[發(fā)明專利]用于訪問管理的無密碼認證有效
| 申請?zhí)枺?/td> | 201680061204.3 | 申請日: | 2016-10-21 |
| 公開(公告)號: | CN108351927B | 公開(公告)日: | 2021-11-09 |
| 發(fā)明(設計)人: | V·P·莎斯瑞;S·R·奇圖瑞;V·莫圖庫圖;M·巴特坎德;S·K·喬石 | 申請(專利權)人: | 甲骨文國際公司 |
| 主分類號: | G06F21/32 | 分類號: | G06F21/32;G06F21/36;H04L9/32;H04L29/06 |
| 代理公司: | 中國貿(mào)促會專利商標事務所有限公司 11038 | 代理人: | 邊海梅 |
| 地址: | 美國加*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 用于 訪問 管理 密碼 認證 | ||
公開了一種可以通過無密碼認證來提供對資源的訪問的訪問管理系統(tǒng)。該訪問管理系統(tǒng)可以在考慮風險因素(例如,設備、位置等等)的情況下為認證提供多層安全性,以確保認證而不侵害訪問。基于移動設備的用戶的上下文細節(jié)可以被用于基于對設備的擁有的認證。可以通過將設備和/或位置(例如,地理位置)注冊為可信的來啟用用戶的無密碼認證。嵌有經(jīng)加密的數(shù)據(jù)的安全數(shù)據(jù)可以被發(fā)送到第一設備,以便在該設備上對用戶進行無密碼認證。向用戶注冊的第二設備可以從第一設備獲得安全數(shù)據(jù)。第二設備可以解密數(shù)據(jù)并將經(jīng)解密的數(shù)據(jù)發(fā)送到訪問管理系統(tǒng)以進行核實,從而在第一設備處啟用無密碼認證。
相關申請的交叉引用
本PCT專利申請要求于2015年10月23日提交的標題為“PASSWORD-LESSAUTHENTICATION FOR ACCESS MANAGEMENT”的美國臨時申請No.62/245,891的權益和優(yōu)先權,該申請的內(nèi)容通過引用整體上并入本文,用于所有目的。
技術領域
一般而言,本申請涉及數(shù)據(jù)處理。更具體而言,本申請涉及用于多階段認證的技術。
背景技術
現(xiàn)代企業(yè)依賴控制和生成對業(yè)務運營至關重要的信息的各種應用和系統(tǒng)。不同的應用常常提供不同的服務和信息,并且不同的用戶可以需要訪問每個系統(tǒng)或應用內(nèi)的不同級別的信息。用戶被授予的訪問級別可以取決于用戶的角色。例如,經(jīng)理可以需要訪問關于向其報告的員工的某些信息,但是讓該經(jīng)理訪問關于他向其報告的人的相同信息可能是不恰當?shù)摹?/p>
之前,較不復雜的應用將訪問管理業(yè)務邏輯直接結合到應用代碼中。即,例如,每個應用將需要用戶擁有單獨的帳戶、單獨的策略邏輯和單獨的許可。此外,當用戶被這些應用中的一個應用認證時,該認證對于企業(yè)中的其它應用仍然是未知的,因為與第一應用的認證已發(fā)生的事實不被共享。因此,在使用不同系統(tǒng)進行認證和訪問控制的應用之間沒有信任概念。工程師們很快意識到,為企業(yè)中的每個應用設置訪問管理系統(tǒng)就像為每輛車配備加油站,并且確定認證和訪問控制作為共享資源將更高效地被實現(xiàn)和管理。這些共享資源被知曉為訪問管理系統(tǒng)。
訪問管理系統(tǒng)常常使用策略和其它業(yè)務邏輯來確定是否應當將特定訪問請求授予特定資源。在確定應當授予訪問時,令牌被提供給請求者。這個令牌就像鑰匙,可以用來打開保護受限數(shù)據(jù)的門。例如,用戶可以嘗試訪問人力資源數(shù)據(jù)庫以搜集關于某些員工的信息(諸如工資信息)。用戶的Web瀏覽器向應用發(fā)出請求,該請求需要認證。如果Web瀏覽器沒有令牌,那么用戶會被要求登錄以訪問管理系統(tǒng)。當用戶通過認證時,用戶的瀏覽器接收表示令牌的cookie,該令牌可用于訪問人力資源應用。
在企業(yè)中,用戶(例如,員工)通常可以訪問一個或多個不同的系統(tǒng)和應用。這些系統(tǒng)和應用中的每一個可以利用不同的訪問控制策略并且需要不同的憑證(例如,用戶名和密碼)。單點登錄(SSO)可以在初次登錄之后為用戶提供對多個系統(tǒng)和應用的訪問。例如,當用戶登錄他們的工作計算機時,用戶然后也可以訪問一個或多個其它資源(諸如系統(tǒng)和應用)。訪問管理系統(tǒng)可以質(zhì)詢用戶,以核實他/她的身份,以確定對資源的訪問。用戶可以被質(zhì)詢基于“你有什么”、“你知道什么”和“你是誰”的組合的信息。
訪問管理系統(tǒng)可以利用客戶端設備上的圖形用戶界面來提示用戶,以質(zhì)詢用戶信息,從而核實用戶的憑證。有時候,用戶請求的信息可以包括敏感的機密信息,如果這些敏感的機密信息被侵害,那么可能威脅到個人的身份和個人信息(例如,財務信息或賬戶信息)。因此,用戶在不確信請求該信息的系統(tǒng)是否確實控制對那些資源的訪問的情況下可能會猶豫是否向系統(tǒng)(諸如服務器)提供敏感信息以獲得對資源的訪問。
隨著使用諸如欺詐和網(wǎng)絡釣魚之類的技術的身份盜用的基于技術的持續(xù)進步,用戶甚至更不愿意在不確信接收者是訪問管理系統(tǒng)的情況下提供他們的憑證。訪問管理系統(tǒng)也不確信憑證來源的真實性。在一些情況下,客戶端系統(tǒng)可以接收一次性代碼(例如,密碼),以使得操作客戶端系統(tǒng)的用戶能夠經(jīng)由訪問管理系統(tǒng)來訪問資源。客戶端系統(tǒng)如果被侵害或被盜,那么可以使操作客戶端系統(tǒng)的用戶使用一次性代碼獲得對資源的未經(jīng)授權的訪問。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于甲骨文國際公司,未經(jīng)甲骨文國際公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201680061204.3/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
