用户认证制造技术

根据示例，为了认证计算设备的用户，从计算设备接收具有至少一个初级凭证的用户登录请求。验证所述至少一个初级凭证以认证用户，并创建第一设备令牌并将其传输给计算设备。从计算设备接收次级凭证，并创建服务器令牌和对服务器令牌的引用。对服务器令牌加密且存储服务器令牌，并且将服务器令牌引用发送给计算设备以供在利用次级凭证的随后认证中使用。

User authentication

According to the example, in order to validate the user of the computing device, a user login request with at least one primary credential is received from the computing device. Verify at least one primary credential to authenticate the user, and create the first device token and transmit it to the computing device. Receive secondary credentials from the computing device, and create server tokens and references to server tokens. Encrypts the server token and stores the server token and sends the server token reference to the computing device for use in subsequent authentication using secondary credentials.

【技术实现步骤摘要】
【国外来华专利技术】用户认证
技术介绍
计算系统、设备、打印机、扫描仪、移动设备和电子组件一般可以与本地或远程设备、服务器或服务(诸如网络服务器或基于云的服务)一起出售或被配置成与它们一起工作。这样的设备还可以与用于键入凭证或将凭证存储在设备上的输入设备一起出售或被配置有所述输入设备以访问本地或远程设备、服务器或服务。附图说明图1图示了根据本公开的示例的用于从设备访问服务器的基于网络的系统；图2图示了根据本公开的示例的在服务器上对用户的初始认证的流程图；图3图示了根据本公开的示例的在设备上对用户的第一和第二认证的流程图；图4图示了根据本公开的示例的在服务器上对用户的第二认证的流程图；以及图5图示了根据本公开的示例的可以用作用于实现或执行图2-4中描绘的过程中的至少一个的平台的计算设备的示意性表示。具体实施方式与本地或远程设备、服务器或服务(诸如网络服务器或基于云的服务)(下文中称为“服务器”)一起出售或被配置成与它们一起工作的计算系统、设备、打印机、扫描仪、移动设备和电子组件(下文中称为“设备”)可以提示用户将诸如用户名和密码之类的凭证输入到设备上以向服务器认证。在设备是打印机的示例中，用户可以将针对服务器的用户名和密码输入到小的输入设备(诸如安装在打印机上的触摸屏)上。在一些情况下，触摸屏可以包括具有用于选择若干字符的单键的软键盘，并且这样的键盘可能由于设备的性质而具有有限尺寸。在设备上、且特别在小屏幕上输入一整套凭证可能是耗时、冗长且易于出错的。在用户希望在稍后的时间从设备向服务器认证、每次用户返回至设备都要求输入相同的凭证的情况尤其是这样。用户挫败感可能在服务器实施复杂的密码指导方针的情况下加重，从而影响总体用户体验和使用设备、服务器和/或服务的欲望。进一步地，由于更多设备例如随着在消费者和商业应用二者方面的物联网的激增而联机，引起关于认证的用户挫败感的设备的数目将继续增长。在消费者不愿意使用认为不方便的服务的情况下，这样的挫败感还可能阻碍某些服务(诸如云服务)的增长。在一些情况下，一旦用户最初用一整套凭证登录到服务器中，设备就可能在可以使用更方便的认证的位置中。例如，一旦用户最初提供了一整套凭证，工作环境中的打印机就可能在可以将用于云打印服务的某些认证会话数据本地地存储在设备上(例如，在分散的记忆装置中)以虑及流线型的用户认证的位置中。在这样的情况下，打印机可以被配置成存储某些数据而不本地地存储可以被例如以设备为目标的恶意软件危及的机密凭证(诸如密码)，这将增加攻击面并呈现身份盗窃机会、安全令牌扩散问题以及遵从风险。初始认证可以以安全方式存储或保留在服务器上，并在稍后时间使用更便于输入但是凭它们本身不足以完全认证用户的凭证在设备上来重新激活或重新认证。根据示例，为了认证计算设备的用户，从计算设备接收具有至少一个初级凭证的用户登录请求。验证所述至少一个初级凭证以认证用户，并创建第一设备令牌且将其传输给计算设备。从计算设备接收次级凭证，并创建服务器令牌和对服务器令牌的引用。在一些示例中，对服务器令牌加密且存储服务器令牌，并且将服务器令牌引用发送给计算设备以供在利用次级凭证的随后认证中使用。图1图示了根据本公开的示例的用于从设备访问服务器的基于网络的系统。在图1的一些示例中，服务器验证初级凭证以认证用户，并且创建第一设备令牌并将其传输给设备，所述设备可以将次级凭证传输给服务器以创建服务器令牌和对服务器令牌的引用。基于网络的系统100可以包括一个或多个设备，诸如膝上型计算机102、打印机104、打印机106、智能电话108和平板110，或者其他设备。如上面讨论的，设备102-110可以被配置成与本地或远程服务器一起工作以提供诸如云打印之类的服务。设备102-110还可以包括用于输入或接收用户认证凭证的机构，诸如触摸屏或者用于接收物理令牌或生物测定输入或者有线或无线信号的输入端。设备102-110可以与服务器(诸如服务器112)通信，所述服务器可以是本地服务器，例如在企业环境中维护的服务器，或者远程服务器，例如云服务器。服务器112可以被耦合到包括用于认证的令牌的数据库或其他电子贮存器(“数据库”)114和用于审查和/或记录与系统上的认证相关的数据的数据库116，或者与它们通信。设备102-110、服务器112和数据库114及116可以经由网络118进行通信，所述网络118可以是任何公共或私有网络，诸如互联网、云、局域网、广域网或其他通信或传输网络。图2图示了根据本公开的示例的在服务器上对用户的初始认证的流程图。图2的流程可以被实现为硬件或为硬件和软件的组合，诸如在服务器112中。例如，图2的流程可以表示存储在机器可读存储介质上并由服务器112上的处理器执行的可执行指令。在块202中，服务器从设备(例如，从打印机)接收初始登录请求。初始登录请求可以包括一个或多个初级凭证，其可以是用户名和密码。用户可以选择将用户名或其他标识符本地地存储或“记忆”在设备上，而不本地地存储密码。在一些示例中，用户名和/或密码可以经受安全指导方针，使得它们具有一定长度和/或复杂度，并且使得一个或二者在安排的基础上改变。在一些示例中，凭证可以是诸如指纹或面部识别之类的生物测定输入；诸如X.509令牌之类的令牌；物理令牌或基于硬件的令牌；诸如SMS认证之类的双因素认证；或其他安全凭证。在块204中，服务器验证在块202中接收到的初级凭证。在不能够验证初级凭证的情况下，图2的流程可能停止并且用户可能被提示不能够认证初级凭证。在验证了初级凭证的情况下，流程可以前进至块206。在一些示例中，块204可以包括单点登录(“SSO”)解决方案或与其通信以验证凭证，并且可以被构建在诸如安全声明标记语言(“SAML”)之类的协议上。在块206中，在验证之后，在服务器上创建第一设备令牌并将其传输给设备。在一些示例中，这样的令牌可以对服务器和设备二者可见。在一些示例中，设备可以接收第一设备令牌并提示用户在设备上输入次级凭证。在一些示例中，次级凭证可以是比初级凭证密码更短或更易于记忆的凭证。例如，次级凭证可以是个人标识号(“PIN”)、短的短语、手势或滑动。可以经由任何网络协议(诸如REST/HTTP协议)或使用诸如HTTPS之类的安全协议来传输设备令牌。用户还可以选择在每个设备或每个服务器的级别上的次级凭证，使得可以使用例如不同的PIN、短语、手势和/或滑动。在块208中，服务器接收次级凭证，并且在块210中，创建服务器令牌。服务器令牌可以是用于安全地引用服务器上存储的认证会话细节的任何令牌。在块212中，创建对服务器令牌的引用或到服务器令牌的指针。引用可以是用于在稍后时间定位服务器令牌的随机会话标识符或随机数(nonce)。随机数可能具有高的熵，诸如128到256位或更高的随机会话ID。在块214中，对服务器令牌加密并将其存储在服务器上或可由服务器访问的数据库(例如，令牌数据库114)中。可以使用各种加密方法对令牌加密。可以从用户输入导出加密密钥，所述用户输入诸如次级凭证、用户提供的秘密、用户的照片或对服务器可用以增加熵的水平的任何输入。例如，对服务器令牌加密可以包括使用服务器令牌引用和用户输入的散列值。只有当引用和次级凭证二者都已知时，在随后认证中对服务本文档来自技高网...

【技术保护点】
一种认证计算设备的用户的方法，包括：从计算设备接收具有至少一个初级凭证的用户登录请求；验证所述至少一个初级凭证以认证用户；创建第一设备令牌并将第一设备令牌传输给计算设备；从计算设备接收次级凭证；创建服务器令牌和对服务器令牌的引用；对服务器令牌加密并存储服务器令牌；以及将服务器令牌引用发送给计算设备以供在利用次级凭证的随后认证中使用。

【技术特征摘要】
【国外来华专利技术】1.一种认证计算设备的用户的方法，包括：从计算设备接收具有至少一个初级凭证的用户登录请求；验证所述至少一个初级凭证以认证用户；创建第一设备令牌并将第一设备令牌传输给计算设备；从计算设备接收次级凭证；创建服务器令牌和对服务器令牌的引用；对服务器令牌加密并存储服务器令牌；以及将服务器令牌引用发送给计算设备以供在利用次级凭证的随后认证中使用。2.根据权利要求1所述的方法，其中随后认证包括重新激活先前的认证会话。3.根据权利要求1所述的方法，进一步包括从计算设备接收服务器令牌引用和次级凭证、根据引用取得服务器令牌、对服务器令牌解密、创建第二设备令牌，以及将第二设备令牌传输给计算设备。4.根据权利要求1所述的方法，其中服务器令牌引用被存储在计算设备上。5.根据权利要求1所述的方法，其中对服务器令牌加密包括使用从用户输入导出的密钥。6.根据权利要求5所述的方法，其中用户输入是次级凭证。7.根据权利要求1所述的方法，其中对服务器令牌加密包括使用服务器令牌引用和用户输入的散列值。8.根据权利要求1所述的方法，进一步包括将服务器令牌引用与用于在计算设备上显示的用户标识符相关联。9.一种计算设备，包括：处理器；存储器；以及网络接口，其中存储器包括指令，所述指令可由处理器执行以从用户接收在计算设备上输入登录请求和用于重新激活认证会话的凭证并取得存储在计算设备上的对加...

【专利技术属性】
技术研发人员：M·B·贝特尔，M·梅辛格尔，
申请(专利权)人：惠普发展公司，有限责任合伙企业，
类型：发明
国别省市：美国,US