保护远程认证制造技术

使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话。方法从声称是第一用户实体的实体接收对于会话的请求。方法还包括发送来自请求的认证上下文，并且其中针对请求的认证上下文到达第二用户实体。方法还包括接收认证上下文已经被验证的指示。作为结果，该方法还包括认证第一用户实体与身份提供者之间的安全会话或者批准安全事务。

Protect remote authentication

Use the second user entity to authenticate the secure session between the first user entity and the identity provider. Method receives a request for a session from an entity claiming to be the first user entity. The method also includes sending an authentication context from the request, where the authentication context for the request arrives at the second user entity. The method also includes receiving instructions whose authentication context has been verified. As a result, the method also includes authenticating a secure session between the first user entity and the identity provider or approving a secure transaction.

【技术实现步骤摘要】
【国外来华专利技术】保护远程认证
技术介绍
计算机和计算系统几乎影响了现代生活的每个方面。计算机通常涉及工作、娱乐、医疗保健、交通运输、娱乐、家庭管理，等等。此外，计算系统功能可以通过计算系统经由网络连接互连到其他计算系统的能力而被增强。这些连接允许计算系统访问其他计算系统处的服务并且快速有效地从其他计算系统接收应用数据。在一些示例中，设备可以登录到服务器或其他身份提供者以获得服务器处的服务。例如，这可以使用远程登录来完成。远程登录包括使用先前提供的辅助实体(例如，智能卡、电话、应用、浏览器、设备等)登录到主实体(例如，应用、设备等)。然而，这样的远程登录方案可能会受到对先前提供的辅助实体的一次性令牌/批准的网络钓鱼攻击。在这些情况下，通过利用用户的辅助实体认证攻击者，打算远程进行认证的用户可能被欺骗认证攻击者的认证请求。本文所要求保护的主题不限于解决任何缺点或仅在诸如上述那些环境中操作的实施例。相反，该背景被提供仅用于说明可以实践本文中描述的一些实施例的一个示例性

技术实现思路
本文中示出的一个实施例包括可以在计算环境中实践的方法。方法包括用于使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的动作。方法从声称是第一用户实体的实体接收会话的请求。方法还包括发送来自请求的认证上下文，并且其中请求的认证上下文到达第二用户实体。方法还包括接收认证上下文已经被验证的指示。作为结果，方法还包括认证第一用户实体与身份提供者之间的安全会话或者批准安全事务。提供本
技术实现思路
是为了以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中进一步描述。本
技术实现思路
不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于辅助确定所要求保护的主题的范围。将在下面的描述中阐述附加的特征和优点，并且部分地将从描述中很清楚，或者可以通过本文中的教导的实践来学习。可以借助于所附权利要求中特别指出的设备和组合来实现和获取本专利技术的特征和优点。本专利技术的特征根据以下描述和所附权利要求将变得更加明显，或者可以通过如下所述的本专利技术的实践来学习。附图说明为了描述可以获取上述和其他优点和特征的方式，将通过参考附图中示出的特定实施例来呈现上面简要描述的主题的更具体的描述。应当理解，这些附图仅描绘了典型的实施例，并且因此不应当被认为是对其范围的限制，将通过使用附图利用附加的特征和细节来描述和解释实施例，在附图中：图1示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的示例环境；图2示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；图3示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；图4示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；图5示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；图6示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；图7示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；图8示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；图9示出了使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的方法；以及图10示出了使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的另一方法。具体实施方式本文中的一些实施例可以通过身份提供者(例如，在服务器处)向用户(或用户的设备)提供认证上下文来阻碍远程登录场景中的中间人攻击。例如，在一个实施例中，身份提供者与辅助实体之间的现有信道可以用于提供关于从主实体到服务器的认证请求的认证上下文。在这样做时，身份提供者可以向用户示出主实体与身份提供者之间可能存在的差异，以希望帮助防止远程认证请求中的网络钓鱼。在这些情况下，用户可以被示出登录身份提供者看到的观察结果，诸如主实体的位置、主实体的设备类型、认证方案的类型等。在这种情况下，如果主实体受到损害，则辅助实体用作与用户进行通信的手段。在这些情况下，具有辅助实体的信道将允许身份提供者向用户传达不能被已经损害主实体的攻击者修改的消息。特别地，身份提供者可以能够通过比较来自主实体的认证上下文和在辅助实体处批准的认证上下文来检测修改。现在参考图1，示出了一个示例。在图1中，用户102在主实体104(例如，诸如计算机、电话等设备或应用)上发起设备到设备登录流程，其中可能存在中间人攻击者106。主实体104上的认证栈向身份提供者110(例如，服务器处的服务)发出初始化登录的请求108。主实体104处的认证栈接收随机数112和认证上下文114(其可以是例如位置)，这两者都被传递给辅助实体116(例如，诸如智能电话等设备)以用于第二实体116进行签名。在辅助实体116上，用户被呈现认证上下文114(例如，在辅助实体116上向用户显示位置)，看到认证上下文114有效，并且用辅助实体116上的本地姿势解锁本地凭证。例如，用户102可以选择辅助实体116的用户界面中的按钮，该按钮指示所显示的位置确实是主实体104的物理位置。辅助实体116对该随机数112和认证上下文114进行签名，将所得到的令牌118发送给主实体104以便主实体用作凭证来向身份提供者110进行认证。身份提供者110验证签名的令牌118中的位置是否为与主实体104相同的位置。中间人攻击者106能够访问令牌118，但是不能从不同的位置播放它。中间人攻击者106不能从他们的远程位置使用令牌118，因为令牌118中的位置不能被改变。如果中间人攻击者106修改被提供给辅助实体116的位置，则用户102将能够看到认证上下文114中的位置不是预期的，并且在辅助实体116处取消请求。图2中示出了另一示例。在这个示例中，用户102通过发送远程认证请求108以向用户的可信辅助实体116登录来初始化与身份提供者110的、在web浏览器120上的远程登录会话。身份提供者120引起网络浏览器120显示QR代码122(其具有嵌入在QR代码122的数据中的会话标识符和位置)以供辅助实体116批准。在辅助实体116上，用户102扫描QR代码122并且被呈现有选项，诸如辅助实体116的屏幕上的选项，以基于作为OR代码122中的认证上下文而嵌入的位置信息来批准远程登录，以便批准远程认证请求108。用户102验证该位置是否合适(例如，用户正在认证上下文中指示的位置使用主实体104)并且在辅助实体116处输入他们的本地凭证124和本地手势以批准远程认证请求108，以证明它来自用户102。然后，辅助实体116将本地凭证124连同位置114一起呈现给身份提供者110以验证远程认证请求108。身份提供者110将远程认证请求108的位置与由辅助实体116提供的位置进行比较以确保它与由辅助实体提供的用户批准的位置相匹配。然后，身份提供者110能够认证远程会话。这种情况下的位置有助于防止浏览器120与身份提供者110之间的中间人攻击。如果在这种情况下发生中间人攻击并且用户102被呈现攻击者的QR代码，则用户102将能够拒绝认证请求，因为位置与预期的不匹配。更复杂的攻击者可能会尝试更改在QR代码中呈现的位置——也就是说，修改QR代码以包含用户的实际位置和攻击者的会话标识本文档来自技高网...

【技术保护点】
1.一种系统，包括：一个或多个处理器；以及一个或多个计算机可读介质，其具有存储在其上的指令，所述指令由所述一个或多个处理器可执行以将所述计算机系统配置为使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话，所述指令包括可执行以将所述计算机系统配置为至少执行以下各项的指令：从声称是所述第一用户实体的实体接收对于会话的请求；发送来自所述请求的认证上下文，并且其中针对所述请求的所述认证上下文到达所述第二用户实体，以在使用所述第二用户实体对所述认证上下文的验证中被使用；接收所述认证上下文已经被验证的指示；以及作为结果，认证第一用户实体与身份提供者之间的安全会话或者批准安全事务。

【技术特征摘要】
【国外来华专利技术】2016.03.29 US 15/083,9351.一种系统，包括：一个或多个处理器；以及一个或多个计算机可读介质，其具有存储在其上的指令，所述指令由所述一个或多个处理器可执行以将所述计算机系统配置为使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话，所述指令包括可执行以将所述计算机系统配置为至少执行以下各项的指令：从声称是所述第一用户实体的实体接收对于会话的请求；发送来自所述请求的认证上下文，并且其中针对所述请求的所述认证上下文到达所述第二用户实体，以在使用所述第二用户实体对所述认证上下文的验证中被使用；接收所述认证上下文已经被验证的指示；以及作为结果，认证第一用户实体与身份提供者之间的安全会话或者批准安全事务。2.根据权利要求1所述的系统，其中所述认证上下文包括所述第一用户实体的位置。3.根据权利要求1所述的系统，其中所述认证上下文包括以下至少一项：针对所述第一用户实体的IP地址、或关于所述第一用户实体与所述身份提供者之间的认证的过程流信息。4.一种在计算环境中使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的方法，所述方法包括：从声称是所述第一用户实体的实体接收对于会话的请求；发送来自所述请求的认证上下文，并且其中针对所述请求的所述认证上下文到达所述第二用户实体，以在使用所述第二用户实体对所述认证上下文的验证中被使用；接收所述认证上...

【专利技术属性】
技术研发人员：T·B·卡梅尔，A·弗雷，J·S·K·周，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US