鬼佬大哥大
  • / 18
  • 下載費用:30 金幣  

用于資源請求的條形碼認證.pdf

關 鍵 詞:
用于 資源 請求 條形碼 認證
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
摘要
申請專利號:

CN201480004266.1

申請日:

2014.01.13

公開號:

CN104903904A

公開日:

2015.09.09

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||實質審查的生效IPC(主分類):G06F 21/36申請日:20140113|||公開
IPC分類號: G06F21/36; G06F21/30; G06T7/00 主分類號: G06F21/36
申請人: 英特爾公司
發明人: G·普拉卡什; V·拉馬穆爾蒂; H·李; J·沃克
地址: 美國加利福尼亞州
優先權: 13/763,116 2013.02.08 US
專利代理機構: 上海專利商標事務所有限公司31100 代理人: 高見
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201480004266.1

授權公告號:

||||||

法律狀態公告日:

2018.03.13|||2015.10.07|||2015.09.09

法律狀態類型:

授權|||實質審查的生效|||公開

摘要

描述了與客戶機-服務器認證相關聯的移動設備、客戶機設備和服務器。在實施例中,該移動設備可包括相機和令牌提取器。該令牌提取器可耦合到該相機并且被配置成分析該相機所捕獲的圖像。所捕獲的圖像可包含條形碼并且響應于服務器請求訪問資源可被顯示在客戶機設備上。該條形碼可包含令牌,該令牌可由該令牌提取器提取以便用于訪問服務器所請求的資源。可描述和/或要求保護其他實施例。

權利要求書

權利要求書
1.  一種用于從條形碼提取令牌的移動設備,所述移動設備包括:
相機;以及
令牌提取器,所述令牌提取器耦合到所述相機并且被配置成:
分析由所述相機從客戶機設備的顯示器捕獲的圖像并且從所述圖像提取條形碼,其中所述條形碼包含令牌并且響應于所述客戶機設備請求訪問資源而被顯示在所述客戶機設備上;
提取包含在所述條形碼中的所述令牌;以及
使得所述令牌能被用于獲得對所述資源的所請求的訪問。

2.  如權利要求1所述的移動設備,其特征在于,所述移動設備進一步包括:
存儲器;以及
處理器,其耦合到所述存儲器和所述相機;并且
其中,所述令牌提取器駐留在所述存儲器中并且由所述處理器執行。

3.  如權利要求2所述的移動設備,其特征在于,進一步包括認證模塊,所述認證模塊被配置成:
在執行所述令牌提取器以使得用戶能使用所述令牌來獲得對所請求的資源的訪問之前認證所述用戶。

4.  如權利要求1至3中任一項所述的移動設備,其特征在于,所述令牌提取器被配置成通過使用與所述資源相關聯的算法提取包含在所述條形碼中的所述令牌,以解碼所述條形碼從而從所述條形碼獲得數據;以及從所述數據提取所述令牌。

5.  如權利要求1至3中任一項所述的移動設備,其特征在于,進一步包括與所述令牌提取器耦合的近場通信(NFC)收發器;
其中所述令牌提取器被配置成通過所述NFC收發器向所述客戶機設備傳 輸所述令牌從而使得能使用所述令牌來獲得對所述資源的所請求的訪問。

6.  如權利要求1至3中任一項所述的移動設備,其特征在于,所述令牌提取器被配置成顯示所提取的令牌從而使得能經由用戶輸入所述令牌到所述客戶機設備中來使用所述令牌獲得對所請求的資源的訪問。

7.  如權利要求1至3中任一項所述的移動設備,其特征在于,所述條形碼是QR碼。

8.  如權利要求1至3中任一項所述的移動設備,其特征在于,所請求的資源是應用。

9.  一種用于從服務器請求資源的方法,包括:
由客戶機設備向服務器傳輸訪問資源的請求,其中所述請求包括將移動設備標識為解碼設備的標識符;
由所述客戶機設備在所述客戶機設備的顯示器上渲染來自所述服務器的響應,從而使得包含在在所述響應中的條形碼中的令牌能被解碼并被傳輸回所述服務器以便認證所述客戶機設備,其中至少部分地基于將所述移動設備標識為所述解碼設備的所述標識符來編碼所述條形碼。

10.  如權利要求9所述的方法,其特征在于,所述標識符以cookie的形式存儲在所述客戶機設備上。

11.  如權利要求9所述的方法,其特征在于,進一步包括:
由所述客戶機設備將所述令牌接受為輸入;以及
由所述客戶機設備將所述令牌傳輸到所述服務器。

12.  如權利要求9所述的方法,其特征在于,將所述令牌接受為輸入進一步包括通過所述客戶機設備的近場通信收發器接受所述令牌。

13.  如權利要求9所述的方法,其特征在于,在所述客戶機的所述顯示器渲染所述條形碼是在所述客戶機設備上通過到所述顯示器的安全通道實現的。

14.  如權利要求9至13中任一項所述的方法,其特征在于,所述資源是所述服務器和所述客戶機設備之間的安全數據通道,并且在所述條形碼中傳輸的所述令牌是將被所述客戶機設備用來加密傳輸到所述服務器的數據以及解密通過所述安全數據通道從所述服務器接收的數據的密碼密鑰。

15.  如權利要求15所述的方法,其特征在于,所述密碼密鑰是Diffie-Hellman密鑰。

16.  一種用于管理資源請求的方法,包括:
由所述服務器從客戶機設備接收訪問資源的請求;
由所述服務器響應于所述請求生成包含令牌的條形碼;以及
由所述服務器將所述條形碼傳輸到所述客戶機設備,其中所述條形碼將在所述客戶機設備上顯示以便使得能由移動設備使用相機提取所述令牌并用于向所述服務器認證所述客戶機設備的所述用戶從而使得所述服務器能授權所請求的訪問。

17.  如權利要求16所述的方法,其特征在于,進一步包括:
由所述服務器從所述客戶機設備接收響應;
由所述服務器確定所述響應是否包括所述令牌;以及
至少部分地基于所述確定的結果授權或拒絕所請求的訪問。

18.  如權利要求16所述的方法,其特征在于,生成包含令牌的所述條形碼進一步包括以特定于所述移動設備的方式用令牌編碼所述條形碼。

19.  如權利要求16所述的方法,其特征在于,生成包含令牌的所述條形碼 進一步包括以特定于所述移動設備和所請求的資源兩者的方式用令牌編碼所述條形碼。

20.  如權利要求19所述的方法,其特征在于,所述請求進一步包括所述移動設備的標識符并且特定于所述移動設備和所請求的資源兩者的所述格式至少部分地基于所述標識符。

21.  如權利要求16至20中任一項所述的方法,其特征在于,進一步包括生成用于訪問至少包含所述條形碼的所請求的資源的登錄頁,并且其中,將所述條形碼傳輸到所述客戶機設備進一步包括以能夠向用戶顯示的格式將所述登錄頁傳輸到所述客戶機設備。

22.  如權利要求16至20中任一項所述的方法,其特征在于,所述矩陣條形碼是QR碼。

23.  如權利要求16至20中任一項所述的方法,其特征在于,所請求的資源是應用。

24.  一種包括用于執行如權利要求9至23中任一項所述的計算機實現的方法的裝置的計算設備。

25.  一種包括指令的計算機可讀存儲介質,當由計算設備執行時,所述指令致使所述計算設備執行如權利要求9至23中任一項所述的方法。

說明書

說明書用于資源請求的條形碼認證
相關申請
本申請要求于2013年2月8日提交的標題為“用于資源請求的條形碼認證(BARCODE AUTHENTICATION FOR RESOURCE REQUESTS)”的美國申請13/763,116的優先權。
技術領域
本公開的實施例涉及數據處理領域并且更具體地涉及使用條形碼認證資源請求的領域。
背景
當前存在用于認證請求在線資源的用戶的很多方法。這些方法的范圍從要求相對少的安全性的方法到要求附加安全層的方法。
要求相對少的安全性的一種認證方法由用于認證用戶的存在的質詢-響應(challenge-response)所代表。在質詢-響應場景中,用戶被呈現計算機容易生成但是計算機難以解析的質詢。這種情況的一個示例是常用的CAPTCHA屏幕,其中單詞或短語的失真圖像被作為質詢呈現給用戶并且用戶能夠解密失真圖像并且做出響應,由此驗證用戶的存在。質詢-響應認證(諸如CAPTCHA)的問題是易于受到惡意軟件攻擊。
要求附加安全層的認證方法由多因素認證所代表。在多因素認證中,通常使用用戶所知道的(即,用戶名和口令)以及用戶所具有的(即,RSA安全ID表鏈(fob))兩者來認證用戶。然而,這些認證方法能夠受到中間人攻擊(MITM)損害。這種認證方法還承受以下事實:駐留在RSA安全ID表鏈上的相同算法必須還駐留在認證服務器上并且這兩個方法必須對相同的種子值進行動作以便正確地認證用戶。這造成了不必要的冗余和低效。 如果這種算法在任一端受到損害,則這兩個設備上的方法必須改變。
附圖簡述
圖1描繪根據本公開的某些實施例的說明性計算系統。
圖2是根據本公開的某些實施例的圖1的計算系統中的服務器的說明性配置的簡圖。
圖3是根據本公開的某些實施例的圖1的計算系統中的移動設備的一種可能配置的簡圖。
圖4是根據本公開的某些實施例的圖1的計算系統中的客戶機設備的一種可能配置的簡圖。
圖5是根據本公開的某些實施例的客戶機設備的說明性資源請求的流程圖。
圖6是根據本公開的某些實施例的服務器的說明性資源請求的流程圖。
圖7是根據本公開的某些實施例的移動設備上的說明性令牌提取的流程圖。
圖8描繪根據本公開的某些實施例的說明性登錄屏幕。
說明性實施方案的詳細說明
描述了與客戶機-服務器認證相關聯的移動設備、客戶機設備和服務器。在實施例中,該移動設備可包括相機和令牌提取器。該令牌提取器可耦合到該相機并且被配置成用于分析該相機所捕獲的圖像。所捕獲的圖像可包含條形碼并且響應于服務器請求訪問資源可被顯示在客戶機設備上。該條形碼可包含令牌,該令牌可由該令牌提取器提取以便用于訪問服務器所請求的資源。例如,所請求的資源可以是應用,條形碼可以是快速響應(QR)碼,并且移動設備可以是智能電話。
在以下詳細描述中,參考形成其一部分并且通過可實踐的說明實施例示出的附圖,其中,相同的標號指示相同的部件。應當理解可使用其他實 施例以及可在不背離本公開的范圍的情況下做出結構或邏輯改變。因此,不應以限制性的意義解釋以下詳細描述,并且實施例的范圍由所附權利要求書及其等效方案定義。
各操作可被描述為按順序的多個離散動作或操作,其方式為最有助于理解所要求保護的主題。然而,描述的順序不應被解釋為暗示這些操作必需依賴于順序。具體而言,可不按展示順序執行這些操作。可以用不同于所描述的實施例的順序執行所描述的操作。可執行各附加操作和/或可在附加實施例中忽略所描述的操作。
為了本公開的目的,短語“A和/或B”是指(A)、(B)、或(A和B)。為了本公開的目的,短語“A、B和/或C”是指(A)、(B)、(C)、(A和B)、(A和C)、(B和C)或(A、B和C)。本描述可使用短語“在一實施例中”或“在實施例中”,其可各自指代相同或不同實施例中的一個或多個。此外,如結合本公開的實施例所使用的,術語“包括”、“包含”、“具有(having)”等等是同義的。
圖1描繪適合實踐本公開的某些實施例的說明性計算安排。如所示,該計算安排可由通過網絡108連接到客戶機設備104的服務器102組成。在實施例中,用戶可使用客戶機設備104請求服務器102所提供的資源或者通過其請求資源。響應于該請求,服務器102可生成包含令牌的條形碼并且將條形碼傳輸到客戶機設備以便用于認證。客戶機設備可在接收到條形碼時將條形碼顯示給客戶機設備的用戶。
在實施例中,移動設備106可用于解碼包含在條形碼(在該圖中描繪為QR碼、顯示在客戶機設備104上)中的數據并且輸出至少一部分解碼數據(諸如令牌)以便用于使得能訪問所請求的資源。在某些實施例中,移動設備106可能已經之前被預設成以特定于移動設備106的方式解碼包含在條形碼中的數據,并且服務器102可能已經以相應的方式編碼條形碼。在某些實施例中,服務器102可在對資源的請求中傳遞標識例如移動設備106和/或移動設備106的用戶的或者設備和/或用戶標識符。在某些實施例中,用戶標識符可由服務器102作為交叉引用用于在表、數據庫或本地地 存儲在服務器102上或者遠程地存儲在另一個服務器上的其他類似的存儲庫中定位設備標識符。
在某些實施例中,可以特定于移動設備106的方式編碼條形碼,從而使得條形碼本身的解碼可做為認證移動設備106的用戶的措施進行動作以便授權訪問所請求的資源。例如,在某些實施例中,如果所請求的資源要求多因素認證,用戶所輸入的口令可以是認證的一個因素,同時移動設備106解碼條形碼從而提取令牌并且將該令牌輸入到客戶機設備104中可以是認證中的后續因素。在本示例中,未授權用戶或惡意計算機程序將不能提取輔助認證所需的信息,即使未授權用戶或惡意計算程序能夠捕獲顯示在客戶機設備上的條形碼。
在某些實施例中,移動設備特定編碼可替代用戶名和口令使用。例如,在某些實施例中,用戶可能已經之前就所請求的資源設置過登錄策略,從而使得訪問所請求的資源所需的所有東西是包含在條形碼中的令牌。在某些實施例中,特定編碼可在用戶已經忘記所請求的資源的口令的情況中使用。在這些情況中,令牌可用于獲得對所請求的資源的訪問和/或發起口令改變。此外,在某些實施例中,移動設備特定編碼可用于生成一次性口令(OTP),從而使得授權用戶無需記住靜態口令,并且未授權用戶或惡意計算機程序不能通過嘗試打破口令例如通過蠻力攻擊訪問資源。
在某些實施例中,無需以特定于移動設備106的方式編碼條形碼。例如,在某些實施例中,如果所請求的資源僅要求用戶存在認證,條形碼可總體上由服務器102編碼,從而使得移動設備106可以能夠解碼條形碼而無需先前配置。在這些實施例中,一旦令牌被輸入到客戶機設備104中,移動設備106解碼條形碼以便提取令牌的動作可足以認證用戶的存在。
在某些實施例中,可以特定于所請求的資源的方式編碼條形碼。在這種實施例中,移動設備106可被預設成針對所請求的資源解碼條形碼。在某些實施例中,將設備預設成基于所請求的資源解碼條形碼可通過在嘗試解碼條形碼之前向所請求的資源注冊移動設備106執行。例如,在某些實施例中,用戶可使用移動設備106通過連接到服務器(諸如服務器102)注 冊移動設備106。響應于連接,服務器102可在移動設備106上安裝解碼算法以便稍后代表所請求的資源用于解碼由客戶機設備104所顯示的條形碼。
在某些實施例中,無需注冊移動設備106以便使得解碼與獲得對資源的訪問相關聯的條形碼。在某些實施例中,可使用任何計算機可讀介質方式作為遞送機制通過安裝合適的解碼算法或密鑰配置移動設備106。
在某些實施例中,可以特定于移動設備106和所請求的資源兩者的方式編碼條形碼。在某些實施例中,可以所標識的方式通過利用所請求的資源的標識符和用戶和/或移動設備106的標識符兩者以便實現唯一標識符從而在編碼方法中使用來編碼條形碼。在某些實施例中,如上所述,可在解碼條形碼之前預設移動設備106從而使得移動設備106能解碼這種條形碼。
移動設備106可根據某些實施例從用戶接收輸入以便標識已經為哪個所請求的資源編碼了表形碼。例如,在某些實施例中,用戶可被呈現有已經在移動設備106上預設的資源算法或密鑰列表。
用戶可從該列表選擇與請求相關聯的資源,從而選擇用其解碼條形碼的合適算法或密鑰。在某些實施例中,所請求的資源的身份可被編碼在一部分條形碼中,從而使得該部分可以能夠被解碼而無需所請求的資源的知識。在這些情況下,資源的解碼身份可用于標識合適的算法以便解碼條形碼的剩余部分并且提取令牌,該令牌然后可被輸入到客戶機設備104中以便用于認證。
在實施例中,所請求的資源可由服務器102提供。在其他實施例中,服務器102可充當中間程序并且將資源請求路由到一個或多個其他服務器(諸如資源服務器110)從而實現資源請求。在某些實施例中,服務器102可執行所請求的認證,而不管服務器102是否可提供所請求的資源。在其他實施例中,認證可由可提供所請求的資源的資源服務器110之一來執行。
在某些實施例中,所請求的資源可以是客戶機設備104和服務器102之間的安全連接。在這些情況下,令牌可由加密密鑰組成。加密密鑰可如上所述由移動設備106解碼并且輸入到客戶機設備104中以便由客戶機設備104用于通過網絡108向服務器102發送和從服務器102接收經加密的 傳輸。在這些情況下,所提取的令牌的輸入和用該令牌正確加密的消息的傳輸可充當足夠的認證機制。在某些實施例中,令牌可以是Diffie-Hellman(迪斐-海爾曼)加密密鑰。
在某些實施例中,可通過以字母數字格式顯示所提取的令牌將所提取的令牌輸入到客戶機設備104中,從而使得移動設備106的用戶可手動地將令牌輸入到客戶機設備104中。在其他實施例中,可通過無線數據連接將令牌傳輸到客戶機設備104。在某些實施例中,該無線數據連接可包括但不限于藍牙、無線USB或近場通信(NFC)通道或其他無線數據連接。
盡管客戶機設備104在圖1中被描繪為膝上計算機,將認識到可使用能夠執行客戶機設備104的功能的任何合適的計算設備而不背離本公開的范圍。然后將認識到客戶機設備104可以是任何便攜式或非便攜式計算設備,諸如但不限于膝上計算機、桌上計算機、手持式計算設備、公共門戶(諸如公用電話亭、終端,諸如在用于接受信用卡支付的結賬隊伍中所使用的那些)、或能夠顯示登錄屏幕或條形碼的任何其他設備(諸如在圖8中描繪的)。網絡108可以是任何類型的有線或無線網絡,包括但不限于局域網(LAN)、廣域網(WAN)、蜂窩網絡和互聯網。可使用適合傳輸請求數據的任何網絡而不背離本公開的范圍。還將認識到網絡108可包括一個或多個有線和/或無線網絡而不背離本公開的范圍。本公開是等同地可應用的,而不管網絡的類型和/或組成如何。
圖2描繪根據本公開的某些實施例的服務器102的說明性配置。服務器102可包括處理器200、網絡接口卡(NIC)202和存儲設備204。處理器200、NIC 202和存儲設備204可使用系統總線206全部耦合在一起。
處理器200在某些實施例中可以是單個處理器或在其他實施例中可由多個處理器組成。在某些實施例中,該多個處理器可具有相同的類型,即,同構的,或者它們可具有不同的類型,即,異構的,并且可包括任何類型的單核或多核處理器。本公開是等同地可應用的,而不管處理器的類型和/或數量如何。
在實施例中,NIC 202可被服務器102用于訪問網絡108。在實施例中, NIC 202可用于從客戶機設備104接收請求或者對其做出響應。在實施例中,NIC 202可用于訪問有線或無線網絡;本公開是等同地可應用的。NIC 202還可在此被稱為網絡適配器、LAN適配器或無線NIC,針對本公開的目的其可被視為同義詞,除非上下文明確地以其他方式指明;并且因此,這些術語可互換地使用。
在實施例中,存儲設備204可以是任何類型的計算機可讀存儲介質或不同類型的計算機可讀存儲介質的任何組合。例如,在實施例中,存儲設備204可包括但不限于固態驅動器(SSD)、磁或光盤硬驅動器、易失性或非易失性、動態或靜態隨機存取存儲器、閃存、或其任何多個或組合。在實施例中,存儲設備可存儲指令,當由處理器200執行時,這些指令致使服務器102執行以下參照圖6所描述的過程的一個或多個操作。在某些實施例中,存儲設備204可包含記錄數據庫,諸如交叉引用用戶標識符與合適的移動設備標識符的表格。
圖3描繪根據本公開的某些實施例的圖1的計算系統中的移動設備106的一種可能配置。移動設備106可由耦合到相機302的令牌提取器300組成。在某些實施例中,移動設備106還可包括顯示器304和/或近場通信(NFC)收發器306,其中之一或兩者也可耦合到令牌提取器300。
在某些實施例中,令牌提取器300包括耦合到一個或多個計算機可讀存儲介質的一個或多個處理器。該一個或多個計算機可讀存儲介質可包括指令,當由該一個或多個處理器執行時,這些指令致使移動設備106執行以下參照圖7描述的過程中的一個或多個。在其他實施例中,令牌提取器300可由致使移動設備106執行以下參照圖7描述的一個或多個過程的任何數量的硬件和/或軟件組件組成。
該一個或多個處理器可以是任何類型的單核或多核處理器或其任何組合。本公開是等同地可應用的,而不管處理器的類型和/或數量如何。相機302、顯示器304、和/或NFC收發器306可全部包含在移動設備106中,或者這些組件中的一個或多個可外圍地附接到移動設備106而不背離本公開的范圍。
圖4描繪根據本公開的某些實施例的圖1的計算系統中的客戶機設備104的一種可能配置。客戶機設備104可由一個或多個處理器400、存儲器402、網絡接口卡(NIC)406、以及顯示器408組成。在某些實施例中,移動設備106還可包括近場通信(NFC)收發器104。所有這些組件可通過總線410耦合到一起。
在具有多于一個處理器的實施例中,處理器可具有相同的類型,即,同構的,或者它們可具有不同的類型,即,異構的。此外,該一個或多個處理器可以是任何類型的單核或多核處理器。本公開是等同地可應用的,而不管處理器的類型和/或數量如何。
在實施例中,NIC 402可被客戶機設備104用于訪問網絡108。在實施例中,NIC 402可用于發送請求和/或從服務器102接收請求。在實施例中,NIC 402可用于訪問有線或無線網絡,本公開是等同地可應用的并且本公開不限于此。NIC 402還可在此被稱為網絡適配器、LAN適配器或無線NIC,針對本公開的目的其可被視為同義詞,除非上下文明確地以其他方式指明。因此,這些術語可互換地使用。
在實施例中,存儲器402可以是任何類型的計算機可讀存儲介質或不同類型的計算機可讀存儲介質的任何組合。例如,在實施例中,存儲器402可包括但不限于固態驅動器(SSD)、磁或光盤硬驅動器、易失性或非易失性、動態或靜態隨機存取存儲器、閃存、或其任何多個或組合。在實施例中,存儲器402可存儲指令,當由處理器200執行時,這些指令致使客戶機設備104執行以下參照圖5所描述的過程的一個或多個操作。
圖5描繪根據本公開的某些實施例的客戶機設備104的說明性資源請求的流程圖。在實施例中,過程可在框500開始,其中客戶機設備104可接收請求資源的輸入。在某些實施例中,該輸入可接收自用戶。在其他實施例中,該輸入可接收自請求訪問該資源的應用。在實施例中,所請求的資源可包括但不限于應用、網站、web服務或安全數據連接。
在框502中,客戶機設備104可生成在進行服務器102的資源請求時傳輸的信息。在某些實施例中,這可包括從在框500中所接收的輸入提取 所請求的資源的標識符,諸如統一源資定位符(URL)、IP地址等等。在某些實施例中,這可包括從在框500中所接收的輸入提取用戶和/或移動設備標識符。在其他實施例中,客戶機設備104可從存儲器402檢索用戶和/或移動設備106的標識符。在某些實施例中,客戶機設備104可針對用戶和/或移動設備標識符提醒給用戶。
作為示例,在某些實施例中,當客戶機設備104接收到請求資源的輸入時,客戶機設備104可嘗試從存儲在客戶機設備104的存儲器402中的cookie檢索用戶和/或移動設備的標識符。如果用戶和/或移動設備的標識符不能被檢索到,即,合適的cookie尚未被存儲在存儲器402中,用戶可被提醒輸入用戶和/或移動設備的合適標識符。
在框504中,資源請求與所請求的資源的標識符一起可被轉發到服務器102。在實施例中,被轉發到服務器102的資源請求還可包括用戶和/或移動設備的標識符。在某些實施例中,服務器102可針對所請求的資源要求用戶和/或移動設備的標識符并且服務器102可向客戶機設備104發送請求,從而向客戶機設備104請求用戶和/或移動設備的標識符,如果這種標識符未被包括在請求中,或者以其他方式對服務器102可用。
在框506中,客戶機設備104可從服務器102接收條形碼,諸如QR碼。在某些實施例中,條形可被嵌入在登錄屏幕中,諸如在圖8中描繪的登錄屏幕。在某些實施例中,條形碼可被與服務器102所傳輸的任何其他數據分開地接收。如以上參照圖1所討論的,在某些實施例中,條形碼的編碼可依賴于所請求的資源和/或用戶和/或移動設備的標識符。
在框508中,客戶機設備104可在顯示器408上渲染條形碼。在某些實施例中,客戶機設備104可使用安全顯示通道渲染條形碼,包括但不限于英特爾的保護音頻視頻路徑(PAVP)。用戶然后可利用移動設備106解碼條形碼并且提取令牌,如以上參照圖1所討論的。
一旦條形碼已經被解碼并且令牌已經被提取,移動設備106可向客戶機設備104輸出所提取的令牌。在框510中,客戶機設備104可接收令牌作為輸入。如以上參照圖1所討論的,令牌可被手動地輸入到客戶機設備 104中或者其可通過移動設備106和客戶機設備104之間的有線或無線數據連接傳輸。在框512中,客戶機設備104可然后向服務器102傳輸輸入令牌。接下來,服務器102可至少部分地基于所提取的令牌認證資源請求。接下來,在框514中,客戶機設備104可接收對所請求的資源的訪問的授權或拒絕,這取決于認證的成功。
圖6是根據本公開的某些實施例的服務器102的說明性資源請求的流程圖。在實施例中,過程可在框600開始,其中服務器102可從客戶機設備104接收對資源的請求,諸如由客戶機設備104在圖5的框504中所傳輸的請求。在實施例中,該請求可包括所請求的資源的標識符。在某些實施例中,該請求還可包括用戶和/或移動設備的標識符。
在框602中,服務器102可從所接收的請求提取資源標識符。在某些實施例中,服務器102還可提取用戶和/或移動設備的標識符,其中這種標識符已經被包括在請求中。在框604中,服務器102可生成令牌。在某些實施例中,令牌可僅在預定的時間量內有效和/或單次使用有效。在框606中,令牌可被編碼到條形碼中。條形碼然后被以任何格式編碼并且可以是任何類型的1維或2維條形碼,包括但不限于QR碼。如以上參照圖1所討論的,條形碼可被以通用方式編碼,或者可被以特定于所請求的資源和/或移動設備106的方式編碼。在某些實施例中,條形碼可由服務器簽名以便向移動設備106驗證服務器102。
在框608,條形碼然后可被傳輸到客戶機設備104,其中其可被顯示給客戶機設備104的用戶。用戶然后可利用移動設備106解碼條形碼,該移動設備從條形碼提取令牌并且輸出將在框610中被輸入到客戶機設備104并且發送到服務器102以便認證的令牌。在框612中,基于認證成功,服務器102然后可授權或拒絕對所請求的資源的訪問。在某些實施例中,如上所述,移動設備106可被專門地預設成用于解碼條形碼并且僅這種專門預設的移動設備能夠解碼條形碼。
圖7描繪根據本公開的某些實施例的移動設備106上的令牌提取的說明性流程圖。過程可在框700中開始,其中可掃描在客戶機設備104上顯 示的圖像。在框702,然后可從所掃描的圖像提取條形碼。在框704中,移動設備106然后可解碼條形碼。在某些實施例中,在解碼條形碼之前,移動設備106可要求口令或個人標識號(PIN)。如以上參照圖1所討論的,該解碼可以是通用的或者可特定于移動設備和/或資源。在框706中,移動設備106然后可從所解碼的條形碼提取令牌。在某些實施例中,可通過解析所解碼的數據提取令牌。令牌然后可由移動設備106輸出。在某些實施例中,可通過以字母數字格式顯示令牌來輸出令牌,從而使得其可由用戶手動地輸入到客戶機設備104中。在某些實施例中,可經由移動設備106和客戶機設備104之間的有線或無線數據連接輸出令牌。在解碼可特定于移動設備106的實施例中,未授權用戶/設備或惡意計算機程序將不能提取輔助認證所需的信息。這是因為即使未授權用戶/設備或惡意計算機程序能夠捕獲在客戶機設備104上顯示的條形碼,其未被預設成能夠解碼條形碼,如以上參照圖1所討論的。
圖8描繪根據本公開的某些實施例的說明性登錄屏幕800。在某些實施例中,登錄屏幕800可在服務器102處生成并且可顯示在客戶機設備104上。在某些實施例中,條形碼810可利用英特爾的保護音頻視頻路徑(PAVP)、ARM有限公司的或另一種形式的圖形處理單元內容保護(GPU-CP)在顯示器部分808中顯示。在某些實施例中,條形碼810可被顯示給可使用移動設備106解碼條形碼并從所解碼的條形碼提取令牌的用戶。在某些實施例中,用戶可將所提取的令牌輸入到令牌輸入框812中。在某些實施例中,用戶可替代地選擇通過點擊NFC按鈕804輸入所提取的令牌以便利用近場通信(NFC)數據連接輸入所提取的令牌。在其他實施例中,用戶可僅需要用客戶機設備的一部分輕擊移動設備106以便經由NFC傳遞令牌。在某些實施例中,用戶和/或移動設備標識符可被包含在web瀏覽器的cookie中。在某些實施例中,cookie中的標識符可能不對應于客戶機設備104的當前用戶并且用戶可需要通過點擊改變用戶按鈕806輸入對應于當前用戶和/或移動設備的新標識符。在將令牌輸入到客戶機設備104中之后,用戶可激活登錄按鈕802以便將令牌提交給服務器102以便認證。 基于認證結果,用戶可被授權或拒絕對所請求的資源的訪問。
本公開的實施例可采取完全硬件實施例、完全軟件實施例或包含硬件和軟件元素兩者的實施例的形式。在各實施例中,軟件可包括但不限于固件、駐留軟件、微代碼等等。此外,本公開可采取可從提供程序代碼以便由或結合計算機或任何指令執行系統使用的計算機可用或計算機可讀介質訪問的計算機程序產品的形式。
為了本描述的目的,計算機可用或計算機可讀介質可以是可包含、存儲、傳遞、傳播或傳輸程序以便由或結合指令執行系統、裝置或設備使用的任何裝置。介質可以是電、磁、光、電磁、紅外或半導體系統(或裝置或設備)或傳播介質。計算機可讀介質的示例包括半導體或固態存儲器、磁帶、可移除計算機磁盤、隨機存取存儲器(RAM)、只讀存儲器(ROM)、剛性硬盤和光盤。光盤的當前示例包括致密盤-只讀存儲器(CD-ROM)、致密盤-讀/寫(CD-R/W)和DVD。
因此,在此所描述的內容包括移動設備以及至少一個計算機可讀存儲介質。在實施例中,移動設備可包括相機和與相機耦合的令牌提取器。令牌提取器可被配置成用于分析相機從客戶機設備的顯示器捕獲的圖像并且可從圖像提取條形碼。條形碼可包含令牌并且響應于客戶機設備請求訪問資源可被顯示在客戶機設備上。令牌提取器可被進一步配置成用于提取包含在條形碼中的令牌并且可使得令牌能用于獲得對資源的所請求的訪問。
在某些實施例中,移動設備可包括存儲器和耦合到存儲器和相機的處理器。令牌提取器可駐留在存儲器中并且可由處理器執行。在某些實施例中,移動設備還可包括認證模塊,該認證模塊被配置成在執行令牌提取器以使得用戶能使用令牌獲得對所請求的資源的訪問之前認證用戶。
在實施例中,令牌提取器可被進一步配置成通過使用與資源相關聯的算法提取包含在條形碼中的令牌以便解碼條形碼從而從條形碼獲得數據。令牌提取器可從數據提取令牌。
在實施例中,移動設備還可包括與令牌提取器耦合的近場通信(NFC)收發器。令牌提取器可被配置成通過NFC收發器向客戶機設備傳輸令牌從 而使得能使用令牌獲得對資源的所請求的訪問。在某些實施例中,令牌提取器可被配置成顯示所提取的令牌從而使得能通過用戶輸入令牌到客戶機設備中來使用令牌獲得對所請求的資源的訪問。在某些實施例中,條形碼可以是矩陣條形碼。在某些實施例中,條形碼可以是QR碼。在某些實施例中,所請求的資源可以是應用。
在實施例中,該至少一個計算機可讀存儲介質可包括指令,當由客戶機設備執行時,這些指令致使客戶機向服務器傳輸訪問資源的請求。請求可包括標識移動設備的標識符。當由客戶機設備執行時,這些指令還致使客戶機設備在客戶機設備的顯示器上渲染來自服務器的響應,從而使得包含在響應中的條形碼內的令牌能被解碼。令牌然后可被傳輸回服務器以便認證客戶機設備。可至少部分地基于將移動設備標識為解碼設備的標識符編碼條形碼。在某些實施例中,標識符以cookie的形式存儲在客戶機設備中。
在實施例中,當由客戶機設備執行時,這些指令可進一步使得客戶機設備接受令牌作為輸入并且將令牌傳輸給服務器。在實施例中,當由客戶機設備執行時,這些指令可進一步使得客戶機設備能經由客戶機設備的近場通信收發器接受令牌作為輸入。
在實施例中,當由客戶機設備執行時,這些指令可進一步使得客戶機設備能經由到客戶機設備上的顯示器的安全通道在客戶機設備的顯示器上渲染條形碼。在某些實施例中,安全通道可以是保護音頻視頻路徑(PAVP)。
在實施例中,資源可以是服務器和客戶機設備之間的安全數據通道。在條形碼中傳輸的令牌可以是將被客戶機設備用于加密傳輸到服務器的數據并且解密經由安全數據通道從服務器接收的數據的密碼密鑰。在某些實施例中,密碼密鑰可以是Diffie-Hellman密鑰。
在實施例中,該至少一個計算機可讀存儲介質可包括指令,響應于由服務器執行,這些指令將服務器配置為從客戶機設備接收訪問資源的請求。響應于由服務器執行,這些指令將服務器配置為響應于請求生成包含令牌的條形碼并且將條形碼傳輸到客戶機設備。條形碼可在客戶機設備上顯示 以便使得能由移動設備使用相機提取令牌并且用于向服務器認證客戶機設備的用戶從而使得服務器能授權所請求的訪問。
在實施例中,當由服務器執行時,這些指令可將服務器配置為從客戶機設備接收響應、確定響應是否包括令牌并且至少部分地基于確定結果授權或拒絕所請求的訪問。在實施例中,用于生成包含令牌的條形碼的這些指令在由服務器執行這些指令時可進一步將服務器配置為以特定于移動設備的方式用令牌編碼條形碼。在實施例中,請求可進一步包括移動設備的標識符并且特定于移動設備和所請求的資源兩者的格式至少部分地基于標識符。
在實施例中,當由服務器執行時,這些指令進一步將服務器配置為生成用于訪問所請求的資源的登錄頁。登錄頁可至少包含條形碼并且將條形碼傳輸到客戶機設備進一步包括以能夠向用戶顯示的格式將登錄頁傳輸到客戶機設備。
在某些實施例中,條形碼可以是矩陣條形碼。在各實施例中,條形碼可以是QR碼。在某些實施例中,所請求的資源可以是應用。在某些實施例中,令牌是一次性口令(OTP)。
盡管已經在此展示和描述了特定實施例,本領域普通技術人員將認識到各種各樣的替代和/或等效實現方式可在不背離所公開的技術的實施例的范圍的情況下替換所展示和描述的特定實施例。本申請旨在覆蓋在此討論的實施例的任何適配或變化。因此,主要旨在本公開的實施例僅由以下權利要求書及其等效方案限制。

關于本文
本文標題:用于資源請求的條形碼認證.pdf
鏈接地址:http://www.wwszu.club/p-6369701.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
鬼佬大哥大