[发明专利]利用在线认证的安全远程令牌发布

说明书

本文描述一种用于提供认证的系统和技术。所述技术包括通过通信装置注册用户认证数据，例如生物特征数据。所述认证数据被链接到账户或服务提供商，并用于在访问所述账户时验证所述用户的身份。所述通信装置可获得公钥/私钥对，其中所述公钥可被存储在安全远程服务器上。当所述用户尝试访问所述账户或服务提供商时，所述用户可提供所述认证数据以向所述通信装置认证所述用户。此后，所述通信装置可使用所述私钥对认证指示符进行签名，并将所述认证指示符发送到所述安全远程服务器。在使用所述公钥验证所述签名后，所述安全远程服务器可例如通过发布令牌来准予所述用户的访问。

相关申请交叉引用

本申请要求2018年3月7日提交的标题为“利用在线认证的安全远程令牌发布(SECURE REMOTE TOKEN RELEASE WITH ONLINE AUTHENTICATION)”的第62/639652号美国临时专利申请的权益和优先权，所述申请以引用的方式全面并入本文中。

背景技术

随着用户可拥有的在线或计算机可访问账户数目不断增长，作为认证形式的用户名和密码已不足以保护用户账户。例如，记住许多站点的用户名和密码可能具有挑战性，而为多个账户设置相同的密码可能会增加一个账户受损时危害所有账户的可能性。密码管理器可能不方便，并且将所有用户密码存储在一个地方可能会有风险。密码还可能很容易地被恶意软件欺骗或捕获，而服务提供商处的数据外泄可能导致密码在暗网中扩散。

此外，虽然授权实体能够基于账户的信息来确定是否授权交易，但所说的这些授权实体无法认证用户装置的用户。因此，授权实体通常必须依赖资源提供商等另一实体来执行用户的认证。并非所有资源提供商都能提供相同的认证质量，而这会导致数据安全问题。

数据安全领域中要解决的另一个需要解决的问题是通过数据网络传送敏感凭证(例如，社会保障号、账号等)的问题。此类数据的传送可能会受到中间人的攻击。

本发明的各种实施例单独地以及共同地解决这些问题和其它问题。

发明内容

本文描述一种用于认证用户而同时确保由合法装置执行认证的系统和技术。认证技术可包括通过通信装置注册用户的认证数据，例如生物特征数据。认证数据可链接到账户或服务提供商，并用于在访问账户时验证用户的身份。通信装置可与公钥/私钥对相关联，其中公钥存储在安全远程服务器上。当用户尝试访问账户或服务提供商时，用户可提供认证数据以向通信装置认证用户。此后，通信装置可使用私钥对认证指示符进行签名，并将认证指示符发送到安全远程服务器。在使用公钥验证签名后，安全远程服务器可例如通过发布令牌来准予用户的访问。

本公开的一个实施例涉及一种由安全远程交易服务器执行的方法，所述方法包括：从客户端装置接收登记账户的请求；验证所述客户端装置是否有权访问所述账户；将密码密钥对的至少公钥与所述账户关联存储，其中所述密码密钥对的至少私钥与所述账户相关联地存储在所述客户端装置上；以及生成与所述账户相关联的令牌，所述令牌与所述账户关联存储。在一些实施例中，所述方法还可包括：从访问装置接收完成与账户相关联的交易的请求，所述请求包括已签名认证指示符；使用与所述账户关联存储的公钥来验证所述认证指示符；以及在验证所述认证指示符后，将令牌提供给所述访问装置。

本公开的另一实施例涉及一种安全远程交易服务器，其包括处理器和存储器，所述存储器包括指令，所述指令在通过所述处理器执行时使所述安全远程交易服务器：从客户端装置至少接收登记账户的请求；验证所述客户端装置有权访问所述账户；将密码密钥对的至少公钥与所述账户关联存储，其中所述密码密钥对的至少私钥与所述账户相关联地存储在所述客户端装置上；以及生成与所述账户相关联的令牌，所述令牌与所述账户关联存储。在一些实施例中，所述指令还可使所述安全远程交易服务器：从访问装置接收完成与所述账户相关联的交易的请求，所述请求包括已签名认证指示符；使用与所述账户关联存储的公钥验证所述认证指示符；以及在验证所述认证指示符后，将令牌提供给所述访问装置。