【技术实现步骤摘要】
用于安全密码生成的系统、方法和存储介质本专利技术申请是国际申请号为PCT/US2015/047824,国际申请日为2015年8月31日,进入中国国家阶段的申请号为201580046148.1,名称为“用于安全密码生成的系统、方法和存储介质”的专利技术专利申请的分案申请。相关申请交叉引用本申请是2014年8月29日提交的美国临时申请62/044,172(律师案号:79900-914352-1068US01)的非临时申请并要求其优先权。上述申请的全部内容出于所有目的通过引用被全部并入本文中。
技术介绍
随着用户装置,诸如实现NFC的移动电话和非接触卡的普及程度继续增加,维持支付和其它交易的安全性继续是一个关注问题。例如,为了执行支付交易,通常需要认证用户装置。用于认证用户装置的一种方法是通过使用由装置生成的密码。密码可以是加密的数据元素,其能够被可信实体,诸如支付网络或对交易(例如访问文件或建筑物)授权的其它实体校验真实性。然而,攻击者可能尝试窃听交易(例如通过执行中间人攻击)。因此,攻击者可能尝试拦截由用户发送的密码。如果确定,密码可能被用于非法目的。进一步使问题复杂化的是用户装置本身的安全性。在一些情况下,用户装置可能是泄密的或另外不可信,使得不建议在装置上存储永久性安全凭证,诸如静态密码生成密钥。在这些情况下执行安全交易可能提出挑战。本专利技术的实施例单独和一起解决了这些和其它问题。
技术实现思路
本专利技术的实施例涉及用于安全地生成密码的系统和方法。在一些实施例中,本文中描述的密码生 ...
【技术保护点】
1.一种由用户装置执行的方法,包括:/n确定包括第一公钥和第一私钥的密钥对;/n使用所述第一私钥和静态服务器公钥生成请求共享秘密;/n使用所述请求共享秘密加密识别数据以获得加密的识别数据,所述识别数据标识所述用户装置和/或所述用户装置的用户;/n通过安全通信信道向服务器计算机发送包括所述第一公钥和加密的识别数据的请求消息;/n通过与所述安全通信信道分开的第二通信信道从所述服务器计算机接收第一注册数据;/n从所述服务器计算机接收包括第一盲化服务器公钥的响应消息;/n使用所述第一私钥和所述第一盲化服务器公钥确定第一响应共享秘密;/n使用所述第一响应共享秘密生成第一密码密钥;/n使用所述第一密码密钥加密所述第一注册数据来生成第一注册密码;以及/n向所述服务器计算机发送所述第一注册密码,其中所述服务器计算机使用所述第一注册密码认证所述用户装置。/n
【技术特征摘要】
20140829 US 62/044,1721.一种由用户装置执行的方法,包括:
确定包括第一公钥和第一私钥的密钥对;
使用所述第一私钥和静态服务器公钥生成请求共享秘密;
使用所述请求共享秘密加密识别数据以获得加密的识别数据,所述识别数据标识所述用户装置和/或所述用户装置的用户;
通过安全通信信道向服务器计算机发送包括所述第一公钥和加密的识别数据的请求消息;
通过与所述安全通信信道分开的第二通信信道从所述服务器计算机接收第一注册数据;
从所述服务器计算机接收包括第一盲化服务器公钥的响应消息;
使用所述第一私钥和所述第一盲化服务器公钥确定第一响应共享秘密;
使用所述第一响应共享秘密生成第一密码密钥;
使用所述第一密码密钥加密所述第一注册数据来生成第一注册密码;以及
向所述服务器计算机发送所述第一注册密码,其中所述服务器计算机使用所述第一注册密码认证所述用户装置。
2.如权利要求1所述的方法,其特征在于,所述识别数据包括所述用户装置的所述用户的认证凭证。
3.如权利要求1所述的方法,还包括:
使用所述用户的所述识别数据和认证数据生成识别因子;以及
使用所述第一私钥和所述识别因子生成组合的私钥,其中使用所述第一私钥和所述第一盲化服务器公钥确定所述第一响应共享秘密使用所述组合的私钥。
4.如权利要求1所述的方法,其特征在于,所述第二通信信道包括SMS、电子邮件、电话呼叫、在线聊天、传真或邮件。
5.如权利要求1所述的方法,其特征在于,所述第一注册数据是一次性口令。
6.如权利要求1所述的方法,还包括:
由所述用户装置存储所述第一响应共享秘密,并且其中向所述服务器计算机发送所述第一注册密码包括使用所述第一响应共享秘密对所述第一注册密码进行加密。
7.如权利要求1所述的方法,还包括由所述用户装置执行以下步骤:
接收第二注册数据;
生成包括第二公钥和第二私钥的第二密钥对;
向所述服务器计算机发送包括所述第一注册密码和所述第二公钥的续订请求消息;
使用所述第二私钥和所述第二注册数据生成第二注册密码;以及
向所述服务器计算机发送所述第二注册密码。
8.如权利要求7所述的方法,还包括由所述用户装置执行以下步骤:
接收包括第二盲化服务器公钥的续订响应消息;以及
使用所述第二私钥和所述第二盲化服务器公钥导出第二密码密钥,
其中,通过将所述第二密码密钥应用于所述第二注册数据来生成所述第二注册密码。
9.如权利要求8所述的方法,其特征在于,使用所述第二私钥和所述第二盲化服务器公钥来导出所述第二密码密钥包括:
使用所述第二私钥和所述第二盲化服务器公钥确定第二响应共享秘密;以及
使用密钥导出参数和所述第二响应共享秘密生成所述第二密码密钥。
10.如权利要求7所述的方法,其特征在于,所述续订请求消息包括所述第二注册数据的散列。
11.如权利要求1所述的方法,其特征在于,所述第一公钥和所述第一私钥是临时密钥。
12.一种由服务器计算机执行的方法,包括:
通过安全通信信道从用户装置接收储备请求消息,所述储备请求消息包括第一公钥以及加密的请求数据,所述加密的请求数据包括加密的识别数据;
由所述服务器计算机使用所述第一公钥和静态服务器私钥确定请求共享秘密;
使用所述请求共享秘密对所述加密的请求数据进行解密以便获得包括识别数据的请求数据;
验证对应于所述用户装置的所述识别数据;
通过与所述安全通信信道分开的第二通信信道向所述用户装置发送第一注册数据;
向所述用户装置发送包括由静态服务器公钥使用第一密码随机数生成的第一盲化服务器公钥的响应消息;
从所述用户装置接收用户注册密码;
使用所述第一密码随机数和对应于所述静态服务器公钥的服务器私钥生成响应共享秘密;
使用所述响应共享秘密生成第一密码密钥;
使用所述第一密码密钥加密所述第一注册数据来生成第一注册密码;以及
由所述服务器计算机通过把所述用户注册密码与所述第一注册密码比较来验证所述用户注册密码,其中,如果所述第一注册密码被验证,则所述用户装置被认证。
13.如权利要求12所述的方法,其特征在于,所述加密的请求数据包括被解密以便获得用户标识符的加密的用户标识符,并且
其中,通过使用所述用户标识符从装置数据库导出被与所述识别数据比较的对应的识别数据来验证所述识别数据。
14.如权利要求12所述的方法,其特征在于,所述第一公钥是组合的公钥,并且其中所述请求数据包括用于生成所述组合的公钥的用户装置公钥,所述方法还包括:
导出与所述识别数据相关联的认证数据;
使用所述识别数据和所述认证数据生成识别因子;以及
使用所述用户装置公钥和所述识别因子验证所述组合的公钥。
15.如权利要求12所述的方法,其特征在于,所述响应共享秘密还使用所述第一公钥生成。
16.如权利要求12所述的方法,其特征在于,连同所述用户注册密码接收第二公钥,并且其中所述响应共享秘密还使用所述第二公钥生成。
17.如权利要求12所述的方法,还包括:
在验证所述用户注册密码之前使用所述响应共享秘密对所述用户注册密码进行解密。
18.如权利要求12所述的方法,还包括由所述服务器计算机执行以下步骤:
存储所述用户注册密码;
向所述用户装置发送第二注册数据;
从所述用户装置接收包括所述用户注册密码和第二公钥的续订请求消息;
通过把所接收到的用户注册密码与所存储的用户注册密码相比较来验证所述用户注册密码;
从所述用户装置接收第二注册密码;以及
使用服务器计算机密钥、所述第二公钥和所述第二注册数据验证所述第二注册密码。
19.如权利要求18所述的方法,还包括由所述服务器计算机执行以下步骤:
向所述用户装置发送包括通过使用第二密码随机数盲化所述静态服务器公钥而产生的第二盲化服务器公钥的续订响应消息,
其中,验证所述第二注册密码使用第二密码密钥,所述第二密码密钥通过使用所述服务器私钥、所述第二密码随机数和所述第二公钥来导出。
20.如权利要求19所述的方法,其特征在于,所述续订请求消息包括接收到的所述第二注册数据的散列,所述方法还包括:
通过与所存储的所述第二注册数据的散列相比较来验证所接收的散列,其中,响应于所接收的散列与所存储的散列相匹配而发送...
【专利技术属性】
技术研发人员:E·勒圣,J·戈顿,R·乔希,
申请(专利权)人:维萨国际服务协会,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。