相关申请交叉引用
本申请是PCT申请,其要求2018年12月11日提交的第62/778,106号美国临时申请的优先权,所述美国临时申请以全文引用的方式并入本文中。
背景技术
可以基于一个或多个认证方法授予对安全资源的访问权。例如,用户可以登录安全网站或应用程序。作为另一实例,用户可以提交凭证或生物特征以获得对安全建筑的访问权。资源越安全,可能需要的认证就越多。例如,安全资源可能需要逐步升级的认证或多种形式的标识。随着这些认证方法越来越麻烦,用户重新获得对资源的访问权可能会变得越来越繁琐。例如,用户可以通过用户名和密码登录银行网站。然后,用户可能需要通过输入通过文本消息接收到的访问代码来执行逐步升级的认证过程。如果用户必须在会话到期后重新登录,则用户可能会在必须再次进行多个认证阶段时遇到麻烦。
为了避免过多的重新认证用户的需求,可以将对资源的访问权延长一段时间。使用户登录网站的一种方式是使用cookie。cookie可以在会话开始时发出,并且在会话结束时到期。例如,当用户手动退出时和/或在过了一段时间(例如,5分钟)之后,cookie可能会到期。使用cookie来延长会话不太安全。cookie容易被篡改并暴露给多个实体。
实施例单独地以及共同地解决了这些和其它问题。
发明内容
本文中所描述的方法提供了一种扩展用户安全访问资源并使用有限的计算资源的能力的方法。
实施例包括一种方法,包括:由服务器计算机从用户装置上的第一应用程序接收用户已经过认证的指示;由所述服务器计算机从所述用户装置上的第二应用程序接收所述用户被检测到的指示,其中所述用户装置从所述用户身上的可穿戴装置接收所述用户被检测到的所述指示;以及基于在一时间段内接收到两个所述指示,为所述用户生成或维护信任令牌。
在一些方面中,所述方法进一步包括:由所述服务器计算机从所述用户装置上的所述第二应用程序接收所述用户未被检测到的指示;以及基于接收到所述用户未被检测到的所述指示,撤销所述信任令牌。在一些方面中,所述方法进一步包括:由所述服务器计算机确定所述用户已授权对与所述用户的数字身份相关联的用户数据的访问,其中基于确定所述用户已授权对与所述用户的所述数字身份相关联的所述用户数据的所述访问生成所述信任令牌。在一些方面中,所述方法进一步包括:由所述服务器计算机确定所述用户已撤销对与所述用户的所述数字身份相关联的所述用户数据的所述访问;以及由所述服务器计算机基于确定所述用户已撤销所述访问而撤销所述信任令牌。
在一些方面中,所述时间段是第一时间段,并且所述用户已授权第二时间段内对与所述用户的所述数字身份相关联的所述用户数据的访问,所述方法进一步包括:由所述服务器计算机确定所述第二时间段已到期;以及由所述服务器计算机基于确定所述第二时间段已到期而撤销所述信任令牌。在一些方面中,所述方法进一步包括:由所述服务器计算机标识所述用户的数字身份,其中所述信任令牌与所述用户的所述数字身份相关联地存储。在一些方面中,所述方法进一步包括:由所述服务器计算机基于周期性地接收到的所述用户被检测到的指示周期性地更新记录,其中基于所述记录维护所述信任令牌。
在一些方面中,所述用户被检测到的所述指示对应于所述用户的检测到的心跳。在一些方面中,所述方法进一步包括:由所述服务器计算机将所述用户的所述检测到的心跳与所述用户的存储的心跳进行比较;以及基于所述比较,由所述服务器计算机确定所述检测到的心跳与所述存储的心跳匹配,其中基于确定所述检测到的心跳与所述存储的心跳匹配进一步生成或维护所述信任令牌。
实施例包括一种服务器计算机,包括:处理器;以及计算机可读介质,其以操作性方式耦合到所述处理器,用于执行如上文所描述的方法。
实施例包括一种方法,包括:由用户装置确定用户已经过认证;由所述用户装置将所述用户已经过认证的指示发送给服务器计算机;由所述用户装置确定所述用户被检测到,其中所述用户装置基于可穿戴装置基于检测所述用户的心跳生成的信息确定所述用户被检测到;以及由所述用户装置将所述用户被检测到的指示发送给所述服务器计算机,其中所述服务器计算机基于在一时间段内接收到两个所述指示为所述用户生成或维护信任令牌。
在一些方面中,所述方法进一步包括:由所述用户装置从所述可穿戴装置接收所述用户未被检测到的指示;以及由所述用户装置将所述用户未被检测到的所述指示发送给所述服务器计算机,其中基于所述用户未被检测到的所述指示撤销所述信任令牌。在一些方面中,所述方法进一步包括:由所述用户装置周期性地将所述用户被检测到的额外指示发送给所述服务器计算机,其中所述额外指示用于维护所述信任令牌。
实施例包括一种用户装置,包括:处理器;以及计算机可读介质,其以操作性方式耦合到所述处理器,用于执行如上文所描述的方法。
附图说明
图1示出了根据一些实施例的用于管理信任令牌的系统和方法的示意图。
图2示出了根据一些实施例的服务器计算机的框图。
图3示出了根据一些实施例的用户装置的框图。
图4示出了根据一些实施例的数字身份平台的框图。
图5示出了根据一些实施例的使用信任令牌的示例用例。
图6示出了根据一些实施例的用于使用信任令牌授予对资源的访问权的技术的流程图。
具体实施方式
在讨论各种实施例之前,可以进一步详细描述一些术语。
“用户”可以包括个人。在一些实施例中,用户可以与一个或多个个人账户和/或用户装置相关联。在一些实施例中,用户也可被称作持卡人、账户持有人或消费者。
“用户装置”可以是可以由用户操作的任何合适的装置。用户装置可以包括蜂窝电话、个人数字助理(PDA)、寻呼机、平板计算机、个人计算机等。作为附加实例,用户装置可以包括可穿戴装置(例如,手表、戒指等)。用户装置可以包括用于执行此类功能的任何合适的硬件和软件,并且可以包括多个装置或组件。
“资源提供商”可以是可以提供例如商品、服务、信息和/或访问等资源的实体。资源提供商的实例包括商家、数据提供商、运输代理、政府实体、场地和住宅运营商等。资源提供商可以操作资源提供商计算机。
术语“认证”和其派生词可指代可验证端点(包括但不限于应用程序、人、装置、过程和系统)的凭证以确保端点是它们宣称的对象的过程。
术语“标识符”可以指可用于标识某些内容的任何信息。在一些实施例中,标识符可以是随机生成或根据预定算法、代码或共享秘密生成的特殊值。例如,可以使用驾照号码或密码密钥来标识个人。在一些实施例中,标识符可以呈一个或多个图形、令牌、条形码、快速响应(QR)码,或可用于唯一地标识实体的任何其它信息的形式。
“身份属性”可以指关于实体(例如,人、组织、事物等)的一条特定信息。身份属性的实例包括与人相关联的社会保障号码、年龄、电话号码和银行账号。
“数字身份”(DI)可包括关于实体(例如,人、组织或事物)的安全信息集。DI可以包括多个身份属性,以及标识数字身份的数字身份标识符。例如,用户Joe Smith的DI可以包括:身份属性,例如用户的出生日期、社会保障号码、地址和驾照号码;以及标识符,例如用于标识Joe Smith的数字身份的Joe_Smith_1234。可以用安全的方式使所述DI对另一实体可用。DI可以依赖于利益相关者之间的协议以及例如密码之类的安全措施。
“信任令牌”可以包括可以用于授予对资源的访问权的指示符。例如,可以使用信任令牌来延长用户保持认证到安全系统的时间段。信任令牌可以存储到由服务器计算机管理的云存储系统等数据存储区。信任令牌可以是二进制的,或可以包括编码信息。信任令牌可以包括或与用户标识符、实体标识符、时间戳、数字身份等额外信息相关联地存储。在一些实施例中,可以由一个或多个实体查看信任令牌,以确定是否授予对一个或多个相应资源的访问权。数据存储区可以存储多个信任令牌,每个信任令牌与特定用户和/或实体相关联。例如,信任令牌可以与用于已经过认证的用户的用户标识符以及用于用户已认证到的实体的实体标识符相关联地存储。
“访问装置”可以是用于获得对资源的访问的任何合适的装置。访问装置通常可位于任何合适位置处,例如位于商家所在位置处。访问装置可呈任何合适的形式。访问装置的一些示例包括销售点(POS)装置、蜂窝电话、个人数字助理(PDA)、个人计算机(PC)、平板计算机、手持式专用读取器、机顶盒、电子收款机(ECR)、自动取款机(ATM)、虚拟收款机(VCR)、查询一体机、安全系统、访问系统、网站等。访问装置可使用任何合适的接触或非接触式操作模式,以收发来自支付装置和/或便携式装置的数据,或与支付装置和/或便携式装置相关联的数据。
“处理器”可以指任何合适的一个或多个数据计算装置。处理器可以包括一起工作以实现所要功能的一个或多个微处理器。处理器可以包括CPU,所述CPU包括至少一个高速数据处理器,所述高速数据处理器足以执行程序组件以用于执行用户和/或系统生成的请求。CPU可以是微处理器,例如AMD的Athlon、Duron和/或Opteron;IBM和/或Motorola的PowerPC;IBM和Sony的Cell处理器;Intel的Celeron、Itanium、Pentium、Xeon和/或XScale;和/或类似的一个或多个处理器。
“存储器”可以是可存储电子数据的任何合适的一个或多个装置。合适的存储器可以包括非瞬态计算机可读介质,其存储可由处理器执行以实现所要方法的指令。存储器的实例可以包括一个或多个存储器芯片、磁盘驱动器等。此类存储器可以使用任何合适的电、光和/或磁操作模式来操作。
“服务器计算机”可以包括功能强大的计算机或计算机群集。例如,服务器计算机可以是大型主机、小型计算机集群或像单元一样工作的一组服务器。在一个实例中,服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可以耦合到数据库,并且可包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其它逻辑或前述内容的组合。服务器计算机可包括一个或多个计算设备,且可使用各种计算结构、布置和编译中的任一种来服务来自一个或多个客户端计算机的请求。
“资源提供商”可以是在交易期间提供资源(例如,商品、服务、对安全数据的访问、对位置的访问等)的任何合适的实体。例如,资源提供实体可以是商家、场所运营商、建筑物所有者、政府实体等。“商家”通常可以是参与交易且可以出售商品或服务或提供对商品或服务的访问的实体。
实施例提供信任令牌,其可以用于授予用户对资源的访问权。当在一时间段内从两个应用程序接收到确认时,可以生成信任令牌。例如,第一应用程序可以发送用户已进行认证过程(例如,经由银行网站上逐步升级的认证、经由视网膜扫描以获得对安全位置的访问权等)的通知。第二应用程序可以发送用户穿戴着可穿戴装置以及可穿戴装置检测用户的心跳的指示。如果在阈值时间段内接收到两个通知,则服务器计算机可以发出信任令牌,所述信任令牌指示所述用户受信任且可以被授予对资源的访问权。例如,信任令牌可以保持用户登录银行网站而不需要进行逐步升级的认证,或者允许用户获得对安全位置的访问权而不需要一段时间进行另一次视网膜扫描。替代地或另外,用户可以在所述时间段内被授予对其它资源的访问权。
图1示出了根据一些实施例的用于管理信任令牌的系统和方法的示意图。系统100可以包括服务器计算机106、第一用户装置102、第二用户装置104、实体计算机108和数据存储区109。
图1中所示的系统中的组件可以通过任何合适的通信信道或通信网络彼此进行操作性通信。合适的通信网络可以是下列中的任一个和/或组合:直接互连、互联网、局域网(LAN)、城域网(MAN)、作为互联网节点的运行任务(OMNI)、安全定制连接、广域网(WAN)、无线网络(例如,采用协议例如但不限于无线应用协议(WAP)、I-模式等),等等。计算机、网络与装置之间的消息可以使用安全通信协议来传输,这些安全通信协议例如,但不限于,文件传送协议(FTP);超文本传送协议(HTTP);安全超文本传送协议(HTTPS)、安全套接层(SSL)、ISO(例如,ISO 8583)等。
为了简化说明,图1中示出一定数量的组件。然而,应当理解,实施例可以包括多于一个每种组件。例如,可以存在与实体计算机108和/或服务器计算机106以操作性方式通信的多个用户装置,包括第一用户装置102。
第一用户装置102可以是可由用户操作且能够执行应用程序的装置。例如,第一用户装置102可以是智能电话、计算机、平板计算机等。第一用户装置102可以执行各种应用程序。下文关于图3进一步描述了例如第一用户装置102等示例用户装置的组件和功能性。
