本发明专利技术披露了一种用于实现对客户机工作站进行认证以便通过因特网与服务器进行会话的OTP令牌。将至少部分识别服务器的信息提供给OTP令牌和/或客户机工作站,并使用该识别信息判定服务器是否是合法服务器。根据该判定,决定是否将表示会话OTP的数据从OTP令牌发送到客户机工作站。在某些实施例中,如果识别信息表示合法服务器,则将表示会话OTP的数据从OTP令牌发送到客户机工作站,否则,由客户机工作站拒绝表示会话OTP的数据。在各实施例中,表示会话OTP的数据可包括,从用户认证数据得出的多因素认证数据,或与用户认证数据无关的会话OTP数据。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及因特网(Internet)认证,具体而言,涉及使用一次 性密码(one-time password)的认证。
技术介绍
许多因特网用户对其服务提供商,公司网络,付费服务,或其 银行或信用卡帐户具有特定访问权限。为了行使其权力,这样的用 户需对其自身进行认证。用于用户认证的大多数已知和常用方法是基于输入用户名和密码。随着因特网欺骗的不断增多和日益高级,用户名和密码认证并 不被视为是安全的,这是因为通过通信网络,能够很容易地截取数 据,从而,被攻击者重新使用以冒充原用户的身份和权限。一次性密码(此后称为"OTP")是常用的补救措施,是由多个 供应商提供,用于克服用户名和密码方案的脆弱性。它是基于仅对 单个登录或事务使用密码,然后使该密码无效。任何其他登录或事 务将需要不同的密码。从而,即使某些人截取了密码,那对于以后的事务是无用的。存在有三种用于生成和管理一次性密码的基本方法。 一种方法 是,在纸制或电子文件上具有密码的长列表;第二种方法是,使用 运行在其的个人计算机(台式、膝上型、掌上型或智能电话)上运 行的软件,生成这样的密码;第三种方法是,使用专用硬件设备生 成密码。本专利技术的重点在于针对这样的硬件设备。图1A描述了现有技术的系统100,其使用专用OTP认证设备 110 (通常而言,为OTP"令牌")生成一次性密码。计算机160包括 用于协同在服务器170上运行的服务器应用182运行客户机应用1687的处理容量(未示出),以便获得目标功能,如对信息或事务的访问。客户机应用168可为专用程序或通用Web浏览器。服务器应用 182需要获得来自OTP验证器178的核准,以便提供目标功能。 OTP验证器178是设计用于接收和检查来自服务器应用182的(一 次性)密码的软件模块,其再从客户机应用168接收这样的密码。 在所考虑的配置中,利用从OTP认证设备110生成和通过认证i殳备 接口 164接收的数据,得出该密码。OTP认证设备110是由用户携 带的安全便携式设备,其适用于与多个计算机160相接口。 OTP认 证设备110的核心是OTP发生器130,它是基于微处理器的密码软 件程序,其被设计用于基于记录在OTP认证设备110中的触发器 120和秘密用户密钥132生成一次性密码。 一般而言,将OTP设备 110构造成具有抗篡改或防篡改性,以防止访问和/或篡改秘密用户 密钥132数据。触发器120是将OTP发生器130的一个密码生成操作改变到其 他生成会话的元件,因此提供密码的"一次性"方面。在现有技术中 用于生成触发器120的三种常用方法是,从服务器170接收随机询 问(random challenge) 120A,从内嵌在OTP认证设备110中的精 确实时时钟120B接收全日期时间串,或对于每次相继密码生成加1 的计数器120C。在所披露内容中,"会话OTP数据"指从触发器120和秘密用户 密钥132得出的数据。在OTP认证设备110和/或客户机工作站160 内,可将该会话OTP数据与用户认证数据(即,密码、生物学数据 等)进行组合以生成双因素(或多因素)认证数据。对于在OTP认 证设备110内实现组合的特定情形,双因素认证数据本身是"会话 OTP数据,,的形式。然而,只要会话OTP数据是从用户密钥132和 触发器120得出,就不存在如从OTP设备110提供给客户机工作站 160的"会话OTP数据"将是由用户提供数据(即,密码/PIN数据或 生物学数椐)得出的多因素认证数据的明确要求。作为可选形式以及通常方式,可将用户标识符(或用户识别模块)134设置在OTP认证设备110中,以防止发现或偷窃OTP认证 设备110的一些人对其滥用。在许多实现方式中,OTP发生器130 不会生成(或不会发送)会话OTP数据,除非用户标识符134提供 肯定的用户识别。进行用户识别的常用方法是用于接收个人识别号(PIN)的小 鍵盘、生物学传感器,或检查PIN或自计算机/客户机工作站160接 收(通常来讲,通过客户机工作站160的键盘输入到客户机工作站 160中)的其他数据的比较器。OTP接口 140与认证设备接口 164相接口 ,以便在OTP认证 设备110与计算机160之间交换OTP相关数据。特别是,只要当 OTP发生器130生成会话OTP, OTP发送器(未示出)就从OTP 设备110"发送"(即,显示和/或实现数据交换,以便通过OTP接口 140向计算机160提供会话OTP数据)会话OTP。用于OTP接口 140的常用实现方式是显示器140A,用户利 用它读取密码,并将其人工输入到用作为认证设备接口 164的键盘 中(那么,优选的触发器120可为实时时钟120B或计数器 120C) ; USB接口 140B (或其他"联系,,接口 ),与用作为认证i殳备 接口 164的匹配USB接口相接口 ,以建立双向串行通信,或IR/RF 接口 140C (或其他"无线接口"),与用作为认证设备接口 164的可 兼容红外/射频收发器相接口。在USB 140B和IR/RF接口 140C的 情形中,用于触发器120的所有三种方法均可使用。应该注意,OTP接口 140应用显示器140A的情形并不需要在 OTP认证设备110与计算机160之间的任何直接电子通信链路。在 许多示例中,用户将从显示器140B读取的会话OTP数据140以及 用户认证数据(即,例如,对于"双因素,,认证的第二种方法而言, 为密码和/或生物学数据)输入到客户机工作站160,在此将该数据 进行组合,以生成双因素认证密码(其本身属于OTP类型)。仅当OTP验证器178核准时,服务器170允许服务器应用182 向客户机应用168提供目标服务。OTP验证器178包括处理和密码装置,用于对通过计算机160自otp认证设备110接收的密码进行 检查,并考虑用户密钥132和触发器120。用户密钥132是从用户数 据库176检索得出,用户数据库176包括合法用户的记录,包括其 用户名和密钥。触发器120的值通过otp验证器178从触发器同步 器174检索而得到,其包含有分别对应于用于从询问120a中选出的 触发器120的方法、实时时钟120b和计数器120c的询问发生器、 实时时钟或计数器。图1b表示如图1a所示同一现有技术系统。在图1b中,显式 表示出otp认证设备110、计算机160 (即,客户机工作站)和服 务器170的部署。更具体而言,如图1b所示,客户机工作站/计算机 160通过因特网接入链路(例如,宽带链路、拨号链路、soho链路 或任何其他isp (因特网服务提供商)接入链路,或用于蜂窝设备网 上冲浪的蜂窝电话因特网接入链路),利用由isp提供的wan网关 22 (isp接入点)与广域网20相连。服务器170通过广域网20 (通 常使用包交换协议)将对于会话otp的请求发送到客户机工作站 160。当客户机工作站160接收该请求时,otp认证设备110将会话 otp发送(自动输入或由用户通过客户机工作站的键盘输入)到客 户机工作站160。该会话otp数据可被直接转发到服务器170,或 者将其与认证数据(即,密码、pin、生物学数据)进行组合,然后本文档来自技高网...
【技术保护点】
一种在系统中处理会话OTP传输的方法,所述系统包括服务器、通过广域网与服务器进行通信的客户机工作站、和通过设备接口与客户机工作站相接口的OTP令牌,所述方法包括以下步骤: a)从服务器接收至少部分识别服务器的信息; b)判定所述 识别信息是否表示合法服务器;以及 c)根据所述判定,决定执行从包括以下行为的组中选出的一个行为: i)从OTP令牌发送表示内部生成的会话OTP的数据;以及 ii)制止所述发送。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:埃亚尔贝奇科夫,
申请(专利权)人:晟碟以色列有限公司,
类型:发明
国别省市:IL[以色列]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。