[发明专利]认证方法和系统

说明书

技术领域

本发明涉及认证的系统和方法，包括使用下载到移动电话装置的基于密码的应用程序生成认证令牌的方法，并且涉及一种用于使用该令牌认证在线交易的方法。该方法可被用于利用用户密码和认证令牌的两因素认证方法。

背景技术

在线金融交易通常采用单因素认证。在如因特网银行的服务通常仅需要单因素认证(即用户ID和密码)时，随着来自按键记录器、特洛伊木马、钓鱼/域欺骗攻击、中间人(man in the middle，MITM)攻击、肩窥、窃听、安全性应用程序的反编译、应用程序的替换和安全性令牌的再创建的这一系列威胁的与日俱增，需要更高的安全性。

由于两因素认证需要两种认证方法(例如，安全性令牌或密钥结合用户密码)，因而其提供更强大的保护。如在WO02/19593、WO01/17310和WO03/063411中所述已知用于生成和分发在线交易中所使用的安全性令牌的许多方法。不在本地生成该令牌，并且这些方法不允许在没有无线通信信道的情况下使用第二认证方法。

上述方法采用单次使用令牌(进行每一交易都要申请该令牌)或永久令牌。单次使用令牌需要用户为每一交易请求令牌，因而不方便。而永久令牌如果在可有效使用时被第三方获取则带来安全风险。WO02/15626公开了一种包括密码模块的蜂窝式电话，该密码模块可以在蜂窝式电话上在本地生成安全性令牌。然而，该方法限于具有这种密码模块的蜂窝式电话。

希望提供一种提供强大安全性、需要最少用户输入的认证方法。希望可通过需要最少用户介入的一系列渠道激活认证处理。还希望多种移动装置能够使用该处理。希望在移动电话装置离线时也能够生成令牌。该认证处理还应提供对于网络欺骗、钓鱼、窃听、软件反编译、数据或软件的操纵、以及安全性令牌的访问的良好保护。该认证处理还应最小化对用户的交易的可能的否认。

本发明的目地是提供至少减少上述一些缺点的方法和系统，或至少向公众提供一种有用的选择。

发明内容

这里说明许多实施例，并且以下的实施例仅应被认为是非限制性示例性实施例。

根据一个示例性实施例，提供一种用于生成认证令牌的方法，该方法包括以下步骤：

i.将基于密码的应用程序下载到移动电话装置；

ii.在移动电话装置上运行基于密码的应用程序；以及

iii.在移动电话装置的显示器上显示由基于密码的应用程序所生成的令牌。

还提供一种被配置成实现该方法的移动电话装置和用于实施该方法的软件。

根据另一实施例，提供一种用于认证交易的方法，包括：

i.将基于密码的应用程序下载到移动电话装置；

ii.向认证装置提供第一认证信息；

iii.使用移动电话装置的基于密码的应用程序，生成第二认证信息；

iv.将第二认证信息提供给认证装置；以及

v.通过认证装置校验第一和第二认证信息。

还提供一种配置成实现该方法的系统和用以实施该方法的软件。

根据另一实施例，提供一种用于认证交易的方法，包括：

a.在移动装置，基于种子数据和本地时间数据生成认证令牌，其中，该令牌包括生成时间信息；

b.将该认证令牌发送给认证系统；

c.从该令牌提取生成时间信息；以及

d.仅当生成时间信息相对于在认证系统处的接收的时间在规定窗口内时，才认证该令牌。

根据另一实施例，提供一种用于校验被下载到移动电话装置的应用程序的真实性的方法，包括：

a.向移动电话装置的用户发送用户特定URL；

b.从用户特定URL将应用程序下载到移动电话装置；

c.将用户特定URL存储在与该应用程序分开的移动电话装置的存储器中；以及

d.在运行应用程序前，校验所安装的应用程序是从该用户特定URL下载的。

根据另一实施例，提供一种用于校验移动电话装置和远程认证系统之间的交易的真实性的方法，包括：

a.在被下载到移动装置的应用程序中插入用户特定签名；

b.在远程认证系统处存储用户特定签名；

c.使用所下载的应用程序，至少部分基于用户特定签名在移动电话装置处生成认证令牌；

d.将认证令牌发送给认证系统；以及

e.在远程计算机处校验认证令牌，其包括校验该认证令牌是使用用户特定签名生成的。

附图说明