法律状态公告日
法律状态信息
法律状态
2019-10-18
授权
授权
2017-05-24
实质审查的生效 IPC(主分类):H04L9/32 申请日:20150501
实质审查的生效
2016-12-14
公开
公开
背景技术
技术领域
本发明整体涉及数据处理系统的领域。更具体地讲,本发明涉及用于在不同信道上携载强验证事件的系统和方法。
相关领域说明
还已经设计了使用生物计量传感器经由网络提供安全用户验证的系统。在此类系统中,可经由网络发送由验证器生成的得分和/或其他验证数据,以向远程服务器验证用户。例如,专利申请No.2011/0082801(“'801申请”)描述了一种在网络上进行用户注册和验证的框架,这种框架提供强验证(例如,防御身份窃取和网络钓鱼)、安全交易(例如,防御交易中的“浏览器中的恶意软件”和“中间人”攻击)和客户端验证令牌的登记/管理(例如,指纹读取器、面部识别装置、智能卡、可信平台模块等等)。
本申请受让人已开发出对'801申请中所描述的验证框架的多种改进。这些改进中的一些在以下一组美国专利申请(“共同待决的申请”)中描述,这些美国专利申请被转让给本受让人:序列No.13/730,761,Query System and Method to DetermineAuthentication Capabilities(用于确定验证能力的查询系统和方法);序列No.13/730,776,System and Method for Efficiently Enrolling,Registering,andAuthenticating With Multiple Authentication Devices(使用多个验证装置有效地进行登记、注册和验证的系统和方法);13/730,780,System and Method for ProcessingRandom Challenges Within an Authentication Framework(用于在验证框架内处理随机质询的系统和方法);序列No.13/730,791,System and Method for ImplementingPrivacy Classes Within an Authentication Framework(用于在验证框架内实施隐私类别的系统和方法);序列No.13/730,795,System and Method for ImplementingTransaction Signaling Within an Authentication Framework(用于在验证框架内实施交易信令的系统和方法);以及序列No.14/218,504,Advanced AuthenticationTechniques and Applications(高级验证技术和应用)(下文中称为“'504申请”)。
简而言之,在这些共同待决的申请描述的验证技术中,用户在客户端装置上向验证装置(或验证器)诸如生物计量装置登记。当用户向生物计量装置登记时,(例如,通过轻扫手指、拍摄照片、记录语音等)捕捉生物计量参考数据。用户可随后经由网络向一个或多个服务器(例如,配备有安全交易服务的网站或其他依赖方,如共同待决的申请中所述)注册验证装置;并且随后使用在注册过程中交换的数据(例如,预置到验证装置中的密钥)向那些服务器验证。一旦通过验证,用户便获许与网站或其他依赖方执行一个或多个在线交易。在共同待决的申请所描述的框架中,敏感信息(诸如指纹数据和可用于唯一地识别用户的其他数据)可本地保持在用户的验证装置上,以保护用户的隐私。'504申请描述了多种其它技术,包括用于设计复合验证器、智能生成验证保证等级、使用非侵入式用户验证、将验证数据传送至新验证装置、用客户端风险数据来扩增验证数据、自适应地应用验证策略以及创建信任圈等等的技术。
附图说明
可结合下列附图从以下具体实施方式更好地理解本发明,其中:
图1A至图1B示出安全验证系统架构的两个不同实施例;
图2是示出可如何将密钥注册到验证装置中的事务图;
图3是示出显示了远程验证的事务图;
图4示出用于向依赖方验证的本发明的一个实施例;
图5示出可如何利用查询策略来实施注册或验证操作;
图6示出用于在不同信道上携载强验证事件的系统的一个实施例;
图7示出用于在不同信道上携载强验证事件的系统的另一个实施例;
图8示出用于在不同信道上携载强验证事件的系统的另一个实施例;
图9示出用于在具有增强的验证的联网装置上携载强验证事件的系统的实施例;
图10示出用于在不同信道上携载强验证事件的方法的实施例;
图11示出客户端和/或服务器计算装置架构的实施例;并且
图12示出客户端和/或服务器计算装置架构的另一个实施例。
具体实施方式
下文描述用于实施高级验证技术及相关联应用的设备、方法和机器可读介质的实施例。在整个描述中,出于解释的目的,本文陈述了许多特定细节以便透彻理解本发明。然而,本领域的技术人员将容易明白,可在没有这些特定细节中的一些的情况下实践本发明。在其他情况下,为免模糊本发明的基本原理,已熟知的结构和装置未示出或以框图形式示出。
下文论述的本发明的实施例涉及具有用户验证功能(诸如生物计量形式或PIN输入)的验证装置。这些装置在本文中有时称为“令牌”、“验证装置”或“验证器”。尽管某些实施例注重于面部识别硬件/软件(例如,用于识别用户面部并且跟踪用户的眼球运动的相机和相关联软件),但有些实施例可利用额外的生物计量装置,包括(例如)指纹传感器、声音识别硬件/软件(例如,用于识别用户声音的麦克风和相关联软件)以及光学识别功能(例如,用于扫描用户视网膜的光学扫描器和相关联软件)。用户验证功能还可包括非生物计量形式,如PIN输入。验证器可使用装置,如可信平台模块(TPM)、智能卡和安全元件,来进行密码操作与密钥存储。
在移动式生物计量的具体实施中,生物计量装置可远离依赖方。如本文所用,术语“远程”意味着生物计量传感器不是其以通信方式耦接到的计算机的安全边界的一部分(例如,生物计量传感器未嵌入到与依赖方计算机相同的物理外壳中)。举例来说,生物计量装置可经由网络(例如,因特网、无线网络链路等)或经由外围输入(诸如USB端口)耦接到依赖方。在这些条件下,依赖方可能无法知道装置是否为得到依赖方授权的装置(例如,提供可接受等级的验证强度和完整性保护的装置)以及/或者黑客是否已经盗用或甚至取代生物计量装置。生物计量装置的置信度取决于装置的特定实施。
本文中使用的术语“本地”指的是用户正亲自在特定位置处(诸如在自动取款机(ATM)或销售点(POS)零售结账处)进行交易的事实。然而,如下文所论述,用于验证用户的验证技术可能涉及非位置组件,诸如经由网络与远程服务器和/或其他数据处理装置的通信。此外,尽管本文中描述了特定实施例(诸如ATM和零售点),但应该指出的是,可在由最终用户在其内本地发起交易的任何系统的环境中实施本发明的基本原理。
本文中有时使用术语“依赖方”来不仅指尝试与之进行用户交易的实体(例如,执行用户交易的网站或在线服务),也指代表那个实体实施的安全交易服务器(其可执行本文所述的基础验证技术)。安全交易服务器可由依赖方拥有并且/或者在依赖方的控制下,或者可在作为商业安排的一部分向依赖方提供安全交易服务的第三方的控制下。
本文中使用的术语“服务器”指的是在一个硬件平台上(或跨多个硬件平台)执行的软件,其经由网络从客户端接收请求,然后作为响应来执行一个或多个操作,并且将响应传输到客户端,该响应通常包括操作的结果。服务器对客户端请求做出响应,从而向客户端提供或帮助向客户端提供网络“服务”。值得注意的是,服务器不限于单个计算机(例如,用于执行服务器软件的单个硬件装置),而是实际上可散布在多个硬件平台上,有可能位于多个地理位置处。
示例性系统架构
图1A至图1B示出包括用于验证用户的客户端侧组件和服务器侧组件的系统架构的两个实施例。图1A所示的实施例使用基于web浏览器插件的架构来与网站通信,而图1B所示的实施例不需要web浏览器。本文中描述的各种技术,诸如向验证装置登记用户、向安全服务器注册验证装置以及验证用户,可在这些系统构架中的任一者上实施。因此,虽然图1A所示架构用于展示下文所述实施例中的若干实施例的操作,但相同的基本原理可容易地(例如,通过去除作为服务器130与客户端上安全交易服务101之间的通信中介的浏览器插件105)在图1B所示的系统上实施。
首先转到图1A,示出的实施例包括配备有一个或多个验证装置110至112(在本领域中有时称为验证“令牌”或“验证器”)的客户端100,这些验证装置用于登记和验证最终用户。如上所述,验证装置110至112可包括生物计量装置,诸如指纹传感器、声音识别硬件/软件(例如,用于识别用户声音的麦克风和相关联软件)、面部识别硬件/软件(例如,用于识别用户面部的相机和相关联软件)以及光学识别功能(例如,用于扫描用户的视网膜的光学扫描器和相关联软件),以及对非生物计量形式诸如PIN验证的支持。验证装置可使用可信平台模块(TPM)、智能卡或安全元件来进行密码操作与密钥存储。
验证装置110至112通过由安全交易服务101暴露的接口102(例如,应用程序编程接口或API)以通信方式耦接到客户端。安全交易服务101是用于经由网络与一个或多个安全交易服务器132至133通信以及用于与在web浏览器104的环境内执行的安全交易插件105介接(interface with)的安全应用程序。如图所示,接口102还可提供对客户端100上的安全存储装置120的安全访问,该安全存储装置存储与每个验证装置110至112相关的信息,诸如装置识别代码、用户识别代码、受验证装置保护的用户登记数据(例如,所扫描的指纹或其他生物计量数据),以及用于执行本文所述安全验证技术的由验证装置包封的密钥。例如,如下文详细论述,唯一密钥可被存储到每个验证装置中并且在经由网络(诸如因特网)与服务器130通信时使用。
如下文论述,安全交易插件105支持某些类型的网络交易,诸如与网站131或其他服务器的HTTP或HTTPS交易。在一个实施例中,响应于插入到网页HTML代码中的特定HTML标签,由安全企业或Web目的地130内的网络服务器131(下文中有时简称为“服务器130”)来启动安全交易插件。响应于检测到此类标签,安全交易插件105可将交易转发到安全交易服务101以进行处理。另外,对于某些类型的事务(例如,诸如安全密钥交换),安全交易服务101可开启与当地交易服务器132(即,与网站位于同一地点)或异地交易服务器133的直接通信信道。
安全交易服务器132至133耦接到安全交易数据库120以存储用户数据、验证装置数据、密钥以及支持下文所述的安全验证交易所需要的其他安全信息。然而,应该指出的是,本发明的基本原理不要求图1A所示的安全企业或web目的地130内的逻辑组件分离。例如,网站131和安全交易服务器132至133可在单一物理服务器或分离的物理服务器内实施。此外,网站131和交易服务器132至133可在于一个或多个服务器上执行的集成软件模块内实施以执行下文所述的功能。
如上所述,本发明的基本原理不限于图1A所示的基于浏览器的架构。图1B示出替代性实施方式,其中独立应用程序154利用由安全交易服务101提供的功能来经由网络验证用户。在一个实施例中,应用程序154被设计为建立与一个或多个网络服务151的通信会话,这些网络服务依赖于安全交易服务器132至133,来执行下文详细描述的用户/客户端验证技术。
在图1A至图1B所示的任一个实施例中,安全交易服务器132至133可生成密钥,这些密钥接着被安全地传输到安全交易服务101并存储到安全存储装置120内的验证装置中。另外,安全交易服务器132至133管理服务器侧上的安全交易数据库120。
装置注册和交易确认
在本发明的一个实施例中,客户端与验证服务之间的强验证携载于不同信道上(例如,通往不同的依赖方)。因此,与通过验证服务进行的注册和验证相关联的某些基本原理将参考图2至图5来描述,之后将详细描述本发明的用于在不同信道上携载强验证的实施例。
图2示出用于注册验证装置的一系列事务。在注册期间,在验证装置与安全交易服务器132至133中的一个之间共享密钥。密钥存储在客户端100的安全存储装置120和由安全交易服务器132至133使用的安全交易数据库120内。在一个实施例中,密钥是由安全交易服务器132至133中的一个生成的对称密钥。然而,在下文论述的另一个实施例中,可使用不对称密钥。在该实施例中,公共密钥可由安全交易服务器132至133存储,并且第二相关私有密钥可存储在客户端上的安全存储装置120中。此外,在另一个实施例中,密钥可在客户端100上生成(例如,由验证装置或验证装置接口而不是安全交易服务器132至133生成)。本发明的基本原理不限于任何特定的密钥类型或密钥生成方式。
安全密钥预置协议(诸如动态对称密钥预置协议(DSKPP))可用于经由安全通信信道与客户端共享密钥(例如,见请求注解(RFC)6063)。然而,本发明的基本原理不限于任何特定密钥预置协议。
转到图2所示的具体细节,一旦用户登记或用户验证完成,服务器130便生成随机生成的质询(例如,密码随机数),客户端必须在装置注册期间呈现此质询。该随机质询可在有限时间段内有效。安全交易插件检测该随机质询并将其转发到安全交易服务101。作为响应,安全交易服务发起与服务器130的带外会话(例如,带外事务),并使用密钥供应协议与服务器130通信。服务器130使用用户名定位用户,验证随机质询,在已经发送装置的验证代码的情况下验证该验证代码,并且在安全交易数据库120中为用户创建新条目。其还可生成密钥,将密钥写入到数据库120,并使用密钥预置协议将密钥发送回到安全交易服务101。一旦完成,验证装置与服务器130便在使用对称密钥的情况下共享相同密钥,或者在使用不对称密钥的情况下共享不同密钥。
图3示出用于向注册的验证装置验证用户的一系列事务。一旦装置注册完成,服务器130便将接受由本地验证装置生成的令牌作为有效验证令牌。
转到图3所示的具体细节,该图示出基于浏览器的实施方式,用户在浏览器104中输入服务器130的统一资源定位符(URL)。在使用独立应用程序或移动装置应用程序(而非浏览器)的具体实施中,用户可输入网络服务的网络地址,或者应用程序或移动装置应用程序可自动尝试连接到该网络地址的网络服务。
对于基于浏览器的具体实施,网站在HTML页面中嵌入对已注册装置的查询。这可以在HTML页面中嵌入查询之外的许多方式进行,诸如通过Javascript或使用HTTP标头。安全交易插件105接收URL并将其发送到安全交易服务101,该安全交易服务搜索并查看安全存储装置120(如所论述,其包括验证装置和用户信息的数据库)并确定是否有用户在该URL内登记。如果是,则安全交易服务101将与该URL相关联的已预置装置列表发送到安全交易插件105。安全交易插件接着调用已注册的JavaScript API并将此信息传递到服务器130(例如,网站)。服务器130从所发送的装置列表选择恰当的装置,生成随机质询,并将装置信息和参数发送回到客户端。网站显示对应的用户界面并要求用户进行验证。用户接着提供所要求的验证措施(例如,在指纹读取器上轻扫手指、说话以进行声音识别等)。安全交易服务101识别用户(对于不支持存储用户的装置,可跳过此步骤),从数据库获得用户名,使用密钥生成验证令牌,并且经由安全交易插件将该信息发送到网站。服务器130从安全交易数据库120识别用户,并且通过在服务器130上生成相同令牌(例如,使用其密钥复本)来验证令牌。一旦验证,验证过程便完成。
图4示出验证过程的另一个实施例,其中客户端自动地检测到质询已经过期并且透明地向服务器请求新质询(即,在没有用户干预的情况下)。服务器接着生成新的随机质询并将其传输到客户端,客户端可接着用其建立与服务器的安全通信。最终用户体验得以改善,因为用户不会接收到验证请求的错误或拒绝。
在451处,用户将特定网站URL输入到浏览器104中并被引导到企业/web目的地服务器130内的web服务器131,所述目的地服务器包括安全交易服务器132至133。在452处,将查询发送回到安全交易服务(经由浏览器和插件)以确定向该网站的URL注册了哪个(哪些)装置。在453处,安全交易服务101查询客户端100上的安全存储装置720以识别发送回到服务器130的装置的列表。在454处,服务器454选择装置以用于验证,生成随机质询和超时指示,并且在455处,将该信息发送回到安全交易服务101。
在456处,安全交易服务456自动检测在达到超时时段的末尾时随机质询不再有效。可采用各种不同的技术来指示和检测超时时段的结束。在一个实施例中,超时时段包括随机质询被视为有效所在的时间段。在超时时段已经过去之后,随机质询不再被服务器130视为有效。在一个实施例中,超时时段被简单地指定为随机质询将不再有效时的时间点。一旦达到这个时间点,随机质询便无效。在另一个实施例中,通过使用当前时戳(即,服务器130生成随机质询的时间)和持续时间来指定超时时段。安全交易服务101可接着通过将持续时间值相加到时戳来计算随机质询变无效时的时间点,从而计算出超时时间。然而,应该指出的是,本发明的基本原理不限于用于计算超时时段的任何特定技术。
在检测到随机质询过期后,在457处,安全交易服务101透明地(即,在没有用户干预的情况下)通知服务器130并请求新的随机质询。作为响应,在458处,服务器130生成新的随机质询和对超时时段的新指示。如所提及,新的超时时段可与先前发送到客户端的超时时段相同或可被修改。在任一种情况下,在459处,将新的随机质询和超时指示发送到安全交易服务101。
图4所示的事务图的剩余部分以与如上所述基本相同的方式进行操作(例如,参见图3)。例如,在460处,显示验证用户界面(例如,引导用户在指纹传感器上轻扫手指),并且在461处,用户提供验证(例如,在指纹扫描器上轻扫手指)。在462处,安全交易服务验证用户的身份(例如,将从用户收集的验证数据与存储在安全存储装置720中的数据进行比较)并使用与验证装置相关联的密钥来加密随机质询。在463处,将用户名(或其他ID代码)和加密随机质询发送到服务器130。最后,在464处,服务器130使用用户名(或其他ID代码)在安全交易数据库120内识别用户,并且使用存储在安全交易数据库120中的密钥解密/验证随机质询以完成验证过程。
图5示出用于实施这些技术的客户端-服务器架构的一个实施例。如图所示,在客户端100上实施的安全交易服务101包括策略筛选器401,其用于分析服务器130所提供的策略并识别要用于注册和/或验证的验证功能子组。在一个实施例中,策略筛选器401被实施为在安全交易服务101的环境内执行的软件模块。然而,应该指出的是,策略筛选器401可在同时仍符合本发明的基本原理的情况下以任何方式来实施,并且可包括软件、硬件、固件或其任何组合。
图5中所示的特定具体实施包括安全交易插件105,以用于使用先前论述的技术建立与安全企业或Web目的地130(有时简称为“服务器130”或“依赖方”130)的通信。例如,安全交易插件可识别由web服务器131插入到HTML代码中的特定HTML标签。因此,在这个实施例中,将服务器策略提供到安全交易插件105,该安全交易插件将其转发到实施策略筛选器501的安全交易服务101。
策略筛选器501可通过从客户端的安全存储区域520读取功能来确定客户端验证功能。如先前论述,安全存储装置520可包括所有客户端验证功能(例如,所有验证装置的识别代码)组成的存储库。如果用户已经向其验证装置登记了用户,则用户的登记数据被存储在安全存储装置520内。如果客户端已经向服务器130注册了验证装置,则安全存储装置还可存储与每个验证装置相关联的加密秘密密钥。
通过使用从安全存储装置520提取的验证数据和由服务器提供的策略,策略筛选器501可接着识别要使用的验证功能子组。根据配置,策略筛选器501可识别客户端和服务器两者所支持的验证功能的完整列表,或可识别完整列表的子组。例如,如果服务器支持验证功能A、B、C、D和E,并且客户端具有验证功能A、B、C、F和G,则策略筛选器501可向服务器识别共同验证功能的整个子组:A、B和C。或者,如果需要较高隐私等级,如在图5中由用户偏好530指示,则可向服务器识别更有限的验证功能子组。例如,用户可指示应仅向服务器识别单个共同验证功能(例如,A、B或C之一)。在一个实施例中,用户可针对客户端100的所有验证功能确立优先化方案,并且策略筛选器可选择服务器和客户端两者共有的最高优先级的验证功能(或N个验证功能的优先化组)。
根据服务器130发起了何种操作(注册还是验证),安全交易服务130对筛选的验证装置子组(110至112)执行该操作,并经由安全交易插件105将操作响应发送回到服务器130,如图5所示。或者,在不依赖于Web浏览器的插件105组件的实施例中,可将该信息直接从安全交易服务101传递到服务器130。
用于在不同信道上携载强验证的系统和方法
在一个实施例中,依赖方可接收用于验证的验证器模型的加密证据,从该加密证据可得出验证器模型的安全特征。依赖方web应用程序例如可使用所得出的安全特征。例如,银行可在验证保证等级为中等的情况下仅显示账户状态,并且可仅在验证保证等级为高的情况下允许财务交易。又如,公司仅在验证保证等级为中等的情况下可授权访问电子邮件,并且仅在验证保证等级为高的情况下可授权访问机密文件存储库。
什么被视为“中等保证等级”或“高等保证等级”取决于区域和行业(vertical)。美国的金融机构必须遵守不同于欧盟(EU)、非洲和亚洲的金融机构的规章。电子商务网站还必须遵守在验证保证等级方面不同的规章(或者有时没有规章)。不过,关于对某些交易而言什么等级可视为可接受的保证等级,那些机构通常具有其自己的想法或甚至正式的策略。存在正式定义的例子(参见例如针对美国联邦机构而确立的SP-800-623-2)。有时,此类策略包括识别强度的定义(例如,“了解客户”(KYC)策略)。这种识别强度对区域和行业而言甚至更加具体。
真实世界的依赖方通常具有复杂计算和联网基础设施。有时,依赖方(a)可能不想在它们自己的数据中心运行此类验证服务器或者(b)可能想将验证集中在一个地方并随后通过受保护的网络将经验证的数据发送到最终Web服务。
为了解决这些需求,在一个实施例中,尝试访问由依赖方提供的一个或多个Web服务的客户端装置最初通过专用验证服务器/服务进行验证。响应于成功验证,验证服务器将验证令牌传输到客户端装置,该验证令牌包括成功验证的证据。在一个实施例中,令牌包括在用户的身份和用户尝试访问的Web服务的身份两者(例如,用户“John Doe”和Web服务“XYZ”)上生成的签名。随后,客户端装置将令牌呈现给Web服务作为用户已成功验证的证据。
在一个实施例中,客户端装置还向Web服务提供与用于验证用户的验证装置有关的细节,这些细节包括在令牌内,或与令牌分开发送。例如,客户端装置可提供唯一地识别用于验证用户的验证器类型的标识符,如验证器证实ID(AAID)。在该实施例中,客户端装置中使用的每个不同验证器类型可由其AAID来识别。随后,依赖方可使用AAID识别验证器类型,并基于使用的验证器类型来实施验证策略。
图6示出其上可实施本发明的实施例的示例性客户端装置600。具体地讲,该实施例包括多信道验证模块604,用于与验证服务651协调验证,接收令牌,并响应于成功验证将令牌(以及其他信息)呈现给Web服务652。所示的实施例还包括具有保证计算模块606的验证引擎610,该模块用于生成合法用户持有客户端装置600的保证等级。例如,使用显式用户验证装置620至621、一个或多个传感器643(例如,位置传感器、加速度计等)以及与客户端装置600的当前验证状态有关的其他数据(诸如自从上次显式验证以来的时间)收集显式和非侵入式验证结果605。虽然在图6中示出为单独模块,但验证引擎610和多信道模块604可实施为用于执行本文所述的所有操作的单一模块。
显式验证可例如使用生物计量技术(例如,在指纹验证装置上轻扫手指、捕捉照片等)以及/或者通过用户输入密码来执行。非侵入式验证技术可基于数据来执行,诸如当前检测到的客户端装置600的位置(例如,经由GPS传感器)、其他感测到的用户行为(例如,用加速度计测量用户的步态)和/或变量,如自从上次显式验证以来的时间。不管验证结果605如何生成,保证计算模块606可使用该结果来确定保证等级,该保证等级指示合法用户650持有客户端装置600的可能性。在一个实施例中,不同于生成保证等级,验证引擎610可仅确定验证结果是否足以验证用户(例如,基于显式和/或隐式验证结果高于指定阈值)。如果是,则验证成功;如果不是,则验证失败,并且/或者请求额外验证。
安全通信模块613建立与验证服务的安全通信来提供验证结果。例如,如果验证等级高于指定阈值,则可(例如,使用如本文所述的安全密钥)成功向依赖方613验证用户。公共/私有密钥对或对称密钥可存储在安全存储装置625内,安全存储装置可实施为密码安全硬件装置(例如,安全芯片)或使用安全硬件和软件的任何组合。
在一个实施例中,响应于使用验证引擎610的成功验证,验证服务651将令牌传输到多信道验证模块604。如上所述,令牌可包括在用户的身份和用户尝试访问的Web服务的身份两者上生成的签名。随后,多信道验证模块604将令牌呈现给Web服务652作为用户已成功验证的证据。另外,多信道验证模块604可提供与用于验证用户的验证装置有关的细节(例如,装置的AAID)。
在一个实施例中,Web服务652使用这些细节诸如AAID来查询验证策略数据库690,并基于所述细节来实施验证策略。在一个实施例中,验证策略数据库960包括所有现有验证装置的元数据、验证装置类别、交互类别和验证规则(其例子在下文中论述)。一般来说,每个依赖方可基于历史交易和/或已知装置能力来使用内部风险计算实施其自己的验证策略。
现有装置的元数据例如可指定为由线上快速身份验证联盟规范定义(例如,作为[FIDOUAFMetadata]);然而,本发明的基本原理无关于任何特定类型的元数据。元数据可包括与每个验证装置的可靠性和准确性有关的特定模型信息和数据。例如,用于“有效性模型123”指纹传感器的条目可包括与这个传感器有关的技术细节,诸如传感器存储敏感数据的方式(例如,在密码安全硬件中、EAL 3认证等)和错误接受率(指示传感器在生成用户验证结果时有多可靠)。
在一个实施例中,数据库690中指定的验证装置类别可基于那些装置的能力来对验证装置进行逻辑分组。例如,可针对(1)指纹传感器定义一个特定验证装置类别,所述指纹传感器(2)在已通过EAL 3认证的密码安全硬件中存储敏感数据,并且(3)使用错误接受率小于千分之一的生物计量匹配过程。另一个示例性装置类别可为(1)面部识别装置,其(2)不在密码安全硬件中存储敏感数据,并且(3)使用错误接受率小于五百分之一的生物计量匹配过程。因此,满足以上标准的指纹传感器或面部识别实施方式将添加到数据库690内的适当验证装置类别中。
可使用各种单独属性定义验证装置类别,诸如验证因素的类型(例如,指纹、PIN、面部)、硬件的安全保证等级、保密信息的存储位置、验证器执行密码操作的位置(例如,在安全芯片或安全附件中)以及多种其他属性。可使用的另一组属性与客户端上执行“匹配”操作的位置相关。例如,指纹传感器可在指纹传感器自身上的安全存储装置中捕捉和存储指纹模板,并且在指纹传感器硬件自身内对照那些模板执行所有验证,从而形成高度安全的环境。作为另外一种选择,指纹传感器可仅是捕捉指纹的图像但使用主CPU上的软件来执行所有捕捉、存储和比较操作的外围设备,从而形成较不安全的环境。也可使用与“匹配”实施方式相关联的各种其他属性来定义验证装置类别(例如,是在(还是不在)安全元件、可信执行环境(TEE)或其他形式的安全执行环境中执行匹配)。
当然,这些仅仅是用于示出验证装置类别的概念的例子。可在同时仍符合基础原理的情况下指定各种额外的验证装置类别。此外,应该指出的是,视如何定义验证装置类别而定,单个验证装置可被归类到多个装置类别。
在一个实施例中,可周期性地更新策略数据库690,以包括新验证装置进入市场时的数据以及新验证装置类别的数据,其中新验证装置类别可能包含可将新验证装置归类到其中的新类别。这些更新可由依赖方和/或负责为依赖方提供更新的第三方(例如,出售依赖方使用的安全交易服务器平台的第三方)执行。
在一个实施例中,基于依赖方提供的特定交易来定义交互类别。例如,如果依赖方是金融机构,则可根据交易的币值对交互进行分类。“高值交互”可被定义为涉及(例如,转账、提取等)$5000或更多金额的类别;“中值交互”可被定义为涉及$500与$4999之间的金额的类别;而“低值交易”可被定义为涉及$499或更少的金额的类别(或者不涉及货币交易的类别)。
除了所涉及的金额之外,还可基于所涉及的数据的敏感性来定义交互类别。例如,公开用户的机密数据或其他私有数据的交易可被归类为“公开机密的交互”,而不公开此类数据的交易可被定义为“不公开机密的交互”。可使用不同变量和多种最低水平、最高水平和中间水平来定义各种其他类型的交互。
最后,可定义涉及验证装置、验证装置类别和/或交互类别的一组验证规则。以举例而非限制的方式,特定验证规则可规定对于“高值交易”(如一交互类别所规定的),仅可使用在已通过EAL 3认证的密码安全硬件中存储敏感数据并且使用错误接受率小于千分之一的生物计量匹配过程的指纹传感器(如被指定为一种验证装置类别)。如果指纹装置不可用,则验证规则可定义可接受的其他验证参数。例如,可要求用户输入PIN或密码并且还回答一系列的个人问题(例如,用户先前向依赖方提供的个人问题)。可利用为验证装置和/或验证装置类别指定的任何上述单独属性定义规则,诸如验证因素类型(例如,指纹、PIN、面部)、硬件的安全保证等级、保密信息的存储位置、验证器执行密码操作的位置。
作为另外一种选择或除此之外,可在规则中指定只要其他值是足够的,某些属性就能够采用任何值。例如,依赖方可指定必须使用指纹装置,并且该指纹装置在硬件中存储种子并且在硬件中执行计算,但不关心硬件的保证等级(如由包含满足这些参数的验证装置的列表的验证装置类别所定义)。
此外,在一个实施例中,规则可仅规定只可使用特定验证装置来验证特定类型的交互。例如,组织可规定对高值交易而言只有“有效性模型123指纹传感器”是可接受的。
另外,可使用一条规则或一组规则为交互创建验证策略的整齐有序组合。例如,这些规则可针对各个验证策略指定策略组合,从而允许创建准确反映依赖方的验证偏好的丰富策略。这种做法将允许(例如)依赖方指定指纹传感器是优选的,但如果没有指纹传感器可用,则基于可信平台模块(TPM)的验证或面部识别同样可优选作为下一个最佳替代方案(例如,以优先级顺序)。
在一个实施例中,当确定是否准许与客户端600的交易时,验证策略引擎680依赖交互类别、验证装置类别和/或验证装置数据实施验证规则。例如,作为对客户端装置600的用户尝试进入与Web服务652的交易的响应,验证策略引擎690可识别适用的一个或多个交互类别的组和相关联的验证规则。随后,其可应用这些规则来确定由多信道验证模块604提供的令牌是否足够。如果令牌是足够的(例如,如果当前交易已使用了可接受的验证装置),则客户端装置600获许执行与Web服务652的交易。如果不是,则拒绝交易并且/或者请求额外验证。
本发明的三个不同的实施例的架构实施方式在图7至图9中示出。在图7所示的实施例中,具有增强的验证能力的客户端装置700(例如上述客户端装置)在依赖方755处通过专用验证服务751(例如,一个或多个验证服务器)进行验证。依赖方755包括多个Web服务752a至752c。如果验证成功,则验证服务751向客户端装置700返回验证令牌,该验证令牌包括对用户/客户端装置和Web服务752c的身份的签名。另外,如所提及,该令牌可包括在验证过程中使用的验证器类型的身份。接着,客户端装置700将令牌呈现给Web服务752c来发起交易。假设使用的验证装置是可接受的(例如,在适用于期望交易的可接受的装置类别内),则Web服务752c允许交易。
图8示出其中依赖方使用具有验证服务851的外部身份提供方801来验证用户的实施例。在该实施例中,在向客户端600提供Web服务852a至852b之前,依赖方802依赖于由身份提供方801执行的验证。如图7所示的实施例中那样,具有增强的验证能力的客户端装置700通过由身份提供方801管理的专用验证服务851进行验证。如果验证成功,则验证服务851向客户端装置700返回验证令牌,该验证令牌包括对用户/客户端装置和Web服务852b的身份的签名。另外,如所提及,令牌可包括在验证过程中使用的验证器类型的身份。接着,客户端装置700将令牌呈现给Web服务852b来发起交易。假设使用的验证装置是可接受的(例如,在适用于期望交易的可接受的装置类别内),则Web服务852b允许交易。
图9示出其中依赖方955验证包括增强的验证服务的网络层装置951诸如防火墙、虚拟私人网络(VPN)装置或传输层安全性(TLS)集中器的实施例。如在先前的实施例中那样,具有增强的验证能力的客户端装置700响应于成功验证而能够访问web服务952c。相比于先前的实施例,验证装置951并不将客户端随后使用其来访问Web服务952c的令牌提供回客户端700。相反,在此实施例中,所有验证在网络层(例如,TCP/IP网络中的IP包层)处执行,并且网络层装置951将客户端700直接连接到Web服务952c(例如,因为客户端700与依赖方955之间的所有的网络通信量都流过网络层装置951)。
在一个实施例中,如果客户端装置700成功验证,那么通往/来自客户端的网络层包可利用相关验证安全特征标识符(例如,验证器标识符,如AAID,如上所述)来加标签。例如,在一个实施例中,每个AAID被映射到12-位虚拟标识符(VID),并且通往/来自客户端的每一个包利用VID来加标签。例如,可使用支持在以太网上的虚拟LAN(VLAN),并为此类加标签提供支持的网络标准,如IEEE 802.1Q。
或者,在一个实施例中,加标签在更高级的协议如HTTP上完成。这在验证服务器951还充当TLS端点(例如,TLS集中器)的情况下是尤其令人关注的。在这种情况下,可添加新的标头字段来包括该验证装置的AAID(例如,包含该AAID的串数据类型)。此字段包含与用户使用的验证器951有关的AAID。在这种情况下,网络装置确保将决不直接从输入通信量来传递此标头字段。
在上述实施例中,验证服务器751、851、951可提供另外web服务接口来允许Web服务752、852、952请求安全特征。此方法的一个潜在缺点是验证服务器上的增加的负载(即,对服务器的另外请求)和网络上的增加的负载(由于另外的通信量)。
因此,不是试图尝试定义独立保证等级的(相对较小的)数量(其可仅针对特定的区域和行业来优化)和试图包括安全特征的所有相关方面的描述,上述实施例提供识别相关安全特征的通用方法,并通常将其留给市场,尤其是依赖方755、802、955来确定它们各自的规章或策略的含义。
此外,不是要求每个Web服务直接访问验证服务器,在上述实施例中,验证服务器创建包含相关安全特征(例如,令牌)的经验证的数据结构。Web服务随后验证此数据结构并可基于其内容来做出决定。验证安全特征的标识符(例如,AAID)可以验证方式来添加到通信量/消息。
在如图9所示基础设施情况下,数据结构可无需显式地验证,因为在此类防火墙/VPN服务器951(即,在DMZ中)后面的网络通信量通常被视为“安全”的。这意味着网络信道本身保证仅已验证的通信量发送到其中。
可设想各种不同集成选项来将本发明的实施例集成到现有验证协议(例如共同待决申请中所述的协议和当前FIDO标准)中。例如,当使用安全断言标记语言(SAML)联邦协议时,验证安全特征标识符可添加至例如在Authentication Context for the OASISSecurity Assertion Markup Language(SAML)V2.0(用于OASIS安全断言标记语言(SAML)V2.0的验证上下文)(2005年3月15日)中所描述的验证上下文中。当使用开放ID连接时,验证安全特征标识符可添加至作为ID令牌的部分的验证方法引用(AMR),如在OpenIDConnect Core 1.0-draft 17(开放ID连接核心1.0-草案17)(2014年2月3日)的章节3.2.2.10和3.2.2.1 1中所讨论。
图10示出根据本发明的一个实施例的方法。在1001处,用户通过验证服务执行远程验证。在一个实施例中,在尝试发起与依赖方的交易时,该用户可被重导向到验证服务。在1002处,在用户成功验证(例如,使用本文所述技术或其他验证技术中的任何技术)时,验证服务生成令牌并将其发送到用户,该令牌包括了对用户和服务的标识符的签名和验证器ID(例如,AAID)。在1003处,用户将令牌发送到服务来作为成功验证的证据。随后,服务验证令牌上的签名,并且如果在1005处验证是成功的,则在1006处,依赖方实施至少部分地基于用于验证的验证器的身份的策略(例如,通过使用AAID查询策略数据库)。例如,如上所述,可实施策略来允许仅针对某些验证器或验证器类别的某些交易。如果在1005处验证失败,则在1007处拒绝交易。
示例性数据处理装置
图11是示出可在本发明的一些实施例中使用的示例性客户端和服务器的框图。应当理解,尽管图11示出计算机系统的各种组件,但其并非意图表示互连组件的任何特定架构或方式,因为此类细节与本发明并不密切相关。应当理解,具有更少组件或更多组件的其他计算机系统也可与本发明一起使用。
如图11所示,计算机系统1100,其为一种形式的数据处理系统,包括总线1150,该总线与处理系统1120、电源1125、存储器1130和非易失性存储器1140(例如,硬盘驱动器、快闪存储器、相变存储器(PCM)等)耦接。总线1150可通过如本领域中熟知的各种桥接器、控制器和/或适配器来彼此连接。处理系统1120可从存储器1130和/或非易失性存储器1140检索指令,并执行这些指令以执行如上所述的操作。总线1150将以上组件互连在一起,并且还将那些组件互连到可选底座1160、显示控制器与显示装置1170、输入/输出装置1180(例如,NIC(网络接口卡)、光标控件(例如,鼠标、触摸屏、触摸板等)、键盘等)和可选无线收发器1190(例如,蓝牙、WiFi、红外等)。
图12是示出可在本发明的一些实施例中使用的示例性数据处理系统的框图。例如,数据处理系统1200可为手持式计算机、个人数字助理(PDA)、移动电话、便携式游戏系统、便携式媒体播放器、平板计算机或手持式计算装置(其可包括移动电话、媒体播放器和/或游戏系统)。又如,数据处理系统1200可为网络计算机或在另一个装置内的嵌入式处理装置。
根据本发明的一个实施例,数据处理系统1200的示例性架构可用于上文所述的移动装置。数据处理系统1200包括处理系统1220,其可包括一个或多个微处理器和/或集成电路上的系统。处理系统1220与存储器1210、电源1225(其包括一个或多个电池)、音频输入/输出1240、显示控制器与显示装置1260、可选输入/输出1250、输入装置1270和无线收发器1230耦接。应当理解,在本发明的某些实施例中,图12中未示出的其他组件也可为数据处理系统1200的一部分,并且在本发明的某些实施例中,可使用比图12所示更少的组件。另外,应当理解,如本领域中所熟知,图12中未示出的一个或多个总线可用于使各种组件互连。
存储器1210可存储数据和/或程序以供数据处理系统1200执行。音频输入/输出1240可包括麦克风和/或扬声器以(例如)播放音乐,以及/或者通过扬声器和麦克风提供电话功能。显示控制器与显示装置1260可包括图形用户界面(GUI)。无线(例如,RF)收发器1230(例如,WiFi收发器、红外收发器、蓝牙收发器、无线蜂窝电话收发器等)可用于与其他数据处理系统通信。所述一个或多个输入装置1270允许用户向系统提供输入。这些输入装置可为按键、键盘、触控面板、多点触控面板等。可选的其他输入/输出1250可为基座接口。
本发明的实施例可包括如上文陈述的各种步骤。这些步骤可体现为致使通用处理器或专用处理器执行某些步骤的机器可执行指令。或者,这些步骤可由包含用于执行这些步骤的硬连线逻辑的特定硬件组件执行,或由编程的计算机组件和定制硬件组件的任何组合执行。
本发明的元件还可被提供为用于存储机器可执行程序代码的机器可读介质。机器可读介质可包括但不限于软盘、光盘、CD-ROM和磁光盘、ROM、RAM、EPROM、EEPROM、磁卡或光卡、或者适合于存储电子程序代码的其他类型的介质/机器可读介质。
在整个前述描述中,出于解释的目的,陈述了许多特定细节以便透彻理解本发明。然而,本领域的技术人员将容易明白,可在没有这些特定细节中的一些的情况下实践本发明。例如,本领域的技术人员将容易明白,本文所述的功能模块和方法可被实施为软件、硬件或其任何组合。此外,虽然本文在移动计算环境的情形内描述本发明的一些实施例,但本发明的基本原理不限于移动计算具体实施。在一些实施例中,可使用几乎任何类型的客户端或对等数据处理装置,包括(例如)台式计算机或工作站计算机。因此,应依据所附权利要求书确定本发明的范围和精神。
本发明的实施例可包括如上文陈述的各种步骤。这些步骤可体现为致使通用处理器或专用处理器执行某些步骤的机器可执行指令。或者,这些步骤可由包含用于执行这些步骤的硬连线逻辑的特定硬件组件执行,或由编程的计算机组件和定制硬件组件的任何组合执行。
机译: 用于在不同信道上传达强认证事件的系统和方法
机译: 用于在不同信道上传达强认证事件的系统和方法
机译: 在不同通道上进行强认证事件的系统和方法
