專利名稱:一種強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法及其認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種動(dòng)態(tài)密碼的認(rèn)證方法及其認(rèn)證系統(tǒng),尤其涉及一種強(qiáng)制雙向動(dòng)態(tài)密碼 的認(rèn)證方法及其認(rèn)證系統(tǒng)���。
背景技術(shù):
隨著電子商務(wù)�����、企業(yè)信息化的發(fā)展,越來越多的商業(yè)活動(dòng)在通過包括網(wǎng)絡(luò)��、電話���、自 助終端等電子化系統(tǒng)中進(jìn)行�,客戶賬戶的安全成為一個(gè)重要的問題。而單一依靠靜態(tài)密碼 進(jìn)行交易的身份確認(rèn)方式�����,存在嚴(yán)重的被竊取�、猜測(cè)破解等安全問題。電子令牌�����,即動(dòng)態(tài) 密碼發(fā)生器����,能夠較好地解決上述問題,并在電子商務(wù)等方面有著越來越多的應(yīng)用����。動(dòng)態(tài) 密碼發(fā)生器,內(nèi)部固化有唯一的用戶信息���,可通過加密算法計(jì)算并產(chǎn)生動(dòng)態(tài)變化的密碼����。 將該密碼送到相應(yīng)的認(rèn)證系統(tǒng)進(jìn)行識(shí)別�����,通過相應(yīng)的算法核對(duì),即可以識(shí)別出該密碼是否 符合對(duì)應(yīng)的客戶身份�。目前巿面上多數(shù)的動(dòng)態(tài)密碼發(fā)生器產(chǎn)品,采用基于時(shí)間的動(dòng)態(tài)密碼 技術(shù)����。由于動(dòng)態(tài)密碼隨時(shí)間變化生成,因此每次產(chǎn)生的密碼都不相同�,且每次產(chǎn)生的密碼 也只能在一定的時(shí)間范圍內(nèi)有效,并限定一次性使用���,所以對(duì)于密碼猜測(cè)���、密碼窺探等安 全隱患有較好的防范作用。
現(xiàn)在產(chǎn)生以及驗(yàn)證密碼使用不同的加密算法的密匙���、算法和參數(shù)可以產(chǎn)生不同的密 碼��。但是,目前的動(dòng)態(tài)密碼發(fā)生器產(chǎn)品�����,在認(rèn)證模式上存在一定的缺陷。多數(shù)密碼器產(chǎn)品����, 釆用單向認(rèn)證模式,即由動(dòng)態(tài)密碼器根據(jù)同步機(jī)制產(chǎn)生當(dāng)前密碼����,然后用戶直接把密碼反 饋回服務(wù)器。這種單向模式缺乏對(duì)服務(wù)端真?zhèn)涡缘挠行цb別能力�,難以防止偽造網(wǎng)站等服 務(wù)端盜取用戶當(dāng)前密碼的釣魚攻擊。"網(wǎng)絡(luò)釣魚"攻擊利用欺騙性的電子郵件和偽造的Web 站點(diǎn)等來進(jìn)行詐騙活動(dòng)���,詐騙者通常會(huì)將自己偽裝成知名銀行�、在線零售商和信用卡公司 等可信的品牌�,受騙者往往會(huì)以為登錄的是正式的網(wǎng)站,而進(jìn)行賬戶密碼的登錄��,從而被 這些網(wǎng)站竊取了自己的財(cái)務(wù)數(shù)據(jù)����,如信用卡號(hào)、賬戶用戶名���、口令等內(nèi)容���。
雖然動(dòng)態(tài)密碼有一定的時(shí)效性����,每個(gè)密碼只能使用一次�����。目前的動(dòng)態(tài)密碼器的密碼變 化一般為一分鐘一次�����,每個(gè)密碼的有效期在分鐘級(jí)別��,完全可以被偽裝的釣魚網(wǎng)站竊取密 碼�,然后用竊取到的密碼登錄保護(hù)的系統(tǒng)竊取用戶信息。還有一種常用的認(rèn)證模式�,即從服務(wù)器上獲取隨機(jī)應(yīng)答碼,進(jìn)行異步生成密碼方式來 增加對(duì)服務(wù)器的驗(yàn)證��。該模式并沒有對(duì)附加碼進(jìn)行合法性校驗(yàn)�,也依然存在安全風(fēng)險(xiǎn)。
目前巿面上的動(dòng)態(tài)密碼發(fā)生器產(chǎn)品���,在使用設(shè)計(jì)�、結(jié)構(gòu)設(shè)計(jì)以及多系統(tǒng)共用等方面都 存在一定不足和缺陷���。比如�����,密碼器采用隨機(jī)應(yīng)答碼模式進(jìn)行認(rèn)證時(shí)��,對(duì)密碼器本身結(jié)構(gòu) 的設(shè)計(jì)����,會(huì)要求有足夠按鍵完成簡(jiǎn)單�����、方便�、快速的輸入搡作,要求密碼器有足夠的大小 以容納按鍵�,而這點(diǎn)往往與密碼器屬于便攜式安全產(chǎn)品要求外觀小巧的屬性相沖突。動(dòng)態(tài) 密碼發(fā)生器中的算法和參數(shù)����,基于安全要求絕對(duì)不能被其他應(yīng)用系統(tǒng)獲知和使用,在應(yīng)用 表現(xiàn)上就是每個(gè)應(yīng)用系統(tǒng)都要有自己的認(rèn)證服務(wù)器����,應(yīng)用內(nèi)的密碼器參數(shù)只允許安全存儲(chǔ) 在自己的動(dòng)態(tài)密碼認(rèn)證系統(tǒng)中�。
在這種應(yīng)用安全要求下���,如果用戶使用的多個(gè)應(yīng)用系統(tǒng)都要求使用密碼器��,那么用戶 就要申請(qǐng)���、擁有和攜帶多個(gè)對(duì)應(yīng)的密碼器了。但如果要求用戶攜帶多個(gè)密碼器���,不但攜帶 不方便����,還可能會(huì)把密碼器和應(yīng)用系統(tǒng)的對(duì)應(yīng)關(guān)系弄錯(cuò)����,在使用上造成不便和混亂。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題�,設(shè)計(jì)一種動(dòng)態(tài)密碼的認(rèn)證方法及其認(rèn)證系統(tǒng),首先要能夠 有效的防止釣魚軟件等間諜軟件竊取用戶的動(dòng)態(tài)密碼�,其次能夠讓單個(gè)的用戶密碼發(fā)生器 能夠簡(jiǎn)便有效的對(duì)應(yīng)多個(gè)服務(wù)器進(jìn)行應(yīng)用。
為了解決上述技術(shù)問題��,本發(fā)明提供一種強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法,該方法基于 一種強(qiáng)制雙向動(dòng)態(tài)密碼認(rèn)證系統(tǒng)��,該動(dòng)態(tài)密碼認(rèn)證系統(tǒng)包括至少 一個(gè)認(rèn)證系統(tǒng)服務(wù)器和至 少一個(gè)用戶密碼發(fā)生器����,其特征在于���,所述認(rèn)證方法包括以下步驟A:
向所述認(rèn)證系統(tǒng)服務(wù)器發(fā)出認(rèn)證請(qǐng)求�����,則所述認(rèn)證系統(tǒng)服務(wù)器產(chǎn)生包含服務(wù)器身份信 息的服務(wù)器動(dòng)態(tài)附加碼�����;
所述用戶密碼發(fā)生器根據(jù)服務(wù)器動(dòng)態(tài)附加碼判定該認(rèn)證系統(tǒng)服務(wù)器的身份����,然后按照 該認(rèn)證系統(tǒng)服務(wù)器所對(duì)應(yīng)的加密算法產(chǎn)生包含有用戶身份信息的動(dòng)態(tài)用戶密碼��;
送入該動(dòng)態(tài)用戶密碼到該認(rèn)證系統(tǒng)服務(wù)器��,該認(rèn)證系統(tǒng)服務(wù)器驗(yàn)證該動(dòng)態(tài)用戶密碼判 定所述用戶密碼發(fā)生器的身份��。
通過上述技術(shù)方案,本發(fā)明的動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)在進(jìn)行應(yīng)用之前��,將強(qiáng)行命令用戶 密碼發(fā)生器對(duì)認(rèn)證系統(tǒng)服務(wù)器進(jìn)行確認(rèn)���,有效的防止了釣魚軟件等間諜軟件對(duì)動(dòng)態(tài)用戶密 碼進(jìn)行竊取��。
作為上述方法的一個(gè)實(shí)施例�����,所述強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)包括兩個(gè)或兩個(gè)以上的認(rèn)證系統(tǒng)服務(wù)器�����;
所述用戶密碼發(fā)生器儲(chǔ)存有全部認(rèn)證系統(tǒng)服務(wù)器的服務(wù)器身份信息��;所述認(rèn)證系統(tǒng)服 務(wù)器儲(chǔ)存有與其有聯(lián)系的全部用戶密碼發(fā)生器的用戶身份信息�����。
通過上述技術(shù)方案���,當(dāng)用戶輸入服務(wù)器動(dòng)態(tài)附加碼到用戶密碼發(fā)生器后,用戶密碼發(fā) 生器能夠自動(dòng)判定該服務(wù)器動(dòng)態(tài)附加碼所對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù)器,這樣單個(gè)的用戶密碼發(fā) 生器可以根據(jù)所確認(rèn)的不同的認(rèn)證系統(tǒng)服務(wù)器來產(chǎn)生相應(yīng)的動(dòng)態(tài)用戶密碼�,以實(shí)現(xiàn)單個(gè)用 戶密碼發(fā)生器支持多個(gè)不同的認(rèn)證系統(tǒng)服務(wù)器。
上述方案的另一個(gè)實(shí)施例為����,所述用戶密碼發(fā)生器在與不同的所述認(rèn)證系統(tǒng)服務(wù)器相 互驗(yàn)證時(shí),采用的是不同的加密算法的密匙�����、算法和參數(shù)來分別產(chǎn)生所述動(dòng)態(tài)用戶密碼���。
所述用戶密碼發(fā)生器把所述服務(wù)器身份信息與該服務(wù)器身份信息對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù) 器的加密算法的密匙、算法和參數(shù)成組存儲(chǔ)在一起�;所述用戶密碼發(fā)生器比對(duì)所述服務(wù)器 動(dòng)態(tài)附加碼所包含的服務(wù)器身份信息,釆用與該服務(wù)器身份信息相應(yīng)的加密算法的密匙��、 算法和參數(shù)產(chǎn)生動(dòng)態(tài)用戶密碼�����;
所述認(rèn)證系統(tǒng)服務(wù)器釆用該用戶密碼發(fā)生器對(duì)應(yīng)的加密算法的密匙���、算法和參數(shù)驗(yàn)證 該動(dòng)態(tài)用戶密碼���。
上述方案的另一個(gè)實(shí)施例為�����,為了增強(qiáng)所述用戶密碼發(fā)生器的安全性�����,對(duì)應(yīng)每個(gè)所述 認(rèn)證系統(tǒng)服務(wù)器����,所述用戶密碼發(fā)生器包含有一個(gè)啟動(dòng)密匙��,在所述的步驟A或初始化啟 用之前����,有如下步驟
輸入一個(gè)啟動(dòng)密匙到所述用戶密碼發(fā)生器,所述用戶密碼發(fā)生器對(duì)該啟動(dòng)密匙進(jìn)行核 對(duì)�����,如果通過核對(duì)����,則進(jìn)行所述步驟A;否則�����,結(jié)東��。
本發(fā)明還設(shè)計(jì)一種強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)�����,包括至少一個(gè)認(rèn)證系統(tǒng)服務(wù)器�, 和至少一個(gè)用戶密碼發(fā)生器���;
所述認(rèn)證系統(tǒng)服務(wù)器包括系統(tǒng)接口、動(dòng)態(tài)附加碼產(chǎn)生模塊����、認(rèn)證模塊、密碼發(fā)生模 塊���、用于為所述密碼發(fā)生模塊提供時(shí)間數(shù)據(jù)的系統(tǒng)時(shí)鐘���、存儲(chǔ)有所有用戶的用戶信息及加 密算法的系統(tǒng)數(shù)據(jù)庫;
所述動(dòng)態(tài)附加碼產(chǎn)生模塊用于接收所述系統(tǒng)接口的服務(wù)器動(dòng)態(tài)附加碼認(rèn)證請(qǐng)求�,并命 令所述密碼發(fā)生模塊生成服務(wù)器動(dòng)態(tài)附加碼,將該服務(wù)器動(dòng)態(tài)附加碼經(jīng)由所述系統(tǒng)接口輸出;所述認(rèn)證模塊用于接收所述系統(tǒng)接口的動(dòng)態(tài)用戶密碼�,結(jié)合所述密碼發(fā)生模塊生成的 動(dòng)態(tài)用戶密碼,進(jìn)行比對(duì)后確認(rèn)該動(dòng)態(tài)用戶密碼驗(yàn)證請(qǐng)求對(duì)應(yīng)的用戶密碼發(fā)生器的身份����, 將認(rèn)證結(jié)果經(jīng)由所述系統(tǒng)接口輸出;所述密碼發(fā)生模塊為一個(gè)計(jì)算處理單元��,用于結(jié)合所 述系統(tǒng)數(shù)據(jù)庫的加密算法信息和所述系統(tǒng)時(shí)鐘的時(shí)間信息���,生成服務(wù)器動(dòng)態(tài)附加碼和動(dòng)態(tài) 用戶密碼�����。
所述用戶密碼發(fā)生器包括用于顯示輸出的顯示模塊����、用于輸入數(shù)據(jù)的輸入模塊���、動(dòng) 態(tài)附加碼驗(yàn)證模塊�����、動(dòng)態(tài)密碼產(chǎn)生模塊��、密碼模塊��、用于為所述密碼模塊提供時(shí)間數(shù)據(jù)的 時(shí)鐘����、用于存儲(chǔ)特定服務(wù)器身份信息及加密算法的身份碼寄存器;
經(jīng)由所述輸入模塊輸入的服務(wù)器動(dòng)態(tài)附加碼��,進(jìn)入所述動(dòng)態(tài)附加碼驗(yàn)證模塊���,由所述 動(dòng)態(tài)附加碼驗(yàn)證模塊結(jié)合所述密碼模塊生成的服務(wù)器動(dòng)態(tài)附加碼����,進(jìn)行比對(duì)后確認(rèn)該驗(yàn)證 請(qǐng)求所對(duì)應(yīng)的服務(wù)器的身份信息��,將確認(rèn)后的服務(wù)器身份信息輸出給所述動(dòng)態(tài)密碼產(chǎn)生模 塊�、或經(jīng)由所述顯示模塊顯示輸出��;所述動(dòng)態(tài)密碼產(chǎn)生模塊用于接收所述動(dòng)態(tài)附加碼驗(yàn)證 模塊輸出的服務(wù)器身份信息�,并命令所述密碼模塊生成動(dòng)態(tài)用戶密碼,將該動(dòng)態(tài)用戶密碼 經(jīng)由所述顯示模塊顯示輸出�����;所述密碼模塊為一個(gè)計(jì)算處理單元,用于結(jié)合所述身份碼寄 存器的加密算法信息和所述時(shí)鐘的時(shí)間信息��,生成服務(wù)器動(dòng)態(tài)附加碼和動(dòng)態(tài)用戶密碼�����。
采用上述技術(shù)方案�����,認(rèn)證系統(tǒng)服務(wù)器的所述密碼發(fā)生模塊不與系統(tǒng)接口發(fā)生任何聯(lián) 系����,負(fù)責(zé)產(chǎn)生密碼,而對(duì)數(shù)據(jù)進(jìn)行比對(duì)則是所述認(rèn)證模塊的功能����。用戶密碼發(fā)生器的密碼 模塊負(fù)責(zé)產(chǎn)生密碼,附加碼驗(yàn)證模塊對(duì)數(shù)據(jù)進(jìn)行比對(duì)�。
所述動(dòng)態(tài)附加碼驗(yàn)證模塊對(duì)所述輸入模塊的輸入,進(jìn)行驗(yàn)證比對(duì)��,如果該動(dòng)態(tài)附加碼 能找到相應(yīng)的服務(wù)器身份信息����,則所述動(dòng)態(tài)密碼產(chǎn)生模塊命令所述密碼模塊調(diào)用所述身份 碼寄存器和時(shí)鐘的數(shù)據(jù)���,產(chǎn)生動(dòng)態(tài)用戶密碼,并由所述顯示模塊輸出�����。當(dāng)該動(dòng)態(tài)附加碼不 能找到相應(yīng)的服務(wù)器身份信息�����,則所述動(dòng)態(tài)附加碼驗(yàn)證模塊向所述顯示模塊輸出錯(cuò)誤信 息�。
該強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)能夠讓用戶密碼發(fā)生器在進(jìn)行應(yīng)用之前將強(qiáng)行對(duì)認(rèn) 證系統(tǒng)服務(wù)器進(jìn)行確認(rèn),有效的防止了釣魚軟件等間諜軟件對(duì)動(dòng)態(tài)用戶密碼進(jìn)行盜竊����。
