專(zhuān)利名稱(chēng):用于提供一次性口令的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于為用戶(hù)設(shè)備提供一次性口令以用于其在服務(wù)器處登錄的方法和>J-U ρ α裝直�����。
背景技術(shù):
在許多應(yīng)用情況下,服務(wù)器通過(guò)不安全的數(shù)據(jù)網(wǎng)絡(luò)與服務(wù)器連接����。為了用戶(hù)設(shè)備或客戶(hù)端設(shè)備能夠以受保護(hù)的形式與服務(wù)器交換數(shù)據(jù),因此給用戶(hù)設(shè)備供應(yīng)相應(yīng)的安全憑證��。該安全憑證(其例如可以為口令或其他安全令牌)在許多情況下由中央組件���、例如業(yè)務(wù)供應(yīng)商的服務(wù)器生成���,并且接著被分發(fā)給用戶(hù)設(shè)備或這樣的用戶(hù)設(shè)備或業(yè)務(wù)的管理員。 在許多情況下�,使用所謂的一次性口令(OTP-One Time Password)。利用這樣的一次性口令0ΤΡ���,用戶(hù)設(shè)備或客戶(hù)端可以唯一一次地直接針對(duì)相應(yīng)業(yè)務(wù)在服務(wù)器處登錄���。為了未來(lái)的登錄,客戶(hù)端必須要么設(shè)置新口令�����、要么從服務(wù)器獲得安全令牌���、例如數(shù)字證書(shū)或所謂的Cookie��。此外可能的是����,使用例如預(yù)先在列表中發(fā)出的另--次性口令�����、例如TAN或散列串�。通常將隨機(jī)字符序列用作一次性口令。在生成一次性口令以后���,該一次性口令OTP被存儲(chǔ)在數(shù)據(jù)庫(kù)中�。如果用戶(hù)設(shè)備或客戶(hù)端在服務(wù)器處登錄�����,則該一次性口令(OTP)被表征為已使用或者從數(shù)據(jù)庫(kù)中刪除����。于是����,用戶(hù)設(shè)備不再能夠用該一次性口令在服務(wù)器處第二次登錄�����??商娲乜赡艿氖牵鶕?jù)特定的所確定的方法生成足夠量的一次性口令并且僅僅將已經(jīng)使用過(guò)的一次性口令存儲(chǔ)在數(shù)據(jù)庫(kù)中��。如果使用散列串�����,則例如僅僅將最近使用過(guò)的一次性口令OTP存儲(chǔ)在服務(wù)器中��。該一次性口令OTP通常被存儲(chǔ)在服務(wù)器側(cè)���,以便使得能夠在用戶(hù)設(shè)備在服務(wù)器處登錄時(shí)進(jìn)行比較��。
常規(guī)的一次性口令OTP的其他示例是例如在在線銀行業(yè)務(wù)中使用的所謂的交易號(hào)TAN和移動(dòng)交易號(hào)TAN���。
但是在常規(guī)的一次性口令OTP的情況下不能限制一次性口令OTP的使用或?qū)⑵渑c特定條件相關(guān)聯(lián)。但是這在許多情況下是所期望的�,例如當(dāng)用戶(hù)應(yīng)當(dāng)從特定設(shè)備在服務(wù)器處登錄時(shí)�,或者用戶(hù)設(shè)備在服務(wù)器處的登錄僅在特定時(shí)間允許進(jìn)行時(shí)���。發(fā)明內(nèi)容
因此,本發(fā)明的任務(wù)是提供一種用于為用戶(hù)設(shè)備提供一次性口令的方法�,該方法提供了將附加條件與一次性口令相關(guān)聯(lián)的可能性。
根據(jù)本發(fā)明��,該任務(wù)通過(guò)具有權(quán)利要求1中說(shuō)明的特征的方法來(lái)解決���。
本發(fā)明提供了一種用于為用戶(hù)設(shè)備提供一次性口令(OTP)的方法�����,所述一次性口令被設(shè)置用于用戶(hù)在服務(wù)器處登錄��,其中 服務(wù)器借助于密碼操作根據(jù)明確的使用標(biāo)識(shí)符生成所述一次性口令(OTP)并且將其傳輸給用戶(hù)設(shè)備�。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中���,明確的使用標(biāo)識(shí)符由用戶(hù)的用戶(hù)ID形成����。
在另一可能的實(shí)施方式中����,明確的使用標(biāo)識(shí)符由用戶(hù)設(shè)備的用戶(hù)設(shè)備ID來(lái)形成��。
在本發(fā)明方法的另一可能的實(shí)施方式中��,明確的使用標(biāo)識(shí)符由用戶(hù)的用戶(hù)ID以及用戶(hù)設(shè)備的用戶(hù)設(shè)備ID的組合形成�����。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中����,服務(wù)器通過(guò)計(jì)算明確的使用標(biāo)識(shí)符的密碼函數(shù)值來(lái)生成所述一次性口令�����。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中���,服務(wù)器借助于秘密的密碼密鑰來(lái)計(jì)算使用標(biāo)識(shí)符的密碼函數(shù)值作為一次性口令(OTP )��。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中����,服務(wù)器借助于預(yù)先給定的密碼函數(shù)�、尤其是散列函數(shù)來(lái)為秘密的密碼密鑰的唯一的使用標(biāo)識(shí)符計(jì)算密碼函數(shù)值作為一次性口令 (OTP)0
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中�����,服務(wù)器附加地根據(jù)時(shí)間戳來(lái)計(jì)算密碼函數(shù)值作為一次性口令(0ΤΡ )���。
在本發(fā)明方法的另一可能的實(shí)施方式中���,服務(wù)器附加地根據(jù)隨機(jī)數(shù)計(jì)算密碼函數(shù)值作為一次性口令(0ΤΡ )�。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中����,用戶(hù)設(shè)備存儲(chǔ)從服務(wù)器接收的一次性口令(OTP)并且在用戶(hù)設(shè)備在服務(wù)器處登錄時(shí)將該一次性口令(OTP)與使用標(biāo)識(shí)符一起傳輸。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中��,服務(wù)器在用戶(hù)設(shè)備在服務(wù)器處登錄時(shí)根據(jù)在一次性口令(OTP )中隱式地包含的使用標(biāo)識(shí)符驗(yàn)證用戶(hù)設(shè)備�。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中,服務(wù)器在將由其所生成的一次性口令 (OTP )傳輸給相應(yīng)的用戶(hù)設(shè)備以后刪除該生成的一次性口令(OTP )����。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中,所生成的一次性口令(OTP)與用戶(hù)設(shè)備一起被發(fā)送給用戶(hù)以用于該用戶(hù)的用戶(hù)設(shè)備在服務(wù)器處登錄����。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中���,所生成的一次性口令(OTP)由服務(wù)器通過(guò)數(shù)據(jù)網(wǎng)絡(luò)或者借助于 數(shù)據(jù)載體被發(fā)送給安放在用戶(hù)處的用戶(hù)設(shè)備以用于該用戶(hù)設(shè)備在服務(wù)器處登錄。
在本發(fā)明方法的一個(gè)可能的實(shí)施方式中����,由服務(wù)器生成的一次性口令(OTP)的有效性在預(yù)先給定的時(shí)長(zhǎng)以后失效。
