專(zhuān)利名稱:數(shù)據(jù)處理系統(tǒng)中驗(yàn)證用戶的方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及數(shù)據(jù)處理系統(tǒng)或計(jì)算機(jī)系統(tǒng)以及數(shù)據(jù)網(wǎng)絡(luò)領(lǐng)域。本發(fā)明更具體 地涉及用于數(shù)據(jù)處理系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)中的用戶驗(yàn)證的方法和系統(tǒng)。
背景技術(shù):
術(shù)語(yǔ)“驗(yàn)證”一般是指這樣的處理,即通過(guò)該處理,兩個(gè)或更多個(gè)不同實(shí)體,例如, “客戶端_服務(wù)器”系統(tǒng)中的“客戶端”數(shù)據(jù)處理單元和“服務(wù)器”數(shù)據(jù)處理單元可以互相檢 驗(yàn)其身份。已知計(jì)算機(jī)系統(tǒng)處驗(yàn)證用戶的若干方法,這些方法用于利用例如下列檢驗(yàn)方法中 的一個(gè)或多個(gè)評(píng)估用戶的身份_用戶本身的某些東西(例如,利用生物計(jì)量數(shù)據(jù),如指紋、聲紋、視網(wǎng)膜模型、DNA 序列或筆跡或用戶的其它生物計(jì)量標(biāo)識(shí));_用戶具有或擁有的某些東西(例如,可能將通過(guò)適合的讀取設(shè)備被耦合到他/她 所有的計(jì)算機(jī)的身份證或硬件設(shè)備_ “令牌”-例如,硬件密鑰或“智能卡”);-用戶知道的某些東西(例如,口令、密碼和/或“PIN”-個(gè)人身份號(hào)碼_或“用戶 名”)。過(guò)去為了驗(yàn)證用戶,主要利用最后這一段將要在數(shù)據(jù)處理系統(tǒng)處被驗(yàn)證的用戶 必須提供用戶名和口令的組合?,F(xiàn)在,由于通過(guò)數(shù)據(jù)網(wǎng)絡(luò)可在線獲得的、用戶通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)(因特網(wǎng)、公司內(nèi) 聯(lián)網(wǎng)和外聯(lián)網(wǎng))可享有的服務(wù)(例如,銀行服務(wù)、股票或債券交易服務(wù)、電子消息發(fā)送服 務(wù)_ “電子郵件”、“真正簡(jiǎn)單聚合”-RSS服務(wù)、新聞組等)以及最近以來(lái)的涉及基于DTT (數(shù) 字陸地電視)和IPTV(網(wǎng)際協(xié)議電視)技術(shù)的內(nèi)容的付費(fèi)分發(fā)的娛樂(lè)服務(wù)的連續(xù)增加,用 戶驗(yàn)證的問(wèn)題甚至比以往更為迫切。因此已經(jīng)開(kāi)發(fā)了與基于用戶名/ 口令的通常機(jī)制相比更為安全和強(qiáng)大的驗(yàn)證機(jī) 制,諸如例如基于生物計(jì)量檢測(cè)的解決方案,或伴隨有專(zhuān)用軟件(“一次性口令”-OTP-數(shù)字 證書(shū)等)的基于硬件令牌或智能卡的解決方案。在 Shintaro Mizuno, Kohji Yamada, Kenji Takahashi 等的"Authentication Using Multiple Communication Channels,,,NTTInformation Platform Sharing Laboratories, Proceedings of the 2005workshops on Digital identity management, 2005, Fairfax, VA, USA, November 11-11,2005 的第 54 到 62 頁(yè)描述了一種使用二維條形碼 的“質(zhì)詢_響應(yīng)”驗(yàn)證機(jī)制。服務(wù)提供者網(wǎng)站向連接在Internet上的用戶的計(jì)算機(jī)發(fā)送一 個(gè)包括“質(zhì)詢”的條形碼;用戶使用蜂窩電話讀取顯示在計(jì)算機(jī)屏幕上的二維條形碼;再次 使用該蜂窩電話在蜂窩電話網(wǎng)絡(luò)上通過(guò)驗(yàn)證服務(wù)器向服務(wù)提供者發(fā)送該“質(zhì)詢”,并且然后 它與服務(wù)提供者的簽名一起重新發(fā)送到該蜂窩電話。在 J. M. McCune 等 人 的 “Seeing-is-Believing :Using ChamberPhones for Human—VerifiabIe Authentication”,Proceedings of the2005IEEE Symposium onSecurity and Privacy,May 8—11,2005,TheClaremont Resort,Oakland,California,USA 的第110-124頁(yè),給出了一種使用二維條形碼和帶有照相機(jī)的蜂窩電話實(shí)現(xiàn)視覺(jué)識(shí)別通道 的系統(tǒng);該蜂窩電話必須能夠使用集成的照相機(jī)以便識(shí)別二維條形碼。該方法使用二維條 形碼在移動(dòng)設(shè)備上傳輸一個(gè)散列值,該散列值將用于檢驗(yàn)以其它方式(紅外線通信、藍(lán)牙) 交換的驗(yàn)證密鑰,以便與TCG兼容的應(yīng)用建立安全連接(其中TCG代表可信計(jì)算組,一個(gè)促 進(jìn)公開(kāi)標(biāo)準(zhǔn)以便相對(duì)于軟件攻擊加強(qiáng)數(shù)據(jù)處理平臺(tái)的組織)。
發(fā)明內(nèi)容
申請(qǐng)人:觀察到上述技術(shù)相當(dāng)復(fù)雜,并且其成本相對(duì)于它們被要求提供的安全性和 可靠性的程度指數(shù)地增長(zhǎng)。例如,在使用硬件令牌的解決方案中,在能夠與用戶擁有的設(shè)備“同步”的服務(wù)器 上給出極其精確的時(shí)鐘,同步的不協(xié)調(diào)使得用戶設(shè)備和驗(yàn)證處理兩者都不可用。Mizimo等的文章中描述的技術(shù)具有需要連接到移動(dòng)電話網(wǎng)絡(luò)的問(wèn)題,這不總是可 能的。McCime等的文章中描述的方法不是用于驗(yàn)證用戶的,而是驗(yàn)證旨在建立數(shù)據(jù)連接 的應(yīng)用或設(shè)備的,并且它使用某種形式的無(wú)線電或有線通信。安全性僅與終端的持有相聯(lián)系。因此申請(qǐng)人觀察到需要獲得一種與當(dāng)前可獲得的解決方案相比具有高度安全性 和較低實(shí)現(xiàn)成本的驗(yàn)證用戶的新方法。申請(qǐng)人:已經(jīng)找到了一種安全并且同時(shí)具有低的實(shí)現(xiàn)成本的方法;這種方法利用 “質(zhì)詢_響應(yīng)”類(lèi)型的驗(yàn)證機(jī)制。出于本發(fā)明的目的,“質(zhì)詢-響應(yīng)”機(jī)制旨在是這樣的機(jī)制,希望在另一個(gè)實(shí)體處 驗(yàn)證的對(duì)象/實(shí)體和驗(yàn)證者實(shí)體證實(shí)能夠共享基于處理方法的功能(例如,加密/解密功 能、散列功能、編碼/解碼功能)或允許互相識(shí)別的信息(例如,用戶名、PIN、加密或散列密 鑰);在例如CHAP (質(zhì)詢握手驗(yàn)證協(xié)議)或Kerberos協(xié)議中或在第二代和第三代移動(dòng)電話 網(wǎng)絡(luò)的驗(yàn)證中利用了這種“質(zhì)詢_響應(yīng)”機(jī)制。具體地,出于本發(fā)明的目的,“質(zhì)詢”是發(fā)送 給必須被驗(yàn)證的主體的預(yù)期信息,它唯一地與將被驗(yàn)證的主體相關(guān)聯(lián),并且將被驗(yàn)證的主 體利用它展示出擁有確定的能力、產(chǎn)生驗(yàn)證者實(shí)體預(yù)計(jì)的正確“響應(yīng)”。具體地,由數(shù)據(jù)處理系統(tǒng),例如,用戶希望在該處進(jìn)行驗(yàn)證的驗(yàn)證服務(wù)器,分派給 用戶例如圖形形式的驗(yàn)證“質(zhì)詢”,例如,二維條形碼形式。如果需要,可以使用加密技術(shù)和 /或信息驗(yàn)證技術(shù)保護(hù)發(fā)送給用戶的圖形“質(zhì)詢”的內(nèi)容。為了產(chǎn)生將被返回給驗(yàn)證服務(wù)器的“響應(yīng)”,用戶使用不同于用戶必須用于輸入他 /她的驗(yàn)證所必需的信息的計(jì)算機(jī)的具有圖像捕捉功能的設(shè)備。例如,這種設(shè)備可以有利地 是配備有照相機(jī)或可攜式攝像機(jī)的蜂窩電話、一種安裝了適于識(shí)別和處理以圖形形式接收 的“質(zhì)詢”的適當(dāng)軟件或固件的當(dāng)前越來(lái)越流行的設(shè)備。用戶在應(yīng)答中發(fā)送的作為對(duì)接收到的“質(zhì)詢”的處理結(jié)果的“響應(yīng)”不包含足夠信 息使得一個(gè)人能夠取出據(jù)以計(jì)算該“響應(yīng)”的“質(zhì)詢”,并且不能被攻擊者出于干擾驗(yàn)證服務(wù) 器和用戶之間或反過(guò)來(lái)的通信的目的而使用。所提出的解決方案的優(yōu)點(diǎn)是,對(duì)于其操作來(lái)說(shuō),它不需要無(wú)線電覆蓋,特別是移動(dòng)電話網(wǎng)絡(luò)的覆蓋,這是由于它利用信息的“光學(xué)”讀取。另一個(gè)優(yōu)點(diǎn)是它不基于內(nèi)部時(shí)鐘以 產(chǎn)生必須被輸入的驗(yàn)證信息。優(yōu)選地,由驗(yàn)證服務(wù)器產(chǎn)生的驗(yàn)證信息,S卩,“質(zhì)詢”和預(yù)期作為來(lái)自用戶的響應(yīng)的 “響應(yīng)”具有有限的時(shí)間有效性,以防止其任何可能的欺詐性重用。優(yōu)選地,驗(yàn)證服務(wù)器可以實(shí)現(xiàn)一些機(jī)制,適于在有限次數(shù),例如3次的連續(xù)不成功 的驗(yàn)證嘗試之后禁用該用戶。由于使用已有的、非專(zhuān)用的設(shè)備和軟件解決方案,所提出的解決方案的優(yōu)點(diǎn)是與 其它驗(yàn)證方法相比管理成本降低。根據(jù)本發(fā)明的一個(gè)方面,提供了一種在數(shù)據(jù)處理系統(tǒng)中驗(yàn)證用戶的方法。該方法 包括-生成唯一地與將被驗(yàn)證的用戶相關(guān)聯(lián)的“質(zhì)詢”;-處理該“質(zhì)詢”以生成預(yù)期的應(yīng)答碼,該應(yīng)答碼將與用戶必須對(duì)他/她的驗(yàn)證提 供的應(yīng)答碼進(jìn)行比較;-對(duì)生成的“質(zhì)詢”編碼,以獲得通過(guò)適于向用戶顯示圖像的顯示設(shè)備可顯示的圖 像;-將包含“質(zhì)詢”的圖像發(fā)送給所述用戶;-通過(guò)所述顯示設(shè)備向用戶顯示包含“質(zhì)詢”的圖像;-通過(guò)配備有圖像捕捉設(shè)備的用戶設(shè)備光學(xué)地捕捉所顯示的圖像;_通過(guò)所述用戶設(shè)備處理所捕捉的圖像,以從所捕捉的圖像中提取“質(zhì)詢”,并且隨 后處理獲得的“質(zhì)詢”以生成應(yīng)答碼;-從用戶處接收所述應(yīng)答碼,并且將其與預(yù)期的應(yīng)答碼進(jìn)行比較;以及-在所述比較為肯定的情況下,驗(yàn)證所述用戶,其中,生成“質(zhì)詢”和預(yù)期應(yīng)答碼的所述動(dòng)作,和處理所捕捉的圖像以生成所述應(yīng) 答碼的所述動(dòng)作中的一個(gè)動(dòng)作利用唯一地與用戶相關(guān)聯(lián)的私密信息。所述生成預(yù)期的應(yīng)答碼可包括將預(yù)期的應(yīng)答碼與時(shí)間有效性限制相關(guān)聯(lián),并且從 用戶處接收應(yīng)答碼和將其與預(yù)期的應(yīng)答碼進(jìn)行比較包括評(píng)估來(lái)自用戶的應(yīng)答碼是否是在 所述時(shí)間有效性限制內(nèi)接收到的。所述生成“質(zhì)詢”可包括生成基本上隨機(jī)的位序列。所述生成“質(zhì)詢”可包括將所述基本上隨機(jī)的位序列編碼為唯一地表示它的第一
