CN109690598B - 生成多个一次性令牌 - Google Patents
生成多个一次性令牌 Download PDFInfo
- Publication number
- CN109690598B CN109690598B CN201780052330.7A CN201780052330A CN109690598B CN 109690598 B CN109690598 B CN 109690598B CN 201780052330 A CN201780052330 A CN 201780052330A CN 109690598 B CN109690598 B CN 109690598B
- Authority
- CN
- China
- Prior art keywords
- value
- digital
- secret key
- predetermined
- character
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 44
- 230000008859 change Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 2
- 230000008569 process Effects 0.000 description 16
- 238000013507 mapping Methods 0.000 description 7
- 230000008901 benefit Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 230000001010 compromised effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000002028 premature Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 230000001404 mediated effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/385—Payment protocols; Details thereof using an alias or single-use codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3823—Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Theoretical Computer Science (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- Finance (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种生成多个不同的一次性令牌的方法,该方法包括:从预定的连续数值序列中获取第一数值;将格式保持加密应用于所获取的第一数值以生成第一数字一次性令牌;从预定的连续数值序列中获取第二数值,所获取的第二数值与获取的第一数值不同;并且将格式保持加密应用于所获取的第二数值以生成第二数字一次性令牌。
Description
背景
技术领域
本发明涉及生成多个一次性令牌。
背景技术
本文提供的“背景”描述是为了总体上呈现本公开的上下文。目前命名的发明人的工作,在背景技术部分中描述的范围内,以及在提交时可能不具有作为现有技术的资格的描述的方面,既没有明确地也没有暗示地承认是针对本发明的现有技术。
已知使用一次性令牌(OTT),也称为一次性密码、一次性口令等,作为各种电子系统中的安全措施。OTT是一次性代码,用户必须输入该代码才能通过特定的安全检查。例如,在一些网上银行系统中,每当用户希望向用户之前未向其提交电子支付的第三方提交电子支付时,可以向用户发送OTT(通过独立于网上银行系统的手段,例如通过移动电话或电子邮件地址),必须由用户通过网上银行系统输入该OTT以用于要完成的电子支付。如本领域中已知的,OTT还有许多其他用途。
一输入OTT后,OTT就将被丢弃,不再使用。这提供了改进的安全性,因为即使OTT随后被泄露(例如,未经授权的人稍后获得对被发送了OTT的用户的电子邮件或移动电话的访问权),它也不再可用于认证。当稍后需要进行另一次安全检查时(例如,如果网上银行系统的用户希望向另一个新的第三方支付),则将生成全新的OTT。因此,OTT的一个重要要求是它们是不可预测的。也就是说,必须不能从先前的OTT中很容易预测新的OTT。
当前面向人类的OTT方法(即,接收新OTT并且然后在认证过程期间由人类输入的方法)通常用于在其中OTT被用作第二认证因素的场景中(即,除了另一种安全认证技术之外,还使用OTT)。因此,所使用的实现方式是围绕该假设设计的。实现方式基于使用设备和诸如“基于时间的一次性口令算法”(TOTP)的算法的基于时间的同步或者基于诸如哈希链的数学算法来构建。TOTP必须在诸如密钥卡(例如RSA密钥卡)之类的设备中实现。数学算法既可以在专用设备上实现,也可以作为可以在诸如移动电话之类的通用设备上运行的程序(Nexus/>或/>)来实现。
通常也期望OTT是唯一的,即只能使用一次,然后永远不会重复。例如,当没有关于那些设备的用户的先前信息时,可以使用这种唯一的OTT来链接多个设备。在这种情况下,唯一的OTT用于链接设备,并且通常由服务器调解(例如,与一起)。OTT的唯一性通常通过使其如此丰富以至于不存在冲突(OTT可以体现诸如日期、时间、设备标识符等的若干信息)或通过半随机生成OTT并执行冲突检测(即,每当OTT被半随机生成时,执行检查以便查看之前是否已经使用过特定OTT-如果之前已经使用过,那么OTT被丢弃并且新的OTT是半随机生成)来处理。然而,当令牌丰富时,人类不太可能能够输入它。因此,必须使用诸如(快速响应)QR码或蓝牙配对之类的其他机制来传输它,从而增加了系统的复杂性。此外,当半随机生成令牌时,执行冲突检测的需要导致系统的处理开销增加。这种增加的处理开销可能使得难以大规模地使用这种OTT生成技术。
发明内容
在第一方面,本技术提供了一种生成多个不同的一次性令牌的方法,该方法包括:从预定的连续数值序列中获取第一数值;将格式保持加密应用于所获取的第一数值以生成第一数字一次性令牌;从预定的连续数值序列中获取第二数值,所获取的第二数值与所获取的第一数值不同;以及将格式保持加密应用于所获取的第二数值以生成第二数字一次性令牌。
在一个实施例中,使用相同的秘密密钥将格式保持加密应用于所获取的第一和第二数值中的每一个。
