CN104541488A - 保护机密数据机密性的验证系统 - Google Patents
保护机密数据机密性的验证系统 Download PDFInfo
- Publication number
- CN104541488A CN104541488A CN201380038074.8A CN201380038074A CN104541488A CN 104541488 A CN104541488 A CN 104541488A CN 201380038074 A CN201380038074 A CN 201380038074A CN 104541488 A CN104541488 A CN 104541488A
- Authority
- CN
- China
- Prior art keywords
- user
- communicator
- client application
- inquiry
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Information Transfer Between Computers (AREA)
Abstract
用于验证通信装置(CD)的用户,通信装置(CD)实现通过电信网络(TN)与应用服务器(AS)连接的客户端应用(CA),应用服务器(AS)已将质询(Ch)发往所述客户端应用从而验证所述用户,与通信装置(CD)关联的用户装置(UD)建立与邀请用户在通信装置(CD)的屏幕上输入机密数据(SD)的客户端应用(CA)的连接,从客户端应用(CA)取回质询(Ch),提示用户输入机密数据(SD);基于由用户输入的机密数据(SD)和取回的质询(Ch)计算对质询(Ch)的应答(Rp),以及将应答(Rp)发往客户端应用(CA),客户端应用(CA)将所述应答转发给所述应用服务器。
Description
技术领域
本发明涉及用于验证用户以保护用户机密数据(例如密码)的机密性的系统。
背景技术
在任何计算机上进行在线验证目前都有很高的风险。加密的质询-应答的验证模式,尤其是在网络浏览器中使用时,本是被设计来解决两个主要威胁:防止在用户与应用服务器之间密码被他人窃取以及避免重放攻击(“我不知道你的密码是什么,但是重发送窃取到的验证消息可允许我访问”)。
个人计算机的不受信任的本质对于窃取者而言是收集敏感信息尤其是访问代码的大好机会。简单的击键记录器记录并传输输入到这些个人计算机中的机密信息(例如访问代码、密码、PIN号码等)。现阶段,恶意软件可以大规模地自动化欺骗并且伪装成用户执行未授权的交易。加密的质询应答模式对于不在个人计算机与应用服务器之间而是在个人计算机内的攻击者是无用的。
需要寻找保护密码使其免受在个人计算机上日益发展的键盘记录器之害而不深刻改变目前的验证方式(即加密的质询-应答模式)的方式。
发明内容
为了解决上文所提及的问题,一种根据本发明的用于验证通信装置的用户的方法包括在与该通信装置关联的用户装置中的以下步骤,其中该通信装置实现通过电信网络与应用服务器连接的客户端应用,该应用服务器已将质询发往该客户端应用从而验证该用户:
建立与邀请该用户在通信装置的屏幕上输入机密数据的客户端应用的连接;
从该客户端应用取回该质询;
提示该用户输入机密数据;
基于由该用户输入的机密数据和取回的质询计算对该质询的应答;
将该应答发往该客户端应用,该客户端应用将该应答转发给该应用服务器。
本发明在通过将密码的相的其中一个从不受信任的通信装置导出从而保护密码的同时,有利地保持加密的质询-应答模式。由此,密码(或者更确切地说是对质询的应答)未被输入到通信装置中,而是将密码的输入委托给在将结果处理给通信装置之前操作加密步骤的另一装置。这样,即使整体的加密协议保持相同,真正的密码在任何时候都不会在不受信任的通信装置中明文转移。在另一装置中明文输入密码,该另一装置最终也可能是不受信任的装置但是它不知道使用的背景。
在实施例中,该用户装置是与被链接到该通信装置的输入装置关联的电子装置。
在实施例中,该用户装置与键盘关联。
在实施例中,该质询从该通信装置发往该用户装置。
在实施例中,该用户装置检测该质询的接收,激活(“activate”)将键盘输出重定向至该用户装置的中继器,以及通过用信号提醒该用户来提示该用户输入机密数据,基于由该用户完成的击键来计算该应答,以及在激活该中继器将键盘输出连接回该通信装置之前向该通信装置发送该应答。
在实施例中,该用户装置检测特定报头信号的接收,其中该特定报头信号经由键盘交换协议从该通信装置发往该键盘,接收该质询,激活拦截每次击键的过滤器,通过用信号提醒该用户来提示该用户输入机密数据,基于拦截到的击键计算该应答;以及在去激活(“deactivate”)该过滤器之前向该通信装置发送该应答。
在实施例中,该客户端应用在该通信装置的屏幕上显示该质询,该用户装置在该用户手工激活给出的部件时激活拦截每次击键的过滤器,通过用信号提醒该用户来提示该用户输入质询;通过用另一信号提醒该用户来提示该用户输入机密数据;基于拦截到的击键计算该应答;以及在去激活该过滤器之前向该通信装置发送该应答。
