一種用于移動終端的網絡私匙的生成及應用方法及其系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供一種用于移動終端的網絡私匙的生成及應用方法與系統(tǒng)����。與傳統(tǒng)的軟件私匙將用以解密私匙的數(shù)據(jù)和運算都放在同一終端上不同的是,本發(fā)明將解密私匙的部分數(shù)據(jù)和運算移到驗證服務器�,而且驗證服務器設PIN最大連續(xù)輸入錯誤次數(shù)以阻止無限制地輸入各種不同的PIN。本發(fā)明克服了現(xiàn)有的移動終端軟件私匙及其環(huán)境能復制,和黑客能無限制地輸入各種不同的PIN的安全缺陷����。
【專利說明】
一種用于移動終端的網絡私匙的生成及應用方法及其系統(tǒng)
技術領域
[0001]本發(fā)明屬于計算機和信息安全技術領域,具體涉及在移動互聯(lián)網中用于移動終端的作為數(shù)字證書的網絡私鑰的生成及使用方法及其系統(tǒng)�����。
【背景技術】
[0002]隨著互聯(lián)網尤其是移動互聯(lián)網的日益普及���,電子商務已越來越深入到經濟生活中。在網上做交易時��,由于交易雙方并不進行現(xiàn)場交易����,因此無法通過傳統(tǒng)的面對面的方式確認雙方的身份;同時��,交易信息要通過互聯(lián)網傳輸�,存在被盜取、篡改的風險;此外��,由于所有交易信息都以電子方式存在��,無法進行傳統(tǒng)的蓋章和簽字,所以一旦發(fā)生爭議或糾紛����,需要保證交易信息的不可抵賴性,必要的時候還要作為具有法律效力的證據(jù)���。因此���,在電子商務中,必須從技術上��、法律上保證在交易過程中能夠實現(xiàn):身份真實性��、信息私密性����、信息完整性和信息不可否認性。
[0003]技術上����,以PKI技術為基礎的數(shù)字證書技術,方便�、有效地解決了電子商務中的交易信息的安全問題。PKI使用互為加解密的公私匙對�����。公匙是公開的,任何人都可以使用�;而私匙則為私有的,只有私匙的合法擁有者才能使用��。所以任何必須使用私匙的運算結果�����,如數(shù)字簽字等�,可被認為已得到私匙合法擁有者授權�����。私匙可謂數(shù)字時代的印章���。保護私匙不被非授權使用��,是PKI技術應用的安全關鍵���。
[0004]在以個人電腦為終端的傳統(tǒng)互聯(lián)網,數(shù)字證書對應的私匙儲存在保護性硬件(如USB Key中的集成電路)中����,使用時硬件與電腦連接�。硬件中的私匙不可被讀取��,但在輸入PIN后可做解密�����、簽字的運算�。設有PIN最大連續(xù)輸入錯誤次數(shù),當連續(xù)輸入錯誤PIN超過該次數(shù)���,保護性硬件被鎖�。存于保護性硬件中的私匙�����,可謂硬件私匙��。
[0005]電腦終端和移動終端通常不包括保護性硬件����,保護性硬件必須購置和隨身攜帶。在電腦為終端的傳統(tǒng)互聯(lián)網�,存于USBkey保護性硬件中的硬件私匙已經在網銀業(yè)務中得到廣泛應用���。但外置硬件不適合以便捷為特點的移動互聯(lián)網。用者期望私匙包括在移動終端里��,輸入PIN之后即可使用�。
[0006]將數(shù)字證書對應的私匙儲存在移動終端APP的儲存中,成為在移動互聯(lián)網中實現(xiàn)PKI技術的現(xiàn)實選項��。私匙儲存在移動終端操作系統(tǒng)直接管理的儲存中���,可謂軟件私匙��。私匙和證書可以儲存在PKCS12格式的文件中�����,私匙可以通過密碼加密來保護:密碼可由以PIN、移動終端硬件參數(shù)和APP初始化時隨機產生的數(shù)據(jù)為輸入的一個密碼函數(shù)所產生�。密碼函數(shù)所產生的密碼遠較PIN長,用它加密保護私匙比直接用PIN更安全��。由于硬件參數(shù)是密碼函數(shù)的一個輸入參數(shù)�����,密碼函數(shù)在不同的移動終端產生不同的密碼,所以儲存私匙的PKCS12文件拷貝到另一移動終端就不能使用:密碼函數(shù)產生的密碼與來自另一個終端的私匙的密碼不同�。用APP初始化隨機數(shù)據(jù)為輸入參數(shù)使產生的密碼更隨機更復雜。
[0007]以上以密碼函數(shù)加密保護在移動終端中的軟件私匙的方案���,相當安全���,但仍可能不足以抵抗那些擁有巨大資源、非常專業(yè)的黑客攻擊��。
[0008]黑客的可能攻擊路徑是:短暫掌握移動終端����,即可拷貝APP和所有相關數(shù)據(jù),并獲得硬件參數(shù);然后可以通過對密碼函數(shù)的異向分析如反編譯��,或社交工程學攻擊����,獲取密碼函數(shù)的算法;在獲得密碼函數(shù)的算法、APP所有相關數(shù)據(jù)和硬件參數(shù)后���,可以通過嘗試輸入各種不同的PIN到密碼函數(shù)��,最終找到能解密加密了的私匙的PIN��,從而能使用私匙進行非授權的驗證�、加密和簽字。軟件私匙較硬件私匙容易攻擊的最根本原因��,是(加了密的)私匙及其環(huán)境能復制���,和能無限制地嘗試輸入各種不同的PIN��。
[0009]要安全使用軟件私匙����,所用PIN必須有復雜性而且起碼應有16個字母數(shù)字長���。短了黑客可以在較短的時間內通過嘗試各種可能的字母數(shù)字組合來找到正確的PIN�。這種對PIN復雜性和長度的要求使軟件私匙未能在移動互聯(lián)網獲得廣泛應用����。
[0010]目前移動互聯(lián)網上廣泛使用的安全方案是短信驗證碼����。短信驗證碼雖然有設置簡單的優(yōu)點,但它只能驗證不能解密����、簽字���,發(fā)送的短信驗證碼又容易被竊取,而且沒有PIN保護:移動終端在丟失或被盜后可用于非授權驗證���。其適用性和安全性的缺陷不但造成損失和增加成本����,也影響了互聯(lián)網更廣泛的使用和迅速發(fā)展�����。
【發(fā)明內容】
[0011]針對現(xiàn)有技術的上述缺陷�����,本發(fā)明提供了一種用于移動終端的網絡私匙的生成及應用方法與系統(tǒng)�����。與傳統(tǒng)的軟件私匙將用以解密私匙的數(shù)據(jù)和運算都放在同一終端上不同的是�,本發(fā)明將解密私匙的部分數(shù)據(jù)和運算移到驗證服務器,而且驗證服務器設PIN最大連續(xù)輸入錯誤次數(shù)以阻止無限制地輸入各種不同的PIN����。
[0012]本發(fā)明首先提供了一種用于移動終端的網絡私匙的生成方法����,其特征在于��,包括以下步驟:
[0013]獲得用者信息及用于加密私匙的PIN;
[0014]根據(jù)所述PIN和隨機生成的初始化數(shù)據(jù)計算HASH值作為驗證密碼;產生公私匙對��;并且將所述用者信息���、驗證密碼和公匙發(fā)送至驗證服務器���;
[0015]從驗證服務器接收該驗證服務器根據(jù)所述用者信息和公匙獲得的證書,以及從驗證服務器接收該驗證服務器根據(jù)所述驗證密碼和用者隨機數(shù)據(jù)生成的下載PIN;
[0016]根據(jù)所述PIN�、初始化數(shù)據(jù)、硬件參數(shù)及下載PIN計算私匙密碼��,以該私匙密碼加密所述私匙�����;
[0017]存儲所述證書��、加密后的私匙以及所述初始化數(shù)據(jù)����。
[0018]優(yōu)選的是,所述驗證服務器將所述用者信息�、用者隨機數(shù)據(jù)、驗證密碼的HASH值及PIN連續(xù)輸入錯誤次數(shù)保存在用者配置文件中���。
[0019]優(yōu)選的是�,所述驗證服務器產生所述用者隨機數(shù)據(jù)�����,并采用驗證服務器私匙對所述驗證密碼和用者隨機數(shù)據(jù)的合并進行簽字運算產生所述下載PIN����。
[0020]本發(fā)明進而提供了一種用于移動終端的網絡私匙的應用方法,其特征在于���,包括以下步驟:
[0021]在移動終端上輸入PIN;
[0022]根據(jù)輸入的所述PIN和存儲的初始化數(shù)據(jù)���,計算HASH值作為驗證密碼;向驗證服務器發(fā)送包含該驗證密碼的身份認證請求�;
[0023]從驗證服務器接收該驗證服務器根據(jù)所述驗證密碼和用者配置文件中存儲的用者隨機數(shù)據(jù)生成的下載PIN;
[0024]根據(jù)所述PIN、所述存儲的初始化數(shù)據(jù)、硬件參數(shù)及該下載PIN計算私匙密碼���;
[0025]利用該私匙密碼解密移動終端所存儲的加密后的私匙���。
[0026]優(yōu)選的是,所述驗證服務器從用者配置文件中讀取PIN連續(xù)輸入錯誤次數(shù)��,并判斷該PIN連續(xù)輸入錯誤次數(shù)是否大于PIN最大連續(xù)輸入錯誤次數(shù)閾值;若超過該閾值���,則驗證服務器向移動終端反饋超過該閾值的信息�����,移動終端根據(jù)該信息確定解密私匙失敗��。
[0027]優(yōu)選的是���,所述驗證服務器判斷所述身份認證請求包含的驗證密碼的HASH值與用者配置文件中存儲的驗證密碼HASH值是否相同,從而判斷所述PIN是否輸入正確���。
[0028]優(yōu)選的是��,所述驗證服務器采用驗證服務器私匙對所述身份認證請求包含的驗證密碼和用者配置文件中的用者隨機數(shù)據(jù)的合并進行簽字運算產生所述下載PIN�。
[0029]本發(fā)明提供了一種網絡私匙的生成系統(tǒng),其特征在于�����,包括:
[0030]移動終端���,用于獲得用者信息及用于加密私匙的PIN;根據(jù)所述PIN和隨機生成的初始化數(shù)據(jù)計算HASH值作為驗證密碼;產生公私匙對;并且將所述用者信息、驗證密碼和公匙發(fā)送至驗證服務器;從驗證服務器接收該驗證服務器根據(jù)所述用者信息和公匙獲得的證書�����,以及從驗證服務器接收該驗證服務器根據(jù)所述驗證密碼和用者隨機數(shù)據(jù)生成的下載PIN;根據(jù)所述PIN����、初始化數(shù)據(jù)、硬件參數(shù)及下載PIN計算私匙密碼����,以該私匙密碼加密所述私匙;存儲所述證書、加密后的私匙以及所述初始化數(shù)據(jù)�;
[0031]驗證服務器,用于向認證中心發(fā)送包含用者信息與公匙的證書請求以獲得所述證書;產生用者隨機數(shù)據(jù);將所述用者信息�、用者隨機數(shù)據(jù)、驗證密碼的HASH值及PIN連續(xù)輸入錯誤次數(shù)保存在用者配置文件中�����;采用驗證服務器私匙對所述驗證密碼和用者隨機數(shù)據(jù)的合并進行簽字運算產生所述下載PIN;向移動終端發(fā)送所述下載PIN。
[0032]本發(fā)明提供了一種網絡私匙的應用系統(tǒng)�����,其特征在于����,包括:
[0033]移動終端,用于輸入PIN;根據(jù)輸入的所述PIN和存儲的初始化數(shù)據(jù)�����,計算HASH值作為驗證密碼���;向驗證服務器發(fā)送包含該驗證密碼的身份認證請求;從驗證服務器接收該驗證服務器根據(jù)所述驗證密碼和用者配置文件中存儲的用者隨機數(shù)據(jù)生成的下載PIN;根據(jù)所述PIN�����、所述存儲的初始化數(shù)據(jù)�����、硬件參數(shù)及該下載PIN計算私匙密碼;利用該私匙密碼解密移動終端所存儲的加密后的私匙���;
[0034]驗證服務器�,用于從用者配置文件中讀取PIN連續(xù)輸入錯誤次數(shù)�,并判斷該PIN連續(xù)輸入錯誤次數(shù)是否大于PIN最大連續(xù)輸入錯誤次數(shù)閾值;若超過該閾值,則驗證服務器向移動終端反饋超過該閾值的信息�,移動終端根據(jù)該信息確定解密私匙失敗;若未超過該閾值,驗證服務器判斷所述身份認證請求包含的驗證密碼的HASH值與用者配置文件中存儲的驗證密碼HASH值是否相同��,從而判斷所述PIN是否輸入正確;采用驗證服務器私匙對所述身份認證請求包含的驗證密碼和用者配置文件中的用者隨機數(shù)據(jù)的合并進行簽字運算產生所述下載PIN;向移動終端發(fā)送所述下載PIN����。
