一种布置为生成认证令牌(AT)的计算装置(100,245,300,340),该认证令牌是将用于向第二计算装置(100,340)认证第一计算装置(100,340)的数据结构,其中该计算装置(100,245,300,340)配置为:生成至少一个索引;检索数据集合的部分(MTS),该部分是开始于由该索引给出的该数据集合中的一个位置的该数据集合的部分;以及将该部分包括在该认证令牌(AT)中。
【技术实现步骤摘要】
【国外来华专利技术】通过认证令牌的改进安全伊莉斯雷维尔共存的相关专利申请本申请与同一申请人提交并且按照如下标题的申请同时提交。关于各专利申请中的具体问题的细节将被视为并入其他相关专利申请的每一个中。相关专利申请的标题为:安全系统中终端的改进安装;生成对称加密密钥;相互认证;以及用于建立安全通信信道的改进系统。
本申请涉及一种用于改进的安全和安全性的系统、方法、设备和计算机可读存储介质,并且特别涉及一种用于建立安全通信信道的系统、方法、设备和计算机可读存储介质。
技术介绍
在当今社会中,数字通信日益增多,并且大部分人对使用互联网执行任务感觉到舒适,所述任务诸如管理他们的银行账户、申报他们的收入、或交换其他秘密信息。为了执行这样的任务,同时维持令人满意的安全级别,已经提出了基于加密的许多不同的安全解决方案。大多数这样的解决方案涉及某种类型的公钥和私钥,并且用户必须在可以与另一方建立安全通信之前共享该用户的公钥。在密码术中,密钥可以被看作是确定加密算法的函数输出的一条信息。通常认为在设计安全系统时,假设攻击者可能已经获得了加密算法的细节是明智的。这个原则被称为柯克霍夫原则,并且因此只有保密的密钥才能提供安全。这个原则是基于这一事实:即很难保密广泛使用的算法的细节。密钥通常比较容易保护,因为与加密算法相比,它通常是一小条信息。然而,保密密钥也可能是困难的。如果攻击者以某种方式获取密钥,则他或她可以从加密数据中恢复原始消息。使用相同密钥进行加密和解密的加密算法被称为对称加密密钥算法。还有非对称加密密钥算法,所述非对称加密密钥算法使用一对密钥,一个用于加密而一个用于解密。这些非对称加密密钥算法允许将一个密钥公开,同时仅在一个位置保留私钥。非对称加密密钥被设计为使得发现私钥是非常困难的,即使相应的公钥已知。用户在保密私钥的同时可以公布他或她的公钥,允许任何人向他们发送加密的消息。为了使密钥连同对称加密算法“安全”,一般将80比特的长度视为最小值,并且128比特密钥被通常使用并被认为是非常强大的。公钥密码术中使用的密钥具有某种数学结构。例如,RSA系统中使用的公钥是两个素数的乘积。因此,公钥系统需要比对称系统更长的密钥长度以达到等同的安全级别。对于基于因数分解和整数离散对数的系统,建议密钥长度为3072比特,其目标是具有等同于128比特对称密码的安全性。如上所述,如果对于基于对称和非对称算法两者的密钥而言都足够长,则有可能生成具有高度安全性的密钥。然而,在密钥分发中可能存在问题。例如,如果双方想使用对称密码术彼此通信,他们首先必须决定使用什么密钥,并且然后将该密钥安全地从一方分发到另一方。此外,双方必须保密该密钥。入侵者可能发现密钥的风险随着密钥使用的时间的增加而增加。因此,密钥通常仅在有限的时间期间有效,例如六或十二个月。此后必须分发新的密钥。另外,对于非对称密码术加密的密钥分发,当双方想要彼此通信时遇到密钥分发的问题。为了在两个方向上发送信息,他们通常需要彼此交换公钥。同样在这种情况下,密钥通常具有有限的时间段,在该时间段期间密钥是有效的。对于与许多不同方进行通信的一方,管理和分发有效的公钥可能令人烦恼。一个典型的示例是当你需要将某一秘密信息紧急地发送给另一方或者你还没有交换公钥时,密钥的有效性已经过期。在WO2011/002412中提供了一种解决方案,该解决方案公开了一种用于生成加密/解密密钥的方法,并且特别是用于生成用于对称加密的一次性加密/解密密钥,即其中使用相同的密钥用于加密和解密。为了开始密钥生成,第一终端(A)向中央服务器(2)发送用于建立与第二终端(B)的通信的请求。中央服务器(2)向两个终端(即终端A和B)发送密钥生成文件。每个终端生成不同的中间数据集合,即第一和第二数据集合。由第一终端(A)生成的第一数据集合被发送到第二终端(B),该第二终端基于该数据集合生成发送回第一终端的第三数据集合。终端(A)中的第一加密密钥的生成是基于第三和第一中间数据集合之间的逐比特比较,并且第二加密密钥的生成是基于第一和第二中间数据集合之间的逐比特比较。第一和第二加密密钥是相同的。尽管这种方式具有许多优点,但是当在具有防火墙或其他类似安全措施的系统中实现时,可能会提出挑战。鉴于上述挑战,专利技术人已经意识到需要一种方法,利用该方法,双方可以彼此以安全的方式进行通信,而彼此不必事先交换密钥,并且该方法可以用于采用防火墙或其他类似安全措施的系统。因此,需要加密密钥的改进处理。
技术实现思路
本申请的教导的目的是通过提供布置为生成认证令牌的计算装置克服上面列出的问题,该认证令牌是将用于向第二计算装置认证第一计算装置的数据结构,其中该计算装置配置为:生成至少一个索引;检索数据集合的部分,该部分是开始于该索引给出的该数据集合中的一个位置的该数据集合的部分;以及将该部分包括在该认证令牌中。本申请的教导的目的是通过提供布置为认证认证令牌的计算装置克服上面列出的问题,该认证令牌是将用于将向第二计算装置认证第一计算装置的数据结构,该计算装置配置为:从第一计算装置接收认证令牌;检索至少一个索引;从数据集合检索(一个或多个)相应部分;比较该(一个或多个)相应部分与认证令牌中的(一个或多个)部分;以及如果该(一个或多个)相应部分匹配认证令牌的(一个或多个)部分,则该第一计算装置被认证。本申请的教导的目的还在于,通过提供一种计算机可读存储介质以克服上述问题,该计算机可读存储介质编码有当在处理器上执行时执行根据上述的方法的指令。本文中的教导在用于确保安全连接的系统中使用,诸如银行业务应用程序,但也在其中一个装置需要对其他装置进行认证的系统中使用,诸如连接到计算机的外部存储器。所公开的实施例的其他特征和优点将从以下详细公开内容、从所附的从属权利要求以及从附图中显现。通常,权利要求中使用的所有术语均应根据
的术语的普通含义进行解释,除非本文另有明确定义。除非另有明确说明,否则所有对“一/一个/该[元件、装置、组件、部件、步骤等]”的引用被开放地解释为指代元件、装置、组件、部件、步骤等的至少一个实例。除非明确说明,否则本文公开的任何方法的步骤不必以所公开的确切顺序加以执行。附图说明将参考附图更详细地描述本专利技术,其中:图1是根据本文中的教导的终端的示意图;图2是根据本文中的教导的终端的组件的示意图;图3是根据本文中的教导的计算机网络的总体视图的示意图;图4示出了根据本申请的教导的一个实施例的计算机可读介质的示意图;图5示出了根据本文中的教导的用于在系统中的第一终端和第二终端之间建立通信信道的方法的流程图;图6示出了根据本文中的教导的用于在系统中安装终端的方法的流程图;图7是根据本文中的教导的用于终端和服务器相互认证的一般方法的流程图;图8是根据本文中的教导在相互认证期间完成的认证传输的示意概图;图9示出了根据本文中的教导的实施例的元数据字符串和相应的认证令牌的示例;图10A示出了根据本文中的教导的用于生成认证令牌的一般流程图;图10B示出了根据本文中的教导的用于认证认证令牌的一般流程图;图11示出了根据本文中的教导的用于生成对称加密密钥的方法的流程图;图12是根据本文中的教导的在生成对称加密密钥期间完成的传输的示意概图;图13是根据本文中的教导的用于根据本文从本文档来自技高网...
【技术保护点】
一种布置为生成认证令牌(AT)的计算装置(100,245,300,340),该认证令牌(AT)是将用于向第二计算装置(100,340)认证第一计算装置(100,340)的数据结构,其中该计算装置(100,245,300,340)配置为:生成至少一个索引;检索数据集合的部分(MTS),该部分是开始于由该索引给出的该数据集合中的一个位置的该数据集合的部分;以及将该部分包括在该认证令牌(AT)中。
【技术特征摘要】
【国外来华专利技术】2014.10.09 SE 1451212-31.一种布置为生成认证令牌(AT)的计算装置(100,245,300,340),该认证令牌(AT)是将用于向第二计算装置(100,340)认证第一计算装置(100,340)的数据结构,其中该计算装置(100,245,300,340)配置为:生成至少一个索引;检索数据集合的部分(MTS),该部分是开始于由该索引给出的该数据集合中的一个位置的该数据集合的部分;以及将该部分包括在该认证令牌(AT)中。2.根据权利要求1所述的计算装置(100,245,300,340),其中该至少一个索引被生成为随机数并且该随机数被包括在该认证令牌(AT)中。3.根据权利要求1所述的计算装置(100,245,300,340),其中通过使用函数从种子生成该索引,并且该种子被包括在该认证令牌(AT)中。4.根据任一在前权利要求所述的计算装置(100,245,300,340),其中由至少一个索引中的一个索引所索引的部分具有与由至少一个索引中的另一个索引所索引的另一部分不同的长度。5.根据任一在前权利要求所述的计算装置(100,245,300,340),其中该至少一个索引是四个索引。6.根据任一在前权利要求所述的计算装置(100,245,300,340),其中该部分具有96比特的长度。7.根据任一在前权利要求所述的计算装置(100,245,300,340),其中该数据集合是元数据集合。8.一种布置为认证认证令牌的计算装置(100,245,300,340),该认证令牌是将用于向第二计算装置(100,340)认证第一计算装置(100,340)的数据结构,该计算装置配置为:从第一计算装置(100,340)接收认证令牌(AT);检索至少一个索引;从数据集合检索(一个或多个)相应部分;比较该(一个或多个)相应部分与认证令牌中的(一个或多个)部分;以及如果该(一个或多个)相应部分匹配认证令牌(AT)的(一个或多个)部...
【专利技术属性】
技术研发人员:E·雷维尔,
申请(专利权)人:凯里赛克公司,
类型:发明
国别省市:瑞典,SE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。