[发明专利]用于使用个人认证设备(PAD)认证用户的方法和系统

说明书

公开的主题涉及用于使用个人认证设备(PAD)认证用户的方法和系统。PAD是用户私有并且配置为仅由该用户使用的设备。该方法包括用于消除将用户的认证凭证暴露给不受用户控制的外部设备、系统或通信网络的认证机制。本公开提供了用于认证用户的多级安全性，其使得认证过程更加健壮、更不易受攻击并且更能抵抗试图获得对认证过程的控制的若干攻击。攻击可以是重放攻击、伪造攻击、中间人攻击、拒绝服务攻击等。多级安全性特征在PAD被盗、创建了PAD的精确克隆、对手获得对所有通信信道的控制、对手修改/改变/窃取所传输的数据等的场景下为用户提供完全保护。

技术领域

本主题总地涉及个人认证设备(PAD)，更具体地但非排他地，涉及用于使用PAD认证用户的方法和系统。

背景技术

通常，在访问诸如银行交易、资金转移、社交网站等的安全系统或设施之前，进行用户认证是强制性的惯例。用户认证过程可能要求用户维护密码。通常，密码可以是生物识别密码或非生物识别密码。生物识别密码是唯一地识别用户且无法更改的密码。非生物识别密码可以是用户设置的密码，其可以对用户不是唯一的并且可以在情况需要时改变。如今，由于易于使用并且还由于市场上提供的包括生物识别传感器的设备和设施的增加，用于认证用户的生物识别密码的使用一直在增加。

首先，用户可能必须记住不同的密码以访问不同种类的安全系统或设施，这可能是乏味的。用户可能多次在第三方设备中提供密码，或者可能通过通信网络传输密码，以访问某些安全系统或设施。近来，在第三方设备中使用密码和通过通信网络的传输的增加已经引起了一些隐私和道德问题。一些隐私和道德问题可能包括克隆生物识别数据、中间人攻击、包括黑客攻击的网络犯罪、数据窃取、未经授权的交易等。当受到这样的攻击时，用户可以立即更改非生物识别密码。然而，由于生物识别密码对于每个用户是唯一的并且不能被改变，因此一旦密码被黑客入侵或克隆，用户将面临与使用被克隆或被黑客入侵的密码来提供访问的安全系统或设施有关的严重问题。此外，用户将不能在没有风险可能的情况下，使用相同的生物识别密码。

目前，存在一些用于通过网络授权客户与商品或服务的提供商之间的商业交易的现有技术。商品或服务的提供商要求客户通过激活指纹识别设备来提供认证，客户可以在该指纹识别设备上接收认证码。然而，在这种技术中，客户在商品或服务的提供商的指纹识别设备中提供生物识别细节，从而冒着客户提供的生物识别细节的安全性的风险。

发明内容

通过本公开，可以克服现有技术的一个或多个缺点，并且可以提供另外的优点。通过本公开的技术可以实现另外的特征和优点。本文详细描述了本公开的其它实施例和方面，并且认为其是所要求保护的公开的一部分。

本文公开了一种用于使用个人认证设备(PAD)认证用户的方法。该方法包括由PAD使用与PAD相关联的用户的预先记录的秘密密钥和从与PAD交易的服务接入点(SAP)接收的随机数生成对会话有效的主会话密钥。随机数由SAP响应于从PAD接收的会话相关信息(SRI)而生成。在生成主会话密钥后，PAD通过SAP将包括随机数、时间戳、SRI和随机盐数据(RSD)的会话发起数据包与会话发起数据包的数字签名一起发送给与PAD相关联的服务提供商。此外，PAD从用户接收一次性密码(OTP)。在成功验证会话发起数据包的数字签名后，服务提供商将OTP提供给用户。此外，PAD将包括散列OTP的验证数据包与验证数据包的数字签名一起发送给服务提供商，以在验证数据包和验证数据包的数字签名由服务提供商验证时，生成辅助会话密钥。SAP使用主会话密钥和辅助会话密钥来认证用户，辅助会话密钥作为包括时间戳和RSD的会话认证数据包的一部分、从服务提供商接收。

此外，本公开包括用于认证用户的个人认证设备(PAD)。PAD包括被配置为从用户接收多个认证凭证的组合以激活PAD的一个或多个生物识别传感器。此外，PAD包括被配置为从用户接收多个认证凭证的组合以激活PAD的用户接口。此外，PAD包括处理器和通信地耦接到处理器的存储器。存储器存储处理器可执行指令，处理器可执行指令在被执行时使得处理器基于从用户接收的多个认证凭证的组合来激活PAD。