用于访问管理的无密码认证制造技术

本公开涉及用于访问管理的无密码认证。公开了一种可以通过无密码认证来提供对资源的访问的访问管理系统。该访问管理系统可以在考虑风险因素(例如，设备、位置等等)的情况下为认证提供多层安全性，以确保认证而不侵害访问。基于移动设备的用户的上下文细节可以被用于基于对设备的拥有的认证。可以通过将设备和/或位置(例如，地理位置)注册为可信的来启用用户的无密码认证。嵌有经加密的数据的安全数据可以被发送到第一设备，以便在该设备上对用户进行无密码认证。向用户注册的第二设备可以从第一设备获得安全数据。第二设备可以解密数据并将经解密的数据发送到访问管理系统以进行核实，从而在第一设备处启用无密码认证。从而在第一设备处启用无密码认证。从而在第一设备处启用无密码认证。

【技术实现步骤摘要】
用于访问管理的无密码认证
[0001]本申请是申请日为2016年10月21日、题为“用于访问管理的无密码认证”的专利技术专利申请201680061204.3的分案申请。
[0002]相关申请的交叉引用
[0003]本PCT专利申请要求于2015年10月23日提交的标题为“PASSWORD
‑
LESS AUTHENTICATION FOR ACCESS MANAGEMENT”的美国临时申请No.62/245,891的权益和优先权，该申请的内容通过引用整体上并入本文，用于所有目的。


[0004]一般而言，本申请涉及数据处理。更具体而言，本申请涉及用于多阶段认证的技术。

技术介绍

[0005]现代企业依赖控制和生成对业务运营至关重要的信息的各种应用和系统。不同的应用常常提供不同的服务和信息，并且不同的用户可以需要访问每个系统或应用内的不同级别的信息。用户被授予的访问级别可以取决于用户的角色。例如，经理可以需要访问关于向其报告的员工的某些信息，但是让该经理访问关于他向其报告的人的相同信息可能是不恰当的。
[0006]之前，较不复杂的应用将访问管理业务逻辑直接结合到应用代码中。即，例如，每个应用将需要用户拥有单独的帐户、单独的策略逻辑和单独的许可。此外，当用户被这些应用中的一个应用认证时，该认证对于企业中的其它应用仍然是未知的，因为与第一应用的认证已发生的事实不被共享。因此，在使用不同系统进行认证和访问控制的应用之间没有信任概念。工程师们很快意识到，为企业中的每个应用设置访问管理系统就像为每辆车配备加油站，并且确定认证和访问控制作为共享资源将更高效地被实现和管理。这些共享资源被知晓为访问管理系统。
[0007]访问管理系统常常使用策略和其它业务逻辑来确定是否应当将特定访问请求授予特定资源。在确定应当授予访问时，令牌被提供给请求者。这个令牌就像钥匙，可以用来打开保护受限数据的门。例如，用户可以尝试访问人力资源数据库以搜集关于某些员工的信息(诸如工资信息)。用户的Web浏览器向应用发出请求，该请求需要认证。如果Web浏览器没有令牌，那么用户会被要求登录以访问管理系统。当用户通过认证时，用户的浏览器接收表示令牌的cookie，该令牌可用于访问人力资源应用。
[0008]在企业中，用户(例如，员工)通常可以访问一个或多个不同的系统和应用。这些系统和应用中的每一个可以利用不同的访问控制策略并且需要不同的凭证(例如，用户名和密码)。单点登录(SSO)可以在初次登录之后为用户提供对多个系统和应用的访问。例如，当用户登录他们的工作计算机时，用户然后也可以访问一个或多个其它资源(诸如系统和应用)。访问管理系统可以质询用户，以核实他/她的身份，以确定对资源的访问。用户可以被质询基于“你有什么”、“你知道什么”和“你是谁”的组合的信息。
[0009]访问管理系统可以利用客户端设备上的图形用户界面来提示用户，以质询用户信息，从而核实用户的凭证。有时候，用户请求的信息可以包括敏感的机密信息，如果这些敏感的机密信息被侵害，那么可能威胁到个人的身份和个人信息(例如，财务信息或账户信息)。因此，用户在不确信请求该信息的系统是否确实控制对那些资源的访问的情况下可能会犹豫是否向系统(诸如服务器)提供敏感信息以获得对资源的访问。
[0010]随着使用诸如欺诈和网络钓鱼之类的技术的身份盗用的基于技术的持续进步，用户甚至更不愿意在不确信接收者是访问管理系统的情况下提供他们的凭证。访问管理系统也不确信凭证来源的真实性。在一些情况下，客户端系统可以接收一次性代码(例如，密码)，以使得操作客户端系统的用户能够经由访问管理系统来访问资源。客户端系统如果被侵害或被盗，那么可以使操作客户端系统的用户使用一次性代码获得对资源的未经授权的访问。
[0011]尽管密码一直是用于认证用户和提供访问的被接受的准则(norm)，但它们充满了问题——人们忘记他们的密码或者使其容易到足以被猜到。使用分层安全和多认证因素作为用于防止欺诈的更安全的认证方法，正在得到发展。

技术实现思路

[0012]本公开涉及一种访问管理系统。某些技术与启用无密码认证相关。这些技术在考虑各种风险因素(设备、位置等等)的情况下为认证提供多层安全性，以确保合法用户具有容易的方式来认证以及访问他们所需的资源，同时使欺诈者难以戏弄(game)该系统。随着移动设备使用的增加，本文公开的技术使得能够将移动设备用作多因素认证的信任点。本公开中的访问管理系统可以基于设备来利用用户的上下文细节，从而确保基于对设备的拥有(possession)而对用户进行认证。
[0013]访问管理系统可以协调与用户相关联的设备(例如，移动设备)和/或位置(例如，地理位置)的注册。一旦设备和/或位置被注册，针对与这些设备和/或位置相关联的用户的访问，这些设备和/或位置就可以被访问管理系统信任。访问管理系统可以启用与可信设备和/或位置中的任何一个相关联的用户的无密码认证。在使用向访问管理系统注册的设备的情况下，用户可以被提供对(一个或多个)资源的访问。向访问管理系统注册的设备可以被用于无密码认证，以认证在可信设备和/或位置处的用户。对注册设备的拥有可以作为信任点，以确保与该设备相关联的用户作为先前通过认证的用户是合法的。
[0014]在至少实施例中，可以利用设备指纹识别(fingerprinting)和地理定位技术来可靠地将设备或与设备相关联的位置识别为用户从该设备或位置请求访问是可信任的。为了将设备或位置注册为可信任，访问管理系统可以采用一个或多个认证处理(例如，多因素认证)。例如，多因素认证可以包括利用已经针对用户的帐户预先注册的设备(例如，移动电话)来使用带外核实处理。一旦注册，该设备就可以用于无密码认证，以捕获发送到要从其执行无密码认证的不同设备的安全数据。在允许用户执行无密码认证之前，可以使用在预先注册的设备处的进一步认证(例如，生物计量认证)来可靠地识别用户。基于移动设备的用户的上下文细节可以用于基于对预先向访问管理系统注册的设备的拥有来进行用户认证。
[0015]访问管理系统可以通过生成嵌有经加密的数据的安全数据来执行无密码认证。安
全数据可以被发送到要从其执行无密码验证的第一设备。向用户注册的第二设备可以从第一设备获得安全数据。第二设备可以使用由访问管理系统提供给它的安全信息(例如，密钥)来解密该数据。第二设备可以将经解密的数据发送到访问管理系统进行核实。在成功核实时，访问管理系统可以向第一设备发送消息，以通过无密码认证启用访问。
[0016]本文公开的技术启用多个不同的认证处理的使用，以用于无密码认证。设备指纹识别和地理位置可以可靠地识别请求访问的设备。使用带外认证(例如，一次性密码)可以允许用户授权敏感访问。通过使用用于本地认证的生物计量来控制在注册设备处的访问还可以确保拥有用户的设备的安全性。对安全数据使用加密可以保护用于无密码认证的设备与在其处请求无密码认证的设备之间的通信。使用多种认证技术(包括使用注册设备作为认证器)可本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种方法，包括：由访问管理系统AMS接收来自用户的第一计算机设备的访问请求；响应于所述访问请求，由所述AMS确定所述第一计算机设备已被注册为所述用户的可信设备；基于确定所述第一计算机设备已被注册为所述用户的可信设备，从所述AMS向所述第一计算机设备发送第一安全数据，其中所述第一安全数据被加密发送；由所述AMS从与所述第一计算机设备分离并且从所述第一计算机设备接收所述第一安全数据的第二计算机设备接收第二安全数据，所述第二安全数据是由所述第二计算机设备在基于提供给所述第二计算机设备的用户输入而成功认证所述用户时并且通过使用从所述AMS发送到所述第二计算机设备的加密密钥来解密所述第一安全数据而生成的；由所述AMS确定所述第二安全数据与所述第一安全数据匹配，以及基于确定所述第二安全数据与所述第一安全数据匹配，使得所述第一计算机设备能够访问所述访问请求中识别的资源。