TWI445380B

TWI445380B - 具自動憑證負載之大量儲存裝置

Info

Publication number: TWI445380B
Application number: TW095124944A
Authority: TW
Inventors: Carlos J Gonzalez; Joerg Ferchau; Fabrice Jogand-Coulobm
Original assignee: Sandisk Technologies Inc
Priority date: 2005-07-08
Filing date: 2006-07-07
Publication date: 2014-07-11
Also published as: US7748031B2; US20070016941A1; TW200726172A; US20100162377A1; US20070011724A1; US7743409B2; US8220039B2; ES2363268T3

Description

具自動憑證負載之大量儲存裝置

本發明一般而言係關於攜帶型大量儲存裝置，諸如用於儲存並轉移大型檔案至數位裝置及儲存並轉移來自數位裝置之大型檔案的記憶卡及攜帶型通用串列匯流排("USB")快閃記憶體驅動器，且更具體言之，本發明係關於安全性及在該等裝置內實施以存取裝置以及其他機構的存取控制機制。

記憶密碼是一件麻煩的事。辦公室之電腦需要使用者姓名及密碼。每一電子郵件帳戶需要使用者姓名及密碼，每一線上帳戶同樣如此。若安全性不是問題，則個人將可能僅擁有一個使用者姓名及密碼以用於所有帳戶。

然而，安全性係一個嚴重的問題，且因此密碼管理及存取帳戶亦係一個嚴重的問題。大量當前方法試圖使密碼更易於記憶或使密碼更穩固及對洩密更有抵抗力來處理此嚴重問題。

一種方法為一次性密碼("OTP")。一般而言，一次性密碼為一在其改變前可用於存取系統一次之值。換言之，其有規律地被更新(以某一界定之頻率)而無需使用者將其改變。此意謂使用者提交一僅使用一次的唯一(密碼)值且他希望存取之系統驗證該值是否為其應當的值。通常使用一基於一可預測之演算法產生使用者之密碼的小型裝置或"符記(token)"來實現此。相同之可預測演算法由系統中之驗證實體來使用，且當給予演算法相同種子值時，系統因此"瞭解"使用者之不斷變化之一次性密碼值在任何時刻(或計數)應是什麼。迄今最普通形式之符記需要使用者自螢幕讀取該值並將該值輸入電腦中。另一最近開發之形式允許符記將該值直接傳輸至電腦。此等實施例之二者及一次性密碼概念通常提供一高級安全性，但需要使用者隨身攜帶一符記以用於產生一次性密碼值。符記為一種形式之雙因素鑑認，其中使用者之秘密(密碼或個人識別號PIN)為一因素，且OTP值及產生其所必需之硬體(符記)為第二因素。

另一方法使用一密碼管理裝置。此裝置可追蹤使用者之各種密碼及帳號並提交每一使用者帳戶之適當(多個)密碼。舉例而言，使用者可具有一用於存取裝置之主密碼，且在裝置已驗證使用者之主密碼後，當其連接至一主電腦時其可接著提交給定帳戶之實際密碼。使用者可輸入他的各種密碼或可將密碼推至密碼管理裝置。來自SafeNet(以前被認為是Rainbow Technologies)之一種此裝置已知為iKey^T ^M 且其亦能夠加密並產生相關密鑰。

此等方法中之每一者存在缺陷且因此未達到公眾之高度接受。OTP符記現今主要用於控制企業網路之存取且未能被廣泛接受而用於可由公眾(例如，電子郵件提供者或線上拍賣者等)廣泛使用之系統。當前可用之密碼管理裝置缺乏OTP符記及系統之安全級。

此等方法中之每一者需要使用一專用裝置，或者缺乏產生用於不同機構之一次性密碼同時保持密碼與相關演算法及種子安全的能力。舉例而言，很多涉及單一用途之密鑰鏈符記或USB裝置。攜帶此裝置無論至哪里皆是不方便的且限制了使用者接受，尤其假定瞭解技術之使用者可能已經攜帶一蜂巢式電話、音樂播放器、PDA或黑莓、數位相機及其他各種各樣之電子配件。

因此，需要一將一次性密碼產生整合為一穩固之安全性與密碼管理系統之一部分的方便多用途裝置。

本發明將穩固的安全性及密碼管理之方便性整合至一攜帶型大量儲存裝置中。由於使用者通常已經具有一供他的數位相機、音樂播放器、PDA或其類似物使用之攜帶型大量儲存裝置，所以添加之安全性及方便性對使用者幾乎沒有強加負擔。此有助於非常安全之一次性密碼機制之更大的滲透，且導致諸如線上銀行業務之敏感應用的危險性顯著更少。因為安全之攜帶型大量儲存裝置可儲存程式及其他安全資料，所以可將OTP產生及密碼管理整合至一方使之平臺中。

消費者空間中採用此等雙因素鑑認系統的其中一個障礙為需要使用者攜帶特定用於執行鑑認操作之目的的符記。消除必須攜帶多個專用裝置之此負擔的一種途徑為將此功能性整合至個人可擁有及/或因其他原因而攜帶其的裝置中。此大量儲存裝置之一實例為一USB快閃儲存裝置或一大量儲存快閃記憶卡(諸如緊湊型快閃"CF"卡、SD卡、MMC卡、XD卡、記憶棒、TransFlash卡或其類似物)，其通常用於儲存資料且新近用於儲存並攜帶應用程式。此裝置根據本發明執行基本OTP功能性並攜帶一可自大量儲存裝置裝入並在主電腦上執行的用戶端應用程式。用戶端應用程式負責與裝置相互作用以執行OTP操作，並自該裝置得到OTP值。在另一實施例中，用戶端自身執行OTP功能性且根據需要儲存並擷取至裝置及來自裝置之諸如計數的資訊。在任一情況下，資訊將以安全方式來儲存，且藉由諸如加密之某一方式來適當地保護。

在一實施例中，單一大量儲存裝置可用於藉由在裝置上保存大量獨立種子及計數對(每一者用以獨立地鑑認一給定機構)來鑑認大量獨立機構。藉由使用驗證鑑認資訊之中央位置用單一種子及計數可交替地達成與多個機構之鑑認。在任一情況下，該種子或該等種子可在裝置之製造期間安全地或經由安全通道遠端地並優先地載入至裝置中或裝載至用戶端。吾人在此項技術中已熟知安全通道且該等安全通道通常涉及一通信協定，藉以用僅彼等兩個實體已知的密鑰來加密兩個實體之間的通信。通常密鑰為以兩個實體之間的預定密鑰交換協定建立的一類會話密鑰。

圍繞供消費者使用之鑑認系統的其中一關心之事是使用之簡易性及系統之簡單性。通常，安全性增加複雜度，而複雜度是採用之障礙。此等系統之設計時的一目標為達成一使使用者相互作用之安全性態樣對使用者而言幾乎為透明的簡單程度。為此，在本發明中，在背景中將安全性處理成為正常使用者活動之一部分。

本發明涉及將OTP功能性直接地整合至使用者註冊操作中，使得在某初始登記及/或啟動後使用者較佳不涉及執行OTP鑑認。詳言之，在較佳實施例中，OTP功能性被整合於USB快閃儲存裝置或其他普通抽取式儲存裝置中，且用戶端應用程式亦儲存於裝置自身上。用戶端應用程式自儲存裝置裝入並在主電腦上執行。應用程式可由使用者手動裝入或可將系統設置成在裝置插入至主電腦中時自動地裝入該應用程式。一旦裝入，用戶端應用程式便執行自大量儲存裝置獲得一OTP值的任務，且提供使用者識別碼、憑證及OTP值至使用者正鑑認之伺服器。理想地，若用戶端應用程式被專用於與單一機構一起操作則此自動被執行，或使用諸如滑鼠或鍵盤之人介面裝置進行一點擊操作以自一清單中選擇一機構圖示(公司標識)或名稱。

在另一實施例中，用戶端可在主電腦上有效且偵側使用者何時存取已登記機構之清單內的網頁以啟動註冊序列。可在圖形使用者介面("GUI")上將機構清單顯示為一清單、一下拉清單、一組圖示、一組公司標識或其他此等表示。理想地，使用者識別碼及憑證及機構通用資源定位符("URL")或其他形式之網址亦已儲存於抽取式儲存鑑認大量儲存裝置上，且被擷取以用於鑑認。若該裝置支持大量獨立OTP種子，或甚至其支持使用相同OTP種子之大量獨立機構，則理想地根據個人正鑑認之特定機構自儲存於裝置上之清單中選擇使用者識別碼、憑證及URL。此系統無縫地組合傳統密碼管理器與OTP鑑認系統之功能，且全部藉由單擊按鈕而執行註冊及鑑認操作。儘管在某些情況中藉由單擊執行所有此等動作係較佳的，但是在其他情況中多擊或其他使用者輸入可加以使用且係較佳的。

為確保在丟失或盜竊的狀況下無其他人可使用裝置來鑑認，本發明之大量儲存裝置係如此使得至少在裝入用戶端應用程式時在使用者未輸入唯一識別個人之諸如PIN或密碼之某資訊的情況下其將不工作。存在使用者識別之大量其他方法，諸如生物統計、回答問題等。在一實施例中，系統可用以提供用於更一般之雙因素鑑認及/或密碼管理操作的使用者資訊，該資訊之某些可比其他資訊更敏感。系統可經設計以使此敏感資訊分開並請求使用者驗證、PIN/密碼之額外輸入或其他動作以確保使用者知道並授權待由系統提供的此資訊。此之一實例可用於信用卡授權及支付。

在一實施例中，用戶端可提供使用者及鑑認資訊給網站伺服器，該網站伺服器在接收到有效使用者憑證及鑑認資訊時將自動填寫通常在無雙因素鑑認的情況下用於註冊之傳統的註冊網頁輸入項。此實施例將使得一給定機構能夠保存一單一web註冊頁，同時添加一獨立系統組件以處理雙因素鑑認。在此狀況下，雙因素鑑認可由不易於幫助表單填充之鑑認表單組成(如OTP)，但可替代為諸如公用密鑰基礎結構("PKI")之鑑認機制，其通常涉及挑戰－回應操作。

隨系統增強，設備可含有使用者可登記以供鑑認之機構的清單。此清單可藉由使用者請求遠端地或藉由用戶端應用程式自動地更新。該清單可以如此之方式組織以便為支付機構而提供優先位置，或清單自身上之位置可僅為支付機構而保留。當該系統偵側到已打開特定網頁(該系統已儲存用於其之憑證)時，該系統亦可填寫他的使用者憑證。此可用一監視用於與網際網路或WWW通信之埠的程式或常用程式來執行。該程式監視安裝於主機上之瀏覽器且組態該等瀏覽器以經由其監視之一特定埠來進行與網際網路/WWW之所有資料通信。在使用主裝置的任何時候監視將自動發生，且將保存所有正被訪問之網站的檔案。若被訪問之網站為系統保存用於其之使用者憑證的一網站，則接著其將使該使用者註冊。

駭客(通常稱為"願者上鉤")之一普通方法為其中誘使一使用者提供秘密資訊給偽裝成有效網站之網站的一方法。存在大量方式來對抗此形式之駭客。參加機構之清單可用作一提供額外資訊(諸如關於給定機構之有效URL、鑑認之形式或用於鑑認之特定協定等)給系統之方式。在一實施例中，嵌入參加機構之清單中的URL可用於限制使用者可藉由系統登記的URL。在此實施例中，清單將優先經由安全通道自遠端伺服器下載至裝置以避免第三方偵伺。在另一實施例中，用戶端可藉由建立至遠端伺服器之鏈路而請求URL之驗證，且優先經由一安全通道請求URL之驗證。在一實施例中，遠端伺服器可為授權伺服器或驗證實體，諸如在圖1－3中見到的彼等授權伺服器或驗證實體。在又一實施例中，網站之驗證可藉由使用諸如具有證書之PKI等之普通方法的某形式之鑑認來執行。在一實施例中，安全性被添加至網站伺服器以確保在起始鑑認過程之前有效裝置得以連接。在另一實施例中，網頁可啟動PC上之服務(微軟視窗操作系統上之其可為ActiveX技術)以與鑑認用戶端相互作用來判定裝置之存在。在較佳解決方案中，所有驗證邏輯地發生在遠端伺服器與裝置自身之間，而本地用戶端僅執行通信之促進。

所有上述系統包括一用於將鑑認權以及使用者資訊及憑證自一裝置轉移至另一裝置的簡單機制。鑑認權(在一實施例中其可由裝置ID及種子組成，且在其他實施例中可由證書、密鑰或其他形式之資訊組成)之轉移可藉由添加資訊至伺服器上之無效裝置之清單、經由安全協定自該裝置移除資訊、及在成功識別使用者時經由安全協定重新供應給一新裝置及自無效裝置之清單中移除來執行。一類似方法可在使用者丟失裝置之情況下使用，其將要求伺服器處之舊裝置ID及種子無效並重新供應相同或新的裝置ID及種子給一新裝置。

攜帶型大量儲存裝置廣泛用於儲存諸如相片、音樂、視訊及文獻之數位內容。其亦大到足以儲存大型軟體應用程式。通常，攜帶型大量儲存裝置現在使用快閃記憶體以用於儲存目的，且具有記憶卡或攜帶型USB驅動器之外形尺寸。此等大量儲存裝置不同於意欲儲存諸如交易或識別目的所需之非常少的資訊之其他攜帶型裝置。大量儲存裝置亦不同於諸如用於鑑認之密鑰卡及符記的其他專用裝置，因為雖然專用裝置可具有儲存有關使用者識別資訊之少量記憶體，但是其未經設計成以迅速、可靠且可重複的方式頻繁儲存並轉移比較大量及常常加密之檔案。

舉例而言，記憶卡(攜帶型大量儲存裝置之一實施例)必須能夠迅速儲存約5－20百萬位元組或更大之圖片。來自數位相機之一單一圖片可需要比諸如智慧卡、密鑰卡或符記之專用裝置中存在的儲存數量級更大的儲存數量級。此外，此專用裝置通常不能夠迅速讀取及寫入檔案，更不用說相機及音樂播放器等使用之較大檔案。攜帶型大量儲存裝置具有控制器及具有經優化以非常迅速地讀取及寫入記憶體組的常用程式之韌體。此外，許多攜帶型大量儲存裝置具有安全性及加密常用程式以阻撓頻繁更新之內容的未經授權之複製。雖然專用符記可具有某形式之安全性(以保護種子及/或演算法)，但是符記上之資料通常為靜態的且安全性未經設計以防止頻繁更新之使用者檔案的未經授權之複製。為使資訊更可靠地及迅速地被擷取，本發明之大量儲存裝置亦可將種子與驗證及鑑認所需之其他資訊儲存於大量儲存記憶體之未經受邏輯至實體映射的區域中。對於在此上之更多資訊，請參考申請案第11/317,341號代理人案號為SNDK.470US2之M.Holtzman等人的題為"Methods Used in a Secure Yet Flexible System Architecture for Secure Devices With Flash Mass Storage Memory"、申請案第11/317,339號代理人案號為SNDK.470US3之M.HoltZman等人的題為"Secure Yet Flexible System Architecture for Secure Devices With Flash Mass Storage Memory"，其以引用之方式全部併入本文中。種子亦可載入於裝置之隱藏分區中。只有當希望載入種子之實體具有足夠的許可及/或憑證來如此做時，種子(無論其儲存於何處)之載入才亦可成為可能。在某些實施例中，在存取控制記錄中含有此許可，其將在稍後加以論述。

本發明使用一用於安全性目的之攜帶型大量儲存裝置。該裝置具有內建於裝置的安全性特徵：i)限制存取儲存於該裝置上之資訊，及ii)使該裝置充當允許存取其他安全系統及資料的一種類型之"密鑰"。本發明亦包括一使用一攜帶型大量儲存裝置來驗證使用者之憑證的系統。一旦驗證，使用者將被允許存取資訊，否則他將不能存取。

通常，靜態密碼已用於驗證使用者之憑證。然而靜態密碼易於盜竊且提供很少的保護，尤其在現今分佈廣泛的用於密碼及其他個人資訊之"願者上鉤"的情況下。如先前在先前技術中所論述，亦已實施專用OTP符記系統。此等專用符記攜帶不方便、成本較高且在市場中未被廣泛接受。此等標記亦不具有記憶卡或USB驅動器之大量儲存功能性。

今天，具有數位相機、錄影機、PDA、攜帶型音樂播放器或個人電腦之每個人幾乎皆具有一記憶卡或小型USB驅動器，有時稱為"拇指"驅動器。本發明移除需要用於實施OTP之獨立專用符記(或其他專用裝置)之輸入的障礙。若使用者不需要攜帶多個裝置，但可使用他已經具有的某物來作為替代，則OTP及雙因素鑑認之接受及使用應大體上增加。此導致更好之安全性措施及電子商業及其他領域中更少的欺騙風險。

本發明之實施例包含一具有OTP功能性之諸如USB快閃儲存裝置之攜帶型儲存裝置及一在該裝置中之用戶端，在被使用者選擇時該用戶端將自動地鏈接至適當機構網頁、輸入使用者憑證、執行與裝置之OTP交易並輸入OTP值至網頁，因此以單一使用者點擊之方式無縫地執行整個操作。

增加之安全性措施是極重要的，因為身份盜竊及欺騙正日益變得對線上金融活動之增長有較大威脅。銀行、經紀機構及其他金融機構正尋求將使得他們能夠激勵更多線上活動之解決方案，其中與在分支機構中執行的相同交易相比費用可僅僅為每筆交易之0.5%。同樣，存在正圍繞線上商業交易、用於兒童之安全瀏覽等而開發之其他程式。此等之每一者的基本需要為一提供對個人之更強大的鑑認之構件，其克服身份盜竊之最普通形式，該等最普通形式為獲得使用者識別碼及憑證及信用卡資訊之實體盜竊或複製的願者上鉤及駭客。

問題之一解決方案及本發明之一態樣為向消費者提供執行雙因素鑑認以註冊或執行線上交易之構件(或系統)。雙因素鑑認(如姓名所暗示)需要個人擁有兩個系統組件，其之一者通常為一唯一識別該個人之實體裝置而另一者為僅為該個人及該個人意欲鑑認之實體所知的一段資訊(秘密)。

鑑認或驗證實體通常將具有一含有個人憑證之資料庫以及一驗證該個人擁有雙因素鑑認系統之兩個組件的構件。若能證明擁有兩個組件則僅鑑認個人，且因為通常從未實體地靠近該個人之駭客將不擁有實體組件，所以最普通形式的欺騙(其中駭客能判定該個人之識別碼及秘密)被阻撓。同樣，若該個人碰巧丟失裝置，或該裝置被偷，則無人可使用實體組件來在不知道秘密的情況下錯誤地鑑認。

本發明包括密碼功能性。在一較佳實施例中其包括一基於硬體之密碼引擎，儘管該密碼功能性可另外主要基於韌體。包括某形式之密碼術以增加處理系統將需要的努力係有利的。使用基於硬體之密碼引擎之優點為可以除非由硬體註冊singed否則將不執行韌體之此方式將韌體與密碼引擎聯繫起來。此意謂需要存在可靠之韌體及硬體以供裝置工作。一者或其他者不能以經設計以折衷裝置之安全性及允許內容之未經授權的複製的部分來替代。對於更多資訊，請參考美國專利申請案第11/285,600號Holtzman等人之題為"Hardware Driver Integrity Check of Memory Card Controller Firmware"，其以引用之方式全部併入本文中。

PC或手機具有一易受所有形式之駭客之攻擊的開放架構。本發明之優點為：藉由置放密碼能力於大量儲存裝置內，與典型個人電腦("PC")或諸如蜂巢式電話之電子裝置上將存在之物相比可使用非常安全及有限之API。大量儲存裝置之安全API係如此使得駭客沒有辦法使用正常邏輯介面以試圖辨別大量儲存裝置內含有之密碼秘密。本質上，本發明之大量儲存裝置經製造以比其耦接至的主機要安全得多。

安全之大量儲存裝置使用基本上作為傳遞之主裝置與位於遠端之一或多個伺服器協同工作。儘管在某些實施例中主裝置之處理器執行一儲存於大量儲存裝置上之用戶端，但是在較佳實施例中密碼及OTP操作專門包含於大量儲存裝置中，其可以更為受保護得多的方式實體地並邏輯地被建構。安全之大量儲存裝置與位於遠端之一或多個安全實體協力工作以形成一安全系統。在大量儲存裝置與安全實體之間的連接亦係安全的。位於遠端之安全實體為(或包含)一或多個遠端伺服器，其通常被實體地保護以防被存取且具有限制可經由外部介面執行之相互作用之類型的安全對策。

現在將參看諸圖。圖1說明了一系統，使用該系統攜帶型大量儲存裝置("MSD")可用於鑑認及密碼管理。MSD 100經由連接102連接至一主計算裝置110。連接102可為任何類型之直接或無線連接。無線連接之某些實例包括：OTA(無線下載)，其使用標準電話通信鏈路；射頻，其之某些涉及選擇之範圍及協定，諸如wi－fi(802.11x)及藍芽；感應短域通信("NFC")；及紅外線。在當前較佳實施例中，MSD 100採用USB驅動器或記憶卡之形式，且因此連接為直接的且MSD將與主裝置之插座104建立介面。如稍後將更詳細地論述，MSD 100具有一用於頻繁地及迅速地儲存並擷取大型使用者檔案之大量儲存記憶體。此等使用者檔案可為任何類型之檔案且通常包括數位相片及音樂以及可執行之軟體程式。在無線連接102之情況下，插座104將不為一實體插座而將替代為一無線收發器。

主計算裝置110可為任何類型之智慧電子裝置，且為方便起見將被簡稱為主機。主機110之某些實例將包括個人電腦、蜂巢式電話或手持式行事曆及/或電子郵件裝置("PDA")。實際上，主機可為可用於存取使用者帳戶及/或所關注之網站的任何電子裝置。主機110連接至一網路，該網路又與各種機構118及其他實體連接。為簡單起見，僅展示一個機構118。網路可包含諸如網際網路之任何類型的廣域網路及各種類型之蜂巢式電話網路。某些網路亦可使用衛星通信。連接至該網路之一種類型的實體為一驗證或鑑認實體124。實體124包含一或多個伺服器。在其中主機110為PC之狀況下，若需要則可建立虛擬專用網路("VPN")連接。除連接主機至機構118之網路連接114及連接主機至驗證實體124之網路連接116外，亦可在機構118與驗證實體124之間存在一獨立之非網路連接122。當然，機構118亦可也經由網路與實體124通信。

現在將參考其當前較佳實施例來描述主機110及與其相互作用之組件，但此描述應決不限制本發明之範疇，本發明之範疇將由隨附申請專利範圍來界定。在較佳實施例中，主機110為一PC且MSD 100為一USB拇指驅動器。如先前所提及，主電腦亦可為一通常稱為PDA之手持式電腦、或一蜂巢式電話、或數位相機、或具有所有此等功能之混合裝置，其可接受一抽取式儲存裝置。在一實施例中，儲存裝置或子系統可嵌入於主電腦中。當使用者希望存取一特定機構(假定(例如)他的線上銀行)時，他將MSD 100插入至USB埠中，藉由PC裝入存在於MSD上之用戶端，且接著用戶端使使用者登錄進入他的一或多個銀行帳戶。在使用者將被允許存取該機構並註冊或登錄進入該機構前，驗證實體124與機構、用戶端、PC及MSD協同工作以驗證/授權使用者及他的MSD。當然，每一機構118保存其使用者及使用者帳號及秘密(例如，密碼或PIN號)之各種資料庫。同樣，驗證實體保存驗證/授權使用者及其裝置所需要的資料庫。此等過程將在稍後更詳細地論述。又，存在於MSD 100上之用戶端應用程式可藉由主機110之處理器或MSD 100來執行，且此將視所需之安全級及主機110與MSD 100二者之組態以及在其之間的連接102而定。在其中主機110為一PC之狀況下，此時當前較佳的是PC執行用戶端應用程式。

圖2類似於圖1但其清楚地表示驗證實體(其包含一或多個伺服器)可在與機構及其設備相同之建築物上。另外，其說明了一授權機構126。該授權機構為一提供資訊至驗證/鑑認及使用者登錄必需之MSD 100的實體。授權機構126亦將被稱為授權伺服器126。舉例而言，授權機構126可提供MSD 100內OTP產生所必需之種子。授權機構126被展示為經由網路連接128連接至主機110。在此情況下，授權機構可在MSD 100之可用壽命期間的任何時候將種子載入至MSD 100中。若必要其亦可改變並移除種子。在其中該等種子在工廠被載入的情況下，授權機構126可直接地連接至MSD而不必經由網路及主裝置來連接。授權機構126可由任何數目之公司或其他實體來運行。一個此實體可為裝置之製造者或提供者。舉例而言，若MSD由SanDisk(本發明之受讓人)生產，則授權機構亦可為SanDisk或其代理人。如另一實例，授權機構126可為諸如使用者之裝置分配者。又，機構118或驗證實體124可直接地替代授權機構126或與授權機構126一起來提供驗證/授權所必需之資訊(例如，OTP種子)。

圖3A說明了MSD 100之某些實體組件。介面304發送資料及指令至MSD 100並接收來自MSD 100之資料及指令且與控制器306通信資訊。如先前所提及，在某些實施例中介面304包含電接觸及/或大量儲存裝置之連接器，而在其他實施例中其包含一無線收發器。在某些實施例中，亦可經由裝置介面304接收用於MSD 100之功率。控制器306包含一微處理器且其控制MSD 100之所有資料儲存操作。此意謂其協調至及來自大量儲存記憶體308(其較佳為快閃種類)的所有讀取及寫入操作。儘管控制器及大量儲存記憶體被說明為串聯連接，但是實際上其通常經由一匯流排連接。匯流排上亦可為各種其他組件，包括唯讀記憶體("ROM")及隨機存取記憶體("RAM")。MSD 100能夠讀取及寫入大量儲存記憶體308中之加密檔案，且在較佳實施例中用控制器306內之加密引擎來實現此。控制器執行韌體以運行MSD 100，且此韌體可位於專用ROM上，或另外儲存於快閃記憶體308中。該韌體較佳儲存於大量儲存記憶體308中，以省去儲存韌體之ROM的費用。儲存運行MSD之韌體於快閃記憶體308中(其缺乏對ROM之固有保護)需要MSD 100中之廣泛保護機制，該等保護機制確保韌體中之複本保護常用程式不可被篡改或韌體不可用惡意/不安全之韌體完全替代。

如圖3B中所見，快閃記憶體308具有一安全區域308A，MSD之操作所必要的韌體及其他資訊位於該安全區域308A中。在某些實施例中，韌體被加密且除非其首先被判定為可靠的否則將不被執行。對於關於韌體之鑑認的更多資訊請參考申請案第11/285,600號Holtzman等人之題為"Hardware Driver Integrity Check of Memory Card Controller Firmware"，其以引用之方式全部併入本文中。又，在某些實施例中，僅可在裝置之某些操作狀態中執行寫入至安全區域308。一般而言，此亦用來防止篡改或韌體之替代，且對於關於大量儲存裝置之操作狀態的更多資訊請查看申請案第11/053,273號M.Holtzman等人之題為"Secure Memory Card with Life Cycle Phases"，其以引用之方式全部併入本文中。此等保護需要在適當位置，因為大量儲存裝置用於通用檔案儲存，且詳言之用於儲存不可自由地用於複製的保留版權之作品。舉例而言，必須保護MSD上之音樂以防其被未經授權複製(使用不可用於儲存使用者檔案之專用符記此不是一問題)。當用於控制裝置之韌體存在於與使用者檔案相同之大量儲存記憶體中而非存在於一固有地更難以處理的諸如ROM之專用儲存裝置上時，此是特別重要的。

邏輯槽310A、310B...310x位於安全區域308A中。此等槽亦可在檔案儲存區域308B中。一槽為一被保護之邏輯記憶區，其用於儲存使使用者註冊進入一機構所必需之資訊。作為一安全性措施來加密該資訊。此可包括諸如他的姓名、地址、帳號等...之使用者識別資訊、諸如密碼或PIN之使用者秘密及產生OTP值必需之資訊(包括用於每一機構之演算法及種子值)。每一機構將具有其自己之槽。在某些實施例中，機構內之每一帳戶可具有其自己之槽。稍後將更詳細地解釋註冊及槽之使用。在本發明之一實施例中，為更可靠地及迅速地擷取資訊，MSD之槽可位於大量儲存記憶體之未經受邏輯至實體映射的系統區域中。用於OTP產生之種子亦可儲存於記憶體308之區域中，該區域相對於一已存取檔案儲存區域308B中之檔案的電腦而言是隱藏的。此可在位於記憶體308中之任何地方的隱藏分區中執行。

如先前所提及，可在不同時間將種子載入至MSD 100中。在載入發生前驗證一希望將種子載入至卡中之實體係重要的。在一實施例中，此以一安全儲存應用程式("SSA")來管理，該安全儲存應用程式為大量儲存裝置之安全性模組。此可與用戶端應用程式320相互作用或經由裝置內之一管理層來相互作用。在Fabrice Jogand－Coulomb等人之具有代理人案號SNDK.382US4且題為"Control Structure for Versatile Content Control"的專利申請案第11/313,536號中描述了SSA及其他相關資訊，該專利申請案以引用之方式全部併入本文中。SSA系統位於MSD之儲存系統的頂上且增加一用於儲存之檔案及其他資料(在一實施例中，包括種子)的安全性層。

SSA分區為可僅經由SSA存取的隱藏之分區，該分區相對於主機操作系統或OS及所有其他實體而言是隱藏的。除了經由一藉由註冊到存取控制記錄("ACR")而建立的會話外，SSA系統較佳將不允許主裝置或其他實體存取一SSA分區。類似地，較佳地SSA將不提供關於SSA分區之存在、大小及存取許可的資訊，除非此請求經歷由一適當授權機構或實體建立之會話。

對分區之存取權源於包含於ACR內之許可清單。ACR亦可含有實體的或待由實體使用的註冊演算法、憑證及鑑認方法。當創建一分區時，主機提供用於該分區之參考名或ID。此參考用於進一步讀取及寫入指令至分區。因此，在此實施例中，為使希望載入一種子於MSD中的實體能存取分區，其將必須具有適當許可及/或適當註冊演算法、憑證及鑑認方法。

圖3C說明了MSD 100之較佳實施例之各功能性。在較佳實施例中，用戶端應用程式320執行許多功能，但不執行OTP產生。在較佳實施例中，如早先所論述，在主機上執行用戶端(儘管其儲存於MSD上)，而在MSD上執行OTP產生。與各種主裝置中存在的相對開放及潛在不安全之環境相比，在MSD 100之安全環境內OTP產生器330將得到更好地保護。用戶端320將請求並隨後取出由OTP產生器330產生之OTP值。OTP產生器330可使用多個不同演算法以提供比僅能夠使用製造時所播種的單一演算法之先前OTP符記更多的安全性及功能性。舉例而言，OTP產生器330可使用用於每一機構之一唯一值產生演算法。OTP產生器可實施於控制器306之邏輯中、可程式化邏輯裝置中或獨立之專用電路中。專用電路可實施於ASIC中或以板層次電路組件來實施。

用戶端320亦包含裝置介面320A、使用者介面320B、鑑認管理器320C及供應管理器320D。基於與使用者介面320B之使用者相互作用，用戶端320無縫地使使用者註冊到他所選擇之機構。在使用者不瞭解或不干擾的情況下，使用者介面觸發裝置介面、鑑認管理器及供應管理器。

圖4說明了裝置100之多用途功能性。MSD 100具有大量儲存功能性。此是為什麼使用者通常具有MSD 100以儲存他的檔案於方便的小型裝置中的原因。現在本發明增加了帳戶管理及登錄之方便性。此涉及密碼管理與鑑認管理。鑑認管理包括驗證使用者與他的裝置係其所意指的且經授權以存取安全機構。鑑認管理涉及特定裝置識別符之使用且亦涉及由OTP產生器330產生之一次性密碼。增加OTP產生及雙因素鑑認之安全性至一使用者已經具有之裝置應大大增加OTP使用之採用。增加管理個人通常具有之多個密碼的方便性亦應使此裝置更為使用者感興趣及對使用者更有價值。增加之安全性、功能性及方便性將導致安全機構處以及使用者中對雙因素鑑認之更高的接受度。

現在將關於圖5A－10C詳細地描述該等過程之複雜性。

圖6概述了兩個原理步驟。首先，在步驟604中，當裝置在安裝地點時或換言之在裝置已被出售且為使用者所擁有後，MSD 100接收一或多個OTP種子。在一實施例中，在卡中接收每一機構之一種子。在其他實施例中，一種子用於產生用於兩個或兩個以上機構之值。雖然在裝置出售給使用者或一中間人前可在該裝置中預先載入種子，但是較佳地可在運作中載入種子。之後，在步驟608中，使用攜帶型大量儲存裝置100將接收到的(多個)種子用於登錄進入各種(多個)機構。在於運作中載入種子之前，在某些實施例中用戶端可驗證連接至主機之MSD能夠執行必要的OTP產生。執行此之一種方式為使用ActiveX。

應協同觀看圖5A及5B及圖7－10C之流程圖。圖5A展示了裝置槽連結及裝置槽啟動中涉及的下列實體之每一者之間的相互作用：最終使用者99、MSD 100、用戶端320、機構118及驗證實體124。在MSD 100可用於存取一特定機構前執行裝置槽連結及啟動。圖5B展示了在已經連結並啟動MSD 100之槽時在存取機構中涉及的實體之每一者之間的相互作用。圖5A及5B中說明之實體很大程度上是相同的，但使用並說明了用戶端320之不同功能性。舉例而言，在圖5B中，在該等過程中涉及用戶端之鑑認管理器320C及使用者介面320B，而在圖5A中見到的裝置槽連結及啟動期間用戶端320之供應管理器320D係有效的。又，機構118之機構資料庫120被說明為一獨立邏輯實體，儘管其為機構118之一部分。

圖7為一高層次地說明使用MSD 100存取機構之主要步驟的流程圖。在步驟704中，在MSD 100已連接至電腦後，裝入用戶端。用戶端可藉由使用者裝入，或另外當感測到至電腦之連接時可自動地裝入用戶端。接下來，在步驟708中，使用者經由用戶端之使用者介面選擇他希望存取之機構。某些使用者介面螢幕可在圖11－12中看見，且稍後將加以描述。每當裝入用戶端時通常將經由電腦之人介面裝置來作出選擇。然而，使用者可組態MSD 100以當感測到連接且裝入用戶端時自動地存取機構。

在步驟712中，MSD 100產生一用於選定機構之每一者的OTP值。每一機構可具有用於OTP產生的一唯一種子及演算法。在步驟716中，用戶端連接至選定機構。一旦連接，用戶端即呈現使使用者註冊進入選定機構必需之資訊。此資訊包含使用者之識別資訊(諸如他的姓名、帳號或使用者ID)、使用者之秘密資訊(諸如他的密碼或PIN)及用於特定機構之OTP值(若機構為需要OTP值以用於註冊之類型)。資訊可自使用者填寫的用戶端使用者介面之頁收集，或可藉由當使用者在機構之網頁中輸入他的資訊時監視他的動作而收集。在一實施例中，用戶端可提供使用者及鑑認資訊給一網站伺服器，在接收到有效之使用者憑證及鑑認資訊時，該網站伺服器將自動地填寫通常在沒有雙因素鑑認的情況下用於註冊之傳統註冊網頁輸入項。此實施例將使一給定機構能夠保存一單一web註冊頁，同時增加一處理雙因素鑑認之獨立的系統組件。在某些實施例中，MSD 100之裝置ID亦可為註冊所必需的。在步驟724中，鑑認/驗證使用者99及裝置100且使用者/裝置註冊進入每一選定機構。最後，一旦使用者註冊，他便可存取機構。在其中使用者正存取機構之網站的狀況下，在步驟728中呈現機構網頁給使用者。當然，機構介面不限於網頁，且其他介面之存取係在本發明之範疇內。當主機110為除PC之外的某物時此尤其貼切。

圖8為一類似於圖7之流程圖，但在圖8中第三方(其為除機構及使用者/裝置之外的一方)扮演一使使用者註冊進入機構之角色。將僅描述不同於圖7中之步驟的步驟。在步驟714中，用戶端將使用者/裝置/主機連接至第3方而非如圖7之步驟716中連接至一機構。此第3方保存使用者、裝置、機構及驗證使用者及他的裝置之可靠性及有效性所需之所有資訊的資料庫。此可包括驗證由MSD產生之OTP值。在步驟717中，第3方鑑認/驗證使用者/裝置。一旦此發生，即在步驟717中第3方呈現使使用者註冊進入他選定之機構所需的適當資訊。第3方可呈現在MSD層級處產生或由第3方自身產生之OTP值。在步驟722中，使用者接著註冊進入該機構。

如先前所提及，在MSD 100可用於使使用者註冊進入他選定之網站前，應連結並啟動裝置內之槽。在完成註冊前亦必須鑑認使用者及裝置，如圖9中所見。在步驟905中，MSD 100之槽310與驗證實體124之伺服器(其亦可稱為驗證伺服器124)連結。在圖10之流程圖中更詳細地描述了此步驟且亦在圖5A中展示了此步驟。接下來，在步驟910中，啟動槽。在圖10B之流程圖中更詳細地描述了此啟動過程且亦在圖5A中展示了此啟動過程。在步驟915中，鑑認使用者及MSD 100之槽。在圖10C之流程圖中更詳細地描述了此鑑認或驗證過程且在圖5B中亦可見此鑑認或驗證過程。

圖10A詳細說明了連結之過程(圖9之步驟905)。在步驟918中，MSD首先連接至主機110。在步驟920中，裝入用戶端。接下來，在步驟922中，使用者選擇他希望登錄進入之一機構。此外，使用者可同時執行此，或可自先前使用者會話中預先選擇機構。在步驟924中，接著配置MSD 100內之用於選定機構或帳戶的槽。在步驟926中，用戶端自MSD 100擷取裝置ID。接著在步驟928中，自裝置ID及槽ID創建一唯一的識別符(其稱為符記ID)。在步驟930中，使用符記ID將MSD 100(詳言之，MSD 100之適當槽)連結至驗證伺服器124。在步驟932中，接收用於選定機構之OTP種子，且接著在步驟934中將其指派給配置之槽。重複步驟924－934以用於步驟922中所選擇的機構。

圖10B詳細說明了裝置槽啟動之過程(圖9之步驟910)。在已連結裝置槽後可啟動該裝置槽。在步驟940中，使用者輸入他的使用者姓名及其他使用者識別資訊及他的密碼或其他秘密。接下來，在步驟942中，MSD 100之OTP產生器330產生用於正被啟動之槽的一或多個一次性密碼值。在步驟944中，以機構啟動MSD之槽，且在步驟946中機構及/或用戶端接著請求用驗證伺服器124來驗證槽/MSD/使用者。同時，在步驟948及步驟950中，機構118及驗證伺服器124驗證槽/MSD/使用者。接著，視情況在步驟952中，通知用戶端及使用者成功啟動。

圖10C更詳細地說明了使用者及裝置鑑認之過程(圖9之步驟915)。在圖5B中亦展示此。當裝置啟動時其連結至一機構或帳戶並與該機構或帳戶相關聯。此藉由使用裝置ID及槽資訊來執行。該機構接著需要將裝置及其內容與使用者姓名及密碼相關聯，使得其可使用裝置所呈現之資訊加上使用者特定資訊(使用者識別資訊及秘密)來鑑認使用者。在步驟960中，若MSD還未連接則將其連接至主機。接下來在步驟962中，若用戶端未打開及未運行則裝入用戶端，且在步驟964中使用者輸入他的識別資訊(例如，使用者姓名、帳號等)及他的秘密(例如，密碼或PIN)。接下來，在步驟966中MSD 100之OTP產生器產生一用於特定槽之OTP值。在步驟968中，OTP值、使用者識別資訊及使用者秘密被提交給該機構。接著，在步驟970中，該機構驗證存取該機構之使用者。此涉及步驟970A及970B。在步驟970A中，該機構使用(多個)機構資料庫來驗證使用者識別資訊及秘密。在步驟970B中，其亦使用驗證伺服器124來驗證MSD 100之OTP值及符記ID。若接著在步驟970中已成功地驗證使用者，則在步驟974中使用者接著註冊進入該機構。

如所提及，在一實施例中，用戶端可提供使用者及鑑認資訊給網站伺服器，在接收到有效使用者憑證及鑑認資訊時該網站伺服器將自動地填寫通常在沒有雙因素鑑認的情況下用於註冊之傳統註冊網頁輸入項。此實施例將使一給定機構能夠保存單一web註冊頁，同時增加一處理雙因素鑑認的獨立系統組件。在此狀況下，雙因素鑑認可由不易於幫助表單填充之鑑認表單組成(如OTP)，但可替代為諸如PKI之鑑認機制，其通常涉及挑戰－回應操作。

圖5C展示了使用用於憑證之驗證/授權之公用密鑰基礎結構的實施例之一可能建構。由於交易不比其中發生交易之系統安全，所以最重要的要素變成建立用於使通信者彼此定位並對其使用之公用密鑰真正屬於其希望與他/它通信之個人(或機器)有把握的方式。公用密鑰基礎結構經設計以提供此信任。使用一稱為數位證書或公用密鑰證書之資料元素(其連結一公用密鑰至關於其擁有者之識別資訊)，基礎結構經設計以創建連結並為了使用之團體內的所有者的利益而管理基礎結構。

PKI為一鑑認技術。使用秘密密鑰與公用密鑰密碼術之組合，PKI賦能大量其他安全性服務，包括資料機密性、資料完整性及密鑰管理。在以引用之方式全部併入本文中的ITU－T X.509 Recommendation[X.509]中界定PKI之基礎或構架。

最終實體有時被認為是最終使用者。儘管此為常常出現的情況，但是術語最終實體意謂多得多的類屬。一最終實體可為最終使用者、諸如路由器或伺服器之裝置、一過程、或可在公用密鑰證書之主體名稱中識別的任何事物。最終實體亦可被認為是與PKI相關之服務的消費者。在本發明中，如在圖5中所示之實施例中所見，最終實體為大量儲存裝置100或其使用者。

藉由CA 520以公用密鑰證書之形式分配公用密鑰。可需要來自MSD 100的證書，使得機構118或驗證實體將允許MSD 100之使用者登錄。來自機構118之證書亦可用於證明在MSD將使使用者登錄進入機構前該機構為可靠的。藉由發行CA 520(其有效地將主體名稱與公用密鑰連結)來數位地簽名公用密鑰證書。CA亦負責發行證書撤銷清單("CRL")除非此已被委託給獨立之CRL發行者。CA亦可涉及諸如最終使用者註冊之大量管理任務，但此等常常被委託給獨立註冊授權機構("RA")，其為任選的且未在圖5C中展示。實務上，CA 520或另一CA亦可充當密鑰備份及恢復工具，儘管此功能亦可被委託給一獨立組件。CA常常被認為是PKI中之"信任來源"。通常，最終實體可以一或多個"信任錨"來組態，接著將一或多個"信任錨"用作驗證給定證書路徑之起始點。一旦經由PKI介面建立信任，註冊便可發生。

圖11A－I及圖12A－B為用戶端320之不同實施例之介面螢幕。此等螢幕用來說明本發明之方便性。對於一使用者而言，註冊過程變得非常簡單，儘管"在幕後"發生相當複雜之計算及相互作用。舉例而言，使用者不知道：裝置經播種以用於每一選定之機構；該種子由複雜之演算法使用以產生一用於每一註冊之新(OTP)值，該新(OTP)值與使用者之其他資訊一起被自動地驗證。本發明將非常高之安全性級別與密碼管理中之無縫自動化組合在一起。在某些實施例中，此亦可包括一單一登錄，其中使用者之主資訊自動地與用於不同機構之所有個人密碼及使用者姓名相關聯。存在可與本發明一起使用的使用者識別之大量其他方法，諸如生物統計、回答問題等。在一實施例中，系統可用以提供使用者資訊以用於更普通之雙因素鑑認及/或密碼管理操作，該資訊之某些可比其他資訊更敏感。系統可經設計以使此敏感資訊分開並請求使用者驗證、PIN/密碼之額外輸入或其他動作以確保使用者知道並授權待由系統提供的此資訊。此之一實例可用於信用卡授權及支付。

圖11A展示了一歡迎螢幕，且圖11B為其中使用者可填寫他的密碼及使用者姓名以存取一特定機構之介面。使用者可輸入一新機構或存取一先前已經組態之機構。在此螢幕中，使用者可輸入他的MSD之裝置ID，儘管在較佳實施例中用戶端將擷取此資訊而無需使用者輸入其。在圖11C中，使用者介面通知使用者該系統正將MSD連結至他的(多個)帳戶。在此狀況下，選定之機構為一金融機構或經紀人。如圖11D中所見，使用者可存取他可在一特定機構具有之多個帳戶，且可添加、編輯並刪除帳戶。在圖11E中，使用者被要求輸入他的主密碼。此為一稍後由系統將其與所有使用者之其他密碼及帳戶資訊關聯的密碼。在一實施例中，一旦已連結使用者，他僅需要輸入此主密碼，且為了存取他的帳戶，該過程將在圖11D處開始而非在圖11A或圖11B處開始。在圖11F中，當系統連接至他的帳戶時使用者被要求等待。接下來，在圖11G中通知使用者他被安全地連接至他的帳戶。在此階段，機構之網頁或其他介面將在使用者之主裝置上打開。當使用者完成存取他的(多個)帳戶時，他可接著點擊圖11H中所示之使用者介面螢幕之退出按鈕。使用者可接著連接至額外帳戶，如圖11I中所見。

圖12A－B描繪了用戶端320之另一實施例之使用者介面螢幕。在圖12A中，表示大量不同機構之圖示同時顯示於一使用者介面螢幕上。使用者可添加一機構(亦稱為"帳戶")並編輯或移除一帳戶。該等機構可藉由使用者手動地添加，或另外使用者可自由MSD保存之清單中進行選擇。此清單將在使用者請求時自伺服器遠端地更新至MSD或基於更新之某排程而自動地更新。該清單亦可基於任意數目之事件(諸如在使用者登記之請求時)而被更新。藉由點擊圖示之每一者內的按鈕，使用者亦可存取或註冊進入帳戶並關閉或註銷帳戶。如圖12B中所見，當使用者在特定帳戶上點擊以打開其時，用戶端將允許使用者在特定機構處之他的帳戶之間選擇，該等帳戶亦可稱為"子帳戶"。

在一較佳實施例中，一旦已組態所有展示之帳戶，使用者即將僅必須輸入MSD之他的主密碼，且接著可簡單地在對應於他希望註冊進入之機構的圖示上點擊。在其他實施例中，為增加安全性，亦將需要輸入個人密碼及/或使用者ID。

早先在應用程式中詳細描述的便於登錄之操作將接著在幕後無縫地發生。此將同時使處理註冊及密碼管理對於使用者而言非常方便，而同時提供一同樣將有益於使用者及機構的非常高的安全性級別。所有此方便性及安全性併入一使用者最可能已經擁有之裝置中。因為可將用戶端添加至小型大量儲存裝置之大量儲存記憶體中(不像在專用符記中)，所以此係可能的。攜帶型大量儲存裝置具有比在諸如PC之開放環境中更穩固的實體與邏輯安全性，且因此資訊之駭客或"願者上鉤"將困難得多得多。又，不像可使不同密碼或其他資訊相互關聯之某些大量儲存裝置，本發明使用可產生不斷變化又即刻可驗證的唯一密碼值之演算法及過程。

雖然已描述了本發明之實施例，但是應瞭解本發明並不限於此等說明性實施例，而是本發明由附加之申請專利範圍界定。舉例而言，MSD 100可使用磁碟而非用於大量儲存目的之快閃類型的固態記憶體，且可為鑑認目的而實施任何方式的對稱或不對稱鑑認以增強使用者所選密碼之傳統安全性。

99．．．最終使用者

100．．．MSD/裝置

102．．．連接

104．．．插座

110．．．主機/主計算裝置

112．．．VPN

114、116、128．．．網路連接

118．．．機構

120．．．機構資料庫

122．．．非網路連接

124．．．驗證實體/驗證伺服器

126．．．授權機構/授權伺服器

304．．．介面

306．．．控制器

308．．．快閃記憶體

308A．．．安全區域

308B．．．檔案儲存區域

310A、310B、310X．．．邏輯槽

320．．．用戶端

320A．．．裝置介面

320B．．．使用者介面

320C．．．鑑認管理器

320D．．．供應管理器

330．．．OTP產生器

510．．．證書及CRL儲存庫

515．．．證書/CRL擷取

520．．．證書授權機構

525．．．證書/CRL公告

530．．．CRL發行者

535．．．CRL公告

圖1為根據本發明之第一系統之圖解說明。

圖2為根據本發明之第二系統之圖解說明。

圖3A為大量儲存裝置100之方塊圖。

圖3B為圖3A之大量儲存快閃記憶體308之記憶體空間的說明。

圖3C為大量儲存裝置100之用戶端及一次性密碼產生器之圖。

圖4為大量儲存裝置100之功能性之說明。

圖5A(包含圖5A－1及圖5A－2)為裝置槽連結及裝置槽啟動中涉及的實體及相互作用之說明。

圖5B(包含圖5B－1及圖5B－2)為具有一連結槽之裝置之鑑認中涉及的實體及相互作用之說明。

圖5C為使用公用密鑰基礎結構之鑑認中涉及的實體及相互作用之說明。

圖6為根據本發明之一實施例之使用大量儲存裝置100登錄進入機構之方法的流程圖。

圖7為根據本發明之一實施例之使用大量儲存裝置100登錄進入機構之方法的流程圖。

圖8為根據本發明之一實施例之使用大量儲存裝置100登錄進入機構之方法的流程圖。

圖9為根據本發明之一實施例之使用大量儲存裝置100登錄進入機構之方法的流程圖。

圖10A為如圖9之步驟905中所見的裝置槽連結之流程圖。

圖10B為如圖9之步驟910中見到的裝置槽啟動之流程圖。

圖10C為如圖9之步驟915中所見的鑑認之流程圖。

圖11A－I為根據本發明之一實施例之用戶端320的使用者介面螢幕。

圖12A－B為根據本發明之一實施例之用戶端320的使用者介面螢幕。

Claims

一種使用一攜帶型大量儲存裝置來存取一使用者之帳戶的方法，該方法包含：偵側該攜帶型大量儲存裝置與一電腦之一連接，該攜帶型大量儲存裝置包含一攜帶型記憶卡或一攜帶型USB驅動器；及其後使該電腦與一第一實體之間建立一連接；及其後在該攜帶型大量儲存裝置連接至該電腦的同時，使一待由一在該攜帶型大量儲存裝置內實施之一次性密碼產生器使用之種子載入至該攜帶型大量儲存裝置中；裝入(launching)一用戶端應用程式；使用該電腦執行該用戶端應用程式；自該用戶端應用程式傳送一請求至該攜帶型大量儲存裝置；回應於該請求並在該攜帶型大量儲存裝置內使用該一次性密碼產生器藉由該載入之種子產生一一次性密碼；使該一次性密碼連同使用者識別資訊一起被傳輸至一機構，藉此使該使用者註冊進入多個帳戶之一者，使得該使用者可存取他的帳戶。
如請求項1之方法，其進一步包含在該攜帶型大量儲存裝置被連接的同時，使待由該一次性密碼產生器使用之額外種子載入至該攜帶型大量儲存裝置中，每一額外種子待由一特定帳戶或機構使用，儲存於該大量儲存裝置之一隱藏分區中的每一種子不可經由由存取該裝置之該儲存容量內之資料的該連接電腦之一檔案系統使用的標準讀寫指令來存取。
如請求項2之方法，其中為了使一實體載入一種子，必須確定其具有載入一種子之許可，以載入該種子並存取該隱藏之分區。
如請求項1之方法，其中產生包含用一演算法計算一值，且其中產生包含使用一用於待被存取之每一帳戶或機構之不同演算法。
如請求項1之方法，其進一步包含使該攜帶型大量儲存裝置與該攜帶型大量儲存裝置之一槽連結。
如請求項1之方法，其進一步包含使該槽被啟動。
如請求項1之方法，其進一步包含使該使用者及該攜帶型大量儲存裝置被鑑認。
如請求項5之方法，其中連結包含：選擇一帳戶；接收一槽識別符(slot identifier)；擷取一在該裝置內之裝置識別符；及基於該槽識別符及該裝置識別符創建一唯一識別符。
如請求項8之方法，其進一步包含使用該唯一識別符來將該大量儲存裝置連結至一驗證伺服器。
如請求項8之方法，其中該槽識別符自一儲存於該攜帶型大量儲存裝置上並藉由該電腦之一處理器執行之用戶端來接收。
如請求項8之方法，其中該槽識別符自一儲存於該攜帶型大量儲存裝置上並藉由該攜帶型大量儲存裝置之一處理器執行之用戶端來接收。
如請求項6之方法，其中啟動該槽包含：使使用者識別資訊由該使用者輸入；使該使用者選擇一帳戶；及使該帳戶及該使用者與該槽相關聯。
如請求項1之方法，其進一步包含在載入該種子之前自一第一實體接收該種子。
如請求項1之方法，其中在該攜帶型大量儲存裝置內執行產生一一次性密碼。
如請求項1之方法，其中使用儲存於該攜帶型大量儲存裝置中之該種子在該電腦內執行產生一一次性密碼。
一種自動憑證載入之方法，其包含：使一包含一攜帶型記憶卡或一攜帶型USB驅動器之攜帶型大量儲存裝置執行一產生一一次性密碼值的一次性密碼產生序列，其中使該攜帶型大量儲存裝置執行一一次性密碼產生序列包括：裝入一用戶端應用程式，使用一連接至該攜帶型大量儲存裝置之主機執行該用戶端應用程式，自該用戶端應用程式傳送一請求至該攜帶型大量儲存裝置，且其中回應於該請求並在該攜帶型大量儲存裝置內藉由一在該攜帶型大量儲存裝置內實施之一次性密碼產生器產生該一次性密碼值；自該攜帶型大量儲存裝置獲得該一次性密碼值；自儲存於該大量儲存裝置之一安全記憶區中的憑證之一清單擷取一或多個使用者憑證；存取一機構之一網站；及輸入該或該等使用者憑證及該一次性密碼值至該機構之該網站中。
如請求項16之方法，其中該輸入係藉由該攜帶型大量儲存裝置來觸發，且該輸入在無該裝置之一使用者參加的情況下被自動地執行。
如請求項16之方法，其中該輸入係藉由該裝置之該使用者之一動作來觸發。
如請求項16之方法，其進一步包含載入一種子至該攜帶型大量儲存裝置中。
如請求項16之方法，其進一步包含載入該攜帶型大量儲存裝置之一識別符至該裝置中。
如請求項19或20之方法，其中一或多個機構被存取，且其中對於每一機構而言一唯一的種子被載入，其中對於一待被載入之種子而言，希望載入該種子之該實體必須確認其具有如此做的許可。
如請求項16之方法，其中一或多個機構被存取，且其中對於每一機構而言一唯一的密碼產生過程被用於執行該一次性密碼產生序列。
如請求項16之方法，其中輸入包含拖及放。
如請求項16之方法，其中輸入包含使儲存於該攜帶型大量儲存裝置中之欄位與該網站之適當網頁欄位相關聯。
如請求項16之方法，其中輸入係藉由一使用者自該清單中選擇一機構而觸發。
如請求項16之方法，其中輸入係藉由用一網頁瀏覽器偵側一特定網頁之該打開而觸發。
如請求項16之方法，其中輸入係藉由一第三方來執行。
如請求項16之方法，其中輸入係藉由一儲存於該攜帶型裝置上並由該主裝置執行的應用程式來執行。
如請求項16之方法，其中輸入該等憑證至該網站中包含輸入該等憑證至該網站之網頁欄位中。
一種登錄方法，其包含：插入一攜帶型大量儲存裝置至一主裝置之一插口中，該插口具有電子接觸且經安置以用於藉由該裝置之一使用者頻繁插入及移除該攜帶型大量儲存裝置，該攜帶型大量儲存裝置包含一攜帶型記憶卡或一攜帶型USB驅動器；裝入一存在於該攜帶型大量儲存裝置上之用戶端應用程式；輸入使用者識別資訊及使用者秘密資訊；選擇一登錄於其中之機構；連接至一授權機構；在該主裝置中接收一來自該授權機構之種子；在該主裝置中接收一來自該授權機構之裝置識別符；儲存該種子於該大量儲存裝置中；儲存該裝置識別符於該大量儲存裝置中；儲存一機構識別符於該大量儲存裝置中；儲存一供該種子使用之計數；及使用該主裝置執行該用戶端應用程式；自該用戶端應用程式傳送一請求至該攜帶型大量儲存裝置；回應於該請求並在該攜帶型大量儲存裝置內基於該種子使用一在該攜帶型大量儲存裝置內之一次性密碼產生器產生一一次性密碼值。
如請求項30之方法，其中該應用程式係藉由該主裝置來執行。
如請求項30之方法，其進一步包含向該使用者呈現登錄至其中之機構之一清單。
如請求項30之方法，其中選擇一機構包含輸入一機構識別符。
如請求項30之方法，其中選擇一機構包含自一清單中選擇該機構。
如請求項33之方法，其中該機構識別符包含一通用資源定位符。
如請求項33之方法，其中該機構識別符包含該機構之該名稱或一別名。
如請求項30之方法，其中該種子係以一加密格式儲存。
如請求項30之方法，其中該裝置識別符係藉由該應用程式而儲存於該大量儲存裝置中。
如請求項30之方法，其中該使用者識別資訊包含生物統計(biometric)資訊。
如請求項30之方法，其中在該應用程式之一表單上執行輸入使用者識別資訊及使用者秘密資訊。
如請求項30之方法，其進一步包含瞭解該等安全性憑證及識別資訊之該位置。
如請求項30之方法，其進一步包含使使用者識別資訊及使用者秘密資訊與該機構識別符相關聯。
如請求項36之方法，其進一步包含使該種子與該機構識別符相關聯。
如請求項30之方法，其中該攜帶型大量儲存裝置具有一通用串列匯流排介面。
如請求項30之方法，其中該攜帶型大量儲存裝置具有一記憶卡之外形尺寸。
如請求項30之方法，其中該種子以一加密格式儲存於該大量儲存裝置中。
如請求項30之方法，其中該種子儲存於該大量儲存裝置中之用於大量儲存的該記憶體之一安全部分中。
如請求項47之方法，其中該種子僅可在該大量儲存裝置處於某些操作狀態時被儲存。
一種註冊進入一機構之方法，其包含：感測一攜帶型大量儲存裝置在一主裝置之一插口中之該插入，該插口經設計以用於藉由該裝置之一使用者頻繁插入及移除該攜帶型大量儲存裝置，該攜帶型大量儲存裝置包含一攜帶型記憶卡或一攜帶型USB驅動器；裝入一存在於該攜帶型大量儲存裝置上之用戶端應用程式並於該主裝置上執行該用戶端應用程式；擷取儲存於該大量儲存裝置中之登記機構之一清單；自該清單中選擇一機構；擷取一使用者識別碼、使用者秘密及一儲存於該大量儲存裝置之一記憶體中的機構識別符；自該用戶端應用程式傳送一請求至該攜帶型大量儲存裝置；回應於該請求而使用一在該攜帶型大量儲存裝置內實施之一次性密碼產生器在該攜帶型大量儲存裝置內產生一一次性密碼值；打開其之識別符被擷取的該機構之一使用者介面；使該主裝置輸入該使用者識別碼、憑證及該一次性密碼值至該機構之該使用者介面中，觸發該機構以傳遞一裝置識別符及該一次性密碼值至一鑑認實體，該鑑認實體其後傳遞該裝置之一鑑認狀態至該機構。
如請求項49之方法，其進一步包含輸入該使用者識別碼及使用者秘密。
如請求項49之方法，其中該輸入被執行一次，且其中其後其被儲存於該大量儲存裝置之一記憶體內並自該大量儲存裝置之一記憶體擷取。
如請求項49之方法，其中該清單係藉由該裝入之應用程式來擷取。
如請求項49之方法，其中該單一動作包含一鍵擊。
如請求項49之方法，其中選擇一機構包含一游標控制裝置之一單一使用者啟動。
如請求項49之方法，其中該使用者介面包含一或多個全球資訊網網頁。
一種用一攜帶型大量儲存裝置及一電腦註冊進入一機構之方法，該方法包含：插入該裝置至該電腦之一插座中；執行存在於該攜帶型大量儲存裝置之大量儲存記憶體中的指令，其中該攜帶型大量儲存裝置包含一攜帶型記憶卡或一攜帶型USB驅動器，其中執行存在於該大量儲存裝置中的指令包括裝入一用戶端應用程式及使用該電腦執行該用戶端應用程式，該用戶端應用程式使該電腦自該攜帶型大量儲存裝置請求一一次性密碼值；回應於自該電腦之該請求，該攜帶型大量儲存裝置使用一在該攜帶型大量儲存裝置內實施之一次性密碼產生器在該攜帶型大量儲存裝置內產生一一次性密碼值，該用戶端應用程式進一步使該電腦提供一使用者識別符、一使用者秘密及該一次性密碼值至該機構之該伺服器，因此使該使用者註冊進入該機構。
一種攜帶型裝置，其能夠大量儲存使用者檔案並能夠進行使用者憑證管理，該攜帶型裝置具有一用於可移除地將該裝置耦接至一主裝置的實體介面，且其包含：大量儲存固態記憶體，其用於儲存使用者檔案及程式；一微控制器，其控制該大量儲存固態記憶體之讀取及寫入操作；一一次性密碼產生器；一存在於該大量儲存固態記憶體中之用戶端應用程式，該用戶端應用程式可由該主機之一處理器來執行以自該裝置之該密碼產生器中擷取一一次性密碼；及一第一種子及計數器對，該第一對鑑認該裝置至一第一機構，其中該攜帶型裝置包含一攜帶型記憶卡或一攜帶型USB驅動器，其中裝入該用戶端應用程式，其中該用戶端應用程式係由該主機之該處理器執行，且其中該一次性密碼產生器係在該攜帶型裝置內實施並回應於該請求在該攜帶型裝置內產生該一次性密碼。
如請求項57之攜帶型裝置，其中執行該應用程式之該處理器位於該主裝置中。
如請求項57之攜帶型裝置，其中執行該應用程式之該處理器位於該攜帶型裝置中。
一種用於控制存取資料網站之系統，該系統包含：一大量儲存裝置，其可被可移除地耦接至一主計算裝置，其中該大量儲存裝置包含一攜帶型記憶卡或一攜帶型USB驅動器；一第一電子實體，其將一種子及一裝置識別符載入至該主計算裝置及大量儲存裝置，同時該大量儲存裝置耦接至該主計算裝置；一在該大量儲存裝置內實施之一次性密碼產生器；一用戶端應用程式；及一第二電子實體，該大量儲存裝置使用該第二電子實體傳遞該大量儲存裝置之一使用者之一使用者識別符、該裝置識別符及一一次性密碼值，其中裝入該用戶端應用程式，其中該用戶端應用程式係由該主計算裝置之一處理器執行，其中該用戶端應用程式傳送一請求至該大量儲存裝置，且其中該一次性密碼產生器回應於該請求而於該大量儲存裝置內產生該一次性密碼值。
如請求項60之系統，其進一步包含一第三電子實體，且其中該第二電子實體傳遞該使用者識別符及一次性密碼值至該第三電子實體以用於驗證該使用者及大量儲存裝置。
如請求項61之系統，其中該第三電子實體提供驗證是成功還是不成功之一指示。
如請求項60之系統，其中該第一電子實體可操作以建立一與該大量儲存裝置之安全通道並經由該安全通道載入該種子及識別符。
如請求項60之系統，其進一步包含一額外大量儲存裝置，該系統可操作以將鑑認權自一大量儲存裝置轉移至另一大量儲存裝置。
如請求項64之系統，其中該等鑑認權包含該裝置識別符及該種子。
如請求項65之系統，其中轉移該等鑑認權包含轉移該種子及該裝置識別符。
如請求項66之系統，其中該第一電子實體將該等鑑認權轉移至該額外大量儲存裝置。
如請求項67之系統，其中該系統建立一與該額外大量儲存裝置之安全通道且經由該安全通道完成該轉移。
如請求項64之系統，其中該系統可進一步操作以自該等權利自其中被轉移的該裝置中移除該等鑑認權。
如請求項69之系統，其中在成功驗證該等權利自其中被轉移的該大量儲存裝置之該使用者時移除該等鑑認權。
如請求項69之系統，其中該系統可進一步操作以自無效裝置之一清單中移除具有該等已移除鑑認權的該裝置。
如請求項60之系統，其中在該裝置之該使用者丟失該大量儲存裝置時，該系統可操作以在該或該等電子實體處使該裝置之該種子及識別符無效。
如請求項72之系統，其中在丟失該大量儲存裝置時，該丟失裝置之該識別符及種子被轉移至該使用者之一新裝置。
如請求項72之系統，其中在丟失該大量儲存裝置時，一新識別符及種子被轉移至該使用者之一新裝置。