字母數(shù)字字符串。所述對(duì)“質(zhì)詢”編碼還可包括對(duì)第一字母數(shù)字字符串編碼,并且對(duì)編碼的第一字母 數(shù)字字符串編碼以獲得通過(guò)所述顯示設(shè)備可顯示的圖像。所述生成預(yù)期的應(yīng)答碼可包括對(duì)帶有所述私密信息的所述基本上隨機(jī)的位序列 加密,或計(jì)算帶有所述私密信息的所述基本上隨機(jī)的位序列的散列。所述生成預(yù)期的應(yīng)答碼還可包括對(duì)所述加密的基本上隨機(jī)的位序列或所述基本 上隨機(jī)的位序列的散列編碼,以獲得第二字母數(shù)字字符串,并且存儲(chǔ)獲得的串。所述處理所捕捉的圖像以從所捕捉的圖像中提取“質(zhì)詢”并且生成應(yīng)答碼具體可 包括-對(duì)第一字母數(shù)字字符串解碼,以獲得所述基本上隨機(jī)的位序列;
-對(duì)帶有所述私密信息的所述基本上隨機(jī)的位序列加密,以獲得進(jìn)一步加密的基 本上隨機(jī)的位序列,或計(jì)算帶有所述私密信息的所述基本上隨機(jī)的位序列的散列;-對(duì)所述進(jìn)一步加密的基本上隨機(jī)的位序列或所述基本上隨機(jī)的位序列的散列編 碼,以獲得第二字母數(shù)字字符串,所述第二字母數(shù)字字符串構(gòu)成所述應(yīng)答碼。所述生成“質(zhì)詢”可包括對(duì)帶有所述私密信息的所述基本上隨機(jī)的位序列加密,以 及可能地將所述加密的基本上隨機(jī)的位序列編碼為第一字母數(shù)字字符串,以及對(duì)所述第一 字母數(shù)字字符串編碼以獲得通過(guò)顯示設(shè)備可顯示的圖像。所述生成預(yù)期的應(yīng)答碼可包括將所述基本上隨機(jī)的位序列編碼為第二字母數(shù)字 字符串,并且存儲(chǔ)所獲得的第二串。所述處理所捕捉的圖像以從所捕捉的圖像中提取“質(zhì)詢”并且生成應(yīng)答碼可包 括-對(duì)第一字母數(shù)字字符串解碼,以獲得所述加密的基本上隨機(jī)的位序列;-對(duì)帶有所述私密信息的所述加密的基本上隨機(jī)的位序列解密,以獲得所述基本 上隨機(jī)的位序列;-對(duì)所述基本上隨機(jī)的位序列編碼,以獲得第二字母數(shù)字字符串,所述第二字母數(shù) 字字符串構(gòu)成所述應(yīng)答碼。所述對(duì)生成的“質(zhì)詢”編碼以獲得圖像可包括生成二維條形碼。所述驗(yàn)證用戶可包括使得用戶能夠通過(guò)連接到數(shù)據(jù)網(wǎng)絡(luò)的用戶數(shù)據(jù)處理終端訪 問(wèn)由連接到所述網(wǎng)絡(luò)的服務(wù)器提供的服務(wù)。所述對(duì)生成的“質(zhì)詢”編碼以獲得圖像可包括把適于識(shí)別用戶執(zhí)行的事務(wù)的概要 信息包括在所述圖像中。所述向用戶發(fā)送包含“質(zhì)詢”的圖像可包括將所述圖像包括在電子郵件消息內(nèi),并 且將所述電子郵件消息發(fā)送給用戶。所述驗(yàn)證所述用戶可包括允許所述用戶顯示附加到所述電子郵件消息的電子文檔。根據(jù)本發(fā)明的另一個(gè)方面,提供了一種用于在數(shù)據(jù)處理系統(tǒng)中驗(yàn)證用戶的系統(tǒng)。該驗(yàn)證系統(tǒng)包括a)驗(yàn)證服務(wù)器,所述驗(yàn)證服務(wù)器在使用中適于-生成唯一地與要被驗(yàn)證的用戶相關(guān)聯(lián)的“質(zhì)詢”;-處理該“質(zhì)詢”以生成預(yù)期的應(yīng)答碼,該應(yīng)答碼將與用戶必須對(duì)他/她的驗(yàn)證提 供的應(yīng)答碼進(jìn)行比較;_對(duì)生成的“質(zhì)詢”編碼以獲得圖像;-將包含“質(zhì)詢”的圖像通過(guò)數(shù)據(jù)網(wǎng)絡(luò)發(fā)送給用戶的數(shù)據(jù)處理終端;其中所述用戶的數(shù)據(jù)處理終端包括適于向用戶顯示包含“質(zhì)詢”的所述圖像的顯 示設(shè)備;b)配備有圖像捕捉設(shè)備的用戶設(shè)備,適于光學(xué)地捕捉視覺(jué)的圖像,該用戶設(shè)備適 于在使用時(shí)處理所捕捉的圖像以從所捕捉的圖像中提取“質(zhì)詢”,并且處理該“質(zhì)詢”以生成 將與預(yù)期的應(yīng)答碼進(jìn)行比較的應(yīng)答碼以用于驗(yàn)證用戶;其中,生成“質(zhì)詢”和生成預(yù)期的應(yīng)答碼的所述動(dòng)作,和處理所捕捉的圖像以生成應(yīng)答碼的所述動(dòng)作中的一個(gè)動(dòng)作使用唯一地與該用戶相關(guān)聯(lián)的私密信息。
通過(guò)對(duì)下列某些可能的實(shí)施例的詳細(xì)描述,將明了本發(fā)明的特征和優(yōu)點(diǎn),僅僅以 非限制性例子的方式提供下列詳細(xì)描述,將參考附圖進(jìn)行描述,其中圖1示意地示出了適于實(shí)現(xiàn)根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證方法的驗(yàn)證系統(tǒng)的邏輯 模塊,表示出了主要的組成元件和各自的相互作用;圖2示意地示出了根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證方法的第一實(shí)現(xiàn)模式,此后其也被 稱為“對(duì)稱模式”;圖3示意地示出了根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證方法的第二實(shí)現(xiàn)模式,此后其也被 稱為“不對(duì)稱模式”;圖4關(guān)于不同參與人執(zhí)行的主要操作和在它們之間交換的信息,示意地示出了根 據(jù)本發(fā)明的實(shí)施例的不對(duì)稱驗(yàn)證模式的可能應(yīng)用;圖5關(guān)于不同參與人執(zhí)行的主要操作和在它們之間交換的信息,示意地示出了根 據(jù)本發(fā)明的實(shí)施例的不對(duì)稱驗(yàn)證模式的另一種可能應(yīng)用;圖6關(guān)于不同參與人執(zhí)行的主要操作和在它們之間交換的信息,示意地示出了根 據(jù)本發(fā)明的實(shí)施例的對(duì)稱驗(yàn)證模式的可能應(yīng)用;圖7關(guān)于不同參與人執(zhí)行的主要操作和在它們之間交換的信息,示意地示出了根 據(jù)本發(fā)明的實(shí)施例的對(duì)稱驗(yàn)證模式的另一種可能應(yīng)用;圖8A示出了在根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證方法的另一種可能應(yīng)用中,由用戶接 收的電子郵件消息的一個(gè)可能方面;圖8B示出了圖8A的電子郵件消息的附件的一個(gè)可能方面,其為PDA格式,包含機(jī) 密信息和到提供在線服務(wù)的互聯(lián)網(wǎng)站點(diǎn)的鏈接;圖9示意表示了對(duì)圖8A的電子郵件消息的真實(shí)性的本地檢驗(yàn)過(guò)程。
具體實(shí)施例方式參考附圖,在圖1中示意地示出了根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證系統(tǒng)100的邏輯模 塊,其表示出了主要的組成元件和各自的相互作用。在該圖中,附圖標(biāo)記105標(biāo)識(shí)驗(yàn)證服務(wù)器,用戶,例如在該圖中以附圖標(biāo)記110代 表的具有連接到例如互聯(lián)網(wǎng)、公司內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)的數(shù)據(jù)網(wǎng)絡(luò)120等的個(gè)人計(jì)算機(jī)或用戶 終端115的用戶,必須在驗(yàn)證服務(wù)器處進(jìn)行驗(yàn)證,以便能夠進(jìn)入并且享受由驗(yàn)證服務(wù)器105 本身或一般地由一個(gè)或多個(gè)其它服務(wù)器(圖中未示出)提供的可用服務(wù),所述其它服務(wù)器 依賴于由驗(yàn)證服務(wù)器105提供的服務(wù)以驗(yàn)證它們自己的、請(qǐng)求利用由這些其它服務(wù)器提供 的服務(wù)的用戶。用戶終端115可以是常規(guī)的個(gè)人計(jì)算機(jī)(PC)、固定的或便攜的,或任意其它 數(shù)據(jù)處理設(shè)備。每次用戶110要在驗(yàn)證服務(wù)器105處被驗(yàn)證時(shí),驗(yàn)證服務(wù)器105在通過(guò)數(shù)據(jù)網(wǎng)絡(luò) 120從用戶終端115接收到驗(yàn)證請(qǐng)求之后,通過(guò)數(shù)據(jù)網(wǎng)絡(luò)120向用戶110的終端115發(fā)送驗(yàn) ilEfn 息 ο首先由驗(yàn)證服務(wù)器105借助于生成算法123生成驗(yàn)證信息,并且然后以適合的處
8理算法125處理;對(duì)驗(yàn)證信息的處理結(jié)果作為來(lái)自用戶110的應(yīng)答的預(yù)期結(jié)果存儲(chǔ)在存儲(chǔ) 器支持物130上,例如,非易失支持物上的文件或數(shù)據(jù)庫(kù);優(yōu)選地,各自有限的時(shí)間有效性 與這種預(yù)期結(jié)果相關(guān)聯(lián)(如圖中以與存儲(chǔ)器支持物130相關(guān)聯(lián)的時(shí)鐘135示意示出的)。隨后,驗(yàn)證服務(wù)器105借助于圖形處理算法140將以前生成的驗(yàn)證信息編碼為圖 形形式。因此,獲得以圖形形式編碼的驗(yàn)證信息145,其被驗(yàn)證服務(wù)器105通過(guò)數(shù)據(jù)網(wǎng)絡(luò) 120發(fā)送到用戶110的終端115。這種驗(yàn)證信息145構(gòu)成由用戶110將在他/她自己的終 端115上接收的圖形的“質(zhì)詢”。一旦由用戶終端115接收,以圖形形式編碼的驗(yàn)證信息,即,圖形的“質(zhì)詢”,被例 如在比如計(jì)算機(jī)115的屏幕或監(jiān)視器的顯示設(shè)備147上作為圖像呈現(xiàn)給用戶110,和/或可 能被借助于打印機(jī)(未示出)打印在紙件支持物上。用戶110擁有設(shè)備150,優(yōu)選地,諸如例如蜂窩電話、“智能電話”、PDA( “個(gè)人數(shù)字 助理”)或類(lèi)似設(shè)備的便攜設(shè)備,其配備有光學(xué)圖像捕捉設(shè)備155,例如,能夠捕捉由用戶終 端115顯示(或打印在紙件支持物上)的圖像而不需要便攜設(shè)備150和用戶終端115之間 的任意物理接觸/數(shù)據(jù)鏈路的數(shù)字照相機(jī)或可攜式攝像機(jī)。在已經(jīng)捕捉了該圖像之后,便攜設(shè)備150借助于預(yù)先安裝在其上并且在運(yùn)行時(shí)被 至少部分地裝入便攜設(shè)備150的工作存儲(chǔ)器160內(nèi)的適合的軟件,執(zhí)行對(duì)捕捉的圖像的數(shù) 字處理。具體地,通過(guò)圖像處理算法165,從捕捉的圖像中提取圖形“質(zhì)詢”并且對(duì)其解碼。 然后,由處理算法170處理包含在被提取并且被解碼的圖形“質(zhì)詢”內(nèi)的信息,能夠通過(guò)存 在于便攜設(shè)備150內(nèi)的視頻和/或音頻接口 175向用戶110提供從經(jīng)處理的圖形“質(zhì)詢”的 內(nèi)容中得出的用戶110將必須向驗(yàn)證服務(wù)器105返回以便進(jìn)行驗(yàn)證的信息。使用終端115,用戶110通過(guò)他/她自己的便攜設(shè)備150向驗(yàn)證服務(wù)器105傳遞被 提供的視頻和/或音頻信息;用戶傳遞給驗(yàn)證服務(wù)器105的這種信息形成對(duì)接收到的“質(zhì) 詢,,145的“響應(yīng)” 180。已經(jīng)通過(guò)數(shù)據(jù)網(wǎng)絡(luò)120從用戶110處接收到“響應(yīng)” 180的驗(yàn)證服務(wù)器105借助于 比較算法185對(duì)通過(guò)用戶接收到的信息和作為預(yù)期結(jié)果的以前存儲(chǔ)在存儲(chǔ)器支持物130上 的信息進(jìn)行比較,特別是分析時(shí)間有效性和其內(nèi)容。如果該檢驗(yàn)具有肯定的結(jié)果,驗(yàn)證服務(wù) 器105通知用戶(通過(guò)數(shù)據(jù)網(wǎng)絡(luò)120和終端115)他/她已被“批準(zhǔn)”并且通過(guò)了驗(yàn)證,否 則優(yōu)選地將驗(yàn)證失敗通知給用戶。優(yōu)選地,在預(yù)定次數(shù),例如,3次連續(xù)的失敗的驗(yàn)證嘗試 之后,系統(tǒng)不再接受用戶110 ;驗(yàn)證服務(wù)器105可以禁止用戶110,以便防止進(jìn)一步的驗(yàn)證嘗 試;為了被重新激活,用戶例如必須聯(lián)系服務(wù)臺(tái)。在下面的本發(fā)明的描述中,描述了上面給出的驗(yàn)證方法的兩種可能的實(shí)現(xiàn)模式 將被稱為“對(duì)稱的”第一模式,和將被稱為“不對(duì)稱的”第二模式。簡(jiǎn)言之,對(duì)稱模式規(guī)定由 驗(yàn)證服務(wù)器105使用的處理算法125和由用戶110的便攜設(shè)備150使用的處理算法170大 體相同,而不對(duì)稱模式規(guī)定兩個(gè)處理算法不同。-對(duì)稱模式在圖2中,關(guān)于由不同參與者執(zhí)行的主要操作和在它們之間交換的信息,示意地 示出了根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證方法的對(duì)稱實(shí)現(xiàn)模式。希望利用由驗(yàn)證服務(wù)器105提供的驗(yàn)證服務(wù)的用戶110預(yù)先必須訂購(gòu)這些服務(wù)。在訂購(gòu)時(shí),在驗(yàn)證服務(wù)器105上創(chuàng)建用戶110的簡(jiǎn)檔,并且唯一標(biāo)識(shí)碼User_ID和加密密 鑰K與其相關(guān)聯(lián);然后,標(biāo)識(shí)碼User_ID和加密密鑰K也被安裝在用戶110的便攜設(shè)備150 上。標(biāo)識(shí)碼User_ID可由用戶配置,或優(yōu)選地由管理員基于用戶的請(qǐng)求,直接在驗(yàn)證服務(wù)器 105上配置。加密密鑰K可被以不同方式提供給用戶,并且優(yōu)選地通過(guò)加密算法受到保護(hù), 從而對(duì)于它的使用來(lái)說(shuō),用戶將必須輸入僅他/她所知道的解鎖碼。特別地,加密密鑰K可 被通過(guò)SMS(短消息發(fā)送服務(wù))消息提供給用戶,被發(fā)送到用戶的蜂窩電話,并且被安裝在 蜂窩電話上的軟件截取,或加密密鑰K可被集成在訂購(gòu)服務(wù)時(shí)提供給用戶的安裝包內(nèi)。另 一種可能性包括以類(lèi)似于前面描述的對(duì)“質(zhì)詢” 145的捕捉的方式對(duì)加密密鑰K的光學(xué)捕捉 (在該情況下,安裝在用戶的便攜設(shè)備150上的軟件具有私人的并且臨時(shí)的加密密鑰,其僅 首次被用于隨后將使用的加密密鑰K的安裝)。另一種可能性是,加密密鑰K被預(yù)先安裝在 用戶的便攜設(shè)備150上或由移動(dòng)電話網(wǎng)絡(luò)的運(yùn)營(yíng)商提供給用戶的SIM(訂戶身份模塊)上。 前面方法的組合也是可行的例如,可以通過(guò)SMS消息分派進(jìn)行加密密鑰K的首次安裝,并 且如果期間需要更換加密密鑰K,這可以通過(guò)光學(xué)捕捉進(jìn)行,或最初通過(guò)安裝包安裝的加密 密鑰K可隨后通過(guò)光學(xué)捕捉被更換。用戶還可以安裝多于一個(gè)加密密鑰,不同的加密密鑰 被用于不同的驗(yàn)證服務(wù)(例如,此后描述的兩個(gè)或更多個(gè)驗(yàn)證服務(wù))。用戶110的驗(yàn)證處理以用戶110提交明確的驗(yàn)證請(qǐng)求開(kāi)始,用戶110例如使用他 /她自己的人員標(biāo)識(shí)碼User_ID向驗(yàn)證服務(wù)器105聲明他/她自己的身份,觸發(fā)驗(yàn)證處理。 在本發(fā)明的實(shí)施例中,驗(yàn)證處理如下所述那樣發(fā)展。在附圖中以相應(yīng)的附圖標(biāo)記標(biāo)識(shí)將被 描述的各個(gè)階段。階段205。使用以圖1的方框123示意表示的適當(dāng)硬件或軟件生成器,驗(yàn)證服務(wù)器 105生成“質(zhì)詢” CLG ;“質(zhì)詢” CLG可以例如由例如至少128位長(zhǎng)(然而,形成“質(zhì)詢” CLG的 序列的長(zhǎng)度對(duì)于本發(fā)明的目的來(lái)說(shuō)不是限制性的)的隨機(jī)位序列構(gòu)成?!百|(zhì)詢”CLG的生成 器123可以例如使用符合指導(dǎo)性的NIST FIPS Pub 140-2的隨機(jī)位序列的生成算法。階段210。驗(yàn)證服務(wù)器105隨后使用與用戶105已經(jīng)以驗(yàn)證請(qǐng)求提供給驗(yàn)證服務(wù) 器的人員標(biāo)識(shí)碼User_ID所標(biāo)識(shí)的用戶110相關(guān)聯(lián)的加密密鑰K,以一種加密算法,例如對(duì) 稱密鑰算法,諸如符合標(biāo)準(zhǔn)AES (高級(jí)加密標(biāo)準(zhǔn))的算法,對(duì)這樣生成的“質(zhì)詢” CLG進(jìn)行加 密。因此,獲得例如128位長(zhǎng)的加密的隨機(jī)位序列ECLG (加密的CLG)。階段215。驗(yàn)證服務(wù)器105通過(guò)以圖1中的方框125示意表示的適合算法,將加密 的隨機(jī)位序列ECLG變換為預(yù)定長(zhǎng)度(例如,10個(gè)字符)的文本串AECLG(例如,根據(jù)ASCII 碼)。優(yōu)選地,使用字母表以便保證這樣獲得的文本串AECLG唯一地代表加密的隨機(jī)位序列 ECLG,該字母表可由用戶使用計(jì)算機(jī)通常配備的常規(guī)數(shù)據(jù)輸入設(shè)備(鍵盤(pán),鼠標(biāo))輸入,并 且不包含字符不確定性(例如,文本串AECLG優(yōu)選地不同時(shí)包含字符"ο"、“ 0"、“ 0" 或"i"、“ 1"、“ L")。該字母表可以具有任意基數(shù),并且可以包含任意字母數(shù)字字 符(例如,a____ζ、Α· · · Ζ、0· · 9、 ! “ £$% &9 @ )。特別地,為了將相互獨(dú)立并且均勻分布的隨機(jī)位序列轉(zhuǎn)變?yōu)橄鄳?yīng)的文本串,可以 使用抽取(decimation)算法。獲得的文本串由從該隨機(jī)位序列得出的還滿足獨(dú)立和均勻 分布要求的一連串符號(hào)構(gòu)成。稍后,將描述一個(gè)算法的例子,以這種隨機(jī)位序列開(kāi)始,該算 法能夠從中得出由屬于可配置長(zhǎng)度的可配置字母表(數(shù)字的或字母數(shù)字的)的符號(hào)構(gòu)成的 文本串。
階段220。優(yōu)選地,驗(yàn)證服務(wù)器105設(shè)置文本串AECLG的有效性時(shí)間期限,該有效 性時(shí)間期限被定義為驗(yàn)證服務(wù)器105等待用戶110返回他/她的作為檢驗(yàn)“響應(yīng)”的應(yīng)答 的最長(zhǎng)時(shí)間(例如,有效期可以是幾分鐘,例如,2分鐘)。階段225。驗(yàn)證服務(wù)器105在本地文件中存儲(chǔ)串AECLG,以及與其相關(guān)聯(lián)的有效性 時(shí)間期限被提供之處(圖1中以方框130示意地示出),驗(yàn)證服務(wù)器105等待將它們與用戶 接收到的“響應(yīng)”進(jìn)行比較。階段230。驗(yàn)證服務(wù)器105例如使用Base64格式將形成“質(zhì)詢”CLG的二進(jìn)制隨機(jī) 序列編碼為字符,獲得編碼串B64CLG。可替換地,為了減少將被圖形地編碼的字符的數(shù)目, 可以使用這樣的編碼方法,其包括將二進(jìn)制隨機(jī)序列CLG轉(zhuǎn)換為字節(jié)序列、然后根據(jù)字母 表(0...9到F)將該序列的每個(gè)字節(jié)的十六進(jìn)制值變換為字符。例如,位序列“10101010” 被編碼為“AA” ;以這種方式,128位的二進(jìn)制序列被編碼為32個(gè)字符的序列。階段235。驗(yàn)證服務(wù)器105然后使用串B64CLG生成適合的圖形,該圖形被通過(guò)數(shù) 據(jù)網(wǎng)絡(luò)120發(fā)送到用戶110的終端115。階段240。在驗(yàn)證請(qǐng)求已被發(fā)送到驗(yàn)證服務(wù)器105之后,用戶110在他/她自己 的便攜設(shè)備150上激活以前安裝在便攜設(shè)備150上的(例如,在訂購(gòu)由驗(yàn)證服務(wù)器105提 供的服務(wù)的階段)能夠光學(xué)地捕捉通過(guò)驗(yàn)證服務(wù)器105接收到的圖形“質(zhì)詢” 145的適當(dāng)應(yīng) 用;優(yōu)選地,該應(yīng)用受到一個(gè)開(kāi)始PIN(個(gè)人身份號(hào)碼)的保護(hù),該開(kāi)始PIN允許訪問(wèn)以加密 方式保持在終端上的用戶的加密密鑰K。階段245。通過(guò)其圖形界面,用戶終端115在其顯示屏上向用戶110顯示包含接 收到的圖形“質(zhì)詢” 145的圖像;通過(guò)便攜設(shè)備150,用戶110例如給顯示圖形“質(zhì)詢”的終 端115的屏幕147的圖像拍照,捕捉顯示的圖形“質(zhì)詢”。作為在終端115的屏幕147上顯 示的替代,可以預(yù)見(jiàn)在紙件支持物上打印輸出的圖像。階段250。駐留在用戶110的便攜設(shè)備150上的適當(dāng)應(yīng)用(以圖1的方框165示 意表示)分析拍攝的圖像,并且從中提取串B64CLG。階段255。便攜設(shè)備150上的應(yīng)用165將串B64CLG(被以B64或其它編碼方案編 碼,例如,前面描述的十六進(jìn)制編碼)轉(zhuǎn)換為二進(jìn)制序列CLG。階段260。便攜設(shè)備150上的處理算法170用與驗(yàn)證服務(wù)器105所使用的相同算 法,使用用戶110的加密密鑰K加密二進(jìn)制序列CLG(作為駐留便攜設(shè)備150上的加密密鑰 K的替換,還可以使用用于啟動(dòng)駐留在用戶終端115上的顯示應(yīng)用的PIN作為加密密鑰), 獲得例如128位長(zhǎng)的加密序列ECLG。階段265。然后由便攜設(shè)備150上的處理算法170使用與以前描述的驗(yàn)證服務(wù)器 105所使用的相同方法和字母表,將這樣獲得的加密序列ECLG變換為文本串AECLG。階段270。這樣獲得的串AECLG被在屏幕上顯示給用戶110或通過(guò)便攜設(shè)備150 的揚(yáng)聲器語(yǔ)音地通知給用戶110。階段275。使用終端115,用戶110例如通過(guò)鍵盤(pán)輸入被便攜設(shè)備150傳達(dá)給用戶 110的串AECLG,并且輸入的串AECLG與用戶的人員識(shí)別碼User-ID —起被通過(guò)數(shù)據(jù)網(wǎng)絡(luò) 120傳遞到驗(yàn)證服務(wù)器105。作為使用鍵盤(pán)的替換,用戶110可以使用他/她的終端115的 鼠標(biāo),或可以利用便攜設(shè)備150和用戶終端115之間的直接通信,例如,利用藍(lán)牙或NFC (近 場(chǎng)通信)技術(shù)。
階段280。在從用戶終端115接收到形成“響應(yīng)” 180的串AECLG之后,并且使用 用戶110的人員識(shí)別碼User-ID作為參考,驗(yàn)證服務(wù)器105通過(guò)算法185確定-人員識(shí)別碼User-ID所標(biāo)識(shí)的用戶是否以前請(qǐng)求過(guò)被驗(yàn)證;-來(lái)自用戶110的應(yīng)答的時(shí)間有效性,換言之,該應(yīng)答是否是在由驗(yàn)證服務(wù)器105 設(shè)置的生成“質(zhì)詢”之后時(shí)間間隔內(nèi)到達(dá)的,和-通過(guò)與以前與該人員識(shí)別碼User-ID相關(guān)聯(lián)地存儲(chǔ)的值進(jìn)行比較,從用戶110接 收到的串AECLG的正確性。階段285。如果上述檢查的結(jié)果是肯定的,驗(yàn)證服務(wù)器105可以例如-刪除存儲(chǔ)在存儲(chǔ)器支持物130內(nèi)的值A(chǔ)ECLG,以防止重新使用相同“質(zhì)詢”的任 意后續(xù)企圖;和-向用戶110發(fā)送“歡迎頁(yè)面”或?qū)⒂脩?10重定向到“歡迎頁(yè)面”,以表明用戶110 的驗(yàn)證的通過(guò)。在一個(gè)或多個(gè)上述檢查不具有肯定結(jié)果的情況下,驗(yàn)證服務(wù)器105可以例如-刪除存儲(chǔ)在存儲(chǔ)器支持物130內(nèi)的值A(chǔ)ECLG,以防止重新使用相同“質(zhì)詢”的任 意后續(xù)企圖;和-向用戶110發(fā)送“錯(cuò)誤頁(yè)面”或?qū)⒂脩?10重定向到“錯(cuò)誤頁(yè)面”,請(qǐng)他/她從頭
重復(fù)驗(yàn)證過(guò)程。對(duì)于每個(gè)失敗的驗(yàn)證嘗試,驗(yàn)證服務(wù)器可以增加失敗計(jì)數(shù)器;對(duì)于第三次連續(xù)失 敗,驗(yàn)證服務(wù)器105可以禁止用戶110;—旦被禁止,用戶110不再能夠開(kāi)始驗(yàn)證過(guò)程(在 沒(méi)有事先被驗(yàn)證服務(wù)器重新激活的情況下)。階段290。在從已向用戶傳達(dá)了將被返回驗(yàn)證服務(wù)器105的值開(kāi)始經(jīng)過(guò)了預(yù)定時(shí) 間段例如1分鐘之后,駐留在便攜設(shè)備150上的應(yīng)用可以自動(dòng)地終止。用戶110也可以手 動(dòng)地立刻終止這種應(yīng)用,這可能是在已被重定向到“歡迎頁(yè)面”之后。下面描述一個(gè)算法的例子,從位序列,特別是隨機(jī)序列開(kāi)始,該算法能夠從中得出 由屬于可配置長(zhǎng)度的可配置字母表(數(shù)字的或字母數(shù)字的)的符號(hào)構(gòu)成的文本串。設(shè)L是應(yīng)當(dāng)獲得的文本串的長(zhǎng)度,設(shè)S= {sO,...sM}是將形成所述串的符號(hào)的字 母表,并且設(shè)M= IISlI是字母表S的基數(shù)。從(硬件或軟件)生成器123生成的隨機(jī)位序列中,選擇T個(gè)塊Itl, I1,...,It,每 個(gè)塊由B位構(gòu)成。參數(shù)B可被根據(jù)如下規(guī)則選擇
‘Iog2M 如果M是2的冪 [Iog2 M]+1 其它從T個(gè)位塊Itl, I1, ...,It中的每一個(gè)獲得相關(guān)聯(lián)的十進(jìn)制數(shù)字Itl, I1,...,其被 用作從字母表S中選擇符號(hào)的索引;對(duì)于一般的第M個(gè)位塊,相關(guān)聯(lián)的十進(jìn)制數(shù)字是IM。從 這個(gè)索引開(kāi)始,應(yīng)用如下規(guī)則獲得相關(guān)的符號(hào)sIm S[Im]如果 Im<M 否則下一個(gè)塊該算法的位丟失率P等于P= (2b_M)。在符號(hào)的字母表的基數(shù)等于2的冪的情況 下,即,ME2B,沒(méi)有位丟失,否則將存在P個(gè)未使用的位。為了減少未使用位的數(shù)目P,可以 選擇位塊以便獲得符號(hào)塊或重疊塊。該算法對(duì)每個(gè)位塊T的位執(zhí)行抽取掃描,將被轉(zhuǎn)變?yōu)槲谋敬奈恍蛄惺紫缺粡淖?到右并且隨后從右到左劃分到所述每個(gè)位塊T中,以這種方式,每個(gè)塊T中的位的長(zhǎng)度被有 效地增加,并且減小了丟失率P。在從左到右和從右到左掃描結(jié)束時(shí)該算法未收斂的情況 下,即,不能找到所希望的長(zhǎng)度L的符號(hào)序列,可以執(zhí)行動(dòng)作以尋找剩余位,使用下面描述 的一個(gè)或兩個(gè)策略,重新開(kāi)始從左到右讀取通塊T的位。a)模的計(jì)算使用模規(guī)則關(guān)于所選擇的字母表“映射”從通塊T中讀出的B個(gè)位S =^modw(Zm)]
‘mb) B值的減小將從通塊T中讀出的位的數(shù)目減小1,以增加得到能夠索引到使用的字母表中符 號(hào)的數(shù)值的概率。B的計(jì)算可以如下可用于將構(gòu)成“質(zhì)詢”CLG的隨機(jī)位序列變換為文本串的另一種可能算法提供了上 述量L,S,M和B的計(jì)算的特性和形式,以僅從左到右執(zhí)行一次位塊掃描就獲得默認(rèn)長(zhǎng)度L 的字符序列。定義下面的變量Q =構(gòu)成初始隨機(jī)位序列的位數(shù)(即,“質(zhì)詢” CLG);W =將隨機(jī)位序列映射到文本串的可能?chē)L試的最大數(shù)目,S卩,W = Q/B ;Y =執(zhí)行過(guò)的映射嘗試的數(shù)目;和Z =長(zhǎng)度為L(zhǎng)的文本串中剩余的將被映射的符號(hào)數(shù)目。使用如前面所述計(jì)算出的索引Im,根據(jù)如下規(guī)則獲得相應(yīng)的符號(hào)Slm 關(guān)于由驗(yàn)證服務(wù)器105和用戶110的便攜設(shè)備150使用的加密算法,其可被具有 SHA-I (安全散列算法1)散列機(jī)制類(lèi)型的HMAC (散列消息驗(yàn)證碼)類(lèi)型的數(shù)據(jù)驗(yàn)證算法取 代,作為結(jié)果該算法也生成是用戶110的加密密鑰K的函數(shù)的串。本領(lǐng)域的技術(shù)人員已知,HMAC是基于散列函數(shù)的用于消息驗(yàn)證的不可逆算法。借 助于HMAC,可以保證消息的完整性和真實(shí)性。算法HMAC使用原始消息和用于碼生成的私密 密鑰的組合。HMAC算法的特性在于它不被關(guān)聯(lián)到特定的散列函數(shù),并且這帶有允許在發(fā)現(xiàn)
Iog2M-I 如果M是2的冪 其它
S [IJ s = Next K Bits
if L <M
NextKBitsif Z > (W-Y)
S[modM(Im)] JfZ^(W-Y)
13使用的散列函數(shù)弱的情況下替換使用的散列函數(shù)的目的。在下表中,報(bào)告了利用HMAC類(lèi)型 的SHAl的計(jì)算的某些例子。行數(shù)據(jù)密鑰使用HASH類(lèi)型SHAl計(jì)算HMAC的結(jié)果
1115b0cl57d4e7672444c41033561554839edlfd2d6
21mar c οa9774f9c88cc84c691ca7aaf5cf42d4f58e20ad3
3123456789mirco404b5c7716cfe6adda7c9bela4e0611349b99fb3
4123456mircocaca41a07de234932f29f92e0876672f39ebdce4
5123456mar c ο73c90c08d7e5996a331fe89e3bd3d011068a9d28
6789012mar co5e52768fde27503da90915a2f9d8beabla888da0
7789012mirco510e7397ee2711be94f0ecc69a6675ablld813d6
8Mirco7890129e81045405f727544ad4fb38da573f96f56c6426
可以意識(shí)到,在所考慮的例子中,與數(shù)據(jù)大小和密鑰無(wú)關(guān)(行1到8),結(jié)果總是
度等于40個(gè)字符的串;還可以注意到,當(dāng)密鑰改變時(shí)(行4到7),對(duì)于要轉(zhuǎn)換的相同數(shù)據(jù) 該函數(shù)總是返回不同的值。在本發(fā)明的實(shí)際實(shí)現(xiàn)中,優(yōu)選地不要求用戶在他/她自己的終端115的鍵盤(pán)上輸 入由散列函數(shù)生成的所有40個(gè)字符,而是較少數(shù)目的字符,從而可以估計(jì)生成的散列的正 確性。已經(jīng)證明(見(jiàn)文檔RFC4635)函數(shù)MAC類(lèi)型的SHAl已經(jīng)在前96位中,更確切地在前 12個(gè)字節(jié)中,并且因此在以ASCII UNICODE標(biāo)準(zhǔn)編碼的前12個(gè)字符中包含信息的單值特 性。例如在“IPSEC Encapsulating SecurityPayload” 中使用了并且在文檔 RFC 2404 中 描述了這種機(jī)制。IPSEC(IP SECurity)是用于在具有IP(網(wǎng)際協(xié)議)通信協(xié)議的網(wǎng)絡(luò)上實(shí) 現(xiàn)安全連接的標(biāo)準(zhǔn),并且協(xié)議“Encapsulating Security Payload(以首字母稱為ESP) ”屬 于IPSEC協(xié)議組,并且具有使用描述的散列機(jī)制提供機(jī)密性以及對(duì)IPSEC通信的完整性和 真實(shí)性的控制的目的。在本發(fā)明的實(shí)際實(shí)現(xiàn)中,鑒于“質(zhì)詢” CLG是隨機(jī)位序列、由于隨機(jī)字符,實(shí)際上不 可能多于一次地生成相同序列、通用隨機(jī)位序列優(yōu)選地僅對(duì)于有限時(shí)間有效的事實(shí),以及 使用例如SHAl的安全MAC的算法的事實(shí),可以進(jìn)一步減少用戶必須輸入的字符的數(shù)目,例 如,從12減少到8 (這些字符在前面的表中被以下劃線突出顯示),而大體上不會(huì)改變?cè)撘?般方法的安全級(jí)別??梢岳斫?,對(duì)加密的“質(zhì)詢”ECLG,即,對(duì)從二進(jìn)制“質(zhì)詢”CLG的加密操作得到的值 執(zhí)行該轉(zhuǎn)換以便生成串AECLG。在此處描述的根據(jù)本發(fā)明的實(shí)施例的方法的對(duì)稱實(shí)現(xiàn)模式中,由驗(yàn)證服務(wù)器105 生成并且發(fā)送、由用戶終端115顯示、并且由便攜設(shè)備150捕捉的圖形“質(zhì)詢” 145可被定義 為“明文(in clear)”,這是由于為了獲得串B64CLG而執(zhí)行的編碼是在原始二進(jìn)制序列CLG 上進(jìn)行的。對(duì)于圖形“質(zhì)詢”的編碼/解碼,可以使用二維(2D)表示的若干技術(shù),例如,條 形碼,特別是,雖然不是限制性的,已經(jīng)在商業(yè)上可以用低成本獲得的技術(shù)DataMatrix、 PDF417>QR-tails> Aztec 石馬、MaxiCode。-不對(duì)稱模式在圖3中,關(guān)于由不同參與者執(zhí)行的主要操作和在它們之間交換的信息,示意地
14示出了該驗(yàn)證方法的不對(duì)稱實(shí)現(xiàn)模式。不對(duì)稱模式僅在驗(yàn)證過(guò)程的某些階段與對(duì)稱模式不 同(在對(duì)稱模式的描述中做出的關(guān)于位序列長(zhǎng)度、串長(zhǎng)度、它們的生成、可用于文本串的字 母表等的相同考慮是適用的)。如同在對(duì)稱模式中,用戶110的驗(yàn)證過(guò)程以用戶110提交明確的驗(yàn)證請(qǐng)求開(kāi)始,例 如使用他/她自己的人員標(biāo)識(shí)碼User_ID向驗(yàn)證服務(wù)器105聲明他/她自己的身份的用戶 110觸發(fā)驗(yàn)證過(guò)程。這種過(guò)程如下所述那樣發(fā)展。階段305。如同同步模式,驗(yàn)證服務(wù)器105使用硬件或軟件的適當(dāng)生成器生成“質(zhì) 詢” CLG。階段310。如同同步模式,驗(yàn)證服務(wù)器105使用與用戶已經(jīng)以驗(yàn)證請(qǐng)求提供給驗(yàn)證 服務(wù)器的人員標(biāo)識(shí)碼User_ID所標(biāo)識(shí)的用戶110相關(guān)聯(lián)的加密密鑰K,以一種加密算法,例 如,不對(duì)稱密鑰算法,諸如AES,對(duì)構(gòu)成這樣生成的“質(zhì)詢” CLG的位序列加密。從而獲得加 密的序列ECLG。階段315,優(yōu)選地使用具有類(lèi)似于上面結(jié)合對(duì)稱模式所述特性的字母表,驗(yàn)證服務(wù) 器105將形成“質(zhì)詢”的二進(jìn)制序列CLG變換為預(yù)定長(zhǎng)度的文本串ACLG (例如,10個(gè)字符), (因此,與對(duì)稱模式不同,是“明文”隨機(jī)序列CLG而不是加密的序列ECLG被變換為文本串 ACLG)。階段320。優(yōu)選地,驗(yàn)證服務(wù)器105建立文本串ACLG的有效性時(shí)間期,該有效性 時(shí)間期被定義為驗(yàn)證服務(wù)器105等待用戶110返回其作為檢驗(yàn)“響應(yīng)”的應(yīng)答的最長(zhǎng)時(shí)間 (同樣,在這個(gè)情況下,有效期例如可以是幾分鐘,例如,2分鐘)。階段325。在驗(yàn)證服務(wù)器105的文件(圖1的130)中存儲(chǔ)文本“質(zhì)詢” ACLG以及 其相關(guān)聯(lián)的有效性的時(shí)間期,等待被檢驗(yàn)。階段330。如結(jié)合對(duì)稱模式所述,加密的二進(jìn)制序列ECLG被編碼為例如Base64格 式或其它編碼的字符,獲得串B64ECLG。階段335。類(lèi)似于對(duì)稱模式(但是使用從加密的序列ECLG得出的文本串,而不是 “明文”序列CLG),驗(yàn)證服務(wù)器105使用串B64ECLG生成適合的圖形“質(zhì)詢” 145,該圖形“質(zhì) 詢” 145被通過(guò)數(shù)據(jù)網(wǎng)絡(luò)120發(fā)送到用戶110的終端115。階段340。如同對(duì)稱模式,用戶110在他/她自己的便攜設(shè)備150上啟動(dòng)適當(dāng)應(yīng)用。階段345。如同對(duì)稱模式,通過(guò)其圖形界面,用戶終端115在其屏幕上向用戶110 顯示包含接收到的圖形“質(zhì)詢” 145的圖像;通過(guò)便攜設(shè)備150,用戶110捕捉包含圖形“質(zhì) 詢”的圖像,例如,他/她給包含圖形“質(zhì)詢”的顯示圖像拍照。作為終端115的屏幕上的顯 示的替代,可以提供紙件支持物上的圖像的打印輸出。階段350。駐留在便攜設(shè)備150上的應(yīng)用165分析拍攝的圖像,并且從中提取串 B64ECLG。階段355。便攜設(shè)備150上的應(yīng)用165將串B64ECLG轉(zhuǎn)換為二進(jìn)制的加密序列 ECLG0階段360。便攜設(shè)備150上的處理算法170使用用戶的加密密鑰K,以與驗(yàn)證服務(wù) 器105使用相同的算法,對(duì)加密的二進(jìn)制序列ECLG解密(作為駐留在終端上的密鑰K的替 代,還可以使用PIN作為加密密鑰來(lái)啟動(dòng)終端115上的應(yīng)用),獲得二進(jìn)制序列CLG。
階段365。便攜設(shè)備150使用與驗(yàn)證服務(wù)器105所用的相同的方法和字母表,將二 進(jìn)制序列CLG變換為文本串ACLG。階段370。類(lèi)似于對(duì)稱模式,這樣獲得的串AECLG被便攜設(shè)備150顯示給或語(yǔ)音通 知給用戶110。階段375。類(lèi)似于對(duì)稱模式,用戶110將他/她的人員識(shí)別碼User-ID和文本串 ACLG的值通知驗(yàn)證服務(wù)器105。階段380。類(lèi)似于對(duì)稱模式,在從用戶終端115接收到串ACLG之后,并且使用用戶 110的人員識(shí)別碼User-ID作為參考,驗(yàn)證服務(wù)器105評(píng)估-人員識(shí)別碼User-ID所標(biāo)識(shí)的用戶是否以前請(qǐng)求過(guò)被驗(yàn)證;-來(lái)自用戶110的應(yīng)答的時(shí)間有效性,換言之,該應(yīng)答是否是在設(shè)置的時(shí)間間隔內(nèi) 到達(dá)的;_通過(guò)與以前與該人員識(shí)別碼User-ID相關(guān)聯(lián)地存儲(chǔ)的值進(jìn)行比較,從用戶110接 收到的串ACLG的正確性。階段385。類(lèi)似于對(duì)稱模式,如果上面的檢查的結(jié)果是肯定的,驗(yàn)證服務(wù)器105可 以例如-刪除存儲(chǔ)在支持物130內(nèi)的值A(chǔ)CLG,以防止重新使用相同“質(zhì)詢”的任意后續(xù)企 圖;-向用戶110發(fā)送“歡迎頁(yè)面”或?qū)⒂脩?10重定向到“歡迎頁(yè)面”,以表明用戶110 的驗(yàn)證的發(fā)生。在一個(gè)或多個(gè)檢查失敗的情況下,驗(yàn)證服務(wù)器105可以例如-刪除存儲(chǔ)在支持物130內(nèi)的值A(chǔ)CLG,以防止重新使用相同“質(zhì)詢”的任意后續(xù)企 圖;-向用戶發(fā)送“錯(cuò)誤頁(yè)面”或?qū)⒂脩糁囟ㄏ虻健板e(cuò)誤頁(yè)面”,以請(qǐng)他/她從頭重復(fù)驗(yàn) 證處理。在每個(gè)失敗的驗(yàn)證嘗試時(shí),驗(yàn)證服務(wù)器可以增加失敗計(jì)數(shù)器;在第三次連續(xù)失敗 時(shí),驗(yàn)證服務(wù)器105可以禁止用戶110 ;—旦被禁止,在沒(méi)有事先被重新激活的情況下,用戶 110不能再開(kāi)始驗(yàn)證過(guò)程。階段390。在從已向用戶傳達(dá)了將被返回給驗(yàn)證服務(wù)器105的值開(kāi)始,經(jīng)過(guò)了預(yù)定 時(shí)間例如1分鐘之后,駐留在便攜設(shè)備150上的應(yīng)用可以自動(dòng)地終止。用戶110也可以手 動(dòng)地立刻終止這種應(yīng)用,這可能是在已被重定向到“歡迎頁(yè)面”之后。需要指出,驗(yàn)證服務(wù)器105使用的加密算法可以是任意的,只要其與用戶的便攜 設(shè)備150上可用的加密算法一致??梢岳斫?,與對(duì)稱模式不同,在不對(duì)稱模式中,直接在通過(guò)對(duì)加密序列ECLG解密 而獲得的二進(jìn)制“質(zhì)詢”CLG的值上執(zhí)行出于生成檢驗(yàn)元素ACLG的目的而執(zhí)行的變換。由 于對(duì)加密的二進(jìn)制序列ECLG進(jìn)行了為獲得串B64ECLG而執(zhí)行的編碼,生成的或解釋的圖形 “質(zhì)詢” 145可被定義為“非明文”或加密的發(fā)送。如同對(duì)稱模式的情況,對(duì)于圖形編碼/解碼,可以使用在商業(yè)上已經(jīng)可以用低成 本獲得的條形碼的不同表示技術(shù)。根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證方法具有若干優(yōu)點(diǎn)。
根據(jù)本發(fā)明的驗(yàn)證方法的優(yōu)點(diǎn)在于,在由驗(yàn)證服務(wù)器發(fā)送的驗(yàn)證信息的獲取方 面,不必與用戶終端115物理地接觸(不存在電纜、無(wú)線電連接或數(shù)據(jù)交換接口)以進(jìn)行由 驗(yàn)證服務(wù)器發(fā)送的驗(yàn)證信息的獲取該獲取是光學(xué)類(lèi)型的,并且從安全的角度來(lái)說(shuō)不存在 危及安全的風(fēng)險(xiǎn)。另一個(gè)優(yōu)點(diǎn)是數(shù)據(jù)網(wǎng)絡(luò)120從不傳輸足夠信息以使得能夠從可能被截取的數(shù)據(jù) 開(kāi)始重構(gòu)適于允許出于計(jì)算或?qū)ふ矣脩舻募用苊荑€K的目的的“逆向工程”或“字典攻擊” 的信息內(nèi)容。另一個(gè)優(yōu)點(diǎn)是不需要購(gòu)買(mǎi)自組織的設(shè)備,而是簡(jiǎn)單的使用例如便攜的、配備有例 如照相機(jī)的圖像捕捉設(shè)備的設(shè)備,例如,蜂窩電話、PDA等;這些設(shè)備現(xiàn)在流行于市場(chǎng)上,并 且?guī)缀跛杏脩舳寄艿玫健A硪粋€(gè)優(yōu)點(diǎn)是雖然可以使用例如蜂窩電話和智能電話的設(shè)備,不需要移動(dòng)電話網(wǎng) 絡(luò)的覆蓋利用這些設(shè)備提供的圖像捕捉功能就足夠了。對(duì)“質(zhì)詢”的編碼可被加密以用于保護(hù)該信息使其在網(wǎng)絡(luò)傳輸過(guò)程中不被篡改,或 不加密對(duì)“質(zhì)詢”的編碼,而是以不可逆的HMAC算法進(jìn)行編碼來(lái)保護(hù)。一般地,“質(zhì)詢”的圖形編碼不能被篡改,而不用使得傳輸?shù)膬?nèi)容完全無(wú)效;這代表 一種本質(zhì)上安全的元素。另外,如已經(jīng)提到的,對(duì)于圖形編碼,可以使用在市場(chǎng)上可以用低成本獲得的各種 表示技術(shù)??梢宰杂傻剡x擇加密密鑰和密碼和/或MAC算法。這些密鑰可被移動(dòng)電話運(yùn)營(yíng)者 協(xié)同該服務(wù)的提供者一起管理,或直接由后者管理。換言之,對(duì)于其訂戶的驗(yàn)證,在線服務(wù) 的一般提供者既可以依賴于由驗(yàn)證服務(wù)的提供者提供可用的特定驗(yàn)證服務(wù),又可以使用完 全自治的解決方案,其中由在線服務(wù)的提供者直接管理驗(yàn)證服務(wù)器。如前所述,加密和/或MAC算法的密鑰可被例如在訂購(gòu)驗(yàn)證服務(wù)時(shí),總是以便攜設(shè) 備150拍攝不包含“質(zhì)詢”而是包含用戶的密鑰的適當(dāng)圖形的光學(xué)模式,或以可用的SMS消 息通過(guò)空中下載(OTA)而分發(fā),并且它們可以駐留可在與便攜設(shè)備150相關(guān)聯(lián)的智能卡上, 例如,在蜂窩電話的SIM(訂戶標(biāo)識(shí)模塊)卡上。除了驗(yàn)證所必需的信息之外,發(fā)送給用戶的圖形“質(zhì)詢” 145還可以包含其它類(lèi)型 的信息,例如事務(wù)的概述、口令或檢驗(yàn)碼或廣告消息??梢詾榕鋫溆姓障鄼C(jī)的不同類(lèi)型的蜂窩電話和掌上電腦設(shè)計(jì)用于從所捕捉的圖 像中提取“質(zhì)詢”的圖像處理軟件(例如,基于Symbian、WindowsMobile、JavaDevice平臺(tái))。在下面的描述中,給出根據(jù)本發(fā)明的驗(yàn)證方法的應(yīng)用的某些例子。在圖4中關(guān)于不同參與人執(zhí)行的主要操作和在它們之間交換的信息,示意地示出 了根據(jù)本發(fā)明的實(shí)施例的針對(duì)訪問(wèn)網(wǎng)絡(luò)應(yīng)用的驗(yàn)證方法的可能應(yīng)用。具體地,將要討論的實(shí)際應(yīng)用使用前面參考圖3描述的不對(duì)稱模式。因此,驗(yàn)證過(guò) 程的各階段是結(jié)合不對(duì)稱模式描述的那些階段,參考這些階段,并且將不再描述這些階段。 然而,采用對(duì)稱模式也未嘗不可。用戶Bob具有一個(gè)PIN,該P(yáng)IN從不在數(shù)據(jù)網(wǎng)絡(luò)120上傳輸,并且可以具有加密和 解密由驗(yàn)證服務(wù)器105接收到的“質(zhì)詢”的對(duì)稱密鑰的功能,以及在便攜設(shè)備150例如用戶 Bob的蜂窩電話上的應(yīng)用的激活過(guò)程中,使得可以訪問(wèn)用戶的加密密鑰K的功能。
在激活驗(yàn)證過(guò)程之前,用戶Bob可以在他/她處于安全位置的同時(shí),將他/她的 PIN插到便攜設(shè)備150上。該P(yáng)IN可在訂購(gòu)驗(yàn)證服務(wù)時(shí)在紙件或電子支持物兩者上提供給用戶Bob,或通過(guò) 第三方,例如,通過(guò)用戶Bob作為訂戶的移動(dòng)電話運(yùn)營(yíng)商提供。在驗(yàn)證過(guò)程成功完成時(shí),用戶Bob可以訪問(wèn)所希望的網(wǎng)絡(luò)服務(wù)。該驗(yàn)證方法可用于訪問(wèn)更多服務(wù),例如,Internet銀行服務(wù),訪問(wèn)內(nèi)聯(lián)網(wǎng)、交易服 務(wù),它們中的每一個(gè)使用特定的PIN,而不必對(duì)驗(yàn)證服務(wù)器側(cè)或用戶Bob的蜂窩電話上的軟 件進(jìn)行任何改變。在圖5中關(guān)于不同參與人執(zhí)行的主要操作和在它們之間交換的信息,示意地示出 了根據(jù)本發(fā)明的實(shí)施例的針對(duì)在線服務(wù)的驗(yàn)證方法的可能應(yīng)用,該在線服務(wù)允許用戶告知 涉及例如銀行匯票或購(gòu)買(mǎi)的貨物或服務(wù)的金額的支付的處置。具體地,在實(shí)際應(yīng)用中,利用 根據(jù)本發(fā)明的方法提供對(duì)抗處置操作期間的“中間人”類(lèi)型攻擊的對(duì)策。圖5中考慮的實(shí)際應(yīng)用使用前面描述的不對(duì)稱模式。因此,驗(yàn)證過(guò)程的各階段是 結(jié)合不對(duì)稱模式描述的那些階段,參考這些階段,并且將不再描述這些階段。然而,采用對(duì) 稱模式也未嘗不可。在階段305,例如用戶Bob的銀行的驗(yàn)證服務(wù)器105生成事務(wù)的概述SUM(例如, 涉及銀行匯票),并且這種概述SUM包含用于被告知的處置的真實(shí)性的驗(yàn)證/檢驗(yàn)的“質(zhì) 詢”CLG (隨機(jī)位序列)。驗(yàn)證服務(wù)器105使用Bob的加密密鑰K對(duì)事務(wù)概述SUM加密,對(duì)加 密的概述ESUM編碼,將其變換為文本串B64ESUM,并且將串B64ESUM變換為圖形形式(二維 條形碼),并且將其發(fā)送到Bob的終端(例如,個(gè)人計(jì)算機(jī))。在階段365,Bob的蜂窩電話 150上的應(yīng)用從該概述中提取“質(zhì)詢” CLG,并且在階段370,通過(guò)蜂窩電話,事務(wù)的概述SUM 和“質(zhì)詢” CLG被呈現(xiàn)給Bob。能夠介入用戶Bob和用戶Bob的銀行的驗(yàn)證服務(wù)器105之間的攻擊者可能能夠改 變用戶Bob發(fā)送到驗(yàn)證服務(wù)器105的信息;然而,由于包含在“質(zhì)詢”中的信息被與事務(wù)的 概述一起發(fā)送給用戶Bob,可以保證提高的安全級(jí)別。即使能夠改變由用戶發(fā)送的信息,攻擊者也不能改變包含在驗(yàn)證服務(wù)器發(fā)送給用 戶的圖形“質(zhì)詢”中的事務(wù)的合成信息,因?yàn)樗羌用艿?。如果通過(guò)驗(yàn)證服務(wù)器105接收的信息與他/她輸入的不同(例如,在銀行匯票的 情況下,不同的受益人,和/或不同的錢(qián)數(shù)額),用戶可以立刻認(rèn)識(shí)到,并且因此他/她可以 拒絕事務(wù)確認(rèn),發(fā)送錯(cuò)誤或經(jīng)協(xié)商的檢驗(yàn)碼,例如,數(shù)字“0000000”。為了確認(rèn)事務(wù),用戶必須向驗(yàn)證服務(wù)器105重新發(fā)送從接收到的“質(zhì)詢”開(kāi)始生成 的“響應(yīng)”;以這種方式,對(duì)事務(wù)的確認(rèn)受到唯一檢驗(yàn)碼的保護(hù)。這種策略允許避免可以監(jiān)視 用戶成功結(jié)束發(fā)送正確檢驗(yàn)碼的一定數(shù)量的事務(wù)的攻擊者重新使用檢驗(yàn)碼。在能夠進(jìn)行向驗(yàn)證服務(wù)器發(fā)送處置之前,還可以是,用戶必須在他/她的銀行的 服務(wù)器處使用前面描述的方法之一驗(yàn)證他/她自己。在圖6中,在從空中或通過(guò)電纜例如在電視網(wǎng)絡(luò)(IPTV)上分發(fā)多媒體內(nèi)容,特別 是,數(shù)字電視的背景下,關(guān)于不同參與人執(zhí)行的主要操作和在它們之間交換的信息,示意地 示出了根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證方法的可能應(yīng)用。根據(jù)本發(fā)明的驗(yàn)證方法的這個(gè)應(yīng)用涉及提供一種能夠提高關(guān)于訪問(wèn)和/或使用
18由DTT和IPTV平臺(tái)提供的新服務(wù)(電子郵件、票房(box-office)、調(diào)查、電子投票、視頻點(diǎn) 播等)執(zhí)行的事務(wù)處理的安全級(jí)別的解決方案。這些平臺(tái)由通常以電視機(jī)表示的用戶接口 構(gòu)成,可以接收數(shù)字信號(hào)(在DTT的情況下從空中,在有線電視的情況下在數(shù)據(jù)線上,或通 過(guò)用于IPTV的寬帶連接)的安裝在用戶家中的被稱為“機(jī)頂盒”(STB)或解碼器的裝置允 許用戶和服務(wù)中心交互,被稱為“返回通道”的電話線通過(guò)傳統(tǒng)的(V. 90)或ISDN調(diào)制解調(diào) 器,或通過(guò)寬帶(ADSL)調(diào)制解調(diào)器連接到該裝置上。在該應(yīng)用中,利用前面描述的對(duì)稱模式,對(duì)各個(gè)階段的詳細(xì)描述參考前面描述的 對(duì)稱模式,并且假設(shè)使用HMAC而不是加密作為檢驗(yàn)算法。然而,使用不對(duì)稱模式也未嘗不可。由于如同萬(wàn)維網(wǎng)的HTML和JAVA所允許的,在用戶的STB上,標(biāo)準(zhǔn)MHP (多媒體家 庭平臺(tái))允許實(shí)現(xiàn)具有圖形內(nèi)容的交互式應(yīng)用,所以所提出的解決方案的特性和安全級(jí)別 類(lèi)似于關(guān)于訪問(wèn)網(wǎng)絡(luò)應(yīng)用的應(yīng)用的特性和安全級(jí)別。在圖7中,關(guān)于不同參與人執(zhí)行的主要操作和在它們之間交換的信息,示意地示 出了根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證方法在自動(dòng)取款機(jī)(ATM)上的可能的應(yīng)用。特別地,圖7 的例子涉及先前描述的不對(duì)稱模式。ATM通常安裝在金融機(jī)構(gòu)(例如銀行辦事處)附近和商場(chǎng)中,并且它們?cè)试S領(lǐng)取現(xiàn) 金或執(zhí)行其它低級(jí)操作,例如,檢查賬戶結(jié)算余額或儲(chǔ)蓄狀態(tài)。對(duì)于金融機(jī)構(gòu),ATM是一種 實(shí)質(zhì)性地影響其顧客的“顧客體驗(yàn)”的工具。然而,用于ATM的銀行卡經(jīng)常丟失或被欺騙性 扣除,并且這構(gòu)成了促成顯著增加欺詐風(fēng)險(xiǎn)的系統(tǒng)安全配置文件之下的一個(gè)問(wèn)題。涉及ATM終端中的銀行卡使用的問(wèn)題有若干個(gè)。在將銀行卡插入ATM或POS (銷(xiāo)售點(diǎn))終端之后向用戶請(qǐng)求的PIN必須被記住,即 使該P(yáng)IN很短,然而,用戶通常為了減輕他/她的任務(wù),將該P(yáng)IN寫(xiě)在紙上,或?qū)⑵潆[藏在地 址簿內(nèi)的電話號(hào)碼內(nèi),并且在某些情況下,用戶將該P(yáng)IN傳遞給第三方(這是例如老年人的 情況,他們將PIN傳遞給他們認(rèn)為是可信的人的親屬、助手等)。 用戶必須在POS或ATM終端上手工輸入PIN,并且從而可能被偷偷窺到或被以微型 照相機(jī)看到。銀行卡內(nèi)部存儲(chǔ)著PIN,并且即使被加密了,例如,通過(guò)使用所有可能的口令組合 直到找到一個(gè)匹配為止,強(qiáng)行打開(kāi)壓縮(ZIP)文件的程序,該P(yáng)IN也可能受到“暴力”攻擊。銀行卡丟失事件涉及針對(duì)用戶和發(fā)行該銀行卡的實(shí)體的問(wèn)題,為了阻止其使用而 進(jìn)行的一系列繁重的活動(dòng)。這種服務(wù)固有的欺詐類(lèi)型有使用“掃描器(skimmer),,技術(shù)克隆卡(復(fù)制包含在 卡內(nèi)的數(shù)據(jù),并且同時(shí)捕捉用戶輸入的密碼),以及直接在終端處捕捉卡(例如,通過(guò)“鱷魚(yú) (crocodile) ”技術(shù),或通過(guò)扣押卡所有者、或通過(guò)偷竊)??梢栽谶@種背景下,特別是在具有彩色或單色圖形終端的POS終端上使用根據(jù)本 發(fā)明的實(shí)施例的驗(yàn)證方法。由于在這種實(shí)現(xiàn)模式中,用戶常規(guī)地必須在ATM的鍵盤(pán)上輸入數(shù)字序列,用于將 構(gòu)成原始“質(zhì)詢”的隨機(jī)位序列轉(zhuǎn)換為串的字典可以排它地使用數(shù)字字母表,而不是字母數(shù)
字字母表。根據(jù)本發(fā)明的方法的這種可能應(yīng)用,用戶不知道將在ATM或POS終端的鍵盤(pán)上輸入的“有效碼”,并且不必記憶它,這是由于這種碼將被在適合的時(shí)間通過(guò)他/她的便攜設(shè) 備,例如,他/她的蜂窩電話提供給他。用于激活用戶的便攜設(shè)備上的應(yīng)用的PIN(可以與當(dāng)前必須在ATM或POS終端的 鍵盤(pán)上輸入的PIN相同)可在操作之前在安全的地點(diǎn)被輸入(例如,在汽車(chē)中或遠(yuǎn)離ATM 或POS終端的地方)。用戶在ATM或POS終端的鍵盤(pán)上輸入的數(shù)字串僅僅對(duì)于對(duì)該服務(wù)的一次操作或訪 問(wèn)有效,并且不能重新使用,因此使得對(duì)它的捕捉是沒(méi)有用的。ATM卡不再存儲(chǔ)用戶的PIN,并且因此其復(fù)制、丟失或捕捉對(duì)于用戶來(lái)說(shuō)不是危險(xiǎn) 的。用戶的便攜設(shè)備的失竊或丟失不會(huì)危及系統(tǒng)的安全,這是由于為了激活并且使用 駐留程序,需要輸入碼(例如,PIN)。對(duì)根據(jù)本發(fā)明的實(shí)施例的驗(yàn)證方法的另一種可能的應(yīng)用涉及電子消息發(fā)送服務(wù) (電子郵件)。特別地,此處考慮的應(yīng)用旨在提供一種能夠出于限制“網(wǎng)絡(luò)釣魚(yú)”現(xiàn)象的目的而增 加電子郵件服務(wù)的安全級(jí)別的解決方案?!熬W(wǎng)絡(luò)釣魚(yú)”是一種流行的計(jì)算機(jī)欺騙,它涉及用戶接收看上去來(lái)自他/她的銀行 或來(lái)自在線商業(yè)公司的電子郵件消息,該電子郵件消息邀請(qǐng)用戶通過(guò)HTML(超文本標(biāo)記語(yǔ) 言)連接(“超鏈接”)連接到由“網(wǎng)絡(luò)釣魚(yú)器”管理的并且看上去完全“類(lèi)似于”真實(shí)公司 原樣的網(wǎng)頁(yè)。隨后,在仿造的網(wǎng)頁(yè)內(nèi),要求用戶輸入敏感信息(口令、信用卡號(hào)等),以便能 夠訪問(wèn)該電子郵件消息內(nèi)要求的功能(例如,改變個(gè)人信息、提供對(duì)該信息的同意意見(jiàn)、刪 除錯(cuò)誤地分配給用戶的金融操作等)。從“網(wǎng)絡(luò)釣魚(yú)器”捕捉(偷取)用戶提供的信息,“網(wǎng) 絡(luò)釣魚(yú)器”將使用它以用戶的名義執(zhí)行不適當(dāng)?shù)馁?gòu)買(mǎi)或欺詐性交易。通常電子郵件消息以及由銀行和金融機(jī)構(gòu)發(fā)送的消息不受保護(hù),這是由于電子郵 件通常僅被認(rèn)為是通知,并且用戶也習(xí)慣于這樣認(rèn)為。通常,保護(hù)僅涉及對(duì)公司網(wǎng)站的訪 問(wèn),對(duì)此用戶必須輸入他/她的憑證,其有效性僅在訪問(wèn)時(shí)被檢驗(yàn)。用戶不具有檢驗(yàn)發(fā)送方 和電子郵件消息的內(nèi)容的合法性的直接可能,并且他/她甚至不具有檢驗(yàn)所訪問(wèn)的網(wǎng)頁(yè)的 合法性的可能。因此,存在以簡(jiǎn)單并且有效的系統(tǒng)保護(hù)電子郵件消息的內(nèi)容的問(wèn)題??梢允褂孟?面作為例子描述的策略保護(hù)電子郵件消息。根據(jù)本發(fā)明的實(shí)施例,可由用戶使用的超文本鏈接不直接包括在電子郵件消息的 文本內(nèi)。所有機(jī)密和敏感的信息被放在附加于電子郵件消息的具有諸如僅能由創(chuàng)建它的 人修改的格式的文檔內(nèi)(例如,附加的文檔可以是具有防改的PDF-便攜文檔格式-格式), 并且其可讀性受到口令保護(hù)。在電子郵件消息的附件中,除了機(jī)密信息之外,還可以插入允 許用戶到達(dá)例如銀行門(mén)戶的網(wǎng)站的鏈接。電子郵件消息包含由驗(yàn)證服務(wù)器在電子郵件消息創(chuàng)建時(shí)生成的圖形形式的驗(yàn)證 信息(即,圖形“質(zhì)詢”)。為了提高安全級(jí)別,該圖形驗(yàn)證“質(zhì)詢”可以包含關(guān)于附件的附加信息,例如,檢驗(yàn) 碼、消息的隨機(jī)部分、發(fā)出的日期和時(shí)間、對(duì)用戶在訂購(gòu)服務(wù)時(shí)定義過(guò)的“秘密問(wèn)題”的回答。圖8A示出了用戶接收的電子郵件消息的可能方面。圖8B示出了電子郵件消息的 例如PDF格式的包含機(jī)密信息和到銀行站點(diǎn)的鏈接的附件的可能方面。圖9示意表示對(duì)電子郵件消息的真實(shí)性的本地檢驗(yàn)過(guò)程。用戶從發(fā)送方905接收電子郵件消息910,并且將其顯示在他/她的終端(例如, PC) 115上,然后用戶優(yōu)選地使用PIN激活他/她的便攜設(shè)備150 (例如,蜂窩電話)上的應(yīng) 用;然后,用戶以蜂窩電話150的照相機(jī)155對(duì)顯示在PC 115的屏幕上的圖像拍照,并且讀 取由蜂窩電話150顯示的串(如前所述,通過(guò)對(duì)圖形“質(zhì)詢”的處理得出的),或他/她在蜂 窩電話的揚(yáng)聲器處聆聽(tīng)其語(yǔ)音朗讀。然后,用戶請(qǐng)求打開(kāi)電子郵件消息910的附件915,并且向用戶給出插入口令920 的請(qǐng)求;用戶插入以前在蜂窩電話150上讀取的或從蜂窩電話150聽(tīng)到的口令,從而PC 115上的駐留程序可以顯示附件915的內(nèi)容。以這種方式,通過(guò)輸入正確的口令,用戶被驗(yàn) 證,并且作為發(fā)生的驗(yàn)證的結(jié)果,他/她可以訪問(wèn)附件的信息內(nèi)容??梢栽诟郊?15內(nèi)插入允許用戶安全地到達(dá)正確的網(wǎng)站的一個(gè)或多個(gè)鏈接925。出于提高該方法的一般安全性級(jí)別的目的,用戶通過(guò)出現(xiàn)在附加的文檔915內(nèi)的 鏈接達(dá)到的網(wǎng)站又可以使用前面所述的基于圖形“質(zhì)詢”和來(lái)自用戶的“響應(yīng)”的驗(yàn)證機(jī)制。 在這種情況下,在附件915內(nèi)將給出另一個(gè)圖形“質(zhì)詢”930,用戶可以從中得出用于訪問(wèn)該 服務(wù)的憑證(口令/PIN/ID或UserID和口令/PIN)。以這種方式,所有敏感信息都包含在附加到電子郵件消息的文件內(nèi)。并且它們受 到以圖形形式給出的并且包含在電子郵件消息內(nèi)的加密的OTP (一次性口令)的保護(hù)。該消 息和附件可被復(fù)制,但是僅僅用于其被發(fā)往的用戶,因此,由于其它用戶不可閱讀該附件, 使得它們的重新使用沒(méi)有用處。該處理允許用戶立刻認(rèn)識(shí)到是否有可疑之處,例如,缺少圖形“質(zhì)詢”或不可讀,或 不需要口令的附件、或口令不起作用的附件。圖形“質(zhì)詢”不能被模仿,由于對(duì)于其生成或從中得出用戶必須輸入以便打開(kāi)附件 的口令來(lái)說(shuō),必須知道僅在用戶的便攜設(shè)備和發(fā)送電子郵件消息的實(shí)體之間共享的加密密 鑰。該方法還允許在公共終端和電子郵件服務(wù)上讀取電子郵件消息,由于用戶的便攜 設(shè)備是能夠?qū)λ鰣D形解碼,并且得出用于讀取附件的碼的唯一設(shè)備。本發(fā)明在電子郵件服務(wù)中的另一個(gè)可能的應(yīng)用在于這樣的可能性,S卩,向用戶發(fā) 送包含圖形“質(zhì)詢”的電子郵件消息,用戶可以用所述的方法從中得出將被用作網(wǎng)站的訪問(wèn) 碼的“響應(yīng)”,從該網(wǎng)站從消息發(fā)送方得到接收到的電子郵件消息的真實(shí)性的確認(rèn)。連接的 網(wǎng)站的地址(URL)可被包含在相同的圖形“質(zhì)詢”中,并且以他/她的便攜設(shè)備顯示給用戶。對(duì)附件使用PDF格式允許使得其內(nèi)容不可修改。另外,對(duì)于電子郵件消息的檢驗(yàn)不需要無(wú)線電連接。已經(jīng)描述了本發(fā)明,給出了某些可能的實(shí)施例;然而,本領(lǐng)域的技術(shù)人員可以對(duì)描 述的實(shí)施例做出各種改變,或設(shè)想替換實(shí)施例,而不脫離在所附權(quán)利要求中定義的本發(fā)明 的保護(hù)范圍。例如,Base64格式的編碼可以不是預(yù)見(jiàn)性的,例如,在使用圖形對(duì)支持二進(jìn)制形式的信息傳輸?shù)摹百|(zhì)詢”編碼的情況下,當(dāng)生成二維條形碼時(shí),由圖像處理算法140直接進(jìn)行 從十六進(jìn)制到ASCII的編碼。
權(quán)利要求
一種在數(shù)據(jù)處理系統(tǒng)中驗(yàn)證用戶的方法,該方法包括 生成唯一地與將被驗(yàn)證的用戶相關(guān)聯(lián)的“質(zhì)詢”; 處理該“質(zhì)詢”以生成預(yù)期的應(yīng)答碼,該應(yīng)答碼將與用戶必須對(duì)他/她的驗(yàn)證提供的應(yīng)答碼進(jìn)行比較; 對(duì)生成的“質(zhì)詢”編碼,以獲得通過(guò)適于向用戶顯示圖像的顯示設(shè)備可顯示的圖像; 將包含“質(zhì)詢”的圖像發(fā)送給所述用戶; 通過(guò)所述顯示設(shè)備向用戶顯示包含“質(zhì)詢”的圖像; 通過(guò)配備有圖像捕捉設(shè)備的用戶設(shè)備光學(xué)地捕捉所顯示的圖像; 通過(guò)所述用戶設(shè)備處理所捕捉的圖像,以從所捕捉的圖像中提取“質(zhì)詢”,并且隨后處理獲得的“質(zhì)詢”以生成應(yīng)答碼; 從用戶處接收所述應(yīng)答碼,并且將其與預(yù)期的應(yīng)答碼進(jìn)行比較;以及 在所述比較為肯定的情況下,驗(yàn)證所述用戶,其中,生成“質(zhì)詢”和預(yù)期應(yīng)答碼的所述動(dòng)作,和處理所捕捉的圖像以生成所述應(yīng)答碼的所述動(dòng)作中的一個(gè)動(dòng)作利用唯一地與用戶相關(guān)聯(lián)的私密信息。
2.如權(quán)利要求1所述的方法,其中所述生成預(yù)期的應(yīng)答碼包括將預(yù)期的應(yīng)答碼與時(shí)間 有效性限制相關(guān)聯(lián),并且從用戶處接收應(yīng)答碼和將其與預(yù)期的應(yīng)答碼進(jìn)行比較包括評(píng)估來(lái) 自用戶的應(yīng)答碼是否是在所述時(shí)間有效性限制內(nèi)接收到的。
3.如權(quán)利要求1或2所述的方法,其中所述生成“質(zhì)詢”包括生成基本上隨機(jī)的位序列。
4.如權(quán)利要求3所述的方法,其中所述生成“質(zhì)詢”包括將所述基本上隨機(jī)的位序列編 碼為唯一地表示它的第一字母數(shù)字字符串。
5.如權(quán)利要求4所述的方法,其中所述對(duì)“質(zhì)詢”編碼包括對(duì)第一字母數(shù)字字符串編 碼,并且對(duì)編碼的第一字母數(shù)字字符串編碼以獲得通過(guò)所述顯示設(shè)備可顯示的圖像。
6.如權(quán)利要求5所述的方法,其中所述生成預(yù)期的應(yīng)答碼包括對(duì)帶有所述私密信息的 所述基本上隨機(jī)的位序列加密,或計(jì)算帶有所述私密信息的所述基本上隨機(jī)的位序列的散 列。
7.如權(quán)利要求6所述的方法,其中所述生成預(yù)期的應(yīng)答碼包括對(duì)所述加密的基本上隨 機(jī)的位序列或所述基本上隨機(jī)的位序列的散列編碼,以獲得第二字母數(shù)字字符串,并且存 儲(chǔ)獲得的串。
8.如權(quán)利要求7所述的方法,其中所述處理所捕捉的圖像以從所捕捉的圖像中提取 “質(zhì)詢”并且生成應(yīng)答碼包括-對(duì)第一字母數(shù)字字符串解碼,以獲得所述基本上隨機(jī)的位序列; -對(duì)帶有所述私密信息的所述基本上隨機(jī)的位序列加密,以獲得進(jìn)一步加密的基本上 隨機(jī)的位序列,或計(jì)算帶有所述私密信息的所述基本上隨機(jī)的位序列的散列;-對(duì)所述進(jìn)一步加密的基本上隨機(jī)的位序列或所述基本上隨機(jī)的位序列的散列編碼, 以獲得第二字母數(shù)字字符串,所述第二字母數(shù)字字符串構(gòu)成所述應(yīng)答碼。
9.如權(quán)利要求3所述的方法,其中所述生成“質(zhì)詢”包括對(duì)帶有所述私密信息的所述基 本上隨機(jī)的位序列加密。
10.如權(quán)利要求9所述的方法,其中所述生成“質(zhì)詢”包括將所述加密的基本上隨機(jī)的位序列編碼為第一字母數(shù)字字符串,并且對(duì)所述第一字母數(shù)字字符串編碼以獲得通過(guò)顯示 設(shè)備可顯示的圖像。
11.如權(quán)利要求10所述的方法,其中所述生成預(yù)期的應(yīng)答碼包括將所述基本上隨機(jī)的 位序列編碼為第二字母數(shù)字字符串,并且存儲(chǔ)所獲得的第二串。
12.如權(quán)利要求11所述的方法,其中所述處理所捕捉的圖像以從所捕捉的圖像中提取 “質(zhì)詢”并且生成應(yīng)答碼包括-對(duì)第一字母數(shù)字字符串解碼,以獲得所述加密的基本上隨機(jī)的位序列;-對(duì)帶有所述私密信息的所述加密的基本上隨機(jī)的位序列解密,以獲得所述基本上隨 機(jī)的位序列;-對(duì)所述基本上隨機(jī)的位序列編碼,以獲得第二字母數(shù)字字符串,所述第二字母數(shù)字字 符串構(gòu)成所述應(yīng)答碼。
13.如前面任何一個(gè)權(quán)利要求所述的方法,其中所述對(duì)生成的“質(zhì)詢”編碼以獲得圖像 包括生成二維條形碼。
14.如前面任何一個(gè)權(quán)利要求所述的方法,其中所述驗(yàn)證用戶包括使得用戶能夠通過(guò) 連接到數(shù)據(jù)網(wǎng)絡(luò)的用戶數(shù)據(jù)處理終端訪問(wèn)由連接到所述網(wǎng)絡(luò)的服務(wù)器提供的服務(wù)。
15.如前面任何一個(gè)權(quán)利要求所述的方法,其中所述對(duì)生成的“質(zhì)詢”編碼以獲得圖像 包括把適于識(shí)別用戶執(zhí)行的事務(wù)的概要信息包括在所述圖像中。
16.如前面任何一個(gè)權(quán)利要求所述的方法,其中所述向用戶發(fā)送包含“質(zhì)詢”的圖像包 括將所述圖像包括在電子郵件消息內(nèi),并且將所述電子郵件消息發(fā)送給用戶。
17.如權(quán)利要求16所述的方法,其中所述驗(yàn)證所述用戶包括允許所述用戶顯示附加到 所述電子郵件消息的電子文檔。
18.一種用于在數(shù)據(jù)處理系統(tǒng)中驗(yàn)證用戶的系統(tǒng),該驗(yàn)證系統(tǒng)包括a)驗(yàn)證服務(wù)器(105),所述驗(yàn)證服務(wù)器在使用中適于-生成唯一地與要被驗(yàn)證的用戶相關(guān)聯(lián)的“質(zhì)詢”;-處理該“質(zhì)詢”以生成預(yù)期的應(yīng)答碼,該應(yīng)答碼將與用戶必須對(duì)他/她的驗(yàn)證提供的 應(yīng)答碼進(jìn)行比較;-對(duì)生成的“質(zhì)詢”編碼以獲得圖像;-將包含“質(zhì)詢”的圖像通過(guò)數(shù)據(jù)網(wǎng)絡(luò)(120)發(fā)送給用戶的數(shù)據(jù)處理終端(115);其中所述用戶的數(shù)據(jù)處理終端包括適于向用戶顯示包含“質(zhì)詢”的所述圖像的顯示設(shè)備;b)配備有圖像捕捉設(shè)備的用戶設(shè)備,適于光學(xué)地捕捉視覺(jué)的圖像,該用戶設(shè)備適于在 使用時(shí)處理所捕捉的圖像以從所捕捉的圖像中提取“質(zhì)詢”,并且處理該“質(zhì)詢”以生成將與 預(yù)期的應(yīng)答碼進(jìn)行比較的應(yīng)答碼以用于驗(yàn)證用戶;其中,生成“質(zhì)詢”和生成預(yù)期的應(yīng)答碼的所述動(dòng)作,和處理所捕捉的圖像以生成應(yīng)答 碼的所述動(dòng)作中的一個(gè)動(dòng)作使用唯一地與該用戶相關(guān)聯(lián)的私密信息。
全文摘要
一種在數(shù)據(jù)處理系統(tǒng)中驗(yàn)證用戶的方法,該方法包括生成唯一地與將被驗(yàn)證的用戶相關(guān)聯(lián)的“質(zhì)詢”;處理該“質(zhì)詢”以生成預(yù)期的應(yīng)答碼,該應(yīng)答碼將與用戶必須對(duì)他/她的驗(yàn)證提供的應(yīng)答碼進(jìn)行比較;對(duì)生成的“質(zhì)詢”編碼,以獲得通過(guò)適于向用戶顯示圖像的顯示設(shè)備可顯示的圖像;將包含“質(zhì)詢”的圖像發(fā)送給用戶;通過(guò)所述顯示設(shè)備向用戶顯示包含“質(zhì)詢”的圖像;通過(guò)配備有圖像捕捉設(shè)備的用戶設(shè)備光學(xué)地捕捉所顯示的圖像;通過(guò)用戶設(shè)備處理所捕捉的圖像,以從所捕捉的圖像中提取“質(zhì)詢”,并且隨后處理獲得的“質(zhì)詢”以生成應(yīng)答碼;從用戶處接收所述應(yīng)答碼,并且將其與預(yù)期的應(yīng)答碼進(jìn)行比較;以及在比較為肯定的情況下,驗(yàn)證所述用戶。生成“質(zhì)詢”和預(yù)期應(yīng)答碼的動(dòng)作,和處理所捕捉的圖像以生成應(yīng)答碼的所述動(dòng)作中的一個(gè)動(dòng)作利用唯一地與用戶相關(guān)聯(lián)的私密信息。
文檔編號(hào)H04L29/06GK101897165SQ200780101902
公開(kāi)日2010年11月24日 申請(qǐng)日期2007年10月30日 優(yōu)先權(quán)日2007年10月30日
發(fā)明者M·齊拉迪 申請(qǐng)人:意大利電信股份公司