專利名稱:密碼提供設備和密碼認證系統(tǒng)的制作方法
技術領域:
本實用新型涉及信息安全技術領域,更具體地��,涉及一種密碼提供設備和密碼認 證系統(tǒng)�����。
背景技術:
隨著網絡應用的不斷普及��,人們經常需要訪問各種各樣的網站���,如電子銀行����、電子 購物���、收發(fā)電子郵件(Email)���、網上聊天、網絡游戲等���。在登錄網站之前���,通常都需要用戶輸 入自己的用戶名和密碼���。然而,目前網上存在著各種病毒��,可以在用戶輸入密碼時偷偷記錄 下用戶通過鍵盤所輸入的字符�,從而盜取用戶的密碼,這就給用戶帶來很大的風險��。正是由于以上原因����,目前出現了多種安全性較高的認證方法,如動態(tài)令牌����、 USB-Key證書認證等。但是這兩種高安全性的認證方法都存在一個問題���,那就是一個客戶端 認證設備(動態(tài)令牌或USB-Key)只能用于一個認證系統(tǒng)����。比如如果一個用戶有兩家不同 銀行的網上賬號�,則他就需要有兩個相應的客戶端認證設備����。這個問題不但增加了用戶的 開銷���,還給用戶在使用和管理認證設備上都帶來了極大的不便。
實用新型內容本實用新型實施方式提出一種密碼提供設備��,能夠適用于多個認證系統(tǒng)���。本實用 新型實施方式還提出一種密碼認證系統(tǒng)����,實現了一個密碼提供設備對應于多個認證系統(tǒng)的 技術效果���。本實用新型的技術方案是這樣實現的一種密碼提供設備����,該密碼提供設備包括 接口單元��,密碼獲取單元��、密碼存儲單元以及密碼加密單元���,其中密碼獲取單元��,用于獲取 密碼���;密碼存儲單元�����,用于以密碼存儲表的形式存儲由密碼獲取單元獲取的密碼����,所述密碼 存儲表中還存儲有對應于所述密碼的密碼標識�;接口單元,用于接收包含密碼標識的認證 請求�����,以及將加密的密碼密文發(fā)送到所述密碼提供設備之外用于認證���;密碼加密單元�,用于 從所述認證請求中解析出密碼標識�,從所述密碼存儲表中查詢出對應于所述密碼標識的密 碼,并對所述密碼進行加密��,然后將加密后的密碼密文通過接口單元發(fā)送到所述密碼提供 設備之外用于認證�。一種密碼認證系統(tǒng),該密碼認證系統(tǒng)包括密碼提供設備�����、認證客戶端 和認證服務器����,其中密碼提供設備,用于以密碼存儲表的形式存儲密碼以及對應于密碼的 密碼標識����,并從所述密碼存儲表中查詢出對應于用戶所選擇的密碼標識的密碼,根據加密 算法對所述密碼進行加密���,將加密后的密碼密文通過認證客戶端發(fā)送到所述認證服務器用 于認證����;認證客戶端��,用于從密碼提供設備獲取列表的密碼標識���,并將該列表的密碼標識顯 示給用戶�����,供用戶從該列表中選擇密碼標識���;認證服務器���,用于同步存儲在密碼提供設備中 所保存的密碼,并根據與密碼提供設備相同的加密算法對對應于用戶所選擇的密碼標識的 密碼進行加密����,并當該認證服務器生成的密碼密文與密碼提供設備發(fā)送來的密碼密文相同 時,判定密碼提供設備提供的密碼正確�。從上述技術方案可以看出,在本實用新型實施方式中����,密碼提供設備以密碼存儲表的數據結構存儲密碼,并根據由認證請求解析出的密碼標識從密碼存儲表中查詢出密 碼�,再將加密后的密碼密文發(fā)送到密碼提供設備之外用于認證。由此可見����,由于單個的密碼 提供設備可以保存多個對應于不同認證系統(tǒng)的密碼,因此單個的密碼提供設備能夠適用于 多個認證系統(tǒng)���。這就既降低了客戶端硬件認證設備的成本�����,又方便了用戶對認證設備的管 理和使用�����。而且����,認證客戶端從密碼提供設備處只能獲得“密碼描述列表”�����,其中只包含密碼 ID和密碼描述符等信息��,不包含密碼的真實數據���,因此提高了認證系統(tǒng)的安全性����。而且�,由 于使用密碼提供設備來保存密碼,可以設置較長位數的密碼,從而降低了密碼被暴力破解 的可能性��,進一步提高了認證系統(tǒng)的安全性����。不僅于此,本實用新型實施方式的密碼同步也會給用戶維護密碼的操作帶來很大 的方便性和安全性�。
圖1為根據本實用新型實施方式的密碼提供設備結構示意圖;圖2為根據本實用新型實施方式的密碼認證系統(tǒng)的結構示意圖����;圖3為根據本實用新型實施方式的第一種密碼提供設備結構示意圖;圖4為根據本實用新型實施方式的第一種密碼提供設備的密碼編輯系統(tǒng)結構示 意圖���;圖5為根據本實用新型實施方式的第二種密碼提供設備結構示意圖��;圖6為根據本實用新型實施方式的密碼認證方法流程示意圖�����;圖7為根據本實用新型優(yōu)選實施方式的密碼認證方法流程示意圖���;圖8為圖7中密碼提供設備計算密碼密文的示范性詳細流程圖;圖9為圖7中認證服務器認證密碼密文的示范性詳細流程圖�;圖10為根據本實用新型實施方式的密碼提供設備和密碼認證系統(tǒng)的密碼同步方 式示意圖����;圖11為根據本實用新型實施方式的密碼提供設備和密碼認證系統(tǒng)的通過網絡進 行密碼同步的系統(tǒng)結構示意圖���;圖12為根據本實用新型實施方式的采用非對稱加密算法的密碼同步過程流程示 意圖�����;圖13為根據本實用新型實施方式的采用對稱加密算法的密碼同步過程流程示意 圖;圖14為根據本實用新型實施方式的設備直連方式密碼同步系統(tǒng)結構示意圖����;圖15為根據本實用新型實施方式的設備直連方式密碼同步流程圖;圖16為根據本實用新型優(yōu)選實施方式的第一種密碼提供設備的密碼產生及保存 的方法流程示意圖���。
具體實施方式
為使本實用新型實施方式的目的���、技術方案和優(yōu)點表達得更加清楚明白,下面結 合附圖及具體實施方式
對本實用新型再作進一步詳細的說明��。圖1為根據本實用新型實施方式的密碼提供設備結構示意圖�����。[0026]如圖1所示,該密碼提供設備100包括接口單元101��,密碼獲取單元102�、密碼存 儲單元103以及密碼加密單元104,其中密碼獲取單元102�,用于獲取密碼;密碼存儲單元 103�,用于以密碼存儲表的形式存儲由密碼獲取單元102獲取的密碼,所述密碼存儲表中還 存儲有對應于所述密碼的密碼標識���;接口單元101����,用于接收來自密碼提供設備100之外且 包含密碼標識的認證請求�����,以及將加密的密碼密文發(fā)送到所述密碼提供設備100之外用于 認證�����;密碼加密單元104�����,用于從所述認證請求中解析出密碼標識,從所述密碼存儲表中查 詢出對應于所述密碼標識的密碼����,并對所述密碼進行加密,然后將加密后的密碼密文通過 接口單元101發(fā)送到所述密碼提供設備100之外用于認證��?�?梢?�,在密碼存儲單元103的密碼存儲表中可以存儲對應于多個認證系統(tǒng)的密 碼���,從而適用于多個認證系統(tǒng)。在一個優(yōu)選實施方式中���,接口單元101與外部密碼編輯設備 (圖1中沒有示出)連接����。此時���,密碼獲取單元102�����,用于通過所述接口單元101從所述外 部密碼編輯設備獲取密碼����。而且,在一個進一步優(yōu)選的實施方式中��,該密碼提供設備100進 一步包括在密碼獲取模式和密碼認證模式之間切換的模式切換單元���。該模式切換單元�,用 于當工作于密碼獲取模式時�,激發(fā)所述密碼獲取單元102通過所述接口單元101從所述外 部密碼編輯設備獲取密碼;并當工作于密碼認證模式時�����,激發(fā)所述密碼加密單元104將加 密后的密碼密文通過接口單元101發(fā)送到所述密碼提供設備100之外用于認證����。在另一個 優(yōu)選實施方式中,可以由密碼提供設備100自身來產生密碼����。此時,密碼獲取單元102���,用于 根據預定的密碼生成算法產生密碼�����。進一步的����,在認證請求中還可以包括挑戰(zhàn)碼。此時��,密碼加密單元104�����,用于從認證 請求中解析出密碼標識和挑戰(zhàn)碼���,再從密碼存儲單元103的密碼存儲表中查詢出對應于所 述密碼標識的密碼,并根據挑戰(zhàn)碼和散列(HASH)函數對密碼進行加密���,然后將加密后的密 碼密文通過接口單元101發(fā)送到所述密碼提供設備100之外用于認證����。優(yōu)選的�,該密碼提 供設備100進一步包括密碼同步單元(圖1中沒有示出)��。該密碼同步單元�,用于將密碼存 儲單元103中所保存的密碼同步保存到所述密碼提供設備100之外的各個認證系統(tǒng)中��?��;趫D1所示的密碼提供設備�,圖2為根據本實用新型實施方式的密碼認證系統(tǒng) 的結構示意圖�����。如圖2所示����,該密碼認證系統(tǒng)200包括密碼提供設備201、認證客戶端202和 認證服務器203���,其中密碼提供設備201�,用于以密碼存儲表的形式存儲密碼以及對應于 密碼的密碼標識���,并從所述密碼存儲表中查詢出對應于用戶所選擇的密碼標識的密碼�,根 據加密算法對所述密碼進行加密,將加密后的密碼密文通過認證客戶端202發(fā)送到所述認 證服務器203用于認證����;認證客戶端202,用于從密碼提供設備201獲取列表的密碼標識�����, 并將該列表的密碼標識顯示給用戶���,供用戶從該列表中選擇密碼標識��;認證服務器203���,用 于同步存儲在密碼提供設備201中所保存的密碼,并根據與密碼提供設備201相同的加密 算法對對應于用戶所選擇的密碼標識的密碼進行加密���,并當該認證服務器203生成的密碼 密文與密碼提供設備201發(fā)送來的密碼密文相同時��,判定密碼提供設備201提供的密碼正 確�。比如��,認證服務器203中可以包含數據庫���,該數據庫中存儲有用戶賬號以及對應 于用戶賬號的密碼��。用戶可以在認證客戶端202上輸入用戶賬號�,認證客戶端202再將用 戶賬號發(fā)送到認證服務器203�,然后認證服務器203根據接收到的用戶賬號在數據庫中查 詢對應于該用戶賬號的密碼,再根據與密碼提供設備201相同的加密算法對查詢出的密碼進行加密����,并當該認證服務器203生成的密碼密文與密碼提供設備201發(fā)送來的密碼密文 相同時,判定密碼提供設備201提供的該用戶賬號對應的密碼正確�。以上列出了通過認證客戶端202傳送用戶賬號的方式,使得認證服務器203查詢 用戶密碼的方式�,但是本實用新型實施方式并不局限于此。實際應用中�����,可能存在多種用戶 賬號發(fā)送到認證服務器203的方式��,比如直接由密碼提供設備201向認證服務器203發(fā)送 用戶賬號�����,等等��,這些實施方式都應該包括在本實用新型的范圍之內。在具體實現中����,優(yōu)選的,認證服務器203可以是用于認證用戶身份的服務器�,在其 中保存有用戶的賬號和密碼。認證客戶端202是一種運行在客戶端計算機上的軟件����,可以 為用戶提供登錄界面,并與認證服務器203和密碼提供設備201進行協議交互���,完成用戶的 身份認證���。在使用密碼提供設備進行密碼認證之前,有一個必要的準備工作那就是將密碼 提供設備中所保存的密碼同樣地設置到相應的認證服務器中(即同步)�,這樣才能保證認 證服務器進行正確的認證,這個問題稱為“密碼同步”問題�。本實用新型實施方式后面將對 此提供完整的解決方案,在此先假設密碼提供設備和認證服務器所保存的密碼已經被同步 過了�。在一個優(yōu)選的實施方式中,密碼提供設備201和認證服務器203之間通過設備直 連方式���、采用對稱加密算法的網絡互聯方式��、采用非對稱加密算法的網絡互聯方式或用戶 手工同步方式實現密碼同步(下面將對密碼提供設備201和認證服務器203之間的同步方 式進行更加詳細的說明)�����。在本實用新型實施方式中��,密碼存儲表存儲有密碼以及對應于密碼的密碼標識�, 其中密碼標識可以包括密碼標識符和/或密碼描述符��。無論是密碼標識符或密碼描述符�, 都與密碼相對應。比如����,在密碼提供設備中,優(yōu)選采用如下表1形式的數據結構來保存用戶的密碼表 權利要求一種密碼提供設備�,其特征在于,該密碼提供設備包括接口單元���,密碼獲取單元���、密碼存儲單元以及密碼加密單元,其中密碼獲取單元���,用于獲取密碼����;密碼存儲單元,用于以密碼存儲表的形式存儲由密碼獲取單元獲取的密碼�,所述密碼存儲表中還存儲有對應于所述密碼的密碼標識;接口單元�����,用于接收包含密碼標識的認證請求��,以及將加密的密碼密文發(fā)送到所述密碼提供設備之外用于認證�����;密碼加密單元�����,用于從所述認證請求中解析出密碼標識�����,從所述密碼存儲表中查詢出對應于所述密碼標識的密碼����,并對所述密碼進行加密���,然后將加密后的密碼密文通過接口單元發(fā)送到所述密碼提供設備之外用于認證。
2.根據權利要求1所述的密碼提供設備���,其特征在于,所述接口單元與外部密碼編輯 設備連接�����,所述密碼獲取單元��,用于通過所述接口單元從所述外部密碼編輯設備獲取密碼���。
3.根據權利要求2所述的密碼提供設備����,其特征在于����,該密碼提供設備進一步包括在 密碼獲取模式和密碼認證模式之間切換的模式切換單元,所述模式切換單元���,用于當工作于密碼獲取模式時��,激發(fā)所述密碼獲取單元通過所述 接口單元從所述外部密碼編輯設備獲取密碼����;并當工作于密碼認證模式時,激發(fā)所述密碼 加密單元將加密后的密碼密文通過接口單元發(fā)送到所述密碼提供設備之外用于認證��。
4.根據權利要求1所述的密碼提供設備�����,其特征在于�����,所述密碼獲取單元���,用于根據預 定的密碼生成算法產生所述密碼�����。
5.根據權利要求1-4中任一項所述的密碼提供設備����,其特征在于,所述認證請求中進 一步包括挑戰(zhàn)碼���;密碼加密單元��,用于從所述認證請求中解析出密碼標識和挑戰(zhàn)碼����,從所述密碼存儲表 中查詢出對應于所述密碼標識的密碼�,并根據挑戰(zhàn)碼和散列HASH函數對所述密碼進行加 密����,然后將加密后的密碼密文通過接口單元發(fā)送到所述密碼提供設備之外用于認證。
6.根據權利要求1-4中任一項所述的密碼提供設備�����,其特征在于�,該密碼提供設備進 一步包括密碼同步單元,用于將密碼存儲單元中所保存的密碼同步保存到所述密碼提供設備之外的認證系統(tǒng)中����。
7.一種密碼認證系統(tǒng),其特征在于��,該密碼認證系統(tǒng)包括密碼提供設備、認證客戶端和 認證服務器���,其中密碼提供設備��,用于以密碼存儲表的形式存儲密碼以及對應于密碼的密碼標識�����,并從 所述密碼存儲表中查詢出對應于用戶所選擇的密碼標識的密碼��,根據加密算法對所述密碼 進行加密����,將加密后的密碼密文通過認證客戶端發(fā)送到所述認證服務器用于認證����;認證客戶端,用于從密碼提供設備獲取列表的密碼標識��,并將該列表的密碼標識顯示 給用戶��,供用戶從該列表中選擇密碼標識����;認證服務器�,用于同步存儲在密碼提供設備中所保存的密碼�,并根據與密碼提供設備 相同的加密算法對對應于用戶所選擇的密碼標識的密碼進行加密,并當該認證服務器生成 的密碼密文與密碼提供設備發(fā)送來的密碼密文相同時�,判定密碼提供設備提供的密碼正
8.根據權利要求7所述的密碼認證系統(tǒng),其特征在于��,所述密碼提供設備和認證服務 器之間通過設備直連方式����、采用對稱加密算法的網絡互聯方式、采用非對稱加密算法的網 絡互聯方式或用戶手工同步方式實現密碼同步�。
9.根據權利要求7或8所述的密碼認證系統(tǒng),其特征在于���,所述密碼提供設備用于根據 預定的密碼生成算法自身產生所述密碼,或者從外部密碼編輯設備獲取密碼����。
10.根據權利要求7或8所述的密碼認證系統(tǒng),其特征在于�,所述加密算法為HASH算法。
專利摘要本實用新型實施方式提供了一種密碼提供設備�。其中密碼獲取單元,用于獲取密碼;密碼存儲單元��,用于以密碼存儲表的形式存儲由密碼獲取單元獲取的密碼���,密碼存儲表中還存儲有對應于密碼的密碼標識����;接口單元��,用于接收包含密碼標識的認證請求�����,以及將加密的密碼密文發(fā)送到密碼提供設備之外用于認證��;密碼加密單元���,用于從認證請求中解析出密碼標識��,從密碼存儲表中查詢出對應于密碼標識的密碼�,并對密碼進行加密��,然后將加密后的密碼密文通過接口單元發(fā)送到密碼提供設備之外用于認證�。還提供了一種密碼認證系統(tǒng)��,實現了一個密碼提供設備適用于多個認證系統(tǒng)的效果��,提高了認證系統(tǒng)的安全性�����,方便了用戶對認證設備的管理和使用���。
文檔編號H04L9/32GK201717885SQ20102012919
公開日2011年1月19日 申請日期2010年3月12日 優(yōu)先權日2010年3月12日
發(fā)明者薛明 申請人:薛明