多会话认证制造技术

公开了一种用于多个网络化设备的多会话认证的方法。用户可以使用生物计量数据和一次性密码(例如，一次性密码)在客户端设备上创建公钥加密的消息。门控制盒可以将公钥加密的消息发送到认证服务器。认证服务器可以通过使用私钥对加密的消息进行解密并使用一次性密码来恢复有效的用户标识符(ID)来验证用户。然后，认证服务器可以使用一个或更多个应用编程接口(API)来启动和保持多个网络化设备。

Multi-session authentication

A method of multi-session authentication for multiple networked devices is disclosed. Users can create public-key encrypted messages on client devices using biometric data and one-time passwords (for example, one-time passwords). The door control box can send the message encrypted by the public key to the authentication server. Authentication servers can authenticate users by decrypting encrypted messages with private keys and restoring valid user identifiers (IDs) with one-time passwords. The authentication server can then use one or more application programming interfaces (APIs) to start and maintain multiple networked devices.

【技术实现步骤摘要】
【国外来华专利技术】多会话认证相关申请的交叉引用本申请要求于2016年9月19日提交的美国申请序列号15/269,512的优先权的权益，通过引用将其全部内容并入至本文中。
本公开内容的实施方式一般涉及用户认证，并且更具体地但不作为限制，涉及使用多会话认证来配置一个或更多个网络会话。
技术介绍
近年来，控制入口(例如，门、窗)的物理访问系统已经受到攻击，并且恶意用户已经获得对安全区域的未授权访问。一旦进入安全区域，恶意用户就可以进一步破坏计算机、电话系统和数据存储，以窃取数据并造成网络伤害。以下方法针对这些问题。附图说明附图中的各个附图仅示出了本公开内容的示例实施方式，并且不应被视为限制其范围。图1是示出根据一些示例实施方式的在网络化系统中实现的多会话认证系统的框图。图2A是示出根据一些示例实施方式的在图1的客户端应用内提供的示例组件的框图。图2B是示出根据一些示例实施方式的在图1的多会话认证系统内提供的示例组件的框图。图3示出了根据一些示例实施方式的用于实现网络设备的多会话认证的高级方法。图4示出了根据一些示例实施方式的用于实现涉及通过网络进行通信的客户端设备、建筑物和多会话认证系统的多会话认证的示例网络架构。图5A至图5C示出了根据一些示例实施方式的用于实现多会话认证的方法的流程图。图6示出了根据一些示例实施方式的用于终止一个或更多个网络会话的方法的流程图。图7示出了根据一些示例实施方式的用于在事件发生时终止一个或更多个网络会话的方法的流程图。图8示出了根据示例实施方式的计算机系统形式的机器的图形表示，在该机器内，可以执行指令集以使机器执行在本文中所讨论的方法中的任何一种或更多种方法。具体实施方式以下描述包括体现本公开内容的说明性实施方式的系统、方法、技术、指令序列和计算机器程序产品。在以下描述中，出于说明的目的，阐述了许多具体细节以提供对本专利技术主题的各种实施方式的理解。然而，对于本领域技术人员而言明显的是，可以在没有这些具体细节的情况下实践本专利技术主题的实施方式。通常，不一定详细地示出公知的指令实例、协议、结构和技术。在各种示例实施方式中，使用客户端设备、建筑物控制系统和托管多会话认证系统的认证服务器之间的通信来实现多会话认证。在客户端设备上，用户使用生物计量传感器(例如，指纹扫描仪)解锁客户端设备。用户可以启动客户端设备上的客户端应用，其进一步请求通过客户端设备的生物计量传感器进行的生物计量验证。客户端应用识别用户的用户ID。用户ID用作种子以生成一次性密码(OTP)，该一次性密码(OTP)用作仅可以用于一次认证目的(例如，用于单个会话)的密码。