CN101120351A

CN101120351A - 派生种子

Info

Publication number: CN101120351A
Application number: CNA2006800052226A
Authority: CN
Inventors: W·杜安; J·哈梅尔
Original assignee: RSA Security LLC
Current assignee: RSA security Ltd.; EMC Corp; RSA Security Holding Inc
Priority date: 2005-02-18
Filing date: 2006-02-17
Publication date: 2008-02-06
Anticipated expiration: 2026-02-17
Also published as: WO2006089101A3; EP1849119B1; JP2008538264A; US20070174614A1; US8370638B2; JP4790731B2; EP1849119A2; CN101120351B; WO2006089101A2

Abstract

一种用于为多个用户生成认证种子的方法，该方法包括：基于单个主种子生成多个派生种子，每个派生种子对应于多个用户中的每个用户；将所述多个派生种子发布给验证器以在单独将多个用户中的每一个用户认证到验证器时使用，其中每个派生种子的生成包括将主种子和标识相应的用户的唯一标识符数学组合。

Description

派生种子

本申请要求于2005年2月18日提交的美国临时申请No.60/654,108和于2005年4月6日提交的No.60/668,680的权益，两者都在此通过引用并入。

技术领域

本发明涉及基于计算机的安全系统领域，并且更为具体地涉及认证密值(secret)的分发。

背景技术

在安全系统中，验证器被用来认证，即验证个人或如计算机的其它实体的身份。通常请求认证的实体会例如通过输入用户ID来向验证器声明他们的身份。然后该实体通常提供一些应当仅为有效实体知道的额外的信息。验证器确定该实体所提供的信息与有效实体将提供的信息是否匹配。当实体已被认证时，这意味着验证器已经确认该实体的身份是它所宣称的身份，则该实体被允许进行访问，例如在物理安全系统的情形中允许其物理访问物理场所，或在数据安全系统中允许其电子访问资源或信息(如财务记录、计算机数据、网络访问等)。

验证器可以存在多种可能的配置。验证器可以从小键盘、键盘、读卡器、摄像机、麦克风、电话和计算机网络以及其它此类数据输入设备接收输入。作为输出，验证器激活物理机制、发送电子数据信号、配置软件或采取此类其它动作来提供访问。可以用各种方式来实现验证器，例如实现为专用电子和/或机械系统，或实现为通用计算机，其可能但不是必须与专用硬件电子通信。

一些验证器使用所获知或拥有的共享密值来认证实体。该密值是“共享的”，这是因为它由验证器和正被认证的实体两者持有。例如，所获知或拥有的个人身份号、密码或密码短语可以用来验证实体。在认证发生时，实体或者揭露该密值或者以其他方式证明获知或拥有该密值。如果该实体表明如特定认证系统所要求的那样获知或拥有该密值，则该实体被认证。

在一些系统中，实体使用包括密值的被称为令牌的物理或数字设备。以某种方式存储在设备中的密值可为使用该设备的实体所获知或不获知。

为了证明获知包括在设备中的密值，一些设备提供基于该设备中包括的密值、但与其不同的认证码。使用此种认证码允许设备在不揭露密值的情况下表明其获知密值。在一些系统中，认证码是基于与时间有关的信息的。使用此种设备的安全益处在于，更难通过监听实体与验证器之间的通信通道来确定该密值，这是因为密值本身并未被揭露。

由个人使用来认证到验证器的此种设备的一个例子是包括认证码显示器的令牌。此人从显示器读出认证码，并且将该认证码传输给验证器。在此类系统中，用户可能从未获知共享密值。一些此类令牌接受用户输入，例如PIN，并且提供响应于该用户输入的结果以及其它信息(如与时间有关的信息)。采用此类令牌设备的一个缺点是只有一个用户可以使用该令牌来认证到验证器。每个用户必须具有他或她自己的令牌。

此类令牌中的一个令牌存储被称为种子的密值码，并且将该密值码与时变值和用户所提供的个人身份码数学组合，以生成认证码。以不能从存储在令牌中的密值码与当前时间和其它信息加密组合的结果中确定该密值码的方式来进行数学组合。在作为挑战-应答(challenge-response)系统的另一系统中，该挑战-应答系统意味着验证器传输挑战以供用户应答，该密值码与该挑战加密组合以产生发送回验证器作为该挑战的应答的输出。

为了验证使用共享密值的实体，验证器需要已经获知该共享密值。在验证巨大数量实体的安全系统中，需要在安全和验证器可用性之间进行折衷。如果存在巨大数量的验证器，当特定实体需要认证时更有可能存在可用的验证器。但是，当已经获知密值的验证器数量增加时，维护该系统的安全性就变得更加困难。

安全系统的使用受限于实体可以方便地认证到的验证器的数量和种类。如果实体与多个与该实体共享不同密值的验证器进行交互，则该实体必须管理多个密值(或包括密值的设备)，其中每个密值用来认证到一个或少量验证器。管理大量的密值增加了基于计算机实体的复杂性，并且对于人类实体来说不方便。即使处理过程在实体和大量验证器中的每一个之间安全共享不同的密值，也是不方便和烦琐的。

公开密钥加密被用来避免在希望通信或认证的两方之间共享密值的需要。但是，公开密钥加密在很多用户和设备认证设置中不实用，这至少部分是因为完成该计算需要强大的计算能力，以及管理证书和证书撤消列表的复杂性。

发明内容

总体上说，本发明是一个系统，由此可以使用单个共享密值作为基础来派生出多个用于认证的共享密值。在进行认证时的一些情形中，派生共享密值的过程可以动态发生。这种派生密值模型的一个特殊益处在于，包括初始共享密值的单个认证设备可以在不需要事先预计算所有可能的派生密值的情况下被分发。这大大地简化了在多个环境中分发和使用单个认证设备的过程。此系统的另一个益处是初始共享密值可以从不用于认证(只用于密值派生)，这增加了系统的安全性。此系统的再一个益处是它允许多方使用单个认证设备(即令牌)，或单方使用单个认证设备来认证到多个实体，或由多方使用来认证到多个实体，而不需要在这些认证中使用共同的共享密值。在这种情况下，所有认证都通过使用对每个情况为唯一的共享密值来进行；其中每个唯一共享密值是根据初始共享密值派生出的。

