CN115208559A - 用来对未连接设备中的用户进行认证的双因素认证 - Google Patents
用来对未连接设备中的用户进行认证的双因素认证 Download PDFInfo
- Publication number
- CN115208559A CN115208559A CN202210387381.8A CN202210387381A CN115208559A CN 115208559 A CN115208559 A CN 115208559A CN 202210387381 A CN202210387381 A CN 202210387381A CN 115208559 A CN115208559 A CN 115208559A
- Authority
- CN
- China
- Prior art keywords
- public key
- response
- digital signature
- storage device
- mobile storage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 claims abstract description 153
- 238000000034 method Methods 0.000 claims abstract description 81
- 238000012545 processing Methods 0.000 claims description 91
- 238000012795 verification Methods 0.000 claims description 6
- 238000013475 authorization Methods 0.000 description 42
- 238000010586 diagram Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 230000001010 compromised effect Effects 0.000 description 3
- 208000036758 Postinfectious cerebellitis Diseases 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
- G06F21/35—User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/88—Medical equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- General Physics & Mathematics (AREA)
- Entrepreneurship & Innovation (AREA)
- Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Strategic Management (AREA)
- Game Theory and Decision Science (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Marketing (AREA)
- General Business, Economics & Management (AREA)
- Educational Administration (AREA)
- Development Economics (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
- Communication Control (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明题为“用来对未连接设备中的用户进行认证的双因素认证”。在一个示例性模式中,一种用来对用户进行认证的方法包括:连接到移动存储设备,该移动存储设备存储登录细节的数字签名和到期值,该登录细节至少包括用户名和该到期值;从该移动存储设备接收该数字签名和该到期值;接收个人识别码的用户输入;响应于该到期值和该用户名来验证该数字签名,以对该到期值和该用户名进行认证;检查该到期值尚未到期;以及响应于该到期值和该用户名被认证、该到期值尚未到期和该个人识别码,提供对在该用户名下登录的计算资源的访问。
Description
技术领域
本公开涉及计算设备,并且具体地但非排他性地涉及用户认证。
背景技术
技术人员可以访问不同的地点(诸如医疗中心),以对本地设备例如医疗系统(诸如加利福尼亚州尔湾市的Biosense Webster公司(Biosense Webster Inc.,Irvine,CA)的
3系统)执行维护任务。本地设备可能未连接到互联网,这对技术人员访问本地设备并跟踪哪些技术人员已登录到哪些本地设备提出了挑战。
授予Gantman等人的美国专利8046587描述了一种用于准予对离线、资源有限的移动设备进行经认证访问的方法。服务提供者生成公钥-私钥对,使用公钥对用户名和(可能)访问权限进行数字签名,以便为技术人员获得密码。将公钥安全分发给移动设备。当离线时,移动设备可对技术人员访问移动设备的受限功能进行认证。技术人员将其用户名、访问权限和密码提供给移动设备。然后,移动设备使用公钥、用户名和访问权限来验证密码。为了使旧的用户名和密码无效,服务提供者将该公钥-私钥对替换为新的公钥-私钥对。
Bartucci等人的PCT公开WO2013123453描述了一种便携式电子存储器设备(例如,USB闪存驱动器)。示例性模式包括便携式电子存储器设备,其具有小键盘、加密硬件以及对远程计算系统进行加密、解密或用作远程计算系统的认证工具的能力,而无需在接收系统上安装特殊驱动程序。
Corrion的美国专利9,118,662描述了一种用于将分布式登录服务扩展到离线计算设备的方法和系统,包括在离线计算设备上对一次性密码(OTP)、随机数和唯一标识符进行加密以生成授权请求消息。使用移动设备作为代理,将授权请求消息转发给访问控制服务器进行授权。对授权响应消息进行解密以获得随机数。对随机数进行重新加密以生成授权响应消息。使用移动设备作为代理,将授权响应消息转发给离线计算设备。对授权响应消息进行解密以获得随机数。将从授权响应消息中获得的随机数与原始随机数进行比较。通过将从授权响应消息中获得的随机数与原始随机数进行比较,计算设备允许或拒绝访问。
Bokare等人的美国专利10,326,733描述了一种用于促进针对多个设备的单点登录的计算机实现的方法,该计算机实现的方法可包括:(1)为用户帐户建立登录会话;(2)响应于建立登录会话,向与用户账户相关联的设备提供用户账户的会话令牌;(3)从至少一个客户端接收访问与用户账户相关联的资源的请求;(4)确定关联设备拥有用户账户的会话令牌;并且(5)响应于确定关联设备拥有会话令牌,向客户端提供对与用户帐户相关联的资源的访问。
Aabve等人的美国专利公开2015/0220917描述了用于使用限制使用证书来验证令牌的方法、设备和系统。例如,用户设备可向令牌提供者计算机发送令牌请求,并作为响应,接收令牌和与该令牌相关联的令牌证书。例如,令牌证书可包括令牌的散列和令牌提供者计算机或另一受信实体的数字签名。用户设备可向接入设备提供令牌和令牌证书。接入设备可使用令牌证书来验证令牌,并使用数字签名来验证令牌证书。在一些情况下,可离线验证令牌和令牌证书。然后,接入设备可使用令牌进行交易。
Jevans的美国专利8,321,953描述了一种授权访问安全数据存储装置的系统,该系统包括:用户接口,该用户接口被配置成从用户离线接收用户代码以允许访问所存储的数据;电路系统,该电路系统被配置成至少部分地基于用户代码授权对所存储的数据的访问并提供对所存储的数据的访问;和存储系统,该存储系统被配置成存储所存储的数据。
安全断言标记语言(SAML)是一种开放式标准,用于在各方之间,尤其是在身份提供者与服务提供者之间交换认证和授权数据。SAML在en.wikipedia.org/wiki/Security_Assertion_Markup_Language上有更详细描述。
附图说明
根据以下详细说明结合附图将理解本公开,附图中:
图1为根据本公开的示例性模式构造和操作的双因素授权系统的部分示意的部分框图视图;
图2为包括生成在图1的系统使用的认证文件的方法中的步骤的流程图;
图3为用户使用来生成图1的系统中的认证文件的用户界面屏幕的示意图;
图4为其中存储有与图1的系统一起使用的认证文件的移动存储设备的示意图;
图5为包括验证认证文件以提供对图1的系统中的计算资源的访问的方法中的步骤的流程图;
图6为用户使用来登录到图1的系统中的计算资源的用户界面屏幕的示意图;
图7为包括生成在图1的系统中使用的认证文件的替代方法中的步骤的流程图;
图8为包括验证认证文件以提供对图1的系统中的计算资源的访问的替代方法中的步骤的流程图;
图9为其中存储有与图1的系统一起使用的具有更多数据的认证文件的图4的移动存储设备的示意图;并且
图10为包括验证认证文件以提供对图1的系统中的计算资源的访问并替换其中的用户撤销列表和/或公钥列表的替代方法中的步骤的流程图。
具体实施方式
概述
