CN109074439B - 用于服务的证书 - Google Patents
用于服务的证书 Download PDFInfo
- Publication number
- CN109074439B CN109074439B CN201680085251.1A CN201680085251A CN109074439B CN 109074439 B CN109074439 B CN 109074439B CN 201680085251 A CN201680085251 A CN 201680085251A CN 109074439 B CN109074439 B CN 109074439B
- Authority
- CN
- China
- Prior art keywords
- service
- account
- mobile device
- target device
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/143—Termination or inactivation of sessions, e.g. event-controlled end of session
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
在一些示例中,移动设备向帐户控制服务登记第一服务的帐户,所述帐户控制服务与所述第一服务分离。响应于所述移动设备相对于所述帐户控制服务被授权,所述移动设备搜索处于所述移动设备的通信范围内的目标设备。所述移动设备向在所述搜索中发现的所述目标设备传送由所述目标设备在网络上访问的第一服务的帐户的证书。
Description
背景技术
用户能够使用电子设备对在远程服务器的服务进行访问。为了访问该服务,用户可能不得不键入证书,例如包括用户名及密码。一旦在该服务接收到证书且验证,能够创建电子设备和服务之间的活动会话。
附图说明
关于附图来描述本公开文件的一些实施例。
图1为根据一些示例、包括移动设备、目标设备和帐户控制服务的布置的框图。
图2图示了根据一些示例的、由客户端应用向帐户控制服务进行的登记以及客户端应用的各种状态。
图3为根据一些示例的、由帐户控制服务、客户端应用和目标应用所执行的过程的流程图。
图4为根据进一步的示例、多个用户能够访问同一目标应用的布置的框图。
图5为根据一些示例、移动设备内存储机器可读指令的存储介质的框图。
图6为根据一些示例的帐户控制系统的框图。
图7为根据一些示例、目标设备所执行的过程的流程图。
具体实施方式
用户能够具有涉及相应的不同网络可访问服务的多个帐户,包括以下服务的任一或某种组合:社交网络服务,在线游戏服务,银行服务,电子邮件服务,卫星或有线电视服务,或能够在远程服务器提供、且可由用户在网络上访问的任意其它服务。网络可访问服务能够指的是在网络上可访问的服务,网络能够为有线网络、无线网络或两者的组合。在本公开文件中,网络可访问服务称作“在线服务”,或简称为“服务”。
用户能够对涉及在线服务的帐户进行设置。在一些示例中,在线服务的帐户能够指的是规定具体用户可访问的在线服务的特征、对在线服务使用的任何限制、与具体用户相关联的文件或文档、和用于访问在线服务的信息(以证书形式)的信息集合。更一般地,在线服务的帐户指的是允许相应的用户(或用户群)访问在线服务的信息。
作为对涉及在线服务的帐户进行设置的一部分,用户能够对用于授权用户访问在线服务的证书进行设置。证书能够指的是被提供给在线服务、以授权访问在线服务的任意信息。作为示例,证书能够包括下面的任一或某种组合:用户名或用户标识符,密码,访问码(包括数字或字符的序列或其组合),访问密钥,会话令牌或其它信息。用户能够对用于不同在线服务的帐户的相应证书进行设置。
为了提供强大的安全性,期望诸如密码之类的证书是无法由另一人轻易猜到的。通过使证书长而复杂(例如,通过将小写及大写字母、字符和/或符号的组合进行混合),能够使它更安全。然而,此类证书对于用户来说可能难以记住,尤其是当不同的证书用于不同的在线服务时。在一些情况下,假如用户有许多帐户,该用户可能为不同的帐户重复相同的证书,或使用较易记住的证书,诸如包括常用词或包括诸如生日、用户姓名、亲属姓名、宠物名等之类关于用户的信息的证书之类。将相同的证书用于多个帐户或使用易于猜到的证书,可能增加未授权用户侵入用户帐户的可能性。
根据本公开文件的一些实施例,管理用户对在线服务的安全访问的认证技术或机制包括帐户控制服务和移动设备中的移动应用。在本讨论中,用户试图从目标设备(其与帐户控制服务和移动设备分离)访问在线服务,从目标设备对在线服务的这一访问基于帐户控制服务和移动设备中移动应用的使用。作为示例,用于访问在线服务的目标设备能够包括下面任一:台式计算机、笔记本电脑、平板电脑、智能电话、游戏设备、用于电视的机顶盒或任意其它电子设备。根据一些实施例、用作认证技术或机制的一部分的移动设备能够包括与目标设备分离、且用户随身携带的设备。作为示例,移动设备能够包括下面任一:智能电话、可穿戴设备(例如,智能手表、智能眼镜等)、平板电脑、或移动且能随着用户活动、由用户带到不同位置的任意电子设备。
帐户控制服务用于对用户的针对不同在线服务的帐户的证书进行管理。帐户控制服务能够提供用户能够用来对不同在线服务的帐户进行登记的集中式服务。向帐户控制服务登记在线服务的帐户能够包括给帐户控制服务提供用于标识在线服务的信息和用于访问在线服务的证书。多个用户能够向帐户控制服务登记他们各自的在线服务帐户。
除了使用帐户控制服务,用户的移动设备进一步用于控制对在线服务的访问。基于假设用户通常将他或她的移动设备带在用户身上,用户的移动设备的邻近性提供了用户在附近、因而可能是试图用目标设备(其与移动设备分离)访问在线服务的人的指示。检测到的用户移动设备的邻近性因而在用于访问在线服务的目标设备处提供用户身份的验证。
移动设备中的移动应用能够用于向帐户控制服务登记不同在线服务的帐户的用户证书。另外,当移动设备在目标设备的通信范围内时,移动设备能够给目标用户提供在线服的帐户的证书,使得用户能够利用目标设备访问在线服务。
图1为示例性布置的框图,其包括目标设备102、移动设备104(由用户116携带)和在其中执行帐户控制服务108的帐户控制系统106。帐户控制服务108能够包括帐户控制系统106中的一个处理器(或多个处理器)可执行的机器可读指令。帐户控制系统106能够用计算机或计算机的分布式布置来实现。在一些示例中,帐户控制系统106能够是云的一部分。
帐户控制系统106能够在网络110上与移动设备104和目标设备102通信。网络110能够是诸如互联网之类的公共网络、或诸如局域网之类的私有网络。网络110能够包括有线网络或无线网络。
目标设备102能够为能用于对诸如相应的应用服务器114所提供的任意在线服务112之类的远程在线服务进行访问的任意电子设备。目标设备102能够在网络110或不同网络上与应用服务器114通信。应用服务器114能够包括计算机或计算机布置。在线服务112能够实现为应用服务器114的一个处理器(或多个处理器)可执行的机器可读指令。在一些示例中,在线服务112可能是网站的一部分。
目标设备102执行目标应用118,目标应用118能被实现为在目标设备102的一个处理器(或多个处理器)上执行的机器可读指令。在一些示例中,目标应用118可能是网络浏览器。在其它示例中,目标应用118可能是可用于访问相应的在线服务112的不同应用。用户116能够使用目标设备102来访问在线服务112。
移动设备104包括客户端应用120,其包含移动设备104中的一个处理器(或多个处理器)可执行的机器可读指令。
使用客户端应用120,移动设备104的用户116能够向帐户控制服务108登记不同在线服务112的帐户。不同在线服务112的帐户的登记能够包括用户向帐户控制服务108提供在线服务帐户的证书,帐户控制服务108能够代表用户116将证书存储在中央库中。
目标设备102和移动设备104各自分别包括无线接口122或124,以执行无线通信(例如,射频通信、红外通信、声音通信等)。当移动设备104进入目标设备102的通信范围内时,移动设备104和目标设备102的无线接口124和无线接口122分别能够启动与彼此的通信,这样移动设备104能够将用于在线服务112的帐户的证书传送给目标设备102,该证书能被目标设备102用来访问在线服务112。
在一些示例中,无线接口122和124执行短距离无线通信,诸如蓝牙射频通信、近场通信(NFC)电磁感应通信、WI-FI无线局域网(WLAN)通信或任意其它类型的无线通信。利用蓝牙及NFC无线通信,移动设备104和目标设备102响应于无线接口124和122能够检测到彼此传送的信号而在彼此的通信范围内。使用WI-FI通信,移动设备104和目标设备102响应于移动设备104和目标设备102在WI-FI WLAN接入点的覆盖区内而在彼此的通信范围内,使得移动设备104和目标设备102能够通过接入点彼此通信。更一般地,响应于移动设备104和目标设备102彼此接近,移动设备104和目标设备102在彼此的通信范围内,使得它们能够直接或间接地彼此通信。
尽管图1示出了与用户116相关联的一个移动设备104,但注意,用户116可能具有多个移动设备,每个都加载了相应的、用户能够用来向帐户控制服务108执行在线服务帐户的登记的客户端应用120。当每个此类移动设备在目标设备102的通信范围内时,该移动设备也能用于向目标设备102传送用于在线服务112的证书。
而且,尽管图1示出了一个目标设备102,但注意,可能有用户116能够用来访问任意在线服务112的多个目标设备。例如,一个目标设备可能是用户家中的用户个人计算机。另一目标设备可能是办公室的用户工作计算机。又一目标设备可能是公共计算机,诸如位于旅馆、机场或某个其它位置的公共计算机之类。作为进一步的示例,目标设备102可能是用户116的朋友或同事所拥有的目标设备。
另外,在进一步的示例中,多个用户(其具有相应的类似于移动设备104的移动设备)能够使用帐户控制服务108和目标设备102来访问相应的在线服务112。
一旦客户端应用120使用客户端应用120和帐户控制服务108之间的一个登记过程(或多个登记过程)向帐户控制服务108登记不同在线服务的帐户,客户端应用120就能够被置于允许客户端应用120向目标设备102传送将从目标设备102访问的服务的证书的状态。
在一些示例中,如图2所示,客户端应用120能够具有数个不同状态,包括未登记状态、登记状态、授权状态和同步状态。尽管描述了特定状态,但注意,在其它示例中,客户端应用120能够具有其它状态。
未登记状态是客户端应用120的、在将客户端应用120安装入移动设备104后客户端应用120立刻启动的状态。
在用户向帐户控制服务108执行登记202(图2)以向帐户控制服务108登记用户的在线服务帐户后,客户端应用120从未登记状态转换到登记状态。一旦客户端应用120关于帐户控制服务108执行了登记,客户端应用120就一直处于登记状态(即,客户端应用120不转回未登记状态,除非用户116决定不向帐户控制服务108登记)。
客户端应用120还能包括授权状态和同步状态,下面进一步讨论。
起初,用户116能够使用客户端应用120来向帐户控制服务108设置用户116的主帐户204。帐户控制服务108可以为不同的用户维护不同的主帐户。主帐户204的设置能够包括设置主帐户204的主证书(例如,用户名及密码)。主证书被用户116用来登录主帐户204,以管理在线用户的帐户,诸如增加在线服务112的证书、改变在线服务112的证书或删除在线服务112的证书之类。
向帐户控制服务108登记202用户的在线服务帐户能够导致用于各种在线服务的帐户信息存储在用户116的主帐户204内,包括用于第一在线服务的在线服务1帐户信息206、用于第二在线服务的在线服务2帐户信息208等。用于主帐户204中存储的相应在线服务的帐户信息能够包括用于在线服务帐户的证书和与在线服务相关联的其它信息,诸如在线服务的证书之类。用户116为相应的在线服务112所设置的帐户证书可以是对于各种在线服务112是不同的且难以被黑客猜到的鲁棒证书。
用户116的不同在线服务的帐户信息的登记能够在相应的不同时间进行。例如,用户116能够使用客户端应用120来向帐户控制服务108初始登记用户在线服务帐户的子集。用户116能够在以后执行进一步的登记过程,以向帐户控制服务108登记另一在线服务帐户。
例如,用于在线服务的、能够存储在主帐户204中以由客户端应用120传送到目标应用118的证书可以是用户名和密码。在其它示例中,其它类型的证书能够用作其它用户认证技术的一部分。例如,证书能够包括访问密钥,其能包括由机器(诸如帐户控制系统106中执行的帐户控制服务108之类)生成的用户秘密。用户秘密包括与用户唯一相关联的任意信息。在一些情况下,访问密钥能够包括一对信息元素,诸如用户标识符和用户秘密之类。因此,术语“访问密钥”能够指的是单个信息元素或一对(或其它组)信息元素。能够创建与用于访问在线服务特征的不同许可相关联的多个访问密钥。
在使用访问密钥的示例中,作为向帐户控制服务108进行登记202的一部分,用户键入用户的用户名和密码以向帐户控制服务108认证。帐户控制服务108接着生成主帐户204的主访问密钥(包括,例如用户标识符和用户秘密),主访问密钥被提供给移动应用120以用于后面向帐户控制服务108的认证。移动应用120存储主帐户204的主访问密钥,而不是存储主帐户204的用户名和密码。
类似地,针对在线服务112可以使用访问密钥,而不是用户名和密码。用户能够在主帐户204中存储用于特定在线服务112的用户名和密码。作为响应,帐户控制服务108能够创建用于特定在线服务112、提供给客户端应用120的访问密钥。客户端应用120能够将此在线服务访问密钥(而不是用户名和密码)传送给目标应用118,以由目标应用188用于创建与特定在线服务112的活动会话。
在进一步的示例中,会话令牌能够用作证书。会话令牌能够基于用户标识符和用户秘密、或基于其它信息创建。会话令牌能够具有规定的生命期——换言之,会话令牌在规定的持续时间是有效的,之后会话令牌不再有效。使用此类示例,移动应用120能够发送会话令牌给目标应用118,以用于访问在线服务112。
作为向帐户控制服务108进行登记202的一部分,客户端应用120还能设置访问码(诸如个人标识号或其它个人信息),用户116必须将访问码键入移动设备104中以使客户端应用120从登记状态转换到授权状态。在授权状态中,移动设备104关于帐户控制服务108被授权。此类访问码作为访问码210存储在主帐户204中。当用户116键入有效的访问码(与访问码210匹配)时,客户端应用120转换到授权状态。
在一些示例中,客户端应用120不能搜索要连接的目标设备102,除非移动设备104处于授权状态。客户端应用120能够一直处于授权状态,直至发生规定的事件。规定的事件可以是响应于规定的持续时间到期而生成的超时事件。因此,一旦客户端应用120(诸如从登记状态)转换到授权状态,客户端应用120能够一直处于授权状态。假如在规定的持续时间期间未发生活动,那么发生超时,客户端应用120从授权状态转回登记状态。能够使客户端应用120退出授权状态的另一事件是改变事件,诸如响应于检测到移动设备移到与目标设备102超过一定距离或离开目标设备102的通信范围的不同位置的移动、而触发的事件。
当客户端应用120处于授权状态时,客户端应用120能够搜索要与之同步的目标设备102,使得客户端应用120能够与目标应用118同步。当客户端设备104移入目标设备102的通信范围内时,客户端应用120能够检测到目标设备102。一旦客户端应用120检测到目标设备102且与检测到的目标设备102的目标应用118连接时,客户端应用120从授权状态转换到同步状态。创建客户端应用120和目标应用118之间的连接可以指的是客户端应用120和目标应用118创建会话,使得客户端应用120和目标应用118能够互相通信,为的是允许客户端应用120传送在线服务帐户的证书(例如,用户名及密码、访问密钥、会话令牌等)给目标应用118,以用于访问在线服务112。
在使用短距离蓝牙或NFC的示例中,当移动设备104在目标设备102的规定的短物理距离内时,移动设备104和目标设备102在通信范围内。
在使用较长范围蓝牙或WI-FI的进一步示例中,能够假设当移动设备104和目标设备102能够互相通信时,它们极为接近。在此类进一步示例中,用户能够请求访问特定目标设备102,诸如通过扫描二维码(例如,在特定目标设备102上的快速响应或QR码)之类,或用户能够手动键入特定目标设备102的名称或标识符。
在使用WI-FI的示例中,当移动设备104进入WLAN时,移动设备104能够发送被广播给WLAN上的设备的消息,以通知潜在的目标设备存在移动设备104。
在其它示例中,移动应用120还能保留之前同步的目标设备、最爱的目标设备或允许移动应用120与之同步的附近目标设备的列表。
在一些示例中,客户端应用120能够创建与链接到目标应用118的模块119(图1)的连接。例如,假如目标应用118是网络浏览器,那么模块119能够是网络服务器的插件模块。插件模块是包括能够给诸如目标应用118的另一应用增加额外功能的机器可读指令的组件。在其它示例中,模块119可能是能够出于允许客户端应用120与目标应用118通信的目的、与目标应用118交互的另一类型的模块。
在进一步的示例中,模块119提供的功能能够包含在目标应用118自身内。
在本公开文件中,对执行相应任务的目标应用118的引用可以指的是执行相应任务的目标应用118或模块119之一或两者。
图3示出了能够在帐户控制服务108、客户端应用120和目标应用118间执行、以允许用户在目标设备102(其中执行目标应用118)访问在线服务112的示例性过程。在图3的示例中,假设客户端应用120创建了与目标应用118(例如,客户端应用处于同步状态)的连接。
当目标应用118诸如响应于用户使用目标应用118打开在线服务112的网页之类而接收(在302)对在远程应用服务器114的在线服务112进行访问的请求时,目标应用118能够给客户端应用120发送(在304)对要访问的在线服务112的帐户的证书的请求。响应于对证书的请求,客户端应用120能够生成(在305)提示,寻求用户确认允许客户端应用120发送证书给目标应用118。该提示能够采用具有控制元件的对话框的形式,用户可触发控制元件以确认用户希望继续创建与在线服务112的会话。在目标设备102为公共设备或某种其它不可信设备的情况下,能够生成该提示。在目标设备102为可信设备的其它情况下,不必向用户呈现该提示,来确认证书传送给目标应用118。响应于接收到目标设备102为可信设备的指示,客户端应用120能够响应于对证书的请求、而自动发送相应的证书给目标应用118。
能够使用移动应用120对可信设备进行配置,诸如使用移动应用120键入可信设备的标识信息之类。或者,能够使用帐户控制服务108对可信设备进行配置,在此情况下可信设备的标识信息能够添加到用户的主帐户。在一些示例中,对于特定在线服务(诸如银行服务之类),某些目标设备能够是可信的,而其它不可信。例如,用户在家的个人计算机能够对于访问银行服务能够是可信设备,而工作计算机或公共计算机对于访问银行服务不会是可信设备。
假如有目标应用118试图访问的多个在线访问帐户,那么呈现(在305)给用户的提示能够列出多个在线访问帐户,用户能够选择允许移动应用120传送相应的证书给目标应用118的在线服务帐户。
接下来,移动应用120发送(在306)请求的证书给目标应用118。由客户端应用120发送给目标应用118的证书能够由客户端应用120从帐户控制服务108处的用户主帐户中进行检索,或能够从移动设备104处的暂时存储的在线服务帐户信息的本地高速缓存中进行检索。
目标应用118接着能够将证书转发(在308)给在线服务112,以允许在目标应用118和在线服务112之间创建(在312)活动会话。
使用根据一些实施例的技术或机制,目标设备102处的目标应用118能够用于访问在线服务112,而用户不必在目标设备102手动键入证书。
在一些实施例中,在目标应用118创建(在312)与在线服务112的活动会话之前,目标应用118在网络110上创建(在310)与帐户控制服务108的连接。目标应用118能够传送关于为用户创建的、目标应用118和相应的在线服务112(或多个在线服务112)之间的活动会话的信息。关于活动会话的信息能够包括活动会话的标识符和涉及活动会话属性的参数。关于由指定用户访问的每个活动会话的信息能够存储于帐户控制服务108处的、与指定用户相关联的主帐户中。
目标应用118和帐户控制服务108之间的连接允许帐户控制服务108对目标应用118和服务112之间的活动会话进行管理。例如,帐户控制服务108能够通知目标应用118退出活动会话,或更改与活动会话相关联的某个参数。帐户控制范围108能够响应于从客户端应用120接收的请求,而对目标应用118和服务112之间的活动会话进行管理。作为一个示例,用户116能够使用客户端应用120给帐户控制服务108发送请求,以使得帐户控制服务108发送退出活动会话或更改活动会话(诸如更改活动会话的参数之类)的命令给目标应用118。
在目标设备102为不可信设备的示例性用例中,目标应用118能够对移动设备104的存在进行监控,以确保在活动会话进行中时、移动设备104一直在目标设备102的通信范围内。在目标设备102为不可信的此类示例性用例中,移动设备104移出目标设备102的通信范围是引发目标应用118退出目标应用118与在线服务112之间的活动会话的原因。移动设备104移出目标设备102的通信范围指示用户不再物理地处于目标设备102,这样应该终止活动会话,以避免用户离开目标设备102后他人看到活动会话的信息。
假如活动会话终止后、移动设备104再次移入目标设备102的范围,则移动应用120能够自动与目标应用118同步(转换到上面讨论的同步状态),且移动应用120能够给用户呈现提示,以确定目标应用118要再次登录相应的在线服务帐户。假如用户确认了,那么目标应用能够恢复之前的活动会话,在一些情况下甚至能够恢复查看过的网页。
在目标设备102为可信设备的其它用户用例中,那么目标应用118能够维持目标应用118和在线服务112之间的活动会话,即使移动设备104移出目标设备102的通信范围。
用户还能在移动设备104对目标设备102和在线服务112之间创建的活动会话进行控制。用户能够使用在移动设备104的客户端应用120登录用户的主帐户(例如,图2中的204)。用户的主帐户能够存储涉及用户当前参与的活动会话的信息。客户端应用120能够呈现当前在目标设备102和在线服务112之间进行中的活动会话的可视化。可视化能够包括可由用户触发的、对活动会话进行控制的控制元件。例如,能够触发终止活动会话的一个控制元件,而能够触发更改活动会话的另一控制元件。
可视化中控制元件的触发导致对应的指示被发送给帐户控制服务108,帐户控制服务108接着发送相应的命令给目标应用118,以导致关于活动会话执行的相应控制动作(例如,终止活动会话,更改活动会话)。
前述提及了这样一种用例,其中一个用户能够通过使用帐户控制服务108和用户的移动设备120来支持对在线服务的认证、使用可信的目标设备或不可信的目标设备对在线服务进行访问。
在其它示例性用例中,诸如图4所示之类,与相应的多个移动设备104A和104B相关联的多个用户(例如,用户116A和用户116B)能够连接到同一目标应用118。如图4所示,用户116A能够使用移动设备104A中的客户端应用120A将用于在线服务112的帐户信息登记在帐户控制服务108为用户116A维护的主帐户204A中,而用户116B能够使用移动设备104B中的客户端应用120B将用于在线服务112的帐户信息登记在帐户控制服务108为用户116B维护的主帐户204B中。
例如,在线服务112能够为在线游戏服务,目标设备102能够为游戏控制台、或允许多个用户访问在线游戏服务以合作玩在线游戏的另一计算机。
作为另一示例性用例,在线服务112能够为医师服务,医生能够使用医生的移动设备和支持认证的帐户控制服务108键入信息到医师服务中,以对医师服务进行访问。后来,护士能够使用护士的移动设备和支持认证的帐户控制服务108对医师服务进行访问,以检索医师键入的信息。
尽管图4示出了访问目标设备102的多个用户对一个在线服务进行访问,当注意在其它示例性用例中,多个用户能够对目标设备102进行访问,以访问多个在线服务。
图5为非暂时性机器可读或计算机可读存储介质500的框图,其存储在移动设备(例如上面讨论的移动设备104或104A或104B)上可执行以执行根据本公开文件的各种任务的机器可读指令。
机器可读指令包括向帐户控制服务(例如,108)登记第一服务(例如,在线服务112)的帐户的登记指令502,帐户控制服务与第一服务分离。机器可读指令进一步包括目标设备搜索指令504,目标设备搜索指令504响应于移动设备关于帐户控制服务被授权,而搜索在移动设备的通信范围内的目标设备(例如,102)。机器可读指令进一步包括证书传送指令506,证书传送指令506经由网络向在搜索中发现的目标设备发送由目标设备访问的第一服务的帐户的证书。
图6为示例性系统600的框图,该系统600能够是上面讨论的帐户控制系统106。系统600包括与网络(例如,图1中的网络110)进行通信的通信接口602和处理器604,处理器604执行证书存储指令606,以作为用移动设备在网络上执行的登记的一部分,存储第一服务(例如,在线服务112)的帐户的证书。处理器604进一步执行会话信息接收指令608,以经由网络从目标设备(例如,上面讨论的102)接收涉及在目标设备处的活动会话的信息,其中该活动会话基于证书的使用对第一服务进行访问。处理器604进一步执行命令发送指令610,以响应于来自移动设备的请求,发送命令给目标设备,以执行活动会话的会话管理,诸如终止活动会话或更改活动会话之类。
前文中,执行相应机器可读指令的处理器604能够指的是执行机器可指令的一个处理器或执行机器可读指令的多个处理器。处理器能够包括微处理器、多核微处理器的核、微控制器、可编程集成电路、可编程门阵列或另一硬件处理电路或前述的任意组合。
图7为目标设备(例如,102)能够执行的示例性过程的流程图。该过程包括由目标设备上运行的目标应用(例如,118)与远离目标设备的系统(例如,帐户控制系统106)中的帐户控制服务(例如,108)连接。该过程包括给处于目标设备的通信范围内的第一用户的第一移动设备(例如,104、104A或104B)发送(在704)对用来使用目标应用访问第一服务(例如,112)的证书的请求。该过程包括响应于从第一移动设备接收证书、使用目标应用创建(在706)与第一服务的活动会话。该过程进一步包括响应于来自帐户控制范围的命令、执行(在708)活动会话的管理。
图5的存储介质能够包括存储器的一种或多种不同形式,包括诸如动态或静态随机存取存储器(DRAM或SRAM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)和闪存之类的半导体存储器设备;诸如固定、软及可移除盘之类的磁盘;包括磁带的其它磁介质;诸如光盘(CD)或数字视频盘(DVD)之类的光介质;或其它类型的存储设备。注意能够在一个计算机可读或机器可读存储介质上提供上面讨论的指令,或替代地在可能具有多个节点的大型系统中分布的多个计算机可读或机器可读存储介质上提供。此类一个或多个计算机可读或机器可读存储介质被视为物品(或制品)的一部分。物品或制品能够指的是任意制造的单个组件或多个组件。一个或多个存储介质能够位于运行机器可读指令的机器上,或位于能够经由网络从其下载用于执行的机器可读指令的远程站点处。
在前面的描述中,记载了若干细节,以提供本文公开的主题的理解。然而,没有这些细节的一些也可以实现实施例。其它实施例可以包括来自上面讨论的细节的更改和变化。旨在所附的权利要求涵盖此类更改和变化。
Claims (11)
1.一种非暂时性机器可读存储介质,用于存储指令,所述指令一经执行,就使移动设备:
向由账户控制系统执行的帐户控制服务登记第一服务的帐户,所述帐户控制服务与所述第一服务分离;
响应于所述移动设备相对于所述帐户控制服务被授权,而搜索在所述移动设备的通信范围内的目标设备;
经由网络从由所述账户控制系统执行的所述账户控制服务检索由所述目标设备访问的所述第一服务的所述账户的证书;以及
经由网络向在所述搜索中发现的目标设备传送由所述目标设备访问的所述第一服务的所述帐户的所述证书。
2.根据权利要求1所述的非暂时性机器可读存储介质,其中,所述指令一经执行,就使所述移动设备响应于在所述移动设备接收到有效的访问码,而转换到所述移动设备相对于所述帐户控制服务被授权的授权状态。
3.根据权利要求2所述的非暂时性机器可读存储介质,其中所述指令一经执行,就使所述移动设备:
响应于规定的事件,而将所述移动设备从所述授权状态转换到所述移动设备相对于所述帐户控制服务未被授权的另一状态。
4.根据权利要求1所述的非暂时性机器可读存储介质,其中所述指令一经执行,就使所述移动设备:
向所述帐户控制服务登记第二服务的帐户,所述第二服务的帐户的登记包括向所述帐户控制服务提供所述第二服务的帐户的证书;
提示用户确认所述移动设备被授权将所述第一服务的帐户和所述第二服务的帐户中的哪个证书发送给所述目标设备。
5.根据权利要求1所述的非暂时性机器可读存储介质,其中所述指令一经执行,就使所述移动设备:
响应于所述目标设备为可信设备的指示,允许将所述第一服务的帐户的证书传送给所述目标设备,而不是首先提示用户进行确认。
6.根据权利要求1所述的非暂时性机器可读存储介质,其中将所述第一服务的帐户的证书传送给所述目标设备包括:将所述第一服务的帐户的证书传送给与所述目标设备处的目标应用相关联的模块,所述目标应用用于访问所述第一服务。
7.根据权利要求6所述的非暂时性机器可读存储介质,其中所述目标应用包括网络浏览器,并且所述模块为所述网络浏览器的插件模块。
8.一种账户控制系统,包括:
通信接口,与网络进行通信;以及
处理器,用于:
作为利用移动设备在所述网络上执行的登记的一部分,存储第一服务的帐户的证书;
允许所述移动设备检索所述第一服务的所述账户的所述证书;
经由所述网络从目标设备接收关于在所述目标设备处的、基于所述证书的使用对所述第一服务进行访问的活动会话的信息;以及
响应于来自所述移动设备的请求,发送命令给所述目标设备,以执行所述活动会话的会话管理。
9.根据权利要求8所述的账户控制系统,其中所述处理器进一步用于:
作为登记的一部分,存储第二服务的帐户的证书;以及
经由所述网络从所述目标设备接收关于在所述目标设备处的、基于所述第二服务的帐户的证书的使用对所述第二服务进行访问的另一活动会话的信息。
10.根据权利要求8所述的账户控制系统,其中所述第一服务由与所述系统分离的服务器提供。
11.根据权利要求8所述的账户控制系统,进一步包括用于存储帐户控制指令的非暂时性存储介质,所述帐户控制指令在所述处理器上可执行,以:
作为登记的一部分,用所述移动设备对与所述帐户控制指令相关联的访问码进行设置,所述访问码被所述移动设备用来授权所述移动设备与所述目标设备连接。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2016/041897 WO2018013089A1 (en) | 2016-07-12 | 2016-07-12 | Credential for a service |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109074439A CN109074439A (zh) | 2018-12-21 |
