[发明专利]通过提交号码进行强认证

说明书

本申请是申请日为2012年3月29日的、申请号为201280016508.X(国际申请号为PCT/FR2012/050672)以及发明名称为“通过提交号码进行强认证”的发明专利申请的分案申请。

本发明涉及访问在线资源的安全技术领域，更具体地，涉及对希望从如互联网之类的公共信息网络访问在线服务的用户的认证。

在信息系统中的“认证”是指对实体(例如个人、电脑、信息过程)的身份的验证，用以认证该实体对资源(例如服务、网络、系统、应用)的访问。此后，用术语“用户”指代这些实体。

无论对于用户还是对于企业、尤其对于商业性质的企业(例如电子银行、电子商务)，互联网类型的公共信息网络上的在线资源呈现出很大优势。见证了在线服务的大量使用的大幅增长。

这自然引起了网络罪犯(“黑客”)的兴趣，旨在窃取数据、以允许未经认证地访问在线资源而设计的程序数量大大增加。

在这方面，用户和公司都比以往更需要强大的认证技术。实际上，一方面，用户必须确保正常访问其所寻求服务(对该服务，用户也许会提供个人数据，如信用卡详细信息)的服务器，及另一方面，该服务器也必须确保该用户准确对应于已向其预先登记的用户，由此其不是诈骗者。例如，冒充合法用户进行网上银行交易的恶意第三方当然不可能令合法用户或对提供这项在线服务的银行满意。

在现有技术中，区分允许对在客户/服务器模式的环境中工作并请求访问在线资源的用户的真实性进行验证的方法。可针对几个因素进行认证：

-用户知道的数据，比如密码；

-用户拥有的物品，例如磁卡或芯片卡；

-仅由用户做出的动作，例如在触摸屏上手写的签名；

-用户自己的物理特征，如指纹。

事实上，为了执行用户向远程服务器的认证而更广泛采用的方法基于与标志符(登录名)相组合的静态密码。这种方法的优点是其可完全通过软件实施，因此避免附加的硬件成本。

然而，以收集合法用户身份为目的的网络连接间谍阻碍了该方法。随后可以使用如此篡夺的身份。哈希技术或加密密码不能彻底解决这个问题，这是因为他们只把威胁从网络连接转向用户终端(其中将不难发现许多恶意应用(恶意软件))。

基于向用户提供的手段的认证技术，比如认证令牌、芯片卡、智能卡或USB key，缺点是需要额外的硬件成本。

此外，生物认证方法通常是复杂的并且要求繁琐的预先表征步骤。

为了克服单一因素的尤其是使用静态密码的认证方法的限制，已经出现了结合两个因素的认证解决方案：由用户已知的数据(例如密码)和用户拥有的一个项目(如电话号码或电子邮件地址)。可以说这种情况为强认证。在这些方法中存在基于一次性密码(也称为OTP)的认证解决方案。

正如它的名字所表示的，一次性密码(OTP)可以仅用作一次会话的认证手段。因此，通常是随机或伪随机地生成一个新的OTP，然后对于用户向远程服务器发出的每个新的访问请求而被传送给用户。用户提交该OTP到远程服务器作为自己的身份的真实性的认证，例如借助于登录名/密码进行宣称。因此，不论是从用户端、还是从将用户端连接到服务器的网络链接，登录名/静态密码的被盗都变为多余的，因为一旦OTP被用过，其即变为过时的。

为确保有效的安全性，通常通过在用户终端和服务器之间建立的另一个信道将OTP传送给用户。事实上，通常通过使用第二认证因素的SMS(短消息服务)、MMS(多媒体信息服务)或语音消息向用户发送OTP，第二认证因素即用户拥有的和预先提供到远程服务器的手机号码。

然而，(例如通过短消息、彩信或语音消息)将OTP发送给电话对于在线服务供应商来说当然会产生额外的费用成本(这是在当今不是免费的)。应当理解，通过SMS将OTP发送到每月使用由中小企业提供的在线服务的上千个客户会给该公司带来重大的财政负担。

本发明的目的是克服上述缺点。

本发明的另一目的是以较低的成本布署强认证的方案。

本发明的另一目的是降低保证商业网站安全所需的资金成本。

本发明的另一目的是允许用户(典型是网民)以简单和安全的方式访问在线服务。

本发明的另一目的是提供一种强认证方法，允许自非安全网络使访问在线资源安全化。

为此，根据第一方面，本发明涉及一种通过用户的一次性密码进行认证的方法，该用户具有信息终端和电话终端并希望向信息系统访问在线资源，该方法包括利用包含一次性密码的呼叫方的识别码向所述电话终端发起呼叫的呼叫发起步骤。