CN101803272A - 认证系统和方法 - Google Patents
认证系统和方法 Download PDFInfo
- Publication number
- CN101803272A CN101803272A CN200780100008A CN200780100008A CN101803272A CN 101803272 A CN101803272 A CN 101803272A CN 200780100008 A CN200780100008 A CN 200780100008A CN 200780100008 A CN200780100008 A CN 200780100008A CN 101803272 A CN101803272 A CN 101803272A
- Authority
- CN
- China
- Prior art keywords
- function
- application program
- user
- transaction
- otp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Abstract
提供了一种认证系统和方法,该方法包括:存储与所述用户相关联的用户标识码;生成多个函数,所述多个函数用于基于用户的至少一个输入来产生通过码,所述至少一个输入包括所述用户标识码;存储至少一个函数并将该函数与用户相关联;生成适用于在用户设备上实施所述至少一个函数的应用程序;将所述应用程序提供至所述用户设备;生成与所述交易相关联的交易码,并将该交易码提供给所述应用程序;以及从所述用户设备接收用于所述交易的通过码,并基于所接收的通过码、与所述用户相关联的函数、用户标识码以及与所述交易相关联的交易码来认证所述交易。
Description
技术领域
总体而言,本发明涉及通信系统中的身份或口令认证。特别地,本发明涉及具有通信系统及一个或多个用户设备的系统。所述通信系统可包括提供服务的服务器。在这样的系统中,客户端设备通过使用口令或其他安全措施来执行与所述通信系统的认证。本发明还可用于认证其他服务(个人之间的交易)中的用户。企业对企业的应用也是可预计的。
背景技术
出于多种目的(包括通信网络上的交易和其他通信),对于可预见的未来而言,口令将提供最为广泛接受的认证方法。基于口令的认证可独立于网络和设备技术而容易地应用。
口令在被传输至认证机器或个人时,很容易被侦听(也称之为“探听”)。如果口令作为电信号而在用户接入点与控制口令数据库的中央系统之间的不安全物理线路上传递,则该口令可能会通过线路窃听方法而被探听。如果口令在因特网上传递,则任何能够监听包含登录信息的数据包的人均可进行探听,且被发现的可能性很小。相比于DSL和拨号连接而言,电缆调制解调器可能更易被探听,而以太网则特别取决于对网络硬件和线路的选择而可能被探听或可能不被探听。一些组织现已注意到,在用户开始使用电缆互联网连接之后,口令被盗显著增加。
通过置入大量因特网浏览器内的传输层安全(TLS,以前被称之为SSL)组件,可减少通过因特网发送的口令被侦听的风险。在使用TLS时,大多数浏览器均显示闭锁图标。
遗憾的是,所存储的哈希化口令与基于哈希的挑战-响应认证之间存在冲突,后者要求客户端向服务器证明其知道所共享的秘密(口令)是什么,且为此,服务器端需要能够根据所述秘密的存储形式获取所共享的秘密。在执行远程认证的Unix型系统上,所共享的秘密变为哈希化形式,且在口令被暴露给离线猜测攻击方面具有严重的局限性。
口令认证密钥协议系统不需要传输口令,而是能够执行零信息口令证明,其可证明知晓所述口令而不需要泄露该口令。采取更进一步的措施,用于口令认证密钥协议(例如,AMP、B-SPEKE、PAK-Z、SRP-6)的增广系统(augmented system)避免了基于哈希的方法的冲突和局限性。增广系统允许客户端向服务器证明其知晓口令,其中服务器仅知道(不是很确切地)哈希化口令,并需要未哈希化的口令来获得访问权限。
双因素认证(TFA)是一种需要两个独立方式来建立身份和特权的认证技术。这与传统的口令认证截然不同,传统的口令认证仅需要一个“因素”(例如,知晓静态口令)便可获取对系统的访问。
所述双“因素”一般为:
·“你知道什么”,例如口令或PIN。
·“你拥有什么”,例如信用卡或硬件凭证。
传统上,双因素认证需要硬件凭证,分发该硬件凭证是非常昂贵的。
US-A-2003/0204726公开了一种用于安全传输信息的方法和系统。客户端向服务器发送请求、至少一唯一标识符以及加密密钥。服务器生成针对所述请求的应答,并识别(基于所述至少一唯一标识符)将该应答发送至的移动设备。所述应答用所述加密密钥加密。加密后的应答被从所述服务器发送至所识别出的客户端设备。所述请求可为对OTP的请求。
US-A-2006/0059344公开了一种认证服务,并致力于在通信系统中提供有效的口令传递。所公开的技术包括:经由安全信道接收来自通信网络系统的用于由用户装置计算至少一口令的密钥信息;基于所述用户装置中的密钥信息,生成至少一口令;以及使用所述至少一口令,执行用户装置与通信网络系统之间的认证。该申请的目的在于在认证没有成为推出移动网络中新业务的瓶颈的情况下,改进安全与管理以争取最大可能的用户群。近来,无论是使用IMS(IP多媒体子系统)还是PoC(按键通话业务)业务,移动运营商的WLAN(无线局域网络)和xDSL(数字用户线路)认证与访问均受到了认证与接入网和终端技术之间的强耦合的影响。为了最小化传统http摘要口令传递所导致的SMS(短消息服务)负担,使用了种子和哈希方法。通信网络系统中的实体(例如,运营商自身的、具有终端管理服务器的服务管理系统)生成种子和可选地(新的)秘密密钥,并将它/它们通过SMS发送至用户设备或终端。在所生成的口令的数量达到配置阈值或超时到期之后,所述服务管理系统生成并发送新的种子(及秘密密钥)至所述终端。在应用哈希函数之前请求用户输入PIN码,加强了该机制的安全性。应用不同的种子、秘密密钥和/或哈希函数可创建口令域。
US-A-2005/0245257公开了一种系统和方法,该系统和方法通过使用PSTN来提供在线交易的认证或核准。通过在两个不同网络上进行基本同时的传输,以核实用户的身份。US-A-2006/0036857公开了基于随机生成认证秘密与个人化秘密之间的关系的用户认证。
US-A-0114675公开了一种用户认证,该认证通过以下步骤来进行:创建用户公式(user formula)形式的密钥,向用户展现一排变量、每个变量均被赋值,应用所赋予的值来匹配所述用户公式中的变量以及计算第一结果;如果该第一结果与单独且独立地计算所述用户公式而得到的第二结果匹配,则该用户被认证。
US-A-2005/0069137公开了一种从移动站将非对称密钥对(具有私钥和公钥)中的公钥分发至密钥管理计算机的方法,该方法包括:通过安全信道,将OTP从所述密钥管理计算机传输至移动站,以提供共享秘密;分别在移动站和密钥管理计算机计算第一和第二代码;将所述第一代码和公钥发送至密钥管理计算机;通过将第一和第二代码进行比较,以检查用户的真实性。
US-A-2003/0172272公开了用户身份认证,该认证使用两个单独的通信信道,包括通信网络和移动通信信道。US-A-2005/0268107公开了经由以下各项中的两者或三者中的一者来进行用户认证:1)用户知道什么;2)用户拥有什么;以及3)用户的物理特征。
US-A-2006/0094401公开了无线通信网络中的认证。秘密共享于移动设备与本地设备之间。远程设备通过同时发送挑战至移动设备和本地设备并比较结果来确定所述移动设备是否能够连接至该远程设备。
一些网上银行服务使用交易认证号或TAN作为一次性口令的形式来认证金融交易。TAN为优于传统单口令认证的第二安全层。
TAN的工作概要:
1、银行为用户生成一组唯一的TAN。一般而言,清单上印有50个TAN,每个TAN具有8个字符的长度,这足够普通用户使用半年。
2、用户从最近的银行分行获取所述清单。一般而言,用户必须出示护照、ID卡或类似的文件来证明其身份。
3、几天之后,用户可收到寄至其家庭住址的5位数字口令。用户需要熟记所述口令,销毁通知,并将所述TAN清单保存在PC附近的安全位置。
4、为登录用户账户,用户必须输入用户名和口令。这可给予用户访问账户信息的能力,但不具备处理交易的能力。
5、为执行交易,用户输入请求并通过输入未使用的TAN来“签发”交易。银行将所提交的TAN与其发给用户的TAN清单进行核对。如果匹配,则处理交易。如果不匹配,则拒绝交易。
6、所述TAN现已被消耗,且在任何未来的交易中将无法被识别。
7、如果所述TAN清单被损坏,用户可通过通知银行来取消它。
TAN被认为提供了额外的安全性,因为TAN和口令起到了双因素认证形式的作用。如果含有TAN的物理文件被盗,则在没有口令的情况下,该文件并无多大用处。另一方面,如果黑客破解了用户的口令,则黑客在没有TAN的情况下并不能处理交易。
发明内容
本发明提供一种用于向具有用户设备的用户授予许可以执行交易的认证系统,该系统包括:用于存储与所述用户相关联的用户标识码的装置;用于生成多个函数的装置,所述多个函数用于基于用户的至少一个输入产生通过码,所述至少一个输入包括用户标识码;用于存储至少一个函数并将所述函数与用户相关联的装置;用于生成应用程序的装置,所述应用程序适用于在所述用户设备上实施所述至少一个函数;用于将所述应用程序提供给所述用户设备的装置;用于生成与所述交易相关联的交易码并用于将该交易码提供给所述应用程序的装置;以及用于从所述用户设备接收用于所述交易的通过码并用于基于所接收的通过码、与所述用户相关联的函数、所述用户标识码以及与所述交易相关联的交易码来认证所述交易的装置。在一种实施方式中,每一用户使用一唯一的OTP函数,这使得认证协议极其安全。如果黑客能够侦听并解密某个OTP函数,则将仅会影响到一个用户。即使发生了该情况,用户的账户依旧是安全的,因为在没有用户的标识码的情况下,所述函数是没有用的。
在一种实施方式中,所述多个函数为对称的或可逆的函数,这样可根据其他输入、所述函数以及输出的信息来得出至少一个输入。所述多个函数中的至少两者可在功能上是唯一的。该至少两个函数可与不同的用户相关联。
所述应用程序可适用于实施所述多个函数中的不止一者。所述系统可适用于发送控制码至所述应用程序,以选择所述多个函数中的一者。所述用户标识码和交易码可用作所述函数的输入。
所述交易码可被用于为所述交易选择所述多个函数中的一者来实施。
所述用于生成多个函数的装置可包括函数组件库以及用于在所述函数组件中随机选择以提供所述复合函数的装置。所述函数组件可包括选自由以下各项所构成的组中的组件:数学函数、数学运算、串处理、日期计算、比特处理、计算机逻辑命令、计算机逻辑流、计算机逻辑条件、所嵌入的硬编码值以及数据结构处理。
所述用于生成多个函数的装置包括用于校验所述多个函数的装置。该用于校验所述多个函数的装置可执行与之前所生成的函数的预定选集的比较,并且如果超出了预定重复水平,则舍弃所生成的函数。在一种实施方式中,一批函数中的每个函数均是唯一的。
适用于实施所述至少一个函数的应用程序可提供用户接口。
所述用于将所述应用程序提供给所述用户设备的装置可包括用于发送电子消息至所述用户设备的装置,所述消息包括一地址,所述应用程序能够根据该地址而被下载。
本发明还提供一种认证方法,该方法包括:存储与所述用户相关联的用户标识码;生成多个函数,所述多个函数用于基于用户的至少一个输入来产生通过码,所述至少一个输入包括所述用户标识码;存储至少一个函数并将该函数与用户相关联;生成适用于在用户设备上实施所述至少一个函数的应用程序;将所述应用程序提供至所述用户设备;生成与所述交易相关联的交易码,并将该交易码提供给所述应用程序;以及从所述用户设备接收用于所述交易的通过码,并基于所接收的通过码、与所述用户相关联的函数、用户标识码以及与所述交易相关联的交易码来认证所述交易。
传统上,双因素认证需要硬件凭证,分发该硬件凭证是很昂贵的。在本发明中,双因素认证过程中的第二因素,即因素“你拥有什么”,为生成一次性口令(OTP)的软件方案。从名称可以得出,OTP为针对一个交易或构成单个集合的交易的组合而有效的口令,下一交易将要求不同的OTP。
本发明可以任何便利的形式实施,例如使用专用硬件、或专用硬件与软件的结合。本发明特别适于实施为由服务器、工作站或便携式计算机执行的计算机软件。本发明可进一步包括网络,该网络可包括任何局域网络或者甚至广域网、传统的陆地或无线通信网络。所述系统可包括任何合适的可编程设备,例如通用计算机、个人数字助理、移动电话(例如,兼容WAP或3G的电话)等等。本发明的各方面涵盖了可于可编程设备上执行的计算机软件。可通过使用任何传统载体介质而将该计算机软件提供给可编程设备。所述载体介质可包括瞬时载体介质,例如,携带计算机代码的电、光、微波、声音或射频信号。此类瞬时介质的一种示例可为IP网络(例如,因特网)上的携带计算机代码的TCP/IP信号。所述载体介质还可包括用于存储处理器可读代码的存储介质,例如软盘、硬盘、CD ROM、磁带设备或固态存储设备。
下面将参考附图,对本发明进行更为详细且仅为示例性的描述。
附图说明
图1是表示OTP的生成的流程图;
图2是表示注册过程期间所执行的PIN确认步骤的流程图;
图3是表示根据本发明一种实施方式的注册过程的流程图;
图4是表示根据本发明的交易过程的流程图;
图5是根据本发明一种实施方式而工作的系统的框图;
图6是示出了根据本发明一种实施方式的OTP应用程序生成器的元件的框图;
图7是示出了根据本发明的认证过程的框图。
具体实施方式
图1至图4表示根据本发明一种实施方式的认证方法的过程。
如图1所示,由OTP函数根据PIN(该PIN为秘密密钥的示例)和交易号(该交易号为交易特定代码的示例)来生成一次性口令(OTP)。所述交易号识别将使用该OTP来认证用户的交易。一般而言,当用户请求访问例如特定服务或因特网站点时,所述交易号被提供给用户或用户设备。
在一种实施方式中,所述用户设备为具有至少SMS功能的移动电话类型。所述用户设备能够运行如下所述的认证系统所提供的计算机程序。可以以任何适当的方式将所述计算机程序(本文称之为OTP应用程序)提供至所述用户设备。所述OTP应用程序可在购买所述设备之前预装在所述用户设备上,或可选地,可基于请求而提供给所述用户设备。一种便利的方法可为从由认证服务器所控制的通信系统上的安全位置下载所述OTP应用程序。
在所述OTP应用程序预装在用户设备上的情况下,所述OTP应用程序可能需要在认证服务器上进行注册。可通过使用购买时向用户设备提供的注册安全码来便利地执行注册。可将所述安全码与用户标识详细信息一起提供给认证服务器,以将所述OTP应用程序(即,一个OTP函数或多个函数)与该新用户相关联。
所述用户设备可为任何通信设备,该设备可具有单个通信信道,而现代设备趋向于具有两个或多个通信信道。允许同一设备上具有多个通信信道。也可通过使用用于发送认证过程的一些信息的不同设备来提供多个通信信道。本发明的实施方式将使用能够在移动电话手持机上运行的Java应用程序来实施是可能的。然而,实际上,本发明的实施方式还可用于任何基于计算机的平台上,即,PDA、机顶盒等。本发明的实施方式使用绝大多数因特网用户已拥有的硬件设备——移动电话。这不仅极大地降低了实施成本,而且还通过允许用户使用他们所熟悉的设备,改善了用户体验。然而,所述用户设备可包括能够运行合适OTP应用程序并从认证系统接收必要交易码的任何通信设备。
在本实施方式中,用户被赋予用户标识码或可选择用户标识码,所述用户标识码为秘密密钥的示例。一般而言,所述用户标识码为个人标识号(PIN),例如一四位数。为提高安全性,所述PIN可由用户在注册期间定义,且可为任意长度。此外,尽管出于简易的目的,所述PIN为实数,但如本领域所公知的,任何包含字母序列的通过码(pass code)均可被使用。认证过程可使用不止一个秘密密钥,所述不止一个秘密密钥可用作独立的附加认证步骤的一部分,或可进一步用作OTP函数的输入。这些秘密密钥在注册期间被传输给认证服务器。如果存在不止一个秘密密钥,则可将这些秘密密钥在不同的时间通过不同的信道传输至所述认证服务器。例如,在OTP应用程序安装于新的用户设备(例如,移动电话)的情况下,可将用户信息从例如购买该电话的商店处的终端传输至认证服务器。之后,可由用户在后续的注册过程期间,选择PIN或其他用户标识码。
在本发明的注册过程的一种实施方式中,所述认证服务器接收来自用户设备的OTP,并执行所述OTP函数的逆函数,以确定用户所选的PIN(图2)。之后,该PIN可与任何其他用户信息一起被存储,并特别地与那个用户相关联。期望所述用户信息被安全地存储在例如安全服务器上,该安全服务器可为所述认证服务器。
在本实施方式中,针对每一交易,生成交易码或交易号。本实施方式中的交易号为服务器上生成的随机数或伪随机数。已知的随机数生成器能够生成足够随机的数,以致于实际上不可能预测将被产生的下一数。因此,在密码学上来说,所述交易号是安全的。所述随机数生成器可被实施为硬件。硬件随机数生成器为通过物理过程生成随机数的装置。一般而言,此类设备基于微观现象,例如热噪声、光电效应或其他量子现象。一般而言,基于量子的硬件随机数生成器包含放大器和变换器,所述放大器用于使所述物理过程的输出进入宏观域,所述变换器用于将所述输出转换为数字信号。
所述PIN和交易号为OTP函数的输入(参见图1)。所述OTP函数为随机生成的复合函数,在一种实施方式中,该函数包括大量部分函数(partialfunction),例如数学函数。对于每个使用PIN和交易号作为OTP应用程序的两个输入的交易而言,所述OTP函数的输出是唯一的OTP,这将在以下进行描述。两个输入为对所述OTP应用程序的最少输入。
在所述OTP应用程序的一些使用中,可将一个或多个输入嵌入函数或算法中。还可存在其他输入,该其他输入包括其他用户信息,例如日期、员工号或账号、或用户标识信息中的其他项。此外,在可选实施方式中,可由认证系统将其他代码提供给所述OTP函数。尽管仅单个交易码是必需的,但是如下所述,也可提供其他代码以改变所述OTP函数的行为。
在注册(图3)期间,基于交易号和OTP,使用与用户相关联的反向OTP函数来确定用户所选的PIN。尽管在现有技术中,口令生成的安全性是由加密和单向哈希函数所提供的,但是相反地,本实施方式使用可逆的或对称的函数,这极大地减少了认证的计算。通过为每一用户规定唯一的OTP函数来提供安全性。本发明的实施方式允许针对每一交易使用新的OTP函数。当然,如本领域所公知的,可使用加密来提高安全性。
一般来说,每一用户被赋予唯一的OTP函数,从而即使黑客侦听并解密了某个OTP函数,也只能影响到一个用户。可通过针对每一个交易或一组交易生成唯一的OTP函数来进一步加强安全性。当安全性与处理能力之间的平衡存在需求时,可将OTP函数分配给不止一个用户或用户设备。本发明的一特征在于,获取唯一的函数,以将该函数传递给用户设备。本发明的系统可计算大量唯一的对称函数,这些函数的效力和唯一性均被测试。理论上,系统中所使用的每一函数均是不同的。当然,取决于所要求的安全级别,可存在可接受数量的函数重用。例如,如果用户的数量非常大,则重用函数的风险并不会将安全级别影响到不可接受的程度。此外,如果一函数已长时间未被使用,特别是如果该函数目前并未在系统中使用(即,未被分配给用户),则该函数不需为系统所舍弃,且可被嵌入OTP应用程序,以提供给用户。
所述唯一的OTP函数可由认证服务器所提供的“函数生成器”模块通过批处理来创建。在本实施方式中,所述函数生成器生成OTP函数、反向OTP函数以及计算机程序(OTP应用程序),该程序为所述函数提供用于输入PIN并显示OTP的用户接口。之后,所显示的OTP可用于注册或交易过程,该过程可能使用不同的设备、或出现在例如银行里个人之间的交易中。可选地,所述OTP可被直接从用户或客户端设备提供至通信系统,以由认证服务器进行认证。每一批处理所创建的OTP函数的数量可被调整,以满足客户端的需求(其中所述认证系统作为服务而被提供给第三方),或可基于最近的交易水平而被自动调节。如果系统一日内用完了可用的OTP函数,该系统能够基于对等模式(ad-hoc)生成OTP函数。
所述OTP应用程序的属性取决于方案所实施的平台。对于基于移动电话的实施形式而言,例如,计算机程序可为适用于任何现代移动手持机的Java应用程序形式。对于不兼容Java的用户设备而言,可使用其他合适的编程语言。
注册过程
该注册过程的目的在于给用户提供他们唯一的OTP应用程序,并从用户获得他们所选择的PIN。在一种实施方式中,所述注册过程包括以下步骤:
·用户联系通信网络或客户端服务器,以发起交易。
·请求用户为认证过程进行注册,以继续所述交易。
·向用户提供包含OTP函数的OTP应用程序。
·由认证系统将交易号提供给OTP应用程序。
·用户选择PIN,并将其输入至OTP应用程序。
·OTP应用程序使用PIN和交易号作为OTP函数的输入以生成OTP,该OTP可被提供给用户、或可直接被提供给认证系统。
·OTP被提供给认证系统。
·通过使用交易号和用户所提供的OTP,认证系统使用与用户相关联的反向OTP函数来建立用户的PIN。
·服务器安全地存储用户的PIN。注意,这是存储PIN的唯一位置——一旦OTP函数已被运行以创建所述OTP函数,所述PIN就不被OTP应用程序所存储且不驻留于用户设备存储器中。
可经由与用于发送所述OTP应用程序和交易号的信道不同的通信信道将所述OTP提供给所述认证系统。例如,在基于移动电话的实施形式中,所述OTP应用程序可通过因特网网站或WAP站点而获得,且所述交易号可经由SMS而发送至用户。在一种实施方式中,用户可经由因特网提交所述OTP(可能使用不同的设备,例如PC)。使用单独的通信信道是非常安全的,因为实际上,OTP应用程序和交易号被同时损坏是不太可能的。
使用多个通信信道可进一步加强安全性,因为实际上,黑客不可能同时损坏不止一个信道。即使过程中的一要素(element)被黑客侦听或解密或以其他方式所获得,在没有所有要素的情况下,系统依旧不能被损坏。例如,获得一次性口令应用程序访问权限的黑客(例如,通过获得存储有所述应用程序的移动设备)在没有用户标识码的情况下,无法使用应用程序。
交易过程
该交易过程的目的在于,通过确保用户知道与他们账户相关联的PIN来确定用户的真实性,从而对所述交易的用户进行认证。在一种实施方式中,基本的交易过程可包括以下步骤(参见图4):
·响应于交易发起步骤(例如用户尝试从客户网站上在线购买商品或服务),向OTP应用程序提供交易码。
·OTP应用程序请求用户输入秘密密钥,例如PIN。
·用户将PIN输入OTP应用程序。
·OTP应用程序使用PIN和交易码生成OTP,该OTP可被提供给用户、或被直接提供给通信网络的元件,例如认证服务器或客户网站。
·OTP被提供给认证服务器。对于每一次实施而言,是否使用与发送所述交易号至用户的信道相同的通信信道来发送所述OTP是可配置的,这取决于所要求的安全级别。例如,在基于移动电话的实施形式中,所述交易号和OTP均可经由SMS来传输。可选地,可请求用户经由因特网(可能在单独的设备上)提交所述OTP。
·通过使用注册时所存储的PIN和发送至用户设备的与所述交易相关的交易号,认证服务器使用与所述用户相关联的OTP函数来生成OTP。可选地,服务器使用反向OTP函数、所接收的OTP和交易号,并比较PIN;或者可选地,通过在反向OTP函数中使用所存储的PIN和所接收的OTP、并将所产生的交易号与所述交易所关联的交易号进行比较,以实现所述认证。
·服务器将所述OTP与用户所提供的OTP进行比较,如果他们匹配,则允许完成交易。
在所述认证服务器不能认证所述用户的情况下,因为OTP不正确,所以服务器可提示一错误消息,且新的交易码被发送至所述应用程序,从而可作出再次认证尝试。然而,对认证失败进行处理的其他机制是公知的,且可根据环境(包括交易类型、实施平台和其他因素)来选择特定的过程。还可针对用户忘记其PIN、或丢失其存储有OTP应用程序的用户设备的情况进行设置。
所述OTP应用程序可包括用于执行其他任务的例行程序,特别地,一旦OTP应用程序脚本已经被实施,则OTP应用程序可清理存储器中所有交易码或多个代码、用户标识码和任何其他秘密密钥的痕迹。
认证系统
图5为示出了根据本发明一种实施方式的认证系统的功能元件的框图。该图仅示意性地示出了理解本发明所需要的那些元件,且并非用于限制。
现参考图5,用户设备1(在此情况下为具备WAP功能的移动通信设备,例如移动电话)通过网络连接而连接至客户端站点2。一般而言,该客户端站点为要求安全访问的网站,因为例如其内容支持订阅、或者该站点用于商品或服务的支付交易。所述客户端站点还可属于安全性和用户认证尤为重要的银行或其他金融机构。所述客户端站点可为单个网页,更为常见的是一系列相互链接的网页,该一系列网页可位于单个服务器或多个通过因特网连接的互不相关的服务器上。虚线3表示网络连接。在本实施方式中,所述连接是通过因特网提供的,但是所述连接可为任何类似的网络或甚至为点对点连接。
例如,银行网站可在交易额高于£500时要求使用OTP。
所述客户端站点2使用认证服务器4,以在允许访问该站点或允许某些交易发生之前,对该客户端站点2的用户进行认证。作为安全过程的一部分,所述客户端站点2向用户请求OTP,该OTP为所述交易的唯一口令或通过码。术语“交易”并非欲于限定为金融交易,而是可为双方之间出于任何目的的任何许可,其中第二方希望在授权许可之前认证第一方的身份。
需要注意的是,OTP可仅为安全过程的一部分,所述安全过程可包括多个步骤,并可包括对用户的多种挑战。特别地,对于商业网站的用户而言,输入用户名和口令(永久静态口令)以登录网站是很平常的。请求用于特定交易的OTP可仅是用户与客户端站点2之间进行单独交易的附加安全步骤。
在图5中,认证服务器4被示为一单个实体,但这并非意味着所述认证系统的所有元件都需要位于同一位置、或位于同一计算机中,分布式方案也是可预见的。在图5中,出于简化的目的,认证系统被示意性地示为位于单个认证服务器4上。
大多数情况下,在进行认证过程之前,用户必须向认证服务器4注册用户设备1。对于注册过的用户而言,认证服务器4将具有存储于存储器5内的用户标识信息。该用户标识信息可包括常用细节,例如名字和地址,且可包括用于登录客户端站点的静态口令。更为具体的是,所述认证系统可访问用户设备1的用户所知晓的一个或多个私钥。如上所述,所述私钥可用于在客户端设备1上产生OTP。
所述认证系统包括交易码生成器6和交易码分发器7。当发起需要交易码的类型的交易时,控制器或CPU 8在接收到来自客户端站点2的请求之后,指示所述交易码生成器提供交易码至所述分发器,以将该交易码提供给用户设备。所述交易码可通过SMS消息或任何便利的通信信道而被提供给所述用户设备。一般来说,所述交易码将被直接提供给所述OTP应用程序且不被展现给用户。至少在注册过程中(以及新的应用程序被颁布给用户的其他交易中),可在所述应用程序被提供给用户之前,将所述交易码提供给所述应用程序。然而,在要求更高安全性的情况下,所述交易码和OTP应用程序通过不同的通信信道来提供。在本实施方式中,所述交易码通过SMS消息提供,而所述OTP应用程序通过如下所述的WAP推送(WAP push)提供。
在本实施方式中,所述OTP应用程序通过WAP推送提供给用户设备,所述WAP推送实际上是简单的SMS,该SMS的报头包含有一到WAP地址的链接。一旦接收到WAP推送,用户设备1将自动给予用户访问OTP站点9的选项。这样,所述WAP推送将终端用户导向至WAP地址,在该WAP地址处存储有用于所述用户的OTP应用程序,以便下载至手持机。SMS消息传递的使用并非意欲限制为GSM网络上的消息传递,而是可包括包含3G网络及诸如SkyMail(RTM)和NTT Docomo简短邮件这样的可选对象在内的所有类似通信信道上的消息传递。通过移动电话(例如,NTT Docomo的i-mode和RIM黑莓(RTM))进行E-mail消息传递还可使用典型的标准邮件协议,例如TCP/IP上的SMTP。可通过选定系统中的任何可用的通信信道来实施本发明。
所述OTP应用程序包含一个或多个OTP脚本。该OTP脚本为根据OTP函数得出的编译代码,该代码用于在所述用户设备1上实施OTP函数。所述OTP函数通过OTP函数生成器10生成,这将在以下进行详细描述。特定OTP应用程序的一个函数或多个函数存储于存储器5中,且与用户设备1的用户相关联。因此,对于任何特定交易,交易码、秘密密钥和OTP函数均可由控制器8从存储器5访问。可通过将由用户设备1提供至客户端站点2的OTP与控制器8基于与交易相关联的信息生成的OTP进行比较来对该交易进行认证。之后,认证结果可被传输至所述客户端站点2。
所述OTP应用程序生成器11嵌有用于实施OTP应用程序(如上所述,该OTP应用程序由OTP应用程序分发器12提供至所述用户设备)中的OTP函数的OTP脚本。所述OTP函数和应用程序均在以下进行更为详细的讨论。
OTP函数
现参考图6,图6示出了OTP应用程序引擎的功能元件,包括函数生成器10和应用程序生成器11。
所述函数生成器包括预定义模块13、函数复合模块14和评估/校验模块15。
在本实施方式中,所述OTP函数为复合函数。所述OTP函数为由随机选择的预定义函数(例如数学函数)组成的算法,这些预定义函数用随机选择的数学运算符联合。
例如,OTP函数可包括函数
和g(x)=x2-5x。运算符可包括加号、减号、乘号、除号以及他们的域。为使唯一函数的几率足够高,优选地,存在可选的大量可能的函数。然而,唯一OTP函数的数量并不受限制,因为自变量(即,函数串的长度)的数量并不固定。
所述OTP函数之间的不同之处不仅可在于自变量的数量,而且还可在于结果的数量、不同的函数系列以及输入和输出的范围。
OTP函数可包括以下各项中的一些或全部:
a)数学函数和运算;
b)串处理;
c)日期计算;
d)比特处理(移位、交替(rotation)等);
e)计算机逻辑命令、流和条件(循环、IF语句等);
f)所嵌入的硬编码值;以及
g)数据结构处理。
对于本领域技术人员而言,其他可能也是可想到的。
因此,函数预定义过程可生成包括所有上述可能的函数组件库。所述函数复合模块14从所述函数组件库中随机选择,以生成一系列复合函数。之后,由评估/校验模块15对每个复合函数进行测试,以确保该函数满足各种要求。例如,所述评估/校验模块15可确定复合函数具有某些参数、唯一性、具有足够的复杂度以提供期望的安全级别,以及确定两个不同的函数在给定相同输入的情况下是否会产生相同的OTP。此外,所述函数所产生的一个值或多个值必须是有效的。所述校验模块确保每个函数均是可逆的,即均是对称函数。
在本发明的一种实施方式中,所述校验模块确保每个函数均是唯一的,且目前并未被用于任何OTP应用程序中。也就是说,所述校验模块可访问目前与所有用户相关联的所有函数,并将随机生成的复合函数与所有函数的数据库进行比较。可选地,所述校验模块15可通过将函数与应用程序生成器11之前发布的所有函数进行比较,确保该函数是真正唯一的。当并不苛刻的要求便可满足安全要求时,所述校验模块可被设置为允许预定水平的OTP函数重用。在其他实施方式中,所述校验模块可仅确保每一批复合函数是唯一的即可,其中所述应用程序生成器11生成用于不同客户端(其并非专用系统)的OTP应用程序,且该OTP应用程序可仅确保每一批OTP函数包含唯一的函数即可。随机生成函数确保了已知一组函数并不能有助于确定另一批函数。
之后,由校验后的函数构成的库被存储于数据库16中。当应用程序生成器11将生成新的OTP应用程序时,函数选择模块17从存储于数据库16中的函数库中选择(例如,随机地)函数。OTP应用程序产生器18接收复合函数,该复合函数为将被嵌入OTP应用程序的OTP函数,且与该OTP应用程序将被提供至的用户相关联。之后,所述应用程序产生器18将解析所述复合函数,并产生程序脚本,该脚本用于由应用程序编译器进行编译。所述应用程序编译器采用基本应用程序,并将所述OTP应用程序脚本嵌入该基本程序中,以生成OTP应用程序。编译后的OTP应用程序被存储于存储器19中,以在后续提供给所述应用程序分发器12。
在上述实施方式中,单个OTP函数被嵌入OTP应用程序中,且被提供给用户设备。在可选实施方式中,提供给用户设备的OTP应用程序具有多个不同的OTP函数,OTP应用程序中可嵌入的函数的数量并不存在限制,除非用户设备的存储器和处理能力对OTP函数的数量进行实际限制或商业限制。在此情况下,发送至用户设备的交易码可为由OTP应用程序所使用以从所嵌入的多个OTP函数中选择一函数作为所述交易的OTP函数的代码。在此情况下,OTP函数可仅存在一输入,即用户标识码。当然,所述OTP函数还可从用户接收秘密密钥。此外,尽管可使用交易码来选择OTP函数,然而这并非仅有的可能。在存在单个OTP函数、以及可由认证服务器提供单独的代码以选择多个OTP函数中的一者的实施方式的情况下,还可将所述交易码用作所述OTP函数的输入。
因此,在本发明中,不仅可使唯一的OTP函数对应每一用户设备或每一用户,而且还可以在不安装新的OTP应用程序的情况下,周期性地改变OTP函数,这包括为每一交易选择新的OTP函数。即使在OTP应用程序内嵌入单个OTP函数的情况下,仍可通过将由服务器发送的控制码作为所述OTP函数的输入来改变所述OTP函数的行为(例如,针对每一交易)。
双向认证
该双向认证也称之为相互认证,指双方相互进行认证。换句话说,客户端或用户向服务器认证其自身,且服务器向所述客户端或用户认证其自身,以此方式,双方均可确信另一方的身份。
双向认证在对付活跃的(直接的)“网址嫁接(pharming)”或“网络钓鱼(fishing)”方面特别有用。双向认证是一种用户可确证来自服务器的响应是真实的的机制。
下述本实施方式的双向认证协议可与本文所述的其他技术结合使用。在本实施方式中,使用上述OTP协议来实施双向认证。在双向认证期间,用户注册和认证(交易过程)均如例如上述结合图3和图4所述那样执行。
图7是用于解释双向认证过程中对服务器进行认证的框图,该图并未示出完整的双向认证过程,完整的双向认证过程必须考虑图3和图4以及与用户注册和认证相关的上述解释。
图7假设用户已经被注册;服务器已经具有用户的秘密密钥(在此被标记为PIN)。服务器生成交易码,并基于用户的PIN和新的交易号,通过使用与用户相关联的OTP函数来计算OTP。所述交易号被提供给用户。所述OTP也被提供给用户或用户设备,且在一种实施方式中,所述OTP和交易号通过不同的信道而被提供。
所述OTP应用程序向用户请求PIN,并基于所述交易码和用户的PIN,通过使用OTP函数来生成OTP。所述OTP应用程序或其他应用程序运行用户设备所生成的OTP与服务器所提供的OTP之间的比较,以向用户认证服务器。
在一种实施方式中,在用户设备上认证服务器包括:
·服务器产生一个或多个交易号,并基于用户的OTP函数及一个秘密密钥或多个秘密密钥,计算OTP。
·服务器将OTP和交易号发送给用户或用户设备。
·在用户设备上再次计算OTP。
·用户设备比较得出已计算出相同的OTP,并在OTP相匹配的情况下,认证所述服务器。
在上述实施方式中,所述交易号生成于服务器端,但在另一实施方式中,可编程所述客户端设备,以产生所述交易号以及将该交易号提供给服务器以进行OTP计算。此外,服务器与用户之间可存在多个OTP比较校验。对于每一校验而言,将存在一新的交易码。所述认证过程为对称过程,这意味着客户端侧可以以与服务器侧相同的方式进行认证过程。因此,不仅一方向(用户至服务器、或服务器至用户)上多个校验是可能的,双向上进行一次或多次认证也是可以的。
所述OTP可分为不止一个部分经由不同的信道而被返回至用户(反之亦然),例如所述OTP可显示于网站上以及通过文本消息进行发送。
在上述实施方式中,可配置所述用户设备自动比较OTP,以认证服务器,但该认证亦可通过将OTP显示给用户而人工实现。服务器生成的OTP可显示(全部或部分地)在例如网站上,或可以以文本形式发送给用户。在不背离本发明的范围的情况下,对于本领域技术人员而言,各种比较技术均是可想到的。
在本发明的技术的实施形式中,系统的安全级别是可变的。例如,用户针对将要进行的认证所要求的挑战的数量是可变的、或者对用户作出的挑战是可周期性变化的。例如,在首次登录时,可向用户请求其PIN和邮政编码(邮递区号),而在第二次登录时,可向用户请求其PIN和生日。因此,挑战的数量以及所提问的问题可随时间随机地变化。这可通过使用元数据表来实现,该元数据表定义了在授权许可之前,用户所需输入的挑战的数量。
在图5所示的实施方式中,用户经由具有OTP应用程序的同一设备来与客户端站点进行交互。利用现代电信设备,同一设备可提供两个或多个通信信道。然而,可预见到,可使用本发明来分隔通信信道,从而例如移动电话为具有OTP函数的用户设备,而交易是亲自执行的(例如,在银行)、或在分立的机器(例如,PC或商店终端)上执行的。尝试进行交易的个人必须拥有电话,以便能够获得所需要的OTP。尽管未授权个人可能掌控移动电话、或可选地可能获取访问用户PC的权限,但是他们同时获取访问PC、移动电话以及用户PIN是不太可能的。
因此,所述OTP应用程序为软件凭证,该凭证等价于安全双因素认证所通常需要的硬件凭证。然而,同一OTP应用程序可用于支持不同的安全密钥,例如两个人可共享一移动电话,并通过使用不同的PIN号来认证他们自身。
在一种实施方式中,可存在一可预见的联名账户系统,其中多个用户均具有OTP应用程序。为了对交易进行授权或认证,连接到此账户的所有用户均需要提供他们的正确OTP。
该过程可由个人以及机器使用,例如两个服务器可使用该方案来对B2B交易进行认证。
对于更为宽松的安全级别政策,我们可例如决定设置一“冷却周期(cooloff period)”,用户必须在该冷却周期之内经由不同的信道将OTP号送回服务器。例如,经由单独的设备发送至支持OTP应用程序的一方。可基于时间限制或交易的量来计算所述冷却周期。
所述方案是非常灵活的,足以支持不同类型的安全级别,例如,银行可决定允许仅经由电子银行网站而将OTP应用程序所生成的OTP送回认证服务器,也就是说,OTP应用程序例如位于移动电话上,且交易码经由SMS来接收。OTP经由不同的通信信道(即,因特网)而被返回。
如前所述,本发明可仅为安全系统的一部分,且可仅构成任何特定交易的认证过程的一部分。本发明可与其他安全特征一起使用,而不存在任何限制。例如,用户设备可为GPRS系统或提供用户设备位置指示的其他系统的一部分。因此,所述认证过程可包括对用户设备的位置的检查。
可以理解的是,出于清楚的目的,在多个单独的实施方式中描述的本发明的各种特征还可组合到单个实施方式中。相反地,出于简洁的目的,在单个实施方式中描述的本发明的各种特征还可单独提供、或可以以任何合适的次组合的形式提供。
以上实施方式中的算法引擎在其他应用中也是很有用的。所述算法引擎的基础在于,使用了以各种方式组合的大量库存函数和运算符,以产生大量新的OTP函数。图6示出了OTP应用程序引擎的一种实施方式。所述OTP函数和应用程序可用于以下特定应用中:
目前,一般而言,软件包被签发给用户,且本质上,一般存在单个用于生成每个软件复本的安全码或安全号的算法。一旦该算法被破解(可能通过暴力攻击来破解),就可使得伪造的产品复本具有可被校验服务器所接受的“有效”安全码。无法在不使合法软件副本无效的情况下改变所述算法。
一种可选方案是设立具有不同算法的不同域,这意味着可对某种算法进行无效,且将仅影响同一域中的合法复本。
可使用本发明,通过为每一软件包提供根据本发明的OTP应用程序,来为每一软件包提供唯一的算法。所述OTP应用程序(包含OTP函数的实例)与交易码相关联。所述OTP函数对于每一软件包而言、或对于一个域中的每个软件包而言都是唯一的,从而使得破译算法变得无利可图,因为破译OTP应用程序将仅会影响该OTP应用程序的单个实例。
在本发明的当前应用中,所述OTP应用程序不要求单独的PIN——秘密密钥或标识码可被视为是固定的或多余的。
尽管已从软件包方面讨论了本申请,但被认证的产品的身份与所签发的OTP应用程序无关,且本技术可应用于任何产品或认证/校验情形,例如投票(在线投票或非在线投票)、用户访问等。特别地,所述OTP应用程序可附有一媒体文件,所述OTP应用程序可保护此类由电子装置(例如通过计算机网络)所分发的文件。
本发明并不限于软件方案。OTP算法引擎所生成的OTP函数可嵌入卡中,例如存储卡或IC卡、凭证、票据等等。此类的物理标识装置可能不具有输入,且通过认证系统,唯一或近似唯一的算法将与用户相关联。此类系统可用于例如银行或投票情形中,以对个人进行识别。
本发明的OTP应用程序允许使用生物识别设备来在网络(例如,因特网)上进行认证。每个生物识别设备被给定一单独的OTP应用程序,且该OTP应用程序的标识码为所输入的生物数据。这是输入OTP函数所需要的秘密密钥或标识码的可选方法的一种示例。
在现有技术中,生物识别设备的输出是一相对固定的值,该值为生物识别设备在用户端所确证的值。本发明的使用允许在非用户端进行用户认证,例如通过认证服务器进行认证。认证服务器可通过与生物识别设备相关联的OTP应用程序的信息以及基于生物信息(传统上,该生物信息被预先注册于所述认证服务器,)来对用户进行认证。在该实施方式中,不需要单独为该实施方式提供交易码,但该交易码可以例如由生物识别系统自身生成。然而,所述生物识别设备可与根据本发明认证技术的更为普通的实施方式的OTP应用程序相结合来使用。在此情况下,也可将用于提供交易码的各种选项应用至本实施方式。
此外,所述OTP应用程序可接收一个或多个进一步的输入,例如用户的PIN。
尽管本发明的多种实施方式已通过示例性方式进行描述,但本领域技术人员在不脱离所附权利要求书所限定的本发明的范围的情况下,还可想到各种修改和替代。
Claims (55)
1.一种用于向具有用户设备的用户授予许可以执行交易的认证系统,该系统包括:
用于存储与所述用户相关联的用户标识码的装置;
用于生成多个函数的装置,所述多个函数用于基于用户的至少一个输入来产生通过码,所述至少一个输入包括所述用户标识码;
用于存储至少一个函数并将该函数与用户相关联的装置;
用于生成应用程序的装置,所述应用程序适用于在所述用户设备上实施所述至少一个函数;
用于将所述应用程序提供给所述用户设备的装置;
用于生成与所述交易相关联的交易码并用于将该交易码提供给所述应用程序的装置;以及
用于从所述用户设备接收用于所述交易的通过码并用于基于所接收的通过码、与所述用户相关联的函数、所述用户标识码以及与所述交易相关联的交易码来认证所述交易的装置。
2.根据权利要求1所述的系统,其中所述多个函数为对称函数,以使得能够根据其他输入、所述函数以及输出的信息来得出至少一个输入。
3.根据权利要求1或2所述的系统,其中所述多个函数中的至少两者在功能上是唯一的。
4.根据权利要求3所述的系统,其中所述至少两个函数与不同的用户相关联。
5.根据上述权利要求中任一项权利要求所述的系统,其中所述应用程序适用于实施所述多个函数中的不止一者。
6.根据权利要求5所述的系统,其中该系统适用于发送控制码至所述应用程序以选择所述多个函数中的一者。
7.根据权利要求5所述的系统,其中所述交易码被用于为所述交易选择所述多个函数中的一者来实施。
8.根据权利要求1-6中任一项权利要求所述的系统,其中所述用户标识码和所述交易码被用作所述函数的输入。
9.根据上述权利要求中任一项权利要求所述的系统,其中所述用于生成多个函数的装置包括函数组件库以及用于在所述函数组件中随机选择以提供所述复合函数的装置。
10.根据权利要求9所述的系统,其中所述函数组件包括选自由以下各项所构成的组中的组件:数学函数、数学运算、串处理、日期计算、比特处理、计算机逻辑命令、计算机逻辑流、计算机逻辑条件、所嵌入的硬编码值以及数据结构处理。
11.根据上述权利要求中任一项权利要求所述的系统,其中所述用于生成多个函数的装置包括用于校验所述多个函数的装置。
12.根据权利要求11所述的系统,其中所述用于校验所述多个函数的装置执行与之前所生成的函数的预定选集的比较,并且如果超出了预定重复水平,则舍弃所生成的函数。
13.根据权利要求12所述的系统,其中一批函数中的每个函数均是唯一的。
14.根据上述权利要求中任一项权利要求所述的系统,其中适用于实施所述至少一个函数的应用程序提供用户接口。
15.根据上述权利要求中任一项权利要求所述的系统,其中所述用于将所述应用程序提供给所述用户设备的装置包括用于发送电子消息至所述用户设备的装置,所述消息包括一地址,所述应用程序能够根据该地址而被下载。
16.根据上述权利要求中任一项权利要求所述的系统,其中所述标识码是根据生物特征数据得出的。
17.一种认证方法,该方法包括:
存储与用户相关联的用户标识码;
生成多个函数,所述多个函数用于基于用户的至少一个输入来产生通过码,所述至少一个输入包括所述用户标识码;
存储至少一个函数并将该函数与用户相关联;
生成适用于在用户设备上实施所述至少一个函数的应用程序;
将所述应用程序提供至所述用户设备;
生成与交易相关联的交易码,并将该交易码提供给所述应用程序;以及
从所述用户设备接收用于所述交易的通过码,并基于所接收的通过码、与所述用户相关联的函数、所述用户标识码以及与所述交易相关联的交易码来认证所述交易。
18.根据权利要求17所述的方法,其中所述多个函数为对称函数,以使得能够根据其他输入、所述函数以及输出的信息来得出至少一个输入。
19.根据权利要求17或18所述的方法,其中所述多个函数中的至少两者在功能上是唯一的。
20.根据权利要求19所述的方法,其中所述至少两个函数与不同的用户相关联。
21.根据权利要求17-20中任一项权利要求所述的方法,其中所述应用程序适用于实施所述多个函数中的不止一者。
22.根据权利要求21所述的方法,该方法包括发送控制码至所述应用程序,以选择所述多个函数中的一者。
23.根据权利要求21所述的方法,其中所述交易码被用于为所述交易选择所述多个函数中的一者来实施。
24.根据权利要求17-22中任一项权利要求所述的方法,其中所述用户标识码和所述交易码被用作所述函数的输入。
25.根据权利要求17-24中任一项权利要求所述的方法,其中所述用于生成多个函数的装置包括函数组件库以及用于在所述函数组件中随机选择以提供所述复合函数的装置。
26.根据权利要求25所述的方法,其中所述函数组件包括选自由以下各项所构成的组中的组件:数学函数、数学运算、串处理、日期计算、比特处理、计算机逻辑命令、计算机逻辑流、计算机逻辑条件、所嵌入的硬编码值以及数据结构处理。
27.根据权利要求17-26中任一项权利要求所述的方法,该方法包括校验所述多个函数。
28.根据权利要求27所述的方法,其中所述用于校验所述多个函数的装置执行与之前所生成的函数的预定选集的比较,并且如果超出了预定重复水平,则舍弃所生成的函数。
29.根据权利要求28所述的方法,其中一批函数中的每个函数均是唯一的。
30.根据权利要求17-29中任一项权利要求所述的方法,其中适用于实施所述至少一个函数的应用程序提供用户接口。
31.根据权利要求17-30中任一项权利要求所述的方法,其中将所述应用程序提供给所述用户设备包括发送电子消息至所述用户设备,所述消息包括一地址,所述应用程序能够根据该地址而被下载。
32.根据权利要求17-31中任一项权利要求所述的方法,其中所述标识码是根据生物特征数据得出的。
33.一种认证服务器,该认证服务器包括:
用于存储与用户相关联的用户标识码的存储器;
用于生成多个函数的函数生成器,所述函数适用于基于用户的至少一个输入来产生通过码,所述至少一个输入包括所述用户标识码;
用于存储至少一个函数并将该函数与用户相关联的存储器;
用于生成应用程序的应用程序生成器,所述应用程序适用于在所述用户设备上实施所述至少一个函数;
用于将所述应用程序分发至所述用户设备的应用程序分发器;
用于生成与交易相关联的交易码的交易码生成器;
用于将所述交易码提供至所述应用程序的交易码分发器;以及
用于从用户设备接收用于所述交易的通过码,并用于基于所接收的通过码、与所述用户相关联的函数、所述用户标识码以及与所述交易相关联的交易码来认证所述交易的控制器。
34.一种携带有计算机可读代码的载体介质,所述计算机可读代码用于控制计算机执行权利要求17-32中任一项权利要求所述的方法。
35.一种认证系统,该认证系统包括用于生成多个通过码函数的函数生成器,该函数生成器包括:
复合模块,用于选择多个预定义的部分函数,并通过使用一个或多个预定义运算符来组合所选的部分函数以产生复合函数;以及
校验模块,用于确定每个函数均是可逆的,且一批复合函数中的复合函数是唯一的。
36.根据权利要求35所述的认证系统,其中所述校验模块执行与之前所生成的函数的预定选集的比较,并且如果超出了预定重复水平,则舍弃所生成的函数。
37.根据权利要求35或36所述的认证系统,其中所述校验模块还确定以下各项中的一者或多者:
(i)每一复合函数具有预定复杂度;
(ii)一批函数中的每一复合函数在给定相同输入的情况下给出不同的输出。
38.根据权利要求35、36或37所述的认证系统,该认证系统包括用于生成所述多个预定义的部分函数的预定义模块。
39.根据权利要求35-38中任一项权利要求所述的认证系统,其中所述部分函数选自以下各项中的一者或多者:数学函数和运算、串处理、日期计算、比特处理、包含逻辑流或条件的计算机逻辑命令、所嵌入的硬编码值以及数据结构处理。
40.根据权利要求35-39中任一项权利要求所述的认证系统,该认证系统包括由校验后的复合函数构成的数据库。
41.根据权利要求35-40中任一项权利要求所述的认证系统,该认证系统包括函数选择模块和应用程序产生器,所述函数选择模块用于从所述数据库选择至少一个复合函数,所述应用程序产生器用于根据所述复合函数来生成程序脚本。
42.根据权利要求41所述的认证系统,其中所述应用程序产生器包括编译器,该编译器用于将所述程序脚本编译进应用程序,以将所述至少一个复合函数嵌入该应用程序内。
43.一种包括认证应用程序的通信设备,所述认证应用程序包括嵌于该认证应用程序内的至少一个通过码算法,所述应用程序适用于基于针对特定交易生成的交易码以及识别待认证的个人或产品的标识码来生成通过码。
44.根据权利要求43所述的通信设备,其中包括至少一个被嵌入的通过码函数的所述应用程序提供用于用户输入数据至所述通过码函数的接口。
45.根据权利要求43或44所述的通信设备,该通信设备包括认证应用程序,该认证应用程序用于接收由与交易有关的第三方生成的通过码,并用于将所接收的通过码与该通信设备上的应用程序所生成的通过码进行比较,以认证所述第三方。
46.一种生成通过码应用程序的方法,所述通过码应用程序包括嵌于所述通过码应用程序内的通过码函数,所述方法包括:
选择多个预定义的部分函数,并通过使用一个或多个预定义运算符来组合所选的部分函数以产生复合函数;以及
通过确定每个函数均是可逆的且一批复合函数中的复合函数是唯一的来对所述函数进行校验。
47.根据权利要求46所述的方法,其中所述校验步骤包括执行与之前所生成的函数的预定选集的比较,并且如果超出了预定重复水平,则舍弃所生成的函数。
48.根据权利要求46或47所述的方法,该方法包括生成所述多个预定义的部分函数。
49.根据权利要求46-48中任一项权利要求所述的方法,其中所述部分函数选自以下各项中的一者或多者:数学函数和运算、串处理、日期计算、比特处理、包含逻辑流或条件的计算机逻辑命令、所嵌入的硬编码值以及数据结构处理。
50.根据权利要求46-49中任一项权利要求所述的方法,该方法包括存储校验后的复合函数,以提供由校验后的复合函数构成的数据库。
51.根据权利要求45-49中任一项权利要求所述的方法,该方法包括从所述数据库选择至少一个复合函数,并根据该复合函数来生成程序脚本。
52.根据权利要求51所述的方法,该方法包括将所述程序脚本编译进应用程序,以将所述至少一个复合函数嵌入所述应用程序内。
53.一种系统,该系统包括生物识别设备以及与该生物识别设备相关联的认证应用程序,该认证应用程序包括嵌于该认证应用程序内的至少一个通过码算法,所述应用程序适用于基于针对特定交易所生成的交易码以及与所述生物识别设备所生成的生物特征数据相对应的标识码来生成通过码。
54.根据权利要求53所述的系统,其中所述应用程序适用于基于除所述生物特征数据和交易码之外的至少又一个输入来生成通过码。
55.根据权利要求53或54所述的系统,其中所述交易码由根据权利要求16所述的系统来生成。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/GB2007/002375 WO2009001020A1 (en) | 2007-06-26 | 2007-06-26 | Authentication system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101803272A true CN101803272A (zh) | 2010-08-11 |
| CN101803272B CN101803272B (zh) | 2013-08-14 |
Family
ID=39093064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007801000083A Expired - Fee Related CN101803272B (zh) | 2007-06-26 | 2007-06-26 | 认证系统和方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8935762B2 (zh) |
| EP (1) | EP2160864B8 (zh) |
| JP (1) | JP5184627B2 (zh) |
| CN (1) | CN101803272B (zh) |
| AT (1) | ATE545914T1 (zh) |
| CA (1) | CA2692083C (zh) |
| WO (1) | WO2009001020A1 (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102780674A (zh) * | 2011-05-09 | 2012-11-14 | 同方股份有限公司 | 一种具有多因素认证方法的网络业务处理方法及系统 |
| CN103403730A (zh) * | 2011-02-01 | 2013-11-20 | 皇家飞利浦电子股份有限公司 | 在紧急情况中对个人健康记录进行安全访问 |
| CN104488302A (zh) * | 2013-05-22 | 2015-04-01 | 松下电器(美国)知识产权公司 | 无线连接认证方法以及服务器 |
| CN104782099A (zh) * | 2012-11-21 | 2015-07-15 | 三菱电机株式会社 | 认证请求访问至少一个资源的至少一个终端的方法和系统 |
| CN106169953A (zh) * | 2015-05-19 | 2016-11-30 | Sk普兰尼特有限公司 | 按照面对面确认方式发布otp应用的系统和方法 |
| CN106575401A (zh) * | 2014-07-31 | 2017-04-19 | 诺克诺克实验公司 | 用于使用数据分析执行验证的系统和方法 |
| CN107026844A (zh) * | 2016-01-06 | 2017-08-08 | 森斯通株式会社 | 强化了安全性的用户认证方法 |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| CN113475047A (zh) * | 2018-12-21 | 2021-10-01 | 奥兰治 | 用于保护操作的方法和系统以及相关联的用户站 |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11929997B2 (en) | 2013-03-22 | 2024-03-12 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
Families Citing this family (84)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100293593A1 (en) * | 2008-01-11 | 2010-11-18 | Fredrik Lindholm | Securing contact information |
| US8949955B2 (en) * | 2008-10-29 | 2015-02-03 | Symantec Corporation | Method and apparatus for mobile time-based UI for VIP |
| US20100122327A1 (en) * | 2008-11-10 | 2010-05-13 | Apple Inc. | Secure authentication for accessing remote resources |
| US9166975B2 (en) | 2012-02-16 | 2015-10-20 | Inbay Technologies Inc. | System and method for secure remote access to a service on a server computer |
| US8739252B2 (en) | 2009-02-03 | 2014-05-27 | Inbay Technologies Inc. | System and method for secure remote access |
| US9485254B2 (en) | 2009-02-03 | 2016-11-01 | Inbay Technologies Inc. | Method and system for authenticating a security device |
| US9521142B2 (en) | 2009-02-03 | 2016-12-13 | Inbay Technologies Inc. | System and method for generating passwords using key inputs and contextual inputs |
| US8468582B2 (en) * | 2009-02-03 | 2013-06-18 | Inbay Technologies Inc. | Method and system for securing electronic transactions |
| US8973111B2 (en) | 2009-02-03 | 2015-03-03 | Inbay Technologies Inc. | Method and system for securing electronic transactions |
| US9548978B2 (en) | 2009-02-03 | 2017-01-17 | Inbay Technologies Inc. | Method and system for authorizing secure electronic transactions using a security device |
| US9608988B2 (en) | 2009-02-03 | 2017-03-28 | Inbay Technologies Inc. | Method and system for authorizing secure electronic transactions using a security device having a quick response code scanner |
| US9736149B2 (en) | 2009-02-03 | 2017-08-15 | Inbay Technologies Inc. | Method and system for establishing trusted communication using a security device |
| US8230231B2 (en) * | 2009-04-14 | 2012-07-24 | Microsoft Corporation | One time password key ring for mobile computing device |
| US20120131655A1 (en) * | 2009-05-11 | 2012-05-24 | Emue Holdings Pty Ltd. | User Authentication Device and Method |
| US20100319058A1 (en) * | 2009-06-16 | 2010-12-16 | Chia-Hong Chen | Method using electronic chip for authentication and configuring one time password |
| US20100332832A1 (en) * | 2009-06-26 | 2010-12-30 | Institute For Information Industry | Two-factor authentication method and system for securing online transactions |
| US8572394B2 (en) * | 2009-09-04 | 2013-10-29 | Computer Associates Think, Inc. | OTP generation using a camouflaged key |
| US10581834B2 (en) * | 2009-11-02 | 2020-03-03 | Early Warning Services, Llc | Enhancing transaction authentication with privacy and security enhanced internet geolocation and proximity |
| US8806592B2 (en) * | 2011-01-21 | 2014-08-12 | Authentify, Inc. | Method for secure user and transaction authentication and risk management |
| US8843757B2 (en) * | 2009-11-12 | 2014-09-23 | Ca, Inc. | One time PIN generation |
| FR2953615B1 (fr) * | 2009-12-04 | 2014-11-21 | Thales Sa | Systemes de stockage distribue securise de donnees personnelles, notamment d'empreintes biometriques, et systeme, dispositif et procede de controle d'identite |
| US8527758B2 (en) * | 2009-12-09 | 2013-09-03 | Ebay Inc. | Systems and methods for facilitating user identity verification over a network |
| US8613065B2 (en) * | 2010-02-15 | 2013-12-17 | Ca, Inc. | Method and system for multiple passcode generation |
| US9021562B1 (en) | 2010-02-26 | 2015-04-28 | United Services Automobile Association | Systems and methods for secure logon |
| US9277403B2 (en) * | 2010-03-02 | 2016-03-01 | Eko India Financial Services Pvt. Ltd. | Authentication method and device |
| US9009800B2 (en) * | 2010-06-24 | 2015-04-14 | Infosys Limited | Systems and methods of authentication in a disconnected environment |
| FR2964812B1 (fr) * | 2010-09-09 | 2013-04-12 | Mobilegov France | Procede d'authentification pour l'acces a un site web |
| WO2012036683A2 (en) * | 2010-09-16 | 2012-03-22 | James Ng | Universal authentication method |
| US8312519B1 (en) * | 2010-09-30 | 2012-11-13 | Daniel V Bailey | Agile OTP generation |
| US8555355B2 (en) * | 2010-12-07 | 2013-10-08 | Verizon Patent And Licensing Inc. | Mobile pin pad |
| US8640213B2 (en) * | 2011-02-07 | 2014-01-28 | Symantec Corporation | Method and system for automatic authentication |
| GB2495704B (en) | 2011-10-12 | 2014-03-26 | Technology Business Man Ltd | ID Authentication |
| CN104025504B (zh) | 2011-12-27 | 2018-07-31 | 英特尔公司 | 用于通过设备特定的一次性密码向网络认证的方法、系统、设备和装置 |
| JP5950691B2 (ja) * | 2012-02-09 | 2016-07-13 | シャープ株式会社 | 情報処理システム、情報処理装置、及び通信接続方法 |
| KR20130098007A (ko) * | 2012-02-27 | 2013-09-04 | 전용덕 | 개인 익명화 코드를 이용한 인증 통합 관리/운용 시스템 및 그 방법과 준 공공적 통합인증센터 |
| US8875263B1 (en) * | 2012-03-29 | 2014-10-28 | Emc Corporation | Controlling a soft token running within an electronic apparatus |
| US8819769B1 (en) | 2012-03-30 | 2014-08-26 | Emc Corporation | Managing user access with mobile device posture |
| US8683563B1 (en) | 2012-03-30 | 2014-03-25 | Emc Corporation | Soft token posture assessment |
| CN102664736A (zh) * | 2012-04-13 | 2012-09-12 | 天地融科技股份有限公司 | 电子密码生成方法、装置和设备以及电子密码认证系统 |
| US10025920B2 (en) * | 2012-06-07 | 2018-07-17 | Early Warning Services, Llc | Enterprise triggered 2CHK association |
| IL220802A (en) * | 2012-07-05 | 2017-04-30 | Nir Shaked | A system and method for verifying a transaction over a data network |
| KR101451214B1 (ko) * | 2012-09-14 | 2014-10-15 | 주식회사 엘지씨엔에스 | 결제 방법, 이를 실행하는 결제 서버, 이를 저장한 기록 매체 및 이를 실행하는 시스템 |
| DE102012109051A1 (de) * | 2012-09-25 | 2014-05-15 | Mindmatics Secure Messaging Gmbh | Verfahren zum Austauschen einer vertraulichen Information zwischen einem Server und einem mobilen Endgerät |
| US8943556B2 (en) * | 2012-09-28 | 2015-01-27 | Intel Corporation | Secure information release |
| US9082119B2 (en) | 2012-10-17 | 2015-07-14 | Royal Bank of Canada. | Virtualization and secure processing of data |
| US11210648B2 (en) | 2012-10-17 | 2021-12-28 | Royal Bank Of Canada | Systems, methods, and devices for secure generation and processing of data sets representing pre-funded payments |
| US11080701B2 (en) | 2015-07-02 | 2021-08-03 | Royal Bank Of Canada | Secure processing of electronic payments |
| KR20150090159A (ko) * | 2012-11-23 | 2015-08-05 | 오말코 네트워크 솔루션스 리미티드 | 티켓용 보안 개선 |
| EP2741444A1 (en) * | 2012-12-10 | 2014-06-11 | Gemalto SA | Method for server assisted keystore protection |
| GB2510895A (en) * | 2013-02-18 | 2014-08-20 | Mikhail Fleysher | A method and system for generation of dynamic password |
| DE102013102092B4 (de) * | 2013-03-04 | 2015-08-20 | Christian Palm | Verfahren und Vorrichtung zum Authentifizieren von Personen |
| US9386019B1 (en) * | 2013-03-14 | 2016-07-05 | Ca, Inc. | System and method for controlled access to network devices |
| CN103220280A (zh) * | 2013-04-03 | 2013-07-24 | 天地融科技股份有限公司 | 动态口令牌、动态口令牌数据传输方法及系统 |
| US9213820B2 (en) * | 2013-09-10 | 2015-12-15 | Ebay Inc. | Mobile authentication using a wearable device |
| US9106642B1 (en) * | 2013-09-11 | 2015-08-11 | Amazon Technologies, Inc. | Synchronizing authentication sessions between applications |
| US9088568B1 (en) | 2013-09-11 | 2015-07-21 | Talati Family LP | Apparatus, system and method for secure data exchange |
| US10127023B2 (en) | 2013-09-20 | 2018-11-13 | Oracle International Corporation | Computer-aided development of native mobile application code |
| US9588742B2 (en) | 2013-09-20 | 2017-03-07 | Oracle International Corporation | Rule-based automatic class generation from a JSON message |
| US9858321B2 (en) | 2013-09-20 | 2018-01-02 | Oracle International Corporation | Accessing application services from forms |
| JP6144186B2 (ja) * | 2013-12-09 | 2017-06-07 | 日本電信電話株式会社 | 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体 |
| US9148284B2 (en) * | 2014-01-14 | 2015-09-29 | Bjoern Pirrwitz | Identification and/or authentication method |
| US10423775B1 (en) * | 2014-06-05 | 2019-09-24 | Amazon Technologies, Inc. | Assisted password generation |
| AU2015330644A1 (en) | 2014-10-10 | 2017-04-20 | Royal Bank Of Canada | Systems for processing electronic transactions |
| KR101561499B1 (ko) * | 2014-11-27 | 2015-10-20 | 주식회사 미래테크놀로지 | 엔에프씨 인증카드를 이용한 인증방법 |
| GB2533095A (en) * | 2014-12-08 | 2016-06-15 | Cryptomathic Ltd | System and method |
| AU2015101996A4 (en) | 2014-12-24 | 2022-01-20 | Isx Ip Ltd | Securing a transaction |
| CA2974151C (en) | 2015-01-19 | 2023-11-21 | Royal Bank Of Canada | Secure processing of electronic payments |
| US11354651B2 (en) | 2015-01-19 | 2022-06-07 | Royal Bank Of Canada | System and method for location-based token transaction processing |
| EP3065366B1 (en) * | 2015-03-02 | 2020-09-09 | Bjoern Pirrwitz | Identification and/or authentication system and method |
| CN104780170A (zh) * | 2015-04-16 | 2015-07-15 | 宁波保税区攀峒信息科技有限公司 | 一种安全验证方法和装置 |
| DE102015006751A1 (de) | 2015-05-26 | 2016-12-01 | Giesecke & Devrient Gmbh | Verfahren zur Bereitstellung eines persönlichen Identifikationscodes eines Sicherheitsmoduls |
| US9990127B2 (en) * | 2015-06-17 | 2018-06-05 | Ca, Inc. | Secure user input mode for electronic devices using randomized mathematical operators and operands |
| US11599879B2 (en) | 2015-07-02 | 2023-03-07 | Royal Bank Of Canada | Processing of electronic transactions |
| US10313351B2 (en) | 2016-02-22 | 2019-06-04 | At&T Intellectual Property I, L.P. | Dynamic passcodes in association with a wireless access point |
| US10270762B2 (en) * | 2016-04-28 | 2019-04-23 | SSenStone Inc. | User authentication method for enhancing integrity and security |
| US10104055B2 (en) * | 2016-05-27 | 2018-10-16 | David Joseph Ponder | System and process of protecting client side information in electronic transactions |
| IT201600079574A1 (it) * | 2016-07-28 | 2018-01-28 | Infocert S P A | Metodo di autenticazione sicura di una richiesta rivolta ad un fornitore remoto e generata in un dispositivo personale mediante l'utilizzo di una password monouso dipendente anche dalla richiesta |
| IT201600079563A1 (it) * | 2016-07-28 | 2018-01-28 | Infocert S P A | Metodo di autenticazione sicura di una richiesta rivolta ad un fornitore remoto e generata in un dispositivo personale con biforcazione della trasmissione di un mezzo di autenticazione |
| CN107094076B (zh) * | 2017-04-14 | 2018-09-25 | 江苏亨通问天量子信息研究院有限公司 | 基于量子真随机数的保密通信方法及通信系统 |
| JP2019133384A (ja) * | 2018-01-31 | 2019-08-08 | Dynabook株式会社 | 電子機器、制御システム及び制御方法 |
| EP3777070B1 (en) * | 2018-04-10 | 2022-10-12 | Visa International Service Association | Deep link authentication |
| KR102190359B1 (ko) * | 2019-04-24 | 2020-12-11 | 넷마블 주식회사 | 무결성 검증 방법 및 장치 |
| US20210064737A1 (en) * | 2019-08-28 | 2021-03-04 | Gary William Streuter | Hybrid password formed by an online website which programmatically creates a base password and combines said base password with a secondary password or personal identification number (PIN) entered by the account owner, and together said base password and said user entered password or PIN forms said hybrid password, whose total identity is not known to either said online website nor said account owner |
| KR102215281B1 (ko) * | 2020-03-23 | 2021-02-10 | 이승철 | 전기화재가스감지 이벤트 처리 배전반 |
Family Cites Families (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5491752A (en) | 1993-03-18 | 1996-02-13 | Digital Equipment Corporation, Patent Law Group | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens |
| JP3053527B2 (ja) | 1993-07-30 | 2000-06-19 | インターナショナル・ビジネス・マシーンズ・コーポレイション | パスワードを有効化する方法及び装置、パスワードを生成し且つ予備的に有効化する方法及び装置、認証コードを使用して資源のアクセスを制御する方法及び装置 |
| US5343529A (en) | 1993-09-28 | 1994-08-30 | Milton Goldfine | Transaction authentication using a centrally generated transaction identifier |
| GB2300288A (en) | 1994-01-14 | 1996-10-30 | Michael Jeremy Kew | A computer security system |
| US5668876A (en) | 1994-06-24 | 1997-09-16 | Telefonaktiebolaget Lm Ericsson | User authentication method and apparatus |
| US5737421A (en) | 1996-03-22 | 1998-04-07 | Activcard | System for controlling access to a function having clock synchronization |
| US5937068A (en) | 1996-03-22 | 1999-08-10 | Activcard | System and method for user authentication employing dynamic encryption variables |
| DE69712881T2 (de) | 1996-03-22 | 2003-01-09 | Activcard Suresnes | Eine uhrsynchronisierungsvorrichtung enthaltendes zugangskontrollsystem zu einer funktion |
| AU2297597A (en) | 1996-03-22 | 1997-10-17 | Activcard | Function access control system with encryption using a plurality of dynamic variables |
| US5815573A (en) | 1996-04-10 | 1998-09-29 | International Business Machines Corporation | Cryptographic key recovery system |
| US5742686A (en) * | 1996-06-14 | 1998-04-21 | Finley; Phillip Scott | Device and method for dynamic encryption |
| US6738907B1 (en) | 1998-01-20 | 2004-05-18 | Novell, Inc. | Maintaining a soft-token private key store in a distributed environment |
| EP0936530A1 (en) * | 1998-02-16 | 1999-08-18 | Siemens Nixdorf Informationssysteme AG | Virtual smart card |
| KR20010083110A (ko) * | 1999-05-12 | 2001-08-31 | 추후제출 | 인쇄매체를 활용한 쌍방향 통신 |
| JP2001067320A (ja) | 1999-08-25 | 2001-03-16 | Railway Technical Res Inst | 情報提供支援方法及びその手順を記録した記録媒体 |
| US6934858B2 (en) | 1999-12-15 | 2005-08-23 | Authentify, Inc. | System and method of using the public switched telephone network in providing authentication or authorization for online transactions |
| EP1290850A2 (en) | 2000-05-24 | 2003-03-12 | Expertron Group (Pty) Ltd | Authentication system and method |
| JP2002132728A (ja) | 2000-10-30 | 2002-05-10 | K Laboratory Co Ltd | ワンタイムパスワード認証システム |
| US20020073345A1 (en) | 2000-12-11 | 2002-06-13 | Joseph Esfahani | Secure indentification method and apparatus |
| US6912653B2 (en) | 2001-01-23 | 2005-06-28 | Erika Monika Gohl | Authenticating communications |
| JP2002312325A (ja) | 2001-04-13 | 2002-10-25 | Nippon Telegr & Teleph Corp <Ntt> | Icカードと連携したサービスアクセス端末装置ならびにその方法 |
| JP4141661B2 (ja) | 2001-04-27 | 2008-08-27 | 三菱電機インフォメーションシステムズ株式会社 | ユーザ認証サーバ及びユーザ認証方法及び利用者端末及びユーザ認証要求方法及びプログラムを記録したコンピュータ読み取り可能な記録媒体及びプログラム及び認証サーバ |
| WO2003050774A1 (en) | 2001-12-10 | 2003-06-19 | Beamtrust A/S | A method of distributing a public key |
| US6880079B2 (en) | 2002-04-25 | 2005-04-12 | Vasco Data Security, Inc. | Methods and systems for secure transmission of information using a mobile device |
| US20030204732A1 (en) | 2002-04-30 | 2003-10-30 | Yves Audebert | System and method for storage and retrieval of a cryptographic secret from a plurality of network enabled clients |
| US20040083373A1 (en) * | 2002-10-28 | 2004-04-29 | Perkins Gregory M. | Automatically generated cryptographic functions for renewable tamper resistant security systems |
| JP2006508471A (ja) | 2002-11-27 | 2006-03-09 | アールエスエイ セキュリティー インク | 識別認証システムおよび方法 |
| KR100412986B1 (en) | 2003-03-03 | 2003-12-31 | Initech Co Ltd | Method for generating and authenticating one-time password using synchronization and readable recording medium of storing program for generating one-time password |
| US8751801B2 (en) | 2003-05-09 | 2014-06-10 | Emc Corporation | System and method for authenticating users using two or more factors |
| KR100581590B1 (ko) | 2003-06-27 | 2006-05-22 | 주식회사 케이티 | 이중 요소 인증된 키 교환 방법 및 이를 이용한 인증방법과 그 방법을 포함하는 프로그램이 저장된 기록매체 |
| US20050044377A1 (en) | 2003-08-18 | 2005-02-24 | Yen-Hui Huang | Method of authenticating user access to network stations |
| AU2004282865B2 (en) | 2003-10-14 | 2009-05-28 | Syferlock Technology Corporation | Authentication system |
| JP2005352629A (ja) * | 2004-06-09 | 2005-12-22 | Netmarks Inc | 利用者識別方法、システム及びプログラム |
| US20060031174A1 (en) * | 2004-07-20 | 2006-02-09 | Scribocel, Inc. | Method of authentication and indentification for computerized and networked systems |
| US20060059344A1 (en) | 2004-09-10 | 2006-03-16 | Nokia Corporation | Service authentication |
| EP1646174A1 (en) | 2004-10-07 | 2006-04-12 | Axalto SA | Method and apparatus for generating cryptographic sets of instructions automatically and code generation |
| US7734280B2 (en) | 2004-10-29 | 2010-06-08 | Motorola, Inc. | Method and apparatus for authentication of mobile devices |
| CA2625808A1 (en) | 2004-11-15 | 2006-05-18 | Runtime Ab | Apparatus and method for secure credit card processing infrastructure |
| CN101084643B (zh) | 2004-12-21 | 2010-05-12 | Emue控股集团公司 | 认证装置和/或方法 |
| NO20050152D0 (no) * | 2005-01-11 | 2005-01-11 | Dnb Nor Bank Asa | Fremgangsmate ved frembringelse av sikkerhetskode og programmbar anordning for denne |
| WO2006091301A2 (en) | 2005-01-24 | 2006-08-31 | Bionopoly Llc | Passcodes |
| JP4682187B2 (ja) | 2005-02-17 | 2011-05-11 | 富士通株式会社 | 認証システム、情報提供方法及び情報提供システム |
| FR2888691A1 (fr) | 2005-07-13 | 2007-01-19 | Gemplus Sa | Procede et dispositif d'autorisation de transaction |
| US20070130463A1 (en) | 2005-12-06 | 2007-06-07 | Eric Chun Wah Law | Single one-time password token with single PIN for access to multiple providers |
| KR20070077569A (ko) | 2006-01-24 | 2007-07-27 | 삼성전자주식회사 | 휴대폰을 이용한 일회용 패스워드 서비스 시스템 및 방법 |
| JP5025203B2 (ja) | 2006-01-25 | 2012-09-12 | 株式会社ジャパンネット銀行 | ユーザ情報管理方法及びユーザ情報管理システム |
| JP3939736B1 (ja) | 2006-03-27 | 2007-07-04 | 株式会社シー・エス・イー | ユーザ認証システム、およびその方法 |
| JP3996939B2 (ja) | 2006-03-30 | 2007-10-24 | 株式会社シー・エス・イー | オフラインユーザ認証システム、その方法、およびそのプログラム |
| AU2007260593B2 (en) | 2006-06-16 | 2012-01-19 | Fmt Worldwide Pty Ltd | An authentication system and process |
| GB2440358B (en) | 2006-06-30 | 2009-04-08 | G3 Vision Ltd | Authentication system and method |
| JP2008015877A (ja) | 2006-07-07 | 2008-01-24 | Fujitsu Ltd | 認証システム及びその方法 |
| US20080034216A1 (en) | 2006-08-03 | 2008-02-07 | Eric Chun Wah Law | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords |
| US7886962B2 (en) * | 2006-08-17 | 2011-02-15 | Verizon Patent And Licensing Inc. | Multi-function transaction device |
| US7708194B2 (en) * | 2006-08-23 | 2010-05-04 | Verizon Patent And Licensing Inc. | Virtual wallet |
| WO2008032916A1 (en) | 2006-09-15 | 2008-03-20 | Initech Co., Ltd | Method for registering and certificating user of one time password by a plurality of mode and computer-readable recording medium where program executing the same method is recorded |
| CN1937498A (zh) | 2006-10-09 | 2007-03-28 | 网之易信息技术(北京)有限公司 | 一种动态密码认证方法、系统及装置 |
| US20100051686A1 (en) * | 2008-08-29 | 2010-03-04 | Covenant Visions International Limited | System and method for authenticating a transaction using a one-time pass code (OTPK) |
-
2007
- 2007-06-26 EP EP07733368A patent/EP2160864B8/en not_active Not-in-force
- 2007-06-26 CA CA2692083A patent/CA2692083C/en not_active Expired - Fee Related
- 2007-06-26 AT AT07733368T patent/ATE545914T1/de active
- 2007-06-26 CN CN2007801000083A patent/CN101803272B/zh not_active Expired - Fee Related
- 2007-06-26 JP JP2010514086A patent/JP5184627B2/ja not_active Expired - Fee Related
- 2007-06-26 US US12/666,767 patent/US8935762B2/en not_active Expired - Fee Related
- 2007-06-26 WO PCT/GB2007/002375 patent/WO2009001020A1/en active Application Filing
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103403730A (zh) * | 2011-02-01 | 2013-11-20 | 皇家飞利浦电子股份有限公司 | 在紧急情况中对个人健康记录进行安全访问 |
| CN102780674A (zh) * | 2011-05-09 | 2012-11-14 | 同方股份有限公司 | 一种具有多因素认证方法的网络业务处理方法及系统 |
| CN104782099A (zh) * | 2012-11-21 | 2015-07-15 | 三菱电机株式会社 | 认证请求访问至少一个资源的至少一个终端的方法和系统 |
| US11929997B2 (en) | 2013-03-22 | 2024-03-12 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| CN104488302A (zh) * | 2013-05-22 | 2015-04-01 | 松下电器(美国)知识产权公司 | 无线连接认证方法以及服务器 |
| CN104488302B (zh) * | 2013-05-22 | 2018-07-17 | 松下电器(美国)知识产权公司 | 无线连接认证方法以及服务器 |
| CN106575401B (zh) * | 2014-07-31 | 2021-01-12 | 诺克诺克实验公司 | 用于使用数据分析执行验证的系统和方法 |
| CN106575401A (zh) * | 2014-07-31 | 2017-04-19 | 诺克诺克实验公司 | 用于使用数据分析执行验证的系统和方法 |
| CN106169953A (zh) * | 2015-05-19 | 2016-11-30 | Sk普兰尼特有限公司 | 按照面对面确认方式发布otp应用的系统和方法 |
| CN106169953B (zh) * | 2015-05-19 | 2021-01-15 | Sk 普兰尼特有限公司 | 按照面对面确认方式发布otp应用的系统和方法 |
| CN107026844B (zh) * | 2016-01-06 | 2018-09-14 | 森斯通株式会社 | 强化了安全性的用户认证方法 |
| CN107026844A (zh) * | 2016-01-06 | 2017-08-08 | 森斯通株式会社 | 强化了安全性的用户认证方法 |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| CN113475047A (zh) * | 2018-12-21 | 2021-10-01 | 奥兰治 | 用于保护操作的方法和系统以及相关联的用户站 |
| CN113475047B (zh) * | 2018-12-21 | 2023-12-12 | 奥兰治 | 用于保护操作的方法和系统以及相关联的用户站 |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2160864B8 (en) | 2012-04-11 |
| ATE545914T1 (de) | 2012-03-15 |
| US8935762B2 (en) | 2015-01-13 |
| WO2009001020A1 (en) | 2008-12-31 |
| JP5184627B2 (ja) | 2013-04-17 |
| EP2160864B1 (en) | 2012-02-15 |
| CN101803272B (zh) | 2013-08-14 |
| CA2692083A1 (en) | 2008-12-31 |
| US20100180328A1 (en) | 2010-07-15 |
| JP2010531506A (ja) | 2010-09-24 |
| EP2160864A1 (en) | 2010-03-10 |
| CA2692083C (en) | 2017-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101803272B (zh) | 认证系统和方法 | |
| CN100438421C (zh) | 用于对网络位置的子位置进行用户验证的方法和系统 | |
| US9900163B2 (en) | Facilitating secure online transactions | |
| EP1829281B1 (en) | Authentication device and/or method | |
| AU2007215180B2 (en) | System and method for network-based fraud and authentication services | |
| US7231526B2 (en) | System and method for validating a network session | |
| CN1885771B (zh) | 用于建立安全通信会话的方法与装置 | |
| US8572377B2 (en) | Method for authentication | |
| CN101341492B (zh) | 提供和接收身份相关的信息的方法和系统 | |
| US20020002678A1 (en) | Internet authentication technology | |
| CN102148685B (zh) | 一种由用户自定义多密码种子动态密码认证系统 | |
| US20040030887A1 (en) | System and method for providing secure communications between clients and service providers | |
| US20080077791A1 (en) | System and method for secured network access | |
| CN102638454A (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| US7822976B2 (en) | Network data security system and protecting method thereof | |
| CN102209046A (zh) | 网络资源整合系统及方法 | |
| US6611916B1 (en) | Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment | |
| EP2070248B1 (en) | System and method for facilitating secure online transactions | |
| CN103929310A (zh) | 一种手机客户端口令统一认证方法及系统 | |
| GB2440358A (en) | Authentication system and method using One Time Passwords (OTPs) | |
| CN109981662A (zh) | 一种安全通信系统及方法 | |
| KR100406292B1 (ko) | 터미널 통신상의 사용자 보안 및 자동 인증을 위한 비밀번호 전송시스템 및 전송방법 | |
| Kumar et al. | MABFWA: Mobile Agent Based Framework for Wireless Authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: PEA MANUFACTURING TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: G3 VISION LTD. Effective date: 20130502 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20130502 Address after: Embassy Road, Malta Applicant after: G3 Vision Ltd. Address before: London, England Applicant before: G3 Vision Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130814 Termination date: 20180626 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |