CN102006271B - 用于在线交易的ip地址安全多信道认证 - Google Patents
用于在线交易的ip地址安全多信道认证 Download PDFInfo
- Publication number
- CN102006271B CN102006271B CN200910258401.6A CN200910258401A CN102006271B CN 102006271 B CN102006271 B CN 102006271B CN 200910258401 A CN200910258401 A CN 200910258401A CN 102006271 B CN102006271 B CN 102006271B
- Authority
- CN
- China
- Prior art keywords
- user
- certificate server
- address
- browser program
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
公开了用于使用应用服务器和认证服务器的用户的多因素认证的方法。所述方法包括从所述应用服务器接收与从用户浏览器程序到所述应用服务器的认证的请求相关联的第一源IP地址。所述方法还包括从所述用户浏览器程序接收请求以在所述用户浏览器程序和所述认证服务器之间利用独立通信信道执行附加认证。所述方法还包括比较所述第一源IP地址和与执行所述附加认证的请求相关联的第二源IP地址,并且如果所述第一源IP地址与第二源IP地址不匹配,则所述用户的认证失败。
Description
技术领域
本发明涉及IP地址安全多信道认证方法,更具体地说,涉及用于使用应用服务器和认证服务器的用户的多因素认证方法。
背景技术
包括金融交易和其它机密交易的在线交易长期被应用于允许两方进行商务活动。在典型的在线交易中,用户(例如像银行客户)使用计算机上的客户端浏览器来与应用服务器(例如像由银行操作的银行业务(banking)服务器)建立一个会话并实现所希望的交易(例如像将金钱从一个账户转移到另一个账户)。因为在线交易经常通过因特网来进行,而因特网是由路由器、服务器、中继线等组成的全球公共网络,所以安全总是首要问题。
在线交易安全的风险包括未经授权的第三方可能能够获得认证信息(例如用户标识和密码),而且随后可能能够进行对用户不利的欺诈交易的风险。例如,如果从任意计算机登录到银行只需要用户标识和密码,那么获取用户的用户标识和密码的第三方将可以从任何地方登录并执行用户可以执行的任意交易,例如包括在未经授权的第三方的控制下将金钱转移到一个账户。
用户标识和密码的窃取可以通过例如木马(通常是指驻留于客户端的应用程序,所述应用程序在用户标识和密码被用户键入时监听用户标识和密码并将所述用户标识和密码转发给欺诈者)的技术来实现。另一种技术涉及网络仿冒(phishing)。在示例网络仿冒的情景中,用户可能接收一封电子邮件,其具有请求用户登录声称属于一个用户之前与其进行过商务活动的商人的网站(例如,XYZ银行)的消息。所述电子邮件包含要由用户激活的链接。如果用户激活由网络仿冒电子邮件提供的链接,那么一个网站被呈现给用户,所述网站具有与真网站(例如,XYZ银行)几乎相同的外观和感觉。然而,该网站实际上属于欺诈者。用户输入到模仿真网站的外观和感觉的欺诈者的网站中的信息将被记录,并随后被用于对用户实施欺诈。举例说明,欺诈者可以利用所输入的用户标识和密码来登录用户的账户并执行未经授权的金钱转移。
一种防止像木马或网络仿冒这样的欺诈的方法涉及使用第二因素认证,其中认证需要附加信息。由于起第一认证因素的作用的用户标识/密码,应用服务器(例如,银行应用)也需要基于正用于访问的装置或用户拥有的硬件的附加认证。例如,第二因素认证可能需要硬件权标(token)或ATM卡。软件也可以被用作第二因素认证。
上面提到的仅仅触及一些宽泛的类别的在线交易风险。还有当前存在的其它风险,但它们是公知的并且在此将不作过多的说明。此外,技术被不断地发展以防止在线欺诈。相应地,欺诈者不断发展技术以战胜包括认证方案在内的新实现的安全措施。
鉴于当前存在的和/或响应于安全措施而显现出来的交易风险,需要改进的认证技术。
发明内容
因此,本发明提供用于使用应用服务器和认证服务器的用户的多因素认证的方法,来解决上述问题。
根据本发明的一个方面,提供用于使用应用服务器和认证服务器的用户的多因素认证的计算机实现方法,所述用户与所述应用服务器和所述认证服务器相互作用,所述用户利用用户浏览器程序与所述应用服务器和所述认证服务器中的至少一个进行通信,所述方法包括:利用所述应用服务器使用第一因素认证证书认证所述用户;从所述应用服务器向所述认证服务器提供与对使用所述第一因素认证证书的所述认证的请求相关联的第一源IP地址;指示所述用户在所述用户浏览器程序和所述认证服务器之间建立独立通信信道以执行附加认证;比较所述第一源IP地址和与利用所述独立通信信道的、从所述用户到所述认证服务器的通信相关联的第二源IP地址;以及如果所述第一源IP地址与所述第二源IP地址不匹配,则所述用户的认证失败。
根据本发明的另一方面,提供用于使用应用服务器和认证服务器的用户的多因素认证的计算机实现方法,所述用户利用用户浏览器程序与所述应用服务器和所述认证服务器中的至少一个相互作用,所述方法包括:从所述应用服务器接收与从所述用户浏览器程序到所述应用服务器的认证请求相关联的第一源IP地址;从所述用户浏览器程序接收请求以利用独立通信信道来在所述用户浏览器程序和所述认证服务器之间执行附加认证,所述独立通信信道与被用于在所述应用服务器和所述认证服务器之间进行通信的通信信道独立;比较所述第一源IP地址和与在所述认证服务器和所述用户浏览器程序之间执行所述附加认证的所述请求相关的第二源IP地址;以及如果所述第一源IP地址与所述第二源IP地址不匹配,则所述用户的认证失败。
附图说明
