令牌共享系统和方法技术方案

一种用于向具有多种认证要求的实体（比如商人、银行、销售商、其他消费者等等）认证诸如消费者之类的实体的可伸缩的系统和方法。可以在几个资源之间共享诸如令牌之类的认证凭证，以作为认证所述凭证所有者的一种方式。

【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉参考本申请要求2005年5月6日提交的顺序号为60/678,214的临时申 请的权益，该申请的7>开内容由此被全部结合以在此作为参考。专利
本专利技术的领域是计算机安全性，特别是认证。 专利技术背景企业采用强认证技术来保护其数据和信息技术的机密性、完整性和 所确保的服务是已知的。这已经通过利用多种方法来实现，其中包括把 数字证书发给每个雇员、给每个雇员提供令牌等等。用于企业的强认证 可以相对简单直接地来实施，这是因为通常存在受控的一组用户必须向 其认证他们自己的单个实体，即所述企业本身。对于消费者应用来说，可能难以应用强认证技术。数字证书和令牌 可能被视为消费者与其他实体(比如商人)进行交互的障碍，并且可能 是消费者和所述其他实体都不愿意承担的支出。然而，鉴于黑客造成的 威胁日益复杂并且更具破坏性(比如身份盗窃、网络钓鱼、中间人攻击 以及信用卡盗窃)，可以预期消费者愿意采用某些强认证技术。随着在 线进行的商务和其他活动的量逐年增多，进一步加强了上述情况。实际上，无反应的泄密威胁以及所导致的负面事件的累积本身可以 被视为当今对于消费者活动持续向在线环境转移的障碍。虽然消费者需 要更强的认证，但是某些已知的解决方案可能难以实施。例如，与大多 数企业客户不同，消费者必须向大量的不同实体认证其自身。消费者通 常可能不想记录与不同实体相关联的不同认证凭证。例如，许多消费者 具有多个银行、信用卡、服务供应商、保健和政府帐户。这些帐户当中 的每一个都可以受益于消费者的强认证。在这种情况下，如果对于每个帐户向该消费者发给一个认证设备，那么他或她的口袋或钥匙圏可能会 装满各种设备。这对消费者来说可能是不期望的。所需要的是 一种能够利用共享的令牌进行操作的认证系统和方法，该共享令牌可以被消费者用来向各种各样的企业认证其自身。如果可以 在许多场所共享单个令牌，则消费者将更有可能开始携带它到各个地方 以作为必要的个人工具，象蜂窝电话、车钥匙或信用卡一样。附图简述附图说明图1示出根据本专利技术一个实施例的集中式验证服务。图2示出根据本专利技术一个实施例的分布式验证服务。 图3示出根据本专利技术一个实施例的凭证夹体系结构。 图4示出根据本专利技术 一个实施例的能够生成多个令牌的单个设备的 蜂窝电话实施方式。详细描述这里所使用的身份共享是指共享认证令牌持有者的个人身份的 能力。第二因素共享是指共享认证与令牌相关联的别名的能力。例 如， 一个双因素认证系统可以包括个人识别号(PIN,即第一因 素)和一次性口令(OTP,即第二因素)。该PIN是在令牌 的个人持有者与所述认证系统之间共享的秘密。特定OTP可以是一个数 字序列，其只能由给定令牌唯一地生成并且由所述认证系统进行检查。 当认证系统接收并验证来自用户的PIN时，该系统可以把该用户认证为 与该特定PIN相关的用户。同样，当认证系统接收并验证来自令牌的 OTP时，它可以把该令牌认证为与该特定OTP相关的令牌。在身份共 享系统中，几个实体当中的任何一个都可以基于例如PIN或者PIN和 OTP来认证用户的身份。在第二因素共享系统中，几个实体当中的任何 一个都可以利用OTP认证令牌本身。虽然已经使用双因素认证设备作为 例子讨论了身份和第二因素共享，但是根据本专利技术可以使用任何认证方 案。例如，对于第二因素共享可以使用数字证书和/或挑战-响应方案。集中式令牌服务模型根据本专利技术的一个实施例，采用集中式令牌服务基础设施来提供并 验证例如存储在硬件令牌上和/或由硬件令牌实施的第二因素凭证(比如 证书或OTP)。可以在多个应用和/或web站点当中的^f壬一个处激活实 施该第二因素的令牌。 一个应用可以在该应用自身的用户数据库中管理 第一因素(比如用户名和口令)。作为令牌激活的一部分，该应用可以存储本地用户名与共享的第二因素令牌标识符(比如令牌序列号)之间 的映射。为了进行验证，用户可以输入第一因素(比如用户名和口令)和第二因素(比如来自令牌的OTP或存储在令牌上的证书)。该应用可以本 地验证第一因素。在成功的验证之后，它可以检索所述令牌序列号(该 令牌序列号可以与第一因素相关联)，并且随后通过例如在网络(例如 因特网、虚拟专用网等等)上向集中式验证服务发送验证请求来验证第 二因素。为了实现这一点，驻留(host)该应用的企业可以配置一个到 该集中式验证服务的验证代理(认证代理)。图1示出根据本专利技术一个实施例的集中式验证服务。因特网服务供 应商(ISP ) 101和银行102通过网络104被耦合到集中式验证服务 103。 ISP 101包括ISP应用105、 ISP认证代理106和ISP用户存储107。 ISP用户存储可以是一个数据库，其对于一个或多个第一因素和用户身 份使第一因素与用户身份(比如ISP顾客、管理员、雇员等等的身份) 相关。银行102可以包括银行业务应用108、银行认证代理109和银行 用户存储110。银行用户存储110可以是一个数据库，其使第一因素与 用户(比如银行帐户持有者、银行官员、银行IT管理员、银行雇员等 等)的身份相关。终端用户111可以激活一个共享的令牌，其中在本例 中，该令牌在ISP 101与银行102之间共享。为了向ISP 101认证其自身， 终端用户111可以输入其ISP用户名，该用户名在本例中是该用户的电 子邮件地址，例如ioe@isp.com。终端用户111还可以输入其相关4关的 口令(例如rolf362，，)和来自他的令牌的OTP。 ISP通过咨询ISP用 户存储107来验证由终端用户111提供的用户名和口令。用户存储107 中的记录的例子包括用户名、用户口令和设备标识符，例如 (ioe@isp.com， rolD62 , 27582343 ) 。 ISP 101可以向中央验证服务 103发送一个请求，该请求包括从终端用户111接收的OTP和从所述用 户存储检索的令牌标识符。集中式验证服务103可以包括令牌验证应用 112和令牌存储113。令牌存储113可以是一个数据库，其使令牌标识 符与以下各项相关预先计算的OTP和/或存储在与该令牌标识符相关 联的令牌中的一个或多个秘密和/或验算一个OTP以便与所接收的OTP进行比较。集中式验证服务103可以 向ISP 101发送一条响应消息，以表明该OTP已被或者未被成功验证。 如果来自终端用户111的用户名/口令和OTP都被成功验证，则ISP 101 可以为终端用户lll提供因特网服务。类似地，终端用户111可以向银行102提供用户名(例如 ismith@bank.com )和口令，该纟艮4亍可以利用纟艮行用户存4诸110对这些进 行验证。银行102可以把从终端用户111接收的OTP和令牌标识符发送 到集中式验证服务103,该集中式验证服务103可以对这些进行验证并 且向银行102发送响应消息。如果所述用户名和口令以及OTP都被成功 验证，则银行102可以向终端用户lll提供对终端用户lll帐户信息和 银行业务服务的访问。在本例中，终端用户lll最初可以从ISP 101、银行102或集中式 验证服务103获得令牌。每个应用可以向对交易各方提供认证服务和产 品的集中式验证服务和令牌发行者付费。分布式^r证系本文档来自技高网...

