通過應(yīng)用程序來認(rèn)證用戶的方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明涉及一種通過借助挑戰(zhàn)-響應(yīng)方法的應(yīng)用程序來認(rèn)證用戶的方法。在此情況下，挑戰(zhàn)（5）以條形碼形式被示出在顯示器（6）上并且被傳送到用戶的通信設(shè)備（3）。所確定的響應(yīng)（8）由用戶在應(yīng)用程序的用戶接口（10）上輸入。
【專利說明】通過應(yīng)用程序來認(rèn)證用戶的方法和系統(tǒng)

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通過借助于挑戰(zhàn)-響應(yīng)方法的應(yīng)用程序來認(rèn)證用戶的系統(tǒng)和方法。

【背景技術(shù)】
[0002]許多應(yīng)用程序和Web應(yīng)用需要密碼輸入來認(rèn)證用戶，以便確認(rèn)相應(yīng)的被授權(quán)的用戶的身份。由于所需密碼的數(shù)量高，因此經(jīng)常不復(fù)雜地使用密碼或?qū)τ谠S多應(yīng)用使用相同的密碼。
[0003]用于真實(shí)性檢驗(yàn)的另外的可能性是所謂的挑戰(zhàn)-響應(yīng)方法。在這樣的挑戰(zhàn)-響應(yīng)方法中，為了認(rèn)證用戶通過應(yīng)用程序產(chǎn)生隨機(jī)的“挑戰(zhàn)”并且該挑戰(zhàn)被發(fā)送到用戶的通信設(shè)備(筆記本電腦、智能電話)。該通信設(shè)備在其側(cè)借助密鑰計(jì)算屬于該“挑戰(zhàn)”的“響應(yīng)”并且將該“響應(yīng)”返回給該應(yīng)用程序。該應(yīng)用程序緊接著檢查被通信設(shè)備所獲得的響應(yīng)的正確性。挑戰(zhàn)-響應(yīng)協(xié)議被擬訂為，使得僅僅擁有正確的密鑰的通信設(shè)備可以計(jì)算正確的響應(yīng)。
[0004]然而，為此在每種情況下在應(yīng)用程序和通信設(shè)備之間的數(shù)據(jù)連接是必要的，然而該應(yīng)用程序在其側(cè)又需要認(rèn)證來設(shè)立可信的數(shù)據(jù)連接。此外，在應(yīng)用程序和通信設(shè)備之間的數(shù)據(jù)通信也始終是這種方法的潛在的薄弱環(huán)節(jié)。


【發(fā)明內(nèi)容】

[0005]本發(fā)明的任務(wù)在于，提供通過應(yīng)用程序來認(rèn)證用戶的方法和系統(tǒng)，其避免上面所述的缺點(diǎn)并且在此提供盡可能程度高的安全性。
[0006]根據(jù)本發(fā)明，該任務(wù)通過具有在權(quán)利要求1和7中所說明的特征的方法和系統(tǒng)來解決。本發(fā)明的其它有利的構(gòu)型在從屬權(quán)利要求中說明。
[0007]根據(jù)本發(fā)明，通過使用挑戰(zhàn)-響應(yīng)協(xié)議的應(yīng)用程序來認(rèn)證用戶的方法具有以下步驟:
一通過應(yīng)用程序生成挑戰(zhàn)并且以條形碼的形式輸出該挑戰(zhàn)，
一通過用戶的移動(dòng)通信設(shè)備機(jī)器地讀入該挑戰(zhàn)，
一通過用戶的移動(dòng)通信設(shè)備基于所讀入的挑戰(zhàn)和分配給該用戶的第一密鑰確定響應(yīng)， -通過移動(dòng)通信設(shè)備示出所確定的響應(yīng)，
一在由用戶將所示出的響應(yīng)輸入到應(yīng)用程序中之后通過應(yīng)用程序檢驗(yàn)該響應(yīng)。
[0008]根據(jù)本發(fā)明的一種構(gòu)型，針對(duì)挑戰(zhàn)-響應(yīng)協(xié)議使用對(duì)稱的密碼方法，在該對(duì)稱的密碼方法中應(yīng)用程序擁有第一密鑰。
[0009]根據(jù)本發(fā)明的另一種構(gòu)型，針對(duì)挑戰(zhàn)-響應(yīng)協(xié)議使用非對(duì)稱的密碼方法，該非對(duì)稱的密碼方法具有由私人密鑰和公共密鑰組成的非對(duì)稱的密鑰對(duì)，其中所述私人密鑰只對(duì)用戶的移動(dòng)通信設(shè)備已知。
[0010]根據(jù)本發(fā)明的另一種構(gòu)型，應(yīng)用程序擁有所述非對(duì)稱的密鑰對(duì)的公共密鑰。
[0011]根據(jù)本發(fā)明的另一種構(gòu)型，所述公共密鑰在分配給用戶的證書中被傳送給應(yīng)用程序。
[0012]根據(jù)本發(fā)明的另一種構(gòu)型，由所述應(yīng)用程序在有效性方面檢驗(yàn)由用戶的移動(dòng)通信設(shè)備所傳送的證書，并且使用另外的公共密鑰執(zhí)行對(duì)所述證書的有效性的檢驗(yàn)。
[0013]用于通過根據(jù)挑戰(zhàn)-響應(yīng)協(xié)議的應(yīng)用程序來認(rèn)證用戶的本發(fā)明系統(tǒng)包括:
(a)用于實(shí)施應(yīng)用程序的計(jì)算機(jī)平臺(tái)，所述計(jì)算機(jī)平臺(tái)包括用于生成挑戰(zhàn)和用于檢驗(yàn)所獲得的響應(yīng)的第一認(rèn)證模塊，和用于以條形碼形式將所述挑戰(zhàn)輸出在顯示器上并且用于由用戶輸入響應(yīng)的第一通信模塊，
(b)用戶的移動(dòng)通信設(shè)備，所述移動(dòng)通信設(shè)備具有用于機(jī)器地讀入被輸出的挑戰(zhàn)和用于將所確定的響應(yīng)示出在顯示器上的第二通信模塊，和確定屬于所讀入的挑戰(zhàn)的響應(yīng)的第二認(rèn)證模塊。
[0014]根據(jù)本發(fā)明系統(tǒng)的一種擴(kuò)展方案，第一和第二認(rèn)證模塊具有計(jì)算模塊，所述計(jì)算模塊在相應(yīng)的認(rèn)證模塊內(nèi)被設(shè)置用于計(jì)算、檢查和認(rèn)證。

【專利附圖】

【附圖說明】
[0015]隨后利用實(shí)施例借助圖進(jìn)一步解釋本發(fā)明。其中:
圖1示出根據(jù)本發(fā)明的認(rèn)證方法的示意圖。

【具體實(shí)施方式】
[0016]圖1示意地示出通過根據(jù)挑戰(zhàn)-響應(yīng)協(xié)議的應(yīng)用程序來認(rèn)證用戶的本發(fā)明系統(tǒng)I的用于實(shí)施應(yīng)用程序2的計(jì)算機(jī)平臺(tái)和用戶移動(dòng)通信設(shè)備3。在那里示出所述裝置2、3內(nèi)的認(rèn)證模塊4、5。
[0017]根據(jù)本發(fā)明的認(rèn)證方法如下進(jìn)行:
一在認(rèn)證方法開始時(shí)，應(yīng)用程序側(cè)的認(rèn)證模塊4產(chǎn)生詢問C (C =挑戰(zhàn))。
[0018]一認(rèn)證模塊4將該詢問C作為詢問信號(hào)5發(fā)送給顯示器6，答復(fù)R (作為條形碼被示出)光學(xué)可見地被顯示在該顯示器上。
[0019]一通信設(shè)備3利用光學(xué)掃描器7、例如照相機(jī)讀入在顯示器6上所顯示的數(shù)據(jù)。
[0020]一緊接著認(rèn)證模塊5計(jì)算與詢問C相匹配的答復(fù)R (R =響應(yīng))。
[0021]一然后認(rèn)證模塊5將答復(fù)R作為答復(fù)信號(hào)8發(fā)送給顯示器9，答復(fù)R (例如以字母數(shù)字形式被示出)光學(xué)可見地被顯示在該顯示器上。
[0022]一所顯示的數(shù)據(jù)由用戶在應(yīng)用程序2的用戶接口 10上輸入并且作為答復(fù)R可供認(rèn)證模塊4使用。
[0023]一認(rèn)證模塊4檢查該答復(fù)R。在對(duì)這些數(shù)據(jù)R的檢驗(yàn)為肯定的情況下，用戶通過其通信設(shè)備3相對(duì)于應(yīng)用程序2被認(rèn)證，使得隨后可以由該用戶進(jìn)行對(duì)該應(yīng)用程序2的實(shí)際使用。
[0024]上面所描述的方法基本上適合于對(duì)稱的和非對(duì)稱的認(rèn)證方法。在對(duì)稱的認(rèn)證方法的情況下，應(yīng)用程序以及通信設(shè)備都擁有相同的密鑰。在非對(duì)稱的認(rèn)證方法的情況下，存在由私人密鑰和公共密鑰組成的非對(duì)稱的密鑰對(duì)。私人密鑰只對(duì)用戶的通信設(shè)備已知。
[0025]公共密鑰一般可以通過兩種可能性而使應(yīng)用程序已知。第一可能性在于，公共密鑰對(duì)應(yīng)用程序已經(jīng)已知。在第二可能性的情況下，公共密鑰被綁定到證書11中，該證書被分配給通信設(shè)備并且使得應(yīng)用程序可獲得該證書。
[0026]通過本發(fā)明，例如對(duì)于在PC上本地運(yùn)行的應(yīng)用程序或內(nèi)部的Web應(yīng)用程序而言，通過2D條形碼能夠?qū)崿F(xiàn)登錄。作為合適的通信設(shè)備首先考慮具有裝入的數(shù)字照相機(jī)的智能電話。根據(jù)本發(fā)明的一種實(shí)施方式，證書存儲(chǔ)在通信設(shè)備的存儲(chǔ)器中。應(yīng)用程序因此提供2D條形碼，該2D條形碼是“挑戰(zhàn)”。借助私人密鑰生成所屬的響應(yīng)并且該響應(yīng)被示出為數(shù)字。該數(shù)字例如被顯示在智能電話的顯示器上。利用該數(shù)字，用戶可以在應(yīng)用程序上登錄。因?yàn)轫憫?yīng)通過私人密鑰(證書)被創(chuàng)建，所以這是個(gè)人化的入口。
