CN101999132A - 在服务器凭证验证时生成一次性口令和签名的强认证令牌 - Google Patents

Abstract

本发明定义了一种强认证令牌，其通过以下步骤来补救对特定类型的社会工程攻击的脆弱性：在生成一次性口令或交易签名前，对服务器或声称来自服务器的消息进行认证；以及在生成交易签名的情况下，不仅签署交易值而且还签署交易上下文信息，并且在生成所述交易签名前，使用可信赖的输出和输入装置来向用户呈现所述交易值和交易上下文信息，用以用户检查和批准。此外，该强认证令牌通过对要签署的交易数据进行明智编码来提供该认证和检查功能，而无需牺牲用户方便性或成本效益，从而减小必须通过令牌的可信赖接口交换的信息的传输量。

Description

在服务器凭证验证时生成一次性口令和签名的强认证令牌

技术领域

本发明涉及确保通过计算机网络远程访问计算机和应用程序以及远程交易的安全。更具体地，本发明涉及使用未连接至计算机的独立装置，在验证服务器凭证时生成用于对用户进行认证的一次性口令和用于表示交易批准的交易签名。

背景技术

随着对计算机系统和应用程序的远程访问渐渐变得普及，通过诸如互联网的公用网络远程访问的交易的数量和种类已显著增长。该普及强调了对安全的要求；特别是：如何确保正远程访问应用程序的人是他们所声称的人，如何确保正远程进行的交易由合法个体发起，以及如何确保交易数据在应用服务器处接收前未被改变。

过去，应用提供方依赖于为远程应用提供安全的静态口令。近年来，显然静态口令已不再足够，而且需要更先进的安全技术。

公钥基础设施(PKI)提供了一种解决与通过公用网络远程访问计算机系统和应用程序相关联的安全问题的方式。使用公钥基础设施，使公-私密钥对与每个用户相关联。密钥对与将公-私密钥对绑定于特定用户的证书(由可信赖的证书授权机构发布)相关联。借助于非对称密码技术，可以使用该公-私密钥对来对用户进行认证、签署交易、以及建立加密通信。

为了保证足够的安全级别，必须遵循，每个用户的私钥保持保密，并且仅能够由与该密钥相关联的合法用户访问，以创建签名或对消息进行解密。这通常依赖于智能卡或专用的通用串行总线(USB)装置(有时称为USB密钥或USB令牌)，以存储公-私密钥对和证书并执行涉及私钥的密码计算。

存在一些与持有PKI密钥和证书的智能卡和PKI相关联的缺点：

1.当与竞争的安全技术相比时，构建公钥基础设施一般是复杂的，

并因此较昂贵。

2.由于PKI密码和签名的量大并且不容易被转换成人可读的形式，因此，在客户机与服务器之间存在数字连接的情况下，PKI固有地受环境和应用限制。换句话说，在不能在一方的PKI证书和私钥的贮存器(container)与另一方的应用服务器之间提供数字连接的情况下，PKI不适合于电话银行业务或其他交付渠道。

3.PKI智能卡和USB令牌没有内置电源或用户接口。因此，PKI智能卡和USB令牌依赖于将电能提供给卡的接口系统的存在，其中，该接口系统能够与该卡数字地交换数据并且能够与用户交互(例如，采集该卡的PIN并呈现应该被签署的数据)。USB令牌通常被插入PC的内置USB端口中，其中，USB端口为USB令牌供电，并且连接至PC的人机接口装置提供用户交互能力(连接的USB令牌模型)。通常，借助于配备有简易的智能卡读取器的PC来操作PKI智能卡，其中，该读取器仅为智能卡供电并使得能够在PC上的应用程序与所插入的智能卡之间进行通信，从而连接至PC的人机接口装置提供用户交互能力。自身没有可信赖用户接口的这类读取器通常被称为透明卡读取器。由于大多数PC未预先配备有智能卡读取器，并且用于USB令牌读取器的驱动程序的自组(ad-hoc)安装太麻烦，因此，这些典型的使用模型降低了用户的移动性。还存在安全问题：所有用户交互(诸如，批准签名或采集卡的PIN)都在固有不安全的PC上进行。

另一种途径包括：将提供安全功能的软件应用程序添加到诸如用户的PC的通用装置、或移动装置(例如，移动电话或PDA)。与该途径相关联的主要问题在于，通用装置具有使它们易受诸如病毒和特洛伊(Trojan)的各种恶意软件影响的固有开放式体系结构，其中，各种恶意软件可以向用户呈现假消息，或者采集用户在小键盘上输入的任何数据，或者读取存储器中与安全应用程序相关联的敏感数据或在签署数据前改变数据。因此，通用装置不会被认为具有可信赖的用户接口，并且不具有用于存储诸如PIN值和密码密钥(cryptographic key)的秘密(secret)的安全装置。此外，用于移动装置的已知解决方案依赖于用于接收和/或发送交易数据的无线用户网络。这类网络在适当的位置具有内部安全和端点认证机制，其中，当互联网用于所有传输时，不能假设其存在。

通过“强认证令牌装置”提供用于认证和交易签名能力的可选技术，其避免了基于通用装置的解决方案的安全问题以及PKI智能卡和USB令牌的安全、安装和互连问题。强认证令牌的典型实例是由Vasco Data Security公司商品化的

线路的产品(参见网站http://www.vasco.com)。强认证令牌是自备电池供电装置，专用于提供认证和交易签名功能，通常为口袋大小，本身具有显示器和小键盘。在某些情况下，小键盘被减少为单个按钮，或者甚至完全省略，在其他情况下，小键盘可以是整字键盘。典型强认证令牌的显示器和小键盘是不能移动的且用户不能使用的，完全由令牌控制，并且不受恶意软件对主机的干扰的影响。因此，与例如总是存在以下可能性的PC相比，强认证令牌被认为具有可信赖的用户接口：诸如病毒或特洛伊的恶意软件向用户呈现假消息，或者采集用户在小键盘上输入的任何数据，或者读取存储器中与安全应用程序相关联的敏感数据或在签署数据前改变数据。强认证令牌的主要目标在于生成一般称为“一次性口令(OTP)”的动态安全值。通常，通过将令牌和验证服务器之间共享的秘密与提供给令牌的动态值(诸如，时间值、计数器值或服务器质询)或者这些值的组合密码地结合来生成这些OTP。一些强认证令牌还可以使用已提供给令牌的数据(诸如，交易数据)作为动态值或者与上述的任意动态值结合，以生成安全值。在这些情况下，所得到的安全值意思是表示用户对数据的批准，并且该安全值通常被称为电子签名或消息认证码(MAC)。一些强认证令牌包括具有显示器和小键盘的装置，其能够与所插入的智能卡进行通信，从而通过该装置本身并且部分地通过所插入的智能卡来部分地完成OTP或MAC的生成。

将数据提供给强认证令牌的典型方式是通过让用户在令牌的小键盘上手动输入数据。当必须以这种方式输入的数据量超过几十个字符时，用户经常意识到处理太麻烦。为了减轻用户的负担，已设计了输入数据不需要用户在令牌的小键盘上手动输入所述数据的解决方案。一个实例是如下解决方案：其中，令牌包括用于接收通过像例如无线电网络或移动电话网络这样的带外通道发送的数据的接收装置(US 566887616/09/1997)。这类带外解决方案的缺点是与支持所述带外通道的技术相关联的额外复杂性和成本、以及对所述带外通道的使用的利用率和成本的依赖性。另一种解决方案包括允许借助于光学接口进行数据输入的令牌，从而用户保持令牌接近于显示变化的光学图样的计算机屏幕。这类光学令牌的实例是由Vasco Data Security提供的Digipass 700和Digipass 300、以及在EP 121184105/06/2002、EP 178850923/05/2007、US 513664404/08/1992中描述的令牌。

用于将所生成的OTP或MAC传送给要保护的服务器或应用程序的最通用且实用的机制是，通过将令牌所呈现的所述安全值手动复制到计算机中，并且使用与用户和正保护的计算机系统或应用程序之间的其它交互相同的带内通道来将它们发送至服务器或应用程序。存在使用像例如无线电网络或移动电话网络这样的另一带外通道来传送安全值的其他解决方案。这类带外解决方案的缺点是与支持所述带外通道的技术和使用相关联的额外复杂性和成本。

具有光学数据输入接口的令牌的普遍问题是，需要较昂贵的部件来构建可以以高数据速率接收数据的接口。这是如下需要的结果：与刷新速率较低的典型计算机屏幕结合，在非常大范围的计算机屏幕质量和环境照明条件下可靠地工作。更划算的替选方案是使用低速光学接口，从而将有效地提交给令牌的交易数据限制为少量值。例如，在转账的情况下，通常将有效签署的交易数据仅限制为金额值和目的账号。这些值被作为交易类型呈现给令牌，而没有关于交易类型的任意上下文信息和交易值的确切含义，并且假设隐含地已知交易值的实际含义。

在特定类别的社会工程攻击中，可以与有时将相同令牌用于确保非常不同类型的应用和交易的安全的事实结合来利用该上下文信息的缺少，从而，攻击者说服合法用户利用其令牌来对应于明显合法且无害的交易签署攻击者呈现给用户的值序列，此后，攻击者在完全不同的交易或应用类型中提交从合法用户欺骗性地获得的相同值序列和签名。例如，为了保护转账，银行会要求用户利用其令牌签署要转账的金额的值和钱应该被送往的账户。想要欺骗性地将钱从受害者的账户转至攻击者的账户的攻击者可以通过以受害者没有将攻击者呈现给他们的、看上去合法的两个值与转账的金额和账号相关联的这种方式，欺骗受害者利用其令牌签署这两个值，来回避该签名保护机制。例如，攻击者会邀请受害者参与他们假定可以赢得某次出国旅行的一种抽奖。他们为了有赢的机会而需要做的唯一的事是通过签下离开日期(例如，表示为12-20-08的2008年12月20日)和参与者参考号(例如，1234-5678-9002)来生成并提交幸运号。受害者以签下值“122008”和“123456789002”结束，此后，攻击者将骗得的给账户123-4567890-02的1220.08美元的转账提交给银行。由于攻击者可以提交对与欺骗性交易相对应的值“122008”和“123456789002”的有效令牌签名，因此，银行接受该交易。

当前生成强认证令牌的另一问题在于，这些令牌将应用户的简单请求生成OTP。这使攻击者可以借助于假借口诱惑无疑虑的用户生成攻击者然后可以用来成功地进行认证的有效OTP并将其移交至在线应用。

发明内容

本发明基于以下理解：专用强认证令牌提供非常安全且通用的解决方案，以在这些专用强认证令牌提供针对上述社会工程攻击的解决方案的情况下，保护对计算机系统和应用程序的远程访问。本发明还基于以下理解：可以通过在生成一次性口令或交易签名前对服务器或声称来自服务器的消息进行认证，来补救强认证令牌对社会工程攻击的脆弱性；而且，在生成交易签名的情况下，通过不仅签署交易值而且还签署交易上下文信息，并且在生成所述交易签名前，将所述交易值和交易上下文信息呈现给用户，以使用户使用可信赖的输出和输入装置检查并批准，来补救强认证令牌对社会工程攻击的脆弱性。此外，本发明还基于以下理解：通过对要签署的交易数据进行明智编码，这种认证和检查是可行的而没有牺牲用户方便性或成本效益，从而减小了必须通过令牌的可信赖接口交换的信息的传输量。

本发明的目的在于提供一种方法和装置(或令牌)，用于：

1.仅应合法应用服务器的请求生成一次性口令和交易签名，

2.使用户利用可信赖的用户接口在安全装置上检查并签署包括交易值和上下文信息的交易数据，

3.由此，在该装置与服务器之间的所有数据交换可以按照对于用户而言方便的方式发生，并且可以实际上经由配备有键盘和显示器的任何客户计算机发生，而无需在客户计算机上安装任何硬件或驱动程序。

本申请公开了一种低成本的强认证令牌，用于创建用在客户-服务器交易中的一次性口令和/或交易签名(下文中，统称为安全值)，该强认证令牌包括用于向用户呈现信息的可信赖输出装置以及能够接收输入数据的数据输入装置，从而在仅需要低成本硬件的情况下以合理的时间帧高效地对输入数据进行编码，以将输入数据传送到令牌中，并且从而在验证服务器凭证时所述令牌生成安全值。使用令牌与服务器之间共享的秘密来生成所述安全值，并且使用令牌与服务器之间共享的另一(可选地，同一)秘密生成并验证所述服务器凭证。

在优选实施例中，借助于光学接口将输入数据输入至令牌。在其他实施例中，令牌可以具有用于接收输入数据的其他数据输入机构。所述其他数据输入机构可以包括用于手动地输入数据的诸如操纵杆、拨盘、跟踪球或类似装置的替选机构，或者可以包括通信机构和协议，诸如像USB或Firewire这样的电力个域网、或者音频连接、或者使用诸如蓝牙的无线电传输或诸如IRDA(红外数据协议)的红外传输的无线个域网。

在本发明的一组实施例中，令牌包括小键盘。在一个实施例中，该小键盘允许输入至少十进制数字。在另一实施例中，所述小键盘还允许输入十六进制数字或数字字母字符。在一些实施例中，所述小键盘包括用于指示用户批准或拒绝令牌所呈现的信息或选项的控制按钮、或者用于浏览菜单选项或令牌所呈现的信息的导航按钮。在其他实施例中，所述小键盘包括整字键盘。在一些实施例中，小键盘和光学接口这两者都可以存在，其中，在光学输入装置出故障的情况下，小键盘可以作为备用输入装置。

在本发明的一些实施例中，令牌的可信赖输出装置包括像例如液晶显示器(LCD)和/或一个或多个发光二极管(LED)这样的、例如用于指示某些安全状态或条件的显示器。在一个实施例中，令牌可以在显示器上显示文本。在实施例中，可以将所述文本显示为字符序列。在另一个实施例中，令牌可以在显示器上显示图标或象形图。在某个其他实施例中，令牌的可信赖输出装置包括像例如扬声器、耳机这样的音频输出装置、或者连接这类扬声器或耳机的、像例如1/8”音频插座或RCA音频插座这样的装置，以借助于所生成的声音将信息传递给用户。在一个实施例中，所生成的声音是音调序列。在另一个实施例中，所生成的声音包括合成语音。在另一个实施例中，所生成的声音是所存储的声音片段的再现。

在本发明的优选实施例中，令牌包括用于进行密码操作的诸如微处理器的装置、以及用于存储一个或多个秘密值(诸如，一个或多个PIN值或密码的秘密密钥)的诸如RAM、ROM或EEPROM存储器的装置。

在本发明的一个实施例中，输入数据可以包括质询。在本发明的另一个实施例中，输入数据包括包含交易值或交易上下文信息的交易相关数据。

在本发明的一个实施例中，进行服务期凭证的验证，以对服务器进行认证。服务器密码地生成可以由令牌密码地验证的服务器凭证。在一个实施例中，所述服务期凭证是使用至少一种对称密码算法、以及动态变量和在令牌与服务器之间共享的秘密的服务器认证密钥生成的一次性口令。这类对称密码算法的实例包括对称加密和解密算法(例如，DES、AES、Blowfish、IDEA、或Twofish)、或者对称消息认证码(MAC)生成算法、或者诸如HMAC或基于散列算法(例如，MD5、SHA-1、SHA-256、或其他已知散列算法)并包括共享秘密密钥的密钥散列算法。在一些实施例中，所述动态值可以包括时间值和/或计数器值。

令牌将仅在令牌已成功认证了服务器的条件下生成一次性口令。在一个实施例中，令牌的一次性口令生成密码地链接到令牌的服务期凭证验证。在实施例中，令牌将与服务器凭证的验证相关的数据包括在一次性口令的生成中。在一个实施例中，令牌将在验证服务器凭证时所获得的数据包括在一次性口令的生成中。在一个实施例中，服务器凭证包括服务器生成的一次性口令，并且令牌使用所述服务器生成的一次性口令作为质询，来生成一次性口令。

