專利名稱:一種強制雙向動態(tài)密碼的認證方法及其認證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種動態(tài)密碼的認證方法及其認證系統(tǒng)�,尤其涉及一種強制雙向動態(tài)密碼 的認證方法及其認證系統(tǒng)。
背景技術(shù):
隨著電子商務(wù)�、企業(yè)信息化的發(fā)展,越來越多的商業(yè)活動在通過包括網(wǎng)絡(luò)��、電話�、自 助終端等電子化系統(tǒng)中進行,客戶賬戶的安全成為一個重要的問題����。而單一依靠靜態(tài)密碼 進行交易的身份確認方式,存在嚴重的被竊取�����、猜測破解等安全問題����。電子令牌,即動態(tài) 密碼發(fā)生器�,能夠較好地解決上述問題,并在電子商務(wù)等方面有著越來越多的應(yīng)用��。動態(tài) 密碼發(fā)生器,內(nèi)部固化有唯一的用戶信息���,可通過加密算法計算并產(chǎn)生動態(tài)變化的密碼�。 將該密碼送到相應(yīng)的認證系統(tǒng)進行識別����,通過相應(yīng)的算法核對,即可以識別出該密碼是否 符合對應(yīng)的客戶身份�����。目前巿面上多數(shù)的動態(tài)密碼發(fā)生器產(chǎn)品����,采用基于時間的動態(tài)密碼 技術(shù)。由于動態(tài)密碼隨時間變化生成��,因此每次產(chǎn)生的密碼都不相同�,且每次產(chǎn)生的密碼 也只能在一定的時間范圍內(nèi)有效,并限定一次性使用���,所以對于密碼猜測��、密碼窺探等安 全隱患有較好的防范作用�����。
現(xiàn)在產(chǎn)生以及驗證密碼使用不同的加密算法的密匙���、算法和參數(shù)可以產(chǎn)生不同的密 碼��。但是�,目前的動態(tài)密碼發(fā)生器產(chǎn)品,在認證模式上存在一定的缺陷����。多數(shù)密碼器產(chǎn)品, 釆用單向認證模式����,即由動態(tài)密碼器根據(jù)同步機制產(chǎn)生當(dāng)前密碼,然后用戶直接把密碼反 饋回服務(wù)器���。這種單向模式缺乏對服務(wù)端真?zhèn)涡缘挠行цb別能力�����,難以防止偽造網(wǎng)站等服 務(wù)端盜取用戶當(dāng)前密碼的釣魚攻擊����。"網(wǎng)絡(luò)釣魚"攻擊利用欺騙性的電子郵件和偽造的Web 站點等來進行詐騙活動,詐騙者通常會將自己偽裝成知名銀行��、在線零售商和信用卡公司 等可信的品牌��,受騙者往往會以為登錄的是正式的網(wǎng)站�,而進行賬戶密碼的登錄,從而被 這些網(wǎng)站竊取了自己的財務(wù)數(shù)據(jù)�,如信用卡號、賬戶用戶名�、口令等內(nèi)容。
雖然動態(tài)密碼有一定的時效性�����,每個密碼只能使用一次�。目前的動態(tài)密碼器的密碼變 化一般為一分鐘一次����,每個密碼的有效期在分鐘級別,完全可以被偽裝的釣魚網(wǎng)站竊取密 碼�,然后用竊取到的密碼登錄保護的系統(tǒng)竊取用戶信息。還有一種常用的認證模式�����,即從服務(wù)器上獲取隨機應(yīng)答碼,進行異步生成密碼方式來 增加對服務(wù)器的驗證���。該模式并沒有對附加碼進行合法性校驗�����,也依然存在安全風(fēng)險。
目前巿面上的動態(tài)密碼發(fā)生器產(chǎn)品���,在使用設(shè)計�、結(jié)構(gòu)設(shè)計以及多系統(tǒng)共用等方面都 存在一定不足和缺陷�����。比如��,密碼器采用隨機應(yīng)答碼模式進行認證時����,對密碼器本身結(jié)構(gòu) 的設(shè)計,會要求有足夠按鍵完成簡單�����、方便��、快速的輸入搡作���,要求密碼器有足夠的大小 以容納按鍵����,而這點往往與密碼器屬于便攜式安全產(chǎn)品要求外觀小巧的屬性相沖突�����。動態(tài) 密碼發(fā)生器中的算法和參數(shù)�����,基于安全要求絕對不能被其他應(yīng)用系統(tǒng)獲知和使用���,在應(yīng)用 表現(xiàn)上就是每個應(yīng)用系統(tǒng)都要有自己的認證服務(wù)器,應(yīng)用內(nèi)的密碼器參數(shù)只允許安全存儲 在自己的動態(tài)密碼認證系統(tǒng)中����。
