技術領域

本發明屬于信息安全領域。本發明涉及的是一種雙通道登錄的方法和系統。具體地說，涉及一種利用用戶的手持設備獲得身份認證數據進行登錄的方法和系統。

背景技術

現有的網絡應用中，比較常見的登錄方式是：用戶在計算機上打開瀏覽器進入網站頁面；網站頁面要求用戶輸入用戶賬戶及PIN碼；用戶輸入用戶賬戶和PIN碼后，計算機把用戶賬戶和相關PIN碼傳送到網站；網站查詢如果用戶賬戶與PIN碼匹配，那么允許該計算機登錄該網站，并享有相應的權力，否則拒絕該計算機登錄。

山于黑客和木馬的存在，用戶賬戶及PIN碼被盜竊，造成黑客可以假冒用戶進入網站，并使用用戶的權力。為此，有很多技術方案來解決這個安全問題。例如用動態密碼解決PIN碼容易被盜的風險。但是動態密碼也可以被中間人攻擊，同樣可以被黑客假冒。

登錄系統就是賬戶管理系統。基本的因素是：賬戶及身份認證。安全的目標就是在計算機上(使用裝置)上將賬戶及身份認證傳送到網站，網站確認賬戶及身份認證數據匹配，則允許該計算機登錄網站，否則決絕登錄。使用裝置對于網站來說，本質就是網絡地址，如QQ號、IP地址。就是說網站能夠區別該計算機傳送來的數據，也能把數據傳送到該計算機。

在本申請文件中，有時需要用到各種密碼技術來說明技術方案。非對稱密碼系統我們用RSA來說明：RSA_D表示解密算法或簽名算法，RSA_E表示公開算法。

發明內容

在計算機用戶的潛意識中，登錄山兩個必要因素決定：用戶名和自己記憶的PIN碼，并認為只要這兩個因素不同時被攻擊者掌握，登錄就是安全的；事實上，網站登錄大多數的安全性也是建筑在這個“安全假設”基礎上的。

為了安全，大多數用戶“潛意識”中，把安全的希望建筑在PIN碼的不泄露上。用PIN碼保護登錄安全也成為普通大眾的“安全習慣”。從安全的角度，為了保護用戶的PIN碼，最好不在不安全的計算機上輸入PIN碼，而采用在用戶自己的手機上輸入PIN碼來提高保障安全的體驗。

把有計算能力的手機變成傳統的令牌，然后利用手機可以輸入PIN碼的優勢增加登錄的安全性，然后利用手機聯網的特性實現賬戶與PIN碼的雙通道傳送，達到安全體驗和便捷的統一。

手機有顯示器及鍵盤，充分利用用戶自己的手機是一個安全易用的方案。這樣登錄系統就需要三個裝置：使用裝置(如計算機或手機)、確認裝置(如手機)及安全裝置；并利用使用裝置及確認裝置兩個物品來提高安全性。本發明的本質就是利用使用裝置與安全裝置，確認裝置與安全裝置兩個互不聯系的信息通道，分別傳送部分登錄數據，然后由安全裝置組合登錄數據來提高登錄的安全性。

根據本發明的一種雙通道登錄系統，它包括：使用裝置，用于獲取登錄賬戶和使用裝置網絡地址等數據；確認裝置，用于獲取身份認證數據；安全裝置，根據從使用裝置獲得的登錄賬戶及使用裝置網絡地址等數據，及從確認裝置獲得的身份認證數據，組合生成登錄數據；其中，使用裝置與安全裝置網絡連接；確認裝置與安全裝置連接；使用裝置將獲得的登錄賬戶和使用裝置網絡地址的數據傳送到安全裝置；確認裝置獲得身份認證數據，并傳送到安全裝置；安全裝置確定登錄賬戶和使用裝置網絡地址的數據與身份認證數據的關聯，然后組合生成登錄數據。

進一步，安全裝置根據存儲的登錄賬戶與確認裝置網絡地址進行關聯，確定登錄賬戶和網絡地址的數據與身份認證數據的關聯。

更好地，安全裝置還存儲登錄賬戶與確認裝置關聯地址的信息，并根據該信息發送數據到確認裝置，用于確認裝置變換身份認證數據。

更安全地，確認裝置還有與安全裝置同步的數據發生器，數據發生器生成的數據，用于確認裝置變換身份認證數據和安全裝置逆變換得到身份認證數據。

最后，上述身份認證數據是與登錄賬戶相關的PIN碼。

根據本發明的另一個發明，一種安全登錄的方法，它包括：

A、使用裝置獲得包括登錄賬戶的數據；B、安全裝置通過與使用裝置的連接通道，獲得登錄賬戶數據；C、確認裝置獲得身份認證數據，并傳送身份認證數據到安全裝置；D、安全裝置關聯登錄賬戶數據和身份認證數據，組合生成登錄數據。

一般地，步驟C的身份認證數據是PIN碼。

安全地，步驟C的是通過確認裝置與安全裝置的網絡連接傳送身份認證數據到安全裝置。

比較少地，步驟C的是通過使用裝置傳送身份認證數據到安全裝置。