如先前所提及的,技术人员可以访问不同的地点(诸如医疗中心),在本地设备例如医疗系统(诸如加利福尼亚州尔湾市的Biosense Webster公司的
3系统)上执行维护任务。
本地设备可能未连接到互联网,或者未经由任何合适的网络连接到互联网,这对技术人员访问本地设备并跟踪哪些技术人员已登录到哪些本地设备提出了挑战。
一种解决方案是对所有本地设备上的所有技术人员使用相同的硬编码密码。然而,这提供了低级别的安全性,并且不能唯一地识别各个技术人员。而且,当不再雇用技术人员来维护本地设备时,技术人员仍能够访问本地设备。
本公开的示例性模式通过使用双因素认证和移动(例如,便携式)存储设备来存储认证文件,以对各个用户(例如,技术人员)进行认证,以便使用不同的未连接处理设备上的计算资源,从而解决了上述问题。
技术人员从在线授权应用程序(例如,web应用程序)接收认证文件。然后,将认证文件存储在移动存储设备(诸如,闪存盘、CD、DVD或SD卡)中。认证文件允许技术人员访问不同的未连接处理设备的计算资源。然后,技术人员将移动存储设备带到未连接处理设备中的一个未连接处理设备,并且响应于验证存储在移动存储设备中的认证文件,向技术人员提供对该处理设备的访问。现在更详细地描述提供认证文件和使用认证文件的过程。
技术人员登录到在服务器上运行的在线授权应用程序(例如,由web服务器托管的web应用程序)或可从网络(例如,互联网或内联网)中的多个位置访问的任何合适的应用程序。登录到在线应用程序可包括技术人员提供由应用程序进行认证的用户名和密码。在用户名和密码通过认证后,授权应用程序提示技术人员输入个人识别码(PIC),该PIC可包括数字和/或字母和/或符号。PIC通常由技术人员选择。另选地,PIC可由授权应用程序提供。授权应用程序生成到期值(例如,到期日期),其可以是任何合适的值。例如,到期值可以是当前时间/日期之后的给定小时数、天数、周数或月数。授权应用程序生成包括到期值和用户名的登录细节的数字签名。登录细节还可包括确定技术人员被允许访问的功能性的一个或多个访问权,例如权限、访问级别或用户类型。数字签名通常使用非对称加密来生成,该非对称加密使用授权人(诸如技术人员的雇主)的私钥(例如,基于包含私钥的证书)进行。然后,授权应用程序对数字签名、到期值和用户名进行加密(例如,使用对称加密,该对称加密使用基于PIC的密钥进行)。数字签名、到期值和用户名可加密为单个加密项或单独的加密项。然后,授权应用程序将经加密的数字签名、到期值和用户名(例如,经加密的认证文件)存储在技术人员的移动存储设备中的认证文件中。在一些示例性模式中,到期值可保留为明文(即,未加密)并以明文形式存储在移动存储设备中。
一旦认证文件或相关值被存储在移动存储设备中,技术人员就可将移动存储设备带到任何未连接处理设备。在所选择的未连接处理设备中的一个未连接处理设备上,技术人员在该处理设备上运行的认证应用程序所呈现的用户界面屏幕上输入PIC,并且技术人员请求打开存储在移动存储设备中的认证文件。认证应用程序接收认证文件,并对认证文件进行解密(例如,使用对称解密,该对称解密响应于基于PIC的密钥而进行)。然后,认证应用程序响应于存储在验证文件中的用户名和到期值来验证数字签名。数字签名通常使用非对称加密来验证,该非对称加密使用授权人(诸如技术人员的雇主)的公钥进行(例如,基于包含公钥的证书)。检查到期值以确保其尚未到期。任选地,检查包括在登录细节中的访问权(例如,许可、访问级别或用户类型),以基于经验证的访问权来验证技术人员是否被授权访问所请求的功能性或允许和/或禁止功能性。认证应用程序响应于对数字签名和到期值的认证,向技术人员提供对在用户名下登录的计算资源的访问。
以上述方式,技术人员可被提供对不同的未连接处理设备上的计算资源的时间/日期受限的访问。使用数字签名和PIC来保护访问,从而提供双因素安全性,这将计算资源的使用限制到各个技术人员(基于PIC),并识别登录到计算资源中的每个技术人员(基于用户名)。
在一些示例性模式中,授权应用程序生成认证文件以包括到期值、用户名和PIC的签名。在这些示例性模式中,到期值可以明文形式存储在移动存储设备中,并且PIC通常不用于形成加密密钥。在这些示例性模式中,在未连接处理设备中的一个未连接处理设备上,提示技术人员输入PIC和用户名(如果用户名未存储在移动存储设备中)。然后,认证应用程序验证数字签名(从而对用户名、有效期和PIC进行认证),并检查有效期值。认证应用程序响应于对数字签名和到期值的认证,向技术人员提供对在用户名下登录的计算资源的访问。
在一些示例性模式中,认证文件还可包括用户撤销列表。用户撤销列表可列出被撤销但未到期的认证文件的用户或被撤销但未到期的认证文件。例如,Eve和Mallory等技术人员已离职,但他们在移动存储设备上的认证文件在接下来的几周内仍然有效。因此,Eve和Mallory可使用他们各自的移动存储设备非法访问计算资源。如果当前雇用的技术人员Alice在此时间段期间请求新的认证文件,则可将列出Eve和Mallory两者(例如,他们的电子邮件、用户名和/或其他识别细节,诸如为他们生成的认证文件的细节)的用户撤销列表添加到新的认证文件中,使得当Alice登录到不同的设备时,该用户撤销列表可被复制到相应的设备,以便当Eve和Mallory尝试登录到那些设备时,将基于该用户撤销列表阻止Eve和Mallory。因此,请求认证文件并基于认证文件登录到设备的过程导致用户撤销列表被复制到正在登录的设备。用户撤销列表被包括在认证文件中,并且数字签名还对用户撤销列表进行签名,使得当用户登录到设备时,可检查用户撤销列表的真实性。
在一些示例性模式中,用户撤销列表可包括版本识别(ID)(例如,版本号和/或日期)。验证该列表的设备可使用版本ID来确定先前存储的用户撤销列表是否应该被包括在登录到该设备的当前用户的认证文件中的该用户撤销列表替换。例如,当Alice登录到医疗设备时,医疗设备检查包括在Alice的认证文件中的用户撤销列表的版本ID(例如,日期)是否比存储在医疗设备的存储器中的用户撤销列表的版本ID新。如果确实新,则医疗设备将其存储的用户撤销列表替换为在Alice的认证文件中找到的列表。
尽管不同的未连接处理设备上的每个计算资源都加载有用于验证签名等的至少一个公钥,但公钥可能到期,或者私钥-公钥对可能被泄露。因此,重要的是生成一个或多个备用私钥-公钥对,并在设备上加载至少一个备用公钥。然而,这是有问题的,因为这些设备可能没有通过网络连接。应当指出的是,在将新私钥的公钥副本分发到现场的所有设备之前,不能使用新私钥。为了简化转换,认证文件可用于分发备用公钥,如下文更详细描述的。
因此,在一些示例性模式中,认证文件还可包括至少一个备用公钥。例如,如果当前雇用的技术人员Alice请求新的认证文件,则可将一个或多个备用公钥添加到新的认证文件,使得当Alice登录到不同的设备时,备用公钥可被复制到相应的设备以供以后使用。因此,请求认证文件并基于认证文件登录到设备的过程导致备用公钥被复制到该设备。备用公钥可被包括在认证文件中,并且数字签名还对备用公钥进行签名,使得当用户登录到设备时,可检查备用公钥的真实性。
在一些示例性模式中,备用公钥可被存储在认证文件中的公钥列表中。公钥列表还可包括系统当前使用的公钥。公钥列表可包括版本识别(ID)(例如,版本号和/或日期)。设备可使用版本ID来确定先前存储的公钥列表是否应该被包括在登录到该设备的当前用户的认证文件中的公钥列表替换。例如,当Alice登录到医疗设备时,医疗设备检查包括在Alice的认证文件中的公钥列表的版本ID(例如,日期)是否比存储在医疗设备的存储器中的公钥列表的版本ID新。如果确实新,则医疗设备将其存储的公钥列表替换为在Alice的认证文件中找到的列表。然后,设备可使用新公钥列表中的公钥来检查呈现给设备的数字签名。
一旦所有未连接设备都获知新的公钥,就可使用新公钥的私钥对新认证文件进行签名。从那时起,存储在认证文件中的公钥列表不需要包括旧的公钥,并最终,随着未连接设备中的公钥列表被替换,所有这些设备都会忘记旧的公钥。
本公开仅以举例的方式使用术语“技术人员”。术语“技术人员”应理解为描述任何适当用户的动作,而不仅仅是作为技术人员的某人。
系统描述
现在参考图1,图1为根据本公开的示例性模式构造和操作的双因素授权系统10的部分示意的部分框图视图。
双因素授权系统10被配置成对技术人员12或任何合适的用户进行认证,以使用不同的未连接处理设备16(为简单起见仅示出一个)的未连接计算资源14(为简单起见仅示出一个)。
双因素授权系统10包括通过任何合适的网络20(例如,互联网)在服务器18(例如,web服务器)上运行的在线授权应用程序(例如,web应用程序)。技术人员12将移动存储设备22(例如,闪存盘、CD、DVD或SD卡)连接到计算设备24(例如,个人计算机、膝上型计算机、移动电话或平板计算设备),该计算设备通过网络20连接到服务器18。技术人员12经由用户输入设备26(例如,小键盘和/或鼠标或触摸屏)输入用户名、密码和个人识别码(PIC)。授权应用程序处理用户名、密码和PIC,并提供认证文件28以存储在移动存储设备22中,如参考图2至图4更详细描述的。以类似的方式,其他技术人员可接收个性化授权文件。
双因素授权系统10还包括在未连接处理设备16中的相应未连接处理设备上运行的认证应用程序,以对授权文件进行认证,如参考图5和图6更详细描述的。每个处理设备16均可包括数据接口30,该数据接口被配置成连接到移动存储设备22(该移动存储设备通常以加密形式存储登录细节(例如,到期值、用户名以及任选地一个或多个访问权,例如许可、访问级别或用户类型)和登录细节的数字签名)。每个处理设备16均可包括用户输入设备32和处理电路系统34。
实际上,计算设备24和处理电路系统34的部分或全部功能可组合在单个物理部件中,或者另选地,可使用多个物理部件来实现。这些物理部件可包括硬连线或可编程装置,或这两者的组合。在一些示例性模式中,计算设备24和处理电路系统34的至少部分功能可由可编程处理器在合适软件的控制下执行。该软件可以通过(例如)网络以电子形式下载到装置中。另选地或除此之外,该软件可以储存在有形的非暂态计算机可读存储介质中,诸如光学、磁或电子存储器。
现在参考图2,图2为包括在生成在图1的系统10中使用的认证文件28的方法中的步骤的流程图200。还参考图1。
技术人员12将移动存储设备22与计算设备24可操作地连接。例如,技术人员12将移动存储设备22插入到计算设备24的数据接口中。在服务器18上运行的授权应用程序被配置成连接到移动存储设备22(框202)。
在服务器18上运行的授权应用程序被配置成接收技术人员12的用户名的用户输入以及与该用户名相关联的密码(框204)。在服务器18上运行的授权应用程序被配置成验证用户名和密码(框206)。如果用户名和密码通过认证,则在服务器18上运行的授权应用程序被配置成提示输入个人识别码(PIC),该PIC通常由技术人员12选择(框208)。在一些示例性模式中,PIC可由授权应用程序生成。服务器18配置成接收输入的PIC。
在服务器18上运行的授权应用程序被配置成生成到期值(例如,到期日期),其可以是任何合适的值(框210)。例如,到期值可以是当前时间/日期之后的给定小时数、天数、周数或月数。
在服务器18上运行的授权应用程序被配置成生成包括用户名和到期值以及任选地访问权的登录细节的数字签名(框212)。在一些示例性模式中,在服务器18上运行的授权应用程序被配置成响应于授权人(诸如技术人员的雇主)的公钥基础结构的私钥(例如,基于包含私钥的证书)来生成数字签名。
在服务器18上运行的授权应用程序被配置成响应于基于PIC的密钥,对到期值和/或用户名和/或数字签名和/或访问权进行加密(框214)。在一些示例性模式中,到期值、用户名、数字签名以及任选地访问权被加密为单个项。在一些示例性模式中,到期值、用户名、数字签名以及任选地访问权被单独地或以其任何合适的组合进行加密。经加密的到期值、用户名、数字签名以及任选地访问权被存储在认证文件28中。
在服务器18上运行的授权应用程序被配置成响应于对密码的认证,将认证文件28(包括经加密的到期值、密码、登录细节的数字签名以及任选地访问权)存储在移动存储设备22中(框216)。在一些示例性模式中,在服务器18上运行的授权应用程序被配置成向在计算设备24上运行的浏览器提供认证文件28,使得技术人员12可选择将认证文件28存储在移动存储设备22中。
在一些示例性模式中,到期值和/或用户名和/或数字签名可以明文形式存储在移动存储设备22中的认证文件28中。
现在参考图3,图3为技术人员12使用来生成图1的系统10中的认证文件28的用户界面屏幕300的示意图。用户界面屏幕300包括用于输入用户名和密码的字段302,以及请求登录到服务器18的按钮304。用户界面屏幕300包括允许输入PIC的字段306,以及请求生成认证文件28的按钮308,如图2所述。下载的认证文件28的链接310显示在用户界面屏幕300的底部,其允许技术人员12将认证文件28存储在移动存储设备22中。
现在参考图4,图4为其中存储有与图1的系统10一起使用的认证文件28的移动存储设备22的示意图。如图所示,认证文件28包括到期值(框400)、用户名(框402)、数字签名(框404)以及任选地访问权(框408),通过使用基于PIC的密钥进行合适的加密算法来保护(框406)。
现在参考图5,图5为包括验证认证文件以提供对图1的系统10中的计算资源14的访问的方法中的步骤的流程图500。还参考图1。
一旦认证文件28或相关值被存储在移动存储设备22中,技术人员12就可将移动存储设备22带到任何未连接处理设备1 6。在所选择的未连接处理设备16中的一个未连接处理设备上,技术人员12将移动存储设备22与处理设备16的数据接口30可操作地连接。例如,技术人员12将移动存储设备22插入到处理设备16的数据接口30中。在处理电路系统34上运行的认证应用程序被配置成连接到移动存储设备22(框502)。
现在参考图6,图6为技术人员12使用来登录到图1的系统10中的计算资源14的用户界面屏幕600的示意图。在处理电路系统34上运行的认证应用程序被配置成在显示设备上呈现用户界面屏幕600,该用户界面屏幕包括技术人员12在其中输入PIC的字段602以及请求打开存储在移动存储设备22中的认证文件28的按钮604。技术人员12在用户界面屏幕600上输入PIC,并请求打开存储在移动存储设备22中的认证文件28。
再次参考图1和图5。在处理电路系统34上运行的认证应用程序被配置成经由用户输入设备32接收PIC的用户输入和打开认证文件28的请求(框504)。在处理电路系统34上运行的认证应用程序被配置成从移动存储设备22接收经加密的认证文件28,该经加密的认证文件包括数字签名、到期值、用户名以及任选地包括访问权(以加密格式)(框506)。在一些示例性模式中,在处理电路系统34上运行的认证应用程序被配置成响应于基于所接收的个人识别码的密钥,对包括在认证文件28中的以下任一项或多项进行对称加密(框508):到期值;用户名;数字签名;以及任选地访问权。
在处理电路系统34上运行的认证应用程序被配置成响应于到期值、用户名以及任选地访问权来验证数字签名,以对到期值、用户名以及任选地访问权进行认证(框510)。在一些示例性模式中,处理电路系统34被配置成响应于公钥基础结构的公钥来验证数字签名。
在处理电路系统34上运行的认证应用程序被配置成检查到期值尚未到期(框512)。任选地,处理电路系统34被配置成检查包括在登录细节中的访问权(例如,许可、访问级别或用户类型),以基于经验证的访问权来验证技术人员是否被授权访问所请求的功能性或允许和/或禁止功能性。在处理电路系统34上运行的认证应用程序被配置成响应于到期值和用户名被认证(使用数字签名)并且到期值尚未到期,提供对在用户名下登录的计算资源14的访问(任选地,根据经验证的访问权)(框514)。对数字签名的认证进而依赖于由技术人员12输入正确的个人识别码并将其用于对认证文件28进行认证,如上所述。
现在参考图7,图7为包括生成在图1的系统10中使用的认证文件的替代方法中的步骤的流程图700。框702-710的步骤基本上对应于上面参考图2描述的框202-210的步骤。在服务器18上运行的授权应用程序被配置成生成登录细节的数字签名,该登录细节包括输入的个人识别码、用户名、生成的到期值以及任选地访问权(框712)。在服务器18上运行的授权应用程序被配置成将数字签名(通常以明文形式)、到期文件(通常以明文形式)和访问权(通常以明文形式)作为认证文件存储在移动存储设备22中(框714)。
现在参考图8,图8为包括验证认证文件以提供对图1的系统10中的计算资源14的访问的替代方法中的步骤的流程图800。框802-806的步骤基本上对应于上面参考图5描述的框502-506的步骤。
在处理电路系统34上运行的认证应用程序被配置成响应于到期值(存储在移动存储设备22中的认证文件中)、用户名(其任选地在框804的步骤处由技术人员12输入)、PIC(在框804的步骤处输入)以及任选地访问权来验证数字签名,以对到期值、用户名、PIC以及任选地访问权进行认证(框808)。在一些示例性模式中,处理电路系统34被配置成响应于公钥基础结构的公钥来验证数字签名。
在处理电路系统34上运行的认证应用程序被配置成检查到期值(存储在移动存储设备22中的认证文件中)尚未到期(框810)。任选地,处理电路系统34被配置成检查包括在登录细节中的访问权(例如,许可、访问级别或用户类型),以基于经验证的访问权来验证技术人员是否被授权访问所请求的功能性或允许和/或禁止功能性。在处理电路系统34上运行的认证应用程序被配置成响应于到期值、用户名和PIC被认证(使用数字签名)并且到期值尚未到期,提供对在用户名下登录的计算资源14的访问(任选地,根据经验证的访问权)(框812)。
现在参考图9,图9为其中存储有与图1的系统一起使用的具有更多数据的认证文件28的图4的移动存储设备22的示意图。图9中所示的认证文件28可包括用户撤销列表900和/或公钥列表902以及其他数据。
在一些示例性模式中,认证文件28还可包括用户撤销列表900,该用户撤销列表列出已撤销但未到期的认证文件的用户和/或已撤销但未到期的认证文件。例如,Eve和Mallory等技术人员已离职,但他们在移动存储设备22上的认证文件28在接下来的几周内仍然有效。因此,Eve和Mallory可使用他们各自的移动存储设备22非法访问计算资源14。如果当前雇用的技术人员Alice在此时间段期间请求新的认证文件,则可将列出Eve和Mallory两者(例如,他们的电子邮件、用户名和/或其他识别细节,诸如为他们生成的未到期认证文件的细节)的用户撤销列表900添加到新的认证文件28,使得当Alice登录到不同的设备时,用户撤销列表900可被复制到相应的设备,以便当Eve和Mallory尝试登录到那些设备时,将基于该用户撤销列表阻止Eve和Mallory。因此,请求认证文件并基于认证文件登录到设备的过程导致用户撤销列表900被复制到设备。用户撤销列表900被包括在认证文件28中,并且数字签名(框404)还对用户撤销列表900进行数字签名(例如,使用当前私钥),使得当用户登录到设备时,可检查用户撤销列表900的真实性。
认证文件28还可包括识别用户撤销列表900的版本的版本识别904。版本识别904可包括用于跟踪用户撤销列表900的最新版本的版本号和/或日期,如参考图10更详细描述的。例如,当Alice登录到医疗设备时,该医疗设备检查包括在Alice的认证文件28中的用户撤销列表900的版本ID904(例如,日期)是否比存储在医疗设备的存储器中的用户撤销列表的版本ID新。如果确实新,则医疗设备将其存储的用户撤销列表替换为在Alice的认证文件中找到的列表。
用户撤销列表900可包括不再被授权连接到双因素授权系统10中的设备的用户的列表,例如不再为服务计算资源14的公司工作的技术人员。用户撤销列表900可包括不再被授权连接到双因素授权系统10中的设备但仍可访问未到期认证文件28的用户的列表。用户撤销列表900可包括用户、用户名、用户电子邮件地址和/或诸如分配给被撤销用户的认证文件28的其他识别信息的列表。
尽管不同的未连接处理设备上的每个计算资源都加载有用于验证签名等的至少一个公钥,但公钥可能到期,或者私钥-公钥对可能被泄露。因此,重要的是生成一个或多个备用私钥-公钥对,并在设备上加载至少一个备用公钥。然而,这是有问题的,因为这些设备可能没有通过网络连接。应当指出的是,在将新私钥的公钥副本分发到现场的所有设备之前,不能使用新私钥。为了简化转换,认证文件28可用于分发备用公钥,如下文更详细描述的。
因此,在一些示例性模式中,认证文件28还可包括至少一个备用公钥。例如,如果当前雇用的技术人员Alice请求新的认证文件,则可将一个或多个备用公钥添加到新的认证文件28,使得当Alice登录到不同的设备时,备用公钥可被复制到相应的设备以供以后使用。因此,请求认证文件并基于认证文件28登录到设备的过程导致备用公钥被复制到设备。备用公钥可被包括在认证文件28中,并且数字签名(框404)还对备用公钥进行数字签名(例如,使用当前私钥),使得当用户登录到设备时,可检查备用公钥的真实性。
认证文件28还可包括识别公钥列表902的版本的版本识别906。版本识别906可包括用于跟踪公钥列表902的最新版本的版本号和/或日期,如参考图10更详细描述的。公钥列表902可包括一个或多个备用公钥(例如,PK2),这些备用公钥被保留以供未来在双因素授权系统10中使用,例如,在当前使用的公钥(例如,PK1)到期时使用,或者在与当前使用的公钥相关联的私钥以某种方式被泄露的情况下使用。公钥列表902还可包括当前使用的公钥(例如,PK1)。例如,当Alice登录到医疗设备时,该医疗设备检查包括在Alice的认证文件28中的公钥列表902的版本ID 906(例如,日期)是否比存储在医疗设备的存储器中的公钥列表的版本ID新。如果确实新,则医疗设备将其存储的公钥列表替换为在Alice的认证文件28中找到的列表。
数字签名(框404)可(例如,由服务器18和/或计算设备24)使用当前使用的私钥(例如,对应于PK1的私钥)来生成,以用于响应于当前使用的公钥(例如,PK1)进行验证,并可对以下任一项或多项进行数字签名:登录细节(到期值(框400)、用户名(框402)、访问权(框408))以及用户撤销列表900和公钥列表902。因此,存储认证文件28的移动存储设备22存储以下任一项或多项:用户撤销列表900、公钥列表902、用户撤销列表900的版本识别904和/或公钥列表902的版本识别906。可对认证文件28进行加密(框406)。
现在参考图10,图10为包括验证认证文件28以提供对图1的系统10中的计算资源14的访问并替换其中的旧的用户撤销列表和/或旧的公钥列表的替代方法中的步骤的流程图1000。
数据接口30被配置成连接到移动存储设备22(框1002),该移动存储设备存储以下任一项或多项:数字签名(图9的框404)(对以下任一项或多项进行数字签名:登录细节、用户撤销列表900、版本识别904、公钥列表902(例如,包括PK2备用公钥)和/或版本识别906);用户撤销列表900;公钥列表902;版本识别904;版本识别906;以及登录细节(诸如到期值、用户名、访问权)。
任选地,处理电路系统34被配置成接收诸如用户名和PIC的登录数据的用户输入(框1004)。处理电路系统34被配置成从移动存储设备22接收以下任一项或多项:数字签名(框404);用户撤销列表900;公钥列表902(包括备用公钥,例如,PK2);版本识别904;版本识别906;以及任选地登录细节(框1006)。
处理电路系统34被配置成响应于以下任一项或多项,使用当前公钥(例如,PK1)来验证所接收的数字签名:登录数据(包括在认证文件28的登录细节中或在框1004的步骤处由用户输入);用户撤销列表900;公钥列表902;版本识别904;版本识别906,从而对以下任一项或多项进行认证:登录用数据;以及包括在公钥列表902中的备用公钥;用户撤销列表900;版本识别904;和/或版本识别906(框1008)。例如,处理电路系统34可被配置成执行上面参考图1至图8所描述的其他检查,以检查认证文件28的到期值是否仍然有效(框1010)。处理电路系统34被配置成响应于经认证的登录数据和所执行的其他检查来提供对计算资源14中的一个计算资源的访问(框1012)。
在一些示例性模式中,处理电路系统34被配置成响应于经认证的用户撤销列表900的版本识别904指示经认证的用户撤销列表900(存储在移动存储设备22的认证文件28中)比旧的用户撤销列表(由当前正在访问的处理设备16存储和使用)新,将旧的用户撤销列表的使用替换为经认证的用户撤销列表900(框1014)。在一些示例性模式中,处理电路系统34被配置成响应于新的公钥列表902的版本识别906指示新的公钥列表902比旧的公钥列表(由当前正在访问的处理设备16存储和使用)新,将旧的公钥列表的使用替换为新的公钥列表902。应当指出的是,旧的用户撤销列表900和/或旧的公钥列表902可被删除,或可由处理设备16存储但不使用。
处理设备16中的处理电路系统34被配置成响应于经认证的用户撤销列表900,拒绝对计算资源14的访问(框1016)。例如,如果用户撤销列表900上的用户尝试访问处理设备16的计算资源14,则将拒绝该访问。
处理设备16中的处理电路系统34被配置成响应于备用公钥被认证(即,当公钥列表902通过认证时),使用备用公钥(例如,PK2)来验证附加数字签名(例如,针对到处理设备16的不同登录)(框1018)。
一旦所有未连接设备16获知新的公钥,就可使用新公钥的私钥对新认证文件28进行签名。从那时起,存储在认证文件28中的公钥列表902不需要包括旧的公钥,并最终,随着未连接设备16中的公钥列表902被替换,所有这些设备16都会忘记旧的公钥。
实施例
实施例1:一种用来对用户进行认证的方法,包括:连接到移动存储设备(22),该移动存储设备存储登录细节的数字签名(404)和到期值(400),该登录细节至少包括用户名(402)和到期值;从移动存储设备接收数字签名和到期值;接收个人识别码的用户输入;响应于到期值和用户名来验证数字签名,以对到期值和用户名进行认证;检查到期值尚未到期;以及响应于到期值和用户名被认证、到期值尚未到期和个人识别码,提供对在用户名下登录的计算资源(14)的访问。
实施例2:根据实施例1所述的方法,其中:登录细节包括至少一个访问权(408);该验证包括响应于到期值、用户名和至少一个访问权来验证数字签名,以对到期值、用户名和至少一个访问权进行认证;该检查包括检查至少一个访问权以验证对功能性的访问是否被授权;以及该提供访问包括根据经验证的至少一个访问权提供对计算资源的访问。
实施例3:根据实施例1或2所述的方法,其中,移动存储设备以加密形式存储到期值,该方法还包括响应于个人识别码来对到期值进行解密。
实施例4:根据实施例1至3中任一项所述的方法,其中,移动存储设备以加密形式存储用户名,该方法还包括响应于个人识别码来对用户名进行解密。
实施例5:根据实施例1至4中任一项所述的方法,其中,移动存储设备以加密形式存储数字签名,该方法还包括响应于个人识别码来对数字签名进行解密。
实施例6:根据实施例1至5中任一项所述的方法,还包括响应于个人识别码,对以下中的至少一项进行对称解密:到期值;用户名;和数字签名。
实施例7:根据实施例1至6中任一项所述的方法,其中,分别响应于公钥基础结构的公钥和私钥来生成和验证数字签名。
实施例8:根据实施例1至7中任一项所述的方法,还包括:接收用户名的用户输入;以及响应于到期值、用户名和个人识别码来验证数字签名,以对到期值、用户名和个人识别码进行认证。
实施例9:根据实施例1至8中任一项所述的方法,还包括:将web服务器连接到移动存储设备;由web服务器接收用户名、密码和个人识别码的用户输入;由web服务器生成到期值;生成登录细节的数字签名;以及响应于对密码的认证,将登录细节的数字签名和到期值存储在移动存储设备中。
实施例10:根据实施例9所述的方法,还包括响应于个人识别码来对到期值进行加密,其中该存储包括将经加密的到期值存储在移动存储设备中。
实施例11:根据实施例9或10所述的方法,还包括响应于个人识别码来对用户名进行加密,其中该存储包括将经加密的用户名存储在移动存储设备中。
实施例12:根据实施例9至11中任一项所述的方法,还包括响应于个人识别码来对数字签名进行加密,其中该存储包括将经加密的数字签名存储在移动存储设备中。
实施例13:根据实施例9至12中任一项所述的方法,其中,登录细节包括个人识别码。
实施例14:根据实施例1至13中任一项所述的方法,其中,移动存储设备存储用户撤销列表,并且数字签名对登录细节和用户撤销列表进行数字签名,该方法还包括:从移动存储设备接收用户撤销列表;响应于用户撤销列表来验证数字签名,以对用户撤销列表进行认证;以及响应于经认证的用户撤销列表,拒绝对计算资源的访问。
实施例15:根据实施例14所述的方法,其中,移动存储设备存储用户撤销列表的版本识别,该方法还包括响应于经认证的用户撤销列表的版本识别指示经认证的用户撤销列表比旧的用户撤销列表新,将旧的用户撤销列表的使用替换为经认证的用户撤销列表。
实施例16:根据实施例1至15中任一项所述的方法,其中,分别响应于公钥基础结构的第一公钥和第一私钥来生成和验证数字签名;移动存储设备存储第二公钥,并且数字签名对登录细节和第二公钥进行数字签名,该方法还包括:从移动存储设备接收第二公钥;响应于第一公钥来验证数字签名,以对第二公钥进行认证;以及响应于第二公钥被认证,利用第二公钥验证附加数字签名。
实施例17:根据实施例16所述的方法,其中,移动存储设备存储包括第一公钥和第二公钥的新的公钥列表,以及新的公钥列表的版本识别,该方法还包括响应于新的公钥列表的版本识别指示新的公钥列表比旧的公钥列表新,将旧的公钥列表的使用替换为新的公钥列表。
实施例18:一种用来对用户进行认证的方法,包括:连接到移动存储设备(22),该移动存储设备存储用户撤销列表(900)以及登录细节和用户撤销列表的数字签名(404);从移动存储设备接收数字签名和用户撤销列表;响应于用户撤销列表和登录数据来验证数字签名,以对用户撤销列表和包括在登录细节中的登录数据进行认证;响应于经认证的登录数据,提供对计算资源(12)的访问;以及响应于经认证的用户撤销列表,拒绝对计算资源的访问。
实施例19:根据实施例18所述的方法,其中,移动存储设备存储用户撤销列表的版本识别(904),该方法还包括响应于经认证的用户撤销列表的版本识别指示经认证的用户撤销列表比旧的用户撤销列表新,将旧的用户撤销列表的使用替换为经认证的用户撤销列表。
实施例20:一种用来对用户进行认证的方法,包括:连接到移动存储设备(22),该移动存储设备存储:数字签名(404),该数字签名响应于第一私钥而生成,以用于响应于第一公钥、第二公钥进行验证,该数字签名对登录细节和第二公钥进行数字签名;从移动存储设备接收数字签名和第二公钥;响应于第一公钥来验证数字签名,以对第二公钥和包括在登录细节中的登录数据进行认证;以及响应于经认证的登录数据,提供对计算资源(12)的访问;响应于第二公钥被认证,利用第二公钥验证附加数字签名。
实施例21:根据实施例20所述的方法,其中,移动存储设备存储包括第一公钥和第二公钥的新的公钥列表(902),以及新的公钥列表的版本识别(906),该方法还包括响应于新的公钥列表的版本识别指示新的公钥列表比旧的公钥列表新,将旧的公钥列表的使用替换为新的公钥列表。
实施例22:一种用来对用户进行认证的系统,包括处理设备(16),该处理设备包括:数据接口(30),该数据接口被配置成连接到移动存储设备(22),该移动存储设备存储登录细节的数字签名(404)和到期值(400),该登录细节至少包括用户名(402)和到期值;用户输入设备(32);以及处理电路系统(34),该处理电路系统被配置成:从移动存储设备接收数字签名和到期值;经由用户输入设备接收个人识别码的用户输入;响应于到期值和用户名来验证数字签名,以对到期值和用户名进行认证;检查到期值尚未到期;以及响应于到期值和用户名被认证、到期值尚未到期和个人识别码,提供对在用户名下登录的计算资源(12)的访问。
实施例23:根据实施例22所述的系统,其中:登录细节包括至少一个访问权(408);以及处理电路系统被配置成:响应于到期值、用户名和至少一个访问权来验证数字签名,以对到期值、用户名和至少一个访问权进行认证;检查至少一个访问权以验证对功能性的访问是否被授权;以及根据经验证的至少一个访问权提供对计算资源的访问。
实施例24:根据实施例22或23所述的系统,其中:移动存储设备被配置成以加密形式存储到期值;以及处理电路系统被配置成响应于个人识别码来对到期值进行解密。
实施例25:根据实施例22至24中任一项所述的系统,其中:移动存储设备被配置成以加密形式存储用户名;以及处理电路系统被配置成响应于个人识别码来对用户名进行解密。
实施例26:根据实施例22至25中任一项所述的系统,其中:移动存储设备被配置成以加密形式存储数字签名;以及处理电路系统被配置成响应于个人识别码来对数字签名进行解密。
实施例27:根据实施例22至26中任一项所述的系统,其中,处理电路系统被配置成响应于个人识别码,对以下中的至少一项进行对称解密:到期值;用户名;和数字签名。
实施例28:根据实施例22至27中任一项所述的系统,其中,处理电路系统被配置成响应于公钥基础结构的公钥来验证数字签名。
实施例29:根据实施例22至28中任一项所述的系统,其中,处理电路系统被配置成:接收用户名的用户输入;以及响应于到期值、用户名和个人识别码来验证数字签名,以对到期值、用户名和个人识别码进行认证。
实施例30:根据实施例22至29中任一项所述的系统,还包括服务器,该服务器被配置成:连接到移动存储设备;接收用户名、密码和个人识别码的用户输入;生成到期值;生成登录细节的数字签名;以及响应于对密码的认证,将登录细节的数字签名和到期值存储在移动存储设备中。
实施例31:根据实施例30所述的系统,其中,服务器被配置成响应于公钥基础结构的私钥来生成数字签名。
实施例32:根据实施例30或31所述的系统,其中,服务器被进一步配置成:响应于个人识别码来对到期值进行加密;以及将经加密的到期值存储在移动存储设备中。
实施例33:根据实施例30至32中任一项所述的系统,其中,服务器被进一步配置成:响应于个人识别码来对用户名进行加密;以及将经加密的用户名存储在移动存储设备中。
实施例34:根据实施例30至33中任一项所述的系统,其中,服务器被进一步配置成:响应于个人识别码来对数字签名进行加密;以及将经加密的数字签名存储在移动存储设备中。
实施例35:根据实施例30至34中任一项所述的系统,其中,登录细节包括个人识别码。
实施例36:根据实施例22至35中任一项所述的系统,其中:移动存储设备存储用户撤销列表,并且数字签名对登录细节和用户撤销列表进行数字签名;以及处理电路系统被配置成:从移动存储设备接收数字签名和用户撤销列表;响应于用户撤销列表来验证数字签名,以对用户撤销列表进行认证;以及响应于经认证的用户撤销列表,拒绝对计算资源的访问。
实施例37:根据实施例36所述的系统,其中:移动存储设备存储用户撤销列表的版本识别;以及处理电路系统被配置成响应于经认证的用户撤销列表的版本识别指示经认证的用户撤销列表比旧的用户撤销列表新,将旧的用户撤销列表的使用替换为经认证的用户撤销列表。
实施例38:根据实施例22至37中任一项所述的系统,其中,分别响应于公钥基础结构的公钥和私钥来生成和验证数字签名;移动存储设备存储第二公钥,并且数字签名对登录细节和第二公钥进行数字签名;以及处理电路系统被配置成:从移动存储设备接收数字签名和第二公钥;响应于第一公钥来验证数字签名,以对第二公钥进行认证;以及响应于第二公钥被认证,利用第二公钥验证附加数字签名。
实施例39:根据实施例38所述的系统,其中:移动存储设备存储:包括第一公钥和第二公钥的新的公钥列表;以及新的公钥列表的版本识别;以及处理电路系统被配置成响应于新的公钥列表的版本识别指示新的公钥列表比旧的公钥列表新,将旧的公钥列表的使用替换为新的公钥列表。
实施例40:一种用来对用户进行认证的系统,包括:数据接口(30),该数据接口被配置成连接到移动存储设备(22),该移动存储设备存储用户撤销列表(900)和数字签名(404),该数字签名对登录细节和用户撤销列表进行数字签名;以及处理电路系统(34),该处理电路系统被配置成:从移动存储设备接收数字签名和用户撤销列表;响应于用户撤销列表和登录数据来验证数字签名,以对用户撤销列表和包括在登录细节中的登录数据进行认证;响应于经认证的登录数据,提供对计算资源(12)的访问;以及响应于经认证的用户撤销列表,拒绝对计算资源的访问。
实施例41:根据实施例40所述的系统,其中:移动存储设备存储用户撤销列表的版本识别(904);以及处理电路系统被配置成响应于经认证的用户撤销列表的版本识别指示经认证的用户撤销列表比旧的用户撤销列表新,将旧的用户撤销列表的使用替换为经认证的用户撤销列表。
实施例42:一种用来对用户进行认证的系统,包括:数据接口(30),该数据接口连接到移动存储设备(22),该移动存储设备存储:数字签名(404),该数字签名响应于第一私钥而生成,以用于响应于第一公钥、第二公钥进行验证,该数字签名对登录细节和第二公钥进行数字签名;以及处理电路系统(36),该处理电路系统被配置成:从移动存储设备接收数字签名和第二公钥;响应于第一公钥来验证数字签名,以对第二公钥和包括在登录细节中的登录数据进行认证;响应于经认证的登录数据,提供对计算资源的访问;响应于第二公钥被认证,利用第二公钥验证附加数字签名。
