用于资源请求的条形码认证的制作方法
用于资源请求的条形码认证的制作方法
【专利说明】
[0001] 相关申请
[0002] 本申请要求于2013年2月8日提交的标题为"用于资源请求的条形码认证 (BARCODE AUTHENTICATION FOR RESOURCE REQUESTS)" 的美国申请 13/763, 116 的优先权。
技术领域
[0003] 本公开的实施例涉及数据处理领域并且更具体地涉及使用条形码认证资源请求 的领域。
[0004] 背景
[0005] 当前存在用于认证请求在线资源的用户的很多方法。这些方法的范围从要求相对 少的安全性的方法到要求附加安全层的方法。
[0006] 要求相对少的安全性的一种认证方法由用于认证用户的存在的质询-响应 (challenge-response)所代表。在质询-响应场景中,用户被呈现计算机容易生成但是计 算机难以解析的质询。这种情况的一个示例是常用的CAPTCHA屏幕,其中单词或短语的失 真图像被作为质询呈现给用户并且用户能够解密失真图像并且做出响应,由此验证用户的 存在。质询-响应认证(诸如CAPTCHA)的问题是易于受到恶意软件攻击。
[0007] 要求附加安全层的认证方法由多因素认证所代表。在多因素认证中,通常使用用 户所知道的(即,用户名和口令)以及用户所具有的(即,RSA安全ID表链(fob))两者来 认证用户。然而,这些认证方法能够受到中间人攻击(MITM)损害。这种认证方法还承受以 下事实:驻留在RSA安全ID表链上的相同算法必须还驻留在认证服务器上并且这两个方法 必须对相同的种子值进行动作以便正确地认证用户。这造成了不必要的冗余和低效。如果 这种算法在任一端受到损害,则这两个设备上的方法必须改变。
[0008] 附图简述
[0009]图1描绘根据本公开的某些实施例的说明性计算系统。
[0010] 图2是根据本公开的某些实施例的图1的计算系统中的服务器的说明性配置的简 图。
[0011] 图3是根据本公开的某些实施例的图1的计算系统中的移动设备的一种可能配置 的简图。
[0012] 图4是根据本公开的某些实施例的图1的计算系统中的客户机设备的一种可能配 置的简图。
[0013] 图5是根据本公开的某些实施例的客户机设备的说明性资源请求的流程图。
[0014] 图6是根据本公开的某些实施例的服务器的说明性资源请求的流程图。
[0015] 图7是根据本公开的某些实施例的移动设备上的说明性令牌提取的流程图。
[0016]图8描绘根据本公开的某些实施例的说明性登录屏幕。
[0017] 说明性实施方案的详细说明
[0018] 描述了与客户机-服务器认证相关联的移动设备、客户机设备和服务器。在实施 例中,该移动设备可包括相机和令牌提取器。该令牌提取器可耦合到该相机并且被配置成 用于分析该相机所捕获的图像。所捕获的图像可包含条形码并且响应于服务器请求访问资 源可被显示在客户机设备上。该条形码可包含令牌,该令牌可由该令牌提取器提取以便用 于访问服务器所请求的资源。例如,所请求的资源可以是应用,条形码可以是快速响应(QR) 码,并且移动设备可以是智能电话。
[0019] 在以下详细描述中,参考形成其一部分并且通过可实践的说明实施例示出的附 图,其中,相同的标号指示相同的部件。应当理解可使用其他实施例以及可在不背离本公开 的范围的情况下做出结构或逻辑改变。因此,不应以限制性的意义解释以下详细描述,并且 实施例的范围由所附权利要求书及其等效方案定义。
[0020] 各操作可被描述为按顺序的多个离散动作或操作,其方式为最有助于理解所要求 保护的主题。然而,描述的顺序不应被解释为暗示这些操作必需依赖于顺序。具体而言,可 不按展示顺序执行这些操作。可以用不同于所描述的实施例的顺序执行所描述的操作。可 执行各附加操作和/或可在附加实施例中忽略所描述的操作。
[0021] 为了本公开的目的,短语"A和/或B"是指(A)、⑶、或(A和B)。为了本公开的 目的,短语 "A、B 和 / 或 C" 是指(A)、(B)、(C)、(A 和 B)、(A 和 C)、(B 和 C)或(A、B 和 C)。 本描述可使用短语"在一实施例中"或"在实施例中",其可各自指代相同或不同实施例中的 一个或多个。此外,如结合本公开的实施例所使用的,术语"包括"、"包含"、"具有(having) " 等等是同义的。
[0022] 图1描绘适合实践本公开的某些实施例的说明性计算安排。如所示,该计算安排 可由通过网络108连接到客户机设备104的服务器102组成。在实施例中,用户可使用客 户机设备104请求服务器102所提供的资源或者通过其请求资源。响应于该请求,服务器 102可生成包含令牌的条形码并且将条形码传输到客户机设备以便用于认证。客户机设备 可在接收到条形码时将条形码显示给客户机设备的用户。
[0023] 在实施例中,移动设备106可用于解码包含在条形码(在该图中描绘为QR码、显 示在客户机设备104上)中的数据并且输出至少一部分解码数据(诸如令牌)以便用于使 得能访问所请求的资源。在某些实施例中,移动设备106可能已经之前被预设成以特定于 移动设备106的方式解码包含在条形码中的数据,并且服务器102可能已经以相应的方式 编码条形码。在某些实施例中,服务器102可在对资源的请求中传递标识例如移动设备106 和/或移动设备106的用户的或者设备和/或用户标识符。在某些实施例中,用户标识符 可由服务器102作为交叉引用用于在表、数据库或本地地存储在服务器102上或者远程地 存储在另一个服务器上的其他类似的存储库中定位设备标识符。
[0024] 在某些实施例中,可以特定于移动设备106的方式编码条形码,从而使得条形码 本身的解码可做为认证移动设备106的用户的措施进行动作以便授权访问所请求的资源。 例如,在某些实施例中,如果所请求的资源要求多因素认证,用户所输入的口令可以是认证 的一个因素,同时移动设备106解码条形码从而提取令牌并且将该令牌输入到客户机设备 104中可以是认证中的后续因素。在本示例中,未授权用户或恶意计算机程序将不能提取辅 助认证所需的信息,即使未授权用户或恶意计算程序能够捕获显示在客户机设备上的条形 码。
[0025] 在某些实施例中,移动设备特定编码可替代用户名和口令使用。例如,在某些实施 例中,用户可能已经之前就所请求的资源设置过登录策略,从而使得访问所请求的资源所 需的所有东西是包含在条形码中的令牌。在某些实施例中,特定编码可在用户已经忘记所 请求的资源的口令的情况中使用。在这些情况中,令牌可用于获得对所请求的资源的访问 和/或发起口令改变。此外,在某些实施例中,移动设备特定编码可用于生成一次性口令 (OTP),从而使得授权用户无需记住静态口令,并且未授权用户或恶意计算机程序不能通过 尝试打破口令例如通过蛮力攻击访问资源。
[0026] 在某些实施例中,无需以特定于移动设备106的方式编码条形码。例如,在某些实 施例中,如果所请求的资源仅要求用户存在认证,条形码可总体上由服务器102编码,从而 使得移动设备106可以能够解码条形码而无需先前配置。在这些实施例中,一旦令牌被输 入到客户机设备104中,移动设备106解码条形码以便提取令牌的动作可足以认证用户的 存在。
[0027] 在某些实施例中,可以特定于所请求的资源的方式编码条形码。在这种实施例中, 移动设备106可被预设成针对所请求的资源解码条形码。在某些实施例中,将设备预设成 基于所请求的资源解码条形码可通过在尝试解码条形码之前向所请求的资源注册移动设 备106执行。例如,在某些实施例中,用户可使用移动设备106通过连接到服务器(诸如服 务器102)注册移动设备106。响应于连接,服务器102可在移动设备106上安装解码算法 以便稍后代表所请求的资源用于解码由客户机设备104所显示的条形码。
[0028] 在某些实施例中,无需注册移动设备106以便使得解码与获得对资源的访问相关 联的条形码。在某些实施例中,可使用任何计算机可读介质方式作为递送机制通过安装合 适的解码算法或密钥配置移动设备106。
[0029] 在某些实施例中,可以特定于移动设备106和所请求的资源两者的方式编码条形 码。在某些实施例中,可以所标识的方式通过利用所请求的资源的标识符和用户和/或移 动设备106的标识符两者以便实现唯一标识符从而在编码方法中使用来编码条形码。在某 些实施例中,如上所述,可在解码条形码之前预设移动设备106从而使得移动设备106能解 码这种条形码。
[0030] 移动设备106可根据某些实施例从用户接收输入以便标识已经为哪个所请求的 资源编码了表形码。例如,在某些实施例中,用户可被呈现有已经在移动设备106上预设 的 资源算法或密钥列表。
