本申請涉及并要求于2014年10月31日提交的名稱為“amulti-userstrongauthenticationtoken”的美國臨時(shí)申請第62/073,457的權(quán)益，該申請的內(nèi)容通過引用并入本文。

本發(fā)明涉及確保通過計(jì)算機(jī)網(wǎng)絡(luò)遠(yuǎn)程訪問計(jì)算機(jī)和應(yīng)用以及遠(yuǎn)程交易安全。更具體地，本發(fā)明涉及允許多個(gè)用戶共享同一強(qiáng)認(rèn)證令牌以確保訪問遠(yuǎn)程應(yīng)用安全的方法和設(shè)備。

背景技術(shù)：

隨著對計(jì)算機(jī)系統(tǒng)和應(yīng)用的遠(yuǎn)程訪問越來越普及，通過諸如因特網(wǎng)的公用網(wǎng)絡(luò)遠(yuǎn)程訪問的交易的數(shù)量和種類顯著增長。該普及強(qiáng)調(diào)了對安全的要求；特別是：如何確保正遠(yuǎn)程訪問應(yīng)用的人是他們所聲稱的人、如何確保正遠(yuǎn)程進(jìn)行的交易由合法個(gè)體發(fā)起、以及如何確保交易數(shù)據(jù)在被應(yīng)用服務(wù)器處接收到之前未被改變。在本說明書的上下文中，除非另外指出或根據(jù)上下文是清楚的，否則應(yīng)用是指可遠(yuǎn)程訪問的基于計(jì)算機(jī)的應(yīng)用，其由一個(gè)或更多個(gè)應(yīng)用服務(wù)器計(jì)算機(jī)托管，并且可由與客戶端計(jì)算設(shè)備本地交互的用戶遠(yuǎn)程訪問，其中用戶的客戶端計(jì)算設(shè)備和一個(gè)或更多個(gè)應(yīng)用服務(wù)器借助于計(jì)算機(jī)網(wǎng)絡(luò)連接。例如，用戶可以與運(yùn)行網(wǎng)絡(luò)瀏覽器的個(gè)人計(jì)算機(jī)或智能電話進(jìn)行交互，其中可以借助于互聯(lián)網(wǎng)將個(gè)人計(jì)算機(jī)或智能電話與托管應(yīng)用的網(wǎng)絡(luò)服務(wù)器連接，并且其中網(wǎng)絡(luò)瀏覽器和網(wǎng)絡(luò)服務(wù)器可以交換例如超文本傳輸協(xié)議(http)消息。在另一示例中，用戶可以與運(yùn)行在與遠(yuǎn)程服務(wù)器連接的智能電話上的移動應(yīng)用進(jìn)行交互。應(yīng)用可以例如包括網(wǎng)上銀行應(yīng)用。

確保訪問遠(yuǎn)程應(yīng)用安全的一種方法是使用所謂的強(qiáng)認(rèn)證令牌。在本說明書的上下文中，強(qiáng)認(rèn)證令牌(或簡稱為認(rèn)證令牌或令牌)是包括能夠進(jìn)行某些密碼運(yùn)算的數(shù)據(jù)處理裝置的緊湊型手持電子設(shè)備。該設(shè)備適于通過對包括至少一個(gè)動態(tài)變量的一個(gè)或更多個(gè)輸入執(zhí)行密碼算法來生成代表用戶的動態(tài)認(rèn)證憑證，其中密碼算法由可與該用戶相關(guān)聯(lián)的一個(gè)或更多個(gè)秘密密碼密鑰參數(shù)化。動態(tài)變量可以例如包括時(shí)間值(其可以由認(rèn)證令牌中包括的實(shí)時(shí)時(shí)鐘提供)，動態(tài)變量可以包括可以提供給認(rèn)證令牌的質(zhì)詢的值(例如輸入到認(rèn)證令牌中的十進(jìn)制數(shù)字串)，動態(tài)變量可以包括計(jì)數(shù)器的值，該計(jì)數(shù)器的值可以由認(rèn)證令牌維持并且可以例如在每當(dāng)使用計(jì)數(shù)器生成憑證時(shí)遞增(或遞減)，動態(tài)變量可以包括從先前生成的憑證得到的值(其可以例如包括憑證的先前值)，動態(tài)變量可以包括表示需要被認(rèn)證的交易的數(shù)據(jù)，并且動態(tài)變量可以包括上述的任何組合。

在令牌僅使用時(shí)間、計(jì)數(shù)器或質(zhì)詢值生成動態(tài)認(rèn)證憑證的情況下，所生成的憑證也可以被稱為一次性口令。如果令牌使用交易數(shù)據(jù)生成動態(tài)認(rèn)證憑證，則動態(tài)認(rèn)證憑證也可以被稱為簽名或交易數(shù)據(jù)簽名。

強(qiáng)認(rèn)證令牌可以向用戶呈現(xiàn)生成的動態(tài)認(rèn)證憑證，使得用戶可以將生成的憑證轉(zhuǎn)發(fā)給應(yīng)用，使得應(yīng)用可以對憑證進(jìn)行驗(yàn)證。例如，強(qiáng)認(rèn)證令牌可以生成由數(shù)字串組成的動態(tài)認(rèn)證憑證，并且可以通過將該數(shù)字串顯示在令牌的顯示器上來向用戶呈現(xiàn)動態(tài)認(rèn)證憑證。

一些強(qiáng)認(rèn)證令牌相對簡單，并且可以僅提供基本的一次性口令功能，以及可以僅具有只包含單個(gè)開/關(guān)按鈕和用于顯示6位的一次性口令的7段顯示器的非常有限的用戶接口。其他強(qiáng)認(rèn)證令牌較復(fù)雜。例如，一些高端強(qiáng)認(rèn)證令牌可能能夠提供包括在交易數(shù)據(jù)上生成簽名在內(nèi)的一系列功能，并且所述高端強(qiáng)認(rèn)證令牌例如可以包括：攝像裝置，其用于捕獲編碼有要簽名的相對大量的數(shù)據(jù)的圖像；更強(qiáng)大的數(shù)據(jù)處理裝置，其用于對所捕獲的圖像進(jìn)行處理和解碼；以及更復(fù)雜的用戶接口，其能夠通過例如圖形顯示向用戶呈現(xiàn)相對大量的數(shù)據(jù)。

這里包括對本發(fā)明的背景技術(shù)的討論以解釋本發(fā)明的背景。不應(yīng)將此理解為承認(rèn)上述任何材料在本申請的優(yōu)先權(quán)日是已公開的、已知的或是公知常識的一部分。

技術(shù)實(shí)現(xiàn)要素：

技術(shù)問題

與比較簡單的令牌相比，使用更復(fù)雜的高端強(qiáng)認(rèn)證令牌使得能夠以更安全和更用戶友好的方式來確保更復(fù)雜交易的安全。然而，攝像裝置、更強(qiáng)大的數(shù)據(jù)處理裝置和復(fù)雜的用戶接口往往相對較貴，使復(fù)雜的強(qiáng)認(rèn)證令牌的成本明顯高于簡單的基本的一次性口令令牌的成本。盡管在安全性和用戶友好性方面具有優(yōu)勢，但這種額外的成本可能會抑制高端強(qiáng)認(rèn)證令牌的廣泛采用。

需要的是減少使用這種高端強(qiáng)認(rèn)證令牌的成本同時(shí)保留其使用所提供的優(yōu)點(diǎn)的方式。

技術(shù)方案

本發(fā)明基于發(fā)明人的以下認(rèn)識：如果不同的應(yīng)用用戶(例如同一家庭的成員)可以共享同一強(qiáng)認(rèn)證令牌，則可以明顯減少應(yīng)用的用戶使用相對昂貴的高端強(qiáng)認(rèn)證令牌來確保應(yīng)用安全的總成本。

此外，本發(fā)明還基于發(fā)明人的以下認(rèn)識：如果單個(gè)強(qiáng)認(rèn)證令牌能夠包括多個(gè)令牌實(shí)例，則不同用戶可以共享該單個(gè)強(qiáng)認(rèn)證令牌，其中每個(gè)實(shí)例可以具有其自身的一組密碼秘密(或用于確定這樣的密碼秘密的數(shù)據(jù))和用于生成諸如簽名和一次性口令之類的動態(tài)憑證的參數(shù)，并且其中不同的實(shí)例可以與不同的用戶相關(guān)聯(lián)。

此外，本發(fā)明還基于發(fā)明人的以下認(rèn)識：如果強(qiáng)認(rèn)證令牌將每個(gè)單獨(dú)實(shí)例的使用限制于與該實(shí)例相關(guān)聯(lián)的合法用戶，則可以獲得更高級別的安全性。

此外，本發(fā)明還基于以下認(rèn)識：如果使用戶可以使用多實(shí)例強(qiáng)認(rèn)證令牌的邏輯處理使得可以在強(qiáng)認(rèn)證令牌已經(jīng)被分發(fā)給用戶之后生成單獨(dú)的實(shí)例和/或?qū)为?dú)的實(shí)例分配給特定用戶和/或加載到特定令牌中，則這是有利的。

在本說明書的上下文中，術(shù)語“用戶”可以指自然人，但也可以指代虛擬用戶，例如同一自然人可以由多個(gè)虛擬用戶身份表示。也就是說，不同的用戶可以是不同的自然人，但是不同的用戶也可以是與同一自然人相對應(yīng)的不同的虛擬用戶身份。

支持多個(gè)實(shí)例的認(rèn)證令牌

在本發(fā)明的一個(gè)方面，提供了一種用于對用戶或交易進(jìn)行認(rèn)證以確保多個(gè)用戶與一個(gè)或更多個(gè)應(yīng)用之間的交互安全的系統(tǒng)。

在單個(gè)認(rèn)證令牌上的多個(gè)實(shí)例

在一些實(shí)施方式中，單個(gè)強(qiáng)認(rèn)證令牌可以包括多于一個(gè)的令牌實(shí)例。令牌實(shí)例(或簡稱為實(shí)例)可以被理解為包括包含在認(rèn)證令牌中的與特定用戶相關(guān)聯(lián)的所有個(gè)性化數(shù)據(jù)，其中所述個(gè)性化數(shù)據(jù)限定該令牌相比另一用戶對于該特定用戶而言如何不同作用。特別地，實(shí)例可以包括由認(rèn)證令牌用以針對與該實(shí)例相關(guān)聯(lián)的用戶生成動態(tài)認(rèn)證憑證的一個(gè)或更多個(gè)密碼密鑰，或者實(shí)例可以包括下述數(shù)據(jù)元素，認(rèn)證令牌可以使用所述數(shù)據(jù)元素來確定或得到由認(rèn)證令牌使用以針對與該實(shí)例相關(guān)聯(lián)的用戶生成動態(tài)認(rèn)證憑證的一個(gè)或更多個(gè)密碼密鑰的值。在一些實(shí)施方式中，實(shí)例還可以包括可以定義屬性值的一些參數(shù)，例如所生成的動態(tài)憑證在呈現(xiàn)給用戶之前被編碼的方式(例如十進(jìn)制、十六進(jìn)制、字母數(shù)字、……)、動態(tài)憑證中包括多少位、......。在一些實(shí)施方式中，實(shí)例也可以包括使得認(rèn)證令牌能夠驗(yàn)證用戶是否確實(shí)是與實(shí)例相關(guān)聯(lián)的合法用戶的參考數(shù)據(jù)。例如，在一些實(shí)施方式中，實(shí)例可以包括pin參考值或生物特征參考數(shù)據(jù)集。在一些實(shí)施方式中，實(shí)例還可以包括與實(shí)例的生命周期有關(guān)的參數(shù)和數(shù)據(jù)如pin管理相關(guān)數(shù)據(jù)。這樣的參數(shù)和數(shù)據(jù)可以例如包括指示初始pin是否仍必須更改的標(biāo)記、指示實(shí)例已啟用還是阻止的標(biāo)記、pin嘗試計(jì)數(shù)器，最大pin嘗試計(jì)數(shù)器，指示鎖定實(shí)例是否應(yīng)自動被刪除的參數(shù)、pin解鎖碼、......。在一些實(shí)施方式中，實(shí)例還可以包括取決于用戶并且可能具有改善用戶體驗(yàn)和用戶便利性的功能的數(shù)據(jù)。例如，實(shí)例可以包括一些用戶相關(guān)的消息值或標(biāo)題(如實(shí)例的名稱)，或者實(shí)例可以包括語言偏好指示符，該語言偏好指示符可以向認(rèn)證令牌指示用戶偏好認(rèn)證令牌支持的多種語言中的哪種語言。在一些實(shí)施方式中，實(shí)例還可以包括諸如實(shí)例序列號的實(shí)例標(biāo)識數(shù)據(jù)元素(或?qū)嵗龢?biāo)識符)。在一些實(shí)施方式中，這樣的實(shí)例標(biāo)識數(shù)據(jù)元素可以對于整個(gè)批次的令牌而言是唯一的。在一些實(shí)施方式中，實(shí)例標(biāo)識數(shù)據(jù)元素可以僅在單個(gè)令牌的實(shí)例中是唯一的。在一些實(shí)施方式中，特定令牌的特定實(shí)例的實(shí)例標(biāo)識數(shù)據(jù)元素和令牌標(biāo)識數(shù)據(jù)元素(例如令牌序列號)的組合可以在整個(gè)批次令牌中的所有令牌的所有實(shí)例中是唯一的。

特定實(shí)例中包括的或與特定實(shí)例相關(guān)聯(lián)的一些數(shù)據(jù)元素可以被存儲在令牌的存儲器的特定區(qū)域中(由此該區(qū)域可被保留用于存儲與該特定實(shí)例相關(guān)聯(lián)的數(shù)據(jù))，并且令牌可以在需要時(shí)從與該特定實(shí)例相關(guān)聯(lián)的存儲器區(qū)域取回或讀取這些數(shù)據(jù)元素。實(shí)例的其他數(shù)據(jù)元素不永久地存儲在與特定實(shí)例相關(guān)聯(lián)的存儲器區(qū)域中。實(shí)例中的一些數(shù)據(jù)元素由令牌在需要時(shí)例如通過使用該實(shí)例的其他數(shù)據(jù)元素來創(chuàng)建或重新創(chuàng)建。由令牌用以獲得實(shí)例的某些數(shù)據(jù)元素的這些其他數(shù)據(jù)元素中的一些數(shù)據(jù)元素可以存儲在令牌的與該實(shí)例相關(guān)聯(lián)的存儲器區(qū)域中并且可以從所述存儲器區(qū)域讀取。例如，在一些實(shí)施方式中，可以將與特定實(shí)例相關(guān)聯(lián)的密碼密鑰存儲在令牌的被保留用于該特定實(shí)例的存儲器區(qū)域中，并且令牌可以通過從與該實(shí)例相關(guān)聯(lián)的存儲器區(qū)域讀取密碼密鑰來獲得該密碼密鑰(例如，用于生成動態(tài)憑證或?qū)⑾⒔饷?。在一些實(shí)施方式中，可以不將特定實(shí)例的特定密碼密鑰永久地存儲在與該實(shí)例相關(guān)聯(lián)的存儲器區(qū)域中，而是可以在令牌需要該特定密碼密鑰時(shí)由令牌通過從該實(shí)例的另一數(shù)據(jù)元素得到該特定密碼密鑰來獲得。例如，在一些實(shí)施方式中，令牌可以通過將令牌主密鑰與標(biāo)識特定實(shí)例的數(shù)據(jù)元素(如該實(shí)例的序列號)以密碼方式組合來得到該特定實(shí)例的特定密碼密鑰。在另一實(shí)施方式中，令牌可以通過使用密鑰多樣化數(shù)據(jù)元素(其可以例如與令牌將所得到的密碼密鑰用于的操作類型相關(guān)聯(lián))從特定實(shí)例的另一密碼密鑰以密碼方式得到該特定實(shí)例的特定密碼密鑰來得到所述特定密碼密鑰。

實(shí)例與用戶之間的關(guān)系

在一些實(shí)施方式中，包括多于一個(gè)的令牌實(shí)例的單個(gè)強(qiáng)認(rèn)證令牌的各個(gè)令牌實(shí)例可以與不同的用戶相關(guān)聯(lián)。在一些實(shí)施方式中，同一令牌中包括的每個(gè)實(shí)例與不同的用戶相關(guān)聯(lián)。在一些實(shí)施方式中，與同一用戶相關(guān)聯(lián)的多個(gè)實(shí)例可以被包括在同一令牌中。在一些實(shí)施方式中，與同一用戶相關(guān)聯(lián)的多個(gè)實(shí)例可以構(gòu)成用戶實(shí)例組。在一些實(shí)施方式中，同一用戶實(shí)例組的實(shí)例可以共享某些數(shù)據(jù)元素(例如，用戶實(shí)例組標(biāo)識數(shù)據(jù)元素如用戶實(shí)例組序列號)。在一些實(shí)施方式中，同一用戶實(shí)例組的實(shí)例的一些相應(yīng)數(shù)據(jù)元素的值之間可以具有密碼關(guān)聯(lián)。例如，在一些實(shí)施方式中，同一用戶實(shí)例組的實(shí)例的一個(gè)或更多個(gè)密碼密鑰的值可以全都從同一主密鑰得到，該主密鑰與用戶實(shí)例組相關(guān)聯(lián)并且可以對另一用戶實(shí)例組而言具有不同的值。在一些實(shí)施方式中，僅單個(gè)用戶實(shí)例組可以與單個(gè)用戶相關(guān)聯(lián)。在其他實(shí)施方式中，多個(gè)用戶實(shí)例組可以與同一用戶相關(guān)聯(lián)。在一些實(shí)施方式中，令牌可以只包括同一用戶實(shí)例組中的一個(gè)實(shí)例，但是可以包括與同一用戶相關(guān)聯(lián)的多個(gè)實(shí)例，前提是這些實(shí)例全都屬于不同的用戶實(shí)例組。

在一些實(shí)施方式中，任何令牌上的每個(gè)實(shí)例是唯一的，即同一實(shí)例可以僅被包括在一個(gè)單個(gè)令牌中。在其他實(shí)施方式中，同一實(shí)例的多個(gè)拷貝可以存在于多于一個(gè)的不同的令牌上。在一些實(shí)施方式中，同一實(shí)例的多個(gè)拷貝可以與同一用戶相關(guān)聯(lián)。在一些實(shí)施方式中，可以被包括在不同令牌中的多個(gè)實(shí)例可以與同一用戶相關(guān)聯(lián)并且可以共享某些數(shù)據(jù)值和屬性。在一些實(shí)施方式中，不同令牌中包括的并且與同一用戶相關(guān)聯(lián)的多個(gè)實(shí)例可以共享某些數(shù)據(jù)和屬性的值但是可以對于其他數(shù)據(jù)和屬性而言具有不同的值。例如，在一些實(shí)施方式中，與同一用戶相關(guān)聯(lián)的多個(gè)實(shí)例可以被包括在不同的令牌中，并且所有這些實(shí)例可以共享同一密碼密鑰但是可以具有不同的pin或口令參考值和/或不同的pin嘗試計(jì)數(shù)器。

多應(yīng)用支持

在一些實(shí)施方式中，令牌上的所有實(shí)例與同一應(yīng)用有關(guān)。在其他實(shí)施方式中，令牌可以包括與不同應(yīng)用有關(guān)的實(shí)例。

在一些實(shí)施方式中，任何實(shí)例可以與僅單個(gè)應(yīng)用或單個(gè)應(yīng)用集相關(guān)聯(lián)，并且實(shí)例可以和與該實(shí)例相關(guān)聯(lián)的應(yīng)用或應(yīng)用集共享其動態(tài)憑證生成密鑰。

實(shí)例生命周期

創(chuàng)建和分配實(shí)例

在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以包括多個(gè)實(shí)例，這些實(shí)例在令牌被提供給終端用戶之前(例如由應(yīng)用)被創(chuàng)建并加載到強(qiáng)認(rèn)證令牌中。在這樣的實(shí)施方式中，可以在向假定共享強(qiáng)認(rèn)證令牌的終端用戶組(組中的一個(gè)成員)提供特定強(qiáng)認(rèn)證令牌之前將特定強(qiáng)認(rèn)證令牌的各個(gè)預(yù)加載實(shí)例分配給終端用戶組的各個(gè)成員(例如家庭成員)。在其他實(shí)施方式中，一個(gè)實(shí)例被分配給終端用戶組的第一成員，并且在令牌被提供給第一成員之后，組中的后面的成員可以登記并且在登記時(shí)可以將尚未分配的實(shí)例分配給每個(gè)后面登記的成員并且與每個(gè)后面登記的成員相關(guān)聯(lián)。

替選地，在一些實(shí)施方式中，可以在不將任何實(shí)例加載到令牌的情況下將令牌分發(fā)給終端用戶。當(dāng)特定用戶想要使用特定令牌時(shí)，用戶可以將與該用戶相關(guān)聯(lián)的特定實(shí)例加載到該特定令牌中。在一些實(shí)施方式中，可以將(與特定用戶相關(guān)聯(lián))的同一實(shí)例加載到多個(gè)不同的強(qiáng)認(rèn)證令牌中。在其他實(shí)施方式中，可以僅將特定令牌實(shí)例加載到單個(gè)強(qiáng)認(rèn)證令牌中。

在一些實(shí)施方式中，當(dāng)將特定實(shí)例分配給特定用戶時(shí)，該實(shí)例或?qū)嵗龜?shù)據(jù)的至少一部分通過應(yīng)用與該用戶相關(guān)聯(lián)，并且應(yīng)用可以將該關(guān)聯(lián)存儲在數(shù)據(jù)庫中。例如，在實(shí)例分配時(shí)，應(yīng)用可以將使分配了該實(shí)例的特定用戶與可以使得應(yīng)用能夠取回或確定一個(gè)或更多個(gè)密碼憑證驗(yàn)證密鑰的數(shù)據(jù)關(guān)聯(lián)的關(guān)系存儲在數(shù)據(jù)庫中，應(yīng)用可以使用所述一個(gè)或更多個(gè)密碼憑證驗(yàn)證密鑰對包括該實(shí)例的令牌可以針對該實(shí)例生成的動態(tài)憑證進(jìn)行驗(yàn)證。

