[发明专利]声学双要素认证的系统和方法

权利要求书

1.一种认证方法，包括下述步骤：

在授权计算机和至少一个远离该计算机的接收机之间建立通信链路，所述通信链路不限于是安全的；

在所述接收机处，接收至少一个代表由私钥产生的至少一个数字签名的无线信号，所述接收机把所述无线信号转换为签名信号；

向所述授权计算机提供用户的PIN和不可公开访问的机密公钥；

在所述接收机处，从用户接收所述用户的PIN，所述PIN和所述无线信号被分开接收；

在所述接收机处，用所述用户的PIN对所述签名信号加密，以提供加密的签名信号；以及

把所述加密的签名信号从所述接收机发送给所述授权计算机，以使用所述提供的PIN和所述不可公开访问的机密公钥验证所述签名。

2.如权利要求1所述的方法，其特征在于，包括使用手持令牌发送所述无线信号。

3.如权利要求1所述的方法，其特征在于，还包括：把期望的交易输入到所述接收机，并且只有在所述签名得到验证时，述授权计算机才授权所述接收机执行所述交易。

4.如权利要求1所述的方法，其特征在于，所述签名是这样被验证的：

用所述提供的PIN给所述加密的签名信号解密，以提供所述签名信号；然后

使用所述不可公开访问的机密公钥来验证所述签名信号。

5.如权利要求2所述的方法，其特征在于，所述令牌通过把至少一个消息和所述私钥相结合而产生所述数字签名。

6.如权利要求5所述的方法，其特征在于，所述消息包括至少一个时间戳的至少一部分。

7.如权利要求6所述的方法，其特征在于，所述时间戳的所述部分是一时间戳中预定数量的最低有效位，而所述时间戳具有比所述预定数量更多的位。

8.一种链路上的双要素认证系统，该系统包括：

便携式令牌，其产生代表经数字签名的消息的无线信号；

接收机，其从所述便携式令牌接收所述无线信号并从用户接收PIN，所述PIN和所述无线信号被分开接收，所述接收机用所述PIN给所述经数字签名的消息加密，以提供在所述链路上发送的加密的签名消息，其中所述链路不限于是安全的；以及

授权计算机，其在所述链路上至少接收所述加密的签名消息，所述授权计算机通过下述步骤验证所述加密的签名消息：用所述PIN给所述签名消息解密，以恢复所述经数字签名的消息，其中所述PIN是在先提供给所述授权计算机的，并且使用不可公开访问的机密公钥，验证所述经数字签名的消息。

9.如权利要求8所述的系统，其特征在于，所述无线信号还至少表示所述不可公开访问的机密公钥的ID，和经对应于所述公钥的私钥签名后的消息，以提供所述经数字签名的消息。

10.如权利要求9所述的系统，其特征在于，所述接收机向所述授权计算机发送所述加密的签名消息、ID和经签名的消息。

11.如权利要求9所述的系统，其特征在于，所述授权计算机使用所述PIN对所述加密的签名消息解密，并通过使用所述ID访问所述机密公钥以及使用所述机密公钥来验证所述签名消息。

12.如权利要求8所述的系统，其特征在于，所述无线信号是声学信号。

13.一种包括授权计算机的认证系统，所述授权计算机至少访问不可公开访问的机密公钥，并通过链路和至少一个远离所述计算机的接收机通信，所述通信链路不限于是安全的，所述系统包括：

用于在所述接收机处接收至少一个代表用私钥产生的至少一个数字签名的无线信号的装置，所述接收机包括用于把所述无线信号转换为签名信号的装置，其中所述无线信号还至少表示所述不可公开访问的机密公钥的ID，以及经对应于所述公钥的私钥签名后的消息，以提供数字签名；

用于向所述授权计算机提供用户的PIN和不可公开访问的机密公钥的装置；

用于在所述接收机处从用户接收所述用户的PIN的装置，所述PIN和所述无线信号被分开接收；

用于在所述接收机处用所述用户的PIN对所述签名信号加密以提供加密的签名信号的装置；以及

用于把所述加密的签名信号、所述ID和所述经签名的消息通过所述链路从所述接收机发送给所述授权计算机，以便使用所述提供的PIN和所述不可公开访问的机密公钥来验证签名的装置。