證 服務(wù)器可W使用和/或存儲與認證設(shè)備相關(guān)的數(shù)據(jù)�。在一些實施方式中,與用戶或認證設(shè) 備相關(guān)的數(shù)據(jù)包括一個或多個秘密鑰����。在一些實施方式中,該些秘密鑰中的一個或多個可 W與用戶的認證設(shè)備進行共享��。
[0042] 本發(fā)明的又一方面包括一種用于確保正在由用戶通過訪問設(shè)備進行訪問的基于 遠程服務(wù)器的應(yīng)用的安全的方法�,所述訪問設(shè)備包括通過計算機網(wǎng)絡(luò)例如互聯(lián)網(wǎng)與應(yīng)用服 務(wù)器進行通信的計算設(shè)備,例如用戶的PC或膝上型計算機����。所述方法可W包括W下步驟����。
[0043] -使如上所述的認證設(shè)備能夠被用戶得到��。在一些實施方式中���,該步驟包括分配 包括專用硬件認證令牌的認證設(shè)備��。在一些實施方式中���,該步驟包括使認證軟件應(yīng)用能夠 被得到W便下載并且安裝在手持移動電子客戶設(shè)備例如智能電話或個人數(shù)字助理(PDA) 上。在一些實施方式中�,該步驟還包括利用個性化數(shù)據(jù)對認證設(shè)備進行個性化。在一些實 施方式中���,所述個性化數(shù)據(jù)可W包括秘密值�����。在一些實施方式中�,所述個性化數(shù)據(jù)可W包括 認證設(shè)備識別值例如序列號�����。在一些實施方式中,所述個性化包括在將令牌分配至用戶之 前將個性化數(shù)據(jù)加載至硬件強認證令牌中����。在一些實施方式中���,所述個性化包括認證設(shè)備 與個性化服務(wù)器交換個性化消息���。
[0044] -向認證服務(wù)器注冊認證設(shè)備和/或用戶。
[0045] -啟用針對一個或多個用戶的應(yīng)用��。
[0046] -組裝認證發(fā)起消息W將其傳輸至所述認證設(shè)備�����。
[0047] 在一些實施方式中����,由認證服務(wù)器來組裝認證發(fā)起消息。在一些實施方式中��,由應(yīng) 用服務(wù)器來組裝認證發(fā)起消息���。在一些實施方式中����,部分地由認證服務(wù)器W及部分地由應(yīng) 用服務(wù)器來組裝認證發(fā)起消息。認證發(fā)起消息可W包括例如會話標識符�����、和/或挑戰(zhàn)�����、和/ 或交易相關(guān)數(shù)據(jù)��、和/或交易上下文相關(guān)數(shù)據(jù)��、和/或應(yīng)用標識符�����。在一些實施方式中����,認 證發(fā)起消息可W包括服務(wù)器憑證。為了獲得服務(wù)器憑證���,服務(wù)器可W可選地首先生成服務(wù) 器憑證�。在一些實施方式中,該服務(wù)器可W為應(yīng)用服務(wù)器����。在一些實施方式中,該服務(wù)器可 W為認證服務(wù)器��。服務(wù)器可W使用秘密鑰和密碼學(xué)算法來生成服務(wù)器憑證���。密碼學(xué)算法可 W為對稱密碼學(xué)算法。在一些實施方式中���,可W利用用戶的認證令牌來對用于生成服務(wù)器 憑證的秘密鑰進行共享�����。
[0048] -將認證發(fā)起消息傳輸至用戶的認證設(shè)備�。
[0049] 在一些實施方式中���,該步驟包括將認證發(fā)起消息首先發(fā)送至用戶的訪問設(shè)備�。用 戶的訪問設(shè)備可W正在運行計算機應(yīng)用例如網(wǎng)頁瀏覽器���?�?蒞將認證發(fā)起消息嵌入基于服 務(wù)器的應(yīng)用提供至計算設(shè)備的瀏覽器的一個或多個網(wǎng)頁中���。然后�,認證設(shè)備可W從用戶的 訪問設(shè)備獲得認證發(fā)起消息�����。在一些實施方式中����,用戶的訪問設(shè)備的顯示器發(fā)射對認證發(fā) 起消息進行編碼的光信號,由認證設(shè)備接收所述光信號并且對其進行解碼�。
[0化0] 在一些實施方式中,用戶的訪問設(shè)備顯示對認證發(fā)起消息進行編碼的QR碼(其可 W為冊L形式)���,并且用戶的認證設(shè)備讀取該QR碼并且對該QR碼進行解碼���。例如,用戶的 認證設(shè)備可W包括具有合適的認證應(yīng)用的智能電話��。用戶開啟所述認證應(yīng)用�,所述認證應(yīng) 用使用智能電話的相機來讀取QR碼�����,并且然后對所述QR碼進行解碼��。
[0化1] 在一些實施方式中�����,認證設(shè)備在多步驟處理中接收認證發(fā)起消息��。例如���,認證設(shè)備 可W接收第一消息�����,所述第一消息包含使認證設(shè)備能夠與服務(wù)器聯(lián)系并且請求實際的認證 發(fā)起消息的信息(例如U化)�����。例如�����,在用戶的訪問設(shè)備上顯示的應(yīng)用服務(wù)器的網(wǎng)頁可W顯 示對指向?qū)嶋H認證發(fā)起消息的U化進行編碼的QR碼,所述實際認證發(fā)起消息可W例如被定 位在認證服務(wù)器上����。
[0化2]-從用戶獲取批準。
[0化3] 在一些實施方式中���,認證設(shè)備可W適于在生成動態(tài)安全值之前和/或在發(fā)送包括 所生成的動態(tài)安全值的響應(yīng)消息之前尋求用戶的批準��。在一些實施方式中�����,該尋求用戶的 批準包括�;認證設(shè)備向用戶呈現(xiàn)應(yīng)用或應(yīng)用提供者的表示���。該表示可W如上所述來獲得并 且呈現(xiàn)�。在一些實施方式中��,該尋求用戶的批準包括��;認證設(shè)備向用戶呈現(xiàn)包括在認證發(fā)起 消息中的數(shù)據(jù)�����。在一些實施方式中,該尋求用戶的批準可W包括將交易相關(guān)數(shù)據(jù)呈現(xiàn)給用 戶��。在一些實施方式中����,用戶可W通過使用OK按鈕來指示他或她的批準。在一些實施方式 中�����,用戶可W通過輸入有效PIN或口令來指示他或她的批準����。在一些實施方式中,如果用戶 尚未指示他或她的批準����,則認證設(shè)備不生成動態(tài)安全碼�����。在一些實施方式中��,如果用戶尚未 指示他或她的批準,則認證設(shè)備不將包括動態(tài)安全值的響應(yīng)消息發(fā)送至服務(wù)器���。
[0化4]-生成動態(tài)安全值����。
[0化5] 認證設(shè)備可W如前述段落中所述來生成動態(tài)安全值�����。在一些實施方式中��,認證令 牌對認證發(fā)起消息進行處理W生成動態(tài)安全值�����。在一些實施方式中�����,通過將動態(tài)變量與秘 密鑰在密碼學(xué)上相組合來生成動態(tài)安全值�����。在一些實施方式中����,所述在密碼學(xué)上相組合包 括使用對稱密碼學(xué)算法�����。在一些實施方式中����,動態(tài)變量包括挑戰(zhàn)���。在一些實施方式中���,動態(tài) 變量包括交易相關(guān)數(shù)據(jù)。在一些實施方式中���,動態(tài)變量包括時間相關(guān)值��。在一些實施方式 中��,動態(tài)變量包括計數(shù)器���。在一些實施方式中�,動態(tài)變量包括數(shù)據(jù)元素,所述數(shù)據(jù)元素包括 在從基于服務(wù)器的應(yīng)用接收的認證發(fā)起消息中。在一些實施方式中����,使用與基于服務(wù)器的 應(yīng)用所共享的鑰來生成動態(tài)安全值。在一些實施方式中���,輸入數(shù)據(jù)包括服務(wù)器憑證����,且認證 設(shè)備在生成動態(tài)安全值之前驗證服務(wù)器憑證���。在一些實施方式中���,認證設(shè)備使用具有與應(yīng) 用服務(wù)器所共享的秘密鑰的對稱密碼學(xué)算法來驗證服務(wù)器憑證。在一些實施方式中����,認證 設(shè)備在服務(wù)器憑證驗證成功的條件下生成動態(tài)安全值。
[0化6] 在一些實施方式中�,認證設(shè)備可W使用密碼學(xué)算法來生成動態(tài)安全值,所述密碼 學(xué)算法還用作用于識別應(yīng)用或應(yīng)用提供者的輸入數(shù)據(jù)元素�����。在一些實施方式中,該數(shù)據(jù)元 素可W包括應(yīng)用標識符�,所述應(yīng)用標識符包括在認證發(fā)起消息中。
[0化7]-將所生成的動態(tài)值傳送至認證服務(wù)器��。
[0化引在一些實施方式中���,認證令牌包括安全用戶輸出接口�����,并且使用所述安全用戶輸 出接口將動態(tài)安全值輸出至用戶���。在一些實施方式中,用戶接收動態(tài)安全值并且在與基于 服務(wù)器的應(yīng)用相關(guān)的網(wǎng)頁上輸入所述動態(tài)安全值�����。
[0化9] 在一些實施方式中���,認證設(shè)備對包括動態(tài)安全值的響應(yīng)消息進行組裝���,并且將其 發(fā)送至認證服務(wù)器。在一些實施方式中�����,認證設(shè)備對包括動態(tài)安全值的響應(yīng)消息進行組裝�, 并且將其發(fā)送至應(yīng)用服務(wù)器,并且應(yīng)用服務(wù)器將響應(yīng)消息或響應(yīng)消息的某部分轉(zhuǎn)發(fā)至認證 服務(wù)器��。在一些實施方式中���,響應(yīng)消息可W包括其他數(shù)據(jù)元素一一例如會話標識符���、應(yīng)用標 識符、認證設(shè)備標識符�����、用戶識別數(shù)據(jù)元素一一和/或可W已經(jīng)由用戶批準和/或可W已經(jīng) 在動態(tài)安全值的生成中使用的其他數(shù)據(jù)���,例如挑戰(zhàn)或交易數(shù)據(jù)或時間或計數(shù)器同步數(shù)據(jù)�����。
[0060] -驗證所接收到的動態(tài)安全值�。在一些實施方式中�����,認證服務(wù)器可W驗證所接收 到的動態(tài)安全值的有效性。認證服務(wù)器可W使用密碼學(xué)算法來驗證所接收到的動態(tài)安全 值�����。在一些實施方式中����,認證服務(wù)器將參考動態(tài)變量與參考秘密鑰在密碼學(xué)上相組合,W驗 證所接收到的動態(tài)安全值�����。在一些實施方式中�,認證服務(wù)器生成參考安全值,并且將所述參 考安全值與所接收到的動態(tài)安全值相比較����。在一些實施方式中,認證服務(wù)器通過將參考動 態(tài)變量與參考秘密鑰在密碼學(xué)上相組合來計算參考安全值����。在一些實施方式中,所述在密 碼學(xué)上相組合包括執(zhí)行對稱密碼學(xué)算法���。在一些實施方式中�����,秘密鑰包括認證服務(wù)器與認 證設(shè)備或者與可移除第二安全設(shè)備共享的秘密鑰��,用戶的認證設(shè)備已經(jīng)與所述可移除第二 安全設(shè)備協(xié)作W生成動態(tài)安全值��。
[0061] -對應(yīng)用提供者的驗證
[0062] 在一些實施方式中��,認證設(shè)備向用戶呈現(xiàn)應(yīng)用標識符��。在一些實施方式中����,認證服 務(wù)器驗證被請求驗證動態(tài)安全值的應(yīng)用服務(wù)器是否與被呈現(xiàn)給用戶的應(yīng)用標識符相匹配�。 在一些實施方式中,認證設(shè)備將被呈現(xiàn)給用戶的應(yīng)用標識符包括在響應(yīng)消息中�,并且認證 服務(wù)器驗證其接收的響應(yīng)消息中的應(yīng)用標識符是否與被請求驗證動態(tài)安全值的應(yīng)用服務(wù) 器相匹配。
[0063] 在一些實施方式中�����,認證設(shè)備向用戶呈現(xiàn)應(yīng)用標識符��,并且在動態(tài)安全值的生成 中使用該應(yīng)用標識符。在一些實施方式中�����,服務(wù)器在動態(tài)安全值的驗證中使用參考應(yīng)用提 供者標識符���,W使得如果在動態(tài)安全值的生成中由認證設(shè)備使用的應(yīng)用標識符與由認證服 務(wù)器使用的參考應(yīng)用提供者標識符不匹配��,則該驗證失敗�����。在一些實施方式中��,認證服務(wù)器 從還包含待驗證的動態(tài)安全值的響應(yīng)消息中提取參考應(yīng)用提供者標識符�。在一些實施方式 中��,認證服務(wù)器根據(jù)應(yīng)用服務(wù)器的身份來推導(dǎo)參考應(yīng)用提供者標識符值�����,其中���,服務(wù)器代表 所述應(yīng)用服務(wù)器的身份來驗證動態(tài)安全值�。
[0064] -向應(yīng)用服務(wù)器通知驗證結(jié)果
[00化]在一些實施方式中,在驗證動態(tài)安全值的有效性時���,認證服務(wù)器可W向應(yīng)用服務(wù) 器通知所述驗證的結(jié)果�����。該通知可W包括通知所述驗證是否成功��。在所述驗證失敗的情況 下,該通知可W包括錯誤碼(例如��,"密碼驗證失敗"����、"未知認證設(shè)備"、"未知會話ID"���、"用 戶賬號過期"��、"應(yīng)用提供者賬號過期"��,…)����。
[0066] -向應(yīng)用服務(wù)器通知用戶身份。
[0067] 在一些實施方式中���,認證服務(wù)器還可W向應(yīng)用服務(wù)器傳遞用戶的身份的指示���。在 一些實施方式中,認證服務(wù)器可W向應(yīng)用服務(wù)器傳遞獨立于應(yīng)用或應(yīng)用提供者的通用用戶 名稱���。在一些實施方式中����,認證服務(wù)器可W向應(yīng)用服務(wù)器傳遞作為用戶W及應(yīng)用或應(yīng)用提 供者的函數(shù)的特定用戶名稱���。在一些實施方式中�����,認證服務(wù)器保持數(shù)據(jù)庫�����,所述數(shù)據(jù)庫包含 針對每對所注冊用戶和所啟用應(yīng)用的用戶id, W在每個認證會話處向應(yīng)用服務(wù)器傳遞用戶 id�。
[0068] -向用戶通知驗證結(jié)果。
[0069] 在一些實施方式中����,接收到響應(yīng)消息的服務(wù)器將包括動態(tài)安全值的驗證結(jié)果的確 認消息返回至認證設(shè)備。在失敗的情況下���,該消息可W包含錯誤碼(例如���,"密碼驗證失敗"、 "未知驗證設(shè)備"���、"未知會話id"���、"用戶賬號過期"�、"應(yīng)用提供者賬號過期",…)��。
[0070] -根據(jù)動態(tài)安全值的驗證的結(jié)果來采取適當?shù)膭幼?�。在一些實施方式中�,該步驟 可W包括;在驗證成功情況下用戶被允許訪問應(yīng)用服務(wù)器的應(yīng)用����,并且在驗證不成功的情 況下用戶被拒絕訪問���。在一些實施方式中,該步驟可W包括如果驗證成功則執(zhí)行由用戶提 交的交易請求���,并且如果驗證不成功則不執(zhí)行由用戶提交的交易請求�����。
[0071] 在一些實施方式中����,應(yīng)用服務(wù)器可W包括運行一個或多個軟件應(yīng)用的一個或多個 服務(wù)器計算機�����。在一些實施方式中��,應(yīng)用服務(wù)器可W托管待由一個或多個用戶遠程訪問的 一個或多個應(yīng)用�����。在一些實施方式中�����,應(yīng)用服務(wù)器可W包括一個或多個網(wǎng)頁服務(wù)器。在一 些實施方式中����,由應(yīng)用服務(wù)器托管的一個或多個應(yīng)用可W為基于網(wǎng)頁的。
