用于通信装置的认证的方法和系统与流程

本申请要求于2014年6月11日提交的南非临时专利申请号2014/04289的优先权，其通过引用被并入本文中。

发明领域

本发明涉及用于认证通信装置的方法和系统。

背景技术：

移动通信装置的使用非常普遍，存储于移动通信装置上或由其访问的信息的安全性是个重要问题。

许多移动通信装置包括安全元件，例如形式为硬件安全模块，安全元件内置于移动通信装置中或者可附连到移动通信装置，诸如通过用户身份模块(SIM)卡。安全元件可以存储诸如支付卡细节的安全细节，并且可以控制安全性和对支付卡细节的访问，例如用于近场通信(NFC)支付实现中。

代替使用基于装置的安全元件，移动通信装置可以在执行安全交易时与远程服务器通信。这种情况的一个示例是主机卡模拟(HCE)，其中作为移动通信装置使用移动装置上的安全元件存储支付卡细节的代替，支付卡细节存储在基于云的安全服务器中。移动通信装置上的应用于是请求基于云的安全服务器将卡细节提交到销售点装置。

为了避免支付过程受到黑客攻击，移动通信装置必须安全地向基于云的安全服务器标识自己，以确保对支付卡细节的请求是有效的。为了不负面地影响用户体验，这旨在是在没有用户输入下完成的。

装置指纹识别技术是向远程服务器标识移动通信装置的已知方法。主动式指纹识别采用直接在装置上安装可执行代码，其可访问分配给装置硬件的标识符，诸如国际移动站设备身份(IMEI)或介质访问控制(MAC)地址。可执行代码使用算法用标识符作为输入生成指纹。远程服务器知道装置生成指纹的方式，因此可以识别装置。

指纹识别技术可能造成违反安全性，因为黑客可能能够获得可执行代码并对其进行反向工程，并且可能通过模仿移动通信装置，试图访问存储卡凭证的远程服务器。

本领域需要解决前述的和其它问题。

前面对本发明技术背景的讨论只旨在促进理解本发明。应当认识到，这些讨论不是承认或认可所提到的任何材料曾是在本申请的优先权日期本领域的公知常识的一部分。

技术实现要素：

根据本发明的第一方面，提供了一种用于认证通信装置的方法，所述方法在远程服务器处执行，并包括步骤：

经由第一通信信道从通信装置接收识别所述通信装置的指纹和特定于所述通信装置并随时间变化的所述通信装置的参数的值；

提取所述通信装置的身份，并在接收所述值时获得针对识别的通信装置的参数的值的预测范围；

确定所接收的值是否在所述预测范围内；以及如果所述值不在所述预测范围内，或者预测范围尚未被建立，则经由第二通信信道向识别的通信装置发送附加认证请求。

所述预测范围可以是对所述通信装置和所述远程服务器之间的给定次数的交互学习得到的，所述值的预期变化率可以被建立。

另外的特征提供所述预测范围是从第三方服务器获得的，所述第三方服务器可以存储针对所述通信装置的参数的对应参数。

发送附加认证请求的步骤还可以包括：通过所述第二通信信道使用在所述通信装置的注册过程中获得的通信号把代码发送到所述通信装置；从所述通信装置接收所述代码；以及认证所述通信装置。所述附加认证请求还可以包括头部，所述头部用于在所述通信装置处识别所述附加认证请求以用于自动处理。

另外的特征提供第二通信信道使用在通信装置的注册过程中获得的通信号。例如，这可以是通信装置的移动用户集成服务数字网络号(MSISDN)号。

在一个实施例中，从所述通信装置接收超过一个值，并且所述方法可以包括：确定每个值是否在该值的预测范围内；以及如果预定数目的值在其预测范围内，则认证所述通信装置。

识别所述通信装置的指纹可以由所述通信装置和所述远程服务器已知的算法生成，所述指纹包括所述通信装置的识别号。例如，所述识别号可以是IMEI或MAC地址。

另外的特征提供所述方法包括注册过程，所述注册过程包括步骤：获得所述通信装置的通信号；记录所述通信装置的识别号和指纹识别方法；以及接收参数的至少一个当前值和该值的时间戳。

