在此描述了用于在允许访问受保护资源前对用户进行认证的无线认证系统。认证设备接收访问受保护资源的意图的指示。该认证设备发送对密钥的请求。无线用户设备和认证设备可以进行密钥交换。认证设备确定通过密钥交换所获得的一个或多个密钥是否有效,并且如果该一个或多个密钥有效,则可允许对受保护资源的访问。认证设备可以请求对户身份的进一步验证,诸如密钥持有者验证。如果密钥和密钥持有者验证都有效,则认证设备可以允许对受保护资源的访问。
接收来自移动用户设备的、访问受保护资源的意图的第一指示;
响应于来自所述移动用户设备的、访问所述受保护资源的意图的第一指示,发起与所述移动用户设备进行密钥交换;
通过所述密钥交换从所述移动用户设备自动获得一个或多个密钥,其中所述一个或多个密钥提供用户的安全凭证;
验证通过所述密钥交换自动获得的所述一个或多个密钥是否有效;
验证所述第一密钥持有者验证是否有效,所述第一密钥持有者验证具有相关联的期满策略;
如果所述第一密钥持有者验证以及通过所述密钥交换自动获得的所述一个或多个密钥有效,则授权对所述受保护资源的第一次访问;以及在所述第一次之后:
接收来自所述移动用户设备的、进一步访问所述受保护资源的意图的第二指示;
基于相关联的期满策略,确定所述第一密钥持有者验证是否已经期满;
再次从所述移动用户设备自动地获得所述一个或多个密钥;
当所述第一密钥持有者验证已经期满时,在允许对所述受保护资源的进一步访问之前,提示所述用户输入第二密钥持有者验证;以及当所述第一密钥持有者验证未期满时,如果所述第一密钥持有者验证和所述一个或多个密钥仍然有效,则允许对所述受保护资源的进一步访问,而无需提示所述用户输入所述第二持有者验证。
2.如权利要求1所述的方法,其特征在于,所述访问受保护资源的意图的第一或第二指示包括被动动作。
3.如权利要求2所述的方法,其特征在于,所述被动动作包括接近认证设备。
4.如权利要求1所述的方法,其特征在于,所述访问受保护资源的意图的第一或第二指示包括明示动作。
5.如权利要求4所述的方法,其特征在于,所述明示动作包括第一或第二密钥持有者验证的表示。
6.如权利要求4所述的方法,其特征在于,所述明示动作包括接触认证设备。
7.如权利要求1所述的方法,其特征在于,所述第一或第二密钥持有者验证包括个人身份号码。
8.如权利要求1所述的方法,其特征在于,所述第一或第二密钥持有者验证包括一系列击键。
9.如权利要求1所述的方法,其特征在于,所述第一或第二密钥持有者验证包括姿势。
通信地耦合到无线用户设备的认证设备,所述认证设备包括保护对一个或多个资源的访问的锁;所述认证设备被配置成:识别无线用户设备的用户要访问所述一个或多个资源的意图,以及响应于识别所述意图:从所述无线用户设备自动获取密钥,
请求所述用户向所述无线用户设备输入第一密钥持有者验证以便验证所述用户的身份,以及如果所述第一密钥持有者验证和所述密钥都有效,则对所述锁进行第一次解锁,以便允许对所述一个或多个资源的访问;
重新锁定所述锁以便防止在所述用户离开所述认证设备的邻近范围时对所述一个或多个资源的访问;以及在所述用户在预定时间限制内返回所述认证设备的邻近范围的情况下,对所述锁进行第二次解锁并重新认证,以便允许对所述一个或多个资源的访问,而无需请求所述用户输入第二密钥持有者验证;以及在所述用户在所述预定时间限制期满之后重新进入所述认证设备的邻近范围的情况下,请求所述用户向所述无线用户设备输入所述第二密钥持有者验证作为对所述锁进行解锁的条件。
11.如权利要求10所述的系统,其特征在于,还包括通信地耦合到所述认证设备的服务器,所述服务器被配置成在验证了从所述认证设备接收到的安全凭证后允许对附加资源的访问。
12.如权利要求10所述的系统,其特征在于,还包括所述无线用户设备,所述无线用户设备包括所述密钥,所述密钥存储与所述用户相关联的安全凭证。
接收对第一密钥持有者验证的请求并提示用户提供第一密钥持有者验证;验证所述第一密钥持有者验证是否有效;以及如果所述密钥和所述第一持有者验证都有效,则接收对所述资源的第一次访问;以及在所述用户在预定时间限制内返回所述第一设备的邻近范围的情况下,解锁所述锁而无需所述用户输入第二密钥持有者验证;以及在所述用户在所述预定时间期限期满之后返回所述第一设备的邻近范围的情况下,请求所述用户向所述第一设备输入第二密钥持有者验证作为对所述锁进行重新解锁的条件。
