訪問數(shù)據(jù)網(wǎng)絡(luò)上服務(wù)的用戶帳戶的認證方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于訪問數(shù)據(jù)網(wǎng)絡(luò)上服務(wù)的用戶帳戶的認證方法��,涉及實施這種服務(wù)的裝置和安全裝置的管理器�����。更具體地��,本發(fā)明應(yīng)用于用于訪問這種用戶帳戶的用戶多因素認證����。
【背景技術(shù)】
[0002]被接納在數(shù)據(jù)網(wǎng)絡(luò)(例如因特網(wǎng))上并且通過裝置或同樣被連接到數(shù)據(jù)網(wǎng)絡(luò)的詢問終端用戶可訪問的服務(wù)日漸增多����。
[0003]該詢問裝置可為個人計算機、智能型移動電話(英文為Smartphone)�,作為個人計算機的平板計算機,包括觸摸屏和通常未被設(shè)置有鍵盤或被連接到通信網(wǎng)絡(luò)的所有其它類型終端��,且能夠使用戶與服務(wù)交互���。
[0004]這種服務(wù)為被接納在被連接到數(shù)據(jù)網(wǎng)絡(luò)的一個或多個服務(wù)上的一套軟件����。該套軟件被編程以接收來自詢問裝置的請求和以提供所考慮服務(wù)的方式進行應(yīng)答。該服務(wù)例如為銀行服務(wù)����,又或社交網(wǎng)絡(luò)。
[0005]對這種服務(wù)的訪問可請求對詢問裝置用戶的認證�����。在該情況下��,服務(wù)通常與用戶或用戶帳戶的數(shù)據(jù)庫聯(lián)合運行�����。
[0006]而且���,為了訪問該服務(wù)�����,用戶被邀請?zhí)峁┡c該服務(wù)相關(guān)的數(shù)據(jù)庫的用戶帳戶之一相關(guān)聯(lián)的一個或多個認證信息����。一旦認證,如果該服務(wù)關(guān)聯(lián)銀行�����,用戶可例如訪問其銀行帳戶�����,或如果該服務(wù)關(guān)聯(lián)社交網(wǎng)絡(luò)時訪問個人簡檔���。
[0007]認證需要用戶輸入已知的秘密信息,例如與用戶的用戶帳戶相關(guān)聯(lián)的口令��。在該情況下�����,對于�����,認證僅在秘密信息和該服務(wù)關(guān)聯(lián)的數(shù)據(jù)庫中為相關(guān)用戶帳戶記錄的信息相對應(yīng)時才有效����。
[0008]然而���,通過秘密信息對用戶的傳統(tǒng)認證對于保證訪問該服務(wù)的安全來說有時是不夠的。
[0009]例如��,經(jīng)常有用戶使用相同的信息�����,通常是相同的口令����,用于保護其對不必相互關(guān)聯(lián)的不同服務(wù)的訪問。而且��,在該信息被發(fā)觀的情況下���,惡意實缽會作為用戶通過口令訪問這個或這些服務(wù)��。
[0010]為了使用戶認證復(fù)雜化以及改善訪問如前述的服務(wù)的安全性�,可實施多因素認證方法�。
[0011]提供這些方法大部分用于用戶已知的秘密信息(如口令)和用戶自身特征化的信息的關(guān)聯(lián)使用,用戶自身特征化的信息通常為生物識別信息(如數(shù)字指紋��、眼睛虹膜)和/或通過顯示給用戶的目標物得到的信息(例如用戶終端上顯示的代碼)���。
[0012]與單一因素(使用單一型信息)的傳統(tǒng)認證方法相反����,惡意實體發(fā)現(xiàn)的不同類型信息其中之一通常不能夠訪問被保護的服務(wù)。
[0013]然而���,如果能夠改善認證安全性,這些信息的獲得經(jīng)常干擾希望訪問服務(wù)的用戶�,這可能會影響用戶體驗。
[0014]因此�����,存在以盡可能對用戶透明的方式來改善現(xiàn)存認證處理方法安全性的需要�����。
