提供了一種數據安全系統。數據安全系統至少包括經由數據通信設置相互聯接的第一方和第二方，其中數據通信設置可操作為提供用戶認證和/或用戶登錄。第一方和第二方被提供數字密鑰代碼列表的相同或相互兼容的副本，數字密鑰代碼列表包括密鑰和引用密鑰的索引。第一方可操作為向第二方傳遞認證消息，認證消息包括要導出的密鑰的索引、導出密鑰的數字密鑰代碼列表的唯一標識符(ID)、以及指示下列中至少一個的附加信息：與第一方相關聯的唯一用戶ID、先前從第二方接收的會話令牌、嘗試用戶認證和/或用戶登錄的日期和時間。附加信息以加密形式提供。第一方和第二方可操作為使得：當在二者間執行數據通信以提供用戶認證和/或用戶登錄時使用密鑰，密鑰是基于包括在認證消息中的索引從數字密鑰代碼列表導出的；以及在使用后處置密鑰，其中密鑰設置為在第一方和第二方之間僅能夠使用一次。

技術領域

本公開涉及數據安全系統。此外，本公開還涉及操作前述數據安全系統的方法。此外，本公開還涉及計算機程序產品，該計算機程序產品包括其上存儲有計算機可讀指令的非暫時性計算機可讀存儲介質，計算機可讀指令可由計算機化設備執行，計算機化設備包括用于執行前述方法的處理硬件。

背景技術

在數字計算機和信息系統被發明之前幾個世紀之久，密碼已經被用來增強安全性。例如，在羅馬時代信使之間使用預先商定的密碼用于身份驗證；在戰場上口令被用以驗證接近崗哨的人是友軍而非敵人。當代信息社會嚴重依賴于密碼的使用，例如用于登錄(即，驗證)計算機、登錄智能電話、啟動電視、訪問支付終端、將數據輸入自助服務自動售貨機等等。此外，密碼同時也在許多不同的社會服務和社交媒體服務、在線銀行、操作系統、電子郵件服務器中被用于驗證用戶的真實性。

為了提高當代數字信息系統的安全性，傳統的做法是采用多種不同的安全方法，例如：

(i)基本訪問認證(Basic Auth，參見參考文獻[1])；

(ii)摘要訪問認證(參見參考文獻[2])；

(iii)Kerberos協議(參見參考文獻[3])；

(iv)NT局域網管理器(參見參考文獻[4])；

(v)開放授權(參見參考文獻[5])；

(vi)開放ID(參見參考文獻[6])；

(vii)簡單和受保護的GSSAPI協商機制(SPNEGO，參見參考文獻[7])；

(viii)安全遠程密碼協議(SRP，參見參考文獻[8])；

(ix)傳輸層安全(TLS)客戶端認證握手(參見參考文獻[9])，

等等。上述(i)至(ix)項中包括商標。

當前幾乎所有基于密碼的保護方法都存在已知的技術缺陷。然而，由于各種信息的泄露、針對大型數據服務供應商的數據的安全漏洞和披露，信息安全技術近年來取得了相當大的進展。在實踐中，這些漏洞、泄漏和披露已迫使信息安全專家設計新型的安全方法。

眾所周知，使用密碼是必要的，但是這在依賴于信息系統的現代社會中會引起各種問題。無論采用何種類型的信息系統或何種類型的數據安全配置，這些信息系統的用戶最終都會因為他們的不了解或不重視而造成在數據安全和信息安全上的漏洞。幾乎每天都會有關于用戶賬戶受損、密碼泄露、各類以返回從受損的用戶賬戶中竊取的個人私人信息來敲詐金錢的惡意軟件等等新聞發布。

目前已知的用戶認證技術是基于使用加密數據通信連接將用戶標識和/或密碼傳送到服務供應商的服務器或終端設備，其中安全性主要基于可信方提供的證書。當下眾所周知的是，加密連接無法保證用戶至關重要的登錄(即，驗證)信息在未加密狀態下不被惡意未授權方獲取；只要傳送鏈中的一個薄弱環節就可能足以將重要登錄信息泄露給惡意未授權方。