使用口令對移動設(shè)備的安全訪問的制作方法
【技術(shù)領(lǐng)域】
[0001] 本公開內(nèi)容設(shè)及對計算設(shè)備上所執(zhí)行的應(yīng)用或計算設(shè)備中的加密數(shù)據(jù)能夠進行 安全訪問�����,更具體地���,設(shè)及使用口令來授權(quán)訪問移動計算設(shè)備中的加密數(shù)據(jù)或應(yīng)用��。
【背景技術(shù)】
[0002] 口令是用于對用戶的身份進行認(rèn)證或用于獲得對受限資源的訪問的單詞或字符 串�����?�?诹钔ǔ1粏为毷褂没蚺c其它方案(例如數(shù)字證書)結(jié)合使用����,W對用戶進行認(rèn)證����?���?诹?的安全等級可W取決于口令的長度W及在口令中可W使用的可能的字符數(shù)目而不同�。可容 許的口令的長度越長并且口令中的可用字符的數(shù)目越大�,口令的安全等級越高。與較長的 口令相比��,具有對可用字符的有限選擇的短口令更易受到破解(例如�,通過強力攻擊)��。
[0003] 為方便起見��,口令主要用于對用戶進行認(rèn)證或?qū)σ苿釉O(shè)備上的資源的訪問進行控 審IJ���。移動設(shè)備通常具有用戶接口設(shè)備�,例如較低精度和操作較慢的觸摸屏�����。因此���,當(dāng)使用移 動設(shè)備時���,用戶往往避開使用復(fù)雜的口令或其它更復(fù)雜的認(rèn)證方案���。在智能手機上,例如�, 比起較長并且較復(fù)雜的口令,大多數(shù)用戶偏好使用四位數(shù)字口令�����。
[0004] 盡管尺寸小和便攜性����,移動計算設(shè)備如智能手機經(jīng)常存儲和訪問敏感信息���。例如�����, 運樣的敏感信息可W包括:個人信息(如社會保障號�、銀行賬戶號碼和口令)���、機密電子郵件 或短信W及信用卡號碼���。通常���,由簡單口令所提供的安全性是不足的,從而使得移動計算設(shè) 備易受第=方攻擊��。
【發(fā)明內(nèi)容】
[0005] 實施方式設(shè)及至少基于第一信息與第二計算設(shè)備處的第二信息的比較來對第一 計算設(shè)備的用戶進行認(rèn)證���。響應(yīng)于在第二計算設(shè)備處對用戶進行認(rèn)證����,第一計算設(shè)備從第 二計算設(shè)備中接收未加密服務(wù)器令牌�����。未加密服務(wù)器令牌用于訪問應(yīng)用或加密數(shù)據(jù)�����。根據(jù) 在第一時間處所接收的用戶輸入得到第一信息����。根據(jù)由用戶在第一時間之前的第二時間處 提供的第一 口令得到第二信息。
[0006] 在一個實施方式中,第二計算設(shè)備還基于下述中的至少一個來對用戶進行認(rèn)證: 第一計算設(shè)備的地理位置;W及與第一計算設(shè)備的使用相關(guān)聯(lián)的統(tǒng)計信息���。
[0007] 在一個實施方式中����,將未加密服務(wù)器令牌用作密鑰����,W用于訪問應(yīng)用或加密數(shù)據(jù)。 可替選地�����,可W對未加密服務(wù)器令牌進行處理來獲得密鑰��。
[000引在一個實施方式中�����,未加密服務(wù)器令牌與第一計算設(shè)備的設(shè)備令牌結(jié)合使用����,W 生成用于訪問應(yīng)用或加密數(shù)據(jù)的密鑰�。
[0009] 在一個實施方式中,當(dāng)在第=時間處第一計算設(shè)備與第二計算設(shè)備之間的通信不 可用時,在第=時間處接收來自第一計算設(shè)備的用戶的第二口令�����。使用第二口令對存儲在 第一計算設(shè)備中的加密服務(wù)器令牌進行解密��,W獲得未加密服務(wù)器令牌���。
[0010] 在一個實施方式中�,第二口令比第一口令強����。例如,第二口令比第一口令長��?���?商?選地或另外,第一口令可W是第一可能字符的組合�,而第二口令可W是第二可能字符的組 合,其中��,第二可能字符的數(shù)目大于第一可能字符的數(shù)目����。
[0011] 在一個實施方式中��,通過由散列函數(shù)來處理在第一時間處所接收的用戶輸入來獲 得第一信息�����,并且通過由散列函數(shù)來處理在第二時間處所接收的第一口令來獲得第二信 息�����。
[0012] 在一個實施方式中�����,響應(yīng)于終止對應(yīng)用或加密數(shù)據(jù)的訪問��,從第一計算設(shè)備中刪 除未加密服務(wù)器令牌和根據(jù)未加密服務(wù)器令牌得到的數(shù)據(jù)。
[0013] 在說明書中描述的特征和優(yōu)點并非均是包括性的����,并且特別地,考慮到附圖����、說明 書和權(quán)利要求,許多另外的特征和優(yōu)點對于本領(lǐng)域普通技術(shù)人員將是明顯的。此外�,應(yīng)當(dāng)注 意,主要出于可讀性和指導(dǎo)性目的選擇了在說明書中使用的語言����,而并非被選擇用于劃定 或限定主題。
【附圖說明】
[0014] 通過結(jié)合附圖來考慮下面的詳細(xì)說明可W很容易理解本實施方式的教示���。
[0015] 圖1是示出了根據(jù)一個實施方式的服務(wù)器向在客戶端設(shè)備上執(zhí)行的應(yīng)用提供增強 的安全性的系統(tǒng)的架構(gòu)的示意圖����。
[0016] 圖2是示出了根據(jù)本發(fā)明的一個實施方式的客戶端設(shè)備的框圖�����。
[0017] 圖3是示出了根據(jù)一個實施方式的服務(wù)器的框圖�。
[0018] 圖4是示出了根據(jù)一個實施方式的設(shè)立增強的認(rèn)證方案的過程的交互圖。
[0019] 圖5是示出了根據(jù)一個實施方式的當(dāng)客戶端設(shè)備與服務(wù)器之間的通信可用時對用 戶進行認(rèn)證的過程的交互圖�����。
[0020] 圖6是示出了根據(jù)一個實施方式的當(dāng)客戶端設(shè)備與服務(wù)器之間的通信不可用時對 用戶進行認(rèn)證的過程的流程圖���。
[0021] 圖7A是根據(jù)一個實施方式的當(dāng)客戶端設(shè)備與服務(wù)器之間的通信可用時用于接收 用戶口令的圖形用戶接口圖�。
[0022] 圖7B是根據(jù)一個實施方式的當(dāng)客戶端設(shè)備與服務(wù)器之間的通信不可用時用于接 收用戶口令的圖形用戶接口圖。
【具體實施方式】
[0023] 附圖和下面的描述僅通過圖示的方式而設(shè)及優(yōu)選實施方式���。應(yīng)當(dāng)注意��,根據(jù)下面 的討論��,容易將本文所公開的結(jié)構(gòu)和方法的替選實施方式視為在不偏離所要求保護的主題 的原理的情況下可W采用的可行的替選方案��。
[0024] 現(xiàn)在將詳細(xì)地參考幾個實施方式�����,其示例在附圖中示出��。應(yīng)當(dāng)注意����,只要可行����,類 似或相同的附圖標(biāo)記可W被用在附圖中�,并且可W指示類似或相同的功能。附圖僅出于示 出目的來描述實施方式���。在不偏離本文所描述的原理的情況下��,可W采用本文所示出的結(jié) 構(gòu)和方法的替選實施方式�����。
[0025] 實施方式設(shè)及提供用于訪問客戶端設(shè)備上的應(yīng)用或數(shù)據(jù)的增強的安全措施�。客戶 端設(shè)備接收來自服務(wù)器的對訪問應(yīng)用或數(shù)據(jù)的授權(quán)����,該服務(wù)器將在客戶端設(shè)備處所接收的 口令與之前存儲在服務(wù)器中的口令進行比較。除了比較口令之外�����,服務(wù)器可能執(zhí)行另外的 安全措施(如���,檢查客戶端設(shè)備的地理位置或?qū)蛻舳嗽O(shè)備上的可疑模式的使用進行監(jiān) 視)�,W增強訪問客戶端設(shè)備上的應(yīng)用或數(shù)據(jù)的安全性�。此外,可W取決于客戶端設(shè)備與服 務(wù)器是否具有連接來使用不同強度的不同口令����。當(dāng)連接不可用時�,可W使用較長和/或較復(fù) 雜的口令而非較短和/或較簡單的口令����,W提供增加的安全性。
[0026] 圖1是示出了根據(jù)一個實施方式的服務(wù)器130向在客戶端設(shè)備IOOA至100N(在下文 中統(tǒng)稱為"客戶端設(shè)備100")上執(zhí)行的應(yīng)用提供增強的安全措施的系統(tǒng)的架構(gòu)的示意圖���?�??戶端設(shè)備100存儲用于一個或更多個應(yīng)用的軟件代碼����,所述一個或更多個應(yīng)用可W被加載 并在客戶端設(shè)備100上執(zhí)行���。在一個或更多個實施方式中��,應(yīng)用經(jīng)由網(wǎng)絡(luò)110與服務(wù)器130進 行交互或從服務(wù)器130接收信息��?����?蛻舳嗽O(shè)備100可W與多個服務(wù)器進行交互��,所述多個服 務(wù)器中的一些服務(wù)器可W為某些應(yīng)用所專用���。
[0027] 網(wǎng)絡(luò)110可W是包括無線通信網(wǎng)絡(luò)和有線通信網(wǎng)絡(luò)的各種類型的通信網(wǎng)絡(luò),例如 PSTN(公共交換電話網(wǎng))網(wǎng)�����、有線電視網(wǎng)����、蜂窩電話網(wǎng)和衛(wèi)星通信網(wǎng)。網(wǎng)絡(luò)可W是因特網(wǎng)的一 部分或向因特網(wǎng)提供連接�。
[0028] 服務(wù)器130是能夠向多個客戶端設(shè)備100提供服務(wù)和信息的計算設(shè)備。在一個或更 多個實施方式中����,服務(wù)器130經(jīng)由TCP/IP(傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議)協(xié)議和HTTP(或 HTTPS)協(xié)議與客戶端設(shè)備100進行通信。由服務(wù)器130提供的服務(wù)或功能包括對客戶端設(shè)備 100的用戶進行認(rèn)證�����。盡管圖1中僅示出了單個服務(wù)器130,但是可W提供多于一個服務(wù)器來 為大量的客戶端設(shè)備100服務(wù)�。
[002