本文说明了利用上下文数据来认证个体并防止安全漏洞的认证的系统、装置和方法。示例代理引擎可以监控与计算设备的交互,以获得对用户独特的上下文数据。可以响应于访问安全资源的请求,利用上下文数据来产生独特挑战问题,并可以消除用户记住凭据来访问资源的需要。挑战问题可以被限制为单次使用,且难度的变化与资源的值成比例。响应于对挑战问题的正确响应,代理引擎可以访问含有授权访问资源的凭据的库。库和代理引擎可以整个被包含在计算设备上,或者其可以在经由应用程序或者计算设备上的接口访问的远程装置上实现。
【技术实现步骤摘要】
【国外来华专利技术】【专利说明】安全挑战辅助的密码代理 相关申请的交叉引用 本申请要求2013年3月5日提交的美国专利申请号13/785, 094的优先权的权益, 其整体通过参考被并入本文。
技术介绍
由于其中很多设及金融或者个人信息的电子可用服务的发展,单独用户的用户名 和密码组合的数量每天都在增加。此外,很多在线站点现在要求用户创建账户并提供登入 凭据,W访问较不敏感的信息(诸如每日新闻、销售信息、或者星座运势)。作为结果,用户 趋向于采取对多个账户选择相同的用户名和密码。该方法降低了用户名/密码组合的安全 和强度,因为破解了服务中的一个账户能够导致未授权地访问其他账户。破解在线账户的 成本高,但对于一些用户而言,对多个账户创建并有效维护不同的用户名和密码是困难的 且不方便。 另外,通过特洛伊木马病毒或者应用程序来窃取用户的在线认证信息(诸如用户 名、密码、对安全挑战(securitychallenge)问题的回答、或者其他识别信息)是常见的安 全问题。木马病毒的一个最常见机制是通过使用击键记录来盗取用户的认证信息。对反键 盘记录技术的常见对策包含通过使用一次性密码(OTP)、屏幕键盘、击键干扰、W及其他非 技术方法来混淆木马键盘记录器,从而防止密码盗取的应用程序。该些技术提供了不同水 平的保护。然而,其通常依赖于在用户与网站之间的至少一个预建立的共享秘密、或者可能 导致不期望的用户体验的动作。该些技术也不能抵挡被设计为不通过击键记录而诸如通过 拦截传输至网站的密码来捕捉密码的木马病毒。【附图说明】 在不一定是成比例绘出的附图中,相似的标号可W说明不同视图下类似的部件。 具有不同的字母后缀的相似的数字可W代表类似部件的不同实例。附图通常W示例的方 式,而非W限制的方式示出了在本文中讨论的各种实施例。 图1是示出根据实施例的具有密码代理引擎的设备的示例的框图。 图2是示出根据实施例的配置为通过网络进行通信的设备的示例的框图。 图3是示出根据实施例的用于提供安全挑战的示例方案的流程图。 图4是根据实施例的示出请求设备、代理设备、W及安全设备之间的示例交互的 泳道图。 图5是示出可W执行本文说明的任何一个或多个技术的示例机器的框图。【具体实施方式】 下面的说明和附图充分示出了能使本领域的技术人员付诸实践的具体实施例。其 他实施例可化含有构造上、逻辑上、电上、处理上、W及其他方面的变化。一些实施例的部分 和特征可W包含在其他实施例的部分和特征中,或者替换其他实施例的部分和特征。记载 于权利要求的实施例涵盖该些权利要求的所有可用等同物。 保护用户的身份和个人数据催生了强认证的需要。使用一次性密码(OT巧的双因 素认证组合了用户知晓的某物(例如,诸如用户名密码组合的凭据)、W及用户具有的某物 (例如,令牌或者秘钥卡,其生成仅在短的一段时间内有效的多数字的数)。替代地,可W使 用非基于令牌的技术(诸如时间同步或者预建立的秘密)在用户设备与认证者之间产生 OTP。用户名、密码、W及OTP的组合可W比只有用户名和密码提供更安全的认证机制。然 而,基于令牌的OTP要求用户物理地具有令牌,而其可能丢失,被盗取或损坏。 使用一个或多个单次使用、时间敏感、用户特定的安全挑战问题可W消除OTP令 牌的需要,并使基于木马的凭据盗取黑客不可能渗透或从窃取获利。因而,本公开相对于替 代的安全或者认证系统的优点是;本公开的实施例甚至在一些信息可能被盗取的场景中, 也能够保护用户的身份和数据。 示例包含维护用个体的个人上下文信息解锁的个体的用户名和密码的方法和系 统。可W通过使用利用了一个或多个单次使用安全挑战问题和响应的密码代理服务来提供 保护用户密码不被木马病毒盗取。