在一个实施例中,预定的连续数值序列包括数值的第一预定子集和数值的第二预定子集,所述第二预定子集中的每个值与所述第一预定子集中的每个值不同;并且该方法包括:从所述第一预定子集中获取所述第一数值,并使用第一秘密密钥将格式保持加密应用于所述第一数值,以生成所述第一数字一次性令牌;以及从所述第二预定子集获取所述第二数值,并使用第二秘密密钥将格式保持加密应用于所述第二数值,以生成所述第二数字一次性令牌;其中,第一秘密密钥的标识符应用于所述第一数字一次性令牌;以及第二秘密密钥的标识符应用于所述第二数字一次性令牌,所述第一秘密密钥的标识符与所述第二秘密密钥的标识符不同。
在一个实施例中,所述第一秘密密钥的标识符是第一数字字符,所述第二秘密密钥的标识符是第二数字字符;以及所述第一数字字符出现在所述第一数字一次性令牌的预定字符位置,所述第二数字字符出现在所述第二数字一次性令牌的相同的预定字符位置。
在一个实施例中,所述预定字符位置处的数字字符对于所述第一预定子集中的每个数值是相同的,并且等于用作所述第一秘密密钥的标识符的第一数字字符;所述预定字符位置处的数字字符对于所述第二预定子集中的每个数值是相同的,并且等于用作所述第二秘密密钥的标识符的第二数字字符;以及所述格式保持加密不应用于从所述第一预定子集获取的第一数值或从所述第二预定子集获取的第二数值的预定字符位置处的数字字符。
在一个实施例中,出现在第一数字字符处的第一数字一次性令牌的预定字符位置是未出现在从第一预定子集获取的第一数值中的附加字符位置,第一数字字符用作所述第一秘密密钥的标识符;以及出现在第二数字字符处的第二数字一次性令牌的预定字符位置是未出现在从第二预定子集获取的第二数值中的附加字符位置,第二数字字符用作所述第二秘密密钥的标识符。
在一个实施例中,在从第一预定子集获取第一数值并使用所述第一秘密密钥将所述格式保持加密应用于所述第一数值以生成所述第一数字一次性令牌之后,改变所述第一秘密密钥;以及在从第二预定子集获取第二数值并使用所述第二秘密密钥将所述格式保持加密应用于所述第二数值以生成所述第二数字一次性令牌之后,改变所述第二秘密密钥。
在一个实施例中,从预定的非重复字母值序列生成预定的连续数值序列,预定的连续数值序列中的每个数值通过预定的一对一的关系与预定的字母值序列中的相应字母值相关联;以及使用预定的一对一的关系将所述第一和第二数字一次性令牌中的每一个转换为相应的第一和第二字母一次性令牌。
在第二方面,本技术提供了一种用于生成多个不同的一次性令牌的装置,该装置包括:控制器,其可操作以从序列发生器获取来自预定的连续数值序列的第一数值,并从所述序列发生器获取来自预定的连续数值序列的第二数值,所获取的第二数值与获得的第一数值不同;以及格式保持加密器,其可操作以将格式保持加密应用于所获取的第一数值以生成第一数字一次性令牌并将所述格式保持加密应用于所获取的第二数值以生成第二数字一次性令牌。
在一个实施例中,使用相同的秘密密钥将所述格式保持加密应用于所获取的第一和第二数值中的每一个。
在一个实施例中,预定的连续数值序列包括数值的第一预定子集和数值的第二预定子集,所述第二预定子集中的每个值与所述第一预定子集中的每个值不同;控制器可操作以从所述第一预定子集获取第一数值,并且所述格式保持加密器可操作以使用第一秘密密钥将格式保持加密应用于所述第一数值以生成第一数字一次性令牌;以及控制器可操作以从所述第二预定子集获取第二数值,并且所述格式保持加密器可操作以使用第二秘密密钥将格式保持加密应用于所述第二数值以生成第二数字一次性令牌;其中,第一秘密密钥的标识符应用于所述第一数字一次性令牌;以及第二秘密密钥的标识符应用于所述第二数字一次性令牌,所述第一秘密密钥的标识符与所述第二秘密密钥的标识符不同。
在一个实施例中,所述第一秘密密钥的标识符是第一数字字符,所述第二秘密密钥的标识符是第二数字字符;以及所述第一数字字符出现在所述第一数字一次性令牌的预定字符位置,所述第二数字字符出现在所述第二数字一次性令牌的相同的预定字符位置。
在一个实施例中,所述预定字符位置处的数字字符对于第一预定子集中的每个数值是相同的,并且等于用作所述第一秘密密钥的标识符的第一数字字符;所述预定字符位置处的数字字符对于第二预定子集中的每个数值是相同的,并且等于用作所述第二秘密密钥的标识符的第二数字字符;以及格式保持加密不应用于从第一预定子集获取的第一数值或从第二预定子集获取的第二数值的预定字符位置处的数字字符。
在一个实施例中,出现在第一数字字符处的第一数字一次性令牌的预定字符位置是未出现在从所述第一预定子集获取的第一数值中的附加字符位置,所述第一数字字符用作所述第一秘密密钥的标识符;以及出现在第二数字字符处的第二数字一次性令牌的预定字符位置是未出现在从第二预定子集获取的第二数值中的附加字符位置,所述第二数字字符用作所述第二秘密密钥的标识符。
在一个实施例中,在所述控制器从第一预定子集获取第一数值并且所述格式保持加密器使用第一秘密密钥将格式保持加密应用于第一数值以生成第一数字一次性令牌之后,所述控制器可操作以改变所使用的第一秘密密钥;以及在所述控制器从第二预定子集获取第二数值并且格式保持加密器使用第二秘密密钥将格式保持加密应用于第二数值以生成第二数字一次性令牌之后,所述控制器可操作以改变所使用的第二秘密密钥。
在一个实施例中,从预定的非重复字母值序列生成预定的连续数值序列,预定的连续数值序列中的每个数值通过预定的一对一的关系与预定的字母值序列中的相应字母值相关联;以及所述控制器可操作以使用预定的一对一的关系将所述第一和第二数字一次性令牌中的每一个转换为相应的第一和第二字母一次性令牌。
在第三方面,本技术提供了一种存储用于执行根据第一方面的方法的计算机程序的记录介质。
前面的段落是作为一般性介绍提供的,并不意图限制权利要求的范围。通过参考以下结合附图的详细描述,将最好地理解所描述的实施例以及其他优点。
附图说明
当结合附图考虑时,通过参考以下详细描述,将容易地获得本公开及其许多随之而来的优点的更完整的理解,因为可以更好地理解本公开及其许多随之而来的优点,其中:
图1示意性地示出了根据本技术的实施例的一次性令牌(OTT)生成设备;
图2示意性地示出了一种布置,其中序列发生器分别将序列的数值的不同的第一子集和第二子集分配给第一会话和第二会话;
图3示意性地示出了根据本技术的实施例的生成OTT的过程;
图4示意性地示出了重复OTT并因此可能引起冲突的问题;
图5示意性地示出了根据本技术的实施例的减少OTT的重复和冲突可能性的布置;以及
图6示意性地示出了根据本技术的另一实施例。
具体实施方式
现在参考附图,其中相同的附图标记在若干视图中表示相同或相应的部分。
本技术的实施例旨在允许生成唯一的一次性令牌(OTT),其在时间上是唯一的,对外部方是不可预测的并且可以容易地在更大规模上使用。实施例还旨在具有能够生成对人类友好的任意格式的OTT的附加益处,使得诸如使用QR码来表示富OTT(例如)的附加特征不是必需的,从而减少与这些特征相关的附加处理。
图1示意性地示出了根据实施例的OTT生成设备100。OTT生成设备100包括序列发生器102、格式保持加密(FPE)加密器104和控制器106。序列发生器102和FPE加密器104的操作由控制器106控制。
序列发生器102生成用于生成OTT的唯一数值。例如,序列发生器可以使用已知的数据库技术,该技术被设计为向需要它的任何数据库记录提供唯一的数字标识符。这些技术具有高度可扩展性,并且用于允许多个会话/服务器有效地生成具有最小争用且没有冲突可能性的唯一数字标识符。这可以通过使用预定的连续数值列表来实现,例如,每当需要新的唯一数字标识符时,检索预定列表中尚未使用的下一个连续数值并将其用作新的唯一数字标识符。因此,序列发生器102可以使用相同的方法。也就是说,序列发生器102生成连续数值的预定列表,并且每当生成OTT需要唯一数值时,检索并使用预定列表中尚未使用的下一个连续数值并用作为唯一的数值。因此,例如,如果先前从预定列表中检索的作为唯一数值的值是012,则唯一数值将是013,因为这是预定列表中的下一个连续数值。这种类型的预定列表称为序列。
使用这种类似数据库的序列允许生成唯一的数值,即使这些值要被分发以便在多个不同的服务器或会话之间使用。也就是说,由这样的序列生成的数字在所有服务器或会话中是普遍唯一的。这样的序列可以以多种方式实现,但基本上序列具有给定会话/服务器的数值范围分配的中央记录。因此,例如,如果序列从0-999,999运行并且第一会话需要生成一些唯一的数值,那么第一会话将要求从序列中分配,并将被分配有序列的唯一数值的第一子集。例如,可以为第一会话分配值0-999。然后,第一会话可以进一步分配这些唯一数值以用作OTT,这取决于第一会话的功能或目的。类似地,如果第二会话需要生成一些唯一的数值,则该第二会话将要求来自序列的分配,并且将被分配有该序列的唯一数值的第二子集。第二子集中的每个唯一数值与第一子集中的每个唯一数值不同。因此,例如,第二会话可以被分配值1,000-1,999。然后,第二会话可以进一步分配这些唯一数值以用作OTT,这取决于第二会话的功能或目的。
该布置在图2中示意性地示出,其示出了序列发生器102可以如何将序列的数值的不同的第一和第二子集分别分配给第一会话200A和第二会话200B。由于这种布置,第二会话可以分配其所分配的数值以用作OTT,而没有任何与分配给第一会话以用作OTT的数值冲突的可能性,即使数值是从序列发生器102生成的相同整体序列获得的。应注意,对于这种序列方案存在任何额外开销的唯一时间是多个会话一次请求新分配时。在这种情况下,例如,请求可能必须排队。还要注意的是,通过调整分配的大小(例如,通过确定整个序列中的唯一数值的数量,给定子集中的唯一数值的数量等),可以在任意大的数量的独立会话/服务器上缩放该过程。
因此,可以看出,以所描述的方式使用序列来生成OTT确保每个OTT是唯一的(即,不重复),即使当不同的服务器或会话正在从相同的数值序列获取用作OTT的数值时也是如此。然而,这种方法的缺点是数量至少部分可预测,而关于先前令牌的信息非常少。也就是说,如果有人知道正在使用序列并且在第一会话中生成的先前OTT是098,则他们可以很容易地猜测第一会话生成的下一个OTT将是099。在这种情况下,由于第一会话已经被分配了值000-999,这个猜测是正确的。因此,这种OTT不是很安全。
为了提高所生成的OTT的安全性,在本技术的实施例中,从序列获得的唯一数值不直接用作OTT。而是,格式保持加密(FPE)应用于从序列获得的每个唯一数值,并且它是用作OTT的FPE的输出。已知在保持特定格式的敏感数据并且需要以相同格式的该数据的加密表示的环境中使用FPE。例如,信用卡的永久帐号(PAN)通常被加密为相同的格式,因此可以安全地通过安全性较低的系统,而无需更改这些系统(因此例如,16位纯文本PAN编号将使用FPE加密,以便生成加密的PAN编号,该编号也是16位数)。有许多已知的FPE实现方式,但它们都具有使用秘密密钥可逆地将值加密为相同格式的相同属性(FPE必须是可逆的,以便可以通过解密重新获得加密的敏感数据)。
重要的是要注意,在任意格式的数据中隐含有任意的值范围,并且应用于该数据的FPE将再次生成该任意范围中的每个值。例如,如果数据的格式使得数据的值范围为0到999,则FPE将加密这些数据值以生成0到999范围内的加密输出值。同样,如果数据的格式使得数据的值范围从AAA到ZZZ,则FPE将加密这些数据值以产生AAA到ZZZ范围内的加密输出值。后一个例子起作用,因为AAA到ZZZ范围内的每个字母字符值可以表示为0到263 -1的范围内的数字。此数字使用FPE加密(以生成0到263-1范围内的另一个数字),然后转换回字母字符表示。
在本技术的实施例中,使用FPE对从序列获得的唯一数值进行加密,以便生成OTT。通过以这种方式使用FPE,可以保证不发生冲突,因为对于FPE来说,加密一组唯一值的输出也必须是一组唯一值。这是必需的,因为FPE被设计为可逆的-不可能对两个输入值进行加密以产生相同的输出值,因为这样就不可能解密输出值以获得单个输入值。因此,如果FPE算法的每个输入都是唯一的,那么FPE算法的每个输出也将是唯一的。换句话说,FPE算法的可能输入值与该FPE算法的输出值之间存在一对一的关系。因此,对从序列获得的唯一数值执行FPE而生成的OTT是非重复的,并且因为它们是通过加密产生的,所以不容易预测。
在图3中示意性地示出了根据上述技术生成OTT的过程。该过程由OTT生成设备100执行。该过程在步骤300开始。在步骤302,控制器106从序列304获得唯一的数值。序列304由序列发生器102生成。在步骤308,FPE由FPE加密器104应用于所获得的唯一数值。FPE加密器104使用秘密密钥306(其示例在本领域中是已知的)来使用合适的FPE加密算法。秘密密钥306确定FPE算法的输入值与输出值之间的特定一对一关系(换句话说,秘密密钥306确定输入值与输出值之间的一对一映射,不同的秘密密钥产生不同的一对一映射)。然后输出FPE加密的唯一数值作为OTT。该过程然后在步骤310结束。
图3的布置具有作为简单实现方式的益处。但是,它确实有局限性。例如,一旦序列到达其范围的末尾(例如,如果序列的范围从0到999并且达到数值999),那么它将重复自身(例如,返回0),导致以相同顺序生成同一组OTT。这可以通过使序列的范围足够大以至于在使用它的服务的整个生命周期中不存在重复的可能性来克服。然而,如果没有诸如QR码、蓝牙等机制,这导致可能对于人类使用来说太大或不实用的令牌。可替代地,如果OTT仅需要在给定的时间段内是唯一的(之后可以再使用相同的OTT),则可以定期更改秘密密钥,以便试图阻止OTT的可预测性。然而,这是一种不合需要的解决方案,因为使用新密钥会在可接受出现OTT重复风险之前重新引入OTT重复的风险。这个问题在图4中示意性地示出。
图4的第一行400示出了范围从0到99的序列的最后十个序列值。在序列的第一循环期间从序列发生器102获取这些值,其中第一秘密密钥(秘密密钥1)用于FPE加密。使用秘密密钥1,得到的FPE输入到输出映射导致输入值93被转换为输出值27。图4的第二行402示出序列的前10个序列值,范围从0到99。这些值是在序列的第二循环期间从序列发生器102获取的第一值,在序列的第二循环中第二秘密密钥(秘密密钥2)用于FPE加密。秘密密钥2与秘密密钥1不同,因此产生的FPE输入到输出映射是不同的。在这种情况下,输入值06被转换为输出值27。这是不希望的,因为输出值27最近已经被使用过,因此存在冲突的危险。
为了缓解该问题,在本技术的实施例中,不同的秘密密钥用于序列的不同部分。每个密钥由不同的相应预定标识符标识。例如,如果存在N个不同的密钥,则为每个密钥分配相应的标识符1,2,3,...,N。然后将特定密钥的标识符包括在使用该密钥生成的OTT中,这意味着使用不同的密钥生成的OTT至少由于用于生成它们的密钥的不同标识符而总是不同的。这降低了相同OTT过早重复的可能性,如图5中示意性所示。
图5再次示出了第一行400,其示出了范围从0到99的序列的最后十个序列值。这十个最后的序列值表示序列的一部分,其中具有等于9的标识符(ID)的第一秘密密钥用于PFE加密。出于说明的目的,该第一秘密密钥是用于图4中的第一行400的相同的第一秘密密钥(秘密密钥1)。使用该第一秘密密钥,所得到的输入到输出映射导致输入值93转换为输出值97而不是27(如前所述)。这是因为第一秘密密钥的ID(ID=9)已包含在先前利用第一秘密密钥使用FPE加密生成的值“27”中“2”的字符位置的输出值中。输出值97然后用作OTT。
图5还再次示出了第二行402,其示出了范围从0到99的序列的前十个序列值。这前十个序列值表示序列的一部分,其中标识符(ID)等于0的第二秘密密钥用于FPE加密。出于说明的目的,该第二秘密密钥是用于图4中的第二行402的相同的第二秘密密钥(秘密密钥2)。使用该第二秘密密钥,得到的输入到输出映射导致输入值06转换为输出值07而不是27(如前所述)。这是因为第一秘密密钥的ID(ID=0)已被包括在先前利用秘密密钥使用FPE加密生成的值'27'中的'2'的字符位置中的输出值中。输出值07然后用作OTT。因此避免了冲突问题,因为重复的OTT'27'现在已经用非重复的OTT'97'和'07'代替。
为了获得包括用于使用FPE加密生成OTT的秘密密钥的ID的OTT,例如,可以保留来自序列的输入值的数字字符不加密。剩下的字符然后使用FPE加密进行加密。因此,例如,给定输入值'0963'(应当理解,为了便于解释,图4和5的示例仅使用来自具有两个数字字符的序列的输入数值-实际上,OTT是可能有两个以上的数字字符,因此这里给出了具有四个数字字符的示例'0963',例如可以从范围为0到9999的序列生成),该输入值在序列的被分配了ID=0的秘密密钥的部分中,则值0(其表示秘密密钥ID)保持未加密,而FPE加密则随后应用于剩余的三个数字字符'963'。
在输入值'0963'的情况下,序列可以例如在0到9999的范围内并且被分成10个部分,范围从000-999(部分0,秘密密钥ID=0),1000-1999(部分1,秘密密钥ID=1),2000-2999(部分2,秘密密钥ID=2),3000-3999(部分3,秘密密钥ID=3),4000-4999(部分4,秘密密钥ID=4),5000-5999(部分5,秘密密钥ID=5),6000-6999(部分6,秘密密钥ID=6),7000-7999(部分7,秘密密钥ID=7),8000-8999(部分8,秘密密钥ID=8)以及9000-9999(部分9,秘密密钥ID=9)。在这种情况下,来自序列的每个输入值的最左边字符位置中的数字字符等于用于找到该输入值的序列部分的秘密密钥ID,因此它是未加密的最左边字符位置的字符。因此,其余三个字符位置中的数字字符是必须经过FPE加密的唯一字符。注意,因此应该使用在缩小范围0-999上具有一对一映射的FPE加密。期望这样做,因为它确保对于相同部分中的输入值不发生OTT的重复。这有助于避免当再次使用图5的第一行400的示例时ID=9的秘密密钥通常将输入值'93'FPE转换为比如'27'并且输入值'97'FPE转换为比如'37'的情况。在这种情况下,如果应用完整的FPE加密但值'9'保持原样,则这将导致两个OTT值等于'97'。在缩小的范围内执行FPE加密,以便不对用于指示秘密密钥ID的字符位置中的字符执行FPE加密(因此,在图5的行400的情况下,仅对第二字符在缩小的范围0-9上执行FPE-因此对于值'93'仅在'3上'且对于值'97'仅在'7'上),这有助于防止这种情况发生。在替代示例中,可以在整个范围上(例如,在所有输入字符上)执行FPE加密,然后将秘密密钥ID作为附加字符添加到输出。因此,再次查看图5的行400,在这种情况下,FPE加密将值'93'转换为'927'(FPE输出值'27',在开头添加了秘密密钥ID'9')并且将值'97'转换为'937'(FPE输出值'37',在开头添加了秘密密钥ID'9')。这将再次有助于确保不对同一部分中的输入值重复FPE加密的输出。然而,在这种情况下,应当理解,输出值将具有输入值的附加字符。
应当理解,可以使用在使用该部分生成的OTT中包括给定部分的秘密密钥的标识符的任何合适方法,只要每个定义部分使用具有不同标识符的秘密密钥并且用于从单个部分中的值生成OTT的FPE加密确实对该部分多于一次产生特定OTT值。例如,通过仅在缩小的范围上应用FPE并且仅对不识别秘密密钥的序列的输入值的数字字符应用FPE,可以避免后一种情况。例如,再次参见上一个示例,其中序列的范围为0-9999,但FPE仅应用于不标识所使用的秘密密钥的三个最右侧定位的数字字符。此外,FPE仅在0-999范围内应用,以避免在序列的相同部分中两次产生相同OTT的风险。在这种情况下,将避免冲突。
随着数值的获取通过序列进行,先前使用的密钥可以用新的密钥替换,使得所得到的输出OTT序列永远是不可预测的。在这种情况下,OTT的任何重复将仅在整个序列循环之后发生,因此缓解了OTT过早重复的问题(如图3的实施例可能发生的)。还应注意,如果认为密钥被盗用,则可以将序列前进到下一部分,以便使用新密钥。然后可以替换受损密钥。
图6示意性地示出了本公开的另一实施例。在该实施例中,只有两个秘密密钥(标识为0和1),并且通过在使输出加倍并且添加密钥标识符以产生所得到的OTT之前将FPE中使用的数值范围减半来处理密钥标识符的编码。这具有确保每个部分(每个部分是数值范围的不同的一半)中的OTT与该相同部分中或对于给定的一组两个秘密密钥的另一部分中的所有其他OTT不同的效果。现在提供对图6的过程的更详细说明。
该过程在步骤600开始。在步骤601,从序列603获得唯一值。序列603由序列发生器102生成。在步骤608,确定所获得的值是否在该范围的前半部分中。因此,例如,如果序列的范围是0到9999,那么如果获得的值在0到4999的范围内,则确定它在序列范围的前半部分中。另一方面,如果它在5000到9999的范围内,则确定不在序列范围的前半部分中(而是在序列范围的后半部分中)。如果确定所获得的值在序列的前半部分中,则过程前进到步骤606,在步骤606中确定应该使用第一秘密密钥604(秘密密钥0)。另一方面,如果确定所获得的值不在序列的前半部分中(并且因此必须在序列的后半部分中),则过程进行到步骤610,其中确定应该使用第二秘密密钥614(秘密密钥1)。
然后,该过程进行到步骤616,其中分析从序列获得的值。然后,该过程移动到步骤618,在步骤618,对该值执行格式保持加密。具体地,如果该值在0到4999的范围内,则使用秘密密钥0来对该值执行格式保持加密。但是,如果该值在5000到9999的范围内,则使用秘密密钥1对该值执行格式保持加密。然后,该过程转到步骤622。在步骤622,将标识符附加到加密值。具体地,如果使用了秘密密钥0,则将0附加到加密值。但是,如果使用了秘密密钥1,则将1附加到加密值。当然,尽管将值附加到加密值,但是本公开不限于此,并且可以提供任何类型的指示符。该过程然后在步骤624结束。注意,可以周期性地更新每个秘密密钥604和614,如前所述。这在步骤602(用于秘密密钥604)和612(用于秘密密钥614)中示出。例如,在从序列获取的值从获得自序列的前半部分切换到获得自序列的后半部分获得之后,更新秘密密钥,反之亦然。因此,例如,FPE加密器104将使用第一密钥用于秘密密钥604,因为在步骤601从0到9999范围内的序列获得的连续值从0到4999(这是序列范围的前半部分)。一旦获得的值是5000(因此进入序列的后半部分),FPE加密器将开始使用秘密密钥614。在此之后,可以在步骤602中更新秘密密钥604(当前未被使用)。应注意,该更新的密钥将保留密钥标识符ID=0。然后,在步骤601从序列的后半部分继续获得值,直到达到最终值9999。在此之后,获得的值将循环回到序列的开头(从0开始),从而返回到前半部分。此时,将使用秘密密钥604(其已经新更新),并且在步骤612中将更新秘密密钥614。因此,该过程以这种方式继续,每次序列在序列的前半部分和后半部分之间循环时改变秘密密钥(序列的前半部分和后半部分是序列的不同部分)。
注意,FPE加密器104在步骤618执行FPE加密。其他步骤由控制器106执行。更新的秘密密钥604和614可以在必要时由控制器106生成(使用如本领域中已知的生成秘密密钥的任何合适的方法)并传递给FPE加密器104以执行加密。
注意,尽管图1中示出的实施例的OTT生成设备100包括序列发生器102,但是在另一实施例中,序列发生器102可以替代地是与设备100分离的实体。在这种情况下,序列发生器102可以向多个设备100提供序列值,在这种情况下,为每个设备分配序列值的唯一子集以用于生成OTT。在这个意义上,每个设备100用作单独的会话,例如,如图2所示。在这种情况下,形成第一会话200A的第一设备100将重复循环通过序列发生器102生成的整个序列的数字0到999。类似地,形成第二会话200B的第二设备100将重复循环通过由序列发生器102产生的整个序列的数字1000到1999。因为分配给每个设备100的序列的子集的每个数目仍然是唯一的,但是,每个设备将能够以与先前对于设备100本身实际包括序列发生器102的情况所描述的相同的方式生成OTT。
显然,鉴于上述教导,本公开的许多修改和变化是可能的。因此,应理解,在所附权利要求的范围内,本公开可以以除了本文具体描述的方式以外的方式实施。
到目前为止,已经将本公开的实施例描述为至少部分地由软件控制的数据处理装置实现,应当理解,诸如光盘、磁盘、半导体存储器等携带软件的非暂时性机器可读介质也被认为代表本公开的实施例。
应当理解,为了清楚起见,以上描述已经参考不同的功能单元、电路和/或处理器描述了实施例。然而,显而易见的是,可以使用不同功能单元、电路和/或处理器之间的任何合适的功能分布而不背离实施例。
所描述的实施例可以以任何合适的形式实现,包括硬件、软件、固件或这些的任何组合。所描述的实施例可以可选地至少部分地实现为在一个或多个数据处理器和/或数字信号处理器上运行的计算机软件。任何实施例的元件和组件可以以任何合适的方式在物理上、功能上和逻辑上实现。实际上,功能可以在单个单元中、在多个单元中或作为其他功能单元的一部分来实现。这样,所公开的实施例可以在单个单元中实现,或者可以在不同的单元、电路和/或处理器之间物理地和功能地分布。
尽管已经结合一些实施例描述了本公开,但是并不旨在限于这里阐述的特定形式。另外,尽管可能看起来结合特定实施例描述了特征,但是本领域技术人员将认识到,所描述的实施例的各种特征可以以适合于实现该技术的任何方式组合。
Claims (9)
1.一种生成多个不同的一次性令牌以用作电子系统的安全检查的方法,所述方法包括:
从预定的连续数值序列中获取第一数值;
将格式保持加密应用于所获取的第一数值以生成第一数字一次性令牌;
从预定的连续数值序列中获取第二数值,所获取的第二数值与所获取的第一数值不同;以及
将格式保持加密应用于所获取的第二数值以生成第二数字一次性令牌;
其中:
所述预定的连续数值序列包括数值的第一预定子集和数值的第二预定子集,所述第二预定子集中的每个值与所述第一预定子集中的每个值不同;并且所述方法包括:
从所述第一预定子集中获取所述第一数值,并使用第一秘密密钥将所述格式保持加密应用于所述第一数值,以生成所述第一数字一次性令牌;以及
从所述第二预定子集中获取所述第二数值,并使用第二秘密密钥将所述格式保持加密应用于所述第二数值,以生成所述第二数字一次性令牌;其中,
第一秘密密钥的标识符应用于所述第一数字一次性令牌;以及
第二秘密密钥的标识符应用于所述第二数字一次性令牌,所述第一秘密密钥的标识符与所述第二秘密密钥的标识符不同;
其中:
所述第一秘密密钥的标识符是第一数字字符,所述第二秘密密钥的标识符是第二数字字符;以及
所述第一数字字符出现在所述第一数字一次性令牌的预定字符位置,所述第二数字字符出现在所述第二数字一次性令牌的相同的预定字符位置;
其中:
所述预定字符位置处的数字字符对于所述第一预定子集中的每个数值是相同的,并且等于用作所述第一秘密密钥的标识符的第一数字字符;
所述预定字符位置处的数字字符对于所述第二预定子集中的每个数值是相同的,并且等于用作所述第二秘密密钥的标识符的第二数字字符;以及
所述格式保持加密不应用于从所述第一预定子集获取的第一数值或从所述第二预定子集获取的第二数值的预定字符位置处的数字字符;
其中:
在从所述第一预定子集获取所述第一数值并使用所述第一秘密密钥将所述格式保持加密应用于所述第一数值以生成所述第一数字一次性令牌之后,改变所述第一秘密密钥并同时保留所述第一秘密密钥的标识符;以及
在从所述第二预定子集获取所述第二数值并使用所述第二秘密密钥将所述格式保持加密应用于所述第二数值以生成所述第二数字一次性令牌之后,改变所述第二秘密密钥并同时保留所述第二秘密密钥的标识符。
2.根据权利要求1所述的方法,其中,使用相同的秘密密钥将格式保持加密应用于所获取的第一数值和所获取的第二数值中的每一个。
3.根据权利要求1所述的方法,其中:
出现在所述第一数字字符处的第一数字一次性令牌的所述预定字符位置是未出现在从所述第一预定子集获取的所述第一数值中的附加字符位置,所述第一数字字符用作所述第一秘密密钥的标识符;以及
出现在所述第二数字字符处的第二数字一次性令牌的所述预定字符位置是未出现在从所述第二预定子集获取的所述第二数值中的附加字符位置,所述第二数字字符用作所述第二秘密密钥的标识符。
4.根据权利要求1-3中任一项所述的方法,其中:
从预定的非重复字母值序列生成预定的连续数值序列,预定的连续数值序列中的每个数值通过预定的一对一的关系与预定的字母值序列中的相应字母值相关联;以及
使用预定的一对一的关系将所述第一数字一次性令牌和所述第二数字一次性令牌中的每一个转换为相应的第一字母一次性令牌和第二字母一次性令牌。
5.一种用于生成多个不同的一次性令牌以用作电子系统的安全检查的装置,所述装置包括:
控制器,其能够操作以从序列发生器获取来自预定的连续数值序列的第一数值,并从所述序列发生器获取来自预定的连续数值序列的第二数值,所获取的第二数值与所获取的第一数值不同;以及
格式保持加密器,其能够操作以将格式保持加密应用于所获取的第一数值以生成第一数字一次性令牌并将所述格式保持加密应用于所获取的第二数值以生成第二数字一次性令牌;
其中:
预定的连续数值序列包括数值的第一预定子集和数值的第二预定子集,所述第二预定子集中的每个值与所述第一预定子集中的每个值不同;
控制器能够操作以从所述第一预定子集中获取第一数值,并且所述格式保持加密器能够操作以使用第一秘密密钥将所述格式保持加密应用于所述第一数值,以生成第一数字一次性令牌;以及
控制器能够操作以从所述第二预定子集中获取第二数值,并且所述格式保持加密器能够操作以使用第二秘密密钥将所述格式保持加密应用于所述第二数值,以生成第二数字一次性令牌;其中,
第一秘密密钥的标识符应用于所述第一数字一次性令牌;以及
第二秘密密钥的标识符应用于所述第二数字一次性令牌,所述第一秘密密钥的标识符与所述第二秘密密钥的标识符不同;
其中:
所述第一秘密密钥的标识符是第一数字字符,所述第二秘密密钥的标识符是第二数字字符;以及
所述第一数字字符出现在所述第一数字一次性令牌的预定字符位置,所述第二数字字符出现在所述第二数字一次性令牌的相同的预定字符位置;
其中:
所述预定字符位置处的数字字符对于第一预定子集中的每个数值是相同的,并且等于用作所述第一秘密密钥的标识符的第一数字字符;
所述预定字符位置处的数字字符对于第二预定子集中的每个数值是相同的,并且等于用作所述第二秘密密钥的标识符的第二数字字符;以及
格式保持加密不应用于从所述第一预定子集获取的第一数值或从所述第二预定子集获取的第二数值的预定字符位置处的数字字符;
其中:
在所述控制器从所述第一预定子集获取所述第一数值并且所述格式保持加密器使用所述第一秘密密钥将格式保持加密应用于所述第一数值以生成所述第一数字一次性令牌之后,所述控制器能够操作以改变所使用的所述第一秘密密钥并同时保留所述第一秘密密钥的标识符;以及
在所述控制器从所述第二预定子集获取所述第二数值并且所述格式保持加密器使用所述第二秘密密钥将格式保持加密应用于所述第二数值以生成所述第二数字一次性令牌之后,所述控制器能够操作以改变所使用的所述第二秘密密钥并同时保留所述第二秘密密钥的标识符。
6.根据权利要求5所述的装置,其中,使用相同的秘密密钥将所述格式保持加密应用于所获取的第一数值和所获取的第二数值中的每一个。
7.根据权利要求5所述的装置,其中:
出现在所述第一数字字符处的第一数字一次性令牌的预定字符位置是未出现在从所述第一预定子集获取的所述第一数值中的附加字符位置,所述第一数字字符用作所述第一秘密密钥的标识符;以及
出现在所述第二数字字符处的第二数字一次性令牌的预定字符位置是未出现在从所述第二预定子集获取的所述第二数值中的附加字符位置,所述第二数字字符用作所述第二秘密密钥的标识符。
8.根据权利要求5-7中任一项所述的装置,其中:
从预定的非重复字母值序列生成预定的连续数值序列,预定的连续数值序列中的每个数值通过预定的一对一的关系与预定的字母值序列中的相应字母值相关联;以及
所述控制器能够操作以使用所述预定的一对一的关系将所述第一数字一次性令牌和所述第二数字一次性令牌中的每一个转换为相应的第一字母一次性令牌和第二字母一次性令牌。
9.一种存储用于执行根据权利要求1至4中任一项所述的方法的计算机程序的记录介质。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB1611388.8A GB2551787A (en) | 2016-06-30 | 2016-06-30 | Generating a plurality of one time tokens |
GB1611388.8 | 2016-06-30 | ||
PCT/GB2017/051818 WO2018002585A1 (en) | 2016-06-30 | 2017-06-21 | Generating a plurality of one time tokens |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109690598A CN109690598A (zh) | 2019-04-26 |
CN109690598B true CN109690598B (zh) | 2023-10-20 |
Family
ID=56891140
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780052330.7A Active CN109690598B (zh) | 2016-06-30 | 2017-06-21 | 生成多个一次性令牌 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11088839B2 (zh) |
EP (1) | EP3479328A1 (zh) |
CN (1) | CN109690598B (zh) |
GB (1) | GB2551787A (zh) |
WO (1) | WO2018002585A1 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10419401B2 (en) * | 2016-01-08 | 2019-09-17 | Capital One Services, Llc | Methods and systems for securing data in the public cloud |
US11297054B1 (en) | 2020-10-06 | 2022-04-05 | International Business Machines Corporation | Authentication system(s) with multiple authentication modes using one-time passwords of increased security |
CN112507367A (zh) * | 2020-12-22 | 2021-03-16 | 北京明略软件系统有限公司 | 一种格式保留的数据加密方法和系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1668995A (zh) * | 2002-06-06 | 2005-09-14 | 克瑞迪科公司 | 用于改善伪随机数发生器的输出的不可预测性的方法 |
US7234063B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
CN101981863A (zh) * | 2007-06-26 | 2011-02-23 | 格马尔托股份有限公司 | 嵌入式生成便携式通信对象中的标识符和关联密钥的方法 |
US9037858B1 (en) * | 2013-03-12 | 2015-05-19 | Emc Corporation | Distributed cryptography using distinct value sets each comprising at least one obscured secret value |
US9195984B1 (en) * | 2011-08-16 | 2015-11-24 | Jpmorgan Chase Bank, N.A. | Systems and methods for processing transactions using a wallet |
US9292707B1 (en) * | 2013-06-03 | 2016-03-22 | Management Science Associates, Inc. | System and method for cascading token generation and data de-identification |
CN105580038A (zh) * | 2013-07-24 | 2016-05-11 | 维萨国际服务协会 | 用于可互操作的网络令牌处理的系统和方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8855296B2 (en) * | 2006-06-28 | 2014-10-07 | Voltage Security, Inc. | Data processing systems with format-preserving encryption and decryption engines |
WO2012018998A1 (en) * | 2010-08-06 | 2012-02-09 | Telcordia Technologies, Inc. | System and method establishing trusted relationships to enable secure exchange of private information |
US20140281559A1 (en) * | 2013-03-15 | 2014-09-18 | Marc Trachtenberg | Systems and Methods for Distributing, Displaying, Viewing, and Controlling Digital Art and Imaging |
US9313195B2 (en) * | 2013-09-30 | 2016-04-12 | Protegrity Corporation | Collision avoidance in a distributed tokenization environment |
US10902417B2 (en) * | 2014-04-29 | 2021-01-26 | Mastercard International Incorporated | Systems and methods of processing payment transactions using one-time tokens |
-
2016
- 2016-06-30 GB GB1611388.8A patent/GB2551787A/en not_active Withdrawn
-
2017
- 2017-06-21 EP EP17734811.7A patent/EP3479328A1/en active Pending
- 2017-06-21 CN CN201780052330.7A patent/CN109690598B/zh active Active
- 2017-06-21 US US16/311,026 patent/US11088839B2/en active Active
- 2017-06-21 WO PCT/GB2017/051818 patent/WO2018002585A1/en unknown
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1668995A (zh) * | 2002-06-06 | 2005-09-14 | 克瑞迪科公司 | 用于改善伪随机数发生器的输出的不可预测性的方法 |
US7234063B1 (en) * | 2002-08-27 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for generating pairwise cryptographic transforms based on group keys |
CN101981863A (zh) * | 2007-06-26 | 2011-02-23 | 格马尔托股份有限公司 | 嵌入式生成便携式通信对象中的标识符和关联密钥的方法 |
US9195984B1 (en) * | 2011-08-16 | 2015-11-24 | Jpmorgan Chase Bank, N.A. | Systems and methods for processing transactions using a wallet |
US9037858B1 (en) * | 2013-03-12 | 2015-05-19 | Emc Corporation | Distributed cryptography using distinct value sets each comprising at least one obscured secret value |
US9292707B1 (en) * | 2013-06-03 | 2016-03-22 | Management Science Associates, Inc. | System and method for cascading token generation and data de-identification |
CN105580038A (zh) * | 2013-07-24 | 2016-05-11 | 维萨国际服务协会 | 用于可互操作的网络令牌处理的系统和方法 |
Also Published As
Publication number | Publication date |
---|---|
BR112018077183A2 (pt) | 2019-04-02 |
GB2551787A (en) | 2018-01-03 |
US20200313891A1 (en) | 2020-10-01 |
WO2018002585A1 (en) | 2018-01-04 |
GB201611388D0 (en) | 2016-08-17 |
US11088839B2 (en) | 2021-08-10 |
CN109690598A (zh) | 2019-04-26 |
EP3479328A1 (en) | 2019-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110324143B (zh) | 数据传输方法、电子设备及存储介质 | |
AU2013101034B4 (en) | Registration and authentication of computing devices using a digital skeleton key | |
EP2301185B1 (en) | Format-preserving cryptographic systems | |
CN110061840B (zh) | 数据加密方法、装置、计算机设备及存储介质 | |
CN107078899B (zh) | 混淆数据的方法 | |
US8195951B2 (en) | Data processing system for providing authorization keys | |
US20130339252A1 (en) | Format-preserving cryptographic systems | |
NO324315B1 (no) | Metode og system for sikker brukerautentisering ved personlig dataterminal | |
US10158487B2 (en) | Dynamic second factor authentication for cookie-based authentication | |
WO2015133990A1 (en) | Methods and apparatus for migrating keys | |
CN103378971B (zh) | 一种数据加密系统及方法 | |
US9473299B2 (en) | Dual-party session key derivation | |
CN109690598B (zh) | 生成多个一次性令牌 | |
US11128455B2 (en) | Data encryption method and system using device authentication key | |
EP3363151A1 (en) | Apparatus, method and computer program product for authentication | |
CN103078863A (zh) | 登录认证的方法、装置及系统 | |
CN110032874A (zh) | 一种数据存储方法、装置及设备 | |
JP7250960B2 (ja) | ユーザのバイオメトリクスを利用したユーザ認証および署名装置、並びにその方法 | |
TWI629612B (zh) | Certification device, authentication system, and certification program product | |
CN115987499B (zh) | 生成用户的私钥的方法及系统 | |
CN107682156A (zh) | 一种基于sm9算法的加密通信方法及装置 | |
US11601291B2 (en) | Authentication method and device for matrix pattern authentication | |
CN111953480B (zh) | 密钥生成装置以及方法、运算密钥生成装置以及方法 | |
CN109543367B (zh) | 基于量子加密的软件授权方法、装置及存储介质 | |
CN108846290A (zh) | 一种密码生成方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |