CN105765595B - 用于验证标识令牌的系统和方法 - Google Patents
用于验证标识令牌的系统和方法 Download PDFInfo
- Publication number
- CN105765595B CN105765595B CN201480054437.1A CN201480054437A CN105765595B CN 105765595 B CN105765595 B CN 105765595B CN 201480054437 A CN201480054437 A CN 201480054437A CN 105765595 B CN105765595 B CN 105765595B
- Authority
- CN
- China
- Prior art keywords
- verifier
- code
- trust
- data
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 40
- 230000006870 function Effects 0.000 claims description 131
- 238000004891 communication Methods 0.000 claims description 57
- 230000000007 visual effect Effects 0.000 claims description 12
- 230000002123 temporal effect Effects 0.000 claims description 11
- 238000012546 transfer Methods 0.000 claims description 8
- 238000012015 optical character recognition Methods 0.000 claims description 4
- 230000007704 transition Effects 0.000 description 21
- 238000012795 verification Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 14
- 230000009471 action Effects 0.000 description 9
- 238000012545 processing Methods 0.000 description 9
- 230000008520 organization Effects 0.000 description 8
- 239000003795 chemical substances by application Substances 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000001360 synchronised effect Effects 0.000 description 4
- 238000011179 visual inspection Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 230000008929 regeneration Effects 0.000 description 2
- 238000011069 regeneration method Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- RZVAJINKPMORJF-UHFFFAOYSA-N Acetaminophen Chemical compound CC(=O)NC1=CC=C(O)C=C1 RZVAJINKPMORJF-UHFFFAOYSA-N 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 239000011248 coating agent Substances 0.000 description 1
- 238000000576 coating method Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000000975 dye Substances 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 229940029329 intrinsic factor Drugs 0.000 description 1
- 210000000554 iris Anatomy 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C9/00—Individual registration on entry or exit
- G07C9/20—Individual registration on entry or exit involving the use of a pass
- G07C9/22—Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Lock And Its Accessories (AREA)
- Time Recorders, Dirve Recorders, Access Control (AREA)
Abstract
一种用于提供验证信息的标识设备(10),其包括:令牌(11)和验证器(20),其中,显示器(17)适于在操作阶段显示被称为许可指示器代码或IoC代码(15)的、指示令牌的许可状态(46)的第一安全代码(15),其中,第一安全代码(15)通过在处理器单元(21)上编写的诸如数字签名或哈希函数的许可指示器函数(23)基于许可状态(46)和验证器时钟(28)来生成。
Description
技术领域
本发明涉及身份欺诈保护的领域,更具体地涉及用于验证显示在电子标识令牌上和/或存储在电子标识令牌中的标识数据的有效性、并由此确定是否能够在防止欺诈性使用的同时向令牌赋予许可的系统和方法。
背景技术
诸如电子标识(e-ID)卡、安全徽章或电子护照的电子标识令牌通常用于令牌所有者的安全和标识用途。令牌所有者(下文中被称为所有者)可以包括携带令牌并通过存储在令牌中或显示在令牌上的信息唯一标识的人或物体。这种电子标识令牌可以包括具有适于存储用来唯一识别令牌所有者的标识数据(ID)的存储器的电子芯片。例如,针对作为所有者的人,这种标识数据可以包括所有者的姓名、身份证号、图片、生日、国籍、正式员工编号、教育程度、安全许可级别、会员合同编号、家庭住址和/或其他相关标识数据。针对作为所有者的物体的示例可以包括其序列号、汽车的车牌号码、保险合同编号、生产该物体的公司的ID编号和/或其他相关标识数据。此外,令牌可以配设有使得令牌能够与电子认证和验证系统交互的通信接口。该通信接口可以用来进行令牌所有者的电子标识以及存储在令牌中的标识数据的认证。由于并非总能实现令牌的电子标识和认证,因此可以使标识数据的子集在令牌位置可见。例如,令牌可以在可视位置包括所有者的照片连同其姓名和家庭住址一起,作为令牌上的印刷覆盖。
由于标识数据的价值,标识令牌已成为欺诈性攻击的主要目标。例如,可以通过虚假所有者的伪造标识数据来替换显示在令牌上的可视标识数据,来以欺诈性的方式使用有效所有者的真实令牌。此外,可以生产包含伪造的标识数据的欺诈性令牌。在进一步的示例中,可以在无效安全许可情形下使用真实令牌,在该无效安全情形下具有预定许可状态的令牌所有者可以使用其令牌来获得对其未被授权进入的楼宇的部分的访问权。伪造的、例如意味着不真实的、或者是真实的但以未授权方式使用的令牌,均是无效令牌,并且将被称为无效令牌。
为了防止这种攻击,在现有技术中已经实现了一系列已知的安全措施。例如,为了防止伪造令牌上的可视信息,令牌可以配设一组可视的安全项,例如全息图、特殊背景印刷和特殊彩色染料。
然而,这些可视安全措施已被表明对于防止令牌的欺诈性使用是相对失效的。因此,尤其在大量的令牌需要被验证并由此还需要被认证的情况下,通过使用可视安全项的可视检查来辨识无效令牌,可能会变得非常困难和繁琐。
为了克服与可视安全措施相关的问题,可以通过直接访问存储在令牌的存储器中的标识数据来对令牌进行验证。例如,该方法可以包含接近令牌和/或令牌所有者,并以电子方式读取标识数据。然而,在需要验证大量令牌的情况下,例如当期望核实在楼宇中工作的一群人的令牌或在城市中四处行驶的汽车的令牌时,这种接近可能难以实现。
US20070013610提出了一种装置和技术,该装置和技术使得电子徽章能够与安装在安全设施中的固定无线收发器建立无线在线网络并使得电子徽章能够显示通过无线网络从无线收发器接收的与安全设置有关的信息。该装置需要安全徽章与收发器保持连续无线连接,该无线连接使用短距离射频来实现。然而,该方案的缺点在于,保持这种无线连接需要相对复杂的网络和电子徽章。这是因为,为了使系统有效地工作,需要许多固定无线收发器和电子徽章中相对强的电池以在系统应当工作的整个楼宇、场地或环境中保持连续的在线连接和充分的独立性。该方案另外一个缺点在于,仅在徽章连接到无线网络时才可以进行安全徽章的验证。因此,在网络不可用、或者无线连接被中断的情况下,无法执行这种验证过程。而且,在无效徽章未被布置为连接到楼宇区域曾经存在的无线连接的情况下,安全设施不会察觉到这种无效徽章的存在。
因此,存在对即使在令牌未连接到安全设施的情况下也可以执行的验证以及认证过程的需求。
发明内容
本发明的目的在于提供一种能够以方便快捷的方式对令牌或大量令牌、以及存储在其中的信息进行连续验证并由此还进行认证的系统。
根据本发明,通过示出了第一独立权利要求的技术特征、包括具有验证器的令牌的标识设备,来实现该目的。
根据本发明的实施例,使用被布置为在操作阶段连续显示与令牌所有者的许可状态(即,指示使得令牌所有者能够进行有效动作或获得有效状态的状态)有关的许可指示器代码(IoC)、以及更优选的与IOC代码和显示在标识设备上的其他信息的真实性有关的信任证明代码(PoT)的标识设备,使得能够以低复杂性并具有成本效益的方式实现成功地防止欺诈性攻击的验证和认证过程。
根据本发明的实施例,可以提供一种集中式系统,该集中式系统可以属于或被布置为连接到诸如政府组织或私人组织的信任机构。该集中式系统可以被布置为与标识设备交互并通过连接器设备传输安全信息,可以在初始化阶段的认证过程期间使用该信息。通过使用连接器在集中式系统与验证器设备之间传输信息,可以实现附加检查点。该连接器可以被布置为在传输来自集中式机构的数据之前检查验证器的真实性,由此防止伪造的验证器访问传输的安全信息。
根据本发明的实施例,在集中式系统与验证器设备之间传输的信息可以在端到端安全消息传送通道之上,并且/或者可以被加密,使得只有授权方可以使用加密信息,并且例如避免了窃取。例如,可以使用在现有技术的状态下可用的大量加密算法(例如公钥加密或对称秘钥算法)来加密要传输的信息。
此外,根据本发明的实施例,可以实现信任证明系统,除了标识设备和集中式系统之外,该信任证明系统还可以配设有控制器设备。在这种情况下,控制器可以是如下独立设备,该独立设备可以用来对在操作阶段显示在验证器显示器上的数据(例如IoC和PoT代码)进行监控并由此进行验证。结果,附加的安全层被添加到信任证明系统,这样可以防止在安全环境下使用无效令牌。使用控制器设备的附加优点在于,可以执行大量令牌的验证(validation),而无需接近各令牌。
本发明的另一目的在于提供一种方法。
根据本发明,通过用于验证显示在标识设备上的信息的方法,来实现该目的,该方法包括如下步骤:
初始化验证器,其包括如下步骤:向验证器展示包括人或物体的信息的令牌,该信息包括标识数据,所述标识数据包括代表许可数据的第一子集,所述标识数据唯一识别所有者;通过验证器通信装置将令牌连接到验证器,使得验证器能够访问存储在令牌的存储器中的信息;通过验证器通信装置将验证器连接到集中式系统的连接器;在初始化阶段通过连接器在验证器与集中式系统之间传输数据,该数据包括时钟同步信号和许可规则,所述时钟同步信号用于将验证器时钟与集中式系统的集中式系统时钟同步,许可规则基于存储在令牌中的许可数据,来指定令牌是否能够被赋予指示使得所述物体或人能够进行动作或获得有效状态的特定的许可状态;以及
在操作阶段操作验证器以验证令牌中的信息,其包括如下步骤:将信任数据显示在验证器显示器上;生成被称为许可指示器代码的、指示令牌的许可状态的第一安全代码,基于许可状态和验证器时钟,通过在处理器单元上编写的诸如数字签名或哈希函数的许可指示器函数,来生成第一安全代码。在其他实施例中,标识数据包括代表信任数据的第二子集,基于验证器显示器上显示的信任数据以及第一安全代码,通过在处理器单元上编写的MAC函数,来生成被称为信任证明代码的第二安全代码;还在验证器的显示器上附加显示第一安全代码和第二安全代码。
附图说明
将通过以下说明书和附图,来进一步阐明本发明。
图1示出了根据本发明的实施例的标识设备。
图2展示了用于对存储在令牌中的信息进行验证并由此还进行认证的验证器设备。
图3示出了带有数据和计算流的、用于验证存储在令牌中的信息并计算IoC和PoT代码的验证过程。
图4示出了带有数据和计算流的、用于验证存储在令牌中的信息并计算IoC和PoT代码的另一验证过程。
图5示出了根据本发明的实施例的控制器设备。
图6展示了带有数据和计算流的、用于使用控制器设备来验证显示在验证器显示器上的信息的验证过程。
图7展示了带有数据和计算流的、用于使用控制器设备来验证显示在验证器显示器上的信息的另一验证过程。
图8示出了其中的验证器还配设有生物特征读取器的标识设备。
与图2类似的图9展示了根据图8的用于对存储在令牌中的信息进行验证并由此还进行认证的验证器设备。
图10示出了不同的标识设备随着时间所示出的内容的概观。
具体实施方式
保护标识数据以对抗身份欺诈已成为政府和私人组织二者的主要挑战。然而,甚至更大的挑战是对令牌以及存储在令牌中的信息数据是真实有效的、并且已经被信任机构发布进行认证和/或验证。信任机构可以是有权发布这种令牌的私人或政府组织,例如,公司可以向公司的员工发布安全徽章。令牌可以被配置为在验证之前随身携带,例如适于被所有者随身携带的徽章、电子护照、身份证或其他用于标识用途的装置。在这种情况下,可以使令牌的形式适于随身携带令牌的规定,例如,令牌可以具有信用卡/借记卡的典型尺寸,并由此例如被配置为在徽章夹中随身携带。然而,可以存在其他实施例。例如,令牌可以具有USB棒和/或例如与其他钥匙一起在钥匙环上随身携带的钥匙(例如电子钥匙)的形状。根据这些实施例,在令牌的携带者已控制令牌的事实情况下,假设该令牌的携带者是所有者。然而,并非总是这种情况,令牌可能被所有者以外的其他人控制,例如被错误地控制或被盗窃控制。然而,令牌还可以被配置为不由所有者随身携带,并且例如可以是计算机元件(例如服务器)的形式,例如与其他这种令牌一起作为数据库服务器中的令牌数据库的一部分。在这种实施例中,所有者能够不再在验证之前随身携带令牌本身,并且例如在验证期间,通过提供标识代码的能力来控制对要在本发明的进一步步骤中使用的令牌的访问。标识代码可以是由所有者记住的特定代码,并且/或者可以是由所有者例如通过以下方式中的任一个或更多个而访问的代码:
例如,如果所有者是人,则提供生物特征信息,诸如所有者的指纹中的任一个或更多个、所有者的眼睛虹膜中的任一个或更多个、所有者的心电图等。
读取包括标识代码的存储器,该存储器例如是如下形式:例如卡、USB棒等上的芯片、磁条等。
展示具有某特征的物理对象,例如展示钥匙、展示以例如包括合成DNA(例如DataDotDNA等)的某涂层覆盖的物体。
提供例如通过分析汽车的噪声来将作为令牌所有者的物体识别为所有者的其他信息等。
为了验证令牌的有效性,可以在指定的检查点进行验证过程。如果能够随身携带对标识数据给予访问的令牌或物理对象,则这种检查可以包含在令牌上打印的数据的可视检查,该检查还可以与存储在其中的标识数据(如果存在)的电子检查相结合。可以利用由信任机构指定的令牌的安全元件来存储标识数据,该安全元件可以是明确用于将标识数据或单独部件存储在令牌的芯片中的令牌的存储器的预定位置。然而,已经发现,尤其是在某人成功避开入口检查点的电子检查或无法物理实现入口检查点的情况下,这种措施无法保证无效令牌的有效检测。
因此,根据本发明的实施例,标识设备可以被配置为,以快捷并具有成本效益的方式,连续指示令牌或大量令牌以及存储在其中的信息的如在初始化阶段建立的有效性或无效性。
尽管将参照被构造为安全徽章的标识令牌,来描述本发明的工作,但是由于也可以使用本发明来对其他类型的标识令牌进行认证和验证,因此该示例应当被理解为非限制性示例。这些示例可以包括但不限于电子标识卡、电子护照或位于物体上的标识电子标签或上述实施例。
令牌及其所有者可以被限定为小的封闭空间,或者可以在大的地理区域分布,甚至跨越国家。例如,可以对20公里跨境的公路施工场地的各建筑工人的令牌执行验证过程,其中,令牌必须登记在特定的时间登记系统上,并且由社会保障组织赞助。验证过程的另一示例可以包含登记在特定日期的特定地理区域中的公路上使用的所有汽车的令牌。
在下文中,均被信任机构单独认证、并且满足由信任机构在初始化阶段设置的许可标准使得针对这些许可标准而被视为有效的一组令牌,将被称为有效令牌组。贯穿本发明,信任机构能够向任何一方提供作为有效令牌组的成员的各令牌的连续可视认证。另外,信任机构还将对任何一方,立即可视识别不是有效令牌组的成员的令牌。
为了确保令牌中的数据不被损坏,可以通过信任机构(例如政府组织或私人组织)对令牌及存储在其中的信息进行数字签名。
根据本发明的实施例,可以提供如下标识设备,该标识设备使得信任机构能够验证大量令牌的有效性以及存储在其中的标识数据的真实性。
标识设备包括令牌。例如根据以上讨论的令牌的性质,令牌能够以几种方式包括在标识设备中。
例如,适于被所有者随身携带的令牌能够作为标识设备的一部分而被容纳在标识设备(例如验证器)中,例如,当令牌是卡时,标识设备(例如验证器)可以配设有能够使令牌有狭缝的插槽,或者当令牌是USB棒时,标识设备(例如验证器)可以配设有能够插入USB棒使得能够访问其存储器的USB读取器。然而,令牌还可以与标识设备(例如验证器)的剩余部分交互,使得令牌的信息被复制到标识设备(例如验证器)的一部分上,从而形成标识设备,之后,可以再次移除初始令牌。在这种情况下,在标识设备(例如验证器)的一部分中创建另一令牌,该另一令牌包括存储人或物体的信息的存储器,该信息包括向标识设备展示的令牌的标识数据。在这种实施例中,由所有者随身携带的初始令牌例如可能被限制,使得该令牌不再能够与另一标识设备(例如另一验证器)的其他部分交互。在通过删除相应的标识数据而移除所述另一令牌之后,例如通过向初始标识设备再次展示初始令牌,能够解除初始令牌的限制。
然而,如上所述,令牌还可以被配置为不由所有者随身携带,并且例如可以是计算机元件(例如服务器)的形式,例如与其他这种令牌一起作为令牌数据库的一部分。如上所述,在这种情况下,向标识设备(例如验证器,更具体地是验证器通信装置)的一部分展示令牌,并且令牌的信息被复制到标识设备(例如验证器)的一部分上。在这种情况下,在标识设备中创建另一令牌,该另一令牌包括存储人或物体的信息的存储器,该信息包括初始令牌的标识数据。在这种实施例中,初始令牌例如可能被限制,使得该令牌不再能够与另一标识设备交互。在通过删除相应的标识数据而移除所述另一令牌之后,例如在某时间量之后并且/或者通过向初始标识设备再次展示初始令牌,能够解除初始令牌的限制。
在这些实施例中,例如通过计算机(例如根据向令牌展示的标识数据来存储令牌的数据库服务器)来控制令牌向验证器的展示。例如,根据对假定所有者的输入的检查,标识代码被发送至计算机(例如数据库服务器),并且当通过计算机控制标识代码时,相应的令牌随后被发送至验证器的验证器通信装置,以进行进一步的处理。
标识设备可以被布置为对存储在由信任机构发布的令牌中的信息进行认证和验证。令牌可以配设有用于存储唯一识别令牌所有者的身份的标识数据的存储器。信任机构可以对令牌中的标识数据进行编码。标识数据的第一子集(下文中称为许可数据)可以指示令牌所有者具有信任机构的许可以进行某动作或获得某状态,使得信任机构例如将令牌视为针对该动作或该状态“有效”。在下文中,标识数据的优选第二子集被称为信任数据。
标识设备还可以包括用于验证令牌的真实性和/或有效性的验证器设备。验证器可以包括适于显示信任数据以及存储在令牌中的标识数据的子集的显示器。显示器可以是全电子显示器、或电子显示部分和打印显示部分二者的结合。电子显示器可以通过有线连接或无线连接(例如红外线或射频广播技术)与验证器一体化。无线连接的使用使得能够例如通过将验证器的显示器放在汽车顶部、同时将验证器的剩余部分附着到汽车司机上,来将验证器的显示部分放在与验证器的剩余部分分开的位置。
验证器还可以包括处理器单元、验证器时钟、以及用于与令牌和集中式系统的连接器交互的验证器通信装置。验证器还可以适于在初始化阶段,通过连接器在集中式系统与验证器之间传输数据。根据本发明的实施例,要传输的数据可以在端到端安全消息传送通道之上,并且/或者可以使用加密算法(例如公钥加密或对称秘钥算法)来加密。应当指出,可以使用其他加密算法或技术来加密要传输的数据,使得只有授权的第三方可以使用该数据。这种数据例如可以包括用于将验证器时钟与集中式系统的集中式系统时钟同步的时钟同步信号、以及基于存储在令牌中的许可数据来指定是否能够赋予令牌特定许可状态的许可规则,该特定许可状态指示使得所有者能够进行有效动作或获得有效状态。例如,许可规则使得处理器能够基于从令牌获得的许可数据、以及例如从集中式系统获得的许可规则,利用在处理器上编写的许可函数来计算许可状态。验证器的显示器还可以适于在操作阶段,例如除了信任数据之外,还显示通过许可指示器函数(例如哈希函数或数字签名)生成的指示令牌的许可状态的第一安全代码(称为许可指示器(IoC)代码),并且优选显示通过消息认证代码函数或MAC函数生成的第二安全代码(称为信任证明(PoT)代码),例如基于许可状态和验证器时钟(例如通过代表验证器时钟的增量状态,例如时间本身)在处理器单元上编写许可指示器函数,并且基于在验证器显示器上显示的数据(即,显示的信任数据和显示的IoC代码)在处理器单元上编写消息认证代码函数或MAC函数。在下文中,用作对用于生成第二代码的MAC函数的输入的该组数据,被称为MAC数据。
根据当前发明的优选实施例,IoC和/或PoT代码包括以下项目中的任一个或更多个:数字、字母、具有某颜色(例如红色、绿色、蓝色、黄色、青色、品红色等)的光。
验证器优选包括能够由令牌所有者随身携带的便携设备。该便携设备例如包括显示器和验证器时钟。验证器乃至标识设备的其他特征(例如验证器通信装置、令牌和处理器单元)可以配置在便携设备上,但是作为代替也可以配置在未由所有者携带的验证器的单独部分上,例如诸如服务器的计算机。根据本发明的这些实施例,验证器(例如无法随身携带的验证器的部分)例如能够生成一系列第一安全代码,例如作为代码表的一部分,然后,这些安全代码在初始化阶段被传输至验证器的便携部分,例如被传输至便携设备的存储器,以在操作阶段显示在验证器的显示器上。以这种方式,能够集中令牌和第一安全代码的周期性生成,从而具有如下优点:能够使便携设备更加简单,并且如果丢失,能够产生较小的安全隐患。该一系列第一安全代码例如可以符合统计随机性。
在本发明的另一实施例中,令牌上的标识数据还可以包括令牌所有者的安全信息,例如针对作为所有者的人,有生物特征物理数据(例如所有者的指纹或心电图)或生物特征知识数据(例如只有所有者知道的秘密pin码),针对作为所有者的物体,有生物特征签名数据(例如物体的噪声概况)。
标识设备(例如验证器,例如便携设备)可以配设有用于输入例如用来周期性控制便携设备的携带者的身份的其他安全信息的输入装置。例如,标识设备(例如验证器,例如便携设备)可以包括生物特征读取器,该生物特征读取器能够例如通过例如周期性检查佩戴者的心电图、并将该心电图与预先记录的心电图(例如存储在令牌中的心电图)相比较,来周期性检查标识设备的携带者的身份。另一示例可以是,请求携带者输入代码(例如pin码)并将该代码与基准代码(例如存储在令牌中的代码)相比较。另一示例可以是,验证器被附接到汽车上,同时具有声音检测器的该汽车的所有者能够检测汽车的噪声概况并将该噪声概况与存储在汽车的令牌中的噪声概况相比较。在所有这些情况下,验证器可以被构造为当检测到的生物特征签名数据与存储在令牌中的生物特征签名数据不对应时停止显示IoC和优选的PoT代码,从而确保验证器仅在被附着到令牌的真正所有者时工作。通过该特征,实现了抗欺诈的附加检查点。
通过使用本发明的标识设备,认证和验证过程的IoC和优选的PoT代码(如果存在)被连续显示在验证器显示器上,并且将根据验证器时钟的功能而改变,例如在验证器时钟的各增量状态下改变。由于在有效令牌组的令牌的所有标识设备上,验证器时钟的许可状态和增量状态优选相同,因此所有这些标识设备上的IoC代码将在验证器时钟的各增量状态下改变为相同的新的IoC代码。除非偶然,不是有效令牌组的一部分的令牌的标识设备将连续具有不同的IoC代码。因此,IoC代码已经提供关于令牌是否是有效令牌组的一部分的第一检查,并且该检查无需总是连接到网络,并且/或者无需使用其他类型的相当复杂的、例如使用导航(例如卫星导航)的系统(例如全球定位系统(GPS)、GLONASS、Galileo等)。
IoC和优选的PoT代码的连续显示可以使得能够以多种方式进行令牌的验证过程。例如,可以在任何时间点,通过显示在验证器显示器上的信息的纯可视检查,来核实令牌的验证。因此,能够通过人或系统来进行令牌的验证,而无需接近令牌以访问存储在令牌中的电子信息。而且,令牌的验证不需要验证器经由网络连续连接到信任机构的集中式系统。令牌的验证的另一示例可以是通过使用能够对由验证器提供给验证器的显示器的信息进行解码的系统,例如通过读取验证器的显示器上的信息。该系统能够进行多个标识设备的验证。当该系统例如被配置为访问具有有效令牌组的令牌的一个标识设备时,该系统能够核实其他标识设备的IoC并识别具有也是相同的有效令牌组的成员的令牌的标识设备。另外,由于IoC和PoT代码(如果存在)的连续显示,因此不再需要接近人来询问其凭证。
根据本发明的实施例,集中式系统可以配设有连接器设备和集中式系统时钟。连接器设备可以适于与验证器通信接口交互(优选安全交互),以在初始化阶段在集中式系统与验证器之间传输数据,例如包括用于将验证器时钟与集中式系统的集中式系统时钟同步的时钟同步信号、以及基于存储在令牌中的许可数据来指定是否能够赋予令牌特定许可状态的许可规则的数据,该特定许可状态指示使得所有者能够进行有效动作或获得有效状态。集中式系统还可以被布置为有权访问关于令牌或验证器的信任机构的安全元件,该安全元件可以包含在对令牌或验证器进行认证期间使用的数据信息。根据本发明的实施例,要在集中式系统与验证器之间传输的数据可以在端到端安全消息传送通道之上,并且/或者可以使用加密算法(例如公钥加密或对称秘钥算法)来加密。应当指出,可以使用其他加密算法或技术来加密要传输的数据,使得只有授权的第三方可以使用该数据并且/或者避免窃取。
通过使用用于在集中式系统与验证器设备之间传输信息的连接器,可以实现附加检查点。连接器可以被布置为在传输来自集中式系统的数据之前检查令牌和验证器的安全元件的真实性。结果,可以防止该信息的未授权访问或这种信息的复制。
根据本发明的实施例,还可以提供信任证明系统(PoTS)。信任证明系统可以包括至少一个根据本发明的标识设备,信任证明系统被布置为在初始化阶段与根据本发明的集中式系统协作或连接。可以通过信任机构来控制PoTS系统及用于PoTS系统的设备。因此,尝试伪造PoTS系统的设备将不会成功,这是因为伪造设备不会成功传输需要的数据,从而使得能够与系统中的其他设备进行通信。结果,伪造设备变得在PoTS系统中容易检测。
根据本发明的信任证明系统的优选实施例,信任证明系统的一些部分或所有部分例如是分别或作为整体防篡改的。根据这些实施例的一部分或多个部分例如被设计为抵抗第三方的未授权入侵和/或第三方的未授权操作,这些第三方例如未被授权访问一部分或多个部分中可用的某信息,例如与由信任证明系统使用的加密术(例如私钥和公钥加密算法)有关的信息。优选是防篡改的信任证明系统的多个部分例如是以下项目中的任一个或更多个:集中式系统(尤其是其连接器)、令牌(尤其是其存储器)、验证器(尤其是其显示器、处理单元、验证器时钟、验证器通信装置)等。例如能够通过使用当检测到干扰时例如能够置零乃至冷置零的防篡改芯片、并且/或者通过使用物理上中断多个部分乃至信任证明系统(例如标识设备,例如令牌或验证器或它们的部件中的一个)的更多个机械措施,来获得防篡改性。
根据本发明的实施例,在验证器的初始化阶段,在集中式系统与验证器之间传输(优选在端到端安全消息传送通道之上传输和/或使用现有技术可用的加密算法安全传输)的数据,可以包括一组时间规则。该时间规则使得处理器单元能够利用在处理器上编写的时间函数,计算一组时间间隔(下文中称为时间点组)。该时间点组被配置为对许可指示器函数的输入,使得针对各时间间隔生成各许可指示器代码。
通过使用时间规则,可以以针对验证器时钟的特定时间间隔生成IoC代码,该验证器时钟与中央系统时钟同步,因此与用于有效令牌组的所有验证器的所有验证器时钟同步。当启动信任证明系统时,时间规则可以仅被信任机构所知,并且可以由信任机构改变以用于下一次会话。因此,无权访问时间规则的无效令牌不能够以预定间隔生成IoC代码。以由时间规则指定的各时间间隔生成的IoC代码可以被布置为将所有验证器上的IoC代码同步切换为不可预测的新的IoC代码。结果,快捷的可视检查以及与由有效令牌生成的IoC代码的比较,足以从大量令牌中识别无效令牌,并由此验证令牌。例如,不能计算下一个IoC的欺诈方仅能够在IoC在令牌的验证器上可见时从有效令牌组复制该IoC。然后,该方必须在时间点组的各时间点,复制该新的IoC,并在该方假的验证器的显示器上得到该IoC。这种类型的欺诈实现起来比较复杂,在所有时间点不可靠,并且将总是具有由独立观察者可检测的时间延迟。
时间规则还可以定义验证器的操作阶段结束(例如验证器的操作阶段的会话结束)的时间期限。在操作阶段,验证器被布置为连续生成认证代码,例如IoC和PoT代码。在操作阶段期满时,验证器停止生成许可指示器代码和/或信任证明代码,直到新的初始化阶段出现为止。时间规则例如可以识别验证器设备的操作阶段可能在指定工作日结束时结束。
如果验证器包括作为能够由令牌所有者随身携带的便携设备的部分、以及未由所有者随身携带的验证器的另一部分(例如诸如服务器的计算机),则无法随身携带的验证器的部分还可以生成时间点组并且将时间点组包括在在初始化阶段传输到验证器的便携部分的代码表中。
在操作阶段,验证器可以以独立方式连续生成认证代码。因此,与现有技术中的方案形成对比,可以不需要标识设备或集中式系统、或信任证明系统在操作阶段连接到用于在系统的部件之间传输数据或指令的无线或有线网络。这样可以具有如下效果:可以大幅简化这种连续认证过程的成本和复杂性。
在由时间规则指定的时间段期间,由许可指示器函数生成的许可指示器代码在具有有效令牌(即,具有相同许可状态)的所有验证器的所有显示器上可以是相同的。该特征可以使得位于无效令牌附近的真实令牌的所有者能够识别出该无效令牌。结果,可以实现社会控制方案。该社会控制方案可以依赖独立观察者(例如在相同的安全许可区域工作的令牌所有者),以通知显示在与无效令牌连接的验证器上的IoC代码不与显示在其余令牌所有者的验证器上的IoC代码相对应,并向责任机构报告异常。
根据本发明的实施例,验证器的处理器单元可以适于从预定数据库中选择动画式许可指示器转换(IoC转换)。数据库可以包括在显示新的许可指示器代码之前或在显示新的许可指示器代码的同时将被显示在验证器的显示器上的动画式许可指示器转换。例如在操作阶段之前,例如当生产验证器时,可以将动画式许可指示器转换编码在验证器的内部数据库中。可替代地,可以在信任机构的中央系统中创建动画式许可指示器转换,并且可以在初始化阶段将动画式许可指示器转换例如作为许可规则的元件传输至验证器。当接收这些许可规则时,然后,验证器例如将提取动画式许可指示器转换,并且例如将动画式许可指示器转换存储在验证器内的内部数据库中,例如便携设备内的例如代码表中。显示的动画式许可指示器转换优选相同并同步显示在与有效令牌组的令牌链接的所有验证器上。另外,各验证器的处理器单元例如适于使得各潜在的许可指示器代码具有相应的唯一不同的动画式许可指示器转换,该动画式许可指示器转换被编在验证器的动画式许可指示器转换的数据库(例如内部数据库)中,并且要在示出新的相应的许可指示器代码之前或同时显示在验证器的显示器上,并且其中,动画式许可指示器转换数据库针对用于作为或想要作为有效令牌组的一部分的令牌的所有验证器相同。例如,许可指示器函数具有如下数据库,该数据库针对各潜在IoC代码具有不同的5秒动画。不同的数据库针对时间点组的各时间点存在。该动画包括可以在验证器的显示器上移动的彩色框和符号。例如,显示器可以包括不同颜色的光源,例如被配置为闪烁的二极管或LED,形成例如与IoC代码同时示出的动画式许可指示器转换的闪烁光源,使得能够进行更加简单的控制。
因为IoC代码、许可指示器函数和动画式IoC转换数据库可以在有效令牌组的每个验证器上相同,所以可以在所有验证器显示器上示出时间点组的每个时间点之前或同时的相同动画式IoC转换。当动画例如覆盖验证器的整个显示器时,从远距离看,社会控制方案更加可见。因此,由于欺诈方必须在其假的验证器上与有效令牌组的所有验证器同步地模拟不可预测的动画,所以无效令牌的使用甚至变得更加困难。
根据本发明的实施例,在初始化阶段在集中式系统与验证器之间通过连接器传输的数据可以包括由许可指示器函数使用的一组指示器规则,作为用于生成许可指示器代码的附加输入。
指示器规则可以是一组由集中式系统确定的、例如仅在预定时间段有效的机密规则,该时间段由时间规则定义,例如在工作日结束时结束的预定时间段。指示器规则可以在是或想要是有效令牌组的成员的令牌的所有验证器上相同,从而确保在所有这些验证器上以相同的方式计算IoC。指示器规则例如可以是进一步定义许可指示器函数的参数的形式。
在替代性实施例中,指示器规则可以是由信任机构在初始化阶段以严格保密的方式从集中式系统通过连接器传输至验证器的一组独立的规则。
指示器规则与许可指示器函数的集成,能够使系统的安全性更加鲁棒。信任机构例如可以考虑公布许可指示器函数,同时保持指示器规则机密。在指示器规则的一个示例偶然变成公开的情况下,信任机构足以在新的时间段生成新的一组指示器规则,以确保信任证明系统再次可靠。
通过使用指示器规则,可以防止IoC和PoT代码的伪造。因此,这种规则还增加了安全性,并防止在安全环境下使用无效令牌。
根据本发明的另一实施例,在初始化阶段,在集中式系统与验证器之间传输(优选在端到端安全消息传送通道之上传输和/或使用现有技术可用的加密算法安全传输)的数据,还可以包括一组信任规则,用作MAC函数生成信任证明代码的附加输入。信任规则可以是一组由集中式系统确定的、例如仅在时间点组的预定时间段(例如在工作日结束时结束的预定时间段)有效的机密规则。信任证明函数可以包括具有秘密秘钥的密码MAC函数,在这种情况下,信任规则可以包括这些密码MAC函数的秘密秘钥。信任规则可以在是或想要是有效令牌组的成员的令牌的所有验证器上相同,从而确保在所有这些验证器上以相同的方式计算PoT。
信任规则与MAC函数的集成,能够使系统的安全性更加鲁棒。现在,信任机构能够使MAC函数公开,同时保持信任规则机密。如果由于某原因信任规则的一个示例变成公开,则信任机构足以在新的时间段生成新的一组信任规则,以确保信任证明系统再次可靠。
如果验证器包括作为能够由令牌所有者随身携带的便携设备的部分、以及验证器的未由所有者随身携带的另一部分(例如诸如服务器的计算机),则可以在验证器的非便携部分中生成PoT代码,并在初始化阶段将PoT代码传输至便携设备。验证器的非便携部分例如能够生成一系列PoT代码(例如作为代码表的一部分),然后这些PoT代码被传输至便携设备(例如便携设备的存储器),以在操作阶段显示在便携设备的显示器上。以此方式,能够集中令牌和PoT代码的周期性生成,从而具有如下优点:能够使便携设备更加简单,并且如果丢失,能够产生较小的安全隐患。
通过使用仅可以在预定时间量有效的信任规则和指示器规则,保证在较长的期限(例如数年)几乎不可能伪造IoC和PoT代码的生成。
验证器还可以包括用于存储许可规则、时间规则、信任规则和指示器规则的存储器。许可规则、时间规则、信任规则和指示器规则可以存储在存储器中的由信任机构在发布验证器设备期间指定的特定位置。
因此,在验证器的认证期间,存储许可规则、时间规则、信任规则和指示器规则的存储器的精确位置还可以用作安全特征。
验证器还可以包括例如与上述相同的存储器,用来存储许可指示器函数、MAC函数、以及时间函数和/或许可函数(如果存在)中的任一个或更多个。
根据本公开的实施例,验证器通信装置可以包括,例如在初始化阶段排他地包括无线通信装置,例如NFC、蓝牙、移动电话网络等。初始化阶段的验证器通信装置还可以包括,例如排他地包括诸如物理触点、线缆、USB等的有线通信装置的使用。
无线通信装置的使用可以使得验证器能够连接到其他设备,而无需物理连接。有线通信的使用可以用于传输来自集中式系统的数据,以建立用于传输数据的更加安全的连接。在初始化阶段,在令牌、验证器、连接器和集中式系统之间的有线连接的使用,可以避免无线连接的所有安全风险,与先前的现有技术相比,提供了信任证明系统的附加利益。
根据本公开的实施例,如果验证器包括作为能够由令牌所有者随身携带的便携设备的部分、以及未由所有者随身携带的验证器的另一部分,则便携设备可以包括在初始化阶段与验证器的其他部分通信的通信装置,例如无线通信装置(例如NFC、蓝牙、移动电话网络等)并且/或者例如有线通信装置(例如物理触点、线缆、USB等)。
根据本发明的实施例,令牌和验证器可以被集成到由信任机构发布的单个标识设备。在该构造中,令牌可以适于根据通过连接器从集中式系统接收的信息,显示并生成显示的信任数据以及IoC和PoT代码。
通过将令牌和验证器集成到单个标识设备,可以显著降低成本和复杂性。
根据本公开的实施例,信任证明系统还可以包括如下控制器,该控制器用于验证显示在标识设备上的信息的有效性以及真实性,并且用于核实特定的标识设备是否是有效令牌组的成员。控制器包括用于捕获显示在标识设备上的数据的装置、显示器、处理器单元、控制器时钟以及用于在初始化阶段与集中式系统的连接器安全交互的控制器通信装置。从标识设备的显示器捕获的数据包括显示的信任数据、显示的许可指示器代码以及显示的信任证明代码。控制器包含与用于有效令牌组的令牌的验证器相同的许可指示器函数和MAC函数。控制器适于在初始化阶段通过连接器传输来自集中式系统的数据。这种数据可以包括所需的许可状态以及用于将控制器时钟与集中式系统的集中式系统时钟同步的时钟同步信号。控制器的处理器单元还适于基于所需的许可状态和控制器时钟,通过在控制器处理器单元上编写的许可指示器函数生成所需的许可指示器代码。基于在标识设备的验证器显示器上示出的显示的IoC代码和显示的信任数据,通过在处理器单元上编写的MAC函数来生成所需的信任证明代码。
如果必须被验证的标识设备的验证器需要使用指示器规则、时间规则、时间函数和/或信任规则,则这些规则还存在于在控制器的初始化阶段利用集中式系统传输的数据中,并且/或者在控制器的处理器单元上编写时间函数,从而能够使控制器的处理器单元适于再生成应该在验证器显示器上示出的IoC代码和PoT代码。根据其他优选实施例,处理器单元还被配置为将从验证器显示器捕获的IoC代码和PoT代码与通过控制器的处理器单元生成的所需的IoC代码和所需的PoT代码相比较,从而能够检测令牌是否是有效令牌组的一部分。
由此,控制器能够独立控制在任何验证器上显示的IoC代码、PoT代码和信任数据的有效性和真实性。控制器可以被布置为通过使用在验证器上可见的信息来识别无效令牌和/或无效验证器,而无需接近持有验证器和令牌的人或物体。
因此,通过提供信任证明系统中的控制器,添加另一安全层,以保证令牌及存储在其中的信息真实有效。在无效令牌的情况下,控制器可以检测,甚至可能是立即检测验证器上显示的信息不正确,并且警告责任机构采取适当措施。
根据本发明的实施例,控制器的处理器单元可以适于显示比较结果。在控制器的处理器单元中生成的许可指示器代码和信任证明代码、与在标识设备上显示并由控制器信息捕获装置捕获的IoC代码和PoT代码之间进行比较。
通过直接显示IoC和PoT代码之间的比较结果,由于可视地指示标识设备是否是有效令牌组的成员,因此能够更加容易地确定标识设备的状态以及显示在标识设备中的信息的真实性。此外,通过直接显示比较结果,责任机构能够加速大量令牌的认证过程,并且迅速采取行动来尝试在安全环境下使用无效令牌。
根据本发明的实施例,用于捕获控制器的信息的装置可以包括如下设备,该设备适于光学捕获标识设备的显示的数据(更具体地,显示的信任数据、显示的IoC代码和显示的PoT代码),并使用光学特征辨识接口将该数据转换为数字格式。例如,这种设备可以包括与适于转换以数字格式接收的图像的计算机连接的照相机。示例有具有关联系统的监视照相机、谷歌眼镜或任何其他的等效设备。
通过使用具有光学特征辨识接口的控制器,可以一次验证并认证多个令牌,而无需人为干预、无需控制器与标识设备之间的有线或无线电子连接。
根据本公开的实施例,信任证明系统还包括基准设备,该基准设备用于使得第三方能够核实在标识设备上显示的信息的有效性和真实性,并用于核实特定的标识设备是否是有效令牌组的成员。这里,将第三方定义为不是作为有效令牌组的成员的标识设备的所有者的人或物体。结果,当该第三方面对假装是特定的有效令牌组的一部分的人或物体(下文中称为伪装者)时,该第三方在其身上不具有用来比较和验证在伪装者的标识设备上显示的IoC代码的标识设备。为了解决这种情形,信任机构可以配设基准设备。基准设备具有显示器并连接到信任机构的集中式系统。然后,信任机构以相对于这些令牌的时间点组的定义的精确的时间延迟(例如10秒),将正确的IoC代码和有效令牌组显示在基准设备上。由于信任机构了解在正确的时间点生成正确的IoC代码所需的所有函数和数据,因此信任机构能够这样做。除了时间点组的所有时间点随着固定的精确的时间延迟而递增、并且例如在显示器上仅示出IoC代码之外,基准设备在内部作为验证器与有效令牌精确地工作。
然后,第三方能够通过比较伪装者的标识设备的出现的新的IoC代码,来核实伪装者的标识设备的有效性,并核实在时间延迟之后再基准设备上出现相同的IoC代码。由于基准设备以显著可视的时间延迟(例如10秒)显示IoC代码,因此使得无法创建假的标识设备。然而,第三方能够通过基准设备核实装者的标识设备的有效性。基准设备的使用示例有需要服务员具有有效的标识设备的饭店。当基准设备在饭店内可见时,饭店的顾客将能够通过核实在服务员的标识设备上显示的新的IoC代码以固定的精确的时间延迟(例如10秒)出现在基准设备上,来核实服务员具有有效的标识设备。
根据本发明的实施例,可以提供用于对令牌中的信息进行验证并由此进行认证的方法,该方法包括如下步骤:在初始化阶段初始化验证器设备,该初始化步骤包括如下步骤:向验证器呈现包含人或物体的信息的令牌,该信息包括标识数据,该标识数据包括许可数据和信任数据并唯一识别人或物体;通过验证器通信装置将令牌连接到验证器,从而使得验证器能够访问存储在令牌的存储器中的信息;通过验证器通信装置将验证器连接至集中式系统的连接器,以通过连接器在验证器与集中式系统之间传输(优选安全传输)数据,该数据包括适用于有效令牌组的所有令牌的、包括时间规则、许可规则、指示器规则、信任规则和将验证器时钟与集中式系统的时钟同步的时钟的所有数据;以及处理收集的信息,该处理步骤包括如下步骤:通过许可函数将许可规则应用到令牌的许可数据,来在验证器的处理器单元中计算令牌的许可状态;如果适用,则使用以验证器时钟和时间规则作为输入的时间函数,在验证器的处理器单元中计算时间点组;如果验证器包括便携设备,则计算代码表(如果适用,则包括时间点组)并向便携设备传输代码表,然后开始验证器的操作阶段,包括如下步骤:在验证器的处理器单元中,使用在处理器单元上编写的以许可状态、时间点组(如果适用)的特定时间点、代码表(如果存在)和可选指示器规则作为输入的许可指示器函数(例如数字签名、哈希函数或从代码表(如果存在)中选择的算法),计算许可指示器(IoC)代码;在各特定的时间点,在验证器的显示器中显示与该时间点相关联的信任数据和IoC代码;在验证器的处理器单元中,使用从代码表(如果存在)中选择的算法并且/或者使用消息认证代码(MAC)函数,基于显示的信任数据、显示的IoC代码和可选信任规则,计算信任证明(PoT)代码,并在验证器的显示器中与通过处理器单元生成的信任数据、IoC代码和PoT代码一起显示。
该方法还可以包括使用控制器设备来对显示在令牌(请求作为有效令牌组的一部分)的验证器的显示器上的信息进行验证并由此进行认证。控制器包含与有效令牌组的令牌的验证器相同的指示器函数、MAC函数以及时间函数(如果适用)。在用于认证和验证之前,控制器需要经历与验证器类似的初始化阶段。可以通过以完全安全和机密的方式,使用通信接口、通过连接器将控制器连接到属于信任机构的集中式系统,来初始化控制器。当控制器被连接至集中式系统时,可以经由通过连接器建立的通信链接传输所需的数据。这种数据可以包括但不限于与在令牌(请求作为有效令牌组的一部分)的验证器中使用的数据相同的数据,即用于将控制器时钟与集中式系统的时钟同步的时钟同步信号、所需的许可状态以及时间规则、指示器规则和/或信任规则(如果适用)。如果适用,还可以基于同步时钟和时间函数生成时间点组,其中,时间点组与在令牌(请求作为有效令牌组的一部分)的验证器中使用的相同。接下来,可以开始控制器的操作阶段,以通过使用在控制器的处理器单元中编写的、以时间点组(如果适用)、所需的许可状态、以及指示器规则(如果适用)作为输入的许可指示器函数,(再)生成所需的IoC代码,来核实标识设备的有效性。控制器可以包括用于捕获在标识设备的验证器显示器上显示的信息的捕获装置,并将捕获的数据作为输入提供给控制器的处理器单元,从而使得能够直接进行验证器的显示的IoC与由控制器的处理器单元生成的所需的IoC之间的比较。比较结果可以显示在控制器显示器上。为了进一步确认验证器显示器上显示的数据是真实的,控制器可以被布置为使用以显示的IoC代码、验证器上显示的信任数据、以及信任规则(如果适用)作为输入的MAC函数,生成所需的PoT代码。再次由控制器的处理器单元生成的所需的PoT代码可以与验证器上显示的PoT代码进行比较,并且比较结果可以显示在控制器的显示器上。IoC代码和PoT代码之间的比较结果还可以被发送至信任机构或其他安全机构,使得能够立即采取对抗无效令牌的行动。
一般描述
图1示出了根据本发明的实施例的可以用于对令牌11中的信息进行认证和验证的标识设备10。这里展示的标识设备10包括验证器设备20,验证器设备20可以是由信任机构单独提供的电子设备,验证器设备20可以被配置为与令牌11协作。例如,验证器20可以是适于与令牌11一起工作并可视佩戴于人的胸部的、具有读卡器的徽章夹。验证器20的其他示例可以包括安装在汽车或卡车的车牌旁边并与能够以电子方式读取汽车或卡车仪表盘上的令牌11的设备相连接的显示设备。
根据本发明的实施例,令牌11可以配设有可以存储在令牌上并且不适于被复制到其他令牌的芯片的加密数字签名算法(被称为安全元件)。例如,安全元件可以指定仅被信任机构所知的唯一存储器位置,该唯一存储器位置中可以存储来自信任机构的所需数据。在其他示例中,安全元件可以是集成在令牌的电子芯片上的独立的电子部件。安全元件可以用作令牌对其他方的加密认证机制,以确保只有信任方有权访问存储在令牌中的标识数据43。例如,检查点处的认证系统可以以电子方式读取令牌的内容,根据密码学实践来认证令牌上的安全元件,并区分真实令牌与欺诈性令牌。
图2展示了对根据本发明的实施例的验证器设备20的示意性描述。验证器20可以配设有用于与令牌交互的通信接口25,通信接口25可以是可以优选使用加密算法进行保护的有线或无线接口。还可以配设另一通信接口26用于通过连接器27与信任机构的集中式系统30交互,根据安全需求,通信接口26也可以是有线或无线通信接口。优选地,连接器27与集中式系统30之间的通信接口也可以在端到端安全消息传送通道上和/或可以使用现有技术中可用的加密算法(例如公钥加密或对称秘钥算法)来保护。此外,验证器20还可以配设有用于处理信息的处理器单元21以及配设有由信任机构提供的安全元件22。处理器单元21可以包括存储的软件程序和用于存储生成的输入和输出数据的存储器。靠近处理器单元21,特定签名或哈希函数可以存储在安全和加密数据库55中并用作处理器单元21上的程序,该函数仅对信任机构已知并在下文中称为许可指示器函数(indicator-of-Clearance-Function)23。许可指示器函数23可以是例如将多个输入数据变换为单个输出结果的任何函数。然而,许可指示器函数23必须具有至少一个特征:如在验证器可操作的时段期间基于通过函数并且通过先前的输入数据所生成的先前输出结果由密码学实践所限定的那样,输出不应当是可预测的,或者至少不是基本上可预测的。这种函数的示例为签名函数或哈希函数,例如SHA-1、SHA-2和SHA-3。为了进一步增加安全级别,可以在安全和加密数据库55中存储根据密码学实践的另一特定消息认证代码(MAC)函数24,用作处理器单元21上的仅对信任机构已知的程序。验证器20还可以配设有用于同步事件的内部时钟28以及用于对存储在令牌中的标识数据43和在验证器20中生成的认证相关信息的全部或部分进行显示的显示器17。在下文中,待显示的、存储在令牌中的标识数据的部分或子集被称为信任数据45。可以由发布令牌的信任机构来选择信任数据45,以使得显示的信任数据45足以在特定的安全环境下唯一标识令牌所有者。这种显示的信任数据45的示例可以是汽车的车牌号码、人的姓和名12、人的身份证号13、以及分配给人的项目代码14。
在令牌11请求作为有效令牌组(Set-of-Valid-Tokens)的一部分的情况下,验证器设备20可以与令牌11结合使用,以使得能够执行存储在令牌11中的信息的认证和验证。验证器20在初始化阶段之后可认证令牌11,并从令牌11和集中式系统30收集数据,优选通过端到端安全消息传送通道和/或使用现有技术中可用的加密算法来保护数据的收集。在图3和图4中示出了验证器的初始化阶段的示例,通过实箭头来表示该初始化阶段。该初始化阶段(下文中称为初始化阶段)可开始于向验证器20展示令牌11以使得验证器20可以通过通信接口25来访问令牌11的安全元件以认证令牌11。一旦建立了与令牌的通信,验证器20就可以开始通过有线或无线通信接口25读取存储在令牌中的标识数据43,该标识数据43还可以包括许可数据44和信任数据45。此时优选地,验证器20还可以连接到属于信任机构(例如政府组织或私人组织)的集中式系统30。可以使用连接器设备27来建立这种有线或无线通信接口26,以使得能够通过连接器27以完全安全和机密的方式在验证器20与集中式系统30之间传输数据。优选地,通过端到端安全消息传送通道和/或使用现有技术中可用的加密算法来保护数据的传输。集中式系统30可以首选开始通过连接器27来认证验证器20的安全元件22。连接器27也可以包含安全元件,以使得信任机构能够在任何时间点核实连接器27的真实性(即,认证连接器27)。连接器设备27的示例有被布置为经由通过连接器27所建立的与集中式系统30的通信链接来传输数据信息的接触式读卡器或邻近徽章读取器(proximity badge reader)。从集中式系统30传输到验证器20的数据信息可以包括用于将验证器时钟28与集中式系统的时钟31同步的时钟同步信号。通过时钟同步信号,所有用来核实有效令牌组的验证器20可以与信任机构的集中式时钟31的同一时钟同步。而且,集中式系统30可以优选安全地并且/或者通过端到端安全消息传送通道向验证器20传输不同数据组,例如许可规则32和可选地为时间规则34,如图4所示。对于用来对作为或者想要成为特定有效令牌组的成员的令牌进行核实的所有验证器,这些数据组可以是相同的。
接下来,然后,验证器可以通过例如许可函数41来将许可规则32应用到令牌11的许可数据44,以确定许可状态46。许可函数可以存储在安全和加密数据库55中并用作处理器单元21上的程序。许可规则32可以是由集中式系统30颁布的用来核实令牌中的许可数据44的标准的形式,并且基于许可规则32可以确定令牌的特定有效许可状态46。例如,许可规则32可以规定令牌的许可数据44应当至少包含职称列表中的一个职称,以向令牌所有者赋予使其能够例如进行某动作和/或处于特定位置和/或在某时间量期间的有效许可状态46。在本公开的特定实施例中,许可规则32可以被传输至验证器20,并且可以由验证器20的处理器单元21使用许可函数41,通过将许可规则32应用到存储在令牌中的许可数据44,来生成许可状态46。在其他实施例中,集中式系统30可以通过连接器27将令牌11的许可数据44传输至集中式系统30来生成许可状态46,并通过连接器27将所得的许可状态46发送回验证器20。
基于收集的数据,验证器20可以定义一组时间间隔(称为时间点组52),在该组时间间隔,验证器20可以生成并显示认证和验证相关信息。可以利用使用时间规则34和由内部验证器时钟28定义的时间作为输入的时间函数51来确定时间点组52。时间函数可以存储在安全和加密数据库55中,并用作处理器单元21上的程序。由于验证器时钟28和时间规则34可以针对用于请求作为有效令牌组的一部分的令牌的所有验证器相同,因此时间点组52也可以在所有验证器20相同。例如,时间规则34可以定义必须当前日历日的每5秒(例如格林尼治标准时间2013年5月18日,在0时0分4秒处开始)计算并显示认证相关信息。这样,时间点组52是在整个格林尼治标准时间2013年5月18日的0时0分4秒、0时0分9秒、0时0分14秒直到23时59分59秒。在另一示例中,时间规则34可以定义必须以在格林尼治标准时间2013年5月18日的18时0分0秒处开始并且以时间间隔X增加的方式,计算并显示认证相关信息,其中X是在时间规则中包含的一组自然数。当X例如是17、12、3等时,时间点组是整个格林尼治标准时间2013年5月18日的18时0分0秒、18时0分17秒、18时0分29秒、18时0分32秒等。
当所有所需的数据已经在验证器20与集中式系统30之间、以及验证器20与令牌11之间传输时,并且当执行了上述任务时,可以关闭初始化阶段,并且验证器可以进入操作阶段。验证器的操作阶段的示例在图3和图4中示出,并由虚箭头表示。然后,可以基于在初始化阶段计算的许可状态46和指示器时钟28的状态、以及/或者可选地由指示器时钟28的状态确定的时间点组52的特定时间点,通过在验证器处理器单元21上编写的许可指示器函数23,来生成IoC代码15。IoC代码15可以表示根据由信任机构颁布的许可规则32而分配给令牌所有者的许可状态46的类型。由于有效许可状态46、验证器时钟的状态以及时间点组52针对特定有效令牌组的所有验证器20相同,因此IoC代码15也可以针对在时间点组52存在的时间间隔期间满足特定组的许可规则32的所有令牌11相同,由此便于检测和防止无效令牌。
IoC代码15可以在计算出的精确的特定时间点显示在验证器的显示器17上。IoC代码15显示在显示的信任数据45旁边。
通过显示可以针对具有相同有效安全许可的所有令牌所有者相同的IoC代码15,可以实现社会控制方案。该社会控制方案可以依赖独立观察者(例如在相同的安全许可区域工作的令牌所有者),以通知显示在与无效令牌链接的验证器20上的IoC代码15不与显示在其余令牌所有者11的验证器20上的IoC代码相对应,并向责任机构报告任何异常。由于IoC代码15在时间点组52的各时间点,在有效令牌组的所有验证器20上同步切换为不可预测的新的IoC代码15,因此在各时间点可以容易地检测到欺诈。例如,当IoC 15在令牌11的验证器20上可见时,无法计算下一IoC 15的欺诈方仅能够从有效令牌组复制该IoC 15。然后,该方必须在时间点组52的各时间点复制该新的IoC 15,并在该方假的验证器的显示器上得到该IoC。尽管可能进行这种类型的欺诈,但是这种类型的欺诈实现起来比较复杂,在所有时间点不可靠,并且可能总是具有由独立观察者可检测的时间延迟。
为了进一步增加安全措施,还可以在显示新的IoC代码之前进行动画式许可指示器转换,或者可以与新的IoC代码同时出现动画式许可指示器转换。然后,验证器例如可以包含如下数据库,该数据库针对各潜在IoC代码具有不同的5秒动画。该动画可以包括可以在验证器的显示器上移动的彩色框和符号。该数据库在用于请求作为有效令牌组的一部分的令牌的所有验证器上相同。
因为IoC代码可以在有效令牌组的每个验证器上相同,所以相同的动画式IoC转换将同时出现在有效令牌组的所有验证器上。当动画覆盖验证器的整个显示器时,从远距离看,社会控制方案更加可见。因此,由于欺诈方必须在其假的验证器上与有效令牌组的所有验证器同步地模拟不可预测的动画,所以无效令牌的使用甚至变得更加困难。
为了进一步增加安全措施,验证器20的处理器单元还可以生成PoT代码16。通过在验证器处理器单元上编写的使用MAC数据49作为输入的消息认证代码(MAC)函数24,来生成PoT代码16,MAC数据49包括,优选由均在验证器显示器17上示出的显示的信任数据45和显示的IoC代码15组成。PoT代码16可以针对各令牌11唯一不同,并且可以用来核实在验证器显示器17上示出的所有信息是否真实。这是因为PoT代码16是基于可以针对各令牌所有者不同的显示的IoC代码15和显示的信任数据45。可以通过在最新的认证和/或密码学实践中定义的任何MAC算法(例如当前的3D-MAC、AES-MAC和H-MAC),来实现在处理器单元21中编写的MAC函数24。
因此,通过使用本发明的标识设备10,即使欺诈行为人能够从有效令牌组的验证器20复制正确的IoC 15,并且即使该欺诈行为人成功地将该IoC 15立即显示在其假的验证器20的显示器上,如果不具有正确的MAC函数24,该欺诈行为人也无法显示正确的PoT代码16。由于该函数仅对信任机构已知,因此欺诈行为人将无法掌握正确的MAC函数24,从而该欺诈行为人将无法生成正确的PoT 16(除非偶然)。另外,IoC代码15可以在时间点组52的各时间点改变。该预防措施具有如下效果:可以通过验证器处理器单元21在时间点组52的各时间点再生成IoC代码15和PoT代码16。IoC代码15的再生成还可以导致PoT代码16的再生成,使得在安全环境下使用无效令牌更不可行。
例如,在向验证器20展示无效令牌的情况下,由于在验证器显示器17中显示的IoC代码15和PoT代码16不正确或者根本未生成,因此将立刻表现出无效,从而指示无效令牌。
信任机构可以被布置为识别无效令牌和/或无效验证器。这可以通过基于均被信任机构已知的许可指示器函数23、MAC函数24、所需的许可状态46以及时间规则34、针对各验证器再生成IoC代码15和PoT代码16来实现。因此,信任机构能够基于显示的信任数据45独立控制在任何验证器20上显示的IoC代码15和PoT代码16是否正确。由于IoC代码15和PoT代码16在显示器17上可见,因此可以可视地检查IoC代码15和PoT代码16,使得当所有者可视地定位显示器时,能够检查验证器20和令牌11,而无需接近所有者。而且,通过显示信任数据45,可以从远处检查IoC代码15和PoT代码16、以及大量令牌11。
图10是在操作阶段的时间段期间具有多个标识设备的用户体验的示例。在该示例中,令牌是智能卡并且所有者是人。标识设备1、2和4具有有效令牌,而标识设备3具有无效令牌。已经计算出时间点组,并且图10以四个时间点(16时12分20秒、16时12分35秒、16时13分00秒和16时14分05秒)开始示出了标识设备的可视元件。在各时间点,显示IoC 15和PoT16。将IoC 15显示为黑色框中的白色3位数字,而将PoT 16显示为具有虚线轮廓的白色框中的黑色3位数字。另外,在时间点1,显示器还示出了来自标识数据的一组信任数据,而在时间点2、3和4,示出与动画式许可指示器转换90相结合的、来自标识数据的不同组信任数据,此处,动画式许可指示器转换90在时间点2例如为卡车、在时间点3例如为锯以及在时间点4例如为滚动油漆刷。
可以清楚地看出,针对标识设备1、2和4,IoC 15和动画式许可指示器转换90在每个时间点处相同,并且下一个IoC 15的显示总是不可预测。相反地,标识设备3的显示不同。结果,建立了强大的社会控制方案,其中,标识设备3将作为无效设备长期可见。由于下一个IoC 15不可预测并且PoT 16是抗欺诈的附加保护,因此佩戴标识设备3的人也将无法创建下一个要显示的IoC 15。
另外,如果标识设备配设有生物特征读取器(稍后将进一步说明),则一个人也无法佩戴其他所有者的标识设备。在这种情况下,图10的显示也保证了标识设备1、2和4被附着到正确的所有者1、2和4。相反地,即使具有生物特征读取器的标识设备3包含有效令牌,当该设备被附着到不同于所有者3的人时,显示器也将示出与图10相同的内容,从而指示未通过信任机构验证携带标识设备3的人。
在无效的验证器设备用于认证的情况下,这种设备可能无法连接到集中式系统30,从而无效的验证器设备无法获得所需的信息(例如时间规则34、许可规则32等)。结果,显示的代码不是错误的(例如随机数据)就是无法在由时间规则定义的预定间隔改变。
为了进一步增加安全措施,还可以由集中式系统30颁布指示器规则33,并且可以在初始化阶段将指示器规则33传输(优选安全传输和/或通过端到端安全消息传送通道)至验证器20,以供许可指示器函数23用来生成IoC代码15。指示器规则33可以是由集中式系统30确定的、例如仅在时间点组的预定时间段(例如直到工作日结束的预定时间段)有效的一组机密规则。使用指示器规则33,信任机构可以使得许可指示器函数23公开,同时保持指示器规则机密。结果,如果指示器规则的示例被公众已知,则信任机构足以在新的时间段生成新的一组机密指示器规则33,以确保信任证明系统再次可靠,从而在验证器20中添加另一安全特征以检测无效令牌的使用。指示器规则33在是或想要是有效令牌组的成员的令牌11的所有验证器20上相同,从而确保在所有这些验证器上以相同的方式计算IoC。
可以通过使用哈希函数作为具有3位输出的许可指示器函数23的验证器设备,来实施指示器规则33与许可指示器函数的结合。例如,指示器规则33可以等于由集中式系统30生成的单个随机100位数,指示器规则33可以在用于特定有效令牌组的所有验证器20上相等。结果,通过哈希函数,基于计算出的许可状态46、100位随机数和来自时间点组52的特定时间点,生成IoC 15。
此外,为了进一步增加安全级别,还可以由集中式系统30颁布信任规则35,并且可以在初始化阶段将信任规则35传输(优选安全传输和/或通过端到端安全消息传送通道)至验证器20,以供MAC函数24用来生成PoT代码16。与指示器规则33类似,信任规则35可以用作在验证器处理器21中编写的MAC函数24的输入,以生成PoT代码16。信任规则35可以是由集中式系统30确定的、例如仅在时间点组的预定时间段(例如直到工作日结束的预定时间段)有效的一组机密规则。使用信任规则35,信任机构可以使得MAC函数24公开,同时保持信任规则机密。结果,如果信任规则的示例被公众已知,则信任机构足以在新的时间段生成新的一组机密信任规则35,以确保信任证明系统再次可靠,从而在验证器20中添加另一安全特征以检测无效令牌的使用。信任证明函数可以包括具有秘密秘钥密码学MAC函数,在这种情况下,信任规则35可以包括用于这些密码学MAC函数24的秘密秘钥。信任规则35在是或想要是有效令牌组的成员的令牌11的所有验证器20上相同,从而确保在所有这些验证器上以相同的方式计算PoT。
根据本发明的实施例,当必须在信任证明系统的部件之间交换信息时,可以物理上连接部件之间的所有通信接口,从而避免在本发明的该实施例的任何阶段使用无线网络。在这种情况下,用来与令牌11和连接器设备27通信的验证器通信接口25和26可以是有线接口。例如,为此,令牌11、验证器20和连接器设备27可以配设有物理触点。因此,为了在不同设备之间传输数据,可以在不同设备之间创建物理触点。该物理触点可以是短期(例如小于1秒)的并可以用于传输执行和关闭初始化阶段所需的数据。当验证器或控制器进入其操作阶段时,可以中断有线接口。此外,连接器27还可以通过有线网络与集中式系统30物理上连接。
可替代地,当可以在系统的不同部件之间交换信息时,在初始化阶段,信任证明系统的部件之间的通信接口还可以在安全无线网络上。例如,可以通过近场通信(NFC)、蓝牙等来实现这种通信接口。以此方式,能够远距离建立通信。当验证器或控制器进入其操作阶段时,可以中断无线网络连接。
集中式系统30可以配设有连接器设备27,并且可以包含可以将信任证明系统中的所有设备同步到的集中式系统时钟31。连接器可以适于与验证器通信接口26交互,以在验证器20与集中式系统30之间传输数据。可以由信任机构来使用集中式系统30,以通过连接器27向验证器20提供通过由连接器27建立的安全通信通道传输的信息。此外,连接器设备27可以适于传输数据,优选安全地和/或通过端到端安全消息传送通道和/或使用加密算法(例如时间规则34和许可规则32)来传输数据,从而指定存储在令牌11中的许可数据44是否指示使得物体或人能够进行动作。连接器设备27还可以适于传输指示器规则33和/或信任规则35。
集中式系统30可以存储在位于信任机构附近的服务器中,或者可以在信任机构的监督下存储在放置在安全外包位置的服务器中。因此,对存储在其中的信息的访问仅可以限于信任机构。
为了提供具有高吞吐量的简单的认证过程,可以由信任机构提供电子设备来快速控制和认证验证器和有效令牌组的关联令牌,下文中称为控制器60。在图5、图6和图7中示出了控制器60的示例。控制器使得信任机构能够将其控制能力委托给任何其他方。
控制器设备60可以被构造为检查是或不是特定有效令牌组的成员的令牌11的大量验证器20上可见的信任数据45、IoC代码15和PoT代码16。控制器60可以配设有用于显示信息的显示器68、用于处理信息的处理器单元62、存储的软件程序以及输入输出数据的存储空间。捕获设备69还可以被配置为能够收集验证器20的显示器上的信息并使该信息进入控制器62的处理器单元,例如OCR(光学字符辨识)照相机或键盘。控制器还可以包括内部时钟61、优选通过端到端安全消息通过和/或使用加密算法保护、以通过连接器27在控制器60与集中式系统30之间传输数据的通信接口70。通信接口70可以是有线的或无线的。控制器60可以具有使得信任机构能够在任何时间点核实控制器60的真实性的安全元件63。控制器60可以适于使用许可指示器函数64和MAC函数65生成所需的IoC代码73和所需的PoT代码74。控制器60还可以包含时间函数67以计算时间点组。控制器的许可指示器函数64、MAC函数65和时间函数66,与请求作为有效令牌组的成员的令牌的验证器20上的相应的许可指示器函数23、MAC函数24和时间函数51相同。许可指示器函数64、MAC函数65和时间函数66可以存储在控制器的安全和加密数据库56中,并用作处理器单元62上的程序。
在使用控制器60对验证器显示器17上显示的信息进行认证和验证之前,可以如图6和图7所示开始由实箭头表示的初始化阶段。在初始化阶段,控制器可以传输(优选安全传输和/或通过端到端安全消息传送通道传输)来自集中式系统30的所需信息,以对验证器显示器17上显示的信息进行认证和验证。控制器可以首先优选以完全安全和机密的方式,通过连接器27连接到属于信任机构的集中式系统30。通过连接器27可以传输一组数据,该数据可以包括用于将控制器时钟61与集中式系统的时钟31同步的时钟同步信号。集中式系统30还可以传输(优选安全传输和/或通过端到端安全消息传送通道传输)所需的许可状态71以及时间规则34、指示器规则33和/或信任规则35(如果适用)。该信息传输至与请求作为有效令牌组的成员的令牌的验证器的信息相同。因此,基于时间规则34和时间函数66,控制器60可以生成与用于有效令牌组的验证器相同的时间点组52。
在该初始化阶段之后,控制器进入由图6和图7中的虚箭头表示的操作阶段。使用所需的许可状态71以及指示器规则33和时间点组52(如果适用)作为输入,在控制器60的处理器单元62上编写的许可指示器函数64可以在给定时间点生成所需的IoC代码73,该所需的IoC代码73应当与作为有效令牌组的成员的令牌的所有验证器上可见的IoC代码73相同。现在,控制器60可以继续进行显示在验证器显示器17上的信息的验证。可以通过首先捕获在验证器20的显示器17上可见的数据(即可见的信任数据45、可见的IoC代码15和可见的PoT代码16)来进行验证过程。然后,可以使用该捕获的数据作为控制器60的处理器单元62的输入。
在控制器60执行控制的时间点,控制器60的处理器单元62将显示的IoC 15与所需的IoC 73相比较。如果它们匹配,则可以将包括验证器20和令牌11的标识设备10视为有效,并且控制器60可以将比较结果显示在控制器显示器68上。
控制器60的处理器单元62还可以通过使用显示的信任数据45、显示的IoC 代码15以及MAC函数65中的信任规则35(如果适用)作为输入,来计算所需的PoT 74。然后,可以将控制器的处理器单元62生成的所需的PoT 74与验证器20的显示的PoT 16相比较。在PoT代码16和74相匹配的情况下,可以将包括验证器20和令牌11的标识设备10视为真实的。控制器60还可以将这种PoT比较的结果显示在控制器显示器68上。
通过这些步骤,控制器可以执行标识设备10的扩展核实:如果IoC代码15和73以及PoT代码16和74均匹配,则标识设备10可以是有效、真实的;如果PoT代码16和74匹配、而IoC代码15和73不匹配,则标识设备是真实的、但不是有效的;如果PoT代码16和74不匹配,则标识设备不是真实的(换句话说,是假的),并且也不是有效的,而与IoC代码15和73的比较结果无关。
在显示在验证器20中的一个或两个安全代码不正确的情况下,可以通过使用适于与令牌11通信的控制器60的直观检查,来进行进一步检查,这种设备可以包括NFC兼容并且具有控制器功能的小型程序的移动电话。
可以形成用于认证存储在令牌中的信息的集成信任证明系统,该系统包括根据本公开的实施例的信任机构的集中式系统30、包括令牌11和验证器20的标识设备10、连接器27和控制器60。
通过使用这种信任证明系统,可以以快捷、一致、连续可见的方式识别大部分类型的欺诈、令牌的无效使用或伪造使用。可以在以下情形中实施信任证明系统的使用:
在与不具有所需许可数据的真实令牌结合来使用有效验证器的情况下,验证器将令牌识别为无效并在其显示器上示出无有效数据(例如IoC无效但PoT有效),从而使得能够从有效令牌的全部所有者进行社会控制。在这种情况下,控制器能够将验证器识别为无效但是真实的,因此未识别为假的。
在另一示例中,与具有令牌上的假的可见数据以及假的芯片的令牌结合来使用有效验证器,验证器将该令牌识别为假的。因此,在验证器显示器中将不会示出有效的IoC代码和PoT代码,从而使得能够从有效的标识设备的全部所有者进行社会控制。在这种情况下,控制器将标识设备识别为包括非真实的、假的部件。
在又一示例中,示出欺诈性标识数据以及随机IoC和随机PoT的假的验证器的使用,将被控制器识别为无效且非真实的,这是因为该验证器的IoC代码和PoT代码与通过控制器计算出的代码不同(除非偶然)。这也使得能够从具有真实验证器的有效令牌的全部所有者进行社会控制。
在另一示例中,示出欺诈性标识数据、立即从有效令牌组的有效验证器复制的IoC代码以及随机PoT的假的验证器的使用,将被控制器识别为非真实的,因此是假的。
在又一示例中,可以将真正的验证器设备与从所有者偷走的真正的令牌相结合。在验证器和令牌经过初始化阶段之前,令牌被偷走,并且令牌所有者向信任机构宣告令牌被偷走。在这种情况下,在下一初始化阶段,将该令牌辨识为被偷走,并且限制该令牌的进一步使用。然后,验证器将该令牌识别为受限,并且例如不会在其显示器上示出有效数据、IoC,而是示出正确的PoT,从而使得能够从有效令牌的全部所有者进行社会控制。因此,控制器将验证器识别为无效但是真实的。
在另一示例中,可以将真正的验证器设备与从所有者偷走的真正的令牌相结合。可能在令牌经过初始化阶段之后,令牌被偷走,或者所有者未向信任机构宣告令牌被偷走。此外,所有者的ID照片可以存储在令牌中并在验证器的显示器中示出。结果,在验证器的显示器上示出的ID照片与携带验证器和令牌的人不同,从而使得社会控制能够将携带验证器的人识别为与所有者不同的人。
在另一示例中,可以将真正的验证器设备与从所有者偷走的真正的令牌相结合。在令牌经过初始化阶段之后,令牌被偷走,或者所有者未向信任机构宣告令牌被偷走。所有者的ID照片未在验证器的显示器中示出。因此,可能在令牌上打印假的ID照片。在这种情况下,为了避免这种类型的欺诈,推荐信任机构在验证器的显示器上示出在令牌的存储器中包含的ID照片。当信任机构知道令牌被偷走时,该令牌将被限制。而且,照片可以是信任数据的一部分,使得当假的ID照片被打印到令牌上时,PoT代码将不再正确,使得可以检测到假的标识设备10。针对这种类型的欺诈的另一方案是配设有生物特征读取器80的验证器20。
在又一示例中,欺诈行为人能够在集中式系统中创建假的令牌所有者,以获得真正的验证器,并利用假的许可数据生成关联技术的真正的令牌。在这种情况下,无法检测到欺诈。然而,如果根据密码学中标准的良好实践来组织并实现信任机构,则这种类型的欺诈是不可行的。
作为抗欺诈的附加保护,验证器20可以配设有可以从验证器20所附着的人或物体提取生物特征信息的读取器,下文中称为生物特征信息读取器80。例如在图8中示出了这种验证器,并在图9中进一步详细地示出了这种验证器。验证器20还可以配设有处理单元(下文中称为生物特征处理单元81),该处理单元能够将由生物特征读取器生成的生物特征信息转换为签名代码(下文中称为生物特征签名数据82(图8和图9))。在这种情况下,令牌11的标识数据还包含令牌11的所有者的生物特征签名数据82。该生物特征签名数据82能够用作识别令牌11的所有者的基准数。当所有者是人时,示例有该人的心电图或指纹、或者仅对所有者已知的pin码的签名,而当所有者是物体时,示例有物体(例如汽车)的引擎的噪声概况的签名。然后,在初始化阶段,验证器还从令牌11获得该生物特征签名数据82,并且例如将该生物特征签名数据82存储在验证器的加密数据库55中。然后,在操作阶段,验证器可以使用其生物特征读取器80和其生物特征处理单元81来从验证器所附着的人或物体获得相关的生物特征签名数据82。如果从生物特征读取器80获得的生物特征签名数据82与从令牌11获得的生物特征签名数据82匹配,则验证器20可以推断出验证器20附着于或至少存在于正确的人或物体上(排除合理性怀疑)。然后,验证器20可以继续执行指定不变的操作阶段。如果从生物特征读取器80获得的生物特征签名数据82与从令牌11获得的生物特征签名数据82不匹配,则验证器20可以推断出验证器20未附着于或不再附着于正确的人或物体上(排除合理性怀疑)。然后,验证器20可以中断指定的操作阶段,而显示表明验证器20未附着于令牌11的正确所有者的消息。
由于验证器20内的该生物特征读取器80,几乎无法从所有者使用令牌11以及利用附着于与所有者不同的人或物体的验证器20使用该令牌11。因此,该特征使得还能够可视地验证特定的人或物体(除了该人或物体的令牌11之外)是真实的并且/或者具有适当的权限来执行任务和/或存在于特定位置(排除合理性怀疑)。由于该特征,本发明的该实施例使得能够在整个操作阶段,提供人或物体的连续的、例如双因素认证,这是因为,如果所有权因素(在这种情况下,如果适用,为所有者必须持有的令牌或所有者需要提供的标识代码)和固有因素(在这种情况下,为生物特征,并且如果适用,例如与标识代码不同)二者均被验证器核实,则验证器将仅认证所有者。例如通过在初始化阶段除了其他标识代码之外还要求从令牌所有者获取例如PIN码,作为使得验证器能够在操作阶段成为或保持活跃的附加先决条件,本发明的该实施例能够被增强为三因素认证。
具有生物特征读取器80的验证器20的示例是可以配设有能够记录佩戴验证器20的人的心电图的读取器的验证器20。然后,将该人的令牌11链接到包含人的心电图的数字签名的存储器。当信任机构针对该人创建令牌11时,从人记录该数字签名。当然后在初始化阶段利用所有者的令牌11启动验证器20时,验证器20可以核实令牌具有正确的许可状态46,并且如果是的话,则可以从令牌11获得生物特征签名数据。接下来,验证器20可以使用其生物特征读取器80来从正佩戴验证器20的人获得心电图,并将来自该心电图的数字签名数据82与从令牌11获得的数字签名数据相比较。如果相等,则验证器可以利用正确的IoC、以及优选地还有正确的PoT(如果适用),来执行操作阶段或停留在操作阶段。如果不相等,则验证器例如可以仅显示错误消息。
另一示例是可以包含指纹的生物特征读取器的验证器。在这种情况下,令牌可以包含令牌所有者的指纹的数字签名。然后,可以每30分钟请求验证器的佩戴者,在操作阶段将其指纹记录在其验证器20的生物特征读取器80上。如果登记的指纹与令牌所有者的指纹匹配,则验证器可以继续执行操作阶段,否则,验证器例如可以仅显示错误消息。
Claims (37)
1.一种信任证明系统,包括:
集中式系统(30),包括连接器(27)和时钟(31);
至少一个标识设备(10)包括:
-令牌(11),其包括用于存储人或物体的信息的存储器,该信息包括标识数据(43),标识数据(43)包括代表许可数据(44)的第一子集,所述标识数据被布置为唯一标识所述人或物体;以及
-验证器(20),其包括显示器(17)、处理器单元(21)、验证器时钟(28)以及用于与所述令牌(11)并且与所述集中式系统(30)的所述连接器(27)交互的验证器通信装置(25、26),验证器通信装置(25、26)适于在初始化阶段通过连接器(27)在所述集中式系统(30)与所述验证器(20)之间安全地传输数据,所传输的数据包括时钟同步信号和许可规则(32),所述时钟同步信号用于将所述验证器时钟(28)与所述集中式系统(30)的时钟(31)同步,所述许可规则(32)基于存储在所述令牌(11)中的许可数据(44)来指定该令牌(11)是否能够被赋予第一许可状态(46),该第一许可状态(46)指示所述物体或人被允许进行动作或获得有效状态,
其中,所述显示器(17)还适于在操作阶段显示被称为第一许可指示器代码的、指示所述令牌的第一许可状态(46)的第一安全代码(15),其中,所述第一安全代码(15)通过在处理器单元(21)上编写的第一许可指示器函数(23)基于所述第一许可状态(46)和所述验证器时钟(28)来生成,所述第一许可指示器函数(23)为数字签名或哈希函数,
其中,所述连接器(27)适于与所述标识设备的所述验证器通信装置(25、26)安全地交互,以在所述初始化阶段在所述集中式系统(30)与所述标识设备的验证器(20)之间传输数据,所传输的数据包括时钟同步信号和许可规则(32),所述时钟同步信号用于将所述验证器时钟(28)与所述集中式系统(30)的时钟(31)同步,所述许可规则(32)指定存储在所述令牌(11)中的许可数据(44)是否指示所述物体或人被允许进行动作或获得有效状态,
并且其中,在所述初始化阶段在所述集中式系统与所述验证器之间传输的数据包括一组时间规则(34),所述时间规则(34)使得所述验证器(20)的处理器单元(21)能够通过在所述验证器(20)的处理器单元(21)上编写的时间函数(51)来计算被称为时间点组(52)的一组时间间隔,所述时间点组(52)被作为输入提供给所述验证器(20)上的所述第一许可指示器函数(23),以使得针对所述时间间隔中的每一个生成相应的第一许可指示器代码(15)。
2.根据权利要求1所述的信任证明系统,其中,所述标识数据(43)包括代表信任数据(45)的第二子集,其中,所述显示器(17)适于显示存储在所述令牌(11)中的信任数据(45),并且其中,所述显示器(17)还适于在所述操作阶段显示被称为第一信任证明代码(16)的第二安全代码(16),所述第二安全代码(16)通过在所述处理器单元(21)上编写的第一消息认证码函数(24)基于所述验证器显示器(17)上的信任数据(35)以及所述第一安全代码(15)来生成。
3.根据权利要求2所述的信任证明系统,其中,在所述初始化阶段在所述集中式系统(30)与所述验证器(20)之间传输的所述数据包括一组信任规则(35),该组信任规则(35)被用作所述第一消息认证码函数(24)生成所述第一信任证明代码(16)的附加输入。
4.根据权利要求2所述的信任证明系统,其中,所述时间规则(34)还定义操作阶段结束的时间期限,在所述操作阶段期满时,所述验证器(20)停止生成第一许可指示器代码(15)和/或第一信任证明代码(16)直到新的初始化阶段出现为止。
5.根据权利要求1所述的信任证明系统,其中,所述相应的第一许可指示器代码(15)通过所述第一许可指示器函数(23)来生成,并且所述相应的第一许可指示器代码(15)在具有有效的令牌(11)的所有验证器(20)的所有显示器(17)上是相同的。
6.根据权利要求1所述的信任证明系统,其中,在所述初始化阶段在所述集中式系统(30)与所述验证器(20)之间传输的所述数据包括一组指示器规则(33),该组指示器规则(33)被用作所述第一许可指示器函数(23)生成所述第一许可指示器代码(15)的附加输入。
7.根据前述权利要求中任一项所述的信任证明系统,其中,所述验证器(20)还包括用于存储许可规则(32)以及如果存在时间规则(34)、信任规则(35)和指示器规则(33)则用于存储所述时间规则(34)、所述信任规则(35)和所述指示器规则(33)的存储器。
8.根据权利要求1所述的信任证明系统,其中,在所述初始化阶段所使用的所述验证器通信装置(25、26)只包括有线通信装置。
9.根据权利要求8所述的信任证明系统,其中,所述有线通信装置包括线缆或触点。
10.根据权利要求1所述的信任证明系统,其中,所述令牌和所述验证器(20)被集成到单个设备中。
11.根据权利要求1所述的信任证明系统,其中,所述验证器包括用于输入关于令牌的所有者的其他安全信息的输入装置,并且其中,所述验证器被配置为将通过所述输入装置输入的其他安全信息与来自所述令牌的关于该令牌的所有者的其他安全信息相比较,以在两种其他安全信息相互不对应时停止显示所述第一许可指示器代码(15)。
12.根据权利要求11所述的信任证明系统,其中,每个其他安全信息包括关于所述令牌的所有者的生物特征签名数据或生物特征知识数据,并且其中,所述输入装置包括用于从所述标识设备的携带者获得生物特征签名数据或生物特征知识数据的生物特征读取器,其中,所述生物特征知识数据包括只有所述令牌的所有者知道的秘密pin码,并且其中,所述生物特征签名数据包括所述所有者的指纹或心电图。
13.根据权利要求1所述的信任证明系统,其中,所述信任证明系统、所述标识设备和所述集中式系统(30)中至少之一所包括的部件中的一部分或全部是防篡改的。
14.根据权利要求1所述的信任证明系统,其中,在所述集中式系统(30)与所述验证器(20)之间传输的所述数据通过端到端安全消息传送通道来进行加密。
15.根据权利要求1所述的信任证明系统,所述信任证明系统还包括控制器(60),该控制器(60)用于验证显示在所述标识设备(10)上的信息并且用于核实特定标识设备(10)的令牌(11)是否是有效令牌组的成员,其中,所述控制器(60)包括:用于捕获显示在所述标识设备(10)上的数据的装置(69),该数据包括显示的第一许可指示器代码(15);显示器(68);处理器单元(62);控制器时钟(61)以及用于在初始化阶段与所述集中式系统(30)的连接器(27)安全地交互的控制器通信装置(70),其中,所述连接器(27)适于在所述初始化阶段通过所述连接器(27)传输来自所述集中式系统(30)的数据,该数据包括用于将所述控制器时钟(61)与所述集中式系统(30)的时钟(31)同步的时钟同步信号和所述有效令牌组的所有令牌(11)的第二许可状态(71),所述第二许可状态(71)传输自所述集中式系统(30),其中,所述控制器(60)的所述处理器单元(62)还适于通过在所述控制器(60)的所述处理器单元(62)上编写的第二许可指示器函数(64)基于所述第二许可状态(71)和所述控制器时钟(61)来生成第二许可指示器代码(73)。
16.根据权利要求2所述的信任证明系统,所述信任证明系统还包括控制器(60),该控制器(60)用于验证显示在所述标识设备(10)上的信息并且用于核实特定标识设备(10)的令牌(11)是否是有效令牌组的成员,其中,所述控制器(60)包括:用于捕获显示在所述标识设备(10)上的数据的装置(69),该数据包括显示的第一许可指示器代码(15);显示器(68);处理器单元(62);控制器时钟(61)以及用于在初始化阶段与所述集中式系统(30)的连接器(27)安全地交互的控制器通信装置(70),其中,所述连接器(27)适于在所述初始化阶段通过所述连接器(27)传输来自所述集中式系统(30)的数据,该数据包括用于将所述控制器时钟(61)与所述集中式系统(30)的时钟(31)同步的时钟同步信号和所述有效令牌组的所有令牌(11)的第二许可状态(71),所述第二许可状态(71)传输自所述集中式系统(30),其中,所述控制器(60)的所述处理器单元(62)还适于通过在所述控制器(60)的所述处理器单元(62)上编写的第二许可指示器函数(64)基于所述第二许可状态(71)和所述控制器时钟(61)来生成第二许可指示器代码(73)。
17.根据权利要求16所述的信任证明系统,其中,用于捕获显示在所述标识设备(10)上的数据的所述装置(69)包括显示的信任数据(45)和显示的第一信任证明代码(16),其中,第二信任证明代码(74)通过在所述控制器(60)的所述处理器单元(62)上编写的第二消息认证码函数(65)基于在所述标识设备(10)的验证器显示器(17)上示出的显示的第一许可指示器代码(15)和所述显示的信任数据(45)来生成。
18.根据权利要求16或17所述的信任证明系统,其中,所述控制器(60)的所述处理器单元(62)适于显示比较的结果,该比较为在所述控制器(60)的所述处理器单元(62)中所生成的第二许可指示器代码(73)与由用于捕获可视信息的装置所捕获并被显示在标识设备(10)上的第一许可指示器代码(15)之间的比较。
19.根据权利要求15至17中任一项所述的信任证明系统,其中,所述控制器(60)的所述处理器单元(62)适于显示比较的结果,该比较为在所述控制器(60)的所述处理器单元(62)中所生成的第二信任证明代码(74)与由用于捕获可视信息的装置所捕获并被显示在标识设备(10)上的第一信任证明代码(16)之间的比较。
20.根据权利要求15至17中任一项所述的信任证明系统,其中,所述控制器(60)的用于捕获信息的装置(69)包括:适于使用光学字符辨识接口来光学地捕获显示在所述标识设备中的信息并将该信息转换为数字格式的设备。
21.根据权利要求20所述的信任证明系统,其中,适于使用光学字符辨识接口来光学地捕获显示在所述标识设备中的信息并将该信息转换为数字格式的所述设备为照相机。
22.根据权利要求15所述的信任证明系统,其中,在所述初始化阶段在所述集中式系统与所述控制器(60)之间传输的数据包括所述一组时间规则(34),所述时间规则(34)使得所述控制器(60)的所述处理器单元(62)能够通过在所述控制器(60)的处理器单元(62)上编写的时间函数(51)来计算被称为所述时间点组(52)的所述一组时间间隔,所述时间点组(52)被作为输入提供给所述控制器(60)上的所述第二许可指示器函数(64),以使得针对所述时间间隔中的每一个生成相应的第二许可指示器代码(73)。
23.根据权利要求15至17中任一项所述的信任证明系统,其中,在所述初始化阶段在所述集中式系统(30)与所述验证器(20)之间传输的所述数据包括一组指示器规则(33),该组指示器规则(33)被用作在所述验证器(20)的所述处理器单元(21)上编写的所述第一许可指示器函数(23)生成所述第一许可指示器代码(15)的附加输入。
24.根据权利要求23所述的信任证明系统,其中,在所述初始化阶段在所述集中式系统(30)与所述控制器(60)之间传输的所述数据包括所述一组指示器规则(33),该组指示器规则(33)被用作在所述控制器(60)的所述处理器单元(62)上编写的所述第二许可指示器函数(64)生成所述第二许可指示器代码(73)的附加输入。
25.根据权利要求17所述的信任证明系统,其中,在所述初始化阶段在所述集中式系统(30)与所述验证器(20)之间传输的所述数据包括一组信任规则(35),该组信任规则(35)被用作在所述验证器(20)的所述处理器单元(21)上编写的所述第一消息认证码函数(24)生成所述第一信任证明代码(16)的附加输入。
26.根据权利要求25所述的信任证明系统,其中,在所述初始化阶段在所述集中式系统(30)与所述控制器(60)之间传输的所述数据包括所述一组信任规则(35),该组信任规则(35)被用作在所述控制器(60)的所述处理器单元(62)上编写的所述第二消息认证码函数(65)生成所述第二信任证明代码(74)的附加输入。
27.根据权利要求1、2、15至17中任一项所述的信任证明系统,其中,所述信任证明系统包括基准设备,所述基准设备包括显示器并且被连接至所述集中式系统,所述基准设备被配置成以预定时间延迟显示有效令牌组的第一许可指示器代码(15)。
28.一种用于验证显示在根据权利要求1至权利要求27中任一项所述的信任证明系统的标识设备(10)上的信息的方法,所述方法包括如下步骤:
初始化验证器(20),其包括如下步骤:向所述验证器(20)展示包括人或物体的信息的令牌(11),该信息包括标识数据,所述标识数据包括代表许可数据(44)的第一子集,所述标识数据(43)唯一标识所述人或物体;通过验证器通信装置(25)将所述令牌(11)连接到所述验证器(20),从而使得所述验证器(20)能够访问存储在所述令牌(11)的存储器中的信息;通过验证器通信装置(26)将所述验证器(20)连接到所述信任证明系统的集中式系统(30)的连接器(27);在初始化阶段通过所述连接器(27)在所述验证器(20)与所述集中式系统(30)之间传输数据,该数据包括时钟同步信号和许可规则(32),所述时钟同步信号用于将验证器时钟(28)与所述集中式系统(30)的时钟(31)同步,所述许可规则(32)基于存储在所述令牌(11)中的许可数据(44)来指定该令牌(11)是否能够被赋予第一许可状态(46),该第一许可状态(46)指示所述物体或人被允许进行动作或获得有效状态;以及
在操作阶段操作所述验证器(20)以验证令牌(11)中的信息,其包括如下步骤:生成被称为第一许可指示器代码(15)的、指示所述令牌的第一许可状态(46)的第一安全代码(15),其中,通过在处理器单元(21)上编写的第一许可指示器函数(23)基于所述第一许可状态(46)和所述验证器时钟(28)来生成所述第一安全代码(15),所述第一许可指示器函数(23)为数字签名或哈希函数。
29.根据权利要求28所述的方法,其中,所述标识数据包括代表信任数据(45)的第二子集,并且其中,在所述操作阶段所述验证器(20)验证令牌(11)中的信息包括如下步骤:通过在所述处理器单元(21)上编写的第一消息认证码函数(24)基于所述验证器显示器(17)上的信任数据(45)以及所述第一安全代码(15)来生成被称为第一信任证明代码(16)的第二安全代码(16);以及在所述验证器(20)的所述显示器(17)上显示所述第一安全代码(15)和所述第二安全代码(16)。
30.根据权利要求29所述的方法,其中,对显示在在所述标识设备上的信息进行验证还包括如下步骤:
提供控制器(60),该控制器(60)被布置为验证显示在所述验证器(20)的所述显示器(17)上的信息;
通过依次进行如下步骤来初始化所述控制器(60):使用通信接口(70),通过连接器(27)将所述控制器(60)连接到所述集中式系统(30);在初始化阶段传输数据,该数据包括用于将控制器时钟(61)与所述时钟(31)同步的时钟同步信号和有效令牌组的所有令牌(11)的第二许可状态(71),所述第二许可状态(71)传输自所述集中式系统(30);
在所述操作阶段,在所述控制器(60)的处理器单元(62)中,通过第二许可指示器函数(64)使用所述第二许可状态(71)作为输入来生成所述第二许可指示器代码(73);
在所述操作阶段,捕获在所述验证器(20)的所述显示器(17)上可见的数据,并将所捕获的数据作为输入提供给所述控制器(60)的所述处理器单元(62);
将所述验证器(20)上可见的显示的第一许可指示器代码(15)与由所述控制器(60)的所述处理器单元(62)所生成的第二许可指示器代码(73)进行比较;
将比较结果显示在所述控制器的显示器(68)上。
31.根据权利要求30所述的方法,其中,通过在所述控制器(60)的所述处理器单元(62)上编写的第二消息认证码函数(65)使用先前生成的第一许可指示器代码(15)和在所述验证器显示器(17)上可见的显示的信任数据(45)作为输入,来生成第二信任证明代码(74),其中,将所述控制器(60)的所述处理器单元(62)所生成的第二信任证明代码(74)与在所述验证器(20)上可见的显示的第一信任证明代码(16)进行比较,并且其中,将该比较的结果显示在控制器的显示器(68)上。
32.根据权利要求30或31所述的方法,其中,在所述初始化阶段在所述集中式系统(30)与所述验证器(20)之间传输的所述数据包括一组指示器规则(33),该组指示器规则(33)被用作在所述验证器(20)的所述处理器单元(21)上编写的所述第一许可指示器函数(23)生成所述第一许可指示器代码(15)的附加输入。
33.根据权利要求32所述的方法,其中,在所述初始化阶段在所述集中式系统(30)与所述控制器(60)之间传输的数据包括所述一组指示器规则(33),该组指示器规则(33)被用作在所述控制器(60)的所述处理器单元(62)上编写的第二许可指示器函数(64)生成第二许可指示器代码(73)的附加输入。
34.根据权利要求31所述的方法,其中,在所述初始化阶段在所述集中式系统(30)与所述验证器(20)之间传输的所述数据包括一组信任规则(35),该组信任规则(35)被用作在所述验证器(20)的所述处理器单元(21)上编写的所述第一消息认证码函数(24)生成所述第一信任证明代码(16)的附加输入。
35.根据权利要求34所述的方法,其中,在所述初始化阶段在所述集中式系统(30)与所述控制器(60)之间传输的数据包括所述一组信任规则(35),该组信任规则(35)被用作在所述控制器(60)的所述处理器单元(62)上编写的第二消息认证码函数(65)生成第二信任证明代码(74)的附加输入。
36.根据权利要求35所述的方法,其中,在所述初始化阶段在所述集中式系统与所述验证器之间传输的所述数据包括一组时间规则(34),被所述时间规则(34)使能的、所述验证器(20)的所述处理器单元(21)能够通过在该处理器单元(21)上编写的时间函数(51)来计算被称为时间点组(52)的一组时间间隔,所述时间点组(52)被作为输入提供给所述验证器(20)的所述处理器单元(21)上编写的所述第一许可指示器函数(23),以使得针对所述时间间隔中的每一个生成相应的第一许可指示器代码(15)。
37.根据权利要求36所述的方法,其中,在所述初始化阶段在所述集中式系统与所述控制器(60)之间传输的数据包括所述一组时间规则(34),被所述时间规则(34)使能的处理器单元(62)能够通过在该处理器单元(62)上编写的时间函数(51)来计算被称为时间点组(52)的所述一组时间间隔,所述时间点组(52)被作为输入提供给所述控制器(60)的所述处理器单元(62)上编写的第二许可指示器函数(64),以使得针对所述时间间隔中的每一个生成相应的第二许可指示器代码(73)。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
BEPCT/BE2013/000052 | 2013-10-04 | ||
PCT/BE2013/000052 WO2015048859A1 (en) | 2013-10-04 | 2013-10-04 | System and a method for validating an identification token |
BE2014000034 | 2014-07-22 | ||
BEPCT/BE2014/000034 | 2014-07-22 | ||
PCT/BE2014/000054 WO2015048861A1 (en) | 2013-10-04 | 2014-10-06 | System and a method for validating an identification token |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105765595A CN105765595A (zh) | 2016-07-13 |
CN105765595B true CN105765595B (zh) | 2020-07-14 |
Family
ID=52344902
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201480054437.1A Active CN105765595B (zh) | 2013-10-04 | 2014-10-06 | 用于验证标识令牌的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (2) | US9350727B2 (zh) |
EP (1) | EP3053079B1 (zh) |
CN (1) | CN105765595B (zh) |
WO (1) | WO2015048861A1 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015048861A1 (en) | 2013-10-04 | 2015-04-09 | Gentago Services | System and a method for validating an identification token |
US10019567B1 (en) * | 2014-03-24 | 2018-07-10 | Amazon Technologies, Inc. | Encoding of security codes |
US9070088B1 (en) * | 2014-09-16 | 2015-06-30 | Trooly Inc. | Determining trustworthiness and compatibility of a person |
DE102017208503A1 (de) * | 2017-05-19 | 2018-11-22 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren, Computerlesbares Medium, System und Fahrzeug umfassend das System zum Bereitstellen eines Datensatzes eines Fahrzeugs an einen Dritten |
US10694382B2 (en) * | 2017-06-27 | 2020-06-23 | Here Global B.V. | Authentication of satellite navigation system receiver |
GB2564878B (en) * | 2017-07-25 | 2020-02-26 | Advanced Risc Mach Ltd | Parallel processing of fetch blocks of data |
US10268829B2 (en) * | 2017-08-11 | 2019-04-23 | Dragonchain, Inc. | Security systems and methods based on cryptographic utility token inventory tenure |
WO2019033074A1 (en) | 2017-08-11 | 2019-02-14 | Dragonchain, Inc. | SYSTEMS AND METHODS OF INTERACTION WITH DISTRIBUTED REGISTERS |
CN110278180B (zh) * | 2018-03-16 | 2021-09-21 | 上海方付通商务服务有限公司 | 金融信息的交互方法、装置、设备及存储介质 |
JP6992686B2 (ja) * | 2018-06-18 | 2022-01-13 | 日本電信電話株式会社 | 確認システム及び確認方法 |
US11102004B2 (en) * | 2019-04-29 | 2021-08-24 | Google Llc | Systems and methods for distributed verification of online identity |
WO2021029919A1 (en) * | 2019-08-13 | 2021-02-18 | Google Llc | Improving data integrity with trusted code attestation tokens |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101133418A (zh) * | 2004-10-12 | 2008-02-27 | 阿诺托股份公司 | 来自电子笔的信息的安全管理方法和系统 |
CN102017578A (zh) * | 2008-05-09 | 2011-04-13 | 高通股份有限公司 | 用于在令牌与验证器之间进行认证的网络助手 |
CN102682233A (zh) * | 2011-01-13 | 2012-09-19 | 奥多比公司 | 用于受保护内容的可缩放分发的方法和系统 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5710874A (en) * | 1995-10-25 | 1998-01-20 | Xerox Corporation | System for managing printing system memory with machine readable code |
US7176849B1 (en) * | 2000-08-15 | 2007-02-13 | Agere Systems Inc. | Wireless security badge |
US20040158740A1 (en) * | 2003-02-04 | 2004-08-12 | Fargo Electronics, Inc. | Identification card production |
US7263205B2 (en) * | 2004-12-06 | 2007-08-28 | Dspv, Ltd. | System and method of generic symbol recognition and user authentication using a communication device with imaging capabilities |
US8590783B2 (en) * | 2007-03-30 | 2013-11-26 | Verizon Patent And Licensing Inc. | Security device reader and method of validation |
US7733231B2 (en) * | 2007-03-30 | 2010-06-08 | Verizon Patent And Licensing Inc. | Security device with display |
US8799668B2 (en) * | 2009-11-23 | 2014-08-05 | Fred Cheng | Rubbing encryption algorithm and security attack safe OTP token |
US20110161232A1 (en) * | 2009-12-28 | 2011-06-30 | Brown Kerry D | Virtualization of authentication token for secure applications |
US8688524B1 (en) * | 2011-06-28 | 2014-04-01 | Amazon Technologies, Inc. | Tracking online impressions to offline purchases |
WO2015048861A1 (en) | 2013-10-04 | 2015-04-09 | Gentago Services | System and a method for validating an identification token |
WO2015048859A1 (en) | 2013-10-04 | 2015-04-09 | Gentago Services | System and a method for validating an identification token |
-
2014
- 2014-10-06 WO PCT/BE2014/000054 patent/WO2015048861A1/en active Application Filing
- 2014-10-06 EP EP14825255.4A patent/EP3053079B1/en active Active
- 2014-10-06 CN CN201480054437.1A patent/CN105765595B/zh active Active
-
2015
- 2015-09-29 US US14/868,820 patent/US9350727B2/en active Active
-
2016
- 2016-04-25 US US15/137,873 patent/US20160241551A1/en not_active Abandoned
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101133418A (zh) * | 2004-10-12 | 2008-02-27 | 阿诺托股份公司 | 来自电子笔的信息的安全管理方法和系统 |
CN102017578A (zh) * | 2008-05-09 | 2011-04-13 | 高通股份有限公司 | 用于在令牌与验证器之间进行认证的网络助手 |
CN102682233A (zh) * | 2011-01-13 | 2012-09-19 | 奥多比公司 | 用于受保护内容的可缩放分发的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
EP3053079B1 (en) | 2020-01-01 |
US20160021093A1 (en) | 2016-01-21 |
EP3053079A1 (en) | 2016-08-10 |
US9350727B2 (en) | 2016-05-24 |
WO2015048861A1 (en) | 2015-04-09 |
US20160241551A1 (en) | 2016-08-18 |
CN105765595A (zh) | 2016-07-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105765595B (zh) | 用于验证标识令牌的系统和方法 | |
KR101703714B1 (ko) | 디지털 이미지를 이용한 인증 방법, 이를 위한 애플리케이션 시스템, 및 인증 시스템 | |
ES2890833T3 (es) | Método, sistema, dispositivo y producto de programa de software para la autorización remota de un usuario de servicios digitales | |
US10440014B1 (en) | Portable secure access module | |
US10826900B1 (en) | Machine-readable verification of digital identifications | |
CN106576044A (zh) | 泛在环境中的认证 | |
US10331291B1 (en) | Visual verification of digital identifications | |
JP2007282281A (ja) | 安全に身分を証明し、特権を与えるシステム | |
JP2009543176A (ja) | トレースレス生体認証識別システム及び方法 | |
JP2002101092A (ja) | 個人認証装置、個人認証情報記憶媒体、個人認証システム、個人認証方法、個人認証プログラムを記憶した媒体、個人認証情報登録方法および個人認証情報認証方法 | |
US10432618B1 (en) | Encrypted verification of digital identifications | |
CN104680670A (zh) | 银行卡和atm机关键控制点(再)加密技术解决方案 | |
EP3042349A1 (en) | Ticket authorisation | |
US11444784B2 (en) | System and method for generation and verification of a subject's identity based on the subject's association with an organization | |
KR101748136B1 (ko) | 디지털 이미지를 이용한 인증 방법, 이를 위한 애플리케이션 시스템, 디지털 이미지 판단시스템, 및 인증 시스템 | |
US8870067B2 (en) | Identification device having electronic key stored in a memory | |
RU2573235C2 (ru) | Система и способ проверки подлинности идентичности личности, вызывающей данные через компьютерную сеть | |
CN111523141B (zh) | 一种基于个人隐私保护的身份标识和核验系统 | |
JP2008204314A (ja) | Icカード機能付認証装置およびその認証方法 | |
WO2015048859A1 (en) | System and a method for validating an identification token | |
KR100698517B1 (ko) | 공개키 기반구조 전자서명 인증서를 기반으로 한전자여권시스템 | |
KR101611522B1 (ko) | 생체 정보의 재사용을 방지하는 개인 인증 시스템 및 방법 | |
CN110192194B (zh) | 用于认证安全证书的系统和方法 | |
Jacobs et al. | Biometrics and Smart Cards in Identity Management | |
KR101462547B1 (ko) | 생체 정보의 재사용을 방지하는 개인 인증 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: Hueirart, Belgium Applicant after: Decott Corporation Address before: Hueirart, Belgium Applicant before: Gentago Services |
|
GR01 | Patent grant | ||
GR01 | Patent grant |