專利名稱:授權(quán)安全資源的制作方法
授權(quán)安全資源
背景技術(shù):
個人可能擁有若千他/她想要潛在地以受控方式準(zhǔn)許其他方訪問的 資源�。組織不斷地希望防止不值得信賴的端點(diǎn)(例如連接到網(wǎng)絡(luò)的未認(rèn) 證的設(shè)備)訪問它們的內(nèi)部網(wǎng)絡(luò)資源。存在若干情況����,其中個人和/或組 織可能希望動態(tài)地控制對安全資源的訪問以及控制何時和/或以何種方 式訪問安全資源��。例如�,個人可能允許他們的孩子訪問他們的信用卡(即 安全資源)�����,但是當(dāng)孩子用信用卡做出購買請求時他們希望被通知并且 批準(zhǔn)交易���。在另一個實(shí)例中���,組織可能許可雇員訪問內(nèi)部網(wǎng)絡(luò)的某些部 分,但是可能拒絕同 一雇員訪問該內(nèi)部網(wǎng)絡(luò)的其他部分����。
發(fā)明內(nèi)容
根據(jù)一個方面, 一種方法可以包括接收來自第一設(shè)備的訪問安全 資源的請求和驗(yàn)證電話號碼��;建立與第二設(shè)備的安全會話�����,該第二設(shè)備 與該-瞼證電話號碼關(guān)聯(lián)��;請求來自第二設(shè)備的認(rèn)證才幾制以"瞼證該安全資 源請求;如果從第二設(shè)備接收到所請求的認(rèn)證機(jī)制��,則-瞼證所接收的認(rèn) 證機(jī)制����;以及基于所接收的認(rèn)證機(jī)制的驗(yàn)證,確定是準(zhǔn)許還是拒絕第一 設(shè)備對安全資源的訪問�。
此外,該方法可以包括將所述一驗(yàn)證電話號碼與所述認(rèn)證才幾制相關(guān)聯(lián)�。
此外,建立安全會話可以包括產(chǎn)生包括用于建立安全會話的地址 的短消息服務(wù)(SMS)信號�����;提供該SMS信號給第二設(shè)備�����;以及如果 第二設(shè)備訪問該地址�����,則建立安全會話��。
匹配與所述-險(xiǎn)證電話號碼關(guān)聯(lián)的認(rèn)證機(jī)制��。
根據(jù)另一方面���, 一種方法可以包括接收使用安全資源的請求�;確 定與該安全資源關(guān)聯(lián)的設(shè)備��;建立和與該安全資源關(guān)聯(lián)的設(shè)備的安全會 話�����;請求來自該設(shè)備的對安全資源請求的批準(zhǔn)��;如果從該設(shè)備接收到對 安全資源請求的批準(zhǔn)���,則纟全證該批準(zhǔn)�����;以及基于該批準(zhǔn)的-瞼證確定是準(zhǔn) 許還是拒絕第 一設(shè)備使用該安全資源�����。此外�,建立安全會話可以包括產(chǎn)生包括用于建立安全會話的地址 的短消息服務(wù)(SMS)信號���;提供該SMS信號給所述設(shè)備���;以及如果 該設(shè)備訪問該地址���,則建立安全會話。
此外�����,請求批準(zhǔn)可以包括提供安全資源的描述給所述設(shè)備����;以及 請求由該設(shè)備用私有密鑰對該描述進(jìn)行簽名。
此外����,-瞼證批準(zhǔn)可以包括用與所述設(shè)備關(guān)聯(lián)的7>共密鑰-瞼證該批準(zhǔn)。
才艮據(jù)又一方面����, 一種在第一設(shè)備內(nèi)實(shí)施的方法可以包括接收包括 用于建立安全會話的地址的短消息服務(wù)(SMS)信號以認(rèn)證第二設(shè)備訪 問安全資源的請求;基于該地址建立安全會話�����;接收對認(rèn)證機(jī)制的請求 以認(rèn)證該安全資源請求�;以及如果將認(rèn)證該安全資源請求,則提供所請 求的認(rèn)證纟幾制���。
此外����,該方法可以包括接收是準(zhǔn)許還是拒絕第二設(shè)備訪問安全資源 的指示���。
此外�����,接收對認(rèn)證機(jī)制的請求可以包括接收安全資源的描述��。
根據(jù)另一方面�, 一種在第一設(shè)備內(nèi)實(shí)施的方法可以包括接收包括 用于建立安全會話的地址的短消息服務(wù)(SMS)信號以批準(zhǔn)第二設(shè)備使 用安全資源的請求���;基于該地址建立安全會話�;接收批準(zhǔn)該安全資源請 求的請求��;以及如果將批準(zhǔn)該安全資源請求���,則提供所請求的批準(zhǔn)���。
此外�����,該方法可以包括接收是準(zhǔn)許還是拒絕對第二設(shè)備使用安全資 源的批準(zhǔn)的指示�����。
此外�����,接收對于批準(zhǔn)的請求可以包括接收安全資源的描述��;以及 接收用私有密鑰對該描述進(jìn)行簽名的請求�。
此外�����,提供所請求的批準(zhǔn)可以包括如果將批準(zhǔn)所述安全資源請求��, 則提供用私有密鑰簽名的所述描述�。
此外�����,接收對于批準(zhǔn)的請求可以包括接收安全資源的描述、接收請 求使用安全資源的用戶的標(biāo)識或接收標(biāo)識該安全資源請求的隨機(jī)數(shù)中 的至少一個��。
根據(jù)另一方面���, 一種在第一設(shè)備內(nèi)實(shí)施的方法可以包括請求訪問 或使用安全資源����;提供標(biāo)識第二設(shè)備的驗(yàn)證電話號碼�,該第二設(shè)備認(rèn)證 第一設(shè)備以訪問或使用安全資源;以及基于由第二設(shè)備 供的認(rèn)證接收 對安全資源的訪問或使用�。根據(jù)另一方面, 一種系統(tǒng)可以包括用于接收來自第一設(shè)備的訪問 安全資源的請求的裝置��;用于經(jīng)由短消息服務(wù)(SMS)信號與第二不同 設(shè)備建立安全會話以授權(quán)訪問該安全資源的裝置�����;用于請求來自第二設(shè) 備的對安全資源請求的批準(zhǔn)的裝置���;用于如果從第二設(shè)備接收到對安全 資源請求的批準(zhǔn)則驗(yàn)證該批準(zhǔn)的裝置��;以及用于基于對該批準(zhǔn)的驗(yàn)證確 定是準(zhǔn)許還是拒絕第 一設(shè)備訪問安全資源的裝置��。
此外���,用于請求批準(zhǔn)的裝置可以包括以下裝置之一用于請求來自 第二設(shè)備的認(rèn)證機(jī)制以驗(yàn)證所述安全資源請求的裝置���;或者用于請求由 第二設(shè)備用私有密鑰對安全資源的描述進(jìn)行簽名的裝置。
此外���,用于驗(yàn)證批準(zhǔn)的裝置可以包括以下裝置之一用于確定從第 二設(shè)備接收的認(rèn)證機(jī)制是否匹配與第二設(shè)備的驗(yàn)證電話號碼關(guān)聯(lián)的認(rèn) 證機(jī)制的裝置����;或者用于用與第二設(shè)備關(guān)聯(lián)的公共密鑰驗(yàn)證該批準(zhǔn)的裝 置�。
根據(jù)又一方面, 一種系統(tǒng)可以包括用于接收包括用于建立安全會 話的地址的短消息服務(wù)(SMS)信號以認(rèn)證第二設(shè)備訪問安全資源的請 求的裝置����;用于基于該地址建立安全會話的裝置;用于接收批準(zhǔn)該安全 資源請求的請求的裝置�����;以及用于如果將批準(zhǔn)該安全資源請求則提供所 請求的批準(zhǔn)的裝置。
此外��,用于接收請求的裝置可以包括用于接收對認(rèn)證機(jī)制的請求以 認(rèn)證安全資源請求的裝置�。
此外,用于提供所請求的批準(zhǔn)的裝置可以包括用于如果將認(rèn)證所述 安全資源請求則提供所請求的認(rèn)證機(jī)制的裝置��。
此外���,用于接收對于批準(zhǔn)的請求的裝置可以包括用于接收安全資 源的描述以及接收請求使用安全資源的用戶的標(biāo)識或標(biāo)識該安全資源 請求的隨機(jī)數(shù)中的至少一個的裝置;以及用于接收用私有密鑰對該描述 進(jìn)行簽名的請求的裝置�。
此外,用于提供所請求的批準(zhǔn)的裝置可以包括用于如果將批準(zhǔn)所述 安全資源請求則提供用私有密鑰簽名的所述描述的裝置�。
根據(jù)另一方面, 一種設(shè)備可以包括用于存儲多個指令的存儲器����,以 及用于執(zhí)行存儲器中的指令的處理器。該處理器可以接收來自第一設(shè) 備的訪問安全資源的請求�����;經(jīng)由短消息服務(wù)(SMS)信號與第二不同設(shè) 備建立安全會話以授權(quán)訪問該安全資源�����;請求來自第二設(shè)備的對安全資源請求的批準(zhǔn)��;如果從第二設(shè)備接收到對安全資源請求的批準(zhǔn),則驗(yàn)證 該批準(zhǔn)����;以及基于對該批準(zhǔn)的驗(yàn)證確定是準(zhǔn)許還是拒絕第一設(shè)備訪問安 全資源。
根據(jù)又一方面���, 一種設(shè)備可以包括用于存儲多個指令的存儲器�; 以及用于執(zhí)行存儲器中的指令的處理邏輯�。該處理邏輯可以接收包括 用于建立安全會話的地址的短消息服務(wù)(SMS)信號以認(rèn)證第二設(shè)備訪 問安全資源的請求;基于該地址建立安全會話�;接收批準(zhǔn)該安全資源請 求的請求;以及如果將批準(zhǔn)該安全資源請求�����,則提供所請求的批準(zhǔn)����。
并入說明書并構(gòu)成說明書一部分的附圖示出了本文描述的一個或 多個實(shí)施方式,并且與說明書一起解釋這些實(shí)施方式����。在附圖中 圖1是其中可以實(shí)施本文描述的系統(tǒng)和方法的網(wǎng)絡(luò)的示例性示圖; 圖2是圖1的用戶設(shè)備的示例性前視圖; 圖3是圖2的用戶設(shè)備的示例性部件的示圖���; 圖4是圖1的客戶端或服務(wù)器的示例性示圖����; 圖5是可以由圖1的客戶端提供的示例性顯示的示圖�; 圖6是可以由圖1的用戶設(shè)備提供的示例性顯示的示圖;以及 圖7-11描繪了根據(jù)本文描述的實(shí)施方式的示例性過程的流程圖���。
具體實(shí)施例方式
以下詳細(xì)描述參考了附圖�。不同附圖中相同的附圖標(biāo)記可以標(biāo)識相 同或相似的元件�����。而且���,以下詳細(xì)描述并沒有限制本發(fā)明。
概述
本文描述的實(shí)施方式可以基于由安全用戶設(shè)備提供的認(rèn)證和/或授 權(quán)而提供對一個或多個安全資源的訪問���。例如����,在一個實(shí)施方式中,用 戶設(shè)備可以對應(yīng)于能夠支持公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)的蜂窩電話或移 動電話�����。用戶設(shè)備可以包括兩組PKI憑證(例如私有密鑰和公共密鑰或 證書)����,所述PKI憑證對試圖訪問安全資源(例如在安全網(wǎng)絡(luò)中提供的 服務(wù)器)的另 一設(shè)備(例如客戶端設(shè)備)提供認(rèn)證和/或授權(quán)。用戶設(shè)備 的用戶可以與客戶端的用戶相同或不同�����。在一個實(shí)施方式(以下稱為"認(rèn)證實(shí)例")中��,設(shè)備(例如客戶端) 的用戶可以請求訪問安全資源(例如由安全網(wǎng)絡(luò)的服務(wù)器提供的應(yīng)用)���。 該用戶經(jīng)由客戶端可以提供馬t證電話號碼以認(rèn)證該用戶��。安全資源請求 和驗(yàn)證電話號碼可以由服務(wù)器接收����,并且該服務(wù)器可以產(chǎn)生包括用于建
立與服務(wù)器的安全會話的地址的短消息服務(wù)(SMS )信號�。可以將該SMS 信號提供給與驗(yàn)證電話號碼和用戶關(guān)聯(lián)的用戶設(shè)備��,并且可以建立與服 務(wù)器的安全會話。該服務(wù)器可以將驗(yàn)證電話號碼與認(rèn)證機(jī)制(例如用戶 名�����、密碼����、個人識別號(PIN)等)相關(guān)聯(lián),并且可以請求來自用戶設(shè) 備的認(rèn)證機(jī)制以驗(yàn)證安全資源請求�。該用戶設(shè)備可以給服務(wù)器提供認(rèn)證
端訪問安全資源。例如���,如果用戶設(shè)備提供所請求的認(rèn)證機(jī)制�����,則用戶 經(jīng)由客戶端可以被準(zhǔn)許訪問由服務(wù)器提供的安全資源。
在另一個實(shí)施方式(以下稱為"交易實(shí)例��,�����,)中��,個人(例如雇員) 經(jīng)由設(shè)備(例如客戶端)可以請求批準(zhǔn)使用安全資源(例如可能需要管 理員批準(zhǔn)的安全服務(wù)器的應(yīng)用)。服務(wù)器可以將安全資源與和用戶設(shè)備 (例如管理員的用戶設(shè)備)有關(guān)的電話號碼和公共密鑰相關(guān)聯(lián)����。服務(wù)器 可以給用戶設(shè)備發(fā)送包括用于建立與服務(wù)器的安全會話的地址的SMS 信號。如果在服務(wù)器和用戶設(shè)備之間建立了安全會話�,那么服務(wù)器可以 向用戶設(shè)備發(fā)送安全資源的描述,請求批準(zhǔn)的雇員�、批準(zhǔn)雇員使用安全 資源的請求和/或標(biāo)識該請求的隨機(jī)數(shù)。管理員可以經(jīng)由用戶設(shè)備通過用 私有密鑰對安全資源的描述進(jìn)行電子簽名并且將簽名的描述和隨機(jī)數(shù) 發(fā)送給服務(wù)器來批準(zhǔn)該安全資源請求��。為了確定是準(zhǔn)許還是拒絕用戶訪 問安全資源����,服務(wù)器可以用與用戶設(shè)備關(guān)聯(lián)的公共密鑰和/或通過比較接 收的隨機(jī)數(shù)與原始隨機(jī)數(shù)來驗(yàn)證安全資源的簽名的描述。例如���,如果驗(yàn) 證了該簽名的描述���,則雇員經(jīng)由客戶端可以接收使用安全資源的批準(zhǔn)。
當(dāng)在本文使用術(shù)語"安全資源"時�,其應(yīng)被廣泛地解釋為包括可以控 制對其訪問的任何網(wǎng)絡(luò)、設(shè)備��、應(yīng)用�、性質(zhì)和/或網(wǎng)絡(luò)�����、設(shè)備�����、應(yīng)用和/ 或性質(zhì)的組合�。例如��,安全資源可以包括安全或私有網(wǎng)絡(luò)�����、內(nèi)聯(lián)網(wǎng)�、局 部網(wǎng)絡(luò),在安全網(wǎng)絡(luò)��、內(nèi)聯(lián)網(wǎng)或局部網(wǎng)絡(luò)中提供的應(yīng)用和/或設(shè)備��,信用 卡����、交通工具(例如汽車��、卡車、飛行器��、船只等)�、建筑物、個人網(wǎng) 頁����、電子郵件帳戶,需要登陸�����、密碼�、用戶名等的任何網(wǎng)站,和/或可能 需要授權(quán)和/或認(rèn)證的任何其他網(wǎng)絡(luò)���、設(shè)備����、應(yīng)用和/或性質(zhì)���。示例性網(wǎng)絡(luò)配置
圖1是其中可以實(shí)施本文描述的系統(tǒng)和方法的網(wǎng)絡(luò)100的示例性示
圖�����。網(wǎng)絡(luò)100可以包括經(jīng)由網(wǎng)絡(luò)140連接的用戶設(shè)備110�����、服務(wù)器120 以及客戶端130��。為了簡單起見�, 一個用戶設(shè)備110、 一個服務(wù)器120 以及一個客戶端130被示出為連接到網(wǎng)絡(luò)140���。實(shí)際中�,可以存在更多 的用戶設(shè)備��、服務(wù)器和/或客戶端�。而且,在一些情況下��,用戶設(shè)備可以 執(zhí)行服務(wù)器的一個或多個功能并且服務(wù)器可以執(zhí)行用戶設(shè)備的一個或 多個功能���。在其他情況下�����,客戶端可以執(zhí)行服務(wù)器的一個或多個功能并 且服務(wù)器可以執(zhí)行客戶端的 一個或多個功能�����。
用戶設(shè)備110可以包括一個或多個實(shí)體�。實(shí)體可以定義為諸如電話����、 蜂窩電話(例如提供基于因特網(wǎng)的應(yīng)用,如無線應(yīng)用協(xié)議(WAP)應(yīng)用)�����、 個人計(jì)算機(jī)�、個人數(shù)字助理(PDA)、膝上型電腦或另一類型的計(jì)算或 通信設(shè)備之類的設(shè)備�����,運(yùn)行在這些設(shè)備之一上的線程或進(jìn)程���,和/或可由 這些設(shè)備之一執(zhí)行的對象�����。在一個實(shí)施方式中���,用戶設(shè)備110可以以本 文描述的方式提供對一個或多個安全資源的授權(quán)和/或認(rèn)證���。
月良務(wù)器120可以包括以本文描述的方式收集、處理�、搜索和/或提供 信息的一個或多個服務(wù)器實(shí)體。例如����,在一個實(shí)施方式中,服務(wù)器120 可以以本文描述的方式提供一個或多個安全資源�����,和/或?qū)σ粋€或多個安 全資源的授權(quán)/認(rèn)證����。
客戶端130可以包括一個或多個實(shí)體,例如電話���、蜂窩電話(例如 提供基于因特網(wǎng)的應(yīng)用����,如WAP應(yīng)用)、個人計(jì)算機(jī)��、PDA���、膝上型 電腦、卡授權(quán)設(shè)備(例如信用卡或借記卡授權(quán)設(shè)備�、密鑰卡(keyfob) 等)或另一類型的計(jì)算或通信設(shè)備,運(yùn)行在這些設(shè)備之一上的線程或進(jìn) 程�,和/或可由這些設(shè)備之一執(zhí)行的對象。在一個實(shí)施方式中��,客戶端 130可以以本文描述的方式請求訪問和/或批準(zhǔn)使用安全資源���。在其他實(shí) 施方式中�����,客戶端130可以對應(yīng)于第二用戶設(shè)備110�����。
網(wǎng)絡(luò)140可以包括局域網(wǎng)(LAN )�����、廣域網(wǎng)(WAN )����、城域網(wǎng)(MAN)、 電話網(wǎng)絡(luò)(例如公共交換電話網(wǎng)絡(luò)(PSTN)或蜂窩電話網(wǎng)絡(luò))�����、內(nèi)聯(lián) 網(wǎng)����、因特網(wǎng)或者網(wǎng)絡(luò)的組合。用戶設(shè)備IIO�����、服務(wù)器120和客戶端130 可以經(jīng)由有線和/或無線連接連接到網(wǎng)絡(luò)140�。
雖然圖1示出了網(wǎng)絡(luò)IOO的示例性部件,但是在其他實(shí)施方式中����,網(wǎng)絡(luò)100可以包含比圖l所示更少的、不同的或附加的部件����。
如圖1中進(jìn)一步所示�����,在示例性操作中�����,客戶端130可以給服務(wù)器 120發(fā)送訪問安全資源的請求150��。在認(rèn)證實(shí)例中,客戶端130可以與 請求150—起提供用戶設(shè)備110的驗(yàn)證電話號碼�����。該驗(yàn)證電話號碼可以 用于授權(quán)和/或認(rèn)證客戶端130的用戶���。在交易實(shí)例中��,服務(wù)器120可以 確定與請求150的安全資源關(guān)聯(lián)的用戶設(shè)備(例如用戶設(shè)備110)����。月良 務(wù)器120可以產(chǎn)生SMS信號160以建立與用戶設(shè)備110的安全會話���, 并且如果建立了安全會話���,可以發(fā)送對于認(rèn)證機(jī)制(例如用戶名��、密碼���、 PIN等)的請求170給用戶設(shè)備110。在認(rèn)證實(shí)例中����,服務(wù)器120可以 將驗(yàn)證電話號碼與認(rèn)證機(jī)制相關(guān)聯(lián),并且可以請求來自用戶設(shè)備110的 認(rèn)證機(jī)制�。在交易實(shí)例中,服務(wù)器120可以提供安全資源的描述給用戶 設(shè)備110并且可以請求由用戶設(shè)備110通過私有密鑰對該描述進(jìn)行簽 名��。
如圖1中進(jìn)一步所示���,用戶設(shè)備IIO可以給服務(wù)器120提供認(rèn)證機(jī) 制180�。在認(rèn)證實(shí)例中����,用戶設(shè)備IIO可以直接給服務(wù)器120提供認(rèn)證 機(jī)制180,并且認(rèn)證才幾制180可以與-驗(yàn)證電話號碼相關(guān)聯(lián)。服務(wù)器120 可以接收認(rèn)證機(jī)制180并且可以-驗(yàn)證認(rèn)證機(jī)制180 (例如通過比較認(rèn)證 機(jī)制180與驗(yàn)證電話號碼)���。在交易實(shí)例中����,用戶設(shè)備110可以用私有 密鑰對安全資源描述進(jìn)行簽名。服務(wù)器120可以接收簽名的描述并且可 以用與用戶設(shè)備110關(guān)聯(lián)的公共密鑰驗(yàn)證安全資源的簽名的描述�����。在認(rèn) 證實(shí)例和交易實(shí)例二者中�,服務(wù)器120可以給客戶端130發(fā)送準(zhǔn)許或拒 絕訪問安全資源的信號190。例如�,如果客戶端130被準(zhǔn)許訪問安全資 源,服務(wù)器120可以給客戶端130提供對安全資源的訪問��。
示例性用戶設(shè)備配置
圖2是本文描述的一個實(shí)施方式中的用戶設(shè)備110的示例性前牙見 圖���。如圖2所示,用戶設(shè)備110可以包括外殼210�����、揚(yáng)聲器220���、顯示 器230�����、控制按鈕240���、小鍵盤250和/或麥克風(fēng)260���。外殼210可以保 護(hù)用戶設(shè)備110的部件不受外部元件的影響。揚(yáng)聲器220可以給用戶設(shè) 備110的用戶提供可聽信息���。
顯示器230可以給用戶提供視覺信息���。例如,顯示器230可以顯示 輸入到用戶設(shè)備110的文本����、從另一設(shè)備(例如服務(wù)器120)接收的文本和/或圖形(例如SMS信號)和/或關(guān)于到來的呼叫或發(fā)出的呼叫的信
息或文本消息、媒體�、游戲、電話簿��、地址簿�、當(dāng)前時間等?�?刂瓢粹o
240可以允許用戶與用戶設(shè)備110交互以使得用戶設(shè)備110執(zhí)行一個或
多個操作����。例如�����,控制按鈕240可以用于使用戶設(shè)備110發(fā)送信息�。小
鍵盤250可以包括標(biāo)準(zhǔn)電話小鍵盤�。麥克風(fēng)260可以從用戶接收可聽信 自
雖然圖2示出了用戶設(shè)備110的示例性元件,但是在其他實(shí)施方式 中�,用戶設(shè)備110可以包含比圖2所示更少的、不同的或附加的元件�。 在另外的實(shí)施方式中,用戶設(shè)備110的一個或多個元件可以導(dǎo)丸行由用戶 設(shè)備110的一個或多個其他元件執(zhí)行的任務(wù)�����。
圖3是用戶設(shè)備110的示例性部件的示圖����。如圖3所示��,用戶設(shè)備 110可以包括處理邏輯310�、存儲器320、用戶接口 330����、通信接口 340 和/或天線組件350���。處理邏輯310可以包括處理器、微處理器���、專用集 成電路(ASIC)���、現(xiàn)場可編程門陣列(FPGA)等。處理邏輯310可以 控制用戶設(shè)備110及其部件的操作�。存儲器320可以包括隨機(jī)存取存儲 器(RAM)、只讀存儲器(ROM)和/或另一類型的存儲器以存儲可由 處理邏輯310使用的數(shù)據(jù)和指令���。
用戶接口 330可以包括用于輸入信息到用戶設(shè)備110和/或用于從用 戶設(shè)備110輸出信息的機(jī)構(gòu)�。輸入和輸出機(jī)構(gòu)的實(shí)例可以包括按鈕(例 如控制按鈕240����、小鍵盤250的按鍵、操縱桿等)�����,其允許將數(shù)據(jù)和控 制命令輸入到用戶設(shè)備110中;揚(yáng)聲器(例如揚(yáng)聲器220)�����,其接收電 信號并且輸出音頻信號�����;麥克風(fēng)(例如麥克風(fēng)260),其接收音頻信號 并且輸出電信號�;顯示器(例如顯示器230),其輸出視覺信息(例如 輸入到用戶設(shè)備110中的文本);和/或振動器�����,其使得用戶設(shè)備110振 動�。
通信接口 340可以包括例如發(fā)射器和/或接收器,所述發(fā)射器可以將 來自處理邏輯310的基帶信號轉(zhuǎn)換為射頻(RF)信號�,所述接收器可以 將RF信號轉(zhuǎn)換為基帶信號?����?商鎿Q地�,通信接口 340可以包括執(zhí)行接 收器和發(fā)射器兩者的功能的收發(fā)器����。通信接口 340可以連接到用于發(fā)射 和/或接收RF信號的天線組件350�����。天線組件350可以包括一個或多個 天線以通過空氣(over the air)發(fā)射和/或接收RF信號�。天線組件350 可以例如接收來自通信接口 340的RF信號并且將它們通過空氣發(fā)射出去以及通過空氣接收RF信號并且將它們提供給通信接口 340�。在一個 實(shí)施方式中,例如通信接口 340可以與網(wǎng)絡(luò)(例如網(wǎng)絡(luò)140)通信����。
如下面將要詳細(xì)描述的,用戶設(shè)備110可以響應(yīng)于處理邏輯310執(zhí) 行包含在計(jì)算機(jī)可讀介質(zhì)(例如存儲器320)中的應(yīng)用的軟件指令而執(zhí) 行某些操作���。計(jì)算機(jī)可讀介質(zhì)可以定義為物理或邏輯存儲器設(shè)備和/或載 波�?��?梢詮牧硪挥?jì)算機(jī)可讀介質(zhì)或從另一設(shè)備經(jīng)由通信接口 340將軟件 指令讀入到存儲器320中���。包含在存儲器320中的軟件指令可以使處理 邏輯310執(zhí)行稍后將描述的過程?�?商鎿Q地�,硬連線電路可以代替軟件 指令使用或與軟件指令結(jié)合使用以實(shí)施此處描述的過程。因此,本文描 述的實(shí)施方式并不限于硬件電路和軟件的任何特定組合��。
雖然圖3示出了用戶設(shè)備110的示例性部件���,但是在其他實(shí)施方式 中����,用戶設(shè)備IIO可以包含比圖3所示更少的���、不同的或附加的部件���。 在另外的實(shí)施方式中,用戶設(shè)備110的一個或多個部件可以執(zhí)行由用戶 設(shè)備110的一個或多個其他部件執(zhí)行的任務(wù)���。
示例性客戶端/服務(wù)器配置 圖4是對應(yīng)于服務(wù)器120或客戶端130的客戶端/服務(wù)器實(shí)體的示例 性示圖�。如圖所示��,客戶端/服務(wù)器實(shí)體可以包括總線410����、處理單元420、 主存儲器430���、 ROM 440����、存儲設(shè)備450��、輸入設(shè)備460���、輸出設(shè)備470 和/或通信接口 480�����??偩€410可以包括允許客戶端/服務(wù)器實(shí)體的部件間 通信的路徑���。
處理單元420可以包括處理器�、微處理器或其他類型的能夠解釋和 執(zhí)行指令的處理邏輯����。主存儲器430可以包括RAM或另一類型的能夠 存儲信息和指令以供處理單元420執(zhí)行的動態(tài)存儲設(shè)備。ROM 440可以 包括ROM設(shè)備或另一類型的能夠存儲靜態(tài)信息和/或指令以供處理單元 420使用的靜態(tài)存儲設(shè)備��。存儲設(shè)備450可以包括磁性和/或光學(xué)記錄介 質(zhì)以及其對應(yīng)的驅(qū)動器�。
輸入設(shè)備460可以包括允許操作員輸入信息到客戶端/服務(wù)器實(shí)體 的機(jī)構(gòu)��,例如鍵盤�、鼠標(biāo)��、筆����、麥克風(fēng)、語音識別和/或生物測定機(jī)構(gòu)等���。 輸出設(shè)備470可以包括向操作員輸出信息的機(jī)構(gòu)�,包括顯示器��、打印機(jī)����、 揚(yáng)聲器等。通信接口 480可以包括任何使得客戶端/服務(wù)器實(shí)體能夠與其 他設(shè)備和/或系統(tǒng)通信的類似于收發(fā)器的機(jī)構(gòu)��。例如��,通信接口 480可以包括用于經(jīng)由網(wǎng)絡(luò)(例如網(wǎng)絡(luò)140)與另一設(shè)備或系統(tǒng)通信的機(jī)構(gòu)���。
如下面將詳細(xì)描述的����,客戶端/服務(wù)器實(shí)體可以響應(yīng)于處理單元420 執(zhí)行包含在諸如主存儲器430之類的計(jì)算機(jī)可讀介質(zhì)中的軟件指令而執(zhí) 行某些操作?���?梢詫⑦@些軟件指令從另一計(jì)算機(jī)可讀介質(zhì)(例如存儲設(shè) 備450)或從另一設(shè)備經(jīng)由通信接口 480讀入到主存儲器430中�。包含 在主存儲器430中的軟件指令可以使處理單元420執(zhí)行稍后將描述的過 程??商鎿Q地,硬連線電路可以代替軟件指令使用或與軟件指令結(jié)合使 用以實(shí)施本文描述的過程���。因此�����,本文描述的實(shí)施方式并不限于硬件電 路和軟件的任何特定組合�����。
雖然圖4示出了客戶端/服務(wù)器實(shí)體的示例性部件���,但是在其他實(shí)施 方式中,客戶端/服務(wù)器實(shí)體可以包含比圖4所示更少的��、不同的或附加 的部件。在另外的實(shí)施方式中�����,客戶端/服務(wù)器實(shí)體的一個或多個部件可 以執(zhí)行由客戶端/服務(wù)器實(shí)體的一個或多個其他部件執(zhí)行的任務(wù)�����。
示例性客戶端/服務(wù)器操作
圖5是可以由客戶端130提供的示例性顯示500的示圖�����。如圖5左 邊所示�,用戶可以經(jīng)由客戶端130請求訪問安全資源(例如由服務(wù)器120 提供)。例如�,用戶可以請求訪問公司內(nèi)聯(lián)網(wǎng)、安全服務(wù)器�����、安全網(wǎng)絡(luò) 內(nèi)提供的應(yīng)用��、信用卡或借記卡����、建筑物�、交通工具等���。在認(rèn)證實(shí)例中�, 客戶端130可以提供顯示�,該顯示包括用于使得能夠錄入(enter)驗(yàn)證 電話號碼的機(jī)制510以及使得能夠提交所錄入的驗(yàn)證電話號碼的提交機(jī) 制520。機(jī)制510可以包括例如輸入域�、提供電話號碼選4^的下拉式菜 單和/或其他類似的輸入機(jī)制。提交機(jī)制520可以包括可以在用戶懸停在 機(jī)制520上或點(diǎn)擊機(jī)制520時被選擇的機(jī)制(例如圖標(biāo)��、鏈接�、按鈕和 /或其他類似的選擇機(jī)制)����。
通過機(jī)制510輸入的安全資源請求和驗(yàn)證電話號碼可以由服務(wù)器 120接收,并且服務(wù)器120可以執(zhí)行對用戶設(shè)備110的驗(yàn)證功能����,如下 面結(jié)合圖6所描述的。服務(wù)器120可以將驗(yàn)證電話號碼與認(rèn)證機(jī)制(例 如用戶名���、密碼��、PIN等)相關(guān)聯(lián)��。如圖5中間所示��,如果服務(wù)器120 正執(zhí)行對用戶設(shè)備110的-瞼證功能�����,那么客戶端130可以顯示信息530, 該信息指示客戶端130正等待訪問安全資源�。如圖5右邊所示,在服務(wù) 器120已經(jīng)完成了驗(yàn)證功能之后�,客戶端130可以顯示信息540,該信息指示是準(zhǔn)許還是拒絕對安全資源的訪問。
雖然未在圖5中示出���,在交易實(shí)例中�,用戶可以經(jīng)由客戶端130請 求批準(zhǔn)使用安全資源(例如由服務(wù)器120提供)�����。服務(wù)器120可以將安 全資源與和用戶設(shè)備IIO有關(guān)的電話號碼和公共密鑰相關(guān)聯(lián)�����,并且可以 執(zhí)行對用戶設(shè)備110的驗(yàn)證功能�,如下面結(jié)合圖6所描述的。如果服務(wù) 器120正執(zhí)行對用戶設(shè)備110的驗(yàn)證功能,那么客戶端130可以顯示信 息(例如類似于信息530)���,該信息指示客戶端130正等待批準(zhǔn)使用安 全資源����。例如��,如果用戶正請求批準(zhǔn)信用卡交易���,那么客戶端130可以 顯示信息�����,該信息指示信用卡交易正等待批準(zhǔn)�。在服務(wù)器120已經(jīng)完成 了驗(yàn)證功能之后����,客戶端130可以顯示信息(例如類似于信息540), 該信息指示是否批準(zhǔn)用戶使用安全資源�����。
雖然圖5示出了客戶端130的示例性顯示500��,但是在其他實(shí)施方 式中,客戶端130可以提供比圖5所示更少的�����、不同的或附加的顯示���。 在另外的實(shí)施方式中��,圖5的示例性顯示500可以包括比圖5所示更少 的��、不同的或附加的元素�����。
示例性用戶設(shè)備/服務(wù)器操作
圖6是可以由用戶設(shè)備IIO提供的示例性顯示600的示圖����。如圖6 左邊所示�,如果用戶經(jīng)由客戶端130請求訪問安全資源(例如由服務(wù)器 120提供),那么服務(wù)器120可以產(chǎn)生SMS信號(例如圖1的SMS信 號160)����。在認(rèn)證實(shí)例中,SMS信號可以由與馬全證電話號碼和用戶關(guān)聯(lián) 的用戶設(shè)備IIO接收�,并且可以在用戶設(shè)備IIO和服務(wù)器120之間建立 安全會話�����。用戶設(shè)備110可以顯示信息610 (例如圖標(biāo)���、鏈接等),該 信息指示接收到SMS信號�。如果用戶設(shè)備110的用戶選擇信息610 (例 如通過懸停在信息610上或點(diǎn)擊信息610),那么如圖6中間所示,用 戶設(shè)備110可以顯示SMS信號的內(nèi)容����。SMS信號的內(nèi)容可以包括例如 請求用戶選擇地址630 (例如統(tǒng)一資源定位符(URL))以開始安全資 源訪問 -驗(yàn)證過程的信息620 。
在認(rèn)證實(shí)例中���,SMS信號可以包括所請求的安全資源的描述以及到 由服務(wù)器120保持的可下載應(yīng)用(例如Javamidlet (移動信息設(shè)備小程 序))的URL��。由服務(wù)器120保持的每個可下載應(yīng)用可以包含具有私有 密鑰字段的數(shù)據(jù)段�,并且為了安全起見可以加密該數(shù)據(jù)段(例如以防止攻擊)�。服務(wù)器120可以將(例如用戶設(shè)備110的)驗(yàn)證電話號碼列表 與對應(yīng)的可下載應(yīng)用(以及它們的對應(yīng)認(rèn)證機(jī)制)相關(guān)聯(lián)以創(chuàng)建成對的 -瞼證電話號碼和對應(yīng)認(rèn)證機(jī)制。如果啟動了可下載應(yīng)用(例如如果用戶 選擇了地址630)��,那么用戶設(shè)備110可以聯(lián)系服務(wù)器120并且啟動與 服務(wù)器120的安全通信�。例如���,用戶設(shè)備IIO可以通過安全套接字連接 (或其他類型的安全連接)向服務(wù)器120提供它的電話號碼����。
如果在用戶設(shè)備IIO和服務(wù)器120之間建立了安全通信,那么服務(wù) 器120可以向用戶設(shè)備IIO提供各種信息以輔助驗(yàn)證過程��。例如���,如圖 6右邊所示�,用戶設(shè)備110可以顯示用于提供所請求的安全資源的描述 的信息640���、使得能夠錄入認(rèn)證機(jī)制的機(jī)制650���、詢問是準(zhǔn)許還是拒絕 對安全資源的訪問的信息660以及使得能夠提交錄入的認(rèn)證機(jī)制和決定 是準(zhǔn)許還是拒絕訪問的兩個提交機(jī)制(例如YES機(jī)制670和NO機(jī)制 680)。機(jī)制650可以包括例如輸入域���、提供認(rèn)證機(jī)制選擇的下拉式菜 單和/或其他類似的輸入機(jī)制��。提交機(jī)制670和680可以包括在用戶懸停 在提交機(jī)制670和680上或點(diǎn)擊提交機(jī)制670和680時可以被選擇的機(jī) 制(例如圖標(biāo)��、鏈接��、按鈕和/或其他類似的選擇機(jī)制)�。在其他實(shí)施方 式中,與用戶設(shè)備110關(guān)聯(lián)的認(rèn)證才幾制可以自動生成(例如如果選拷�, YES才幾制670),并且可以省略機(jī)制650���。
如果用戶設(shè)備110的用戶想要提供對安全資源的訪問�����,那么用戶可 以提供認(rèn)證機(jī)制(例如經(jīng)由機(jī)制650提供或用戶設(shè)備110自動提供)并 且可以選擇YES機(jī)制670�。服務(wù)器120可以接收來自用戶設(shè)備110的認(rèn) 證機(jī)制�,并且可以馬全證該認(rèn)證才幾制以便確定是準(zhǔn)許還是拒絕對安全資源 的訪問。例如���,服務(wù)器120可以準(zhǔn)許用戶經(jīng)由客戶端130訪問由服務(wù)器 120提供的安全資源��。如果用戶設(shè)備的用戶想拒絕對安全資源的訪問�, 那么用戶可以省略經(jīng)由才幾制650提供信息和/或可以選擇NO才幾制680����。 服務(wù)器120可以基于該信息和/或在認(rèn)證機(jī)制未被驗(yàn)證的情況下拒絕對 安全資源的訪問。
如果用戶試圖再次訪問相同的安全資源(例如用戶試圖再次登陸安 全網(wǎng)站)����,那么服務(wù)器120可以檢查以了解可下載應(yīng)用(例如Java移 動信息設(shè)備小程序)是否正在用戶設(shè)備110上運(yùn)行。如果Java移動信 息設(shè)備小程序正在用戶設(shè)備110上運(yùn)行�,那么可以立即開始認(rèn)證過程(例 如對于私有密鑰的請求)。如果java移動信息設(shè)備小程序不在用戶設(shè)備110上運(yùn)行����,那么可以將SMS信號發(fā)送到用戶設(shè)備110并且可以開 始如上所述的i人證過程。
雖然未在圖6示出��,在交易實(shí)例中����,服務(wù)器120可以將安全資源和 /或安全資源請求與和用戶設(shè)備IIO有關(guān)的電話號碼和公共密鑰相關(guān)聯(lián)。 服務(wù)器120可以向用戶設(shè)備110發(fā)送SMS信號����,該信號包括用于建立 與服務(wù)器120的安全會話的地址(類似于地址630)。如果在用戶設(shè)備 IIO和服務(wù)器120之間建立了安全會話�,那么服務(wù)器120可以向用戶設(shè) 備110發(fā)送(并且用戶設(shè)備110可以顯示)安全資源的描述(類似于信 息640)、請求批準(zhǔn)的用戶(例如個人�、設(shè)備等)、對批準(zhǔn)用戶使用安 全資源的請求(類似于信息660和提交機(jī)制670和680)和/或標(biāo)識該請 求的隨機(jī)數(shù)�。可以經(jīng)由用戶設(shè)備110通過用私有密鑰對安全資源的描述 進(jìn)行電子簽名并且將簽名的描述和隨機(jī)數(shù)發(fā)送給服務(wù)器120來批準(zhǔn)該安 全資源請求�����。在其他實(shí)施方式中,可以用其他機(jī)制來批準(zhǔn)安全資源請求�, 所述其他機(jī)制可以將私有密鑰用于批準(zhǔn)目的。
為了確定是準(zhǔn)許還是拒絕對安全資源的訪問����,服務(wù)器120可以用與 用戶設(shè)備110關(guān)聯(lián)的公共密鑰和/或通過比較接收的隨機(jī)數(shù)與原始隨機(jī) 數(shù)來驗(yàn)證安全資源的簽名的描述。例如�����,如果服務(wù)器120驗(yàn)證了該簽名 的描述�,那么請求方(例如經(jīng)由客戶端130)可以接收到使用安全資源 的批準(zhǔn)。
雖然在此描述的實(shí)施方式討論了對于每個可下載應(yīng)用使驗(yàn)證電話 號碼與對應(yīng)的認(rèn)證機(jī)制配對����,但是在其他實(shí)施方式中,這種配對可以省 略并且請求訪問安全資源的用戶可以提供關(guān)鍵碼(例如數(shù)字����、字母或者 數(shù)字或字母的組合),其可以從驗(yàn)證用戶設(shè)備IIO請求�����。
此外,雖然在此描述的實(shí)施方式討論了提供SMS信號��,但是在其 他實(shí)施方式中��,也可以使用與SMS信號不同的信號���。例如,可以使用 網(wǎng)際協(xié)議(IP)多媒體子系統(tǒng)(IMS)信號����、Jabber信號或另一種基于 IP的信號。如果使用了基于IP的信號����,那么用戶設(shè)備110可以自動連 接到服務(wù)器120并且服務(wù)器120可以使用適當(dāng)?shù)膮f(xié)議(在IMS的情況下 為會話啟動協(xié)議(SIP 在Jabber的情況下為可擴(kuò)展消息處理現(xiàn)場協(xié) 議(XMPP )等)聯(lián)系用戶設(shè)備110。如果用戶設(shè)備110的IP地址未知 并且用戶設(shè)備110不向服務(wù)器120提供其IP地址���,那么使用SMS信號 可能是有利的��。SMS信號因此可以啟動未知用戶設(shè)備IIO和服務(wù)器120之間的通1言����。
更進(jìn)一步�,在此描述的實(shí)施方式可以用于將聊天會話爿Mv用戶設(shè)備
110 (例如移動電話)傳遞到客戶端130 (例如客戶端130上提供的web 接口)。這可以通過將在此描述的實(shí)施方式合并到聊天應(yīng)用中來實(shí)現(xiàn)�����。 如果用戶想要將聊天傳遞到客戶端130,用戶可以在客戶端130的web 接口上錄入用戶設(shè)備110的電話號碼��,其可以觸發(fā)用戶設(shè)備IIO上的對 話�,詢問用戶其是否希望將聊天傳遞到客戶端130的web接口。
雖然圖6示出了用戶設(shè)備110的示例性顯示600,但是在其他實(shí)施 方式中����,用戶設(shè)備IIO可以提供比圖6所示更少的、不同的或附加的顯 示��。在另外的實(shí)施方式中��,圖6的示例性顯示600可以包括比圖6所示 更少的���、不同的或附加的元素���。
示例性過程
圖7-11描繪了根據(jù)此處描述的實(shí)施方式的示例性過程的流程圖?��??的說來��,圖7描繪了能夠由服務(wù)器120執(zhí)行的示例性認(rèn)證過程700��,圖 8描繪了能夠由服務(wù)器120執(zhí)行的示例性交易過程800�,圖9描繪了能 夠由用戶設(shè)備110執(zhí)行的示例性認(rèn)證過程900,圖IO描繪了能夠由用戶 設(shè)備IIO執(zhí)行的示例性交易過程1000,并且圖11描繪了能夠由客戶端 130執(zhí)行的示例性過程1100�����。過程700-1100可以由用戶設(shè)備110���、服務(wù) 器120、客戶端130上的硬件和/或軟件部件執(zhí)行�,或由用戶i殳備110、 服務(wù)器120和/或客戶端130的組合執(zhí)行�����。
認(rèn)證過程(服務(wù)器)
如圖7所示�,過程700可以開始于接收訪問安全資源的"i青求和/或-驗(yàn) 證電話號碼(框710)。例如����,在以上結(jié)合圖5描述的一個實(shí)施方式中, 由客戶端130的機(jī)制510輸入的安全資源請求和-瞼證電話號碼可以由月l 務(wù)器120接收��。
SMS信號可以被產(chǎn)生并且發(fā)送到驗(yàn)證電話號碼以建立安全會話(框 720)。例如���,在以上結(jié)合圖6描述的一個實(shí)施方式中�,如果用戶經(jīng)由 客戶端130請求訪問(例如由服務(wù)器120提供的)安全資源��,那么服務(wù) 器120可以產(chǎn)生SMS信號(例如圖1的SMS信號160)��。該SMS信號 可以包括例如請求用戶選擇地址630 (例如URL)以開始安全資源訪問馬全證過程的信息620��。
如圖7中進(jìn)一步所示���,可以將驗(yàn)證電話號碼與認(rèn)證機(jī)制相關(guān)聯(lián)(框 730)�。例如��,在以上結(jié)合圖5描述的一個實(shí)施方式中�,服務(wù)器120可 以將驗(yàn)證電話號碼與認(rèn)證機(jī)制(例如用戶名、密碼�����、PIN等)相關(guān)聯(lián)�����。
可以請求認(rèn)證機(jī)制以一驗(yàn)證安全資源請求(框740)。例如��,在以上 結(jié)合圖6描述的一個實(shí)施方式中���,如果在服務(wù)器120和用戶設(shè)備110之 間建立了安全通信��,那么服務(wù)器120可以向用戶設(shè)備110提供各種信息 以輔助驗(yàn)證過程�����。在 一 個實(shí)例中����,服務(wù)器120可以提供請求錄入認(rèn)證機(jī) 制的機(jī)制650�����、詢問是準(zhǔn)許還是拒絕對安全資源的訪問的信息660以及 使得能夠提交錄入的認(rèn)證機(jī)制和決定是準(zhǔn)許還是拒絕訪問的兩個提交 才幾制(例如YES才幾制670和NO才幾制680 )����。
如圖7中進(jìn)一步所示���,如果接收到認(rèn)證機(jī)制(框750),那么可以 馬t證該認(rèn)證斥幾制(框760)并且可以基于該驗(yàn)證準(zhǔn)許對安全資源的訪問 (框770)�。例如,在以上結(jié)合圖6描述的一個實(shí)施方式中�����,如果用戶 設(shè)備110的用戶想要提供對安全資源的訪問����,那么用戶可以提供認(rèn)證^/L 制(例如經(jīng)由機(jī)制650提供或用戶設(shè)備110自動提供)。服務(wù)器120可 以接收來自用戶設(shè)備110的認(rèn)證機(jī)制����,并且可以通過例如將接收的認(rèn)證 機(jī)制和與驗(yàn)證電話號碼關(guān)聯(lián)的認(rèn)證機(jī)制相比較來驗(yàn)證該認(rèn)證機(jī)制。服務(wù) 器120可以基于認(rèn)證機(jī)制的驗(yàn)證結(jié)果來確定是準(zhǔn)許還是拒絕對安全資源 的"i方問�。
交易過程(服務(wù)器)
如圖8所示,過程800可以開始于接收對批準(zhǔn)訪問安全資源的請求 (框810)�。例如,在以上結(jié)合圖1描述的一個實(shí)施方式中�,客戶端130 可以向服務(wù)器120發(fā)送請求訪問安全資源的請求150。
與安全資源關(guān)聯(lián)的用戶設(shè)備可以被確定(框820)����。例如,在以上 結(jié)合圖6描述的一個實(shí)施方式中�����,服務(wù)器120可以將安全資源與和用戶 設(shè)備110有關(guān)的電話號碼和公共密鑰相關(guān)聯(lián)。
如圖8中進(jìn)一步所示����,可以產(chǎn)生SMS信號以建立與用戶設(shè)備的安 全會話(框830)。例如����,在以上結(jié)合圖6描述的一個實(shí)施方式中,服 務(wù)器120可以向用戶設(shè)備110發(fā)送包括用于建立與服務(wù)器120的安全會 話的地址的SMS信號��。該SMS信號可以包括例如請求用戶選沖奪地址630(例如URL )以開始安全資源訪問驗(yàn)證過程的信息620 �。
可以提供安全資源的描述和對簽名的請求(框840)。例如�����,在以 上結(jié)合圖6描述的一個實(shí)施方式中����,如果在服務(wù)器120和用戶設(shè)備110 之間建立了安全會話��,那么服務(wù)器120可以向用戶設(shè)備IIO發(fā)送(并且 用戶設(shè)備110可以顯示)安全資源的描述(類似于信息640)�����、請求批 準(zhǔn)的用戶(例如個人、設(shè)備)�、對批準(zhǔn)用戶使用安全資源的請求(類似 于信息660和提交機(jī)制670和680 )和/或標(biāo)識該請求的隨才幾數(shù)。
如圖8中進(jìn)一步所示�����,如果接收到用私有密鑰簽名的安全資源描述 (框850 ),那么可以用與用戶設(shè)備關(guān)聯(lián)的公共密鑰驗(yàn)證該簽名的描述 (框860)并且可以基于該驗(yàn)證準(zhǔn)許或拒絕對使用安全資源的批準(zhǔn)(框 870)�。例如,在以上結(jié)合圖6描述的一個實(shí)施方式中��,可以經(jīng)由用戶 設(shè)備110通過用私有密鑰對安全資源的描述進(jìn)行電子簽名并且將簽名的 描述和隨機(jī)數(shù)發(fā)送到服務(wù)器120來批準(zhǔn)安全資源請求����。為了確定是準(zhǔn)許 還是拒絕對安全資源的訪問,服務(wù)器120可以用與用戶設(shè)備110關(guān)聯(lián)的 公共密鑰和/或通過比較接收的隨機(jī)數(shù)與原始隨機(jī)數(shù)來驗(yàn)證安全資源的 簽名的描述���。服務(wù)器120可以基于由服務(wù)器120執(zhí)行的驗(yàn)證結(jié)果來準(zhǔn)許 或拒絕批準(zhǔn)使用安全資源��。
認(rèn)證過程(用戶設(shè)備)
如圖9所示�����,過程900可以開始于接收包含用于建立安全會話的地 址的SMS信號(框910)�����。例如�����,在以上結(jié)合圖6描述的一個實(shí)施方式 中��,可以由與驗(yàn)證電話號碼和用戶關(guān)聯(lián)的用戶設(shè)備IIO接收SMS信號�����。 用戶設(shè)備110可以顯示信息610 (例如圖標(biāo)����、鏈接等),該信息指示接 收到SMS信號��。如果用戶設(shè)備110的用戶選擇信息610 (例如通過懸停 在信息610上或點(diǎn)擊信息610)��,那么用戶設(shè)備110可以顯示例如請求 用戶選擇地址630(例如URL )以開始安全資源訪問驗(yàn)證過程的信息620�����。
如果基于接收的地址建立了安全會話(框920),那么可以接收對 要訪問的安全資源的描述和/或?qū)φJ(rèn)證機(jī)制的請求(塊930)����。例如,在 以上結(jié)合圖6描述的一個實(shí)施方式中�,URL可以提供到由服務(wù)器120保 持的可下載應(yīng)用(例如Java移動信息設(shè)備小程序)的地址。如果啟動 了可下載應(yīng)用(例如如果用戶選擇了地址630),那么用戶設(shè)備110可 以聯(lián)系服務(wù)器120并且啟動與服務(wù)器120的安全通信(例如用戶設(shè)備110可以通過安全套接字連接向服務(wù)器120提供它的電話號碼)�����。如果在用 戶設(shè)備IIO與服務(wù)器120之間建立了安全通信����,那么用戶設(shè)備110可以 接收提供對所請求的安全資源的描述的信息640以及對錄入認(rèn)證機(jī)制的 請求(例如機(jī)制650)。
如圖9中進(jìn)一步所示��,如果提供了認(rèn)證機(jī)制(框940)���,那么可以 接收是準(zhǔn)許還是拒絕對安全資源的訪問的指示(框950)��。例如��,在以 上結(jié)合圖6描述的一個實(shí)施方式中�����,如果用戶設(shè)備110的用戶想要準(zhǔn)i午 對安全資源的訪問�����,那么用戶可以提供認(rèn)證機(jī)制(例如經(jīng)由機(jī)制650提 供或用戶設(shè)備110自動提供)�。服務(wù)器120可以接收來自用戶設(shè)備110
資源的訪問。在其他實(shí)施方式中���,用戶設(shè)備110可以(例如從服務(wù)器120) 接收是已經(jīng)準(zhǔn)許還是拒絕對安全資源的訪問的指示��。
交易過程(用戶設(shè)備)
如圖IO所示�,過程IOOO可以開始于接收包含用于建立安全會話的 地址的SMS信號(框1010)�����。例如�,在以上結(jié)合圖6描迷的一個實(shí)施 方式中,可以由與所請求的安全資源關(guān)聯(lián)的用戶設(shè)備110接收SMS信 號�。用戶設(shè)備110可以顯示信息610 (例如圖標(biāo)、鏈接等)��,該信息指 示接收到SMS信號�����。如果用戶設(shè)備110的用戶選擇了信息610 (例如通 過懸停在信息610上或點(diǎn)擊信息610)�,那么用戶設(shè)備110可以顯示例 如請求用戶選擇地址630 (例如URL)以開始安全資源訪問-瞼證過程的 信息620�����。
如果基于接收的地址建立了安全會話(框1020),那么可以接收對 要訪問的安全資源的描述和/或?qū)灻恼埱?框1030)。例如�����,在以 上結(jié)合圖6描述的一個實(shí)施方式中�,如果在用戶設(shè)備110和服務(wù)器120 之間建立了安全會話,那么服務(wù)器120可以向用戶設(shè)備110發(fā)送(并且 用戶設(shè)備110可以顯示)安全資源的描述(類似于信息640)�����、請求批 準(zhǔn)的用戶(例如個人����、設(shè)備等)、對(例如經(jīng)由利用私有密鑰的簽名) 批準(zhǔn)用戶使用安全資源的請求(類似于信息660和提交機(jī)制670和680 ) 和/或標(biāo)識該-清求的隨才幾數(shù)���。
如圖10中進(jìn)一步所示�,如果將批準(zhǔn)安全資源請求��,那么可以用私 有密鑰對安全資源描述進(jìn)行簽名(框1040)�����。例如,在以上結(jié)合圖6描述的一個實(shí)施方式中�,可以經(jīng)由用戶設(shè)備110通過用私有密鑰對安全資
源的描述進(jìn)行電子簽名來批準(zhǔn)安全資源請求。
可以提供用私有密鑰簽名的安全資源描述(框1050)并且可以接收 是準(zhǔn)許還是拒絕對安全資源的訪問的指示(框1060)����。例如,在以上結(jié) 合圖6描述的一個實(shí)施方式中����,用戶設(shè)備110可以發(fā)送簽名的描述和隨 機(jī)數(shù)給服務(wù)器120。服務(wù)器120可以用與用戶設(shè)備110關(guān)聯(lián)的公共密鑰 和/或通過比較接收的隨機(jī)數(shù)與原始隨機(jī)數(shù)來驗(yàn)證安全資源的簽名的描 述����。在其他實(shí)施方式中,用戶設(shè)備110可以(從例如服務(wù)器120)接收 是已經(jīng)準(zhǔn)許還是拒絕對訪問安全資源的批準(zhǔn)的指示����。
認(rèn)證/交易過程(客戶端)
如圖11所示,過程1100可以開始于發(fā)送訪問安全資源的請求(框 1110)���。例如�,在以上結(jié)合圖5描述的一個實(shí)施方式(例如iU正和交易 實(shí)例)中�����,用戶可以經(jīng)由客戶端130請求訪問(例如由服務(wù)器120提供 的)安全資源。在一個實(shí)例中�,用戶可以請求訪問公司內(nèi)聯(lián)網(wǎng)、安全服 務(wù)器�、在安全網(wǎng)絡(luò)內(nèi)提供的應(yīng)用����、信用卡或借記卡、建筑物�、交通工具 等。
用戶設(shè)備的驗(yàn)證電話號碼可以被提供(框1120)�����。例如���,在以上結(jié) 合圖5描述的一個實(shí)施方式(例如認(rèn)證實(shí)例)中��,客戶端130可以提供 顯示���,該顯示包括用于使得能夠錄入驗(yàn)證電話號碼的機(jī)制510以及使得 能夠提交所錄入的驗(yàn)證電話號碼的提交機(jī)制520。通過機(jī)制510輸入的 安全資源請求和驗(yàn)證電話號碼可以由服務(wù)器120接收�,并且服務(wù)器120 可以執(zhí)行對用戶設(shè)備110的驗(yàn)證功能�。在交易實(shí)例中�����,不需要提供驗(yàn)證 電話號碼���,因?yàn)榉?wù)器120可以將所請求的安全資源與和用戶設(shè)備110 有關(guān)的電話號碼和公共密鑰相關(guān)聯(lián)���,并且可以執(zhí)行對用戶設(shè)備110的驗(yàn) 證功能。
如圖11中進(jìn)一步所示��,可以基于對用戶設(shè)備的驗(yàn)證接收對安全資 源的訪問的訪問或拒絕(框1130)����。例如,在以上結(jié)合圖5描述的一個 實(shí)施方式(例如認(rèn)證和交易實(shí)例)中��,在服務(wù)器120已經(jīng)完成了-瞼證功 能之后�����,客戶端130可以(例如從服務(wù)器120)接收并且顯示信息540�, 該信息指示是準(zhǔn)許還是拒絕對安全資源的訪問和/或指示是否批準(zhǔn)用戶 使用安全資源。結(jié)論
本文描述的實(shí)施方式可以基于由安全用戶設(shè)備提供的授權(quán)和/或認(rèn) 證而提供對一個或多個安全資源的訪問��。例如,在一個實(shí)施方式中����,用 戶設(shè)備可以對應(yīng)于能夠支持PKI的蜂窩電話或移動電話。用戶設(shè)備可以
包括兩組PKI憑證�,所述PKI憑證對試圖訪問安全資源的另 一設(shè)備提供 認(rèn)證和/或授權(quán)。本文描述的實(shí)施方式可以提供用于訪問任何安全資源的 簡單且安全的系統(tǒng)和方法�����,而無需記住多個密碼��、用戶名等��。
以上對實(shí)施方式的描述提供了圖示和描述���,但是并不預(yù)期是窮盡的 或?qū)⒈景l(fā)明限于所公開的精確形式。根據(jù)上迷教導(dǎo)����,修改和變化是可能 的,或者可以從本發(fā)明的實(shí)施中獲得�����。
例如,雖然已經(jīng)參考圖7-11描述了一系列動作���,但是在其他實(shí)施方 式中可以^修改這些動作的順序�����。此外�,不相關(guān)的動作可以并4t執(zhí)4亍�。
而且��,本文使用了術(shù)語"用戶"�。術(shù)語"用戶"意欲被廣泛地解釋為包 括客戶端和/或用戶設(shè)備或者客戶端和/或用戶設(shè)備的用戶�。
顯而易見的是��,如上所述的各方面在附圖中所示的實(shí)施方式中可以 以軟件、固件和硬件的許多不同形式來實(shí)現(xiàn)���。用于實(shí)現(xiàn)這些方面的實(shí)際 軟件代碼或?qū)S每刂朴布粦?yīng)當(dāng)被解釋為是限制性的���。因此,沒有參考 具體的軟件代碼來描述這些方面的操作和行為——應(yīng)當(dāng)理解�����,軟件和控 制硬件可以被設(shè)計(jì)成基于本文的描述而實(shí)現(xiàn)這些方面。
在本申請中使用的元件�、動作或指令都不應(yīng)當(dāng)被解釋為對于本發(fā)明
是關(guān)鍵的或必不可少的,除非這樣明確聲明��。而且��,當(dāng)在本文中使用時��, 冠詞"一����,,意欲包括一個或多個項(xiàng)目����。在僅打算表示一個項(xiàng)目的情況下����, 使用了術(shù)語"一個,�,或類似的語言。此外�����,詞語"基于"意欲表示"至少部分 地基于",除非另有明確聲明�����。
權(quán)利要求
1.一種方法����,包括接收來自第一設(shè)備的訪問安全資源的請求以及驗(yàn)證電話號碼;建立與第二設(shè)備的安全會話�,該第二設(shè)備與該驗(yàn)證電話號碼關(guān)聯(lián);請求來自該第二設(shè)備的認(rèn)證機(jī)制以驗(yàn)證該安全資源請求���;如果從該第二設(shè)備接收到所請求的認(rèn)證機(jī)制�����,則驗(yàn)證所接收的認(rèn)證機(jī)制���;以及基于所接收的認(rèn)證機(jī)制的驗(yàn)證,確定是準(zhǔn)許還是拒絕該第一設(shè)備對所述安全資源的訪問�。
2. 權(quán)利要求1的方法,還包括將所述驗(yàn)證電話號碼與所述認(rèn)證機(jī)制相關(guān)聯(lián)����。
3. 權(quán)利要求l的方法�,其中建立安全會話包括 產(chǎn)生包括用于建立安全會話的地址的短消息服務(wù)(SMS)信號���; 提供該SMS信號給第二設(shè)備��;以及 如果第二設(shè)備訪問該地址�����,則建立安全會話�����。
4. 權(quán)利要求l的方法����,其中驗(yàn)證所接收的認(rèn)證機(jī)制包括確定所接收的認(rèn)證機(jī)制是否匹配與所述驗(yàn)證電話號碼關(guān)聯(lián)的認(rèn)證 機(jī)制��。
5. —種方法��,包4舌接收使用安全資源的請求��;確定與該安全資源關(guān)聯(lián)的設(shè)備�����;建立和與該安全資源關(guān)聯(lián)的設(shè)備的安全會話�;請求來自該設(shè)備的對所述安全資源請求的批準(zhǔn);如果從該設(shè)備接收到對所述安全資源請求的批準(zhǔn)�����,則驗(yàn)證該批準(zhǔn)��;以及基于對該批準(zhǔn)的驗(yàn)證確定是準(zhǔn)許還是拒絕所述第 一設(shè)備使用該安 全資源���。
6. 權(quán)利要求5的方法����,其中建立安全會話包括 產(chǎn)生包括用于建立安全會話的地址的短消息服務(wù)(SMS)信號�����; 提供該SMS信號給所述設(shè)備��;以及 如果該設(shè)備訪問該地址��,則建立安全會話�����。
7. 權(quán)利要求5的方法,其中請求批準(zhǔn)包括提供安全資源的描述給所述設(shè)備��;以及 請求由該設(shè)備用私有密鑰對該描述進(jìn)行簽名��。
8. 權(quán)利要求5的方法��,其中驗(yàn)證批準(zhǔn)包括 用與所述設(shè)備關(guān)聯(lián)的公共密鑰驗(yàn)證該批準(zhǔn)�����。
9. 一種在第一設(shè)備內(nèi)實(shí)施的方法����,包括接收包括用于建立安全會話的地址的短消息服務(wù)(SMS)信號以認(rèn) 證第二設(shè)備訪問安全資源的請求; 基于該地址建立安全會話��;接收對認(rèn)證機(jī)制的請求以認(rèn)證該安全資源請求�;以及 如果將認(rèn)證該安全資源請求,則提供所請求的認(rèn)證機(jī)制����。
10. 權(quán)利要求9的方法��,進(jìn)一步包括接收是準(zhǔn)許還是拒絕第二設(shè)備訪問安全資源的指示。
11. 權(quán)利要求9的方法�,其中接收對認(rèn)證機(jī)制的請求包括 接收安全資源的描述。
12. —種在第一設(shè)備內(nèi)實(shí)施的方法����,包括接收包括用于建立安全會話的地址的短消息服務(wù)(SMS)信號以批 準(zhǔn)第二設(shè)備使用安全資源的請求; 基于該地址建立安全會話����; 接收對批準(zhǔn)該安全資源請求的請求;以及 如果將批準(zhǔn)該安全資源請求����,則提供所請求的批準(zhǔn)。
13. 權(quán)利要求12的方法����,還包括接收是準(zhǔn)許還是拒絕對笫二設(shè)備使用安全資源的批準(zhǔn)的指示。
14. 權(quán)利要求12的方法��,其中接收對于批準(zhǔn)的請求包括 接收安全資源的描述����;以及接收用私有密鑰對該描述進(jìn)行簽名的請求。
15. 權(quán)利要求14的方法��,其中提供所請求的批準(zhǔn)包括如果將批準(zhǔn)所述安全資源請求,則提供用私有密鑰簽名的所述描述�����。
16. 權(quán)利要求12的方法�����,其中接收對于批準(zhǔn)的請求包括以下至少 一個接收安全資源的描述��; 接收請求使用安全資源的用戶的標(biāo)識�����;或接收標(biāo)識所述安全資源請求的隨機(jī)數(shù)�。
17. —種在第一設(shè)備內(nèi)實(shí)施的方法,包括 請求訪問或使用安全資源�;提供標(biāo)識第二設(shè)備的^驗(yàn)證電話號碼,該第二設(shè)備認(rèn)證第 一設(shè)備以訪 問或使用該安全資源�����;以及基于由該第二設(shè)備提供的認(rèn)證接收對該安全資源的訪問或使用�。
18. —種系統(tǒng),包括用于接收來自第 一設(shè)備的訪問安全資源的請求的裝置���; 用于經(jīng)由短消息服務(wù)(SMS)信號與第二不同設(shè)備建立安全會話以 授權(quán)訪問該安全資源的裝置���;用于請求來自該第二設(shè)備的對安全資源請求的批準(zhǔn)的裝置;用于如果從該第二設(shè)備接收到對安全資源請求的批準(zhǔn)則^S正該批 準(zhǔn)的裝置���;以及用于基于對該批準(zhǔn)的-瞼證確定是準(zhǔn)許還是拒絕該第一設(shè)備訪問該 安全資源的裝置��。
19. 權(quán)利要求18的系統(tǒng)����,其中用于請求批準(zhǔn)的裝置包括以下裝置 之一用于請求來自第二設(shè)備的認(rèn)證機(jī)制以-驗(yàn)證該安全資源請求的裝置�����;或者用于請求由第二設(shè)備用私有密鑰對安全資源的描述進(jìn)行簽名的裝置�。
20. 權(quán)利要求18的系統(tǒng),其中用于驗(yàn)證批準(zhǔn)的裝置包括以下裝置 之一用于確定從第二設(shè)備接收的認(rèn)證機(jī)制是否匹配與第二設(shè)備的驗(yàn)證 電話號碼關(guān)聯(lián)的認(rèn)證機(jī)制的裝置�;或者用于用與第二設(shè)備關(guān)聯(lián)的公共密鑰驗(yàn)證該批準(zhǔn)的裝置。
21. —種系統(tǒng)�,包括用于接收包括用于建立安全會話的地址的短消息服務(wù)(SMS)信號 以認(rèn)證第二設(shè)備訪問安全資源的請求的裝置; 用于基于該地址建立安全會話的裝置��; 用于接收對批準(zhǔn)該安全資源請求的請求的裝置���;以及 用于如果將批準(zhǔn)該安全資源請求則提供所請求的批準(zhǔn)的裝置��。
22. 權(quán)利要求21的系統(tǒng)���,其中用于接收請求的裝置包括用于接收對認(rèn)證機(jī)制的請求以認(rèn)證所述安全資源請求的裝置��。
23. 權(quán)利要求22的系統(tǒng)�����,其中用于提供所請求的批準(zhǔn)的裝置包括 用于如果將認(rèn)證所述安全資源請求則提供所請求的認(rèn)證機(jī)制的裝置����。
24. 權(quán)利要求21的系統(tǒng)�,其中用于接收對于批準(zhǔn)的請求的裝置包括用于接收安全資源的描述以及接收請求使用安全資源的用戶的標(biāo) 識或標(biāo)識該安全資源請求的隨機(jī)數(shù)中的至少 一 個的裝置;以及 用于接收用私有密鑰對該描述進(jìn)行簽名的請求的裝置�。
25. 權(quán)利要求24的系統(tǒng),其中用于提供所請求的批準(zhǔn)的裝置包括 用于如果將批準(zhǔn)所述安全資源請求則提供用私有密鑰簽名的所述描述的裝置����。
26. —種設(shè)備,包括 用于存儲多個指令的存儲器�����;以及用于執(zhí)行該存儲器中的指令以進(jìn)行以下操作的處理器接收來自第一設(shè)備的訪問安全資源的請求,經(jīng)由短消息服務(wù)(SMS)信號與第二不同設(shè)備建立安全會話以 授權(quán)對該安全資源的訪問���,請求來自該第二設(shè)備的對安全資源請求的批準(zhǔn)����,如果從該笫二設(shè)備接收到對安全資源請求的批準(zhǔn)��,則驗(yàn)證該批 準(zhǔn)�����,以及基于對該批準(zhǔn)的驗(yàn)證確定是準(zhǔn)許還是拒絕該第 一設(shè)備訪問該 安全資源���。
27. —種設(shè)備,包括 用于存儲多個指令的存儲器�;以及用于執(zhí)行該存儲器中的指令以進(jìn)行以下操作的處理邏輯接收包括用于建立安全會話的地址的短消息服務(wù)(SMS)信號以認(rèn)證第二設(shè)備訪問安全資源的請求, 基于該地址建立安全會話���, 接收批準(zhǔn)該安全資源請求的請求�,以及 如果將批準(zhǔn)該安全資源請求�����,則提供所請求的批準(zhǔn)。
全文摘要
一種系統(tǒng)接收來自第一設(shè)備(130)的訪問安全資源的請求(150)以及驗(yàn)證電話號碼���;建立與第二設(shè)備(110)的安全會話��,該第二設(shè)備與驗(yàn)證電話號碼關(guān)聯(lián)�;請求來自該第二設(shè)備的認(rèn)證機(jī)制(170)以驗(yàn)證該安全資源請求�;如果從該第二設(shè)備接收到(180)所請求的認(rèn)證機(jī)制,則驗(yàn)證所接收的認(rèn)證機(jī)制��;以及基于所接收的認(rèn)證機(jī)制的驗(yàn)證����,確定是準(zhǔn)許還是拒絕(190)該第一設(shè)備對所述安全資源的訪問。
文檔編號H04L29/06GK101606370SQ200780051449
公開日2009年12月16日 申請日期2007年8月22日 優(yōu)先權(quán)日2007年2月23日
發(fā)明者B·G·斯塔夫諾, P·阿斯特蘭 申請人:索尼愛立信移動通訊股份有限公司