[发明专利]用于验证访问请求的方法和系统

说明书

技术领域

本发明涉及用于验证访问请求的方法和系统，并且尤其地，但不完全地适合于验证用于访问数据、服务或资产的请求。

背景技术

访问机密或用户专用数据(或资产或服务)的需求越来越大。例如，提供对银行账户的访问并且允许从该账户中转账，应限于授权用户，例如，账户持有人。通常，在通过识别请求访问数据的人的凭证请求访问数据时，认证用户。数据的远程访问提出了特定的问题，这是因为请求数据、资产或服务的个人通常位于与对该请求做出响应的一方的位置不同的物理位置中。结果，为请求提供服务的一方非常难以知道做出请求的实体是否是a)其自称的一方，b)是否有权使用该请求所起源的装置，并且c)是否占有该请求所起源的装置。

通常，在个人与一方(例如，数据提供商)之间建立账户时，个人建立上述凭证，以由数据提供商用于识别和认证个人，以供将来的请求。这种凭证可以包括唯一地识别个人(例如，个人可识别信息(PII))和密钥(例如，密码)的信息，用于验证个人的身份。现在，也常见的做法是数据提供商要求个人登记自己，作为用于访问数据的装置的拥有人。在装置与装置拥有人之间登记的关联可以由数据提供商用作额外的验证因子。例如，在数据提供商代表特定的个人从特定的装置(该装置并非为个人登记的装置)中接收用于访问账户的请求的情况下，数据提供商可以确定相信为该账户登记的个人做出请求。

希望代表与该数据提供商具有账户的另一个人访问数据提供商的数据的个人可以比较容易地通过从刑事影子网上市场购买凭证来获得其用户凭证(即，PII、用户ID和密码)，然后，欺骗性地访问其他人的数据。此外，能够远程地访问和控制装置，从而代表那些装置的登记拥有人请求数据。通常，不能确定在物理上占有该装置的用户是否做出了请求或者使用另一个装置来远程控制做出了请求的装置的用户是否远程做出了请求。

一次性密码(OTP)通常用于减少这些问题：认证服务器唯一地将OTP生成密钥分配给装置的登记拥有人，OTP生成密钥用于生成和验证OTP。认证服务器通常持有几百或几千OTP生成密钥，每个密钥唯一地分配给一个不同的人或者为一个不同的人登记。在由登记拥有人通过其分配的OTP生成密钥占有时，认证服务器配置OTP令牌。例如，每当登记用户请求一个新密码时，这些OTP令牌可以使用OTP生成密钥来生成一个不同的密码，或者再如，可以使用OTP生成密钥来通过固定的时间间隔生成新密码。OTP令牌可以另外使用当前世界的指示来生成OTP，以防止在稍后的时间储存和重放OTP。

为了通过装置访问用户限制的数据，用户将由OTP令牌生成的OTP以及唯一地识别装置的拥有人的凭证提供给数据提供商。通常，然后，数据提供商识别装置的拥有人并且将所接收的OTP传递给认证服务器。认证服务器查看与所识别的个人相关联的OTP生成密钥，并且使用该密钥以及(如果需要的话)当前时间来确定所接收的OTP是否与由OTP令牌生成的OTP对应，该装置的拥有人在当前时间或者至少在当前时间的预定周期内保持该OTP令牌。然后，认证服务器向数据提供商指示所接收的OTP是否有效。如果将正确的OTP发送给数据提供商，那么可以确定该装置的用户占有OTP令牌。然而，认证服务器容易妥协，从而促进到其他实体的未授权分布，并且允许(非法)访问分布的OTP生成密钥的任何人代表与该密钥相关联的个人访问数据。

发明内容

根据本发明的第一方面，提供了一种用于验证访问数据的请求的系统，所述系统访问被配置为与第一受信任的时间指示器进行通信的计算装置，所述系统包括：第一模块，访问第二受信任的时间指示器；以及第二模块，访问不受信任的时间指示器，其中，所述第一模块被设置为至少使用所述第二受信任的时间指示器生成密码；所述第二模块被设置为：接收与访问数据的请求相关联的密码，至少使用不受信任的时间指示器验证所接收的密码；并且促使将消息传输给所述计算装置，所述消息包括表示用于验证所接收的密码的不受信任的时间指示器的数据，并且所述系统被设置为促使计算装置生成表示在不受信任的时间指示器与第一受信任的时间指示器之间的比较的数据，其中，所生成的数据用于提供所述对数据的访问。

在某些情况下，第二模块可以不访问受信任的时间指示器(不与外部元件进行通信)。因此，修改不受信任的时间，可以打开系统，以受到攻击。通过使用不受信任的时间指示器来验证密码，然后，促使将消息传输给计算装置，其中，比较不受信任的时间和受信任的时间，避免攻击的可能性。而且，由于仅仅需要从第二模块中发送一条消息给计算装置或系统，所以减少了用于验证的信令量。