[发明专利]用于在线交易的IP地址安全多信道认证

说明书

技术领域

本发明涉及IP地址安全多信道认证方法，更具体地说，涉及用于使用应用服务器和认证服务器的用户的多因素认证方法。

背景技术

包括金融交易和其它机密交易的在线交易长期被应用于允许两方进行商务活动。在典型的在线交易中，用户(例如像银行客户)使用计算机上的客户端浏览器来与应用服务器(例如像由银行操作的银行业务(banking)服务器)建立一个会话并实现所希望的交易(例如像将金钱从一个账户转移到另一个账户)。因为在线交易经常通过因特网来进行，而因特网是由路由器、服务器、中继线等组成的全球公共网络，所以安全总是首要问题。

在线交易安全的风险包括未经授权的第三方可能能够获得认证信息(例如用户标识和密码)，而且随后可能能够进行对用户不利的欺诈交易的风险。例如，如果从任意计算机登录到银行只需要用户标识和密码，那么获取用户的用户标识和密码的第三方将可以从任何地方登录并执行用户可以执行的任意交易，例如包括在未经授权的第三方的控制下将金钱转移到一个账户。

用户标识和密码的窃取可以通过例如木马(通常是指驻留于客户端的应用程序，所述应用程序在用户标识和密码被用户键入时监听用户标识和密码并将所述用户标识和密码转发给欺诈者)的技术来实现。另一种技术涉及网络仿冒(phishing)。在示例网络仿冒的情景中，用户可能接收一封电子邮件，其具有请求用户登录声称属于一个用户之前与其进行过商务活动的商人的网站(例如，XYZ银行)的消息。所述电子邮件包含要由用户激活的链接。如果用户激活由网络仿冒电子邮件提供的链接，那么一个网站被呈现给用户，所述网站具有与真网站(例如，XYZ银行)几乎相同的外观和感觉。然而，该网站实际上属于欺诈者。用户输入到模仿真网站的外观和感觉的欺诈者的网站中的信息将被记录，并随后被用于对用户实施欺诈。举例说明，欺诈者可以利用所输入的用户标识和密码来登录用户的账户并执行未经授权的金钱转移。

一种防止像木马或网络仿冒这样的欺诈的方法涉及使用第二因素认证，其中认证需要附加信息。由于起第一认证因素的作用的用户标识/密码，应用服务器(例如，银行应用)也需要基于正用于访问的装置或用户拥有的硬件的附加认证。例如，第二因素认证可能需要硬件权标(token)或ATM卡。软件也可以被用作第二因素认证。

上面提到的仅仅触及一些宽泛的类别的在线交易风险。还有当前存在的其它风险，但它们是公知的并且在此将不作过多的说明。此外，技术被不断地发展以防止在线欺诈。相应地，欺诈者不断发展技术以战胜包括认证方案在内的新实现的安全措施。

鉴于当前存在的和/或响应于安全措施而显现出来的交易风险，需要改进的认证技术。

发明内容

因此，本发明提供用于使用应用服务器和认证服务器的用户的多因素认证的方法，来解决上述问题。

根据本发明的一个方面，提供用于使用应用服务器和认证服务器的用户的多因素认证的计算机实现方法，所述用户与所述应用服务器和所述认证服务器相互作用，所述用户利用用户浏览器程序与所述应用服务器和所述认证服务器中的至少一个进行通信，所述方法包括：利用所述应用服务器使用第一因素认证证书认证所述用户；从所述应用服务器向所述认证服务器提供与对使用所述第一因素认证证书的所述认证的请求相关联的第一源IP地址；指示所述用户在所述用户浏览器程序和所述认证服务器之间建立独立通信信道以执行附加认证；比较所述第一源IP地址和与利用所述独立通信信道的、从所述用户到所述认证服务器的通信相关联的第二源IP地址；以及如果所述第一源IP地址与所述第二源IP地址不匹配，则所述用户的认证失败。

根据本发明的另一方面，提供用于使用应用服务器和认证服务器的用户的多因素认证的计算机实现方法，所述用户利用用户浏览器程序与所述应用服务器和所述认证服务器中的至少一个相互作用，所述方法包括：从所述应用服务器接收与从所述用户浏览器程序到所述应用服务器的认证请求相关联的第一源IP地址；从所述用户浏览器程序接收请求以利用独立通信信道来在所述用户浏览器程序和所述认证服务器之间执行附加认证，所述独立通信信道与被用于在所述应用服务器和所述认证服务器之间进行通信的通信信道独立；比较所述第一源IP地址和与在所述认证服务器和所述用户浏览器程序之间执行所述附加认证的所述请求相关的第二源IP地址；以及如果所述第一源IP地址与所述第二源IP地址不匹配，则所述用户的认证失败。

附图说明

在附图的图中以示例而不是限制的方式来举例说明本发明，其中相同的附图标记表示相同的组件，并且其中：