在這種應(yīng)用安全要求下�,如果用戶使用的多個應(yīng)用系統(tǒng)都要求使用密碼器��,那么用戶 就要申請�����、擁有和攜帶多個對應(yīng)的密碼器了�����。但如果要求用戶攜帶多個密碼器�,不但攜帶 不方便�����,還可能會把密碼器和應(yīng)用系統(tǒng)的對應(yīng)關(guān)系弄錯�,在使用上造成不便和混亂�����。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題���,設(shè)計一種動態(tài)密碼的認證方法及其認證系統(tǒng)����,首先要能夠 有效的防止釣魚軟件等間諜軟件竊取用戶的動態(tài)密碼,其次能夠讓單個的用戶密碼發(fā)生器 能夠簡便有效的對應(yīng)多個服務(wù)器進行應(yīng)用�����。
為了解決上述技術(shù)問題�����,本發(fā)明提供一種強制雙向動態(tài)密碼的認證方法��,該方法基于 一種強制雙向動態(tài)密碼認證系統(tǒng)�����,該動態(tài)密碼認證系統(tǒng)包括至少 一個認證系統(tǒng)服務(wù)器和至 少一個用戶密碼發(fā)生器�����,其特征在于����,所述認證方法包括以下步驟A:
向所述認證系統(tǒng)服務(wù)器發(fā)出認證請求��,則所述認證系統(tǒng)服務(wù)器產(chǎn)生包含服務(wù)器身份信 息的服務(wù)器動態(tài)附加碼����;
所述用戶密碼發(fā)生器根據(jù)服務(wù)器動態(tài)附加碼判定該認證系統(tǒng)服務(wù)器的身份,然后按照 該認證系統(tǒng)服務(wù)器所對應(yīng)的加密算法產(chǎn)生包含有用戶身份信息的動態(tài)用戶密碼���;
送入該動態(tài)用戶密碼到該認證系統(tǒng)服務(wù)器�,該認證系統(tǒng)服務(wù)器驗證該動態(tài)用戶密碼判 定所述用戶密碼發(fā)生器的身份����。
通過上述技術(shù)方案,本發(fā)明的動態(tài)密碼的認證系統(tǒng)在進行應(yīng)用之前�,將強行命令用戶 密碼發(fā)生器對認證系統(tǒng)服務(wù)器進行確認,有效的防止了釣魚軟件等間諜軟件對動態(tài)用戶密 碼進行竊取�。
作為上述方法的一個實施例����,所述強制雙向動態(tài)密碼的認證系統(tǒng)包括兩個或兩個以上的認證系統(tǒng)服務(wù)器��;
所述用戶密碼發(fā)生器儲存有全部認證系統(tǒng)服務(wù)器的服務(wù)器身份信息�����;所述認證系統(tǒng)服 務(wù)器儲存有與其有聯(lián)系的全部用戶密碼發(fā)生器的用戶身份信息。
通過上述技術(shù)方案���,當(dāng)用戶輸入服務(wù)器動態(tài)附加碼到用戶密碼發(fā)生器后���,用戶密碼發(fā) 生器能夠自動判定該服務(wù)器動態(tài)附加碼所對應(yīng)的認證系統(tǒng)服務(wù)器,這樣單個的用戶密碼發(fā) 生器可以根據(jù)所確認的不同的認證系統(tǒng)服務(wù)器來產(chǎn)生相應(yīng)的動態(tài)用戶密碼����,以實現(xiàn)單個用 戶密碼發(fā)生器支持多個不同的認證系統(tǒng)服務(wù)器。
上述方案的另一個實施例為����,所述用戶密碼發(fā)生器在與不同的所述認證系統(tǒng)服務(wù)器相 互驗證時,采用的是不同的加密算法的密匙���、算法和參數(shù)來分別產(chǎn)生所述動態(tài)用戶密碼�。
所述用戶密碼發(fā)生器把所述服務(wù)器身份信息與該服務(wù)器身份信息對應(yīng)的認證系統(tǒng)服務(wù) 器的加密算法的密匙����、算法和參數(shù)成組存儲在一起;所述用戶密碼發(fā)生器比對所述服務(wù)器 動態(tài)附加碼所包含的服務(wù)器身份信息��,釆用與該服務(wù)器身份信息相應(yīng)的加密算法的密匙、 算法和參數(shù)產(chǎn)生動態(tài)用戶密碼��;
所述認證系統(tǒng)服務(wù)器釆用該用戶密碼發(fā)生器對應(yīng)的加密算法的密匙��、算法和參數(shù)驗證 該動態(tài)用戶密碼���。
上述方案的另一個實施例為��,為了增強所述用戶密碼發(fā)生器的安全性����,對應(yīng)每個所述 認證系統(tǒng)服務(wù)器����,所述用戶密碼發(fā)生器包含有一個啟動密匙,在所述的步驟A或初始化啟 用之前�����,有如下步驟