作為本發(fā)明的更具體的實(shí)施例,所述強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)��,包括兩個(gè)或者兩 個(gè)以上的認(rèn)證系統(tǒng)服務(wù)器��;
所述身份碼寄存器把所述認(rèn)證系統(tǒng)服務(wù)器的服務(wù)器身份信息與該服務(wù)器身份信息對(duì) 應(yīng)的認(rèn)證系統(tǒng)服務(wù)器的加密算法的密匙�、算法和參數(shù)成組存儲(chǔ)在一起����;不同的服務(wù)器身份信息和與其對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù)器的加密算法的密匙���、算法和參數(shù)
之間被相互隔離儲(chǔ)存;
當(dāng)確認(rèn)所述服務(wù)器動(dòng)態(tài)附加碼所對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù)器后����,所述密碼模塊釆用與該認(rèn) 證系統(tǒng)服務(wù)器所對(duì)應(yīng)的加密算法的密匙、算法和參數(shù)���,結(jié)合所述用戶信息和時(shí)間數(shù)據(jù)產(chǎn)生 用戶動(dòng)態(tài)密碼���。
通過上述技術(shù)方案,當(dāng)用戶輸入服務(wù)器動(dòng)態(tài)附加碼到用戶密碼發(fā)生器后�,用戶密碼發(fā) 生器能夠自動(dòng)判定該服務(wù)器動(dòng)態(tài)附加碼所對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù)器,這樣單個(gè)的用戶密碼發(fā) 生器可以根據(jù)所確認(rèn)的不同的認(rèn)證系統(tǒng)服務(wù)器來產(chǎn)生相應(yīng)的動(dòng)態(tài)用戶密碼���,以實(shí)現(xiàn)單個(gè)用 戶密碼發(fā)生器支持多個(gè)不同的認(rèn)證系統(tǒng)服務(wù)器����。
釆取該方法���,用戶密碼發(fā)生器所對(duì)應(yīng)支持的認(rèn)證系統(tǒng)服務(wù)器數(shù)量�,由該用戶密碼發(fā)生 器的存儲(chǔ)空間所決定���,而且可以方便擴(kuò)展支持新的認(rèn)證系統(tǒng)服務(wù)器�����。在用戶密碼發(fā)生器中�����, 不同的認(rèn)證系統(tǒng)服務(wù)器的服務(wù)器身份信息被加密隔離存儲(chǔ)��。在新增認(rèn)證系統(tǒng)服務(wù)器時(shí)��,只 需要把包括該認(rèn)證系統(tǒng)服務(wù)器的服務(wù)器身份信息��、密匙���、加密算法的參數(shù)和程序等數(shù)據(jù)寫 入到用戶密碼發(fā)生器中即可�����。
同時(shí)��,用戶密碼發(fā)生器的身份碼寄存器中存儲(chǔ)的用戶信息對(duì)于每個(gè)認(rèn)證系統(tǒng)服務(wù)器而 言都是唯一的�。在認(rèn)證動(dòng)態(tài)密碼發(fā)生器受到拆卸的時(shí)候,自動(dòng)銷毀所有身份碼寄存器��,以 保護(hù)密鑰���、算法、參數(shù)設(shè)置等不被泄露����。
為了便于用戶輸入服務(wù)器動(dòng)態(tài)附加碼,所述服務(wù)器動(dòng)態(tài)附加碼為阿拉伯?dāng)?shù)字字符串�;
所述輸入模塊包括用于切換輸入模式和實(shí)現(xiàn)輸入數(shù)據(jù)移位的切換鍵,和用于切換當(dāng) 前輸入數(shù)字的數(shù)字鍵�����。
為了使得本發(fā)明具有擴(kuò)展性���,能支持新加入的認(rèn)證系統(tǒng)服務(wù)器��,所述用戶密碼發(fā)生器 還進(jìn)一步包括用于數(shù)據(jù)交換的數(shù)據(jù)接口���,所述數(shù)據(jù)接口與所述身份碼寄存器連接。
與現(xiàn)有技術(shù)相比本發(fā)明的優(yōu)點(diǎn)在于����,本發(fā)明的強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法及其認(rèn)證 系統(tǒng)更加安全并且易于用戶使用����,首先能夠有效的防止釣魚軟件等間諜軟件竊取用戶的動(dòng) 態(tài)密碼����,其次能夠讓單個(gè)的用戶密碼發(fā)生器能夠簡(jiǎn)便有效的對(duì)應(yīng)多個(gè)服務(wù)器進(jìn)行應(yīng)用,避 免用戶要使用多個(gè)認(rèn)證系統(tǒng)服務(wù)器的時(shí)候要攜帶并選擇多個(gè)密碼發(fā)生器的麻煩���。
圖1為本發(fā)明強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)的認(rèn)證系統(tǒng)服務(wù)器結(jié)構(gòu)示意圖�;圖2為本發(fā)明強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)的用戶密碼發(fā)生器結(jié)構(gòu)示意圖�����; 圖3為本發(fā)明強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法的流程示意圖�����。
具體實(shí)施例方式
以下結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步的說明��。
如圖l所示�����,所述認(rèn)證系統(tǒng)服務(wù)器包括系統(tǒng)接口21、動(dòng)態(tài)附加碼產(chǎn)生模塊22��、認(rèn)證 模塊24�����、密碼發(fā)生模塊23�、用于為所述密碼發(fā)生模塊23提供時(shí)間數(shù)據(jù)的系統(tǒng)時(shí)鐘26���、存 儲(chǔ)有所有用戶的用戶信息及加密算法的系統(tǒng)數(shù)據(jù)庫25���。
動(dòng)態(tài)附加碼產(chǎn)生模塊22,用于接受系統(tǒng)接口 21的認(rèn)證請(qǐng)求并命令密碼發(fā)生模塊23計(jì) 算出認(rèn)證系統(tǒng)服務(wù)器對(duì)于用戶密碼發(fā)生器的服務(wù)器動(dòng)態(tài)附加碼,并通過系統(tǒng)接口 21發(fā)送 該服務(wù)器動(dòng)態(tài)附加碼�。
認(rèn)證模塊24讀取系統(tǒng)接口 21的動(dòng)態(tài)用戶密碼驗(yàn)證請(qǐng)求,命令密碼發(fā)生模塊23根據(jù)請(qǐng) 求驗(yàn)證的密碼發(fā)生器身份信息及加密算法生成動(dòng)態(tài)用戶密碼��,與讀取于系統(tǒng)接口 21的動(dòng) 態(tài)用戶密碼����,進(jìn)行比對(duì)驗(yàn)證,并將驗(yàn)證處理結(jié)果返回系統(tǒng)接口 21輸出�。
密碼發(fā)生模塊23為一個(gè)計(jì)算處理單元,能夠結(jié)合系統(tǒng)時(shí)鐘26輸入的時(shí)間信息和所述 系統(tǒng)數(shù)據(jù)庫25中的加密算法生成服務(wù)器動(dòng)態(tài)附加碼和動(dòng)態(tài)用戶密碼����。
在系統(tǒng)數(shù)據(jù)庫25中所記錄的服務(wù)器身份信息���、所有用戶的用戶信息,以及生成模式參 數(shù)和采用算法進(jìn)行計(jì)算處理產(chǎn)生所需要的數(shù)據(jù)���。
如圖2所示�,所述用戶密碼發(fā)生器包括用于顯示輸出的顯示模塊ll��、用于輸入數(shù)據(jù) 的輸入模塊12��、動(dòng)態(tài)附加碼驗(yàn)證模塊13��、動(dòng)態(tài)密碼產(chǎn)生模塊17����、密碼模塊14、用于為所 述密碼模塊14提供時(shí)間數(shù)據(jù)的時(shí)鐘15����、用于存儲(chǔ)特定服務(wù)器身份信息及加密算法的身份 碼寄存器16。
所述服務(wù)器動(dòng)態(tài)附加碼從所述輸入模塊12輸入到所述動(dòng)態(tài)附加碼驗(yàn)證模塊13����,所述 動(dòng)態(tài)附加碼驗(yàn)證模塊13根據(jù)服務(wù)器動(dòng)態(tài)附加碼中服務(wù)器身份信息����,命令所述密碼模塊14 調(diào)用所述時(shí)鐘15和身份碼寄存器16加密算法信息生成服務(wù)器動(dòng)態(tài)附加碼��,所述動(dòng)態(tài)附加 碼驗(yàn)證模塊13對(duì)兩個(gè)附加碼進(jìn)行比對(duì)來驗(yàn)證服務(wù)器身份�。
所述動(dòng)態(tài)附加碼驗(yàn)證模塊13確定服務(wù)器身份后,由動(dòng)態(tài)密碼產(chǎn)生模塊17調(diào)用所述密 碼模塊14結(jié)合所述時(shí)鐘15和身份碼寄存器16的信息來生成動(dòng)態(tài)用戶密碼���,并把該動(dòng)態(tài)用戶密碼送到所述顯示模塊ll顯示輸出。
在相互匹配的認(rèn)證系統(tǒng)服務(wù)器和用戶密碼發(fā)生器之間�,可以釆用相同的加密算法來產(chǎn) 生服務(wù)器動(dòng)態(tài)附加碼和動(dòng)態(tài)用戶密碼。但是�����,每個(gè)用戶密碼發(fā)生器之間可以采用不同的算 法特征����。
針對(duì)多個(gè)認(rèn)證系統(tǒng)服務(wù)器共用單個(gè)用戶密碼發(fā)生器的要求,本發(fā)明提出了用戶密碼發(fā) 生器的密碼模塊14能同時(shí)支持多個(gè)認(rèn)證系統(tǒng)服務(wù)器的設(shè)計(jì)�,在應(yīng)用時(shí),由輸入模塊12輸 入需強(qiáng)制認(rèn)證的服務(wù)器動(dòng)態(tài)附加碼來確認(rèn)所要使用的認(rèn)證系統(tǒng)服務(wù)器�。
用戶密碼發(fā)生器的身份碼寄存器16包括被分為多個(gè)相互獨(dú)立、安全隔離的寄存器組�, 每組都包含有與該服務(wù)器身份信息相應(yīng)的加密算法的密匙�、算法和參數(shù)��。 一種具體的實(shí)施 方式是�����,每個(gè)寄存器內(nèi)都包括兩種數(shù)據(jù) 一個(gè)為服務(wù)器身份信息�����, 一個(gè)為在與該服務(wù)器身 份信息相對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù)器中該用戶密碼發(fā)生器的用戶信息����。所述不同認(rèn)證系統(tǒng)服務(wù) 器中的相同的用戶密碼發(fā)生器的用戶信息可以相同,也可以不同����。
無論雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)包括一個(gè)還是多個(gè)認(rèn)證系統(tǒng)服務(wù)器,都涉及到用戶密碼 發(fā)生器生產(chǎn)�、分發(fā)、使用的加密信息的安全問題��,還會(huì)涉及生產(chǎn)開發(fā)廠家��、各個(gè)系統(tǒng)使用 者�、用戶方之間的信任和授權(quán)問題����。
各個(gè)系統(tǒng)使用者之間對(duì)用戶密碼發(fā)生器內(nèi)的加密信息的安全隔離問題���,特別是在多認(rèn) 證系統(tǒng)服務(wù)器的使用場(chǎng)景下�,務(wù)必保證不同認(rèn)證系統(tǒng)服務(wù)器之間是不能共用完全的加密信 息的��。因此����,需要把不同認(rèn)證系統(tǒng)服務(wù)器之間不同的加密信息隔離開來,并且在啟用時(shí)需 要經(jīng)過多方的有效授權(quán)����。
生產(chǎn)用戶密碼發(fā)生器時(shí)���,在用戶密碼發(fā)生器內(nèi)植入針對(duì)不同的認(rèn)證系統(tǒng)服務(wù)器的加密 算法信息����。分發(fā)用戶密碼發(fā)生器時(shí)��,生產(chǎn)廠家把每個(gè)認(rèn)證系統(tǒng)服務(wù)器所特有的唯一的一套 加密信息分發(fā)給認(rèn)證系統(tǒng)的使用者���,系統(tǒng)使用者所獲取加密信息僅針對(duì)于其擁有的認(rèn)證系 統(tǒng)服務(wù)器及用戶密碼發(fā)生器�。
如圖3所示,用戶密碼發(fā)生器端產(chǎn)生一個(gè)進(jìn)入認(rèn)證系統(tǒng)服務(wù)器的認(rèn)證請(qǐng)求����,認(rèn)證系統(tǒng) 服務(wù)器根據(jù)輸入的認(rèn)證請(qǐng)求判斷用戶密碼發(fā)生器的標(biāo)識(shí),然后根據(jù)相應(yīng)的加密算法生成一 個(gè)服務(wù)器動(dòng)態(tài)附加碼���。所述服務(wù)器動(dòng)態(tài)附加碼中包含有所述認(rèn)證系統(tǒng)服務(wù)器的服務(wù)器身份 信息����,并且有一定的時(shí)效�����。
服務(wù)器動(dòng)態(tài)附加碼前兩位可以設(shè)定為不同的認(rèn)證系統(tǒng)服務(wù)器的代號(hào)���,可以根據(jù)動(dòng)態(tài)附 加碼識(shí)別出認(rèn)證出不同的認(rèn)證系統(tǒng)服務(wù)器�。輸入該服務(wù)器動(dòng)態(tài)附加碼到所述用戶密碼發(fā)生器�����,所述用戶密碼發(fā)生器對(duì)該服務(wù)器動(dòng)態(tài)附加碼進(jìn)行認(rèn)證,讀出服務(wù)器身份信息進(jìn)行計(jì)算 比對(duì)��,以確認(rèn)所述認(rèn)證系統(tǒng)服務(wù)器的身份����。
當(dāng)所述用戶密碼發(fā)生器確認(rèn)了所述認(rèn)證系統(tǒng)服務(wù)器時(shí)候,并以與該認(rèn)證系統(tǒng)服務(wù)器相 應(yīng)的加密算法生成動(dòng)態(tài)用戶密碼��。所述動(dòng)態(tài)用戶密碼中包含有用戶信息�,并且有一定的時(shí) 效。如果所述用戶密碼發(fā)生器無法確認(rèn)該服務(wù)器動(dòng)態(tài)附加碼�,則提示用戶相應(yīng)的錯(cuò)誤信息。
輸入該動(dòng)態(tài)用戶密碼到所述認(rèn)證系統(tǒng)服務(wù)器���,所述認(rèn)證系統(tǒng)服務(wù)器對(duì)該動(dòng)態(tài)用戶密碼 進(jìn)行處理�����,讀出相應(yīng)的用戶信息����,并進(jìn)行比對(duì)�。如果確認(rèn)了該動(dòng)態(tài)用戶密碼的用戶信息����, 則進(jìn)行身份確認(rèn)����,允許用戶進(jìn)行相應(yīng)權(quán)限的操作�����。如果沒有確認(rèn)該動(dòng)態(tài)用戶密碼的用戶信 息���,則提示用戶相應(yīng)的錯(cuò)誤信息����。
權(quán)利要求
1�、一種強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法,該方法基于一種強(qiáng)制雙向動(dòng)態(tài)密碼認(rèn)證系統(tǒng)��,該動(dòng)態(tài)密碼認(rèn)證系統(tǒng)包括至少一個(gè)認(rèn)證系統(tǒng)服務(wù)器和至少一個(gè)用戶密碼發(fā)生器����,其特征在于,所述認(rèn)證方法包括以下步驟A向所述認(rèn)證系統(tǒng)服務(wù)器發(fā)出認(rèn)證請(qǐng)求����,則所述認(rèn)證系統(tǒng)服務(wù)器產(chǎn)生包含服務(wù)器身份信息的服務(wù)器動(dòng)態(tài)附加碼;所述用戶密碼發(fā)生器根據(jù)服務(wù)器動(dòng)態(tài)附加碼判定該認(rèn)證系統(tǒng)服務(wù)器的身份,然后按照該認(rèn)證系統(tǒng)服務(wù)器所對(duì)應(yīng)的加密算法產(chǎn)生包含有用戶身份信息的動(dòng)態(tài)用戶密碼�;送入該動(dòng)態(tài)用戶密碼到該認(rèn)證系統(tǒng)服務(wù)器,該認(rèn)證系統(tǒng)服務(wù)器驗(yàn)證該動(dòng)態(tài)用戶密碼判定所述用戶密碼發(fā)生器的身份�����。
2��、 根據(jù)權(quán)利要求1所述的強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法��,其特征在于����,所述強(qiáng)制雙 向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)包括兩個(gè)或兩個(gè)以上的認(rèn)證系統(tǒng)服務(wù)器;所述用戶密碼發(fā)生器儲(chǔ)存有全部認(rèn)證系統(tǒng)服務(wù)器的服務(wù)器身份信息��;所述認(rèn)證系統(tǒng)服 務(wù)器儲(chǔ)存有與其有聯(lián)系的全部用戶密碼發(fā)生器的用戶身份信息�。