在一些實(shí)施方式中，應(yīng)用具有未分配實(shí)例(即尚未被分配給特定用戶的實(shí)例)池，當(dāng)需要將實(shí)例分配給用戶時(shí)應(yīng)用可以從該實(shí)例池選擇實(shí)例并且將所選實(shí)例分配給用戶。在一些實(shí)施方式中，這些未分配實(shí)例可以全都由實(shí)例提供商生成，該實(shí)例提供商可以將一批未分配實(shí)例提供給應(yīng)用所有者。在一些實(shí)施方式中，作為實(shí)例提供商的一方也可以是負(fù)責(zé)制造令牌的一方。在其他實(shí)施方式中，當(dāng)需要將實(shí)例分配給用戶時(shí)，應(yīng)用可以生成要分配給該用戶的新實(shí)例。

將實(shí)例加載到令牌中

在一些實(shí)施方式中，可以將實(shí)例加載到令牌中作為制造令牌的一部分。在一些實(shí)施方式中，可以在制造出令牌并且將令牌分發(fā)給用戶之后將實(shí)例加載到令牌中。

在一些實(shí)施方式中，將實(shí)例加載到令牌中可以包括將一個(gè)或更多個(gè)實(shí)例加載消息或命令提供給令牌。在一些實(shí)施方式中，可以由用戶使用令牌的手動用戶輸入接口例如鍵盤將這種實(shí)例加載消息或命令手動輸入到令牌中。在一些實(shí)施方式中，實(shí)例加載消息或命令可以包括可以借助于令牌的數(shù)字?jǐn)?shù)據(jù)輸入接口提供給令牌的數(shù)字消息或命令。例如，在一些實(shí)施方式中，可以將實(shí)例加載消息或命令編碼成二維條形碼，該二維條形碼可以由令牌中包括的數(shù)字?jǐn)z像裝置捕獲并且隨后可以由令牌將該二維條形碼解碼。

在一些實(shí)施方式中，實(shí)例加載消息或命令可以被以密碼方式保護(hù)。在一些實(shí)施方式中，可以使用密碼算法和密碼實(shí)例加載密鑰來保護(hù)實(shí)例加載消息或命令。例如，在一些實(shí)施方式中，可以通過使用由密碼實(shí)例加載密鑰參數(shù)化的加密算法來(整體地或部分地)對實(shí)例加載消息或命令加密。在一些實(shí)施方式中，令牌可以適于使用由密碼實(shí)例加載密鑰參數(shù)化的解密算法將實(shí)例加載消息或命令中包括的加密內(nèi)容解密。在一些實(shí)施方式中，實(shí)例加載消息或命令可以包括對所述消息或命令的內(nèi)容的至少一部分的消息認(rèn)證碼(mac)或簽名，以對實(shí)例加載消息或命令的源進(jìn)行認(rèn)證。在一些實(shí)施方式中，令牌可以適于使用由密碼實(shí)例加載密鑰參數(shù)化的密碼算法對實(shí)例加載消息或命令中包括的mac或簽名進(jìn)行驗(yàn)證。在一些實(shí)施方式中，用于確保實(shí)例加載消息或命令安全的密碼算法可以包括對稱密碼算法例如諸如des(數(shù)據(jù)加密標(biāo)準(zhǔn))或aes(高級加密標(biāo)準(zhǔn))的對稱加密/解密算法，或者諸如hmac(基于散列的消息認(rèn)證碼)的帶密鑰散列算法。例如，在一些實(shí)施方式中，對稱加密/解密算法可以用于將實(shí)例加載消息或命令加密/解密。在一些實(shí)施方式中，可以使用對稱加密算法來生成和/或驗(yàn)證mac。在一些實(shí)施方式中，可以使用帶密鑰散列算法來生成和/或驗(yàn)證mac。

在一些實(shí)施方式中，可以在應(yīng)當(dāng)加載實(shí)例的令牌與發(fā)出實(shí)例加載消息或命令的應(yīng)用之間共享密碼實(shí)例加載密鑰。在一些實(shí)施方式中，實(shí)例加載密鑰可以與單個(gè)令牌相關(guān)聯(lián)。在一些實(shí)施方式中，實(shí)例加載密鑰可以與一批令牌相關(guān)聯(lián)并且可以由同一批次的所有令牌共享。

在一些實(shí)施方式中，設(shè)備可以僅支持某一最大數(shù)量的實(shí)例。當(dāng)已經(jīng)加載了最大數(shù)量的實(shí)例并且用戶試圖加載額外的實(shí)例時(shí)，令牌可以向用戶通知已達(dá)到加載實(shí)例的最大數(shù)量，并且可以向用戶建議移除所加載的實(shí)例中的一個(gè)實(shí)例來為另一實(shí)例騰出空間。

多應(yīng)用支持

在一些實(shí)施方式中，實(shí)例的加載可以在令牌控制方的控制下進(jìn)行，并且實(shí)例的加載可能需要令牌控制方的許可和/或協(xié)作。在一些實(shí)施方式中，令牌控制方與應(yīng)用提供商一致，并且僅與該應(yīng)用提供商所提供的一個(gè)或更多個(gè)應(yīng)用有關(guān)的實(shí)例可以被加載到令牌中。在一些實(shí)施方式中，令牌控制方可以允許加載與不同應(yīng)用提供商有關(guān)的實(shí)例。例如，在一些實(shí)施方式中，令牌控制方可以向多個(gè)應(yīng)用提供商提供工具和密碼密鑰以加載和管理與其應(yīng)用有關(guān)的實(shí)例。在一些實(shí)施方式中，應(yīng)用提供商可以用以加載和管理與該應(yīng)用提供商有關(guān)的實(shí)例的密碼密鑰的值與其他應(yīng)用提供商所使用的相應(yīng)密鑰的值不同。

移除實(shí)例

在一些實(shí)施方式中，令牌可以適于支持移除不再需要的或已經(jīng)廢棄的實(shí)例(例如已被鎖定并且不可以再被解鎖的實(shí)例)的可能性。

在一些實(shí)施方式中，令牌上的實(shí)例的移除可以由令牌接收實(shí)例移除消息或命令來發(fā)起。在一些實(shí)施方式中，令牌上的實(shí)例的移除可以由用戶在令牌上(例如經(jīng)由令牌提供的菜單)手動選擇要移除的實(shí)例來發(fā)起。

在一些實(shí)施方式中，實(shí)例僅可以在令牌驗(yàn)證了用戶的身份之后被移除。在一些實(shí)施方式中，實(shí)例僅可以在令牌驗(yàn)證了與該實(shí)例相關(guān)聯(lián)的用戶的身份之后被移除。在一些實(shí)施方式中，主用戶(其例如可以是分配了令牌上的實(shí)例的第一用戶)可以與令牌相關(guān)聯(lián)，并且在令牌驗(yàn)證了主用戶的身份之后，該令牌還可以允許移除與其他用戶相關(guān)聯(lián)的實(shí)例。

在一些實(shí)施方式中，實(shí)例的移除不需要驗(yàn)證用戶的身份。

在一些實(shí)施方式中，實(shí)例的移除要求令牌接收到針對要移除的實(shí)例的實(shí)例移除消息或命令。在一些實(shí)施方式中，這樣的實(shí)例移除消息或命令被以密碼方式保護(hù)。例如，在一些實(shí)施方式中，令牌可以適于以密碼方式驗(yàn)證實(shí)例移除消息或命令是由有權(quán)指示令牌移除實(shí)例的應(yīng)用生成或發(fā)出的。例如，在一些實(shí)施方式中，實(shí)例移除消息可以被加密或者可以包括消息認(rèn)證碼。在一些實(shí)施方式中，應(yīng)用可以使用具有第一密碼實(shí)例移除密鑰的密碼算法來確保實(shí)例移除消息安全。在一些實(shí)施方式中，令牌可以使用具有第二密碼實(shí)例移除密鑰的密碼算法對實(shí)例移除消息進(jìn)行驗(yàn)證。在一些實(shí)施方式中，應(yīng)用和令牌可以共享密碼實(shí)例移除密鑰。在一些實(shí)施方式中，密碼實(shí)例移除密鑰可以與令牌相關(guān)聯(lián)。在一些實(shí)施方式中，密碼實(shí)例移除密鑰可以與實(shí)例相關(guān)聯(lián)。

在一些實(shí)施方式中，令牌可以支持一次移除令牌的所有實(shí)例的可能性。例如，在一些實(shí)施方式中，令牌可以支持移除所有實(shí)例的總實(shí)例移除消息或命令。在一些實(shí)施方式中，這樣的總實(shí)例移除消息或命令可以通過使用密碼總實(shí)例移除密鑰來以密碼方式保護(hù)，該密碼總實(shí)例移除密鑰可以與令牌相關(guān)聯(lián)并且可以與發(fā)出或生成總實(shí)例移除消息或命令的應(yīng)用共享。

在一些實(shí)施方式中，令牌可以適于自動移除被鎖定的實(shí)例(關(guān)于鎖定實(shí)例的更多信息，參見本說明書中其他地方)。

選擇特定實(shí)例

當(dāng)例如用戶想要使用包括多于一個(gè)的令牌實(shí)例的強(qiáng)認(rèn)證令牌來生成認(rèn)證憑證(如一次性口令或交易數(shù)據(jù)簽名)時(shí)，則必須以某種方式選擇與用戶相關(guān)聯(lián)的必須要使用其生成憑證的正確實(shí)例。同樣對于涉及特定實(shí)例的其他操作(如將特定實(shí)例的鎖定pin或口令解鎖、或更改特定實(shí)例的pin或口令、或者移除廢棄的特定實(shí)例)，可能必須選擇作為操作目標(biāo)的正確實(shí)例。在一些實(shí)施方式中，如果令牌僅包括單個(gè)實(shí)例，則令牌可以自動地選擇該單個(gè)實(shí)例。

手動選擇

在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以包括使得用戶能夠明確選擇特定實(shí)例的機(jī)制。例如，在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以提供諸如列表框或菜單的機(jī)制，其向用戶(例如經(jīng)由令牌顯示器)呈現(xiàn)實(shí)例標(biāo)識符的列表，并允許用戶(例如經(jīng)由令牌用戶輸入設(shè)備)選擇所呈現(xiàn)的實(shí)例標(biāo)識符中的一個(gè)實(shí)例標(biāo)識符，由此所呈現(xiàn)的實(shí)例標(biāo)識符中的每一個(gè)可以與存在于強(qiáng)認(rèn)證令牌上的實(shí)例中的一個(gè)實(shí)例相關(guān)聯(lián)，并且由此用戶選擇特定實(shí)例標(biāo)識符可以具有選擇與該特定實(shí)例標(biāo)識符相關(guān)聯(lián)的實(shí)例的效果。在一些實(shí)施方式中，實(shí)例可以包括實(shí)例標(biāo)識符。

自動選擇

在一些實(shí)施方式中，涉及特定實(shí)例的令牌操作或令牌功能可以通過各種令牌命令來發(fā)起。在一些實(shí)施方式中，這些令牌命令可以被嵌入在可被提供給令牌的令牌消息中。在一些實(shí)施方式中，可以構(gòu)建消息或命令，并且認(rèn)證令牌可以適于使得接收消息或命令的認(rèn)證令牌可以根據(jù)消息或命令的內(nèi)容推斷所接收到的消息或命令的目標(biāo)實(shí)例。

自動顯式選擇

在一些實(shí)施方式中，令牌命令或嵌入有令牌命令的令牌消息可以包括使得令牌能夠確定該命令或消息所針對的特定實(shí)例的數(shù)據(jù)元素。例如，在一些實(shí)施方式中，針對特定實(shí)例的令牌消息或令牌命令可以包括可以與目標(biāo)實(shí)例的實(shí)例標(biāo)識符匹配的實(shí)例標(biāo)識數(shù)據(jù)元素。在接收到令牌消息或令牌命令時(shí)，令牌可以從消息或命令取回實(shí)例標(biāo)識數(shù)據(jù)元素，并且將所取回的實(shí)例標(biāo)識數(shù)據(jù)元素與令牌中存在的實(shí)例的實(shí)例標(biāo)識符進(jìn)行比較。如果令牌在消息或命令的所取回的實(shí)例標(biāo)識數(shù)據(jù)元素之間找到匹配，則令牌可以選擇與所匹配的實(shí)例標(biāo)識符相關(guān)聯(lián)的實(shí)例，并且根據(jù)消息或命令的內(nèi)容作用于所選實(shí)例。在一些實(shí)施方式中，實(shí)例標(biāo)識數(shù)據(jù)元素對于系統(tǒng)中的所有令牌實(shí)例而言是唯一的。在一些實(shí)施方式中，實(shí)例標(biāo)識數(shù)據(jù)元素僅對于單個(gè)令牌中的所有令牌實(shí)例而言是唯一的。例如，在一些實(shí)施方式中，用于標(biāo)識和選擇命令或消息所針對的特定令牌的實(shí)例的標(biāo)識數(shù)據(jù)元素可以由與同一用戶相關(guān)聯(lián)的所有實(shí)例共享，但任何令牌可以包括與同一用戶相關(guān)聯(lián)的不多于一個(gè)實(shí)例。

自動隱式選擇

在一些實(shí)施方式中，所接收到的消息或命令可能已被以密碼方式保護(hù)，并且對消息或命令的處理可能需要令牌使用與所述消息或命令的目標(biāo)實(shí)例相關(guān)聯(lián)的密碼消息密鑰來執(zhí)行密碼操作。在一些實(shí)施方式中，令牌可以從特定實(shí)例取回與該特定實(shí)例相關(guān)聯(lián)的密碼消息密鑰。在其他實(shí)施方式中，令牌可以根據(jù)從特定實(shí)例取回的或以其他方式與該實(shí)例相關(guān)聯(lián)的數(shù)據(jù)來確定或者得到與特定實(shí)例相關(guān)聯(lián)的密碼消息密鑰。在一些實(shí)施方式中，認(rèn)證令牌可以適于驗(yàn)證密碼操作是否成功。例如，在一些實(shí)施方式中，可以使用目標(biāo)實(shí)例的密碼消息密鑰(例如通過應(yīng)用)對消息的至少一部分內(nèi)容進(jìn)行加密，并且上述密碼操作可以包括令牌使用與特定實(shí)例相關(guān)聯(lián)的密碼消息密鑰將加密的內(nèi)容解密。然后，令牌可以驗(yàn)證解密的內(nèi)容是否滿足特定預(yù)定條件。例如，令牌可以驗(yàn)證解密的內(nèi)容是否遵循某些語法規(guī)則或某些數(shù)據(jù)字段是否存在或某些數(shù)據(jù)字段的值是否正確。例如，令牌可以驗(yàn)證解密的內(nèi)容是否包括循環(huán)冗余碼(crc)以及該crc的值是否對應(yīng)于解密內(nèi)容的其余部分。如果令牌確定解密的內(nèi)容確實(shí)滿足預(yù)定的條件，則該令牌可以認(rèn)為密碼操作成功。在其他實(shí)施方式中，消息或命令可以包括消息認(rèn)證碼(mac)，該消息認(rèn)證碼可以通過本領(lǐng)域公知的用于生成mac的技術(shù)使用目標(biāo)實(shí)例的密碼消息密鑰來生成，并且令牌可以適于通過本領(lǐng)域公知的用于驗(yàn)證mac的補(bǔ)充技術(shù)使用特定實(shí)例的密碼消息密鑰來驗(yàn)證該mac。

在一些實(shí)施方式中，如果使用與消息或命令的目標(biāo)實(shí)例所關(guān)聯(lián)的值不同的密碼消息密鑰的另一值來執(zhí)行密碼操作，則密碼操作不成功的統(tǒng)計(jì)概率較高。在一些實(shí)施方式中，認(rèn)證令牌可以在接收到消息或命令時(shí)，使用與令牌中包括的各個(gè)實(shí)例相關(guān)聯(lián)的密碼消息密鑰來執(zhí)行密碼操作。如果使用特定實(shí)例的密碼消息密鑰進(jìn)行的密碼操作成功，則令牌可以斷定這是消息或命令的目標(biāo)實(shí)例，并且令牌可以選擇該實(shí)例并且可以執(zhí)行或發(fā)起與所述消息或命令相關(guān)聯(lián)的功能或操作。在一些實(shí)施方式中，如果在使用所有實(shí)例的密碼消息密鑰下密碼操作失敗，則令牌可以向用戶呈現(xiàn)出錯(cuò)消息。

密鑰管理

在一些實(shí)施方式中，令牌可以包括和/或使用各種密碼密鑰與各種密碼算法。例如，令牌可以使用第一密碼密鑰以生成代表特定用戶的認(rèn)證憑證，或者可以使用第二密碼密鑰以確保實(shí)例加載的安全，或者可以使用第三密碼密鑰以確保將鎖定的實(shí)例解鎖的安全，或者可以使用第四密碼密鑰以確保針對特定實(shí)例的消息安全，或者可以使用第五密碼密鑰以生成或得到另一密碼密鑰。

與一批令牌相關(guān)聯(lián)的密鑰

在一些實(shí)施方式中，可以由令牌使用的一些密碼密鑰對于一批令牌中的所有令牌而言可以具有同一值。例如，在一些實(shí)施方式中，一批令牌中的所有令牌可以共享主密鑰的同一值，令牌可以使用該主密鑰得到其他密鑰。

與特定令牌相關(guān)聯(lián)的密鑰

在一些實(shí)施方式中，由令牌使用的密碼密鑰中的一些密碼密鑰可以與特定令牌相關(guān)聯(lián)，即每個(gè)令牌具有其自身的對于這樣的密鑰的值，并且該值可以是唯一的。在一些實(shí)施方式中，該值可以在絕對意義上是唯一的，即任何特定密鑰的任何特定值可以僅出現(xiàn)在一個(gè)單個(gè)令牌中。例如，在一些實(shí)施方式中，可以通過使用秘密主密鑰對唯一令牌序列號進(jìn)行加密而生成一些密碼密鑰的值。在其他實(shí)施方式中，該值可以僅在統(tǒng)計(jì)意義上是唯一的，即對特定密鑰在一個(gè)令牌中的值的知悉不增加能夠獲得該密鑰在另一令牌中的值的實(shí)際機(jī)率。例如，在一些實(shí)施方式中，可以通過真隨機(jī)數(shù)生成器來生成一些密碼密鑰的值。

與特定實(shí)例相關(guān)聯(lián)的密鑰

在一些實(shí)施方式中，由令牌使用的密碼密鑰中的一些密碼密鑰可以與令牌中包括的特定實(shí)例相關(guān)聯(lián)，即，對于這樣的密鑰，每個(gè)實(shí)例具有其自身的值，并且該值可以在絕對意義或統(tǒng)計(jì)意義上是唯一的。在一些實(shí)施方式中，除了同一實(shí)例的多于一個(gè)的拷貝可以存在于不同的令牌中并且這些多于一個(gè)的拷貝對于與該實(shí)例相關(guān)聯(lián)的密鑰而言可以共享同一值之外，這些實(shí)例密鑰是唯一的。在一些實(shí)施方式中，除了實(shí)例密鑰的同一值可以由都與同一用戶相關(guān)聯(lián)的多于一個(gè)的實(shí)例共享之外，這些實(shí)例密鑰是唯一的。在一些實(shí)施方式中，與特定實(shí)例相關(guān)聯(lián)的密鑰可以包括一個(gè)或更多個(gè)憑證生成密鑰、和/或解鎖密鑰、和/或一個(gè)或更多個(gè)安全消息收發(fā)密鑰。在一些實(shí)施方式中，可以將與特定實(shí)例相關(guān)聯(lián)的各個(gè)密鑰中的至少一些密鑰存儲作為實(shí)例數(shù)據(jù)的一部分。在一些實(shí)施方式中，可以由令牌使用存儲在特定實(shí)例中的或與特定實(shí)例相關(guān)聯(lián)的數(shù)據(jù)來確定或得到與特定實(shí)例相關(guān)聯(lián)的各個(gè)密鑰中的至少一些密鑰。例如，在一些實(shí)施方式中，可以由令牌根據(jù)與令牌相關(guān)聯(lián)的主密鑰和與特定實(shí)例相關(guān)聯(lián)(可以被存儲在實(shí)例中)的數(shù)據(jù)元素例如實(shí)例標(biāo)識符或?qū)嵗龢?biāo)識數(shù)據(jù)元素來得到與該實(shí)例相關(guān)聯(lián)的一個(gè)或更多個(gè)密鑰。

在其他實(shí)施方式中，可以由令牌根據(jù)與特定實(shí)例相關(guān)聯(lián)的主實(shí)例密鑰(并且其可以被存儲在實(shí)例中或這反過來又可以從例如令牌主密鑰得到)和多樣化值例如密鑰類型指示符值來得到與該特定實(shí)例相關(guān)聯(lián)的一個(gè)或更多個(gè)密鑰。

令牌或?qū)嵗⒒蛎?/p>

在一些實(shí)施方式中，令牌可以適于接收或處理消息或命令。在一些實(shí)施方式中，一些消息或命令可以指向或針對作為整體的令牌(例如加載額外實(shí)例的消息)。在一些實(shí)施方式中，一些消息或命令可以指向或針對令牌中包括的特定實(shí)例(例如用于將鎖定的實(shí)例解鎖的消息或命令，或者用于發(fā)起使用特定實(shí)例來生成動態(tài)憑證的消息或命令)。

確保消息或命令的安全

在一些實(shí)施方式中，一些消息或命令可以被以密碼方式保護(hù)。在一些實(shí)施方式中，可以將一些消息或命令以密碼方式保護(hù)，以保護(hù)包含在消息或命令中的數(shù)據(jù)的機(jī)密性。在一些實(shí)施方式中，可以將一些消息或命令以密碼方式保護(hù)，以確保消息或命令的完整性。在一些實(shí)施方式中，可以將一些消息或命令以密碼方式保護(hù)，以證明消息或命令的真實(shí)性。在一些實(shí)施方式中，可以將一些消息或命令的至少一些內(nèi)容加密例如以提供包含在消息或命令中的敏感數(shù)據(jù)的機(jī)密性，并且令牌可以適于將加密的內(nèi)容解密。在一些實(shí)施方式中，令牌可以適于對一些消息或命令的源進(jìn)行認(rèn)證。例如，在一些實(shí)施方式中，一些消息或命令可以包括簽名或mac，并且令牌可以適于對簽名或mac進(jìn)行驗(yàn)證。

在一些實(shí)施方式中，可以使用對稱密碼算法來以密碼方式保護(hù)一些消息或命令。在一些實(shí)施方式中，這些對稱密碼算法可以使用對稱密碼密鑰。在一些實(shí)施方式中，可以從對特定實(shí)例而言為唯一的秘密得到用于保護(hù)消息或命令的密碼密鑰。在一些實(shí)施方式中，可以從對特定令牌而言為唯一的秘密得到用于保護(hù)消息或命令的密碼密鑰。在一些實(shí)施方式中，可以從在特定實(shí)例組的所有實(shí)例之間共享(這樣的組例如可以僅包括與同一用戶相關(guān)聯(lián)的實(shí)例)并且不為不屬于該特定組的實(shí)例所知的秘密得到用于保護(hù)消息或命令的密碼密鑰。在一些實(shí)施方式中，可以從在所有實(shí)例之間或在一批實(shí)例的所有實(shí)例(例如與特定應(yīng)用相關(guān)聯(lián)的所有實(shí)例)之間共享的秘密得到用于保護(hù)消息或命令的密碼密鑰。

消息或命令的類型

在一些實(shí)施方式中，可以有用于各種目的的多種類型的消息或命令。在一些實(shí)施方式中，消息或命令可以包括指示消息或命令的類型、功能或目的的數(shù)據(jù)元素。

一些消息或命令可以用于將實(shí)例加載到令牌中。一些消息或命令可以用于將鎖定的實(shí)例解鎖。一些消息或命令可以用于移除實(shí)例。一些消息或命令可以用于發(fā)起生成動態(tài)憑證。

向令牌提供消息或命令

在一些實(shí)施方式中，可以由用戶手動地(例如，由用戶例如在令牌的鍵盤上輸入對消息或命令進(jìn)行編碼的字符串)將一些消息或命令提供給令牌。在一些實(shí)施方式中，可以以數(shù)字格式對消息或命令進(jìn)行編碼，并且可以借助于令牌的數(shù)字?jǐn)?shù)據(jù)輸入接口將數(shù)字消息或命令提供給令牌。在一些實(shí)施方式中，用于將消息或命令提供給令牌的數(shù)字?jǐn)?shù)據(jù)輸入接口可以支持雙向通信。例如，數(shù)字?jǐn)?shù)據(jù)輸入接口可以包括諸如usb(通用串行總線)的有線數(shù)據(jù)通信接口，或者數(shù)字?jǐn)?shù)據(jù)輸入接口可以包括諸如藍(lán)牙的無線數(shù)據(jù)通信接口。在其他實(shí)施方式中，用于將消息或命令提供給令牌的數(shù)字?jǐn)?shù)據(jù)輸入接口可以僅支持朝向令牌的單向通信。例如，在一些實(shí)施方式中，令牌可以包括用于捕獲數(shù)字圖像的數(shù)字?jǐn)z像裝置，并且消息或命令可以被編碼為圖像(例如，為諸如qr碼的二維條形碼的形式)，并且令牌可以適于捕獲編碼有消息或命令的圖像并且可以適于將這些圖像解碼以取回消息或命令。

確定消息的目標(biāo)

在一些實(shí)施方式中，用戶可以幫助令牌確定消息或命令的目標(biāo)。例如，在一些實(shí)施方式中，用戶可以手動地選擇目標(biāo)實(shí)例(在接收到消息或命令之前或之后)。

在一些實(shí)施方式中，令牌可以適于自主地確定所接收到的消息或命令的目標(biāo)。在一些實(shí)施方式中，消息或命令可以包括明確指示消息或命令的預(yù)期目標(biāo)的數(shù)據(jù)元素。例如，在一些實(shí)施方式中，消息或命令可以包括目標(biāo)標(biāo)識數(shù)據(jù)元素如令牌序列號和/或?qū)嵗蛄刑枴Ｔ谝恍?shí)施方式中，可以以隱式方式指示消息或命令的目標(biāo)。例如，在一些實(shí)施方式中可以以密碼方式保護(hù)消息或命令，并且令牌可以適于通過應(yīng)用可以由密碼驗(yàn)證密鑰參數(shù)化的密碼算法來對所接收到的消息或命令執(zhí)行密碼驗(yàn)證，該密碼驗(yàn)證密鑰可以與消息的候選目標(biāo)相關(guān)聯(lián)。在一些實(shí)施方式中，如果令牌使用與預(yù)期目標(biāo)相對應(yīng)的驗(yàn)證密鑰的值來執(zhí)行驗(yàn)證，則驗(yàn)證預(yù)期會成功，并且如果令牌使用驗(yàn)證密鑰的另一值來執(zhí)行驗(yàn)證，則該驗(yàn)證預(yù)期會失敗。在一些實(shí)施方式中，令牌可以通過做出候選目標(biāo)的列表并且逐個(gè)使用與各候選目標(biāo)對應(yīng)的不同的驗(yàn)證密鑰值執(zhí)行對所接收到的消息或命令的密碼驗(yàn)證來確定消息或命令的目標(biāo)。如果令牌發(fā)現(xiàn)對于特定候選目標(biāo)驗(yàn)證成功，則令牌可以斷定該候選目標(biāo)是消息或命令的預(yù)期目標(biāo)。如果對于所有候選目標(biāo)驗(yàn)證失敗，則令牌可以拒絕該消息或命令并且生成出錯(cuò)狀態(tài)。

將實(shí)例的使用保留給實(shí)例的合法用戶

在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以適于確保僅與特定實(shí)例相關(guān)聯(lián)的合法用戶可以有效使用該特定實(shí)例。

為了確保僅與特定實(shí)例相關(guān)聯(lián)的合法用戶可以使用該特定實(shí)例來生成認(rèn)證憑證，強(qiáng)認(rèn)證令牌可以適于在用戶試圖使用特定實(shí)例時(shí)對用戶進(jìn)行驗(yàn)證，更具體地，強(qiáng)認(rèn)證令牌可以適于驗(yàn)證試圖使用特定實(shí)例的用戶是否對應(yīng)于與該特定實(shí)例相關(guān)聯(lián)的用戶。在一些實(shí)施方式中，令牌可以向用戶提示呈現(xiàn)某種類型的用戶憑證，并且目標(biāo)實(shí)例(即用戶正在試圖使用的實(shí)例)可以包括一些用戶憑證參考數(shù)據(jù)，該強(qiáng)認(rèn)證令牌可以將所述用戶憑證參考數(shù)據(jù)與用戶所提供的用戶憑證進(jìn)行比較。如果所提供的用戶憑證與實(shí)例用戶憑證參考數(shù)據(jù)之間的比較產(chǎn)生匹配，則令牌可以授權(quán)用戶訪問實(shí)例，否則令牌可以拒絕用戶訪問該實(shí)例。例如，在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以提示用戶輸入pin或口令值，并且可以將輸入的pin或口令值與包含在用戶想要使用的實(shí)例的實(shí)例數(shù)據(jù)中的pin或口令參考值(這例如可以包括pin或口令的正確值或該正確值的散列值)進(jìn)行比較。在其他實(shí)施方式中，強(qiáng)認(rèn)證令牌例如可以具有指紋傳感器并且可以適于捕獲指紋讀取并且將捕獲的指紋讀取與目標(biāo)實(shí)例中包括的一組生物特征指紋參考數(shù)據(jù)進(jìn)行比較。

pin管理

初始化pin或口令或生物特征參考數(shù)據(jù)

在一些實(shí)施方式中，將認(rèn)證令牌用以驗(yàn)證特定實(shí)例的用戶的參考數(shù)據(jù)加載到令牌中作為其他實(shí)例數(shù)據(jù)的一部分。

在一些實(shí)施方式中，新的實(shí)例起初并不包括用于用戶驗(yàn)證的參考數(shù)據(jù)。替代地，在一些實(shí)施方式中，可以在首次使用特定實(shí)例期間向該實(shí)例的用戶提示提供用戶今后在用戶驗(yàn)證中使用的pin或口令的值至少一次，并且令牌可以存儲與用戶所提供的供令牌在隨后的用戶驗(yàn)證中使用的一個(gè)或更多個(gè)值有關(guān)的參考值。在一些實(shí)施方式中，特定實(shí)例的用戶可能必須經(jīng)過生物特征登記階段，在此期間令牌獲取用戶的特定生物特征(例如指紋)的一個(gè)或更多個(gè)捕獲，并且根據(jù)這些生物特征捕獲來構(gòu)建令牌可以在隨后的針對此實(shí)例的用戶驗(yàn)證中使用的生物特征參考數(shù)據(jù)。

在一些實(shí)施方式中，新的實(shí)例由用戶驗(yàn)證參考數(shù)據(jù)的初始值(其可以與其他實(shí)例數(shù)據(jù)一起加載或被加載作為其他實(shí)例數(shù)據(jù)的一部分)初始地保護(hù)，并且令牌可以適于在基于這些初始用戶驗(yàn)證數(shù)據(jù)的首次成功用戶驗(yàn)證之后向用戶提示提供用于該實(shí)例的新的用戶驗(yàn)證參考數(shù)據(jù)。在一些實(shí)施方式中，可以通過實(shí)例中的數(shù)據(jù)元素如“首次使用修改”標(biāo)記來指示令牌是否必須在首次使用特定實(shí)例時(shí)向用戶提示提供用于該實(shí)例的新的用戶驗(yàn)證參考數(shù)據(jù)。在一些實(shí)施方式中，可以針對初始不具有用戶驗(yàn)證參考數(shù)據(jù)的實(shí)例以如上所述相同的方式獲取新的用戶驗(yàn)證參考數(shù)據(jù)。例如，在一些實(shí)施方式中，當(dāng)將新的實(shí)例加載到認(rèn)證令牌中時(shí)，被加載的實(shí)例數(shù)據(jù)包括pin或口令的初始值的參考數(shù)據(jù)和指示pin或口令還具有其初始值的標(biāo)記。當(dāng)用戶想要首次使用該實(shí)例時(shí)，令牌首先使用初始pin或口令參考數(shù)據(jù)對用戶進(jìn)行驗(yàn)證，并且在成功驗(yàn)證了用戶之后，令牌可以向用戶提示提供新的pin或口令值。令牌也可以向用戶提示第二次提供該新的pin或口令值作為確認(rèn)。然后，令牌可以使用新的pin或口令的參考值來替換初始參考值。

pin或口令更改

在一些實(shí)施方式中，認(rèn)證令牌可以允許特定實(shí)例的用戶更改該實(shí)例的pin或口令。例如，在一些實(shí)施方式中，令牌可以具有在用戶驗(yàn)證成功之后允許用戶提供新的pin或口令值的功能。在一些實(shí)施方式中，令牌可以要求用戶提供新的pin或口令的同一值多于一次以便被接受。

本地發(fā)起的pin更改

在一些實(shí)施方式中，可以在認(rèn)證令牌上本地發(fā)起對特定實(shí)例的pin更改。例如，在一些實(shí)施方式中，認(rèn)證令牌可以提供用于發(fā)起pin更改的菜單選項(xiàng)。在一些實(shí)施方式中，用戶必須首先選擇必須更改pin或口令的實(shí)例，然后用戶可以選擇pin更改功能。在一些實(shí)施方式中，令牌可以在用戶可以選擇pin更改功能之前針對所選實(shí)例對用戶進(jìn)行驗(yàn)證。在一些實(shí)施方式中，令牌可以在pin更改功能被選擇之后(例如作為pin更改功能的一部分)針對所選實(shí)例對用戶進(jìn)行驗(yàn)證。在其他實(shí)施方式中，用戶必須首先選擇pin更改功能，然后選擇應(yīng)更改pin或口令的實(shí)例。

應(yīng)用發(fā)起的pin更改

在一些實(shí)施方式中，想要更改特定實(shí)例的pin或口令的用戶可以與應(yīng)用交互，并且向應(yīng)用指示他或她想要更改pin或口令。在一些實(shí)施方式中，應(yīng)用可以接著構(gòu)建pin更改命令或消息，所述命令或消息然后可以被傳送給令牌以發(fā)起pin更改功能。在一些實(shí)施方式中，如在本說明書的其他地方更總體和更詳細(xì)地說明的那樣，pin更改命令或消息也可以由令牌使用以確定和選擇應(yīng)更改pin或口令的實(shí)例。在一些實(shí)施方式中，在使pin更改消息或命令可用之前，應(yīng)用可以要求用戶被該應(yīng)用成功認(rèn)證。例如，應(yīng)用可以要求用戶提供使用用戶想要更改pin或口令的實(shí)例生成的憑證(這在一些實(shí)施方式中可能隱含用戶被該實(shí)例的令牌成功驗(yàn)證)。在一些實(shí)施方式中，pin更改命令或消息可以向令牌隱式地或顯式地指示，所述用戶已被應(yīng)用成功認(rèn)證并且令牌可以不再需要針對目標(biāo)實(shí)例對用戶進(jìn)行附加的用戶驗(yàn)證。

鎖定特定實(shí)例的pin或口令

在一些實(shí)施方式中，認(rèn)證令牌可以針對一個(gè)或更多個(gè)實(shí)例禁用用戶驗(yàn)證機(jī)制，并且鎖定這些實(shí)例。在一些實(shí)施方式中，這可以發(fā)生在特定條件滿足之后。例如，在一些實(shí)施方式中，認(rèn)證令牌可以在用戶驗(yàn)證連續(xù)失敗的次數(shù)超出某一閾值之后禁止對特定實(shí)例的用戶驗(yàn)證并且阻止訪問該實(shí)例。例如，在一些實(shí)施方式中，認(rèn)證令牌可以在連續(xù)輸入了三個(gè)錯(cuò)誤的pin或口令值時(shí)禁止對特定實(shí)例的pin或口令驗(yàn)證并且可以阻止訪問該實(shí)例。

在一些實(shí)施方式中，當(dāng)pin或口令或其他用戶驗(yàn)證機(jī)制被鎖定時(shí)，認(rèn)證令牌可以自動移除實(shí)例。在一些實(shí)施方式中，當(dāng)實(shí)例被鎖定和移除時(shí)，可以生成新的實(shí)例并且將新的實(shí)例加載到令牌中以取代被移除的實(shí)例。

對特定實(shí)例的pin或口令解鎖

在一些實(shí)施方式中，認(rèn)證令牌可以具有將特定的鎖定實(shí)例解鎖的解鎖機(jī)制。在一些實(shí)施方式中，當(dāng)特定的鎖定實(shí)例被解鎖時(shí)，用戶可以再次使用該實(shí)例的舊pin或口令。在其他實(shí)施方式中，當(dāng)特定的鎖定實(shí)例被解鎖時(shí)，需要用戶提供該實(shí)例的pin或口令的新值，并且令牌將使用與該新值相對應(yīng)的新的用戶驗(yàn)證參考數(shù)據(jù)來取代該實(shí)例的舊的用戶驗(yàn)證參考數(shù)據(jù)。

本地發(fā)起的解鎖

在一些實(shí)施方式中，可以在認(rèn)證令牌上本地發(fā)起對特定實(shí)例的解鎖操作。例如，在一些實(shí)施方式中，認(rèn)證令牌可以提供用于發(fā)起解鎖操作的菜單選項(xiàng)。在一些實(shí)施方式中，用戶必須首先選擇用戶想要解鎖的實(shí)例，然后用戶可以選擇解鎖功能。在其他實(shí)施方式中，用戶必須首先選擇解鎖功能，然后選擇應(yīng)解鎖的實(shí)例。在一些實(shí)施方式中，如果令牌包括僅一個(gè)鎖定實(shí)例，則當(dāng)用戶選擇解鎖功能時(shí)該實(shí)例被自動地選擇。

應(yīng)用發(fā)起的解鎖

在一些實(shí)施方式中，想要將特定的鎖定實(shí)例解鎖的用戶可以與應(yīng)用交互，并且向應(yīng)用指示他或她想要解鎖實(shí)例。在一些實(shí)施方式中，應(yīng)用可以接著(可能在一些條件滿足之后)構(gòu)建解鎖命令或消息，所述命令或消息然后可以被傳送給令牌以發(fā)起解鎖功能。在一些實(shí)施方式中，如在本說明書的其他地方更總體和更詳細(xì)地說明的那樣，解鎖命令或消息也可以由令牌使用以確定和選擇要解鎖的實(shí)例。在一些實(shí)施方式中，在使解鎖命令可用之前，應(yīng)用可以要求用戶被該應(yīng)用成功認(rèn)證。例如，應(yīng)用可以要求用戶借助于與使用認(rèn)證令牌的鎖定實(shí)例不同的替選認(rèn)證方法來進(jìn)行認(rèn)證。例如，在一些實(shí)施方式中，用戶可能必須到銀行分支機(jī)構(gòu)并且使用身份文件物理地進(jìn)行認(rèn)證，在此之后用戶可以接收到針對鎖定實(shí)例的解鎖命令。在一些實(shí)施方式中，解鎖命令或消息可以向令牌隱式地或顯式地指示，用戶已被應(yīng)用成功認(rèn)證并且令牌可以在不需要針對目標(biāo)實(shí)例對用戶進(jìn)行附加用戶驗(yàn)證的情況下將目標(biāo)鎖定實(shí)例解鎖。

puk

在一些實(shí)施方式中，實(shí)例可以包括puk(pin解鎖碼)的參考值。當(dāng)實(shí)例被鎖定時(shí)，用戶可以提供puk的值。然后令牌可以將由用戶提供的puk值與存儲在實(shí)例中的puk參考值進(jìn)行比較，并且如果存在匹配則令牌可以將實(shí)例解鎖。在一些實(shí)施方式中，特定實(shí)例的puk值僅可以被使用一次用于將特定實(shí)例解鎖。如果之后實(shí)例被再次鎖定，則不能夠第二次使用該puk值將實(shí)例再次解鎖。在一些實(shí)施方式中，實(shí)例可以具有多個(gè)puk，由此可以逐個(gè)使用不同的puk。

應(yīng)用生成的解鎖碼

在一些實(shí)施方式中，應(yīng)用可以生成用于鎖定的實(shí)例的解鎖碼。當(dāng)這樣的應(yīng)用生成的解鎖碼被傳遞給令牌時(shí)，令牌可以對應(yīng)用生成的解鎖碼進(jìn)行驗(yàn)證。在一些實(shí)施方式中，應(yīng)用可以使用由密碼密鑰參數(shù)化的密碼算法來生成應(yīng)用生成的解鎖碼。在一些實(shí)施方式中，令牌可以使用由密碼密鑰參數(shù)化的密碼算法來對應(yīng)用生成的解鎖碼進(jìn)行驗(yàn)證，該密碼密鑰可以由令牌從實(shí)例取回或者由令牌使用來自實(shí)例的數(shù)據(jù)確定或得到。例如，在一些實(shí)施方式中，鎖定的實(shí)例可以生成解鎖質(zhì)詢值。令牌可以將解鎖質(zhì)詢呈現(xiàn)給用戶。令牌可以例如在實(shí)例被鎖定或每當(dāng)選擇了鎖定的實(shí)例時(shí)呈現(xiàn)解鎖質(zhì)詢。在一些實(shí)施方式中，令牌可以連同解鎖質(zhì)詢向用戶呈現(xiàn)其他數(shù)據(jù)，例如邀請用戶聯(lián)系應(yīng)用的服務(wù)臺的消息、和/或?qū)嵗龢?biāo)識數(shù)據(jù)元素(例如實(shí)例序列號)、和/或令牌標(biāo)識數(shù)據(jù)元素(例如令牌序列號)。用戶可以將解鎖質(zhì)詢值提供給應(yīng)用。應(yīng)用可以(例如借助于一些替選認(rèn)證方法)確定用戶是否是與鎖定實(shí)例相關(guān)聯(lián)的合法用戶，并且可以確定鎖定實(shí)例是否可以被解鎖。然后，應(yīng)用可以通過將解鎖質(zhì)詢與第一密碼解鎖密鑰以密碼方式組合來生成解鎖響應(yīng)。然后，可以將所生成的解鎖響應(yīng)提供給令牌。令牌可以通過使用對解鎖質(zhì)詢和解鎖響應(yīng)進(jìn)行操作并且由密碼解鎖實(shí)例密鑰參數(shù)化的密碼算法來驗(yàn)證解鎖響應(yīng)，該密碼解鎖實(shí)例密鑰可以由令牌從實(shí)例取回或者可以根據(jù)令牌從實(shí)例取回的數(shù)據(jù)得到。

例如，在一些實(shí)施方式中，為了生成解鎖響應(yīng)，應(yīng)用可以使用由解鎖加密密鑰參數(shù)化的密碼加密算法對質(zhì)詢進(jìn)行加密，或者應(yīng)用可以生成質(zhì)詢和解鎖秘密的組合的散列。在應(yīng)用通過使用第一密碼解鎖密鑰對由用戶提供的質(zhì)詢進(jìn)行加密而生成解鎖響應(yīng)的情況下，令牌可以通過使用實(shí)例的密碼解鎖密鑰的拷貝將解鎖響應(yīng)解密來驗(yàn)證解鎖響應(yīng)，并且可以將解密的結(jié)果與原質(zhì)詢值(其例如可以被存儲在實(shí)例中)進(jìn)行比較，并且如果匹配則可以將實(shí)例解鎖。另一方面，如果應(yīng)用通過對用戶所提供的質(zhì)詢和第一密碼解鎖密鑰的組合進(jìn)行散列而生成解鎖響應(yīng)，則令牌可以通過對原質(zhì)詢和實(shí)例的密碼解鎖密鑰的拷貝的組合進(jìn)行散列來驗(yàn)證解鎖響應(yīng)，并且可以將所得散列與接收到的解鎖響應(yīng)進(jìn)行比較，并且如果匹配則可以將實(shí)例解鎖。

例如，在一些實(shí)施方式中，實(shí)例可以包括可以用作密碼解鎖實(shí)例密鑰并且可以與解鎖應(yīng)用共享的密碼密鑰。該密鑰可以與基于服務(wù)器的解鎖應(yīng)用共享。當(dāng)由于用戶在一行中輸入錯(cuò)誤的pin或口令太多次導(dǎo)致實(shí)例被鎖定時(shí)，令牌可以生成隨機(jī)或偽隨機(jī)值，并且在實(shí)例中將該值存儲作為解鎖質(zhì)詢。每當(dāng)實(shí)例被選擇或做出了試圖發(fā)起涉及實(shí)例的動作時(shí)，令牌可以向用戶通知此實(shí)例已被鎖定，并可以向用戶呈現(xiàn)解鎖質(zhì)詢(例如為字符串或數(shù)字串的形式，由此字符或數(shù)字可以為例如字母數(shù)字或十進(jìn)制的)。然后，用戶可以聯(lián)系解鎖應(yīng)用。在解鎖應(yīng)用驗(yàn)證了滿足允許對實(shí)例進(jìn)行解鎖的所有條件(這可以包括以一些替選方式對用戶進(jìn)行認(rèn)證)之后，應(yīng)用可以生成解鎖響應(yīng)碼(例如如上所述)以及包括所生成的解鎖響應(yīng)碼的解鎖消息。然后，可以將解鎖消息提供給令牌。然后，令牌可以選擇解鎖消息所針對的鎖定實(shí)例。然后，令牌可以對解鎖消息中包括的解鎖響應(yīng)碼進(jìn)行驗(yàn)證。當(dāng)解鎖響應(yīng)碼驗(yàn)證成功時(shí)，令牌可以將鎖定實(shí)例解鎖。

重新加載鎖定實(shí)例

在一些實(shí)施方式中，可以通過重新加載鎖定實(shí)例將鎖定實(shí)例解鎖。在一些實(shí)施方式中，重新加載的實(shí)例可以與最初加載的實(shí)例相同。在其他實(shí)施方式中，重新加載的實(shí)例的一些數(shù)據(jù)元素相比于最初加載的實(shí)例中的對應(yīng)值可以具有不同的值(例如，可以用于生成動態(tài)憑證的秘密的值或用戶驗(yàn)證參考數(shù)據(jù)的初始值)。

生成動態(tài)憑證

令牌可以適于通過將動態(tài)變量與密碼秘密以密碼方式進(jìn)行組合來生成動態(tài)憑證。在一些實(shí)施方式中，令牌可以適于通過將動態(tài)變量與包括與加載到令牌中的實(shí)例相關(guān)聯(lián)的一個(gè)或更多個(gè)憑證生成密鑰的密碼秘密以密碼方式進(jìn)行組合來生成動態(tài)憑證。在一些實(shí)施方式中，可以將憑證生成密鑰存儲在實(shí)例中。在一些實(shí)施方式中，令牌通過使用存儲在實(shí)例中的數(shù)據(jù)來確定憑證生成密鑰的值。動態(tài)變量可以包括由令牌內(nèi)部生成的值例如實(shí)時(shí)時(shí)鐘的值或存儲在實(shí)例中的計(jì)數(shù)器的值，并且每當(dāng)令牌使用該計(jì)算器的值或之前由令牌針對實(shí)例生成的并且存儲在實(shí)例中的動態(tài)憑證的值來生成動態(tài)憑證時(shí)，動態(tài)變量會自動遞增(或遞減)。動態(tài)變量也可以包括由令牌接收的外部生成的值例如由應(yīng)用服務(wù)器生成的質(zhì)詢或需要被簽名并且已被提供給令牌的交易數(shù)據(jù)。動態(tài)變量也可以包括內(nèi)部生成值和外部生成值的任何組合。例如，為了防止對交易數(shù)據(jù)簽名的重放攻擊，令牌可以使用包括交易數(shù)據(jù)和由令牌的時(shí)鐘提供的時(shí)間值的組合的動態(tài)變量。在令牌僅使用內(nèi)部生成值用于動態(tài)變量的情況下，可以將動態(tài)變量稱為內(nèi)部動態(tài)變量，并且可以將生成的動態(tài)憑證稱為“一次性口令”。在令牌使用包括外部生成的質(zhì)詢的動態(tài)變量的情況下，可以將生成的動態(tài)變量稱為“響應(yīng)”。在令牌使用包括交易數(shù)據(jù)的動態(tài)變量的情況下，可以將生成的動態(tài)憑證稱為“交易數(shù)據(jù)簽名”或簡稱為“簽名”。

在一些實(shí)施方式中，令牌可以適于將生成的動態(tài)憑證呈現(xiàn)給用戶。在一些實(shí)施方式中，用戶可以將呈現(xiàn)的動態(tài)憑證轉(zhuǎn)發(fā)給服務(wù)器進(jìn)行驗(yàn)證。在一些實(shí)施方式中，令牌可以以視覺方式(例如通過使用顯示器)將動態(tài)憑證呈現(xiàn)給用戶。在一些實(shí)施方式中，令牌可以以聽覺方式(例如通過使用揚(yáng)聲器)將動態(tài)憑證呈現(xiàn)給用戶。在一些實(shí)施方式中，可以以字符串的格式對所呈現(xiàn)的動態(tài)憑證進(jìn)行編碼。在一些實(shí)施方式中，串可以僅包括十進(jìn)制字符。在一些實(shí)施方式中，串可以包括字母字符。在一些實(shí)施方式中，串可以包括來自非字母書寫系統(tǒng)的字符(例如中文字符)。

用于使用多實(shí)例令牌對用戶或交易進(jìn)行認(rèn)證的方法

在本發(fā)明的一個(gè)方面，提供了一種用于對用戶或交易進(jìn)行認(rèn)證或用于確保多個(gè)用戶與一個(gè)或更多個(gè)應(yīng)用之間的交互安全的系統(tǒng)。

在一些實(shí)施方式中，根據(jù)本發(fā)明的方法可以包括以下步驟。

如在本說明書的其他地方更詳細(xì)描述的那樣，在多個(gè)用戶之間分發(fā)多個(gè)令牌。

將這些用戶中的至少一個(gè)用戶與至少一個(gè)實(shí)例相關(guān)聯(lián)。

如在本說明書的其他地方更詳細(xì)描述的那樣，將實(shí)例加載到至少一個(gè)令牌中。

如在本說明書的其他地方更詳細(xì)地描述的那樣，在令牌處生成用于加載的實(shí)例的動態(tài)憑證。

在應(yīng)用處接收所生成的動態(tài)憑證。

驗(yàn)證接收到的動態(tài)憑證的有效性。

取決于驗(yàn)證步驟的結(jié)果，在應(yīng)用處采取適當(dāng)?shù)膭幼鳌?/p>

用于借助于多實(shí)例令牌對用戶或交易進(jìn)行認(rèn)證的系統(tǒng)。

在本發(fā)明的一個(gè)方面，提供了一種用于對用戶或交易進(jìn)行認(rèn)證或用于確保多個(gè)用戶與一個(gè)或更多個(gè)應(yīng)用之間的交互安全的系統(tǒng)。

在一種實(shí)施方式中，根據(jù)本發(fā)明的系統(tǒng)可以包括以下部件。

一個(gè)或更多個(gè)應(yīng)用服務(wù)器計(jì)算機(jī)。一個(gè)或更多個(gè)應(yīng)用服務(wù)器計(jì)算機(jī)可以托管能夠由多個(gè)用戶遠(yuǎn)程訪問的一個(gè)或更多個(gè)應(yīng)用。應(yīng)用服務(wù)器計(jì)算機(jī)例如可以包括網(wǎng)絡(luò)服務(wù)器。一個(gè)或更多個(gè)應(yīng)用可以在一個(gè)或更多個(gè)應(yīng)用提供商的控制下。

多個(gè)客戶端計(jì)算設(shè)備，其可以使得多個(gè)用戶中的一個(gè)或更多個(gè)用戶能夠遠(yuǎn)程訪問一個(gè)或更多個(gè)應(yīng)用。客戶端計(jì)算設(shè)備例如可以包括pc(個(gè)人計(jì)算機(jī))、平板計(jì)算機(jī)或智能電話。

計(jì)算機(jī)網(wǎng)絡(luò)，其連接一個(gè)或更多個(gè)應(yīng)用服務(wù)器計(jì)算機(jī)和多個(gè)客戶端計(jì)算設(shè)備。在一些實(shí)施方式中，計(jì)算機(jī)網(wǎng)絡(luò)可以包括互聯(lián)網(wǎng)。在一些實(shí)施方式中，計(jì)算機(jī)網(wǎng)絡(luò)可以包括公用電話網(wǎng)。在一些實(shí)施方式中，計(jì)算機(jī)網(wǎng)絡(luò)可以包括無線電話網(wǎng)。

如在本說明書的其他地方更詳細(xì)描述的多個(gè)令牌。可以在多個(gè)用戶之間分發(fā)令牌。在一些實(shí)施方式中，可以由一個(gè)或更多個(gè)應(yīng)用提供商在用戶之間分發(fā)令牌。

一個(gè)或更多個(gè)憑證驗(yàn)證服務(wù)器。在一些實(shí)施方式中，一個(gè)或更多個(gè)憑證驗(yàn)證服務(wù)器中的每一個(gè)連接至一個(gè)或更多個(gè)應(yīng)用服務(wù)器中的至少一個(gè)應(yīng)用服務(wù)器，并且可以被配置成對動態(tài)憑證進(jìn)行驗(yàn)證，所述動態(tài)憑證可以由與驗(yàn)證服務(wù)器相連的一個(gè)或更多個(gè)應(yīng)用服務(wù)器所托管的應(yīng)用從與這樣的應(yīng)用交互的用戶接收。在一些實(shí)施方式中，應(yīng)用服務(wù)器中的每一個(gè)可以連接至一個(gè)或更多個(gè)憑證驗(yàn)證服務(wù)器中的至少一個(gè)憑證驗(yàn)證服務(wù)器，并且可以被配置成將由其托管的應(yīng)用從與該應(yīng)用交互的用戶接收的動態(tài)憑證轉(zhuǎn)發(fā)至所連接的一個(gè)或更多個(gè)憑證驗(yàn)證服務(wù)器中的一個(gè)憑證驗(yàn)證服務(wù)器。當(dāng)從應(yīng)用接收到動態(tài)憑證時(shí)，憑證驗(yàn)證服務(wù)器可以取回與令牌針對其生成該動態(tài)憑證的實(shí)例相關(guān)聯(lián)的數(shù)據(jù)，并且使用該數(shù)據(jù)以對接收到的動態(tài)憑證的有效性以密碼方式進(jìn)行驗(yàn)證。憑證驗(yàn)證服務(wù)器可以將指示驗(yàn)證是否成功的信號返回給應(yīng)用。如果信號指示驗(yàn)證成功，則應(yīng)用可以使用該信息確定是否授權(quán)用戶訪問(例如訪問某些數(shù)據(jù))，或者是否執(zhí)行用戶請求的特定操作。

示例性實(shí)施方式

在下面的段落中，將描述本發(fā)明的一組示例性實(shí)施方式。

在下面的一組示例性實(shí)施方式中，由令牌制造商將多個(gè)認(rèn)證令牌提供給一組應(yīng)用所有者。應(yīng)用所有者可以在其用戶之間分發(fā)令牌。在其他實(shí)施方式中，可以由令牌提供商將令牌(直接或間接地)分發(fā)給用戶。這些用戶可以使用令牌來安全地訪問由各種應(yīng)用提供商提供的應(yīng)用。例如，用戶可以通過與可能受控于用戶的本地客戶端計(jì)算設(shè)備(例如pc、膝上型計(jì)算機(jī)、平板計(jì)算機(jī)或智能電話)進(jìn)行交互來遠(yuǎn)程訪問應(yīng)用，并且本地計(jì)算設(shè)備可以例如通過計(jì)算機(jī)網(wǎng)絡(luò)如互聯(lián)網(wǎng)來與托管用戶正在訪問的應(yīng)用的服務(wù)器計(jì)算機(jī)進(jìn)行遠(yuǎn)程通信。例如，用戶可以使用該用戶的本地計(jì)算設(shè)備上的網(wǎng)絡(luò)瀏覽器應(yīng)用來與由遠(yuǎn)程網(wǎng)絡(luò)服務(wù)器托管的基于網(wǎng)絡(luò)的網(wǎng)上銀行應(yīng)用進(jìn)行交互。為了確保用戶對應(yīng)用的訪問以及與應(yīng)用的交互安全，用戶可以使用由應(yīng)用所有者中的一個(gè)應(yīng)用所有者分發(fā)的令牌。在訪問應(yīng)用時(shí)，用戶可以使用該令牌來生成動態(tài)憑證，用戶例如經(jīng)由本地計(jì)算設(shè)備將該動態(tài)憑證轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器以進(jìn)行驗(yàn)證。在成功驗(yàn)證動態(tài)憑證之后，應(yīng)用服務(wù)器可以授權(quán)訪問或者可以執(zhí)行用戶所請求的操作。例如，當(dāng)?shù)卿浀骄W(wǎng)上銀行應(yīng)用以查看帳戶余額時(shí)，用戶可以使用令牌來生成一次性口令。用戶還可以使用令牌來對用戶想通過網(wǎng)上銀行應(yīng)用執(zhí)行的轉(zhuǎn)賬的數(shù)據(jù)生成簽名。

在一些實(shí)施方式中，令牌和應(yīng)用驗(yàn)證服務(wù)器可以適于使得：單個(gè)令牌可以由多個(gè)用戶使用，用戶可以使用同一令牌來訪問多個(gè)應(yīng)用，即使這多個(gè)應(yīng)用由不同的應(yīng)用提供商提供，而這些不同的應(yīng)用提供商不必共享秘密或以其他方式彼此信任，并且用戶可以使用多個(gè)令牌來訪問同一應(yīng)用。這具有以下優(yōu)點(diǎn)：由于基礎(chǔ)設(shè)施的重要部分(即令牌)可以在多個(gè)用戶與多個(gè)應(yīng)用所有者之間共享，所以應(yīng)用提供商用于確保其應(yīng)用安全的總成本被降低，由于用戶可以使用多個(gè)設(shè)備來訪問同一應(yīng)用，并且可以使用同一設(shè)備來訪問多個(gè)應(yīng)用，因此增加了用戶的便利性(即增加用戶的靈活性)，盡管降低了成本并增加了用戶便利性，但系統(tǒng)提供的安全級別仍然與基于常規(guī)的強(qiáng)認(rèn)證令牌的常規(guī)安全系統(tǒng)的安全級別一樣高。

更具體地，令牌可以適于支持多個(gè)實(shí)例，其中，同一設(shè)備中包括的不同實(shí)例可以與不同的用戶和/或不同的應(yīng)用相關(guān)聯(lián)，其中與同一用戶和同一應(yīng)用相關(guān)聯(lián)的多個(gè)實(shí)例可以被包括在不同的設(shè)備中。在一些具體實(shí)施方式中，實(shí)例可以被分組成用戶實(shí)例組，其中同一實(shí)例用戶組的所有實(shí)例被分配給同一用戶并且與同一應(yīng)用相關(guān)聯(lián)，其中至少一個(gè)實(shí)例用戶組與每個(gè)用戶相關(guān)聯(lián)。在這樣的實(shí)施方式中，系統(tǒng)可以適于確保單個(gè)設(shè)備不能包括同一用戶實(shí)例組的多個(gè)實(shí)例。

在一些實(shí)施方式中，令牌可以分組成多于一個(gè)的批次。在一些實(shí)施方式中，每個(gè)批次可以對某一類型的所有令牌進(jìn)行分組。例如在一些實(shí)施方式中，可以存在兩批令牌。一個(gè)批次可以包括所有的專用硬件令牌(即專門設(shè)計(jì)和制造以用作本說明書中描述的令牌的電子設(shè)備)，而另一個(gè)批次可以包括所有的軟件令牌(即，在通用計(jì)算平臺上運(yùn)行的軟件應(yīng)用，這些軟件應(yīng)用未被專門設(shè)計(jì)成用作令牌，并且其主要用途可能不同于執(zhí)行強(qiáng)認(rèn)證令牌的功能，例如運(yùn)行認(rèn)證應(yīng)用的智能電話)。在其他實(shí)施方式中，可以存在多個(gè)令牌提供商，并且每個(gè)批次可以對相同令牌提供商的所有令牌進(jìn)行分組。

在一些實(shí)施方式中，每個(gè)令牌可以具有唯一的令牌標(biāo)識符——在下文中稱為設(shè)備id。在一些實(shí)施方式中，設(shè)備id隱式或顯式地指示令牌所屬的批次。每個(gè)用戶實(shí)例組可以具有唯一的用戶實(shí)例組標(biāo)識符——在下文中稱為組序列號。每個(gè)實(shí)例可以具有唯一的實(shí)例標(biāo)識符——在下文中稱為實(shí)例id。在一些實(shí)施方式中，實(shí)例id可以由實(shí)例所屬的用戶實(shí)例組的組序列號與用戶實(shí)例組中唯一的序列號的組合來組成。

系統(tǒng)可以使用以下密碼密鑰：

批次主密鑰

不同的秘密批次主密鑰可以與每個(gè)不同的令牌批次相關(guān)聯(lián)。在一些實(shí)施方式中，這些批次主密鑰可以由令牌提供商生成，并且令牌提供商可以在令牌提供商向應(yīng)用提供商或向用戶提供令牌之前將合適的批次主密鑰加載到與批次主密鑰相關(guān)聯(lián)的批次的令牌中。在一些實(shí)施方式中，每個(gè)批次主密鑰可以僅對于令牌提供商和與批次主密鑰相關(guān)聯(lián)的批次的令牌而言是已知的。在一些實(shí)施方式中，存在具有不同批次主密鑰的至少兩個(gè)不同的令牌批次。

用戶實(shí)例組主密鑰

秘密用戶實(shí)例組主密鑰可以與每個(gè)用戶實(shí)例組相關(guān)聯(lián)。用戶實(shí)例組主密鑰可以用于確保將用戶實(shí)例組的實(shí)例加載到令牌中安全，如在本說明書的其他部分中更詳細(xì)地說明的那樣。

實(shí)例有效載荷密鑰

一組一個(gè)或更多個(gè)秘密有效載荷密鑰可以與每個(gè)實(shí)例相關(guān)聯(lián)。這些有效載荷密鑰將被用于確保將在與實(shí)例相關(guān)聯(lián)的應(yīng)用服務(wù)器與包括該實(shí)例的令牌之間交換的至少一些消息和命令安全。在一些實(shí)施方式中，實(shí)例的有效載荷密鑰可以是與有效載荷密鑰相關(guān)聯(lián)的實(shí)例與服務(wù)器之間共享的共享秘密，并且有效載荷密鑰可以用于將用于確保消息安全的對稱密碼算法參數(shù)化。在一些實(shí)施方式中，相同用戶實(shí)例組的所有實(shí)例針對有效載荷密鑰共享相同的值，使得服務(wù)器可以生成依然可以由相同用戶實(shí)例組的所有實(shí)例接收的以密碼方式保護(hù)的消息。這反過來又具有以下優(yōu)點(diǎn)：用戶可以足以向應(yīng)用識別他或她自身，并且用戶在接收到可以發(fā)起令牌操作例如生成用于應(yīng)用的動態(tài)憑證的服務(wù)器消息之前不必向應(yīng)用識別該用戶打算使用的令牌。在一些實(shí)施方式中，任何令牌可以包括相同用戶實(shí)例組中的至多一個(gè)令牌實(shí)例。在一些實(shí)施方式中，實(shí)例可以具有多于一個(gè)不同的有效載荷密鑰，從而不同的有效載荷密鑰可以用于不同的目的。例如，可以使用一個(gè)有效載荷密鑰來確保消息的機(jī)密性(例如通過將消息加密或解密)，而可以使用另一有效載荷密鑰來確保消息的認(rèn)證和/或完整性(例如，通過生成或驗(yàn)證消息上的簽名或mac)。

在一些實(shí)施方式中，存儲在令牌中的實(shí)例數(shù)據(jù)可以包括有效載荷密鑰的實(shí)際值。在一些實(shí)施方式中，存儲在令牌中的實(shí)例數(shù)據(jù)可以包括數(shù)據(jù)元素的值，當(dāng)令牌需要有效載荷密鑰的值時(shí)令牌可以使用所述數(shù)據(jù)元素的值來確定該實(shí)例的有效載荷密鑰的那些值。

實(shí)例憑證生成密鑰

一組一個(gè)或更多個(gè)秘密憑證生成密鑰可以與每個(gè)實(shí)例相關(guān)聯(lián)。令牌可以使用這些秘密憑證生成密鑰來生成用于與這些秘密憑證生成密鑰相關(guān)聯(lián)的實(shí)例的動態(tài)憑證。在一些實(shí)施方式中，實(shí)例的秘密憑證生成密鑰可以是在與其相關(guān)聯(lián)的實(shí)例與服務(wù)器(例如應(yīng)用服務(wù)器或者憑證驗(yàn)證服務(wù)器)之間共享的共享秘密，并且實(shí)例的秘密憑證生成密鑰可以用于將用于生成動態(tài)憑證的對稱密碼算法參數(shù)化。在一些實(shí)施方式中，對于同一用戶實(shí)例組的多于一個(gè)的實(shí)例而言，憑證生成密鑰是相同的。在一些實(shí)施方式中，對于同一用戶實(shí)例組的所有實(shí)例而言，憑證生成密鑰具有相同的值。在一些實(shí)施方式中，為了增加安全性(即，使得如果用戶實(shí)例組中的一個(gè)實(shí)例被損壞，同一用戶實(shí)例組中的其他實(shí)例不會自動地也被損壞)，這些憑證生成密鑰對于每個(gè)實(shí)例是唯一的。在一些實(shí)施方式中，這些憑證生成密鑰僅對于與這些憑證生成密鑰相關(guān)聯(lián)的一個(gè)或更多個(gè)實(shí)例以及與實(shí)例相關(guān)聯(lián)的應(yīng)用服務(wù)器是已知的。在一些實(shí)施方式中，實(shí)例可以具有多于一個(gè)的不同的憑證生成密鑰，從而可以將不同的憑證生成密鑰用于不同的目的。例如在一些實(shí)施方式中，可以使用不同的憑證生成密鑰來生成不同類型的憑證。例如在一些實(shí)施方式中，可以使用一個(gè)憑證生成密鑰來生成一次性口令(例如，用于對嘗試登錄的用戶進(jìn)行認(rèn)證)，而可以使用另一憑證生成密鑰來生成簽名(例如，用于對用戶提交的交易進(jìn)行認(rèn)證)。

在一些實(shí)施方式中，存儲在令牌中的實(shí)例數(shù)據(jù)可以包括憑證生成密鑰的實(shí)際值。在一些實(shí)施方式中，存儲在令牌中的實(shí)例數(shù)據(jù)可以包括數(shù)據(jù)元素的值，當(dāng)令牌需要憑證生成密鑰的值時(shí)，令牌可以使用所述數(shù)據(jù)元素的值來確定該實(shí)例的憑證生成密鑰的那些值。

加載實(shí)例

在一些實(shí)施方式中，可以通過以下兩階段處理將實(shí)例加載到令牌中。

實(shí)例加載處理的第一階段

在第一階段中，為特定用戶實(shí)例組生成第一用戶實(shí)例組加載消息(或第一加載消息或第一階段加載消息)。該第一加載消息可以用于加載該特定用戶實(shí)例組中的所有實(shí)例。該消息可以包括用于目標(biāo)令牌的足夠數(shù)據(jù)，以確定與該特定用戶實(shí)例組相關(guān)聯(lián)的用戶實(shí)例組主密鑰的值。這些數(shù)據(jù)將被稱為用戶實(shí)例組主密鑰傳送數(shù)據(jù)。在一些實(shí)施方式中，可以使用與令牌的批次主密鑰相關(guān)的密碼密鑰來確保將用戶實(shí)例組主密鑰加載到令牌中安全。在一些實(shí)施方式中，令牌可以通過將用戶實(shí)例組主密鑰傳送數(shù)據(jù)與已經(jīng)加載在令牌中的批次主密鑰以密碼方式進(jìn)行組合來確定用戶實(shí)例組主密鑰的值。因此，用戶實(shí)例組主密鑰傳送數(shù)據(jù)可以是目標(biāo)令牌的用戶實(shí)例組主密鑰和批次主密鑰的函數(shù)。例如在一些實(shí)施方式中，第一用戶實(shí)例組加載消息中的用戶實(shí)例組主密鑰傳送數(shù)據(jù)可以包括用目標(biāo)令牌的批次主密鑰加密的用戶實(shí)例組主密鑰。

在一些實(shí)施方式中，第一用戶實(shí)例組加載消息可以由實(shí)例加載服務(wù)器生成。在一些實(shí)施方式中，應(yīng)用服務(wù)器也可以是實(shí)例加載服務(wù)器，或者可以在應(yīng)用服務(wù)器中包括實(shí)例加載服務(wù)器。

在一些實(shí)施方式中，相同的第一加載消息可以與任何批次的任何令牌一起使用。例如在一些實(shí)施方式中，用戶實(shí)例組主密鑰傳送數(shù)據(jù)可以包括不同的批次相關(guān)值，每個(gè)批次對應(yīng)一個(gè)值，其中每個(gè)不同的批次相關(guān)值可以是與該值相關(guān)的批次的用戶實(shí)例組主密鑰和批次主密鑰的函數(shù)，使得接收包括具有所有這些批次相關(guān)值的用戶實(shí)例組主密鑰傳送數(shù)據(jù)的第一加載消息的所有令牌可以通過將其批次主密鑰和與其批次相對應(yīng)的值以密碼方式組合來確定用戶實(shí)例組主密鑰的同一值。例如在一些實(shí)施方式中，每個(gè)批次相關(guān)值包括由與批次相關(guān)值相關(guān)的批次的批次主密鑰加密的用戶實(shí)例組主密鑰，并且第一加載消息可以包括所有批次相關(guān)值，并且令牌可以適于使用其批次主密鑰將與其批次相對應(yīng)的批次相關(guān)值解密，使得接收第一加載消息的所有令牌最終具有用戶實(shí)例組主密鑰的同一值。以這種方式，特定用戶可以使用相同的第一加載消息來發(fā)起在用戶期望的任何令牌上加載與該用戶相關(guān)聯(lián)的用戶實(shí)例組的實(shí)例。在一些實(shí)施方式中，相同的第一加載消息可以與多個(gè)不同的令牌重新使用。以這種方式，特定用戶可以重新使用相同的第一加載消息來發(fā)起在多于一個(gè)的令牌上加載與該用戶相關(guān)聯(lián)的用戶實(shí)例組的實(shí)例。

在一些實(shí)施方式中，用戶實(shí)例組主密鑰可以由令牌提供商生成并由令牌提供商提供給應(yīng)用提供商。在一些實(shí)施方式中，批次相關(guān)值也可以由令牌提供商生成并提供給應(yīng)用提供商。在其他實(shí)施方式中，用戶實(shí)例組主密鑰的值可以由相應(yīng)的應(yīng)用提供商選擇，并且批次相關(guān)值可以由能夠訪問批次主密鑰的值的可信任方生成并被提供給適當(dāng)?shù)膽?yīng)用提供商。

在一些實(shí)施方式中，通過可以被認(rèn)為是足夠安全的特定通信信道將第一加載消息提供給與用戶實(shí)例組相關(guān)聯(lián)的用戶，使得用戶可以將其提供給該用戶選擇的令牌。例如在一些實(shí)施方式中，令牌可以包括適于將二維條形碼捕獲并解碼的數(shù)據(jù)輸入接口，并且第一加載消息可以以包含條形碼的郵件的形式或以上面印有條形碼的信件的形式被發(fā)送給用戶并且例如通過注冊郵件來發(fā)送。

在令牌接收到第一加載消息并且令牌已經(jīng)確定用戶實(shí)例組主密鑰的值之后，令牌可以生成第一加載確認(rèn)碼，令牌例如可以向用戶呈現(xiàn)該第一加載確認(rèn)碼，以轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器，以向應(yīng)用服務(wù)器指示第一加載消息已被成功接收并處理。在一些實(shí)施方式中，第一加載確認(rèn)碼可以包括使應(yīng)用服務(wù)器能夠確定令牌身份的數(shù)據(jù)。例如，第一加載確認(rèn)碼可以包括令牌的設(shè)備id。在一些實(shí)施方式中，第一加載確認(rèn)碼可以包括以密碼方式生成的數(shù)據(jù)，該數(shù)據(jù)向應(yīng)用服務(wù)器演示令牌確實(shí)成功地確定了用戶實(shí)例組主密鑰的正確值。例如，第一加載確認(rèn)碼可以包括令牌通過將第一加載消息中存在的值與令牌針對用戶實(shí)例組主密鑰確定的值以密碼方式進(jìn)行組合而生成的響應(yīng)。

實(shí)例加載處理的第二階段

在實(shí)例加載處理的第二階段中，可以生成第二加載消息(或第二階段加載消息)。第二加載消息可以用于向令牌傳送該令牌可以用以確定實(shí)例的一些秘密值的一些數(shù)據(jù)，例如與該實(shí)例相關(guān)聯(lián)的一組有效載荷密鑰以及一組憑證生成密鑰。在一些實(shí)施方式中，令牌可以根據(jù)在第二加載消息中接收到的數(shù)據(jù)和實(shí)例的用戶實(shí)例組主密鑰來確定要傳送的這些數(shù)據(jù)或者這些秘密值本身?？梢允褂脤?shí)例的用戶實(shí)例組主密鑰來以密碼方式確保第二加載消息安全，例如以保護(hù)消息中的數(shù)據(jù)的機(jī)密性和/或完整性和/或真實(shí)性，所述數(shù)據(jù)例如令牌可以用以確定安全性敏感的實(shí)例數(shù)據(jù)的數(shù)據(jù)，例如有效載荷密鑰或憑證生成密鑰。在一些實(shí)施方式中，可以直接使用用戶實(shí)例組主密鑰來確保第二加載消息安全(例如，通過使用用戶實(shí)例組主密鑰來將第二加載消息的內(nèi)容進(jìn)行加密)。在一些實(shí)施方式中，可以直接使用用戶實(shí)例組主密鑰來確保第二加載消息安全；例如在一些實(shí)施方式中，密碼密鑰可以從用戶實(shí)例組主密鑰得到，并且得到的密鑰可以用于確保第二加載消息安全(例如，將第二加載消息的內(nèi)容進(jìn)行加密)。例如在一些實(shí)施方式中，第二加載消息可以包括使用該實(shí)例的用戶實(shí)例組主密鑰加密或者使用從該實(shí)例的用戶實(shí)例組主密鑰得到的密鑰進(jìn)行加密的實(shí)例的有效載荷密鑰和憑證生成密鑰。在一些實(shí)施方式中，第二加載消息可以針對特定的單獨(dú)令牌。在一些實(shí)施方式中，第二加載消息可以被以密碼方式鏈接到特定的單獨(dú)令牌，使得接收第二加載消息的特定令牌可以確定是否確實(shí)是第二加載消息所針對的特定令牌。例如在一些實(shí)施方式中，第二加載消息可以包括設(shè)備id上的mac，從而使用用戶實(shí)例組主密鑰生成mac，或者包含在使用用戶實(shí)例組主密鑰加密的第二加載消息中的數(shù)據(jù)也可以包括設(shè)備id。在一些實(shí)施方式中，可以使用可以從令牌的設(shè)備id和用戶實(shí)例組主密鑰得到的密碼密鑰對第二加載消息以密碼方式進(jìn)行保護(hù)(例如，使用消息內(nèi)容上的mac或簽名來加密或提供)。

在一些實(shí)施方式中，同一用戶實(shí)例組的所有實(shí)例對于用于確保在服務(wù)器與包括這些實(shí)例中之一的令牌之間交換的消息安全的一個(gè)或更多個(gè)有效載荷秘密共享相同的值。在一些實(shí)施方式中，同一用戶實(shí)例組的所有實(shí)例共享用于確保從服務(wù)器發(fā)送到包括這些實(shí)例中之一的令牌的消息安全的相同的有效載荷秘密。在一些實(shí)施方式中，憑證生成秘密中的一個(gè)或更多個(gè)的值可以由相同用戶實(shí)例組的所有實(shí)例共享。在一些實(shí)施方式中，實(shí)例的憑證生成秘密中的至少一個(gè)或者一些或全部的值對于該實(shí)例可以是唯一的。在一些實(shí)施方式中，實(shí)例的有效載荷秘密中的至少一個(gè)或者一些或全部的值對于該實(shí)例可以是唯一的。例如在一些實(shí)施方式中，用于確保由令牌針對特定實(shí)例生成并發(fā)往服務(wù)器的消息安全的有效載荷密鑰對于該實(shí)例可以是唯一的。

在一些實(shí)施方式中，有效載荷密鑰的值和/或憑證生成密鑰的值由與(與有效載荷密鑰和憑證生成密鑰相關(guān)聯(lián)的)實(shí)例所屬的用戶實(shí)例組相關(guān)聯(lián)的應(yīng)用提供商選擇。在其他實(shí)施方式中，有效載荷密鑰的值和/或憑證生成密鑰的值可以由令牌提供商選擇并且提供給適當(dāng)?shù)膽?yīng)用提供商。

在一些實(shí)施方式中，通過可以認(rèn)為是足夠安全的特定通信信道將第二加載消息提供給與實(shí)例相關(guān)聯(lián)的用戶，使得用戶可以將第二加載消息提供給目標(biāo)令牌。例如在一些實(shí)施方式中，可以在用戶返回第一加載確認(rèn)碼的網(wǎng)絡(luò)會話期間將第二加載消息提供給用戶。在一些實(shí)施方式中，可能需要用戶在接收第二加載消息之前進(jìn)行認(rèn)證。例如，如果用戶之前已經(jīng)接收到另一個(gè)實(shí)例，則可能需要用戶提供使用該另一實(shí)例生成的一次性口令。

在目標(biāo)令牌已經(jīng)接收到第二加載消息并且令牌已經(jīng)確定了實(shí)例數(shù)據(jù)的值之后，令牌可以生成第二加載確認(rèn)碼，令牌例如可以將第二加載確認(rèn)碼呈現(xiàn)給用戶以轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器，以向應(yīng)用服務(wù)器指示第二加載消息已被成功接收并處理，并且實(shí)例已成功加載。例如，第二加載確認(rèn)碼可以包括由令牌使用加載的實(shí)例的憑證生成密鑰生成的一次性口令。

在一些實(shí)施方式中，認(rèn)證令牌可以適于接受同一用戶實(shí)例組的不多于兩個(gè)實(shí)例的加載。在一些實(shí)施方式中，第一加載消息可以包括標(biāo)識與該第一加載消息相關(guān)聯(lián)的用戶實(shí)例組的數(shù)據(jù)元素。在一些實(shí)施方式中，第二加載消息可以包括標(biāo)識與該第二加載消息相關(guān)聯(lián)的實(shí)例的用戶實(shí)例組的數(shù)據(jù)元素。在一些實(shí)施方式中，第二加載消息可以包括標(biāo)識與該第二加載消息相關(guān)聯(lián)的實(shí)例的數(shù)據(jù)元素。在一些實(shí)施方式中，第二加載消息可以包括使接收第二加載消息的認(rèn)證令牌能夠?qū)⒔邮盏降牡诙虞d消息鏈接到較早接收到的第一加載消息的數(shù)據(jù)元素。在一些實(shí)施方式中，認(rèn)證令牌可以適于拒絕不能鏈接到較早的相應(yīng)第一加載消息的第二加載消息。

操作階段

在實(shí)例被成功加載到目標(biāo)令牌中之后，實(shí)例進(jìn)入操作階段。具有實(shí)例的令牌現(xiàn)在可以接收針對該實(shí)例的消息或命令，并對所述消息或命令進(jìn)行操作。在一些實(shí)施方式中，可以利用與消息或命令以其為目標(biāo)的實(shí)例相關(guān)聯(lián)的有效載荷密鑰來確保目標(biāo)實(shí)例安全。例如，響應(yīng)于接收到包括要被簽名并且使用與加載的實(shí)例對應(yīng)的有效載荷密鑰確保安全的數(shù)據(jù)的交易數(shù)據(jù)簽名命令，令牌可以使用加載的實(shí)例的憑證生成密鑰來生成動態(tài)憑證，例如包括交易數(shù)據(jù)簽名。

例如在一些實(shí)施方式中，應(yīng)用可以生成憑證生成命令并將其傳送給令牌。在一些實(shí)施方式中，可以使用可以與特定實(shí)例或特定用戶實(shí)例組相關(guān)聯(lián)的一個(gè)或更多個(gè)有效載荷密鑰來對憑證生成命令進(jìn)行認(rèn)證。例如，可以使用一個(gè)有效載荷密鑰對憑證生成命令進(jìn)行簽名或賦予mac，并且可以使用另一個(gè)有效載荷密鑰對憑證生成命令的內(nèi)容加密。在接收到憑證生成命令時(shí)，令牌可以取回或確定適用的有效載荷密鑰。如果適用，則令牌可以認(rèn)證接收到的憑證生成命令，例如通過使用適用的有效載荷密鑰來驗(yàn)證簽名或mac。如果對接收到的憑證生成命令的認(rèn)證失敗，則令牌可以拒絕接收到的憑證生成命令。在拒絕了接收到的憑證生成命令時(shí)，令牌可以向用戶輸出出錯(cuò)消息。如果適用，則令牌可以將接收到的憑證生成命令的內(nèi)容解密。令牌可以確定并選擇接收到的憑證生成所發(fā)往的實(shí)例，如在本說明書的其他部分中更詳細(xì)描述的那樣。如果令牌不能確定并選擇包含在令牌中的實(shí)例中之一作為由接收到的憑證生成消息針對的實(shí)例，則令牌可以拒絕接收到的憑證生成命令。在拒絕了接收到的憑證生成命令時(shí)，令牌可以向用戶輸出出錯(cuò)消息。如果接收到的憑證生成命令包含要被簽名的交易數(shù)據(jù)，則令牌可以向用戶呈現(xiàn)該交易數(shù)據(jù)，并請求用戶批準(zhǔn)或拒絕交易。如果用戶拒絕所呈現(xiàn)的交易數(shù)據(jù)，則令牌可以拒絕接收到的憑證生成命令。如果接收到的憑證生成消息被接受，則令牌可以遵照接收到的憑證生成消息的內(nèi)容并且使用所選實(shí)例的適當(dāng)憑證生成密鑰來生成動態(tài)憑證。例如，如果接收到的憑證生成消息指示應(yīng)該生成一次性口令，則令牌可以生成一次性口令。如果接收到的憑證生成消息包括質(zhì)詢，則令牌可以生成響應(yīng)。如果接收到的憑證生成消息包括交易數(shù)據(jù)，則令牌可以生成對這些交易數(shù)據(jù)的簽名。在一些實(shí)施方式中，令牌然后可以將所生成的憑證呈現(xiàn)給用戶，以便于用戶轉(zhuǎn)發(fā)到應(yīng)用。在一些實(shí)施方式中，令牌可以生成包括所生成的憑證的憑證生成響應(yīng)消息，并且發(fā)送該憑證生成響應(yīng)消息。應(yīng)用可以在接收到生成的憑證時(shí)驗(yàn)證接收到的生成的憑證。

在一些替選實(shí)施方式中，可以使用單個(gè)加載消息來完成將實(shí)例加載到特定令牌中。在一些實(shí)施方式中，單個(gè)加載消息針對特定令牌，并且只能與該特定令牌一起使用。在一些實(shí)施方式中，單個(gè)加載消息被以密碼方式鏈接到該特定令牌，如上文更詳細(xì)地說明的那樣。在其他實(shí)施方式中，單個(gè)加載消息可以與所有令牌一起使用。

在一些實(shí)施方式中，存在多于一個(gè)的令牌提供商。在一些實(shí)施方式中，批次主密鑰不由令牌提供商生成并且不被令牌提供商已知。在一些實(shí)施方式中，批次主密鑰僅由可信第三方生成和已知，該第三方負(fù)責(zé)處理不由令牌執(zhí)行的所有操作，并且需要知道批次主密鑰。在一些實(shí)施方式中，令牌提供商使用令牌提供商主密鑰來初始化他們所提供的令牌。在一些實(shí)施方式中，通過使用這些令牌中存在的令牌提供商主密鑰來確保安全的消息將適當(dāng)?shù)呐沃髅荑€加載到令牌中。在一些實(shí)施方式中，批次主密鑰的這種加載發(fā)生在用戶之間分發(fā)令牌之前。在一些實(shí)施方式中，令牌提供商將其令牌提供商主密鑰提供給可信任方。

附圖說明

從附圖中所示的本發(fā)明的實(shí)施方式的以下更具體的描述中，本發(fā)明的前述和其他特征和優(yōu)點(diǎn)將是明顯的。

圖1示意性地示出了根據(jù)本發(fā)明的一個(gè)方面的示例性設(shè)備。

圖2示意性地示出了根據(jù)本發(fā)明的一個(gè)方面的示例性系統(tǒng)。

圖3示意性地示出了根據(jù)本發(fā)明的一個(gè)方面的示例性方法。

具體實(shí)施方式

下面討論本發(fā)明的一些實(shí)現(xiàn)方式。盡管討論了具體實(shí)現(xiàn)方式，但是應(yīng)當(dāng)理解，這僅僅是出于說明的目的。相關(guān)領(lǐng)域的技術(shù)人員將認(rèn)識到，在不脫離本發(fā)明的精神和范圍的情況下，可以使用其他部件和配置。提供了各種具體詳情以便能夠透徹地理解本發(fā)明。然而，相關(guān)領(lǐng)域的技術(shù)人員將理解，可以在沒有這些具體詳情的情況下實(shí)踐本發(fā)明。在其他情況下，沒有詳細(xì)描述公知的方法、過程、部件和電路，以免使本發(fā)明變得模糊。對于本領(lǐng)域技術(shù)人員來說，對所描述的實(shí)施方式的各種修改將是明顯的，并且下面詳細(xì)描述的實(shí)施方式的一般原理可以應(yīng)用于其他實(shí)施方式。

圖1示意性地示出了根據(jù)本發(fā)明的一個(gè)方面的本發(fā)明的示例性設(shè)備(100)。圖1的設(shè)備包括強(qiáng)認(rèn)證令牌。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌適于生成代表用戶的動態(tài)憑證。在一些實(shí)施方式中，由強(qiáng)認(rèn)證令牌生成的動態(tài)憑證可以包括例如一次性口令和/或例如交易數(shù)據(jù)上的電子簽名和/或?qū)|(zhì)詢的響應(yīng)。

多個(gè)實(shí)例

在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌適于支持多個(gè)(即多于一個(gè))實(shí)例，多個(gè)實(shí)例可以各自與不同的用戶相關(guān)聯(lián)。在一些實(shí)施方式中，每個(gè)實(shí)例可以包括令牌可以用以確定例如密碼密鑰的數(shù)據(jù)，例如令牌可以用以生成代表與該實(shí)例相關(guān)聯(lián)的用戶的動態(tài)憑證的一個(gè)或更多個(gè)密碼憑證生成密鑰。關(guān)于可以被包括在實(shí)例中的數(shù)據(jù)、令牌可以如何使用實(shí)例、關(guān)于實(shí)例的管理和生命周期以及關(guān)于實(shí)例、令牌和用戶之間的各種關(guān)系的更多詳情，請參閱上述說明。

處理器(150)和存儲器(160)。

令牌可以包括數(shù)字?jǐn)?shù)據(jù)處理部件(150)，數(shù)字?jǐn)?shù)據(jù)處理部件(150)可以適于執(zhí)行一組數(shù)據(jù)處理指令，例如以實(shí)現(xiàn)賦予本文中描述的令牌的一個(gè)或更多個(gè)功能。在一些實(shí)施方式中，數(shù)據(jù)處理部件(150)可以包括例如一個(gè)或更多個(gè)微處理器、微控制器、數(shù)字信號處理器(dsp)芯片、現(xiàn)場可編程門陣列(fpga)等。

令牌可以包括存儲器部件(160)。存儲器部件(160)可以連接到數(shù)字?jǐn)?shù)據(jù)處理部件(150)。在一些實(shí)施方式中，存儲器部件可以包括適于存儲要由數(shù)據(jù)處理部件執(zhí)行的軟件或固件的程序存儲器部件。在一些實(shí)施方式中，令牌支持的功能可以由存儲在其存儲器中的軟件或固件來限定。

在一些實(shí)施方式中，存儲器部件(160)可以包括適于永久地或臨時(shí)地存儲數(shù)據(jù)的數(shù)據(jù)存儲器部件。在一些實(shí)施方式中，數(shù)據(jù)存儲器部件可以適于安全地存儲秘密數(shù)據(jù)如密碼密鑰或pin或口令參考數(shù)據(jù)。在一些實(shí)施方式中，數(shù)據(jù)存儲器部件可以適于存儲多個(gè)實(shí)例的數(shù)據(jù)。

存儲器部件可以例如包括ram(隨機(jī)存取存儲器)存儲器、rom(只讀存儲器)存儲器、eprom(可擦除可編程只讀存儲器)存儲器、一次性可編程存儲器、閃速存儲器、固態(tài)存儲器、硬盤等。

用戶接口(120，130)

在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以包括與用戶交互例如用于與用戶交換數(shù)據(jù)、信息和/或命令的用戶接口(120，130)。用戶接口(120，130)可以連接到數(shù)字?jǐn)?shù)據(jù)處理部件(150)。

在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌的用戶接口可以包括用于向強(qiáng)認(rèn)證令牌的用戶呈現(xiàn)信息和/或數(shù)據(jù)的輸出用戶接口(130)。在一些實(shí)施方式中，輸出用戶接口可以包括例如顯示器(130)或音頻輸出接口。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌的用戶接口可以包括用于從用戶接收輸入的輸入用戶接口(120)，所述輸入例如輸入的數(shù)據(jù)(如質(zhì)詢或交易數(shù)據(jù))或指令(如確認(rèn)或取消)或pin。在一些實(shí)施方式中，輸入用戶接口可以包括例如鍵盤(120)。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌的用戶接口可以包括可以適于提供用戶輸出接口和用戶輸入接口二者的功能的觸摸屏。

數(shù)據(jù)輸入接口(140)

在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以包括數(shù)字?jǐn)?shù)據(jù)輸入接口。數(shù)據(jù)輸入接口(140)可以連接到數(shù)字?jǐn)?shù)據(jù)處理部件(150)。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌的數(shù)字?jǐn)?shù)據(jù)輸入接口可以適于接收數(shù)字?jǐn)?shù)據(jù)消息。在一些實(shí)施方式中，數(shù)據(jù)輸入接口可以包括光學(xué)圖像獲取部件(140)。在一些實(shí)施方式中，光學(xué)圖像獲取部件可以包括攝像裝置。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以適于使用光學(xué)圖像獲取部件來捕獲可以用數(shù)字?jǐn)?shù)據(jù)消息編碼的圖像。在一些實(shí)施方式中，圖像可以包括二維條形碼。在一些實(shí)施方式中，圖像的格式可以在標(biāo)準(zhǔn)中進(jìn)行限定。例如在一些實(shí)施方式中，光學(xué)圖像可以是qr碼。

在其他實(shí)施方式中，數(shù)字?jǐn)?shù)據(jù)輸入接口可以包括適于捕獲可以使用用于令牌的消息或命令來編碼的聲學(xué)信號的聲學(xué)接口。在一些實(shí)施方式中，聲學(xué)接口可以包括麥克風(fēng)。在一些實(shí)施方式中，聲學(xué)接口可以包括模數(shù)轉(zhuǎn)換器，模數(shù)轉(zhuǎn)換器將模擬電子信號轉(zhuǎn)換成數(shù)字信號，數(shù)字信號可以由例如上述數(shù)字?jǐn)?shù)據(jù)處理部件進(jìn)一步來處理。

在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以包括數(shù)據(jù)輸出接口(141)。數(shù)據(jù)輸出接口(141)可以連接到數(shù)字?jǐn)?shù)據(jù)處理部件(150)。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌的數(shù)字?jǐn)?shù)據(jù)輸出接口可以適于發(fā)送數(shù)字?jǐn)?shù)據(jù)消息。例如在一些實(shí)施方式中，認(rèn)證令牌可以包括可以適于接收和發(fā)送消息的雙向數(shù)據(jù)接口，即將數(shù)據(jù)輸入接口和數(shù)據(jù)輸出接口進(jìn)行組合的數(shù)據(jù)接口。例如在一些實(shí)施方式中，令牌可以包括包含無線數(shù)據(jù)通信接口的數(shù)據(jù)接口，無線數(shù)據(jù)通信接口——例如移動數(shù)據(jù)通信接口或藍(lán)牙接口——包括天線和適當(dāng)?shù)男酒M。在一些實(shí)施方式中，令牌可以包括下述數(shù)據(jù)接口，該數(shù)據(jù)接口可以例如包括包含usb連接器和芯片組的通用串行總線(usb)接口。

在其他實(shí)施方式中，強(qiáng)認(rèn)證令牌可以不包括用于以數(shù)字格式輸出包括所生成的動態(tài)憑證的數(shù)字?jǐn)?shù)據(jù)消息的數(shù)據(jù)輸出接口，并且輸出所生成的動態(tài)憑證的唯一方式是通過使用輸出用戶接口來將所生成的動態(tài)憑證呈現(xiàn)給用戶。

令牌命令消息

在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以適于對其可能接收到的數(shù)據(jù)消息進(jìn)行處理和操作。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以適于對用于將實(shí)例加載到令牌中的消息進(jìn)行接收、處理和操作。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以適于對包含要簽名的交易數(shù)據(jù)的消息進(jìn)行接收、處理和操作。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以適于對提示強(qiáng)認(rèn)證令牌生成一次性口令的消息進(jìn)行接收、處理和操作。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌可以適于對包含質(zhì)詢值并且提示強(qiáng)認(rèn)證令牌使用接收到的質(zhì)詢值和存儲在強(qiáng)認(rèn)證令牌中的秘密來以密碼方式計(jì)算響應(yīng)值的消息進(jìn)行接收、處理和操作。

在一些實(shí)施方式中，由強(qiáng)認(rèn)證令牌接收到的數(shù)據(jù)消息可以發(fā)往強(qiáng)認(rèn)證令牌支持的特定實(shí)例。在一些實(shí)施方式中，強(qiáng)認(rèn)證令牌適于檢測接收到的數(shù)據(jù)消息發(fā)往哪個(gè)實(shí)例。在一些實(shí)施方式中，接收到的數(shù)據(jù)消息可以包括目的地實(shí)例指示數(shù)據(jù)元素，目的地實(shí)例指示數(shù)據(jù)元素可以給出對消息發(fā)往的實(shí)例的指示。

關(guān)于令牌可以接收、處理和操作的數(shù)字?jǐn)?shù)據(jù)消息以及令牌可以如何確定接收到的數(shù)據(jù)消息發(fā)往哪個(gè)實(shí)例的更多詳情可以在本說明書的其他地方找到。

憑證生成

令牌可以適于生成動態(tài)憑證，如在本說明書的其他部分中更詳細(xì)說明的那樣。在一些實(shí)施方式中，數(shù)據(jù)處理部件(150)可以適于執(zhí)行密碼計(jì)算以生成動態(tài)憑證。在一些實(shí)施方式中，令牌可以適于使用可以被永久地或臨時(shí)地存儲在存儲器部件(160)中的密碼密鑰來生成動態(tài)憑證，或者這些密碼密鑰可以由令牌從永久地或臨時(shí)地存儲在存儲器部件(160)中的數(shù)據(jù)中得到。在一些實(shí)施方式中，令牌可以適于使用作為存儲在存儲器部件(160)中的實(shí)例的一部分的數(shù)據(jù)來生成動態(tài)憑證。在一些實(shí)施方式中，令牌可以適于使用對稱密碼算法來生成動態(tài)憑證。在一些實(shí)施方式中，用于生成動態(tài)憑證的密碼算法可以使用一個(gè)或更多個(gè)對稱秘密密碼憑證生成密鑰來參數(shù)化。在一些實(shí)施方式中，這些憑證生成密鑰可以與令牌中包含的實(shí)例相關(guān)聯(lián)。在一些實(shí)施方式中，實(shí)例的憑證生成密鑰可以與服務(wù)器如憑證驗(yàn)證服務(wù)器共享。

在一些實(shí)施方式中，令牌可以適于使用動態(tài)變量來生成動態(tài)憑證，動態(tài)變量可以包括由令牌提供的內(nèi)部值。例如在一些實(shí)施方式中，令牌可以包括時(shí)鐘(170)，并且令牌可以將該時(shí)鐘提供的時(shí)間值用作內(nèi)部值。在一些實(shí)施方式中，令牌可以將計(jì)數(shù)器作為實(shí)例的數(shù)據(jù)的一部分進(jìn)行維護(hù)，并且令牌可以適于將該計(jì)數(shù)器的值用作內(nèi)部值來生成該實(shí)例的動態(tài)憑證，并且每當(dāng)令牌使用該計(jì)數(shù)器的值生成動態(tài)憑證時(shí)更新該計(jì)數(shù)器的值(例如通過遞增或遞減)。

在一些實(shí)施方式中，令牌可以適于使用動態(tài)變量來生成動態(tài)憑證，該動態(tài)變量可以包括提供給令牌的外部值。在一些實(shí)施方式中，這樣的外部值可以包括由服務(wù)器生成的質(zhì)詢或者要簽名的交易數(shù)據(jù)。在一些實(shí)施方式中，外部值可以由用戶通過使用令牌的用戶輸入接口手動提供給令牌。例如，令牌可以捕獲令牌中包括的、用戶可以在鍵盤上作為字符串輸入的質(zhì)詢或交易數(shù)據(jù)。在一些實(shí)施方式中，外部值被提供為被包括在由令牌通過其數(shù)據(jù)輸入接口接收的消息或命令中。

在一些實(shí)施方式中，令牌可以適于將所生成的動態(tài)憑證呈現(xiàn)給用戶。例如在一些實(shí)施方式中，令牌可以將所生成的動態(tài)憑證作為可讀字符串顯示在其顯示器上。在一些實(shí)施方式中，該字符串可以僅包括十進(jìn)制字符。在其他實(shí)施方式中，該字符串可以包括字母數(shù)字字符。

安全的專用硬件令牌

在一些實(shí)施方式中，令牌(100)是專用硬件設(shè)備。在一些實(shí)施方式中，令牌可以專用于確保用戶對應(yīng)用的訪問安全或者確保用戶與這樣的應(yīng)用進(jìn)行交互安全的方法。在一些實(shí)施方式中，認(rèn)證設(shè)備的主要目的是用于確保用戶對應(yīng)用的訪問安全或者確保用戶與這樣的應(yīng)用進(jìn)行交互安全的方法。在一些實(shí)施方式中，為了保證認(rèn)證設(shè)備專用于其作為安全設(shè)備的用途，認(rèn)證設(shè)備可以適于使得不可能更改其固件。在一些實(shí)施方式中，為了保證認(rèn)證設(shè)備專用于其作為安全設(shè)備的用途，對其固件的任何更改或更新僅可以通過安全固件更新協(xié)議來實(shí)現(xiàn)，安全固件更新協(xié)議被設(shè)計(jì)為確保只有授權(quán)控制的可信任方才能更新或更改認(rèn)證設(shè)備的固件。這使得控制可信任方能夠確保不會發(fā)生固件更新，從而可以撤銷認(rèn)證設(shè)備專用于在用于確保用戶對應(yīng)用的訪問安全或者確保用戶與這樣的應(yīng)用進(jìn)行交互安全的方法中的用途。用戶可以在其中安裝未被控制信任方授權(quán)的額外軟件的設(shè)備不能被視為專用設(shè)備。其主要目的是提供遠(yuǎn)程通信設(shè)施的設(shè)備不能被認(rèn)為是專用于確保用戶訪問應(yīng)用安全以及確保與應(yīng)用交互安全的方法的設(shè)備。通用的pc、膝上型計(jì)算機(jī)、平板計(jì)算機(jī)和智能電話不能被視為專用設(shè)備。

在一些實(shí)施方式中，令牌(100)是安全硬件設(shè)備。在一些實(shí)施方式中，安全硬件設(shè)備適于確保檢測到或抵抗對篡改安全硬件設(shè)備的嘗試。在一些實(shí)施方式中，安全硬件設(shè)備的殼體適于抵抗打開殼體以及/或者增加用戶將通過殼體變形(篡改證據(jù))注意到打開殼體的嘗試的可能性。在一些實(shí)施方式中，一起構(gòu)成殼體的部件可以被焊接或膠合在一起，使得試圖分離這些部件通常將導(dǎo)致殼體明顯變形。在一些實(shí)施方式中，安全硬件設(shè)備包括檢測殼體被打開的開關(guān)。在一些實(shí)施方式中，安全硬件設(shè)備適于在檢測到篡改的嘗試時(shí)采取適當(dāng)?shù)膭幼?。在一些?shí)施方式中，安全硬件設(shè)備可以擦除某些敏感數(shù)據(jù)，例如密碼密鑰或者一些或所有的實(shí)例數(shù)據(jù)，或者安全硬件設(shè)備可以(可能不可逆地)在檢測到對安全硬件設(shè)備的篡改的嘗試時(shí)進(jìn)入出錯(cuò)模式或者停止運(yùn)行。

安全硬件設(shè)備可以具有安全用戶輸出接口(例如安全顯示器)和安全用戶輸入接口(例如，安全鍵盤)。在一些實(shí)施方式中，安全硬件設(shè)備具有安全的輸出接口，該輸出接口安全在于：該輸出接口由安全硬件設(shè)備完全控制，并且該輸出接口不能用于通過安全硬件設(shè)備外部的處理將數(shù)據(jù)或信息呈現(xiàn)給用戶，或者如果這是由安全硬件設(shè)備授權(quán)和控制的，則該輸出接口只能用于通過安全硬件設(shè)備外部的處理將數(shù)據(jù)或信息呈現(xiàn)給用戶。在一些實(shí)施方式中，安全硬件設(shè)備具有安全的用戶輸入接口，該用戶輸入接口安全在于：該用戶輸入接口由安全硬件設(shè)備完全控制，并且不能用于通過安全硬件設(shè)備外部的處理從用戶獲取數(shù)據(jù)或信息，或者如果這是由安全硬件設(shè)備授權(quán)和控制的，則該用戶輸入接口只能用于通過安全硬件設(shè)備外部的處理從用戶獲取數(shù)據(jù)或信息。在一些實(shí)施方式中，安全用戶輸入和輸出接口的安全性由安全硬件設(shè)備維護(hù)，該安全硬件設(shè)備不允許對其固件進(jìn)行任何更改，或者提供安全固件更新機(jī)制，其僅允許通過安全協(xié)議對其固件進(jìn)行更改，該安全協(xié)議確保安全硬件設(shè)備僅接受來自受信任源的授權(quán)固件更新。

在一些實(shí)施方式中，令牌不是專用的硬件設(shè)備。在一些實(shí)施方式中，令牌可以包括電子消費(fèi)者設(shè)備，該電子消費(fèi)者設(shè)備的主要目的可能不是提供認(rèn)證功能，而是該電子消費(fèi)者設(shè)備可以包括用于提供本說明書中描述的強(qiáng)認(rèn)證令牌功能的軟件。例如在一些實(shí)施方式中，令牌可以包括平板計(jì)算機(jī)或智能電話，該平板計(jì)算機(jī)或智能電話包括提供本說明書中描述的強(qiáng)認(rèn)證令牌功能的認(rèn)證應(yīng)用。

外形因素

在一些實(shí)施方式中，令牌可以包括塑料電路板，在該塑料電路板上可以布置令牌中包括的電子部件中的至少一些電子部件。其他電子部件可以以電鍍方式連接到布置在電路板上的部件(例如通過電線)。在一些實(shí)施方式中，令牌的所有電子部件都被包括在單個(gè)殼體內(nèi)。在一些實(shí)施方式中，殼體可以由塑料或金屬或者這些材料的組合制成。在一些實(shí)施方式中，認(rèn)證令牌可以是單片式設(shè)備。在本說明書的上下文中，這意味著用于生成動態(tài)憑證的數(shù)字?jǐn)?shù)據(jù)處理部件、用于存儲實(shí)例數(shù)據(jù)的存儲器部件、被包括在認(rèn)證令牌中的輸入用戶接口、輸出用戶接口和數(shù)據(jù)輸入接口都被包括在單個(gè)物理設(shè)備中。在一些實(shí)施方式中，作為認(rèn)證令牌的普通操作的一部分，這些部件不能被用戶移除。在一些實(shí)施方式中，在不引起認(rèn)證令牌的不可逆變化的情況下，這些部件不能被移除。在一些實(shí)施方式中，在認(rèn)證令牌不被永久損壞的情況下，這些部件不能被移除。

尺寸和重量

在一些實(shí)施方式中，令牌具有重量和空間度量，使得令牌可以被認(rèn)為是便攜式、袖珍尺寸的手持式設(shè)備。在一些實(shí)施方式中，讀取器具有重量和空間度量，使得令牌可以以適中的成本通過郵遞發(fā)送給用戶。例如在一些實(shí)施方式中，認(rèn)證設(shè)備可以具有小于2cm的厚度、小于10cm的寬度、小于15cm的長度以及小于200克的重量。在其他實(shí)施方式中，認(rèn)證設(shè)備可以具有小于1.5cm的厚度、小于7cm的寬度、小于13cm的長度以及小于110克的重量。在一些實(shí)施方式中，認(rèn)證設(shè)備的長度和寬度可以分別超過標(biāo)準(zhǔn)全尺寸信用卡的長度和寬度的不大于10％。在一些實(shí)施方式中，認(rèn)證設(shè)備可以具有標(biāo)準(zhǔn)全尺寸信用卡的長度和寬度。在一些實(shí)施方式中，認(rèn)證設(shè)備可以具有在適用于標(biāo)準(zhǔn)全尺寸信用卡的范圍內(nèi)的標(biāo)準(zhǔn)全尺寸信用卡的長度、寬度和厚度(例如，具有由iso/iec7810規(guī)定的id-1尺寸的智能卡的尺寸)。

電源

在一些實(shí)施方式中，認(rèn)證設(shè)備包括自主的電力源。在一些實(shí)施方式中，電源可以包括電池。在一些實(shí)施方式中，電池可以是可更換的。

服務(wù)菜單

在一些實(shí)施方式中，令牌可以支持向用戶提供若干選項(xiàng)以訪問各種令牌功能的服務(wù)菜單。例如，服務(wù)菜單可以包括幫助選項(xiàng)，用戶可以借助于幫助選項(xiàng)來訪問幫助信息。服務(wù)菜單可以包括用于用戶設(shè)置語言偏好的語言菜單。服務(wù)菜單可以包括選擇特定實(shí)例的選項(xiàng)。服務(wù)菜單可以包括發(fā)起解鎖實(shí)例操作的選項(xiàng)。服務(wù)菜單可以包括發(fā)起實(shí)例移除操作的選項(xiàng)。服務(wù)菜單可以包括發(fā)起實(shí)例加載操作的選項(xiàng)。服務(wù)菜單可以包括發(fā)起動態(tài)憑證生成的選項(xiàng)。服務(wù)菜單可以包括訪問令牌信息(例如令牌標(biāo)識數(shù)據(jù)元素)的選項(xiàng)。服務(wù)菜單可以包括獲得加載實(shí)例的概述的選項(xiàng)。服務(wù)菜單可以包括訪問關(guān)于特定實(shí)例的信息(例如實(shí)例標(biāo)識數(shù)據(jù)元素)的選項(xiàng)。

在本發(fā)明的一個(gè)方面中，提供了用于認(rèn)證多于一個(gè)的用戶或者用于確保所述多于一個(gè)的用戶與一個(gè)或更多個(gè)應(yīng)用之間的交互安全的認(rèn)證令牌。

在第一組實(shí)施方式中，認(rèn)證令牌可以包括多個(gè)令牌實(shí)例，每個(gè)令牌實(shí)例包括實(shí)例數(shù)據(jù)，并且每個(gè)令牌實(shí)例與令牌的有至少兩個(gè)不同用戶的多個(gè)用戶之一相關(guān)聯(lián)，其中至少一個(gè)不同的令牌實(shí)例與所述有至少兩個(gè)不同用戶的多個(gè)用戶中的每一個(gè)用戶相關(guān)聯(lián)，并且認(rèn)證令牌可以適于使用所述多個(gè)令牌實(shí)例中的所選令牌實(shí)例的實(shí)例數(shù)據(jù)中包括的或者從所述多個(gè)令牌實(shí)例中的所選令牌實(shí)例的實(shí)例數(shù)據(jù)得到的秘密憑證生成密鑰來生成動態(tài)憑證，以用于對與所述所選令牌實(shí)例相關(guān)聯(lián)的用戶進(jìn)行認(rèn)證，或者用于確保與所述所選令牌實(shí)例相關(guān)聯(lián)的用戶與一個(gè)或更多個(gè)應(yīng)用之間的交互安全。在一些實(shí)施方式中，所述認(rèn)證令牌可以包括在本說明書的其他地方描述的任何認(rèn)證令牌。

接收消息

在第二組實(shí)施方式中，令牌可以是先前的一組實(shí)施方式中的任何令牌，其中令牌還可以適于接收服務(wù)器消息并且對所述服務(wù)器消息進(jìn)行解碼和處理。

在第三組實(shí)施方式中，令牌可以是第二組實(shí)施方式中的任何令牌，其中接收到的服務(wù)器消息是針對所述多個(gè)令牌實(shí)例中的特定目標(biāo)令牌實(shí)例的，并且其中令牌還可以適于基于所述接收到的服務(wù)器消息(即，不使用令牌的用戶的輸入)來自主地確定并選擇所述目標(biāo)令牌實(shí)例。

在第四組實(shí)施方式中，令牌可以是第三組實(shí)施方式中的任何令牌，其中令牌還可以適于使用接收到的服務(wù)器消息中的令牌實(shí)例標(biāo)識數(shù)據(jù)元素來確定和選擇目標(biāo)令牌實(shí)例。

在第五組實(shí)施方式中，令牌可以是第三組實(shí)施方式中的任何令牌，其中令牌還可以適于通過使用用與所述多個(gè)令牌實(shí)例的候選令牌實(shí)例相關(guān)聯(lián)的密碼有效載荷密鑰參數(shù)化的密碼算法對所述接收到的服務(wù)器消息的密碼保護(hù)元素或方面進(jìn)行驗(yàn)證來確定和選擇目標(biāo)令牌實(shí)例，其中，令牌可以適于在所述驗(yàn)證成功的情況下將所述候選令牌實(shí)例選擇作為目標(biāo)令牌實(shí)例。

在第六組實(shí)施方式中，令牌可以是第五組實(shí)施方式中的任何令牌，其中令牌還可以適于循環(huán)遍歷多個(gè)令牌實(shí)例，并且逐個(gè)考慮或嘗試所述多個(gè)令牌實(shí)例中的每個(gè)令牌實(shí)例作為候選，至少直到使用任何候選令牌實(shí)例對所述接收到的服務(wù)器消息的密碼保護(hù)元素或方面進(jìn)行的所述驗(yàn)證產(chǎn)生所述驗(yàn)證成功的候選令牌實(shí)例為止，或者直到對于多個(gè)令牌實(shí)例中的任何令牌實(shí)例而言使用多個(gè)令牌實(shí)例中的所有令牌實(shí)例對所述接收到的服務(wù)器消息的密碼保護(hù)元素或方面進(jìn)行的所述驗(yàn)證都沒有成功為止。

在第七組實(shí)施方式中，令牌可以是第六組實(shí)施方式中的任何令牌，其中令牌還可以適于選擇對所述接收到的服務(wù)器消息的密碼保護(hù)元素或方面的所述驗(yàn)證成功的第一令牌實(shí)例。

在第八組實(shí)施方式中，令牌可以是第五組或第六組實(shí)施方式中的任何令牌，其中令牌還可以適于：在令牌沒有找到對所述接收到的服務(wù)器消息的密碼保護(hù)元素或方面的所述驗(yàn)證成功的候選令牌實(shí)例的情況下，拒絕所述服務(wù)器消息。

在第九組實(shí)施方式中，令牌可以是第五組至第八組實(shí)施方式中的任何令牌，其中所述多個(gè)令牌實(shí)例中的每個(gè)令牌實(shí)例相對于所述多個(gè)令牌實(shí)例中的其他令牌實(shí)例的有效載荷密鑰值而言對于所述有效載荷密鑰具有唯一值。

生成憑證

在第十組實(shí)施方式中，令牌可以是第二組至第九組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中所述接收到的服務(wù)器消息可以包括憑證生成命令消息，并且令牌還可以適于響應(yīng)于所述憑證生成命令消息來生成所述動態(tài)憑證。

在第十一組實(shí)施方式中，令牌可以是第三組至第九組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中所述接收到的服務(wù)器消息可以包括憑證生成命令消息，并且該令牌還可以適于響應(yīng)于所述憑證生成命令消息來生成所述動態(tài)憑證并且所述所選令牌實(shí)例是所述接收到的服務(wù)器消息所針對的所述目標(biāo)令牌實(shí)例。

在第十二組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中令牌還可以適于在所述生成動態(tài)憑證中使用對稱密碼算法，所述對稱密碼算法使用所述秘密憑證生成密鑰被參數(shù)化，所述秘密憑證生成密鑰包括對稱秘密密鑰。

實(shí)例管理

實(shí)例加載

在第13組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中令牌還可以適于接收附加的令牌實(shí)例，其中認(rèn)證令牌可以被包括在多個(gè)令牌批次中的至少一個(gè)令牌批次中，其中批次主密鑰的值可以與所述多個(gè)令牌批次中的每個(gè)令牌批次相關(guān)聯(lián)，并且其中認(rèn)證令牌可以包括所述多個(gè)令牌批次中的包含認(rèn)證令牌的所述至少一個(gè)令牌批次的批次主密鑰的值。認(rèn)證令牌還可以適于接收并處理第一階段加載消息作為用于向認(rèn)證令牌傳送用戶實(shí)例組主密鑰的值的第一加載處理階段的一部分，該第一階段加載消息可以包括一組批次相關(guān)值，所述令牌批次中的每個(gè)令牌批次對應(yīng)一個(gè)批次相關(guān)值，其中每個(gè)批次相關(guān)值的值可能已經(jīng)被確定為使得可以根據(jù)所述令牌批次中的任何特定令牌批次的批次主密鑰和與該特定令牌批次對應(yīng)的批次相關(guān)值的任何配對來計(jì)算所述用戶實(shí)例組主密鑰的同一值。認(rèn)證令牌處理所述第一階段加載消息可以包括：認(rèn)證令牌從認(rèn)證令牌接收到的第一階段加載消息中取回與下述批次主密鑰也對應(yīng)于的同一令牌批次相對應(yīng)的批次相關(guān)值，該批次主密鑰的值被包括在認(rèn)證令牌中；認(rèn)證令牌根據(jù)認(rèn)證令牌中包括的所述批次主密鑰以及認(rèn)證令牌可以從第一階段加載消息中取回的所述批次相關(guān)值來計(jì)算用戶實(shí)例組主密鑰的值；以及認(rèn)證令牌存儲計(jì)算出的用戶實(shí)例組主密鑰的值。認(rèn)證令牌還可以適于接收并處理第二階段加載消息作為用于向認(rèn)證令牌傳送用于附加令牌實(shí)例的一組實(shí)例數(shù)據(jù)值的第二加載處理階段的一部分，第二階段加載消息可以包括用于附加令牌實(shí)例的所述一組實(shí)例數(shù)據(jù)值，并且可以使用所述用戶實(shí)例組主密鑰或者從用戶實(shí)例組主密鑰得到的密鑰來確保第二階段加載消息安全。認(rèn)證令牌處理所述第二階段加載消息可以包括：認(rèn)證令牌通過使用認(rèn)證令牌可能在第一加載處理階段已經(jīng)計(jì)算出的用戶實(shí)例組主密鑰的值來從認(rèn)證令牌可能已經(jīng)接收到的第二階段加載消息中取回所述一組實(shí)例數(shù)據(jù)值；以及認(rèn)證令牌通過使用所述取回的一組實(shí)例數(shù)據(jù)值來確定所述附加令牌實(shí)例的一組秘密密鑰的值，其中附加令牌實(shí)例的所述一組秘密密鑰可以包括所述秘密憑證生成密鑰，認(rèn)證令牌可以隨后使用該秘密憑證生成密鑰來生成用于所述附加令牌實(shí)例的動態(tài)憑證。

實(shí)例移除

在第14組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中令牌還可以適于支持移除所述多個(gè)令牌實(shí)例中的至少一個(gè)廢棄令牌實(shí)例的實(shí)例移除處理。在一些實(shí)施方式中，所述實(shí)例移除處理包括令牌從令牌中包括的存儲器中擦除待移除的所述至少一個(gè)廢棄令牌實(shí)例的所有實(shí)例數(shù)據(jù)。

在第15組實(shí)施方式中，令牌可以是第14組實(shí)施方式中的任何令牌，其中令牌還可以適于向用戶呈現(xiàn)供用戶發(fā)起所述實(shí)例移除處理的菜單選項(xiàng)。

在第16組實(shí)施方式中，令牌可以是第14組至第15組實(shí)施方式中的任何令牌，其中令牌還可以適于向用戶呈現(xiàn)供用戶選擇用戶希望令牌移除的所述廢棄令牌實(shí)例的菜單。

在第17組實(shí)施方式中，令牌可以是第14組至第16組實(shí)施方式中的任何令牌，其中令牌還可以適于接收并處理實(shí)例移除命令消息，其中對所述接收到的實(shí)例移除命令消息的所述處理可以包括：響應(yīng)于所述接收到的實(shí)例移除命令消息來移除待移除的所述至少一個(gè)廢棄令牌實(shí)例。

在第18組實(shí)施方式中，令牌可以是第17組實(shí)施方式中的任何令牌，其中令牌還可以適于基于接收到的實(shí)例移除命令消息來自主地選擇要對其執(zhí)行實(shí)例移除處理的所述至少一個(gè)廢棄令牌實(shí)例。在一些實(shí)施方式中，這種對要針對其執(zhí)行實(shí)例移除處理的所述至少一個(gè)廢棄令牌實(shí)例的自主選擇可以包括：使用用于確定和選擇令牌實(shí)例的任何機(jī)制，這些機(jī)制在本說明書的其他地方被更詳細(xì)地描述。

pin或口令處理

在第19組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中令牌還可以適于將所述多個(gè)令牌實(shí)例中的至少一個(gè)受保護(hù)令牌實(shí)例的使用保留給與所述至少一個(gè)受保護(hù)令牌實(shí)例相關(guān)聯(lián)的用戶。在一些實(shí)施方式中，令牌可以適于驗(yàn)證嘗試使用所述至少一個(gè)受保護(hù)令牌實(shí)例的用戶是否對應(yīng)于與所述至少一個(gè)受保護(hù)令牌實(shí)例相關(guān)聯(lián)的用戶。

在第20組實(shí)施方式中，令牌可以是第19組實(shí)施方式中的任何令牌，其中所述至少一個(gè)受保護(hù)令牌實(shí)例的實(shí)例數(shù)據(jù)包括用戶憑證參考數(shù)據(jù)，并且令牌還可以適于：從用戶接收用戶憑證，將從用戶接收的用戶憑證與所述用戶憑證參考數(shù)據(jù)進(jìn)行比較，并且如果接收到的用戶憑證與所述用戶憑證參考數(shù)據(jù)相匹配，則允許用戶使用所述至少一個(gè)受保護(hù)令牌實(shí)例，并且如果接收到的用戶憑證與所述用戶憑證參考數(shù)據(jù)不匹配，則拒絕用戶使用所述至少一個(gè)受保護(hù)令牌實(shí)例。

在第21組實(shí)施方式中，令牌可以是第20組實(shí)施方式中的任何令牌，其中用戶憑證參考數(shù)據(jù)可以包括口令參考值，并且所述用戶憑證可以包括口令值(令牌可以例如通過令牌的用戶輸入接口來接收該口令值)。在一些實(shí)施方式中，口令值可以由僅數(shù)字的序列組成。在一些實(shí)施方式中，口令值可以包括pin(個(gè)人識別號碼)。

更改pin或口令

在第22組實(shí)施方式中，令牌可以是第21組實(shí)施方式中的任何令牌，其中令牌還可以適于支持口令更改處理，以允許用戶更改至少一個(gè)受保護(hù)令牌實(shí)例的用戶憑證參考數(shù)據(jù)。

在第23組實(shí)施方式中，令牌可以是第22組實(shí)施方式中的任何令牌，其中令牌還可以適于向用戶呈現(xiàn)供用戶發(fā)起所述口令更改處理的菜單選項(xiàng)。

在第24組實(shí)施方式中，令牌可以是第23組實(shí)施方式中的任何令牌，其中令牌還可以適于向用戶呈現(xiàn)供用戶選擇用戶希望令牌執(zhí)行口令更改處理的至少一個(gè)受保護(hù)令牌實(shí)例的菜單。

在第25組實(shí)施方式中，令牌可以是第22組實(shí)施方式中的任何令牌，其中令牌還可以適于接收并處理口令更改命令消息，其中對所述接收到的口令更改命令消息的所述處理可以包括：響應(yīng)于所述接收到的口令更改命令消息來發(fā)起和執(zhí)行口令更改處理。

在第26組實(shí)施方式中，令牌可以是第25組實(shí)施方式中的任何令牌，其中令牌還可以適于基于接收到的口令更改命令消息來自主地選擇待執(zhí)行口令更改處理的至少一個(gè)受保護(hù)令牌實(shí)例。在一些實(shí)施方式中，自主地選擇待執(zhí)行口令更改處理的至少一個(gè)受保護(hù)令牌實(shí)例可以包括：使用用于確定和選擇令牌實(shí)例的任何機(jī)制，這些機(jī)制在本說明書的其他地方被更詳細(xì)地描述。

對pin或口令進(jìn)行鎖定和解鎖

在第27組實(shí)施方式中，令牌可以是第21組至第26組實(shí)施方式中的任何令牌，其中令牌還可以適于：在用戶已經(jīng)針對至少一個(gè)受保護(hù)令牌實(shí)例提供了與所述至少一個(gè)受保護(hù)令牌實(shí)例的口令參考值不匹配的多個(gè)口令值從而所述數(shù)目超過預(yù)定義的口令嘗試計(jì)數(shù)器閾值的情況下，鎖定(即永久地拒絕另外的使用)所述至少一個(gè)受保護(hù)令牌實(shí)例。

在第28組實(shí)施方式中，令牌可以是第27組實(shí)施方式中的任何令牌，其中令牌還可以適于支持口令解鎖處理，該口令解鎖處理允許用戶撤銷對鎖定的至少一個(gè)受保護(hù)令牌實(shí)例的所述鎖定。

在第29組實(shí)施方式中，令牌可以是第28組實(shí)施方式中的任何令牌，其中令牌還可以適于向用戶呈現(xiàn)供用戶發(fā)起所述口令解鎖處理的菜單選項(xiàng)。

在第30組實(shí)施方式中，令牌可以是第29組實(shí)施方式中的任何令牌，其中令牌還可以適于向用戶呈現(xiàn)供用戶選擇用戶希望令牌執(zhí)行口令解鎖處理的鎖定的至少一個(gè)受保護(hù)令牌實(shí)例的菜單。

在第31組實(shí)施方式中，令牌可以是第30組實(shí)施方式中的任何令牌，其中令牌還可以適于接收并處理口令解鎖命令消息，其中對所述接收到的口令解鎖命令消息的所述處理可以包括：響應(yīng)于所述接收到的口令解鎖命令消息來發(fā)起和執(zhí)行口令解鎖處理。

在第32組實(shí)施方式中，令牌可以是第31組實(shí)施方式中的任何令牌，其中令牌還能夠適于基于接收到的口令解鎖命令消息來自主地選擇要對其執(zhí)行口令解鎖處理的鎖定的至少一個(gè)受保護(hù)令牌實(shí)例。在一些實(shí)施方式中，對要對其執(zhí)行口令解鎖處理的鎖定的至少一個(gè)受保護(hù)令牌實(shí)例的這種自主選擇可以包括：使用用于確定和選擇令牌實(shí)例的任何機(jī)制，這些機(jī)制在本說明書的其他地方被更詳細(xì)地描述。

部件

在另一組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中令牌還可以包括數(shù)字?jǐn)?shù)據(jù)處理部件、可以連接到數(shù)據(jù)處理部件的存儲器部件、可以連接到數(shù)據(jù)處理部件的用戶輸入接口、可以連接到數(shù)據(jù)處理部件的用戶輸出接口以及可以連接到數(shù)據(jù)處理部件的數(shù)據(jù)輸入接口。

在另一組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中存儲器部件適于存儲所述多個(gè)令牌實(shí)例的所述實(shí)例數(shù)據(jù)。

在另一組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中數(shù)字?jǐn)?shù)據(jù)處理部件適于生成所述動態(tài)憑證。在一些實(shí)施方式中，數(shù)字?jǐn)?shù)據(jù)處理部件適于執(zhí)行密碼操作或密碼算法。在一些實(shí)施方式中，數(shù)字?jǐn)?shù)據(jù)處理部件適于從所述實(shí)例數(shù)據(jù)中取回或得到所述秘密憑證生成密鑰。在一些實(shí)施方式中，數(shù)字?jǐn)?shù)據(jù)處理部件適于執(zhí)行對稱密碼算法。在一些實(shí)施方式中，所述取回或得到的秘密憑證生成密鑰可以包括對稱秘密密鑰。

在另一組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中數(shù)據(jù)輸入接口可以適于接收服務(wù)器消息，并且數(shù)字?jǐn)?shù)據(jù)處理部件可以適于處理所述服務(wù)器信息。在一些實(shí)施方式中，數(shù)據(jù)輸入接口可以包括數(shù)字?jǐn)z像裝置部件，并且服務(wù)器消息可以被包括在一個(gè)或更多個(gè)經(jīng)編碼的二維圖像中，并且所述接收服務(wù)器消息可以包括：令牌使用數(shù)字?jǐn)z像裝置部件捕獲所述一個(gè)或更多個(gè)經(jīng)編碼的二維圖像，并且對所述捕獲的一個(gè)或更多個(gè)經(jīng)編碼的二維圖像進(jìn)行解碼以取回服務(wù)器消息。

在另一組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中服務(wù)器消息包括憑證生成命令消息，并且對所述服務(wù)器消息的所述處理可以包括：數(shù)字?jǐn)?shù)據(jù)處理部件處理所述憑證生成命令消息。在一些實(shí)施方式中，所述數(shù)字?jǐn)?shù)據(jù)處理部件處理所述憑證生成命令消息可以包括：數(shù)字?jǐn)?shù)據(jù)處理部件生成動態(tài)憑證。在一些實(shí)施方式中，所述數(shù)字?jǐn)?shù)據(jù)處理部件生成動態(tài)憑證可以包括：數(shù)字?jǐn)?shù)據(jù)處理部件從憑證生成命令消息中取回?cái)?shù)據(jù)，并且在憑證生成算法中使用所述取回的數(shù)據(jù)。

在另一組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中數(shù)字?jǐn)?shù)據(jù)處理部件可以適于為用戶生成輸出，并且用戶輸出接口可以適于向用戶呈現(xiàn)由數(shù)字?jǐn)?shù)據(jù)處理部件為用戶生成的所述輸出。在一些實(shí)施方式中，所述輸出可以包括出錯(cuò)消息。在一些實(shí)施方式中，所述輸出可以包括由數(shù)據(jù)輸入接口接收的服務(wù)器消息中包括的交易數(shù)據(jù)。在一些實(shí)施方式中，所述輸出可以包括所述生成的動態(tài)憑證。

在另一組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中用戶輸入接口可以適于接收來自用戶的輸入，并且數(shù)字?jǐn)?shù)據(jù)處理部件可以適于處理所述用戶輸入。

在另一組實(shí)施方式中，令牌可以是先前組實(shí)施方式中的任何實(shí)施方式中的任何令牌，其中數(shù)字?jǐn)?shù)據(jù)處理部件可以適于為用戶生成輸出，并且用戶輸出接口可以適于向用戶呈現(xiàn)由數(shù)字?jǐn)?shù)據(jù)處理部件為用戶生成的所述輸出，其中所述輸出可以包括由數(shù)據(jù)輸入接口接收的服務(wù)器消息中包括的交易數(shù)據(jù)；其中用戶輸入接口可以適于接收來自用戶的輸入，并且數(shù)字?jǐn)?shù)據(jù)處理部件可以適于處理所述用戶輸入，其中從所述用戶接收的所述輸入可以包括對呈現(xiàn)給所述用戶的所述交易數(shù)據(jù)的批準(zhǔn)或拒絕；并且其中所述數(shù)字?jǐn)?shù)據(jù)處理部件可以適于以用戶是否批準(zhǔn)了所呈現(xiàn)的交易數(shù)據(jù)為條件來生成所述動態(tài)憑證。

在本發(fā)明的第二方面中，提供了用于對有至少兩個(gè)不同用戶的多個(gè)用戶進(jìn)行認(rèn)證或者用于確保所述有至少兩個(gè)不同用戶的多個(gè)用戶與多個(gè)可遠(yuǎn)程訪問的應(yīng)用之間的交互安全的系統(tǒng)。

圖2示意性地示出了根據(jù)本發(fā)明的第二方面的本發(fā)明的示例性系統(tǒng)(200)。

系統(tǒng)(200)可以包括：一個(gè)或更多個(gè)應(yīng)用服務(wù)器(210)、多個(gè)接入客戶端設(shè)備(230)和多個(gè)認(rèn)證令牌(240)，其中所述應(yīng)用服務(wù)器和所述接入客戶端設(shè)備由計(jì)算機(jī)網(wǎng)絡(luò)(250)連接，使得所述應(yīng)用服務(wù)器和所述接入客戶端設(shè)備能夠彼此通信，其中所述應(yīng)用服務(wù)器中的每一個(gè)托管至少一個(gè)可遠(yuǎn)程訪問的應(yīng)用，所述接入客戶端設(shè)備中的每一個(gè)適于與所述多個(gè)用戶(290)中的一個(gè)或更多個(gè)用戶進(jìn)行交互，以使得所述一個(gè)或更多個(gè)用戶能夠與所述可遠(yuǎn)程訪問的應(yīng)用中的至少一個(gè)應(yīng)用進(jìn)行交互；所述系統(tǒng)還包括多個(gè)令牌實(shí)例，每個(gè)令牌實(shí)例包括實(shí)例數(shù)據(jù)并且與所述有至少兩個(gè)不同用戶的多個(gè)用戶中的單個(gè)用戶相關(guān)聯(lián)，并且每個(gè)令牌實(shí)例被包括在所述多個(gè)認(rèn)證令牌中的至少一個(gè)中，其中一個(gè)或更多令牌實(shí)例與每個(gè)用戶相關(guān)聯(lián)，其中每個(gè)認(rèn)證令牌包括一個(gè)或更多個(gè)令牌實(shí)例，并且所述多個(gè)認(rèn)證令牌中的至少一個(gè)認(rèn)證令牌包括至少兩個(gè)不同的與兩個(gè)不同用戶相關(guān)聯(lián)的令牌實(shí)例；其中至少一個(gè)不同的令牌實(shí)例與所述有至少兩個(gè)不同用戶的多個(gè)用戶中的每一個(gè)用戶相關(guān)聯(lián)，并且其中所述多個(gè)認(rèn)證令牌中的每個(gè)特定認(rèn)證令牌可以適于使用被包括在所述特定認(rèn)證令牌中的所選令牌實(shí)例的實(shí)例數(shù)據(jù)中包括的或者從所選令牌實(shí)例的實(shí)例數(shù)據(jù)中得到的秘密憑證生成密鑰來生成動態(tài)憑證，用于將與所述所選令牌實(shí)例相關(guān)聯(lián)的用戶認(rèn)證到所述應(yīng)用中之一或者用于確保與所述所選令牌實(shí)例相關(guān)聯(lián)的所述用戶與所述應(yīng)用中之一之間的交互安全。

在一些實(shí)施方式中，所述認(rèn)證令牌可以包括在本說明書的其他地方描述的任何認(rèn)證令牌。在一些實(shí)施方式中，應(yīng)用服務(wù)器可以包括一個(gè)或更多個(gè)物理服務(wù)器計(jì)算機(jī)。在一些實(shí)施方式中，應(yīng)用服務(wù)器可以適于驗(yàn)證由認(rèn)證令牌生成的動態(tài)憑證，該動態(tài)憑證用于將所述認(rèn)證令牌的用戶認(rèn)證到由所述應(yīng)用服務(wù)器托管的應(yīng)用中之一或者用于確保與所述所選令牌實(shí)例相關(guān)聯(lián)的所述用戶與由所述應(yīng)用服務(wù)器托管的應(yīng)用中之一之間的交互安全。在一些實(shí)施方式中，應(yīng)用服務(wù)器驗(yàn)證動態(tài)憑證可以包括所述應(yīng)用服務(wù)器將密碼驗(yàn)證委托給多個(gè)憑證驗(yàn)證服務(wù)器(220)中之一。在一些實(shí)施方式中，這樣的憑證驗(yàn)證服務(wù)器可以與將對動態(tài)憑證的驗(yàn)證委托給該憑證驗(yàn)證服務(wù)器的應(yīng)用服務(wù)器被包括在同一物理計(jì)算機(jī)中。在一些實(shí)施方式中，憑證驗(yàn)證服務(wù)器和將對動態(tài)憑證的驗(yàn)證委托給該憑證驗(yàn)證服務(wù)器的應(yīng)用服務(wù)器可以被包括在不同的物理計(jì)算機(jī)中。

在系統(tǒng)的第一組實(shí)施方式中，系統(tǒng)可以包括先前描述的任何系統(tǒng)，并且系統(tǒng)還可以包括一個(gè)或更多個(gè)實(shí)例加載服務(wù)器，多個(gè)令牌實(shí)例可以被分組成多個(gè)(相互分離的)用戶實(shí)例組，其中每個(gè)不同的用戶實(shí)例組由與同一用戶相關(guān)聯(lián)的所有令牌實(shí)例組成，并且其中唯一的用戶實(shí)例組密鑰與每個(gè)用戶實(shí)例組相關(guān)聯(lián)，并且多個(gè)認(rèn)證令牌可以被分組成多個(gè)令牌批次，其中唯一的批次主密鑰與每個(gè)令牌批次相關(guān)聯(lián)，其中所述批次主密鑰被包括在與所述批次主密鑰相關(guān)聯(lián)的令牌批次中包括的每個(gè)認(rèn)證令牌中；實(shí)例加載服務(wù)器和認(rèn)證令牌可以適于支持用于將附加令牌實(shí)例加載到目標(biāo)認(rèn)證令牌中的實(shí)例加載處理，實(shí)例加載處理包括用于向目標(biāo)認(rèn)證令牌傳送用戶實(shí)例組主密鑰的值的第一加載處理階段以及用于向目標(biāo)認(rèn)證令牌傳送一組實(shí)例數(shù)據(jù)值的第二加載處理階段；其中在第一加載處理階段中，第一實(shí)例加載服務(wù)器生成第一階段加載消息(在本申請中的其他地方也可以將其稱為第一加載消息或者第一用戶實(shí)例組加載消息)，第一階段加載消息被發(fā)送到所述目標(biāo)認(rèn)證令牌，并且目標(biāo)認(rèn)證令牌接收并處理所述第一階段加載消息，并且其中在第二加載處理階段中，第二實(shí)例加載服務(wù)器生成第二階段加載消息(在本申請中的其他地方也可以將其稱為第二加載消息)，第二階段加載消息被發(fā)送到所述目標(biāo)認(rèn)證令牌，并且目標(biāo)認(rèn)證令牌接收并處理所述第二階段加載消息；其中第一階段加載消息包括一組批次相關(guān)值，所述令牌批次中的每個(gè)令牌批次對應(yīng)一個(gè)批次相關(guān)值，每個(gè)批次相關(guān)值被確定為使得可以根據(jù)所述令牌批次中的任何特定令牌批次的批次主密鑰以及與該特定令牌批次對應(yīng)的批次相關(guān)值的任何配對來計(jì)算用于用戶實(shí)例組主密鑰的同一值，并且其中由目標(biāo)認(rèn)證令牌對第一階段加載消息進(jìn)行的處理包括：目標(biāo)認(rèn)證令牌根據(jù)目標(biāo)令牌中包括的批次主密鑰以及第一階段加載消息中包括的、與所述目標(biāo)令牌中包括的所述批次主密鑰所對應(yīng)的令牌批次相對應(yīng)的批次相關(guān)值，來計(jì)算用戶實(shí)例組主密鑰的值；并且其中第二階段加載消息包括所述一組實(shí)例數(shù)據(jù)值，其中使用用戶實(shí)例組主密鑰或者從用戶實(shí)例組主密鑰得到的密鑰來確保第二階段加載消息安全，并且其中目標(biāo)認(rèn)證令牌可以通過使用目標(biāo)認(rèn)證令牌在第一加載處理階段中獲得的用戶實(shí)例組主密鑰的值來從第二階段加載消息中取回所述一組實(shí)例數(shù)據(jù)值，并且其中目標(biāo)認(rèn)證令牌可以通過使用所述取回的一組實(shí)例數(shù)據(jù)值來確定所述附加令牌實(shí)例的一組秘密密鑰的值，其中附加令牌實(shí)例的所述一組秘密密鑰可以包括附加令牌實(shí)例的秘密憑證生成密鑰。

在第二組實(shí)施方式中，系統(tǒng)可以包括第一組實(shí)施方式中的任何系統(tǒng)，其中第一階段加載消息中的每個(gè)特定批次相關(guān)值通過使用與所述特定批次相關(guān)值所對應(yīng)的令牌批次相關(guān)聯(lián)的批次主密鑰對用戶實(shí)例組主密鑰進(jìn)行加密來生成，并且其中目標(biāo)認(rèn)證令牌通過使用目標(biāo)令牌包括中的所述批次主密鑰將第一階段加載消息中包括的、與所述目標(biāo)令牌中包括的所述批次主密鑰所對應(yīng)的令牌批次相對應(yīng)的批次相關(guān)值解密，來獲得用戶實(shí)例組主密鑰的值。

在第三組實(shí)施方式中，系統(tǒng)可以包括第一組至第二組實(shí)施方式中的系統(tǒng)中的任何系統(tǒng)，其中可以使用用戶實(shí)例組主密鑰對第二階段加載消息中包括的所述一組實(shí)例數(shù)據(jù)值進(jìn)行加密，并且其中目標(biāo)認(rèn)證令牌可以通過使用目標(biāo)認(rèn)證令牌在第一加載處理階段獲得的用戶實(shí)例組主密鑰的值將來自第二階段加載消息的加密的所述一組實(shí)例數(shù)據(jù)值解密來從第二階段加載消息中取回所述一組實(shí)例數(shù)據(jù)值。在一些實(shí)施方式中，第二階段加載消息中包括的一組實(shí)例數(shù)據(jù)值可以使用用戶實(shí)例組主密鑰來進(jìn)行加密，并且目標(biāo)認(rèn)證令牌可以通過使用目標(biāo)認(rèn)證令牌在第一加載處理階段中獲得的用戶實(shí)例組主密鑰的值將來自第二階段加載消息的加密的所述一組實(shí)例數(shù)據(jù)值解密來從第二階段加載消息中取回所述一組實(shí)例數(shù)據(jù)值。在一些實(shí)施方式中，第二階段加載消息中包括的一組實(shí)例數(shù)據(jù)值可以使用從用戶實(shí)例組主密鑰得到的密鑰來加密，并且目標(biāo)認(rèn)證令牌可以通過使用從目標(biāo)認(rèn)證令牌在第一加載處理階段中獲得的用戶實(shí)例組主密鑰的值得到的密鑰將來自第二階段加載消息的加密的所述一組實(shí)例數(shù)據(jù)值解密來從第二階段加載消息中取回所述一組實(shí)例數(shù)據(jù)值。

在第四組實(shí)施方式中，系統(tǒng)可以包括第一組至第三組實(shí)施方式中的系統(tǒng)中的任何系統(tǒng)，其中附加令牌實(shí)例的秘密憑證生成密鑰被包括在第二階段加載消息中包括的所述一組實(shí)例數(shù)據(jù)值中。

在第五組實(shí)施方式中，系統(tǒng)可以包括第一組至第四組實(shí)施方式中的系統(tǒng)中的任何系統(tǒng)，其中目標(biāo)認(rèn)證令牌根據(jù)第二階段加載消息中包括的所述一組實(shí)例數(shù)據(jù)值來得到附加令牌實(shí)例的秘密憑證生成密鑰。

在第六組實(shí)施方式中，系統(tǒng)可以包括第一組至第五組實(shí)施方式中的系統(tǒng)中的任何系統(tǒng)，其中目標(biāo)認(rèn)證令牌根據(jù)第二階段加載消息中包括的所述一組實(shí)例數(shù)據(jù)值來確定一個(gè)或更多個(gè)有效載荷密鑰的值，其中所述有效載荷密鑰可以隨后用于確保在應(yīng)用服務(wù)器與目標(biāo)認(rèn)證令牌之間交換的并且被發(fā)往所述附加令牌實(shí)例或者與所述附加令牌實(shí)例有關(guān)的后續(xù)消息安全。

在第七組實(shí)施方式中，系統(tǒng)可以包括第一組至第六組實(shí)施方式中的系統(tǒng)中的任何系統(tǒng)，其中第一階段加載消息或第二階段加載消息還包括用于標(biāo)識附加令牌實(shí)例的數(shù)據(jù)元素或者用于標(biāo)識附加令牌實(shí)例的用戶實(shí)例組的數(shù)據(jù)元素。

在第八組實(shí)施方式中，系統(tǒng)可以包括第一組至第七組實(shí)施方式中的系統(tǒng)中的任何系統(tǒng)，其中第一階段加載消息或第二階段加載消息還包括附加令牌實(shí)例的其他數(shù)據(jù)元素。

在本發(fā)明的第三方面中，提供了一種用于將附加令牌實(shí)例加載到多實(shí)例認(rèn)證令牌中的方法。

圖3示意性地示出了根據(jù)本發(fā)明的第三方面的本發(fā)明的示例性方法(300)。

在一個(gè)實(shí)施方式中，該方法可以包括用于將附加令牌實(shí)例加載到適于生成動態(tài)憑證的多實(shí)例目標(biāo)認(rèn)證令牌中的方法(300)，該方法包括：用于向目標(biāo)認(rèn)證令牌傳送用戶實(shí)例組主密鑰的值的第一加載處理階段(301)；以及用于向目標(biāo)認(rèn)證令牌傳送一組實(shí)例數(shù)據(jù)值的第二加載處理階段(302)，其中目標(biāo)認(rèn)證令牌被包括在多個(gè)令牌批次中的至少一個(gè)令牌批次中，其中批次主密鑰的值與所述多個(gè)令牌批次中的每個(gè)令牌批次相關(guān)聯(lián)，并且其中目標(biāo)認(rèn)證令牌包括所述多個(gè)令牌批次中的包括目標(biāo)認(rèn)證令牌的所述至少一個(gè)令牌批次的批次主密鑰的值。

第一加載處理階段(301)可以包括：生成(310)第一階段加載消息，所述第一階段加載消息的所述生成包括：針對所述令牌批次中的每個(gè)令牌批次確定(311)批次相關(guān)值，使得可以根據(jù)所述令牌批次中的任何特定令牌批次的批次主密鑰以及與該特定令牌批次對應(yīng)的批次相關(guān)值的任何配對來計(jì)算與附加令牌實(shí)例所屬的特定實(shí)例用戶組相關(guān)聯(lián)的用戶實(shí)例組主密鑰的同一值；以及將所述批次相關(guān)值包括(312)到第一階段加載消息中。

第一加載處理階段(301)還可以包括：在目標(biāo)認(rèn)證令牌處接收并處理(320)所述第一階段加載消息，處理所述第一階段加載消息包括：目標(biāo)認(rèn)證令牌從目標(biāo)認(rèn)證令牌可能已經(jīng)接收到的第一階段加載消息中取回(321)與下述批次主密鑰也對應(yīng)于的同一令牌批次相對應(yīng)的批次相關(guān)值，該批次主密鑰的值被包括在目標(biāo)認(rèn)證令牌中；目標(biāo)認(rèn)證令牌根據(jù)目標(biāo)認(rèn)證令牌中包括的所述批次主密鑰以及目標(biāo)認(rèn)證令牌從第一階段加載消息中取回的所述批次相關(guān)值來計(jì)算(322)用戶實(shí)例組主密鑰的值；以及目標(biāo)認(rèn)證令牌存儲(323)所計(jì)算的用戶實(shí)例組主密鑰的值。

第二加載處理階段(302)可以包括：生成(340)第二階段加載消息，所述第二階段加載消息的所述生成包括：生成(341)附加令牌實(shí)例的一組實(shí)例數(shù)據(jù)值；將所生成的一組實(shí)例數(shù)據(jù)值包括(342)在第二階段加載消息中；以及使用所述用戶實(shí)例組主密鑰或者從用戶實(shí)例組主密鑰得到的密鑰來確保第二階段加載消息安全(343)。

第二加載處理階段(302)還可以包括：在目標(biāo)認(rèn)證令牌處接收并處理(350)第二階段加載消息，處理所述第二階段加載消息可以包括：通過使用目標(biāo)認(rèn)證令牌在第一加載處理階段計(jì)算出的用戶實(shí)例組主密鑰的值，目標(biāo)認(rèn)證令牌從其接收到的第二階段加載消息中取回(351)所述一組實(shí)例數(shù)據(jù)值；以及目標(biāo)認(rèn)證令牌通過使用所述取回的一組實(shí)例數(shù)據(jù)值來確定(352)所述附加令牌實(shí)例的一組秘密密鑰的值，其中附加令牌實(shí)例的所述一組秘密密鑰可以包括秘密憑證生成密鑰，以供認(rèn)證令牌隨后在生成用于所述附加令牌實(shí)例的動態(tài)憑證時(shí)使用。

在該方法的第一組實(shí)施方式中，該方法可以包括先前描述的實(shí)例加載方法中的任何實(shí)例加載方法，并且該方法還可以包括以下步驟。

該方法可以包括預(yù)備階段、用于向目標(biāo)認(rèn)證令牌傳送用戶實(shí)例組主密鑰的值的第一加載處理階段以及用于向目標(biāo)傳送一組實(shí)例數(shù)據(jù)值的第二加載處理階段。

該方法的預(yù)備階段可以包括以下步驟?？梢陨膳沃髅荑€的值并且使其與一組令牌批次中的每個(gè)令牌批次相關(guān)聯(lián)，其中任何特定令牌批次的批次主密鑰的值對于該特定令牌批次可以是唯一的。該步驟可以由批次主密鑰生成服務(wù)器完成。然后，可以將批次主密鑰的值加載到令牌批次的認(rèn)證令牌中、由令牌批次的認(rèn)證令牌接收并存儲在令牌批次的認(rèn)證令牌中。該步驟可以例如由令牌初始化設(shè)備和認(rèn)證令牌來完成?？梢陨捎脩魧?shí)例組主密鑰的值并且將其與特定用戶實(shí)例組相關(guān)聯(lián)，其中該值對于該特定用戶實(shí)例組可以是唯一的。

第一加載處理階段可以包括以下步驟。第一實(shí)例加載服務(wù)器(或者另一實(shí)體)可以生成第一階段加載消息(在本申請中的其他地方也可以稱為第一加載消息或第一用戶實(shí)例組加載消息)。第一階段加載消息可以被發(fā)送到目標(biāo)認(rèn)證令牌。這可以例如由第一加載服務(wù)器和/或另一實(shí)體來完成。目標(biāo)認(rèn)證令牌可以接收并且可以處理第一階段加載消息。

第一加載處理階段還可以包括以下步驟?？梢岳缬傻谝粚?shí)例加載服務(wù)器或另一實(shí)體針對所述令牌批次中的每個(gè)令牌批次來確定批次相關(guān)值，使得可以根據(jù)所述令牌批次中的任何特定令牌批次的批次主密鑰以及與該特定令牌批次對應(yīng)的批次相關(guān)值的任何配對來計(jì)算用戶實(shí)例組主密鑰的同一值。第一實(shí)例加載服務(wù)器(或另一實(shí)體)可以將該組批次相關(guān)值包括在第一階段加載消息中。目標(biāo)認(rèn)證令牌可以從目標(biāo)認(rèn)證令牌可能已經(jīng)接收到的第一階段加載消息中取回下述批次相關(guān)值，該批次相關(guān)值與目標(biāo)認(rèn)證令牌中包括的批次主密鑰也對應(yīng)于的同一令牌批次相對應(yīng)。然后，目標(biāo)認(rèn)證令牌可以根據(jù)目標(biāo)認(rèn)證令牌中包括的批次主密鑰以及目標(biāo)認(rèn)證令牌可能已取回的批次相關(guān)值來計(jì)算用戶實(shí)例組主密鑰的值。然后，目標(biāo)認(rèn)證令牌可以存儲所獲得的用戶實(shí)例組主密鑰的值。

第二加載處理階段可以包括以下步驟。第二實(shí)例加載服務(wù)器(或另一實(shí)體)可以生成第二階段加載消息(在本申請中的其他地方也可以稱為第二加載消息)。第二階段加載消息可以被發(fā)送到目標(biāo)認(rèn)證令牌。這可以例如由第二第一加載服務(wù)器和/或另一實(shí)體來完成。目標(biāo)認(rèn)證令牌可以接收并且可以處理第二階段加載消息。

第二加載處理階段還可以包括以下步驟?？梢岳缬傻诙?shí)例加載服務(wù)器或另一實(shí)體針對附加令牌實(shí)例生成一組實(shí)例數(shù)據(jù)值。所生成的一組實(shí)例數(shù)據(jù)值可以例如由第二實(shí)例加載服務(wù)器或另一實(shí)體包括在第二階段加載消息中?？梢岳缬傻诙?shí)例加載服務(wù)器或另一實(shí)體使用用戶實(shí)例組主密鑰或者從用戶實(shí)例組主密鑰得到的密鑰來確保第二階段加載消息安全。目標(biāo)認(rèn)證令牌可以通過使用目標(biāo)認(rèn)證令牌可能在第一加載處理階段獲得的用戶實(shí)例組主密鑰的值來從其接收到的第二階段加載消息中取回所述一組實(shí)例數(shù)據(jù)值。目標(biāo)認(rèn)證令牌可以通過使用所述取回的一組實(shí)例數(shù)據(jù)值來確定所述附加令牌實(shí)例的一組秘密密鑰的值，其中附加令牌實(shí)例的所述一組秘密密鑰可以包括附加令牌實(shí)例的秘密憑證生成密鑰。

在第二組實(shí)施方式中，該方法可以包括第一組實(shí)施方式中的任何方法，因此所述第一階段加載消息中的每個(gè)特定的批次相關(guān)值可以通過使用和與所述特定的批次相關(guān)值對應(yīng)的令牌批次相關(guān)聯(lián)的批次主密鑰對用戶實(shí)例組主密鑰進(jìn)行加密來生成，并且其中目標(biāo)認(rèn)證令牌通過使用目標(biāo)令牌中包括的所述批次主密鑰將第一階段加載消息中包括的、與所述目標(biāo)令牌中包括的所述批次主密鑰所對應(yīng)的令牌批次相對應(yīng)的批次相關(guān)值解密，來獲得用戶實(shí)例組主密鑰的值。

在第三組實(shí)施方式中，該方法可以包括第一組至第二組實(shí)施方式中的任何方法，其中第二階段加載消息中包括的所述一組實(shí)例數(shù)據(jù)值可以使用用戶實(shí)例組主密鑰來加密，并且其中目標(biāo)認(rèn)證令牌可以通過使用目標(biāo)認(rèn)證令牌在第一加載處理階段獲得的用戶實(shí)例組主密鑰的值將來自第二階段加載消息的加密的所述一組實(shí)例數(shù)據(jù)值解密來從第二階段加載消息中取回所述一組實(shí)例數(shù)據(jù)值。在一些實(shí)施方式中，第二階段加載消息中包括的一組實(shí)例數(shù)據(jù)值可以用用戶實(shí)例組主密鑰來加密，并且目標(biāo)認(rèn)證令牌可以通過使用目標(biāo)認(rèn)證令牌在第一加載處理階段可能獲得的用戶實(shí)例組主密鑰的值將來自第二階段加載消息的加密的所述一組實(shí)例數(shù)據(jù)值解密來從第二階段加載消息中取回所述一組實(shí)例數(shù)據(jù)值。在一些實(shí)施方式中，第二階段加載消息中包括的一組實(shí)例數(shù)據(jù)值可以使用從用戶實(shí)例組主密鑰得到的密鑰來加密，并且目標(biāo)認(rèn)證令牌可以通過使用從目標(biāo)認(rèn)證令牌可能在第一加載處理階段獲得的用戶實(shí)例組主密鑰的值得到的密鑰將來自第二階段加載消息的加密的所述一組實(shí)例數(shù)據(jù)值解密來從第二階段加載消息中取回所述一組實(shí)例數(shù)據(jù)值。

在第四組實(shí)施方式中，該方法可以包括第一組至第三組實(shí)施方式中的任何方法，其中附加令牌實(shí)例的秘密憑證生成密鑰可以被包括在第二階段加載消息中包括的所述一組實(shí)例數(shù)據(jù)值中。

在第五組實(shí)施方式中，該方法可以包括第一組至第四組實(shí)施方式中的任何方法，其中目標(biāo)認(rèn)證令牌可以從第二階段加載消息中包括的所述一組實(shí)例數(shù)據(jù)值得到附加令牌實(shí)例的秘密憑證生成密鑰。

在第六組實(shí)施方式中，該方法可以包括第一組至第五組實(shí)施方式中的任何方法，其中目標(biāo)認(rèn)證令牌可以根據(jù)第二階段加載消息中包括的所述一組實(shí)例數(shù)據(jù)值確定一個(gè)或更多個(gè)有效載荷密鑰的值，其中所述有效載荷密鑰可以隨后用于確?？梢栽趹?yīng)用服務(wù)器與目標(biāo)認(rèn)證令牌之間交換的并且可以被發(fā)往所述附加令牌實(shí)例或者與所述附加令牌實(shí)例有關(guān)的后續(xù)消息安全。

在第七組實(shí)施方式中，該方法可以包括第一組至第六組實(shí)施方式中的任何方法，其中第一階段加載消息或第二階段加載消息還可以包括用于標(biāo)識附加令牌實(shí)例的數(shù)據(jù)元素或者用于標(biāo)識附加令牌實(shí)例的用戶實(shí)例組的數(shù)據(jù)元素。

在第八組實(shí)施方式中，該方法可以包括第一組至第七組實(shí)施方式中的任何方法，其中第一階段加載消息或第二階段加載消息還包括附加令牌實(shí)例的其他數(shù)據(jù)元素。

已經(jīng)描述了多個(gè)實(shí)現(xiàn)方式。然而，應(yīng)當(dāng)理解，可以進(jìn)行各種修改。例如，可以對一個(gè)或更多個(gè)實(shí)現(xiàn)方式的元素進(jìn)行組合、刪除、修改或補(bǔ)充以形成另外的實(shí)現(xiàn)方式。因此，其他實(shí)現(xiàn)方式落入所附權(quán)利要求的范圍內(nèi)。此外，盡管本發(fā)明的特定特征可能僅針對若干實(shí)現(xiàn)方式中的一個(gè)而被公開，但是這樣的特征可以與對于任何給定的或特定的應(yīng)用可能期望或是有利的其他實(shí)現(xiàn)方式的一個(gè)或更多個(gè)其他特征進(jìn)行組合。雖然上面已經(jīng)描述了本發(fā)明的各種實(shí)施方式，但是應(yīng)當(dāng)理解，這些實(shí)施方式僅以示例而不是限制的方式來呈現(xiàn)。特別地，當(dāng)然不可能為了描述所要求保護(hù)的主題的目的而描述部件或方法的每個(gè)可以想到的組合，但是本領(lǐng)域普通技術(shù)人員可以認(rèn)識到，本發(fā)明的許多另外的組合和排列是可能的。因此，本發(fā)明的廣度和范圍不應(yīng)受上述任何示例性實(shí)施方式的限制；相反，本發(fā)明的至少一個(gè)實(shí)施方式的范圍僅根據(jù)所附權(quán)利要求及其等同方案來限定。