在一方面，本发明的特征在于用于为多个客户机侧实体生成认证密值(例如“种子”)的方法。该方法包括：基于单个主种子来生成多个派生种子，每个种子对应多个客户机侧实体中相应的一个不同的实体，其中生成多个派生种子中的每个种子包括将主种子与标识相应的客户机侧实体的唯一标识符数学组合。在特定实施例中，本发明还可以被用来为多个服务器侧实体生成认证种子。

其它实施例包括一个或多个下述特征。多个客户机侧实体是多个用户。该方法还包括将多个派生种子分发给验证器以供在将多个客户机侧实体中每个实体认证到验证器时使用。下面是本发明的方法的一个实施例的概述，其使用派生种子来将用户认证到认证服务器。首先，主种子生成器创建主种子。该主种子被加载到由多个用户用来认证的认证器中。该认证器可以是实现成硬件设备或软件形式的令牌。该主种子还被加载至派生种子生成器中。在以后某一时间，通常是在注册过程期间启动使用该认证器的特定用户的认证，该过程执行如下步骤：(1)认证服务器获取用户的唯一标识符(UID)；(2)认证服务器联系提供用户的UID的派生种子生成器，并识别用户将使用哪个认证器(例如通过提供认证器序列号)；(3)派生种子生成器使用认证器的序列号来定位被加载到认证器中的主种子，然后对主种子和用户UID进行加密组合，以创建派生种子；并且(4)派生种子被发送回认证服务器，以用作后续认证的共享密值。主种子生成器在逻辑上可以与派生种子生成器分开，或者这两个生成器可以被实现成执行两种功能的单个生成器。在更后面的时间，用户将决定访问由认证服务器保护的某些资源，并且执行下述步骤：(1)在认证时该用户UID被传递给认证器；(2)认证器在内部将先前存储的主种子和新提供的用户UID进行加密组合，由此动态创建派生种子；并且(3)通过使用该派生种子，认证器将执行使用该派生种子作为共享密值的多个认证算法中的一个，并且发布(release)合适的认证码。认证码然后被发送给认证服务器。因为认证服务器已经具有派生种子的存储的拷贝，它可以证实该认证码。

多个不同的用户可以使用将派生出对用户与认证器的组合为唯一的派生种子的相同的过程，其中每个用户有他们各自唯一的UID。结果是，得到的系统具有多个唯一的属性。首先，单个主种子是唯一静态密值，其需要存储在认证器中。其次，每个用户具有唯一用户UID，并且因此也具有唯一的派生种子。每个用户的唯一派生种子可以在认证时动态创建，因此无需在认证器中存储用户的派生种子。从安全性和存储器的使用角度看，这是很有价值的。但是，派生种子同样可以预先计算，并存储在认证器中。每个唯一的派生种子用于认证每个唯一的用户，并且因此不存在对公共认证密值的共享；从而不会存在因密值共享引起的安全弱点。最后，由于派生种子可以在认证时动态生成，无需存储在认证器中，所以对能够共享公共认证器的用户数量就没有限制。

总体上说，在另一方面，本发明的特征在于使用单个主种子来将多个客户机侧实体中任意选择的一个实体认证到验证器的方法，其中多个客户机侧实体中的每一个实体由不同的唯一标识符标识。该方法包括：对于任意选择的客户机侧实体，将组合主种子和其唯一标识符数学组合，以为该任意选择的客户机侧实体生成派生种子；使用为该任意选择的客户机侧实体生成的该派生种子来将该任意选择的客户机侧实体认证到验证器。

其它实施例包括一个或多个如下特征。多个客户机侧实体是多个用户。使用任意选择的用户的派生种子包括发送给验证器根据该任意选择的用户的派生种子计算出的值。使用为该任意选择客户机侧实体生成来将该任意选择的客户机侧实体认证到验证器的派生种子包括使用从包括基于时间的认证算法、挑战-应答认证算法、基于计数器的认证算法和事件同步认证算法的一组认证算法中选出的认证算法。数学组合主种子和该任意选择的客户机侧实体的唯一标识符包括使用基于共享密值的认证算法。使用共享密值的算法例子包括：散列函数、块加密函数、流加密函数和消息认证码函数。这些只是可以使用的算法的例子。使用共享密值的其它算法也可以使用。进行数学组合可以包括使用密钥派生函数。密钥派生函数可以包括迭代函数。密钥派生函数采用主种子或先前根据主种子派生出的值和多个唯一标识符中一个或多个唯一标识符作为输入，这些唯一标识符中的一个可以包括用于标识多个用户的唯一标识符。

总体上说，在另一方面，本发明的特征在于为一个或多个客户机侧实体生成认证种子，使得它们能够认证到一个或多个服务器侧实体的方法。该方法包括根据单个主种子生成多个派生种子，其中生成多个派生种子的每一个包括数学组合主种子和相应的多个不同唯一标识符，所述相应的多个不同标识符中的每个唯一标识符标识不同的实体。

其它实施例包括一个或多个如下特征。该方法还包括将多个派生种子分发到一个或多个服务器侧实体以使得用户能够通过使用多个派生种子中合适的一个种子来认证到一个或多个服务器侧实体。即，派生种子是基于用户唯一标识符和服务器唯一标识符的组合的，每个用户和服务器具有唯一标识符值。一个或多个服务器侧实体是多个服务器侧实体，其中对应多个不同标识符的每个标识符中至少有一个唯一标识符来标识多个服务器侧实体中相应的不同服务器侧实体用户。进行数学组合包括使用密钥派生函数。密钥派生函数包括迭代函数。密钥派生函数将主种子或先前根据主种子派生出的值和多个唯一标识符中一个或多个唯一标识符作为输入，这些唯一标识符中的一个可以包括用于标识多个用户的唯一标识符。

总体上说，本发明的另一方面的特征在于，一种在令牌中实现将多个不同用户认证到另一实体的方法。该方法包括：将主种子存储在令牌中；当任意一个用户寻求认证到其它实体时，(1)数学组合主种子和为此用户提供的唯一标识符，以生成该用户的派生种子；以及(2)使用所派生的该用户的种子来认证到其它实体。虽然已经描述了用于将多个用户认证到另一实体的方法，但是要理解的是，此方法可被任意类型的实体用来认证到另一实体。

其它实施例包括一个或多个如下特征。使用该用户的派生种子来认证到其它实体包括使用利用共享密值的认证算法。算法例子包括：基于时间的认证算法、挑战-应答认证算法、基于计数器的认证算法、以及事件同步认证算法。在其它实施例中，该方法还包括在完成将用户认证到其它实体后删除该派生种子。但是此步骤不是必须的。

在另一方面，本发明的特征在于一种在网络中使用的方法，在该网络中，具有存储主种子的用户设备的用户通过客户机侧设备认证到该网络上的另一实体。该方法包括：在连接到网络上的服务器中，从客户机侧设备接收标识该客户机侧设备的唯一标识符；在服务器中，数学组合密值和该客户机侧设备的唯一标识符，以生成派生种子，其中密值是根据主种子派生出的或先前生成的派生种子；并将新得到的种子从服务器发送给客户机侧设备。

其它实施例包括一个或多个如下特征。该方法还包括在客户机侧设备：接收派生种子；在接收到派生种子后，将客户机侧设备从网络中断开。它还包括在用户设备中：接收客户机侧设备的唯一标识符；数学组合至少该唯一标识符和主种子，以生成派生种子；在客户机侧设备从网络断开时使用派生种子来认证到客户机侧设备。主种子是共享密值。或者，密值可以是先前根据主种子派生出的种子，即它是通过将主种子和一个或多个其它标识符数学组合生成的。

总体上说，在另一方面，本发明的特征在于一种由在网络客户机侧设备实现的方法，其中用户通过客户机侧设备认证到该网络上的另一实体。该方法包括：向网络上的其它实体发送标识客户机侧设备的唯一标识符；从其它实体接收派生种子，其中该派生种子是通过将密值和客户机侧设备的唯一标识符数学组合生成，其中密值是基于主种子生成的；从网络上断开；为了认证用户，将客户机侧设备的唯一标识符发送给用户设备；在客户机侧设备的唯一标识符发送到用户设备后，从用户设备接收表明该用户设备知晓派生种子的信息，比如根据或基于得到的派生种子计算出的认证码。

总体上说，在另一方面，本发明的特征在于在服务器站点认证多个用户的方法。该方法包括：存储多个派生种子，所述多个派生种子全部是根据单个主种子计算出的，其中所述多个派生种子中的每个派生种子对应于多个用户中一个相应的用户，其中所述多个派生种子中的每个派生种子是通过将所述主种子和相应用户的唯一标识符进行数学组合而生成的；对于多个用户中任意选择的一个用户，从该用户接收根据该用户的派生种子数学生成的认证信息；对于该选择的用户，基于从该用户接收到的认证信息来认证该用户。在其它实施例中，该方法可用于将任意类型的实体(不只是用户)认证到其他实体。

本发明的一个或多个实施例的细节将在下面通过附图详细描述。根据发明详述和附图以及权利要求，本发明的其它特征、目的和优点将更加明显。

附图说明

图1是为一组用户生成派生种子的系统的方框图；

图2是示出了派生种子的生成和使用的另一方面的方框图；

图3是描述离线认证的方框图。

具体实施方式

在专利申请人所拥有的较早专利申请中(即于1999年5月4日的提交的U.S.S.N.09/304,775，现在是美国专利No.6,985,583(RSA-038)，在此并入作为参考)，公开了使用单个主种子或密值生成多个验证器种子或派生种子的方法，其中每个种子用于认证到不同站点。这允许实体认证到许多验证器而不必管理大量的密值。使用此技术只需要维护单个密值，与对于每个站点需要不同的密值的方法相比，管理变得更简单。使用一个密值，用户可以认证到多个站点或多个验证器而不会危害该密值或必须与多于一个的实体共享。该过程如下。

在注册过程期间，站点1要求用户输入令牌的序列号。然后站点1将用户令牌的序列号以及站点1的唯一标识符，即UID₁，一起发送给主种子生成器。

主种子生成器将主种子和唯一标识符U_v1进行数学组合以产生派生或验证器种子S_D1，其对于在特定站点使用的特定令牌是唯一的。通过使用密钥派生函数将主种子和其它信息组合以生成派生种子S_D1。密钥生成函数具有使第三方不大可能通过获知验证器种子和其它信息而确定出主种子的特性。其它信息是标识认证服务器的信息，在本例中是唯一标识符UID₁。

主种子生成器将派生种子发送给站点1，它被安装在认证服务器或验证器中。

在实际认证期间，站点1上的认证器以某种提供标识符的其它方式(如小键盘输入)发送其唯一标识符UID₁给令牌或用户。令牌在内部将UID₁和主种子组合以生成派生种子S_D1的另一份拷贝。派生种子S_D1然后被用于认证到认证服务器。这通常通过将它与某一动态变量(如时间、计数器变量、挑战等)加密组合以生成认证码来完成，该认证码至少是该动态变量和派生种子的函数。认证码然后被发送至站点1的认证服务器。因为认证服务器知道该派生种子和该动态变量，它可以证实该码，即它可以计算出该码，并且将它与接收到的认证码进行比较以确认用户是否知道共享密值。

同样的处理过程发生在站点2上，除了使用该站点的不同的唯一标识符UID₂。该结果是不同的派生种子S_D2。结果是，当在不同的站点上使用相同的令牌时所得到的认证码也不同。

UID₁和UID₂意在是与每个站点相关联的唯一标识符。例如它们可以是站点URL的散列值，或其它唯一值，比如与该站点相关联的公开密钥，或可能是初始随机选取的唯一标识符。但是一旦被分配，该唯一标识符必须为主种子生成器和令牌两者所获知，这样它们中每个可以独立计算出相同的派生种子。

注意，主种子只被主种子生成器和主种子被编程到其中的令牌获知。令牌从不揭露其主种子，并且主种子生成器从不向任何人揭露主种子。这样，主种子本身从不用于认证。

多用户

要认识到的是，在当有人想将对称密钥或基于种子的令牌用于多个不同用户的任何时候时都会产生问题。例如，假设多个家庭成员想利用他们各自的帐号登录同一站点(如MSN或AOL)。如果每个家庭成员共享相同的令牌，就需要管理多个密钥，每个为其执行认证的用户对应于令牌中的一个密钥。但在共享的令牌中提供和管理多个主种子会变得十分复杂。此外，每个主种子会占用令牌的存储空间，并且必须提供一些机制来使得用户在认证时能够选择正确的主种子。反之，交替地发放多个单独的令牌，每个用户一个，则会很繁琐。

还要认识到的是，为了在这些环境下解决自身所呈现的问题，可以替代生成多个使多个不同的用户能够认证到相同的站点的派生种子，其中每个派生种子为不同的用户所使用。按照这种方式，相同的主种子可以被用来为具有多个成员的组中的每个成员生成一个相应的不同派生种子。在此例中，主种子在密钥服务器和用户所持有的令牌之间共享。将使用令牌的人组中的每个成员具有与密钥服务器共享的相应的唯一的标识符。该唯一标识符是与该成员相关联的值，如人名的散列值。密钥服务器通过数学组合主种子和成员的唯一标识符，为组中的每个成员生成相应的派生种子，然后将这些派生种子发送给验证站点。当组中的成员希望认证到验证站点时，该用户将他或她唯一标识符传递给令牌，令牌通过数学组合主种子和该用户的唯一标识符而为该用户生成派生种子。按照这种方式，组中的每个成员具有他或她自己的密钥，可以不依赖组中的其他成员而独立地认证到验证站点；但仅仅一个主种子被要求支持该点。

在这种情况下，与该用户正认证到的站点相反，该唯一标识符与用户相关联。此唯一标识符可以是唯一标识该用户的任何东西，如用户的ISP登录名的散列值，或用户的即时消息器伙伴名的散列值。

图1示出了实现派生种子概念的系统的例子。它包括主种子生成器100，它生成主种子S_M且将主种子安装在由一组用户使用的令牌102中。令牌102是硬件设备，被实现成例如信用卡大小的设备，它包括配有存储器和相关硬件逻辑和固件、电池和LCD显示器的微处理器。在描述的实施例中，令牌102通过连接器接口或无线通信，从如按钮、小键盘、压感显示屏接受数据输入。令牌102也可以被实现成运行在计算机、移动电话、个人数字助理或其它能够执行软件应用的软件应用程序。

主种子生成器100还给密钥服务器104提供用于该组用户的相同主种子S_M。密钥服务器104可以是专用种子分发服务器，或者它可以是数据服务器，如文件服务器、网页服务器，或包括种子分发功能的认证服务器。

主种子S_M是由令牌102和密钥服务器104共享的密值。通常，主种子是例如通过伪随机数生成器或通过使用观测足够随机物理事件的传感器而随机生成的。在任何情况下，它都是按照产生在统计上都难以预测的密值数的方式而生成。

还存在客户计算机108，其被该组用户用来认证到服务器站点而不是包括验证器或认证服务器110。生成派生种子的过程如下所述。

一开始，主种子生成器100分发主种子给令牌102和密钥服务器104。

用户在客户计算机108处登录进服务器站点，向该站点注册由该站点提供的特定服务。作为注册请求的一部分，客户计算机108提供正在使用的令牌的序列号以及唯一标识该用户的标识符UID₁(如登录名或屏显名)。令牌的序列号将激活密钥服务器104来在存储于本地数据库的种子记录中寻找与该令牌相关的主种子S_M。

作为响应，该站点处的认证服务器110发送注册请求给密钥服务器。伴随该请求的是令牌序列号和该用户的唯一标识符。使用序列号的密钥服务器104在它的数据库中查找该令牌的记录，并且取回相应的主种子S_M。它然后将主种子和唯一标识符数学组合，以生成派生种子S_P1，该派生种子作为种子记录的一部分发送回认证服务器110。认证服务器110将所接收的种子记录和它的派生种子S_P1一起存储到它的数据库中，以用于将来认证该用户。

在上述实施例中，密钥服务器104通过使用密钥派生函数“KDF”生成派生种子S_P1。密钥派生函数在加密领域是公知的。密钥派生函数通常被选择为具有为不同的输入生成相对不同的输出的能力，这是因为它们难以反转，即意味着对于特定输出难以确定其输入。各种密钥派生函数是基于散列函数、伪随机函数等等的。

密钥派生函数通常将密值与其它信息组合。该密值可以是密码。对于本发明的方法，该密值是种子，或者是主种子或者是先前生成的派生种子。在密钥派生函数中也可以包括迭代函数。称作迭代计数的数字被用于表示派生密钥的下层函数的执行次数。将迭代计数用于密钥派生函数增加了根据密码生成加密密钥所需的工作量。在计算密钥时，适度的迭代计数，如1000，对于合法用户而言不是大负担，而对攻击者来说将会是极大的负担。如果密码值是大的随机值，则可以使用小的迭代计数。使用KDF和迭代函数是如何派生出派生种子的例子。也可以使用其它技术。

应该理解的是，其它密钥派生函数也同样有用，并且在特定密钥派生函数需要时，也可以使用用户信息和其它信息的各种替代物。在其他替代例中，也可以使用基于下层散列函数、块加密函数、消息认证码函数等的密钥派生函数。

在所描述的使用密钥派生函数的实施例中，密钥派生函数的输入是主种子，用户标识符(或者是其串接而成的版本)和时间标识符。用户标识符UID包括关于用户的信息，还可以包括其它信息，如时间值。

密钥派生函数KDF将主种子S_M和用户的标识信息UID₁作为输入。服务器110存储主种子S_M。令牌102同样存储主种子S_M，并且可以访问用户标识符信息UID₁。这样令牌102也可以使用相同的密钥派生函数来根据主种子S_M和用户标识符信息UID₁获得相同的派生种子S_P1。

共享令牌的每个用户具有唯一标识符信息。执行相同的过程为每个用户生成相应的派生种子S_Pi，其由认证服务器110存储。

当组中的任意用户使用令牌来认证到站点服务器时，客户机将用户的唯一标识符传递给令牌。令牌将在内部组合用户的标识符和先前存储的主种子，以生成对该用户为唯一的派生种子。客户机然后使用派生种子在站点服务器端将用户认证到认证服务器。在一个实施例中，令牌使用派生种子计算出对该用户为唯一的认证码。令牌将认证码传回给客户机，它然后将它们提供给站点服务器以认证该用户。

注意，实际的认证过程使用派生种子，而从不使用主种子，由此保护了主种子的安全。认证过程通常由令牌102和/或客户计算机108将根据派生种子S_Pi数学上派生出的值传给验证器来完成。认证过程可以通过使用散列函数、块加密函数、消息认证代码或其它技术来完成。认证过程可以通过使用基于时间的算法来完成，根据该算法，作为计算的一部分派生种子S_Pi与时间相关的信息相组合。作为另一个例子，可以使用挑战-应答方法。它包括验证器108传输挑战值给令牌102。令牌102然后利用派生种子S_Pi对该挑战值进行加密，将结果传输回认证服务器110。另一种方法包括基于计数器的认证过程和事件同步认证过程(如HOTP)。

当密值由设备102和验证器108共享时可以使用的各种认证和通信系统和方法，可以被扩展为使用派生种子。例如，参见美国专利4,720,860；美国专利4,885,778；美国专利4,856,062；美国专利4,998,279；美国专利5,023,908；美国专利5,058,161；美国专利5,097,505；美国专利5,237,614；美国专利5,367,572；美国专利5,361,062；美国专利5,485,519以及美国专利5,657,388，其描述了使用共享密值进行认证的各种系统和方法。此系统可以包括在此描述的系统和方法，以使用派生种子作为认证基础。

刚描述的方法的共同特征是在令牌中只有单个主种子，并且该令牌使用主种子来生成所需的任何派生种子。如上所述，其具有不需要用户管理多个主种子的巨大优点，而管理多个主种子对于许多用户而言可能是困惑和困难的。还要注意的是，令牌通常既不接收甚至也不存储派生种子。但是在特定实施例中，令牌可以接收和/或存储派生种子。在需要时它根据所存储的单个主种子生成派生种子，当使用该派生种子来认证到期望的站点完成后，它通常删除该派生种子。

当然，替代的方法可以预计算和在令牌中存储不同的派生种子，并且在需要时只是简单地提供合适的派生种子。

上述方法的进一步扩展是使用多个唯一标识符生成派生种子。例如，如果组中的多个个体共享令牌，并且他们想使用相同的令牌来认证到不同站点，则为每个合适的有意义的组合(个人和站点)生成派生种子。为了简化此例子，假定组中有两名成员，还假定组中每位成员希望使用令牌来认证到两个站点(如AOL和MSN)中的每个上。在此例中，为该系统定义四个派生种子，每个个人和站点的组合对应一个。这样，对于个人A在站点1，该组合相应的派生种子通过使用个人A的唯一标识符(UID_A)和主种子(S_M)生成中间结果S_A，然后将站点1的唯一标识符(SiteID₁)应用于该中间结果而生成派生种子S_A1。

S_A＝KDF(S_M，UID_A)

S_A1＝KDF(S_A，SiteID₁)

剩下的派生种子通过首先使用该用户的UID，随后使用站点的唯一ID来生成。尽管上述例子示出作为串行计算(一个在另一个之后)的S_A和S_A1的派生，但这只是为了举例的需要而不是必须的。在其它实施例中，可以使用多个唯一标识符来执行单个KDF。

这可以被扩展成任意实体的组合。换句话说，创建派生种子时可以组合多个唯一标识符。例如，个人A也许希望认证到站点1上的计算机X。或者个人A可能希望认证到站点2处的计算机X。或者个人B也许希望认证到站点2处的计算机Y，等等。这些组合中的每一个都存在一个不同的派生种子。派生种子可能根据主种子，通过顺序应用个人的唯一标识符、计算机的唯一标识符，以及该站点的唯一标识符而生成。

任意数量的唯一标识符可以按照这种方式链接起来以根据单个主种子生成相应的派生种子。此外，如上述的更简单的例子中，只要在认证期间要生成所需派生种子时能够为令牌提供正确的唯一标识符，则令牌无需存储派生种子。令牌只需存储主种子和用于根据主种子生成派生种子的函数。

除了站点和个人，唯一标识符可以是任何可以标识希望认证实体的虚拟东西，或希望认证的身份实体。这包括，例如硬件唯一ID、唯一域ID、组ID、中间节点ID、新闻组ID、Kazza ID、驾照号码、护照号码、电话号码、有线电视盒序列号等。中间节点ID在防网络钓鱼(antiphishing)技术(即在站点B上的用户A来自站点C)上很有用。

图2示出了这些观点的进一步扩展的另一例子。这个特别的例子示出了如何使用多个唯一标识符在网络内部启动本地认证过程，从而避免每次认证时都必须回到根认证服务器。

在图2中网络内有多台布置成树状结构的认证服务器。根认证服务器是AS₁，其它的认证服务器AS₂、AS₃、AS₄、AS₅和AS₆通过树状结构与根认证服务器相连，如图所示。使用上述概念，认证过程由客户机连接到的服务器在本地执行，所有的认证都是基于用户所持有的令牌中的单个主种子的。

存储主种子S_M的密钥服务器KS生成派生种子DS₁，并将派生种子发送给根服务器AS₁。派生种子的生成如前面描述，通过使用本领域普通技术人员公知的合适的密钥派生函数将主种子S_M和根服务器AS₁的唯一标识符(即UID₁)数学组合而生成。拥有包括主种子S_M拷贝的令牌的用户，可以直接认证到根服务器AS₁。这是通过从根服务器AS₁接收它的唯一标识符UID₁，然后将唯一标识符应用于主种子S_M生成相应的派生种子DS₁而完成。

DS₁＝KDF(S_M，UID₁)

该操作可以表示成：DS₁＝S_M+UID₁。用户然后使用此派生种子DS₁以上述方式直接认证到根服务器。

在描述的实施例中，将树中另一认证服务器AS₃的唯一标识符应用到AS₁的派生种子中，从而为此认证服务器AS₃生成派生种子DS₃。换句话说，通过将UID₃应用于DS₁，根服务器AS₁为认证服务器AS₃生成派生种子DS₃。即

DS₃＝KDF(DS₁，UID₃)

采用另一表达形式，此式可写为：DS₃＝DS₁+UID₃。

注意，如果选择了合适的密钥派生函数，DS3同样可以通过将两个唯一标识符顺序地应用至主种子生成，即

DS₃＝(S_M+UID₁)+UID₃。

换句话说，AS₃的派生种子可以由两个不同的实体生成(应该注意到，并不是所有的密钥派生函数允许如上所示出的分开步骤。必须选用合适的密钥派生函数才有此特定属性。)。如果密钥服务器知道根服务器AS₁和认证服务器AS₃的唯一标识符，则该派生种子可以通过密钥服务器KS根据主种子S_M生成。或者，如果认证服务器AS₃的唯一标识符对于认证服务器AS₁已知，可以通过认证服务器AS₁根据它的派生种子DS₁生成认证服务器AS₃的派生种子DS₃。

此方法可以扩展至树状结构中的其它认证服务器，为这些服务器生成派生种子。这样，每个认证服务器都能够为网络树中的邻居子服务器生成派生种子。

在描述的实施例中，邻居认证服务器生成且提供派生种子给请求服务器时还同时将它自己的唯一标识符和返回至根服务器路径上的所有认证服务器(包括根服务器)的唯一标识符一并发送。这样，想认证用户的任意认证服务器能够给该用户(或用户令牌)提供所有的唯一标识符，使得令牌能够根据内部存储的主种子S_M为该认证服务器生成派生种子。这样认证服务器在进行认证时，无论它在树中什么位置都不需要与树中更上层的父服务器通信。例如，如果用户希望认证到服务器AS₆，则它从服务器AS₆接收AS₁、AS₃、AS₅和AS₆的唯一标识符。随后，通过使用用户令牌内部存储的合适密钥派生函数，它将这些唯一标识符依次应用于主种子S_M从而计算出服务器AS₆的派生种子。

离线认证

上述概念的另一个优势是派生种子的生成可以在任何时间进行，而无需在为系统中的其它服务器或实体生成派生种子时进行。这个优点可以通过图3中示出的网络的例子进行说明。该网络包括密钥服务器KS、在站点1上的认证服务器AS、连接到站点1的笔记本计算机NB，以及用户令牌。

如上所述，站点1上的认证服务器AS通过将它的唯一标识符UID₁提供给密钥服务器KS来向密钥服务器KS注册。密钥服务器KS然后使用密钥派生函数将主密钥S_M和该唯一标识符UID₁组合，以为站点1生成派生种子DS₁。笔记本计算机用户通过令牌认证到站点1，该令牌还保持主种子S_M的拷贝。为了使用户能够认证到站点1，站点S1的认证服务器提供它的唯一标识符UID₁给笔记本计算机，然后笔记本计算机将此唯一id提供给令牌。令牌同时知道相应的密钥派生函数和主种子S_M，它使用与密钥服务器KS相同的方式生成DS₁，并使用该派生种子来认证到认证服务器AS。

在某一稍后时间，用户可能想从站点1上断开笔记本计算机，使得它不再能够与站点1上的认证服务器AS₁进行通信。在此情况下它可能还是想要求用户认证到离线的笔记本计算机，此时已不可能使用站点1的认证服务器。可以通过使用上面讨论的概念实现此功能。具体的，用户向站点1的认证服务器AS₁注册笔记本计算机NB来进行离线认证。作为回应，站点1的认证服务器AS₁通过数学组合笔记本计算机的唯一id，UID_NB，(如它的序列号)和先前提供给认证服务器的派生种子DS₁，执行另一派生种子生成过程。换句话说，站点1的认证服务器AS₁进行如下计算：DS₂＝DS₁+UID_NB。然后认证服务器在笔记本计算机断开之前将派生种子DS₂与它的唯一标识符UID₁一起发送给笔记本计算机。

为了使得用户在离线时能够认证到笔记本计算机，笔记本计算机将它自己的唯一标识符NID_NB以及站点1的唯一标识符UID₁一并发送给用户令牌。令牌在内部使用密钥派生函数数学组合主种子S_M以及两个标识符UID₁和UID_NB，以生成DS₂(即，DS₁＝S_M+UID₁；DS₂＝DS₁+UID_NB)。用户然后在笔记本计算机网络上断开时，使用DS₂认证到该笔记本计算机。

上述包括认证服务器网络和离线认证的过程可以通过简单地应用已经描述的原则来扩展至许多级别以及不同的级别。

注意，唯一标识符可以是任何值。尽管唯一标识符可以是任意值，对于最高级别的安全性而言，该值是唯一的。唯一标识符的例子包括站点的公开密钥、站点URL、用户名、笔记本计算机序列号等。唯一标识符和主种子的组合可以使用本领域公知的不同算法来实现。对它们一起求散列值是一个例子。同时，认证令牌可以是基于共享密值(对称密钥或种子)的任意类型的令牌。例子包括基于时间、挑战-应答、时间和事件、事件同步等。而且，对于本领域技术人员来说熟知的是，其它信息可以包括在种子的派生中。

应该理解的是，在本申请中分离示出的某些功能可以被组合在一起，而组合示出的其他功能可以被分离，而不会对这里描述的基本原理带来损害。例如，主种子生成器100和密钥服务器104在图1中被示出为分离的实体。然而，这两个功能可以被组合成单个实体。而且，服务器站点110被示出为包括验证器或认证管理器的功能，但是这两个功能可以被分离，其中认证管理器正由与管理服务器站点的实体不同的实体管理。实际上，考虑到认证服务器更可能由第三方服务器站点提供，而不是由用户尝试访问的站点提供，所述功能将是分离的。

应该理解的是，正在认证进入站点的实体在此称为用户。实际上，此实体还可以更通用地称为客户机侧实体，这是因为它同样可以是寻求认证进入另一站点的硬件设备、应用或其它软件实体。类似的，客户机侧实体寻求认证进入的服务器可以是客户机侧实体希望认证进入的服务器站点、域、区域或任何其它服务器侧实体。

在上述描述中，载有主种子且用于认证到服务器的用户设备在此称为令牌。该设备有时还被称为认证器。它可以采用不同的形态，例如包括内部处理器元件和存储器的硬件设备，或者是在PC上运行的代码(如软件令牌)。

还要注意的是，用户必须能够存储主种子且具有密钥派生能力，还必须获知密钥派生函数。此能力可以与用户在连接至客户计算机时使用的令牌包括在一起，或包括在这些设备的组合内。

其它实施例在下述权利要求中。

Claims

1.一种用于为多个客户机侧实体生成认证种子的方法，所述方法包括：基于单个主种子而生成多个派生种子，每个派生种子对应多个客户机侧实体中的一个相应的不同客户机侧实体，其中生成所述多个派生种子中的每一个包括将所述主种子和标识所述相应的客户机侧实体的唯一标识符进行数学组合。

2.根据权利要求1所述的方法，其中，所述多个客户机侧实体是多个用户。

3.根据权利要求1所述的方法，还包括将所述多个派生种子分发给验证器，以供在单独地将所述多个客户机侧实体中的每个实体认证到所述验证器时使用。

4.根据权利要求1所述的方法，还包括：

生成所述主种子；以及

接收所述多个客户机侧实体中的每个实体的相应的唯一标识符。

5.根据权利要求1所述的方法，还包括：

从主种子生成器接收所述主种子；以及

6.根据权利要求4所述的方法，其中，所述接收包括从所述验证器接收所述多个客户机侧实体中每个实体的唯一标识符。

7.根据权利要求1所述的方法，其中，所述方法在令牌设备上实现，并且其中，当正为其生成所述派生种子的所述客户机侧实体试图认证到验证器时，发生生成所述多个派生种子中的每一个的过程。

8.根据权利要求1所述的方法，还包括接收标识多个客户机侧实体中一个客户机侧实体寻求访问的服务器的唯一标识符，其中为该客户机侧实体生成派生种子包括将所述主种子、标识该客户机侧实体的唯一标识符和标识所述服务器的唯一标识符进行数学组合。

9.根据权利要求1所述的方法，其中，进行数学组合包括使用密钥派生函数。

10.根据权利要求9所述的方法，其中，所述密钥派生函数包括迭代函数。

11.根据权利要求9所述的方法，其中，所述密钥派生函数采用根据所述主种子派生出的值和标识所述多个客户机侧实体中选出的一个实体的唯一标识符作为输入。

12.根据权利要求11所述的方法，其中，根据所述主种子派生出的所述值是所述主种子。

13.根据权利要求11所述的方法，其中，根据所述主种子派生出的值是通过将所述主种子和至少一个其它标识符进行数学组合而生成的。

14.一种使用单个主种子来将多个客户机侧实体中任意一个选择的实体认证到验证器的方法，其中，所述多个客户机侧实体中的每个实体由不同的唯一标识符标识，所述方法包括：

将所述主种子和所述任意选择的客户机侧实体的唯一标识符进行数学组合，以为所述任意选择的客户机侧实体生成派生种子；以及

使用为所述任意选择的客户机侧实体生成的所述派生种子，来将所述任意选择的客户机侧实体认证到所述验证器。

15.根据权利要求14所述的方法，其中，所述多个客户机侧实体是多个用户。

16.根据权利要求15所述的方法，其中，使用所述任意选择的用户的派生种子包括向所述验证器发送根据所述任意选择的用户的派生种子计算出的值。

17.根据权利要求14所述的方法，其中，将所述主种子和所述任意选择的客户机侧实体的唯一标识符进行数学组合包括使用利用由所述验证器和所述客户机侧实体共享的密值的函数。

18.根据权利要求17所述的方法，其中，使用为所述任意选择的客户机侧实体生成的所述派生种子来将所述任意选择的客户机侧实体认证到所述验证器包括使用从一组认证算法中选出的认证算法，该组认证算法包括基于时间的认证算法、挑战-应答认证算法、基于计数器的认证算法以及事件同步认证算法。

19.根据权利要求14所述的方法，其中，将所述主种子和所述任意选择的客户机侧实体的唯一标识符进行数学组合包括使用从一组函数中选出的函数，该组函数包括散列函数、块加密函数、流加密函数以及消息认证码函数。

20.根据权利要求14所述的方法，其中，进行数学组合包括使用密钥派生函数。

21.根据权利要求19所述的方法，其中，所述密钥派生函数包括迭代函数。

22.根据权利要求19所述的方法，其中，所述密钥派生函数采用根据所述主种子派生出的值和标识所述多个客户机侧实体的唯一标识符中的一个标识符作为输入。

23.根据权利要求21所述的方法，其中，根据所述主种子派生出的值是所述主种子。

24.一种用于为一个或多个客户机侧实体生成认证种子以使它们能够单独地认证到一个或多个服务器侧实体的方法，所述方法包括根据单个主种子生成多个派生种子，其中生成所述多个派生种子中的每个种子包括将所述主种子和相应的多个不同的唯一标识符进行数学组合，其中所述相应的多个不同的唯一标识符中的每个唯一标识符标识不同的实体。

25.根据权利要求24所述的方法，还包括将所述多个派生种子分发给所述一个或多个服务器侧实体，以使得用户能够通过使用所述多个派生种子中合适的一个种子认证到那些一个或多个服务器侧实体。

26.根据权利要求24所述的方法，其中，所述一个或多个用户是多个用户，并且其中，每个相应的多个不同标识符中至少一个唯一标识符标识所述多个用户中相应的不同用户。

27.根据权利要求24所述的方法，其中，所述一个或多个服务器侧实体是多个服务器侧实体，其中每个相应的多个不同标识符中至少一个唯一标识符标识所述多个服务器侧实体中相应的不同服务器侧实体。

28.根据权利要求24所述的方法，其中，进行数学组合包括使用密钥派生函数。

29.根据权利要求27所述的方法，其中，所述密钥派生函数包括迭代函数。

30.根据权利要求27所述的方法，其中，所述密钥派生函数采用根据所述主种子派生出的值和标识所述多个客户机侧实体的唯一标识符中的一个唯一标识符作为输入。

31.根据权利要求30所述的方法，其中，根据所述主种子派生出的值是所述主种子。

32.一种在令牌中实现的用于将多个不同的第一实体认证到第二实体的方法，所述方法包括：

将主种子存储在所述令牌中；

当所述多个第一实体中任意一个实体寻求认证到所述第二实体时，(1)将所述主种子和为该第一实体提供的唯一标识符进行数学组合，以为该第一实体生成派生种子；并且(2)使用该第一实体的所述派生种子来认证到所述第二实体。

33.根据权利要求32所述的方法，其中，所述令牌被实现成硬件设备。

34.根据权利要求32所述的方法，其中，所述令牌被实现成软件。

35.根据权利要求32所述的方法，其中，使用该第一实体的所述派生种子来认证到所述第二实体，包括使用利用由所述第二实体和该第一实体共享的密值的认证算法。

36.根据权利要求32所述的方法，其中，使用所述第一实体的所述派生种子来认证到所述第二实体，包括使用从一组认证算法中选出的认证算法，该组认证算法包括基于时间的认证算法、挑战-应答认证算法、基于计数器的认证算法和事件同步认证算法。

37.根据权利要求32所述的方法，还包括：(3)在将该第一实体认证到所述第二实体后，删除该第一实体的所述派生种子。

38.一种在网络中使用的方法，在所述网络中，具有存储主种子的用户设备的用户通过客户机侧设备认证到所述网络上的另一个实体，所述方法包括：

在连接到所述网络的服务器中，从所述客户机侧设备接收标识所述客户机侧设备的唯一标识符；

在所述服务器中，将密值与所述客户机侧设备的所述唯一标识符进行数学组合，以生成派生种子，其中所述密值是根据所述主种子派生出的；以及

将所述派生种子从所述服务器发送至所述客户机侧设备。

39.根据权利要求38所述的方法，其中，所述客户机侧设备是中间服务器。

40.根据权利要求38所述的方法，还包括：在所述客户机侧设备上

接收所述派生种子；以及

在接收到所述派生种子后，将所述客户机侧设备从所述网络中断开。

41.根据权利要求38所述的方法，还包括：在所述用户设备中

接收所述客户机侧设备的所述唯一标识符；

至少将所述唯一标识符与所述主种子进行数学组合，以生成所述派生种子；以及

在所述客户机侧设备从所述网络中断开的情况下，使用所述派生种子将所述用户设备认证到所述客户机侧设备。

42.根据权利要求38所述的方法，其中，所述密值是所述主种子。

43.根据权利要求38所述的方法，其中，所述密值是派生种子，其是通过将所述主种子和一个或多个其它标识符进行数学组合而生成的。

44.一种由网络上的客户机侧设备实现的方法，在所述网络中，用户通过所述客户机侧设备认证到所述网络上的另一实体，所述方法包括：

将标识所述客户机侧设备的唯一标识符发送给所述网络的该另一实体；

从所述另一实体接收派生种子，其中所述派生种子是通过将密值和所述客户机侧设备的唯一标识符进行数学组合而生成的，其中所述密值是基于所述主种子的；

从所述网络断开；

为了认证用户，将所述客户机侧设备的唯一标识符发送至用户设备；

在将所述客户机侧设备的唯一标识符发送至所述用户设备后，从所述用户设备接收表明该用户设备拥有所述派生种子的信息。

45.根据权利要求44所述的方法，其中在从所述用户设备接收表明该用户设备拥有所述派生种子的信息的步骤前，所述用户设备生成响应于所述派生种子的认证码，其中来自该用户设备的信息是所述认证码。

46.根据权利要求44所述的方法，其中，所述密值是根据所述主种子进行数学计算出的。

47.一种在服务器站点认证多个用户的方法，所述方法包括：

存储多个派生种子，所述多个派生种子全部是根据单个主种子计算出的，其中所述多个派生种子中的每个派生种子对应于多个实体中一个相应的不同实体，其中所述多个派生种子中的每个派生种子是通过将所述主种子和相应实体的唯一标识符进行数学组合而生成的；

对于所述多个用户中任意选出的一个用户，从该用户接收根据该用户的派生种子数学生成的认证信息；以及

对于所选出的用户，基于从该用户接收到的认证信息来认证该用户。