3、 根據(jù)權(quán)利要求2所述的強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法�,其特征在于,所述用戶密碼發(fā)生器在與某一個(gè)認(rèn)證系統(tǒng)服務(wù)器相互驗(yàn)證時(shí)��,在該用戶密碼發(fā)生器和 該認(rèn)證系統(tǒng)服務(wù)器之間分別釆用相同的密匙�����、算法和參數(shù)來生成所述動(dòng)態(tài)用戶密碼或者驗(yàn) 證所述服務(wù)器動(dòng)態(tài)附加碼�����。
4����、 根據(jù)權(quán)利要求2或者3所述的強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法,其特征在于�,所述用戶密碼發(fā)生器在與不同的所述認(rèn)證系統(tǒng)服務(wù)器相互驗(yàn)證時(shí),釆用的是不同的密 匙���、算法和參數(shù)來分別產(chǎn)生所述動(dòng)態(tài)用戶密碼�����。
5�、 根據(jù)權(quán)利要求3或者4所述的強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法���,其特征在于����,所述用戶密碼發(fā)生器把所述服務(wù)器身份信息與該服務(wù)器身份信息對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù) 器的加密算法的密匙��、算法和參數(shù)成組存儲(chǔ)在一起;所述用戶密碼發(fā)生器比對(duì)所述服務(wù)器動(dòng)態(tài)附加碼所包含的服務(wù)器身份信息��,采用與該服務(wù)器身份信息相應(yīng)的密匙�����、算法和參數(shù)產(chǎn)生動(dòng)態(tài)用戶密碼�;所述認(rèn)證系統(tǒng)服務(wù)器采用該密匙、算法和參數(shù)驗(yàn)證該動(dòng)態(tài)用戶密碼���。
6����、 根據(jù)權(quán)利要求1所述的強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法���,其特征在于��,對(duì)應(yīng)每個(gè)所 述認(rèn)證系統(tǒng)服務(wù)器�����,所述用戶密碼發(fā)生器包含有一個(gè)啟動(dòng)密匙��,在所述的步驟A或初始化 啟用之前�����,有如下步驟輸入一個(gè)啟動(dòng)密匙到所述用戶密碼發(fā)生器�,所述用戶密碼發(fā)生器對(duì)該啟動(dòng)密匙進(jìn)行核 對(duì)���,如果通過核對(duì)��,則進(jìn)行所述步驟A;否則�,結(jié)東�����。
7����、 一種強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng),包括至少一個(gè)認(rèn)證系統(tǒng)服務(wù)器����,和至少一 個(gè)用戶密碼發(fā)生器;其特征在于所述認(rèn)證系統(tǒng)服務(wù)器包括系統(tǒng)接口 ( 21 )�����、動(dòng)態(tài)附加碼產(chǎn)生模塊(22 )、認(rèn)證模塊(24 )���、 密碼發(fā)生模塊(23)��、用于為所述密碼發(fā)生模塊(23)提供時(shí)間數(shù)據(jù)的系統(tǒng)時(shí)鐘(26)��、存 儲(chǔ)有所有用戶的用戶信息及加密算法的系統(tǒng)數(shù)據(jù)庫(25 );所述動(dòng)態(tài)附加碼產(chǎn)生模塊(22)用于接收所述系統(tǒng)接口 (21)的服務(wù)器動(dòng)態(tài)附加碼認(rèn) 證請(qǐng)求����,并命令所述密碼發(fā)生模塊(")生成服務(wù)器動(dòng)態(tài)附加碼���,將該服務(wù)器動(dòng)態(tài)附加碼 經(jīng)由所述系統(tǒng)接口 (n)輸出���;所述認(rèn)證模塊(24)用于接收所述系統(tǒng)接口 (21)的動(dòng)態(tài) 用戶密碼,結(jié)合所述密碼發(fā)生模塊(23)生成的動(dòng)態(tài)用戶密碼��,進(jìn)行比對(duì)后確認(rèn)該動(dòng)態(tài)用 戶密碼驗(yàn)證請(qǐng)求對(duì)應(yīng)的用戶密碼發(fā)生器的身份�,將認(rèn)證結(jié)果經(jīng)由所述系統(tǒng)接口 (21)輸出; 所述密碼發(fā)生模塊(23)為一個(gè)計(jì)算處理單元����,用于結(jié)合所述系統(tǒng)數(shù)據(jù)庫(25)的加密算 法信息和所述系統(tǒng)時(shí)鐘(26)的時(shí)間信息,生成服務(wù)器動(dòng)態(tài)附加碼和動(dòng)態(tài)用戶密碼����。所述用戶密碼發(fā)生器包括用于顯示輸出的顯示模塊(11)��、用于輸入數(shù)據(jù)的輸入模 塊(12)�、動(dòng)態(tài)附加碼驗(yàn)證模塊(13)�����、動(dòng)態(tài)密碼產(chǎn)生模塊(17)��、密碼模塊(14)���、用于為 所述密碼模塊(14)提供時(shí)間數(shù)據(jù)的時(shí)鐘(15)、用于存儲(chǔ)特定服務(wù)器身份信息及加密算 法的身份碼寄存器(16);經(jīng)由所述輸入模塊(12)輸入的服務(wù)器動(dòng)態(tài)附加碼��,進(jìn)入所述動(dòng)態(tài)附加碼驗(yàn)證模塊 (13),由所述動(dòng)態(tài)附加碼驗(yàn)證模塊(13)結(jié)合所述密碼模塊(14)生成的服務(wù)器動(dòng)態(tài)附 加碼����,進(jìn)行比對(duì)后確認(rèn)該驗(yàn)證請(qǐng)求所對(duì)應(yīng)的服務(wù)器的身份信息,將確認(rèn)后的服務(wù)器身份信 息輸出給所述動(dòng)態(tài)密碼產(chǎn)生模塊(17)���、或經(jīng)由所述顯示模塊(11)顯示輸出�����;所述動(dòng)態(tài) 密碼產(chǎn)生模塊(17)用于接收所述動(dòng)態(tài)附加碼驗(yàn)證模塊(13)輸出的服務(wù)器身份信息����,并 命令所述密碼模塊(14)生成動(dòng)態(tài)用戶密碼,將該動(dòng)態(tài)用戶密碼經(jīng)由所述顯示模塊(11) 顯示輸出���;所述密碼模塊(24)為一個(gè)計(jì)算處理單元�����,用于結(jié)合所述身份碼寄存器(16)的加密算法信息和所述時(shí)鐘(15)的時(shí)間信息��,生成服務(wù)器動(dòng)態(tài)附加碼和動(dòng)態(tài)用戶密碼��。
8�、 根據(jù)權(quán)利要求7所述的強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)�����,其特征在于���,包括兩個(gè)或 者兩個(gè)以上的認(rèn)證系統(tǒng)服務(wù)器����;所述身份碼寄存器(16)把所述認(rèn)證系統(tǒng)服務(wù)器的服務(wù)器身份信息與該服務(wù)器身份信 息對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù)器的加密算法的密匙、算法和參數(shù)成組存儲(chǔ)在一起���;不同的服務(wù)器 身份信息和與其對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù)器的加密算法的密匙�、算法和參數(shù)之間被相互隔離儲(chǔ) 存����;當(dāng)確認(rèn)所述服務(wù)器動(dòng)態(tài)附加碼所對(duì)應(yīng)的認(rèn)證系統(tǒng)服務(wù)器后,所述密碼模塊(14)釆用 與該認(rèn)證系統(tǒng)服務(wù)器所對(duì)應(yīng)的加密算法的密匙���、算法和參數(shù),結(jié)合所述用戶信息和時(shí)間數(shù) 據(jù)產(chǎn)生動(dòng)態(tài)用戶密碼�����。
9�����、 根據(jù)權(quán)利要求7或8所述的強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)�,其特征在于,所述服 務(wù)器動(dòng)態(tài)附加碼為阿拉伯?dāng)?shù)字字符串����;所述輸入模塊(12)包括用于切換輸入模式和實(shí)現(xiàn)輸入數(shù)據(jù)移位的切換鍵��,和用于 切換當(dāng)前輸入數(shù)字的數(shù)字鍵���。
10、 根據(jù)權(quán)利要求7所述的強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證系統(tǒng)����,其特征在于,所述用戶密 碼發(fā)生器還進(jìn)一步包括用于數(shù)據(jù)交換的數(shù)據(jù)接口�,所述數(shù)據(jù)接口與所述身份碼寄存器(16)連接。
全文摘要
為了增強(qiáng)使用的安全性和簡(jiǎn)便性�����,本發(fā)明設(shè)計(jì)一種強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法及其認(rèn)證系統(tǒng)�。一種強(qiáng)制雙向動(dòng)態(tài)密碼的認(rèn)證方法,其動(dòng)態(tài)密碼認(rèn)證系統(tǒng)包括至少一個(gè)認(rèn)證系統(tǒng)服務(wù)器和至少一個(gè)用戶密碼發(fā)生器�����,所述認(rèn)證方法包括以下步驟向所述認(rèn)證系統(tǒng)服務(wù)器發(fā)出認(rèn)證請(qǐng)求�,則所述認(rèn)證系統(tǒng)服務(wù)器產(chǎn)生包含服務(wù)器身份信息的服務(wù)器動(dòng)態(tài)附加碼;所述用戶密碼發(fā)生器根據(jù)服務(wù)器動(dòng)態(tài)附加碼判定該認(rèn)證系統(tǒng)服務(wù)器的身份�����,然后按照該認(rèn)證系統(tǒng)服務(wù)器所對(duì)應(yīng)的加密算法產(chǎn)生包含有用戶身份信息的動(dòng)態(tài)用戶密碼;送入該動(dòng)態(tài)用戶密碼到該認(rèn)證系統(tǒng)服務(wù)器�,該認(rèn)證系統(tǒng)服務(wù)器驗(yàn)證該動(dòng)態(tài)用戶密碼判定所述用戶密碼發(fā)生器的身份。
文檔編號(hào)H04L9/18GK101577697SQ20081006699
公開日2009年11月11日 申請(qǐng)日期2008年5月7日 優(yōu)先權(quán)日2008年5月7日
發(fā)明者劉宗沛, 強(qiáng) 張, 張立棟, 朱曉東, 王曉敏, 宏 談 申請(qǐng)人:深圳市絡(luò)道科技有限公司