CN107615797B - 一种隐藏用户标识数据的装置、方法和系统 - Google Patents
一种隐藏用户标识数据的装置、方法和系统 Download PDFInfo
- Publication number
- CN107615797B CN107615797B CN201680029857.3A CN201680029857A CN107615797B CN 107615797 B CN107615797 B CN 107615797B CN 201680029857 A CN201680029857 A CN 201680029857A CN 107615797 B CN107615797 B CN 107615797B
- Authority
- CN
- China
- Prior art keywords
- user
- data
- identification
- random number
- pin
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Information Transfer Between Computers (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Storage Device Security (AREA)
Abstract
本发明的目的是提出一种隐藏用户标识数据的装置、方法和系统,可用于网络服务器的登录、游戏登录、银行支付及防钓鱼网站等领域。在使用计算机终端时,可以使用隐藏令牌技术,隐藏付款账户(用户名)。该方法可以用于网络支付,结合好的密码协议,可简单且安全地解决使用银行、游戏等服务中用户标识的保护。结合双通道身份认证技术,可以实现安全便捷的身份认证和支付方法。
Description
技术领域
本发明属于信息安全领域。本发明涉及的是一种使用单向函数隐藏标识数据的装置、方法和系统。具体地说,涉及一种利用单向函数保护用户标识数据,隐藏用户标识数据的装置、方法和系统。
背景技术
普通的网站登录,一般是用户输入用户名。网站验证该用户名及对应的PIN码正确,就确认该用户登录的有效性。而银行的POS支付,对应于网站登录而言,用户名相当于银行付款账号(PAN),PIN码的作用也是一样;但是表面上多了两个因素:收款账户及交易金额。收款账户其实相当于用户登录时,客户计算机地址或客户计算机上某个程序的地址;即POS机的地址或其唯一标识,决定了其在收单系统中的收款账户。所以从本质上看,网站登录与银行支付的区别就只是多了一个因素:金额。
网站登录的要素:用户名、PIN码及当前使用的计算机;
支付的要素:付款账户、PIN码、当前使用的POS(收款账户)及金额。
付款账户及用户名的本质是,服务器用于查找用户数据库中相应用户数据项及相对应身份认证的手段。当身份认证数据与付款账户(用户名)要求的身份认证手段和数据匹配时,确认可以进行相应的工作。这样,付款账户和用户名的本质就是:标识数据(标识用户);而PIN码就是:身份认证数据。当标识数据与身份认证数据匹配后,银行或网站进行相应的工作。当然还可以使用其他身份认证协议,甚至零知识身份认证协议。身份认证协议的本质就是如何组成和传送身份认证数据,达到身份确认的目的。在某些银行应用中,只要提供准确的银行账户,而不需要提供PIN码(身份认证数据)就可以进行相应的支付,如快捷支付和各种消费卡。
这样,付款账户及用户名(PAN)的保护就变得尤为重要。APPLE公司推广的APPLE_PAY提供一种相对安全的保护PAN的方案,即用令牌(可多次使用)来代替主账号(PAN,付款账户及用户名),实现对主账号(PAN)的保护。当令牌不安全后,可以更换令牌,而不需要更换主账号。但是令牌也是相对不安全因素,也可能被盗窃和使用。如果能实现对令牌的保护,就能更大地提高支付的安全性。实际上对每次交易而言,令牌实际上也可以看成某种PAN。
在本申请文件中,需要用到各种密码技术来说明技术方案。H表示哈希函数或其他单向函数,用于给数据做一个加密标识。
发明内容
大多数用户“潜意识”中,把安全的希望建筑在PIN码或身份认证数据的不泄露上。并希望当银行卡(或用户名)丢失后,用PIN码来保证安全,并认为PIN码不“容易”泄露。用PIN码保护安全也成为普通大众的“安全习惯”。从安全的角度,为了保护用户的PIN码,最好不在商家或别人的计算机(移动POS)上输入银行卡(或用户名)的真实PIN码,而采用在用户自己的手机上输入PIN码来提高保障安全的体验。
事实上,也可以把用户名+PIN统一看成一个用户标识数据,或令牌。
在支付登陆中,如果还有对用户名(PAN)的保护就更安全。这可以使用用户装置隐藏式输入用户名(PAN)来实现。这样在支付登陆时,就没有直接或明码在POS上输入传统的银行卡号(付款账户或用户名)。再加上双通道身份认证技术,使得PIN码(身份认证数据)在自己可控的手机上输入,显然这样更安全。
利用用户装置隐藏输入付款账户(PAN),利用手机输入PIN码增加了支付的安全性,然后利用手机联网的特性实现银行卡号“隐藏输入”与PIN码手机输入的双通道传送,达到支付的安全和便捷的统一。
本发明的本质就是用密码函数根据用户标识数据及随机数,生成标识检索数据和标识认证数据,组成隐藏令牌。用隐藏令牌来隐藏真实的用户标识。实质就是利用安全装置与用户装置都共有的用户标识数据(及其他数据),看成已经分配的密钥。使得该系统不需要密钥分配。当然也可以使用PKI技术来隐藏用户标识数据,这样也不需要分配密钥,但是还是需要认证公钥(PKI是一个复杂的系统),否则容易遭受“钓鱼攻击”。
根据本发明的一个方面,一种隐藏用户标识数据的系统,它包括:用户装置,产生隐藏用户标识数据的隐藏令牌;使用装置,从用户装置获得隐藏令牌及其他数据;安全装置,根据隐藏令牌确认标识数据;用户装置与使用装置连接,使用装置与安全装置连接;用户装置根据用户标识数据,使用单向函数计算得到标识检索数据;用户装置根据随机数及标识数据,使用密码函数计算得到标识认证数据;标识检索数据及标识认证数据组成隐藏令牌,传送到安全装置;安全装置根据隐藏令牌的标识检索数据,找到相关用户标识数据项,并根据随机数及隐藏令牌的标识认证数据,确认标识数据。
进一步,用户装置中的随机数可以是时间数据、或使用次数数据、或临时产生的随机数、或地理位置信息,或身份认证数据,或接收到的随机数及以上组合。
这里安全装置可以是网站,使用装置可以是计算机或者手机等终端,用户装置可以是浏览器、邮件客户端等需要登录网站的应用程序。
根据本发明的另一个方面,一种隐藏用户标识数据的装置,它包括:单向函数计算装置,随机数装置,标识数据存储装置,通讯装置;当隐藏用户标识数据的装置通过通讯装置连接到其他设备,接收到要求提供隐藏令牌命令后,从标识数据存储装置获得用户标识,使用单向函数计算得到标识检索数据;从随机数装置获得随机数,用户装置根据随机数及标识数据,使用密码函数计算得到标识认证数据;标识检索数据及标识认证数据组成隐藏令牌,并把结果通过通讯装置传送到其连接的设备。
进一步,上述随机数装置可以是产生时间的装置,也可以是存储使用次数的装置,还可以是真随机数生成装置,或地理位置信息装置,或身份认证数据装置,或通信装置接收到的随机数及以上组合。
这里安全装置可以是网站,使用装置可以是计算机或者手机等终端,用户装置可以是浏览器、邮件客户端等需要登录网站的应用程序。
根据本发明的另外一个方面,一种隐藏用户标识数据的方法,它包括:(步骤A)用户装置根据用户标识数据,使用单向函数计算得到标识检索数据;(步骤B)用户装置根据随机数及标识数据,使用密码函数计算得到标识认证数据;(步骤C)标识检索数据及标识认证数据组成隐藏令牌,传送到安全装置;(步骤D)安全装置根据隐藏令牌的标识检索数据,找到相关用户标识数据项,并根据随机数及隐藏令牌的标识认证数据,确认标识数据。
进一步,(步骤A)中生成标识检索数据的数据,还包括其他数据,如身份认证数据。
还可以,步骤B中的随机数可以是时间数据、或使用次数数据、或临时产生的随机数、或地理位置信息、或身份认证数据、或接收到的随机数及以上组合。
还可以,步骤C还有使用装置传送收款账户及金额到安全装置的步骤。
还可以,步骤D后,还有安全装置转换用户标识数据为主账号(PAN)的步骤。
还可以,(步骤B)还有用用户标识数据生成对称加密密钥的步骤,用于加密生成标识认证数据或(和)身份认证数据。
进一步,还可以是上述所有方法的任意组合。
这里安全装置可以是网站,使用装置可以是计算机或者手机等终端,用户装置可以是浏览器、邮件客户端等需要登录网站的应用程序。
附图说明
下面参照附图描绘本发明,其中
图1表示优选实施例1隐藏用户标识数据的方法和系统的示意图;
图2表示优选实施例2隐藏用户标识数据的方法和系统的示意图;
图3表示优选实施例3隐藏用户标识数据的装置的示意图;
图4表示优选实施例4、5、6隐藏用户标识数据的方法和系统的示意图。
具体实施方式
在本发明的实施例描述中,我们始终使用F代表付款账户(标识数据,用户名等)、T代表付款账户F的令牌(替代数据)、H代表单向函数、S代表收款账户、M代表金额、PIN代表个人识别码(身份认证数据)、DES代表对称加密算法。
[实施例1]
本实施例一种隐藏用户标识数据所关联的方法和系统如图1所示。系统由安全装置1、使用装置3及网络2、银行收单机构5及用户装置4组成。用户装置4还可以包含指纹装置41。其中安全装置1与使用装置3通过网络2连接;安全装置1与银行收单机构5连接(也可以通过网络2连接);用户装置4与使用装置3连接。
使用装置3包括:收款账户S;用户装置4包括:付款账户F的令牌T,单向函数H;安全装置1包括:用户表(F,T,H(T))及单向函数H,其中F为付款账户(PAN)、付款账户F的令牌T及H(T)。
用户表及用户装置令牌的建立步骤为:
1、任意安全计算机终端登录安全装置1;
2、输入付款账户F,安全装置产生令牌T,并传送输入到用户装置4;
3、安全装置1建立F与T的用户表项:(F,T,H(T))。登陆支付的步骤为:
1、用户装置4有随机数R及用户标识数据T,计算(H(T),H(T||R),R)为隐藏令牌,传送到使用装置3;
2、使用装置3有收款账户S,获得支付金额M,从用户装置4获得(H(T),H(T||R),R);上述交易数据(H(T),H(T||R),R,M,S)通过网络2传送到安全装置1;
3、安全装置1收到(H(T),H(T||R),R,M,S),根据H(T),查找用户表得到(F,T1,H(T));根据R及T1计算H(T1||R);如果H(T1||R)=H(T||R),表明T1=T;
4、安全装置1根据(H(T),H(T||R),R,M,S)、用户表(F,T1,H(T))及T1=T,得到(M,S,F);安全装置1发送支付数据(M,S,F)到银行收单机构1;
5、如果正确,银行收单机构5支付并返回支付完成信息到安全装置1,然后到使用装置3;否则返回支付错误信息到安全装置1,通过网络2返回到使用装置3。
步骤1中的随机数R可以由安全装置1产生,传送到使用装置3,然后传送到用户装置4,这样可以防止重放攻击。也可以由用户装置产生一个基于时间(次数)的数,如(随机数+时间)作为R,同样也可以防止重放攻击。还可以是用户装置4的地理位置信息。R也可以包含使用装置3的地理位置信息。
显然,我们可以在指纹装置41通过用户指纹识别认证后,才能进行第2步骤来增加安全性。
该加入指纹识别后,实施例实际就是目前APPLEPAY的安全改进方式。在APPLEPAY中,如果使用装置2偷到用户标识数据T,那么就可以通过伪造T来实现攻击。T可以看成标识数据,只不过该标识数据还需要进行一次转换,对应到真正的支付标识数据(PAN)。
本实施例使用用户装置隐藏付款账户标识或令牌的数据输入,实现了对付款账户标识数据的隐藏。这里付款账户标识数据也可以看成用户标识数据。在登录支付流程中去掉金额的获得和传送,就是登陆流程。本实施例的用户装置可以是非接触IC卡,也可以使用接触式IC卡,或是手机,或是手机HCE等设备;通讯方式可以是其他能够在用户装置与使用装置之间传送信息的其他连接方式,如声波,蓝牙等。
显然,在实施了隐藏输入标识数据后,还可以在使用装置上输入PIN码进行身份认证。当然还有其他提交身份认证数据的方法(如,双通道身份认证)和协议。
还可以在安全装置1与用户装置4存储相同的数K,然后用该数在两个装置同时加入单向函数计算,增加复杂性。该数K也可以是交互过程中从用户装置的外部输入,甚至是PIN码(身份认证数据)。在用户装置是手机等有输入装置的设备上,可以让K在手机输入,传送到用户装置;如果隐藏令牌是只能从用户装置产生到使用装置,而不能传送回手机操作系统,这样安全性更高。
本实施例保护用户标识数据T的方案,没有密钥分配过程。同时又能达到在信息交换过程中保护的T目的。本质上,安全装置1发放令牌T的过程,就是密钥分配的过程。
从目前APPLEPAY的角度,由于银行现有POS都是传送16个字节的主账号(PAN),那么它是用16个字节的用户标识数据(令牌)传送到安全装置,转换成主账号,实现对主账号的隐藏。当用户标识数据(令牌)被非法泄漏后,不影响主账号的安全。只要重新申请关联于主账号的用户标识数据(令牌)即可。
中国标准的HASH函数(SM3)是256位,就是32字节。我们可以使用其中的64位(或8个字节)表示H(T),另外为H(T||R)中的6个字节及2个字节的R。这样基本上就不改变现有银行系统的数据传送格式。
由于只有8个字节的用户标识数据(令牌)空间,容易产生不同用户标识数据(令牌)T具有相同的短隐藏用户标识数据,这样在通过短隐藏用户标识数据搜索用户表时,同样的短隐藏用户标识数据下,可能有多个数据项。但是这些数据项显然可以被H(T||R)的6个字节认证所区别,否则作废本次请求,重新交易即可。
H(T)的作用就是用于安全装置1查找T对应的数据项,所以称为标识检索数据,而H(T||R)的作用是确认安全装置中的用户标识数据T,与用户装置中的T的一致性,所以称为标识认证数据。标识检索数据及标识认证数据组成隐藏令牌。如果随机数R由用户装置产生,显然必须传送R到安全装置进行标识认证;这时隐藏令牌还包括随机数R。在APPLEPAY中实际的标识有两个,即安全装置与用户装置可能都拥有同样的TONKEN或PAN,都可以用来生成标识检索数据和标识认证数据。就是说,利用安全装置和用户装置共同拥有的数据,都可以看成标识,实现标识的隐藏声明。
随机数R可以是时间数据、或使用次数数据、或临时产生的随机数、地理位置信息,或接收到的随机数及以上组合。特别是地理位置信息,可以用于根据用户的习惯数据,判断支付的合理性;更进一步,如果POS上同样也有地理位置信息,并以挑战数形式,发送到用户装置。那么,安全装置就可以根据使用装置(POS)的位置信息和用户装置的位置信息,判断该支付是否物理位置接近,判断是否是线下支付,是否使用装置是否移机。
在该实施例中,生成标识检索数据和标识认证数据都是使用单向函数。在标识认证数据的生成中,还可以使用对称加密算法(DES),这样就需要用标识数据通过一定的规则产生加密的密钥,则个对称密码算法也可以称为密码函数,当然单向函数也可以称为密码函数。
更安全地,实施例1的登陆支付的步骤改为:
1、使用装置3有收款账户S,获得支付金额M,传送到用户装置4。
2、用户装置4有随机数R及用户标识数据T,计算(H(T),H(T||R||M||S),R,M,S)为隐藏令牌,传送到使用装置3;通过网络2传送到安全装置1;
3、安全装置1收到(H(T),H(T||R||M||S),R,M,S),根据H(T),查找用户表得到(F,T1,H(T));根据R、M、S及T1计算H(T1||R||M||S);如果H(T1||R||M||S)=H(T||R||M||S),表明T1=T;
4、安全装置1根据(H(T),H(T||R||M||S),R,M,S)、用户表(F,T1,H(T))及T1=T,得到(M,S,F);安全装置1发送支付数据(M,S,F)到银行收单机构1;
5、如果正确,银行收单机构5支付并返回支付完成信息到安全装置1,然后到使用装置3;否则返回支付错误信息到安全装置1,通过网络2返回到使用装置3。
实施例中的||符号表示前后数据连接成一个数据,即字符串连接。
[实施例2](关联服务器)
本发明的第2个实施例如附图2所示,该实施例增加一个关联服务器7,用于把身份认证数据与标识数据(付款账户)进行关联。把交易数据用使用装置与安全装置,身份认证数据(如,PIN码)用确认装置与关联服务器及安全装置两个通道分别传送,然后由安全装置组合收到的数据组成完整的支付数据进行支付的实施例。
本实施例一种隐藏用户标识数据的方法和系统所关联的方法和系统如图2所示。一种隐藏用户标识数据的方法和系统由安全装置1、确认装置4、使用装置3、关联服务器7、网络2、银行收单机构6及用户装置5组成。
其中安全装置1与使用装置3通过网络2连接;安全装置1与关联服务器7通过网络2连接,关联服务器7与确认装置4通过网络2连接;安全装置1与银行收单机构1连接(也可以通过网络2连接)。用户装置5与使用装置3连接。
使用装置3包括:收款账户S;用户装置5包含:单向函数H,RSA安全公钥,付款账户F;确认装置4包括:与付款账户F对应的关联数据P;安全装置1包括:单向函数H,用户表(F,H(F)),固定数WR,RSA安全私钥;关联服务器7包括:用户表(H(F||WR),P),其中F为付款账户、P为关联数据。RSA安全公钥与RSA安全私钥是一对公私密钥。
关联流程:
1、用户装置5产生随机数K,有付款账户F,计算RSA安全公钥(F,K);
2、使用装置3从用户装置5获得RSA安全公钥(F,K),通过网络2传送到安全装置1;
3、安全装置1计算RSA安全私钥(RSA安全公钥(F,K)),得到F;建立用户表项(F,H(F));
4、安全装置1有固定数WR,计算H(F||WR),并传送到关联服务器7;由于关联服务器7没有H(F||WR)所关联的确认装置4,则产生随机数P,并传送回安全装置1,再传送到使用装置3,这时关联服务器7建立用户表项(H(F||WR),P);
5、用户根据使用装置3显示的P,输入确认装置4;
这样在关联服务器7中,建立了一个付款账户F与确认装置4的关联关系的表项,包含两个要素(H(F||WR),P)。确认装置4中有对应付款账户F的P。
关联流程的目的就是,第一在关联服务器上建立付款账户F与确认装置的密码关联表项(H(F||WR),P);第二在安全装置上建立用户表(F,H(F))。任何其他安全的建立这些表项的方法,不是本专利申请所关注的目标。而且这里的RSA安全公钥与RSA安全私钥是一对公私密钥,在本实施例中只是为了建立这些表项。
支付的步骤为:
1、用户装置5有随机数R,付款账户F,计算(H(F),H(F||R),R)传送到使用装置3;
2、使用装置3有收款账户S,获得支付金额M,从用户装置5获得(H(F),H(F||R),R);上述交易数据(M,S,(H(F),H(F||R),R))通过网络2传送到安全装置1;
3、安全装置1收到(H(F),H(F||R),R,M,S),根据H(F),查找用户表得到(F1,H(F));根据R及F1计算H(F1||R);如果H(F1||R)=H(F||R),表明F1=F;得到(M,S,F);
4、安全装置1有固定数WR,计算H(F||WR),并传送到关联服务器7;
5、确认装置4输入PIN,通过网络2传送(PIN,P)到关联服务器7;
6、关联服务器7根据用户表(H(F||WR),P)及(PIN,P),得到(H(F||WR),PIN);
7、传送(H(F||WR),PIN)到安全装置1;
8、安全装置1根据(H(F||WR),PIN)及(M,S,F),得到与PIN匹配的(M,S,F);安全装置1发送支付数据(PIN,M,S,F)到银行收单机构1;
9、如果正确,银行收单机构6支付并返回支付完成信息到安全装置1,然后到使用装置3;否则返回支付错误信息到安全装置1,然后信息通过网络2返回到使用装置3或(和)确认装置4。
从流程上看,H(F||WR)似乎没有必要。实际上,这样处理的好处是关联服务器不能得到“真实”的F,这样就保证了安全装置1中F的安全,这里WR是安全装置1固定保密的数。这样关联服务器7的拥有者,不能通过修改F及计算H(F)的方法来猜测F;更好的是安全装置1选用自己独特的hash函数H。如果确认装置4采用H(pin)保护pin的方法等更安全的密码体制,那么关联服务器7在处理过程中,实际上不能得到任何有意义的数据。这样就可以在解决安全问题的同时不产生其他安全问题。
显然,隐藏付款账户F的单向函数H与用于关联服务器中保护账户的单向函数H可以一致,也可以不一致。如实施例1一样,也可以用令牌T来代替付款账户F,进行支付流程,当然多一个令牌到付款账户的转换。
该实施例的P是用于关联的数据,只是要求安全装置1中付款账户F相关的P与确认装置4中的P一致即可,即P可以是一串没有其他意义的数据,只用于两部分数据的关联;确认装置4可以隐藏自己的网络地址发送(PIN,P)到安全装置1。
P也可以是确认装置4的网络地址,如QQ号码、微信号码、微博号码、电子邮件地址等。这样利用确认装置4的网络地址,增加判断从这些网络地址合法发送的数据,加强了本实施例的安全性。实施例2实现了隐藏的付款账户F及金额M与PIN码的双通道分别传输到安全装置1的系统及方法,防止了付款账户F被不法分子截取的可能性,提高了系统的安全性。
本实施例使用用户装置隐藏付款账户的输入,这样即免去手工键盘输入付款账户的麻烦,也实现了对付款账户隐藏。这里付款账户就是用户标识数据。在登录支付流程中去掉金额的获得和传送,就是登陆流程。
在登录支付流程中的用户装置的随机数R可以是用户装置的时间或从使用装置得到的数据,也可以是由安全装置1产生通过使用装置3提供的挑战数,这些技术可以参考现有动态口令保障安全的各种技术。目的是为了使每次产生的隐藏(H(F),H(F||R),R)都不一致,这样拥有POS的攻击者无法确定本次操作的用户装置的付款账户(用户标识)。如果R为时间+随机数,在安全装置中增加检查登录付款时间的要素,可以防止了重放(H(F),H(F||R),R)的攻击。本实施例的用户装置可以是非接触IC卡,也可以使用接触式IC卡,还可以是其他能够在用户装置与使用装置之间传送信息的其他连接方式,如声波,蓝牙等。
本实施例的安全性在于,银行卡PIN码是在用户自己的手机上(确认装置)上输入,而不是在使用装置上输入,付款账户F也是隐藏式输入的。很显然确认装置4传送到安全装置1的PIN可以采用密码技术。如确认装置4执行RSA安全公钥(PIN,P),安全装置1执行RSA安全私钥(RSA安全公钥(PIN,P)),RSA安全私钥不公开且由安全装置1自己掌握,RSA安全公钥与RSA安全私钥是一对公私密钥。由于确认装置4不储存PIN,所以当确认装置4与用户装置5同时丢失时,与丢失普通银行卡安全风险基本一致。当然也可以使用对称密码体制,这样牵扯到密钥分配的协议。总之这里密码协议是保证传输过程的数据安全。当然也可以不使用PIN这种身份认证数据,而是其他身份认证协议,如零知识身份认证协议;那么从确认装置传送到安全装置的数据就是身份认证协议要求传送的数据。
关联数据P还可以采用安全装置1生成随机码P,传送到使用装置3显示随机码P,确认装置4除了输入PIN外还要输入随机码P,这样也可以实现交易数据关联。好处是安全装置1不需要存储付款账户F与关联数据P的对应关系。也可以采用确认装置4生成并显示随机码P,在使用装置3上输入,传送到安全装置1用于关联。这些显示及输入步骤,还可以改用其他技术手段如,二维码,声波,NFC等近场数据传输技术。总之目的就是使安全装置1与确认装置4有一个用于关联的数据P。
关联数据P如果是网络地址,那么该信息也可以包含在发送PIN到安全装置1的地址中,这样也可以单独对PIN加密,而不需要对(PIN,P)加密。由于P是网络地址,所以还可以有安全装置1把交易数据传送到确认装置4的步骤。这样便于用户确认交易数据的正确性。
类似实施例1,也可以把M,S等数据加入到标识认证数据的计算中,用于提高安全性。
[实施例3]
本发明的第3个实施例如附图3所示,就是使用用户装置1实现付款账户F的隐藏输出的实施例。本实施例一种隐藏用户标识数据的装置所关联的装置如图3所示。装置由单向函数装置11、随机数装置12、用户标识数据存储装置13及通讯装置14组成。
当用户装置1通过通讯装置14连接到其他设备,接收到要求提供隐藏标识命令后,从用户标识数据存储装置13获得用户标识F,从随机数装置获得随机数R,提供给单向函数装置计算(H(F),H(F||R),R),并把结果通过通讯装置14传送到连接的其他设备;
本实施例使用用户装置1隐藏付款账户的输出,实现了对付款账户隐藏。这里付款账户就是用户标识数据。随机数装置12生产的随机数R,是为了使每次产生的(H(F),H(F||R),R)都不一致。如果攻击者通过连接用户装置计算(H(F),H(F||R),R)来猜测F,由于R为时间+随机数,以利于可以检查隐藏标识产生的时间,增加安全性,防止了重放(H(F),H(F||R),R)攻击。就是说随机数装置,可以生成固定数(不安全)、时间(简单随机,较安全)、时间+真随机数(最安全)。显然也可以是接收的从用户装置外部传送过来的随机数R,最好是外部随机数R+时间+真随机数。显然,还可以加入用户装置1的地理位置信息,这样在用户装置1上还需要增加获得地理位置的装置。
现实中,用户设备与确认设备可能处于一个物理设备中,如手机、手表、PDA或其他设备。逻辑上是两个设备。
在现有技术中,一般是用户申明用户名(PAN),然后提交相应的身份认证数据。对服务器而言,首先是用用户名(PAN)在客户数据库中查找对应数据项信息,然后用接收到的身份认证数据与数据项中的身份认证数据,进行身份认证。但是,事实上服务器掌握的用户名(PAN)及客户掌握的用户名(PAN),本身也是可以作为秘密。这样,可以把用户名(PAN)看成密钥用传统技术认证两边是否一致,即有很多传统的认证服务器和客户掌握同样用户名(PAN)的认证技术。但是这样产生一个问题,就是客户服务器没法知道,如何选择用户名(PAN)对客户的用户名(PAN)进行一致性认证。当然可以采用对所有用户名(PAN),进行匹配认证。这样显然效率太差。所以我们选择,用单向函数加密用户名(PAN),实现确认用户名(PAN)一致性的工作。
与传统的动态令牌技术相比,同样可以采用时间、次数及挑战随机数等因素,进行一致性的身份认证。但是本发明没有传统的用于申明用户的用户名,也没有密钥的概念。所以没有任何密钥分配。这样,这种隐藏用户名(PAN)的技术没有限制到任何特定网站。只要加入网站名进入单向函数的计算,就可以实现多个网站的用户名(PAN)的隐藏式输入,条件是认证的网站有与客户一致的用户名(PAN)。
与实施例1和2类似,H(F||R)标识认证数据还可以加入其它数据,如金额等。
[实施例4]
本实施例一种隐藏用户标识数据所关联的方法和系统如图4所示。系统由安全装置1、使用装置3及网络2。使用装置3内有用户装置31。其中安全装置1与使用装置3通过网络2连接。用户装置31包括:F、PIN及单向函数H;安全装置1包括:用户表(F,H(F),PIN)及单向函数H。其中F为主账号(PAN)。
安全装置1的用户表建立步骤为:
1、任意安全计算机终端登录安全装置1;
2、输入用户名F及PIN;
3、安全装置1建立用户表项:(F,H(F),PIN)。
登陆的步骤为:
1、用户装置31有随机数R,得到F及PIN,计算(H(F),H(F||R||PIN),R),通过使用装置传送到安全装置1;
2、安全装置1收到(H(F),H(F||R||PIN),R),根据H(F),查找用户表得(F1,H(F),PIN1);根据R、F1及PIN1,计算H(F1||R||PIN1);如果H(F1||R||PIN1)=H(F||R||PIN),表明F1=F及PIN1=PIN。
判定为合法用户,允许进行进一步的工作,如登陆。
步骤1中的随机数R可以由安全装置1产生,传送到使用装置3,然后传送到用户装置31,这样可以防止重放攻击。也可以由用户装置产生一个基于时间的数,如(随机数+时间)作为R,同样也可以防止重放攻击。还可以是用户装置31的地理位置信息。随机数R也可以包含使用装置3的地理位置信息。
本实施例在使用装置上输入用户名及密码,通过单向函数的计算,实现了对用户名标识数据的隐藏。
显然,H(F)的作用就是用于安全装置1查找F对应的数据项,所以称为标识检索数据,而H(F||R||PIN)的作用是确认安全装置中的用户标识数据F,与用户装置中的F的一致性,所以称为标识认证数据,他同时也认证了PIN的正确性。标识检索数据及标识认证数据组成隐藏令牌。如果随机数R由用户装置产生,显然必须传送R到安全装置进行标识认证;这时隐藏令牌还包括随机数R。在APPLE_PAY中实际的标识有两个,即安全装置与用户装置可能都拥有同样的TONKEN和PAN,都可以用来生成标识检索数据和标识认证数据。就是说,利用安全装置和用户装置共同拥有的数据,都可以看成标识,实现标识的隐藏声明。
本实施例的本质就是现在的网站注册登陆流程。目前网站登陆存在钓鱼网站的攻击。由于使用装置在登陆安全装置之前,如果没有密钥分配共享公开和秘密数据,那么用户名和密码就只能或相当于只能明文传送到安全装置。这样,当使用装置误入钓鱼网站,那么自己的用户名及密码就传送到钓鱼网站。
现在对付钓鱼网站的办法,其一是用户装置是由安全装置通过安全途径发放到使用装置,这样可以认为他们之间可以进行密钥协商,然后加密交互数据。其二是对安全装置的登陆界面进行签名,而用用户装置进行签名认证来防止钓鱼网站。
第一个解决方案,本质是每个网站都要分发用户装置。那么分发过程的安全性保证就是一个很大的问题。第二个解决方案的本质是认证签名的正确性,又是PKI的一套,对于没有签名的网站无法区分合法性。同时PKI签名在市场上多家经营,相互认证也是一个困难的工作。而实施例4,表明只要大家遵守同样的标准数据格式,和使用相同的单向函数,那么就能实现统一的登陆。
显然,使用装置可以是用户使用的计算机,而浏览器可以看成用户装置。这就是浏览器的防钓鱼网站的方法、装置和系统。因为当我们进入钓鱼网站后,钓鱼网站能够得到(H(F),H(F||R||PIN),R),但是他没有F(钓鱼目标),所以无法确定F;他没有PIN(钓鱼目标),也无法确定PIN。唯一的攻击方法是,找到F1及PIN1使得(H(F1)=H(F),H(F1||R||PIN1)=H(F||R||PIN)。首先找到这样的碰撞很困难,同时由于单向函数的特点,即使找到这样的碰撞,也不能得到F1=F,PIN1=PIN的结论。
这里安全装置可以是网站,使用装置可以是计算机或者手机等终端,用户装置可以是浏览器、邮件客户端等需要登录网站的应用程序。
[实施例5]加盐及对称加密算法
本实施例一种隐藏用户标识数据所关联的方法和系统如图4所示。系统由安全装置1、使用装置3及网络2。使用装置3内有用户装置31。其中安全装置1与使用装置3通过网络2连接。
用户装置31包括:F、PIN、单向函数H及对称密码算法DES。安全装置1包括:用户表(F,H0(F),H(PIN||SZ))、单向函数H、盐值SZ及对称密码算法DES;其中F为用户名(PAN),SZ为盐。这里H0(F)表示H(F)的前一半字节(如SM3的前128位),H1(F)表示H(F)的后一半字节(如SM3的后128位)。
安全装置1的用户表建立步骤为:
1、任意安全计算机终端登录安全装置1;
2、输入注册用户名F及PIN,安全装置1有盐值SZ及H;
3、安全装置1建立用户表项:(F,H0(F),H(PIN||SZ))。
登陆的步骤为:
1、用户装置31有随机数R,得到F及PIN,计算(H0(F),DESH1(F)(F⊕R⊕PIN),R),通过使用装置传送到安全装置1;
2、安全装置1收到(H0(F),DESH1(F)(F⊕R⊕PIN),R),根据H0(F),查找用户表得到(F1,H0(F),H(PIN1||SZ));根据R并假设F=F1,PIN1=DESH1(F)(DESH1(F)(F⊕R⊕PIN1))⊕R⊕F,有盐值SZ,计算H(PIN1||SZ);如果H(PIN1||SZ)=H(PIN||SZ),表明F1=F;同时表明PIN1=PIN。
则判定为合法用户,允许进行进一步的工作,如登陆。
步骤1中的随机数R可以由安全装置1产生,传送到使用装置3,然后传送到用户装置31,这样可以防止重放攻击。也可以由用户装置产生一个基于时间的数,如(随机数+时间)作为R,同样也可以防止重放攻击。还可以是用户装置31的地理位置信息。随机数R也可以包含使用装置3的地理位置信息。
这里用H(F)的前半部分为标识检索数据,后半部分为DES的密钥。显然从前半部分不可能得到后半部分。但是在有F的时候,容易得到这两部分。
而实施例4,表明只要大家遵守同样的标准数据格式,和使用相同的单向函数,那么就能实现统一的登陆,并防止钓鱼网站的钓鱼。
使用对称加密算法的核心是如何得到加密解密的密钥,本专利申请的核心是不进行密钥分配工作。所以,就只能利用安全装置与用户装置共同拥有的用户名F、PIN及R来实现。实施例用的是H1(F),即H(F)的后一半。其实也可以使用H(F||R)的一部分来实现,只要安全装置能够从H0(F)找到相关的数据项,然后根据数据项能够得到正确的密钥即可。由于安全装置要保护PIN,并使用加盐来防止攻击;而不同安全装置的盐值不同,也不会对用户装置公开。所以不能使用PIN的数据来产生密钥,那么有下列满足网站(安全装置)使用加盐保护用户PIN码数据的实施例。
这里安全装置可以是网站,使用装置可以是计算机或者手机等终端,用户装置可以是浏览器、邮件客户端等需要登录网站的应用程序。
[实施例6]检索数据捆绑PIN
本实施例一种隐藏用户标识数据所关联的方法和系统如图4所示。系统由安全装置1、使用装置3及网络2。使用装置3内有用户装置31。其中安全装置1与使用装置3通过网络2连接。
用户装置31包括:F、PIN、单向函数H及对称密码算法DES。安全装置1包括:用户表(F,H0(F||PIN),H(PIN||SZ))、单向函数H及对称密码算法DES;其中F为用户名(PAN),SZ为盐。这里H0(F)表示H(F)的前一半字节(如SM3的前128位),H1(F)表示H(F)的后一半字节(如SM3的后128位)。
安全装置1的用户表建立步骤为:
1、任意安全计算机终端登录安全装置1;
2、输入注册用户名F及PIN,安全装置1有盐值SZ;
3、安全装置1建立用户表项:(F,H0(F||PIN),H(PIN||SZ))。
登陆的步骤为:
1、用户装置31有随机数R,得到F及PIN,计算(H0(F||PIN),DESH1(F)(F||PIN⊕R),R),通过使用装置传送到安全装置1;
2、安全装置1收到(H0(F||PIN),DESH1(F)(F||PIN⊕R),R),根据H0(F||PIN),查找用户表得到(F1,H0(F||PIN),H(PIN1||SZ));有R,假设F1=F,则DESH1(F)(DESH1(F)(F||PIN⊕R))中可以分离的到PIN,安全装置有盐值SZ,计算H(PIN||SZ);如果H(PIN||SZ)=H(PIN1||SZ),表明F1=F;同时表明PIN1=PIN。则判定为合法用户,允许进行进一步的工作,如登陆。
步骤1中的随机数R可以由安全装置1产生,传送到使用装置3,然后传送到用户装置31,这样可以防止重放攻击。也可以由用户装置产生一个基于时间的数,如(随机数+时间)作为R,同样也可以防止重放攻击。还可以是用户装置31的地理位置信息。随机数R也可以包含使用装置3的地理位置信息。
这里用H(F)的前半部分为标识检索数据,后半部分为DES的密钥。显然从前半部分不可能得到后半部分。但是在有F的时候,容易得到这两部分。其实也可以使用H(F||R)的一部分来实现,只要安全装置与用户装置的密钥同步即可。
而实施例4,表明只要大家遵守同样的标准数据格式,和使用相同的单向函数,使用相同的对称加密算法,使用同步的密钥算法,那么就能实现统一的登陆,并防止钓鱼网站的钓鱼。
从本实施例可以看出,标识检索数据可以不是单向函数产生的所有数据。也可以使用其中部分作为标识检索数据。使用哪部分只要安全装置与用户装置一致即可。从本实施例也可以看出,还可以用标识数据单向函数结果的部分构建对称加密的密钥,来保证安全装置在有对应用户名时,能够安全传送身份认证数据(如PIN)。
本实施例还说明了一种使用身份认证数据及标识数据,共同生成标识检索数据的实施例。
实施例4、5或6实际上就是防止钓鱼网站,防止通过钓鱼的方法获得用户的用户名及密码的方法。
这里安全装置可以是网站,使用装置可以是计算机或者手机等终端,用户装置可以是浏览器、邮件客户端等需要登录网站的应用程序。
上述所有实施例中,安全装置可以与银行直接连接,也可以与银行收单机构通过网络连接,甚至安全装置就是银行收单机构或银行。当然通过网络连接应该增加密码技术保证信息从安全装置到银行收单机构的安全性。在以上的实施例中,装置之间的数据传送,在叙述时有的没有采用加密技术。两个设备通信的加密技术及密钥分配,对称密码体制和公开密码体制这些技术都是公知技术。我们的实施例都可以使用这些技术实现通信的加密。为叙述方便,就不具体一一叙述。
在实施例2中,我们使用在确认装置上输入PIN码来表示输入身份认证数据。但是实际上,由于确认装置大多数情况下是手持通讯设备,有很强的计算能力。所以完全可以采用更强的身份认证协议和数据,如零知识身份认证协议。总之,确认装置通过与安全装置或关联服务器的连接,把身份认证所需的数据传送上去,用于关联付款账户,然后共同构成支付数据,或生成支付数据。
以上用实施例来说明本发明的方法。但是本发明并不完全限定用于银行应用,显然也可以应用于网络游戏,还有其他需要隐藏用户名或用户标识的应用。尽管在以上的实施例中对本发明进行了描述,但可以理解,以上实施例的描述是说明性的而非限制性的,本领域的熟练技术人员可以理解,在不脱离由权利要求书定义的本发明的精神和范围的前提下,可做出各种变形、改进、修改和替换。
Claims (4)
1.一种隐藏用户标识数据的方法,用于网站身份验证,它包括:
A、用户装置根据用户标识数据,使用单向函数计算,取计算结果的一部分作为标识检索数据,另一部分作为对称密码函数的密钥;
B、用户装置根据随机数、PIN码及用户标识数据,使用对称密码函数计算得到标识认证数据;
C、标识检索数据及标识认证数据组成隐藏令牌,传送到安全装置;
D、安全装置根据隐藏令牌的标识检索数据,找到相关用户标识数据项,并根据随机数、找到的用户标识数据,通过对称密码函数解密计算得到PIN码;
E、安全装置对计算得到的PIN码进行加盐计算,若其结果与安全装置自身建立用户表项中的PIN码加盐计算值相同,则标识数据及PIN码合法。
2.根据权利要求1的方法,其特征在于步骤B中的随机数可以是时间数据、或使用次数数据、或临时产生的随机数、或地理位置信息、或身份认证数据、或接收到的随机数或以上组合。
3.根据权利要求1的方法,其特征在于步骤C还有使用装置传送收款账户及金额到安全装置的步骤。
4.根据权利要求1的方法,其特征在于步骤D后,还有安全装置转换用户标识数据为主账号PAN的步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510268747X | 2015-05-25 | ||
| CN201510268747 | 2015-05-25 | ||
| PCT/CN2016/083130 WO2016188401A1 (zh) | 2015-05-25 | 2016-05-24 | 一种隐藏用户标识数据的装置、方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107615797A CN107615797A (zh) | 2018-01-19 |
| CN107615797B true CN107615797B (zh) | 2021-01-26 |
Family
ID=57392518
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680029857.3A Active CN107615797B (zh) | 2015-05-25 | 2016-05-24 | 一种隐藏用户标识数据的装置、方法和系统 |
| CN201680029862.4A Expired - Fee Related CN107615704B (zh) | 2015-05-25 | 2016-05-24 | 一种网络防钓鱼的装置、方法和系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680029862.4A Expired - Fee Related CN107615704B (zh) | 2015-05-25 | 2016-05-24 | 一种网络防钓鱼的装置、方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (2) | CN107615797B (zh) |
| WO (2) | WO2016188402A1 (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108564373A (zh) * | 2018-03-16 | 2018-09-21 | 阿里巴巴集团控股有限公司 | 支付方法、装置及设备 |
| CN108805540B (zh) * | 2018-05-04 | 2021-10-29 | 中电信用服务有限公司 | 一种支付处理系统、方法和数字对象标识 |
| CN112261005B (zh) * | 2020-09-27 | 2022-12-06 | 中孚安全技术有限公司 | 一种Web安全登录密码的隐藏方法及系统 |
| CN115630400B (zh) * | 2022-12-21 | 2023-05-26 | 中电科网络安全科技股份有限公司 | 一种去标识化数据的查询方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101667255A (zh) * | 2008-09-04 | 2010-03-10 | 华为技术有限公司 | 一种射频识别的安全认证方法、装置及系统 |
| CN102075937A (zh) * | 2011-01-06 | 2011-05-25 | 西安电子科技大学 | 移动ip注册时实现移动节点身份匿名性的方法 |
| CN102136079A (zh) * | 2011-03-07 | 2011-07-27 | 中兴通讯股份有限公司 | 一种读写器与标签卡之间的动态认证方法及实现装置 |
| CN102624740A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种数据交互方法及客户端、服务器 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050119133A (ko) * | 2003-03-21 | 2005-12-20 | 코닌클리케 필립스 일렉트로닉스 엔.브이. | 허가 증명서들내의 사용자 신분 프라이버시 |
| US7751584B2 (en) * | 2003-11-14 | 2010-07-06 | Intel Corporation | Method to provide transparent information in binary drivers via steganographic techniques |
| US7434050B2 (en) * | 2003-12-11 | 2008-10-07 | International Business Machines Corporation | Efficient method for providing secure remote access |
| US7970143B2 (en) * | 2005-08-05 | 2011-06-28 | Hewlett-Packard Development Company, L.P. | System, method and apparatus to obtain a key for encryption/decryption/data recovery from an enterprise cryptography key management system |
| CN101471770B (zh) * | 2007-12-24 | 2011-08-03 | 毛华 | 问答式双向身份、交易确认方法 |
| CN102143190B (zh) * | 2011-05-11 | 2015-05-20 | 江汉大学 | 一种安全登陆方法和装置 |
| CN102195782A (zh) * | 2011-06-07 | 2011-09-21 | 吉林大学 | 身份与口令相融合的邮件系统双向身份认证方法 |
| JP5275432B2 (ja) * | 2011-11-11 | 2013-08-28 | 株式会社東芝 | ストレージメディア、ホスト装置、メモリ装置、及びシステム |
| CN103139136B (zh) * | 2011-11-22 | 2016-06-08 | 阿里巴巴集团控股有限公司 | 一种密码的管理方法和设备 |
| US20130226812A1 (en) * | 2012-02-24 | 2013-08-29 | Mads Landrok | Cloud proxy secured mobile payments |
| CN103415011B (zh) * | 2013-08-05 | 2015-12-23 | 浙江工商大学 | 车载自组织网络的基于智能卡安全认证方法 |
| CN103595710B (zh) * | 2013-10-25 | 2016-11-23 | 北京交通大学 | 一种一体化标识网络连接标识生成方法 |
| CN104408623A (zh) * | 2014-10-11 | 2015-03-11 | 福建升腾资讯有限公司 | 一种适用于支付产品的身份认证方法 |
-
2016
- 2016-05-24 WO PCT/CN2016/083135 patent/WO2016188402A1/zh active Application Filing
- 2016-05-24 CN CN201680029857.3A patent/CN107615797B/zh active Active
- 2016-05-24 WO PCT/CN2016/083130 patent/WO2016188401A1/zh active Application Filing
- 2016-05-24 CN CN201680029862.4A patent/CN107615704B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101667255A (zh) * | 2008-09-04 | 2010-03-10 | 华为技术有限公司 | 一种射频识别的安全认证方法、装置及系统 |
| CN102075937A (zh) * | 2011-01-06 | 2011-05-25 | 西安电子科技大学 | 移动ip注册时实现移动节点身份匿名性的方法 |
| CN102136079A (zh) * | 2011-03-07 | 2011-07-27 | 中兴通讯股份有限公司 | 一种读写器与标签卡之间的动态认证方法及实现装置 |
| CN102624740A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种数据交互方法及客户端、服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2016188402A1 (zh) | 2016-12-01 |
| CN107615704B (zh) | 2021-06-25 |
| WO2016188401A1 (zh) | 2016-12-01 |
| CN107615797A (zh) | 2018-01-19 |
| CN107615704A (zh) | 2018-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11258777B2 (en) | Method for carrying out a two-factor authentication | |
| RU2710897C2 (ru) | Способы безопасного генерирования криптограмм | |
| US9258296B2 (en) | System and method for generating a strong multi factor personalized server key from a simple user password | |
| JP5066827B2 (ja) | 移動装置を用いる認証サービスのための方法及び装置 | |
| US9338163B2 (en) | Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method | |
| US20100051686A1 (en) | System and method for authenticating a transaction using a one-time pass code (OTPK) | |
| US20090172402A1 (en) | Multi-factor authentication and certification system for electronic transactions | |
| CN1954308A (zh) | 安全信息传输的系统和方法 | |
| GB2434724A (en) | Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters | |
| CN101577917A (zh) | 一种安全的基于手机的动态密码验证方法 | |
| CN101589569A (zh) | 至网络中的客户端设备的安全口令分发 | |
| CN107615797B (zh) | 一种隐藏用户标识数据的装置、方法和系统 | |
| CN103971241A (zh) | 一种双通道支付的方法和系统 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| CN113507372A (zh) | 一种接口请求的双向认证方法 | |
| CN110866754A (zh) | 一种基于动态口令的纯软件dpva身份认证方法 | |
| WO2015110043A1 (zh) | 一种双通道身份认证选择的装置、系统和方法 | |
| TW201723948A (zh) | 線下支付方法、終端設備、後臺支付裝置及線下支付系統 | |
| CN101425901A (zh) | 一种在处理终端中用于对用户身份验证的控制方法及装置 | |
| WO2012163970A1 (en) | Method for generating an anonymous routable unlinkable identification token | |
| KR20140046674A (ko) | 클라우드 공인인증 시스템 및 그 제공방법 | |
| CN117350715A (zh) | 支付方法、账户配置方法、系统、装置、设备和介质 | |
| CN106415636B (zh) | 一种隐藏用户标识数据的装置、方法和系统 | |
| Vishwakarma et al. | Cryptanalysis of Near Field Communication Based Authentication Protocol for Mobile Payment System | |
| Reddy et al. | A comparative analysis of various multifactor authentication mechanisms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |