[发明专利]使用带外通道进行用户认证的方法和系统

说明书

优先权要求

根据美国专利法第35章第119条，本申请要求于2013年7月3日提交的美国 临时专利申请，申请号为61/842,386的专利优先权。其公开内容在此被引入作 为参考。

交叉引用

本申请为2012年9月2日提交的第13/602,197号美国专利申请的的继续 申请，其公开内容在此被引入作为参考。

技术领域

本发明涉及在线用户认证的方法和系统。更具体地说,本发明涉及使用带 外通道(out-of-bandchannels)进行用户认证的技术。

背景技术

很多在线活动，如牵涉到访问个人及保护信息之在线购买和在线支付，往 往需要用户认证。最常见之用户认证形式为用户使用用户标识和密码进行登 录。然而，这种用户认证形式有不少缺点，包括忘记密码、用户标识和/或密 码被盗、密码太简单等，导致安全性较差。如今也开发出了其他多因素强认证 的方法和系统；但大多数都不能够在不牺牲用户方便性的情况下保持强安全 性。因此，需要有一种能支持强安全性且只需用户最小努力的身份认证的方法 和系统。

发明内容

本发明的目的之一，是提供一种使用移动通信设备进行在线用户认证的方 法和系统。由于移动通信设备已事先在用户认证系统中注册完毕，并可唯一地 识别认证用户，所以它可充用户认证的带外通道。本发明进一步的目的是提供 一种支持强安全性的方法和系统，让用户只需记住并提供一个用于认证的安全 个人识别码。

本发明的优选方案中，本发明可作为美国专利申请号为13/602,197之安 全移动支付系统的一个扩展部分。

本发明的优选方案中，包含：可通过通信网络访问的中央处理服务器，比 如通过因特网；多个用户；可访问中央处理服务器的移动通信设备和客户端计 算设备；以及可访问中央处理服务器的第三方计算处理器。

本发明的优选方案中，中央处理服务器之功能包含用户认证，用于管理用 户帐号的用户帐号管理，其中用户帐号记录包含用户标识及认证凭证，它们都 被安全地存储在一数据库里。

本发明的优选方案中，中央处理服务器包括让用户可使用各种计算设备和 移动通信设备以运行网络浏览器应用程序完成用户交互的多个用户界面。此 外，中央处理服务器还包括用于机对机集成的服务器端后端应用程序编程接口 (API)，使在第三方计算处理器中运行的特别开发之应用程序能够与中央处理 服务器通信。这些用户界面和服务器端后端API的功能包括但不限于：由用户 完成的用户认证、用户帐号管理和网上购物，由管理员完成的系统管理，由用 户完成的在线购物清单、支付和用户全程管理。

本发明的优选方案中，每个移动通信设备配有相机或扫描仪以便对计算机 生成之编码数据，例如条形码，进行光学图像采集。本发明中，移动通信设备 被配置为可处理所采集的编码数据图像并与中央服务器处理交换数据，以完成 上述之各种功能，例如用户认证。

中央处理服务器和其数据库、用户界面及服务器端后端API，与运行安全 移动交易移动应用程序的移动通信设备一起，组成安全移动交易系统。本发明 中，安全移动交易系统内的每个用户帐号在任一时刻只可与单个移动通信设备 相关联。

本发明的一个优选方案中，已经注册并在安全移动交易系统里创建了有效 用户帐号的用户，可使用其已在安全移动交易系统注册并配对的移动通信设备 来进行认证，以对受保护的第三方应用程序进行访问，例如由第三方处理服务 器提供的第三方网站，或者对由中央处理服务器提供的一个或多个保护的用户 界面进行访问。用户认证方法包括：中央处理服务器从随机生成的会话码而生 成编码数据，如QR码；第一移动通信设备或第一客户端计算设备向用户展示 包含用户认证QR码的登录页面以供认证使用；用户使用已在中央处理服务器 中注册并与用户帐号配对的第二移动通信设备来对QR码进行图像采集，并向 中央处理服务器发送解码的QR码数据；中央处理服务器对解码的QR码数据与 会话号进行匹配确认；基于有效的确认，则用户在第二移动通信设备输入其安 全个人识别码并发送至中央处理服务器以进行确认；基于有效的确认，进而完 成用户认证

附图说明

下面将结合附图对本发明的实施例作进一步说明，其中，