CN1922845A

CN1922845A - 令牌验证系统和方法

Info

Publication number: CN1922845A
Application number: CNA2005800057314A
Authority: CN
Inventors: N·波普
Original assignee: FLISAEN Co
Current assignee: FLISAEN Co
Priority date: 2004-02-23
Filing date: 2005-02-23
Publication date: 2007-02-28
Anticipated expiration: 2025-02-23
Also published as: CN1922845B; JP2011108275A; CA2556148A1; US20140115677A1; EP1723594A4; JP4843114B2; JP2011192310A; CA2556148C; WO2005083610A1; US20070050635A1; EP1723594B1; WO2005083610A8; EP1723594A1; US8639628B2; JP2007523431A

Abstract

一种计算一次性口令的方法。秘密与一个计数相联系，其中秘密被唯一地分配给令牌。秘密可以是私有密钥或者共享的秘密对称密钥。所述计数是一个随在令牌处所生成的一次性口令数量而在所述令牌处单调增加的数目。也可以在验证服务器处跟踪计数，其中该计数随在验证服务器处对一次性口令的每次计算而单调增加。可以通过散列所联系的秘密和计数来计算OTP。所得结果可被截断。

Description

令牌验证系统和方法

技术领域

本发明的领域是验证，尤其是使用硬件设备的验证。

发明内容

一种计算一次性口令(One Time Password)的方法。秘密与一个计数相联系，其中秘密被唯一地分配给令牌。秘密可以是私有密钥或者共享的秘密对称密钥。所述计数是一个随在令牌处所生成的一次性口令数量而在所述令牌处单调增加的数目。也可以在验证服务器处跟踪计数，其中该计数随在验证服务器处对一次性口令的每次计算而单调增加。可以通过散列所联系的秘密和计数来计算OTP。所得结果可被截断。

背景技术

在判断是否准许访问网络中的数据或服务的请求中的普通步骤是识别和验证作出请求的用户。验证包括检验用户的身份的过程。已知的识别和验证系统包括将用户标识符(“用户id”)与用户的秘密(“口令”)相关联。口令可以是用户和验证服务之间的共享秘密。用户可将他的用户id和口令提交给验证服务，验证服务将它们与存储在服务的用户id和关联口令进行比较。如果它们匹配，那么可以说用户已经被验证。如果没有，那么可以说用户没有被验证。

令牌是可用于验证用户的装置。它可包括一个或多个秘密，其中的一些秘密可与确认中心共享。例如，令牌可存储秘密密钥，所述秘密密钥可用作为计算一次性口令(OTP)的基础。OTP可以是生成一次并不再被重新使用的数字(或字母串)。令牌可生成OTP并且将其连同唯一的令牌序列号发送给验证服务器。验证服务器可利用具有所接收的序列号的令牌的秘密密钥的拷贝来计算OTP。如果OTP匹配，那么可以说用户被验证。为了进一步加强从用户到令牌的链接，用户可建立与令牌共享的秘密的个人识别号码(PIN)，该秘密的个人识别号码必须由用户录入以便解锁令牌。可替换地，PIN可在用户、令牌和验证服务器之间共享，并且可连同其它因素用来生成OTP。令牌通常实现了防篡改措施以便防止秘密被未授权的公开。

附图说明

图1示出了根据本发明的一个实施例的验证过程。

图2示出了根据本发明的另一个实施例的验证过程。

具体实施方式

本发明的实施例包括用于在可用来验证用户的硬件设备处生成一次性口令(“OTP”)的协议。OTP由令牌生成，令牌可以是物理设备，包括防止未授权修改或公开其所包含的软件和信息以及帮助确保其适当工作的机构。

该协议的一个实施例可以是基于顺序的，并可以是双因素的，例如基于用户所知道的东西(诸如个人识别号码，在用户和验证服务之间共享的秘密)以及用户所拥有的具有特定属性(例如，诸如私有密钥的唯一秘密密钥，或共享的秘密对密钥)的物理设备(例如，令牌)。

用于生成OTP的协议可基于计数器，例如基于例如从令牌已经请求OTP的次数而单调增加的数目。OTP的值可以显示在令牌上，并且可由用户很容易地经由与计算机耦合的键盘来读取和录入，所述计算机转而与网络耦合。OTP在RADIUS系统上是可移植的。

根据本发明的协议的实施例可基于增加的计数器值以及只有令牌和验证服务(“强验证”服务)知道的静态对称密钥。可通过在RFC2104中定义的HMAC-SHA1算法或者任何其它适当的散列算法来创建OTP的值。该散列的MAC算法具有SHA-1的强度，但是允许在输出计算期间添加秘密。

