【技术实现步骤摘要】
用于访问管理的无密码认证
[0001]本申请是申请日为2016年10月21日、题为“用于访问管理的无密码认证”的专利技术专利申请201680061204.3的分案申请。
[0002]相关申请的交叉引用
[0003]本PCT专利申请要求于2015年10月23日提交的标题为“PASSWORD
‑
LESS AUTHENTICATION FOR ACCESS MANAGEMENT”的美国临时申请No.62/245,891的权益和优先权,该申请的内容通过引用整体上并入本文,用于所有目的。
[0004]一般而言,本申请涉及数据处理。更具体而言,本申请涉及用于多阶段认证的技术。
技术介绍
[0005]现代企业依赖控制和生成对业务运营至关重要的信息的各种应用和系统。不同的应用常常提供不同的服务和信息,并且不同的用户可以需要访问每个系统或应用内的不同级别的信息。用户被授予的访问级别可以取决于用户的角色。例如,经理可以需要访问关于向其报告的员工的某些信息,但是让该经理访问关于他向其报告的人的相同信息可能是不恰当的。
[0006]之前,较不复杂的应用将访问管理业务逻辑直接结合到应用代码中。即,例如,每个应用将需要用户拥有单独的帐户、单独的策略逻辑和单独的许可。此外,当用户被这些应用中的一个应用认证时,该认证对于企业中的其它应用仍然是未知的,因为与第一应用的认证已发生的事实不被共享。因此,在使用不同系统进行认证和访问控制的应用之间没有信任概念。工程师们很快意识到,为企业中的每个应用设置访问管 ...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:由访问管理系统AMS接收来自用户的第一计算机设备的访问请求;响应于所述访问请求,由所述AMS确定所述第一计算机设备已被注册为所述用户的可信设备;基于确定所述第一计算机设备已被注册为所述用户的可信设备,从所述AMS向所述第一计算机设备发送第一安全数据,其中所述第一安全数据被加密发送;由所述AMS从与所述第一计算机设备分离并且从所述第一计算机设备接收所述第一安全数据的第二计算机设备接收第二安全数据,所述第二安全数据是由所述第二计算机设备在基于提供给所述第二计算机设备的用户输入而成功认证所述用户时并且通过使用从所述AMS发送到所述第二计算机设备的加密密钥来解密所述第一安全数据而生成的;由所述AMS确定所述第二安全数据与所述第一安全数据匹配,以及基于确定所述第二安全数据与所述第一安全数据匹配,使得所述第一计算机设备能够访问所述访问请求中识别的资源。2.如权利要求1所述的方法,其中,所述第一安全数据作为快速响应码被发送到所述第一计算机设备,并且其中,所述第二计算机设备通过扫描所述第一计算机设备的显示器上的所述快速响应码来捕获所述第一安全数据。3.如权利要求1所述的方法,还包括:在所述第一计算机设备生成所述访问请求之前,利用所述AMS将所述第一计算机设备注册为可信设备,该注册包括:由所述AMS生成临时访问信息,所述临时访问信息包括在特定时间段内有效的一次性代码;基于所述AMS确定所述第二计算机设备已被注册为所述用户的可信设备,将所述临时访问信息发送给所述第二计算机设备;由所述AMS从所述第一计算机设备接收所述临时访问信息;由所述AMS确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配;以及响应于确定接收到的临时访问信息与发送给所述第二计算机设备的临时访问信息匹配,由所述AMS存储用于将所述第一计算机设备识别为可信设备的信息。4.如权利要求3所述的方法,其中,用于将所述第一计算机设备识别为可信设备的信息的存储是以在所述一次性代码有效的所述特定时间段内从所述第一计算机设备接收到所述临时访问信息为条件的。5.如权利要求3所述的方法,其中,用于将所述第一计算机设备识别为可信设备的信息包括所述第一计算机设备的地理位置。6.如权利要求5所述的方法,其中,确定所述第一计算机设备已被注册为所述用户的可信设备包括:确定在所述AMS接收到所述访问请求时所述第一计算机设备的地理位置与所存储的信息中的地理位置相对应。7.如权利要求1所述的方法,其中,对所述用户的所述认证基于个人识别号的用户输入。8.如权利要求1所述的方法,其中,对所述用户的所述认证基于生物计量数据的用户输
入。9.如权利要求1所述的方法,还包括:基于所述AMS确定所述第二计算机设备已被注册为所述用户的可信设备,将所述加密密钥从所述AMS发送到所述第二计算机设备。10.一种计算机系统,包括:一个或多个处理器;以及所述一个或多个处理器可访问的存储器,所述存储器存储指令,所述指令在由所述一个或多个处理器执行时,使所述一个或多个处理器:接收来自用户的第一计算机设备的访问请求;响应于所述访问请求,确定所述第一计算机设备已被注册为所述用户的可信设备;基于确定所述第一计算机设备已被注册为所述用户的可信设备,向所述第一计算机设备发送第一安全数据,其中所述第一安全数据被加密发送;从与所述第一计算机设备分离并且从所述第一计算机设备接收所述第一安全数据的第二计算机设备接收第二安全数据,所述第二安全数据是由所述第二计算机设备在基于提供给所述第二计算机设备的用户输入而成功认证所述用户时并且通过使用从所述计算机系统发送到所述第二计算机设备的加密密钥来解密所述第一安全数据而生成的;确定所述第二安全数据与所述第一安全数据匹配,以及基于确定所述第二安全数据与所述第一安全数据匹配,使得所述第一计算机设备能够访问所述访问请求中识别的资源。11.如权利要求10所述的计算机系...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。