CN101425901A - 一种在处理终端中用于对用户身份验证的控制方法及装置 - Google Patents
一种在处理终端中用于对用户身份验证的控制方法及装置 Download PDFInfo
- Publication number
- CN101425901A CN101425901A CNA2008100360942A CN200810036094A CN101425901A CN 101425901 A CN101425901 A CN 101425901A CN A2008100360942 A CNA2008100360942 A CN A2008100360942A CN 200810036094 A CN200810036094 A CN 200810036094A CN 101425901 A CN101425901 A CN 101425901A
- Authority
- CN
- China
- Prior art keywords
- authorization information
- processing terminal
- user identification
- disposable authorization
- identification system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012545 processing Methods 0.000 title claims abstract description 162
- 238000000034 method Methods 0.000 title claims abstract description 81
- 238000012795 verification Methods 0.000 title description 2
- 230000008569 process Effects 0.000 claims abstract description 34
- 238000013475 authorization Methods 0.000 claims description 149
- 230000003068 static effect Effects 0.000 claims description 60
- 238000004891 communication Methods 0.000 claims description 9
- 230000008676 import Effects 0.000 claims description 8
- 230000008859 change Effects 0.000 description 13
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 9
- 239000008280 blood Substances 0.000 description 9
- 210000004369 blood Anatomy 0.000 description 9
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种在处理终端中用于对用户身份进行验证的控制方法,其中,包括获取一次性验证信息的步骤,以及将所述一次性验证信息发送给与所述处理终端相适应的用户身份认证系统,其特征在于,所述一次性验证信息由所述处理终端生成。还提供在处理终端中用于对用户身份进行验证的控制装置,以及在用户身份认证系统中对用户身份进行验证的辅助控制方法、辅助控制装置通过本发明提供的控制方法,使得生成一次性验证信息的过程在处理终端内完成,从而避免了非法程序修改相关信息进而盗取用户身份或者篡改用户身份的风险,尤其适用于集成电路卡片。本发明可以有效地防窃取密码、防钓鱼、防重放攻击等多种攻击方式,而且实现方便便于推广。
Description
技术领域
本发明涉及信息管理系统,特别是用户身份管理系统,例如金融管理系统,具体地涉及其中基于口令的身份识别技术领域,尤其是在与用户身份管理系统对应的处理终端中对用户身份进行验证的控制方法以及相应的控制装置,尤其是本发明还涉及在用户身份管理系统中对用户身份进行验证的辅助控制方法以及相应的辅助控制装置。
背景技术
随着计算机以及计算机网络(局域网、互联网、无线网络)的普及,信息管理系统已经成为企业、个人生活、工作中所必不可少的应用。但由于通过计算机网络操作信息管理系统存在冒用用户身份的问题,所以用户身份验证一直是非常重要的一个问题。例如,在金融管理系统(或支付处理系统、ERP系统等)中,在用户请求执行一个操作之前,必须对该用户的身份进行验证,只有通过验证的用户才被允许执行其所请求的操作。验证的目的是确保合适的人执行适当的操作,以免用户的身份被人冒用,或者用户误操作造成不必要的损失。类似地,在人们参与电子商务,特别是互联网电子商务时也对跨时空、跨地域的非面对面的活动对身份认证提出了更高的要求。例如,我们担心用户身份被窃取,担心重放攻击,担心钓鱼网站等。
在对用户身份进行认证的过程中,在一定程度上存在着技术与商业应用的矛盾,因为过于复杂的身份认证方式可能制约电子商务的发展以及信息管理系统的应用;而过于简单的静态口令认证方式可能带来身份伪冒,从而带来交易者利益的损失,进而影响交易者参与的信心,最终会影响电子商务的健康发展,也使得信息管理系统无法推广。因此,实际应用过程中需要安全、合理、方便的用户身份认证方法。
目前,解决用户身份认证问题的主要思路有两个:一是零知识证明的理论,如采用挑战应答方式认证的数字证书方案;二是一次性密码理论,如一次性密码本、一次性口令生成器等方案。证书方案存在着使用不便、成本较高、基础设施不完善等弊端;而现有的一次性口令方案也存在着安全性、成本、方便性等方面的不利。
为了完善用户身份验证,本发明希望提出一种全新的验证方案。
发明内容
针对现有技术中用户身份认证方法的种种缺陷,本发明的目的是提供一种基于静态口令的身份认证方法,具体地,提供一种在处理终端中对用户身份进行验证的控制方法以及相应的控制装置。
根据本发明的一个方面,提供一种在处理终端中用于对用户身份进行验证的控制方法,其中,包括如下步骤:a.获取一次性验证信息;b.将所述一次性验证信息发送给与所述处理终端相适应的用户身份认证系统;其特征在于,所述一次性验证信息由所述处理终端生成。优选地,上述控制方法在所述处理终端中完成。
根据本发明的另一个方面,还提供一种在处理终端中用于对用户身份进行验证的控制装置,其特征在于,包括:获取装置,用于获取一次性验证信息;以及第一发送装置,用于将所述一次性验证信息发送给与所述处理终端相适应的用户身份认证系统;其特征在于,所述一次性验证信息由所述处理终端生成。
本发明的又一个方面,提供一种在用户身份认证系统中对用户身份进行验证的辅助控制方法,其中,包括如下步骤:A.接收来自处理终端的一次性验证信息;B.判断所述一次性验证信息是否通过验证;C.若所述一次性验证信息通过验证,则确认所述用户身份验证通过;其特征在于,所述一次性验证信息由所述处理终端生成。
根据本发明的又一个方面,还提供一种在用户身份认证系统中对用户身份进行验证的辅助控制装置,其特征在于,包括:第三接收装置,用于接收来自处理终端的一次性验证信息;第一判断装置,用于判断所述一次性验证信息通过验证;以及确定装置,用于当所述一次性验证信息通过验证时确认所述用户身份验证通过;其特征在于,所述一次性验证信息由所述处理终端生成。
根据本发明的又一个方面,还提供一种处理终端,其特征在于,包括上述的控制装置。
通过本发明提供的控制方法,使得生成一次性验证信息的过程在处理终端内完成,从而避免了非法程序修改相关信息进而盗取用户身份或者篡改用户身份的风险。尤其当本发明应用于集成电路卡片中时,可以使得用户身份认证过程更加安全。笼统地讲,本发明可以有效地防窃取密码、防钓鱼、防重放攻击等多种现在已知的攻击方式,而且实现方便、实施成本低、便于在电子商务以及信息管理系统中推广。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1示出根据本发明的一个具体实施方式的,处理终端与用户身份认证系统配合完成用户身份认证过程的流程图;
图2示出根据本发明的第一实施例的,在处理终端或用户身份认证系统中生成一次性验证信息的流程图;
图3示出根据本发明的第一实施例的,基于静态密码、可变因子、挑战因子生成一次性验证信息的示意图;
图4A示出根据本发明的第一实施例的,处理终端与用户身份认证系统配合实现用户身份认证的网络拓扑示意图;
图4B示出根据本发明的第二实施例的,处理终端与用户身份认证系统配合实现用户身份认证的网络拓扑示意图;
图5示出根据本发明的第三实施例的,在处理终端中用于对用户身份进行验证的控制装置的结构示意图、在用户身份认证系统中对用户身份进行验证的辅助控制装置的结构示意图以及两者中的装置之间的配合关系的示意图;以及
图6示出根据本发明的第一实施例的,包含本发明提供的控制装置的处理终端的结构示意图。
具体实施方式
优选地,在本发明中,由被验证的处理终端生成一次性验证信息,然后再由所述处理终端将该一次性验证信息发送给对该处理终端进行身份验证的用户身份认证系统以便该系统确认该一次性验证信息是否通过验证。本领域技术人员理解,由于优选地上述操作都在所述处理终端内完成,所以提高了用户身份认证过程的安全性。其中,所述用户身份认证系统可以是一个独立的专门用于对用户身份进行验证的系统,也可以是任何一个信息管理系统或电子商务服务系统或其它计算机处理系统中用于对用户身份进行验证的子系统或子模块,这并不影响本发明的实质内容,在此不予赘述。
基于上述发明思路,图1示出根据本发明的一个具体实施方式的,处理终端与用户身份认证系统配合完成用户身份认证过程的流程图。首先执行步骤S110,处理终端生成一次性验证信息,然后进入步骤S111,所述处理终端获取所述一次性验证信息。本领域技术人员理解,优选地,由于该一次性验证信息在所述处理终端中生成,所以用于生成该一次性验证信息的模块或装置可以直接将该一次性验证信息发送给相应的处理模块,例如图5所示的获取装置,这样就可以实现所述步骤S111。而在一个变化例中,所述处理终端生成该一次性验证信息后,通过某种方式显示给用户,再由用户将该一次性验证信息输入至所述处理终端内,例如当所述处理终端本身带有显示器时优选地可以直接显示在该显示器上,当所述处理终端不带有显示器时可以显示在其它设备的显示器上,例如当该处理终端与一台计算机相连接时可以显示在该计算机的屏幕上。
接下来执行步骤S112,所述处理终端将该一次性验证信息发送给一个用户身份认证系统,本领域技术人员理解,该用户身份认证系统与所述处理终端是对应的,即事先约定该系统可以处理所述处理终端的认证请求,例如,双方基于标准的协议可以完成发送认证请求以及进行认证的过程。例如,当所述处理终端是以集成电路卡形式存在的公共交通卡时,则该用户身份认证系统就是公共交通卡收费管理系统;又例如,当所述处理终端是一台作为某一ERP应用系统的客户端时,则该用户身份认证系统就是该ERP应用系统或者该ERP应用系统中专门用于进行身份认证的子系统;又例如,所述处理终端是一张支付卡,而该用户身份认证系统就是提供该支付卡的主体(例如银行或其它非银行金融企业或其它发卡机构)用来处理该支付卡的支付请求的系统等等。
然后进入步骤S113,所述用户身份认证系统接收所述一次性验证信息,以便对该一次性验证信息进一步处理。本领域技术人员理解,通常该系统接收所述一次性验证信息的方式与所述处理终端发送所述一次性验证信息的方式是对应的,例如发送过程基于TCP/IP协议完成,则接收过程通常也基于TCP/IP协议完成;又例如所述一次性验证信息通过WAP协议发送,则所述用户身份验证系统也基于WAP协议接收该交易请求信息,至少所述用户身份验证系统的一个前端处理装置基于WAP协议进行接收,这并不影响本发明的实质内容,在此不予赘述。
然后执行步骤S114,所述用户身份认证系统判断所述一次性验证信息是否与验证基准信息相一致,若该步骤的判断结果是肯定的,即所述一次性验证信息与所述验证基准信息一致,则进入步骤S115,确认所述用户身份验证通过;否则,若该步骤的判断结果是否定的,即所述一次性验证信息与所述验证基准信息不一致,则进入步骤S116,确认所述用户身份验证未通过。无论是执行步骤S115或者执行步骤S116之后,均进入步骤S117,设置用户身份认证反馈信息,即根据步骤S115或者步骤S116的结果来设置该用户身份认证反馈信息,例如经过所述步骤S116、步骤S117后,该用户身份认证反馈信息的内容为“用户身份验证未通过”或表达类似信息的内容。最后执行步骤S118,所述用户身份认证系统将所述用户身份认证反馈信息发送给所述处理终端,本流程结束。
本领域技术人员理解,上述验证基准信息是所述用户身份认证系统用来判断所述处理终端发送来的一次性验证信息是否正确的依据。优选地,为了提高安全性,该验证基准信息由所述用户身份认证系统实时生成,例如这样的生成验证基准信息的方法与所述处理终端生成所述一次性验证信息的方法相适应,例如图2所示的那样。次优地,该验证基准信息也可以通过其它方式获得,例如一个第三方系统专门用于向所述用户身份认证系统提供该验证基准信息,则所述用户身份认证系统向该第三方系统发出请求后获得该验证基准信息,即使在这样的变化例中,为了保证用户身份验证的准确性以及用户密码的安全性,该一次性验证信息仍然由所述第三方系统根据本次身份验证请求交易对应的参数来生成,从而实现一次一密的要求,在此不作详细描。
本领域技术人员理解,优选地,上述一次性验证信息包括一次性密码,而该一次性密码是由所述处理终端生成的。而在一个变化例中,所述一次性验证信息除了包括上述一次性密码之外,还可以包括其它信息,例如该处理终端的标识号等信息,又例如还包括该处理终端附加描述信息等,以便所述用户身份认证系统可以对所述处理终端发出的用户身份认证请求进行处理,在此不予赘述。
为了详细说明上述图1所示实施例中的步骤S110,图2示出根据本发明的第一实施例的,在处理终端或用户身份认证系统中生成一次性验证信息的流程图。本实施例可以被理解为对上述步骤S110的一个具体实施方式。首先执行步骤S121,接收用户输入的静态口令,例如用户通过所述处理终端自带的键盘或者与所述处理终端连接的外接输入装置输入该静态口令。然后进入步骤S122,所述处理终端获取第一可变因子;然后执行步骤S123,所述处理终端获取挑战因子;最后进入步骤S124,根据所述静态口令、第一可变因子以及挑战因子生成所述一次性验证信息。
在上述实施例的一个变化例中,在上述步骤S24之后,还包括的“获取所述用户身份认证系统的公钥”、“根据所述用户身份认证系统的公钥对所述一次性验证信息进行加密,并将所述加密后的信息作为所述一次性验证信息”两个步骤。本领域技术人员理解,该两个步骤可以对上述一次性验证信息进一步加密,从而进一步提高本发明的安全性,在此不予赘述。与这样的变化例相适应,则在图1所示步骤S114的一个变化例中,该步骤变化为如下四个步骤:
步骤B1′.获取所述用户身份认证系统的私钥;步骤B2′.根据所述用户身份认证系统的私钥对所述一次性验证信息进行解密;步骤B3′.对所述解密后的一次性验证信息中包含的静态密码进行验证;步骤B4′.判断所述解密后的一次性验证信息中包含的静态密码是否通过验证。通过这样的步骤,实际上完成了对所述一次性验证信息进行解密(因为经过了公钥的加密),然后再对静态密码进行验证的过程。本领域技术人员结合现有技术可以实现这样的变化,在此不予赘述。
本领域技术人员理解,上述生成一次性验证信息的过程同样可以用于所述用户身份认证系统来生成所述验证基准信息,不同的是,在用户身份认证系统生成验证基准信息的过程中,所述步骤S122变化为“获取第二可变因子”。该第一可变因子与该第二可变因子是相对应的一对可变因子,该一对可变因子是所述处理终端和所述用户身份认证系统约定的信息,例如一串数字或字符,或者字符和数字、字母等组合而成的字符串。优选地,为了提高认证的安全度,该第一可变因子和第二可变因子是每次都变换的,从而实现本发明的认证目的。因此,所述处理终端与上述用户身份验证系统可以约定获取或生成可变因子的规则。具体地,该第一可变因子可以通过多种方式获取或生成,只要保证所述处理终端以及用户身份认证系统可以分别获取该可变因子即可。例如在本实施例中,所述第一可变因子与第二可变因子可以存在差异,即不完全相同。例如所述处理终端将该处理终端所确定的时间作为第一可变因子,并将该第一可变因子取整到小时,例如20080320110600,其中的“2008032011”即为取整后的第一可变因子;相应地,所述用户身份认证系统也取其所在设备的时间作为第二可变因子,同样取整到小时,例如在所述处理终端取得第一可变因子后3分钟所述用户身份认证系统开始处理该处理终端的身份认证请求,即开始获取该第二可变因子,此时,所述用户身份认证系统获得一个时间参数为20080320110900,其中的“2008032011”即为取整后的第二可变因子。因此,这一对可变因子虽然不完全相同,但实际上用于生成一次性验证信息或验证基准信息时两者起到同样的作用,从而使得在同一个小时内可以顺利地完成该认证请求操作,即本实施例允许上述第一可变因子与第二可变因子的误差在第一阈值范围内。进一步地,本领域技术人员理解,在一个变化例中,也可以进一步地将所述第一可变因子和第二可变因子取整的范围缩小,例如缩小到分钟为单位,则只有在同一分钟内进行的认证请求操作才有可能通过认证。同时,本领域技术人员理解,上述取整操作可以被灵活地实现,例如也可以将获取第二可变因子所在的时间与该时间的上一个单位视为同一个时间,从而使得跨越一个时间单位的认证请求操作也可以被通过。在又一个变化例中,上述第一可变因子与第二可变因子也可以完全相同,例如我们直接将获取到的时间以小时为单位取整后作为可变因子,又例如通过其它因素来获取可变因子,在此不予赘述。
本领域技术人员理解,上述步骤S122中所获取的可变因子,是为了生成动态密码而获取的参数。如果在生成所述一次性验证信息的过程中不存在该可变因子,或者该可变因子在比较长的周期范围保持不变,则使得所述一次性验证信息的安全性大大降低,从而无法实现一次一密的需求。具体地,该可变因子的获得方式可以与所述步骤S124中的生成该一次性验证信息的算法有关,在此不作详细描述。
具体地,在本实施例中,所述静态口令是用户预先设置的用于验证其身份的信息,通常也称为密码。该静态口令通常存储于上述用户身份认证系统中,例如存储于该用户身份认证系统所维护或可以读取的一个数据库中,又例如以HASH方式存储。理论上讲,该静态口令仅由用户本人知悉,操作所述用户身份认证系统的工作人员也不会知道该静态口令,但由于存在着各种手段来窥探、盗取口令,例如不法分子通过在取款机上安装摄像头或者通过计算机软件中的后门程序等,这些静态口令往往会被盗取,从而导致用户身份被冒充。正因为如此,简单的静态口令方式无法满足目前的用户身份认证需求,所以在本发明中才基于该静态口令生成上述一次性验证信息。
优选地,上述挑战因子是由所述用户身份认证系统提供的信息,例如一串字符或数字,通常该挑战因子只提供给操作所述处理终端的用户,例如通过计算机屏幕显示给用户,然后用户就可以通过处理终端输入该挑战因子。同样地,该挑战因子优选地是每次都变换的,以使得非法程序无法发起重放攻击或者其它盗用用户身份的措施。在本实施中,所述挑战因子可以以一个图形验证码的方式出现,而在一个变化例中,所述挑战因子也可以发送至与该用户相对应的通讯工具中,例如用户提供给所述用户身份认证系统的手机,在此不予赘述。
本领域技术人员理解,在本实施例中,通过三个参数生成所述一次性验证信息,优选地,可以通过规范化处理生成所述一次性验证信息,例如如图3所示的实施例。而在一个变化例中,也可以省略其中的挑战因子,即仅仅通过静态口令以及可变因子来生成所述一次性验证信息,对应地,在所述用户身份认证系统中也通过静态口令以及可变因子来生成所述验证基准信息。本领域技术人员理解,如果不使用上述挑战因子来生成所述一次性验证信息,使得本发明提供的方法无法防止重放攻击的风险,但这并不影响本发明的实质内容。
进一步地,图3示出根据本发明的第一实施例的,基于静态密码、可变因子、挑战因子生成一次性验证信息的示意图,本示意图对生成该一次性验证信息的过程进行详细说明。首先,所述处理终端通过规范化处理获得字符串S0,例如对MD5(123456)、8888、20080320110000三个参数进行规范化处理,然后再通过计算SHA1(S0)得到S1,最后再次对S1进行规范化处理得到一次性密码P。本领域技术人员理解,该一次性密码P可以作为上述一次性验证信息,也可以将该一次性密码P与其它信息(例如处理终端的标识信息)作为所述一次性验证信息。
本领域技术人员理解,上述MD5算法使得明文转换为密文或者反之,用于保护静态口令的安全,防止其身份信息以明文存储于身份认证系统中带来的各种风险。
上述SHA1算法即前述HASH算法的一种,用于对静态口令、可变因子、挑战因子运算得到一次性验证信息。本发明不局限于该算法,其它安全的HASH算法都可以选用。
进一步地,本领域技术人员理解,所述规范化处理指对上述静态口令、可变因子、挑战因子做一些预处理及变换,使得进行规范化处理后的内容符合SHA1算法的要求,即可以作为所述SHA1算法的合法输入信息,同时也使得再次对S1进行规范化处理所得到的P可以满足处理终端的输入和处理要求。例如,当用户需要通过手工输入的方式向所述处理终端提供所述一次性验证信息,如果该验证信息过长(数据位太多)的话,则不利于操作。因此,按照预定规则对所述S1进行处理,例如取出该S1中的特定数据位并组成一个较短的信息,即P,本领域技术人员结合现有技术可以实现这样的过程,在此不予赘述。
进一步参考上述图2、图3,本领域技术人员理解,在上述实施例中,通过SHA1算法来实现生成该一次性验证信息以及验证基准信息的过程。而在一个变化例中,还可以通过其它方式实现所述过程,例如可以选择MD5、SHA0、MD4、MD2及DES、3DES、AES等算法中的一种或多种的算法的组合来实现上述过程,在此不予赘述。更进一步地,本领域技术人员理解,在一个变化例中,所述规范化处理过程可以省略,具体根据所选择的算法的要求来确定,本领域技术人员结合现有技术可以实现这样的变化,在此不予赘述。
上述图1至图3分别从不同角度描述了处理终端以及用户身份认证系统实现本发明的过程,下面通过图4来描述如何网络环境下应用本发明。具体地,图4A示出根据本发明的第一实施例的,处理终端与用户身份认证系统配合实现用户身份认证的网络拓扑示意图。其中,优选地,所述处理终端92是一张集成电路卡,其中包含本发明提供的(如图5所示的)控制装置4,该集成电路卡通过一个通讯接口连接至一个台式计算机6,该台式计算机6通过网络与集成电路卡处理系统82相通讯,而该集成电路卡处理系统82中包含本发明提供的(如图5所示的)辅助控制装置5。本领域技术人员理解,上述集成电路卡处理系统82就是上述的用户身份认证系统,或者说该集成电路卡处理系统82中包含上述的用户身份认证系统,这并不影响本发明的实质内容,在此不予赘述。
具体地,上述处理终端92通过所述控制装置4生成一次性验证信息,然后通过通讯接口发送至所述台式计算机6。所述计算机6接收到所述一次性验证信息后将其转发至所述集成电路卡处理系统82,具体地,该系统82中的辅助控制装置5将按照图1所示实施例处理该一次性验证信息,并最终通过网络向所述台式计算机6发送该一次性验证信息是否通过的反馈信息,从而所述处理终端92可以通过所述台式计算机6接收到该反馈信息。本领域技术人员理解,用于连接上述台式计算机6与用户身份验证系统82之间的网络可以是局域网,也可以是互联网或无线网络。具体地,所述控制装置4以及辅助控制装置5可以参考下述图5所示实施例予以实现,在此不予赘述。
本领域技术人员理解,优选地,上述台式计算机6中可以安装一个插件(计算机程序或者说客户端软件),该插件主要用于在接收到上述一次性验证信息后可以将其转发至所述系统82。优选地,上述台式计算机6对所述一次性验证信息不做任何处理直接转发;在一个变化例中,所述台式计算机6也可以对所述一次性验证信息进行部分处理后再发送给所述系统82,例如可以将其改变为所述网络能够接收的数据格式,又例如将其压缩后再发送等等,这并不影响本发明的实质内容。
在上述图4A所示实施例的一个变化例中,所述台式计算机6可以是其它任何具有计算处理能力,并可以与所述集成电路卡处理系统82和所述集成电路卡92通讯的设备,例如当所述用于连接集成电路卡92的通讯接口是USB接口时,则该台式计算机6可以被替换为带有USB接口的POS或ATM或其它设备。在这样的变化例中,优选地,所述POS或ATM或其它设备仍然可以安装上述的插件(计算机程序或者说客户端软件)。
作为一个变化例中,图4B示出根据本发明的第二实施例的,处理终端与用户身份认证系统配合实现用户身份认证的网络拓扑示意图,下面结合对图4A的描述来说明本实施例。具体地,应用本发明的处理终端是移动终端,更准确地讲是具有计算能力的移动电话(手机)91。在本实施例中,多个移动电话91通过无线网络(例如GSM网络)与一个用户身份认证系统81相通讯,例如移动电话91与中国移动公司提供的客户服务系统相通讯,在这些移动电话91被允许接入该客户服务系统之前,通过上述系统81来对移动电话91的使用者进行用户身份认证。在一个变化例中,手机银行用户或网络银行用户通过移动电话91来登录网络银行,类似地,在正式允许用户对被请求银行账户进行操作之前,仍然通过系统81来对移动电话91的使用者进行用户身份认证。
具体地,我们通过移动电话登录网络银行为例阐述本发明的具体认证过程,其中,上述处理以算法SHA1来完成,且我们假设银行卡口令(静态口令)在系统中以MD5形式存储、银行卡口令为123456、挑战因子为8888。具体步骤如下:
1)用户通过移动电话(即处理终端)打开预装在其中的控制装置4,并选择其中的生成一次性密码的菜单(命令);
2)用户登录网络银行(即用户身份认证系统),输入用户名、银行卡号以及图形验证码(即挑战因子)为8888;
3)用户在移动电话上输入静态口令123456、以及挑战因子8888;
4)上述控制装置4获取手机时间20080320110000(时间精确度到小时)作为第一可变因子;
5)控制装置4进行规范化处理MD5(123456)、8888、20080320110000得到字符串S0;
6)控制装置4计算SHA1(S0)得到S1;
7)控制装置4规范化处理S1得到一次性密码P;
8)用户通过移动电话输入P向网络银行发出身份验证请求信息;
9)网络银行采用相同的规范化处理过程来生成验证基准信息,并基于该验证基准信息验证用户身份,验证通过则登录成功,过程结束。
本领域技术人员理解,上述步骤也可以适当地变化,例如上述步骤8)中也可以通过网络银行提供的其它页面来输入所述P,例如所述移动电话仅仅用于生成所述一次性验证信息(一次性密码),而通过其它装置来向所述网络银行发出所述身份验证请求。例如,用户通过一台式计算机来登录网络银行,在被允许登录之前,网络银行向其显示所述挑战因子8888,用户将静态口令以及挑战因子输入移动电话,该移动电话中的控制装置4生成所述一次性验证信息;然后,用户读取该一次性验证信息并将其通过台式计算机输入网络银行提供的密码框内,点击“确认”后该一次性验证信息被发送至网络银行,进而网络银行对该一次性验证信息进行验证。在这样的变化例中,实际上一个完整的验证请求以及验证过程分拆至不同的主体来完成,这并不影响本发明的实质内容,在此不予赘述。
本领域技术人员理解,上述通过移动终端生成所述一次性验证信息,并与所述用户身份验证系统完成用户身份认证的过程可以在现有的移动终端中增加图5所示控制装置4来完成,具体地,还可以参考图6所示来实现这样的装置4和移动终端,在此不作详细描述。
在上述基础上,我们接下来对通过所述处理终端修改置于所述用户身份认证系统中的静态口令的过程予以介绍,在本实施例中,具体的银行卡密码修改步骤如下:
(1)用户打开控制装置4,选择该银行卡口令修改功能;
(2)用户在网银上选择修改口令,图形验证码为6666;
(3)用户在手机上输入旧口令123456、挑战因子6666、新口令654321;
(4)手机软件获取手机时间200870320110000作为可变因子;
(5)手机规范化处理MD5(123456)、6666、200870320110000得到字符串R0,手机软件计算SHA1(R0)得到R1,规范化R1得到口令Q1;
(6)手机规范化处理MD5(123456)、Q1、200870320110000得到字符串R2,手机软件计算SHA1(R2)得到R3,规范化R3得到一次性密码K1;
(7)手机软件异或K1和654321得到保护后的口令Q2;
(8)用户在网络银行上输入Q1和Q2;
(9)网络银行验证Q1,如果Q1正确,则用同(6)的步骤和算法得到K1,K1与Q2异或得到新口令654321;
(10)网络银行计算MD5(654321)并存储,口令更该完成。
通过上述描述,本领域技术人员理解,本发明提供的实施例具有足够能力来应对非法攻击,原因在于真正的口令,即静态口令“123456”从来不在网络中出现,因此木马等程序仅能截获一次性验证信息(例如一次性密码P),同样,用钓鱼等手段获取该一次性验证信息也是没意义的。
结合上述1~图4,图5示出根据本发明的第三实施例的,在处理终端中用于对用户身份进行验证的控制装置4的结构示意图、在用户身份认证系统中对用户身份进行验证的辅助控制装置5的结构示意图以及两者中的装置配合关系的示意图。具体地,所述控制装置4包括第一生成装置41、获取装置42、第一发送装置43以及第四接收装置44;对应地,所述辅助控制装置5包括第三接收装置51、第一判断装置52、确定装置53以及第二发送装置54。其中,所述第一生成装置41用于生成所述一次性验证信息;所述获取装置42用于获取一次性验证信息,优选地,通过与所述装置41的交互直接获得该信息,例如由所述装置41直接将该信息发送给所述装置42,而在一个变化例中也可以用来接收用户输入的所述一次性验证信息;所述第一发送装置43用于将所述一次性验证信息发送给与所述处理终端相适应的用户身份认证系统。相应地,所述一次性验证信息被所述第三接收装置51所接收,进一步由所述第一判断装置52判断所述一次性验证信息与验证基准信息是否一致,若判断两者是一致的,则经由所述确定装置53确认所述用户身份验证通过,然后由所述第二发送装置54将用户身份认证反馈信息设置为“用户身份验证通过”或表达类似信息的内容,然后将该用户身份认证反馈信息发送给所述控制装置4。进一步地,该用户身份认证反馈信息被所述第四接收装置44所接收,从而完成本次验证过程。
本领域技术人员理解,当所述一次性验证信息与所述验证基准信息不一致时,则由所述辅助控制装置5中的其它装置确认所述用户身份验证未通过,相应地,通过装置54发送出去的用户身份认证反馈信息体现的内容为“用户身份验证未通过”或表达类似信息的内容。在一个变化例中,这样的功能也可以由上述确定装置53来完成,这并不影响本发明的实质内容,在此不予赘述。
进一步地,在本实施例中,上述第一生成装置41包括第一接收装置411,其用于接收用户输入的静态口令;以及第二生成装置412,其用于根据所述静态口令以及第一可变因子生成所述一次性验证信息。相对应地,所述第一判断装置52包括第四生成装置521,其用于根据静态口令以及第二可变因子生成所述验证基准信息;以及第二判断装置522,其用于判断所述一次性验证信息与验证基准信息是否一致。本领域技术人员理解,上述静态口令由所述处理终端对应的用户预先设定,所述第一可变因子以及第二可变因子根据所述处理终端与所述用户身份认证系统的约定来获得。具体地,该第一可变因子与该第二可变因子是相对应的一对可变因子,例如一串数字或字符,或者字符和数字、字母等组合而成的字符串。优选地,为了提高认证的安全度,该第一可变因子和第二可变因子是每次都变换的。在本实施例中,所述第一可变因子与第二可变因子的误差在第一阈值范围内,例如将当前时间作为可变因子时,可以分别将第一可变因子以及第二可变因子以小时为单位进行取整,例如20080320110600,其中的“2008032011”即为取整后的第一可变因子;又例如,以5分钟为单位进行取整操作等等,从而保证在一个时间单位内完成的认证请求操作可以通过认证,在此不予赘述。
在上述图5所示实施例的一个变化例中,所述第一生成装置41还可以包括其它装置。例如,当所述一次性验证信息不仅仅包括一次性密码、而所述第二生成装置412又仅仅生成所述一次性密码时,则在第二生成装置412生成该一次性密码后,所述其它装置还被用于基于该一次性密码以及其它信息(例如所述处理终端的标识信息,例如序列号)进一步生成所述一次性验证信息。本领域技术人员结合现有技术可以实现这样的变化例,在此不作详细描述。
在一个变化例中,所述第一生成装置41可以包括第二接收装置(图5中未示出),其用于接收用户输入的静态口令;以及第三生成装置(图5中未示出),用于根据所述静态口令、第一可变因子以及挑战因子生成所述一次性验证信息,其中,所述第一可变因子由所述处理终端与所述用户身份认证系统约定,所述挑战因子由所述用户身份认证系统生成并提供给所述处理终端。相对应地,所述第一判断装置52包括第五生成装置(图5中未示出),其用于根据静态口令、第二可变因子以及挑战因子生成所述验证基准信息;以及第三判断装置(图5中未示出),其用于判断所述一次性验证信息与验证基准信息是否一致。与图5所示实施例不同的是,生成所述一次性验证信息以及验证基准信息的过程中多了一个参数挑战因子,这样的生成过程可以参考图3所示实施例来完成,在此不予赘述。本领域技术人员理解,这样的变化例可以防止重放攻击,因为挑战因子是无法被预测的,而一个时间单位(例如1小时)的挑战因子的有效期的对于攻击者来说是无用的,在此不予赘述。
在图5所示实施例的又一个变化例中,所述控制装置4还包括显示控制装置(图5中未示出),其用于通过显示装置显示所述一次性验证信息。例如在所述第一生成装置41生成所述一次性验证信息,在所述处理终端本身带有显示器时优选地可以直接控制该一次性验证信息显示在该显示器上,当所述处理终端不带有显示器时可以显示在其它设备的显示器上,例如当该处理终端与一台计算机相连接时可以显示在该计算机的屏幕上,在此不予赘述。
最后,我们通过图6示出根据本发明的第一实施例的,包含本发明提供的控制装置的处理终端的结构示意图。在本实施例中,所述处理终端是一个移动电话91,其在包含了移动电话通常的组件(例如通讯组件、短消息组件、显示器件、娱乐组件)之外还包括了本发明提供的控制装置4。本领域技术人员理解,该控制装置4可以具体参考图5所示实施例以及变化例来实现,该控制装置4主要用于生成一次性验证信息并进一步发出验证请请求,还可以包括上述图5所示实施例中所描述的其它功能。通过增加该控制装置4使得通过该移动电话91可以完成安全的用户身份验证过程,从而使得登录网络银行、执行电子商务操作、登录信息管理系统等过程变得可靠、安全。本领域技术人员理解,上述移动电话91与现有技术相区别之处主要在于增加了该控制装置4,其它组件则可以参考现有技术来实现,在此不予赘述。
进一步地,本领域技术人员理解,上述控制装置4可以通过硬件方式实现,例如在该移动电话91中增加一个特定的芯片,用来实现上述图1至图5中所阐述的应由所述控制装置4完成的功能;也可以通过软件方式实现,例如在所述移动电话91中安装一个不能被更改的软件来实现上述图1至图5中所阐述的应由所述控制装置4完成的功能,这并不影响本发明的实质内容,在此不予赘述。
进一步地,上述处理终端可以是多种设备,例如还可以是POS、ATM、台式计算机、笔记本计算机、机顶盒或者其它具有计算处理功能的移动终端。具体地,所述处理终端根据不同的应用而变化,只要在需要对用户身份进行验证的系统中,都可以使用本发明提供的实施例,并对应地应用于相应的处理终端上。例如应用于上述的ERP系统时,则所述处理终端优选地是任何一台安装有上述控制装置4的计算机(例如具有自主计算能力的计算机,或者不具有计算能力的终端机);又例如,应用于集成电路卡处理系统时,例如公交卡收费管理系统,则该处理终端就是公交卡;又例如应用于银行处理系统时,则该处理终端就是银行卡,可以是磁条卡或者IC卡。参考上述描述,本领域技术人员可以实现这样的处理终端,在此不予赘述。
本发明基于静态口令的多应用、多算法选择、多实现方式的挑战应答式身份认证方法,以保护静态口令的安全,并可以有效的防窃取、防钓鱼、防重放攻击。与现有技术相比,本发明至少具有以下优点:
(1)防密码窃取,由于用户每次认证的口令都是不同的,所以通过网络监听等手段窃取密码是没有意义的;
(2)防重放攻击,攻击者可以窃听上述一次性口令,但是由于加入了挑战因子,其重放攻击也是不可行的;
(3)防钓鱼,由于上述两点,钓鱼是没有意义的;
(4)根据密码算法的选择,有效的密码算法还可以抵抗现有的差分攻击、线性分析等多种攻击;
(5)多应用,本发明一个客户端可以用于银行卡、Email账户、游戏账户等做种应用、多个系统的身份认证;
(6)多实现方式,本发明可以用专用硬件实现、也可以以软件方式安装于手机、PDA等;
(7)多算法选择,MD5、SHA1、3DES、AES等安全算法都可以来实现,并且可以根据应用不同采用不同算法;
(8)网站只需极少量的改造就可以支持,并且可以新旧两种认证凡是并存过渡,对用户影响很小。
例如,与现有技术中常用的存储在USB-Key中的证书认证方法相比较,该认证方法实际上仍然是一种被动的认证方式,即通过计算机来控制USB-Key的使用,进一步完成身份认证操作。其中存在用户使用不便、网站改造较大、难以实现多应用、不能有效防止钓鱼/木马攻击等问题,通过本发明提供的实施例得到了解决。
本领域技术人员理解,当本发明所述的处理终端是一张集成电路卡时,则实现该集成电路卡的过程至少可以在现有集成电路卡的基础上参考《中华人民共和国国家标准“集成电路IC卡读写器机通用规范”GB778239-2000》、《ISO-7816》、《中国金融集成电路(IC)卡规范PBOC2.0》等文献来完成,在此不予赘述。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变形或修改,这并不影响本发明的实质内容。
Claims (37)
1.一种在处理终端中用于对用户身份进行验证的控制方法,其中,包括如下步骤:
a.获取一次性验证信息;
b.将所述一次性验证信息发送给与所述处理终端相适应的用户身份认证系统;
其特征在于,所述一次性验证信息由所述处理终端生成。
2.根据权利要求1所述的方法,其中,所述步骤a之前还包括如下步骤:
i.生成所述一次性验证信息;
3.根据权利要求2所述的方法,其中,所述步骤i包括如下步骤:
i1.接收用户输入的静态口令;
i2.根据所述静态口令以及第一可变因子生成所述一次性验证信息,其中,所述第一可变因子由所述处理终端与所述用户身份认证系统约定。
4.根据权利要求2所述的方法,其中,所述步骤i包括如下步骤:
i1′.接收用户输入的静态口令;
i2′.根据所述静态口令、第一可变因子以及挑战因子生成所述一次性验证信息,其中,所述第一可变因子由所述处理终端与所述用户身份认证系统约定,所述挑战因子由所述用户身份认证系统生成并提供给所述处理终端。
5.根据权利要求3或4所述的方法,其中,所述步骤i2和/或i2′之后还包括如下步骤:
-获取所述用户身份认证系统的公钥;
-根据所述用户身份认证系统的公钥对所述一次性验证信息进行加密,并将所述加密后的信息作为所述一次性验证信息。
6.根据权利要求2至5中任一项所述的方法,其中,所述步骤i之后还包括如下步骤:
-通过显示装置显示所述一次性验证信息。
7.根据权利要求1至6中任一项所述的方法,其中,所述步骤a包括如下步骤:
-接收用户输入的所述一次性验证信息。
8.一种在处理终端中用于对用户身份进行验证的控制装置,其特征在于,包括:
第一获取装置,用于获取一次性验证信息;以及
第一发送装置,用于将所述一次性验证信息发送给与所述处理终端相适应的用户身份认证系统;
其特征在于,所述一次性验证信息由所述处理终端生成。
9.根据权利要求8所述的控制装置,其中,还包括:
第一生成装置,用于生成所述一次性验证信息。
10.根据权利要求9所述的控制装,其中,所述第一生成装置包括:
第一接收装置,用于接收用户输入的静态口令;以及
第二生成装置,用于根据所述静态口令以及第一可变因子生成所述一次性验证信息,其中,所述第一可变因子由所述处理终端与所述用户身份认证系统约定。
11.根据权利要求9所述的控制装置,其中,所述第一生成装置包括:
第二接收装置,用于接收用户输入的静态口令;以及
第三生成装置,用于根据所述静态口令、第一可变因子以及挑战因子生成所述一次性验证信息,其中,所述第一可变因子由所述处理终端与所述用户身份认证系统约定,所述挑战因子由所述用户身份认证系统生成并提供给所述处理终端。
12.根据权利要求3或4所述的方法,其中,所述步骤i2和/或i2′之后还包括如下步骤:
第二获取装置,用于获取所述用户身份认证系统的公钥;以及
第一加密装置,用于根据所述用户身份认证系统的公钥对所述一次性验证信息进行加密,并将所述加密后的信息作为所述一次性验证信息。
13.根据权利要求9至12中任一项所述的控制装置,其中,还包括:
显示控制装置,用于通过显示装置显示所述一次性验证信息。
14.根据权利要求8至13中任一项所述的控制装置,其中,所述获取装置包括:
第五接收装置,用于接收用户输入的所述一次性验证信息。
15.一种在用户身份认证系统中对用户身份进行验证的辅助控制方法,其中,包括如下步骤:
A.接收来自处理终端的一次性验证信息;
B.判断所述一次性验证信息是否通过验证;
C.若所述一次性验证信息通过验证,则确认所述用户身份验证通过;
其特征在于,所述一次性验证信息由所述处理终端生成。
16.根据权利要求15所述的辅助控制方法,其中,所述步骤B包括如下步骤:
B1.判断所述一次性验证信息与验证基准信息是否一致;
其中,所述步骤C包括如下步骤:
-若所述一次性验证信息与验证基准信息一致,则确认所述用户身份验证通过。
17.根据权利要求16所述的辅助控制方法,其中,所述验证基准信息由所述用户身份认证系统生成,且所述步骤B1包括如下步骤:
B11.根据静态口令以及第二可变因子生成所述验证基准信息,其中,所述静态口令由所述处理终端对应的用户预先设定,所述第二可变因子由所述处理终端与所述用户身份认证系统约定;
B12.判断所述一次性验证信息与验证基准信息是否一致。
18.根据权利要求16所述的辅助控制方法,其中,所述验证基准信息由所述用户身份认证系统生成,且所述步骤B包括如下步骤:
B11′.根据静态口令、第二可变因子以及挑战因子生成所述验证基准信息,其中,所述静态口令由所述处理终端对应的用户预先设定,所述第二可变因子由所述处理终端与所述用户身份认证系统约定,所述挑战因子由所述用户身份认证系统生成;
B12′.判断所述一次性验证信息与验证基准信息是否一致。
19.根据权利要求15所述的辅助控制方法,其中,所述步骤B包括如下步骤:
B1′.获取所述用户身份认证系统的私钥;
B2′.根据所述用户身份认证系统的私钥对所述一次性验证信息进行解密;
B3′.对所述解密后的一次性验证信息中包含的静态密码进行验证;
B4′.判断所述解密后的一次性验证信息中包含的静态密码是否通过验证;
其中,所述步骤C包括如下步骤:
-若所述解密后的一次性验证信息中包含的静态密码通过验证,则确认所述用户身份验证通过。
20.一种在用户身份认证系统中对用户身份进行验证的辅助控制装置,其特征在于,包括:
第三接收装置,用于接收来自处理终端的一次性验证信息;
第一判断装置,用于判断所述一次性验证信息是否通过验证;以及
第一确定装置,用于当所述一次性验证信息通过验证时确认所述用户身份验证通过;
其特征在于,所述一次性验证信息由所述处理终端生成。
21.根据权利要求20所述的辅助控制装置,其中,所述第一判断装置包括:
第四判断装置,用于判断所述一次性验证信息与验证基准信息是否一致;
其中,所述第一确定装置包括:
第二确定装置,用于当所述一次性验证信息与验证基准信息一致时确认所述用户身份验证通过。
22.根据权利要求21所述的辅助控制装置,其中,所述验证基准信息由所述用户身份认证系统生成,且所述第四判断装置包括:
第四生成装置,用于根据静态口令以及第二可变因子生成所述验证基准信息,其中,所述静态口令由所述处理终端对应的用户预先设定,所述第二可变因子由所述处理终端与所述用户身份认证系统约定;以及
第二判断装置,用于判断所述一次性验证信息与验证基准信息是否一致。
23.根据权利要求21所述的辅助控制装置,其中,所述验证基准信息由所述用户身份认证系统生成,且所述第四判断装置包括:
第五生成装置,用于根据静态口令、第二可变因子以及挑战因子生成所述验证基准信息,其中,所述静态口令由所述处理终端对应的用户预先设定,所述第二可变因子由所述处理终端与所述用户身份认证系统约定,所述挑战因子由所述用户身份认证系统生成;以及
第三判断装置,用于判断所述一次性验证信息与验证基准信息是否一致。
24.根据权利要求20所述的辅助控制装置,其中,所述第一判断装置包括:
第三获取装置,用于获取所述用户身份认证系统的私钥;
第一解密装置,用于根据所述用户身份认证系统的私钥对所述一次性验证信息进行解密;
第一验证装置,用于对所述解密后的一次性验证信息中包含的静态密码进行验证;以及
第五判断装置,用于判断所述解密后的一次性验证信息中包含的静态密码是否通过验证;
其中,所述第一确定装置包括:
第二确定装置,用于当所述解密后的一次性验证信息中包含的静态密码通过验证时确认所述用户身份验证通过。
25.根据权利要求1至24中任一项所述的方法或装置,其中,所述生成一次性验证信息的过程与生成验证基准信息的过程通过如下算法中的任一个完成:
-MD5;
-SHA0;
-MD4;
-MD2;
-DES;
-3DES;
-AES或
-SHA1。
26.根据权利要求25所述的方法或装置,其中,在所述算法之前还包括规范化处理,所述规范化处理用于对所述静态口令和/或可变因子和/或挑战因子进行处理,以使得这些参数均符合所述算法的输入规范。
27.根据权利要求25或26所述的方法或装置,其中,在所述算法之后还包括格式化处理,所述格式化处理用于根据预定规则从所述算法的输出内容中选择预定的数据位以组成一个新的一次性验证信息。
28.根据权利要求1至27中任一项所述的方法或装置,其中,所述一次性验证信息包括一次性密码。
29.根据权利要求4至28中任一项所述的方法或装置,其中,所述第一可变因子与第二可变因子符合下述条件中的任一个:
-两者的误差在第一阈值范围内;或者
-两者相等。
30.根据权利要求29所述的方法或装置,其中,所述第一可变因子和第二可变因子包括如下参数中的任一个:
-当前时间;
-当前会话的标识信息;或者
-所述处理终端发起用户身份验证请求的次数。
31.根据权利要求4至30中任一项所述的方法或装置,其中,所述挑战因子包括所述用户身份认证系统生成的随机数。
32.根据权利要求31所述的方法或装置,其中,所述挑战因子以图形验证码的方式出现。
33.一种处理终端,其特征在于,包括根据权利要求8至14中任一项所述的控制装置。
34.根据权利要求1至33中任一项所述的方法或装置,其中,所述处理终端包括如下设备中的任一种:
-POS;
-ATM;
-台式计算机;
-笔记本计算机;或者
-具有计算处理功能的移动终端。
35.根据权利要求1至34中任一项所述的方法或装置,其中,所述处理终端包括带有通讯接口的集成电路卡,其中,通过该通讯接口所述集成电路卡可以与所述用户身份认证系统通讯。
36.根据权利要求35所述的处理终端,其中所述集成电路卡还包括输入装置,用户通过所述输入装置输入所述静态口令。
37.根据权利要求1至36中任一项所述的方法或装置,其中,所述用户身份认证系统是支付处理系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100360942A CN101425901A (zh) | 2008-04-16 | 2008-04-16 | 一种在处理终端中用于对用户身份验证的控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008100360942A CN101425901A (zh) | 2008-04-16 | 2008-04-16 | 一种在处理终端中用于对用户身份验证的控制方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101425901A true CN101425901A (zh) | 2009-05-06 |
Family
ID=40616257
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008100360942A Pending CN101425901A (zh) | 2008-04-16 | 2008-04-16 | 一种在处理终端中用于对用户身份验证的控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101425901A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104205121A (zh) * | 2012-03-28 | 2014-12-10 | 罗伯特·博世有限公司 | 编程认证方法、具有用于执行该编程认证方法的结构的蓄电池以及具有这种蓄电池的机动车 |
| CN104618325A (zh) * | 2014-12-19 | 2015-05-13 | 中国印钞造币总公司 | 一种用于电子签封的安全传输方法及装置 |
| CN105871901A (zh) * | 2016-05-25 | 2016-08-17 | 深圳时瑞鸿科技有限公司 | 动态物联网安全加密的方法 |
| CN109508993A (zh) * | 2018-10-16 | 2019-03-22 | 珠海横琴现联盛科技发展有限公司 | 基于防篡改加密算法的个人身份信息匹配方法 |
| CN110136285A (zh) * | 2019-04-01 | 2019-08-16 | 浙江职信通信科技有限公司 | 一种智能巡河系统 |
| CN114553445A (zh) * | 2020-11-10 | 2022-05-27 | 腾讯科技(深圳)有限公司 | 设备方法、装置、电子设备及可读存储介质 |
-
2008
- 2008-04-16 CN CNA2008100360942A patent/CN101425901A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104205121A (zh) * | 2012-03-28 | 2014-12-10 | 罗伯特·博世有限公司 | 编程认证方法、具有用于执行该编程认证方法的结构的蓄电池以及具有这种蓄电池的机动车 |
| CN104618325A (zh) * | 2014-12-19 | 2015-05-13 | 中国印钞造币总公司 | 一种用于电子签封的安全传输方法及装置 |
| CN105871901A (zh) * | 2016-05-25 | 2016-08-17 | 深圳时瑞鸿科技有限公司 | 动态物联网安全加密的方法 |
| CN105871901B (zh) * | 2016-05-25 | 2019-09-20 | 深圳时瑞鸿科技有限公司 | 动态物联网安全加密的方法 |
| CN109508993A (zh) * | 2018-10-16 | 2019-03-22 | 珠海横琴现联盛科技发展有限公司 | 基于防篡改加密算法的个人身份信息匹配方法 |
| CN110136285A (zh) * | 2019-04-01 | 2019-08-16 | 浙江职信通信科技有限公司 | 一种智能巡河系统 |
| CN114553445A (zh) * | 2020-11-10 | 2022-05-27 | 腾讯科技(深圳)有限公司 | 设备方法、装置、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11720943B2 (en) | Trusted remote attestation agent (TRAA) | |
| US11842350B2 (en) | Offline authentication | |
| CN113038471B (zh) | 用于设备推送供应的系统和方法 | |
| US10120993B2 (en) | Secure identity binding (SIB) | |
| US9467292B2 (en) | Hardware-based zero-knowledge strong authentication (H0KSA) | |
| US9886688B2 (en) | System and method for secure transaction process via mobile device | |
| US8650614B2 (en) | Interactive phishing detection (IPD) | |
| US11108558B2 (en) | Authentication and fraud prevention architecture | |
| US20160117673A1 (en) | System and method for secured transactions using mobile devices | |
| CN112805737A (zh) | 用于令牌邻近交易的技术 | |
| US20100306076A1 (en) | Trusted Integrity Manager (TIM) | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| US10504110B2 (en) | Application system for mobile payment and method for providing and using mobile means for payment | |
| JP2017530586A (ja) | クライアントをデバイスに対して認証するシステム及び方法 | |
| TWI591553B (zh) | Systems and methods for mobile devices to trade financial documents | |
| WO2015161690A1 (zh) | 数据安全交互方法和系统 | |
| CN101334884A (zh) | 提高转账安全性的方法和系统 | |
| CN101425901A (zh) | 一种在处理终端中用于对用户身份验证的控制方法及装置 | |
| WO2023056569A1 (en) | A method and a validation device for executing blockchain transactions | |
| CN117981274A (zh) | 远程身份交互 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: SHENZHOU RONG AN TECHNOLOGY (BEIJING) CO., LTD. Free format text: FORMER OWNER: FENG BEI Effective date: 20120111 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 200135 PUDONG NEW AREA, SHANGHAI TO: 100086 HAIDIAN, BEIJING |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20120111 Address after: 100086, No. 7, block A, building 2, digital building, No. 701-702 South Avenue, Beijing, Haidian District, Zhongguancun Applicant after: China Science and Technology (Beijing) Co., Ltd. Rong'an Address before: 200135, No. 800, Lane 38, Jinxiu Road, Shanghai, Pudong New Area Applicant before: Feng Bei |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090506 |