在实施例中,由该用户对给出的部件的手工激活对应于专用键帽、专用按钮或专用击键组合的其中之一。
在实施例中,该用户装置是配备有摄像机的移动终端,该客户端应用在该通信装置的屏幕上显示该质询,该质询由该摄像机捕获。
本发明的进一步目的是一种用于验证通信装置的用户的用户装置,该通信装置实现通过电信网络与应用服务器连接的客户端应用,该应用服务器已将质询发往该客户端应用从而验证该用户,该用户装置与该通信装置关联,以及该用户装置包括:
用于建立与该客户端应用的连接的部件,该客户端应用邀请该用户在该通信装置的屏幕上输入机密数据,
用于从该客户端应用取回该质询的部件,
用于提示该用户输入机密数据的部件,
用于基于由该用户输入的机密数据和取回的质询计算对该质询的应答的部件,
用于将该应答发往该客户端应用的部件,该客户端应用将该应答转发给该应用服务器。
本发明进一步涉及一种适于在用于验证通信装置的用户的用户装置中执行的计算机程序,该通信装置实现通过电信网络与应用服务器连接的客户端应用,该程序包括指令,当该程序在该装置中执行时,该指令执行本发明的方法的步骤。
附图说明
现通过仅为示例的方式并参照附图描述本发明的一些实施例,其中:
图1是根据本发明实施例的通信系统的示意性框图;
图2是示出执行的步骤的流程图,这些步骤执行根据本发明实施例的验证用户以保护用户保密数据的机密性的方法。
在所有图中,相同的参考编号表示相同的元件或相同类型的元件。
具体实施方式
图和以下说明示出本发明的特定示例性实施例。因此将要认识到,本领域技术人员将能够设计多种布置,这些布置虽然在本文中未明确描述或示出,但却体现本发明的原理并且被包括在本发明的范围内。此外,本文所描述的任何示例均旨在帮助理解本发明的原理,并且要被理解为不限于这些特别列举的示例和条件。因此,本发明不限于下文所描述的特定实施例或示例,而是通过权利要求书及其等同物限制。
参照图1,通信系统包括应用服务器AS以及与用户装置UD相关联的通信装置CD,应用服务器AS和通信装置CD能够通过电信网络TN在它们之间通信。
电信网络TN可以是有线或无线网络,或有线和无线网络的组合。
电信网络TN可以包括分组网络,例如,例如是互联网或内部网或者甚至是公司专用的私有网络的IP(“互联网协议”)高速网络。
应用服务器AS是能够与通信装置CD通信并且提供要求用户验证的网络服务的网络实体。应用服务器AS管理包含用户机密的数据库,其中用户机密与发往实现在通信装置中的客户端应用(例如网络浏览器等)的质询相关联。
尤其是,应用服务器AS基于质询-应答模式管理用户验证过程。应用服务器能够接收客户端请求、取回用户机密、计算质询以及将质询发往客户端应用。于是应用服务器能够接收由用户经由客户端应用给出的对质询的应答并且应用服务器能够检查应答以便验证用户。
假设质询-应答验证涉及一族协议,其中,一方(例如服务器)提出问题并且另一方(例如客户端)必须提供将要被验证的有效回答。尤其是,服务器将质询发往其邀请用户输入机密数据的客户端,并且基于质询和机密数据的哈希函数计算应答。
通信装置CD可以是移动终端或固定终端。
作为固定终端,通信装置可以是经由调制解调器与xDSL(数字用户线路)或ISDN(综合业务数字网服务)类型的链路直接连接的个人计算机,使用有线接入与应用服务器通信。
作为移动终端,通信装置可以是无线电通信移动终端。例如,通信装置是移动电话,或者是通信的个人数字助理PDA或智能电话(例如智能手机),使用无线接入与应用服务器通信。
通信装置CD包括例如网络浏览器的客户端应用CA,其能够接收来自应用服务器AS的质询Ch并且将对质询的应答Rp发回应用服务器。
客户端应用CA建立与用户装置UD的信道关联,以便将向用户装置发送质询以及收集对质询的应答。
用户装置UD是在从客户端应用接收到质询Ch之后允许用户输入机密数据SD(例如密码)的实体。用户装置UD包括通信模块COM和计算模块CPT。
通信模块COM能够建立与客户端应用CA的信道关联以便在接收质询之前激活计算模块CPT。
计算模块CPT能够采取用户输入的机密数据SD作为输入并且能够基于机密数据SD计算对质询Ch的应答Rp。
在一个实施例中,用户装置UD是与链接到通信装置CD的输入装置(例如键盘)相关联的电子装置。在实施例中,用户装置嵌入在键盘中。在替代方案中,用户装置UD是链接至键盘的外部设备。在所有情况下,通信装置CD均经由充当过滤器的用户装置UD被链接到键盘。例如,用户装置UD通过有线线路和USB接口链接到通信装置CD。在另一示例中,用户装置UD通过蓝牙类型的无线连接链接到通信装置CD。在此实施例中,假设用户装置是包括能够过滤质询并且计算对质询的应答的微型控制器的增强型键盘。
在另一实施例中,用户装置UD是通过无线连接(例如蓝牙类型的无线连接)链接到通信装置CD的移动终端(例如智能手机)。在本示例中,用户装置UD通过通信装置CD被检测成蓝牙键盘,并且模块COM和CPT对应于在移动终端中实现的应用。而且假设移动终端配备有能够捕获显示在通信装置屏幕上的质询的摄像机。
参照图2,根据本发明的一个实施例,一种用于验证用户以保护用户机密数据的机密性的方法包括在通信系统内自动执行的步骤S1至S6。
在步骤S1处,用户希望使用由应用服务器AS提供的服务。为此,被实现在通信装置CD中的客户端应用CA建立与被实现在应用服务器AS中的服务器应用的连接,并且CA传输服务请求。应用服务器基于质询-应答模式启动验证过程。
在步骤S2处,应用服务器AS取回用户机密并且基于该用户机密计算质询Ch。应用服务器则将质询Ch发往客户端应用CA。
在步骤S3处,客户端应用CA建立与用户装置UD的通信模块COM的连接,并且CA邀请用户在通信装置的屏幕上输入机密数据SD。
在一个实施例中,客户端应用CA在通信装置的屏幕上显示质询。
用户装置UD从客户端应用CA取回质询Ch。
在一个实施例中其中用户装置与键盘关联,客户端应用CA(例如通过键盘交换协议)将质询Ch发往用户装置UD。
在另一实施例中其中用户装置是移动终端,用户装置例如利用摄像机捕获显示在通信装置屏幕上的质询。
在步骤S4处,计算模块CPT针对显示在屏幕上的输入机密数据的邀请而提示用户输入机密数据SD。
计算模块CPT基于质询和由用户输入的机密数据来计算对质询Ch的应答Rp。
在步骤S5处,计算模块CPT与通信模块COM协作而向客户端应用CA发送应答RP。
在步骤S6处,客户端应用CA接收应答并且将其往应用服务器AS转发,应用服务器AS可以利用收到的应答Rp验证用户。
一定程度上参照本方法的步骤,在下文中描述一些其示出根据本发明的方法的实施例的示例。第二和第三示例包含第一示例的替代实施方式。
在第一示例中,用户装置是被通信装置检测成正在听通信装置命令的USB HID装置(人机接口装置)的增强型键盘。
根据步骤S3,质询通过通信装置的USB端口被发往用户装置。根据步骤S4,在接收到质询之后,用户装置检测质询的接收,激活将键盘输出重定向至用户装置的中继器以及(例如通过接通有色二极管)提醒用户已经收到用于验证的质询,其意味着邀请用户输入机密数据。根据步骤S5,于是用户可以键入他的密码,并且当用户完成(例如通过键入“回车”触摸)时,用户装置基于由用户所完成的击键来计算应答并且向通信装置发回应答。用户装置则激活中继器从而将键盘输出连接回通信装置。
为了使客户端应用向用户装置发送质询,可以用一些基本命令实现用于在客户端应用与用户装置之间的通信交互的特定协议,在用户装置中的能够解释这些命令从而(特别是)检测质询的接收的微型控制器提示用户输入机密数据以及计算应答。
在第二示例中将用户装置视为与键盘关联的键盘过滤器。用户装置可以被直接实现在新一代键盘微型控制器中或可以是插在通信装置与键盘之间的外部设备。用户装置包括向人发送信号的手段,例如通过发光二极管或音频信号。
过滤器的功能是充当直通,在以下情况中除外:在接收到从通信装置发往键盘的特定报头信号之后,用户装置知道它将获得质询信息并且在接收质询之前激活拦截每个击键的过滤器。用于该信号的协议可以是例如具有以下形式的类型长度值(TLV)数据:<报头><质询长度><质询>(“<header><challenge_length><challenge>”)。该数据不重发往键盘。用户装置必须执行机密数据取回的步骤S4。对此,用户装置通过发送专用的人类信号(例如音频信号或通过点亮LED的视觉信号)提示用户已经到了在键盘上输入机密数据的时侯。于是用户在键盘上输入机密数据。因为用户装置充当过滤器,所以它接收每次击键并且知道当其接收到“回车”击键时则为输入完成时,那么它关闭专用的人类信号。
由此,用户装置具有机密数据但不将其发往通信装置。用户装置基于质询和机密数据两者来执行应答计算的步骤S4。最后,用户装置通过发送相应的击键而向通信装置发送应答,并且返回到其直通功能,即去激活过滤器。客户端应用不会在其输入域中获得机密数据,但直接获得应答。
在第三示例中,类似于第二示例的用户装置,用户装置被考虑为与键盘关联的键盘过滤器,客户端应用能够向键盘发送键盘键入信息。用户装置仍然可以被嵌在键盘中(键盘为新型键盘)或者可以是插在通信装置与键盘之间的外部设备。用户装置仍然具有向用户发出具体状态的信号的方式(例如声音、光)。另外,用户装置为用户提供经由专用新型键帽、新型按钮、或专用的同步击键组合(例如‘p’+‘s’+‘w’+‘r’+‘d’)向用户装置本身发出具体状态的信号的方式。
在该方法中,客户端应用向用户显示输入机密数据的邀请并且还显示为其特定可读数据的质询。用户于是可以通过激活被选择的手段(按新型键帽、按专用按钮、或同时按正确的组合)向用户装置发出输入信息的信号。反过来,用户装置通过适当的与用户通信的方式(发光二极管、声音等)发出其新状态的信号。
用户则将在键盘上键入通过用户装置过滤但未被发往通信装置的质询。用户装置通过例如“回车”击键来检测输入的结束。
可选地,用户装置通过改变其与用户通信的方式(例如通过照亮例如双色发光二极管或通过改变声音)来发出已到达下一步骤的信号。这表示用户现在已受邀输入机密数据。
用户于是将在键盘上键入通过用户装置过滤但未被发往通信装置的机密数据。用户装置通过例如“回车”击键来检测输入的结束。
最后,用户装置基于质询和机密数据两者而执行应答计算的步骤S4。最后,用户装置通过发送相应的击键来将应答发往通信装置,并且返回到其直通功能,即去激活过滤器。
第三示例的用户装置的运转与第二示例的用户装置的运转接近,除了过滤器功能的激活是由用户手工激活给出的手段而不是通过特定信号来完成的。
针对这三个示例,假设用户装置知道基于机密数据和质询来计算应答的标准哈希函数,并且哈希函数的选择被包含在包括质询的消息中。针对第三示例,可显示与指定特定哈希函数的信息一致的质询。
在第四示例中,用户装置是具有摄像机的智能手机。当通信装置与用户装置之间的无线连接建立后,用户装置通过通信装置被检测成例如蓝牙键盘。质询在通信装置中呈现为可读图像,例如条形码、矩阵码(QR code)或在预定义的帧中的普通字符。质询由用户装置扫描并读取,由此根据步骤S3质询被用户装置取回。根据步骤S4,用户装置实现邀请用户输入机密数据并且则基于机密数据和质询计算应答的应用。根据步骤S5,用户装置将应答直接发往客户端应用的输入域。
在第四示例中,包含质询的可读图像还可包括指定特定哈希函数的信息。
本文所描述的发明涉及用于验证用户以保护用户机密数据的机密性的方法和装置。在实施例中,本发明的方法的步骤通过包含在数据处理装置(例如根据本发明的用户装置UD)中的计算机程序的指令确定。程序包括执行根据本发明的方法的步骤的程序指令,当程序在数据处理装置的处理器中执行时,处理器的操作则通过程序的执行而被控制。
因此,本发明还适用于计算机程序,特别是在数据处理装置上或者可由数据处理装置读取的信息介质中的适应于实现本发明的计算机程序。该程序可使用任何编程语言并且可为源代码、目标代码或在源代码与目标代码之间的中间代码(例如部分编译的形式)的形式,或者为任何其他用于实现根据本发明的方法的可取形式。
信息介质可为能够存储程序的任何实体或装置。例如介质可以包括其上记录有根据本发明的计算机程序的存储装置或记录介质,例如ROM(例如CD ROM或微电子电路ROM)、或USB密钥、或磁记录装置(例如盘(软盘)或硬盘)。
Claims (11)
1.一种用于验证通信装置(CD)的用户的方法,所述通信装置实现通过电信网络(TN)与应用服务器(AS)连接的客户端应用(CA),所述应用服务器(AS)已将质询(Ch)发往所述客户端应用从而验证所述用户,所述方法包括以下在与所述通信装置(CD)关联并且充当过滤器的用户装置(UD)中的步骤:
建立与邀请所述用户在通信装置(CD)的屏幕上输入机密数据(SD)的客户端应用(CA)的连接(S3);
从所述客户端应用(CA)取回(S3)所述质询(Ch),所述质询通过所述客户端应用(CA)被发往所述用户装置(UD)或者所述质询被显示在所述通信装置(CD)的屏幕上;
提示(S4)所述用户输入机密数据(SD);
基于由所述用户输入的机密数据(SD)和取回的质询(Ch)计算(S4)对所述质询(Ch)的应答(Rp);
将所述应答(Rp)发往(S5)所述客户端应用(CA),所述客户端应用(CA)将所述应答转发给所述应用服务器(AS)。
2.根据权利要求1所述的方法,其中所述用户装置(UD)是与被链接到所述通信装置(CD)的输入装置关联的电子装置。
3.根据权利要求1或2所述的方法,其中所述用户装置与键盘关联。
4.根据权利要求1至3中任一项所述的方法,其中所述质询(Ch)从所述通信装置(CD)发往所述用户装置(UD)。
5.根据权利要求4所述的方法,其中所述用户装置:检测所述质询的接收;激活将键盘输出重定向至所述用户装置的中继器,以及通过用信号提醒所述用户来提示所述用户输入机密数据;基于由所述用户完成的击键来计算所述应答;以及在激活所述中继器将键盘输出连接回所述通信装置之前向所述通信装置发送所述应答。
6.根据权利要求4所述的方法,其中所述用户装置:检测特定报头信号的接收,其中所述特定报头信号经由键盘交换协议从所述通信装置发往所述键盘;接收所述质询;激活拦截每次击键的过滤器;通过用信号提醒所述用户来提示所述用户输入机密数据;基于拦截到的击键计算所述应答;以及在去激活所述过滤器之前向所述通信装置发送所述应答。
7.根据权利要求3所述的方法,其中所述客户端应用(CA)在所述通信装置(CD)的屏幕上显示所述质询(Ch),所述用户装置:在所述用户手工激活给出的部件时激活拦截每次击键的过滤器;通过用信号提醒所述用户来提示所述用户输入质询;通过用另一信号提醒所述用户来提示所述用户输入机密数据;基于拦截到的击键计算所述应答;以及在去激活所述过滤器之前向所述通信装置发送所述应答。
8.根据权利要求7所述的方法,其中由所述用户对给出的部件的手工激活对应于专用键帽、专用按钮或专用击键组合的其中之一。
9.根据权利要求1所述的方法,其中所述用户装置(UD)是配备有摄像机的移动终端,所述客户端应用(CA)在所述通信装置(CD)的屏幕上显示所述质询(Ch),所述质询由所述摄像机捕获。
10.一种用于验证通信装置(CD)的用户的用户装置(UD),所述通信装置实现通过电信网络(TN)与应用服务器(AS)连接的客户端应用(CA),所述应用服务器(AS)已将质询(Ch)发往所述客户端应用从而验证所述用户,所述用户装置(UD)与所述通信装置(CD)关联并且充当过滤器,以及所述用户装置包括:
用于建立与所述客户端应用(CA)的连接的部件(COM),所述客户端应用邀请所述用户在所述通信装置(CD)的屏幕上输入机密数据(SD);
用于从所述客户端应用(CA)取回所述质询(Ch)的部件(COM),所述质询通过所述客户端应用(CA)被发往所述用户装置(UD)或者所述质询被显示在所述通信装置(CD)的屏幕上;
用于提示所述用户输入机密数据(SD)的部件(CPT);
用于基于由所述用户输入的机密数据(SD)和取回的质询(Ch)计算对所述质询(Ch)的应答(Rp)的部件(CPT);
用于将所述应答(Rp)发往所述客户端应用(CA)的部件(COM),所述客户端应用(CA)将所述应答转发给所述应用服务器(AS)。
11.一种适于在用于验证通信装置(CD)的用户的用户装置(UD)中执行的计算机程序,所述通信装置实现通过电信网络(TN)与应用服务器(AS)连接的客户端应用(CA),所述应用服务器(AS)已将质询(Ch)发往所述客户端应用从而验证所述用户,所述用户装置(UD)与所述通信装置(CD)关联并且充当过滤器,所述程序包括当所述程序在所述用户装置中被执行时执行以下步骤的指令:
建立与邀请所述用户在通信装置(CD)的屏幕上输入机密数据(SD)的客户端应用(CA)的连接(S3);
从所述客户端应用(CA)取回(S3)所述质询(Ch),所述质询通过所述客户端应用(CA)被发往所述用户装置(UD)或者所述质询被显示在所述通信装置(CD)的屏幕上;
提示(S4)所述用户输入机密数据(SD);
基于由所述用户输入的机密数据(SD)和取回的质询(Ch)计算(S4)所述质询(Ch)的应答(Rp);
将所述应答(Rp)发往(S5)所述客户端应用(CA),所述客户端应用(CA)将所述应答转发给所述应用服务器(AS)。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12305892.7A EP2690838A1 (en) | 2012-07-23 | 2012-07-23 | Authentification system preserving secret data confidentiality |
| EP12305892.7 | 2012-07-23 | ||
| PCT/EP2013/062395 WO2014016047A1 (en) | 2012-07-23 | 2013-06-14 | Authentication system preserving secret data confidentiality |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104541488A true CN104541488A (zh) | 2015-04-22 |
Family
ID=48626061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380038074.8A Pending CN104541488A (zh) | 2012-07-23 | 2013-06-14 | 保护机密数据机密性的验证系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20150188904A1 (zh) |
| EP (1) | EP2690838A1 (zh) |
| JP (2) | JP2015524633A (zh) |
| KR (1) | KR20150030739A (zh) |
| CN (1) | CN104541488A (zh) |
| WO (1) | WO2014016047A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014139679A2 (en) | 2013-03-14 | 2014-09-18 | Ximo Ag | Metathesis catalysts and reactions using the catalysts |
| EP3052229B1 (en) | 2013-10-01 | 2021-02-24 | Verbio Vereinigte BioEnergie AG | Immobilized metathesis tungsten oxo alkylidene catalysts and use thereof in olefin metathesis |
| EP3334185B1 (en) * | 2016-12-08 | 2021-06-02 | GN Hearing A/S | Hearing system, devices and method of securing communication for a user application |
| JP2022549671A (ja) * | 2019-09-25 | 2022-11-28 | コモンウェルス サイエンティフィック アンド インダストリアル リサーチ オーガナイゼーション | ブラウザアプリケーション用の暗号化サービス |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5668876A (en) * | 1994-06-24 | 1997-09-16 | Telefonaktiebolaget Lm Ericsson | User authentication method and apparatus |
| WO2006049520A1 (en) * | 2004-11-02 | 2006-05-11 | Oracle International Corporation | Systems and methods of user authentication |
| US20080263672A1 (en) * | 2007-04-18 | 2008-10-23 | Hewlett-Packard Development Company L.P. | Protecting sensitive data intended for a remote application |
| CN101335611A (zh) * | 2007-06-29 | 2008-12-31 | 联想(北京)有限公司 | 安全按键输入系统、设备、和方法 |
| CN101593254A (zh) * | 2008-05-26 | 2009-12-02 | 联想(北京)有限公司 | 一种笔记本电脑安全输入方法及系统 |
| US20100275010A1 (en) * | 2007-10-30 | 2010-10-28 | Telecom Italia S.P.A. | Method of Authentication of Users in Data Processing Systems |
| CN102207894A (zh) * | 2011-05-25 | 2011-10-05 | 盛乐信息技术(上海)有限公司 | 一种键盘过滤器及唤醒无响应的操作系统的方法 |
| US20110252229A1 (en) * | 2010-04-07 | 2011-10-13 | Microsoft Corporation | Securing passwords against dictionary attacks |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2967456B2 (ja) * | 1994-04-11 | 1999-10-25 | 豊 塚本 | 認証システム |
| US6138239A (en) * | 1998-11-13 | 2000-10-24 | N★Able Technologies, Inc. | Method and system for authenticating and utilizing secure resources in a computer system |
| RU2395228C2 (ru) * | 2004-04-01 | 2010-07-27 | Уилльям С. ТОРЧ | Биосенсоры, коммуникаторы и контроллеры для мониторинга движения глаз и способы их применения |
| JP2009032070A (ja) * | 2007-07-27 | 2009-02-12 | Hitachi Software Eng Co Ltd | 認証システム及び認証方法 |
| US8316445B2 (en) * | 2008-04-23 | 2012-11-20 | Trusted Knight Corporation | System and method for protecting against malware utilizing key loggers |
| ATE524897T1 (de) * | 2008-09-17 | 2011-09-15 | Gmv Soluciones Globales Internet S A | Verfahren und system zur authentifizierung eines benutzers mit hilfe eines mobilfunkgeräts |
| CA2650163C (en) * | 2008-12-18 | 2013-07-23 | Her Majesty The Queen In Right Of Canada, As Represented By The Ministerof National Defence | System and method for secure provision of key credential information |
| US8572394B2 (en) * | 2009-09-04 | 2013-10-29 | Computer Associates Think, Inc. | OTP generation using a camouflaged key |
| EP2421217B1 (en) * | 2010-08-16 | 2013-10-02 | BlackBerry Limited | Communication system providing wireless authentication for private data access and related method |
| US8661254B1 (en) * | 2010-12-03 | 2014-02-25 | Ca, Inc. | Authentication of a client using a mobile device and an optical link |
| US9590978B2 (en) * | 2012-12-21 | 2017-03-07 | Biobex, Llc | Verification of password using a keyboard with a secure password entry mode |
-
2012
- 2012-07-23 EP EP12305892.7A patent/EP2690838A1/en not_active Withdrawn
-
2013
- 2013-06-14 JP JP2015523468A patent/JP2015524633A/ja active Pending
- 2013-06-14 US US14/412,521 patent/US20150188904A1/en not_active Abandoned
- 2013-06-14 WO PCT/EP2013/062395 patent/WO2014016047A1/en active Application Filing
- 2013-06-14 CN CN201380038074.8A patent/CN104541488A/zh active Pending
- 2013-06-14 KR KR1020157001770A patent/KR20150030739A/ko not_active Application Discontinuation
-
2016
- 2016-11-25 JP JP2016228646A patent/JP2017063480A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5668876A (en) * | 1994-06-24 | 1997-09-16 | Telefonaktiebolaget Lm Ericsson | User authentication method and apparatus |
| WO2006049520A1 (en) * | 2004-11-02 | 2006-05-11 | Oracle International Corporation | Systems and methods of user authentication |
| US20080263672A1 (en) * | 2007-04-18 | 2008-10-23 | Hewlett-Packard Development Company L.P. | Protecting sensitive data intended for a remote application |
| CN101335611A (zh) * | 2007-06-29 | 2008-12-31 | 联想(北京)有限公司 | 安全按键输入系统、设备、和方法 |
| US20100275010A1 (en) * | 2007-10-30 | 2010-10-28 | Telecom Italia S.P.A. | Method of Authentication of Users in Data Processing Systems |
| CN101593254A (zh) * | 2008-05-26 | 2009-12-02 | 联想(北京)有限公司 | 一种笔记本电脑安全输入方法及系统 |
| US20110252229A1 (en) * | 2010-04-07 | 2011-10-13 | Microsoft Corporation | Securing passwords against dictionary attacks |
| CN102207894A (zh) * | 2011-05-25 | 2011-10-05 | 盛乐信息技术(上海)有限公司 | 一种键盘过滤器及唤醒无响应的操作系统的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017063480A (ja) | 2017-03-30 |
| KR20150030739A (ko) | 2015-03-20 |
| WO2014016047A1 (en) | 2014-01-30 |
| JP2015524633A (ja) | 2015-08-24 |
| US20150188904A1 (en) | 2015-07-02 |
| EP2690838A1 (en) | 2014-01-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220191016A1 (en) | Methods, apparatuses, and computer program products for frictionless electronic signature management | |
| CN107683601B (zh) | 用于控制器与附件之间的通信的中继服务 | |
| CN108989346B (zh) | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 | |
| EP1807966B1 (en) | Authentication method | |
| US9635022B2 (en) | Method of allowing establishment of a secure session between a device and a server | |
| WO2014105263A1 (en) | Multi-factor authentication and comprehensive login system for client-server networks | |
| CN107113613B (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
| CN103095457A (zh) | 一种应用程序的登录、验证方法 | |
| CN101808077B (zh) | 信息安全输入处理系统和方法以及智能卡 | |
| CN102833244A (zh) | 利用指纹信息认证的通信方法 | |
| JP4897503B2 (ja) | アカウントリンキングシステム、アカウントリンキング方法、連携サーバ装置 | |
| US20140304510A1 (en) | Secure authentication system with automatic cancellation of fraudulent operations | |
| CN103210607A (zh) | 对由web服务器提供的服务的安全注册 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| Jøsang | Identity management and trusted interaction in Internet and mobile computing | |
| JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
| CN104541488A (zh) | 保护机密数据机密性的验证系统 | |
| CN103139179A (zh) | 多通道主动式网络身份验证系统及网络身份验证装置 | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| CN110266641B (zh) | 信息读取方法、系统、装置和计算机可读存储介质 | |
| CN201717885U (zh) | 密码提供设备和密码认证系统 | |
| CN101969426B (zh) | 分布式用户认证系统及其方法 | |
| CN2914498Y (zh) | 基于通用串行总线人机交互类设备的信息安全设备 | |
| US20200106762A1 (en) | Device and method for receiving a temporary credit token | |
| Emmanuel et al. | Mobile Banking in Developing Countries: Secure Framework for Delivery of SMS-banking Services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150422 |
|
| WD01 | Invention patent application deemed withdrawn after publication |