认证系统和方法技术方案

在处理部件处从由终端用户操作的进行请求的设备接收如下数据：所述数据描述针对访问计算机程序的请求。处理部件确定是否存在用于终端用户的现有认证会话。根据不存在用于终端用户的现有认证会话的确定，提示终端用户向处理部件认证。根据存在用于终端用户的现有认证会话的确定，执行风险评定。风险评定包括对以下各项中一个或二者的考虑：（i）与针对访问计算机程序的请求相关联的一个或多个请求特性，以及（ii）一个或多个计算机程序访问准则。根据风险评定是正面的确定，向进行请求的设备提供对计算机程序的访问。根据风险评定是负面的确定，提示终端用户执行认证活动。响应于接收到对终端用户执行了认证活动且认证活动是成功的进行指示的数据，为终端用户建立新的认证会话，并且向进行请求的设备提供对计算机程序的访问。

Certification systems and methods

【技术实现步骤摘要】
【国外来华专利技术】认证系统和方法
本专利技术一般涉及使用单一登入（singlesign-on）技术对跨多个设备的计算机程序的终端用户访问进行认证。
技术实现思路
在一个实施例中，存在用于执行增强认证的系统和方法。在处理部件处从由终端用户操作的进行请求的设备接收如下数据：所述数据描述针对访问计算机程序的请求。处理部件确定是否存在用于终端用户的现有认证会话。根据用于终端用户的现有认证会话不存在的确定，提示终端用户向处理部件认证。根据用于终端用户的现有认证会话存在的确定，执行风险评定。风险评定包括对以下各项中一个或二者的考虑：（i）与针对访问计算机程序的请求相关联的一个或多个请求特性，以及（ii）一个或多个计算机程序访问准则。根据风险评定是正面的确定，向进行请求的设备提供对计算机程序的访问。根据风险评定是负面的确定，提示终端用户执行认证活动。响应于接收到对终端用户执行了认证活动并且认证活动是成功的进行指示的数据，为终端用户建立新的认证会话，并且向进行请求的设备提供对计算机程序的访问。对终端用户执行了认证活动进行指示的数据可以包括终端用户的生物计量学数据；由终端用户选择的密码；和/或在从进行请求的设备接收到针对访问的请求之后由处理部件提供的一次性密码。在一些实施例中，处理部件从终端用户接收注册请求。处理部件创建唯一的注册令牌（token）。处理部件创建数据库记录，所述数据库记录包括针对终端用户的标识符以及唯一的注册令牌。处理部件向注册设备提供一种访问认证应用以用于发起注册设备的注册的机制。通过认证应用而从终端用户接收所述针对终端用户的标识符和唯一的注册令牌。收集与注册设备相关联的标识符。从注册设备接收公共密钥。公共密钥形成密码密钥对的一部分，所述密码密钥对在终端用户向注册设备认证时被创建。注册设备存储密码密钥对的私有密钥。处理部件计算设备认证权重，所述设备认证权重连同公共密钥一起被存储在数据库中。在一些实施例中，在接收针对访问计算机程序的请求之前，使用注册设备来建立用于终端用户的认证会话。在一些实施例中，进行请求的设备是注册设备，并且在其它实施例中是不同的设备。在一些实施例中，对计算机程序访问准则的考虑指示了风险评定是负面的确定，而无论对请求特性的考虑如何。在一些实施例中，对请求特性的考虑指示了风险评定是负面的确定，而无论对计算机程序访问准则的考虑如何。计算机程序访问准则可以包括与计算机程序相关联的最小认证权重，所述最小认证权重可以基于计算机应用的关键性来被确定。请求特性可以包括以下各项中的一个或多个：设备认证权重；进行请求的设备的位置；自建立了现有认证会话以来已过去的时间；以及注册设备是否是用于做出访问请求的相同设备。设备认证权重可以基于终端用户通过它来向注册设备认证的模态和/或注册设备的安全评定来被计算。在一些实施例中，处理部件接收与执行认证活动的终端用户有关的公共密钥。在一些实施例中，在处理部件处接收针对访问计算机程序内的资源的请求，并且确定一个或多个请求特性是否满足一个或多个计算机程序资源访问准则。