[0072] 在一些實施方式中�,用于訪問由應(yīng)用服務(wù)器托管的應(yīng)用的用戶的訪問設(shè)備可W包 括計算設(shè)備。在一些實施方式中��,該計算設(shè)備可W包括PC或膝上型計算機�。在一些實施方 式中,該計算設(shè)備可W包括例如在公用互聯(lián)網(wǎng)訪問點中的互聯(lián)網(wǎng)訪問設(shè)備��。在一些實施方 式中��,訪問設(shè)備可W被聯(lián)網(wǎng)��。在一些實施方式中�����,訪問設(shè)備可W適于通過計算機網(wǎng)絡(luò)與應(yīng)用 服務(wù)器進行通信�。在一些實施方式中��,該計算機網(wǎng)絡(luò)可W包括公用電信網(wǎng)絡(luò)。在一些實施 方式中��,該計算機網(wǎng)絡(luò)可W包括互聯(lián)網(wǎng)���。
【附圖說明】
[0073] 根據(jù)下述如附圖中所示對本發(fā)明的實施方式的更特別描述��,本發(fā)明的前述特征和 優(yōu)點W及其他特征和優(yōu)點將明顯��。
[0074] 圖1示意性地示出了本發(fā)明的示例性實現(xiàn)���。
[0075] 圖2示意性地示出了根據(jù)本發(fā)明的方面的系統(tǒng)的示例。
[0076] 圖3a和圖3b示意性地示出了根據(jù)本發(fā)明的方面的用戶認證設(shè)備的示例��。
[0077] 圖4a和圖4b示意性地示出了根據(jù)本發(fā)明的方面的用于確保遠程可訪問應(yīng)用的安 全的方法����。
【具體實施方式】
[007引下面討論了本發(fā)明的一些實現(xiàn)。雖然討論了特定實現(xiàn)��,但是應(yīng)當理解的是���,上述僅 出于示出目的來完成��。相關(guān)領(lǐng)域技術(shù)人員將認識到的是���,在不背離本發(fā)明的精神和范圍的 前提下����,可W使用其他部件和配置�����。
[0079] 圖1示出了本發(fā)明的示例性實現(xiàn)�。
[0080] 用戶使用訪問設(shè)備(在附圖上指示為叩C網(wǎng)頁瀏覽器")來訪問遠程應(yīng)用(在附 圖上指示為"MDP")。訪問設(shè)備可W例如為PC或膝上型計算機��。遠程應(yīng)用可W由應(yīng)用服務(wù) 器托管�。用戶的訪問設(shè)備可W通過計算機網(wǎng)絡(luò)例如互聯(lián)網(wǎng)與應(yīng)用服務(wù)器進行通信。應(yīng)用可 W為基于網(wǎng)頁的����,并且用戶可W使用運行在用戶的訪問設(shè)備上的網(wǎng)頁瀏覽器來訪問基于網(wǎng) 頁的應(yīng)用。
[0081] 在某個點處���,用戶可W明確或隱含地請求訪問應(yīng)用的訪問保護部分(在附圖上通 過標記為"ht1:ps://mydigipass. com"的箭頭來指示)����。
[0082] 應(yīng)用可W獲得認證發(fā)起消息�。應(yīng)用可W通過將請求(在附圖上通過標記為"請求 QR碼"的箭頭來指示)發(fā)送至認證服務(wù)器(在附圖上指示為"DPS")來獲得認證發(fā)起消息。 認證服務(wù)器可W通過將認證發(fā)起消息的內(nèi)容中的一部分或所有內(nèi)容返回至應(yīng)用來響應(yīng)該 請求��。例如���,認證服務(wù)器可W向應(yīng)用發(fā)送包含域名的消息���。該消息還可W包括會話ID。該 消息還可W包括挑戰(zhàn)�����。應(yīng)用可W將包含認證發(fā)起消息的表示的網(wǎng)頁發(fā)送至訪問設(shè)備上的網(wǎng) 頁瀏覽器�����。例如�,該網(wǎng)頁可W包括QR碼。該QR碼可W對U化或URI進行編碼���。該m?L/URI 可W包括被包括在認證發(fā)起消息中的數(shù)據(jù)��,例如域名和/或會話ID和/或挑戰(zhàn)該數(shù)據(jù)��。網(wǎng) 頁可W提示用戶利用他或她的認證設(shè)備來讀取QR碼�。
[0083] 用戶的認證設(shè)備(在附圖上通過"移動應(yīng)用"來指示)可W例如為包括相機且配備 有認證應(yīng)用的智能電話。在其他實施方式中��,用戶的認證設(shè)備可W包括專用硬件令牌����。用戶 可W開啟認證設(shè)備上的認證小應(yīng)用或認證應(yīng)用,并且指示該認證小應(yīng)用或應(yīng)用來獲得由訪 問設(shè)備呈現(xiàn)的認證發(fā)起消息的表示��。例如���,用戶可W使認證設(shè)備讀取用戶的訪問設(shè)備的顯 示器上的QR碼�����。在例如通過讀取QR碼(在附圖上通過標記為"掃描QR碼"和"QR碼(會 話)"來指示)獲得由訪問設(shè)備呈現(xiàn)的認證發(fā)起消息的表示時��,認證小應(yīng)用對QR進行解碼 W獲得認證發(fā)起消息的內(nèi)容�����。該些內(nèi)容可W例如包括域名�����、和/或會話ID和/或挑戰(zhàn)����。
[0084] 在一些實施方式中�,認證小應(yīng)用然后可W在不進行進一步的用戶交互的情況下生 成動態(tài)安全值。在其他實施方式中��,認證小應(yīng)用可W在繼續(xù)進行之前向用戶詢問明確批準�����。 認證小應(yīng)用可w通過將其存儲的秘密與一個或多個動態(tài)變量在密碼學(xué)上相組合來生成一 次性口令(在附圖上指示為"使用會話作為挑戰(zhàn)")����。一個或多個動態(tài)變量可W包括從認證 發(fā)起消息中提取的挑戰(zhàn)的值、和/或由認證設(shè)備上的時鐘保持的時間的值��、和/或由認證小 應(yīng)用保持的計數(shù)器的值(由此�����,認證小應(yīng)用可W例如每次在其生成OTP時將計數(shù)器加1)���。 認證小應(yīng)用可W例如使用密碼學(xué)哈希算法例如SHA-1來生成一個或多個動態(tài)變量和秘密 的組合的密碼學(xué)哈希��。認證小應(yīng)用可W例如使用通過秘密進行參數(shù)化了的加密算法對動態(tài) 變量的組合進行加密����。
[0085] 認證設(shè)備可W對響應(yīng)消息進行組裝。該響應(yīng)消息可W包括所生成的OTP�����。該響應(yīng) 消息還可W包括從認證發(fā)起消息中提取的會話ID��。該響應(yīng)消息還可W包括認證設(shè)備的標 識符例如由認證小應(yīng)用存儲的唯一的序列號���。認證設(shè)備可W將該響應(yīng)消息發(fā)送至由從認證 發(fā)起消息中提取的域名指示的服務(wù)器�。域名可W例如指示認證服務(wù)器���。在發(fā)送響應(yīng)消息之 前���,認證小應(yīng)用可W對域名是否指示響應(yīng)消息的所允許目的地進行驗證。該認證設(shè)備可W 例如將域名與所允許域名列表或所允許域名組型相比較��。
[0086] 認證設(shè)備可W將響應(yīng)消息發(fā)送至例如認證服務(wù)器(通過標記為"認證請求(SN�����, OT巧"來指示)。響應(yīng)消息可W例如包括HTTP POST消息�。可朗尋該HTTP POST消息發(fā)送 至在由QR碼編碼了的U化中所指示的服務(wù)器���。
[0087] 在接收到響應(yīng)消息時����,認證服務(wù)器可W對包括在響應(yīng)消息中的0TP進行驗證���。為 了驗證0TP,認證服務(wù)器可W使用驗證秘密�����。認證服務(wù)器可W通過使用包括在響應(yīng)消息中的 認證設(shè)備標識符(例如���,序列號)來獲得驗證秘密����。例如��,認證服務(wù)器可W使用認證設(shè)備標 識符在數(shù)據(jù)庫中查找驗證秘密��,或者認證服務(wù)器可W根據(jù)認證設(shè)備標識符和主秘密來獲得 驗證秘密。
[008引在驗證0TP之后�,認證服務(wù)器可W向認證設(shè)備通知結(jié)果(在附圖中通過標記為 "ACK"的箭頭來指示)。
[0089] 在驗證0TP之后�,認證服務(wù)器可W向應(yīng)用服務(wù)器通知驗證的結(jié)果。例如�,應(yīng)用服務(wù) 器可W正在針對與包括在認證發(fā)起消息中的會話ID相關(guān)聯(lián)的0TP的驗證的結(jié)果來輪詢認 證服務(wù)器。