在本发明的一组实施例中，令牌能够生成关于交易相关数据的电子签名。在一些实施例中，对包含由令牌接收到之后、要签署的交易相关数据的服务器发起签名(SIS)消息进行认证，从而令牌可以检测并拒绝不是来自合法服务器的SIS消息。在一些实施例中，通过合法服务器将SIS消息中所包含的要签署的交易相关数据与所述合法服务器与令牌之间共享的秘密的数据传输密钥(DTK)密码地结合。在一个实施例中，服务器生成关于要签署的交易相关数据的版本的MAC，并且将具有要签署的交易相关数据的格式化版本的该MAC包括到SIS消息中。当接收到该SIS消息时，令牌通过利用其自身的DTK的副本生成其自身的MAC的验证副本、并且将MAC的所述验证副本与包括在所接收到的消息中的MAC进行比较，来对该消息进行认证。在另一个实施例中，服务器使用DTK来对要签署的交易相关数据的版本进行加密，并且将加密后的交易相关数据包括到SIS消息中。在一个实施例中，利用DTK加密的、要签署的交易相关数据的版本包含某一程度的冗余。当接收到包含加密后的交易相关数据的SIS消息时，令牌对加密后的交易相关数据进行解密，从而在包括冗余的所述解密后的数据是一致的且结构上正确的情况下，对所接收到的要签署的交易相关数据进行隐含认证。在一个实施例中，用于对要签署的交易相关数据进行加密的方法在密文不长于明文的模式下使用对称加密算法，诸如例如，在利用密文窃取(CTS)的密码块链接(Cipher-Block Chaining，CBC)模式下的3DES或AES(SCHNEIER，BRUCE.Applied Cryptography.第二版.JohnWiley，1996.ISBN 0471117099.195页)。在另一个实施例中，用于对要签署的交易相关数据进行加密的方法使用例如在OCB模式下使用块密码的认证-加密方案(http://en.wikipedia.org/wiki/Authenticated_encryption，以及http://www.cs.ucdavis.edu/～rogaway/ocb/ocb-faq.htm，于2008年3月5日访问)。

在一个实施例中，所述数据传输密钥(DTK)是服务器与令牌之间共享的秘密密钥。在另一个实施例中，DTK是通过服务器和令牌这两者动态地生成并具有有限使用期限的秘密会话密钥。在实施例中，确定DTK的使用期限的因素之一是自从生成DTK值以后经过的时间。在另一个实施例中，确定DTK的使用期限的因素之一是自从生成DTK值以后已使用DTK的次数。在实施例中，DTK根据服务器与令牌之间共享的主秘密和多元化数据(diversification data)而不同。在一个实施例中，所述多元化数据包括计数器。在另一实施例中，所述多元化数据包括时间值。在又一个实施例中，所述多元化数据包括随机数(random nonce)。在又一个实施例中，所述多元化数据包括质询。在另一实施例中，使用在生成或验证一次性口令和/或服务器凭证期间获得的信息或数据来生成DTK。

在一些实施例中，所述SIS消息包括用以防止重新攻击的变化元素。在一个实施例中，所述变化元素包括计数器值。在另一个实施例中，所述变化元素包括时间值。在又一实施例中，所述变化元素包括使用具有有限使用期限的会话密钥生成的密码。

在一些实施例中，压缩所述SIS消息中的要签署的交易相关数据元素，以限制所述SIS消息的大小。当接收到SIS消息时，在向用户呈现所述交易相关数据以进行批准之前，令牌扩展包括在所接收到的消息中的压缩后的交易相关数据。可以应用以下不同的压缩方法：

·代替仅包含文字文本或值，消息还可以包含对令牌已知或存储在令牌中的文本或值的引用。例如，消息可以包含引用文本“金额＝”的标签值，而不包含完整文字的“金额＝”文本本身。消息还可以包含对所存储的用户默认账号值的引用，而不是包含文字的用户账号本身。

·将诸如金额或账号的格式化数字数据表示为原始的非格式化数字数据，从而基于明确的格式化指示符或暗示某一格式的隐含上下文信息来在扩展期间添加格式化。

·可以将易于具有固定结构的有意义的数据单元编码成加标签的数据结构，其中，标签值隐含地表示要应用的结构以及包括在数据结构中或数据结构所引用的数据的含义和格式化。例如，可以将对应于转账的数据打包成转账数据结构，其中，所述转账数据结构仅明确地包含转账数据结构标签、表示钱的金额的数值<am_val>、货币指示符<curr_code>、表示取出钱的账户的数值<acc_from>、以及表示转入钱的账户的数值<acc_to>。转账数据结构标签的值自动隐含该数据结构将被扩展成像例如“交易类型＝转账；转账金额＝<am_val><curr_code>；取款的账户＝<acc_from>；转入的账户＝<acc_to>”这样的文本，从而，从转账数据结构标签值隐含知道，<am_val>将被格式化为钱的金额(例如，xxx，xxx.xx)，<curr_code>将被格式化为货币代码(例如，USD或EUR或YEN)，并且<acc_from>和<acc_to>将被格式化为账号(例如，123-4567890-02或1234-4567-8901-2345)。

·使用特定于数值的编码技术(诸如二进制编码的十进制(BCD))或整数的直接二进制表示来对数值进行编码，而不作为字母数字字符串。

·仅支持一组有限的字母数字字符。这允许每个字符使用更少比特对字符进行编码。

在一个实施例中，令牌使用要签署的交易相关数据的压缩版本来创建签名。在另一个实施例中，令牌使用压缩后的要签署的交易相关数据的扩展版本来创建签名。

在一些实施例中，令牌将要签署的交易相关数据的至少一部分呈现给用户，并且在令牌生成关于交易相关数据的签名之前，用户必须批准所呈现的交易相关数据。在一个实施例中，用户例如通过按压OK按钮或通过输入PIN值来明确地指示批准。在另一个实施例中，用户通过不明确指示拒绝(例如，通过在某一超时内按压取消按钮)来隐含地指示批准。

在一些实施例中，令牌能够基于配置和/或管理指令来接收并动作。配置和/或管理指令的实例包括用于启用或禁用令牌功能的指令、用于诸如密钥翻转(roll-over)的密钥管理的指令、用于管理所存储的数据的指令(例如，用于添加或替代可以在例如服务器发起签名消息中引用的所存储的文本或消息或账号的指令)、用于管理用户身份验证机制(例如，用于解锁锁定的PIN或设置新的PIN值、重置尝试计数器(try counter)、或者擦除或重置诸如指纹参考模板的参考值)的指令。在一个实施例中，这些指令可以嵌入配置和/或管理消息中。在另一个实施例中，这些指令可以包括在诸如服务器发起签名消息的签名消息或认证中。在又一个实施例中，对包含配置和/或管理指令的消息进行认证。

通过用户身份验证机制保护令牌的某些功能可以是有利的。例如，该用户身份验证机制可以包括指纹的验证或另一种生物测量读取。可选地，该用户身份验证机制可以包括个人识别号(PIN)的验证。

在另一组实施例中，令牌还包括用于访问能够进行密码操作和/或存储一个或多个秘密值的可移动安全装置。这类可移动安全装置的实例包括智能卡或用户身份模块(SIM)卡或USB令牌。在一个实施例中，令牌是未连接的电池供电智能卡读取器，并且用于访问所述可移动安全装置的所述装置包括智能卡连接器，且所述可移动安全装置是插入所述未连接的智能卡读取器中的智能卡。

在特定的一组实施例中，将可移动安全装置的作用限制为用于令牌所使用的秘密的安全存储装置。在特定的另一组实施例中，可移动安全装置执行像例如加密、解密或密钥散列这样的密码功能。在典型的实施例中，令牌验证从服务器接收到的消息或数据的可靠性，同时可移动安全装置能够使用服务器与可移动安全装置之间共享的秘密来生成密码。通常，所述可移动安全装置使用从令牌接收到的数据(诸如，质询或交易数据)以及/或者使用通过所述可移动安全装置保持的计数器，来生成所述密码。在一个实施例中，令牌将所述可移动安全装置生成的密码转换成要由用户传送至服务器的一次性口令或签名。在另一个实施例中，令牌使用所述可移动安全装置生成的密码来生成会话密钥。在一个实施例中，令牌使用所述会话密钥来对从服务器接收到的消息或数据进行验证和/或解密。在另一个实施例中，令牌使用所述会话密钥来签署令牌从服务器接收到并且已提交给用户以进行检查和批准的交易数据。在另一个实施例中，令牌将从服务器接收到的消息或数据提交给所述可移动安全装置，以验证所述消息或数据的可靠性，并且令牌通知用户所述验证是否失败。在一个实施例中，令牌具有用于采集PIN值的装置(诸如小键盘)，并且能够将所述PIN值提交给所述可移动安全装置以进行验证。

令牌可以支持多种语言也可以是有利的。即，令牌对用户的输出可以以多于一种的语言发生。在一个实施方式中，令牌可以支持允许用户从支持语言的列表中选择要使用的语言的菜单功能。在另一个实施方式中，可以在令牌接收到的消息中表示语言。在又一个实施方式中，可以由存储在令牌能够访问的次存储装置上的数据元表示语言。在一个实施方式中，该次装置可以是智能卡。

附图说明

如附图所示，根据以下对本发明的优选实施例的更具体描述，本发明的以上和其它特征和优点将是明显的。

图1a示意性地示出本发明的典型实施方式。

图1b示意性地示出能够与可移动安全装置通信的本发明的另一典型实施方式。

图1c示出实现本发明的强认证令牌的示意图。

图2示出本发明的优选实施例的PIN解锁过程中的主要步骤。

图3示出用于在成功验证了服务器凭证时生成一次性口令的、本发明的优选实施例的主要步骤。

图4示出本发明的优选实施例的交易签名功能的主要步骤。

图5概括本发明的优选实施例提供的密码安全服务和本发明的所述优选实施例提供这些安全服务所使用的密码机制。

图6示出在相互认证和交易签名处理中使用本发明的所述优选实施例的典型方式。

图7示出在令牌生成一次性口令之前、服务器对令牌进行认证中的不同步骤。

图8示出在成功认证了服务器后令牌生成一次性口令中的不同步骤。

图9示出确定数据传输密钥的有效期的结束的处理。

图10示出服务器生成签名发起消息。

图11示出令牌对签名发起消息的验证以及随后的签名生成。

具体实施方式

以下论述本发明的一些实施方式。尽管论述了特定实施方式，但是应该理解，这仅是为了说明的目的。相关领域的技术人员会认识到，在不背离本发明的精神和范围的情况下，可以使用其他部件和配置。

图1a示意性地示出本发明的典型实施方式，其包括令牌(100)，用于生成安全值，诸如用于对用户进行认证的一次性口令或表示用户批准交易的交易签名，该令牌包括：

·像例如显示器或音频输出装置这样的可信赖装置(130)，用于将诸如所述安全值或要批准的交易数据的信息传送给用户；

·诸如小键盘(120)和/或光敏元件阵列(140)的数据输入接口，用于接收服务器凭证信息以及/或者采集用户对交易数据的批准；

·能够进行密码操作的诸如微处理器的处理装置(150)，用于验证服务器凭证，并且用于使用与服务器共享的秘密，在验证所述服务器凭证时生成安全值；

·诸如ROM、EEPROM、或电池支撑的RAM的存储装置(160)，用于存储秘密或数据常数，以扩展包含诸如值和上下文信息的交易相关信息的服务器消息，其中，该交易相关信息是根据包括使用对所述数据常数的引用的压缩编码方案来格式化的；

·时钟(170)，用于提供可以在验证服务器凭证时或在生成安全值时使用的时间值。

图1b示意性地示出本发明的另一典型实施方式，其包括第一安全装置(101)，用于生成安全值(诸如用于对用户进行认证的一次性口令或表示用户批准交易的交易签名)，并且能够与可以被委派例如一些密码操作的、像例如智能卡这样的可移动第二安全装置(102)进行通信，该第一安全装置包括：

·像例如显示器或音频输出装置这样的可信赖装置(131)，用于将诸如所述安全值或要批准的交易数据的信息传送给用户；

·诸如小键盘(121)或光敏元件阵列(141)的数据输入接口，用于接收服务器凭证信息；

·诸如微处理器的处理装置(151)；

·诸如ROM、EEPROM、或电池支撑的RAM的存储装置(161)，用于存储数据常数，以扩展包含诸如值和上下文信息的交易相关信息的服务器消息，其中，该交易相关信息是根据包括使用对所述数据常数的引用的压缩编码方案来格式化的；

·包括例如智能卡连接器(182)的接口(181)，用于与可移动安全装置(102)进行交互。

以下详细论述在下文中被称为令牌(100)的本发明的优选实施方式。

硬件

图1c示出具有包括显示器30和小键盘20的可信赖用户接口的硬件强认证令牌(100)的示意图。小键盘20包括：

1.用于输入数据的十个十进制数字按钮0到9，

2.用于接通或关掉令牌(100)的开/关按钮10，

3.用于浏览正显示的数据的两个箭头按钮11和12，其中，正显示的数据可以是要签署的数据或者示出的其他信息，

4.菜单按钮13，用于循环遍历(cycle through)可用菜单功能的列表；

5.取消按钮14，用于取消选择、在输入期间校正数据或从所选功能退出，以及

6.回车按钮15，用于确认选择、批准令牌(100)正呈现给用户的要签署的交易数据、结束手动输入数据、或者确认已注意到错误消息。

令牌(100)还具有用于经由用户的计算机屏幕进行数据输入的光学接口40。光学数据输入接口40包括五个光电晶体管41至45。对本领域的技术人员而言明显的是，在其他实施例中，可以使用其他类型的光敏部件，可以使用另一数量的光敏元件，并且可以使用光敏元件在令牌上的各种物理布置。

功能性

根据该配置，一些功能是受PIN保护的。PIN是仅令牌(100)的合法用户已知的秘密十进制数。在令牌(100)允许用户使用PIN保护的功能前，令牌(100)将通过验证该PIN来对用户进行认证。在典型配置中，将预编程有在第一次使用时必须由用户改变的随机初始PIN值的新令牌(100)交付给用户。用户以安全的方式(例如，以密封的信封)从发行方组织接收该初始PIN值。

令牌(100)提供允许用户改变PIN值的功能。PIN改变处理必须考虑最小和最大PIN长度，并且另外，新PIN不可以太弱(即，不应该容易猜到，诸如具有全部相同数字的PIN值)。

如果PIN被锁定，则令牌(100)显示警告消息，从而通知用户PIN被锁定。该消息在短时间后或者当用户按压小键盘上的回车按钮时消失。在这种情况下，可以使用PIN解锁功能来对PIN解锁。图2概括了对锁定的PIN解锁时的不同步骤：

1.令牌(100)计算并显示解锁质询(步骤210)。解锁质询为7位数字长，其中，最后一位数字是检验数字。该检验数字使发行方组织验证用户是否正确复制了解锁质询。

2.用户联系发行方组织，发送所显示的解锁质询并请求解锁码(步骤220)。

3.发行方通过例如问假设仅合法用户能够正确地回答的多个问题来验证用户的身份(步骤230)。

4.在成功验证用户身份后，发行方生成与给定的解锁质询相对应的解锁码，并将该解锁码传送给用户(步骤240)。解锁码为8位数字长，以避免由于尝试和错误而解锁并避免与所使用的其他十进制数相混淆。

5.令牌(100)请求用户输入解锁码。用户在装置中输入从发行方组织接收到的解锁码(步骤250)。

6.令牌(100)验证用户所输入的解锁码(步骤260)。

7.如果解锁码是错误的，则令牌(100)将显示错误消息。为了限制穷举搜索，将使用随着错误数量按指数规律增加的PIN锁定等待时间惩罚(步骤270)。可以配置第一PIN锁定等待惩罚时期的持续时间(1分钟至5分钟)。在PIN锁定等待惩罚时期期间，向用户显示消息，并显示表示用户必须等待的时间量的指示。令牌(100)将不允许正常操作，直到呈现正确的解锁码为止。令牌(100)即使在其已被关掉时也保持PIN锁定等待惩罚。

8.如果解锁码是正确的，则令牌(100)将清零失败的PIN输入尝试次数的计数器，并且认为对令牌(100)的用户认证是成功的。由于PIN锁定是由于重复的PIN错误导致的，因此，持有者将立即被要求用不同的新PIN值替代被解锁的PIN(步骤280)。如果成功地完成PIN改变，则用户可以使用新PIN值。如果没有完成PIN改变(例如，通过关掉令牌(100))，则令牌(100)将继续期望之前锁定的原PIN值。

在对令牌(100)进行成功的用户认证后，令牌准备用于操作。用户可以生成口令和签名或者浏览令牌(100)的功能菜单。

在将PIN码正确输入令牌(100)中后，装置准备进行像例如相互认证这样的密码操作。这可以通过“准备”消息来向用户指示。图3概括了相互认证处理的主要步骤。

1.通常，用户使用令牌(100)的光学接口，来将从服务器接收到的、用于指示令牌(100)开始相互认证并且包含服务器质询的光学消息读取到令牌(100)中(步骤310)。作为备选解决方案，用户还可以在令牌(100)的小键盘上手动输入服务器质询的数字(步骤311)。

2.令牌(100)验证服务器的质询(步骤320)。

3.如果令牌(100)验证了服务器质询是正确的，则令牌(100)将计算并显示OTP(步骤330)，其中，该OTP需要由用户复制到互联网应用中(步骤340)。

4.如果质询失败并被拒绝，则令牌(100)将显示表示服务器认证失败的消息。例如，这可以是消息“REJECTED(拒绝)”(步骤350)。这实际上意味着用户在没有从服务器获得生成令牌(100)OTP的请求的情况下将不能生成令牌(100)OTP。该特征称为“服务器发起认证”，并且其保护用户免于将有效OTP值给予在他的计算机屏幕上弹出的并要求OTP的任何屏幕。

交易签名功能的开始条件类似于服务器发起认证功能的开始条件，但添加了额外约束。该额外约束是，必须最近在成功的服务器发起认证会话或交易签名会话中使用过令牌(100)。可以配置该时段，典型的值为2小时。如果在该时限外请求签名，则显示错误消息。

图4概括了交易签名功能的主要步骤：

1.在正常环境下，用户使用光学接口来将服务器消息输入到令牌(100)中，其中，该服务器消息以压缩格式包含必须签署的交易数据和交易上下文信息，并且已被加密且由服务器发送至用户计算机(步骤410)。该服务器消息包含指示令牌(100)开始签名生成的命令指示符。作为备选解决方案，用户还可以在令牌(100)小键盘上手动输入该服务器消息的数字(步骤411)。

2.令牌(100)对所接收到的加密服务器消息进行解密，验证可靠性，并且扩展该消息的压缩内容(步骤420)。由于使用了字段和消息标签，因此该扩展后的内容可以远远长于正键入(type over)或光学地传输的数字数量。

3.现在向用户显示该扩展后的消息内容以进行验证(步骤430)。令牌(100)在令牌(100)显示器上呈现要签署的消息的不同字段。顶行显示字段的文本或消息，并且底行显示该字段的值。用户现在可以使用左(上一字段)和右(下一字段)箭头来滚动消息的不同字段。如果字段的文本或字段的值不适合屏幕宽度，则在短超时后，顶行或底行将开始慢慢地滚动至左边。当用户已检查了要签署的所有数据时，令牌(100)提示用户按压Enter(回车)以接受该消息，或者按压Cancel(取消)以拒绝该消息。

4.如果用户按压Enter，则令牌(100)将生成签名并在令牌(100)显示器上显示该签名(步骤440)，使得用户可以将签名值复制到与服务器的互联网会话中(步骤450)。

5.如果用户按压Cancel，则中止签名应用，并且不生成签名(步骤460)。

图5概括了由令牌(100)提供的密码安全服务和令牌(100)用来提供这些安全服务的密码机制。在这些密码服务和机制的情况下使用以下密钥：

1.服务器认证密钥(SAK)：在服务器认证服务511中计算经认证的服务器质询时使用。

2.令牌认证密钥(TAK)：在客户认证服务512中计算OTP时使用。

3.数据传输密钥(DTK)：在服务521(对要签署的数据在从服务器发送至令牌(100)时的认证)和服务530(对要签署的交易数据在从服务器发送至令牌(100)时的保密)的情况下用于加密。

4.交易签名密钥(TSK)：在服务522(对用户提交给服务器的交易数据的认证)中计算数据签名时使用。

5.解锁密钥(UNK)：在解锁PIN服务540中计算解锁响应时使用。

所述密码密钥具有以下属性：

·所有密钥都是128位3DES秘密密钥

·所有密钥是在服务器与令牌(100)之间共享的

·优选地，同一令牌的不同密钥之间不存在固有关系

·优选地，不同令牌的不同密钥之间不存在固有关系

在服务器侧，将除数据传输密钥(DTK)外的每个密钥与令牌应用特定数据一起存储在例如数据库中，优选地，以加密形式。在令牌(100)中，将每个密钥存储(或构成)在RAM中。在其他实施例中，可以使用像例如ROM、闪存、EEPROM、硬盘这样的替选存储器技术来存储密码秘密。在其他实施例中，在不同密钥之间可以存在关联性，例如，以简化密钥管理。例如，同一令牌上具有不同功能的一些密钥可以具有相同的值，或者可以来源于共同的主密钥和不同的分散经营者。此外，在不同令牌上但具有相同功能的密钥可以来源于共同的主秘密以及令牌的序列号。

图6提供了在相互认证和交易签名处理中使用令牌(100)的典型方式的高级概述。

步骤610包括认证服务器603和令牌(100)的相互认证。在该步骤中，执行以下动作：

·首先，认证服务器603生成主服务器OTP。主服务器OTP是使用服务器认证密钥(SAK)作为密钥并使用“业务单元索引”(BUI)作为质询计算出的、基于时间和质询的一次性口令。BUI是从表示业务单元的值的有限列表中选择的值。主服务器OTP具有16位数字的长度。随后，将主服务器OTP分成具有8位数字的服务器OTP和具有8位数字的服务器DTK种子。认证服务器603使服务器DTK种子保密，但将服务器OTP发送至令牌(100)以进行验证。

·令牌(100)从服务器603接收服务器OTP。在成功验证了所述接收到的服务器OTP，令牌(100)已成功地对认证服务器进行认证并识别了业务单元时，令牌(100)使用服务器OTP和服务器认证密钥(SAK)来计算服务器DTK种子。通过将所接收到的服务器OTP与计算出的服务器DTK种子结合，令牌(100)重构主服务器OTP。

·随后，令牌(100)生成主令牌OTP。这是将令牌认证密钥(TAK)作为密钥并将主服务器OTP作为质询计算出的、基于时间和质询的一次性口令。它具有20位数字的长度。随后，将主令牌OTP分成令牌OTP(6位数字)和令牌DTK种子(14位数字)。令牌(100)使令牌DTK种子保密，并且在其显示器上向用户显示令牌OTP的值。用户从令牌(100)的显示器读取令牌OTP，并且经由用户的计算机602将其发送至认证服务器603，以进行验证。

·在成功认证了令牌(100)时，认证服务器603使用主令牌OTP和令牌认证密钥(TAK)来计算令牌DTK种子。

由于在认证服务器对令牌(100)进行认证前，令牌(100)对认证服务器进行了认证，因此，防止流氓服务器向令牌(100)要求正确的令牌OTP。

步骤620包括生成数据传输密钥(DTK)作为共享秘密。在步骤620中，认证服务器603和令牌(100)使用在步骤610中计算出的主服务器OTP和主令牌OTP，生成称为数据传输密钥(DTK)的共享秘密。

步骤630包括由用户将明文交易数据传送至认证服务器603。在该步骤中，例如，用户将金融交易数据输入其计算机602上并发送至认证服务器603。

步骤640包括将加密后的交易数据从认证服务器603传送至令牌(100)。在该步骤中，认证服务器603确定必须电子签署交易数据和交易上下文信息中的哪部分，并且格式化/压缩所需要的部分。随后，其使用在步骤620中得到的数据传输密钥(DTK)来对格式化后的交易数据进行加密。加密是要确保数据可靠性以及数据保密性。更具体地，对交易数据进行加密，以使令牌(100)验证交易数据是否确实来源于认证服务器603、而不是来源于流氓服务器。接下来，认证服务器603将加密后的数据发送至用户的计算机602。随后，优选地借助于光学通道，或者可选地借助于令牌(100)上的小键盘，将加密后的数据从用户的计算机602传送至令牌(100)。一旦令牌(100)接收到加密后的交易数据，该装置就使用在步骤620中得到的数据传输密钥(DTK)来对该数据进行解密。最后，令牌(100)在其显示器上显示明文交易数据，以通过用户进行验证。

步骤650包括生成并验证关于交易数据的电子签名。在该步骤中，用户验证令牌(100)所显示的交易数据是否与在步骤630中用户提交给服务器603的交易数据匹配。如果用户批准所显示的交易数据，则令牌(100)使用交易签名密钥(TSK)计算关于交易数据的电子签名。然后，用户将电子签名手动地复制到用户的计算机602上，并将其提交给认证服务器603以进行验证。

服务器发起的相互认证

该部分更详细论述认证服务器(和业务单元)与令牌(100)之间的相互认证处理。

认证服务器(和业务单元)对令牌的认证

这在图7中示出。

步骤1：认证服务器生成(710)服务器OTP(718)

首先，认证服务器生成主服务器OTP(713)。主服务器OTP(713)是使用以下输入计算出的、基于时间和质询的一次性口令：

1.密钥，为服务器认证密钥(SAK)(716)

2.动态变量，为时间(714)

3.质询，为业务单元索引(BUI)(715)。BUI(715)被定义为唯一识别必须认证的业务单元的非秘密号码。

主服务器OTP(713)具有以下属性：

其具有小时间步长。小时间步长确保OTP的值足够快地变化，使得随后的两个会话具有不同的主服务器OTP。

其具有多个时间同步数字。时间同步数字使得即使已长时间未使用令牌(100)，也能够通过令牌(100)顺利验证OTP。利用OTP的其他数字对时间同步数字进行扰码(scramble)，使得它们对于用户而言不是明显的。

接下来，将长度为16位数字的主服务器OTP(713)分割(712)成两个部分：

1.包括时间同步数字的8位数字服务器OTP(718)，其是将用于进行认证服务器对令牌(100)的认证的服务器凭证。

2.不包括任何时间同步数字的8位数字服务器DTK种子(717)，其由认证服务器保密。其将被用于得到数据传输密钥(DTK)。

步骤2：将服务器OTP(718)从认证服务器发送至令牌

随后，使用以下两个渠道之一将8位数字服务器OTP(718)发送至令牌(100)。

1.服务器OTP(718)的光学传输。由于其是用户最容易掌握使用的，因此其是优选通道。

2.经由令牌的小键盘对服务器OTP(718)的手动输入。

注意，我们可以采用经由小键盘输入的、与原8位数字一样短的号码。在这种情况下，令牌(100)应该根据所输入的数字的长度推出(deduct)光学命令。

步骤3：通过令牌验证(720)服务器OTP(718)

当令牌(100)接收到服务器OTP(718)时，该令牌将使用其SAK副本(722)来如下验证(720)服务器OTP(718)：

1.从OTP恢复时间同步数字。这些数字帮助令牌(100)得知在哪个时刻生成了服务器OTP(718)。注意，令牌(100)所接受的时间差取决于有多长时间未使用令牌(100)。如果几天前使用过令牌(100)，则该时间差可以较短，但如果几个月或几年未使用过令牌(100)，则该时间差可以更加不严格。

2.通过穷举搜索识别质询：为了查找产生与服务器OTP(718)匹配的OTP的BUI(723)，令牌(100)对业务单元索引(BUI)值(限于最多4个不同值)进行穷举搜索。

在以下情况下，服务器OTP(718)是正确的：

该服务器OTP(718)是利用与存储在令牌(100)中的SAK(722)相同的SAK(716)来生成的，以及

该服务器OTP(718)是使用令牌(100)已知的业务单元索引(BUI)(715)生成的，以及

该服务器OTP(718)是在令牌(100)所使用的时间接受窗内生成的，以及

该服务器OTP(718)不比最后接收到的正确服务器OTP旧。

特别情况是在令牌(100)中输入与之前输入的最后服务器OTP相等的服务器OTP值的情况。该特别情况可以在用户第一次未能复制令牌OTP(例如，因为在用户有时间复制令牌OTP值前令牌(100)自动关掉)、并且尝试通过再次输入同一质询来重新生成令牌OTP的情况下出现。

这可以在没有引起安全脆弱性的情况下如下进行处理：

·令牌(100)验证自从第一次输入以后经过的时间足够小。

·令牌(100)重新生成与第一次输入时所生成的令牌OTP完全相同的令牌OTP。

该验证具有两个可能结果：

1.失败。在这种情况下，向用户显示错误消息，并且令牌(100)拒绝生成令牌OTP。这防止了流氓服务器获取令牌OTP，而无需涉及真正的认证服务器。

2.成功。在这种情况下，令牌(100)已成功地对认证服务器进行认证，并且确定出业务单元(723)。作为副作用，令牌(100)还生成16位数字的主服务器OTP(713)的服务器DTK种子(724)。

令牌对认证服务器的认证

这在图8中示出。

步骤1：通过令牌生成(810)令牌OTP(818)

首先，令牌(100)生成(814)主令牌OTP(815)。主令牌OTP(815)是使用以下输入计算出的、基于时间和质询的一次性口令：

1.密钥，为令牌认证密钥(TAK)(813)

2.动态变量，为时间(812)

3.质询，为16位数字的主服务器OTP(811)

接下来，将长度为20位数字的主令牌OTP(815)分割(816)成两个部分：

1.6位数字令牌OTP(818)，其将用于进行令牌(100)对认证服务器的认证。

2.14位数字的令牌DTK种子(817)，其由令牌(100)保密。其将用于得到数据传输密钥(DTK)。

步骤2：将令牌OTP从令牌发送至认证服务器

令牌(100)使令牌OTP与业务单元标识符一起显现，以便通知用户其连接至正确的业务单元。

用户现在可以将6位数字令牌OTP(818)键入到其PC上，该PC将把令牌OTP(818)传送至认证服务器。

步骤3：通过认证服务器验证令牌OTP

认证服务器使用它的时间(821)及它的TAK副本(823)及主服务器OTP(822)，来验证(820)令牌OTP(818)。验证(820)具有两个可能结果：

·失败。用户未成功通过认证，并且认证服务器不能生成令牌DTK种子且由此不能生成DTK。

·成功。用户已通过认证服务器认证。作为副作用，认证服务器将生成主令牌OTP的令牌DTK种子(824)。

存储数据传输密钥(DTK)的公共秘密位

在成功相互认证后，用户可以在利用网上银行应用联机的同时关掉其令牌(100)，或者令牌(100)可以在一段不活动时间后自动关掉以节省电池。在一段时间后，用户可决定进行需要签署的交易。此时，用户可以再次接通令牌(100)，并且将利用数据传输密钥(DTK)加密后的交易数据输入令牌(100)中。为了能够实现该可能性，即使当关掉令牌(100)时，令牌(100)也存储数据传输密钥的最后值。为了安全原因，令牌(100)将仅在某一有效期期间存储数据传输密钥。如图9所示，DTK保持有效(910)，并且由令牌(100)存储，直到以下事件之一发生：

·接收到有效服务器OTP(920)，其与用来生成当前DTK值的服务器OTP不同。

·达到超时(930)。令牌(100)使用限制DTK值的有效期的两个超时。第一超时是指最后的认证或签名的时间。第二超时是指生成当前DTK值的时间。这些超时应该等于或大于在服务器侧被编程的类似超时。

·可选地，超过特定的最大使用计数(940)。例如，计数器可以与已使用DTK的次数或已生成签名的次数有关。

服务器发起签名

服务器发起签名功能使用户生成关于金融交易的电子签名。

用户将交易数据提交给认证服务器

在交易签名处理的开始，用户将明文金融交易数据发送至认证服务器。一种可以向认证服务器提交交易的方式是通过用户在用户的计算机上输入交易数据，此后用户的计算机通过互联网将交易数据发送至认证服务器。

通过认证服务器生成签名发起消息

这在图10中示出。

步骤1：压缩交易数据

首先，认证服务器选择(1010)必须由用户电子签署的交易数据的字段。该选择可以基于与各个交易字段相关联的风险水平。

此后，认证服务器使用各种数据表示和压缩方法来压缩(1020)所选择的交易数据，其中，该数据表示和压缩方法包括以下：

1.使用4位码(例如，使用已知的二进制编码的十进制(BCD)编码)来表示十进制数字‘0’至‘9’。

2.以专用的8位快捷方式或标签值表示经常使用的交易字段。

3.以专用的8位快捷方式或标签值表示经常使用的消息或消息部分。

4.仅支持有限的一组字母数字字符(例如，字母、符号和标点)。将其他字符映射到支持的字符上。支持的字母数字字符由8位值表示，例如，该8位值可以在十六进制值的0xA0到0xFF范围内。

步骤2：对压缩后的交易数据加密

随后，对压缩后的交易数据加密(1030)。加密的目的是：

·保护交易数据的可靠性：令牌(100)能够验证交易数据是否确实来源于真正的认证服务器，而不是来源于流氓服务器。结果，流氓服务器不能欺骗令牌(100)电子签署该流氓服务器所选择的交易。

·保护交易数据的完整性：令牌(100)能够验证在传输中是否未改变交易数据。

·保护交易数据的保密性。

用于对交易数据加密的密码密钥称为数据传输密钥(DTK)(1013)。该密钥具有以下属性：

·使用在相互认证处理期间计算出的主服务器OTP和主令牌OTP生成数据传输密钥(1013)。

·数据传输密钥(1013)是长度为128位的3DES密钥。

曲于使用服务器DTK种子(1011)和令牌DTK种子(1012)计算(1090)数据传输密钥(1013)，因此，密钥取决于会话和令牌。

加密处理如下：

1.首先，将1字节的冗余数据块连接于格式化后的交易数据。

2.其次，使用在利用密文窃取(CTS)的CBC模式下的3DES算法并将数据传输密钥(DTK)(1013)作为密钥，对来自(1)中的数据加密(1030)。该模式使得能够对不是8字节的倍数的数据进行加密且没有引起消息扩展(即，密文具有与明文交易数据相同的长度)。

通过使用1字节冗余块和CBC模式加密来确保交易数据的完整性。

步骤3：将加密后的数据提交给令牌

最后，将加密的字符串与“SIGN(签署)”命令结合(1040)，并转换成两种格式：

1.包括CRC和定时信息的闪光图样(flashing pattern)格式。

2.包括视觉格式化和检验数字的十进制数备份格式。

可以向令牌呈现这两种格式(1050)。

通过令牌(100)生成电子签名

这在图11中示出。

步骤1：对加密的交易数据解密

首先，用户使用光学通道或令牌(100)的小键盘输入被输入到装置中的加密的交易数据。在输入处理后，恢复数据和命令。在该恢复后，光学输入的数据与小键盘输入的数据之间不再存在差别。“SIGN”命令指示令牌(100)应该执行签名流程图。

为了对加密的交易数据解密(1110)，令牌(100)计算(1190)数据传输密钥(DTK)(1113)。这以与认证服务器进行的方式完全相同的方式发生。

令牌(100)对所接收到的数据解密(1110)并且检验完整性。想要插进假消息(不具有DTK)的攻击者被以下干扰：

·改变一位密文改变最小8字节的明文的事实。

·使受控操纵更难的压缩/解压缩算法。

·主要旨在避免破坏攻击的额外8位完整性检验。

步骤2：扩展交易数据

令牌(100)第一次扩展(1120)解密后的压缩交易数据(被称为视觉扩展)，以获得需要向用户显示的消息。在令牌(100)显示器上向用户显示该消息，并且用户应该批准(或拒绝)该消息(1130)。

步骤3：生成关于交易数据的电子签名

在用户批准后，令牌(100)第二次扩展解密后的压缩交易数据(被称为签名扩展)，以获得需要密码地签署的消息。该第二次扩展的结果可以不同于前一次扩展的结果，这是因为：

·可以用原文替代简写，

·可以以用户的本地语言显示消息，

·小的非计划中的差别可以作为“空白”或其他格式相关数据存在。

使用交易签名密钥(TSK)(1141)签署(1140)交易数据。签名算法是ANSI X9.9或X9.19变量，还包括时间信息。结果是电子签名码，通常包括8位十进制数字的字符串。

最后，在令牌(100)显示器上向用户显示(1050)电子签名码，使得用户可以将该电子签名码提交给认证服务器，以进行验证。

通信协议栈

物理层

在物理层，通过光变化在计算机与令牌(100)之间传输数据。该光是计算机屏幕借助于变化的图样发射并且令牌(100)借助于其5个光电晶体管接收到的。因此，5个闪光屏幕区域应该位于5个光电晶体管前面。

在用户的计算机屏幕上实际实现这些闪光图样时要解决的问题之一是，现有用户的计算机屏幕的尺寸和分辨率的多样性。在本发明的一个实施例中，该问题是通过将闪光图样与允许调整闪光图样尺寸的滑动条结合来克服的。用户应该使用该滑动条来调整尺寸，直到闪光图样适合于令牌(100)上的相应光电晶体管的物理位置。为了帮助用户，令牌(100)塑料标记有3个三角标记，其应适合于与用户的计算机屏幕上的闪光图样相关联的类似标记。为了避免用户在每次登录时必须调整闪光图样的尺寸，建议应用程序记住针对下一次登录的用户的计算机屏幕的滑动条的正确设置。例如，这可以通过将调整后的尺寸设置存储在cookie中来完成。

存在四个数据通道和一个时钟通道。时钟通道用于定义传输速度或传输时刻以及用于定义传输电平。每次时钟通道改变(或切换)时，新的位由数据通道表示。切换速率可以是可变的(以便处理屏幕显示中的延迟)，但在一定限值内。数据通道使用三个强度电平。时钟通道将仅使用两个更高的强度电平。参考中间电平来定义最低电平。为了最好的结果，将使用尽可能稳定的时钟改变速率和尽可能不同的光电平。数据通道用于传输包括4位三元数字的“字”。以第一个字开始直到最后一个字串行地发送包括N个三元字的完整消息。

数据链路层

数据链路帧包括特定的帧起始三元字、净荷、和特定的帧结束三元字。数据链路净荷包含消息数据字段、4位命令ID、基于前两个字段计算出的CRC-12、和用于使净荷大小达到6位的倍数的零填充。以6位的块分割净荷的完整的位序列，并且通过其4位数字三元等值传输该6位二进制值。

多消息传输：

可以将应用层消息分成一个接一个地连接并发送的多个数据链路帧。然后，可以以循环的方式传输整组数据链路帧，从而一直重复该消息。通常，用户将在任意时刻呈现令牌(100)。令牌(100)在帧起始字后开始读取，然后一个接一个地采集所有数据链路帧，直到接收到帧结束字。连续的数据链路帧被特定的分隔符三元字所分隔。在未用于对6个数据位的块进行编码的三元字值之中，选择特定的帧起始三元字、帧结束三元字、和分隔符三元字的三元字值。如果已接收到全部数据链路帧，则通知用户已完成数据输入。

传输+应用层

为了实现更高的总效率，传输层使用“应用”属性。令牌(100)具有用于光学传输的3种应用：

1.传输用于相互认证的质询：在呈现了奇数数量的数字的情况下，消息数据块相当于利用可选的0xd半字节对质询的BCD编码。

2.传输用于签名的加密字段：如果净荷较小，则可以以单个光学数据链路帧传输该净荷。如果净荷较大，则必须以大约相等长度的块将该净荷分割成2个或3个或4个数据链路帧。

3.传输光学TEST(测试)命令：测试命令用于测试光学接口。其内容显示在令牌(100)的显示器上。

小键盘备用

在光学通信没有正确地工作的情况下，预知包括经由令牌的小键盘的手动输入的小键盘备用。

尽管上文已描述了本发明的各个实施例，但是应该理解，各个实施例仅是作为实例呈现，而不是作为限制。因此，本发明的广度和范围不应受任意上述的示例性实施例限制，而是仅应该根据所附权利要求及其等同物来限定。

Claims (41)

1.一种用于生成在与服务器交互中使用的安全值的设备，所述设备包括：可信赖装置，其用于将信息传送给用户；数据输入接口，其用于接收服务器凭证信息；处理器，其用于对所述服务器凭证信息进行验证；以及处理器，其用于生成取决于所述验证的安全值，其中，使用所述设备与所述服务器之间共享的第一秘密来进行安全值的所述生成，以及使用所述设备与所述服务器之间共享的第二秘密来进行所述服务器凭证信息的所述验证。

2.根据权利要求1所述的设备，其中，所述安全值和所述服务器凭证信息具有小于64位的大小。

3.根据权利要求1所述的设备，其中，所述服务器凭证信息的所述验证使用至少一个动态值。

4.根据权利要求3所述的设备，还包括时钟，其中，所述至少一个动态值包括由所述时钟提供的时间值。

5.根据权利要求3所述的设备，其中，安全值的所述生成涉及与所述服务器凭证信息相关的数据。

6.根据权利要求5所述的设备，其中，所述服务器凭证信息包括与要由用户批准的交易相关的至少一个值和至少上下文信息，并且用于传送信息的所述可信赖装置适用于将与交易相关的所述至少一个值和至少上下文信息传送给所述用户，并且所述设备适用于检测所述用户对所述交易的批准，其中，安全值的所述生成还取决于所述批准。

7.根据权利要求6所述的设备，其中，使用压缩编码方案来格式化所述至少一个值和至少上下文信息。

8.根据权利要求6所述的设备，其中，所述服务器凭证信息至少包括被生成用于对所述服务器凭证信息的源进行认证的密码和所述设备与所述服务器共享的密钥，其中，使用对称算法以及所述至少一个值和至少上下文信息的至少一部分来生成所述密码。

9.根据权利要求8所述的设备，其中，所述密钥的使用期限是有限的。

10.根据权利要求8所述的设备，其中，所述设备使用与安全值的所述生成相关的数据来生成所述密钥。

11.根据权利要求8所述的设备，其中，所述设备使用与所述服务器凭证信息的所述验证相关的数据来生成所述密钥。

12.一种用于产生在与服务器交互中使用的安全值并将所述安全值传送给用户的设备，所述设备包括：可信赖装置，其用于将信息传送给用户；数据输入接口，其用于接收服务器凭证信息；以及接口，其与可移动安全装置协作，以取决于所述服务器凭证信息的验证生成安全值，其中，使用所述可移动安全装置与所述服务器之间共享的第一秘密来进行安全值的所述生成，并且使用所述可移动安全装置或所述设备与所述服务器之间共享的第二秘密来进行所述服务器凭证信息的所述验证。

13.根据权利要求12所述的设备，还适用于将所述服务器凭证信息的失败验证的发生用信号通知所述用户。

14.根据权利要求12所述的设备，其中，所述安全值和所述服务器凭证信息具有小于64位的大小。

15.根据权利要求12所述的设备，其中，所述服务器凭证信息的所述验证使用至少一个动态值。

16.根据权利要求15所述的设备，还包括时钟，其中，所述至少一个动态值包括由所述时钟提供的时间值。

17.根据权利要求15所述的设备，其中，安全值的所述生成涉及与所述服务器凭证信息相关的数据。

18.根据权利要求17所述的设备，其中，所述服务器凭证信息包括与要由用户批准的交易相关的至少一个值和至少上下文信息，并且用于传送信息的所述可信赖装置适用于将与交易相关的所述至少一个值和至少上下文信息传送给所述用户，并且所述设备适用于检测所述用户对所述交易的批准，其中，安全值的所述生成还取决于所述批准。

19.根据权利要求18所述的设备，其中，使用压缩编码方案来格式化所述至少一个值和至少上下文信息。

20.根据权利要求18所述的设备，其中，所述服务器凭证信息至少包括被生成用于对所述服务器凭证信息的源进行认证的密码的至少一部分、和所述设备或所述可移动安全装置与所述服务器之间共享的密钥，其中，使用对称算法以及所述至少一个值和至少上下文信息的至少一部分生成所述密码。

21.根据权利要求20所述的设备，其中，所述密钥的使用期限是有限的。

22.根据权利要求20所述的设备，还适用于使用所述密钥来验证所述密码的至少一部分。

23.根据权利要求20或权利要求22所述的设备，其中，使用与安全值的所述生成相关的数据来生成所述密钥。

24.根据权利要求20或权利要求22所述的设备，其中，使用与所述服务器凭证信息的所述验证相关的数据来生成所述密钥。

25.根据权利要求12所述的设备，其中，所述可移动安全装置是智能卡。

26.根据权利要求25所述的设备，其中，所述可移动安全装置验证所述服务器凭证信息。

27.根据权利要求25所述的设备，所述第二秘密是在所述设备与所述服务器之间共享的，并且所述第二秘密用于指示所述可移动安全装置使用动态值和所述第一秘密来生成密码，并且用于从所述可移动安全装置接收所述密码并使用接收到的所述密码来产生所述安全值。

28.根据权利要求27所述的设备，其中，所述服务器凭证信息包括与要由用户批准的交易相关的至少一个值和至少上下文信息，并且用于传送信息的所述可信赖装置适用于将与交易相关的所述至少一个值和至少上下文信息传送给所述用户，并且所述设备适用于检测所述用户对所述交易的批准，其中，安全值的所述生成还取决于所述批准，并且其中，所述设备适用于使用从所述可移动安全装置接收到的所述密码来生成签名密钥，并且使用所述签名密钥以及所述至少一个值和至少上下文信息来生成所述安全值。

29.根据权利要求27所述的设备，还适用于使用从所述可移动安全装置接收到的数据来生成所述第二秘密。

30.根据权利要求1或权利要求12所述的设备，还适用于取决于所述验证来执行所述服务器凭证信息中所包括的远程管理指令。

31.根据权利要求1至5中任一项或权利要求12至17中任一项所述的设备，其中，所述数据输入接口包括一个或多个按钮或键。

32.根据权利要求1至5中任一项或权利要求12至17中任一项所述的设备，其中，所述数据输入接口包括多个光敏元件。

33.根据权利要求1、6、12或18中任一项所述的设备，其中，安全值的所述生成包括使用计数器值。

34.根据权利要求1、6、12或18中任一项所述的设备，还包括时钟，其中，安全值的所述生成包括使用时间值。

35.根据权利要求1、6、12或18中任一项所述的设备，其中，安全值的所述生成包括使用质询。

36.根据权利要求7或权利要求19所述的设备，还包括存储数据常数的存储器，其中，所述压缩编码方案包括使用对所述数据常数的引用。

37.根据权利要求7或权利要求19所述的设备，其中，在安全值的所述生成中被使用前，扩展使用压缩编码方案格式化的所述至少一个值和至少上下文信息。

38.根据权利要求8或权利要求20所述的设备，其中，所述服务器使用对称密码算法和所述密钥来对所述至少一个值和至少上下文信息加密，并且所述设备使用所述对称密码算法和所述密钥来对所述至少一个值和至少上下文信息解密。

39.根据权利要求9或权利要求21所述的设备，其中，所述使用期限是由超时值限制的。

40.根据权利要求9或权利要求21所述的设备，其中，所述使用期限是由计数器值限制的。

41.根据权利要求9或权利要求21所述的设备，其中，所述使用期限是由事件限制的。

Images