[0031] 用户可从该列表选择与请求相关联的资源,从而选择用其解码条形码的合适算法 或密钥。在某些实施例中,所请求的资源的身份可被编码在一部分条形码中,从而使得该部 分可以能够被解码而无需所请求的资源的知识。在这些情况下,资源的解码身份可用于标 识合适的算法以便解码条形码的剩余部分并且提取令牌,该令牌然后可被输入到客户机设 备104中以便用于认证。
[0032] 在实施例中,所请求的资源可由服务器102提供。在其他实施例中,服务器102可 充当中间程序并且将资源请求路由到一个或多个其他服务器(诸如资源服务器110)从而 实现资源请求。在某些实施例中,服务器102可执行所请求的认证,而不管服务器102是否 可提供所请求的资源。在其他实施例中,认证可由可提供所请求的资源的资源服务器110 之一来执行。
[0033] 在某些实施例中,所请求的资源可以是客户机设备104和服务器102之间的安 全连接。在这些情况下,令牌可由加密密钥组成。加密密钥可如上所述由移动设备106 解码并且输入到客户机设备104中以便由客户机设备104用于通过网络108向服务器 102发送和从服务器102接收经加密的传输。在这些情况下,所提取的令牌的输入和用 该令牌正确加密的消息的传输可充当足够的认证机制。在某些实施例中,令牌可以是 Diffie-Hellman (迪斐-海尔曼)加密密钥。
[0034] 在某些实施例中,可通过以字母数字格式显示所提取的令牌将所提取的令牌输入 到客户机设备104中,从而使得移动设备106的用户可手动地将令牌输入到客户机设备104 中。在其他实施例中,可通过无线数据连接将令牌传输到客户机设备104。在某些实施例 中,该无线数据连接可包括但不限于蓝牙、无线USB或近场通信(NFC)通道或其他无线数据 连接。
[0035] 尽管客户机设备104在图1中被描绘为膝上计算机,将认识到可使用能够执行客 户机设备104的功能的任何合适的计算设备而不背离本公开的范围。然后将认识到客户 机设备104可以是任何便携式或非便携式计算设备,诸如但不限于膝上计算机、桌上计算 机、手持式计算设备、公共门户(诸如公用电话亭、终端,诸如在用于接受信用卡支付的结 账队伍中所使用的那些)、或能够显示登录屏幕或条形码的任何其他设备(诸如在图8中描 绘的)。网络108可以是任何类型的有线或无线网络,包括但不限于局域网(LAN)、广域网 (WAN)、蜂窝网络和互联网。可使用适合传输请求数据的任何网络而不背离本公开的范围。 还将认识到网络108可包括一个或多个有线和/或无线网络而不背离本公开的范围。本公 开是等同地可应用的,而不管网络的类型和/或组成如何。
[0036] 图2描绘根据本公开的某些实施例的服务器102的说明性配置。服务器102可包 括处理器200、网络接口卡(NIC) 202和存储设备204。处理器200、NIC 202和存储设备204 可使用系统总线206全部耦合在一起。
[0037] 处理器200在某些实施例中可以是单个处理器或在其他实施例中可由多个处理 器组成。在某些实施例中,该多个处理器可具有相同的类型,即,同构的,或者它们可具有不 同的类型,即,异构的,并且可包括任何类型的单核或多核处理器。本公开是等同地可应用 的,而不管处理器的类型和/或数量如何。
[0038] 在实施例中,NIC 202可被服务器102用于访问网络108。在实施例中,NIC 202 可用于从客户机设备104接收请求或者对其做出响应。在实施例中,NIC 202可用于访问有 线或无线网络;本公开是等同地可应用的。NIC 202还可在此被称为网络适配器、LAN适配 器或无线NIC,针对本公开的目的其可被视为同义词,除非上下文明确地以其他方式指明; 并且因此,这些术语可互换地使用。
[0039] 在实施例中,存储设备204可以是任何类型的计算机可读存储介质或不同类型的 计算机可读存储介质的任何组合。例如,在实施例中,存储设备204可包括但不限于固态驱 动器(SSD)、磁或光盘硬驱动器、易失性或非易失性、动态或静态随机存取存储器、闪存、或 其任何多个或组合。在实施例中,存储设备可存储指令,当由处理器200执行时,这些指令 致使服务器102执行以下参照图6所描述的过程的一个或多个操作。在某些实施例中,存储 设备204可包含记录数据库,诸如交叉引用用户标识符与合适的移动设备标识符的表格。
[0040] 图3描绘根据本公开的某些实施例的图1的计算系统中的移动设备106的一种可 能配置。移动设备106可由耦合到相机302的令牌提取器300组成。在某些实施例中,移 动设备106还可包括显示器304和/或近场通信(NFC)收发器306,其中之一或两者也可耦 合到令牌提取器300。
[0041] 在某些实施例中,令牌提取器300包括耦合到一个或多个计算机可读存储介质的 一个或多个处理器。该一个或多个计算机可读存储介质可包括指令,当由该一个或多个处 理器执行时,这些指令致使移动设备106执行以下参照图7描述的过程中的一个或多个。在 其他实施例中,令牌提取器300可由致使移动设备106执行以下参照图7描述的一个或多 个过程的任何数量的硬件和/或软件组件组成。
[0042] 该一个或多个处理器可以是任何类型的单核或多核处理器或其任何组合。本公开 是等同地可应用的,而不管处理器的类型和/或数量如何。相机302、显示器304、和/或 NFC收发器306可全部包含在移动设备106中,或者这些组件中的一个或多个可外围地附接 到移动设备106而不背离本公开的范围。
[0043]图4描绘根据本公开的某些实施例的图1的计算系统中的客户机设备104的一种 可能配置。客户机设备104可由一个或多个处理器400、存储器402、网络接口卡(NIC) 406、 以及显示器408组成。在某些实施例中,移动设备106还可包括近场通信(NFC)收发器104。 所有这些组件可通过总线410耦合到一起。
[0044] 在具有多于一个处理器的实施例中,处理器可具有相同的类型,即,同构的,或者 它们可具有不同的类型,即,异构的。此外,该一个或多个处理器可以是任何类型的单核或 多核处理器。本公开是等同地可应用的,而不管处理器的类型和/或数量如何。
[0045] 在实施例中,NIC 402可被客户机设备104用于访问网络108。在实施例中,NIC 402可用于发送请求和/或从服务器102接收请求。在实施例中,NIC 402可用于访问有线 或无线网络,本公开是等同地可应用的并且本公开不限于此。NIC 402还可在此被称为网络 适配器、LAN适配器或无线NIC,针对本公开的目的其可被视为同义词,除非上下文明确地 以其他方式指明。因此,这些术语可互换地使用。
[0046] 在实施例中,存储器402可以是任何类型的计算机可读存储介质或不同类型的计 算机可读存储介质的任何组合。例如,在实施例中,存储器402可包括但不限于固态驱动器 (SSD)、磁或光盘硬驱动器、易失性或非易失性、动态或静态随机存取存储器、闪存、或其任 何多个或组合。在实施例中,存储器402可存储指令,当由处理器200执行时,这些指令致 使客户机设备104执行以下参照图5所描述的过程的一个或多个操作。
[0047] 图5描绘根据本公开的某些实施例的客户机设备104的说明性资源请求的流程 图。在实施例中,过程可在框500开始,其中客户机设备104可接收请求资源的输入。在某 些实施例中,该输入可接收自用户。在其他实施例中,该输入可接收自请求访问该资源的应 用。在实施例中,所请求的资源可包括但不限于应用、网站、web服务或安全数据连接。
[0048] 在框502中,客户机设备104可生成在进行服务器102的资源请求时传输的信息。 在某些实施例中,这可包括从在框500中所接收的输入提取所请求的资源的标识符,诸如 统一源资定位符(URL)、IP地址等等。在某些实施例中,这可包括从在框500中所接收的输 入提取用户和/或移动设备标识符。在其他实施例中,客户机设备104可从存储器402检 索用户和/或移动设备106的标识符。在某些实施例中,客户机设备104可针对用户和/ 或移动设备标识符提醒给用户。
[0049] 作为示例,在某些实施例中,当客户机设备104接收到请求资源的输入时,客户机 设备104可尝试从存储在客户机设备104的存储器402中的cookie检索用户和/或移动 设备的标识符。如果用户和/或移动设备的标识符不能被检索到,即,合适的cookie尚未 被存储在存储器402中,用户可被提醒输入用户和/或移动设备的合适标识符。
[0050] 在框504中,资源请求与所请求的资源的标识符一起可被转发到服务器102。在 实施例中,被转发到服务器102的资源请求还可包括用户和/或移动设备的标识符。在某 些实施例中,服务器102可 针对所请求的资源要求用户和/或移动设备的标识符并且服务 器102可向客户机设备104发送请求,从而向客户机设备104请求用户和/或移动设备的 标识符,如果这种标识符未被包括在请求中,或者以其他方式对服务器102可用。
[0051] 在框506中,客户机设备104可从服务器102接收条形码,诸如QR码。在某些实 施例中,条形可被嵌入在登录屏幕中,诸如在图8中描绘的登录屏幕。在某些实施例中,条 形码可被与服务器102所传输的任何其他数据分开地接收。如以上参照图1所讨论的,在 某些实施例中,条形码的编码可依赖于所请求的资源和/或用户和/或移动设备的标识符。
[0052] 在框508中,客户机设备104可在显示器408上渲染条形码。在某些实施例中,客 户机设备104可使用安全显示通道渲染条形码,包括但不限于英特尔的保护音频视频路径 (PAVP)。用户然后可利用移动设备106解码条形码并且提取令牌,如以上参照图1所讨论 的。
[0053] 一旦条形码已经被解码并且令牌已经被提取,移动设备106可向客户机设备104 输出所提取的令牌。在框510中,客户机设备104可接收令牌作为输入。如以上参照图1 所讨论的,令牌可被手动地输入到客户机设备104中或者其可通过移动设备106和客户机 设备104之间的有线或无线数据连接传输。在框512中,客户机设备104可然后向服务器 102传输输入令牌。接下来,服务器102可至少部分地基于所提取的令牌认证资源请求。接 下来,在框514中,客户机设备104可接收对所请求的资源的访问的授权或拒绝,这取决于 认证的成功。
[0054] 图6是根据本公开的某些实施例的服务器102的说明性资源请求的流程图。在实 施例中,过程可在框600开始,其中服务器102可从客户机设备104接收对资源的请求,诸 如由客户机设备104在图5的框504中所传输的请求。在实施例中,该请求可包括所请求 的资源的标识符。在某些实施例中,该请求还可包括用户和/或移动设备的标识符。
[0055] 在框602中,服务器102可从所接收的请求提取资源标识符。在某些实施例中,月艮 务器102还可提取用户和/或移动设备的标识符,其中这种标识符已经被包括在请求中。在 框604中,服务器102可生成令牌。在某些实施例中,令牌可仅在预定的时间量内有效和/ 或单次使用有效。在框606中,令牌可被编码到条形码中。条形码然后被以任何格式编码并 且可以是任何类型的1维或2维条形码,包括但不限于QR码。如以上参照图1所讨论的, 条形码可被以通用方式编码,或者可被以特定于所请求的资源和/或移动设备106的方式 编码。在某些实施例中,条形码可由服务器签名以便向移动设备106验证服务器102。
[0056] 在框608,条形码然后可被传输到客户机设备104,其中其可被显示给客户机设备 104的用户。用户然后可利用移动设备106解码条形码,该移动设备从条形码提取令牌并且 输出将在框610中被输入到客户机设备104并且发送到服务器102以便认证的令牌。在框 612中,基于认证成功,服务器102然后可授权或拒绝对所请求的资源的访问。在某些实施 例中,如上所述,移动设备106可被专门地预设成用于解码条形码并且仅这种专门预设的 移动设备能够解码条形码。
[0057] 图7描绘根据本公开的某些实施例的移动设备106上的令牌提取的说明性流程 图。过程可在框700中开始,其中可扫描在客户机设备104上显示的图像。在框702,然后 可从所扫描的图像提取条形码。在框704中,移动设备106然后可解码条形码。在某些实 施例中,在解码条形码之前,移动设备106可要求口令或个人标识号(PIN)。如以上参照图 1所讨论的,该解码可以是通用的或者可特定于移动设备和/或资源。在框706中,移动设 备106然后可从所解码的条形码提取令牌。在某些实施例中,可通过解析所解码的数据提 取令牌。令牌然后可由移动设备106输出。在某些实施例中,可通过以字母数字格式显示令 牌来输出令牌,从而使得其可由用户手动地输入到客户机设备104中。在某些实施例中,可 经由移动设备106和客户机设备104之间的有线或无线数据连接输出令牌。在解码可特定 于移动设备106的实施例中,未授权用户/设备或恶意计算机程序将不能提取辅助认证所 需的信息。这是因为即使未授权用户/设备或恶意计算机程序能够捕获在客户机设备104 上显示的条形码,其未被预设成能够解码条形码,如以上参照图1所讨论的。
[0058] 图8描绘根据本公开的某些实施例的说明性登录屏幕800。在某些实施例中,登录 屏幕800可在服务器102处生成并且可显示在客户机设备104上。在某些实施例中,条形 码810可利用英特尔的保护音频视频路径(PAVP)、ARM有限公司的TrustZone?或另一种 形式的图形处理单元内容保护(GPU-CP)在显示器部分808中显示。在某些实施例中,条形 码810可被显示给可使用移动设备106解码条形码并从所解码的条形码提取令牌的用户。 在某些实施例中,用户可将所提取的令牌输入到令牌输入框812中。在某些实施例中,用户 可替代地选择通过点击NFC按钮804输入所提取的令牌以便利用近场通信(NFC)数据连接 输入所提取的令牌。在其他实施例中,用户可仅需要用客户机设备的一部分轻击移动设备 106以便经由NFC传递令牌。在某些实施例中,用户和/或移动设备标识符可被包含在web 浏览器的cookie中。在某些实施例中,cookie中的标识符可能不对应于客户机设备104的 当前用户并且用户可需要通过点击改变用户按钮806输入对应于当前用户和/或移动设备 的新标识符。在将令牌输入到客户机设备104中之后,用户可激活登录按钮802以便将令 牌提交给服务器102以便认证。基于认证结果,用户可被授权或拒绝对所请求的资源的访 问。
[0059] 本公开的实施例可采取完全硬件实施例、完全软件实施例或包含硬件和软件元素 两者的实施例的形式。在各实施例中,软件可包括但不限于固件、驻留软件、微代码等等。此 外,本公开可采取可从提供程序代码以便由或结合计算机或任何指令执行系统使用的计算 机可用或计算机可读介质访问的计算机程序产品的形式。
[0060] 为了本描述的目的,计算机可用或计算机可读介质可以是可包含、存储、传递、传 播或传输程序以便由或结合指令执行系统、装置或设备使用的任何装置。介质可以是电、 磁、光、电磁、红外或半导体系统(或装置或设备)或传播介质。计算机可读介质的示例 包括半导体或固态存储器、磁带、可移除计算机磁盘、随机存取存储器(RAM)、只读存储器 (ROM)、刚性硬盘和光盘。光盘的当前示例包括致密盘-只读存储器(CD-ROM)、致密盘-读 / 写(CD-R/W)和 DVD。
[0061] 因此,在此所描述的内容包括移动设备以及至少一个计算机可读存储介质。在实 施例中,移动设备可包括相机和与相机耦合的令牌提取器。令牌提取器可被配置成用于分 析相机从客户机设备的显示器捕获的图像并且可从图像提取条形码。条形码可包含令牌并 且响应于客户机设备请求访问资源可被显示在客户机设备上。令牌提取器可被进一步配置 成用于提取包含在条形码中的令牌并且可使得令牌能用于获得对资源的所请求的访问。
[0062] 在某些实施例中,移动设备可包括存储器和耦合到存储器和相机的处理器。令牌 提取器可驻留在存储器中并且可由处理器执行。在某些实施例中,移动设备还可包括认证 模块,该认证模块被配置成在执行令牌提取器以使得用户能使用令牌获得对所请求的资源 的访问之前认证用户。
[0063] 在实施例中,令牌提取器可被进一步配置成通过使用与资源相关联的算法提取包 含在条形码中的令牌以便解码条形码从而从条形码获得数据。令牌提取器可从数据提取令 牌。
[0064] 在实施例中,移动设备还可包括与令牌提取器耦合的近场通信(NFC)收发器。令 牌提取器可被配置成通过NFC收发器向客户机设备传输令牌从而使得能使用令牌获得对 资源的所请求的访问。在某些实施例中,令牌提取器可被配置成显示所提取的令牌从而使 得能通过用户输入令牌到客户机设备中来使用令牌获得对所请求的资源的访问。在某些实 施例中,条形码可以是矩阵条形码。在某些实施例中,条形码可以是QR码。在某些实施例 中,所请求的资源可以是应用。
[0065] 在实施例中,该至少一个计算机可读存储介质可包括指令,当由客户机设备执行 时,这些指令致使客户机向服务器传输访问资源的请求。请求可包括标识移动设备的标识 符。当由客户机设备执行时,这些指令还致使客户机设备在客户机设备的显示器上渲染来 自服务器的响应,从而使得包含在响应中的条形码内的令牌能被解码。令牌然后可被传输 回服务器以便认证客户机设备。可至少部分地基于将移动设备标识为解码设备的标识符编 码条形码。在某些实施例中,标识符以cookie的形式存储在客户机设备中。
[0066] 在实施例中,当由客户机设备执 行时,这些指令可进一步使得客户机设备接受令 牌作为输入并且将令牌传输给服务器。在实施例中,当由客户机设备执行时,这些指令可进 一步使得客户机设备能经由客户机设备的近场通信收发器接受令牌作为输入。
[0067] 在实施例中,当由客户机设备执行时,这些指令可进一步使得客户机设备能经由 到客户机设备上的显示器的安全通道在客户机设备的显示器上渲染条形码。在某些实施例 中,安全通道可以是保护音频视频路径(PAVP)。
[0068] 在实施例中,资源可以是服务器和客户机设备之间的安全数据通道。在条形码中 传输的令牌可以是将被客户机设备用于加密传输到服务器的数据并且解密经由安全数据 通道从服务器接收的数据的密码密钥。在某些实施例中,密码密钥可以是Diffie-Hellman 密钥。
[0069] 在实施例中,该至少一个计算机可读存储介质可包括指令,响应于由服务器执行, 这些指令将服务器配置为从客户机设备接收访问资源的请求。响应于由服务器执行,这些 指令将服务器配置为响应于请求生成包含令牌的条形码并且将条形码传输到客户机设备。 条形码可在客户机设备上显示以便使得能由移动设备使用相机提取令牌并且用于向服务 器认证客户机设备的用户从而使得服务器能授权所请求的访问。
[0070] 在实施例中,当由服务器执行时,这些指令可将服务器配置为从客户机设备接收 响应、确定响应是否包括令牌并且至少部分地基于确定结果授权或拒绝所请求的访问。在 实施例中,用于生成包含令牌的条形码的这些指令在由服务器执行这些指令时可进一步将 服务器配置为以特定于移动设备的方式用令牌编码条形码。在实施例中,请求可进一步包 括移动设备的标识符并且特定于移动设备和所请求的资源两者的格式至少部分地基于标 识符。
[0071] 在实施例中,当由服务器执行时,这些指令进一步将服务器配置为生成用于访问 所请求的资源的登录页。登录页可至少包含条形码并且将条形码传输到客户机设备进一步 包括以能够向用户显示的格式将登录页传输到客户机设备。
[0072] 在某些实施例中,条形码可以是矩阵条形码。在各实施例中,条形码可以是QR码。 在某些实施例中,所请求的资源可以是应用。在某些实施例中,令牌是一次性口令(OTP)。
[0073] 尽管已经在此展示和描述了特定实施例,本领域普通技术人员将认识到各种各样 的替代和/或等效实现方式可在不背离所公开的技术的实施例的范围的情况下替换所展 示和描述的特定实施例。本申请旨在覆盖在此讨论的实施例的任何适配或变化。因此,主 要旨在本公开的实施例仅由以下权利要求书及其等效方案限制。
【主权项】
1. 一种用于从条形码提取令牌的移动设备,所述移动设备包括: 相机;以及 令牌提取器,所述令牌提取器耦合到所述相机并且被配置成: 分析由所述相机从客户机设备的显示器捕获的图像并且从所述图像提取条形码,其中 所述条形码包含令牌并且响应于所述客户机设备请求访问资源而被显示在所述客户机设 备上; 提取包含在所述条形码中的所述令牌;以及 使得所述令牌能被用于获得对所述资源的所请求的访问。2. 如权利要求1所述的移动设备,其特征在于,所述移动设备进一步包括: 存储器;以及 处理器,其耦合到所述存储器和所述相机;并且 其中,所述令牌提取器驻留在所述存储器中并且由所述处理器执行。3. 如权利要求2所述的移动设备,其特征在于,进一步包括认证模块,所述认证模块被 配置成: 在执行所述令牌提取器以使得用户能使用所述令牌来获得对所请求的资源的访问之 前认证所述用户。4. 如权利要求1至3中任一项所述的移动设备,其特征在于,所述令牌提取器被配置成 通过使用与所述资源相关联的算法提取包含在所述条形码中的所述令牌,以解码所述条形 码从而从所述条形码获得数据;以及从所述数据提取所述令牌。5. 如权利要求1至3中任一项所述的移动设备,其特征在于,进一步包括与所述令牌提 取器耦合的近场通信(NFC)收发器; 其中所述令牌提取器被配置成通过所述NFC收发器向所述客户机设备传输所述令牌 从而使得能使用所述令牌来获得对所述资源的所请求的访问。6. 如权利要求1至3中任一项所述的移动设备,其特征在于,所述令牌提取器被配置成 显示所提取的令牌从而使得能经由用户输入所述令牌到所述客户机设备中来使用所述令 牌获得对所请求的资源的访问。7. 如权利要求1至3中任一项所述的移动设备,其特征在于,所述条形码是QR码。8. 如权利要求1至3中任一项所述的移动设备,其特征在于,所请求的资源是应用。9. 一种用于从服务器请求资源的方法,包括: 由客户机设备向服务器传输访问资源的请求,其中所述请求包括将移动设备标识为解 码设备的标识符; 由所述客户机设备在所述客户机设备的显示器上渲染来自所述服务器的响应,从而使 得包含在在所述响应中的条形码中的令牌能被解码并被传输回所述服务器以便认证所述 客户机设备,其中至少部分地基于将所述移动设备标识为所述解码设备的所述标识符来编 码所述条形码。10. 如权利要求9所述的方法,其特征在于,所述标识符以cookie的形式存储在所述客 户机设备上。11. 如权利要求9所述的方法,其特征在于,进一步包括: 由所述客户机设备将所述令牌接受为输入;以及 由所述客户机设备将所述令牌传输到所述服务器。12. 如权利要求9所述的方法,其特征在于,将所述令牌接受为输入进一步包括通过所 述客户机设备的近场通信收发器接受所述令牌。13. 如权利要求9所述的方法,其特征在于,在所述客户机的所述显示器渲染所述条形 码是在所述客户机设备上通过到所述显示器的安全通道实现的。14. 如权利要求9至13中任一项所述的方法,其特征在于,所述资源是所述服务器和所 述客户机设备之间的安全数据通道,并且在所述条形码中传输的所述令牌是将被所述客户 机设备用来加密传输到所述服务器的数据以及解密通过所述安全数据通道从所述服务器 接收的数据的密码密钥。15. 如权利要求15所述的方法,其特征在于,所述密码密钥是DifTie-Hellman密钥。16.-种用于管理资源请求的方法,包括: 由所述服务器从客户机设备接收访问资源的请求; 由所述服务器响应于所述请求生成包含令牌的条形码;以及 由所述服务器将所述条形码传输到所述客户机设备,其中所述条形码将在所述客户机 设备上显示以便使得能由移动设备使用相机提取所述令牌并用于向所述服务器认证所述 客户机设备的所述用户从而使得所述服务器能授权所请求的访问。17. 如权利要求16所述的方法,其特征在于,进一步包括: 由所述服务器从所述客户机设备接收响应; 由所述服务器确定所述响应是否包括所述令牌;以及 至少部分地基于所述确定的结果授权或拒绝所请求的访问。18. 如权利要求16所述的方法,其特征在于,生成包含令牌的所述条形码进一步包括 以特定于所述移动设备的方式用令牌编码所述条形码。19. 如权利要求16所述的方法,其特征在于,生成包含令牌的所述条形码进一步包括 以特定于所述移动设备和所请求的资源两者的方式用令牌编码所述条形码。20. 如权利要求19所述的方法,其特征在于,所述请求进一步包括所述移动设备的标 识符并且特定于所述移动设备和所请求的资源两者的所述格式至少部分地基于所述标识 符。21. 如权利要求16至20中任一项所述的方法,其特征在于,进一步包括生成用于访问 至少包含所述条形码的所请求的资源的登录页,并且其中,将所述条形码传输到所述客户 机设备进一步包括以能够向用户显示的格式将所述登录页传输到所述客户机设备。22. 如权利要求16至20中任一项所述的方法,其特征在于,所述矩阵条形码是QR码。23. 如权利要求16至20中任一项所述的方法,其特征在于,所请求的资源是应用。24. -种包括用于执行如权利要求9至23中任一项所述的计算机实现的方法的装置的 计算设备。25. -种包括指令的计算机可读存储介质,当由计算设备执行时,所述指令致使所述计 算设备执行如权利要求9至23中任一项所述的方法。
【专利摘要】描述了与客户机-服务器认证相关联的移动设备、客户机设备和服务器。在实施例中,该移动设备可包括相机和令牌提取器。该令牌提取器可耦合到该相机并且被配置成分析该相机所捕获的图像。所捕获的图像可包含条形码并且响应于服务器请求访问资源可被显示在客户机设备上。该条形码可包含令牌,该令牌可由该令牌提取器提取以便用于访问服务器所请求的资源。可描述和/或要求保护其他实施例。
【IPC分类】G06F21/30, G06T7/00, G06F21/36
【公开号】CN104903904
【申请号】CN201480004266
【发明人】G·普拉卡什, V·拉马穆尔蒂, H·李, J·沃克
【申请人】英特尔公司
【公开日】2015年9月9日
【申请日】2014年1月13日
【公告号】EP2954451A1, US20140230039, WO2014123663A1
【专利说明】
[0001] 相关申请
[0002] 本申请要求于2013年2月8日提交的标题为"用于资源请求的条形码认证 (BARCODE AUTHENTICATION FOR RESOURCE REQUESTS)" 的美国申请 13/763, 116 的优先权。
技术领域
[0003] 本公开的实施例涉及数据处理领域并且更具体地涉及使用条形码认证资源请求 的领域。
[0004] 背景
[0005] 当前存在用于认证请求在线资源的用户的很多方法。这些方法的范围从要求相对 少的安全性的方法到要求附加安全层的方法。
[0006] 要求相对少的安全性的一种认证方法由用于认证用户的存在的质询-响应 (challenge-response)所代表。在质询-响应场景中,用户被呈现计算机容易生成但是计 算机难以解析的质询。这种情况的一个示例是常用的CAPTCHA屏幕,其中单词或短语的失 真图像被作为质询呈现给用户并且用户能够解密失真图像并且做出响应,由此验证用户的 存在。质询-响应认证(诸如CAPTCHA)的问题是易于受到恶意软件攻击。
[0007] 要求附加安全层的认证方法由多因素认证所代表。在多因素认证中,通常使用用 户所知道的(即,用户名和口令)以及用户所具有的(即,RSA安全ID表链(fob))两者来 认证用户。然而,这些认证方法能够受到中间人攻击(MITM)损害。这种认证方法还承受以 下事实:驻留在RSA安全ID表链上的相同算法必须还驻留在认证服务器上并且这两个方法 必须对相同的种子值进行动作以便正确地认证用户。这造成了不必要的冗余和低效。如果 这种算法在任一端受到损害,则这两个设备上的方法必须改变。
[0008] 附图简述
[0009]图1描绘根据本公开的某些实施例的说明性计算系统。
[0010] 图2是根据本公开的某些实施例的图1的计算系统中的服务器的说明性配置的简 图。
[0011] 图3是根据本公开的某些实施例的图1的计算系统中的移动设备的一种可能配置 的简图。
[0012] 图4是根据本公开的某些实施例的图1的计算系统中的客户机设备的一种可能配 置的简图。
[0013] 图5是根据本公开的某些实施例的客户机设备的说明性资源请求的流程图。
[0014] 图6是根据本公开的某些实施例的服务器的说明性资源请求的流程图。
[0015] 图7是根据本公开的某些实施例的移动设备上的说明性令牌提取的流程图。
[0016]图8描绘根据本公开的某些实施例的说明性登录屏幕。
[0017] 说明性实施方案的详细说明
[0018] 描述了与客户机-服务器认证相关联的移动设备、客户机设备和服务器。在实施 例中,该移动设备可包括相机和令牌提取器。该令牌提取器可耦合到该相机并且被配置成 用于分析该相机所捕获的图像。所捕获的图像可包含条形码并且响应于服务器请求访问资 源可被显示在客户机设备上。该条形码可包含令牌,该令牌可由该令牌提取器提取以便用 于访问服务器所请求的资源。例如,所请求的资源可以是应用,条形码可以是快速响应(QR) 码,并且移动设备可以是智能电话。
[0019] 在以下详细描述中,参考形成其一部分并且通过可实践的说明实施例示出的附 图,其中,相同的标号指示相同的部件。应当理解可使用其他实施例以及可在不背离本公开 的范围的情况下做出结构或逻辑改变。因此,不应以限制性的意义解释以下详细描述,并且 实施例的范围由所附权利要求书及其等效方案定义。
[0020] 各操作可被描述为按顺序的多个离散动作或操作,其方式为最有助于理解所要求 保护的主题。然而,描述的顺序不应被解释为暗示这些操作必需依赖于顺序。具体而言,可 不按展示顺序执行这些操作。可以用不同于所描述的实施例的顺序执行所描述的操作。可 执行各附加操作和/或可在附加实施例中忽略所描述的操作。
[0021] 为了本公开的目的,短语"A和/或B"是指(A)、⑶、或(A和B)。为了本公开的 目的,短语 "A、B 和 / 或 C" 是指(A)、(B)、(C)、(A 和 B)、(A 和 C)、(B 和 C)或(A、B 和 C)。 本描述可使用短语"在一实施例中"或"在实施例中",其可各自指代相同或不同实施例中的 一个或多个。此外,如结合本公开的实施例所使用的,术语"包括"、"包含"、"具有(having) " 等等是同义的。
[0022] 图1描绘适合实践本公开的某些实施例的说明性计算安排。如所示,该计算安排 可由通过网络108连接到客户机设备104的服务器102组成。在实施例中,用户可使用客 户机设备104请求服务器102所提供的资源或者通过其请求资源。响应于该请求,服务器 102可生成包含令牌的条形码并且将条形码传输到客户机设备以便用于认证。客户机设备 可在接收到条形码时将条形码显示给客户机设备的用户。
[0023] 在实施例中,移动设备106可用于解码包含在条形码(在该图中描绘为QR码、显 示在客户机设备104上)中的数据并且输出至少一部分解码数据(诸如令牌)以便用于使 得能访问所请求的资源。在某些实施例中,移动设备106可能已经之前被预设成以特定于 移动设备106的方式解码包含在条形码中的数据,并且服务器102可能已经以相应的方式 编码条形码。在某些实施例中,服务器102可在对资源的请求中传递标识例如移动设备106 和/或移动设备106的用户的或者设备和/或用户标识符。在某些实施例中,用户标识符 可由服务器102作为交叉引用用于在表、数据库或本地地存储在服务器102上或者远程地 存储在另一个服务器上的其他类似的存储库中定位设备标识符。
[0024] 在某些实施例中,可以特定于移动设备106的方式编码条形码,从而使得条形码 本身的解码可做为认证移动设备106的用户的措施进行动作以便授权访问所请求的资源。 例如,在某些实施例中,如果所请求的资源要求多因素认证,用户所输入的口令可以是认证 的一个因素,同时移动设备106解码条形码从而提取令牌并且将该令牌输入到客户机设备 104中可以是认证中的后续因素。在本示例中,未授权用户或恶意计算机程序将不能提取辅 助认证所需的信息,即使未授权用户或恶意计算程序能够捕获显示在客户机设备上的条形 码。
[0025] 在某些实施例中,移动设备特定编码可替代用户名和口令使用。例如,在某些实施 例中,用户可能已经之前就所请求的资源设置过登录策略,从而使得访问所请求的资源所 需的所有东西是包含在条形码中的令牌。在某些实施例中,特定编码可在用户已经忘记所 请求的资源的口令的情况中使用。在这些情况中,令牌可用于获得对所请求的资源的访问 和/或发起口令改变。此外,在某些实施例中,移动设备特定编码可用于生成一次性口令 (OTP),从而使得授权用户无需记住静态口令,并且未授权用户或恶意计算机程序不能通过 尝试打破口令例如通过蛮力攻击访问资源。
[0026] 在某些实施例中,无需以特定于移动设备106的方式编码条形码。例如,在某些实 施例中,如果所请求的资源仅要求用户存在认证,条形码可总体上由服务器102编码,从而 使得移动设备106可以能够解码条形码而无需先前配置。在这些实施例中,一旦令牌被输 入到客户机设备104中,移动设备106解码条形码以便提取令牌的动作可足以认证用户的 存在。
[0027] 在某些实施例中,可以特定于所请求的资源的方式编码条形码。在这种实施例中, 移动设备106可被预设成针对所请求的资源解码条形码。在某些实施例中,将设备预设成 基于所请求的资源解码条形码可通过在尝试解码条形码之前向所请求的资源注册移动设 备106执行。例如,在某些实施例中,用户可使用移动设备106通过连接到服务器(诸如服 务器102)注册移动设备106。响应于连接,服务器102可在移动设备106上安装解码算法 以便稍后代表所请求的资源用于解码由客户机设备104所显示的条形码。
[0028] 在某些实施例中,无需注册移动设备106以便使得解码与获得对资源的访问相关 联的条形码。在某些实施例中,可使用任何计算机可读介质方式作为递送机制通过安装合 适的解码算法或密钥配置移动设备106。
[0029] 在某些实施例中,可以特定于移动设备106和所请求的资源两者的方式编码条形 码。在某些实施例中,可以所标识的方式通过利用所请求的资源的标识符和用户和/或移 动设备106的标识符两者以便实现唯一标识符从而在编码方法中使用来编码条形码。在某 些实施例中,如上所述,可在解码条形码之前预设移动设备106从而使得移动设备106能解 码这种条形码。
[0030] 移动设备106可根据某些实施例从用户接收输入以便标识已经为哪个所请求的 资源编码了表形码。例如,在某些实施例中,用户可被呈现有已经在移动设备106上预设 的 资源算法或密钥列表。
[0031] 用户可从该列表选择与请求相关联的资源,从而选择用其解码条形码的合适算法 或密钥。在某些实施例中,所请求的资源的身份可被编码在一部分条形码中,从而使得该部 分可以能够被解码而无需所请求的资源的知识。在这些情况下,资源的解码身份可用于标 识合适的算法以便解码条形码的剩余部分并且提取令牌,该令牌然后可被输入到客户机设 备104中以便用于认证。
[0032] 在实施例中,所请求的资源可由服务器102提供。在其他实施例中,服务器102可 充当中间程序并且将资源请求路由到一个或多个其他服务器(诸如资源服务器110)从而 实现资源请求。在某些实施例中,服务器102可执行所请求的认证,而不管服务器102是否 可提供所请求的资源。在其他实施例中,认证可由可提供所请求的资源的资源服务器110 之一来执行。
[0033] 在某些实施例中,所请求的资源可以是客户机设备104和服务器102之间的安 全连接。在这些情况下,令牌可由加密密钥组成。加密密钥可如上所述由移动设备106 解码并且输入到客户机设备104中以便由客户机设备104用于通过网络108向服务器 102发送和从服务器102接收经加密的传输。在这些情况下,所提取的令牌的输入和用 该令牌正确加密的消息的传输可充当足够的认证机制。在某些实施例中,令牌可以是 Diffie-Hellman (迪斐-海尔曼)加密密钥。
[0034] 在某些实施例中,可通过以字母数字格式显示所提取的令牌将所提取的令牌输入 到客户机设备104中,从而使得移动设备106的用户可手动地将令牌输入到客户机设备104 中。在其他实施例中,可通过无线数据连接将令牌传输到客户机设备104。在某些实施例 中,该无线数据连接可包括但不限于蓝牙、无线USB或近场通信(NFC)通道或其他无线数据 连接。
[0035] 尽管客户机设备104在图1中被描绘为膝上计算机,将认识到可使用能够执行客 户机设备104的功能的任何合适的计算设备而不背离本公开的范围。然后将认识到客户 机设备104可以是任何便携式或非便携式计算设备,诸如但不限于膝上计算机、桌上计算 机、手持式计算设备、公共门户(诸如公用电话亭、终端,诸如在用于接受信用卡支付的结 账队伍中所使用的那些)、或能够显示登录屏幕或条形码的任何其他设备(诸如在图8中描 绘的)。网络108可以是任何类型的有线或无线网络,包括但不限于局域网(LAN)、广域网 (WAN)、蜂窝网络和互联网。可使用适合传输请求数据的任何网络而不背离本公开的范围。 还将认识到网络108可包括一个或多个有线和/或无线网络而不背离本公开的范围。本公 开是等同地可应用的,而不管网络的类型和/或组成如何。
[0036] 图2描绘根据本公开的某些实施例的服务器102的说明性配置。服务器102可包 括处理器200、网络接口卡(NIC) 202和存储设备204。处理器200、NIC 202和存储设备204 可使用系统总线206全部耦合在一起。
[0037] 处理器200在某些实施例中可以是单个处理器或在其他实施例中可由多个处理 器组成。在某些实施例中,该多个处理器可具有相同的类型,即,同构的,或者它们可具有不 同的类型,即,异构的,并且可包括任何类型的单核或多核处理器。本公开是等同地可应用 的,而不管处理器的类型和/或数量如何。
[0038] 在实施例中,NIC 202可被服务器102用于访问网络108。在实施例中,NIC 202 可用于从客户机设备104接收请求或者对其做出响应。在实施例中,NIC 202可用于访问有 线或无线网络;本公开是等同地可应用的。NIC 202还可在此被称为网络适配器、LAN适配 器或无线NIC,针对本公开的目的其可被视为同义词,除非上下文明确地以其他方式指明; 并且因此,这些术语可互换地使用。
[0039] 在实施例中,存储设备204可以是任何类型的计算机可读存储介质或不同类型的 计算机可读存储介质的任何组合。例如,在实施例中,存储设备204可包括但不限于固态驱 动器(SSD)、磁或光盘硬驱动器、易失性或非易失性、动态或静态随机存取存储器、闪存、或 其任何多个或组合。在实施例中,存储设备可存储指令,当由处理器200执行时,这些指令 致使服务器102执行以下参照图6所描述的过程的一个或多个操作。在某些实施例中,存储 设备204可包含记录数据库,诸如交叉引用用户标识符与合适的移动设备标识符的表格。
[0040] 图3描绘根据本公开的某些实施例的图1的计算系统中的移动设备106的一种可 能配置。移动设备106可由耦合到相机302的令牌提取器300组成。在某些实施例中,移 动设备106还可包括显示器304和/或近场通信(NFC)收发器306,其中之一或两者也可耦 合到令牌提取器300。
[0041] 在某些实施例中,令牌提取器300包括耦合到一个或多个计算机可读存储介质的 一个或多个处理器。该一个或多个计算机可读存储介质可包括指令,当由该一个或多个处 理器执行时,这些指令致使移动设备106执行以下参照图7描述的过程中的一个或多个。在 其他实施例中,令牌提取器300可由致使移动设备106执行以下参照图7描述的一个或多 个过程的任何数量的硬件和/或软件组件组成。
[0042] 该一个或多个处理器可以是任何类型的单核或多核处理器或其任何组合。本公开 是等同地可应用的,而不管处理器的类型和/或数量如何。相机302、显示器304、和/或 NFC收发器306可全部包含在移动设备106中,或者这些组件中的一个或多个可外围地附接 到移动设备106而不背离本公开的范围。
[0043]图4描绘根据本公开的某些实施例的图1的计算系统中的客户机设备104的一种 可能配置。客户机设备104可由一个或多个处理器400、存储器402、网络接口卡(NIC) 406、 以及显示器408组成。在某些实施例中,移动设备106还可包括近场通信(NFC)收发器104。 所有这些组件可通过总线410耦合到一起。
[0044] 在具有多于一个处理器的实施例中,处理器可具有相同的类型,即,同构的,或者 它们可具有不同的类型,即,异构的。此外,该一个或多个处理器可以是任何类型的单核或 多核处理器。本公开是等同地可应用的,而不管处理器的类型和/或数量如何。
[0045] 在实施例中,NIC 402可被客户机设备104用于访问网络108。在实施例中,NIC 402可用于发送请求和/或从服务器102接收请求。在实施例中,NIC 402可用于访问有线 或无线网络,本公开是等同地可应用的并且本公开不限于此。NIC 402还可在此被称为网络 适配器、LAN适配器或无线NIC,针对本公开的目的其可被视为同义词,除非上下文明确地 以其他方式指明。因此,这些术语可互换地使用。
[0046] 在实施例中,存储器402可以是任何类型的计算机可读存储介质或不同类型的计 算机可读存储介质的任何组合。例如,在实施例中,存储器402可包括但不限于固态驱动器 (SSD)、磁或光盘硬驱动器、易失性或非易失性、动态或静态随机存取存储器、闪存、或其任 何多个或组合。在实施例中,存储器402可存储指令,当由处理器200执行时,这些指令致 使客户机设备104执行以下参照图5所描述的过程的一个或多个操作。
[0047] 图5描绘根据本公开的某些实施例的客户机设备104的说明性资源请求的流程 图。在实施例中,过程可在框500开始,其中客户机设备104可接收请求资源的输入。在某 些实施例中,该输入可接收自用户。在其他实施例中,该输入可接收自请求访问该资源的应 用。在实施例中,所请求的资源可包括但不限于应用、网站、web服务或安全数据连接。
[0048] 在框502中,客户机设备104可生成在进行服务器102的资源请求时传输的信息。 在某些实施例中,这可包括从在框500中所接收的输入提取所请求的资源的标识符,诸如 统一源资定位符(URL)、IP地址等等。在某些实施例中,这可包括从在框500中所接收的输 入提取用户和/或移动设备标识符。在其他实施例中,客户机设备104可从存储器402检 索用户和/或移动设备106的标识符。在某些实施例中,客户机设备104可针对用户和/ 或移动设备标识符提醒给用户。
[0049] 作为示例,在某些实施例中,当客户机设备104接收到请求资源的输入时,客户机 设备104可尝试从存储在客户机设备104的存储器402中的cookie检索用户和/或移动 设备的标识符。如果用户和/或移动设备的标识符不能被检索到,即,合适的cookie尚未 被存储在存储器402中,用户可被提醒输入用户和/或移动设备的合适标识符。
[0050] 在框504中,资源请求与所请求的资源的标识符一起可被转发到服务器102。在 实施例中,被转发到服务器102的资源请求还可包括用户和/或移动设备的标识符。在某 些实施例中,服务器102可 针对所请求的资源要求用户和/或移动设备的标识符并且服务 器102可向客户机设备104发送请求,从而向客户机设备104请求用户和/或移动设备的 标识符,如果这种标识符未被包括在请求中,或者以其他方式对服务器102可用。
[0051] 在框506中,客户机设备104可从服务器102接收条形码,诸如QR码。在某些实 施例中,条形可被嵌入在登录屏幕中,诸如在图8中描绘的登录屏幕。在某些实施例中,条 形码可被与服务器102所传输的任何其他数据分开地接收。如以上参照图1所讨论的,在 某些实施例中,条形码的编码可依赖于所请求的资源和/或用户和/或移动设备的标识符。
[0052] 在框508中,客户机设备104可在显示器408上渲染条形码。在某些实施例中,客 户机设备104可使用安全显示通道渲染条形码,包括但不限于英特尔的保护音频视频路径 (PAVP)。用户然后可利用移动设备106解码条形码并且提取令牌,如以上参照图1所讨论 的。
[0053] 一旦条形码已经被解码并且令牌已经被提取,移动设备106可向客户机设备104 输出所提取的令牌。在框510中,客户机设备104可接收令牌作为输入。如以上参照图1 所讨论的,令牌可被手动地输入到客户机设备104中或者其可通过移动设备106和客户机 设备104之间的有线或无线数据连接传输。在框512中,客户机设备104可然后向服务器 102传输输入令牌。接下来,服务器102可至少部分地基于所提取的令牌认证资源请求。接 下来,在框514中,客户机设备104可接收对所请求的资源的访问的授权或拒绝,这取决于 认证的成功。
[0054] 图6是根据本公开的某些实施例的服务器102的说明性资源请求的流程图。在实 施例中,过程可在框600开始,其中服务器102可从客户机设备104接收对资源的请求,诸 如由客户机设备104在图5的框504中所传输的请求。在实施例中,该请求可包括所请求 的资源的标识符。在某些实施例中,该请求还可包括用户和/或移动设备的标识符。
[0055] 在框602中,服务器102可从所接收的请求提取资源标识符。在某些实施例中,月艮 务器102还可提取用户和/或移动设备的标识符,其中这种标识符已经被包括在请求中。在 框604中,服务器102可生成令牌。在某些实施例中,令牌可仅在预定的时间量内有效和/ 或单次使用有效。在框606中,令牌可被编码到条形码中。条形码然后被以任何格式编码并 且可以是任何类型的1维或2维条形码,包括但不限于QR码。如以上参照图1所讨论的, 条形码可被以通用方式编码,或者可被以特定于所请求的资源和/或移动设备106的方式 编码。在某些实施例中,条形码可由服务器签名以便向移动设备106验证服务器102。
[0056] 在框608,条形码然后可被传输到客户机设备104,其中其可被显示给客户机设备 104的用户。用户然后可利用移动设备106解码条形码,该移动设备从条形码提取令牌并且 输出将在框610中被输入到客户机设备104并且发送到服务器102以便认证的令牌。在框 612中,基于认证成功,服务器102然后可授权或拒绝对所请求的资源的访问。在某些实施 例中,如上所述,移动设备106可被专门地预设成用于解码条形码并且仅这种专门预设的 移动设备能够解码条形码。
[0057] 图7描绘根据本公开的某些实施例的移动设备106上的令牌提取的说明性流程 图。过程可在框700中开始,其中可扫描在客户机设备104上显示的图像。在框702,然后 可从所扫描的图像提取条形码。在框704中,移动设备106然后可解码条形码。在某些实 施例中,在解码条形码之前,移动设备106可要求口令或个人标识号(PIN)。如以上参照图 1所讨论的,该解码可以是通用的或者可特定于移动设备和/或资源。在框706中,移动设 备106然后可从所解码的条形码提取令牌。在某些实施例中,可通过解析所解码的数据提 取令牌。令牌然后可由移动设备106输出。在某些实施例中,可通过以字母数字格式显示令 牌来输出令牌,从而使得其可由用户手动地输入到客户机设备104中。在某些实施例中,可 经由移动设备106和客户机设备104之间的有线或无线数据连接输出令牌。在解码可特定 于移动设备106的实施例中,未授权用户/设备或恶意计算机程序将不能提取辅助认证所 需的信息。这是因为即使未授权用户/设备或恶意计算机程序能够捕获在客户机设备104 上显示的条形码,其未被预设成能够解码条形码,如以上参照图1所讨论的。
[0058] 图8描绘根据本公开的某些实施例的说明性登录屏幕800。在某些实施例中,登录 屏幕800可在服务器102处生成并且可显示在客户机设备104上。在某些实施例中,条形 码810可利用英特尔的保护音频视频路径(PAVP)、ARM有限公司的TrustZone?或另一种 形式的图形处理单元内容保护(GPU-CP)在显示器部分808中显示。在某些实施例中,条形 码810可被显示给可使用移动设备106解码条形码并从所解码的条形码提取令牌的用户。 在某些实施例中,用户可将所提取的令牌输入到令牌输入框812中。在某些实施例中,用户 可替代地选择通过点击NFC按钮804输入所提取的令牌以便利用近场通信(NFC)数据连接 输入所提取的令牌。在其他实施例中,用户可仅需要用客户机设备的一部分轻击移动设备 106以便经由NFC传递令牌。在某些实施例中,用户和/或移动设备标识符可被包含在web 浏览器的cookie中。在某些实施例中,cookie中的标识符可能不对应于客户机设备104的 当前用户并且用户可需要通过点击改变用户按钮806输入对应于当前用户和/或移动设备 的新标识符。在将令牌输入到客户机设备104中之后,用户可激活登录按钮802以便将令 牌提交给服务器102以便认证。基于认证结果,用户可被授权或拒绝对所请求的资源的访 问。
[0059] 本公开的实施例可采取完全硬件实施例、完全软件实施例或包含硬件和软件元素 两者的实施例的形式。在各实施例中,软件可包括但不限于固件、驻留软件、微代码等等。此 外,本公开可采取可从提供程序代码以便由或结合计算机或任何指令执行系统使用的计算 机可用或计算机可读介质访问的计算机程序产品的形式。
[0060] 为了本描述的目的,计算机可用或计算机可读介质可以是可包含、存储、传递、传 播或传输程序以便由或结合指令执行系统、装置或设备使用的任何装置。介质可以是电、 磁、光、电磁、红外或半导体系统(或装置或设备)或传播介质。计算机可读介质的示例 包括半导体或固态存储器、磁带、可移除计算机磁盘、随机存取存储器(RAM)、只读存储器 (ROM)、刚性硬盘和光盘。光盘的当前示例包括致密盘-只读存储器(CD-ROM)、致密盘-读 / 写(CD-R/W)和 DVD。
[0061] 因此,在此所描述的内容包括移动设备以及至少一个计算机可读存储介质。在实 施例中,移动设备可包括相机和与相机耦合的令牌提取器。令牌提取器可被配置成用于分 析相机从客户机设备的显示器捕获的图像并且可从图像提取条形码。条形码可包含令牌并 且响应于客户机设备请求访问资源可被显示在客户机设备上。令牌提取器可被进一步配置 成用于提取包含在条形码中的令牌并且可使得令牌能用于获得对资源的所请求的访问。
[0062] 在某些实施例中,移动设备可包括存储器和耦合到存储器和相机的处理器。令牌 提取器可驻留在存储器中并且可由处理器执行。在某些实施例中,移动设备还可包括认证 模块,该认证模块被配置成在执行令牌提取器以使得用户能使用令牌获得对所请求的资源 的访问之前认证用户。
[0063] 在实施例中,令牌提取器可被进一步配置成通过使用与资源相关联的算法提取包 含在条形码中的令牌以便解码条形码从而从条形码获得数据。令牌提取器可从数据提取令 牌。
[0064] 在实施例中,移动设备还可包括与令牌提取器耦合的近场通信(NFC)收发器。令 牌提取器可被配置成通过NFC收发器向客户机设备传输令牌从而使得能使用令牌获得对 资源的所请求的访问。在某些实施例中,令牌提取器可被配置成显示所提取的令牌从而使 得能通过用户输入令牌到客户机设备中来使用令牌获得对所请求的资源的访问。在某些实 施例中,条形码可以是矩阵条形码。在某些实施例中,条形码可以是QR码。在某些实施例 中,所请求的资源可以是应用。
[0065] 在实施例中,该至少一个计算机可读存储介质可包括指令,当由客户机设备执行 时,这些指令致使客户机向服务器传输访问资源的请求。请求可包括标识移动设备的标识 符。当由客户机设备执行时,这些指令还致使客户机设备在客户机设备的显示器上渲染来 自服务器的响应,从而使得包含在响应中的条形码内的令牌能被解码。令牌然后可被传输 回服务器以便认证客户机设备。可至少部分地基于将移动设备标识为解码设备的标识符编 码条形码。在某些实施例中,标识符以cookie的形式存储在客户机设备中。
[0066] 在实施例中,当由客户机设备执 行时,这些指令可进一步使得客户机设备接受令 牌作为输入并且将令牌传输给服务器。在实施例中,当由客户机设备执行时,这些指令可进 一步使得客户机设备能经由客户机设备的近场通信收发器接受令牌作为输入。
[0067] 在实施例中,当由客户机设备执行时,这些指令可进一步使得客户机设备能经由 到客户机设备上的显示器的安全通道在客户机设备的显示器上渲染条形码。在某些实施例 中,安全通道可以是保护音频视频路径(PAVP)。
[0068] 在实施例中,资源可以是服务器和客户机设备之间的安全数据通道。在条形码中 传输的令牌可以是将被客户机设备用于加密传输到服务器的数据并且解密经由安全数据 通道从服务器接收的数据的密码密钥。在某些实施例中,密码密钥可以是Diffie-Hellman 密钥。
[0069] 在实施例中,该至少一个计算机可读存储介质可包括指令,响应于由服务器执行, 这些指令将服务器配置为从客户机设备接收访问资源的请求。响应于由服务器执行,这些 指令将服务器配置为响应于请求生成包含令牌的条形码并且将条形码传输到客户机设备。 条形码可在客户机设备上显示以便使得能由移动设备使用相机提取令牌并且用于向服务 器认证客户机设备的用户从而使得服务器能授权所请求的访问。
[0070] 在实施例中,当由服务器执行时,这些指令可将服务器配置为从客户机设备接收 响应、确定响应是否包括令牌并且至少部分地基于确定结果授权或拒绝所请求的访问。在 实施例中,用于生成包含令牌的条形码的这些指令在由服务器执行这些指令时可进一步将 服务器配置为以特定于移动设备的方式用令牌编码条形码。在实施例中,请求可进一步包 括移动设备的标识符并且特定于移动设备和所请求的资源两者的格式至少部分地基于标 识符。
[0071] 在实施例中,当由服务器执行时,这些指令进一步将服务器配置为生成用于访问 所请求的资源的登录页。登录页可至少包含条形码并且将条形码传输到客户机设备进一步 包括以能够向用户显示的格式将登录页传输到客户机设备。
[0072] 在某些实施例中,条形码可以是矩阵条形码。在各实施例中,条形码可以是QR码。 在某些实施例中,所请求的资源可以是应用。在某些实施例中,令牌是一次性口令(OTP)。
[0073] 尽管已经在此展示和描述了特定实施例,本领域普通技术人员将认识到各种各样 的替代和/或等效实现方式可在不背离所公开的技术的实施例的范围的情况下替换所展 示和描述的特定实施例。本申请旨在覆盖在此讨论的实施例的任何适配或变化。因此,主 要旨在本公开的实施例仅由以下权利要求书及其等效方案限制。
【主权项】
1. 一种用于从条形码提取令牌的移动设备,所述移动设备包括: 相机;以及 令牌提取器,所述令牌提取器耦合到所述相机并且被配置成: 分析由所述相机从客户机设备的显示器捕获的图像并且从所述图像提取条形码,其中 所述条形码包含令牌并且响应于所述客户机设备请求访问资源而被显示在所述客户机设 备上; 提取包含在所述条形码中的所述令牌;以及 使得所述令牌能被用于获得对所述资源的所请求的访问。2. 如权利要求1所述的移动设备,其特征在于,所述移动设备进一步包括: 存储器;以及 处理器,其耦合到所述存储器和所述相机;并且 其中,所述令牌提取器驻留在所述存储器中并且由所述处理器执行。3. 如权利要求2所述的移动设备,其特征在于,进一步包括认证模块,所述认证模块被 配置成: 在执行所述令牌提取器以使得用户能使用所述令牌来获得对所请求的资源的访问之 前认证所述用户。4. 如权利要求1至3中任一项所述的移动设备,其特征在于,所述令牌提取器被配置成 通过使用与所述资源相关联的算法提取包含在所述条形码中的所述令牌,以解码所述条形 码从而从所述条形码获得数据;以及从所述数据提取所述令牌。5. 如权利要求1至3中任一项所述的移动设备,其特征在于,进一步包括与所述令牌提 取器耦合的近场通信(NFC)收发器; 其中所述令牌提取器被配置成通过所述NFC收发器向所述客户机设备传输所述令牌 从而使得能使用所述令牌来获得对所述资源的所请求的访问。6. 如权利要求1至3中任一项所述的移动设备,其特征在于,所述令牌提取器被配置成 显示所提取的令牌从而使得能经由用户输入所述令牌到所述客户机设备中来使用所述令 牌获得对所请求的资源的访问。7. 如权利要求1至3中任一项所述的移动设备,其特征在于,所述条形码是QR码。8. 如权利要求1至3中任一项所述的移动设备,其特征在于,所请求的资源是应用。9. 一种用于从服务器请求资源的方法,包括: 由客户机设备向服务器传输访问资源的请求,其中所述请求包括将移动设备标识为解 码设备的标识符; 由所述客户机设备在所述客户机设备的显示器上渲染来自所述服务器的响应,从而使 得包含在在所述响应中的条形码中的令牌能被解码并被传输回所述服务器以便认证所述 客户机设备,其中至少部分地基于将所述移动设备标识为所述解码设备的所述标识符来编 码所述条形码。10. 如权利要求9所述的方法,其特征在于,所述标识符以cookie的形式存储在所述客 户机设备上。11. 如权利要求9所述的方法,其特征在于,进一步包括: 由所述客户机设备将所述令牌接受为输入;以及 由所述客户机设备将所述令牌传输到所述服务器。12. 如权利要求9所述的方法,其特征在于,将所述令牌接受为输入进一步包括通过所 述客户机设备的近场通信收发器接受所述令牌。13. 如权利要求9所述的方法,其特征在于,在所述客户机的所述显示器渲染所述条形 码是在所述客户机设备上通过到所述显示器的安全通道实现的。14. 如权利要求9至13中任一项所述的方法,其特征在于,所述资源是所述服务器和所 述客户机设备之间的安全数据通道,并且在所述条形码中传输的所述令牌是将被所述客户 机设备用来加密传输到所述服务器的数据以及解密通过所述安全数据通道从所述服务器 接收的数据的密码密钥。15. 如权利要求15所述的方法,其特征在于,所述密码密钥是DifTie-Hellman密钥。16.-种用于管理资源请求的方法,包括: 由所述服务器从客户机设备接收访问资源的请求; 由所述服务器响应于所述请求生成包含令牌的条形码;以及 由所述服务器将所述条形码传输到所述客户机设备,其中所述条形码将在所述客户机 设备上显示以便使得能由移动设备使用相机提取所述令牌并用于向所述服务器认证所述 客户机设备的所述用户从而使得所述服务器能授权所请求的访问。17. 如权利要求16所述的方法,其特征在于,进一步包括: 由所述服务器从所述客户机设备接收响应; 由所述服务器确定所述响应是否包括所述令牌;以及 至少部分地基于所述确定的结果授权或拒绝所请求的访问。18. 如权利要求16所述的方法,其特征在于,生成包含令牌的所述条形码进一步包括 以特定于所述移动设备的方式用令牌编码所述条形码。19. 如权利要求16所述的方法,其特征在于,生成包含令牌的所述条形码进一步包括 以特定于所述移动设备和所请求的资源两者的方式用令牌编码所述条形码。20. 如权利要求19所述的方法,其特征在于,所述请求进一步包括所述移动设备的标 识符并且特定于所述移动设备和所请求的资源两者的所述格式至少部分地基于所述标识 符。21. 如权利要求16至20中任一项所述的方法,其特征在于,进一步包括生成用于访问 至少包含所述条形码的所请求的资源的登录页,并且其中,将所述条形码传输到所述客户 机设备进一步包括以能够向用户显示的格式将所述登录页传输到所述客户机设备。22. 如权利要求16至20中任一项所述的方法,其特征在于,所述矩阵条形码是QR码。23. 如权利要求16至20中任一项所述的方法,其特征在于,所请求的资源是应用。24. -种包括用于执行如权利要求9至23中任一项所述的计算机实现的方法的装置的 计算设备。25. -种包括指令的计算机可读存储介质,当由计算设备执行时,所述指令致使所述计 算设备执行如权利要求9至23中任一项所述的方法。
【专利摘要】描述了与客户机-服务器认证相关联的移动设备、客户机设备和服务器。在实施例中,该移动设备可包括相机和令牌提取器。该令牌提取器可耦合到该相机并且被配置成分析该相机所捕获的图像。所捕获的图像可包含条形码并且响应于服务器请求访问资源可被显示在客户机设备上。该条形码可包含令牌,该令牌可由该令牌提取器提取以便用于访问服务器所请求的资源。可描述和/或要求保护其他实施例。
【IPC分类】G06F21/30, G06T7/00, G06F21/36
【公开号】CN104903904
【申请号】CN201480004266
【发明人】G·普拉卡什, V·拉马穆尔蒂, H·李, J·沃克
【申请人】英特尔公司
【公开日】2015年9月9日
【申请日】2014年1月13日
【公告号】EP2954451A1, US20140230039, WO2014123663A1
最新回复(0)