【技术实现步骤摘要】
【国外来华专利技术】基于身份的票务方法和系统
本申请通常涉及基于身份的票务。
技术介绍
使用基于近场通信(NFC)的由乘客所使用的芯片卡和安装在入口和/或出口处的阅读器设备,可以控制进入某些交通系统。某些地铁系统具有自动门,当芯片卡通过验证时,自动门打开。在基于身份的系统中,用户身份被存储并与各自的用户账户和电子票据相关联。当在门口处观测到使用电子票据时,从各自的用户账户对公共交通的使用进行计费。在基于身份的系统中,用户身份例如不被用作票据,从而降低被可能电子窃听阅读器和电子票据之间的通信的某人盗用身份的风险。相反,电子票据以用户身份不能从电子票据中获取的方式制作。存在各种认证电子票据的技术。最简单地,芯片卡将票据发送到阅读器,阅读器将该票据传送到认证服务器。认证服务器检查到该票据是有效的,则向阅读器通知该票据的有效性,并改变记录从而使得上述票据不再有效。在某些更复杂系统中,有一个在先的步骤,即阅读器向芯片卡认证自身从而避免中间人攻击,在中间人攻击中,某些其它设备例如当邻近于NFC芯片卡时,模仿阅读器并盗取票据。尽管这种盗取将会需要接近于NFC芯片卡,但是地铁系统中的高峰时间提供了大量的机会,以近距离接触其它人的NFC芯片卡。在某些NFC芯片卡的基于身份的票务系统中,芯片卡使用标准加密技术(诸如公共密钥基础设施(PKI))、挑战、应答、公共时间参考以及单向哈希,通过在NFC接口上的通信向阅读器认证自身。
技术实现思路
在权利要求中阐述了本专利技术的示例的各个方面。根据本专利技术的第一示例方面,提供了一种在权利要求1中所限定的装置。根据本专利技术的第二示例方面,提供了一种在权利要求 ...
【技术保护点】
一种装置,包括:通信接口;存储器,其被配置为存储用户特定的凭证;以及加密处理电路;其中所述加密处理电路被配置为:通过所述通信接口从证书机构接收证书;使所述证书存储在所述存储器中;使私有密钥和公共密钥存储于所述存储器中;通过传输一个或多个消息,使所述装置尝试向票据阅读器进行认证以访问服务,其中所述消息包含认证符,该认证符包含以下中的至少一个:所述证书或其加密派生物;以及由所述证书或其加密派生物所包含的一个或多个数据项;其中所述加密处理电路还被配置为准备所述消息,使得所述公共密钥不可超出所述认证符而恢复。
【技术特征摘要】
【国外来华专利技术】1.一种基于身份的票务装置,包括:通信接口;存储器,其被配置为存储用户设备特定的凭证;以及加密处理电路;其中所述加密处理电路被配置为:通过所述通信接口从证书机构接收证书;使所述证书存储在所述存储器中;使私有密钥和公共密钥存储于所述存储器中;通过传输一个或多个消息,使所述装置尝试向票据阅读器进行认证以访问服务,其中所述消息包含认证符,该认证符包含以下中的至少一个:所述证书或其加密派生物;以及由所述证书或其加密派生物所包含的一个或多个数据项;其中所述加密处理电路还被配置为准备所述消息,使得所述用户设备的公共密钥不可超出所述认证符而恢复;以及其中所述证书已经在包括从源数据计算加密哈希的进程中生成,所述源数据至少包括:所述用户设备的身份的指示;到期字段;以及所述用户设备的公共密钥。2.根据权利要求1所述的装置,还包括通用处理器,其被配置为控制所述装置的基本操作,并且其中所述加密处理电路还被配置为充当与所述通用处理器可操作性的分离的可信执行环境。3.根据权利要求2所述的装置,其中所述装置还包括用户接口,其由所述通用处理器控制。4.根据前述权利要求中的任一项所述的装置,其中所述加密处理电路还被配置为从所述票据阅读器接收挑战,以及响应地计算带签名的响应。5.根据权利要求4所述的装置,其中所述加密处理电路还被配置为使得响应于接收到所述挑战,发送先前对带签名的响应的计算,所述带签名的响应是根据先前接收到的挑战来计算的。6.根据权利要求1-3中任一项所述的装置,所述进程还包括缩短所述加密哈希。7.根据权利要求1-3中任一项所述的装置,所述进程还包括将所述加密哈希与源合并,从而得到缩短和合并的哈希结果。8.根据权利要求7所述的装置,所述进程还包括将所述缩短和合并的哈希结果分成第一部分和第二部分。9.根据权利要求8所述的装置,所述进程还包括用所述第一部分执行私有密钥求幂,从而得到加密的第一部分。10.根据权利要求9所述的装置,所述进程还包括在所述第二部分上执行单独加密,从而生成加密的第二部分。11.根据权利要求10所述的装置,所述进程还包括将所述加密的第一部分和所述加密的第二部分合并。12.根据权利要求1-3中任一项所述的装置,其中:所述加密处理电路还被配置为使用以下几项以生成所述认证符:所述证书机构的公共密钥以及所述装置的私有密钥。13.根据权利要求12所述的装置,其中:所述加密处理电路还被配置为使用以下中的至少一个以生成所述认证符:所述装置的身份;所述证书机构已经为所述装置生成所述证书的时间;以及先前已经从票据阅读器接收到的挑战。14.根据权利要求1-3中的任一项所述的装置,其中所述认证符是由所述加密处理电路生成的消息认证码。15.根据权利要求14所述的装置,其中所述加密处理电路还被配置为根据先前从票据阅读器接收到的挑战生成新的消息认证符,并在所述存储器中保存所述新的消息认证符和所述挑战。16.根据权利要求1-3中的任一项所述的装置,其中所述加密处理电路还被配置为对动态变化认证项进行给定次数的加密哈希,以供由所述票据阅读器进行随后验证。17.根据权利要求16所述的装置,其中所述动态变化认证项是已经由所述证书机构加密到所述证书中并传递给所述装置的项。18.根据权利要求16所述的装置,其中对于所述票据阅读器来说,经哈希处理的认证项是验证所述装置真实性的唯一源。19.一种基于身份的票务装置,包括:存储器,其被配置为存储证书机构的公共密钥;通信接口,其被配置为与用户设备交换消息;处理器,其被配置为:使与所述用户设备建立认证会话以认证由所述用户设备对服务的使用;使用所述通信接口从所述用户设备接收一个或多个消息,其中所述消息包含认证符,该认证符包含以下中的至少一个:证书或其加密派生物;以及由所述证书或其加密派生物所包含的一个或多个数据项;其中所述消息未包含可超出所述认证符而恢复的所述用户设备的公共密钥;以及其中所述证书已经在包括从源数据计算加密哈希的进程中生成,所述源数据至少包括:所述用户设备的身份的指示;到期字段;以及所述用户设备的公共密钥。2...
【专利技术属性】
技术研发人员:S·塔姆拉卡,JE·埃克贝里,J·维尔塔宁,N·阿索坎,
申请(专利权)人:诺基亚公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。