CN110096855A - 自适应认证系统和方法 - Google Patents
自适应认证系统和方法 Download PDFInfo
- Publication number
- CN110096855A CN110096855A CN201910162970.4A CN201910162970A CN110096855A CN 110096855 A CN110096855 A CN 110096855A CN 201910162970 A CN201910162970 A CN 201910162970A CN 110096855 A CN110096855 A CN 110096855A
- Authority
- CN
- China
- Prior art keywords
- user
- access
- module
- delegated strategy
- environment factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/65—Environment-dependent, e.g. using captured environmental data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
实施例包括一种由至少一个处理器执行的方法,包括:确定移动通信设备的第一环境因素;基于所确定的第一环境因素确定第一安全性认证级别;以及基于所述第一安全性认证级别来允许访问所述移动通信设备的第一模块。本文描述了其它实施例。
Description
本申请是申请日为2013年5月30日并且申请号为201380076053.5的中国同名专利申请的分案申请。
技术领域
本发明的实施例涉及移动计算节点的安全性。
背景技术
移动计算节点通过允许用户执行来自各处位置的各种任务而为用户提供便利性。移动计算节点包括例如:蜂窝电话、智能电话、平板、笔记本、膝上型电脑、个人数字助理以及基于移动处理器的平台。然而,为了实现便利性,许多用户对他们的设备不使用安全性保护或使用非常有限的安全性保护。不使用这种安全性保护的用户(例如,在访问其设备之前键入长的字母数字密码)每天被提示非常多次进行认证。这些用于认证的重复性提示干扰用户并限制其移动设备的便利性。
附图说明
将通过示例性实施例而非限制来描述本发明的实施例,其在附图中示出,其中类似的标记指示类似的元件,并且其中:
图1包括用于本发明实施例的示意性流程图。
图2包括用于本发明实施例的示意性流程图。
图3包括用于本发明实施例的示意性流程图。
图4包括在本发明的实施例中的移动计算节点。
具体实施方式
以最有助于理解图示实施例的方式依次将各种操作描述为多个离散操作;然而,描述的次序不应被解释为暗示这些操作必须依靠于次序。特别地,这些操作不需要按照所表示的次序执行。此外,将操作描述为分开的操作不应被解释为需要所述操作必须独立执行和/或通过分开的实体执行。将实体和/或模块描述为分开的模块类似地不应被解释为要求这些模块是分开的和/或执行分开的操作。在各种实施例中,图示和/或描述的操作、实体、数据和/或模块可以合并、分解为进一步的子部件和/或被省略。短语“实施例”被重复使用。该短语通常并不指同一实施例;然而,其可以指同一实施例。术语“包括”、“具有”以及“包含”是同义的,除非上下文另外指出。短语“A/B”表示“A或者B”。短语“A和/或B”表示“(A)、(B)或(A 和B)”。短语“A、B和C中的至少一个”表示“(A)、(B)、(C)、(A和B)、 (A和C)、(B和C)或(A、B和C)”。
许多用户在用户重复使用设备的“熟悉”场所使用他们的移动设备。这种场所包括例如:用户的家、工作地点、汽车等。实施例包括实现自适应认证的移动设备。实施例允许用户在熟悉的环境中比在不熟悉的环境中更容易地向移动设备认证他自己或她自己。例如,在设备感测到设备位于用户经常去的场所(例如,用户的家)时,用户可以使用语音识别来向她的移动设备认证她自己;但是在设备感测到设备位于用户不经常去的场所 (例如,机场)时,用户可以利用字母数字密码来向她的移动设备认证她自己。这通过平衡安全性和便利性而培养了安全遵从,因为如果用户没有被强迫不停地遵守这种措施(例如,输入长的密码),则用户更可能使用适当的安全性(例如,复杂密码),即使在类似坐在他们家中或办公室中的低风险情况下。本文描述了其它实施例。
许多用户使用他们的移动设备接收比其它通信更敏感或正式的通信。例如,来自同事的电子邮件可以被视为非常正式的,而来自儿子或女儿的短消息服务(SMS)文本可以被视为非正式的。实施例包括实现自适应认证的移动设备。相比于更正式的通信,实施例允许用户更容易地向移动设备认证他自己或她自己查看或访问非正式通信。例如,当设备判定已经接收到非正式通信(例如,来自兄弟姐妹的文本)时,用户可以利用指纹识别来向她的移动设备认证她自己,但是当设备感测到已经接收到更正式的通信(例如,来自未知第三方的语音消息)时,用户可能必须利用字母数字密码向她的移动设备认证她自己。本文描述了其它实施例。
以上示例用于说明目的,在本文中描述了其它实施例。在下文进行更一般的讨论。
实施例例如基于情况的上下文,将设备认证机制从易改变到难和/或从难改变到易。例如,实施例可以基于设备接收到的数据和数据的敏感性来改变设备认证要求。因此,接收到的具有“最高机密”标记或标示的电子邮件或从未在白名单中列出的一方(例如,先前未在与通信设备耦合的存储器中存储的白名单中列出的一方)接收到的即时消息可能要求更强的认证。
实施例允许用户基于数据敏感性、设备位置和/或其它形式的设备或通信上下文(也称作“环境因素”或“环境上下文”或“通信特性”)定义设备认证策略。这种上下文还可以包括环境噪声。认证策略可以要求认证基于多于一个上下文因素。例如,用户可以在他和他的移动设备在他的家中时接收视频聊天会话。认证策略可以考虑该上下文以满足“安全区域”,由此不需要认证来查看会话(因为用户在先前指定为安全场所的他的家中)。然而,移动设备可以感测到(或接收感测到的信息)电话附近大量环境噪声。这种噪声可以表明正在发生收集(例如,一方),从而用户不一定是孤独的。在这种情况下,认证策略可以“覆写”初始安全区域指示(基于电话位于用户家中)并反而要求提高的认证级别。该提高的认证级别可以包括任意级别的认证考虑,在该示例中,初始设定不要求认证,因为电话位于用户家中。
在实施例中,当移动通信设备没有连接到无线通信网络(例如,4G蜂窝网络或WiFi网络)上时,可能需要提高的认证级别(例如,要求严格的密码,例如9个字符的字母数字密码)。在这种情况下,策略可以确定难以确定用户位置,因为(经由无线网络)三角测量不容易获得(假设由于缺乏位置特异性或简单地通过选择,从而策略选择不依赖于GPS位置)。在没有确定位置的情况下,策略可以自动指定需要最高级别的认证。
使用一个或多个自适应认证实施例可以向用户提供保护他或她的移动设备的较不麻烦的方式。这接着鼓励用户为访问设备设置较高的认证级别,从而培养了安全计算。这可能减轻企业或雇主担心雇员使用单个移动设备处理雇主相关信息(敏感的)以及个人信息(例如不敏感的文本)的一些关注——并决定以低安全性对待所有的信息(雇主相关和个人相关)以满足便利愿望。
实施例涉及数据敏感性保护,从而接收到的具有“最高机密”标示的电子邮件或接收到的本质上为私人和个人的消息要求更强的认证。实施例基于用于通信的任意一个或多个“重要性”或“敏感性”设置或标记、电子邮件“安全性设置”(其可以包括数字签名、数字证书、通信主体中的加密的信息、耦合到电子邮件的加密的附件等)、存在“投票按钮”、要求用于消息的“输送收条”、要求用于消息的“已读收条”、附件是否耦合到通信、通信种类(例如,红色、蓝色、绿色)、电子邮件所来自的账户(例如,来自公司电子邮件账户(其可能在先前由公司IT部门进行标识)相对于没有被这样标识的个人电子邮件账户)等,来确定通信(例如,电子邮件) 敏感性。以上许多标记或标示可以与通信模块(例如,Microsoft )相关联。实施例可以将通信的发送者与白名单、黑名单等进行比较。例如,电子邮件地址可以链接到第三方的联系简档。用户可以白名单列出来自第三方的通信,例如用户的儿子或女儿,从而不需要认证或需要较少认证(例如,语音识别)来访问来自白名单列出的联系人的通信(例如,电子邮件)。然而,用户老板可能被放入黑名单,从而来自与老板的联系简档(例如,固定电话、移动电话、台式计算机、电子邮件地址等)相关联的计算节点的任何通信要求更高级别的认证以查看和/或访问(例如,回答)。
实施例可能要求基于所接收到的通信类型的更强认证。例如,所有文本可能不要求或较少要求认证,但是所有的语音消息、多媒体消息服务 (MMS)通信以及近场通信(例如,经由协议的移动设备到移动设备通信)可能要求提高的认证。
因此,实施例包括用于基于设备位置和/或设备接收到的通信的本质来自适应移动设备安全性的机制。实施例允许用户例如设置低、高和中等安全级别密码,而不是简单地对所有情况不要求密码或单个密码。实施例允许基于设备的位置改变的移动设备认证要求,而不是认证要求不关心设备的位置的传统设备。此外,实施例包括基于数据敏感性改变的移动设备认证要求,不管消息是私人或个人的、最高机密或工作相关消息,而传统系统不重视或较不重视这种情况。
自适应认证的实施例经由定义安全区域策略来修改设备用户的经验 (例如,在设备认证因素之间切换和/或改变例如锁住和屏幕超时的设定)。安全区域策略用于识别设备使用上下文,其中,例如,不太可能发生设备偷窃(例如,小偷不太可能在智能手机用户家中使用偷窃的智能手机,而智能手机的正确拥有者很可能在用户家中使用智能手机)。
安全区域策略可以基于设备上下文改变认证级别,从而当用户在她的办公室但在开会(其中存在大量环境噪声)时,所述策略可以仍然坚持提高的认证。
安全区域策略可以基于设备上下文改变认证级别,从而当用户在她的办公室但在开会(其中另一计算节点试图与计算设备进行近场通信(或短距离端点到端点通信,例如))时,可能要求高级别密码。因此,用户可以位于他的雇主的会议室(策略制定安全场所),但可以靠近拜访雇主的第三方。如果第三方的计算节点试图与用户的计算节点进行通信(例如,经由协议或任意其它通信协议),则策略可以要求提高的安全认证。此外,在一些实施例中,这不应该暗示设备(用户设备和/或第三方设备)打算与其它设备进行通信。例如,如果用户设备简单地检测到另一设备的存在(例如,经由信号),则设备的策略可以要求提高的安全性。然而,用户可以在她的家中(策略指定安全场所),但可能靠近第三方,例如试图与用户的移动计算节点进行基于的通信的立体音响系统。该立体音响系统可以列入白名单中,因此被允许与用户的移动通信节点进行通信,而无需任何认证(或者可以简单的脸部识别)。
用户可以确定策略,由此用户将策略设定为低、高、中级或任意其它级别。用户能够将面部识别定义为中级认证级别,将语音认证定义为低认证级别,以及将长字母数字密码定义为高认证级别。
实施例可以改变措施来恢复基于上下文的密码。例如,对于丢失密码的请求在该请求在用户家中做出时可以要求较少的认证,但在设备不位于用户家中或其它预先定义的安全场所中时则完全不允许这种请求(或要求提高的认证,例如虹膜扫描)。
图1包括本发明实施例中用于方法100的示意性流程图。在框105中,用户开始或启动自适应授权设置模块(或者可以替代地依赖于“工厂设定”或其修改)。在框110中,用户定义用于不同认证级别的认证机制。例如,对于低认证级别,用户可以选择不认证或较少认证(例如,具有低敏感性或者用户定义的可变阈值上的语音匹配阈值的语音识别)。对于中级认证级别,用户可以要求虹膜和/或面部识别。用户可以要求用于高认证级别的较高认证(例如,12字符字母数字密码)。在框115中,用户关联、定义或者链接认证级别到各个上下文(例如,诸如位置的环境因素,或诸如与电子邮件相关联的电子邮件地址的通信特性)。例如,满足基于位置的安全区域 (例如,用户的汽车、家中或工作场所)可能仅要求低级别认证。高级别认证级别可以被保留,用于所有未定义的不适用较低级别认证标准的情形。标记为紧急的电子邮件可能要求中级认证,且来自儿子或女儿的MMS通信可能要求低级别认证,但来自任意其它方的MMS通信可要求高级别认证。在框120中(完成自适应授权之后),自适应授权模块可以通过检测上下文 (例如,位置)以及随后请求对应的授权级别而实现策略。所述模块可以检测各种上下文,其中一些要求低级别授权(例如,用户设备位于用户的汽车中),而一些要求高授权(例如,来自用户老板的电子邮件)并随后要求最高级别的授权。在框125中,用户随后授权他自己或她自己(遵照自适应授权策略)。
实施例利用各种授权策略,包括访问某些模块(例如,访问电子邮件可以要求比访问文本更大的授权)。策略也可以“相反”地工作。例如,授权策略可以改变基于上下文(例如,设备是否在用户家中,用户设备位于他的卧室(较低授权级别)还是在类似起居室的家庭空间(较高授权级别)) 的锁定超时(例如,在未锁定的计算节点由于缺乏计算能力而锁定自己之前的时间)。可以连同屏幕锁定(例如,屏幕锁定之前的时间)进行这些步骤。
图2包括本发明的实施例中用于方法200的示意性流程图。
框205包括确定用于移动通信设备的第一环境因素。不同的实施例以不同方式进行处理。例如,在一个实施例中的选项(以虚线表示的可选路径)包括通过确定移动通信设备的位置而确定第一环境因素。例如,可以经由来自蜂窝网络节点(例如,蜂窝电话塔)的三角测量、经由WiFi节点或“热点”的三角测量、经由射频(RF)信号跟踪的三角测量、全球定位系统(GPS)、接近信标等来确定设备的位置。一些实施例可以整体或部分基于高度或气压来确定位置。
框206包括确定位置是否包含于预先确定的一组位置中。不同的实施例对该问题有不同的粒度。例如,实施例可能简单地想确定设备是否位于美国境内,设备是否位于中国的具体区域内,设备是否位于用户的汽车内 (例如,通过确定设备与汽车进行通信),设备位于用户的工作场所还是家中,设备位于用户的二楼卧室还是用户的一楼起居室内(例如,基于高度传感器、信标系统等)。这些位置中的任一个可以包含于预先确定的位置列表中。所述列表可以由用户或者可以由用户的雇主配置(允许雇主相关材料仅在国家X中可被访问,但在国家Y或除了国家X 外的任意国家中永不可被访问)。
框210包括基于所确定的第一环境因素而确定第一安全性认证级别。例如,设备可以确定需要高安全性认证级别(其要求字母数字密码输入),因为在预先确定的位置列表中不包含所确定的设备位置。确定设备在用户卧室中可能要求低级别安全性(例如,不需要认证),而确定设备在用户的厨房中可能要求低级别认证(例如,语音识别)。在实施例中,确定电话位于具有高于平均犯罪水平的社区中可导致要求较高级别的认证。
框215包括基于第一安全性认证级别来允许访问移动通信设备的第一模块。例如,如果经由框210要求高级别认证,则框215可以基于满足高级别认证来允许访问电子邮件。框215可以允许访问模块的基线(例如,访问存储于设备中的音乐),而无需授权,但如果访问电子邮件则需满足高级别认证。
框230包括基于第一安全性认证级别来不允许访问移动通信设备的第二模块。因此,如果第一安全性认证级别是适度的,则可以允许访问SMS 消息,但不允许访问电子邮件。在实施例中,模块可以沿着例如商业和个人的线进行划分。例如,一个模块可以包括访问商业电子邮件账户、商业语音邮件账户以及存储于被保留用于商业相关文献和材料的隔离存储器中的文献。另一模块可以包括访问个人电子邮件账户、个人语音电子邮件账户以及存储于保留用于个人相关文献和材料的隔离存储器(或者在通常可用的存储器)中的文献。商业和个人之间的不同可以基于多种因素,例如将那些电子邮件分流到商业模块的电子邮件地址的“白名单”,和将那些消息分流到个人模块的SMS地址/号码的“灰名单”。商业模块可以要求比个人模块更高的认证。如果用户不位于特定位置,则商业模块可能整体禁止访问(例如,如果用户不位于特定军事基地,则商业模块不可访问,以降低离开基地查看最高机密通信的机会)。
可以利用多种技术来实施模块之间的划分,例如,诸如具有安全沙盒格式的安全模式。例如,沙盒可以包括用于分开运行程序的安全机制。其可以用于操作内容,例如代码,或以商业相对于个人的划分访问数据。沙盒环境可以提供紧密控制的资源集合,用于程序在例如盘和存储器上的活动空间(scratch space)中运行。网络访问是一种检查主机系统或从输入设备进行读取的能力,其可以被禁止或严重限制。可以利用虚拟化技术实现沙盒。应用甚至可以在云上执行,同时处于沙盒化的环境中。
框220包括基于所确定的第一环境因素来确定第二安全性认证级别。框225包括基于第二安全性认证级别来允许访问移动通信设备的第二模块。因此,确定用户在她的家中可以导致要求语音识别来访问电子邮件和字母数字密码来访问电子邮件的附件。不允许经由语音识别访问附件。由于用户位于她的家中而不在她的办公室或者因为她位于包含于国家黑名单中的国家X中,所以可能完全不允许访问存储于沙盒化的环境中的文献。
框207包括通过确定通信设备是否通信地耦合到无线通信网络上,来确定第一环境因素。因此,确定设备从蜂窝网络接收周期性ping或消息可以表示用户的位置能够被识别,并因此可能要求较低级别的认证。然而,确定通信设备通信地耦合到无线通信网络上还可以表示对用户的使用策略的否定。例如,在实施例中,识别这种通信可以表示设备正被其它设备侦听的风险。在实施例中,确定第一环境因素包括确定通信设备是否已经经由无线通信网络传达了阈值级别的数据。因此,来自蜂窝塔的偶然ping可能不增加安全性级别。这对于偶尔的通信也是适用的。然而,被侦听设备可能不经意地传达超过阈值的信息量,并因此要求较高安全性认证级别。这对于简单互联网浏览是适用的。然而,在一些实施例中,某些网络可能列在白名单中(例如,家庭网络),而其它网络没有列在白名单中(例如,咖啡店网络)并因此要求较高安全性。此外,不同的通信(例如,蜂窝相对于WiFi)可能要求不同的安全性级别。
框235、240包括:从额外的计算节点接收通信;确定用于所述通信的第一特性;基于所确定的第一特性来确定第二安全性认证级别;以及基于第一和第二安全性认证级别来允许访问通信。因此,在实施例中,用户可以接收电子邮件。用于所述电子邮件的特性可以包括电子邮件地址(或其一部分,如域部分,其被识别为该人的雇主的领域)、优先级标记、电子邮件大小。其它通信的特性可以是通信的类型。例如,SMS消息可以要求比语音消息或电话呼叫低的优先级。来自特定电话号码的SMS消息可以要求比来自其它电话号码的其它SMS消息低的优先级。访问这些通信因此可以基于多个安全性级别,例如一个基于设备的邻近性,以及另一个基于通信的特性。在实施例中,最高安全性级别可以胜出。例如,如果位置指定语音识别很好,但是通信特性(例如,电子邮件来自白名单包括表示该电子邮件来自用户的老板)指定视网膜扫描,则为查看该电子邮件可能要求进行视网膜扫描。
另一实施例(除了或者取代框235、240的主题)可以包括:从额外的计算节点接收通信;确定用于所述通信的第一特性;以及基于第一特性和第一安全性认证级别来允许访问通信。在该情况下,第一安全性级别可以完全确定访问通信所需要的安全性级别。
实施例可以依赖于从包括以下项的一个或多个组中选择的环境因素:(a) 通信设备的位置,(b)通信设备是否通信地耦合到无线通信网络,(c)当日时间(例如,在上午2点需要非常高的安全性),(d)通信设备感测到的可听噪声(例如,在嘈杂的中转站要求非常高的安全性),以及(e)通信设备感测到的高度。
实施例可以包括通过选择第一安全性认证级别但是不选择第二安全性认证级别或第三安全性级别,来确定第一安全性认证级别,所述第一、第二和第三安全性认证级别包含于多个安全性认证级别中。因此,存在多个级别进行选择,而不是不需要安全性或需要一些安全性的简单场景。
在这种实施例中,第一安全性认证级别对应于第一认证模块,第二安全性认证级别对应于第二认证模块,且第三安全性认证级别对应于第三认证模块;其中,第一、第二和第三安全性认证模块中的每一个都选自包括以下项的组中:视网膜扫描、虹膜扫描、面部识别、具有第一长度的密码、具有比第一长度长的第二长度的密码、指纹识别、语音识别、个人标识号 (PIN)、射频识别(RFID)、安全令牌和生物计量。
图3包括实施例中的方法。图3示出了与图2的其它部分可能分开存在的框235、240(并且图2可以与框235、240分开存在)。框305包括从计算节点接收通信。框310包括确定用于通信的第一特性。框315包括基于所确定的第一特性确定第一安全性认证级别。框320包括基于第一特性和第一安全性认证级别来允许访问通信。
实施例可以用于多种不同类型的系统中。例如,在一个实施例中,通信设备可以布置为执行本文描述的各种方法和技术。自然,本发明的范围不限于通信设备,反而其它实施例可以指向用于处理指令的其它类型的装置。
程序指令可以用于使得编程有指令的通用或专用处理系统执行本文描述的操作。可选地,可以通过包含用于执行操作的硬连线逻辑的专用硬件部件或者通过编程计算机部件和定制硬件部件的任意组合执行操作。本文所描述的方法可以提供为(a)计算机程序产品,其可以包括其上存储有指令的一个或多个机器可读介质,所述指令可以被用于编程处理系统或其它电子设备以执行方法,或者(b)至少一种存储介质,其上存储有指令用于使得系统执行方法。本文使用的术语“机器可读介质”或“存储介质”应该包括任意介质,其能够存储或编码指令序列以由机器执行,并使得机器执行本文描述的任意一种方法。术语“机器可读介质”或“存储介质”因此应包括但不限于存储器,例如固态存储器、光盘和磁盘、只读存储器(ROM)、可编程ROM(PROM)、可擦除PROM(EPROM)、电EPROM(EEPROM)、磁盘驱动器、软盘、压缩盘ROM(CD-ROM)、数字通用盘(DVD),闪存、磁光盘,以及更多独特的介质,例如机器可访问的生物状态保留存储设备。介质可以包括用于存储、传输或接收机器可读形式的信息的任意机制,并且介质可以包括程序代码可以经过的介质,例如天线、光纤、通信接口等。程序代码可以以分组、串行数据、并行数据等的形式进行传输,并且可以用于压缩或加密的格式。此外,本领域中通常将一种或另一种形式的软件 (例如,程序、过程、进程、应用、模块、逻辑等)称作采取动作或引起结果。这种表达仅是表述处理系统执行软件引起处理器执行动作或产生结果的简化方式。
现在参考图4,示出了根据本发明的实施例的系统实施例1000的框图。示出了多处理器系统1000,其包括第一处理元件1070和第二处理元件 1080。虽然示出了两个处理元件1070和1080,但可以理解的是系统1000 的实施例还可以只包括一个这种处理元件。系统1000示出为点对点互连系统,其中第一处理元件1070和第二处理元件1080经由点对点互连1050耦合。可以理解的是,所示出的任意或所有互连可以实现为多点总线,而不是点对点互连。如图所示,处理元件1070和1080中的每一个可以是多核心处理器,包括第一和第二处理器核心(即,处理器核心1074a和1074b 以及处理器核心1084a和1084b)。这种核心1074a、1074b、1084a、1084b 可以配置为以类似于本文讨论的方法的方式执行指令代码。
每个处理元件1070、1080可以包括至少一个共享高速缓存。共享高速缓存可以存储分别由处理器的一个或多个部件(例如,核心1074a、1074b 和1084a、1084b)使用的数据(例如,指令)。例如,共享高速缓存可以本地缓存在存储器1032、1034中存储的数据,用于由处理器的部件较快速访问。在一个或多个实施例中,共享高速缓存可以包括一个或多个中级高速缓存,例如,级别2(L2)、级别3(L3)、级别4(L4)或其它级别的高速缓存,最后级别的高速缓存(LLC)和/或其组合。
虽然仅示出了两个处理元件1070、1080,但可以理解的是,本发明的范围并不如此限制。在其它实施例中,在给定处理器中可以存在一个或多个额外处理元件。可选地,一个或多个处理元件1070、1080可以是除了处理器外的元件,例如加速器或现场可编程门阵列。例如,额外的处理元件可以包括与第一处理器1070相同的额外处理器,与第一处理器1070异构或不对称的额外处理器,加速器(例如,图形加速器或数字信号处理(DSP) 单元),现场可编程门阵列,或任意其它处理元件。在处理元件1070、1080 之间在优点的度量的谱方面存在大量不同,包括体系结构、微型体系结构、热量、电力消耗特性等。这些不同可以有效证明自身在处理元件1070、1080 中是不对称和异构的。对于至少一个实施例,各种处理元件1070、1080可以驻留在同一管芯封装中。
第一处理元件1070还可以包括存储器控制逻辑(MC)1072和点对点 (P-P)接口1076和1078。类似地,第二处理元件1080可以包括MC 1082 和P-P接口1086和1088。如图4所示,MC的1072和1082将处理器耦合到各自的存储器,即存储器1032和存储器1034,其可以是本地附接到各自处理器上的主存储器的一部分。虽然MC逻辑1072和1082示出为集成到处理元件1070、1080中,但对于可选实施例,MC逻辑可以是在处理元件1070、1080外部的离散逻辑,而不是集成于其中。
第一处理元件1070和第二处理元件1080可以经由P-P接口1076、1086 经由P-P互连1062、10104分别耦合到I/O子系统1090。如图所示,I/O子系统1090包括P-P接口1094和1098。此外,I/O子系统1090包括接口1092,用于耦合I/O子系统1090与高性能图形引擎1038。在一个实施例中,总线可以被用于将图形引擎1038耦合到I/O子系统1090。可选地,点对点互连 1039可以耦合这些部件。
接着,I/O子系统1090可以经由接口1096被耦合到第一总线10110。在一个实施例中,第一总线10110可以是外围部件互连(PCI)总线,或者诸如PCI快速总线或其它第三代I/O互连总线的总线,虽然本发明的范围不受此限制。
如图所示,各种I/O设备1014、1024可以耦合到第一总线10110,以及可以耦合第一总线10110到第二总线1020的总线桥1018。在一个实施例中,第二总线1020可以是低引脚数(LPC)总线。在一个实施例中,各种设备可以耦合到第二总线1020,包括例如,键盘/鼠标1022、通信设备1026 (其可以接着与计算机网络通信)以及数据存储单元1028,例如磁盘驱动器或可以包括代码1030的其它大容量存储设备。代码1030可以包括用于执行上述一种或多种方法的实施例的指令。此外,音频I/O 1024可以耦合到第二总线1020。
注意,可以构思其它实施例。例如,取代所示出的点对点体系结构,系统可以实现多点总线或另一这种通信拓扑。另外,可以利用比图中所示更多或更少的集成芯片可选地分割附图的元件。
第一示例包括一种由至少一个处理器执行的方法,包括:确定用于移动通信设备的第一环境因素;基于所确定的第一环境因素确定第一安全性认证级别;以及基于所述第一安全性认证级别来允许访问所述移动通信设备的第一模块。
在示例2中,示例1的主题可以可选地包括:基于所述第一安全认证级别来不允许访问所述移动通信设备的第二模块。
在示例3中,示例1-2中的主题可以可选地包括:基于所确定的第一环境因素确定第二安全性认证级别;以及基于所述第二安全性认证级别来允许访问所述移动通信设备的第二模块。例如,第一环境因素可以包括确定设备的位置在用户的卧室中。结果,所述设备可以确定满足第一安全性认证级别(例如,访问第一模块中的照片所需要的低级别)和第二安全性级别(例如,访问第二模块中的电子邮件所需要的较高级别)。
在示例4中,示例1-3的主题可以可选地包括确定第一环境因素包括:确定所述移动通信设备的位置。
在示例5中,示例1-4的主题可以可选地包括:确定所述位置是否包含于预先确定的一组位置中。
在示例6中,示例1-5的主题可以可选地包括确定第一环境因素包括:确定所述通信设备是否通信地耦合到无线通信网络。
在示例6的另一实施例中,示例1-5的主题可以可选地包括:通过检测来自另一计算节点的传输来确定第一环境因素。这种传输可以是RF传输。例如,在一个实施例中,如果设备检测到附近的额外设备(例如,通过“侦听”额外设备的传输),则其限制访问/提高安全性认证级别。这并不一定意味着额外设备“耦合到”用户设备上,只是用户设备能够“听到”额外设备。例如,RF技术(例如,和WiFi)定期发射传输以发现和/ 或维持连接(例如,“发现”传输)。这些传输不是任意专用连接的部分,但是因为它们是无线的,所以它们能够被附近的任意设备(包括用户的设备)观察到。因此,用户的设备能够“倾听”那些传输(例如,这些“发现”传输)以识别附近设备。在一些实施例中,对这种设备的检测是否触发更高的安全性级别可能依赖于所检测到的设备是否被识别出(例如,包含于白名单等中)。这种实施例还可以倾听额外设备和任意其它节点之间的传输(即使由于加密不能识别出传输的内容)。因此,如果额外的设备连接到Wi-Fi上,并且用户的设备检测到,则策略可以检测更高的安全性。在实施例中,可以使用时间阈值,从而基于通信节点在先前的X分钟(例如,1、 5、10、15分钟)内是否已经从另一节点检测到传输,来确定安全性级别。
在示例7中,示例1-6的主题可以可选地包括:其中,确定第一环境因素包括确定通信设备是否已经经由示例6的无线通信网络传达了阈值级别的数据。
在示例8中,示例1-7的主题可以可选地包括:接收来自额外计算节点的通信;确定用于所述通信的第一特性;基于所确定的第一特性来确定第二安全性认证级别;以及基于所述第一和第二安全性认证级别来允许访问所述通信。
在示例9中,示例1-8的主题可以可选地包括:接收来自额外计算节点的通信;确定用于所述通信的第一特性;以及基于所述第一特性和所述第一安全性认证级别来允许访问所述通信。
在示例10中,示例1-9的主题可以可选地包括:其中,从包括以下项的一个或多个组中选择所述第一环境因素:所述通信设备的位置,所述通信设备是否通信地耦合到无线通信网络,当日时间,所述通信设备是否检测到来自另一计算节点的传输,所述通信设备感测到的可听噪声,以及所述通信设备感测到的高度。
在示例11中,示例1-10的主题可以可选地包括:其中,确定第一安全性认证级别包括:选择第一安全性认证级别,但不选择第二或第三安全性认证级别,所述第一、第二和第三安全性认证级别包含于多个安全性认证级别中。
在示例11的另一实施例中,示例1-10的主题可以可选地包括:确定用于所述移动通信设备的第二环境因素;以及基于所确定的第一和第二环境因素来确定第一安全性认证级别。这种第一和第二因素可以包括设备位置和对来自另一计算节点的传输的检测。
在示例12中,示例1-11的主题可以可选地包括:其中,所述第一安全性认证级别对应于第一认证模块,第二安全性认证级别对应于第二认证模块,且第三安全性认证级别对应于第三认证模块;其中,所述第一、第二和第三安全性认证模块中的每一个都选自包括以下项的组中:视网膜扫描、虹膜扫描、面部识别、具有第一长度的密码、具有比第一长度长的第二长度的密码、指纹识别、语音识别、个人标识号(PIN)、射频识别(RFID)、安全令牌和生物计量。所述生物计量可以包括但不限于:识别用户的血管或血管图案或特性、手掌几何特性、眼部血管、步法、心电图、键盘/鼠标/ 触摸/手势动态、眼睛移动等。额外的“类似密码”机制可以包括识别用户的图片密码、可绘制图案、口令等。额外的“类似令牌”机制可以包括:例如,可穿戴配套设备(例如,手表、耳机、头戴显示器等)、智能卡、SIM 卡、扩充口或其它外围部件、医疗传感器设备等。
在示例12的另一实施例中,示例1-11的主题可以可选地包括:其中,确定第一安全性认证级别包括:选择第一安全性认证级别,但不选择第二或第三安全性认证级别,所述第一、第二和第三安全性认证级别包含于多个安全性认证级别中;其中,所述第一安全性认证级别对应于第一认证模块,第二安全性认证级别对应于第二认证模块,且第三安全性认证级别对应于第三认证模块;其中,所述第一、第二和第三安全性认证模块中的每一个都选自包括以下项的组中:视网膜扫描、虹膜扫描、面部识别、具有第一长度的密码、具有比第一长度长的第二长度的密码、指纹识别、语音识别、个人标识号(PIN)、射频识别(RFID)、安全令牌和生物计量。
在示例13中,示例1-12的主题可以可选地包括一种包括用于执行权利要求1至12中的任一项的单元的装置。
在示例14中,示例1-12的主题可以可选地包括至少一种其上存储有指令的存储介质,所述指令用于使得系统执行如权利要求1至12中的任一项所述的方法。
示例15包括一种由至少一个处理器执行的方法,包括:接收来自计算节点的通信;确定所述通信的第一特性;基于所确定的第一特性来确定第一安全性认证级别;以及基于所述第一特性和第一安全性认证级别来允许访问所述通信。
在示例16中,示例15的主题可以可选地包括:其中,确定第一安全性认证级别包括:选择第一安全性认证级别,但不选择第二或第三安全性认证级别,所述第一、第二和第三安全性认证级别包含于多个安全性认证级别中。
在示例16的另一实施例中,示例15的主题可以可选地包括:确定所述通信的第二特性;以及基于所确定的第一和第二特性来确定第一安全性认证级别。例如,第一特性可以是消息的类型(例如,SMS文本相对于语音消息),而第二特性可以是发送者的身份。因此,可以与来自老板的文本或来自女儿的语音消息不同地处理来自女儿的文本。
在示例17中,示例15-16的主题可以可选地包括:确定移动通信设备的第一环境因素,所述移动计算设备包括至少一个处理器;基于所确定的第一环境因素来确定第二安全性认证级别;以及基于所述第一和第二安全性认证级别来允许访问所述通信。
在示例18中,示例15-17的主题可以可选地包括:基于第二安全性认证级别来允许访问移动通信设备的第一模块,以及基于第二安全性认证级别来不允许访问移动通信设备的第二模块。
在示例19中,示例15-18的主题可以可选地包括:其中,确定第一环境因素包括:确定所述移动通信设备的位置,所述方法还包括确定所述位置是否包含于预先确定的一组位置中。
在示例20中,示例15-19的主题可以可选地包括:其中,确定第一环境因素包括:确定所述通信设备是否通信地耦合到无线通信网络。
在示例21中,示例15-20的主题可以可选地包括至少一种其上存储有指令的存储介质,所述指令用于使得系统执行如权利要求15至20中的任一项所述的方法。
示例22包括一种装置,包括:至少一个存储器和耦合到所述至少一个存储器上的至少一个处理器,用于执行包括以下的操作:确定移动通信设备的第一环境因素;基于所确定的第一环境因素来确定第一安全性认证级别;以及基于所述第一安全性认证级别来允许访问所述移动通信设备的第一模块。
在示例23中,示例22的主题可以可选地包括:其中,所述至少一个处理器用于执行包括以下的操作:基于所述第一安全性认证级别来不允许访问移动通信设备的第二模块。
在示例23的另一实施例中,示例22的主题可以可选地包括:确定用于所述移动通信设备的第二环境因素;以及基于所确定的第一和第二环境因素来确定第一安全性认证级别。
在示例24中,示例22-23的主题可以可选地包括:其中,确定第一环境因素包括:确定所述移动通信设备的位置,并且所述至少一个处理器用于执行包括以下的操作:确定所述位置是否包含于预先确定的一组位置中。
在示例25中,示例22-24的主题可以可选地包括:其中,所述至少一个处理器用于执行包括以下的操作:接收来自额外计算节点的通信;确定用于所述通信的第一特性;基于所确定的第一特性来确定第二安全性认证级别;以及基于所述第一和第二安全性认证级别来允许访问所述通信。
在示例26中,示例22-25的主题可以可选地包括:其中所述至少一个处理器用于执行包括以下的操作:接收来自额外计算节点的通信;确定所述通信的第一特性;以及基于所述第一特性和第一安全性认证级别来允许访问所述通信。
实施例包括处理系统,其包括:用于确定移动通信设备的第一环境因素的单元;用于基于所确定的第一环境因素来确定第一安全性认证级别的单元;以及用于基于所述第一安全性认证级别来允许访问所述移动通信设备的第一模块的单元。实施例包括:用于基于所述第一安全认证级别来不允许访问所述移动通信设备的第二模块的单元。实施例包括用于以下的单元:基于所确定的第一环境因素来确定第二安全性认证级别;以及基于所述第二安全性认证级别来允许访问所述移动通信设备的第二模块。实施例包括:用于通过确定所述移动通信设备的位置来确定第一环境因素的单元。实施例包括:用于确定所述位置是否包含于预先确定的一组位置中的单元。实施例包括:用于通过确定所述通信设备是否通信地耦合到无线通信网络来确定第一环境因素的单元。实施例包括:用于通过确定通信设备是否已经经由无线通信网络传达了阈值级别的数据来确定第一环境因素的单元。实施例包括:用于接收来自额外计算节点的通信的单元;用于确定所述通信的第一特性的单元;用于基于所确定的第一特性来确定第二安全性认证级别的单元;以及用于基于所述第一和第二安全性认证级别来允许访问所述通信的单元。实施例包括:用于接收来自额外计算节点的通信的单元;用于确定所述通信的第一特性的单元;以及用于基于所述第一特性和所述第一安全性认证级别来允许访问所述通信的单元。
实施例包括处理系统,其包括:用于接收来自计算节点的通信的单元;用于确定所述通信的第一特性的单元;用于基于所确定的第一特性来确定第一安全性认证级别的单元;以及用于基于所述第一特性和第一安全性认证级别来允许访问所述通信的单元。实施例包括:用于通过选择第一安全性认证级别,但不选择第二或第三安全性认证级别来确定第一安全性认证级别的单元,所述第一、第二和第三安全性认证级别包含于多个安全性认证级别中。实施例包括:用于确定移动通信设备的第一环境因素的单元,所述移动计算设备包括至少一个处理器;用于基于所确定的第一环境因素确定第二安全性认证级别的单元;以及用于基于所述第一和第二安全性认证级别来允许访问所述通信的单元。实施例包括:用于基于第二安全性认证级别来允许访问移动通信设备的第一模块,以及基于第二安全性认证级别来不允许访问移动通信设备的第二模块的单元。实施例包括:用于通过确定所述移动通信设备的位置来确定第一环境因素的单元,所述方法还包括确定所述位置是否包含于预先确定的一组位置中。实施例包括:用于通过确定所述通信设备是否通信地耦合到无线通信网络来确定第一环境因素的单元。
上述装置的所有可选特征还可以关于本文描述的方法或处理来实现。虽然已经关于有限数量的实施例描述了本发明,但本领域技术人员将理解来自它的多种变型和修改。随附权利要求意图覆盖落入本发明真实精神和范围内的所有这种变型和修改。
Claims (27)
1.一种方法,包括:
确定第一环境因素,所述第一环境因素与第一用户的第一位置相对应;
确定第二环境因素,所述第二环境因素与所述第一用户的身份相对应;
对确定所述第一环境因素做出响应,访问第一预配置的授权策略;
对确定所述第二环境因素做出响应,访问第二预配置的授权策略;
对访问所述第一授权策略做出响应,确定第一安全性访问机制;
对访问所述第二授权策略做出响应,确定第二安全性访问机制;
对访问所述第一授权策略做出响应,确定第三安全性访问机制;
当所述第一用户遵照所述第一安全性访问机制和所述第三性安全性访问机制二者时,允许所述第一用户访问至少一个计算系统的第一模块;并且
对所述第一用户遵照所述第二安全性访问机制做出响应,允许所述第一用户访问所述至少一个计算系统的第二模块。
2.如权利要求1所述的方法,其中,所述第一预配置的授权策略由第二用户预配置。
3.如权利要求1-2中的任一项所述的方法,其中,所述第二预配置的授权策略由所述第二用户预配置。
4.如权利要求1-3中的任一项所述的方法,包括:
从所述第一用户接收访问请求;
对从所述第一用户接收所述访问请求做出响应,确定所述第一环境因素。
5.如权利要求1-4中的任一项所述的方法,包括:
当所述第一用户遵照少于第一安全性认证机制和第三安全性认证机制二者时,不允许所述第一用户访问所述至少一个计算系统的所述第一模块。
6.如权利要求1-5中的任一项所述的方法,包括:
确定第三环境因素,所述第三环境因素与所述第一用户的第二位置相对应;
对确定所述第三环境因素做出响应,访问所述第一预配置的授权策略。
7.如权利要求6所述的方法,其中:
所述第一用户的所述第一位置与所述第一用户存在于特定网络上相对应;
所述第一用户的所述第二位置与包括在列表上的国家相对应,所述列表与所述第一授权策略相对应。
8.如权利要求1-5中的任一项所述的方法,包括:
确定第三环境因素,所述第三环境因素与所述第一用户的第二位置相对应;
对确定所述第三环境因素做出响应,访问第三预配置的授权策略。
9.如权利要求1-8中的任一项所述的方法,其中:
所述至少一个计算系统的所述第一模块被包括在第一软件应用中;
所述至少一个计算系统的所述第二模块被包括在第二软件应用中。
10.如权利要求1-8中的任一项所述的方法,其中:
所述至少一个计算系统的所述第一模块被包括在软件应用中;
所述至少一个计算系统的所述第二模块被包括在所述软件应用中。
11.一种方法,包括:
确定第一环境因素、第二环境因素和第三环境因素;
(a)(i)对确定所述第一环境因素或所述第三环境因素中的至少一个做出响应,访问第一预配置的授权策略;并且(a)(ii)对确定所述第二环境因素做出响应,访问第二预配置的授权策略;
(b)(i)对访问所述第一授权策略做出响应,确定第一安全性访问机制;(b)(ii)对访问所述第二授权策略做出响应,确定第二安全性访问机制;并且(b)(iii)对访问所述第一授权策略做出响应,确定第三安全性访问机制;
(c)(i)当所述第一用户遵照所述第一安全性访问机制和所述第三安全性访问机制二者时,允许所述第一用户访问所述至少一个计算系统的第一模块;并且(c)(ii)对所述第一用户遵照所述第二安全性访问机制做出响应,允许所述第一用户访问所述至少一个计算系统的第二模块。
12.如权利要求11所述的方法,其中,所述第一预配置的授权策略由第二用户预配置。
13.如权利要求11-12中的任一项所述的方法,包括:
从所述第一用户接收访问请求;
对从所述第一用户接收所述访问请求做出响应,确定所述第一环境因素。
14.如权利要求11-13中的任一项所述的方法,其中:
所述第一环境因素与第一用户的第一位置相对应;
所述第二环境因素与所述第一用户的身份相对应;并且
所述第三环境因素与所述第一用户的第二位置相对应。
15.如权利要求14所述的方法,其中:
所述第一用户的所述第一位置与所述第一用户存在于特定网络上相对应;
所述第一用户的所述第二位置与国家相对应。
16.如权利要求11-15中的任一项所述的方法,其中:
所述至少一个计算系统的所述第一模块被包括在第一软件应用中;
所述至少一个计算系统的所述第二模块被包括在第二软件应用中。
17.如权利要求11-15中的任一项所述的方法,其中:
所述至少一个计算系统的所述第一模块被包括在软件应用中;
所述至少一个计算系统的所述第二模块被包括在所述软件应用中。
18.一种方法,包括:
对来自第二用户的用户输入做出响应,向所述第二用户呈现用于使用第一配置来预配置第一授权策略并且使用第二配置来预配置第二授权策略的选项;
其中,使用第一配置来预配置第一授权策略包括配置所述第一授权策略以:(a)(i)对确定第一环境因素和第三环境因素中的至少一个做出响应而被访问,所述第一环境因素与第一用户的第一位置相对应;(a)(ii)对访问所述第一授权策略做出响应,确定第一安全性访问机制和第三安全性访问机制;(a)(iii)当所述第一用户遵照所述第一安全性访问机制和所述第三安全性访问机制二者时,允许所述第一用户访问所述至少一个计算系统的第一模块;
其中,使用第二配置来预配置第二授权策略包括配置所述第二授权策略以:(b)(i)对确定第二环境因素做出响应而被访问,所述第二环境因素与所述第一用户的身份相对应;(b)(ii)对访问所述第二授权策略做出响应,确定第二安全性访问机制;(b)(iii)当所述第一用户遵照所述第二安全性访问机制时,允许所述第一用户访问所述至少一个计算系统的第二模块。
19.如权利要求18所述的方法,其中:
所述第一用户的所述第一位置与所述第一用户存在于特定网络位置上相对应;
所述第三环境因素与所述第一用户的第二位置相对应;
所述第一用户的所述第二位置与国家相对应。
20.如权利要求18-19中的任一项所述的方法,其中:
所述至少一个计算系统的所述第一模块被包括在第一软件应用中;
所述至少一个计算系统的所述第二模块被包括在第二软件应用中。
21.如权利要求18-19中的任一项所述的方法,其中:
所述至少一个计算系统的所述第一模块被包括在软件应用中;
所述至少一个计算系统的所述第二模块被包括在所述软件应用中。
22.一种方法,包括:
确定第一环境因素、第二环境因素和第三环境因素;
(a)(i)对确定所述第一环境因素和所述第三环境因素中的至少一个做出响应,访问第一预配置的授权策略;(a)(ii)对确定所述第二环境因素做出响应,访问第二预配置的授权策略;并且(a)(iii)对确定所述第三环境因素做出响应,访问第三预配置的授权策略;
(b)(i)对访问所述第一授权策略做出响应,确定第一安全性访问机制;(b)(ii)对访问所述第二授权策略做出响应,确定第二安全性访问机制;(b)(iii)对访问所述第三授权策略做出响应,确定第三安全性访问机制;
(c)(i)当所述第一用户遵照所述第一安全性访问机制和所述第三安全性访问机制二者时,允许所述第一用户访问所述至少一个计算系统的第一模块;并且(c)(ii)对所述第一用户遵照所述第二安全性访问机制做出响应,允许所述第一用户访问所述至少一个计算系统的第二模块。
23.如权利要求22所述的方法,其中,所述第一预配置的授权策略由第二用户预配置。
24.如权利要求22-23中的任一项所述的方法,包括:
从所述第一用户接收访问请求;
对从所述第一用户接收所述访问请求做出响应,确定所述第一环境因素。
25.如权利要求22-24中的任一项所述的方法,其中:
所述第一环境因素与第一用户的第一位置相对应;
所述第二环境因素与所述第一用户的身份相对应;并且
所述第三环境因素与所述第一用户的第二位置相对应。
26.至少一种计算机可读存储介质,其包括代码,所述代码在被执行时使得机器执行如权利要求1-25中的任一项所述的方法。
27.一种装置,包括用于执行如权利要求1-25中的任一项所述的单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910162970.4A CN110096855B (zh) | 2013-05-30 | 2013-05-30 | 自适应认证系统和方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201380076053.5A CN105164970B (zh) | 2013-05-30 | 2013-05-30 | 自适应认证系统和方法 |
| PCT/US2013/043482 WO2014193396A1 (en) | 2013-05-30 | 2013-05-30 | Adaptive authentication systems and methods |
| CN201910162970.4A CN110096855B (zh) | 2013-05-30 | 2013-05-30 | 自适应认证系统和方法 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380076053.5A Division CN105164970B (zh) | 2013-05-30 | 2013-05-30 | 自适应认证系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110096855A true CN110096855A (zh) | 2019-08-06 |
| CN110096855B CN110096855B (zh) | 2023-08-15 |
Family
ID=51989253
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910162970.4A Active CN110096855B (zh) | 2013-05-30 | 2013-05-30 | 自适应认证系统和方法 |
| CN201380076053.5A Active CN105164970B (zh) | 2013-05-30 | 2013-05-30 | 自适应认证系统和方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380076053.5A Active CN105164970B (zh) | 2013-05-30 | 2013-05-30 | 自适应认证系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US20140366128A1 (zh) |
| EP (2) | EP3005607B1 (zh) |
| CN (2) | CN110096855B (zh) |
| WO (1) | WO2014193396A1 (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6385957B2 (ja) * | 2013-01-08 | 2018-09-05 | イデラ ファーマシューティカルズ インコーポレイテッドIdera Pharmaceuticals, Inc. | トール様受容体に基づく免疫応答を調節するための免疫調節オリゴヌクレオチド(iro)化合物 |
| US10693874B2 (en) | 2013-04-19 | 2020-06-23 | Pearson Education, Inc. | Authentication integrity protection |
| US10235511B2 (en) | 2013-04-19 | 2019-03-19 | Pearson Education, Inc. | Authentication integrity protection |
| US9160729B2 (en) * | 2013-08-20 | 2015-10-13 | Paypal, Inc. | Systems and methods for location-based device security |
| DE102014203813A1 (de) * | 2014-02-28 | 2015-09-03 | Siemens Aktiengesellschaft | Verwendung von Zertifikaten mittels einer Positivliste |
| US9276887B2 (en) * | 2014-03-19 | 2016-03-01 | Symantec Corporation | Systems and methods for managing security certificates through email |
| US9680812B1 (en) * | 2014-03-27 | 2017-06-13 | EMC IP Holding Company LLC | Enrolling a user in a new authentication procdure only if trusted |
| US9521122B2 (en) | 2014-05-09 | 2016-12-13 | International Business Machines Corporation | Intelligent security analysis and enforcement for data transfer |
| US9710629B2 (en) | 2014-05-13 | 2017-07-18 | Google Technology Holdings LLC | Electronic device with method for controlling access to same |
| US20150347732A1 (en) * | 2014-05-29 | 2015-12-03 | Google Technology Holdings LLC | Electronic Device and Method for Controlling Access to Same |
| US9349035B1 (en) * | 2014-06-13 | 2016-05-24 | Maxim Integrated Products, Inc. | Multi-factor authentication sensor for providing improved identification |
| US9544771B2 (en) | 2014-08-07 | 2017-01-10 | Yahoo! Inc. | Services access for mobile devices |
| JP6572537B2 (ja) * | 2014-12-15 | 2019-09-11 | 富士通コネクテッドテクノロジーズ株式会社 | 認証装置、方法及びプログラム |
| US9485655B1 (en) * | 2015-02-11 | 2016-11-01 | EMC IP Holding Company LLC | Providing power control to an electronic device using authentication |
| CN106161018A (zh) * | 2015-03-23 | 2016-11-23 | 中兴通讯股份有限公司 | 一种管理分级密码的方法和装置 |
| US10055563B2 (en) * | 2015-04-15 | 2018-08-21 | Mediatek Inc. | Air writing and gesture system with interactive wearable device |
| JP2016206428A (ja) * | 2015-04-23 | 2016-12-08 | 京セラ株式会社 | 電子機器および声紋認証方法 |
| US9654477B1 (en) | 2015-05-05 | 2017-05-16 | Wells Fargo Bank, N. A. | Adaptive authentication |
| JP2018524727A (ja) * | 2015-06-30 | 2018-08-30 | モルフォトラスト・ユーエスエー・リミテッド ライアビリティ カンパニーMorphotrust Usa,Llc | 電子セキュリティコンテナ |
| US10135801B2 (en) * | 2015-09-09 | 2018-11-20 | Oath Inc. | On-line account recovery |
| US10397208B2 (en) * | 2015-12-11 | 2019-08-27 | Paypal, Inc. | Authentication via item recognition |
| US9948479B2 (en) * | 2016-04-05 | 2018-04-17 | Vivint, Inc. | Identification graph theory |
| CN106254378B (zh) * | 2016-09-09 | 2020-02-07 | 宇龙计算机通信科技(深圳)有限公司 | 一种近距离通信nfc移动终端的安全控制方法及系统 |
| US10430566B2 (en) * | 2016-12-27 | 2019-10-01 | Paypal, Inc. | Vehicle based electronic authentication and device management |
| US10356096B2 (en) | 2017-02-17 | 2019-07-16 | At&T Intellectual Property I, L.P. | Authentication using credentials submitted via a user premises device |
| US10681037B2 (en) * | 2017-06-29 | 2020-06-09 | Amadeus S.A.S. | Terminal authentication |
| KR101882281B1 (ko) * | 2017-09-15 | 2018-08-24 | 엘지전자 주식회사 | 디지털 디바이스 및 그의 생체 인증 방법 |
| US10896673B1 (en) | 2017-09-21 | 2021-01-19 | Wells Fargo Bank, N.A. | Authentication of impaired voices |
| US11089446B2 (en) * | 2018-01-11 | 2021-08-10 | Htc Corporation | Portable electronic device, operating method for the same, and non-transitory computer readable recording medium |
| US10728500B2 (en) | 2018-06-13 | 2020-07-28 | At&T Intellectual Property I, L.P. | Object-managed secured multicast system |
| US11100204B2 (en) * | 2018-07-19 | 2021-08-24 | Motorola Mobility Llc | Methods and devices for granting increasing operational access with increasing authentication factors |
| JP2022059099A (ja) * | 2019-02-25 | 2022-04-13 | ソニーグループ株式会社 | 情報処理装置、情報処理方法、及び、プログラム |
| CN110096865B (zh) * | 2019-05-13 | 2021-07-23 | 北京三快在线科技有限公司 | 下发验证方式的方法、装置、设备及存储介质 |
| US11509642B2 (en) * | 2019-08-21 | 2022-11-22 | Truist Bank | Location-based mobile device authentication |
| CN111046372B (zh) * | 2019-12-04 | 2023-05-23 | 深圳模微半导体有限公司 | 在通信设备间进行信息安全认证的方法、芯片以及电子设备 |
| US11522867B2 (en) * | 2020-03-31 | 2022-12-06 | LendingClub Bank, National Association | Secure content management through authentication |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040039909A1 (en) * | 2002-08-22 | 2004-02-26 | David Cheng | Flexible authentication with multiple levels and factors |
| CN1520090A (zh) * | 2003-01-30 | 2004-08-11 | 认证确实性和降低的系统和方法 | |
| US20070283443A1 (en) * | 2006-05-30 | 2007-12-06 | Microsoft Corporation | Translating role-based access control policy to resource authorization policy |
| CN101449257A (zh) * | 2006-05-26 | 2009-06-03 | 微软公司 | 用于对网络资源的单次登入和安全访问的策略驱动的凭证委托 |
| US20090228967A1 (en) * | 2008-03-05 | 2009-09-10 | Microsoft Corporation | Flexible Scalable Application Authorization For Cloud Computing Environments |
| US20100048167A1 (en) * | 2008-08-21 | 2010-02-25 | Palo Alto Research Center Incorporated | Adjusting security level of mobile device based on presence or absence of other mobile devices nearby |
| CN101854581A (zh) * | 2009-03-31 | 2010-10-06 | 联想(北京)有限公司 | 基于位置信息设置移动终端安全级别的方法及移动终端 |
| US20130104187A1 (en) * | 2011-10-18 | 2013-04-25 | Klaus Helmut Weidner | Context-dependent authentication |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3331367B2 (ja) * | 1997-03-11 | 2002-10-07 | 独立行政法人農業生物資源研究所 | 細胞死抑制遺伝子が導入されたストレス抵抗性植物およびその作出方法 |
| JP2003091509A (ja) * | 2001-09-17 | 2003-03-28 | Nec Corp | 携帯通信機器の個人認証方法およびそれを記述したプログラム |
| US7591020B2 (en) | 2002-01-18 | 2009-09-15 | Palm, Inc. | Location based security modification system and method |
| US7275263B2 (en) * | 2003-08-11 | 2007-09-25 | Intel Corporation | Method and system and authenticating a user of a computer system that has a trusted platform module (TPM) |
| US8121753B2 (en) * | 2008-07-07 | 2012-02-21 | International Business Machines Corporation | System and method for gathering and submitting data to a third party in response to a vehicle being involved in an accident |
| US8214446B1 (en) * | 2009-06-04 | 2012-07-03 | Imdb.Com, Inc. | Segmenting access to electronic message boards |
| US8583937B2 (en) * | 2010-12-16 | 2013-11-12 | Blackberry Limited | Method and apparatus for securing a computing device |
| US8555077B2 (en) * | 2011-11-23 | 2013-10-08 | Elwha Llc | Determining device identity using a behavioral fingerprint |
| CN102404686A (zh) * | 2011-11-21 | 2012-04-04 | 鸿富锦精密工业(深圳)有限公司 | 安全管控系统及安全管控方法 |
-
2013
- 2013-05-30 EP EP13885842.8A patent/EP3005607B1/en active Active
- 2013-05-30 CN CN201910162970.4A patent/CN110096855B/zh active Active
- 2013-05-30 CN CN201380076053.5A patent/CN105164970B/zh active Active
- 2013-05-30 EP EP19217476.1A patent/EP3681125A1/en not_active Withdrawn
- 2013-05-30 WO PCT/US2013/043482 patent/WO2014193396A1/en active Application Filing
- 2013-05-30 US US14/127,215 patent/US20140366128A1/en not_active Abandoned
-
2019
- 2019-02-22 US US16/282,601 patent/US10666635B2/en active Active
-
2020
- 2020-04-14 US US16/847,941 patent/US20200314079A1/en not_active Abandoned
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040039909A1 (en) * | 2002-08-22 | 2004-02-26 | David Cheng | Flexible authentication with multiple levels and factors |
| CN1520090A (zh) * | 2003-01-30 | 2004-08-11 | 认证确实性和降低的系统和方法 | |
| CN101449257A (zh) * | 2006-05-26 | 2009-06-03 | 微软公司 | 用于对网络资源的单次登入和安全访问的策略驱动的凭证委托 |
| US20070283443A1 (en) * | 2006-05-30 | 2007-12-06 | Microsoft Corporation | Translating role-based access control policy to resource authorization policy |
| US20090228967A1 (en) * | 2008-03-05 | 2009-09-10 | Microsoft Corporation | Flexible Scalable Application Authorization For Cloud Computing Environments |
| US20100048167A1 (en) * | 2008-08-21 | 2010-02-25 | Palo Alto Research Center Incorporated | Adjusting security level of mobile device based on presence or absence of other mobile devices nearby |
| CN101854581A (zh) * | 2009-03-31 | 2010-10-06 | 联想(北京)有限公司 | 基于位置信息设置移动终端安全级别的方法及移动终端 |
| US20130104187A1 (en) * | 2011-10-18 | 2013-04-25 | Klaus Helmut Weidner | Context-dependent authentication |
Non-Patent Citations (3)
| Title |
|---|
| ASSAD MOINI 等: "Leveraging Biometrics for User Authentication in Online Learning: A Systems Perspective", 《 IEEE SYSTEMS JOURNAL》, pages 469 * |
| 刘宏月: "普适计算的访问控制技术研究", 《中国优秀硕士学位论文全文数据库》, pages 138 - 6 * |
| 周剑岚;宋四新;刘先荣;: "基于Agent的认证与网络访问控制系统", 微电子学与计算机, no. 07, pages 158 - 162 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190190901A1 (en) | 2019-06-20 |
| EP3005607A4 (en) | 2017-01-18 |
| CN110096855B (zh) | 2023-08-15 |
| EP3681125A1 (en) | 2020-07-15 |
| EP3005607B1 (en) | 2020-01-08 |
| US20200314079A1 (en) | 2020-10-01 |
| CN105164970B (zh) | 2019-12-17 |
| US10666635B2 (en) | 2020-05-26 |
| US20140366128A1 (en) | 2014-12-11 |
| EP3005607A1 (en) | 2016-04-13 |
| WO2014193396A1 (en) | 2014-12-04 |
| CN105164970A (zh) | 2015-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110096855A (zh) | 自适应认证系统和方法 | |
| US9391985B2 (en) | Environment-based two-factor authentication without geo-location | |
| EP3446457B1 (en) | Two-factor authentication | |
| EP2809046B1 (en) | Associating distinct security modes with distinct wireless authenticators | |
| CN107077552B (zh) | 在特设网络中的装置之间分布生物识别验证 | |
| CN108124482B (zh) | 登录屏幕上可访问的受限访问功能性 | |
| US10387704B2 (en) | Method and apparatus for enabling the touchscreen display of a mobile device | |
| CN112491783B (zh) | 基于多个设备的用户认证置信度 | |
| US20150012992A1 (en) | Alias-Based Social Media Identity Verification | |
| US20070296696A1 (en) | Gesture exchange | |
| EP3066858A1 (en) | Delivery of shared wifi credentials | |
| US20080120718A1 (en) | Authentication Based on Future Geo-Location | |
| WO2017091451A1 (en) | Automated device discovery of pairing-eligible devices for authentication | |
| CA2752090A1 (en) | System and method for wireless device based user authentication | |
| KR20160077071A (ko) | 애플리케이션의 인증 | |
| US11017066B2 (en) | Method for associating application program with biometric feature, apparatus, and mobile terminal | |
| CN1518235A (zh) | 电子商务的认证系统及其实现方法 | |
| CA3154974A1 (en) | Systems and methods for data access control of secure memory using a short-range transceiver | |
| CN107710714A (zh) | 处置移动装置的风险事件 | |
| CN112699354A (zh) | 一种用户权限管理方法及终端设备 | |
| US20090210924A1 (en) | Method and apparatus for adapting a challenge for system access | |
| CN107391977A (zh) | 权限的控制、自动切换方法、装置及设备 | |
| US20250061757A1 (en) | Mutable, configurable device | |
| Yohan et al. | Dynamic multi-factor authentication for smartphone | |
| CN113438712A (zh) | 一种无线连接方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |