针对web应用的用户和设备认证制造技术

技术编号:21207964 阅读:21 留言:0更新日期:2019-05-25 03:45
计算设备支持web认证(WebAuthN)应用程序接口(API),该API被配置为暴露可以替代在针对使用如借记卡和信用卡的、包括嵌入式计算机芯片的智能支付工具的事务的EMV(Europay、Mastercard和Visa)标准中被利用的功能的功能。兼容WebAuthN的计算设备的功能类似于传统芯片中的物理卡和PIN(个人识别号码),其中芯片用作支付设备的证明,并且PIN用作支付账户持有者的证明。

User and Device Authentication for Web Applications

Computing devices support Web AuthN application interface (API), which is configured to expose functions that can be used in EMV (Europay, Mastercard and Visa) standards for transactions using intelligent payment tools, including embedded computer chips, such as debit and credit cards. Computing devices compatible with WebAuthN function like physical cards and PIN (Personal Identification Number) in traditional chips, where chips are used as proof of payment devices and PIN is used as proof of payment account holders.

【技术实现步骤摘要】
【国外来华专利技术】针对web应用的用户和设备认证
技术介绍
诸如智能电话、平板计算机、可穿戴计算设备和个人计算机的计算设备的用户通常需要以如下方式与web应用和其他在线资源交互:在该方式中用户被认证以增强安全性并且使针对诸如假冒和欺诈的问题的机会最小化。
技术实现思路
计算设备支持web认证(WebAuthN)应用程序接口(API),该API被配置为暴露可以替代针对在使用如借记卡和信用卡的、包括嵌入式计算机芯片的智能支付工具的事务的EMV(Europay,Mastercard和Visa)标准中被利用的功能的功能。兼容WebAuthN的计算设备的功能类似于传统芯片中的物理卡和PIN(个人识别号码),其中芯片用作支付设备的证明,并且PIN用作支付账户持有者的证明。WebAuthNAPI与以前被称为FIDO2.0(快速身份在线)的web认证协议的部分兼容,该协议描述了使用跨web浏览器应用的生物计量设备执行在线认证的可互操作方式。当WebAuthN被配置为EMV替代时,它的能力被利用以执行个性化过程以将计算设备加密地绑定到设备用户(即,支付账户持有者)。个性化过程与ID和验证(ID&V)的EMV活动相似,并且可以在由诸如银行的金融机构支持的WebAuthN实现中被执行。银行的WebAuthN实现被配置为支持认证工作流和授权工作流两者。在认证中,银行使用例如双因素认证来建立支付账户持有者的存在。WebAuthN在与WebAuthN兼容的计算设备上实现makeCredential工作流,其中密钥对的私有部分受设备保护并且公共部分被递送给银行以用于后续验证。因此,WebAuthN密钥可以充当针对EMV物理卡密钥(例如,有限使用密钥(LUK)、单用户密钥(SUK)和卡主密钥(CMK))的替代。证明可以由WebAuthN使用getAttestation工作流实现证明以进一步加强计算设备与用户之间的绑定。在事务期间,例如利用基于web的商家(即,收款人),当与WebAuthN兼容的计算设备用户发信号通知支付意图时,设备基本上用作收款人的EMV终端。与网站/收款人相关联的主机向与WebAuthN兼容的计算设备发出生成应用密码(AC)命令,该命令发起利用银行的认证。可以利用现有的WebAuthN密钥对,或者可以进行新的个性化过程以建立信任关系。makeCredential/getAttestation工作流使得与WebAuthN兼容的计算设备在签署由银行所需要的事务细节和/或其他专有信息时向用户挑战存在的证据。这种挑战模仿用户录入PIN或提供签名的传统EMV终端请求。如果认证成功,则与WebAuthN兼容的计算设备通过WebAuthN向主机生成支付密码,该支付密码模拟在传统EMV过程中支持芯片的卡签署事务细节的方式。支付密码可以由收款人用于支付授权以接收资金。备选地,与WebAuthN兼容的设备可以将支付密码直接地递送给银行,以由此模拟EMV终端的操作。可以定制和定做给定的WebAuthN实现以满足特定需求。例如,金融机构可以动态地或自动地施加特定的安全措施,诸如某些加密方法,并且执行发起事务的计算设备的分析。与EMV标准相比,WebAuthN还可以支持更高的安全性。例如,由于嵌入式芯片的存储器和处理限制,传统的信用卡或借记卡通常是受限的。相反,WebAuthNAPI可以在具有用于安全性的专用硬件(例如,密码处理器)的完全配备的计算设备上被实现,并且可以通过网络而被更新。WebAuthN因此支持与EMV的功能同等,同时跨多个电子商务场景提供更多灵活性和安全性。提供本“
技术实现思路
”是为了以简化的形式介绍一些概念,这些概念将在下面的“具体实施方式”中进一步描述。本“
技术实现思路
”不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。此外,所要求保护的主题不限于解决在本公开的任何部分中提到的任何或所有缺点的实现。应当理解,上述主题可以实现为计算机控制的装置、计算机进程、计算系统、或者诸如一个或多个计算机可读存储介质等制品。通过阅读以下“具体实施方式”和回顾相关附图,这些和各种其他特征将是很清楚的。附图说明图1示出了用户计算设备在其中通过网络与认证服务和主机通信的说明性环境;图2A-至图2B示出了计算设备与认证服务之间的说明性交互;图3示出了计算设备上的说明性用户体验;图4A至图4B示出了在事务期间在计算设备、主机和认证服务之间被执行的说明性动作;图5示出了与计算设备上的WebAuthNAPI相关联的附加安全信息的分类;图6示出了用于认证服务的附加安全标准的分类;图7至图9示出了分别由计算设备、主机和认证服务执行的说明性方法;图10是可以被部分地用于实现用于web应用的当前用户和设备认证的说明性计算机系统(诸如个人计算机(PC))的简化框图;图11示出了可以被部分地用于实现用于web应用的当前用户和设备认证的说明性设备的框图;图12是诸如移动电话或智能电话的说明性设备的框图;以及图13是说明性多媒体控制台的框图。相同的附图标记在附图中表示相同的元件。除非另有说明,否则元件未按比例绘制。具体实施方式图1示出了与各个用户105相关联的各种计算设备110的说明性环境100,计算设备110被配置有与在一个或多个服务器上被支持的认证服务120和网站主机125通信的网络能力。各种设备和服务器可以通过网络115彼此通信。网络可以包括任何类型的网络或网络集合,诸如个域网、局域网、广域网或因特网。因此,每个设备可以被配置有蓝牙、Wi-Fi或硬连线(例如,以太网电缆)以传输和接收信号、消息等。计算设备110可以包括例如智能电话、平板计算机、PC(个人计算机)、膝上型计算机、游戏控制台等。环境中的各种设备可以支持不同的特征、功能和能力(这里通常被称为“特征”)。在给定设备上被支持的某些特征可能类似于在其他设备上被支持的特征,而其他特征对于给定设备可能是唯一的。在各种设备110上被支持的特征之间的重叠和/或区别程度可以根据实现而变化。例如,一些设备110可以支持触摸控制、手势识别和语音命令,而其他设备可以启用更受限的用户界面。一些设备可以支持视频消费和互联网浏览,而其他设备可以支持更受限的媒体处理和网络接口特征。此外,计算设备110可以通过网络115访问主机125,或者备选地当用户在诸如ABC公司130的实体店时,可以访问主机125。例如,用户105可以在ABC公司或用户希望执行事务(诸如针对商品或服务的事务)的任何商店。作为响应,ABC公司可以提供对主机125的访问,诸如通过网络,由此使与用户相关联的计算设备110与主机125通信。因此,与主机125相关联的服务器可以在ABC公司现场,或者可以由在ABC公司处的另一计算设备可访问。图2A至图2B示出了示例性架构200和250,其中计算设备110通过网络115利用认证服务120而被个性化。该设备可以包括各种应用,包括允许用户访问因特网上的网站的浏览器应用205。浏览器应用可以包括WebAuthN能力,包括WebAuthNAPI210作为用于设备个性化/标识和验证(ID&V)215的方法。例如,WebAuthNAPI可以北用作认证访问认证服务的设备的方法。WebAuthN提本文档来自技高网
...

【技术保护点】
1.一种在具有web浏览器应用的计算设备上被执行的方法,所述web浏览器应用被配置有WebAuthN API(应用程序接口),所述计算设备能够访问网络,所述方法包括:利用认证服务将所述计算设备个性化,其中所述个性化包括将所述计算设备与用户帐户相关联;使用所述web浏览器应用发起事务;传输利用WebAuthN私钥而被加密的数字签名以认证所述计算设备;以及生成授权发起的所述事务的确认密码。

【技术特征摘要】
【国外来华专利技术】2016.10.12 US 62/407,169;2017.08.11 US 15/675,254;1.一种在具有web浏览器应用的计算设备上被执行的方法,所述web浏览器应用被配置有WebAuthNAPI(应用程序接口),所述计算设备能够访问网络,所述方法包括:利用认证服务将所述计算设备个性化,其中所述个性化包括将所述计算设备与用户帐户相关联;使用所述web浏览器应用发起事务;传输利用WebAuthN私钥而被加密的数字签名以认证所述计算设备;以及生成授权发起的所述事务的确认密码。2.根据权利要求1所述的方法,其中所述事务在由所述web浏览器应用访问的网站处被发起,并且所述认证服务与所述网站不相关联。3.根据权利要求2所述的方法,还包括:提供证明挑战以验证用户的真实性;以及响应于所述证明挑战而接收证明响应。4.根据权利要求3所述的方法,其中所述证明挑战包括PIN(个人识别号码)、口令、模式输入或生物计量数据中的一种或多种,所述生物计量数据包括指纹验证、虹膜扫描或面部识别。5.根据权利要求2所述的方法,其中生成的所述确认密码被传输给与所述网站或所述认证服务相关联的服务器中的一个服务器。6.根据权利要求5所述的方法,其中生成的确认密码包括关于所述事务的细节。7.根据权利要求1所述的方法,还包括配置所述web浏览器应用的所述WebAuthNAPI以包括向所述认证服务提供与所述数字签名分离的附加安全信息。8.根据权利要求7所述的方法,其中所述附加安全信息包括计算设备的类型、所述计算设备是否已经被植根、对所述计算设备的引导序列的改变或对安全套...

【专利技术属性】
技术研发人员:M·B·皮苏特四世J·L·库特勒M·W·斯塔克
申请(专利权)人:微软技术许可有限责任公司
类型:发明
国别省市:美国,US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1