用于資源請求的條形碼認證的制作方法
【專利說明】
[0001] 相關申請
[0002] 本申請要求于2013年2月8日提交的標題為"用于資源請求的條形碼認證 (BARCODE AUTHENTICATION FOR RESOURCE REQUESTS)" 的美國申請 13/763, 116 的優(yōu)先權。
技術領域
[0003] 本公開的實施例涉及數(shù)據(jù)處理領域并且更具體地涉及使用條形碼認證資源請求 的領域。
[0004] 背景
[0005] 當前存在用于認證請求在線資源的用戶的很多方法。這些方法的范圍從要求相對 少的安全性的方法到要求附加安全層的方法。
[0006] 要求相對少的安全性的一種認證方法由用于認證用戶的存在的質詢-響應 (challenge-response)所代表。在質詢-響應場景中,用戶被呈現(xiàn)計算機容易生成但是計 算機難以解析的質詢。這種情況的一個示例是常用的CAPTCHA屏幕,其中單詞或短語的失 真圖像被作為質詢呈現(xiàn)給用戶并且用戶能夠解密失真圖像并且做出響應,由此驗證用戶的 存在。質詢-響應認證(諸如CAPTCHA)的問題是易于受到惡意軟件攻擊。
[0007] 要求附加安全層的認證方法由多因素認證所代表。在多因素認證中,通常使用用 戶所知道的(即,用戶名和口令)以及用戶所具有的(即,RSA安全ID表鏈(fob))兩者來 認證用戶。然而,這些認證方法能夠受到中間人攻擊(MITM)損害。這種認證方法還承受以 下事實:駐留在RSA安全ID表鏈上的相同算法必須還駐留在認證服務器上并且這兩個方法 必須對相同的種子值進行動作以便正確地認證用戶。這造成了不必要的冗余和低效。如果 這種算法在任一端受到損害,則這兩個設備上的方法必須改變。
[0008] 附圖簡述
[0009]圖1描繪根據(jù)本公開的某些實施例的說明性計算系統(tǒng)。
[0010] 圖2是根據(jù)本公開的某些實施例的圖1的計算系統(tǒng)中的服務器的說明性配置的簡 圖。
[0011] 圖3是根據(jù)本公開的某些實施例的圖1的計算系統(tǒng)中的移動設備的一種可能配置 的簡圖。
[0012] 圖4是根據(jù)本公開的某些實施例的圖1的計算系統(tǒng)中的客戶機設備的一種可能配 置的簡圖。
[0013] 圖5是根據(jù)本公開的某些實施例的客戶機設備的說明性資源請求的流程圖。
[0014] 圖6是根據(jù)本公開的某些實施例的服務器的說明性資源請求的流程圖。
[0015] 圖7是根據(jù)本公開的某些實施例的移動設備上的說明性令牌提取的流程圖。
[0016]圖8描繪根據(jù)本公開的某些實施例的說明性登錄屏幕。
[0017] 說明性實施方案的詳細說明
[0018] 描述了與客戶機-服務器認證相關聯(lián)的移動設備、客戶機設備和服務器。在實施 例中,該移動設備可包括相機和令牌提取器。該令牌提取器可耦合到該相機并且被配置成 用于分析該相機所捕獲的圖像。所捕獲的圖像可包含條形碼并且響應于服務器請求訪問資 源可被顯示在客戶機設備上。該條形碼可包含令牌,該令牌可由該令牌提取器提取以便用 于訪問服務器所請求的資源。例如,所請求的資源可以是應用,條形碼可以是快速響應(QR) 碼,并且移動設備可以是智能電話。
[0019] 在以下詳細描述中,參考形成其一部分并且通過可實踐的說明實施例示出的附 圖,其中,相同的標號指示相同的部件。應當理解可使用其他實施例以及可在不背離本公開 的范圍的情況下做出結構或邏輯改變。因此,不應以限制性的意義解釋以下詳細描述,并且 實施例的范圍由所附權利要求書及其等效方案定義。
[0020] 各操作可被描述為按順序的多個離散動作或操作,其方式為最有助于理解所要求 保護的主題。然而,描述的順序不應被解釋為暗示這些操作必需依賴于順序。具體而言,可 不按展示順序執(zhí)行這些操作??梢杂貌煌谒枋龅膶嵤├捻樞驁?zhí)行所描述的操作???執(zhí)行各附加操作和/或可在附加實施例中忽略所描述的操作。
[0021] 為了本公開的目的,短語"A和/或B"是指(A)、⑶、或(A和B)。為了本公開的 目的,短語 "A、B 和 / 或 C" 是指(A)、(B)、(C)、(A 和 B)、(A 和 C)、(B 和 C)或(A、B 和 C)。 本描述可使用短語"在一實施例中"或"在實施例中",其可各自指代相同或不同實施例中的 一個或多個。此外,如結合本公開的實施例所使用的,術語"包括"、"包含"、"具有(having) " 等等是同義的。
[0022] 圖1描繪適合實踐本公開的某些實施例的說明性計算安排。如所示,該計算安排 可由通過網(wǎng)絡108連接到客戶機設備104的服務器102組成。在實施例中,用戶可使用客 戶機設備104請求服務器102所提供的資源或者通過其請求資源。響應于該請求,服務器 102可生成包含令牌的條形碼并且將條形碼傳輸?shù)娇蛻魴C設備以便用于認證??蛻魴C設備 可在接收到條形碼時將條形碼顯示給客戶機設備的用戶。
[0023] 在實施例中,移動設備106可用于解碼包含在條形碼(在該圖中描繪為QR碼、顯 示在客戶機設備104上)中的數(shù)據(jù)并且輸出至少一部分解碼數(shù)據(jù)(諸如令牌)以便用于使 得能訪問所請求的資源。在某些實施例中,移動設備106可能已經之前被預設成以特定于 移動設備106的方式解碼包含在條形碼中的數(shù)據(jù),并且服務器102可能已經以相應的方式 編碼條形碼。在某些實施例中,服務器102可在對資源的請求中傳遞標識例如移動設備106 和/或移動設備106的用戶的或者設備和/或用戶標識符。在某些實施例中,用戶標識符 可由服務器102作為交叉引用用于在表、數(shù)據(jù)庫或本地地存儲在服務器102上或者遠程地 存儲在另一個服務器上的其他類似的存儲庫中定位設備標識符。
[0024] 在某些實施例中,可以特定于移動設備106的方式編碼條形碼,從而使得條形碼 本身的解碼可做為認證移動設備106的用戶的措施進行動作以便授權訪問所請求的資源。 例如,在某些實施例中,如果所請求的資源要求多因素認證,用戶所輸入的口令可以是認證 的一個因素,同時移動設備106解碼條形碼從而提取令牌并且將該令牌輸入到客戶機設備 104中可以是認證中的后續(xù)因素。在本示例中,未授權用戶或惡意計算機程序將不能提取輔 助認證所需的信息,即使未授權用戶或惡意計算程序能夠捕獲顯示在客戶機設備上的條形 碼。
[0025] 在某些實施例中,移動設備特定編碼可替代用戶名和口令使用。例如,在某些實施 例中,用戶可能已經之前就所請求的資源設置過登錄策略,從而使得訪問所請求的資源所 需的所有東西是包含在條形碼中的令牌。在某些實施例中,特定編碼可在用戶已經忘記所 請求的資源的口令的情況中使用。在這些情況中,令牌可用于獲得對所請求的資源的訪問 和/或發(fā)起口令改變。此外,在某些實施例中,移動設備特定編碼可用于生成一次性口令 (OTP),從而使得授權用戶無需記住靜態(tài)口令,并且未授權用戶或惡意計算機程序不能通過 嘗試打破口令例如通過蠻力攻擊訪問資源。
[0026] 在某些實施例中,無需以特定于移動設備106的方式編碼條形碼。例如,在某些實 施例中,如果所請求的資源僅要求用戶存在認證,條形碼可總體上由服務器102編碼,從而 使得移動設備106可以能夠解碼條形碼而無需先前配置。在這些實施例中,一旦令牌被輸 入到客戶機設備104中,移動設備106解碼條形碼以便提取令牌的動作可足以認證用戶的 存在。
[0027] 在某些實施例中,可以特定于所請求的資源的方式編碼條形碼。在這種實施例中, 移動設備106可被預設成針對所請求的資源解碼條形碼。在某些實施例中,將設備預設成 基于所請求的資源解碼條形碼可通過在嘗試解碼條形碼之前向所請求的資源注冊移動設 備106執(zhí)行。例如,在某些實施例中,用戶可使用移動設備106通過連接到服務器(諸如服 務器102)注冊移動設備106。響應于連接,服務器102可在移動設備106上安裝解碼算法 以便稍后代表所請求的資源用于解碼由客戶機設備104所顯示的條形碼。
[0028] 在某些實施例中,無需注冊移動設備106以便使得解碼與獲得對資源的訪問相關 聯(lián)的條形碼。在某些實施例中,可使用任何計算機可讀介質方式作為遞送機制通過安裝合 適的解碼算法或密鑰配置移動設備106。
[0029] 在某些實施例中,可以特定于移動設備106和所請求的資源兩者的方式編碼條形 碼。在某些實施例中,可以所標識的方式通過利用所請求的資源的標識符和用戶和/或移 動設備106的標識符兩者以便實現(xiàn)唯一標識符從而在編碼方法中使用來編碼條形碼。在某 些實施例中,如上所述,可在解碼條形碼之前預設移動設備106從而使得移動設備106能解 碼這種條形碼。
[0030] 移動設備106可根據(jù)某些實施例從用戶接收輸入以便標識已經為哪個所請求的 資源編碼了表形碼。例如,在某些實施例中,用戶可被呈現(xiàn)有已經在移動設備106上預設