认证系统、认证服务提供设备与方法、和计算机可读介质的制作方法

文档序号:7654793阅读:150来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:认证系统、认证服务提供设备与方法、和计算机可读介质的制作方法
技术领域
本发明涉及认证系统、认证服务提供设备、认证服务提供方法和 计算机可读介质。
背景技术
在相关技术领域中,作为典型认证系统,己知一种系统,在该系统中客户端设备发送用户的认证信息(诸如用户ID和密码)给服务器 设备并且服务器设备基于该认证信息来对该用户进行认证。近年来,已经提出了一种系统作为较安全的认证系统,该系统应 用双因素、双路(two-factor,two-route)认证(例如,参考JP 2002-251375 A和JP 2001-282742 A)。在JP2002-251375A的系统中,计算机给认证服务器传送用户输 入的用户ID和密码。该认证服务器基于该用户ID和密码执行第一认 证,并且,当认证成功时,该认证服务器生成确认码并将该确认码发 送到预定便携式终端。用户通过该便携式终端获取该确认码并将该确 认码输入到计算机。该计算机将输入的确认码传送到认证服务器,并 且认证服务器基于所接收的确认码执行第二认证。在JP2001-282742 A的系统中,用户设备给用于应用的认证服务 器传送用户输入的个人标识符和密码,并且用于应用的认证服务器基 于所接收的个人标识符和密码执行认证。然后,用户响应于来自用于 应用的认证服务器的指令,从便携式终端呼叫用于访问的认证服务 器。用于访问的认证服务器将呼叫者号码和密码传送到用于应用的认 证服务器,并且用于应用的认证服务器基于呼叫者号码和密码执行认 证。本发明有利地提供了一种认证系统,其中以简单的结构实现了双 因素、双路认证。 发明内容根据本发明的一方面,提供了一种认证系统,包括第一信息处 理器;第二信息处理器;认证服务提供设备;和认证设备,其中,第 二信息处理器具有第二认证信息传送单元,其将用于对用户进行认 证的第二认证信息传送到认证服务提供设备;和认证信息获取单元, 其获取由认证服务提供设备响应于第二认证信息发出的第三认证信 息;认证服务提供设备具有第二认证单元,其从第二信息处理器接 收第二认证信息,并基于该第二认证信息执行第二认证;和认证信息 发出单元,其当第二认证成功时发出第三认证信息给第二信息处理 器;第一信息处理器具有第一认证信息传送单元,其接收用于对用 户进行认证的第一认证信息的输入,并将该第一认证信息传送到认证 设备;和第三认证信息传送单元,其接收由第二信息处理器获取的第 三认证信息的输入,并将该第三认证信息传送给认证设备;并且认证 设备具有第一认证单元,其从第一信息处理器接收第一认证信息,并基于该第一认证信息执行第一认证;和第三认证结果获取单元,其 从第一信息处理器接收第三认证信息,并与认证服务提供设备协作来 获取基于第三认证信息的第三认证的结果。根据本发明的另一方面,提供了一种认证系统,包括认证服务 提供设备;和认证设备,其中,认证服务提供设备具有第二认证单 元,其从第二信息处理器接收用于对用户进行认证的第二认证信息,并基于该第二认证信息执行第二认证;和认证信息发出单元,其当第 二认证成功时发出第三认证信息给第二信息处理器;并且认证设备具 有第一认证单元,其从第一信息处理器接收用于对用户进行认证的 第一认证信息,并基于该第一认证信息执行第一认证;和第三认证结 果获取单元,其从第一信息处理器接收由第二信息处理器获取的、并 输入到第一信息处理器的第三认证信息,并与认证服务提供设备协作 来获取基于第三认证信息的第三认证的结果。根据本发明的另一方面,提供了一种认证服务提供设备,包括 第二认证单元,其从第二信息处理器接收用于对用户进行认证的第二 认证信息,并基于该第二认证信息执行第二认证;和认证信息发出单 元,其当第二认证成功时发出第三认证信息给第二信息处理器;和第 三认证单元,其从认证设备接收第三认证信息,并基于所接收的第三 认证信息和所发出的第三认证信息执行第三认证,并将第三认证的结 果报告给认证设备,其中所述认证设备从第一信息处理器接收用于对 用户进行认证的第一认证信息,基于该第一认证信息执行第一认证, 并从第一信息处理器接收由第二信息处理器获取的、并输入到第一信 息处理器的第三认证信息。根据本发明的另一方面,第三认证单元可以从认证设备接收传送 第三认证信息的第一信息处理器的标识信息以及第三认证信息。根据本发明的另一方面,认证服务提供设备还可包括欺诈信息 通知单元,其当第一认证成功而第三认证失败时报告涉及欺诈的信 息。根据本发明的另一方面,第三认证信息可以具有有效期并且是一 次性信息。根据本发明的另一方面,提供了一种认证服务提供设备,包括 第二认证单元,其从第二信息处理器接收用于对用户进行认证的第二 认证信息,并基于该第二认证信息执行第二认证;认证信息发出单元, 其当第二认证成功时发出第三认证信息给第二信息处理器;和认证信 息提供单元,其将发出的第三认证信息提供给认证设备,所述认证设 备从第一信息处理器接收用于对用户进行认证的第一认证信息,基于 该第一认证信息执行第一认证,并从第一信息处理器接收由第二信息 处理器获取的、并输入到第一信息处理器的第三认证信息。根据本发明的另一方面,提供了一种用于提供认证服务的方法, 包括从第二信息处理器接收用于对用户进行认证的第二认证信息, 并且基于该第二认证信息执行第二认证;当第二认证成功时发出第三 认证信息给第二信息处理器;并且从认证设备接收第三认证信息,基 于所接收的第三认证信息和所发出的第三认证信息执行第三认证,并 且将第三认证的结果报告给认证设备,其中所述认证设备从第一信息 处理器接收用于对用户进行认证的第一认证信息,基于该第一认证信
息执行第一认证,并从第一信息处理器接收由第二信息处理器获取 的、并输入到第一认证处理器的第三认证信息。根据本发明的另一方面,提供了一种用于提供认证服务的方法, 包括从第二信息处理器接收用于对用户进行认证的第二认证信息, 并且基于该第二认证信息执行第二认证;当第二认证成功时发出第三 认证信息给第二信息处理器;并且将所发出的第三认证信息提供给认 证设备,所述认证设备从第一信息处理器接收用于对用户进行认证的 第一认证信息,基于该第一认证信息执行第一认证,并从第一信息处 理器接收由第二信息处理器获取的、并输入到第一认证处理器的第三认证信息o根据本发明的另一方面,提供了一种计算机可读介质,其存储有使计算机执行用于提供认证服务的处理的程序,该处理包括从第二 信息处理器接收用于对用户进行认证的第二认证信息,并且基于该第 二认证信息执行第二认证;当第二认证成功时发出第三认证信息给第 二信息处理器;并且从认证设备接收第三认证信息,基于所接收的第 三认证信息和所发出的第三认证信息执行第三认证,并且将第三认证 的结果报告给认证设备,其中所述认证设备从第一信息处理器接收用 于对用户进行认证的第一认证信息,基于该第一认证信息执行第一认 证,并从第一信息处理器接收由第二信息处理器获取的、并输入到第 一认证处理器的第三认证信息。根据本发明的另一方面,提供了一种计算机可读介质,其存储有 使计算机执行用于提供认证服务的处理的程序,该处理包括从第二 信息处理器接收用于对用户进行认证的第二认证信息,并且基于该第 二认证信息执行第二认证;当第二认证成功时发出第三认证信息给第 二信息处理器;并且将所发出的第三认证信息提供给认证设备,所述 认证设备从第一信息处理器接收用于对用户迸行认证的第一认证信 息,基于该第一认证信息执行第一认证,并从第一信息处理器接收由 第二信息处理器获取的、并输入到第一认证处理器的第三认证信息。根据本发明的另一方面,提供了一种认证系统,包括第一信息 处理器;第二信息处理器;认证服务提供设备;和认证设备,其中,