輸入一個啟動密匙到所述用戶密碼發(fā)生器�,所述用戶密碼發(fā)生器對該啟動密匙進行核 對��,如果通過核對����,則進行所述步驟A;否則��,結(jié)東。
本發(fā)明還設(shè)計一種強制雙向動態(tài)密碼的認證系統(tǒng)��,包括至少一個認證系統(tǒng)服務(wù)器�����, 和至少一個用戶密碼發(fā)生器�����;
所述認證系統(tǒng)服務(wù)器包括系統(tǒng)接口�、動態(tài)附加碼產(chǎn)生模塊、認證模塊��、密碼發(fā)生模 塊�����、用于為所述密碼發(fā)生模塊提供時間數(shù)據(jù)的系統(tǒng)時鐘����、存儲有所有用戶的用戶信息及加 密算法的系統(tǒng)數(shù)據(jù)庫����;
所述動態(tài)附加碼產(chǎn)生模塊用于接收所述系統(tǒng)接口的服務(wù)器動態(tài)附加碼認證請求�����,并命 令所述密碼發(fā)生模塊生成服務(wù)器動態(tài)附加碼�����,將該服務(wù)器動態(tài)附加碼經(jīng)由所述系統(tǒng)接口輸出���;所述認證模塊用于接收所述系統(tǒng)接口的動態(tài)用戶密碼��,結(jié)合所述密碼發(fā)生模塊生成的 動態(tài)用戶密碼����,進行比對后確認該動態(tài)用戶密碼驗證請求對應(yīng)的用戶密碼發(fā)生器的身份�����, 將認證結(jié)果經(jīng)由所述系統(tǒng)接口輸出���;所述密碼發(fā)生模塊為一個計算處理單元,用于結(jié)合所 述系統(tǒng)數(shù)據(jù)庫的加密算法信息和所述系統(tǒng)時鐘的時間信息,生成服務(wù)器動態(tài)附加碼和動態(tài) 用戶密碼�。
所述用戶密碼發(fā)生器包括用于顯示輸出的顯示模塊、用于輸入數(shù)據(jù)的輸入模塊����、動 態(tài)附加碼驗證模塊、動態(tài)密碼產(chǎn)生模塊���、密碼模塊���、用于為所述密碼模塊提供時間數(shù)據(jù)的 時鐘、用于存儲特定服務(wù)器身份信息及加密算法的身份碼寄存器���;
經(jīng)由所述輸入模塊輸入的服務(wù)器動態(tài)附加碼���,進入所述動態(tài)附加碼驗證模塊,由所述 動態(tài)附加碼驗證模塊結(jié)合所述密碼模塊生成的服務(wù)器動態(tài)附加碼����,進行比對后確認該驗證 請求所對應(yīng)的服務(wù)器的身份信息,將確認后的服務(wù)器身份信息輸出給所述動態(tài)密碼產(chǎn)生模 塊����、或經(jīng)由所述顯示模塊顯示輸出����;所述動態(tài)密碼產(chǎn)生模塊用于接收所述動態(tài)附加碼驗證 模塊輸出的服務(wù)器身份信息��,并命令所述密碼模塊生成動態(tài)用戶密碼��,將該動態(tài)用戶密碼 經(jīng)由所述顯示模塊顯示輸出�;所述密碼模塊為一個計算處理單元,用于結(jié)合所述身份碼寄 存器的加密算法信息和所述時鐘的時間信息��,生成服務(wù)器動態(tài)附加碼和動態(tài)用戶密碼��。
采用上述技術(shù)方案����,認證系統(tǒng)服務(wù)器的所述密碼發(fā)生模塊不與系統(tǒng)接口發(fā)生任何聯(lián) 系,負責(zé)產(chǎn)生密碼���,而對數(shù)據(jù)進行比對則是所述認證模塊的功能���。用戶密碼發(fā)生器的密碼 模塊負責(zé)產(chǎn)生密碼,附加碼驗證模塊對數(shù)據(jù)進行比對�����。
所述動態(tài)附加碼驗證模塊對所述輸入模塊的輸入,進行驗證比對��,如果該動態(tài)附加碼 能找到相應(yīng)的服務(wù)器身份信息����,則所述動態(tài)密碼產(chǎn)生模塊命令所述密碼模塊調(diào)用所述身份 碼寄存器和時鐘的數(shù)據(jù)�����,產(chǎn)生動態(tài)用戶密碼�����,并由所述顯示模塊輸出���。當(dāng)該動態(tài)附加碼不 能找到相應(yīng)的服務(wù)器身份信息�,則所述動態(tài)附加碼驗證模塊向所述顯示模塊輸出錯誤信 息�����。
該強制雙向動態(tài)密碼的認證系統(tǒng)能夠讓用戶密碼發(fā)生器在進行應(yīng)用之前將強行對認 證系統(tǒng)服務(wù)器進行確認�,有效的防止了釣魚軟件等間諜軟件對動態(tài)用戶密碼進行盜竊。
作為本發(fā)明的更具體的實施例����,所述強制雙向動態(tài)密碼的認證系統(tǒng)��,包括兩個或者兩 個以上的認證系統(tǒng)服務(wù)器���;
所述身份碼寄存器把所述認證系統(tǒng)服務(wù)器的服務(wù)器身份信息與該服務(wù)器身份信息對 應(yīng)的認證系統(tǒng)服務(wù)器的加密算法的密匙、算法和參數(shù)成組存儲在一起����;不同的服務(wù)器身份信息和與其對應(yīng)的認證系統(tǒng)服務(wù)器的加密算法的密匙、算法和參數(shù)
之間被相互隔離儲存����;
當(dāng)確認所述服務(wù)器動態(tài)附加碼所對應(yīng)的認證系統(tǒng)服務(wù)器后,所述密碼模塊釆用與該認 證系統(tǒng)服務(wù)器所對應(yīng)的加密算法的密匙����、算法和參數(shù),結(jié)合所述用戶信息和時間數(shù)據(jù)產(chǎn)生 用戶動態(tài)密碼�����。
通過上述技術(shù)方案��,當(dāng)用戶輸入服務(wù)器動態(tài)附加碼到用戶密碼發(fā)生器后,用戶密碼發(fā) 生器能夠自動判定該服務(wù)器動態(tài)附加碼所對應(yīng)的認證系統(tǒng)服務(wù)器���,這樣單個的用戶密碼發(fā) 生器可以根據(jù)所確認的不同的認證系統(tǒng)服務(wù)器來產(chǎn)生相應(yīng)的動態(tài)用戶密碼���,以實現(xiàn)單個用 戶密碼發(fā)生器支持多個不同的認證系統(tǒng)服務(wù)器。
釆取該方法�,用戶密碼發(fā)生器所對應(yīng)支持的認證系統(tǒng)服務(wù)器數(shù)量,由該用戶密碼發(fā)生 器的存儲空間所決定�����,而且可以方便擴展支持新的認證系統(tǒng)服務(wù)器�����。在用戶密碼發(fā)生器中�, 不同的認證系統(tǒng)服務(wù)器的服務(wù)器身份信息被加密隔離存儲���。在新增認證系統(tǒng)服務(wù)器時�����,只 需要把包括該認證系統(tǒng)服務(wù)器的服務(wù)器身份信息��、密匙���、加密算法的參數(shù)和程序等數(shù)據(jù)寫 入到用戶密碼發(fā)生器中即可�。
同時����,用戶密碼發(fā)生器的身份碼寄存器中存儲的用戶信息對于每個認證系統(tǒng)服務(wù)器而 言都是唯一的。在認證動態(tài)密碼發(fā)生器受到拆卸的時候��,自動銷毀所有身份碼寄存器����,以 保護密鑰、算法���、參數(shù)設(shè)置等不被泄露�����。
為了便于用戶輸入服務(wù)器動態(tài)附加碼����,所述服務(wù)器動態(tài)附加碼為阿拉伯?dāng)?shù)字字符串���;
所述輸入模塊包括用于切換輸入模式和實現(xiàn)輸入數(shù)據(jù)移位的切換鍵�,和用于切換當(dāng) 前輸入數(shù)字的數(shù)字鍵。
為了使得本發(fā)明具有擴展性���,能支持新加入的認證系統(tǒng)服務(wù)器�,所述用戶密碼發(fā)生器 還進一步包括用于數(shù)據(jù)交換的數(shù)據(jù)接口����,所述數(shù)據(jù)接口與所述身份碼寄存器連接。
與現(xiàn)有技術(shù)相比本發(fā)明的優(yōu)點在于��,本發(fā)明的強制雙向動態(tài)密碼的認證方法及其認證 系統(tǒng)更加安全并且易于用戶使用���,首先能夠有效的防止釣魚軟件等間諜軟件竊取用戶的動 態(tài)密碼,其次能夠讓單個的用戶密碼發(fā)生器能夠簡便有效的對應(yīng)多個服務(wù)器進行應(yīng)用�,避 免用戶要使用多個認證系統(tǒng)服務(wù)器的時候要攜帶并選擇多個密碼發(fā)生器的麻煩。
圖1為本發(fā)明強制雙向動態(tài)密碼的認證系統(tǒng)的認證系統(tǒng)服務(wù)器結(jié)構(gòu)示意圖���;圖2為本發(fā)明強制雙向動態(tài)密碼的認證系統(tǒng)的用戶密碼發(fā)生器結(jié)構(gòu)示意圖����; 圖3為本發(fā)明強制雙向動態(tài)密碼的認證方法的流程示意圖�����。
具體實施例方式
以下結(jié)合附圖對本發(fā)明做進一步的說明。
