CN119301906A - 用于通过短距离无线通信的上下文切换认证的系统与方法 - Google Patents
用于通过短距离无线通信的上下文切换认证的系统与方法 Download PDFInfo
- Publication number
- CN119301906A CN119301906A CN202380043460.XA CN202380043460A CN119301906A CN 119301906 A CN119301906 A CN 119301906A CN 202380043460 A CN202380043460 A CN 202380043460A CN 119301906 A CN119301906 A CN 119301906A
- Authority
- CN
- China
- Prior art keywords
- authentication
- user device
- user
- application
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/47—Security arrangements using identity modules using near field communication [NFC] or radio frequency identification [RFID] modules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/80—Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
提供了用于在公共网络上实施强用户认证的系统和方法。所公开的系统和方法的一个操作方面涉及:浏览器功能的集成,以与发起网络连接的设备上的过程和硬件元件通信,从而实施上下文切换认证方案。所公开的系统和过程还涉及:基于来自用户的单个认证输入(涉及由发起网络连接的设备的蓝牙接近度内的移动设备对非接触式卡的NFC读取)的双因素强认证的实施方式。
Description
相关申请的交叉引用
本申请要求于2022年4月27日提交的美国专利申请号17/731,080的优先权,其公开内容通过引用整体并入本文。
技术领域
本公开涉及用于通过网络提供认证凭证和经认证用户信息的系统和方法,并且更特别地涉及用于使用短距离无线通信提供基于上下文切换的认证的系统和方法。
背景技术
对通过公共网络传送到存储了访问受限资源(诸如敏感用户信息)的系统和应用的访问请求的源的认证是用于启用安全电子交易和/或用户数据访问的重大挑战。用于在授予对敏感信息和/或私人信息的访问权限之前提供可靠的用户认证的若干例程已经被设计出来。一个这样的例程对应于双因素认证过程,由此第一形式的认证包括基于由用户输入的特定访问凭证信息(例如,用户名和口令)对用户身份的第一验证;并且在第一验证之后触发的第二形式的认证通常包括将消息(例如,向用户注册的设备发送的推送通知或自动电话呼叫)传送到与用户相关联的预标识的第二设备,以及经由预标识的第二设备接收用户确认。这样的认证方案通常涉及第三方数据提供商,以用于预标识执行第二认证步骤所需的第二设备。因此,用于实施在线访问认证的现有系统和过程非常繁琐,需要额外的用户认证输入,这进一步使这样的过程容易出现人为错误。这些以及其他缺陷仍然存在。
发明内容
本公开的实施例涉及一种用于使用存储在与用户相关联的第二设备上的认证应用对来自与该相同用户相关联的第一设备的连接请求进行认证的方法,其中该第二设备经由诸如蓝牙低能耗(Bluetooth Low Energy,BLE)链路的短距离通信协议被通信地耦合至第一设备。该方法可以包括:响应于通过在第一用户设备和第二用户设备之间建立的BLE链路接收到的传输,启动存储在第一用户设备上的认证应用,该传输包括标识该认证应用的统一资源标识符(Uniform Resource Indicator,URI)。该方法还可以包括:由认证应用生成第一用户设备上可用的认证方案列表,其中每个认证方案与使用第一用户设备的一个或多个认证动作相关联;由认证应用生成一个或多个认证令牌,以表示经用户选择的认证方案的成功认证结果;以及将一个或多个认证令牌在BLE链路上从第一用户设备传送到第二用户设备,以由此对从运行在第二用户设备上的浏览器发起的网络访问请求进行认证。
在一些实施例中,来自第一用户设备上可用的认证方案列表的认证列表中的一者可以对应于由第一用户设备执行非接触式卡的NFC读取,该非接触式卡将用户标识信息存储作为NFC可传送数据。基于非接触式卡的认证方案对应于将非接触式卡带入第一用户设备的NFC范围内的单个用户动作。
本公开的一个方面涉及一种用于实施上下文切换认证的系统,该系统可以包括:计算机硬件装置,该计算机硬件装置被配置为:响应于通过在第一用户设备和第二用户设备之间建立的蓝牙低能耗(BLE)链路接收到的传输,启动存储在第一用户设备上的认证应用,该传输包括标识该认证应用的统一资源标识符(URI)。该计算机硬件装置还可以被配置为:生成第一用户设备上可用的认证方案列表,其中每个认证方案与由第一用户设备执行的一个或多个认证动作相关联;生成一个或多个认证令牌,以表示经用户选择的认证方案的成功认证结果;以及将一个或多个认证令牌在BLE链路上传送到第二用户设备,以由此对从运行在第二用户设备上的浏览器发起的网络访问请求进行认证。
根据一些实施例,该计算机硬件装置可以被配置为提供认证方案,该认证方案包括:使用第一用户设备作为读取器,以用于执行非接触式卡的近场通信(NFC)读取,该非接触式卡将用户标识信息存储作为NFC可传送数据;以及生成一个或多个认证令牌,以由此对从运行在第二用户设备上的浏览器发起的网络访问请求的源进行认证。
本公开的另一个方面涉及一种非暂时性计算机可读介质,该非暂时性计算机可读介质包括用于由计算机硬件装置执行的指令,其中,在执行该指令时,该计算机硬件装置被配置为执行包括以下的进程:响应于通过在第一用户设备和第二用户设备之间建立的蓝牙链路接收到的传输,启动存储在第一用户设备上的认证应用,该传输包括标识该认证应用的统一资源指示符(URI);生成第一用户设备上可用的认证方案列表,该列表响应于使用第一用户设备做出的选择输入,其中每个认证方案与由用户使用第一用户设备执行的一个或多个认证动作相关联;生成一个或多个认证令牌,以表示经用户选择的认证方案的成功认证结果;以及将一个或多个认证令牌在蓝牙链路上传送到第二用户设备,以由此对从运行在第二用户设备上的浏览器发起的网络访问请求进行认证。
在一些实施例中,用于生成一个或多个认证令牌的认证方案对应于对通过由第一用户设备执行非接触式卡的NFC读取所获取到的一个或多个用户标识信息的成功验证,该非接触式卡将用户标识信息存储作为NFC可传送数据。
附图说明
本公开的各种实施例以及进一步的目的和优点可以通过参考以下结合附图的描述来最佳地理解。
图1示出了根据本公开的一些实施例的使用蓝牙过程的上下文切换认证的示例性系统实施方式。
图2示出了根据本公开的一些实施例的用于提供基于单个用户动作的双因素强认证的上下文切换认证的示例性系统实施方式。
图3A是根据本公开的一些实施例的非接触式卡的图示。
图3B是根据本公开的一些实施例的非接触式卡的接触垫的图示。
图4是根据本公开的一些实施例的自动上下文切换认证过程的流程图。
图5是根据本公开的一些实施例的利用来自用户的单个认证动作实施双因素认证的自动上下文切换认证过程的流程图。
图6是根据本公开的一些实施例的示例性系统的框图图示。
具体实施方式
实施例的以下描述提供参考附图标记的非限制性代表性示例,以具体地描述本发明的不同方面的特征和教导。从实施例的描述中,所描述的实施例应该被认为能够单独地或与其他实施例组合地实施。审阅实施例的描述的本领域普通技术人员应该能够学习和理解本发明所描述的不同方面。实施例的描述应该促进对本发明的理解到这样的程度,即未特别覆盖但在已经阅读过实施例的描述的本领域技术人员的知识范围内的其他实施方式将被理解为与本发明的应用一致。
本公开的一个方面涉及一种用于访问认证的改进实施方式的系统和方法,该访问认证可以被应用于例如授予通过公共网络(诸如互联网)对敏感资源和/或信息的访问权限。所提出的方案涉及浏览器功能性到使不具有认证能力的连接计算设备能够建立对受限在线资源的经认证访问的过程中的新颖集成,所述浏览器功能性使网站能够访问并且使用与连接计算设备(例如,具有网络浏览应用的智能手机和/或平板电脑)相关联的硬件和软件功能性。
因此,本公开的一些实施例使被配置在一个用户设备上的用户和/或访问认证功能性能够被无缝地应用于对由另一个可能不具备上述认证配置/功能性的用户设备发起的连接进行认证。因此,根据一些实施例,被配置在具体用户设备(例如,智能手机、平板电脑)上的认证能力可以被动态地应用于对由另一个不同的用户设备(例如,计算机、膝上型电脑、平板电脑、智能手机等)发起的连接进行认证。在本实施例中,两个用户设备之间的认证信息可以通过短距离通信链路(诸如蓝牙低能耗(BLE))链路被传达。
出于本公开的目的,术语“网站”可互换地用于是指管理网站的网络服务器。
本公开的另一个方面涉及一种用于在需要来自用户的单个认证输入的同时实施双形式因素强认证过程的系统和方法。双形式因素强认证过程对应于对存储在非接触式卡上并由集成和/或安装在用户移动设备上的读取器经由NFC读取的用户认证信息的验证。在认证过程中使用的非接触式卡包括集成处理器和存储器,用于存储用户标识凭证作为NFC数据交换格式(NFC Data Exchange Format,NDEF)数据。在这种双形式因素强认证的实施方式中,第一形式的认证在(请求访问的用户设备)与另一个附近用户设备(例如,用户移动设备)的成功配对和交互时被隐式地验证,该另一个附近用户设备也被配置为非接触式卡的NFC读取器。对由(附近用户设备)用户移动设备经由非接触式卡的NFC读取所获得的信息的验证将构成对第二形式的认证的显式验证。此外,促进所描述的双形式因素强认证方案所需的(例如,如由用户提供的)唯一外部认证动作是将非接触式卡带入移动设备读取器的NFC范围内。
在一些实施例中,其中用户名和/或口令可以用作第一形式的认证,三形式因素强认证可以通过所描述的系统和方法基于对与两个不同用户相关联的设备(例如,第二(请求访问的)用户设备的蓝牙范围中的第一用户设备和第一用户设备的NFC范围内的非接触式卡)的接近度的验证,同时需要来自用户的两个认证输入来实现,这两个认证输入对应于通过移动设备输入用户名和/或口令凭证以及将非接触式卡轻击在用户移动设备上。
本公开的一个方面涉及一种动态触发过程,该过程在检测到由连接用户设备(例如,由连接用户设备的浏览器加载的网站)接收到的网站代码包括用于在源设备(例如,连接用户设备)上发起蓝牙过程的一个或多个指令以由此与连接用户设备的蓝牙配对范围内的一个或多个其他用户设备建立蓝牙低能耗(BLE)连接时发起。一旦检测到上述网站代码,存储在设置在连接用户设备的蓝牙配对范围中的第一用户设备上的认证应用可以根据在BLE连接上传送的一个或多个指令来动态地发起。
在第一用户设备上启动的认证应用然后可以响应于来自网站的认证请求,进行所需认证信息的生成和提供,以确认请求对一些访问受限的电子资源和/或网站的访问的实体持有与请求访问的实体相关联的第一用户设备(例如,具有认证能力的用户移动设备)和第二设备(例如,连接用户设备)两者或者在其两者的接近度中,因此将该实体认证作为它声称的用户,并且提供所请求的访问。
本公开的一个方面涉及一种用于使用认证方案的所提出的系统和方法,该认证方案包括非接触式卡存储与用于使用连接用户设备的蓝牙过程的浏览器功能性结合的(例如,由具有运行相应应用的读取器部件的移动设备可读的)NFC可传送用户认证信息,以便使非接触式卡认证过程能够对由连接用户设备发起的连接进行认证。
根据一些实施例,用户可以在第一用户设备和/或第二用户设备上动态地接收一个或多个通知,提示用户使用第一用户设备对从第二用户设备发起的网络连接进行认证。认证信息可以从第一设备被传送到第二设备,以用于到需要认证的目的地网站的通信。在其他实施例中,第一设备可以将认证信息直接发送到需要认证的目的地网站,以便对从第二用户设备发起的连接进行认证。
本公开的一些实施例涉及提供双因素认证强度,其基于验证请求访问敏感用户信息的实体持有两个设备,即第一用户设备(例如,具有NFC读取器的智能手机、平板电脑)和具有NFC标签的非接触式卡,同时仅需要来自用户的单个认证动作和/或输入(例如,将NFC使能的非接触式卡轻击到与(第二)连接用户设备主动配对的第一用户设备上的读取器)。如上面所描述的,所提出的上下文切换认证方案可以例如经由可以在两个用户设备之间建立的任何基于接近度的电子配对协议来启用。
本公开的一个方面涉及一种用于实施上下文切换认证的方法,该方法包括以下步骤:响应于通过在第一用户设备和第二用户设备之间建立的蓝牙链路接收到的传输,启动存储在第一用户设备上的具体认证应用。该传输可以包括标识了存储在第一用户设备上的具体认证应用的URI。在被启动时,认证应用可以提供第一用户设备上可用的认证方案列表,其中每个认证方案与由用户使用第二用户设备执行的一个或多个认证动作相关联。在认证过程的成功完成(基于认证方案的用户选择)时,认证应用可以生成一个或多个认证令牌,以表示经用户选择的认证方案的成功认证结果。认证令牌可以在蓝牙链路上从第一用户设备被传送到第二用户设备,以由此在到相应网络服务器的传输时,对从运行在第二用户设备上的浏览器发起的网络访问请求进行认证。
在蓝牙互链(interlink)上在第一用户设备和第二用户设备之间交换的信息可以被加密,并且包括一个或多个用户个人标识信息(Personal IdentificationInformation,PII)和/或支付凭证信息(Payment Credentials Information,PCI)。
根据一些实施例,使用第一用户设备执行的一个或多个认证动作可以包括将一个或多个用户登录凭证输入到第一用户设备中,和/或通过输入作为文本和/或语音发送到第一用户设备的临时一次性口令来确认用户身份。
在蓝牙链路上由第一设备接收到的传输中编码的URI可以包括超文本传输协议(Hypertext Transfer Protocol,HTTP)深度链接,如果认证应用没有被安装在第一用户设备上,则该HTTP深度链接将把用户重定向到信息页。在一些实施例中,如果认证应用没有被安装在第一用户设备上,该URI可以被编码为则把用户重定向到应用商店以用于下载认证应用。在一些实施例中,该URI可以包括使用具有用于指定要在第一用户设备上启动的目标应用的一个或多个标识符的定制格式的通用链接。在一些实施例中,该URI可以包括统一资源定位符(uniform resource locator,URL)。
根据一些实施例,由运行在第一用户设备上的认证应用生成的一个或多个认证令牌可以经由与请求认证网络服务器集成的后端应用编程接口(Application ProgrammingInterface,API)被传送到请求认证网络服务器,以由此对由运行在第二用户设备上的浏览器发起的网络访问请求进行认证。
本公开的一个方面可以涉及一种用于实施上下文切换认证的系统。该系统可以包括:计算机硬件装置,该计算机硬件装置被配置为根据上面所描述的实施例实施认证过程。本公开的另一个方面可以涉及一种非暂时性计算机可读介质,该非暂时性计算机可读介质包括用于由计算机硬件装置执行的指令,其中在执行该指令时,该计算机硬件装置被配置为执行关于上面所描述的一个或多个实施例的进程。
图1示出了用于上下文切换认证实施方式的示例性系统100,该系统使用第一用户设备(例如,用户移动设备110)来对由第二用户设备(120)在到托管敏感数据的网络设备(例如,存储安全数据153的网络服务器150)的标准网络连接(128)上发起的敏感数据访问请求(129)进行认证。针对敏感数据的请求(129)可以由第二用户设备(例如,出于本公开的目的,用户计算设备120也被称为请求访问或连接用户设备)发起,并且在网络连接128上被传送到目的地网络服务器(例如,网络服务器150)。
参考图1所示的示例性实施例100,在第一用户设备和第二用户设备之间的BLE链路(134)可以由针对认证数据的请求(130)调用,该针对认证数据的请求(130)由目的地网络服务器(例如网络服务器150)发送到请求访问的用户设备(120)从而试图认证对存储在其上的敏感和/或安全数据153的访问请求(129)。
除了第一用户设备和第二用户设备以外,示例性系统100还可以包括应用服务器(例如,应用服务器140),该应用服务器与用户移动设备110通信地耦合并且响应于来自存储在用户移动设备110上的一个或多个应用(例如,应用113)的一个或多个通信。应用服务器(140)也可以被连接至数据库(例如,数据库144),该数据库可以用于存储一个或多个用户个人标识信息(PII)和/或支付凭证信息(PCI)。尽管图1示出了部件的单个实例,但是系统100可以包括任何数量的部件。
返回参考图1,第一用户设备(例如,用户移动设备110)可以在到设置在第一用户设备(110)的蓝牙配对接近度内的第二用户设备(例如,用户计算设备120)的BLE链路(134)上接收一个或多个传输125。
一个或多个传输(125)可以包括在授予(请求访问的)第二用户设备(120)通过网络连接(128)访问所请求的敏感数据(例如,安全数据153)之前,从网络服务器(150)接收到的针对认证数据的请求(130),和/或用于由(目的地)网络服务器(150)所需的特定认证数据的一个或多个电子通知和/或消息。传输(125)还可以包括由运行在第一用户设备(110)上的认证应用(114)和/或运行在应用服务器(140)上的相应应用(143)生成的,以一个或多个认证令牌(126)形式的认证响应。在一些实施例中,认证令牌(126)的生成可以部分地由运行在应用服务器(140)上的(来自应用套件143的)应用执行并且部分地由运行在第一用户设备(110)上的认证应用(114)执行。
用于认证数据(130)的请求(出于本公开的目的,可互换地被称为认证请求(130))可以由(目的地)网络服务器(150)生成以响应于敏感数据访问请求(129),并且通过网络连接(128)被传送到访问请求设备(例如,用户计算设备120)。一旦由请求访问的用户设备(120)接收到,认证请求(130)就可以通过动态调用的BLE链路(134)从请求访问的用户设备(120)被无线传送到第一用户设备(110)以用于认证处理。在完成认证过程时,一个或多个认证令牌(126)可以被生成(以指示成功的认证结果)并且通过BLE链路被发送到请求访问的用户设备(120)。然后,认证令牌(126)可以被包括在认证响应(131)中,并且在例如通过网络(127)建立的网络连接(128)上被传达到适当的网络服务器(例如,网络服务器150)。
如所描述的,根据本公开的一些实施例,认证过程可以由存储在用户移动设备上的认证应用(114)来进行。认证应用(114)可以具有存储在第一用户设备上的一个或多个应用部件和/或存储在相应应用服务器(140)上的一个或多个部件。在一些实施例中,响应于在蓝牙低能耗(BLE)链路(例如,BLE链路134)上由用户移动设备(110)接收到一个或多个认证请求的用户认证过程可以通过认证应用(114)执行一个或多个客户端侧操作并且进一步在网络127上与应用服务器(140)上的一个或多个应用143通信以发起与用户认证过程相关联的一个或多个服务器侧操作来进行。根据示例性实施例100,用户认证过程可以对应于认证令牌(126)的生成,该认证令牌可以在BLE链路(134)上被直接传送到第二用户设备(120)。然后,认证令牌126可以在网络连接128上被传送到网络服务器150,以使请求访问的(第二)用户设备(120)能够访问托管在网络服务器150上的安全数据153。
在一些实施例中,认证令牌126可以从用户移动设备(110)在BLE链路134上被传送到请求访问的设备(例如,用户计算设备120),并且从其在通过网络127建立的网络连接(128)上被传送到网络服务器150。认证令牌还可以由(第一)用户移动设备(110)和/或应用服务器(120)经由例如网络127直接传送到适当的网络服务器(例如,网络服务器150)。网络服务器(150)可以存储来自一个或多个经验证源的关于不同认证签名的信息,以例如进行对包括在认证响应(131)中的认证令牌126的证实和验证。
用户移动设备(110)可以被配置为将一个或多个用户相关数据消息传送到应用服务器(140)。该用户相关数据可以对应于部分或全部地存储在用户移动设备(110)和/或应用服务器(140)上的一个或多个用户标识信息。该用户相关数据还可以对应于响应于由用户移动设备(110)接收到的一个或多个可行动通知所提供的一个或多个实时捕捉的用户输入。
用户移动设备110可以是网络使能的计算机设备。示例性网络使能的计算机设备包括但不限于:服务器、网络家电、个人计算机、工作站、电话、手持式个人计算机、个人数字助理、瘦客户端、胖客户端、互联网浏览器、移动设备、自助服务终端、非接触式卡,或其他计算机设备或通信设备。例如,网络使能的计算机设备可以包括:来自的iPhone、iPod、iPad或运行Apple 操作系统的任何其他移动设备、运行MicrosoftMobile操作系统的任何设备、运行Google 操作系统的任何设备,和/或任何其他智能手机、平板电脑或类似的可穿戴移动设备。
第一用户设备(例如,用户移动设备110)可以包括处理器(111)、存储器(112)和一个或多个应用(113)。处理器111可以是处理器、微处理器或其他处理器,并且第一用户设备110可以包括这些处理器中的一者或多者。处理器111可以包括处理电路,该处理电路可以包含额外的部件,包括如执行本文所描述的功能必需的额外的处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防碰撞算法、控制器、命令解码器、安全原语和防篡改硬件。
处理器111可以被耦合至存储器112。存储器(112)可以是只读存储器、一次写入多次读取存储器或读/写存储器,例如RAM、ROM和EEPROM,并且用户移动设备110可以包括这些存储器中的一者或多者。只读存储器可以被厂商可编程为只读或一次性可编程。一次性可编程性提供了一次写入然后多次读取的机会。一次写入多次读取存储器可以在存储器芯片已经出厂之后的某个时间点被编程。一旦该存储器被编程,它就不能被重写,但可以被多次读取。读/写存储器可以在出厂之后被多次编程和重新编程。它也可以被多次读取。存储器112可以被配置为存储一个或多个软件应用(113),并且存储器112还可以存储用户相关信息,诸如用户的私人和/或金融账户信息。
一个或多个软件应用113可以包括一个或多个移动应用、具有一个或多个浏览器扩展的网络浏览器、一个或多个电子数据收集与认证应用,和/或一个或多个具有例如集成认证功能性的银行应用。应用113还可以包括用于在第一用户设备(例如,用户移动设备110)上的执行的指令。在一些示例中,第一用户设备110可以执行一个或多个应用,诸如软件应用,该应用使能够例如与系统100的一个或多个部件进行网络通信、传送和/或接收数据,以及执行本文所描述的功能。在由处理器111执行时,来自应用113的一个或多个应用可以提供本说明书所描述的功能,特别地以实行并且执行本文所描述的过程流程中的步骤和功能。例如,认证应用114可以响应于在到第二用户设备(120)的BLE链路(134)上接收到的一个或多个认证请求,在执行一个或多个用户认证操作时进行一个或多个客户端侧操作。认证过程的执行以及认证令牌126的后续生成可以部分或全部地由认证应用114和/或存储在应用服务器(140)上的相应服务器侧应用143来执行。然后,指示成功认证结果的认证令牌126可以由第一用户设备(110)在相同的BLE链路(134)上传送到用户计算设备(120),包括认证请求(130)的一个或多个传输(125)在该BLE链路上由第一用户设备(110)接收。然后,认证令牌126可以由第二用户设备(120)在网络连接128上传送到网络服务器150,如由数据传递(131)指示的。在确认认证令牌(126)时,网络服务器(140)可以验证敏感数据访问请求(129)并且授予请求访问的(第二)用户设备(120)对安全数据(153)的访问权限,如由关于图1中的示例性实施例100所示的数据传递路径(132)指示的。
这类过程可以以软件(诸如软件模块)实施以供计算机或其他机器执行。一个或多个应用还可以提供图形用户界面(graphical user interface,GUI),用户可以通过该GUI查看系统100内的其他部件和设备并且与其交互。GUI可以被格式化为例如超文本标记语言(HyperText Markup Language,HTML)、可扩展标记语言(Extensible Markup Language,XML)或任何其他合适形式的网络页面,以用于取决于由用户使用以与系统100交互的应用而在显示设备上的呈现。
第一用户设备(例如,用户移动设备110)还可以包括输入/输出(I/O)设备115。I/O设备可以包括显示器或用于呈现视觉信息的任何类型的设备(诸如计算机监视器、平板显示器和移动设备屏幕),包括液晶显示器、发光二极管显示器、等离子面板和阴极射线管显示器。I/O设备115也可以包括用于键入由用户设备(110)可用和支持的信息的任何设备,诸如触摸屏、键盘、鼠标、光标控制设备、触摸屏、麦克风、数码相机、录像机或摄录像机。I/O设备115也可以包括读取器(116)以使能够使用例如近场通信(NFC)协议对数据的自动获取/读取。I/O设备(115)可以用于键入和/或读入信息以及与本文所描述的软件和其他设备交互。
应用服务器140可以是网络使能的计算机设备。示例性网络使能的计算机设备包括但不限于服务器、网络家电、个人计算机、工作站、电话、手持式个人计算机、个人数字助理、瘦客户端、胖客户端、互联网浏览器、移动设备、自助服务终端、非接触式卡,或其他计算机或通信设备。例如,网络使能的计算机设备可以包括来自的iPhone、iPod、iPad或运行Apple 操作系统的任何其他移动设备、运行Microsoft Mobile操作系统的任何设备、运行Google 操作系统的任何设备,和/或任何其他智能手机、平板电脑或类似的可穿戴移动设备。
应用服务器140可以包括处理器(141)、存储器(142)和一个或多个应用(143)。处理器141可以是处理器、微处理器或其他处理器,并且应用服务器140可以包括这些处理器中的一者或多者。处理器(141)可以包括处理电路,该处理电路可以包含额外的部件,包括如执行本文所描述的功能必需的额外的处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防碰撞算法、控制器、命令解码器、安全原语和防篡改硬件。
处理器141可以被耦合至存储器142。存储器142可以是只读存储器、一次写入多次读取存储器或读/写存储器,例如RAM、ROM和EEPROM,并且应用服务器(140)可以包括这些存储器中的一者或多者。只读存储器可以被厂商可编程为只读或一次性可编程。一次性可编程性提供了一次写入然后多次读取的机会。一次写入多次读取存储器可以在存储器芯片已经出厂之后的某个时间点被编程。一旦该存储器被编程,它就不能被重写,但可以被多次读取。读/写存储器可以在出厂之后被多次编程和重新编程。它也可以被多次读取。存储器142可以被配置为存储一个或多个软件应用,诸如应用套件143。应用服务器140也可以存储与一个或多个用户的PII和PCI相对应的数据。
应用套件143可以包括一个或多个软件应用,该软件应用包括用于在应用服务器(140)上的执行的指令。在一些示例中,应用服务器140可以执行一个或多个应用,诸如软件应用,该应用使能够例如与系统100的一个或多个部件进行网络通信、传送和/或接收数据,以及执行本文所描述的功能。在由处理器(141)执行时,来自应用套件143的一个或多个应用可以提供本说明书所描述的功能。例如,来自应用套件(143)的一个或多个应用可以响应于由用户移动设备(110)在到(第二)请求访问的用户设备(120)的蓝牙低能耗(BLE)链路(例如,BLE链路134)上接收到的一个或多个认证请求来执行用于实施用户认证过程的一个或多个服务器侧操作。然后,一个或多个认证请求可以通过网络(127)被传达到应用服务器(140)。例如,存储在应用服务器(140)上的来自应用套件143的一个或多个应用可以提供用于认证令牌(126)的生成的一个或多个服务器侧功能,该认证令牌可以被发送回用户移动设备(110)上的相应应用(例如,认证应用114)并且从其在BLE链路(134)上被传送到请求连接的用户设备(120)。然后,认证令牌126可以被包括在认证响应(131)中并且在网络连接128上被传送到网络服务器150以进行对敏感数据访问请求129的认证,并且为请求访问的用户设备(120)提供对安全数据(153)的访问,如由示例性系统实施方式(100)中的数据访问路径(132)表示的。
这类过程可以在软件(诸如软件模块)中实施,以供计算机或其他机器执行。应用113和/或143可以提供GUI,用户可以通过该GUI查看系统100内的其他部件和设备并且与其交互。GUI可以被格式化为例如超文本标记语言(HTML)、可扩展标记语言(XML)或任何其他合适形式的网络页面,以用于取决于由用户使用的以与系统100交互的应用而在显示设备上的呈现。
数据库144可以包括一个或多个数据库,该数据库被配置为存储数据,包括但不限于一个或多个用户标识信息和/或金融账户信息。数据库144可以包括关系数据库、非关系数据库或其他数据库实施方式,以及它们的任何组合(包括多个关系数据库和非关系数据库)。在一些示例中,数据库144可以包括桌面数据库、移动数据库或内存(in-memory)数据库。此外,数据库144可以由应用服务器(140)在内部托管,或者在不同的存储设备或数据库上或在与应用服务器(140)进行数据通信的任何存储设备上外部实施。数据库144可以由一个或多个本地服务器支持,或者与基于云的平台相关联。
系统100也可以包括一个或多个网络127。在一些示例中,网络127可以是无线网络、有线网络,或无线网络和有线网络的任何组合中的一者或多者,并且可以被配置为将用户移动设备(110)、用户计算设备(120)、应用服务器(140)和网络服务器(150)连接。数据库144可以经由网络127和/或直接连接(145)被连接至应用服务器140。网络127可以包括以下中的一者或多者:光纤网络、无源光学网络、电缆网络、互连网网络、卫星网络、无线局域网(local area network,LAN)、全球移动通信系统、个人通信服务、个人区域网、无线应用协议、多媒体消息服务、增强型消息服务、短消息服务、基于时分复用的系统、基于码分多址的系统、D-AMPS、Wi-Fi、固定无线数据、IEEE 802.11b、802.15.1、802.11n和802.11g、蓝牙、NFC、射频识别(RFID)、Wi-Fi和/或类似物。
此外,网络127可以包括但不限于电话线、光纤、IEEE以太网902.3、广域网、无线个域网、LAN或全球网络(诸如互联网)。此外,网络127可以支持互联网网络、无线通信网络、蜂窝网络或类似网络,或它们的任何组合。网络127还可以包括一个网络,或任何数量的上述示例性类型的网络,作为独立网络或相互协作地操作。网络127可以使用它们被通信地耦合至的一个或多个网络元件的一个或多个协议。网络127可以将其他协议转化为网络设备的一个或多个协议,或从其他协议转换为网络设备的一个或多个协议。尽管网络127被描绘为单个网络,但是应该认识到,根据一个或多个示例,网络127可以包括多个互连的网络,诸如例如互联网、服务提供商网络、有线电视网络、公司网络(诸如信用卡协会网络)以及家庭网络。网络127还可以包括或被配置为创建一个或多个前信道,该前信道可以是可公开访问的并且通过该前信道通信可以是可观察到的,以及一个或多个安全后信道,该安全后信道可以不是可公开访问的并且通过该安全后信道通信可能是不可观察到的。
在一些示例中,用户移动设备(110)和应用服务器(140)之间的通信可以使用一个或多个前信道和一个或多个安全后信道来发生。前信道可以是采用可公开访问和/或不安全的通信信道的通信协议。示例性前信道包括但不限于互联网、开放网络和其他可公开访问的通信网络。在一些示例中,使用前信道发送的通信可能会受到由另一个设备的未经授权的观察。在一些示例中,前信道通信可以包括超文本传输协议(HTTP)安全套接字层(SSL)通信、HTTP安全(HTTPS)通信,以及与服务器或其他设备的基于浏览器的通信。
安全后信道可以是采用安全和/或不可公开访问的通信信道的通信协议。在一些实施例中,用户移动设备(110)和应用服务器(140)之间的通信链路可以与安全后信道通信相对应。在一些示例中,选择数量的设备可以包括已知的、受信任的,或以其他方式先前经授权的设备。示例性安全后信道包括但不限于封闭网络、专用网络、虚拟专用网络、离线专用网络,以及其他专用通信网络。
返回参考图1,发送回第二(请求访问的)用户设备(120)的针对认证数据的请求(130)可以包括一个或多个指令,用于从请求访问的用户设备(120)的配对接近度内的另一个源获得所需的用户认证数据。因此,BLE链路134可以建立以进行响应,以进行认证请求和/或响应消息(125)在第二(请求连接的)用户设备与第一(提供认证的)用户设备之间的交换。在一个实施例中,从网络服务器(150)发送回的具有用于认证数据(130)的请求的一个或多个指令可以包括标识了存储在用户移动设备(110)上的认证模式和/或认证应用(例如,认证应用114)的统一资源指示符(URI),该认证模式和/或认证应用可以用于进行认证过程。
根据一些实施例,对存储在用户移动设备(110)上的一个或多个应用(例如,认证应用114)的调用可以要求用户授权,并且可以仅被允许在检测到例如响应于包括在传输(125)中并且由用户移动设备(110)在到(第二)用户计算设备(120)的BLE链路(134)上接收到的认证请求(130)来提供的具体用户输入时进行。根据一些实施例,用户认证相关输入(例如,通过安装在用户移动设备110上的一个或多个I/O设备115捕捉到的用户认证相关输入)可以被传送到应用服务器(140)以供执行。
如上面所描述的,所提出的系统和方法的一个方面涉及一种关于唯一配置的非接触式卡的认证方案,该非接触式卡具有存储(例如,可由具有读取器部件并且运行相应应用的移动设备读取的)NFC可传送用户认证信息的集成NFC标签。参考图3A和图3B来描述非接触式卡的特定结构、配置和操作,包括其集成处理器、存储器和NFC功能性,以及作为NFC可传送数据存储的敏感信息的安全方法。图2中示出了用于使用前述非接触式卡的上下文切换认证的示例性系统实施方式(200)。
图2示出了用于使用例如由第一用户设备(例如,用户移动设备110)可读的非接触式卡(202)的上下文切换认证的实施方式的示例性系统和方法。非接触式卡(202)可以包括集成处理器(203)和存储器(204)。卡集成存储器(204)可以存储包括一个或多个小应用程序(205)的多个项目,该一个或多个小应用程序可以被通信地耦合至运行在用户移动设备110上的一个或多个应用和/或存储在相应应用服务器上的一个或多个应用。卡集成存储器(204)还可以存储应用交易计数器(206)以跟踪涉及非接触式卡(202)的交易序列。非接触式卡(202)还可以包括近场通信(NFC)接口(207)以进行与例如用户移动设备(110)的NFC通信。
根据一些实施例,非接触式卡(202)和用户移动设备(110)可以与用于访问请求访问的用户设备(例如,第二用户设备120)的蓝牙过程的浏览器功能性结合使用,以便使涉及非接触式卡(202)和第一用户设备(110)的单个认证动作能够提供用于由(请求访问的)第二用户设备(120)发起的连接请求的双因素强认证,该第二用户设备(120)被设置在第一用户设备(110)的蓝牙配对距离内。
图2所示的示例性上下文切换认证实施方式(200)使用具有与第一用户设备(110)的经对称加密的NFC信道(208)的非接触式卡(202)以用于(作为NDEF数据存储在非接触式卡(202)上的)用户认证数据210到例如运行在第一用户设备(110)上的认证应用(114)的经加密传输。NFC信道(208)可以例如当用户移动设备(110)的读取器(116)移动到非接触式卡(202)的NFC接近度中时被激活,和/或反之亦然。
在示例性实施例(200)中,涉及非接触式卡(202)和用户移动设备(110)的配置与(第二)请求访问的设备(例如,用户计算设备120)和第一用户设备(110)之间动态建立的蓝牙通信链路(例如,BLE链路134)结合使用,以实施双因素认证强度。双因素认证强度可以对应于例如确认从第二用户设备(120)请求访问敏感用户信息(例如,安全数据153)的实体或源持有了两个其他不同的用户设备,即第一用户设备(例如,用户移动设备110)和非接触式卡(202)。所描述的上下文切换认证方案提供了同时仅需要来自用户的单个认证动作/输入(例如,将NFC使能的非接触式卡(202)轻击到第一用户设备(110)的读取器(116),该第一用户设备(110)与(请求访问的)第二用户设备(120)接近配对)的双因素认证强度。所提出的上下文切换认证方案可以例如经由可以在第一用户设备(110)和第二用户设备(120)之间建立的任何基于接近度的电子配对协议来启用。
图3A至图3B示出了示例性非接触式卡300。尽管图3A至图3B示出了卡300的部件的单个实例,但是可以使用任意数量的部件。
卡300可以被配置为与系统100的一个或多个部件通信。卡300可以包括基于接触的卡(例如,通过刷磁条或通过插入芯片读取器读取的卡)或非接触式卡,并且卡300可以包括支付卡,诸如信用卡、借记卡或礼品卡。如图3A所示,卡300可以由显示在卡300的正面(和/或卡300的背面)的服务提供商标志305发行。在一些示例中,支付卡可以包括双接口非接触式支付卡。在一些示例中,卡300与支付卡无关,并且可以包括但不限于身份证、会员卡和交通卡。
卡300可以包括基板310,该基板310可以包括由塑料、金属和其他材料构成的单层或一个或多个层压层。示例性基板材料包括聚氯乙烯、聚氯乙烯醋酸酯、丙烯腈丁二烯苯乙烯、聚碳酸酯、聚酯、阳极化钛、钯、金、碳、纸以及可生物降解材料。在一些示例中,卡300可以具备符合ISO/IEC 7810标准的ID-1格式的物理特性,并且卡300可以另外符合ISO/IEC14443标准。然而,应当理解,根据本公开的卡300可以具备不同的特性,并且本公开并不要求在支付卡中的实施方式。
卡300还可以包括显示在卡的正面和/或背面的标识信息315,并且卡300还可以包括接触垫320。接触垫320可以被配置为与另一个通信设备(包括但不限于用户设备、智能手机、膝上型计算机、桌上型计算机或平板计算机)建立接触。卡300还可以包括图3A中未示出的处理电路、天线和其他部件。这些部件可以位于接触垫320后方或基板310上的其他地方。
服务提供商标志305可以包括服务提供商的名称和标记,并且还可以包括与服务提供商相关的信息,包括但不限于电话号码、地址、用于如果已经丢失或损坏则处理卡300的指令,以及其他信息。服务提供商标志305还可以包括图像或图形设计。
标识信息315可以包括但不限于账号、姓名、到期日期、电话号码、昵称以及其他信息。在一些示例中,标识信息315还可以包括图像或图形设计。例如,标识信息315可以包括用户图像、照片、图画或标记。
如图3B所示,图3A的接触垫320可以包括用于存储和处理信息的处理电路325,包括处理器330(诸如微处理器)和存储器335。应当理解,处理电路325可以包含附加部件,包括如执行本文所描述的功能所需的处理器、存储器、错误和奇偶校验/CRC校验器、数据编码器、防碰撞算法、控制器、命令解码器、安全原语和防篡改硬件。
存储器335可以是只读存储器、一次写入多次读取存储器或读/写存储器,例如RAM、ROM和EEPROM,并且卡300可以包括这些存储器中的一者或多者。只读存储器可以被厂商可编程为只读或一次性可编程。一次性可编程性提供了一次写入然后多次读取的机会。一次写入/多次读取存储器可以在存储器芯片已经出厂之后的某个时间点被编程。一旦存储器被编程,它就不再被重写,但可以被多次读取。读/写存储器可以在出厂之后被多次编程和重新编程。它也可以被多次读取。
存储器335可以被配置为存储一个或多个小应用程序340,一个或多个计数器345以及客户标识符350。一个或多个小应用程序340可以包括被配置为执行在一个或多个基于接触的卡或非接触式卡上的一个或多个软件应用,诸如Java Card小应用程序。然而,应当理解,小应用程序340并不限于Java Card小应用程序,而是可以是可操作在基于接触的卡或非接触式卡或具有有限存储器的其他设备上的任何软件应用。一个或多个计数器345可以包括足以存储整数的数字计数器。客户标识符350可以包括分配给卡300的用户的唯一字母数字标识符,并且该标识符可以将非接触式卡的用户与其他非接触式卡用户区分开。在一些示例中,客户标识符350可以标识客户和分配给该客户的账户两者,并且还可以标识与客户的账户相关联的非接触式卡。
前述示例性实施例的处理器和存储器元件参考接触垫来描述,但是本公开并不限于此。应当理解,这些元件可以被实施在接触垫320之外或与其完全分离,或者被实施为除了位于接触垫220内的处理器230和存储器235元件以外的其他元件。
在一些示例中,卡300可以包括一个或多个天线355。一个或多个天线355可以被放置在卡300内并且在接触垫320的处理电路325周围。例如,一个或多个天线355可以与处理电路325构成一体,并且一个或多个天线355可以与外部升压线圈一起使用。再例如,一个或多个天线355可以在接触垫320和处理电路325的外部。
在实施例中,卡300的线圈可以充当空芯变压器的次级。终端可以通过切断电力或振幅调制与卡300通信。卡300可以使用卡的电力连接中的间隙来推断从终端传送的数据,这可以通过一个或多个电容器在功能上维持。卡300可以通过切换卡的线圈上的负载或负载调制进行返回通信。负载调制可以通过干扰在终端的线圈中检测到。
图4提供了根据本公开的一些实施例的上下文切换认证过程的操作概述。参考图4,在(402)处,第一用户设备(例如,用户移动设备110)通过与该第一用户设备的适当范围内的第二用户设备(例如,用户计算设备120)建立的蓝牙链路接收包含URI的传输。在接收到通过与第二用户设备的BLE链路的传输时,由URI标识出的认证接口应用在第一用户设备上启动(步骤404)。认证接口应用可以提供第一用户设备上可用的认证模式和程序的列表(步骤406)。一旦选择认证模式并且使用例如第一用户设备键入与所选的认证模式相称的适当的认证输入,就验证了认证信息。在步骤408中,生成了一个或多个认证令牌以表示用户的成功认证。认证过程以及认证令牌的后续生成可以涉及将用户认证输入与经先前验证并安全存储的用户信息进行匹配。该过程可以由用户移动设备(110)上的认证应用和/或应用服务器(140)上的相应服务器侧应用来执行。在一些实施例中,认证操作可以部分地由第一用户设备(110)上的认证应用,并且部分地由相应应用服务器(140)来执行。
在步骤410处,认证令牌通过蓝牙链路从第一用户设备(110)被传送到第二设备(120)。在一些实施例中,该认证令牌可以由应用服务器(120)生成并且通过公共网络连接(例如,网络127)直接传送到请求访问的设备(例如,第二用户设备120)。在步骤412处,认证令牌被传达到托管敏感数据内容(例如,安全数据153)的网络服务器,以由此对从第二用户设备(120)发起的网络访问请求进行认证。注意,该网络访问请求可以由用户发起或自动地(例如,由第二用户设备上的网站或应用)发起。
图5示出了根据本公开的一些实施例的与上下文切换认证过程的操作概述相对应的示例性流程图(500)。参考示例性流程图(500),在步骤502处,第一用户设备(例如,用户移动设备110)通过与设置在该第一用户设备的适当范围内的第二用户设备(例如,用户计算设备1120)建立的蓝牙链路接收URI传输。在接收到通过与第二用户设备的BLE链路的传输时,生成用户使用第一用户设备(例如,用户移动设备110)作为读取器对非接触式卡(例如,非接触式卡202)进行认证的通知。在步骤506处,验证从非接触式卡经由NFC传输读取的信息。该验证可以由用户移动设备上的适当应用和/或通信地耦合至用户移动设备的应用服务器(140)上的相应应用来执行。在确认该信息时,生成一个或多个认证令牌,以表示对来自非接触式卡(202)的NFC传递的数据的成功验证。该认证令牌可以由存储在用户移动设备110和/或应用服务器140上的一个或多个应用生成。在步骤510处,认证令牌通过主动BLE链路从第一用户设备被传送到第二用户设备。在步骤512处,认证令牌被传达到请求认证网络服务器,以由此对从第二用户设备发起的安全网络连接请求进行认证。注意,该安全网络连接请求可以由用户发起或自动地(例如,由第二用户设备上的网站或应用)发起。
图6示出了根据本公开的系统的示例性实施例的框图。例如,根据本文所描述的本公开的示例性过程可以由处理装置和/或计算装置(例如,计算机硬件装置)605来执行。这样的处理装置/计算装置605可以是例如计算机/处理器610的全部或一部分,或者包括但不限于计算机/处理器610,该计算机/处理器可以包括例如一个或多个微处理器,并且使用存储在计算机可访问介质(例如,RAM、ROM、硬盘驱动器或其他存储设备)上的指令。
如图6所示,例如,计算机可访问介质615(例如,如上面所描述的存储设备,诸如硬盘、软盘、记忆棒、CD-ROM、RAM、ROM等或它们的集合)可以被设置(例如,与处理装置605进行通信)。计算机可访问介质615可以包含其上的可执行指令620。另外地或可替选地,存储装置625可以与计算机可访问介质615分开设置,该计算机可访问介质可以向处理装置605提供指令,以便将处理装置配置为执行某些示例性进程、过程和方法,例如,如上面所描述的。
此外,示例性处理装置(605)可以设置有或包括输入/输出端口(635),该输入/输出端口可以包括例如有线网络、无线网络、互联网、内联网、数据收集探针、传感器等。如图6所示,示例性处理装置(605)可以与示例性显示装置(630)进行通信,例如,根据本公开的某些示例性实施例,该显示装置可以是被配置用于除了从处理装置输出信息以外还向处理装置输入信息的触摸屏。此外,示例性显示装置(630)和/或存储装置(625)可以用于以用户可访问格式和/或用户可读格式显示和/或存储数据。
如本文所使用的,术语“卡”不限于具体类型的卡。更确切地说,应当理解,除非另外指示,否则术语“卡”可以是指基于接触的卡、非接触式卡或任何其他卡。还应当理解,本公开不限于具有特定目的的卡(例如,支付卡、礼品卡、身份证、会员卡、交通卡、访问卡),与具体类型的账户(例如,信用账户、借记账户、会员账户)相关联的卡,或由具体实体(例如,商业实体、金融机构、政府实体、社交俱乐部)发行的卡。相反,应当理解,本公开包括具有任何目的、账户关联或发行实体的卡。
本文所描述的系统和方法可以提供对受限电子资源和/或网站的安全、经认证的访问。一旦已经建立了经认证的访问,资源和/或网站可以允许但不限于金融交易(例如,信用卡和借记卡交易)、账户管理交易(例如,卡刷新、卡更换和新卡添加交易)、会员交易(例如,加入和离开交易)、访问点交易(例如,建筑物访问和安全存储访问交易)、交通交易(例如,票务和登机交易),以及其他交易。
如本文所描述的,个人标识信息(PII)可以包括任何敏感数据,包括金融数据(例如,账户信息、账户余额、账户活动)、个人信息和/或个人可标识信息(例如,社会安全号码、家庭或工作地址、出生日期、电话号码、电子邮件地址、护照号码、驾驶执照号码)、访问信息(例如,口令、安全代码、授权代码、生物统计数据)以及用户可能期望避免向未经授权的人员透露的任何其他信息。
本公开并不限于本申请所描述的具体实施例,这些实施例旨在作为各个方面的说明。许多修改和变体如显而易见的可以在不脱离其精神和范围的情况下进行。除了本文所列举的那些以外,本公开的范围内的功能等同的方法和装置可以从前面的代表性描述中变得显而易见。这样的修改和变体旨在属于所附代表性权利要求的范围内。本公开仅由所附代表性权利要求的术语以及这样的代表性权利要求所赋予的等同物的全部范围来限制。还应当理解,本文所使用的术语仅是出于描述具体实施例的目的,而不旨在是限制性的。
此外,注意,本文所描述的系统和方法可以有形地体现在一个或多个物理介质中,诸如但不限于光盘(CD)、数字多功能盘(DVD)、软盘、硬盘、只读存储器(ROM)、随机存取存储器(RAM),以及能够进行数据存储的其他物理介质。例如,数据存储装置可以包括随机存取存储器(RAM)和只读存储器(ROM),它们可以被配置为访问和存储数据、信息和计算机程序指令。数据存储装置还可以包括存储介质或其他合适类型的存储器(例如,诸如例如RAM、ROM、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、磁盘、光盘、软盘、硬盘、可移动磁带盒、闪存驱动器、任何类型的有形且非暂时性存储介质),其中可以存储包括操作系统、应用程序(包括例如网络浏览器应用、电子邮件应用和/或其他应用)的文件以及数据文件。网络使能的计算机系统的数据存储装置可以包括以各种方式存储的电子信息、文件和文档,包括例如,平面文件、索引文件、分层数据库、关系数据库(诸如利用来自例如公司的软件创建和维护的数据库)、Excel文件、Access文件、固态存储设备(其可以包括闪存阵列、混合阵列或服务器端产品)、企业存储装置(其可以包括在线或云存储装置)或任何其他存储机制。此外,各图单独示出了各种部件(例如,服务器、计算机、处理器等)。被描述为在各种部件处执行的功能可以在其他部件处被执行,并且各种部件可以被合并或分开。还可以进行其他修改。
在前述说明书中,已经参考附图描述了各种实施例。然而,将显而易见的是,可以对其进行各种修改和改变,并且可以在不脱离如接下来的权利要求所阐述的本发明的更广泛的范围的情况下实施附加实施例。因此,本说明书和附图应当被视为说明性的而非限制性的。
Claims (20)
1.一种用于实施上下文切换认证的方法,所述方法包括:
由存储在第一用户设备上的认证应用通过在所述第一用户设备和第二用户设备之间建立的蓝牙链路接收传输,所述传输包括标识所述认证应用的统一资源指示符(URI);
由所述认证应用生成所述第一用户设备上可用的认证方案列表,其中每个认证方案与使用所述第二用户设备的一个或多个认证动作相关联;
由所述认证应用生成一个或多个认证令牌,以表示经用户选择的认证方案的成功认证结果;以及
将所述一个或多个认证令牌在所述蓝牙链路上从所述第一用户设备传送到所述第二用户设备,以由此对从运行在所述第二用户设备上的浏览器发起的网络访问请求进行认证。
2.根据权利要求1所述的方法,其中,所述一个或多个认证动作包括以下中的一者或多者:使用所述第一用户设备来输入登录凭证;通过输入作为文本和/或语音发送到所述第一用户设备的临时一次性口令来确认身份。
3.根据权利要求1所述的方法,其中,所述URI包括超文本传输协议(HTTP)深度链接,如果所述认证应用没有被安装在所述第一用户设备上,则所述HTTP深度链接将把所述第一用户设备重定向到信息页。
4.根据权利要求1所述的方法,其中,如果所述认证应用没有被安装在所述第一用户设备上,则所述URI被编码为把所述第一用户设备重定向到应用商店以用于下载所述认证应用。
5.根据权利要求1所述的方法,其中,所述URI包括使用具有用于指定要在所述第一用户设备上启动的目标应用的一个或多个标识符的定制格式的通用链接。
6.根据权利要求1所述的方法,其中,由所述第二用户设备上的浏览器加载的网站包括用于在所述第二用户设备上发起蓝牙过程以与所述第二用户设备的配对距离中的所述第一用户设备建立连接的指令。
7.根据权利要求1所述的方法,其中,在所述蓝牙链路上在所述第一用户设备和所述第二用户设备之间交换的信息被加密。
8.根据权利要求1所述的方法,其中,在所述蓝牙链路上在所述第一用户设备和所述第二用户设备之间交换的信息包括一个或多个用户个人标识信息(PII)。
9.根据权利要求1所述的方法,其中,在所述蓝牙链路上在所述第一用户设备和所述第二用户设备之间交换的信息包括支付相关信息。
10.根据权利要求1所述的方法,其中,来自所述第一用户设备上可用的认证方案列表的认证方案对应于对由所述第一用户设备通过执行非接触式卡的NFC读取所获得的一个或多个信息的验证,所述非接触式卡将一个或多个用户标识信息存储作为NFC可传送数据。
11.根据权利要求1所述的方法,其中,所述一个或多个认证动作对应于将非接触式卡带入所述第一用户设备的NFC范围内的单个用户动作。
12.根据权利要求1所述的方法,其中,所述一个或多个认证令牌经由与请求认证网络服务器集成的后端应用编程接口(API)从所述第一用户设备被传送到所述请求认证网络服务器。
13.一种用于实施上下文切换认证的系统,所述系统包括:
计算机硬件装置,所述计算机硬件装置被配置为:
通过在第一用户设备和第二用户设备之间建立的蓝牙链路接收传输,所述传输包括标识了存储在所述第一用户设备上的认证应用的统一资源指示符(URI);
生成所述第一用户设备上可用的认证方案列表,其中每个认证方案与由用户使用所述第二用户设备执行的一个或多个认证动作相关联;
生成一个或多个认证令牌,以表示经用户选择的认证方案的成功认证结果;以及
将所述一个或多个认证令牌在所述蓝牙链路上传送到所述第二用户设备,以由此对从运行在所述第二用户设备上的浏览器发起的网络访问请求进行认证。
14.根据权利要求13所述的系统,其中,所述计算机硬件装置还被配置为提供认证方案,所述认证方案包括:使用所述第一用户设备作为读取器以用于执行非接触式卡的近场通信(NFC)读取,所述非接触式卡将用户标识信息存储作为NFC可传送数据;以及生成所述一个或多个认证令牌。
15.根据权利要求14所述的系统,其中,所述计算机硬件装置被配置为经由与请求认证网络服务器集成的后端应用编程接口(API),将由所述认证方案生成的所述一个或多个认证令牌传送到所述请求认证网络服务器。
16.根据权利要求13所述的系统,其中,所述计算机硬件装置还被配置为对在所述第二用户设备和所述第一用户设备之间在所述蓝牙链路上交换的信息进行加密。
17.根据权利要求13所述的系统,其中,所述计算机硬件装置还被配置为传送一个或多个用户个人标识信息(PII)作为在所述蓝牙链路上交换的信息的一部分。
18.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质包括用于由计算机硬件装置执行的指令,其中在执行所述指令时,所述计算机硬件装置被配置为执行包括以下的过程:
接收通过在第一用户设备和第二用户设备之间建立的蓝牙链路接收到的传输,所述传输包括标识了存储在所述第一用户设备上的认证应用的统一资源指示符(URI);
生成所述第一用户设备上可用的认证方案的列表,所述认证方案列表响应于使用所述第一用户设备作出的选择输入,其中每个认证方案与由用户使用所述第一用户设备执行的一个或多个认证动作相关联;
生成一个或多个认证令牌以表示经用户选择的认证方案的成功认证结果;以及
将所述一个或多个认证令牌在所述蓝牙链路上传送到所述第二用户设备,以由此对从运行在所述第二用户设备上的浏览器发起的网络访问请求进行认证。
19.根据权利要求18所述的非暂时性计算机可读介质,其中,用于生成所述一个或多个认证令牌的认证方案对应于由所述第一用户设备执行非接触式卡的NFC读取,所述非接触式卡将用户标识信息存储作为NFC可传送数据。
20.根据权利要求18所述的非暂时性计算机可读介质,所述非暂时性计算机可读介质还包括以下指令,所述指令用于将所述计算机硬件装置配置为经由与请求认证网络服务器集成的后端应用编程接口(API)将由所选的认证方案生成的所述一个或多个认证令牌传送到所述请求认证网络服务器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/731,080 | 2022-04-27 | ||
| US17/731,080 US20230354020A1 (en) | 2022-04-27 | 2022-04-27 | Systems and methods for context-switching authentication over short range wireless communication |
| PCT/US2023/019958 WO2023212038A1 (en) | 2022-04-27 | 2023-04-26 | Systems and methods for context-switching authentication over short range wireless communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN119301906A true CN119301906A (zh) | 2025-01-10 |
Family
ID=88511922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202380043460.XA Pending CN119301906A (zh) | 2022-04-27 | 2023-04-26 | 用于通过短距离无线通信的上下文切换认证的系统与方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20230354020A1 (zh) |
| EP (1) | EP4515813A1 (zh) |
| KR (1) | KR20250005212A (zh) |
| CN (1) | CN119301906A (zh) |
| AU (1) | AU2023261883A1 (zh) |
| WO (1) | WO2023212038A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10489781B1 (en) | 2018-10-02 | 2019-11-26 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CN114640976B (zh) * | 2020-11-30 | 2024-09-24 | 华为技术有限公司 | Nfc标签的校验方法和相关设备 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012040198A1 (en) * | 2010-09-20 | 2012-03-29 | Interdigital Patent Holdings, Inc. | Identity management on a wireless device |
| AU2012278963B2 (en) * | 2011-07-05 | 2017-02-23 | Visa International Service Association | Electronic wallet checkout platform apparatuses, methods and systems |
| US10511580B2 (en) * | 2014-03-31 | 2019-12-17 | Monticello Enterprises LLC | System and method for providing a social media shopping experience |
| CA2946630C (en) * | 2014-04-22 | 2019-09-10 | Huawei Technologies Co., Ltd. | D2d communication discovery method, apparatus, and system |
| US10122719B1 (en) * | 2015-12-31 | 2018-11-06 | Wells Fargo Bank, N.A. | Wearable device-based user authentication |
| CN109891416A (zh) * | 2016-10-27 | 2019-06-14 | 株式会社电装 | 用于认证和授权装置的系统和方法 |
| EP3640795A1 (en) * | 2018-10-15 | 2020-04-22 | Mastercard International Incorporated | Apparatus and methods for providing applications to a computing device |
| US11206258B2 (en) * | 2018-12-27 | 2021-12-21 | Paypal, Inc. | Identity confirmation during authentication requests using nearby mobile computing devices |
| US11941608B1 (en) * | 2019-09-18 | 2024-03-26 | Wells Fargo Bank, N.A. | Systems and methods for a transaction card having a customer-specific URL |
| US11062098B1 (en) * | 2020-08-11 | 2021-07-13 | Capital One Services, Llc | Augmented reality information display and interaction via NFC based authentication |
-
2022
- 2022-04-27 US US17/731,080 patent/US20230354020A1/en active Pending
-
2023
- 2023-04-26 EP EP23797198.1A patent/EP4515813A1/en active Pending
- 2023-04-26 AU AU2023261883A patent/AU2023261883A1/en active Pending
- 2023-04-26 KR KR1020247036682A patent/KR20250005212A/ko active Pending
- 2023-04-26 WO PCT/US2023/019958 patent/WO2023212038A1/en active Application Filing
- 2023-04-26 CN CN202380043460.XA patent/CN119301906A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4515813A1 (en) | 2025-03-05 |
| KR20250005212A (ko) | 2025-01-09 |
| WO2023212038A1 (en) | 2023-11-02 |
| AU2023261883A1 (en) | 2024-11-07 |
| US20230354020A1 (en) | 2023-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240223554A1 (en) | First factor contactless card authentication system and method | |
| US9520918B2 (en) | Login via near field communication with automatically generated login information | |
| US12112310B2 (en) | Authentication for third party digital wallet provisioning | |
| JP2017503427A (ja) | モバイルアプリケーションの安全性を確保する方法および装置 | |
| CN119301906A (zh) | 用于通过短距离无线通信的上下文切换认证的系统与方法 | |
| JP2024508286A (ja) | 認証の持続性を確立すること | |
| US20240046266A1 (en) | Systems and methods for cryptographic context-switching authentication between website and mobile device | |
| US20220368692A1 (en) | Systems and methods for authenticated peer-to-peer data transfer using resource locators | |
| US20220405766A1 (en) | Systems and methods for contactless card communication and key pair cryptographic authentication using distributed storage | |
| JP2024506833A (ja) | アクセストークンを認証するシステムと方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication |