利用在线认证的安全远程令牌发布制造技术

本文描述一种用于提供认证的系统和技术。所述技术包括通过通信装置注册用户认证数据，例如生物特征数据。所述认证数据被链接到账户或服务提供商，并用于在访问所述账户时验证所述用户的身份。所述通信装置可获得公钥/私钥对，其中所述公钥可被存储在安全远程服务器上。当所述用户尝试访问所述账户或服务提供商时，所述用户可提供所述认证数据以向所述通信装置认证所述用户。此后，所述通信装置可使用所述私钥对认证指示符进行签名，并将所述认证指示符发送到所述安全远程服务器。在使用所述公钥验证所述签名后，所述安全远程服务器可例如通过发布令牌来准予所述用户的访问。

【技术实现步骤摘要】
【国外来华专利技术】利用在线认证的安全远程令牌发布相关申请交叉引用本申请要求2018年3月7日提交的标题为“利用在线认证的安全远程令牌发布(SECUREREMOTETOKENRELEASEWITHONLINEAUTHENTICATION)”的第62/639652号美国临时专利申请的权益和优先权，所述申请以引用的方式全面并入本文中。
技术介绍
随着用户可拥有的在线或计算机可访问账户数目不断增长，作为认证形式的用户名和密码已不足以保护用户账户。例如，记住许多站点的用户名和密码可能具有挑战性，而为多个账户设置相同的密码可能会增加一个账户受损时危害所有账户的可能性。密码管理器可能不方便，并且将所有用户密码存储在一个地方可能会有风险。密码还可能很容易地被恶意软件欺骗或捕获，而服务提供商处的数据外泄可能导致密码在暗网中扩散。此外，虽然授权实体能够基于账户的信息来确定是否授权交易，但所说的这些授权实体无法认证用户装置的用户。因此，授权实体通常必须依赖资源提供商等另一实体来执行用户的认证。并非所有资源提供商都能提供相同的认证质量，而这会导致数据安全问题。数据安全领域中要解决的另一个需要解决的问题是通过数据网络传送敏感凭证(例如，社会保障号、账号等)的问题。此类数据的传送可能会受到中间人的攻击。本专利技术的各种实施例单独地以及共同地解决这些问题和其它问题。
技术实现思路
本文描述一种用于认证用户而同时确保由合法装置执行认证的系统和技术。认证技术可包括通过通信装置注册用户的认证数据，例如生物特征数据。认证数据可链接到账户或服务提供商，并用于在访问账户时验证用户的身份。通信装置可与公钥/私钥对相关联，其中公钥存储在安全远程服务器上。当用户尝试访问账户或服务提供商时，用户可提供认证数据以向通信装置认证用户。此后，通信装置可使用私钥对认证指示符进行签名，并将认证指示符发送到安全远程服务器。在使用公钥验证签名后，安全远程服务器可例如通过发布令牌来准予用户的访问。本公开的一个实施例涉及一种由安全远程交易服务器执行的方法，所述方法包括：从客户端装置接收登记账户的请求；验证所述客户端装置是否有权访问所述账户；将密码密钥对的至少公钥与所述账户关联存储，其中所述密码密钥对的至少私钥与所述账户相关联地存储在所述客户端装置上；以及生成与所述账户相关联的令牌，所述令牌与所述账户关联存储。在一些实施例中，所述方法还可包括：从访问装置接收完成与账户相关联的交易的请求，所述请求包括已签名认证指示符；使用与所述账户关联存储的公钥来验证所述认证指示符；以及在验证所述认证指示符后，将令牌提供给所述访问装置。本公开的另一实施例涉及一种安全远程交易服务器，其包括处理器和存储器，所述存储器包括指令，所述指令在通过所述处理器执行时使所述安全远程交易服务器：从客户端装置至少接收登记账户的请求；验证所述客户端装置有权访问所述账户；将密码密钥对的至少公钥与所述账户关联存储，其中所述密码密钥对的至少私钥与所述账户相关联地存储在所述客户端装置上；以及生成与所述账户相关联的令牌，所述令牌与所述账户关联存储。在一些实施例中，所述指令还可使所述安全远程交易服务器：从访问装置接收完成与所述账户相关联的交易的请求，所述请求包括已签名认证指示符；使用与所述账户关联存储的公钥验证所述认证指示符；以及在验证所述认证指示符后，将令牌提供给所述访问装置。本公开的又一实施例涉及一种由通信装置执行的方法，所述方法包括：接收注册用于与服务提供商相关联的账户的认证数据的请求；提示用户提供所述认证数据；从用户接收所述认证数据；将所述认证数据注册到所述通信装置上；获得密码密钥对的私钥；将所述私钥与所述账户和所述认证数据相关联，其中安全远程服务器将所述密码密钥对的公钥链接到与所述账户相关联的令牌。在一些实施例中，上文所描述的方法还可包括：接收访问账户的请求；提示用户提供认证数据；从用户接收所述认证数据；将接收到的认证数据与注册的认证数据进行比较；确定接收到的认证数据匹配注册的认证数据；生成指示所述匹配的认证指示符；使用私钥对所述认证指示符进行签名；以及在访问请求中将已签名认证指示符发送到安全远程服务器，其中响应于使用公钥验证已签名认证指示符，所述安全远程服务器向服务提供商发布令牌以准予用户访问所述账户。关于本专利技术的实施例的其它细节可参见具体实施方式和附图。附图说明图1描绘用于实施本公开的至少一些实施例的系统中可能涉及的数个部件；图2描绘根据本公开的实施例的可被实施以提供安全远程交易的示例系统架构；图3示出根据一些实施例的认证系统的注册过程；图4描绘根据一些实施例的示例预配过程，由此用户能够手动添加其账户以由SRT平台处理并且私钥和/或令牌可被预配到客户端装置上；图5示出根据一些实施例的使用认证系统向服务提供商认证用户的过程；图6示出根据一些实施例的使用多个装置向服务提供商认证用户的过程；图7示出根据至少一些实施例的执行对用户的认证的过程的流程图；图8示出根据至少一些实施例的注册认证数据的过程的流程图；以及图9示出根据一些实施例的访问账户的过程的流程图。具体实施方式描述了不依赖密码的使用的增强型认证技术。在一些实施例中，可使用双因素认证方案，其中生物特征用于在通信装置上认证用户，而公钥/私钥密码术用于向远程服务器认证通信装置以准予用户访问与服务提供商相关联的账户、服务和/或功能。在一些实施例中，服务提供商可以是令牌服务提供商，并且双因素认证方案由系统用以从远程服务器发布令牌。接着，令牌可用于例如使用用户账户进行交易。本文所描述的各种实施例可在安全远程交易(SRT)平台上实施。在2018年3月21日提交的第15/927754号美国专利申请中更详细地描述了上面可实施实施例的SRT平台的示例，所述美国专利申请以引用的方式全面并入本文中。在论述本专利技术的具体实施例之前，可详细描述一些术语。“访问装置”可以是用于与商家计算机或交易处理网络通信并且用于与交易装置(例如，支付装置)、用户计算机设备和/或用户客户端装置交互的任何合适装置。访问装置通常可位于任何合适位置处，例如位于商家所在位置处。访问装置可呈任何合适的形式。访问装置的一些示例包括POS装置、蜂窝电话、PDA、个人计算机(PC)、平板电脑、手持式专用读取器、机顶盒、电子收款机(ECR)、自动取款机(ATM)、虚拟收款机(VCR)、查询一体机、安全系统、访问系统、网站等。访问装置可使用任何合适的接触或非接触式操作模式，以发送或接收来自便携式通信装置或与便携式通信装置相关联的数据。在访问装置可包括POS终端的一些实施例中，可使用任何合适的POS终端且其可包括读取器、处理器和计算机可读介质。读取器可包括任何合适的接触或非接触式操作模式。例如，示范性读卡器可包括与便携式通信装置交互的射频(RF)天线、光学扫描器、条形码读取器或磁条读取器。“账户凭证”可包括与账户相关联的任何合适的信息(例如，账户和/或与账户相关联的便携式装置)。此类信息可与本文档来自技高网...

【技术保护点】
1.一种计算机实施的方法，包括：/n在安全远程交易服务器处从客户端装置接收登记账户的请求；/n由所述安全远程交易服务器验证所述客户端装置有权访问所述账户；/n由所述安全远程交易服务器将密码密钥对的至少公钥与所述账户关联存储，其中所述密码密钥对的至少私钥与所述账户相关联地存储在所述客户端装置上；以及/n由所述安全远程交易服务器生成要与所述账户相关联的令牌，所述令牌与所述账户关联存储。/n

【技术特征摘要】
【国外来华专利技术】20180307 US 62/639,6521.一种计算机实施的方法，包括：
在安全远程交易服务器处从客户端装置接收登记账户的请求；
由所述安全远程交易服务器验证所述客户端装置有权访问所述账户；
由所述安全远程交易服务器将密码密钥对的至少公钥与所述账户关联存储，其中所述密码密钥对的至少私钥与所述账户相关联地存储在所述客户端装置上；以及
由所述安全远程交易服务器生成要与所述账户相关联的令牌，所述令牌与所述账户关联存储。


2.根据权利要求1所述的计算机实施的方法，还包括：
由所述安全远程交易服务器从访问装置接收完成与所述账户相关联的交易的请求，所述请求包括已签名认证指示符；
由所述安全远程交易服务器使用与所述账户关联存储的所述公钥来验证所述认证指示符；以及
在验证所述认证指示符后，将所述令牌提供到所述访问装置。


3.根据权利要求2所述的计算机实施的方法，其中所述已签名认证指示符由所述客户端装置通过使用所述私钥执行第一密码操作而生成。


4.根据权利要求3所述的计算机实施的方法，其中使用所述公钥验证所述认证指示符包括：使用所述公钥对所述已签名认证指示符执行第二密码操作。


5.根据权利要求1所述的计算机实施的方法，其中验证所述客户端装置有权访问所述账户包括：
由所述安全远程交易服务器基于所述请求中的信息来标识与所述账户相关联的授权实体；以及
由所述安全远程交易服务器通过与所述账户相关联的所述授权实体来验证所述账户的真实性。


6.根据权利要求5所述的计算机实施的方法，其中所述账户的真实性由所述授权实体使用一次性密码来确定。


7.根据权利要求6所述的计算机实施的方法，其中所述授权实体通过所存储的关于所述账户的通信渠道将所述一次性密码传送到所述客户端装置。


8.根据权利要求1所述的计算机实施的方法，其中所述密码密钥对在所述客户端装置上生成，并且所述公钥由所述安全远程交易服务器从所述客户端装置接收。


9.根据权利要求1所述的计算机实施的方法，其中所述密码密钥对在所述安全远程交易服务器上生成，并且所述方法还包括将所述私钥传送到所述客户端装置。


10.根据权利要求1所述的计算机实施的方法，其中所述公钥被转发到与所述账户相关联的授权实体。


11.一种安全远程交易服务器，包括：
处理器；以及
包括指令的存储器，所述指令在通过所述处理器执行时使所述安全远程交易服务器至少进行以下操作：
从客户端装置接收登记账户的请求；
验证所述客户端装置有权访问所述账户；
将密码密钥对的至少公钥与所述账户关联存储，其中所述密码密钥对的至少私钥与所述账户相关联地存储在所述客户端装置上；以及
生成要与所述账户相关联的令牌，所述令牌与所述账户关联存储。


12.根据权利要求11所述的安全远程交易服务器，其中所述指令还使所述安全远程交易服务器：
从访问装置接收完成与所述账户相关联的交易的...

【专利技术属性】
技术研发人员：S·劳，
申请(专利权)人：维萨国际服务协会，
类型：发明
国别省市：美国;US