CN102088353B - 基于移动终端的双因子认证方法及系统 - Google Patents
基于移动终端的双因子认证方法及系统 Download PDFInfo
- Publication number
- CN102088353B CN102088353B CN201110059569.1A CN201110059569A CN102088353B CN 102088353 B CN102088353 B CN 102088353B CN 201110059569 A CN201110059569 A CN 201110059569A CN 102088353 B CN102088353 B CN 102088353B
- Authority
- CN
- China
- Prior art keywords
- mobile terminal
- user
- businessman
- authentication
- service provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明提供一种由在线认证中心以及用户的移动终端执行的双因子认证方法,在该在线认证中心中注册用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息。在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,移动终端利用用户身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方信息,生成认证票据,并发送到在线认证中心。在线认证中心对所接收的认证票据进行解析;通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息以及当前会话标识符,进行用户身份认证;然后将用户身份认证结果返回给商家或服务提供方或者移动终端。
Description
技术领域
本发明涉及网络安全领域,更为具体地,涉及基于移动终端的双因子认证方法及系统。
背景技术
随着网络与移动计算技术的不断发展,网络与移动计算应用在人们生活中越来越普及。例如,人们越来越习惯于随时随地通过移动网络来处理各种事务,其中包括比如利用信用卡或银行卡,通过与银行的数据服务器连接的POS机来进行各项支付等。然而,现今网络,包括移动网络,黑客技术非常先进,通常能够轻而易举地侵入用户正在使用的网络来获取用户的机密信息,例如用户信用卡或银行卡的密码信息,并且利用这些信息来进行不合法的应用,从而使得用户遭受巨大的损失。因此,在进行网络及移动网络应用服务时,需要在用户尝试进行应用服务时,对用户的身份进行认证,以确保该网络或移动网络应用服务的安全。
为了确保网络或移动网络应用服务的安全,人们通常基于帐户/密码的认证方法来对用户的身份进行认证,也就是说,在进行网络或移动网络应用服务之前,首先输入账户和密码,只有在账户和密码都正确的情况下,才允许用户进行网络或移动网络应用服务。这种基于账户/密码的认证系统是单因子认证系统,攻击者所需要的非公有资源是一个密码,这对于攻击者而言可能并不是很困难的事情,从而导致这种单因子认证系统的安全性不高。
为了确保网络应用服务更加安全,目前提出了一种双因子认证技术来对用户的身份进行认证。双因子认证(2FA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等生物标志)两种条件对用户进行认证的方法。也就是说,只有在用户具有两种不同的证明凭据的情况下,才允许用户获取网络应用服务,支付购买商品或服务。从广义上讲,双因子认证技术包含了动态密码、USBkey、智能卡、数字证书等技术,通过双重认证的方式加强身份管理。通常双因素认证则是指,用“所知道的”再加上“所持有的”这二个要素组合到一起才能确认所声称的身份。
RSA提出了一种RSA SecureID双因子认证方案。在该技术方案中,需要由RSA提供双因素令牌和认证服务器,该双因素令牌内置有电池和芯片,并且双因素令牌和认证服务器采用相同的算法,这个算法是与时间因素相关联的。RSA的双因素令牌要求使用者在第一次使用令牌登录系统时即设定一个静态PIN码(即“所知道的”)。以后,这个用户每次登录系统的时候要先输入自己的PIN码(“所知道的”)再连续输入令牌(“所持有的”)所显示的令牌码(其通常是一个数字)即构成一个完整的双因素口令。这样,当一个在客户端上的用户进行网络资源登录的时候,客户端将用户所输入的PIN码以及令牌码发送给认证服务器。认证服务器采用与令牌同样的算法自身生成令牌码,将收到的令牌码与自身所生成的令牌码进行比较,如果一致,则认为访问者声称的身份是正确的。
然而,在该双因子认证方案中,必须需要对每一个用户提供令牌,这构成一个额外成本。而且,由于RSA的SecureID令牌不具有可编程能力,其通常使用方法是每一个令牌初始化绑定到一个应用,不能用于多个不同的应用(即不能使用一个令牌登录不同的网络服务)。因此RSA的SecureID并不适合于电子商务应用,而仅仅适合于比如网银系统那样的固定的服务提供者(某家银行),或适合于比如从公共网络登录入一家企业的内部私有网络进行身份认证那样的应用。
当今智能手机已经发展到成为一种个人必须随身携带的计算与通信设备。使用手机作为双因子身份认证方案中的因子之一也就理所当然成为一个有效的双因子身份认证方案的设计思路。
Google公司提出了一种基于手机短信的双因子认证方案,在该双因子认证方案中,采用两步流程,即,用户先在客户端输入一个身份证明凭据作为双因子身份认证中“所知道的”因子,当服务端收到用户输入的身份证明凭据后,通过短信将一个随机数发送到用户的手机中,然后由用户再次输入所接收到的随机数作为第二个身份认证因子。即,用户持有手机收到了短信随机数这一事实作为用户持有双因子身份认证中“所持有的”另一因子。与RSA所提供的RSA SecureID方法相比,Google公司基于短信的双因子认证方案节省掉了令牌部署的额外成本,这是一个十分重要的优点。但是使用额外的短信通信造成了系统,尤其是客户端用户操作使用的复杂度的增加。而且短信有时不具有可接受的实时性。这些缺点妨碍了基于短信的双因子认证方案被广泛采用。该方法的另一重要缺点是没有利用到手机的智能计算功能,而只利用到了手机的通信功能。如何将智能手机的计算通信功能同时应用到双因子身份认证方案是本发明的创新要点。
当今智能手机已经发展到成为一种个人必须随身携带的计算与通信设备。若干厂商已经着手研发利用智能手机作为个人随身携带的计算通信设备作为双因子身份认证的因子之一及工具。比如Go-Trust(www.go-trust.com)与Giesecke & Devrient Secure Flash Solutions(www.gd-sfs.com)这两家公司已经研发出利用智能手机进行用户身份认证的方案并且宣称可以应用于安全电子商务。这两种方法都是先由手机对用户进行独立的身份认证,即,用户输入一个PIN码以启用手机为用户服务,启用后的手机可以接受用户操作指令进行基于公钥密码体系的密码计算(比如数字签名),因而使手机具备一般意义上的(即,将手机视为一台联网计算机意义上的)用户身份认证功能(常识:基于公钥密码体系的密码计算外加基于PKI证书体系可以构成一个用户身份认证方案)。如果忽略一个被用户启用后的智能手机与一台普通计算机平台的差别(二者都可以进行计算与通信操作),则台式计算机版本使用完全同样方法企图应用于安全电子商务的方案早在1996年就已经为一个由VISA公司与MasterCard公司共同领导的叫做“Secure Electronic Transaction”项目(SETProject,参见:en.wikipedia.org/wiki/Secure Electronic Transaction)尝试过了。所以可以将这两种基于智能手机的用户身份认证方案或安全电子商务方案(即,Go-Trust方案与Giesecke & Devrient Secure Flash Solutions方案)看作是智能手机版本的SET技术。SET项目最终没有获得成功应用,最重要的原因就是SET在客户端使用了基于公钥密码体系的密码计算(比如数字签名),基于公钥密码学的身份认证方法还必须使用十分复杂与昂贵的PKI证书体系基础设施。如今工业界已经充分认识到了如下事实:个人用户使用与管理PKI证书体系基础设施是一件难以达到的目标。最近出现的云计算概念更进一步确认:复杂又昂贵的技术方案不应该安装在客户端平台,尤其是个人使用的客户端计算平台,而应该由处于后端服务平台上的专家作为提供服务来管理。因此,可以从SET项目的失败得出结论:任何一种企图结合智能手机与客户端(即,手机端)管理PKI证书架构的身份认证方案都难以获得大规模商业应用,比如安全电子商务。
与SET项目企图在用户端使用PKI证书架构所造成的高复杂度相反,采用SSL协议对用户银行卡信息进行加密保护的银行卡网上支付方法由于其方法简单而获得了广泛应用。在SSL协议方法中,用户身份认证是由用户与银行卡网络系统之间存在的长期服务关系实现的。具体方法是用户通过SSL协议向商家提供全部用户银行卡信息(银行卡号,有效日期,用户姓名,CardValidation Value,CVV是银行卡背面的三位数字),由商家生成身份认证票据,交付予银行卡系统进行身份认证。这相当于用户全权授权商家从用户银行账号收费。当商家是一个具有信誉的实体时,这一方法十分有效,反之,则该方法限制了用户使用网上支付的愿望。
当今智能手机已经发展到成为一种个人必须随身携带的计算与通信设备。采用智能手机完全可以结合现有的银行卡网络系统商家POS机系统方法实现安全网上付费方法。该方法不必在用户端使用复杂的PKI公钥证书系统,而是使用现有的用户银行长期服务关系实现用户身份认证。用户身份认证的方法也不必像SSL协议方法那样将用户付费授权信息交付予商家生成认证票据,而是由用户所持有的智能手机来计算身份认证票据。基于上述,提出了本发明的双因子认证方法及系统。
发明内容
本发明的目的是提供一种基于移动终端的双因子认证方法及系统,利用该双因子认证方法及系统,可以在用户的移动终端处生成用于认证的认证票据,从而避免将用户的重要授权信息以明文的方式提供给第三方(比如电子商务系统中的商家)系统来生成认证票据,由此提高双因子认证的安全性。
根据本发明的一个方面,提供了一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行身份认证的双因子认证方法,该方法由在线认证中心执行,所述用户是所述在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭据、所拥有的移动终端的唯一移动终端ID,所述在线认证中心中还注册有商家或服务提供方信息,所述方法包括:在从所述移动终端接收到在所述移动终端生成的认证票据后,对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及商家或服务提供方信息,其中所述认证票据是在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符、以及所述商家或服务提供方信息生成的;通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用户身份认证;以及将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,确定所述用户身份认证成功,否则,确定所述用户身份认证失败。
此外,在一个或多个实施例中,所述当前会话标识符可以是在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成的;或者采用在移动终端生成的随机数,或者采用所述在线认证中心发送的随机数。
此外,在一个实施例,在所述当前会话标识符是在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成时,检查所述当前会话标识符是否有效的步骤可以包括:在所述在线认证中心,利用在以接收所述认证票据时的网络时钟为中心的预定时间范围内按照预定间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计算所述散列函数;将所解析出的当前会话标识符与所计算出的多个计算结果进行比较;以及在所解析出的当前会话标识符与所计算出的多个计算结果中之一一致时,确定所解析出的当前会话标识符有效。
此外,在另一实施例中,在所述当前会话标识符采用在移动终端生成的随机数时,检查所述当前会话标识符是否有效的步骤可以包括:判断所解析出的随机数是否与记录在所述在线认证中心中的随机数中之一相同;以及在所解析出的随机数与记录在所述在线认证中心中的任何随机数不同时,确定所解析出的当前会话标识符有效。
此外,优选地,当所述在线认证中心确定所解析出的当前会话标识符有效时,还可以将所解析出的随机数记录在所述在线认证中心中。
此外,在另一实施例中,当所述当前会话标识符采用从所述在线认证中心发送的随机数时,检查所述当前会话标识符是否有效的步骤可以包括:判断所解析出的随机数是否与存储在所述在线认证中心的随机数中之一相同;以及在所解析出的随机数与存储在所述在线认证中心的随机数中之一相同时,确定所解析出的当前会话标识符有效。
此外,在一个或多个实施例中,所述移动终端与所述在线认证中心可以以直接或间接的方式进行通信,其中,所述移动终端是通信的发起方,所述在线认证中心是通信的响应方。此外,所述用户的移动终端和所述在线认证中心之间的信息传输可以利用所注册的唯一移动终端ID与所述在线认证中心建立起的无线通信链路进行,或经由位于商家或服务提供方中的POS机转发。
根据本发明的另一方面,提供了一种用于当用户要通过所拥有的移动终端购买商品或者服务时对用户身份进行认证的双因子认证方法,其中,用户是在线认证中心的注册用户,该方法由用户所拥有的移动终端执行,所述方法包括:在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符、以及所述商家或服务提供方信息,生成认证票据;以及将所生成的认证票据发送到所述在线认证中心,以供所述在线认证中心进行用户身份认证。
根据本发明的另一方面,提供了一种用于当用户要通过所拥有的移动终端购买商品或者服务时进行用户身份认证的双因子认证方法,该方法由所述在线认证中心以及用户的移动终端执行,所述用户是所述在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭据和用户移动终端的唯一移动终端ID,所述在线认证中心还注册有商家或服务提供方信息,所述方法包括:在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,所述移动终端利用所输入的用户身份证明凭据、唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及所述商家或服务提供方信息,生成认证票据;通过利用所注册的唯一移动终端与所述在线认证中心建立起的无线通信链路,或者经由位于商家或服务提供方中的POS机,所述移动终端将所生成的认证票据发送到所述在线认证中心;在接收到从所述移动终端发送的认证票据后,所述在线认证中心对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方信息;通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,所述在线认证中心进行用户身份认证;以及所述在线认证中心将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,所述在线认证中心确定所述用户身份认证成功,否则,所述在线认证中心确定所述用户身份认证失败。
根据本发明的另一方面,提供了一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行用户身份认证的双因子认证装置,所述用户是在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭据和用户所拥有的移动终端的唯一移动终端ID,所述双因子认证装置包括:接收单元,用于接收用户输入的用户身份证明凭据和从商家或服务提供方接收商家或服务提供方信息,以及接收从所述在线认证中心返回的用户身份认证结果;会话标识符生成单元,用于生成唯一标识当前会话的当前会话标识符;认证票据生成单元,用于在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及所述商家或服务提供方信息,生成认证票据;以及发送单元,用于将所生成的认证票据发送到所述在线认证中心,以供所述在线认证中心进行用户身份认证。
此外,在一个或多个实施例中,所述当前会话标识符生成单元通过在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成所述当前会话标识符;或者通过在移动终端生成随机数来生成所述当前会话标识符,或者通过接收从所述在线认证中心发送的随机数来生成所述当前会话标识符。
根据本发明的另一方面,提供了一种移动终端,包括如上所述的双因子认证装置。
根据本发明的另一方面,提供一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行用户身份认证的在线认证中心,所述用户是所述在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭据和用户所拥有的移动终端的唯一移动终端ID,所述认证中心中还注册有商家或服务提供方信息,所述在线认证中心包括:接收单元,用于接收从所述移动终端发送的认证票据,其中所述认证票据是在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及所述商家或服务提供方信息生成的;解析单元,用于对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方信息;身份认证单元,用于通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用户身份认证;以及发送单元,用于将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,所述身份认证单元确定所述用户身份认证成功,否则,所述身份认证单元确定所述用户身份认证失败。
此外,在一个优选实施例中,在所述当前会话标识符是在移动终端利用网络时钟与用户身份证明凭据的散列函数生成时,所述用户认证单元可以包括:计算单元,用于在所述在线认证中心,利用接收所述认证票据时的网络时钟为中心的预定时间范围内按照预定间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计算所述散列函数;比较单元,用于将所解析出的当前会话标识符是否与所计算出的多个计算结果进行比较;以及确定单元,用于在所解析出的当前会话标识符与所计算出的多个计算结果中之一一致时,确定所解析出的当前会话标识符有效。
此外,在另一优选实施例中,在所述当前会话标识符采用在移动终端生成的随机数时,所述用户认证单元可以包括:判断单元,用于判断所解析出的随机数是否与记录在所述在线认证中心中的随机数相同;以及确定单元,用于在所解析出的随机数与记录在所述在线认证中心中的任何随机数不同时,确定所解析出的当前会话标识符有效。
此外,在另一优选实施例中,所述在线认证中心还可以包括记录单元,用于当所述在线认证中心确定所解析出的当前会话标识符有效时,将所解析出的随机数记录在所述在线认证中心中。
此外,在另一优选实施例中,当所述当前会话标识符采用所述在线认证中心发送的随机数时,所述用户认证单元可以包括:判断单元,用于判断所解析出的随机数是否与存储在所述在线认证中心的随机数中之一相同;以及确定单元,用于在所解析出的随机数与存储在所述在线认证中心的随机数中之一相同时,确定所解析出的当前会话标识符有效。
根据本发明的另一方面,提供了一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行用户身份认证的双因子认证系统,所述系统包括:如上所述的移动终端,以及如上所述的在线认证中心。
此外,优选地,所述双因子认证系统还可以包括位于商家或服务提供方中的POS机,用于向移动终端发送商家或服务提供方信息,以及转发所述移动终端和所述在线认证中心之间的数据通信。
为了实现上述以及相关目的,本发明的一个或多个方面包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明了本发明的某些示例性方面。然而,这些方面指示的仅仅是可使用本发明的原理的各种方式中的一些方式。此外,本发明旨在包括所有这些方面以及它们的等同物。
附图说明
根据下述参照附图进行的详细描述,本发明的上述和其他目的、特征和优点将变得更加显而易见。在附图中:
图1示出了根据本发明的一个实施例的双因子认证系统的方框示意图;
图2示出了利用图1中示出的双因子认证系统进行的用户身份认证过程的示意图;
图3示出了根据本发明的另一实施例的双因子认证系统的方框示意图;以及
图4示出了利用图3中示出的双因子认证系统进行的用户身份认证过程的示意图。
在所有附图中相同的标号指示相似或相应的特征或功能。
具体实施方式
下面描述本公开的各个方面。应该明白的是,本文的教导可以以多种多样形式具体体现,并且在本文中公开的任何具体结构、功能或两者仅仅是代表性的。基于本文的教导,本领域技术人员应该明白的是,本文所公开的一个方面可以独立于任何其它方面实现,并且这些方面中的两个或多个方面可以按照各种方式组合。例如,可以使用本文所阐述的任何数目的方面,实现装置或实践方法。另外,可以使用其它结构、功能、或除了本文所阐述的一个或多个方面之外或不是本文所阐述的一个或多个方面的结构和功能,实现这种装置或实践这种方法。此外,本文所描述的任何方面可以包括权利要求的至少一个元素。
以下将结合附图对本发明的具体实施例进行详细描述。
图1示出了根据本发明的一个实施例的双因子认证系统10的方框示意图。
如图1所示,双因子认证系统10包括移动终端110以及认证服务器(即,在线认证中心)120,其中,所述用户在所述认证服务器中注册用户身份认证凭据以及用户所拥有移动终端的唯一移动终端ID。这里,所述用户身份认证凭据可以是由数字和/或字母组成的字符串,比如ABC123等,即“我所知道的”信息。所述移动终端ID是指标识该移动终端身份的设备ID,比如,所述唯一移动终端ID是移动终端的SIM卡号、移动终端的IMEI号、移动终端IMSI号、电话号码、移动终端无线网卡地址、或移动终端的蓝牙MAC地址中之一,或上述的任意组合,即“所能拿到的”信息。
除了移动终端通用的功能之外,所述移动终端110还包括双因子认证装置111,该双因子认证装置111用于在用户通过所拥有的移动终端购买商品或服务时对用户进行身份认证。所述双因子认证装置111可以包括接收单元113、当前会话标识符生成单元115、认证票据生成单元117以及发送单元119。
所述接收单元113用于接收用户输入的用户身份证明凭据和从商家或服务提供方接收商家或服务提供方信息,以及接收从所述认证服务器120返回的用户身份认证结果。例如,所述接收单元113接收用户输入的用户身份认证凭据以及以无线方式从商家或服务提供方接收商家或服务提供方信息。或者,在所述认证服务器120完成用户身份认证后,所述接收单元113可以从所述认证服务器120接收用户身份认证结果。
所述当前会话标识符生成单元115用于生成唯一标识当前会话的当前会话标识符。例如,所述当前会话标识符可以通过在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成;或者通过在移动终端生成随机数来生成,或者通过接收从所述在线认证中心发送的随机数来生成。很显然,上述仅仅是当前会话标识符的示例。所述会话标识符还可以采用其它形式的标识符,只要该标识符可以唯一标识该当前会话。
所述认证票据生成单元117用于在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据,用户移动终端的唯一移动终端ID,所生成的用于唯一标识当前会话的当前会话标识符以及所接收的商家或服务提供方信息,生成认证票据,例如利用Hash函数对所输入的用户身份证明凭据,内置的唯一移动终端ID、当前会话标识符以及所接收的商家或服务提供方信息进行散列处理,以生成认证票据。很显然,还可以采用其它合适的函数来进行上述处理。这里,用户输入的用户身份认证凭据是用户先前在认证服务器120中注册的用户身份认证凭据。
