公開了一種可以通過無密碼認證來提供對資源的訪問的訪問管理系統。該訪問管理系統可以在考慮風險因素(例如，設備、位置等等)的情況下為認證提供多層安全性，以確保認證而不侵害訪問。基于移動設備的用戶的上下文細節可以被用于基于對設備的擁有的認證?？梢酝ㄟ^將設備和/或位置(例如，地理位置)注冊為可信的來啟用用戶的無密碼認證。嵌有經加密的數據的安全數據可以被發送到第一設備，以便在該設備上對用戶進行無密碼認證。向用戶注冊的第二設備可以從第一設備獲得安全數據。第二設備可以解密數據并將經解密的數據發送到訪問管理系統以進行核實，從而在第一設備處啟用無密碼認證。

相關申請的交叉引用

本PCT專利申請要求于2015年10月23日提交的標題為“PASSWORD-LESSAUTHENTICATION FOR ACCESS MANAGEMENT”的美國臨時申請No.62/245,891的權益和優先權，該申請的內容通過引用整體上并入本文，用于所有目的。

技術領域

一般而言，本申請涉及數據處理。更具體而言，本申請涉及用于多階段認證的技術。

背景技術

現代企業依賴控制和生成對業務運營至關重要的信息的各種應用和系統。不同的應用常常提供不同的服務和信息，并且不同的用戶可以需要訪問每個系統或應用內的不同級別的信息。用戶被授予的訪問級別可以取決于用戶的角色。例如，經理可以需要訪問關于向其報告的員工的某些信息，但是讓該經理訪問關于他向其報告的人的相同信息可能是不恰當的。

之前，較不復雜的應用將訪問管理業務邏輯直接結合到應用代碼中。即，例如，每個應用將需要用戶擁有單獨的帳戶、單獨的策略邏輯和單獨的許可。此外，當用戶被這些應用中的一個應用認證時，該認證對于企業中的其它應用仍然是未知的，因為與第一應用的認證已發生的事實不被共享。因此，在使用不同系統進行認證和訪問控制的應用之間沒有信任概念。工程師們很快意識到，為企業中的每個應用設置訪問管理系統就像為每輛車配備加油站，并且確定認證和訪問控制作為共享資源將更高效地被實現和管理。這些共享資源被知曉為訪問管理系統。

訪問管理系統常常使用策略和其它業務邏輯來確定是否應當將特定訪問請求授予特定資源。在確定應當授予訪問時，令牌被提供給請求者。這個令牌就像鑰匙，可以用來打開保護受限數據的門。例如，用戶可以嘗試訪問人力資源數據庫以搜集關于某些員工的信息(諸如工資信息)。用戶的Web瀏覽器向應用發出請求，該請求需要認證。如果Web瀏覽器沒有令牌，那么用戶會被要求登錄以訪問管理系統。當用戶通過認證時，用戶的瀏覽器接收表示令牌的cookie，該令牌可用于訪問人力資源應用。

在企業中，用戶(例如，員工)通常可以訪問一個或多個不同的系統和應用。這些系統和應用中的每一個可以利用不同的訪問控制策略并且需要不同的憑證(例如，用戶名和密碼)。單點登錄(SSO)可以在初次登錄之后為用戶提供對多個系統和應用的訪問。例如，當用戶登錄他們的工作計算機時，用戶然后也可以訪問一個或多個其它資源(諸如系統和應用)。訪問管理系統可以質詢用戶，以核實他/她的身份，以確定對資源的訪問。用戶可以被質詢基于“你有什么”、“你知道什么”和“你是誰”的組合的信息。

訪問管理系統可以利用客戶端設備上的圖形用戶界面來提示用戶，以質詢用戶信息，從而核實用戶的憑證。有時候，用戶請求的信息可以包括敏感的機密信息，如果這些敏感的機密信息被侵害，那么可能威脅到個人的身份和個人信息(例如，財務信息或賬戶信息)。因此，用戶在不確信請求該信息的系統是否確實控制對那些資源的訪問的情況下可能會猶豫是否向系統(諸如服務器)提供敏感信息以獲得對資源的訪問。

隨著使用諸如欺詐和網絡釣魚之類的技術的身份盜用的基于技術的持續進步，用戶甚至更不愿意在不確信接收者是訪問管理系統的情況下提供他們的憑證。訪問管理系統也不確信憑證來源的真實性。在一些情況下，客戶端系統可以接收一次性代碼(例如，密碼)，以使得操作客戶端系統的用戶能夠經由訪問管理系統來訪問資源?？蛻舳讼到y如果被侵害或被盜，那么可以使操作客戶端系統的用戶使用一次性代碼獲得對資源的未經授權的訪問。