专利名称:用于用户认证的方法和设备的制作方法
技术领域:
本发明涉及对访问服务器的用户进^i人证的方法和设备。具体地,本 发明涉及对使用通信终端通过电信网访问服务器的用户进^fti人证的方法、 计算机程序产品,和访问计算机化的服务器。
背景技术:
互联网上对登录机制的墓改攻击增")^速。比如银行等机构推出了双 因数认证设备,有些甚至包括高速和甚至更高成本的询问-响应机制。中 间人(MITM)攻击对所有基于SSL/TLS的在线应用,例如互联网银行业, 造成严重威胁,该问题的一般答案是如原始的安全套接字层(SSL)协议 (US 5, 657, 390 )或传输层安全(TLS)协议标准(Dieks, T.和C. Allen, "The TLS Protocol Version 1. 0,,, Request for Comments 2246, 1999年1月) 所要求的、使用基于相互认证的客户端证书。但是,在公司势力的紧密控 制范围之外,此方法并未得到其i殳计者预期的广泛接受。US 4, 405, 829, US 4, 720, 860, US 4, 885, 778和US 4, 856, 062涉及一 种被广泛认知的认证令牌设备一一安全ID令牌。此令牌设备提M壮的 用户认证。但是,它不防止实时操作的MITM攻击。专利申请US 2004/0064687中描述的是防止通过在线第三方,即"身 ^^C供者",进行MITM攻击的方法。所描述的方法既不需要改变SSL/TLS 协议,也不需要推出完全公共密钥^ 设施(PKI)。然而,它需要更^ 户端并使其包括身份提供者的硬编码证书。US 2002/107798 Al描述了一种对安全设备进行智能卡认证的方法。 所描述的方法基于在协议启动之前芯片卡拥有安全设备的公共密钥,且 (客户端)应用仅限于使用该公共密钥的假设。但是这些假设通常不能成 立。发明内容本发明的目的是提供对使用通信终端通过电信网访问服务器的用户 进行认证的方法和设备。具体地,本发明的目的是提供防止实时操作的MITM攻击的用户认证方法和设备。本发明的另一目的是4^供对使用由安全 会话建立协议建立的安全会话、通过电信网访问服务器的用户进#^人证的 方法和设备访问。根据本发明,这些目的通过独立权利要求的特征来实现。另外,另外 的有利实施例根据从属权利要求和说明书得出。根据本发明,上述目的具体实现为,为了对使用通信终端通过电信网 访问服务器的用户进^i人证,接收来自用户的个人识别码;根据通信终端 和服务器之间交换的安全会话建立协议报文生成数据集;利用个人识别 码,基于数据集生成交易认证号;交易认证号从通信终端传送到服务器; 并且,在服务器中,基于与通信终端交换的安全会话建立协议报文来mt 该交易认证号(以及由此的用户)。例如,根据所交换的安全会话建立协 议报文,数据集在通信终端中被生成为hash值。必须强调的是,此处描 述的交易认证号在本发明的上下文中被用作^^认证号或^^认证码。在 一些实施例中,交易认证号由数字数据集,即数字交易认证号表示。基于 个人识别码以及在通信终端和服务器之间交换的安全会话建立协议报文 生成交易认证号,使面向知晓(session-aware)的用户认证能够有效保 护在线用户不被实时中间人攻击。在实施例中,在与通信终端关联和/或在通信终端内的认证模块中, 从数据集生成i人证基础号,利用个人识别码,从i人证基础号生成交易认证 号。例如,认证基础号在与通信终端关联的认"^块中生成。而且,在服 务器中,从所交换的安全会话建立协议报文生成认证基础号,且利用个人 识别码和服务器中生成的认证基础号在服务器中对交易认证号进行验证。在优选实施例中,认证基础号和个人识别码(由用户)输入到未连接 到通信终端的询问/响应(C/R)令牌设备中。基于该i人证基础号和个人识别 码,在询问/响应令牌设备中生成交易认证号作为令牌响应值。在将交易 认证号传送给服务器之前,(由用户)将该交易认证号,即令牌响应值输 入到通信终端中。在实施例中,通过生成随机数,从数据集选#^选数字(该数字由随 机数的位数决定),以及由被选数字和随机数位数构成认证基础号,从而 从数据集生成i人证^fife号。在实施例中,利用与认^块关联的密钥对中的私钥,从数据集生成 数字签名。在认M块中,利用与认4块关联的令牌密钥,从数据集生成认证基础号;从认证基础号生成交易认证号;个人识别码被用于生成数 字签名或生成交易认证号;数字签名从通信终端传送到服务器;在服务器 中,利用密钥对中的〃》嘲来mt数字签名;交易i人证号从通信终端传送到 服务器;在服务器中,利用用于加密数据集的令牌密钥,从接收自通信终 端的数据集生成认证^l号;以及,在服务器中,利用服务器中生成的认 证基础号来验汪交易认证号。在实施例中,从认证基础号和个人识别码生成交易认证号。该交易认 证号和用户标识符从通信终端传送到服务器。在服务器中利用服务器中生 成的认证基础号以及分配给用户标识符的个人识别码来验证交易i人证号。在实施例中,认M块被实现为可移除地连接到通信终端的认证令牌 设备。数据集从通信终端通过设备接口传递到认^块,该接口将认^ 块连接到通信终端。如果可行,在认i^块中存储密钥对和令牌密钥,而 且从^人ii^块通过i殳备接口将数字签名传递到通信终端。在另 一实施例中,令牌标识符和交易认证号一起从通信终端传送到服 务器,并且在服务器中基于令牌标识符确定令牌密钥。主密钥存储在服务 器中,并且在服务器中利用用于加密令牌标识符的主密钥,从令牌标识符 生成令牌密钥。在实施例中,认证基础号从认ii^块传递到通信终端。在通信终端中 接收来自用户的个人识别码,并且在通信终端中从认证基础号和个人识别 码生成交易认证号。在另一实施例中,在认iiMt块中接收来自用户的个人识别码。在认证 模块中从认证基础号和个人识别码生成交易认证号,而且交易认证号从认证模块传递到通信终端。在另一实施例中,个人识别码和来自用户的生物测定标识符一起^L接 收。利用服务器中生成的认证基础号和服务器中存储的生物测定标识符, 以及分配给用户标识符的个人识别码,在服务器中验证交易认证号。在另一实施例中,认证基础号由认^块显示。交易认证号由用户根 据个人识别码和认M块显示的认证基础号来生成,并输入通信终端。在又另一实施例中,交易认证号在服务器中成功JIHE之后,在服务器 中对数据集应用公共函数并使用令牌密钥加密,而从数据集生成月艮务器i^证码。服务器认证码W艮务器传送到通信终端。在认ii^块中对数据集应 用公共函数并使用令牌密钥加密,而从数据集生成服务器认证码。认i^ 块基于在认证模块中生成的服务器认证码来验证来自服务器的服务器认 证码。在实施例中,^U艮务器接收的服务器认证码和在认M块中生成的 服务器认证码由认证模块显示,供用户进行视觉验证。在附加实施例中,用户针对认证模块选择多个可能机构范围中的一 个。用户所选择的机构范围使认ii^块使用包括多个令牌密钥的令牌密钥 集中的一个特定于机构的令牌密钥来生成认证基础号。服务器与特定^J 关联,并使用特定于机构的令牌密钥来生成认证基础号。服务器使用特定 机构个人识别码来验证交易认证号。所建i义的用户i人证方法不需要必须以 一种或另 一种方式同步的时钟。 作为替代,它采用从通信终端和服务器间交换的安全会话建立协议报文 (如SSL/TLS)(的hash值)导出的现时(nonce)来确保交易认证号的传播。另外,在用户^f吏用特定可传递的令牌期间,如果在通信终端上例如通 过浏览器的预填表特性,存储用户标识符以及4^牌标识符,则所建i义方法 的安全性不会被显著破坏。尤其是,如果通信终端是共享工作站,这可能 会导致其他方或可能的对手学到这两个值,但所提议的方法对此有抵抗 力。几乎普遍存在的客户侧SSL/TLS实现方式的基础不必被改变。对于大 多数实施例,客户端应用程序,如使用SSL/TLS栈的网页浏览器不必被改 变。与今天广泛采用的双因数方案相比,操作经认证的安全会话引导 (bootstra卯ing )对于对安全性一无所知的最终用户不再复杂。不需要最终用户注册或其它昂贵过程,就可实现防MITM的方法。运 行双因数方案的机构必须仅替换最终用户在使用的设备(但他们所使用的 PIN或口*持不变),或者修改该设备中使用的算法和协议(与已知的固 件更新相似),并适应其自身的服务器^J设施以与所建议的方法协同工 作。根据发明的另 一 目标,针对使用通信终端通过电信网访问服务器来改 变个人识别码的用户,从用户接收旧的个人识别码和新的个人识别码;从 通信终端和服务器间交换的安全会活建立协议报文生成数据集;在与通信 终端关联的认i^块中,利用与iU^块关联的令牌密钥从数据集生成认证基础号;从个人识别码、旧的个人识别码和新的个人识别码生成识别改 变码;将识别改变码从通信终端传送到服务器;在服务器中,利用令牌密 钥,从所交换的安全会话建立协议报文生成认证基础码;以及,在服务器 中,利用旧的个人识别码和服务器中生成的认证基础号,从识别改变码导 出新的个人识别码,。在对使用通信终端通过电信网访问服务器的用户进行认证的另 一 实 施例中,在与通信终端关联的认证模块中,根据个人识别码以;ML通信终 端和服务器之间交换的安全会话建立协议报文,将交易认证号生成为键控 的密码摘JHi,用作与服务器共享的密钥。键控密码摘要值作为交易认证 号从通信终端传送到服务器。在服务器中,利用存储在服务器中的个人识 别码来生成键控密码摘要值。随后,在服务器中,基于从通信终端接收的 键控密码摘要值和在服务器中生成的键控密码摘要值的比较,来验证交易 认证号以及由此的用户真实性。例如,个人识别码或与认i^块相关联的 令牌密钥被用作密钥。利用键控密码摘要函数,即伪随机函数比如加密 hash函数来生成键控密码摘刻t。在替选实施例中,从数据集生成查找索 引,在码表(例如密钥列表)中,使用查找索引确定被选码。该被选码用 作(hash )密钥,服务器利用该服务器中存储的码表中的被选码作为(hash)值来生成键控密码摘要值。在子实施例中,服务器记录被通信终端使用的 先前选择的码。并且,在服务器确定被选码先前已被通信终端使用的情况 下,服务器重新JL^与通信终端的会话建立。在对使用通信终端通过电信网访问服务器的用户进行认证的另 一 实 施例中,在与通信终端关联的认iM^块中,通过使用公钥来加密数据集、 个人识别码、以及现时,将访问交易i^证号生成为密码。该密码作为交易 认证号^Jt信终端传送到服务器。在服务器中,通过使用私钥解密该密码 来确定数据集和个人识别码。随后,基于所接收的数据集和在服务器中从 安全会话建立协议」报文生成的数据集的比较,以瓦基于所述个人识别码和 存储在服务器中的个人识别码的比较,在服务器中验证解密的交易认证号 以及用户的真实性。在实施例中,从数据集生成查找索引,并且在码表(例如密钥列表) 中,使用查找索引确定被选码。该被选码另外用于生成密码。服务器利用 私钥从该密码确定被选码。同样通过比较该被选码和由服务器根据该服务 器中存储的码表来确定的被选码,#验交易认证号以及由此的用户真实 性。在子实施例中,服务器记录通信终端使用的被选码。并且,在服务器确定被选码先前已被通信终端使用的情况下,服务器重新发起与通信终端 的会活建立。根据本发明的另外目的,为了对使用通信终端通过电信网访问服务器 的用户进^"^人证,从通信终端和服务器间交换的安全会话建立协议净艮文生成数据集;在通信终端中,从数据集、个人识别码以及一个或两个现时生 成认证密码。预定义的公钥用来加密。在多机构情况下,该密钥属于服务 器或认证服务器。作为结果的密码在规则协议才艮文内不透明地vMJt信终端 传送到服务器;在服务器中,数据集从所交换的安全会话建立协议报文生 成;以及,在服务器中,利用对应的私钥解密所述密码。比较^J!艮务器数 据库获取的个人识别码和从所述密码解密的个人识别码,并将解密的数据 集和服务器计算出的进行比较。如果用户期望从服务器对用户进行认证, 则再从所述密码解密出第二个现时并发回用户。此方法同样可用来改变个 人识别码。根据本发明的另外目的,为了对使用通信终端通过电信网访问服务器 的用户进^iUi,从通信终端和服务器之间交换的安全^"建立协议净艮文 生成数据集;在通信终端中,从服务器接收索引,或索引被创建用iM^带 外分发的码表(如密钥列表)查找短密钥。该短密钥和个人识别码被输入通 信终端,并且基于数据集、个人识别码、短密钥和多达两个现时来生成认 证符一一其为密码或键控密码摘要值。该认证符从通信终端传送到服务 器;在服务器中,从所交换的安全会话建立协议报文生成数据集;并且, 在服务器中,利用服务器中生成的数据集、服务器数据库中的个人识别码 和短密钥,通过解密或使用键控密码摘要函数(例如加密hash函奶来验 证该认证符。类似的,短密钥也可以用在已经描述过的其它实施例中。
将通过示例参考附图详细解释本发明。图l显示了示意性描述计算机化服务器的示范配置的框图,该服务器 设置有用户认iiE^块,并且通过电信网连接到具有认i^块的移动终端。图2显示了示意性描述iUit^块的示范配置的框图。图3显示了示意性描述作为认证令牌设备的认iM^块的示范实施方式 的框图。图4显示了描述根据本发明的实施例而执行的步棵序列的示例的流程图,其中本发明的该实施例用于对使用通信终端("在通信终端输入PIN-U 以及在终端上建立TAN")通过电信网访问服务器的用户进^i人证。图5显示了说明根据用于("在设备上输入PIN-U以及在设备上建立 TAN")认证用户的本发明的另 一实施例而执行的步骤序列的示例的流程 图。图6显示了说明根据用于认证用户("由用户脑力建立TAN")的本发明 的又一 实施例而执行的步骤序列的示例的流程图。图7显示了说明根据用于认证用户("软令牌,,)的本发明的又一实施例 而执行的步骤序列的示例的流程图。图8显示了说明才艮据本发明的实施例而执行的附加步骤序列的示例的 流程图,其中本发明的实施例用于对被用户使用通信终端("设备上的服务 器认证码")通过电信网所访问的服务器进^i人证。图9显示了根据用于("通过软令牌设备得到的服务器认证码")认证服 务器的本发明的另 一 实施例而执行的附加步骤系列的示例的流程图。。图10显示了根据用于("基于标准设备接口的询问响应")认证用户的 本发明的另 一实施例而执行的步骤序列的示例的流程图。
具体实施方式
在图1中,参考标号1指为通过电信网3与计算机化服务器4交换数 据而配置的通信终端。通信终端l包括,但不限于固定个人计算机(PC)、 移动膝上计算机、移动无线电话和/或移动个人数字助理(PDA)。每个通信 终端1都具有显示器11和数据输入装置12,比如键盘和定点设备(例如 计算机鼠标、跟踪球等)。通信终端1包括客户端应用程序,优选是浏览 器(例如Microsoft Internet Explorer或Mozil la Firefox),以便通过 用安全会话建立协议比如SSL/TLS来建立的安全会话、经由电信网3访问 服务器4上驻留的在线应用。另外,通信终端1包括认M块2,这在后 面参考图2和3详细描述。电信网3包括固定网络和无线网络。例如,电信网3包括局域网(LAN)、 综合业务数字网(ISDN)、互联网、全球移动通信系统(GSM)、通用移动通 信系统(UMTS)或者其它基于陆地或卫星的移动无线电话系统,和/或无线 局域网(WLAN)。计算机化服务器4包括一个或多个计算机,每个计算机有一个或多个 处理器、程序和数据内存,以及操作系统和可以通过利用安全会话建立协 议,如SSL/TLS,建立的安全会话访问电信终端1的在线应用。例如,服 务器4是Apache httpd或Jakarta Tomcat服务器。另外,服务器4包括 用户认i^块40和数据库41。优选地,用户认iiE^块40和数据库41被 实现为程序软件模块。数据库41可包括例如,主密钥(MK)42;多个用 户数据集400,每个包含用户标识符(ID—U)43;个人识别码(PIN-U) 44;以及可能的对称令牌密钥(K-T) 45。个人识别码(PIN-U) 44是用户和服务器4 之间共享的密钥,而且可包括生物测定数据(生物测定标识符)。而且,数据库41可包括公钥(k) 46。包括公钥(k) 46的证书还可以是用户数据集400 的用户特定部分,即在特定用户4吏用特殊令牌的时间期间,其序列号(SN-T) 可暂时地被指定为ID_U。用户将能选择服务器是否记住最后的SN-T-ID_U 关联。这样做会提供方便,即使用户将令牌插入各不同通信终端。另一方 面,这种情况下释放令牌可以将ID_U透露给该令牌的下一个用户。不会 威胁认证,但会影响与服务器相关的用户私密性。如图2所述,每个认iE^块2包括几个功能模块证书模块25、认证 号生成器26、显示模块27、以及可能的服务器认M块28和/或选择模 块29。另外,认i^块2可包括带非对称密钥对(k,k"(-l))201的内存模 块,该非对称密钥对包括私钥(kA(-l))和公共密钥(k),优选被整体保护。 为了识别,认ii^块2可以与公知的令牌标识符SN_T相关联。优选地, 认M块2是非个人的而且兼容PKSC#11或MS-CAPI (微软加密应用编程接 口)或其它标准设备接口。在实施例中,认M块2包括带令牌标识符203 的内存模块。令牌标识符例如通过浏览器的预填表特性也可以存储在通信 终端1上。另外,认4块2包括带令牌密钥(K_T) 202的安全内存模块, 或者在非最适合优情况下包括带主密钥(MK) 204的内存模块。密钥对k和 kA{-1}对于所有认i^块2可以是相同的(令牌可以非个人的原因),然 而令牌密钥K一T是唯一的,并且是特定于认ii^块2的。利用主密钥MK, 可从令牌标识符SN—T根据下式生成令牌密钥K-T:K_T=E_ {MK} (SN—T)因此,不需要集中存储所有令牌密钥。作为替代,知道主密钥的任何 人可从令牌标识符来动态生成令牌密钥。主密钥通常只由服务器4拥有和 掌握。主密钥,确切地说是令牌密钥以不可输出方式保存在防篡改的密钥 存储器。建议令牌私钥k"(-1}也絲在同一安全存储器中,但是,根据所建议的方法,后者泄露给公众仍然可以不危害已发的认^块2的总体及 其功能。优选地,功能模块被实现为程序软件模块。软件模块的计算M序代 码是计算M序产品的一部分,优选存储在计算机可读介质中,该介质可 以在可插入通信终端1的数据载体上,集成在通信终端l的内存中,或者 如图3所示,在集成到认证令牌设备20的内存中,该认证令牌设备20连 接到通信终端1。在实施例中,认^块2被实现为兼容PKSCH1的可能的非个人认证 令牌设备20 。认证模块2因此是安全硬件令牌,其通过标准接口如 cryptoki (RSA安全公司的"PKCS#11:密码令牌接口标准,,)或者微软的 CryptoAPI (http: //msdn. microsoft, com/1ibrary/default. asp url=/li brary/en-us/seccrypto/security/cryptography一cryptoapi一and -capicom.asp)参与安全会话建立协议,例如参与SSL/TLS握手。如图3 所示,除了上面认^块2的内容中描述的功能模块和内存模块外,认证 令牌模块20包括设备接口 21、数据输入键23或者传感器24形式的数据 输入装置,以及可能的显示器22。可选地,传感器24被配置用于生物测 定数据(生物测定标识符)的输入,且包括例如指紋阅读器。设备接口 21 被配置用于将i人证令牌i殳备20可移除地连接到通信终端1。设备接口 21 可以是基于接触的,包括例如USB接口 (通用串行总线接口),或者无接触 的,包括例如蓝牙或者红外接口。认证模块2也可以分为离线设备(C/R 或一次口令(0TP))和通信终端1中的某个软件模块,用来给客户端应用 软件补充如从数据集中随M取比特或认证基础号的功能。在以下段落中,参考图4、 5、 6、 7、 8、 9和10描述的是执行所建议 的用户i^证方法的可能的次序,以及用户i人M块40和功能模块的功能 性。基本的假设是用户M设备不必运行可信赖的计算机基础。但是,必 须假定特别的SSL/TLS实现不被如可执行的特^T木马破坏,从而正确操 作。虽然不预期最终用户特别了解信息技术,例如不预期能够可靠^查 受SSL/TLS保护的会话中的服务器证书的有效性。类似地,也不预期能可 靠区分"UBS. C0M"和"U8S. C0M"。为访问服务器4中驻留的在线应用,用户因此在他的通信终端1上操 作客户端应用程序。作为安全会活建立协议例如SSL/TLS握手协议的一部 分,服务器4使用公钥证书对其自身进^i人证,假定但不进一步陈述用户 正确地IHE此证书是真的属于预期的站点。如图4所示,在步骤Sl中,例如通过根据SSL/TLS向服务器4发送 "ClientHello,,报文,通信终端1根据安全会话建立协i^L^起与服务器4 的安全会话建立。在步骤S2中,根据安全M建立协议,例如通过根据SSL/TLS向通 信终端发送"ServerHello,,报文,服务器4响应步骤Sl的发起报文。在步骤S3中,作为安全会话建立协议的一部分,服务器4向通信终 端1发送证书请求或者"Finished"报文,例如根据SSL/TLS的 "CertificateRequest"或"Finished"报文。在步骤S4中,根据安全会话建立协议,通信终端1的数据集生成模 块基于先前与服务器4交换的安全会话建立协议才艮文构建数据集。例如, 根据SSL/TLS,通过应用hash函数,数据集生成模块从先前的安全会话建 立协议报文来构建数据集(所交换的安全会话建立协议报文可能比明确列 在这的多)。在步骤S5中,步骤S4中生成的数据集(例如hash和今后指定为"hash" 的)分别传递给认证模块2或认证令牌设备20。例如4吏用通信终端1和/ 或认证令牌设备20中的共享内存区域,通过设备接口 21可以实现在通信 终端1和iUi^块2或认证令牌设备20之间分别传递信息。在步骤S6中,证书模块25通过使用带密钥对201的内存模块的私钥 1^{-1}对步骤S5中接收的数据集进行密码签名来生成电子签名。在变量 中,被嵌入到包含公共签名校验密钥(k) 46的签名中的签名证书包括所 使用的特定令牌的序列号SN_T。在步骤S7中,步骤S6中生成的电子签名传递给通信终端1。在步骤S8中,通信终端1对步骤S3中接收的证书请求准备响应,例 如根据SSL/TLS的"Certif icateVerify"报文,包括在步骤S4中生成的 数据集和在步骤S6中生成的电子签名。在步骤S9中,在步骤S8中准备的安全会话建立协议报文被通信终端 1传送给服务器4。在步骤S10中,利用>2^ (k) 46,服务器4基于在步骤S9中接收到 的数据集来m^在步骤S9中接收的电子签名。由于认M块2是非个人 的事实,因为k1-l)通常对所有令牌是相同的,"CertificateVerify"报 文并非真的对客户端应用进W^证,而是仅确保客户端应用使用令牌来建 立到服务器的安全会话,并捕获数据集为以后使用。如果步骤S4中生成的数据集是基于"Finished,,报文,则不需要步骤S5-S9,而且在步骤SIO 中,服务器4只捕获数据集(hash)为以后使用。如果有能够检查 "Finished,,报文的内容或者已加密的"Finished"报文的客户端扩充或插 件或外部"监听器",则使用此方法。优选地,这种扩充较小而且独立于 平台,因此在客户端应用的内部或者甚至在制造时集成在客户端应用中。在步骤Sll中,认证号生成器26从步骤S5中接收的数据集(hash)生 成认证基础号N_T。使用与认iiE^块2关联的令牌密钥K_T,从数据集生 成i^证基础号N_T:N_T=E_ {K—T} (hash)优选地,N_T缩短到个人识别码PIN_U的定义的长度(在一实施例中 通过截短它来实现)。在步骤S12中,服务器4的用户认4块40向通信终端请求交易认 证号(TAN)。在如步骤S6中公钥46在特定令牌(token-specific)公钥 证书中的情况下,用户标识符ID_U可连同请求一同传送,例如反映与给 定令牌SN-T—起使用的最近的ID_U,即由于已经在HTML表单域中预填充 ID_U,从而不需要由用户输入,而只需要在该令牌被另一个用户4吏用的情 况下校正ID_U即可。在步骤S13中,将步骤Sll中生成的认证基础号N-T传递给通信终端1。在步骤S14中,通信终端1的控制模块请求并接收来自用户的个人识 别码PIN—U。根据该实施例,利用数据输入装置12或针对生物测定数据(生 物测定标识符)的传感器,例如指紋阅读器(例如对不同的手指印记分配 不同数字或字符),来输入个人识别码PIN-U。在步骤S15中,通信终端1的控制模块根据在步骤S14中接收的个人 识别码PIN-U和在步骤Sll中生成的认证基础号N—T,例如使用在某种程 度上对用户透明的伪随机函数PRF,来生成交易认证号TAN:TAN = PRF- {PIN-U} (N-T)作为子实施例,通信终端1可以接收该PIN,并且S15可在非个人的 认证令牌设备20上执行,然后TAN被返回给通信终端1。在这种情况下,作为子实施例,生成"CertificateVerify"报文的步 骤和生成交易认证号TAN的步骤可以进行不同的分组如果用来创建数据集(hash)的函数h满足加密hash函数的特性,则例如HMAC构造 (Krawczyk,H. 等人的 "HMAC: Keyed-Hashing for Message Authentication" ,Request for comments 2104, 1997年2月)则可用来 实现hash函数h: PIN画U将成为数据集(hash,)的Certif icateVerify 计算的自变量。在此实施例中,认证基础号N-T,成为交易认证号TAN=N_T,。 对于此实施例,基本上,由于获得数据集(hash,)以及hash函数h的除 一个之外的4^输入,即PIN-U,重建PIN-U是不可行的。HMAC是满足这 个的一个函数。HMAC还可用作伪随机函数PRF,且用来生成交易i^证号TAN:TAN=HMAC_{PIN_U}(U-T)=h (K+opad II h(K+ipad II N_T))。在此情况下,以某种唯一和特定方式(例如#>据PKCS#5 )从PIN_U导 出K。符号+指模2加,ll指串连接。0pad和ipad是常数值。特别当用户 自己不必计算TAN时,除了仅十进制数字
之外的其它字母表更可取。交易认证号TAN只对一个安全(SSL/TLS)会话有效。在步骤S16中,为响应步骤S12中接收的请求,通信终端l向服务器 4传送生成的TAN、所确认的或由用户新输入的用户标识符ID-U、以及由 用户输入的令牌标识符SN-T,除非包含k的令牌证书还包括SN-T(如S6 中可选的)。例如,SN-T从带令牌标识符203的内存模块读出,或者从与 浏览器关联的通信终端1中的内存读出。在步骤S17中,服务器4的用户认ii^块40确定在数据库40中个人 识别码(PIN-U) 44被分配给步骤S16中接收用户标识符ID_U。在步骤S18中,利用与认M块2关联的令牌密钥K-T,用户认iiE^ 块40从步骤Sl0中接收的数据集(hash)生成认证基础号N_T。在实施例中, 利用主密钥(MK)42,从步骤S16中接收的令牌标识符SN-T生成令牌密钥 K-T。然而,如果令牌密钥(K-T) 45存储在服务器4上,就不需要用MK重 新计算,而是可以完全随M择。如果令牌标识符SN_T是在安全会话建 立协议期间交换的令牌的客户端证书的一部分,例如,客户端证书为步骤 S3和S9之间的"Client certificate"报文,则在步骤S16中,不用将 SN-T从通信终端1传送到服务器4。在步骤S19中,用户认iii^块40根据步骤S17中确定的个人识别码 PIN_U和步骤S18中生成的认证基础号N_T来生成交易认证号TAN。在步骤S20中,通过与步骤S19中生成的交易认证号比较,用户认证模块40来验证步骤S16中接收的交易认证号。如果验证结果是肯定的, 则通信终端1可以访问服务器4,或者在实施例中,服务器继续后面参考 图8所描述的步骤S41。如图5所示,在替选实施例中,包括步骤S13、 S14和S15的方框A, 由包括步骤S21、 S22、 S23和S24的方框B代替。在步骤S21中,分别通过认证令牌设备20或认M块2的数据输入 装置23或传感器24,从用户接收个人识别码PIN-U。在步骤S22中,如在步骤S15的上下文中所描述的,证书模块25根 据步骤S21中接收的个人识别码PIN—U和步骤S11中生成的认证基础号N一T 来生成交易认证号TAN。因此,在步骤S15的上下文中所描述的子实施例 也适用于图5所示的实施例。在步骤S23中,将在步骤S22中生成的交易i^证号TAN传递给通信终 端1。在步骤S24中,交易认证号TAN在通信终端1中接收,且可能在显示 器11中显示。随后,通信终端1继续上面的步骤S16。如图6所示,在替选实施例中,包括步骤S13、 S14和S15的方框A 由包括步骤S31和S32的方框C代替。在步骤S31中,显示模块27在显示器22上显示步骤Sll中生成的认 证絲号N一T。在步骤S32中,通信终端1的控制模块从用户接收交易认证号TAN。 在步骤S32中输入的交易i^证号被用户定义为显示器22上显示的认证基 础号N_T和用户个人识别码PIN-U的组合TAN=f (N-T,PIN-U)通常,有许多可能性来定义适当的函数f。在1993年5月、IEEE出 版社的研究安全和私密的IEEE专题学才艮中Molva,R.和G.Tsudik的 "Authentication Method with Impersonal Token Cards"中,建议使 用模10求其自变量的和。此建议是合适的,但有许多其他函数同样工作 得很好。按照Swivel,PINsafe的另一方法是,例如显示长度为10的N-T 且使用数字PIN中的数字来挑选。随后,通信终端1继续上述步骤S16。在图7所示的实施例中,认iiM^块2专门通过通信终端1中的程序软 件模块来实施。与图4所示的实施例相比,根据图7的实施例不包括步骤S5、 S7和13,因为通信终端1和通信终端1外部的认ii^块(令牌设备 20)没有数据交换。通信终端1和认iii^块2之间使用软件接口或通信终 端i中的共享内存区域进行信息交换。否则,如上面参考图4的描述来执 行步骤S1、 S2、 S3、 S4、 S6、 S8、 S9、 SIO、 Sll、 S12、 S14、 S16、 S17、 S18、 S19和S20。如图8所示,在步骤S41中,服务器4从步骤S9中接收的数据集(hash) 生成服务器认证码。通it)^数据集(hash)应用公共函数g以及使用步骤S18 中确定的令牌密钥K-T来加密,从而生成服务器认证码A_T:A_T-E-{K-T} (g(hash))。A-T的构it^本上与i人证基础号N—T的构^目同。唯一的区别是数据 集(hash)在用令牌密钥K-T加密之前,要应用广泛认知的函数g。函数 g又不需要复杂。它可以像计算hash值的余数一样简单。此服务器认证的 本质是可能看到数据集(hash)和认证基础号N_T两者的对手不能构造A_T, 因为令牌密钥K-T是保密的以及加密函数E-的特性(在一个实施例中,其 可以^1对称密码如3 — DES )。在步骤S42中,步骤S42中生成的服务器认^被传送到通信终端1。在步骤S43中,步骤S42中接收的服务器认^被通信终端1显示在 显示器11上。在步骤S44中,服务器iUi^块28通过将公共函数(g)应用于步骤 S5中接收的数据集并使用与认i^块2关联的令牌密钥K_T来加密,而从 该数据集(hash)生成服务器认证码。在步骤S45中,显示模块27在显示器22上显示步骤S44中生成的服 务器认证码。在步骤S46中,通过与显示器22上显示的服务器认证码比较,用户 来验证显示器ll上显示的服务器认证码,从而对服务器4进^i人证。在如图9所示的实施例中,认iiE^块2专门通过通信终端1中的程序 软件模块来实现。与图8所示的实施例相比,在才艮据图9的实施例中,在 步骤S47中,显示模块27在显示器11上显示步骤S44中生成的服务器认 证码。此外,在步骤S48中,通过与服务器认ii^块28的月1务器认糾 比较,用户#验显示器11上来自服务器4的服务器认证码,从而对服 务器4进^i人证。至此所建议的认g块2可用来对单一机构(使用单一个人识别码) 来认证用户。在另一实施例中,认iit^块2被配置用于多个机构,即用于 对多个机构的服务器认证用户。用于实现多^认M块的优选方法是用 特定于机构的主密钥MK_I组来代替主密钥MK,以及用特定于机构的令牌 密钥K_ (IT)组来代替令牌密钥K_T,其中K_ (IT)指认证模块与机构I共享 的令牌密钥。每个服务器4与特定机构相关联,且使用特定于机构的令牌 密钥来生成认证基础号。与单一^设置类似,令牌密钥K_ {IT}可根据下 式动态生成K_{IT}=E_{MK_I} (SN一T)这个密钥然后用来为认证基础号和交易认证号生成特定机构值N-{IT}= E-汰-(IT" (hash),和TAN=f (N_{IT},PIN_{IU})。作为结果的TAN然后可被用户用来认证(服务器4的)机构I。个人 识别码PIN—UU)不仅是特定用户的,而且是特定机构的。因此,通过已存 储包括多个特定于机构的令牌密钥的令牌密钥集或者已存储多个特定于 机构的令牌标识符的令牌标识符集和用于动态生成特定于机构的令牌密 钥的主密钥组,多^认M块与多个特定于机构的令牌密钥相关联。选 择模块29被设计为使用户分别选择多个可能机构范围中之一来用于认证 模块2或者认证令牌设备20。针对用户选择的机构范围,认证模块2使用 一个相应的特定于机构的令牌密钥来生成认证基础号。例如选择模块29 在显示器22或11上给用户呈现所支持的机构列表,且通过数据输入装置 23或12来接收用户选择。在替选实施例中,将数据输入装置23或12的 特定密钥分配给特定机构。在认证模块2未安全持有多个K_ {IT}而只支持一个的另一实施例中, 加入在线全部发行机构(AS)。这增加了机构组成为i人iit^块2的发行组的 一部分的灵活性。认证模块2创建现时R-T。用户必须从认证模块2的显 示中拷贝两个值,即代替SN-T,生成TAN—AS且需要在用户认证阶段期间 当SSL/TLS会话成功建立《,后被输入TAN-I-f(R-T,PIN-U一I)TAN—AS=E_MK(R_T,Hash, ID_I),其中ID—I是短标识符串,如对"Institution XYZ"是"XYZ"。机构I关注两个值,对单独一个值不能做什么。机构I将TAN—AS转 发给发行机构AS并接收回复的R-T和Hash,假定AS和I之间的关系是经 相互i人证的和保密的。除非为犯罪目的,发行机构AS决不会看到TAN—I,因此发行机构AS 可确定PIN-U-I是没有风险的。然而,在该实施例中建议只选择之前讨论 的健壮加密hash函数f。类似地,此方法防止机构I一l...I-n试图知道彼此用户的PIN。此实施例大大简化了新机构的增加。基本上,附加的ID_I-n串可被 简单地加到认M块2。如果认ii^块2充满了假的ID-I串,这成为可用 性问题但不真的破坏所建议方法的安全性。在实施例中,认ii^块2或认证令牌设备20,分别被用来补充一次口 令(OTP)系统(例如Lamport式的OTP (Lamport,L. "Password Authentication with Insecure Communication" ,ACM通信,巻24, 1981, 第770—772页)或安全ID令牌(http: 〃www. rsasecurity. com/))。在这 种情况下,用户采用OTP作为步骤S15的PRF或者f的输入(代替PIN-U )。 OTP通常包括PIN_U。任何其它的都保持基本上不变。作为协议中的小修" 改,这允许使用已在使用的双因数安全元素的软件变量,如RSA的SecurID。在另一实施例中,在认证令牌设备20激活前加入生物测定认证步骤。 这意味着令牌在单独的过程中私人化,而且如果生物测定匹配,该令牌才 开始服务该令牌的至少"临时"所有者。在另 一实施例中,如果用户的生物测定特性B-U不用来如前所述输入 PIN-U,则生物测定数据被包含在认证基础号N_T的计算中。同样,该实 施例中的服务器紧邻PIN-U存储B_U,因此认iit^块2就本身而言保持完 全可转移。N_T,,=E_仅一T) (hash, B一U)必须指出图4、 5、 6、 7、 8和9中所示不同步骤的顺序是可行的,没 有偏离本发明的范围。用于改变个人识别码的实施例从最终用户教育的观点,有个简单的行为准则是重要的。对所描述的 所有实施例,这当然是"决不要把你当前的或新的个人识别码输入到网页浏览器!"对于包括附加硬件的实施例,比如如图5用于输入个人识别码 的模块,该准则甚至是"决不JH吏用你的主键盘将PIN输入到屏幕!"。 然而优选地,对于用户必须使其有可能周期性地、主动地改变他的个人识 别码PIN-U。例如,为了改变个人识别码PIN-U,另一安全会话被建立,基本上执 行如上所i^目同的步骤。具体地,如图4、 5或7所示,在步骤Sl到S10 之后,在步骤Sll中生成认证基础号N—T。在步骤S14或步骤S21中分别响应涉及改变个人识别码PIN-U的用户 或服务器指令,旧的个人识别码PINold—U和新的个人识别码PINnew-U分 别在通信终端l、认证令牌设备20或者认M块2从用户接收。优选地, 为避免输入错误,新的个人识别码PINnew-U通过两次输入来确认。分别在步骤S15或S22中,不是生成交易认证号TAN,而是生成识别 改变码(PCC)。基本上,用于计算PCC的PRF必须使个人识别码可恢复。 例如异或(XOR)函数具有这个特性。然后针对适当选择的函数f。, PCC由PCC- f。 (N-T, PINold-U, PINnew—U)计算。例如,如果f代表按位的模10加法,f。可定义为f。 (N隱T, PINold画U, PINnew—U)=f(f(N_T, PINold-U) , PINnew—U)。例如,如果N—T-123, PINold_U=345,以及PINnew-U=781,则f(N一T, PINold-U) =468且f(f(N隱T, PINold一U), PINnew_U)=149。接着,在步骤S16、 S23、 S24中,识别改变码(PCC),而不是交易认证 号TAN被传送给服务器4。如上所述执行步骤S17和S18。因此在步骤S19 和S20中,当确保(通过lHiEPINold-U)真的是合法用户更改了个人识别 码PIN-U,而不是例如利用未锁定终端(其中正在进行的^"未被合法用户 注意)的某人更改时,服务器4不是發遮交易认证号TAN,而是从用户提 交的PCC中导出PINnew-U。在针对f。给出的示例中,给出了对盲置换攻击 没有防护会导致业务拒绝。然而,在当前主要的会话建立协议(SSL/TLS) 的上下文中,补充才艮文完整性保护将防止这种攻击。在另 一实施例中,改变个人识别码PIN-U用三个安全会话建立来实现。第一,用户必须重新提供PINold—U;第二,用户给出PINnew-U;第 三,用户再次给出PINnew—U以避免输入4^。如果PIN更改AJ!良务器发起的,为了用信号通知这个协议的状态,服务器可以通告假的"DistinguishedName certificate画authorities",如 "http: 〃www. rfc. net/rfc2246. html#s7. 4. 4"——针对这三个步骤中的 每个的另一权威所描述的.类似地,令牌需要有四个不同证书,即一个用 于常规认证,三个用于该实施例。可替选地,当计算认证^5*号N-T时,认证令牌设备20或者认iiE^ 块2分别包括步骤标识符。因此,分别在认证令牌设备20或认it^块2 上需要的不同证书的数量可以被减少。如果个人识别码的改变是客户端发起的,则服务器应至少提供两个 CA, 一个用于常规认证, 一个用于改变个人识别码的步骤l。具有无加密认^块的实施例在另一实施例中,认证令牌设备20或者认ii^块2都不必为加密配置。在本实施例中,认证基础号N-T通过加密hash函数比如HMAC使用令 牌密钥K-T作为密钥来计算,这以很少量的计算开销提供了同样的安全性。 在本实施例中同样需要共享密钥和安全存储器。例如,如在步骤S15上下 文中描述的子实施例所描述的,加密hash(CH)可用来代替步骤Sll中使用 的加密N—T=CH-仅陽T) (hash)。 它还适用于如在步骤S41或S44中的加密用法。具有替代的交易认证号(TAN)的实施例在本实施例中,在步骤S4后,以先前在步骤S14或S21上下文中所 描述的方式(图4)输入个人识别码PIN-U。随后,键控加密摘^Hi,比 如加密hash,从个人识别码和在通信终端和服务器4之间交换的安全M 建立协议报文生成。对于协议流,但不是为安全目的,在此步骤还包括序 列号SN-T可能会有用。利用键控加密摘要函数,例如将与服务器4共享 的密钥用作(hash)密钥的所谓的"键控hash函数",来生成键控加密摘要 值。依赖于本实施例,用作(hash)密钥的是令牌密钥K-T、个人识别码PIN-U 或者作为在安全会话建立协议中建立会话的基础的预主密钥。具体地,如 果个人识别码PIN-U是适当选择的密钥,则个人识别码PIN_U可用作(hash)密钥。因此,认证令牌设备20从具有其自己的令牌密钥K_T或私有签名 密钥k-1或两者中解除,使得认证模块2或认证令牌设备20分别只是"受 托观察者"。服务器4将立即检测任何应用级指令,比如"送大量的钱给 xyz人"是否来自经认证的SSL^内。例如,在步骤S5中,通信终端1从其与服务器4交换的安全会话建 立协议报文生成的数据集(hash),以及个人识别码PIN-U分别被传递结4人 证模块2或认证令牌设备20。在步骤S6中,证书模块25从数据集(hash) 和个人识别码PIN-U生成加密hash。在步骤S6中生成电子签名是可选的。 在步骤S7中,(带或不带电子签名的)加密hash被传递给通信终端1。在 该子实施例中,PIN-U也可以在步骤S6中只由用户直接输入到认证令牌设 备20中。可替选地,在步骤S4中从个人识别码PIN-U以及从通信终端1和服 务器4之间交换的安全会话建立协议报文生成加密hash。因此,由于所有 必要的步骤在步骤S4中被执行而省略步骤S5到S7。在步骤S8中,通信终端1对在步骤S3中接收的证书请求准备响应, 例如根据SSL/TLS的"Certif icateVerify"报文,包括分别在步骤S6或 S4中生成的加密hash,以及由用户确i^的或新输入的用户标识符ID一U。在步骤S10中,服务器4使用存储在服务器4中的用户的个人识别码, 来生成加密hash,并且基于在服务器4中生成的加密hash和在步骤S9中 从通信终端1接收的加密hash的比较来4HE用户的真实性。例如,如果 验证结果是肯定的,通信终端l可以访问服务器4。因此,加密hash作为 用于上述交易认证号TAN的可替选的数据元素被生成、交换和验汪。如果服务器4针对用户已被认证,则服务器4继续步骤S41。然而, 在进一步的子实施例中,服务器认证码A_T在步骤S4-S6之后立即显示。具有外部询问/响应i殳备的实施例在本优选实施例中,如图7和10所示,认M块2专门用通信终端1 中的程序软件模块来实现。步骤S1、 S2、 S3、 S4、 S6、 S8、 S9、 S10和S11 基本上如上面参考图4所述的来执行。作为步骤S11的一部分,在显示器 11上显示认证基础号N_T。在子实施例中,认iiE^块2仅充当受托观察者, 认证基础号(N-T",)被生成为数据集的短派生数(例如6或8位数字),该 数据集从协议报文,例如从常规CertificateVerify报文生成。基本上,认证基础号N-T可以是不能被MITM以可利用方式来确定的任何其它M 相关的标识符,例如会话密钥的短摘要和服务器公钥可能是计算认证^ftfe 号N-T作为安全会话标识符来抗MITM攻击的另一方式。"Finished"报文 或者加密的"Finished"报文,或者外部可观察到的握手报文的整个序列 的hash是构成该^相关标识符(分别为N_T或N_T,")的其它候选,下 面更详细地描述。因此,在本实施例中,利用令牌密钥K-T来构造N—T是 可选的。类似地,私有签名密钥k-l同也可以是可选的。随后,如图10所示,在步骤S51中,用户将认证絲号N-T (作为客 户侧生成的询问)和他的个人识别码PIN-U (例如作为码或生物测定lt据) 输入到未连接到通信终端1的传统C/R令牌设备5中。在步骤S52中,响 应步骤S51中输入的值,C/R令牌设备5基于其自身逻辑生成并显示令牌 响应值。在步骤S53中,代替步骤S14和S15,用户将来自C/R令牌^:备 5的令牌响应值作为交易认证号输入到通信终端1中。在步骤S54中,为响应在步骤S12中接收的请求,通信终端l将先前 作为交易认证号TAN输入的令牌响应值传送给服务器4。基本上,服务器4分别如上面参考图4或7所述来执行步骤S17到S20; 然而,对应于C/R令牌设备5的逻辑,服务器4生成并JIHE令牌响应值来 作为交易认证号TAN。如果交易认证号,即令牌响应值的IHE结果是肯定 的,则通信终端1可以访问服务器4,或者,在实施例中,服务器4分别 如图8或9所示继续步骤S41。例如,C/R令牌设备5基于在数百万银行和信用卡上流通着的EMV芯 片 (Europay International, MasterCard International 和 Visa International)(见http: 〃爾.emvco. com)。由EMV芯片生成的某些令 牌响应值不包括个人识别码PIN_U。作为每个MasterCard芯片认证程序 (CAP)的卡ICC与月良务器(发行者)共享密钥,该密钥具有与先前K_T类 似的角色。在正确输入个人识别码PIN-U和询问(认证基础号N-T)后, 将会创建除其它以外(比如CVV)还包含询问以及正确个人识别码PIN-U 已被呈现的权威确认的密码(通常用3DES)。典型地,未被连接的带数字 键区的阅读器用来输入i人证基缺号N_T和个人识别码PIN_U,并且令牌响 应值显示在未被连接的阅读器的显示器上。在认证基础号N-T,"被缩短到4 或6位数字的情况下,例如,MITM能与客户端在终端上建立第二欺诈^" 的可能性明显增大,因为该客户端的短翁:据集(hash)决定的对认证基础号 N-T,,,的输入与在服务器和MITM之间打开的主欺诈会话有冲突。MITM多半可以离线!Hi是否发现冲突,没有任何一方注意到该无冲突的推测。为了防止这样的攻击,"缩短"算法绝不能是简单hash算法或对MITM完全了 解的单向摘要函数,而是需要有进一步的特性。基本上,当使用C/R设备 5时,要求离线推测"会话知晓(session awareness )" 对于MITM是没 有吸引力的,如同要求离线推测个人识别码PIN-U对于任何其它类型的攻 击缺乏吸引力一样。这意味着在缩短的hash中找沖突必须不再是离线可 發汪的,而应该需要与在线权威,即限制推测数量的服务器交互。C/R令 牌i殳备5的对称密钥(具有比用户可预期的更高平均信息量,来记为密码) 用来通过加密对MITM隐藏伪随M择器。逸基本上强迫MITM在全部36 字节长的hash (数据集)上找冲突,这几乎不可行的。因此,在实施例中,作为步骤S11的一部分,在客户侧,i人ii^漠块2, 例如作为客户端应用的一部分(例如浏览器),生成短随机数,如4位数 字,后面称为"随机选取数字"。该随机数用来从协议报文,例如从TLS 握手的"CertificateVerify"或"Finished"报文的36字节hash,生成 的数据集中选择任意比特,例如该任意比特表示另一4位数字。随后,例 如,后4位数字和"随M取数字"作为8位数字的缩短的认证基础号N_T", 在显示器ll上显示给用户。在步骤S51中,如上参考图10所述,用户将 这个认证基础号N-T",(作为客户侧生成的询问)和他的个人识别码PIN-U 输入到C/R令牌设备5中。步骤S52到S54与如上面图10的上下文中所 述的保持相同。由于所述"随机选取数字,,对MITM是未知的,C/R令牌设备5上的算 法是适合的,其使得"随机选择数字"以加密形式发送到服务器4。这意 味着由C/R令牌设备5生成的作为交易认证号的令牌响应值包括加密形式 的"随机选取数字"。因此,服务器4被配置为从其所接收的响应恢复"随 机选取数字"。例如,利用3DES(或另一个具有例如64比特块长的加密系 统),响应是64比特。例如,对于响应,允许32个字符的包括文字和数 字的字符集,因此响应将为13个字符长。因此,用户必须从C/R令牌i殳 备5拷贝13个包括文字和数字的字符到客户端应用,例如浏览器表单域 中。从可用性的立场,根据用户常规输入19位信用卡号码(包括CVV), 输入用于询问的8位数字,加上用于响应的13个字符被认为是可接受的。 这个方法的安全性相对于询问和响应的长度而增加或者减小。在服务器侧,步骤S18被改变成利用令牌密钥K-T来解密"随机选取数字",然后用来从数据集(hash)选取缩短的输入以计算缩短的认证基 础号N-T,"。任何其他的保持与以前一样。作为另一实施例,除由用户输入键盘之外,通过例如与 http: 〃axsionics. ch上描述的图形闪烁的其他方法将认证基础号N-T输 入设备。重要的增强是闪烁-询问,通常完全由服务器创建,需要通过一 些客户侧生成的安全会话标识符来修正。由于这种闪烁方法的实现优选具 有某个客户侧的有效部件,比如浏览器(java)插件、Flash或者javascript, 在某些实施例中,这可以用来获取例如服务器公钥和会话密钥摘要或其它 类型的安全会话标识符,且将其包括到闪烁图像生成,即相关协议的询问 中。优选对该有效部件进行签名,因为否则MITM容易侵入其更改版本, 从而可能会呈现MITM的认证基础号N_T,而不是真正在客户端通信终端1 中建立的认证基础号N_T。在另一子实施例中("在握手期间无客户端证书认证"),通信终端1 的客户端应用软件模块,例如浏览器,设置有认证号生成器26,其配置为 通过只读访问安全会话建立协议栈或者甚至通过作为"外来者"能够嗅探 /捕获协议报文,来计算认证基础号N-T"作为安全会话标识符,抵抗MITM 攻击。这样,在该子实施例中,不需要执行客户端证书认证,例如,不需 要执行用于单向安全会洽的步骤S3-S10,并且不再需J^牌设备驱动器比 如MS-CAP I或PKCSll。在步骤Sll中,上述认证号生成器26被配置来计算认证基础号N_Tiv 作为安全会话标识符,抵抗MITM攻击,概述如下a) 基于数据集(hash)生成认证基础号N_Tiv,该数据集基于在通信终端 1和服务器4之间交换的安全会话建立协议报文,所述报文不会被 MITM知道(例如,由于在被加密作为输入前具有预主密钥);或b) 认证基础号N—r从已知的输入数据和密钥生成,虽然在本实施例中, 应该避免在客户端应用中需J^牌密钥K-T;或c) 认证基础号N—r基于MITM也全部知道的输入数据生成,但是通过 它们到安全会话建立协议的逻辑连接,确保了对MITM的抵抗。在本 实施例中,使用服务器的公钥和确保新鲜度的东西(现时或时间戳) 就足够了。例如,加密的预主密钥的hash,即MITM可观察到的才艮 文,可以作为这样的现时。此时,重要的是,C/R令牌设备的逻辑确保,通过掌握询问和观察响应,MITM不能(离线)设置PIN推 测攻击。例如,认证号生成器26被配置为在客户端应用显示该抗MITM的安全 ^人证基础号N_Tiv (询问)。例如,当用户在定义区域上,例如在浏览器中 显示的锁上移动鼠标指针时,i^证号生成器26佳:询问在该定义区域内例 如在浏览器右下方对用户可见。如上所述,用户将认证基础号N_Tiv (作为询问)和他的个人识别码 PIN-U输入到C/R令牌设备,方法按如上所述的进行。在客户侧没有密钥只有现时的实施例如Request for Comments 2246中所描述的,任意响应而不是PKCS1 编码签名有可能使CertificateVerify报文结构过栽。这有可能使令牌不 再需^4^牌密码K_T。在本实施例中,与上述"具有可替选交易认证号(TAN) 的实施例"相似,在步骤S6中,认证模块2或认证令牌设备20通过利用 公钥k-S(现时,为"一次性使用的数")来加密hash (数据集)、个人识 别码PIN-U和附加的一个或两个真实的随M时N-Tt(和N-Ta)来分别生 成密码。公钥k_S必须依次分别预安W认证模块2或认证令牌设备20 上,以防止MITM欺骗系统使用他自己的密钥k-MITM。在多机构情况下, 公钥k_S属于服务器4或认证服务器AS (认证服务器与公钥k_AS关联)。 可选地,所述密码的输入值在用公钥k一(A)S加密前,用密钥k-l签名。 类似地,作为S15的每个子实施例,在加密前可应用加密hash函数(HMAC)。在步骤S7-S9中,并非如大部分"安全会话建立协议"所需要的传送 "电子签名",而是将所述这个密码作为非结构化的数据传送,没有协议 规范强加的任何限制。在其他协议部分也在认证令牌设备20上而不在通 信终端l的客户端应用中执行的实施方式中,例如生成会话密钥,其它协 i义才艮文比如"ClientKeyExchange"才艮文可用来传送密码。在步骤S10中,服务器4解密该密码。这会向服务器提供现时N-Tt、 个人识别码PIN-U以及可能的现时N_Ta。现时N-Tt是个"丟弃"现时, 作为调味加入来防止pin推测攻击。在步骤Sl 0中,服务器4还生成如在步骤S4上下文中所描述的"hash"。步骤S11-S17是不需要的。在步骤S18-S20中,认ii^块40不再生成认证^ftll号N_T和交易认 证号TAN,而是仅仅比较hash和在步骤S10中解密的PIN_U。从所述密码 导出的hash与服务器4中生成的hash相比较,并且个人识别码PIN-U与 存储在数据库41中的个人识别码相比较。如果加密hash函数在S6中使 用,在比较前这些值首先也需要在服务器侧进行加密hash运算。所有其 它的保持相等。这样所述密码或加密hash作为用于上述交易认证号TAN 的可替选数据元素分别生成、交换和發汪。如果服务器4还对用户认证服务器4,服务器仅仅向用户显示从所述 密码解密的现时N-Ta,来代替步骤S41到S43的计算。步骤S44-S46的比 较保持不变;计算是不需要的,仅在显示器22上简单地显示现时N-Ta。作为本实施例的补充,还可实现改变个人识别码PIN-U的协议。新的 个人识别码PIN—U仅是S6中的密码的另一输入。尽管事实上安全会话建立协议标准没有针对其协议字段规定固定字 段长度, 一些客户端应用实现可以严格地限制所分配的例如用于 "CertificateVerify"报文的内存。在这种情况下,需要关注空间优化 7>钥密码系统,比如椭圆曲线密码系统。本实施例还有一子实施例,其中个人识别码PIN-U由用户计算。为此, 在步骤S6中,个人识别码PIN-U被省略。如步骤S31所述将现时N—Tt显 示给用户。如步骤S32所述计算交易认证号TAN。用于从上述认证基础号 N-T和个人识别号PIN-U生成交易认证号TAN的其它变量可被类似地应用 到认证^fife号N-T.具有短(可能单独使用的)密钥的具体实施例码(或密钥)表如印痕迹列表(scratch-list)或索引的印痕列表(如 "iTAN"、"索引的印痕列表"、"访问卡")被金融机构广泛使用,但它们 易受中间人的攻击。上面的"在客户端没有密钥只有现时的实施例"可被 扩展以实现"双因素"认证级别步骤S6a(在图4、 5、 6和7中被表示为步骤S6):如果访问卡有比如100个条目,即典型的4-6个数字字符(K-SSU)的短"密钥",则在步 骤S4中生成的数据集(先前握手才艮文的hash)被压缩直到它可以作为访 问卡的密钥表上的查找索引。在步骤S6b (在图4、 5、 6和7中^示为步骤S6)中,被压缩的值 (典型的2字符长)(例如被iUit^块2或认证令牌设备20)作为索引显示。有可替选的方法将查找索引传递给客户端应用程序。例如,上述 "DistinguishedName certificate—authorities"歹'J表作为"隐藏信道,,可表示让认^块2或认证令牌模块20分别知道步骤S6b中显示什么索引的另一方法。在步骤S6c(在图4、 5、 6和7中被表示为步骤S6)中,除了先前在 步骤S6中输入的值之外,还输入通过会话导出的查找索引来查找的密钥 K_SSU。由于现时N-Tt的高度随机性,密钥K—SSU可用几次。如果客户端 应用不允许在安全会话建立协议报文(具体是CertificateVerify报文) 中传输超出正常报文长度的密码,还有另一基于"没有交易认证号(TAN) 的实施例"的实施例,以上内&逸过下面步骤扩展步骤S6a如上所述保持不变。因为现时N—Tt的随机性不可用,这样 的密钥K-SSU只能用 一次。在步骤S6b,(代替步骤S6b)中,服务器4记 录迄今为止使用的所有查找。如果有冲突,服务器4触发重新握手,其被 重复直到到达一个未使用的索引。在这种情况下,"DistinguishedName certificate—authorities"方法可能更有效。在某一4吏用级别之后,新 访问卡被带外分发。在步骤S6c,(代替步骤S6c)中,在没有现时的情况下生成加密hash, 并且使用密钥K-SSU来代替密钥K-T。然后,随后的步骤保持不变直到步 骤S15。在步骤S15中,因为密钥K-SSU是短的,因此重要的是加密hash 函fcl这样的有效加密hash N_SSU=CH_ {K—SSU} (hash, PIN-U)不能仅仅 由一对个人识别码PIN-U和密钥K-SSU获得,而是被很多对个人识别码 PIN-U和密钥K-SSU获得,直到个人识别码PIN-U和密钥K-SSU两者的组 合"密钥空间"的尺寸。通过这个,攻击者在推测攻击中将不会知道他是 否已发现正确的个人识别码PIN_U,而不得不总是向服务器4给出加密 hash N_SSU来验汪其推测。还因为hash典型地是40字节长,推测字典 (guessing dictionaries)需比这个组合的密钥长很多,另外将会话绑 定到认证,这里hash作为"调味"。如果该密钥空间有足够的平均信息量,使得推测攻击占用比典型的服务器侧登陆超时时间更长,那么这可以作为 一个低端解决方案。为防止对个人识别码PIN-U的密钥记录攻击,将个人识别码PIN-U和 密钥K—SSU的组合输入终端,来代替单独地将其输入终端。类似地,密钥K-SSU可用于上逸基于交易i^证号TAN的主要的和其它 的实施例。
权利要求
1.一种对使用通信终端通过电信网访问服务器的用户进行认证的方法,所述方法包括从所述用户接收个人识别码;从所述通信终端和所述服务器之间交换的安全会话建立协议报文生成数据集;使用所述个人识别码,基于所述数据集生成交易认证号;将所述交易认证号从所述通信终端传送到所述服务器;以及在所述服务器中基于与所述通信终端交换的所述安全会话建立协议报文验证所述交易认证号。
2. 根据权利要求1所述的方法,其中所述方法还包括,在与所述通 信终端关联的认ii^块中,从所述数据集生成认证基础号;其中使用所述 个人识别码,从所述认证基础号生成所述交易认证号;其中所述方法还包 括,在所述服务器中,从被交换的所述安全会话建立协议报文生成认证基 础号;其中所述交易认证号在所述服务器中使用在所iii艮务器中生成的所 述认证J^号来IHE。
3. 根据权利要求2所述的方法,其中所述方法还包括,将所述认证 基础号和所述个人识别码输入到未连接到所述通信终端的询问/响应令牌 设备;其中在所述询问/响应令牌设备中,基于所述认证基础号和所述个 人识别码生成所述交易认证号作为令牌响应值;其中所述方法还包括,在 将所述交易认证号传送给所述服务器之前,将所述交易认证号输入进所述 通信终端。
4. 根据权利要求2或3所述的方法,其中从所述数据集生成所述认 证基础号包括生成随机数,从所述数据集选#^选数字,所述数字由所述 随机数的位数确定,以及根据所述被选数字和所述随机数的位数构成所述
5. 根据权利要求1所述的方法,其中在与所述通信终端关联的认证 模块中,利用与所述服务器共享的密钥作为密钥,从所述个人识别码以及 在所述通信终端和所述服务器之间交换的所述安全会话建立协议报文生 成所述交易认证号作为键控加密摘要值;其中所述方法还包括,使用存储 在所述服务器中的个人识别码在所服务器中生成键控加密摘要值;其中所述交易认证号在所述服务器中基于从所述通信终端接收的所述键控加密摘JHi和所述服务器中生成的所述键控加密摘*1的比较来mt。
6. 根据权利要求5所述的方法,将所述个人识别码以及与所述认证模块关联的令牌密钥中之一用作所述密钥。
7. 根据权利要求5所述的方法,其中所述方法还包括,从所述数据集生成查找索引;其中所述方法还包括使用所述查找索引在码表中确定被 选码;其中所述被选码用作所述密钥;以及其中所述服务器将来自存储在 所i^i艮务器中的码表的被选码用作所述密钥,生成所述键控加密摘要值。
8. 根据权利要求7所述的方法,其中所述服务器记录所述通信终端 使用的被选码;以及其中对于所述服务器确定被选码先前已被所述通信终 端使用的情形,所述服务器重新发起与所述通信终端的会活建立。
9. 根据权利要求1所述的方法,其中通过使用公钥加密所述数据集、 所述个人识别码和至少一个现时,在与所述通信终端关联的认iJE^块中生 成所述交易认证号作为密码;其中所述方法还包括,在所^J3艮务器中通过 使用私钥解密所述密码来确定所接收的数据集和所接收的个人识别码;以 及其中,基于所接收的数据集与在所述服务器中从所交换的所述安全M 建立协议报文生成的数据集的比较、以及基于所接收的个人识别码与存储 在所述服务器中的个人识别码的比较,在所述服务器中验证所述交易认证 号。
10. 根据权利要求9所述的方法,其中所述方法还包括,从所述数据 集生成查找索引,JW吏用所述查找索引在码表中确定被选码;其中所述被 选码用来生成所述密码;其中所述服务器使用所述私钥,从所述密码确定 所接收的被选码;以及其中發汪所述交易认证号包括将所接收的被选码和 由所述服务器从其存储的码表中确定的被选码进行比较。
11. 根据权利要求10所述的方法,其中所述服务器记录所述通信终 端使用的被选码;以及其中对于所^i艮务器确定被选码先前已被所述通信 终端使用的情形,所述服务器重新^与所述通信终端的会话建立。
12. 根据权利要求1所述的方法,其中所述交易认证号和用户标识符 从所述通信终端传送到所i^i艮务器;以及其中在所述服务器中使用分配给 所述用户标识符的所述个人识别码来验证所述交易认证号。
13. 根据权利要求12所述的方法,其中从所述用户接收所述个人识 别码以及生物测定标识符;以及其中在所述服务器中使用存储在所^i艮务器中的生物测定标识符来验汪所述交易认证号。
14. 根据权利要求1所述的方法,其中所述方法还包括,在与所述通 信终端关联的认ii^块中,使用与所述认证模块关联的密钥对中的私钥, 从所述数据集生成数字签名;将所述数字签名从所述通信终端传送到所述 服务器;以及在所述服务器中使用所述密钥对中的公钥来验证所述数字签 名。
15. 根据权利要求2所述的方法,其中在与所述通信终端关联的认证 模块中,使用与所述认M块关联的令牌密钥,从所述数据集生成所述认 证基础号;以及其中在服务器中,使用所述令牌密钥,从所交换的安全会 话建立协议报文生成所述认证基础号,
16. 根据权利要求15所述的方法,其中所述数据集通过将所述认证 模块连接到所述通信终端的设备接口 ,从所述通信终端传送到所述i^^ 块;以及其中所述令牌密钥存储在所述iUit^块中。
17. 根据权利要求16所述的方法,其中令牌标识符与所述交易认证 号一起从所i^it信终端传送到所述服务器;以及其中所述令牌密钥在所述 服务器中基于所述令牌标识符来确定。
18. 根据权利要求17所述的方法,其中主密钥存储在所述服务器中; 以及其中在所述服务器中,使用用于加密所述令牌标识符的所述主密钥从 所述令牌标识符生成所述令牌密钥。
19. 根据权利要求15所述的方法,其中所述用户为所述认M块选 择多个可能^J范围中的 一个;其中所述用户选择的所iMM^范围使所述 认证模块使用包括多个令牌密钥的令牌密钥集中的一个特定于机构的令 牌密钥来生成所述认证基础号;其中所述服务器与特定机构相关联,并使 用所述特定于机构的令牌密钥来生成所述认证基础号;以及其中所ilJJ艮务 器使用特定于机构的个人识别码来验证所述交易认证号。
20. 根据权利要求2所述的方法,其中所述认证基础号由与所述通信 终端关联的认ii^块来显示;以及其中在所述通信终端中从所述用户接收 所述交易认证号,所述交易认证号由所述用户从所述个人识别码和由所述 iUi^块显示的所述i人证基础号生成。
21. 根据权利要求1所述的方法,其中在所述服务器中成功验证所述 交易认证号后,在所述服务器中,对所述数据集应用公共函数并使用令牌 密钥来加密,而从所述数据集生成服务器认证码;其中所述服务器认证码从所述服务器传送到所述通信终端;其中从所述服务器接收的所述服务器 认证码被所述通信终端显示;其中在与所述通信终端关联的i人证模块中, 对所述数据集应用公共函数并使用所述令牌密钥加密,而从所述数据集生 成服务器认证码;以及其中在所述认证模块中生成的所述服务器认证码被 所述认ii^溪块显示,以便对所述通信终端显示的所述服务器认ii^进行可
22. —种计算机程序产品,包括用于控制通信终端的一个或多个处理 器的计算M序代码装置,^f吏得所述通信终端从用户接收个人识别码;从所述通信终端和服务器之间交换的安全会话建立协议报文生成数 据集;使用所述个人识别码,基于所述数据集生成交易认证号;以及 将所述交易认证号发送给所述服务器来 £。
23. 根据权利要求22所述的计算^^呈序产品,还包括用于控制所述 处理器使得所述通信终端从所述数据集生成认证基础号,以及使用所述个 人识别码从所述认证基础号生成所述交易认证号的计算;^序代码装置。
24. 根据权利要求23所述的计算机程序产品,还包括用于控制所述 处理器使得所述通信终端生成随机数,从所述数据集选#^选数字,以及 从所述被选数字和所述随机数的位数构成所述认证基础号的计算机程序 代码装置,所述被选数字由所述随机数的位数来确定。
25. 根据权利要求22所述的计算;^序产品,还包括用于控制所述 处理器使得所述通信终端将与所述服务器共享的密钥作为密钥,从所述个 人识别码和在所述通信终端与所述服务器之间交换的安全会话建立协议 报文生成所述交易认证号作为键控密码摘要值的计算机程序代码装置。
26. 根据权利要求25所述的计算;^序产品,还包括用于控制所述 处理器使得所述通信终端将所述个人识别码和令牌密钥中的一个用作所 述密钥的计算机程序代码装置。
27. 根据权利要求25所述的计算机程序产品,还包括用于控制所述 处理器使得所述通信终端从所述数据集生成查找索引,在码表中使用所述 查找索引确定被选码,以及将所述被选码用作所述密钥的计算M序代码 装置。
28. 根据权利要求22所述的计算;^序产品,还包括用于控制所述 处理器4吏得所述通信终端通过4吏用 〃>钥加密所述数据集、所述个人识别码 和至少一个现时来生成所述交易认证号作为密码的计算M序代码装置。
29. 根据权利要求28所述的计算^4呈序产品,还包括用于控制所述 处理器使得所述通信终端从所述数据集生成查找索引,在码表中使用所述 查找索引确定被选码,以及使用所述被选码生成所述密码的计算^^呈序代 码装置。
30. 根据权利要求22所述的计算;fc^呈序产品,还包括用于控制所述 处理器4吏得所述通信终端通过所述通信终端的传感器从所述用户接收生 物测定标识符,且所述通信终端将所述生物测定标识符用作所述个人识别 码的计算;l^序代码装置。
31. 根据权利要求23所述的计算;^序产品,还包括用于控制所述 处理器使得所述通信终端接收指令来选择多个可能机构范围中的一个,以 及使所述通信终端使用包括多个令牌密钥的令牌密钥集中的一个特定于 机构的令牌密钥来生成所述认证基础号的计算积4呈序代码装置。
32. 根据权利要求22所述的计算;t^呈序产品,还包括用于控制所述 处理器使得所述通信终端从所^艮务器接W艮务器认证码,使所述通信终 端对所述数据集应用公共函数并使用所述令牌密钥加密,而从所述数据集 生成服务器认证码,以及使所述通信终端基于由所述通信终端生成的所述 服务器认证码来!HiE从所述服务器接收的所述服务器认证码的计算机程 序代码装置。
33. —种计算机化服务器,配置为通过电信网与通信终端交换数据, 所^良务器包括用户iUi^夹,该用户认M块配置为从所述通信终端接收交易认证号,所述交易认证号基于从所述通信终 端的用户接收的个人识别码,以及基于从所述通信终端和所述服务器之间 交换的安全会话建立协议l艮文生成的数据集;以及基于与所述通信终端交换的所述安全会话建立协议报文来验证接收 的所述交易认证号。
34. 根据权利要求33所述的服务器,其中所述用户认证模块配置为 从所交换的所述安全会话建立协议报文生成认证基础号,并使用所生成的 所述认证基础号和所述个人识别码来mit接收的所述交易认证号。
35. 根据权利要求34所述的服务器,其中所述用户认iit^块配置为通过生成随机数,通过从所述数据集选##:选数字,所述数字由所述随机 数的位数确定,以及通it^所述被选数字和所述随机数的所述位数构成所 述i^证^ftb号,来生成所述i^证^^i号。
36. 根据权利要求33所述的服务器,其中所述用户认证模块配置为 使用存储在所述服务器中的个人识别码,且将与所述通信终端共享的密钥 用作密钥,从所述个人识别码和在所述通信终端与所述服务器之间交换的 所述安全会话建立协议报文生成交易认证号作为键控加密摘JHi;基于所 接收的所述交易认证号和在所述服务器中生成的所述键控加密摘要值的 比较来^接收的所述交易认证号。
37. 根据权利要求36所述的服务器,其中所述用户认^块配置为, 将与用户关联的所述个人识别码和令牌密钥中的一个用作所述密钥,来生 成所述键控加密摘要值。
38. 根据权利要求36所述的服务器,其中所述用户认^块配置为, 将来自存储在所i^i艮务器中的码表中的被选码用作所述密钥,来生成所述 键控加密摘要值。
39. 根据权利要求33所述的服务器,其中所述用户认iit^块配置为, 通过使用公钥加密所述数据集、所述个人识别码和至少一个现时,生成交 易认证号作为密码;通过使用私钥解密从所述通信终端接收的密码来确定 接收的数据集和接收的个人识别码;基于所接收的数据集与在所述服务器 中从所交换的安全会话建立协议报文生成的数据集的比较,以及基于所接 收的个人识别码与存储在所述服务器中的个人识别码的比较,来IHii接收 的所述交易认证号。
40. 根据权利要求39所述的服务器,其中所述用户认i^块配置为, 使用所述私钥,根据从所述通信终端接收的所述密码来确定所接收的被选 码;当^ii所述交易认证号时,将所接收的被选码与从存储在所述服务器 中的码表所确定的被选码进行比较。
41. 根据权利要求38或40所述的服务器,其中所述用户认M块配 置为,记录用于所述通信终端的被选码,并且,对于被选码先前已由所述 通信终端使用的情形,重新^与所述通信终端的会话建立。
42. 根据权利要求33所述的服务器,其中所述用户认ii^块配置为, 接收包括所述用户的生物测定标识符的个人识别码;以及使用存储在所述 服务器中的生物测定标识符来验证所述交易认证号。
43. 根据权利要求34所述的服务器,其中所述用户认^块配置为, 使用令牌密钥,从所交换的所述安全会话建立协议报文生成所述认证^ftfe 号。
44. 根据权利要求43所述的服务器,其中所述用户认证模块配置为, 从所述通信终端接收令牌标识符和所述交易i人证号,以及基于所述令牌标 识符确定所述令牌密钥。
45. 根据权利要求43所述的服务器,其中所ili艮务器还包括所存储 的主密钥,以及其中所述用户认iiE^块配置为,使用用于加密所述4^牌标 识符的主密钥,从所述令牌标识符生成所述令牌密钥。
46. 根据权利要求33所述的服务器,其中所述用户认ii^块配置为, 在成功j^iit所述交易认证号后,对所述数据集应用公共函数且4吏用所述令 牌密钥加密,而从所述数据集生成服务器认证码,并将所述服务器认证码 传送到所述通信终端。
47. —种由使用通信终端通过电信网访问服务器的用户改变个人识别 码的方法,所述方法包括从所述用户接收旧的个人识别码;从所迷用户接收新的个人识别码;从在所述通信终端和所述服务器之间交换的安全会话建立协议报文 生成lt据集;在与所述通信终端关联的iUi^块中,使用与所述认ii^块关联的令 牌密钥,从所述数据集生成认证基础号;从所述认证基础号、所述旧的个人识别码以及所述新的个人识别码生 成识别改变码;将所述识别改变码从所述通信终端传送到所iii艮务器;在所述服务器中,使用所述令牌密钥,从交换的所述安全会活建立协 i义才艮文生成认证基础号;以及在所述服务器中,使用所述旧的个人识别码和在所述服务器中生成的 所述认证基础号,从所述识别改变码导出所述新的个人识别码。
全文摘要
为了对使用通信终端(1)通过电信网来访问服务器(4)的用户进行认证,从用户接收个人识别码。从在通信终端(1)和服务器(4)之间交换的安全会话建立协议报文(S1,S2,S3)生成数据集(S4)。基于该数据集,利用个人识别码来生成交易认证号(S52)。交易认证号从通信终端(1)传送到服务器(4)。在服务器(4)中,基于与通信终端(1)交换的安全会话建立协议报文来验证所接收的交易认证号(S20)。交易认证号使会话知晓(session aware)的用户认证能够保护在线用户免遭实时的中间人攻击。
文档编号G06F1/00GK101278538SQ200680036941
公开日2008年10月1日 申请日期2006年10月5日 优先权日2005年10月5日
发明者拉尔夫·豪泽 申请人:普里瓦斯菲尔公司