CN102984130A - 用于对用户身份进行认证的方法、系统及其使用的设备 - Google Patents
用于对用户身份进行认证的方法、系统及其使用的设备 Download PDFInfo
- Publication number
- CN102984130A CN102984130A CN2012104424668A CN201210442466A CN102984130A CN 102984130 A CN102984130 A CN 102984130A CN 2012104424668 A CN2012104424668 A CN 2012104424668A CN 201210442466 A CN201210442466 A CN 201210442466A CN 102984130 A CN102984130 A CN 102984130A
- Authority
- CN
- China
- Prior art keywords
- authentication information
- authentication
- user
- certificate server
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Accounting & Taxation (AREA)
- Business, Economics & Management (AREA)
- Power Engineering (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种用于认证用户身份的方法和系统及其使用的用户终端、认证前端计算机系统和认证服务器。一种实现方式是,用户终端向认证前端计算机系统发送包含认证信息的认证指示。然后,该认证前端计算机系统向特定的认证服务器发送包含该认证信息的认证请求。另一种实现方式是,用户终端向特定的认证服务器发送包含认证信息的认证请求。根据上述两种实现方式中的任何一种,该认证服务器在接收到该认证请求之后,根据该认证信息对用户身份进行认证。最后,优选地,该认证服务器将认证结果发送到该认证前端计算机系统。当用户需要向营运者支付一定数额的金钱时,该认证服务器在认证成功之后从特定的用户支付账户向特定的营运者账户支付特定的数额。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种对用户身份进行认证的方法和系统。本发明还涉及在所述方法和系统中使用的用户终端、认证服务器和认证前端计算机系统。本发明是基于申请日为2011年11月8日,申请号为201110358242.4的中国发明专利申请,该申请的内容作为参考引入本文。
背景技术
随着信息技术的发展,电子商务在人们生活中的普及程度越来越高。而电子商务的普及,离不开对用户身份的认证。在现有技术中,主要有如下两类应用需要对用户身份的认证,尤其是对移动用户的用户身份的认证:电子支付机制和电子票务(票证认证,例如:对票卷和会员证、工作证、通行证、考勤时钟的工时卡、学生证、图书馆借书证等证件的认证)机制。
使用电子支付机制,用户能够容易地实现各种支付。现有各类不同的电子支付机制大致可以分为以下几大类别:
a1、支付卡(payment cards):包括信用卡(credit cards)、收费卡(charge cards)、借记卡(debit cards)等。支付卡上通常通过磁带和/或微芯片记录支付卡及其持有人的相关信息,例如:支付卡号码、有效日期、持有人姓名、卡安全码等等。有时,也需要支付卡持有人在支付卡上预先签署其签名式样。当支付卡持有人向实体商户支付一个应付的数额时,商户会用相关的专用设备如POS机读取和记录支付卡及其持有人的相关信息,以识别支付卡,同时商户还可能要求支付卡持有人输入预先登记的密码,以认证该支付卡持有人,还可能要求支付卡持有人在纸质签购单上签名认证。当支付卡持有人向网上商户进行支付时,支付卡持有人需要在商户的网页输入应付的数额及支付卡相关信息,例如密码等。商户是向支付卡营运商(即:发卡商)收取该支付卡持有人应付的数额。
a2、智能卡(smart cards)和储值卡(stored-value cards):它们分别是通过微芯片和磁带存储数据的实物卡,所存储的数据例如是卡内资金数额。当进行支付时,商户通过智能卡读取器或者储值卡读取器改写卡内资金数额以扣减用户应付的数额,同时向该智能卡或者储值卡营运商(即:发卡商)收取该用户应付的数额。在其它类似变型中,上述智能卡的微芯片例如可以嵌入到移动电话中,经过一些更改变成近场通信(Near Field Communication或者NFC)装置。
a3、电子小额支付(e-micropayment)和支付服务营运商(payment service provider):用户在电子小额支付营运商或者支付服务营运商预先登记一个用户名称、一个密码及一个(些)用户有权操作的银行账户/支付卡账户/其它账户等,商户则在该电子小额支付营运商或者支付服务营运商预先登记一个(些)商户有权操作的银行账户/其它账户等及取得商户的唯一识别名称。当向商户支付时,用户在该电子小额支付营运商或者支付服务营运商的网页输入上述用户名称和密码、应付数额、该商户的识别名称等。该电子小额支付营运商或者支付服务营运商实际上是从用户登记的银行账户/支付卡账户/其它账户向该商户登记的银行账户/其它账户转账来进行支付。
a4、电子支票(e-checking):当进行支付时,付款人在一家银行的网页输入在该银行预先登记的用户名称、在该银行预先登记的密码、付款人有权在该银行操作的支票账户、应付数额、收款人的识别名称等,该银行根据付款人输入的信息执行转账操作。
a5、电子现金(e-cash):它是可以兑换成纸币等传统现金的电子信息。向网上商户支付时,用户向商户发送相关电子信息。
a6、移动付款(mobile payment):当向商户支付时,用户在其移动电话发送特定格式的信息,该信息识别该商户及包含应付的金额,用户的移动电话的电讯商代用户向该商户支付该应付的金额,日后当作电讯费用的一部分向用户收回。还有一种变型是类似以上a3类别,但是输入流程是通过移动装置上的应用软件(application software或者apps)而不是网页,而密码一般是用以进入该应用软件而不是预先登记在营运商。也有其它类似的变型。
上述技术方案在实际应用时存在如下缺陷:
一、对于上述a1和a2类别的电子支付机制,用户(即:卡持有人)和商户必须已经加入相同的卡营运商,而且支付需要专用的设备。这样导致了卡营运商的垄断地位,推高卡营运商的收费;同时,对于仅仅在个别地区营运的卡营运商,其卡持有人向其它地区的商户支付时就会出现问题。
二、上述a1和a2类别的电子支付机制依赖用户拥有的实物卡来识别用户,容易被盗用,安全性不高。
三、上述a2类别的电子支付机制只可以用于实体商户的支付,一般不适合用于网上商户的支付。
四、上述a1和a2类别的电子支付机制在实体商户支付时,用户必须随身携带实物卡。如果用户需要通过不同的电子支付机制和/或相同电子支付机制下不同的卡营运商以作支付,那么他/她需要随身携带多个相对应的实物卡,造成极度不便和/或遗失的风险。
五、上述a3、a4和a5类别的电子支付机制只可以用于网上交易的支付,一般不适合用于实体商户。
六、对于上述第a1、a3、a4类别以及a6类别的一些变型的电子支付机制,由于需要输入密码到商户设备或者网页中,因而密码容易被盗取,例如通过在当时所用的计算机上安装恶意软件,尤其是当所用的计算机是公众或者半公众的时候,被安装恶意软件的机会则更高,那么被盗取密码的机会也更高。而且这几个类别操作需时甚长。
七、对于上述第a2、a4和a6类别的电子支付机制,其营运商一般限制于个别地区,全球通用性低。
八、对于上述第a6类别的电子支付机制,用户使用时一般需要接入移动电话数据网络,不但成本高,而且繁复,尤其是在移动电话漫游(roaming)时为甚。而且在该类别的一些变型中,密码一般是用以进入应用软件而不是预先登记在营运商,安全性不高。
在电子商务中,现有各类不同的电子票务机制,例如,b1、打印的纸质票证、b2、电子票证(例如:通过微芯片和/或磁带存储票证数据的实物卡)、b3、代表票证的识别码,以及b4、用户名称跟密码的组合等等。票证一般是营运者(例如:商户)给与用户,以证明该营运者向该用户给与一个或者一些权利和/或身份。对于第b1、b2和b3类别,用户在获得所述票证后使用时,营运者人工或者使用相关读取器核对票证,一些情况下还核对用户的个人信息,以辨别票证的有效性。第b4类别多用于例如收费网站等。
上述技术方案存在如下缺陷:
第b1、b2和b3类别采用人工核对方式,速度慢而且成本高,容易人为出错及作弊,而且所述票证或者识别码易被伪造、易被盗用、安全性低,一般亦不适合用于网上商户。在第b1和b2类别中,如果用户需要行使多个票证,那么他/她需要随身携带多个相对应的纸质票证和电子票证,造成极度不便和/或遗失的风险。此外,第b1类别的纸质票证还有违环境保护。第b4类别操作需时甚长,容易出错,密码容易被恶意软件等盗取。
因此,现有技术中迫切需要一种新的对用户身份进行认证的方法,以解决上述各种方案中存在的技术缺陷。
发明内容
本发明所要解决的技术问题是提供一种能够克服现有技术中的上述所有缺陷的对用户身份进行认证的方法和系统,尤其是对移动用户的用户身份进行认证的方法和系统,提供在所述方法和系统中使用的用户终端、认证服务器和认证前端计算机系统。
根据本发明的一个方面,提供了一种用于认证用户身份的方法,包括如下步骤:从用户终端向认证前端计算机系统发送包含认证信息的认证指示并从所述认证前端计算机系统向特定的认证服务器发送包含所述认证信息的认证请求;或者,从用户终端向特定的认证服务器发送包含认证信息的认证请求;然后,所述认证服务器根据所述认证信息对用户身份进行认证。
因此,本发明的用于认证用户身份的方法有两种实现方式,第一种是从用户终端向认证前端计算机系统发送包含认证信息的认证指示,接着从所述认证前端计算机系统向特定的认证服务器发送包含所述认证信息的认证请求,然后由所述认证服务器根据所述认证信息对用户身份进行认证。第二种实现方式是从用户终端直接向特定的认证服务器发送包含认证信息的认证请求,然后由所述认证服务器根据所述认证信息对用户身份进行认证。
优选地,所述方法还包括:所述认证服务器将认证结果发送到所述认证前端计算机系统,和/或直接或者通过所述认证前端计算机系统作为中间节点将所述认证结果发送到所述用户终端。
优选地,所述认证指示通过包括所述特定的认证服务器的标识符来标识所述特定的认证服务器。
优选地,所述方法还包括:在发送所述认证信息之前,所述用户终端对所述认证信息进行加密;已经预先在所述认证服务器中登记了用于对已加密的认证信息进行解密的解密密钥;以及所述认证服务器在接收到所述认证信息之后,进行认证信息解密程序,所述认证信息解密程序包括:使用所述解密密钥对所述认证信息进行解密。
优选地,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述方法还包括:在发送所述认证信息之前,所述用户终端对所述认证信息中除所述用户标识符之外的其它部分进行加密;已经预先在所述认证服务器中相关联地登记了用户标识符和用于对认证信息中的已加密部分进行解密的解密密钥;以及所述认证服务器在接收到所述认证信息之后,进行认证信息解密程序,所述认证信息解密程序包括:基于所接收到的用户标识符在所述认证服务器中检索用于解密的解密密钥;如果检索不到,则认证失败;以及否则,如果检索到,则使用检索到的解密密钥对所述认证信息中的已加密部分进行解密。
优选地,所述方法还包括:在发送所述认证信息之前,所述用户终端使用签名密钥生成数字签名,并将所述数字签名包括到所述认证信息中,所述数字签名用于验证所述认证信息中除所述数字签名之外的其它部分的数据完整性;已经预先在所述认证服务器中登记了用于对所述认证信息中除所述数字签名之外的其它部分的数据完整性进行验证的验证密钥;所述认证服务器在接收到所述认证信息之后,使用所述验证密钥和接收到的所述数字签名对所述认证信息中除所述数字签名之外的其它部分的数据完整性进行验证;如果否定所述数据完整性,则认证失败;以及否则,如果确定所述数据完整性,则执行时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。
优选地,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述方法还包括:在发送所述认证信息之前,所述用户终端使用签名密钥生成数字签名,并将所述数字签名包括到所述认证信息中,所述数字签名用于验证所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性;已经预先在所述认证服务器中相关联地登记了用户标识符和用于对认证信息中除数字签名之外的其它部分或者除数字签名和用户标识符之外的其它部分的数据完整性进行验证的验证密钥;所述认证服务器在接收到所述认证信息之后,基于接收到的用户标识符在所述认证服务器中检索用于验证的验证密钥;如果检索不到,则认证失败;以及否则,如果检索到,所述方法还包括:所述认证服务器使用检索到的验证密钥和接收到的数字签名对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证;如果否定所述数据完整性,则认证失败;以及否则,如果确定所述数据完整性,则继续执行时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。
优选地,用于加密的加密密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述用户终端中,第二部分是用户在所述用户终端进行加密之前输入到所述用户终端中的信息或者所述信息的散列。
优选地,用于生成所述数字签名的签名密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述用户终端中,第二部分是用户在所述用户终端生成所述数字签名之前输入到所述用户终端中的信息或者所述信息的散列。
优选地,所述方法还包括:所述用户终端在进行加密之前,将生成所述认证信息的时间包括到所述认证信息中。
优选地,在进行所述认证信息解密程序之后,所述方法还包括:所述认证服务器比较所述认证信息中的时间与所述认证服务器中的当前时间;如果所述时间之间的误差大于一个预定阈值,则认证失败;以及否则,如果所述时间之间的误差不大于所述预定阈值,则认证成功。
优选地,所述方法还包括:所述用户终端在生成所述数字签名之前,将生成所述认证信息的时间包括到所述认证信息中。
优选地,所述时间验证步骤包括:所述认证服务器比较所述认证信息中的时间与所述认证服务器中的当前时间;如果所述时间之间的误差大于一个预定阈值,则认证失败;以及否则,如果所述时间之间的误差不大于所述预定阈值,则认证成功。
优选地,所述方法还包括:所述认证服务器存储每次接收到的认证请求中的认证信息;在进行所述认证信息解密程序之后,所述认证服务器比较以前接收到的认证信息与当前接收到的认证信息;如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败;以及否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
优选地,所述方法还包括:所述认证服务器存储每次接收到的认证请求中的认证信息;所述去重验证步骤包括:所述认证服务器比较以前接收到的认证信息与当前接收到的认证信息;如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败;以及否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
优选地,所述方法还包括:所述认证服务器存储每次接收到的认证请求中的认证信息;在进行所述认证信息解密程序之后,所述认证服务器比较所述认证信息中的时间与所述认证服务器中的当前时间;如果所述时间之间的误差大于一个预定阈值,则认证失败;否则,如果所述时间之间的误差不大于所述预定阈值,则所述认证服务器比较以前接收到的认证信息与当前接收到的认证信息;如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败;以及否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
优选地,所述方法还包括:所述认证服务器存储每次接收到的认证请求中的认证信息;所述时间验证步骤包括:所述认证服务器比较所述认证信息中的时间与所述认证服务器中的当前时间;如果所述时间之间的误差大于一个预定阈值,则认证失败;否则,如果所述时间之间的误差不大于所述预定阈值,则执行所述去重验证步骤,所述去重验证步骤包括:所述认证服务器比较以前接收到的认证信息与当前接收到的认证信息;如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败;以及否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
优选地,所述用户终端每隔一个预定时段就生成一次所述认证信息,直至接收到用户的指令将包含最新生成的认证信息的认证指示发送到所述认证前端计算机系统或将包含最新生成的认证信息的认证请求发送到所述认证服务器,其中每次生成的认证信息都包括生成相对应认证信息的时间。
优选地,当所述认证服务器中存储的认证信息中包含的时间已经早于所述认证服务器中的当前时间超过所述预定阈值时,从所述认证服务器删除相对应的所存储的认证信息。
优选地,所述方法还包括:所述用户终端在进行加密之前,将滚动码包括到所述认证信息中;在进行所述认证信息解密程序之后,所述认证服务器比较所述认证信息中的滚动码与所述认证服务器中生成的相对应的滚动码;如果所述认证信息中的滚动码不等于任何一个由所述认证服务器生成的相对应的滚动码,则认证失败;以及否则,如果所述认证信息中的滚动码等于至少一个由所述认证服务器生成的相对应的滚动码,则认证成功。
优选地,所述方法还包括:所述用户终端在生成所述数字签名之前,将滚动码包括到所述认证信息中;所述滚动码验证步骤包括:所述认证服务器比较所述认证信息中的滚动码与所述认证服务器中生成的相对应的滚动码;如果所述认证信息中的滚动码不等于任何一个由所述认证服务器生成的相对应的滚动码,则认证失败;以及否则,如果所述认证信息中的滚动码等于至少一个由所述认证服务器生成的相对应的滚动码,则认证成功。
优选地,所述方法还包括:所述用户终端将滚动码包括到所述认证信息中;在接收到所述认证信息之后,所述认证服务器比较所述认证信息中的滚动码与所述认证服务器中生成的相对应的滚动码;如果所述认证信息中的滚动码不等于任何一个由所述认证服务器生成的相对应的滚动码,则认证失败;以及否则,如果所述认证信息中的滚动码等于至少一个由所述认证服务器生成的相对应的滚动码,则认证成功。
优选地,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证信息还包括用户身份信息,以便能够根据所述用户身份信息对用户身份进行认证,所述方法还包括:所述用户终端将所述用户身份信息包括到所述认证信息中;预先在所述认证服务器中相关联地登记用户标识符和用户身份信息;所述认证服务器在接收到所述认证信息之后,基于接收到的用户标识符在所述认证服务器中检索相对应的用户身份信息;以及比较检索到的用户身份信息与接收到的用户身份信息,如果至少一个检索到的用户身份信息与接收到的用户身份信息相同,则认证成功,否则认证失败。
优选地,所述方法还包括:如果认证成功,所述认证服务器从特定的用户支付账户向特定的营运者账户支付特定的数额。
优选地,所述认证信息还包括用户身份信息,所述用户身份信息包括用户支付账户标识符,用于标识所述特定的用户支付账户。
优选地,所述方法还包括:预先在所述认证服务器中登记用户支付账户标识符;以及所述认证服务器在当前接收到所述认证信息之后,使用所述用户支付账户标识符标识所述特定的用户支付账户。
优选地,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述方法还包括:预先在所述认证服务器中相关联地登记用户标识符和用户支付账户标识符;以及所述认证服务器在当前接收到所述认证信息之后,基于接收到的用户标识符在所述认证服务器中检索相对应的用于标识所述特定的用户支付账户的用户支付账户标识符。
优选地,所述认证信息或者认证请求还包括营运者账户标识符,用于标识所述特定的营运者账户。
优选地,所述认证信息或者认证请求还包括营运者标识符,所述方法还包括:预先在所述认证服务器中相关联地登记营运者标识符和营运者账户标识符;以及所述认证服务器在当前接收到所述认证请求之后,基于当前接收到的营运者标识符在所述认证服务器中检索相对应的用于标识所述特定的营运者账户的营运者账户标识符。
优选地,所述方法还包括:预先在所述认证服务器中登记营运者账户标识符;以及所述认证服务器在当前接收到所述认证请求之后,使用所述营运者账户标识符标识所述特定的营运者账户。
优选地,所述认证信息或者认证请求还包括数额,所述特定的数额就是所述认证信息或者认证请求中的数额。
优选地,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述方法还包括:预先在所述认证服务器中相关联地登记用户标识符和数额;以及所述认证服务器在当前接收到所述认证信息之后,基于当前接收到的用户标识符在所述认证服务器中检索相对应的数额,所述特定的数额就是检索到的数额。
优选地,所述方法还包括:预先在所述认证服务器中登记数额;以及所述特定的数额就是在所述认证服务器中登记的数额。
优选地,所述方法还包括:在从所述用户终端向所述认证前端计算机系统或所述认证服务器发送所述认证信息之前,所述认证前端计算机系统将所述营运者账户标识符以文本和/或机器可读的格式显示出来;以及用户或者所述用户终端读取所述营运者账户标识符以便将其包括到所述认证信息中。
优选地,所述方法还包括:在从所述用户终端向所述认证前端计算机系统或所述认证服务器发送所述认证信息之前,所述认证前端计算机系统将所述营运者标识符以文本和/或机器可读的格式显示出来;以及用户或者所述用户终端读取所述营运者标识符以便将其包括到所述认证信息中。
优选地,所述方法还包括:在从所述用户终端向所述认证前端计算机系统或所述认证服务器发送所述认证信息之前,所述认证前端计算机系统将需要包括到所述认证信息的数额以文本和/或机器可读的格式显示出来;以及用户或者所述用户终端读取需要包括到所述认证信息的数额以便将其包括到所述认证信息中。
优选地,所述认证信息还包括用户身份信息,所述用户身份信息包括票证标识符,用于标识用户要行使的票证。
优选地,从所述用户终端向所述认证前端计算机系统发送所述认证指示包括:所述用户终端将所述认证指示以文本和/或机器可读的格式显示出来;以及所述认证前端计算机系统读取所述文本和/或机器可读的格式以获取所述认证指示。
优选地,从所述用户终端向所述认证前端计算机系统发送所述认证指示包括:所述用户终端将所述认证指示以文本的格式显示出来;以及用户将所述文本输入到所述认证前端计算机系统中。
根据本发明的另一个方面,提供了一种用户终端。该用户终端包括:
认证信息发生器,用于生成认证信息;和发送装置,用于向认证前端计算机系统发送包含所述认证信息的认证指示或者向认证服务器发送包含所述认证信息的认证请求。
优选地,所述用户终端还包括存储器,用于存储用户标识符,和/或存储用户身份信息,和/或存储认证服务器的标识符,和/或存储用于加密的加密密钥或者其部分,和/或存储用于生成数字签名的签名密钥或者其部分,和/或存储用户支付账户标识符,和/或存储票证标识符。
优选地,所述认证信息发生器还在所述认证信息包括存储在所述存储器中的用户标识符,用于标识要被认证身份的用户。
优选地,所述认证信息发生器还在所述认证信息包括存储在所述存储器中的用户身份信息,以便能够根据所述用户身份信息对用户身份进行认证,或者以便所述用户身份信息包括用户支付账户标识符或者票证标识符,所述用户支付账户标识符用于标识用户用于支付的用户支付账户,所述票证标识符用于标识用户要行使的票证。
优选地,所述发送装置发送的认证指示或认证请求还包括存储在所述存储器中的认证服务器的标识符,用于标识用于认证用户身份的认证服务器。
优选地,所述用户终端还包括实时时钟,用于生成实时时间,以便包括到所述认证信息中。
优选地,每隔一个预定时段,所述用户终端的认证信息发生器就生成一次认证信息,直至所述用户终端接收到用户的指令将包含最新生成的认证信息的认证指示发送到认证前端计算机系统,其中每次生成的认证信息都包括生成相对应认证信息的时间,在接收到所述发送认证指示的指令后,所述用户终端的发送装置将包含最新生成的认证信息的认证指示发送到所述认证前端计算机系统。
优选地,每隔一个预定时段,所述用户终端的认证信息发生器就生成一次认证信息,直至所述用户终端接收到用户的指令将包含最新生成的认证信息的认证请求发送到认证服务器,其中每次生成的认证信息都包括生成相对应认证信息的时间,在接收到所述发送认证请求的指令后,所述用户终端的发送装置将包含最新生成的认证信息的认证请求发送到所述认证服务器。
优选地,所述用户终端还包括滚动码发生器,用于生成滚动码,以便包括到所述认证信息中。
优选地,所述用户终端还包括用户接口,用户通过所述用户接口输入或者选择需要包括到所述认证信息中的用户标识符,和/或用户通过所述用户接口输入或者选择需要包括到所述认证信息中的用户身份信息中的用户支付账户标识符或者票证标识符,和/或用户通过所述用户接口输入或者选择需要包括到所述认证信息中的营运者账户标识符或者营运者标识符,和/或用户通过所述用户接口输入或者选择需要包括到所述认证信息中的数额,和/或用户通过所述用户接口输入或者选择需要包括到所述认证指示或所述认证请求中的认证服务器的标识符,和/或用户通过所述用户接口输入用于加密的加密密钥或者其部分,和/或用户通过所述用户接口输入用于生成数字签名的签名密钥或者其部分,和/或用户通过所述用户接口输入指令发送所述认证指示或认证请求。
优选地,所述认证信息发生器还在所述认证信息包括所述用户标识符,和/或包括所述用户身份信息,和/或包括所述营运者账户标识符或者所述营运者标识符,和/或包括所述数额,所述用户标识符用于标识要被认证身份的用户,所述用户身份信息包括所述用户支付账户标识符或者所述票证标识符,所述用户支付账户标识符用于标识用户用于支付的用户支付账户,所述票证标识符用于标识用户要行使的票证,以及所述营运者账户标识符用于标识接受用户支付的营运者的营运者账户,所述营运者标识符用于标识接受用户支付的营运者。
优选地,所述发送装置发送的认证指示或认证请求还包括所述认证服务器的标识符,用于标识用于认证用户身份的认证服务器。
优选地,所述认证信息发生器还包括:加密单元,用于使用加密密钥对需要发送的认证信息进行加密。
优选地,所述认证信息发生器还在所述认证信息包括用户标识符,用于标识要被认证身份的用户,以及所述认证信息发生器还包括:加密单元,用于使用加密密钥对需要发送的认证信息中除所述用户标识符之外的其它部分进行加密。
优选地,所述认证信息发生器还包括:数字签名发生器,用于使用签名密钥生成数字签名,所述数字签名需要包括到所述认证信息中,所述数字签名用于验证所述认证信息中除所述数字签名之外的其它部分的数据完整性。
优选地,所述认证信息发生器还在所述认证信息包括用户标识符,用于标识要被认证身份的用户,以及所述认证信息发生器还包括:数字签名发生器,用于使用签名密钥生成数字签名,所述数字签名需要包括到所述认证信息中,所述数字签名用于验证所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性。
优选地,所述用户终端还包括存储器和/或用户接口,所述加密密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述存储器中,第二部分是用户在所述加密单元进行加密之前通过所述用户接口输入到所述用户终端中的信息或者所述信息的散列。
优选地,所述用户终端还包括存储器和/或用户接口,所述签名密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述存储器中,第二部分是用户在所述数字签名发生器生成所述数字签名之前通过所述用户接口输入到所述用户终端中的信息或者所述信息的散列。
优选地,所述用户终端还包括散列发生器,用于将用户通过所述用户接口输入到所述用户终端的信息生成所述散列。
优选地,所述用户终端还包括散列发生器,用于将用户通过所述用户接口输入到所述用户终端的信息生成所述散列。
优选地,所述发送装置包括显示器,用于将包含所述认证信息的认证指示以文本和/或机器可读的格式显示出来,以便认证前端计算机系统读取。
优选地,所述发送装置包括非接触通信发射机,用于以非接触通信方式向认证前端计算机系统发送包含所述认证信息的认证指示。
优选地,所述用户终端还包括接收机,用于直接或者以所述认证前端计算机系统作为中间节点从认证服务器接收认证结果。
根据本发明的另一个方面,提供了一种认证服务器。该认证服务器包括:接收机,用于从认证前端计算机系统或者用户终端接收包含认证信息的认证请求;和认证单元,用于根据所述认证信息对用户身份进行认证。
优选地,所述认证服务器还包括发射机,用于将所述认证单元的认证结果发送到所述认证前端计算机系统,和/或用于直接或者以所述认证前端计算机系统作为中间节点将所述认证结果发送到所述用户终端。
优选地,所述认证信息是已加密的,所述认证服务器还包括存储器,用于预先存储用于对所述已加密的认证信息进行解密的解密密钥,以及所述认证单元还包括解密单元,用于使用所述解密密钥对所述已加密的认证信息进行解密。
优选地,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证信息中除所述用户标识符之外的其它部分是已加密的,所述认证服务器还包括存储器,用于预先存储用户标识符和相对应的用于对认证信息中的已加密部分进行解密的解密密钥,以及所述认证单元还包括:检索单元,用于基于接收到的认证信息中的用户标识符在所述存储器中检索用于解密的解密密钥;和解密单元,用于使用检索到的解密密钥对接收到的认证信息中的已加密部分进行解密。
优选地,所述认证信息还包括数字签名,所述认证服务器还包括:存储器,用于预先存储用于对所述认证信息中除所述数字签名之外的其它部分的数据完整性进行验证的验证密钥,以及其中,所述认证单元还包括:验证单元,用于使用所述验证密钥和所述数字签名对所述认证信息中除所述数字签名之外的其它部分的数据完整性进行验证,如果否定所述数据完整性,则认证失败,否则,如果确定所述数据完整性,则执行时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。
优选地,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证信息还包括数字签名,所述认证服务器还包括:存储器,用于预先存储用户标识符和相对应的用于对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证的验证密钥,以及其中,所述认证单元还包括:检索单元,用于基于所述认证信息中的用户标识符在所述存储器中检索用于验证的验证密钥;验证单元,用于使用检索到的验证密钥和所述数字签名对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证;如果否定所述数据完整性,则认证失败,否则,如果确定所述数据完整性,则执行时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。
优选地,所述认证信息还包括生成所述认证信息的时间,所述认证服务器还包括:实时时钟,用于生成实时时间,以及其中,所述认证单元还包括:比较单元,用于比较所述认证信息中的时间与所述实时时钟生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则认证成功。
优选地,所述认证信息还包括生成所述认证信息的时间,所述认证服务器还包括:存储器,用于存储每次接收到的认证请求中的认证信息,
以及其中,所述认证单元还包括:比较单元,用于比较所述存储器中存储的以前接收到的认证信息与当前接收到的认证请求中的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
优选地,所述认证信息还包括生成所述认证信息的时间,所述认证服务器还包括:实时时钟,用于生成实时时间;和存储器,用于存储每次接收到的认证请求中的认证信息,以及其中,所述认证单元还包括:比较单元,用于比较所述认证信息中的时间与所述实时时钟生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则所述比较单元还用于比较所述存储器中存储的以前接收到的认证信息与当前接收到的认证请求中的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
优选地,当所述存储器中存储的认证信息中包含的时间已经早于所述实时时钟生成的当前实时时间超过所述预定阈值时,从所述存储器删除相对应的所存储的认证信息。
优选地,所述认证信息还包括滚动码,所述认证服务器还包括:滚动码发生器,用于生成滚动码,以及其中,所述认证单元还包括:比较单元,用于比较所述认证信息中的滚动码与所述滚动码发生器生成的相对应的滚动码,如果所述认证信息中的滚动码不等于任何一个由所述滚动码发生器生成的相对应的滚动码,则认证失败,否则,如果所述认证信息中的滚动码等于至少一个由所述滚动码发生器生成的相对应的滚动码,则认证成功。
优选地,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证信息还包括用户身份信息,以便能够根据所述用户身份信息对用户身份进行认证,所述认证服务器还包括:存储器,用于预先存储用户标识符和相对应的用户身份信息,以及其中,所述认证单元还包括:检索单元,用于基于所述认证信息中的用户标识符在所述存储器中检索相对应的用户身份信息;和比较单元,用于比较检索到的用户身份信息与所述认证信息中的用户身份信息,如果至少一个检索到的用户身份信息与所述认证信息中的用户身份信息相同,则认证成功,否则认证失败。
优选地,如果认证成功,则所述认证单元还用于从特定的用户支付账户向特定的营运者账户支付特定的数额。
优选地,如果认证成功,则所述认证单元还用于从特定的用户支付账户向特定的营运者账户支付特定的数额。
优选地,如果认证成功,则所述认证单元还用于从特定的用户支付账户向特定的营运者账户支付特定的数额。
优选地,当前接收到的认证信息还包括用户身份信息,所述用户身份信息包括用户支付账户标识符,用于标识所述特定的用户支付账户。
优选地,所述存储器还用于预先存储用于标识所述特定的用户支付账户的用户支付账户标识符。
优选地,所述认证服务器还包括存储器,用于预先存储用于标识所述特定的用户支付账户的用户支付账户标识符。
优选地,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述存储器还用于预先存储用户标识符和相对应的用户支付账户标识符,以及其中,所述认证单元还包括:检索单元,用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的用于标识所述特定的用户支付账户的用户支付账户标识符。
优选地,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述存储器还用于预先存储用户标识符和相对应的用户支付账户标识符,所述检索单元还用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的用于标识所述特定的用户支付账户的用户支付账户标识符。
优选地,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证服务器还包括:存储器,用于预先存储用户标识符和相对应的用户支付账户标识符,以及其中,所述认证单元还包括:检索单元,用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的用于标识所述特定的用户支付账户的用户支付账户标识符。
优选地,当前接收到的认证信息或者认证请求还包括营运者账户标识符,用于标识所述特定的营运者账户。
优选地,所述存储器还用于预先存储用于标识所述特定的营运者账户的营运者账户标识符。
优选地,所述认证服务器还包括存储器,用于预先存储用于标识所述特定的营运者账户的营运者账户标识符。
优选地,当前接收到的认证信息或者认证请求还包括营运者标识符,所述存储器还用于预先存储营运者标识符和相对应的营运者账户标识符,以及其中,所述认证单元还包括:检索单元,用于基于当前接收到的认证信息或者认证请求中的营运者标识符在所述存储器中检索相对应的用于标识所述特定的营运者账户的营运者账户标识符。
优选地,当前接收到的认证信息或者认证请求还包括营运者标识符,所述存储器还用于预先存储营运者标识符和相对应的营运者账户标识符,所述检索单元还用于基于当前接收到的认证信息或者认证请求中的营运者标识符在所述存储器中检索相对应的用于标识所述特定的营运者账户的营运者账户标识符。
优选地,当前接收到的认证信息或者认证请求还包括营运者标识符,所述认证服务器还包括:存储器,用于预先存储营运者标识符和相对应的营运者账户标识符,以及其中,所述认证单元还包括:检索单元,用于基于当前接收到的认证信息或者认证请求中的营运者标识符在所述存储器中检索相对应的用于标识所述特定的营运者账户的营运者账户标识符。
优选地,当前接收到的认证信息或者认证请求还包括数额,所述特定的数额就是当前接收到的认证信息或者认证请求中的数额。
优选地,所述存储器还用于预先存储数额,所述特定的数额就是在所述存储器中存储的数额。
优选地,所述认证服务器还包括存储器,用于预先存储数额,所述特定的数额就是在所述存储器中存储的数额。
优选地,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述存储器还用于预先存储用户标识符和相对应的数额,以及,所述认证单元还包括:检索单元,用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的数额,所述特定的数额就是检索到的数额。
优选地,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述存储器还用于预先存储用户标识符和相对应的数额,所述检索单元还用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的数额,所述特定的数额就是检索到的数额。
优选地,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证服务器还包括:存储器,用于预先存储用户标识符和相对应的数额,以及其中,所述认证单元还包括:检索单元,用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的数额,所述特定的数额就是检索到的数额。
优选地,所述认证信息还包括用户身份信息,所述用户身份信息包括票证标识符,用于标识用户要行使的票证。
根据本发明的另一个方面,提供了一种认证前端计算机系统。该认证前端计算机系统包括:认证请求发生器,用于生成包含认证信息的认证请求;发射机,用于将所述认证请求发送到特定的认证服务器;和接收机,用于从用户终端接收包含所述认证信息的认证指示。
优选地,所述接收机还用于从所述认证服务器接收认证结果。
优选地,所述认证前端计算机系统还包括存储器,用于存储认证服务器的标识符,和/或存储营运者账户标识符或者营运者标识符,和/或存储数额。
优选地,所述认证请求发生器还将存储在所述存储器的营运者账户标识符或者营运者标识符包括到所述认证请求中,和/或将存储在所述存储器的数额包括到所述认证请求中,所述营运者账户标识符用于标识接受用户支付的营运者的营运者账户,所述营运者标识符用于标识接受用户支付的营运者。
优选地,存储在所述存储器的认证服务器的标识符用于标识所述特定的认证服务器。
优选地,所述接收机还包括读取器,用于读取用户终端上以文本和/或机器可读的格式显示出来的包含所述认证信息的认证指示。
优选地,所述认证前端计算机系统还包括用户接口,用户通过所述用户接口将用户终端上以文本的格式显示出来的包含所述认证信息的认证指示输入到所述认证前端计算机系统。
优选地,所述接收机还包括非接触通信接收机,用于通过非接触通信方式从用户终端接收包含所述认证信息的认证指示。
优选地,所述认证指示还包括用于认证用户身份的认证服务器的标识符,用于标识所述特定的认证服务器。
优选地,所述发射机还将所述接收机从所述认证服务器接收到的所述认证结果发送到所述用户终端。
根据本发明再一个方面,提供了一种用于认证用户身份的系统,包括:如上所述的用户终端、认证服务器和认证前端计算机系统。
相比较现有技术,本发明实施例提供的技术方案具有以下的有益效果:
在本发明第一种实现方式中,用户终端生成包含认证信息的认证指示,并将该认证指示发送到认证前端计算机系统,该认证前端计算机系统向特定的认证服务器发送包含所述认证信息的认证请求;在本发明第二种实现方式中,用户终端生成包含认证信息的认证请求,并将该认证请求发送到特定的认证服务器。在该两种实现方式的任何一种中,该认证服务器然后根据所述认证信息对用户身份进行认证,并优选地将认证结果发送到所述认证前端计算机系统,以便使用认证前端计算机系统和/或认证服务器的营运者认证用户的身份,保障该营运者的营运安全性。
本发明完全可以通过计算机软件来实现,因而可以实现在各种普通移动终端和/或计算机中,所以不需要专用的硬件基础设施就能实现网上营运者和实体营运者对用户身份进行认证,从而不需要专用的硬件基础设施也能实现各种支付操作,包括向网上营运者和实体营运者支付,以及从而不需要专用的硬件基础设施也能实现各种票务操作。无论是用户还是营运者都只需要在认证服务器中登记,并进行简单的软件安装和/或配置,营运者还可能需要安装一些一般性的通用硬件和/或设备(例如:接收机等),而并不涉及购买和/或安装专用的硬件和/或设备,因此安装和/或配置过程简单,成本较低。加上,上述在认证服务器中的登记以及软件安装和/或配置并不受地区限制,营运者对不同地区的用户身份进行认证不会出现问题,全球通用性高。
此外,由于认证是通过用户终端实现的,因而也就不需要用户随身携带多张实物卡和实物票证,不但较为方便,而且避免伪造、遗失和盗用。并且本发明可以使用移动电话、个人数字助理(PDA)、平板电脑或者移动数字设备作为用户终端,移动性和可移植性强,使本发明的实现相比较现有技术具有更便于广泛使用的优势。
在本发明的操作中,用户终端如果需要使用加密密钥进行加密或者使用签名密钥生成数字签名,加密密钥或者其部分或者签名密钥或者其部分可以由用户当作密码输入用户终端,密码因而不需要输入到其它任何计算器、通信设备和/或网页中,也不需要被发送,从而有效降低密码被盗取风险,提高信息安全性。
在本发明的具体实现中,被传输的数据可以是文本形式,而不涉及图像、影像、网页等,因此数据传输量少,不占用过多的网络资源,传输成本低,传输速度快,以致对用户身份的认证、支付操作及票务操作快速。
在本发明的操作中,完全不需要人工核对方式,所以速度快而且成本低,避免人为出错及作弊。并且不需要纸质和/或塑料介质,符合环境保护。
通过本发明进行的用户身份认证、支付操作及票务操作可由认证服务器和认证前端计算机系统记录,以备需要时使用,所述记录的应用范围包括但不只限于税务、交易纠纷、营运者对其自身和/或其各部门和/或其合作伙伴的营业额计算。纸质发票、记录等可以完全被取代。
附图说明
本发明的这些和其它方面根据附图所图示说明的实施例将变得更加清楚明白,并且本发明的各种具体实施方式也将参照附图来更详细地描述,其中附图包括:
图1示意性示出了根据本发明一个实施例的用于对用户身份进行认证的系统的框图。
图2示意性示出了根据本发明一个实施例的用户终端的框图。
图3示意性示出了根据本发明一个实施例的认证前端计算机系统的框图。
图4示意性示出了根据本发明一个实施例的认证服务器的框图。
图5示意性示出了根据本发明一个实施例的用于对用户身份进行认证的方法的流程图。
图6示意性示出了根据本发明第二个实施例的用于对用户身份进行认证的方法的流程图。
图7示意性示出了根据本发明第三个实施例的用于对用户身份进行认证的方法的流程图。
图8示意性示出了根据本发明第四个实施例的用于对用户身份进行认证的方法的流程图。
以下结合附图及实施例对本发明作进一步说明。
具体实施方式
下面,将参考附图来详细描述本发明的各种具体实施方式。
图1示意性示出了根据本发明一个实施例的用于对用户身份进行认证的系统的框图。如图所示,根据本发明一个实施例的认证系统包括可选的通信网110、通信网120、用户终端200、认证前端计算机系统300和认证服务器400。所述通信网110可以是无线通信网或者有线通信网或者两者的结合,也可以是局域网(LAN)、城域网(MAN)或者广域网(WAN),或者其中两者甚至三者的结合。所述通信网120可以是无线通信网或者有线通信网或者两者的结合,也可以是局域网、城域网或者广域网,或者其中两者甚至三者的结合,也可以是计算机系统内部的总线网络。优选地,所述通信网110和通信网120是同一个通信网。可替换地,所述通信网110和通信网120是两个独立的通信网。所述用户终端200可以是移动电话、个人数字助理(PDA) 、平板电脑(例如:iPad)或者诸如iPod之类的移动数字设备。优选地,所述认证前端计算机系统300和所述认证服务器400可以结合在同一个计算机系统中,那么所述通信网120是该同一个计算机系统内部的总线网络。可替换地,所述认证前端计算机系统300和所述认证服务器400是两个独立的计算机系统,那么所述通信网120可以是无线通信网或者有线通信网或者两者的结合,也可以是局域网、城域网或者广域网,或者其中两者甚至三者的结合。
根据本发明的一个实施例,当营运者(例如:商户)需要对用户身份进行认证的时候,所述用户终端200向所述认证前端计算机系统300发送包含认证信息的认证指示。所述认证前端计算机系统300在接收到所述认证指示之后,根据所述认证信息生成包含所述认证信息的认证请求并通过所述通信网120将所述认证请求发送到特定的认证服务器400。在接收到所述认证请求之后,所述特定的认证服务器400根据所述认证信息对用户身份进行认证。优选地,所述特定的认证服务器400的标识符已经在所述认证前端计算机系统300中作为默认认证服务器400的标识符预先设置了。可替换地,所述认证指示通过包括所述特定的认证服务器400的标识符来指定所述特定的认证服务器400。最后,优选地,所述认证服务器400通过所述通信网120将认证结果发送到所述认证前端计算机系统300。优选地,所述认证结果包括认证成功或者认证失败。
所述用户终端200、认证前端计算机系统300和认证服务器400的实施例的具体结构框图分别在图2、图3和图4中示意性示出。
图2示意性示出了根据本发明一个实施例的用户终端200的框图。如图2所示,所述用户终端200包括:发送装置210,用于向认证前端计算机系统300发送包含认证信息的认证指示或者向认证服务器400发送包含认证信息的认证请求;认证信息发生器220,用于生成所述认证信息;可选的存储器230,用于存储用户标识符,和/或存储用户身份信息,和/或存储认证服务器400的标识符,和/或存储加密密钥或者其部分,和/或存储签名密钥或者其部分,和/或存储用户支付账户标识符,和/或存储票证标识符,和/或存储所述用户终端200工作所需的其它信息;可选的实时时钟240,用于生成实时时间,以便包括到所述认证信息中;可选的滚动码(rolling code)发生器250,用于生成滚动码,以便包括到所述认证信息中,其中滚动码又称跳码(hopping code),优选地,所述滚动码包括KeeLoq码、HITAG码或者AVR411码;可选的用户接口260,用户通过所述用户接口260输入信息到所述用户终端200;和可选的接收机270,用于直接或者以认证前端计算机系统300作为中间节点从认证服务器400接收认证结果。所述实时时钟240与所述滚动码发生器250可互相替换或者并存;可选的散列发生器280,用于将用户通过所述用户接口260输入的信息生成散列。
优选地,所述发送装置210包括显示器214,用于将包含所述认证信息的认证指示以文本和/或机器可读的格式显示出来,以便认证前端计算机系统300的读取器314读取。可替换地,所述发送装置210包括非接触通信发射机212,用于以非接触通信方式向认证前端计算机系统300发送包含所述认证信息的认证指示。优选地,所述机器可读的格式包括一维或者二维条形码。
优选地,所述认证信息发生器220在所述认证信息中包括用户标识符,用于标识要被认证身份的用户。优选地,所述认证信息发生器220在所述认证信息中包括用户身份信息,以便能够根据所述用户身份信息对用户身份进行认证,或者以便在用户身份信息包括用户支付账户标识符或者票证标识符,所述用户支付账户标识符用于标识用户用于支付的用户支付账户,所述票证标识符用于标识用户要行使的票证。
优选地,所述认证信息发生器220包括加密单元222,用于使用加密密钥对需要发送的认证信息全部或者部分进行加密,部分加密的例子有:如果需要发送的认证信息包含了用户标识符,则可以只对需要发送的认证信息中除所述用户标识符之外的其它部分进行加密。可替换地,所述认证信息发生器220包括数字签名(digital signature)发生器224,所述数字签名发生器224用于使用签名密钥生成数字签名,所述数字签名需要包括到需要发送的认证信息中,所述数字签名用于验证(verify)需要发送的认证信息中除所述数字签名之外的其它部分或者除所述数字签名和用户标识符(如果存在)之外的其它部分的数据完整性(data integrity)。
图3示意性示出了根据本发明一个实施例的认证前端计算机系统300的框图。如图3所示,所述认证前端计算机系统300包括:认证请求发生器320,用于生成包含认证信息的认证请求;发射机330,用于通过通信网120将所述认证请求发送到特定的认证服务器400;接收机310,用于从用户终端200接收包含所述认证信息的认证指示;可选的用户接口340,用户通过所述用户接口340将用户终端200上以文本格式显示出来的包含所述认证信息的认证指示输入到所述认证前端计算机系统300;和可选的存储器350,用于存储认证服务器400的标识符,和/或存储营运者账户标识符或者营运者标识符,和/或存储数额。优选地,存储在所述存储器350的认证服务器400的标识符用于标识所述特定的认证服务器400。优选地,如果所述认证信息不包括营运者账户标识符或者营运者标识符,那么所述认证请求发生器320将所述存储器350中存储的营运者账户标识符或者营运者标识符包括到所述认证请求中。优选地,如果所述认证信息不包括数额,那么所述认证请求发生器320将所述存储器350中存储的数额包括到所述认证请求中。优选地,所述接收机310还从认证服务器400接收认证结果。优选地,所述发射机330还通过通信网110将所述接收机310从认证服务器400接收到的所述认证结果发送到用户终端200。
优选地,所述接收机310还包括读取器314,用于读取用户终端200上以文本和/或机器可读的格式显示出来的包含所述认证信息的认证指示。可替换地,所述接收机310还包括非接触通信接收机312,用于通过非接触通信方式从用户终端200接收包含所述认证信息的认证指示。优选地,所述机器可读的格式包括一维或者二维条形码。
图4示意性示出了根据本发明一个实施例的认证服务器400的框图。如图4所示,所述认证服务器400包括:接收机410,用于从认证前端计算机系统300或者用户终端200接收包含认证信息的认证请求;认证单元420,用于根据所述认证信息对用户身份进行认证;可选的发射机430,用于通过通信网120将所述认证单元420的认证结果发送到认证前端计算机系统300;可选的实时时钟440,用于生成实时时间,并且实时时钟440应与用户终端200的实时时钟240大致同步;可选的滚动码发生器450,用于生成滚动码,并且滚动码发生器450应与用户终端200的滚动码发生器250同步计数。所述实时时钟440与所述滚动码发生器450可互相替换或者并存。优选地,所述发射机430还通过通信网110将所述认证结果发送到用户终端200。
该实施例可以实施以下不同的模式。根据一个模式1,认证信息不包括用户标识符,以及认证信息是已加密的。在该模式1中,所述认证服务器400还包括存储器470,用于预先存储用于对所述已加密的认证信息进行解密的解密密钥,所述认证单元420包括解密单元422,用于使用存储在所述存储器470中的解密密钥对当前接收到的已加密的认证信息进行解密。根据另一个模式2,认证信息包括用户标识符,以及认证信息中除所述用户标识符之外的其它部分是已加密的。在该模式2中,所述认证服务器400还包括存储器470,用于预先存储用户标识符和相对应的用于对认证信息中的已加密部分进行解密的解密密钥,所述认证单元420包括解密单元422和检索单元424,所述检索单元424基于当前接收到的认证信息中的用户标识符在所述存储器470中检索用于解密的解密密钥,所述解密单元422使用检索到的解密密钥对当前接收到的认证信息中的已加密部分进行解密。根据再另一个模式3,认证信息不包括用户标识符但是包括数字签名。在该模式3中,所述认证服务器400还包括存储器470,用于预先存储用于对当前接收到的认证信息中除所述数字签名之外的其它部分的数据完整性进行验证的验证密钥,所述认证单元420包括验证单元428,所述验证单元428使用存储在所述存储器470中的验证密钥和所述数字签名对当前接收到的认证信息中除所述数字签名之外的其它部分的数据完整性进行验证,如果否定所述数据完整性,则认证失败,否则,如果确定所述数据完整性,则继续其它认证步骤,如执行后述的时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。根据再另一个模式4,认证信息包括用户标识符和数字签名。在该模式4中,所述认证服务器400还包括存储器470,预先存储用户标识符和相对应的用于对当前接收到的认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证的验证密钥,所述认证单元420包括验证单元428和检索单元424,所述检索单元424基于当前接收到的用户标识符在所述存储器470中检索用于验证的验证密钥,所述验证单元428使用检索到的验证密钥和所述数字签名对当前接收到的认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证,如果否定所述数据完整性,则认证失败,否则,如果确定所述数据完整性,则继续其它认证步骤,如执行后述的时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。根据再另一个模式5,认证信息包括滚动码。在该模式5中,所述认证单元420包括比较单元426,用于比较当前接收到的认证信息中的滚动码与所述滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则认证成功。根据再另一个模式6,认证信息包括用户标识符和用户身份信息。在该模式6中,所述认证服务器400还包括存储器470,用于预先存储用户标识符和相对应的用户身份信息;所述认证单元420包括检索单元424和比较单元426,所述检索单元424用于基于当前接收到的认证信息中的用户标识符在所述存储器470中检索相对应的用户身份信息,所述比较单元426用于比较检索到的用户身份信息与当前接收到的认证信息中的用户身份信息,如果所述用户身份信息不同,则认证失败,如果相同,则认证成功。
以上模式1、模式2、模式3、模式4、模式5或者模式6,可以结合其它不同的附加特征。优选地,在模式1、模式2、模式3或者模式4中,如果结合下列附加特征:认证信息包括生成所述认证信息的时间,那么可以采用三种时间比较方案中的任何一种。在时间比较方案1下,所述认证服务器400的认证单元420还包括比较单元426,用于比较当前接收到的认证信息中的时间与所述实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则认证成功。在时间比较方案2下,所述认证服务器400的存储器470还存储每次接收到的认证请求中的认证信息;所述认证单元420还包括比较单元426,用于比较所述存储器470中存储的以前接收到的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。在时间比较方案3下,所述认证服务器400中的存储器470还存储每次接收到的认证请求中的认证信息;所述认证单元420还包括比较单元426,用于比较当前接收到的认证信息中的时间与所述实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,所述比较单元426还用于比较所述存储器470中存储的以前接收到的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。上述的时间比较方案1是本发明的时间验证步骤。上述的时间比较方案2是本发明的去重验证步骤。上述的时间比较方案3是本发明的时间验证步骤和本发明的去重验证步骤的结合。
可替换地,在模式1、模式2、模式3或者模式4中,如果结合下列附加特征:认证信息包括滚动码,那么所述认证单元420还包括比较单元426,用于比较当前接收到的认证信息中的滚动码与所述滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则认证成功。上述对滚动码的比较是本发明的滚动码验证步骤。可替换地,在模式1、模式2、模式3或者模式4中,如果结合下列附加特征:认证信息同时包括生成所述认证信息的时间和滚动码,那么也可以采用三种时间比较方案中的任何一种。在时间比较方案1下,所述认证服务器400的认证单元420还包括比较单元426,用于比较当前接收到的认证信息中的时间与所述实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,所述比较单元426还用于比较当前接收到的认证信息中的滚动码与所述滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则认证成功。在时间比较方案2下,所述认证服务器400中的存储器470还存储每次接收到的认证请求中的认证信息;所述认证单元420还包括比较单元426,用于比较所述存储器470中存储的以前接收到的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,所述比较单元426还用于比较当前接收到的认证信息中的滚动码与所述滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则认证成功。在时间比较方案3下,所述认证服务器400中的存储器470还存储每次接收到的认证请求中的认证信息;所述认证单元420还包括比较单元426,用于比较当前接收到的认证信息中的时间与所述实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,所述比较单元426还用于比较所述存储器470中存储的以前接收到的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,所述比较单元426还用于比较当前接收到的认证信息中的滚动码与所述滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则认证成功。
在以上任何模式中,优选地,所述认证服务器400还包括存储器470(如果所述认证服务器400原本不包括存储器470),用于预先存储用户支付账户标识符或者票证标识符,或者所述认证服务器400的存储器470还用于预先存储用户支付账户标识符或者票证标识符(如果所述认证服务器400原本包括存储器470)。在以上的其中一些模式中(例如在模式2、模式4或者模式6中,或者在模式5中结合下列附加特征:认证信息包括用户标识符),其认证信息包括用户标识符,优选地,所述认证服务器400还包括存储器470(如果所述认证服务器400原本不包括存储器470),用于预先存储用户标识符和相对应的用户支付账户标识符或者相对应的票证标识符,或者所述认证服务器400的存储器470还用于预先存储用户标识符和相对应的用户支付账户标识符或者相对应的票证标识符(如果所述认证服务器400原本包括存储器470),所述认证单元420还包括检索单元424(如果所述认证单元420原本不包括检索单元424),用于基于当前接收到的认证信息中的用户标识符在所述存储器470中检索相对应的用户支付账户标识符或者相对应的票证标识符,或者所述认证单元420的检索单元424还用于基于当前接收到的认证信息中的用户标识符在所述存储器470中检索相对应的用户支付账户标识符或者相对应的票证标识符(如果所述认证单元420原本包括检索单元424)。
在以上任何模式中,优选地,所述认证服务器400还包括存储器470(如果所述认证服务器400原本不包括存储器470),用于预先存储营运者账户标识符,或者所述认证服务器400的存储器470还用于预先存储营运者账户标识符(如果所述认证服务器400原本包括存储器470)。在以上任何模式中,如果结合下列附加特征:认证信息或者认证请求包括营运者标识符,那么所述认证服务器400还包括存储器470(如果所述认证服务器400原本不包括存储器470),用于预先存储营运者标识符和相对应的营运者账户标识符,或者所述认证服务器400的存储器470还用于预先存储营运者标识符和相对应的营运者账户标识符(如果所述认证服务器400原本包括存储器470),所述认证单元420还包括检索单元424(如果所述认证单元420原本不包括检索单元424),用于基于当前接收到的营运者标识符在所述存储器470中检索相对应的营运者账户标识符,或者认证单元420的检索单元424还用于基于当前接收到的营运者标识符在所述存储器470中检索相对应的营运者账户标识符(如果所述认证单元420原本包括检索单元424)。
在以上任何模式中,优选地,所述认证服务器400还包括存储器470(如果所述认证服务器400原本不包括存储器470),用于预先存储数额,或者所述认证服务器400的存储器470还用于预先存储数额(如果所述认证服务器400原本包括存储器470)。在以上的其中一些模式中(例如在模式2、模式4或者模式6中,或者在模式5中结合下列附加特征:认证信息包括用户标识符),其认证信息包括用户标识符,优选地,所述认证服务器400还包括存储器470(如果所述认证服务器400原本不包括存储器470),用于预先存储用户标识符和相对应的数额,或者所述认证服务器400的存储器470还用于预先存储用户标识符和相对应的数额(如果所述认证服务器400原本包括存储器470),所述认证单元420还包括检索单元424(如果所述认证单元420原本不包括检索单元424),用于基于当前接收到的认证信息中的用户标识符在所述存储器470中检索相对应的数额,或者所述认证单元420的检索单元424还用于基于当前接收到的认证信息中的用户标识符在所述存储器470中检索相对应的数额(如果所述认证单元420原本包括检索单元424)。
下面将参考所述用户终端200、认证前端计算机系统300和认证服务器400的结构框图来示意性地描述本发明实施例的具体操作。
当用户需要从其用户支付账户向营运者支付一个数额,所述认证信息发生器220生成认证信息。相对应所述认证服务器400的其中一些模式(例如模式2、模式4或者模式6,或者模式5结合下列附加特征:认证信息包括用户标识符),其认证信息包括用户标识符,优选地,所述用户终端200中的存储器230预先存储了所述用户的用户标识符,所述认证信息发生器220还在所生成的认证信息包括所存储的用户标识符。可替换地,所述用户终端200中的存储器230预先存储了至少一个用户标识符,所述用户通过所述用户接口260从所存储的用户标识符中选择所述用户的用户标识符,所述认证信息发生器220还在所生成的认证信息包括所选择的用户标识符。可替换地,所述用户通过所述用户接口260输入用户标识符,所述认证信息发生器220还在所生成的认证信息包括所输入的用户标识符。
相对应所述认证服务器400的任何模式,如果结合下列附加特征:认证信息包括用户身份信息,其中,所述用户身份信息包括所述用户支付账户的用户支付账户标识符,那么优选地,所述用户终端200中的存储器230预先存储了所述用户身份信息,所述认证信息发生器220还在所生成的认证信息包括所存储的用户身份信息。可替换地,所述用户终端200中的存储器230预先存储了至少一个用户支付账户标识符,所述用户通过所述用户接口260从所存储的用户支付账户标识符中选择所述用户支付账户的用户支付账户标识符,所述认证信息发生器220还在所生成的认证信息包括用户身份信息,其中,所述用户身份信息包括所选择的用户支付账户标识符。可替换地,所述用户通过所述用户接口260输入所述用户支付账户的用户支付账户标识符,所述认证信息发生器220还在所生成的认证信息包括用户身份信息,其中,所述用户身份信息包括所输入的用户支付账户标识符。相对应所述认证服务器400的任何模式,如果结合下列附加特征:认证信息包括不包含用户支付账户标识符的用户身份信息,那么所述认证信息发生器220在所生成的认证信息包括不包含用户支付账户标识符的用户身份信息。
相对应所述认证服务器400的任何模式,如果结合下列附加特征:认证信息包括营运者账户标识符或者营运者标识符,那么所述认证前端计算机系统300通过非接触通信方式或者接触通信方式将所述营运者的营运者账户标识符或者所述营运者的营运者标识符发送到所述用户终端200,或者所述认证前端计算机系统300将所述营运者的营运者账户标识符或者所述营运者的营运者标识符以文本和/或机器可读的格式显示出来,以便所述用户终端200读取,或者以便所述用户读取并通过所述用户接口260输入到所述用户终端200,所述认证信息发生器220还在所生成的认证信息包括所述营运者的营运者账户标识符或者所述营运者的营运者标识符。
相对应所述认证服务器400的任何模式,如果结合下列附加特征:认证信息包括数额,那么所述认证前端计算机系统300通过非接触通信方式或者接触通信方式将所需要支付的数额发送到所述用户终端200,或者所述认证前端计算机系统300将所需要支付的数额以文本和/或机器可读的格式显示出来,以便所述用户终端200读取,或者以便所述用户读取并通过所述用户接口260输入到所述用户终端200,所述认证信息发生器220还在所生成的认证信息包括所需要支付的数额。
相对应所述认证服务器400的任何模式,如果结合下列附加特征:认证指示(如果存在)包括认证服务器400的标识符,那么优选地,所述用户终端200中的存储器230预先存储了认证服务器400的标识符,所述发送装置210发送的认证指示还包括所存储的认证服务器400的标识符。可替换地,所述用户终端200中的存储器230预先存储了至少一个认证服务器400的标识符,所述用户通过所述用户接口260从所存储的认证服务器400的标识符中选择,所述发送装置210发送的认证指示还包括所选择的认证服务器400的标识符,所述用户是根据所述用户支付账户来选择相对应的认证服务器400的标识符,或者所述用户是根据所述用户支付账户的类型(例如:一个类型包括一家银行的所有用户支付账户)来选择相对应的认证服务器400的标识符(例如:该家银行的认证服务器400的标识符)。可替换地,所述用户通过所述用户接口260输入认证服务器400的标识符,所述发送装置210发送的认证指示还包括所输入的认证服务器400的标识符,所述用户是根据所述用户支付账户来输入相对应的认证服务器400的标识符,或者所述用户是根据所述用户支付账户的类型来输入相对应的认证服务器400的标识符。
相对应所述认证服务器400的模式1、模式2、模式3或者模式4,如果结合下列附加特征:认证信息包括生成所述认证信息的时间,那么所述用户终端200的认证信息发生器220在所生成的认证信息包括所述实时时钟240生成的当前实时时间,所述时间可以但不一定包括日期和日时。相对应所述认证服务器400的模式1、模式2、模式3或者模式4,如果结合下列附加特征:认证信息包括滚动码,那么所述用户终端200的认证信息发生器220在所生成的认证信息包括所述滚动码发生器250生成的滚动码,所述滚动码包括KeeLoq码、HITAG码或者AVR411码等等,所述滚动码可以但不一定与在所生成的认证信息中的用户标识符(如果存在)相关联。相对应所述认证服务器400的模式1、模式2、模式3或者模式4,上述两个附加特征可以互相替换或者并存,亦即认证信息包括生成所述认证信息的时间或者滚动码,或者同时包括生成所述认证信息的时间和滚动码。相对应所述认证服务器400的模式5,因为所生成的认证信息包括滚动码,所以所述用户终端200的认证信息发生器220在所生成的认证信息包括所述滚动码发生器250生成的滚动码,所述滚动码包括KeeLoq码、HITAG码或者AVR411码等等,所述滚动码可以但不一定与在所生成的认证信息中的用户标识符(如果存在)相关联。包括到所生成的认证信息中的所述当前实时时间和/或滚动码使得每次生成的认证信息都不同,从而产生了动态的认证信息,而不是静态的认证信息,因而杜绝所述用户以外的其它人士通过重用以前生成过的认证信息再对所述用户的身份进行认证来冒认所述用户,这样就具有更高的信息安全性。
之后,相对应所述认证服务器400的模式1,因为认证信息不包括用户标识符,以及认证信息是需要加密的,所以所述用户终端200的加密单元222使用加密密钥对需要发送的认证信息进行加密。相对应所述认证服务器400的模式2,因为认证信息包括用户标识符,以及认证信息中除所述用户标识符之外的其它部分是需要加密的,所以所述用户终端200的加密单元222使用加密密钥对需要发送的认证信息中除所述用户标识符之外的其它部分进行加密。相对应所述认证服务器400的模式3,因为认证信息不包括用户标识符但是需要包括数字签名,所以所述用户终端200的数字签名发生器224使用签名密钥生成数字签名,其中所述数字签名需要包括到需要发送的认证信息中,所述生成的数字签名将会用于验证需要发送的认证信息中除所述数字签名之外的其它部分的数据完整性,所述认证信息发生器220将所述数字签名包括到需要发送的认证信息中。相对应所述认证服务器400的模式4,因为认证信息包括用户标识符和需要包括数字签名,所以所述用户终端200的数字签名发生器224使用签名密钥生成数字签名,其中所述数字签名需要包括到需要发送的认证信息中,所述生成的数字签名将会用于验证需要发送的认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性,所述认证信息发生器220将所述数字签名包括到需要发送的认证信息中。优选地,所述加密密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述存储器230中,第二部分是用户在所述加密单元222进行加密之前通过所述用户接口260输入到所述用户终端200中的信息或者所输入的信息的散列,所述散列是由所述散列发生器280将用户输入的信息生成的。所述加密可以采用任何加密技术,本发明在这方面没有任何限制。例如,可以使用对称密钥系统或者非对称密钥系统。对于非对称密钥系统,所述加密密钥和相对应的解密密钥分别是私钥和公钥,反之亦可。本领域技术人员知道,对于对称密钥系统,所述加密密钥和相对应的解密密钥是相同的密钥。
优选地,所述签名密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述存储器230中,第二部分是用户在所述数字签名发生器224生成所述数字签名之前通过所述用户接口260输入到所述用户终端200中的信息或者所输入信息的散列。所述数字签名可以采用任何数字签名技术或者任何效果与数字签名技术大致相同的技术,本发明在这方面没有任何限制。例如,可以使用Schnorr数字签名(Schnorr signature)等。又例如,可以使用效果与传统认为的数字签名技术大致相同的信息认证码(message authentication code)等,那么所述签名密钥和相对应的验证密钥是相同的。又例如,可以使用效果与数字签名技术大致相同的加密的信息完整性码(message integrity code)等,那么所述签名密钥和相对应的验证密钥分别是用于加密的加密密钥和相对应用于解密的解密密钥。上述的技术均可以认为是本文所要求保护的广义的数字签名技术。
现有的数字签名技术大多都使用散列以及公钥、私钥的技术。优选地,本发明所使用的数字签名技术可以使用各种产生散列以及公钥、私钥的技术,且散列与公钥、私钥之间的逻辑运算可以是复杂的,也可以较为简单的。因此,优选地,本发明的数字签名发生器224实际上包含产生散列的功能。其中,所述私钥等同所述签名密钥,所述公钥等同相对应所述签名密钥的验证密钥。
之后,本发明的上述两种实现方式执行不同的步骤。
在本发明的第一种实现方式中,优选地,所述用户终端200的非接触通信发射机212将包含需要发送的认证信息的认证指示以非接触通信方式发送到所述认证前端计算机系统300的非接触通信接收机312。可替换地,所述用户终端200的显示器214将包含需要发送的认证信息的认证指示以文本和/或机器可读的格式显示出来,以便所述认证前端计算机系统300的读取器314读取。对于文本的格式,还可以由所述用户通过所述认证前端计算机系统300的用户接口340直接输入到所述认证前端计算机系统300。
在所述认证前端计算机系统300的接收机310或者用户接口340接收到所述认证指示之后,所述认证请求发生器320生成包含接收到的认证信息的认证请求。相对应所述认证服务器400的任何模式,如果接收到的认证信息不包括营运者账户标识符和营运者标识符,那么所述认证请求发生器320将所述存储器350中存储的营运者账户标识符或者营运者标识符包括到所述认证请求中。相对应所述认证服务器400的任何模式,如果接收到的认证信息不包括数额,那么所述认证请求发生器320将所述存储器350中存储的数额包括到所述认证请求中。
之后,所述认证前端计算机系统300的发射机330通过所述通信网120将所述认证请求发送到特定的认证服务器400。相对应所述认证服务器400的任何模式,如果结合下列附加特征:认证指示包括认证服务器400的标识符,那么所述认证前端计算机系统300的接收机310或者用户接口340接收到的认证指示中的认证服务器400的标识符用于标识所述特定的认证服务器400。不然,相对应所述认证服务器400的任何模式,所述认证前端计算机系统300的存储器350中预先存储的认证服务器400的标识符用于标识所述特定的认证服务器400。
在本发明的第二种实现方式中,所述用户终端200的发送装置210将包含需要发送的认证信息的认证请求通过所述通信网110发送到特定的认证服务器400。优选地,所述用户终端200中的存储器230预先存储了认证服务器400的标识符,用于标识所述特定的认证服务器400。可替换地,所述用户终端200中的存储器230预先存储了至少一个认证服务器400的标识符,所述用户通过所述用户接口260从所存储的认证服务器400的标识符中选择,所选择的认证服务器400的标识符用于标识所述特定的认证服务器400,所述用户是根据所述用户支付账户来选择相对应的认证服务器400的标识符,或者所述用户是根据所述用户支付账户的类型(例如:一个类型包括一家银行的所有用户支付账户)来选择相对应的认证服务器400的标识符(例如:该家银行的认证服务器400的标识符)。可替换地,所述用户通过所述用户接口260输入认证服务器400的标识符,所输入的认证服务器400的标识符用于标识所述特定的认证服务器400,所述用户是根据所述用户支付账户来输入相对应的认证服务器400的标识符,或者所述用户是根据所述用户支付账户的类型来输入相对应的认证服务器400的标识符。
无论在本发明的上述两种实现方式的任何一种实现方式中,所述认证服务器400的接收机410接收到包含认证信息的认证请求。在模式1中,因为认证信息不包括用户标识符,以及认证信息是已加密的,所以所述存储器470预先存储用于对已加密的认证信息进行解密的解密密钥,在所述接收机410接收到所述认证请求之后,所述解密单元422使用所述解密密钥对接收到的已加密的认证信息进行解密,并继续其它认证步骤。在模式2中,因为认证信息包括用户标识符,以及认证信息中除所述用户标识符之外的其它部分是已加密的,所以所述存储器470预先存储用户标识符和相对应的用于对认证信息中的已加密部分进行解密的解密密钥,在所述接收机410接收到所述认证请求之后,所述检索单元424基于接收到的认证信息中的用户标识符在所述存储器470中检索用于解密的解密密钥,如果检索不到,则认证失败,否则,如果检索到,所述解密单元422使用检索到的解密密钥对接收到的认证信息中的已加密部分进行解密,并继续其它认证步骤。在模式3中,因为认证信息不包括用户标识符但是包括数字签名,所以所述存储器470预先存储用于对所述认证信息中除所述数字签名之外的其它部分的数据完整性进行验证的验证密钥,在所述接收机410接收到所述认证请求之后,所述验证单元428使用所述验证密钥和所述数字签名对接收到的认证信息中除所述数字签名之外的其它部分的数据完整性进行验证,如果否定所述数据完整性,则认证失败,否则,如果确定所述数据完整性,则继续其它认证步骤。在模式4中,因为认证信息包括用户标识符和数字签名,所以所述存储器470预先存储用户标识符和相对应的用于对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证的验证密钥,在所述接收机410接收到所述认证请求之后,所述检索单元424基于接收到的认证信息中的用户标识符在所述存储器470中检索用于验证的验证密钥,如果检索不到,则认证失败,否则,如果检索到,所述验证单元428使用检索到的验证密钥对接收到的认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证,如果否定所述数据完整性,则认证失败,否则,如果确定所述数据完整性,则继续其它认证步骤。在模式5或者模式6中,继续其它认证步骤。
之后,所述继续其它认证步骤的详情如下。在模式1、模式2、模式3或者模式4中,如果结合下列附加特征:认证信息包括生成所述认证信息的时间,那么可以采用三种时间比较方案中的任何一种。在时间比较方案1下,所述认证服务器400的比较单元426比较当前接收到的认证信息中的时间与所述实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则认证成功。在时间比较方案2下,所述认证服务器400的比较单元426比较所述存储器470中存储的以前接收到的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。在时间比较方案3下,所述认证服务器400的比较单元426比较当前接收到的认证信息中的时间与所述实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,所述比较单元426还比较所述存储器470中存储的以前接收到的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。在模式5中,或者在模式1、模式2、模式3或者模式4中结合下列附加特征:认证信息包括滚动码,所述认证服务器400的比较单元426比较当前接收到的认证信息中的滚动码与所述滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则认证成功。在模式1、模式2、模式3或者模式4中,如果结合下列附加特征:认证信息包括生成所述认证信息的时间和滚动码,那么也可以采用三种时间比较方案中的任何一种。在时间比较方案1下,所述认证服务器400的比较单元426比较当前接收到的认证信息中的时间与所述实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则所述比较单元426还比较当前接收到的认证信息中的滚动码与所述滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则认证成功。在时间比较方案2下,所述认证服务器400的比较单元426比较所述存储器470中存储的以前接收到的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则所述比较单元426还比较当前接收到的认证信息中的滚动码与所述滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则认证成功。在时间比较方案3下,所述认证服务器400的比较单元426比较当前接收到的认证信息中的时间与所述实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,所述比较单元426还比较所述存储器470中存储的以前接收到的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则所述比较单元426还比较当前接收到的认证信息中的滚动码与所述滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则认证成功。在模式6中,因为认证信息包括用户标识符和用户身份信息,所以所述认证服务器400的存储器470预先存储用户标识符和相对应的用户身份信息,在接收机410接收到所述认证请求之后,所述检索单元424基于接收到的认证信息中的用户标识符在所述存储器470中检索相对应的用户身份信息,所述比较单元426比较检索到的用户身份信息与接收到的认证信息中的用户身份信息,如果至少一个检索到的用户身份信息与接收到的认证信息中的用户身份信息相同,则认证成功,否则认证失败。所述滚动码发生器450生成的滚动码可以但不一定与当前接收到的认证信息中的用户标识符(如果存在)相关联。
优选地,所述认证服务器400的认证单元420在认证成功之后,从特定的用户支付账户向特定的营运者账户支付特定的数额。
在以上任何模式中,如果结合下列附加特征:认证信息包括包含用户支付账户标识符的用户身份信息,那么所述认证服务器400当前接收到的认证信息中的用户身份信息中的用户支付账户标识符用于标识所述特定的用户支付账户。不然,在以上任何模式中,优选地,所述特定的用户支付账户就是默认的用户支付账户。可替换地,所述认证服务器400的存储器470预先存储用户支付账户标识符,用于标识所述特定的用户支付账户。在以上的其中一些模式中(例如在模式2、模式4或者模式6中,或者在模式5中结合下列附加特征:认证信息包括用户标识符),其认证信息包括用户标识符,优选地,所述特定的用户支付账户就是默认的用户支付账户。可替换地,所述认证服务器400的存储器470预先存储用户标识符和相对应的用户支付账户标识符,在所述接收机410接收到认证请求之后,所述检索单元424基于接收到的认证信息中的用户标识符在所述存储器470中检索相对应的用于标识所述特定的用户支付账户的用户支付账户标识符。
在以上任何模式中,如果结合下列附加特征:认证信息或者认证请求包括营运者账户标识符,那么所述认证服务器400当前接收到的认证信息或者认证请求中的营运者账户标识符用于标识所述特定的营运者账户。在以上任何模式中,如果结合下列附加特征:认证信息或者认证请求包括营运者标识符,那么所述认证服务器400的存储器470预先存储营运者标识符和相对应的营运者账户标识符,在所述接收机410接收到认证请求之后,所述检索单元424基于接收到的认证信息或者认证请求中的营运者标识符在所述存储器470中检索相对应的用于标识所述特定的营运者账户的营运者账户标识符。不然,在以上任何模式中,优选地,所述特定的营运者账户就是默认的营运者账户。可替换地,所述存储器470预先存储营运者账户标识符,用于标识所述特定的营运者账户。
在以上任何模式中,如果结合下列附加特征:认证信息或者认证请求包括数额,那么所述特定的数额就是所述认证服务器400当前接收到的认证信息或者认证请求中的数额。不然,在以上任何模式中,优选地,所述认证服务器400的存储器470预先存储数额,所述特定的数额就是在所述存储器470存储的数额。在以上的其中一些模式中(例如在模式2、模式4或者模式6中,或者在模式5中结合下列附加特征:认证信息包括用户标识符),其认证信息包括用户标识符,优选地,所述认证服务器400的存储器470预先存储用户标识符和相对应的数额,在所述接收机410接收到认证请求之后,所述检索单元424基于接收到的认证信息中的用户标识符在所述存储器470中检索相对应的数额,所述特定的数额就是检索到的数额。
最后,无论认证成功或者认证失败,优选地,所述认证服务器400的发射机430通过所述通信网120将认证结果发送到所述认证前端计算机系统300。优选地,所述认证结果包括认证成功或者认证失败。优选地,所述认证结果包括关于支付是否成功和/或支付数额的信息。优选地,所述认证前端计算机系统300的发射机330通过所述通信网110将接收机310接收到的所述认证结果进一步发送到所述用户终端200的接收机270。优选地,所述发射机430直接通过所述通信网110将所述认证结果发送到所述用户终端200的接收机270。
如果认证信息包括生成所述认证信息的时间,那么当所述用户在排队等待支付(或者票证认证)时,为了能够在轮到所述用户自己时马上就能实施支付(或票证认证)以节省时间,所述用户可以提前向所述用户终端200发出支付(或票证认证)的指令,此后,每隔一个预定时段,所述用户终端200的认证信息发生器220就生成一次认证信息,直至轮到所述用户自己时所述用户终端200的用户接口260接收到所述用户的指令将包含最新生成的认证信息的认证指示发送到所述认证前端计算机系统300,或者直至轮到所述用户自己时所述用户终端200的用户接口260接收到所述用户的指令将包含最新生成的认证信息的认证请求发送到所述认证服务器400,其中每次生成的认证信息都包括生成相对应认证信息的时间,在接收到所述发送认证指示的指令后,所述用户终端200的发送装置210将包含最新生成的认证信息的认证指示发送到所述认证前端计算机系统300,或者在接收到所述发送认证请求的指令后,所述用户终端200的发送装置210将包含最新生成的认证信息的认证请求发送到所述认证服务器400。
在模式1、模式2、模式3或者模式4中,如果结合下列附加特征:认证信息包括生成所述认证信息的时间或者认证信息包括生成所述认证信息的时间和滚动码,以及采用所述时间比较方案3,那么所述认证服务器400的存储器470还存储每次接收到的认证请求中的认证信息,优选地,当所述存储器470中存储的认证信息中包含的时间已经早于所述实时时钟440生成的当前实时时间超过所述预定阈值时,从所述存储器470删除相对应的所存储的认证信息。
优选地,为加强上述发送的准确性和/或保密性,上述发送附加误差检测和校正(error detection and correction),例如误差校正码(error correction code)等,和/或附加额外加密及解密。
除了下列几方面之外,用户向营运者对一个票证进行票证认证的优选实施例与上述用户从其用户支付账户向营运者支付一个数额的优选实施例完全相同:进行票证认证的实施例将支付的实施例中的所述用户支付账户变为所述票证;进行票证认证的实施例将支付的实施例中的所述用户支付账户的用户支付账户标识符变为所述票证的票证标识符;进行票证认证的实施例没有营运者账户、营运者账户标识符和营运者标识符,也没有相关营运者账户标识符和/或营运者标识符的包括、存储、输入、其它处理和/或其它设备;进行票证认证的实施例没有数额,也没有相关数额的包括、存储、输入、其它处理和/或其它设备;进行票证认证的实施例中的所述认证单元420在认证成功之后,容许所述用户行使特定的票证,反之,支付的实施例中的所述认证单元420在认证成功之后,从特定的用户支付账户向特定的营运者账户支付特定的数额;以及进行票证认证的实施例中的认证结果不包括支付的实施例中的关于支付是否成功和/或支付数额的信息,但是优选地包括关于所述票证的信息。优选地,所述容许所述用户行使特定的票证,是由所述认证单元420通过通信网120交给所述认证前端计算机系统300实施,例如所述认证前端计算机系统300指令执行器(actuator)开启门闸容许所述用户通行。优选地,当营运者向用户给与一个或者一些权利和/或身份时,所述营运者的认证前端计算机系统300通过非接触通信方式或者接触通信方式将与所述权利和/或身份相对应的票证标识符发送到所述用户的用户终端200,所述非接触通信方式或者接触通信方式包括通过通信网110,例如:短信、增强短信、多媒体短信/彩信、下载等等。可替换地,当营运者向用户给与一个或者一些权利和/或身份时,所述营运者的认证前端计算机系统300将所述票证标识符以文本和/或机器可读的格式显示出来,以便所述用户的用户终端200读取,或者以便用户读取并通过所述用户终端200的用户接口260输入到所述用户终端200。
图5示意性示出了根据本发明一个实施例的用于对用户身份进行认证的方法的流程图。在这个实施例中,用户从其用户支付账户向营运者支付一个数额。这个实施例相对应认证服务器400的模式2结合下列附加特征:认证信息包括包含用户支付账户标识符的用户身份信息、生成所述认证信息的时间和滚动码,认证指示包括认证服务器400的标识符,以及认证请求包括营运者标识符和数额。而且采用时间比较方案3,认证服务器400将认证结果发送到认证前端计算机系统300,以及认证服务器400直接将认证结果发送到用户终端200,而不是通过认证前端计算机系统300作为中间节点将认证结果发送到用户终端200。
根据本实施例的认证方法在步骤S500开始。然后在步骤S501,将用户标识符与相对应的解密密钥相关联地登记到认证服务器400中。同时还将营运者标识符与相对应的营运者账户标识符相关联地登记到所述认证服务器400中。然后在步骤S502中,用户终端200生成包括如下各部分的认证信息:用户标识符、用户身份信息、生成所述认证信息的当前实时时间和滚动码,并对所述认证信息中除所述用户标识符之外的其它部分进行加密,其中用于加密的加密密钥包括第一部分和/或第二部分,第一部分被预先存储在存储器230中,第二部分是用户输入到用户接口260的信息或者所输入信息的散列。在这个实施例中,所述用户身份信息包括所述用户支付账户的用户支付账户标识符。正如前面所详细描述的,所述实时时间和滚动码分别由所述用户终端200的实时时钟240和滚动码发生器250生成。然后在步骤S503,所述用户终端200将所述部分已加密的认证信息和用于对用户身份进行认证的认证服务器400的标识符包括到认证指示,并将所述认证指示发送到认证前端计算机系统300。所述认证前端计算机系统300在接收到所述认证指示之后,在步骤S504生成包含所述部分已加密的认证信息、营运者标识符和需要支付的数额的认证请求,并通过通信网120将所述认证请求发送到所述认证服务器400的标识符所标识的认证服务器400。所述认证请求中的营运者标识符标识所述营运者。
然后所述认证服务器400接收到所述认证请求,并根据所述认证请求中的认证信息对用户身份进行认证。首先在步骤S505,所述认证服务器400从所述认证请求中提取所述部分已加密的认证信息、所述营运者标识符和所述数额。然后所述认证服务器400基于所述部分已加密的认证信息中没有加密的用户标识符在其存储器470中检索用于对所述认证信息中的已加密部分进行解密的解密密钥,并且使用检索到的解密密钥对所述认证信息中的已加密部分进行解密,从而获得解密的认证信息。在解密之后,在步骤S507,所述认证服务器400的比较单元426比较所述认证信息中的时间与所述认证服务器400的实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则转到步骤S515,即认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则转到步骤S508。在步骤S508,所述认证服务器400的比较单元426比较所述认证服务器400的存储器470中存储的以前接收到的认证请求中的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则转到步骤S515,即认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则转到步骤S509。在步骤S509,所述认证服务器400的比较单元426比较当前接收到的认证信息中的滚动码与所述认证服务器400的滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则转到步骤S515,即认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则转到步骤S512,即认证成功,然后转到步骤S513。前面所述滚动码发生器450生成的滚动码可以但不一定与当前接收到的认证信息中的用户标识符也相关联。在步骤S513, 所述认证服务器400的检索单元424基于当前接收到的认证请求中的营运者标识符在所述认证服务器400的存储器470中检索相对应的营运者账户标识符,所述认证服务器400的认证单元420从当前接收到的认证请求中的认证信息中的用户支付账户标识符所标识的用户支付账户向检索到的营运者账户标识符所标识的营运者账户支付当前接收到的认证请求中的数额,然后转到步骤S516。
当从步骤S513转到步骤S516,所述认证服务器400的发射机430通过所述通信网120将认证成功的认证结果发送到所述认证前端计算机系统300,所述认证结果包括关于支付是否成功和/或支付数额的信息,所述发射机430还通过通信网110直接将所述认证结果发送到所述用户终端200,然后所述方法转到步骤S517结束。反之,当从步骤S515转到步骤S516,所述认证服务器400的发射机430通过所述通信网120将认证失败的认证结果发送到所述认证前端计算机系统300,所述发射机430还直接通过所述通信网110将所述认证结果发送到所述用户终端200,然后所述方法转到步骤S517结束。
需要说明的是,上述步骤S507至步骤S509是对认证信息的时间验证、去重验证以及滚动码验证,上述步骤S505与上述步骤S507至步骤S509的验证步骤不一定按照图5所示的顺序执行,上述四个步骤可以任意排列顺序,只要步骤S505在步骤S507和S509之前就可以,应理解任意排列的顺序都包括在本发明的权利要求保护范围之内。
图6示意性示出了根据本发明另一个实施例的用于对用户身份进行认证的方法的流程图。在这个实施例中,用户从其用户支付账户向营运者支付一个数额。这个实施例相对应认证服务器400的模式4结合下列附加特征:认证信息包括包含用户支付账户标识符的用户身份信息、生成所述认证信息的时间和滚动码,认证指示包括认证服务器400的标识符,以及认证请求包括营运者标识符和数额。而且采用时间比较方案3,认证服务器400将认证结果发送到认证前端计算机系统300,以及认证服务器400直接将认证结果发送到用户终端200,而不是通过认证前端计算机系统300作为中间节点将认证结果发送到用户终端200。换言之,与图5的唯一不同的是这个实施例采用数字签名,而不一定加密部分认证信息。
根据本实施例的认证方法在步骤S600开始。然后在步骤S601,将用户标识符与相对应的验证密钥相关联地登记到认证服务器400中。同时还将营运者标识符与相对应的营运者账户标识符相关联地登记到所述认证服务器400中。然后在步骤S602中,用户终端200生成包括如下各部分的认证信息:用户标识符、用户身份信息、生成所述认证信息的当前实时时间、滚动码和数字签名,其中用于生成所述数字签名的签名密钥包括第一部分和/或第二部分,第一部分被预先存储在存储器230中,第二部分是用户输入到用户接口260的信息或者所输入信息的散列。在这个实施例中,所述用户身份信息包括所述用户支付账户的用户支付账户标识符。正如前面所详细描述的,所述实时时间、滚动码和数字签名分别由所述用户终端200的实时时钟240、滚动码发生器250和数字签名发生器224生成。然后在步骤S603,所述用户终端200将所述包含所述数字签名的认证信息和用于对用户身份进行认证的认证服务器400的标识符包括到认证指示,并将所述认证指示发送到认证前端计算机系统300。所述认证前端计算机系统300在接收到所述认证指示之后,在步骤S604生成包含所述认证信息、营运者标识符和需要支付的数额的认证请求,并通过通信网120将所述认证请求发送到所述认证服务器400的标识符所标识的认证服务器400。所述认证请求中的营运者标识符标识所述营运者。
然后所述认证服务器400接收到所述认证请求,并根据所述认证请求中的认证信息对用户身份进行认证。首先在步骤S605, 所述认证服务器400从所述认证请求中提取所述认证信息、所述营运者标识符和所述数额。然后所述认证服务器400基于所述认证信息中的用户标识符在其存储器470中检索用于对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证的验证密钥,并且使用检索到的验证密钥和所述数字签名对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证,如果否定所述数据完整性,则转到步骤S615,即认证失败,否则,如果确定所述数据完整性,则转到步骤S607。在步骤S607,所述认证服务器400的比较单元426比较所述认证信息中的时间与所述认证服务器400的实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则转到步骤S615,即认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则转到步骤S608。在步骤S608,所述认证服务器400的比较单元426比较所述认证服务器400的存储器470中存储的以前接收到的认证请求中的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则转到步骤S615,即认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则转到步骤S609。在步骤S609,所述认证服务器400的比较单元426比较当前接收到的认证信息中的滚动码与所述认证服务器400的滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则转到步骤S615,即认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则转到步骤S612,即认证成功,然后转到步骤S613。前面所述滚动码发生器450生成的滚动码可以但不一定与当前接收到的认证信息中的用户标识符也相关联。在步骤S613, 所述认证服务器400的检索单元424基于当前接收到的认证请求中的营运者标识符在所述认证服务器400的存储器470中检索相对应的营运者账户标识符,所述认证服务器400的认证单元420从当前接收到的认证请求中的认证信息中的用户支付账户标识符所标识的用户支付账户向检索到的营运者账户标识符所标识的营运者账户支付当前接收到的认证请求中的数额,然后转到步骤S616。
当从步骤S613转到步骤S616,所述认证服务器400的发射机430通过所述通信网120将认证成功的认证结果发送到所述认证前端计算机系统300,所述认证结果包括关于支付是否成功和/或支付数额的信息,所述发射机430还直接通过通信网110将所述认证结果发送到所述用户终端200,然后所述方法转到步骤S617结束。反之,当从步骤S615转到步骤S616,所述认证服务器400的发射机430通过所述通信网120将认证失败的认证结果发送到所述认证前端计算机系统300,所述发射机430还通过所述通信网110直接将所述认证结果发送到所述用户终端200,然后所述方法转到步骤S617结束。
需要说明的是,上述步骤S606至步骤S609是对认证信息的完整性验证、时间验证、去重验证以及滚动码验证,上述步骤S605与上述步骤S606至步骤S609的验证步骤不一定按照图6所示的顺序执行,上述五个步骤可以任意排列顺序,只要步骤S605在步骤S606之前就可以,应理解任意排列的顺序都包括在本发明的权利要求保护范围之内。
根据本发明的另一种实现方式,用户终端200直接向认证服务器400发送包含认证信息的认证请求,而不通过认证前端计算机系统300将认证指示生成认证请求再发送至认证服务器400。认证服务器400对用户身份进行认证后,优选地,将认证结果发送到认证前端计算机系统300,和/或发送到用户终端200。用户终端200生成认证信息的方法与前述的实现方式大致相同,认证服务器400根据认证信息对用户身份进行认证的方法与前述的实现方式相同。
图7示意性示出了根据本发明第三个实施例的用于对用户身份进行认证的方法的流程图。在这个实施例中,用户从其用户支付账户向营运者支付一个数额。根据本实施例的认证方法在步骤S700开始。然后在步骤S701,将用户标识符与相对应的解密密钥相关联地登记到认证服务器400中。同时还将营运者标识符与相对应的营运者账户标识符相关联地登记到所述认证服务器400中。然后在步骤S702中,用户终端200生成包括如下各部分的认证信息:用户标识符、用户身份信息、生成所述认证信息的当前实时时间、滚动码、营运者标识符和需要支付的数额,并对所述认证信息中除所述用户标识符之外的其它部分进行加密,其中所述营运者标识符标识所述营运者,用于加密的加密密钥包括第一部分和/或第二部分,第一部分被预先存储在存储器230中,第二部分是用户输入到用户接口260的信息或者所输入信息的散列。在这个实施例中,所述用户身份信息包括所述用户支付账户的用户支付账户标识符。正如前面所详细描述的,所述实时时间和滚动码分别由所述用户终端200的实时时钟240和滚动码发生器250生成。然后在步骤S703,所述用户终端200将所述部分已加密的认证信息包括到认证请求,并通过通信网110将所述认证请求发送到认证服务器400。
然后所述认证服务器400接收到所述认证请求,并根据所述认证请求中的认证信息对用户身份进行认证。首先在步骤S705,所述认证服务器400从所述认证请求中提取所述部分已加密的认证信息。然后所述认证服务器400基于所述部分已加密的认证信息中没有加密的用户标识符在其存储器470中检索用于对所述认证信息中的已加密部分进行解密的解密密钥,并且使用检索到的解密密钥对所述认证信息中的已加密部分进行解密,从而获得解密的认证信息。在解密之后,在步骤S707,所述认证服务器400的比较单元426比较所述认证信息中的时间与所述认证服务器400的实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则转到步骤S715,即认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则转到步骤S708。在步骤S708,所述认证服务器400的比较单元426比较所述认证服务器400的存储器470中存储的以前接收到的认证请求中的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则转到步骤S715,即认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则转到步骤S709。在步骤S709,所述认证服务器400的比较单元426比较当前接收到的认证信息中的滚动码与所述认证服务器400的滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则转到步骤S715,即认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则转到步骤S712,即认证成功,然后转到步骤S713。前面所述滚动码发生器450生成的滚动码可以但不一定与当前接收到的认证信息中的用户标识符也相关联。在步骤S713, 所述认证服务器400的检索单元424基于当前接收到的认证请求中的认证信息中的营运者标识符在所述认证服务器400的存储器470中检索相对应的营运者账户标识符,所述认证服务器400的认证单元420从当前接收到的认证请求中的认证信息中的用户支付账户标识符所标识的用户支付账户向检索到的营运者账户标识符所标识的营运者账户支付当前接收到的认证请求中的认证信息中的数额,然后转到步骤S716。
当从步骤S713转到步骤S716,所述认证服务器400的发射机430通过所述通信网120将认证成功的认证结果发送到所述认证前端计算机系统300,所述认证结果包括关于支付是否成功和/或支付数额的信息,所述发射机430还通过通信网110直接将所述认证结果发送到所述用户终端200,然后所述方法转到步骤S717结束。反之,当从步骤S715转到步骤S716,所述认证服务器400的发射机430通过所述通信网120将认证失败的认证结果发送到所述认证前端计算机系统300,所述发射机430还直接通过所述通信网110将所述认证结果发送到所述用户终端200,然后所述方法转到步骤S717结束。
需要说明的是,上述步骤S707至步骤S709是对认证信息的时间验证、去重验证以及滚动码验证,上述步骤S705与上述步骤S707至步骤S709的验证步骤不一定按照图7所示的顺序执行,上述四个步骤可以任意排列顺序,只要步骤S705在步骤S707和S709之前就可以,应理解任意排列的顺序都包括在本发明的权利要求保护范围之内。
图8示意性示出了根据本发明第四个实施例的用于对用户身份进行认证的方法的流程图。在这个实施例中,用户从其用户支付账户向营运者支付一个数额。本实施例与第三个实施例不同的是,本实施例采用数字签名,而不一定加密部分认证信息。
根据本实施例的认证方法在步骤S800开始。然后在步骤S801,将用户标识符与相对应的验证密钥相关联地登记到认证服务器400中。同时还将营运者标识符与相对应的营运者账户标识符相关联地登记到所述认证服务器400中。然后在步骤S802中,用户终端200生成包括如下各部分的认证信息:用户标识符、用户身份信息、生成所述认证信息的当前实时时间、滚动码、营运者标识符、需要支付的数额和数字签名,其中所述营运者标识符标识所述营运者,用于生成所述数字签名的签名密钥包括第一部分和/或第二部分,第一部分被预先存储在存储器230中,第二部分是用户输入到用户接口260的信息或者所输入信息的散列。在这个实施例中,所述用户身份信息包括所述用户支付账户的用户支付账户标识符。正如前面所详细描述的,所述实时时间、滚动码和数字签名分别由所述用户终端200的实时时钟240、滚动码发生器250和数字签名发生器224生成。然后在步骤S803,所述用户终端200将所述包含所述数字签名的认证信息包括到认证请求,并通过通信网110将所述认证请求发送到认证服务器400。
然后所述认证服务器400接收到所述认证请求,并根据所述认证请求中的认证信息对用户身份进行认证。首先在步骤S805, 所述认证服务器400从所述认证请求中提取所述认证信息。然后所述认证服务器400基于所述认证信息中的用户标识符在其存储器470中检索用于对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证的验证密钥,并且使用检索到的验证密钥和所述数字签名对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证,如果否定所述数据完整性,则转到步骤S815,即认证失败,否则,如果确定所述数据完整性,则转到步骤S807。在步骤S807,所述认证服务器400的比较单元426比较所述认证信息中的时间与所述认证服务器400的实时时钟440生成的当前实时时间,如果所述时间之间的误差大于一个预定阈值,则转到步骤S815,即认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则转到步骤S808。在步骤S808,所述认证服务器400的比较单元426比较所述认证服务器400的存储器470中存储的以前接收到的认证请求中的认证信息与当前接收到的认证信息,如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则转到步骤S815,即认证失败,否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则转到步骤S809。在步骤S809,所述认证服务器400的比较单元426比较当前接收到的认证信息中的滚动码与所述认证服务器400的滚动码发生器450生成的相对应的滚动码,如果当前接收到的认证信息中的滚动码不等于任何一个由所述滚动码发生器450生成的相对应的滚动码,则转到步骤S815,即认证失败,否则,如果当前接收到的认证信息中的滚动码等于至少一个由所述滚动码发生器450生成的相对应的滚动码,则转到步骤S812,即认证成功,然后转到步骤S813。前面所述滚动码发生器450生成的滚动码可以但不一定与当前接收到的认证信息中的用户标识符也相关联。在步骤S813, 所述认证服务器400的检索单元424基于当前接收到的认证请求中的认证信息中的营运者标识符在所述认证服务器400的存储器470中检索相对应的营运者账户标识符,所述认证服务器400的认证单元420从当前接收到的认证请求中的认证信息中的用户支付账户标识符所标识的用户支付账户向检索到的营运者账户标识符所标识的营运者账户支付当前接收到的认证请求中的认证信息中的数额,然后转到步骤S816。
当从步骤S813转到步骤S816,所述认证服务器400的发射机430通过所述通信网120将认证成功的认证结果发送到所述认证前端计算机系统300,所述认证结果包括关于支付是否成功和/或支付数额的信息,所述发射机430还直接通过通信网110将所述认证结果发送到所述用户终端200,然后所述方法转到步骤S817结束。反之,当从步骤S815转到步骤S816,所述认证服务器400的发射机430通过所述通信网120将认证失败的认证结果发送到所述认证前端计算机系统300,所述发射机430还通过所述通信网110直接将所述认证结果发送到所述用户终端200,然后所述方法转到步骤S817结束。
需要说明的是,上述步骤S806至步骤S809是对认证信息的完整性验证、时间验证、去重验证以及滚动码验证,上述步骤S805与上述步骤S806至步骤S809的验证步骤不一定按照图8所示的顺序执行,上述五个步骤可以任意排列顺序,只要步骤S805在步骤S806之前就可以,应理解任意排列的顺序都包括在本发明的权利要求保护范围之内。
上面已经参照附图描述了本发明的优选实施例以及其具体应用的实现。但是应当认识到,以上所述仅仅是本发明的优选实施例,本发明并不局限于上述实施例。本领域技术人员在实施所要求保护的发明时,通过对附图、公开内容和所附权利要求的研究,应当能够理解并实现所公开的实施例的其它改进和变型,这些改进和变型也应当被包含在本发明的保护范围之内。
在权利要求书中,词语“包括/包含”不排除其它组件或步骤,术语“一”或“一个”不排除多个。单个单元可以实现权利要求中记载的若干项目的功能。仅仅某些措施在互不相同的从属权利要求中记载这一事实并不表明这些措施的组合不能被有利地利用。
Claims (107)
1.一种用于认证用户身份的方法,包括如下步骤:
从用户终端向认证前端计算机系统发送包含认证信息的认证指示并从所述认证前端计算机系统向特定的认证服务器发送包含所述认证信息的认证请求;
或者,从用户终端向特定的认证服务器发送包含认证信息的认证请求;以及
所述认证服务器根据所述认证信息对用户身份进行认证。
2.根据权利要求1的方法,还包括:
所述认证服务器将认证结果发送到所述认证前端计算机系统,和/或直接或者通过所述认证前端计算机系统作为中间节点将所述认证结果发送到所述用户终端。
3.根据权利要求1的方法,其中,所述认证指示通过包括所述特定的认证服务器的标识符来标识所述特定的认证服务器。
4.根据权利要求1的方法,还包括:
在发送所述认证信息之前,所述用户终端对所述认证信息进行加密;
已经预先在所述认证服务器中登记了用于对已加密的认证信息进行解密的解密密钥;以及
所述认证服务器在接收到所述认证信息之后,进行认证信息解密程序,所述认证信息解密程序包括:
使用所述解密密钥对所述认证信息进行解密。
5.根据权利要求1的方法,其中,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述方法还包括:
在发送所述认证信息之前,所述用户终端对所述认证信息中除所述用户标识符之外的其它部分进行加密;
已经预先在所述认证服务器中相关联地登记了用户标识符和用于对认证信息中的已加密部分进行解密的解密密钥;以及
所述认证服务器在接收到所述认证信息之后,进行认证信息解密程序,所述认证信息解密程序包括:
基于所接收到的用户标识符在所述认证服务器中检索用于解密的解密密钥;
如果检索不到,则认证失败;以及
否则,如果检索到,则使用检索到的解密密钥对所述认证信息中的已加密部分进行解密。
6.根据权利要求1的方法,还包括:
在发送所述认证信息之前,所述用户终端使用签名密钥生成数字签名,并将所述数字签名包括到所述认证信息中,所述数字签名用于验证所述认证信息中除所述数字签名之外的其它部分的数据完整性;
已经预先在所述认证服务器中登记了用于对所述认证信息中除所述数字签名之外的其它部分的数据完整性进行验证的验证密钥;
所述认证服务器在接收到所述认证信息之后,使用所述验证密钥和接收到的所述数字签名对所述认证信息中除所述数字签名之外的其它部分的数据完整性进行验证;
如果否定所述数据完整性,则认证失败;以及
否则,如果确定所述数据完整性,则执行时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。
7.根据权利要求1的方法,其中,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述方法还包括:
在发送所述认证信息之前,所述用户终端使用签名密钥生成数字签名,并将所述数字签名包括到所述认证信息中,所述数字签名用于验证所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性;
已经预先在所述认证服务器中相关联地登记了用户标识符和用于对认证信息中除数字签名之外的其它部分或者除数字签名和用户标识符之外的其它部分的数据完整性进行验证的验证密钥;
所述认证服务器在接收到所述认证信息之后,基于接收到的用户标识符在所述认证服务器中检索用于验证的验证密钥;
如果检索不到,则认证失败;以及
否则,如果检索到,所述方法还包括:
所述认证服务器使用检索到的验证密钥和接收到的数字签名对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证;
如果否定所述数据完整性,则认证失败;以及
否则,如果确定所述数据完整性,则继续执行时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。
8.根据权利要求4或者5的方法,其中,用于加密的加密密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述用户终端中,第二部分是用户在所述用户终端进行加密之前输入到所述用户终端中的信息或者所述信息的散列。
9.根据权利要求6或者7的方法,其中,用于生成所述数字签名的签名密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述用户终端中,第二部分是用户在所述用户终端生成所述数字签名之前输入到所述用户终端中的信息或者所述信息的散列。
10.根据权利要求4或者5的方法,还包括:所述用户终端在进行加密之前,将生成所述认证信息的时间包括到所述认证信息中。
11.根据权利要求10的方法,在进行所述认证信息解密程序之后,所述方法还包括:
所述认证服务器比较所述认证信息中的时间与所述认证服务器中的当前时间;
如果所述时间之间的误差大于一个预定阈值,则认证失败;以及
否则,如果所述时间之间的误差不大于所述预定阈值,则认证成功。
12.根据权利要求6或者7的方法,还包括:所述用户终端在生成所述数字签名之前,将生成所述认证信息的时间包括到所述认证信息中。
13.根据权利要求12的方法,所述时间验证步骤包括:
所述认证服务器比较所述认证信息中的时间与所述认证服务器中的当前时间;
如果所述时间之间的误差大于一个预定阈值,则认证失败;以及
否则,如果所述时间之间的误差不大于所述预定阈值,则认证成功。
14.根据权利要求10的方法,还包括:
所述认证服务器存储每次接收到的认证请求中的认证信息;
在进行所述认证信息解密程序之后,所述认证服务器比较以前接收到的认证信息与当前接收到的认证信息;
如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败;以及
否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
15.根据权利要求12的方法,还包括:
所述认证服务器存储每次接收到的认证请求中的认证信息;
所述去重验证步骤包括:
所述认证服务器比较以前接收到的认证信息与当前接收到的认证信息;
如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败;以及
否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
16.根据权利要求10的方法,还包括:
所述认证服务器存储每次接收到的认证请求中的认证信息;
在进行所述认证信息解密程序之后,所述认证服务器比较所述认证信息中的时间与所述认证服务器中的当前时间;
如果所述时间之间的误差大于一个预定阈值,则认证失败;
否则,如果所述时间之间的误差不大于所述预定阈值,则所述认证服务器比较以前接收到的认证信息与当前接收到的认证信息;
如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败;以及
否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
17.根据权利要求12的方法,还包括:
所述认证服务器存储每次接收到的认证请求中的认证信息;
所述时间验证步骤包括:
所述认证服务器比较所述认证信息中的时间与所述认证服务器中的当前时间;
如果所述时间之间的误差大于一个预定阈值,则认证失败;
否则,如果所述时间之间的误差不大于所述预定阈值,则执行所述去重验证步骤,所述去重验证步骤包括:
所述认证服务器比较以前接收到的认证信息与当前接收到的认证信息;
如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败;以及
否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
18.根据权利要求10或者12的方法,其中,所述用户终端每隔一个预定时段就生成一次所述认证信息,直至接收到用户的指令将包含最新生成的认证信息的认证指示发送到所述认证前端计算机系统或将包含最新生成的认证信息的认证请求发送到所述认证服务器,其中每次生成的认证信息都包括生成相对应认证信息的时间。
19.根据权利要求16或者17的方法,其中,当所述认证服务器中存储的认证信息中包含的时间已经早于所述认证服务器中的当前时间超过所述预定阈值时,从所述认证服务器删除相对应的所存储的认证信息。
20.根据权利要求4或者5的方法,还包括:
所述用户终端在进行加密之前,将滚动码包括到所述认证信息中;
在进行所述认证信息解密程序之后,所述认证服务器比较所述认证信息中的滚动码与所述认证服务器中生成的相对应的滚动码;
如果所述认证信息中的滚动码不等于任何一个由所述认证服务器生成的相对应的滚动码,则认证失败;以及
否则,如果所述认证信息中的滚动码等于至少一个由所述认证服务器生成的相对应的滚动码,则认证成功。
21.根据权利要求6或者7的方法,还包括:
所述用户终端在生成所述数字签名之前,将滚动码包括到所述认证信息中;
所述滚动码验证步骤包括:
所述认证服务器比较所述认证信息中的滚动码与所述认证服务器中生成的相对应的滚动码;
如果所述认证信息中的滚动码不等于任何一个由所述认证服务器生成的相对应的滚动码,则认证失败;以及
否则,如果所述认证信息中的滚动码等于至少一个由所述认证服务器生成的相对应的滚动码,则认证成功。
22.根据权利要求1的方法,还包括:所述用户终端将滚动码包括到所述认证信息中;
在接收到所述认证信息之后,所述认证服务器比较所述认证信息中的滚动码与所述认证服务器中生成的相对应的滚动码;
如果所述认证信息中的滚动码不等于任何一个由所述认证服务器生成的相对应的滚动码,则认证失败;以及
否则,如果所述认证信息中的滚动码等于至少一个由所述认证服务器生成的相对应的滚动码,则认证成功。
23.根据权利要求1的方法,其中,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证信息还包括用户身份信息,以便能够根据所述用户身份信息对用户身份进行认证,所述方法还包括:
所述用户终端将所述用户身份信息包括到所述认证信息中;
预先在所述认证服务器中相关联地登记用户标识符和用户身份信息;
所述认证服务器在接收到所述认证信息之后,基于接收到的用户标识符在所述认证服务器中检索相对应的用户身份信息;以及
比较检索到的用户身份信息与接收到的用户身份信息,如果至少一个检索到的用户身份信息与接收到的用户身份信息相同,则认证成功,否则认证失败。
24.根据权利要求11或者13或者14或者15或者16或者17或者20或者21或者22或者23的方法,还包括:
如果认证成功,所述认证服务器从特定的用户支付账户向特定的营运者账户支付特定的数额。
25.根据权利要求24的方法,其中,所述认证信息还包括用户身份信息,所述用户身份信息包括用户支付账户标识符,用于标识所述特定的用户支付账户。
26.根据权利要求24的方法,还包括:
预先在所述认证服务器中登记用户支付账户标识符;以及
所述认证服务器在当前接收到所述认证信息之后,使用所述用户支付账户标识符标识所述特定的用户支付账户。
27.根据权利要求24的方法,其中,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述方法还包括:
预先在所述认证服务器中相关联地登记用户标识符和用户支付账户标识符;以及
所述认证服务器在当前接收到所述认证信息之后,基于接收到的用户标识符在所述认证服务器中检索相对应的用于标识所述特定的用户支付账户的用户支付账户标识符。
28.根据权利要求24的方法,其中,所述认证信息或者认证请求还包括营运者账户标识符,用于标识所述特定的营运者账户。
29.根据权利要求24的方法,其中,所述认证信息或者认证请求还包括营运者标识符,所述方法还包括:
预先在所述认证服务器中相关联地登记营运者标识符和营运者账户标识符;以及
所述认证服务器在当前接收到所述认证请求之后,基于当前接收到的营运者标识符在所述认证服务器中检索相对应的用于标识所述特定的营运者账户的营运者账户标识符。
30.根据权利要求24的方法,还包括:
预先在所述认证服务器中登记营运者账户标识符;以及
所述认证服务器在当前接收到所述认证请求之后,使用所述营运者账户标识符标识所述特定的营运者账户。
31.根据权利要求24的方法,其中,所述认证信息或者认证请求还包括数额,所述特定的数额就是所述认证信息或者认证请求中的数额。
32.根据权利要求24的方法,其中,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述方法还包括:
预先在所述认证服务器中相关联地登记用户标识符和数额;以及
所述认证服务器在当前接收到所述认证信息之后,基于当前接收到的用户标识符在所述认证服务器中检索相对应的数额,所述特定的数额就是检索到的数额。
33.根据权利要求24的方法,还包括:
预先在所述认证服务器中登记数额;以及
所述特定的数额就是在所述认证服务器中登记的数额。
34.根据权利要求28的方法,还包括:
在从所述用户终端向所述认证前端计算机系统或所述认证服务器发送所述认证信息之前,所述认证前端计算机系统将所述营运者账户标识符以文本和/或机器可读的格式显示出来;以及
用户或者所述用户终端读取所述营运者账户标识符以便将其包括到所述认证信息中。
35.根据权利要求29的方法,还包括:
在从所述用户终端向所述认证前端计算机系统或所述认证服务器发送所述认证信息之前,所述认证前端计算机系统将所述营运者标识符以文本和/或机器可读的格式显示出来;以及
用户或者所述用户终端读取所述营运者标识符以便将其包括到所述认证信息中。
36.根据权利要求31的方法,还包括:
在从所述用户终端向所述认证前端计算机系统或所述认证服务器发送所述认证信息之前,所述认证前端计算机系统将需要包括到所述认证信息的数额以文本和/或机器可读的格式显示出来;以及
用户或者所述用户终端读取需要包括到所述认证信息的数额以便将其包括到所述认证信息中。
37.根据权利要求1的方法,其中,所述认证信息还包括用户身份信息,所述用户身份信息包括票证标识符,用于标识用户要行使的票证。
38.根据权利要求1-37中任何一个的方法,其中,从所述用户终端向所述认证前端计算机系统发送所述认证指示包括:
所述用户终端将所述认证指示以文本和/或机器可读的格式显示出来;以及
所述认证前端计算机系统读取所述文本和/或机器可读的格式以获取所述认证指示。
39.根据权利要求1-37中任何一个的方法,其中,从所述用户终端向所述认证前端计算机系统发送所述认证指示包括:
所述用户终端将所述认证指示以文本的格式显示出来;以及
用户将所述文本输入到所述认证前端计算机系统中。
40.一种用户终端,包括:
认证信息发生器,用于生成认证信息;和
发送装置,用于向认证前端计算机系统发送包含所述认证信息的认证指示或者向认证服务器发送包含所述认证信息的认证请求。
41.根据权利要求40的用户终端,还包括:
存储器,用于存储用户标识符,和/或存储用户身份信息,和/或存储认证服务器的标识符,和/或存储用于加密的加密密钥或者其部分,和/或存储用于生成数字签名的签名密钥或者其部分,和/或存储用户支付账户标识符,和/或存储票证标识符。
42.根据权利要求41的用户终端,其中,所述认证信息发生器还在所述认证信息包括存储在所述存储器中的用户标识符,用于标识要被认证身份的用户。
43.根据权利要求41的用户终端,其中,所述认证信息发生器还在所述认证信息包括存储在所述存储器中的用户身份信息,以便能够根据所述用户身份信息对用户身份进行认证,或者以便所述用户身份信息包括用户支付账户标识符或者票证标识符,所述用户支付账户标识符用于标识用户用于支付的用户支付账户,所述票证标识符用于标识用户要行使的票证。
44.根据权利要求41的用户终端,其中,所述发送装置发送的认证指示或认证请求还包括存储在所述存储器中的认证服务器的标识符,用于标识用于认证用户身份的认证服务器。
45.根据权利要求40的用户终端,还包括:
实时时钟,用于生成实时时间,以便包括到所述认证信息中。
46.根据权利要求45的用户终端,其中,每隔一个预定时段,所述用户终端的认证信息发生器就生成一次认证信息,直至所述用户终端接收到用户的指令将包含最新生成的认证信息的认证指示发送到认证前端计算机系统,其中每次生成的认证信息都包括生成相对应认证信息的时间,在接收到所述发送认证指示的指令后,所述用户终端的发送装置将包含最新生成的认证信息的认证指示发送到所述认证前端计算机系统。
47.根据权利要求45的用户终端,其中,每隔一个预定时段,所述用户终端的认证信息发生器就生成一次认证信息,直至所述用户终端接收到用户的指令将包含最新生成的认证信息的认证请求发送到认证服务器,其中每次生成的认证信息都包括生成相对应认证信息的时间,在接收到所述发送认证请求的指令后,所述用户终端的发送装置将包含最新生成的认证信息的认证请求发送到所述认证服务器。
48.根据权利要求40的用户终端,还包括:
滚动码发生器,用于生成滚动码,以便包括到所述认证信息中。
49.根据权利要求40的用户终端,还包括:
用户接口,用户通过所述用户接口输入或者选择需要包括到所述认证信息中的用户标识符,和/或用户通过所述用户接口输入或者选择需要包括到所述认证信息中的用户身份信息中的用户支付账户标识符或者票证标识符,和/或用户通过所述用户接口输入或者选择需要包括到所述认证信息中的营运者账户标识符或者营运者标识符,和/或用户通过所述用户接口输入或者选择需要包括到所述认证信息中的数额,和/或用户通过所述用户接口输入或者选择需要包括到所述认证指示或所述认证请求中的认证服务器的标识符,和/或用户通过所述用户接口输入用于加密的加密密钥或者其部分,和/或用户通过所述用户接口输入用于生成数字签名的签名密钥或者其部分,和/或用户通过所述用户接口输入指令发送所述认证指示或认证请求。
50.根据权利要求49的用户终端,其中,所述认证信息发生器还在所述认证信息包括所述用户标识符,和/或包括所述用户身份信息,和/或包括所述营运者账户标识符或者所述营运者标识符,和/或包括所述数额,
所述用户标识符用于标识要被认证身份的用户,
所述用户身份信息包括所述用户支付账户标识符或者所述票证标识符,所述用户支付账户标识符用于标识用户用于支付的用户支付账户,所述票证标识符用于标识用户要行使的票证,以及
所述营运者账户标识符用于标识接受用户支付的营运者的营运者账户,所述营运者标识符用于标识接受用户支付的营运者。
51.根据权利要求49的用户终端,其中,所述发送装置发送的认证指示或认证请求还包括所述认证服务器的标识符,用于标识用于认证用户身份的认证服务器。
52.根据权利要求40的用户终端,其中,所述认证信息发生器还包括:
加密单元,用于使用加密密钥对需要发送的认证信息进行加密。
53.根据权利要求40的用户终端,其中,所述认证信息发生器还在所述认证信息包括用户标识符,用于标识要被认证身份的用户,以及所述认证信息发生器还包括:
加密单元,用于使用加密密钥对需要发送的认证信息中除所述用户标识符之外的其它部分进行加密。
54.根据权利要求40的用户终端,其中,所述认证信息发生器还包括:
数字签名发生器,用于使用签名密钥生成数字签名,所述数字签名需要包括到所述认证信息中,所述数字签名用于验证所述认证信息中除所述数字签名之外的其它部分的数据完整性。
55.根据权利要求40的用户终端,其中,所述认证信息发生器还在所述认证信息包括用户标识符,用于标识要被认证身份的用户,以及所述认证信息发生器还包括:
数字签名发生器,用于使用签名密钥生成数字签名,所述数字签名需要包括到所述认证信息中,所述数字签名用于验证所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性。
56.根据权利要求52或者53中的用户终端,还包括存储器和/或用户接口,以及其中,所述加密密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述存储器中,第二部分是用户在所述加密单元进行加密之前通过所述用户接口输入到所述用户终端中的信息或者所述信息的散列。
57.根据权利要求54或者55的用户终端,还包括存储器和/或用户接口,以及其中,所述签名密钥包括第一部分和/或第二部分,其中第一部分被预先存储在所述存储器中,第二部分是用户在所述数字签名发生器生成所述数字签名之前通过所述用户接口输入到所述用户终端中的信息或者所述信息的散列。
58.根据权利要求56的用户终端,还包括散列发生器,用于将用户通过所述用户接口输入到所述用户终端的信息生成所述散列。
59.根据权利要求57的用户终端,还包括散列发生器,用于将用户通过所述用户接口输入到所述用户终端的信息生成所述散列。
60.根据权利要求40-59中任何一个的用户终端,其中,所述发送装置包括:
显示器,用于将包含所述认证信息的认证指示以文本和/或机器可读的格式显示出来,以便认证前端计算机系统读取。
61.根据权利要求40-59中任何一个的用户终端,其中,所述发送装置包括:
非接触通信发射机,用于以非接触通信方式向认证前端计算机系统发送包含所述认证信息的认证指示。
62.根据权利要求40-59中任何一个的用户终端,还包括:
接收机,用于直接或者以所述认证前端计算机系统作为中间节点从认证服务器接收认证结果。
63.一种认证服务器,包括:
接收机,用于从认证前端计算机系统或者用户终端接收包含认证信息的认证请求;和
认证单元,用于根据所述认证信息对用户身份进行认证。
64.根据权利要求63的认证服务器,还包括:
发射机,用于将所述认证单元的认证结果发送到所述认证前端计算机系统,和/或用于直接或者以所述认证前端计算机系统作为中间节点将所述认证结果发送到所述用户终端。
65.根据权利要求63的认证服务器,其中,所述认证信息是已加密的,所述认证服务器还包括:
存储器,用于预先存储用于对所述已加密的认证信息进行解密的解密密钥,
以及所述认证单元还包括:
解密单元,用于使用所述解密密钥对所述已加密的认证信息进行解密。
66.根据权利要求63的认证服务器,其中,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证信息中除所述用户标识符之外的其它部分是已加密的,所述认证服务器还包括:
存储器,用于预先存储用户标识符和相对应的用于对认证信息中的已加密部分进行解密的解密密钥,
以及所述认证单元还包括:
检索单元,用于基于接收到的认证信息中的用户标识符在所述存储器中检索用于解密的解密密钥;和
解密单元,用于使用检索到的解密密钥对接收到的认证信息中的已加密部分进行解密。
67.根据权利要求63的认证服务器,其中,所述认证信息还包括数字签名,所述认证服务器还包括:
存储器,用于预先存储用于对所述认证信息中除所述数字签名之外的其它部分的数据完整性进行验证的验证密钥,
以及其中,所述认证单元还包括:
验证单元,用于使用所述验证密钥和所述数字签名对所述认证信息中除所述数字签名之外的其它部分的数据完整性进行验证;
如果否定所述数据完整性,则认证失败,否则,如果确定所述数据完整性,则执行时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。
68.根据权利要求63的认证服务器,其中,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证信息还包括数字签名,所述认证服务器还包括:
存储器,用于预先存储用户标识符和相对应的用于对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证的验证密钥,
以及其中,所述认证单元还包括:
检索单元,用于基于所述认证信息中的用户标识符在所述存储器中检索用于验证的验证密钥;
验证单元,用于使用检索到的验证密钥和所述数字签名对所述认证信息中除所述数字签名之外的其它部分或者除所述数字签名和所述用户标识符之外的其它部分的数据完整性进行验证;
如果否定所述数据完整性,则认证失败,否则,如果确定所述数据完整性,则执行时间验证步骤和/或去重验证步骤和/或滚动码验证步骤。
69.根据权利要求63的认证服务器,其中,所述认证信息还包括生成所述认证信息的时间,所述认证服务器还包括:
实时时钟,用于生成实时时间,
以及其中,所述认证单元还包括:
比较单元,用于比较所述认证信息中的时间与所述实时时钟生成的当前实时时间,
如果所述时间之间的误差大于一个预定阈值,则认证失败,
否则,如果所述时间之间的误差不大于所述预定阈值,则认证成功。
70.根据权利要求63的认证服务器,其中,所述认证信息还包括生成所述认证信息的时间,所述认证服务器还包括:
存储器,用于存储每次接收到的认证请求中的认证信息,
以及其中,所述认证单元还包括:
比较单元,用于比较所述存储器中存储的以前接收到的认证信息与当前接收到的认证请求中的认证信息,
如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,
否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
71.根据权利要求63的认证服务器,其中,所述认证信息还包括生成所述认证信息的时间,所述认证服务器还包括:
实时时钟,用于生成实时时间;和
存储器,用于存储每次接收到的认证请求中的认证信息,
以及其中,所述认证单元还包括:
比较单元,用于比较所述认证信息中的时间与所述实时时钟生成的当前实时时间,
如果所述时间之间的误差大于一个预定阈值,则认证失败,否则,如果所述时间之间的误差不大于所述预定阈值,则所述比较单元还用于比较所述存储器中存储的以前接收到的认证信息与当前接收到的认证请求中的认证信息,
如果至少一个以前接收到的认证信息与当前接收到的认证信息相同,则认证失败,
否则,如果所有以前接收到的认证信息与当前接收到的认证信息不同,则认证成功。
72.根据权利要求71的认证服务器,其中,当所述存储器中存储的认证信息中包含的时间已经早于所述实时时钟生成的当前实时时间超过所述预定阈值时,从所述存储器删除相对应的所存储的认证信息。
73.根据权利要求63的认证服务器,其中,所述认证信息还包括滚动码,所述认证服务器还包括:
滚动码发生器,用于生成滚动码,
以及其中,所述认证单元还包括:
比较单元,用于比较所述认证信息中的滚动码与所述滚动码发生器生成的相对应的滚动码,
如果所述认证信息中的滚动码不等于任何一个由所述滚动码发生器生成的相对应的滚动码,则认证失败,
否则,如果所述认证信息中的滚动码等于至少一个由所述滚动码发生器生成的相对应的滚动码,则认证成功。
74.根据权利要求63的认证服务器,其中,所述认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证信息还包括用户身份信息,以便能够根据所述用户身份信息对用户身份进行认证,所述认证服务器还包括:
存储器,用于预先存储用户标识符和相对应的用户身份信息,
以及其中,所述认证单元还包括:
检索单元,用于基于所述认证信息中的用户标识符在所述存储器中检索相对应的用户身份信息;和
比较单元,用于比较检索到的用户身份信息与所述认证信息中的用户身份信息,
如果至少一个检索到的用户身份信息与所述认证信息中的用户身份信息相同,则认证成功,否则认证失败。
75.根据权利要求70或者71的认证服务器,其中,如果认证成功,则所述认证单元还用于从特定的用户支付账户向特定的营运者账户支付特定的数额。
76.根据权利要求74的认证服务器,其中,如果认证成功,则所述认证单元还用于从特定的用户支付账户向特定的营运者账户支付特定的数额。
77.根据权利要求69或者73的认证服务器,其中,如果认证成功,则所述认证单元还用于从特定的用户支付账户向特定的营运者账户支付特定的数额。
78.根据权利要求75或者76或者77的认证服务器,其中,当前接收到的认证信息还包括用户身份信息,所述用户身份信息包括用户支付账户标识符,用于标识所述特定的用户支付账户。
79.根据权利要求75或者76的认证服务器,其中,所述存储器还用于预先存储用于标识所述特定的用户支付账户的用户支付账户标识符。
80.根据权利要求77的认证服务器,还包括:
存储器,用于预先存储用于标识所述特定的用户支付账户的用户支付账户标识符。
81.根据权利要求75的认证服务器,其中,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述存储器还用于预先存储用户标识符和相对应的用户支付账户标识符,以及其中,所述认证单元还包括:
检索单元,用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的用于标识所述特定的用户支付账户的用户支付账户标识符。
82.根据权利要求76的认证服务器,其中,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述存储器还用于预先存储用户标识符和相对应的用户支付账户标识符,所述检索单元还用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的用于标识所述特定的用户支付账户的用户支付账户标识符。
83.根据权利要求77的认证服务器,其中,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证服务器还包括:
存储器,用于预先存储用户标识符和相对应的用户支付账户标识符,
以及其中,所述认证单元还包括:
检索单元,用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的用于标识所述特定的用户支付账户的用户支付账户标识符。
84.根据权利要求75或者76或者77的认证服务器,其中,当前接收到的认证信息或者认证请求还包括营运者账户标识符,用于标识所述特定的营运者账户。
85.根据权利要求75或者76的认证服务器,所述存储器还用于预先存储用于标识所述特定的营运者账户的营运者账户标识符。
86.根据权利要求77的认证服务器,还包括:
存储器,用于预先存储用于标识所述特定的营运者账户的营运者账户标识符。
87.根据权利要求75的认证服务器,其中,当前接收到的认证信息或者认证请求还包括营运者标识符,所述存储器还用于预先存储营运者标识符和相对应的营运者账户标识符,
以及其中,所述认证单元还包括:
检索单元,用于基于当前接收到的认证信息或者认证请求中的营运者标识符在所述存储器中检索相对应的用于标识所述特定的营运者账户的营运者账户标识符。
88.根据权利要求76的认证服务器,其中,当前接收到的认证信息或者认证请求还包括营运者标识符,所述存储器还用于预先存储营运者标识符和相对应的营运者账户标识符,所述检索单元还用于基于当前接收到的认证信息或者认证请求中的营运者标识符在所述存储器中检索相对应的用于标识所述特定的营运者账户的营运者账户标识符。
89.根据权利要求77的认证服务器,其中,当前接收到的认证信息或者认证请求还包括营运者标识符,所述认证服务器还包括:
存储器,用于预先存储营运者标识符和相对应的营运者账户标识符,
以及其中,所述认证单元还包括:
检索单元,用于基于当前接收到的认证信息或者认证请求中的营运者标识符在所述存储器中检索相对应的用于标识所述特定的营运者账户的营运者账户标识符。
90.根据权利要求75或者76或者77的认证服务器,其中,当前接收到的认证信息或者认证请求还包括数额,所述特定的数额就是当前接收到的认证信息或者认证请求中的数额。
91.根据权利要求75或者76的认证服务器,其中,所述存储器还用于预先存储数额,所述特定的数额就是在所述存储器中存储的数额。
92.根据权利要求77的认证服务器,还包括:
存储器,用于预先存储数额,所述特定的数额就是在所述存储器中存储的数额。
93.根据权利要求75的认证服务器,其中,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述存储器还用于预先存储用户标识符和相对应的数额,以及,所述认证单元还包括:
检索单元,用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的数额,所述特定的数额就是检索到的数额。
94.根据权利要求76的认证服务器,其中,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述存储器还用于预先存储用户标识符和相对应的数额,所述检索单元还用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的数额,所述特定的数额就是检索到的数额。
95.根据权利要求77的认证服务器,其中,当前接收到的认证信息还包括用户标识符,用于标识要被认证身份的用户,所述认证服务器还包括:
存储器,用于预先存储用户标识符和相对应的数额,
以及其中,所述认证单元还包括:
检索单元,用于基于当前接收到的认证信息中的用户标识符在所述存储器中检索相对应的数额,所述特定的数额就是检索到的数额。
96.根据权利要求63的认证服务器,其中,所述认证信息还包括用户身份信息,所述用户身份信息包括票证标识符,用于标识用户要行使的票证。
97.一种认证前端计算机系统,包括:
认证请求发生器,用于生成包含认证信息的认证请求;
发射机,用于将所述认证请求发送到特定的认证服务器;和
接收机,用于从用户终端接收包含所述认证信息的认证指示。
98.根据权利要求97的认证前端计算机系统,其中,所述接收机还用于从所述认证服务器接收认证结果。
99.根据权利要求97的认证前端计算机系统,还包括:
存储器,用于存储认证服务器的标识符,和/或存储营运者账户标识符或者营运者标识符,和/或存储数额。
100.根据权利要求99的认证前端计算机系统,其中,所述认证请求发生器还将存储在所述存储器的营运者账户标识符或者营运者标识符包括到所述认证请求中,和/或将存储在所述存储器的数额包括到所述认证请求中,所述营运者账户标识符用于标识接受用户支付的营运者的营运者账户,所述营运者标识符用于标识接受用户支付的营运者。
101.根据权利要求99的认证前端计算机系统,其中,存储在所述存储器的认证服务器的标识符用于标识所述特定的认证服务器。
102.根据权利要求97-101中任何一个的认证前端计算机系统,其中,所述接收机还包括:
读取器,用于读取用户终端上以文本和/或机器可读的格式显示出来的包含所述认证信息的认证指示。
103.根据权利要求97-101中任何一个的认证前端计算机系统,还包括:
用户接口,用户通过所述用户接口将用户终端上以文本的格式显示出来的包含所述认证信息的认证指示输入到所述认证前端计算机系统。
104.根据权利要求97-101中任何一个的认证前端计算机系统,其中,所述接收机还包括:
非接触通信接收机,用于通过非接触通信方式从用户终端接收包含所述认证信息的认证指示。
105.根据权利要求97的认证前端计算机系统,其中,所述认证指示还包括用于认证用户身份的认证服务器的标识符,用于标识所述特定的认证服务器。
106.根据权利要求98的认证前端计算机系统,其中,所述发射机还将所述接收机从所述认证服务器接收到的所述认证结果发送到所述用户终端。
107.一种用于认证用户身份的系统,包括:
如权利要求40-62中任何一个所述的用户终端;
如权利要求63-96中任何一个所述的认证服务器;以及
如权利要求97-106中任何一个所述的认证前端计算机系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012104424668A CN102984130A (zh) | 2011-11-08 | 2012-11-07 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110358242.4 | 2011-11-08 | ||
CN201110358242.4A CN102497354A (zh) | 2011-11-08 | 2011-11-08 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
CN2012104424668A CN102984130A (zh) | 2011-11-08 | 2012-11-07 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102984130A true CN102984130A (zh) | 2013-03-20 |
Family
ID=46189140
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110358242.4A Pending CN102497354A (zh) | 2011-11-08 | 2011-11-08 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
CN2012104424668A Pending CN102984130A (zh) | 2011-11-08 | 2012-11-07 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110358242.4A Pending CN102497354A (zh) | 2011-11-08 | 2011-11-08 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20140351596A1 (zh) |
EP (1) | EP2779564A4 (zh) |
CN (2) | CN102497354A (zh) |
HK (1) | HK1202192A1 (zh) |
WO (1) | WO2013067935A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106250731A (zh) * | 2016-07-21 | 2016-12-21 | 广东芬尼克兹节能设备有限公司 | 一种用户权限控制方法及系统 |
CN110310126A (zh) * | 2018-03-23 | 2019-10-08 | 卡西欧计算机株式会社 | 认证方法、认证系统以及认证装置 |
Families Citing this family (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120323786A1 (en) | 2011-06-16 | 2012-12-20 | OneID Inc. | Method and system for delayed authorization of online transactions |
CN102497354A (zh) * | 2011-11-08 | 2012-06-13 | 陈嘉贤 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
WO2013109932A1 (en) | 2012-01-18 | 2013-07-25 | OneID Inc. | Methods and systems for secure identity management |
CN102970129B (zh) * | 2012-11-16 | 2013-10-30 | 深圳光启创新技术有限公司 | 基于时间信息的信号加密、解密方法和装置 |
CN104871511A (zh) * | 2012-12-19 | 2015-08-26 | 瑞典爱立信有限公司 | 通过标签加注进行设备认证 |
CN105431857A (zh) * | 2013-05-29 | 2016-03-23 | 慧与发展有限责任合伙企业 | 应用程序的被动安全 |
CN103561044B (zh) * | 2013-11-20 | 2017-06-27 | 无锡儒安科技有限公司 | 数据传输方法和数据传输系统 |
US10015153B1 (en) * | 2013-12-23 | 2018-07-03 | EMC IP Holding Company LLC | Security using velocity metrics identifying authentication performance for a set of devices |
CN104219627B (zh) * | 2014-08-26 | 2018-07-27 | 北京乐富科技有限责任公司 | 一种发送定位信息的方法及装置 |
DE102015210734B4 (de) * | 2014-10-31 | 2021-03-04 | Hewlett Packard Enterprise Development Lp | Verwaltung kryptographischer schlüssel |
US10425282B2 (en) | 2014-11-28 | 2019-09-24 | Hewlett Packard Enterprise Development Lp | Verifying a network configuration |
US11757717B2 (en) | 2014-11-28 | 2023-09-12 | Hewlett Packard Enterprise Development Lp | Verifying network elements |
CN104537555A (zh) * | 2014-12-29 | 2015-04-22 | 芜湖乐锐思信息咨询有限公司 | 一种互联网在线交易系统 |
CN104615967B (zh) * | 2015-02-10 | 2017-12-01 | 陕西科技大学 | 一种滚动码系统及基于滚动码的双重加密方法 |
CN105071939B (zh) * | 2015-07-15 | 2018-12-28 | 傅程燕 | 一种用户信息认证方法及系统 |
US9871786B2 (en) * | 2015-07-23 | 2018-01-16 | Google Llc | Authenticating communications |
US20170103380A1 (en) * | 2015-10-12 | 2017-04-13 | Wal-Mart Stores, Inc. | System, method, and non-transitory computer-readable storage media related to transactions using a mobile device |
CN105654295A (zh) * | 2015-12-29 | 2016-06-08 | 中国建设银行股份有限公司 | 交易控制方法及客户端 |
CN105744515A (zh) * | 2016-02-02 | 2016-07-06 | 无锡隆玛科技股份有限公司 | 用于光伏汇流箱数据传输中的无线通信加密方法 |
US11277439B2 (en) * | 2016-05-05 | 2022-03-15 | Neustar, Inc. | Systems and methods for mitigating and/or preventing distributed denial-of-service attacks |
US10958725B2 (en) | 2016-05-05 | 2021-03-23 | Neustar, Inc. | Systems and methods for distributing partial data to subnetworks |
US11025428B2 (en) | 2016-05-05 | 2021-06-01 | Neustar, Inc. | Systems and methods for enabling trusted communications between controllers |
US11108562B2 (en) | 2016-05-05 | 2021-08-31 | Neustar, Inc. | Systems and methods for verifying a route taken by a communication |
WO2017193093A1 (en) * | 2016-05-05 | 2017-11-09 | Neustar, Inc. | Systems and methods for enabling trusted communications between entities |
US10243955B2 (en) * | 2016-07-14 | 2019-03-26 | GM Global Technology Operations LLC | Securely establishing time values at connected devices |
US10080048B2 (en) * | 2016-08-26 | 2018-09-18 | Adobe Systems Incorporated | Subscription service for authorizing access to media content |
CN106788972B (zh) * | 2016-12-16 | 2020-03-10 | 成都理工大学 | 一种基于区块链身份认证的火车票自助购票取票系统 |
US20180351929A1 (en) * | 2017-06-05 | 2018-12-06 | Mastercard International Incorporated | Systems and methods for enhanced user authentication |
CN107633399B (zh) * | 2017-09-15 | 2021-04-30 | 北京红枣科技有限公司 | 一种网络支付账户的线下支付方法和系统 |
CN107733919A (zh) * | 2017-11-10 | 2018-02-23 | 上海易果电子商务有限公司 | 一种用户身份识别的方法、终端、服务器及系统 |
JP7046575B2 (ja) * | 2017-11-28 | 2022-04-04 | キヤノン株式会社 | システム、およびシステムにおける方法 |
CN108364365A (zh) * | 2017-12-29 | 2018-08-03 | 铂略企业管理咨询(上海)有限公司 | 一种配合线下课程现场签到方法及装置 |
CN108494764B (zh) * | 2018-03-20 | 2020-07-10 | 海信集团有限公司 | 一种身份认证方法及装置 |
CN109150857B (zh) * | 2018-08-01 | 2021-02-09 | 中国联合网络通信集团有限公司 | 信息认证的方法和装置 |
CN109523270B (zh) * | 2018-12-21 | 2021-05-25 | 维沃移动通信有限公司 | 一种信息处理方法及终端设备 |
CN110602679B (zh) * | 2019-09-19 | 2022-11-25 | 中国银行股份有限公司 | 显示、传输方法和身份认证、数据传输装置及终端 |
SE545872C2 (en) * | 2019-09-27 | 2024-02-27 | No Common Payment Ab | Generation and verification of a temporary authentication value for use in a secure transmission |
CN111130798B (zh) * | 2019-12-24 | 2023-07-25 | 中国平安人寿保险股份有限公司 | 一种请求鉴权方法及相关设备 |
US10735398B1 (en) * | 2020-02-26 | 2020-08-04 | Bandwidth, Inc. | Rolling code authentication techniques |
US11665002B2 (en) * | 2020-12-11 | 2023-05-30 | International Business Machines Corporation | Authenticated elevated access request |
CN116545762A (zh) * | 2023-06-26 | 2023-08-04 | 北京力码科技有限公司 | 一种金融电子信息认证系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101018130A (zh) * | 2007-02-15 | 2007-08-15 | 物方恒德(北京)投资咨询有限公司 | 金融业务系统及金融业务处理方法 |
CN101277297A (zh) * | 2007-03-26 | 2008-10-01 | 华为技术有限公司 | 会话控制系统和方法 |
CN101339598A (zh) * | 2008-08-15 | 2009-01-07 | 马福禄 | 一种身份芯片的便携式读写器 |
CN101447907A (zh) * | 2008-10-31 | 2009-06-03 | 北京东方中讯联合认证技术有限公司 | Vpn安全接入方法及系统 |
CN101753311A (zh) * | 2010-01-14 | 2010-06-23 | 杨筑平 | 信息保密与身份认证方法和数字签名程序 |
US20110252230A1 (en) * | 2010-04-09 | 2011-10-13 | International Business Machines Corporation | Secure access to a private network through a public wireless network |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ES2399745T3 (es) * | 2001-09-03 | 2013-04-03 | Kabushiki Kaisha Eighting | Procedimiento de certificación individual |
US7809953B2 (en) * | 2002-12-09 | 2010-10-05 | Research In Motion Limited | System and method of secure authentication information distribution |
US20040181675A1 (en) * | 2003-03-11 | 2004-09-16 | Hansen Marc William | Process for verifying the identity of an individual over a computer network, which maintains the privacy and anonymity of the individual's identity characteristic |
JP4738791B2 (ja) * | 2003-11-12 | 2011-08-03 | 株式会社リコー | サービス提供システム、サービス提供装置、サービス提供方法、サービス提供プログラム、及び記録媒体 |
CN101150405B (zh) * | 2006-09-22 | 2010-10-27 | 华为技术有限公司 | 多播广播业务认证鉴权的方法及系统 |
CN101179389A (zh) * | 2006-11-07 | 2008-05-14 | 朗迅科技公司 | Ims网络的对等文件下载系统 |
US8089339B2 (en) * | 2006-12-21 | 2012-01-03 | Cingular Wireless Ii, Llc | Wireless device as programmable vehicle key |
US8099597B2 (en) * | 2007-01-09 | 2012-01-17 | Futurewei Technologies, Inc. | Service authorization for distributed authentication and authorization servers |
CN101699892B (zh) * | 2009-10-30 | 2012-06-06 | 北京神州付电子支付科技有限公司 | 动态口令生成方法和动态口令生成装置及网络系统 |
CN101867929B (zh) * | 2010-05-25 | 2013-03-13 | 北京星网锐捷网络技术有限公司 | 认证方法、系统、认证服务器和终端设备 |
CN102497354A (zh) * | 2011-11-08 | 2012-06-13 | 陈嘉贤 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
-
2011
- 2011-11-08 CN CN201110358242.4A patent/CN102497354A/zh active Pending
-
2012
- 2012-11-07 WO PCT/CN2012/084224 patent/WO2013067935A1/zh active Application Filing
- 2012-11-07 US US14/356,889 patent/US20140351596A1/en not_active Abandoned
- 2012-11-07 EP EP12847623.1A patent/EP2779564A4/en not_active Withdrawn
- 2012-11-07 CN CN2012104424668A patent/CN102984130A/zh active Pending
-
2015
- 2015-03-10 HK HK15102472.6A patent/HK1202192A1/zh unknown
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101018130A (zh) * | 2007-02-15 | 2007-08-15 | 物方恒德(北京)投资咨询有限公司 | 金融业务系统及金融业务处理方法 |
CN101277297A (zh) * | 2007-03-26 | 2008-10-01 | 华为技术有限公司 | 会话控制系统和方法 |
CN101339598A (zh) * | 2008-08-15 | 2009-01-07 | 马福禄 | 一种身份芯片的便携式读写器 |
CN101447907A (zh) * | 2008-10-31 | 2009-06-03 | 北京东方中讯联合认证技术有限公司 | Vpn安全接入方法及系统 |
CN101753311A (zh) * | 2010-01-14 | 2010-06-23 | 杨筑平 | 信息保密与身份认证方法和数字签名程序 |
US20110252230A1 (en) * | 2010-04-09 | 2011-10-13 | International Business Machines Corporation | Secure access to a private network through a public wireless network |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106250731A (zh) * | 2016-07-21 | 2016-12-21 | 广东芬尼克兹节能设备有限公司 | 一种用户权限控制方法及系统 |
CN110310126A (zh) * | 2018-03-23 | 2019-10-08 | 卡西欧计算机株式会社 | 认证方法、认证系统以及认证装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2013067935A1 (zh) | 2013-05-16 |
US20140351596A1 (en) | 2014-11-27 |
EP2779564A4 (en) | 2015-08-26 |
EP2779564A1 (en) | 2014-09-17 |
CN102497354A (zh) | 2012-06-13 |
HK1202192A1 (zh) | 2015-09-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102984130A (zh) | 用于对用户身份进行认证的方法、系统及其使用的设备 | |
KR102477453B1 (ko) | 트랜잭션 메시징 | |
US10270587B1 (en) | Methods and systems for electronic transactions using multifactor authentication | |
KR100641824B1 (ko) | 대칭키 보안 알고리즘을 이용한 금융정보 입력방법 및 그이동통신용 상거래 시스템 | |
WO2017128975A1 (zh) | 基于移动终端p2p的信用支付方法及装置 | |
US8812859B2 (en) | Method, system and apparatus for accessing a resource based on data supplied by a local user | |
CN106789018A (zh) | 密钥远程获取方法和装置 | |
Raina | Overview of mobile payment: technologies and security | |
CN102903045A (zh) | 一种互联网方式的离线支付方法 | |
JP2002512711A (ja) | 携帯可能な身分証明要素でのトランザクション方法 | |
CN111062717B (zh) | 一种数据转移处理方法、装置和计算机可读存储介质 | |
CN104599408A (zh) | 基于动态二维码的第三方账户自动柜员机取款方法及系统 | |
CN102930435A (zh) | 移动支付认证方法及系统 | |
CN103886449A (zh) | 一种基于可见码的多重安全组合机制的支付方法和系统 | |
Tamrakar et al. | Identity verification schemes for public transport ticketing with NFC phones | |
CN103632436A (zh) | 一种基于终端的取款的方法 | |
CN112036847A (zh) | 一种数字货币离线支付的防伪验证方法及系统 | |
CN104951939A (zh) | 电子银行卡系统及其应用方法、银行卡的电子化方法 | |
CN106033571A (zh) | 一种电子签名设备的交易方法、电子签名设备和交易系统 | |
CN1930592A (zh) | 移动终端中的emv交易 | |
US20230084651A1 (en) | Method, terminal, monitoring entity, and payment system for managing electronic coin datasets | |
CN106327183A (zh) | 一种用于现场事务处理的数据交换系统及数据交换方法 | |
US10643198B2 (en) | Method and system for performing a secure data exchange | |
US20100082494A1 (en) | Method and system for cash transfer | |
JP2015106213A (ja) | 情報処理装置、情報処理方法、及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1182236 Country of ref document: HK |
|
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130320 |
|
RJ01 | Rejection of invention patent application after publication | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1182236 Country of ref document: HK |