无线认证
[0001] 背景
[0002] 单纯使用密码的认证不能为贵重的公司资源提供足够的安全性。一种解决方案是使用诸如智能卡等安全卡。然而,这些卡经常使用起来很不方便,并且使用了较少的安全技术。这种使用上的不方便也使得用户试图诸如通过紧跟在别人后面通过大门以及将证书存储在移动设备上等来阻扰安全性。
[0003] 概述
[0004] 以下提出了本发明的简要概述,以便向读者提供基本的理解。本概述不是本发明的宽泛概要,也并非要标识本发明的关键要素或描绘本发明的范围。其唯一目的是以简化的形式提出在此公开的一些概念,作为对将在下文提出的更详细描述的前序。
[0005] 在此描述的是涉及用于无线认证的方法和系统的各种技术和方法。根据所述技术的一种实现,当认证设备收到访问受保护资源的意图的指示时,该认证设备发送一对密钥请求。该认证设备和无线用户设备随后可以进行安全密钥交换。该认证设备确定该密钥是否有效,并且如果密钥有效,则可以允许对受保护资源的访问。在所述技术的另一种实现中,该认证设备可以请求对用户身份的进一步验证,诸如请求密钥持有者验证。如果密钥和密钥持有者验证都有效,则该认证设备就可以允许对受保护资源的访问。
[0006] 将更容易地认识许多附带特征,因为通过参考下面结合附图考虑的详细描述,将更好地理解这些附带特征。
[0007] 附图描述
[0008] 根据附图来阅读下面的详细描述,可以更好地理解本说明书,附图中:
[0009] 图1是用于无线认证的示例性系统的框图。
[0010] 图2是用于无线认证的示例性设备的框图。
[0011] 图3是示出无线认证的示例性过程的流程图。
[0012] 图4示出其中可以实现本发明的某些方面的示例性计算环境。
[0013] 在各附图中,相同的参考标号用于指定相同的部分。
[0014] 详细描述
[0015] 下面结合附图提供的详细描述旨在作为对本发明各个示例的描述,而并非旨在表示其中可以构造或利用本发明各个示例的仅有形式。该描述阐述了示例的功能以及用于构造与操作该示例的步骤序列。然而,可以通过不同的示例来实现相同或等价的功能和序列。
[0016] 图1是用于无线认证的示例性系统100的框图。系统100包括一个或多个认证设备,诸如106和108。每个认证设备可以通信地耦合到诸如110、112和114等一个或多个无线用户设备。这些无线用户设备中的每一个都可以通信地耦合到各认证设备中的一个或多个。诸如110等具有无线用户设备的用户可以表明访问受保护资源的意图。当认证设备106收到该访问受保护资源的意图的指示时,该认证设备106将启动一认证过程。认证设备
106将请求与用户设备110的密钥交换。随后用户设备110可以与认证设备106安全地交换密钥。密钥提供了用户的安全凭证。认证设备106随后可以验证通过密钥交换所获得的密钥的有效性。该密钥的有效性可以本地地或通过经由网络104与可信认证授权机构102进行通信来验证。如果密钥有效,则认证设备106可以授予对资源的访问。可信认证授权机构102可以请求附加安全凭证,并且这些凭证可以由认证设备106在授予对资源的访问之前提供。
[0017] 为了进一步验证,认证设备106可以另外向用户请求密钥持有者验证来进一步验证用户的身份。密钥持有者验证的示例可以包括但不限于个人身份号码、一系列击键、操纵杆触发的组合、运动、或姿势。当认证设备106收到密钥持有者验证时,该认证设备106可以本地地或通过与可信认证授权机构102进行通信来检查该密钥持有者验证的有效性。如果密钥是有效的,并且密钥持有者验证也是有效的,则认证设备106可以授予对资源的访问。
[0018] 可以存储密钥持有者验证的有效性以供将来访问。对密钥持有者验证可以有一期满策略设置。期满策略的示例可以包括但不限于:期限、密钥的访问或使用次数、或资源类型。例如,如果设置了期限,则密钥持有者验证在所设期限以前的一段时间内可以保持有效。在到达该期限之前,如果使用了密钥,则密钥持有者验证可保持有效,且用户无需提供密钥持有者验证。在到达该期限以后,在访问资源前将请求用户再次提供密钥持有者验证。如果设置了使用次数,则密钥持有者验证在对密钥使用完所设置的使用次数之前可以是有效的。期满策略还可以基于资源类型而变化。可以使用其它准则来设置期满策略。期满策略可以由可信认证授权机构、认证设备或其它设备或认证机构来设置。
