[发明专利]用于认证系统的安全存储增强

说明书

本公开提供“用于认证系统的安全存储增强”。一种安全装置具有安全存储区域并且被配置为与密钥服务器的认证管理器通信。从所述密钥服务器将密钥的盐和密钥标识符接收到所述安全装置。将对应于所述密钥标识符的信息嵌入所述盐中以产生经组合的标识符‑盐值。将所述经组合的标识符‑盐值存储在所述安全存储区域中。将所述经组合的标识符‑盐值连同口令一起用作散列函数的附加输入。使用嵌入在所述盐中的对应于所述密钥标识符的所述信息来识别所述密钥。

技术领域

本公开总体上涉及关于装置的认证系统的对安全存储空间的使用的增强。

背景技术

个人识别号码(PIN)、密码或其他口令是可以用于认证用户的一种机制。在一个示例中，用户可以将预定义的PIN输入到小键盘以取得对装置的访问。为了验证口令，将口令提供给散列函数，所述散列函数是接收输入并提供固定长度输出的函数。然后将固定长度输出与正确口令的散列版本进行比较，并且如果值是匹配的，则授予访问权限。用于密码学的散列函数被设计为是确定性的、不可逆转的、快速计算的，并且难以引起不同输入产生相同输出的情况。

为了提高此类系统的安全性，可以在散列函数的输入中包括作为随机数据串的盐值。例如，可以将盐添加到输入口令的前面或后面。通过对口令加盐，如果对每个用户使用不同的盐值，则具有相同口令的用户将具有不可识别的不同散列值。

另一种提高安全性的技术是使用随机数值。随机数值通常是一次性使用值。随机数可以适合于诸如伪随机函数的初始化等任务，或者作为加密函数的附加输入，以避免重放攻击。例如，客户端可以从服务器请求随机数值，并且可以在对口令进行散列处理时将随机数值用作散列函数的另一输入。然后，可以将经使用随机数值进行散列处理的该口令提供给服务器以进行认证。由于随机数值只能使用一次，因此中间人将无法捕获和重新使用所述散列值来取得访问权限。

一些电子装置包括安全存储区域以确保敏感信息(诸如电子密钥、散列口令、盐或随机数值)的安全存储。这些此类存储区域是与其他装置系统隔离的硬件，以免受各种执行或物理攻击。

发明内容

在一个或多个说明性示例中，一种用于有效使用安全存储空间的系统包括具有安全存储区域的安全装置，所述安全装置被配置为与密钥服务器的认证管理器通信。所述安全装置被编程为从所述密钥服务器接收密钥的盐值和密钥标识符；将对应于所述密钥标识符的信息嵌入所述盐中以产生经组合的标识符-盐值；将所述经组合的标识符-盐值存储在所述安全存储区域中；将所述经组合的标识符-盐值连同口令一起用作散列函数的附加输入；并且使用嵌入在所述盐中的对应于所述密钥标识符的所述信息来识别所述密钥。

在一个或多个说明性示例中，描述了一种用于有效使用安全存储空间的方法。所述方法包括：将来自密钥服务器的密钥的盐值和密钥标识符接收到具有安全存储区域的安全装置；将对应于所述密钥标识符的信息嵌入所述盐中以产生经组合的标识符-盐值；将所述经组合的标识符-盐值存储在所述安全存储区域中；将所述经组合的标识符-盐值连同口令一起用作散列函数的附加输入；以及使用嵌入在所述盐中的对应于所述密钥标识符的所述信息来识别所述密钥。

附图说明

为了更好地理解本发明并且示出可以如何执行本发明，现在将参考附图仅借助于非限制性示例来描述本发明的实施例，在附图中：

图1示出了用于有效使用安全存储区域中的空间的示例性系统；

图2示出了用于从认证管理器将密钥信息接收到安全装置的示例性数据流；

图3示出了由安全装置存储经组合的密钥标识符/盐值的示例性过程；

图4示出了用于验证对安全装置的访问的示例性过程；

图5示出了用于从安全存储区域废除密钥信息的示例性过程；

图6示出了用于更新安全存储区域中的密钥信息的示例性过程；以及

图7示出了示例性计算装置。