自适应认证系统和方法
【技术领域】
[0001] 本发明的实施例涉及移动计算节点的安全性。
【背景技术】
[0002] 移动计算节点通过允许用户执行来自各处位置的各种任务而为用户提供便利性。 移动计算节点包括例如:蜂窝电话、智能电话、平板、Ultrabooks?、笔记本、膝上型电脑、 个人数字助理以及基于移动处理器的平台。然而,为了实现便利性,许多用户对他们的设备 不使用安全性保护或使用非常有限的安全性保护。不使用这种安全性保护的用户(例如, 在访问其设备之前键入长的字母数字密码)每天被提示非常多次进行认证。这些用于认证 的重复性提示干扰用户并限制其移动设备的便利性。
【附图说明】
[0003] 将通过示例性实施例而非限制来描述本发明的实施例,其在附图中示出,其中类 似的标记指示类似的元件,并且其中:
[0004] 图1包括用于本发明实施例的示意性流程图。
[0005] 图2包括用于本发明实施例的示意性流程图。
[0006] 图3包括用于本发明实施例的示意性流程图。
[0007] 图4包括在本发明的实施例中的移动计算节点。
【具体实施方式】
[0008] 以最有助于理解图示实施例的方式依次将各种操作描述为多个离散操作;然而, 描述的次序不应被解释为暗示这些操作必须依靠于次序。特别地,这些操作不需要按照所 表示的次序执行。此外,将操作描述为分开的操作不应被解释为需要所述操作必须独立执 行和/或通过分开的实体执行。将实体和/或模块描述为分开的模块类似地不应被解释为 要求这些模块是分开的和/或执行分开的操作。在各种实施例中,图示和/或描述的操作、 实体、数据和/或模块可以合并、分解为进一步的子部件和/或被省略。短语"实施例"被 重复使用。该短语通常并不指同一实施例;然而,其可以指同一实施例。术语"包括"、"具 有"以及"包含"是同义的,除非上下文另外指出。短语"A/B"表示"A或者B"。短语"A和 /或B"表示" (A)、⑶或(A和B) "。短语"A、B和C中的至少一个"表示" (A)、(B)、(C)、 (A和B)、(A和C)、(B和C)或(A、B和C) "。
[0009] 许多用户在用户重复使用设备的"熟悉"场所使用他们的移动设备。这种场所包括 例如:用户的家、工作地点、汽车等。实施例包括实现自适应认证的移动设备。实施例允许用 户在熟悉的环境中比在不熟悉的环境中更容易地向移动设备认证他自己或她自己。例如, 在设备感测到设备位于用户经常去的场所(例如,用户的家)时,用户可以使用语音识别来 向她的移动设备认证她自己;但是在设备感测到设备位于用户不经常去的场所(例如,机 场)时,用户可以利用字母数字密码来向她的移动设备认证她自己。这通过平衡安全性和 便利性而培养了安全遵从,因为如果用户没有被强迫不停地遵守这种措施(例如,输入长 的密码),则用户更可能使用适当的安全性(例如,复杂密码),即使在类似坐在他们家中或 办公室中的低风险情况下。本文描述了其它实施例。
[0010] 许多用户使用他们的移动设备接收比其它通信更敏感或正式的通信。例如,来自 同事的电子邮件可以被视为非常正式的,而来自儿子或女儿的短消息服务(SMS)文本可以 被视为非正式的。实施例包括实现自适应认证的移动设备。相比于更正式的通信,实施例 允许用户更容易地向移动设备认证他自己或她自己查看或访问非正式通信。例如,当设备 判定已经接收到非正式通信(例如,来自兄弟姐妹的文本)时,用户可以利用指纹识别来向 她的移动设备认证她自己,但是当设备感测到已经接收到更正式的通信(例如,来自未知 第三方的语音消息)时,用户可能必须利用字母数字密码向她的移动设备认证她自己。本 文描述了其它实施例。
[0011] 以上示例用于说明目的,在本文中描述了其它实施例。在下文进行更一般的讨论。
[0012] 实施例例如基于情况的上下文,将设备认证机制从易改变到难和/或从难改变到 易。例如,实施例可以基于设备接收到的数据和数据的敏感性来改变设备认证要求。因此, 接收到的具有"最高机密"标记或标示的电子邮件或从未在白名单中列出的一方(例如,先 前未在与通信设备耦合的存储器中存储的白名单中列出的一方)接收到的即时消息可能 要求更强的认证。
[0013] 实施例允许用户基于数据敏感性、设备位置和/或其它形式的设备或通信上下文 (也称作"环境因素"或"环境上下文"或"通信特性")定义设备认证策略。这种上下文还 可以包括环境噪声。认证策略可以要求认证基于多于一个上下文因素。例如,用户可以在他 和他的移动设备在他的家中时接收视频聊天会话。认证策略可以考虑该上下文以满足"安 全区域",由此不需要认证来查看会话(因为用户在先前指定为安全场所的他的家中)。然 而,移动设备可以感测到(或接收感测到的信息)电话附近大量环境噪声。这种噪声可以 表明正在发生收集(例如,一方),从而用户不一定是孤独的。在这种情况下,认证策略可以 "覆写"初始安全区域指示(基于电话位于用户家中)并反而要求提高的认证级别。该提高 的认证级别可以包括任意级别的认证考虑,在该示例中,初始设定不要求认证,因为电话位 于用户家中。
[0014] 在实施例中,当移动通信设备没有连接到无线通信网络(例如,4G蜂窝网络或 WiFi网络)上时,可能需要提高的认证级别(例如,要求严格的密码,例如9个字符的字母 数字密码)。在这种情况下,策略可以确定难以确定用户位置,因为(经由无线网络)三角测 量不容易获得(假设由于缺乏位置特异性或简单地通过选择,从而策略选择不依赖于GPS 位置)。在没有确定位置的情况下,策略可以自动指定需要最高级别的认证。
[0015] 使用一个或多个自适应认证实施例可以向用户提供保护他或她的移动设备的较 不麻烦的方式。这接着鼓励用户为访问设备设置较高的认证级别,从而培养了安全计算。这 可能减轻企业或雇主担心雇员使用单个移动设备处理雇主相关信息(敏感的)以及个人信 息(例如不敏感的文本)的一些关注一一并决定以低安全性对待所有的信息(雇主相关和 个人相关)以满足便利愿望。
[0016] 实施例涉及数据敏感性保护,从而接收到的具有"最高机密"标示的电子邮件或接 收到的本质上为私人和个人的消息要求更强的认证。实施例基于用于通信的任意一个或多 个"重要性"或"敏感性"设置或标记、电子邮件"安全性设置"(其可以包括数字签名、数字 证书、通信主体中的加密的信息、耦合到电子邮件的加密的附件等)、存在"投票按钮"、要求 用于消息的"输送收条"、要求用于消息的"已读收条"、附件是否耦合到通信、通信种类(例 如,红色、蓝色、绿色)、电子邮件所来自的账户(例如,来自公司电子邮件账户(其可能在 先前由公司IT部门进行标识)相对于没有被这样标识的个人电子邮件账户)等,来确定 通信(例如,电子邮件)敏感性。以上许多标记或标示可以与通信模块(例如,Microsoft Outlook?)相关联。实施例可以将通信的发送者与白名单、黑名单等进行比较。例如,电 子邮件地址可以链接到第三方的联系简档。用户可以白名单列出来自第三方的通信,例如 用户的儿子或女儿,从而不需要认证或需要较少认证(例如,语音识别)来访问来自白名单 列出的联系人的通信(例如,电子邮件)。然而,用户老板可能被放入黑名单,从而来自与老 板的联系简档(例如,固定电话、移动电话、台式计算机、电子邮件地址等)相关联的计算节 点的任何通信要求更高级别的认证以查看和/或访问(例如,回答)。
[0017] 实施例可能要求基于所接收到的通信类型的更强认证。例如,所有文本可能不要 求或较少要求认证,但是所有的语音消息、多媒体消息服务(MMS)通信以及近场通信(例 如,经由Bketooth⑨协议的移动设备到移动设备通信)可能要求提高的认证。
[0018] 因此,实施例包括用于基于设备位置和/或设备接收到的通信的本质来自适应移 动设备安全性的机制。实施例允许用户例如设置低、高和中等安全级别密码,而不是简单地 对所有情况不要求密码或单个密码。实施例允许基于设备的位置改变的移动设备认证要 求,而不是认证要求不关心设备的位置的传统设备。此外,实施例包括基于数据敏感性改变 的移动设备认证要求,不管消息是私人或个人的、最高机密或工作相关消息,而传统系统不 重视或较不重视这种情况。
[0019]自适应认证的实施例经由定义安全区域策略来修改设备用户的经验(例如,在设 备认证因素之间切换和/或改变例如锁住和屏幕超时的设定)。安全区域策略用于识别设 备使用上下文,其中,例如,不太可能发生设备偷窃(例如,小偷不太可能在智能手机用户 家中使用偷窃的智能手机,而智能手机的正确拥有者很可能在用户家中使用智能手机)。
[0020] 安全区域策略可以基于设备上下文改变认证级别,从而当用户在她的办公室但在 开会(其中存在大量环境噪声)时,所述策略可以仍然坚持提高的认证。
[0021] 安全区域策略可以基于设备上下文改变认证级别,从而当用户在她的办公室但在 开会(其中另一计算节点试图与计算设备进行近场通信(或短距离端点到端点通信,例 如Bluetooth?))时,可能要求高级别密码。因此,用户可以位于他的雇主的会议室(策 略制定安全场所),但可以靠近拜访雇主的第三方