HMAC-SHA1计算的输出是160位。但是，该值可以被截断为用户方便录入的长度。因此，

OTP＝截断(HMAC-SHA1(计数，秘密))

客户端和验证服务器可计算OTP值，如果由服务器接收的值匹配由服务器计算的值，那么可以说用户被验证。一旦在服务器处验证出现，那么服务器将计数器值递增一。

尽管服务器计数器值可在成功的OTP验证之后递增，在令牌上的计数器可在每次按下按钮时递增。由此，服务器和令牌上的计数器值可经常不同步。实际上，给定了用户环境(例如，用户不需要按下按钮，按钮突然被按下，用户错误输入OTP等等)，则存在令牌总是无法与服务器同步的好机会。

因为只有在有效OTP存在时服务器的计数器才递增，因此令牌上的服务器计数器值被期望总是小于令牌上的计数器值。确保重新同步不会成为加重用户或者企业IT部门负担的保证是十分重要的。

在该情况下的计数器同步可通过使服务器计算下n个OTP值以及确定是否匹配来实现，其中n是整数。如果我们假设令牌上的计数和服务器上的计数的差是50，那么取决于强验证服务器的实现，服务器最多必须计算下50个OTP值。因此，例如，如果在n+12值处找到正确的OTP，那么服务器可验证用户并接着将计数器递增12。

仔细挑选可由服务器很容易计算的n值是很重要的。应当存在上界以便确保服务器永远不会检查的OTP值，由此屈服于拒绝服务攻击。

将HMAC-SHA1值截断为6字符值可使强力攻击容易得逞，尤其在只使用数字的情况下。由此，可在强验证服务器处检测和停止这种攻击。每次服务器计算无效的OTP，它应当将此记录并且实现措施来防止被覆盖(swamp)，例如在某个点处，防止来自同一源的将来的检验请求。可替换地，在检验尝试之间，可强迫用户等待更长的时间。

一旦用户被锁定，用户可通过提供网络接口而处于“自解锁”，该网络接口例如将请求用户按顺序录入多个OTP，因而证明它们具有令牌。

一旦共享的秘密已经与计数器组合，可获得160位(20字节)的HMAC-SHA1结果。在一个实施例中，对于我们的OTP最多该信息的四个字节。HMAC RFC(RFC 2104-HMAC：消息验证的键控散列)还警告，我们应当使用部分5中至少一半的HMAC结果。所截断的输出：

HMAC的应用可选择来通过输出HMAC计算的最左边的t个位来截断HMAC的输出…我们建议输出长度t不小于散列输出的长度的一半…并且不小于80位(需要由攻击者来预测的位数的适当下边界)。因此，需要另一方式来在不会削弱HMAC或SHA1的方式下，只选择HMAC结果的四个或更少的字节。

动态偏移截断

该技术的目的在于从HMAC-SHA1结果中提取4个字节的动态二进制码，同时仍保持大多数的MAC密码强度。

1.获取最后的字节(字节19)

2.屏蔽低位的四个位作为偏移值

3.使用偏移值以便索引到HMAC-SHA1结果的字节中。

4.返回随后的四个字节作为动态二进制码。随后的代码例子描述了在给定hmac_result是具有HMAC-SHA1结果的字节阵列时提取动态二进制码：

int offset＝hmac_result[19]&0xf；

int bin_code＝(hmac_result[offset]&0x7f)＜＜24

|(hmac_result[offset+1]&0xff)＜＜16

|(hmac_result[offset+2]&0xff)＜＜8

|(hmac_result[offset+3]&0xff)；

下面是使用该技术的例子：

SHA-1散列

字节

1.最后的字节(字节19)具有十六进制值0x5a。

2.较低的四个位的值是0xa(偏移值)。

3.偏移值是字节10(0xa)。

4.在字节10处开始的四个字节的值是0x50ef7f19，其是动态二进制码。

我们将动态二进制码当作为一个31位、无符号、大端字节(big-endian)的整数；第一字节用0x7f来掩码。

用于给定秘密和移动因素的一次性口令可根据三个参数来变化：编码基数、码数位和Has校验和。10作为编码基数，7个码数位以及Has校验和被设置为真，我们继续上面的例子：

·十六进制值0x50ef7f19转换为基10的1357872921。

·最后7个数位是7872921

·码数位的信用卡校验和将7计算为校验和。

10-((5+8+5+2+9+2+2)mod10)＝10-(33mod10)＝10-3＝7

·产生下列OTP：78729217

下面是在该应用中使用的术语词汇表：

校验和数位—将信用卡校验和算法应用于码数位的结果。该数位是可选的。该校验应当捕获任何单个的换位或任何单个的字符错误输入。

码数位-该参数指明从二进制码获得的位数。我们通过将二进制码转换成编码基数、零填充作为最低的码数位，并获得右边(低位)数位来计算码数位。将10作为编码基数，31位的二进制码可支持不超过9个的码数位。

信用卡校验和算法-该校验和算法具有将捕获任何单个错误输入数位，或两个数位的任何单个相邻换位的优点。这些是用户错误中最普通的类型。

编码基数-该参数指明以什么基数来使用口令。基数10是优选的基数，因为其可以通过数字键盘来录入。

Has校验和数位-该布尔参数指明校验和数位是否应当被添加以便创建OTP。如果不存在校验和数位，那么仅仅将码数位作为OTP使用。如果存在校验和数位，那么将码数位作为到信用卡校验和算法的输入来计算它。

OTP-一次性口令。这个值通过把校验和数位(如果有的话)附加到码数位的右边来构建。如果不存在校验和数位，OTP与码数位相同。

通过在散列位中的第一次移位、接着在同步位中的移位并接着在先前中间值的check_function()的结果中移位来计算一次性数值。

二进制值接着被转换为适当的字符值。存在三种可能的口令字符表示：十进制、十六进制和字母数字。

十进制十六进制字母数字

请求的显示类型 7段 7段字母数字

转换代价中等微不足道简单的

每字符的位 3.2 4 5

键盘录入简单容易容易

手机录入容易难难

十进制

令牌将动态二进制码转换为十进制并接着显示最后的码数位加上可选的校验和。例如，对于六数位，没有校验和，十进制令牌将二进制码转换成十进制并显示最后六个数位。

十六进制

令牌可将动态二进制码转换成十六进制并接着显示最后的码数位加上可选的校验和。例如，对于六数位，没有校验和，十六进制令牌将二进制码转换为十六进制并显示最后六个数位。

字母数字

令牌可将动态二进制码转换成基数32并接着显示最后的码数位加上可选的校验和。例如，对于六数位，没有校验和，基数为32的令牌将二进制码转换为32基数并显示最后六个数位。

为了成为真的双因素验证令牌，除了OTP的“你有什么”值之外还可能存在“你知道什么”值。这个值通常是只有用户知道的静态PIN或口令。该部分讨论了三个用于根据本发明确认静态PIN的可替换体系结构。

在中途(in the cloud)的PIN确认

使得能够在途中进行PIN确认能够将单个PIN与单个令牌绑定。PIN应当在线路中被保护以确保其不被泄漏。PIN管理(设置、改变)应当由强验证服务来实现。

企业处的PIN确认

使得能够在途中进行PIN确认意味着单个令牌多个口令。

PIN从不需要离开企业的“安全世界”。PIN管理可由企业来实现。在令牌处的PIN确认

该实施例可通过使用令牌上的小键盘来实现。PIN从不用通过线路来发送，并可用作为OTP算法的种子。PIN可用于简单地解锁令牌。示例数据流

这个部分描述了两个数据流场景。第一个场景假设了强验证服务不知道与令牌关联的用户名。在该场景中，假设了PIN管理操作需要用户录入他们的令牌SN，而不是他们的用户名。

第二场景非常类似于第一场景，除了用户名代替令牌SN成为强验证服务中的密钥的事实之外。在该情况下，存在一些问题。首先，用户名对于服务是知道的，其次，我们必须跟上方案以确保从用户名到令牌SN的唯一映射。

