[发明专利]通过具有成像系统的移动通信装置进行自动用户认证、在线结账和电子支付

说明书

技术领域

本披露总体上涉及计算机安全，更具体地涉及利用图形标识符进行自动用户认证、自动在线结账和自动电子支付。

背景

计算机用户通常登录到很多不同网站(银行网站、购物网站、工作相关网站、社交网络网站等)，这些网站中的每一种都需要用户名和密码。这种频繁的基于密码的登录对用户而言是不方便的，并且为恶意团伙创造了偷窃密码的机会。用户可以对他们登录的每个网站使用不同密码，或者在多个网站之间重复密码，用户可以在这两者之间做出选择。为每个网站使用不同密码会产生很多用户需要管理的密码。在这种情况中，用户易于忘记他们的密码，因此可能发现他们自己不能登录到想去的网站。为了解决这个问题，一些用户在可访问的位置上写下他们的密码，但这产生了安全风险。另一个部分解决方案是使用密码管理器，但这只对密码管理器所安装的计算机有效，或对与其同步的计算机有效。这样做使得用户不能从其他计算机登录网站，例如旅馆商务中心、网吧、图书馆等中的那些计算机。

另一方面，在多个站点之间使用相同的密码不是良好的安全实践。如果单一密码被盗用了，所有的用户账号都会轻易受到攻击。一些用户只是在多种类型站点之间重复密码(例如，社交网络用一个密码，而金融网站用一个不同密码)。即便那样，很多用户很难记住他们的密码。另外，相比于为每个站点使用唯一密码，使用有限数量的不同密码仍然会产生更多的安全风险。

恶意团伙能够通过各种方法窃取密码，例如网络钓鱼、键盘记录器、网络流量监测、恶意浏览器插件、以及所捕获的密码对其他站点进行重播。密码管理器防止密码被键盘记录器窃取(并且在某种程度上缓解网络钓鱼)，但仍使用户易于受到其他类型密码盗用的攻击。

解决这些与基于密码的登录相关的问题是值得期待的。

随着要求金融机构实施额外安全措施的法律的通过，双因素认证正变得越来越流行。双因素认证是需要两种独立方式的用户身份证明的用户认证。在单因素认证中，用户可以利用一个单一因素核实他的或她的身份，例如(最普遍地)以上所述的密码，或(可替代地)物理令牌或生物识别指示器(例如指纹或视网膜扫描)所产生的滚动值。在双因素认证中，必须提供这两种因素(例如，密码和滚动值)。最常见的双因素认证目前使用静态用户输入密码作为第一因素，再加上滚动值，滚动值通过硬件密钥卡(例如RSA SecurID)或专门的移动装置(例如Verisign VIP)来产生并显示给用户。

这些硬件装置继续产生对独立装置是唯一的最新滚动值。滚动值是每隔一段时间(例如，每30秒)或响应于给定事件(例如，每当用户按下给定的输入机构时)就重现产生的一个动态值。以上提到的这类硬件装置持续产生新的滚动值，通常以一段时间为间隔。典型地这种滚动值可用于为用户进行认证，并可以看作是与具体生成装置相关联的滚动密码。这种滚动值通常包括给定数量位数(例如，6)的伪随机数，该伪随机数是基于种子值(例如，当前时刻或一串先前值)而产生的。认证装置能够在任意给定时刻产生与给定生成装置相同的当前滚动值(即，认证装置还具有种子值或者任意键都用于产生滚动值)。因此，认证装置可以验证所接收到的滚动值实际上是由给定的装置生成的。

滚动值生成硬件装置未受到用户欢迎，因为它们还包括用户需要携带的另一个装置。另外，用户必须输入当前滚动值以及静态密码，这比单独输入密码甚至更为繁琐。这些装置也未受到管理员和IT专业人士的青睐，因为它们频繁丢失，电池寿命有限，并且必须时常更换。存在滚动值生成软件(例如，Verisign VIP)，但这仍然需要用户手动输入当前滚动值，并且实际中还限制可能的滚动值的长度。

解决与双因素认证相关的这些问题也是值得期待的。

美国在线零售销售额估计到2014年时达到2487亿美元，高出2010年600亿美元。尽管在线销售十分流行，但完成一次在线购买仍需要用户输入他们的名字、电子邮件地址、信用卡信息以及运输细节。使事情更糟糕的是，大部分在线零售商要求用户在他们的网站上创建账户，这又增加了用户需要处理的另一个步骤以及更多的数据项。而且，每当用户输入这些信息以帮助在线购买时，用户的证明文件就遭到恶意软件、键盘记录器和钓鱼网站的盗用。