技術領域

本發明涉及用于驗證訪問請求的方法和系統，并且尤其地，但不完全地適合于驗證用于訪問數據、服務或資產的請求。

背景技術

訪問機密或用戶專用數據(或資產或服務)的需求越來越大。例如，提供對銀行賬戶的訪問并且允許從該賬戶中轉賬，應限于授權用戶，例如，賬戶持有人。通常，在通過識別請求訪問數據的人的憑證請求訪問數據時，認證用戶。數據的遠程訪問提出了特定的問題，這是因為請求數據、資產或服務的個人通常位于與對該請求做出響應的一方的位置不同的物理位置中。結果，為請求提供服務的一方非常難以知道做出請求的實體是否是a)其自稱的一方，b)是否有權使用該請求所起源的裝置，并且c)是否占有該請求所起源的裝置。

通常，在個人與一方(例如，數據提供商)之間建立賬戶時，個人建立上述憑證，以由數據提供商用于識別和認證個人，以供將來的請求。這種憑證可以包括唯一地識別個人(例如，個人可識別信息(PII))和密鑰(例如，密碼)的信息，用于驗證個人的身份。現在，也常見的做法是數據提供商要求個人登記自己，作為用于訪問數據的裝置的擁有人。在裝置與裝置擁有人之間登記的關聯可以由數據提供商用作額外的驗證因子。例如，在數據提供商代表特定的個人從特定的裝置(該裝置并非為個人登記的裝置)中接收用于訪問賬戶的請求的情況下，數據提供商可以確定相信為該賬戶登記的個人做出請求。

希望代表與該數據提供商具有賬戶的另一個人訪問數據提供商的數據的個人可以比較容易地通過從刑事影子網上市場購買憑證來獲得其用戶憑證(即，PII、用戶ID和密碼)，然后，欺騙性地訪問其他人的數據。此外，能夠遠程地訪問和控制裝置，從而代表那些裝置的登記擁有人請求數據。通常，不能確定在物理上占有該裝置的用戶是否做出了請求或者使用另一個裝置來遠程控制做出了請求的裝置的用戶是否遠程做出了請求。

一次性密碼(OTP)通常用于減少這些問題：認證服務器唯一地將OTP生成密鑰分配給裝置的登記擁有人，OTP生成密鑰用于生成和驗證OTP。認證服務器通常持有幾百或幾千OTP生成密鑰，每個密鑰唯一地分配給一個不同的人或者為一個不同的人登記。在由登記擁有人通過其分配的OTP生成密鑰占有時，認證服務器配置OTP令牌。例如，每當登記用戶請求一個新密碼時，這些OTP令牌可以使用OTP生成密鑰來生成一個不同的密碼，或者再如，可以使用OTP生成密鑰來通過固定的時間間隔生成新密碼。OTP令牌可以另外使用當前世界的指示來生成OTP，以防止在稍后的時間儲存和重放OTP。

為了通過裝置訪問用戶限制的數據，用戶將由OTP令牌生成的OTP以及唯一地識別裝置的擁有人的憑證提供給數據提供商。通常，然后，數據提供商識別裝置的擁有人并且將所接收的OTP傳遞給認證服務器。認證服務器查看與所識別的個人相關聯的OTP生成密鑰，并且使用該密鑰以及(如果需要的話)當前時間來確定所接收的OTP是否與由OTP令牌生成的OTP對應，該裝置的擁有人在當前時間或者至少在當前時間的預定周期內保持該OTP令牌。然后，認證服務器向數據提供商指示所接收的OTP是否有效。如果將正確的OTP發送給數據提供商，那么可以確定該裝置的用戶占有OTP令牌。然而，認證服務器容易妥協，從而促進到其他實體的未授權分布，并且允許(非法)訪問分布的OTP生成密鑰的任何人代表與該密鑰相關聯的個人訪問數據。

發明內容

根據本發明的第一方面，提供了一種用于驗證訪問數據的請求的系統，所述系統訪問被配置為與第一受信任的時間指示器進行通信的計算裝置，所述系統包括：第一模塊，訪問第二受信任的時間指示器；以及第二模塊，訪問不受信任的時間指示器，其中，所述第一模塊被設置為至少使用所述第二受信任的時間指示器生成密碼；所述第二模塊被設置為：接收與訪問數據的請求相關聯的密碼，至少使用不受信任的時間指示器驗證所接收的密碼；并且促使將消息傳輸給所述計算裝置，所述消息包括表示用于驗證所接收的密碼的不受信任的時間指示器的數據，并且所述系統被設置為促使計算裝置生成表示在不受信任的時間指示器與第一受信任的時間指示器之間的比較的數據，其中，所生成的數據用于提供所述對數據的訪問。

在某些情況下，第二模塊可以不訪問受信任的時間指示器(不與外部元件進行通信)。因此，修改不受信任的時間，可以打開系統，以受到攻擊。通過使用不受信任的時間指示器來驗證密碼，然后，促使將消息傳輸給計算裝置，其中，比較不受信任的時間和受信任的時間，避免攻擊的可能性。而且，由于僅僅需要從第二模塊中發送一條消息給計算裝置或系統，所以減少了用于驗證的信令量。