用于联合认证的基于第二因素的域选择制造技术

在用于认证用户名的方法中，处理器维护用户名和域的映射。处理器基于认证应用接收用户名和针对用户名的基于时间的一次性密码代码(TOTP代码)。处理器在接收到TOTP代码时：基于接收的用户名和接收的TOTP从该映射中确定域；以及请求该域中的与用户名相关的证书的输入。在接收到请求的证书时，处理器通过确定接收的证书匹配用于该域的预期证书来认证用户名。证书匹配用于该域的预期证书来认证用户名。证书匹配用于该域的预期证书来认证用户名。

【技术实现步骤摘要】
【国外来华专利技术】用于联合认证的基于第二因素的域选择

技术介绍

[0001]本专利技术总体上涉及用户名的认证领域，并且更具体地涉及在云计算环境中通过域(realm)的自动选择来认证用户名。
[0002]使用由云提供者操作的云计算资源而不是将应用保持在内部/现场的趋势是不间断的。主题“云”仍然是CIO的前三个优先级中的一个。然而，使用混合云和更复杂的云计算产品的持续趋势也成为IT组织和用户的负担。随着云计算中心继续增长和计算和存储容量增加，对这样的资源的访问也可能变得更复杂。这必须与对云计算资源的更安全访问中所涉及的复杂性相结合。双因素认证已成为非常经常受政府法规支配的许多垂直行业的要求。
[0003]现在，大型云经常支持与客户拥有的用户储存库的联合登录。因此，每个这种存储库可以由表示为“域”ID的标识符表示。然而，域标识符可以是长的复杂加密的ID(标识符)。对于用户来说，不容易或者完全不可能记住晦涩的ID。通常，必须在搜索期间手动选择目标范围ID，因为用户名在所有用户储存库中不是唯一的。此外，手动域选择可能涉及大量域，这使得不可能选择正确的域。从用户的角度来看，基本上每个认真的云计算供应商都存在这个问题。
[0004]然而，域选择字段的替换，即静态域列表，也存在如上所述的基本上相同的限制和约束。
[0005]从安全角度来看，第二因素认证(也称为双因素认证)是防止密码攻击的现有技术。这样的第二因素可以使用基于时间的一次性密码或基于时间的一次性密码代码(time
‑
based one
‑
time password code，TOTP代码)来实现。由此，TOTP机制是针对所使用的认证服务器上的每个域的每个用户建立的并且被导出到客户端应用中。由客户端app生成的TOTP代码仅在一定时间量内有效，并且必须在输入用户名/密码组合以在认证服务器上验证之后提供。这个过程对于所有信誉好的云提供者基本上是相同的。然而，由于要求在所有选择的域标识符中进行键入，因此这仍然是繁琐的过程。
[0006]存在描述此处提出的解决方案的技术背景的若干已知的文献。美国专利号9,419,968B1描述了一种用于基于本地客户端的登录的移动推送用户认证。由此，认证服务器从本地客户端处的用户接口接收用于基于本地客户端登录到远程服务器的密码。该方法确定通行证的一部分是否包括一次性密码(one
‑
time password，OTP)。当密码包括OTP时，该方法验证通行证的剩余部分作为第一认证因素，并验证OTP作为第二认证。
[0007]此外，美国专利申请公开号2020/0153814A1描述了一种用于经由联合授权服务器与标识符提供方进行认证的方法，其中，联合授权服务器具有到至少一个身份提供方的至少一个接口。每个标识符提供方被配置为使用相应的验证方法来验证用户身份。由此，该方法包括：通过网页接收登录数据，该登录数据至少指示身份提供方和用户。
[0008]然而，在云计算环境中需要输入域的标识(特别是由复杂的或晦涩的标识符表示的)的已知缺点仍然存在。因此，需要克服当前解决方案的这种限制，并且在大型云计算系统中提供对云计算域的容易的访问。

技术实现思路

[0009]根据本专利技术的一个方面，可以提供一种用于认证用户名的计算机实现的方法。该方法可以包括维护用户名和域的映射，并且基于认证应用接收用户名和针对该用户名的基于时间的一次性密码代码(TOTP代码)。该方法可以进一步包括：在接收到TOTP代码时，基于接收的用户名和接收的TOTP从该映射中确定域，并且请求该域中的与用户名相关的证书的输入。此外，该方法可以包括在接收到请求的证书时，通过确定接收的凭据匹配用于该域的预期证书来认证用户名。
[0010]根据本专利技术的另一方面，可以提供一种用于认证用户名的认证系统。该认证系统可以包括通信地耦合到处理器的存储器，该存储器存储程序代码部分，程序代码部分被适配成使处理器能够执行维护用户名和域的映射，并且基于认证应用接收用户名和针对该用户名的基于时间的一次性密码代码(TOTP代码)。
[0011]此外，该认证系统可以包括在接收到TOTP代码时，基于接收的用户名和接收的TOTP从映射中确定域，并且请求该域中的与用户名相关的证书的输入。
[0012]此外，该方法可以包括在接收到请求的证书时，通过确定接收的证书匹配用于该域的预期证书来验证用户名。
[0013]所提出的用于认证用户名的方法可以提供多个优点、技术效果、贡献和/或改进：
[0014]可增强大型和复杂云计算环境中的用户接受(即，用户友好性)。与已知技术相比，登录不再受限制并且不再需要从可能包括晦涩(域
‑
)ID的长列表中手动选择域。这可显著地增强对选择的云计算登录过程的用户体验。
[0015]还可以观察到改进的安全性，即没有密码攻击可能，因为在成功的TOTP过程之前密码字段在用户界面中不会变得可用。它还可有助于激励用户和客户在云计算环境中启用他们的储存库的第二因素认证方法，这进而还可以增加在云计算环境中存储和操作的数据和应用的安全性。
[0016]由此，登录域(即，选择域、提供用户名、验证密码和验证TOTP代码)的传统序列被显著地并且有利地改变，因为该序列现在可以是：提供用户名、验证TOTP代码并且通过已知的TOTP代码自动选择域。最后，验证该域的密码。所以，以用户不再需要关注域ID的积极效果来改变序列。
[0017]在下文中，将描述本专利技术构思的另外的实施例。
[0018]根据有用的实施例，该方法还可以包括在两个步骤中接收用户名和TOTP代码。因此，用户可以在第一步骤中例如通过按压“回车”来确认用户名，并且在第二步骤中例如通过第二次按压“回车”来确认相应的密码或者通过点击用户界面的确认字段来确认TOTP代码。
[0019]根据另一个引人注意的实施例，该方法还可以包括提供被适配成用于接收该用户名和/或TOTP代码的用户界面。所以，用户可以在一个单个事务中输入用户名和TOTP代码。这可以增加这里提出的解决方案的用户体验的接受值。因此，并且根据另一个实施例，该方法还可以包括
–
在一步过程中接收用户名和TOTP代码，由此进一步增加了可用性。
[0020]根据该方法的允许的实施例，用户界面可以是图形用户界面或命令行界面。基本上，可以使用任何类型的用户界面。这还可以具有以下优点：在用户接口的多个部分可以被实现为API(应用编程接口)的情况下，还可以使用另一个程序来实现认证。
[0021]根据该方法的有利的实施例，域可以从由以下构成的组中选择：云计算环境中的应用、市场、软件开发环境、社交媒体平台组件、和互联网商店。基本上，在可能存在不同域的云计算环境中要求用户认证的任何应用或应用组都是可实现的，可以有利地使用所提出的概念。
[0022]根据该方法的另一优选实施例，维护映射可以由认证服务器执行。这可具有以下优点：可信系统(即，认证服务器)可用于安全且容易登录多领域计算环境所本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于认证用户名的计算机实现的方法，所述方法包括：由一个或多个处理器维护用户名和域的映射；由一个或多个处理器基于认证应用来接收用户名和针对所述用户名的基于时间的一次性密码代码(TOTP代码)；在接收到所述TOTP码时：由一个或多个处理器基于接收的用户名和接收的TOTP从所述映射中确定域；以及由一个或多个处理器请求所述域中的与所述用户名相关的证书的输入；以及在接收到请求的证书时，由一个或多个处理器通过确定接收的证书匹配用于所述域的预期证书来认证所述用户名。2.根据权利要求1所述的方法，进一步包括：由一个或多个处理器在两个步骤中接收所述用户名和所述TOTP代码。3.根据权利要求1或2所述的方法，进一步包括：由一个或多个处理器提供被适配为接收所述用户名和所述TOTP代码的用户界面。4.根据权利要求3所述的方法，其中，所述用户界面选自由图形用户界面和命令行界面组成的组。5.根据权利要求1到4中任一项所述的方法，进一步包括：由一个或多个处理器在单个步骤过程中接收所述用户名和所述TOTP代码。6.根据权利要求1到5中任一项所述的方法，其中，所述域是从由云计算环境中的应用、市场、软件开发环境、社交媒体平台组件和互联网商店组成的组中选择的。7.根据权利要求1至6之一所述的方法，其中，所述认证应用是客户端侧TOTP码生成器。8.根据权利要求1至7中任一项所述的方法，其中，所述映射还包括TOTP代码。9.根据权利要求1至8中任一项所述的方法，其中，所述映射是使用从由表、链表以及数据库组成的组中选择的内容来执行的。10.根据权利要求1至9中任一项所述的方法，进一步包括：由一个或多个处理器确定所述TOTP码仍然有效；以及当所述TOTP码不再有效时，由一个或多个处理器终止过程。11.一种用于认证用户名的计算机程序产品，所述计算机程序产品包括：一个或多个计算机可读存储介质，以及共同存储在所述一个或多个计算机可读存储介质上的程序指令，所述程序指令包括：用于维护用户名和域的映射的程序指令；用于基于认证应用接收用户名和针对所述用户名的基于时间的一次性密码代码(TOTP代码)的程序指令；用于在接收到所述TOTP代码时执行以下操作的程序指令：基于接收的用户名和接收的TOTP从所述映射中确定域；以及请求所述域中的与所述用户名相关的证书的输入；以及在接收到所述请求的证书时，通过确定接收的证书匹配用于所述域的预期证书来认证所述用户名。12.根据权利要求11所述的计算机程序产品，进一步包括：共同地存储在该一个或多个计算机可读存储介质上的程序指令，用于以两个步骤接收
所述用户名和所述TOTP代码。13.根据权利要求11或12所述的计算机程序产品，进一步包括：共同地存储在该一个或多个计算机可读存储介质上的程序指令，用于提供...

【专利技术属性】
技术研发人员：T，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：