[发明专利]人类输入安全码

说明书

背景

认证是多种类型的网络通信中的一个重要问题。在某些安全协议中，人类用 户可担当安全信道。即，这些协议需要人类用户来将秘密或真实的值输入到第一设 备中，该值将向该第一设备认证用户或第二设备。例如，用于UPnP2设备的认证 机制可要求人类用户将注册码键入到计算设备(第一设备)中，该注册码随设备在 纸件上发出或者可从该设备内的显示器读取。以此方式，用户被认证来使用该第一 设备。对于另一示例，经认证的密钥交换协议可要求人类用户通过电话向另一人类 用户读出认证码以防止针对该协议的中间人攻击。在又一示例中，可要求用户验证 可信公钥的散列码或根证书(例如，网络浏览器应用程序中的自签名SSL证书)。 在再一示例中，用户可将媒体设备(第一设备)(例如，电视机、数字录像机、立 体声系统等)的安全码(诸如公钥的散列)输入到新购买的通用遥控器(第二设备) 中。该遥控设备然后可将用户输入的安全码传输到该媒体设备以允许该遥控器被认 证并用于该媒体设备。

以上相关技术的示例以及与其有关的限制旨在说明而非排他。在阅读说明书 并研究了附图之后，本领域的技术人员将清楚相关技术的其它限制。

概述

以下提出了本发明的简化概述以向读者提供基本理解。本概述并不是本发明 的广泛综述，也不标识本发明的关键/决定性要素或描绘本发明的范围。其唯一的 目的是以简化的形式提出此处公开的某些概念作为对稍后提出的更详细描述的前 序。

使用人类用户作为安全通道可能对安全码的长度有限制。例如，人类用户记 住长安全码的能力有限，并且如果安全码足够长，则人类用户可能难以正确输入该 安全码。另外，即使人类用户能够记住和/或复制长安全码，他们也可能会发现该 任务不是令人愉快的。通常，人类用户可能愿意输入20-40位值的平均信息量，而 许多安全协议要求长得多的值(例如，50-80位)的传输以便对于蛮力攻击是安全 的。该问题会随着时间的推移而加重，因为人类输入安全码的能力保持相同，而计 算设备的能力和速度却持续增长。

例如，遥控设备的公钥可被传输到电视机以允许该遥控器可用于该电视机。 在此示例中，电视机公钥是100个数位长，但是可使用任何长度的密钥。通常，媒 体设备可用两个设备(例如，遥控器和媒体设备)之间的密钥交换来识别授权的遥 控器。设备之间的密钥交换可通过证书或科布洛斯(Kerberos)来实现。然而，要 求用户将电视机的公钥传送到遥控器可能是繁重且充满差错的。公钥在某些示例中 可被散列。然而，采用公钥的128位散列值，该散列值仍有约20个数位长，这仍 被认为对于用户是繁重的。另一方面，仅有5-10个数位的用户输入码可能仅编码 了约30-50位的信息，这可被认为是不安全的。由此，为扩展用户输入的安全码的 安全性，和/或减小用户输入的安全码的长度，可使用可扩展散列。可扩展散列的 示例在2003年3月27日提交的专利申请，美国专利第10/401241号，以及 http://www.ietf.org/rfc/rfc3972.txt上的2005年3月的IETF因特网草案No.3972 Cryptographically Generated Address(用密码生成的地址)中有描述，这两个参考 文献都通过引用结合于此。

用于CGA的一种通用且可扩展的格式以及相关联的认证机制可提供重量级认 证机制的大部分安全性。在某些情况下，CGA的可扩展格式可降低管理和通信开 销。可扩展CGA可有效地去除或减小对密码散列值的长度的64位限制。尽管可 扩展CGA可增加地址生成的成本，但可扩展CGA可相应地增加“蛮力”攻击(即， 对散列冲突的穷尽搜索，或从用于找出对许多地址的匹配的攻击者自己的公钥来创 建大型的、预计算的接口标识符数据库)的成本。在许多情况下，可扩展CGA与 现有的CGA使用和验证相比可维持或略微增加地址使用和验证的成本。出于简明 的目的，可扩展CGA在以下将被称为ECGA。

在生成ECGA的一个示例中，地址所有者使用公钥和其它参数来计算两个散 列值。第二散列值设置了第一散列值的输入参数，且从第一散列值中导出网络地址 的至少一部分。两个散列值的组合增加了生成新地址的计算复杂度，并且因此增加 了蛮力攻击的成本。两个散列值的组合允许地址所有者选择超过现有的基于CGA 的认证机制的64位限制的安全级别。