利用非对称加密实施一次性密码的系统和方法技术方案

本发明专利技术申请描述了使用非对称加密进行验证的系统、装置、方法和机器可读介质。例如，根据一个实施例的方法包括：在服务器处生成质询；在所述服务器处使用公共加密密钥加密所述质询；将所述加密的质询发送到连接装置，所述连接装置通过网络与所述服务器具有第一连接；将所述加密的质询从所述连接装置提供至用户装置；使用对应于所述公共加密密钥的私有加密密钥来解密所述加密的质询以确定所述质询；转换所述质询为转换的质询，所述转换的质询具有与所述原始质询不同的格式；在所述连接装置处接收所述转换的质询，并且将所述转换的质询从所述连接装置提供给所述服务器；以及在所述服务器处证实所述转换的质询以验证所述用户。

System and method for implementing a one-time password using asymmetric encryption

The invention relates to a system, a device, a method and a machine readable medium using asymmetric encryption for authentication. For example, according to one embodiment of the method includes: questions on the server; using the public encryption key encryption in the server at the question; sending the encrypted challenge to the connecting device, the connecting device is provided with a first connecting server through the network; the encrypted challenge from the connecting device is provided to the user device; use corresponding to the public key encryption private encryption key to decrypt the encrypted challenge to determine the question; converting the question for the conversion of the question, the question is the conversion of the original question of different formats; the connecting device the conversion of the question, and the question of the conversion from the connecting device is provided to the server; and the server in the Department confirmed that the conversion of the question to verify User account.

【技术实现步骤摘要】
【国外来华专利技术】
技术介绍

本专利技术整体涉及数据处理系统的领域。更具体地讲，本专利技术涉及用于利用非对称加密实施一次性密码的系统和方法。相关领域说明还已经设计了使用生物计量传感器经由网络提供安全用户验证的系统。在此类系统中，可经由网络发送由验证器生成的得分和/或其他验证数据，以向远程服务器验证用户。例如，专利申请No.2011/0082801(“‘801申请”)描述了一种在网络上进行用户注册和验证的框架，这种框架提供强验证(例如，防御身份窃取和网络钓鱼)、安全交易(例如，防御交易中的“浏览器中的恶意软件”和“中间人”攻击)和客户端验证令牌的登记/管理(例如，指纹读取器、面部识别装置、智能卡、可信平台模块等等)。本申请的受让人已经开发出对‘801申请中所描述的验证框架的多种改进。这些改进中的一些在以下一组美国专利申请中描述，这些美国专利申请都被转让给本受让人：序列号13/730,761，名称为“QuerySystemandMethodtoDetermineAuthenticationCapabilities”(用于确定验证功能的查询系统和方法)；序列号13/730,776，名称为“SystemandMethodforEfficientlyEnrolling,Registering,andAuthenticatingWithMultipleAuthenticationDevices”(使用多个验证装置有效地进行登记、注册和验证的系统和方法)；序列号13/730,780，名称为“SystemandMethodforProcessingRandomChallengesWithinanAuthenticationFramework”(用于在验证框架内处理随机质询的系统和方法)；序列号13/730,791，名称为“SystemandMethodforImplementingPrivacyClassesWithinanAuthenticationFramework”(用于在验证框架内实施隐私类别的系统和方法)；序列号13/730,795，名称为“SystemandMethodforImplementingTransactionSignalingWithinanAuthenticationFramework”(用于在验证框架内实施交易信令的系统和方法)；以及序列号14/218,504，名称为“AdvancedAuthenticationTechniquesandApplications”(高级验证技术和应用)(下文中称为“‘504申请”)。在本文中有时将这些申请称为(“共同未决的申请”)。简单地讲，在这些共同未决的申请描述的验证技术中，用户向客户端装置上的验证装置(或验证器)诸如生物计量装置(例如，指纹传感器)登记。当用户向生物计量装置登记时，(例如，通过轻扫手指、拍摄照片、记录语音等)捕捉生物计量参考数据。用户可随后经由网络向一个或多个服务器(例如，配备有安全交易服务的网站或其他依赖方，如共同未决的申请中所述)注册/预置验证装置；并且随后使用在注册过程中交换的数据(例如，预置到验证装置中的密钥)向那些服务器验证。一旦通过验证，用户便获许与网站或其他依赖方执行一个或多个在线交易。在共同未决的申请所描述的框架中，敏感信息(诸如指纹数据和可用于唯一地标识用户的其他数据)可本地保持在用户的验证装置上，以保护用户的隐私。‘504申请描述了多种额外的技术，包括以下技术：设计复合验证器、智能地生成验证保证等级、使用非侵入式用户核验、将验证数据传送到新的验证装置、用客户端风险数据扩充验证数据、自适应地应用验证策略，以及创建信任圈等等。附图说明可结合下列附图从以下具体实施方式更好地理解本专利技术，其中：图1A至图1B示出了安全验证系统架构的两个不同实施例；图2是示出可如何将密钥预置到验证装置中的交易图；图3示出了显示远程验证的交易图；图4示出了在依赖方验证服务器和用户装置之间配置的连接装置；图5示出了使用非对称加密实施一次性密码的本专利技术的一个实施例；图6A至图6B示出了验证服务器的一个实施例的额外细节；图7示出了用户装置的一个实施例的额外细节；图8示出了用于实施本文所描述的客户端和/或服务器的示例性数据处理架构；以及图9示出了用于实施本文所描述的客户端和/或服务器的另一示例性数据处理架构。具体实施方式下文描述用于实施高级验证技术及相关联应用的设备、方法和机器可读介质的实施例。在整个描述中，出于解释的目的，本文陈述了许多特定细节以便透彻理解本专利技术。然而，本领域的技术人员将容易明白，可在没有这些特定细节中的一些的情况下实践本专利技术。在其他情况下，为免模糊本专利技术的基本原理，已熟知的结构和装置未示出或以框图形式示出。下文论述的本专利技术的实施例涉及具有用户核实功能(诸如生物计量形式或PIN输入)的验证装置。这些装置在本文中有时称为“令牌”、“验证装置”或“验证器”。尽管某些实施例注重于面部识别硬件/软件(例如，用于识别用户面部并且跟踪用户的眼球运动的相机和相关联软件)，但有些实施例可利用额外的生物计量装置，包括(例如)指纹传感器、声音识别硬件/软件(例如，用于识别用户声音的麦克风和相关联软件)以及光学识别能力(例如，用于扫描用户视网膜的光学扫描器和相关联软件)。用户验证功能还可包括非生物计量形式，如PIN输入。验证器可使用装置，如可信平台模块(TPM)、智能卡和安全元件，来进行密码操作与密钥存储。在移动式生物计量的具体实施中，生物计量装置远程于依赖方。如本文所用，术语“远程”意味着生物计量传感器不是其以通信方式耦接到的计算机的安全边界的一部分(例如，生物计量传感器未嵌入到与依赖方计算机相同的物理外壳中)。举例来说，生物计量装置可经由网络(例如，因特网、无线网络链路等)或经由外围输入(诸如USB端口)耦接到依赖方。在这些条件下，依赖方可能无法知道装置是否为得到依赖方授权的装置(例如，提供可接受等级的验证强度和完整性保护的装置)以及/或者黑客是否已经危及或甚至已经替换了生物计量装置。生物计量装置的置信度取决于装置的特定实施。本文中使用的术语“本地”指的是用户正亲自在特定位置处(诸如在自动取款机(ATM)或销售点(POS)零售结账处)进行交易的事实。然而，如下文所论述，用于验证用户的验证技术可能涉及非位置组件，诸如经由网络与远程服务器和/或其他数据处理装置的通信。此外，尽管本文中描述了特定实施例(诸如ATM和零售点)，但应该指出的是，可在由最终用户在其内本地发起交易的任何系统的环境中实施本专利技术的基本原理。本文中有时使用术语“依赖方”来不仅指尝试与之进行用户交易的实体(例如，执行用户交易的网站或在线服务)，也指安全交易服务器(有时称为代表那个实体实施的，该实体可执行本文所述的基础验证技术)。安全交易服务器可由依赖方拥有并且/或者在依赖方的控制下，或者可在作为商业安排的一部分向依赖方提供安全交易服务的第三方的控制下。本文中使用的术语“服务器”指的是在一个硬件平台上(或跨多个硬件平台)执行的软件，其经由网络从客户端接收请求，然后作为响应来执行一个或多个操作，并且将响应传输到客户端，该响应通常包括操作的结果。服务器对客户端请求做出响本文档来自技高网...

【技术保护点】
一种方法，包括：在服务器处生成质询；在所述服务器处使用公共加密密钥加密所述质询；将所述加密的质询发送到连接装置，所述连接装置通过网络与所述服务器具有第一连接；将所述加密的质询从所述连接装置提供至用户装置；使用对应于所述公共加密密钥的私有加密密钥来解密所述加密的质询以确定所述质询；转换所述质询为转换的质询，所述转换的质询具有与所述原始质询不同的格式；在所述连接装置处接收所述转换的质询，并且将所述转换的质询从所述连接装置提供给所述服务器；以及在所述服务器处证实所述转换的质询以验证所述用户。

【技术特征摘要】
【国外来华专利技术】2014.07.31 US 14/448,7471.一种方法，包括：在服务器处生成质询；在所述服务器处使用公共加密密钥加密所述质询；将所述加密的质询发送到连接装置，所述连接装置通过网络与所述服务器具有第一连接；将所述加密的质询从所述连接装置提供至用户装置；使用对应于所述公共加密密钥的私有加密密钥来解密所述加密的质询以确定所述质询；转换所述质询为转换的质询，所述转换的质询具有与所述原始质询不同的格式；在所述连接装置处接收所述转换的质询，并且将所述转换的质询从所述连接装置提供给所述服务器；以及在所述服务器处证实所述转换的质询以验证所述用户。2.根据权利要求1所述的方法，其中所述质询包括由所述服务器上的随机数发生器生成的随机质询。3.根据权利要求2所述的方法，其中转换所述质询包括截断所述质询的一部分，并且使用所截断的部分或截断后的剩余部分用于所述转换的质询。4.根据权利要求3所述的方法，其中所述质询被截断以生成6位转换的质询。5.根据权利要求1所述的方法，其中在所述连接装置处接收所述转换的质询包括：经由耦接到所述连接装置的用户输入装置来接收所述转换的质询的手动用户输入。6.根据权利要求5所述的方法，其中所述连接装置包括联网的计算机系统、销售点(PoS)终端或自动取款机(ATM)。7.根据权利要求6所述的方法，其中所述用户装置包括移动智能电话装置。8.根据权利要求7所述的方法，其中将所述加密的质询从所述连接装置提供至用户装置包括在所述连接装置的显示器上显示光学代码，并且由所述用户装置读取所述光学代码。9.根据权利要求8所述的方法，其中所述光学代码包括二维(QR)码或条形码。10.根据权利要求7所述的方法，其中将所述加密的质询从所述连接装置提供至用户装置包括在所述用户装置和所述连接装置之间建立局域无线通信信道。11.根据权利要求10所述的方法，其中所述局域无线信道包括蓝牙信道、近场通信(NFC)信道、WiFi信道或无线USB信道。12.根据权利要求3所述的方法，其中证实所述转换的质询包括截断所述服务器上的所述质询的相同部分，并将在所述服务器上截断的所述转换的质询与由所述连接装置提供的所述转换的质询进行比较。13.一种系统，包括：生成质询的服务器，所述服务器使用公共加密密钥来加密所述质询；所述服务器将所述加密的质询发送到通过网络与所述服务器具有第一连接的连接装置；所述连接装置将所述加密的质询提供给用户装置；所述用户装置使用对应于所述公共加密密钥的私有加密密钥来...

【专利技术属性】
技术研发人员：D·巴格达萨瑞安，
申请(专利权)人：诺克诺克实验公司，
类型：发明
国别省市：美国;US