認證方法
【專利摘要】本發(fā)明提供一種在終端（10）處認證用戶進行交易的方法，其中用戶標識經(jīng)由第一通信通道（14）從所述終端（10）傳輸?shù)浇灰谆锇椋?2），并且認證裝置（18）使用第二通信通道（20），用于檢查在所述用戶的移動裝置（16）中實施的認證功能，并且作為決定應(yīng)授權(quán)還是拒絕對所述交易的認證的標準，所述認證裝置（18）檢查在所述用戶標識的傳輸與來自所述第二通信通道的響應(yīng)之間是否存在預(yù)定的時間關(guān)系，其特征在于，所述認證功能通常是非活動的并且僅由所述用戶預(yù)先激活用于所述交易，來自所述第二通信通道（20）的所述響應(yīng)包括以下信息：所述認證功能是活動的并且所述認證功能被自動地停用。
【專利說明】認證方法【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種在終端處認證用戶進行交易的方法，其中用戶標識經(jīng)由第一通信通道從終端傳輸?shù)浇灰谆锇?，并且認證裝置使用第二通信通道，用于檢查在用戶的移動裝置中實施的認證功能，并且作為決定應(yīng)授權(quán)還是拒絕對交易的認證的標準，認證裝置檢查在用戶標識的傳輸與來自第二通信通道的響應(yīng)之間是否存在預(yù)定的時間關(guān)系。
【背景技術(shù)】
[0002]在其中用戶經(jīng)由通信通道(例如，因特網(wǎng))與遠程交易伙伴通信的交易中，重要的是確保將自身標識為授權(quán)用戶的個人實際上就是宣稱為授權(quán)用戶的人員。例如，當用戶進行在線銀行交易(其中用戶將自身標識為某一賬戶的擁有者并且要求將一定數(shù)量的金錢匯到另一賬戶)時， 需要認證方法來驗證請求者的身份。應(yīng)該需要用戶認證的交易的其他實例是其中用戶要求在線訪問數(shù)據(jù)庫或涉及敏感數(shù)據(jù)的其他在線服務(wù)的交易。另一實例將是用于對向安全區(qū)域或房間提供物理接入的開門器進行操作的交易。
[0003]GB2398159A揭示了一種上述類型的認證方法，其中認證功能提示用戶確認交易并且對應(yīng)的確認信號從移動裝置被發(fā)送到認證裝置。
[0004]W02008/052592A1揭示了一種信用卡系統(tǒng)，其中用戶的移動裝置被用于激活和停
用用卡。
[0005]W02007/072001A1揭示了一種認證方法，其中認證裝置對應(yīng)于用戶標識的傳輸，其中將認證令牌發(fā)送到請求交易的終端。例如，此令牌可以被編碼在將要顯示在終端的顯示器上的數(shù)字圖像中。移動裝置中的認證功能經(jīng)配置以捕獲此數(shù)字圖像并且經(jīng)由第二通信通道將所述數(shù)字圖像發(fā)送回認證裝置。
[0006]以此方式，可以確認的是攜帶移動裝置，例如，移動電話的個人實際上存在于請求交易的終端的位置處。因此，只要用戶控制其移動裝置，認證方法就能確保不會有第三方可以偽造此用戶的標識數(shù)據(jù)并且以他的身份執(zhí)行任何交易。

【發(fā)明內(nèi)容】

[0007]本發(fā)明的目標是提供一種易于處理且可以用具有低復(fù)雜度的移動裝置執(zhí)行的認證方法。
[0008]為了實現(xiàn)此目標，根據(jù)本發(fā)明的認證方法的特征在于，認證功能通常是非活動的并且僅由用戶預(yù)先激活用于交易，來自第二通信通道的所述響應(yīng)包括以下信息:認證功能是活動的并且認證功能被自動地停用。
[0009]在此方法中，認證功能的復(fù)雜度可以顯著降低。在極端情況下，從認證功能中必須要求的是允許認證裝置檢測此功能是否是活動的。同樣地，出于認證目的從用戶中要求的唯一活動是在交易的合適時機激活認證功能。在檢測到認證功能的活動狀態(tài)之后，此功能被返回到非活動狀態(tài)?！邦A(yù)定時間關(guān)系”可能意味著在某一時刻認證功能是活動的，在所述時刻從終端發(fā)送出用戶標識。作為一個替代方案，預(yù)定時間關(guān)系可能意味著在傳輸用戶標識之后，認證功能在某一(優(yōu)選地較短)時窗內(nèi)被激活，或者相反地，在認證裝置檢測到認證功能是活動的之后，用戶標識在特定的時窗內(nèi)傳輸。
[0010]由于認證功能通常是非活動的，因此當?shù)谌狡墼p性地將自身標識為用戶以便起始交易時，認證幾乎肯定失敗。隨后，僅在真正的用戶剛好在恰當時刻激活其移動裝置的認證功能這種極不可能的情況下，認證才會成功。甚至在這種不可能的情況下，也可以檢測到欺詐行為，因為用戶僅在想要自身進行交易時才會激活認證功能。因此，認證裝置會檢測到認證功能的一次激活與兩個交易請求(通常從不同終端發(fā)出)之間的重合，并且這將會引起認證裝置(或交易伙伴)拒絕或撤銷該交易。因此，盡管復(fù)雜度較低，但是根據(jù)本發(fā)明的方法可以提供較高的安全等級。
[0011]從屬權(quán)利要求中指明了本發(fā)明更具體的可選特征。
[0012]傳輸用戶標識的終端可以是(例如)提款機或收款員，但也可以是任何其他裝置，例如，能夠與遠程交易伙伴通信的計算機。移動裝置可以是，例如，移動電話或智能電話、手提電腦、平板電腦或類似者，但也可以是具體設(shè)計用于本文所描述的認證方法目的的專用 裝直。
[0013]本發(fā)明的特殊優(yōu)點是，移動裝置不需要具有用于捕獲或輸出信息的任何特定軟件。從移動裝置中要求的是，移動裝置可以在某一(優(yōu)選地較短)時間段內(nèi)被激活并且能夠連接到移動通信網(wǎng)絡(luò)，其中移動通信網(wǎng)絡(luò)具有鏈接到用戶的標識數(shù)據(jù)上的地址，使得當認證裝置從終端接收用戶標識時，認證裝置能夠檢查具有相關(guān)聯(lián)的地址的移動裝置的認證功能是否是活動的。為 此，甚至不需要在認證裝置與移動裝置之間存在任何實際通信。例如，當移動裝置具有移動電話(GSM)收發(fā)器時，認證功能的激活可以僅包括激活該收發(fā)器，使得該收發(fā)器連接到移動網(wǎng)絡(luò)的最近的基站子系統(tǒng)(BSS)。因此，移動裝置將由其裝置標識符(MSI)進行標識，并且關(guān)于其所處的移動裝置的活動狀態(tài)以及GSM單元的信息將會進入移動網(wǎng)絡(luò)的歸屬位置寄存器(HLR)。因此，認證裝置可以僅通過詢問HLR來檢查移動裝置的活動或非活動狀態(tài)。
[0014]移動裝置可以具有多個移動地址(例如，移動電話號碼)并且甚至能夠經(jīng)由多個不同的移動網(wǎng)絡(luò)通信。在這種情況下，優(yōu)選的是每個移動地址被分配到不同類型的交易(例如，一個電話號碼用于認證銀行交易并且另一個用于認證對數(shù)據(jù)網(wǎng)絡(luò)的訪問)，并且認證功能或多個認證功能適用于針對每個類型的交易單獨地被激活和停用。
[0015]在修改的實施例中，為了增強安全性，多個移動地址可以被分配到一個類型以及相同類型的交易，并且移動裝置和認證裝置使用相同的算法，用于不時地改變將用于認證目的的移動地址。
[0016]由于額外的安全性特征，根據(jù)本發(fā)明的方法可以包括以下步驟:定位移動裝置并且檢查除了預(yù)定的時間關(guān)系之外，移動裝置與終端之間是否還存在預(yù)定的空間關(guān)系。在已在先前段落中描述的實例中，例如，可以檢查移動裝置是否位于還含有終端位置的GSM單元中。
[0017]實際上，當無論在移動裝置與認證裝置之間，還是在移動裝置與終端或任何其他實體之間不存在通信時可能是非常有利的，因為當不存在通信時，此通信不可能被接通并且不可能用于戰(zhàn)勝安全系統(tǒng)。
[0018]在本發(fā)明的其他實施例中，移動裝置中的認證功能可以經(jīng)由第一或第二通信通道從認證裝置中接收認證數(shù)據(jù)，任選地處理這些數(shù)據(jù)，并且以預(yù)定義的方式對認證裝置作出響應(yīng)。例如，交易請求的某些細節(jié)，例如，在銀行交易情況下的賬號以及待記入的量，可以從認證裝置傳輸?shù)揭苿友b置，并且可以(例如)經(jīng)由裝置的顯示器指示給用戶。用戶隨后可以確認或拒絕該請求。優(yōu)選地，認證請求的細節(jié)僅在認證裝置已確認移動裝置中的認證功能是活動的之后發(fā)送。因此，如果用戶尚未激活認證功能，將不存在經(jīng)由第二通信通道的進一步通信，并且用戶可以節(jié)省通信成本。如果認證功能是活動的，那么經(jīng)由第二通信通道的通信還可以包括某些認證細節(jié)的詢問，例如，如果交易終端是用戶的計算機，那么認證細節(jié)可以包括，例如，計算機的IP地址、計算機上某一數(shù)據(jù)文件或軟件配置的存在、計算機的位置以及類似者。通過提示用戶確認或指示將僅對用戶可用的此類消息，欺詐的可能性可以顯著降低。同樣地，移動裝置可以發(fā)送標識數(shù)據(jù)，例如，用戶的密碼、編碼的指紋或虹膜圖像或類似者，從而允許認證裝置驗證實際上是注冊的用戶在控制該移動裝置。這些過程可以保證該移動裝置實際上是由MSI進行標識的裝置，即，未對MSI進行仿造的裝置。
[0019]根據(jù)本發(fā)明的獨立方面，然而該方面可以結(jié)合到上述方法中，移動裝置包括用于用戶的一些標識令牌的接口。例如，所述接口可以是用于讀取用戶的智能身份證的讀卡器。常規(guī)地，用于此類智能卡或其他標識令牌的讀出器連接到計算機或終端上，經(jīng)由所述計算機或終端請求交易，以便證明用戶的身份。然而，這個過程不會消除計算機受一些間諜軟件感染的風險，利用所述間諜軟件可能會將來自智能卡的數(shù)據(jù)攔截。根據(jù)本發(fā)明，來自標識令牌的敏感數(shù)據(jù)不會經(jīng)由計算機傳輸，但是會經(jīng)由移動裝置傳輸，所述移動裝置不會受到感染或至少極不可能受到間諜軟件的感染。任選地，可以要求用戶，例如，通過輸入口令來激活標識令牌。
[0020]當移動裝置是專用裝置時，優(yōu)選的是裝置的電子組件防止電子和機械接入。
【專利附圖】

【附圖說明】
[0021]現(xiàn)在將結(jié)合附圖來描述本發(fā)明的實施例，其中:
[0022]圖1是圖示了根據(jù)本發(fā)明的認證方法的框圖；
[0023]圖2至圖4是圖示了本發(fā)明的不同實施例的時序圖；
[0024]圖5是圖示了本發(fā)明的另一實施例的框圖；
[0025]圖6是圖示了用于本發(fā)明的實施例的通信方案的實例的框圖；
[0026]圖7是用于執(zhí)行根據(jù)本發(fā)明的方法的專用移動裝置的視圖；
[0027]圖8是圖7所示的裝置的截面圖；
[0028]圖9是根據(jù)修改的實施例的專用移動裝置的視圖
[0029]圖10是圖示了修改的通信方案的框圖。
【具體實施方式】
[0030]如圖1所示，交易終端10 (例如，提款機)經(jīng)由第一通信通道14與遠程交易伙伴12 (例如，銀行)通信，所述第一通信通道可以是有線或無線通道。移動裝置16經(jīng)由第二通信通道20與認證裝置18通信，所述第二通信通道優(yōu)選地包括無線鏈路，例如，移動電話網(wǎng)絡(luò)。認證裝置18可以安裝在交易伙伴12的場所中或可以被配置成經(jīng)由第三通信通道22與交易伙伴12通信的單獨實體。[0031]移動裝置16由用戶攜帶，所述用戶被注冊為形成通信通道20的移動電話網(wǎng)絡(luò)的訂購戶。認證裝置18由數(shù)據(jù)處理硬件和軟件形成，并且包括存儲用戶的用戶ID以及該用戶的移動裝置16的移動電話號碼(或任何另一移動地址)的數(shù)據(jù)庫。
[0032]現(xiàn)在應(yīng)假設(shè)用戶想要經(jīng)由終端10進行銀行交易。為此，用戶操作終端10并且將交易請求發(fā)送到交易伙伴12。該請求包括步驟A:將用戶ID傳輸?shù)浇灰谆锇?2。在步驟B中，交易伙伴12將用戶ID轉(zhuǎn)發(fā)到認證裝置18。因此，認證裝置18檢索用戶的移動電話號碼和或MSI，并且聯(lián)系移動裝置16或至少移動電話網(wǎng)絡(luò)，以檢查在其中實施的移動裝置16或某一認證功能是否是活動的(步驟C)。當在步驟D中確認認證功能是活動的時,認證裝置18將認證信號發(fā)送到交易伙伴12 (步驟E)。認證信號優(yōu)選地包括已在步驟B中發(fā)送的用戶ID并且通知交易伙伴此特定用戶被認證進行請求的交易。因此，用戶與交易伙伴12之間的交易將經(jīng)由終端10執(zhí)行(步驟F)。
[0033]任選地，如也已在圖1中圖示，額外步驟C’和D’可以介入步驟D與步驟E之間。僅當在步驟D中成功地確認認證功能是活動的時，會執(zhí)行步驟C’，并且步驟C’在于提示用戶將某些信息輸入移動裝置。例如，當交易終端10是計算機時，可以要求用戶進入已安裝在該計算機上的病毒掃描器版本。此信息隨后將在步驟D’中被傳輸?shù)秸J證裝置18，并且將相對于已存儲在其中的對應(yīng)認證條件進行檢查。隨后，僅如果在步驟D’中傳輸?shù)男畔ㄕ_的認證條件，那么將發(fā)送認證信號(步驟E)。
[0034]圖2示出圖示了已在上文概述的認證方法的一個實施例的時序圖。
[0035]在時間tl處，想要請求交易的用戶激活其移動裝置16。在時間t2處，執(zhí)行步驟A-B-C-D-E的順序以對用戶進行認證。因此，在這時，移動裝置16實際上是活動的，因此認證成功。隨后，在時間t3處，移動裝置16通過在裝置16中實施的自動停用功能被手動地或自動地停用。作為另一替代方案，當用戶已被成功地認證時，停用移動裝置16的命令可以通過認證裝置18發(fā)送。
[0036]優(yōu)選地，從tl至t3的時間間隔(在所述間隔中，移動裝置16是活動的)將相對較小，例如，僅幾分鐘或幾秒。當在步驟C和D中發(fā)現(xiàn)移動裝置16 (或至少其認證功能)是非活動的時，必須假設(shè)由用戶ID進行標識并且控制移動裝置16的個人實際上并不想要請求交易，并且因此必須斷定在步驟A中發(fā)送的用戶ID已被未授權(quán)的第三方偽造。在這種情況下，在步驟E中拒絕認證。
[0037]圖3是用于修改的認證過程的時序圖。在時間tl’處執(zhí)行此實施例，步驟A、B和C，S卩，用戶ID的傳輸以及詢問移動裝置16是否是活動的。因此，認證裝置18起始計算時窗24的計時器，移動裝置16必須在所述時窗內(nèi)被激活。在所示的實例中，時窗24在時間tl’處開始并且在時間t3’處結(jié)束。在其他實施例中，時窗24可以略晚于tl’打開。在時間t2’處，用戶激活移動裝置16，并且響應(yīng)于此執(zhí)行步驟D和E。由于t2’在時窗24內(nèi)，因此認證成功。如果時間t2’不包括在時窗24中，那么認證將被拒絕。在時間t4’處再次停用移動裝置16。
[0038]在另一實施例中，如圖4所示，認證裝置18以有規(guī)律的時間間隔(不時地等)檢查認證功能的狀態(tài)。認證過程起始于在時間tl’’處用戶激活移動裝置16。更具體地說，用戶激活裝置16中的認證功能。在下一狀態(tài)檢查中，認證裝置18檢測認證功能是否是活動的(步驟D)。認證裝置18以起始計算時窗26的計數(shù)器作出反應(yīng)，用戶ID必須在所述時窗內(nèi)傳輸用于成功認證。在所示的實例中，在時窗26內(nèi)的時間t2’ ’處，用戶經(jīng)由終端10傳輸其ID。由于認證裝置18已通知裝置16中的認證功能是活動的，因此步驟E緊接著步驟B，從而將成功認證發(fā)信號通知交易伙伴12。時窗26在時間t3’’處關(guān)閉。如果步驟A晚于t3’’執(zhí)行，那么將會拒絕認證。
[0039]在所有這些實施例中，認證過程可以任選地包括在終端10與認證裝置18之間和/或在移動裝置16與認證裝置18之間或另外在終端10與移動裝置16之間通信(直接地或經(jīng)由用戶)的額外步驟。用于認證目的的此類通信協(xié)議在所屬領(lǐng)域中通常是已知的。
[0040]例如，移動裝置可以使用預(yù)編程的算法來生成標識代碼并且將所述標識代碼發(fā)送到認證裝置。預(yù)編程的算法對認證裝置而言是已知的，并且在此處用于驗證移動裝置的身份，與其頂SI無關(guān)。標識代碼可以是，例如，來自存儲在移動裝置中的“TAN”號碼列表中的號碼，所述算法經(jīng)配置以使得每個號碼僅使用一次。另一方面，為了允許無數(shù)次的交易，可能在使用當前日期或時刻等數(shù)據(jù)的情況下可以動態(tài)地產(chǎn)生標識代碼。在又另一實施例中，標識代碼可以是加密口令或口令與時間以及日期數(shù)據(jù)的加密組合，所述加密是基于從認證裝置發(fā)送的動態(tài)變化的加密參數(shù)來確定的。
[0041]僅當認證裝置發(fā)現(xiàn)標識代碼是有效的時，認證才會成功。然而在任何情況下，根據(jù)本發(fā)明，無論何時發(fā)現(xiàn)移動裝置16的認證功能在恰當?shù)臅r間是非活動的，都會拒絕認證。
[0042]圖5示出與圖1類似的框圖，用于其中終端10和移動裝置16被物理地整合成一個且相同的設(shè)備30 (例如，經(jīng)由移動電話網(wǎng)絡(luò)訪問因特網(wǎng)的智能電話)的實施例。因此，在這種情況下，第一通信通道14通過移動電話網(wǎng)絡(luò)形成一個部件并且通過因特網(wǎng)形成另一部件，然而第二通信通道20僅通過移動電話網(wǎng)絡(luò)形成。
[0043]認證過程基本上與圖1至圖4中的認證過程相同。然而，由于設(shè)備30是多用途裝置，因此如果此裝置(總體上)通常是非活動的并且當需要認證時僅在較短時間間隔內(nèi)被激活，那么所述設(shè)備是不實用的。然而，在移動裝置16中實施的認證功能可以采用小應(yīng)用程序的形式，所述小應(yīng)用程序總體上可以獨立于設(shè)備30被激活和停用。隨后當然，在圖5中的步驟C中，僅通過向移動電話網(wǎng)絡(luò)詢問設(shè)備30是否注冊為活動的無法檢查認證功能的活動或非活動狀態(tài)。替代地，認證裝置18實際上需要將請求發(fā)送到移動裝置16中的小應(yīng)用程序中并且當活動時，小應(yīng)用程序?qū)Υ苏埱笞鞒鲰憫?yīng)，或者當活動時，小應(yīng)用程序需要將請求發(fā)送到認證裝置。
[0044]圖6圖示了一種通信方案，其中第一通信通道14和第三通信通道22通過，例如因特網(wǎng)形成。認證裝置18遠離交易伙伴12進行安裝并且通過獨立于交易伙伴12的可靠第三方運行。第二通信通道20由移動電話網(wǎng)絡(luò)形成，所述移動電話網(wǎng)絡(luò)包括歸屬位置寄存器(HLR) 32和多個基站子系統(tǒng)(BBS) 34，其中僅一者已在圖6中示出并且每一者服務(wù)一個或多個移動電話單兀36。
[0045]在此實施例中，認證裝置18不僅檢查移動裝置16是活動的還是非活動的，而且還識別裝置16當前所處的移動單元36，并且僅當移動裝置16被發(fā)現(xiàn)在指定的時窗中是活動的且被發(fā)現(xiàn)位于單元36中時，用戶被認證進行交易，所述單元還容納請求交易的終端10。因此，僅當用戶ID在恰當時刻從某一終端10發(fā)送，且另外真正用戶的移動裝置16剛好位于該終端10附近時，才可能發(fā)生錯誤認證。
[0046]如果移動網(wǎng)絡(luò)20支持基于位置的服務(wù)(LBS)，那么移動裝置16的當前位置可以以高得多的空間分辨率進行標識，并且成功認證需要移動裝置16僅距離終端10幾百米或幾十米。
[0047]在又另一實施例中，移動裝置16可以包括GPS功能，并且認證功能可以經(jīng)配置以將移動裝置16的當前GPS坐標發(fā)送到認證裝置18。
[0048]本發(fā)明還包括上述方法的變體，其中首先檢查移動裝置與終端之間的空間關(guān)系，并且僅在空間關(guān)系未實現(xiàn)的情況下檢查用戶ID的傳輸與移動裝置的激活之間的時間關(guān)系。例如，移動裝置可以具有以一定間隔(例如，每天若干次)自動地連接到移動網(wǎng)絡(luò)上的功能。隨后，當認證請求與用戶ID—起傳輸時，認證裝置18可以參考移動網(wǎng)絡(luò)的HLR定位移動裝置16，并且當移動裝置被發(fā)現(xiàn)靠近終端或者至少被發(fā)現(xiàn)位于“安全”區(qū)域(B卩，發(fā)生欺詐行為的可能性較低的區(qū)域)中時，例如，當移動裝置位于某一國家或州內(nèi)時，授權(quán)認證而不需要檢查認證功能的活動狀態(tài)。因此，用戶不需要激活認證功能。另一方面，當移動裝置被發(fā)現(xiàn)位于更可能發(fā)生欺詐行為的外國時，認證將被拒絕，除非用戶在恰當時刻激活認證功倉泛。
[0049]鑒于所謂的MSI收集器(即，接通移動裝置的通信，以便將特定信息聚集在移動裝置上的裝置，例如，其MSI )，方法的這種變體提供改進的安全性。僅當移動裝置連接到移動網(wǎng)絡(luò)，同時其非?？拷麺SI收集器(例如，以小于Ikm的距離)定位時，此類IMSI收集器才是活動的。因此，當MSI收集器靠近終端進行安裝，以便收集在該終端進行交易的用戶的MSI，并且所述終端位于“安全”區(qū)域(其中未檢查時間關(guān)系)中時，MSI收集器會發(fā)生故障，因為認證裝置可以已參考HLR定位移動裝置，并且移動裝置不需要連接到移動網(wǎng)絡(luò)上，同時用戶靠近終端定位并且因此位于MSI收集器的范圍內(nèi)。
[0050]使用額外位置標準的認證方法提供增加的安全等級，但是具有以下問題:在技術(shù)上，交易伙伴12將能夠永久地追蹤移動裝置16，因此可能會侵犯隱私要求或法律。然而，用戶的隱私可以通過以下方式得到保護:保證移動裝置16的移動地址、MSI或電話號碼僅由運行認證裝置18的可靠第三方，而不是交易伙伴12已知。隨后，認證裝置18將僅通知交易伙伴12用戶是否得到認證，但不會披露用戶的當前位置。由于交易伙伴未訪問用戶的移動裝置的MSI，因此此過程還避免了不誠實的交易伙伴仿造IMSI和/或披露用戶的任何其他敏感數(shù)據(jù)的風險。
[0051]如圖6所示，認證裝置18可以為多個交易伙伴12a、12b (例如，多個銀行)、因特網(wǎng)服務(wù)供應(yīng)商以及類似者提供匿名認證服務(wù)。所采用的認證方法對于不同的交易伙伴可以是不同的并且還可以包括圖1至圖5所示類型的僅使用時間標準的方法。
[0052]圖7和圖8示出根據(jù)本發(fā)明的專用于特定認證目的的移動裝置16的實例。此裝置16具有主體38，所述主體容納具有天線42的無線收發(fā)器40 (例如，移動電話收發(fā)器)、電子控制器44、可再充電電池46和電池充電控制燈47。
[0053]裝置標識符(IMSI)被永久地存儲在控制器44中，所述控制器僅具有激活和停用收發(fā)器40的功能，以使得后者可以連接到最近的BSS34并且將本身標識為最近的BSS34。啟動開關(guān)48形成于主體38的表面中。啟動開關(guān)48可以僅由按鈕形成，以使得用戶可以通過按壓按鈕來激活認證功能(即，收發(fā)器40)。作為一個替代方案，啟動開關(guān)可以通過用于輸入一些密碼(例如，PIN)的輸入裝置或通過指紋傳感器或虹膜識別傳感器等生物識別傳感器來形成，以使得僅當用戶的身份被確認時才激活收發(fā)器。如圖9所示，蜂鳴器49提供用于當認證功能已通過按壓啟動開關(guān)48成功地激活時給出聲反饋。
[0054]控制器44具有自動停用功能，從而在收發(fā)器40被激活幾秒之后停用收發(fā)器。
[0055]主體38具有相對較小的尺寸并且附接到鑰匙環(huán)50上，以使得主體可以以用戶的一串鑰匙的形式方便地隨身攜帶。
[0056]從主體38的一端突出的是連接到電池46上的公座52 (例如，USB插座或微USB插座)，以使得電池可以通過將裝置16插入計算機、移動電話或類似者的母USB插座中進行再充電。公座52由可拆卸的蓋子54覆蓋和保護。在所示的實例中，蓋子54形成母座56，所述母座對外部開放并且在內(nèi)部連接到容納公座52的另一母座58上。因此，電池46還可以通過將電源的公USB或微USB連接器插入插座56中進行再充電。
[0057]如圖8所示，主體38是具有收發(fā)器40、控制器44以及安排在其中的電池46的大塊塑料主體。因此，在不破壞主體38的情況下，物理接入這些部件，尤其收發(fā)器40和控制器44是不可能的。
[0058]在修改的實施例中，控制器44可以包括具有用于更復(fù)雜的認證功能的程序代碼和數(shù)據(jù)的存儲器，例如，如上所述，用于產(chǎn)生和傳輸裝置標識代碼的功能。然而，控制器不具有可以讀出存儲器的內(nèi)容的電子接觸件。任選地，控制器44，尤其其存儲器，可以經(jīng)配置以使得在主體38受到損壞且有人嘗試從其中移除控制器時，所有存儲的內(nèi)容都被清除。因此，可以存儲在控制器44的存儲器中的認證數(shù)據(jù)可靠地防止被復(fù)制。
[0059]圖9示出移動裝置16’的實例，所述移動裝置僅專用于認證目的，但是支持用于兩個不同類型的交易的兩個不同認證過程。裝置16’具有存儲不同訪問數(shù)據(jù)組的兩個SIM卡60,60'(或其他存儲裝置)。因此，SM卡中的每一者具有其自身的移動電話號碼，所述移動電話號碼甚至可以屬于兩個不同的移動網(wǎng)絡(luò)。每個移動電話號碼被分配到多種交易類型中的不同者。兩個移動號碼可以在兩個不同的認證裝置中注冊或可以在相同的認證裝置中與指定所述兩個移動號碼應(yīng)使用的交易類型的信息一起進行注冊。
[0060]此外，裝置16’具有兩個按鈕48和48’，用于選擇性地激活兩個SM卡60、60’中的一者。因此，用戶可以通過按壓按鈕48或按鈕48’來指定其想要執(zhí)行的交易類型，以便激活相關(guān)的SM卡并且隱含地激活相關(guān)的認證功能。在一定時間間隔之后，控制器44隨后將自動地停用認證功能(SM卡)。
[0061]作為替代方案，裝置16’可以具有多個SIM卡(或其他移動網(wǎng)絡(luò)標識號，例如，MS1、電話號碼以及類似者)，但是僅單個開關(guān)48用于激活認證功能。隨后，存儲在控制器44中的某一算法用于決定待使用的SIM卡，例如，取決于日期、時刻或類似者。相同的算法用于認證裝置18中，并且僅當移動裝置和認證裝置使用與確定的SIM卡相關(guān)聯(lián)的相同聯(lián)系資料時認證才可能成功。圖10圖示了可以應(yīng)用于上述通信方案中的任一者的有用修改。通常，從終端10發(fā)送到交易伙伴12的認證請求將不僅包括用戶ID，還包括口令，所述口令示出用戶實際上有權(quán)享有其正在請求的服務(wù)。然而，在圖10所示的實施例中，此口令不是經(jīng)由第一通信通道14傳輸?shù)?，而是?jīng)由第二或第三通信通道傳輸?shù)?。這樣降低了通過接通通信通道中的一者捕獲的口令與用戶ID的組合的風險。
[0062]一旦處于認證裝置18 (例如，可靠第三方)中時，口令可以(例如)經(jīng)配置，以使得用戶不需要存儲口令或者針對每次新的交易輸入口令。當認證裝置18授權(quán)認證時，認證裝置會自動地添加分別適用于特定交易伙伴12和所請求服務(wù)的口令，并且該口令會與認證一起被傳輸?shù)浇灰谆锇?2。
[0063]在另一實施例中，口令可以被永久地存儲在移動裝置16中并且在上述步驟D中經(jīng)由無線通信通道20發(fā)送到認證裝置18。在圖10所示的實施例中，移動裝置替代地包括口令生成器62，所述口令生成器根據(jù)由認證裝置18反映出的某一算法生成動態(tài)變化的口令。因此，即使MSI已由MSI收集器捕獲，也仍然可以檢測到欺詐行為，因為分別在移動裝置16和認證裝置18中生成的口令不匹配。優(yōu)選地，對經(jīng)由通信通道20發(fā)送的口令進行加密。
[0064]此外，在示出的實例中，在移動裝置中生成的口令是用于每個認證過程的萬能口令，而不管所涉及的交易伙伴和服務(wù)類型如何。隨后，基于如在步驟B中從交易伙伴12傳輸?shù)年P(guān)于特定服務(wù)類型的信息，如果認證成功，那么認證裝置18會自動地將萬能口令轉(zhuǎn)換成適用于服務(wù)類型的特定口令。
[0065]在又另一實施例中，同樣如圖10所不,移動裝置16還包括用于用戶的一些標識令牌的接口。在所示實例中，接口是用于讀取智能卡(例如，用戶的智能身份證或智能護照卡)的讀卡器。用戶會將其智能卡插入讀卡器(或者智能卡永久地容納在讀卡器中)中，以使得來自智能卡的標識數(shù)據(jù)可以被讀取并且可以經(jīng)由通信通道20與口令一起或代替口令傳輸。
【權(quán)利要求】
1.一種在終端(10)處認證用戶進行交易的方法，其中用戶標識經(jīng)由第一通信通道(14)從所述終端(10)傳輸?shù)浇灰谆锇?12)，并且認證裝置(18)使用第二通信通道(20)，用于檢查在所述用戶的移動裝置(16)中實施的認證功能，并且作為決定應(yīng)授權(quán)還是拒絕對所述交易的認證的標準，所述認證裝置(18)檢查在所述用戶標識的傳輸與來自所述第二通信通道的響應(yīng)之間是否存在預(yù)定的時間關(guān)系，其特征在于，所述認證功能通常是非活動的并且僅由所述用戶預(yù)先激活用于所述交易，來自所述第二通信通道(20)的所述響應(yīng)包括以下信息:所述認證功能是活動的并且所述認證功能被自動地停用。
2.根據(jù)權(quán)利要求1所述的方法，其中在激活所述認證功能后的預(yù)定時間間隔之后和/或當檢測到所述認證功能的活動狀態(tài)時，所述認證功能被停用。
3.根據(jù)權(quán)利要求1或2所述的方法，其中所述認證功能在于將所述移動裝置登錄到提供所述第二通信通道的移動通信網(wǎng)絡(luò)。
4.根據(jù)權(quán)利要求3所述的方法，其中所述移動通信網(wǎng)絡(luò)允許所述認證裝置(18)檢測所述移動裝置(16)的登錄狀態(tài)，并且因此通過僅檢查網(wǎng)絡(luò)的通信寄存器，而不需要與所述移動裝置(16)通信來檢測所述認證功能的所述活動狀態(tài)。
5.根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的方法，其中所述認證裝置(18)確定所述移動裝置(16)的當前位置并且當所述終端(10)以及所述移動裝置(16)的位置無法實現(xiàn)預(yù)定空間關(guān)系時，拒絕所述用戶的認證。
6.根據(jù)權(quán)利要求5所述的方法，其中所述第二通信通道(20)涉及支持基于位置的服務(wù)的移動通信網(wǎng)絡(luò)，并且所述認證裝置(18)使用這些基于位置的服務(wù)來定位所述移動裝置(16)。
7.根據(jù)權(quán)利要求5所述的方法，其中所述移動裝置(16)檢測其自身位置并且將位置信息發(fā)送到所述認證裝置(18)。
8.根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的方法，其中所述認證裝置(18)確定所述移動裝置(16)的當前位置并且當所述終端(10)以及所述移動裝置(16)的位置實現(xiàn)預(yù)定空間關(guān)系時，對所述用戶進行認證，并且僅當未實現(xiàn)所述空間關(guān)系時，才會檢查所述移動裝置中的所述認證功能的所述活動狀態(tài)。
9.根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的方法，其中所述認證裝置(18)遠離所述交易伙伴(12)并且經(jīng)由第三通信通道(22)與所述交易伙伴通信，并且其中將所述用戶標識鏈接到所述移動通信網(wǎng)絡(luò)中的所述移動裝置(16)的地址上的信息僅存儲在所述認證裝置(18)中，并且所述認證裝置僅通知所述交易伙伴(12)所述用戶是否得到認證，而不會披露有關(guān)所述用戶和/或所述移動裝置(16)的任何其他數(shù)據(jù)。
10.根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的方法，其中口令經(jīng)由所述認證裝置(18)被傳輸?shù)剿鼋灰谆锇?12)。
11.根據(jù)權(quán)利要求10所述的方法，其中所述口令被存儲在所述移動裝置(16)中或者在所述移動裝置(16 )中生成，并且被傳輸?shù)剿稣J證裝置(18 )。
12.根據(jù)權(quán)利要求10或11所述的方法，其中所述口令被存儲在所述認證裝置(18)中或者在所述認證裝置(18)中進行轉(zhuǎn)換。
13.根據(jù)前述權(quán)利要求中任一項權(quán)利要求所述的方法，其中所述移動裝置(16)連接到所述用戶的身份令牌上，以從中讀取身份數(shù)據(jù)，并且這些身份數(shù)據(jù)經(jīng)由所述第二通信通道(20 )被傳輸?shù)剿稣J證裝置(18 )。
14.一種用于根據(jù)權(quán)利要求1至9中任一項權(quán)利要求所述的認證方法的移動裝置(16)，其包括無線收發(fā)器(40)、啟動開關(guān)(48)以及電子控制器(44)，所述電子控制器實施所述認證功能并且經(jīng)配置以激活所述認證功能來響應(yīng)正在進行操作的所述啟動開關(guān)(48)并且在所述認證功能在預(yù)定時間間隔內(nèi)活動之后或已檢測到所述認證功能的狀態(tài)之后，停用所述認證功能。
15.根據(jù)權(quán)利要求14所述的裝置，其進一步包括可再充電電池(46)以及用于將所述電池(46 )連接到電壓源上的連接器(52 )。
16.根據(jù)權(quán)利要求15所述的裝置，其包括用于指示所述電池(46)的電荷狀態(tài)的顯示器(47)。
17.根據(jù)權(quán)利要求15或16所述的裝置，其中所述連接器(52)是USB或微USB連接器。
18.根據(jù)權(quán)利要求15至17中任一項權(quán)利要求所述的裝置，其中所述連接器(52)是由可拆卸蓋子(54)覆蓋的陽型連接器，所述可拆卸蓋子包括兩個陰型連接器(56、58)，從而允許經(jīng)由所述陰型連接器中的一者(56)將所述陽型連接器(52)連接到電壓源上，同時所述陰型連接器中 的另一者(58)耦合到所述陽型連接器(52)上。
19.根據(jù)權(quán)利要求14至18中任一項權(quán)利要求所述的裝置，其包括用于其自身位置的無線檢測的定位功能，其中所述認證功能包括經(jīng)由所述收發(fā)器(40)發(fā)送檢測到的位置的功倉泛。
20.根據(jù)權(quán)利要求14至18中任一項權(quán)利要求所述的裝置，其中所述認證功能僅包括激活和停用所述收發(fā)器(40)。
21.根據(jù)權(quán)利要求14至20中任一項權(quán)利要求所述的裝置，其包括主體(38)，所述主體至少囊封所述控制器(44)并且防止訪問所述控制器。
22.根據(jù)權(quán)利要求14至21中任一項權(quán)利要求所述的裝置，其包括自毀功能，所述自毀功能經(jīng)配置以通過嘗試強制訪問來激活。
23.根據(jù)權(quán)利要求14至22中任一項權(quán)利要求所述的裝置，其中所述收發(fā)器(40)構(gòu)成僅所述控制器(44)的數(shù)據(jù)輸入和輸出端。
24.根據(jù)權(quán)利要求14至23中任一項權(quán)利要求所述的裝置，其包括:用于多個移動地址的存儲構(gòu)件(60、60’)；以及輸入構(gòu)件(48、48’)，所述輸入構(gòu)件包括所述啟動開關(guān)(48)并且適用于選擇性地激活多個認證功能中的一者，所述認證功能中的每一者被分配到所述移動地址的不同者中。
25.根據(jù)權(quán)利要求14至23中任一項權(quán)利要求所述的裝置，其包括用于多個移動地址的存儲構(gòu)件(60、60’)，其中所述控制器(44)經(jīng)配置以根據(jù)預(yù)定算法從所述多個移動地址中選出一者。
26.根據(jù)權(quán)利要求14至25中任一項權(quán)利要求所述的裝置，其包括聲換能器(49)，用于在激活和/或停用所述認證功能之后提供聲反饋信號。
【文檔編號】G06Q20/32GK103988218SQ201280051814
【公開日】2014年8月13日 申請日期:2012年10月30日 優(yōu)先權(quán)日:2011年10月31日
【發(fā)明者】多米尼克·阿德努加 申請人:金錢及數(shù)字保護許可兩合有限公司