所述发送单元119用于将所生成的认证票据发送到所述认证服务器120,以供所述认证服务器120进行用户身份认证。例如,发送单元119可以利用所注册的移动终端ID与所述认证服务器120之间建立起的无线通信链路,来将所生成的认证票据发送到所述认证服务器120,或者经由位于商家或服务提供方中的POS机转发。另外,在进行认证时,所述移动终端110与所述认证服务器120之间的信息传输可以以直接或间接的方式进行通信,其中,所述移动终端是通信的发起方,以及所述认证服务器是通信的响应方。例如,所述移动终端和所述认证服务器之间的信息传输可以以询问应答方式或以P2P且相互验证的方式进行。
在以询问应答方式在所述移动终端110和所述认证服务器120之间进行数据通信时,所述移动终端110和所述认证服务器120之间进行一对往返(round-trip)消息交换。此时,移动终端110处于主动模式,它向认证服务器120发送认证票据。在另一示例中,所述移动终端110也可以向认证服务器120发送包含有认证票据的认证请求。所述认证服务器120处于从动模式,它从所述移动终端110接收认证票据或者包含该认证票据的认证请求,然后对所接收的认证票据或所接收的该认证请求中包含的认证票据进行解析并进行认证,并且将认证结果发送到移动终端110。
所述认证服务器120可以包括接收单元121、解析单元123、身份认证单元125以及发送单元127。
所述接收单元121用于接收从移动终端发送的认证票据,其中所述认证票据是在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,所述移动终端利用用户输入的用户身份证明凭据,用户所拥有的移动终端的唯一移动终端ID、所生成的用于唯一标识当前会话的当前会话标识符以及所接收的商家或服务提供方信息生成的。所述解析单元123用于对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据,唯一移动终端ID,当前会话标识符以及所接收的商家或服务提供方信息。
所述身份认证单元125通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用户身份认证。其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,确定所述用户身份认证成功,否则,确定所述用户身份认证失败。例如,将所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息进行比较,以判断在所述在线认证中心中是否存在与所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息一致的信息。
此外,在检查所解析出的当前会话标识符是否有效时,针对所述当前会话标识符的不同生成方式,可以具有不同的检查过程。例如,在所述当前会话标识符是在移动终端利用网络时钟与用户身份证明凭据的散列函数生成时,所述用户认证单元125还可以包括计算单元、比较单元和确定单元(未示出)。所述计算单元用于在所述在线认证中心,利用接收所述认证票据时的网络时钟为中心的预定时间范围内按照预定间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计算所述散列函数。例如,利用以接收所述认证票据时的网络时钟(例如,12点10分30秒)为中心的1分钟的时间范围内,即,12点10分到12点11分的范围内,以1秒为间隔选取60个网络时钟,即,12点10分1秒、12点10分2秒到12点11分,以及所注册的用户身份证明凭据,重新计算所述散列函数。然后,所述比较单元将所解析出的当前会话标识符是否与所计算出的多个计算结果进行比较。在所解析出的当前会话标识符与所计算出的多个计算结果中之一一致时,所述确定单元确定所解析出的当前会话标识符有效,否则,确定所解析出的当前会话标识符无效。
或者,在所述当前会话标识符采用在移动终端生成的随机数时,所述用户认证单元125可以包括判断单元以及确定单元(未示出)。所述判断单元用于判断所解析出的随机数是否与记录在所述在线认证中心中的随机数相同。在所解析出的随机数与记录在所述在线认证中心中的任何随机数不同时,所述确定单元确定所解析出的当前会话标识符有效,否则,确定所解析出的当前会话标识符无效。此外,在这种情况下,所述在线认证中心还可以包括记录单元,用于当所述在线认证中心确定所解析出的当前会话标识符有效时,将所解析出的随机数记录在所述在线认证中心中,以供将来在进行当期会话标识符有效性判断时使用。
或者,当所述当前会话标识符采用所述在线认证中心发送的随机数时,所述用户认证单元125可以包括判断单元以及确定单元。所述判断单元用于判断所解析出的随机数是否与存储在所述在线认证中心的随机数中之一相同。在所解析出的随机数与存储在所述在线认证中心的随机数中之一相同时,所述确定单元确定所解析出的当前会话标识符有效,否则,确定所解析出的当前会话标识符无效。
这里要说明的是,以上仅仅是用于确定所解析出的当期会话标识符是否有效的方式的示例。本领域技术人员还可以采用其它合适的方式,只要该方式能够确定当前会话标识符的唯一性和真实性。
在完成用户身份认证后,所述发送单元127将所述用户身份认证的结果返回给所述移动终端110或者返回给商家或服务提供方。在所述用户身份认证成功时,允许用户通过所述移动终端进行当前的网络应用服务,例如通过网络进行远程支付。在所述用户身份认证失败,拒绝所述用户通过所述移动终端进行当前的网络应用服务。
以上参照图1描述了根据本发明的一个实施例的双因子认证系统10的结构,下面将参照图2描述由图1中示出的双因子认证系统10进行的用户身份认证过程。
在用户需要通过移动终端进行远程支付时,例如在用户通过移动终端远程订购飞机票或购物而进行支付时,通常需要通过认证服务器进行用户身份认证。这里,通常要求用户在认证服务器中注册用户身份证明凭据以及用户的移动终端的唯一移动终端ID。
图2是示出利用图1中示出的双因子认证系统10进行的用户身份认证过程的示意图。
如图2所示,首先,在从商家或服务方接收到商家或服务提供方信息后,在移动终端110的屏幕上向用户提示输入用户身份证明凭据(例如,用户密码)(步骤S201)。在接收到这个提示后,用户输入用户身份证明凭据(步骤S202)。
然后,移动终端110中的当前会话标识符生成单元生成与认证服务器120之间的当前会话的当前会话标识符。例如,所述当前会话标识符可以通过在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成;或者通过在移动终端生成随机数来生成,或者通过接收从所述在线认证中心发送的随机数来生成。很显然,上述仅仅是当前会话标识符的示例。所述会话标识符还可以采用其它形式的标识符,只要该标识符可以唯一标识该当前会话。
然后,移动终端110利用所输入的用户身份证明凭据,用户移动终端的唯一移动终端ID,所生成的当前会话标识符以及所接收的商家或服务提供方信息,生成用于用户身份验证的认证票据,例如利用Hash函数对上述信息进行散列处理来生成认证票据(步骤S203)。在生成该认证票据后,将所生成的认证票据发送到所述认证服务器120,以供所述认证服务器120进行用户身份认证(步骤S204)。例如,通过利用在认证服务器120中注册的移动终端ID而与认证服务器120之间建立的无线通信链路,将所生成的认证票据发送到认证服务器120。或者,经由位于商家或服务提供方的POS机来转发。
在所述认证服务器120通过接收单元121接收到所述认证票据后,所述认证服务器120中的解析单元123对所接收的认证票据进行解析,例如利用与生成所述认证票据所采用的函数对应的函数进行处理,以解析在该所接收的认证票据中包含的用户身份证明凭据,唯一移动终端ID,当前会话标识符以及所述商家或服务提供方信息(步骤S205)。
然后,用户身份认证单元125通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用户身份认证(步骤S206)。其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,确定所述用户身份认证成功,否则,确定所述用户身份认证失败。
具体地,例如,将所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方的唯一标识信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息进行比较,以判断在所述在线认证中心中是否存在与所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息一致的信息。
此外,在检查所解析出的当前会话标识符是否有效时,针对所述当前会话标识符的不同生成方式,可以具有不同的检查过程。例如,在所述当前会话标识符是在移动终端利用网络时钟与用户身份证明凭据的散列函数生成时,所述用户认证单元125还可以包括计算单元、比较单元和确定单元(未示出)。所述计算单元用于在所述在线认证中心,利用接收所述认证票据时的网络时钟为中心的预定时间范围内按照预定间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计算所述散列函数。例如,利用以接收所述认证票据时的网络时钟(例如,12点10分30秒)为中心的1分钟的时间范围内,即,12点10分到12点11分的范围内,以1秒为间隔选取60个网络时钟,即,12点10分1秒、12点10分2秒到12点11分,以及所注册的用户身份证明凭据,重新计算所述散列函数。然后,所述比较单元将所解析出的当前会话标识符是否与所计算出的多个计算结果进行比较。在所解析出的当前会话标识符与所计算出的多个计算结果中之一一致时,所述确定单元确定所解析出的当前会话标识符有效,否则,确定所解析出的当前会话标识符无效。
或者,在所述当前会话标识符采用在移动终端生成的随机数时,所述用户认证单元125可以包括判断单元以及确定单元(未示出)。所述判断单元用于判断所解析出的随机数是否与记录在所述在线认证中心中的随机数相同。在所解析出的随机数与记录在所述在线认证中心中的任何随机数不同时,所述确定单元确定所解析出的当前会话标识符有效,否则,确定所解析出的当前会话标识符无效。此外,在这种情况下,所述在线认证中心还可以包括记录单元,用于当所述在线认证中心确定所解析出的当前会话标识符有效时,将所解析出的随机数记录在所述在线认证中心中,以供将来在进行当期会话标识符有效性判断时使用。
或者,当所述当前会话标识符采用所述在线认证中心发送的随机数时,所述用户认证单元125可以包括判断单元以及确定单元。所述判断单元用于判断所解析出的随机数是否与存储在所述在线认证中心的随机数中之一相同。在所解析出的随机数与存储在所述在线认证中心的随机数中之一相同时,所述确定单元确定所解析出的当前会话标识符有效,否则,确定所解析出的当前会话标识符无效。
在完成用户身份认证后,所述认证服务器120中的发送单元127将用户身份认证结果返回给移动终端110或者返回给商家或服务提供方。
如上参照图1和图2描述的双因子认证系统和方法仅仅是本发明的一个示例实施例,上述实施例还可以具有其它变型。图3示出了根据本发明的另一实施例的双因子认证系统20的方框示意图。
如图3所示,所述双因子认证系统20包括移动终端110、认证服务器120以及POS机230。通过比较图1和图3可知,图3中示出的移动终端110和认证服务器120与图1中示出的完全相同,在此不再进行赘述。同样,图3中示出的移动终端110和认证服务器120也可以包含上述实施例中提及的各种变型。
所述POS机230位于商家或服务提供方中,用于向移动终端发送商家或服务提供方信息,以及转发所述移动终端和所述在线认证中心之间的数据通信。
图4示出了利用图3中示出的双因子认证系统进行的用户身份认证过程的示意图。
如图4所示,首先,移动终端从位于商家或服务提供方的POS机接收商家或服务提供方信息(步骤S401)。然后,在接收到商家或服务提供方信息后,在移动终端110的屏幕上向用户提示输入用户身份证明凭据(步骤S402)。在接收到这个提示后,用户输入用户身份认证凭据(步骤S403)。
然后,移动终端110的当前会话标识符生成单元115生成与认证服务器120之间的当前会话的当前会话标识符,并且利用所输入的用户身份证明凭据,内置的唯一移动终端ID,所生成的当前会话标识符以及所述商家或服务提供方的唯一标识信息,生成用于用户身份验证的认证票据,例如利用Hash函数进行散列处理来生成认证票据(步骤S404)。在生成该认证票据后,将所生成的认证票据发送到所述POS机230(步骤S405)。然后,POS机230将所接收的认证票据转发给认证服务器120(步骤S406)。
在所述认证服务器120通过接收单元121接收到所述认证票据后,所述认证服务器120中的解析单元123对所接收的认证票据进行解析,例如利用与生成所述认证票据所采用的函数对应的函数进行处理,以获得在该所接收的认证票据中包含的用户身份证明凭据,唯一移动终端ID,当前会话标识符以及所述商家或服务提供方信息(步骤S407)。然后,用户身份认证单元125通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用户身份认证(步骤S408)。其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,确定所述用户身份认证成功,否则,确定所述用户身份认证失败。关于在不同的当前会话标识符生成方式下的用户认证过程,与上述针对图2的描述完全相同,在此不再赘述。
在完成用户身份认证后,所述认证服务器120中的发送单元127将用户身份认证结果发送给POS机230(步骤S409)。然后,POS机230将用户身份认证结果返回给移动终端110或商家或服务提供方(步骤S410)。
以上仅仅是对包含POS机的系统的操作的一个示例说明。在一个或多个实施例中,还可以对上述图4中示出的过程进行各种修改。例如,在一个实施例中,当在步骤S404中生成认证票据后,移动终端110可以通过无线方式,将所生成的认证票据发送给认证服务器120。此外,在完成用户身份认证后,认证服务器120也可以将所述用户身份认证结果直接返回给移动终端110。
如上参照图1到图4对根据本发明的用于在用户访问时进行双因子用户身份认证的方法和系统进行说明。但是,本领域技术人员应该明白的是,还可以对上述实施例进行各种修改。例如,在上述实施例中,所述在线认证中心是认证服务器。很显然,所述在线认证中心也可以采用其它形式,比如银行系统的服务器等。
所述移动终端可以是蜂窝电话、个人数字助理(PDA)、无线调制解调器、无线通信设备、无绳电话或者能够进行无线通信的其它移动设备。
通过以上结合附图对本发明实施例的详细描述,不难看出,与现有的移动支付技术相比,由于在根据本发明的双因子认证方法中,进行用户身份认证的计算处理在认证服务器上进行,因此移动终端上的计算量小。此外,由于用于身份认证的认证票据在用户自身拥有的移动终端本地生成,不再需要如同RSA的SecureID以及Google的短信方法一样,将用户的重要授权信息(比如,信用卡号,截止日期,授权码)交付给自己不信任的第三方处理,从而安全性高。而且,在本发明中,用于生成认证票据的移动终端是通用设备,因此,在进行用户身份认证时不再需要专门的令牌,从而降低了成本。
此外,根据本发明的双因子认证方法不必受限于靠近POS机短距离使用,也可以远距离使用(包含近距离),例如,可以直接利用现有的全球部署的成熟成功的银行卡系统身份认证系统,进行各种消费的远程或近程支付。
尽管前面公开的内容示出了本发明的示例性实施例,但是应当注意,在不背离权利要求限定的本发明的范围的前提下,可以进行多种改变和修改。根据这里描述的发明实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明的元素可以以个体形式描述或要求,但是也可以设想多个,除非明确限制为单数。
虽然如上参照图描述了根据本发明的各个实施例进行了描述,但是本领域技术人员应当理解,对上述本发明所提出的各个实施例,还可以在不脱离本发明内容的基础上做出各种改进。因此,本发明的保护范围应当由所附的权利要求书的内容确定。
Claims (21)
1.一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行身份认证的双因子认证方法,该方法由在线认证中心执行,所述用户是所述在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭据、所拥有的移动终端的唯一移动终端ID,所述在线认证中心中还注册有商家或服务提供方的唯一标识信息,所述方法包括:
在从所述移动终端接收到在所述移动终端生成的认证票据后,对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及商家或服务提供方的唯一标识信息,其中所述认证票据是在从商家或服务提供方接收到所述商家或服务提供方的唯一标识信息,并且用户向移动终端输入用户身份证明凭据后,所述移动终端利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符、以及所述商家或服务提供方的唯一标识信息生成的;
通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方的唯一标识信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方的唯一标识信息一致以及当前会话标识符是否有效,进行用户身份认证;以及
将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,
其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方的唯一标识信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方的唯一标识信息一致,并且所解析出的当前会话标识符有效时,确定所述用户身份认证成功,否则,确定所述用户身份认证失败。
2.如权利要求1所述的双因子认证方法,其中,所述当前会话标识符是在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成的;或者采用在移动终端生成的随机数,或者采用所述在线认证中心发送的随机数。
3.如权利要求2所述的双因子认证方法,其中,在所述当前会话标识符是在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成时,检查所述当前会话标识符是否有效的步骤包括:
在所述在线认证中心,利用在以接收所述认证票据时的网络时钟为中心的预定时间范围内按照预定间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计算所述散列函数;
将所解析出的当前会话标识符与所计算出的多个计算结果进行比较;以及
在所解析出的当前会话标识符与所计算出的多个计算结果中之一一致时,确定所解析出的当前会话标识符有效。
4.如权利要求2所述的双因子认证方法,其中,在所述当前会话标识符采用在移动终端生成的随机数时,检查所述当前会话标识符是否有效的步骤包括:
判断所解析出的随机数是否与记录在所述在线认证中心中的随机数中之一相同;以及
在所解析出的随机数与记录在所述在线认证中心中的任何随机数不同时,确定所解析出的当前会话标识符有效。
5.如权利要求4所述的双因子认证方法,还包括:
当所述在线认证中心确定所解析出的当前会话标识符有效时,将所解析出的随机数记录在所述在线认证中心中。
6.如权利要求2所述的双因子认证方法,其中,当所述当前会话标识符采用从所述在线认证中心发送的随机数时,检查所述当前会话标识符是否有效的步骤包括:
判断所解析出的随机数是否与存储在所述在线认证中心的随机数中之一相同;以及
在所解析出的随机数与存储在所述在线认证中心的随机数中之一相同时,确定所解析出的当前会话标识符有效。
7.如权利要求1所述的双因子认证方法,其中,所述移动终端与所述在线认证中心以直接或间接的方式进行通信,所述移动终端是通信的发起方,所述在线认证中心是通信的响应方。
8.如权利要求1-7中任何一个所述的双因子认证方法,其中,所述用户的移动终端和所述在线认证中心之间的信息传输利用所注册的唯一移动终端ID与所述在线认证中心建立起的无线通信链路进行,或经由位于商家或服务提供方中的POS机转发。
9.一种用于当用户要通过所拥有的移动终端购买商品或者服务时对用户身份进行认证的双因子认证方法,其中,用户是在线认证中心的注册用户,该方法由用户所拥有的移动终端执行,所述方法包括:
在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符、以及所述商家或服务提供方信息,生成认证票据;以及
将所生成的认证票据发送到所述在线认证中心,以供所述在线认证中心进行用户身份认证;其中,
在接收到从所述移动终端发送的认证票据后,所述在线认证中心对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方信息;
通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,所述在线认证中心进行用户身份认证;其中,
当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,所述在线认证中心确定所述用户身份认证成功,否则,所述在线认证中心确定所述用户身份认证失败;
所述用户在所述在线认证中心中注册用户身份证明凭据和用户移动终端的唯一移动终端ID,所述在线认证中心还注册有商家或服务提供方信息。
10.一种用于当用户要通过所拥有的移动终端购买商品或者服务时进行用户身份认证的双因子认证方法,该方法由在线认证中心以及用户的移动终端执行,所述用户是所述在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭据和用户移动终端的唯一移动终端ID,所述在线认证中心还注册有商家或服务提供方信息,所述方法包括:
在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,所述移动终端利用所输入的用户身份证明凭据、唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及所述商家或服务提供方信息,生成认证票据;
通过利用所注册的移动终端与所述在线认证中心建立起的无线通信链路,或者经由位于商家或服务提供方中的POS机,所述移动终端将所生成的认证票据发送到所述在线认证中心;
在接收到从所述移动终端发送的认证票据后,所述在线认证中心对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方信息;
通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,所述在线认证中心进行用户身份认证;以及
所述在线认证中心将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,
其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,所述在线认证中心确定所述用户身份认证成功,否则,所述在线认证中心确定所述用户身份认证失败。
11.一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行用户身份认证的双因子认证装置,所述用户是在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭据和用户所拥有的移动终端的唯一移动终端ID,所述双因子认证装置包括:
接收单元,用于接收用户输入的用户身份证明凭据和从商家或服务提供方接收商家或服务提供方信息,以及接收从所述在线认证中心返回的用户身份认证结果;
会话标识符生成单元,用于生成唯一标识当前会话的当前会话标识符;
认证票据生成单元,用于在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及所述商家或服务提供方信息,生成认证票据;以及
发送单元,用于将所生成的认证票据发送到所述在线认证中心,以供所述在线认证中心进行用户身份认证;其中,
在接收到从所述移动终端发送的认证票据后,所述在线认证中心对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方信息;
通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,所述在线认证中心进行用户身份认证;其中,
当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,所述在线认证中心确定所述用户身份认证成功,否则,所述在线认证中心确定所述用户身份认证失败;
所述在线认证中心还注册有商家或服务提供方信息。
12.如权利要求11所述的双因子认证装置,其中,所述当前会话标识符生成单元通过在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成所述当前会话标识符;或者通过在移动终端生成随机数来生成所述当前会话标识符,或者通过接收从所述在线认证中心发送的随机数来生成所述当前会话标识符。
13.一种移动终端,包括如权利要求11或12所述的双因子认证装置。
14.一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行用户身份认证的在线认证中心,所述用户是所述在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭据和用户所拥有的移动终端的唯一移动终端ID,所述认证中心中还注册有商家或服务提供方的唯一标识信息,所述在线认证中心包括:
接收单元,用于接收从所述移动终端发送的认证票据,其中所述认证票据是在从商家或服务提供方接收到商家或服务提供方的唯一标识信息,并且用户向移动终端输入用户身份证明凭据后,所述移动终端利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及所述商家或服务提供方的唯一标识信息生成的;
解析单元,用于对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方的唯一标识信息;
身份认证单元,用于通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方的唯一标识信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方的唯一标识信息一致以及当前会话标识符是否有效,进行用户身份认证;以及
发送单元,用于将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,
其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方的唯一标识信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方的唯一标识信息一致,并且所解析出的当前会话标识符有效时,所述身份认证单元确定所述用户身份认证成功,否则,所述身份认证单元确定所述用户身份认证失败。
15.如权利要求14所述的在线认证中心,其中,用于唯一标识当前会话的所述当前会话标识符是在移动终端利用网络时钟与用户身份证明凭据的散列函数生成的;或者采用在移动终端生成的随机数,或者采用移动终端从所述在线认证中心接收的随机数。
16.如权利要求15所述的在线认证中心,其中,在所述当前会话标识符是在移动终端利用网络时钟与用户身份证明凭据的散列函数生成时,所述用户认证单元包括:
计算单元,用于在所述在线认证中心,利用接收所述认证票据时的网络时钟为中心的预定时间范围内按照预定间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计算所述散列函数;
比较单元,用于将所解析出的当前会话标识符与所计算出的多个计算结果进行比较;以及
确定单元,用于在所解析出的当前会话标识符与所计算出的多个计算结果中之一一致时,确定所解析出的当前会话标识符有效。
17.如权利要求15所述的在线认证中心,其中,在所述当前会话标识符采用在移动终端生成的随机数时,所述用户认证单元包括:
判断单元,用于判断所解析出的随机数是否与记录在所述在线认证中心中的随机数相同;以及
确定单元,用于在所解析出的随机数与记录在所述在线认证中心中的任何随机数不同时,确定所解析出的当前会话标识符有效。
18.如权利要求17所述的在线认证中心,还包括:
记录单元,用于当所述在线认证中心确定所解析出的当前会话标识符有效时,将所解析出的随机数记录在所述在线认证中心中。
19.如权利要求15所述的在线认证中心,其中,当所述当前会话标识符采用所述在线认证中心发送的随机数时,所述用户认证单元包括:
判断单元,用于判断所解析出的随机数是否与存储在所述在线认证中心的随机数中之一相同;以及
确定单元,用于在所解析出的随机数与存储在所述在线认证中心的随机数中之一相同时,确定所解析出的当前会话标识符有效。
20.一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行用户身份认证的双因子认证系统,所述系统包括:
如权利要求13所述的移动终端,以及
如权利要求14到19中任何一个所述的在线认证中心。
21.如权利要求20所述的双因子认证系统,还包括:
POS机,位于商家或服务提供方中,用于向所述移动终端发送商家或服务提供方信息,以及转发所述移动终端和所述在线认证中心之间的数据通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110059569.1A CN102088353B (zh) | 2011-03-11 | 2011-03-11 | 基于移动终端的双因子认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110059569.1A CN102088353B (zh) | 2011-03-11 | 2011-03-11 | 基于移动终端的双因子认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102088353A CN102088353A (zh) | 2011-06-08 |
| CN102088353B true CN102088353B (zh) | 2014-01-15 |
Family
ID=44099976
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110059569.1A Expired - Fee Related CN102088353B (zh) | 2011-03-11 | 2011-03-11 | 基于移动终端的双因子认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102088353B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102347957A (zh) * | 2011-11-18 | 2012-02-08 | 王鑫 | 一种云网络准入鉴别系统及准入鉴别技术方法 |
| CN102496225B (zh) * | 2011-12-07 | 2014-09-03 | 蓬天信息系统(北京)有限公司 | 一种税务发票开票系统的应用方法 |
| US10212158B2 (en) | 2012-06-29 | 2019-02-19 | Apple Inc. | Automatic association of authentication credentials with biometrics |
| US9959539B2 (en) | 2012-06-29 | 2018-05-01 | Apple Inc. | Continual authorization for secured functions |
| US9832189B2 (en) | 2012-06-29 | 2017-11-28 | Apple Inc. | Automatic association of authentication credentials with biometrics |
| US9819676B2 (en) | 2012-06-29 | 2017-11-14 | Apple Inc. | Biometric capture for unauthorized user identification |
| CN103975567B (zh) * | 2012-11-14 | 2017-12-12 | 华为技术有限公司 | 双因素认证方法及虚拟机设备 |
| CN104348791B (zh) * | 2013-07-30 | 2017-12-01 | 北京神州泰岳软件股份有限公司 | 一种单点登录方法及系统 |
| CN104348812B (zh) * | 2013-08-06 | 2018-05-15 | 中国电信股份有限公司 | 一种nfc终端在线认证的方法和装置 |
| US10331866B2 (en) | 2013-09-06 | 2019-06-25 | Apple Inc. | User verification for changing a setting of an electronic device |
| US20150073998A1 (en) | 2013-09-09 | 2015-03-12 | Apple Inc. | Use of a Biometric Image in Online Commerce |
| CN103647649B (zh) * | 2013-12-18 | 2017-03-29 | 上海众人网络安全技术有限公司 | 一种基于光波信息的双因素身份认证方法 |
| US9509694B2 (en) * | 2013-12-31 | 2016-11-29 | EMC IP Holding Company LLC | Parallel on-premises and cloud-based authentication |
| US20150220931A1 (en) | 2014-01-31 | 2015-08-06 | Apple Inc. | Use of a Biometric Image for Authorization |
| CN104363207B (zh) * | 2014-10-29 | 2017-07-11 | 北京成众志科技有限公司 | 多因子安全增强授权与认证方法 |
| CN107358419B (zh) * | 2016-05-09 | 2020-12-11 | 阿里巴巴集团控股有限公司 | 机载终端支付鉴权方法、装置以及系统 |
| CN106055966B (zh) * | 2016-05-16 | 2019-04-26 | 邵军利 | 一种认证方法及系统 |
| CN109885995A (zh) * | 2018-12-29 | 2019-06-14 | 弦子科技(北京)有限公司 | 一种数字身份确认方法、装置和电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1510899A (zh) * | 2002-12-23 | 2004-07-07 | 郝敏燕 | 基于移动通信平台的即取即用式动态随机密码手机身份认证系统 |
| CN1622512A (zh) * | 2004-12-28 | 2005-06-01 | 胡阳 | 采用双因子认证来防止银行卡被盗用的方法 |
| CN101944216A (zh) * | 2009-07-07 | 2011-01-12 | 财团法人资讯工业策进会 | 双因子在线交易安全认证方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7600128B2 (en) * | 2001-02-14 | 2009-10-06 | 5Th Fleet, Llc | Two-factor computer password client device, system, and method |
-
2011
- 2011-03-11 CN CN201110059569.1A patent/CN102088353B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1510899A (zh) * | 2002-12-23 | 2004-07-07 | 郝敏燕 | 基于移动通信平台的即取即用式动态随机密码手机身份认证系统 |
| CN1622512A (zh) * | 2004-12-28 | 2005-06-01 | 胡阳 | 采用双因子认证来防止银行卡被盗用的方法 |
| CN101944216A (zh) * | 2009-07-07 | 2011-01-12 | 财团法人资讯工业策进会 | 双因子在线交易安全认证方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102088353A (zh) | 2011-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102088353B (zh) | 基于移动终端的双因子认证方法及系统 | |
| US11763311B2 (en) | Multi-device transaction verification | |
| US9864994B2 (en) | Terminal for magnetic secure transmission | |
| RU2710897C2 (ru) | Способы безопасного генерирования криптограмм | |
| US10922675B2 (en) | Remote transaction system, method and point of sale terminal | |
| US8934865B2 (en) | Authentication and verification services for third party vendors using mobile devices | |
| US8132243B2 (en) | Extended one-time password method and apparatus | |
| EP3891960A1 (en) | Secured extended range application data exchange | |
| EP3632034A1 (en) | Methods and systems for ownership verification using blockchain | |
| US20160117673A1 (en) | System and method for secured transactions using mobile devices | |
| JP6077531B2 (ja) | モバイル機器と共に使用するトランザクションシステムと方法 | |
| CN102971760A (zh) | 用于建立通信的方法、服务器、商户设备、计算机程序和计算机程序产品 | |
| CN113015992B (zh) | 多个令牌的云令牌预配 | |
| KR102574524B1 (ko) | 원격 거래 시스템, 방법 및 포스단말기 | |
| EP3491776B1 (en) | Multi-device authentication process and system utilizing cryptographic techniques | |
| WO2020058861A1 (en) | A payment authentication device, a payment authentication system and a method of authenticating payment | |
| CN111937023A (zh) | 安全认证系统和方法 | |
| KR20160111255A (ko) | 비대면 거래를 위한 결제 방법 | |
| EA041883B1 (ru) | Система и способ для проведения удаленных транзакций с использованием платежного терминала точки продаж |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140115 Termination date: 20150311 |
|
| EXPY | Termination of patent right or utility model |