[发明专利]用于实施多因素认证的系统和方法

说明书

背景技术

在数字化时代，组织机构越来越依赖计算资源来管理数据以及提供内部和外部服务。出于多种安全、保密、行政和/或管理的目的，这些组织机构可能希望控制对其企业环境内的资源的访问。

传统的企业内访问控制系统已使用单因素认证系统(诸如用户名和密码登录系统)来建立用户身份。遗憾的是，各种安全威胁的激增可能使单因素认证系统易受攻击而失效。因此，一些组织机构可能希望在其企业内采用多因素认证来建立用户身份。

遗憾的是，组织机构在试图将传统的二级因素认证服务整合到它们的企业中时可能面临显著的困难。例如，一些传统的二级因素认证服务可能需要组织机构购买用于在企业内实施二级因素认证的全部基础结构并将二级因素认证服务作为企业应用程序安装和管理。在其他例子中，二级因素认证服务供应商可能需要组织机构通过将敏感数据同步至二级因素认证服务供应商或通过打开企业防火墙并允许第三方应用程序从企业外部访问敏感数据来提供针对企业的对敏感身份数据的访问。这些各种传统方法可能将大量的成本和/或安全漏洞强加于组织机构。因此，本公开识别并解决了对用于实施多因素认证的另外且改善的系统和方法的需要。

发明内容

如将在下文更详细地描述，本公开整体涉及通过在一个域中调用一种认证服务并尝试在另一个域中使用另一种认证服务来实施多因素认证的系统和方法。在一个例子中，用于实施多因素认证的计算机实现的方法可以包括1)作为二级认证系统的一部分，接收来自客户端系统的认证请求，2)响应于接收到认证请求，将客户端系统重定向为首先用初级认证系统执行第一认证，3)接收来自客户端系统的证明第一认证已成功的第一认证的断言，以及4)响应于接收到第一认证的断言，用客户端系统执行第二认证。

在一些例子中，接收认证请求可以包括接收由被配置为通过二级认证系统对客户端系统进行认证的访问管理器发起的认证请求。在这些例子中，访问管理器可以在拦截到来自客户端系统的对受保护资源的请求时发起认证请求。另外，在这些例子中，初级认证系统和访问管理器两者可安装在单个企业网络内并在其中工作。此外，在这些例子中，二级认证系统可包括被配置为在单个企业网络外工作的服务器。

此外，计算机实现的方法还可以包括在执行第二认证之后用第二认证的断言将客户端系统重定向至访问管理器。在这个例子中，访问管理器可被配置为在接收到第二认证的断言之后授权客户端系统访问受保护资源。

在一些实施例中，初级认证系统可以接收来自客户端系统的认证凭据并用第一认证的断言将客户端系统重定向至二级认证系统。

在一个例子中，执行第二认证可以包括1)从第一认证的断言中检索用户识别信息，以及2)通过使用所述用户识别信息而不是从客户端系统请求用户识别信息来执行第二认证。

在一个实施例中，用于实施上述方法的系统可以包括1)接收模块，其被编程为作为二级认证系统的一部分接收来自客户端系统的认证请求，2)重定向模块，其被编程为响应于接收到认证请求而将客户端系统重定向为首先用初级认证系统执行第一认证，3)断言模块，其被编程为接收来自客户端系统的证明第一认证已成功的第一认证的断言，以及4)认证模块，其被编程为响应于接收到第一认证的断言而用客户端系统执行第二认证。该系统还可以包括至少一个处理器，该处理器被配置为执行接收模块、重定向模块、断言模块和认证模块。

在一些例子中，上述方法可被编码为计算机可读存储介质上的计算机可读指令。例如，计算机可读存储介质可以包括一个或多个计算机可执行指令，所述指令当被计算设备的至少一个处理器执行时，可以使计算设备：1)作为二级认证系统的一部分接收来自客户端系统的认证请求，2)响应于接收到认证请求而将客户端系统重定向为首先用初级认证系统执行第一认证，3)接收来自客户端系统的证明第一认证已成功的第一认证的断言，以及4)响应于接收到第一认证的断言而用客户端系统执行第二认证。

如下文将更详细地阐释，通过在一个域中调用一种认证服务并尝试在另一个域中使用另一种认证服务，本文所述的系统和方法可以允许在已实施单因素认证的企业内实施多因素认证，而无需从企业清除与原来的单因素认证系统相关的控制和/或敏感数据。另外，这些系统和方法可以允许添加二级认证因素，而无需昂贵和复杂的基础结构变更和维护。例如，这些系统和方法可以允许简单地通过重新配置企业内的第一因素认证系统以接受和信任来自第二因素认证系统的认证请求来添加二级认证因素。另外，这些系统和方法可以在不向外部系统开放对敏感企业认证数据的访问并从而不潜在地造成安全漏洞的情况下允许将二级认证因素添加至企业的单因素认证系统。