另外���,本發(fā)明提供了一種用于為用戶(hù)設(shè)備提供一次性口令(OTP)的服務(wù)器��,所述一次性口令被設(shè)置用于用戶(hù)設(shè)備在服務(wù)器處登錄���,其中服務(wù)器借助于密碼操作根據(jù)明確的使用標(biāo)識(shí)符生成所述一次性口令(OTP )并且將其傳輸給用戶(hù)設(shè)備。
在本發(fā)明服務(wù)器的一個(gè)可能的實(shí)施方式中���,明確的使用標(biāo)識(shí)符由用戶(hù)的用戶(hù)ID 形成����。
在本發(fā)明服務(wù)器的一個(gè)可替代的實(shí)施方式中����,明確的使用標(biāo)識(shí)符由用戶(hù)設(shè)備的用戶(hù)設(shè)備ID形成。
在本發(fā)明服務(wù)器的一個(gè)可能的實(shí)施方式中,在用戶(hù)設(shè)備在服務(wù)器處登錄時(shí)用戶(hù)設(shè)備根據(jù)從服務(wù)器接收的一次性口令中隱式地包含的使用標(biāo)識(shí)符被驗(yàn)證�����。
接下來(lái)參考附圖來(lái)描述用于提供一次性口令(OTP)的本發(fā)明方法和本發(fā)明系統(tǒng)的可能的實(shí)施方式���。
圖1示出了用于說(shuō)明用于提供一次性口令的本發(fā)明方法和本發(fā)明服務(wù)器的信號(hào)流程圖���。
具體實(shí)施方式
從圖1中可以認(rèn)識(shí)到,用戶(hù)設(shè)備I和服務(wù)器2通過(guò)數(shù)據(jù)網(wǎng)絡(luò)通信并交換消息�。用戶(hù)設(shè)備I可以是任意的用戶(hù)設(shè)備����,其例如安放在用戶(hù)處、例如家庭中����。用戶(hù)設(shè)備I可以是移動(dòng)或固定安裝的用戶(hù)設(shè)備。數(shù)據(jù)網(wǎng)絡(luò)可以是無(wú)線或有線的數(shù)據(jù)網(wǎng)絡(luò)以及不同數(shù)據(jù)網(wǎng)絡(luò)的聯(lián)網(wǎng)�、例如因特網(wǎng)。
用戶(hù)設(shè)備I的示例是用于智能供電網(wǎng)羅的能量網(wǎng)關(guān)����。其他示例是醫(yī)療設(shè)備,所述醫(yī)療設(shè)備為了與相應(yīng)的業(yè)務(wù)服務(wù)器交換患者數(shù)據(jù)而被安放在患者的房間中��。其他可能的示例是火警報(bào)警器 或警報(bào)器,其向執(zhí)勤人員��、例如消防隊(duì)提供警報(bào)���。此外��,用戶(hù)設(shè)備I可以是通信設(shè)備�、例如付費(fèi)電視盒(Pay-TV-Box)�����,其使得用戶(hù)能夠從服務(wù)器2接收電影����。服務(wù)器2 例如可以位于業(yè)務(wù)供應(yīng)商或服務(wù)提供者處。服務(wù)提供者可以自己或根據(jù)委托制造使用設(shè)備 1���,并且將其供應(yīng)給可能的顧客�����?���?商娲兀脩?hù)設(shè)備I可以通過(guò)自由貿(mào)易購(gòu)得�。用戶(hù)設(shè)備I 可分別通過(guò)序列號(hào)等等被明確地標(biāo)識(shí)。此外���,每個(gè)顧客或用戶(hù)可以擁有明確的顧客號(hào)��。如果已經(jīng)從服務(wù)提供者或在自由貿(mào)易中獲得用戶(hù)設(shè)備I的顧客希望將該用戶(hù)設(shè)備I在業(yè)務(wù)供應(yīng)商處登錄����,則該顧客如圖1所示通過(guò)數(shù)據(jù)網(wǎng)絡(luò)將要求消息或請(qǐng)求發(fā)送給業(yè)務(wù)供應(yīng)商的服務(wù)器2����。接著����,利用在服務(wù)器2中設(shè)置的生成器根據(jù)明確的使用標(biāo)識(shí)符在密碼操作中生成一次性口令0ΤΡ。該使用標(biāo)識(shí)符例如可以是用戶(hù)的用戶(hù)ID�、尤其是顧客號(hào)?����?商鎿Q地,使用標(biāo)識(shí)符可以是用戶(hù)設(shè)備ID���、例如用戶(hù)設(shè)備I的序列號(hào)����。此外可能的是��,使用標(biāo)識(shí)符是明確的地址�、例如MAC地址。如圖1所示���,服務(wù)器2通過(guò)數(shù)據(jù)網(wǎng)絡(luò)將通過(guò)密碼操作所形成的一次性口令OTP傳輸給要登錄的用戶(hù)設(shè)備I�。
如圖1所示���,所生成的OTP可以通過(guò)數(shù)據(jù)網(wǎng)絡(luò)或者也可替代地通過(guò)另一通信信道被傳輸?shù)接脩?hù)設(shè)備I����。另外可能的是�����,借助于數(shù)據(jù)載體以離線方式將所生成的一次性口令 OTP從服務(wù)器2傳輸?shù)接脩?hù)設(shè)備I����。該數(shù)據(jù)載體例如可以由USB棒形成����。在一個(gè)可能的實(shí)施方式中���,該數(shù)據(jù)載體與要安放的用戶(hù)設(shè)備I一起在包裹中通過(guò)郵寄從服務(wù)提供者發(fā)送給用戶(hù)����。然后�,用戶(hù)將附帶的數(shù)據(jù)載體、例如USB棒連接到用戶(hù)設(shè)備I以讀出一次性口令0ΤΡ����, 使得用戶(hù)設(shè)備I可以借助于所讀出的一次性口令OTP在服務(wù)器2處登錄以釋放業(yè)務(wù)。
此外可能的是�����,將傳送所生成的一次性口令OTP的數(shù)據(jù)載體�����、例如USB棒同用戶(hù)設(shè)備I分開(kāi)地在另一包裹中發(fā)送給用戶(hù)�。在另一可能的實(shí)施方式中,數(shù)據(jù)載體是集成在用戶(hù)設(shè)備I中的數(shù)據(jù)存儲(chǔ)器�。該數(shù)據(jù)存儲(chǔ)器例如可以受訪問(wèn)保護(hù)并且可以借助于口令被釋放, 由此用戶(hù)獲得對(duì)其中存儲(chǔ)的一次性口令OTP的訪問(wèn)�。一旦用戶(hù)或用戶(hù)設(shè)備I已經(jīng)在線地或離線地獲得由服務(wù)器2形成的一次性口令0ΤΡ,則用戶(hù)設(shè)備I就可以通過(guò)登錄消息N在服務(wù)器2處登錄已獲得相應(yīng)的業(yè)務(wù)�����。在由服務(wù)器2生成并由用戶(hù)設(shè)備I接收到一次性口令OTP 的情況下����,使用標(biāo)識(shí)符、例如用戶(hù)賬戶(hù)或顧客號(hào)或者相應(yīng)的設(shè)備標(biāo)識(shí)符�����、例如序列號(hào)被隱式地包含或編碼在一次性口令OTP中�。由此防止了另一用戶(hù)或另一設(shè)備能夠利用該一次性口令OTP在服務(wù)器2處登錄。如果服務(wù)器2例如借助于散列函數(shù)從已知設(shè)備ID以及設(shè)備ID 的秘密的密碼密鑰中形成用于用戶(hù)設(shè)備I的一次性口令0ΤΡ���,則所形成的一次性口令OTP是明確的OTP=H(KPriv���,設(shè)備ID)。在這種情況下����,用戶(hù)設(shè)備I的設(shè)備ID在登錄時(shí)�、即在發(fā)送登錄消息N時(shí)作為消息N的一部分被一并發(fā)送給服務(wù)器2�����。然后��,服務(wù)器2可以在使用秘密的密碼密鑰(Kphv)的情況下有效地檢查一次性口令OTP的正確性���,而不必將一次性口令 OTP中心地存放在服務(wù)器2中以用于檢查����。因此�����,在根據(jù)本發(fā)明的方法中存在的可能性是����, 服務(wù)器2將由其生成的一次性口令OTP在傳輸給用戶(hù)設(shè)備I以后從其數(shù)據(jù)存儲(chǔ)器中刪除或移除。由此可以在服務(wù)器2或業(yè)務(wù)供應(yīng)商側(cè)顯著減少維護(hù)成本�。此外�����,這所提供的特別的優(yōu)點(diǎn)是,在服務(wù)器2側(cè)的數(shù)據(jù)存儲(chǔ)器發(fā)生故障的情況下���,甚至在丟失這樣的一次性口令OTP 的情況下仍然可以在服務(wù)器2側(cè)對(duì)所獲得的一次性口令OTP成功地進(jìn)行驗(yàn)證���。
在另一可能的實(shí)施方式中,由服務(wù)器2生成的一次性口令OTP的有效性在預(yù)先給定的可配置的時(shí)長(zhǎng)以后�����、例如在幾分鐘或小時(shí)以后失效���。如果用戶(hù)設(shè)備I的登錄成功����,則這可以由服務(wù)器2利用OK消息通知給用戶(hù)設(shè)備I����。
在一個(gè)可能的實(shí)施方式中,在從用戶(hù)設(shè)備I向服務(wù)器2傳輸?shù)卿浵時(shí),一次性口令OTP不是以明文、而是以受密碼保護(hù)的方式被傳輸��。在另一可能的實(shí)施方式中����,用于將用戶(hù)設(shè)備I在服務(wù)器2處登錄的消息N的傳輸 通過(guò)受密碼保護(hù)的連接�、例如TLS或SSL連接來(lái)進(jìn)行����。在此可能的是,根據(jù)校驗(yàn)和來(lái)驗(yàn)證所傳輸?shù)牡卿浵���。
在另一優(yōu)選的實(shí)施方式中���,在使用附加信息或數(shù)據(jù)的情況下借助于秘密的密碼密鑰針對(duì)明確的使用標(biāo)識(shí)符利用預(yù)先給定的密碼函數(shù)、例如散列函數(shù)來(lái)計(jì)算形成一次性口令 OTP的密碼函數(shù)值���。在此����,在一個(gè)可能的實(shí)施方式中���,服務(wù)器2附加地根據(jù)時(shí)間戳來(lái)計(jì)算密碼函數(shù)值作為一次性口令0ΤΡ���。時(shí)間說(shuō)明或時(shí)間戳、例如〈月年>或〈日月年 >或〈自 01. 01. 2010起的日期〉,使得可以為用戶(hù)的每賬戶(hù)和月或日生成另一一次性口令0ΤΡ�。該實(shí)施方式尤其是適用于一次性口令OTP僅僅短時(shí)間有效并且極少需要新的一次性口令的情況。此外可能的是在此處使用所謂的UTC時(shí)間值���。在此,Unix時(shí)間例如描述自01.01. 1970 起所流逝的秒數(shù)����。由此可能的是,為特定的使用標(biāo)識(shí)符生成非??熳兓囊淮涡钥诹睿?OTP=Hash(K, ID, < 日月年 >)��。
該實(shí)施方式可以使用時(shí)間說(shuō)明來(lái)生成或檢查一次性口令OTP�,其中必須有同步的時(shí)間說(shuō)明可用。在一個(gè)可能的實(shí)施方式中�,時(shí)間同步通過(guò)協(xié)議、例如NTP (Network Time Protocol,網(wǎng)絡(luò)時(shí)間協(xié)議)或IEEE 1588來(lái)進(jìn)行�。
在另一可能的實(shí)施方式中,服務(wù)器附加地根據(jù)隨機(jī)數(shù)將密碼函數(shù)值作為一次性口令OTP發(fā)送�。該隨機(jī)數(shù)例如可以通過(guò)隨機(jī)生成器來(lái)生成。例如��,按照下列方式計(jì)算一次性口令 OTP OTP=Hash (K�,< 隨機(jī)數(shù) >,ID) | | < 隨機(jī)數(shù) >因此可以在相應(yīng)長(zhǎng)的隨機(jī)數(shù)的情況下生成任意多個(gè)一次性口令OTP。
在一個(gè)特殊的變型方案中��,可以替代于將密鑰K直接與消息N聯(lián)系起來(lái)的散列方法使用所謂的鍵控散列方法�����。在一個(gè)可能的實(shí)施方式中�,如在標(biāo)準(zhǔn)RFC 2104中那樣計(jì)算鍵控散列值HMAC(K, m) =H((K XOR opad) |H((K XOR ipad) | m))其中m是消息、例如登錄消息����,并且其中 opad和ipad是預(yù)定義的串或字符串,并且其中K是一次性口令OTP或依賴(lài)于一次性口令OTP的值�����、例如K = H (OTP)0
在另一可能的變型方案中����,替代于散列方法還可以使用對(duì)稱(chēng)加密算法、例如 CBCMAC模式(Cipher Block Chaining Message Authentication Code,密碼塊連接的消息認(rèn)證碼)中的 AES (Advanced Encryption Standard,高級(jí)加密標(biāo)準(zhǔn))���。
根據(jù)本發(fā)明的方法提供了幾個(gè)優(yōu)點(diǎn)����。利用根據(jù)本發(fā)明的方法可能的是,在使用密碼操作的情況下根據(jù)固定定義的規(guī)則生成一次性口令0ΤΡ��,使得該一次性口令OTP可以連接到特定的使用標(biāo)識(shí)符���、例如用戶(hù)ID或用戶(hù)顧客號(hào)����。另外不需要所形成的一次性口令OTP 在其使用以前被存儲(chǔ)到服務(wù)器2的數(shù)據(jù)存儲(chǔ)器上�,使得總體上顯著地使對(duì)所述數(shù)據(jù)的管理變得容易���。
在一個(gè)可能的實(shí)施方式中可能的是�,將一次性口令OTP綁定到用戶(hù)(例如供電企業(yè)的顧客)的顧客名�����。此外�����,利用根據(jù)本發(fā)明的方法可能的是��,在需要時(shí)為相同的用戶(hù)或相同的顧客名生成另外的一次性口令0ΤΡ�。所形成的一次性口令OTP在密碼學(xué)上與純隨機(jī)數(shù)一樣安全。一次性口令OTP的生成器或服務(wù)器2不必存儲(chǔ)所形成的一次性口令0ΤΡ。僅須在服務(wù)器2側(cè)存儲(chǔ)哪些賬戶(hù)或設(shè)備已經(jīng)使用了其一次性口令OTP或者哪些賬戶(hù)或設(shè)備還允許使用其一次性口令0ΤΡ�。這將要保護(hù)的數(shù)據(jù)減小到用于生成一次性口令OTP的密碼密鑰 K。此外可以在時(shí)間上限制一次性口令OTP的有效性�。根據(jù)本發(fā)明的方法和系統(tǒng)由此向業(yè)務(wù)供應(yīng)商或服務(wù)提供者開(kāi)放的可能性是,將一次性口令OTP與特定條件相關(guān)聯(lián)并且因此允 許提高業(yè)務(wù)供應(yīng)商的靈活性并提高對(duì)抗操縱的安全性��。
權(quán)利要求
1.一種用于為用戶(hù)的用戶(hù)設(shè)備(I)提供一次性口令(OTP)的方法����,所述一次性口令(OTP )被設(shè)置用于用戶(hù)設(shè)備(I)在服務(wù)器(2 )處登錄, 其中服務(wù)器(2)借助于密碼操作根據(jù)明確的使用標(biāo)識(shí)符生成一次性口令(OTP)并且將其傳輸給用戶(hù)設(shè)備(I )�����, 其中用戶(hù)設(shè)備(I)存儲(chǔ)從服務(wù)器(2)接收的一次性口令(OTP)并且在用戶(hù)設(shè)備(I)在服務(wù)器(2)處登錄時(shí)將所述一次性口令(OTP)與使用標(biāo)識(shí)符一起傳輸����, 其中服務(wù)器(2)在用戶(hù)設(shè)備(I)在服務(wù)器(2)處登錄時(shí)根據(jù)在所接收的一次性口令(OTP )中隱式地包含的使用標(biāo)識(shí)符驗(yàn)證用戶(hù)設(shè)備(I)。
2.根據(jù)權(quán)利要求1所述的方法�, 其中所述明確的使用標(biāo)識(shí)符由用戶(hù)的用戶(hù)ID或由用戶(hù)設(shè)備(I)的用戶(hù)設(shè)備ID形成。
3.根據(jù)權(quán)利要求1或2所述的方法���, 其中服務(wù)器(2)通過(guò)計(jì)算所述明確的使用標(biāo)識(shí)符的密碼函數(shù)值生成一次性口令(OTP)0
4.根據(jù)權(quán)利要求3所述的方法����, 其中服務(wù)器(2)借助于秘密的密碼密鑰(Kphv)計(jì)算使用標(biāo)識(shí)符的密碼函數(shù)值作為一次性口令(0ΤΡ)。
5.根據(jù)權(quán)利要求4所述的方法��, 其中服務(wù)器(2)借助于預(yù)先給定的密碼函數(shù)��、尤其是散列函數(shù)借助于所述秘密的密碼密鑰為明確的使用標(biāo)識(shí)符計(jì)算密碼函數(shù)值作為一次性口令(OTP )�。
6.根據(jù)權(quán)利要求3- 5所述的方法, 其中服務(wù)器(2)附加地根據(jù)時(shí)間戳或隨機(jī)數(shù)計(jì)算密碼函數(shù)值作為一次性口令(0ΤΡ)��。
7.根據(jù)權(quán)利要求1一 6所述的方法�, 其中服務(wù)器(2)在將由其生成的一次性口令(OTP)傳輸給用戶(hù)設(shè)備(I)以后刪除所述一次性口令(0ΤΡ )。
8.根據(jù)權(quán)利要求1一 7所述的方法�, 其中所生成的一次性口令(OTP)與用戶(hù)設(shè)備(I) 一起被發(fā)送給用戶(hù)以用于所述用戶(hù)的用戶(hù)設(shè)備(I)在服務(wù)器(2 )處登錄��。
9.根據(jù)權(quán)利要求1一 7所述的方法����, 其中所生成的一次性口令(OTP)由服務(wù)器(2)通過(guò)數(shù)據(jù)網(wǎng)絡(luò)或者借助于數(shù)據(jù)載體被發(fā)送給安放在用戶(hù)處的用戶(hù)設(shè)備(I)以用于所述用戶(hù)設(shè)備(I)在服務(wù)器(2)處登錄。
10.根據(jù)權(quán)利要求1一 9所述的方法����, 其中由服務(wù)器生(2)生成的一次性口令(OTP)的有效性在預(yù)先給定的時(shí)長(zhǎng)以后失效。
11.一種用于為用戶(hù)的用戶(hù)設(shè)備(I)提供一次性口令(OTP)的服務(wù)器(2)�,所述一次性口令(OTP )被設(shè)置用于用戶(hù)設(shè)備(I)在服務(wù)器(2 )處登錄,其中服務(wù)器(2 )借助于密碼操作根據(jù)明確的使用標(biāo)識(shí)符生成所述一次性口令(OTP)并且將其傳輸給用戶(hù)設(shè)備(1)��, 其中用戶(hù)設(shè)備(I)為了其在服務(wù)器(2)處登錄將從服務(wù)器(2)獲得的一次性口令(OTP)與使用標(biāo)識(shí)符一起發(fā)送給服務(wù)器(2 ),所述服務(wù)器(2 )根據(jù)在一次性口令(OTP )中隱式地包含的使用標(biāo)識(shí)符和所接收的使用標(biāo)識(shí)符來(lái)驗(yàn)證用戶(hù)設(shè)備(I)并且允許所述用戶(hù)設(shè)備(I)使用業(yè)務(wù)�����。
12.根據(jù)權(quán)利要求11所述的服務(wù)器(2)����,其中所述明確的使用標(biāo)識(shí)符由用戶(hù)的用戶(hù)ID或者由用戶(hù)設(shè)備(I)的用戶(hù)設(shè)備ID形成。
全文摘要
一種用于為用戶(hù)的用戶(hù)設(shè)備(1)提供一次性口令(OTP)的方法�����,所述一次性口令(OTP)被設(shè)置用于用戶(hù)設(shè)備(1)在服務(wù)器(2)處登錄���,其中服務(wù)器(2)借助于密碼操作根據(jù)明確的使用標(biāo)識(shí)符生成所述一次性口令(OTP)并且將其傳輸給用戶(hù)設(shè)備(1)��。該方法向業(yè)務(wù)供應(yīng)商提供了將針對(duì)登錄的附加條件與一次性口令(OTP)相關(guān)聯(lián)的可能性����,并且因此提高了業(yè)務(wù)供應(yīng)商在構(gòu)造業(yè)務(wù)時(shí)的靈活性并且提高了對(duì)抗操縱的安全性���。
文檔編號(hào)H04L9/08GK103026686SQ201180037981
公開(kāi)日2013年4月3日 申請(qǐng)日期2011年7月22日 優(yōu)先權(quán)日2010年8月3日
發(fā)明者J-U.布澤, S.弗里斯 申請(qǐng)人:西門(mén)子公司