在附图的图中以示例而不是限制的方式来举例说明本发明,其中相同的附图标记表示相同的组件,并且其中:
图1示出了典型的多信道认证方案,其中客户端浏览器利用应用服务器和认证服务器两者来进行认证。
图2示出了中间人(man-in-the-middle)装置的存在,所述中间人装置已经由欺诈者为了对用户实施欺诈的目的而实现。
图3示出了根据本发明一个实施例的IP地址安全多信道认证(IPAS-MCA)情景的示意图。
图4示出了根据本发明一个实施例的借以挫败中间人攻击的IP地址安全多信道认证(IPAS-MCA)情景的示意图。
具体实施方式
现在将参照如附图中所举例说明的几个实施例来详细描述本发明。在下面的描述中,为了提供对本发明的全面理解而详尽地解释大量的具体细节。然而对本领域技术人员来说显而易见的是,可以实践本发明而不用这些具体细节中的某些或全部。在其它情况下,为了避免不必要地使本发明模糊不清,没有详细地描述公知的处理步骤和/或结构。
以下描述各种实施例,包括方法和技术。应该记住,本发明也可以覆盖包括存储用于执行创造性技术的实施例的计算机可读指令的计算机可读介质的制造产品。例如,计算机可读介质可以包括半导体、磁、光磁、光或者其它形式的用于存储计算机可读代码的计算机可读介质。进一步地,本发明还可以覆盖用于实践本发明的实施例的装置。这种装置可以包括专用于和/或可编程用于执行与本发明实施例有关的任务的电路。这种装置的例子包括在适当编程情况下的通用计算机和/或专用计算设备,并且可以包括适合于与本发明实施例有关的各种任务的计算机/计算设备和专用/可编程电路的组合。
在多信道认证方案中,用户不仅需要访问应用服务器(例如,上面提到的XYZ银行),还需要为了认证自己的目的在独立通信上访问认证服务器。简单来说,多信道认证方案包含三方:用户、应用服务器和认证服务器。
总的来说,用户首先登录应用服务器(例如,XYZ银行)并建立他的第一因素认证证书(例如,用户标识和密码)。一旦满足第一因素认证证书,应用服务器就联系认证服务器来确定用户是否是多信道认证服务的订户。如果用户是多信道认证服务的订户,那么认证服务器(经由应用服务器)给用户提供HTML指令,来指示用户的客户端浏览器(例如,使用AJAX技术)建立与认证服务器的独立通信信道。在该独立通信信道中的通信可以通过使用将如稍后讨论的加密技术来使其安全。在该独立第二信道上的用户的浏览器和认证服务器之间的安全信道执行附加认证。
在一个实施方案中,客户端浏览器和认证服务器都知道一个共享秘密。所述共享秘密的一部分在这里被称为“已知事实”或KF,其为认证服务器和客户端浏览器两者所知。所述已知事实可以是由认证服务器和客户端浏览器彼此都指明为“已知的”任意数据、信息或事实。例如,已知事实可以是由商人指明为用于附加认证的共享秘密的某特殊数据字段(例如,账号或电话号码)。
在认证服务器和客户端浏览器之间的认证是一种双向加密认证。如果客户端浏览器可以利用共享秘密(其为认证服务器和客户端浏览器两者所知)向认证服务器验证自己,并且如果认证服务器可以利用共享秘密向客户端浏览器验证自己,那么认证被认为是成功的。为了交流所述已知事实,通过在用户最初向多信道认证***注册时的激活过程(用于每个装置的一次性处理)期间利用带外(out-of-band)通信信道(例如,电子邮件、电话等)增强安全性。例如,电子邮件可以被发送给用户来将对于用户的已知事实的字母数字串提供给用户,以将所述用户绑定到他的证书。
尽管多信道认证技术可以提供针对某些形式的安全风险的附加安全措施,但是被称为中间人的攻击形式已经带来了挑战。中间人攻击指的是欺诈者使用连接到客户端并连接到应用服务器的装置,通过中继请求和响应,来窃取数据和/或装作代表客户端浏览器以实现欺诈的目的。换句话说,中间人装置可以看到所有的通信(traffic)并执行可以由客户端浏览器所执行的大部分或所有的动作,例如包括修改SSL协议信息。
因此,即使使用多信道认证方案,在客户端浏览器成功地实现与认证服务器的附加认证之后,也仍然可能泄露机密的通信,因为MITM装置嵌入在客户端浏览器和应用服务器(例如,XYZ银行)之间的通信中。
在本发明的一个或多个实施例中,提出了IP地址安全多信道认证(IPAS-MCA)技术和装置。一般而言,AS-MCA技术检测在客户端浏览器和应用服务器之间用于通信的IP源地址与在安全认证信道上的在客户端浏览器和认证服务器之间用于通信的源IP地址是否相同。如果两个IP地址不同,则怀疑有未被授权的中间人装置,并且认证将失败。
参考附图和下述的讨论,可以更好地理解本发明的特征和优点。图1示出了典型的多信道认证方案,其中客户端浏览器102利用应用服务器104和认证服务器106两者来进行认证。首先,客户端浏览器102联系应用服务器104以请求认证(130)。在这一阶段,像传统上那样,认证一般使用用户标识和密码组合。如果根据用户标识/密码认为用户是有效用户,则确定客户端浏览器102的用户是否是多信道认证***的订户。可以由认证服务器106通过例如针对它的订户数据库核对用户的身份(其被应用服务器104转发(132)到认证服务器106)来做出决定。
如果确定用户是多信道认证***的订户,那么为了执行进一步的认证的目的,认证服务器106经由应用服务器104来向客户端浏览器102发送(134)指令(例如以HTML代码的形式)以指示客户端浏览器102建立与认证服务器106的安全通信信道。
利用由认证服务器106提供的指令(其被经由应用服务器104发送给客户端浏览器102),客户端浏览器102接着建立到认证服务器106的安全通信信道(136a/136b)。经由安全通信信道,客户端浏览器102和认证服务器106可以执行进一步的认证。认证一般是双向的,客户端浏览器向认证服务器验证自己,反之亦然。
一般说来,附加认证可能需要只有用户知道的和/或对于向多信道认证***注册为属于用户并被授权执行交易的通信装置特定的信息。因此,即使用户标识和密码被窃取,欺诈者仍然不能完成认证,因为与认证服务器的附加认证需要对于用户和/或被授权的用户装置特定的附加信息。
图2示出了中间人装置的存在,所述中间人装置已经由欺诈者为了对用户实施欺诈的目的而实现。通常,欺诈者试图诱使用户基于某个借口来进行到其装置110的连接。一旦基于某个似乎真实的借口进行了连接,欺诈者的装置110接着就代表用户的浏览器102提供到应用服务器104的连接,欺诈者的装置110位于在客户端浏览器装置102和应用服务器104之间的通信中间。因此,在客户端浏览器连接MITM之后,所述MITM装置接着连接到应用服务器,就像两个连接一样。每个连接都具有来自于请求方的源IP地址。
因为MITM装置中继在客户端浏览器和认证服务器之间的消息,所以浏览器102的第一因素认证(利用用户的用户标识和密码)将会成功。此外,在独立安全信道上的浏览器102和认证服务器106之间的第二因素认证也将会成功。那么,泄露了在客户端浏览器102和应用服务器104之间的任意后续通信,并且因为MITM装置110几乎可以代表客户端浏览器102执行任意动作,例如包括SSL协议信息修改,所以欺诈的风险仍然存在。
图3示出了根据本发明一个实施例的IP地址安全多信道认证(IPAS-MCA)的示意图。在图3的实例中,描述了IPAS-MCA技术的步骤,尽管在图3的实例中不存在欺诈的中间人装置。这里,存在中间人装置的情况将联系的图4进行讨论。
回来参照图3,首先客户端浏览器302联系(330)应用服务器304以请求认证。在这一阶段,认证一般又使用常规的用户标识和密码组合。此外,应用服务器304也注意接收的分组的源IP地址。记录所述源IP地址。在图3的实例中,因为没有中间人装置,所以源IP地址将是客户端浏览器302的IP地址。
如果根据第一因素认证用户被认为是有效用户,则确定客户端浏览器302的用户是否是多信道认证***的订户。可以由认证服务器306通过例如针对它的订户数据库核对用户的身份(其被应用服务器304转发(332)到认证服务器306)来做出决定。此外,由应用服务器304记录的源IP地址信息被传递(332)到认证服务器306。
如果确定用户是多信道认证***的订户,那么为了执行进一步的认证认的目的,认证服务器306经由应用服务器304来向客户端浏览器302发送(334)指令(例如以HTML代码的形式),以指示客户端浏览器302建立与认证服务器306的安全通信信道。
利用由认证服务器306提供的指令(其被经由应用服务器304来发送给客户端浏览器302),客户端浏览器302接着(使用例如AJAX技术或相似的技术)建立(336A/336B)到认证服务器306的通信信道。经由该附加通信信道,客户端浏览器302和认证服务器306可以执行进一步的认证。
一般说来,附加认证可能需要只有用户知道的和/或对于向多信道认证***注册为属于用户并被授权执行交易的通信装置特定的信息。如所提到的那样,即使泄露了用户标识和密码,欺诈者仍然不能完成认证,因为与认证服务器的附加认证需要对于用户和/或被授权的用户装置特定的附加信息。
此外,认证服务器306检查来自从客户端浏览器302接收到的数据分组的源IP地址,以确定在客户端浏览器302和认证服务器306之间的安全通信会话中,在从客户端浏览器302接收到的数据分组中的IP地址是否与由应用服务器304转发的IP地址(其反映在客户端浏览器302和应用服务器304之间的第一因素认证期间由应用服务器304所接收的数据分组中的源IP地址)相匹配。如果这两个IP地址匹配,则将像图3的实例中的情况那样,因为没有中间人装置,所以认证被认为是成功的。
图4示出了根据本发明一个实施例的IP地址安全多信道认证(IPAS-MCA)的示意图。在图4的实例中,中间人装置420欺骗性地***在客户端浏览器402和应用服务器404之间的通信流中。一般说来,MITM装置420可以首先使用例如像网络仿冒这样的技术来建立与客户端浏览器402的通信,以哄骗客户端浏览器402的用户相信客户端浏览器402的用户正在与应用服务器404进行通信。一旦建立了客户端浏览器402和MITM装置420之间的通信,则MITM装置420联系应用服务器404并打开一个通信信道。在客户端浏览器402和应用服务器404之间的后续通信由MITM装置420中继。
应用服务器404请求客户端浏览器402的认证,而所述请求被MITM 420中继到客户端浏览器402。如所提到的那样,在这一阶段,像传统上那样,认证一般再次使用用户标识和密码组合。在MITM 420中继所述请求之后,客户端浏览器402以用户标识/密码组合来响应所述请求。MITM 420将用户标识/密码中继到应用服务器404。
应用服务器404还注意接收到的分组的源IP地址。因为数据分组从MITM装置420到达,所以记录了与MITM装置420相关联的源IP地址。
如果根据用户标识/密码组合用户被认为是有效用户,则确定客户端浏览器402的用户是否是多信道认证***的订户。可以由认证服务器406通过例如针对它的订户数据库核对用户的身份(其被应用服务器404转发(432)到认证服务器406)来做出决定。此外,将由应用服务器404记录的源IP地址信息(在该实例中其反映来自于通信430B的MITM装置420的IP地址)传递(参见引用箭头432)到认证服务器406。
如果确定用户是多信道认证***的订户,那么为了执行进一步的认证的目的,认证服务器406经由应用服务器404来向客户端浏览器402发送(434A)指令(例如以HTML代码的形式)以指示客户端浏览器402建立与认证服务器406的安全通信信道。这些指令由MITM 420中继(434B)到客户端浏览器402。
利用由认证服务器406提供的指令(其被经由应用服务器404发送给客户端浏览器402),客户端浏览器402接着建立到认证服务器406的通信信道(436A/436B)。经由该通信信道,客户端浏览器402和认证服务器406可以执行进一步的认证。注意,来自于认证服务器406的指令可以包括MITM 420不能响应的问询(challenge)/响应,因为MITM 420不具有共享秘密。在这种情况下,MITM 420将来自于认证服务器406的指令传递到客户端浏览器402,以允许客户端浏览器402回答所述问询/响应。客户端浏览器402接着按照指示来建立与认证服务器406的通信信道。
此外,认证服务器406检查来自从客户端浏览器402(来自于由附图标记436A所指定的通信)接收到的数据分组的源IP地址,以确定在客户端浏览器402和认证服务器406之间的安全通信会话中,在从客户端浏览器402接收到的数据分组中的IP地址是否与由应用服务器404转发的IP地址(其反映在客户端浏览器402和应用服务器404之间的第一因素认证期间由应用服务器404所接收(430B)的数据分组中的源IP地址)相匹配。
因为由应用服务器404记录并传递到认证服务器406的IP地址反映MITM装置420的IP地址,所以该IP地址与客户端浏览器的IP地址不匹配,所述客户端浏览器的IP地址由认证服务器406从客户端浏览器402和认证服务器406之间的通信中获得。在这种情况下,认证将失败。
如从上述内容中所能理解的那样,本发明的实施例通过进一步实现针对中间人攻击的防护,扩展了多信道认证技术所提供的安全性。如果用户标识/密码组合被窃取,那么多信道认证方案可以阻止欺诈者的后续认证,因为欺诈者不可能拥有在独立安全信道上的第二认证所需的信息(无论是由用户明确地提供还是由用户通过其执行在线交易认证的授权的通信装置自动地提供)。更重要地,如果中间人装置被欺骗性地***在客户端浏览器和应用服务器之间的通信路径中,则IPA-MCA技术可以通过比较IP地址来检测这种欺诈的中间人装置的存在并阻止认证和后续的欺诈交易。
这里通过引用合并的进一步信息由这里的权利要求来提供。
虽然已经根据几个优选实施例来描述了本发明,但仍存在落入本发明范围内的修改、置换和等效物。也应该注意到,存在许多可供选择的实施本发明的方法和装置的替代方法。虽然这里提供了多个实例,但是其意图是:这些实例关于本发明是说明性的而非限制性的。
Claims (20)
1.一种用于使用应用服务器和认证服务器的用户的多因素认证的计算机实现方法,所述用户与所述应用服务器和所述认证服务器交互,所述用户利用用户浏览器程序与所述应用服务器和所述认证服务器中的至少一个进行通信,所述方法包括:
利用所述应用服务器使用第一因素认证证书认证所述用户;
从所述应用服务器向所述认证服务器提供与对使用所述第一因素认证证书的所述认证的请求相关联的第一源IP地址;
指示所述用户在所述用户浏览器程序和所述认证服务器之间建立独立通信信道以执行附加认证;
比较所述第一源IP地址和与利用所述独立通信信道的、从所述用户到所述认证服务器的通信相关联的第二源IP地址;以及
如果所述第一源IP地址与所述第二源IP地址不匹配,则所述用户的认证失败。
2.如权利要求1所述的方法,其中所述第一因素认证证书至少包括用户标识和密码。
3.如权利要求1所述的方法,进一步包括在指示所述用户在所述用户浏览器程序和所述认证服务器之间建立所述独立通信信道以执行附加认证之前,确定所述用户是否是多因素认证服务的订户。
4.如权利要求1所述的方法,其中所述附加认证包括在所述认证服务器和所述用户浏览器程序之间利用共享秘密来进行认证。
5.如权利要求4所述的方法,其中所述共享秘密包括已知事实。
6.如权利要求5所述的方法,其中所述已知事实由所述用户在注册期间利用带外通信信道来提供。
7.如权利要求6所述的方法,其中所述带外通信信道包括话音呼叫。
8.如权利要求1所述的方法,其中所述附加认证被加密执行。
9.如权利要求1所述的方法,其中所述附加认证是在所述认证服务器和所述用户浏览器程序之间的双向认证。
10.如权利要求1所述的方法,其中所述指示所述用户在所述用户浏览器程序和所述认证服务器之间建立所述独立通信信道以执行附加认证使用AJAX技术。
11.如权利要求1所述的方法,其中所述指示所述用户在所述用户浏览器程序和所述认证服务器之间建立所述独立通信信道使用HTML。
12.一种用于使用应用服务器和认证服务器的用户的多因素认证的计算机实现方法,所述用户利用用户浏览器程序与所述应用服务器和所述认证服务器中的至少一个交互,所述方法包括:
从所述应用服务器接收与从所述用户浏览器程序到所述应用服务器的认证请求相关联的第一源IP地址;
从所述用户浏览器程序接收请求以利用独立通信信道来在所述用户浏览器程序和所述认证服务器之间执行附加认证,所述独立通信信道与被用于在所述应用服务器和所述认证服务器之间进行通信的通信信道独立;
比较所述第一源IP地址和与在所述认证服务器和所述用户浏览器程序之间执行所述附加认证的所述请求相关的第二源IP地址;以及
如果所述第一源IP地址与所述第二源IP地址不匹配,则所述用户的认证失败。
13.如权利要求12所述的方法,其中在所述用户浏览器程序到所述应用服务器之间的所述认证包括利用第一因素认证证书的认证。
14.如权利要求13所述的方法,其中所述第一因素认证证书至少包括用户标识和密码。
15.如权利要求12所述的方法,进一步包括在从所述用户浏览器程序接收请求以利用独立通信信道来在所述用户浏览器程序和所述认证服务器之间执行附加认证之前,确定所述用户是否是多因素认证服务的订户。
16.如权利要求12所述的方法,其中所述附加认证包括在所述认证服务器和所述用户浏览器程序之间利用共享秘密来进行认证。
17.如权利要求16所述的方法,其中所述共享秘密包括已知事实。
18.如权利要求17所述的方法,其中所述已知事实由所述用户在注册期间利用带外通信信道来提供。
19.如权利要求12所述的方法,其中所述附加认证是在所述认证服务器和所述用户浏览器程序之间的双向认证。
20.如权利要求12所述的方法,其中所述附加认证被加密执行。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US9368908P | 2008-09-02 | 2008-09-02 | |
| US12/553,056 US8156335B2 (en) | 2008-09-02 | 2009-09-02 | IP address secure multi-channel authentication for online transactions |
| US12/553056 | 2009-09-02 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102006271A CN102006271A (zh) | 2011-04-06 |
| CN102006271B true CN102006271B (zh) | 2014-09-24 |
Family
ID=42118807
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910258401.6A Expired - Fee Related CN102006271B (zh) | 2008-09-02 | 2009-09-02 | 用于在线交易的ip地址安全多信道认证 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8156335B2 (zh) |
| CN (1) | CN102006271B (zh) |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100241850A1 (en) * | 2009-03-17 | 2010-09-23 | Chuyu Xiong | Handheld multiple role electronic authenticator and its service system |
| US20120066501A1 (en) * | 2009-03-17 | 2012-03-15 | Chuyu Xiong | Multi-factor and multi-channel id authentication and transaction control |
| US8595840B1 (en) * | 2010-06-01 | 2013-11-26 | Trend Micro Incorporated | Detection of computer network data streams from a malware and its variants |
| US9442783B2 (en) * | 2010-06-25 | 2016-09-13 | Salesforce.Com, Inc. | Methods and systems for providing security for page framing |
| CN102332977A (zh) * | 2010-07-13 | 2012-01-25 | F2威尔股份有限公司 | 使用服务提供者服务器和认证服务器认证使用者的方法 |
| CN107730256B (zh) * | 2011-09-09 | 2022-01-04 | 成都天钥科技有限公司 | 多因子多信道id认证和交易控制及多选项支付***及方法 |
| US9317673B2 (en) | 2014-02-07 | 2016-04-19 | Bank Of America Corporation | Providing authentication using previously-validated authentication credentials |
| US9313190B2 (en) | 2014-02-07 | 2016-04-12 | Bank Of America Corporation | Shutting down access to all user accounts |
| US9213814B2 (en) | 2014-02-07 | 2015-12-15 | Bank Of America Corporation | User authentication based on self-selected preferences |
| US9647999B2 (en) | 2014-02-07 | 2017-05-09 | Bank Of America Corporation | Authentication level of function bucket based on circumstances |
| US9305149B2 (en) | 2014-02-07 | 2016-04-05 | Bank Of America Corporation | Sorting mobile banking functions into authentication buckets |
| US9317674B2 (en) | 2014-02-07 | 2016-04-19 | Bank Of America Corporation | User authentication based on fob/indicia scan |
| US9208301B2 (en) | 2014-02-07 | 2015-12-08 | Bank Of America Corporation | Determining user authentication requirements based on the current location of the user in comparison to the users's normal boundary of location |
| US9331994B2 (en) | 2014-02-07 | 2016-05-03 | Bank Of America Corporation | User authentication based on historical transaction data |
| US9223951B2 (en) | 2014-02-07 | 2015-12-29 | Bank Of America Corporation | User authentication based on other applications |
| US9286450B2 (en) | 2014-02-07 | 2016-03-15 | Bank Of America Corporation | Self-selected user access based on specific authentication types |
| US9213974B2 (en) | 2014-02-07 | 2015-12-15 | Bank Of America Corporation | Remote revocation of application access based on non-co-location of a transaction vehicle and a mobile device |
| US9965606B2 (en) | 2014-02-07 | 2018-05-08 | Bank Of America Corporation | Determining user authentication based on user/device interaction |
| RU2571721C2 (ru) | 2014-03-20 | 2015-12-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения мошеннических онлайн-транзакций |
| US9690924B2 (en) | 2014-05-15 | 2017-06-27 | Microsoft Technology Licensing, Llc | Transparent two-factor authentication via mobile communication device |
| TWI548249B (zh) * | 2014-08-08 | 2016-09-01 | 蓋特資訊系統股份有限公司 | 安全資料驗證方法、系統與電腦可讀取儲存媒體 |
| SG10201601937TA (en) * | 2015-03-12 | 2016-10-28 | 18 Degrees Lab Pte Ltd | Method and system for facilitating authentication |
| US9820148B2 (en) | 2015-10-30 | 2017-11-14 | Bank Of America Corporation | Permanently affixed un-decryptable identifier associated with mobile device |
| US9641539B1 (en) | 2015-10-30 | 2017-05-02 | Bank Of America Corporation | Passive based security escalation to shut off of application based on rules event triggering |
| US10021565B2 (en) | 2015-10-30 | 2018-07-10 | Bank Of America Corporation | Integrated full and partial shutdown application programming interface |
| US9729536B2 (en) | 2015-10-30 | 2017-08-08 | Bank Of America Corporation | Tiered identification federated authentication network system |
| US20180212958A1 (en) * | 2017-01-26 | 2018-07-26 | Teltech Systems, Inc. | Two Factor Authentication Using SMS |
| CN107679846A (zh) * | 2017-09-29 | 2018-02-09 | 南京中高知识产权股份有限公司 | 商家安全支付平台及其工作方法 |
| CN107454111A (zh) * | 2017-09-29 | 2017-12-08 | 南京中高知识产权股份有限公司 | 安全认证设备及其工作方法 |
| CN107483504A (zh) * | 2017-09-29 | 2017-12-15 | 南京中高知识产权股份有限公司 | 安全交易认证方法及*** |
| CN108989276B (zh) * | 2018-03-27 | 2021-09-28 | 深圳市小赢信息技术有限责任公司 | 一种***间安全伪登陆方法 |
| CN108566394B (zh) * | 2018-04-16 | 2020-10-02 | 新华三信息安全技术有限公司 | 一种信息处理方法及装置 |
| US11347879B2 (en) * | 2018-09-07 | 2022-05-31 | Truist Bank | Determining the relative risk for using an originating IP address as an identifying factor |
| US11641363B2 (en) * | 2019-01-14 | 2023-05-02 | Qatar Foundation For Education, Science And Community Development | Methods and systems for verifying the authenticity of a remote service |
| US11509642B2 (en) * | 2019-08-21 | 2022-11-22 | Truist Bank | Location-based mobile device authentication |
| US10902705B1 (en) | 2019-12-09 | 2021-01-26 | Evan Chase Rose | Biometric authentication, decentralized learning framework, and adaptive security protocols in distributed terminal network |
| US10873578B1 (en) | 2019-12-09 | 2020-12-22 | Evan Chase Rose | Biometric authentication, decentralized learning framework, and adaptive security protocols in distributed terminal network |
| US11113665B1 (en) | 2020-03-12 | 2021-09-07 | Evan Chase Rose | Distributed terminals network management, systems, interfaces and workflows |
| US11200548B2 (en) | 2019-12-09 | 2021-12-14 | Evan Chase Rose | Graphical user interface and operator console management system for distributed terminal network |
| CN114390524B (zh) * | 2021-12-22 | 2024-04-23 | 支付宝(杭州)信息技术有限公司 | 一键登录业务的实现方法和装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6934858B2 (en) * | 1999-12-15 | 2005-08-23 | Authentify, Inc. | System and method of using the public switched telephone network in providing authentication or authorization for online transactions |
| CN1855814A (zh) * | 2005-04-29 | 2006-11-01 | 中国科学院计算机网络信息中心 | 一种安全的统一身份认证方案 |
| CN101304318A (zh) * | 2008-07-04 | 2008-11-12 | 任少华 | 安全的网络认证***和方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7870599B2 (en) * | 2000-09-05 | 2011-01-11 | Netlabs.Com, Inc. | Multichannel device utilizing a centralized out-of-band authentication system (COBAS) |
| US7765580B2 (en) * | 2000-12-22 | 2010-07-27 | Entrust, Inc. | Method and apparatus for providing user authentication using a back channel |
| US8751801B2 (en) * | 2003-05-09 | 2014-06-10 | Emc Corporation | System and method for authenticating users using two or more factors |
| US8813181B2 (en) * | 2005-03-07 | 2014-08-19 | Taun Eric Willis | Electronic verification systems |
| US20070056022A1 (en) * | 2005-08-03 | 2007-03-08 | Aladdin Knowledge Systems Ltd. | Two-factor authentication employing a user's IP address |
| US20070220594A1 (en) * | 2006-03-04 | 2007-09-20 | Tulsyan Surendra K | Software based Dynamic Key Generator for Multifactor Authentication |
| US8646071B2 (en) * | 2006-08-07 | 2014-02-04 | Symantec Corporation | Method and system for validating site data |
| US7953887B2 (en) * | 2008-02-14 | 2011-05-31 | International Business Machines Corporation | Asynchronous automated routing of user to optimal host |
| US7912927B2 (en) * | 2008-03-26 | 2011-03-22 | Microsoft Corporation | Wait for ready state |
| US8006291B2 (en) * | 2008-05-13 | 2011-08-23 | Veritrix, Inc. | Multi-channel multi-factor authentication |
-
2009
- 2009-09-02 CN CN200910258401.6A patent/CN102006271B/zh not_active Expired - Fee Related
- 2009-09-02 US US12/553,056 patent/US8156335B2/en not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6934858B2 (en) * | 1999-12-15 | 2005-08-23 | Authentify, Inc. | System and method of using the public switched telephone network in providing authentication or authorization for online transactions |
| CN1855814A (zh) * | 2005-04-29 | 2006-11-01 | 中国科学院计算机网络信息中心 | 一种安全的统一身份认证方案 |
| CN101304318A (zh) * | 2008-07-04 | 2008-11-12 | 任少华 | 安全的网络认证***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102006271A (zh) | 2011-04-06 |
| US20100107228A1 (en) | 2010-04-29 |
| US8156335B2 (en) | 2012-04-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102006271B (zh) | 用于在线交易的ip地址安全多信道认证 | |
| EP1922632B1 (en) | Extended one-time password method and apparatus | |
| US8528076B2 (en) | Method and apparatus for authenticating online transactions using a browser and a secure channel with an authentication server | |
| JP6012125B2 (ja) | 問い合わせ型トランザクションによる強化された2chk認証セキュリティ | |
| CN105357186B (zh) | 一种基于带外验证和增强otp机制的二次认证方法 | |
| EP1615097B1 (en) | Dual-path-pre-approval authentication method | |
| US20070220275A1 (en) | WEB AUTHORIZATION BY AUTOMATED INTERACTIVE PHONE OR VoIP SESSION | |
| JP5739008B2 (ja) | 通信セッションを検証する方法、装置、およびシステム | |
| CN106027501B (zh) | 一种在移动设备中进行交易安全认证的***和方法 | |
| US20080022085A1 (en) | Server-client computer network system for carrying out cryptographic operations, and method of carrying out cryptographic operations in such a computer network system | |
| KR20090031672A (ko) | 무선 트랜잭션을 위한 인증 방법 | |
| CN103905194B (zh) | 身份溯源认证方法及*** | |
| US11403633B2 (en) | Method for sending digital information | |
| CN104702562B (zh) | 终端融合业务接入方法、***与终端 | |
| JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| US8826401B1 (en) | Method and system using a cyber ID to provide secure transactions | |
| KR20170070379A (ko) | 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템 | |
| US20040010723A1 (en) | Network security method | |
| TWI394420B (zh) | 用於線上交易的ip位址安全多通道認證 | |
| WO2010070456A2 (en) | Method and apparatus for authenticating online transactions using a browser | |
| KR101267489B1 (ko) | 전화 승인을 이용한 사기 예방 방법 및 그 시스템 | |
| KR101414566B1 (ko) | 부정 금융거래 요청 판단 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140924 Termination date: 20210902 |