[发明专利]用于安全密码生成的系统、方法和存储介质

说明书

本发明的实施例介绍了用于由用户装置安全地生成密码并由服务器计算机校验该密码的高效方法。在一些实施例中，借助用户装置提供密码而无需用户装置永久性存储用来生成该密码的加密密钥或其它敏感数据，可以执行安全通信。例如，用户装置和服务器计算机能够相互认证并建立共享秘密。使用共享秘密，服务器计算机能够导出会话密钥，并向用户装置传送使用会话密钥加密的密钥导出参数。用户装置还能够使用共享秘密导出会话密钥，解密加密的密钥导出参数并存储密钥导出参数。密钥导出参数和共享秘密可以用来生成单次使用密码密钥。密码密钥可以用来生成密码以用于执行安全通信。

相关申请交叉引用

本申请是2014年8月29日提交的美国临时申请62/044,172(律师案号：79900-914352-1068US01)的非临时申请并要求其优先权。上述申请的全部内容出于所有目的通过引用被全部并入本文中。

背景技术

随着用户装置，诸如实现NFC的移动电话和非接触卡的普及程度继续增加，维持支付和其它交易的安全性继续是一个关注问题。例如，为了执行支付交易，通常需要认证用户装置。用于认证用户装置的一种方法是通过使用由装置生成的密码。密码可以是加密的数据元素，其能够被可信实体，诸如支付网络或对交易(例如访问文件或建筑物)授权的其它实体校验真实性。然而，攻击者可能尝试窃听交易(例如通过执行中间人攻击)。因此，攻击者可能尝试拦截由用户发送的密码。如果确定，密码可能被用于非法目的。

进一步使问题复杂化的是用户装置本身的安全性。在一些情况下，用户装置可能是泄密的或另外不可信，使得不建议在装置上存储永久性安全凭证，诸如静态密码生成密钥。在这些情况下执行安全交易可能提出挑战。

本发明的实施例单独和一起解决了这些和其它问题。

发明内容

本发明的实施例涉及用于安全地生成密码的系统和方法。在一些实施例中，本文中描述的密码生成方法的实现可能对没有安全元件或针对秘密的特定硬件保护的装置是唯一的或具有有限范围。对于特定的被保护值，被相同地配置的装置和不具有保护秘密的硬件的装置都受到较高威胁。在一些实施例中，用户装置可以被配置成确定包括临时公钥和临时私钥的临时密钥对，使用临时私钥和静态服务器计算机公钥生成第一共享秘密，使用第一共享秘密加密请求数据以获得加密的请求数据，并向服务器计算机发送包括加密的请求数据和临时公钥的储备请求消息。

服务器计算机可以被配置成从用户装置接收包括加密的请求数据和临时公钥的储备请求消息，使用临时公钥和静态服务器计算机私钥生成第一共享秘密，使用第一共享秘密解密加密的请求数据以获得请求数据，使用盲化(blinded)静态服务器计算机私钥和临时公钥生成第二共享秘密，使用第二共享秘密加密凭证，以确定加密的响应数据，并向用户装置发送储备响应消息，储备响应消息包括加密的响应数据和盲化静态服务器计算机公钥。在一些实施例中，静态服务器计算机私钥不被盲化。实际上，可以使用静态服务器计算机私钥和盲化临时公钥生成第二共享秘密。

用户装置可以被配置成从服务器计算机接收包括凭证和盲化静态服务器计算机公钥的储备响应消息，使用临时私钥和盲化静态服务器计算机公钥确定第二共享秘密，并使用第二共享秘密解密加密的凭证，以确定凭证。在一些实施例中，可以使用从第二共享秘密导出的第二会话密钥加密或解密凭证。

有效载荷数据或凭证可以包括密钥导出参数，该密钥导出参数可以或可以不包括有限使用密钥(LUK)。密钥导出参数(其可以或可以不包括LUK)可以用来导出密码密钥，密码密钥可以用来生成用于执行交易的密码。

有效载荷数据或凭证还可以包括可以由用户装置使用的以基于之前的共享秘密生成更新的共享秘密的更新参数。在一些实施例中，密钥导出参数可以基本上与更新参数相同。在一些其它的实施例中，密钥导出参数可以与更新参数不同。密钥导出参数和/或更新参数可以对每个用户装置或每个用户装置组是唯一的，以便防止大量的离线攻击。