专利名称:用于在线交易的ip地址安全多信道认证的制作方法
技术领域:
本发明涉及IP地址安全多信道认证方法,更具体地说,涉及用于使用应用服务器 和认证服务器的用户的多因素认证方法。
背景技术:
包括金融交易和其它机密交易的在线交易长期被应用于允许两方进行商务活动。 在典型的在线交易中,用户(例如像银行客户)使用计算机上的客户端浏览器来与应用服 务器(例如像由银行操作的银行业务(banking)服务器)建立一个会话并实现所希望的交 易(例如像将金钱从一个账户转移到另一个账户)。因为在线交易经常通过因特网来进行, 而因特网是由路由器、服务器、中继线等组成的全球公共网络,所以安全总是首要问题。在线交易安全的风险包括未经授权的第三方可能能够获得认证信息(例如用户 标识和密码),而且随后可能能够进行对用户不利的欺诈交易的风险。例如,如果从任意计 算机登录到银行只需要用户标识和密码,那么获取用户的用户标识和密码的第三方将可以 从任何地方登录并执行用户可以执行的任意交易,例如包括在未经授权的第三方的控制下 将金钱转移到一个账户。用户标识和密码的窃取可以通过例如木马(通常是指驻留于客户端的应用程序, 所述应用程序在用户标识和密码被用户键入时监听用户标识和密码并将所述用户标识和 密码转发给欺诈者)的技术来实现。另一种技术涉及网络仿冒(Phishing)。在示例网络仿 冒的情景中,用户可能接收一封电子邮件,其具有请求用户登录声称属于一个用户之前与 其进行过商务活动的商人的网站(例如,XYZ银行)的消息。所述电子邮件包含要由用户 激活的链接。如果用户激活由网络仿冒电子邮件提供的链接,那么一个网站被呈现给用户, 所述网站具有与真网站(例如,XYZ银行)几乎相同的外观和感觉。然而,该网站实际上属 于欺诈者。用户输入到模仿真网站的外观和感觉的欺诈者的网站中的信息将被记录,并随 后被用于对用户实施欺诈。举例说明,欺诈者可以利用所输入的用户标识和密码来登录用 户的账户并执行未经授权的金钱转移。一种防止像木马或网络仿冒这样的欺诈的方法涉及使用第二因素认证,其中认证 需要附加信息。由于起第一认证因素的作用的用户标识/密码,应用服务器(例如,银行应 用)也需要基于正用于访问的装置或用户拥有的硬件的附加认证。例如,第二因素认证可 能需要硬件权标(token)或ATM卡。软件也可以被用作第二因素认证。上面提到的仅仅触及一些宽泛的类别的在线交易风险。还有当前存在的其它风 险,但它们是公知的并且在此将不作过多的说明。此外,技术被不断地发展以防止在线欺 诈。相应地,欺诈者不断发展技术以战胜包括认证方案在内的新实现的安全措施。鉴于当前存在的和/或响应于安全措施而显现出来的交易风险,需要改进的认证 技术。
发明内容
因此,本发明提供用于使用应用服务器和认证服务器的用户的多因素认证的方 法,来解决上述问题。根据本发明的一个方面,提供用于使用应用服务器和认证服务器的用户的多因素 认证的计算机实现方法,所述用户与所述应用服务器和所述认证服务器相互作用,所述用 户利用用户浏览器程序与所述应用服务器和所述认证服务器中的至少一个进行通信,所述 方法包括利用所述应用服务器使用第一因素认证证书认证所述用户;从所述应用服务器 向所述认证服务器提供与对使用所述第一因素认证证书的所述认证的请求相关联的第一 源IP地址;指示所述用户在所述用户浏览器程序和所述认证服务器之间建立独立通信信 道以执行附加认证;比较所述第一源IP地址和与利用所述独立通信信道的、从所述用户到 所述认证服务器的通信相关联的第二源IP地址;以及如果所述第一源IP地址与所述第二 源IP地址不匹配,则所述用户的认证失败。根据本发明的另一方面,提供用于使用应用服务器和认证服务器的用户的多因素 认证的计算机实现方法,所述用户利用用户浏览器程序与所述应用服务器和所述认证服务 器中的至少一个相互作用,所述方法包括从所述应用服务器接收与从所述用户浏览器程 序到所述应用服务器的认证请求相关联的第一源IP地址;从所述用户浏览器程序接收请 求以利用独立通信信道来在所述用户浏览器程序和所述认证服务器之间执行附加认证,所 述独立通信信道与被用于在所述应用服务器和所述认证服务器之间进行通信的通信信道 独立;比较所述第一源IP地址和与在所述认证服务器和所述用户浏览器程序之间执行所 述附加认证的所述请求相关的第二源IP地址;以及如果所述第一源IP地址与所述第二源 IP地址不匹配,则所述用户的认证失败。
在附图的图中以示例而不是限制的方式来举例说明本发明,其中相同的附图标记 表示相同的组件,并且其中图1示出了典型的多信道认证方案,其中客户端浏览器利用应用服务器和认证服 务器两者来进行认证。图2示出了中间人(man-in-the-middle)装置的存在,所述中间人装置已经由欺 诈者为了对用户实施欺诈的目的而实现。图3示出了根据本发明一个实施例的IP地址安全多信道认证(IPAS-MCA)情景的 示意图。图4示出了根据本发明一个实施例的借以挫败中间人攻击的IP地址安全多信道 认证(IPAS-MCA)情景的示意图。
具体实施例方式现在将参照如附图中所举例说明的几个实施例来详细描述本发明。在下面的描述 中,为了提供对本发明的全面理解而详尽地解释大量的具体细节。然而对本领域技术人员 来说显而易见的是,可以实践本发明而不用这些具体细节中的某些或全部。在其它情况下, 为了避免不必要地使本发明模糊不清,没有详细地描述公知的处理步骤和/或结构。
以下描述各种实施例,包括方法和技术。应该记住,本发明也可以覆盖包括存储用 于执行创造性技术的实施例的计算机可读指令的计算机可读介质的制造产品。例如,计算 机可读介质可以包括半导体、磁、光磁、光或者其它形式的用于存储计算机可读代码的计算 机可读介质。进一步地,本发明还可以覆盖用于实践本发明的实施例的装置。这种装置可 以包括专用于和/或可编程用于执行与本发明实施例有关的任务的电路。这种装置的例子 包括在适当编程情况下的通用计算机和/或专用计算设备,并且可以包括适合于与本发明 实施例有关的各种任务的计算机/计算设备和专用/可编程电路的组合。在多信道认证方案中,用户不仅需要访问应用服务器(例如,上面提到的XYZ银 行),还需要为了认证自己的目的在独立通信上访问认证服务器。简单来说,多信道认证方 案包含三方用户、应用服务器和认证服务器。总的来说,用户首先登录应用服务器(例如,XYZ银行)并建立他的第一因素认证 证书(例如,用户标识和密码)。一旦满足第一因素认证证书,应用服务器就联系认证服务 器来确定用户是否是多信道认证服务的订户。如果用户是多信道认证服务的订户,那么认 证服务器(经由应用服务器)给用户提供HTML指令,来指示用户的客户端浏览器(例如, 使用AJAX技术)建立与认证服务器的独立通信信道。在该独立通信信道中的通信可以通 过使用将如稍后讨论的加密技术来使其安全。在该独立第二信道上的用户的浏览器和认证 服务器之间的安全信道执行附加认证。在一个实施方案中,客户端浏览器和认证服务器都知道一个共享秘密。所述共享 秘密的一部分在这里被称为“已知事实”或KF,其为认证服务器和客户端浏览器两者所知。 所述已知事实可以是由认证服务器和客户端浏览器彼此都指明为“已知的”任意数据、信息 或事实。例如,已知事实可以是由商人指明为用于附加认证的共享秘密的某特殊数据字段 (例如,账号或电话号码)。在认证服务器和客户端浏览器之间的认证是一种双向加密认证。如果客户端浏 览器可以利用共享秘密(其为认证服务器和客户端浏览器两者所知)向认证服务器验证 自己,并且如果认证服务器可以利用共享秘密向客户端浏览器验证自己,那么认证被认为 是成功的。为了交流所述已知事实,通过在用户最初向多信道认证系统注册时的激活过程 (用于每个装置的一次性处理)期间利用带外(out-of-band)通信信道(例如,电子邮件、 电话等)增强安全性。例如,电子邮件可以被发送给用户来将对于用户的已知事实的字母 数字串提供给用户,以将所述用户绑定到他的证书。尽管多信道认证技术可以提供针对某些形式的安全风险的附加安全措施,但是被 称为中间人的攻击形式已经带来了挑战。中间人攻击指的是欺诈者使用连接到客户端并连 接到应用服务器的装置,通过中继请求和响应,来窃取数据和/或装作代表客户端浏览器 以实现欺诈的目的。换句话说,中间人装置可以看到所有的通信(traffic)并执行可以由 客户端浏览器所执行的大部分或所有的动作,例如包括修改SSL协议信息。因此,即使使用多信道认证方案,在客户端浏览器成功地实现与认证服务器的附 加认证之后,也仍然可能泄露机密的通信,因为MITM装置嵌入在客户端浏览器和应用服务 器(例如,XYZ银行)之间的通信中。在本发明的一个或多个实施例中,提出了 IP地址安全多信道认证(IPAS-MCA)技 术和装置。一般而言,AS-MCA技术检测在客户端浏览器和应用服务器之间用于通信的IP源地址与在安全认证信道上的在客户端浏览器和认证服务器之间用于通信的源IP地址是否 相同。如果两个IP地址不同,则怀疑有未被授权的中间人装置,并且认证将失败。参考附图和下述的讨论,可以更好地理解本发明的特征和优点。图1示出了典型 的多信道认证方案,其中客户端浏览器102利用应用服务器104和认证服务器106两者来 进行认证。首先,客户端浏览器102联系应用服务器104以请求认证(130)。在这一阶段, 像传统上那样,认证一般使用用户标识和密码组合。如果根据用户标识/密码认为用户是 有效用户,则确定客户端浏览器102的用户是否是多信道认证系统的订户。可以由认证服 务器106通过例如针对它的订户数据库核对用户的身份(其被应用服务器104转发(132) 到认证服务器106)来做出决定。如果确定用户是多信道认证系统的订户,那么为了执行进一步的认证的目的,认 证服务器106经由应用服务器104来向客户端浏览器102发送(134)指令(例如以HTML 代码的形式)以指示客户端浏览器102建立与认证服务器106的安全通信信道。利用由认证服务器106提供的指令(其被经由应用服务器104发送给客户端浏览 器102),客户端浏览器102接着建立到认证服务器106的安全通信信道(136a/136b)。经 由安全通信信道,客户端浏览器102和认证服务器106可以执行进一步的认证。认证一般 是双向的,客户端浏览器向认证服务器验证自己,反之亦然。一般说来,附加认证可能需要只有用户知道的和/或对于向多信道认证系统注册 为属于用户并被授权执行交易的通信装置特定的信息。因此,即使用户标识和密码被窃取, 欺诈者仍然不能完成认证,因为与认证服务器的附加认证需要对于用户和/或被授权的用 户装置特定的附加信息。图2示出了中间人装置的存在,所述中间人装置已经由欺诈者为了对用户实施欺 诈的目的而实现。通常,欺诈者试图诱使用户基于某个借口来进行到其装置110的连接。一 旦基于某个似乎真实的借口进行了连接,欺诈者的装置110接着就代表用户的浏览器102 提供到应用服务器104的连接,欺诈者的装置110位于在客户端浏览器装置102和应用服 务器104之间的通信中间。因此,在客户端浏览器连接MITM之后,所述MITM装置接着连接 到应用服务器,就像两个连接一样。每个连接都具有来自于请求方的源IP地址。因为MITM装置中继在客户端浏览器和认证服务器之间的消息,所以浏览器102的 第一因素认证(利用用户的用户标识和密码)将会成功。此外,在独立安全信道上的浏览 器102和认证服务器106之间的第二因素认证也将会成功。那么,泄露了在客户端浏览器 102和应用服务器104之间的任意后续通信,并且因为MITM装置110几乎可以代表客户端 浏览器102执行任意动作,例如包括SSL协议信息修改,所以欺诈的风险仍然存在。