[发明专利]用于在令牌与验证器之间进行认证的网络助手

权利要求书

1.一种在验证器上操作以用于认证令牌的方法，包括：

从令牌接收认证请求和令牌标识符；

从联网助手获得与所述令牌相对应的多个谜题；

伪随机地选择所述谜题中的一个谜题并求解该谜题以获得谜题机密和相应的谜题标识符；

基于所述谜题机密生成验证器密钥；

基于所述验证器密钥生成质询消息；以及

将所述谜题标识符和质询消息发送给所述令牌。

2.如权利要求1所述的方法，其特征在于，进一步包括：

从所述令牌接收证明所述令牌具有关于所述验证器密钥的知识的响应消息，其中若所述响应消息成功证明所述令牌知道所述验证器密钥则所述验证器认证所述令牌。

3.如权利要求1所述的方法，其特征在于，进一步包括：

存储所述验证器密钥；以及

将所述验证器密钥与所述令牌标识符相关联以用作所述令牌与所述验证器之间的后续认证中的对称密钥。

4.如权利要求1所述的方法，其特征在于，进一步包括：

获得与所述令牌相关联的所述助手的助手地址。

5.如权利要求1所述的方法，其特征在于，谜题是包括谜题标识符和谜题机密的经编码消息。

6.如权利要求1所述的方法，其特征在于，进一步包括：

伪随机地选择所述收到谜题中的多个谜题的子集并求解它们以获得多个谜题机密和相应的谜题标识符；

其中所述验证器密钥还基于所述谜题机密的有序集合；

连同所述质询消息一起将与所述谜题机密的有序集合相对应的所述谜题标识符的有序集合发送给所述令牌。

7.如权利要求1所述的方法，其特征在于，进一步包括：

将本地计数器与由所述令牌维护的计数器同步以跟踪在所述令牌与所述验证器之间执行的每次认证，其中后续认证质询消息还基于当前计数器值。

8.如权利要求7所述的方法，其特征在于，进一步包括：

从所述令牌接收证明所述令牌具有关于所述验证器密钥和所述当前计数器值的知识的响应消息，其中若所述响应消息成功证明所述令牌知道所述验证器密钥和当前计数器值则所述验证器认证所述令牌。

9.如权利要求1所述的方法，其特征在于，进一步包括：

维护用于生成时戳的定时器，其中后续认证质询消息还基于当前时戳。

10.如权利要求9所述的方法，其特征在于，进一步包括：

从所述令牌接收证明所述令牌具有关于所述验证器密钥和所述当前时戳的知识的响应消息，其中若所述响应消息成功证明所述令牌知道所述验证器密钥和所述当前时戳则所述验证器认证所述令牌。

11.如权利要求1所述的方法，其特征在于，求解所选择的谜题包括执行蛮力攻击以找到用来解码所述谜题的密钥。

12.如权利要求1所述的方法，其特征在于，所述质询消息是消息认证码。

13.如权利要求1所述的方法，其特征在于，进一步包括：

生成伪随机一次性数；以及

将所述伪随机一次性数发送给所述助手以供用于从与所述令牌相对应的大量谜题中获得所述多个谜题。

14.一种用于认证令牌的验证器设备，包括：

第一通信接口，具有至网络的高带宽；

第二通信接口，具有用于与令牌通信的低带宽；以及

耦合至所述第一和第二通信接口的处理电路，所述处理电路被配置成

在所述第二通信接口上从令牌接收认证请求和令牌标识符；

在所述第一通信接口上从助手获得与所述令牌相对应的多个谜题；

伪随机地选择所述谜题中的一个谜题并求解该谜题以获得谜题机密和相应的谜题标识符；

基于所述谜题机密生成验证器密钥；

基于所述验证器密钥生成质询消息；以及

经由所述第二通信接口将所述谜题标识符和质询消息发送给所述令牌。

15.如权利要求14所述的验证器设备，其特征在于，所述处理电路被进一步配置成：

从所述令牌接收证明所述令牌具有关于所述验证器密钥的知识的响应消息，其中若所述响应消息成功证明所述令牌知道所述验证器密钥则所述验证器设备认证所述令牌。