| CN109074439B true CN109074439B (zh) | 2022-04-15 |
Family
ID=60952165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680085251.1A Active CN109074439B (zh) | 2016-07-12 | 2016-07-12 | 用于服务的证书 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11176238B2 (zh) |
| EP (1) | EP3433784B1 (zh) |
| JP (1) | JP6686176B2 (zh) |
| KR (1) | KR102140921B1 (zh) |
| CN (1) | CN109074439B (zh) |
| WO (1) | WO2018013089A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11997635B2 (en) | 2019-04-29 | 2024-05-28 | Sonicwall Inc. | Establishing simultaneous mesh node connections |
| US12022295B2 (en) | 2019-04-29 | 2024-06-25 | Sonicwall Inc. | Streamlined creation and expansion of a wireless mesh network |
| US10972916B2 (en) * | 2019-04-29 | 2021-04-06 | Sonicwall Inc. | Instant secure wireless network setup |
| US12075246B2 (en) | 2019-04-29 | 2024-08-27 | Sonicwall Inc. | Securing transmission paths in a mesh network |
| US20230080122A1 (en) * | 2020-02-14 | 2023-03-16 | Intellectual Discovery Co., Ltd. | Method, device and computer program for cloud-authenticated pairing in wireless communication system, and recording medium therefor |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002157226A (ja) * | 2000-11-16 | 2002-05-31 | Nec Corp | パスワード集中管理システム |
| JP2006195716A (ja) * | 2005-01-13 | 2006-07-27 | Nec Corp | パスワード管理システム、方法およびプログラム |
| CN101133421A (zh) * | 2005-04-01 | 2008-02-27 | 国际商业机器公司 | 用于运行时刻用户帐户创建操作的方法 |
| JP2008098893A (ja) * | 2006-10-11 | 2008-04-24 | Matsushita Electric Ind Co Ltd | 無線通信モジュール、及び無線通信システム |
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN102656841A (zh) * | 2009-12-18 | 2012-09-05 | 诺基亚公司 | 凭证转移 |
| CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN104221349A (zh) * | 2012-04-17 | 2014-12-17 | 高通股份有限公司 | 使用移动设备来使另一设备能够连接到无线网络 |
| WO2015119614A1 (en) * | 2014-02-06 | 2015-08-13 | Hewlett-Packard Development Company, L.P. | Registering a user with a subscription service using a network-enabled printer |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10140596B2 (en) * | 2004-07-16 | 2018-11-27 | Bryan S. M. Chua | Third party authentication of an electronic transaction |
| JP2007293811A (ja) * | 2006-03-31 | 2007-11-08 | Nippon Telegr & Teleph Corp <Ntt> | 代理認証システム、代理認証方法及びそれに用いる認証装置 |
| JP4693818B2 (ja) * | 2007-07-09 | 2011-06-01 | 株式会社エヌ・ティ・ティ・ドコモ | 認証システム及び認証方法 |
| US8726356B2 (en) | 2008-02-28 | 2014-05-13 | Nippon Telegraph And Telephone Corporation | Authentication apparatus, authentication method, and authentication program implementing the method |
| JP2010224785A (ja) * | 2009-03-23 | 2010-10-07 | Konica Minolta Business Technologies Inc | データ転送システム及びデータ転送方法 |
| JP2011128985A (ja) | 2009-12-18 | 2011-06-30 | Toshiba Corp | アカウントアグリゲーションシステム、情報処理装置およびアカウントアグリゲーションシステムにおける暗号鍵管理方法 |
| JP5635381B2 (ja) * | 2010-12-07 | 2014-12-03 | 株式会社ピコ・ラボ | 認証方法、管理装置及び認証システム |
| US20120311038A1 (en) * | 2011-06-06 | 2012-12-06 | Trinh Trung Tim | Proximity Session Mobility Extension |
| US8635684B2 (en) | 2011-10-06 | 2014-01-21 | Sap Ag | Computer-implemented method for mobile authentication and corresponding computer system |
| CN103975615B (zh) | 2011-12-16 | 2019-09-03 | 英特尔公司 | 用自动生成的登录信息经由近场通信登录 |
| WO2013100954A1 (en) * | 2011-12-28 | 2013-07-04 | Intel Corporation | Authentication for network access related applications |
| US9413758B2 (en) * | 2012-05-24 | 2016-08-09 | Fmr Llc | Communication session transfer between devices |
| US20140007205A1 (en) | 2012-06-28 | 2014-01-02 | Bytemobile, Inc. | No-Click Log-In Access to User's Web Account Using a Mobile Device |
| US9942750B2 (en) * | 2013-01-23 | 2018-04-10 | Qualcomm Incorporated | Providing an encrypted account credential from a first device to a second device |
| US9565181B2 (en) | 2013-03-28 | 2017-02-07 | Wendell D. Brown | Method and apparatus for automated password entry |
| US9071967B1 (en) * | 2013-05-31 | 2015-06-30 | Amazon Technologies, Inc. | Wireless credential sharing |
| EP2833694A3 (en) * | 2013-07-29 | 2015-04-01 | HTC Corporation | Method of relay discovery and communication in a wireless communications system |
| US20150058191A1 (en) | 2013-08-26 | 2015-02-26 | Apple Inc. | Secure provisioning of credentials on an electronic device |
| US9363251B2 (en) | 2013-10-01 | 2016-06-07 | Google Technology Holdings LLC | Systems and methods for credential management between electronic devices |
| US20150310452A1 (en) * | 2014-04-27 | 2015-10-29 | AuthAir, Inc. | Access Control System For Medical And Dental Computer Systems |
| US10235512B2 (en) | 2014-06-24 | 2019-03-19 | Paypal, Inc. | Systems and methods for authentication via bluetooth device |
-
2016
- 2016-07-12 US US16/095,757 patent/US11176238B2/en active Active
- 2016-07-12 CN CN201680085251.1A patent/CN109074439B/zh active Active
- 2016-07-12 EP EP16908990.1A patent/EP3433784B1/en active Active
- 2016-07-12 KR KR1020187031444A patent/KR102140921B1/ko active Active
- 2016-07-12 JP JP2018556852A patent/JP6686176B2/ja active Active
- 2016-07-12 WO PCT/US2016/041897 patent/WO2018013089A1/en active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002157226A (ja) * | 2000-11-16 | 2002-05-31 | Nec Corp | パスワード集中管理システム |
| JP2006195716A (ja) * | 2005-01-13 | 2006-07-27 | Nec Corp | パスワード管理システム、方法およびプログラム |
| CN101133421A (zh) * | 2005-04-01 | 2008-02-27 | 国际商业机器公司 | 用于运行时刻用户帐户创建操作的方法 |
| JP2008098893A (ja) * | 2006-10-11 | 2008-04-24 | Matsushita Electric Ind Co Ltd | 無線通信モジュール、及び無線通信システム |
| CN102656841A (zh) * | 2009-12-18 | 2012-09-05 | 诺基亚公司 | 凭证转移 |
| CN103067338A (zh) * | 2011-10-20 | 2013-04-24 | 上海贝尔股份有限公司 | 第三方应用的集中式安全管理方法和系统及相应通信系统 |
| CN102638454A (zh) * | 2012-03-14 | 2012-08-15 | 武汉理工大学 | 一种面向http身份鉴别协议的插件式单点登录集成方法 |
| CN104221349A (zh) * | 2012-04-17 | 2014-12-17 | 高通股份有限公司 | 使用移动设备来使另一设备能够连接到无线网络 |
| WO2015119614A1 (en) * | 2014-02-06 | 2015-08-13 | Hewlett-Packard Development Company, L.P. | Registering a user with a subscription service using a network-enabled printer |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3433784A1 (en) | 2019-01-30 |
| EP3433784A4 (en) | 2020-01-29 |
| EP3433784B1 (en) | 2022-02-23 |
| US11176238B2 (en) | 2021-11-16 |
| US20200336476A1 (en) | 2020-10-22 |
| CN109074439A (zh) | 2018-12-21 |
| JP2019521544A (ja) | 2019-07-25 |
| JP6686176B2 (ja) | 2020-04-22 |
| KR102140921B1 (ko) | 2020-08-05 |
| KR20180131586A (ko) | 2018-12-10 |
| WO2018013089A1 (en) | 2018-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10489759B2 (en) | System and method for mobile peer authentication and asset control | |
| AU2015247838B2 (en) | Auto-user registration and unlocking of a computing device | |
| CN109074439B (zh) | 用于服务的证书 | |
| JP5514200B2 (ja) | 改良された生体認証及び識別 | |
| EP3350736B1 (en) | Device enabled identity authentication | |
| EP2901616B1 (en) | Method for mobile security context authentication | |
| US20110314153A1 (en) | Networked device authentication, pairing and resource sharing | |
| US20130212653A1 (en) | Systems and methods for password-free authentication | |
| JP2013122765A (ja) | ネットワークを共有する方法及びシステム | |
| CN105659557A (zh) | 用于单点登录的基于网络的接口集成 | |
| US9141778B2 (en) | Controlling access to an accessible object with an online access control list | |
| KR102482104B1 (ko) | 식별 및/또는 인증 시스템 및 방법 | |
| US11068574B2 (en) | Phone factor authentication | |
| KR102471673B1 (ko) | 전자 장치 및 그의 무선 통신 연결 제어 방법 | |
| KR101831381B1 (ko) | 메신저서비스를 이용한 스마트 로그인 방법 및 그 장치 | |
| US9906516B2 (en) | Security system for preventing further access to a service after initial access to the service has been permitted | |
| JP6077077B1 (ja) | 認証装置、認証方法及び認証プログラム | |
| KR102297784B1 (ko) | 사용자계정 생성 및 이용방법, 서비스서버 그리고 이를 위한 시스템 | |
| KR20120006696A (ko) | 스마트폰을 이용한 계정 잠금 시스템 및 그 방법 | |
| EP4203535A1 (en) | Systems and methods for credentials sharing | |
| KR101437550B1 (ko) | 웹 서버 접속 차단 방법 | |
| JP2001290554A (ja) | コンピューター及び同ネットワークにおける使用者ならびにアクセスを認証するための方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |