访问数据网络上服务的用户帐户的认证方法和装置

摘要

本发明涉及一种用于访问数据网络(26)上的服务(28)的用户帐户的认证方法，所述方法包括如下步骤：由所述服务(28)接收(E20)所述服务(28)的询问装置(10)方的请求，所述请求包括第一认证信息，由所述服务(28)接收(E60)由认证安全装置的管理器(34)发送的信息，由所述服务(28)接收的信息基于来自与用户帐户相关联的安全装置(16；18)的第二认证信息，和由服务(28)基于第一认证信息和从认证安全装置的管理器(34)接收的信息进行认证。

说明书

技术领域

本发明涉及一种用于访问数据网络上服务的用户帐户的认证方法，涉及实施这种服务的装置和安全装置的管理器。更具体地，本发明应用于用于访问这种用户帐户的用户多因素认证。

背景技术

被接纳在数据网络(例如因特网)上并且通过装置或同样被连接到数据网络的询问终端用户可访问的服务日渐增多。

该询问装置可为个人计算机、智能型移动电话(英文为Smartphone)，作为个人计算机的平板计算机，包括触摸屏和通常未被设置有键盘或被连接到通信网络的所有其它类型终端，且能够使用户与服务交互。

这种服务为被接纳在被连接到数据网络的一个或多个服务上的一套软件。该套软件被编程以接收来自询问装置的请求和以提供所考虑服务的方式进行应答。该服务例如为银行服务，又或社交网络。

对这种服务的访问可请求对询问装置用户的认证。在该情况下，服务通常与用户或用户帐户的数据库联合运行。

而且，为了访问该服务，用户被邀请提供与该服务相关的数据库的用户帐户之一相关联的一个或多个认证信息。一旦认证，如果该服务关联银行，用户可例如访问其银行帐户，或如果该服务关联社交网络时访问个人简档。

认证需要用户输入已知的秘密信息，例如与用户的用户帐户相关联的口令。在该情况下，对于，认证仅在秘密信息和该服务关联的数据库中为相关用户帐户记录的信息相对应时才有效。

然而，通过秘密信息对用户的传统认证对于保证访问该服务的安全来说有时是不够的。

例如，经常有用户使用相同的信息，通常是相同的口令，用于保护其对不必相互关联的不同服务的访问。而且，在该信息被发观的情况下，恶意实钵会作为用户通过口令访问这个或这些服务。

为了使用户认证复杂化以及改善访问如前述的服务的安全性，可实施多因素认证方法。

提供这些方法大部分用于用户已知的秘密信息(如口令)和用户自身特征化的信息的关联使用，用户自身特征化的信息通常为生物识别信息(如数字指纹、眼睛虹膜)和/或通过显示给用户的目标物得到的信息(例如用户终端上显示的代码)。

与单一因素(使用单一型信息)的传统认证方法相反，恶意实体发现的不同类型信息其中之一通常不能够访问被保护的服务。

然而，如果能够改善认证安全性，这些信息的获得经常干扰希望访问服务的用户，这可能会影响用户体验。

因此，存在以尽可能对用户透明的方式来改善现存认证处理方法安全性的需要。

发明内容

本发明的目的在于克服这些缺点中的至少一个。

在本文中，本发明的第一方面涉及用于访问数据网络上的服务的用户帐户的认证方法，所述方法包括如下步骤：

由服务接收所述服务的询问装置方的请求，所述请求包括第一认证信息，

由服务接收由认证安全装置的管理器发送的信息，由所述服务接收的信息基于来自与用户帐户相关的安全装置的第二认证信息，和

由所述服务基于第一认证信息和从认证安全装置的管理器接收的信息进行认证。

而且，本发明的方法使能够改善认证安全性。

事实上，认证尤其取决来自两个不同装置，即询问装置和与用户帐户相关联的安全装置的两个认证信息。

另外，由于通过安全装置发送的请求触发了获得对于用户多因素认证所需的其它信息，无需建议或使用户发送该补充信息，改善了用户体验，。

而且，本方法对用户来说在表面上与传统认证方法相似，但本认证方法实际上更安全。请求不限于服务的开启或起始。还可由用户从询问装置来使用该服务。

根据本发明实施方式的方法的其它特征描述于附属权利要求中。

在一些实施方式中，可通过管理器实施认证步骤，尤其在服务整合有管理器功能的实施例中。

在本发明的具体实施方式中，响应于管理器向安全装置发送的请求，由管理器接收笫二信息。

在变化形式中，在安全装置被连接时，由安全装置向管理器自发地发送第二认证信息。

在本发明的具体实施方式中，通过服务接收的所述信息对应于由安全装置发送的第二认证信息。

而且，针对使用者的认证，服务本身实施对第一和第二认证信息的验证。

在变化形式中，所述管理器验证从安全装置接收的第二认证信息，以及在于管理器向服务发送的信息对应于该验证的结果。

而且，管理器自身验证第二认证信息并将该验证结果(信息)传送给服务。

在本发明的具体实施方式中，第二认证信息包括安全装置的位置信息。

在本发明的具体实施方式中，位置信息包括在局域网和接纳服务的数据网络之间的网关地址，所述局域网包括安全装置和询问装置。

在这些实施方式中，询问装置和安全装置属于同一局域网，且可被相同的公共地址(即网关地址)针对接纳服务的数据网络表征。反之，被连接到局域网的各个装置将在局域网中具有其本身的专用地址，但是该专用地址不总是被如管理器或服务的数据网络装置所知。

而且，在局域网和数据网络之间的网关地址构成认证补充因素，这能够使访问服务更加安全。

在变化形式中，位置信息可为地理坐标或地理方位标的组合。这些信息可为GPS定位、或者GSM三角定位(GSM定位)又或Wi-Fi定位给出的数据。

在本发明的具体实施方式中，所述第二认证信息包括仅基于安全装置中存储的密钥的使用代码。

在本发明的具体实施方式中，通过安全装置发起的持续连接将安全装置连接到管理器上。

而且，在这些方式中，可以与询问装置相独立的方式直接与管理器和安全装置相通信，以使用户得到认证。

在本发明的具体实施方式中，安全装置与用户帐户的关联包括如下步骤：

在询问装置上输入在安全装置上显示的代码，

通过询问装置将输入的代码发送到服务，和

由服务激活关联。

这些步骤旨在进行安全装置和用户帐户的预先关联。

输入的代码基于安全装置的唯一识别码。

而且，代码能够例如通过对照表找到安全装置。更具钵她，输入的代码直接对应于安全装置的唯一识别码。而且，代码直接指示安全装置。

在变化形式中，输入的代码可基于颜色代码，或显示于安全装置上的号码，独立于安全装置(或至少与其识别码不同)。

而且，通过询问装置输入该代码并发送给服务，接下来在安全装置上进行取回，这能够表明安全装置被有效地与服务的用户帐户相耦合。

输入可以是写入或语音的(口述)。该代码可以是暂时的，例如被显示在安全装置上，或在变化形式中是永久性的，例如被印刷或雕刻在安全装置上。

由服务输入和接收的代码可被与用户帐户相关联地存储在与服务关联的数据库中。

安全装置与用户帐户的关联另外可包括如下步骤：

将服务接收的代码发送给安全装置的管理器，和

通过管理器验证所接收的代码。

而且，装置与用户帐户的关联同样是更安全的。反之，服务自身通过与其相关联的数据库的协作来验证代码。

通过与服务识别码相关联将由管理器验证的代码存储在与管理相关联的数据库中。

在本发明的具体实施方式中，由管理器接收第二认证信息要求询问装置的用户的确认。

例如，可在认证中加入用户位置因素。

例如，确认可在于按压另一装置上的按键，又或提供如狮子指纹的生物信息。可以对用户认证考虑补充因素(例如指纹、视网膜等的有效性)。

生物识别验证涉及补充信用级别，尤其能够证明用户在认证信息发送时存在。

例如，可在认证中加入用户位置因素。

本发明的第二方面涉及实施数据网络上的服务的装置，所述装置包括：

接收所述服务的询问装置方的请求的装置，所述请求包括第一认证信息，

接收由认证安全装置的管理器发送的信息的装置，由所述服务接收的信息基于来自与用户帐户相关的安全装置的第二认证信息，和

基于第一认证信息和认证安全装置的管理器接收的信息的认证装置。

本发明的第三方面涉及认证安全装置的管理器，用于访问数据网络的服务的用户帐户，所述管理器包括：

接收来自安全装置的认证信息的装置，和

基于第二认证信息将信息发送给服务的装置。

这种安全装置管理器通常为数据网络上的接纳服务器，能够管理被链接于同样被接纳在数据网络上的一个或多个服务的用户帐户的多个安全装置。

在安全装置和管理器之间、和/或在服务和管理器之间、和/或在服务和询问装置之间的交换符合ISO 7816标准(APDU帧)。

安全装置例如可为被装配到用户介面(例如LED)上的安全配件、根据ETSI TR 102216标准的芯片卡或UICC(Universal Intergrated CircuitCard，通用集成电路卡)、又或执行安全应用的智能电话(英文为Smartphone)。