[0035]本發(fā)明提供了一種針對網絡私匙的驗證服務器��,其特征在于���,所述驗證服務器用于從移動終端接收用者信息���、驗證密碼和公匙;向認證中心發(fā)送包含用者信息與RSA公匙的證書請求以獲得證書�;產生用者隨機數(shù)據(jù);將所述用者信息��、用者隨機數(shù)據(jù)����、驗證密碼的HASH值及PIN連續(xù)輸入錯誤次數(shù)保存在用者配置文件中�����;采用驗證服務器私匙對所述驗證密碼和用者隨機數(shù)據(jù)的合并進行簽字運算產生所述下載PIN;將所述下載PIN發(fā)送給移動終端���;以及
[0036]從移動終端接收包含驗證密碼的身份認證請求;從用者配置文件中讀取PIN連續(xù)輸入錯誤次數(shù),并判斷該PIN連續(xù)輸入錯誤次數(shù)是否大于PIN最大連續(xù)輸入錯誤次數(shù)閾值����;若超過該閾值,則向移動終端反饋超過該閾值的信息�����,以便移動終端根據(jù)該信息確定解密私匙失敗;若未超過該閾值�����,判斷所述身份認證請求包含的驗證密碼的HASH值與用者配置文件中存儲的驗證密碼HASH值是否相同��,從而判斷所述PIN是否輸入正確;采用驗證服務器私匙對所述身份認證請求包含的驗證密碼和用者配置文件中的用者隨機數(shù)據(jù)的合并進行簽字運算產生下載PIN;向移動終端發(fā)送所述下載PIN�。
[0037]現(xiàn)有的移動終端軟件私匙,由于私匙及其使用環(huán)境能復制�,以及黑客能無限制地輸入各種不同的PIN���,在所用的PIN/密碼不很長的情況下,是較容易被黑客破解的�。而對于本發(fā)明提供的移動終端網絡私匙來說,其把解密私匙的部分數(shù)據(jù)和運算移到驗證服務器���,而且驗證服務器設PIN最大連續(xù)輸入錯誤次數(shù)以阻止無限制地輸入各種不同的PIN���,克服了現(xiàn)有的移動終端軟件私匙及其環(huán)境能復制,和黑客能無限制地輸入各種不同的PIN的安全缺陷���。驗證服務器上的運算不像移動終端那樣受環(huán)境限制,能使用更安全的技術和操作�����,如使用硬件私匙或密碼很長的軟件私匙��。在使用硬件私匙或密碼很長的軟件私匙的情況下��,即使驗證服務器被攻陷����,黑客仍無法復制驗證服務器上的運算�。通過本發(fā)明的移動終端網絡私匙���,即便黑客偷了終端但不知PIN��,也不可能破解私匙�����?����?梢?���,本發(fā)明不但在性能和安全性上遠勝于現(xiàn)在大量使用的短信認證碼���,而且也克服了現(xiàn)有軟件私匙的安全缺陷�,能大大提尚移動互聯(lián)網的安全和效率��。
[0038]說明書附圖
[0039]結合以下說明書附圖�����,對本發(fā)明的【具體實施方式】進行詳細介紹,其中:
[0040]圖1是本發(fā)明優(yōu)選實施例中初始化及加密私匙的流程示意圖�;
[0041]圖2是本發(fā)明優(yōu)選實施例中解密私匙的流程示意圖。
【具體實施方式】
[0042]下面通過實施例��,對本發(fā)明的技術方案做進一步具體的說明����。
[0043]與現(xiàn)有技術中的軟件私匙將用以解密私匙的數(shù)據(jù)和運算都放在同一終端上不同,對于本發(fā)明的網絡私匙來說�,將解密私匙的部分數(shù)據(jù)和運算移到驗證服務器,而且驗證服務器設PIN最大連續(xù)輸入錯誤次數(shù)以阻止無限制地輸入各種不同的PIN�。以下通過實施例描述本發(fā)明的具體方案,即移動終端上的APP如何初始化��、加密和解密私匙�����。
[0044](一)初始化及加密私匙
[0045]圖1是本發(fā)明優(yōu)選實施例中初始化及加密私匙的流程示意圖��。