所述一个或多个计算机程序资源访问准则包括与资源相关联的最小认证权重。在一些实施例中，与终端用户访问不是请求访问的主体的另一计算机程序有关地建立了现有认证会话。在这样的实施例中，所述一个或多个请求特性可以包括如下模态：在所述模态中建立了与访问另一计算机程序有关的现有认证会话。在某些实施例中，计算机程序可以是本机应用；基于web（网）的应用；或进行请求的设备的操作系统。在一些实施例中，对请求特性和计算机程序访问准则的考虑指示了：当设备认证权重不超过与计算机程序相关联的最小认证权重的时候，风险评定是负面的确定。在一些实施例中，对请求特性和计算机程序访问准则的考虑指示了：当在访问请求被发送的时候进行请求的设备的第一位置与当现有认证会话被创建的时候另一设备的第二位置之间的距离超过距离阈值的时候，风险评定是负面的确定。在一些实施例中，对请求特性和计算机程序访问准则的考虑指示了：当在访问请求被发送的第一时间与现有认证会话被创建的第二时间之间的时间段超过时间段阈值的时候，风险评定是负面的确定。附图说明当结合示例性实施例的附图来被阅读的时候，前述概要、以及本专利技术的实施例的以下详细描述将被更好地理解。然而，应当理解到，本专利技术不限于所示的精确布置和手段。在附图中：图1是一图解，其图示了可以结合本专利技术的示例性实施例被使用的示例性硬件和软件部件；图2A是一图解，其图示了与本专利技术的示例性注册过程有关的、在设备与其它计算机系统部件之间及其之中的通信和数据流；图2B是一图解，其图示了与本专利技术的示例性认证过程有关的、在设备与其它计算机系统部件之间及其之中的通信和数据流；并且图3是一图解，其图示了根据本专利技术可以被使用的示例性计算机系统架构。具体实施方式组织和终端用户面临认证空间中的多个挑战。要求用户记住用于访问他们每天使用的计算机程序（例如应用、设备的操作系统等等）的多个密码。该负担与用户需要访问多个设备上的多个计算机程序（例如在旅行时经由移动设备，以及在抵达工作或其它目的地时经由他们的台式机）的程度相复合。作为结果，密码重置在上涨，这对于组织来实现和维护是高成本的。另外，移动应用正在组织内激增。这进一步增加密码重置的复杂性以及在如果单个应用或系统受损的情况下组织面临的极大风险。鉴于前述内容，在本领域中存在有针对如下系统的需要：所述系统向终端用户提供在访问计算机程序方面的便利性和灵活性并且向组织提供所需要的安全性。本专利技术的实施例提供在认证
中的新奇改进，并且在标识和访问管理系统中特别有用。更特别地，本专利技术的实施例提供一种平台，所述平台允许用户使用单一登入功能性（即单一登录（例如用户名/密码、触摸标识））来登录到多个不同的客户端（例如移动的、台式的、服务/能力）中的任一个上，并且访问计算机程序（例如本机移动应用、台式机应用、基于web（网）/云的应用、认证设置、操作系统、服务或能力）。在示例性实施例中，本专利技术使用生物计量学（尽管不需要在本专利技术的所有实施例中使用生物计量学）、认证和密码部件来使能实现如下能力：其中用户的身份（例如生物计量学身份）、或签名保持匿名，而同时密码密钥关系被用于认证用户。在优选实施例中还提供了风险引擎，以基于各种风险因素、作为示例诸如时间、设备数目和/或地理位置来控制单一登入功能。现在描述本专利技术的示例性实施例的详细描述。图1是系统100的图解，其图示了可以结合本专利技术的实施例被使用的示例性硬件和软件部件。设备10是寻求对计算机程序的访问的任何设备。（一个或多个）设备15包括向处理部件20注册的设备。所图示的网络是通信网络，其允许系统100的部件传送并且交换数据。处理部件20执行本文中所述的认证活动。处理部件20在示例性实施例中可以是计算机服务器，并且因而，在本文中还被称为认证服务器20。风险引擎30包括计算机处理器，所述计算机处理器被编程以执行本文中所本文档来自技高网...

【技术保护点】
1.一种计算机化的方法，包括：/n在处理部件处从由终端用户操作的进行请求的设备接收如下数据：所述数据描述针对访问计算机程序的请求；/n由处理部件确定是否存在用于终端用户的现有认证会话；/n根据不存在用于终端用户的现有认证会话的确定，提示终端用户向处理部件认证；/n根据存在用于终端用户的现有认证会话的确定，执行风险评定，所述风险评定包括对以下各项中一个或二者的考虑：（i）与针对访问计算机程序的请求相关联的一个或多个请求特性，以及（ii）一个或多个计算机程序访问准则；/n根据风险评定是正面的确定，向进行请求的设备提供对计算机程序的访问；/n根据风险评定是负面的确定，提示终端用户执行认证活动，并且响应于接收到对终端用户执行了认证活动且认证活动是成功的进行指示的数据，为终端用户建立新的认证会话，并且向进行请求的设备提供对计算机程序的访问。/n

【技术特征摘要】
【国外来华专利技术】1.一种计算机化的方法，包括：
在处理部件处从由终端用户操作的进行请求的设备接收如下数据：所述数据描述针对访问计算机程序的请求；
由处理部件确定是否存在用于终端用户的现有认证会话；
根据不存在用于终端用户的现有认证会话的确定，提示终端用户向处理部件认证；
根据存在用于终端用户的现有认证会话的确定，执行风险评定，所述风险评定包括对以下各项中一个或二者的考虑：（i）与针对访问计算机程序的请求相关联的一个或多个请求特性，以及（ii）一个或多个计算机程序访问准则；
根据风险评定是正面的确定，向进行请求的设备提供对计算机程序的访问；
根据风险评定是负面的确定，提示终端用户执行认证活动，并且响应于接收到对终端用户执行了认证活动且认证活动是成功的进行指示的数据，为终端用户建立新的认证会话，并且向进行请求的设备提供对计算机程序的访问。


2.根据权利要求1所述的计算机化的方法，其中对终端用户执行了认证活动进行指示的数据包括终端用户的生物计量学数据。


3.根据权利要求1所述的计算机化的方法，其中对终端用户执行了认证活动进行指示的数据包括由终端用户选择的密码。


4.根据权利要求1所述的计算机化的方法，其中对终端用户执行了认证活动进行指示的数据包括在从进行请求的设备接收到访问请求之后由处理部件所提供的一次性密码。


5.根据权利要求1所述的计算机化的方法，进一步包括：
在处理部件处从终端用户接收注册请求；
由处理部件创建唯一的注册令牌；
由处理部件创建数据库记录，所述数据库记录包括针对终端用户的标识符以及唯一的注册令牌；
由处理部件向注册设备提供一种访问认证应用以用于发起注册设备的注册的机制；
通过认证应用而从终端用户接收针对终端用户的标识符以及唯一的注册令牌；
收集与注册设备相关联的标识符；
从注册设备接收公共密钥，所述公共密钥形成密码密钥对的一部分，所述密码密钥对在终端用户向注册设备认证时被创建，其中所述注册设备存储密码密钥对的私有密钥；
由处理部件计算设备认证权重；
由处理部件在数据库中存储公共密钥和设备认证权重。


6.根据权利要求5所述的计算机化的方法，其中在接收到对针对访问计算机程序的请求进行描述的数据的步骤之前，使用注册设备来建立用于终端用户的现有认证会话。


7.根据权利要求5所述的计算机化的方法，其中所述进行请求的设备包括注册设备。


8.根据权利要求5所述的计算机化的方法，其中所述进行请求的设备包括除了注册设备之外的设备。


9.根据权利要求1所述的计算机化的方法，其中对所述一个或多个计算机程序访问准则的考虑指示了风险评定是负面的确定，而无论对所述一个或多个请求特性的考虑如何。


10.根据权利要求1所述的计算机化的方法，其中对所述一个或多个请求特性的考虑指示了风险评定是负面的确定，而无论对所述一个或多个计算机程序访问准则的考虑如何。


11.根据权利要求1所述的计算机化的方法，其中所述一个或多个计算机程序访问准则包括与计算机程序相关联的最小认证权重。


12.根据权利要求5所述的计算机化的方法，其中所述一个或多个请求特性包括设备认证权重。


13.根据权利要求1所述的计算机化的方法，其中所述一个或多个请求特性包括进行请求的设备的位置。


14.根据权利要求1所述的计算机化的方法，其中所述一个或多个请求特性包括自建立了现有认证会话以来已...

【专利技术属性】
技术研发人员：MK贝纳耶德，
申请(专利权)人：巴克莱服务公司，
类型：发明
国别省市：美国;US