亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

經(jīng)由計算設(shè)備控制對資源的訪問的制作方法

文檔序號:11162049閱讀:200來源:國知局
經(jīng)由計算設(shè)備控制對資源的訪問的制造方法與工藝

本申請要求于2014年5月30日遞交的美國臨時專利申請NO.62/005,725的優(yōu)先權(quán),在全部內(nèi)容通用引用合并于此。



背景技術(shù):

本發(fā)明涉及用于經(jīng)由計算設(shè)備控制對資源的訪問的方法、計算機程序和系統(tǒng)。

存儲在計算機系統(tǒng)的存儲介質(zhì)中的數(shù)據(jù)通常由密碼或安全碼保護,以防止對數(shù)據(jù)的未授權(quán)訪問。對于需要高級安全性的應(yīng)用,可以以加密形式存儲數(shù)據(jù),使得其不能被獲得對其訪問的未授權(quán)用戶讀取。

加密算法用于使用密碼密鑰來加密數(shù)據(jù),并且分為兩個主要類別。非對稱密鑰算法使用一對密碼密鑰,其中一個(通常稱為公鑰)用于加密數(shù)據(jù),另一個(通常稱為私鑰)用于解密數(shù)據(jù)。對稱密鑰算法使用單個密碼密鑰來加密和解密數(shù)據(jù)。一旦被加密,數(shù)據(jù)對任何人都是不可讀的,除了那些擁有密碼密鑰或能夠生成密碼密鑰以將加密數(shù)據(jù)轉(zhuǎn)換成可以向用戶顯示的可讀形式的人。密碼密鑰是包括比特串的安全碼,比特串和數(shù)據(jù)一起被輸入到加密算法,以將數(shù)據(jù)轉(zhuǎn)換為加密形式或從加密形式轉(zhuǎn)換數(shù)據(jù)。期望比特串足夠長以提供足夠級別的不可預(yù)測性或熵,使得未授權(quán)用戶不能猜測或以其他方式破解密鑰(例如,嘗試不同的可能比特組合)并解密數(shù)據(jù)。

通常,用戶不需要直接輸入密碼密鑰,因為在安全系統(tǒng)中數(shù)據(jù)串很長而不容易被記住或輸入。更為常見的是,用戶輸入已知或僅對授權(quán)用戶可用的密碼,并且使用諸如散列函數(shù)之類的數(shù)學(xué)變換將密碼轉(zhuǎn)換為安全碼。然后,可以使用安全碼作為密碼密鑰或者可以使用安全碼作為密碼密鑰的種子,以加密或解密數(shù)據(jù)。通常,用于這些目的的密碼是字母數(shù)字。用戶選擇的密碼往往熵比較差,并且因此易受到所謂的“肩窺(shoulder-surfing)”攻擊,這時未授權(quán)用戶察看到授權(quán)用戶輸入他們的密碼。為了降低這種攻擊的風(fēng)險并提高存儲數(shù)據(jù)的安全性,這些字母數(shù)字密碼可以生成為一次性密碼(OTP)??梢酝ㄟ^例如向用戶提供“標(biāo)簽”、“令牌”或包含用于生成時間和/或事件相關(guān)代碼的邏輯在內(nèi)的其他設(shè)備來生成OTP。采用OTP驗證的系統(tǒng)通常使用散列函數(shù)來將時間值或事件/序列號與秘密種子值組合以產(chǎn)生用戶必須輸入到正用于訪問存儲數(shù)據(jù)的計算設(shè)備的一組數(shù)字。

在啟用離線認(rèn)證的OTP認(rèn)證系統(tǒng)(例如由RSA Security公司開發(fā)的斷連接認(rèn)證方案)中,將一組短期驗證碼(例如,可能的OTP值)從認(rèn)證服務(wù)器下載到本地系統(tǒng),以便隨后用于在服務(wù)器不可用(例如,本地系統(tǒng)不具有到服務(wù)器的直接連接)時驗證用戶提交的OTP值。然而,這種系統(tǒng)需要本地設(shè)備或系統(tǒng)周期性地連接到認(rèn)證服務(wù)器以下載更新的驗證碼集合。

本發(fā)明的目的在于至少減輕現(xiàn)有技術(shù)的一部分問題。



技術(shù)實現(xiàn)要素:

根據(jù)本發(fā)明的第一方面,提供了一種經(jīng)由計算設(shè)備控制對資源的訪問的方法,所述方法包括:存儲器,存儲第一數(shù)據(jù)集和第二數(shù)據(jù)集,第一數(shù)據(jù)集是使用第一密鑰加密的,并且第二數(shù)據(jù)集不同于第一數(shù)據(jù)集;以及代碼值生成器,被配置為生成代碼值序列,其中第一數(shù)據(jù)集包括第二密鑰,并且所述第二數(shù)據(jù)集至少包括第一密鑰的第一加密版本,第一密鑰的第一加密版本是至少部分地基于所述代碼值序列中的第一代碼值和所述第二密鑰加密的,所述方法包括:在計算設(shè)備處接收第一輸入,并基于第一輸入提供第一代碼值;至少部分地基于第一代碼值執(zhí)行第一解密處理,第一解密處理包括對第一密鑰的所述第一加密版本的解密;以及響應(yīng)于對第一密鑰的所述第一加密版本的成功解密:執(zhí)行第二解密處理,所述第二解密處理基于在第一解密處理期間解密的第一密鑰來執(zhí)行,其中所述第二解密處理包括對所述第一數(shù)據(jù)集中的至少一部分的解密;基于在第一解密處理期間解密的第一密鑰來提供對所述資源的訪問;響應(yīng)于對所述第一數(shù)據(jù)集中的至少一部分的所述解密,提供所述第一密鑰的至少第二加密版本,所述第一密鑰的所述第二加密版本是至少部分地基于所述代碼值序列中的第二代碼值和所述第二密鑰加密的;以及將所述第一密鑰的所述第二加密版本作為所述第二數(shù)據(jù)集的數(shù)據(jù)存儲在所述存儲器中。

該方法使得能夠提供第一密鑰的新加密版本,第一密鑰的新加密版本是用在未來時間有效的代碼值序列中的代碼值來加密的,并且未來執(zhí)行時在該方法可用。相應(yīng)地,這實現(xiàn)了不需要訪問遠程服務(wù)器來提供OTP驗證的用戶驗證方法,因此提供了一種自維持的離線OTP認(rèn)證方法。

在一些實施例中,被提供對其訪問的資源包括存儲在計算設(shè)備的存儲器中的所述第一數(shù)據(jù)集的數(shù)據(jù)。

在一些實施例中,第一密鑰的第一加密版本是使用基于所述代碼值序列中的第一代碼值和所述第二密鑰利用第一代碼生成函數(shù)所生成的第一值而加密的。

在一些實施例中,第二解密處理包括基于在第一解密處理期間解密的第一密鑰來解密所述第二密鑰,并且所述方法包括:響應(yīng)于解密所述第二密鑰,使用利用第一代碼生成函數(shù)生成的第二值來生成所述第一密鑰的第二加密版本,所述第二值是基于所述代碼值序列中的第二代碼值和所述第二密鑰而生成的;以及將所述第一密鑰的第二加密版本作為所述第二數(shù)據(jù)集的數(shù)據(jù)存儲在所述存儲器中。

在一些實施例中,第一代碼生成函數(shù)存儲在第一數(shù)據(jù)集中。

在一些實施例中,第一代碼生成函數(shù)使用存儲在第一數(shù)據(jù)集中的參數(shù)。在一些實施例中,第一解密處理包括使用第二代碼生成函數(shù)基于所述第一代碼值和第三密鑰生成第三值,所述第三密鑰不同于所述第二密鑰。

第一值可以等于所述第三值。

在一些實施例中,第二代碼生成函數(shù)生成所述第三值所花費的時間量大于所述第一代碼生成函數(shù)生成所述第一值所花費的時間量。

提供第二代碼生成函數(shù)(其生成第三值花費的時間量比第一代碼生成函數(shù)生成所述第一值花費的時間量更多)使得能夠快速生成第一密鑰的加密版本,同時實現(xiàn)對抗蠻力攻擊的魯棒性,因為對第一密鑰的加密版本的解密較慢。相應(yīng)地,快速生成第一密鑰的加密版本使得該方法能夠在延長的時間段內(nèi)離線執(zhí)行(即不連接到遠程服務(wù)器),而不需要這樣大量數(shù)據(jù)存儲器來存儲第一密鑰的加密版本,和/或不需要使用大量處理資源來生成第一密鑰的加密版本。此外,該方法可以使用現(xiàn)有的OTP算法來執(zhí)行,因此可以通過向用戶提供現(xiàn)有的OTP令牌(其當(dāng)前可以用于在線OTP驗證)來執(zhí)行。

在一些實施例中,第三密鑰包括等于兩個或更多個素數(shù)的乘積的值,并且第二密鑰包括所述兩個或更多個素數(shù)。

在一些實施例中,第二代碼生成函數(shù)包括一系列模乘運算。

在一些實施例中,代碼值序列中的每一個代碼值的值是至少部分地基于在所述序列內(nèi)的位置來確定的。

在一些實施例中,所述代碼值序列中的每一個代碼值是至少部分地基于時間值生成的。

在一些實施例中,第一密鑰的第一加密版本是至少部分地基于靜態(tài)密碼值而加密的,并且第一輸入包括所述靜態(tài)密碼值。

在一些實施例中,所述方法包括:響應(yīng)于對所述第一數(shù)據(jù)集中的至少一部分的所述解密,提供所述第一密鑰的加密版本的集合,所述加密版本的集合包括所述第二加密版本和另外多個加密版本;以及將所述第一密鑰的所述另外多個加密版本作為所述第二數(shù)據(jù)集的數(shù)據(jù)存儲在所述存儲器中。

在一些實施例中,代碼值序列是基于一次性密碼(OTP)生成算法生成的。

在一些實施例中,所述方法包括:將所述OTP生成算法的種子值作為所述第一數(shù)據(jù)集的數(shù)據(jù)存儲在所述存儲器中;響應(yīng)于對所述第一數(shù)據(jù)集中的至少一部分的所述解密,將所述種子值提供給所述代碼值生成器;以及在所述代碼值生成器處至少部分地基于所述種子值來生成所述代碼值序列。

在一些實施例中,第一數(shù)據(jù)集是基于對稱密鑰算法被而加密的。

在一些實施例中,第一數(shù)據(jù)集是基于非對稱密鑰算法而加密的。

根據(jù)本發(fā)明的第二方面,提供了一種計算設(shè)備,包括:存儲器,存儲第一數(shù)據(jù)集和第二數(shù)據(jù)集,第一數(shù)據(jù)集是使用第一密鑰加密的,并且第二數(shù)據(jù)集不同于第一數(shù)據(jù)集;以及代碼值生成器,被配置為生成代碼值序列,其中第一數(shù)據(jù)集包括第二密鑰,并且所述第二數(shù)據(jù)集至少包括第一密鑰的第一加密版本,第一密鑰的第一加密版本是至少部分地基于所述代碼值序列中的第一代碼值和所述第二密鑰加密的,所述計算設(shè)備被配置為:接收第一輸入,并基于第一輸入提供第一代碼值;至少部分地基于第一代碼值執(zhí)行第一解密處理,第一解密處理包括對第一密鑰的所述第一加密版本的解密;以及響應(yīng)于對第一密鑰的所述第一加密版本的成功解密:基于在第一解密處理期間解密的第一密鑰來執(zhí)行第二解密處理,其中第二解密處理包括對所述第一數(shù)據(jù)集中的至少一部分的解密;基于在第一解密處理期間解密的第一密鑰來提供對所述資源的訪問;響應(yīng)于對所述第一數(shù)據(jù)集中的至少一部分的所述解密,至少提供所述第一密鑰的第二加密版本,所述第一密鑰的所述第二加密版本是至少部分地基于所述代碼值序列中的第二代碼值和所述第二密鑰加密的;以及將所述第一密鑰的所述第二加密版本作為所述第二數(shù)據(jù)集的數(shù)據(jù)存儲在所述存儲器中。

第二實施例的計算設(shè)備可以適于提供與第一實施例的那些特征中的任何特征相對應(yīng)的特征。

計算設(shè)備可以是便攜式設(shè)備和/或智能電話。

根據(jù)本發(fā)明的第三實施例,提供了一種其上存儲有指令的非暫時性計算機可讀介質(zhì),所述指令可被計算設(shè)備執(zhí)行,所述計算設(shè)備包括:存儲器,存儲第一數(shù)據(jù)集和第二數(shù)據(jù)集,第一數(shù)據(jù)集是使用第一密鑰加密的,并且第二數(shù)據(jù)集不同于第一數(shù)據(jù)集;以及代碼值生成器,被配置為生成代碼值序列,其中第一數(shù)據(jù)集包括第二密鑰,并且所述第二數(shù)據(jù)集至少包括第一密鑰的第一加密版本,第一密鑰的第一加密版本是至少部分地基于所述代碼值序列中的第一代碼值和所述第二密鑰加密的,其中,所述指令當(dāng)被計算設(shè)備執(zhí)行時,使得所述計算設(shè)備:接收第一輸入并基于第一輸入提供第一代碼值;至少部分地基于第一代碼值執(zhí)行第一解密處理,第一解密處理包括對第一密鑰的所述第一加密版本的解密;以及響應(yīng)于對第一密鑰的所述第一加密版本的成功解密:基于在第一解密處理期間解密的第一密鑰來執(zhí)行第二解密處理,其中第二解密處理包括對所述第一數(shù)據(jù)集中的至少一部分的解密;基于在第一解密處理期間解密的第一密鑰來提供對所述資源的訪問;響應(yīng)于對所述第一數(shù)據(jù)集中的至少一部分的所述解密,至少提供所述第一密鑰的第二加密版本,所述第一密鑰的所述第二加密版本是至少部分地基于所述代碼值序列中的第二代碼值和所述第二密鑰加密的;以及將所述第一密鑰的所述第二加密版本作為所述第二數(shù)據(jù)集的數(shù)據(jù)存儲在所述存儲器中。

第三實施例的計算機可讀介質(zhì)可以適于提供與第一實施例和第二實施例的那些特征中的任何特征相對應(yīng)的特征。

本發(fā)明的其它特征和優(yōu)點將根據(jù)以下參考附圖僅作為示例給出的本發(fā)明的實施例的描述而變得顯而易見。

附圖說明

圖1是示出根據(jù)本發(fā)明的一個或多個實施例的計算設(shè)備的組件的示意圖;

圖2是示出根據(jù)本發(fā)明的一個或多個實施例的驗證系統(tǒng)的組件的示意圖;

圖3是示出根據(jù)本發(fā)明的一個或多個實施例的提供用于提供對用戶的OTP驗證并控制對資源的訪問的方法的步驟的流程圖;

圖4是示出根據(jù)本發(fā)明的一個或多個實施例的用于生成主密鑰的加密版本的過程的步驟的流程圖;以及

圖5是示出根據(jù)本發(fā)明的一個或多個實施例的用于對主密鑰的加密版本進行解密以實現(xiàn)對容器的訪問的過程的步驟的流程圖。

具體實施方式

圖1示意性地示出了計算設(shè)備100的組件,計算設(shè)備100是用于示出本發(fā)明的實施例的特征的示例性設(shè)備。計算設(shè)備100可以采取智能電話、個人數(shù)字助理(PDA)、電子閱讀器、平板計算機、臺式計算機、膝上型計算機或任何其他合適的設(shè)備的形式。計算設(shè)備100包括處理器102,處理器102能夠向計算設(shè)備100內(nèi)與系統(tǒng)總線104相連的組件發(fā)送控制消息、從其接收狀態(tài)信息并向其收發(fā)數(shù)據(jù),其中這些組件可以包括非易失性存儲設(shè)備106、隨機存取存儲器(RAM)108、用戶輸入接口110、網(wǎng)絡(luò)接口112和被配置為向顯示器116輸出用戶界面的圖形處理組件114。處理器102(典型地是微處理器)處理已從非易失性存儲設(shè)備106加載的存儲在RAM 108中的指令,其中非易失性存儲設(shè)備106可以是例如閃存或硬盤驅(qū)動器。這些指令采取計算機軟件的形式,計算機軟件采取實現(xiàn)操作系統(tǒng)118的一個或多個程序和一個或多個應(yīng)用程序(以下稱為程序120)的形式。處理器102上運行的程序120還將RAM 108用作用于存儲和訪問采取電信號形式的數(shù)據(jù)的裝置,其中所述數(shù)據(jù)在程序120的執(zhí)行期間被使用。

用戶輸入接口110從一個或多個用戶輸入設(shè)備(未示出)接收用戶輸入。用戶輸入設(shè)備可以包括小鍵盤(keypad)、鍵盤(keyboard)、觸摸屏顯示器、鼠標(biāo)和/或遙控器或任何其它指點設(shè)備,其可以并入計算設(shè)備100內(nèi)或者可以經(jīng)由有線或無線連接而連接到計算設(shè)備100。

計算設(shè)備100可以包括網(wǎng)絡(luò)接口112(或多個這樣的接口),網(wǎng)絡(luò)接口112允許在處理器102上運行的程序120經(jīng)由通信網(wǎng)絡(luò)或多個這樣的通信網(wǎng)絡(luò)至/自多個其他設(shè)備和系統(tǒng)發(fā)送/接收數(shù)據(jù)。網(wǎng)絡(luò)接口112(或多個這樣的接口)能夠使用多種無線電接入技術(shù)中的一種或多種經(jīng)由無線接入節(jié)點或經(jīng)由有線技術(shù)(例如調(diào)制解調(diào)器和/或以太網(wǎng)卡)連接到通信網(wǎng)絡(luò)卡。通信網(wǎng)絡(luò)210和/或無線接入節(jié)點還可以提供對因特網(wǎng)的接入。

圖形處理組件114能夠根據(jù)由在處理器102上運行的程序120做出的命令來渲染圖形,并且將這些圖形輸出到可以駐留在計算設(shè)備100內(nèi)的顯示器116。顯示器116可以是經(jīng)由復(fù)合視頻、分量視頻、視頻圖形陣列、數(shù)字視覺接口和高清晰度多媒體接口連接中的一個或多個連接到計算設(shè)備100的外部組件。顯示器116可以是計算設(shè)備100的集成組件,并且可以是觸摸屏顯示器。

操作系統(tǒng)118是采取程序或程序集的形式的計算機軟件,該計算機軟件的指令被處理器102從非易失性存儲器106中加載,并且在計算設(shè)備100啟動時執(zhí)行。操作系統(tǒng)118可以自動啟動更多的程序120和/或可以允許用戶例如經(jīng)由操作系統(tǒng)118提供的用戶界面來啟動更多的程序120。操作系統(tǒng)118使得處理器102提供的處理能力能夠在運行在處理器102上的程序120之間共享。

操作系統(tǒng)118為在處理器102上運行的程序120提供編程接口,從而允許它們向操作系統(tǒng)118請求功能。該程序接口可以采取程序過程(procedure)(即系統(tǒng)調(diào)用)的形式,其中,在處理器102上運行的程序120可以使用該程序過程以便調(diào)用操作系統(tǒng)118,并請求其提供期望的功能。響應(yīng)于接收到對功能的請求,操作系統(tǒng)118可以向與系統(tǒng)總線104相連的組件(例如106、108、110、112、114、116)發(fā)送控制消息,從其接收狀態(tài)信息,并收發(fā)數(shù)據(jù),以提供所請求的功能,并且還可以向發(fā)送請求的程序120返回數(shù)據(jù)作為結(jié)果。

操作系統(tǒng)118可以提供用于存儲、修改和訪問保存在非易失性存儲器106中的文件或其他數(shù)據(jù)的文件系統(tǒng)。文件系統(tǒng)可以被在處理器102上運行的其它程序120經(jīng)由操作系統(tǒng)118提供的編程接口來訪問。

一旦程序120安裝在計算設(shè)備100上,用戶就可以使用操作系統(tǒng)118來啟動程序120。程序120可以包括被配置為允許用戶訪問計算設(shè)備100的非易失性存儲器106中保存的資源和/或數(shù)據(jù)的多個組件。程序120的這些組件可以包括渲染引擎122、核心服務(wù)124、服務(wù)插件126、應(yīng)用服務(wù)128和應(yīng)用130。這些組件可以使用由操作系統(tǒng)118提供的編程接口(即系統(tǒng)調(diào)用),以向操作系統(tǒng)118請求功能(例如訪問文件系統(tǒng)、發(fā)送/接收消息、使用網(wǎng)絡(luò)接口112等)。

在處理器102上運行的程序120可以處理從用戶輸入接口110獲得的用戶輸入,該用戶輸入接口110從一個或多個用戶輸入設(shè)備(未示出)接收用戶輸入。

應(yīng)用130可以包括操作為OTP驗證系統(tǒng)的一部分的OTP安全應(yīng)用140,如參考圖2所描述,并且提供可以由圖形處理組件114渲染并在顯示器116上顯示的用戶界面。用戶界面使得用戶能夠輸入用于訪問計算設(shè)備100的安全資源和/或存儲在非易失性存儲器106中的安全數(shù)據(jù)的標(biāo)識和認(rèn)證細節(jié)。OTP安全應(yīng)用140可以顯示當(dāng)用戶嘗試訪問安全(加密)數(shù)據(jù)時可以顯示的認(rèn)證用戶界面。認(rèn)證用戶界面還可以是當(dāng)程序120啟動時、或者當(dāng)計算設(shè)備100首次打開時、或者在需要常規(guī)字母數(shù)字密碼或安全碼的任何其他時間向用戶顯示的第一用戶界面。OTP安全應(yīng)用140還可以向用戶提供允許啟動其他應(yīng)用130或程序120、或啟動經(jīng)由網(wǎng)絡(luò)接口112的連接的用戶界面。

OTP安全應(yīng)用140包含用于對存儲在非易失性存儲器106內(nèi)的加密安全容器中的數(shù)據(jù)進行加密和/或解密的算法??梢越?jīng)由一個或多個網(wǎng)絡(luò)接口112(例如,從一個或多個遠程服務(wù)器)接收加密數(shù)據(jù),或者可以通過一些其他手段將加密數(shù)據(jù)保存到非易失性存儲器106。例如,數(shù)據(jù)可以由用戶手動導(dǎo)入,使用加密算法進行加密,并以加密形式存儲在非易失性存儲器106中。

可以根據(jù)對稱密鑰算法(即,使用相同密鑰用于加密和解密數(shù)據(jù)),例如高級加密標(biāo)準(zhǔn)(AES),或根據(jù)非對稱密鑰算法(即,使用一個密鑰用于加密數(shù)據(jù)并使用另一個密鑰用于解密數(shù)據(jù)),或者通過任何其他合適的密碼算法來加密和/或解密數(shù)據(jù)。以下參考圖2至圖5描述的實施例被描述為使用對稱密碼算法來實現(xiàn)。然而將理解,如下面所解釋的,它們可以使用非對稱密碼算法來實現(xiàn)。不管所使用的密碼算法的類型如何,為了對加密數(shù)據(jù)進行解密以使其可以以可讀形式顯示,提供了一種密碼密鑰(這里也稱為主密鑰),安全應(yīng)用140結(jié)合密碼算法使用該密碼密鑰來解密數(shù)據(jù)。

通過要求用戶除了靜態(tài)密碼之外還輸入OTP,增加密碼熵以提高對所謂的蠻力攻擊的抵抗力。例如,要求用戶除了其靜態(tài)密碼之外還輸入6位OTP,則該組合密碼增加了大約20位,使得蠻力攻擊比不需要OTP的情況困難了1,000,000倍(即,需要1,000,000倍的嘗試次數(shù)來攻破組合密碼)。

將使用主密鑰加密的數(shù)據(jù)以加密形式存儲在非易失性存儲器106的加密安全容器中。主密鑰的一個或多個加密版本存儲在容器之外。為了解鎖容器并解密數(shù)據(jù),首先使用驗證密鑰來解密主密鑰的加密版本。然后可以使用經(jīng)解密的主密鑰來解鎖容器。這樣做能夠?qū)崿F(xiàn)密碼密鑰的安全傳輸,并且當(dāng)密鑰改變時(其可能周期性地改變以維持?jǐn)?shù)據(jù)安全性)可以避免需要對整個存儲的加密數(shù)據(jù)進行重新加密。在OTP驗證系統(tǒng)的情況下,驗證密鑰對于每個OTP值通常是不同的,因此針對每個OTP值,需要可由不同驗證密鑰來解密的不同加密版本的主密鑰。

圖2是示出可在計算設(shè)備100上操作的OTP驗證系統(tǒng)200的組件的示意圖。驗證系統(tǒng)200包括存儲在非易失性存儲器106中的加密安全數(shù)據(jù)存儲部202(以下稱為容器202)。驗證系統(tǒng)還包括驗證密鑰生成器204和解鎖機構(gòu)206。

OTP驗證系統(tǒng)200被布置為由被提供OTP值或能夠生成OTP值的用戶使用。例如,可以向用戶提供OTP令牌201,OTP令牌201可以在與計算設(shè)備100分離的設(shè)備上實現(xiàn)或者可以由在計算設(shè)備100上運行的應(yīng)用實現(xiàn)。OTP令牌201包含被布置為根據(jù)OTP算法生成OTP值的OTP生成器,并且還包含OTP種子值205和時鐘207。OTP生成器203被布置為根據(jù)所基于的OTP算法生成OTP值。OTP算法可以是能夠生成僅對一個會話(即,時間段)或事務(wù)(事件)有效的代碼值的任何算法。該算法可以基于當(dāng)前時間、基于先前的OTP值224或基于事件計數(shù)來導(dǎo)出OTP值224。例如,可以根據(jù)不一定是時間相關(guān)的隨機值生成算法按順序生成OTP值。

在圖2所示的示例中,OTP生成器203被布置為基于種子值205和來自時鐘207的當(dāng)前時間值來生成OTP值。然后將所生成的OTP值提供給用戶,以與OTP驗證系統(tǒng)200一起使用。例如,可以用顯示器(未示出)來提供OTP令牌,顯示器顯示由OTP生成器203所生成的當(dāng)前OTP值。

在圖2的實施例中,使用對稱加密算法對容器202進行加密,并且可以使用在下文中稱為主密鑰208的第一密鑰來鎖定和/或解鎖容器202中包含的資源218。容器202包含第一數(shù)據(jù)集,第一數(shù)據(jù)集包括第二密鑰的副本(下文中稱為私鑰210)、OTP種子212以及(在適用時)用戶的靜態(tài)密碼214的副本。容器202還可以包含用戶希望保持安全的數(shù)據(jù)216或其他資源218。

容器202之外是非易失性存儲器106的未被主密鑰208加密的部分,其中存儲有包括公鑰220在內(nèi)的第二數(shù)據(jù)集。非易失性存儲器106的這一部分在下文中稱為存儲部219。主密鑰208的加密版本以及未被保護的資源221和數(shù)據(jù)223可以存儲在存儲部219中。在給予用戶訪問權(quán)之前需要用戶認(rèn)證的安全應(yīng)用225(例如電子郵件應(yīng)用)也可以存儲在存儲部219中。

私鑰210在數(shù)學(xué)上與公鑰220相關(guān)聯(lián)。公鑰220存儲在存儲部219中(即,其不安全地存儲在容器202中,但至少在OTP的時間幀內(nèi)難以從公鑰220導(dǎo)出私鑰210)。例如,公鑰220可以是兩個大素數(shù)N、以及可能的其他值(例如迭代計數(shù)K,其提供更高的安全系數(shù))的乘積。私鑰210可以是公鑰220的因式分解P、Q(即,兩個大素數(shù)加上所包括的任何其他值),以及可選地從公鑰220的因子計算出的一些其他值。例如,公鑰220可以是包括512位素數(shù)在內(nèi)的1024位密鑰,并且可以有1,000,000次迭代K。

驗證密鑰生成器204包括OTP生成器222,OTP生成器222被布置為生成OTP值224的序列,所述OTP值是與OTP令牌201提供給用戶的值相同的OTP值。例如,OTP生成器222可以包括相同的OTP生成算法,所述OTP生成算法對具有與OTP令牌201使用的OTP種子205相同的值的OTP種子212進行操作,以針對給定時間值產(chǎn)生與OTP令牌201相同的OTP值。

可以使用任何長度的OTP值。使用位數(shù)更高的OTP增加了可能的OTP值的數(shù)量,因此增加了OTP驗證系統(tǒng)200對所謂蠻力攻擊的抵抗力。由于蠻力攻擊者沒有私鑰210,所以對每個可能值的測試要花費不少時間,并且增加可能的OTP值的數(shù)量降低了蠻力攻擊者在OTP值的生命期內(nèi)找到正確OTP值的可能性。

驗證密鑰生成器204使用第一代碼生成函數(shù)生成驗證密鑰226,驗證密鑰226用于對主密鑰208的副本進行加密,使得它們可以安全地存儲在存儲部219中(即,非易失性存儲器106在容器202之外的區(qū)域中)。為了生成主密鑰208的加密副本,驗證密鑰生成器204從容器202獲得私鑰210的副本和OTP種子212的副本(箭頭232所示),并且基于OTP值224(基于OTP種子212而生成)和私鑰210生成驗證密鑰226。驗證密鑰226分別用于對主密鑰208的不同加密版本進行加密。然后,驗證密鑰生成器204將主密鑰208的加密版本存儲在非易失性存儲器106的存儲部219中(箭頭234所示)。

解鎖機構(gòu)206被布置成例如經(jīng)由用戶輸入接口110接收輸入(箭頭236所示)。輸入可以包括由OTP令牌201生成的OTP值和用戶的靜態(tài)密碼。代碼值生成器228接收輸入,并基于所接收的輸入和根據(jù)與用戶的OTP令牌中的時鐘同步的時鐘231所確定的時間值來生成代碼值230。然后,解鎖機構(gòu)206使用第二代碼生成函數(shù)生成用于對主密鑰208的加密版本進行解密的驗證密鑰226的版本。基于代碼值(基于接收的輸入而生成的)和從非易失性存儲器106的存儲部219所獲得的公鑰220,生成由解鎖機構(gòu)206所生成的驗證密鑰226(箭頭238所示)。解鎖機構(gòu)206從非易失性存儲器106的存儲部219獲得主密鑰208的一個或多個加密版本(箭頭240所示),并使用其已生成的驗證密鑰226來嘗試對主密鑰208的加密版本進行解密。一旦將主密鑰208的加密版本成功解密,解鎖機構(gòu)206使用解密后的主密鑰208來解鎖容器202(箭頭242所示)。

圖3是示出由圖2所示的OTP驗證系統(tǒng)200所執(zhí)行的用于提供對用戶的OTP驗證和經(jīng)由計算設(shè)備控制對資源的訪問的方法300的步驟的流程圖。

在步驟302,解鎖機構(gòu)206接收輸入,輸入可以是通過用戶輸入接口110接收的用戶輸入。輸入包括OTP值(例如用戶從OTP令牌獲得),并且還可以包括用戶的靜態(tài)密碼。然后在步驟304,解鎖機構(gòu)206基于接收的輸入來提供輸入代碼值。例如,輸入代碼值可以是OTP值、用戶的靜態(tài)密碼和當(dāng)前時間值的組合。

在步驟306,解鎖機構(gòu)206生成驗證密鑰226的版本,用于對先前用由驗證密鑰生成器204所生成的驗證密鑰226加密的主密鑰208的加密版本進行解密的第一解密處理,如下面參考圖4所描述的。如參考圖5所描述,基于代碼值(基于接收的輸入而生成)和公鑰220生成由解鎖機構(gòu)206所生成的驗證密鑰226的版本。

在步驟308,解鎖機構(gòu)206嘗試使用其已生成的驗證密鑰226的版本來解密主密鑰208的加密版本中的一個或多個。由于主密鑰208的加密版本是使用對稱加密算法進行加密和解密的,所以如果解鎖機構(gòu)206生成的驗證密鑰226對應(yīng)于驗證密鑰226,使得在步驟310處成功解密了主密鑰208的加密版本,則解鎖機構(gòu)206能夠解密主密鑰208的加密版本。

由解鎖機構(gòu)206生成的驗證密鑰226的版本能夠解鎖使用具有相同值的驗證密鑰226(由驗證密鑰生成器204生成)加密的主密鑰208的任何加密版本。然而,因為驗證密鑰226是基于散列的OTP值生成的,所以只有與解鎖機構(gòu)206生成驗證密鑰226的特定版本時所針對的時間或事件相對應(yīng)的主密鑰208的加密版本能夠使用驗證密鑰226的該版本來解密。

主密鑰208的加密版本可以用針對驗證密鑰226的相應(yīng)版本有效的時間或事件來標(biāo)記,以使驗證系統(tǒng)200能夠只嘗試解密主密鑰208的當(dāng)前加密版本。例如,驗證系統(tǒng)200可以只嘗試解密用接近當(dāng)前時鐘時間的時間來標(biāo)記的主密鑰208的加密版本。

為了防止對主密鑰208的舊加密版本或過期加密版本的解密,并因此降低蠻力攻擊成功破解主密鑰208的這種過期的加密版本的風(fēng)險,驗證系統(tǒng)200可以刪除用已經(jīng)過去的時間或事件所標(biāo)記的、或以任何其它適當(dāng)方式被標(biāo)識為舊的或過期的主密鑰208的加密版本。

如果解鎖機構(gòu)206生成的驗證密鑰226與用于對主密鑰208的加密版本進行加密的驗證密鑰226不匹配,則在步驟310,主密鑰208的加密版本沒有成功解密,因此解鎖機構(gòu)206不能將容器202解鎖以提供對容器202內(nèi)的資源和數(shù)據(jù)的訪問;即,在步驟312拒絕對資源的訪問。

一旦解鎖機構(gòu)206已解密了主密鑰208的加密版本,則其在步驟314的第二解密處理中使用主密鑰208來解鎖容器202。這為驗證密鑰生成器204提供了對私鑰210、OTP種子212和(在適用時)對用戶的靜態(tài)密碼214的訪問權(quán)。當(dāng)容器202打開時,用戶能夠在步驟316訪問容器202內(nèi)的安全數(shù)據(jù)216和/或資源218。

在一些實施例中,除了認(rèn)證對容器202內(nèi)的資源的訪問之外,或作為這種認(rèn)證的替代,解密后的主密鑰208可以用于針對容器202之外的資源(例如安全應(yīng)用225)來認(rèn)證用戶。例如,主密鑰208可以用于針對電子郵件應(yīng)用來認(rèn)證用戶(例如,用作該應(yīng)用的密碼),電子郵件應(yīng)用提供其自己的數(shù)據(jù)加密并將該數(shù)據(jù)存儲在非易失性存儲器106的存儲部219(即,非易失性存儲器106的未用主密鑰208加密的部分)中。

在步驟318,訪問存儲在容器202中的私鑰210、OTP種子值212以及(當(dāng)適用時)用戶的靜態(tài)密碼214的驗證密鑰生成器204生成主密鑰208的一個或多個另外的版本,如下面參考圖4所描述。由于驗證密鑰生成器204可以訪問私鑰210,因此,相比于解鎖機構(gòu)206(其只有對公鑰220的訪問權(quán),沒有對私鑰210的訪問權(quán))可以生成用于對主密鑰208的加密版本進行解密的驗證密鑰226的版本,其能夠更快地(使用更少的計算資源)生成用于對主密鑰208的版本進行加密的驗證密鑰226。

在步驟320,將主密鑰208的一個或多個另外的加密版本存儲在非易失性存儲器106的存儲部219中(即,在容器202之外),用于在方法300的隨后迭代步驟中對容器202進行解鎖。

圖4是示出使用驗證密鑰生成器204、針對時間集t=1,...,t=n來生成主密鑰208(用MK表示)的加密版本的加密過程400的流程圖。生成時間集,以覆蓋預(yù)計用戶對容器202進行至少一次解鎖的時間段。通常,時間集將跨越數(shù)天,以允許用戶能夠繼續(xù)訪問安全數(shù)據(jù)并且在該時間跨度內(nèi)由容器202脫機提供的資源被解鎖至少一次。在用戶未在規(guī)定的時間限制內(nèi)訪問他們的容器202至少一次(使得OTP驗證系統(tǒng)200在超過時間限制的時間不能生成主密鑰208的新的加密版本)的情況下,驗證系統(tǒng)200可以要求用戶執(zhí)行在線驗證處理以解鎖容器202,從而使得驗證密鑰生成器204能夠生成主密鑰208的新的加密版本。

時間集中的時間的間隔可以是任何值。時間之間的間隔越緊密,則導(dǎo)致OTP值和主密鑰208的有效加密版本更頻繁地改變,并因此導(dǎo)致容器202的內(nèi)容的安全程度更高。通常,時間之間的間隔在30秒至60秒的范圍內(nèi);例如,在時間之間的間隔為30秒的系統(tǒng)中,有效OTP值每30秒改變一次。然而,可以使用任何合適的時間之間的間隔。

在步驟402,驗證密鑰生成器204通過使用從容器202獲得的種子值212和時間集,對OTP生成器222的OTP生成算法進行操作,來生成OTP值224的集合,O1,...,On,使得每個OTP值對應(yīng)于時間集中的一個時間。

在步驟404,針對每個OTP值224,驗證密鑰生成器204計算與OTP值224(由Oi表示)、對應(yīng)的時間值(由ti表示)以及(可選的)用戶的靜態(tài)密碼(由pw表示)相關(guān)的組合值。可以使用單向函數(shù)來計算組合值,單向函數(shù)確保不能容易地從組合值中確定組成值(例如,不能在OTP值的生存期內(nèi)可行地確定)。例如,驗證密鑰生成器204可以使用密碼散列函數(shù)生成組合的散列值Hi,由下式給出:

Hi=hash(ti,Oi,pw).

如上所述,為了對主密鑰208的版本進行加密,驗證密鑰生成器204生成驗證密鑰226的集合。主密鑰208的加密版本通常為32字節(jié)長,這意味著用于對主密鑰208的加密版本進行加密的驗證密鑰226通常也是32字節(jié)長,因為用于對主密鑰208的加密版本進行加密和解密的密碼算法是對稱的。由于公鑰220通常比主密鑰208的加密版本長得多(即包括更多的位)(例如公鑰220可以包括1024位,包括兩個512位素數(shù)),所以使用另一哈希函數(shù)來生成所使用的驗證密鑰226,所述另一哈希函數(shù)生成另一散列值H′i,其為32字節(jié)長并且使用在步驟404生成的哈希值Hi、公鑰220(由N表示)和迭代計數(shù)(由K表示)來生成。因此,每個驗證密鑰226具有值H′i,由下式給出:

H′i=hash(H_i^(2^k)mod N)。

由于N(即私鑰210)的因式分解是已知的,因此可以通過以下計算來相對快速地計算形成由驗證密鑰生成器204所生成的驗證密鑰226的H′i的值:

先步驟406進行第一計算:k′=2k mod(P-1)(Q-1):

然后在步驟408中計算:

Hik′mod N。

如圖4所示,可以與組合值H′i的生成分開地計算k′的值。例如,k′的值可以在驗證密鑰生成器204的操作之前計算并存儲在容器202中,并且當(dāng)容器212被解鎖時由驗證密鑰生成器204訪問。備選地,可以在驗證密鑰生成器204生成驗證密鑰226的同時在運行時計算k′的值。

當(dāng)P和Q的值已知時,計算H′i所花費的時間小于當(dāng)P和Q的值未知時計算H′i的值所花費的時間。例如,使用1024位公鑰220(包括512位素數(shù)和1,000,000次計數(shù)迭代K),則使用驗證密鑰生成器104生成驗證密鑰226所花費的時間(即,訪問私鑰210)在2013年的典型臺式計算機上約0.25毫秒,在2013年的典型智能手機上約1毫秒(在2013年的典型智能手機上操作的驗證密鑰生成器204可以在約3個CPU秒內(nèi)生成可用一天的驗證密鑰226)。

然后在步驟410,驗證密鑰生成器204使用所生成的驗證密鑰226中的每一個,通過使用對稱加密算法來加密主密鑰208的版本,由下式給出:

encrypt(MK,H′i)。

因此,生成了主密鑰208的加密版本的集合,其中每個加密版本用不同的驗證密鑰226(基于不同的OTP值)來生成。

在步驟412,主密鑰208的加密版本的集合存儲在非易失性存儲器106的存儲部219中(即在容器202之外)。然后,主密鑰208的加密版本的集合可被用戶用于隨后使用解鎖機構(gòu)206來解鎖容器202的嘗試。

主密鑰208的加密版本的長度可以被選擇為平衡密鑰加密的熵和可用存儲。例如,主密鑰的加密版本可以是32字節(jié)長。利用32字節(jié)長的主密鑰208的加密版本,并且主密鑰208的每個加密版本在30秒的時段內(nèi)有效,存儲一天的主密鑰208的加密版本所需的數(shù)據(jù)存儲容量大約為92kB。為了限制數(shù)據(jù)存儲需要,驗證系統(tǒng)200可以要求用戶在規(guī)定的時間限制內(nèi)訪問容器202至少一次;例如,至少每數(shù)天一次。在用戶未在規(guī)定的時間限制內(nèi)訪問他們的容器202至少一次(使得OTP驗證系統(tǒng)200在超過時間限制的時間不能生成主密鑰208的新的加密版本)的情況下,驗證系統(tǒng)200可以要求用戶執(zhí)行在線驗證處理以解鎖容器202,從而使得驗證密鑰生成器204能夠生成主密鑰208的新的加密版本。

圖5是示出用于使用解鎖機構(gòu)206對主密鑰208的加密版本進行解密的解密過程500的流程圖。

為了對主密鑰208的加密版本進行解密,解鎖機構(gòu)206需要成功生成具有與由驗證密鑰生成器204生成且用于加密主密鑰208的加密版本的驗證密鑰226相同的值的驗證密鑰226的版本。也就是說,解鎖機構(gòu)206必須生成具有由下式給出的值H’的驗證密鑰226:

H’=hash(H^(2^k)mod N)=hash(H_i^(2^k)mod N)。

為了生成驗證密鑰226,在步驟502,解鎖機構(gòu)206接收輸入,例如用戶輸入。該輸入包括當(dāng)前OTP值(由O表示)和可能的用戶的靜態(tài)密碼(由PW表示)。例如,當(dāng)前OTP值可以由用戶從OTP令牌201中獲得。

在步驟504,解鎖機構(gòu)計算與當(dāng)前OTP值、可根據(jù)時鐘231確定的當(dāng)前時間值(由t表示)和用戶的靜態(tài)密碼(由pw表示)相關(guān)的組合值。可以使用單向函數(shù)來計算組合值,單向函數(shù)確保不能容易地從組合值中確定組成值(例如,不能在OTP值的生存期內(nèi)可行地確定)。例如,解鎖機構(gòu)206可以使用密碼散列函數(shù)來生成組合的散列值H,由下式給出:

H=hash(t,O,pw)。

由于解鎖機構(gòu)206和用戶都不能訪問私鑰210(只能訪問公鑰220),所以為了生成具有與用于加密主密鑰208的給定加密版本的驗證密鑰226的相同值的驗證密鑰226的版本,需要解鎖機構(gòu)206使用與驗證密鑰生成器204所使用的過程不同的過程來導(dǎo)出或計算出驗證密鑰226。

為了生成驗證密鑰226的版本,在步驟506,解鎖機構(gòu)206依次執(zhí)行K模平方運算以確定值:

H^(2^k)mod N。

在步驟508,解鎖機構(gòu)執(zhí)行另一散列操作。如上參考圖4的步驟408所述,使用另一散列函數(shù)來生成驗證密鑰226的版本,使得驗證密鑰具有與主密鑰208的加密版本的長度相對應(yīng)的固定長度(例如32字節(jié)),并且長度通常短于公鑰220。因此,使用在步驟504生成的散列值H、公鑰220(由N表示)和迭代計數(shù)(由K表示)來生成驗證密鑰226的版本。解鎖機構(gòu)206產(chǎn)生的驗證密鑰226具有值H′,由下式給出:

H′=hash(H^(2^k)mod N)。

因此,通過依次執(zhí)行k模平方運算,在不知道N的因式分解(即,不訪問私鑰210)的情況下計算出形成由解鎖機構(gòu)206所生成的驗證密鑰226的H′值,而在知道N的因式分解(私鑰201)的情況下,計算出形成由驗證密鑰生成器204所生成的驗證密鑰226的H′i值。因此,由驗證密鑰生成器204執(zhí)行的計算的量比由解鎖機構(gòu)206執(zhí)行的計算要少,因此相比解鎖機構(gòu)206可以生成用于對主密鑰208的加密版本進行解密的驗證密鑰226,驗證密鑰生成器204可以更快地生成用于對主密鑰208的加密版本進行加密的相同驗證密鑰226。

在步驟510,解鎖機構(gòu)從非易失性存儲器106的存儲部219獲得主密鑰208的加密版本。在這方面,解鎖機構(gòu)206可以僅獲得與當(dāng)前時間值相對應(yīng)的主密鑰208的加密版本,或者可以獲得所存儲的主密鑰208的所有加密版本。解鎖機構(gòu)206可以將獲得的主密鑰208的加密版本(一個或多個)保存在RAM 108中。

在步驟512,解鎖機構(gòu)206使用其已生成的驗證密鑰226來解密與當(dāng)前時間相對應(yīng)的主密鑰208的加密版本。使用驗證密鑰生成器204用來對主密鑰206的加密版本進行加密的相同的對稱加密算法來執(zhí)行對主密鑰208的加密版本的解密,由下式給出:

decrypt(MK,H′)。

解鎖機構(gòu)206生成用于對主密鑰208的加密版本進行解密的驗證密鑰226的版本的處理通常比驗證密鑰生成器204生成用于對主密鑰208的加密版本進行加密的驗證密鑰226的處理時間明顯更長。例如,使用1024位公鑰220(包括512位素數(shù)和1,000,000次計數(shù)迭代K),則使用解鎖機構(gòu)206生成驗證密鑰226所花費的時間(即,不訪問私鑰210)在2013年的典型臺式計算機上約500毫秒,在2013年的典型智能手機上約2秒。因此,解鎖機構(gòu)206生成驗證密鑰226所費的時間比驗證密鑰生成器204多約2000倍。驗證密鑰生成器204生成驗證密鑰226所花費的時間與解鎖機構(gòu)206生成相同密鑰226所花費的時間之間的差異提供了對抗蠻力攻擊的魯棒性,因為驗證密鑰生成器204速度較快,所以允許快速生成主密鑰208的加密版本,但與此同時,解鎖機制206速度較慢。相應(yīng)地,快速生成主密鑰208的加密版本使得OTP驗證系統(tǒng)200能夠在延長的時間段內(nèi)離線操作(即,不連接到遠程服務(wù)器),而不需要這樣大量的專門用來存儲主密鑰208的加密版本的非易失性存儲器106的部分,或這樣大量的專用于生成主密鑰208的加密版本的處理時間。此外,驗證系統(tǒng)200可以使用現(xiàn)有的OTP算法來實現(xiàn),因此可以與現(xiàn)有的OTP令牌(其當(dāng)前可以用于在線OTP驗證)結(jié)合使用。

上述實施例應(yīng)被理解為本發(fā)明的說明性示例。設(shè)想了本發(fā)明的其它實施例。例如,在上述OTP驗證系統(tǒng)的描述中,驗證密鑰生成器204被描述為在容器202外部,并且僅當(dāng)容器202被解鎖時才能夠訪問私鑰210和OTP種子212。然而,驗證密鑰生成器204本身可以存儲在容器202內(nèi),并且因此可以保存私鑰210的副本和OTP種子212。響應(yīng)于容器202被解鎖,驗證密鑰生成器204可以從非易失性存儲器106的存儲部219中移除主密鑰208的過期的加密版本(即,用于過去的時間),并且啟動用于生成一組新的主密鑰208的未來加密版本的處理。

雖然在上述方法中解鎖機構(gòu)206從非易失性存儲器106的存儲部219獲得主密鑰208的加密版本,但是將理解,主密鑰208的加密版本可以在生成時或在其后的任何時間通過驗證密鑰生成器204被傳遞到解鎖機構(gòu)206。然后,解鎖機構(gòu)206可以將主密鑰208的加密版本存儲在非易失性存儲器106的存儲部219中,或者可以僅將主密鑰208的加密版本臨時存儲在RAM 108中。

盡管在上面參考圖4和圖5描述的實施例中,與時間值、OTP值和用戶的靜態(tài)密碼相關(guān)的組合值被描述為使用單向函數(shù)(例如散列函數(shù))來計算,但是將理解,可以使用將這些值組合的任何合適的函數(shù)。例如,可以通過拼接時間值、OTP值和用戶的靜態(tài)密碼來計算組合值。

上述實施例是在對稱加密方案的上下文中描述的,其中使用相同的密鑰(即主密鑰208)來鎖定和解鎖容器202。然而,將理解,合適的非對稱加密方案也可以與驗證系統(tǒng)200一起使用。在這種系統(tǒng)中,驗證密鑰生成器204生成主密鑰208的多個加密版本,其中多個加密版本形成用于解鎖容器202的非對稱密鑰對的私鑰部分。用于鎖定容器202的非對稱密鑰對的對應(yīng)公鑰部分存儲在容器202之外。使用非對稱密鑰算法的驗證系統(tǒng)200的這種實現(xiàn)使得數(shù)據(jù)能夠在容器202鎖定或解鎖時被放入在容器202中(即加密),但是僅在容器202解鎖時才能從容器202中取出(即解密)。

應(yīng)當(dāng)理解,結(jié)合任一個實施例描述的任何特征都可以單獨使用,或與所描述的其他特征組合使用,并且還可以與任何其它實施例或任何其他實施例的任何組合的一個或多個特征組合使用。此外,在不脫離所附權(quán)利要求中限定的本發(fā)明的范圍的情況下,也可以采用上面未描述的等同物和修改。

當(dāng)前第1頁1 2 3 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1