[0090] 認證服務(wù)器還可從隱用戶標識符(例如�,用戶名稱)傳遞至應(yīng)用服務(wù)器。為了獲 得用戶標識符�,認證服務(wù)器可W使用可W包括在響應(yīng)消息中的認證設(shè)備標識符來捜索數(shù)據(jù) 庫。在一些實施方式中����,數(shù)據(jù)庫可W包括針對與給定認證設(shè)備相關(guān)聯(lián)的相同用戶的多于一 個用戶標識符。例如����,認證服務(wù)器可W存儲針對不同應(yīng)用服務(wù)器的不同用戶標識符,并且將 相應(yīng)用戶標識符傳遞至應(yīng)用服務(wù)器��。在一些實施方式中�����,認證服務(wù)器可W存儲針對相同用 戶和相同應(yīng)用的多于一個用戶標識符��,并且認證服務(wù)器可W參與與認證設(shè)備的對話W使用 戶能夠選擇正確的用戶標識符W傳遞至應(yīng)用服務(wù)器。
[0091] 用于確保遠程應(yīng)用的安全的系統(tǒng)
[0092] 圖2示意性地示出了根據(jù)本發(fā)明的方面的系統(tǒng)的示例���。
[009引系統(tǒng)(200)包括下述部件:應(yīng)用服務(wù)器(210)���、認證服務(wù)器(220)、多個訪問設(shè)備 (230) W及多個用戶認證設(shè)備(240)�����。在一些實施方式中��,可W存在多于一個應(yīng)用服務(wù)器���。 [0094] 應(yīng)用服務(wù)器(210)可W適于托管一個或多個遠程可訪問應(yīng)用。應(yīng)用服務(wù)器(210) 例如可W托管網(wǎng)頁服務(wù)器�。應(yīng)用服務(wù)器可W包括服務(wù)器計算機。應(yīng)用服務(wù)器可W包括數(shù)據(jù) 處理部件例如一個或多個微處理器�。應(yīng)用服務(wù)器可w包括用于存儲數(shù)據(jù)和/或軟件的存儲 部件。該些存儲部件可W包括易失性存儲器和/或非易失性存儲器例如RAM和/或硬盤���。 應(yīng)用服務(wù)器可W包括數(shù)據(jù)通信接口(例如W太網(wǎng)卡)���,W將應(yīng)用服務(wù)器連接至計算機網(wǎng)絡(luò) (250)(例如互聯(lián)網(wǎng))�,使得應(yīng)用服務(wù)器可W與例如認證服務(wù)器和/或訪問設(shè)備和/或用戶 認證設(shè)備傳送和交換數(shù)據(jù)和消息���。
[0095] 可W由應(yīng)用服務(wù)器托管的遠程可訪問應(yīng)用的示例可W包括��;網(wǎng)上銀行應(yīng)用��、電子 商務(wù)網(wǎng)站����、網(wǎng)頁郵件應(yīng)用(例如Gmail)���、社交網(wǎng)站(例如Facebook) W及其他基于網(wǎng)頁����、基 于互聯(lián)網(wǎng)或基于云的應(yīng)用�����。
[0096] 認證服務(wù)器(220)可W托管認證服務(wù)器應(yīng)用���,該認證服務(wù)器應(yīng)用適于驗證可W由 用戶認證設(shè)備生成的動態(tài)安全值��,例如一次性口令或交易簽名����。在一些實施方式中,認證 服務(wù)器可W用作可信方���,該可信方代表可W代表在不同且不相關(guān)的應(yīng)用提供者的控制下的 可能多于一個應(yīng)用服務(wù)器來驗證動態(tài)安全值���。認證服務(wù)器可W適于實現(xiàn)在一些實施方式中 可能設(shè)及對稱和/或非對稱密碼學(xué)算法的密碼計算。認證服務(wù)器可W包括安全硬件例如 服M(硬件安全模塊)�����,W安全地執(zhí)行可W設(shè)及秘密鑰的某些安全性敏感操作或計算����。認證 服務(wù)器可W包括服務(wù)器計算機�。認證服務(wù)器可W包括數(shù)據(jù)處理處理部件例如一個或多個微 處理器。認證服務(wù)器可W包括用于存儲數(shù)據(jù)和/或