[发明专利]用于控制对资源的访问的方法、计算设备和存储介质

说明书

本发明提供了用于经由计算设备控制对资源的访问的方法、计算机程序和系统，该计算设备被配置为执行方法，该方法使得能够提供密钥的新加密版本，密钥的新加密版本是用在未来时间有效的代码值序列中的代码值来加密的，并且在未来执行该方法时可用。相应地，这实现了不需要访问远程服务器来提供一次性密码验证的用户验证方法，因此提供了一种自维持的离线一次性密码认证方法。

相关申请的交叉引用

本申请要求于2014年5月30日递交的美国临时专利申请NO.62/005,725的优先权，在全部内容通用引用合并于此。

背景技术

本发明涉及用于经由计算设备控制对资源的访问的方法、计算机程序和系统。

存储在计算机系统的存储介质中的数据通常由密码或安全码保护，以防止对数据的未授权访问。对于需要高级安全性的应用，可以以加密形式存储数据，使得其不能被获得对其访问的未授权用户读取。

加密算法用于使用密码密钥来加密数据，并且分为两个主要类别。非对称密钥算法使用一对密码密钥，其中一个(通常称为公钥)用于加密数据，另一个(通常称为私钥)用于解密数据。对称密钥算法使用单个密码密钥来加密和解密数据。一旦被加密，数据对任何人都是不可读的，除了那些拥有密码密钥或能够生成密码密钥以将加密数据转换成可以向用户显示的可读形式的人。密码密钥是包括比特串的安全码，比特串和数据一起被输入到加密算法，以将数据转换为加密形式或从加密形式转换数据。期望比特串足够长以提供足够级别的不可预测性或熵，使得未授权用户不能猜测或以其他方式破解密钥(例如，尝试不同的可能比特组合)并解密数据。

通常，用户不需要直接输入密码密钥，因为在安全系统中数据串很长而不容易被记住或输入。更为常见的是，用户输入已知或仅对授权用户可用的密码，并且使用诸如散列函数之类的数学变换将密码转换为安全码。然后，可以使用安全码作为密码密钥或者可以使用安全码作为密码密钥的种子，以加密或解密数据。通常，用于这些目的的密码是字母数字。用户选择的密码往往熵比较差，并且因此易受到所谓的“肩窥(shoulder-surfing)”攻击，这时未授权用户察看到授权用户输入他们的密码。为了降低这种攻击的风险并提高存储数据的安全性，这些字母数字密码可以生成为一次性密码(OTP)。可以通过例如向用户提供“标签”、“令牌”或包含用于生成时间和/或事件相关代码的逻辑在内的其他设备来生成OTP。采用OTP验证的系统通常使用散列函数来将时间值或事件/序列号与秘密种子值组合以产生用户必须输入到正用于访问存储数据的计算设备的一组数字。

在启用离线认证的OTP认证系统(例如由RSA Security公司开发的断连接认证方案)中，将一组短期验证码(例如，可能的OTP值)从认证服务器下载到本地系统，以便随后用于在服务器不可用(例如，本地系统不具有到服务器的直接连接)时验证用户提交的OTP值。然而，这种系统需要本地设备或系统周期性地连接到认证服务器以下载更新的验证码集合。

本发明的目的在于至少减轻现有技术的一部分问题。

发明内容