[发明专利]用于验证访问请求的方法和系统

说明书

提供了一种用于验证对数据的访问的请求的系统，所述系统包括第一模块(20)和第二模块(30)。所述第一模块(20)被设置为生成密码，并且所述第二模块(30)被设置为接收与数据请求相关联的密码，验证所接收的密码，并且允许访问所请求的数据。所述系统促使所述第一模块和所述第二模块(20、30)共享唯一分配给其的密钥，所共享的的密钥用于在所述密码的生成和验证中使用。而且，所述第一模块(20)与所述第二模块(30)通信地断开。

技术领域

本发明涉及用于验证访问请求的方法和系统，并且尤其地，但不完全地适合于验证用于访问数据或服务或资产的请求。

背景技术

访问机密或用户专用数据(或资产或服务)的需求越来越大。例如，提供对银行账户的访问并且允许从该账户中转账，应限于授权用户，例如，账户持有人。通常，在通过识别请求访问数据的人的凭证请求访问数据时，认证用户。数据的远程访问提出了特定的问题，这是因为请求数据、资产或服务的个人通常位于与对该请求做出响应的一方的位置不同的物理位置中。结果，为请求提供服务的一方非常难以知道做出请求的实体是否是a)其自称的一方，b)是否有权使用该请求所起源的装置，并且c)是否占有该请求所起源的装置。

通常，在个人与一方(例如，数据提供商)之间建立账户时，个人建立上述凭证，以由数据提供商用于识别和认证个人，以供将来的请求。这种凭证可以包括唯一识别个人(例如，个人可识别信息(PII))和密钥(例如，密码)的信息，用于验证个人的身份。现在，也常见的做法是数据提供商要求个人登记自己，作为用于访问数据的装置的拥有人。在装置与装置拥有人之间登记的关联可以由数据提供商用作额外的验证因子。例如，在数据提供商代表特定的个人从特定的装置(该装置并非为个人登记的装置)中接收用于访问账户的请求的情况下，数据提供商可以确定相信为该账户登记的个人做出请求。

希望代表与该数据提供商具有账户的另一个人访问数据提供商的数据的个人可以比较容易地通过从刑事影子网上市场购买凭证来获得其用户凭证(即，PII、用户ID和密码)，然后，欺骗性地访问其他人的数据。此外，能够远程地访问和控制装置，从而代表那些装置的登记拥有人请求数据。通常，不能确定在物理上占有该装置的用户是否做出了请求或者使用另一个装置来远程控制做出了请求的装置的用户是否远程做出了请求。

一次性密码(OTP)通常用于减少这些问题：认证服务器唯一将OTP生成密钥分配给装置的登记拥有人，OTP生成密钥用于生成和验证OTP。认证服务器通常持有几百或几千OTP生成密钥，每个密钥唯一分配给一个不同的人或者为一个不同的人登记。在由登记拥有人通过其分配的OTP生成密钥占有时，认证服务器配置OTP令牌。例如，每当登记用户请求一个新密码时，这些OTP令牌可以使用OTP生成密钥来生成一个不同的密码，或者再如，可以使用OTP生成密钥来通过固定的时间间隔生成新密码。

为了通过装置访问用户限制的数据，用户将由OTP令牌生成的OTP以及唯一识别装置的拥有人的凭证提供给数据提供商。通常，然后，数据提供商识别装置的拥有人并且将所接收的OTP传递给认证服务器。认证服务器查看与所识别的个人相关联的OTP生成密钥，并且使用该密钥来确定所接收的OTP是否与本应由/由OTP令牌生成的OTP对应，该装置的拥有人保持该OTP令牌。然后，认证服务器向数据提供商指示所接收的OTP是否有效。如果将正确的OTP发送给数据提供商，那么可以确定该装置的用户占有OTP令牌。然而，认证服务器容易妥协，从而促进到其他实体的未授权分布，并且允许(非法)访问分布的OTP生成密钥的任何人代表与该密钥相关联的个人访问数据。