[发明专利]具有自动化证书装载的大容量存储装置

说明书

技术领域

本发明大体来说涉及便携式大容量存储装置，例如用于存储及与数字装置之间来回转移大型文件的存储卡和便携式通用串行总线(“USB”)快闪存储驱动器，且更具体来说涉及在装置内实施以接入所述装置还有其他机构的安全及接入控制机制。

背景技术

记住口令是麻烦的。办公室的计算机需要有用户名和口令。每个电子邮件帐户需要有用户名和口令，每个在线帐户也需要。如果安全不成为问题，人们可能就仅需要使所有帐户具有一个用户名和口令。

然而，安全是个严肃的问题，且因此口令管理和对帐户的接入也是严肃的问题。大量当前方法通过尝试使口令变得易于记忆或更稳健且不易泄露来解决这一严肃问题。

一种方法是一次性口令(“OTP”)。大体来说，一次性口令是在改变之前可用于接入系统一次的值。也就是说，其有规则地(以某一定义好的频率)更新而无需用户将其改变。这意味着用户提交仅使用一次的唯一(口令)值，且其想要接入的系统检验所述值是否正确。通常，这是通过基于可预测算法为用户产生口令的小型装置或“令牌”实现的。同一可预测算法由系统中的验证实体利用，且在为所述算法给出相同的种子值时，系统因此“了解”用户的不断变化的一次性口令值在任一时刻(或计数)应该是什么。到目前为止最常见的令牌形式要求用户从屏幕读取所述值并将其键入计算机。当前发展的另一形式允许令牌将所述值直接传输到计算机。这两种实施方案和一次性口令概念一般会提供高等级的安全性，但要求用户随身携带令牌以产生一次性口令值。所述令牌是一种形式的双因素认证，用户的秘密(口令或pin)是一个因素，OTP值及产生所述OTP值所必需的硬件(令牌)是第二个因素。

另一方法利用口令管理装置。此种装置可记录用户的各种口令及帐户号，并为每一用户帐户提交正确口令。例如，用户可具有用于接入所述装置的主口令，且在装置已检验所述用户的主口令后，其即可在给定帐户连接到主机计算机时为其提交实际口令。用户可键入其各种口令，或可将口令推到口令管理装置。来自(以前称为Rainbow科技有限公司)的一个这种装置被称为iKey ^TM，且还能够进行加密和相关联密钥产生。

所述每一方法均缺乏某一方面，且因此不能实现普通大众的高接受等级。OTP令牌现在主要用于控制对公司网络的接入，且尚未被普通大众广泛可用的系统(例如，电子邮件提供者或在线拍卖者等)接受使用。当前可用的口令管理装置缺乏OTP令牌和系统的安全等级。

所述每一方法均要求使用专用装置，或者缺乏在保持口令和相关联算法及种子安全性的同时为不同机构产生一次性口令的能力。例如，许多方法均涉及专用密钥链令牌或USB装置。到处携带这种装置并不方便，且会限制用户的接受，尤其是在科技娴熟用户可能已携带有蜂窝式电话、音乐播放器、PDA或Blackberry、数字照相机、及其他什锦电子器件时。

因此，需要一种便利的多用装置，其将一次性口令产生集成为稳健的安全性和口令管理系统的一部分。

发明内容

本发明将稳健的安全性和口令管理的便利性集成到便携式大容量存储装置中。由于用户通常已具有便携式大容量存储装置供用于其数字照相机、音乐播放器、PDA或类似装置，则更多安全性及便利性对用户几乎不增加任何负担。这会促进极安全的一次性口令方案的更好渗透，且导致敏感应用(例如网上银行)的风险显著降低。由于安全的便携式大容量存储装置可存储程序和其他安全数据，则OTP产生及口令管理可集成到一个便利平台中。

在消费者空间中采用这种双因素认证系统的一个障碍是用户为执行认证操作而专门携带令牌的需要。消除不得不携带多个专用装置的这一负担的一种方式是将这种功能集成到用户可能出于其他目的而拥有及/或携带的装置中。这种大容量存储装置的一个实例是USB快闪存储装置或大容量存储快闪存储卡，例如压缩快闪“CF”卡、SD卡、MMC卡、XD卡、存储棒、TransFlash卡或类似卡，其均常用于存储数据，且最近可用于存储及携带应用程序。根据本发明，这种装置执行基本OTP功能且携载可从大容量存储装置启动并在主计算机上执行的客户端应用程序。客户端应用程序负责与装置进行交互作用，以执行OTP操作并从装置获得OTP值。在另一实施例中，客户端本身执行OTP功能，且随需要将例如计数等信息存储到装置并从装置中检索所述信息。在任一情形中，所述信息均将以安全方式存储，并以例如加密等某些方式适当加以保护。