[发明专利]用户认证方法和设备及安全性系统

说明书

公开了用于对用户对系统的访问进行认证的安全性系统和方法。该安全性系统接收来自用户的认证请求，并且通过基于先前存储的用户关键词和用户偏好数据生成安全性矩阵来作出响应，该安全性矩阵针对每个认证请求而不同。该安全性系统将安全性矩阵发送至用户并且等待响应于该安全性矩阵的一次性码。用户基于用户关键词、用户偏好以及安全性矩阵来形成一次性码。该安全性系统对照安全性矩阵、关键词以及用户偏好来验证该一次码，并且通过将允许或拒绝对系统的访问的认证结果发送至用户来作出响应。另外，安全性系统将成功或失败消息发送至要访问的系统。

本申请是申请日期为2012年4月20日、申请号为“201280073938.5”、发明名称为“用于交易认证的经提取且随机化的一次性密码”的发明专利申请的分案申请。

技术领域

本发明总体上涉及认证系统和方法，更具体地，涉及高度安全的认证系统。

背景技术

随着高水平投资应用于安全性和认证方法、支持该安全性和认证方法的技术，并且也应用于对其的盗用(hacking)，与个人身份有关的安全性已经变成现代电子世界中所有交易的重要基础。大多数银行业依赖于预置的个人识别码(PIN)，该个人识别码是用户与系统之间共享以对系统的用户进行认证的秘密数字密码，而具有全文本接口的大多数电子系统依赖于密码。

通常的做法是非常信任加密哈希函数(CHF)。这些确定性过程采用任意数据并且返回该数据所特有的数学计算的哈希值。CHF的有据可查的示例为MD5算法。客户端与服务器之间的哈希函数和智能安全性方法使得难以根据数据的副本来对个人的密码或PIN进行逆向工程。然而，使用目测法以及钓鱼(phishing)技术，会危及(compromise)大多数密码或PIN，从而使得欺诈交易能够进行。因此，期望具有降低会危及认证的可能性的安全性方案。

发明内容

本发明的一个实施例是如下的一种方法，该方法用于提取与客户端接口的交互，以使得每次用户希望对照安全系统进行认证时，安全性系统以允许用户使用预定义关键词来确定与随机化关键词相匹配的PIN的形式向该用户呈现一组一次性随机化字符和数字。

更具体地，本发明的实施例是一种用于验证用户访问安全系统的真实性(authenticity)的方法。该方法包括下述步骤：接收来自用户的认证请求；基于用户ID和用户偏好数据生成安全性矩阵并且将所述矩阵发送至用户；接收来自用户的响应于安全性矩阵的一次性码；基于安全性矩阵、用户ID、至少一个用户关键词以及用户偏好数据来验证该一次性码；在验证该一次性码之后，将认证结果发送至用户，所述认证结果基于一次性码、安全性矩阵、用户ID、用户关键词以及用户偏好；以及基于认证结果将不同于认证结果的成功或失败消息发送至安全系统。

本发明的另一实施例是一种用于验证用户访问安全系统的真实性的安全性系统。该安全性系统包括安全性计算机和客户端接口。该安全性计算机被编程为：存储用户关键词和用户偏好数据；接收来自用户的包括用户ID的、用以访问安全系统的认证请求，并且响应于所述认证请求而基于所存储的用户偏好数据和用户ID生成安全性矩阵；将安全性矩阵发送至用户并且从用户接收一次性码；使用所生成的安全性矩阵、用户关键词以及用户偏好数据来验证一次性码，并且将基于该验证的认证结果发送至用户；以及基于认证结果将不同于认证结果的成功或失败消息发送至安全系统。客户端接口使得用户能够将用以访问安全系统的认证请求传送至安全性系统，接收并显示安全性矩阵，并且使得用户能够将一次性码发送至安全性系统。

根据本方法，用户的关键词与提供给用户以便于其进行验证的安全性矩阵之间不存在相关性。安全性系统随机地构造安全性矩阵，并且用户采用该安全性矩阵来确定对于该用户且对于该安全性矩阵有效的一次性码。用以进行认证的每个请求导致计算新的安全性矩阵，从而确保确定关键词的概率为最小。