允许访问数据的制作方法

允许访问数据的制作方法
【技术领域】
[0001]—种允许访问数据的系统，并且尤其是用于允许访问存储在用户装置上的数据或者使用用户装置可访问的数据的系统。
【背景技术】
[0002]诸如移动电话、平板电脑、便携式计算机和台式计算机的用户装置越来越多地用于提供对安全数据的访问。这样的装置可以设置有安全元件，例如蜂窝装置(即电话或平板电脑)中的用户识别模块(SIM)，或者计算装置中的可信平台模块(TPM)。安全元件是防篡改的并且可以存储安全数据(其本身可以包括允许对另外的安全数据进行访问的证书)。在此情况下，重要的是确保对安全数据的访问被充分控制以防止未经授权的用户攻击系统和获得访问。
[0003]已针对移动装置提出许多安全特征。一个提出的方法是使用接近系统(proximitysystem)控制对安全数据的访问，诸如授权的US专利号8112066中描述的系统。在此，移动电话与蓝牙?装置配对。当移动电话和蓝牙?装置接近时，安全数据可访问。因此这样以相对方便的方式向用户提供了安全性。
[0004]期望增加装置上的数据的安全性，同时保持对用户的相对便利。

【发明内容】

[0005]根据至少一个实施方式，方法、设备、系统和软件被设置为支持或实施发送证书的功能。
[0006]这通过每个独立权利要求中陈述的特征的组合实现。因此，从属权利要求规定各个实施方式的更多详细的实施方式。
[0007]根据本发明的第一方面，提供用于允许访问安全数据的设备，该设备包括:第一模块，被布置为生成受限使用的验证码并且使得该验证码对用户可用；第二模块和第三模块，被布置为通信，借此允许检测接近第二模块的第三模块；以及第四模块，被布置为经由用户输入接收验证码；其中该设备被布置为根据第四模块接收到由第一模块生成的有效的验证码和第三模块接近第二模块允许访问安全数据。
[0008]除使用接近系统以防止在偷窃情况下访问安全数据之外，受限使用的验证码系统也用于允许访问安全数据。因为受限使用的验证码被作为用户输入提供，第四模块接收有效的受限使用的验证码指示存在本地用户。这进而指示装置不受未经批准的远程用户控制(未经批准的远程用户不能接收验证码并将该验证码作为用户输入提供)。因此，通过提供如上所述的设备，实施方式能够基于两个安全功能允许访问安全数据，第一，确定授权用户是否接近，并且第二，确定用户是该设备本地的。这增加了允许访问数据的安全性。
[0009]该验证码受限使用因为其在有效性上存在限制。例如，该验证码仅可以使用一次(之后其会变得无效)。可替换地或另外，该验证码可以对有限的持续时间有效。受限使用的验证码的一个实例是“一次性验证码”或0ΤΡ。使用生成的、受限使用的验证码的一个优点是减少重放攻击的机会，在重放攻击中验证码被存储并且然后在以后的时间由未经授权的一方使用。换言之，根据以上描述的实施方式，提供非可重复使用并且非可复制的验证码。
[0010]根据以上描述的实施方式，还提供相对于仅使用受限使用的验证码(没有接近)的系统的优点。假如验证码生成器装置被偷，则这样的系统(仅使用验证码)不能防止对安全数据的未经批准的访问。应注意，由于第一模块使得验证码对于用户可用，以经由用户输入传送验证码，所以防止验证码经由(例如)互联网被暗中偷走。
[0011]该设备可以被布置为通过在第二模块和第三模块之间传送种子值，使得种子值同时对第一模块和第四模块可用。第一模块可以被布置为使用种子值生成受限使用的验证码。第四模块可以被布置为使用种子值验证所接收的验证码。
[0012]在生成受限使用的验证码的系统中，种子值可以用作用于验证码生成的输入。这个种子值改变，从而确保验证码改变(并且因此具有受限使用)。对于这样起作用的系统，验证码生成器和验证码验证器两者(即第一模块和第四模块)需要同时对于它们可用的给定的种子值。通常种子值不能直接在第一模块和第四模块之间传送，因为这会使得该系统因两个模块(互相通信的)可以由远程用户访问而容易受到攻击。因此，在许多系统中，种子值是时基的；即种子值是当前时间的值，或来源于当前时间的值。
[0013]如果种子值是时基的，则第一模块和第四模块两者需要访问可信的时间源。在此，可信的时间源是不会改变的而可以信赖的。例如，由模块内部或连接至模块的安全时钟确定的时间是可信的，然而由用户输入提供的或者来自可以改变的时钟的时间不可信。信赖可以改变的时间源会允许重放攻击，其中，对一个模块可用的时间改变了。这会使得第四模块接受在过去生成的验证码，或者使得第一模块生成将来有效的验证码。
[0014]在某些情况下，第一模块和第四模块中的一者或两者不具有对可信的时间源的访问权。这是因为，由于制造因素，相关的模块不能配备有内部时钟。举例说明，相关模块可以是移动电话的用户识别模块(SIM)的部分或者智能卡的部分(即具有芯片的卡，诸如银行卡或身份证)。这样的装置通常不具有内部时钟，并且因此不能具有对可信的时间源的访问权。
[0015]有利地，通过提供如上所述的模块，接近检测模块(第二模块和第三模块)可以设置有二次用途(secondary use)-使用安全通信协议使得种子值能够对第一模块和第四模块两者同时可用。这意味着第一模块和第四模块两者不必须具有对可信的时间源的访问权。在一些实施方式中，使用时基种子值是根本没用的，因为一个模块可以随机生成种子值，并且另一个可以经由第二模块和第三模块接收相同的种子值，如上所述。通过去除对时钟的需要，该设备可以因此简化。
[0016]第一模块和第三模块可包括同步时钟。种子值可以通过第一模块和第三模块使用来自各时钟的时间的指示确定。可替换地，第一模块和第三模块可以通信连接，并且可以被布置为协作，借此生成并且具有同时可用的种子值。第二模块和第四模块也可以通信连接，并且第二模块可以被布置为将从第三模块接收的种子值提供至第四模块。
[0017]在上文中，第一模块和第三模块或者通过通信连接或者通过具有对同步时钟的访问权，而具有对相同的种子值的访问权。在后者的情况下，第一模块和第三模块可以在物理上分开。第三模块将种子值提供至第二模块，进而使得种子值对第四模块可用。因此，第四模块能够接收种子值，不需要与第一模块同步的时钟。
[0018]第三模块和第四模块可以通信连接，并且可以被布置为协作，借此生成并且具有同时可用的种子值。第一模块和第二模块也可以通信连接，并且第二模块可以被布置为将从第三模块接收的种子值提供至第一模块。在这个可替换的实施方式中，第三模块和第四模块是连接的，并且在它们之间生成种子值。因此种子值对第四模块可用。第三模块将种子值经由第二模块提供至第一模块。
[0019]第三模块和第四模块可以通信连接，并且第四模块可以被布置为将指示经由用户输入接收的验证码的数据提供至第三模块。第三模块可以被布置为将指示验证码的数据传送至第二模块。第一模块和第二模块可以通信连接。该设备可以被布置为确定由第一模块使对用户可用的生成的验证码是否在第四模块经由用户输入接收。在这个实施方式中，受限使用的验证码被返回，并且被使用接近检测模块针对最初生成的验证码验证。因此允许使用如上所述的两个因素允许访问，但是具有简单的系统的好处，其中不需要时钟和种子值。
[0020]第二模块和第三模块可以共享已被唯一地分配至其的秘密，以用于确定第三模块是否接近第二模块。第一模块和第四模块还可以共享已被唯一地分配至其的秘密，以用于生成并验证验证码。可替换地，第一模块、第二模块、第三模块和第四模块均可以共享已唯一地分配至其的秘密，以用于确定第三模块是否接近第二模块以及用于生成和验证验证码。
[0021]各个模块可以被唯一地分配秘密。不同的秘密可以被单独分配到两个模块对，即第二模块和第三模块，以及第一模块和第四模块；然而在一些情况下，相同的秘密可以被分配到所有四个模块。在此，唯一地分配秘密意味着秘密对任何外部系统不可用，例如对远程服务器不可用。相对地，秘密可以在制造期间被分配到、或内置到模块。这增加了系统的安全性，因为没有外部系统可被攻击以访问秘密。此外，如果模块本身被攻击，那么仅分配至其的秘密或几个秘密被攻击，则与不同的设备相关联的其他相似的模块不受影响。
[0022]第三模块可以被布置为生成安全信号，并且使安全信号被无线地传送。第二模块被布置为接收和验证所述安全信号，借此检测第三模块是否接近第二模块。第二模块和第三模块可以被布置为与无线通信设备协作，借此使信号被传送并且接收所述信号。共享秘密可以用于生成和验证安全信号。
[0023]第一模块可以布置为连接至用户界面，并且使得验证码经由用户界面对用户可用。第四模块可以被布置为连接至另一用户界面，并且接收由用户提供至另一用户界面的验证码。第一模块可以被布置为限制向用户界面提供验证码。第一模块可以连接至其他模块，例如以接收如上所述的种子值。然而，通过限制向用户界面提供验证码，该设备可以确保对系统的任何攻击不会得到对生成的验证码的访问权。换言之，第一模块将仅使得验证码通过用户界面可用。这样做的一个方法是确保第一模块包括安全元件，而且安全元件仅具有被布置为驱动用户界面的单个输出。
[0024]第一模块和第四模块可以不通信连接。通过不通信连接，验证码仅可经由用户在第一模块和第四模块之间传送，由此确保存在本地用户。
[0025]该设备可以包括:第一元件，包括第二模块和第四模块；第二元件，与第一元件不通信连接，包括第一模块；以及第三元件，物理地独立于第一元件，包括第三模块。第一元件可以被布置为允许访问安全数据。第二元件和第三元件可以物理连接。
[0026]该设备可以包括:第一元件，包括第四模块；第二元件，与第一元件不通信连接，包括第一模块和第二模块；以及第三元件，物理地独立于第二元件，包括第三模块。第一元件可以被布置为允许访问安全数据。第一模块可以被布置为根据第二模块检测第三模块接近第二模块，生成验证码。
[0027]该设备可以包括:第一元件，包括第二模块和第四模块；以及第二元件，物理地独立于第一元件，包括第一模块和第三模块。第一模块和第三模块可以布置在第二元件以内，以防止第三模块从第一模块接收生成的验证码。
[0028]该设备可以包括:第一元件，包括第三模块和第四模块；以及第二元件，物理地独立于第一元件，包括第一模块和第二模块。第一模块和第二模块可以布置在第二元件以内，以防止第二模块从第一模块接收生成的验证码。