专利名称:基于移动终端的双因子认证方法及系统的制作方法
技术领域:
本发明涉及网络安全领域,更为具体地,涉及基于移动终端的双因子认证方法及 系统。
背景技术:
随着网络与移动计算技术的不断发展,网络与移动计算应用在人们生活中越来越 普及。例如,人们越来越习惯于随时随地通过移动网络来处理各种事务,其中包括比如利用 信用卡或银行卡,通过与银行的数据服务器连接的POS机来进行各项支付等。然而,现今网 络,包括移动网络,黑客技术非常先进,通常能够轻而易举地侵入用户正在使用的网络来获 取用户的机密信息,例如用户信用卡或银行卡的密码信息,并且利用这些信息来进行不合 法的应用,从而使得用户遭受巨大的损失。因此,在进行网络及移动网络应用服务时,需要 在用户尝试进行应用服务时,对用户的身份进行认证,以确保该网络或移动网络应用服务 的安全。为了确保网络或移动网络应用服务的安全,人们通常基于帐户/密码的认证方法 来对用户的身份进行认证,也就是说,在进行网络或移动网络应用服务之前,首先输入账户 和密码,只有在账户和密码都正确的情况下,才允许用户进行网络或移动网络应用服务。这 种基于账户/密码的认证系统是单因子认证系统,攻击者所需要的非公有资源是一个密 码,这对于攻击者而言可能并不是很困难的事情,从而导致这种单因子认证系统的安全性 不高。为了确保网络应用服务更加安全,目前提出了一种双因子认证技术来对用户的身 份进行认证。双因子认证OFA)是指结合密码以及实物(信用卡、SMS手机、令牌或指纹等 生物标志)两种条件对用户进行认证的方法。也就是说,只有在用户具有两种不同的证明 凭据的情况下,才允许用户获取网络应用服务,支付购买商品或服务。从广义上讲,双因子 认证技术包含了动态密码、USBkey、智能卡、数字证书等技术,通过双重认证的方式加强身 份管理。通常双因素认证则是指,用“所知道的”再加上“所持有的”这二个要素组合到一 起才能确认所声称的身份。RSA提出了一种RSA kcureID双因子认证方案。在该技术方案中,需要由RSA提 供双因素令牌和认证服务器,该双因素令牌内置有电池和芯片,并且双因素令牌和认证服 务器采用相同的算法,这个算法是与时间因素相关联的。RSA的双因素令牌要求使用者在 第一次使用令牌登录系统时即设定一个静态PIN码(即“所知道的”)。以后,这个用户每 次登录系统的时候要先输入自己的PIN码(“所知道的”)再连续输入令牌(“所持有的”) 所显示的令牌码(其通常是一个数字)即构成一个完整的双因素口令。这样,当一个在客 户端上的用户进行网络资源登录的时候,客户端将用户所输入的PIN码以及令牌码发送给 认证服务器。认证服务器采用与令牌同样的算法自身生成令牌码,将收到的令牌码与自身 所生成的令牌码进行比较,如果一致,则认为访问者声称的身份是正确的。然而,在该双因子认证方案中,必须需要对每一个用户提供令牌,这构成一个额外
6成本。而且,由于RSA的kcureID令牌不具有可编程能力,其通常使用方法是每一个令牌 初始化绑定到一个应用,不能用于多个不同的应用(即不能使用一个令牌登录不同的网络 服务)。因此RSA的kcureID并不适合于电子商务应用,而仅仅适合于比如网银系统那样 的固定的服务提供者(某家银行),或适合于比如从公共网络登录入一家企业的内部私有 网络进行身份认证那样的应用。当今智能手机已经发展到成为一种个人必须随身携带的计算与通信设备。使用手 机作为双因子身份认证方案中的因子之一也就理所当然成为一个有效的双因子身份认证 方案的设计思路。Google公司提出了一种基于手机短信的双因子认证方案,在该双因子认证方案 中,采用两步流程,即,用户先在客户端输入一个身份证明凭据作为双因子身份认证中“所 知道的”因子,当服务端收到用户输入的身份证明凭据后,通过短信将一个随机数发送到用 户的手机中,然后由用户再次输入所接收到的随机数作为第二个身份认证因子。即,用户持 有手机收到了短信随机数这一事实作为用户持有双因子身份认证中“所持有的”另一因子。 与RSA所提供的RSA SecureID方法相比,Google公司基于短信的双因子认证方案节省掉 了令牌部署的额外成本,这是一个十分重要的优点。但是使用额外的短信通信造成了系统, 尤其是客户端用户操作使用的复杂度的增加。而且短信有时不具有可接受的实时性。这些 缺点妨碍了基于短信的双因子认证方案被广泛采用。该方法的另一重要缺点是没有利用到 手机的智能计算功能,而只利用到了手机的通信功能。如何将智能手机的计算通信功能同 时应用到双因子身份认证方案是本发明的创新要点。当今智能手机已经发展到成为一种个人必须随身携带的计算与通信设备。若干 厂商已经着手研发利用智能手机作为个人随身携带的计算通信设备作为双因子身份认证 的因子之——及工具。比如 Go—Trust (www, go-trust, com)与 Giesecke & Devrient Secure Flash Solutions (www. Rcl-sfs. com)这两家公司已经研发出利用智能手机进行用户身份认 证的方案并且宣称可以应用于安全电子商务。这两种方法都是先由手机对用户进行独立 的身份认证,即,用户输入一个PIN码以启用手机为用户服务,启用后的手机可以接受用户 操作指令进行基于公钥密码体系的密码计算(比如数字签名),因而使手机具备一般意义 上的(即,将手机视为一台联网计算机意义上的)用户身份认证功能(常识基于公钥密 码体系的密码计算外加基于PKI证书体系可以构成一个用户身份认证方案)。如果忽略 一个被用户启用后的智能手机与一台普通计算机平台的差别(二者都可以进行计算与通 信操作),则台式计算机版本使用完全同样方法企图应用于安全电子商务的方案早在1996 年就已经为一个由VISA公司与MasterCard公司共同领导的叫做‘、ecure Electronic Transaction" I页巨(SETProject, # JAL :en. wikipedia. org/wiki/Secure Electronic Transaction)尝试过了。所以可以将这两种基于智能手机的用户身份认证方案或安全电 子商务方案(艮口,Go-Trust 方案与 Giesecke & Devrient Secure Flash Solutions 方案) 看作是智能手机版本的SET技术。SET项目最终没有获得成功应用,最重要的原因就是SET 在客户端使用了基于公钥密码体系的密码计算(比如数字签名),基于公钥密码学的身份 认证方法还必须使用十分复杂与昂贵的PKI证书体系基础设施。如今工业界已经充分认 识到了如下事实个人用户使用与管理PKI证书体系基础设施是一件难以达到的目标。最 近出现的云计算概念更进一步确认复杂又昂贵的技术方案不应该安装在客户端平台,尤
7其是个人使用的客户端计算平台,而应该由处于后端服务平台上的专家作为提供服务来管 理。因此,可以从SET项目的失败得出结论任何一种企图结合智能手机与客户端(即,手 机端)管理PKI证书架构的身份认证方案都难以获得大规模商业应用,比如安全电子商务。与SET项目企图在用户端使用PKI证书架构所造成的高复杂度相反,采用SSL协 议对用户银行卡信息进行加密保护的银行卡网上支付方法由于其方法简单而获得了广泛 应用。在SSL协议方法中,用户身份认证是由用户与银行卡网络系统之间存在的长期服务 关系实现的。具体方法是用户通过SSL协议向商家提供全部用户银行卡信息(银行卡号, 有效日期,用户姓名,CardValidation Value, CVV是银行卡背面的三位数字),由商家生成 身份认证票据,交付予银行卡系统进行身份认证。这相当于用户全权授权商家从用户银行 账号收费。当商家是一个具有信誉的实体时,这一方法十分有效,反之,则该方法限制了用 户使用网上支付的愿望。当今智能手机已经发展到成为一种个人必须随身携带的计算与通信设备。采用智 能手机完全可以结合现有的银行卡网络系统商家POS机系统方法实现安全网上付费方法。 该方法不必在用户端使用复杂的PKI公钥证书系统,而是使用现有的用户银行长期服务关 系实现用户身份认证。用户身份认证的方法也不必像SSL协议方法那样将用户付费授权信 息交付予商家生成认证票据,而是由用户所持有的智能手机来计算身份认证票据。基于上 述,提出了本发明的双因子认证方法及系统。
发明内容
本发明的目的是提供一种基于移动终端的双因子认证方法及系统,利用该双因子 认证方法及系统,可以在用户的移动终端处生成用于认证的认证票据,从而避免将用户的 重要授权信息以明文的方式提供给第三方(比如电子商务系统中的商家)系统来生成认证 票据,由此提高双因子认证的安全性。根据本发明的一个方面,提供了一种用于当用户要通过所拥有的移动终端购买商 品或服务时对用户身份进行身份认证的双因子认证方法,该方法由在线认证中心执行,所 述用户是所述在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭 据、所拥有的移动终端的唯一移动终端ID,所述在线认证中心中还注册有商家或服务提供 方信息,所述方法包括在从所述移动终端接收到在所述移动终端生成的认证票据后,对所 接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、所 述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及商家或服务 提供方信息,其中所述认证票据是在从商家或服务提供方接收到商家或服务提供方信息, 并且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据、所述移 动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符、以及所述商家或服 务提供方信息生成的;通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商 家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终 端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用户身份认证; 以及将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,其 中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所 述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信
8息一致,并且所解析出的当前会话标识符有效时,确定所述用户身份认证成功,否则,确定 所述用户身份认证失败。此外,在一个或多个实施例中,所述当前会话标识符可以是在移动终端利用当前 网络时钟与用户身份证明凭据的散列函数生成的;或者采用在移动终端生成的随机数,或 者采用所述在线认证中心发送的随机数。此外,在一个实施例,在所述当前会话标识符是在移动终端利用当前网络时钟与 用户身份证明凭据的散列函数生成时,检查所述当前会话标识符是否有效的步骤可以包 括在所述在线认证中心,利用在以接收所述认证票据时的网络时钟为中心的预定时间范 围内按照预定间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计算所述散列 函数;将所解析出的当前会话标识符与所计算出的多个计算结果进行比较;以及在所解析 出的当前会话标识符与所计算出的多个计算结果中之一一致时,确定所解析出的当前会话 标识符有效。此外,在另一实施例中,在所述当前会话标识符采用在移动终端生成的随机数时, 检查所述当前会话标识符是否有效的步骤可以包括判断所解析出的随机数是否与记录在 所述在线认证中心中的随机数中之一相同;以及在所解析出的随机数与记录在所述在线认 证中心中的任何随机数不同时,确定所解析出的当前会话标识符有效。此外,优选地,当所述在线认证中心确定所解析出的当前会话标识符有效时,还可 以将所解析出的随机数记录在所述在线认证中心中。此外,在另一实施例中,当所述当前会话标识符采用从所述在线认证中心发送的 随机数时,检查所述当前会话标识符是否有效的步骤可以包括判断所解析出的随机数是 否与存储在所述在线认证中心的随机数中之一相同;以及在所解析出的随机数与存储在所 述在线认证中心的随机数中之一相同时,确定所解析出的当前会话标识符有效。此外,在一个或多个实施例中,所述移动终端与所述在线认证中心可以以直接或 间接的方式进行通信,其中,所述移动终端是通信的发起方,所述在线认证中心是通信的响 应方。此外,所述用户的移动终端和所述在线认证中心之间的信息传输可以利用所注册的 唯一移动终端ID与所述在线认证中心建立起的无线通信链路进行,或经由位于商家或服 务提供方中的POS机转发。根据本发明的另一方面,提供了一种用于当用户要通过所拥有的移动终端购买商 品或者服务时对用户身份进行认证的双因子认证方法,其中,用户是在线认证中心的注册 用户,该方法由用户所拥有的移动终端执行,所述方法包括在从商家或服务提供方接收到 商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,利用所输入的用 户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标 识符、以及所述商家或服务提供方信息,生成认证票据;以及将所生成的认证票据发送到所 述在线认证中心,以供所述在线认证中心进行用户身份认证。根据本发明的另一方面,提供了一种用于当用户要通过所拥有的移动终端购买商 品或者服务时进行用户身份认证的双因子认证方法,该方法由所述在线认证中心以及用户 的移动终端执行,所述用户是所述在线认证中心的注册用户,并且在所述在线认证中心中 注册用户身份证明凭据和用户移动终端的唯一移动终端ID,所述在线认证中心还注册有商 家或服务提供方信息,所述方法包括在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,所述移动终端利用所输入的用户身份 证明凭据、唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及所述商家或服 务提供方信息,生成认证票据;通过利用所注册的唯一移动终端与所述在线认证中心建立 起的无线通信链路,或者经由位于商家或服务提供方中的POS机,所述移动终端将所生成 的认证票据发送到所述在线认证中心;在接收到从所述移动终端发送的认证票据后,所述 在线认证中心对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的用户 身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方信息;通过 检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与 在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供 方信息一致以及当前会话标识符是否有效,所述在线认证中心进行用户身份认证;以及所 述在线认证中心将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移 动终端,其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方 信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服 务提供方信息一致,并且所解析出的当前会话标识符有效时,所述在线认证中心确定所述 用户身份认证成功,否则,所述在线认证中心确定所述用户身份认证失败。根据本发明的另一方面,提供了一种用于当用户要通过所拥有的移动终端购买商 品或服务时对用户身份进行用户身份认证的双因子认证装置,所述用户是在线认证中心的 注册用户,并且在所述在线认证中心中注册用户身份证明凭据和用户所拥有的移动终端的 唯一移动终端ID,所述双因子认证装置包括接收单元,用于接收用户输入的用户身份证 明凭据和从商家或服务提供方接收商家或服务提供方信息,以及接收从所述在线认证中心 返回的用户身份认证结果;会话标识符生成单元,用于生成唯一标识当前会话的当前会话 标识符;认证票据生成单元,用于在从商家或服务提供方接收到商家或服务提供方信息,并 且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据、所述移动 终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及所述商家或服务提 供方信息,生成认证票据;以及发送单元,用于将所生成的认证票据发送到所述在线认证中 心,以供所述在线认证中心进行用户身份认证。此外,在一个或多个实施例中,所述当前会话标识符生成单元通过在移动终端利 用当前网络时钟与用户身份证明凭据的散列函数生成所述当前会话标识符;或者通过在移 动终端生成随机数来生成所述当前会话标识符,或者通过接收从所述在线认证中心发送的 随机数来生成所述当前会话标识符。根据本发明的另一方面,提供了一种移动终端,包括如上所述的双因子认证装置。根据本发明的另一方面,提供一种用于当用户要通过所拥有的移动终端购买商品 或服务时对用户身份进行用户身份认证的在线认证中心,所述用户是所述在线认证中心的 注册用户,并且在所述在线认证中心中注册用户身份证明凭据和用户所拥有的移动终端的 唯一移动终端ID,所述认证中心中还注册有商家或服务提供方信息,所述在线认证中心包 括接收单元,用于接收从所述移动终端发送的认证票据,其中所述认证票据是在从商家 或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据 后,利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于唯一标识当前 会话的当前会话标识符以及所述商家或服务提供方信息生成的;解析单元,用于对所接收
10的认证票据进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、唯一移 动终端ID、当前会话标识符以及所述商家或服务提供方信息;身份认证单元,用于通过检 查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息是否与在 所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方 信息一致以及当前会话标识符是否有效,进行用户身份认证;以及发送单元,用于将所述用 户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,其中,当所解析出 的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息与在所述在线认证中 心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息一致,并且所 解析出的当前会话标识符有效时,所述身份认证单元确定所述用户身份认证成功,否则,所 述身份认证单元确定所述用户身份认证失败。此外,在一个优选实施例中,在所述当前会话标识符是在移动终端利用网络时钟 与用户身份证明凭据的散列函数生成时,所述用户认证单元可以包括计算单元,用于在所 述在线认证中心,利用接收所述认证票据时的网络时钟为中心的预定时间范围内按照预定 间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计算所述散列函数;比较单 元,用于将所解析出的当前会话标识符是否与所计算出的多个计算结果进行比较;以及确 定单元,用于在所解析出的当前会话标识符与所计算出的多个计算结果中之一一致时,确 定所解析出的当前会话标识符有效。此外,在另一优选实施例中,在所述当前会话标识符采用在移动终端生成的随机 数时,所述用户认证单元可以包括判断单元,用于判断所解析出的随机数是否与记录在所 述在线认证中心中的随机数相同;以及确定单元,用于在所解析出的随机数与记录在所述 在线认证中心中的任何随机数不同时,确定所解析出的当前会话标识符有效。此外,在另一优选实施例中,所述在线认证中心还可以包括记录单元,用于当所述 在线认证中心确定所解析出的当前会话标识符有效时,将所解析出的随机数记录在所述在 线认证中心中。此外,在另一优选实施例中,当所述当前会话标识符采用所述在线认证中心发送 的随机数时,所述用户认证单元可以包括判断单元,用于判断所解析出的随机数是否与存 储在所述在线认证中心的随机数中之一相同;以及确定单元,用于在所解析出的随机数与 存储在所述在线认证中心的随机数中之一相同时,确定所解析出的当前会话标识符有效。根据本发明的另一方面,提供了一种用于当用户要通过所拥有的移动终端购买商 品或服务时对用户身份进行用户身份认证的双因子认证系统,所述系统包括如上所述的 移动终端,以及如上所述的在线认证中心。此外,优选地,所述双因子认证系统还可以包括位于商家或服务提供方中的POS 机,用于向移动终端发送商家或服务提供方信息,以及转发所述移动终端和所述在线认证 中心之间的数据通信。为了实现上述以及相关目的,本发明的一个或多个方面包括后面将详细说明并在 权利要求中特别指出的特征。下面的说明以及附图详细说明了本发明的某些示例性方面。 然而,这些方面指示的仅仅是可使用本发明的原理的各种方式中的一些方式。此外,本发明 旨在包括所有这些方面以及它们的等同物。
1
根据下述参照附图进行的详细描述,本发明的上述和其他目的、特征和优点将变 得更加显而易见。在附图中图1示出了根据本发明的一个实施例的双因子认证系统的方框示意图;图2示出了利用图1中示出的双因子认证系统进行的用户身份认证过程的示意 图;图3示出了根据本发明的另一实施例的双因子认证系统的方框示意图;以及图4示出了利用图3中示出的双因子认证系统进行的用户身份认证过程的示意 图。在所有附图中相同的标号指示相似或相应的特征或功能。
具体实施例方式下面描述本公开的各个方面。应该明白的是,本文的教导可以以多种多样形式具 体体现,并且在本文中公开的任何具体结构、功能或两者仅仅是代表性的。基于本文的教 导,本领域技术人员应该明白的是,本文所公开的一个方面可以独立于任何其它方面实现, 并且这些方面中的两个或多个方面可以按照各种方式组合。例如,可以使用本文所阐述的 任何数目的方面,实现装置或实践方法。另外,可以使用其它结构、功能、或除了本文所阐述 的一个或多个方面之外或不是本文所阐述的一个或多个方面的结构和功能,实现这种装置 或实践这种方法。此外,本文所描述的任何方面可以包括权利要求的至少一个元素。以下将结合附图对本发明的具体实施例进行详细描述。图1示出了根据本发明的一个实施例的双因子认证系统10的方框示意图。如图1所示,双因子认证系统10包括移动终端110以及认证服务器(即,在线认 证中心)120,其中,所述用户在所述认证服务器中注册用户身份认证凭据以及用户所拥有 移动终端的唯一移动终端ID。这里,所述用户身份认证凭据可以是由数字和/或字母组成 的字符串,比如ABC123等,即“我所知道的”信息。所述移动终端ID是指标识该移动终端 身份的设备ID,比如,所述唯一移动终端ID是移动终端的SIM卡号、移动终端的IMEI号、移 动终端IMSI号、电话号码、移动终端无线网卡地址、或移动终端的蓝牙MAC地址中之一,或 上述的任意组合,即“所能拿到的”信息。除了移动终端通用的功能之外,所述移动终端110还包括双因子认证装置111,该 双因子认证装置111用于在用户通过所拥有的移动终端购买商品或服务时对用户进行身 份认证。所述双因子认证装置111可以包括接收单元113、当前会话标识符生成单元115、 认证票据生成单元117以及发送单元119。所述接收单元113用于接收用户输入的用户身份证明凭据和从商家或服务提供 方接收商家或服务提供方信息,以及接收从所述认证服务器120返回的用户身份认证结 果。例如,所述接收单元113接收用户输入的用户身份认证凭据以及以无线方式从商家或 服务提供方接收商家或服务提供方信息。或者,在所述认证服务器120完成用户身份认证 后,所述接收单元113可以从所述认证服务器120接收用户身份认证结果。所述当前会话标识符生成单元115用于生成唯一标识当前会话的当前会话标识 符。例如,所述当前会话标识符可以通过在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成;或者通过在移动终端生成随机数来生成,或者通过接收从所述在线认 证中心发送的随机数来生成。很显然,上述仅仅是当前会话标识符的示例。所述会话标识 符还可以采用其它形式的标识符,只要该标识符可以唯一标识该当前会话。所述认证票据生成单元117用于在从商家或服务提供方接收到商家或服务提供 方信息,并且用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据, 用户移动终端的唯一移动终端ID,所生成的用于唯一标识当前会话的当前会话标识符以及 所接收的商家或服务提供方信息,生成认证票据,例如利用Hash函数对所输入的用户身份 证明凭据,内置的唯一移动终端ID、当前会话标识符以及所接收的商家或服务提供方信息 进行散列处理,以生成认证票据。很显然,还可以采用其它合适的函数来进行上述处理。这 里,用户输入的用户身份认证凭据是用户先前在认证服务器120中注册的用户身份认证凭 据。所述发送单元119用于将所生成的认证票据发送到所述认证服务器120,以供所 述认证服务器120进行用户身份认证。例如,发送单元119可以利用所注册的移动终端ID 与所述认证服务器120之间建立起的无线通信链路,来将所生成的认证票据发送到所述认 证服务器120,或者经由位于商家或服务提供方中的POS机转发。另外,在进行认证时,所述 移动终端110与所述认证服务器120之间的信息传输可以以直接或间接的方式进行通信, 其中,所述移动终端是通信的发起方,以及所述认证服务器是通信的响应方。例如,所述移 动终端和所述认证服务器之间的信息传输可以以询问应答方式或以P2P且相互验证的方 式进行。在以询问应答方式在所述移动终端110和所述认证服务器120之间进行数据通信 时,所述移动终端110和所述认证服务器120之间进行一对往返(round-trip)消息交换。 此时,移动终端110处于主动模式,它向认证服务器120发送认证票据。在另一示例中,所 述移动终端110也可以向认证服务器120发送包含有认证票据的认证请求。所述认证服务 器120处于从动模式,它从所述移动终端110接收认证票据或者包含该认证票据的认证请 求,然后对所接收的认证票据或所接收的该认证请求中包含的认证票据进行解析并进行认 证,并且将认证结果发送到移动终端110。所述认证服务器120可以包括接收单元121、解析单元123、身份认证单元125以 及发送单元127。所述接收单元121用于接收从移动终端发送的认证票据,其中所述认证票据是在 从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证 明凭据后,所述移动终端利用用户输入的用户身份证明凭据,用户所拥有的移动终端的唯 一移动终端ID、所生成的用于唯一标识当前会话的当前会话标识符以及所接收的商家或服 务提供方信息生成的。所述解析单元123用于对所接收的认证票据进行解析,以获得在该 所接收的认证票据中包含的用户身份证明凭据,唯一移动终端ID,当前会话标识符以及所 接收的商家或服务提供方信息。所述身份认证单元125通过检查所解析出的用户身份证明凭据、唯一移动终端 ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、 唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用 户身份认证。其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提
13供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家 或服务提供方信息一致,并且所解析出的当前会话标识符有效时,确定所述用户身份认证 成功,否则,确定所述用户身份认证失败。例如,将所解析出的用户身份证明凭据、唯一移动 终端ID、所述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、 唯一移动终端ID以及商家或服务提供方信息进行比较,以判断在所述在线认证中心中是 否存在与所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息一 致的信息。此外,在检查所解析出的当前会话标识符是否有效时,针对所述当前会话标识符 的不同生成方式,可以具有不同的检查过程。例如,在所述当前会话标识符是在移动终端利 用网络时钟与用户身份证明凭据的散列函数生成时,所述用户认证单元125还可以包括计 算单元、比较单元和确定单元(未示出)。所述计算单元用于在所述在线认证中心,利用接 收所述认证票据时的网络时钟为中心的预定时间范围内按照预定间隔选取的多个网络时 钟和所注册的用户身份证明凭据,重新计算所述散列函数。例如,利用以接收所述认证票据 时的网络时钟(例如,12点10分30秒)为中心的1分钟的时间范围内,即,12点10分到 12点11分的范围内,以1秒为间隔选取60个网络时钟,即,12点10分1秒、12点10分2 秒到12点11分,以及所注册的用户身份证明凭据,重新计算所述散列函数。然后,所述比 较单元将所解析出的当前会话标识符是否与所计算出的多个计算结果进行比较。在所解析 出的当前会话标识符与所计算出的多个计算结果中之一一致时,所述确定单元确定所解析 出的当前会话标识符有效,否则,确定所解析出的当前会话标识符无效。或者,在所述当前会话标识符采用在移动终端生成的随机数时,所述用户认证单 元125可以包括判断单元以及确定单元(未示出)。所述判断单元用于判断所解析出的随 机数是否与记录在所述在线认证中心中的随机数相同。在所解析出的随机数与记录在所 述在线认证中心中的任何随机数不同时,所述确定单元确定所解析出的当前会话标识符有 效,否则,确定所解析出的当前会话标识符无效。此外,在这种情况下,所述在线认证中心还 可以包括记录单元,用于当所述在线认证中心确定所解析出的当前会话标识符有效时,将 所解析出的随机数记录在所述在线认证中心中,以供将来在进行当期会话标识符有效性判 断时使用。或者,当所述当前会话标识符采用所述在线认证中心发送的随机数时,所述用户 认证单元125可以包括判断单元以及确定单元。所述判断单元用于判断所解析出的随机数 是否与存储在所述在线认证中心的随机数中之一相同。在所解析出的随机数与存储在所 述在线认证中心的随机数中之一相同时,所述确定单元确定所解析出的当前会话标识符有 效,否则,确定所解析出的当前会话标识符无效。这里要说明的是,以上仅仅是用于确定所解析出的当期会话标识符是否有效的方 式的示例。本领域技术人员还可以采用其它合适的方式,只要该方式能够确定当前会话标 识符的唯一性和真实性。在完成用户身份认证后,所述发送单元127将所述用户身份认证的结果返回给所 述移动终端110或者返回给商家或服务提供方。在所述用户身份认证成功时,允许用户通 过所述移动终端进行当前的网络应用服务,例如通过网络进行远程支付。在所述用户身份 认证失败,拒绝所述用户通过所述移动终端进行当前的网络应用服务。
以上参照图1描述了根据本发明的一个实施例的双因子认证系统10的结构,下面 将参照图2描述由图1中示出的双因子认证系统10进行的用户身份认证过程。在用户需要通过移动终端进行远程支付时,例如在用户通过移动终端远程订购飞 机票或购物而进行支付时,通常需要通过认证服务器进行用户身份认证。这里,通常要求用 户在认证服务器中注册用户身份证明凭据以及用户的移动终端的唯一移动终端ID。图2是示出利用图1中示出的双因子认证系统10进行的用户身份认证过程的示 意图。如图2所示,首先,在从商家或服务方接收到商家或服务提供方信息后,在移动终 端110的屏幕上向用户提示输入用户身份证明凭据(例如,用户密码)(步骤S201)。在接 收到这个提示后,用户输入用户身份证明凭据(步骤S202)。然后,移动终端110中的当前会话标识符生成单元生成与认证服务器120之间的 当前会话的当前会话标识符。例如,所述当前会话标识符可以通过在移动终端利用当前网 络时钟与用户身份证明凭据的散列函数生成;或者通过在移动终端生成随机数来生成,或 者通过接收从所述在线认证中心发送的随机数来生成。很显然,上述仅仅是当前会话标识 符的示例。所述会话标识符还可以采用其它形式的标识符,只要该标识符可以唯一标识该 当前会话。然后,移动终端110利用所输入的用户身份证明凭据,用户移动终端的唯一移动 终端ID,所生成的当前会话标识符以及所接收的商家或服务提供方信息,生成用于用户身 份验证的认证票据,例如利用Hash函数对上述信息进行散列处理来生成认证票据(步骤 S203)。在生成该认证票据后,将所生成的认证票据发送到所述认证服务器120,以供所述认 证服务器120进行用户身份认证(步骤S204)。例如,通过利用在认证服务器120中注册的 移动终端ID而与认证服务器120之间建立的无线通信链路,将所生成的认证票据发送到认 证服务器120。或者,经由位于商家或服务提供方的POS机来转发。在所述认证服务器120通过接收单元121接收到所述认证票据后,所述认证服务 器120中的解析单元123对所接收的认证票据进行解析,例如利用与生成所述认证票据所 采用的函数对应的函数进行处理,以解析在该所接收的认证票据中包含的用户身份证明凭 据,唯一移动终端ID,当前会话标识符以及所述商家或服务提供方信息(步骤S205)。然后,用户身份认证单元125通过检查所解析出的用户身份证明凭据、唯一移动 终端ID、所述商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭 据、唯一移动终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行 用户身份认证(步骤S206)。其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所 述商家或服务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终 端ID以及商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,确定所述 用户身份认证成功,否则,确定所述用户身份认证失败。具体地,例如,将所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服 务提供方的唯一标识信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终 端ID以及商家或服务提供方信息进行比较,以判断在所述在线认证中心中是否存在与所 解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息一致的信息。此外,在检查所解析出的当前会话标识符是否有效时,针对所述当前会话标识符
15的不同生成方式,可以具有不同的检查过程。例如,在所述当前会话标识符是在移动终端利 用网络时钟与用户身份证明凭据的散列函数生成时,所述用户认证单元125还可以包括计 算单元、比较单元和确定单元(未示出)。所述计算单元用于在所述在线认证中心,利用接 收所述认证票据时的网络时钟为中心的预定时间范围内按照预定间隔选取的多个网络时 钟和所注册的用户身份证明凭据,重新计算所述散列函数。例如,利用以接收所述认证票据 时的网络时钟(例如,12点10分30秒)为中心的1分钟的时间范围内,即,12点10分到 12点11分的范围内,以1秒为间隔选取60个网络时钟,即,12点10分1秒、12点10分2 秒到12点11分,以及所注册的用户身份证明凭据,重新计算所述散列函数。然后,所述比 较单元将所解析出的当前会话标识符是否与所计算出的多个计算结果进行比较。在所解析 出的当前会话标识符与所计算出的多个计算结果中之一一致时,所述确定单元确定所解析 出的当前会话标识符有效,否则,确定所解析出的当前会话标识符无效。或者,在所述当前会话标识符采用在移动终端生成的随机数时,所述用户认证单 元125可以包括判断单元以及确定单元(未示出)。所述判断单元用于判断所解析出的随 机数是否与记录在所述在线认证中心中的随机数相同。在所解析出的随机数与记录在所 述在线认证中心中的任何随机数不同时,所述确定单元确定所解析出的当前会话标识符有 效,否则,确定所解析出的当前会话标识符无效。此外,在这种情况下,所述在线认证中心还 可以包括记录单元,用于当所述在线认证中心确定所解析出的当前会话标识符有效时,将 所解析出的随机数记录在所述在线认证中心中,以供将来在进行当期会话标识符有效性判 断时使用。或者,当所述当前会话标识符采用所述在线认证中心发送的随机数时,所述用户 认证单元125可以包括判断单元以及确定单元。所述判断单元用于判断所解析出的随机数 是否与存储在所述在线认证中心的随机数中之一相同。在所解析出的随机数与存储在所 述在线认证中心的随机数中之一相同时,所述确定单元确定所解析出的当前会话标识符有 效,否则,确定所解析出的当前会话标识符无效。在完成用户身份认证后,所述认证服务器120中的发送单元127将用户身份认证 结果返回给移动终端110或者返回给商家或服务提供方。如上参照图1和图2描述的双因子认证系统和方法仅仅是本发明的一个示例实施 例,上述实施例还可以具有其它变型。图3示出了根据本发明的另一实施例的双因子认证 系统20的方框示意图。如图3所示,所述双因子认证系统20包括移动终端110、认证服务器120以及POS 机230。通过比较图1和图3可知,图3中示出的移动终端110和认证服务器120与图1中 示出的完全相同,在此不再进行赘述。同样,图3中示出的移动终端110和认证服务器120 也可以包含上述实施例中提及的各种变型。所述POS机230位于商家或服务提供方中,用于向移动终端发送商家或服务提供 方信息,以及转发所述移动终端和所述在线认证中心之间的数据通信。图4示出了利用图3中示出的双因子认证系统进行的用户身份认证过程的示意 图。如图4所示,首先,移动终端从位于商家或服务提供方的POS机接收商家或服务提 供方信息(步骤S401)。然后,在接收到商家或服务提供方信息后,在移动终端110的屏幕上向用户提示输入用户身份证明凭据(步骤S402)。在接收到这个提示后,用户输入用户身 份认证凭据(步骤S403)。然后,移动终端110的当前会话标识符生成单元115生成与认证服务器120之间 的当前会话的当前会话标识符,并且利用所输入的用户身份证明凭据,内置的唯一移动终 端ID,所生成的当前会话标识符以及所述商家或服务提供方的唯一标识信息,生成用于用 户身份验证的认证票据,例如利用Hash函数进行散列处理来生成认证票据(步骤S404)。 在生成该认证票据后,将所生成的认证票据发送到所述POS机230(步骤S4(^)。然后,POS 机230将所接收的认证票据转发给认证服务器120 (步骤S406)。在所述认证服务器120通过接收单元121接收到所述认证票据后,所述认证服务 器120中的解析单元123对所接收的认证票据进行解析,例如利用与生成所述认证票据所 采用的函数对应的函数进行处理,以获得在该所接收的认证票据中包含的用户身份证明凭 据,唯一移动终端ID,当前会话标识符以及所述商家或服务提供方信息(步骤S407)。然 后,用户身份认证单元125通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述 商家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动 终端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用户身份认 证(步骤S408)。其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服 务提供方信息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及 商家或服务提供方信息一致,并且所解析出的当前会话标识符有效时,确定所述用户身份 认证成功,否则,确定所述用户身份认证失败。关于在不同的当前会话标识符生成方式下的 用户认证过程,与上述针对图2的描述完全相同,在此不再赘述。在完成用户身份认证后,所述认证服务器120中的发送单元127将用户身份认证 结果发送给POS机230 (步骤S409)。然后,POS机230将用户身份认证结果返回给移动终 端110或商家或服务提供方(步骤S410)。以上仅仅是对包含POS机的系统的操作的一个示例说明。在一个或多个实施例 中,还可以对上述图4中示出的过程进行各种修改。例如,在一个实施例中,当在步骤S404 中生成认证票据后,移动终端110可以通过无线方式,将所生成的认证票据发送给认证服 务器120。此外,在完成用户身份认证后,认证服务器120也可以将所述用户身份认证结果 直接返回给移动终端110。如上参照图1到图4对根据本发明的用于在用户访问时进行双因子用户身份认证 的方法和系统进行说明。但是,本领域技术人员应该明白的是,还可以对上述实施例进行各 种修改。例如,在上述实施例中,所述在线认证中心是认证服务器。很显然,所述在线认证 中心也可以采用其它形式,比如银行系统的服务器等。所述移动终端可以是蜂窝电话、个人数字助理(PDA)、无线调制解调器、无线通信 设备、无绳电话或者能够进行无线通信的其它移动设备。通过以上结合附图对本发明实施例的详细描述,不难看出,与现有的移动支付技 术相比,由于在根据本发明的双因子认证方法中,进行用户身份认证的计算处理在认证服 务器上进行,因此移动终端上的计算量小。此外,由于用于身份认证的认证票据在用户自身 拥有的移动终端本地生成,不再需要如同RSA的kcureID以及Google的短信方法一样,将 用户的重要授权信息(比如,信用卡号,截止日期,授权码)交付给自己不信任的第三方处
17理,从而安全性高。而且,在本发明中,用于生成认证票据的移动终端是通用设备,因此,在 进行用户身份认证时不再需要专门的令牌,从而降低了成本。此外,根据本发明的双因子认证方法不必受限于靠近POS机短距离使用,也可以 远距离使用(包含近距离),例如,可以直接利用现有的全球部署的成熟成功的银行卡系统 身份认证系统,进行各种消费的远程或近程支付。尽管前面公开的内容示出了本发明的示例性实施例,但是应当注意,在不背离权 利要求限定的本发明的范围的前提下,可以进行多种改变和修改。根据这里描述的发明实 施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明 的元素可以以个体形式描述或要求,但是也可以设想多个,除非明确限制为单数。虽然如上参照图描述了根据本发明的各个实施例进行了描述,但是本领域技术人 员应当理解,对上述本发明所提出的各个实施例,还可以在不脱离本发明内容的基础上做 出各种改进。因此,本发明的保护范围应当由所附的权利要求书的内容确定。
权利要求
1.一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行身份 认证的双因子认证方法,该方法由在线认证中心执行,所述用户是所述在线认证中心的注 册用户,并且在所述在线认证中心中注册用户身份证明凭据、所拥有的移动终端的唯一移 动终端ID,所述在线认证中心中还注册有商家或服务提供方的唯一标识信息,所述方法包 括在从所述移动终端接收到在所述移动终端生成的认证票据后,对所接收的认证票据进 行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、所述移动终端的唯一 移动终端ID、用于唯一标识当前会话的当前会话标识符以及商家或服务提供方信息,其中 所述认证票据是在从商家或服务提供方接收到所述商家或服务提供方信息,并且用户向移 动终端输入用户身份证明凭据后,所述移动终端利用所输入的用户身份证明凭据、所述移 动终端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符、以及所述商家或服 务提供方信息生成的;通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方的 唯一标识信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID 以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用户身份认证;以及将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信 息与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务 提供方信息一致,并且所解析出的当前会话标识符有效时,确定所述用户身份认证成功,否 则,确定所述用户身份认证失败。
2.如权利要求1所述的双因子认证方法,其中,所述当前会话标识符是在移动终端利 用当前网络时钟与用户身份证明凭据的散列函数生成的;或者采用在移动终端生成的随机 数,或者采用所述在线认证中心发送的随机数。
3.如权利要求2所述的双因子认证方法,其中,在所述当前会话标识符是在移动终端 利用当前网络时钟与用户身份证明凭据的散列函数生成时,检查所述当前会话标识符是否 有效的步骤包括在所述在线认证中心,利用在以接收所述认证票据时的网络时钟为中心的预定时间范 围内按照预定间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计算所述散列 函数;将所解析出的当前会话标识符与所计算出的多个计算结果进行比较;以及在所解析出的当前会话标识符与所计算出的多个计算结果中之一一致时,确定所解析 出的当前会话标识符有效。
4.如权利要求2所述的双因子认证方法,其中,在所述当前会话标识符采用在移动终 端生成的随机数时,检查所述当前会话标识符是否有效的步骤包括判断所解析出的随机数是否与记录在所述在线认证中心中的随机数中之一相同;以及在所解析出的随机数与记录在所述在线认证中心中的任何随机数不同时,确定所解析 出的当前会话标识符有效。
5.如权利要求4所述的双因子认证方法,还包括当所述在线认证中心确定所解析出的当前会话标识符有效时,将所解析出的随机数记录在所述在线认证中心中。
6.如权利要求2所述的双因子认证方法,其中,当所述当前会话标识符采用从所述在 线认证中心发送的随机数时,检查所述当前会话标识符是否有效的步骤包括判断所解析出的随机数是否与存储在所述在线认证中心的随机数中之一相同;以及在所解析出的随机数与存储在所述在线认证中心的随机数中之一相同时,确定所解析 出的当前会话标识符有效。
7.如权利要求1所述的双因子认证方法,其中,所述移动终端与所述在线认证中心以 直接或间接的方式进行通信,所述移动终端是通信的发起方,所述在线认证中心是通信的 响应方。
8.如权利要求1-7中任何一个所述的双因子认证方法,其中,所述用户的移动终端和 所述在线认证中心之间的信息传输利用所注册的唯一移动终端ID与所述在线认证中心建 立起的无线通信链路进行,或经由位于商家或服务提供方中的POS机转发。
9.一种用于当用户要通过所拥有的移动终端购买商品或者服务时对用户身份进行认 证的双因子认证方法,其中,用户是在线认证中心的注册用户,该方法由用户所拥有的移动 终端执行,所述方法包括在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户 身份证明凭据后,利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于 唯一标识当前会话的当前会话标识符、以及所述商家或服务提供方信息,生成认证票据;以 及将所生成的认证票据发送到所述在线认证中心,以供所述在线认证中心进行用户身份 认证。
10.一种用于当用户要通过所拥有的移动终端购买商品或者服务时进行用户身份认证 的双因子认证方法,该方法由所述在线认证中心以及用户的移动终端执行,所述用户是所 述在线认证中心的注册用户,并且在所述在线认证中心中注册用户身份证明凭据和用户移 动终端的唯一移动终端ID,所述在线认证中心还注册有商家或服务提供方信息,所述方法 包括在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户 身份证明凭据后,所述移动终端利用所输入的用户身份证明凭据、唯一移动终端ID、用于唯 一标识当前会话的当前会话标识符以及所述商家或服务提供方信息,生成认证票据;通过利用所注册的唯一移动终端与所述在线认证中心建立起的无线通信链路,或者经 由位于商家或服务提供方中的POS机,所述移动终端将所生成的认证票据发送到所述在线 认证中心;在接收到从所述移动终端发送的认证票据后,所述在线认证中心对所接收的认证票据 进行解析,以获得在该所接收的认证票据中包含的用户身份证明凭据、唯一移动终端ID、当 前会话标识符以及所述商家或服务提供方信息;通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信 息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或 服务提供方信息一致以及当前会话标识符是否有效,所述在线认证中心进行用户身份认 证;以及所述在线认证中心将所述用户身份认证的结果返回给商家或服务提供方,或者返回给 所述移动终端,其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息 与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提 供方信息一致,并且所解析出的当前会话标识符有效时,所述在线认证中心确定所述用户 身份认证成功,否则,所述在线认证中心确定所述用户身份认证失败。
11.一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行用户 身份认证的双因子认证装置,所述用户是在线认证中心的注册用户,并且在所述在线认证 中心中注册用户身份证明凭据和用户所拥有的移动终端的唯一移动终端ID,所述双因子认 证装置包括接收单元,用于接收用户输入的用户身份证明凭据和从商家或服务提供方接收商家或 服务提供方信息,以及接收从所述在线认证中心返回的用户身份认证结果;会话标识符生成单元,用于生成唯一标识当前会话的当前会话标识符;认证票据生成单元,用于在从商家或服务提供方接收到商家或服务提供方信息,并且 用户向移动终端输入用户身份证明凭据后,利用所输入的用户身份证明凭据、所述移动终 端的唯一移动终端ID、用于唯一标识当前会话的当前会话标识符以及所述商家或服务提供 方信息,生成认证票据;以及发送单元,用于将所生成的认证票据发送到所述在线认证中心,以供所述在线认证中 心进行用户身份认证。
12.如权利要求11所述的双因子认证装置,其中,所述当前会话标识符生成单元通过 在移动终端利用当前网络时钟与用户身份证明凭据的散列函数生成所述当前会话标识符; 或者通过在移动终端生成随机数来生成所述当前会话标识符,或者通过接收从所述在线认 证中心发送的随机数来生成所述当前会话标识符。
13.一种移动终端,包括如权利要求11或12所述的双因子认证装置。
14.一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行用户 身份认证的在线认证中心,所述用户是所述在线认证中心的注册用户,并且在所述在线认 证中心中注册用户身份证明凭据和用户所拥有的移动终端的唯一移动终端ID,所述认证中 心中还注册有商家或服务提供方的唯一标识信息,所述在线认证中心包括接收单元,用于接收从所述移动终端发送的认证票据,其中所述认证票据是在从商家 或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据 后,所述移动终端利用所输入的用户身份证明凭据、所述移动终端的唯一移动终端ID、用于 唯一标识当前会话的当前会话标识符以及所述商家或服务提供方信息生成的;解析单元,用于对所接收的认证票据进行解析,以获得在该所接收的认证票据中包含的 用户身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方信息;身份认证单元,用于通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商 家或服务提供方信息是否与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终 端ID以及商家或服务提供方信息一致以及当前会话标识符是否有效,进行用户身份认证; 以及发送单元,用于将所述用户身份认证的结果返回给商家或服务提供方,或者返回给所述移动终端,其中,当所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息 与在所述在线认证中心中注册的用户身份证明凭据、唯一移动终端ID以及商家或服务提 供方信息一致,并且所解析出的当前会话标识符有效时,所述身份认证单元确定所述用户 身份认证成功,否则,所述身份认证单元确定所述用户身份认证失败。
15.如权利要求14所述的在线认证中心,其中,用于唯一标识当前会话的所述当前会 话标识符是在移动终端利用网络时钟与用户身份证明凭据的散列函数生成的;或者采用在 移动终端生成的随机数,或者采用移动终端从所述在线认证中心接收的随机数。
16.如权利要求15所述的在线认证中心,其中,在所述当前会话标识符是在移动终端 利用网络时钟与用户身份证明凭据的散列函数生成时,所述用户认证单元包括计算单元,用于在所述在线认证中心,利用接收所述认证票据时的网络时钟为中心的 预定时间范围内按照预定间隔选取的多个网络时钟和所注册的用户身份证明凭据,重新计 算所述散列函数;比较单元,用于将所解析出的当前会话标识符是否与所计算出的多个计算结果进行比 较;以及确定单元,用于在所解析出的当前会话标识符与所计算出的多个计算结果中之一一致 时,确定所解析出的当前会话标识符有效。
17.如权利要求15所述的在线认证中心,其中,在所述当前会话标识符采用在移动终 端生成的随机数时,所述用户认证单元包括判断单元,用于判断所解析出的随机数是否与记录在所述在线认证中心中的随机数相 同;以及确定单元,用于在所解析出的随机数与记录在所述在线认证中心中的任何随机数不同 时,确定所解析出的当前会话标识符有效。
18.如权利要求17所述的在线认证中心,还包括记录单元,用于当所述在线认证中心确定所解析出的当前会话标识符有效时,将所解 析出的随机数记录在所述在线认证中心中。
19.如权利要求15所述的在线认证中心,其中,当所述当前会话标识符采用所述在线 认证中心发送的随机数时,所述用户认证单元包括判断单元,用于判断所解析出的随机数是否与存储在所述在线认证中心的随机数中之 一相同;以及确定单元,用于在所解析出的随机数与存储在所述在线认证中心的随机数中之一相同 时,确定所解析出的当前会话标识符有效。
20.一种用于当用户要通过所拥有的移动终端购买商品或服务时对用户身份进行用户 身份认证的双因子认证系统,所述系统包括如权利要求13所述的移动终端,以及如权利要求14到19中任何一个所述的在线认证中心。
21.如权利要求20所述的双因子认证系统,还包括POS机,位于商家或服务提供方中,用于向所述移动终端发送商家或服务提供方信息, 以及转发所述移动终端和所述在线认证中心之间的数据通信。
全文摘要
本发明提供一种由在线认证中心以及用户的移动终端执行的双因子认证方法,在该在线认证中心中注册用户身份证明凭据、唯一移动终端ID以及商家或服务提供方信息。在从商家或服务提供方接收到商家或服务提供方信息,并且用户向移动终端输入用户身份证明凭据后,移动终端利用用户身份证明凭据、唯一移动终端ID、当前会话标识符以及所述商家或服务提供方信息,生成认证票据,并发送到在线认证中心。在线认证中心对所接收的认证票据进行解析;通过检查所解析出的用户身份证明凭据、唯一移动终端ID、所述商家或服务提供方信息以及当前会话标识符,进行用户身份认证;然后将用户身份认证结果返回给商家或服务提供方或者移动终端。
文档编号H04L29/06GK102088353SQ201110059569
公开日2011年6月8日 申请日期2011年3月11日 优先权日2011年3月11日
发明者毛文波, 臧斌宇, 陈海波 申请人:道里云信息技术(北京)有限公司