CN104012034B - 用于网络访问有关的应用的认证 - Google Patents
用于网络访问有关的应用的认证 Download PDFInfo
- Publication number
- CN104012034B CN104012034B CN201180076002.3A CN201180076002A CN104012034B CN 104012034 B CN104012034 B CN 104012034B CN 201180076002 A CN201180076002 A CN 201180076002A CN 104012034 B CN104012034 B CN 104012034B
- Authority
- CN
- China
- Prior art keywords
- electronic equipment
- controller
- remote authentication
- further comprise
- supplier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3224—Transactions dependent on location of M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/327—Short range or proximity payments by means of M-devices
- G06Q20/3278—RFID or NFC payments by means of M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0492—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Business, Economics & Management (AREA)
- Signal Processing (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Finance (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
- Telephonic Communication Services (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
在一个实施例中,控制器包括用以进行以下动作的逻辑:经由近场通信链路接收由远程认证提供者所生成的标识分组;将电子签名与所述标识分组相关联;将所述标识分组传输到所述远程认证提供者;从所述远程认证提供者接收授权;接收与所述标识分组相关联的登录信息;以及使用所述登录信息而发起登录过程。可以描述其它实施例。
Description
背景技术
本文描述的主题大体上涉及网络访问领域,并更具体地涉及允许电子设备利用由远程认证提供者所操作的第三方认证系统来实施用于网络访问的认证协议的系统和方法。
大型企业网络通常被认证技术所保护,其使得授权用户能够访问所述网络而禁止或防止未授权人员访问所述网络。小型企业环境在保护企业网络方面面临更加困难的挑战。企业级认证技术昂贵且复杂,而且频繁地超出了小型企业的财务和技术能力。
因此,提供认证技术来保护计算环境的系统和技术可以发现效用,特别是在小型企业设置中。
附图说明
参考附图描述详细描述。
图1是根据一些实施例的可以被适配成包括用来实现用于网络访问的认证的基础设施的示例性电子设备的示意图。
图2是根据一些实施例的用于网络访问的认证的示例性架构的高级示意图。
图3是根据一些实施例的用于网络访问的认证的示例性架构的示意图。
图4是根据一些实施例的用于网络访问的认证的示例性系统的示意图。
图5是图示根据一些实施例的用来实现用于网络访问的认证方法中的操作的流程图。
具体实施方式
本文描述了用以实现电子设备中用于网络访问的认证的示例性系统和方法。本文描述的系统和方法的一些实施例在网络安全的上下文中,并尤其是在小型企业设置中可以发现效用。本文描述的一些实施例可以允许小型企业利用由第三方提供的各种认证平台,使得第三方充当远程认证提供者。以示例的方式,所述系统中的用户可以被分配可能包括由一个或多个第三方所发行的证书(credential)的标识分组(identification packet)。所述标识分组可以存储在合适的存储位置中,例如,磁条卡、智能卡、或者与电子设备相关联的存储器模块。
希望访问网络的用户可以经由电子设备而发起登录过程。在所述登录过程期间,可以将所述标识分组从电子设备通过安全通信信道传送到所述远程认证提供者。所述远程认证提供者可以使用标识分组中的数据来实现一个或多个认证例程并且可以返回响应,其确认或拒绝所述用户被授权访问网络。基于所述响应,所述电子设备然后完成或终止到网络的登录过程。
本文档提供了其中可以实现用于网络访问的认证的硬件和软件环境以及实现用于网络访问的认证的示例性操作的描述。在以下描述中,阐述大量特定细节以提供各个实施例的完整理解。然而,本领域的技术人员应当理解,可以在没有特定细节的情况下实践各个实施例。在其它实例中,尚未详细说明或描述熟知的方法、过程、组件以及电路,以不会使具体实施例模糊。
图1是根据一些实施例的可以被适配成实现用于网络访问的认证的示例性电子设备110的示意图。如图1所示,电子设备110可以体现为诸如移动电话、平板计算机便携式计算机、或个人数字助理(PDA)之类的传统移动设备。
在一些实施例中,电子设备可以包括可信执行环境,其也可以被称为可信执行引擎或有时被称为安全元件或可管理性引擎。所述可信执行环境可以包括与有时被称为不可信执行环境的初级执行环境分开的一个或多个控制器。所述分开可以是物理上的,在某种意义上,所述可信执行环境可以与所述不可信执行环境在物理上分开。可替换地,所述可信执行环境可以是逻辑上的,在某种意义上,所述可信执行环境可以被托管到主管所述不可信执行环境的相同的芯片或芯片组上,但是在硅级上分开使得所述可信执行环境是安全的。
在各个实施例中,电子设备110可以包括或耦合到一个或多个附随的输入/输出设备,其包括显示器、一个或多个扬声器、键盘、一个或多个其它I/O设备、鼠标等。一个或多个示例性的I/O设备可以包括触摸屏、语音激活的输入设备、轨迹球、地理定位设备、加速度计/陀螺仪、生物特征输入设备、以及允许电子设备110接收来自用户的输入的任何其它设备。
所述电子设备110包括系统硬件120和存储器140,其可以实现为随机访问存储器和/或只读存储器。文件存储可以通信地耦合到计算设备110。文件存储可以在计算设备110内部,诸如,例如eMMC、SSD、一个或多个硬盘驱动器、或其它类型的存储设备。文件存储180也可以在计算机110外部,诸如,例如一个或多个外部硬盘驱动器、网络附接存储、或单独的存储网络。
系统硬件120可以包括一个或多个处理器122、图形处理器124、网络接口126以及总线结构128。在一个实施例中,处理器122可以体现为可向Santa Clara,California, USA的Intel Corporation购买的Intel® AtomTM处理器、基于Intel® AtomTM的单芯片系统(SOC)或Intel ® Core2 Duo®处理器。如本文所用的,术语“处理器”意为任何类型的计算元件,诸如但不限于微处理器、微控制器、复杂指令集计算(CISC)微处理器、精简指令集(RISC)微处理器、超长指令字(VLIW)微处理器、或任何其它类型的处理器或处理电路。
一个或多个图形处理器124可以充当管理图形和/或视频操作的副处理器。一个或多个图形处理器124可以被集成到电子设备110的母版上,或者可以经由主板上的扩展槽来耦合。
在一个实施例中,网络接口126能够是诸如以太网接口(见,例如,电气和电子工程师协会/IEEE 802.3-2002)之类的有线接口或诸如IEEE 802.11a,b或g依从接口(见,例如,IEEE Standard for IT-Telecommunications and information exchange betweensystems LAN/MAN— Part II: Wireless LAN Medium Access Control (MAC) andPhysical Layer (PHY) specifications Amendment 4: Further Higher Data RateExtension in the 2.4 GHz Band, 802.11G-2003(用于系统LAN/MAN之间的IT电信和信息交换的IEEE标准—第二部分:无线LAN媒体访问控制(MAC)和物理层(PHY)规范修订4:2.4GHz频带进一步更高数据速率扩展,802.11G-2003))之类的无线接口。另一个无线接口的示例可以是通用分组无线业务(GPRS)接口(见,例如,Guidelines on GPRS HandsetRequirements(GPRS手机需求指南),全球移动通信系统/GSM协会,3.0.1版,2002年12月)。
总线结构128连接系统硬件128的各个组件。在一个实施例中,总线结构128可以是若干类型的一个或多个总线结构中的一个或多个,其包括存储器总线、外围总线或外部总线、和/或局部总线,其使用任何多种可用总线架构,包括但不限于,11位总线、工业标准架构(ISA)、微通道架构(MSA)、扩展ISA(EISA)、智能驱动器电子装置(IDE)、VESA局部总线(VLB)、外围组件互联(PCI)、通用串行总线(USB)、高级图形端口(AGP)、个人计算机存储卡国际联合会总线(PCMCIA)以及小型计算机系统接口(SCSI)、高速同步串行接口(HIS)、串行低功率芯片间媒体总线(SLIM bus®)等。
电子设备110可以包括用以收发RF信号的RF收发器130、近场通信(NFC)无线电装置134以及用以处理由RF收发器130所接收的信号的信号处理模块132。RF收发器可以经由诸如例如蓝牙或802.11X、IEEE 802.11a,b或g依从接口(见,例如,IEEE Standard for IT-Telecommunications and information exchange between systems LAN/MAN— PartII: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY)specifications Amendment 4: Further Higher Data Rate Extension in the 2.4 GHzBand, 802.11G-2003(用于系统LAN/MAN之间的IT电信和信息交换的IEEE标准—第二部分:无线LAN媒体访问控制(MAC)和物理层(PHY)规范修订4:2.4GHz频带进一步更高数据速率扩展,802.11G-2003))之类的协议来实现本地无线连接。无线接口的另一个示例可以是WCDMA、LTE、通用分组无线业务(GPRS)接口(见,例如,Guidelines on GPRS HandsetRequirements(GPRS手机需求指南),全球移动通信系统/GSM协会,3.0.1版,2002年12月)。
电子设备110还可以包括一个或多个输入/输出接口,诸如,例如小键盘136和显示器138。在一些实施例中,电子设备110可能不具有小键盘,并使用触摸面板以用于输入。
存储器140可以包括用于管理计算设备110操作的操作系统142。在一个实施例中,操作系统142包括提供去往系统硬件120的接口的硬件接口模块154。此外,操作系统140可以包括管理在计算设备110的操作中使用的文件的文件系统150以及管理在计算设备11上运行的过程的过程控制子系统152。
操作系统142可以包括(或管理)可以与系统硬件120结合地操作来收发来自远程源的数据分组和/或数据流的一个或多个通信接口146。操作系统142还可以包括系统调用接口模块144,其提供操作系统142和一个或多个驻留在存储器130中的应用模块之间的接口。操作系统142可以体现为UNIX操作系统或任何其衍生物(例如,Linux、Android等)或体现为Windows®品牌操作系统、或其它操作系统。
电子设备110可以包括可信执行引擎170。在一些实施例中,所述可信执行引擎170可以实现为位于电子设备110的主板上的独立集成电路,而在其它实施例中,所述可信执行引擎170可以实现为在相同的SOC模具上的专用处理器块,而在其它实施例中,所述可信执行引擎可以实现在一个或多个处理器122的部分上,其采用HW强制机制与所述一个或多个处理器的剩余部分隔离。