【技术保护点】
一种认证系统，包括：　　　　令牌，其被构造并布置成具有标识符以及生成一次性口令；　　　　一次性口令验证服务器，其被构造并布置成验证由该令牌生成的该一次性口令，该验证服务器具有网络地址；　　　　令牌查找服务，其被构造并布置成使令牌标识符与该验证服务器的网络位置相关；　　　　　资源验证服务器，其被构造并布置成执行以下操作：验证由该令牌的用户提供的至少第一认证因素；如果第一因素被成功验证，则向该令牌查找服务器发送针对该一次性口令验证服务器的位置的请求；以及向该一次性口令验证服务器发送一次性口令验证请求。

【技术特征摘要】
【国外来华专利技术】US 2005-5-6 60/678,2141、一种认证系统，包括令牌，其被构造并布置成具有标识符以及生成一次性口令；一次性口令验证服务器，其被构造并布置成验证由该令牌生成的该一次性口令，该验证服务器具有网络地址；令牌查找服务，其被构造并布置成使令牌标识符与该验证服务器的网络位置相关；资源验证服务器，其被构造并布置成执行以下操作验证由该令牌的用户提供的至少第一认证因素；如果第一因素被成功验证，则向该令牌查找服务器发送针对该一次性口令验证服务器的位置的请求；以及向该一次性口令验证服务器发送一次性口令验证请求。2、 权利要求l所述的系统，其中，由所述令牌的用户提供的第一认 证因素包括用户名。3、 权利要求l所述的系统，其中，由所述令牌的用户提供的第一认 证因素包括在该令牌的该用户与所述资源验证...

【专利技术属性】
技术研发人员：D姆赖希，S巴亚尔，N波普，
申请(专利权)人：弗里塞恩公司，
类型：发明
国别省市：US[美国]