CN101467387A

CN101467387A - 基于时间和事件的一次性密码

Info

Publication number: CN101467387A
Application number: CNA2007800214969A
Authority: CN
Inventors: D·姆雷希
Original assignee: FLISAEN Co
Current assignee: FLISAEN Co
Priority date: 2006-04-21
Filing date: 2007-03-27
Publication date: 2009-06-24
Also published as: AU2007243649A1; US9258124B2; EP2016703A2; WO2007126763A3; JP2009534742A; CA2649686C; US20070250923A1; KR101527226B1; EP2016703A4; EP2016703B1; KR20080112386A; HK1203714A1; CA2649686A1; AU2007243649B2; CN104135369A; WO2007126763A2

Abstract

一种根据值TEC来产生一次性密码(OTP)的系统和方法，所述值TEC可根据事件的发生以及经过的时间来改变。OTP可以在令牌上被计算并且被发送至证实者。证实者保存了用于从包括TEC的令牌中计算一个或多个预期OTP所需要的准确或估计参数。值TEC可以在令牌与证实者之间进行同步。

Description

基于时间和事件的一次性密码

相关申请

本申请涉及2004年10月15日提交的美国临时专利申请60/618,600以及2005年10月17日提交的PCT申请PCT/US05/37113。

发明领域

本发明的领域是认证(authentication)，尤其是使用一次性密码的认证。

发明背景

用户可以利用保存了只与认证服务共享的秘密的令牌来被认证。该令牌根据共享秘密以及其他值来为每一次认证产生一次性密码(“OTP”)。当在认证服务上接收到OTP时，该服务计算至少一个预期OTP值，并且将其与接收到的OTP值相比较。如果它们匹配，则用户通过认证。否则用户未通过认证。

根据共享秘密以及随时间函数改变的值，可以自动并周期性地产生OTP。例如，在每一分钟都可以根据共享秘密以及与天的日期和时刻相应的值来自动产生新的OTP。认证服务根据共享秘密以及某个日期/时间值范围来计算一系列预期OTP，其中所述日期/时间值范围意味着包含了令牌上使用的日期/时间值。这会考虑在令牌时钟与服务时钟之间的、导致令牌与服务失去同步的任何漂移。如果服务计算的OTP之一与接收到的OTP匹配，那么用户通过认证。由于用以计算OTP的其中一个参数会随着时间改变，从而导致其很难猜测，因此安全性得到增强。

OTP可以根据共享秘密以及事件特性来计算。例如，事件特性可以是用户每次按下令牌上的按钮时递增的计数器值。认证服务根据共享秘密以及该计数器值来计算OTP范围，其中该计数器值始于令牌上的最后一个已知计数器值。这考虑了那些导致未被发送至服务的OTP的按钮按压(button-pushes)。如果在服务上计算的OTP之一与接收到的OTP相匹配，则用户通过认证。

已知了很多种用于产生OTP的算法，包括在RFC4226中规定的HOTP算法。下列符号可以在描述HOTP算法的过程中使用。

符号表示

- - - - - - - - - - - - - - - - - - - - - - - - - - - -

C 8字节计数器值，移动因子。这个计数器必须在HOTP生成器(证明者)与HOTP验证器(证实者)之间被同步。

K 证明者与证实者之间的共享秘密；每一个HOTP生成器都具有不同并且唯一的秘密K。

Digit HOTP值中的数字数量；系统参数。

HOTP算法是以递增的计数器值以及仅仅为令牌和验证服务所知的静态对称密钥为基础的。为了创建HOTP值，我们将会使用如RFC2104中定义的HMAC-SHA-1算法。由于HMAC-SHA-1计算的输出是160比特，因此，我们必须将这个值截断成某个可以易于被用户输入的值。

HOTP(K，C)＝Truncate(HMAC-SHA-1(K，C))

其中“Truncate”代表可以将HMAC-SHA-1值转换成HOTP值的函数。密钥(K)、计数器(C)以及数据值首先可以是被散列的高阶字节。由HOTP生成器产生的HOTP值可以被视为大端字节序(big endian)。

产生OTP可以分以下四个步骤来进行。

步骤1：产生HMAC-SHA-1值

假设HS＝HMAC-SHA-1(K，C)//HS是一个20字节字串

步骤2：产生一个4字节字串(动态截断)

假设Sbits＝DT(HS)//DT，如下定义的DT返回31比特字串

步骤3：计算HOTP值

假设Snum＝StToNum(Sbits)//将S转换成0...2^{32}-1中的数字

返回D＝Snum mod 10^Digit//D是范围0...10^{Digit}-1中的数字

截断函数可以执行步骤2和步骤3，也就是动态截断，然后，该函数可以执行以模10^Digit为的减法模数计算。这种动态偏移截断技术可以从160比特(20字节)的HMAC-SHA-1结果中提取4字节的动态二进制码。

DT(String)//String＝String[0]...String[19]

假设OffsetBits是String[19]的低阶4比特

Offset＝StToNum(OffsetBits)//0<＝OffSet<＝15

假设P＝String[OffSet]...String[OffSet+3]

返回P的最后32个比特。

屏蔽P的最高有效位，可以避免有符号和无符号的模数计算的冲突。不同的处理器可以采用不同方式来执行这些运算，此外，通过遮住有符号的比特，可以消除不确定性。

RFC4226需要实施的是，提取至少6个数字码并且可能地提取7和8个数字码。在不同的环境中有可能会违反这个需要，但是结果未必与该RFC相符合。取决于安全需要，为了提取更长的HOTP值结果，应当考虑Digit＝7或是更多。

在这里给出了一个将这种技术用于Digit＝6的实例，也就是从HMAC值中计算6数字的HOTP值。以下代码实例描述了在hmac_result是具有HMAC-SHA-1结果的字节阵列的情况下动态二进制代码的提取：

int offset＝hmac_result[19]& 0xf；

int bin_code＝(hmac_result[offset]& 0x7f)<<24

|(hmac_result[offset+1]& 0xff)<<16

|(hmac_result[offset+2]& 0xff)<<8

|(hmac_result[offset+3]& 0xff)；

SHA-I HMAC Bytes(例子)

------------------------------------------------------------

|Byte Number |

------------------------------------------------------------

|00|01|02|03|04|05|06|07|08|09|10|11|12|13|14|15|16|17|18|19|

------------------------------------------------------------

|Byte Value |

------------------------------------------------------------

|1f|86|98|69|0e|02|ca|16|61|85|50|of|7f|19|da|8e|94|5b|55|5a|

-------------------------------***********----------------++|

最后一个字节(字节19)具有十六进制值0x5a。

较低的4个比特的值是0xa(偏移值)。

偏移值是字节10(0xa)。

始于字节10的4个字节的值是0x50ef7f19，它是对称二进制码DBC1。

DBC1的MSB是0x50，因此DBC2＝DBC1＝0x50ef7f19。

HOTP＝DBC2模10^6＝872921。

动态二进制码可以被视为一个31比特的无符号的大端字节序整数；第一个字节是用0x7f屏蔽的。然后，将这个数对1,000,000(10^6)取模，以便产生6位数字的十进制HOTP值872921。

使用计数器值作为输入来计算OTP的一个缺点是它有可能会长时间保持不变。例如，如果用户数月没有使用其令牌，那么计数器值会在使用中间的整个时段中持续保持在相同的值。在某些环境中，这会允许第三方有足够时间来分析令牌，猜测计数器的确切或近似值，并且有可能会危及认证系统的安全性。

附图简述

图1示出一个根据本发明实施例的设备。

图2示出根据本发明实施例的方法。

详细描述

根据本发明的实施例，计数器值C可以作为时间函数来改变。关于时间的任何适当函数都是可以使用的。基于事件的发生并且基于时间的流逝而改变的计数器C被称为基于时间和事件的计数器或TEC。例如，

TEC＝F(X，Y，W，Z)

其中F是任何适当的函数或其他映射，X是TEC的基于时间的增量的大小，Y涉及将增量X添加至TEC的频率，W是TEC的基于事件的增量的大小，Z是在将TEC增加W之前需要发生的事件发生的次数。应该指出的是，X和W可以是正数或负数，并且一般来说，TEC可以是整数或是其他任何类型的适当的数。例如，在证明者(例如令牌)和证实者(例如认证设备)这两方，TEC可以每Y秒增加X。同样，TEC可以在每当事件E或是来自事件集合{E}的事件发生Z次的时候增加W。实际OTP值可以在发生了增加TEC的事件之后在令牌上被计算。例如，在如下所述的背景中，TEC可以每60秒增加1。

时间事件 TEC OTP计算

23:41:00 无 341 无

23:42:00 无 342 无

23:43:00 无 343 无

23:43:17 按下按钮 344 872921

23:44:00 无 345 无

这个实例示出是一个用于增加TEC的线性函数，但是任何用于X和Y的适当函数或映射都是可以使用的。

X＝G(X_i)，i＝1，2，...

