CN103973444B

CN103973444B - 安全令牌和服务访问***

Info

Publication number: CN103973444B
Application number: CN201410031944.5A
Authority: CN
Inventors: 让·瑞内·布朗德
Original assignee: Koninklijke Philips Electronics NV
Current assignee: Koninklijke Philips NV
Priority date: 2013-01-31
Filing date: 2014-01-23
Publication date: 2017-09-15
Anticipated expiration: 2034-01-23
Also published as: EP2763370A1; US20140215218A1; US9503260B2; EP2763370B1; CN103973444A

Abstract

本发明涉及安全令牌和服务访问***。根据本发明的一个方面，提出一种用于方便通过移动设备访问远程计算服务的安全令牌，安全令牌包括NFC接口、智能卡集成电路和智能卡小应用程序，智能卡小应用程序存储在智能卡集成电路中并且能够由智能卡集成电路来执行，智能卡小应用程序被配置成支持能够通过移动设备执行的加密的询问‑响应协议。

Description

安全令牌和服务访问***

技术领域

本发明涉及安全令牌。本发明还涉及服务访问***。

背景技术

安全令牌也被称为硬件令牌，认证令牌，USB令牌，加密令牌，或密钥卡，安全令牌是物理设备，安全令牌方便远程访问例如“云”中的计算服务，并且提高(远程)认证的安全性。安全令牌可以在显示器上或者通过USB提供登录码，安全令牌的所有者可以使用该登录码登录到特定的计算服务中。这种认证类型被称为双重认证，因为除了正常的用户帐户信息以外，用户还需要安全令牌。

安全令牌通常与台式PC或膝上型电脑关联使用，以访问计算服务或网络或在线银行帐户。近年来，越来越多的基于云的用户服务已经开始提供双重认证。具体例子包括Google，Amazon Web服务，Dropbox，Wordpress，DreamHost，Drupal和Lastpass。

由比较先进的安全令牌产生的登录码通常是基于当前的时间的。因此，为了计时，安全令牌包括时钟和电池。为了提高认证处理的安全性，希望(后端的)计算服务和安全令牌之间直接连接，以便例如能够通过与后端进行加密的安全询问-响应协议来进行认证。OATH标准规定了一组公用的认证协议规范，该规范包括基于时间的认证机制和基于询问-响应的认证机制。

目前，通常是通过将安全令牌***到PC中或者是连接到PC上来实现安全令牌和后端服务器之间的直接连接，安全令牌的形式例如是智能卡、USB安全装置或蓝牙令牌，用户访问PC上的服务。询问-响应协议省去了对时钟的需要，因此对于智能卡或USB安全装置的情况，就省去了对电池的需要。在实践中，***有时结合基于时间的认证和基于询问-响应的认证。例如，在线银行基于时间的认证被用于获得对交易记录的读取访问权限，而基于询问-响应的认证被用于进入交易。

越来越多的计算机用户使用移动设备诸如移动电话和平板电脑(例如iPad)来访问这样的云及其他计算服务。移动设备通常没有智能卡槽，经常不具有USB-主机能力。在这样的设备上经常有蓝牙功能，但是通常只支持特定种类的设备，诸如音频耳机或键盘和鼠标。通常，对其他种类的蓝牙设备诸如蓝牙安全令牌，安装另外的支持经常是很不容易的(或者对于一些移动平台甚至是不可能的)。对于移动设备存在替代方案，例如利用标准的音频插孔用于输入。

对于移动设备诸如智能电话来说，另一种方法是在移动设备上实现软件形式的安全令牌：“app(应用程序)”，即计算机软件，起到独立的安全令牌的作用。用户可以将在自己的移动设备上显示的登录码输入到自己的膝上型电脑或计算机中。作为替代方案，如果在移动设备上访问计算服务，则可以将登录码从安全令牌应用程序拷贝到剪贴板，然后再粘贴到应用程序的显示计算服务的登录屏幕的所需字段中(例如在web浏览器中)。这种应用程序的已知例子是Google的认证应用程序，该应用程序可用于许多移动平台。然而，这种方法最大的缺点是存在安全隐患：移动设备是具有复杂操作***的开放***，运行有许多不同的软件程序并且总是连接到因特网。这与移动设备自身需要是经过认证的这一要求背道而驰，因为移动设备自身是不能被信任的。

现在，越来越多的移动设备还有PC和膝上型电脑都配备有NFC(近场通信)接口。在这样的设备中的移动操作***(例如安卓和黑莓操作***)具有特定的支持用于处理NFC连接，以使其对于消费者来说比较容易和直观(例如不需要用户干预就能自动发送NDEF消息以启动正确的应用)。因此，为安全令牌配备NFC兼容接口具有很多意义，特别是如果可以利用移动设备内置的对NFC的支持的话，对于消费者来说，可以更容易和更方便地使用安全令牌。

最近，Yubico(http://www.yubico.com/)公司宣布了这样的支持NFC的安全令牌。该产品增强了该公司现有的基于USB的产品。该产品的USB版本仅仅起到自动键盘的作用，为用户填写认证码(即省去了需要用户从安全令牌上的显示器拷贝认证码)。该产品的NFC版本是类似的：提供登录码作为设备上的NDEF消息中存储的URL的一部分。支持NFC的移动设备自动读取出该NDEF消息并且启动适当的应用程序。所以，用户不用拷贝登录码，登录码是自动填入的，就像该产品的USB版本那样。

通常，支持NFC的安全令牌有许多与安全性、易用性和多应用支持性有关的缺点。

安全性

创建实现安全令牌的软件应用程序是很方便的，但是一般来说，不够安全。将非接触式(ISO14443)或NFC(ISO18092)接口与安全令牌集成会带来有潜在安全风险的新挑战。例如，当安全令牌的所有者把安全令牌放在口袋里或包里时，其他人不能拿到该安全令牌。对USB接口的访问实质上被阻断，看不到任何显示器。但是NFC的情况则是不同的：由于通信是非接触式的，因此可以穿过衣服、塑料或其他不包含金属的材料与支持NFC的安全令牌通信。因此，为了安全起见，必须要对安全令牌增加访问控制层。

易用性

对于用户来说，需要从安全令牌的显示器拷贝登录码，这是不方便的。即便像Google的认证应用程序那样的移动应用程序，在需要通过手动拷贝和粘贴登录码来访问相同的移动设备上的计算服务的情况下，这也是不容易的。有时，安全令牌配备有键盘和显示器。然后用户要先输入个人识别号码(PIN)以获得所需的登录码。在某些情况中，安全令牌是智能卡和(电池驱动的)智能卡读取器的结合，智能卡读取器具有自己的键盘、显示器和内置时钟。在这种情况下，智能卡读取器和智能卡的结合有效地形成安全令牌。然而，在支持NFC的安全令牌中，这是非常不切实际的，因为用户同时要与自己的移动设备和安全令牌进行交互，要把移动设备和安全令牌靠近以实现NFC连接来进行工作。

多应用支持性

目前，安全令牌通常仅用于访问一个应用或服务。当然，对于最简单种类的令牌，只有显示器，没有按钮或其他接口，则不能支持多个应用，除非它们可以使用安全令牌中完全相同的安全参数。

发明内容

本发明的目的是改进上述支持NFC的安全令牌。

根据本发明的一个方面，提出一种用于方便通过移动设备访问远程计算服务的安全令牌，安全令牌包括NFC接口、智能卡集成电路和智能卡小应用程序，智能卡小应用程序存储在智能卡集成电路中并且能够由智能卡集成电路来执行，智能卡小应用程序被配置成支持能够通过移动设备执行的加密的询问-响应协议。

根据一个实施例，能够在远程计算服务和安全令牌之间执行加密的询问-响应协议。

根据本发明的另一个实施例，安全令牌还包括实时时钟，实时时钟被配置成支持基于时间的加密的认证协议。

根据本发明的另一个实施例，安全令牌还包括NDEF消息读/写接口，经由NDEF消息读/写接口能够执行加密的询问-响应协议。

根据本发明的另一个实施例，智能卡小应用程序还被配置成接收凭证，该凭证用于加密的询问-响应协议。

根据本发明的另一个实施例，智能卡小应用程序还被配置成接收多个凭证，该多个凭证与不同的远程计算服务相对应。

根据本发明的另一个实施例，智能卡小应用程序还被配置成从移动设备接收个人识别号码，并且只有当个人识别号码与预定数字相对应时才允许执行加密的询问-响应协议或基于时间的认证协议。

根据本发明的另一方面，提出一种服务访问***，该服务访问***包括上述安全令牌和移动设备，移动设备被配置成执行加密的询问-响应协议或基于时间的认证协议。

附图说明

下面将参照附图详细描述本发明，其中：

图1图解的是根据本发明的示范性实施例的支持NFC的安全令牌；

图2图解的是根据本发明的示范性实施例的支持NFC的移动设备；

图3图解的是包括根据本发明的示范性实施例的服务访问***和在线计算服务的***。

参考标号列表

100 安全令牌

102 智能卡集成电路

104 NFC天线

106 智能卡小应用程序

108 实时时钟

200 支持NFC的移动设备

202 智能卡读取器集成电路

204 NFC天线

300 整个***

302 在线服务

304 通信信道

306 服务访问***

具体实施方式

根据本发明的示范性实施例，提出一种支持NFC的安全令牌，该安全令牌具有可选的内置时钟。通过利用非接触式智能卡集成电路来保证所需的安全等级，非接触式智能卡集成电路诸如是NXP半导体公司的SmartMX系列产品。通过在优选实施例中实现符合NFC论坛规范的卡上小程序(cardlet)，将NDEF消息发送给卡读取器，可以自动启动支持NFC的移动设备上的适当的应用程序，其中卡上小程序也被称为智能卡小应用程序。

智能卡集成电路的处理能力允许实现加密的询问-响应协议。可以通过利用卡上小程序的NDEF消息读/写接口来实现这样的协议。可选的内置时钟允许在基于时间的认证***中使用。具有电池的时钟可以被连接到例如由NXP半导体公司生产的SmartMX集成电路的新的P60系列。通过在得到登录码之前或者在能够执行询问-响应协议之前需要将个人识别号码(PIN)或密码发送到令牌，对于未经授权的人来说，当令牌在他自己的口袋中时不能访问令牌，而且当所有者丢失设备时也不能访问令牌。

然而，由于需要输入PIN，因此降低了应用程序的用户友好性。然而，通过将PIN自动发送到安全令牌中，可以很容易将PIN输入隐藏在使用安全令牌的移动设备上的应用程序中，从而不降低安全令牌的用户体验和易用性。

目前，独立的安全令牌由于缺少丰富的用户界面(例如，缺少按钮或键盘和/或显示器)而不适合支持多个应用。然而，对于支持NFC的安全令牌，在物理上与这种简单的令牌相似，不需要这样的限制。移动设备可以在其显示器上提供用户界面(UI)，允许有多个(虚拟)控制以在安全令牌中配置不同的设置。

因此，所提出的支持NFC的安全令牌提供较高的整体安全性，较高的易用性以及较好的多应用支持性。

图1图解的是根据本发明的示范性实施例的支持NFC的安全令牌。支持NFC的安全令牌100包括智能卡集成电路102，NFC天线104，存储在智能卡集成电路102中可由智能卡集成电路102执行的智能卡小应用程序106，以及电池驱动的实时时钟108。

在实例中，安全令牌硬件可以包含SmartMX2智能卡集成电路以及电池驱动的实时时钟模块，SmartMX2智能卡集成电路与连接到SmartMX2智能卡集成电路的非接触式天线一起结合在模块中，电池驱动的实时时钟模块连接到SmartMX2智能卡集成电路的测试引脚。

智能卡小应用程序(SmartMX“卡上小程序”)可以按照NFC论坛类型4标签标准来实现。特别是，卡上小程序被实现为智能卡小应用程序，其使用与ISO7816-4兼容的文件***，该文件***用于与NDEF消息有关的存储和检索。该应用程序支持通过支持NFC的设备的NFC应用编程接口(诸如安卓的Java类“Ndef”)来存储和检索NDEF消息。卡上小程序可以通过SmartMX2的两个测试引脚与实时时钟模块通信。

图2图解的是根据本发明的示范性实施例的支持NFC的移动设备。支持NFC的移动设备200包括智能卡读取器集成电路202和NFC天线204。在操作过程中，智能卡读取器集成电路202从智能卡小应用程序106读取NDEF消息，将NDEF消息写入智能卡小应用程序106，智能卡小应用程序106使支持NFC的移动设备200能够在远程的在线计算服务和安全令牌100之间执行加密的询问-响应协议。此外，在支持NFC的移动设备200上自动启动适当的“应用程序”(未显示)即计算机程序，支持NFC的移动设备200通过利用特定的NDEF消息类型来访问在线计算服务，支持NFC的移动设备200上的应用程序已经被注册到特定的NDEF消息类型。在安全令牌100被支持NFC的移动设备200的RF字段激活(接通)之后，安全令牌100自动提供特定的NDEF消息。支持NFC的移动设备200可以通过写入(从在线计算服务获得的)包含询问的NDEF消息以及通过从安全令牌100读回包含响应的NDEF消息，以此来执行加密的询问-响应协议。

初始化

通常，在能够执行询问-响应协议之前，需要将凭证载入智能卡小应用程序106中。例如，凭证可以包括一个或多个密钥值，PIN以及可选的时钟同步值。可以通过将包含这些值的特定的NDEF消息写入智能卡小应用程序106，以此将凭证载入智能卡小应用程序106。在写入这些值之后，不能再从安全令牌100中检索出这些值；这可以通过简单地不提供关于检索的任何功能来实现。

基于PIN来访问安全令牌

为了防止未经授权的访问安全令牌100的认证功能，例如通过另一个支持NFC的移动设备越权访问，支持NFC的移动设备200上的应用程序必须提供PIN以获得对安全令牌功能的访问权限。PIN作为NDEF消息中的分离的记录被提供给智能卡小应用程序106，(如果需要的话)也可以与询问-响应协议的询问值结合在一起提供给智能卡小应用程序106。可以提供另外的识别符以选择特定的凭证集。以这种方式，可以在单个安全令牌内保持多个凭证。在那种情况下，用户要选择适当的凭证用在支持NFC的移动设备200上的应用程序的图形用户界面(GUI)中。

NDEF消息

为了能够实现对不同种类的兼容NFC的非接触式卡和标签进行读写数据以及为了能够对这样的数据作出响应或反应，NFC论坛已经在其他方面进行了标准化，准确的数据格式，包含一个或多个记录，每个记录都包含记录类型和负载。这种格式的消息被称为NDEF消息(NDEF＝NFC论坛数据交换格式)。为了支持尽可能多的支持NFC的移动设备，优先是对消息类型采用唯一的自定义MIME类型，例如“application/vnd.nxp.securitytoken”。(可选的)可以增加特定记录(例如安卓应用程序记录)来保证将只启动适当的应用程序。消息的负载取决于被用于认证的协议以及协议是否已经开始，或者是否已经执行了初始化。在基于时间的访问控制方法的情况下，负载可以简单地是被编码为字母数字的ASCII字符串的所需的登录码。

图3图解的是包括根据本发明的示范性实施例的服务访问***和在线计算服务的***。整个***300包括在线计算服务302和服务访问***306。在线计算服务302例如可以是“云”服务。服务访问***306包括支持NFC的安全令牌100和支持NFC的移动设备200。支持NFC的移动设备200经由通信信道304与在线计算服务302通信。如上所述，支持NFC的移动设备200在在线计算服务302和安全令牌100之间执行加密的询问-响应协议。可以使用许多已知的加密的询问-响应协议。基于云的许多服务实际使用的一组标准化协议是OATH。OATH协议是由OATH组织维护的认证协议的集合(RFC4226，RFC6238和RFC6287)。协议栈包括基于时间的认证机制。

应当注意的是，本文中的附图都是示意性的。在不同的附图中，相似的或相同的部分具有相同的参考标号。此外，应当注意的是，在本文中对实施例进行了简要描述，并没有对本领域的惯用技术手段和公知常识的实施细节做详细描述。应当理解的是，对于这些实施方式，本领域技术人员为了实现特定的目标会作出各种特定的实施决定，以符合***要求或商业要求。然而对于本领域技术人员来说，对这些实施方式的变形并不超出本发明的保护范围。

上述实施例并不是用于限制本发明，本领域技术人员不背离所附权利要求的范围可以设计出许多替代实施例。在权利要求书中，置于括号中的任何附图标记不应被解释为是对权利要求的限制。本文中所使用的“包括”或“包含”并不排除存在其他部分或步骤。组成部分前面没有量词并不排除存在多个这样的部分。本发明可以通过包括若干不同组成部分的硬件来实现，和/或可以通过适当编程的处理器来实现。在列举了若干装置的设备权利要求中，这些装置可以由一个硬件单元和相同的硬件单元来实施。事实是，某些措施在相互不同的从属权利要求中被叙述并不表示这些措施的组合不能被有利地使用。

Claims

1.一种用于方便通过移动设备(200)访问远程计算服务(302)的安全令牌(100)，其特征在于，安全令牌包括NFC接口(104)、智能卡集成电路(102)和智能卡小应用程序(106)，智能卡小应用程序(106)存储在智能卡集成电路(102)中并且能够由智能卡集成电路(102)来执行，智能卡小应用程序(106)被配置成支持能够通过移动设备(200)执行的加密的询问-响应协议，其中移动设备(200)支持NFC，移动设备(200)与安全令牌(100)之间进行NFC通信，

智能卡小应用程序(106)还被配置成从移动设备(200)接收个人识别号码，并且只有当个人识别号码与预定数字相对应时才允许执行加密的询问-响应协议或基于时间的认证协议。

2.如权利要求1所述的安全令牌(100)，其特征在于，能够在远程计算服务(302)和安全令牌(100)之间执行加密的询问-响应协议。

3.如权利要求1或2所述的安全令牌(100)，其特征在于，还包括实时时钟(108)，实时时钟(108)被配置成支持基于时间的加密的认证协议。

4.如权利要求1所述的安全令牌(100)，其特征在于，还包括NDEF消息读/写接口，经由NDEF消息读/写接口能够执行加密的询问-响应协议。

5.如权利要求1所述的安全令牌(100)，其特征在于，智能卡小应用程序(106)还被配置成接收凭证，该凭证用于加密的询问-响应协议。

6.如权利要求5所述的安全令牌(100)，其特征在于，智能卡小应用程序(106)还被配置成接收多个凭证，该多个凭证与不同的远程计算服务相对应。

7.一种服务访问***(306)，其特征在于，包括在前的任意一项权利要求所述的安全令牌(100)，服务访问***(306)还包括移动设备(200)，移动设备(200)被配置成执行加密的询问-响应协议或基于时间的认证协议，其中移动设备(200)支持NFC，移动设备(200)与安全令牌(100)之间进行NFC通信。