CN101689236B - 安全登录协议 - Google Patents
安全登录协议 Download PDFInfo
- Publication number
- CN101689236B CN101689236B CN200880017918XA CN200880017918A CN101689236B CN 101689236 B CN101689236 B CN 101689236B CN 200880017918X A CN200880017918X A CN 200880017918XA CN 200880017918 A CN200880017918 A CN 200880017918A CN 101689236 B CN101689236 B CN 101689236B
- Authority
- CN
- China
- Prior art keywords
- group
- data elements
- secret
- data
- subclass
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Communication Control (AREA)
- Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Collating Specific Patterns (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Memory System Of A Hierarchy Structure (AREA)
- Steroid Compounds (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
本发明提供了一种生成机密的方法,该机密用于在服务器上认证用户。使用通过服务器产生的两个数据组之间的数据关联,用户可提供使用基于钥匙号和来自一个数据组的要素群的选择来提供机密,凭借数据关联,所选择的数据要素群具有相对应的来自其他数据组的要素群。机密被发送到服务器。服务器执行相似的机密提供,如果来自客户机的机密与服务器提供的机密完全相同,则授权用户访问服务器上的信息。
Description
技术领域
本发明涉及服务器上的用户认证。
背景技术
互联网包括大量的需要客户端用户登录的在线服务。单个客户端用户的访问在线服务通常依赖于登录(login),登录传统上包括“用户名”和“密码”。如果在线***后面的服务器***“发现”了具有访问在线服务权限的客户的列表中的客户端用户的用户名和密码,则用户名和密码被视为在为客户端用户联合“打开”在线服务的两个键。
如果服务器***只是依赖于对于登录而言的两个标准,例如“用户名”和“密码”,则将会授权给向服务器***提交了有效的“用户名”和“密码”的客户端用户访问。这意味着,如果客户端用户丢失了他对于给定的在线服务的用户名和密码,则获得该用户名和密码的发现者将会能够访问该在线服务。
最普遍地,客户端用户将把他们自己的用户名和密码丢失给没有客户端用户的允许就在该用户的计算机上保存的非法程序,并且当用户在登录到特定的在线服务的过程中将会把用户的键击记录到日志中。随后,非法程序将会把所收集的键击经由互联网发送到未经授权的个人,并且随后该个人就获得了对在线服务的访问。
发明内容
本发明实现了在服务器计算机上对用户的安全认证。这对于作为部分家庭银行登录流程的实例是非常有帮助的。
本发明的第一方面是,一种提供在认证处理中使用的客户端计算机上的机密的方法。该方法包括:
客户端计算机从服务器计算机接收代表如下的信息:
第一组数据要素,
第二组数据要素,以及
第一组和第二组的数据关联,通过所述数据关联,来自第一组的数据要素唯一地关联第二组中的数据要素;
提供包括来自第一组数据要素的数据要素选择的第一子集;
客户端计算机提供第二子集的数据要素,第二子集包括通过所述数据关联与第一子集中的数据要素相关联的第二组数据要素中的那些数据要素;
通过评价基于来自第二子集的要素的加密算法和预定的加密数据要素的方式提供机密。
第一组数据要素可以是图片或一组音频文件或其他信息。第二组数据要素例如是一组整数。在这样的情形下,数据关联可以是图像的编号。服务器计算机提供数据关联。包括第一组(例如图像)、第二组(例如整数)、以及数据关联(图像和号码之间的映射)的信息被发送给客户端计算机。有利地,服务器计算机随机地形成数据关联。机密被用作登录到服务器计算机的通行键(passkey)。其他的第二组数据要素通常包括十六进制的号码(包括字母A-F和整数0-9的组合),或是包括来自ASCII的另一组字符。它们都可被转换为位串并且由此可在加密算法中使用。
第一数据组的要素的数目可以是100,并且从下面提供的示例中可以明显地看出,第一子集有利地是(第一组数据要素中的)恰当的子集,这意味着存在第一子集中没有包含的第一子集中的要素。(凭借一对一关联的数据关联,第二子集可以是第二组数据要素中的恰当的子集)。
所述信息典型地在互联网和/或其他网络上被发送。在家庭银行情形下,网络典型地包括互联网。
如下面的示例所示,可以从许多不同的加密方法中选择加密算法。在图像被编号的情形下,选择将会实现包括通过基于第一子集的数据关联确定的数字的第二子集。这些还可通过任意方式来组合,诸如通过串接(concatenate),通过将它们累加在一起,通过形成它们的乘积等,通过对第二子集的要素的位表示的直接的位操作等。最后,结果和加密数据要素(其例如是数字、ASCII字符等)都可通过一种或另一种方式通过位串来表示,由此可以在数学上处理。加密可例如包括使加密数据要素乘以组合后的一组编号,或是使两者相加,如参考组合来自第二组的要素所讨论的一样。选择方式众多。该处理通常被称为一次衬垫(one-time-pad),并且作为数字(来自第二子集的要素)的组合的结果被加密(从平面视图中被隐藏)。仅当得知加密数据要素和一组号码的组合时才获得机密-加密的结果。加密(算法)无需是可反转的。有利地,在不是可反转的情形下,既不能获得第二子集也不能获得加密数据要素。