第二信息处理器具有第二认证信息传送单元,其将用于对用户进行认证的第二认证信息传送到认证服务提供设备;认证服务提供设备具有 第二认证单元,其从第二信息处理器接收第二认证信息,并基于该第 二认证信息执行第二认证;第一信息处理器具有第一认证信息传送单 元,其接收用于对用户进行认证的第一认证信息的输入,并将该第一 认证信息传送到认证设备;并且认证设备具有第一认证单元,其从 第一信息处理器接收第一认证信息,并基于该第一认证信息执行第一 认证,以及第二认证结果检查单元,其与认证服务提供设备协作来检 査对于由第一认证信息所指定的用户的第二认证是否成功。根据本发明的另一方面,提供了一种认证系统,包括认证服务 提供设备;和认证设备,其中,认证服务提供设备具有第二认证单元, 其从第二信息处理器接收用于对用户进行认证的第二认证信息,并基 于该第二认证信息执行第二认证;并且认证设备具有第一认证单元, 其从第一信息处理器接收用于对用户进行认证的第一认证信息,并基 于该第一认证信息执行第一认证;和第二认证结果检查单元,其与认 证服务提供设备协作来检査对于由第一认证信息所指定的用户的第 二认证是否成功。根据本发明的另一方面,提供了一种认证服务提供设备,包括第二认证单元,其从第二信息处理器接收用于对用户进行认证的第二 认证信息,基于该第二认证信息执行第二认证,并当第二认证成功时 将指示第二认证成功的信息与用于标识由第二认证信息所指定的用户的用户标识信息相关联地记录到第二认证结果存储器中;和第二认 证结果通知单元,其从认证设备接收用于标识由第一认证信息所指定 的用户的用户标识信息,并基于第二认证结果存储器所存储的内容通 知认证设备对于由用户标识信息所标识的用户的第二认证是否成功, 其中所述认证设备从第一信息处理器接收用于对用户进行认证的第 一认证信息,并基于该第一认证信息执行第一认证。根据本发明的另一方面,提供了一种用于提供认证服务的方法, 包括从第二信息处理器接收用于对用户进行认证的第二认证信息,基于该第二认证信息执行第二认证,并且当第二认证成功时将指示第
二认证成功的信息与用于标识由第二认证信息所指定的用户的用户标识信息相关联地记录到第二认证结果存储器中;并且从认证设备接 收用于标识由第一认证信息所指定的用户的用户标识信息,并基于第 二认证结果存储器所存储的内容通知认证设备对于由用户标识信息 所标识的用户的第二认证是否成功,其中所述认证设备从第一信息处 理器接收用于对用户进行认证的第一认证信息,并基于该第一认证信 息执行第一认证。根据本发明的另一方面,提供了一种计算机可读介质,其存储有使计算机执行用于提供认证服务的处理的程序,该处理包括从第二信息处理器接收用于对用户进行认证的第二认证信息,基于该第二认 证信息执行第二认证,并且当第二认证成功时将指示第二认证成功的 信息与用于标识由第二认证信息所指定的用户的用户标识信息相关联地记录到第二认证结果存储器中;并且从认证设备接收用于标识由 第一认证信息所指定的用户的用户标识信息,并基于第二认证结果存 储器所存储的内容通知认证设备对于由用户标识信息所标识的用户 的第二认证是否成功,其中所述认证设备从第一信息处理器接收用于 对用户进行认证的第一认证信息,并基于该第一认证信息执行第一认 证。


将参照下列附图详细描述本发明的示例性实施例,其中图1是示出包括根据本发明的第一示例性实施例的认证系统的系统的整体结构的框图;图2是示出包括根据第一示例性实施例的认证系统的系统的功能结构的框图;图3是示出包括根据第一示例性实施例的认证系统的系统的操 作过程的顺序图;图4是示出在第一示例性实施例中显示在第一信息处理器上的 示例性登陆页面的图;图5是示出在其中服务提供设备执行第三认证的本发明一方面
中的系统的功能结构的框图;图6是示出包括根据本发明的第二示例性实施例的认证系统的 系统的功能结构的框图;图7是示出包括根据第二示例性实施例的认证系统的系统的操 作过程的顺序图;图8是示出在第二示例性实施例中显示在第一信息处理器上的 示例性登陆页面的图。
具体实施方式
现在将根据附图描述本发明的示例性实施例。 [第一示例性实施例]图1是示出包括根据本发明的第一示例性实施例的认证系统的 系统1的整体结构的框图。在图1中,系统1具有第一信息处理器 10、和连接到第一信息处理器10的服务提供设备20A、 20B、和20C (以下统称为"服务提供设备20")。第一信息处理器10是从服务提供设备20接收提供的服务的设 备。服务提供设备20是给第一信息处理器IO提供服务的设备。在第 一示例性实施例中,第一信息处理器10是诸如用户使用的个人计算 机这样的客户端计算机,服务提供设备20是服务器计算机,并且第 一信息处理器10和服务提供设备20通过因特网Nl互相连接。没有 给服务提供设备20提供的服务强加特殊限制。例如,服务提供设备 20A、 20B、和20C可以分别提供银行服务、拍卖服务、和贸易服务。服务提供设备20是这样一个设备,其具有与认证设备相同的功 能,其中该认证设备用于对用户进行认证并且当用户的认证成功时给 用户的第一信息处理器IO提供服务。在第一示例性实施例中,为了 对用户进行认证,使用第一和第二认证,并且当两个认证都成功时提 供服务。现在将描述第一认证。第一信息处理器10从用户接收第一认证 信息(例如,用户ID和密码)的输入,并将该第一认证信息传送到服 务提供设备20。服务提供设备20从第一信息处理器10接收第一认
证信息,并基于第一认证信息执行第一认证。接下来,将描述第二认证。系统1具有第二信息处理器30、和 连接到第二信息处理器30的认证服务提供设备40,作为实现第二认 证的组成元件。第二信息处理器30是给认证服务提供设备40发送用于对用户进 行认证的第二认证信息的设备。认证服务提供设备40是从第二信息处理器30接收第二认证信息 并基于第二认证信息执行第二认证的设备。在第一示例性实施例中,第二信息处理器30是便携式电话并且 认证服务提供设备40是服务器计算机(例如,便携式电话公司的官方 站点)。第二信息处理器30和认证服务提供设备40经由便携式电话 网络N2互相连接。在第一示例性实施例中,如将描述的,通过第三认证来检査服务 提供设备20的第二认证的结果。当第二认证成功时,认证服务提供设备40向第二信息处理器30 发出第三认证信息(例如, 一次性密码),并且第二信息处理器30获 取来自认证服务提供设备40的第三认证信息。在该结构中,用户通 过第二信息处理器30获取来自认证服务提供设备40的第三认证信 息,并将第三认证信息输入到第一信息处理器10。第一信息处理器 10将输入的第三认证信息传送到服务提供设备20。服务提供设备20 接收来自第一信息处理器10的第三认证信息,并通过与认证服务提 供设备40协作来获取基于第三认证信息的第三认证的结果。具体地, 在第一示例性实施例中,服务提供设备20将从第一信息处理器10接 收的第三认证信息传送到认证服务提供设备40,认证服务提供设备 40基于第三认证信息执行第三认证,并将第三认证的结果通知给服 务提供设备20。即,服务提供设备20向认证服务提供设备40查询 第三认证信息是否准确。利用该处理过程,对第一信息处理器10的 用户是否是第二认证中成功的合法用户进行了检査。在第一示例性实施例中,第三认证信息可以用于所有(在图1中, 3个)服务提供设备20。换句话说,用户可以将从认证服务提供设备 40获取的第三认证信息用于任意服务。
在图1的示例结构中,示出了一个第一信息处理器10,但是多 个第一信息处理器10可以被连接到服务提供设备20。相似地,尽管 在图1的示例结构中示出了一个第二信息处理器30,但是多个第二 信息处理器30可以被连接到认证服务提供设备40。此外,尽管在图 1的示例结构中示出了三个服务提供设备20,但是一个或多个服务提 供设备20可以被连接到认证服务提供设备40。
图2是示出包括根据第一示例性实施例的认证系统的系统1的功 能结构的框图。现在将参照图2描述系统1中的设备10-40的功能结 构。
第二信息处理器30具有第二认证信息传送单元31和认证信息获
取单元32。
第二认证信息传送单元31向认证服务提供设备40传送用于对用 户进行认证的第二认证信息。第二认证信息例如可以是第二信息处理 器30的个体标识ID (例如,嵌入便携式电话的个体标识号码或便携 式电话的电话号码)、用户ID和密码、生物测定认证信息、电子证书、 或这些信息的组合等。
认证信息获取单元32获取根据第二认证信息从认证服务提供设 备40发出的第三认证信息。 [认证服务提供设备]
认证服务提供设备40具有第二认证单元41、认证信息发出单元 42、认证信息存储器43、和第三认证单元44。
第二认证单元41从第二信息处理器30接收第二认证信息,并基 于第二认证信息执行第二认证。这里,例如通过匹配所接收的第二认 证信息与提前注册在认证服务提供设备40中的第二认证信息来执行 第二认证。
当第二认证单元41进行的第二认证成功时,认证信息发出单元 42向请求的第二信息处理器30发出第三认证信息。
在第一示例性实施例中,第三认证信息具有有效期并且也是一次
性信息。换句话说,当有效期(例如, 一分钟)到期或当曾经为认证已 使用过第三认证信息时,第三认证信息变得无效。例如,第三认证信 息可以是包括随机数的密码。
认证信息存储器43存储由认证信息发出单元42发出的第三认证 信息。在第一示例性实施例中,认证服务提供设备40从认证信息存 储器43中删除有效期已到期或已经用于认证的第三认证信息。
第三认证单元44从服务提供设备20接收第三认证信息,基于所 接收的第三认证信息和所发出的第三认证信息执行第三认证,并且向 服务提供设备20报告认证的结果。在第一示例性实施例中,第三认 证单元44确定所接收的第三认证信息是否与存储在认证信息存储器 43中的多条第三认证信息中的任一条相匹配,并且当匹配时报告认 证成功,当不匹配时报告认证失败。 [第一信息处理器]
第一信息处理器IO具有第一认证信息传送单元11和第三认证信 息传送单元12。
第一认证信息传送单元11接收用于对用户进行认证的第一认证 信息的输入,并将第一认证信息传送到服务提供设备20。第一认证 信息例如可以是用户ID和密码、生物测定(biometric)认证信息、电子 证书、或这些信息的组合等。
第三认证信息传送单元12接收由第二信息处理器30获取的第三 认证信息的输入,并将第三认证信息传送到服务提供设备20。在第 一示例性实施例中,第三认证信息被显示在第二信息处理器30的显 示屏上,由用户读取,并输入到第一信息处理器10。 [服务提供设备]
服务提供设备20具有第一认证单元21、第三认证结果获取单元 22、和服务提供单元23。
第一认证单元21从第一信息处理器10接收第一认证信息,并基 于第一认证信息执行第一认证。该第一认证例如可以通过匹配从第一 信息处理器10接收的第一认证信息与提前注册在服务提供设备20中 的认证信息来执行。
第三认证结果获取单元22从第一信息处理器10接收第三认证信 息,并通过与认证服务提供设备40协作来获取基于第三认证信息的 第三认证的结果。在第一示例性实施例中,第三认证结果获取单元 22将从第一信息处理器10接收的第三认证信息传送到认证服务提供 设备40,并从认证服务提供设备40接收基于认证服务提供设备40 的第三认证信息的第三认证的结果的通知。
当第一和第三认证都成功时,服务提供单元23向传送第一和第
三认证信息的第一信息处理器IO提供预定服务。
在第一示例性实施例中,通过硬件资源和软件的协作来实现设备 10-40。这里,硬件资源包括CPU(中央处理单元)、ROM(只读存储 器)、主存储器、外部存储设备、输入设备、显示设备、和通信设备。 软件包括例如操作系统和各种应用程序。更具体地,设备10-40的功 能通过记录在记录介质上的程序来实现,所述程序被读入主存储器中 并由CPU执行。设备10-40的程序可以在诸如CD-ROM的记录介质 上提供,或可以通过通信单元来提供。设备10-40功能的部分或全部 可以由硬件单独实现。
在第一示例性实施例中,第一信息处理器10和服务提供设备20 之间的通信,是通过第一信息处理器10上的web浏览器和服务提供 设备20上的web服务器之间的web通信来执行的。第二信息处理器 30和认证服务提供设备40之间的通信,是通过第二信息处理器30 上的web浏览器和认证服务提供设备40上的web服务器之间的web 通信来执行的。并未对设备间的通信形式施加特殊限制。
图3是示出包括根据第一示例性实施例的认证系统的系统1的操 作过程的顺序图。现在将根据图3详细描述系统1的操作。
在提供服务之前,用于对用户进行认证的第一认证信息(在本示 例构造中是用户ID和密码)被注册在服务提供设备20中,并且用于 对用户进行认证的认证信息(这里,是用户拥有的第二信息处理器30 的个体标识ID)被注册在认证服务提供设备40中。
当用户希望使用服务提供设备20A的服务时,用户通过第一信 息处理器10的web浏览器输入服务提供设备20A的地址(例如, "http:〃abcbank.co.jp/login/")。当第一信息处理器10接收到地址输 入时,第一信息处理器10参照该地址来访问服务提供设备20A(S11)。 服务提供设备20A响应于该访问,向第一信息处理器10传送登录页 面,并且第一信息处理器10接收登录页面并在web显示屏上显示该 登录页面(S12)。如图4所示,登录页面具有用户ID的输入栏401、 密码的输入栏402、和一次性密码(第三认证信息)的输入栏403。
然后,用户通过第二信息处理器30的web浏览器输入认证服务 提供设备40的地址。当第二信息处理器30接收到地址输入时,第二 信息处理器30参照该地址来访问认证服务提供设备40。响应于该访 问,认证服务提供设备40向第二信息处理器30传送认证信息发出页 面。第二信息处理器30接收认证信息发出页面并在web显示屏上显 示该认证信息发出页面。然后,当第二信息处理器30在认证信息发 出页面上接收到来自用户的一次性密码的发出指令时(例如,按下"请 求发出一次性密码"按钮),第二信息处理器30向认证服务提供设备 40传送第二信息处理器30的个体标识ID (S13)。
当认证服务提供设备40接收到该个体标识ID时,认证服务提供 设备40基于该个体标识ID执行第二认证(S14)。具体地,认证服务 提供设备40确定所接收的个体标识ID是否与注册的个体标识ID中 的任何一个匹配。
当第二认证失败时;即,当个体标识ID并不与注册的个体标识 ID中的任何一个匹配时,认证服务提供设备40向第二信息处理器30 通知认证失败。
另一方面,当第二认证成功时;即,当个体标识ID与注册的个 体标识ID匹配时,认证服务提供设备40生成包括随机数的一次性密 码作为第三认证信息(S15)。然后,认证服务提供设备40将所生成的 一次性密码存储在认证信息存储器43中(S16),并将该一次性密码传 送到第二信息处理器30 (S17)。第二信息处理器30从认证服务提供 设备40接收一次性密码并将该一次性密码显示在web显示屏上。
然后用户读取第二信息处理器30的web显示屏上的一次性密 码,在如图4所示第一信息处理器10的登录页面上输入用户的用户
ID和密码以及读取的一次性密码,并且按下"OK"按钮404。当第 一信息处理器IO接收到用户的操作时,第一信息处理器IO将输入的 用户ID、密码、和一次性密码传送给服务提供设备20A(S18)。
当服务提供设备20A从第一信息处理器10接收到用户ID、密码 和一次性密码时,服务提供设备20A基于该用户ID和密码执行第一 认证(S19)。具体地,服务提供设备20A确定由所接收的用户ID和 密码组成的对是否与注册的由用户ID和密码组成的对相匹配。
当第一认证失败时;即,当该用户ID和密码与注册的用户ID和 密码中的任何一个都不匹配时,服务提供设备20A向第一信息处理 器IO通知认证失败。
另一方面,当第一认证成功时;即,当该用户ID和密码与注册 的用户ID和注册的密码相匹配时,服务提供设备20A将所接收到的 一次性密码传送到认证服务提供设备40 (S20)。
当认证服务提供设备40从服务提供设备20A接收到一次性密码 时,认证服务提供设备40基于该一次性密码执行第三认证(S21)。具 体地,当所接收的一次性密码与存储在认证信息存储器43中的一次 性密码匹配时,认证服务提供设备40确定认证成功,而当所接收的 一次性密码与存储的一次性密码不匹配时,认证服务提供设备40确 定认证失败。认证服务提供设备40然后将第三认证的结果报告给服 务提供设备20A(S22)。
当第三认证成功时,认证服务提供设备40从认证信息存储器43 中删除该一次性密码(S23)。当该一次性密码传送到第一信息处理器 IO之后预定有效期(例如, 一分钟)过去时,认证服务提供设备40也 从认证信息存储器43中删除该一次性密码。
当服务提供设备20A从认证服务提供设备40接收到第三认证的 结果通知后,服务提供设备20A根据第三认证的结果执行处理。
具体地,当服务提供设备20A接收到第三认证成功的通知时, 服务提供设备20A开始给第一信息处理器10提供服务(S24)。另一方 面,当服务提供设备20A接收到第三认证失败的通知时,服务提供 设备20A向第一信息处理器10通知不能使用该服务。
在本发明的一方面中,当认证服务提供设备40被服务提供设备 20访问时,认证服务提供设备40可以对服务提供设备20进行认证。如所述,根据第一示例性实施例的认证系统包括认证服务提供设 备和认证设备(其在上述示例情况下被包括在服务提供设备中)。认证 服务提供设备从第二信息处理器接收用于对用户进行认证的第二认 证信息,基于该第二认证信息执行第二认证,并当第二认证成功时向 第二信息处理器发出第三认证信息。认证设备从第一信息处理器接收 用于对用户进行认证的第一认证信息;基于该第一认证信息执行第一 认证;从第一信息处理器接收由第二信息处理器获取的并输入到第一 信息处理器的第三认证信息;并与认证服务提供设备协作来获取基于 第三认证信息的第三认证结果。依靠该结构,根据第一示例性实施例, 可以以简单的结构实现双因素、双路认证。更具体地,通过简单地给一因素、 一路的典型认证系统(包括基 于第一认证信息执行第一认证的认证设备)添加认证服务提供设备、 认证设备从第一信息处理器接收第三认证信息的机制、以及认证设备 与认证服务提供设备协作来获取第三认证的结果的机制,来构成双因 素、双路认证系统。此外,因为认证服务提供设备是独立于认证设备 而提供的,因此认证服务提供设备可以由不同于认证设备所属的一方 来管理。依靠该构造,认证设备的操作者(例如,服务提供者)能够将 涉及第二认证的部分外包。当认证服务提供设备是由认证服务提供者 构造时, 一因素认证的认证设备的操作者能够通过仅仅在认证设备中 添加从第一信息处理器接收第三认证信息的机制和与认证服务提供 设备协作来获取第三认证的结果的机制来引入双因素、双路认证。此 外,因为认证服务提供设备可以由多个认证设备(或多个服务)共享, 因此可以减少涉及第二认证的成本。而且,因为认证系统变成多个服 务之间公有的,所以与多个服务提供者中的每一个都使用自己的认证 系统相比,能够提高用户的方便性。当第一认证成功但第三认证失败时,很可能是第一认证信息己经 被欺诈性地获取。从而,在第一示例性实施例中,基于第一和第三认 证的结果,可以检测到第一认证信息的欺诈获取。此外,基于传送第 一和第三认证信息的第一信息处理器的标识信息(诸如网络中的地 址,诸如IP地址),可以识别出欺诈访问的来源。特别地,在其中是 在认证服务提供设备中执行第三认证的结构中,在认证服务提供设备 中能够检测到第一认证信息的欺诈获取,并且因而,不必提供在认证 设备中检测欺诈的机制。此外,利用在认证服务提供设备中执行第三 认证的结构,当多个认证设备(或服务)共享认证服务提供设备时,能 够为多个认证设备(或服务)共同检测欺诈,并且因而能够容易地知道 欺诈的影响范围。在由认证服务提供设备执行第三认证的结构中,因为认证服务提 供设备检查由认证服务提供设备发出的第三认证信息,所以设备间的 时间同步处理并不是必需的,而这种处理在硬件令牌中是必需的。因为第三认证信息具有有效期并且是一次性信息,所以能够减少 第三认证信息被偷窃的可能性,并能减少由偷窃引起的损害。根据第一示例性实施例的系统1还可以用下列构造(a)-(i)中任何 一个来构成。(a) 在构造(a)中,认证服务提供设备40的第三认证单元44可以 从服务提供设备20接收传送第三认证信息的第一认证信息处理器10 的标识信息、以及第三认证信息。第一认证信息处理器10的标识信 息可以例如是第一认证信息处理器10在网络中的地址(诸如IP地址)。根据该构造,当认证服务提供设备40检测到第一认证信息的欺 诈获取时,可以基于进行传送的第一信息处理器10的标识信息来识 别欺诈访问的来源。特别地,当在多个认证设备(或服务)之间共享认 证服务提供设备40时,可以为多个认证设备(或服务)共同检测欺诈 访问和欺诈访问的来源。(b) 在构造(b)中,认证服务提供设备40还可以具有欺诈信息通 知单元45,当第一认证成功而第三认证失败时,其报告涉及欺诈的 信息。涉及欺诈的信息例如包括指示第一认证信息可能已经被欺诈地 获取的消息以及指示欺诈访问的来源(诸如进行传送的第一信息处理 器的地址)的消息。涉及欺诈的信息的通知目的地例如可以是与已经 被欺诈地获取的第一认证信息相对应的用户(更具体地,用户的邮件 地址、电话号码、传真号码等)、传送第三认证信息的服务提供设备20、管理服务提供设备20的服务提供者(更具体地,服务提供者的邮 件地址、电话号码、传真号码等)、认证服务提供设备40的管理员、 以及收集涉及欺诈的信息的存储器。例如,可以以下列方式实现向与 已经被欺诈地获取的第一认证信息相对应的用户进行通知的结构。具 体地,服务提供设备20向认证服务提供设备40传送用于标识用户的 用户标识信息以及第三认证信息,并且当认证服务提供设备40检测 到欺诈获取时,认证服务提供设备40通知该用户的通知目的地(诸如 邮件地址),该通知目的地是与用户标识信息相对应地提前注册的。利用该构造,可以向适当的通知目的地报告涉及欺诈的信息,诸 如第一认证信息的欺诈获取的可能性,并且可以快速地报告涉及欺诈 的信息。(c) 在构造(c)中,当认证服务提供设备40接收到来自用户的在 线或离线的使用终止申请时,认证服务提供设备40可以执行用户的 第二认证信息的使用终止处理。这里,使用终止处理例如可以是第二 认证信息注册的删除处理以及对应于第二认证信息的使用终止标志 的设置处理。禾拥该构造,用户能够终止向该用户发出第三认证信息。特别地, 当第二认证信息是第二信息处理器30的个体标识ID时,并且当用户 丢失了第二信息处理器30时,可以避免第二信息处理器30的欺诈使 用。(d) 在构造(d)中,当来自第二信息处理器30的第二认证信息是 被应用了使用终止处理的信息时,使用结构(c),同时认证服务提供设 备40还报告涉及欺诈的信息。这里,涉及欺诈的信息例如可以是指 示第二认证信息可能已经被欺诈地获取的消息、以及指示第二信息处 理器30可能已经被欺诈地获取的消息。此外,涉及欺诈的消息的通 知目的地可以是与已经被欺诈地获取的第二认证信息相对应的用户 (更具体地,用户的邮件地址、电话号码、传真号码等)、认证服务提 供设备40的管理员、或收集涉及欺诈的信息的存储器。利用该构造,能够向适当的通知目的地报告涉及欺诈的信息,诸
如第二认证信息的欺诈获取的可能性,并且能够快速地报告涉及欺诈 的信息。(e) 在上述构造中,作为服务提供设备20获取第三认证的结果的 形式,描述了服务提供设备20从认证服务提供设备40获取第三认证 的结果的构造。在构造(e)中,服务提供设备20可以执行第三认证。 图5是示出在其中服务提供设备20执行第三认证的系统1的功能结 构的框图。在图5中,认证服务提供设备40具有认证信息提供单元 46,代替图1的第三认证单元44。认证信息提供单元46向服务提供 设备20提供所发出的第三认证信息。在上述构造中,第三认证以下列方式执行。具体地,服务提供设 备20的第三认证结果获取单元22从认证信息提供单元46获取由认 证信息发出单元42发出的第三认证信息。第三认证结果获取单元22 基于从第一信息处理器10接收的第三认证信息和从认证信息提供单 元46获取的第三认证信息来执行第三认证。更具体地,第三认证结 果获取单元22确定从第一信息处理器10接收的第三认证信息是否与 从认证信息提供单元46获取的第三认证信息中的任何一个相匹配。(f) 在构造(f)中,第二信息处理器30可以从用户接收服务提供设 备20 (或服务)的目的地,并且可以将该目的地与第二认证信息一起 传送到认证服务提供设备40。例如,当认证服务提供设备40从第二 信息处理器30接收到第二认证信息时,认证服务提供设备40向第二 信息处理器30传送提前与第二认证信息相关地注册的服务的列表。 第二信息处理器30接收该服务列表并在web显示屏上显示该列表, 接收用户在显示屏上的服务选择,并将所选择的服务报告给认证服务 提供设备40。当基于第二认证信息的第二认证成功时,认证服务提供设备40 发出专用于指定的服务提供设备20 (或服务)的第三认证信息。更具 体地,在一方面,认证服务提供设备40与指示指定服务的服务ID相 关地存储所发出的第三认证信息。服务提供设备20将第三认证信息 与服务提供设备20的服务的服务ID —起传送到认证服务提供设备 40。当认证服务提供设备40接收到第三认证信息和该服务ID时,认
证服务提供设备40匹配该第三认证信息与和服务ID相关地存储的第 三认证信息。在另一方面,认证服务提供设备40发出其中嵌入了指 示指定服务的服务ID的第三认证信息。服务提供设备20将第三认证 信息与服务提供设备20的服务的服务ID—起传送到认证服务提供设 备40。当认证服务提供设备40接收到第三认证信息和该服务ID时, 认证服务提供设备40确定嵌入在第三认证信息中的服务ID是否与所 接收的服务ID相匹配。当认证服务提供设备40确定服务ID匹配时, 认证服务提供设备40匹配所接收的第三认证信息与所存储的第三认 证信息,而当认证服务提供设备40确定服务ID不匹配时,认证服务 提供设备40确定认证失败。利用该构造,因为第三认证信息是专用于特定的服务提供设备 (或服务)的,所以能够限制第三认证信息的使用并且提高安全性。(g) 在构造(g)中,第二信息处理器30(例如,便携式电话)可以经 由第一信息处理器10连接到认证服务提供设备40。例如,第二信息 处理器30可以经由第一信息处理器10和因特网Nl与认证服务提供 设备40进行通信。第二信息处理器30与第一信息处理器10之间的 通信可以是无线的,诸如经由红外线通信,或有线的,诸如经由电缆 连接。利用该构造,即使在第二信息处理器30 (例如,便携式电话)不 能直接通过便携式电话网络N2连接到认证服务提供设备40的环境 中(例如,在便携式电话通信区域之外的区域,诸如地下),也能够执 行第二认证和第三认证信息的获取。(h) 在构造(h)中,第一信息处理器10和第二信息处理器30可以 在物理上实现为一个设备。例如,可以在一个计算机中用第一应用软 件来实现第一信息处理器10,用第二应用软件来实现第二信息处理 器30。(i) 在构造(i)中,第二信息处理器30可以具有锁定该设备的操作 的功能。在这种情况下,第二信息处理器30基于用户的锁定操作来 对操作进行锁定。当第二信息处理器30接收到来自用户的认证信息 (诸如密码和像指纹这样生物测定信息)的输入并且基于该认证信息
的认证成功时,第二信息处理器30释放操作的锁定。 [第二实施例]根据本发明的第二实施例的认证系统实现了双因素、双路认证, 除了无需第三认证就实现了服务提供设备的第二认证结果的检查以 外,该认证系统在很多点上与第一实施例的认证系统相似。下面将描 述根据第二实施例的认证系统。与第一实施例中公共的那些部分将不 再描述。包括第二实施例中的认证系统的系统的整体结构与第一实施例 的相似,并且在图1示出。在第二示例性实施例中,当服务提供设备20从第一信息处理器 10接收到第一认证信息时,服务提供设备20基于该第一认证信息执 行第一认证,并与认证服务提供设备40协作来检査对于由第一认证 信息所标识的用户的第二认证是否成功。在第二示例性实施例中,服 务提供设备20在检査处理中在预定周期内检查第二认证是否成功。 当服务提供设备20确认第一认证成功并且第二认证成功时,服务提 供设备20向第一信息处理器IO提供服务。图6是示出包括根据本发明的第二示例性实施例的认证系统的 系统的功能结构框图。现在将参照图6描述设备10-40的功能结构。 [第二信息处理器]第二信息处理器30具有第二认证信息传送单元31。 [认证服务提供设备]认证服务提供设备40具有第二认证单元41、第二认证结果存储 器47和第二认证结果通知单元48。第二认证单元41从第二信息处理器30接收第二认证信息,基于 第二认证信息执行第二认证,并且当第二认证成功时,将指示第二认 证成功的信息(下文中称为"第二认证成功信息")与用来标识由第二 认证信息所指定的用户的用户标识信息相关联地存储在第二认证结 果存储器47中。在第二示例性实施例中,第二认证成功信息具有有效期并且是一次性信息。换句话说,在有效期(例如, 一分钟)到期之 后或当第二认证成功信息曾经被用于检査认证结果时,该信息变得无
效。更具体地,在有效期到期之后或当第二认证成功信息曾经被用于检查认证结果时,认证服务提供设备40从第二认证结果存储器47中 删除第二认证成功信息。当第二认证结果通知单元48从服务提供设备20接收到用于标识 用户的用户标识信息时,第二认证结果通知单元48基于第二认证结 果存储器47所存储的内容,向服务提供设备20通知对于由用户标识 信息所标识的用户的第二认证是否成功。更具体地,第二认证结果通 知单元48查询第二认证结果存储器47,并且当第二认证成功信息被 与用户标识信息相关联地记录时,第二认证结果通知单元48向服务 提供设备20通知认证成功。 [第一信息处理器]第一信息处理器10具有第一认证信息传送单元11。 [服务提供设备]服务提供设备20具有第一认证单元21、服务提供单元23和第 二认证结果检查单元24。第二认证结果检査单元24与认证服务提供设备40协作来检查对 于由第一认证单元21所接收的第一认证信息标识的用户的第二认证 是否成功。在第二示例性实施例中,第二认证结果检査单元24将用 于标识由第一认证信息所指定的用户的用户标识信息传送到认证服 务提供设备40,并接收指示第二认证是否成功的信息,该信息是由 认证服务提供设备40响应于该用户标识信息而报告的。例如,当基 于第一认证信息的第一认证成功时,第一认证单元21向第二认证结 果检査单元24传送包含第一认证信息的第二认证检査指令,并且当 第二认证结果检查单元24接收到该指令时,第二认证结果检査单元 24基于包含在指令中的第一认证信息来执行上述检查处理。当确认第一认证成功并且第二认证成功时,服务提供单元23向 从中传送第一认证信息的第一信息处理器10提供预定服务。图7是示出包括根据第二示例性实施例的认证系统的系统的操 作过程的顺序图。现在将参照图7详细描述该系统的操作。用户将认证信息(诸如密码或像指纹这样生物测定信息)输入到
第二信息处理器30中,以便释放第二信息处理器30的操作锁定。当 第二信息处理器30接收到认证信息输入时,第二信息处理器30基于 该认证信息执行认证(S31)。具体地,第二信息处理器30确定输入的 认证信息是否与提前注册在第二信息处理器30中的信息匹配。当认 证成功时;即当该认证信息与提前注册的信息匹配时,第二信息处理 器30释放第二信息处理器30的操作锁定。然后,用户通过第二信息处理器30的web浏览器输入认证服务 提供设备40的地址。当第二信息处理器30接收到地址输入时,第二 信息处理器30参照该输入的地址来访问认证服务提供设备40。认证 服务提供设备40响应于该访问,将服务选择页面传送到第二信息处 理器30,并且第二信息处理器30接收该服务选择页面并将其显示在 web显示屏上。该服务选择页面包括服务列表,以及用于指示第二认 证开始的按钮。第二信息处理器30接收到用户在服务选择页面上所选择的想要 的服务,并且当第二信息处理器30接收到开始第二认证的指令时(在 示例结构中,是按下第二认证操作开始指令按钮),第二信息处理器 30将第二信息处理器30的个体标识ID和服务选择结果传送到认证 服务提供设备40 (S32)。当认证服务提供设备40接收到个体标识ID和服务选择结果时, 认证服务提供设备40基于该个体标识ID执行第二认证(S33)。当第二认证失败时,认证服务提供设备40向第二信息处理器30 通知认证失败。另一方面,当第二认证成功时,认证服务提供设备40将第二认 证成功信息与个体标识ID相关联地记录在第二认证结果存储器47 中(S34)。这里,在第二认证结果存储器47中,所有的服务ID(用于 标识服务提供设备20或其服务的信息)都提前与各个个体标识ID相 关,并且给与各个个体标识ID相关的每个服务ID都赋予一个标志。 当基于个体标识ID的第二认证成功时,认证服务提供设备40设置一 个标志,该标志被赋予与该个体标识ID相关的服务ID中对应于所选 择的那个服务的服务ID。换句话说,通过设置标志来记录第二认证
成功信息。例如,当对应于所选择的服务的服务ID是"B"并且基 于个体标识ID "A"的第二认证成功时,对应于的个体标识ID "A" 和服务ID"B"的组合的标志被设置。当第二认证成功信息将被删除 时,所设置的标志被清除。然后用户在第一信息处理器10的web浏览器中输入将要使用的 服务提供设备20的地址。当第一信息处理器10接收到地址输入时, 第一信息处理器10参照该地址来访问该服务提供设备20 (S35)。服 务提供设备20响应于该访问,将登录页面传送到第一信息处理器10, 并且第一信息处理器10接收该登录页面并将其显示在web显示屏上 (S36)。这里,如图8所示,登录页面包括用户ID输入栏801和密码 输入栏802。接下来用户将该用户的用户ID和密码输入到图8所示的登录页 面上并按下"OK"按钮804。当第一信息处理器IO接收到用户的操 作时,第一信息处理器将输入的用户ID和密码传送到服务提供设备 20 (S37)。当服务提供设备20从第一信息处理器10接收到用户ID和密码 时,服务提供设备20基于该用户ID和密码执行第一认证(S38)。当第一认证失败时,服务提供设备20向第一信息处理器10通知 认证失败,并中止处理。另一方面,当第一认证成功时,服务提供设备20将从第一信息 处理器10接收到的用户ID和该服务提供设备的服务ID传送到认证 服务提供设备40 (S39)。当认证服务提供设备40从服务提供设备20接收到用户ID和服 务ID时,认证服务提供设备40检查对于与该用户ID相对应的用户 和对于与该服务ID相对应的服务的第二认证是否成功(S40),并且将 检査处理的结果报告给服务提供设备20(S41)。具体地,基于提前记 录在认证服务提供设备40中的、用户ID和个体标识ID之间的对应 关系表,认证服务提供设备40指定与由所接收的用户ID所标识的用 户相对应的个体标识ID。然后,认证服务提供设备40查询第二认证 结果存储器47来确定是否设置了与所指定的个体标识ID和所接收的
服务ID的组合相对应的标志。当确定该标志被设置时,认证服务提 供设备40向服务提供设备20通知第二认证成功。另一方面,当确定 该标志没有被设置时,认证服务提供设备40向服务提供设备20通知 第二认证没有成功。当认证服务提供设备40报告第二认证成功时,认证服务提供设 备40清除基于其做出确定的标志,以便删除第二认证成功信息(S42)。 当设置标志之后经过了预定有效期(例如一分钟)时,认证服务提供设 备40也清除该标志。当服务提供设备20从认证服务提供设备40接收到检查处理的结 果通知时,服务提供设备20根据检查处理的结果来应用一个处理过 程。更具体地,当服务提供设备20接收到指示第二认证成功的通知 时,服务提供设备20开始给第一信息处理器10提供服务(S43)。另 一方面,当服务提供设备20被通知第二认证没有成功时,服务提供 设备20向第一信息处理器10通知不能使用该服务。在一方面中,在服务提供设备20访问认证服务提供设备40期间, 认证服务提供设备40可以对服务提供设备20进行认证。如所述,根据第二示例性实施例的认证系统具有认证服务提供设 备和认证设备。认证服务提供设备从第二信息处理器接收用于对用户 进行认证的第二认证信息,并基于该第二认证信息执行第二认证。认 证设备从第一信息处理器接收用于对用户进行认证的第一认证信息, 并基于该第一认证信息执行第一认证,并与认证服务提供设备协作来 检査对于由第一认证信息所指定的用户的第二认证是否成功。利用该 构造,在第二示例性实施例中,以简单的结构实现了双因素、双路认 证。更具体地,通过简单地给普通的一因素、 一路认证系统(包括基 于第一认证信息执行第一认证的认证设备)添加认证服务提供设备、 以及其中认证设备与认证服务提供设备协作来检查第二认证的结果 的机制,来引入双因素、双路认证系统。此外,因为认证服务提供系 统是独立于认证设备而提供的,因此认证服务提供设备可以由不同于
认证服务所属的一方来管理。因而,认证设备的操作者(例如,服务 提供者)能够将涉及第二认证的部分外包。当认证服务提供设备是由 认证服务提供者构造时, 一因素认证的认证设备的操作者能够通过仅 仅给认证设备添加与认证服务提供设备协作来检查第二认证结果的 机制来引入双因素、双路认证。因为认证服务提供设备可以由多个认 证设备(或多个服务)共享,因此可以减少涉及第二认证的成本。而且, 因为认证系统变成是在多个服务之间公有的,所以与多个服务提供者 中的每一个都使用自己的认证系统相比,能够提高用户的方便性。此外,在第二示例性实施例中,不必将来自第一信息处理器的第 三认证信息呈现给认证设备。因而,用户不必向第一信息处理器输入 第三认证信息,并且有减少操作量和避免错误输入的优点。当第一认证成功并且不能确认第二认证成功时,很可能第一认证 信息已经被欺诈地获取了。因而在第二示例性实施例中,可以基于第 一认证的结果和第二认证的检查结果来检测第一认证信息的欺诈获 取。此外,在该情况下,也可以基于传送第一认证信息的第一信息处 理器的标识信息(例如,网络中的地址,诸如IP地址)来识别出欺诈访 问的来源。特殊地,利用认证服务提供设备检查第二认证结果的结构, 在认证服务提供设备中能够检测到第一认证信息的欺诈获取,并且因 而,不必在认证设备一端提供欺诈检测机制。此外,利用认证服务提 供设备检查第二认证结果的结构,当多个认证设备(或服务)共享认证 服务提供设备时,能够为多个认证设备(或服务)共同检测欺诈,并且 因而能够容易地知道欺诈的程度。利用认证服务提供设备检查第二认证结果的结构,认证服务提供 设备检査由该认证服务提供设备记录的第二认证的结果,并因而不需 要设备之间的时间同步处理,而该处理对于硬件令牌是必需的。此外,因为指示第二认证成功的记录具有有效期并且是一次性 的,所以能够避免或至少降低由于记录的有效性被延续而导致的安全 风险。下述构造(j)-(s)可以被应用于根据第二示例性实施例的系统。 (D在上述构造中,服务提供设备20将用户ID(第一认证信息的 部分)呈现给认证服务提供设备40。在构造(j)中,服务提供设备20可 以将个体标识ID (第二认证信息)呈现给认证服务提供设备40。在该 构造中,服务提供设备20具有存储器25,其提前成对存储用户ID 和个体标识ID。当对于某个用户ID的第一认证成功时,服务提供设 备20在存储器25中识别出与该用户ID关联的个体标识ID,并将该 个体标识ID呈现给认证服务提供设备40。当认证服务提供设备40 从服务提供设备20接收到呈现的个体标识ID时,认证服务提供设备 40査询第二认证结果存储器47,并确定是否为该个体标识ID设置了 标志。(k)在上述构造中,通过使用标志记录了第二认证成功信息。可 替换地,可以以不同形式记录第二认证成功信息。例如,在构造(k) 中,第二认证成功信息以下列形式记录。具体地,第二认证结果存储 器47提前存储第二认证信息列表。当所选择的服务的服务ID是"B" 并且基于第二认证信息"A"的第二认证成功时,认证服务提供设备 40将服务ID "B"与第二认证信息"A"相关联地记录在第二认证结 果存储器47中,作为第二认证成功信息。(1)在构造(l)中,认证服务提供设备40从服务提供设备20接收 传送用户标识信息(例如,用户ID)的第一信息处理器10的标识信息 以及该用户标识信息。这里,第一信息处理器10的标识信息可以是 第一信息处理器IO在网络中的地址(诸如IP地址)。利用该构造,当在认证服务提供设备40中检测到第一认证信息 的欺诈获取时,能够基于进行传送的第一信息处理器10的标识信息 而识别出欺诈访问的来源。特殊地,当多个认证设备(或服务)共享认 证服务提供设备40时,能够为多个认证设备(或服务)共同检测欺诈 和欺诈访问的来源。(m)在构造(m)中,认证服务提供设备40还可以具有欺诈信息通 知单元45,其当第一认证成功而没有确认第二认证成功时,通知涉 及欺诈的信息。涉及欺诈的信息例如可以是指示第一认证信息可能已 经被欺诈获取的消息和指示欺诈访问的来源(进行传送的第一信息处 理器10的IP地址等)的信息。涉及欺诈的信息的通知目的地例如可
以是与被欺诈地获取的第一认证信息相对应的用户(更具体地,用户 的邮件地址、电话号码、传真号码等)、传送用户标识信息的服务提供设备20、管理服务提供设备20的服务提供者(更具体地,服务提供 者的邮件地址、电话号码、传真号码等)、认证服务提供设备40的管 理员、以及收集涉及欺诈的信息的存储设备。在其中报告了与欺诈获 取的第一认证信息相对应的用户的构造中,例如,认证服务提供设备 40报告提前被与用户标识信息相关联地注册的用户的通知目的地(邮 件地址等)。利用该构造,可以向适当的通知目的地通知涉及欺诈的信息(诸 如第一认证信息的欺诈获取的可能性),并快速报告涉及欺诈的信息。(n)在构造(n)中,当认证服务提供设备40可以从在线或离线用 户接收使用终止申请时,认证服务提供设备40可以应用该用户的第 二认证信息的使用终止处理。该使用中止处理例如可以是删除第二认 证信息注册的处理或设置对应于第二认证信息的使用终止标志的处 理。利用该构造,用户能够终止对于该用户的第二认证。特别地,在 其中第二认证信息是第二信息处理器30的个体标识ID的构造中,当 丢失了第二信息处理器30时能够避免第二信息处理器30的欺诈使 用。(o)构造(o)与构造(n)相似,不同之处在于当来自第二信息处理器 30的第二认证信息是对其应用了使用终止处理的信息时,认证服务 提供设备40还可以报告涉及欺诈的信息。涉及欺诈的信息例如可以 是指示第二认证信息可能已经被欺诈地获取的消息或指示第二信息 处理器30可能已经被欺诈地获取的消息。涉及欺诈的信息的通知目 的地例如可以是与被欺诈地获取的第二认证信息相对应的用户(更具 体地,用户的邮件地址、电话号码、传真号码等)、认证服务提供设 备40的管理员、或收集涉及欺诈的信息的存储设备。利用该构造,可以向适当的通知目的地报告涉及欺诈的信息(诸 如第二认证信息的欺诈获取的可能性),并可以快速报告涉及欺诈的 信息。(p)在上述构造中,服务提供设备20从认证服务提供设备40获 取第二认证的检查结果。在构造(p)中,可以由服务提供设备20做出 第二认证是否成功的实际确定。在该构造中,认证服务提供设备40 使用任意方法来给服务提供设备20提供与第二认证结果存储器47的 存储内容相似的信息。(q)在上述构造中,指定了服务提供设备20(或服务)并且执行了 第二认证。在构造(q)中,可以无需指定服务就执行第二认证。(r)在构造(r)中,第二信息处理器30(例如,便携式电话)可以经 由第一信息处理器10被连接到认证服务提供设备40。例如,第二信 息处理器30可以经由第一信息处理器10和因特网Nl与认证服务提 供设备40进行通信。第二信息处理器30和第一信息处理器10之间 的通信可以是无线的,诸如经由红外线通信,或是有线的,诸如经由 电缆连接。利用该构造,即使在第二信息处理器30 (例如,便携式电话)不 能直接经由便携式电话网络N2连接到认证服务提供设备40的环境 中(例如,在便携式电话通信区域之外的区域中,诸如地下),也可以 执行第二认证。(s)在构造(s)中,第一信息处理器10和第二信息处理器30可以 由物理上组合的设备来实现。例如,可以在一台计算机中用第一应用 软件实现第一信息处理器10,用第二应用软件实现第二信息处理器 30。为了描述和说明的目的提供了本发明的示例性实施例的前述说 明。但这并非穷举,且并不是要将本发明限制为所公开的精确形式。 显然,许多变型和变化对本领域的技术人员来说是显而易见的。为了 最好地解释本发明的原理及其实际应用,选择并描述这些示例性实施 例,由此使本领域的其它技术人员能够理解本发明的各个实施例以及 适合于预期的特殊使用的各种变型。本发明的范围是要由下列权利要 求及其等价物来限定。
权利要求
1、一种认证系统,包括第一信息处理器;第二信息处理器;认证服务提供设备;以及认证设备,其中所述第二信息处理器包括第二认证信息传送单元,其将用于对用户进行认证的第二认证信息传送到所述认证服务提供设备;以及认证信息获取单元,其获取由所述认证服务提供设备响应于所述第二认证信息而发出的第三认证信息;所述认证服务提供设备包括第二认证单元,其从所述第二信息处理器接收所述第二认证信息,并基于所述第二认证信息执行第二认证;以及认证信息发出单元,其当所述第二认证成功时发出所述第三认证信息给所述第二信息处理器;所述第一信息处理器包括第一认证信息传送单元,其接收用于对所述用户进行认证的第一认证信息的输入,并将所述第一认证信息传送到所述认证设备;以及第三认证信息传送单元,其接收由所述第二信息处理器获取的第三认证信息的输入,并将所述第三认证信息传送到所述认证设备;以及所述认证设备包括第一认证单元,其从所述第一信息处理器接收所述第一认证信息,并基于所述第一认证信息执行第一认证;以及第三认证结果获取单元,其从所述第一信息处理器接收所述第三认证信息,并与所述认证服务提供设备协作来获取基于所述第三认证信息的第三认证的结果。
2、 一种认证系统,包括-认证服务提供设备;以及 认证设备,其中 所述认证服务提供设备包括第二认证单元,其从第二信息处理器接收用于对用户进行认证的 第二认证信息,并基于所述第二认证信息执行第二认证;以及认证信息发出单元,其当所述第二认证成功时发出第三认证信息 给所述第二信息处理器;以及所述认证设备包括第一认证单元,其从第一信息处理器接收用于对所述用户进行认 证的第一认证信息,并基于所述第一认证信息执行第一认证;以及第三认证结果获取单元,其从所述第一信息处理器接收由所述第 二信息处理器获取的并输入到所述第一信息处理器的第三认证信息, 并与所述认证服务提供设备协作来获取基于所述第三认证信息的第 三认证的结果。
3、 一种认证服务提供设备,包括第二认证单元,其从第二信息处理器接收用于对用户进行认证的 第二认证信息,并基于所述第二认证信息执行第二认证;认证信息发出单元,其当所述第二认证成功时发出第三认证信息 给所述第二信息处理器;以及第三认证单元,其从认证设备接收第三认证信息,并基于所接收 的第三认证信息和所发出的第三认证信息执行第三认证,并将所述第 三认证的结果报告给所述认证设备,其中所述认证设备从第一信息处 理器接收用于对所述用户进行认证的第一认证信息、基于所述第一认 证信息执行第一认证、并从所述第一信息处理器接收由所述第二信息 处理器获取的并输入到所述第一信息处理器的第三认证信息。
4、 根据权利要求3所述的认证服务提供设备,其中 所述第三认证单元从所述认证设备接收传送所述第三认证信息的所述第一信息处理器的标识信息以及所述第三认证信息。
5、 根据权利要求3所述的认证服务提供设备,还包括 欺诈信息通知单元,其当所述第一认证成功而所述第三认证失败时报告涉及欺诈的信息。
6、 根据权利要求4所述的认证服务提供设备,还包括 欺诈信息通知单元,其当所述第一认证成功而所述第三认证失败时报告涉及欺诈的信息。
7、 根据权利要求3所述的认证服务提供设备,其中 所述第三认证信息具有有效期并且是一次性信息。
8、 一种认证服务提供设备,包括第二认证单元,其从第二信息处理器接收用于对用户进行认证的 第二认证信息,并基于所述第二认证信息执行第二认证;认证信息发出单元,其当所述第二认^E成功时发出第三认证信息 给所述第二信息处理器;以及认证信息提供单元,其将所发出的第三认证信息提供给认证设 备,所述认证设备从第一信息处理器接收用于对所述用户进行认证的 第一认证信息、基于所述第一认证信息执行第一认证、并从所述第一 信息处理器接收由所述第二信息处理器获取的并输入到所述第一信 息处理器的第三认证信息。
9、 一种用于提供认证服务的方法,包括从第二信息处理器接收用于对用户进行认证的第二认证信息,并 且基于所述第二认证信息执行第二认证 ,当所述第二认证成功时,发出第三认证信息给所述第二信息处理 器;以及从认证设备接收第三认证信息,并且基于所接收的第三认证信息 和所发出的第三认证信息执行第三认证,并且将所述第三认证的结果 报告给所述认证设备,其中所述认证设备从第一信息处理器接收用于 对所述用户进行认证的第一认证信息、基于所述第一认证信息执行第 一认证、并从所述第一信息处理器接收由所述第二信息处理器获取的 并输入到所述第一信息处理器的第三认证信息。
10、 一种用于提供认证服务的方法,包括从第二信息处理器接收用于对用户进行认证的第二认证信息,并且基于所述第二认证信息执行第二认证;当所述第二认证成功时,发出第三认证信息给所述第二信息处理器;以及将所发出的第三认证信息提供给认证设备,所述认证设备从第一 信息处理器接收用于对所述用户进行认证的第一认证信息、基于所述 第一认证信息执行第一认证、并从所述第一信息处理器接收由所述第 二信息处理器获取的并输入到所述第一信息处理器的第三认证信息。
11、 一种计算机可读介质,其存储有使计算机执行用于提供认证 服务的处理的程序,所述处理包括-从第二信息处理器接收用于对用户进行认证的第二认证信息,并 且基于所述第二认证信息执行第二认证;当所述第二认证成功时,发出第三认证信息给所述第二信息处理 器;以及从认证设备接收第三认证信息,并且基于所接收的第三认证信息 和所发出的第三认证信息执行第三认证,并且将所述第三认证的结果 报告给所述认证设备,其中所述认证设备从第一信息处理器接收用于 对所述用户进行认证的第一认证信息、基于所述第一认证信息执行第 一认证、并从所述第一信息处理器接收由所述第二信息处理器获取的 并输入到所述第一信息处理器的第三认证信息。
12、 一种计算机可读介质,其存储有使计算机执行用于提供认证 服务的处理的程序,所述处理包括-从第二信息处理器接收用于对用户进行认证的第二认证信息,并且基于所述第二认证信息执行第二认证;当所述第二认证成功时,发出第三认证信息给所述第二信息处理 器;以及将所发出的第三认证信息提供给认证设备,所述认证设备从第一 信息处理器接收用于对所述用户进行认证的第一认证信息、基于所述 第一认证信息执行第一认证、并从所述第一信息处理器接收由所述第 二信息处理器获取的并输入到所述第一信息处理器的第三认证信息。
13、 一种认证系统,包括 第一信息处理器; 第二信息处理器; 认证服务提供设备;以及 认证设备,其中所述第二信息处理器包括第二认证信息传送单元,其将用于对用 户进行认证的第二认证信息传送到所述认证服务提供设备;所述认证服务提供设备包括第二认证单元,其从所述第二信息处 理器接收所述第二认证信息,并基于所述第二认证信息执行第二认 证;所述第一信息处理器包括第一认证信息传送单元,其接收用于对 所述用户进行认证的第一认证信息的输入,并将所述第一认证信息传 送到所述认证设备;以及所述认证设备包括第一认证单元,其从所述第一信息处理器接收所述第一认证信 息,并基于所述第一认证信息执行第一认证,以及第二认证结果检查单元,其与所述认证服务提供设备协作来检查 对于由所述第一认证信息所指定的用户的所述第二认证是否成功。
14、 一种认证系统,包括 认证服务提供设备;以及 认证设备,其中所述认证服务提供设备包括第二认证单元,其从第二信息处理器 接收用于对用户进行认证的第二认证信息,并基于所述第二认证信息 执行第二认证;以及所述认证设备包括第一认证单元,其从第一信息处理器接收用于对所述用户进行认 证的第一认证信息,并基于所述第一认证信息执行第一认证;以及第二认证结果检査单元,其与所述认证服务提供设备协作来检查 对于由所述第一认证信息所指定的用户的所述第二认证是否成功。
15、 一种认证服务提供设备,包括第二认证单元,其从第二信息处理器接收用于对用户进行认证的 第二认证信息,基于所述第二认证信息执行第二认证,并当所述第二 认证成功时将指示所述第二认证成功的信息与用于标识由所述第二 认证信息所指定的用户的用户标识信息相关联地记录到第二认证结 果存储器中;以及第二认证结果通知单元,其从认证设备接收用于标识由第一认证 信息所指定的用户的用户标识信息,并基于所述第二认证结果存储器 的存储内容向所述认证设备通知对于由所述用户标识信息所标识的 用户的所述第二认证是否成功,其中所述认证设备从第一信息处理器 接收用于对所述用户进行认证的所述第一认证信息、并基于所述第一 认证信息执行第一认证。
16、 一种用于提供认证服务的方法,包括从第二信息处理器接收用于对用户进行认证的第二认证信息,基 于所述第二认证信息执行第二认证,并且当所述第二认证成功时将指 示所述第二认证成功的信息与用于标识由所述第二认证信息所指定的用户的用户标识信息相关联地记录到第二认证结果存储器中;以及 从认证设备接收用于标识由第一认证信息所指定的用户的用户标识信息,并且基于所述第二认证结果存储器的存储内容向所述认证 设备通知对于由所述用户标识信息所标识的用户的所述第二认证是 否成功,其中所述认证设备从第一信息处理器接收用于对所述用户进 行认证的所述第一认证信息、并基于所述第一认证信息执行第一认 证。
17、 一种计算机可读介质,其存储有使计算机执行用于提供认证 服务的处理的程序,所述处理包括-从第二信息处理器接收用于对用户进行认证的第二认证信息,基 于所述第二认证信息执行第二认证,并且当所述第二认证成功时将指 示所述第二认证成功的信息与用于标识由所述第二认证信息所指定 的用户的用户标识信息相关联地记录到第二认证结果存储器中;以及从认证设备接收用于标识由第一认证信息所指定的用户的用户 标识信息,并且基于所述第二认证结果存储器的存储内容向所述认证 设备通知对于由所述用户标识信息所标识的用户的所述第二认证是 否成功,其中所述认证设备从第一信息处理器接收用于对所述用户进 行认证的所述第一认证信息、并基于所述第一认证信息执行第一认 证。
全文摘要
一种认证系统,包括第一信息处理器,其具有第一、第三认证信息传送单元;第二信息处理器,其具有第二认证信息传送单元和认证信息获取单元;认证服务提供设备,其具有第二认证单元和认证信息发出单元;和认证设备,其具有第一认证单元和第三认证结果获取单元,其中,第一认证信息传送单元接收并传送第一认证信息,第一认证单元基于该信息执行第一认证,第二认证信息传送单元传送第二认证信息,第二认证单元基于该信息执行第二认证,认证信息发出单元在第二认证成功时传送第三认证信息,该信息经由认证信息获取单元和第三认证信息传送单元传送到第三认证结果获取单元,后者与认证服务提供设备协作来获取基于该信息的第三认证的结果。
文档编号H04L9/32GK101166092SQ20071011180
公开日2008年4月23日 申请日期2007年6月15日 优先权日2006年10月19日
发明者吉田武央, 青木隆一 申请人:富士施乐株式会社
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:吉田武央;青木隆一
  • 技术所有人:富士施乐株式会社
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
电子认证服务提供者相关技术
提供施工设备服务相关技术
服务器设备管理系统相关技术
电信设备认证中心相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2