本发明专利技术提供了一种生成机密的方法,该机密用于在服务器上认证用户。使用通过服务器产生的两个数据组之间的数据关联,用户可提供使用基于钥匙号和来自一个数据组的要素群的选择来提供机密,凭借数据关联,所选择的数据要素群具有相对应的来自其他数据组的要素群。机密被发送到服务器。服务器执行相似的机密提供,如果来自客户机的机密与服务器提供的机密完全相同,则授权用户访问服务器上的信息。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及服务器上的用户认证。
技术介绍
互联网包括大量的需要客户端用户登录的在线服务。单个客户端用户的访问在线服务通常依赖于登录(login),登录传统上包括用户名,,和密码。 如果在线系统后面的服务器系统发现了具有访问在线服务权限的客户的列 表中的客户端用户的用户名和密码,则用户名和密码被^L为在为客户端用户联 合打开在线服务的两个键。如果服务器系统只是依赖于对于登录而言的两个标准,例如用户名,,和 密码,则将会授权给向服务器系统提交了有效的用户名和密码的 客户端用户访问。这意味着,如果客户端用户丟失了他对于给定的在线服务的 用户名和密码,则获得该用户名和密码的发现者将会能够访问该在线服务。最普遍地,客户端用户将把他们自己的用户名和密码丟失给没有客户端用 户的允许就在该用户的计算机上保存的非法程序,并且当用户在登录到特定的 在线服务的过程中将会把用户的键击记录到日志中。随后,非法程序将会把所 收集的键击经由互联网发送到未经授权的个人,并且随后该个人就获得了对在 线服务的访问。
技术实现思路
本专利技术实现了在服务器计算机上对用户的安全认证。这对于作为部分家庭 银行登录流程的实例是非常有帮助的。本专利技术的第一方面是, 一种提供在认证处理中使用的客户端计算机上的机 密的方法。该方法包4舌客户端计算机从服务器计算机接收代表如下的信息 第一组数据要素, 第二组数据要素,以及4第一组和第二组的数据关联,通过所述数据关联,来自第一组的数据要素唯一地关联第二组中的数据要素;提供包括来自第一组数据要素的数据要素选择的第一子集;客户端计算机提供第二子集的数据要素,第二子集包括通过所述数据关联与第 一子集中的数据要素相关联的第二组数据要素中的那些数据要素;通过评价基于来自第二子集的要素的加密算法和预定的加密数据要素的方式提供机密。第一组数据要素可以是图片或一组音频文件或其他信息。第二组数据要素例如是一组整数。在这样的情形下,数据关联可以是图像的编号。服务器计算机提供数据关联。包括第一组(例如图像)、第二组(例如整数)、以及数据关联(图像和号码之间的映射)的信息被发送给客户端计算机。有利地,服务器计算机随机地形成数据关联。机密被用作登录到服务器计算机的通行键(passkey )。其他的第二组数据要素通常包括十六进制的号码(包括字母A-F和整数0-9的组合),或是包括来自ASCII的另一组字符。它们都可被转换为位串并且由此可在加密算法中使用。第一数据组的要素的数目可以是100,并且从下面提供的示例中可以明显地看出,第一子集有利地是(第一组数据要素中的)恰当的子集,这意味着存在第一子集中没有包含的第一子集中的要素。(凭借一对一关联的数据关联,第二子集可以是第二组数据要素中的恰当的子集)。所述信息典型地在互联网和/或其他网络上被发送。在家庭银行情形下,网络典型地包括互联网。如下面的示例所示,可以从许多不同的加密方法中选择加密算法。在图像被编号的情形下,选择将会实现包括通过基于第 一子集的数据关联确定的数字的第二子集。这些还可通过任意方式来组合,诸如通过串接(concatenate),通过将它们累加在一起,通过形成它们的乘积等,通过对第二子集的要素的位表示的直接的位操作等。最后,结果和加密数据要素(其例如是数字、ASCII字符等)都可通过一种或另一种方式通过位串来表示,由此可以在数学上处理。加密可例如包括使加密数据要素乘以组合后的一组编号,或是使两者相加,如参考组合来自第二组的要素所讨论的一样。选择方式众多。该处理通常被称为一次衬垫(one-time-pad),并且作为数字(来自第二子集的要素)的组合的结果被加密(从平面视图中被隐藏)。仅当得知加密数据要素和一组号码的组合时才获得机密-加密的结果。加密(算法)无需是可反转的。有利地,在不是可反转的情形下,既不能获得第二子集也不能获得加密数据要素。为了实现该方法,通过第一用户界面表示部分的第一组数据要素、和/或部分的第二组数据要素、和/或部分的所述数据关联。提供整个数据组合数据关联是最简单的可选方式。这里的用户界面可例如是显示器(例如,通过计算机屏幕上的互联网浏览器)或扬声器。因此,数据组和数据关联对于用户是可利用的。用户可随后通过简单地观看数据关联或是通过点击一个或多个图像来提供选择,诸如在可对各个图像作出点击或是其他方式的选择(单选按钮、复选标记、可接触等)的浏览器上,以获得第二子集。例如,通过麦克风装置经由声音界面(声音识别)执行上述选择。当今,把键记入日志是普遍存在的问题。为了避免将加密数据要素记入曰志,有利地手动向评价单元提供第二子集,该评价单元可访问预定的加密数据要素并且执行所述评价和提供所得到的机密。可选地,用户还可手动地将加密数据要素和第二子集或是它的一部分一起提供给评价单元。这样的评价单元对于计算器类型的设备是有利的,诸如简单的计算器或具有特殊用途的计算单元。可执行适当指定的软件的移动电话是用于评价和提供机密目的的单元的另一示例。当将第二子集已经键入到加密单元中时,加密单元响应地提供机密。加密单元可以是和客户端计算机相连的可操作数据串接,由此可将机密电子发送到客户端计算机,或是它独立于客户端计算机并且被独立地操作。通过分离评价单元和客户端计算机,可避免客户端计算机上的把4建记入日志问题。在上述情形下,用户界面可允许用户获得所确定的机密,例如通过评价单元从视觉上或听觉上获得。本专利技术的第二方面提供了 一种认证方法。客户端计算机的用户希望登录到服务器计算机上。该方法包括服务器计算机从客户端计算机接收认证请求;服务器计算机形成代表第一组数据要素、第二组数据要素、以及第一组和第二组之间的数据关联的信息,来自第一组的数据要素通过所述数据关联与来自第二组的数据要素唯一地相关联;服务器计算机向客户端计算机提供所述信息;服务器响应向客户端计算机提供所述信息来接收第一机密;服务器通过评价基于来自第二组的数据要素的预定子集的加密算法和预定的加密数据要素来提供第二机密;服务器比较第一机密和第二机密,并且如果第一机密和第二机密完全相同则提供肯定的认证指示。如前所述,客户端计算机可提供机密(第一机密)。该第一机密是基于从第一组数据要素中的数据要素中在客户端计算机上的选择。无论上述选择如何,有利地都可确定第一机密。服务器计算机包括预定子集的数据要素,其自身被称为归属于用户的密码。仅当客户端计算机上选择的子集与预定的子集完全相同时,第一机密(从客户端计算机接收到的机密)才与基于预定子集的数据要素计算出来的服务器的第二机密完全相同。在確艮行情形下,客户端计算机的用户提供某种类型的身份标识,诸如用户名或帐户号。在服务器上,这种身份标识与特定的预定子集紧密相关。以上述方式,各个用户都具有来自第一组的数据要素的偏爱选择。这将会在后面举例说明。为了提高安全性,如果第一机密和第二机密不完全相同,则服务器使用另一数据关联来替代所述数据关联。由于即使从客户端计算机选择了第一组中相同的要素,第二子集中的要素组合仍可是不同的,因此这是有利的。由于这可以极大地降低或消除猜测系统值的工作,因此这可以极大地提高安全性。还可通过仅当客户端计算机的有效IP号码匹配服务器计算机提供的IP号码时,服务器才提供肯定的认本文档来自技高网...
【技术保护点】
一种提供在认证处理中使用的客户端计算机上的机密的方法,包括: 客户端计算机从服务器计算机接收代表如下的信息: 第一组数据要素, 第二组数据要素,以及 第一组和第二组之间的数据关联,通过所述数据关联,来自第一组的数据要 素唯一地关联第二组中的数据要素; 提供包括从第一组数据要素中选择的数据要素的第一子集; 客户端计算机提供第二子集的数据要素,第二子集包括第二组数据要素中的、通过所述数据关联与第一子集中的数据要素相关联的那些数据要素; 通过 评价基于来自第二子集的要素和预定的加密数据要素的加密算法提供机密。
【技术特征摘要】
【国外来华专利技术】DK 2007-5-30 PA200700781;US 2007-5-30 60/940,8011.一种提供在认证处理中使用的客户端计算机上的机密的方法,包括客户端计算机从服务器计算机接收代表如下的信息第一组数据要素,第二组数据要素,以及第一组和第二组之间的数据关联,通过所述数据关联,来自第一组的数据要素唯一地关联第二组中的数据要素;提供包括从第一组数据要素中选择的数据要素的第一子集;客户端计算机提供第二子集的数据要素,第二子集包括第二组数据要素中的、通过所述数据关联与第一子集中的数据要素相关联的那些数据要素;通过评价基于来自第二子集的要素和预定的加密数据要素的加密算法提供机密。2. 根据权利要求1所述的方法,其中,通过第一用户界面表示至少部分 的所述数据关联、和/或部分的第一组数据要素、和/或部分的第二组数据要素, 响应于所述表示由用户来执行从第 一组数据要素中选择数据要素的所述提供 的步骤。3. 根据权利要求2所述的方法,其中,第二子集提供给评价单元,所述 评价单元具有对预定的加密数据要素的访问并且执行所述评价和提供所得到 的机密,其中加密单元或是和客户端计算机相连的可操作数据连接,由此可将机密电子发送到客 户端计算机,或是独立于客户端计算机并且包括可向用户表示机密的用户界面。4. 根据权利要求3所述的方法,其中,评...
【专利技术属性】
技术研发人员:克劳斯安比约恩克里斯托芬尼,
申请(专利权)人:帕姆西网络丹麦有限责任公司,
类型:发明
国别省市:DK[丹麦]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。