图3示出了根据本发明一个实施例的IP地址安全多信道认证(IPAS-MCA)的示意 图。在图3的实例中,描述了 IPAS-MCA技术的步骤,尽管在图3的实例中不存在欺诈的中 间人装置。这里,存在中间人装置的情况将联系的图4进行讨论。回来参照图3,首先客户端浏览器302联系(330)应用服务器304以请求认证。在 这一阶段,认证一般又使用常规的用户标识和密码组合。此外,应用服务器304也注意接收 的分组的源IP地址。记录所述源IP地址。在图3的实例中,因为没有中间人装置,所以源 IP地址将是客户端浏览器302的IP地址。如果根据第一因素认证用户被认为是有效用户,则确定客户端浏览器302的用户是否是多信道认证系统的订户。可以由认证服务器306通过例如针对它的订户数据库核对 用户的身份(其被应用服务器304转发(332)到认证服务器306)来做出决定。此外,由应 用服务器304记录的源IP地址信息被传递(332)到认证服务器306。如果确定用户是多信道认证系统的订户,那么为了执行进一步的认证认的目的, 认证服务器306经由应用服务器304来向客户端浏览器302发送(334)指令(例如以HTML 代码的形式),以指示客户端浏览器302建立与认证服务器306的安全通信信道。利用由认证服务器306提供的指令(其被经由应用服务器304来发送给客户端浏 览器302),客户端浏览器302接着(使用例如AJAX技术或相似的技术)建立(336A/336B) 到认证服务器306的通信信道。经由该附加通信信道,客户端浏览器302和认证服务器306 可以执行进一步的认证。一般说来,附加认证可能需要只有用户知道的和/或对于向多信道认证系统注册 为属于用户并被授权执行交易的通信装置特定的信息。如所提到的那样,即使泄露了用户 标识和密码,欺诈者仍然不能完成认证,因为与认证服务器的附加认证需要对于用户和/ 或被授权的用户装置特定的附加信息。此外,认证服务器306检查来自从客户端浏览器302接收到的数据分组的源IP地 址,以确定在客户端浏览器302和认证服务器306之间的安全通信会话中,在从客户端浏览 器302接收到的数据分组中的IP地址是否与由应用服务器304转发的IP地址(其反映在 客户端浏览器302和应用服务器304之间的第一因素认证期间由应用服务器304所接收的 数据分组中的源IP地址)相匹配。如果这两个IP地址匹配,则将像图3的实例中的情况 那样,因为没有中间人装置,所以认证被认为是成功的。图4示出了根据本发明一个实施例的IP地址安全多信道认证(IPAS-MCA)的示意 图。在图4的实例中,中间人装置420欺骗性地插入在客户端浏览器402和应用服务器404 之间的通信流中。一般说来,MITM装置420可以首先使用例如像网络仿冒这样的技术来建 立与客户端浏览器402的通信,以哄骗客户端浏览器402的用户相信客户端浏览器402的 用户正在与应用服务器404进行通信。一旦建立了客户端浏览器402和MITM装置420之间 的通信,则MITM装置420联系应用服务器404并打开一个通信信道。在客户端浏览器402 和应用服务器404之间的后续通信由MITM装置420中继。应用服务器404请求客户端浏览器402的认证,而所述请求被MITM 420中继到客 户端浏览器402。如所提到的那样,在这一阶段,像传统上那样,认证一般再次使用用户标识 和密码组合。在MITM 420中继所述请求之后,客户端浏览器402以用户标识/密码组合来 响应所述请求。MITM 420将用户标识/密码中继到应用服务器404。应用服务器404还注意接收到的分组的源IP地址。因为数据分组从MITM装置 420到达,所以记录了与MITM装置420相关联的源IP地址。如果根据用户标识/密码组合用户被认为是有效用户,则确定客户端浏览器402 的用户是否是多信道认证系统的订户。可以由认证服务器406通过例如针对它的订户数据 库核对用户的身份(其被应用服务器404转发(432)到认证服务器406)来做出决定。此 外,将由应用服务器404记录的源IP地址信息(在该实例中其反映来自于通信430B的MITM 装置420的IP地址)传递(参见引用箭头432)到认证服务器406。如果确定用户是多信道认证系统的订户,那么为了执行进一步的认证的目的,认证服务器406经由应用服务器404来向客户端浏览器402发送(434A)指令(例如以HTML 代码的形式)以指示客户端浏览器402建立与认证服务器406的安全通信信道。这些指令 由MITM 420中继(434B)到客户端浏览器402。利用由认证服务器406提供的指令(其被经由应用服务器404发送给客户端浏览 器402),客户端浏览器402接着建立到认证服务器406的通信信道(436A/436B)。经由该 通信信道,客户端浏览器402和认证服务器406可以执行进一步的认证。注意,来自于认证 服务器406的指令可以包括MITM 420不能响应的问询(challenge) /响应,因为MITM 420 不具有共享秘密。在这种情况下,MITM 420将来自于认证服务器406的指令传递到客户端 浏览器402,以允许客户端浏览器402回答所述问询/响应。客户端浏览器402接着按照指 示来建立与认证服务器406的通信信道。此外,认证服务器406检查来自从客户端浏览器402 (来自于由附图标记436A所 指定的通信)接收到的数据分组的源IP地址,以确定在客户端浏览器402和认证服务器 406之间的安全通信会话中,在从客户端浏览器402接收到的数据分组中的IP地址是否与 由应用服务器404转发的IP地址(其反映在客户端浏览器402和应用服务器404之间的 第一因素认证期间由应用服务器404所接收(430B)的数据分组中的源IP地址)相匹配。因为由应用服务器404记录并传递到认证服务器406的IP地址反映MITM装置 420的IP地址,所以该IP地址与客户端浏览器的IP地址不匹配,所述客户端浏览器的IP 地址由认证服务器406从客户端浏览器402和认证服务器406之间的通信中获得。在这种 情况下,认证将失败。如从上述内容中所能理解的那样,本发明的实施例通过进一步实现针对中间人攻 击的防护,扩展了多信道认证技术所提供的安全性。如果用户标识/密码组合被窃取,那么 多信道认证方案可以阻止欺诈者的后续认证,因为欺诈者不可能拥有在独立安全信道上的 第二认证所需的信息(无论是由用户明确地提供还是由用户通过其执行在线交易认证的 授权的通信装置自动地提供)。更重要地,如果中间人装置被欺骗性地插入在客户端浏览器 和应用服务器之间的通信路径中,则IPA-MCA技术可以通过比较IP地址来检测这种欺诈的 中间人装置的存在并阻止认证和后续的欺诈交易。这里通过引用合并的进一步信息由这里的权利要求来提供。虽然已经根据几个优选实施例来描述了本发明,但仍存在落入本发明范围内的修 改、置换和等效物。也应该注意到,存在许多可供选择的实施本发明的方法和装置的替代方 法。虽然这里提供了多个实例,但是其意图是这些实例关于本发明是说明性的而非限制性 的。
权利要求
1.一种用于使用应用服务器和认证服务器的用户的多因素认证的计算机实现方法,所 述用户与所述应用服务器和所述认证服务器相互作用,所述用户利用用户浏览器程序与所 述应用服务器和所述认证服务器中的至少一个进行通信,所述方法包括利用所述应用服务器使用第一因素认证证书认证所述用户;从所述应用服务器向所述认证服务器提供与对使用所述第一因素认证证书的所述认 证的请求相关联的第一源IP地址;指示所述用户在所述用户浏览器程序和所述认证服务器之间建立独立通信信道以执 行附加认证;比较所述第一源IP地址和与利用所述独立通信信道的、从所述用户到所述认证服务 器的通信相关联的第二源IP地址;以及如果所述第一源IP地址与所述第二源IP地址不匹配,则所述用户的认证失败。
2.如权利要求1所述的方法,其中所述第一因素认证证书至少包括用户标识和密码。
3.如权利要求1所述的方法,进一步包括在指示所述用户在所述用户浏览器程序和所 述认证服务器之间建立所述独立通信信道以执行附加认证之前,确定所述用户是否是多因 素认证服务的订户。
4.如权利要求1所述的方法,其中所述附加认证包括在所述认证服务器和所述用户浏 览器程序之间利用共享秘密来进行认证。
5.如权利要求4所述的方法,其中所述共享秘密包括已知事实。
6.如权利要求5所述的方法,其中所述已知事实由所述用户在注册期间利用带外通信 信道来提供。
7.如权利要求6所述的方法,其中所述带外通信信道包括话音呼叫。
8.如权利要求1所述的方法,其中所述附加认证被加密执行。
9.如权利要求1所述的方法,其中所述附加认证是在所述认证服务器和所述用户浏览 器程序之间的双向认证。
10.如权利要求1所述的方法,其中所述指示所述用户在所述用户浏览器程序和所述 认证服务器之间建立所述独立通信信道以执行附加认证涉及AJAX技术。
11.如权利要求1所述的方法,其中所述指示所述用户在所述用户浏览器程序和所述 认证服务器之间建立所述独立通信信道使用HTML。
12.一种用于使用应用服务器和认证服务器的用户的多因素认证的计算机实现方法, 所述用户利用用户浏览器程序与所述应用服务器和所述认证服务器中的至少一个相互作 用,所述方法包括从所述应用服务器接收与从所述用户浏览器程序到所述应用服务器的认证请求相关 联的第一源IP地址;从所述用户浏览器程序接收请求以利用独立通信信道来在所述用户浏览器程序和所 述认证服务器之间执行附加认证,所述独立通信信道与被用于在所述应用服务器和所述认 证服务器之间进行通信的通信信道独立;比较所述第一源IP地址和与在所述认证服务器和所述用户浏览器程序之间执行所述 附加认证的所述请求相关的第二源IP地址;以及如果所述第一源IP地址与所述第二源IP地址不匹配,则所述用户的认证失败。
13.如权利要求12所述的方法,其中在所述用户浏览器程序到所述应用服务器之间的 所述认证包括利用第一因素证书的认证。
14.如权利要求12所述的方法,其中所述第一因素认证证书至少包括用户标识和密码。
15.如权利要求12所述的方法,进一步包括在指示所述用户在所述用户浏览器程序和 所述认证服务器之间建立所述独立通信信道以执行所述附加认证之前,确定所述用户是否 是多因素认证服务的订户。
16.如权利要求12所述的方法,其中所述附加认证包括在所述认证服务器和所述用户 浏览器程序之间利用共享秘密来进行认证。
17.如权利要求16所述的方法,其中所述共享秘密包括已知事实。
18.如权利要求17所述的方法,其中所述已知事实由所述用户在注册期间利用带外通 信信道来提供。
19.如权利要求12所述的方法,其中所述附加认证是在所述认证服务器和所述用户浏 览器程序之间的双向认证。
20.如权利要求12所述的方法,其中所述附加认证被加密执行。
全文摘要
公开了用于使用应用服务器和认证服务器的用户的多因素认证的方法。所述方法包括从所述应用服务器接收与从用户浏览器程序到所述应用服务器的认证的请求相关联的第一源IP地址。所述方法还包括从所述用户浏览器程序接收请求以在所述用户浏览器程序和所述认证服务器之间利用独立通信信道执行附加认证。所述方法还包括比较所述第一源IP地址和与执行所述附加认证的请求相关联的第二源IP地址,并且如果所述第一源IP地址与第二源IP地址不匹配,则所述用户的认证失败。
文档编号H04L9/08GK102006271SQ20091025840
公开日2011年4月6日 申请日期2009年9月2日 优先权日2008年9月2日
发明者林亚骐 申请人:F2威尔股份有限公司