一次性密码通过使攻击者(例如，恶意用户)难以发现或预测用户的密码来提供增强的安全性。虽然一次性密码提高了安全性，但是在不使用计算机的情况下完成多次更改密码对于人类用户而言是困难的且不切实际的。通过下面进一步详细讨论的经由密码引擎实现一次性密码，可以更容易地为用户提供强大的网络安全性。继续，然后使用被分配给用户的非对称密钥对中的公钥来对一次性密码进行加密。可以通过蓝牙将加密的消息发送到安装在门上的传感器。然后，安装在门上的蓝牙传感器将加密的消息发送到控制盒以进行进一步处理。在一些示例实施方式中，控制盒是被配置成驱动电子锁以解锁公司建筑物的多个门的预先安装的控制盒。不幸的是，控制盒易受黑客攻击，并且已经证明恶意用户可以攻击控制盒以获得对安全区域(例如公司总部)的未授权访问。为了提高控制盒访问方法的安全性，控制盒被配置成向托管在认证服务器上的多会话认证系统发送门认证请求。特别地，控制盒中的本地网络地址可以用托管多会话认证系统的认证服务器的网络地址代替。因此，在控制盒接收到加密的消息时，不在控制盒处验证用户或向未被配置成解释公钥加密的消息的本地服务器发送加密的消息，而是控制盒将加密的消息发送到托管多会话认证系统的认证服务器的更新后的地址。多会话认证系统访问密钥对中的另一密钥，即私钥。例如，私钥可以存储在认证服务器的存储器中，或者可以经由密钥服务器提供给多会话认证系统。然后，多会话认证系统对加密的消息进行解密以公开一次性密码。然后一次性密码被用于恢复用户的原始用户ID。接下来，多会话认证系统通过检查用户ID数据库来进行检查以确定用户ID是否与已知的有效用户匹配。如果从解密处理生成的用户ID与已知用户ID匹配，则用户被认证。然后，多会话认证系统可以启动一个或更多个网络会话设备，例如通过解锁门，为用户启动计算环境(例如，台式计算机、膝上型计算机、虚拟机器、零客户端、瘦客户端、操作系统级基于容器的应用)、启动因特网协议(IP)电话或启动可以为单个会话(例如，一个工作日)启动的其他网络设备。参照附图进一步详细讨论了其他特征和实施方式。参照图1，示出了高级基于客户-端服务器的网络架构100的示例实施方式。网络化系统102经由网络104(例如，因特网或广域网(WAN))向一个或更多个客户端设备110提供服务器侧功能。在一些实现中，用户106使用客户端设备110与网络化系统102交互。图1示出了例如在客户端设备110上执行的网络(web)客户端112(例如，浏览器)、客户端应用114和程序化客户端116。客户端设备110单独、一起或以任何合适的组合包括web客户端112、客户端应用114和程序化客户端116。虽然图1示出了一个客户端设备110，但是在其他实现中，网络架构100包括多个客户端设备。在各种实现中，客户端设备110包括计算设备，该计算设备至少包括提供经由网络104访问网络化系统102的显示和通信能力。客户端设备110包括但不限于远程设备、工作站、计算机、通用计算机、因特网装置、手持设备、无线设备、便携式设备、可穿戴计算机、蜂窝或移动电话、个人数字助理(PDA)、智能电话、平板电脑、超极本、上网本、膝上型计算机、台式计算机、多处理器系统、基于微处理器或可编程的消费者电子系统、游戏机、机顶盒、网络个人计算机(PC)、迷你计算机等。在示例实施方式中，客户端设备110包括触摸屏、加速度计、陀螺仪、生物计量传感器、摄像机、麦克风、全球定位系统(GPS)设备等中的一个或更多个。客户端设备110经由有线或无线连接与网络104通信。例如，网络104的一个或更多个部分包括自组织网络(adhocnetwork)、内联网、外联网、虚拟专用网络(VPN)、局域网(LAN)、无线LAN(WLAN)、WAN、无线WAN(WWAN)、城域网(MAN)、因特网的一部分、公共交换电话网(PSTN)的一部分、蜂窝电话网络、无线网络、无线保真网络、全球微波接入互操作性(WiMax)网络、其他类型的网络或其任何合适的组合。在一些示例实施方式中，客户端设备110包括一个或更多个应用(也称为“应用”)，例如但不限于web浏览器、书籍阅读器应用(能够操作以阅读电子书)、媒体应用(能够操作以呈现包括音频和视频的各种媒体形式)、健身应用、生物计量监测应用、消息传送应用和电子邮件(email)应用。在一些实现中，客户端应用114包括能够操作以向用户106呈现信息并与网络化系统102通信的各种组件。web客户端112经由web服务器122支持的web接口访问网络化系统102的各种系统。类似地，程序化客户端116和客户端应用1本文档来自技高网...

【技术保护点】
1.一种方法，包括：通过利用密钥对中的私钥对加密的消息进行解密以公开所述加密的消息中的一次性密码来认证用户，所述一次性密码响应于在客户端设备上使用生物计量数据认证所述用户来根据用户ID生成，所述生物计量数据通过所述客户端设备的生物计量传感器来接收，所述加密的消息通过响应于使用所述生物计量数据认证所述用户来利用所述密钥对中的公钥对所述一次性密码进行加密而生成，所述加密的消息从所述客户端设备发送到访问点的传感器接口，所述加密的消息还通过网络从所述访问点发送到认证服务器的网络地址；使用所述一次性密码识别所述用户ID；以及使用所述用户ID启动为所述用户预先配置的一个或更多个网络会话环境。

【技术特征摘要】
【国外来华专利技术】2016.09.19 US 15/269,5121.一种方法，包括：通过利用密钥对中的私钥对加密的消息进行解密以公开所述加密的消息中的一次性密码来认证用户，所述一次性密码响应于在客户端设备上使用生物计量数据认证所述用户来根据用户ID生成，所述生物计量数据通过所述客户端设备的生物计量传感器来接收，所述加密的消息通过响应于使用所述生物计量数据认证所述用户来利用所述密钥对中的公钥对所述一次性密码进行加密而生成，所述加密的消息从所述客户端设备发送到访问点的传感器接口，所述加密的消息还通过网络从所述访问点发送到认证服务器的网络地址；使用所述一次性密码识别所述用户ID；以及使用所述用户ID启动为所述用户预先配置的一个或更多个网络会话环境。2.根据权利要求1所述的方法，其中，使用所述一个或更多个网络会话环境的一个或更多个应用编程接口来启动所述一个或更多个网络会话环境。3.根据权利要求1所述的方法，其中，所述一个或更多个网络会话环境是以下中的一个或更多个的环境：物理访问控制系统、网络电话系统、在物理计算机上实例化的计算环境、空气调节系统和照明系统。4.根据权利要求1所述的方法，还包括：在预先指定的时间处终止所述一个或更多个网络会话环境。5.根据权利要求1所述的方法，还包括：向所述用户发送活跃度询问，所述活跃度询问被配置成通过要求所述用户生成输入数据来检测所述用户是否正在使用所述一个或更多个网络会话环境；以及基于未接收到响应所述活跃度询问的所述输入数据来终止所述一个或更多个网络会话环境。6.根据权利要求1所述的方法，其中，通过所述客户端设备的生物计量传感器来接收所述生物计量数据。7.根据权利要求6所述的方法，其中，所述加密的消息不包括所述生物计量数据。8.根据权利要求1所述的方法，其中，所述访问点包括建筑物入口的电子锁、无线网络传感器和控制盒，所述无线网络传感器被配置成无线地接收所述加密的消息，所述控制盒被配置成将电流驱动到所述建筑物入口的电子锁。9.根据权利要求8所述的方法，其中，所述建筑物入口包括以下中的一个或更多个：建筑物的门、所述建筑物的出入口或所述建筑物的窗户。10.根据权利要求8所述的方法，其中，所述控制盒被本地配置成将验证消息发送到与所述认证服务器的网络地址不同的本地网络地址。11.根据权利要求10所述的方法，还包括：利用所述认证服务器的网络地址更新所述控制盒的所述本地网络地址。12.根据权利要求1所述的方法，其中，所述公钥存储在所述客户端设备上的存储器上，并且所述私钥存储在所述认证服务器能够访问的存储器上。13.根据权利要求1所述的方法，其中，所述一次性密码使用一...

【专利技术属性】
技术研发人员：维克拉姆·图利，桑吉维·雅因，古尼特·让迪拉，丹尼尔·莫拉莱斯，
申请(专利权)人：电子湾有限公司，
类型：发明
国别省市：美国,US