申请/专利权人：微软技术许可有限责任公司

申请日：2018-03-01

公开（公告）日：2022-11-25

公开（公告）号：CN110383869B

主分类号：H04W12/04

分类号：H04W12/04;H04W12/06;H04L9/40

优先权：["20170309 US 15/454,836"]

专利状态码：有效-授权

法律状态：2022.11.25#授权;2019.11.19#实质审查的生效;2019.10.25#公开

摘要：从客户端设备接收输入，并且该输入指示期望添加用于安全操作的设备200。生成伪像，并且生成表示伪像的快速响应QR码210。将QR码发送到客户端设备，其中要添加的设备可以在此处读取该QR码220，因此可以使用伪像来执行安全操作。

主权项：1.一种计算系统，包括：快速响应QR码生成逻辑，其接收登记指示并且生成表示伪像的QR码，其中所述登记指示用于指示来自客户端计算系统的、用于登记用户设备以在所述计算系统上执行安全操作的登记请求；通信系统，其将所述QR码传送到所述客户端计算系统；以及设备认证器逻辑，其检测来自所述用户设备的、用于执行所述安全操作的请求，所述请求包括所述伪像，所述设备认证器逻辑基于所述伪像来认证所述用户设备以执行所述安全操作。

全文数据：用于安全配置用户设备以执行安全操作的快速响应QR码背景技术目前正在广泛使用计算系统。一些计算机系统托管可由各个租户的客户端设备访问的服务。这样的计算系统允许某些用户例如，开发人员、工程师等等仅在他们已经安全地向系统进行了认证时才能执行动作。为此，这样的计算系统通常包括某种类型的认证服务。在允许用户采取只能由具有适当安全保证的用户采取的动作之前，认证服务通过客户端计算设备或者用户的移动设备与用户进行交互以认证用户。在这样的场景中，用户通常想要使用多个不同的设备来访问托管的计算系统并且采取安全动作。但是，为了使用户添加新设备，这通常意味着用户必须经历相对耗时且麻烦的过程。例如，这样的过程通常意味着认证服务在已经登记的设备上向用户发送较长的密码。然后，用户负责将该较长的密码重新输入到用户希望添加或登记的设备中。在这样做时，用户在密码输入过程中出错是常见的，这可能意味着用户必须开始整个过程。如果用户失败了阈值次数，则这可能意味着用户会被锁定或被阻止进一步尝试，而不经历另一个相对耗时且麻烦的过程。仅仅为了一般的背景信息而提供以上的讨论，其并不旨在用于帮助确定要求保护的主题的范围。发明内容从客户端设备接收输入，并且该输入指示期望添加用于安全操作的设备。生成伪像artifact，并且生成表示所述伪像的快速响应QR码。将QR码发送到客户端设备，要添加的设备可以在此处读取该QR码，因此可以使用所述伪像来执行安全操作。提供本概括部分以便用简化的形式介绍将在以下的详细描述中进一步描述的概念选择。本概括部分并不是旨在标识本发明的关键特征或本质特征，也不是用于帮助限制本发明的保护范围。本发明的主题并不限于用于解决在背景技术中所陈述的任何或所有缺点的实现。附图说明图1是计算系统环境的一个例子的框图。图2是更详细地示出快速响应QR码处理逻辑的一个例子的框图。图3是示出图1中所示的架构在生成用于在客户端设备上显示的QR码时的操作的一个例子的流程图。图4是示出图1中所示的架构在与移动设备执行安全操作时的操作的一个例子的流程图，其中该移动设备使用QR码进行登记。图5是示出部署在云计算架构中的图1中所示的架构的一个例子的框图。图6到图8显示了可以在先前附图中所示的架构中使用的移动设备的例子。图9是示出可以在先前附图中使用的架构里使用的计算环境的一个例子的框图。具体实施方式图1是计算系统架构100的一个例子的框图。在图1所示的例子中，架构100包括数据中心计算系统102、客户端设备104和移动设备106。计算系统102、客户端设备104和移动设备106可以通过一个或多个网络108彼此通信地耦合。网络108可以包括广域网、局域网、蜂窝网络、近场通信网络、或各种其它网络、或网络的组合。图1还示出了：在一个例子中，客户端设备104生成用于用户112的交互的一个或多个用户界面110。用户界面110可以示例性地包括能够由用户112致动以便控制和操纵客户端设备104和数据中心计算系统102的一些部分的用户输入控件。类似地，图1示出了移动设备106示例性地生成用于用户112的交互的一个或多个用户界面114，其中这些用户界面114可以包括用户输入控件。用户112示例性地与用户界面114上的用户输入控件进行交互以便控制和操纵移动设备106和数据中心计算系统102的至少一些部分。数据中心计算系统102示例性地包括一个或多个联网计算机和计算机存储设备，各种租户例如，企业或组织可以使用它们来存储和处理数据。数据中心102可以包括租户能够用于访问、处理和存储其数据的应用和服务、以及存储设备。因此，例如，数据中心计算系统102示例性地包括一个或多个处理器或服务器116、一个或多个数据存储118、通信系统120、认证服务122，并且它可以包括能够用于运行应用程序、执行服务例如，托管服务或其它服务、执行数据存储、组织和传播等等各种其它事物的各种各样的其它数据中心功能124。在图1所示的例子中，认证服务122示例性地包括快速响应QR码生成逻辑126，其本身包括证书生成器128、散列机构130，并且它可以包括其它项132。认证服务122还可以示例性地包括设备认证器逻辑134、双因素认证逻辑136和其它项138。在图1所示出的例子中，双因素认证逻辑136示例性地包括值生成器140、值验证器142、安全设备识别器144，并且它可以包括其它项146。客户端设备104可以包括客户端计算系统148。客户端计算系统148可以包括一个或多个处理器或服务器150、数据存储152、通信系统154、本地认证系统156、用户界面逻辑158，并且它可以包括各种各样的其它客户端功能160。移动设备106示例性地包括图像捕获机构162、QR码处理逻辑164、一个或多个处理器166、数据存储168其可以包括QR码伪像170和各种其它项172、用户界面逻辑174、通信系统176、本地认证系统178，并且它可以包括各种各样的其它移动设备功能180。本地认证系统178本身可以包括生物识别逻辑182、个人识别码PIN逻辑184，并且它可以包括其它项186。在更详细地描述架构100的整体操作之前，首先将提供架构100中的一些项以及其操作的简要概述。数据中心计算系统102中的通信系统120可以包括能够与其它数据中心计算系统、与一个或多个客户端设备104以及与一个或多个移动设备106通信的一个或多个系统。认证服务122示例性地允许用户112添加或登记新设备例如，移动设备106，使得用户112可以使用该设备例如，移动设备106在数据中心计算系统102上执行安全操作。客户端计算系统148上的本地认证系统156示例性地允许用户112登录，并且向客户端计算系统148验证他或她自己。例如，这可以使用生物识别信息、使用个人识别码PIN或使用其它项来完成。通信系统154示例性地允许客户端设备104与数据中心计算系统102和移动设备106进行通信。用户界面逻辑158通过其自身或者在另一项的控制下，示例性地生成用户界面110并且检测用户与这些界面的交互。移动设备106上的图像捕获机构162可以包括相机、QR码扫描仪或者可以用于捕获QR码的其它硬件或软件项。QR码处理逻辑164示例性地处理所捕获的QR码图像以识别QR码伪像170并且将它们存储在数据存储168中。逻辑164还示例性地将这些伪像添加到从移动设备106发送到数据中心计算系统102的消息中，其中那些消息包括用于执行安全动作或操作的请求。用户界面逻辑174本身或者在另一项的控制下，示例性地生成用户界面114，并且检测用户与这些界面的交互。通信系统176可以是蜂窝通信系统，也可以是允许移动设备106与数据中心计算系统102和客户端设备104通信的任何其它通信系统或系统。本地认证系统178还示例性地包括生物识别逻辑182和PIN逻辑184，使得用户112可以使用生物信息或PIN信息等等向移动设备106认证他或她自己。作为在加载或登记移动设备106以用于执行安全操作的架构100的整体操作的简要描述，用户112示例性地首先通过客户端计算系统148提供输入，该输入被发送到认证服务122，并且指示用户112希望加载新设备。通过加载，意味着用户112在数据中心计算系统102上执行安全操作时将能够使用该新设备。响应于该请求，QR码生成逻辑使用证书生成器128和散列机构130来生成以QR码表示的伪像。然后将QR码发送回客户端计算系统148，在客户端计算系统148中将其示例性地显示在用户界面110上。然后，用户112使用移动设备106上的图像捕获机构162来捕获QR码的图像，并且QR码处理逻辑164识别由QR码生成逻辑126生成并且通过QR码表示的QR码伪像170。稍后，当用户112使用移动设备106在数据中心计算系统102上请求安全操作时，用户112首先使用本地认证系统178向移动设备106认证他或她自己，然后提供用户输入以生成执行安全操作的请求。在将该请求发送到数据中心计算系统102之前，QR码处理逻辑164将QR码伪像170添加到该请求。设备认证器逻辑134识别该请求中的QR码伪像170，并且向数据中心计算系统102认证移动设备106，使得数据中心计算系统102可以执行用于执行安全操作的请求。也可以使用QR码伪像来执行双因素认证。为此，用户112示例性地从客户端计算系统148生成用于执行需要双因素认证的动作的请求。在该情况下，值生成器140生成双因素认证值，并且安全设备识别器144将移动设备106识别为安全地登记以供用户112使用并且与之相关。可以通过在数据存储118中访问用于标识已登记设备以及其对应用户的登记数据来实现此目的。然后，逻辑136向移动设备106发送该值。用户界面逻辑174显示该值，使得用户112可以将其输入到用户界面110上的用户输入机构中，并且将该值发送回认证服务。值验证器142示例性地验证用户112输入的值是否实际上是由值生成器140生成并且发送到移动设备106的值，以便可以验证双因素认证。图2是示出QR码处理逻辑164的一个例子的更详细框图。在图2所示的例子中，逻辑164示例性地包括伪像提取逻辑190、数据存储交互逻辑192、伪像获取逻辑194、请求生成器逻辑196，并且它可以包括各种其它项198。一旦图像捕获机构162捕获QR码，伪像提取逻辑190就示例性地从QR码中提取QR码伪像170。数据存储交互逻辑192示例性地将这些QR码伪像170存储在数据存储168中，并且当用户生成在数据中心计算系统102上执行安全动作的请求时，伪像获取逻辑194获取QR码伪像170。在使用通信系统176如图1中所示将QR码伪像170发送到数据中心计算系统102之前，请求生成器逻辑196将QR码伪像170添加到用于执行安全操作的请求中。图3是是示出计算系统架构100在登记移动设备106以在数据中心计算系统102上执行安全操作时的操作的一个例子的流程图。认证服务122首先检测添加用于安全操作的设备例如，移动设备106的用户输入。这通过图2的流程图中的框200指示。在一个例子中，用户112首先使用本地认证系统156向客户端计算系统148认证他或她自己。这通过框202来指示。例如，这可以使用生物识别数据、使用PIN数据或者利用其它方式来完成。用户使用客户端设备104上的客户端计算系统148，以使用用户数据中心凭证登录数据中心102。这通过框204来指示。然后，用户112通过用户界面110和客户端计算系统148向认证服务122提供输入，指示用户112希望登记设备106以执行安全操作。这通过框206来指示。也可以以其它方式完成检测添加用于安全操作的设备的用户输入，并且这通过框208来指示。然后，QR码生成逻辑126生成要由QR码表示的安全伪像。这通过框210来指示。例如，在一个例子中，证书生成器128针对用户112生成有限生命周期证书，以作为伪像之一。这通过框212来指示。QR码生成逻辑126还生成用户密码的复制。这通过框214来指示。例如，在一个例子中，散列机构130应用散列算法以基于用户密码生成散列值。生成由QR码表示的安全伪像也可以以其它方式来完成，并且这通过框216来指示。然后，QR码生成逻辑126生成表示伪像的QR码。这由方框218来指示。在一个例子中，例如，QR码生成逻辑126可以包括QR码生成算法，其将伪像作为输入并且生成表示这些伪像的QR码。这也可以通过其它方式来完成。然后，认证服务122使用通信系统120将QR码发送到客户端设备104。这通过图3的流程图中的框220来指示。然后，客户端计算系统148上的通信系统154使用用户界面逻辑158，在用户界面110上向用户112显示QR码。这通过方框222来指示。图4是示出一旦将QR码发送到客户端设备104并且在用户界面110上显示，在完成移动设备106的登记时，架构100的操作的流程图。图4还示出了架构100在使用移动设备106一旦其进行了登记执行一个或多个不同安全操作时的操作。用户112首先通过一个或多个用户界面114并且使用本地认证系统178向移动设备106认证他或她自己。这通过图4的流程图中的框230来指示。同样，这可以使用生物识别信息232、使用PIN信息234或者以其它方式236来完成。然后，用户112操作移动设备106，使得图像捕获机构162读取在客户端设备104上显示的QR码。这通过图4的流程图中的框238来指示。然后，在移动设备106上的QR码处理逻辑164中的伪像提取逻辑190提取利用QR码表示并且由QR码生成逻辑126如图1中所示生成的QR码安全伪像170。这通过图4的流程图中的框240来指示。然后，数据存储交互逻辑192与数据存储168进行交互以存储QR码安全伪像170，以便稍后在执行安全操作时使用。这通过框242来指示。然后，假设用户112希望使用移动设备106来生成在数据中心计算系统102内执行安全操作的请求。因此，用户112通过一个或多个用户界面114在移动设备106上提供输入以生成执行安全操作的请求。这通过框244来指示。然后，请求生成器逻辑196基于这些用户输入来生成数据中心请求。这通过框246来指示。伪像获取逻辑194从数据存储168中获取QR码安全伪像170，并且将它们提供给请求生成器逻辑196，使得伪像可以与数据中心请求包括在一起。这通过框248来指示。然后，通信系统176将数据中心请求其包括QR码安全伪像从移动设备106发送到数据中心计算系统102。这通过框250来指示。设备认证器逻辑134接收该请求，并且提取QR码安全伪像170，并且验证移动设备106已被用户112有效地登记以执行安全操作。因此，授权数据中心功能124执行该数据中心请求中请求的安全操作，这是因为对移动设备106进行了适当地认证。这通过框252来指示。在另一个安全操作中，当用户112希望在数据中心计算系统102上执行需要双因素认证的操作时，使用移动设备106来执行双因素认证。认证服务122首先检测从客户端设备104输入的针对安全动作的数据中心请求，其中该安全动作将具有多因素认证。在本例子中，将假设多因素认证是要通过移动设备106执行的双因素认证。在图4的流程图中的框254里，指示检测需要多因素认证的数据中心请求。然后，安全设备识别器144识别已经由用户112登记以执行多因素认证的安全设备作为移动设备106。这通过框255来指示。然后，值生成器140生成要使用通信系统120发送到登记的移动设备的值。该值可以是各种不同类型的值，例如一次性、时间限制密码、或者其它值。这通过图4的流程图中的框256来指示。如果用户112尚未这样做，则用户112使用本地认证系统178向移动设备106认证他或她自己。这通过图4的流程图中的框258来指示。一旦发生这种情况，用户界面逻辑174示例性地在移动设备106的用户界面114上显示由值生成器140生成的值。这通过图4的流程图中的框260来指示。然后，用户112在客户端设备104处的用户界面110上输入所显示的值，以进行认证。这通过框262来指示。然后，客户端设备104上的通信系统154将该值发送到数据中心计算系统102处的双因素认证逻辑136中的值验证器142。这通过框263来指示。值验证器142验证该值是由值生成器140生成的相同值，并且使用它来验证客户端设备104要在数据中心计算系统102处采取所请求的安全动作。这通过图4的流程图中的框264来指示。因此可以看出，所给出的讨论内容提供了一种机制，通过该机制，能够以需要更少用户参与的方式并且以增加整个登记过程的准确性的方式，登记新设备来执行安全操作。这不仅通过提高准确性和减少与认证服务的往返次数来改进计算系统本身，而且还在不损害安全性的情况下极大地增强执行这种登记的用户体验。应当注意，上面的讨论描述了各种不同的系统、组件和或逻辑。应当理解的是，这样的系统、组件和或逻辑可以包括用于执行与这些系统、组件和或逻辑相关联的功能的硬件项例如，处理器和相关联存储器、或者其它处理组件，其中一些将在下面进行描述。另外，这些系统、组件和或逻辑可以包括加载到存储器中并且随后由处理器或服务器或其它计算组件执行的软件，如下面所描述的。这些系统、组件和或逻辑还可以包括硬件、软件、固件等等的不同组合，下面将描述其一些例子。这些仅是可以用于形成上面所描述的系统、组件和或逻辑的不同结构的一些例子。也可以使用其它结构。所给出的讨论提及了处理器和服务器。在一个实施例中，处理器和服务器包括具有相关联的存储器和定时电路未单独示出的计算机处理器。这些处理器和服务器是它们所属的系统或设备的功能部分，并且由这些系统中的其它组件或项目的功能进行激活并且促进这些其它组件或项目的功能。此外，已经讨论了多个用户界面显示。它们可以采用各种不同的形式，并且可以具有布置在其上的各种不同的用户可致动输入控件。例如，用户可致动输入控件可以是文本框、复选框、图标、链接、下拉菜单、搜索框等等。它们也可以以各种不同的方式进行致动。例如，可以使用点击设备例如，跟踪球或鼠标来致动它们。可以使用硬件按钮、开关、操纵杆或键盘、拇指开关或拇指垫等等来致动它们。也可以使用虚拟键盘或其它虚拟致动器来致动它们。另外，在显示它们的屏幕是触摸敏感屏幕的情况下，可以使用触摸手势来致动它们。而且，在显示它们的设备具有语音识别组件的情况下，可以使用语音命令来致动它们。还讨论了多种数据存储。应当注意到，它们可以分成多个数据存储。所有数据存储对于访问它们的系统来说都可以是本地的，所有数据存储都可以是远程的，或者一些可以是本地的，而另一些是远程的。本文考虑了所有这些配置。此外，附图示出了具有归于每个块的功能的多个块。应当注意，可以使用更少的块，因此通过更少的组件来执行功能。此外，可以使用更多块，其中将功能分布在更多组件中。图5是图1中所示的架构100的框图，除了其元件布置在云计算架构500中之外。云计算提供不需要终端用户知道传送服务的系统的物理位置或配置的计算、软件、数据访问和存储服务。在各种实施例中，云计算使用适当的协议，在诸如互联网的广域网上传送服务。例如，云计算提供商通过广域网来提供应用，并且可以通过web浏览器或任何其它计算组件来访问它们。架构100的软件或组件以及相应的数据可以存储在远程位置的服务器上。云计算环境中的计算资源可以在远程数据中心位置合并，或者可以分散。云计算基础架构可以通过共享数据中心提供服务，即使它们呈现为用户的单一访问点。因此，可以使用云计算架构，从远程位置的服务提供商提供本文所描述的组件和功能。替代地，它们也可以从传统服务器提供，或者它们可以直接地或以其它方式安装在客户端设备上。本文的描述旨在包括公共云计算和私有云计算。云计算公共和私有提供了大量无缝的资源池，以及减少了管理和配置底层硬件基础架构的需求。公共云由供应商管理，并且通常使用相同的基础设施支持多个消费者。此外，与私有云相反，公共云可以释放最终用户管理硬件。私有云可能由组织本身进行管理，并且通常不与其它组织共享基础设施。组织仍在某种程度上维护硬件，例如进行安装和维修等等。在图5所示的例子中，一些项类似于图1中所示的项，故对它们进行了类似地编号。图5具体示出了数据中心计算系统102可以位于云502中其中云502可以是公共的、私有的，或者其中一些部分是公共的而其它部分是私有的组合。因此，用户112使用客户端设备104和移动设备106，通过云502访问那些系统。图5还描绘了云架构的另一个例子。图5示出了还预期数据中心计算系统102的一些元件可以布置在云502中，而其它元件不布置在云502中。举例来说，数据存储118可以布置在云502之外，并且可以通过云502进行访问。在另一个例子中，认证服务122可以在云502之外。无论它们位于何处，设备104和106都可以通过网络广域网或局域网直接访问它们，它们可以通过服务在远程站点处托管，或者它们可以通过云来提供为服务，或者由驻留在云中的连接服务进行访问。本文考虑了所有这些架构。还应当注意，架构100或者其一些部分可以布置在各种不同的设备上。这些设备中的一些包括服务器、桌面型计算机、膝上型计算机、平板计算机、或者诸如掌上计算机、蜂窝电话、智能电话、多媒体播放器、个人数字助理等等之类的其它移动设备。图6是可以用作用户或客户端的手持设备16的手持或移动计算设备的一个说明性示例的简化框图，其中本文给出的系统或其一些部分可以部署在该手持设备16中。图7到图8是手持或移动设备的例子。图6提供了客户端设备16的组件的总体框图，该客户端设备16可以运行数据中心计算系统102、客户端设备104和或移动设备106的组件或者与架构100进行交互或两者。在设备16中，提供通信链路13，通信链路13允许手持设备与其它计算设备通信，并且在一些实施例中，提供用于自动接收信息的信道例如，通过扫描。通信链路13的例子包括红外端口、串行USB端口、诸如以太网端口之类的有线网络端口、以及允许通过一种或多种通信协议进行通信的无线网络端口，其中所述一种或多种通信协议包括通用分组无线电服务GPRS、LTE、HSPA、HSPA+和其它3G和4G无线电协议、1Xrtt和短消息服务它们是用于提供对网络的蜂窝接入的无线服务、以及Wi-Fi协议和蓝牙协议它们提供对网络的本地无线连接。在其它例子中，在连接到SD卡接口15的可移动安全数字SD卡上接收应用程序或系统。SD卡接口15和通信链路13沿着总线19与处理器17处理器17也可以体现为前面附图中的任何处理器或服务器进行通信，其中总线19也连接到存储器21和输入输出IO组件23、以及时钟25和定位系统27。在一个实施例中，提供IO组件23以便有助于实现输入和输出操作。用于设备16的各种实施例的IO组件23可以包括诸如按钮、触摸传感器、多点触摸传感器、光学或视频传感器、语音传感器、触摸屏、接近传感器、麦克风、倾斜传感器和重力开关之类的输入组件，以及诸如显示设备、扬声器和或打印机端口之类的输出组件。也可以使用其它IO组件23。时钟25示例性地包括输出时间和日期的实时时钟组件。它还可以示例性地为处理器17提供定时功能。定位系统27示例性地包括用于输出设备16的当前地理位置的组件。例如，这可以包括全球定位系统GPS接收器、LORAN系统、航位推算系统、蜂窝三角测量系统或者其它定位系统。它还可以包括例如生成所需地图、导航路线和其它地理功能的地图软件或导航软件。存储器21存储操作系统29、网络设置31、应用程序33、应用程序配置设置35、数据存储37、通信驱动程序39和通信配置设置41。存储器21可以包括所有类型的有形易失性和非易失性计算机可读存储设备。它还可以包括计算机存储介质如下所述。存储器21存储计算机可读指令，当该计算机可读指令由处理器17执行时，使处理器根据指令执行计算机实现的步骤或功能。类似地，设备16可以具有客户端系统24，客户端系统24可以运行各种商业应用程序或体现客户端设备104的一部分或全部。处理器17可以由其它组件进行激活以便有助于实现其功能。网络设置31的例子包括诸如代理信息、互联网连接信息和映射之类的事物。应用程序配置设置35包括为特定企业或用户定制应用程序的设置。通信配置设置41提供用于与其它计算机通信的参数，其包括诸如GPRS参数、SMS参数、连接用户名和密码之类的项。应用程序33可以是先前已经存储在设备16上的应用程序或者在使用期间安装的应用程序，但它们也可以是操作系统29的一部分，或者也可以在设备16外部托管。图7示出了设备16是平板计算机600的一个例子。在图7中，将计算机600示出为具有用户界面显示屏602。屏幕602可以是触摸屏因此来自用户手指的触摸手势可以用于与应用程序交互，也可以是从笔或触笔接收输入的笔使能界面。它也可以使用屏幕上的虚拟键盘。当然，它也可以通过适当的连接机制例如，无线链接或USB端口连接到键盘或其它用户输入设备。计算机600也可以示例性地接收语音输入。图8示出了该设备可以是智能电话71。智能电话71具有显示图标或图块或其它用户输入控件75的触摸敏感显示器73。用户可以使用控件75来运行应用程序、拨打呼叫、执行数据传输操作等等。通常，智能电话71建立在移动操作系统上，并且提供比功能电话更高级的计算能力和连接性。应当注意，其它形式的设备16也是可能的。图9是可以部署架构100或其一部分例如的计算环境的一个例子。参见图9，用于实现一些实施例的示例性系统包括计算机810形式的通用计算设备。计算机810的组件可以包括但不限于处理单元820其可以包括来自先前附图的处理器或服务器、系统存储器830、以及将包括系统存储器的各种系统组件耦合到处理单元820的系统总线821。系统总线821可以是几种类型的总线结构中的任何一种，其包括存储器总线或存储器控制器、外围总线、以及使用各种总线架构的本地总线。举例而言而非做出限制，这样的架构包括工业标准架构ISA总线、微通道架构MCA总线、增强型ISAEISA总线、视频电子标准协会VESA本地总线和外围组件互连PCI总线其也称为Mezzanine夹层总线。关于图1描述的存储器和程序可以部署在图9的相应部分中。计算机810通常包括各种计算机可读介质。计算机可读介质可以是能够由计算机810访问的任何可用介质，其包括易失性和非易失性介质、可移动和不可移动的介质。举例而言而非做出限制，计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质不同于并且不包括调制的数据信号或载波。计算机存储介质包括硬件存储介质，其包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据之类的信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储技术、CD-ROM、数字通用光盘DVD或其它光盘存储器、盒式磁带、磁带、磁盘存储器或其它磁存储设备、或者可以用于存储期望信息并且可由计算机810存取的任何其它介质。通信介质通常在传输机制中包含计算机可读指令、数据结构、程序模块或其它数据，并且包括任何信息传递介质。术语“调制的数据信号”是指以对信号中的信息进行编码的方式设置或改变其一个或多个特征的信号。举例而言而非做出限制，通信介质包括诸如有线网络或直接有线连接之类的有线介质以及诸如声学、RF、红外和其它无线介质之类的无线介质。上述的任何组合也应当包括在计算机可读介质的范围内。系统存储器830包括易失性和或非易失性存储器形式的计算机存储介质，例如只读存储器ROM831和随机存取存储器RAM832。包含有助于在计算机810内的元件之间传送信息例如，在启动期间的基本例程的基本输入输出系统833BIOS，通常存储在ROM831中。RAM832通常包含处理单元820可立即访问和或由这些处理单元820当前正在操作的数据和或程序模块。举例而言而非做出限制，图9示出了操作系统834、应用程序835、其它程序模块836和程序数据837。计算机810还可以包括其它可移动不可移动的易失性非易失性计算机存储介质。仅作为示例，图9示出了从不可移动的非易失性磁介质读取或写入的硬盘驱动器841、以及从诸如CDROM或其它光学介质之类的可移动非易失性光盘856读取或写入的光盘驱动器855。可以在示例性操作环境中使用的其它可移动不可移动、易失性非易失性计算机存储介质包括但不限于：盒式磁带、闪存卡、数字通用光盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器841通常通过诸如接口840之类的不可移除存储器接口连接到系统总线821，光盘驱动器855通常通过可移动存储器接口例如，接口850连接到系统总线821。替代地或另外地，本文所描述的功能可以至少部分地由一个或多个硬件逻辑组件执行。例如但不限于，可以使用的示例性类型的硬件逻辑组件包括现场可编程门阵列FPGA、程序专用集成电路ASIC、程序专用标准产品ASSP、系统级片上系统SOC、复杂可编程逻辑器件CPLD等等。上面讨论并在图9中示出的驱动器及其相关联的计算机存储介质，提供了计算机可读指令、数据结构、程序模块和用于计算机810的其它数据的存储。在图9中，例如，将硬盘驱动器841示出为存储操作系统844、应用程序845、其它程序模块846和程序数据847。应当注意，这些组件可以与操作系统834、应用程序835、其它程序模块836和程序数据837相同或不同。这里，向操作系统844、应用程序845、其它程序模块846和程序数据847给出不同的数字，以说明它们至少是不同的副本。用户可以通过诸如键盘862、麦克风863之类的输入设备和诸如鼠标、跟踪球或触摸板之类的指向设备861，将命令和信息输入到计算机810中。其它输入设备没有示出可以包括操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等等。这些和其它输入设备通常通过耦合到系统总线的用户输入接口860连接到处理单元820，但也可以通过诸如并行端口、游戏端口或通用串行总线USB之类的其它接口和总线结构进行连接。视觉显示器891或其它类型的显示设备也经由诸如视频接口890之类的接口连接到系统总线821。除了监视器之外，计算机还可以包括通过输出外围接口895连接的其它外围输出设备，例如扬声器897和打印机896。使用到一个或多个远程计算机例如，远程计算机880的逻辑连接，在联网环境中操作计算机810。远程计算机880可以是个人计算机、手持设备、服务器、路由器、网络PC、对等设备或其它公共网络节点，并且通常包括上面相对于计算机810描述的许多或所有元件。图9中描绘的逻辑连接包括局域网LAN871和广域网WAN873，但也可以包括其它网络。这种网络环境在办公室、企业范围的计算机网络、内联网和互联网中是常见的。当在LAN网络环境中使用时，计算机810通过网络接口或适配器870连接到LAN871。当在WAN网络环境中使用时，计算机810通常包括调制解调器872或者用于通过WAN873例如，互联网建立通信的其它单元。调制解调器872可以是内置的或外置的，可以通过用户输入接口860或其它适当的机制连接到系统总线821。在联网环境中，相对于计算机810或者其一部分描述的程序模块可以存储在远程存储器存储设备中。举例而言而非做出限制，图9将远程应用程序885示出为驻留在远程计算机880上。应当理解，所示出的网络连接是示例性的，可以使用在计算机之间建立通信链路的其它手段。还应当注意，可以以不同方式组合本文所描述的不同实施例。也就是说，一个或多个实施例的一部分可以与一个或多个其它实施例的一部分组合。所有这些都在本文中进行了考虑。示例1是一种计算系统，包括：快速响应QR码生成逻辑，其接收登记指示并且生成表示伪像的QR码，其中所述登记指示用于指示来自客户端计算系统的、用于登记用户设备以在所述计算系统上执行安全操作的登记请求；通信系统，其将所述QR码传送到所述客户端计算系统；以及设备认证器逻辑，其检测来自所述用户设备的、用于执行所述安全操作的请求，所述请求包括所述伪像，所述设备认证器逻辑基于所述伪像来认证所述用户设备以执行所述安全操作。示例2是任何或者所有先前示例所述的计算系统，其中，所述QR码生成逻辑包括：密码复制机构，其配置为生成用于所述用户的密码的表示，以作为所述伪像的至少一部分。示例3是任何或者所有先前示例所述的计算系统，其中，密码复制机构包括：散列机构，其配置为基于用于所述用户的所述密码来生成散列值，以作为所述伪像的所述部分。示例4是任何或者所有先前示例所述的计算系统，其中，所述QR码生成逻辑包括：证书生成器，其配置为针对所述用户生成有限生命周期证书，以作为所述伪像的另一个部分。示例5是任何或者所有先前示例所述的计算系统，其还包括：双因素认证逻辑，其配置为响应于所述计算系统从所述客户端计算系统接收到要针对其获得双因素认证的请求，向所述用户设备发送认证值。示例6是任何或者所有先前示例所述的计算系统，其中，所述双因素认证逻辑包括：值生成器，其配置为生成所述认证值，并且使用所述通信系统将所述认证值发送到所述用户设备。示例7是任何或者所有先前示例所述的计算系统，其中，所述双因素认证逻辑包括：安全设备识别器，其配置为将所述用户设备识别为与所述客户端计算系统的所述用户相对应的已登记设备。示例8是任何或者所有先前示例所述的计算系统，其中，所述双因素认证逻辑包括：值验证器，其配置为从所述客户端计算系统接收值，并且验证它是由所述值生成器生成的所述认证值。示例9是一种计算机实现的方法，包括：在计算系统处接收登记指示，其中所述登记指示用于指示来自客户端计算系统的、用于登记用户设备以在所述计算系统上执行安全操作的登记请求；生成表示伪像的快速响应QR码；将所述QR码传送到所述客户端计算系统；检测来自所述用户设备的、用于执行所述安全操作的请求，所述请求包括所述伪像；以及基于所述伪像来验证所述用户设备以执行所述安全操作。示例10是任何或者所有先前示例所述的计算机实现的方法，其还包括：基于所述请求在所述计算系统上执行所述安全操作。示例11是任何或者所有先前示例所述的计算机实现的方法，其中，生成QR码包括：生成用于所述用户的密码的表示，以作为所述伪像的至少一部分。示例12是任何或者所有先前示例所述的计算机实现的方法，其中，生成所述密码的所述表示包括：基于用于所述用户的所述密码来生成散列值，以作为所述伪像的所述部分。示例13是任何或者所有先前示例所述的计算机实现的方法，其中，生成QR码包括：针对所述用户生成有限生命周期证书，以作为所述伪像的另一个部分。示例14是任何或者所有先前示例所述的计算机实现的方法，其还包括：从所述客户端计算系统接收要针对其获得双因素认证的请求；以及响应于所述计算系统，向所述用户设备发送认证值。示例15是任何或者所有先前示例所述的计算机实现的方法，其中，发送认证值包括：生成所述认证值；以及使用通信系统将所述认证值发送到所述用户设备。示例16是任何或者所有先前示例所述的计算机实现的方法，其中，，发送认证值包括：将所述用户设备识别为与所述客户端计算系统的所述用户相对应的已登记设备。示例17是任何或者所有先前示例所述的计算机实现的方法，其还包括：从所述客户端计算系统接收值；以及验证所述接收的值是由所述值生成器生成的所述认证值。示例18是一种计算系统，包括：快速响应QR码生成逻辑，其接收登记指示，并且生成表示伪像的QR码，其中所述登记指示用于指示来自客户端计算系统的、用于登记用户设备以在所述计算系统上执行安全操作的登记请求；通信系统，其将所述QR码传送到所述客户端计算系统；设备认证器逻辑，其检测来自所述用户设备的、用于执行所述安全操作的请求，所述请求包括所述伪像，所述设备认证器逻辑基于所述伪像来认证所述用户设备以执行所述安全操作；以及计算系统功能逻辑，其基于对所述用户设备的认证来执行所述安全操作。示例19是任何或者所有先前示例所述的计算系统，其中，所述QR码生成逻辑包括：散列机构，其配置为基于用于所述用户的密码来生成散列值，以作为所述伪像的所述部分；以及证书生成器，其配置为针对所述用户生成有限生命周期证书，以作为所述伪像的另一个部分。示例20是任何或者所有先前示例所述的计算系统，其还包括：值生成器，其配置为生成所述认证值；安全设备识别器，其配置为将所述用户设备识别为与所述客户端计算系统的所述用户相对应的已登记设备，使用所述通信系统将所述认证值发送到所述用户设备；以及值验证器，其配置为从所述客户端计算系统接收值，并且验证所述接收的值是由所述值生成器生成的所述认证值。虽然利用特定于结构特征和或方法动作的语言来描述了本发明，但应当理解的是，所附权利要求书中规定的主题并不是必需限于上面所描述的这些特定特征或动作。相反，只是将上面所描述的特定特征和动作公开成实现本发明的示例性形式。

权利要求：1.一种计算系统，包括：快速响应QR码生成逻辑，其接收登记指示并且生成表示伪像的QR码，其中所述登记指示用于指示来自客户端计算系统的、用于登记用户设备以在所述计算系统上执行安全操作的登记请求；通信系统，其将所述QR码传送到所述客户端计算系统；以及设备认证器逻辑，其检测来自所述用户设备的、用于执行所述安全操作的请求，所述请求包括所述伪像，所述设备认证器逻辑基于所述伪像来认证所述用户设备以执行所述安全操作。2.根据权利要求1所述的计算系统，其中，所述QR码生成逻辑包括：密码复制机构，其配置为生成用于所述用户的密码的表示，以作为所述伪像的至少一部分。3.根据权利要求2所述的计算系统，其中，所述密码复制机构包括：散列机构，其配置为基于用于所述用户的所述密码来生成散列值，以作为所述伪像的所述部分。4.根据权利要求2所述的计算系统，其中，所述QR码生成逻辑包括：证书生成器，其配置为针对所述用户生成有限生命周期证书，以作为所述伪像的另一个部分。5.根据权利要求1所述的计算系统，还包括：双因素认证逻辑，其配置为响应于所述计算系统从所述客户端计算系统接收到要针对其获得双因素认证的请求，向所述用户设备发送认证值。6.根据权利要求5所述的计算系统，其中，所述双因素认证逻辑包括：值生成器，其配置为生成所述认证值，并且使用所述通信系统将所述认证值发送到所述用户设备。7.根据权利要求6所述的计算系统，其中，所述双因素认证逻辑包括：安全设备识别器，其配置为将所述用户设备识别为与所述客户端计算系统的所述用户相对应的已登记设备。8.根据权利要求7所述的计算系统，其中，所述双因素认证逻辑包括：值验证器，其配置为从所述客户端计算系统接收值，并且验证它是由所述值生成器生成的所述认证值。9.一种计算机实现的方法，包括：在计算系统处接收登记指示，其中所述登记指示用于指示来自客户端计算系统的、用于登记用户设备以在所述计算系统上执行安全操作的登记请求；生成表示伪像的快速响应QR码；将所述QR码传送到所述客户端计算系统；检测来自所述用户设备的、用于执行所述安全操作的请求，所述请求包括所述伪像；以及基于所述伪像来验证所述用户设备以执行所述安全操作。10.根据权利要求9所述的计算机实现的方法，还包括：基于所述请求在所述计算系统上执行所述安全操作。11.根据权利要求10所述的计算机实现的方法，其中，生成QR码包括：生成用于所述用户的密码的表示，以作为所述伪像的至少一部分。12.根据权利要求11所述的计算机实现的方法，其中，生成所述密码的所述表示包括：基于用于所述用户的所述密码来生成散列值，以作为所述伪像的所述部分。13.根据权利要求11所述的计算机实现的方法，其中，生成QR码包括：针对所述用户生成有限生命周期证书，以作为所述伪像的另一个部分。14.根据权利要求9所述的计算机实现的方法，还包括：从所述客户端计算系统接收要针对其获得双因素认证的请求；以及响应于所述计算系统，向所述用户设备发送认证值。15.一种计算系统，包括：快速响应QR码生成逻辑，其接收登记指示并且生成表示伪像的QR码，其中所述登记指示用于指示来自客户端计算系统的、用于登记用户设备以在所述计算系统上执行安全操作的登记请求；通信系统，其将所述QR码传送到所述客户端计算系统；设备认证器逻辑，其检测来自所述用户设备的、用于执行所述安全操作的请求，所述请求包括所述伪像，所述设备认证器逻辑基于所述伪像来认证所述用户设备以执行所述安全操作；以及计算系统功能逻辑，其基于对所述用户设备的认证来执行所述安全操作。

百度查询： 微软技术许可有限责任公司 用于安全配置用户设备以执行安全操作的快速响应(QR)码

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD