相關案例的交叉引用

本申請要求于2013年5月3日提交的申請號為13/886,518的美國申請的優先權。

技術領域

本文描述的方面總體上涉及企業系統內的用戶的認證。更具體地，本文的特定方面提供移動設備和其它客戶端設備上的用戶到企業系統中的各種資源和服務的安全認證的方法。

背景

移動設備(例如，智能電話、個人數字助理、平板電腦、其它類型的移動計算設備)正變得越來越流行。為了各種目的，移動設備被用在個人和商業環境中。此外，很多人具有多個計算設備(包括一個或多個移動設備)。用戶的不同的設備可以位于不同的位置中，并且可以具有不同的物理設備功能。例如，用戶可以具有帶有標準鍵盤和鼠標接口的臺式電腦、帶有觸摸屏接口和語音識別功能的移動設備、帶有指紋掃描儀接口的膝上型電腦等等。

具有多個計算設備的用戶可能希望使用他們的設備中的任一個來訪問相同的數據、應用和其它信息。為了經由客戶端設備遠程訪問數據和應用，用戶可以首先由提供數據和應用的認證服務和/或遠程資源或服務來認證。通常，用戶將認證憑證(例如用戶名和密碼)輸入到他們的設備中以便驗證他們的身份并且訪問企業系統的遠程資源或服務。用戶可能需要定期重新認證(例如在通信會話期間或在新的會話開始時)。此外，對于不同的遠程資源或服務，單個用戶可能具有不同的認證憑證集。

簡要概述

以下的內容呈現了本文描述的各個方面的簡化概述。該概要并非廣泛的綜述，并且并非旨在確定關鍵或重要元素或描繪權利要求的范圍。以下的概述僅僅以簡化形式呈現一些概念作為對以下提供的更詳細的描述的介紹性的前奏。

為了克服以上描述的現有技術的限制，并且克服在閱讀和理解本說明書時將明顯的其它限制，本文描述的方面針對在移動設備和其它客戶端設備上的用戶的安全認證，并且允許訪問企業系統中的各種資源和服務。根據某些方面，認證設備可以從客戶端設備接收用戶認證憑證(包括密碼(或令牌))。用戶可以被用認證憑證進行驗證，并且認證設備可以創建包括加密的用戶密碼的驗證數據和包括用于對密碼進行加密的密碼密鑰(cryptographic key)的訪問令牌。驗證數據可以由認證設備存儲，并且訪問令牌可以被傳送到客戶端設備。對于來自客戶端設備的將來的資源訪問請求，客戶端設備可以傳送訪問令牌，并且認證設備可以使用從客戶端設備接收的訪問令牌來檢索和解密驗證數據。

根據附加的方面，用戶可以經由客戶端設備的輸入接口輸入用戶秘密(user secret)(例如，個人識別號碼、觸摸屏手勢或生物統計數據)。用戶秘密可以由認證設備存儲并且用于驗證來自客戶端設備的將來的請求。例如，用戶可以針對將來的請求重新輸入用戶秘密，并且認證設備可以將請求中的用戶秘密與對應于相同的用戶、設備和/或請求的資源或服務的先前的存儲的用戶秘密進行比較。

根據另外的方面，在利用第一組認證憑證驗證用戶之后，針對第一用戶，一個或多個附加的組的認證憑證可以被檢索并且存儲在訪問網關或企業系統中的其它儲存器。附加的組的認證憑證可以對應于用于訪問企業系統中的各種服務或資源的、相同的用戶的不同的憑證。在來自客戶端設備的將來的請求中，可以基于第一組的認證憑證來驗證用戶，并且然后附加的組的認證憑證可以被檢索并且根據請求的服務或資源添加到請求。

本公開的實施例還涉及以下方面：

1)一種方法，包括：

通過認證計算系統且從客戶端設備接收通過所述客戶端設備從用戶接收的、關于與所述認證計算系統相關的安全資源的認證憑證；

通過所述認證計算系統且從所述客戶端設備接收關于所述認證計算系統的可重用的用戶秘密，所述可重用的用戶秘密響應于所述客戶端設備接收到所述認證憑證，經由通過所述客戶端設備產生的提示來由所述客戶端設備從所述用戶接收，所述可重用的用戶秘密與所述認證憑證是不同的；

通過所述認證計算系統且使用密碼密鑰加密驗證數據，所述驗證數據包括所述認證憑證和所述可重用的用戶秘密；

通過所述認證計算系統且向所述客戶端設備發送所述密碼密鑰；

通過所述認證計算系統且從所述客戶端設備接收：對訪問所述安全資源的請求；包括所述密碼密鑰的數據；以及通過所述客戶端設備從所述用戶接收的認證數據；以及