[0019] 图2是用于无线认证的示例性认证设备230和示例性无线用户设备240的框图。认证设备230包括处理器204、发送器206、接收器208、锁202、一个或多个密钥212、和存储元件210。锁202保护对一个或多个资源的访问。认证设备230通信地耦合到无线用户设备240。无线用户设备240包括处理器222、发送器216、接收器218、一个或多个密钥220、和存储元件214。一个或多个密钥220包括用户的安全凭证。这些安全凭证可以用于对锁
202进行解锁,并可以提供对受锁202保护的一个或多个资源的访问。无线用户设备的示例可以包括但不限于:集成在证件中的设备、可佩带的设备、或用户可以携带的任何其它移动设备。
[0020] 根据一种示例性实现,认证设备230可以是计算设备,诸如PC、笔记本计算机、蜂窝电话、PDA、或VOIP电话。锁202和任何其它必要的模块可以被内置于该计算设备中,或通过诸如SDIO卡、USB密钥、PCMCIA卡、压缩闪存、或PCI卡等各种插入式附件接口与该计算设备连接。
[0021] 或者,认证设备230可以被集成在诸如门、橱柜、或上锁装置等用于防止物理访问的装置中。认证设备230还可以被集成在诸如打印机、复印机、收银机、电话会议设备、信贷设备、或演示设备等设备中。此外,认证设备230可以被集成来保护任何其它贵重的资产或文档。
[0022] 在一个示例性实现中,认证设备230可以轮询无线用户设备。在另一个示例性实现中,诸如摄像机或运动传感器等运动传感设备可以用于感应在认证设备230周围的运动。在这些和其它实现中,访问资源的意图的指示可以是无线用户设备240进入了认证设备230的某一邻近范围。当认证设备230接收到访问资源的意图的指示后,该认证设备230可以启动认证过程。例如,当具有无线用户设备240的用户进入到该用户的膝上型计算机的邻近范围时,该膝上型计算机可识别出用户的访问资源的意图,并随后自动从该无线用户设备处获取用户的密钥。该膝上型计算机还可以提示用户输入个人身份号码来验证用户身份。密钥和个人身份号码可以被验证以确认有效性,并且膝上型计算机可以向操作系统以及网络认证用户。如果用户离开了该膝上型计算机的附近,则该膝上型计算机可以从操作系统和网络解除认证。当用户在一特定期限内回到该膝上型计算机的邻近范围时,该膝上型计算机可以解锁并重新认证,而无需提示用户重新输入个人身份号码。
[0023] 或者,访问资源的意图的指示可以是物理动作,诸如在计算设备的键盘上打字、接触门柄、或按下复印机上的按钮。该物理动作可以提示认证设备启动认证过程。认证设备可以向用户设备请求密钥。认证设备也可以向用户请求密钥持有者验证。在确定密钥和/或密钥持有者验证为有效后,可以准许对资源的访问。
[0024] 或者,表达密钥持有者验证的动作本身也可以用于传达访问资源的意图。在这种情况下,认证设备不需要明确地请求密钥持有者验证,而是相反,需要通过启动密钥交换来响应任何密钥持有者验证的表示。应了解,在其它实现中,可以使用并识别访问资源的意图的其它表示。
[0025] 无线用户设备还可以用于跟踪用户位置及用户数。例如,可以跟踪从某扇门进入或离开的人数。无线用户设备可以用于确定会议的出席人数。无线用户设备还可以用于找出某人并警告某人。
[0026] 无线用户设备可以包括对应于用户希望向其认证的一个或多个认证设备的一个或多个简介。当无线用户设备进入该无线用户设备没有其简介的认证设备的邻近范围时,该无线用户设备将不会尝试向该认证设备认证。无线用户设备可以包括可探查在附近的新认证设备的发现功能。当发现一新的认证设备时,用户可以选择是否将该新认证设备的简介添加到无线用户设备中。如果用户选择添加该新认证设备简介,则可以提示用户输入密钥持有者验证。一旦添加了该新认证设备简介,该新认证设备将在无线用户设备进入该新认证设备的邻近范围时自动启动认证过程。
[0027] 图3是示出无线认证的示例性过程的流程图。尽管可以参考其它附图来对图3进行描述,但应了解,图3中所示的示例性过程并不旨在限于与任何特定的一幅或多幅附图中的系统或其它内容相关联。另外,应了解,尽管图3的示例性过程指示了操作执行的特定顺序,但在一个或多个可选实现中,这些操作也可以按不同的顺序来排列。而且,图3的示例性过程中所示的步骤和数据中的某一些可能不是必须的,并且在某些实现中可被省略。最后,尽管图3的示例性过程包含多个分立的步骤,但应意识到,在某些环境中,这些操作中的某一些可以被组合或同时执行。
