通过提交号码进行强认证制造技术

通过提交号码进行强认证。一种利用用户(10)的一次性密码进行认证的方法，用户具有信息终端(11)和电话终端(12)，并希望向信息系统(20)访问在线资源，该方法包括利用包含一次性密码的呼叫方的识别码向所述电话终端发起呼叫的呼叫发起步骤。

Strong authentication by the submission number

Strong authentication by the submission number. A user (10) method of one-time password authentication, the user has the information terminal (11) and telephone terminal (12), and hope to the information system (20) access to online resources, including the method identified by the calling party included a one-time password code to the telephone terminal initiates a call call origination step.

【技术实现步骤摘要】
通过提交号码进行强认证本申请是申请日为2012年3月29日的、申请号为201280016508.X(国际申请号为PCT/FR2012/050672)以及专利技术名称为“通过提交号码进行强认证”的专利技术专利申请的分案申请。本专利技术涉及访问在线资源的安全
，更具体地，涉及对希望从如互联网之类的公共信息网络访问在线服务的用户的认证。在信息系统中的“认证”是指对实体(例如个人、电脑、信息过程)的身份的验证，用以认证该实体对资源(例如服务、网络、系统、应用)的访问。此后，用术语“用户”指代这些实体。无论对于用户还是对于企业、尤其对于商业性质的企业(例如电子银行、电子商务)，互联网类型的公共信息网络上的在线资源呈现出很大优势。见证了在线服务的大量使用的大幅增长。这自然引起了网络罪犯(“黑客”)的兴趣，旨在窃取数据、以允许未经认证地访问在线资源而设计的程序数量大大增加。在这方面，用户和公司都比以往更需要强大的认证技术。实际上，一方面，用户必须确保正常访问其所寻求服务(对该服务，用户也许会提供个人数据，如信用卡详细信息)的服务器，及另一方面，该服务器也必须确保该用户准确对应于已向其预先登记的用户，由此其不是诈骗者。例如，冒充合法用户进行网上银行交易的恶意第三方当然不可能令合法用户或对提供这项在线服务的银行满意。在现有技术中，区分允许对在客户/服务器模式的环境中工作并请求访问在线资源的用户的真实性进行验证的方法。可针对几个因素进行认证：-用户知道的数据，比如密码；-用户拥有的物品，例如磁卡或芯片卡；-仅由用户做出的动作，例如在触摸屏上手写的签名；-用户自己的物理特征，如指纹。事实上，为了执行用户向远程服务器的认证而更广泛采用的方法基于与标志符(登录名)相组合的静态密码。这种方法的优点是其可完全通过软件实施，因此避免附加的硬件成本。然而，以收集合法用户身份为目的的网络连接间谍阻碍了该方法。随后可以使用如此篡夺的身份。哈希技术或加密密码不能彻底解决这个问题，这是因为他们只把威胁从网络连接转向用户终端(其中将不难发现许多恶意应用(恶意软件))。基于向用户提供的手段的认证技术，比如认证令牌、芯片卡、智能卡或USBkey，缺点是需要额外的硬件成本。此外，生物认证方法通常是复杂的并且要求繁琐的预先表征步骤。为了克服单一因素的尤其是使用静态密码的认证方法的限制，已经出现了结合两个因素的认证解决方案：由用户已知的数据(例如密码)和用户拥有的一个项目(如电话号码或电子邮件地址)。可以说这种情况为强认证。在这些方法中存在基于一次性密码(也称为OTP)的认证解决方案。正如它的名字所表示的，一次性密码(OTP)可以仅用作一次会话的认证手段。因此，通常是随机或伪随机地生成一个新的OTP，然后对于用户向远程服务器发出的每个新的访问请求而被传送给用户。用户提交该OTP到远程服务器作为自己的身份的真实性的认证，例如借助于登录名/密码进行宣称。因此，不论是从用户端、还是从将用户端连接到服务器的网络链接，登录名/静态密码的被盗都变为多余的，因为一旦OTP被用过，其即变为过时的。为确保有效的安全性，通常通过在用户终端和服务器之间建立的另一个信道将OTP传送给用户。事实上，通常通过使用第二认证因素的SMS(短消息服务)、MMS(多媒体信息服务)或语音消息向用户发送OTP，第二认证因素即用户拥有的和预先提供到远程服务器的手机号码。然而，(例如通过短消息、彩信或语音消息)将OTP发送给电话对于在线服务供应商来说当然会产生额外的费用成本(这是在当今不是免费的)。应当理解，通过SMS将OTP发送到每月使用由中小企业提供的在线服务的上千个客户会给该公司带来重大的财政负担。本专利技术的目的是克服上述缺点。本专利技术的另一目的是以较低的成本布署强认证的方案。本专利技术的另一目的是降低保证商业网站安全所需的资金成本。本专利技术的另一目的是允许用户(典型是网民)以简单和安全的方式访问在线服务。本专利技术的另一目的是提供一种强认证方法，允许自非安全网络使访问在线资源安全化。为此，根据第一方面，本专利技术涉及一种通过用户的一次性密码进行认证的方法，该用户具有信息终端和电话终端并希望向信息系统访问在线资源，该方法包括利用包含一次性密码的呼叫方的识别码向所述电话终端发起呼叫的呼叫发起步骤。根据第二方面，本专利技术涉及一种通过用户的一次性密码进行认证的系统，用户具有信息终端和电话终端，且希望向信息系统访问在线资源，该系统包括私人电话自动交换机，该私人电话自动交换机被配置为利用包含一次性密码的呼叫方的识别码向所述电话终端发起呼叫。根据第三方面，本专利技术涉及在存储载体上实施的计算机程序产品，其能够在信息处理单元内部实施，并且包括用于实施上述方法的指令。参照图1、通过以下对优选实施方式的描述，本专利技术的其它特征和优点将变得更加清楚具体，图1示意性地示出了实施方式的功能表示。在图1中，示出了用户10希望通过信息终端11远程访问由信息系统20提供的在线资源。信息终端11可以是任何用户设备，允许用户10连接到计算机网络(尤其因特网)，使用该计算机网络可以访问由信息系统提供的在线资源。信息终端11的例子是个人/公共台式/便携式电脑，PDA(个人数字助理)或Smartphone(智能手机)。信息系统20可以是给用户10提供可从信息终端11访问的尤其是在线服务的在线资源的任何硬件和/或软件的信息装置。应用服务器、承载电子商务网站的Web服务器、或者多个协作服务器是信息系统20的例子。用户10同样配置有关联于至少一个呼叫号码(电话号码)的电话终端12。该电话终端12例如为：－移动电话、Smartphone或PDA，包括SIM卡(用户识别模块)或USIM(通用用户识别模块)；－模拟或数字固定电话；－有电话号码的软电话(例如SkypeTM)。在有利的实施方式中，电话终端12为移动电话或Smartphone。该情况可以理解为非限定的。电话终端12允许向被叫方显示主叫方的号码(用英语Caller_ID表示呼叫方的识别码或CLIP表示主叫线路的识别显示)。换句话说，电话终端12向被叫提供号码，或更通常地提供主叫方识别码。如果电话终端12有屏幕，主叫方的身份可以显示在电话终端12的屏幕上，或显示在一个独立的设备上。作为变型或结合的方式，进入电话终端12的来电的识别码可以是：－从包括在该终端中的目录(例如呼叫日志、未接来电、未接呼叫)被显示，和/或－通过拨叫某个号码(例如，法国电信TM用户，拨打3131以得到最后呼叫者的号码)而获得。尤其，信息终端11和电话终端12可包括在单个用户设备中，如：－包括软电话的固定台式/移动电脑；或－允许数据(DATA)服务以及有电话功能的Smartphone或PDA。在实施图1所示的实施方式时，用户10希望访问由信息系统20在线布置并且需要强认证的资源(图1中的步骤1)。以举例的方式，用户10希望在由信息系统20托管的(例如银行、或电子商务)网站上执行在线交易(例如转帐、购买、销售)。为了连接其想要访问的网站的远程信息系统20，用户10以传统的方式通过输入网站地址来使用信息终端11。由于涉及需要强认证的在线资源，所以信息系统20被设计用来验证对用户10所宣称的身份的认证，例如，借助登录名/密码。对于这一点本文档来自技高网...

【技术保护点】
一种通过用户(10)的一次性密码进行认证的方法，该用户具有信息终端(11)和电话终端(12)并希望向信息系统(20)访问在线资源，该方法包括：通知用户将立刻接收到关于预先提供的电话号码的呼叫的第一步骤，利用包含一次性密码的呼叫方的识别码向所述电话终端发起呼叫的第二步骤，呼叫方的识别码不包含所述呼叫方的电话号码，信息终端(11)和电话终端(12)被包括在单个用户设备中，以及自动取回向电话终端(12)的最后一次呼入的呼叫方的识别码以便将所取回的呼叫方的识别码提交给信息系统(20)的第三步骤。

【技术特征摘要】
2011.03.30 FR 11526641.一种通过用户(10)的一次性密码进行认证的方法，该用户具有信息终端(11)和电话终端(12)并希望向信息系统(20)访问在线资源，该方法包括：通知用户将立刻接收到关于预先提供的电话号码的呼叫的第一步骤，利用包含一次性密码的呼叫方的识别码向所述电话终端发起呼叫的第二步骤，呼叫方的识别码不包含所述呼叫方的电话号码，信息终端(11)和电话终端(12)被包括在单个用户设备中，以及自动取回向电话终端(12)的最后一次呼入的呼叫方的识别码以便将所取回的呼叫方的识别码提交给信息系统(20)的第三步骤。2.根据权利要求1所述的方法，其特征在于，还包括向信息系统(20)声明用户身份的声明步骤，以及向信息系统请求访问的请求步骤。3.根据前述权利要求中任一项所述的方法，其特征在于，还包括产生一次性密码的产生步骤。4.根据前述权利要求中任一项所述的方法，其特征在于，还包括把与声明的身份相关联的电话号码以及所产生的一次性密码传送到IP私人电话自动交换机(30)的传送步骤，所述电话号码已被预先注册到所述信息系统(20)。5.根据前述权利要求中任一项所述的方法，其特征在于，还包括向信息服务器(20)提交在电话终端(12)上接收的呼叫的呼叫方的识别码的提交步骤。6.根据前述权利要求中任一项所述的方法，其特征在于，还包括对向信息系统(20)提交的消息与通过信息系统(20)产生的一次性密码之间的一致性进行验证的验证步骤。7.根据前述权利要求中任一项所述的方法，其特征在于，电话终端是软电话，并且信息终端是包括所述软电话的台式电脑或移动电...

【专利技术属性】
技术研发人员：B·费兰，
申请(专利权)人：欧诺银行，
类型：发明
国别省市：法国,FR