如圖l所示�,所述認證系統(tǒng)服務(wù)器包括系統(tǒng)接口21、動態(tài)附加碼產(chǎn)生模塊22�����、認證 模塊24���、密碼發(fā)生模塊23�����、用于為所述密碼發(fā)生模塊23提供時間數(shù)據(jù)的系統(tǒng)時鐘26���、存 儲有所有用戶的用戶信息及加密算法的系統(tǒng)數(shù)據(jù)庫25。
動態(tài)附加碼產(chǎn)生模塊22,用于接受系統(tǒng)接口 21的認證請求并命令密碼發(fā)生模塊23計 算出認證系統(tǒng)服務(wù)器對于用戶密碼發(fā)生器的服務(wù)器動態(tài)附加碼��,并通過系統(tǒng)接口 21發(fā)送 該服務(wù)器動態(tài)附加碼���。
認證模塊24讀取系統(tǒng)接口 21的動態(tài)用戶密碼驗證請求�����,命令密碼發(fā)生模塊23根據(jù)請 求驗證的密碼發(fā)生器身份信息及加密算法生成動態(tài)用戶密碼�����,與讀取于系統(tǒng)接口 21的動 態(tài)用戶密碼���,進行比對驗證�,并將驗證處理結(jié)果返回系統(tǒng)接口 21輸出��。
密碼發(fā)生模塊23為一個計算處理單元�,能夠結(jié)合系統(tǒng)時鐘26輸入的時間信息和所述 系統(tǒng)數(shù)據(jù)庫25中的加密算法生成服務(wù)器動態(tài)附加碼和動態(tài)用戶密碼。
在系統(tǒng)數(shù)據(jù)庫25中所記錄的服務(wù)器身份信息�、所有用戶的用戶信息,以及生成模式參 數(shù)和采用算法進行計算處理產(chǎn)生所需要的數(shù)據(jù)����。
如圖2所示�����,所述用戶密碼發(fā)生器包括用于顯示輸出的顯示模塊ll�����、用于輸入數(shù)據(jù) 的輸入模塊12、動態(tài)附加碼驗證模塊13�、動態(tài)密碼產(chǎn)生模塊17、密碼模塊14�����、用于為所 述密碼模塊14提供時間數(shù)據(jù)的時鐘15��、用于存儲特定服務(wù)器身份信息及加密算法的身份 碼寄存器16���。
所述服務(wù)器動態(tài)附加碼從所述輸入模塊12輸入到所述動態(tài)附加碼驗證模塊13��,所述 動態(tài)附加碼驗證模塊13根據(jù)服務(wù)器動態(tài)附加碼中服務(wù)器身份信息����,命令所述密碼模塊14 調(diào)用所述時鐘15和身份碼寄存器16加密算法信息生成服務(wù)器動態(tài)附加碼�,所述動態(tài)附加 碼驗證模塊13對兩個附加碼進行比對來驗證服務(wù)器身份。
所述動態(tài)附加碼驗證模塊13確定服務(wù)器身份后���,由動態(tài)密碼產(chǎn)生模塊17調(diào)用所述密 碼模塊14結(jié)合所述時鐘15和身份碼寄存器16的信息來生成動態(tài)用戶密碼��,并把該動態(tài)用戶密碼送到所述顯示模塊ll顯示輸出���。
在相互匹配的認證系統(tǒng)服務(wù)器和用戶密碼發(fā)生器之間��,可以釆用相同的加密算法來產(chǎn) 生服務(wù)器動態(tài)附加碼和動態(tài)用戶密碼�。但是�,每個用戶密碼發(fā)生器之間可以采用不同的算 法特征。
針對多個認證系統(tǒng)服務(wù)器共用單個用戶密碼發(fā)生器的要求�,本發(fā)明提出了用戶密碼發(fā) 生器的密碼模塊14能同時支持多個認證系統(tǒng)服務(wù)器的設(shè)計,在應(yīng)用時����,由輸入模塊12輸 入需強制認證的服務(wù)器動態(tài)附加碼來確認所要使用的認證系統(tǒng)服務(wù)器。
用戶密碼發(fā)生器的身份碼寄存器16包括被分為多個相互獨立�、安全隔離的寄存器組, 每組都包含有與該服務(wù)器身份信息相應(yīng)的加密算法的密匙����、算法和參數(shù)。 一種具體的實施 方式是��,每個寄存器內(nèi)都包括兩種數(shù)據(jù) 一個為服務(wù)器身份信息����, 一個為在與該服務(wù)器身 份信息相對應(yīng)的認證系統(tǒng)服務(wù)器中該用戶密碼發(fā)生器的用戶信息�����。所述不同認證系統(tǒng)服務(wù) 器中的相同的用戶密碼發(fā)生器的用戶信息可以相同,也可以不同��。
無論雙向動態(tài)密碼的認證系統(tǒng)包括一個還是多個認證系統(tǒng)服務(wù)器�,都涉及到用戶密碼 發(fā)生器生產(chǎn)、分發(fā)��、使用的加密信息的安全問題�,還會涉及生產(chǎn)開發(fā)廠家、各個系統(tǒng)使用 者�����、用戶方之間的信任和授權(quán)問題��。
各個系統(tǒng)使用者之間對用戶密碼發(fā)生器內(nèi)的加密信息的安全隔離問題���,特別是在多認 證系統(tǒng)服務(wù)器的使用場景下����,務(wù)必保證不同認證系統(tǒng)服務(wù)器之間是不能共用完全的加密信 息的���。因此��,需要把不同認證系統(tǒng)服務(wù)器之間不同的加密信息隔離開來����,并且在啟用時需 要經(jīng)過多方的有效授權(quán)。
生產(chǎn)用戶密碼發(fā)生器時���,在用戶密碼發(fā)生器內(nèi)植入針對不同的認證系統(tǒng)服務(wù)器的加密 算法信息�。分發(fā)用戶密碼發(fā)生器時��,生產(chǎn)廠家把每個認證系統(tǒng)服務(wù)器所特有的唯一的一套 加密信息分發(fā)給認證系統(tǒng)的使用者�����,系統(tǒng)使用者所獲取加密信息僅針對于其擁有的認證系 統(tǒng)服務(wù)器及用戶密碼發(fā)生器���。
如圖3所示��,用戶密碼發(fā)生器端產(chǎn)生一個進入認證系統(tǒng)服務(wù)器的認證請求�,認證系統(tǒng) 服務(wù)器根據(jù)輸入的認證請求判斷用戶密碼發(fā)生器的標識�����,然后根據(jù)相應(yīng)的加密算法生成一 個服務(wù)器動態(tài)附加碼���。所述服務(wù)器動態(tài)附加碼中包含有所述認證系統(tǒng)服務(wù)器的服務(wù)器身份 信息�,并且有一定的時效�。
服務(wù)器動態(tài)附加碼前兩位可以設(shè)定為不同的認證系統(tǒng)服務(wù)器的代號,可以根據(jù)動態(tài)附 加碼識別出認證出不同的認證系統(tǒng)服務(wù)器���。輸入該服務(wù)器動態(tài)附加碼到所述用戶密碼發(fā)生器���,所述用戶密碼發(fā)生器對該服務(wù)器動態(tài)附加碼進行認證,讀出服務(wù)器身份信息進行計算 比對��,以確認所述認證系統(tǒng)服務(wù)器的身份���。
當(dāng)所述用戶密碼發(fā)生器確認了所述認證系統(tǒng)服務(wù)器時候�,并以與該認證系統(tǒng)服務(wù)器相 應(yīng)的加密算法生成動態(tài)用戶密碼���。所述動態(tài)用戶密碼中包含有用戶信息���,并且有一定的時 效。如果所述用戶密碼發(fā)生器無法確認該服務(wù)器動態(tài)附加碼�����,則提示用戶相應(yīng)的錯誤信息。
輸入該動態(tài)用戶密碼到所述認證系統(tǒng)服務(wù)器�,所述認證系統(tǒng)服務(wù)器對該動態(tài)用戶密碼 進行處理,讀出相應(yīng)的用戶信息���,并進行比對���。如果確認了該動態(tài)用戶密碼的用戶信息, 則進行身份確認�����,允許用戶進行相應(yīng)權(quán)限的操作�����。如果沒有確認該動態(tài)用戶密碼的用戶信 息����,則提示用戶相應(yīng)的錯誤信息。
權(quán)利要求
1��、一種強制雙向動態(tài)密碼的認證方法��,該方法基于一種強制雙向動態(tài)密碼認證系統(tǒng)���,該動態(tài)密碼認證系統(tǒng)包括至少一個認證系統(tǒng)服務(wù)器和至少一個用戶密碼發(fā)生器��,其特征在于���,所述認證方法包括以下步驟A向所述認證系統(tǒng)服務(wù)器發(fā)出認證請求,則所述認證系統(tǒng)服務(wù)器產(chǎn)生包含服務(wù)器身份信息的服務(wù)器動態(tài)附加碼����;所述用戶密碼發(fā)生器根據(jù)服務(wù)器動態(tài)附加碼判定該認證系統(tǒng)服務(wù)器的身份,然后按照該認證系統(tǒng)服務(wù)器所對應(yīng)的加密算法產(chǎn)生包含有用戶身份信息的動態(tài)用戶密碼����;送入該動態(tài)用戶密碼到該認證系統(tǒng)服務(wù)器,該認證系統(tǒng)服務(wù)器驗證該動態(tài)用戶密碼判定所述用戶密碼發(fā)生器的身份�。
2、 根據(jù)權(quán)利要求1所述的強制雙向動態(tài)密碼的認證方法��,其特征在于�,所述強制雙 向動態(tài)密碼的認證系統(tǒng)包括兩個或兩個以上的認證系統(tǒng)服務(wù)器;所述用戶密碼發(fā)生器儲存有全部認證系統(tǒng)服務(wù)器的服務(wù)器身份信息��;所述認證系統(tǒng)服 務(wù)器儲存有與其有聯(lián)系的全部用戶密碼發(fā)生器的用戶身份信息��。
3����、 根據(jù)權(quán)利要求2所述的強制雙向動態(tài)密碼的認證方法����,其特征在于�,所述用戶密碼發(fā)生器在與某一個認證系統(tǒng)服務(wù)器相互驗證時,在該用戶密碼發(fā)生器和 該認證系統(tǒng)服務(wù)器之間分別釆用相同的密匙���、算法和參數(shù)來生成所述動態(tài)用戶密碼或者驗 證所述服務(wù)器動態(tài)附加碼�。
4���、 根據(jù)權(quán)利要求2或者3所述的強制雙向動態(tài)密碼的認證方法����,其特征在于�,所述用戶密碼發(fā)生器在與不同的所述認證系統(tǒng)服務(wù)器相互驗證時,釆用的是不同的密 匙�、算法和參數(shù)來分別產(chǎn)生所述動態(tài)用戶密碼。
5����、 根據(jù)權(quán)利要求3或者4所述的強制雙向動態(tài)密碼的認證方法,其特征在于���,所述用戶密碼發(fā)生器把所述服務(wù)器身份信息與該服務(wù)器身份信息對應(yīng)的認證系統(tǒng)服務(wù) 器的加密算法的密匙����、算法和參數(shù)成組存儲在一起;所述用戶密碼發(fā)生器比對所述服務(wù)器動態(tài)附加碼所包含的服務(wù)器身份信息����,采用與該服務(wù)器身份信息相應(yīng)的密匙、算法和參數(shù)產(chǎn)生動態(tài)用戶密碼����;所述認證系統(tǒng)服務(wù)器采用該密匙���、算法和參數(shù)驗證該動態(tài)用戶密碼����。
6��、 根據(jù)權(quán)利要求1所述的強制雙向動態(tài)密碼的認證方法����,其特征在于,對應(yīng)每個所 述認證系統(tǒng)服務(wù)器�,所述用戶密碼發(fā)生器包含有一個啟動密匙����,在所述的步驟A或初始化 啟用之前�����,有如下步驟輸入一個啟動密匙到所述用戶密碼發(fā)生器����,所述用戶密碼發(fā)生器對該啟動密匙進行核 對,如果通過核對�,則進行所述步驟A;否則,結(jié)東����。
7、 一種強制雙向動態(tài)密碼的認證系統(tǒng)�,包括至少一個認證系統(tǒng)服務(wù)器,和至少一 個用戶密碼發(fā)生器�����;其特征在于所述認證系統(tǒng)服務(wù)器包括系統(tǒng)接口 ( 21 )���、動態(tài)附加碼產(chǎn)生模塊(22 )�、認證模塊(24 )、 密碼發(fā)生模塊(23)�����、用于為所述密碼發(fā)生模塊(23)提供時間數(shù)據(jù)的系統(tǒng)時鐘(26)���、存 儲有所有用戶的用戶信息及加密算法的系統(tǒng)數(shù)據(jù)庫(25 );所述動態(tài)附加碼產(chǎn)生模塊(22)用于接收所述系統(tǒng)接口 (21)的服務(wù)器動態(tài)附加碼認 證請求���,并命令所述密碼發(fā)生模塊(")生成服務(wù)器動態(tài)附加碼,將該服務(wù)器動態(tài)附加碼 經(jīng)由所述系統(tǒng)接口 (n)輸出����;所述認證模塊(24)用于接收所述系統(tǒng)接口 (21)的動態(tài) 用戶密碼�,結(jié)合所述密碼發(fā)生模塊(23)生成的動態(tài)用戶密碼,進行比對后確認該動態(tài)用 戶密碼驗證請求對應(yīng)的用戶密碼發(fā)生器的身份�,將認證結(jié)果經(jīng)由所述系統(tǒng)接口 (21)輸出; 所述密碼發(fā)生模塊(23)為一個計算處理單元�����,用于結(jié)合所述系統(tǒng)數(shù)據(jù)庫(25)的加密算 法信息和所述系統(tǒng)時鐘(26)的時間信息�,生成服務(wù)器動態(tài)附加碼和動態(tài)用戶密碼。所述用戶密碼發(fā)生器包括用于顯示輸出的顯示模塊(11)�����、用于輸入數(shù)據(jù)的輸入模 塊(12)、動態(tài)附加碼驗證模塊(13)��、動態(tài)密碼產(chǎn)生模塊(17)���、密碼模塊(14)����、用于為 所述密碼模塊(14)提供時間數(shù)據(jù)的時鐘(15)�、用于存儲特定服務(wù)器身份信息及加密算 法的身份碼寄存器(16);經(jīng)由所述輸入模塊(12)輸入的服務(wù)器動態(tài)附加碼,進入所述動態(tài)附加碼驗證模塊 (13),由所述動態(tài)附加碼驗證模塊(13)結(jié)合所述密碼模塊(14)生成的服務(wù)器動態(tài)附 加碼����,進行比對后確認該驗證請求所對應(yīng)的服務(wù)器的身份信息,將確認后的服務(wù)器身份信 息輸出給所述動態(tài)密碼產(chǎn)生模塊(17)�����、或經(jīng)由所述顯示模塊(11)顯示輸出�����;所述動態(tài) 密碼產(chǎn)生模塊(17)用于接收所述動態(tài)附加碼驗證模塊(13)輸出的服務(wù)器身份信息�����,并 命令所述密碼模塊(14)生成動態(tài)用戶密碼,將該動態(tài)用戶密碼經(jīng)由所述顯示模塊(11) 顯示輸出�;所述密碼模塊(24)為一個計算處理單元,用于結(jié)合所述身份碼寄存器(16)的加密算法信息和所述時鐘(15)的時間信息���,生成服務(wù)器動態(tài)附加碼和動態(tài)用戶密碼�����。
8��、 根據(jù)權(quán)利要求7所述的強制雙向動態(tài)密碼的認證系統(tǒng)�,其特征在于�,包括兩個或 者兩個以上的認證系統(tǒng)服務(wù)器;所述身份碼寄存器(16)把所述認證系統(tǒng)服務(wù)器的服務(wù)器身份信息與該服務(wù)器身份信 息對應(yīng)的認證系統(tǒng)服務(wù)器的加密算法的密匙�����、算法和參數(shù)成組存儲在一起����;不同的服務(wù)器 身份信息和與其對應(yīng)的認證系統(tǒng)服務(wù)器的加密算法的密匙�����、算法和參數(shù)之間被相互隔離儲 存;當(dāng)確認所述服務(wù)器動態(tài)附加碼所對應(yīng)的認證系統(tǒng)服務(wù)器后����,所述密碼模塊(14)釆用 與該認證系統(tǒng)服務(wù)器所對應(yīng)的加密算法的密匙、算法和參數(shù)���,結(jié)合所述用戶信息和時間數(shù) 據(jù)產(chǎn)生動態(tài)用戶密碼���。
9、 根據(jù)權(quán)利要求7或8所述的強制雙向動態(tài)密碼的認證系統(tǒng)�����,其特征在于��,所述服 務(wù)器動態(tài)附加碼為阿拉伯?dāng)?shù)字字符串����;所述輸入模塊(12)包括用于切換輸入模式和實現(xiàn)輸入數(shù)據(jù)移位的切換鍵,和用于 切換當(dāng)前輸入數(shù)字的數(shù)字鍵�����。
10、 根據(jù)權(quán)利要求7所述的強制雙向動態(tài)密碼的認證系統(tǒng)�,其特征在于,所述用戶密 碼發(fā)生器還進一步包括用于數(shù)據(jù)交換的數(shù)據(jù)接口����,所述數(shù)據(jù)接口與所述身份碼寄存器(16)連接。
全文摘要
為了增強使用的安全性和簡便性�,本發(fā)明設(shè)計一種強制雙向動態(tài)密碼的認證方法及其認證系統(tǒng)。一種強制雙向動態(tài)密碼的認證方法����,其動態(tài)密碼認證系統(tǒng)包括至少一個認證系統(tǒng)服務(wù)器和至少一個用戶密碼發(fā)生器,所述認證方法包括以下步驟向所述認證系統(tǒng)服務(wù)器發(fā)出認證請求�����,則所述認證系統(tǒng)服務(wù)器產(chǎn)生包含服務(wù)器身份信息的服務(wù)器動態(tài)附加碼����;所述用戶密碼發(fā)生器根據(jù)服務(wù)器動態(tài)附加碼判定該認證系統(tǒng)服務(wù)器的身份,然后按照該認證系統(tǒng)服務(wù)器所對應(yīng)的加密算法產(chǎn)生包含有用戶身份信息的動態(tài)用戶密碼���;送入該動態(tài)用戶密碼到該認證系統(tǒng)服務(wù)器,該認證系統(tǒng)服務(wù)器驗證該動態(tài)用戶密碼判定所述用戶密碼發(fā)生器的身份。
文檔編號H04L9/18GK101577697SQ20081006699
公開日2009年11月11日 申請日期2008年5月7日 優(yōu)先權(quán)日2008年5月7日
發(fā)明者劉宗沛, 強 張, 張立棟, 朱曉東, 王曉敏, 宏 談 申請人:深圳市絡(luò)道科技有限公司