雙因素認證系統(tǒng)和方法
【專利摘要】通過計算機網絡認證定義的用戶動作的系統(tǒng)和方法����。認證服務從認證服務接收認證請求,以執(zhí)行代表用戶的動作�。認證服務接著發(fā)送權限請求到與用戶相關的移動裝置,詢問該用戶是否應該允許該動作�。用戶通過移動裝置發(fā)送權限響應給認證服務,允許或拒絕動作。只要滿足至少一條自動化標準(例如,移動裝置的物理位置)�,用戶可自動化將來的類似響應���,消除了對將來的權限請求手動提供響應的需要。判定是否滿足自動化標準的所需信息當地存儲在移動裝置上�。
【專利說明】雙因素認證系統(tǒng)和方法
[0001]本申請要求于2011年10月25日提交的美國臨時申請?zhí)朜0.61/551,370���、于2012年3月12日提交的美國臨時申請?zhí)朜0.61/609�,824��,以及于2012年8月27日提交的美國臨時申請?zhí)朜0.61/693,690的優(yōu)先權����。
【技術領域】 [0002]本發(fā)明的實施方式涉及認證的系統(tǒng)和方法,更具體地說�,涉及在移動裝置中使用地理定位工具的該系統(tǒng)和方法。
【背景技術】
[0003]相關技術的說明
[0004]安全社區(qū)一直在尋找可行的第二因素作為用戶認證的方法來補充和加強密碼�����。之前的嘗試一直受到解決方案太過昂貴以及很難普及主流應用的阻礙�����。
[0005]讓安全社區(qū)更加煩惱的是�����,對大部分用戶帳號來說��,密碼一直頑固地保持著唯一的認證機制�。這主要是因為密碼提供給帳號擁有者使用的簡單性和易行性��。但是�,當密碼被用來作為認證的唯一因素時��,出現了一系列問題:密碼經常難記或者易忘�;用戶容易對很多帳號重復使用其密碼��;密碼在客戶和服務器上經常不安全存儲……這一問題列表還在繼續(xù)�。對可以補充和加強這一困擾的第一因素的附加機制存在一個迫切需求,這是一直持有的共識��。在過去的很多年提出了很多解決方案����,所有方案承諾提供這一急需的第二因素——但是由于各種原因,在相對較小的小眾用戶基礎之外����,沒有找到一個廣泛應用的方案。大部分主流用戶一直未受保護���,他們將從不廣泛影響現有認證慣例的解決方案中受益很多���。
[0006]最近,用到了一些雙因素認證(TFA)機制�����;然而,這些已知的解決方案沒有一個是理想的�。在目前使用中,許多TFA機制以安全令牌的使用為中心�。在該方案中,發(fā)送令牌給用戶�,通常令牌是帶屏幕的小硬件裝置,屏幕顯示帶有周期性改變的表面隨機數字��。將令牌和網絡資源配對的用戶必須在任何給定時刻提供屏幕上當前的數字作為登陸程序的一部分(除了第一認證因素的靜態(tài)密碼)�。對給定時刻,如果提供的代碼在令牌意識后端上的預期值匹配���,則系統(tǒng)允許該認證請求——對可提供密碼(已知的)和來自令牌屏幕(已有的)的有效代碼的請求可能是認證請求有理由感到自信。使用硬件令牌的安全性方案作為雙因素認證機制一直是相對成功的���;然而這些方案幾乎唯一地受限于強制性的使用環(huán)境(例如�����,登錄到公司VPN等所需)����。強制性使用環(huán)境之外的廣泛應用的缺乏可歸因于兩個主要進入障礙:實施該系統(tǒng)所需的重要基礎設施(例如,復雜的后端服務器�����,硬件成本等)���;以及用戶不得不檢索令牌并且在需要登錄時每次抄寫代碼的不便����。
[0007]更新的解決方案減少了一些讓人生畏的基礎設施要求�,如諸如Facebook和Google公司部署的TFA機制。這類機制提供了置于移動裝置上的基于軟件的令牌����,這些裝置的很多用戶已經隨身攜帶。然而����,這些系統(tǒng)仍舊需要用戶檢索他/她的移動裝置、啟動所需應用���,并且抄寫顯示在移動裝置屏幕上的當前代碼���。很多用戶發(fā)現這一解決方案繁瑣煩人。
[0008]一些其它的最新解決方案使用移動裝置的位置識別,作為更大認證過程的一部分���;然而�,這些方法需要用戶位置或者其它識別信息到中央服務器的傳輸�����。這引起了對用戶的隱私考慮���,用戶的位置處大量個人數據(例如�����,日常旅行習慣)存儲在第三方服務器����,那里的數據可能不安全�。
[0009]其它基于定位的方法對嘗試認證的終端裝置需要先驗式或請求式位置識別�。
[0010]因此,對不會很大加重用戶負擔�、并且同時消除復雜基礎設施實施需求來獲得TFA的系統(tǒng)存在需求。
【發(fā)明內容】
[0011]認證方法的一種實施方式包含如下步驟��。從認證服務接收認證請求來執(zhí)行代表用戶的動作。發(fā)送權限請求給與用戶相關的移動裝置來允許或者拒絕執(zhí)行動作的權限�。發(fā)送權限響應給認證服務。給用戶提供自動化權限響應的選項���,其中將來的權限請求滿足至少一個自動化標準�。
[0012]用于認證的系統(tǒng)的一種實施方式包含如下元件�。至少一個處理器和存儲用于控制該至少一個處理器的指令以執(zhí)行包含下述內容的步驟的至少一個存儲器元件。從認證服務接收認證請求來執(zhí)行代表用戶的動作���。發(fā)送權限請求給與用戶相關的移動裝置來允許或者拒絕執(zhí)行動作的權限���。發(fā)送權限響應給認證服務。給用戶提供自動化權限響應的選擇�����,其中將來的權限請求滿足至少一個自動化標準����。如果用戶選擇自動化選項,將該權限響應自動化為自動產生將來的權限請求�����,而不提示用戶允許或拒絕將來的權限請求。
[0013]非臨時性的計算機可讀介質的實施方式包括一個或多個指令順序�����,當由一個或多個處理器執(zhí)行時�,使該一個或多個處理器執(zhí)行包含如下內容的步驟。從認證服務接收認證請求來執(zhí)行代表用戶的動作�����。發(fā)送權限請求給與用戶相關的移動裝置來允許或者拒絕執(zhí)行動作的權限���。發(fā)送權限響應給認證服務�����。給用戶提供自動化權限響應的選擇���,其中將來的權限請求滿足至少一個自動化標準。如果用戶選擇自動化選項����,將該權限響應自動化為自動產生將來的權限請求�,而不提示用戶允許或拒絕將來的權限請求�����。
[0014]用于認證來自認證服務��、移動裝置的權限請求的移動裝置的實施方式包括處理器����,并且可操作來執(zhí)行包含下述內容的操作��。從認證服務終端接收權限請求�����。給出了與所述權限請求相關的信息�。接收來自用戶的感覺輸入以判定權限響應。發(fā)送該權限響應到認證服務終端��。接收來自用戶的感覺輸入���,當滿足至少一個自動化標準的時候�,選擇是否對將來的權限請求自動化權限響應��,使得將來的權限響應不需要來自用戶的感覺輸入����。判定是否滿足至少一個自動化標準的所需信息存儲在移動裝置上����。
【專利附圖】
【附圖說明】
[0015]圖1是認證方法的流程圖����。
[0016]圖2是表示認證系統(tǒng)的圖解。
[0017]圖3a到圖3c表示了來自示例移動認證裝置的系列截圖�。
[0018]圖4a到圖4c表示了來自示例移動認證裝置的系列截圖。
[0019]圖5a和圖5b表示了來自移動認證裝置的截圖���。[0020]圖6表示了移動裝置可執(zhí)行的用于認證權限請求的操作流程圖�����。
【具體實施方式】