实体计算机108可以是与例如资源提供商等实体相关联的服务器计算机。实体计算机108可以与管理第一应用程序102A的相同实体相关联。例如,第一应用程序102A是银行应用程序,并且实体计算机108是对应银行的服务器计算机。作为另一实例,第一应用程序102A是(例如,用于在线购物的)商家应用程序,并且实体计算机108是对应商家的服务器计算机。作为另一实例,第一应用程序102A是(例如,用于控制对运输系统的访问的)运输应用程序,并且实体计算机108是对应的运输代理的服务器计算机。
第二用户装置104可以是能够检测用户的装置。第二用户装置可以是可穿戴装置,例如智能手表、光学头挂式显示器、智能戒指等。替代地,第二用户装置可以是能够检测用户的另一种类型的装置。例如,移动电话可以经由触觉检测用户运动。作为另一实例,可以使用一个或多个监测摄像机来检测用户。第二用户装置104可以包括用以(例如,基于检测到的脉搏)检测心跳的功能性。第二用户装置104可以包括用以随时间监测心跳特性的功能性。第二用户装置104可以包括用以检测和/或监测脉搏或关于用户穿戴装置的其它数据的功能性。第二用户装置104可以通信方式耦合到第一用户装置102和/或服务器计算机106。第二用户装置104可以包括用以在用户被检测到(或不再被检测到)时通知第一用户装置102上的应用程序的功能性。替代地或另外,第二用户装置104可以包括用以在用户被检测到(或不再被检测到)时通知服务器计算机106的功能性。
在第一用户装置102上执行的应用程序可以包括第一应用程序102A。第一应用程序102A可以包括用以认证用户的功能性。例如,第一应用程序102A可以是银行应用程序。银行应用程序可以提示用户输入密码、个人识别号(PIN)、生物特征数据等。此数据接着可以用于认证用户。作为另一实例,第一应用程序102A可以是用于以无钥匙方式启动车辆的应用程序。在某个初始时间以无钥匙方式激活车辆之前,所述应用程序可以要求用户使用生物特征、密码等来进行认证。
第一应用程序102A还可以包括用以与服务器计算机106进行通信的功能性。第一应用程序102A可以将指示用户已经过认证的通知发送给服务器计算机106。
在第一用户装置102上执行的应用程序可以包括第二应用程序102B。第二应用程序102B可以包括用以与第二用户装置104进行通信(例如,以发送和/或接收关于用户是否被检测到的消息)的功能性。在一些实施例中,第二应用程序102B可以从第二用户装置104接收原始数据(例如,脉搏率),并且分析所述原始数据以确定用户是否被检测到。第二应用程序102B可以包括用以与服务器计算机106进行通信(例如,以发送和/或接收关于用户是否被检测到的消息)的功能性。
在一些实施例中,第一应用程序102A和第二应用程序102B可能无法彼此直接进行通信。例如,在智能手机上,出于安全目的,可能会使应用程序彼此隔离。可以部分或完全地阻止第一应用程序102A和第二应用程序102B彼此直接进行通信。因此,作为一种变通方式,一个应用程序可以将信息发送给服务器计算机,并且服务器计算机可以将信息发送回另一应用程序。替代地,如果应用程序可以直接进行通信,则可以在第一用户装置102上执行本文中关于服务器计算机描述的一些操作。
服务器计算机106可以包括用以生成和管理信任令牌的功能性。在一些实施例中,服务器计算机106可以基于记录106A生成信任令牌。下文关于图2进一步详细描述了关于服务器计算机106等服务器计算机的进一步细节。服务器计算机106可以将信任令牌110存储在数据存储区109(例如,云存储装置)中,如下文关于图2进一步描述的。
记录106A可以用于基于多个条件控制对资源的访问。记录106A也可以被称作旗语,这是因为记录106A可以表示两个或更多个过程的同步。记录106A可以表示为变量、对象等。记录106A可以用于确定是否已在一时间段内接收到两个肯定指示。如图1所示,如果用户(a)已经过认证且(b)(例如,通过心跳、脉搏、监测系统等)被检测到,则记录106A是肯定的(如两个复选框所指示)。记录106A例如通过被赋予值1或是而表示为肯定的。记录106A可以例如通过被赋予值0或否而表示为否定的(例如,用户未经过认证和/或未被检测到)。
在一些实施例中,如果用户在一时间段内经过认证且被检测到,则记录106A可以是肯定的。例如,用户在认证的一秒内被检测到。作为另一实例,用户在认证时间周围的三十秒窗口被持续检测到。服务器计算机106可以使用计时器来确定用户是否在特定时间段内被检测到。如果用户未被检测到,则记录106A可以修改为不再是肯定的。如果记录106A是肯定的,则系统可以生成信任令牌110。
信任令牌110可以是基于记录106A建立的指示符。信任令牌110可以用于指示用户应被授予对资源的访问权,如下文关于图6进一步详细描述的。信任令牌110可以存储到由服务器计算机106管理的云存储系统等数据存储区109。信任令牌110可以包括或与用户标识符、实体标识符、时间戳、数字身份等额外信息相关联地存储。在一些实施例中,可以由一个或多个实体查看信任令牌110,以确定是否授予对一个或多个相应资源的访问权。
如果用户在阈值时间段内未被检测到,则可以撤销信任令牌110。例如,阈值时间段可以是30秒、30分钟或2小时。作为特定实例,虽然可以准许未检测到用户心跳的短时间段,但如果用户心跳在1小时或更长时间内未被检测到,则可以撤销信任令牌。
图2示出了根据一些实施例的服务器计算机200的框图。服务器计算机200可以包括处理器204。处理器204可以耦合到存储器202、网络接口206和计算机可读介质208。服务器计算机200可以包括或以通信方式耦合到数据存储区220。
数据存储区220可以是用于存储数据的存储单元和/或装置(例如,文件系统、数据库、表的集合或其它存储机制)。数据存储区220可以包括多个不同的存储单元和/或装置。例如,数据存储区220可以是一个或多个实体计算机在有限基础上可访问的云存储系统(例如,访问可以受由服务器计算机200管理的密码密钥控制,如下文关于图4进一步描述的)。
数据存储区220可以存储信任令牌222。如上文关于图1所描述的,可以使用信任令牌来基于记录延长用户的认证期。数据存储区220可以存储多个信任令牌222,每个信任令牌与特定用户和/或实体相关联。例如,信任令牌222可以与用于已经过认证的用户的用户标识符以及用于用户已认证到的实体的实体标识符相关联地存储。信任令牌222可以与用户的数字身份相关联地存储。
处理器204可以实施为一个或多个集成电路(例如,一个或多个单核或多核微处理器和/或微控制器)。处理器204可以用于控制服务器计算机200的操作。处理器204可以响应于存储在存储器中的程序代码或计算机可读代码而执行各种程序。处理器204可以包括维护多个同时执行的程序或过程的功能。
存储器202可以用于存储数据和代码。存储器202可以在内部或在外部耦合到处理器204(例如,基于云的数据存储装置),且可以包括易失性和/或非易失性存储器的任何组合,例如RAM、DRAM、ROM、闪存或任何其它合适的存储器装置。
网络接口206可以包括可以允许服务器计算机200与外部计算机进行通信的接口。网络接口206可以使服务器计算机200能够向另一装置(例如,实体计算机108、授权计算机等)传送数据或从另一装置传送数据。网络接口206的一些实例可包括调制解调器、物理网络接口(例如以太网卡或其它网络接口卡(NIC))、虚拟网络接口、通信端口、个人计算机内存卡国际协会(PCMCIA)槽和卡等等。由网络接口206支持的无线协议可以包括Wi-Fi
计算机可读介质208可以包括用于存储和/或传输的一种或多种非瞬态介质。例如,合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘的磁性介质或例如光盘(CD)或数字通用光盘(DVD)的光学介质、快闪存储器等。计算机可读介质可以是这些存储或传输装置的任何组合。
计算机可读介质208可以包括存储为一系列指令或命令的软件代码。计算机可读介质208可以包括代码,所述代码可由处理器204执行以实施方法,所述方法包括:由服务器计算机从用户装置上的第一应用程序接收用户已经过认证的指示;由服务器计算机从用户装置上的第二应用程序接收用户被检测到的指示,其中用户装置从用户身上的可穿戴装置接收用户被检测到的指示;以及基于在一时间段内接收到两个指示,为用户生成或维护信任令牌。
计算机可读介质208可以包括通信模块210、记录管理模块212、信任令牌生成模块214和信任令牌更新模块216。这些模块中的每一个可以包括被配置成结合处理器204执行以下描述的功能的代码。
通信模块210可以包括使处理器204生成消息、转发消息、重新格式化消息和/或以其它方式与其它实体进行通信的代码。
记录管理模块212可以包括使处理器204生成和维护记录的代码。记录管理模块212可以与处理器204合作,基于从用户装置接收到的信息来生成记录(例如,上文关于图1所描述的记录106A)。记录管理模块212可以与处理器204和通信模块210合作,从指定用户认证状态(例如,用户最近登录到用户装置上的安全应用程序)的用户装置接收指示。记录管理模块212可以与处理器204和通信模块210合作,从指定用户检测状态(例如,用户心跳被耦合到可穿戴装置的应用程序检测到)的用户装置接收指示。基于此类信息,记录管理模块212可以与处理器204合作更新记录。记录管理模块212可以进一步将关于记录的信息提供到信任令牌生成模块214和/或信任令牌更新模块216。
信任令牌生成模块214可以包括使处理器204生成信任令牌的代码。信任令牌生成模块214可以与处理器204和记录管理模块212合作监测记录(例如,上文关于图1所描述的记录106A)。如果记录是肯定的(例如,用户在一时间段内经过认证且被检测),则信任令牌生成模块214可以与处理器204合作生成信任令牌222。信任令牌生成模块可以包括使处理器204通过生成与特定用户相关联的信任令牌222并将其存储到数据存储区220来生成信任令牌222的代码。
信任令牌更新模块216可以包括使处理器204更新信任令牌222的代码。信任令牌更新模块216可以与处理器204合作监测记录(例如,上文关于图1所描述的记录106A)。如果记录更改,则信任令牌更新模块216可以与处理器204合作更新信任令牌222。例如,如果记录从肯定的变为否定的,则信任令牌更新模块216可以与处理器204合作撤销信任令牌222。撤销信任令牌222可以包括删除信任令牌222,或修改信任令牌222以指示信任令牌222当前无效。如果记录从否定的变为肯定的,则信任令牌更新模块216可以与处理器204合作恢复信任令牌222。恢复信任令牌222可以包括基于已撤销的之前的信任令牌222生成新的信任令牌222,或修改无效的信任令牌222以指示信任令牌222当前有效。信任令牌更新模块216可以与处理器204合作,执行动作以维护信任令牌(例如,通过保持信任令牌222被存储和/或更新与信任令牌222关联地存储的时间)。
服务器计算机200可以进一步包括一个或多个计时器(未描绘)。计时器可以是软件计时器和/或硬件计时器。服务器计算机200可以使用计时器来跟踪上文所描述的各个时间段。例如,服务器计算机200可以在用户已经过认证的情况下启动计时器,并且,在当服务器计算机200确认用户已被检测到时计时器的计数少于十秒的情况下,服务器计算机200可以继续生成信任令牌222。作为另一实例,服务器计算机200可以在用户已经过认证时启动计时器,并且,如果计时器的计数达到十天,则使用户离网(off the grid)。
图3示出了根据一些实施例的用户装置300的框图。用户装置300可以包括处理器304。处理器304可以耦合到存储器302、网络接口306和计算机可读介质308。
存储器302、处理器304和网络接口306可以大体上类似于上文关于图2所描述的存储器202、处理器204和网络接口306。
计算机可读介质308可以包括用于存储和/或传输的一种或多种非瞬态介质。例如,合适的介质包括随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘的磁性介质或例如光盘(CD)或数字通用光盘(DVD)的光学介质、快闪存储器等。计算机可读介质可以是这些存储或传输装置的任何组合。
计算机可读介质308可以包括存储为一系列指令或命令的软件代码。计算机可读介质308可以包括代码,所述代码可由处理器304执行以实施方法,所述方法包括:由用户装置确定用户已经过认证;由用户装置将用户已经过认证的指示发送给服务器计算机;由用户装置确定用户被检测到,其中用户装置基于可穿戴装置基于检测用户的心跳生成的信息确定用户被检测到;以及由用户装置将用户被检测到的指示发送给服务器计算机,其中服务器计算机基于在一时间段内接收到两个指示为用户生成或维护信任令牌。
计算机可读介质308可以包括通信模块310、安全应用程序312和用户检测应用程序314。这些模块中的每一个可包括被配置成结合处理器304执行以下描述的功能的代码。
通信模块310可包括使处理器304生成消息、转发消息、重新格式化消息和/或以其它方式与其它实体通信的代码。
安全应用程序312可以包括使处理器304认证用户的代码。安全应用程序312可以大体上类似于上文关于图1所描述的第一应用程序102A。安全应用程序312可以是用户应持续认证到的应用程序,例如银行应用程序、用于以无钥匙方式启动车辆的应用程序或用于登录安全文件系统的应用程序。
用户检测应用程序314可以包括使处理器304传达关于用户是否被检测到的信息的代码。用户检测应用程序314可以大体上类似于上文关于图1所描述的第二应用程序102B。例如,用户检测应用程序314可以是与智能手表等可穿戴装置相关联的应用程序。用户检测应用程序314可以检取、分析并发送从可穿戴装置接收到的信息。
图4示出了根据一些实施例的用于数字身份管理的示例系统400的示意图。如下文将阐述的,数字身份管理系统400可以与先前描述的信任令牌系统结合使用,以既保护敏感用户信息,又使用户便于进行支付交易等交互。系统400仅示出了被配置成执行本文中所描述的程序的组件的许多可能布置中的一种可能布置。其它布置可以包括更少或不同的组件,并且组件之间的工作划分可以根据布置而不同。
系统400可以包括至少一个数字身份(DI)提供商410、服务器计算机402、依赖实体408、事件日志404、目标实体411和密钥箱406。系统400的组件可以通过通信网络彼此进行操作性通信。
通信网络可以包括任何合适的通信介质。通信网络可以是以下项中的一者和/或它们的组合:直接互连;互联网;局域网(LAN);城域网(MAN);将任务作为互联网上的节点进行操作(OMNI);安全的自定义连接;广域网(WAN);无线网络(例如,采用协议,例如但不限于无线应用协议(WAP)、I-模式等),等。可以使用安全通信协议来传输图4所示的实体、提供商、网络与装置之间的消息,所述安全通信协议例如但不限于:文件传输协议(FTP);超文本传输协议(HTTP);安全超文本传输协议(HTTPS)、安全套接层(SSL)、ISO(例如,ISO 8583)等。
在一些实施例中,目标实体411是为之提供数字身份的实体(即,关于目标实体411的数字身份)。目标实体411可以包括目标实体的用户411A和/或客户端装置411B。术语“目标实体”可以指个人(例如,客户、消费者等)、企业或其它法律组织、政府机构等。另外或替代地,术语“实体”可以指事物(例如,对象、一件设备、电子组件、计算机系统等)。
在一些非限制性实施例中,可以为目标实体411分配标识符(“目标实体的标识符”)。目标实体的标识符可以包括与目标实体411的数字签名和/或密码密钥相关联的数据。替代地或另外,目标实体的标识符可以包括ID号、快速反应(QR)代码等。
可以从源检取关于目标实体的信息。一种类型的源是DI提供商410。DI提供商410生成与目标实体111相关联的一个或多个数字身份(DI)。如上所述,DI可以包括与关于可以与另一实体共享的实体的一组信息相关联的数据。DI提供商410可以是发行方、收单方、交易服务提供商、政府机构等。DI提供商410被配置成创建和存储DI。
在一些非限制性实施例中,依赖实体408是用以接收与用户的数字身份相关联的信息的实体。在一些实施例中,依赖实体408可以对应于上文关于图1所描述的实体计算机108。依赖实体408可以是请求关于目标实体411的信息的任何实体。例如,依赖实体408可以是请求关于发起支付交易的目标实体411的信息的商家。另外或替代地,依赖实体408可以是在非支付交互(例如,授予实体411对安全区域或活动地点的访问权)方面请求关于实体411的信息的实体(例如,政府机构或企业组织)。
在一些非限制性实施例中,可以为依赖实体408分配标识符(“依赖实体的标识符”)。依赖实体的标识符可以包括与依赖实体408的数字签名和/或密码密钥相关联的数据。
事件日志404可以用于访问针对例如争议解决、欺诈检测和/或用户行为分析等任务的事件元数据。通过限制对访问一个或多个事件所需的密码密钥的访问,事件结构有助于使与目标实体相关联的数据保密。例如,可能需要目标实体持有的私钥来访问事件数据,从而确保事件数据仅在获得目标实体的明确许可的情况下才可用。可以经由通用应用程序编程接口(API)结构定义事件数据的访问路径。可以建立访问路径,使得有限实体可以使用有限数量的数据访问事件。
事件日志404可以存储在任何合适的计算机可读存储介质和/或计算机可读存储介质的任何合适的组合中。例如,事件日志404可以存储在数据库中。另外或替代地,事件日志404可以维护并存储在分布式账本中,所述分布式账本包括但不限于包括但不限于区块链等。
系统400可以进一步包括密钥箱406。密钥箱406可以是文件、文件集合或用于存储密码密钥的数据库。密钥箱406可以是基于云的。密钥箱406可以存储分配给各种实体的密码密钥(例如,分配给目标实体411、DI提供商410、依赖实体408等的密码密钥)。密钥箱406可以基于目标实体411组织密钥,使得已参与和目标实体411相关联的事件的各方的密钥存储在基于所述目标实体411的结构中。此密钥集可以使用目标实体411的密钥来进行加密,使得目标实体411所持有的私钥需要释放所述密钥集。替代地或另外,也可以为每个关系分配成对密钥集。例如,可以为目标实体411和依赖实体408分配成对密钥集。密钥箱406可以存储与涉及目标实体411的之前的事件相关联的密码密钥。
在一些实施例中,密钥中的一个或多个可以基于Base58模型进行编码。Base58是一种使用五十八个易分辨的字母数字符号和任意大小负载的二进制到文本编码。另外,一个或多个密钥可以用钱包导入格式(WIF)进行编码。WIF是一种对密钥进行编码的方法,其有助于复制密钥并允许压缩。一些密钥可以也可以不基于适当的安全级别进行编码和/或加密。
系统400可以管理“入网(on the grid)”状态。“入网”可以包括连接到计算机网络基础设施以及与所述计算机网络基础设施进行通信。入网状态可以指示用户已授权对与用户的数字身份相关联的用户数据的访问。例如,入网可以包括连接到网络通信系统。当用户装置连接到网络通信系统时,其它装置可以与用户装置进行通信,以访问关于用户的信息,例如数字身份、用户数据等。例如,装置可以与用户装置进行通信以从所述用户装置检取密码密钥,所述密码密钥接着用于对关于用户的断言进行解密。在实施例中,可以在用户变成“入网”之前对其进行认证。在一些实施例中,可以在“入网”时监测用户认证状态,以保持“入网”。关于此方面的进一步细节可见于2019年12月3日提交的第PCT/US2019/064132号PCT申请,其转让给与本申请相同的受让方。
移动应用程序等应用程序可以用于变成入网和离网。例如,应用程序可以包括用以指示入网状态的用户界面。用户界面可以表示用户在第一状态下入网,并且用户在第二状态下离网。用户界面可以包括图形元件,其可以表示和/或控制用户是入网还是离网。作为另一实例,用户可以与复选框或其它元件交互,以经由网站接受用户输入,从而控制入网状态。
为了变成入网,用户可以先执行认证操作并变成入网。然后,可以将在变成离网之前还有时间的计时器初始化为其最大值,例如8小时。
当用户入网时,用户数据可以与用户的数字身份相关联,所述数字身份可以由一个或多个依赖实体访问。例如,用户数据可以是与用户相关联的事件数据。用户数据可以呈加密形式,并且可以存储在事件日志404等数据库中。
当用户入网时,服务器计算机402可以授予对安全事件数据的访问权。服务器计算机402可以从与用户相关联的用户装置(例如,图1的第一用户装置102)上的安全元件检取与用户相关联的密码密钥。在检取密码密钥之前,服务器计算机402可以确定用户数据请求发生在用户已授权对用户数据的访问的时间段内。例如,服务器计算机402可以确定访问请求的时间戳发生在用户已授权各方对用户数据的访问的时间段内。服务器计算机402可以使用用户的密码密钥来访问密钥箱406。第一时间段可以用于控制记录(例如,图1的记录106A),并且另一第二时间段可以用于控制入网状态。
在变成入网之后的任何时间点,用户可以决定变成离网。还可以防止用户无限期地保持入网。在一些实施例中,当用户变成入网时,计时器可以初始化。在计时器到期之后,可以使用户离网。例如,在进行认证且变成入网之后,用户在变成离网之前可能有8小时(例如,第二时间段)。计时器的时长可以是可调谐系统参数。在变得离网之后,用户可以对自身进行重新认证以重新变成入网。
图5示出了使用信任令牌进行交易的示例用例。在此实例中,信任令牌用于保持用户登录银行应用程序。
在步骤S1,第二用户装置504(例如,包括用于检测心跳的硬件和软件的可穿戴装置,)与在第一用户装置上执行的安全应用程序502A同步。第二用户装置504和安全应用程序502A可以通过大体上同时确定用户活动(例如,通过发送用户在几秒的时间段内经过认证且被检测到的指示)来同步。在此实例中,第一用户装置是移动装置,并且可以大体上类似于上文关于图3所描述的用户装置300。安全应用程序502A是(例如,如图5所示,用于KBB银行的)银行应用程序,并且可以大体上类似于上文关于图3所描述的安全应用程序312。
第一用户装置502可以经由安全应用程序502A的接口元件502B从用户接收用户登录信息。第一用户装置502可以将登录信息发送给与安全应用程序502A相关联的远程实体计算机512(例如,实体计算机512可以是提供安全应用程序502A的银行的服务器计算机)。实体计算机512可以将认证确认发送给第一用户装置502。第一用户装置502又可以在步骤S2将指示用户已经过认证的信号发送给服务器计算机506。
服务器计算机506可以大体上类似于上文关于图2所描述的服务器计算机200。可以经由服务器计算机506执行第二用户装置504与安全应用程序502A的同步。例如,第二用户装置504和安全应用程序502A可以各自向服务器计算机506发送信号等待回复,并且服务器计算机506上可能会出现同步。服务器计算机可以使用记录(例如,图1的记录106A)来表示此同步。
在步骤S2,服务器计算机506发出信任令牌510并且响应于接收到指示用户已经过认证且被检测到的信号而将信任令牌510存储在数据存储区508中。数据存储区508可以是云存储系统(例如,“云”),并且可以大体上类似于上文关于图2所描述的数据存储区220。信任令牌510可以大体上类似于上文关于图2所描述的信任令牌222。可以基于检测到肯定的记录而生成信任令牌510,如上文关于图1所描述的。替代地或另外,可以基于确定用户入网而生成信任令牌222。例如,作为生成信任令牌222的前兆,服务器计算机506可以使用上文关于图4所描述的数字身份平台来确定用户入网。还可以基于经由可穿戴装置检测用户而生成信任令牌222。经由第二用户装置504对用户的持续检测可以使得能够随时间维护信任令牌222。
在步骤S3,云中的信任令牌510用于确定是否授予用户对资源的访问权。信任令牌510可以改善用户体验。例如,可以准许用户经由安全应用程序502A发起转账,而不需要对自身进行重新认证或输入其支付凭证。例如,信任令牌510可以用于避免用户需要通过输入一次性密码等信息来对自身进行认证。信任令牌510结合数字身份,可以有利地用于避免需要输入个人可标识信息等敏感数据。
图6示出了根据一些实施例的用于使用信任令牌控制对资源的访问权的方法600的流程图。可以由上文关于图1-3所描述的系统——具体地服务器计算机——执行图6的操作。
在步骤602,服务器计算机可以从用户装置上的第一应用程序接收用户已经过认证的指示。第一应用程序和/或与第一应用程序相关联的远程实体计算机可以例如通过接受和验证用户的登录凭证来认证用户。可以例如经由用户装置上的元数据和/或逐步升级的认证用额外的认证层来补充登录凭证。替代地或另外,第一应用程序可以转发从外部访问装置接收到的用户正进行认证的指示。例如,在第一次进入安全设施时,用户可以将其手机和两种形式的标识扫描到访问装置中。访问装置可以结合连接的实体装置来认证用户并将认证用户的通知发送给第一应用程序。在任何情况下,服务器计算机可以接收用户已经由通过网络发送给服务器计算机的消息经过认证的指示。消息可以进一步包括指示用户经过认证的时间的时间戳。
在步骤604,服务器计算机可以从在用户装置上执行的第二应用程序接收用户被检测到的指示。用户装置可以从用户身上的可穿戴装置接收用户被检测到的指示。例如,用户装置可以与用户穿戴着的可穿戴装置(例如,图1的第二用户装置104)进行通信。可穿戴装置可以检测心跳并且持续地或周期性地向用户装置上的应用程序(例如,图1的第二应用程序102B)通知用户的心跳被检测到。可以利用可穿戴装置来确保用户活着且状况良好,并且以大体上持续的方式穿戴着可穿戴装置。
在一些实施例中,作为加强的安全措施,用户装置上的可穿戴装置和/或相关联的应用程序可以分析检测到的心跳。例如,用户装置可以基于收集的与用户的心跳相关联的历史数据分析心跳的图案和持续性,以确保其与授权用户的心跳的图案和持续性匹配。历史数据可以对应于存储的用户的心跳。系统可以执行此类存储的用户的心跳与检测到的心跳之间的比较。用户装置可以分析存储的和检测到的心跳数据的特性以确定用户是否醒来,和/或检测到的心跳是否包括与用户相关联的特性图案。在指示用户被检测到之前,确定用户醒来可能是额外的必要条件。替代地或另外,可以根据脉搏、触觉、视频录像等来检测用户。在任何情况下,服务器计算机可以接收用户已经由通过网络发送给服务器计算机的消息被检测到的指示。消息可以进一步包括指示用户被检测到的时间的时间戳。
在步骤606,服务器计算机可以确定是否在阈值时间段内接收到步骤602和604的指示。服务器计算机可以将指示用户经过认证的时间的时间戳与指示用户被检测到的时间的时间戳进行比较(例如,通过减去两个所述时间戳以标识接收到两个所述指示之间经过的时间段)。服务器计算机可以标识预定的阈值时间段。服务器计算机可以存储用于不同上下文的阈值时间段。例如,服务器计算机可以存储用于生成信任令牌、用于维护信任令牌和/或用于不同实体(例如,银行应用程序可能需要比商家应用程序更短的时间窗口)的阈值时间段。出于生成信任令牌的目的,阈值时间段可以例如是1秒。如果时间戳之间的差小于或等于阈值,则服务器计算机可以确定在阈值时间段内接收到步骤602和604的指示(“是”结果)。如果时间戳之间的差大于阈值,则服务器计算机可以确定在阈值时间段内未接收到步骤602和604的指示(“否”结果)。
如果在阈值时间段内未接收到指示,则服务器计算机可以避免生成信任令牌,并且流程可能会结束。如果在阈值时间段内接收到指示,则流程可以任选地前进到步骤608,或替代地,直接前进到步骤610。
在步骤608,服务器计算机可以任选地确定用户是否入网(例如,用户的数字身份是否被打开)。服务器计算机可以基于存储到数字身份平台的记录来标识用户是否入网,如上文关于图4所描述的。入网可以指示用户已授权对与用户的数字身份相关联的用户数据的访问。在一些情况下,用户可以(例如,通过变成“入网”持续一天来)在一时间段内授权此访问。用户可以通过撤销对与用户的数字身份相关联的用户数据的访问来变成“离网”。如果用户入网,则流程可以前进到步骤610。如果用户未入网,则流程可以结束。
在步骤610,服务器计算机可以为用户生成信任令牌。服务器计算机可以基于在阈值时间段内在步骤602和604处接收到指示来生成信任令牌。例如,如果用户的心跳在用户经由第一应用程序进行认证的十秒时间内被检测到,则可以发出信任令牌。服务器计算机可以使用存储的记录来确定是否生成信任令牌,如上文关于图1所描述的。
在步骤612,服务器计算机可以持续地或周期性地确定是否满足维护用于用户的信任令牌的条件。例如,可以确定是否生成信任令牌类似的方式——例如通过重复步骤604-608,执行确定是否维护信任令牌。除了用于生成信任令牌的初始指示之外,用户装置还可以将用户被检测到(或未被检测到)的额外指示周期性地发送给服务器计算机。额外指示可以用于确定是否维护信任令牌。例如,服务器计算机可以从用户装置接收用户每30秒被检测到一次的指示,并基于所述指示更新记录。更新记录可以包括更改记录、避免更改记录或更改记录以指示心跳在特定时间内被检测到或未被检测到。
服务器计算机可以基于在阈值时间段内在步骤602和604处接收到指示来确定维护信任令牌。维护信任令牌的阈值时间段可以不同于生成信任令牌的阈值时间段。例如,如果用户的心跳在用户经由第一应用程序进行认证的四小时内被检测到,则服务器计算机可以确定满足维护信任令牌的条件,而用于生成信任令牌的阈值时间段可能短得多。服务器计算机可以使用存储的记录来确定是否满足维护信任令牌的条件,如上文关于图1所描述的。维护信任令牌的条件可以进一步基于用户是否入网,如上文关于步骤608所描述的。因此,服务器计算机可以基于确定用户已授予对用户的数字身份的访问权而维护信任令牌,或基于确定用户已撤销对用户的数字身份的访问权而撤销信任令牌。如果与仍然入网相关联的时间段已过,则服务器计算机可以进一步撤销信任令牌。
在步骤614,服务器计算机可以维护信任令牌。服务器计算机可以基于在步骤612确定“是”而维护信任令牌。维护信任令牌可以包括不撤销信任令牌。替代地或另外,维护信任令牌可以涉及主动地更新信任令牌状态(例如,自特定时间起更新为主动状态)。
在步骤616,服务器计算机可以撤销信任令牌。服务器计算机可以基于在步骤612确定“否”而撤销信任令牌。撤销信任令牌可以包括删除信任令牌。替代地,撤销信任令牌可以涉及更新信任令牌状态(例如,自特定时间起更新为非主动状态)。例如,服务器计算机可以从用户装置上的第二应用程序接收用户未被检测到的指示。用户可能已移除可穿戴装置、使可穿戴装置与用户装置分离过长的时间段或甚至死亡。基于接收到用户未被检测到的指示,服务器计算机可以撤销信任令牌。
在步骤618,服务器计算机可以标识或准许实体计算机标识信任令牌。可以基于对访问资源的请求来标识信任令牌。例如,用户可以经由用户装置和/或实体计算机上的应用程序尝试进行购买、转账、保持登录到安全网站或应用程序、访问安全位置等。访问资源可能需要对用户进行认证。因此,确定信任令牌是否处于有效状态,以使用户可以经由信任令牌保持经过认证。在一些实施例中,实体可以将认证请求消息发送给服务器计算机,并且服务器计算机可以基于认证请求消息中的信息而检取信任令牌。替代地或另外,服务器计算机可以允许实体访问信任令牌。例如,服务器计算机可以授予实体对密码密钥的访问权,实体可以使用所述密码密钥来检取信任令牌。在一些实施例中,标识信任令牌可以包括标识用户的数字身份,其中信任令牌与用户的数字身份相关联地存储。
服务器计算机和/或实体计算机可以分析标识的信任令牌以确定信任令牌是否有效。如果信任令牌存在于云中,则信任令牌可能是有效的,如果信任令牌不存在于云中,则信任令牌可能是无效的。替代地或另外,如果信任令牌具有特定值(例如,有效或1),则信任令牌可能是有效的,如果信任令牌具有另一值(例如,无效或0),则信任令牌可能是无效的。
在步骤620,可以基于在步骤618标识有效的信任令牌而授予对资源的访问权。信任令牌可以用于向实体确保用户经过认证并且行为方式正常,即保持经过认证。实体计算机可以基于有效的信任令牌授予对请求的资源的访问权。例如,实体计算机可以允许用户转账、购买商品和服务、输入安全位置等。
作为一个实例,可以由与最初对用户进行认证的应用程序相关联的实体授予对资源的访问权。这在某种程度上类似于使用cookie延长用户登录的情况。然而,在此情况下,信任令牌更安全并且可以用于在更长时间内基于最初认证授予访问权。用户可以进行认证以登录银行网站。只要信任令牌保持有效(例如,只要经由可穿戴装置检测到用户的心跳),用户就可以保持登录,从而避免需要进行重新认证。
作为另一实例,可以由与最初对用户进行认证的应用程序不同的一个或多个实体授予访问权。例如,基于从受信任应用程序(例如,安全银行应用程序)检取到的认证信息以及大体上持续的心率确认,不同实体可以准许用户接收对资源的访问权。不同实体可以是(例如)社交媒体应用程序、商家网站等。只要信任令牌仍然有效,多个不同实体就可以授予用户对资源的访问权。可以使用用户的数字身份管理不同的实体和资源。数字身份可以用于管理与用户相关联的事件。借助于关于用户的此详细信息,系统可以标识用户可以借助于有效的信任令牌访问的资源。
作为另一实例,可以基于信任令牌授予运输服务访问权。用户可以购买一张地铁周票,并在最初使用所述票乘坐地铁时,扫描标识以结合所述票对自身进行认证。只要用户的可穿戴装置检测到所述用户,其就能够使用信任令牌再次进入地铁系统。
在一些实施例中,信任令牌可以在有限的情况下授予对资源的访问权。例如,信任令牌可以允许用户进行购买,而不需要针对高达100美元的交易进行进一步输入。如果交易金额超过100美元,则可以向用户提示额外信息。信任令牌可以与配置数据(例如,货币限制或时间限制)相关联地存储以强制执行此类限制。作为另一实例,信任令牌可以允许用户获得24小时内对安全设施的访问权。24小时之后,信任令牌被撤销,用户必须进行重新认证。
在步骤622,可以基于在步骤S618处未检测到有效的信任令牌而执行逐步升级或拒绝。例如,如果信任令牌已被撤销,则可能会提示用户再次登录,或者经由确认发送给用户的代码号进行逐步升级。替代地或另外,可以拒绝对资源的访问权(例如,在用户未通过逐步升级的认证的情况下)。
实施方案提供了若干优点。通过限制用户必须进行重新验证才能访问一个或多个资源的次数,可以减少给用户带来的麻烦。另外,使用信任令牌可以促进确定何时应授予访问权的安全方式。与容易被篡改的cookie不同,可以管理信任令牌以防止其被篡改。例如,信任令牌可以是以密码方式保护的,并且仅在受控制的条件下可由受信任实体访问。另外,对信任令牌以及数字身份的使用可以用于授予用户对资源的访问权,而不会泄露用户的个人可标识信息,由此保护用户隐私。
使用信任令牌来维护认证可以进一步减少处理资源和确定是否授予对资源的访问权所需的时间。用户不需要重复登录或进行逐步升级,从而消除或大幅减少了执行此类功能所需的消息传递和处理。另外,与延长用户认证的一些之前技术相比,可以更低的处理要求来维护信任令牌。通过经由单个生命参数(例如心率)来监测用户,可以通过简单的数据集来管理信任令牌的状态。这可以减少确定是否授予对资源的访问权(例如,与跟踪用户行为相比,这可能相当复杂)所需的计算能力。
本申请中描述的任何软件组件或功能可以使用任何合适的计算机语言实施为由处理器执行的软件代码,所述计算机语言例如使用例如面向对象的技术的Java、C++或Perl。软件代码可以存储为例如随机存取存储器(RAM)、只读存储器(ROM)、例如硬盘驱动器或软盘的磁性介质或例如CD-ROM的光学介质的计算机可读介质上的一系列指令或命令。任何此类计算机可读介质可驻存在单个计算设备上或单个计算设备内,并且可以存在于系统或网络内的不同计算装置上或不同计算装置内。
以上描述是说明性的而非限制性的。本发明的许多变化在所属领域的技术人员查阅本公开后可变得显而易见。因此,本发明的范围可不参考以上描述来确定,而是可参考待决的权利要求以及其完整范围或等同物来确定。
在不脱离本发明的范围的情况下,任何实施例的一个或多个特征可与任何其它实施例的一个或多个特征组合。
除非明确指示有相反的意思,否则“一”或“所述”的叙述旨在表示“一个或多个”。
上文提及的所有专利、专利申请、公开案和描述都出于所有目的以全文引用的方式并入。不承认它们为现有技术。
机译: 用于资源访问的信任令牌
机译: 有关资源访问的信任令牌
机译: 资源访问信任令牌
