[发明专利]基于时间和事件的一次性密码

说明书

本申请是申请日为2007年3月27日、申请号为200780021496.9、发明名称为“基于时间和事件的一次性密码”的发明专利申请的分案申请。

相关申请

本申请涉及2004年10月15日提交的美国临时专利申请60/618,600以及2005年10月17日提交的PCT申请PCT/US05/37113。

发明领域

本发明的领域是认证(authentication)，尤其是使用一次性密码的认证。

发明背景

用户可以利用保存了只与认证服务共享的秘密的令牌来被认证。该令牌根据共享秘密以及其他值来为每一次认证产生一次性密码(“OTP”)。当在认证服务上接收到OTP时，该服务计算至少一个预期OTP值，并且将其与接收到的OTP值相比较。如果它们匹配，则用户通过认证。否则用户未通过认证。

根据共享秘密以及随时间函数改变的值，可以自动并周期性地产生OTP。例如，在每一分钟都可以根据共享秘密以及与天的日期和时刻相应的值来自动产生新的OTP。认证服务根据共享秘密以及某个日期/时间值范围来计算一系列预期OTP，其中所述日期/时间值范围意味着包含了令牌上使用的日期/时间值。这会考虑在令牌时钟与服务时钟之间的、导致令牌与服务失去同步的任何漂移。如果服务计算的OTP之一与接收到的OTP匹配，那么用户通过认证。由于用以计算OTP的其中一个参数会随着时间改变，从而导致其很难猜测，因此安全性得到增强。

OTP可以根据共享秘密以及事件特性来计算。例如，事件特性可以是用户每次按下令牌上的按钮时递增的计数器值。认证服务根据共享秘密以及该计数器值来计算OTP范围，其中该计数器值始于令牌上的最后一个已知计数器值。这考虑了那些导致未被发送至服务的OTP的按钮按压(button-pushes)。如果在服务上计算的OTP之一与接收到的OTP相匹配，则用户通过认证。

已知了很多种用于产生OTP的算法，包括在RFC4226中规定的HOTP算法。下列符号可以在描述HOTP算法的过程中使用。

HOTP算法是以递增的计数器值以及仅仅为令牌和验证服务所知的静态对称密钥为基础的。为了创建HOTP值，我们将会使用如RFC2104中定义的HMAC-SHA-1算法。由于HMAC-SHA-1计算的输出是160比特，因此，我们必须将这个值截断成某个可以易于被用户输入的值。

HOTP(K,C)＝Truncate(HMAC-SHA-1(K,C))

其中“Truncate”代表可以将HMAC-SHA-1值转换成HOTP值的函数。密钥(K)、计数器(C)以及数据值首先可以是被散列的高阶字节。由HOTP生成器产生的HOTP值可以被视为大端字节序(bigendian)。

产生OTP可以分以下四个步骤来进行。

步骤1：产生HMAC-SHA-1值

假设HS＝HMAC-SHA-1(K,C)//HS是一个20字节字串

步骤2：产生一个4字节字串(动态截断)

假设Sbits＝DT(HS)//DT，如下定义的DT返回31比特字串

步骤3：计算HOTP值

假设Snum＝StToNum(Sbits)//将S转换成0…2^{32}-1中的数字

返回D＝Snummod10^Digit//D是范围0…10^{Digit}-1中的数字

截断函数可以执行步骤2和步骤3，也就是动态截断，然后，该函数可以执行以模10^Digit为的减法模数计算。这种动态偏移截断技术可以从160比特(20字节)的HMAC-SHA-1结果中提取4字节的动态二进制码。

DT(String)//String＝String[0]...String[19]

假设OffsetBits是String[19]的低阶4比特

Offset＝StToNum(OffsetBits)//0<＝OffSet<＝15

假设P＝String[OffSet]...String[OffSet+3]

返回P的最后32个比特。

屏蔽P的最高有效位，可以避免有符号和无符号的模数计算的冲突。不同的处理器可以采用不同方式来执行这些运算，此外，通过遮住有符号的比特，可以消除不确定性。