所述方法还可以包括：在逝去的时段从最后记录的值接收更新值；以及计算所述值的更新变化率；更新所述值随时间变化的预测范围。

根据本发明的第二方面，提供了一种用于认证通信装置的方法，所述方法在通信装置处执行，并包括步骤：

在从所述通信装置的组件检索给定时间的参数的值，其中，所述参数特定于所述通信装置并随时间变化；

经由第一通信信道把识别所述通信装置的指纹和在所述给定时间的所述参数的值发送到远程服务器；

所述远程服务器确定所述值是否在预测范围内；并且如果所述值不在所述预测范围内，或者所述预测范围尚未被建立，则所述通信装置：

经由第二通信信道在所述通信装置处接收附加认证请求。

另外的特征提供所述方法包括检索并发送超过一个参数的值。

所述方法的附加特征可以包括接收附加认证请求，并确定认证过程是否在所述通信装置中正在进行；如果认证过程正在进行，则将对所述附加认证请求的响应返回所述远程服务器。

所述方法还可以包括识别附加认证请求中的头部，并自动地处理所述附加认证请求。

所述方法还可以包括：监视对用于所述值的所述通信装置的参数的数据的访问；检测任何可疑访问；以及采取行动。

根据本发明的第三方面，提供了一种用于认证通信装置的包括远程服务器的系统，所述系统包括：

认证过程组件，所述认证过程组件包括：接收组件，所述接收组件用于经由第一通信信道从通信装置接收识别所述通信装置的指纹和特定于所述通信装置并随时间变化的所述通信装置的参数的值；

身份提取组件，所述身份提取组件用于提取所述通信装置的身份，并获得在接收所述值时针对识别的通信装置的参数的值的预测范围；

参数值检查组件，所述参数值检查组件用于确定所接收的值是否在所述预测范围内；以及

附加验证组件，所述附加验证组件用于：如果所述值不在所述预测范围内或者所述预测范围尚未被建立，则经由第二通信信道向识别的通信装置发送附加认证请求。

另外的特征提供所述预测范围是由可预测范围组件对所述通信装置和所述远程服务器之间的给定次数的交互学习得到的，且所述值的预期变化率可以被建立。

另外的特征提供来自第三方组件的检索参数从第三方服务器获得所述预测范围，所述第三方服务器可以存储针对所述通信装置的参数的对应参数。

所述附加验证组件还可以包括消息组件，所述消息组件用于通过所述第二通信信道使用在所述通信装置的注册过程中获得的通信号向所述通信装置发送包括代码的附加认证请求，并从所述通信装置接收所述代码。

所述认证过程组件还可以包括：指纹组件，所述指纹组件用于由所述通信装置和所述远程服务器已知的算法生成可以包括所述通信装置的识别号的指纹。

所述远程服务器还可以包括注册组件，所述注册组件包括：通信号组件，所述通信号组件用于获得所述通信装置的通信号；记录组件，所述记录组件用于记录所述通信装置的识别号和指纹识别方法，并接收参数的至少一个当前值和该值的时间戳。

所述注册组件还可以包括更新组件，所述更新组件用于：在逝去的时段从最后记录的值接收更新值；以及计算所述值的更新变化率；更新所述值随时间变化的预测范围。

根据本发明的第四方面，提供了一种用远程服务器认证通信装置的包括通信装置的系统，所述系统包括：

认证过程组件，所述认证过程组件包括：

参数值获得组件，所述参数值获得组件用于从所述通信装置检索在给定时间的参数的值，其中，所述参数特定于所述通信装置并随时间变化；

消息组件，所述消息组件用于经由第一通信信道向远程服务器发送识别所述通信装置的指纹和在所述给定时间的所述参数的值；所述远程服务器确定所述值是否在预测范围内，如果所述值不在所述预测范围内或所述预测范围尚未被建立，则所述通信装置：

经由第二通信信道在所述装置处接收附加认证请求。

另外的特征提供所述参数值获得组件检索并发送超过一个参数的值。

所述通信装置另外可以包括附加认证组件，所述附加认证组件用于接收附加认证请求，并确定认证过程是否在所述通信装置中正在进行；如果认证过程正在进行，则将对所述附加认证请求的响应返回所述远程服务器。

所述通信装置还可以包括：警告组件，所述警告组件具有：监视组件，所述监视组件用于监视对用于所述值的所述通信装置的参数的数据的访问，并检测任何可疑访问；以及用于采取行动的动作组件。

根据本发明的第五方面，提供了一种认证通信装置的计算机程序产品，所述计算机程序产品能够在远程服务器处执行，并包括存储了用于执行以下步骤的计算机可读程序代码的计算机可读介质：

经由第一通信信道从通信装置接收识别所述通信装置的指纹和特定于所述通信装置并随时间变化的所述通信装置的参数的值；

提取所述通信装置的身份，并获得在接收所述值时识别的通信装置的参数的值的预测范围；

确定所接收值是否在所述预测范围内；以及如果所述值不在所述预测范围内或者所述预测范围尚未被建立，则经由第二通信信道向识别的通信装置发送附加认证请求。

根据本发明的第六方面，提供了一种认证通信装置的计算机程序产品，所述计算机程序产品能够在通信装置处执行，并包括存储了用于执行以下步骤的计算机可读程序代码的计算机可读介质：

从所述通信装置的组件检索在给定时间的参数的值，其中，所述参数特定于所述通信装置并随时间变化；

经由第一通信信道向远程服务器发送识别所述通信装置的指纹和在所述给定时间的所述参数的值；

所述远程服务器确定所述值是否在预测范围内；以及如果所述值不在所述预测范围内或者所述预测范围尚未被建立，则所述通信装置：

经由第二通信信道在所述通信装置处接收附加认证请求。

附图说明

现在参照附图，只通过示例描述本发明，附图中：

图1是根据本发明实施例的方法和系统的示意图；

图2是示出根据本发明的一方面在通信装置处和在远程服务器处的方法的流程图；

图3A是示出根据本发明的一方面在通信装置处和在远程服务器处的方法的流程图；

图3B是示出根据本发明的一方面在通信装置处和在远程服务器处的方法的流程图；

图4是示出根据本发明的再一方面在通信装置处的方法的流程图；

图5是根据本发明的一方面通信装置的框图；

图6是根据本发明的一方面远程服务器的框图；

图7是能够用在本发明的各个实施例中的计算装置的框图；以及

图8是能够用在本发明的各个实施例中的通信装置的框图。

具体实施方式

提供所描述方法和系统的实施例，以在通信装置与远程服务器交互时识别和认证通信装置。尽管描述了在通信装置和远程服务器之间交互的实施例，但设想在远程服务处的方法例如可以通过使用消息服务器或注册服务器分布在两个或更多个服务器上。

描述了这样的系统和方法，其中，除了由已知的指纹技术生成指纹以识别装置之外，来自有效的通信装置的通信可以使用从装置提供的信息认证。附加信息可以基于通信装置上的可变的装置特定的参数。可变的装置特定的参数以可预测方式随时间变化，因此，如果值是可信的，则作为附加信息提供的值可以被确定是在可接受的预测范围内。如果该值不在预测范围内，则带外认证可以用来认证通信装置。

使用了术语“通信装置”，其指可以是移动的或静止的任何装置，其具有与远程服务器通信的能力。一些示例包括移动智能电话、移动功能电话、平板电脑、个人计算机等等。尽管特别设想了用在移动通信装置，特别是具有NFC能力以进行支付的移动通信装置，但所描述的方法还可以适用于静态通信装置。

可以用来生成附加信息的值的可变的装置特定参数可以具有不可预测的起始值，但针对特定用户应当以可预测速率随时间变化。示例性参数可以是：装置上安装的应用的数目；装置上由应用使用的存储器；装置上剩余的存储器；装置上或装置上的收件箱中的电子邮件的数目；装置上联系人的数目；装置上短消息服务(SMS)消息的数目；装置上照片的数目；装置上歌曲的数目；或上面各项的任意的组合。可以使用难以猜测起始值且不会以不可预测方式经常变化(例如，如果变化了，通常是在相同方向)的任何一条信息。针对特定用户的通信装置，值变化的速率可以随时间变化被学习得到。

参照图1，示意图(100)图解说明所描述方法和系统的实施例。

提供了通信装置(110)，其可能希望向例如远程服务器(120)标识自己，以便授权交易或访问信息。

在所描述的方法和系统中，第一通信信道(130)提供于通信装置(110)和远程服务器(120)之间，例如，第一通信信道(130)的形式为数据信道。

通信装置(110)可以包括装置认证应用(111)，相应的服务器认证应用(121)在远程服务器(120)上，以执行通信装置(110)的认证检查。通信装置(110)上的装置认证应用(111)可以与服务应用一体地提供，以使用远程服务器的服务。

在一些实施例中，认证应用(111，121)只驻存在远程服务器(120)上，并通过非结构化补充业务数据(USSD)承载信道访问，该承载信道打开了通信装置(110)和远程服务器(120)之间的活动连接。

装置认证应用(111)可以基于识别号，诸如通信装置(110)的序列号，例如形式为装置的IMEI或MAC地址生成指纹(112)。指纹(112)可以使用通信装置(110)和远程服务器(120)都知道的算法由已知方法生成。指纹对于通信装置(110)与远程服务器(120)的所有交互可以是静态的，或者基于变化的算法或种子值可以是动态的，每次交互都变化。

装置认证应用(111)还可以基于从通信装置(110)获得的至少一个可变的装置特定参数生成值(113)。指纹(112)和值(113)可以合并到消息(131)中，或相继地经由第一通信信道(130)发送到远程服务器(120)。

远程服务器(120)可以接收消息(131)，服务器认证应用(121)可以提取指纹(112)和值(113)。指纹(112)可以由相应算法在远程服务器(120)处解码，获得通信装置(110)的识别号。作为确保指纹来自可信装置的附加认证检查，相比在注册通信装置(110)时提供的值，值(113)可以与针对识别的通信装置(110)的装置特定参数的预测范围比较。值(113)可以包括不同装置特定参数的一个或多个值，使得用户资料被提供，每个值可以与相关装置特定参数的预测范围比较。

如果值(113)没有落入预测范围内，或者为了学习预测范围已执行的与通信装置(110)交互的不充足，消息(141)可以由第二通信信道(140)诸如通过短消息服务(SMS)、USSD信道或其它手段发送到通信装置(110)。远程服务器(120)可能在注册过程中已经获得通信装置(110)的移动用户集成服务数字网络号(MSISDN)，或者此号可能在注册时已经提供。消息(141)可以包括代码(142)，用于由通信装置(110)的装置认证应用(111)进行附加验证。

经由第二通信信道(140)发送到通信装置(110)的消息(141)可以包括头部，其可由装置认证应用(111)识别，使得能够提供自动响应。

装置认证应用(111)可以自动地确定是否正在进行当前认证操作，如果是，则可以确认代码(142)返回远程服务器(120)。另一方面，如果在装置处没有进行任何认证操作，则认证应用(111)可以发出警告，或者可以终止第一通信信道(130)或可以采取其它行动。

通过第二通信信道的这种带外验证具有附加优点：验证正确的通信号正由通信装置(110)使用，认证操作已经在正确的通信装置(110)处发起。

所描述的功能可以合并到认证应用中，这可以形成通信装置上提供的银行应用或其它交易应用的一部分。

参照图2，流程图(200)示出在远程服务器(120)注册通信装置(110)的所描述方法的第一方面的实施例。

注册消息可以由通信装置(110)发送(211)到远程服务器(120)。这可以通过USSD消息进行，其能够使远程服务器(120)获得(221)通信装置(110)的MSISDN。替代性地，这可以通过数据信道通信进行，通信装置(110)的通信号可以在注册消息中提供。

远程服务器(120)可以从通信装置(110)请求(222)至少一个装置特定参数值。通信装置(110)可以在注册时从装置上存储的数据获得(212)至少一个装置特定参数，并且可以将此参数发送到远程服务器(120)。要认识到，通信装置(110)可以连续地从装置上存储的数据测量至少一个装置特定参数值，并且可以每隔一定时间或响应于远程服务器(120)的请求或与远程服务器(120)的请求无关在与远程服务器(120)通信时传送到远程服务器(120)。

远程服务器(120)可以在针对通信装置(110)的记录中存储(223)至少一个装置特定参数。此记录还可以包括MSISDN或提供的通信号和注册的时间戳。

远程服务器(120)可以针对已经由通信装置(110)提供的每个装置特定参数值生成(224)自通信装置(110)注册起的随时间变化的可预测值范围。可预测值范围可以是源自精确预测值的可接受变化或分布。预测值可以基于该值随时间的预期变化率。这可以在注册过程被初始估计。

在通信装置(110)和远程服务器(120)之间的稍后通信中，更新值可以由通信装置(110)提供(213)，并由远程服务器(120)接收(225)，记录可以被更新以赋予新值，值的变化率可以基于自值的初始注册或最后一次更新起值的变化率而被更新(226)。以此方式，由于定期更新该值，对于给定装置，可预测范围可能变得更加准确。

如果多个装置特定参数值被获得和更新，以获得预测变化率，则装置资料可以在请求交易的特定时间用每个装置特定参数的预期值构造。

参照图3A，流程图(300)示出用远程服务器(120)认证通信装置(110)的所描述方法的第二方面的实施例。

通信装置(110)可以向远程服务器(120)表明(311)通信装置(110)想与由远程服务器(120)提供的服务交互。例如，这可以是请求或激活存储于远程服务器(120)上的支付卡的交易。

远程服务器(120)可以请求(321)通信装置(110)的认证。这可以通过第一通信信道(130)执行。

通信装置(110)可以接收(312)请求，并可以获得(313)包括通信装置(110)的识别号的指纹，并且还可以从通信装置(110)获得(314)至少一个装置特定参数值。

至少一个装置特定参数值可以与获得的指纹一起合并(315)到消息中。这可以以许多不同方式进行。超过一个值可以被获得，并以使远程服务器(120)可以识别要检查的参数的方式合并。此外，一个或若干值可以合并到指纹中，或者可以与消息中的指纹相区分。

消息可以在远程服务器(120)处接收，远程服务器(120)可以提取(322)指纹和参数值。至少一个参数值可以被识别并与每个参数的预测范围比较(324)。预测范围可以基于注册值和到认证请求的当前时间的预测变化率。该范围可以有一些灵活性，并且如果发送超过一个参数值，则满足预测范围的值的阈值数目可以被预先定义，例如，可能要求三分之二的提供的值落入该值的预测范围内。

确定(325)与预测范围相比参数值是否可接受。如果参数值没有落入预测范围，或有足够多的参数值没有落入预测范围，或者如果还没有建立通信装置的预测范围，则远程服务器(120)可以生成(326)包括唯一代码的验证消息，其中，验证消息经由第二通信信道发送到通信装置(110)。第二通信信道可以是使用在注册过程获得和记录的通信装置的通信号的SMS信道。

可以针对与通信装置(110)的给定次数的初始交互，生成(326)第二信道验证消息，以便学习通信装置(110)的参数值的变化率。例如，可能需要三次交互以建立变化率。

通信装置(110)可以通过第二通信信道接收(316)具有代码的消息，并且可以检查(317)认证过程是否正在进行，如果正在进行，则可以将代码返回(318)远程服务器(120)。此检查可以自动地由认证应用执行，不必由用户进行任何输入。消息可以包括可由认证应用识别的头部，以便消息能够被拦截和自动地响应。附加验证通过检查通信装置(110)实际上正在执行认证程序的过程中来确保认证请求不是来自模仿通信装置(110)的其它人。

而且，附加验证使用通信号(例如，MSISDN)，确保注册的通信装置(110)正在使用注册的通信号。

在远程服务器(120)处，如果确定(325)参数值是可接受的或者附加验证消息被发送，正确代码被接收，则远程服务器(120)可以确认(327)通信装置(110)的认证且所需服务能够开始。

如果在预定的时间帧从通信装置(110)接收到不正确代码或者没有接收任何代码，则第一通信信道被终止，所需服务被拒绝(328)。警告可以由远程服务器(120)发送到注册识别号的通信装置(110)，以便警告通信装置(110)已经收到试图使用通信装置的指纹的恶意或可疑行为。

整个认证方法可以在通信装置(110)上进行，无需用户的知识或输入。

在示例性实施例中，通信装置上邮件箱中的电子邮件的数目被用作装置特定参数，并且假设电子邮件的数目通常以相当稳定的速率增加。当第一消息从通信装置发送到远程服务器时，通信装置可以检索关于邮件数目的信息，此数目可以存储在远程服务器处。电子邮件的数目则可以一直在装置和远程服务器之间的后续的通信中发送，只要电子邮件的数目以稳定速率增加，则该通信会被接受。如果电子邮件的数目减少或以史无前例的数量跳变，则很可能发送通信的不是正确的装置，并且伴随的指纹可能是由黑客创建的。

参照图3B，流程图(301)示出用远程服务器(120)认证通信装置(110)的所描述方法的第二方面的另一实施例。

所述方法基本包括与图3A相同的步骤，这些步骤有：通信装置(110)可以给远程服务器(120)表明(311)通信装置(110)想与远程服务器(120)提供的服务交互，远程服务器(120)可以请求(321)通信装置(110)的认证，这可以通过第一通信信道(130)执行，通信装置(110)可以接收(312)请求，并且可以获得(313)包括通信装置(110)的识别号的指纹，并且还可以从通信装置(110)获得(314)至少一个装置特定参数值，至少一个装置特定参数值可以与获得的指纹一起合并(315)到消息中，此消息可以在远程服务器(120)处接收，远程服务器(120)提取(322)指纹和参数值。

通信装置(110)可能之前已经建立与诸如应用服务器的第三方服务器(150)的连接(310)，至少一个装置特定参数值可能已经从通信装置(110)传送到第三方服务器(150)。例如，应用可以在与第三方服务器(150)通信的通信装置(110)上运行，第三方服务器(150)可以存储与通信装置(110)使用的应用相关的数据。第三方服务器(150)可能已经在数据库中存储(331)至少一个装置特定参数值，该值可以在认证请求时由远程服务器(120)检索(323)。

无论何时通信装置(110)和第三方服务器(150)之间建立连接，通信装置(110)可以向第三方服务器(150)传送装置特定参数值。例如，如果应用是照片共享应用，则照片数目的记录可以存储在应用服务器中，然后可以由远程服务器检索。在向远程服务器(120)注册时，可能需要用户访问应用元数据所需的许可或来自第三方服务器(150)的统计数字。

作为在认证过程中从第三方服务器(150)检索(323)装置特定参数值的值的替代方式，参数值可以每隔一定时间由远程服务器(120)从第三方服务器(150)获得，以在远程服务器(120)处建立参数值的预测变化率。在如参照图2描述的在向远程服务器(120)注册通信装置(110)的过程中，远程服务器(120)可以从第三方服务器(150)获得至少一个装置特定参数值，并且可以在通信装置(110)的记录中存储至少一个装置特定参数值。远程服务器(120)可以针对已经由第三方服务器(150)提供的每个装置特定参数值生成随时间变化的可预测值范围，并且可以在认证中使用所述预测值。要认识到，远程服务器(120)可以连续地或者每隔一定时间从存储于第三方服务器(150)上的数据获得至少一个装置特定参数值的更新，以便确定预测变化率，从而确定认证时的预测值。如之前提到的，可预测值的范围可以是精确预测值的可接受变化或分布。预测值可以基于值随时间的预期变化率。

直接从通信装置(110)获得的至少一个参数值然后可以与每个参数的预测范围或与从第三方服务器(150)检索的参数的检索值比较。如之前提到的，范围可以有一些灵活性，如果超过一个参数值被发送，则可以预先定义满足预测范围的值的阈值数目。

如果参数值没有落入预测范围，或有足够多数目的参数值没有落入预定范围，或者如果尚未建立通信装置的预测范围，则远程服务器(120)可以生成(326)包括唯一代码的验证消息，其中，验证消息通过第二通信信道发送到通信装置(110)。通信装置(110)可以通过第二通信信道接收(316)具有代码的消息，并且可以检查(317)认证过程是否在进行中，如果在进行中，则可以将代码返回(318)远程服务器(120)。如之前提到的，此检查可以自动地由认证应用执行，无需由用户进行任何输入。

在远程服务器(120)处，如果确定(325)参数值是可接受的，或者发送附加验证消息且收到正确代码，则远程服务器(120)可以确认(327)通信装置(110)的认证，且所需服务可以开始。反之，如果代码不正确，或者没有从通信装置(110)接收任何代码，则第一通信信道被终止，所需服务被拒绝(328)。

在示例性实施例中，通信装置上照片的数目被用作装置特定参数，并假设照片的数目通常会以相对稳定的速率增加。当第一消息从通信装置发送到远程服务器时，通信装置可以检索与照片数目有关的信息，此数目可以保存在远程服务器处。通信装置可以连续地获得并在装置和远程服务器之间的后续通信中传送照片数目，只要照片数目以稳定速率增加，则此通信会被接受。替代性地，照片的数目还可以从第三方服务器检索，第三方服务器形式为用于照片共享应用的应用服务器。如果照片数目减少或以不可能的数量变化，则很可能正在发送通信的是不正确的装置，并且伴随的指纹可能是由黑客创建的。

参照图4，流程图(400)示出防止恶意使用通信装置(110)的所描述方法的另一方面的实施例。

通信装置(110)可以监视(411)对存储于通信装置上的数据和在认证方法中可用作装置特定参数的装置的其它参数的访问。此监视可以由通信装置的操作系统执行，或者作为通信装置上运行的认证应用的一部分。可以检测不是来自诸如认证应用的合法来源的任何访问。

如果检测到(412)可疑访问，则可以采取行动(413)，形式为向用户发出警告，阻止通信信道，或者向远程服务器(120)发送消息以阻止针对通信装置的识别号的服务。

当在通信装置上安装认证应用时，通信装置可以警告用户此应用会从通信装置访问参数值。警告还可以在第一次使用应用且访问参数值时提供。之后，可以允许安装的应用访问参数值；不过由可能不可信的其它应用的访问会触发警告。

参照图5，框图示出通信装置(110)的示例性实施例，通信装置(110)除了具有用于通过第一和第二通信信道与远程服务器(120)通信的第一和第二通信组件(550，560)之外，具有用于认证通信装置(110)的身份的参数生成组件(500)、装置认证组件(510)。

参数生成组件(500)可以包括用于生成装置上或装置上的收件箱中电子邮件数目的第一组件(501)，用于生成装置上照片的数目的第二组件(502)、用于生成装置上安装的应用的数目的第三组件和用于生成装置上使用的存储器或剩余的存储器的第四组件。

认证组件(510)可以包括注册组件(520)、认证过程组件(530)和警告组件(540)。

注册组件(520)可以包括用于在注册过程中提供通信装置(110)的识别号的识别号组件(521)。注册组件(520)还可以包括用于在注册过程中提供通信装置(110)的通信号的通信号组件(524)。注册组件(520)可以包括用于建立指纹识别算法的指纹组件(522)。注册组件(520)还可以包括用于从参数生成组件(500)获得至少一个装置特定参数值的参数值获得组件(523)。

认证过程组件(530)可以包括用于获得通信装置(110)的指纹包括通信装置识别号的指纹组件(531)。认证过程组件(530)还可以包括用于在认证过程中从参数生成组件(500)获得至少一个装置特定参数值的参数值获得组件(532)。认证过程组件(530)还可以包括用于编辑包括指纹和至少一个参数值的消息以通过第一通信信道发送的消息组件(533)。

认证过程组件(530)可以包括附加验证组件(535)的子组件，包括用于通过第二通信信道接收带外附加验证请求的请求接收组件(536)。附加验证组件(535)可以包括用于从通信装置(110)的认证过程组件(530)检查认证过程当前正在进行中的检查组件(537)。附加验证组件(535)还可以包括用于向远程服务器(120)提供响应的响应组件(538)。

警告组件(540)可以包括用于监视对装置特定参数的访问以便检测访问此数据的任何可疑行为的监视组件(541)。警告组件(540)可以包括提供响应动作的动作组件(542)，诸如向用户提供警告，向远程服务器提供警告，服务请求的终止或通信信道的终止。

参照图6，框图示出具有用于认证通信装置(110)的身份的服务器认证组件(610)的远程服务器(120)的示例性实施例。

认证组件(610)可以包括除了用于通过第一和第二通信信道与通信装置(110)通信的第一和第二通信组件(650，660)之外的注册组件(620)、认证过程组件(630)和警告组件(640)。

注册组件(620)可以包括用于注册通信装置的识别号的细节的识别号组件(621)。

注册组件(620)还可以包括用于从通信装置(110)获得通信号的通信号组件(626)。这可以是通信装置(110)的MSISDN，其可以由远程服务器(120)通过USSD消息自动地获得。替代性地，识别号可以是在注册过程中提供的通信装置(110)的电话号码。

注册组件(620)可以包括用于注册识别指纹算法以用于被注册的通信装置(110)的指纹组件(625)。

注册组件(620)还可以包括用于记录由通信装置(110)提供的至少一个参数值的记录组件(622)；用于计算自提供值起对于给定时间帧该值的可预测范围的可预测范围组件(623)；用于在认证过程中接收更新参数时更新参数值和可预测范围的更新组件(624)。

认证过程组件(630)可以包括用于请求认证通信装置(110)的请求组件(631)；用于从在第一通信信道上接收的消息中接收和提取信息的消息接收组件(632)。指纹组件(633)可以解码接收的指纹以获得通信装置(110)的识别号。可以提供参数值检查组件(634)，以检查所接收的至少一个参数值，对照由注册组件(620)计算的识别的通信装置(110)的针对此值的预测范围。可以提供用于可选地从第三方服务器(150)检索至少一个参数值的从第三方组件检索参数(635)和用于提取通信装置(110)的身份的身份提取组件(636)。

认证过程组件(630)可以包括附加验证组件(637)，附加验证组件(637)包括具有代码生成组件的消息组件(638)，在参数值不被接受或在学习预测范围的初始周期中使用的情况下，代码通过第二通信信道发送到通信装置(110)。

警告组件(640)可以包括警告接收组件(641)和用于在接收警告时中断信道或服务的动作组件(642)。

图7图解说明可以实现本公开的各个方面的计算装置(700)例如远程服务器的示例。计算装置(700)可以适合存储和执行计算机程序代码。之前描述的系统图中的各个参与方和元件可以使用任何适当数目的通信装置(700)的子系统或组件以促进本文中描述的功能。

计算装置(700)可以包括通过通信架构(705)互连的子系统或组件(例如，通信总线、跨接杆装置或网络)。计算装置(700)可以包括至少一个中央处理器(710)和形式为计算机可读介质的至少一个存储器组件。

存储器组件可以包括系统存储器(715)，其可以包括只读存储器(ROM)和随机存取存储器(RAM)。基本输入/输出系统(BIOS)可以存储在ROM中。包括操作系统软件的系统软件可以存储在系统存储器(715)中。

存储器组件还可以包括辅助存储器(720)。辅助存储器(720)可以包括固定磁盘(721)，诸如硬盘驱动器，并且可选地有用于移动存储组件(723)的一个或多个移动存储接口(722)。

移动存储接口(722)可以是用于相应的移动存储组件(例如，磁带、光盘、软盘等等)的移动存储驱动器(例如，磁带驱动器、光盘驱动器、软盘驱动器等等)的形式，其可以写入并由移动存储驱动器读。

移动存储接口(722)还可以是用于与其它形式的移动存储组件(723)(诸如闪存驱动器、外部硬盘驱动器、或移动存储器芯片等等)接口的端口或插槽的形式。

计算装置(700)可以包括用于在联网环境中操作计算装置(700)实现数据在多个计算装置(700)之间传输的外部通信接口(730)。通过外部通信接口(730)传输的数据可以是信号的形式，信号可以是电子、电磁、光、射频或其它类型的信号。

外部通信接口(730)可以实现数据在计算装置(700)和其它计算装置(包括服务器和外部存储设施)之间的通信。网络服务可以由计算装置(700)通过通信接口(730)访问。

外部通信接口(730)还可以实现与计算装置(700)的其它形式的往返通信，包括语音通信，近场通信，蓝牙等等。

形式为各种存储器组件的计算机可读介质可以提供计算机可执行指令、数据结构、程序模块和其它数据的存储。计算机程序产品可以由计算机可读介质提供，计算机可读介质具有存储的由中央处理器(710)执行的计算机可读程序代码。

计算机程序产品可以由瞬态计算机可读介质提供，或者可以通过信号或通过通信接口(730)的其它瞬态装置提供。

通过通信架构(705)的互连使中央处理器(710)与每个子系统或组件通信，并控制来自存储器组件的指令的执行，以及信息在子系统或组件之间的交换。

外围设备(诸如打印机、扫描器、照相机等等)和输入/输出(I/O)装置(诸如鼠标、触摸板、键盘、麦克风、游戏杆等等)可以直接地或者通过I/O控制器(735)耦连到计算装置(700)。这些组件可以通过本领域已知的任何数目的装置(诸如串行端口)连接到计算装置(700)。

一个或多个监视器(745)可以通过显示器或视频适配器(740)耦连到计算装置(700)。

图8示出可以用在本公开的实施例中的通信装置(800)的框图。通信装置(800)可以是蜂窝电话、功能电话、智能电话、卫星电话或具有电话能力的计算装置。

通信装置(800)可以包括用于处理通信装置(800)的功能的处理器(805)(例如微处理器)和允许用户查看电话号码和其它信息和消息的显示器(820)。通信装置(800)还可以包括允许用户将信息输入到装置中的输入元件(825)(例如，输入按钮、触摸屏等等)，允许用户听到语音通信、音乐等的扬声器(830)和允许用户通过通信装置(800)传送其语音的麦克风(835)。

通信装置(800)的处理器(810)可以连接到存储器(815)。存储器(815)可以是存储数据并且可选地存储计算机可执行指令的计算机可读介质的形式。

通信装置(800)还可以包括连接到通信信道(例如，蜂窝电话网络、数据传输网络、Wi-Fi网络、卫星电话网络、因特网网络、卫星因特网网络等等)的通信元件(840)。通信元件(840)可以包括关联的无线传输元件，诸如天线。

通信元件(840)可以包括形式为集成电路的用户身份模块(SIM)，其存储国际移动用户身份和与使用通信装置(800)识别和认证用户有关的密钥。一个或多个用户身份模块可以从通信装置(800)移除或者嵌入通信装置(800)中。

通信装置(800)还可以包括非接触元件(850)，其通常以半导体芯片(或其它数据存储元件)的形式实现，具有关联的无线传输元件，诸如天线。非接触元件(850)可以与通信装置(800)关联(例如嵌入其内部)，通过蜂窝网络传送的数据或控制指令可以通过非接触元件接口(未显示)施加到非接触元件(850)。非接触元件接口可以起着允许在移动装置电路(因此是蜂窝网络)和非接触元件(850)之间交换数据和/或控制指令的作用。

非接触元件(850)能够使用近场通信(NFC)能力(或近场通信介质)通常根据标准协议或数据传输机制(例如，ISO 14443/NFC)发送和接收数据。近场通信能力是一种短距离通信能力，诸如射频识别(RFID)、蓝牙、红外或可以用来在通信装置(800)和询问装置之间交换数据的其它数据传输能力。因此，通信装置(800)能够通过蜂窝网络和近场通信能力两者传送和传输数据和/或控制指令。

存储在存储器(815)中的数据可以包括：与通信装置(800)的操作有关的操作数据，个人数据(例如，姓名、出生日期、身份证号等等)，金融数据(例如，银行账户信息、银行识别号(BIN)、信用卡号或借记卡号信息、账户余额信息、到期日期、忠诚提供者账户号等等)，运输信息(例如，在地铁或火车通行中)，访问信息(例如，如在访问徽章中)等等。用户可以把此数据从通信装置(800)发送到所选接收器。

此外，通信装置(800)可以是能够接收警告消息和访问报告的通知装置，能够用来发送识别要应用的折扣的控制数据的便携式商家装置，以及能够用来进行支付的便携式消费者装置。

前面出于图示目的已经呈现了对本发明实施例的描述；不旨在是详尽的，或将本发明限制到所公开的精确形式。本领域技术人员能够认识到根据本公开许多修改和变形是可行的。

此描述的一些部分根据对信息进行操作的算法和符号表示描述了本发明的实施例。这些算法描述和表示通常由数据处理领域的人员使用，以将其工作实质传送给本领域的其它技术人员。尽管在功能、计算或逻辑上描述了这些操作，但要理解这些操作是由计算机程序或等效电子电路、微代码等等实现的。所描述的操作可以体现在软件、固件、硬件或其任意组合中。

本申请中描述的软件组件或功能可以实现为使用任何适当计算机语言(比方说例如Java,C++或Perl)，使用例如传统的或面向对象的技术由一个或多个处理器执行的软件代码。软件代码可以存储为非瞬态计算机可读介质(诸如随机存取存储器(RAM)、只读存储器(ROM)、磁介质(诸如硬盘或软盘)或光介质(诸如CD-ROM))上的一系列指令或命令。任何这种计算机可读介质还可以驻存在单个运算设备上或驻存在单个运算设备内，可以位于系统或网络中的不同运算设备或在系统或网络中的不同运算设备上。

本文中描述的任何步骤、操作或过程可以借助一个或多个硬件或软件模块单独地或与其它装置结合地执行或实现。在一个实施例中，软件模块是借助包括非瞬态计算机可读介质(包含计算机程序代码)的计算机程序产品实现的，计算机程序代码能够由计算机处理器执行以完成所描述的任何或所有步骤、操作或过程。

最后，说明书中使用的语言主要是出于可读性和教导目的选择的，不是为界定或限制本发明的主题选择的。因此，想要使本发明的范围不受此详细描述的限制，而是由发布基于此的申请的任何权利要求限制。因此，本发明的实施例的公开旨在是示意性的，而不是限制本发明的范围，本发明的范围在所附权利要求中列出。