[0028] 在310处,设备接收访问资源的意图的指示。访问资源的意图的指示可以是:被动动作,诸如无线用户设备进入认证设备的邻近范围;明示动作,诸如密钥持有者验证的表示;表明访问资源的意图的物理动作,诸如接触认证设备;或者是指示访问资源的意图的其它动作。在320处,认证设备发送对密钥交换和/或密钥持有者验证的请求。密钥交换的示例包括但不限于:PCP(优秀私密性)、GPG(Gnu私密性防护)、或公钥密码(PKC)。在330处,用户设备与认证设备交换密钥。如果请求了密钥持有者验证,则用户设备或认证设备可以要求用户提供密钥持有者验证。在340处,认证设备确定通过密钥交换所获得的一个或多个密钥是否有效。如果请求并提供了密钥持有者验证,则认证设备还确定该密钥持有者验证是否有效。在350处,如果一个或多个密钥和/或密钥持有者验证是有效的,则可以允许用户访问资源。如果密钥和密钥持有者验证都是无效的,则在360处,可以拒绝对资源的访问。
[0029] 图4示出了其中可以实现本发明的某些方面的示例性计算环境。应了解,计算环境400只是其中可使用在此描述的各种技术的合适计算环境的一个示例,而并非旨在对在此描述的技术的使用范围或功能提出任何限制。也不应将该计算环境400解释为必定需要在此所示的所有组件。
[0030] 在此描述的技术可以用许多其它通用或专用计算环境或配置来实施。可以适用于在此描述的技术的公知的计算环境和/或配置的示例包括,但不限于,个人计算机、服务器计算器、手持式或膝上型设备、图形输入板设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络PC、小型计算机、大型计算机、包括上述系统或设备中的任意一种的分布式计算环境等。
[0031] 参考图4,计算环境400包括通用计算设备410。计算设备410的组件可以包括,但不限于,处理单元412、存储器414、存储设备416、输入设备418、输出设备420、和通信连接422。
[0032] 取决于计算设备的配置和类型,存储器414可以是易失性的(诸如RAM)、非易失性的(诸如ROM、闪存等)或这两者的某种组合。计算设备414还可以包括附加存储(可移动的和/或不可移动的),其包括但不限于,磁盘、光盘或磁带。这种附加存储在图4中用存储416来示出。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。存储器414和存储416是计算机存储介质的示例。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术,CD-ROM、数字通用盘(DVD)或其它光学存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或可以用来存储期望信息并且可以被计算机410所访问的任何其它介质。任何这种计算机存储介质都可以是计算设备410的部分。
[0033] 计算设备410还可以包含允许计算设备410与其它设备进行通信(诸如通过网络430与其它计算设备进行通信)的通信连接422。通信连接422是通信介质的一个示例。通信介质通常以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并且包括任何信息传送介质。术语“已调制数据信号”指以在信号中编码信息的方式来设置或改变其一个或多个特性的信号。作为示例,而非限制,通信介质包括有线介质,诸如有线网络或直接线连接等,还包括无线介质,诸如声学、射频、红外和其它无线介质。如在此使用的术语计算机可读介质包括存储介质。
[0034] 计算设备410还可以具有输入设备418,诸如键盘、鼠标、输入笔、语音输入设备、触摸输入设备和/或任何其它输入设备。还可以包括输出设备420,诸如一个或多个显示器、扬声器、打印机、和/或任何其它输出设备。
[0035] 尽管已按照多个示例性实现描述了本发明,但本领域的普通技术人员应意识到,本发明并不仅限于所描述的实现,而可以用在所附权利要求书的精神和范围之内的修改和变化来实施。因此本描述被认为是说明性的,而非限制性的。
