具有改进的安全性的用于用户鉴权的方法和系统技术方案

一种分布式处理系统中的用户鉴权方法，该方法以在第一处理单元(108)处接收发起鉴权会话的请求(1004)为开始，其中，该请求包括需要鉴权的用户的唯一标识符。第一处理单元获取在鉴权会话期间有效的至少一项鉴权数据(412，1712)。鉴权数据被发送(1006)至与用户操作的终端设备相关联的第二处理单元(106)。第二处理单元使用基于一个或更多个会话特定鉴权因素(404，1704)的变换算法来对鉴权数据进行变换，以生成作为鉴权会话以及用户的特征的经变换的鉴权数据。经变换的鉴权数据被发送(1008)至第三处理单元(108)，第三处理单元(108)验证经变换的鉴权数据是否与用户并且与一个或更多个会话特定鉴权因素的预定值对应。第三处理单元基于该验证生成鉴权会话的鉴权结果(1010)。

【技术实现步骤摘要】
【国外来华专利技术】具有改进的安全性的用于用户鉴权的方法和系统
本专利技术总体上涉及鉴权系统和方法，并且更具体地涉及具有改进的安全性和灵活性的多因素鉴权系统。
技术介绍
对个人身份的可靠且安全的鉴权是许多在线系统的基本要素。通常，要求在线系统或服务的授权用户提供至少用户标识符例如用户名或用户代码，以及附加的“秘密”代码例如密码或个人识别号码(PIN)。PIN或密码是知识因素的示例，以此要求用户证明对于该秘密即密码、短语或PIN的知晓以进行鉴权。知识因素容易受到攻击，例如被窃听。最基本的窃听形式可能涉及在输入密码或PIN时观察用户。观察可以直接进行，或者可以涉及使用隐藏的摄像装置。技术上更复杂的窃听技术包括所谓的“中间人”攻击，在该种攻击中，在终端设备和/或中间网络节点中安装有以传输过程中可以访问未加密密码的系统组件为目标的恶意软件。用户也可能被欺骗从而透露出知识因素，例如，通过网络钓鱼攻击。具有增强的安全性的鉴权方法包括双因素鉴权，其中，要求用户提供一个或更多个附加因素作为身份证明。例如，除知识因素外，最常用的是所有物因素(“用户拥有的事物”)。所有物因素的示例包括信用卡等，其必须与PIN一起出现以获得本文档来自技高网...

【技术保护点】
1.一种用户鉴权方法，所述方法包括由分布式处理系统执行下述步骤：在第一处理单元处接收发起鉴权会话的请求，所述请求包括需要鉴权的用户的唯一标识符；所述第一处理单元获取在所述鉴权会话期间有效的至少一项鉴权数据；将所述鉴权数据发送至第二处理单元，所述第二处理单元与由所述用户操作的终端设备关联；所述第二处理单元使用基于一个或更多个会话特定鉴权因素的变换算法对所述鉴权数据进行变换，以生成作为所述鉴权会话以及所述用户的特征的经变换的鉴权数据；将所述经变换的鉴权数据发送至第三处理单元；所述第三处理单元验证所述经变换的鉴权数据是否与所述用户并且与所述一个或更多个会话特定鉴权因素的预定值对应；以及所述第三处理单...

【技术特征摘要】
【国外来华专利技术】2016.03.18 AU 20169010191.一种用户鉴权方法，所述方法包括由分布式处理系统执行下述步骤：在第一处理单元处接收发起鉴权会话的请求，所述请求包括需要鉴权的用户的唯一标识符；所述第一处理单元获取在所述鉴权会话期间有效的至少一项鉴权数据；将所述鉴权数据发送至第二处理单元，所述第二处理单元与由所述用户操作的终端设备关联；所述第二处理单元使用基于一个或更多个会话特定鉴权因素的变换算法对所述鉴权数据进行变换，以生成作为所述鉴权会话以及所述用户的特征的经变换的鉴权数据；将所述经变换的鉴权数据发送至第三处理单元；所述第三处理单元验证所述经变换的鉴权数据是否与所述用户并且与所述一个或更多个会话特定鉴权因素的预定值对应；以及所述第三处理单元基于所述验证来生成所述鉴权会话的鉴权结果。2.根据权利要求1所述的方法，其中，秘密关键字与所述用户关联，所述秘密关键字包括选自预定符号集的有序的符号序列，并且其中：所述至少一项鉴权数据包括安全矩阵，所述安全矩阵包括所述符号集内的每个符号与代码值之间的映射，所述代码值特定于所述鉴权会话并且选自不同于所述符号集的代码集；由所述第一处理单元使用基于所述一个或更多个会话特定鉴权因素的所述预定值的变换算法对所述安全矩阵进行变换，以生成包括所述符号集和经变换的代码值的经变换的安全矩阵；所述第二处理单元的所述变换算法包括：被配置成恢复所述安全矩阵的所述代码值的逆变换算法；以及用户输入步骤，用于接收选自所述安全矩阵的并且由所述用户输入的代码值序列，所述代码值与所述秘密关键字对应；以及所述验证步骤包括：通过将在所述用户输入步骤中接收到的所述代码值序列与对应于所述秘密关键字的预期代码值序列以及所述秘密关键字到所述安全矩阵中的代码值的映射进行比较来校验所述代码值序列。3.根据权利要求1所述的方法，其中：所述鉴权数据包括会话特定一次性代码字，所述会话特定一次性代码字由所述第一处理单元使用通过所述一个或更多个会话特定鉴权因素的预定值而参数化的变换算法进行加密；所述第二处理单元的所述变换算法包括：被配置成对所述会话特定一次性代码字进行解密的逆变换算法；以及密码签名步骤，其中，应用所述用户的私有密码密钥，以生成包括所述会话特定一次性代码字的签名副本的所述经变换的鉴权数据；所述验证步骤包括密码验证，其中，应用所述用户的公共密码密钥，以确认已由与所述用户操作的所述终端设备相关联的所述第二处理单元生成了所述会话特定一次性代码字的所述签名副本。4.根据权利要求1所述的方法，其中，所述一个或更多个会话特定鉴权因素包括下述中的至少一个：由所述用户操作的所述终端设备的地理位置；对于由所述用户操作的所述终端设备可见的无线网络的一个或更多个服务集标识符(SSID)；所述终端设备所连接的无线网络的SSID；所述终端设备所连接的移动蜂窝载波的识别信息；与由所述用户操作的所述终端设备相关联的唯一标识符；所述用户的唯一标识符；预定的特定于设备或者特定于用户的密钥值；根据预定算法生成的变化值；时间和/或日期；由能够被所述终端设备访问的本地信标或网络附接设备提供的数据；以及所述用户的生物识别数据。5.根据权利要求1所述的方法，其中：所述第一处理单元包括在服务提供方计算机系统的处理器和/或鉴权服务器系统的处理器上执行的指令代码；并且所述第二处理单元包括在由所述用户操作的所述终端设备的处理器上执行的指令代码。6.根据权利要求5所述的方法，其中，由所述用户操作的所述终端设备是由所述用户携带的便携式设备。7.根据权利要求1所述的方法，其中，所述第三处理单元包括在服务提供方计算机系统的处理器和/或鉴权服务器系统的处理器上执行的指令代码。8.一种鉴权系统，包括：处理器；与所述处理器可操作地相关联的网络接口；以及能够由所述处理器访问的至少一个计算机可读存储装置，其中，所述存储装置包括能够由所述处理器执行的指令代码，并且所述指令代码被配置成使所述处理器实现下述方法，所述方法包括下述步骤：经由所述网络接口接收发起鉴权会话的请求，所述请求包括需要鉴权的用户的唯一标识符；获取在所述鉴权会话期间有效的至少一项鉴权数据；经由所述网络接口将所述鉴权数据发送至与由所述用户操作的终端设备相关联的处理单元；以及经由所述网络接口接收由与所述用户操作的所述终端设备相关联的所述处理单元生成的经变换的鉴权数据，其中，所述经变换的鉴权数据是所述鉴权会话以及所述用户的特征，其中，所述经变换的鉴权数据被配置成使得能够验证所述经变换的鉴权数据是否与所述用户...

【专利技术属性】
技术研发人员：安东尼·斯梅尔斯，
申请(专利权)人：福蒂编码有限公司，
类型：发明
国别省市：澳大利亚,AU