[0027]以有利的方式因此不再必要的是，用戶對(duì)于本地的應(yīng)用程序和內(nèi)部的Web應(yīng)用程序必須分別記住密碼。此外，在應(yīng)用程序和用戶的通信設(shè)備之間的有線數(shù)據(jù)連接或無線數(shù)據(jù)連接不再是必要的。
【權(quán)利要求】
1.一種通過使用挑戰(zhàn)-響應(yīng)協(xié)議的應(yīng)用程序來認(rèn)證用戶的方法，具有以下步驟: 一通過應(yīng)用程序生成挑戰(zhàn)并且以條形碼形式輸出所述挑戰(zhàn)， 一通過用戶的移動(dòng)通信設(shè)備機(jī)器地讀入所述挑戰(zhàn)， 一通過用戶的移動(dòng)通信設(shè)備基于所讀入的挑戰(zhàn)和被分配給用戶的第一密鑰確定響應(yīng)， -通過所述移動(dòng)通信設(shè)備示出所確定的響應(yīng)， 一在由用戶將所示出的響應(yīng)輸入到應(yīng)用程序中之后通過所述應(yīng)用程序檢驗(yàn)所述響應(yīng)。
2.根據(jù)權(quán)利要求1所述的方法，其中 針對(duì)挑戰(zhàn)-響應(yīng)協(xié)議使用對(duì)稱的密碼方法，在該對(duì)稱的密碼方法中應(yīng)用程序擁有所述第一密鑰。
3.根據(jù)權(quán)利要求1所述的方法，其中 針對(duì)挑戰(zhàn)-響應(yīng)協(xié)議使用非對(duì)稱的密碼方法，該非對(duì)稱的密碼方法具有由私人密鑰和公共密鑰組成的非對(duì)稱的密鑰對(duì)，其中所述私人密鑰只對(duì)用戶的移動(dòng)通信設(shè)備已知。
4.根據(jù)權(quán)利要求3所述的方法，其中 應(yīng)用程序擁有所述非對(duì)稱的密鑰對(duì)的公共密鑰。
5.根據(jù)權(quán)利要求3所述的方法，其中 所述公共密鑰在分配給用戶的證書中被傳送給應(yīng)用程序。
6.根據(jù)權(quán)利要求5所述的方法，其中 由所述應(yīng)用程序在有效性方面檢驗(yàn)由用戶的移動(dòng)通信設(shè)備所傳送的證書， 并且使用另外的公共密鑰執(zhí)行對(duì)所述證書的有效性的檢驗(yàn)。
7.一種按照權(quán)利要求1 一 6的方法通過根據(jù)挑戰(zhàn)-響應(yīng)協(xié)議的應(yīng)用程序來認(rèn)證用戶的系統(tǒng)，具有: (a)用于實(shí)施應(yīng)用程序的計(jì)算機(jī)平臺(tái)，所述計(jì)算機(jī)平臺(tái)包括用于生成挑戰(zhàn)和用于檢驗(yàn)所獲得的響應(yīng)的第一認(rèn)證模塊，和用于以條形碼形式將所述挑戰(zhàn)輸出在顯示器上并且用于由用戶輸入響應(yīng)的第一通信模塊， (b)用戶的移動(dòng)通信設(shè)備，所述移動(dòng)通信設(shè)備具有用于機(jī)器地讀入被輸出的挑戰(zhàn)和用于將所確定的響應(yīng)示出在顯示器上的第二通信模塊，和確定屬于所讀入的挑戰(zhàn)的響應(yīng)的第二認(rèn)證模塊。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)，其中 所述第一和第二認(rèn)證模塊具有計(jì)算模塊，所述計(jì)算模塊在相應(yīng)的認(rèn)證模塊內(nèi)被設(shè)置用于計(jì)算、檢查和認(rèn)證。
【文檔編號(hào)】G06F21/35GK104169934SQ201380013826
【公開日】2014年11月26日 申請(qǐng)日期:2013年2月6日 優(yōu)先權(quán)日:2012年3月14日
【發(fā)明者】A.克普夫 申請(qǐng)人:西門子公司