安全装置可包括嵌入式安全组件(eSE)或可移动安全组件。

根据本发明的不同方面的装置的具体优点、目的和特征与前述方法的相以。

在具体实施方式中，前述方法的不同步骤由计算机程序指令来确定。

因此，本发明的还旨在提供在计算机载体上的计算机程序，该程序易于通过微处理器实施，该程序包括适用于实施如前所提及的方法的步骤的指令。

该程序可使用任何程序语言，和以源代码、目标代码、或介于源代码和目标代码之间的中间代码的形式，如以局部编译的形式、或以任何其它期望的形式，例如脚本。

本发明还旨在提供一种由微处理器可读的信息载体，且包括如前所提及的计算机程序指令。

信息载体可为任何能够存储程序的实体或装置。例如，载体可包括存储装置，如ROM，例如微电路ROM，又或磁记录装置，例如硬盘、闪存，或光存储部件，例如CD、DVD又或蓝光光盘。

另一方面，计算机载体为可传输载体，如电或光信号，通过电缆或光缆、通过无线电或其它装置而被路由。根据本发明的程序更具体地可被远程下载到因特网型网络的存储平台上。

可选地，计算机载体可为集成电路，其中整合有程序，所述电路适用于执行或被用于相关方法的执行中。

前述的信息载体和计算机程序所呈现的特征和优点与其实施的方法的相类似。

附图说明

在下述结合附图详细描述并示意性示出的未提供所有限制性特征的实施例，本发明的其它特征和优点在下面的详细描述中将变得明显。在附图中：

图1示意性示出了其中表示符合具体实施方式的根据本发明不同方面的装置的情形，

图2以时序的方式表示出根据本发明具体实施方式的认证方法过程中发生的主要交换；

图3以时序的方式表示出符合本发明具体实施方式的带有用户帐户的安全装置的关联步骤。

具体实施方式

以通常的方式，本发明涉及用于访问数据网络上的服务的用户帐户的用户的多因素认证，其中该数据网络接纳有各种服务。

认证的多因素方面于此处具有涉及通过本地网络连接的两种不同装置的特性。两种装置通常为服务询问装置，用户希望通过询问装置使用服务，以及安全装置，负责更保证用户认证的安全性。

以通常的方式，本发明的主旨在于通过得到第二认证信息来保证用户认证的安全性，第二认证信息确认在用户自其询问装置连接到服务的过程中得到的第一认证信息。该第二认证信息来自安全装置，安全装置预先与用户帐户相关联，以给予认证安全性。

在正确认证操作之前，安全装置与用户帐户的关联或耦合操作仅实施一次。该预先耦合能够保持认证尽可能时用户透明。

在一些实施方式中，通过服务直接从安全装置得到第二认证信息。

为此，安全装置可根据服务开启持续连接。该连接能够允许服务，例如发送请求以得到第二认证信息和从其接收同样被连接的安全装置部分的响应。

在持续连接激活安全装置时，其另外能够调节与本地网络装置对更广域网络(此处为数据网络)的限制性访问(例如借助防火墙)有关的问题。

在变化形式中，通过安全装置可自发地发送笫二认证信息给管理器或服务。该第二认证信息的自发发送可为周期性的。例如，在安全装置激活时可规律地发送笫二认证信息，以容易检测到断开连接，这是因为其对应于发送中断。

在变化形式中，可通过特定事件来触发发送。

该特定事件例如为在用户和安全装置之间的交互。例如，通过用户按压按键。

第二认证信息可独立于全部访问请求地由安全装置发送。

在变化形式中，特定事件可对应于对访问服务的请求的接收。

在一些实施方式中，如果包含笫二认证信息的安全装置的响应源地址对应于由询问装置发送的服务访问请求的源地址，认证信息被确认。这使得能够验证安全装置和用于访问服务的询问装置被连接到同一局域网(LAN)。源地址的预计相似度是由于通常被连接到同一局域网的不同装置经过同一网关与数据网络相通信，且由于这通常执行NAT(英文为Network AddressTranslation)地址的转换协议。

因此，所有来自连接于局域网的装置的消息拥有对应于数据网络网关地址的相同源地址。网关地址于此处对应于被连接到局域网的装置(此处，至少为安全装置和询问装置)的公共地址，它由接入网关的供应商指派。

以通常的方式，在本发明还揭示的实施例中，位置信息能够定位与安全装置连接于相同局域网的受安全保护的装置，并通过管理器或服务接收作为用户帐户的第二认证信息。

该位置信息还可被选择为在局域网和数据网络之间的网关地址。例如，其作为网关地理坐标，例如GPS坐标或通过GSM三角又或Wi-Fi定位得到的坐标。

在一些实施方式中，该第二认证信息被通过安全装置发送的另一认证信息代替或补充。

其作为例如由安全装置生成的单次使用口令，又或由装置向用户要求的生物信息，例如数字指纹或虹膜读取。

在该情况下，用户有助于再次加强访问服务的安全性。在该情况下，对有助访问安全生的增加对用户来说不再是完全透明的，但是对于特别敏感的服务可进行证明。

而且，根据一些实施方式，服务或管理器负载第二安全信息的验证，例如通过对比安全装置得到的响应消息的源地址与由服务得到和/或传送的访问请求的源地址。

以通常的方式，接下来以简单方式使用的术语“访问请求”不限于由询问装置发送给服务以开启或开始在询问装置和服务之间的通信会话的请求。其还表示在用户使用该服务的全过程(期间)内由询问装置发送给服务的请求。

由于本发明，以更安全的方式，安全装置与用户帐户的预先关联的简单操作接下来能够安置简单且安全的程序，以认证希望访问其服务用户帐户的用户。

本发明的另一优点在于在安全装置和服务之间的通信与询问装置是相独立的。

而且，在询问装置被例如恶意病毒袭击的情况下，由安全装置提供的补充认证信息(第二认证信息)不能被搜索到或使用，这是由于从未有询问装置传送补充认证信息。

在图1示意生示出的情况中表示出符合具体实施方式的根据本发明不同方面的装置。

这些装置可实施符合本发明的认证方法，其步骤描述于接下来的详细描述中。

在图1中，询问装置10通过通信链接14被连接到LAN(英文为Local Area Network)局域网12。

该询问装置10例如为便携式计算机或移动终端(例如电话或触摸式平板计算机)。其构造因此包括至少PC或终端基础传统构造的结构性组件。不再具体描述这些已知组件。

根据一些实施方式，询问装置10可另外包括虚拟或物理键盘、指纹传感器、分析/语音识别模块、面部识别模块、视网膜分析模块、或其它能够允许询问装置10的用户提供(输入)认证信息的模块。

局域网12可为例如以太网络且通信链接14可为例如以太网线缆。

在变化形式中，局域网12可为Wi-Fi网络且通信链接14可为无线连接。

局域网12和通信链接14可为其它类型的。局域网12可为蓝牙网络、家庭或个人网络、或例如相应的企业内部网络。

还可通过参考标号分别为20和22的通信链接将其它参考标号为16和18的装置连接到局域网12。这些装置为符合本发明的实施方式的认证安全装置。

以通常的方式，安全装置典型地符合根据国际标准ISO/CEI15408(FIPS)的通用标准。

在该实施例中表示出两个安全装置，然而，本发明还涵盖具有一个或多个安全装置的情况。在该实施例中，安全装置16例如为安全配件，例如配备有LED。

安全配件16可包括安全组件，例如适用于实施对应于根据本发明实施方式的认证方法的步骤的指令。

这些指令例如以小程序JavaCard的形式，或以一段原生代码的形式。

安全装置18例如为移动电话，存储有能够用电话实施的安全应用程序。

例如，电话18可嵌装安全组件，例如适用于实施根据本发明实施方式的认证方法的步骤。

该安全组件例如为SIM卡(英文为Subscriber Identity Module)、USIM、或微SIM卡。

安全装置16和18还可装配有指纹传感器/视网膜分析模块和/或面部识别模块。

为了简化，在接下来的详细描述中，所述方法区别地参考安全装置16和装置18。

接下来，就方法而言对安全装置16的描述适用于易于起用户认证安全装置作用的所有装置，同时提供或加入认证补充因素，所呈现的特征相似于参考安全装置16和18的描述。

局域网12可包括或被连接到GTW网关24(英文为Gateway)，它起到路用于来自局部网12的数据分组到位于该局域网12的外部网络中的装置的由器的作用。

例如，通过网关24将局域网12连接到WAN数据网络26(英文为Wide Area Network)，例如因特网。

在变化形式中，网关24可被直接连接到数据网络26或作为该数据网络26的一部分。

为了执行来自局域网12的数据分组到数据网络26的装置的路由，网关24可使用NAT(英文为Network Address Translation)型路由技术。

该技术的使用尤其用于影响由对应于网关24的地址的源地址的网关24传送的数据分组的标记。

而且，就数据网络而言，由被连接到局域网12的装置发送的数据分组具有共同的源地址。

在一些实施方式中，如接下来更详细的描述，本发明提供使用该共有特征作为认证补充因素。

另一方面，由网关24和数据网络26借助于通信链接30来将局域网12连接到服务28访问装置。

在数据网络26上可用多个服务，但为了清晰起见，仅表示出唯一的服务28。在本领域技术人员可认识到将与该服务相关的教导适用于在该数据网络、又或在不同数据网络上有多个服务可用的情况。

服务28可包括或被联接到数据库32，其中存储有与认证信息相关联的用户帐户，认证信息例如为识别码/口令对以及各种信息，如能够识别与用户帐户关联的装置的代码，例如如接下来更具钵描述的在认证发生的。

由于通信链接14和30，询问装置10可潜在地访问服务28以及网关24，如在接下来的详细描述中将解释的，如接下来更具体描述的。

安全装置34的管理器(或管理组)还可被连接到数据网络26。该管理器负责安全装置组合件的管理，以使使用者组与一个或多个服务链接。典型地由安全装置供应商进行监督。

该管理器能够分配关联于用户帐户安全的一些任务的服务，例如得到一些认证信息，以及任选地处理它们。

尽管由认证安全级别改善导致的补充处理以进行访问，相应的服务还保持其服务质量。

管理器34通过固定域(DNS)表征，并且能够与数据库36配合，以将连接到数据网络26的安全装置(例如16和18)以及它们的连接状态编入列表。

通过通信链接38将安全装置的管理器34另外连接到服务28。

而且，被关联的数据库36存储装置以及服务的识别码。如在接下来参考符合本发明的方法步骤的详细描述中将解释的，该数据库36还可存储安全装置和数据网络上被识别服务的用户帐户之间的耦合码。

通过与网关24的链接40将安全装置的管理器34连接到局域网12。而且，当局域网络12的装置希望访问数据网络时，其可向管理器34发送带有识别码的连接请求。作为响应，管理器34可将该装置的(唯一)识别码存储在数据库36中。

该识别码例如为安全装置的MAC地址，且使得能够在局域网中再次找到安全装置，尽管连接请求的原始地址被连接到局域网的所有装置共用。

管理器接下来可存储该安全装置和数据网络服务的用户帐户之间的耦合，服务例如为服务28。接下来将尤其参考图3详细描述安全装置与用户帐户的关联。

在另一实施方式中，设置各个服务(例如服务28)以管理安全装置与用户帐户的关联。

在这些方式中，当局域网12的装置希望访问数据网络时，其可向服务28发送带有识别码的连接请求。作为响应，服务28可将该装置的(唯一)识别码存储在被关联的数据库32中，例如一个或多个用户帐户相关联，如果存在的话。

简单起见，接下来的描述以非限制性的方式聚集于因特网数据网络。尤其通过IP地址来表示不同的装置，且交换符合因特网协议。在本文中，服务为web服务且可通过询问装置上执行的浏览器来进行访问，用户希望通过该访问装置访问web服务。

优选地，在安安装置16和18与管理器34或服务28之间的通信符合需要保持持续连接的异步通信协议，例如WebSocket协议、TCP、又或XMPP协议(英文为Extensible Messaging and Presence Protocol)，能够向目标自发‘推送’消息(“push”模式)。

在询问装置10和管理器34(通过链接14和40)、和/或在询问装置10和服务28(通过链接14和30)和/或在服务28和管理器34(通过链接38)之间的交换例如是通过HTTP GET/POST型请求进行的。

而且，能够在询问装置10和服务28之间交换的协议典型地为HTTP协议(英文为Hyper Text Transfer Protocol)和如HTTPS的用于安全版本的关联协议。

在变化形式中，可使用虚拟搜索技术，以在需要的情况下检测安全装置16(分别地18)。在该情况下，通信通道20-40仅在安全装置16(分别地18)被直接连接到本地总线上时进行开启，本地总线被连接到询问装置10(例如通过USB链接)。搜索技术还可使用Wi-Fi或蓝牙。然而，本发明不限于该类型的交换和通信。还可以是其它通信协议。

现在参照图2描述根据本发明具体实施方式的认证方法步骤。此处参照图1的不同装置，适用于以联合的方式实施所述方法。

在初始化步骤E10中，局域网12的安全装置16(分别地18)与数据网络26的安全装置34的管理器联络，以连接到该网络上。

实际上，安全装置16(分别地18)的识别码(例如MAC地址或共享秘密)被存储在关联于管理器34的数据库36，且被关联“激活”状态。由链接20(分别地22)和40构成的通信通道保持开通。

该通信通道可为专用通道，以在所使用的通信协议允许时，管理器可将“push”通知通过该通信通道发送给安全装置16(分别地18)。

装配安全装置以自发地将数据发送给管理器。

在步骤E20中，可能具有数据网络26的服务、典型地为Web服务28用户帐户的用户提出请求以访问其用户帐户。

对于服务成功认证的用户才能访问服务28。

实际上，用户可在询问装置10的浏览器中开启网页，该网页能够与网络服务28相联系。

通过网页，提供有第一认证信息并将在请求中的该第一信息被发送到服务28。

来自用户的该第一认证信息使得服务28的获得证明了用户参与了该信息的提供。这能够识别目标用户帐户并至少部分地认证用户。

例如，可以为用户知道的秘密信息，典型地为用户通过网页提供的口令。

认证信息还可以生物方式表征用户本身。其可包括数字指纹、面部识别或用户视网膜分析结果。

可通过传感器和询问装置10的适当模块捕获该类型的信息，通过询问装置10，例如通过指纹传感器、面部识别模块或视网膜分析模块，用户尝试访问服务28。

第一认证信息还可为例如由用户从另一装置(安全装置16或18)获知言息后输入的信息。

该获知可为可视的，例如通过读取显示在另一装置上的代码(颜色代码、图案、文字等)，或在另一装置上记录(例如雕刻)的代码。

该获知还可为声音的，例如通过听取由另一装置发出的声音消息。

而且，可通过询问装置10上的键盘通过网页输入第一认证信息。在变化形式中，在询问装置10包括适用于语音识别的装置时，信息可为口述的(话音输入)。

本发明还揭露了两种输入模式的组合形式。

在接收访问请求时，服务28借助于关联数据库32来提取第一认证信息并处理。

为此，服务28可验证在关联于呈现在询问装置的请求中的识别码的用户帐户和数据库32中的认证信息(例如口令、指纹、视网膜)之间的对应。

在变化形式中，服务在后面的过程中执行该验证，例如在后面描述的认证步骤过期间。

服务28还可提取询问装置的请求原始地址，以可选地稍后用作用户认证补充因素。

如参照图1所解释的，该源地址对应于在提供请求的局域网12(国为询问装置10通过链接14被连接到局域网12)和数据网络26之间的网关地址24，通过链接30将数据网络26连接到服务28。

服务28可接下来从数据库32提取对应于也关联于用户帐户的耦合代码的代码。

以通常的方式，耦合代码表示在服务的用户帐户和关联于该帐户的装置之间的关联，以保证用户认证的安全性。

这能够或者直接地(识别)或者间接地(例如代码可对应于例如在对照表中的识别码)使安全装置符合标准。

用户帐户可有多个关联装置，和因此与服务关联的数据库中的多个关联耦合代码。

在步骤E30中，服务生成和发送信息请求，以得到来自对应于代码的安全装置的信息。在该实施例中，信息请求被发送给管理器34。

发送给管理器的信息请求可包括通过询问装置请求原始地址，如前面解释的，以用于稍后的认证。

代码能够使管理器34发现对应的安全装置，以得到该信息。

为此，在接收信息请求后，管理器34验证关联的数据库36中的耦合代码的存在与否，并还验证该代码已关联于服务28。

安全装置可被关联于多个服务，这是管理器可有益于验证代码已关联于服务28的原因，以完全避免与另外服务相干扰。

如果是这种情况，管理器34在数据库36中提取与耦合代码相关联的装置的识别码，装置于此处为安全装置16(分别地18)。否则，所述方法停止，用户未被认证且不能访问服务。

耦合代码的记录、换句话说安全装置和用户帐户的关联将在图3中更详细地描述。

接下来，管理器34可任选地验证关联于安全装置16(分别地18)的识别码的连接状态，以在连接状态未激活时，方法停止，用户未被认证且不能访问服务。

在该实施例中，在步骤E10中开启的通信被保持且关联于安全装置16(分别地18)的状态是“激活”。

在步骤E40过程中，通过在步骤E10中建立的通信通道，管理器34向安全装置发送认证请求，以得到认证信息(第二认证信息)。

该第二认证信息构成在认证中的“装置因素”，且其生成对用户是先验地透明的，这是因为其不干预该第二认证信息的生成(与步骤E20中发送的访问请求中插入的第一认证信息相反)。

第二认证信息例如由数据网络26中的安全装置16(分别地18)的地址构成，即网关地址24。

而且，在步骤E40中发送的请求可简单地在于向安全装置16(分别地18)要求肯定响应(确认)，以保证安全装置16(分别地18)总是被连接到数据网络(通过网关24为中介)。

在另外的实施方式中，可在管理器和安全装置之间实施质询-响应机制，以保证不与模仿安全装置的存在的恶意装置保持连接，以加强认证安全性。

在变化形式中，安全装置例如以规律的方式向管理器自发发送认证信息。

在变化形式中，第二认证信息可包括使能够认证安全装置16(分别地18)的代码。

该代码例如为单独使用的代码和/或在时间有效期内的代码(TOTP，Temporary One Time Password，临时一次性口令)，其在安全装置16(分别地18)中生成，例如在安全装置16(分别地18)安置有这种组件时通过安全组件生成。

该代码任选地基于与管理器34共享的密钥，例如在步骤E10的连接建立时，共享密钥已被交换。在变化形式中，可与服务28共享该密钥。

实际上，由于Diffie-Hellman(DH)技术，密钥的建立可在通信会话初始化阶段产生。在变化形式中，可在与用户帐户的关联阶段期间通过安全装置供应商或通过服务供应商建立密钥(见图3)。

密钥例如可被存储在安全装置的安全组件中。

在实施方式中，第二认证信息可同时包括局域网地址和前述代码。

在可选的步骤E45中，安全装置16(分别地18)可任意地控制对用户的确认(例如通过键盘或指纹传感器)，以将对请求的响应发送给管理器34。

由于该可选的确认向管理器保证用户在安全装置16(分别地18)的附近，其构成认证的补充因素。

安全装置16(分别地18)在步骤E50中对管理器34发送的认证请求进行响应。

其响应可具有肯定响应和/或消息形式，肯定响应的原始地址为网关24的地址，消息包括临时代码(或另外的信息使能够根据管理器34认证安全装置16)。

在接收安全装置16(分别地18)的响应后，管理器可从响应提取原始地址并验证其与步骤E30中在验证请求中接收的访问请求原始地址之间的对应。

在变化形式中，管理器可将响应的原始地址传送给服务28，以验证其与访问请求原始地址的对应。

在该情况下，在步骤E50中由服务请求的信息对应于由安全装置发送的第二认证信息。

在安全装置16(分别地18)已向认证器发送代码的情况下，如果代码基于这种密钥，管理器34例如通过使用共享密钥验证该代码。

管理器34接下来向服务28发送消息(步骤E60)，以使其知道这些地址和代码是否具有预期值。

根据消息内容，服务28认证或不认证用户。例如，如果消息通知服务28对应地址和代码有效，服务28认证用户并在步骤E70中发送访问认证，以能够使用户例如通过安装在其询问装置70中的浏览器访问其用户帐户。

在变化形式中，管理器可直接向服务28传送代码，以验证代码的有效性。

在该情况下，在步骤E50中由服务请求的信息对应于由安全装置发送的第二认证信息。

在本发明还揭示的一些实施方式中，各个服务本身管理安全装置(无管理器34)。在这些实施方式中，服务本身实施由管理器34在前述实施例中实施的步骤。

更具体地，在这些实施方式中，安全装置在步骤E10中连接于服务28。

在通过询问装置10对访问请求的接收(步骤E20)之后，服务28在步骤E30在数据库32中验证安全装置已被关联于用户帐户。

如果是这这种情况，服务在步骤E40中直接向安全装置发送信息请求，以得到第二认证信息。在步骤E50，服务接收笫二认证信息作为响应。

在步骤E60中例如通过与数据库32相配合来验证其有效性，然后在认证信息完全具有预期值时处理对用户的认证。

在该情况下，服务28在步骤E70中发送访问认证，并使用户通过安装在其询问装置10中的浏览器访问其用户帐户。

在所有情况下，服务28在如下因素被验证时认证用户：

-包含在步骤E20接收的访问请求中的第一认证信息有效，和

-访问请求的源地址与对来自管理器34的请求的安全装置16(分别地18)的响应间的对应，和/或

-由安全装置16(分别地18)发送的代码有效。

本发明还揭示了结合上述不同实施方式的实施方式。例如，在一种实施方式中，服务实施用户帐户与安全装置的耦合，但是委派管理器处理信息，又或在一种实施方式中，由管理器实施耦合，但是服务处理全部认证数据，管理器仅在该情况下负责得到根据不同安全装置要求的信息。

图3示意性示出根据本发明实施方式的安全装置16(分别地18)与用户帐户的预先关联。其于此处参照图1的装置。

该关联阶段的目的在于将用户帐户与由用户使用的装置除外的一个或多个装置相耦合，以访问服务，以便构成认证补充因素和使用户认证更安全。主要通过服务来实施耦合，又或通过与管理器合作。

最后一种情况表示于图3，而接下来描述两种情况。

在步骤E0中，询问装置10向数据网络26的服务28发送访问请求。该步骤与参照图2描述的步骤E20相似。对该服务28的访问在询问装置10的使用者只在对于该服务成功认证的情况下是可能的。实际上，用户可开启安装在询问装置10上的浏览器中的网页，该网页能够联系web服务28。通过网页，其提供认证信息且将请求中的该信息发送给服务28。

该认证信息可与参照图2描述的第一认证信息相似或可为不同性质的。在所有情况下，其使服务28识别用户且其向服务28提供用户参与请求。

服务28与数据库32相配合，服务28提取和认证包括在请求中的信息。

为此，服务28可验证在关联于呈现在访问请求中的识别码的用户帐户和认证信息(例如口令、数字指纹、视网膜)之间的对应。

在成功的情况下，即如果认证信息有效地对应于相关的用户帐户，服务28向询问装置10传送访问认证，这能够使用户访问服务28的其用户帐户。

在该阶段，不能激活用于该用户帐户的多因素认证。因此改变用户帐户的参数，以激活该更加安全的认证。

在变化形式中，帐户已由多因素认证参数化，在该情况下的概念有利地增加了用于访问服务的请求安全性的级别。

在所有情况下，其增加了来自用于请求访问服务所使用的询问装置10以外的装置(16或18)的认证补充因素。为了可能，需要耦合或关联该另外的装置(安全装置)与相关的用户帐户。

为此，用户向询问装置10输入或读出在使用过程中的用户帐户和安全装置16(分别地18)之间的耦合代码。耦合代码的输入(写入或语音)已参考图2被详细描述。

耦合代码已存在于数据网络的数据库中，例如管理器34的数据库36和/或服务28的数据库32中，以在所述适当关联之前由管理器34和/或服务28进行验证。

在步骤E4过程中，询问装置10向服务28传送输入或读取的耦合代码。

在该耦合代码的接收中，服务28产生耦合的激活请求，以到达管理器34。在该阶段，耦合代码不被持久地存储在数据库32中。可暂时存储在例如与服务28相连接的活存储器中。

该激活请求包括在步骤E4中由询问装置10接收的耦合代码且旨在激活在安全装置16(分别地18)和正在使用中的用户帐户之间的关联。

在用户即将尝试连接服务28时，该关联能够考虑来自在用户帐户认证中的安全装置16(分别地18)的补充认证信息。

换句话说，该耦合导致对认证中的补充因素的考虑，以有利地保证从用户帐户对服务访问的安全性。

在步骤E6中，服务28向管理器34传送激活请求。

在耦合代码已被并行发送给管理器34的情况下，在对于在步骤E6中通过服务28发送的激活请求的接收后，管理器34可通过验证在请求中接收的代码对应于另外接收的代码而执行补充控制。如果这些代码不对应，方法停止且不发生耦合。

在具体实施方式中，管理器34还验证安全装置16已被连接。如果安全装置不被连接，该验证可在一些方式中阻止关联。

管理器34在关联的数据库36中记录与安全装置16(分别地18)的识别码相关联的耦合代码和已发送激活请求的服务28的识别码。

管理器34接下来向服务28返回(步骤E8)消息，以证实在使用的用户帐户和安全装置16(分别地18)之间的耦合是被激活的，换句话说，安全装置已被关联于用户帐户。

对于在步骤E6中发送的激活请求的响应消息的接收，服务28在数据库32中记录与用户帐户相关联的耦合代码。

在该实施例的变化形式中，服务本身可生成安全装置与用户帐户的关联。为此，服务本身激活关联，然后将必要信息记录在相关联的数据库32中。

典型地，在该变化形式中，耦合代码直接对应于安全装置识别码。数据库32可在变化形式中存储在耦合代码和安全装置识别码之间的对应表。

此后，为了认证用户帐户的使用者，服务28将得到其使用的询问装置10方的用户认证信息(见前述的步骤E20)，以及耦合于用户帐户的安全装置16(分别地18)方的认证信息(见前述的步骤E50)。

前述实施例仅为本发明的非限制性的实施方式。