[0021]本發(fā)明的實施方式可用多種方式來實施����,包括作為方法���、過程�、設備、系統(tǒng)�����、組合物�����、諸如計算機可讀存儲介質計算機可讀介質或計算機網絡�,其中程序指令是通過光鏈接或通信鏈接發(fā)送的���。描述為配置成執(zhí)行任務的諸如處理器或存儲器的元件包括在給定時間臨時配置為執(zhí)行任務的普通元件和/或制造成執(zhí)行任務的特定元件����。通常��,公開的方法或過程的步驟順序可在本發(fā)明范圍內變化��。
[0022]下文給出了本發(fā)明一個或多個實施方式的詳細說明����,以及說明操作原理的附圖。雖然本發(fā)明的實施方式是特定描述的�,但是本發(fā)明不局限于任何實施方式。本發(fā)明范圍只受限于權利要求�,并且本發(fā)明包括多個改變��、修改�����,和對等物�。為了給出本發(fā)明的透徹理解�,在下文描述中提出了多個特定細節(jié)。這些細節(jié)的給出是出于示例的目的���,并且本發(fā)明可根據權利要求不帶有這些特定細節(jié)的某些或者全部來實施�。為清楚起見����,對和本發(fā)明相關的【技術領域】內熟知的技術材料沒有詳細描述,使得本發(fā)明沒有不必要的含糊���。
[0023]現在結合示例實施方式���,對各個方面進行描述,其包括根據計算機系統(tǒng)單元可執(zhí)行的動作順序描述的特定方面�。例如,可以意識到,在每種實施方式中��,可通過專業(yè)電路���、電路(例如���,執(zhí)行特定功能的互連的離散和/或集成邏輯門)����、一個或多個處理器執(zhí)行的程序指令,或通過任一組合執(zhí)行各種動作�����。因此��,各個方面可用很多不同的形式來實施����,并且所有這些形式預期在描述的范圍內。認證用戶動作的計算機程序指令可在任何計算機可讀介質中實施����,以用于或者和指令執(zhí)行系統(tǒng)、設備,或例如基于計算機的系統(tǒng)���、處理器包含系統(tǒng)����,或者可從計算機可讀介質�����、設備或裝置取出指令并執(zhí)行指令的其它系統(tǒng)的裝置相結合��。
[0024]如本文所用���,“計算機可讀介質”可以是任何方式的�����,該方式可包含���、存儲、通信�����、傳播,或者傳輸程序�,以用于或者和指令執(zhí)行系統(tǒng)、設備���,或裝置相結合���。計算機可讀介質可以是,例如但不限于����,電子�、磁力、光����、電磁、紅外�,或者半導體系統(tǒng)、設備����、裝置,或者傳播介質���。計算機可讀介質的更具體的例子可包括:具有一個或多個導線的電力連接���、可移動電腦磁盤或者光盤只讀存儲器(CD-ROM)�����、隨機存取存儲器(RAM)����、只讀存儲器(ROM)����、可擦可編程只讀存儲器(EPR0M或閃存),和光纖����。還可以預期計算機可讀介質的其它形式。
[0025]本發(fā)明的實施方式給出了提供定義用戶動作的認證的系統(tǒng)和方法�����。通過權衡網絡連接和現代移動裝置(例如智能電話�����、平板式電腦等)的位置識別來提供自動的和非干擾的認證因素,從而實現該實施方式��,該因素通常是結合例如用戶名/密碼登錄組合的第一因素使用的認證的第二因素�。
[0026]圖1是根據本發(fā)明實施方式的認證方法的流程圖。認證服務從認證服務接收認證請求��,以執(zhí)行代表用戶的動作����。該認證服務接著發(fā)送權限請求給與用戶相關的移動裝置,詢問用戶是否愿意執(zhí)行該動作�����。用戶通過移動裝置發(fā)送權限響應給認證服務���,允許或者拒絕該動作。只要滿足至少一個自動化準則(例如���,移動裝置的物理位置)�,給用戶提供了對將來類似響應自動化的選項��,消除了手動提供響應給將來權限請求的的需求��。是否滿足自動化準則的判定所需信息局部存儲在移動裝置上。
[0027]當認證服務(例如�,需要登錄的網站或汽車安全性計算機)需要認證用戶動作時,發(fā)送認證請求給認證服務����。如果認證請求是由認證服務發(fā)出的,則表面上已經提供了第一認證因素��。在網址的情形下��,第一因素通常是用戶名/密碼的組合��。在汽車安全性系統(tǒng)的例子中����,第一認證因素可能是來自鑰匙的信號。圖1所示的認證方法提供了流線型過程���,以提供認證的第二因素來增加第一因素提供的安全性�����。以上引用的認證服務是示例性的���。雖然����,全文的規(guī)范參考是針對登錄到示例網絡服務的動作�����;然而�,可以理解的是,這僅僅是利用本發(fā)明實施方式可認證的一個動作�����,如本文中的更詳細的討論��。
[0028]過程流線型的一個方法是用戶消除重復認證允許/拒絕權限響應的需求�。本發(fā)明的實施方式通過使用定位識別技術實現這一過程的,該技術是很多現代化移動裝置已經包括了的性能�����。定位識別提供了一種方法�����,以進一步自動化認證過程并且消除重復允許/拒絕動作的需求��,允許用戶的移動裝置保持存放在例如口袋�、錢包、接近用戶的塢站��。
[0029]由于在諸如登錄到一個服務的動作和發(fā)起動作的物理位置之間存在直覺配對��,所以這是可能的�。例如,用戶通常從位置的小的子集中(例如�����,家�,工作,當地的咖啡店)利用給定裝置檢查其電子郵件�����。當用戶處于這些位置中的一個時���,試圖從已知裝置登錄����,這是一個有效請求的概率大大增加。因此����,通過使用認證申請“教給”移動裝置應該自動化哪種類型的申請,可自動化從熟悉位置的這些權限響應�����。換句話說���,用戶的移動裝置“學習”自動化哪個認證請求��,使得用戶不需要重復執(zhí)行允許/拒絕動作來發(fā)送權限響應���。
[0030]該學習過程可以用幾種方法實施。例如�,該學習過程可以和詢問用戶是否應該自動化給定的認證請求一樣簡單,或者其可涉及一些額外的自動化機制���,以使用戶體驗流線型���。例如,移動裝置可被置入學習模式�����,自動化允許其收到的認證請求并且存儲請求收到的位置����。該學習過程也可以用很多其它的方法實施。一旦認證服務��、位置����,和移動裝置實現關聯(即,學會)���,當將來出現類似請求��,系統(tǒng)可自動響應�����,不會提示用戶執(zhí)行任何額外的動作�����。方法/系統(tǒng)對穩(wěn)健�、不被覺察的第二認證因素提供了快速簡單的自動化方法。
[0031]圖2表示了根據本發(fā)明實施方式的包含元件的認證系統(tǒng)200����。用戶使用幾個認證終端202 (例如,家庭計算機���、工作計算機�、咖啡店的筆記本電腦)訪問認證服務204 (例如����,第三方網址)。這里��,第一認證因素(例如�,密碼)從認證終端202到認證服務204通信。認證服務204和認證服務206通信�,以驗證用戶動作。這是通過向與用戶相關的移動認證裝置208發(fā)送權限請求來完成的����。用戶使用移動裝置208發(fā)送權限響應給認證服務206,其沿認證服務204通過����,提供認證的第二因素��。將來的權限響應可通過移動裝置208自動化�。給認證終端202��、認證服務204�,和移動裝置208的每一個分配通用唯一標識符(UUID)��,用于其在認證服務206內的識別��。
[0032]方法和系統(tǒng)的實施方式使用兩個關鍵動作:配對和認證���。
[0033]配對
[0034]為使移動認證裝置208認證認證服務204�����,兩個第一因素需要共同配對����。配對過程包括隨后認證請求成功所需的任何信息的通信����。例如,如果認證服務204希望需要一次性密碼(OTP)來驗證認證請求����,該配對過程將在移動認證裝置208和認證服務204之間建立共享的秘密(類似于加密鑰匙)��。當實現了隨后的認證請求時���,移動認證裝置208將使用該共享的秘密來生成0ΤΡ,并且該認證將用其驗證該OTP是正確的���。該配對過程也可需要附加信息(例如�����,密碼鑰匙����,數字簽名信息等)����。該配對過程也為配對建立了唯一的標識符,配對將包含在將來的認證請求中��?�?蓪⒁苿友b置208配置為丟棄認證請求����,其不包含已知的�����、有效的配對標識符���。[0035]圖3a到圖3c表示了來自在Android操作系統(tǒng)上運行認證服務206應用的示例移動認證裝置208上的一系列截圖300����、310、320��。在圖3a中���,截圖300表示了配對階段302����,它是由移動裝置208產生的�。接著,在認證終端202上���,用戶進入該配對階段�。接著認證服務206推送配對請求給移動裝置208,如圖3b中截圖310所示���。該配對請求包括用戶名稱312和認證服務名稱314����,使得用戶具有所需信息����,在允許配對之前驗證配對。圖3c中的截圖320表示了移動裝置208成功和認證服務204配對��。該認證服務名稱314現在出現在配對了的服務列表中�。
[0036]圖4a到圖4c表示了在IOS平臺上運行認證服務206應用的移動裝置208上的示例配對過程的類似截圖集410、412���、414�����。圖4c表示了配對了的服務列表���,其中選擇了認證服務名稱432。跳出的對話框434允許用戶利用“去除配對”按鈕436從認證服務204中使移動裝置208不配對�����,或者利用“清除位置”按鈕438全部清除配對列表。
[0037]認證
[0038]認證是本文揭示的方法和系統(tǒng)的主要目的��。移動裝置208和認證服務206配對之后���,當認證服務206希望驗證用戶將要執(zhí)行的動作時�,實際的認證出現���。通常,這將涉及接收認證請求以執(zhí)行動作��,在該行動上��,認證服務206必須在通信到允許執(zhí)行動作的認證服務204之前驗證請求的真實性�����。作為一個可能的示例��,用戶可使用他的筆記本電腦嘗試登錄到基于網絡的電子郵件服務�����。這里,筆記本電腦是認證終端202�,基于網絡的電子郵件服務是認證服務204。該認證服務204將可能�,但不是必須地要求用戶提供某類第一因素認證信息(例如,密碼)����。使用本文揭示的方法和系統(tǒng)的實施方式,認證服務204提供給用戶用于認證的附加的第二因素���,并且其將通過認證服務206發(fā)起認證請求�����,并對嘗試認證的用戶提供適當的配對標識符��。認證服務206發(fā)送權限請求給適當的移動認證裝置208�����,其對權限響應做出答復���,如本文所述。
[0039]如前文所指出的,該權限響應可自動或者手動產生。
[0040]在自動響應模式中����,移動認證裝置208檢查內部數據庫,并且判定該認證請求是否匹配至少一個自動化標準����。對自動化的標準選擇有很多選項,該機制可允許認證服務204靈活指定自動化政策�。在一種示例實施方式中,當移動認證裝置在存儲的位置的臨近位置時��,并且接收到的認證請求指示其來自用于最初存儲該位置的同一終端標識符���,認證服務204將允許用戶指定權限請求的特定類型必須自動地產生允許/拒絕權限響應�����。這表示了進行認證請求的時候,用于登錄到認證服務204的終端202和移動認證裝置208的位置之間的直覺配對����。如果自動化是可能的,則指令(允許或拒絕)封裝在權限響應中����,其發(fā)送至認證服務206�。這一響應可選擇性地包括用于進一步驗證移動裝置208的當前有效的0ΤΡ��,以及傳統(tǒng)加密和數字簽名機制���。
[0041]另外�����,如果請求自動化延遲是關鍵的��,當自動化標準變化為允許認證服務正確答復而無需要求聯系所需移動裝置的時候��,移動認證裝置208可預播權限響應�����。例如�,當移動裝置進入或離開權限響應自動化的地理位置時��,標準自動化狀態(tài)可變化�。這一特定類型的預播方法被稱之為“地理防御”。許多其它的方法也可用于預播自動化的權限響應�。
[0042]如果權限請求不匹配已知的自動化數據庫條目,則權限響應可缺省拒絕,或者移動裝置208可簡單地對權限響應的手動進入提示用戶�。
[0043]當不能獲得自動化(例如,壞的定位信號)或者不需要它的時候����,可使用權限響應的手動產生。如果是這種情況����,將會針對權限響應提示用戶。除了請求權限響應��,本發(fā)明的實施方式還包括在針對權限響應提示用戶的同時���,用戶指示類似的將來請求必須接收相同的認證判定(如上文所示)的能力��。
[0044]圖5a和圖5b表示了說明需要手動權限響應進入的權限請求的移動裝置和208的截圖500�、520����。截圖500表示了運行Android操作系統(tǒng)的移動裝置208上顯示的權限請求�。在該實施方式中,權限請求包括認證服務502��、動作描述504、用戶名稱506�����,和終端描述508的標識符��。提供了相關信息來通知認證判定后����,用戶可使用對應的按鈕510、512允許或者拒絕權限請求�����。如果用戶想要對類似將來權限請求自動化權限響應的產生��,而不提示用戶允許或拒絕自動化響應���,可選擇按鈕514�。如果啟動自動化���,在可用于產生將來的權限響應的權限請求時��,對自動化數據庫的移動認證裝置208的位置更新���。
[0045]圖6是根據本發(fā)明的實施方式用于認證權限請求的可由移動裝置208實施的操作流程圖��。移動裝置接收來自認證服務206的權限請求��。和權限請求相關的信息呈現給用戶����。該信息可以在屏幕上可視化地呈現�、通過文字到語音應用可聽化地呈現,或者通過其它方法呈現�����。移動裝置208配置為接收來自用戶的感覺輸入以判定權限響應�。感覺輸入包括觸覺輸入(例如,摁壓按鈕)�����、文字輸入���,或者各類輸入�����。移動裝置208接著發(fā)送該權限響應給認證服務206����。移動裝置208也配置為接收來自用戶的感覺輸入�,將權限響應自動化,如本文所述����。
[0046]如前面提到的,本文討論的示例方法和系統(tǒng)是針對到網址的登錄動作�����。但是���,描述的認證方法和系統(tǒng)可用于計算機網絡上需要認證訪問或動作的任何情形��。例如���,一種方法的實施方式可通過使用車輛本身的位置識別并包括其作為認證請求中的元件來改善車輛安全性。移動裝置將不會允許該允許請求����,除非其和車輛相距極其臨近���。另一種實施方式可包括事務驗證,諸如提供方法用于信用卡持有人驗證信用卡交易的所有或者子集驗證��。
