本文描述一種用于提供認證的系統和技術。所述技術包括通過通信裝置注冊用戶認證數據，例如生物特征數據。所述認證數據被鏈接到賬戶或服務提供商，并用于在訪問所述賬戶時驗證所述用戶的身份。所述通信裝置可獲得公鑰/私鑰對，其中所述公鑰可被存儲在安全遠程服務器上。當所述用戶嘗試訪問所述賬戶或服務提供商時，所述用戶可提供所述認證數據以向所述通信裝置認證所述用戶。此后，所述通信裝置可使用所述私鑰對認證指示符進行簽名，并將所述認證指示符發送到所述安全遠程服務器。在使用所述公鑰驗證所述簽名后，所述安全遠程服務器可例如通過發布令牌來準予所述用戶的訪問。

相關申請交叉引用

本申請要求2018年3月7日提交的標題為“利用在線認證的安全遠程令牌發布(SECURE REMOTE TOKEN RELEASE WITH ONLINE AUTHENTICATION)”的第62/639652號美國臨時專利申請的權益和優先權，所述申請以引用的方式全面并入本文中。

背景技術

隨著用戶可擁有的在線或計算機可訪問賬戶數目不斷增長，作為認證形式的用戶名和密碼已不足以保護用戶賬戶。例如，記住許多站點的用戶名和密碼可能具有挑戰性，而為多個賬戶設置相同的密碼可能會增加一個賬戶受損時危害所有賬戶的可能性。密碼管理器可能不方便，并且將所有用戶密碼存儲在一個地方可能會有風險。密碼還可能很容易地被惡意軟件欺騙或捕獲，而服務提供商處的數據外泄可能導致密碼在暗網中擴散。

此外，雖然授權實體能夠基于賬戶的信息來確定是否授權交易，但所說的這些授權實體無法認證用戶裝置的用戶。因此，授權實體通常必須依賴資源提供商等另一實體來執行用戶的認證。并非所有資源提供商都能提供相同的認證質量，而這會導致數據安全問題。

數據安全領域中要解決的另一個需要解決的問題是通過數據網絡傳送敏感憑證(例如，社會保障號、賬號等)的問題。此類數據的傳送可能會受到中間人的攻擊。

本發明的各種實施例單獨地以及共同地解決這些問題和其它問題。

發明內容

本文描述一種用于認證用戶而同時確保由合法裝置執行認證的系統和技術。認證技術可包括通過通信裝置注冊用戶的認證數據，例如生物特征數據。認證數據可鏈接到賬戶或服務提供商，并用于在訪問賬戶時驗證用戶的身份。通信裝置可與公鑰/私鑰對相關聯，其中公鑰存儲在安全遠程服務器上。當用戶嘗試訪問賬戶或服務提供商時，用戶可提供認證數據以向通信裝置認證用戶。此后，通信裝置可使用私鑰對認證指示符進行簽名，并將認證指示符發送到安全遠程服務器。在使用公鑰驗證簽名后，安全遠程服務器可例如通過發布令牌來準予用戶的訪問。

本公開的一個實施例涉及一種由安全遠程交易服務器執行的方法，所述方法包括：從客戶端裝置接收登記賬戶的請求；驗證所述客戶端裝置是否有權訪問所述賬戶；將密碼密鑰對的至少公鑰與所述賬戶關聯存儲，其中所述密碼密鑰對的至少私鑰與所述賬戶相關聯地存儲在所述客戶端裝置上；以及生成與所述賬戶相關聯的令牌，所述令牌與所述賬戶關聯存儲。在一些實施例中，所述方法還可包括：從訪問裝置接收完成與賬戶相關聯的交易的請求，所述請求包括已簽名認證指示符；使用與所述賬戶關聯存儲的公鑰來驗證所述認證指示符；以及在驗證所述認證指示符后，將令牌提供給所述訪問裝置。

本公開的另一實施例涉及一種安全遠程交易服務器，其包括處理器和存儲器，所述存儲器包括指令，所述指令在通過所述處理器執行時使所述安全遠程交易服務器：從客戶端裝置至少接收登記賬戶的請求；驗證所述客戶端裝置有權訪問所述賬戶；將密碼密鑰對的至少公鑰與所述賬戶關聯存儲，其中所述密碼密鑰對的至少私鑰與所述賬戶相關聯地存儲在所述客戶端裝置上；以及生成與所述賬戶相關聯的令牌，所述令牌與所述賬戶關聯存儲。在一些實施例中，所述指令還可使所述安全遠程交易服務器：從訪問裝置接收完成與所述賬戶相關聯的交易的請求，所述請求包括已簽名認證指示符；使用與所述賬戶關聯存儲的公鑰驗證所述認證指示符；以及在驗證所述認證指示符后，將令牌提供給所述訪問裝置。