[发明专利]用于实施多因素认证的系统和方法

权利要求书

1.一种用于实施多因素认证的计算机实现的方法，所述方法的至少一部分可由包括至少一个处理器的计算设备来执行，所述方法包括：

作为二级认证系统的一部分接收来自客户端系统的认证请求用于所述二级认证系统利用所述客户端系统执行第二认证以认证用户身份；

响应于所述二级认证系统接收到所述认证请求，在所述二级认证系统利用所述客户端系统执行所述第二认证以认证所述用户身份之前，将所述客户端系统重定向为首先用初级认证系统执行第一认证以认证所述用户身份，其中在缺少所述二级认证系统的情况下，所述初级认证系统作为依赖于初级认证因素的独立的单因素认证系统操作；

接收来自所述客户端系统的证明利用所述初级认证系统的所述第一认证已成功的所述第一认证的断言；

通过响应于接收到所述第一认证的所述断言，作为所述二级认证系统的一部分，用所述客户端系统执行所述第二认证，通过将二级认证因素添加到由所述初级认证系统提供的单因素认证，实施多因素认证。

2.根据权利要求1所述的计算机实现的方法，其中接收所述认证请求包括接收由访问管理器发起的认证请求，所述访问管理器被配置为通过所述二级认证系统对所述客户端系统进行认证。

3.根据权利要求2所述的计算机实现的方法，其中所述访问管理器在拦截到来自所述客户端系统的对受保护资源的请求时发起所述认证请求。

4.根据权利要求2所述的计算机实现的方法，其中所述初级认证系统和所述访问管理器两者安装在单个企业网络内并在其中工作。

5.根据权利要求4所述的计算机实现的方法，其中所述二级认证系统包括被配置为在所述单个企业网络外操作的服务。

6.根据权利要求2所述的计算机实现的方法，还包括在执行所述第二认证之后用所述第二认证的断言将所述客户端系统重定向至所述访问管理器。

7.根据权利要求6所述的计算机实现的方法，其中所述访问管理器被配置为在接收到所述第二认证的所述断言之后授权所述客户端系统访问受保护资源。

8.根据权利要求1所述的计算机实现的方法，其中执行所述第二认证包括：

从所述第一认证的所述断言中检索用户识别信息；

通过使用所述用户识别信息而不是从所述客户端系统请求所述用户识别信息来执行所述第二认证。

9.根据权利要求1所述的计算机实现的方法，其中所述初级认证系统接收来自所述客户端系统的认证凭据，并用所述第一认证的所述断言将所述客户端系统重定向至所述二级认证系统。

10.一种用于实施多因素认证的系统，所述系统包括：

接收模块，所述接收模块被编程为作为二级认证系统的一部分接收来自客户端系统的认证请求用于所述二级认证系统利用所述客户端系统执行第二认证以认证用户身份；

重定向模块，所述重定向模块被编程为响应于所述二级认证系统接收到所述认证请求，在所述二级认证系统利用所述客户端系统执行所述第二认证以认证所述用户身份之前，将所述客户端系统重定向为首先用初级认证系统执行第一认证以认证所述用户身份，其中在缺少所述二级认证系统的情况下，所述初级认证系统作为依赖于初级认证因素的独立的单因素认证系统操作；

断言模块，所述断言模块被编程为接收来自所述客户端系统的证明利用所述初级认证系统的所述第一认证已成功的所述第一认证的断言；

认证模块，所述认证模块被编程为通过响应于接收到所述第一认证的所述断言，作为所述二级认证系统的一部分，用所述客户端系统执行所述第二认证，通过将二级认证因素添加到由所述初级认证系统提供的单因素认证，实施多因素认证；

至少一个处理器，所述处理器被配置为执行所述接收模块、所述重定向模块、所述断言模块和所述认证模块。

11.根据权利要求10所述的系统，其中所述接收模块被配置为通过接收由访问管理器发起的认证请求来接收所述认证请求，所述访问管理器被配置为通过所述二级认证系统对所述客户端系统进行认证。

12.根据权利要求11所述的系统，其中所述访问管理器在拦截到来自所述客户端系统的对受保护资源的请求时发起所述认证请求。

13.根据权利要求11所述的系统，其中所述初级认证系统和所述访问管理器两者安装在单个企业网络内并在其中工作。