相關申請的交叉引用

相關聲明：聯邦政府發起的研究/開發

不適用

背景

技術領域

本公開涉及生物測定系統和訪問控制，尤其涉及安全交易相關的基于移動設備的認證。

現有技術

私人財產利益的識別通常需要將個人劃分為具有訪問權的個人和不具有訪問權的個人。與財產利益的認知價值和/或實際價值相稱的是，必須建立安全協議來保證已認證的個人容易訪問，而未認證的個人無論進行什么攻擊或繞過嘗試均無法訪問。

在最簡單的情況下，私人財產利益可以為物理設施，并且對其內部的訪問可以通過安裝于門上的鎖著的機械鎖進行防護。物理設施的擁有者可以擁有鑰匙來打開機械鎖以開門，任何其他得到許可的個人也可使用此方法進行訪問。而任何其他未經授權的個人均不擁有鑰匙，從而也無法打開機械鎖。當然，也可以通過其他多種不同方法來繞過機械鎖，包括通過撬鎖、毀壞鎖和門、或者通過從得到授權的個人處盜取鑰匙。不考慮這些可能的繞過嘗試，為了阻止未得到授權的訪問，可以增加鎖的復雜度，可以加固鎖和門的強度，等等。更為復雜的攻擊可能會擊敗這些進一步的防護，因此安全防護是一個保持不斷變化的領域。

財產利益也可以是個人的銀行賬戶、信用卡賬戶、零售分期付款賬戶、公共賬戶、或在現代日常生活中經常遇到并使用的任何其他資源，其訪問必須通過安全系統進行適當地限制。在很多情況下，這些資源或者財產利益可以通過電子方式訪問，并且存在一些當前正使用的常用的安全系統和設備。例如，可以通過自動柜員機（ATM)訪問銀行賬戶中的貨幣資金。在支付任何資金之前，銀行（亦即ATM）必須確保請求人確實為其宣稱之人。

存在用于認證或核實請求人身份的各種現有技術。認證可以采用一種或多種要素，要素包括請求者所知道的某事物、請求者所擁有的某事物、以及請求者自身的某事物。由于額外的認證要素會帶來額外的費用以及復雜性，因此通常只采用一種或最多兩種要素。在ATM示例中，其上編碼有基本賬戶持有人信息的ATM卡為一個要素（請求者所擁有的事物），并且只有在成功驗證了相應的個人識別碼（PIN，或請求者所知道的其他事物）時，對賬戶的訪問才會被允許。通常銀行服務也可以通過互聯網在線訪問，并且多數金融相關的網絡服務都具有額外的安全措施，而對一些其他不太關鍵的網絡服務的訪問可能只被利用賬戶名與密碼構成的單一要素（請求者/用戶所知道的事物）來保護。

至少在理論上，密碼與PIN的保密本質意在防止未授權訪問。在實際中，由于授權用戶時常錯誤地與無意地泄露其密碼或PIN給未授權用戶，因此該技術失效。此外，暴力式技術以及基于字典的技術可能會進一步危及這些認證系統的有效性，暴力式技術涉及字母、數字、與符號的每種組合的輸入。由于密碼與PIN均需要記住，用戶通常選擇較容易記住的詞，使得更容易通過字典攻擊方法擊敗。另一方面，需要的密碼越復雜，越難以記住密碼，從而密碼越有可能被寫在計算機周圍合法用戶與惡意用戶均容易獲得的事物上。由于采用這種安全模式的服務數量增加，因此PIN或密碼的可用性受到越來越多地關注。

如上述簡要提及的，可以采用各種硬件設備作為第二認證要素。包括如上述的ATM卡之類的單一磁條編碼卡、以及射頻識別（RFID）設備，這兩者均需要在訪問點采用特定的讀取裝置?？梢圆捎门c第一認證要素結合提供的能生成唯一代碼或一次性密碼的復雜令牌來提供更高級別的保護。但是，令牌設備的許可證昂貴、維護昂貴、并且用戶攜帶不方便。當用任何微小設備時，令牌很容易丟失，特別是當其成為了人們日常生活中必須管理與攜帶的另一個雜亂物品時；許多人已經在追蹤鑰匙、錢包、和移動電話方面具有了足夠的困難。

需承認，常見的移動電話已經普遍存在并且容易獲得，因此也可以采用這些設備作為第二硬件認證要素。在訪問在線服務之前，可以將一次性密碼作為短信服務（SMS）文本消息發送至移動電話，移動電話的號碼已經在服務中進行了預登記。當與發送到移動電話的文本消息相同的文本消息重新輸入至服務中時，即認為訪問已被認證。