[发明专利]经由与第二设备的通信对第一设备的基于用户认证的批准

说明书

描述了经由通过信道（例如，不安全信道）的与第二设备的通信对第一设备的基于用户认证的批准。所述第一设备从身份提供器接收会话ID和第一用户可观察的信息或者其标识符，向用户呈现所述第一用户可观察的信息，以及向所述第二设备发送所述会话ID。所述第二设备向所述身份提供器发送所述会话ID以便从其获得第二用户可观察的信息或者其标识符和安全性挑战。所述第二用户可观察的信息与所述第一用户可观察的信息具有用户可辨别的关系，并且被所述第二设备呈现给所述用户。所述第二设备能够至少基于从所述用户接收的输入生成用于向所述身份提供器传送的对所述安全性挑战的响应，对所述安全性挑战的所述响应指示所述第一设备对于批准的适合性。

背景技术

术语“用户认证”可以指在为用户或者与用户相关联的设备提供对一个或多个资源的访问之前通过其对用户的身份进行确认的过程。例如，一种常见的用于在提供与特定账户相关联的服务之前对用户进行认证的方法是要求用户输入已被账户的拥有者使之与账户相关联的密码。也可以要求用户提供账户自身的标识符（ID）（有时被称为“用户ID”）。因此，理论上，仅账户的拥有者知道用户ID和密码两者，可以认为提供这些凭证足以对用户进行认证。

在经由互联网执行用户认证时，经常要求用户将这样的凭证输入在启用了互联网的设备上运行的web浏览器或者其它应用的图形用户界面（GUI）中。GUI通常被渲染到与设备相关联的富显示器（例如，被连接到计算机的监视器、膝上型计算机或者智能电话的显示器、被连接到游戏控制台的电视机等）。取决于被用于执行用户认证的设备，用户可以使用诸如是键盘、触摸屏、游戏控制器等这样的输入设备输入凭证。

具有无线联网能力的可穿戴计算设备现在正变得越来越流行。这些设备例如包括诸如是Google的GLASS^TM这样的头戴式计算设备、诸如是Apple的APPLE WATCH^TM这样的智能手表以及诸如是Microsoft的MICROSOFT BAND^TM和Fitbit的FITBIT®活动跟踪设备这样的个人健身设备。在为可穿戴设备提供代表用户对资源的访问之前对用户进行认证以确保他或者她是特定的可穿戴设备的实际拥有者可以认为是必要或者期望的。然而，由于它们的小形状因素，许多可穿戴计算设备在显示能力和用户输入能力两方面上具有非常有限的用户接口。出于此原因，使用诸如是上面描述的方法那样的其中将用户凭证输入到被渲染到富显示器上的GUI中的传统方法经由这些设备进行用户认证可能是困难或者甚至不可能的。关于嵌入式计算设备，类似的问题可能出现，所述嵌入式计算设备诸如是被用于实施物联网（IoT）的那些。这些嵌入式计算设备中的许多嵌入式计算设备不包括富显示器和/或对于使用户能够以前述方式输入用户凭证来说必要的用户输入能力。

在一些场景中，用户可以拥有这样的设备，该设备出于用户认证的目的可以充当该用户的凭证。例如，设备可以被配置为自动地代表用户接收安全性挑战并且作出响应。在这样的场景中，用户可能不具有密码或者其它的基于用户输入的凭证，因为设备满足对于凭证的需求。如果是这样，则对于用户来说可能不存在对该用户希望经由其获得对资源的访问的另一个设备进行认证的方法。

发明内容

在本文中描述了经由与第二设备的通信促进对第一设备的基于用户认证的批准的系统、方法和计算机程序产品。根据实施例，所述第一设备从身份提供器接收会话ID和第一用户可观察的信息或者其标识符。所述第一设备向用户呈现所述第一用户可观察的信息。所述第一设备还通过信道向所述第二设备发送所述会话ID，所述信道可以包括不安全信道。所述第二设备向所述身份提供器发送所述会话ID以从其获得第二用户可观察的信息或者其标识符和安全性挑战。所述第二用户可观察的信息与所述第一用户可观察的信息具有用户可辨别的关系，并且被所述第二设备呈现给所述用户。所述第二设备进一步能够至少基于由所述第二设备从所述用户接收的输入生成用于向所述身份提供器传送的对所述安全性挑战的响应。对所述安全性挑战的所述响应指示所述第一设备对于由所述身份提供器进行的基于用户认证的批准的适合性。