[发明专利]多因素认证

说明书

提供了一种认证用户的方法和系统。从用户设备接收到对资源的请求。收预定数字。创建第一数字和第二数字。基于第一数字和预定数字确定第一离散对数，并将其与第二数字一起发送到用户设备。从用户设备接收第二离散对数。基于第二离散对数、第一数字和预定数字，通过第三离散对数计算第一密码。基于第一离散对数、第三数字和预定数字，通过第四离散对数接收第二密码。响应于确定第一密码与第二密码相同，允许用户设备访问与计算设备相关联的资源。

技术领域

本公开总体上涉及电子通信，并且更具体地，涉及保护经由电子通信发送的数据。

背景技术

近年来，对数字数据安全性的关注已经增加。受影响的一些行业包括银行、医疗保健、政府组织、教育机构、社交媒体等。许多传统系统依靠静态密码来验证用户身份，这有时很容易通过社会工程手段猜出或确定。

一种改进的安全策略是基于两因素(two-factor)的认证。例如，网站可以让用户输入用户名或手机号码。如果已经注册了该用户名或手机号，则网站向用户的用户设备发送文本消息，例如短消息服务(SMS)文本消息，并提示用户手动将密码提供给网站。然后，网站将发送给用户设备的密码与用户输入的密码进行比较。如果它们匹配，则认为该用户已通过身份验证并已登录。

使用SMS的现有系统有几个缺点。最近已经确定，尽管使用了双重身份验证提高安全性，但是大多数用户设备并未得到充分的保护以防止黑客入侵和恶意软件入侵。例如，威胁参与者、黑客或攻击者(在本文中统称为恶意方)可以在不通知目标用户的情况下拦截或窃听SMS通信。换句话说，SMS依赖于服务器和用户设备之间的活动交易，该交易可以被拦截从而使用户面临安全风险。因此，旨在确保用户安全的信息可能是漏洞的来源。本公开讨论这些和其他考虑。

因此，在本领域中需要解决前述问题。

发明内容

从第一方面来看，本发明提供一种计算设备，包括：处理器；网络接口，与处理器耦合以实现网络通信；与处理器耦合的存储设备；存储在存储设备中的安全代理软件，其中，处理器对该软件的执行将计算设备配置为执行以下动作，包括：从用户设备接收对资源的请求；从用户设备接收预定数字(p)；创建第一数字(c)和第二数字(g)；基于第一数字(c)和预定数字(p)确定第一离散对数；向用户设备发送第一离散对数和第二数字(g)；基于用户设备生成的第三数字(s)、预定数字(p)和第二数字(g)，从用户设备接收第二离散对数；基于第二离散对数、第一数字(c)和预定数字(p)，通过第三离散对数计算第一密码(R₁)；基于第一离散对数、第三数字(s)和预定数字(p)，通过第四离散对数从用户设备接收第二密码(R₂)；比较第一密码(R₁)和第二密码(R₂)；响应于确定第一密码(R₁)与第二密码(R₂)相同，允许用户设备访问资源。

从另一方面来看，本发明提供一种计算设备，包括：处理器；网络接口，与处理器耦合以实现网络通信；与处理器耦合的存储设备；存储在存储设备中的安全代理软件，其中，处理器对软件的执行将计算设备配置为执行以下动作：从计算设备向服务器发送对资源的请求；向服务器发送预定数字(p)；从服务器接收(i)基于第一数字(c)和预定数字(p)的第一离散对数以及(ii)第二数字(g)；产生第三个数字(s)；基于第三数字(s)、预定数字(p)和第二数字(g)确定第二离散对数；向服务器发送第二离散对数；基于第一离散对数、第三数字(s)和预定数字(p)，通过第四离散对数计算第二密码(R₂)；向服务器发送第二密码(R₂)，以基于第二离散对数、第一数字(c)和预定数字(p)与第一密码R₁进行比较；响应于第二密码(R₂)与第一密码(R₁)相同，接收对安全资源的访问。