公开了安全令牌、安全系统和认证客户端的方法。安全令牌包括:一次性口令机制,用于提供一次性口令功能;公钥机制,用于提供针对一次性口令功能的公钥功能;以及与主机的有线通信装置,用于将安全令牌连接到主机并用于向安全令牌提供至少公钥机制运行所需要的电力,从而能够通过安全令牌提供一次性口令功能和/或公钥功能。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及安全令牌(security token)的领域。更具体地,本专利技术涉及能够实现OTP和PKI二者的功能及其组合的安全令牌。
技术介绍
OTP,一次性口令(One-Time Password)的首字母缩写词,在现有技术中表示只对于单个对话有效(即每次被请求或产生时都不同)的口令。使用OTP方法,通过在网络上窃听而窃取的口令实际上是无用的。因此,OTP通常用于其中必须向服务器认证用户的安全系统。例如,RSA SecurID是每分钟产生伪随机串并将其显示在内置显示器上的移动装置。每当用户被要求向系统输入口令时,其键入展现在RSASecurID安全令牌的显示器上的口令。OTP令牌工作的通常方式如下将一次性口令显示在令牌上的内置显示器上。用户必须向主机提供其PIN和当时显示在OTP令牌上的口令。这通常是通过在连接到主机的键盘上键入数据来执行的。关于OTP令牌的另一个问题是他们使用其自身的电源(即电池),由于应该不时对其进行更换,因此这带来一些不便。由于在目前的OTP令牌中在令牌和服务器二者中使用相同的密钥(“对称密钥(symmetric key)”),因此对多于一个的应用使用相同的密钥是危险的。安全令牌领域中的另一种发展中技术是PKI(公钥基础设施(PublicKey Infrastructure))令牌技术,例如RSA和ECC。与OTP的实施方式(即基于对称密钥)相反,PKI技术基于不对称密钥。PKI技术使得能够将令牌不仅用作认证装置,而且用作安全引擎,即进行多种安全相关功能(例如加密、解密、数字签名等)的装置。从实践的方面,PKI需要比OTP多得多的处理电力。当处理1024位密钥和更高位密钥(例如2048位密钥)时,此问题变得极其严重。因此,与通常被插入另一装置的PKI令牌(其通过所述另一装置而连接到外部电源)相反,可以容易地将OTP令牌实现为移动装置。从应用的方面,使用OTP令牌的应用很有限,因此OTP令牌主要用于远程访问、网络登陆等。PKI令牌技术可以用于多种实施方式,例如多种认证方案、提供数字签名、加密和解密、安全e-mail等。已经将OTP令牌用于其意向并且希望通过增加PKI令牌而扩展使用的机构必须处理两个主要问题从服务器的角度,存在诸如保持两个单独数据库的逻辑问题。从用户的角度,由于用户必须保持至少两个令牌OTP令牌和PKI令牌,因此存在许多不便。因此,本专利技术的一个目的是提供一种安全令牌,其支持OTP令牌技术和PKI技术二者及其组合,从而获得这二者的功能(OTP功能和PKI功能)及其组合。本专利技术的另一个目的是提供一种安全令牌,其实现了比各种技术单独提供的安全级别更好的安全级别。本专利技术的另一个目的是提供一种安全令牌,其比OTP令牌和PKI令牌更为用户友好。本专利技术的另一个目的是提供一种安全系统,其使得能够对OTP功能和PKI功能二者使用相同的密钥数据库。本专利技术的其他目的和优点将会随着说明的继续而变得显而易见。关于此事,应该提到,虽然SecurID的背后是专利技术著名的公钥算法RSA的企业RSA公司,但是RSA公司不制造任何使用公钥来创建OTP值的安全令牌,其也不制造组合PKI技术与离线模式的OTP技术(即在不连接到PC时在LCD上显示OTP值)的装置。
技术实现思路
在一个方面,本专利技术旨在提供一种安全令牌,包括一次性口令机制,用于提供一次性口令功能;公钥机制,用于提供针对一次性口令功能的公钥功能;以及与主机的有线通信装置,用于将安全令牌连接到主机并用于向安全令牌提供至少公钥机制运行所需要的电力;由此,使得能够通过安全令牌来提供一次性口令功能和/或公钥功能。在第二方面,本专利技术旨在提供一种OTP安全令牌,用于向主机系统安全地提供一次性(例如实际时间、计数器的值、随机数的列表等)值,该OTP安全令牌包括用于产生所述一次性值的装置;用于执行针对所述一次性值的公钥功能的PKI机制;以及与所述主机的通信装置,用于将所述经加密一次性值提供给所述主机。在第三方面,本专利技术旨在提供一种安全系统,包括一个或更多个安全令牌,所述一个或更多个安全令牌中的每一个都包括一次性口令机制,用于提供一次性口令功能;公钥机制,用于提供针对一次性口令功能的公钥功能;以及与主机的有线通信装置,用于将安全令牌连接到主机并用于向安全令牌提供至少公钥机制运行所需要的电力。所述系统包括主机系统,该主机系统包括与安全令牌的一次性口令机制对应的一次性口令机制,用于提供一次性口令功能;与安全令牌的公钥机制对应的公钥机制,用于提供公钥功能;与安全令牌的通信装置对应的通信装置,用于与安全令牌进行通信并用于向令牌提供至少安全令牌的公钥机制运行所需要的电力。在第四方面,本专利技术旨在提供通过主机系统来认证客户端的方法,包括以下步骤在客户端侧(a)产生第一一次性值;(b)对该一次性值执行公钥功能;(c)将该值提供给主机系统。在主机系统侧(d)用提供的值执行与在步骤(b)执行的公钥功能对应的公钥功能;(e)按与产生第一一次性值基本相同的方式产生第二一次性值;通过第二值与第一值的对应来认证客户端;由此获得对客户端进行认证的更好的安全级别。附图说明组合以下附图可以更好地理解本专利技术图1示意性地示出根据现有技术的OTP令牌执行的认证处理。图2示意性地示出根据本专利技术优选实施例的OTP令牌执行的认证处理。图3示意性地示出根据本专利技术的一个实施例的安全系统。图4在视觉上示出根据本专利技术的优选实施例的安全令牌。具体实施例方式图1示意性地示出根据现有技术的OTP令牌执行的认证处理。在令牌侧进程53使用一次性值51(由实际时间时钟示出)和对称密钥52来产生一次性口令54。将一次性口令54显示在嵌入在令牌内的显示器上。通过将一次性口令的内容键入在连接到主机的输入装置(例如小键盘)上,将一次性口令提供给主机。在主机侧进程63(其应该与进程53相同)使用一次性值61(其应该与一次性值51对应)和对称密钥62(其应该与密钥52相同)来产生一次性口令64。如果所产生的一次性口令64与令牌产生的一次性口令54对应,则认为认证为肯定。图2示意性地示出根据本专利技术优选实施例的OTP令牌执行的认证处理。在令牌侧PKI模块56用不对称密钥55对一次性值51(由实际时间时钟示出)进行加密,产生提供给主机的经加密一次性值57。在主机侧PKI模块66通过不对称密钥65(其与不对称密钥55对应)对从令牌接收的一次性值57进行解密,产生一次性口令67。如果一次性值67与期望值对应,则认为认证为肯定。本领域技术人员将会理解,除了在此说明的认证方法之外,还可以有组合OTP和PKI的其他认证方法。在此说明的方法只是通过将OTP技术与PKI技术相组合而展开的多种可能性的示例。例如,代替如图2所述的对一次性值进行加密和解密,即使不使用加密,也可以向一次性值57添加数字签名(或数字证书)。由此,模块56执行与一次性值的安全有关的一些PKI相关动作,并且模块66执行与模块56的PKI相关动作对应的一些PKI相关动作。应该注意,所提供的值不必与期望值相同,但应该与期望值对应。例如,如果一次性值是实际时间,并且如果值57与值67之间的差例如小于一分钟,则可以认为认证为肯定。还应该注意,令牌的时钟可能没有精确地调准到主机的时钟,本文档来自技高网...
【技术保护点】
一种安全令牌,包括:-一次性口令机制,用于提供一次性口令功能;-公钥机制,用于提供针对所述一次性口令功能的公钥功能;以及-与主机的有线通信装置,用于将所述安全令牌连接到所述主机,并且用于向所述安全令牌提供至少所述公钥 机制运行所需要的电力;由此通过所述安全令牌实现更好的安全性能。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:利德阿加,扬吉毛尔高利特,达尼毛尔高利特,
申请(专利权)人:阿拉丁知识系统有限公司,
类型:发明
国别省市:IL[以色列]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。