確定驗證功能的查詢系統和方法

確定驗證功能的查詢系統和方法
【技術領域】
[0001]本發明整體涉及數據處理系統的領域。更具體地講，本發明涉及用于確定驗證功能的查詢系統和方法。
【背景技術】
[0002]現有系統已被設計為使用生物識別傳感器在網絡中提供安全用戶驗證。具體地講，由在線快速身份驗證(FIDO)聯盟開發的在線安全交易插件(OSTP)協議實現了強驗證(例如，防止身份竊取和網絡釣魚)、安全交易(例如，防止對于交易的“瀏覽器中的惡意軟件”和“中間人”攻擊)以及客戶端驗證令牌(例如，指紋讀取器、面部識別設備、智能卡、可信平臺模塊等)的登記/管理。現有OSTP協議的細節可見于例如美國專利申請N0.2011/0082801 (“‘801 申請”)和名稱為 OSTP Framework (0STP 框架，2011 年 3 月 23 日)的文件，這兩者均描述了網絡上的用戶注冊和驗證的框架。
【附圖說明】
[0003]通過以下詳細描述結合以下附圖可獲得對本發明的更好理解，其中:
[0004]圖1A-B示出了安全驗證系統架構的兩個不同實施例。
[0005]圖2為示出可如何查找到客戶端設備上的驗證設備的交易圖。
[0006]圖3為示出用戶可如何在驗證設備上進行登記的交易圖。
[0007]圖4為示出可如何將密鑰注冊到驗證設備內的交易圖。
[0008]圖5為示出可如何在驗證框架內實現用戶驗證的交易圖。
[0009]圖6為示出可如何驗證交易詳情的交易圖。
[0010]圖7示出了根據本發明的一個實施例實現的查詢策略過濾器。
[0011]圖8為示出如何在本發明的一個實施例中實現具有查詢策略的注冊操作的交易圖。
[0012]圖9示出了用于實現多個驗證設備處理的架構的一個實施例。
[0013]圖10A-10C示出了多個驗證設備處理的本發明的三個實施例。
[0014]圖11A-11B示出了用于檢測并響應于隨機質詢超時的交易圖。
[0015]圖12示出了根據本發明的一個實施例實現隱私類別的架構。
[0016]圖13為根據本發明的一個實施例實現隱私類別的交易圖。
[0017]圖14示出了使用簽名對交易進行驗證的架構的一個實施例。
[0018]圖15-16示出了用于執行本發明的實施例的計算機系統的示例性實施例。
【具體實施方式】
[0019]下面描述了在客戶端-服務器環境中用于智能實現驗證框架的裝置、方法和機器可讀介質的實施例。在整個描述中，為了說明的目的，闡述了許多具體細節以便提供對本發明的透徹理解。然而，對于本領域技術人員將顯而易見的是，可在沒有這些具體細節中的一些的情況下來實踐本發明。在其他情況下，熟知的結構和設備未示出或以框圖形式示出以避免使本發明的基本原理模糊不清。
[0020]下文討論的本發明的實施例涉及具有驗證功能的客戶端設備，諸如生物識別設備。這些設備有時在本文中稱為“令牌”。可使用各種不同的生物識別設備，包括但不限于指紋傳感器、語音識別硬件/軟件(例如，用于識別用戶語音的麥克風和相關軟件)、面部識別硬件/軟件(例如，用于識別用戶面部的相機和相關軟件)以及光學識別功能(例如，用于掃描用戶視網膜的光學掃描儀和相關軟件)。驗證功能還可包括非生物識別設備，諸如可信平臺模塊(TPM)和智能卡。
[0021]下文所述的本發明的實施例提供與現有驗證技術相比的各種改進。例如，與需要客戶端在網絡上傳送其驗證功能中的全部(例如，其驗證令牌/設備的全部)的詳盡列表的當前技術相反，本發明的一個實施例實現查詢策略，其中安全交易服務器將服務器策略初始傳輸至客戶端，其指示由服務器接受的驗證功能。客戶端隨后對服務器策略進行分析以識別驗證功能的子集，從而減小對客戶端的隱私影響。
[0022]在另一個實施例中，采用多個可配置的隱私保護級別。隱私類別為預先定義的并且可由終端用戶選擇和/或修改。在本發明的一個實施例中，隱私類別基于可使用所請求的信息識別客戶端的概率來定義。在相對較高隱私級別下(具有相對較低隱私影響)，有關客戶端設備的相對較少信息被泄露以執行本文所述的驗證技術。
[0023]本發明的另一個實施例同時提供多個設備的配置或驗證，從而提高效率。例如，不是一次請求單個驗證設備的注冊或驗證，而是可從服務器發送驗證設備列表。隨后通過在客戶端上本地執行的一次操作或一系列順序操作將對稱和/或非對稱密鑰配置到多個令牌/設備中。為了驗證，可針對給定交易同時選擇幾個令牌/設備。
[0024]本發明的另一個實施例提高了處理和管理服務器質詢的效率。如今，在服務器向客戶端發送隨機質詢(例如，加密臨時數)之后，如果客戶端在指定的超時時段內沒有響應，則臨時數不再有效并且客戶端將響應于后續驗證嘗試接收到錯誤。例如，如果用戶使客戶端掛起以移至新位置(例如，閉合膝上型計算機上的蓋子)并隨后嘗試驗證，則驗證嘗試將被拒絕。在本發明的一個實施例中，客戶端檢測到隨機質詢已過期并且自動和透明地從服務器請求新的質詢。服務器隨后生成新的質詢并將其傳輸至可用于進行驗證的客戶端。終端用戶體驗得到改進，因為用戶不會接收到驗證請求的錯誤或拒絕。
[0025]本發明的另一個實施例在安全交易服務器上采用交易簽名，以使得無需在服務器上保持任何交易狀態來保持與客戶端的當前會話。將交易內容(諸如交易文本)發送至由服務器簽名的客戶端，當服務器作出響應時其發回帶有簽名的交易內容。服務器無需存儲交易狀態，因為其可通過驗證簽名來驗證由客戶端所接收的所簽名交易響應為有效的。
[0026]雖然在上文描述為單獨的實施例，但在單個綜合驗證系統內可以用各種方式將上述技術中的全部組合在一起。因此，本發明的給定實施例可與本文所述的一個或多個其他實施例組合以用于改進安全網絡環境中的客戶端和用戶驗證。
[0027]示例件系統架構
[0028]圖1A-1B示出了包括用于驗證用戶的客戶端和服務器端組件的系統架構的兩個實施例。圖1A所示的實施例使用基于瀏覽器插件的架構以用于與網站進行通信，而圖1B所示的實施例不需要瀏覽器。本文所述的各種技術(諸如在驗證設備上登記用戶、在安全服務器上注冊驗證設備、以及驗證用戶)可在這些系統架構中的任一者上實現。因此，雖然圖1A所示的架構用于展示下文所述的實施例中的一些的操作，但可容易地在圖1B所示的系統上實現相同的基本原理(例如，通過移除作為用于服務器130與客戶端上的安全交易服務101之間的通信的媒介的瀏覽器插件105)。
[0029]首先轉向圖1A，所示實施例包括客戶端100，該客戶端100配備有用于登記和驗證終端用戶的一個或多個驗證設備110-112(有時在本領域中稱為驗證“令牌”)。如上所述，驗證設備110-112可包括生物識別設備，諸如指紋傳感器、語音識別硬件/軟件(例如，用于識別用戶語音的麥克風和相關軟件)、面部識別硬件/軟件(例如，用于識別用戶面部的相機和相關軟件)和光學識別功能(例如，用于掃描用戶視網膜的光學掃描儀和相關軟件)，以及非生物識別設備，諸如可信平臺模塊(TPM)和智能卡。
[0030]驗證設備110-112通過由安全交易服務101暴露的接口 102 (例如，應用程序編程接口或API)通信耦接到客戶端。安全交易服務101為用于在網絡上與一個或多個安全交易服務器132-133進行通信以及用于與在web瀏覽器104的上下文內執行的安全交易插件105進行交互的安全應用程序。如圖所示，接口 102還可提供對客戶端100上的安全存儲設備120的安全訪問，該安全存儲設備120存儲有關驗證設備110-112中的每一者的信息，諸如設備標識代碼、用戶標識代碼、用戶登記數據(例如，掃描的指紋或其他生物識別數據)以及用于執行本文所述的安全驗證技術的密鑰。例如，如下詳細所述，唯一密鑰可存儲到驗證設備中的每一者內并且當在網絡(諸如Internet)中與服務器130進行通信時使用。
[0031]如下所述，某些類型的網絡交易受安全交易插件105支持，諸如利用網站131或其他服務器的HTTP或HTTPS交易。在一個實施例中，響應于由安全企業或Web目標130 (在下文有時簡稱為“服務器130”)內的web服務器131插入到web頁面的HTML代碼內的特定HTML標簽啟動安全交易插件。響應于檢測到這樣的標簽，安全交易插件105可將交易轉發給安全交易服務101以進行處理。此外，對于某些類型的交易(諸如，安全密鑰交換)，安全交易服務101可打開與本地交易服務器132 (即，與網站處于同一位置)或與場外交易服務器133的直接通信通道。
[0032]將安全交易服務器132-133耦接到用于存儲支持下文所述的安全驗證交易所需的用戶數據、驗證設備數據、密鑰以及其他安全信息的安全交易數據庫120。然而，應當注意，本發明的基本原理不需要分離圖1A所示的安全企業或web目標130內的邏輯組件。例如，可在單個物理服務器或單獨的物理服務器內實現網站131和安全交易服務器132-133。此外，網站131和安全交易服務器132-133可在集成軟件模塊內實現，該模塊在一個或多個服務器上執行以用于執行下文所述的功能。
[0033]如上所述，本發明的基本原理不限于圖1A所示的基于瀏覽器的架構。圖1B示出了一種替代實施方式，其中獨立應用程序154利用由安全交易服務101提供的功能在網絡上驗證用戶。在一個實施例中，應用程序154被設計為建立與一個或多個網絡服務151的通信會話，所述網絡服務151依賴于安全交易服務器132-133以用于執行下文詳述的用戶/客戶端驗證技術。
[0034]在圖1A-1B所示的實施例中的任一者中，安全交易服務器132-133可生成密鑰，所述密鑰隨后被安全傳輸至安全交易服務101并存儲到安全存儲器120內的驗證設備內。另夕卜，安全交易服務器132-133管理服務器端上的安全交易數據庫120。
[0035]設備查找、
[0036]登記、注冊和驗證概覽
[0037]圖2-6中示出了用于執行驗證設備查找、登記、注冊和驗證的一系列示例性交易。在上文所述的OSTP協議中采用了這些交易的一些方面(參見OSTP框架(2011年3月23日)以獲得額外細節，其以引用方式并入本文)。對這些交易的基本操作的了解將提供可在其中實現本發明的實施例的上下文。
[0038]下文所述的操作包括驗證設備的檢測(圖2);在驗證設備上的用戶登記(圖3);驗證設備的注冊(圖4);在所注冊驗證設備上的用戶驗證(圖5);以及驗證后的安全交易實現(圖6)。
[0039]圖2示出了用于檢測客戶機上的驗證設備的一系列交易。在成功完成設備檢測之后，服務器130具有有關附接到客戶端的驗證設備的詳盡信息并且將能夠評估哪一個或多個設備最適于與增強安全性基礎設施一起使用。只有服務器130過濾了驗證設備的列表。用戶將被提供該列表并且可選擇驗證設備中的一者(或組合)以用于安全交易的進一步驗證和實現。
[0040]在操作中，用戶在瀏覽器中通過用戶名和密碼進行驗證并登錄到網站。這是唯一一次需要用戶提供用戶名和密碼。服務器130確定用戶當前未使用增強的安全性(例如，通過查詢安全交易數據庫120)并向用戶提供建議以更改到增強的安全性。
[0041]在一個實施例中，服務器130包括安全交易插件105檢測到的HTML頁面中的“查詢設備”標簽。響應于檢測到該標簽，安全交易插件105將請求重新路由至安全交易服務101，該安全交易服務101隨后準備有關附接到系統的所