账户访问恢复系统、方法和装置制造方法及图纸

本发明专利技术的一些实施方案提供了用于恢复对与账户相关联的服务的访问的程序。该程序提供了登录凭据以登录到账户来接收相关联的服务。接着，在登录账户之后该程序接收访问继续参数(ACP)。该程序然后访问服务并接收对服务的后续访问的拒绝。然后程序提供了ACP代替登录凭据以继续接收服务。

Account access recovery systems, methods, and devices

Some of the embodiments of the invention provide a program for restoring access to services associated with an account. The program provides logon credentials to log in to the account to receive the associated services. After that, the program receives the access parameter (ACP) after the account is logged in. The program then accesses the service and receives a rejection of the subsequent access to the service. The program then provides the ACP instead of the login credentials to continue receiving the service.

【技术实现步骤摘要】
【国外来华专利技术】账户访问恢复系统、方法和装置
技术介绍
今天，计算设备的大多数用户都有多个帐户，要求用户提供一个或多个凭据来获取对它们的访问。因此，一个人针对多个不同的帐户拥有多个密码是很常见的。随着密码数量的增加，用户通常会忘记他们针对不同帐户使用的密码。此外，随着可与一个帐户相关联的设备的激增，用户通常不得不在用户更改其帐户密码时在与帐户相关联的多个设备上提供密码。迄今为止，还没有提供简单而强大的帐户恢复方案的许多解决方案，以允许用户在提供强大的帐户保护的同时快速恢复对帐户的访问。理想的是，账户恢复方案不应当在用户修改账户密码时破坏用户的多个设备上的服务访问。
技术实现思路
本专利技术的一些实施方案提供了一种新型的帐户访问恢复方法。在一些实施方案中，该方法由一组管理若干帐户的一个或多个服务器来实现。此外，对于该帐户，在一些实施方案中，一个或多个服务器提供一种或多种服务，诸如数据存储服务、数据访问服务、电子邮件服务、数据同步服务等。为了获取对与帐户相关联的服务的访问，设备初始向管理帐户的服务器集提供第一凭据集。服务器集验证第一凭据集，并在验证第一凭据集之后授予设备对该服务的访问。服务器集还确定设备是否需要来自用户的第二组一个或多个凭据，以便提供(1)对设备的访问，(2)对存储在设备上的内容的访问，和/或(3)对通过设备可访问的另一个账户/服务的访问。例如，在一些实施方案中，第二凭据集是用于获取对设备的访问的密码或手势。如果设备需要第二凭据集，则在设备通过提供第一凭据集成功地获取对该账户的访问之后，服务器集向设备提供访问恢复参数(ARP)。在一些实施方案中，设备通过使用第二凭据集来加密ARP，并存储加密的ARP(例如，本地存储在设备上)。随后，设备可使用ARP重新获取对该账户的访问。例如，在一些实施方案中，设备可使用ARP来改变第一凭据集的至少一部分(例如，改变帐户密码)，而无需提供完整的第一凭据集(例如，无需提供帐户密码)。为了做到这一点，在一些实施方案中，设备(1)从用户获得第二凭据集，(2)验证第二凭据集，以及(3)在验证第二凭据集之后，向允许设备改变第一凭据集的至少一部分的一组服务器提供ARP。在一些实施方案中，在将ARP发送到服务器集之前，设备使用第二凭据集来解密经加密的ARP。在一些实施方案中，从设备接收ARP的服务器集是在第一实例中向设备提供ARP的相同服务器集。在其他实施方案中，两个服务器集是不同的。从设备接收ARP的服务器集允许设备更改第一凭据集的至少一部分，因为ARP验证设备有权更改帐户的第一凭据集而无需提供该凭据集。如上所述，在一些实施方案中第二凭据集是访问设备所需的凭据集。例如，第二凭据集是解锁设备所需的密码或独特的手势。因此，这些实施方案的凭据恢复方法允许设备的用户改变用于访问帐户的凭据集，只要用户记住解锁设备所需的密码或独特的手势即可。在一些实施方案中，密码或手势在设备被认为具有用于接收ARP的可接受的第二凭据集之前必须满足阈值水平的复杂度。当服务器集向设备提供ARP时，在一些实施方案中服务器集还向设备提供访问继续参数(ACP)。即使在第一凭据集改变之后，ACP也允许设备继续访问该帐户，而无需使设备向服务器集提供改变的第一凭据集。除了ARP和ACP之外，在一些实施方案中在设备向服务器集提供第一凭据集以获取对账户的访问之后，服务器集向设备提供令牌。为了对帐户的后续访问，设备可向服务器集提供令牌，使得它不必向用户索要第一凭据集并且不必将第一凭据集本地存储在其存储器上。在这些实施方案中的一些实施方案中，当它们各自提供必需的第一凭据集时，可允许多个设备访问相同的帐户。当设备提供第一凭据集时，每个此类设备被给予ACP和令牌用于访问帐户。当这些设备中的一者丢失、不活动或以其他方式受到攻击，或用户在其帐户上看到可疑活动时，服务器集允许用户改变第一凭据集(例如，改变密码)。在这种情况下，服务器集还(1)使其递给所有设备的所有令牌不活动以及(2)使任何丢失的、不活动的或受到攻击的设备的ACP无效。随后，当设备尝试通过使用其令牌来访问帐户时，服务器集拒绝该令牌并指示设备提供其ACP。一旦设备提供其ACP，服务器集然后检查ACP以确保其是有效的(例如，确保所提供的ACP在该帐户的有效ACP的列表上)。如果提供的ACP有效，则在一些实施方案中，服务器集向设备提供另一个令牌。然后，该设备可使用该令牌来进行后续访问。这样，该设备不需要将改变的第一凭据集提供给服务器集以获取对帐户的访问，因为它可将ACP提供为替代凭据来代替修改的第一凭据集。在一些实施方案中，当用户指示他/她希望改变第一凭据集(例如，帐户密码)以保持凭据卫生或以获得新凭据时，服务器集不会使先前提供的ACP无效，因为用户已经忘记了旧的凭据。例如，在一些实施方案中，服务器集和设备实现基于意图的凭据重置方法，该方法仅撤销用于与丢失的、不活动的或受到攻击的设备相关联的凭据重置的ACP，或者解决可疑帐户活动。在一些实施方案中，基于意图的凭据重置方法提示用户指定用于所请求的对账户凭据的改变的原因。当用户指定凭据重置的原因是丢失的、不活动的或受到攻击的设备时，该方法提供提示，要求用户识别(1)针对该账户应当被保持为活动的设备的任何设备，(2)针对该账户应当被使得不活动的任何设备，或(3)针对该账户的活动和不活动设备。然后基于用户的输入，该方法会在保持任何仍活动的设备的ACP处于活动状态的同时，删除任何不活动设备的ACP或使其处于不活动状态。在一些实施方案中，服务器集包括提供服务访问令牌、ARP和ACP的不同的服务器子集。例如，一些实施方案使用(1)用于允许设备登录到不同帐户的一组一个或多个认证服务器，以及(2)允许设备在登录到它们各自的帐户之后访问若干服务的若干组服务服务器。每个服务器集可只有一个服务器或可有多个服务器。为了登录帐户，在一些实施方案中，每个设备从用户获得帐户登录凭据并将其转发到认证服务器集。在一些实施方案中，登录凭据不仅包括用户名和密码，还包括需要用于验证用户的第二因素认证参数。此类第二因素认证参数的示例包括通过电子邮件发送给用户、发短信给用户或显示在与该帐户相关联的另一用户设备上的字母数字字符。作为帐户的登录凭据的一部分，在一些实施方案中，用户需要提供此类第二因素认证参数以及用户名和密码(例如，在提供用户名和密码之后)。在一些实施方案中，用户首先向服务器集提供用户名和密码，然后经历由服务器集发起的第二因素认证过程(例如，在服务器集认证用户名和密码之后)，以便提供第二因素认证参数。在接收到登录凭据之后，认证服务器集然后验证登录凭据，并向设备提供ACP和密码令牌。设备将密码令牌提供给服务服务器集，以获取对由该服务服务器集提供的服务的访问。如下面进一步描述的，服务服务器集用认证服务器集来认证所提供的密码令牌，然后向设备提供服务令牌，使得设备可使用该令牌用于对服务服务器集的后续访问。除了ACP和密码令牌之外，认证服务器集还可向提供帐户凭据的设备提供ARP。例如，在一些实施方案中，设备通知认证服务器集对设备的访问受到符合阈值标准的密码或手势的限制。因为设备访问受到限制，所以认证然后向设备提供ARP。然后，设备可随后使用ARP修改帐户凭据集。在其他实施方案中，设本文档来自技高网...

【技术保护点】
一种存储程序的非暂态机器可读介质，所述程序当由至少一个处理单元执行时恢复对与账户相关联的服务的访问，所述程序包括用于以下项的指令集：提供登录凭据以登录到所述账户来接收所述相关联的服务；在登录到所述账户之后接收访问继续参数ACP；访问所述服务；接收对所述服务的后续访问的拒绝；以及提供所述ACP代替所述登录凭据以继续接收所述服务。

【技术特征摘要】
【国外来华专利技术】2015.06.07 US 62/172,199;2015.09.30 US 14/872,027;1.一种存储程序的非暂态机器可读介质，所述程序当由至少一个处理单元执行时恢复对与账户相关联的服务的访问，所述程序包括用于以下项的指令集：提供登录凭据以登录到所述账户来接收所述相关联的服务；在登录到所述账户之后接收访问继续参数ACP；访问所述服务；接收对所述服务的后续访问的拒绝；以及提供所述ACP代替所述登录凭据以继续接收所述服务。2.根据权利要求1所述的非暂态机器可读介质，其中所述程序还包括用于在接收到ACP之后存储所述ACP的指令集。3.根据权利要求2所述的非暂态机器可读介质，其中所述程序还包括用于在存储所述ACP之前加密所述ACP的指令集。4.根据权利要求2所述的非暂态机器可读介质，其中所述非暂态机器可读介质是设备的机器可读介质，其中用于存储所述ACP的所述指令集包括用于将所述ACP存储在所述设备上的指令集。5.根据权利要求1所述的非暂态机器可读介质，其中所述程序用于在设备上执行，其中当所述ACP代替所述登录凭据被提供时，所述设备被允许保持登录到所述账户即使在所述登录凭据已经被修改之后而无需所述设备提供经修改的登录凭据。6.根据权利要求5所述的非暂态机器可读介质，其中用于提供所述登录凭据的所述指令集包括用于完成登录过程的指令集，所述登录过程包括提供账户密码以及提供第二因素认证参数。7.根据权利要求5所述的非暂态机器可读介质，其中经修改的登录凭据是所述账户密码。8.根据权利要求1所述的非暂态机器可读介质，其中所述程序还包括用于在提供所述登录凭据并登录到所述账户之后接收服务令牌的指令集，其中用于接收后续访问拒绝的所述指令集包括用于接收对所述服务令牌的拒绝的指令集，其中用于提供所述ACP代替所述登录凭据的所述指令集包括用于提供所述ACP以便获得用于访问所述服务的新的服务令牌而无需提供所述登录凭据的指令集。9.根据权利要求8所述的非暂态机器可读介质，其中用于提供所述ACP的所述指令集包括用于以下项的指令集：向一组一个或多个认证服务器提供所述ACP以验证所述ACP；接收来自所述一组认证服务器的密码令牌；并且将所述密码令牌提供给一组一个或多个服务服务器以获得所述新的服务令牌。10.一种针对设备的恢复对与账户相关联的服务的访问的方法，所述方法包括：提交登录凭据以登录到所述账户来接收所述相关联的服务；在登录到所述账户之后接收访问继续参数ACP；访问所述服务；确定对所述服务的后续访问被拒绝；以及提供所述ACP代替所述登录凭据以继续接收所述服务。11.根据权利要求10所述的方法，还包括在接收ACP之后存储所述ACP。12.根据权利要求11所述的方法，还包括在存储所述ACP之前加密所述ACP。13.根据权利要求11所述的方法，其中存储所述ACP包括将所述ACP存储在所述设备上。14.根据权利要求10所述的方法，其中当所述ACP代替所述登录凭据被提供时，所述设备被允许保持登录到所述账户即使在所述登录凭据已经被修改之后而无需所述设备提供经修改的登录凭据。15.根据权利要求14所述的方法，其中提供所述登录凭据包括完成登录过程，所述登录过程包括提供账户密码并提供第二因素认证参数。16.根据权利要求14所述的方法，其中经修改的登录凭据是所述账户密码。17.根据权利要求10所述的方法，还包括：在提供所述登录凭据并登录到所述账户之后接收服务令牌；其中确定后续访问拒绝包括接收对所述服务令牌的拒绝，其中提供所述ACP代替所述登录凭据包括提供所述ACP以便获得用于访问所述服务的新的服务令牌而无需提供所述登录凭据。18.根据权利要求17所述的方法，其中提供所述ACP包括：...

【专利技术属性】
技术研发人员：I·科尔斯蒂克，J·威尔逊，E·D·弗莱德曼，S·瑟布拉曼尼安，P·O·高提尔，J·P·盖茨，R·三莎纳戈帕尔，P·韦德亚纳莎斯瓦米，S·曼巴克安，R·派，K·纳瑞亚南，
申请(专利权)人：苹果公司，
类型：发明
国别省市：美国,US