传统的身份识别系统,采用固定的用户名-密码方式。用户通过客户端输入用户名-密码,将信息提交到服务器段进行身份识别。一旦用户机器被恶性代码或木马所控制,用户的隐私信息将得不到保护。
目前对于安全级别较高的系统(例如:银行,交易网站等),通常会给用户提供USB Key(Token)。例如:RSA的安全方案。但是这种方案的成本和对于应急性消费是有局限性的,用户不可能随身携带各种USB Key,而且各种机构颁发的Key也是种类繁多,用户难以管理。
是否能够找到便捷、安全的身份管理方案?
目前手机的应用非常普及。Wireless Intelligence预测到2007年年底,全球手机用户数量将达到30亿。全球手机用户在2006年9月达到了25亿。手机已成为每个人生活的必需品。如果能够让手机作为USB Key,利用手机提供的计算能力,作为身份识别的工具,将为用户提供极大的方便。
假设:一个手机只有一个Seed(Token)
过程1说明:
1, 手机发送请求信息(IMEI,手机号码)到认证服务器。可以同过GPRS网络或者SMS短信等。
2, 认证服务器下发响应信息(Seed,Time,手机号码)到手机。可以同过GPRS或者SMS短信等。
3, 手机存储接收到的Seed,Time,手机号码。
过程2说明:
假设:
1, 用户以前在该网站注册过,并且使用过密码保护功能。
2,