一种使用非对称密钥的多因素用户认证框架包括主机设备、用户代理、姿势系统和认证系统。多个因素包括用户凭证以及指示用户在场的用户姿势。用户经由主机设备与用户代理交互,以便获得对用户认证所需的事物的访问权。认证系统维护用户凭证,其被提供以响应于认证系统确定用户在场而认证该用户(这可按不同的方式来确定,诸如使用个人标识号(PIN)、关于用户的生物计量信息、姿势系统的地理位置等)。用户代理、姿势系统和认证系统可以在相同的设备(例如,主机设备)上实现,或者替换地跨一个或多个不同的设备实现。
【技术实现步骤摘要】
【国外来华专利技术】使用非对称密钥的多因素用户认证框架背景随着计算技术的进步,计算机已变得越来越普遍且以各种不同的方式被使用。例如,用户通过其移动电话、台式计算机、膝上型计算机等经由互联网来运行应用和访问服务。应用和服务通常期望使用户得到认证,以便应用或服务知道该用户实际上是他或她声称的人。然而,提供这样的认证对计算设备开发者而言依然是难题。概述提供本概述以便以简化的形式介绍以下在详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。根据一个或多个实施例,在计算设备中,公钥/私钥对的私钥的知识证明被接收自认证系统。私钥的知识证明包括由姿势系统检测到的用户的姿势已由认证系统验证的指示,该姿势指示用户存在于计算设备处。用户的认证结果至少基于私钥的知识证明而被提供给认证结果的请求者。附图简述结合附图来描述具体实施方式。在附图中,附图标记最左边的数字标识该附图标记首次出现的附图。在说明书和附图的不同实例中使用相同的附图标记可指示相似或相同的项目。附图中所表示的各实体可指示一个或多个实体并且因而在讨论中可互换地作出对各实体的单数或复数形式的引用。图1解说了根据一个或多个实施例的实现使用非对称密钥的多因素用户认证框架的示例系统。图2解说了根据一个或多个实施例的实现使用非对称密钥的多因素用户认证框架的另一示例系统。图3解说了根据一个或多个实施例的实现使用非对称密钥的多因素用户认证框架的另一示例系统。图4是解说根据一个或多个实施例的用于实现使用非对称密钥的多因素用户认证框架的示例过程的流程图。图5解说了包括示例计算设备的示例系统,该示例计算设备代表可实现本文中所描述的各种技术的一个或多个系统和/或设备。详细描述本文中讨论了使用非对称密钥的多因素用户认证框架。该框架包括主机设备、用户代理、姿势系统和认证系统。多因素包括用户凭证(其包括非对称密钥),以及指示用户在场(例如,存在于主机设备或实现姿势系统的其他设备处)的用户姿势。用户与用户代理交互以便获得需要用户认证的事物的访问权,诸如远程服务、程序、设备,等等。认证系统维护用户凭证,用户凭证被提供以响应于姿势系统确定用户在场而认证该用户。姿势系统可按各种不同的方式来确定用户是在场的,诸如基于用户输入个人标识号(PIN)、关于用户的生物计量信息、姿势系统的地理位置,等等。用户代理、姿势系统和认证系统可以在相同的设备(例如,主机设备)上实现,或者替换地跨一个或多个不同的设备实现。本文中所讨论的技术提供了一种用于多因素用户认证的框架。各种程序、服务、设备等可利用本文中所讨论的框架,从而通过认证用户来增加这些程序、服务、设备等的安全性。例如,本文中所讨论的框架可被用来登录到计算设备(例如,主机设备),以通过互联网访问远程服务(例如,用户的银行、商家)、在用户已登录到计算设备之后运行该计算设备上的程序,等等。通过使用相同的框架,用户体验跨相同框架的这些不同用途保持一致,从而通过允许用户被呈现一致的用户体验而不必非得学习及与多个不同用户体验交互来改善实现该框架的设备的可用性。此外,本文中所讨论的技术提供了可扩展框架,其允许实现姿势系统、认证系统和/或用户代理的不同设备被使用。例如,用户代理和认证系统不被绑定到实现姿势系统的任何特定类型的姿势设备,并且可被容易地适配成使用任何类型的姿势设备。本文中针对对称密钥密码学、公钥密码学和公钥/私钥对有所提及。虽然这样的密钥密码学对于本领域技术人员而言是公知的,但是对这样的密码学的简要概述被包括在此以帮助读者。在公钥密码学中,实体(诸如用户、硬件或软件组件、设备、域等)已将公钥/私钥对(也称为非对称密钥)与其相关联。公钥可被使得可公开获得,但实体将私钥保密。在没有私钥的情况下,解密使用公钥加密的数据在计算上是非常困难的。所以,数据可由任何具有公钥的实体加密,然而只能由具有对应私钥的实体解密。附加地,用于数据的数字签名可通过使用该数据和私钥来生成。在没有私钥的情况下,创建可以使用公钥验证的签名在计算上是非常困难的。具有公钥的任何实体都可使用公钥以通过对公钥、数字签名和被签名的数据执行适当的数字签名验证算法来验证该签名。另一方面,在对称密钥密码学中,共享密钥(也称为对称密钥)被两个实体知晓并保密。具有共享密钥的任何实体通常能够解密用该共享密钥加密的数据。在没有共享密钥的情况下,解密用共享密钥加密的数据在计算上是非常困难的。所以,如果两个实体都知道共享密钥,则每个实体可加密可以由另一实体解密的数据,但是如果其他实体不知道该共享密钥,则其他实体不能解密该数据。类似地,具有共享密钥的实体可加密可以由该相同实体解密的数据,但是如果其他实体不知道该共享密钥,则其他实体不能解密该数据。附加地,数字签名可基于对称密钥密码学(诸如使用密钥散列消息认证码机制)来生成。具有共享密钥的任何实体可生成和验证数字签名。例如,受信第三方可基于特定实体的身份来生成对称密钥,并接着可生成并验证用于该特定实体的数字签名(例如,通过使用对称密钥对数据进行加密或解密)。图1解说了根据一个或多个实施例的实现使用非对称密钥的多因素用户认证框架的示例系统100。该系统100包括主机设备102、用户代理104、姿势系统106和认证系统108。一般而言,用户代理104允许用户使用主机设备102与系统100交互,以例如请求对用户期望访问的服务、程序、设备等的访问权。用户代理104可以是在主机设备102上运行的程序,或者替换地由主机设备102访问(例如,用户代理104可以是运行在云中并经由互联网访问的web应用)。认证系统108维护作为系统100的用户(例如,存在于主机设备102或实现姿势系统的另一设备处的用户)的多因素认证中的一个因素的用户凭证。姿势系统106通过从特定用户获得信息(在本文中也被称为姿势)(诸如通过从该用户接收PIN或生物计量信息)来确定该用户是否存在于系统100处。姿势是系统100的用户的多因素认证中的另一因素。只有在确定特定用户存在于系统100处且来自认证系统108的用户凭证被验证的情况下,对该特定用户的认证才是成功的,如下面更详细地讨论的。用户代理104、姿势系统106和认证系统108可以在相同的计算设备(例如,主机设备102)上实现,或者替换地在一个或多个不同的设备上实现。当在不同的计算设备上实现时,用户代理104、姿势系统106和认证系统108中的不同者可以经由各种不同类型的通信机制中的任一种彼此通信。例如,这样的通信可经由有线或无线连接来发生,诸如USB(通用串行总线)连接、无线USB连接、红外连接、蓝牙连接、蓝牙低能量(BLE)连接、近场通信(NFC)连接、DisplayPort连接、PCI(外围组件互连)Express(高速)连接,等等。通信可替换地或附加地经由数据网络来发生,诸如互联网、局域网(LAN)、电话网络、内联网、个域网(PAN)、其他公共和/或专有网络、其组合,等等。被用来实现主机设备102、用户代理104、姿势系统106和认证系统108的任何组合的每个计算设备可以是各种不同类型的计算设备中的任一种。例如,这样的计算设备可以是台式计算机、服务器计算机、膝上型计算机或上网本计算机、移动设备(例本文档来自技高网...
【技术保护点】
一种计算设备,包括:一个或多个处理器;以及其上存储有多个指令的计算机可读存储介质,所述多个指令响应于由所述一个或多个处理器执行而促使所述一个或多个处理器:从认证系统接收公钥/私钥对的私钥的知识证明,所述私钥的知识证明包括由姿势系统检测到的用户的姿势已被所述认证系统验证的指示,所述姿势指示所述用户存在于所述计算设备处;以及至少基于所述私钥的知识证明来将所述用户的认证结果提供给所述认证结果的请求者。
【技术特征摘要】
【国外来华专利技术】2015.10.14 US 14/883,5111.一种计算设备,包括:一个或多个处理器;以及其上存储有多个指令的计算机可读存储介质,所述多个指令响应于由所述一个或多个处理器执行而促使所述一个或多个处理器:从认证系统接收公钥/私钥对的私钥的知识证明,所述私钥的知识证明包括由姿势系统检测到的用户的姿势已被所述认证系统验证的指示,所述姿势指示所述用户存在于所述计算设备处;以及至少基于所述私钥的知识证明来将所述用户的认证结果提供给所述认证结果的请求者。2.根据权利要求1所述的计算设备,其特征在于,所述姿势包括个人标识号(PIN)的用户输入。3.根据权利要求1或权利要求2所述的计算设备,其特征在于,所述姿势包括所述用户的生物计量信息。4.根据权利要求1到3中任一项所述的计算设备,其特征在于,所述姿势包括实现所述姿势系统的姿势设备的地理位置,所述姿势通过指示所述姿势设备与所述计算设备处于相同的地理位置来指示所述用户存在于所述计算设备处。5.根据权利要求4所述的计算设备,其特征在于,所述姿势响应于所述姿势设备和所述计算设备登录到相同的Wi-Fi网络而指示所述姿势设备与所述计算设备处于相同的地理位置。6.根据权利要求1到5中任一项所述的计算设备,其特征在于,所述多个指令进一步促使所述一个或多个处理器提供一致的用户体验,而不管所述请求者是在所述计算设备上运行的程序还是由所述计算设备访问的远程服务。7.根据权利要求1到6中任一项所述的计算设备,其特征在于,所述多个指令进一步促使所述一个或多个处理器重复地接收基于由所述认证系统以特定间隔接收到的所述用户的附加姿势的知识证明以用于对所述用户的持续认证。8.根据权利要求1到7中任一项所述的计算设备,其...
【专利技术属性】
技术研发人员:A·萨布里,N·波特,V·G·巴拉德瓦杰,A·T·韦纳特,O·T·乌雷彻,B·R·文森特,T·B·ED·M·卡梅尔,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。