訪(fǎng)問(wèn)數(shù)據(jù)網(wǎng)絡(luò)上服務(wù)的用戶(hù)帳戶(hù)的認(rèn)證方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于訪(fǎng)問(wèn)數(shù)據(jù)網(wǎng)絡(luò)上服務(wù)的用戶(hù)帳戶(hù)的認(rèn)證方法,涉及實(shí)施這種服務(wù)的裝置和安全裝置的管理器。更具體地,本發(fā)明應(yīng)用于用于訪(fǎng)問(wèn)這種用戶(hù)帳戶(hù)的用戶(hù)多因素認(rèn)證。
【背景技術(shù)】
[0002]被接納在數(shù)據(jù)網(wǎng)絡(luò)(例如因特網(wǎng))上并且通過(guò)裝置或同樣被連接到數(shù)據(jù)網(wǎng)絡(luò)的詢(xún)問(wèn)終端用戶(hù)可訪(fǎng)問(wèn)的服務(wù)日漸增多。
[0003]該詢(xún)問(wèn)裝置可為個(gè)人計(jì)算機(jī)、智能型移動(dòng)電話(huà)(英文為Smartphone),作為個(gè)人計(jì)算機(jī)的平板計(jì)算機(jī),包括觸摸屏和通常未被設(shè)置有鍵盤(pán)或被連接到通信網(wǎng)絡(luò)的所有其它類(lèi)型終端,且能夠使用戶(hù)與服務(wù)交互。
[0004]這種服務(wù)為被接納在被連接到數(shù)據(jù)網(wǎng)絡(luò)的一個(gè)或多個(gè)服務(wù)上的一套軟件。該套軟件被編程以接收來(lái)自詢(xún)問(wèn)裝置的請(qǐng)求和以提供所考慮服務(wù)的方式進(jìn)行應(yīng)答。該服務(wù)例如為銀行服務(wù),又或社交網(wǎng)絡(luò)。
[0005]對(duì)這種服務(wù)的訪(fǎng)問(wèn)可請(qǐng)求對(duì)詢(xún)問(wèn)裝置用戶(hù)的認(rèn)證。在該情況下,服務(wù)通常與用戶(hù)或用戶(hù)帳戶(hù)的數(shù)據(jù)庫(kù)聯(lián)合運(yùn)行。
[0006]而且,為了訪(fǎng)問(wèn)該服務(wù),用戶(hù)被邀請(qǐng)?zhí)峁┡c該服務(wù)相關(guān)的數(shù)據(jù)庫(kù)的用戶(hù)帳戶(hù)之一相關(guān)聯(lián)的一個(gè)或多個(gè)認(rèn)證信息。一旦認(rèn)證,如果該服務(wù)關(guān)聯(lián)銀行,用戶(hù)可例如訪(fǎng)問(wèn)其銀行帳戶(hù),或如果該服務(wù)關(guān)聯(lián)社交網(wǎng)絡(luò)時(shí)訪(fǎng)問(wèn)個(gè)人簡(jiǎn)檔。
[0007]認(rèn)證需要用戶(hù)輸入已知的秘密信息,例如與用戶(hù)的用戶(hù)帳戶(hù)相關(guān)聯(lián)的口令。在該情況下,對(duì)于,認(rèn)證僅在秘密信息和該服務(wù)關(guān)聯(lián)的數(shù)據(jù)庫(kù)中為相關(guān)用戶(hù)帳戶(hù)記錄的信息相對(duì)應(yīng)時(shí)才有效。
[0008]然而,通過(guò)秘密信息對(duì)用戶(hù)的傳統(tǒng)認(rèn)證對(duì)于保證訪(fǎng)問(wèn)該服務(wù)的安全來(lái)說(shuō)有時(shí)是不夠的。
[0009]例如,經(jīng)常有用戶(hù)使用相同的信息,通常是相同的口令,用于保護(hù)其對(duì)不必相互關(guān)聯(lián)的不同服務(wù)的訪(fǎng)問(wèn)。而且,在該信息被發(fā)觀(guān)的情況下,惡意實(shí)缽會(huì)作為用戶(hù)通過(guò)口令訪(fǎng)問(wèn)這個(gè)或這些服務(wù)。
[0010]為了使用戶(hù)認(rèn)證復(fù)雜化以及改善訪(fǎng)問(wèn)如前述的服務(wù)的安全性,可實(shí)施多因素認(rèn)證方法。
[0011]提供這些方法大部分用于用戶(hù)已知的秘密信息(如口令)和用戶(hù)自身特征化的信息的關(guān)聯(lián)使用,用戶(hù)自身特征化的信息通常為生物識(shí)別信息(如數(shù)字指紋、眼睛虹膜)和/或通過(guò)顯示給用戶(hù)的目標(biāo)物得到的信息(例如用戶(hù)終端上顯示的代碼)。
[0012]與單一因素(使用單一型信息)的傳統(tǒng)認(rèn)證方法相反,惡意實(shí)體發(fā)現(xiàn)的不同類(lèi)型信息其中之一通常不能夠訪(fǎng)問(wèn)被保護(hù)的服務(wù)。
[0013]然而,如果能夠改善認(rèn)證安全性,這些信息的獲得經(jīng)常干擾希望訪(fǎng)問(wèn)服務(wù)的用戶(hù),這可能會(huì)影響用戶(hù)體驗(yàn)。
[0014]因此,存在以盡可能對(duì)用戶(hù)透明的方式來(lái)改善現(xiàn)存認(rèn)證處理方法安全性的需要。
【發(fā)明內(nèi)容】
[0015]本發(fā)明的目的在于克服這些缺點(diǎn)中的至少一個(gè)。
[0016]在本文中,本發(fā)明的第一方面涉及用于訪(fǎng)問(wèn)數(shù)據(jù)網(wǎng)絡(luò)上的服務(wù)的用戶(hù)帳戶(hù)的認(rèn)證方法,所述方法包括如下步驟:
[0017]由服務(wù)接收所述服務(wù)的詢(xún)問(wèn)裝置方的請(qǐng)求,所述請(qǐng)求包括第一認(rèn)證信息,
[0018]由服務(wù)接收由認(rèn)證安全裝置的管理器發(fā)送的信息,由所述服務(wù)接收的信息基于來(lái)自與用戶(hù)帳戶(hù)相關(guān)的安全裝置的第二認(rèn)證信息,和
[0019]由所述服務(wù)基于第一認(rèn)證信息和從認(rèn)證安全裝置的管理器接收的信息進(jìn)行認(rèn)證。
[0020]而且,本發(fā)明的方法使能夠改善認(rèn)證安全性。
[0021]事實(shí)上,認(rèn)證尤其取決來(lái)自?xún)蓚€(gè)不同裝置,即詢(xún)問(wèn)裝置和與用戶(hù)帳戶(hù)相關(guān)聯(lián)的安全裝置的兩個(gè)認(rèn)證信息。
[0022]另外,由于通過(guò)安全裝置發(fā)送的請(qǐng)求觸發(fā)了獲得對(duì)于用戶(hù)多因素認(rèn)證所需的其它信息,無(wú)需建議或使用戶(hù)發(fā)送該補(bǔ)充信息,改善了用戶(hù)體驗(yàn),。
[0023]而且,本方法對(duì)用戶(hù)來(lái)說(shuō)在表面上與傳統(tǒng)認(rèn)證方法相似,但本認(rèn)證方法實(shí)際上更安全。請(qǐng)求不限于服務(wù)的開(kāi)啟或起始。還可由用戶(hù)從詢(xún)問(wèn)裝置來(lái)使用該服務(wù)。
[0024]根據(jù)本發(fā)明實(shí)施方式的方法的其它特征描述于附屬權(quán)利要求中。
[0025]在一些實(shí)施方式中,可通過(guò)管理器實(shí)施認(rèn)證步驟,尤其在服務(wù)整合有管理器功能的實(shí)施例中。
[0026]在本發(fā)明的【具體實(shí)施方式】中,響應(yīng)于管理器向安全裝置發(fā)送的請(qǐng)求,由管理器接收笫二信息。
[0027]在變化形式中,在安全裝置被連接時(shí),由安全裝置向管理器自發(fā)地發(fā)送第二認(rèn)證信息。
[0028]在本發(fā)明的【具體實(shí)施方式】中,通過(guò)服務(wù)接收的所述信息對(duì)應(yīng)于由安全裝置發(fā)送的第二認(rèn)證信息。
[0029]而且,針對(duì)使用者的認(rèn)證,服務(wù)本身實(shí)施對(duì)第一和第二認(rèn)證信息的驗(yàn)證。
[0030]在變化形式中,所述管理器驗(yàn)證從安全裝置接收的第二認(rèn)證信息,以及在于管理器向服務(wù)發(fā)送的信息對(duì)應(yīng)于該驗(yàn)證的結(jié)果。
[0031]而且,管理器自身驗(yàn)證第二認(rèn)證信息并將該驗(yàn)證結(jié)果(信息)傳送給服務(wù)。
[0032]在本發(fā)明的【具體實(shí)施方式】中,第二認(rèn)證信息包括安全裝置的位置信息。
[0033]在本發(fā)明的【具體實(shí)施方式】中,位置信息包括在局域網(wǎng)和接納服務(wù)的數(shù)據(jù)網(wǎng)絡(luò)之間的網(wǎng)關(guān)地址,所述局域網(wǎng)包括安全裝置和詢(xún)問(wèn)裝置。
[0034]在這些實(shí)施方式中,詢(xún)問(wèn)裝置和安全裝置屬于同一局域網(wǎng),且可被相同的公共地址(即網(wǎng)關(guān)地址)針對(duì)接納服務(wù)的數(shù)據(jù)網(wǎng)絡(luò)表征。反之,被連接到局域網(wǎng)的各個(gè)裝置將在局域網(wǎng)中具有其本身的專(zhuān)用地址,但是該專(zhuān)用地址不總是被如管理器或服務(wù)的數(shù)據(jù)網(wǎng)絡(luò)裝置所知。
[0035]而且,在局域網(wǎng)和數(shù)據(jù)網(wǎng)絡(luò)之間的網(wǎng)關(guān)地址構(gòu)成認(rèn)證補(bǔ)充因素,這能夠使訪(fǎng)問(wèn)服務(wù)更加安全。
[0036]在變化形式中,位置信息可為地理坐標(biāo)或地理方位標(biāo)的組合。這些信息可為GPS定位、或者GSM三角定位(GSM定位)又或W1-Fi定位給出的數(shù)據(jù)。
[0037]在本發(fā)明的【具體實(shí)施方式】中,所述第二認(rèn)證信息包括僅基于安全裝置中存儲(chǔ)的密鑰的使用代碼。
[0038]在本發(fā)明的【具體實(shí)施方式】中,通過(guò)安全裝置發(fā)起的持續(xù)連接將安全裝置連接到管理器上。
[0039]而且,在這些方式中,可以與詢(xún)問(wèn)裝置相獨(dú)立的方式直接與管理器和安全裝置相通信,以使用戶(hù)得到認(rèn)證。
[0040]在本發(fā)明的【具體實(shí)施方式】中,安全裝置與用戶(hù)帳戶(hù)的關(guān)聯(lián)包括如下步驟:
[0041]在詢(xún)問(wèn)裝置上輸入在安全裝置上顯示的代碼,
[0042]通過(guò)詢(xún)問(wèn)裝置將輸入的代碼發(fā)送到服務(wù),和
[0043]由服務(wù)激活關(guān)聯(lián)。
[0044]這些步驟旨在進(jìn)行安全裝置和用戶(hù)帳戶(hù)的預(yù)先關(guān)聯(lián)。
[0045]輸入的代碼基于安全裝置的唯一識(shí)別碼。
[0046]而且,代碼能夠例如通過(guò)對(duì)照表找到安全裝置。更具缽她,輸入的代碼直接對(duì)應(yīng)于安全裝置的唯一識(shí)別碼。而且,代碼直接指示安全裝置。
[0047]在變化形式中,輸入的代碼可基于顏色代碼,或顯示于安全裝置上的號(hào)碼,獨(dú)立于安全裝置(或至少與其識(shí)別碼不同)。
[0048]而且,通過(guò)詢(xún)問(wèn)裝置輸入該代碼并發(fā)送給服務(wù),接下來(lái)在安全裝置上進(jìn)行取回,這能夠表明安全裝置被有效地與服務(wù)的用戶(hù)帳戶(hù)相耦合。
[0049]輸入可以是寫(xiě)入或語(yǔ)音的(口述)。該代碼可以是暫時(shí)的,例如被顯示在安全裝置上,或在變化形式中是永久性的,例如被印刷或雕刻在安全裝置上。
[0050]由服務(wù)輸入和接收的代碼可被與用戶(hù)帳戶(hù)相關(guān)聯(lián)地存儲(chǔ)在與服務(wù)關(guān)聯(lián)的數(shù)據(jù)庫(kù)中。
[0051]安全裝置與用戶(hù)帳戶(hù)的關(guān)聯(lián)另外可包括如下步驟:
[0052]將服務(wù)接收的代碼發(fā)送給安全裝置的管理器,和
[0053]通過(guò)管理器驗(yàn)證所接收的代碼。
[0054]而且,裝置與用戶(hù)帳戶(hù)的關(guān)聯(lián)同樣是更安全的。反之,服務(wù)自身通過(guò)與其相關(guān)聯(lián)的數(shù)據(jù)庫(kù)的協(xié)作來(lái)驗(yàn)證代碼。
[0055]通過(guò)與服務(wù)識(shí)別碼相關(guān)聯(lián)將由管理器驗(yàn)證的代碼存儲(chǔ)在與管理相關(guān)聯(lián)的數(shù)據(jù)庫(kù)中。
[0056]在本發(fā)明的【具體實(shí)施方式】中,由管理器接收第二認(rèn)證信息要求詢(xún)問(wèn)裝置的用戶(hù)的確認(rèn)。
[0057]例如,可在認(rèn)證中加入用戶(hù)位置因素。
[0058]例如,確認(rèn)可在于按壓另一裝置上的按鍵,又或提供如獅子指紋的生物信息??梢詫?duì)用戶(hù)認(rèn)證考慮補(bǔ)充因素(例如指紋、視網(wǎng)膜等的有效性)。
[0059]生物識(shí)別驗(yàn)證涉及補(bǔ)充信用級(jí)別,尤其能夠證明用戶(hù)在認(rèn)證信息發(fā)送時(shí)存在。
[0060]例如,可在認(rèn)證中加入用戶(hù)位置因素。
[0061]本發(fā)明的第二方面涉及實(shí)施數(shù)據(jù)網(wǎng)絡(luò)上的服務(wù)的裝置,所述裝置包括:
[0062]接收所述服務(wù)的詢(xún)問(wèn)裝置方的請(qǐng)求的裝置,所述請(qǐng)求包括第一認(rèn)證信息,
[0063]接收由認(rèn)證安全裝置的管理器發(fā)送的信息的裝置,由所述服務(wù)接收的信息基于來(lái)自與用戶(hù)帳戶(hù)相關(guān)的安全裝置的第二認(rèn)證信息,和
[0064]基于第一認(rèn)證信息和認(rèn)證安全裝置的管理器接收的信息的認(rèn)證裝置。
[0065]本發(fā)明的第三方面涉及認(rèn)證安全裝置的管理器,用于訪(fǎng)