备的通信链路。例如,通信模块243可以包括使得能够通过诸如因特网的网络进行有线(例如,拨号、以太网、光)或无线(蜂窝网络、W1-Fi )通信的硬件和/或软件。处理器241可以执行引起显示通过通信模块243可获得的信息的浏览器应用的程序指令。例如,处理器241可以执行促使密码保护的web服务(例如,银行、购物或其他安全web服务)向用户显示的程序指令。密钥生成器211可以是被配置成生成字母数字或其他字符的序列作为如在此所述的安全认证密钥的硬件和/或软件的任何组合。例如,密钥生成器211可以是在设置设备210的处理器241上可执行的软件。尽管图1将密钥生成器211描绘为设置设备210的一部分,然而,密钥生成器211可以替代地位于设置设备210的外部。例如,密钥生成器211可以包括另一个计算设备,例如经由通信模块243通过网络可访问的另一个计算设备,的软件/硬件的任何组合。例如,密钥生成器211可以包括如在此所述的密码保护的web服务的一个或多个网络服务器或其他计算设备的硬件和/或软件的任何组合。在其他示例中,密钥生成器211可以包括其他web服务一例如二级密码认证服务而不是密码保护的web服务自身的提供商一的一个或多个网络服务器的硬件和/或软件的任何组合。同样如图2中所示,设置设备包括显示器218和显示控制模块217。显示控制模块217可以操作来控制通过显示器218呈现的图像。例如,显示控制模块217可以被配置成从密钥生成器211接收如在此所述的安全认证密钥的内容的至少一个指示,并且相应地,通过显示器218呈现编码的图形图像212 (例如,如图1中所示的编码的图形图像112)。编码的图形图像212可以是被编码成包括安全认证密钥的内容(例如,字母数字或其他字符的串)的条形码、全息图、视频或其他图形图像。可以用来将安全认证密钥编码为图像的不同类型的图形图像的示例包括UPC-A条形码、EAN-13条形码、Code93条形码、codel28条形码、PDF417 图像、二维码(semacode)、DataMatrix 二维图像、Aztec 码(Aztec Code)、EZ 码(EZcode)、高容量彩色条形码、Dataglyph、QR码(QRCode)、MaxiCode 以及 ShotCode。可以被配置成编码例如安全认证密钥的信息的图形图像的其他示例也是已被考虑的并且符合本公开内容。例如,编码的图形图像112可以包括包含用来对安全认证密钥编码的图形图像序列的视频。在一些示例中,可以与一个或多个其他形式的通信,例如设置设备110通信并且密码设备120可检测的音频信号协同提供例如视频或静止图像的编码的图形图像112。编码的图形图像212可以进一步包括除安全认证密钥的内容外的信息。例如,编码的图形图像212可以包括用户的帐户的标识,其可以用来根据如在此所述的二级密码技术生成二级密码以更好地改进安全性。例如,(在下面进一步详细描述的)密码生成模块227可以要求用户输入与用户的帐户相关联的主密码来发起对如在此所述的二级密码的生成。编码的图形图像212可以进一步包括待被用来从安全认证密钥生成二级密码的协议类型的指示。如上所述,可以用来生成如在此所述的二级密码的算法的类型的示例包括HOTP和Τ0ΤΡ。根据一个示例,图形图像212可以包括是Τ0ΤΡ、HOTP还是某一其他算法待被密码设备220用来生成二级密码的指示。用于生成二级密码的TOTP和HOTP算法可以利用基于哈希的消息认证码(HMAC)来生成如在此所述的二级密码。HMAC可以支持多个不同哈希定义机制。这样的哈希定义机制可以被称为消息认证码。根据一个示例,在TOTP或HOTP算法待被用来生成如在此所述的二级密码的情况下(例如,根据如上所述的算法类型的指示),图形图像212可以进一步包括用于定义待被用来生成二级密码的一个或多个哈希的特定机制的指示。可以被使用的哈希机制的示例包括SHA1、SHA256、SHA512和MD5。用于与TOTP或HOTP算法一起使用的其他哈希机制也是已被考虑的并且符合本公开内容。在另一个示例中,图形图像212可以包括如在此所述待向用户提供来获得对web服务的访问的二级密码的长度的指示。例如,长度的指示可以指示应当向用户提供六个字母或数字的序列来获得安全访问。根据二级密码生成算法的一些示例(例如,如上所述的HOTP算法),基于计数器值来生成二级密码。根据其中移动设备软件应用(例如,通过如上所述算法类型的指示)被配置成利用基于计数器的算法的示例,图形图像212可以包括计数器初始化值的指示。在另一个示例中,二级密码可以操作,使得二级密码仅在预先确定的时间量期间才保持有效。因此,图形图像212可以进一步包括所生成的二级密码对获得对web服务的访问保持有效的时间量的指示。在一个特定示例中,图形图像212可以包括二级密码待在三十秒钟内保持有效,并且在三十秒钟之后新的二级密码必须被生成来获得对web服务的访问的指示。可以生成相应二级密码,使得其包括密码待在期间保持有效的时间段(例如,日内时间)的指示。同样如图2中所示,密码设备220包括至少一个摄像头元件222和摄像头模块224。如在此所述,用语“摄像头元件”和“图像捕捉设备”可以替换使用。摄像头模块224可以操作来控制密码设备120 (或通信地耦接到密码设备120)的至少一个摄像头元件222来捕捉图像。根据本公开的技术,摄像头模块224可以控制至少一个摄像头元件222来捕捉包括如在此所述的至少一个编码的图形图像212的设置设备210的显示器218的图像。图像处理模块225可以被耦接到摄像头模块224。图像处理模块224可以接收包括图形图像212的显示器218的捕捉到的图像,并且对图形图像212进行解码和/或另外处理来确定安全认证密钥的内容。出于这种目的,图像处理模块225可以包括被配置成处理图形图像212的内容并且确定图形图像212的内容,例如安全认证密钥的内容和/或图形图像212的其他信息的硬件(例如,数字信号处理电路(未示出)、处理器241)和/或软件的任何组合。在一些示例中,图像处理模块225可以区分安全认证密钥的内容和编码的图形图像212的其他信息。图像处理模块225可以进一步将从编码的图形图像212获取的信息存储在密码设备220上。例如,图像处理模块225可以被耦接到密码设备220的一个或多个存储器/存储元件(例如,长期存储、暂时性存储器)226。图像处理模块225控制一个或多个存储元件226来暂时或永久存储从编码的图形图像212获取的安全认证密钥和/或其他信息,以供稍后在生成二级密码时使用,如在下面参考图3进一步详细描述的。根据图2中所示的示例,密码设备220进一步包括密码生成模块227和显示控制模块229。密码生成模块227和显示控制模块229可以操作来生成二级密码以通过密码设备220的显示器(未示出)向密码设备220的用户呈现,如参考图3进一步详细描述的。图3是一般地图示符合本公开的技术的通过登录设备330使用密码设备320所生成的二级密码来获得对密码保护的web服务340的访问的一个示例的框图。根据图3的示例,登录设备330可以通过登录设备330的显示器呈现用于密码保护的web服务340的登录屏幕的图形描绘。例如,可以在登录设备330的处理器341上执行浏览器软件应用。浏览器可以显示web可访问的内容,例如呈现用于密码保护的web服务340的登录屏幕的网页。在一个示例中,登录屏幕可以(例如,根据如上所述的传统的用户名/密码登录)向用户呈现输入用户的用户名和主密码的选项。登录屏幕可以根据本公开的技术,进一步向用户提供输入二级密码的选项。如图3中所描绘的登录设备330可以是通过诸如因特网的网络可以访问密码保护的web服务340的任何类型的计算设备。例如,登录设备330可以是台式或膝上型计算机、移动电话、平板计算机、智能本或上网本。在一个示例中,登录设备330可以是与图2中所描绘的设置设备320相同的设备。在其他示例中,登录设备330可以是与设置设备220不同的设备,而且,可以在与设置设备220不同的位置处。根据本公开的技术提供额外的安全性的一个益处是,出于认证目的对二级密码的使用并不限于用户使用来获得对密码保护的web服务340的访问的特定设备。替代地,用户可以使用能够访问密码保护的web服务340的任何设备,利用本公开的技术来获得对密码保护的web服务340的访问。根据图3中所示的示例,安全认证密钥已被存储在密码设备320上,例如在存储器/存储326中,如在上面参考图2所描述的。根据本公开的技术,可以使用通过密码设备320对编码的图形图像112的检测所获取的安全认证密钥来生成二级密码,以供在获取对通过登录设备330为其呈现登录屏幕的密码保护的web服务340的访问时使用。如在图3中所描绘,密码设备320包括密码生成模块327和显示模块328。密码生成模块327可以至少基于存储在存储元件236中的安全认证密钥的内容来生成二级密码。在一些示例中,密码生成模块327可以被配置成生成一次性使用的二级密码。例如,密码生成模块327可以基于日内时间、内部时钟、计数器或用于生成独特的密码以供一次性使用来试图获得对密码保护的web服务340的访问的其他指示,来生成二级密码。在一个特定示例中,根据HOTP算法,可以基于存储在密码设备320上的计数器值来生成二级密码。密码生成模块327可以在计数器值改变时生成不同的二级密码。每次密码生成模块327生成二级密码时,可以对计数器值进行更新。在另一个特定示例中,例如,根据TOTP算法,密码生成模块327可以在第一时间段期间(例如,在上午12:00和上午12:10之间)生成二级密码,并且在上午12:10和上午12:20之间生成与第一二级密码不同的不同二级密码。如图3中所示,密码设备320进一步包括显示模块329。显示模块329可以操作密码设备320的显示器(未示出)来促使图像通过该显示器被呈现。例如,显示模块329可以接收密码生成模块327所生成的二级密码的至少一个指示,并且促使表示二级密码的内容的图像(例如,包括二级密码的一个或多个字符的图像)到达用户。在一个示例中,显示模块329可以包括被配置成通过密码设备320的显示器渲染图像以供呈现的密码设备320硬件和/或在处理器328上执行的软件的任何组合。同样如图3中所示,登录设备330包括用户输入模块336。用户输入模块336被配置成检测指示密码设备320所生成的二级密码的用户输入。例如,用户输入模块336可以被通信地耦接到键盘、鼠标、轨迹板、触敏设备(例如,屏幕或其他触敏组件)、麦克风、加速度计、陀螺仪、力传感器(例如,在设备表面上的触摸的力)、或用于检测用户输入的任何其他机制。用户输入模块336可以被配置成通过如上所述一个或多个输入机制从用户接收二级密码。登录设备330进一步包括比较密码生成模块339。比较密码生成模块339可以例如通过网络通信(图3中未示出)或通过对登录设备330的一个或多个存储元件342的访问,访问用户的安全认证密钥(例如,存储在密码设备320上的安全认证密钥)。比较密码生成模块339可以基于与密码生成模块327相同或相似的算法来生成密码以供比较。如上所述,密码生成模块327可以生成独特的一次性二级密码。在一个示例中,对于根据HOTP算法生成的二级密码,比较密码生成模块339可以基于与用户的帐户相关联的(例如,存储在登录设备上或通过网络可访问的)计数器值来生成二级密码,并且生成相应二级密码以供比较。在另一个示例中,对于根据TOTP算法所生成的二级密码,比较密码生成模块339可以基于日内时间来生成二级密码。在一个示例中,比较密码生成模块339可以包括在处理器241上执行的软件或登录设备310的其他硬件的任何组合。在其他示例中,比较密码生成模块339可以包括除登录设备310外的设备一诸如通过网络对登录设备可访问的一个或多个其他计算设备一的软件和/或硬件。例如,比较密码生成模块339可以包括密码保护web服务或另一个web服务提供商的一个或多个网络服务的硬件和/或软件。比较模块337可以通过用户输入模块336接收二级密码,并且从比较密码生成模块339接收比较密码。比较模块337可以确定从用户输入模块336接收到的二级密码和来自比较密码生成模块337的比较密码,并且确定它们是否相同。例如,比较模块337可以确定二级和比较密码是否包含相同字母数字或其他字符。如果密码相同,并且用户的用户名和主密码也匹配,则可以授权用户访问密码保护的web服务。在一个示例中,根据如上所述HOTP算法,比较模块337可以进一步或替代地确定通过用户输入模块336接收的二级密码是否仍然有效。例如,二级密码可以包括二级密码仍然有效的时间段或二级密码的有效性期满的日内时间的指示。因此,比较模块337可以拒绝对密码保护的web服务340的访问,即使二级密码和比较密码相匹配。在另一个示例中,根据如上所述TOTP算法,二级密码和比较密码两者均基于日内时间的指示来生成。只要两个密码均在预先确定的时间段内被生成,它们就将匹配。然而,如果用户在密码设备320生成二级密码之后等待长于预先确定的时间段来通过登录设备330输入该二级密码,则该二级密码将与比较密码不相匹配,并且将不会授权用户访问密码保护的web服务340。根据本公开的技术生成二级密码可以是有利的,因为本技术确保了试图访问密码保护的web服务的某人保持对密码设备的访问。某人不可以仅仅一次获得对密码设备320的访问、生成密码、并且持续使用该密码来访问密码保护的web服务340。图4 一般地图示了将计算设备(例如,密码设备120、220)配置成为密码保护的web服务提供密码的方法的一个示例。该方法包括使用第一计算设备(例如,密码设备120、密码设备220)的图像捕捉设备(例如,前置摄像头元件122、后置摄像头元件124)来捕捉由第二计算设备(例如,设置设备110、设置设备210)的显示器(例如,显示器118)呈现的编码的图形图像212,其中编码的图形图像(例如,图形图像112、图形图像212)指示安全认证密钥的表示(401)。该方法进一步包括从捕捉到的编码的图形图像确定安全认证密钥(402)。该方法进一步包括将安全认证密钥存储在计算设备(例如,密码设备120、密码设备220)上,以供稍后使用来生成密码以获取对密码保护的web服务的访问(403)。在一个示例中,该方法进一步包括使用存储的安全认证密钥来生成密码以获取对密码保护的web服务(例如,密码保护的web服务340)的访问。在另一个示例中,使用存储的安全认证密钥来生成密码包括使用存储的认证密钥来生成二级密码以与主密码协同使用来获取对密码保护的web服务的访问。在一个示例中,编码的图形图像112、212包括条形码、全息图和/或视频。编码的图形图像112、212可以进一步与其他非图形信号,例如密码设备(例如密码设备120,例如密码设备220)可检测的音频信号协同呈现。编码的图形图像112、212进一步包括用户的标识的至少一个指示。编码的图形图像112、212可以进一步包括URL的至少一个指示。编码的图形图像112、212可以进一步包括所生成的二级密码的长度的至少一个指示。编码的图形图像112、212可以进一步包括待被用来生成二级密码的算法类型的至少一个指示。编码的图形图像112、212可以进一步包括根据算法待使用的哈希类型的一个或多个指示。在一个示例中,算法类型可以是基于HMAC(基于哈希的消息认证码)的一次性密码(Η0ΤΡ)。在另一个示例中,算法类型可以是基于时间的一次性密码(Τ0ΤΡ)。在算法类型是HOTP的一个示例中,编码的图形图像112、212可以包括所生成的二级密码待保持有效以授权用户访问密码保护的web服务的时间的一个或多个指示。可以至少部分以硬件、软件、固件或其任何组合来实现在本公开中所述的技术。例如,可以在一个或多个处理器,包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、或任何其他等价集成或分立逻辑电路、以及这样的组件的任何组合内,实现所述技术的各种方面。词语“处理器”或“处理电路”一般可以指单独或与其他逻辑电路组合的任何前述逻辑电路、或任何其他等价电路。包括硬件的控制单元也可以执行本公开的技术中的一个或多个。可以在同一设备内或在分离设备内实现这样的硬件、软件和固件来支持在本公开中所述的各种操作和功能。另外,任何所述单元、模块或组件可以在一起或分别被实现为分立但是可互操作的逻辑器件。将不同特征描绘为模块或单元意在突出不同功能方面,并且并不一定暗示这样的模块或单元必须由分离硬件或软件组件实现。相反,与一个或多个模块或单元相关联的功能性可以由分离硬件或软件组件执行、或被集成在共同或分离硬件或软件组件内。还可以将在本公开中所述的技术包括或编码在包含指令的计算机可读介质,诸如计算机可读存储介质中。嵌入或编码在计算机可读介质中的指令可以例如在所述指令被执行时,促使可编程处理器或其他处理器执行所述方法。计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦可编程只读存储器(EPR0M)、电可擦可编程只读存储器(EEPR0M)、闪存、硬盘、CD-ROM、软盘、带盒、磁介质、光介质或其他计算机可读介质。已描述了本公开的各种实施例。这些和其他实施例在所附权利要求的范围内。
权利要求
1.一种将计算设备配置成为密码保护的Web服务提供二级认证密码的方法,所述方法包括: 使用通信地耦接到第一计算设备的图像捕捉设备来捕捉第二计算设备的显示器所呈现的编码的图形图像,其中所述编码的图形图像指示安全认证密钥的表示; 从所述捕捉到的编码的图形图像确定所述安全认证密钥;以及将所安全认证密钥存储在所述第一计算设备上,以供随后使用来生成密码以获取对密码保护的web服务的访问。
2.根据权利要求1所述的方法,进一步包括: 使用所存储的安全认证密钥来生成密码以用来获取对所述密码保护的web服务的访问。
3.根据权利要求2所述的方法,其中使用所存储的安全认证密钥来生成密码包括使用所存储的安全认证密钥来生成二级密码以与主密码协同使用来获取对所述密码保护的web服务的访问。
4.根据权利要求1所述的方法,其中所述编码的图形图像包括条形码或全息图。
5.根据权利要求1所述的方法,其中所述编码的图形图像进一步包括用户的标识的至少一个指示。
6.根据权利要求1所述的方法,其中所述编码的图形图像包括统一资源定位符(URL)的至少一个指示。
7.根据权利要求6所述的方法,其中所述URL的所述至少一个指示包括: 指示待由所述第一计算设备执行的操作的前缀字段; 所述安全认证密钥的所述表示;以及 指示所述安全认证密钥的预期用途的额外信息。
8.根据权利要求6所述的方法,其中所述URL指示可以访问所述安全认证密钥的位置。
9.根据权利要求1所述的方法,其中所述编码的图形图像进一步包括基于所述安全认证密钥来生成的密码的长度的至少一个指示。
10.根据权利要求1所述的方法,其中所述编码的图形图像进一步包括待被用来基于所述安全认证密钥生成密码的算法的类型的至少一个指示。
11.根据权利要求10所述的方法,其中所述编码的图形图像进一步包括待根据所述算法来使用的哈希的类型的一个或多个指示。
12.根据权利要求10所述的方法,其中所述算法的类型从由以下组成的组中选择: 基于HMAC (基于哈希的消息认证码)的一次性密码(HOTP);以及 基于时间的一次性密码(Τ0ΤΡ)。
13.根据权利要求12所述的方法,其中所述算法的类型是Η0ΤΡ,以及其中所述图形图像进一步包括: 基于所述安全认证密钥来生成的密码待在其间保持有效以授权用户访问密码保护的web服务的时间的一个或多个 指示。
14.一种计算设备,包括: 至少一个处理器; 摄像头模块,其被配置成操作通信地耦接到所述计算设备的图像捕捉设备来捕捉另一个计算设备的显示器的至少一个图像,其中所述至少一个捕捉到的图像包括至少一个编码的图形图像; 用于对所述捕捉到的图像进行处理来确定所述编码的图形图像所表示的安全认证密钥的内容的装置;以及 存储模块,其用来将所述安全认证密钥存储在所述计算设备上,以供随后使用来生成密码以获取对密码保护的web服务的访问。
15.根据权利要求14所述的计算设备,进一步包括: 用于基于所述存储的认证密钥来生成二级密码,以供与主密码协同使用来获得对密码保护的web服务的访问的装置。
16.一种包括含有存储指令的计算机可读介质的制品,所述指令被配置成促使计算设备将移动设备配置成为密码保护的web服务提供认证密码,其中所述指令促使所述计算设备: 使用通信地耦接到第一计算设备的图像捕捉设备来捕捉第二计算设备的显示器所呈现的编码的图形图像,其中所述编码的图形图像指示安全认证密钥的表示; 从所检测到的编码的图形图像确定所述安全认证密钥; 将所述安全认证密钥存储在所述第一计算设备上;以及 使用所存储的安全认证密钥来生成二级密码以与主密码协同使用来获取对密码保护的web服务的访问。
17.一种用于为密码保护的 web服务提供二级密码认证的方法,所述方法包括: 从用户接收对安全认证密钥的请求; 生成包括所述安全认证密钥的至少一个指示的编码的图形图像;以及 传输指示安全认证密钥的表示的图形图像,以供第一计算设备显示,其中所述安全认证密钥被配置成被存储在第二计算设备上并且随后由所述第二计算设备使用来生成密码以用来获得对密码保护的web服务的访问。
18.根据权利要求17所述的方法,其中所述安全认证密钥被配置成由所述第二计算设备使用来生成二级密码以与主密码协同使用来获得对所述密码保护的web服务的访问。
19.根据权利要求17所述的方法,其中对所述安全认证密钥的所述请求由所述密码保护的web服务接收。
20.根据权利要求17所述的方法,其中对所述安全认证密钥的所述请求由不同于所述密码保护的web服务的web服务接收。
21.根据权利要求17所述的方法,进一步包括: 由所述密码保护的web服务接收在所述第二计算设备处生成的所述二级密码,其中所述二级密码至少部分基于所述安全认证密钥来生成;以及 至少部分基于所述二级密码的认证,授权访问所述密码保护的web服务。
全文摘要
本公开针对用于将设备配置成至少部分基于安全认证密钥来生成二级密码的改进技术。在一些示例中,本公开的技术可以提供通过计算设备捕捉另一个计算设备的显示器的图像。捕捉到的图像包括包含安全认证密钥的内容的指示的至少一个编码的图形图像,诸如条形码。计算设备可以使用安全认证密钥来生成二级密码以与主密码协同使用来获得对密码保护的web服务的访问。
文档编号G06F21/36GK103154958SQ201180047779
公开日2013年6月12日 申请日期2011年9月26日 优先权日2010年9月30日
发明者斯蒂芬·A·韦斯, 特拉维斯·E·麦克伊, 安德鲁·D·欣茨, 伊恩·P·韦德 申请人:谷歌公司