[发明专利]认证设备和方法

说明书

技术领域

本发明涉及一种认证设备和方法，具体涉及用于产生动态口令的 设备和方法，以及承载该设备的卡和实现该方法的软件。

背景技术

远程用户的认证是很多基于网和网络的应用的基本部分。传统的 用户名和口令提供廉价但差的解决方案。通常通过向用户发放‘令牌’ (小型且便携式设备)来获得较高的安全性，显然，该‘令牌’产生 仅对单次使用是有效的随机口令：所谓的一次性口令(OTP)。通过向 系统呈现OTP，用户证明了对该令牌的所有权，当与传统静态口令相 结合时，该令牌提供了有力的、双因素认证。

在市场上存在广泛不同的令牌，主要基于专有的、供应商特定的 技术。例如，RSA SecureID、VASCO Digipass、Secure Computing和 Active Identity。最近正在令牌供应商组织正在进行标准化的努力，称 作开放认证的倡议(OATH)[http://www.openauthentication.org]。该 OATH寻求促进OTP产生令牌的标准以及它们的部署和使用所需的基 础设施。

同时，金融部门的强认证的需要已经导致MasterCard领导了基于 标准‘芯片和PIN’支付卡(图1)的变型的备选标准。在该方案中， 所谓的芯片认证程序(CAP)[Chip Authentication Program Function Architecture，MasterCard International，September 2004]，手持卡读取 器(图2)用于基于该卡内的核心功能来创建OTP。该卡读取器是匿 名的并且可互换的，并且提倡普遍的部署的构思让它们成为家庭或者 办公室中平凡的物件，从而无需单个用户自己携带他们的卡读取器。

然而，CAP是封闭的专有系统并且不与其它系统兼容。在未来， CAP兼容卡读取器可以变得广泛可用，但是它们将仅对它们的发行银 行批准应用的CAP兼容的芯片和PIN卡有用，这是由于只有发行银 行可以访问验证该卡所产生的OTP所需的信息。

发明内容

将描述利用标准CAP卡读取器以及传统的、非支付卡一起来产生 OATH兼容的OTP的手段。该方法的优点是可以使用标准OATH基础 设施用于卡的部署以及产生的OTP的验证，同时通过利用部署的卡读 取器基础，将令牌的成本减少至芯片卡的成本。更一般地，将描述卡 中的替换算法以及基于读取器的一次性口令设备。可以提供卡与例如 RSA SecureID、VASCO DigiPass、Secure Computing或者ActivIdentity 方案协同工作，或取而代之与OATH协同工作。

将描述一种产生针对第一密码方案的动态口令的集成电路，所述 电路适合与针对不同的第二密码方案而设计的设备一起使用，所述电 路包括：电源输入，用于向集成电路供电；接口，用于向集成电路发 送数据和接收来自集成电路的数据；以及与存储器耦合的处理器，所 述存储器存储处理器控制代码，所述处理器控制代码用于控制处理器 在运行时，进行以下处理：根据第一密码方案产生动态口令，然后产 生适合向所述设备输出的中间密文数据，使得由所述设备根据第二密 码方案执行的处理导致所述设备根据第一密码方案产生原始动态口 令。

将描述一种根据第一密码方案输出与动态口令相对应的伪密文数 据的方法，所述数据适合向针对不同的第二密码方案而设计的设备输 出，所述方法包括：根据第一密码方案产生动态口令，并然后通过所 述设备根据第二密码方案执行处理的反处理来产生中间密文数据，并 且输出所述中间密文数据，使得处理数据的所述设备根据第一密码方 案产生原始动态口令。

根据本发明的一个方面，提供了一种产生与针对第一密码方案的 口令相对应的中间密文数据的装置，所述装置适合与针对不同的第二 密码方案而设计的设备一起使用，所述装置包括：用于与所述设备进 行通信的通信接口；以及与存储器耦合的处理器，所述存储器存储处 理器控制代码，所述处理器控制代码用于控制处理器在运行时进行如 下操作：根据第一密码方案产生口令；以及产生与所述口令相对应的 中间密文数据，所述中间密文数据适合向所述设备输出，使得当所述 设备根据第二密码方案处理所述中间密文数据时，所述设备产生所述 口令。