[发明专利]远程认证和业务签名

权利要求书

1.一种用于生成动态凭证的认证设备，包括：

存储器部件，所述存储器部件用于存储秘密凭证生成密钥；

用户输入接口，所述用户输入接口用于接收来自用户的输入；

通信接口，所述通信接口用于与所述用户的安全设备进行通信，所述安全设备存储与所述用户关联的第一公共/私人密钥对的第一私人密钥，并且所述安全设备适于利用所述第一私人密钥来执行非对称密码计算，其中，所述非对称密码计算至少包括非对称密码解密操作；

数据输入接口，所述数据输入接口用于接收包括初始化种子的初始化消息，所述初始化种子的至少第一部分利用所述第一公共/私人密钥对的第一公共密钥进行加密；以及

处理部件，所述处理部件适于使用将所述秘密凭证生成密钥与动态变量密码地组合的对称密码算法来生成动态凭证；

其中，所述认证设备适于：

从所述初始化消息中提取所述初始化种子的经加密的至少所述第一部分，

使用所述通信接口向所述用户的安全设备提交所述初始化种子的经加密的所述第一部分，以便所述安全设备使用所述私人密钥和所述非对称密码解密操作将所述初始化种子的经加密的所述第一部分进行解密，

使用所述通信接口从所述安全设备接收由所述安全设备解密的所述初始化种子的所述第一部分，以及

根据所述初始化种子的经解密的至少所述第一部分来导出所述秘密凭证生成密钥的值。

2.根据权利要求1所述的认证设备，其中，所述初始化种子的经加密的所述第一部分包括整个所述初始化种子。

3.根据权利要求2所述的认证设备，其中，所述初始化种子包括所述秘密凭证生成密钥。

4.根据权利要求1所述的认证设备，还适于限制所述秘密凭证生成密钥的使用期限。

5.根据权利要求4所述的认证设备，还适于确定是否已超过所述秘密凭证生成密钥的使用期限，并且在确定出已超过所述秘密凭证生成密钥的使用期限之后丢弃所述秘密凭证生成密钥。

6.根据权利要求5所述的认证设备，其中，所述秘密凭证生成密钥的使用期限基于从特定事件开始所经过的时间，并且所述认证设备还适于在经过预定的时间段之后丢弃所述秘密凭证生成密钥。

7.根据权利要求6所述的认证设备，其中，所述特定事件是所述秘密凭证生成密钥何时由所述认证设备导出。

8.根据权利要求5所述的认证设备，其中，所述秘密凭证生成密钥的使用期限基于从所述秘密凭证生成密钥的当前值被所述认证设备导出开始所述秘密凭证生成密钥的当前值已经被用于生成动态凭证的次数。

9.根据权利要求8所述的认证设备，还适于在所述认证设备获得所述秘密凭证生成密钥的当前值之后对所述认证设备已使用所述秘密凭证生成密钥的次数进行计数，并且当该次数超出某一固定阈值时丢弃该当前值。

10.根据权利要求9所述的认证设备，还适于在所述秘密凭证生成密钥为生成动态凭证而被使用一次之后丢弃所述秘密凭证生成密钥。

11.根据权利要求5所述的认证设备，其中，鉴于某些事件来限定所述秘密凭证生成密钥的使用期限。

12.根据权利要求11所述的认证设备，还适于要求提供所述安全设备以生成动态凭证，并且当移除所述安全设备时丢弃所述秘密凭证生成密钥。

13.根据权利要求5所述的认证设备，其中，丢弃所述秘密凭证生成密钥包括：从所述存储器部件擦除所述秘密凭证生成密钥的值。

14.根据权利要求5所述的认证设备，还适于在所述秘密凭证生成密钥被丢弃之后再生所述秘密凭证生成密钥的值。

15.根据权利要求14所述的认证设备，还适于在所述存储器部件中存储与所述秘密凭证生成密钥关联的包括第一再生值的数据集合；以及

其中，所述认证设备再生所述秘密凭证生成密钥的值包括：

所述认证设备向所述用户的安全设备提交所述第一再生值，以使所述用户的安全设备使用存储在所述用户的安全设备中的第二公共/私人密钥对的第二私人密钥利用非对称加密算法来处理所述第一再生值；

从所述用户的安全设备接收由所述用户的安全设备使用所述第二私人密钥对所述第一再生值进行所述处理的所得值；以及

根据所述第一所得值来导出所述秘密凭证生成密钥的值。