[0046]首先���,用者在移動終端的APP上輸入用者信息(如名字等),和新的用于加密私匙的PIN(為了避免輸入錯誤可以要求用戶重復輸入兩次該PIN)����。
[0047]移動終端的APP產生隨機的初始化數(shù)據(jù)�����,計算PIN和該初始化數(shù)據(jù)之合并的hash值����,作為驗證密碼;產生RSA公私匙對;移動終端發(fā)送用者信息��、驗證密碼�����、RSA公匙到驗證服務器���;
[0048]驗證服務器向認證中心發(fā)送包含用者信息和RSA公匙的證書請求��,并獲得證書;產生用者隨機數(shù)據(jù)����,將用者信息�����、用者隨機數(shù)據(jù)、驗證密碼的Hash值和PIN連續(xù)輸入錯誤次數(shù)(初始設為O)存于用者配置文件中�;用驗證服務器私匙對驗證密碼和用者隨機數(shù)據(jù)的合并進行簽字運算,產生下載PIN��,發(fā)送證書和下載PIN回移動終端的APP;
[0049]移動終端的APP以所述PIN��、初始化數(shù)據(jù)���、硬件參數(shù)和下載PIN為輸入參量���,用密碼函數(shù)計算私匙密碼,然后將證書和私匙以PKCS12格式存儲于在APP儲存空間的一個文件中�����,其中的私匙用該私匙密碼加密;并且將初始化數(shù)據(jù)存于APP儲存空間中��。
[0050](二)解密私匙
[0051 ]圖2是本發(fā)明解密私匙的流程示意圖�。
[0052]首先��,用者在移動終端的APP上輸入PIN;
[0053]APP計算PIN和該APP儲存空間當中所儲存的初始化數(shù)據(jù)之合并的hash值���,作為驗證密碼��,向驗證服務器發(fā)送包含驗證密碼的身份認證請求���;
[0054]驗證服務器提取請求認證身份的用者配置文件�,讀取其中PIN連續(xù)輸入錯誤次數(shù)�����;如果PIN連續(xù)輸入錯誤次數(shù)大于系統(tǒng)預先定義的一個PIN最大連續(xù)輸入錯誤次數(shù)閾值��,則驗證服務器反饋表示錯誤次數(shù)超過PIN最大連續(xù)輸入錯誤次數(shù)閾值的信息回APP����,APP根據(jù)該信息確定解密私匙失敗��;
[0055]相反���,如果PIN連續(xù)輸入錯誤次數(shù)未超過閾值��,則驗證服務器判斷身份認證請求中驗證密碼的Hash值和用者配置文件中的驗證密碼Hash值是否相同�;如果相同����,則重設用者配置文件中PIN連續(xù)輸入錯誤次數(shù)為O;否則��,將該PIN連續(xù)輸入錯誤次數(shù)增加I;
[0056]進而���,驗證服務器用驗證服務器私匙對身份認證請求中的驗證密碼和用者配置文件中的用者隨機數(shù)據(jù)的合并進行簽字運算產生下載PIN,發(fā)送下載PIN回移動終端APP;
[0057]移動終端的APP以PIN���、存于APP儲存空間中的初始化數(shù)據(jù)�����、硬件參數(shù)和該下載PIN為密碼函數(shù)之輸入參量�����,計算私匙密碼�����,試用私匙密碼解密存于APP儲存空間中的PKCSl 2文件中的私匙�����;
[0058]如果輸入之PIN為正確(與初始化時的PIN相同)�,私匙解密成功���;否則私匙解密失敗�����。
[0059]可見�,現(xiàn)有的移動終端軟件私匙��,由于私匙及其使用環(huán)境能復制��,以及黑客能無限制地輸入各種不同的PIN��,在所用的PIN/密碼不很長的情況下�,是較容易被黑客破解的。而對于本發(fā)明提供的移動終端網絡私匙來說���,其把解密私匙的部分數(shù)據(jù)和運算移到驗證服務器���,而且驗證服務器設PIN最大連續(xù)輸入錯誤次數(shù)以阻止無限制地輸入各種不同的PIN,克服了現(xiàn)有的移動終端軟件私匙及其環(huán)境能復制�����,和黑客能無限制地輸入各種不同的PIN的安全缺陷。驗證服務器上的運算不像移動終端那樣受環(huán)境限制�,能使用更安全的技術和操作,如使用硬件私匙或密碼很長的軟件私匙�����。在使用硬件私匙或密碼很長的軟件私匙的情況下����,即使驗證服務器被攻陷,黑客仍無法復制驗證服務器上的運算����。通過本發(fā)明的移動終端網絡私匙,即便黑客偷了終端但不知PIN����,也不可能破解私匙??梢姡景l(fā)明不但在性能和安全性上遠勝于現(xiàn)在大量使用的短信認證碼�,而且也克服了現(xiàn)有軟件私匙的安全缺陷,能大大提尚移動互聯(lián)網的安全和效率��。
[0060]以上實施例僅用于說明本發(fā)明���,而并非對本發(fā)明的限制��,有關技術領域的普通技術人員���,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型�,因此所有等同的技術方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護范圍應由權利要求限定����。
【主權項】
1.一種用于移動終端的網絡私匙的生成方法,其特征在于����,包括以下步驟: 獲得用者信息及用于加密私匙的PIN; 根據(jù)所述PIN和隨機生成的初始化數(shù)據(jù)計算HASH值作為驗證密碼;產生公私匙對;并且將所述用者信息、驗證密碼和公匙發(fā)送至驗證服務器�; 從驗證服務器接收該驗證服務器根據(jù)所述用者信息和公匙獲得的證書,以及從驗證服務器接收該驗證服務器根據(jù)所述驗證密碼和用者隨機數(shù)據(jù)生成的下載PIN; 根據(jù)所述PIN�����、初始化數(shù)據(jù)���、硬件參數(shù)及下載PIN計算私匙密碼���,以該私匙密碼加密所述私匙��; 存儲所述證書�����、加密后的私匙以及所述初始化數(shù)據(jù)���。2.根據(jù)權利要求1所述的移動終端的網絡私匙的生成方法,其特征在于��,所述驗證服務器將所述用者信息�、用者隨機數(shù)據(jù)、驗證密碼的HASH值及PIN連續(xù)輸入錯誤次數(shù)保存在用者配置文件中��。3.根據(jù)權利要求1所述的移動終端的網絡私匙的生成方法���,其特征在于�����,所述驗證服務器產生所述用者隨機數(shù)據(jù)����,并在生成下載PIN的運算中使用驗證服務器私匙執(zhí)行簽字運算。4.一種用于移動終端的網絡私匙的應用方法�,其特征在于,包括以下步驟: 在移動終端上輸入PIN; 根據(jù)輸入的所述PIN和存儲的初始化數(shù)據(jù)�����,計算HASH值作為驗證密碼��;向驗證服務器發(fā)送包含該驗證密碼的身份認證請求����; 從驗證服務器接收該驗證服務器根據(jù)所述驗證密碼和用者配置文件中存儲的用者隨機數(shù)據(jù)生成的下載PIN; 根據(jù)所述PIN�、所述存儲的初始化數(shù)據(jù)、硬件參數(shù)及該下載PIN計算私匙密碼�����; 利用該私匙密碼解密移動終端所存儲的加密后的私匙����。5.根據(jù)權利要求4所述的移動終端的網絡私匙的應用方法,其特征在于�,所述驗證服務器從用者配置文件中讀取PIN連續(xù)輸入錯誤次數(shù),并判斷該PIN連續(xù)輸入錯誤次數(shù)是否大于PIN最大連續(xù)輸入錯誤次數(shù)閾值;若超過該閾值,則驗證服務器向移動終端反饋超過該閾值的信息�����,移動終端根據(jù)該信息確定解密私匙失敗����。6.根據(jù)權利要求4所述的移動終端的網絡私匙的應用方法,其特征在于��,所述驗證服務器判斷所述身份認證請求包含的驗證密碼的HASH值與用者配置文件中存儲的驗證密碼HASH值是否相同����,從而判斷所述PIN是否輸入正確。7.根據(jù)權利要求4所述的移動終端的網絡私匙的應用方法���,其特征在于�����,生成下載PIN的運算中使用驗證服務器私匙執(zhí)行簽字運算���。8.一種網絡私匙的生成系統(tǒng),其特征在于����,包括: 移動終端�����,用于獲得用者信息及用于加密私匙的PIN;根據(jù)所述PIN和隨機生成的初始化數(shù)據(jù)計算HASH值作為驗證密碼;產生公私匙對;并且將所述用者信息�����、驗證密碼和公匙發(fā)送至驗證服務器;從驗證服務器接收該驗證服務器根據(jù)所述用者信息和公匙獲得的證書��,以及從驗證服務器接收該驗證服務器根據(jù)所述驗證密碼和用者隨機數(shù)據(jù)生成的下載PIN;根據(jù)所述PIN��、初始化數(shù)據(jù)、硬件參數(shù)及下載PIN計算私匙密碼�,以該私匙密碼加密所述私匙;存儲所述證書、加密后的私匙以及所述初始化數(shù)據(jù)�����; 驗證服務器�,用于向認證中心發(fā)送包含用者信息與公匙的證書請求以獲得所述證書;產生用者隨機數(shù)據(jù);將所述用者信息��、用者隨機數(shù)據(jù)�、驗證密碼的HASH值及PIN連續(xù)輸入錯誤次數(shù)保存在用者配置文件中;采用驗證服務器私匙對所述驗證密碼和用者隨機數(shù)據(jù)的合并進行簽字運算產生所述下載PIN;向移動終端發(fā)送所述下載PIN。9.一種網絡私匙的應用系統(tǒng)����,其特征在于,包括: 移動終端����,用于輸入PIN;根據(jù)輸入的所述PIN和存儲的初始化數(shù)據(jù),計算HASH值作為驗證密碼����;向驗證服務器發(fā)送包含該驗證密碼的身份認證請求;從驗證服務器接收該驗證服務器根據(jù)所述驗證密碼和用者配置文件中存儲的用者隨機數(shù)據(jù)生成的下載PIN;根據(jù)所述PIN、所述存儲的初始化數(shù)據(jù)���、硬件參數(shù)及該下載PIN計算私匙密碼;利用該私匙密碼解密移動終端所存儲的加密后的私匙��; 驗證服務器��,用于從用者配置文件中讀取PIN連續(xù)輸入錯誤次數(shù)�����,并判斷該PIN連續(xù)輸入錯誤次數(shù)是否大于PIN最大連續(xù)輸入錯誤次數(shù)閾值;若超過該閾值���,則驗證服務器向移動終端反饋超過該閾值的信息����,移動終端根據(jù)該信息確定解密私匙失敗;若未超過該閾值��,驗證服務器判斷所述身份認證請求包含的驗證密碼的HASH值與用者配置文件中存儲的驗證密碼HASH值是否相同�,從而判斷所述PIN是否輸入正確;采用驗證服務器私匙對所述身份認證請求包含的驗證密碼和用者配置文件中的用者隨機數(shù)據(jù)的合并進行簽字運算產生所述下載PIN;向移動終端發(fā)送所述下載PIN。10.—種針對網絡私匙的驗證服務器����,其特征在于,所述驗證服務器用于從移動終端接收用者信息�、驗證密碼和公匙;向認證中心發(fā)送包含用者信息與公匙的證書請求以獲得證書;產生用者隨機數(shù)據(jù);將所述用者信息���、用者隨機數(shù)據(jù)����、驗證密碼的HASH值及PIN連續(xù)輸入錯誤次數(shù)保存在用者配置文件中��;采用驗證服務器私匙對所述驗證密碼和用者隨機數(shù)據(jù)的合并進行簽字運算產生所述下載PIN;將所述下載PIN發(fā)送給移動終端���;以及 從移動終端接收包含驗證密碼的身份認證請求;從用者配置文件中讀取PIN連續(xù)輸入錯誤次數(shù),并判斷該PIN連續(xù)輸入錯誤次數(shù)是否大于PIN最大連續(xù)輸入錯誤次數(shù)閾值;若超過該閾值���,則向移動終端反饋超過該閾值的信息�����,以便移動終端根據(jù)該信息確定解密私匙失敗;若未超過該閾值����,判斷所述身份認證請求包含的驗證密碼的HASH值與用者配置文件中存儲的驗證密碼HASH值是否相同,從而判斷所述PIN是否輸入正確;采用驗證服務器私匙對所述身份認證請求包含的驗證密碼和用者配置文件中的用者隨機數(shù)據(jù)的合并進行簽字運算產生下載PIN;向移動終端發(fā)送所述下載PIN�����。
【文檔編號】H04W12/04GK105873043SQ201610414890
【公開日】2016年8月17日
【申請日】2016年6月14日
【發(fā)明人】周波
【申請人】周波