图1示出了根据本发明的一个实施例的验证过程。其作了如下假设：

·分布到强验证服务的令牌SN和S

·与每个令牌关联的消费者帐户

·与一个特定令牌关联的PIN

·强验证服务在DB中只保存了PIN的SHA-1散列。

·在企业处作为属性添加到用户帐户的令牌SN，插件将用户名映射到SN。

强验证服务器110、企业验证服务器120和客户端130例如通过网络(未示出)耦合。如图1所示，客户端处的用户向企业服务器120发送访问受保护资源的请求。该服务器确定对资源的访问是否要求验证。如果是，它发送“要求验证”的消息给客户端130。可向用户提示用户名和口令。用户可按下他的令牌上的按钮(未示出)，以便获得OTP。OTP可按照上面所述的例如通过散列令牌秘密和在令牌处所存储的计数的当前值的组合来生成。用户接着录入他的用户名和他的与令牌提供的OTP相联系的个人识别号码(PIN)。该信息被发送到企业服务器120。企业服务器120基于用户名来查找令牌序列号，并且将序列号和PIN+OTP发送到验证服务器110。验证服务器110根据序列号来查找记录以获得PIN和秘密的本地散列值以及假设的计数。这是可以完成的，因为令牌秘密可在它被唯一分配给的令牌和验证服务器110之间共享。验证服务器接着根据令牌的秘密和在验证服务器处所存储的令牌的计数的当前值来计算OTP。如果所计算的OTP匹配所接收的OTP，那么在验证服务器110处的计数值递增一。否则，验证服务器可再次尝试通过递增令牌的计数并将其与令牌的秘密进行散列来计算OTP。这是可以完成的，因为如上所述，验证服务器110处的计数值可不同于令牌处的计数值(未示出)。该过程可合情理地重复任意次数，以使计数值能够“跟上”令牌处的计数值。在一个实施例中，这种试图对验证服务器上的令牌进行验证的重复次数在进行了同样的预定次数例如12后终止。如果令牌不能够成功由验证服务器110验证，那么验证服务器发送“未验证”消息给企业服务器120。如果令牌被成功验证，那么验证服务器发送“已验证”消息给企业服务器120。基于从验证服务器110所得的结果，企业服务器分别拒绝或同意来自客户端的对资源进行访问的请求许可。

图2示出了根据本发明的另一个实施例的验证过程。其作了如下假设：

·分布到强验证服务的令牌SN和S

·与每个令牌关联的消费者帐户和用户名

·与一个特定令牌关联的PIN

·强验证服务在DB中只保存了PIN的SHA-1散列。

·用户名从企业转发到强验证服务。

图2的验证过程与图1的一样，直到用户名和PIN+OTP从客户端130刚发送到企业服务器120之后。不是根据用户名来查找序列号，企业服务器120将验证请求(包括用户名和PIN+OTP)转发到验证服务器110。验证服务器根据用户名来查找记录，能够检验PIN并接着在剩下的处理中按照图1所示的相同过程来进行。

Claims

1.一种计算一次性口令的方法，包括：

使秘密与计数相联系，其中所述秘密被唯一分配给令牌并且在令牌和验证服务器之间共享，并且所述计数是一个随在令牌处所生成的一次性口令数量而在所述令牌处单调增加并且随在验证服务器处对一次性口令的每次计算而在验证服务器处单调增加的数目；

根据相联系的秘密和计数来计算散列；和

截断散列结果以便获得一次性口令。

2.一种对访问资源的请求进行验证的方法，包括：

在验证服务器处接收验证请求，所述验证请求包括与令牌唯一关联的序列号、与用户关联的个人识别号以及在令牌处生成的一次性口令，其中一次性口令基于在令牌处的计数值以及在令牌和验证服务器之间共享的秘密；

基于序列号在验证服务器处获取与令牌对应的计数值；

基于序列号在验证服务器处获取与令牌对应的秘密；

基于所获取的与令牌对应的计数值和秘密来在验证服务器上计算一次性口令的值；

比较所计算的一次性口令与所接收的一次性口令；并且

如果所计算的一次性口令对应于所接收的一次性口令，那么确定请求被验证；

如果所计算的一次性口令不对应于所接收的一次性口令，那么递增在验证服务器处的计数值并且根据递增的计数和秘密来重新计算一次性口令，并且比较重新计算的一次性口令与所接收的一次性口令；

如果重新计算的一次性口令不对应于所接收的一次性口令，那么使递增计数和重新计算一次性口令重复进行直到重新计算的一次性口令对应于所接收的一次性口令。

3.权利要求2的方法，其中散列函数是SHA-1。

4.权利要求2的方法，其中秘密是对称密钥。

5.权利要求2的方法，其中递增计数和重新计算一次性口令被重复预定次数，并且如果在预定次数结束后重新计算的一次性口令不对应于所接收的一次性口令，那么确定请求没有被验证。

6.一种对访问资源的请求进行验证的方法，包括：

在验证服务器处接收验证请求，所述验证请求包括与用户唯一关联的用户名、与用户关联的个人识别号以及在令牌处生成的一次性口令，其中一次性口令基于在令牌处的计数值以及在令牌和验证服务器之间共享的秘密；

基于用户名在验证服务器处获取与令牌对应的计数值；

基于用户名在验证服务器处获取与令牌对应的秘密；

比较所计算的一次性口令与所接收的一次性口令；并且

7.权利要求6的方法，其中散列函数是SHA-1。

8.权利要求6的方法，其中秘密是对称密钥。

9.权利要求6的方法，其中递增计数和重新计算一次性口令被重复预定次数，并且如果在预定次数结束后重新计算的一次性口令不对应于所接收的一次性口令，那么确定请求没有被验证。