使用带外通道进行用户认证的方法和系统的制作方法
【专利说明】使用带外通道进行用户认证的方法和系统
[0001 ] 优先权要求
[0002]根据美国专利法第35章第119条,本申请要求于2013年7月3日提交的美国临时专利申请,申请号为61/842,386的专利优先权。其公开内容在此被引入作为参考。
[0003]交叉引用
[0004]本申请为2012年9月2日提交的第13/602,197号美国专利申请的的继续申请,其公开内容在此被引入作为参考。
技术领域
[0005]本发明涉及在线用户认证的方法和系统。更具体地说,本发明涉及使用带外通道(out-of-band channe I s)进行用户认证的技术。
【背景技术】
[0006]很多在线活动,如牵涉到访问个人及保护信息之在线购买和在线支付,往往需要用户认证。最常见之用户认证形式为用户使用用户标识和密码进行登录。然而,这种用户认证形式有不少缺点,包括忘记密码、用户标识和/或密码被盗、密码太简单等,导致安全性较差。如今也开发出了其他多因素强认证的方法和系统;但大多数都不能够在不牺牲用户方便性的情况下保持强安全性。因此,需要有一种能支持强安全性且只需用户最小努力的身份认证的方法和系统。
【发明内容】
[0007]本发明的目的之一,是提供一种使用移动通信设备进行在线用户认证的方法和系统。由于移动通信设备已事先在用户认证系统中注册完毕,并可唯一地识别认证用户,所以它可充用户认证的带外通道。本发明进一步的目的是提供一种支持强安全性的方法和系统,让用户只需记住并提供一个用于认证的安全个人识别码。
[0008]本发明的优选方案中,本发明可作为美国专利申请号为13/602,197之安全移动支付系统的一个扩展部分。
[0009]本发明的优选方案中,包含:可通过通信网络访问的中央处理服务器,比如通过因特网;多个用户;可访问中央处理服务器的移动通信设备和客户端计算设备;以及可访问中央处理服务器的第三方计算处理器。
[0010]本发明的优选方案中,中央处理服务器之功能包含用户认证,用于管理用户帐号的用户帐号管理,其中用户帐号记录包含用户标识及认证凭证,它们都被安全地存储在一数据库里。
[0011]本发明的优选方案中,中央处理服务器包括让用户可使用各种计算设备和移动通信设备以运行网络浏览器应用程序完成用户交互的多个用户界面。此外,中央处理服务器还包括用于机对机集成的服务器端后端应用程序编程接口(API),使在第三方计算处理器中运行的特别开发之应用程序能够与中央处理服务器通信。这些用户界面和服务器端后端API的功能包括但不限于:由用户完成的用户认证、用户帐号管理和网上购物,由管理员完成的系统管理,由用户完成的在线购物清单、支付和用户全程管理。
[0012]本发明的优选方案中,每个移动通信设备配有相机或扫描仪以便对计算机生成之编码数据,例如条形码,进行光学图像采集。本发明中,移动通信设备被配置为可处理所采集的编码数据图像并与中央服务器处理交换数据,以完成上述之各种功能,例如用户认证。
[0013]中央处理服务器和其数据库、用户界面及服务器端后端API,与运行安全移动交易移动应用程序的移动通信设备一起,组成安全移动交易系统。本发明中,安全移动交易系统内的每个用户帐号在任一时刻只可与单个移动通信设备相关联。
[0014]本发明的一个优选方案中,已经注册并在安全移动交易系统里创建了有效用户帐号的用户,可使用其已在安全移动交易系统注册并配对的移动通信设备来进行认证,以对受保护的第三方应用程序进行访问,例如由第三方处理服务器提供的第三方网站,或者对由中央处理服务器提供的一个或多个保护的用户界面进行访问。用户认证方法包括:中央处理服务器从随机生成的会话码而生成编码数据,如QR码;第一移动通信设备或第一客户端计算设备向用户展示包含用户认证QR码的登录页面以供认证使用;用户使用已在中央处理服务器中注册并与用户帐号配对的第二移动通信设备来对QR码进行图像采集,并向中央处理服务器发送解码的QR码数据;中央处理服务器对解码的QR码数据与会话号进行匹配确认;基于有效的确认,则用户在第二移动通信设备输入其安全个人识别码并发送至中央处理服务器以进行确认;基于有效的确认,进而完成用户认证
【附图说明】
[0015]下面将结合附图对本发明的实施例作进一步说明,其中,
[0016]图1是本发明一个实施例中安全移动交易系统的原理框图;
[0017]图2是本发明一个实施例中使用安全移动交易系统的流程图;
[0018]图3是本发明一个实施例中使用安全移动交易系统进行用户认证过程中展示的用户界面图。
【具体实施方式】
[0019]在以下的描述中,基于优选的实施例展示了一种使用带外通道进行在线用户认证的方法和系统,其中包括第三方移动应用程序与安全移动支付系统之间的集成,通信以及数据交换。本领域的技术人员可以理解的是,在此基础上的修改,包括增添或替代,均未脱离本发明的范围。
[0020]邏
[0021]请参考图1,本实施例中,包含:可通过第一通信网络104,例如因特网对其进行访问的中央处理服务器105;电信网络,或任何支持TCP/IP协议的网络;多个用户101,每个用户都关联了一个用户帐号;可通过第一通信网络104访问中央处理服务器105的移动通信设备102;可访问中央处理服务器105和第三方处理服务器107的客户端计算设备103,具体可通过第二通信网络106,它可以是与第一通信网络104相同的网络,或者是单独的通信网络,可为因特网、电信网络、或者为任何支持TCP/IP协议的网络。
[0022]本实施例中,中央处理服务器105的功能包括:用户认证,用于管理用户帐号的用户帐号管理,其中用户帐号记录包含用户标识及认证凭证。
[0023]本实施例中,中央处理服务器105包括让用户可使用移动通信设备102和客户端计算设备13访问的至少一组用户界面。所述用户界面组包括互动交易网页,后者可在运行于移动通信设备102与客户端计算设备103中的web浏览器应用程序中显示,以及在运行于移动通信设备102中的特别开发移动应用程序的用户界面中显示。此种用户界面之典型例子是在苹果公司开发的1S操作系统上运行的移动应用程序(App)。另一典型例子是在谷歌公司开发的安卓操作系统上运行的移动应用程序(App)。中央处理服务器还提供了另一组供系统管理用户使用的用户界面。
[0024]除用户界面组之外,中央处理服务器105还包括用于机对机集成的服务器端后端应用程序编程接口(API),使在第三方计算处理器107中运行的特别开发之应用程序能够与中央处理服务器105通信。本实施例中,通过服务器后端API的机对机数据交换支持工业标准,包括但不限于XML和JSON。
[0025]这些用户界面和服务器端后端API的功能包括但不限于:由用户完成的用户认证、用户帐号管理和网上购物,由管理员完成的系统管理,由用户完成的在线购物清单、支付和用户全程管理。
[0026]本实施例中,中央处理服务器105包括一数据库