[发明专利]数据处理系统中验证用户的方法

说明书

技术领域

本发明一般地涉及数据处理系统或计算机系统以及数据网络领域。本发明更具体地涉及用于数据处理系统和数据网络中的用户验证的方法和系统。

背景技术

术语“验证”一般是指这样的处理，即通过该处理，两个或更多个不同实体，例如，“客户端-服务器”系统中的“客户端”数据处理单元和“服务器”数据处理单元可以互相检验其身份。

已知计算机系统处验证用户的若干方法，这些方法用于利用例如下列检验方法中的一个或多个评估用户的身份：

-用户本身的某些东西(例如，利用生物计量数据，如指纹、声纹、视网膜模型、DNA序列或笔迹或用户的其它生物计量标识)；

-用户具有或拥有的某些东西(例如，可能将通过适合的读取设备被耦合到他/她所有的计算机的身份证或硬件设备-“令牌”-例如，硬件密钥或“智能卡”)；

-用户知道的某些东西(例如，口令、密码和/或“PIN”-个人身份号码-或“用户名”)。

过去为了验证用户，主要利用最后这一段：将要在数据处理系统处被验证的用户必须提供用户名和口令的组合。

现在，由于通过数据网络可在线获得的、用户通过计算机网络(因特网、公司内联网和外联网)可享有的服务(例如，银行服务、股票或债券交易服务、电子消息发送服务-“电子邮件”、“真正简单聚合”-RSS服务、新闻组等)以及最近以来的涉及基于DTT(数字陆地电视)和IPTV(网际协议电视)技术的内容的付费分发的娱乐服务的连续增加，用户验证的问题甚至比以往更为迫切。

因此已经开发了与基于用户名/口令的通常机制相比更为安全和强大的验证机制，诸如例如基于生物计量检测的解决方案，或伴随有专用软件(“一次性口令”-OTP-数字证书等)的基于硬件令牌或智能卡的解决方案。

在Shintaro Mizuno，Kohji Yamada，Kenji Takahashi等的“Authentication Using Multiple Communication Channels”，NTTInformation Platform Sharing Laboratories，Proceedings of the 2005workshops on Digital identity management，2005，Fairfax，VA，USA，November 11-11，2005的第54到62页描述了一种使用二维条形码的“质询-响应”验证机制。服务提供者网站向连接在Internet上的用户的计算机发送一个包括“质询”的条形码；用户使用蜂窝电话读取显示在计算机屏幕上的二维条形码；再次使用该蜂窝电话在蜂窝电话网络上通过验证服务器向服务提供者发送该“质询”，并且然后它与服务提供者的签名一起重新发送到该蜂窝电话。

在J.M.McCune等人的“Seeing-is-Believing：Using ChamberPhones for Human-Verifiable Authentication”，Proceedings of the2005IEEE Symposium on Security and Privacy，May 8-11，2005，TheClaremont Resort，Oakland，California，USA的第110-124页，给出了一种使用二维条形码和带有照相机的蜂窝电话实现视觉识别通道的系统；该蜂窝电话必须能够使用集成的照相机以便识别二维条形码。该方法使用二维条形码在移动设备上传输一个散列值，该散列值将用于检验以其它方式(红外线通信、蓝牙)交换的验证密钥，以便与TCG兼容的应用建立安全连接(其中TCG代表可信计算组，一个促进公开标准以便相对于软件攻击加强数据处理平台的组织)。

发明内容

申请人观察到上述技术相当复杂，并且其成本相对于它们被要求提供的安全性和可靠性的程度指数地增长。

例如，在使用硬件令牌的解决方案中，在能够与用户拥有的设备“同步”的服务器上给出极其精确的时钟，同步的不协调使得用户设备和验证处理两者都不可用。

Mizuno等的文章中描述的技术具有需要连接到移动电话网络的问题，这不总是可能的。

McCune等的文章中描述的方法不是用于验证用户的，而是验证旨在建立数据连接的应用或设备的，并且它使用某种形式的无线电或有线通信。安全性仅与终端的持有相联系。

因此申请人观察到需要获得一种与当前可获得的解决方案相比具有高度安全性和较低实现成本的验证用户的新方法。