在图1所描绘的实施例中,所述可信执行引擎170包括处理器172、存储器模块174、一个或多个认证模块176、以及I/O模块178、近场通信(NFC)模块、所见即所标(what yousee is what you sign,WYSIWYS)模块182、增强的隐私标识(EPID)模块184和一个或多个应用代理186。在一些实施例中,所述存储器模块174可以包括持久性闪速存储器模块,并且所述各个功能模块可以实现为编码在所述持久性存储器模块中的逻辑指令,例如,固件或软件。所述I/O模块178可以包括串行I/O模块或并行I/O模块。因为所述可信执行引擎170与一个或多个主处理器122和操作系统142分离,可以使所述可信执行引擎170安全,即,对于通常安装SW攻击的黑客从主机处理器122不可访问。
在一些实施例中,所述可信执行引擎可以定义主机电子设备中的可信执行环境,可以在其中实现用于网络访问过程的认证。图2是根据一些实施例的用于网络访问的认证的示例性架构的高级示意图。参考图2,主机设备210可以被表征为具有不可信执行环境和可信执行环境。当主机设备210体现为电子设备110时,所述可信执行环境可以由所述可信执行引擎170来实现,而所述不可信执行环境可以由系统100的一个或多个主处理器122和操作系统140来实现。如图2所示,被识别为图2中的发行者230的发行证书的远程实体供应证书,其被存储在主机设备210的可信执行环境中。使用中,可以提供所述发行的证书和一个或多个用户证书224作为去往一个或多个认证算法222的输入,所述认证算法222处理所述证书并且生成可以被提供给一个或多个依赖方240的令牌。可以通过在可信执行环境与允许发行证书到220可信执行环境内或生命周期管理235可信执行环境的内容和算法222的实体之间排他的、密码保护的、关系来维护可信执行环境的完整性。
图3是根据一些实施例的虚拟销售交易点的示例性架构的更详细的示意图。在图3所描绘的实施例中,可信执行层包括供应和生命周期管理模块310、平台传感器证书模块320、一组证书储存库340。令牌访问管理模块352接受所述可信执行层中存储的一个或多个令牌访问方法和规则350作为输入。
在图3所描绘的实施例中,所述平台传感器证书可以包括受保护的键盘输入路径证书322、GPS位置证书、生物计量证书326、加速度计或陀螺仪证书328、或恶意软件拦截抵抗安全屏幕输入机制证书330中的一个或多个。所述证书储存库340可以包括NFC输入设备342、一个或多个安全元件344、云证书存储访问机制346。
不可信执行层(即,主机操作系统层)实现一个或多个代理以促进与所述可信执行层组件的通信。因此,所述不可信执行层维护生命周期管理代理360来促进所述供应和生命周期管理模块310和证书的远程发行者230以及委托来安全管理235所述可信执行层的实体之间的通信。类似地,主机代理362促进在所述不可信执行层中执行的一个或多个客户应用380与所述令牌访问管理器352之间的通信。持久性代理364提供令牌访问管理器352与平台数据存储366之间的通信链路。云代理370提供云证书存储250与云存储访问机制346之间的通信链路。
使用中,所述系统可以从各种源获得证书。例如,发行者230可以经由LCM代理360将证书发行到系统。所发行的证书可以包括动态一次性密码(OTP)生成种子、用户证书(例如,具有公开/私有密钥对的x509证书)、财务信息(例如信用卡信息)、银行卡信息,诸如此类。所发行的证书可以存储在所述证书储存库340的一个或多个中。相比之下,响应于来自依赖方的请求,在认证过程期间实时地或提前从用户获得所述平台传感器证书320。本领域的技术人员会认识到作为依赖方要求其它证书的结果可以间接请求平台传感器证书,如下面所描述的,或甚至由依赖方直接请求。以示例的方式,可以针对用户而对生物计量签名编目录,从而允许集中运行的认证验证系统。使用本文描述的实施例,依赖方可能向平台要求指纹证书。所述平台可能使用指纹采集硬件而获得该证书,而且可能将该信息返回给请求/依赖方。
图4是根据一些实施例的用于网络访问的认证的系统的示意图。参考图4,电子设备110可以经由网络440耦合到一个或多个网络资源420以及一个或多个认证服务器430。电子设备110可以包括用以实现与远程设备例如借记卡/信用卡或ID卡410进行无线通信的近场通信(NFC)接口。在一些实施例中,电子设备110可以体现为移动电话、平板计算机、PDA或上文参考电子设备110描述的其它移动计算设备。网络440可以体现为公共通信网,诸如,例如,因特网、或私有通信网、或其组合。借记卡/信用卡或ID卡410可以包括识别所述用户的磁条数据。在一些实施例中,所述磁条数据可以使用加密密钥来保密。
一个或多个认证服务器430可以体现为计算机系统。在一些实施例中,一个或多个服务器可以体现为认证服务器,并且可以由厂商或操作安全平台的第三方来管理。一个或多个认证服务器430可以由厂商或第三方支付系统(例如交易结算服务或信用卡服务)来操作。
已经描述了用于网络访问的认证的系统的各种结构,将参考图5来解释此类系统的操作方面,图5是图示根据一些实施例的用来实现用于网络访问的认证的方法的操作的流程图。在一些实施例中,在图5的流程图中所描绘的操作可以由图1中所描绘的所述可信执行引擎170的一个或多个各个组件176单独或与软件模块组合地来实现,所述软件模块可以在电子设备的操作系统上运行。
参考图5,在一些实施例中,图5中所描绘的操作使得用户能够通过利用由认证服务器430提供的第三方认证能力来实现用于网络访问的认证。在一些实施例中,所述电子设备可以体现为手持计算设备,其包括如图1-5所描绘的可信执行引擎。类似地,认证服务器可以体现为计算设备,其包括如图1-5所描绘的可信执行引擎。参考图5,在操作510处,电子设备接收认证请求。以示例的方式,在一些实施例中,可以通过用户发起登录序列而发起认证请求,例如,通过轻敲电子设备110上的磁条数据卡或以其它方式启动认证应用。响应于所述认证请求,所述可信执行引擎170的处理器172启动认证模块176。
在操作515处,所述电子设备经由近场通信(NFC)通信链路接收第三方标识分组。以示例的方式,在一些实施例中,所述认证模块176调用所述NFC模块180来发起安全通信链路以经由可信执行引擎上的I/O接口来检索被编码在所述磁条数据卡上的磁条数据上的标识分组。因为所述I/O操作从可信执行引擎中执行,从磁条卡上检索的数据不再暴露到电子设备的操作系统,因此安全而免于被恶意访问。
在操作520处,所述电子设备接收登录授权。以示例的方式,在一些实施例中,所述WYSIWYS模块182打开电子设备显示器上的安全窗口,并且在所述窗口上呈现授权请求。所述电子设备的用户通过在安全窗口中输入某一输入来对所述授权请求进行响应,其授权所述登录请求。所述WYSIWYS模块182生成与所述输入相关联的个人识别号(pin)。
在操作525处,所述标识分组被签名并保密以供传输到远程认证提供者。以示例的方式,在一些实施例中,所述认证模块176调用所述EPID模块,其保密所述标识分组而且应用签名,所述签名证实通过NFC通信链路而安全获得所述分组,并且使用所述WYSIWYS模块而安全获得所述WYS个人识别号。
在操作530处,所述电子设备110将所述保密的标识分组转发到所述远程认证服务器430,其在操作535处接收所述分组。以示例的方式,在一些实施例中,所述认证模块176使用所述标识分组中的数据来建立与所述远程认证服务器430的安全的端到端会话以获得与远程认证提供者430的用户的账号信息。
在操作540处,所述远程认证提供者430使用所述标识分组提供的数据来认证并授权所述用户。以示例的方式,在一些实施例中,所述远程认证提供者430验证所述用户是认证的而且可以执行一个或多个反欺诈过程来检测和/或禁止对标识分组中数据的欺诈性使用。所述远程认证服务器430将授权响应返回给所述电子设备110。
在操作545处,所述电子设备110接收所述授权响应。以示例的方式,在一些实施例中,所述响应是经由所述可信执行引擎170中的I/O接口178而接收的,并因此对所述电子设备110的不可信操作环境是不可访问的。
在操作550处,所述认证模块176检查来自远程认证提供者的所述响应。如果,在操作550处,来自远程认证服务器430的所述响应指示所述登录是未授权的,那么控制转到操作555,并且所述登录过程被终止,访问被拒绝。相反地,如果在操作550处,来自远程认证服务器430的所述响应指示所述登录是授权的,那么控制转到操作560,并且检索用于所述用户的登录信息。以示例的方式,在一些实施例中,所述认证模块176搜索本地数据库,其包含从网络用户和域到与标识分组中的数据相关联的账号信息的映射。
在操作565处,将登录信息从认证模块176发送到主机代理。所述登录信息的特定形式可以是请求登录的类型的函数。以示例的方式,如果请求本地登录,那么本地登录证书被返回。相比之下,如果请求域登录,那么域登录证书被返回。类似地,如果请求web(网络)登录,那么web证书被返回。所述主机代理建立去往适当的后端服务的连接,并且供应所述证书,以及在操作570处,可以实现正常的登录过程。
在一些实施例中,所述远程服务提供者430可以被提供认证服务的第三方服务提供者所管理。以示例的方式,在一些实施例中,所述信用卡410可以由VISA发行,并且可以利用所述VISA网络来提供认证和欺诈检测服务。本领域的技术人员将认识到可以利用替换的服务提供者。
因此,本文描述了电子设备中实现用于网络访问的认证的架构和相关联的方法。在一些实施例中,所述架构使用嵌入到电子设备平台中的硬件能力来给交易授权方提供担保,交易由授权的个体来进行。在本文描述的实施例中,认证和持久性基于与所述主机操作系统分开的发生在可信环境中的处理。所述执行环境可以在可信执行引擎中实现,其获得且验证用户身份,然后提供身份验证的证据,并可以提供满足交易要求所需的其它元件。所述结果是平台发行的令牌,其表示给依赖方的这些所需的元件的完成。在一些实施例中,所述可信执行引擎可以在远程或可附接的设备中实现,例如电子狗(dongle)。
本文中提到的术语“逻辑指令”涉及可以由用于执行一个或多个逻辑操作的一个或多个机器所理解的表达式。例如,逻辑指令可以包括由处理器编译器可解释的指令,其用于在一个或多个数据对象上执行一个或多个操作。然而,这仅仅是机器可读指令的示例,并且实施例在这方面不被限制。
本文中提到的术语“计算机可读介质”涉及能够维护由一个或多个机器可察觉的表达式的介质。例如,计算机可读介质可以包括用来存储计算机可读指令或数据的一个或多个存储设备。此类存储设备可以包括存储介质,诸如,例如光学、磁性或半导体存储介质。然而,这仅仅是计算机可读介质的示例,并且实施例在这方面不被限制。
本文中提到的术语“逻辑”涉及用于执行一个或多个逻辑操作的结构。例如,逻辑可以包括提供基于一个或多个输入信号的一个或多个输出信号的电路。此类电路可以包括接收数字输入而且提供数字输出的有限的状态机、或者响应于一个或多个模拟输入信号而提供一个或多个模拟输出信号的电路。此类电路可以在专用集成电路(ASIC)或现场可编程门阵列(FPGA)中提供。同样,逻辑可以包括存储在存储器中的机器可读指令,与处理电路结合地来执行此类机器可读指令。然而,这些仅仅是可以提供逻辑的结构的示例,并且实施例在这方面不被限制。
本文描述的一些方法可以体现为计算机可读介质上的逻辑指令。当在处理器上执行时,所述逻辑指令使处理器被编程为实现所描述的方法的专用机器。当被所述逻辑指令配置为执行本文所描述的方法时,所述处理器构成用来执行所描述的方法的结构。可替换地,本文所描述的方法可以精简为例如现场可编程门阵列(FPGA)、专用集成电路(ASIC)等等上的逻辑。
在所述描述和权利要求中,可以使用术语耦合的和连接的连同其衍生物。在特定实施例中,连接可以被用来指示两个或更多元件与彼此直接物理或电气接触。耦合的可以意为两个或更多元件直接物理或电气接触。然而,耦合的也可以意为两个或更多元件可能不与彼此直接接触,但是可以仍然与彼此合作或交互。
在说明书中提到“实施例”或“一些实施例”意为关于实施例所描述的特定特征、结构、或特性包括在至少一个实现方式中。说明书中各个位置处的短语“在一个实施例中”的出现可以或可以不全都指的是相同的实施例。
虽然已经用对结构特征和/或方法论行为特定的语言描述了实施例,应当理解,所要求保护的主题可以不限于所描述的特定特征或行为。而是,所述特定的特征和行为被公开为实现所要求保护的主题的样本形式。
Claims (28)
1.一种控制器,包括用以进行以下动作的模块:
经由近场通信链路接收由远程认证提供者所生成的标识分组;
将电子签名与所述标识分组相关联;
将所述标识分组传输到所述远程认证提供者;
从所述远程认证提供者接收授权;
在收到所述授权之后,从本地存储检索与所述标识分组相关联的登录信息;以及
使用所述登录信息而发起登录过程,以使用户能够访问与所述控制器远程耦合的网络资源。
2.根据权利要求1所述的控制器,其中所述模块包括用以与远程设备进行通信的近场无线通信接口。
3.根据权利要求1所述的控制器,进一步包括用以检测发起输入信号的模块。
4.根据权利要求3所述的控制器,其中:
所述标识分组包括与由所述远程认证提供者所发行的卡相关联的数据;以及
所述发起输入信号是响应于在所述控制器的预定物理附近内的卡而生成的。
5.根据权利要求1所述的控制器,进一步包括用以创建在所述控制器与所述远程认证提供者之间的安全通信信道的模块。
6.根据权利要求1所述的控制器,进一步包括用以从所述控制器的用户获得交易授权的模块。
7.根据权利要求1所述的控制器,进一步包括用以提供登录证书给耦合到控制器的电子设备的模块。
8.一种电子设备,包括:
用以执行要实现不可信计算环境的操作系统的处理器;以及
控制器,所述控制器包括存储器以及用以进行以下动作的模块:
经由近场通信链路接收由远程认证提供者所生成的标识分组;
将电子签名与所述标识分组相关联;
将所述标识分组传输到所述远程认证提供者;
从所述远程认证提供者接收授权;
在收到所述授权之后,从本地存储检索与所述标识分组相关联的登录信息;以及
使用所述登录信息而发起登录过程,以使用户能够访问与所述控制器远程耦合的网络资源。
9.根据权利要求8所述的电子设备,其中,所述模块包括用以与远程设备进行通信的近场无线通信接口。
10.根据权利要求8所述的电子设备,进一步包括用以检测发起输入信号的模块。
11.根据权利要求10所述的电子设备,其中:
所述标识分组包括与由所述远程认证提供者所发行的卡相关联的数据;以及
所述发起输入信号是响应于在所述控制器的预定物理附近内的卡而生成的。
12.根据权利要求8所述的电子设备,进一步包括用以创建在所述控制器与所述远程认证提供者之间的安全通信信道的模块。
13.根据权利要求8所述的电子设备,进一步包括用以从所述控制器的用户获得交易授权的模块。
14.根据权利要求8所述的电子设备,进一步包括用以提供登录证书到电子设备的模块。
15.一种用于网络访问的认证的方法,包括:
经由近场通信链路接收由远程认证提供者所生成的标识分组;
将电子签名与所述标识分组相关联;
将所述标识分组传输到所述远程认证提供者;
从所述远程认证提供者接收授权;
响应于所述授权,从本地数据库检索电子设备的主机代理中的与所述标识分组相关联的登录信息;以及
使用所述登录信息而发起登录过程,以使用户能够访问与所述电子设备远程耦合的网络资源。
16.根据权利要求15所述的方法,进一步包括检测发起输入信号。
17.根据权利要求16所述的方法,其中:
所述标识分组包括与由所述远程认证提供者所发行的卡相关联的数据;以及
所述发起输入信号是响应于在所述电子设备的预定物理附近内的卡而生成的。
18.根据权利要求15所述的方法,进一步包括创建在所述电子设备与所述远程认证提供者之间的安全通信信道。
19.根据权利要求15所述的方法,进一步包括从所述电子设备的用户获得交易授权。
20.根据权利要求15所述的方法,进一步包括提供登录证书到耦合到所述电子设备的电子设备。
21.一种用于网络访问的认证的产品,包括:
用于经由近场通信链路接收由远程认证提供者所生成的标识分组的部件;
用于将电子签名与所述标识分组相关联的部件;
用于将所述标识分组传输到所述远程认证提供者的部件;
用于从所述远程认证提供者接收授权的部件;
用于响应于所述授权,从本地数据库检索电子设备的主机代理中的与所述标识分组相关联的登录信息的部件;以及
用于使用所述登录信息而发起登录过程,以使用户能够访问与所述电子设备远程耦合的网络资源的部件。
22.根据权利要求21所述的产品,进一步包括用于实现用以与远程设备进行通信的近场无线通信接口的部件。
23.根据权利要求21所述的产品,进一步包括用于检测发起输入信号的部件。
24.根据权利要求23所述的产品,其中:
所述标识分组包括与由所述远程认证提供者所发行的卡相关联的数据;以及
所述发起输入信号是响应于在所述电子设备的预定物理附近内的卡而生成的。
25.根据权利要求21所述的产品,进一步包括用于创建在所述电子设备与所述远程认证提供者之间的安全通信信道的部件。
26.根据权利要求21所述的产品,进一步包括用于从所述电子设备的用户获得交易授权的部件。
27.根据权利要求21所述的产品,进一步包括用于提供登录证书到耦合到电子设备的部件。
28.一种计算机可读介质,其上存储有指令,所述指令在被运行时使计算装置执行权利要求15-20中任一项所述的方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2011/067532 WO2013100954A1 (en) | 2011-12-28 | 2011-12-28 | Authentication for network access related applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104012034A CN104012034A (zh) | 2014-08-27 |
| CN104012034B true CN104012034B (zh) | 2018-02-06 |
Family
ID=48698197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180076002.3A Expired - Fee Related CN104012034B (zh) | 2011-12-28 | 2011-12-28 | 用于网络访问有关的应用的认证 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US9391967B2 (zh) |
| EP (1) | EP2807792B1 (zh) |
| JP (1) | JP5927681B2 (zh) |
| KR (1) | KR101700171B1 (zh) |
| CN (1) | CN104012034B (zh) |
| WO (1) | WO2013100954A1 (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9391967B2 (en) | 2011-12-28 | 2016-07-12 | Intel Corporation | Authentication for network access related applications |
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| WO2015094326A1 (en) * | 2013-12-20 | 2015-06-25 | Intel Corporation | Secure import and export of keying material |
| GB201408539D0 (en) * | 2014-05-14 | 2014-06-25 | Mastercard International Inc | Improvements in mobile payment systems |
| US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
| US9749294B1 (en) * | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
| US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
| US9811686B1 (en) | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
| US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
| CN109074439B (zh) * | 2016-07-12 | 2022-04-15 | 惠普发展公司,有限责任合伙企业 | 用于服务的证书 |
| US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
| US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
| WO2019100150A1 (en) * | 2017-11-24 | 2019-05-31 | Elsi Inc. | Devices, systems, and methods for securely storing and managing sensitive information |
| US11178148B2 (en) | 2018-08-21 | 2021-11-16 | HYPR Corp. | Out-of-band authentication to access web-service with indication of physical access to client device |
| US10939295B1 (en) | 2018-08-21 | 2021-03-02 | HYPR Corp. | Secure mobile initiated authentications to web-services |
| US10601828B2 (en) * | 2018-08-21 | 2020-03-24 | HYPR Corp. | Out-of-band authentication based on secure channel to trusted execution environment on client device |
| US11057366B2 (en) * | 2018-08-21 | 2021-07-06 | HYPR Corp. | Federated identity management with decentralized computing platforms |
| JP2022508010A (ja) * | 2018-10-02 | 2022-01-19 | キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー | 非接触カードの暗号化認証のためのシステムおよび方法 |
| US11876798B2 (en) * | 2019-05-20 | 2024-01-16 | Citrix Systems, Inc. | Virtual delivery appliance and system with remote authentication and related methods |
| CN110635916B (zh) * | 2019-09-30 | 2022-07-12 | 四川虹微技术有限公司 | 基于tee的安全应用认证方法 |
| US20220108004A1 (en) * | 2020-10-06 | 2022-04-07 | T-Mobile Usa, Inc. | Trusted execution environment (tee) detection of systemic malware in a computing system that hosts the tee |
| US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1207503A2 (en) * | 2000-11-09 | 2002-05-22 | Jinsam Kim | System and method of authenticating a credit card using a fingerprint |
| CN1536520A (zh) * | 2003-04-07 | 2004-10-13 | 使用指纹信息的信用交易系统及方法 | |
| CN1682222A (zh) * | 2002-07-09 | 2005-10-12 | 美国快递旅游服务股份有限公司 | 有触点或无触点交易中用射频识别激励支付的系统和方法 |
| CN1707493A (zh) * | 2004-06-04 | 2005-12-14 | 创群科技股份有限公司 | 传送动态密码的交易确认方法及系统 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060183462A1 (en) * | 2005-02-11 | 2006-08-17 | Nokia Corporation | Managing an access account using personal area networks and credentials on a mobile device |
| JP2006277199A (ja) * | 2005-03-29 | 2006-10-12 | Fujitsu Ltd | 配達物管理システムおよび配達物保管庫 |
| US8112787B2 (en) | 2005-12-31 | 2012-02-07 | Broadcom Corporation | System and method for securing a credential via user and server verification |
| EP1987463A1 (en) * | 2006-02-21 | 2008-11-05 | WEISS, Kenneth P. | Method and apparatus for secure access payment and identification |
| JP4499678B2 (ja) * | 2006-03-08 | 2010-07-07 | 三菱電機インフォメーションシステムズ株式会社 | 複数端末利用者認証システム、認証サーバ及び認証統合端末 |
| US8116734B2 (en) * | 2006-08-22 | 2012-02-14 | Verizon Patent And Licensing Inc. | Party identification in a wireless network |
| JP2008217626A (ja) * | 2007-03-07 | 2008-09-18 | Fuji Xerox Co Ltd | サービス提供システム及びサービス提供プログラム |
| US20080307223A1 (en) * | 2007-06-08 | 2008-12-11 | Brickell Ernest F | Apparatus and method for issuer based revocation of direct proof and direct anonymous attestation |
| GB2457062A (en) | 2008-02-01 | 2009-08-05 | Iti Scotland Ltd | Tag reader / writer process partitioned for execution between secure and non-secure processing environments |
| US8214890B2 (en) * | 2008-08-27 | 2012-07-03 | Microsoft Corporation | Login authentication using a trusted device |
| US8689013B2 (en) * | 2008-10-21 | 2014-04-01 | G. Wouter Habraken | Dual-interface key management |
| JP2010198341A (ja) * | 2009-02-25 | 2010-09-09 | Fujitsu Fsas Inc | 認証処理プログラム及び装置 |
| JP2010238090A (ja) | 2009-03-31 | 2010-10-21 | West Japan Railway Co | 認証システム及び認証方法 |
| BR112012010703A2 (pt) * | 2009-11-04 | 2019-09-24 | Visa Int Service Ass | ficha de verificação, método, produto de programa de computador, entidade de validação, e, método de provisão de valores de verificação de dispositivo |
| US9391967B2 (en) | 2011-12-28 | 2016-07-12 | Intel Corporation | Authentication for network access related applications |
-
2011
- 2011-12-28 US US13/976,191 patent/US9391967B2/en not_active Expired - Fee Related
- 2011-12-28 KR KR1020147017998A patent/KR101700171B1/ko active IP Right Grant
- 2011-12-28 CN CN201180076002.3A patent/CN104012034B/zh not_active Expired - Fee Related
- 2011-12-28 WO PCT/US2011/067532 patent/WO2013100954A1/en active Application Filing
- 2011-12-28 JP JP2014550249A patent/JP5927681B2/ja not_active Expired - Fee Related
- 2011-12-28 EP EP11878513.8A patent/EP2807792B1/en not_active Not-in-force
-
2016
- 2016-05-06 US US15/148,237 patent/US10083445B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1207503A2 (en) * | 2000-11-09 | 2002-05-22 | Jinsam Kim | System and method of authenticating a credit card using a fingerprint |
| CN1682222A (zh) * | 2002-07-09 | 2005-10-12 | 美国快递旅游服务股份有限公司 | 有触点或无触点交易中用射频识别激励支付的系统和方法 |
| CN1536520A (zh) * | 2003-04-07 | 2004-10-13 | 使用指纹信息的信用交易系统及方法 | |
| CN1707493A (zh) * | 2004-06-04 | 2005-12-14 | 创群科技股份有限公司 | 传送动态密码的交易确认方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015509234A (ja) | 2015-03-26 |
| EP2807792A1 (en) | 2014-12-03 |
| CN104012034A (zh) | 2014-08-27 |
| WO2013100954A1 (en) | 2013-07-04 |
| US10083445B2 (en) | 2018-09-25 |
| KR101700171B1 (ko) | 2017-01-26 |
| KR20140104983A (ko) | 2014-08-29 |
| EP2807792A4 (en) | 2015-11-11 |
| US20140259115A1 (en) | 2014-09-11 |
| JP5927681B2 (ja) | 2016-06-01 |
| EP2807792B1 (en) | 2018-07-04 |
| US20160247162A1 (en) | 2016-08-25 |
| US9391967B2 (en) | 2016-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104012034B (zh) | 用于网络访问有关的应用的认证 | |
| RU2537795C2 (ru) | Доверенный дистанционный удостоверяющий агент (traa) | |
| US10496982B2 (en) | Secure contactless card emulation | |
| CN105493538B (zh) | 用于安全元件中心式nfc架构的nfc访问控制的系统和方法 | |
| RU2523304C2 (ru) | Доверенный администратор достоверности (tim) | |
| US9536100B2 (en) | Scalable secure execution | |
| CN104081420A (zh) | 虚拟的销售点 | |
| US11301897B2 (en) | Secure visual transactions for mobile devices | |
| ES2964211T3 (es) | Utilización de una tarjeta de transacción para proporcionar autenticación secundaria para acceder a una aplicación segura con un dispositivo de usuario | |
| US20120167194A1 (en) | Client hardware authenticated transactions | |
| KR101938445B1 (ko) | 신뢰성 있는 서비스 상호작용 | |
| CN104182695B (zh) | 确保验证和授权操作期间所用信息的保密性的系统和方法 | |
| Kanimozhi et al. | Security aspects of mobile based E wallet | |
| CN102254259A (zh) | 用于实施信任远程支付交易的方法和设备 | |
| EP4113412B1 (en) | Device and method for virtual authorization code-based process authorization | |
| CA2980766A1 (en) | Effecting pin change for payment devices | |
| Kier et al. | Mobile Payment Fraud: A practical view on the Technical Architecture and Starting Points for Forensic Analysis of new attack scenarios | |
| US12261958B2 (en) | Device and method for virtual authentication code-based process authorization | |
| US20230090508A1 (en) | Device and method for virtual authentication code-based process authorization | |
| WO2018048553A1 (en) | Systems and methods for providing notification services using a digital wallet platform | |
| Markh et al. | A METHOD TO SECURE A MOBILE PAYMENT APPLICATION SOLUTION ON A CARDHOLDER-OWNED MOBILE DEVICE | |
| JP6172549B2 (ja) | ネットワークアクセスに関連したアプリケーションのための認証 | |
| Galal et al. | Security Test of iZettle's Reader 2: A card terminal for safe payments? |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180206 Termination date: 20191228 |