[0047]并且��,如果配對移動裝置在進入點的臨近時才允許訪問�,通過這個方式可增加物理訪問控制。通過使用該方法作為認證方式���,可進一步改善該訪問控制���,其中一個或多個附加的配對裝置必須對將要允許的進入批準請求,例如����,試圖進入工廠區(qū)域的維修工可請求進入和工作指令,其被傳輸到工廠經理的移動裝置上���,以在允許訪問之前獲得明確批準����。
[0048]本文描述的認證系統(tǒng)和方法也可同其它認證的更加安全的因素配對����。例如�����,對那些需要高度安全性的應用,諸如軍事領域操作�,結合來自移動裝置的權限響應,可要求生物識別認證因素(例如����,視網膜掃描、指紋���、聲音配置等)���。安全性隨認證的每個增加層指數型增加。
[0049]該說明中描述的主題的實施方式可實施在計算系統(tǒng)中���,其包括例如作為數據服務器的后端元件�、或者包括例如應用服務器的中間元件�����、或者包括例如具有圖形用戶界面或網絡瀏覽器的客戶計算機的前端元件,通過圖形用戶界面或網絡瀏覽器用戶可與本說明中描述主題的實施互動����,或者任何一個或者多個這樣子的后端、中間����,或者前端元件的組合。系統(tǒng)的元件可以用任何形式或者例如通信網絡的數字數據通信介質互聯���。通信網絡的例子包括局域網絡(“LAN”)和廣域網絡(“WAN”)���,例如互聯網。
[0050]計算系統(tǒng)可包括客戶和服務器�。客戶和服務器通常相距遙遠���,通常通過通信網絡互動��?�?蛻艉头掌鞯年P系是通過運行在各自計算機上并且具有客戶一計算機相互關系的計算機程序來產生�。[0051]雖然該說明包含許多特定實施的細節(jié),但是這些不應該被理解為是在任何發(fā)明或權利要求的范圍內的限制���,而是理解為特征描述���,其是特定發(fā)明的特定實施方式的特定描述。單獨實施方式的上下文中��,該說明中描述的特定特征也可實施在單個實施方式中的組合中���。相反地,單個實施方式上下文中描述的不同特征也可單獨實施在多個實施方式或者任何合適的子組合中���。并且���,雖然這些特征可如上文描述的在特定組合中實施,并且甚至如此初始權利要求����,但是,從權利要求的組合中的一個或者多個特征可在某些情況下從組合中去除�����,并且權利要求的組合可導向子組合或子組合的變形。
[0052]并且���,圖形中描繪的流程圖不需要所示的特定順序����、或先后次序來實現想要的結果���。另外��,可從描述的流程中提供其它步驟���,或者消除步驟,并且從描述的系統(tǒng)中可增加��、或者移除其它元件���。相應地�,其它實施在如下權利要求的范圍內�。
【權利要求】
1.一種認證方法,其特征在于���,包含: 從認證服務接收認證請求來執(zhí)行代表用戶的動作�����; 發(fā)送權限請求給與所述用戶相關的移動裝置來允許或者拒絕執(zhí)行動作的權限�; 發(fā)送權限響應給所述認證服務;以及 給所述用戶提供自動化所述權限響應的選項���,其中將來的權限請求滿足至少一個自動化標準����。
2.如權利要求1所述的方法���,進一步包含: 對將來的權限請求自動化所述權限響應,如果所述用戶選擇了所述選項來自動化����,不會提示所述用戶允許或拒絕所述將來權限請求。
3.如權利要求2所述的方法�,其中,如果不滿足所述至少一個自動化標準或者所述用戶沒有選擇所述選項來自動化��,進一步包含提示所述用戶允許或拒絕所述將來的權限請求�。
4.如權利要求1所述的方法,其中���,判定所述至少一個自動化標準是否滿足的信息存儲在所述移動裝置上�。
5.如權利要求1所述的方法,其中����,所述至少一個標準包含所述移動裝置到地理位置的臨近度。
6.如權利要求1所述的方法�����,其中�����,所述至少一個標準包含所述移動裝置到多個地理位置中的一個的臨近度��。
7.如權利要求1所述的方法�,其中,所述動作包含登錄到所述認證服務的網址���。
8.如權利要求1所述的方法�,其中����,所述動作包含所述認證服務定義的關鍵動作���。
9.如權利要求1所述的方法,其中�����,所述動作包含資金轉移����。
10.如權利要求1所述的方法,進一步包含將所述移動裝置和所述認證服務配對�。
11.如權利要求10所述的方法,其中����,所述配對包含在所述移動裝置和所述認證服務之間建立共享秘密。
12.如權利要求11所述的方法��,其中�����,所述權限響應包含一次性密碼��。
13.如權利要求10所述的方法��,其中���,所述配對包含在所述移動裝置和所述認證服務之間建立唯一配對標識符���,如果所述配對標識符沒有提供給所述認證請求,自動拒絕所述認證請求��。
14.如權利要求1所述的方法�,當所述至少一個自動化標準改變狀態(tài)的時候,進一步包含預播所述權限響應��。
15.如權利要求1所述的方法��,其中����,所述權限請求包含所述認證服務、動作描述����、用戶名稱、終端描述的標識符����。
16.—種認證系統(tǒng),包含: 至少一個處理器�����; 存儲用于控制所述至少一個處理器的指令以執(zhí)行包含下述內容的步驟的至少一個存儲器元件: 從認證服務接收認證請求來執(zhí)行代表用戶的動作��; 發(fā)送權限請求給與所述用戶相關的移動裝置來允許或者拒絕執(zhí)行所述動作的權限�; 發(fā)送權限響應給所述認證服務�;給所述用戶提供自動化所述權限響應的選項,其中將來的權限請求滿足至少一個自動化標準�;并且 如果所述用戶選擇自動化所述選項,對將來的權限請求自動化所述權限響應���,而不提示所述用戶允許或拒絕所述將來的權限請求��。
17.如權利要求16所述的系統(tǒng)���,其中判定所述至少一個自動化標準是否滿足的信息存儲在所述移動裝置上。
18.一種非臨時性的計算機可讀介質���,包括一個或多個指令順序�,當由一個或多個處理器執(zhí)行指令時����,使所述一個或多個處理器執(zhí)行包含如下內容的步驟: 從認證服務接收認證請求來執(zhí)行代表用戶的動作; 發(fā)送權限請求給與所述用戶相關的移動裝置來允許或者拒絕執(zhí)行所述動作的權限���; 發(fā)送權限響應給所述認證服務�; 給所述用戶提供自動化所述 權限響應的選項��,其中將來的權限請求滿足至少一個自動化標準��;并且 如果所述用戶選擇自動化所述選項�����,對將來的權限請求自動化所述權限響應�,而不提示所述用戶允許或拒絕所述將來的權限請求。
19.如權利要求18所述的非臨時性計算機可讀介質�,其中,判定所述至少一個自動化標準是否滿足的信息存儲在所述移動裝置上���。
20.一種用于認證來自認證服務的權限請求的移動裝置����,所述移動裝置包括處理器并且可操作來執(zhí)行包含下述內容的操作: 從認證服務終端接收權限請求����; 給出與所述權限請求相關的信息���; 接收來自用戶的感覺輸入以判定權限響應; 發(fā)送所述權限響應到所述認證服務終端���;并且 接收來自用戶的感覺輸入�����,當滿足至少一個自動化標準的時候��,用戶選擇是否對將來的權限請求自動化權限響應�����,使得將來的權限響應不需要來自所述用戶的感覺輸入�; 其中判定所述至少一個自動化標準是否滿足的所需信息存儲在所述移動裝置上���。
【文檔編號】H04W88/02GK104012132SQ201280061406
【公開日】2014年8月27日 申請日期:2012年10月25日 優(yōu)先權日:2011年10月25日
【發(fā)明者】埃文泰勒·格里姆 申請人:拓普合公司