CN101669125A - 对用户进行认证的方法和系统 - Google Patents
对用户进行认证的方法和系统 Download PDFInfo
- Publication number
- CN101669125A CN101669125A CN200880013691A CN200880013691A CN101669125A CN 101669125 A CN101669125 A CN 101669125A CN 200880013691 A CN200880013691 A CN 200880013691A CN 200880013691 A CN200880013691 A CN 200880013691A CN 101669125 A CN101669125 A CN 101669125A
- Authority
- CN
- China
- Prior art keywords
- data
- certificate
- user
- memory medium
- handling system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3821—Electronic credentials
Abstract
本发明涉及一种对用户进行认证的系统和方法。移动存储介质(12)具有至少一个存储有用于识别该移动存储介质(12)的识别数据的存储区,在该存储区中或者该移动存储介质(12)的另外的存储区中存储有数字证书(14)的数据。进一步地,提供通过数据传输连接与该移动存储介质(12)建立连接的数据处理系统(18)。该识别数据和该数字证书(14)的数据从该移动存储介质发送至该数据处理系统(18)。该数据处理系统(18)处理该识别数据和该数字证书的数据,并对用户进行认证。
Description
本发明涉及一种在数据处理系统中对用户进行认证的方法和系统。尤其是,本发明用于在货币交易装置上对用户进行认证。在数据处理系统中,尤其是在作为货币交易装置的组成部分的数据处理系统中,不得不考虑很多安全性方法的问题,以确保未被授权的人不能对这些数据处理系统进行操作。特别是,应当可靠地阻止用户在未被授权的情况下从一移动存储介质向该数据处理系统,以及从该数据处理系统向一与其连接的移动存储介质传送数据,尤其是程序数据。
在货币交易装置中,出于安全性原因,最好是可以阻止未被授权的用户传输该种数据,以满足对保护数据的需求和防止篡改。尤其是,已知的货币交易装置可以是自助服务系统,其包括大量的电子组件。这些组件包含于,例如,取款单元,键盘,读写器卡中,以及其他外围设备中。这些单独的组件通过通讯接口和数据线与该货币交易装置的数据处理系统建立连接。每个这些组件处理和生成数据,尤其是操作协议,路经数据和错误信息。通常,这些数据存储在该数据处理系统的非易失性存储区中,尤其是存储在该数据处理系统的硬盘中。由于各种原因,这样在进一步的数据处理系统上,尤其是在位于该货币交易装置的制造商中心的数据处理系统上,处理和分析这些数据是有用的。对这些数据的分析,例如,可以在服务技术员的便携式电脑上借助相应的软件得以实现。如此,借助插拔式闪存,例如具有USB接口的闪存,所谓的USB记忆棒,从该货币交易装置的数据处理系统向进一步的数据处理系统,例如服务技术员的便携式电脑,传输数据是不可避免的。所以,有关的数据就被从该货币交易装置的数据处理系统中复制或者转移到该插拔式闪存的存储区内。然而,鉴于传统的数据处理系统,该种数据传送没有采取保护措施,使得每个进入到该货币交易装置的数据处理系统的操作者均可复制这些数据。据此,不能排除对这些数据的误用。进一步地,当将存储在插拔式闪存的存储区内的数据传送到该货币交易装置的数据处理系统中时,同样应当确保仅有被授权的用户才允许传送这种数据。当使用其它移动存储介质代替该插拔式闪存时存在同样的问题。为了在数据处理系统中授予更进一步的用户权限,则需要对用户进行可靠的认证,以授予该用户预置的用户权限。这些用户权限尤其是可以阻止能够改变该货币交易装置的与安全性相关的设置的,或者使得该货币交易装置以一些其它的方式进行操作和/或者能够影响该货币交易装置的安全操作的应用程序的执行。
本发明的目的是说明一种用于认证用户的系统和方法,通过该系统和方法,可以顺利地和可靠地对用户进行认证。
通过具有权利要求1所述技术特征的系统和具有权利要求18所述技术特征的方法实现该目的。在从属权利要求中给出本发明的有利扩展。
通过具有权利要求1所述技术特征的系统和具有权利要求18所述技术特征的方法,可以轻易地实现在数据处理系统中为操作者,如服务技术员,分配预置的用户权限,以及对该操作者作为该用户群的用户进行可靠的认证。据此,不会为未被授权的操作者提供尤其是与安全相关的操作功能。通过关联证书和为识别移动储存介质所设的识别码,用户认证与分配给该证书的移动存储介质的出现结合起来。这在用户认证中提供了相对较高的可靠性,使得有效阻止未被授权的用户进入与安全相关的功能。作为一种移动存储介质,可以使用普通的成本效益高的具有所需识别信息的移动存储介质,如USB记忆棒和/或者移动硬盘。因而,该移动存储介质无需具有执行管理数字证书,生成随机数以及伪随机数和加密随机数和数据的管理程序的控制器。所以,对于本发明,使用简单的成本效益高的存储有识别数据和证书的无控制器移动存储介质,如简单的大容量存储器,已经足够。
在本发明的一种扩展中,对用户进行识别和对已识别用户进行认证,在数据处理系统中为该用户和/或者为该用户所分至的用户群预置用户权限,通过对该用户进行认证为其激活用户权限。如此,用户的识别同样可以借助为识别移动存储介质所设的识别码和/或者借助存储在该移动存储介质的存储区内的数字证书进行确认。
优选地,该证书为属性证书,通过证书授权中心将作为属性使用的该认证码和/或者可以通过该数据处理系统的用户界面输入的一密码与一份证书关联。该属性证书优选地涉及属性或者,相应地,各种属性,以及涉及一种更进一步的证书。
进一步地,在该移动存储介质的存储区内存储作为一种识别码的制造商识别码和序列号识别码是有利的。该制造商识别码和序列号识别码优选地作为该证书的属性。
该证书优选地具有预定的有效期,该有效期届满,证书变为无效,并不再被该数据处理系统接受。可以通过该数据处理系统检验该证书的真实性以及该证书的有效期,在得到成功的检验之后,该用户被认证。由此,尤其是可以有效阻止因认证用户对该移动存储介质进行永久的误用。
借助该证书,可以证明该用户的不对称密钥对的公钥,据此,对可以通过该密钥对的私钥进行解密的数据进行加密。优选地,借助在发送前已得到证明的公钥对从该数据处理系统发送至该移动存储介质的数据进行加密。
在一种优选地实施方式中,该数据处理系统是货币交易装置的一部分,该货币交易装置优选地为存款机,取款机,现金回收机,自动现金保险箱,自动现金系统和/或者收银系统。
该移动存储介质优选地是外部硬盘和/或者外部闪存,该移动存储介质通过数据线并优选地通过标1准接口与该数据处理系统建立连接。该标准接口优选地是USB接口,该闪存优选地是存储卡和/或者插拔式USB存储器。由此,为了认证用户,可以使用具有足够大存储容量的移动存储介质,以存储从该数据处理系统发送至该移动存储介质的大量数据,以及用于从该移动存储介质向该数据处理系统发送大量数据。以该种方式,可以安全地传送用于对该操作系统和/或者该数据处理系统的应用软件进行系统更新的数据。
在本发明的另一优选的实施方式中,只有在认证用户成功之后,才可能从该数据处理系统向该移动存储介质发送数据和/或者进一步地从该移动存储介质向该数据处理系统发送数据。由此,如果没有进行用于允许各个数据传送的用户认证,则数据的传送将被禁止。由此,可以保证的是,未被授权的操作者不能从该数据处理系统向该移动存储介质发送与安全相关的数据,以及不能将不需要的数据,尤其是有害的程序代码,如病毒,从该移动存储介质发送至该数据处理系统。
可以在初始化过程中创建该证书,并将该证书存储在该移动存储介质的存储区内。优选地,该证书依照一种数字证书的标准进行创建,尤其是依照X.509标准。该X.509标准在本申请申请日时的可用版本为第三版。
优选地,在该移动存储介质的生产过程中,由制造商将移动存储介质的一个识别码或者,多个识别码以只读数据的形式存储在该移动存储介质的存储区内,以后不能对其进行更改。该证书同样可以在该种不能再被改变的存储区内以只读数据的形式进行存储或者,可选地,优选是将该证书存储在移动存储介质的可进一步重写的存储区内,该存储区是可重写的,可以在其内进一步地存储数据。在该种优选的实施方式中,其中,该证书的数据存储在该移动储存介质的可进一步重写的存储区内,由于现存的证书可以被擦除,并可以被新的证书替换,因此可以以简单的方式对该证书进行更新。
该属性证书可以通过数据处理系统授权用户执行至少一种应用程序。为此,尤其是该应用程序或者另外的程序模块可以检验发明的用户认证是否完成了相应的用户授权,和/或者当程序开始时,是否引起为授权而进行的用户认证。
通过本发明,只有在对操作者或者登陆的用户的授权检验结果是肯定的,才能激活和/或者执行应用软件的与安全相关的功能或者与安全相关的应用软件。总之,通过本发明增加对数据的保护程度和数据的安全性。
可以通过与所说明的对该认证用户的系统进行扩展的方式的相同方式,对认证用户的方法进行扩展,尤其是通过独立权利要求所述的技术特征进行扩展。
下面的内容可以说明本发明的进一步的技术特征和有益之处,参照所附的附图,在关于一种实施方式的更多细节中解释本发明。
图1示出了用于认证用户的组件的结构图;
图2示出了为用户在USB记忆棒上请求、创建和存储证书的流程;
图3示出了对存储在USB记忆棒上的证书进行校验的流程;
图1中说明了一种用于认证用户的系统的结构图,借助该系统,可以依靠存储在USB记忆棒12上的证书14,通过数据处理系统将服务技术员认证为“技术员”用户群的一个用户。该USB记忆棒12通过数据线16与该数据处理系统18的USB接口20建立连接。该数据处理系统18借助程序模块提供依据证书标准X.509的证书服务器22。该证书服务器22可以访问存储有多个证书25的非易失性存储区24,例如硬盘存储区。借助该多个证书25,可以检验存储在不同USB记忆棒中,USB硬盘或者其它USB移动存储介质中的不同的证书。尤其是,该非易失性存储区24包括至少一个与存储在USB记忆棒12中的证书14相关的证书25。
该服务技术员通过图形用户界面起动至少一种服务和业务应用程序26。该服务和业务应用程序以文本字段的形式向CSC-W32 API程序模块28传递一个定义的请求,该CSC-W32 API程序模块28为该服务和业务应用程序26,以及更进一步的程序提供应用接口。该CSC-W32 API程序模块28是一个客户端,其通过至少一个插口(socket)连接30利用该X.509证书服务器22的服务。该CSC-W32 API程序模块28将该服务和业务应用程序26的请求以一个请求的形式向该证书服务器22转送。
基于该请求,该证书服务器22检验当前的登陆用户是否能够作为该用户群“技术员”的用户得到认证,该证书服务器22借助存储在非易失性存储区24中的证书25检验连接在该数据处理系统18的USB接口中的USB记忆棒12的证书14是否有效,以及认证该用户实际上是否为该用户群“技术员”的有效用户。如果该证书服务器22的检验结果是与该USB记忆棒12的序列号相关的证书14,以及该服务技术员通过该数据处理系统18的用户界面输入的可选择的密码能够认证该用户,则该证书服务器22向CSC-W32 API程序模块28传送用户认证成功,以及该服务和业务应用程序26可被进一步处理或者,相应地,可以激活由该服务和业务应用程序26提供的与安全相关的功能的信息。假定为无效的证书14或者,相应地,用户认证不成功,则该证书服务器22针对该CSC-W32 API程序模块28的请求创建相应的响应,结果分别引起检验的对服务和业务应用程序26作进一步处理或者,对应地,提供与安全相关的功能的操作将不会被激活。
图2中举例说明为用户请求、创建和储存证书14,以私人化和激活该USB记忆棒12的流程。相同的组件采用相同的参考标记进行标识。与参照图1进行的说明一样,该证书14用于通过数据处理系统18,以及更进一步的数据处理系统对用户进行认证。借助针对特定用户,例如所提及的服务技术员,的客户-服务器-应用程序对该USB记忆棒12进行私人化。在未说明的预处理步骤中,必须在注册中心请求注册。该注册中心可以由,例如包含该数据处理系统18的货币交易装置的制造商提供。
注册请求由证书授权中心通过管理行为人工地进行处理,并将该注册请求与网络上的新用户的激活相比较。该申请人作为一位用户在数据库中得到注册。该申请人通过,例如e-mail或者电话,提出请求。可选地,当将为其完成授权激活服务和业务应用程序和/或者其它与安全相关的程序和/或者功能的服务技术员被雇佣和/或者服务技术员或者其他用户被新注册时,可通过一程序模块自动地创建该请求。之后,检验为认证所提出的该请求。如果必要,将通过打电话或者e-mail进行沟通,以确保该请求真实地来自于相应的服务技术员。随后,检验是否能够为申请人,也就是该服务技术员,授予所期望的用户权限。可选地或者附加地,适当的用户权限是基于该公司内该服务技术员的职位和他/或她的职能自动确定的,然后,为该服务技术员分配这些用户权限,而且由一证书对用户权限进行确认。优选地,为该服务技术员分配预置的用户组“技术员”的普通用户权限和,如果必要,更进一步的用户权限。
当检验该请求时,如果决定接受该申请人的这个请求,并且将为他/她分配相应的用户权限,则在数据库中创建一个主数据记录,以及通过一数据库条目使能认证所需要的认证程序。该主数据记录和该认证程序均可以用来为相应的服务技术员生成进一步的证书。
图2示出了该服务技术员的通讯设备40,该证书授权中心的作为前端42进行服务的呼叫中心与为待认证用户和已认证用户建立的数据库44之间进行通讯的流程。在步骤S0中,向该数据库发送优选地几个技术员的识别信息,该识别信息包括存储在数据文件中和包含分配给该相应技术员的信息的链表。借助该识别信息,能够识别那些可以为其颁发证书14的服务技术员。该链表可以以,例如通过软件程序微软Excel制作的表格,的形式进行存储,并可以被该数据库44导入。
在步骤S1中,该服务技术员进行一次请求,通过该请求他/她请求认证并对一个所期望的用户角色或者借助识别数据所预置的用户角色进行申请。如果该服务技术员成为该群中的一员,则该用户角色与分配给用户群的用户权限相对应。通常,该用户角色与分配给相应用户(服务技术员)的用户权限相对应。该数据库44为被导入的链表的每个链表条目创建一个单独的数据记录。在步骤S1.1中,该前端42向数据库44发出一个请求,请求为该服务技术员创建的该数据记录,并从该数据库中将该数据记录读出。
在步骤S1.1.1中,该服务技术员的认证是通过,例如,请求认证码,例如是他/她的出生日期,来确定的。进一步地,步骤S1.1.2中激活分配给该服务技术员的权限。然后,该前端42创建一个验证码(vc)。将该验证码加入在数据库44中的该服务技术员的数据记录中。该验证码可以是,例如,在该服务技术员的数据记录的基础上形成的加密值。随后,在步骤S1.2中,将该数据记录和/或者该数据记录的修改数据写入数据库44。在步骤S1.3中,将该验证码发送给该服务技术员。这可以通过,例如,电话或者数据传输,尤其是e-mail完成。可选地,也可以通过信件发送该验证码。在后面的时间节点处将需要该验证码,以对该用户作进一步的认证,尤其是在后面的时间节点处请求一个或者多个证书。在步骤S1.3.1中,该服务技术员记录下该验证码或者,分别地,为进一步的处理而存储该验证码。
图3中说明了创建和传送用户证书的流程。认证客户端应用程序48在例如是台式机或者笔记本电脑上执行,借助该认证客户端应用程序在认证服务器46处请求证书。客户端应用程序可以通过例如网络,如企业内部互联网或者因特网,传送给该台式机或者笔记本电脑,借助该客户端应用程序请求证书。该客户端应用程序在这台计算机上执行。如果必要,该客户端应用程序在执行之前即被安装在该计算机中,并且根据操作系统所需的组件进行适当的注册。优选地,该种客户端应用程序具有如下功能:
-生成RSA密钥对
-私人化移动存储介质
-为后私人化提供进一步的功能
-更改密码
例如,该客户端应用程序也可以是基于浏览器的和/或者是与平台无关的Java应用程序。
该认证服务器46通过数据连接与该数据库44进行通讯。也可以借助一个单独的数据处理系统,通过不同的软件应用程序提供该认证服务器46和数据库44。
在步骤A1中,通过该客户端应用程序为该服务技术员生成一密钥对。随后,该客户端应用程序48在步骤A2中创建一个认证请求。为了创建该请求,移动存储介质,优选为该服务技术员的USB记忆棒12,连接至执行该认证客户端应用程序48的数据处理系统。该认证客户端应用程序48读取该移动存储介质的序列号及优选的该移动存储介质的制造商ID,并将其结合到该认证请求中。进一步地,由该服务技术员确定一同样也被结合到该认证请求中的密码。在步骤A3中,将该认证请求从该认证客户端应用程序48发送至认证服务器46,该认证服务器46为即将为其创建证书的技术员加载数据记录。基于该存储在数据库44中的关于该服务技术员的信息,在步骤A3.1.1中,该认证服务器46依照存储在数据库44中的授权信息为该服务技术员创建证书14。在步骤A3.1.1中,该认证服务器46创建一属性证书,该USB记忆棒的序列号,该USB记忆棒的制造商ID码,该服务技术员的密码和/或者生物特征数据作为创建该属性证书的特征。创建的属性证书在数据处理系统上,例如在执行该客户端认证程序48的数据处理系统上,或者在货币交易装置的数据处理系统上,确定该服务技术员的用户权限。进一步地,通过该用户权限,可以确定对用于起动和执行某些应用程序和/或者与安全相关的功能的授权,正如根据图1所进行的详细说明。
优选地,如图2所描述的,该认证请求也包括先前已发送给该技术员的验证码。可选地,可以在认证客户端应用程序48和认证服务器46之间单独传送该验证码。在步骤A3.2中,在数据库44内的该服务技术员的数据记录中记录一个相应的证书已经被创建。优选地,该服务技术员的全部数据记录被重新写入该数据库44中。
在步骤A3.3中,将创建的证书从该认证服务器46发送至认证客户端应用程序48。该认证客户端应用程序48将该证书写入与执行该认证客户端应用程序48的数据处理系统的USB接口连接的USB记忆棒12的储存区中。该属性证书优选地具有过期日期,该过期日期包含在于步骤A3.1.1中创建的证书内。
在创建该证书之后,在数据库44中存储与该申请人,即该服务技术员有关的信息、经批准的用户权限或者用户角色、该证书本身,该USB记忆棒12的序列号和/或者该证书的当前状态。该状态可以,例如,被“请求”,“发行”或者“撤销”。该认证客户端应用程序48和认证服务器应用程序46均可具有用户图形界面。该服务器进一步地具有如下功能:
-管理密钥存储和至少一个路由证书
-管理用户
-处理认证请求
-在数据库44中记录认证过程
优选地,至少将在步骤A1中生成的该密钥对的公钥,与该证书请求一起,或者在一次独立的传输中,发送至该认证服务器42。可将被发送的密钥本身分配给该用户或者可将其存储在该数据库44的密钥存储区中或者存储在该认证服务器46的存储区中。
该数据处理系统18的服务和业务应用程序26可以提供仅当用户得到认证时才能执行的功能,将使用该功能所需的用户权限,也就是特定的用户角色,分别给该用户。
优选地,该移动存储介质同样可以用来以所谓分组的形式自动地获取由该数据处理系统18创建的记录和路径数据。据此,可以保证的是,出于评估的目的,所有必要的记录和路径数据均被复制到该移动存储介质中。借助存储在该移动存储介质中的证书,以及该移动存储介质的识别信息,可以自动地检验及触发对复制的授权和复制操作本身。
尤其是,只有当该移动储存介质中存储有有效的证书,该证书对一用户具有此种读写操作授权进行认证时才允许对该移动储存介质进行读写操作。出于安全的原因,不会允许其它的对该移动存储介质进行读写操作的可能性。
进一步地,服务和应用程序的程序数据可以存储在该移动存储介质上,优选地,该数据处理系统18只有当移动存储介质上存储有有效的证书时才能执行上述数据,上述证书与该移动存储介质的识别信息共同确认对这些读写操作的授权。
如果将数据存储在该移动存储介质上,则优选地对这些数据进行压缩和/或者将这些数据存储在受保护的数据文件中。优选地,借助RSA密钥对的公钥,以加密的形式存储该数据。
在存储的数据文件的文件名中,优选地,可以包括具有数据处理系统18的货币交易装置的序列号。该数据处理系统18尤其可以是合适的个人计算机和/或者合适的控制单元。
数据库44优选为SQL数据库,该数据库44中针对每个待认证的用户和/或者已认证的用户存储了名称、地址、公司、部门、电话号码、e-mail地址、移动存储介质的序列号、分配的证书、证书的有效期、联系人,数据和状态。优选地,同样要获得个人数据的历史记录,使得改变的内容也可以及时在后面的节点处得以体现。鉴于如下事件,该数据库44和/或者该认证服务器46生成一条信息,尤其是该数据库44和/或者该认证服务器46自动地创建一条e-mail:
-并就到来请的求发送至证书授权中心;
-并在邀请他/她获取该证书的请求被激活后发送至申请人,;
-并在个人证书失效之前发生至申请人,作为请求延长和/或者请求新证书的参考;以及
-并当可获得新的和/或者被延长时限的证书时发送至申请人。
在X.509标准的属性证书中,通过关联该移动储存介质的序列号,该移动存储介质的制造商ID和/或者自由可选的密码,可以使用成本效益相对较高的标准移动存储介质,如USB移动存储介质,对用户进行认证。借助该种用户认证,可以增加对数据的保护程度和数据的安全性。
Claims (18)
1.一种用于对用户进行认证的系统,包括
移动存储介质(12),该移动存储介质(12)包括至少一个存储有用于识别该移动存储介质(12)的识别数据的存储区,在该存储区中或者该移动存储介质(12)的另外的存储区中存储有数字证书(14)的数据,
数据处理系统(18),该数据处理系统(18)通过数据传输连接与该移动存储介质(12)建立连接,
该识别数据和数字证书(14)的数据从该移动存储介质(12)发送至该数据处理系统(18),以及
该数据处理系统(18)处理该识别数据和该数字证书的数据,并对用户进行认证。
2.根据权利要求1所述的系统,其特征在于:对该用户进行识别和对已识别用户进行认证,为该用户和/或者该用户所分至的用户群预置权限,通过认证用户为其激活该预置的权限。
3.根据上述权利要求之一所述的系统,其特征在于:通过输入用户名,通过该移动存储介质(12)的序列号和/或者该证书(14)识别该用户。
4.根据上述权利要求之一所述的系统,其特征在于:该证书(14)为属性证书,其中,通过证书授权中心(44,46)将作为属性使用的该识别数据和/或者密码与证书(14)关联,该属性证书优选地涉及属性或者,相应地,各种属性,以及涉及一种更进一步的证书。
5.根据上述权利要求之一所述的系统,其特征在于:该数据处理系统(18)检验该证书(14)的有效期和/或者该证书(14)的真实性。
6.根据上述权利要求之一所述的系统,其特征在于:借助该证书(14)对该用户的不对称密钥对的公钥进行认证,借助该公钥能通过该密钥对的私钥能够对已经加密地数据进行解密,最好借助已认证的公钥以加密的形式将该数据从数据处理系统发送至移动存储介质。
7.根据上述权利要求之一所述的系统,其特征在于:该移动存储介质(12)的存储区中存储有作为识别数据的制造商识别数据和序列号信息码,该制造商识别数据和该序列号信息码优选地作为该证书(14)的属性。
8.根据上述权利要求之一所述的系统,其特征在于:该数据处理系统(18)为一货币交易装置的组成部分,该货币交易装置优选地为存款机,取款机,现金回收机,自动现金保险箱,自动现金系统和/或者收银系统。
9.根据上述权利要求之一所述的系统,其特征在于:该证书(14)具有固定的有效期,该证书(14)的有效期届满,证书变为无效,并不再被该数据处理系统接受。
10.根据根据上述权利要求之一所述的系统,其特征在于:该移动存储介质(12)为外部硬盘和/或者外部闪存,该移动存储介质(12)通过数据线,优选地通过标准接口(20),与该数据处理系统建立连接,该标准接口(20)优选地是USB接口,以及该闪存优选地是存储卡和/或者插拔式USB存储器。
11.根据上述权利要求之一所述的系统,其特征在于:只有在对用户的认证成功之后,才可能从该数据处理系统(18)向该移动存储介质(12)发送数据和/或者进一步从该移动存储介质(12)向该数据处理系统(18)发送数据。
12.根据上述权利要求之一所述的系统,其特征在于:在初始化过程中创建该证书,并将该证书存储在该移动存储介质的该存储区和另外的存储区内。
13.根据上述权利要求之一所述的系统,其特征在于:该证书(14)依照一种数字证书的标准进行创建,优选是依照X.509标准,尤其是X.509标准的当前第三版。
14.根据上述权利要求之一所述的系统,其特征在于:该识别数据由制造商在该移动存储介质的生产过程中以只读数据的形式存储在该移动存储介质(12)的存储区内,以后不能对其进行更改,该证书的数据存储在移动存储介质(12)的可进一步重写的存储区内,该存储区内可进一步存储数据。
15.根据上述权利要求之一所述的系统,其特征在于:该属性证书通过数据处理系统授权用户执行至少一种应用程序(26)。
16.根据上述权利要求之一所述的系统,其特征在于:该数据处理系统(18)检验该用户是否得到了对激活该数据处理系统(18)的程序提供的功能的授权,只有得到成功的检验后,该数据处理系统(18)才能激活和/或者执行该功能。
17.根据上述权利要求之一所述的系统,其特征在于:认证中心处理对认证的请求,并检验该请求,在检验结果是确实的情况下开始认证过程。
18.一种对用户进行认证的方法,
其中,在移动存储介质(12)的至少一个存储区内存储用于识别该移动存储介质(12)的识别数据,
在该存储区中或者在该移动存储介质(12)的另外的存储区中存储数字证书(14)的数据,
从该移动存储介质(12)的该存储区中读取该识别数据和该数字证书的数据,并将该识别数据和该数字证书的数据通过数据传输连接发送至数据处理系统(18),以及
其中,借助该数据处理系统(18),为认证该用户对该识别数据和该数字证书(14)的数据进行处理及使用。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102007019541.0 | 2007-04-25 | ||
| DE102007019541A DE102007019541A1 (de) | 2007-04-25 | 2007-04-25 | Verfahren und System zum Authentifizieren eines Benutzers |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101669125A true CN101669125A (zh) | 2010-03-10 |
Family
ID=39645468
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880013691A Pending CN101669125A (zh) | 2007-04-25 | 2008-04-24 | 对用户进行认证的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US9311470B2 (zh) |
| EP (2) | EP2492839B1 (zh) |
| CN (1) | CN101669125A (zh) |
| DE (1) | DE102007019541A1 (zh) |
| WO (1) | WO2008132129A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103136454A (zh) * | 2011-11-25 | 2013-06-05 | 北京泛华恒兴科技有限公司 | 加密装置及加密方法 |
| CN103106357B (zh) * | 2012-11-12 | 2015-09-30 | 成都锦瑞投资有限公司 | 基于cfca认证标准的物业实名制认证授权系统及方法 |
| CN105354478A (zh) * | 2015-10-29 | 2016-02-24 | 北京海泰方圆科技股份有限公司 | 一种对USBKey进行授权使用的方法 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007041834A1 (en) | 2005-10-07 | 2007-04-19 | Memory Experts International Inc. | Method and apparatus for secure credential entry without physical entry |
| KR20090047917A (ko) * | 2007-11-09 | 2009-05-13 | 삼성전자주식회사 | 외장 메모리 액세스 장치 및 방법 |
| US20100180207A1 (en) * | 2009-01-15 | 2010-07-15 | Macguire Sean Michael | System and method for managing and fulfilling celebrity memorabilia requests remotely |
| WO2010083593A1 (en) * | 2009-01-21 | 2010-07-29 | Memory Experts International Inc. | Removable memory storage device with multiple authentication processes |
| DE102009043091A1 (de) | 2009-09-25 | 2011-03-31 | Wincor Nixdorf International Gmbh | Vorrichtung zur Handhabung von Wertscheinen |
| DE102009043093A1 (de) | 2009-09-25 | 2011-03-31 | Wincor Nixdorf International Gmbh | Vorrichtung zur Handhabung von Wertscheinen und Geldkassette zur Aufnahme von Wertscheinen |
| DE102009043090A1 (de) | 2009-09-25 | 2011-03-31 | Wincor Nixdorf International Gmbh | Vorrichtung zur Handhabung von Wertscheinen |
| DE102010000482A1 (de) | 2010-02-19 | 2011-08-25 | WINCOR NIXDORF International GmbH, 33106 | Methode und Verfahren für PIN-Eingaben bei konsistentem Software-Stack auf Geldautomaten |
| CN101887608B (zh) * | 2010-06-29 | 2014-12-10 | 中兴通讯股份有限公司 | 需要认证制卡权限的充值卡制卡方法及装置 |
| DE102011056191A1 (de) | 2011-12-08 | 2013-06-13 | Wincor Nixdorf International Gmbh | Vorrichtung zum Schutz von Sicherheitstoken gegen Malware |
| CN102932762B (zh) * | 2012-09-20 | 2015-03-25 | 无锡华御信息技术有限公司 | 基于gsm的移动存储设备远程集中管控加密系统和方法 |
| DE102013101834A1 (de) * | 2013-02-25 | 2014-08-28 | Bundesdruckerei Gmbh | Attributnetzwerkentität zur Bereitstellung von personenbezogenen Attributen für die Erstellung von digitalen Attributzertifikaten |
| US10489612B2 (en) * | 2013-04-29 | 2019-11-26 | Nxp Usa, Inc. | Memory controller to verify authenticity of data |
| CN103747010B (zh) * | 2014-01-22 | 2017-07-28 | 北京奇立软件技术有限公司 | 一种通过移动终端控制pc的方法、系统及装置 |
| CN103761802A (zh) * | 2014-01-24 | 2014-04-30 | 黄杰 | 一种移动存储支付认证系统 |
| CN104376263B (zh) * | 2014-12-09 | 2018-02-16 | 北京奇虎科技有限公司 | 应用程序行为拦截的方法和装置 |
| CN105426742B (zh) * | 2015-11-30 | 2019-01-01 | 广东小天才科技有限公司 | 移动终端连接计算机的方法及装置 |
| US10642988B2 (en) * | 2016-08-04 | 2020-05-05 | Honeywell International Inc. | Removable media protected data transfer in a cyber-protected system |
| EP3340095B1 (de) * | 2016-12-23 | 2020-07-08 | Löwenstein Medical Technology S.A. | Beatmungssystem und verfahren |
| US11323561B2 (en) * | 2020-09-25 | 2022-05-03 | Mitel Networks (International) Limited | Communication system for mitigating incoming spoofed callers using social media |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6968459B1 (en) | 1999-12-15 | 2005-11-22 | Imation Corp. | Computing environment having secure storage device |
| CA2324772A1 (en) * | 2000-10-30 | 2002-04-30 | Ivi Checkmate Corp. | Security arrangement for exchange of encrypted information |
| JP4663875B2 (ja) * | 2000-12-25 | 2011-04-06 | ソニー株式会社 | 情報処理装置及びデータ通信方法 |
| US20040044535A1 (en) * | 2002-09-03 | 2004-03-04 | Conner Erin L. | Systems and methods for a digital information automated teller machine |
| JP2004104539A (ja) * | 2002-09-11 | 2004-04-02 | Renesas Technology Corp | メモリカード |
| US20040064708A1 (en) | 2002-09-30 | 2004-04-01 | Compaq Information Technologies Group, L.P. | Zero administrative interventions accounts |
| US8100323B1 (en) * | 2002-12-26 | 2012-01-24 | Diebold Self-Service Systems Division Of Diebold, Incorporated | Apparatus and method for verifying components of an ATM |
| JP4420201B2 (ja) * | 2004-02-27 | 2010-02-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ハードウェアトークンを用いた認証方法、ハードウェアトークン、コンピュータ装置、およびプログラム |
| US7437551B2 (en) * | 2004-04-02 | 2008-10-14 | Microsoft Corporation | Public key infrastructure scalability certificate revocation status validation |
| KR101169021B1 (ko) * | 2004-05-31 | 2012-07-26 | 삼성전자주식회사 | 디바이스와 휴대형 저장장치간의 권리객체 정보 전달 방법및 장치 |
| EP1610518A1 (en) * | 2004-06-21 | 2005-12-28 | Ehsan Aboual Chamat | Authentication system and security device |
| US7758422B2 (en) | 2005-04-13 | 2010-07-20 | Microsoft Corporation | Hard drive authentication |
| US8028329B2 (en) * | 2005-06-13 | 2011-09-27 | Iamsecureonline, Inc. | Proxy authentication network |
| US20070067620A1 (en) * | 2005-09-06 | 2007-03-22 | Ironkey, Inc. | Systems and methods for third-party authentication |
| US7861077B1 (en) * | 2005-10-07 | 2010-12-28 | Multiple Shift Key, Inc. | Secure authentication and transaction system and method |
| JP4124230B2 (ja) * | 2005-12-28 | 2008-07-23 | ブラザー工業株式会社 | 印刷装置及びプログラム |
| JP4419977B2 (ja) * | 2006-03-31 | 2010-02-24 | ブラザー工業株式会社 | プログラム作成装置、及びプログラム |
| US20070266443A1 (en) * | 2006-05-12 | 2007-11-15 | Hitachi Global Storage Technologies Netherlands B.V. | Certified HDD with network validation |
-
2007
- 2007-04-25 DE DE102007019541A patent/DE102007019541A1/de not_active Ceased
-
2008
- 2008-04-24 US US12/596,073 patent/US9311470B2/en not_active Ceased
- 2008-04-24 CN CN200880013691A patent/CN101669125A/zh active Pending
- 2008-04-24 EP EP12164453.8A patent/EP2492839B1/de active Active
- 2008-04-24 WO PCT/EP2008/054999 patent/WO2008132129A1/de active Application Filing
- 2008-04-24 US US15/951,460 patent/USRE48324E1/en active Active
- 2008-04-24 EP EP08749706.1A patent/EP2140391B1/de active Active
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103136454A (zh) * | 2011-11-25 | 2013-06-05 | 北京泛华恒兴科技有限公司 | 加密装置及加密方法 |
| CN103136454B (zh) * | 2011-11-25 | 2016-01-20 | 北京泛华恒兴科技有限公司 | 加密装置及加密方法 |
| CN103106357B (zh) * | 2012-11-12 | 2015-09-30 | 成都锦瑞投资有限公司 | 基于cfca认证标准的物业实名制认证授权系统及方法 |
| CN105354478A (zh) * | 2015-10-29 | 2016-02-24 | 北京海泰方圆科技股份有限公司 | 一种对USBKey进行授权使用的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2492839A1 (de) | 2012-08-29 |
| EP2140391B1 (de) | 2016-02-17 |
| DE102007019541A1 (de) | 2008-10-30 |
| WO2008132129A1 (de) | 2008-11-06 |
| EP2492839B1 (de) | 2021-03-31 |
| EP2140391A1 (de) | 2010-01-06 |
| US9311470B2 (en) | 2016-04-12 |
| US20100146264A1 (en) | 2010-06-10 |
| USRE48324E1 (en) | 2020-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101669125A (zh) | 对用户进行认证的方法和系统 | |
| US10829088B2 (en) | Identity management for implementing vehicle access and operation management | |
| US11706212B2 (en) | Method for securing electronic transactions | |
| CN104104672B (zh) | 基于身份认证建立动态授权码的方法 | |
| KR20180079805A (ko) | 블록체인 기반의 모바일 아이디를 이용하여 사용자를 비대면 인증하는 방법, 단말 및 이를 이용한 서버 | |
| US8549602B2 (en) | System and method for handling permits for user authentication tokens | |
| US20090193507A1 (en) | Authentication messaging service | |
| EP3230935A1 (en) | Systems and method for enabling secure transaction | |
| CN106664208A (zh) | 使用安全传输协议建立信任的系统和方法 | |
| CN102301642A (zh) | 安全交易认证 | |
| KR20100054757A (ko) | 대역밖 인증을 이용한 지불 거래 처리 | |
| TWI241106B (en) | Personal authentication device and system and method thereof | |
| KR102067808B1 (ko) | 크리덴셜들의 통신을 위한 방법 및 시스템 | |
| KR100968662B1 (ko) | 공개 키 인프라구조부를 신뢰성있고 안전하게 인에이블링하는 방법 | |
| CN106452796B (zh) | 认证授权方法、涉税业务平台和相关设备 | |
| KR20070084801A (ko) | 스마트카드를 이용한 원 타임 패스워드 생성 및 인증방법그리고 이를 위한 스마트카드 | |
| US10867326B2 (en) | Reputation system and method | |
| KR20110055091A (ko) | 문자보안 서비스 시스템 및 그 이용방법 | |
| JPH1165443A (ja) | 個人認証情報の管理方式 | |
| US10318951B2 (en) | Transaction management | |
| KR20190033727A (ko) | 실명 기반의 가상계좌 운영 방법 | |
| CN109801059B (zh) | 一种移动支付系统和移动支付方法 | |
| KR102652497B1 (ko) | 스마트 카드를 이용한 did 인증 방법 및 스마트 카드 장치 | |
| TWI600308B (zh) | 以有效憑證線上申請行動憑證之系統及其方法 | |
| Sun | A survey of payment token vulnerabilities towards stronger security with fingerprint based encryption on Samsung Pay |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100310 |