[发明专利]控制访问

说明书

技术领域

本发明涉及控制对设备中的账户的访问。

背景技术

背景技术的以下描述可以包括领悟、发现、理解或公开内容，或者连同对在本发明之前的相关技术而言未知但由本发明提供的公开内容一起的关联。本发明的一些这样的贡献可以在下文中具体指出，而本发明的其它这样的贡献将从它们的上下文中显而易见。

计算机、其它计算设备、计算机系统和通信系统支持至少两种不同类型的账户——用户账户和管理员账户，并且它们中的一些还支持在本文中称为维护服务账户的类型。用户账户允许由系统或设备提供的不同服务的使用，比如通过因特网提供的在线服务之类，以及使用不同的应用，比如文字处理或绘图应用等。管理员账户（还称为根管理员账户）允许使用与用户账户相同的服务和改变系统信息（比如系统的配置信息、修改由用户账户提供的用户访问权限、新应用的加载等）的可能几乎不受限的权限。创建了维护服务账户以用于下述情形：其中，一个厂商的设备被用在若干不同系统中，并且厂商或系统所有者的经授权的维护人员需要获取至少改变设备的维护相关信息的权限，但应当仅获取对设备所属系统的特定权限。例如，借助于维护服务账户，可以启用针对设备的调试功能性，可以配置设备的安全功能和敏感数据，可以发起针对设备的恢复过程，可以发起重激活由于设备的操作错误而禁用的用户账户的解锁功能。维护服务账户还可以是由设备施行的特定应用的一部分。

涉及维护服务账户的一般挑战是：尤其当厂商的设备被安装在若干系统中时，如何使属于用于维护服务的经授权的组的每个人能够访问任何个体系统中的这样的设备的维护服务账户且能够最小化不属于经授权的组的人员获取对维护服务账户的访问的风险。例如，如果使用默认口令并且不属于经授权的组的某人发现了它们，则他/她可以获取对经授权的组的服务账户的访问。换言之，挑战是如何应对下述情况：属于经授权的组的许多用户（人员）并且仅用户被认证/授权以能够访问具有用于经授权的组的服务账户的所有设备。

发明内容

本发明的目的是提供用于应对上述挑战的安全访问机制。本发明的该目的通过由独立权利要求中陈述的内容表征的方法、设备、系统和计算机程序产品而实现。在从属权利要求中公开本发明的优选实施例。

一个方面提供了解决方案，其中，具有账户的设备响应于访问所述账户的请求，创建获取用于所述账户的签名访问启用数据的挑战，接收签名数据，证实签名的接收数据有效，且如果证实有效成功则实现对账户的访问。

附图说明

在下文中，将参照附图更加详细地描述实施例，在附图中：

图1示出具有示例性设备的示意框图的示例性系统的简化架构；

图2至4是图示设备的示例性功能性的流程图；以及

图5和6是图示示例性信息交换的图表。

具体实施方式

以下实施例是示例性的。尽管说明书可能在若干位置中引用“一”、“一个”或“一些”实施例，但是这不一定意味着每个这样的引用是对相同的（一个或多个）实施例，亦或特征仅适用于单个实施例。不同实施例的单个特征还可以被组合以提供其它实施例。

本发明适用于支持数字签名服务的原理的任何系统和设备。该系统可以是无线系统或利用固定连接和无线连接二者的系统或固定系统。该系统可以是包括一个或多个网络的通信系统或计算机系统或服务器系统。不同系统的规范（尤其是当利用无线通信时）以及针对数字签名服务的要求和所使用的算法发展迅速。这样的发展可以要求对实施例的额外改变。因此，所有词语和表述应当被宽泛地解释，并且它们旨在说明而非限制实施例。