Y＝H(Y_j)，j＝1，2，...

X_i和Y_i可以是数字或变量。例如，X可以是共享秘密的函数的对8的模，Y可以等于在证明者和证实者上产生的伪随机数的对10的模。X和/或Y可以基于先前OTP计算的中间或最终结果，所述OTP计算例如使用从为在先OTP所计算的完整值、例如截断之前的值中得到的最后一个字节的全部或者部分。例如，先前HMAC计算的最后一个字节(字节19)可以在每次计算之后加以存储并且可以用于这个目的。

X和Y也可以采用其他方式来确定。举例来说，Y可以基于一个系统参数、例如在证明者方的时钟值。不同的令牌族可以具有不同的时间步长。用于访问银行账户的令牌可以以Y的较小值例如2或3分钟工作，但是用于访问电子邮件账户的令牌可以以一个较大的值例如30分钟来工作。

在证明者和证实者这两方，TEC都可以“在后台”增加。任何适当的事件都可以触发TEC的增加和OTP的计算。例如，当按下了令牌上的按钮时，可以在令牌上计算OTP值。同样，令牌可以是“软令牌”，所述“软令牌”被实施为在移动电话中、在PC上运行的应用等等中的java小应用程序。在这些情况下，触发OTP计算的事件可以包括：按下手机键盘或计算机键盘上的指定按键，按下某个按键序列，按下特殊按钮，生物扫描等等。同样，OTP可以通过如下方式来触发：在屏幕显示上的图形用户界面中选择工具栏上的项目，选择下拉菜单上的项目，激活应用程序，激活应用程序的某个特征，或是其他任何适当的事件。

在证明者一端，TEC的初始值可以是1或是其他任何适当的值。TEC的初始值可以由用户设置、由认证服务设置、由应用程序设置、由已授权的第三方等等来设置。当设置了证明者一端的初始值时，该初始值(或是足以推导出该初始值的信息)应该被发送到证实者。这样，证实者可以将其关于证明者的TEC值与证明者自身的C值同步。如果没有重新设置TEC，那么可以为TEC值规定一个默认值。可以采用相同的方式来为X和Y设置初始和默认值。这些初始值可以作为证明者与证实者之间的秘密来保持。

证明者和证实者应该被同步，并且还可能被再同步。在一个实施例中，当令牌被激活时，时钟可以开始增加TEC。在另一个实施例中，在制造令牌的时候，时钟可以开始增加TEC；在以验证服务激活令牌的时候，可发生再同步过程。在这里可以有简单的处理来启动时钟、增加所述值以及计算OTP值，例如将按钮按下整5秒、在三秒内将按钮按下四次等等。证实者可以基于该证实者最近得知的证明者的TEC值以及证实者所知的当前时间来为指定证明者计算一组候选OTP。这些最近已知的值附近的范围可以被使用。如果证实者计算得到的OTP与从证明者接收的OTP相匹配，那么证实者可以更新和存储用于TEC的值和用于该证明者的时间。

根据本发明的实施例，通过根据事件的出现来增加TEC值，以及通过根据经过的时间来增加该值，可以产生OTP。这个OTP可以根据TEC来确定。该OTP也可以根据TEC以及附加的值“AV”被计算。这个附加的值AV可以是共享秘密，例如密码加密密钥、密码等等。AV可以基于秘密和公共信息。这种公共信息可以是一个质询、一个问题等等。TEC可以根据诸如按下按钮、选择对话框、满足某个条件(例如正确回应某个质询)等等的任何适当事件的出现而递增。经过的时间可以由一个值T来量度，其中对每一个应用来说，所述值可以是不同的。TEC可以在T秒、T分钟等等之后递增。此外，该TEC还可以增加某个值TI，其中在T秒之后，TEC可以增加TI。例如，在T＝60秒之后，TEC可以增加TI＝1。TEC可以借助值EI被控制，其中在每一次发生事件E之后，TEC可以增加EI。例如，在用户按下按钮之后，TEC可以增加EI＝3。在一个实施例中，一次性密码是利用RFC4226中规定的算法来计算的。

根据本发明的实施例，用户可以通过连接至激活网站来激活令牌。该激活网站可以使用任何适当的技术来认证用户，例如通过请求和证实用户名及密码来进行认证。用户还可以提供任何适当的附加信息，例如令牌标识符、令牌序列号、相关的证书等等。该信息可以(与令牌产生并且发送至激活的网站的一个或多个OTP值一起)被用于证明所述用户实际具有该令牌的事实。由此，所述令牌(例如令牌标识符)可以与特定用户(例如用户名)相联系，并且可以例如根据由令牌时钟产生的数据在令牌中发起时间值的存储和/或更新。作为替换，时钟信号可以源于令牌外部。该时间值可以帮助证实者来确定用户获取OTP值的时刻与证实者一端接收OTP值的时间之间的时间差。

本发明的一个实施例还可以根据计数器(C)、密钥(K)和附加的值(AV)来计算HOTP值。附加的值AV可以基于私有秘密(例如私钥)、共享秘密(例如密码)或是秘密(私有或共享的)与某些公共信息的组合。公共信息是非共享或私有秘密的任何信息。公共信息的一个实例是用户标识符、质询、问题的答案等等。

在这里可以为令牌或令牌组设置一个时间窗。当在证实者(在令牌上)实际产生OTP与接收OTP值之间经过的时间长于为特定令牌或令牌组设置的时间窗时，可发生令牌的再同步。当令牌关闭时，例如当手机、PC等等上的软令牌关闭时，必须将软令牌值与证实者值进行同步。假设具有软令牌的设备在时间T0被关闭并且一直处于休眠直至其在时间T1再次开启。假设t是将TEC增大EI的时间段。例如，值TEC每t秒即被增加EI。再同步可以如下地被执行：

1-计算T＝T1-T0

2-计算Count＝Floor(T/t)*EI

3-将TEC增加Count

4-再同步令牌时钟(相对于差(differential)T)。

在这个再同步过程之后，TEC通常每隔t时间段增加EI。

另一种基于TEC的再同步方法可以在证明者可发送OTP值以及其他信息、尤其是TEC值的时候被使用。证明者可以发送其OTP(表示为OTP.prover)以及TEC(表示为TEC.prover)值，并且OTP可以充当TEC的短消息认证码。

证实者可以在由TEC的作为系统参数的上限值(表示为TEC.bound)所确定的某个值范围内进行再同步。

如果下面的情况全都成立，那么证实者可以接受OTP，其中TEC.verifier是证实者的与证明者相关联的当前TEC值。

1.证明者可以发送OTP.prover和TEC.prover

2.证实者可以检查TEC.prover≥TEC.verifier

3.证实者可以检查(TEC.prover-TEC.verifier)≤TEC.bound

4.证实者可以检查OTP.pover对于TEC.prover而言是正确的

5.如果成立的话，证实者可以将TEC.verifier设置成TEC.prover

在这个再同步过程之后，TEC通常会在每当经过t时间段时增加EI。同样，相同或相似的协议也可以用于在证明者一端再同步TEC值。

即使装置没有关闭，该装置上的时钟也有可能会偏离与其他时钟例如证实者一端的时钟同步。一种在没有来自最终用户的特殊干预的情况下进行再同步方法是保持一个围绕正常TEC值的“窗口”。当证实者接收到来自令牌的OTP、例如在令牌上计算并被发送至证实者的OTP的时候，它可以根据其为发送令牌而存储的参数、例如该令牌的当前事件发生数量(例如在令牌上按钮被按下的次数的数量，所述数量例如基于由证实者迄今为止接收的关于该令牌的OTP证实请求的数量)、时间等等来计算预期的TEC值。如果认定其存储的参数相对于在令牌上用以产生OTP的参数而言稍不精确，那么证实者可以根据这些参数的预期幅度附近的参数幅度范围来计算若干个候选OTP。举例来说，证实者可以检查OTP，如果它不正确，则计算针对C+1、C-1、C+2等等的OTP，直至发现匹配或是超出窗口大小(例如在所预期的C的正负10以内)。

证实者可以实施不同的安全性等级：

1-简单地接受这个窗口中的OTP值；或者

2-要求用户提供另一个OTP(即使时隙是相同的，但由于按下按钮(导致事件发生)将会修改计数器值并且产生与先前OTP不同的OTP，因此该OTP将是不同的)；或者

3-以不同方式接受对于某些动作的OTP，拒绝对于其他动作的OTP，最终也接受前2-3个再同步，然后则请求另一个OTP、建议替换令牌和/或向技术支持告知存在与特定用户的同步问题等等。

在图1中示出了一个根据本发明实施例的系统。令牌101可以包括与存储器103、显示器104、时钟105以及按钮106相耦合的处理器102。存储器103可以存储数据107，例如密码之类的共享秘密、个人标识号码(PIN)、密码加密的密钥等等。存储器103还可以存储计数器C和基于公共信息的值。此外，存储器103还可以存储指令108，所述指令适于由处理器102执行以实现根据本发明的方法的至少一部分。

处理器102可以是在其硬件和/或固件中实施了本发明的方法的至少一部分的通用微处理器或专用集成电路。关于通用处理器的一个实例是由Santa Rosa，California的Intel公司制造的Pentium IV处理器。关于ASIC的一个实例是数字信号处理器。

存储器103可以是任何能够存储器电子信息的装置。关于存储器103的实例包括随机存取存储器、只读存储器、电可擦写可编程只读存储器、闪存存储器、硬盘、CD等等。此外还存在可以存储指令107和数据(例如秘密、计数器值等等)的介质的实例。

按钮106可以是任何能在被按下或以其他方式被用户激活的时候发送信号的装置。关于按钮的实例包括膜片开关、压力传感器、生物读取器、压力开关等等。

时钟105可以是适于指示所经过的时间的任何设备。时钟的实例包括发出公知频率的石英晶体，所述公知频率可被用作随时间来以一致的方式改变变量值的基础。在本发明的某些实施例中，令牌101并未包括时钟105，而是从令牌101外部的信源接收定时信号。

显示器104可以是能向用户显示信息、例如文字数字信息的任何装置。显示器104的实例包括液晶显示器、TFT显示器、等离子显示器等等。该显示器104还可以向用户显示OTP。

在图2中示出了根据本发明实施例的方法。在步骤201，值C被分配一个初始值，并且时间T被设置成零。在步骤202，如果确定发生了事件E，则在步骤203将C增加数量B，并且在步骤204中计算OTP。如果确定未发生事件E，则在步骤205确定是否经过了时间量T。如果经过了时间T，则在步骤206将C增加数量B，并且在步骤207将T复位成零。

以上描述旨在解释而不是限制本发明的范围。本领域技术人员将会了解，权利要求包含了前述实例之外的众多变化。

Claims

1.一种用于产生一次性密码的方法，包括：

根据事件的发生以及经过的时间来增加值TEC；以及

根据TEC来确定所述一次性密码。

2.根据权利要求1所述的方法，其中所述一次性密码进一步根据附加的值来确定。

3.根据权利要求2所述的方法，其中所述附加的值以共享秘密为基础。

4.根据权利要求2所述的方法，其中所述附加的值以共享秘密和公共信息为基础。

5.根据权利要求1所述的方法，其中所述事件是按压按钮。

6.根据权利要求1所述的方法，其中所述事件是选择对话框。

7.根据权利要求1所述的方法，其中所述事件是满足条件。

8.根据权利要求1所述的方法，其中，在T秒之后，使TEC增加。

9.根据权利要求1所述的方法，其中，在T秒之后，使TEC增加TI。

10.根据权利要求1所述的方法，其中，在发生事件E之后，使TEC增加EI。

11.根据权利要求1所述的方法，其中根据RF4226中规定的算法来计算所述一次性密码。

12.一种用于产生一次性密码的设备，包括被构造和设置成根据经过的时间以及事件的发生使TEC增加并且根据TEC来计算一次性密码。

13.根据权利要求12所述的设备，进一步包括与处理器相耦合的存储器和显示器。

14.根据权利要求13所述的设备，其中所述处理器进一步被构造和设置成使显示器显示所述一次性密码。

15.根据权利要求12所述的设备，其中，所述处理器被构造和设置成在所述处理器检测到经过T秒的时候将TEC增加TI。

16.根据权利要求12所述的设备，其中所述处理器被构造和设置成在所述处理器检测到事件E发生的时候将TEC增加EI。

17.根据权利要求12所述的设备，其中所述处理器被构造和设置成根据RFC4226中规定的算法来计算所述一次性密码。

18.一种存储了指令的介质，其中所述介质适于由处理器来执行，以便根据基于事件的出现和经过的时间来增加的值来计算一次性密码。

19.根据权利要求18所述的介质，其中所述一次性密码是根据附加的值来计算的。