專利名稱:令牌共享系統(tǒng)和方法
令牌共享系統(tǒng)和方法相關(guān)申請(qǐng)的交叉參考本申請(qǐng)要求2005年5月6日提交的順序號(hào)為60/678,214的臨時(shí)申 請(qǐng)的權(quán)益,該申請(qǐng)的7>開內(nèi)容由此被全部結(jié)合以在此作為參考。發(fā)明領(lǐng)域本發(fā)明的領(lǐng)域是計(jì)算機(jī)安全性,特別是認(rèn)證。 發(fā)明背景企業(yè)采用強(qiáng)認(rèn)證技術(shù)來保護(hù)其數(shù)據(jù)和信息技術(shù)的機(jī)密性、完整性和 所確保的服務(wù)是已知的。這已經(jīng)通過利用多種方法來實(shí)現(xiàn),其中包括把 數(shù)字證書發(fā)給每個(gè)雇員、給每個(gè)雇員提供令牌等等。用于企業(yè)的強(qiáng)認(rèn)證 可以相對(duì)簡(jiǎn)單直接地來實(shí)施,這是因?yàn)橥ǔ4嬖谑芸氐囊唤M用戶必須向 其認(rèn)證他們自己的單個(gè)實(shí)體,即所述企業(yè)本身。對(duì)于消費(fèi)者應(yīng)用來說,可能難以應(yīng)用強(qiáng)認(rèn)證技術(shù)。數(shù)字證書和令牌 可能被視為消費(fèi)者與其他實(shí)體(比如商人)進(jìn)行交互的障礙,并且可能 是消費(fèi)者和所述其他實(shí)體都不愿意承擔(dān)的支出。然而,鑒于黑客造成的 威脅日益復(fù)雜并且更具破壞性(比如身份盜竊、網(wǎng)絡(luò)釣魚、中間人攻擊 以及信用卡盜竊),可以預(yù)期消費(fèi)者愿意采用某些強(qiáng)認(rèn)證技術(shù)。隨著在 線進(jìn)行的商務(wù)和其他活動(dòng)的量逐年增多,進(jìn)一步加強(qiáng)了上述情況。實(shí)際上,無反應(yīng)的泄密威脅以及所導(dǎo)致的負(fù)面事件的累積本身可以 被視為當(dāng)今對(duì)于消費(fèi)者活動(dòng)持續(xù)向在線環(huán)境轉(zhuǎn)移的障礙。雖然消費(fèi)者需 要更強(qiáng)的認(rèn)證,但是某些已知的解決方案可能難以實(shí)施。例如,與大多 數(shù)企業(yè)客戶不同,消費(fèi)者必須向大量的不同實(shí)體認(rèn)證其自身。消費(fèi)者通 ??赡懿幌胗涗浥c不同實(shí)體相關(guān)聯(lián)的不同認(rèn)證憑證。例如,許多消費(fèi)者 具有多個(gè)銀行、信用卡、服務(wù)供應(yīng)商、保健和政府帳戶。這些帳戶當(dāng)中 的每一個(gè)都可以受益于消費(fèi)者的強(qiáng)認(rèn)證。在這種情況下,如果對(duì)于每個(gè)帳戶向該消費(fèi)者發(fā)給一個(gè)認(rèn)證設(shè)備,那么他或她的口袋或鑰匙圏可能會(huì) 裝滿各種設(shè)備。這對(duì)消費(fèi)者來說可能是不期望的。所需要的是 一種能夠利用共享的令牌進(jìn)行操作的認(rèn)證系統(tǒng)和方法,該共享令牌可以被消費(fèi)者用來向各種各樣的企業(yè)認(rèn)證其自身。如果可以 在許多場(chǎng)所共享單個(gè)令牌,則消費(fèi)者將更有可能開始攜帶它到各個(gè)地方 以作為必要的個(gè)人工具,象蜂窩電話、車鑰匙或信用卡一樣。附圖簡(jiǎn)述
圖1示出根據(jù)本發(fā)明一個(gè)實(shí)施例的集中式驗(yàn)證服務(wù)。圖2示出根據(jù)本發(fā)明一個(gè)實(shí)施例的分布式驗(yàn)證服務(wù)。 圖3示出根據(jù)本發(fā)明一個(gè)實(shí)施例的憑證夾體系結(jié)構(gòu)。 圖4示出根據(jù)本發(fā)明 一個(gè)實(shí)施例的能夠生成多個(gè)令牌的單個(gè)設(shè)備的 蜂窩電話實(shí)施方式。詳細(xì)描述這里所使用的"身份共享"是指共享認(rèn)證令牌持有者的個(gè)人身份的 能力。"第二因素共享"是指共享認(rèn)證與令牌相關(guān)聯(lián)的別名的能力。例 如, 一個(gè)雙因素認(rèn)證系統(tǒng)可以包括個(gè)人識(shí)別號(hào)("PIN",即"第一因 素")和一次性口令("OTP",即"第二因素")。該P(yáng)IN是在令牌 的個(gè)人持有者與所述認(rèn)證系統(tǒng)之間共享的秘密。特定OTP可以是一個(gè)數(shù) 字序列,其只能由給定令牌唯一地生成并且由所述認(rèn)證系統(tǒng)進(jìn)行檢查。 當(dāng)認(rèn)證系統(tǒng)接收并驗(yàn)證來自用戶的PIN時(shí),該系統(tǒng)可以把該用戶認(rèn)證為 與該特定PIN相關(guān)的用戶。同樣,當(dāng)認(rèn)證系統(tǒng)接收并驗(yàn)證來自令牌的 OTP時(shí),它可以把該令牌認(rèn)證為與該特定OTP相關(guān)的令牌。在身份共 享系統(tǒng)中,幾個(gè)實(shí)體當(dāng)中的任何一個(gè)都可以基于例如PIN或者PIN和 OTP來認(rèn)證用戶的身份。在第二因素共享系統(tǒng)中,幾個(gè)實(shí)體當(dāng)中的任何 一個(gè)都可以利用OTP認(rèn)證令牌本身。雖然已經(jīng)使用雙因素認(rèn)證設(shè)備作為 例子討論了身份和第二因素共享,但是根據(jù)本發(fā)明可以使用任何認(rèn)證方 案。例如,對(duì)于第二因素共享可以使用數(shù)字證書和/或挑戰(zhàn)-響應(yīng)方案。集中式令牌服務(wù)模型根據(jù)本發(fā)明的一個(gè)實(shí)施例,采用集中式令牌服務(wù)基礎(chǔ)設(shè)施來提供并 驗(yàn)證例如存儲(chǔ)在硬件令牌上和/或由硬件令牌實(shí)施的第二因素憑證(比如 證書或OTP)??梢栽诙鄠€(gè)應(yīng)用和/或web站點(diǎn)當(dāng)中的^f壬一個(gè)處激活實(shí) 施該第二因素的令牌。 一個(gè)應(yīng)用可以在該應(yīng)用自身的用戶數(shù)據(jù)庫中管理 第一因素(比如用戶名和口令)。作為令牌激活的一部分,該應(yīng)用可以存儲(chǔ)本地用戶名與共享的第二因素令牌標(biāo)識(shí)符(比如令牌序列號(hào))之間 的映射。為了進(jìn)行驗(yàn)證,用戶可以輸入第一因素(比如用戶名和口令)和第二因素(比如來自令牌的OTP或存儲(chǔ)在令牌上的證書)。該應(yīng)用可以本 地驗(yàn)證第一因素。在成功的驗(yàn)證之后,它可以檢索所述令牌序列號(hào)(該 令牌序列號(hào)可以與第一因素相關(guān)聯(lián)),并且隨后通過例如在網(wǎng)絡(luò)(例如 因特網(wǎng)、虛擬專用網(wǎng)等等)上向集中式驗(yàn)證服務(wù)發(fā)送驗(yàn)證請(qǐng)求來驗(yàn)證第 二因素。為了實(shí)現(xiàn)這一點(diǎn),駐留(host)該應(yīng)用的企業(yè)可以配置一個(gè)到 該集中式驗(yàn)證服務(wù)的驗(yàn)證代理("認(rèn)證代理")。圖1示出根據(jù)本發(fā)明一個(gè)實(shí)施例的集中式驗(yàn)證服務(wù)。因特網(wǎng)服務(wù)供 應(yīng)商("ISP" ) 101和銀行102通過網(wǎng)絡(luò)104被耦合到集中式驗(yàn)證服務(wù) 103。 ISP 101包括ISP應(yīng)用105、 ISP認(rèn)證代理106和ISP用戶存儲(chǔ)107。 ISP用戶存儲(chǔ)可以是一個(gè)數(shù)據(jù)庫,其對(duì)于一個(gè)或多個(gè)第一因素和用戶身 份使第一因素與用戶身份(比如ISP顧客、管理員、雇員等等的身份) 相關(guān)。銀行102可以包括銀行業(yè)務(wù)應(yīng)用108、銀行認(rèn)證代理109和銀行 用戶存儲(chǔ)110。銀行用戶存儲(chǔ)110可以是一個(gè)數(shù)據(jù)庫,其使第一因素與 用戶(比如銀行帳戶持有者、銀行官員、銀行IT管理員、銀行雇員等 等)的身份相關(guān)。終端用戶111可以激活一個(gè)共享的令牌,其中在本例 中,該令牌在ISP 101與銀行102之間共享。為了向ISP 101認(rèn)證其自身, 終端用戶111可以輸入其ISP用戶名,該用戶名在本例中是該用戶的電 子郵件地址,例如ioe@isp.com。終端用戶111還可以輸入其相關(guān)4關(guān)的 口令(例如"rolf362,,)和來自他的令牌的OTP。 ISP通過咨詢ISP用 戶存儲(chǔ)107來驗(yàn)證由終端用戶111提供的用戶名和口令。用戶存儲(chǔ)107 中的記錄的例子包括用戶名、用戶口令和設(shè)備標(biāo)識(shí)符,例如 (ioe@isp.com, "rolD62" , 27582343 ) 。 ISP 101可以向中央驗(yàn)證服務(wù) 103發(fā)送一個(gè)請(qǐng)求,該請(qǐng)求包括從終端用戶111接收的OTP和從所述用 戶存儲(chǔ)檢索的令牌標(biāo)識(shí)符。集中式驗(yàn)證服務(wù)103可以包括令牌驗(yàn)證應(yīng)用 112和令牌存儲(chǔ)113。令牌存儲(chǔ)113可以是一個(gè)數(shù)據(jù)庫,其使令牌標(biāo)識(shí) 符與以下各項(xiàng)相關(guān)預(yù)先計(jì)算的OTP和/或存儲(chǔ)在與該令牌標(biāo)識(shí)符相關(guān) 聯(lián)的令牌中的一個(gè)或多個(gè)秘密和/或驗(yàn)算一個(gè)OTP以便與所接收的OTP進(jìn)行比較。集中式驗(yàn)證服務(wù)103可以 向ISP 101發(fā)送一條響應(yīng)消息,以表明該OTP已被或者未被成功驗(yàn)證。 如果來自終端用戶111的用戶名/口令和OTP都被成功驗(yàn)證,則ISP 101 可以為終端用戶lll提供因特網(wǎng)服務(wù)。類似地,終端用戶111可以向銀行102提供用戶名(例如 ismith@bank.com )和口令,該纟艮4亍可以利用纟艮行用戶存4諸110對(duì)這些進(jìn) 行驗(yàn)證。銀行102可以把從終端用戶111接收的OTP和令牌標(biāo)識(shí)符發(fā)送 到集中式驗(yàn)證服務(wù)103,該集中式驗(yàn)證服務(wù)103可以對(duì)這些進(jìn)行驗(yàn)證并 且向銀行102發(fā)送響應(yīng)消息。如果所述用戶名和口令以及OTP都被成功 驗(yàn)證,則銀行102可以向終端用戶lll提供對(duì)終端用戶lll帳戶信息和 銀行業(yè)務(wù)服務(wù)的訪問。在本例中,終端用戶lll最初可以從ISP 101、銀行102或集中式 驗(yàn)證服務(wù)103獲得令牌。每個(gè)應(yīng)用可以向?qū)灰赘鞣教峁┱J(rèn)證服務(wù)和產(chǎn) 品的集中式驗(yàn)證服務(wù)和令牌發(fā)行者付費(fèi)。分布式^r證系統(tǒng)根據(jù)本發(fā)明的另 一 實(shí)施例,采用分布式體系結(jié)構(gòu)來驗(yàn)證第二因素。 圖2示出分布式驗(yàn)證體系結(jié)構(gòu)的一個(gè)實(shí)施例。ISP 204和銀行102通過 網(wǎng)絡(luò)104被耦合到令牌查找服務(wù)201,該網(wǎng)絡(luò)例如是因特網(wǎng)。ISP 204可 以包括令牌存儲(chǔ)203,其可以是一個(gè)數(shù)據(jù)庫,該數(shù)據(jù)庫使令牌標(biāo)識(shí)符與 以下各項(xiàng)相關(guān)預(yù)先計(jì)算的OTP和/或存儲(chǔ)在與該令牌標(biāo)識(shí)符相關(guān)聯(lián)的 令牌中的一個(gè)或多個(gè)秘密和/或驗(yàn)證來自令牌的OTP所需的其他信息。 這可以在ISP 204處的一次性口令驗(yàn)證服務(wù)器205中實(shí)施。令牌查找服務(wù)201可以包括令牌映射存儲(chǔ)202。令牌映射存儲(chǔ)202 可以是一個(gè)數(shù)據(jù)庫,其所包括的記錄使令牌序列號(hào)與驗(yàn)證服務(wù)器205的 網(wǎng)絡(luò)地址(例如IP地址)相關(guān),該驗(yàn)證服務(wù)器可以驗(yàn)證來自該令牌的第 二因素憑證。這種驗(yàn)證服務(wù)器是用于該令牌序列號(hào)的權(quán)威驗(yàn)證節(jié)點(diǎn) (AVN)。幾個(gè)AVN可以構(gòu)成一個(gè)分布式驗(yàn)證服務(wù)器網(wǎng)絡(luò)。存儲(chǔ)在令牌 映射存儲(chǔ)中的記錄的一個(gè)例子可以是(IP地址,令牌標(biāo)識(shí)符),例如 (123.21.3.156, 1453422207)。在本例中,123.21.3.156可以是一次性口 令驗(yàn)證服務(wù)器205的網(wǎng)絡(luò)地址,1453422207可以是其一次性口令將被服 務(wù)器205驗(yàn)證的令牌的標(biāo)識(shí)符。在圖1所示的例子中,ISP 101可以通過向令牌查找服務(wù)201登記令牌序列號(hào)的 一個(gè)列表或范圍來充當(dāng)令牌發(fā)行者。該令牌序列號(hào)的列表或范圍可以被存儲(chǔ)在令牌映射存儲(chǔ)202中,該令牌映射存儲(chǔ)使所述各序 列號(hào)與ISP 101的IP地址相關(guān)。銀行102充當(dāng)依賴方。當(dāng)終端用戶111 請(qǐng)求訪問由銀行102 (該銀行可以是所述令牌的用戶所試圖訪問的"資 源")提供的信息和服務(wù)時(shí),終端用戶111向銀行102提供第一和第二 認(rèn)證因素以及用于終端用戶lll的序列號(hào)。銀行102可以使用銀行用戶 存儲(chǔ)lll驗(yàn)證第一因素(比如用戶名和口令)。這可以利用在銀行102 處的資源驗(yàn)證服務(wù)器來實(shí)施,該資源驗(yàn)證服務(wù)器例如是在其上實(shí)施了所 述認(rèn)證代理109的服務(wù)器。它可以把Joe的用戶名與令牌序列號(hào)之間的 映射存儲(chǔ)在本地用戶存儲(chǔ)中。它還可以本地高速緩存所述令牌的AVN 信息??梢园凑諏?duì)于DNS高速緩存所實(shí)施的那樣來實(shí)施上述高速緩存。 銀行102還可以向令牌查找服務(wù)201發(fā)送一個(gè)請(qǐng)求,該請(qǐng)求包括由 終端用戶lll提供的令牌序列號(hào)。令牌映射存儲(chǔ)202使該令牌序列號(hào)與 AVN IP地址相關(guān),該AVN IP地址在本例中是ISP 101的IP地址。令牌 查找服務(wù)201可以把該AVN (ISP 101 )的IP地址返回給銀行102。 ISP 101可以包括令牌存儲(chǔ)203和令牌驗(yàn)證應(yīng)用205。銀行102隨后可以向 ISP 101發(fā)送驗(yàn)證請(qǐng)求,該ISP 101可以利用令牌驗(yàn)證應(yīng)用205和令牌存 儲(chǔ)203來驗(yàn)證第二因素。ISP 101可以在響應(yīng)消息中^;所述驗(yàn)證的結(jié)果 發(fā)送到銀行102。在圖2所示的例子中,終端用戶111可以利用其用戶名 (joe一sp.函)、其相關(guān)聯(lián)的口令("rolf362,,)以及來自其令牌的OTP 來向其ISP進(jìn)行認(rèn)證。由于所述ISP和銀行都實(shí)施了所述分布式驗(yàn)證服 務(wù),因此終端用戶111可以利用其用戶名(ismith@bank.com)、相關(guān)聯(lián) 的口令("Rolf362")以及來自其ISP發(fā)出的令牌的OTP登錄到在銀 行102處的在線銀行業(yè)務(wù)應(yīng)用中。在必要時(shí),令牌發(fā)行者、依賴方以及令牌查找服務(wù)201可以向彼此 認(rèn)證其自身。這可以允許各方對(duì)于第二因素驗(yàn)證引入授權(quán)和開帳單功 能,從而實(shí)現(xiàn)了多種商業(yè)模型。憑證夾根據(jù)本發(fā)明的另一實(shí)施例,憑證夾模型利用了下一代移動(dòng)設(shè)備(比 如Java蜂窩電話和PDA),所述移動(dòng)設(shè)備具有存儲(chǔ)和應(yīng)用能力以及某 種形式的圖形接口以便管理憑證。在該實(shí)施例中,移動(dòng)設(shè)備可以是可包含第二因素憑證的多個(gè)實(shí)例的"皮夾"。對(duì)于需要強(qiáng)認(rèn)證的每個(gè)場(chǎng)所, 可以訪問 一 個(gè)或多個(gè)適當(dāng)?shù)膽{。每個(gè)場(chǎng)所或應(yīng)用可以提供、管理并且驗(yàn)證其自身的第二因素憑證的 實(shí)例(比如相同物理設(shè)備上的OTP令牌),從而不需要用戶攜帶多個(gè)令牌。例如,ISP301可以包括令牌驗(yàn)證應(yīng)用303和令牌存儲(chǔ)203。同樣, 銀行302可以包括令牌存儲(chǔ)305和驗(yàn)證應(yīng)用304。在圖3所示的例子中,終端用戶111的移動(dòng)電話(未示出)可以具 有為不同的應(yīng)用和/或場(chǎng)所提供的不同的OTP憑證。終端用戶111可以 通.過使用其ISP用盧名(例如ioe@isp.com )、相關(guān)聯(lián)的口令("rolf362") 以及用于ISP 301的適當(dāng)?shù)腛TP值來登錄到ISP 301中??梢岳肐SP 驗(yàn)證應(yīng)用303和令牌存儲(chǔ)203來驗(yàn)證用于ISP 301的第二因素。如圖4 中所示,終端用戶111可以獲得用于ISP301的適當(dāng)?shù)腛TP值。終端用 戶111可以把光標(biāo)401滾動(dòng)到顯示在蜂窩電話403的顯示屏402上的適 當(dāng)圖標(biāo)??梢砸蠼K端用戶111輸入PIN 404,該P(yáng)IN可以由蜂窩電話 403驗(yàn)證。在成功驗(yàn)證了該P(yáng)IN之后,可以在屏幕402上顯示所述OTP 值405。終端用戶111可以使用其用戶名(ismith@bank.com )、相關(guān)聯(lián)的口 令("rolf32,,)以及由其蜂窩電話生成的來自其銀行的OTP令牌的OTP 值登錄到他的在線銀行帳戶中??梢岳勉y行驗(yàn)證應(yīng)用304和令牌存儲(chǔ) 305來驗(yàn)證用于銀行302的第二因素。在該憑證夾實(shí)施例中,每個(gè)實(shí)體可以配置其自身的第一和第二因素 認(rèn)證基礎(chǔ)設(shè)施。由于令牌本身不被共享,因此對(duì)于外部認(rèn)證/驗(yàn)證方?jīng)]有 依賴性。更確切地說,各個(gè)令牌"共享"公共的令牌生成設(shè)備,比如具 有適當(dāng)軟件的蜂窩電話。上面討論的每個(gè)實(shí)施例都可以并存,并且可以被集成以便參與到相 同的認(rèn)證網(wǎng)絡(luò)中??梢宰鳛槌蚬餐罱K狀態(tài)的演化過程的 一 部分來獨(dú) 立地配置每個(gè)實(shí)施例,所述最終狀態(tài)可以是用于消費(fèi)者應(yīng)用的可信的、 靈活的、經(jīng)濟(jì)的并且易于使用的認(rèn)證系統(tǒng)。本發(fā)明的各實(shí)施例可以利用憑證標(biāo)識(shí)符來關(guān)聯(lián)并且認(rèn)證各種設(shè)備 的用戶和/或多個(gè)系統(tǒng)上的憑證。所述憑證標(biāo)識(shí)符可以是用戶的標(biāo)識(shí)符 (比如姓名或電子郵件地址),或者它可以是匿名標(biāo)識(shí)符(比如一個(gè)數(shù) 字)。所述匿名標(biāo)識(shí)符可以是一個(gè)不透明標(biāo)識(shí)符,比如一組用戶標(biāo)識(shí)符的單向變換的結(jié)果(比如對(duì)用戶名和/或令牌標(biāo)識(shí)符、憑證參考等等進(jìn)行 散列)。本發(fā)明的各實(shí)施例可以支持匿名器服務(wù),以便從實(shí)際標(biāo)識(shí)符生成不 透明標(biāo)識(shí)符。此外,可以由相同設(shè)備的不同依賴方對(duì)相同的用戶使用不 同的憑證標(biāo)識(shí)符??梢园凑毡Wo(hù)隱私的方式來傳送憑證,例如通過使用 隨機(jī)化(純隨機(jī)化、隨機(jī)加密等等)或者任何合適的過程以避免對(duì)用戶的跟蹤。根據(jù)本發(fā)明的各實(shí)施例的方法可以描述用于基于令牌ID發(fā)現(xiàn)正確 的驗(yàn)證節(jié)點(diǎn)的服務(wù),即令牌查找服務(wù)。所述令牌查找服務(wù)可以保持一個(gè) 列表,該列表把令牌標(biāo)識(shí)符映射到令牌驗(yàn)證節(jié)點(diǎn)。對(duì)于每個(gè)令牌可以有 多于一個(gè)的令牌標(biāo)識(shí)符。經(jīng)授權(quán)的各方可以查詢?cè)摿钆撇檎曳?wù)以確定 每個(gè)服務(wù)的正確的驗(yàn)證節(jié)點(diǎn)。本發(fā)明可以利用多個(gè)設(shè)備和多個(gè)認(rèn)證算法 來操作。它可以用臺(tái)式PC上的軟件、移動(dòng)設(shè)備上的軟件、專用硬件或 任何其他合適的平臺(tái)來實(shí)施。本發(fā)明可以使用基于一次性口令、挑戰(zhàn)/響應(yīng)以及PKI (數(shù)字證書) 的憑證和認(rèn)證算法??梢圆捎媚涿O(shè)備和憑證、以及包含個(gè)人標(biāo)識(shí)符的 設(shè)備和憑證。本發(fā)明的各實(shí)施例包括集中式服務(wù),其允許多個(gè)依賴方發(fā)送針對(duì)相 同的"i人證設(shè)備或憑證的驗(yàn)證請(qǐng)求。 、本發(fā)明的各實(shí)施例可以被用于"令牌夾"。這些夾可以包含不同服 務(wù)的多個(gè)憑證。該夾中的每個(gè)憑證可以被多個(gè)服務(wù)使用。 一個(gè)夾可以包 含多于一個(gè)的共享憑證、未共享憑證以及多種類型的憑證,比如OTP 憑證、數(shù)字證書、挑戰(zhàn)-響應(yīng)憑證等等。它可以包含每種憑證類型的多于 一個(gè)的憑證,或者不包含任何一種類型的憑證。本發(fā)明的各實(shí)施例可以包括集中式維護(hù)功能。如果憑證丟失、損壞 或被盜,則可以在單次操作中在所有應(yīng)用上禁用該令牌。如果憑證被撤 銷或者被誤用,則管理員可以在所有應(yīng)用上或者在一個(gè)指定的應(yīng)用子集 上禁用該憑證。這可以在單次操作中完成。前述內(nèi)容打算說明而不是限制本發(fā)明的范圍。本領(lǐng)域技術(shù)人員將認(rèn) 識(shí)到,權(quán)利要求書包含了沒有在上面明確描述的其他實(shí)施例。
權(quán)利要求
1、一種認(rèn)證系統(tǒng),包括令牌,其被構(gòu)造并布置成具有標(biāo)識(shí)符以及生成一次性口令;一次性口令驗(yàn)證服務(wù)器,其被構(gòu)造并布置成驗(yàn)證由該令牌生成的該一次性口令,該驗(yàn)證服務(wù)器具有網(wǎng)絡(luò)地址;令牌查找服務(wù),其被構(gòu)造并布置成使令牌標(biāo)識(shí)符與該驗(yàn)證服務(wù)器的網(wǎng)絡(luò)位置相關(guān);資源驗(yàn)證服務(wù)器,其被構(gòu)造并布置成執(zhí)行以下操作驗(yàn)證由該令牌的用戶提供的至少第一認(rèn)證因素;如果第一因素被成功驗(yàn)證,則向該令牌查找服務(wù)器發(fā)送針對(duì)該一次性口令驗(yàn)證服務(wù)器的位置的請(qǐng)求;以及向該一次性口令驗(yàn)證服務(wù)器發(fā)送一次性口令驗(yàn)證請(qǐng)求。
2、 權(quán)利要求l所述的系統(tǒng),其中,由所述令牌的用戶提供的第一認(rèn) 證因素包括用戶名。
3、 權(quán)利要求l所述的系統(tǒng),其中,由所述令牌的用戶提供的第一認(rèn) 證因素包括在該令牌的該用戶與所述資源驗(yàn)證服務(wù)器之間共享的秘密。
4、 一種令牌查找服務(wù)器,包括 處理器;耦合到該處理器的存儲(chǔ)器,該處理器和存儲(chǔ)器被構(gòu)造并布置成存儲(chǔ) 一次性口令驗(yàn)證服務(wù)器的網(wǎng)絡(luò)地址和令牌標(biāo)識(shí)符,其中該一次性口令驗(yàn) 證服務(wù)器被構(gòu)造并布置成驗(yàn)證由對(duì)應(yīng)于該令牌標(biāo)識(shí)符的令牌生成的一 次性口令。
5、 權(quán)利要求4所述的令牌查找服務(wù)器,其中,所述處理器和存儲(chǔ)器 還被構(gòu)造并適配成執(zhí)行以下操作接收針對(duì)用于令牌的一次性口令驗(yàn)證 服務(wù)器的網(wǎng)絡(luò)地址的請(qǐng)求,該請(qǐng)求包括對(duì)應(yīng)于該令牌的令牌標(biāo)識(shí)符;確 定對(duì)應(yīng)于所接收的令牌標(biāo)識(shí)符的網(wǎng)絡(luò)地址;以及響應(yīng)于該請(qǐng)求而發(fā)送所 確定的網(wǎng)紹d也址。
6、 一種iU正方法,包4舌在令牌查找服務(wù)處接收針對(duì)一次性口令驗(yàn)證服務(wù)器的網(wǎng)絡(luò)地址的 請(qǐng)求,該請(qǐng)求包括令牌標(biāo)識(shí)符;確定對(duì)應(yīng)于一次性口令驗(yàn)證服務(wù)器和所接收的令牌標(biāo)識(shí)符的網(wǎng)絡(luò) 地址;并且響應(yīng)于該請(qǐng)求而發(fā)送該網(wǎng)絡(luò)地址。
全文摘要
一種用于向具有多種認(rèn)證要求的實(shí)體(比如商人、銀行、銷售商、其他消費(fèi)者等等)認(rèn)證諸如消費(fèi)者之類的實(shí)體的可伸縮的系統(tǒng)和方法??梢栽趲讉€(gè)資源之間共享諸如令牌之類的認(rèn)證憑證,以作為認(rèn)證所述憑證所有者的一種方式。
文檔編號(hào)G06F7/04GK101218559SQ200680024698
公開日2008年7月9日 申請(qǐng)日期2006年5月5日 優(yōu)先權(quán)日2005年5月6日
發(fā)明者D·姆賴希, N·波普, S·巴亞爾 申請(qǐng)人:弗里塞恩公司