[发明专利]经由两个通信设备的认证系统

说明书

技术领域

本发明涉及经由两个通信设备的用户认证。

背景技术

目前，进行在线敏感交易是有风险的，包括例如在网吧或公共地点从计算机认证。这些机器的不可靠性为黑客收集敏感信息（例如接入码）提供了机会。简单的键盘记录器能够发送秘密信息，例如接入码、密码、或PIN码。恶毒的软件（例如恶意软件）能够自动进行大规模的身份盗取并且通过模仿给定用户来进行未经授权的交易。

有越来越多的在授权之前可能要求识别和认证的在线可使用的资源：电子银行应用、电子商务应用、社交网络应用、以及通过网络托管和分发的应用。此外，诸如监视器或视频投影机的实体可能成为认证的手段。这就是为什么使用单个身份或少数身份的身份统一解决方案来帮助基于互联网的识别和认证是至关重要的。然而，这些解决方案不保证用户认证。基于所有这些原因，诸如持久性密码或PIN码的敏感信息一定不能在不可靠的机器上输入。

发明内容

为了弥补上述缺陷，提出了用于认证拥有第一通信终端和第二通信终端的用户的方法，第一通信终端连接到应用服务器以便访问服务，所述应用服务器连接到能够与第一通信终端和第二通信终端通信的认证服务器，在所述认证服务器内包括以下步骤：

在接收到从第一通信终端传送的用户标识符之后，从所接收的用户标识符识别第二通信终端；

生成编码数据；

向第一通信终端或者第二通信终端传送所生成的编码数据；

向第一通信终端或第二通信终端中的另一个通信终端传送命令，以提示所述用户通过使用由所述第一通信终端或第二通信终端所接收的编码数据来提供数据集；以及

为了允许所述用户经由所述第一通信终端访问所述应用服务器，使用所生成的编码数据将由所述用户提供的并且由所述第一通信终端或第二通信终端中的另一个通信终端传送的数据集与秘密数据进行比较。

有利地，本发明提供了一种使用来自属性上不可靠的两个通信终端的PIN码或密码的可靠的方法。采用这种方法，避免了安装在诸如计算机或移动电话的通信终端中的任何恶意软件取回到持久性敏感信息。然后，用户可以使用密码而无需害怕被窃取。

根据本发明的另一个特征，所述认证服务器基于所接收的用户标识符能够隐含地识别所述第二通信终端，所述认证服务器先前已经保存了作为所述用户标识符的匹配的第二通信终端的标识，所述第二通信终端的标识。

根据本发明的另一个特征，认证服务器能够明显地识别所述第二通信终端，所述用户已经使用对应于该第二通信终端的标识的附加的信息部分填写了用户标识符。

根据本发明的另一个特征，在接收到由用户提供的并且从第二通信终端传送的初始标识符后，认证服务器从接收到的初始标识推断用户的身份；生成所述用户标识符，所述用户标识符是临时标识符；临时保存作为所述第二终端的标识的匹配的临时标识符；并且向第二通信终端传送所述用户标识符。

根据本发明的另一个特征，在接收到从第二通信终端传送的请求之后，所述认证服务器从与所述请求相关联的第二通信终端的标识符推断所述用户身份；生成所述用户标识符，所述用户标识符是临时标识符，临时保存作为第二终端的标识的匹配的临时标识符，并且向所述第二通信终端传送所述用户标识符。

根据本发明的另一个特征，所述编码数据的目的是在两个字符集之间建立匹配，以便用户经由所述数据集以混乱的形式提供一连串的字符。

根据本发明的另一个特征，所述编码数据是动态的，并且每当该用户已经提供了预定数量的字符时是会改变的。

根据本发明的另一个特征，所述编码数据以文本的形式、以表格的形式、以图像的形式、或以语音的形式向第一通信终端或第二通信终端传送。

根据本发明的另一个特征，所述秘密的数据是密码、编码、或银行卡号码。

本发明也涉及用于认证拥有第一通信终端和第二通信终端的用户认证服务器，为了访问服务所述第一通信终端连接到所述应用服务器，所述应用服务器连接到能够与所述第一通信终端和所述第二通信终端通信的认证服务器，所述认证服务器包括：

用于在接收到从所述第一通信终端传送的用户标识符之后，基于所接收的用户标识符识别所述第二通信终端的装置；

用于生成编码数据的装置；

用于向所述第一通信终端或者所述第二通信终端传送所生成的编码数据的装置；

向所述第一通信终端和所述第二通信终端中的另一个通信终端传送命令，以提示所述用户通过使用由所述第一通信终端或所述第二通信终端接收到的所述编码数据来提供数据集的装置；以及