2.如权利要求1所述的方法，其中，所述第一安全数据作为快速响应码被发送到所述第一计算机设备，并且其中，所述第二计算机设备通过扫描所述第一计算机设备的显示器上的所述快速响应码来捕获所述第一安全数据。3.如权利要求1所述的方法，还包括：在所述第一计算机设备生成所述访问请求之前，利用所述AMS将所述第一计算机设备注册为可信设备，该注册包括：由所述AMS生成临时访问信息，所述临时访问信息包括在特定时间段内有效的一次性代码；基于所述AMS确定所述第二计算机设备已被注册为所述用户的可信设备，将所述临时访问信息发送给所述第二计算机设备；由所述AMS从所述第一计算机设备接收所述临时访问信息；由所述AMS确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配；以及响应于确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配，由所述AMS存储用于将所述第一计算机设备识别为可信设备的信息。4.如权利要求3所述的方法，其中，用于将所述第一计算机设备识别为可信设备的信息的存储是以在所述一次性代码有效的所述特定时间段内从所述第一计算机设备接收到所述临时访问信息为条件的。5.如权利要求3所述的方法，其中，用于将所述第一计算机设备识别为可信设备的信息包括所述第一计算机设备的地理位置。6.如权利要求5所述的方法，其中，确定所述第一计算机设备已被注册为所述用户的可信设备包括：确定在所述AMS接收到所述访问请求时所述第一计算机设备的地理位置与所存储的信息中的地理位置相对应。7.如权利要求1所述的方法，其中，对所述用户的所述认证基于个人识别号的用户输入。8.如权利要求1所述的方法，其中，对所述用户的所述认证基于生物计量数据的用户输
入。9.如权利要求1所述的方法，还包括：基于所述AMS确定所述第二计算机设备已被注册为所述用户的可信设备，将所述加密密钥从所述AMS发送到所述第二计算机设备。10.一种计算机系统，包括：一个或多个处理器；以及所述一个或多个处理器可访问的存储器，所述存储器存储指令，所述指令在由所述一个或多个处理器执行时，使所述一个或多个处理器：接收来自用户的第一计算机设备的访问请求；响应于所述访问请求，确定所述第一计算机设备已被注册为所述用户的可信设备；基于确定所述第一计算机设备已被注册为所述用户的可信设备，向所述第一计算机设备发送第一安全数据，其中所述第一安全数据被加密发送；从与所述第一计算机设备分离并且从所述第一计算机设备接收所述第一安全数据的第二计算机设备接收第二安全数据，所述第二安全数据是由所述第二计算机设备在基于提供给所述第二计算机设备的用户输入而成功认证所述用户时并且通过使用从所述计算机系统发送到所述第二计算机设备的加密密钥来解密所述第一安全数据而生成的；确定所述第二安全数据与所述第一安全数据匹配，以及基于确定所述第二安全数据与所述第一安全数据匹配，使得所述第一计算机设备能够访问所述访问请求中识别的资源。11.如权利要求10所述的计算机系...

【专利技术属性】
技术研发人员：V，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：