[发明专利]用于用户认证的方法和设备

权利要求书

1.一种对使用通信终端通过电信网访问服务器的用户进行认证的方法，所述方法包括：

从所述用户接收个人识别码；

从所述通信终端和所述服务器之间交换的安全会话建立协议报文生成数据集；

使用所述个人识别码，基于所述数据集生成交易认证号；

将所述交易认证号从所述通信终端传送到所述服务器；以及

在所述服务器中基于与所述通信终端交换的所述安全会话建立协议报文验证所述交易认证号。

2.根据权利要求1所述的方法，其中所述方法还包括，在与所述通信终端关联的认证模块中，从所述数据集生成认证基础号；其中使用所述个人识别码，从所述认证基础号生成所述交易认证号；其中所述方法还包括，在所述服务器中，从被交换的所述安全会话建立协议报文生成认证基础号；其中所述交易认证号在所述服务器中使用在所述服务器中生成的所述认证基础号来验证。

3.根据权利要求2所述的方法，其中所述方法还包括，将所述认证基础号和所述个人识别码输入到未连接到所述通信终端的询问/响应令牌设备；其中在所述询问/响应令牌设备中，基于所述认证基础号和所述个人识别码生成所述交易认证号作为令牌响应值；其中所述方法还包括，在将所述交易认证号传送给所述服务器之前，将所述交易认证号输入进所述通信终端。

4.根据权利要求2或3所述的方法，其中从所述数据集生成所述认证基础号包括生成随机数，从所述数据集选择被选数字，所述数字由所述随机数的位数确定，以及根据所述被选数字和所述随机数的位数构成所述认证基础号。

5.根据权利要求1所述的方法，其中在与所述通信终端关联的认证模块中，利用与所述服务器共享的密钥作为密钥，从所述个人识别码以及在所述通信终端和所述服务器之间交换的所述安全会话建立协议报文生成所述交易认证号作为键控加密摘要值；其中所述方法还包括，使用存储在所述服务器中的个人识别码在所述服务器中生成键控加密摘要值；其中所述交易认证号在所述服务器中基于从所述通信终端接收的所述键控加密摘要值和所述服务器中生成的所述键控加密摘要值的比较来验证。

6.根据权利要求5所述的方法，将所述个人识别码以及与所述认证模块关联的令牌密钥中之一用作所述密钥。

7.根据权利要求5所述的方法，其中所述方法还包括，从所述数据集生成查找索引；其中所述方法还包括使用所述查找索引在码表中确定被选码；其中所述被选码用作所述密钥；以及其中所述服务器将来自存储在所述服务器中的码表的被选码用作所述密钥，生成所述键控加密摘要值。

8.根据权利要求7所述的方法，其中所述服务器记录所述通信终端使用的被选码；以及其中对于所述服务器确定被选码先前已被所述通信终端使用的情形，所述服务器重新发起与所述通信终端的会话建立。

9.根据权利要求1所述的方法，其中通过使用公钥加密所述数据集、所述个人识别码和至少一个现时，在与所述通信终端关联的认证模块中生成所述交易认证号作为密码；其中所述方法还包括，在所述服务器中通过使用私钥解密所述密码来确定所接收的数据集和所接收的个人识别码；以及其中，基于所接收的数据集与在所述服务器中从所交换的所述安全会话建立协议报文生成的数据集的比较、以及基于所接收的个人识别码与存储在所述服务器中的个人识别码的比较，在所述服务器中验证所述交易认证号。

10.根据权利要求9所述的方法，其中所述方法还包括，从所述数据集生成查找索引，且使用所述查找索引在码表中确定被选码；其中所述被选码用来生成所述密码；其中所述服务器使用所述私钥，从所述密码确定所接收的被选码；以及其中验证所述交易认证号包括将所接收的被选码和由所述服务器从其存储的码表中确定的被选码进行比较。

11.根据权利要求10所述的方法，其中所述服务器记录所述通信终端使用的被选码；以及其中对于所述服务器确定被选码先前已被所述通信终端使用的情形，所述服务器重新发起与所述通信终端的会话建立。

12.根据权利要求1所述的方法，其中所述交易认证号和用户标识符从所述通信终端传送到所述服务器；以及其中在所述服务器中使用分配给所述用户标识符的所述个人识别码来验证所述交易认证号。