[发明专利]具有改进的安全性的用于用户鉴权的方法和系统

权利要求书

1.一种用户鉴权方法，所述方法包括由分布式处理系统执行下述步骤：

在第一处理单元处接收发起鉴权会话的请求，所述请求包括需要鉴权的用户的唯一标识符；

所述第一处理单元获取在所述鉴权会话期间有效的至少一项鉴权数据；

将所述鉴权数据发送至第二处理单元，所述第二处理单元与由所述用户操作的终端设备关联；

所述第二处理单元使用基于一个或更多个会话特定鉴权因素的变换算法对所述鉴权数据进行变换，以生成作为所述鉴权会话以及所述用户的特征的经变换的鉴权数据；

将所述经变换的鉴权数据发送至第三处理单元；

所述第三处理单元验证所述经变换的鉴权数据是否与所述用户并且与所述一个或更多个会话特定鉴权因素的预定值对应；以及

所述第三处理单元基于所述验证来生成所述鉴权会话的鉴权结果。

2.根据权利要求1所述的方法，其中，秘密关键字与所述用户关联，所述秘密关键字包括选自预定符号集的有序的符号序列，并且其中：

所述至少一项鉴权数据包括安全矩阵，所述安全矩阵包括所述符号集内的每个符号与代码值之间的映射，所述代码值特定于所述鉴权会话并且选自不同于所述符号集的代码集；

由所述第一处理单元使用基于所述一个或更多个会话特定鉴权因素的所述预定值的变换算法对所述安全矩阵进行变换，以生成包括所述符号集和经变换的代码值的经变换的安全矩阵；

所述第二处理单元的所述变换算法包括：被配置成恢复所述安全矩阵的所述代码值的逆变换算法；以及用户输入步骤，用于接收选自所述安全矩阵的并且由所述用户输入的代码值序列，所述代码值与所述秘密关键字对应；以及

所述验证步骤包括：通过将在所述用户输入步骤中接收到的所述代码值序列与对应于所述秘密关键字的预期代码值序列以及所述秘密关键字到所述安全矩阵中的代码值的映射进行比较来校验所述代码值序列。

3.根据权利要求1所述的方法，其中：

所述鉴权数据包括会话特定一次性代码字，所述会话特定一次性代码字由所述第一处理单元使用通过所述一个或更多个会话特定鉴权因素的预定值而参数化的变换算法进行加密；

所述第二处理单元的所述变换算法包括：被配置成对所述会话特定一次性代码字进行解密的逆变换算法；以及密码签名步骤，其中，应用所述用户的私有密码密钥，以生成包括所述会话特定一次性代码字的签名副本的所述经变换的鉴权数据；

所述验证步骤包括密码验证，其中，应用所述用户的公共密码密钥，以确认已由与所述用户操作的所述终端设备相关联的所述第二处理单元生成了所述会话特定一次性代码字的所述签名副本。

4.根据权利要求1所述的方法，其中，所述一个或更多个会话特定鉴权因素包括下述中的至少一个：

由所述用户操作的所述终端设备的地理位置；

对于由所述用户操作的所述终端设备可见的无线网络的一个或更多个服务集标识符(SSID)；

所述终端设备所连接的无线网络的SSID；

所述终端设备所连接的移动蜂窝载波的识别信息；

与由所述用户操作的所述终端设备相关联的唯一标识符；

所述用户的唯一标识符；

预定的特定于设备或者特定于用户的密钥值；

根据预定算法生成的变化值；

时间和/或日期；

由能够被所述终端设备访问的本地信标或网络附接设备提供的数据；以及

所述用户的生物识别数据。

5.根据权利要求1所述的方法，其中：

所述第一处理单元包括在服务提供方计算机系统的处理器和/或鉴权服务器系统的处理器上执行的指令代码；并且

所述第二处理单元包括在由所述用户操作的所述终端设备的处理器上执行的指令代码。

6.根据权利要求5所述的方法，其中，由所述用户操作的所述终端设备是由所述用户携带的便携式设备。

7.根据权利要求1所述的方法，其中，所述第三处理单元包括在服务提供方计算机系统的处理器和/或鉴权服务器系统的处理器上执行的指令代码。