CN102301642B - 安全交易认证 - Google Patents
安全交易认证 Download PDFInfo
- Publication number
- CN102301642B CN102301642B CN200980154997.3A CN200980154997A CN102301642B CN 102301642 B CN102301642 B CN 102301642B CN 200980154997 A CN200980154997 A CN 200980154997A CN 102301642 B CN102301642 B CN 102301642B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- digital
- mobile phone
- communication equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/08—Payment architectures
- G06Q20/10—Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/326—Payment applications installed on the mobile devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/42—Confirmation, e.g. check or permission by the legal debtor of payment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/42—Confirmation, e.g. check or permission by the legal debtor of payment
- G06Q20/425—Confirmation, e.g. check or permission by the legal debtor of payment using two different networks, one for transaction and one for security confirmation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Finance (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
一种用于对在交易用户(9)和安全交易主持方(15)之间的安全交易进行授权的方法和***。***包括一套安装在交易用户手机(7)上的手机应用软件(59),配置为可编排一个与软件安装在其上的专用手机(7)存在独一无二关联的数字指纹(13)。***还包括一家认证服务提供商,通过该服务商,***的用户可至少将由安装在他们的移动通信设备上的应用软件所编排的数字标识注册到认证服务器(5)中,从而实现登记。认证服务提供商配置为,应安全交易主持方的要求,将交易确认请求发送至登记用户的手机处,请求他们在允许完成这种交易之前对安全交易进行确认或者拒绝,以这种方式对安全交易进行认证。
Description
技术领域
本发明涉及一种认证安全交易的方法。特别地,但不是排他的,本发明涉及一种认证用户身份引导安全交易,特别是安全在线交易的方法。
本发明扩至用户认证***和用户需要进行用户认证时使用的一种平台。
背景技术
密码或安全钥匙被广泛用于对电子媒体,例如计算机程序或互联网站,包括银行业务网站的授权通道进行控制。一般来说,当用户想要获得程序/网站的授权通道时,用户必须输入登录标识(用户名)和密码。然后程序/网站将这些信息同安全数据库中的条目进行比对,只有当登录标识和密码与数据库条目正确联系起来时通道才被授予。使用登录标识和密码来控制授权通道的方法被称为单要素认证。
计算机网络,例如因特网上的密码保护型资源从最简单的服务,例如管理您的电子邮件列表订购,到需要高级加密和保护的服务,例如交易资产组合和银行业务。随着技术发展和不道德经营者的激增,特别是在在线竞技场方面,只通过用户名和密码来保护这些敏感资源已不能满足要求,实际上是越来越罕见。仅密码保护的主要缺点是任何人在任何地方任何时候只要知道单条重要信息,就可在未获授权的情况下对其想要保护的敏感数据进行存取。
因此单要素认证具有相对较弱的保护性,因为它仅依靠用户保护他/她的登录标识和密码信息。此外,已经出现了被称为“键记录”的软件,可作为“间谍软件”安装在计算机上,可记录用户在计算机键盘上的任何击键动作。这种间谍软件通常被犯罪分子悄悄安装在公共场所,例如网吧计算机上,允许第三方悄悄记录用户登录标识和密码并在后来使用它们对用户安全信息进行未获授权的存取。因此这是一种规避单要素认证的简单方法。
据申请人所知,最近在提升安全性方面的尝试利用了用户的手机,因为假设了在用户和他/她手机之间存在一一对应的关系。为使用该技术,假定手机始终是归用户所有。短消息服务(SMS)消息现在是传递安全信息的优选方式,一般情况下将服务提供商(例如一家金融机构)发出的文本格式的消息发送至用户的手机上。消息一般包括一个单独的、独一无二的一次性PIN码(OTP),用户随后必须手动将该码与他/她的正常登陆信息一起输入到它想要使用的安全环境中,或者在进行安全交易前输入。虽然该技术增加了一个额外安全层级,但是通过某些技术,例如SIM卡克隆,仍然会使它受到滥用。它仍然需要用户通过手机将8位代码输入到网站上或者它想要执行的其它类型的安全交易中。该技术的另一个缺点是提供安全交易的机构需要投入较高成本,因为每次用户需要认证时都必须通过GSM网络提供商来发送SMS信息。在任何特定会话期间认证可能会发生多次,且一般情况下GSM网络提供商都会单独地对每条消息进行收费。
其它完全离线的解决方案也基于每次用户想要进行安全交易时通过移动数字设备随机生成安全钥匙的机理。一般来说安全钥匙是一串根据预先确定算法生成的无意义散数或者储存在设备上且安全环境可识别为它是由核准设备发出的私人密钥。该解决方法导致发行机构(大多数情况下为银行)需要承担初始硬件费用而用户被迫随身携带额外的硬件。此外,该技术在允许用户进行安全交易前,还需要用户输入往往冗长复杂的安全钥匙。从移动数字设备处誊写安全钥匙时发生错误将导致交易遭拒绝,这种情况一般会显著增加交易的延迟时间,因为用户不得不谨慎地誊写安全钥匙。但是该解决方法还受到各种不同安全威胁的影响。由于它是完全的离线解决方案,易使其在用户未知的情况下受滥用的影响。此外如果钥匙(OTP)生成设备被偷,窃贼将拥有生成合法OTP码的设备,窃贼所有需要的仅是合法用户名和密码,这些都可通过间谍软件或其它方式轻松获取。
因此现今申请者所熟知的用户认证***使用单要素认证方式(用户名和密码)或者离线双要素认证方式(如前两段内容所述)来保护敏感信息。一般来说双要素认证(T-FA)指的是一种使用两种不同元素或要素来认证人员身份或者信息的***。一般情况下双要素包括将要认证的人员在其拥有物(例如安全钥匙生成硬件设备或者上述例子中的手机)上的某些信息,以及他/她知道的信息(例如用户名和密码)。与单要素相比,使用双要素具有较高的认证完整性。任何使用了超过一种要素的认证类型一般都被称作强认证。
在本说明书的下述内容中,术语“安全交易”将被广泛解释,并且给出了一些例子,包括在进行安全操作前或者在将通道赋予到安全环境前所需要的用户认证。类似的,“安全交易主持方”或“客户端”也将被广泛解释,以将任何提供安全服务且需要为其用户进行认证以便提供服务的机构包含在内。
发明内容
本发明的一个目的是提供一种至少可以部分地减轻现有认证***存在的上述问题的安全交易认证***和方法。
本发明提供了一种用于在安全交易主持方和交易用户之间进行安全交易的认证方法,该方法在认证服务提供方处执行,包括下述步骤:从安全交易主持方处接收认证请求;从与交易用户相关联的移动通信设备处接收数字标识,该数字标识唯一地与特定的移动通信设备相关联;将数字标识与一列保存在与认证服务提供商相关联的数据库中的与事先登记用户的移动通信设备相关联的数字标识进行比较;如果接收到的数字标识与一个保存在数据库中的数字标识相对应,则将交易确认请求发送至交易用户的移动通信设备,该请求要求用户确认或拒绝预期进行的安全交易;从移动通信设备处接收确认或拒绝结果;作为对确认结果的响应,将正面的认证结果发送至安全交易主持方;作为对否定结果的响应,将负面的认证结果发送至安全交易主持方。
本发明的另一个特点是将手机作为移动通信设备使用。
本发明的一个特点是提供的方法包括了下述步骤:在接收到从安全交易主持方处发出的认证请求后,从移动通信设备处要求数字标识;如果接收到的数字标识与存储在数据库中的一个数字标识相对应,则在交易用户的移动通信设备和认证服务提供商之间建立安全通信链路;通过安全通信链路发送交易确认请求并通过安全通信链路接收确认或拒绝的结果;对于从与交易用户相关联的移动通信设备处接收数字标识的步骤,包括从安全通信设备上的安全存储位置处接收数字标识,通过安装在移动通信设备上的认证应用软件,该数字标识从该位置是可恢复的。
本发明还提供一种用于对在交易用户和安全交易主持方之间的安全交易进行认证的***,该***包括:一种配置为可安装在移动通信设备上的移动通信设备应用软件,以编排与专用移动通信设备独立相关的数字标识,以及用来将数字标识保存在移动通信设备上的存储位置处;和一家认证服务提供商,包括至少一个认证服务器和与此相关的一套认证数据库;其中认证服务器配置为登记用户的方式,用户至少通过由安装在移动通讯设备上的应用软件编排的数字标识注册到认证数据库中;从安全交易主持方处接收认证请求;从交易用户的移动通信设备处接收数字标识;将接收到的数字标识同一列与保存在数据库中的预先登记用户的移动通信设备相关联的数字标识进行比较;如果接收到的数字标识与一个保存在数据库中的数字标识相对应,则将交易确认请求发送至交易用户的移动通信设备,要求用户确认或拒绝预期进行的安全交易;从交易用户的移动通信设备处接收确认或拒绝结果;作为对确认结果的响应,将正面的认证结果发送至安全交易主持方;作为对否定结果的响应,将负面的认证结果发送至安全交易主持方。
本发明的其它特点包括:如果接收到的数字标识与存储在数据库中的一个数字标识相对应,则在服务器和交易用户的移动通信设备之间建立通信链路;通过通信链路传送交易确认请求以及确认或拒绝的结果;使用手机作为移动通信设备;移动通信设备应用软件为可通过手机和因特网从与认证服务提供商相关联的网域处下载的应用软件;数字标识是根据安装有应用软件的手机的国际移动设备标识码(IMEI)、在手机中使用的SIM卡的国际移动用户识别码(IMSI)和保存在手机存储器中的一串随机数字进行编排的;应用软件可通过手机上运行的操作***的数字权利管理功能确保手机上存储位置的安全并进行存取;只有获得许可的应用软件,最好只有该应用软件,才可以对保存在手机上的独立标识进行存取。
本发明的其它特点包括:配置的应用软件会使用手机的IMEI码、手机SIM卡的IMSI码和新生成的随机数字定期编排新的数字标识;在每次成功交易认证后都会编排新的数字标识,每个新的数字标识都保存在手机上的安全保存位置处并在完成编排后上传至认证数据库。
本发明的其它特点包括:当用户登记到认证服务器时,与用户相关联的额外信息将被记录到认证数据库中,额外信息包括一条或多条个人信息、银行账户详细信息和***详细信息;当应用软件被下载至手机上时,将为用户产生并分配一个登记安全钥匙,登记安全钥匙赋予用户登记到认证服务器上的权利,供被要求提供个人认证信息以允许其登记到认证服务提供商处的用户使用。
本发明的其它特点包括:提供一种***,它包括一个认证网络服务器,客户端或客户端应用软件可通过它与认证服务器进行连接;网络服务器定义了多个XML-RPC查询,客户端机构可通过这些查询对认证服务器进行认证查询;网络服务器使得对认证服务器进行查询的结果可通过独立变量的方式进行使用,客户端机构可读取独立变量,防止客户端机构直接对认证服务器和数据库进行存取。
本发明的另外一个特点是提供通信链路,具体是无线GSM或CDMA通信链路,如果是GSM网路最好使用GPRS链路。
本发明的其它特点包括:提供一种应用软件,配置后可发起适当警报并在交易用户手机屏幕上弹出信息,作为对来自认证服务器的确认或拒绝的响应,弹出信息请求用户通过按下按键的方式对安全交易的预期使用进行确认或拒绝;对认证服务器进行配置,当认证服务器试图将确认或拒绝请求传送至交易用户的手机时,如果通信链路还没有被建立起来,则将文本信息传送至交易用户的移动通信设备处,提示用户建立通信链路;以SSL或TLS安全消息的方式通过通信链路进行通讯。
本发明的其它特点包括:提供认证服务提供商,包括多个由一个负载平衡服务器驱动的认证服务器,其中负载平衡服务器可根据各个服务器上的负载将服务器分配给交易用户的移动通信设备;提供一种安全交易,包含任意一个或多个由安全客户端网域的通道、在线金融交易、离线金融交易、在线购买、离线购买、数据库存取、信息存取、楼宇或其它经营场所的物理通道、计算机网络的通道、订户网址、网络入口和类似物构成的分组;以及只有在成功接收到从认证服务器处发出的认证结果后,交易用户才被允许进行一次成功的安全交易。
附图说明
通过阅读下述以举例方式出现的说明,并参照附图可更好地理解本发明,在附图中:
-图1是符合本发明的认证***的简要示意图;
-图2是符合本发明另一实施方式的集成了网络服务器和负载平衡服务器的认证***的简要示意图;和
-图3是典型手机内存布局的简要示意图。
具体实施方式
在最简单的装置中,如图1所示,一个安全交易认证***(1)包含一个认证服务器(3)、一个认证数据库(5)和一个移动通信设备应用软件(未显示)。应用软件被配置为安装在移动通信设备(7)上,在大多数情况下,该移动通信设备都是用户(9)的手机。应当理解为服务器(3)、数据库(5)和应用软件由认证服务提供商进行实施、运行和维护,并提供一种认证操作可以被执行的认证平台。
为了对认证***(1)加以利用,用户(9)必须登记到认证服务提供商处。当用户(9)通过手机(7)上的手机因特网浏览器软件将应用软件下载到他/她的手机(7)并安装在手机上后可完成登记。在下载应用软件的时候,服务器(3)也生成用户(9)在登记时需要用到的安全钥匙。用户可手动将应用软件安装在手机(7)上,或通过以无线电(OTA)消息方式发送至用户手机的应用软件直接链接的帮助下自动进行安装。手机(7)应用软件和认证服务器(3)之间的通信通过GSM网络(11)来完成,最好是通过通用分组无线业务(GPRS)协议来完成。但是可以预见的是可使用任何其它合适的双向通信网络和协议。
然后应用软件产生一个独一无二仅与用户(9)专用手机(7)相关联的数字标识(13)(下文中称为指纹)。指纹(13)是根据手机(7)上的独一无二国际移动设备标识码(IMEI)、分配给用户且在手机中使用的SIM卡的国际移动用户识别码(IMSI)和由应用软件生成的一串随机数字进行生成的。指纹(13)是自动产生的,无需用户(9)信息和介入,它保存在手机(7)上的一处安全存储区域内,只有获得授权的应用软件,最好只有认证应用软件,才能从该存储区域读取数据。因此在数字指纹和手机间具有一一对应的关系。假设一般情况下一位用户始终拥有属于其自己的手机,因此意味着在数字指纹(13)和用户(9)之间具有一一对应的关系。
完成安装后,用户(9)可打开他/她的手机(7)上的应用软件并选择登记到认证服务提供商处。然后应用软件将包括手机(7)的数字指纹(13)和安全钥匙在内的登记请求通过GPRS发送至服务器(3)。
服务器(3)接收登记请求和安全钥匙并认出一套新设备想要进行注册(登记)。如果登记安全钥匙有效,则服务器(3)接收登记请求并对想要登记到授权服务器(5)上的手机(7)的数字指纹(13)进行保存。此时,用户(9)手机会注册于认证服务并且认证服务器(3)会对手机(7)进行独一无二的识别。
本发明举例的剩余内容将会根据用户(9)试图引导一次安全在线(因特网)银行业务交易的行为进行解释。但是,应当理解为该举例也同样适用于任何数量的安全交易,包括但并不是局限于安全客户端网域的通道、在线金融交易、离线金融交易、在线购买、离线购买、数据库的存取、信息的存取、楼宇或其它经营场所的物理通道、计算机网络的通道、订户网址、网络入口和类似物。
为了登录进用户的因特网银行账户中,用户(9)首先通过个人计算机(17)、笔记本电脑或其它上网设备进入到保存有用户账户信息的金融机构(15)网站上。然后用户(9)在其自己的计算机(17)上将账户编号(等同于用户名)和密码输入到银行业务网站上。在往下进行登录前,用户(9)在他/她的手机(7)上启动认证应用软件。启动时,应用软件通过网络以GPRS协议的方式将数字指纹(13)发送至认证服务器(3),服务器接收到后将其与数据库(5)中所有登记手机的数字指纹进行比较。如果数字指纹(13)与数据库(5)中的一个预先登记指纹相符,则用户(9)手机(7)登录到认证平台上,并且在认证服务器(3)和手机(7)间建立一条直接实时的通信链路。从此往后手机(7)和认证服务器(3)相互之间通过安全套接层协议(SSL)或传输层安全协议(TLS)保护的报文发送方式直接进行通信。
在用户(9)请求登录到他的银行业务账户上后,金融机构(15)请求从认证服务器(3)处获得用户(9)的认证。接下来认证服务器(3)将交易确认请求发送至手机(7),由应用软件进行接收。应用软件将触发在手机屏幕上弹出信息,并发出适当警报以吸引用户(9)的注意力。弹出信息包括用户(9)试图进行的交易的信息,并请求用户通过按下按键的方式对交易进行确认(接受)或拒绝(否决)。如果用户(9)确认了交易,则应用软件将该确认结果传送至服务器(3),然后服务器将正面认证结果发送至金融机构服务器(15)处。然后金融机构(15)允许用户(9)往下进行到用户的因特网银行账户处。
现在用户(9)成功登陆他的因特网银行账户并像往常一样继续银行业务。在因特网银行业务会话期间,可发出任意数量的额外认证请求,这取决于用户(9)试图进行的交易的类型以及银行决定以何种方式实施本发明中提供的安全层。
如果用户(9)在手机上选择了拒绝确认请求,则该拒绝结果也将通过应用程序传送至服务器处,然后服务器将负面认证结果发送至金融机构服务器(15)(安全交易主持方)处。相应地在用户计算机(17)上拒绝用户提请的登陆,并显示出对应的登陆失败信息。因此该例子说明了只有当用户基于交互方式明确地对发送至用户手机上的登陆请求进行确认(接受)时,用户才可以登陆到他的账户上。因为数字指纹无法进行复制,除非对用户手机进行控制,所以意味着任何第三方在没有获得用户的用户名、密码以及控制手机的情况下都无法登陆到用户的认证保护网域中。
在图2中给出了本发明的一个更复杂的***(1)实施例。该图中,标明的项目与上文中参照图1所给出的项目相同或者相似,具有相似的数字表示。本实施例中的用户认证***(1)包括多个认证服务器(3),虽然图中只给出了一个,一个认证服务器(5)和安装在用户(9)手机(7)上的移动通信设备应用软件(未显示)。此外,***(1)包括一个用来同客户端网络服务器(23)进行连接的网络服务器(21)。网络服务器(21)提供一个定义好的接口,通过这种方式,任何客户端服务器(23)都可通过网络服务器(21)将认证请求传输至认证数据库(5)或认证服务器(3)处。网络服务器通过为客户端提供许多预先定义的XML-RPC查询对连接至客户端软件的接口进行定义,这些查询可发送至网络服务器(21)处(XML-RPC是一种远程过程调用协议,使用XML对调用进行编码,使用HTTP作为传送机制)。网络服务器(21)只允许由XML-RPC接口定义的查询,因此允许认证平台定义规则,通过这些规则可对信息进行存取。
当接收到一个查询时认证网络服务器(21)还同数据库(5)进行连接,并通过一个变量将该查询的结果返回,其中变量可通过客户端机构网络服务器(23)进行获取。这样可确保不会在未获授权的情况下对认证数据进行存取,因为只有***(1)自身组件才可直接存取这些数据。
图2还表明了***(1)是如何对用于典型因特网银行业务客户端机构的用户登录过程进行引导的。在阶段(27)处,用户(9)启动他或她的手机(7)上的认证应用软件,然后应用软件将连接请求(通信链路的建立)发送至构成***(1)一部分的负载平衡服务器(29)。然后负载平衡服务器(29)从所有可供使用的认证服务器中选择当前具有最小负载的认证服务器(3),并在阶段(31)处将用户(9)的手机(7)分配至该服务器(3)上。然后用户(9)在阶段(33)处从他/她的个人计算机(17)处登录到他/她的因特网银行业务网站和账户中,这些都由相关银行网络服务器(23)进行管理。在阶段(35)处,银行网络服务器(23)以XML-RPC请求的方式将认证请求发送至认证网络服务器(21)处,然后网络服务器(21)开始轮询是否有认证结果出现。在阶段(39)处网络服务器(21)将请求放置到待定请求的表格(37)中。然后分配给手机(7)的认证服务器(3)在阶段(41)处从表格(37)处将请求提取出来,并在阶段(43)处通过通信链路将确认请求发送至手机处,作为对它的响应,应用软件将请求用户(9)通过按下适当按键的方式对登录进行确认(接受)或者拒绝(否决)。在阶段(45)处,用户响应也通过通信链路传输至认证服务器(3),然后服务器(3)在阶段(47)处将认证结果放回到表格(37)中。然后网络服务器(21)从表格(37)处读取认证结果,并当在阶段(49)处对其进行轮询期间将其提供给银行的客户端服务器(23)。如果认证成功,则用户(9)将登录进客户端银行他/她的因特网银行账户中。
如果碰到用户试图通过使用本发明中认证***的客户端进行安全交易,但是没有事先在认证服务器和用户手机间建立通信链路的情况,认证服务器可被配置为自动将普通SMS信息发送至用户手机的方式,提示用户在其手机上启动认证应用软件,然后将与认证服务器之间建立通信链路。但是可以预见的是只有当用户要求远程启动手机应用软件的功能时,认证服务器才可能具有此功能。认证服务提供商和交易用户手机之间也可通过SMS或其它合适消息的方式进行通信,无需在服务提供商和手机之间建立安全通信链路。
可以预见的是手机应用软件还可以通过其自有密码做进一步保护,在这种情况下,以非法方式拥有该手机的人员甚至无法启动应用软件,更不用说与认证服务器之间建立通信链路。
对于本发明的安全操作而言很重要的一个方面是手机上的安全存储位置,认证应用软件将手机的指纹存储在该位置处。只有获得授权的应用软件,最好只有认证应用软件本身才能对指纹进行恢复并解释。通过这种方法,第三方即使可以使用手机也无法获取手机独一无二的指纹信息。因此数字指纹绝不要显示出来,手机是在未察觉的情况下使用的。可通过对被盗用手机重新编程或者修改手机上J2ME应用程序的方式对手机的IMEI码进行复制。类似的,通过修改手机J2ME应用程序也可对手机SIM卡的IMSI码进行克隆、仿真或复制。此外,通过修改J2ME应用程序可从手机处复制或恢复包含随机号码的文件。因此将指纹保存在一处安全存储位置处非常重要。为了达到此目标,本发明建议将手机独一无二的数字指纹保存在手机上手机操作***不允许认证程序(或者其它由其专门认可的应用程序)对其进行存取和改变的位置处。此外,指纹可具有伪随机属性,当每一次用户成功认证并对手机和认证数据库中的指纹进行更新时会执行这些属性。每一次用户成功认证后,可对生成指纹过程中使用的随机码进行更改并通过IMEI、IMSI和新的随机码重新编译指纹,也可以实现该目标。通过这种方式,用户仍然与手机存在独一无二的联系,破坏安全的行为或手机数字指纹的泄漏将只会在下一次用户成功认证之前有效。
此外可预计的是通过利用手机操作***的数字权利管理(DRM)功能,将独一无二的签名包含在认证应用程序代码中,可对签名的存取进行限制。大多数手机支持标准的OMADRM(开放移动通信联盟数字权利管理),确保了数据被保存到手机后,未获授权方将无法对其进行恢复。本发明的认证***利用了该功能性,将独一无二的密钥保存在手机上该DRM保护区域内。这样使得某些人无法在未获得授权的情况下对安全密钥进行存取。
如图3所示,一个手机存储器通常包括指定的存储区域(51),与手机操作***(53)相关的数据和其它数据文件(55)分别保存在该区域内。在操作***存储区域(53)内可以保存许多不同的应用程序,包括在大多数手机上在Java虚拟机(JVM)运行时环境中运行的一组应用程序。本发明中的认证应用程序是可以在JVM环境中运行的应用软件(59)之一。手机存储器文件***(55)一般来说包括一个与DRM保护区域相对应的保护区域(61)大多数在JVM环境中运行的应用程序都使用一段被称为“JVM记录集”(63)的保护区域(61),敏感信息被保存在该区域内。但是JVM记录集(63)的一个缺点是在JVM运行时环境中运行的任何应用程序和JVM记录集(63)之间允许建立完全双向通道。因此任何想要对保存在JVM数据集(63)中的信息进行存取的无道德操作人员仅仅需要编写在JVM运行时环境中运行的独立程序以便可以进行这种存取。但是本发明的认证应用程序(59)利用了保护区域(61)的一个部分(65),并通过只允许应用程序本身(59)对该部分(65)进行存取的方式对其进行管理,图3中做了进一步的说明。因此应当理解为可以将数字指纹同附加安全信息的一起保存,通过这种方式,只有应用程序(59)才能对其进行存取。
因为将认证应用软件上传至手机是不安全的,因此需要将附加签名保存在手机上。在手机独一无二的签名已经在认证数据库上获得验证后,该附加签名将被保存在手机上。当手机上的认证应用程序启动时,认证服务器将分享手机独一无二的签名以及附加签名。每次有效认证后,附加签名都将保存或更新到手机上。达到此目标的一种方法是使用密码加密***。该方法使用一对私人和公共密钥,数据可通过该对密钥进行加密和解密。通过私人密钥进行加密的数据可通过公共密钥进行解密,反之亦然。典型地私人密钥由认证服务器进行保存,而公共密钥可供手机认证应用程序进行使用。当在本发明***中使用时,手机可在成功连接到服务器的情况下使用公共密钥进行加密。然后只有真正的拥有私人密钥的认证服务器才可对该数据进行解密。这可有效地防止所谓的“中间人”的攻击。
应当理解,上述认证***和方法在很大程度上可以消除各种不同已知认证***上产生的威胁。特别地,它可消除SIM卡克隆所产生的威胁。因为指纹对每个手机都是独一无二的且包含与实际手机和SIM卡相关联的硬件和软件方面信息,所以在另外手机中使用克隆SIM卡将产生完全不同的无法登记到认证***上的指纹,因此使得试图使用SIM卡作为对本发明中认证***保护的网域进行存取的媒介变得完全没有必要。如果用户手机被盗,用户必须将该事件报告至认证服务提供商,以便将IMEI和IMSI码其中之一或者两个都登记为被盗和阻止状态。因此任何后续认证尝试都不会成功。由于手机和认证服务器之间协议的本性,本发明中的***可以很快并非常高效地发现犯罪意图。因为用户实际上从来不会输入登录详细信息(数字指纹),因此任何尝试与未登记手机建立连接的手机都几乎肯定表明用户试图规避***。
根据本发明,一位用户每次进行安全交易时都会要求用户以交互方式实时地确认(接受)或者拒绝(否决)交易。因此符合本发明的***提供了一种使用个人手机以便独一无二地对用户进行认证的方法。
本发明的一个附加优点是当用户对从认证服务器处发过来的确认请求进行批准或拒绝后,视情况而定,将会立即赋予通道或许可以进行安全交易,从而完全不需要用到OTP和类似校验码。因此一位拥有用户的安全用户名和密码的局外人将仍然不会代表用户进行交易。
因此符合本发明的认证***提供了一种平台,客户端可凭借此平台为任何安全交易获得双要素实时在线认证。
符合本发明的***与现有认证***的集成是直截了当的,因为提供了完备的XML-RPC接口从而使与认证服务器和数据库之间的通信变得容易。对于非基于网络的应用程序的集成,提供了应用程序接口(API),允许开发人员定制化平台以适合用户自己的应用程序。
上述内容仅以举例方式进行说明,应当理解为在没有背离发明范围的情况下会对所述发明进行为数众多的修改和添加。特别地,应预想到本发明还可能包含一个离线元件,当因为没有GRPS信号或信号太弱而造成手机无法与认证服务器之间建立通讯链路,或者当手机是基于预付费合同方式运行而缺乏资金时,可使用该元件。在这些状况下,认证服务器会自动通过GRPS检测无法进行连接的情况,可自动将认证模式切换为离线模式。在离线模式中,用户手机上的移动应用程序可在离线模式下使用,在该模式下它会生成OTP,用户将其输入以对受符合本发明的认证***保护的网域进行存取。然后用户可在它正在使用中的实用程序上将OTP输入以便对其身份进行认证。
此外应当理解为当手机应用程序在离线模式下运行时可能使用保存在手机上的一串随机码(下文中被称为种子数)和数字指纹以生成OTP,并且每当在手机应用程序和认证服务器之间进行了成功通信后都会对种子数进行更新。
此外应当理解为本发明的认证***会消除当GSMSIM卡被克隆时所存在的问题。如果碰到克隆SIM卡的情况,两张激活的SIM卡同时或者其中一张会收到由金融机构发出的SMS消息(通过GSM提供商):即合法用户或者想要欺骗用户的人员或者两者都会收到。鉴于会出现这种情况,很有可能合法用户直到交易完成后甚至也不会收到有关根据用户账户进行交易的SMS通知。本发明的认证***允许在完成任何一次交易前都由交易用户对每次安全交易进行批准或拒绝。因为用于批准或拒绝交易的请求会被有效地发送至指纹处,而不仅仅只是发送至交易用户的IMSI或SIM卡处,所以***不会受到SIM克隆的影响。由于其交互本性,因此它具有非常齐全的装备,可识别强力攻击企图,并对其作出回应,从而抵御住攻击。
应预想到,本***可以启动其它建立在它基础上的安全解决方案的能力,允许在不对现有***进行任何变更的情况下用于许多未来应用。认证过程和平台的交互本性为将要在其上施行的无限可能性和创新性留出了空间。例如,用户还可使用本发明的认证***对由第三方做出的交易进行认可,作为由用户决定的最终批准或拒绝意见。本发明甚至还可被用于以更快方式进行ATM交易、实现安全手机银行业务以及在银行账户持有人和非银行账户持有人之间进行电子资金调拨,还有很多其它应用,这里就不一一列举了。
Claims (25)
1.一种用于在安全交易主持方(15)和交易用户(9)之间进行安全交易的认证方法,该方法在认证服务提供方处执行,包括下述步骤:
从安全交易主持方(15)处接收认证请求;
从与交易用户(9)相关联的移动通信设备(7)处接收数字标识(13),通过该数字标识(13)可以唯一地确定所述移动通信设备(7),所述数字标识(13)由安装在所述移动通信设备(7)上的认证应用软件生成,以在所述数字标识和所述移动通信设备间建立一一对应的关系,所述数字标识(13)保存在所述移动通信设备(7)上的一处安全存储区域内,所述认证应用软件能够从该存储区域读取数据;
将数字标识(13)与一列保存在与认证服务提供商相关联的数据库(5)中的与事先登记用户的移动通信设备相关联的数字标识进行比较;
如果接收到的数字标识(13)与一个保存在数据库(5)中的数字标识相对应,则在交易用户(9)的移动通信设备(7)和认证服务提供商之间建立一个安全通信链路,所述安全通信链路的建立由所述移动通信设备上的认证应用软件的启动来发起;
通过所述安全通信链路将交易确认请求发送至交易用户(9)的移动通信设备(7),该请求要求交易用户(9)确认或拒绝预期进行的安全交易;
从移动通信设备(7)处接收确认或拒绝结果;
作为对确认结果的响应,将正面的认证结果发送至安全交易主持方(15);
作为对否定结果的响应,将负面的认证结果发送至安全交易主持方(15)。
2.如权利要求1中所述的方法,其中移动通信设备是一只手机(7)。
3.如权利要求1或2中所述的方法,包含在接收到从安全交易主持方(15)处发出的认证请求后,从移动通信设备(7)处要求数字标识(13)的步骤。
4.一种用于对在交易用户(9)和安全交易主持方(15)之间的安全交易进行认证的***(1),该***包括:
一家认证服务提供商,包括至少一个认证服务器(3)和与此相关的一套认证数据库(5),并运行一种配置为可安装在移动通信设备(7)上的移动通信设备认证应用软件(59);
其中移动通信设备认证应用软件(59)用于编排数字标识(13),安装了所述认证应用软件的移动通信设备(7)可以唯一地被所述数字标识(13)所确定,以及用于将数字标识(13)保存在移动通信设备(7)上的存储位置(65)处或将所述数字标识(13)从所述存储位置(65)处恢复出来;
其中认证服务器(3)配置为登记用户的方式,用户至少通过由安装在移动通信设备上的认证应用软件(59)编排的数字标识(13)注册到认证数据库(5)中,每个数字标识能够唯一地确定将其编排的移动通信设备;从安全交易主持方(15)处接收认证请求;从交易用户(9)的移动通信设备(7)处接收数字标识(13);将接收到的数字标识(13)同一列与保存在认证数据库(5)中的预先登记用户的移动通信设备相关联的数字标识进行比较;如果接收到的数字标识(13)与一个保存在认证数据库(5)中的数字标识相对应,则在交易用户(9)的移动通信设备(7)和认证服务提供商之间建立一个安全通信链路,所述安全通信链路的建立由所述移动通信设备上的认证应用软件的启动来发起;作为对接收所述认证请求的响应,通过所述安全通信链路将交易确认请求发送至交易用户(9)的移动通信设备(7),要求交易用户(9)确认或拒绝的预期进行的安全交易;从交易用户(9)的移动通信设备(7)处接收确认或拒绝结果;作为对确认结果的响应,将正面的认证结果发送至安全交易主持方(15);作为对否定结果的响应,将负面的认证结果发送至安全交易主持方。
5.如权利要求4所述的***,其中移动通信设备是一只手机(7)。
6.如权利要求5所述的***,其中所述移动通信设备认证应用软件(59)为可通过手机(7)和因特网从与认证服务提供商相关联的网域处下载的应用软件。
7.如权利要求4到6中任何一个所述的***,其中数字标识(13)是根据安装有应用软件的手机(7)的国际移动设备标识码(IMEI)、在手机(7)中使用的SIM卡的国际移动用户识别码(IMSI)和保存在手机存储器中的一串随机数字进行编排的。
8.如权利要求4中所述的***,其中认证应用软件(59)可通过手机(7)上运行的操作***的数字权利管理功能确保手机(7)上存储位置(65)的安全并进行存取。
9.如权利要求8中所述的***,其中只有获得许可的应用软件,才可以对保存在手机(7)上的独立标识(13)进行存取。
10.如权利要求4中所述的***,其中认证应用软件(59)配置为,会使用手机的IMEI码、手机SIM卡的IMSI码和新生成的随机数字定期编排新的数字标识。
11.如权利要求10中所述的***,其中在每次成功交易认证后都会编排新的数字标识,每个新的数字标识都保存在手机(7)上的安全保存位置(65)处并在完成编排后上传至认证数据库(5)。
12.如权利要求4中所述的***,其中当用户登记到认证服务器时,与交易用户(9)相关联的额外信息将被记录到认证数据库(5)中,额外信息包括一条或多条个人信息、银行账户详细信息和***详细信息。
13.如权利要求6中所述的***,其中当认证应用软件(59)被下载至手机(7)上时,将为交易用户(9)产生并分配一个登记安全钥匙,登记安全钥匙赋予用户登记到认证服务器(3)上的权利。
14.如权利要求4中所述的***,其中交易用户(9)被要求提供个人认证信息以允许其登记到认证服务提供商处。
15.如权利要求4中所述的***包括一个认证网络服务器(21),客户端或客户端应用软件可通过它与认证服务器(3)进行连接。
16.如权利要求15中所述的***,其中认证网络服务器(21)定义了多个XML-RPC查询,客户端机构可通过这些查询对认证服务器(3)进行认证查询。
17.如权利要求16中所述的***,其中认证网络服务器(21)使得对认证服务器进行查询的结果可通过独立变量的方式进行使用,客户端机构可读取独立变量,防止客户端机构直接对认证服务器(3)和认证数据库(5)进行存取。
18.权利要求4中所述的***,其中通信链路是一种无线GSM或CDMA通信链路。
19.权利要求18中所述的***,其中通信链路是GPRS链路。
20.如权利要求4中所述的***,其中所述认证应用软件(59)配置为可发起适当警报,在交易用户(9)的手机(7)屏幕上弹出信息以对来自认证服务器(3)的确认或拒绝请求进行响应,弹出信息请求用户(9)通过按下按键的方式对安全交易的预期使用进行确认或拒绝。
21.权利要求4中所述的***,其中认证服务器(3)被配置为当认证服务器(3)试图将确认或拒绝请求传送至交易用户的手机(7)时,如果通信链路还没有被建立起来,则将文本信息传送至交易用户(9)的手机(7)处,提示用户建立通信链路。
22.如权利要求4中所述的***,其中以SSL或TLS安全消息的方式通过通信链路进行通讯。
23.如权利要求4中所述的***,其中认证服务提供商包括多个由一个负载平衡服务器(29)驱动的认证服务器(3),其中负载平衡服务器可根据各个认证服务器上的负载情况将认证服务器分配给交易用户的移动通信设备。
24.如权利要求4中所述的***,其中安全交易包含任意一个或多个由安全客户端网域的通道、在线金融交易、离线金融交易、在线购买、离线购买、数据库存取、信息存取、楼宇或其它经营场所的物理通道、计算机网络的通道、订户网址、网络入口构成的分组。
25.如权利要求4中所述的***,其中只有在成功接收到从认证服务器(3)处发出的认证结果后,交易用户(9)才被允许进行一次成功的安全交易。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| ZA200808439 | 2008-12-03 | ||
| ZA2008/08439 | 2008-12-03 | ||
| ZA2009/04956 | 2009-07-16 | ||
| ZA200904956 | 2009-07-16 | ||
| PCT/IB2009/007639 WO2010064128A2 (en) | 2008-12-03 | 2009-12-03 | Secure transaction authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102301642A CN102301642A (zh) | 2011-12-28 |
| CN102301642B true CN102301642B (zh) | 2015-12-02 |
Family
ID=42233671
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980154997.3A Expired - Fee Related CN102301642B (zh) | 2008-12-03 | 2009-12-03 | 安全交易认证 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8862097B2 (zh) |
| EP (1) | EP2368339B2 (zh) |
| CN (1) | CN102301642B (zh) |
| AU (1) | AU2009323748B2 (zh) |
| BR (1) | BRPI0917067A2 (zh) |
| CA (1) | CA2744971C (zh) |
| DE (1) | DE202009019188U1 (zh) |
| ES (1) | ES2645289T3 (zh) |
| HU (1) | HUE037029T2 (zh) |
| PL (1) | PL2368339T3 (zh) |
| WO (1) | WO2010064128A2 (zh) |
| ZA (1) | ZA201008904B (zh) |
Families Citing this family (89)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040193763A1 (en) * | 2003-03-28 | 2004-09-30 | Fujitsu Limited | Inter-bus communication interface device and data security device |
| CN101727646A (zh) * | 2008-10-31 | 2010-06-09 | 深圳富泰宏精密工业有限公司 | 网络银行报警***及方法 |
| US8387119B2 (en) * | 2009-12-21 | 2013-02-26 | Ebay Inc. | Secure application network |
| US20130063246A1 (en) * | 2010-02-22 | 2013-03-14 | Easy Axess Gmbh I.G. | System and method for electronically providing an access authorization |
| US9544143B2 (en) | 2010-03-03 | 2017-01-10 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions |
| US9532222B2 (en) | 2010-03-03 | 2016-12-27 | Duo Security, Inc. | System and method of notifying mobile devices to complete transactions after additional agent verification |
| CN102196438A (zh) * | 2010-03-16 | 2011-09-21 | 高通股份有限公司 | 通信终端标识号管理的方法和装置 |
| EP2437530B1 (en) * | 2010-10-01 | 2019-01-30 | Giesecke+Devrient Mobile Security GmbH | Method for provisioning of a network access for a mobile communication device |
| US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| EP2448305A1 (en) * | 2010-10-29 | 2012-05-02 | France Telecom | Data processing for securing local resources in a mobile device |
| CN102480486B (zh) * | 2010-11-24 | 2015-07-22 | 阿尔卡特朗讯公司 | 验证通信会话的方法、设备及*** |
| US8320883B2 (en) * | 2010-12-14 | 2012-11-27 | Battlefield Telecommunications Systems, Llc | Method to dynamically authenticate and control mobile devices |
| US9282085B2 (en) | 2010-12-20 | 2016-03-08 | Duo Security, Inc. | System and method for digital user authentication |
| US9668128B2 (en) | 2011-03-09 | 2017-05-30 | Qualcomm Incorporated | Method for authentication of a remote station using a secure element |
| FR2973618B1 (fr) * | 2011-03-30 | 2013-04-26 | Banque Accord | Authentification forte par presentation du numero |
| EP2557546A1 (en) * | 2011-08-12 | 2013-02-13 | Oberthur Technologies | Method and secure device for performing a secure transaction with a terminal |
| US8572701B2 (en) * | 2011-08-22 | 2013-10-29 | Verizon Patent And Licensing Inc. | Authenticating via mobile device |
| US9467463B2 (en) | 2011-09-02 | 2016-10-11 | Duo Security, Inc. | System and method for assessing vulnerability of a mobile device |
| US9524388B2 (en) | 2011-10-07 | 2016-12-20 | Duo Security, Inc. | System and method for enforcing a policy for an authenticator device |
| US8763077B2 (en) | 2011-10-07 | 2014-06-24 | Duo Security, Inc. | System and method for enforcing a policy for an authenticator device |
| JP2013097650A (ja) * | 2011-11-02 | 2013-05-20 | Bank Of Tokyo-Mitsubishi Ufj Ltd | 認証システム、認証方法及び認証サーバ |
| GB2497077A (en) * | 2011-11-23 | 2013-06-05 | Barclays Bank Plc | Peer-to-peer payment registration and activation |
| SG192289A1 (en) * | 2012-01-06 | 2013-08-30 | Smart Communications Inc | System, method and computer program arranged to facilitate a transaction |
| US20130276069A1 (en) * | 2012-03-22 | 2013-10-17 | Socialogue, Inc. | Internet identity management |
| US9178879B2 (en) | 2012-05-03 | 2015-11-03 | At&T Intellectual Property I, L.P. | Device-based authentication for secure online access |
| US8639619B1 (en) | 2012-07-13 | 2014-01-28 | Scvngr, Inc. | Secure payment method and system |
| US20140067687A1 (en) * | 2012-09-02 | 2014-03-06 | Mpayme Ltd. | Clone defence system for secure mobile payment |
| US20140090039A1 (en) * | 2012-09-24 | 2014-03-27 | Plantronics, Inc. | Secure System Access Using Mobile Biometric Devices |
| CN103795694A (zh) * | 2012-10-31 | 2014-05-14 | 中国电信股份有限公司 | 许可控制方法及*** |
| US9374369B2 (en) * | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
| EP2750349A1 (en) * | 2012-12-31 | 2014-07-02 | British Telecommunications public limited company | Method and device for secure network access |
| US8869306B2 (en) * | 2013-01-24 | 2014-10-21 | Bank Of America Corporation | Application usage in device identification program |
| US8990568B2 (en) * | 2013-01-24 | 2015-03-24 | Bank Of America Corporation | Mobile device enrollment for online banking transactions |
| US9124582B2 (en) | 2013-02-20 | 2015-09-01 | Fmr Llc | Mobile security fob |
| US8893230B2 (en) | 2013-02-22 | 2014-11-18 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
| US9338156B2 (en) | 2013-02-22 | 2016-05-10 | Duo Security, Inc. | System and method for integrating two-factor authentication in a device |
| US9443073B2 (en) | 2013-08-08 | 2016-09-13 | Duo Security, Inc. | System and method for verifying status of an authentication device |
| US9607156B2 (en) | 2013-02-22 | 2017-03-28 | Duo Security, Inc. | System and method for patching a device through exploitation |
| WO2014134514A1 (en) * | 2013-02-28 | 2014-09-04 | Gramling Richard | Dynamic payment authorization system and method |
| NL2010733C2 (nl) * | 2013-04-29 | 2014-10-30 | Baseline Automatisering B V | Werkwijzen voor authenticatie, server, inrichting en datadrager. |
| US8770478B2 (en) | 2013-07-11 | 2014-07-08 | Scvngr, Inc. | Payment processing with automatic no-touch mode selection |
| US9053310B2 (en) | 2013-08-08 | 2015-06-09 | Duo Security, Inc. | System and method for verifying status of an authentication device through a biometric profile |
| WO2015034384A1 (en) * | 2013-09-04 | 2015-03-12 | Churyumov Anton Nikolaevich | Apparatus and method for authenticating a user via multiple user devices |
| US20150082390A1 (en) * | 2013-09-08 | 2015-03-19 | Yona Flink | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device |
| US9092302B2 (en) | 2013-09-10 | 2015-07-28 | Duo Security, Inc. | System and method for determining component version compatibility across a device ecosystem |
| US9608814B2 (en) | 2013-09-10 | 2017-03-28 | Duo Security, Inc. | System and method for centralized key distribution |
| CN103530772A (zh) * | 2013-09-30 | 2014-01-22 | 深圳钱盒信息技术有限公司 | 一种移动互联支付风险控制方法及*** |
| EP2869176A3 (en) * | 2013-10-10 | 2015-06-24 | Lg Electronics Inc. | Mobile terminal and method of controlling therefor |
| GB2519826B (en) * | 2013-10-30 | 2016-07-20 | Barclays Bank Plc | Transaction authentication |
| GB2523358A (en) * | 2014-02-21 | 2015-08-26 | Domulas Ltd | A system and method of processing a secure payment transaction |
| US9762590B2 (en) | 2014-04-17 | 2017-09-12 | Duo Security, Inc. | System and method for an integrity focused authentication service |
| EP3050011B1 (en) | 2014-05-02 | 2017-09-20 | Barclays Bank Plc. | Transaction authentication |
| US9549322B2 (en) * | 2014-06-11 | 2017-01-17 | Visa International Service Association | Methods and systems for authentication of a communication device |
| US10783515B2 (en) * | 2014-06-19 | 2020-09-22 | IroFit Technologies Oy | Method and system for conducting wireless electronic credit card transactions |
| US10038657B2 (en) | 2014-08-18 | 2018-07-31 | Nightlight Systems Llc | Unscripted digital media message generation |
| US10037185B2 (en) | 2014-08-18 | 2018-07-31 | Nightlight Systems Llc | Digital media message generation |
| US20160226806A1 (en) | 2014-08-18 | 2016-08-04 | KnowMe Systems, Inc. | Digital media messages and files |
| US20160048313A1 (en) | 2014-08-18 | 2016-02-18 | KnowMe Systems, Inc. | Scripted digital media message generation |
| CN104504075A (zh) * | 2014-12-23 | 2015-04-08 | 北京奇虎科技有限公司 | 信息模糊处理方法及装置 |
| US9979719B2 (en) | 2015-01-06 | 2018-05-22 | Duo Security, Inc. | System and method for converting one-time passcodes to app-based authentication |
| US9641341B2 (en) | 2015-03-31 | 2017-05-02 | Duo Security, Inc. | Method for distributed trust authentication |
| IN2015DE02096A (zh) * | 2015-07-10 | 2015-07-31 | Comviva Technologies Ltd | |
| US9774579B2 (en) | 2015-07-27 | 2017-09-26 | Duo Security, Inc. | Method for key rotation |
| US11455621B2 (en) * | 2015-11-25 | 2022-09-27 | Idemia Identity & Security USA LLC | Device-associated token identity |
| US10817593B1 (en) * | 2015-12-29 | 2020-10-27 | Wells Fargo Bank, N.A. | User information gathering and distribution system |
| CN107204957B (zh) * | 2016-03-16 | 2020-04-28 | 阿里巴巴集团控股有限公司 | 一种账号绑定和业务处理的方法及装置 |
| US10552823B1 (en) * | 2016-03-25 | 2020-02-04 | Early Warning Services, Llc | System and method for authentication of a mobile device |
| US10334434B2 (en) * | 2016-09-08 | 2019-06-25 | Vmware, Inc. | Phone factor authentication |
| GB201617620D0 (en) * | 2016-10-18 | 2016-11-30 | Cybernetica As | Composite digital signatures |
| IT201600132156A1 (it) * | 2016-12-29 | 2018-06-29 | Infocert S P A | Firma elettronica di transazioni tra utenti e fornitori remoti tramite l'uso di codici bidimensionali |
| DE102017103824A1 (de) * | 2017-02-03 | 2018-08-09 | ThePeople.de GmbH | Datenverwaltungssystem |
| CA3053957A1 (en) | 2017-02-17 | 2018-08-23 | Richard Huffman | Universal digital identity authentication service |
| US10693954B2 (en) | 2017-03-03 | 2020-06-23 | International Business Machines Corporation | Blockchain-enhanced mobile telecommunication device |
| EP3376482B1 (en) * | 2017-03-17 | 2022-06-22 | Wincor Nixdorf International GmbH | Document of value processing device and method for operating a document of value processing device |
| US11601807B2 (en) * | 2017-05-30 | 2023-03-07 | Belgian Mobile Id Sa/Nv | Mobile device authentication using different channels |
| KR102386456B1 (ko) * | 2017-06-12 | 2022-04-14 | 삼성전자 주식회사 | 전자장치, 전자장치의 제어방법 및 시스템 |
| US20190014095A1 (en) * | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| TWI656781B (zh) * | 2017-11-28 | 2019-04-11 | 南開科技大學 | 離線狀態避免二次驗證的系統及其方法 |
| US10412113B2 (en) | 2017-12-08 | 2019-09-10 | Duo Security, Inc. | Systems and methods for intelligently configuring computer security |
| NO20172033A1 (en) | 2017-12-22 | 2019-05-06 | Protectoria As | Secure mobile platform |
| US11658962B2 (en) | 2018-12-07 | 2023-05-23 | Cisco Technology, Inc. | Systems and methods of push-based verification of a transaction |
| US10880436B2 (en) | 2019-01-23 | 2020-12-29 | Weils Fargo Bank, N.A. | Transaction fraud prevention tool |
| US11652638B2 (en) * | 2019-07-10 | 2023-05-16 | Mastercard International Incorporated | Systems and methods for managing user identities in networks |
| FR3104875B1 (fr) * | 2019-12-17 | 2024-05-10 | Electricite De France | Procédé de gestion d’authentification d’un équipement dans un système de communication de données, et système pour la mise en œuvre du procédé |
| US12034851B2 (en) | 2021-07-21 | 2024-07-09 | Ebay Inc. | Transaction security techniques |
| US11930014B2 (en) | 2021-09-29 | 2024-03-12 | Bank Of America Corporation | Information security using multi-factor authorization |
| US11647392B1 (en) | 2021-12-16 | 2023-05-09 | Bank Of America Corporation | Systems and methods for context-aware mobile application session protection |
| US20230276222A1 (en) * | 2022-01-28 | 2023-08-31 | At&T Intellectual Property I, L.P. | Split input and output (io) for subscriber identity module (sim) swaps |
| CN115208655B (zh) * | 2022-07-11 | 2023-09-26 | 成都信息工程大学 | 一种应用于工业互联网云服务平台的设备认证处理方法 |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2180142T3 (es) * | 1997-06-27 | 2003-02-01 | Swisscom Mobile Ag | Procedimiento de transaccion con un elemento de identificacion portatil. |
| FI980427A (fi) * | 1998-02-25 | 1999-08-26 | Ericsson Telefon Ab L M | Menetelmä, järjestely ja laite todentamiseen |
| US6052675A (en) * | 1998-04-21 | 2000-04-18 | At&T Corp. | Method and apparatus for preauthorizing credit card type transactions |
| US6799277B2 (en) | 1998-06-04 | 2004-09-28 | Z4 Technologies, Inc. | System and method for monitoring software |
| FI105966B (fi) * | 1998-07-07 | 2000-10-31 | Nokia Networks Oy | Autentikointi tietoliikenneverkossa |
| CA2410431A1 (en) | 2000-05-24 | 2001-11-29 | Gavin Walter Ehlers | Authentication system and method |
| US20010051920A1 (en) * | 2000-06-07 | 2001-12-13 | Joao Raymond Anthony | Financial transaction and/or wireless communication device authorization, notification and/or security apparatus and method |
| US20020082995A1 (en) * | 2000-12-27 | 2002-06-27 | Christie, Samuel H. | Payment authorization system |
| TW535389B (en) * | 2001-07-03 | 2003-06-01 | Wistron Corp | Transaction system and method with automatic identification verification |
| US20030061163A1 (en) * | 2001-09-27 | 2003-03-27 | Durfield Richard C. | Method and apparatus for verification/authorization by credit or debit card owner of use of card concurrently with merchant transaction |
| CN100361436C (zh) † | 2001-10-26 | 2008-01-09 | 客得富移动通信股份有限公司 | 在移动终端和服务器之间执行相互认证的***和方法 |
| US20030126076A1 (en) | 2001-12-27 | 2003-07-03 | Telefonaktiebolaget L.M. Ericsson (Publ) | Systems and methods for secure authorization of electronic transactions |
| US7697920B1 (en) * | 2006-05-05 | 2010-04-13 | Boojum Mobile | System and method for providing authentication and authorization utilizing a personal wireless communication device |
| US20040097217A1 (en) * | 2002-08-06 | 2004-05-20 | Mcclain Fred | System and method for providing authentication and authorization utilizing a personal wireless communication device |
| US7606560B2 (en) † | 2002-08-08 | 2009-10-20 | Fujitsu Limited | Authentication services using mobile device |
| EP1542117A1 (en) * | 2003-10-29 | 2005-06-15 | Sony Ericsson Mobile Communications AB | Binding content to a user |
| CA2495949A1 (en) * | 2004-02-05 | 2005-08-05 | Simon Law | Secure wireless authorization system |
| US20070113090A1 (en) | 2004-03-10 | 2007-05-17 | Villela Agostinho De Arruda | Access control system based on a hardware and software signature of a requesting device |
| US7530098B2 (en) * | 2004-04-28 | 2009-05-05 | Scenera Technologies, Llc | Device ownership transfer from a network |
| EP1659810B1 (en) * | 2004-11-17 | 2013-04-10 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Updating configuration parameters in a mobile terminal |
| GB0508468D0 (en) * | 2005-04-26 | 2005-06-01 | Ramakrishna Madhusudana | Method and system providing data in dependence on keywords in electronic messages |
| US20070011099A1 (en) | 2005-07-11 | 2007-01-11 | Conrad Sheehan | SECURE ELECTRONIC TRANSACTIONS BETWEEN A MOBILE DEVICE AND OTHER MOBILE, FIXED, or VIRTUAL DEVICES |
| NO324315B1 (no) † | 2005-10-03 | 2007-09-24 | Encap As | Metode og system for sikker brukerautentisering ved personlig dataterminal |
| FI20060046A0 (fi) * | 2006-01-19 | 2006-01-19 | Markku Matias Rautiola | Piirikytkentäisen langattoman pääsyverkon liittäminen IP-multimedia-alijärjestelmään |
| US8413160B2 (en) | 2006-06-22 | 2013-04-02 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for transaction based load balancing |
| US8051297B2 (en) | 2006-11-28 | 2011-11-01 | Diversinet Corp. | Method for binding a security element to a mobile device |
| US7953862B2 (en) * | 2007-01-16 | 2011-05-31 | Sony Ericsson Mobile Communications Ab | Methods for accessing a phone-based web server with a private IP address and related electronic devices and computer program products |
| US8331989B2 (en) * | 2007-06-15 | 2012-12-11 | Intel Corporation | Field programming of a mobile station with subscriber identification and related information |
| US8116735B2 (en) * | 2008-02-28 | 2012-02-14 | Simo Holdings Inc. | System and method for mobile telephone roaming |
| LU91488B1 (en) † | 2008-10-17 | 2010-04-19 | Robert Carter | Multifactor Authentication |
-
2009
- 2009-12-03 EP EP09830074.2A patent/EP2368339B2/en not_active Not-in-force
- 2009-12-03 AU AU2009323748A patent/AU2009323748B2/en not_active Ceased
- 2009-12-03 WO PCT/IB2009/007639 patent/WO2010064128A2/en active Application Filing
- 2009-12-03 CN CN200980154997.3A patent/CN102301642B/zh not_active Expired - Fee Related
- 2009-12-03 CA CA2744971A patent/CA2744971C/en not_active Expired - Fee Related
- 2009-12-03 BR BRPI0917067A patent/BRPI0917067A2/pt not_active Application Discontinuation
- 2009-12-03 US US12/995,636 patent/US8862097B2/en active Active
- 2009-12-03 HU HUE09830074A patent/HUE037029T2/hu unknown
- 2009-12-03 ES ES09830074.2T patent/ES2645289T3/es active Active
- 2009-12-03 PL PL09830074T patent/PL2368339T3/pl unknown
- 2009-12-03 DE DE202009019188.5U patent/DE202009019188U1/de not_active Expired - Lifetime
-
2010
- 2010-12-10 ZA ZA2010/08904A patent/ZA201008904B/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| CA2744971A1 (en) | 2010-06-10 |
| EP2368339B1 (en) | 2017-08-09 |
| EP2368339A2 (en) | 2011-09-28 |
| AU2009323748B2 (en) | 2015-07-02 |
| HUE037029T2 (hu) | 2018-08-28 |
| BRPI0917067A2 (pt) | 2016-02-16 |
| WO2010064128A3 (en) | 2011-01-27 |
| PL2368339T3 (pl) | 2018-01-31 |
| EP2368339A4 (en) | 2013-07-31 |
| CA2744971C (en) | 2019-08-06 |
| EP2368339B2 (en) | 2022-10-05 |
| AU2009323748A1 (en) | 2011-11-17 |
| CN102301642A (zh) | 2011-12-28 |
| US8862097B2 (en) | 2014-10-14 |
| US20110086616A1 (en) | 2011-04-14 |
| ES2645289T3 (es) | 2017-12-04 |
| WO2010064128A2 (en) | 2010-06-10 |
| DE202009019188U1 (de) | 2018-03-06 |
| ZA201008904B (en) | 2011-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102301642B (zh) | 安全交易认证 | |
| US8938784B2 (en) | Authorization of server operations | |
| US7780080B2 (en) | Portable device and methods for performing secure transactions | |
| KR101125088B1 (ko) | 고객 인증방법 및 시스템과 이를 위한 서버와 기록매체 | |
| CN101479752A (zh) | 用于执行安全事务的便携式设备和方法 | |
| KR20070076575A (ko) | 고객 인증처리 방법 | |
| KR20090006815A (ko) | 고객 인증처리 방법 | |
| KR20060112167A (ko) | 고객 인증중계 방법 및 시스템과 이를 위한 서버와기록매체 | |
| KR20070077480A (ko) | 고객 인증처리 서버 | |
| KR20070077482A (ko) | 고객 인증정보 중계 서버 | |
| KR20070076578A (ko) | 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151202 Termination date: 20201203 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |