发明内容
本发明将稳健的安全性和口令管理的便利性集成到便携式大容量存储装置中。由于用户通常已具有便携式大容量存储装置供用于其数字照相机、音乐播放器、PDA或类似装置,则更多安全性及便利性对用户几乎不增加任何负担。这会促进极安全的一次性口令方案的更好渗透,且导致敏感应用(例如网上银行)的风险显著降低。由于安全的便携式大容量存储装置可存储程序和其他安全数据,则OTP产生及口令管理可集成到一个便利平台中。
在消费者空间中采用这种双因素认证***的一个障碍是用户为执行认证操作而专门携带令牌的需要。消除不得不携带多个专用装置的这一负担的一种方式是将这种功能集成到用户可能出于其他目的而拥有及/或携带的装置中。这种大容量存储装置的一个实例是USB快闪存储装置或大容量存储快闪存储卡,例如压缩快闪“CF”卡、SD卡、MMC卡、XD卡、存储棒、TransFlash卡或类似卡,其均常用于存储数据,且最近可用于存储及携带应用程序。根据本发明,这种装置执行基本OTP功能且携载可从大容量存储装置启动并在主计算机上执行的客户端应用程序。客户端应用程序负责与装置进行交互作用,以执行OTP操作并从装置获得OTP值。在另一实施例中,客户端本身执行OTP功能,且随需要将例如计数等信息存储到装置并从装置中检索所述信息。在任一情形中,所述信息均将以安全方式存储,并以例如加密等某些方式适当加以保护。
在一个实施例中,单个大容量存储装置可用于通过在装置上维持大量独立的种子及计数对来认证大量独立机构,每一种子及计数对均独立认证一给定机构。另一选择为,对多个机构的认证可通过使用检验认证信息的中央定位而借助单个种子及计数来实现。在任一情形中,可在装置制造期间或优先通过安全信道以远程方式将一个或多个种子安全装载到装置或客户端内。安全信道为所属技术领域的技术人员所熟知,且一般涉及其中借助仅为那两个实体所知的密钥对所述两个实体之间的通信进行加密的通信协议。一般来说,所述密钥是一类借助预定密钥交换协议在所述两个实体之间建立的会话密钥。
关于供消费者使用的认证***的一个关注点是***的易于使用及简单化。通常,安全性会增加复杂度等级,从而成为采用障碍。设计这种***的一个目标是实现简单化等级,使得用户交互作用的安全方面对用户几乎透明。为此,在本发明中,在后台将安全处理为正常用户活动的一部分。
本发明涉及将OTP功能直接集成到用户的登录操作中,例如用户可能在某些起始的登记及/或激活之后不包括执行OTP认证。具体来说,在优选实施例中,将OTP功能集成到USB快闪存储装置或其他常见的可移除存储装置中,且还将客户端应用程序存储到装置本身。客户端应用程序从存储装置启动,并在主计算机上执行。所述应用程序可由用户手动启动,或所述***可经设定以在将所述装置***到主计算机时自动启动所述应用程序。一旦启动,所述用户端应用程序就执行下列任务:从大容量存储装置获得OTP值,并将用户认证的用户身份、证书及OTP值提供给服务器。在理论上,这是在客户端应用程序专用于操作单个机构时自动实施,或借助使用人性化界面装置的单击操作(例如鼠标或键盘)来选择机构图标(公司标识)或列表上的名称而实施。
在另一实施例中,客户端可在主计算机上保持现用状态,并检测用户何时访问所登记机构列表中的网页以激活登录序列。机构列表可作为列表、下拉表、图标组、公司标识组或其他此类显示而显示于图形用户界面(“GUI”)上。用户身份及证书和机构的统一资源定位符(“URL”)或其他形式的网页地址理论上也已经存储于可抽取存储认证大容量存储装置上,并出于认证的目的来检索。如果装置支持一定数量的独立OTP种子,或甚至如果其支持一定数量的使用相同OTP种子的独立机构,则根据所述人员认证的特定机构来从存储于所述装置上的列表中理想地选择用户身份、证书和URL。这一***无缝组合传统口令管理器和OTP认证***的功能,且完全借助按钮的单击来执行登录和认证操作。尽管用单击来执行所有这些行动在某些情形中是优选的,但多次点击或其他用户输入也可使用且在其他情形中是优选的。
为确保没有其他人员能在丢失或盗窃的情况下使用所述装置进行认证,本发明的大容量存储装置使得至少在启动客户端应用程序时,其在没有用户输入某些信息时不能工作,其中所述信息唯一地识别所述人员,例如PIN或口令。存在大量其他用户识别方法,例如仿生学、问答等。在一个实施例中,***可用于提供用户信息供用于更一般化的双因素认证及/或口令管理操作,其中某些信息可能比其他信息更敏感。所述***可经设计以隔离这些敏感信息,且请求用户验证、额外键入PIN/口令或其他行动,以确保用户知晓且授权由***提供这种信息。这一情形的一个示例可以是***授权及付款。
在一个实施例中,客户端可将用户和认证信息提供给网络服务器,网络服务器将在接收到有效用户证书和认证信息时无需双因素认证而自动填写在正常情况下用于登录的传统登录网页条目。这一实施例将使得给定机构能够维持单个网络登录页面,同时添加单独的***组件以处理双因素认证。在这一情形中,双因素认证可如同OTP由不易于表格填写的认证表格组成,但却可以是通常涉及挑战回应操作的认证方案,例如公共密钥基本结构(“PKI”)。
作为对***的增强,所述装置可含有用户可登记用于认证的机构列表。这一列表可利用客户端应用程序由用户请求或自动地远程更新。所述列表可经组织以使得提供用于为机构付费的优先位置,或列表本身上的位置可仅为付费机构保留。所述***还可以在其检测到其已存储有证书的特定网页已被打开时为其填写所述用户的证书。这可以借助监控用于与因特网或WWW通信的端口的程序或例程来实现。所述程序监控安装于主机上的浏览器,并配置所述浏览器以通过其监控的特定端口来实施与因特网/WWW的所有数据通信。监控将在利用主机装置的任一时间自动发生,且将维持所有正访问的网站的列表。如果所访问的网站是***用以维持用户证书的网站,则其将使用户登录。
一种常见的攻击方法一般称为“诱骗(phishing)”,其是欺骗用户将秘密信息提供给伪装成有效网站的网站的方法。存在多个反击这一攻击形式的方式。参与机构的列表可用作向***提供额外信息的构件,例如关于给定机构的有效URL、认证形式或用于认证的特定协议等。在一个实施例中,可使用嵌入到参与机构列表中的URL以限定用户可在***处登记的URL。在这种实施方案中,列表将优先地经由安全信道从远程服务器下载到装置,以避免第三方的偷窃。在另一实施方案中,客户端可通过建立对远程服务器的链路并优先地通过安全信道请求对URL的验证来请求对URL的验证。在一个实施例中,远程服务器可以是权威服务器或验证实体,例如图1-3中所见的那些。在再一实施例中,网站的验证可由某一形式的认证使用常见方法(例如带证书的PKI等)来执行。在一个实施方案中,为网络服务器增加安全性以确保在起始认证过程之前连接有效装置。在另一实施例中,网页可激活PC上的服务(其在MicrosoftWindows OS上可以是ActiveX技术),以与认证客户端交互作用来确定装置的存在。在优选解决方案中,所有验证均以逻辑方式发生于远程服务器和装置本身之间,而本地客户端仅执行促进通信。
所有上述***均包含用于将认证权从一个装置转移到另一个、以及将用户信息和证书从一个装置转移到另一个的简易机构。认证权(其在一个实施例中可能由装置ID和种子组成,且在其他实施例中由证书、密钥或其他形式的信息组成)的转移可通过将所述信息添加到服务器上的非现用装置列表、经由安全协议从所述装置移除所述信息、及在成功识别用户时经由安全协议将所述信息重新提供给新装置、及从非现用装置列表移除来执行。类似方法可实施于用户丢失所述装置的情形中,这将导致服务器处的旧装置ID和种子的无效,及将相同或新的装置ID及种子重新提供给新装置。
具体实施方式
便携式大容量存储装置广泛用于存储数字内容,例如照片、音乐、视频和文档。其还大到足以存储大型软件应用程序。通常,便携式大容量存储装置现在出于存储目的而使用快闪存储器,且具有存储卡或便携式USB驱动器的形状因子。这些大容量存储装置不同于那些只能存储极少信息(例如交易或识别目的所需的信息)的其他便携式装置。大容量存储装置还不同于其他专用目的装置,例如用于认证的密钥卡和令牌,因为尽管专用装置可能具有少量存储器来存储相关用户识别信息,但其并不设计用于以快速、可靠和可重复的方式频繁存储及转移相对大量且经常加密的文件。
例如,存储卡、便携式大容量存储装置的一个实施例必须能够快速存储约5-20兆字节或更多的图片。来自数字相机的一个单个图片可能要求比例如智能卡、密钥卡或令牌等专用装置中提供的数量级更大的存储。此外,这种专用装置一般不能快速读取级写入文件,更不必说借助相机和音乐播放器等使用的相对大文件。便携式大容量存储装置具有控制器及固件,所述控制器及固件具有经优化以极快地读取及写入到存储条中的例程。此外,许多便携式大容量存储装置均具有安全及加密例程,以阻止频繁更新内容的未授权复制。尽管专用令牌可能具有某种形式的安全性(以保护种子及/或算法),但令牌上的数据一般是静态的,且安全性并不设计用于保护频繁更新的用户文件免受未授权复制。本发明的大容量存储装置还可以存储用于在大容量存储器中不受逻辑对物理映射影响的区域内进行验证及认证所需的种子及其他信息,以使所述信息更可靠及快速检索。为获得关于此的更多信息,请参照M.Holtzman等人的名称为“Methods Used in a Secure Yet Flexible System Architecture for Secure Devices WithFlash Mass Storage Memory”的申请案第11/317,341号(代理档案号第SNDK.470US2号)和M.Holtzman等人的名称为“Secure Yet Flexible System Architecture for SecureDevices With Flash Mass Storage Memory”的申请案第11/317,339号(代理档案号第SNDK.470US3),其全文均以引用的方式并入本文中。所述种子还可以装载到装置的隐藏分区内。无论种子存储在何处,其装载也可能仅在想要装载所述种子的实体具有装载所述种子的足够许可及/或证书时才可行。在某些实施例中,这一许可包含于接入控制记录中,其将在下文中论述。
本发明出于安全目的而使用便携式大容量存储装置。所述装置具有内置于装置内的安全特性,其i)限制对存储于装置上的信息的存取,及ii)使得装置起到一类允许存取其他安全***和数据的“密钥(key)”的作用。本发明还包含使用便携式大容量存储装置检验用户证书的***。一旦通过认证,所述用户将被允许存取其否则不能存取的信息。
通常,已使用静态口令来检验用户证书。然而,静态口令易于盗窃,且几乎不提供保护,尤其是在大范围“诱骗”口令和其他个人信息的今天。如先前在背景技术中所论述,还实施了专用OTP令牌***。这些专用令牌很难携带、成本高昂且不能被市场广泛接受。这些令牌还不具有存储卡或USB驱动器的大容量存储功能。
今天,具有数字相机、录影机、PDA、便携式音乐播放器或个人计算机的每个人都几乎具有存储卡或袖珍USB驱动器,有时称为“优盘(thumb drive)”。本发明移除了要求单独的专用令牌(或其他专用装置)以实施OTP的进入障碍。如果用户无需携带多个装置,而可替代使用某些其已具有的装置,则OTP和双引述认证的接受程度将显著增长。这会导致安全措施更好和在电子贸易及其他领域中的欺诈风险更少。
本发明的实施例包括便携式存储装置,例如具有OTP功能的USB快闪存储装置,及所述装置中在由用户选定时将自动链接到适宜机构网页、键入用户证书、借助所述装置执行OTP交易、并将OTP值键入到网页的客户端,因此用单次用户点击来无缝实施整个操作。
提高安全量度是最重要的,因为身份盗窃和欺骗行为正越来越成为网上金融行为增长的巨大威胁。银行、经纪业和其他金融机构正不断寻求使得他们能够在线驱动更多行为的解决方案,其中与在分支机构实施的同一交易相比成本可能仅少到每交易0.5%。同样,存在其他围绕在线贸易交易、儿童安全浏览等开发的程序。所述每一者的基本需要是提供克服最常见形式的身份盗窃(其进行诱骗和剽窃以获得用户身份及证书)、和物理盗窃或身份卡信息复制的更有力个人认证的构件。
所述问题的一个解决方法及本发明的一个方面是向消费者提供执行双因素认证以登录或在线执行交易的构件或***。如名称所暗示,双因素认证要求人员拥有两个***组件,其一者通常是唯一识别所述人员的物理装置,且另一者是一条仅为所述人员及所述人员将要认证的实体所知的信息(秘密)。
所述认证或验证实体通常将具有包含所述人员的证书的数据库以及验证所述人员拥有双因素认证***的所述两个组件的构件。所述人员仅在能够证明拥有两个组件时被认证,且因此挫败了最常见形势的欺诈(其中黑客能够确定人员的身份及秘密),因为黑客(其通常在物理上绝不在所述人员附近)将不能拥有所述物理组件。同样,如果所述人员碰巧丢失所述装置或所述装置被盗,则将无人能够在不知道所述秘密的情况下使用所述物理组件以欺诈方式获得认证。
本发明包含加密功能。在优选实施例中,其包含基于硬件的加密引擎,尽管加密功能或者可能主要是基于固件的。包含某种形式的加密技术以增加黑客攻击***将要求的努力是有利的。使用基于硬件的加密引擎的优势在于可以除非硬件签署否则将不执行该固件的方式将固件连接到加密引擎。这意味着需要将可信的固件及硬件二者均呈现给装置以供工作。一者或另一者均不能用经设计以危及装置安全且允许内容的未授权复制的信息条来替换。为获得更多信息,请参照Holtzman等人的名称为“HardwareDriver Integrity Check of Memory Card Controller Firmware”的美国专利申请案第11/285,600号,其全文以引用的方式并入本文中。
PC或蜂窝式电话具有易受所有形式的黑客攻击的开放式构架。本发明的优势是通过将加密能力置于大容量存储装置中,可利用与呈现于典型的个人计算机(“PC”)或电子装置(例如蜂窝式电话)上的装置相比非常安全及受限的API。大容量存储装置的安全API使得黑客不能使用正常逻辑界面来尝试辨别包含于大容量存储装置内的加密秘密。本质上,本发明的大容量存储装置制造的比其所耦合的主机更安全。
安全的大容量存储装置与一个或多个远程定位的服务器协力工作,其中主机装置本质上用作传递装置。尽管在某些实施例中,主机装置的处理器执行存储于大容量存储装置上的客户端,但在优选实施例中,加密和OTP操作专门包含于大容量存储装置中,其可以更受保护的方式物理及逻辑地构建。安全的大容量存储装置结合一个或多个远程定位的安全实体一起工作以形成安全***。大容量存储装置与安全实体之间的连接也是安全的。远程定位的安全实体本身是远程服务器,或包括一个或多个远程服务器,所述远程服务器通常受到接入的物理保护,且具有限制可通过外部界面执行的交互作用类型的安全对策。
现将参照各图示。图1图解说明便携式大容量存储装置(″MSD″)可借以用来进行认证及口令管理的***。MSD 100经由连接102连接到主机计算装置110。连接102可以是任一类型的直接或无线连接。无线连接的某些实例包含:OTA(无线)-其使用标准电话连接链路;射频,其某些涉及选定的范围及协议,例如wi-fi(802.11x)和蓝牙;感应近场通信(“NFC”);及红外线。在当前优选实施例中,MSD 100采取USB驱动装置或存储卡的形式,且因此连接是直接的且MSD将与主机装置的插孔104面接。如下文将更详细论述,MSD 100具有用于频繁及快速存储及检索大型用户文件的大容量存储器。这些用户文件可以是任一类型的文件,且一般包含数字照片及音乐以及可执行软件程序。在无线连接102的情形中,插孔104将不是物理插孔,而是无线收发机。
主机计算装置110可以是任一类型的智能电子装置,且将出于便利的目的而简称为主机。主机110的某些实例将包含个人计算机、蜂窝式电话或手持管理器/电子邮件装置(“PDA”)。事实上,主机可以是任何可用于接入用户帐户及/或所关注网站的电子装置。主机110连接到一网络,所述网络又与各种机构118和其他实体连接。图中为简便起见仅显示一个机构118。所述网络可包括任何类型的广域网络,例如因特网,及各种类型的蜂窝式电话网络。某些网络还可以利用卫星通信。连接到所述网络的一类实体是有效或认证实体124。实体124包括一个或多个服务器。在其中主机110是PC的情形中,可在需要时建立虚拟专用网络(“VPN”)。除了将主机连接到机构118的网络连接114及将主机连接到验证实体124的网络连接116外,还可以在机构118和验证实体124之间存在单独的非网络连接122。当然,机构118还可以通过网络与实体124通信。
本文现将参照其当前优选实施例来描述主机110和与其交互作用的组件,但这种说明绝不限制本发明的范围,且本发明的范围将由所附权利要求书界定。在优选实施例中,主机110是PC,且MSD 100是USB闪盘。如先前提及,主计算机还可以是手持计算机(一般称为PDA)或蜂窝式电话或数字照相机或具有所有这些功能的混合装置,其可接受可移除存储装置。在一个实施例中,存储装置或子***可嵌入到主计算机中。在用户想要接入特定机构(比如说其网上银行)时,其将MSD 100***USB端口,PC运行驻留于MSD上的客户端,且客户端随后使用户注册到其一个或多个银行账户中。验证实体124结合机构、客户端、PC及MSD一起工作,以在允许用户接入所述机构并登录或注册到所述机构中之前验证/授权所述用户及其MSD。当然,每个机构118均维持其用户及其帐户号及秘密(例如口令或PIN号)的各种数据库。同样,验证实体维持验证/授权用户及其装置所需的数据库。这些过程将在下文更详细论述。另外,驻留于MSD 100上的客户端应用程序可由主机110或MSD 100的处理器执行,且这将相依于所需安全等级和主机110及MSD 100二者的配置,以及二者之间的连接102。在其中主机110是PC的情形中,在当前优选的时刻,PC执行所述客户端应用程序。
图2类似于图1,但其实现了使包括一个或多个服务器的验证实体可基于与机构及其设备相同的前提。另外,其图解说明权威机构126。所述权威机构是将用于验证/授权及用户注册所需的信息提供给MSD 100的实体。权威机构126还将称为权威服务器126。例如,权威机构126可提供MSD 100内的OTP产生所需的种子。权威机构126显示为经由网络连接128连接到主机110。在这种情形中,权威机构可在MSD 100的可用周期期间于任一时间将种子装载到MSD 100内。其还可以在需要时改变及移除所述种子。在其中在制造场所即装载种子的情形中,权威机构126可直接连接到MSD而不必经由网络和主机装置连接。权威机构126可由任一数量的公司或其他实体运行。一个这种实体可以是装置的制造商或提供商。例如,如果MSD由SanDisk(本发明的受让人)生产,则权威机构也可以是SanDisk或其代理人。作为另一实例,权威机构126可以是装置经销商,例如雇主。同样,机构118或验证实体124可直接代替或结合权威机构126来提供验证/授权所必需的信息(例如OTP种子)。
图3A图解说明MSD 100的某些物理组件。界面304将数据及命令发送到MSD100并接收来自MSD 100的数据及命令,并与控制器306传送信息。如先前提及,在某些实施例中,界面304包括大容量存储装置的电触点及/或连接器,而在其他实施例中,其包括无线收发机。在某些实施例中,MSD 100的功率还可以经由装置接口304来接收。控制器306包括微处理器,且其控制MSD 100的所有数据存储操作。这意味着其协调组织与大容量存储器308(其优选为快闪类型)之间的所有读写操作。尽管控制器和大容量存储器被图解说明为串行连接,但其实际上是经由总线正常连接的。总线上还可能有各种其他组件,包含只读存储器(“ROM”)和随机存取存储器(“RAM”)。MSD 100能够在大容量存储器308中读写加密文件,且这是在优选实施例中借助控制器306内的加密引擎实现的。控制器执行固件以运行MSD 100,且这一固件可位于专用ROM上,或者存储于快闪存储器308中。固件优选地存储于大容量存储器308中,以消除ROM存储固件的成本。存储在快闪存储器308中运行MSD的固件(其缺乏ROM的内在保护)要求MSD 100中的大量保护机构,以确保固件中的复本保护例程不会损害,或所述固件不会被恶意/不安全固件整体替换。
如图3B中可见,快闪存储器308具有安全区域308A,所述安全区域中具有对MSD操作必要的固件及其他信息。在某些实施例中,固件经加密且在首先被确定为可信之前将不会被执行。为获得关于固件认证的更多信息,请参阅Holtzman等人的名称为“Hardware Driver Integrity Check of Memory Card Controller Firmware”的申请案第11/285,600号,其全文以引用方式并入本文中。同样,在某些实施例中,可仅以装置的某些操作状态执行写入安全区域308。一般来说,这还可以起到保护固件免受损害或替换的作用,且为获得关于大容量存储装置的操作状态的更多信息,请查看M.Holtzman等人的名称为“Secure Memory Card with Life Cycle Phases”申请案第11/053,273号,其全文以引用方式并入本文中。由于大容量存储装置用于通用文件存储器,且特定而言用于存储不能自由用于复制的具有版权的作品,所以需要这些保护。例如,必须保护MSD上的音乐以免未授权的复制(对于不能用于存储用户文件的专用令牌来说,这不是问题)。在用于控制装置的固件驻留于与用户文件相同的大容量存储器中而不是驻留于专用存储装置(例如ROM,其本质上更难攻击)上时,这是特别重要的。
逻辑槽310A、310B...310x位于安全区域308A中。这些槽也可以位于文件存储区域308B中。槽是用于存储使用户登录到机构中所必需的信息的受保护逻辑存储区域。作为一个安全措施,对所述信息进行加密。这可以包含用户的识别信息,例如其名称地址帐户号等...、用户的秘密(例如口令或PIN)及产生OTP值所必需的信息(包含每一机构的算法和种子值)。每一机构将具有其自身的槽。在某些实施例中,机构内的每一帐户可具有其自身的槽。下文将更详细解释登录及槽的使用。在本发明的一个实施例中,MSD的槽可位于大容量存储器中不受逻辑到物理映射影响的***区域内,以使所述信息更可靠且更快速检索。用于OTP产生的种子还可以存储于存储器308中对已存取文件存储区域308B中的文件的计算机隐藏的区域内。这可以在位于存储器308中任意处的隐藏分区中实现。
如先前提及,可在不同时间将种子装载到MSD 100中。在装载发生之前检验想要将种子装载到卡中的实体是重要的。在一个实施例中,这是用安全的存储应用程序(“SSA”)管理的,所述存储应用程序是大容量存储装置的安全模块。这可以与客户端应用程序320或通过装置内的管理层交互作用。SSA及其他相关信息描述于FabriceJogand-Coulomb等人的名称为“Control Structure for Versatile Content Control”的专利申请案第11/313,536号(代理档案号为SNDK.382US4)中,其全文以引用的方式并入本文中。SSA***位于MSD的存储***上方,且添加有用于存储文件及其他数据(在一个实施例中,包含种子)的安全层。
SSA分区是可仅通过SSA存取的隐藏分区(相对于主机操作***或OS和所有其他实体来说)。优选地,SSA***将不允许主机装置或其他实体存取SSA分区,除非借助通过登录到接入控制记录(“ACR”)而建立的会话。类似地,SSA优选地将不提供关于SSA分区的存在、大小和存取许可的信息,除非这一请求通过了由适合权威机构或实体建立的会话。
对分区的存取权是从包含于ACR中的许可列表中导出的。ACR还可以包含实体的登录算法、证书、和认证方法或将借助实体来使用的登录算法、证书、和认证方法。在创建分区时,主机为所述分区提供参考名或ID。这一参考用于对分区的进一步读写命令。因此,在这种实施例中,针对想要将种子装载到MSD中的实体,将不得不具有正确的许可及/或正确的登录算法、证书及认证方法。
图3C图解说明MSD 100的优选实施例的细分功能。在优选实施例中,客户应用程序320执行许多功能,但不执行OTP产生。在优选实施例中,如先前论述,在主机上执行客户端(尽管存储于MSD上),而在MD上实施OTP产生。与相对开放且潜在不安全的环境(其可能出现于各种主机装置中)相比,OTP产生器330在MSD 100的安全周边会受到更好保护。客户端320将请求且接续取回由OTP产生器330产生的OTP值。OTP产生器330可使用多个不同的算法,以提供比仅能够使用在制造时安排的单个算法的现有OTP令牌更安全的功能。例如,OTP产生器330可使用唯一值为每一机构产生算法。OTP产生器可实施于控制器306的逻辑中、可编程逻辑装置中、或单独的专用电路中。所述专用电路可实施于ASIC中或借助板级电路组件来实施。
客户端320还包括装置界面320A、用户界面320B、认证管理器320C和供应管理器320D。客户端320基于用户与用户界面320A的交互作用而使用户顺利登录到其选定机构上。用户界面无需用户的了解或干涉而触发装置界面、认证管理器和供应管理器。
图4图解说明装置100的多用功能性。MSD 100具有大容量存储功能。这正是用户为何通常具有MSD 100,以将其文件存储于袖珍的便利装置中。现在,本发明添加帐户管理和注册的便利性。这会涉及口令管理和认证管理二者。认证管理包含检验用户及其装置是否为其声称的装置且经授权以接入安全机构。认证管理涉及使用专用装置识别符,还有由OTP产生器330产生的一次性口令。向用户已具有的装置增加OTP产生和双因素认证的安全性应显著增加OTP使用的采纳程度。增加管理人员通常具有的多个口令的便利性也应该使这种装置更有趣且对用户更有利。增加安全性、功能性和便利性将导致双因素认证在安全机构以及用户间的更高接受水平。
现将参照图5A-10C更详细描述所述过程的复杂性。
图6C概述两个原理步骤。首先,在步骤604中,当装置在使用中时(或换句话说,在装置已被售出且在用户手中时)MSD 100接收一个或多个OTP种子。在一个实施例中,每机构一个种子地在卡中进行接收。在其他实施例中,一个种子用于产生两个或更多个机构的值。尽管可在将装置售出给用户或中间商之前将各种子预载到装置中,但优选地可将种子进行无线装载。随后,在步骤608中,所接收的种子用于借助便携式大容量存储装置100注册到各机构中。在无线装载所述种子之前,客户端可在某些实施例中认证连接到主机的MSD能够执行必不可少的OTP产生。实现这一目的一种方式是借助ActiveX。
图5A及5B及图7-10C的流程图应协力查看。图5A显示装置槽接合与装置槽激活中涉及的每一实体(终端用户99、MSD 100、客户端320、机构118和验证实体124)之间的交互作用。装置槽接合与激活是在MSD 100可用于接入特定机构之前执行的。图5B显示在一旦MSD 100的槽已接合及激活则接入机构中所涉及的每一实体之间的交互作用。图5A及5B中图解说明的实体大体上相同,但利用及图解说明客户端320的不同功能。例如,在图5B中,所述过程中涉及客户端的认证管理器320C和用户界面320B,而客户端320的供应管理器320D在图5A中所见的装置槽接合与激活期间是有效的。同样,机构118的机构数据库120被图解说明为单独的逻辑实体,尽管其为机构118的一部分。
图7是图解说明使用MSD 100以高等级接入机构的主要步骤的流程图。在步骤704中,在MSD 100已连接到计算机之后,启动客户端。客户端可由用户启动,或者可在感测到对计算机的连接时自动启动。随后,在步骤708中,用户通过客户端的用户界面来选择其想要接入的机构。某些用户界面屏幕可见于图11-12中,且将在下文描述。一般来说,所述选择可在每次启动客户端时经由计算机的人性化界面装置做出。然而,用户可配置MSD 100以在感测到所述连接且启动所述客户端时自动接入机构。
在步骤712中,MSD 100为所选的每一机构产生一OTP值。每一机构可针对OTP产生而具有唯一种子及算法。在步骤716中,客户端连接到所选机构。一旦连接,则客户端呈现使用户登录到所选机构内所必需的信息。这一信息包括用户的识别信息,例如其名称、帐户号、或用户ID、用户的秘密信息(例如其口令或PIN),及(如果特定机构是为登录而要求OTP值的类型)所述机构的OTP值。所述信息可从用户填写的客户端用户界面的页面收集,或可通过监控用户将其信息键入到机构的网页时的行为来收集。在一个实施例中,客户端可将用户及认证信息提供给网络服务器,所述网络服务器将在接收到有效用户证书及认证信息时,无需进行双因素认证而自动填写在正常情况下用户登录的传统登录网页条目。这一实施例将使得给定机构能够维持单个网络登录页面,同时添加单独的***组件以处理双因素认证。在某些实施例中,MSD100的装置ID还可以是登录必需的。在步骤724中,认证/验证用户99和装置100,且用户/装置登录到每一选定的机构。最后,一旦用户已登录,则其可接入所述机构。在其中用户接入机构的网站的情形中,在步骤728中将机构网页呈现给所述用户。当然,机构界面并不限于网页,且接入其他界面也在本发明的范围内。在主机110是不同于PC的某种装置时,这尤其相关。
图8是类似于图7的流程图,但在图8中,第三方(其为不同于机构和用户/装置的一方)在使用户登录到机构中起到作用。将仅描述与图7中的步骤不同的步骤。在步骤714中,客户端将用户/装置/主机连接到第三方,而不是如图7的步骤716中连接到机构。此第三方维持用户、装置、机构和所有用于检验用户及其装置的真实性及有效性的信息的数据库。这可以包含检验由MSD产生的OTP值。在步骤717中,第三方认证/验证用户/装置。一旦发生此事,则在步骤717中,第三方呈现使用户登录到其选定机构所需的适合信息。第三方可呈现以MSD等级产生的或由第三方本身产生的OTP值。在步骤722中,用户随后登录到机构中。
如先前提及,在MSD 100可用于使用户登录到其选定网站之前,应接合及激活装置内的槽。还必须在完成登录之前认证所述用户和装置,如图9中可见。在步骤905中,MSD 100的槽310与验证实体124的服务器接合,其中验证实体124也可以称为验证服务器124。这一步骤更详细描述于图10所示流程图中,且还显示于图5A中。接下来,在步骤910中,激活所述槽。这一激活过程更详细描述于图10B的流程图中,且还显示于图5A中。在步骤915中,认证用户及MSD 100的槽。这一认证或验证过程更详细描述于图10C的流程图中,且还可以见于图5B中。
图10A详细地图解说明接合过程(图9的步骤905)。在步骤918中,将MSD首先连接到主机110。在步骤920中,启动客户端。接下来,在步骤922中,用户选择其想要注册的机构。而且,用户可在这一时间进行选择,或所述机构可从先前的用户会话中预选。在步骤924中,随后为所选机构或帐户分配MSD 100内的槽。在步骤926中,客户端从MSD 100检索装置ID。随后在步骤928中,根据装置ID及槽ID来创建唯一识别符(其称为令牌ID)。在步骤930中,使用令牌ID将MSD 100(特别是MSD 100的适合槽)接合到验证服务器128。在步骤932中,为所选机构接收OTP种子,且随后在步骤934中将其指配给所分配的槽。针对在步骤922中选择的每一机构来重复步骤924-934。
图10B详细地图解说明装置槽激活过程(图9的步骤910)。可在装置槽已接合后将其激活。在步骤940中,用户键入其用户名或其他用户识别信息及其口令或其他秘密。接下来,在步骤942中,MSD 100的OTP产生器330为所激活的槽产生一个或多个一次性口令值。在步骤944中,借助所述机构激活MSD的槽,且在步骤946中,所述机构及/或客户端随即请求借助验证服务器124来验证槽/MSD/用户。同时,机构118和验证服务器124在步骤948和950中验证槽/MSD/用户。随后,在步骤952中,视需要向客户端及用户通知成功激活。
图10C更详细地图解说明用户和装置认证(图9的步骤915)过程。这也显示于图5B中。在装置被激活时,其接合及关联到机构或帐户。这是通过使用装置ID和槽信息实现的。然后,所述机构需要使装置及其内容与用户名称及口令关联起来,以便其可以用装置呈现信息加上用户特定信息(用户识别信息及秘密)来认证用户。在步骤960中,如果MSD尚未连接到主机则将其连接。接下来,在步骤962中,如果客户端尚未打开及运行则将其启动,且在步骤964中,用户键入其识别信息(例如用户名、帐户号等)及其秘密(例如口令或PIN)。接下来,在步骤966中,MSD 100的OTP产生器为特定槽产生OTP值。在步骤968中,将OTP值、用户识别信息和用户秘密提交给所述机构。然后,在步骤970中,所述机构验证用于接入机构的用户。这涉及步骤970A和970B。在步骤970A中,所述机构借助机构数据库来验证用户识别信息及秘密。在步骤970B中,其还借助验证服务器124验证OTP值和MSD 100的令牌ID。然后,如果用户已在步骤970中成功验证,则其在步骤974中登录到机构中。
如本文提及,在一个实施例中,客户端可将用户及认证信息提供给网络服务器,网络服务器将在接收到有效的用户证书和认证信息时无需双因素认证而自动填写正常情况下用于登录的传统登录网页条目。这一实施例将使得给定机构能够维持单个网络登录页面,同时添加单独的***组件以处理双因素认证。在这一情形中,双因素认证可如同OTP由不易于表格填写的认证表格组成,但却可以是通常涉及挑战回应操作地认证方案,例如PKI。
图5C显示利用公共密钥基本结构进行证书的验证/授权的实施例的一个可能实施方案。由于交易不可能比发生所述交易的***更安全,则最重要的要素成为建立一种用于使通信者互相定位且确信其使用的公共密钥属于其想要进行通信的人员(或机器)的方式。公共密钥基本结构设计用于提供这一信任。通过使用称为数字证书或公共密钥证书的数据元素(其接合公共密钥以识别关于其拥有者的信息),基本结构经设计以创建所述接合,且出于所使用的所有团体成员的利益来管理所述接合。
PKI是一种认证技术。通过使用密钥与公共密钥加密技术的组合,PKI实现了大量其他安全服务,包含数据机密性、数据完整性和密钥管理。PKI的建立或框架定义于ITU-T X.509建议书[X.509]中,其全文以引用的方式并入本文中。
终端实体有时被认为终端用户。尽管通常是这一情形,但术语终端实体所指的含义更一般化。终端实体可以是终端用户、装置(例如路由器或服务器)、方法、或可在公共密钥证书的主题名称中识别的任何事物。终端实体也可以被视为PKI相关服务的消费者。在本发明中,如图5所示实施例中可见,终端实体是大容量存储装置100或其用户。
公共密钥由CA 550以公共密钥证书的形式分布。可以从MSD 100要求证书,以便机构118或验证实体将允许MSD 100的用户进行注册。来自机构118的证书也可以用于在MSD将用户注册到所述机构内之前证明所述机构是可信的。公共密钥证书由发行的CA 520(其有效地将主题名称接合到公共密钥)签名。CA还负责发行证书撤回列表(“CRL”),除非这一职责已被委任给单独的CRL发行者。CA还可以涉及大量管理任务,例如终端用户登记,但这些通常被委任给单独的注册权威机构(“RA”),其中RA可选且不显示于图5C中。实际上,CA 520或另一CA还可以起到密钥备份和恢复能力,尽管这一功能也可以被委任给单独组件。CA一般被视为PKI中的“信任源”。通常,终端实体配置有一个或多个“信任锚”,其即用作验证给定证书路径的开始点。一旦经由OKI界面建立信任,则可以开始登录。
图11A-I和12A-B是客户端320的不同实施例的界面屏幕。这些屏幕起到图解说明本发明的便利性的作用。对于用户来说,登录过程变得非常简单,尽管“在后台”会发生相对复杂的计算和交互作用。例如,用户不会意识到针对所选的每一机构来安排装置,也不会意识到复杂算法正使用种子来针对与用户的其他信息一起自动验证的每一次登录而产生新(OTP)值。本发明组合了极高等级的安全性和口令管理的无缝自动化。这还可以包含某些实施例中的单次注册,其中用户的主信息自动与不同机构的所有个别口令和用户名相关。存在大量可用于本发明的其他用户识别方法,例如生物学、问答等。在一个实施例中,所述***可用于为更一般化的双引述认证及/或口令管理操作提供用户信息,其某些信息可能比其他信息更敏感。所述***可经设计以隔离这些敏感信息,并请求用户验证、额外键入PIN/口令、或其他行动以确保用户知晓且授权由***提供这些信息。这种情形的一个实例可以是***授权和付费。
图11A显示欢迎屏幕,且图11B是其中用户可填写其口令和用户名以接入特定机构的界面。所述用户可键入新机构或接入先前已经配置的机构。在这一屏幕中,用户可键入其MSD的装置ID,尽管在优选实施例中,客户端将检索这一信息而无须用户键入这一信息。在图11C中,用户界面向用户通知所述***已将MSD接合到其帐户。在这一情形中,所选机构是金融机构或经纪人。如图11D中可见,用户可接入其在特定机构可能具有的多个帐户,且可添加、编辑和删除帐户。在图11E中,要求用户键入其主口令。这是由***随后与所述用户的所有其他口令和帐户信息相关的口令。一旦用户已接合,则在一个实施例中,其仅需键入这一主口令且为了接入其帐户,所述过程将开始于图11D而不是11A或11B。在图11F中,请求用户等待***连接到其帐户。接下来,在图11G中,通知用户其已安全连接到其帐户。在这一阶段,所述机构的网页或其他界面将对用户的主机装置开放。当用户完成接入其帐户后,其即可点击图11H中显示的用户界面屏幕的退出按钮。然后,用户可连接到其他帐户,如图11I中可见。
图12A-B描绘客户端320的另一实施例的用户界面屏幕。在图12A中,在一个用户界面屏幕上同时显示代表多个不同机构的图标。用户可添加机构(也称为“帐户”),及编辑或移除帐户。所述机构可由用户手动添加,或者所述用户可从MSD所维持的列表中选择。这种列表将在由用户请求时或基于某种更新调度而自动从服务器对MSD远程更新。所述列表还可以基于任一数量的事件来更新,例如在请求用户登录时。通过点击每一图标内容的按钮,用户还可以接入或登录帐户及关闭或退出所述帐户。如图12B中可见,当用户点击特定帐户以打开所述帐户时,客户端将允许用户在所述特定机构处的各帐户(其也可称为“子帐户”)之间进行选择。
在优选实施例中,一旦已配置所显示的所有帐户,则用户将仅需键入其MSD的主口令,且可随后仅点击对应于其想要登录的机构的图标。在其他实施例中,将还需要出于更多安全性的目的而键入个别口令及/或用户ID。
本申请案中先前详细描述的促进注册的操作则将以无缝方式在后台发生。这将同时使得登录和口令管理变得对用户极为便利,同时提供将有利于用户和类似机构的极高等级的安全性。将所有这种便利性和安全性集成到用户最有可能已拥有的装置中。这是可行的,因为,不同于在专有令牌中,客户端可被添加到袖珍的大容量存储装置的大容量存储器中。便携式大容量存储装置具有物理和逻辑两方面的安全性,其比在开放环境(例如PC)中更加稳健,且因此攻击或“诱骗”信息变得更加困难。同样,不同于可能与不同口令或其他信息相关的某些大容量存储装置,本发明利用可产生不断变化但可立即检验的唯一口令值的算法及过程。
尽管本文已描述本发明实施例,但应了解,本发明并不限于这些例示性实施例,而是由随附权利要求书界定。例如,出于大容量存储的目的,MSD 100可利用磁盘而不是快闪类型的固态存储器,且可出于认证目的而实施任何对称或不对称认证方式以增强用户所选口令的传统安全性。