【發(fā)明內(nèi)容】
[0015]本發(fā)明的目的在于克服這些缺點中的至少一個��。
[0016]在本文中�,本發(fā)明的第一方面涉及用于訪問數(shù)據(jù)網(wǎng)絡(luò)上的服務(wù)的用戶帳戶的認證方法,所述方法包括如下步驟:
[0017]由服務(wù)接收所述服務(wù)的詢問裝置方的請求����,所述請求包括第一認證信息�,
[0018]由服務(wù)接收由認證安全裝置的管理器發(fā)送的信息�,由所述服務(wù)接收的信息基于來自與用戶帳戶相關(guān)的安全裝置的第二認證信息,和
[0019]由所述服務(wù)基于第一認證信息和從認證安全裝置的管理器接收的信息進行認證����。
[0020]而且,本發(fā)明的方法使能夠改善認證安全性����。
[0021]事實上,認證尤其取決來自兩個不同裝置�,即詢問裝置和與用戶帳戶相關(guān)聯(lián)的安全裝置的兩個認證信息。
[0022]另外�,由于通過安全裝置發(fā)送的請求觸發(fā)了獲得對于用戶多因素認證所需的其它信息,無需建議或使用戶發(fā)送該補充信息��,改善了用戶體驗�����,��。
[0023]而且�����,本方法對用戶來說在表面上與傳統(tǒng)認證方法相似,但本認證方法實際上更安全�����。請求不限于服務(wù)的開啟或起始�。還可由用戶從詢問裝置來使用該服務(wù)。
[0024]根據(jù)本發(fā)明實施方式的方法的其它特征描述于附屬權(quán)利要求中��。
[0025]在一些實施方式中��,可通過管理器實施認證步驟����,尤其在服務(wù)整合有管理器功能的實施例中��。
[0026]在本發(fā)明的【具體實施方式】中��,響應(yīng)于管理器向安全裝置發(fā)送的請求��,由管理器接收笫二信息�����。
[0027]在變化形式中,在安全裝置被連接時���,由安全裝置向管理器自發(fā)地發(fā)送第二認證信息�。
[0028]在本發(fā)明的【具體實施方式】中�����,通過服務(wù)接收的所述信息對應(yīng)于由安全裝置發(fā)送的第二認證信息�。
[0029]而且,針對使用者的認證��,服務(wù)本身實施對第一和第二認證信息的驗證��。
[0030]在變化形式中��,所述管理器驗證從安全裝置接收的第二認證信息����,以及在于管理器向服務(wù)發(fā)送的信息對應(yīng)于該驗證的結(jié)果。
[0031]而且���,管理器自身驗證第二認證信息并將該驗證結(jié)果(信息)傳送給服務(wù)���。
[0032]在本發(fā)明的【具體實施方式】中���,第二認證信息包括安全裝置的位置信息。
[0033]在本發(fā)明的【具體實施方式】中����,位置信息包括在局域網(wǎng)和接納服務(wù)的數(shù)據(jù)網(wǎng)絡(luò)之間的網(wǎng)關(guān)地址,所述局域網(wǎng)包括安全裝置和詢問裝置��。
[0034]在這些實施方式中�����,詢問裝置和安全裝置屬于同一局域網(wǎng)��,且可被相同的公共地址(即網(wǎng)關(guān)地址)針對接納服務(wù)的數(shù)據(jù)網(wǎng)絡(luò)表征���。反之,被連接到局域網(wǎng)的各個裝置將在局域網(wǎng)中具有其本身的專用地址��,但是該專用地址不總是被如管理器或服務(wù)的數(shù)據(jù)網(wǎng)絡(luò)裝置所知�。
[0035]而且,在局域網(wǎng)和數(shù)據(jù)網(wǎng)絡(luò)之間的網(wǎng)關(guān)地址構(gòu)成認證補充因素��,這能夠使訪問服務(wù)更加安全�����。
[0036]在變化形式中,位置信息可為地理坐標或地理方位標的組合�����。這些信息可為GPS定位��、或者GSM三角定位(GSM定位)又或W1-Fi定位給出的數(shù)據(jù)���。
[0037]在本發(fā)明的【具體實施方式】中��,所述第二認證信息包括僅基于安全裝置中存儲的密鑰的使用代碼����。
[0038]在本發(fā)明的【具體實施方式】中�����,通過安全裝置發(fā)起的持續(xù)連接將安全裝置連接到管理器上���。
[0039]而且�,在這些方式中�����,可以與詢問裝置相獨立的方式直接與管理器和安全裝置相通信,以使用戶得到認證�����。
[0040]在本發(fā)明的【具體實施方式】中���,安全裝置與用戶帳戶的關(guān)聯(lián)包括如下步驟:
[0041]在詢問裝置上輸入在安全裝置上顯示的代碼��,
[0042]通過詢問裝置將輸入的代碼發(fā)送到服務(wù)��,和
[0043]由服務(wù)激活關(guān)聯(lián)���。
[0044]這些步驟旨在進行安全裝置和用戶帳戶的預(yù)先關(guān)聯(lián)。
[0045]輸入的代碼基于安全裝置的唯一識別碼�。
[0046]而且,代碼能夠例如通過對照表找到安全裝置���。更具缽她,輸入的代碼直接對應(yīng)于安全裝置的唯一識別碼��。而且�����,代碼直接指示安全裝置。
[0047]在變化形式中���,輸入的代碼可基于顏色代碼����,或顯示于安全裝置上的號碼�����,獨立于安全裝置(或至少與其識別碼不同)���。
[0048]而且��,通過詢問裝置輸入該代碼并發(fā)送給服務(wù)�,接下來在安全裝置上進行取回���,這能夠表明安全裝置被有效地與服務(wù)的用戶帳戶相耦合����。
[0049]輸入可以是寫入或語音的(口述)����。該代碼可以是暫時的��,例如被顯示在安全裝置上����,或在變化形式中是永久性的��,例如被印刷或雕刻在安全裝置上���。
[0050]由服務(wù)輸入和接收的代碼可被與用戶帳戶相關(guān)聯(lián)地存儲在與服務(wù)關(guān)聯(lián)的數(shù)據(jù)庫中�。
[0051]安全裝置與用戶帳戶的關(guān)聯(lián)另外可包括如下步驟:
[0052]將服務(wù)接收的代碼發(fā)送給安全裝置的管理器����,和
[0053]通過管理器驗證所接收的代碼。
[0054]而且���,裝置與用戶帳戶的關(guān)聯(lián)同樣是更安全的��。反之���,服務(wù)自身通過與其相關(guān)聯(lián)的數(shù)據(jù)庫的協(xié)作來驗證代碼。
[0055]通過與服務(wù)識別碼相關(guān)聯(lián)將由管理器驗證的代碼存儲在與管理相關(guān)聯(lián)的數(shù)據(jù)庫中。
[0056]在本發(fā)明的【具體實施方式】中�,由管理器接收第二認證信息要求詢問裝置的用戶的確認��。
[0057]例如����,可在認證中加入用戶位置因素。
[0058]例如�����,確認可在于按壓另一裝置上的按鍵���,又或提供如獅子指紋的生物信息���。可以對用戶認證考慮補充因素(例如指紋��、視網(wǎng)膜等的有效性)��。
[0059]生物識別驗證涉及補充信用級別��,尤其能夠證明用戶在認證信息發(fā)送時存在��。
[0060]例如��,可在認證中加入用戶位置因素。
[0061]本發(fā)明的第二方面涉及實施數(shù)據(jù)網(wǎng)絡(luò)上的服務(wù)的裝置��,所述裝置包括:
[0062]接收所述服務(wù)的詢問裝置方的請求的裝置��,所述請求包括第一認證信息�,
[0063]接收由認證安全裝置的管理器發(fā)送的信息的裝置,由所述服務(wù)接收的信息基于來自與用戶帳戶相關(guān)的安全裝置的第二認證信息���,和
[0064]基于第一認證信息和認證安全裝置的管理器接收的信息的認證裝置�。
[0065]本發(fā)明的第三方面涉及認證安全裝置的管理器���,用于訪