实施例43:根据实施例42所述的系统,其中:移动存储设备存储包括第一公钥和第二公钥的新的公钥列表(902),以及新的公钥列表的版本识别(906);以及处理电路系统被配置成响应于新的公钥列表的版本识别指示新的公钥列表比旧的公钥列表新,将旧的公钥列表的使用替换为新的公钥列表。
为清晰起见,在独立示例性模式的上下文中描述的本公开的各种特征也可在单个示例性模式中组合提供。相反地,为简明起见,本公开的各种特征在单个示例性模式的上下文中进行描述,也可单独地或以任何合适的子组合形式提供。
上述示例性模式以举例的方式被引用,并且本公开不受上文具体示出和描述的内容的限制。相反,本公开的范围包括上文描述的各种特征的组合和子组合以及它们的变型和修改,本领域的技术人员在阅读上述描述时将会想到该变型和修改,并且该变型和修改并未在现有技术中公开。
Claims (43)
1.一种用来对用户进行认证的方法,包括:
连接到移动存储设备,所述移动存储设备存储登录细节的数字签名和到期值,所述登录细节至少包括用户名和所述到期值;
从所述移动存储设备接收所述数字签名和所述到期值;
接收个人识别码的用户输入;
响应于所述到期值和所述用户名来验证所述数字签名,以对所述到期值和所述用户名进行认证;
检查所述到期值尚未到期;以及
响应于所述到期值和所述用户名被认证、所述到期值尚未到期和所述个人识别码,提供对在所述用户名下登录的计算资源的访问。
2.根据权利要求1所述的方法,其中:
所述登录细节包括至少一个访问权;
所述验证包括响应于所述到期值、所述用户名和所述至少一个访问权来验证所述数字签名,以对所述到期值、所述用户名和所述至少一个访问权进行认证;
所述检查包括检查所述至少一个访问权以验证对功能性的访问是否被授权;以及
所述提供访问包括根据经验证的至少一个访问权提供对所述计算资源的访问。
3.根据权利要求1所述的方法,其中,所述移动存储设备以加密形式存储所述到期值,所述方法还包括响应于所述个人识别码来对所述到期值进行解密。
4.根据权利要求3所述的方法,其中,所述移动存储设备以加密形式存储所述用户名,所述方法还包括响应于所述个人识别码来对所述用户名进行解密。
5.根据权利要求1所述的方法,其中,所述移动存储设备以加密形式存储所述数字签名,所述方法还包括响应于所述个人识别码来对所述数字签名进行解密。
6.根据权利要求1所述的方法,还包括响应于所述个人识别码,对以下中的至少一项进行对称解密:所述到期值;所述用户名;和所述数字签名。
7.根据权利要求1所述的方法,其中,分别响应于公钥基础结构的公钥和私钥来生成和验证所述数字签名。
8.根据权利要求1所述的方法,还包括:
接收所述用户名的用户输入;以及
响应于所述到期值、所述用户名和所述个人识别码来验证所述数字签名,以对所述到期值、所述用户名和所述个人识别码进行认证。
9.根据权利要求1所述的方法,还包括:
将web服务器连接到所述移动存储设备;
由所述web服务器接收所述用户名、密码和所述个人识别码的用户输入;
由所述web服务器生成所述到期值;
生成所述登录细节的所述数字签名;以及
响应于对所述密码的认证,将所述登录细节的所述数字签名和所述到期值存储在所述移动存储设备中。
10.根据权利要求9所述的方法,还包括响应于所述个人识别码来对所述到期值进行加密,其中所述存储包括将经加密的到期值存储在所述移动存储设备中。
11.根据权利要求10所述的方法,还包括响应于所述个人识别码来对所述用户名进行加密,其中所述存储包括将经加密的用户名存储在所述移动存储设备中。
12.根据权利要求9所述的方法,还包括响应于所述个人识别码来对所述数字签名进行加密,其中所述存储包括将经加密的数字签名存储在所述移动存储设备中。
13.根据权利要求9所述的方法,其中,所述登录细节包括所述个人识别码。
14.根据权利要求1所述的方法,其中,所述移动存储设备存储用户撤销列表,并且所述数字签名对所述登录细节和所述用户撤销列表进行数字签名,所述方法还包括:
从所述移动存储设备接收所述用户撤销列表;
响应于所述用户撤销列表来验证所述数字签名,以对所述用户撤销列表进行认证;以及
响应于经认证的用户撤销列表,拒绝对所述计算资源的访问。
15.根据权利要求14所述的方法,其中,所述移动存储设备存储所述用户撤销列表的版本识别,所述方法还包括响应于经认证的用户撤销列表的所述版本识别指示经认证的用户撤销列表比旧的用户撤销列表新,将所述旧的用户撤销列表的使用替换为经认证的用户撤销列表。
16.根据权利要求1所述的方法,其中:
分别响应于公钥基础结构的第一公钥和第一私钥来生成和验证所述数字签名;
所述移动存储设备存储第二公钥,并且所述数字签名对所述登录细节和所述第二公钥进行数字签名,所述方法还包括:
从所述移动存储设备接收所述第二公钥;
响应于所述第一公钥来验证所述数字签名,以对所述第二公钥进行认证;以及
响应于所述第二公钥被认证,利用所述第二公钥验证附加数字签名。
17.根据权利要求16所述的方法,其中,所述移动存储设备存储包括所述第一公钥和所述第二公钥的新的公钥列表,以及所述新的公钥列表的版本识别,所述方法还包括响应于所述新的公钥列表的所述版本识别指示所述新的公钥列表比旧的公钥列表新,将所述旧的公钥列表的使用替换为所述新的公钥列表。
18.一种用来对用户进行认证的方法,包括:
连接到移动存储设备,所述移动存储设备存储用户撤销列表以及登录细节和所述用户撤销列表的数字签名;
从所述移动存储设备接收所述数字签名和所述用户撤销列表;
响应于所述用户撤销列表和登录数据来验证所述数字签名,以对所述用户撤销列表和包括在所述登录细节中的所述登录数据进行认证;
响应于经认证的登录数据,提供对计算资源的访问;以及
响应于经认证的用户撤销列表,拒绝对所述计算资源的访问。
19.根据权利要求18所述的方法,其中,所述移动存储设备存储所述用户撤销列表的版本识别,所述方法还包括响应于经认证的用户撤销列表的所述版本识别指示经认证的用户撤销列表比旧的用户撤销列表新,将所述旧的用户撤销列表的使用替换为所述经认证的用户撤销列表。
20.一种用来对用户进行认证的方法,包括:
连接到移动存储设备,所述移动存储设备存储:数字签名,所述数字签名响应于第一私钥而生成,以用于响应于第一公钥、第二公钥进行验证,所述数字签名对登录细节和所述第二公钥进行数字签名;
从所述移动存储设备接收所述数字签名和所述第二公钥;
响应于所述第一公钥来验证所述数字签名,以对所述第二公钥和包括在所述登录细节中的登录数据进行认证;以及
响应于经认证的登录数据,提供对计算资源的访问;
响应于所述第二公钥被认证,利用所述第二公钥验证附加数字签名。
21.根据权利要求20所述的方法,其中,所述移动存储设备存储包括所述第一公钥和所述第二公钥的新的公钥列表,以及所述新的公钥列表的版本识别,所述方法还包括响应于所述新的公钥列表的所述版本识别指示所述新的公钥列表比旧的公钥列表新,将所述旧的公钥列表的使用替换为所述新的公钥列表。
22.一种用来对用户进行认证的系统,包括处理设备,所述处理设备包括:
数据接口,所述数据接口被配置成连接到移动存储设备,所述移动存储设备存储登录细节的数字签名和到期值,所述登录细节至少包括用户名和所述到期值;
用户输入设备;以及
处理电路系统系统,所述处理电路系统系统被配置成:从所述移动存储设备接收所述数字签名和所述到期值;经由所述用户输入设备接收个人识别码的用户输入;响应于所述到期值和所述用户名来验证所述数字签名,以对所述到期值和所述用户名进行认证;检查所述到期值尚未到期;以及响应于所述到期值和所述用户名被认证、所述到期值尚未到期和所述个人识别码,提供对在所述用户名下登录的计算资源的访问。
23.根据权利要求22所述的系统,其中:
所述登录细节包括至少一个访问权;以及
所述处理电路系统系统被配置成:
响应于所述到期值、所述用户名和所述至少一个访问权来验证所述数字签名,以对所述到期值、所述用户名和所述至少一个访问权进行认证;
检查所述至少一个访问权以验证对功能性的访问是否被授权;以及
根据经验证的至少一个访问权提供对所述计算资源的访问。
24.根据权利要求22所述的系统,其中:
所述移动存储设备被配置成以加密形式存储所述到期值;以及
所述处理电路系统系统被配置成响应于所述个人识别码来对所述到期值进行解密。
25.根据权利要求24的系统,其中:
所述移动存储设备被配置成以加密形式存储所述用户名;以及
所述处理电路系统系统被配置成响应于所述个人识别码来对所述用户名进行解密。
26.根据权利要求22所述的系统,其中:
所述移动存储设备被配置成以加密形式存储所述数字签名;以及
所述处理电路系统系统被配置成响应于所述个人识别码来对所述数字签名进行解密。
27.根据权利要求22所述的系统,其中,所述处理电路系统系统被配置成响应于所述个人识别码,对以下中的至少一项进行对称解密:所述到期值、所述用户名和所述数字签名。
28.根据权利要求22所述的系统,其中,所述处理电路系统系统被配置成响应于公钥基础结构的公钥来验证所述数字签名。
29.根据权利要求22所述的系统,其中,所述处理电路系统系统被配置成:
接收所述用户名的用户输入;以及
响应于所述到期值、所述用户名和所述个人识别码来验证所述数字签名,以对所述到期值、所述用户名和所述个人识别码进行认证。
30.根据权利要求22所述的系统,还包括服务器,所述服务器被配置成:
连接到所述移动存储设备;
接收所述用户名、密码和所述个人识别码的用户输入;
生成所述到期值;
生成所述登录细节的所述数字签名;以及
响应于对所述密码的认证,将所述登录细节的所述数字签名和所述到期值存储在所述移动存储设备中。
31.根据权利要求30所述的系统,其中,所述服务器被配置成响应于公钥基础结构的私钥来生成所述数字签名。
32.根据权利要求30所述的系统,其中,所述服务器被配置成:
响应于所述个人识别码来对所述到期值进行加密;以及
将经加密的到期值存储在所述移动存储设备中。
33.根据权利要求32所述的系统,其中,所述服务器被配置成:
响应于所述个人识别码来对所述用户名进行加密;以及
将经加密的用户名存储在所述移动存储设备中。
34.根据权利要求30所述的系统,其中,所述服务器被配置成:
响应于所述个人识别码来对所述数字签名进行加密;以及
将经加密的数字签名存储在所述移动存储设备中。
35.根据权利要求30所述的系统,其中,所述登录细节包括所述个人识别码。
36.根据权利要求22所述的系统,其中:
所述移动存储设备存储用户撤销列表,并且所述数字签名对所述登录细节和所述用户撤销列表进行数字签名;以及
所述处理电路系统系统被配置成:
从所述移动存储设备接收所述用户撤销列表;
响应于所述用户撤销列表来验证所述数字签名,以对所述用户撤销列表进行认证;以及
响应于经认证的用户撤销列表,拒绝对所述计算资源的访问。
37.根据权利要求36的系统,其中:
所述移动存储设备存储所述用户撤销列表的版本识别;以及
所述处理电路系统系统被配置成响应于经认证的用户撤销列表的所述版本识别指示经认证的用户撤销列表比旧的用户撤销列表新,将所述旧的用户撤销列表的使用替换为所述经认证的用户撤销列表。
38.根据权利要求22所述的系统,其中:
分别响应于公钥基础结构的第一公钥和第一私钥来生成和验证所述数字签名;
所述移动存储设备存储第二公钥,并且所述数字签名对所述登录细节和所述第二公钥进行数字签名;以及
所述处理电路系统系统被配置成:
从所述移动存储设备接收所述第二公钥;
响应于所述第一公钥来验证所述数字签名,以对所述第二公钥进行认证;以及
响应于所述第二公钥被认证,利用所述第二公钥验证附加数字签名。
39.根据权利要求38所述的系统,其中:
所述移动存储设备存储:包括所述第一公钥和所述第二公钥的新的公钥列表;以及所述新的公钥列表的版本识别;以及
所述处理电路系统系统被配置成响应于所述新的公钥列表的所述版本识别指示所述新的公钥列表比旧的公钥列表新,将所述旧的公钥列表的使用替换为所述新的公钥列表。
40.一种用来对用户进行认证的系统,包括:
数据接口,所述数据接口被配置成连接到移动存储设备,所述移动存储设备存储用户撤销列表和数字签名,所述数字签名对登录细节和所述用户撤销列表进行数字签名;以及
处理电路系统系统,所述处理电路系统系统被配置成:
从所述移动存储设备接收所述数字签名和所述用户撤销列表;
响应于所述用户撤销列表和登录数据来验证所述数字签名,以对所述用户撤销列表和包括在所述登录细节中的所述登录数据进行认证;
响应于经认证的登录数据,提供对计算资源的访问;以及
响应于经认证的用户撤销列表,拒绝对所述计算资源的访问。
41.根据权利要求40所述的系统,其中:
所述移动存储设备存储所述用户撤销列表的版本识别;以及
所述处理电路系统系统被配置成响应于经认证的用户撤销列表的所述版本识别指示经认证的用户撤销列表比旧的用户撤销列表新,将所述旧的用户撤销列表的使用替换为所述经认证的用户撤销列表。
42.一种用来对用户进行认证的系统,包括:
数据接口,所述数据接口连接到移动存储设备,所述移动存储设备存储:数字签名,所述数字签名响应于第一私钥而生成,以用于响应于第一公钥、第二公钥进行验证,所述数字签名对登录细节和所述第二公钥进行数字签名;以及
处理电路系统系统,所述处理电路系统系统被配置成:
从所述移动存储设备接收所述数字签名和所述第二公钥;
响应于所述第一公钥来验证所述数字签名,以对所述第二公钥和包括在所述登录细节中的登录数据进行认证;
响应于经认证的登录数据,提供对计算资源的访问;
响应于所述第二公钥被认证,利用所述第二公钥验证附加数字签名。
43.根据权利要求42所述的系统,其中:
所述移动存储设备存储包括所述第一公钥和所述第二公钥的新的公钥列表,以及所述新的公钥列表的版本识别;以及
所述处理电路系统系统被配置成响应于所述新的公钥列表的所述版本识别指示所述新的公钥列表比旧的公钥列表新,将所述旧的公钥列表的使用替换为所述新的公钥列表。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163174269P | 2021-04-13 | 2021-04-13 | |
| US63/174269 | 2021-04-13 | ||
| US17/665,384 US20220329577A1 (en) | 2021-04-13 | 2022-02-04 | Two-Factor Authentication to Authenticate Users in Unconnected Devices |
| US17/665384 | 2022-02-04 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115208559A true CN115208559A (zh) | 2022-10-18 |
Family
ID=81325729
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210387381.8A Pending CN115208559A (zh) | 2021-04-13 | 2022-04-13 | 用来对未连接设备中的用户进行认证的双因素认证 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220329577A1 (zh) |
| EP (1) | EP4075725A1 (zh) |
| JP (1) | JP2022162998A (zh) |
| CN (1) | CN115208559A (zh) |
| IL (1) | IL291811A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115941360A (zh) * | 2023-02-10 | 2023-04-07 | 杭州堃博生物科技有限公司 | 数据交互的安全验证方法、装置、存储介质以及电子设备 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100843494B1 (ko) * | 2001-11-06 | 2008-07-04 | 인터내셔널 비지네스 머신즈 코포레이션 | 데이터 공급 방법 및 시스템, 디지털 서명 제공 방법 및 시스템, 전자 재산의 소유권 이전 방법 및 시스템, 전자 투표 방법 및 시스템, 및 컴퓨터 프로그램을 기록한 컴퓨터로 판독 가능한 기록 매체 |
| US7440571B2 (en) * | 2002-12-03 | 2008-10-21 | Nagravision S.A. | Method for securing software updates |
| JP4509611B2 (ja) * | 2004-03-18 | 2010-07-21 | 東芝ソリューション株式会社 | 電子署名保証システム、プログラム及び装置 |
| US7565527B2 (en) * | 2005-02-14 | 2009-07-21 | Tricipher, Inc. | Technique for asymmetric crypto-key generation |
| US8321953B2 (en) | 2005-07-14 | 2012-11-27 | Imation Corp. | Secure storage device with offline code entry |
| US8046587B2 (en) * | 2005-12-12 | 2011-10-25 | Qualcomm Incorporated | Method off-line authentication on a limited-resource device |
| US20080010452A1 (en) * | 2006-07-07 | 2008-01-10 | Michael Holtzman | Content Control System Using Certificate Revocation Lists |
| US7958540B2 (en) * | 2006-12-11 | 2011-06-07 | Infosys Technologies Ltd. | Method for conducting real-time execution of transactions in a network |
| US20090038007A1 (en) * | 2007-07-31 | 2009-02-05 | Samsung Electronics Co., Ltd. | Method and apparatus for managing client revocation list |
| EP2037651A1 (en) * | 2007-09-12 | 2009-03-18 | ABB Technology AG | Method and system for accessing devices in a secure manner |
| US8635442B2 (en) * | 2009-04-28 | 2014-01-21 | Adobe Systems Incorporated | System and method for long-term digital signature verification utilizing light weight digital signatures |
| US8756706B2 (en) * | 2010-10-12 | 2014-06-17 | Blackberry Limited | Method for securing credentials in a remote repository |
| WO2013100905A1 (en) | 2011-12-27 | 2013-07-04 | Intel Corporation | Method and system for distributed off-line logon using one-time passwords |
| WO2013123453A1 (en) | 2012-02-16 | 2013-08-22 | Master Lock Company | Data storage devices, systems, and methods |
| AU2015214271B2 (en) | 2014-02-04 | 2019-06-27 | Visa International Service Association | Token verification using limited use certificates |
| US9654463B2 (en) * | 2014-05-20 | 2017-05-16 | Airwatch Llc | Application specific certificate management |
| US9450760B2 (en) * | 2014-07-31 | 2016-09-20 | Nok Nok Labs, Inc. | System and method for authenticating a client to a device |
| CN106487743B (zh) * | 2015-08-25 | 2020-02-21 | 阿里巴巴集团控股有限公司 | 用于支持多用户集群身份验证的方法和设备 |
| US10326733B2 (en) | 2015-12-30 | 2019-06-18 | Symantec Corporation | Systems and methods for facilitating single sign-on for multiple devices |
-
2022
- 2022-02-04 US US17/665,384 patent/US20220329577A1/en active Pending
- 2022-03-30 IL IL291811A patent/IL291811A/en unknown
- 2022-04-12 EP EP22167779.2A patent/EP4075725A1/en active Pending
- 2022-04-12 JP JP2022065574A patent/JP2022162998A/ja active Pending
- 2022-04-13 CN CN202210387381.8A patent/CN115208559A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115941360A (zh) * | 2023-02-10 | 2023-04-07 | 杭州堃博生物科技有限公司 | 数据交互的安全验证方法、装置、存储介质以及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4075725A1 (en) | 2022-10-19 |
| US20220329577A1 (en) | 2022-10-13 |
| JP2022162998A (ja) | 2022-10-25 |
| IL291811A (en) | 2022-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11770261B2 (en) | Digital credentials for user device authentication | |
| US10382427B2 (en) | Single sign on with multiple authentication factors | |
| US8392702B2 (en) | Token-based management system for PKI personalization process | |
| US10523441B2 (en) | Authentication of access request of a device and protecting confidential information | |
| CN106537403B (zh) | 用于从多个装置访问数据的系统 | |
| KR102318637B1 (ko) | 데이터 전송 방법, 데이터의 사용 제어 방법 및 암호 장치 | |
| KR102202547B1 (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
| US10567370B2 (en) | Certificate authority | |
| JP4861423B2 (ja) | 情報処理装置および情報管理方法 | |
| KR100561629B1 (ko) | 보안 정보 통합 관리 시스템 및 그 방법 | |
| JP2009519557A (ja) | 資源が限られている装置におけるオフライン認証方法 | |
| US20120311331A1 (en) | Logon verification apparatus, system and method for performing logon verification | |
| US12107956B2 (en) | Information processing device, information processing method, and non-transitory computer readable storage medium | |
| JPH05298174A (ja) | 遠隔ファイルアクセスシステム | |
| EP4075725A1 (en) | Two-factor authentication to authenticate users in unconnected devices | |
| JP6712707B2 (ja) | 複数のサービスシステムを制御するサーバシステム及び方法 | |
| JP2004140636A (ja) | 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム | |
| US20230016488A1 (en) | Document signing system for mobile devices | |
| JP4219076B2 (ja) | 電子文書管理方法、電子文書管理システム及び記録媒体 | |
| CN114978771B (zh) | 一种基于区块链技术的数据安全共享方法及系统 | |
| RU2805668C1 (ru) | Предоставление и получение одного или более наборов данных через сеть цифровой связи | |
| Seo | The Future of Digital Authentication: Blockchain-driven Decentralized Authentication in Web 3.0 | |
| CN116781345A (zh) | 基于区块链的带有zpk和crf的电子医疗记录访问控制方法 | |
| CA3164251A1 (en) | Providing and obtaining one or more data sets via a digital communication network | |
| Alrodhan | Privacy and practicality of identity management systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |