技術(shù)領(lǐng)域

本發(fā)明涉及安全令牌。本發(fā)明還涉及服務(wù)訪問系統(tǒng)。

背景技術(shù)

安全令牌也被稱為硬件令牌，認(rèn)證令牌，USB令牌，加密令牌，或密鑰卡，安全令牌是物理設(shè)備，安全令牌方便遠(yuǎn)程訪問例如“云”中的計算服務(wù)，并且提高(遠(yuǎn)程)認(rèn)證的安全性。安全令牌可以在顯示器上或者通過USB提供登錄碼，安全令牌的所有者可以使用該登錄碼登錄到特定的計算服務(wù)中。這種認(rèn)證類型被稱為雙重認(rèn)證，因為除了正常的用戶帳戶信息以外，用戶還需要安全令牌。

安全令牌通常與臺式PC或膝上型電腦關(guān)聯(lián)使用，以訪問計算服務(wù)或網(wǎng)絡(luò)或在線銀行帳戶。近年來，越來越多的基于云的用戶服務(wù)已經(jīng)開始提供雙重認(rèn)證。具體例子包括Google，Amazon Web服務(wù)，Dropbox，Wordpress，DreamHost，Drupal和Lastpass。

由比較先進(jìn)的安全令牌產(chǎn)生的登錄碼通常是基于當(dāng)前的時間的。因此，為了計時，安全令牌包括時鐘和電池。為了提高認(rèn)證處理的安全性，希望(后端的)計算服務(wù)和安全令牌之間直接連接，以便例如能夠通過與后端進(jìn)行加密的安全詢問-響應(yīng)協(xié)議來進(jìn)行認(rèn)證。OATH標(biāo)準(zhǔn)規(guī)定了一組公用的認(rèn)證協(xié)議規(guī)范，該規(guī)范包括基于時間的認(rèn)證機(jī)制和基于詢問-響應(yīng)的認(rèn)證機(jī)制。

目前，通常是通過將安全令牌插入到PC中或者是連接到PC上來實現(xiàn)安全令牌和后端服務(wù)器之間的直接連接，安全令牌的形式例如是智能卡、USB安全裝置或藍(lán)牙令牌，用戶訪問PC上的服務(wù)。詢問-響應(yīng)協(xié)議省去了對時鐘的需要，因此對于智能卡或USB安全裝置的情況，就省去了對電池的需要。在實踐中，系統(tǒng)有時結(jié)合基于時間的認(rèn)證和基于詢問-響應(yīng)的認(rèn)證。例如，在線銀行基于時間的認(rèn)證被用于獲得對交易記錄的讀取訪問權(quán)限，而基于詢問-響應(yīng)的認(rèn)證被用于進(jìn)入交易。

越來越多的計算機(jī)用戶使用移動設(shè)備諸如移動電話和平板電腦(例如iPad)來訪問這樣的云及其他計算服務(wù)。移動設(shè)備通常沒有智能卡槽，經(jīng)常不具有USB-主機(jī)能力。在這樣的設(shè)備上經(jīng)常有藍(lán)牙功能，但是通常只支持特定種類的設(shè)備，諸如音頻耳機(jī)或鍵盤和鼠標(biāo)。通常，對其他種類的藍(lán)牙設(shè)備諸如藍(lán)牙安全令牌，安裝另外的支持經(jīng)常是很不容易的(或者對于一些移動平臺甚至是不可能的)。對于移動設(shè)備存在替代方案，例如利用標(biāo)準(zhǔn)的音頻插孔用于輸入。

對于移動設(shè)備諸如智能電話來說，另一種方法是在移動設(shè)備上實現(xiàn)軟件形式的安全令牌：“app(應(yīng)用程序)”，即計算機(jī)軟件，起到獨立的安全令牌的作用。用戶可以將在自己的移動設(shè)備上顯示的登錄碼輸入到自己的膝上型電腦或計算機(jī)中。作為替代方案，如果在移動設(shè)備上訪問計算服務(wù)，則可以將登錄碼從安全令牌應(yīng)用程序拷貝到剪貼板，然后再粘貼到應(yīng)用程序的顯示計算服務(wù)的登錄屏幕的所需字段中(例如在web瀏覽器中)。這種應(yīng)用程序的已知例子是Google的認(rèn)證應(yīng)用程序，該應(yīng)用程序可用于許多移動平臺。然而，這種方法最大的缺點是存在安全隱患：移動設(shè)備是具有復(fù)雜操作系統(tǒng)的開放系統(tǒng)，運行有許多不同的軟件程序并且總是連接到因特網(wǎng)。這與移動設(shè)備自身需要是經(jīng)過認(rèn)證的這一要求背道而馳，因為移動設(shè)備自身是不能被信任的。

現(xiàn)在，越來越多的移動設(shè)備還有PC和膝上型電腦都配備有NFC(近場通信)接口。在這樣的設(shè)備中的移動操作系統(tǒng)(例如安卓和黑莓操作系統(tǒng))具有特定的支持用于處理NFC連接，以使其對于消費者來說比較容易和直觀(例如不需要用戶干預(yù)就能自動發(fā)送NDEF消息以啟動正確的應(yīng)用)。因此，為安全令牌配備NFC兼容接口具有很多意義，特別是如果可以利用移動設(shè)備內(nèi)置的對NFC的支持的話，對于消費者來說，可以更容易和更方便地使用安全令牌。

最近，Yubico(http://www.yubico.com/)公司宣布了這樣的支持NFC的安全令牌。該產(chǎn)品增強(qiáng)了該公司現(xiàn)有的基于USB的產(chǎn)品。該產(chǎn)品的USB版本僅僅起到自動鍵盤的作用，為用戶填寫認(rèn)證碼(即省去了需要用戶從安全令牌上的顯示器拷貝認(rèn)證碼)。該產(chǎn)品的NFC版本是類似的：提供登錄碼作為設(shè)備上的NDEF消息中存儲的URL的一部分。支持NFC的移動設(shè)備自動讀取出該NDEF消息并且啟動適當(dāng)?shù)膽?yīng)用程序。所以，用戶不用拷貝登錄碼，登錄碼是自動填入的，就像該產(chǎn)品的USB版本那樣。

通常，支持NFC的安全令牌有許多與安全性、易用性和多應(yīng)用支持性有關(guān)的缺點。

安全性