单次使用时间敏感问题可W用特定用户上下文产生,其 在大多数实例中是仅用户能够回答的问题。该技术减轻了存在于共享的静态秘密密码的使 用中的风险,其可能在传输期间或者从客户端存储装置由木马病毒或者键盘记录器盗取。 另外,示例实施例可W通过减少或者消除记住多个用户名密码组合或者其他凭据 的需要,改善在与安全资源交互期间的用户体验。用户可W容易响应安全挑战问题,因为该 问题是基于用户的知识和当前或者最近的上下文产生的。相反于要求用户记住在设置账 户期间他们遇到的随机或者不安全问题的回答(例如,最喜欢的宠物或者颜色、或者婚前 姓),认证问题可W与用户生活的当前上下文更密切相关。该相对于用户出于容易忘记的隐 私担忧响应于挑战问题而提供错误信息具有优点。通常,除用户外的个体不具有用户的知 识或者上下文,并且不能正确回答认证问题。问题的难度可W与被请求的安全资源的值成 正比地变化。 图1是示出根据实施例的具有密码代理引擎102的设备100的示例的框图。密码 代理引擎102被配置为经由用户接口 104或者通过访问可能存储在数据库或者记录中的用 户数据106来接收用户上下文数据。密码代理引擎102可W在上下文数据库108中存储积 累的用户上下文数据。用户上下文数据例如可W包含从GI^S模块获得的地理位置、日历数 据、联系人信息、来自用户活动传感器的信息、或者可能对设备100或者用户与设备100交 互而言独特的任何其他数据。用户上下文数据可W由密码代理引擎102利用,W产生一次 性原地(insitu)安全挑战问题并核实用户响应。 密码代理引擎102可W从传感器(未示出)接收数据,来根据需要创建上下文观 察。例如,在日历应用程序中安排的会议可W表明时间、位置、化及设备100的所有者将来、 现在正在、或者过去已经会见的一个或多个个体的名字。可W利用Gl^s位置数据来确认该 设备100实际上正在或者已经位于会议中表明的位置。例如通过监控设备100的麦克风获 取的接收的音频数据还可W被用于确定是否在播放音乐,如果是,那么确定特定歌曲或者 艺术家的什么类型的音乐。例如,可W产生并存储如下的用户上下文数据:表明设备100存 在于特定城市中特定街道上的咖啡店,其中在"午饭"的标题下安排了与名叫Paul的个体 的会议。用户上下文数据可W整个在设备100上由密码代理引擎102产生并处理,或者密 码代理引擎102可W通过网络130(例如,互联网或者内部网)与一个或多个服务通信,W分析或存储上下文数据库108中的用户上下文数据。上下文数据的其他源可W包含但是不 限于用户的通话记录、SMS历史、或者电子邮件交换。 密码代理引擎102可W与浏览器或者应用程序110或者被配置为在设备100上操 作的另一个应用程序交互。设备100可W被配置为通过有线或者无线接口访问网络130。 密码代理引擎102可W被配置为经由用户接口 104接收一个或多个用户凭据。一个或多个 用户凭据可W包含与一个或多个安全资源相关联的用户名密码组合。例如,用户可W经由 用户接口 104或者通过参考用户数据106来提供对在线银行口户的统一资源定位符扣化) 和用户名密码凭据。用户可能之前已经在该银行建立了金融账户,或者可能经由设备100 和银行口户启动与银行的新的关系。 另外,用户可W提供对不那么有价值的网站(诸如提供每日优惠信息或者提供向 游戏或者社交网络访问的网站)的URL和用户名密码凭据。用户可W给凭据和资源分配不 同的安全级别(例如,银行网站可本文档来自技高网...
【技术保护点】
至少一个机器可读存储介质,包括多个指令,其响应于在计算设备上被执行,能够使所述计算设备进行如下动作:从所述计算设备获得上下文数据;维护与安全的资源对应的凭据;经由所述计算设备的接口接收访问所述安全的资源的请求;基于所述上下文数据中的上下文数据项目,产生挑战问题;经由所述接口呈现所述挑战问题;经由所述接口接收对所述挑战问题的响应;评价所述响应的正确性;以及响应于所述响应正确,向所述安全的资源提供所述凭据。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:H·李,R·H·奥海依比,T·科伦贝格,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。