專利名稱:用于多功能認證設備的裝置和方法
技術領域:
本發(fā)明一般涉及認證系統(tǒng)�����,尤其涉及使用可修改裝置的認證系統(tǒng)��。
背景技術:
在公眾中間,訪問互聯(lián)網(wǎng)和使用電子數(shù)據(jù)系統(tǒng)一直在穩(wěn)步增長����。電子商務得到了消費者和商家的熱烈擁抱,因為����,通過它,一方可以比較容易地向另一方出售或購買商品�,而沒有經(jīng)營傳統(tǒng)企業(yè)所涉及的內(nèi)在復雜問題。例如�����,用戶可以經(jīng)由公共通信網(wǎng)絡�����,通過數(shù)字認證(在線地或通過自動柜員機ATM)來訪問銀行�����、諸如內(nèi)部網(wǎng)之類的私有網(wǎng)絡�、安全服務器或數(shù)據(jù)庫��、和/或其他虛擬專網(wǎng)(VPN)。
但是�����,由于采用通信系統(tǒng)消除或大大減少了面對面的接觸���,所以��,欺詐活動的機會增加了��。如果一個不法行為人手中持有一張盜竊來的信用卡�,就可能會危害該信用卡主人的信用評級��,并給信用卡發(fā)行商造成損害���,因為信用卡發(fā)行商必須承擔由于非法購買所導致的損失��。在最壞情形中����,不法行為人實際上可能會竊取一方的身份���,從而從該方的信用額度和金融賬號中漁利���。這樣的活動使得蒙冤方對以他或她的名義進行的任何犯罪活動很難進行辯解���、否認在被騙貸方營業(yè)場所進行的活動或向權威機構(gòu)重新確立新的身份。
為了防止非法訪問�����,開發(fā)了各種安全機制�����,以驗證用戶或?qū)嶓w的身份�,從而只讓合法實體進行訪問。通過諸如令牌之類的訪問碼生成設備可以實現(xiàn)一種用戶認證和訪問控制技術����。通常,為用戶提供具有唯一安全信息的令牌�����。該令牌顯示定期生成的唯一訪問碼���。此外��,也可以在一個或多個網(wǎng)絡中注冊該訪問碼和/或?qū)⑵渑c該用戶相關聯(lián)���,從而確立個人身份。通常��,產(chǎn)生訪問碼的算法基于安全信息和當前時間�。用戶需要輸入當前顯示的訪問碼,以訪問所述一個或多個網(wǎng)絡����。
雖然上述令牌可以防止非法訪問,但它比較簡單��,功能有限����。因此,可以在其他令牌中實現(xiàn)不同的功能�����。例如�,通過實現(xiàn)一個用戶界面,讓用戶必須輸入正確的密碼或個人標識號(PIN)以激活該令牌����,可以提供另一層安全�����。但是�����,如果用戶想交換和/添加諸如用戶界面之類的不同功能到令牌上��,則用戶必須獲取一個具有預期功能的完整的新令牌�����。
新令牌產(chǎn)生與該新令牌中的安全信息相對應的不同訪問碼���。因此,必須在所述一個或多個網(wǎng)絡中重新注冊該訪問碼和/或?qū)⑵渑c用戶重新進行關聯(lián)��。這會非常麻煩��,并給用戶帶來不便�����,從而使用戶不想升級和/或交換令牌。所以����,需要一種更高效、更便利和/或用戶友好的方式來實現(xiàn)認證設備�。
發(fā)明內(nèi)容
這里公開的實施例通過提供一種可擴展和/或可替代裝置來執(zhí)行電子認證����,從而解決上述需求。通常�����,該裝置實現(xiàn)一個模塊�����,其安全地發(fā)送用于電子認證的一條或多條認證信息�����,如電子簽名��。在有些實施例中��,該模塊可以發(fā)送用于電子認證的一個或多個訪問碼,如密碼或PIN�����。然后�,合適的檢驗器可以接收和認證該認證信息,以檢驗該模塊的用戶身份��、來歷����。此后,根據(jù)需要�,可以授權或拒絕用戶訪問私有網(wǎng)絡或系統(tǒng)。
更具體地講��,該模塊包括一個安全存儲介質(zhì)和一個處理器�����,其基于存儲介質(zhì)中存儲的唯一密碼信息生成認證信息��,如電子簽名����。該模塊還包括一個輸出單元����,用于發(fā)送認證信息���。輸出單元可以包括一個聲音元件���,其通過發(fā)出與數(shù)字簽名或訪問碼相關聯(lián)的聲調(diào),發(fā)送認證信息�����。
因此��,所公開的實施例可以實現(xiàn)更加便利的電子認證�,以及讓用戶更方便地修改或更新電子認證裝置��。根據(jù)一個方面���,公開了一種使用可拆裝地相連的外置認證模塊來執(zhí)行認證的設備��。該認證模塊用于生成認證信息�。該設備包括輸入單元�����,用于接納所述認證模塊;與所述輸入單元相連的輸出單元���,用于從所述認證模塊接收所述認證信息和發(fā)送所述認證信息�。所述輸出單元可以是一個聲音元件��,用于從所述認證模塊接收所述認證信息以及發(fā)出與所述認證信息相關聯(lián)的聲調(diào)�。該設備可以包括一個容納模塊,其包括所述輸入單元和所述輸出單元�,以接收和發(fā)送認證信息。
根據(jù)一個方面���,公開了一種使用從外置認證模塊接收的認證信息來執(zhí)行認證的用戶可替換模塊����。所述認證模塊用于生成所述認證信息��。所述模塊包括輸入單元����,可拆裝地連接到所述認證模塊;與所述輸入單元相連的輸出單元,用于接收所述認證信息和發(fā)送所述認證信息���;與所述輸出單元相連的激勵器�����,用于使所述輸出單元發(fā)送所述認證信息�。所述輸出單元可以包括一個聲音元件����,用于從所述認證模塊接收所述認證信息、將所述認證信息轉(zhuǎn)換成聲調(diào)以及發(fā)出與所述認證信息相關聯(lián)的聲調(diào)�����。
在所述設備和/或模塊中�����,所述聲音元件可以包括與所述輸入單元相連的轉(zhuǎn)換單元�,用于接收所述認證信息并將所述認證信息轉(zhuǎn)換成聲調(diào)�;與所述轉(zhuǎn)換單元相連的聲音生成單元,用于發(fā)出與所述認證信息相關聯(lián)的聲調(diào)�����。所述聲音元件還包括與所述轉(zhuǎn)換單元相連的聲音接收單元,用于接收外部信號���,其中���,所述轉(zhuǎn)換單元將所述外部信號轉(zhuǎn)換成用于生成所述認證信息的數(shù)據(jù)。
根據(jù)另一方面�,公開了一種認證模塊,可拆裝地連接到具有輸出單元的用戶可替換模塊��。所述模塊具有輸出單元����,其中,所述輸出單元接收認證信息和發(fā)送認證信息����。所述認證模塊包括存儲介質(zhì),用于保存加密密鑰�����;與所述存儲介質(zhì)相連的處理器���,用于使用所述加密密鑰生成所述認證信息�����。
根據(jù)另一方面�����,一種使用可拆裝地相連的外置認證模塊來進行認證的方法���,所述認證模塊用于生成認證信息����,所述方法包括將輸入單元配置為接納和連接所述認證模塊�����;在用戶可替換模塊中實現(xiàn)所述輸入單元��,所述用戶可替換模塊用來接收所述認證信息和發(fā)送所述認證信息��。認證信息的傳輸可以包括發(fā)出與認證信息相關聯(lián)的聲調(diào)��。
根據(jù)另一方面��,公開了一種使用從外置認證模塊接收的認證信息來執(zhí)行認證的用戶可替換模塊���。所述認證模塊用于生成所述認證信息���。所述模塊包括用于可拆裝地與所述認證模塊相連的裝置;用于接收所述認證信息的裝置���;用于發(fā)送所述認證信息的裝置�����。所述發(fā)送裝置可以包括用于將所述認證信息轉(zhuǎn)換成聲調(diào)的裝置��;用于發(fā)出與所述認證信息相關聯(lián)的聲調(diào)的裝置����。所述模塊還可以包括用于接收外部信號的裝置����;用于將所述外部信號轉(zhuǎn)換成生成所述認證信息所用的數(shù)據(jù)的裝置。
在所公開的裝置和方法中����,所述聲調(diào)可以包括可聽音調(diào)��。所述聲調(diào)可以包括亞聲調(diào)�����。所述聲調(diào)可以包括超聲調(diào)�。此外����,所述認證信息可以包括數(shù)字簽名。所述認證信息可以包括訪問碼��。此外���,所述模塊還可以包括顯示器��。
根據(jù)其他方面�,用于保存密碼信息的裝置與用于發(fā)送密碼信息的裝置是分離的����。一種用于執(zhí)行認證的設備包括認證模塊,用于生成數(shù)字簽名����;將所述認證模塊嵌入的模塊。所述模塊包括與認證模塊相連的聲音元件�����,用于發(fā)出與數(shù)字簽名相關聯(lián)的聲調(diào)��?���?梢詮乃瞿K中取出所述認證模塊。此外�����,所述認證模塊可以包括存儲介質(zhì)����,用于保存密鑰;與所述存儲介質(zhì)相連的處理器���,用于使用所述密鑰來生成所述認證信息�����。所述聲音元件可以包括聲音生成單元�����,用于發(fā)出與所述認證信息相關聯(lián)的聲調(diào)�����,還可以包括聲音接收單元��,用于接收外部信號���;并且其中��,所述認證模塊基于所述外部信號生成數(shù)字簽名�。
根據(jù)其他方面���,執(zhí)行認證的設備包括認證模塊�,用于生成第一數(shù)字簽名��;可替換模塊�����,將所述認證模塊嵌入。所述可替換模塊包括一個與所述認證模塊相連的聲音元件�,用于生成與第一數(shù)字簽名相關聯(lián)的聲波。此外�,該認證模塊可以包括存儲介質(zhì)����,用于保存加密密鑰;與所述存儲介質(zhì)相連的處理器��,用于使用所述加密密鑰來生成所述認證信息��。
此外�����,也可以保存多個密鑰���,其中����,根據(jù)所述多個密鑰中之一來生成所述數(shù)字簽名���;并且其中�,所述多個密鑰中的每一個都有關聯(lián)的聲調(diào)。該模塊可以也包括用于為所述認證模塊供電的電源�。此外,所述聲調(diào)可以包括可聽音調(diào)��。所述聲調(diào)可以包括亞聲調(diào)��。所述聲調(diào)可以包括超聲調(diào)���。
附圖簡述下面結(jié)合附圖來詳細描述各實施例����,其中����,相同的標記表示相同的部件,在附圖中
圖1示出了認證設備的一個示例性實施例����;圖2示出了認證方法的一個示例性實施例;圖3示出了替換認證模塊的一個示例性實施例����;圖4是認證設備的認證模塊的一個示例性實施例;圖5示出了聲音元件的一個示例性實施例�����;以及圖6示出了認證系統(tǒng)的一個示例性實施例。
具體實施例方式
所公開的實施例實現(xiàn)一種可擴展的和/或可升級的認證設備��。在公開的實施例中�,該設備至少分為兩個部分。更具體地講�����,諸如數(shù)字簽名之類的認證信息是在分離的實體中產(chǎn)生的���,后面稱之為“認證模塊”。然后����,可以將該認證模塊置入各種裝置和/設備中,后者能夠發(fā)送所生成的認證信息���,如數(shù)字簽名���。因此,用戶可容易地��、便利地和/或便宜地根據(jù)需要,向設備和/或裝置增加功能和從中刪除功能�����。此外����,應當注意的是,認證模塊也可以發(fā)送訪問碼�,如密碼或PIN,以及用于認證的數(shù)字簽名和其他信息���,后面稱之為“認證信息”����,從而使用戶能夠訪問私有數(shù)據(jù)庫����、網(wǎng)絡或系統(tǒng)。
在一個實施例中����,可以用聲波傳送認證信息。共同待決的美國申請No.09/611,569公開了一種裝置���,其產(chǎn)生與認證信息相關聯(lián)的可聽音調(diào)從而執(zhí)行認證��。出于說明目的���,下面實施例中的認證信息可用聲音傳輸�。通常����,所公開的裝置包括存儲單元;與處理器相連的聲音元件�����,以產(chǎn)生可聽音調(diào)��。但是����,應當注意的是�����,只要裝置中的實現(xiàn)方式允許�����,認證信息可以用任何已知技術發(fā)送。因此�����,本發(fā)明的保護范圍不限于用聲音來傳輸認證信息��。
就如同這里所披露的那樣����,術語“聲波”指的是通過氣體、液體或固體行進的聲學波或壓力波或振動���。聲波包括超聲波�、音頻波和亞聲波��。術語“音頻波”指的是處于聲譜之內(nèi)的聲波頻率����,大約是20Hz至20kHz。術語“超聲波”指的是高于聲譜的聲波頻率�。術語“亞聲波”指的是低于聲譜的聲波頻率。術語“音調(diào)”指的是具有特定調(diào)子和振動的聲波��。因此,“可聽音調(diào)”指的是具有特定調(diào)子和振動的音頻波���,“超聲調(diào)”指的是具有特定調(diào)子和振動的超聲波���,“亞聲調(diào)”指的是具有特定調(diào)子和振動的亞聲波。術語“存儲介質(zhì)”表示一種或多種用于存儲數(shù)據(jù)的器件�����,包括用于存儲信息的只讀存儲器(ROM)��、隨機訪問存儲器(RAM)�、磁盤存儲介質(zhì)、光存儲介質(zhì)����、閃存和/或其他機器可讀介質(zhì)�����。術語“機器可讀介質(zhì)”包括�����、但不限于便攜式或固定的存儲器件、光存儲器件����、無線信道和各種其他器件,它們能夠存儲�、容納或承載指令和/或數(shù)據(jù)。術語“模塊”指的是自包含(selfcontained)的器件���、部件�����、單元或項目�����。模塊可與其他部件��、單元或項目相結(jié)合使用�。
此外��,應當注意的是��,可以將這些實施例描述成用流程圖�、結(jié)構(gòu)圖或框圖表示的過程��。盡管流程圖可以將多個操作描述為順序的過程�,但其中的很多操作可以并行或同時執(zhí)行����。此外,可以重新排定操作的次序��。當操作完成時�����,過程結(jié)束����。過程可以對應于方法、函數(shù)���、程序�、子例程�����、子程序等��。當過程對應于函數(shù)時���,其結(jié)束對應于該函數(shù)返回主調(diào)函數(shù)或主函數(shù)��。
此外還給出了深入理解這些實施例的具體細節(jié)����。但是���,本領域普通技術人員應當理解�,這些實施例也可以不用這些具體細節(jié)來實施���。例如�����,可以用框圖形式給出電路���,從而不使不必要的細節(jié)模糊這些實施例。在其他實例中�����,為了不模糊這些實施例,可以詳細地給出公知的電路�����、結(jié)構(gòu)和技術�����。
圖1示出了用于執(zhí)行認證的示例裝置100���。裝置100包括容納模塊110���,用于接納或嵌入認證模塊120。認證模塊120用于生成認證信息��,如數(shù)字簽名�。容納模塊110還可以包括聲音元件130、輸入單元140和激勵器150�。盡管圖1所示的輸入單元140為矩形開口,但也可以用其他各種形狀和/或尺寸實現(xiàn)輸入單元140�����,只要輸入單元140能夠接納認證模塊120即可。輸入單元140的示例性形狀包括����、但不限于圓形�����、三角形�、其他多邊形和非多邊形。此外����,輸入單元140的尺寸可以為數(shù)毫米到數(shù)英寸,這取決于容納模塊110和認證模塊120����。
認證模塊120也可以用各種形狀和/或尺寸來實現(xiàn),如圓形��、多邊形和非多邊形����,從而連接輸入單元140。輸入單元140可以是插槽�����、裂縫、凹口�、隔間、插座�����、支架或其他敞開的����、部分敞開的或完全封閉的區(qū)域、開口�、圍欄,它是用戶可訪問的�,用于可拆裝地連接認證模塊120。容納模塊110還可以有一個蓋子(未顯示)�����,其將認證模塊120安全地裝進輸入單元140��。此外��,容納模塊110可以包括附加的部件�����,如附加的存儲介質(zhì)和處理器(未顯示),以控制認證信息的接收和發(fā)送����。
因此���,可以將認證單元120嵌入或置入容納模塊110中���,明確地說,是容納模塊110的輸入單元140中�,但也可以將其從容納模塊110中取出。例如���,用戶可以從容納模塊110中取出認證模塊120��,然后����,將其置入另一容納模塊中��。因此��,認證模塊120不必與容納模塊110集成到一起。當把認證模塊置入容納模塊110時����,認證模塊120與容納模塊110相連。在該實施例中���,認證模塊120會連接到聲音元件130��。聲音元件130發(fā)出與認證信息(如數(shù)字簽名)相關聯(lián)的聲調(diào)�����。用戶可以通過激勵器150激活容納模塊110或使容納模塊110發(fā)送認證信息����。激勵器150可以是�����、但不限于按鈕�����、開關�、旋鈕或其他用戶輸入設備��。因此�,激勵器150使聲音元件130發(fā)出認證信息��。
如上所述���,認證模塊120可通過各種方式嵌入容納模塊110中����。對于本領域技術人員來說顯而易見的是�,可以改變聲音元件130����、輸入單元140和/或激勵器150的位置,而不影響容納模塊110和認證模塊120的工作�����。此外�,應當注意的是,可以改變?nèi)菁{模塊110的尺寸和形狀�,而不影響裝置100的工作。
在上面的描述中�����,裝置100分為認證模塊120,其安全地存儲用于生成認證信息的密碼信息�����;容納模塊110�����,作為認證模塊120的容器或外殼。因此,容納模塊110是可替換���、可擴展和/或可互換的模塊��,并提供諸如聲音元件130之類的通信接口��,以使認證模塊120與環(huán)境進行交互�,如驗證者的設施,其驗證容納模塊110的用戶���。驗證之后�,可以確認用戶身份和/或可以授權用戶訪問私有網(wǎng)絡或系統(tǒng)����。因此�,認證模塊120與用戶可替換模塊可拆裝地相連�����。
通過如上所述分割裝置100�����,用戶可以先購買簡單和/或便宜的模塊����。以后����,可以把該模塊替換成具有不同功能的完全不同模塊或新的升級模塊?;蛘撸脩羯踔量梢詫碗s和/或昂貴的模塊降低成簡單和/或便宜的模塊�。當然,作為一個容器�,可以向該模塊增加和/或從中去除各種部件,從而改變該模塊的功能���。各種部件可以是插入式模塊����,這使得用戶可以簡單地將其加入該模塊,以實現(xiàn)特定的功能����。
因此,容納模塊110可以實現(xiàn)附加的部件��,從而具有除發(fā)送認證信息之外的其他功能�����。附加部件的例子包括�����、但不限于閃光燈��、鑰匙鏈����、開瓶器、顯示器、監(jiān)視器���、電視��、照相機��、尋呼機�����、個人數(shù)字助理���、無線或移動電話以及其他電子和非電子設備。要注意的是���,添加附加部件之后����,容納模塊110還可以實現(xiàn)部件的分離���,從而切斷選擇性的功能。如上所述����,裝置100變成了一個多功能認證設備�����。
圖2示出了通過數(shù)字簽名驗證的示例性認證方法200�����。方法200包括將輸入單元配置(210)為接納和連接認證模塊���。認證模塊生成認證信息。輸入單元可拆裝地連接到認證模塊����。然后,在用戶可替換模塊中實現(xiàn)(220)輸入單元����,用來接收認證信息和發(fā)送認證信息。例如��,可以將輸入單元實現(xiàn)成通過發(fā)出與認證信息相關聯(lián)的聲調(diào)���,發(fā)送認證信息�����。這樣�����,用戶就可以交換或升級整個容納模塊���,而不必交換或升級認證模塊���。更具體地講,可以從一個容納模塊中取出認證模塊����,然后,將其插入另一容納模塊中�。
圖3示出了的示例性方法300用于交換或更新通過數(shù)字簽名驗證的認證模塊。方法300包括在認證模塊中保存(310)一個加密密鑰�����,用于生成認證信息���,如數(shù)字簽名。把認證模塊嵌入(320)到第一模塊中,例如�,通過發(fā)送與數(shù)字簽名相關聯(lián)的聲調(diào),從而發(fā)送認證信息���,其中�,認證模塊是可以從第一模塊中取出的���。方法300還包括從第一模塊中取出(330)認證模塊���,并將認證模塊嵌入第二模塊中,例如�����,發(fā)送與數(shù)字簽名相關聯(lián)的聲調(diào)�,從而發(fā)送認證信息。
認證模塊120的實現(xiàn)可以基于智能卡�����,例如��,根據(jù)ISO/IEC 7816中定義的標準��,或者基于集成電路卡(ICC)。認證模塊120的尺寸可以小到足以嵌入各種模塊���。例如�����,容納模塊110可以是安全令牌�、顯示器�、監(jiān)視器、尋呼機��、個人數(shù)字助理和無線或移動電話中之一或其組合�����。容納模塊110還可以工作為鑰匙鏈��、閃光燈���、照相機���、電視、信用卡或其他設備�����,只要認證信息傳輸裝置可用的話��。如上所述�,在一個實施例中,能夠產(chǎn)生聲調(diào)的聲音元件可以傳輸認證信息�。
圖4示出了外置認證模塊300的一個示例性實施例,該外置認證模塊300可嵌入圖1的容納模塊110中�����。認證模塊400包括用于保存加密密鑰的存儲介質(zhì)410以及與存儲介質(zhì)410相連的處理器420���。處理器420使用加密密鑰來生成認證信息���。
在一個實施例中,處理器420使用加密密鑰��,生成數(shù)字簽名���?���?梢曰谌我庖环N已知的技術,來生成數(shù)字簽名��。例如��,一種生成密碼簽名的技術是公鑰加密����。在公鑰加密機制中,用戶既有私鑰�����,還有公鑰�����,用來加密文檔��。用戶使用該用戶的私鑰(即公鑰加密中的加密密鑰)�,對通信進行加密,并將加密的通信發(fā)送給目標實體���,然后�,使用用戶的公鑰,對通信進行解密�。如果目標實體能夠使用用戶的公鑰對通信進行解密,則將數(shù)字簽名認證為來自用戶的通信����。
圖5示出了可在容納模塊110中實現(xiàn)的聲音元件500的示例性實施例。聲音元件500可以包括轉(zhuǎn)換單元510�����,可以連接到輸入單元140���;聲音生成單元520,連接到轉(zhuǎn)換單元510����。轉(zhuǎn)換單元510可以接收數(shù)字簽名,并將該數(shù)字簽名轉(zhuǎn)換成聲調(diào)���。聲音生成單元520發(fā)出與數(shù)字簽名相關聯(lián)的聲調(diào)���。在一些實施例中,聲音元件500可以包括一個聲音接收單元(未顯示)�����,用于接收外部信號。此外�,在一些實施例中,聲音生成單元可以是揚聲器���,聲音接收單元可以是麥克風�����,如果實現(xiàn)的話��。在這種情況下����,聲音元件500發(fā)出的聲調(diào)包括可聽音調(diào)��。
在一個實施例中�,在挑戰(zhàn)/響應程序中可使用外部信號,下面將對其進行描述����。如果實現(xiàn)的話,將外部信號轉(zhuǎn)換成用于生成認證信息的數(shù)據(jù)���。轉(zhuǎn)換單元510可以執(zhí)行該轉(zhuǎn)換����,或者,可以實現(xiàn)第二轉(zhuǎn)換單元�,用于轉(zhuǎn)換外部信號。然后���,將數(shù)據(jù)轉(zhuǎn)發(fā)給認證模塊120�����,認證模塊120使用該數(shù)據(jù)來生成認證信息。
當生成唯一表示數(shù)字簽名的可聽音調(diào)時����,這樣更好。幾乎所有桌面和膝上計算機當前都把麥克風集成到計算機系統(tǒng)中��,并且���,幾乎所有桌面和膝上計算機都具有產(chǎn)生聲音的能力���。因此,優(yōu)選將裝置100實現(xiàn)為與運行適當軟件的桌面和膝上計算機協(xié)同工作。此外�����,裝置100可以用于能夠承載可聽音調(diào)的各種通信系統(tǒng)�����。示例包括�、但不限于電話網(wǎng)絡、建筑物內(nèi)部通信系統(tǒng)和無線通信網(wǎng)絡��。因此��,裝置100可用于面對面交易中的直接認證���,或者通過聲音通信媒介的間接認證����。
或者���,聲音元件130發(fā)出的聲調(diào)可以包括亞聲調(diào)和/或超聲調(diào)�����。此外�����,可以用產(chǎn)生和輸出紅外信號的模塊����,如紅外端口,補充聲音元件130的功能����。膝上計算機制造商、打印機制造商和PDA制造商已經(jīng)將紅外端口集成到它們的設備中�。在有些情形中,使用聲音元件很不方便�,也不是所期望的����,如在公共場,這時�����,優(yōu)選使用紅外端口���。當然�����,紅外頻率的生成和/輸出也可以通過與容納模塊110協(xié)同工作的附加裝置來實現(xiàn)�����。
此外���,聲音元件130還可以包括將數(shù)字簽名轉(zhuǎn)換成聲調(diào)的調(diào)制器�。轉(zhuǎn)換數(shù)字簽名可以基于任何公知的技術����,包括、但不限于雙音多頻(DTMF)和頻移鍵控(FSK)����。例如,共同待決的美國申請No.10/356,144和美國申請No.10/356,425公開了將數(shù)字數(shù)據(jù)編碼成聲波的調(diào)制技術��。
回到圖1中���,可以將認證模塊120編程為攜帶多個密鑰��,以標識單個到多個實體�。例如,可以將認證模塊120編程為通過電話線向金融機構(gòu)生成可聽簽名���,以標識容納模塊110的擁有者�。也可以將認證模塊120編程為通過與網(wǎng)絡中計算機相連的麥克風向計算機網(wǎng)絡生成第二可聽簽名�����,以標識容納模塊110的擁有者����。相同的認證模塊120還可以被編程為向附近的讀卡器生成第三可聽簽名,從而訪問安全建筑物����。
因此,存儲介質(zhì)410可以保存多個加密密鑰��,處理器420可以根據(jù)其中的一個加密密鑰����,生成數(shù)字簽名��。這里,與所述多個數(shù)字簽名相對應的所述多個加密密鑰中的每一個具有與該數(shù)字簽名相關聯(lián)的唯一聲調(diào)�����。不同的數(shù)字簽名可用于執(zhí)行不同的認證�。
圖6是個人和驗證者(如數(shù)據(jù)庫管理員)之間的示例性認證系統(tǒng)600的框圖,其中�����,實現(xiàn)成模塊610的安全令牌用于認證個人的身份���。出于說明目的���,假設第一方620意圖訪問數(shù)據(jù)庫管理員630保護的信息。第一方620將令牌610拿到或放置到與計算機640相連的麥克風(未顯示)附近��,從而使數(shù)據(jù)庫管理員630與計算機640進行通信���。令牌610生成或發(fā)出表示認證信息的可聽音調(diào)�����。然后����,計算機640將音調(diào)發(fā)送到數(shù)據(jù)庫管理員630。數(shù)據(jù)庫管理員630通過從數(shù)據(jù)庫650中檢索認證信息����,檢驗第一方620的身份。然后�,第一方620可以繼續(xù)進行預期的事務。
在其他實施例中���,通過數(shù)據(jù)庫管理員630選擇的挑戰(zhàn)/響應過程�,可以確保簽名的新鮮���,其中��,生成簽名��,以響應來自數(shù)據(jù)庫管理員630的挑戰(zhàn)�����。因此��,令牌610可以生成加密簽名����,以響應來自外部信源的信號�。在這種情況下,令牌610的聲音元件包括聲音生成單元和聲音接收單元�,從而令牌610能夠檢測來自計算機650的揚聲器的可聽音調(diào)。令牌610還可以具有如下面結(jié)合圖1的容納模塊110所述的其他部件�。
也就是說,除聲音元件130之外��,容納部件110還可以包括電源(未顯示)���,用來向認證裝置120供電����;第二處理器(未顯示)����,用來控制聲音元件130。容納模塊110還可以包括另一種形式的輸入單元���,如并行端口或通用串行總線����。同樣,容納模塊110還可以包括輸出單元����,以用于通信。這樣��,容納模塊110就可以通過聲音生成之外的其他手段�����,與另一實體進行交互����。例如,聲音元件可以保證認證功能���,輸出單元可以保證數(shù)據(jù)傳輸����,如將加密簽名備份到個人計算機上或者交換公鑰信息����。
在有些實施例中,可以將激活條件編程到容納模塊110中,從而另一方無法欺詐性地或偶然地使用容納模塊110����。例如�,可以將用戶接口并入容納模塊110,從而可以執(zhí)行激活檢查���。這里�,認證模塊120不會產(chǎn)生數(shù)字簽名��,除非容納模塊110收到關于持有者身份的確認信息����。應當注意的是,作為協(xié)議交互的一部分�,容納模塊110可以生成聲調(diào),即便令牌可能最終拒絕生成可聽的認證簽名����。確認信息的形式可以向鍵盤輸入的PIN?�;蛘?����,可以根據(jù)語音印記來確定確認信息,其中���,用戶接口是麥克風����,容納模塊110具有足夠的處理能力���,以實現(xiàn)語音識別�����。語音識別方法在本領域是公知的����,所以這里不再贅述�����。
另一方法激活具有麥克風輸入的令牌是使用雙音多頻(DTMF)器件來輸入激活碼����。其優(yōu)點在于�,需要很少的處理復雜度�,需要便宜和通常可用的DTMF聲音產(chǎn)生器(如電話)���。此外��,如果輸入激活碼的嘗試太多的話���,作為附加的安全防范�����,可以將容納模塊110編程變?yōu)椴患せ睢?br>
在其他實施例中����,紅外端口可以補充聲音元件130的功能。膝上計算機制造商�����、打印機制造商和PDA制造商已經(jīng)將紅外端口集成到它們的設備中���。在有些情形中�����,使用聲音元件很不方便�,也不是所期望的,如在公共場���,這時����,優(yōu)選使用紅外端口����。同樣,聲音元件130也可以生成超聲波頻率�。或者���,超聲頻率的生成也可以通過與示例性實施例協(xié)同工作的附加裝置實現(xiàn)����。通過可聽音調(diào)����,或通過輸出單元�,這樣的附加裝置可以連接到該示例性實施例�����。
因此�����,上面描述了通過使用聲調(diào)來執(zhí)行認證的實施例��。但是�����,還應當注意的是���,也可以用除發(fā)送聲調(diào)之外的技術來發(fā)送認證信息。因此�����,任何發(fā)送認證信息的公知技術都可用于上述實施例�����,而不脫離本發(fā)明的精神和保護范圍。更具體地講�,用于發(fā)送認證信息的任何已知的發(fā)射機、收發(fā)機或輸出單元都可以取代聲音元件130��。除聲音元件130之外��,輸出單元的例子可以是紅外端口��、無線發(fā)射機/收發(fā)機和通信發(fā)射機/收發(fā)機��。
更具體地講����,通過分割用于執(zhí)行認證的用戶可替換模塊,可以很容易地交換���、修改或升級模塊��,同時維持相同的認證模塊��。通過維持認證模塊����,用戶可以在認證模塊中繼續(xù)使用相同的唯一密碼信息�,以進行認證�。這樣����,用戶就可以避免重建的不便和/或更新與驗證者的關系,以進行認證��。
此外��,還應當注意的是��,前面的實施例僅僅是示例����,而不應當被解釋為限制本發(fā)明。例如�����,認證模塊120可實現(xiàn)任何一種可用的密碼機制���。此外,盡管上面結(jié)合數(shù)字簽名描述了一些實施例����,但本發(fā)明的保護范圍同樣適用于其他認證信息�����,如密碼�、PIN或其他訪問碼����。因此,對實施例的描述只是說明性的�,而不限制權利要求的保護范圍。所以���,本申請的公開內(nèi)容可以很容易地適用于其他類型的裝置�,并且����,各種替換物、修改和變體對于本領域技術人員來說都是顯而易見的����。
權利要求
1.一種使用可拆裝的外置認證模塊來執(zhí)行認證的設備,其中��,所述認證模塊用于生成認證信息,所述設備包括輸入單元�,用于接納所述認證模塊;以及與所述輸入單元相連的輸出單元�����,用于從所述認證模塊接收所述認證信息和發(fā)送所述認證信息�����。
2.如權利要求1所述的設備��,其中����,所述設備包括包括所述輸入單元和所述輸出單元的容納模塊。
3.如權利要求1所述的設備���,其中�,所述輸出單元包括聲音元件��,用于從所述認證模塊接收所述認證信息以及發(fā)出與所述認證信息相關聯(lián)的聲調(diào)�。
4.如權利要求3所述的設備����,其中��,所述聲音元件包括與所述輸入單元相連的轉(zhuǎn)換單元���,用于接收所述認證信息以及將所述認證信息轉(zhuǎn)換成聲調(diào);以及與所述轉(zhuǎn)換單元相連的聲音生成單元��,用于發(fā)出與所述認證信息相關聯(lián)的聲調(diào)�。
5.如權利要求4所述的設備,其中����,所述聲音元件還包括與所述轉(zhuǎn)換單元相連的聲音接收單元,用于接收外部信號����;以及其中,所述轉(zhuǎn)換單元將所述外部信號轉(zhuǎn)換成用于生成所述認證信息的數(shù)據(jù)���。
6.如權利要求3所述的設備�����,其中���,所述聲調(diào)包括可聽音調(diào)�����。
7.如權利要求3所述的設備�,其中����,所述聲調(diào)包括亞聲調(diào)。
8.如權利要求3所述的設備�,其中,所述聲調(diào)包括超聲調(diào)��。
9.如權利要求1所述的設備�����,其中�����,所述認證信息包括數(shù)字簽名�����。
10.如權利要求1所述的設備�����,其中���,所述認證信息包括訪問碼����。
11.如權利要求1所述的設備�����,其中��,所述模塊還包括顯示器�。
12.如權利要求1所述的設備,其中���,所述輸入單元還與所述認證模塊相連���。
13.一種使用從外置認證模塊接收的認證信息來執(zhí)行認證的用戶可替換模塊,其中����,所述認證模塊用于生成所述認證信息���,所述模塊包括輸入單元,與所述認證模塊可拆裝地相連����;與所述輸入單元相連的輸出單元,用于接收所述認證信息和發(fā)送所述認證信息����;以及與所述輸出單元相連的激勵器,用于使所述輸出單元發(fā)送所述認證信息��。
14.如權利要求13所述的模塊����,其中,所述輸出單元包括聲音元件�,用于接收所述認證信息、將所述認證信息轉(zhuǎn)換成聲調(diào)以及發(fā)出與所述認證信息相關聯(lián)的聲調(diào)����。
15.如權利要求14所述的模塊,其中�����,所述聲音元件包括與所述輸入單元相連的轉(zhuǎn)換單元,用于接收所述認證信息并將所述認證信息轉(zhuǎn)換成聲調(diào)��;以及與所述轉(zhuǎn)換單元相連的聲音生成單元��,用于發(fā)出與所述認證信息相關聯(lián)的聲調(diào)��。
16.如權利要求15所述的模塊���,其中,所述聲音元件還包括與所述轉(zhuǎn)換單元相連的聲音接收單元��,用于接收外部信號���;以及其中����,所述轉(zhuǎn)換單元將所述外部信號轉(zhuǎn)換成用于生成所述認證信息的數(shù)據(jù)����。
17.如權利要求14所述的模塊,其中����,所述聲調(diào)包括可聽音調(diào)�����。
18.如權利要求17所述的模塊����,其中����,所述聲音元件包括與所述輸入單元相連的轉(zhuǎn)換單元,用于接收所述認證信息并將所述認證信息轉(zhuǎn)換成聲調(diào)�;以及與所述轉(zhuǎn)換單元相連的揚聲器,用于發(fā)出與所述認證信息相關聯(lián)的聲調(diào)��。
19.如權利要求18所述的模塊���,其中���,所述聲音元件還包括與所述轉(zhuǎn)換單元相連的麥克風,用于接收外部信號��;以及其中,所述轉(zhuǎn)換單元將所述外部信號轉(zhuǎn)換成用于生成所述認證信息的數(shù)據(jù)�����。
20.如權利要求14所述的模塊��,其中��,所述聲調(diào)包括亞聲調(diào)��。
21.如權利要求14所述的模塊���,其中,所述聲調(diào)包括超聲調(diào)��。
22.如權利要求13所述的模塊�����,其中��,所述認證信息包括數(shù)字簽名���。
23.如權利要求13所述的模塊�����,其中���,所述認證信息包括訪問碼����。
24.一種認證模塊�,可拆裝地連接到具有輸出單元的用戶可替換模塊,其中���,所述輸出單元接收認證信息和發(fā)送認證信息�����,所述認證模塊包括存儲介質(zhì)�,用于保存加密密鑰��;以及與所述存儲介質(zhì)相連的處理器���,用于使用所述加密密鑰來生成所述認證信息����。
25.如權利要求24所述的認證模塊,其中�����,所述認證信息包括數(shù)字簽名�。
26.如權利要求24所述的認證模塊,其中��,所述認證信息包括訪問碼�����。
27.如權利要求24所述的認證模塊�����,其中�����,所述存儲介質(zhì)保存多個加密密鑰��;其中�����,所述處理器根據(jù)所述多個加密密鑰中之一來生成所述認證信息�。
28.一種使用可拆裝地相連的外置認證模塊來執(zhí)行認證的方法,所述認證模塊用于生成認證信息���,所述方法包括將輸入單元配置為接納和連接所述認證模塊����;以及在用戶可替換模塊中實現(xiàn)所述輸入單元��,所述用戶可替換模塊用來接收所述認證信息和發(fā)送所述認證信息���。
29.如權利要求28所述的方法�����,其中�����,發(fā)送所述認證信息的步驟包括發(fā)出與所述認證信息相關聯(lián)的聲調(diào)�。
30.如權利要求29所述的方法�,其中,所述聲調(diào)包括可聽音調(diào)��。
31.如權利要求29所述的方法,其中��,所述聲調(diào)包括亞聲調(diào)���。
32.如權利要求29所述的方法���,其中,所述聲調(diào)包括超聲調(diào)�����。
33.如權利要求28所述的方法��,其中���,所述認證信息包括數(shù)字簽名�����。
34.如權利要求28所述的方法,其中���,所述認證信息包括訪問碼����。
35.一種使用從外置認證模塊接收的認證信息來執(zhí)行認證的用戶可替換模塊,其中����,所述認證模塊用于生成所述認證信息,所述模塊包括用于可拆裝地與所述認證模塊相連的裝置�����;用于接收所述認證信息的裝置���;以及用于發(fā)送所述認證信息的裝置��。
36.如權利要求35所述的模塊���,其中,所述發(fā)送裝置包括用于將所述認證信息轉(zhuǎn)換成聲調(diào)的裝置��;以及用于發(fā)出與所述認證信息相關聯(lián)的聲調(diào)的裝置��。
37.如權利要求35所述的模塊����,還包括用于接收外部信號的裝置�����;以及用于將所述外部信號轉(zhuǎn)換為生成所述認證信息所用的數(shù)據(jù)的裝置�����。
38.如權利要求33所述的模塊���,其中,所述認證信息包括數(shù)字簽名���。
39.如權利要求33所述的模塊��,其中���,所述認證信息包括訪問碼。
40.一種認證模塊�����,可拆裝地連接到具有轉(zhuǎn)換單元的用戶可替換模塊���,其中��,所述轉(zhuǎn)換單元接收認證信息并發(fā)出與所述認證信息相關聯(lián)的聲調(diào)�,所述認證模塊包括用于保存加密密鑰的裝置�����;以及用于使用所述加密密鑰來生成所述認證信息的裝置�����。
41.一種使用可拆裝地相連的外置認證模塊來執(zhí)行認證的設備�����,其中����,所述認證模塊用于生成認證信息,所述設備包括用于將輸入單元配置為接納和連接所述認證模塊的裝置�����;以及用于在用戶可替換模塊中實現(xiàn)所述輸入單元的裝置�����,所述用戶可替換模塊接收所述認證信息和發(fā)送與所述認證信息相關聯(lián)的聲調(diào)。
42.一種使用可拆裝地連接的外置認證模塊來執(zhí)行認證的設備����,其中,所述認證模塊用于生成數(shù)字簽名��,所述設備包括用于接納所述認證模塊的模塊��,所述模塊包括輸入單元�,用于接納和連接所述認證模塊;以及聲音元件�����,用于從所述認證模塊接收所述數(shù)字簽名以及發(fā)送與所述數(shù)字簽名相關聯(lián)的聲調(diào)�����。
43.一種使用從外置認證模塊接收的數(shù)字簽名來執(zhí)行認證的用戶可替換模塊�����,其中���,所述認證模塊用于生成所述數(shù)字簽名�����,所述模塊包括輸入單元�,可拆裝地連接到所述認證模塊����;與所述輸入單元相連的聲音元件,用于接收所述數(shù)字簽名��、將所述數(shù)字簽名轉(zhuǎn)換成聲調(diào)以及發(fā)送與所述數(shù)字簽名相關聯(lián)的聲調(diào)����;以及與所述轉(zhuǎn)換單元和所述聲音元件相連的激勵器,所述激勵器用于使所述聲音元件發(fā)出所述聲調(diào)��。
44.一種認證模塊����,可拆裝地連接到具有轉(zhuǎn)換單元的用戶可替換模塊,其中��,所述轉(zhuǎn)換單元用于接收數(shù)字簽名以及發(fā)送與所述數(shù)字簽名相關聯(lián)的聲調(diào)��,所述認證模塊包括存儲介質(zhì),用于保存加密密鑰��;以及與所述存儲介質(zhì)相連的處理器���,用于使用所述加密密鑰來生成所述數(shù)字簽名�。
45.一種使用可拆裝地相連的外置認證模塊來執(zhí)行認證的方法���,所述認證模塊用于生成數(shù)字簽名����,所述方法包括將輸入單元配置為接納和連接所述認證模塊����;以及在用戶可替換模塊中實現(xiàn)所述輸入單元,所述用戶可替換模塊用來接收所述數(shù)字簽名以及發(fā)送與所述數(shù)字簽名相關聯(lián)的聲調(diào)��。
全文摘要
披露了用于認證的裝置和方法(100)����。在一個實施例(100)中,一種使用可拆裝地相連的外置認證模塊來進行認證的裝置����,包括一個用于接納認證模塊(120)的模塊。認證模塊用于生成認證信息。該模塊包括輸入單元(140)��,用于接納和連接認證模塊��;輸出單元(130)�,用于從認證模塊接收認證信息和發(fā)送認證信息。
文檔編號H04K1/00GK1836251SQ200480023599
公開日2006年9月20日 申請日期2004年6月21日 優(yōu)先權日2003年6月19日
發(fā)明者亞歷山大·甘特曼, 格雷戈里·G·羅斯, 杰克·斯滕斯特, 約翰·W·內(nèi)倫貝格二世 申請人:高通股份有限公司