为了实现该方法,通过第一用户界面表示部分的第一组数据要素、和/或部分的第二组数据要素、和/或部分的所述数据关联。提供整个数据组合数据关联是最简单的可选方式。这里的用户界面可例如是显示器(例如,通过计算机屏幕上的互联网浏览器)或扬声器。因此,数据组和数据关联对于用户是可利用的。用户可随后通过简单地观看数据关联或是通过点击一个或多个图像来提供选择,诸如在可对各个图像作出点击或是其他方式的选择(单选按钮、复选标记、可接触等)的浏览器上,以获得第二子集。例如,通过麦克风装置经由声音界面(声音识别)执行上述选择。
当今,把键记入日志是普遍存在的问题。为了避免将加密数据要素记入日志,有利地手动向评价单元提供第二子集,该评价单元可访问预定的加密数据要素并且执行所述评价和提供所得到的机密。可选地,用户还可手动地将加密数据要素和第二子集或是它的一部分一起提供给评价单元。这样的评价单元对于计算器类型的设备是有利的,诸如简单的计算器或具有特殊用途的计算单元。可执行适当指定的软件的移动电话是用于评价和提供机密目的的单元的另一示例。当将第二子集已经键入到加密单元中时,加密单元响应地提供机密。加密单元可以是和客户端计算机相连的可操作数据串接,由此可将机密电子发送到客户端计算机,或是它独立于客户端计算机并且被独立地操作。通过分离评价单元和客户端计算机,可避免客户端计算机上的把键记入日志问题。在上述情形下,用户界面可允许用户获得所确定的机密,例如通过评价单元从视觉上或听觉上获得。
本发明的第二方面提供了一种认证方法。客户端计算机的用户希望登录到服务器计算机上。该方法包括:
服务器计算机从客户端计算机接收认证请求;
服务器计算机形成代表第一组数据要素、第二组数据要素、以及第一组和第二组之间的数据关联的信息,来自第一组的数据要素通过所述数据关联与来自第二组的数据要素唯一地相关联;
服务器计算机向客户端计算机提供所述信息;
服务器响应向客户端计算机提供所述信息来接收第一机密;
服务器通过评价基于来自第二组的数据要素的预定子集的加密算法和预定的加密数据要素来提供第二机密;
服务器比较第一机密和第二机密,并且如果第一机密和第二机密完全相同则提供肯定的认证指示。
如前所述,客户端计算机可提供机密(第一机密)。该第一机密是基于从第一组数据要素中的数据要素中在客户端计算机上的选择。无论上述选择如何,有利地都可确定第一机密。服务器计算机包括预定子集的数据要素,其自身被称为归属于用户的“密码”。仅当客户端计算机上选择的子集与预定的子集完全相同时,第一机密(从客户端计算机接收到的机密)才与基于预定子集的数据要素计算出来的服务器的第二机密完全相同。在银行情形下,客户端计算机的用户提供某种类型的身份标识,诸如用户名或帐户号。在服务器上,这种身份标识与特定的预定子集紧密相关。以上述方式,各个用户都具有来自第一组的数据要素的偏爱选择。这将会在后面举例说明。
为了提高安全性,如果第一机密和第二机密不完全相同,则服务器使用另一数据关联来替代所述数据关联。由于即使从客户端计算机选择了第一组中相同的要素,第二子集中的要素组合仍可是不同的,因此这是有利的。由于这可以极大地降低或消除猜测***值的工作,因此这可以极大地提高安全性。
还可通过仅当客户端计算机的有效IP号码匹配服务器计算机提供的IP号码时,服务器才提供肯定的认证指示的方式,来进一步限制访问。从某些现有的认证***中可以获知这种属性。
在第三方面中,本发明提供了适用于实现参考本发明的第一和第二方面如上所述的其中一种方法的计算机硬件。这种计算机硬件可以完全是专属的,诸如编程的ASIC。可选地,硬件还可包括装载了适当编程后的软件的个人计算机以使该个人计算机操作实现所述方法。
第四方面提供了一种计算机程序产品,包括当在适当的计算机硬件上被执行时,使得该计算机硬件实现根据第一和第二方面所述的其中一种方法的软件。该软件可例如记录在DVD、CD、硬盘驱动器、闪存存储器、或包含该产品的其他存储介质中。
附图说明
图1说明了在根据本发明的认证过程中客户端与服务器之间的数据互换。
图2说明了根据本发明的在机密提供方法中使用的两个数据组。
图3说明了两个数据组之间的数据关联,该数据关联是由服务器所产生的。
图4说明了正在进行认证处理的***。
图5是说明了从开始认证处理到作出认证决定的处理的流程图。
具体实施方式
下面,将会通过示例来说明本发明。本发明是通过第一数据组是一组图像而第二数据组包括整数的示例来作出说明的。数据关联是指第一数据组中的图像与第二数据组中的整数进行的编号。图2说明了包括三个图像211(埃菲尔铁塔)、212(汽车)、213(时钟)的第一数据组210。图2还说明了包括整数“1”(221)、整数“2”(222)和整数“3”(223)的第二数据组220。在实际的场合,图像的编号还可更大,诸如10或50或100。
图1说明了包括客户端计算机110和服务器计算机120的客户端-服务器***。在当前的情形下,用户希望登录到服务器上。两个计算机通过数据网络与网络连接102相连。例如,数据网络可包括与互联网的连接、无线连接等。在当前的示例中,客户端和服务器使用HTTP协议进行通信。
为了开始对于客户端计算机110的用户的认证处理以使用服务器计算机120上的信息,客户机110发送请求“REQ”到服务器120,如图1所示。该请求包括标识信息,诸如用户ID和/或密码、或是其他的标识。该请求使得服务器提供第一数据组S1(图像)、第二数据组S2(整数)、以及将图像与整数相关联的数据关联 。数据关联(“DA”)是由服务器随机产生的。用户和客户端计算机一起产生机密(“sec”),并且该机密被发送到服务器。为了决定是否向用户授权,服务器比较所接收到的机密与基于来自REQ和数据关联DA的标识信息产生的机密。如果上述两个机密吻合,则授权用户访问服务器上的信息。
图3说明了图2所示的第一和第二数据组之间的数据关联310。在接收到来自客户机的请求之后,服务器提供包括关联301、302和303的数据关联。关联301将铁塔211和整数“2”关联,关联302将汽车和整数“3”关联,并且关联303将时钟和整数“1”关联。
数据组210和220以及数据关联310被发送到客户机。为了允许用户继续授权尝试,在与客户端计算机相连的显示器上显示所发送的数据。图4说明了与显示器401和键盘402相连的客户端计算机110。
在认证处理的过程中,显示器示出了例如图4的显示器401上所示的关联,其中整数是按照递增顺序显示的并且在与客户端计算机110相连的显示器401上在这些整数的上方显示所关联的图像。只要能够区分数据关联,则可选择所期望的表现类型和形状。还可省略号码并且显示一次由用户作出的图像选择。
实际的认证是基于两种机制。第一种是用户通过记忆图片的顺序来定义最终的“通行键”。在这个示例中,我们假设通行键包括特定次序的两个图片。例如,用户可选择包括如下次序的“汽车”和“铁塔”的通行键。这对于用户而言是非常重要的(或不重要)。用户可能认为“驾驶汽车去埃菲尔铁塔”是他偏爱的消遣方式。用户随后识别相关联的号码,即如下次序的“3”和“2”。包括他们次序在内的这些号码被称为“作为结果的关联号码”或RAN。
为了获得键,用户通过按照识别出来的号码执行预定算法的方式来获得机密。可选地,如上所述,图像还可是可点击(click)的并且一旦用户点击了“汽车”和“铁塔”,则按照他们正确的次序的表示显示出“3”和“2”。
作为第二种机制,用户还具有在提供机密中被使用的钥匙号(PN)。用户和服务器都知道钥匙号。
作为获得机密的算法的示例包括串接号码并且将钥匙号追加到结果。作为示例,现在假设用户的钥匙号是“51”。与“汽车”和“铁塔”相关联的串接后的号码是“32”,并且所追加的钥匙号给出了结果“83”,这就是图3和图4所示的数据关联的例子中的机密。钥匙号起到了用于隐藏/加密串接后的号码的衬垫的作用。
用户随后在键盘402上键入机密,并且将机密提交给服务器。服务器执行精确的相同计算。通过标识信息(诸如前述的用户ID或帐户号),服务器得知用户是谁并且因此得知在计算机密中将要使用的钥匙号。它已经得知“通行健”(如下次序的“汽车”和“铁塔”),并且使用它自己已经提供的数据关联来计算结果“83”。服务器随后比较机密(结果)与用户所提供的机密(结果)。在这里示例中,上述两个是完全相同的,并且向用户授权。在用户挑选了“铁塔”并且随后是“汽车”的情形下,串接后的结果就是“23”并且作为结果的机密就是“74”,这与服务器计算得到的结果“83”是不完全相同的。服务器将不会允许访问。作为另一示例,如下次序的“汽车”和“时钟”的选择将会给出结果“82”,这也是不正确的。因此将不会允许访问。
算法的上述示例是一个简化示例。为了提高安全性,例如还可以如下方式来修改算法。计算PN3+PN2,其中指数是通过如上所述并且如图3和图4所示的“汽车”和“铁塔”的选择而得到的RAN。算法的选择帮助隐藏钥匙号和RAN。这些方面是在加密领域中所公知的,其中钥匙号通常被称为“一次衬垫”。在上面的示例中,算法的评价结果是135252。
通常使用4位数字的钥匙号并且其可提高安全性。更长的钥匙号可进一步提高安全性。作为示例,当钥匙号是5153时,上述等式的评价结果是136856269986。为了获得“短的”机密,例如通过仅保持结果的前6位数字还可缩短上述结果,诸如初始的六位数字。因此该算法还可进一步包括选择前6位数字的步骤。所得到的客户端机密就是136856,用户将会随后将其提供给客户端计算机,并且接下来将这个机密发送给服务器。服务器将会执行精确的相同计算并且按照通常方式执行比较。在客户端机密和服务器机密完全对应的情形下,将会给用户授权。
本发明的目的在于,随着键的增长而使钥匙键的获取变得困难。通过使客户端计算机基于经由键盘键入的钥匙号执行计算来提供机密的方式将会实现上述目的。相反的,还可使用独立的加密计算机(“评价单元”)。这样的单元430如图4所示。例如,其还可呈传统的计算器的形状,尽管其特征是“内置的”。意识到在提供机密中使用的算法。为了获得机密,如图4中的虚线431所示,用户将RAN键入到单元中。例如经由显示器,该单元随后提供机密。同时用户还可键入钥匙号,或是在该单元中更永久地将其保存。从安全性角度,前一个解决方案很明显是更加期望的。一旦单元提供了机密,则或是通过用户经由手动键入的方式,如线432所示,或是如线433所示自动地键入到客户机,例如经由USB连接或是无线连接,将机密键入到客户端计算机当中,这两种方案都避开了经由键盘键入钥匙号的需要,从而潜在地避免了键被记入日志。
优选地,由于算法是复杂的,因此电子评价单元是不可缺少的。
上述示例说明了如何从三个可选图像中选择两个图像(两个图像形成了包括三个图像的组的正确子集)。如果需要从100个图像中进行选择,则仅使用“少”量的图像是有利的-这仅仅是由于很难记住较多数量的图像的缘故。
某些认证处理部分地依赖于在客户端计算机中保存的基于用户的认证文件。当试图访问所期望的服务器时这些文件都是需要的。这些文件的使用都是公知的。这些文件还可与本发明一起使用。通过使得认证文件对于评价单元是可应用的,通过对机密引入熵(entropy),在算法中可以使用信息来提供更强的安全性。
图5说明了整个认证处理的示例。首先,在用户开始认证处理之后,客户机向服务器发出请求501。服务器提供了数据组合数据关联,其中服务器在步骤503中已经产生了后者。在步骤503中客户端计算机接收到上述两者并且以如上所述的方式适当地将其显示。用户现在执行获得客户端机密所需的步骤,这包括步骤505中的选择图像和计算客户端机密。客户端机密被键入到客户端计算机并且被发送507给服务器。服务器还计算509机密、服务器机密,并且在步骤511中比较客户端机密和服务器机密。在步骤515中,如果他们是完全相同的,则对用户作出授权(认证)以访问服务器。否则,拒绝用户,并且用户还可获得另一机会以提供正确的客户端机密。为了确保不会再次使用信息,例如猜测“通行键”的尝试(“通行键”图像和它们正确的顺序,如果可以被应用),在步骤503中对于每次登录尝试,服务器计算机都提供了新的数据关联。这确保了对于非法侵入者而言难以通过有条理的猜测来获得应用。
本领域技术人员可以认识到的是,作为设计选择,可以通过多种可行方式来组合上面所述的特征。
Claims (25)
1.一种提供在认证处理中使用的客户端计算机上的机密的方法,包括:
客户端计算机从服务器计算机接收代表如下的信息:
第一组数据要素,
第二组数据要素,以及
第一组和第二组之间的数据关联,通过所述数据关联,来自第一组的数据要素唯一地关联第二组中的数据要素;
提供包括从第一组数据要素中选择的数据要素的第一子集;
客户端计算机提供第二子集的数据要素,第二子集包括通过所述数据关联与第一子集中的数据要素相关联的第二组数据要素中的那些数据要素;以及
通过评价基于来自第二子集的要素和预定的加密数据要素的加密算法提供机密,
其中,通过第一用户界面表示至少部分的所述数据关联;并且
响应于所述表示由用户来执行从第一组数据要素中选择数据要素的所述提供的步骤。
2.根据权利要求1所述的方法,其中,第二子集提供给评价单元,所述评价单元具有对预定的加密数据要素的访问并且执行所述评价和提供所得到的机密,其中加密单元
或是和客户端计算机相连的可操作数据串接,由此可将机密电子发送到客户端计算机,
或是独立于客户端计算机并且包括可向用户表示的机密的用户界面。
3.根据权利要求2所述的方法,其中,评价单元可独立于客户端计算机操作。
4.根据权利要求1-3中任一项所述的方法,其中,
第一组数据要素包括图像,和/或
第二数据组包括ASCII字符。
5.根据权利要求1-3中任一项所述的方法,其中,第一子集是第一组数据要素中的真子集。
6.根据权利要求4所述的方法,其中,第一子集是第一组数据要素中的真子集。
7.一种提供认证指示的方法,包括:
服务器计算机从客户端计算机接收认证请求;
服务器计算机形成代表第一组数据要素、第二组数据要素、以及第一组和第二组之间的数据关联的信息,来自第一组的数据要素通过所述数据关联与来自第二组的数据要素唯一地相关联;
服务器计算机向客户端计算机提供所述信息;
服务器响应向客户端计算机提供所述信息来接收第一机密,该第一机密是基于从第一组数据要素中的数据要素中在客户端计算机上的选择;
服务器通过评价基于第二组的数据要素的预定子集和预定的加密数据要素的加密算法来提供第二机密;
服务器比较第一机密和第二机密,并且如果第一机密和第二机密完全相同则提供肯定的认证指示。
8.根据权利要求7所述的方法,进一步包括:
如果第一机密和第二机密不完全相同,则服务器使用另一数据关联来替代所述数据关联。
9.根据权利要求7或8所述的方法,其中,仅当客户端计算机的有效IP号码匹配服务器计算机提供的IP号码时,服务器才提供肯定的认证指示。
10.根据权利要求7或8所述的方法,其中,
第一组数据要素包括图像,和/或
第二数据组包括ASCII字符。
11.根据权利要求9所述的方法,其中,
第一组数据要素包括图像,和/或
第二数据组包括ASCII字符。
12.一种提供在认证处理中使用的客户端计算机上的机密的装置,包括:
信息接收单元,使得客户端计算机从服务器计算机接收代表如下的信息:
第一组数据要素,
第二组数据要素,以及
第一组和第二组之间的数据关联,通过所述数据关联,来自第一组的数据要素唯一地关联第二组中的数据要素;
第一子集提供单元,提供包括从第一组数据要素中选择的数据要素的第一子集;
第二子集提供单元,使得客户端计算机提供第二子集的数据要素,第二子集包括通过所述数据关联与第一子集中的数据要素相关联的第二组数据要素中的那些数据要素;以及
机密提供单元,通过评价基于来自第二子集的要素和预定的加密数据要素的加密算法提供机密,
其中,通过第一用户界面表示至少部分的所述数据关联;并且
响应于所述表示由用户来执行从第一组数据要素中选择数据要素的所述提供的步骤。
13.根据权利要求12所述的装置,其中,第二子集提供给评价单元,所述评价单元具有对预定的加密数据要素的访问并且执行所述评价和提供所得到的机密,其中加密单元
或是和客户端计算机相连的可操作数据串接,由此可将机密电子发送到客户端计算机,
或是独立于客户端计算机并且包括可向用户表示的机密的用户界面。
14.根据权利要求13所述的装置,其中,评价单元可独立于客户端计算机操作。
15.根据权利要求12-14中任一项所述的装置,其中,
第一组数据要素包括图像,和/或
第二数据组包括ASCII字符。
16.根据权利要求12-14中任一项所述的装置,其中,第一子集是第一组数据要素中的真子集。
17.根据权利要求15所述的装置,其中,第一子集是第一组数据要素中的真子集。
18.一种提供认证指示的装置,包括:
认证请求接收单元,使得服务器计算机从客户端计算机接收认证请求;
信息形成单元,使得服务器计算机形成代表第一组数据要素、第二组数据要素、以及第一组和第二组之间的数据关联的信息,来自第一组的数据要素通过所述数据关联与来自第二组的数据要素唯一地相关联;
信息提供单元,使得服务器计算机向客户端计算机提供所述信息;
第一机密提供单元,使得服务器响应向客户端计算机提供所述信息来接收第一机密;
第二机密提供单元,使得服务器通过评价基于第二组的数据要素的预定子集和预定的加密数据要素的加密算法来提供第二机密;
比较单元,使得服务器比较第一机密和第二机密,并且如果第一机密和第二机密完全相同则提供肯定的认证指示。
19.根据权利要求18所述的装置,进一步包括:
数据关联替代单元,如果第一机密和第二机密不完全相同,则使得服务器使用另一数据关联来替代所述数据关联。
20.根据权利要求18或19所述的装置,其中,仅当客户端计算机的有效IP号码匹配服务器计算机提供的IP号码时,服务器才提供肯定的认证指示。
21.根据权利要求18或19所述的装置,其中,
第一组数据要素包括图像,和/或
第二数据组包括ASCII字符。
22.根据权利要求20所述的装置,其中,
第一组数据要素包括图像,和/或
第二数据组包括ASCII字符。
23.根据权利要求18或19所述的装置,其中,第一子集是第一组数据要素中的真子集。
24.根据权利要求20所述的装置,其中,第一子集是第一组数据要素中的真子集。
25.根据权利要求21所述的装置,其中,第一子集是第一组数据要素中的真子集。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US94080107P | 2007-05-30 | 2007-05-30 | |
| DKPA200700781 | 2007-05-30 | ||
| US60/940,801 | 2007-05-30 | ||
| DKPA200700781 | 2007-05-30 | ||
| PCT/DK2008/050112 WO2008145132A2 (en) | 2007-05-30 | 2008-05-19 | Secure login protocol |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101689236A CN101689236A (zh) | 2010-03-31 |
| CN101689236B true CN101689236B (zh) | 2012-07-18 |
Family
ID=39855035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880017918XA Expired - Fee Related CN101689236B (zh) | 2007-05-30 | 2008-05-19 | 安全登录协议 |
Country Status (17)
| Country | Link |
|---|---|
| US (1) | US20100174903A1 (zh) |
| EP (1) | EP2150915B1 (zh) |
| JP (1) | JP2010528382A (zh) |
| CN (1) | CN101689236B (zh) |
| AT (1) | ATE485565T1 (zh) |
| AU (1) | AU2008255382B2 (zh) |
| BR (1) | BRPI0811643A2 (zh) |
| CA (1) | CA2688242A1 (zh) |
| CY (1) | CY1111944T1 (zh) |
| DE (1) | DE602008003120D1 (zh) |
| DK (1) | DK2150915T3 (zh) |
| ES (1) | ES2354932T3 (zh) |
| HR (1) | HRP20100702T1 (zh) |
| PL (1) | PL2150915T3 (zh) |
| PT (1) | PT2150915E (zh) |
| SI (1) | SI2150915T1 (zh) |
| WO (1) | WO2008145132A2 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7953983B2 (en) | 2005-03-08 | 2011-05-31 | Microsoft Corporation | Image or pictographic based computer login systems and methods |
| CN101901312A (zh) * | 2009-05-27 | 2010-12-01 | 鸿富锦精密工业(深圳)有限公司 | 密码保护方法 |
| US8458485B2 (en) | 2009-06-17 | 2013-06-04 | Microsoft Corporation | Image-based unlock functionality on a computing device |
| CN101930510A (zh) * | 2009-06-25 | 2010-12-29 | 鸿富锦精密工业(深圳)有限公司 | 密码保护方法 |
| DE102010011657A1 (de) * | 2010-03-17 | 2011-09-22 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum Bereitstellen mindestens eines sicheren kryptographischen Schlüssels |
| AU2011202415B1 (en) | 2011-05-24 | 2012-04-12 | Microsoft Technology Licensing, Llc | Picture gesture authentication |
| CN102271140B (zh) * | 2011-09-05 | 2014-05-21 | 盛趣信息技术(上海)有限公司 | 身份认证方法、装置及*** |
| KR101328118B1 (ko) * | 2013-07-25 | 2013-11-13 | 주식회사 베이스인 네트웍스 | 비밀 데이터 기반 로그인 서비스 제공 방법 |
| US9646167B2 (en) | 2015-06-01 | 2017-05-09 | Light Cone Corp. | Unlocking a portable electronic device by performing multiple actions on an unlock interface |
| DE102015016059A1 (de) * | 2015-12-11 | 2017-06-14 | Giesecke & Devrient Gmbh | Verfahren zur Ausführung eines Programmcodes |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6148406A (en) * | 1995-04-27 | 2000-11-14 | Weisz; Herman | Access control password generated as a function of random numbers |
| CN1312998A (zh) * | 1998-08-12 | 2001-09-12 | 凯博帕斯公司 | 利用包含在公共密钥证书中属性的访问控制 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4679236A (en) * | 1984-12-21 | 1987-07-07 | Davies Richard E | Identification verification method and system |
| US5821933A (en) * | 1995-09-14 | 1998-10-13 | International Business Machines Corporation | Visual access to restricted functions represented on a graphical user interface |
| JP2002041478A (ja) * | 2000-07-28 | 2002-02-08 | Nec Corp | 認証システムとその認証方法、及び認証プログラムを記録した記録媒体 |
| US7149899B2 (en) * | 2002-04-25 | 2006-12-12 | Intertrust Technologies Corp. | Establishing a secure channel with a human user |
| US20040022391A1 (en) * | 2002-07-30 | 2004-02-05 | O'brien Royal | Digital content security system and method |
| US20040080529A1 (en) * | 2002-10-24 | 2004-04-29 | Wojcik Paul Kazimierz | Method and system for securing text-entry in a web form over a computer network |
| US7174462B2 (en) * | 2002-11-12 | 2007-02-06 | Intel Corporation | Method of authentication using familiar photographs |
| US7644433B2 (en) * | 2002-12-23 | 2010-01-05 | Authernative, Inc. | Authentication system and method based upon random partial pattern recognition |
| JP4317359B2 (ja) * | 2002-12-27 | 2009-08-19 | ファルコンシステムコンサルティング株式会社 | 認証システム |
| US7735121B2 (en) * | 2003-01-07 | 2010-06-08 | Masih Madani | Virtual pad |
| JP2005038151A (ja) * | 2003-07-14 | 2005-02-10 | Sharp Corp | 個人認証装置および質問応答型の個人認証方法 |
| US20060206919A1 (en) * | 2005-03-10 | 2006-09-14 | Axalto Sa | System and method of secure login on insecure systems |
| US7200576B2 (en) * | 2005-06-20 | 2007-04-03 | Microsoft Corporation | Secure online transactions using a captcha image as a watermark |
| NZ541711A (en) * | 2005-09-28 | 2006-10-27 | Chuan Pei Chen | Human factors authentication using abstract definitions of viewable or audible objects |
| US20070083919A1 (en) * | 2005-10-11 | 2007-04-12 | Guy Heffez | Secure Image Protocol |
| JP3996939B2 (ja) * | 2006-03-30 | 2007-10-24 | 株式会社シー・エス・イー | オフラインユーザ認証システム、その方法、およびそのプログラム |
| US7552467B2 (en) * | 2006-04-24 | 2009-06-23 | Jeffrey Dean Lindsay | Security systems for protecting an asset |
| US8095967B2 (en) * | 2006-07-27 | 2012-01-10 | White Sky, Inc. | Secure web site authentication using web site characteristics, secure user credentials and private browser |
| US20080052245A1 (en) * | 2006-08-23 | 2008-02-28 | Richard Love | Advanced multi-factor authentication methods |
| US8006300B2 (en) * | 2006-10-24 | 2011-08-23 | Authernative, Inc. | Two-channel challenge-response authentication method in random partial shared secret recognition system |
| WO2009012164A2 (en) * | 2007-07-13 | 2009-01-22 | University Of Memphis Research Foundation | A negative authentication system for a networked computer system |
| WO2010011731A2 (en) * | 2008-07-22 | 2010-01-28 | Next Access Technologies, Llc | Methods and systems for secure key entry via communication networks |
-
2008
- 2008-05-19 AT AT08734567T patent/ATE485565T1/de active
- 2008-05-19 US US12/601,426 patent/US20100174903A1/en not_active Abandoned
- 2008-05-19 JP JP2010509678A patent/JP2010528382A/ja active Pending
- 2008-05-19 CA CA002688242A patent/CA2688242A1/en not_active Abandoned
- 2008-05-19 BR BRPI0811643-1A2A patent/BRPI0811643A2/pt not_active IP Right Cessation
- 2008-05-19 DK DK08734567.4T patent/DK2150915T3/da active
- 2008-05-19 AU AU2008255382A patent/AU2008255382B2/en not_active Ceased
- 2008-05-19 CN CN200880017918XA patent/CN101689236B/zh not_active Expired - Fee Related
- 2008-05-19 DE DE602008003120T patent/DE602008003120D1/de active Active
- 2008-05-19 PT PT08734567T patent/PT2150915E/pt unknown
- 2008-05-19 EP EP08734567A patent/EP2150915B1/en active Active
- 2008-05-19 SI SI200830131T patent/SI2150915T1/sl unknown
- 2008-05-19 ES ES08734567T patent/ES2354932T3/es active Active
- 2008-05-19 PL PL08734567T patent/PL2150915T3/pl unknown
- 2008-05-19 WO PCT/DK2008/050112 patent/WO2008145132A2/en active Application Filing
-
2010
- 2010-12-20 HR HR20100702T patent/HRP20100702T1/hr unknown
-
2011
- 2011-01-17 CY CY20111100051T patent/CY1111944T1/el unknown
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6148406A (en) * | 1995-04-27 | 2000-11-14 | Weisz; Herman | Access control password generated as a function of random numbers |
| CN1312998A (zh) * | 1998-08-12 | 2001-09-12 | 凯博帕斯公司 | 利用包含在公共密钥证书中属性的访问控制 |
Also Published As
| Publication number | Publication date |
|---|---|
| ES2354932T3 (es) | 2011-03-21 |
| PT2150915E (pt) | 2011-01-25 |
| CN101689236A (zh) | 2010-03-31 |
| PL2150915T3 (pl) | 2011-04-29 |
| JP2010528382A (ja) | 2010-08-19 |
| ATE485565T1 (de) | 2010-11-15 |
| BRPI0811643A2 (pt) | 2014-11-11 |
| DE602008003120D1 (de) | 2010-12-02 |
| DK2150915T3 (da) | 2011-01-24 |
| WO2008145132A3 (en) | 2009-01-22 |
| US20100174903A1 (en) | 2010-07-08 |
| EP2150915B1 (en) | 2010-10-20 |
| EP2150915A2 (en) | 2010-02-10 |
| CY1111944T1 (el) | 2015-11-04 |
| WO2008145132A2 (en) | 2008-12-04 |
| AU2008255382A1 (en) | 2008-12-04 |
| HRP20100702T1 (hr) | 2011-01-31 |
| SI2150915T1 (sl) | 2011-02-28 |
| CA2688242A1 (en) | 2008-12-04 |
| AU2008255382B2 (en) | 2013-04-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101689236B (zh) | 安全登录协议 | |
| US11599624B2 (en) | Graphic pattern-based passcode generation and authentication | |
| AU2007202243B2 (en) | System portable device and method for digital authenticating, crypting and signing by generating short-lived cryptokeys | |
| EP3465524B1 (en) | Secure transmission of sensitive data | |
| US20070255951A1 (en) | Token Based Multi-protocol Authentication System and Methods | |
| CN107302539A (zh) | 一种电子身份注册及认证登录的方法及其*** | |
| US20100313028A1 (en) | Electronic Signature Method and Electronic Signature Tool | |
| TW200900988A (en) | Human-recognizable cryptographic keys | |
| CN101868800A (zh) | 有利于利用数字音乐认证令牌进行认证的设备和相关方法 | |
| JP2007527059A (ja) | ユーザ、およびコンピュータシステムから受信された通信の認証のための方法および装置 | |
| CN1894882A (zh) | 认证*** | |
| US20100005519A1 (en) | System and method for authenticating one-time virtual secret information | |
| KR20160025896A (ko) | 사용자 인증을 수행하는 서버와, 서버의 사용자 인증 처리방법 및 그 방법을 기록한 컴퓨팅 장치에 의해 판독 가능한 기록 매체 | |
| CN104518880B (zh) | 一种基于随机抽样检测的大数据可信性验证方法及*** | |
| EP2916509A1 (en) | Network authentication method for secure user identity verification | |
| JP4813278B2 (ja) | 端末装置及び履歴サービス利用方法及び履歴サービス利用プログラム及びサーバ装置及び履歴サービス提供システム | |
| JP2007065789A (ja) | 認証システム及び方法 | |
| CN116112167B (zh) | 密钥管理***、方法及装置 | |
| KR20100005935A (ko) | 프로그램 이용 권한 공유 확인 방법 및 단말장치와 이를위한 기록매체 | |
| CN113342900B (zh) | 一种基于区块链的个人信息授权方法及*** | |
| JP2005346224A (ja) | 調査データ分析システム | |
| KR20160020314A (ko) | 전자서명을 이용하여 대출서비스를 제공하기 위한 장치 및 그 방법 | |
| FR3003059A1 (fr) | Systeme et procede de gestion d’au moins une application en ligne, objet portable utilisateur communiquant par un protocole radioelectrique et dispositif distant du systeme | |
| CN116566723A (zh) | 一种局域网信息安全传输方法 | |
| WO2013065057A1 (en) | Secure introduction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120718 Termination date: 20150519 |
|
| EXPY | Termination of patent right or utility model |