用于驗證裝置注冊的增強的安全性制造方法及圖紙

本發(fā)明專利技術描述了用于在注冊期間增強安全性的系統(tǒng)、設備、方法和機器可讀介質。例如，方法的一個實施例包括：在依賴方處接收注冊驗證器的請求；經由已驗證的帶外通信信道從所述用戶向所述依賴方發(fā)送代碼；以及使用所述代碼驗證所述用戶的身份，并作為響應，響應于肯定的驗證而注冊所述驗證器。

【技術實現(xiàn)步驟摘要】
【國外來華專利技術】
技術介紹

本專利技術整體涉及數(shù)據(jù)處理系統(tǒng)的領域。更具體地講，本專利技術涉及對驗證裝置進行安全注冊的設備和方法。相關領域說明還已經設計了使用生物計量傳感器經由網(wǎng)絡提供安全用戶驗證的系統(tǒng)。在此類系統(tǒng)中，可經由網(wǎng)絡發(fā)送由驗證器生成的得分和/或其他驗證數(shù)據(jù)，以向遠程服務器驗證用戶。例如，專利申請No.2011/0082801(“‘801申請”)描述了一種在網(wǎng)絡上進行用戶注冊和驗證的框架，這種框架提供強驗證(例如，防御身份竊取和網(wǎng)絡釣魚)、安全交易(例如，防御交易中的“瀏覽器中的惡意軟件”和“中間人”攻擊)和客戶端驗證令牌的登記/管理(例如，指紋讀取器、面部識別裝置、智能卡、可信平臺模塊等等)。本申請的受讓人已經開發(fā)出對‘801申請中所描述的驗證框架的多種改進。這些改進中的一些在以下一組美國專利申請(“共同未決的申請”)中描述，這些美國專利申請都被轉讓給本受讓人：序列號13/730,761，名稱為“QuerySystemandMethodtoDetermineAuthenticationCapabilities”(用于確定驗證功能的查詢系統(tǒng)和方法)；序列號13/730,776，名稱為“SystemandMethodforEfficientlyEnrolling,Registering,andAuthenticatingWithMultipleAuthenticationDevices”(使用多個驗證裝置有效地進行登記、注冊和驗證的系統(tǒng)和方法)；序列號13/730,780，名稱為“SystemandMethodforProcessingRandomChallengesWithinanAuthenticationFramework”(用于在驗證框架內處理隨機質詢的系統(tǒng)和方法)；序列號13/730,791，名稱為“SystemandMethodforImplementingPrivacyClassesWithinanAuthenticationFramework”(用于在驗證框架內實施隱私類別的系統(tǒng)和方法)；序列號13/730,795，名稱為“SystemandMethodforImplementingTransactionSignalingWithinanAuthenticationFramework”(用于在驗證框架內實施交易信令的系統(tǒng)和方法)；以及序列號14/218,504，名稱為“AdvancedAuthenticationTechniquesandApplications”(高級驗證技術和應用)(下文中稱為“'504申請”)。簡而言之，在這些共同未決的申請描述的驗證技術中，用戶向客戶端裝置上的驗證裝置(或驗證器)諸如生物計量裝置(例如，指紋傳感器)登記。當用戶向生物計量裝置登記時，由驗證裝置的生物計量傳感器捕捉生物計量參考數(shù)據(jù)(例如，通過輕掃手指、拍攝照片、記錄聲音等)。用戶隨后可經由網(wǎng)絡向一個或多個服務器(例如，配備有安全交易服務的網(wǎng)站或其他依賴方，如共同未決的申請中所描述)注冊驗證裝置，并且隨后可使用在注冊過程中交換的數(shù)據(jù)(例如，預置到驗證裝置中的加密密鑰)向那些服務器驗證。一旦通過驗證，用戶便獲許與網(wǎng)站或其他依賴方執(zhí)行一個或多個在線交易。在共同未決的申請所描述的框架中，敏感信息(諸如指紋數(shù)據(jù)和可用于唯一地標識用戶的其他數(shù)據(jù))可本地保持在用戶的驗證裝置上，以保護用戶的隱私。'504申請描述了多種額外的技術，包括以下技術：設計復合驗證器、智能地生成驗證保證等級、使用非侵入式用戶驗證、將驗證數(shù)據(jù)傳送到新的驗證裝置、用客戶端風險數(shù)據(jù)擴充驗證數(shù)據(jù)、自適應地應用驗證策略、以及創(chuàng)建信任圈、等等。附圖說明可結合下列附圖從以下具體實施方式更好地理解本專利技術，其中：圖1A和圖1B示出了安全驗證系統(tǒng)架構的兩個不同實施例。圖2是示出可如何將密鑰注冊到驗證裝置中的事務圖。圖3A和圖3B示出了使用安全顯示器進行安全交易確認的實施例。圖4示出了本專利技術的用于向依賴方注冊的一個實施例；圖5是示出如何在本專利技術的一個實施例中實施具有查詢策略的注冊操作的事務圖；圖6示出了以增強型安全性進行注冊的架構的一個實施例；圖7示出了用于安全注冊的方法的一個實施例；圖8A和圖8B示出了用于安全注冊的方法的不同實施例；圖9示出了將密碼從用戶發(fā)送到依賴方的方法的另一個實施例；圖10示出了使用用戶的現(xiàn)有憑據(jù)進行注冊的方法的另一個實施例；并且圖11和圖12示出了用于執(zhí)行本專利技術實施例的計算機系統(tǒng)的示例性實施例。具體實施方式下文描述用于實施高級驗證技術及相關聯(lián)應用的設備、方法和機器可讀介質的實施例。在整個描述中，出于解釋的目的，本文陳述了許多特定細節(jié)以便透徹理解本專利技術。然而，本領域的技術人員將容易明白，可在沒有這些特定細節(jié)中的一些的情況下實踐本專利技術。在其他情況下，為免模糊本專利技術的基本原理，已熟知的結構和裝置未示出或以框圖形式示出。下文論述的本專利技術的實施例涉及具有用戶驗證功能(諸如生物計量裝置或PIN輸入)的驗證裝置。這些裝置在本文中有時稱為“令牌”、“驗證裝置”或“驗證器”。盡管某些實施例側重于面部識別硬件/軟件(例如，用于識別用戶面部并且跟蹤用戶的眼球運動的相機和相關聯(lián)軟件)，但有些實施例可利用額外的生物計量裝置，包括(例如)指紋傳感器、聲音識別硬件/軟件(例如，用于識別用戶聲音的麥克風和相關聯(lián)軟件)以及光學識別功能(例如，用于掃描用戶視網(wǎng)膜的光學掃描器和相關聯(lián)軟件)。用戶驗證功能還可包括非生物計量形式，如PIN輸入。驗證器可使用可信平臺模塊(TPM)、智能卡和安全元件那樣的裝置用于加密操作。在移動式生物計量的具體實施中，生物計量裝置可遠離依賴方。如本文所用，術語“遠離”意味著生物計量傳感器不是其以通信方式耦接到的計算機的安全邊界的一部分(例如，生物計量傳感器未嵌入到與依賴方計算機相同的物理外殼中)。舉例來說，生物計量裝置可經由網(wǎng)絡(例如，因特網(wǎng)、無線網(wǎng)絡鏈路等)或經由外圍輸入(諸如USB端口)耦接到依賴方。在這些條件下，依賴方可能無法知道裝置是否為得到依賴方授權的裝置(例如，提供可接受等級的驗證強度和完整性保護的裝置)以及/或者黑客是否已經危及或甚至已經替換了生物計量裝置。生物計量裝置的置信度取決于裝置的特定實施。本文中使用的術語“本地”指的是用戶正親自在特定位置處(諸如在自動取款機(ATM)或銷售點(POS)零售結賬處)進行交易這一事實。然而，如下文所論述，用于驗證用戶的驗證技術可能涉及非位置組件，諸如經由網(wǎng)絡與遠程服務器和/或其他數(shù)據(jù)處理裝置的通信。此外，盡管本文中描述了特定實施例(諸如ATM和零售點)，但應該指出的是，可在由最終用戶在其內本地發(fā)起交易的任何系統(tǒng)的環(huán)境中實施本專利技術的基本原理。本文中有時使用術語“依賴方”來不僅指嘗試與之進行用戶交易的實體(例如，執(zhí)行用戶交易的網(wǎng)站或在線服務)，也指代表那個實體實施的安全交易服務器(其可執(zhí)行本文所述的基礎驗證技術)。安全交易服務器可由依賴方擁有并且/或者在依賴方的控制下，或者可在作為商業(yè)安排的一部分向依賴方提供安全交易服務的第三方的控制下。本文中使用的術語“服務器”指的是在一個硬件平臺上(或跨多個硬件平臺)執(zhí)行的軟件，其經由網(wǎng)絡從客戶端接收請求，然后作為響應來執(zhí)行一個或多本文檔來自技高網(wǎng)...

【技術保護點】
一種方法，所述方法包括：在依賴方處接收來自用戶的注冊驗證器的請求；經由已驗證的帶外通信信道從所述用戶向所述依賴方或從所述依賴方向所述用戶發(fā)送代碼；以及使用所述代碼驗證所述用戶的身份，并作為響應，響應于肯定的驗證而注冊所述驗證器。

【技術特征摘要】
【國外來華專利技術】2014.05.02 US 14/268,6191.一種方法，所述方法包括：在依賴方處接收來自用戶的注冊驗證器的請求；經由已驗證的帶外通信信道從所述用戶向所述依賴方或從所述依賴方向所述用戶發(fā)送代碼；以及使用所述代碼驗證所述用戶的身份，并作為響應，響應于肯定的驗證而注冊所述驗證器。2.根據(jù)權利要求1所述的方法，其中驗證所述代碼還包括：執(zhí)行安全交易確認操作，包括在所述用戶的驗證器的安全顯示器中顯示所述代碼，并要求所述用戶經由所述已驗證的帶外通信信道來發(fā)送所述安全顯示器上顯示的所述代碼。3.根據(jù)權利要求1所述的方法，其中所述代碼為所述用戶的驗證器生成的密碼。4.根據(jù)權利要求1所述的方法，還包括：響應于注冊所述驗證器的所述請求，生成與所述驗證器相關聯(lián)的公共密鑰，并將所述公共密鑰傳輸?shù)剿鲆蕾嚪健?.根據(jù)權利要求4所述的方法，還包括：對所述公共密鑰執(zhí)行散列操作，而生成所述代碼。6.根據(jù)權利要求5所述的方法，其中所述散列操作包括SHA-256、SHA-1或SHA-3散列操作。7.根據(jù)權利要求1所述的方法，其中所述帶外通信信道包括郵政郵件、電子郵件或短消息服務(SMS)消息。8.根據(jù)權利要求2所述的方法，其中執(zhí)行安全交易確認操作還包括：顯示與所述依賴方相關聯(lián)的所述用戶的帳戶有關的標識代碼。9.根據(jù)權利要求1所述的方法，其中從使用所述用戶的電子識別證書驗證/簽署的電子消息中提取所述代碼。10.根據(jù)權利要求2所述的方法，其中通過對所述安全顯示器內顯示的內容生成散列并向所述依賴方提供所得的散列值，來保護所述內容，所述依賴方通過查驗所述散列值來確認所述內容的有效性。11.一種方法，所述方法包括：在依賴方處接收來自用戶的注冊驗證器的請求；在所述驗證器中生成代碼；向所述用戶安全地顯示所述代碼；經由已驗證的帶外通信信道從所述用戶向所述依賴方發(fā)送所述代碼；以及使用所述代碼驗證所述用戶的身份，并作為響應，響應于肯定的驗證而注冊所述驗證器。12.根據(jù)權利要求11所述的方法...

【專利技術屬性】
技術研發(fā)人員：R·林德曼，
申請(專利權)人：諾克諾克實驗公司，
類型：發(fā)明
國別省市：美國;US