提供针对私有数据访问的无线认证的通信系统及相关方法

摘要

一种通信系统可以包括：服务器，被配置为基于认证登录来提供数据访问；以及计算机，被配置为访问所述服务器，以接收所述服务器的临时认证登录标识(ID)。所述通信系统还可以包括移动无线通信设备，所述移动无线通信设备包括：外壳；无线收发机，由所述外壳承载；传感器，由所述外壳承载；以及控制器，由所述外壳承载，将所述控制器耦合到所述无线收发机和所述传感器。所述控制器可以被配置为：引起所述传感器从所述计算机终端无线地获取所述临时认证登录ID，以及引起所述无线收发机向所述服务器无线地发送登录数据，以提供经由所述计算机的数据访问，所述登录数据基于所述临时认证登录ID。

说明书

技术领域

本公开总体上涉及通信系统领域，且更具体地，涉及通信系统的 认证技术及相关方法。

背景技术

移动无线通信系统持续普及，且已经变为个人和商务通信中不可 或缺的一部分。例如，蜂窝电话允许用户从他们旅行到的几乎任何地 方拨打并接收语音呼叫。此外，随着蜂窝电话技术的发展，用户可用 的蜂窝电话设备的功能以及不同类型的设备也在增长。例如，很多蜂 窝电话设备现在并入了个人数字助理(PDA)特征，比如日历、地址 簿、任务列表等等。此外，这种多功能设备还可以允许用户经由例如 蜂窝网络和/或无线局域网(WLAN)来无线地发送和接收电子邮件 (email)消息和访问互联网。即使如此，计算机终端的使用依然是普 遍的，且用户通常既使用计算机终端也使用无线设备来访问在这种网 络上的个人或私有数据。

发明内容

一般而言，本文提供一种通信系统，其可以包括：服务器，被配 置为基于认证登录来提供访问；以及计算机，被配置为访问所述服务 器并接收所述服务器的临时认证登录标识(ID)。所述通信系统还可 以包括移动无线通信设备，所述移动无线通信设备包括：便携式外壳； 无线收发机，由所述便携式外壳承载；传感器，由所述便携式外壳承 载；以及控制器，由所述便携式外壳承载，且耦合到所述无线收发机 和所述传感器。所述控制器可以被配置为引起所述传感器从所述计算 机终端无线地获取所述临时认证登录ID，以及引起所述无线收发机经 由无线通信网络向所述服务器无线地发送用于认证登录的登录数据， 以使用所述计算机终端进行数据访问，所述登录数据基于所述临时认 证登录ID。因此，所述移动无线通信设备可以有利地用于安全地提供 登录证书，以使用不一定是安全的公共或其他计算机终端。

更具体地，所述传感器可以包括近场通信(NFC)传感器，以及 所述计算机和NFC传感器可以被配置为经由NFC通信在两者间传送所 述临时认证登录ID。根据另一示例，所述通信系统还可以包括耦合到 所述计算机的显示器，以及所述计算机还可以被配置为：引起所述显 示器显示表示所述临时认证登录ID的光学图案。此外，所述传感器可 以包括光学传感器，以及所述控制器还可以被配置为：引起所述光学 传感器从所述显示器读取所述光学图案，并根据所述光学图案确定所 述临时认证登录ID。

作为示例，所述临时认证登录ID可以包括伪随机密码。另外，所 述临时认证登录ID可以包括与所述服务器和所述计算机中至少一个 相关联的网际协议(IP)地址。

还提供了相关的移动无线通信设备(比如如上简要描述的移动无 线通信设备)、用于移动无线通信设备的相关的计算机可读介质、以及 相关的通信方法。所述方法可以包括：从广域网上的计算机访问服务 器以接收所述服务器的临时认证登录标识(ID)，所述服务器被配置 为基于认证登录来提供数据访问。所述方法还可以包括将所述临时认 证登录ID从所述计算机无线地获取到移动无线通信设备，以及经由无 线通信网络从所述移动无线通信设备向所述服务器无线地发送用于认 证登录的所述登录数据，以使用所述计算机进行数据访问，所述登录 数据基于所述临时认证登录ID。

附图说明

图1是根据一个方面的提供无线登录认证特征的通信系统的示意 框图。

图2是图1的系统的计算机终端显示器和移动无线通信设备的透 视图，其示出了经由光学读取的认证数据交换。

图3是示出了与图1的系统相关联的方法方面的流程图。

图4是可以被包括在图1的系统的移动无线通信设备中的附加组 件的示意框图。

具体实施方式

本描述参照示出了示例实施例的附图来进行。然而，可以使用很 多不同的实施例，且因此不应将该描述解释为局限于本文阐述的实施 例。相反，提供这些实施例是为了使得本公开彻底且完整。在所有附 图中，类似的标号指代类似的单元。

首先参见图1和3，通信系统30说明性地包括：服务器31，被配置 为基于认证登录(authenticated logon)来提供数据访问(例如，对私 有数据的访问)；以及计算机或计算机终端32，被配置为访问服务器， 如图3的步骤60-61处所示。在所示示例中，显示器33、键盘34和鼠标 35与计算机终端32相关联，尽管也可以使用其他输入或输出设备。作 为示例，计算机终端32可以包括：台式计算机、膝上型计算机、平板 PC、PC、MAC、网络工作站等等。作为示例，计算机终端32可以被 锁定在公共环境中，比如图书馆、飞机场、公共汽车站、旅店、接待 处等等。

服务器31和计算机终端32可以经由网络36(比如互联网)进行通 信。在一些应用中，计算机终端32可以是由很多用户使用的公共计算 终端，或处于计算机终端32不受给定用户控制的共享环境中。因此， 由于诸如按键记录器之类的程序的存在(其可以在后台记录键击，且 不为用户所知)，这可能是需要担心的。因此，通过使用这种计算机终 端，用户可能要冒敏感信息(比如账户密码)失窃的风险。对按键记 录器或其他类似程序的担心可能使得用户在每次使用这种计算机终端 之后必须改变他们的密码。此外，记忆每一个新的密码是困难的。当 使用与多个账户相关联的不同密码时，进一步增加了该困难。此外， 可能强制一些用户完全避免使用这种计算机终端，这在一些环境下可 能是不现实的。

因此，当计算机终端32登录以请求对私有数据的访问时，服务器 31可以有利地提供临时认证登录标识(ID)。例如，如果用户登录特 定互联网站点以检查电子邮件消息(例如，Gmail、Yahoo！Mail、等 等)，一般要求用户提供用户名和密码，以访问与特定互联网站点相关 联的私有信息。其他示例可以包括在线银行、在线检查股票或401K在 线、在线游戏、航班检票、社交网络站点(比如Facebook、Twitter、 MySpace)、在线购物、照片共享站点(比如Flickr、Youtube等等)。

根据本示例，可以替代地要求用户经由计算机终端32(需要从该 计算机终端32进行访问)仅提供对他或她是谁的指示(比如用户名)， 以接收临时认证登录ID，而不要求提供他或她的密码。替代地，移动 无线通信设备37(本文中也被称作“移动设备”)被用于认证目的，以 避开例如被按键记录器窃取密码或密令的可能性。

更具体地，移动设备37说明性地包括：便携式外壳38；无线收发 机39，由便携式外壳38所承载；传感器40，由便携式外壳38承载；以 及控制器41，由便携式外壳38承载，控制器41耦合到无线收发机39和 传感器40。作为示例，无线收发机39可以经由蜂窝、无线局域网 (WLAN)、WiMAX、或其他合适的格式来进行通信。可以使用的移 动设备37的示例类型包括：便携式或个人媒体播放器(例如，MP3播 放器、视频播放器、等等)、便携式游戏设备、便携式或移动电话、智 能电话等等。

一般而言，控制器41可以被配置为：在步骤62，引起传感器40从 计算机终端32无线地获取临时认证登录ID。此外，在步骤63，控制器 41引起无线收发机39经由无线通信网络(由图1的通信塔42来说明性地 表示)向服务器31无线地发送用于认证登录的登录数据，以基于临时 认证登录ID使用计算机终端32进行私有数据访问，从而终止图3所示 方法(步骤64)。

备选地声明，在从计算机终端32无线地接收临时认证登录ID时， 控制器41能够向服务器31转发回临时认证登录ID，或者基于该临时认 证登录ID产生其他认证数据(例如，可以将登录ID用作加密算法的密 钥或种子等等)。由于移动设备37与特定用户相关联，且服务器31账户 的用户名也是如此，当服务器响应于用户名而提供临时认证登录ID 时，服务器31知道到移动设备37被授权提供响应，服务器31还知道到 该响应应当是什么。这是由于该响应是基于临时认证登录ID的。这样， 移动设备37可以有利地用于安全地提供登录证书，以使用计算机终端 32，并从而避免要求用户向计算机终端直接输入用户密码，以及避免 了通过按键记录等而造成密码被窃取的风险。

根据一个示例实现，传感器40可以包括近场通信(NFC)传感器， 且计算机终端32可以包括另一个NFC传感器，该另一个NFC传感器被 配置为经由NFC通信向移动设备37的NFC传感器发送临时认证登录 ID。NFC是一种短距无线通信技术，其中，启用了NFC的设备“刷 (swipe)”、“碰(bump)”、或以其他方式移动到邻近位置，以进行通 信。在一个非限制性示例实现中，NFC可以在13.56MHz处工作，且具 有大约10cm的有效范围，但是也可以使用具有不同工作频率、有效范 围等的其他合适版本的近场通信。

现在另外参见图2，根据一个示例方面，计算机终端32还可以被 配置为：引起显示器33显示表示临时认证登录ID的光学图案45。在所 示示例中，光学图案45包括快速响应(QR)条形码，但是在不同实施 例中也可以使用其他类型的条形码或数据的光学机器可读表示。因此， 传感器40可以包括光学传感器，比如在移动设备37上实现的数字相机 的电荷耦合设备(CCD)。控制器41也可以相应地被配置为：如图所 示，引起光学传感器40从显示器33读取光学图案45，并根据光学图案 45来确定临时认证登录ID。

作为示例，临时认证登录ID可以包括伪随机密码。另外，临时认 证登录ID可以包括与服务器31或计算机32(或二者)相关联的网际协 议(IP)地址。一般而言，认证登录ID将是临时性的，使得其不对多 个登录会话有效，从而帮助避免对私有数据账户的未授权访问的可能 性。

在一些实施例中，服务器31可以被配置为针对存储有私有数据的 其他服务器的中间认证服务器。例如，服务器31可以存储一个或多个 账户的登录证书(例如，Gmail、Yahoo！Mail、等等)，且一旦用户基 于临时认证登录ID正确地建立了与服务器31的会话，其处理给定用户 的登录和接口操作以访问他或她在这些各种其他服务器上的私有数 据。这可以有利地提供让用户访问一个或多个私有数据账户的方便的 中心点。这还可以减轻用户必须持续创建和跟踪多个不同密码的负担。 同样地，这可以避免要求针对不同账户产生多个不同临时认证登录ID 密码，尽管在一些实施例中如果需要的话可以这样做。

参照以下示例实现来进一步理解前述内容，该示例实现使用了安 全移动设备网络(例如蜂窝网络)来安全地且方便地通过可能被木马、 按键记录器等侵害的计算机终端32来登录在线账户。在示例实施例中， 用户向计算机终端32提供服务器31的网址，服务器31能够经由例如计 算机终端32上的浏览器来提供临时认证登录ID。然后，取代提供用户 密码，用户点击链接或按钮，以访问无线登录认证过程。

此时，服务器31创建临时认证登录ID，该临时认证登录ID可以采 用具有一次性临时密码、计算机终端32的IP地址、服务器31的网址等 的字符串的形式。如上所述，可以将临时认证ID显示为显示器41上的 光学图案，或者让其经由NFC可从计算机终端32获得等等。从而用户 刷他或她的移动设备37进行NFC通信(或将移动设备保持在显示器上 的光学图案45的前面，以让数字相机CCD可查看该光学图案45)，以 读取由服务器31创建的临时认证登录ID。

移动设备37上的可由控制器41执行的应用使用临时认证登录ID 以及移动设备的标识符(例如移动设备PIN、电子邮件地址等等)来 联系服务器31，以认证使用计算机终端32进行私有数据访问的登录。 然后服务器31和计算机终端32可以合作以提供按钮或链接，以在不输 入他或她的密码的情况下登录所需账户。在将移动设备37电子邮件地 址、PIN等等注册到服务器31的实施例中，服务器可以直接向移动设 备37发送临时认证登录ID。

根据另一方面，以下步骤发生：1)移动设备37接收(例如，经 由NFC或经由光学传感器)与计算机终端32相关联的标识符(例如， IP地址)；2)移动设备37向服务器31发送计算机终端32的标识符；3) 移动设备37指示服务器31向计算机终端32发送与账户(例如，Gmail 账户)相关联的项(例如，电子邮件)；4)计算机终端32从服务器31 接收与账户(例如，Gmail账户)相关联的项(例如，电子邮件)；以 及5)计算机终端32显示该项(例如，电子邮件)。在相关示例实施例 中，在上面的步骤(1)中，在将移动设备37移动至接近计算机终端32 时，移动设备37可以接收与计算机终端32相关联的标识符。另一个示 例是，在步骤(3)中，移动设备37可以指示服务器31向计算机终端32 提供对账户的临时访问。在另一示例实施例中，当移动设备37移动到 远离计算机终端32时，可以取消对账户的临时访问。此外，可以将步 骤(2)和(3)相结合。即，移动设备37可以同时向服务器31发送计 算机终端32的标识符以及账户(可以向计算机终端32提供对该账户的 访问)。该方面还提供了用户不需要在计算机终端32上输入登录证书的 优点。

现在参照图4所示的示例移动无线通信设备1000，来描述在上述 移动无线通信设备的各种实施例中可以使用的示例组件。设备1000说 明性地包括：外壳1200、键盘或键区1400以及输出设备1600。所示输 出设备是显示器1600，其可以包括全图形LCD。在一些实施例中，显 示器1600可以包括触敏输入和输出设备。可以备选地使用其他类型的 输出设备。在外壳1200中包含处理设备1800，且将处理设备1800耦合 在键盘1400和显示器1600之间。响应于用户对键区1400上的按键的触 动，处理设备1800控制显示器1600的操作以及移动设备1000的整体操 作。在一些实施例中，键区1400可以包括物理键区或虚拟键区(例如， 使用触敏接口)或二者兼而有之。

可以将外壳1200垂直地延长，或其可以采用其他尺寸和形状(包 括例如翻盖外壳结构)。键区1400可以包括模式选择按键，或用于在文 本输入和电话输入之间进行切换的其他硬件或软件。

除了处理设备1800之外，在图4中示意性地示出了移动设备1000 的其他部分。这些部分包括：通信子系统1001、短距通信子系统1020、 键区1400和显示器1600、以及其他输入/输出设备1060、1080、1100和 1120、以及存储器设备1160、1180和各种其他设备子系统1201(例如， 光学传感器(CCD)等等)。移动设备1000可以包括具有语音和数据 通信能力的双向RF通信设备。另外，移动设备1000可以具有经由互联 网与其他计算机系统通信的能力。

可以将由处理设备1800执行的操作系统软件存储在持久性存储 器中，比如闪存1160，但是也可以存储在其他类型的存储器设备中， 比如只读存储器(ROM)或类似的存储单元。另外，可以将系统软件、 特定设备应用、或它们的一部分临时地加载到易失性存储器中(比如 随机存取存储器(RAM)1180)。还可以将移动设备接收到的通信信 号存储在RAM 1180中。

除了处理设备1800的操作系统功能之外，处理设备1800还支持在 设备1000上执行软件应用或模块1300A-1300N，比如用于执行各种步 骤或操作的软件模块。可以在制造期间，在设备1000上安装控制基本 设备操作的预定应用集合(比如数据和语音通信1300A和1300B)。另 外，可以在制造期间安装个人信息管理器(PIM)应用。PIM能够组 织和管理数据项，比如电子邮件、日历事件、语音邮件、约会、和任 务项。PIM应用还能够经由无线网1401发送和接收数据项。可以将PIM 数据项经由无线网1401与设备用户在主机计算机系统上存储的或关联 的对应数据项进行无缝的集成、同步和更新。

通过通信子系统1001，以及可能通过短距通信子系统，来执行包 括数据和语音通信在内的通信功能。通信子系统1001包括：接收机 1500、发射机1520、以及一个或多个天线1540和1560。另外，通信子 系统1001还包括处理模块，比如数字信号处理器(DSP)1580、以及 本地振荡器(LO)1601。通信子系统1001的特定设计和实现取决于移 动设备1000预期工作所在的通信网络。例如，移动设备1000可以包括 被设计为在Mobitex^TM、Data TAC^TM或通用分组无线服务(GPRS)移 动数据通信网络中工作的通信子系统1001，或包括被设计为在各种语 音通信网络(比如AMPS、TDMA、WCDMA、PCS、GSM、EDGE等 等)中的任一项中工作的通信子系统1001。还可以与移动设备1000一 起使用其他类型的数据和语音网络(分离和集成的)。移动设备1000 还可以符合其他通信标准，比如GSM、3G、UMTS、4G等等。

网络接入条件根据通信系统的类型而改变。例如，在Mobitex和 DataTAC网络中，使用与每一个设备相关联的唯一个人标识号码或PIN 在网络上注册移动设备。然而在GPRS网络中，网络接入与设备的订户 或用户相关联。因此GPRS设备使用订户识别模块，一般将其称作SIM 卡，以在GPRS网络上工作。

当已完成所需网络注册或激活步骤时，移动设备1000可以在通信 网络1401上发送和接收通信信号。将由天线1540从通信网络1401接收 到的信号路由到接收机1500，接收机1500提供信号放大、降频转换、 滤波、信道选择等等，且还可以提供模数转换。对已接收信号的模数 转换允许DSP 1580执行更复杂的通信功能，比如解调和解码。以类似 方式，由DSP 1580来处理(调制和编码)要发送到网络1401的信号， 然后将其提供给发射机1520，以进行数模转换、升频转换、滤波、放 大和经由天线1560发送到通信网络(或多个网络)1401。

除了处理通信信号之外，DSP 1580提供对接收机1500和发射机 1520的控制。例如，可以通过在DSP 1580中实现的自动增益控制算法 来自适应地控制应用于接收机1500和发射机1520中的通信信号的增 益。

在数据通信模式下，由通信子系统1001来处理已接收信号，比如 文本消息或网页下载，并将其输入处理设备1800。然后由处理设备1800 进一步处理已接收信号，以输出至显示器1600，或备选地输出至某个 其他辅助I/O设备1060。设备用户还使用键区1400和/或某个其他辅助 I/O设备1060(比如触摸板、摇臂开关、指轮、或某种其他类型的输入 设备)来构成数据项(比如电子邮件消息)。然后可以经由通信子系统 1001在通信网络1401上发送已构成的数据项。

在语音通信模式下，设备的整体操作与数据通信模式基本上类 似，区别在于将已接收信号输出到扬声器1100，且由麦克风1120来产 生用于发送的信号。还可以在设备1000上实现备选的语音或音频I/O子 系统，比如语音消息记录子系统。另外，还可以在语音通信模式下使 用显示器1600，以例如显示主叫方的身份、语音呼叫的时间长度、或 其他语音呼叫相关信息。

短距通信子系统使得在移动设备1000和其他临近系统或设备(他 们不一定是相似设备)之间的通信成为可能。例如，短距通信子系统 可以包括红外设备及其相关电路和组件、NFC或Bluetooth^TM通信模块， 以提供与具有类似功能的系统和设备的通信。

在受益于在前述描述和相关联的附图中所呈现的教导的情况下， 本领域技术人员将意识到很多修改和其他实施例。因此，应当理解本 公开不受限于所公开的特定实施例，且应当理解本公开预期包括修改 和实施例。