申请/专利权人：微软技术许可有限责任公司

申请日：2017-03-23

公开（公告）日：2021-04-27

公开（公告）号：CN108886524B

主分类号：H04L29/06(20060101)

分类号：H04L29/06(20060101);H04W12/06(20210101);G06F21/35(20130101)

优先权：["20160329 US 15/083,935"]

专利状态码：有效-授权

法律状态：2021.04.27#授权;2018.12.18#实质审查的生效;2018.11.23#公开

摘要：使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话。方法从声称是第一用户实体的实体接收对于会话的请求。方法还包括发送来自请求的认证上下文，并且其中针对请求的认证上下文到达第二用户实体。方法还包括接收认证上下文已经被验证的指示。作为结果，该方法还包括认证第一用户实体与身份提供者之间的安全会话或者批准安全事务。

主权项：1.一种系统，包括：一个或多个处理器；以及一个或多个计算机可读介质，其具有存储在其上的指令，所述指令由所述一个或多个处理器可执行以将计算机系统配置为通过使用用户的辅助实体来认证所述用户的主实体与身份提供者之间的安全会话，所述指令包括可执行以将所述计算机系统配置为至少执行以下各项的指令：在身份提供者处从声称是所述用户的主实体的第一实体接收对于会话的请求；从所述身份提供者向所述第一实体发送基于所述请求的认证上下文；在所述第一实体处接收所述认证上下文；从所述第一实体向所述用户的辅助实体发送所述认证上下文；在所述辅助实体处验证由所述第一实体发送的所述认证上下文对应于所述用户的所述主实体，并且验证发送所述请求的所述第一实体实际上是所述用户的所述主实体；基于所述验证，所述辅助实体对所述认证上下文进行签名并且将经签名的所述认证上下文返回给所述第一实体；所述第一实体将经签名的所述认证上下文转发给所述身份提供者；以及作为结果，所述身份提供者认证安全会话或者批准在已经被验证为所述用户的所述主实体的所述第一实体与所述身份提供者之间的安全事务。

全文数据：保护远程认证背景技术[0001]计算机和计算系统几乎影响了现代生活的每个方面。计算机通常涉及工作、娱乐、医疗保健、交通运输、娱乐、家庭管理，等等。[0002]此外，计算系统功能可以通过计算系统经由网络连接互连到其他计算系统的能力而被增强。这些连接允许计算系统访问其他计算系统处的服务并且快速有效地从其他计算系统接收应用数据。[0003]在一些示例中，设备可以登录到服务器或其他身份提供者以获得服务器处的服务。例如，这可以使用远程登录来完成。远程登录包括使用先前提供的辅助实体例如，智能卡、电话、应用、浏览器、设备等登录到主实体例如，应用、设备等）。然而，这样的远程登录方案可能会受到对先前提供的辅助实体的一次性令牌批准的网络钓鱼攻击。在这些情况下，通过利用用户的辅助实体认证攻击者，打算远程进行认证的用户可能被欺骗认证攻击者的认证请求。[0004]本文所要求保护的主题不限于解决任何缺点或仅在诸如上述那些环境中操作的实施例。相反，该背景被提供仅用于说明可以实践本文中描述的一些实施例的一个示例性技术领域。发明内容[0005]本文中示出的一个实施例包括可以在计算环境中实践的方法。方法包括用于使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的动作。方法从声称是第一用户实体的实体接收会话的请求。方法还包括发送来自请求的认证上下文，并且其中请求的认证上下文到达第二用户实体。方法还包括接收认证上下文己经被验证的指示。作为结果，方法还包括认证第一用户实体与身份提供者之间的安全会话或者批准安全事务。[0006]提供本发明内容是为了以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中进一步描述。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于辅助确定所要求保护的主题的范围。[0007]将在下面的描述中阐述附加的特征和优点，并且部分地将从描述中很清楚，或者可以通过本文中的教导的实践来学习。可以借助于所附权利要求中特别指出的设备和组合来实现和获取本发明的特征和优点。本发明的特征根据以下描述和所附权利要求将变得更加明显，或者可以通过如下所述的本发明的实践来学习。附图说明[0008]为了描述可以获取上述和其他优点和特征的方式，将通过参考附图中示出的特定实施例来呈现上面简要描述的主题的更具体的描述。应当理解，这些附图仅描绘了典型的实施例，并且因此不应当被认为是对其范围的限制，将通过使用附图利用附加的特征和细节来描述和解释实施例，在附图中：[0009]图1示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的示例环境；[0010]图2示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；[0011]图3示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；[0012]图4示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；[0013]图5示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；[0014]图6示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；[0015]图7示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；[0016]图8示出了其中主实体可以使用辅助实体建立与身份提供者的安全连接的另一示例环境；[0017]图9示出了使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的方法;以及[0018]图10示出了使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的另一方法。具体实施方式[0019]本文中的一些实施例可以通过身份提供者例如，在服务器处）向用户（或用户的设备提供认证上下文来阻碍远程登录场景中的中间人攻击。例如，在一个实施例中，身份提供者与辅助实体之间的现有信道可以用于提供关于从主实体到服务器的认证请求的认证上下文。在这样做时，身份提供者可以向用户不出主矣体与身份提供者之间可能存在的差异，以希望帮助防止远程认证请求中的网络钓鱼。在这些情况下，用户可以被示出登录身份提供者看到的观察结果，诸如主实体的位置、主实体的设备类型、认证方案的类型等。在这种情况下，如果主实体受到损害，则辅助实体用作与用户进行通信的手段。在这些情况下，具有辅助实体的信道将允许身份提供者向用户传达不能被己经损害主实体的攻击者修改的消息。特别地，身份提供者可以能够通过比较来自主实体的认证上下文和在辅助实体处批准的认证上下文来检测修改。[0020]现在参考图1，示出了一个示例。在图1中，用户102在主实体104例如，诸如计算机、电话等设备或应用）上发起设备到设备登录流程，其中可能存在中间人攻击者1〇6。主实体104上的认证栈向身份提供者110例如，服务器处的服务发出初始化登录的请求1〇8。主实体104处的认证栈接收随机数112和认证上下文114其可以是例如位置），这两者都被传递给辅助实体116例如，诸如智能电话等设备）以用于第二实体116进行签名。在辅助实体116上，用户被呈现认证上下文114例如，在辅助实体116上向用户显示位置），看到认证上下文114有效，并且用辅助实体116上的本地姿势解锁本地凭证。例如，用户1〇2可以选择辅助实体116的用户界面中的按钮，该按钮指示所显示的位置确实是主实体1〇4的物理位置。辅助实体116对该随机数112和认证上下文114进行签名，将所得到的令牌118发送给主实体104以便主实体用作凭证来向身份提供者110进行认证。身份提供者11〇验证签名的令牌118中的位置是否为与主实体1〇4相同的位置。中间人攻击者1〇6能够访问令牌118,但是不能从不同的位置播放它。[0021]中间人攻击者106不能从他们的远程位置使用令牌118，因为令牌118中的位置不能被改变。如果中间人攻击者1〇6修改被提供给辅助实体116的位置，则用户102将能够看到认证上下文114中的位置不是预期的，并且在辅助实体116处取消请求。[0022]图2中示出了另一示例。在这个示例中，用户102通过发送远程认证请求108以向用户的可信辅助实体116登录来初始化与身份提供者110的、在web浏览器120上的远程登录会话。身份提供者120引起网络浏览器120显示QR代码122其具有嵌入在QR代码122的数据中的会话标识符和位置以供辅助实体116批准。在辅助实体116上，用户102扫描QR代码122并且被呈现有选项，诸如辅助实体116的屏幕上的选项，以基于作为0R代码122中的认证上下文而嵌入的位置信息来批准远程登录，以便批准远程认证请求108。用户102验证该位置是否合适例如，用户正在认证上下文中指示的位置使用主实体104并且在辅助实体116处输入他们的本地凭证124和本地手势以批准远程认证请求108,以证明它来自用户102。然后，辅助实体116将本地凭证124连同位置114一起呈现给身份提供者110以验证远程认证请求108。身份提供者110将远程认证请求108的位置与由辅助实体116提供的位置进行比较以确保它与由辅助实体提供的用户批准的位置相匹配。然后，身份提供者110能够认证远程会话。[0023]这种情况下的位置有助于防止浏览器120与身份提供者110之间的中间人攻击。如果在这种情况下发生中间人攻击并且用户102被呈现攻击者的QR代码，则用户102将能够拒绝认证请求，因为位置与预期的不匹配。更复杂的攻击者可能会尝试更改在QR代码中呈现的位置一一也就是说，修改QR代码以包含用户的实际位置和攻击者的会话标识符。在这种情况下，身份提供者110将阻止认证请求，因为攻击者的位置将不同于由可信的第二实体116批准的位置114。[0024]现在参考图3,其示出了另一示例。在这个示例中，用户尝试初始化远程连接会话，其中中间人攻击者拦截来自主实体104的远程认证请求108。中间人攻击者106使用来自远程认证请求108的会话标识符以创建恶意远程认证请求丨08’。使用恶意远程认证请求108’，为攻击者1〇6创建远程连接会话。主实体处的用户1〇2被呈现有用于远程连接请求的攻击者的会话标识符126。用户102无意识前进到网页120以登录可信的辅助实体116上的远程认证会话，并且输入攻击者会话标识符126以完成流程。由于站点使用SSL，因此流程看起来对用户是安全的;然而，用户输入他们的用户名和密码或本地凭证），并且被呈现有会话的位置126。用户102看到该位置与预期的不同，并且拒绝会话。[0025]如果身份提供者110检测到主实体104的位置非常接近辅助实体II6的位置，或者主实体104处于熟悉的位置，则这个实施例的变型可以绕过用户批准。备选地或另外地，身份提供者可以检测到主实体104和辅助实体116具有类似的IP地址，指示它们在公共位置处连接。[0026]现在参考图4,示出了另一示例。在这个示例中，用户1〇2想要通过运行恶意软件13〇的实体104例如，设备上的应用商店丨28从身份提供商110或与身份提供商相关联的实体购买应用。在应用商店128中点击购买之后，恶意软件130运行并且尝试诱骗用户102购买恶意应用。用户作为购买过程的一部分将密码输入到应用商店128中，并且从身份提供者110向辅助实体116发送通知132,以请求批准购买应用。辅助实体116向用户102显示用户正在购买的应用是恶意应用，并且允许用户102然后使用辅助实体116拒绝购买。在这种情况下，恶意软件130不能修改发送给可信的第二实体116的通知132。以这种方式，可以安全地通知用户102,并且要求用户102批准正在购买的应用。[0027]因此，实施例可以利用远程登录流中的辅助实体116诸如设备或应用）与身份提供者110之间的现有信道来保护第一实体的远程认证请求作为与用户安全地通信的手段。通过在请求登录批准时向用户显示由登录服务器观察到的认证上下文细节位置、设备类型、实体类型、事务类型等），实施例可以使用用户来帮助观察远程登录中的差异以保护远程认证请求。[0028]实施例可以包括与主实体有关的身份提供者观察，作为来自辅助实体的关于远程登录用户批准的签名令牌的一部分，以允许身份提供者验证来自主实体的登录的批准。[0029]实施例可以使用与辅助实体的信道来自动验证关于主实体的观察，并且如果存在不一致，则在辅助实体上提示用户。[0030]实施例可以向用户的第二实体（例如，使用推送通知通知必要的登录观察数据，以使用户在辅助实体上安全地批准请求，作为在主实体受到损害的情况下向用户进行安全通信的手段。__[0031]虽然使用图1至4来说明详细示例，但是图5至8所示的以下示例示出了可以在本发明的各种实施例中实现的更通用的原理。[0032]现在参考图5，示出了一般的过程流。在图5所示的示例中，第一实体104向身份提供者110发送如501所示的请求。响应于请求，身份提供者110向第一实体104发送如5〇2所示的认证上下文以及如503所示的随机数。第一实体104向辅助实体II6发送如5〇4所示的认证上下文以及如505所示的随机数。该信息可以以多种不同方式中的一种或多种方式被提供给辅助实体116。例如，使用网络连接、设备共享、近场通信、无线连接、用户简单地将主实体104上显示的信息键入第二实体116中等，可以在主实体1〇4与辅助实体lie之间提供该信息。[0033]辅助实体116可以执行用于认证该认证上下文的各种动作。例如，如前所述，认证上下文可以是位置信息。位置信息可以在辅助实体116处显示给用户。然后，用户（或辅助实体116本身）可以验证位置信息对应于主实体104的位置。在备选的示例中，认证上下文可以是IP地址。辅助实体116可以向用户显示认证上下文中的IP地址。如果用户能够确定主实芒104的IP地址，则用户可以确认主实体104的IP地址与由辅助实体116从认证上下文中显示的IP地址相匹配。这可以通过很多不同的方式来进行实现。例如，在一个实施例中，主实体104可以被配置为自动显示主实体104的IP地址，作为与身份提供者110的认证过程的一部分。然而，如果恶意软件安装在主实体104上，则恶意软件可以欺骗恶意实体的1?地址并且在主实体104处显示欺骗的IP地址。因此，在备选的更安全的示例中，主实体可以与辅助实体116通信，并且作为其通信的一部分，向辅助实体II6提供主实体1〇4的IP地址。然后，辅助实体116可以向用户显示作为IP地址从主实体104发送的IP地址以及被包含在认证上下文中的IP地址。然后，用户可以比较在辅助实体116上显示的信息以确定主实体1〇4的IP地址是否与被包含在认证上下文中的IP地址相匹配。[0034]一旦在辅助实体116处已经验证认证上下文，辅助实体116就可以对认证上下文和随机数进行签名，并且向主实体104发送如506所示的签名的认证上下文和随机数。主实体104然后可以向身份提供者110发送签名的认证上下文和随机数，如508所示。身份提供者110可以使用标准密码技术来验证签名。附加地或备选地，身份提供者110可以验证在502处从身份提供者110向主实体104发送的认证上下文与在508处通过主实体从辅助实体116接收回的认证上下文相匹配。如果所有验证都通过，则身份提供者110然后可以向主实体104提供如510所示的令牌，主实体104然后可以在与身份提供者110的经认证的会话中使用该令牌。[0035]现在参考图6,示出了备选的示例实施例。图6示出了主实体104向身份提供者110发送如601所示的请求。身份提供者110通过向主实体104发送如602所示的认证上下文和如603所示的随机数来响应于请求。主实体104向辅助实体116提供如604所示的认证上下文。主实体104还向辅助实体116提供如图605所示的随机数。该信息可以以一种或多种不同的方式提供给辅助实体116。例如，使用网络连接、设备共享、近场通信、无线连接、用户简单地将主实体104上显示的信息键入第二实体116中等，可以在主实体104与辅助实体116之间提供该信息。[0036]与图5中所示的示例一样，辅助实体可以使用认证上下文来执行各种验证动作。例如，如上所示，认证上下文可以包括主实体104的位置信息。位置信息可以在辅助实体116处被显示，并且用户可以被允许验证辅助实体116上的位置信息。可以如上所示并且还可以在下面示出的示例中验证认证上下文的其他示例。[0037]如果可以适当地验证认证上下文，则辅助实体116将签名认证上下文和随机数，并且向身份提供者110发送签名的认证上下文和随机数，如606所示。身份提供者110可以使用标准加密技术验证签名。附加地或备选地，身份提供者110可以验证在602处从身份提供者110向主实体104发送的认证上下文与在608从辅助实体116接收回的认证上下文相匹配。如果所有验证都通过，则身份提供者110可以向主实体104提供适当的令牌，并且如607所示，以允许主实体104在与身份提供者110的安全会话中进行通信。[0038]现在参考图7，示出了又一备选的示例。在图7所示的示例中，主实体104向身份提供者110发送如701所示的请求。另外，如702所示，主实体104向辅助实体II6发送与请求相对应的会话标识符。该信息可以以多种不同方式中的一种或多种被提供给辅助实体116。例如，使用网络连接、设备共享、近场通信、无线连接、用户简单地将主实体1〇4上显示的信息键入第二实体116中等，可以在主实体104与辅助实体116之间提供该信息。[0039]如703所示，辅助实体116在与身份提供者的通信中使用会话标识符。身份提供者110从辅助实体116接收会话标识符，并且作为响应发送如7〇4所示的认证上下文以及如705所示的随机数。再次，辅助实体116可以执行各种动作来验证认证上下文。例如，如果认证上下文包括主实体104的位置信息，则可以在辅助实体II6处显示位置信息，使得用户可以验证认证上下文中的位置信息实际上与主实体104的位置相对应。如果可以在辅助实体116处正确地验证认证上下文，则认证上下文和随机数被签名，并且签名的认证和随机数从辅助实体116被发送回身份提供者11〇，如706所示。身份提供者110可以使用标准密码技术来验证签名。附加地或备选地，身份提供者11〇可以验证在7〇4处从身份提供者110发送的认证上下文与在706处在身份提供者11〇处接收回的认证上下文相匹配。在备选或另外的实施例中，密码、生物识别、一次性代码或其他凭证可以在辅助实体116处被输入并且被返回到身份提供者11〇。认证可以在身份提供者110处验证。在任何所示示例中，如果所有验证都通过，身份提供者110然后可以向主实体104提供适当的令牌，如707所示，使得主实体104可以参与和身份提供者110的安全连接。[0040]现在参考图8,示出了又一示例实施例。在这个示例中，主实体1〇4向身份提供者110发送如801所示的请求。在该特定示例中，辅助实体1丨6可能已经预先向身份提供者110进行注册，以在主实体104与身份提供者之间执行各种动作时接收警报。因此，在这个示例中，如802和803所示，作为辅助实体II6预先向身份提供者11〇注册以在主实体1〇4尝试请求与身份提供者110的安全连接时接收通知的结果，认证上下文和随机数被自动发送给辅助实体116。一旦辅助实体116接收到随机数和认证上下文，辅助实体116就可以执行如上所示并且在下面的另外的示例中）的各种验证动作以验证认证上下文。一旦验证了认证上下文，认证上下文和随机数可以由辅助实体II6签名，并且签名的认证上下文和随机数可以被发送给身份提供者110，如804所示。身份提供者11〇可以使用标准加密技术验证签名。附加地或备选地，身份提供者11〇可以验证在⑻2处从身份提供者发送的认证上下文与在804处在身份提供者110处接收回的认证上下文相匹配。在备选或另外的实施例中，密码、生物识另Ij、一次性代码或者其他凭证可以在辅助实体116处被输入并且被返回到身份提供者110。认证可以在身份提供者110处被验证。在任何所示示例中，身份提供者110然后向主实体104提供如805所示的适当的令牌，以允许主实体104参与和身份提供者110的安全连接。实施例也可以用于保护第二认证因素。例如，在图8中，在8〇1处示出的初始请求可以包括第一凭证中间人攻击者可以拦截的凭证。然而，如果建立会话需要两个凭证，则认证上下文可以是可以以上述方式保护的第二凭证。[0041]现在示出各种细节。例如，各种不同的信息可以单独使用或一起使用作为认证上下文。特别地，认证上下文通常可以是与主实体1〇4与身份提供者110之间的安全会话相关的信息。例如，认证上下文可以是主实体104的位置信息。这样的位置信息可以基于主实体104的IP地址。在备选的示例中，认证上下文信息可以只是主实体1〇4的IP地址。在又一备选的示例中，认证上下文可以是关于主实体104的信息，诸如主实体1〇4的设备类型或在认证期间传输并且可以通过检查主实体1〇4来验证的一些其他区别特征。在又一备选的示例中，认证上下文可以是认证过程流状态信息。例如，认证上下文可以包括指示用户尝试执行什么动作的信息。例如，认证上下文可以指示用户正在尝试登录到特定的电子商务网站或者其他网站。认证上下文甚至可以具有更精细的粒度，诸如指示用户将要购买特定产品或者用户正在请求某个其他资产。在一些实施例中，由身份提供者110提供的令牌可能仅适用于在认证上下文中指示的动作。因此，例如，如果用户确认认证上下文正在用于从特定零售商购买特定书籍，则恶意个人将不能使用所发出的令牌从不同零售商购买不同书籍。[0042]可以由辅助实体116使用各种验证动作来验证认证上下文。例如，在一些实施例中，辅助实体116可以向用户显示认证上下文并且接收确认认证上下文是准确的用户输入。在备选的示例中，辅助实体116可以接收认证上下文并且将认证上下文与已知信息进行比较。例如，辅助实体116可以从身份提供者110接收指示主实体1〇4具有特定IP地址的认证上下文。另外，在与主实体104的普通通信中，辅助实体116可以直接从主实体104接收IP信息。辅助实体116可以自动地比较直接从主实体104接收的IP地址和被包含在认证上下文中的IP地址以确定它们是否在某个预定标准内相匹配。如果从主实体104接收的IP地址与认证上下文中的IP地址相匹配，则辅助实体116可以允许认证继续进行，而如果直接从主实体104接收的IP地址与从身份提供者110接收的认证上下文中的IP地址不匹配，则可以停止认证。[0043]在其他示例中，身份提供者110可以从主实体104或辅助实体116接收认证上下文，诸如IP地址，但是可以在认证上下文之外接收可以声明的IP地址，声明的IP地址可以被比较以确定中间人攻击者是否有可能尝试劫持主实体104与身份提供者110之间的安全连接。[0044]以下讨论现在涉及可以执行的很多方法和方法动作。虽然方法动作可以按特定顺序讨论或在流程图中示出为以特定顺序发生，但除非特别说明或因为动作取决于另一动作在该动作执行之前完成而要求的，否则不需要特定排序。[0045]现在参考图9,示出了方法900。方法900可以在计算环境中被实践。方法900包括用于使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的动作。方法包括从声称是第一用户实体的实体接收会话请求动作902。例如，图1示出了由身份提供者110从主实体104接收请求108。在图3所示的备选的示例中，身份提供者110从声称是主实体104的中间人攻击者106接收请求108’。[0046]方法900还包括发送来自请求的认证上下文，并且其中请求的认证上下文到达第二用户实体动作904。例如，如图1所示，认证上下文114被发送给主实体104,主实体104然后将认证上下文114发送给辅助实体116。在图2所示的备选示例中，认证上下文被直接发送给辅助实体116。[0047]方法900还包括接收认证上下文已经被验证的指示动作906。例如，如图4所示，认证上下文由辅助实体116签名，并且签名的认证上下文被传递给主实体1〇4,主实体104然后将签名的认证上下文传递回身份提供者110。在图6所示的备选的示例中，认证上下文在辅助实体116处被签名，并且签名的认证上下文从辅助实体116被直接传递给身份提供者110〇[0048]作为结果，方法900还包括认证第一用户实体与身份提供者之间的安全会话或者批准安全事务动作9〇8。例如，图5、6、7和8中的每个示出了令牌从身份提供者110传递回主实体104,主实体104和身份提供者110可以在建立和维护安全会话时使用该令牌。建立安全连接和或验证认证上下文的一部分可以包括身份提供者验证认证上下文和上下文已经验证的指示都未被第一实体或中间人篡改。例如，身份提供者110可以验证由身份提供者110发送的认证上下文与在身份提供者处接收回的签名的认证上下文相匹配。[0049]可以实践方法9〇〇,其中认证上下文包括第一用户实体的位置。例如，如图1所示，主实体104的位置可以被显示在辅助实体116的屏幕上，以允许用户102验证主实体104的位置。可以基于从主实体104向身份提供者110发送的IP地址来确定主实体1〇4的位置，其中身份提供者然后可以使用IP地址来确定主实体104的位置。[0050]可以实践方法900，其中认证上下文包括第一用户实体的]；p地址。例如，如图丄所示，辅助实体116可以显示主实体104的IP地址。然后，用户1〇2可以验证主实体1〇4的IP地址与由辅助实体116显示的IP地址相匹配。[0051]可以实践方法900,其中认证上下文包括关于第一用户实体与身份提供者之间的认证的过程流信息。例如，如图1所示，认证上下文114可以包括主实体104到身份提供者110的认证目的的指示。例如，主实体104可能正在尝试完成使用身份提供者110从电子商务站点购买产品。辅助实体116可以向用户102显示指示，认证上下文104指示主实体104与身份提供者110之间的会话正在尝试完成。然后，用户102可以验证他们确实正在尝试执行在辅助实体116处显示的认证上下文114中指示的动作。[0052]可以实践方法900,其中请求的认证上下文到达第二用户实体，以通过由身份提供者直接发送给第二用户实体来在第二用户实体处进行验证。例如，图7和8示出了其中认证上下文被直接发送给辅助实体116的示例。[0053]可以实践方法900的一些这样的实施例，其中作为第二用户实体订阅接收通知的结果，作为接收到会话的请求的结果，认证上下文被自动发送给第二用户实体。例如，主实体104和辅助实体116可以向身份提供者110订阅。当在身份提供者110处从主实体104接收到请求时，身份提供者110可以自动发送辅助实体116的认证上下文。[0054]可以实践方法900,其中通过由身份提供者直接发送给第一用户实体并且然后第一用户实体将认证上下文发送给第二用户实体，请求的认证上下文到达第二用户实体以在第二用户实体处被验证。例如，图5和6示出了其中在主实体104处接收认证上下文并且然后将认证上下文从主实体104发送给辅助实体116的示例。主实体104可以使用各种功能，诸如近场通信、显示QR代码、无线连接、网络连接、向用户提供数据使得用户可以将数据输入到辅助实体116中等，以将认证上下文从主实体104发送给辅助实体116。[0055]可以实践方法900,其中接收在第二用户实体处己经验证认证上下文的指示包括接收由第二用户实体签名的认证上下文。例如，图5、6、7和8示出了由辅助实体lie签名认证上下文并且签名的认证上下文被返回到身份提供者no的情况。[0056]可以实践方法900,其中通过接收指示认证上下文有效的用户输入来在第二用户实体处验证认证上下文。例如，可以在辅助实体116处显示认证上下文，使得用户1〇2可以验证认证上下文关于主实体104是有效的。例如，用户102可以使用辅助实体116来指示被显示为认证上下文的位置对于主实体104是正确的，被显示为认证上下文的IP地址对于主实体104是正确的，或者在认证上下文中指示的金融事务与用户1〇2正在尝试执行的金融事务相一致。[0057]可以实践方法900,其中认证第一用户实体与身份提供者之间的安全会话或者批准安全事务包括从身份提供者向第一用户实体发送一个或多个令牌。例如，图5、6、7和S示出了从身份提供者110向主实体104递送的令牌。[0058]现在参考图10，示出了方法1000。该方法可以在计算环境中被实践。该方法包括用于使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的动作。注意，实体可以是设备、虚拟设备、应用等。[0059]方法]_〇〇〇包括用户使用第一实体请求与身份提供者110的安全会话，其中请求与第一实体的认证上下文相关联动作1002。例如，如图1所示，用户1〇2可以使用主实体1〇4向身份提供者110发送请求主实体104与身份提供者n〇之间的安全会话的请求108。认证上下文114例如可以是位置、IP地址、与主实体104相对应的设备类型、主实体104的用户代理、尝试使用安全会话来执行的动作等。[0060]方法1000还包括用户从第二实体接收第一实体的认证上下文动作1004。例如，用户102可以通过查看辅助设备116上的认证上下文来接收认证上下文114。[0061]方法1000还包括用户根据某个预定标准确认来自第一实体和第二实体的认证上下文相匹配动作1006。例如，用户1〇2可以与辅助实体116交互以验证所显示的认证上下文114。[0062]可以实践方法1〇〇〇,其中第二实体从第一实体接收第一实体的认证上下文。例如，作为认证上下文从身份提供者110直接发送给主实体104的结果，用户102可以在主实体104上查看认证上下文114。备选地，作为认证上下文被发送给辅助实体116并且然后被发送给主实体104的结果，用户102可以在主实体104处接收认证上下文114。[0063]可以实践方法1000，其中第二实体从身份提供者110接收认证上下文。例如，辅助实体113可以从身份提供者接收认证上下文114,诸如在图7所示的示例中。[0064]可以实践方法1000，其中认证上下文由第二实体签名。例如，辅助实体116可以对认证上下文进行签名，如各附图中所示。[0065]可以实践方法1000，其中由第二实体使用近场通信、蓝牙、扫描QR代码、Wi-Fi、对等连接、ZigBee、网络连接等中的一个或多个来接收认证上下文。[0066]可以实践方法1000，其中通过建立的通知信道、SMS消息传递、安全认证连接等中的一个或多个来从身份提供者110向第二实体接收认证上下文。[0067]此外，该方法可以由包括一个或多个处理器和诸如计算机存储器等计算机可读介质的计算机系统来实践。特别地，计算机存储器可以存储在由一个或多个处理器执行时引起诸如在实施例中记载的动作等各种功能被执行的计算机可执行指令。[0068]本发明的实施例可以包括或利用包括计算机硬件的专用或通用计算机，如下面更详细地讨论的。在本发明的范围内的实施例还包括用于携带或存储计算机可执行指令和或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可以由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此，作为示例而非限制，本发明的实施例可以包括至少两种截然不同的计算机可读介质:物理计算机可读存储介质和传输计算机可读介质。[0069]物理计算机可读存储介质包括1?他、1?^4£?1?^、〇0-1?01；[或其他光盘存储器诸如CD、DVD等）、磁盘存储器或其他磁存储设备、或者可以用于以计算机可执行指令或数据结构的形式存储期望的程序代码装置并且可以由通用或专用计算机访问的任何其他介质。[0070]“网络”被定义为能够在计算机系统和或模块和或其他电子设备之间传输电子数据的一个或多个数据链路。当通过网络或其他通信连接硬连线、无线或硬连线或无线的组合）向计算机传输或提供信息时，计算机将连接正确地视为传输介质。传输介质可以包括可用于以计算机可执行指令或数据结构的形式携带期望的程序代码装置并且可以由通用或专用计算机访问的网络和或数据链路。上述的组合也被包括在计算机可读介质的范围内。[0071]此外，在到达各种计算机系统组件时，计算机可执行指令或数据结构形式的程序代码装置可以自动地从传输计算机可读介质传输到物理计算机可读存储介质反之亦然）。例如，通过网络或数据链路接收的计算机可执行指令或数据结构可以被缓冲在网络接口模块例如，“NIC”）内的RAM中，并且然后最终被传送到计算机系统RAM和或计算机系统中的更少易失性计算机可读物理存储介质。因此，计算机可读物理存储介质可以被包括在也或甚至主要利用传输介质的计算机系统组件中。[0072]计算机可执行指令包括例如引起通用计算机、专用计算机或专用处理设备执行特定功能或功能组的指令和数据。计算机可执行指令可以是例如二进制文件、诸如汇编语言等中间格式指令、或甚至是源代码。尽管用结构特征和或方法动作特定的语言描述了本主题，但是应当理解，所附权利要求书中定义的主题不必限于以上描述的特征或动作。相反，所描述的特征和动作被公开作为实现权利要求的示例形式。[0073]本领域技术人员将理解，本发明可以在具有很多类型的计算机系统配置的网络计算环境中被实践，包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器或可编程的消费电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等。本发明还可以在分布式系统环境中被实践，在分布式系统环境中，通过网络链接通过硬连线数据链路、无线数据链路或通过硬连线和无线数据链路的组合的本地和远程计算机系统都执行任务。在分布式系统环境中，程序模块可以位于本地和远程存储器存储设备两者中。[0074]备选地或另外地，可以至少部分地由一个或多个硬件逻辑组件执行本文中所描述的功能。例如而非限制，可以使用的说明性类型的硬件逻辑组件包括现场可编程门阵列FPGA、程序特定的集成电路ASIC、程序特定的标准产品ASSP、片上系统SOC、复杂可编程逻辑器件CPLD等。[0075]在不脱离本发明的精神或特征的情况下，可以以其他特定形式实施本发明。所描述的实施例在所有方面都应当被视为仅是说明性的而非限制性的。因此，本发明的范围由所附权利要求而不是前面的说明书来指示。在权利要求的含义和等同范围内的所有变化都包含在其范围内。

权利要求：1.一种系统，包括：一个或多个处理器；以及一个或多个计算机可读介质，其具有存储在其上的指令，所述指令由所述一个或多个处理器可执行以将所述计算机系统配置为使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话，所述指令包括可执行以将所述计算机系统配置为至少执行以下各项的指令：从声称是所述第一用户实体的实体接收对于会话的请求；发送来自所述请求的认证上下文，并且其中针对所述请求的所述认证上下文到达所述第二用户实体，以在使用所述第二用户实体对所述认证上下文的验证中被使用；接收所述认证上下文已经被验证的指示；以及作为结果，认证第一用户实体与身份提供者之间的安全会话或者批准安全事务。2.根据权利要求1所述的系统，其中所述认证上下文包括所述第一用户实体的位置。3.根据权利要求1所述的系统，其中所述认证上下文包括以下至少一项:针对所述第一用户实体的IP地址、或关于所述第一用户实体与所述身份提供者之间的认证的过程流信肩、。4.一种在计算环境中使用第二用户实体来认证第一用户实体与身份提供者之间的安全会话的方法，所述方法包括：从声称是所述第一用户实体的实体接收对于会话的请求；发送来自所述请求的认证上下文，并且其中针对所述请求的所述认证上下文到达所述第二用户实体，以在使用所述第二用户实体对所述认证上下文的验证中被使用；接收所述认证上下文已经在所述第二用户实体处被验证的指示；以及作为结果，认证第一用户实体与身份提供者之间的安全会话或者批准安全事务。5.根据权利要求4所述的方法，其中所述认证上下文包括所述第一用户实体的位置。6.根据权利要求4所述的方法，其中所述认证上下文包括针对所述第一用户实体的IP地址。7.根据权利要求4所述的方法，其中所述认证上下文包括关于所述第一用户实体与所述身份提供者之间的认证的过程流信息。8.根据权利要求4所述的方法，其中针对所述请求的所述认证上下文通过由所述身份提供者直接发送到所述第二用户实体而到达所述第二用户实体。9.根据权利要求8所述的方法，其中作为所述第二用户实体订阅接收通知的结果，作为接收到针对会话的所述请求的结果，所述认证上下文被自动发送到所述第二用户实体。10.根据权利要求4所述的方法，其中针对所述请求的所述认证上下文通过由所述身份提供者直接发送到所述第一用户实体而到达所述第二用户实体，所述第一用户实体然后向所述第二用户实体发送所述认证上下文。11.根据权利要求4所述的方法，还包括接收由所述第二用户实体签名的所述认证上下文。12.根据权利要求4所述的方法，其中通过接收到指示所述认证上下文有效的用户输入，所述认证上下文已经在所述第二用户实体处被验证。13.根据权利要求4所述的方法，还包括通过将被发送到所述第二用户实体的所述认证上下文与从所述第二用户实体接收到的认证上下文进行比较来验证所述认证上下文。

百度查询： 微软技术许可有限责任公司 保护远程认证

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD