[发明专利]经由使用多个单独安全因素的移动设备对接入计算机资源的用户进行认证的方法和系统

说明书

1.引言

本申请涉及一种使用便携式安全令牌(例如，非接触智能卡或手环)连同用户可轻易记住的密钥(例如，PIN码)将用户认证到经由移动设备接入的计算机资源的方法和系统。该密钥提供了附加的、单独的更优的独立安全因素，该安全因素可以在即使便携式安全令牌和移动设备都丢失或被盗的情况下保护计算机资源。一个优选实施例涉及提供对经由使用近场通信(NFC)硬件令牌或短距离蓝牙令牌的移动设备(如手机或平板计算机)接入的应用和存储数据的数据保护和安全接入。

在两种不同的情况下，经由移动设备对用户进行安全认证正变得越来越重要，第一种情况是在移动设备上对接入计算机资源的用户的认证，第二种情况是在远程服务器上对接入计算机资源的用户的认证。

大多数的现有系统使用简单的密码或PIN来认证用户。虽然基于密码的系统非常普遍，但该种系统存在很多问题。理想的密码需要可被用户轻易的记住。但是，为了保证密码的安全，密码应该长并且难以预测，正与之前的需求相反。用户典型使用的大量应用导致的密码激增使得这种情况进一步恶化，密码激增是因为安全最佳做法推荐使用不同的密码。

除了接入应用，一些移动用户希望保证他们设备上的数据(包括文件或数据结构中包含的整个文件和数据)的高安全水平，以提防大量的外部威胁场景。例如，用户可能使用平板计算机或其他便携式设备中的应用，而平板计算机或其他便携式设备经由在线存储服务(如，Dropbox,Box.com(一种商标))与台式计算机进行文件同步。一些下载的文件包含机密的信息，如商业文档。用户希望保护自己免受设备被盗而导致数据外泄的可能性。

如今实现此目的实际做法是使得能够在移动操作系统上实现设备加密，即使用从设备锁屏密码衍生出的加密密钥。为了最大的安全性，该密码应该长而复杂。然而，使用长而复杂的密码作为解锁锁屏的密码对于用户来说极为不便利。

正因如此，大多数用户不情愿使用比4位数PIN码更复杂的任意密码来解锁锁屏。熟练的攻击者能够通过使用暴力攻击方法解密被盗设备中存储的任何文件。并且，当设备已经被解锁时机密数据可随时被解密，甚至在用户不使用数据的时候，这增加了不必要的数据外泄的风险。

另一种可能的数据加密方法为由应用生成其自身的加密密钥。该方法的问题在于密钥或者为了安全性需由密码进行保护或衍生出来，或者为了使用性需要以明文格式存储在应用中。前一种方法继承了之前设备加密方法中的相同的密码复杂性问题，然而，后一种方法在可威胁明文数据的攻击者轻易的读取明文密钥和解密数据时只能提供很少的安全性。一种向移动设备的用户提供附加安全性等级的方法为要求用户也可以携带使用无线通信系统(如蓝牙或低功率蓝牙(BLE)与设备通信的可穿戴物理令牌。移动设备持续的检测令牌是否出现。当令牌出现在距移动设备几米的范围内时，令牌持续的验证用户的确出现了。当用户离开令牌并且设备失去联系，设备为了保证自身安全而提防任何的接入，直到重新获取与令牌的通信。

该系统的一个示例在2006年11月的IEEETransactionsonMobileComputing期刊的第5卷第11期中由作者Nicholson，Corner和Noble所著的文章名为“MobileDeviceSecurityUsingTransientAuthentication”中被描述。该系统存在很多缺点。令牌与移动设备间基于广播的通信信道受令牌和设备近距离范围内的攻击者的窃听的制约。

虽然被加密，但鉴于令牌和设备间发生的大量短暂的认证事件，为攻击者提供了很多对认证信息进行密码分析破译的机会以及甚至无需尝试密码分析破译攻击而进行业务(traffic)分析的机会。

偷盗移动设备并且仍处于设备拥有者穿戴的安全令牌的范围内的窃贼能够接入到设备上的资源。移动设备的被盗以及令牌一起致使安全系统变得无用。

在一些其他已有系统中，已经通过要求具有NFC或蓝牙功能的移动电话在应用被执行之前首先被认证到移动网络来提供附加的安全等级。NFC/蓝牙令牌随后向电话提供非对称密钥，电话转而通过在其内部执行数字签名而认证到第三方服务。

US-A-2011/0212707中示出了该种系统的一般性示例。但是该系统表现出了很多缺点。特别地，应用凭证变更需要对令牌重新编程或替换；由系统保护的用户凭证的数量受限于令牌的(小)存储能力；令牌的遗失造成了用户凭证暴露的直接风险。除此之外，只有在安全系统已被特殊编程的情况下，在移动设备和服务器上运行的应用才有能力利用该安全系统。所描述的系统不可以被之前已有应用使用。