CN101933287B - 对抗木马程式用完即弃一次性密钥的加密认证装置和方法 - Google Patents
对抗木马程式用完即弃一次性密钥的加密认证装置和方法 Download PDFInfo
- Publication number
- CN101933287B CN101933287B CN200780100187.0A CN200780100187A CN101933287B CN 101933287 B CN101933287 B CN 101933287B CN 200780100187 A CN200780100187 A CN 200780100187A CN 101933287 B CN101933287 B CN 101933287B
- Authority
- CN
- China
- Prior art keywords
- key
- data
- encrypting
- server
- authenticating device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
一种可对抗木马程式的加密认证装置及相应系统和方法,采用一次性密钥作为加密和认证,并设有键盘(102)供用户输入资料,包括用户口令、交易金额、账户号码等资料,然后以密钥(A)将资料加密,再通过终端机(2)经网络(3)传送给服务器(4),由服务器(4)使用相配对的密钥(B)将资料解密还原出用户所输入的资料。即使资料在传输过程被黑客截取了,由于资料是采用用完即弃的一次性密钥加密,每条密钥(A)与其他密钥(A)之间是没有关连,令黑客无法破解,加上资料是从加密认证装置(1)的键盘(102)上输入,即使黑客采用木马程式入侵用户的计算机,也无法读取用户在加密认证装置(1)的键盘(102)上输入的资料。
Description
【技术领域】
本发明涉及信息传送安全领域,特别是涉及一种用于认证的加密认证装置和相应认证方法。
【背景技术】
随着时代的进步,资讯科技的应用非常普及,尤其是金融机构如银行等,提供了很多利用资讯科技的服务,例如网上银行服务、手机银行服务、网上证券买卖服务等,这些服务一般是将用户的交易信息通过网络传送到金融机构,由金融机构核实用户的交易信息后,根据信息内容进行相应的操作。
由于现时一般网络的安全性问题,经常会发生黑客盗用他人账户的事件,故此有些金融机构采用一些双因素认证手段来对抗黑客,例如采用保安编码器(TokenDevice),用户登入金融机构的服务器时,由保安编码器产生一个编码,用户除了要输入正确的用户口令外,还要输入正确的编码才能登入金融机构的服务器。这些保安编码器一般内置有一条密钥,使用时由保安编码器根据时间等因素,通过复杂的算法计算产生一个保安编码,而在金融机构的服务器内也采用相同的一条密钥,根据时间等因素通过相同的算法计算产生一个编码,如果金融机构的服务器所产生的编码与接收到由保安编码器所产生的保安编码相同,就可认证该保安编码器的身份,加上核对用户口令,要同时通过保安编码和用户口令的认证,才能成功登入。这种双因素认证手段虽然可以改善网络安全的问题,但仍然有部份网络保安问题未妥善解决,例如一些黑客采用各种入侵方法,将木马程式置于用户的计算机内,在用户连线到金融机构的服务器时,通过木马程式盗取用户的资料,包括账户号码、账户口令和用户输入的保安编码等,有些黑客甚至制造一个伪冒的金融机构的网站,欺骗用户在伪冒的金融机构的网站输入交易资料,然后黑客根据盗取到资料,即时登入金融机构的服务器,继而盗取用户账户内的钱。
此外,随着计算机技术的发展,计算机的运算能力越来越强,一些从前被认为是安全可靠不可破解的信息加密措施,也可能通过拥有强大运算能力的计算机所破解,令采用这些信息加密措施的金融机构的安全性受到重大挑战,为了保障用户账户的安全,很多金融机构采用了更复杂的密钥和算法的加密解密技术,令经营成本增加,而且随着计算机技术的发展,只要数年时间,在目前被视为安全可靠的信息加密措施也可能被全面破解,令金融机构和用户面对相当大的风险,所以很多人都不敢使用金融机构的网上交易服务,这是一个极待解决的问题。
【发明内容】
本发明的目的,在于提供一种加密认证装置,用于认证用户的身份和交易资料。
本发明的目的是这样实现的,采用这样一种加密认证装置,用于身份认证,其特征在于,所述的加密认证装置(1)的主要结构包括有主芯片(101)、键盘(102)、显示屏(103)、通讯接口(104),其中,主芯片(101)内设有CPU和存储器,并与其它各部件相连接,按预定程序运作,实现认证用户在服务器(4)的身份和各项预定功能,包括将资料加密、储存资料、通过键盘(102)读取用户输入的资料、通过显示屏(103)显示提示信息、通过通讯接口(104)发送认证资料给服务器(4),以及,加密认证装置(1)将用户通过键盘(102)输入的资料,包括用户口令、操作指令、账户号码等资料,以密钥(A)将资料加密,再通过终端机(2)和网络(3)传送给服务器(4),由服务器(4)使用相配对的密钥(B)将资料解密还原出用户所输入的资料,并核对资料内容,核对无误后表示用户的身份认证成功,然后服务器(4)才会根据资料内容进行相应的操作;以及,主芯片(101)内还包括有一个唯一的装置编号(105)和多条密钥(A)和多个索引号(C),每一个索引号(C)对应一条密钥(A),以及,各个索引号(C)是互不相同的。
本发明的加密认证装置(1),是采用用完即弃一次性的密钥(A)作为加密和认证手段,并且在加密认证装置(1)上设置有键盘(102)供用户输入资料,包括用户口令、操作指令、账户号码等资料,然后以密钥(A)将资料加密,再通过终端机(2)经网络(3)传送给服务器(4),由服务器(4)使用与该密钥(A)相配对的密钥(B)将资料解密还原出用户口令、操作指令、账户号码等资料,这样在传输过程中即使被黑客截取了资料,由于资料已经加密,而且是采用用完即弃的密钥(A)加密,每条密钥(A)与其他密钥(A)之间是没有关连的,令黑客无法破解,加上资料是从加密认证装置(1)的键盘(102)上输入,加密认证装置(1)与用户的计算机之间是物理上分离的,即使黑客采用木马程式入侵用户的计算机,木马程式也无法读取加密认证装置(1)的键盘(102)上的按键输入的资料。
在设置方面,服务器(4)内设有多个认证账户(401),每一个认证账户(401)对应一个加密认证装置(1),认证账户(401)内储存有该账户所对应的加密认证装置(1)的装置编号(105)和一个账户密码,每一认证账户(401)内储存有多条密钥(B)和多个索引号(C),每一个索引号(C)对应一条密钥(B),以及,每一认证账户(401)内的密钥(B)与该账户的加密认证装置(1)内的密钥(A)成配对关系,每一条密钥(B)有一条相配对的密钥(A),每一对相配对的密钥(A)和密钥(B)它们所对应的索引号(C)是相同的。使用本发明的加密认证装置(1)前,要预先由服务器(4)通过各种方法随机方式产生多对密钥和多个顺序的索引号(C),每一对密钥分配一个索引号(C),然后将每一对密钥分别连同所分配的索引号(C)储存到加密认证装置(1)的主芯片(101)和认证账户(401)内,储存到主芯片(101)的称为密钥(A),而储存到认证账户(401)的称为密钥(B),如果采用的加密算法是非对称密码算法,密钥(A)和密钥(B)就是一对互相配对的密钥,如果采用的加密算法是对称密码算法,密钥(A)和密钥(B)就是一对相同的密钥,当使其中一条密钥(A)将资料加密后,可以使用与该密钥(A)相配对的密钥(B)将资料解密。
本发明的另一特征是,加密认证装置(1)的主芯片(101)每次将资料加密时,会按预定程序从主芯片(101)内提取一条未用的密钥(A)将资料加密,以及,主芯片(101)将资料加密后,就会将该条密钥(A)删除或弃置或标记为已用,使该条密钥(A)不会再次被主芯片(101)使用。以及,服务器(4)每次将资料解密时,会按预定程序从认证账户(401)内提取一条与该资料相配对的密钥(B)将资料解密,以及,服务器(4)将资料解密后,就会将该条密钥(B)删除或弃置或标记为已用,使该条密钥(B)不会再次被服务器(4)使用。
以及,采用这样一种加密认证电讯系统,用于用户身份认证用途,特别用于金融业,包括采用前面所述的加密认证装置(1)、终端机(2)、网络(3)、服务器(4),其中,加密认证装置(1)独立于终端机(2),与终端机(2)相分离设置,本系统中各加密认证装置(1)分别在服务器(4)内登记及被服务器(4)所识别,在加密认证装置(1)和服务器(4)内分别设有相配对的密钥(A,B),加密过程在加密认证装置(1)中进行,利用密钥(A)形成密文,经终端机(2)及网络(3)传输至服务器(4),服务器(4)利用相配对的密钥(B)解密密文,解密成功则识别成功,所述系统进入后面预定程序。
以及,采用这样一种加密认证方法,采用前面所述的加密认证装置,用于身份认证等用途,其特征在于,所述的方法包括用户使用终端机(2)登入服务器(4)时,用户预先在加密认证装置(1)上输入账户密码等需要认证的资料,由加密认证装置(1)将需要认证的资料加密为密文,然后通过终端机(2)经网络(3)将该密文传送到服务器(4),由服务器(4)将密文解密还原出需要认证的资料,服务器(4)核对需要认证的资料无误后,用户的身份认证成功,可以登入服务器(4)。
这样就实现了本发明的目的。
本发明的加密认证装置(1)的优点是每条密钥只会使用一次,用完即弃,不会重复使用,使黑客不能从加密后的资料中破解出密钥或资料内容,而且加密认证装置(1)上设有键盘(102)供用户输入重要资料,即使黑客采用木马程式入侵用户的计算机,也无法盗取用户输入的重要资料,特别适合于网上银行、网上交易等应用范围。
【附图说明】
图1是本发明的加密认证装置(1)的形像化示意说明图;
图2是本发明的加密认证装置(1)的另一外形的形像化示意说明图;
图3是具备USB接口(104)的加密认证装置(1)的形像化示意说明图;
图4是具备英文键盘(102)的加密认证装置(1)的形像化示意说明图;
图5是本发明的加密认证装置(1)的方框结构说明图;
图6是本发明的加密认证装置(1)的与服务器(4)在使用时的步骤示意说明图。
图中,相同的数字代表相同的系统、装置、部件器件,方法步骤用圆圈的数字和带箭头的直线所标出。附图是示意性的,用以说明本发明的加密认证装置(1)的主要特征和使用时的操作步骤。
【具体实施方式】
下面结合附图,对本发明的方法作进一步详细说明。
参阅图1至图4,图1是本发明的加密认证装置(1)的形像化示意说明图,图2是本发明的加密认证装置(1)的另一外形的形像化示意说明图,图3是具备USB接口(104)的加密认证装置(1)的形像化示意说明图,图4是具备英文键盘(102)的加密认证装置(1)的形像化示意说明图,图1至图4中示出了加密认证装置(1)不同外形的实施方式的形像化示意说明图,图中示出的加密认证装置(1)除了外形不相同外,它们的键盘(102)按键也有分别,加密认证装置(1)的键盘(102)可以是包含数字按键的键盘(102)、或包含英文字母按键的键盘(102)、或包含数字和英文字母的键盘(102)。
参阅图5,图5是本发明的加密认证装置(1)的方框结构说明图,图中示出的加密认证装置(1)的主要结构包括有主芯片(101)、键盘(102)、显示屏(103)、通讯接口(104),其中,主芯片(101)内设有CPU和存储器,并与其它各部件相连接,按预定程序运作,实现认证用户在服务器(4)的身份和各项预定功能,包括将资料加密、储存资料、通过键盘(102)读取用户输入的资料、通过显示屏(103)显示提示信息、通过通讯接口(104)发送认证资料给服务器(4),以及,加密认证装置(1)将用户通过键盘(102)输入的资料,包括用户口令、操作指令、账户号码等资料,以密钥(A)将资料加密,再通过终端机(2)和网络(3)传送给服务器(4),由服务器(4)使用相配对的密钥(B)将资料解密还原出用户所输入的资料,并核对资料内容,核对无误后表示用户的身份认证成功,然后服务器(4)才会根据资料内容进行相应的操作;以及,主芯片(101)内还包括有一个唯一的装置编号(105)和多条密钥(A)和多个索引号(C),每一个索引号(C)对应一条密钥(A),以及,各个索引号(C)是互不相同的。
继续参阅图5,图中示出的通讯接口(104)可以是无线通讯装置、或有线通讯装置、或蓝芽装置、或红外线装置、或USB接口、或SD记忆卡接口、或MINI-SD记忆卡接口、或MMC记忆卡接口、或RS-MMC记忆卡接口、或RS-232接口、或PS2键盘接口。
参阅图6,图6是本发明的加密认证装置(1)与服务器(4)在使用时的步骤示意说明图,图中示出的服务器(4)内设有多个认证账户(401),每一个认证账户(401)对应一个加密认证装置(1),认证账户(401)内储存有该账户所对应的加密认证装置(1)的装置编号(105)和一个账户密码,每一认证账户(401)内储存有多条密钥(B)和多个索引号(C),每一个索引号(C)对应一条密钥(B),以及,每一认证账户(401)内的密钥(B)与该账户的加密认证装置(1)内的密钥(A)成配对关系,每一条密钥(B)有一条相配对的密钥(A),每一对相配对的密钥(A)和密钥(B)它们所对应的索引号(C)是相同的。密钥(A)和密钥(B)是由服务器(4)预先通过各种方法随机方式产生,当密钥(A)储存到加密认证装置(1)的主芯片(101)后,只有主芯片(101)才能对密钥(A)作内部访问,而不允许任何外部的访问,以保证密钥(A)的安全。
此外,加密认证装置(1)的主芯片(101)每次将资料加密时,会按预定程序从主芯片(101)内提取一条未用的密钥(A)将资料加密,以及,主芯片(101)将资料加密后,就会将该条密钥(A)删除或弃置或标记为已用,使该条密钥(A)不会再次被主芯片(101)使用。以及,服务器(4)每次将资料解密时,会按预定程序从认证账户(401)内提取一条与该资料相配对的密钥(B)将资料解密,以及,服务器(4)将资料解密后,就会将该条密钥(B)删除或弃置或标记为已用,使该条密钥(B)不会再次被服务器(4)使用。由于密钥(A)和密钥(B)是用完即弃的,每一条密钥只会使用一次,当加密认证装置(1)内的密钥(A)全部用完后,加密认证装置(1)就不能继续使用,用户必须更换新的加密认证装置(1),如果加密认证装置(1)内储存有1万条密钥(A),以平均每天使用10次计算,大约可以使用3年。
在加密解密算法方面,密钥(A)和密钥(B)是采用一次性密码(OneTimePad或称为Vernam-cipher),所谓一次性密码是通过使用与讯息一样长的随机生成的密钥,将密钥与讯息进行位元的“XOR”运算产生密文,解密时应用同一密钥和适当的演算法,就可以方便地解密还原出讯息,由于密钥只使用一次,然后就被丢弃,所以是无法破解的,是最简单安全和快速的加密算法。本发明的加密认证装置(1)除了可以采用一次性密码(OneTimePad)加密算法外,也可以采用其他的加密算法,也可很好地实现本发明的目的,可以采用的加密算法包括:
1.数据加密标准(DataEncryptionStandard-DES);
2.三重数据加密标准(Triple-DES);
3.RSA加密演算法(RSAalgorithm);
4.一次性密码(OneTimePad);
5.公钥基础架构(PublicKeyInfrastructure-PKI)。
本发明的加密认证装置(1)的主芯片(101)将资料加密前,被加密的资料内容还包括有校验资料,以保障资料不会被窜改,所述的校验资料是由被加密的资料通过包括如下其中之一的校验算法所产生:
1.循环冗余码(CRC)算法;
2.摘要演算法(Message-DigestAlgorithm);
3.消息认证码(Messageauthenticationcode)算法;
4.安全杂凑标准(SecureHashStandard)算法。
以及,在服务器(4)将加密资料解密后,服务器(4)采用相同的校验算法就可检测资料有没有被窜改。
更进一步,还可以采用开机口令保护加密认证装置(1)不会被盗用,即在加密认证装置(1)的主芯片(101)还设有开机口令,每次使用加密认证装置(1)前,使用者必须通过键盘(102)输入正确的开机口令,才能使用加密认证装置(1)进行各项操作。
在本说明书中,服务器(4)是指供用户登入的各类计算机主机,服务器(4)可以是各金融机构的账户服务器、或银行账户系统服务器、或任何需要验证用户身份合法性的计算机等,而终端机(2)是指与服务器(4)相连线的终端设备,可以是计算机、或计算机终端、或ATM机等需要认证用户身份的终端设备,通过本发明的加密认证装置(1),就能可靠地验证登入服务器(4)的用户身份的合法性。
继续参阅图6,图中示出包括如下的步骤,是用户登入服务器(4)时,通过加密认证装置(1)进行认证的步骤,具体的步骤如下:
1.用户使用终端机(2)通过网络(3)连线到服务器(4),在加密认证装置(1)的键盘(102)上输入账户密码等资料,加密认证装置(1)内的主芯片(101)将用户输入的资料和装置编号(105)通过预定的校验算法计算出包含校验资料的认证资料,然后在主芯片(101)内提取一条未用的密钥(A)将认证资料加密为密文,并提取出该密钥(A)所对应的索引号(C),主芯片(101)将认证资料加密后将该条密钥(A)删除或弃置或标记为已用;
2.加密认证装置(1)通过显示屏(103)将密文连同索引号(C)显示给用户看,然后用户在终端机(2)上输入登入名称、显示屏(103)所显示的密文内容和索引号(C)等资料;
或;
用户在终端机(2)上输入登入名称,然后将加密认证装置(1)的通讯接口(104)与终端机(2)连接,将密文连同索引号(C)通过通讯接口(104)传送到终端机(2);
3.终端机(2)通过网络(3)将登入名称、密文和索引号(C)传送到服务器(4);
4.服务器(4)从登入名称找到用户的认证账户(401),从索引号(C)在该认证账户(401)内提取对应该索引号(C)的密钥(B)将密文解密还原出认证资料,服务器(4)将密文解密后将该条密钥(B)删除或弃置或标记为已用,并通过预定的校验算法校验认证资料和还原出装置编号(105)和账户密码等资料,校验无误后表示认证资料没有被窜改过,服务器(4)核对装置编号(105)和账户密码等资料无误后,表示用户的身份认证成功,然后服务器(4)通过网络(3)向终端机(2)发出信息,通知用户已经成功登入了服务器(4)。
在本实施例步骤中,为了方便用户查看显示屏(103)所显示的内容,可将密文连同索引号(C)以每四个字符一组的方式在显示屏(103)上显示,在字符组与字符组之间以一个空格或“-”作分隔,方便用户查看显示内容,可减少用户因看错内容而出错。
本发明的加密认证装置(1)和认证方法安全可靠,用户可通过加密认证装置(1)上的键盘(102)输入重要资料,即使黑客采用木马程式入侵用户的计算机,最多只能盗取用户在计算机键盘输入的资料,黑客是无法盗取用户在加密认证装置(1)输入的重要资料。本发明的实施,会带来巨大的良好的社会效益。
Claims (10)
1.一种加密认证装置,分离设置于终端机,用于身份认证,其特征在于,所述的加密认证装置(1)的主要结构包括有主芯片(101)、键盘(102)、显示屏(103)、通讯接口(104),其中,主芯片(101)内设有CPU和存储器,并与其它各部件相连接,按预定程序运作,实现认证用户在服务器(4)的身份和各项预定功能,包括储存资料、加密资料、通过键盘(102)读取用户输入的资料、通过显示屏(103)显示提示信息、通过通讯接口(104)发送认证资料给服务器(4);
所述的主芯片(101)内还包括有一个唯一的装置编号(105)和多条密钥(A)和多个索引号(C),每一个索引号(C)对应一条密钥(A),以及,各个索引号(C)是互不相同的;所述密钥(A)由服务器(4)产生,与存储在认证账户(401)内的具有相同索引号(C)的密钥(B)相同或相匹配;
加密认证装置(1)将用户通过键盘(102)输入的资料,包括用户口令、操作指令、账户号码,以密钥(A)将资料加密,再通过终端机(2)和网络(3)传送给服务器(4),由服务器(4)使用相配对的密钥(B)将资料解密还原出用户所输入的资料,并核对资料内容,核对无误后表示用户的身份认证成功,然后服务器(4)才会根据资料内容进行相应的操作,其中服务器(4)处不设置加密认证装置(1);以及,
所述的主芯片(101)每次将资料加密时,会按预定程序从主芯片(101)内提取一条未用的密钥(A)将资料加密,主芯片(101)将资料加密后,就会将该条密钥(A)删除或弃置或标记为已用,使该条密钥(A)不会再次被主芯片(101)使用。
2.如权利要求1所述的加密认证装置,其特征在于,所述的主芯片(101)还设有开机口令,每次使用加密认证装置(1)前,使用者必须通过键盘(102)输入正确的开机口令,才能使用加密认证装置(1)进行各项操作。
3.如权利要求1或2所述的加密认证装置,其特征在于,所述的主芯片(101)将资料加密时,可以采用包括如下的其中之一的加密算法:
1).数据加密标准(DataEncryptionStandard–DES);
2).三重数据加密标准(Triple–DES);
3).RSA加密演算法(RSAalgorithm);
4).一次性密码(OneTimePad);
5).公钥基础架构(PublicKeyInfrastructure-PKI)。
4.如权利要求1或2所述的加密认证装置,其特征在于,所述的主芯片(101)将资料加密前,被加密的资料内容还包括有校验资料,以保障资料不会被窜改。
5.如权利要求4所述的加密认证装置,其特征在于,所述的校验资料是由被加密的资料通过包括如下其中之一的校验算法所产生:
1).循环冗余码(CRC)算法;
2).摘要演算法(Message-DigestAlgorithm);
3).消息认证码(Messageauthenticationcode)算法;
4).安全杂凑标准(SecureHashStandard)算法。
6.如权利要求1所述的加密认证装置,其特征在于,所述的通讯接口(104)可以是无线通讯装置、或有线通讯装置、或蓝牙装置、或红外线装置、或USB接口、或SD记忆卡接口、或MINI-SD记忆卡接口、或MMC记忆卡接口、或RS-MMC记忆卡接口、或RS-232接口、或PS2键盘接口。
7.一种加密认证电讯系统,用于用户身份认证用途,包括采用如权利要求1-6任一项所述加密认证装置(1),以及终端机(2)、网络(3)、服务器(4),其中,加密认证装置(1)独立于终端机(2),与终端机(2)相分离设置,本系统中各加密认证装置(1)分别在服务器(4)内登记及被服务器(4)所识别,在加密认证装置(1)和服务器(4)内分别设有由服务器(4)产生的相配对的密钥(A,B),每对密钥(A,B)分配一个索引号,加密过程在加密认证装置(1)中进行,利用密钥(A)将用户输入的资料形成密文,经终端机(2)及网络(3)传输至服务器(4),服务器(4)利用相配对的密钥(B)解密密文,解密成功则识别成功,所述系统进入后面预定程序;其中服务器(4)处不设置加密认证装置(1);以及
所述的服务器(4)每次将资料解密时,会按预定程序从认证账户(401)内提取一条与该资料相配对的密钥(B)将资料解密,以及,服务器(4)将资料解密后,就会将该条密钥(B)删除或弃置或标记为已用,使该条密钥(B)不会再次被服务器(4)使用。
8.如权利要求7所述的加密认证电讯系统,其特征在于,所述的服务器(4)内设有多个认证账户(401),每一个认证账户(401)对应一个加密认证装置(1),认证账户(401)内储存有该账户所对应的加密认证装置(1)的装置编号(105)和一个账户密码,每一认证账户(401)内储存有多条密钥(B)和多个索引号(C),每一个索引号(C)对应一条密钥(B),
以及,
每一认证账户(401)内的密钥(B)与该账户的加密认证装置(1)内的密钥(A)成配对关系,每一条密钥(B)有一条相配对的密钥(A),每一对相配对的密钥(A)和密钥(B)它们所对应的索引号(C)是相同的。
9.一种加密认证方法,采用如权利要求1至6任一项所述的加密认证装置,用于身份认证,其特征在于,在使用加密认证装置(1)之前,还包括有预先由服务器(4)产生多对密钥和多个顺序的索引号,每对密钥分配一个索引号,将每对密钥分别连同所分配的索引号存储到加密认证装置的主芯片和认证账户内,存储到主芯片的称为密钥(A),存储到认证账户的称为密钥(B),密钥(A)与密钥(B)相同或相匹配;所述的方法包括用户使用终端机(2)登入服务器(4)时,用户预先在加密认证装置(1)上输入需要认证的资料,由加密认证装置(1)内的密钥(A)将需要认证的资料加密为密文,然后通过终端机(2)经网络(3)将该密文传送到服务器(4),由服务器(4)使用索引号(C)在该认证账户(401)内提取对应该索引号(C)的密钥(B)将密文解密还原出需要认证的资料,服务器(4)核对需要认证的资料无误后,用户的身份认证成功,可以登入服务器(4);以及
加密认证装置(1)内的主芯片(101)使用密钥(A)将认证资料加密后将该条密钥(A)删除或弃置或标记为已用。
10.如权利要求9所述的加密认证方法,用于身份认证,其特征在于,所述的方法包括如下的步骤,是用户登入服务器(4)时,通过加密认证装置(1)进行认证的步骤,具体的步骤如下:
1).用户使用终端机(2)通过网络(3)连线到服务器(4),在加密认证装置(1)的键盘(102)上输入资料,加密认证装置(1)内的主芯片(101)将用户输入的资料和装置编号(105)通过预定的校验算法计算出包含校验资料的认证资料,然后在主芯片(101)内提取一条未用的密钥(A)将认证资料加密为密文,并提取出该密钥(A)所对应的索引号(C);
2).加密认证装置(1)通过显示屏(103)将密文连同索引号(C)显示给用户看,然后用户在终端机(2)上输入登入名称、显示屏(103)所显示的密文内容和索引号(C);
或;
用户在终端机(2)上输入登入名称,然后将加密认证装置(1)的通讯接口(104)与终端机(2)连接,将密文连同索引号(C)通过通讯接口(104)传送到终端机(2);
3).终端机(2)通过网络(3)将登入名称、密文和索引号(C)传送到服务器(4);
4).服务器(4)从登入名称找到用户的认证账户(401),将密文解密还原出认证资料,服务器(4)将密文解密后将该条密钥(B)删除或弃置或标记为已用,并通过预定的校验算法校验认证资料和还原出装置编号(105)和账户密码,校验无误后表示认证资料没有被窜改过,服务器(4)核对装置编号(105)和账户密码无误后,表示用户的身份认证成功,然后服务器(4)通过网络(3)向终端机(2)发出信息,通知用户已经成功登入了服务器(4)。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/CN2007/002384 WO2009018685A1 (fr) | 2007-08-08 | 2007-08-08 | Dispositif et méthode de chiffrement et d'authentification anti-cheval de troie utilisant une clef à usage unique |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101933287A CN101933287A (zh) | 2010-12-29 |
CN101933287B true CN101933287B (zh) | 2015-11-25 |
Family
ID=40340930
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200780100187.0A Expired - Fee Related CN101933287B (zh) | 2007-08-08 | 2007-08-08 | 对抗木马程式用完即弃一次性密钥的加密认证装置和方法 |
Country Status (3)
Country | Link |
---|---|
CN (1) | CN101933287B (zh) |
HK (1) | HK1151402A1 (zh) |
WO (1) | WO2009018685A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105721541B (zh) * | 2016-01-13 | 2018-11-16 | 大连楼兰科技股份有限公司 | 远程控制车辆的方法及其系统 |
CN112242013A (zh) * | 2019-07-18 | 2021-01-19 | 冯成光 | 应用随机码加密的通讯系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000062232A1 (en) * | 1999-04-12 | 2000-10-19 | Digital Media On Demand, Inc. (Dmod, Inc.) | Secure electronic commerce system |
CN1319294A (zh) * | 1999-07-29 | 2001-10-24 | 安全技术有限公司 | 具有保密功能的适配器及使用这种适配器的计算机保密系统 |
CN1427351A (zh) * | 2001-12-17 | 2003-07-02 | 北京兆日科技有限责任公司 | 动态电子密码设备及其资源共享系统的用户身份认证方法 |
CN1622508A (zh) * | 2004-12-13 | 2005-06-01 | 刘云清 | 基于动态密码表的动态密码生成和认证系统及方法 |
CN1790984A (zh) * | 2004-12-14 | 2006-06-21 | 中兴通讯股份有限公司 | 一种通信系统中用户身份保密的方法 |
CN1851740A (zh) * | 2006-06-02 | 2006-10-25 | 上海华申智能卡应用系统有限公司 | 基于传统终端交易形式的银行网银业务处理方法 |
CN1921392A (zh) * | 2006-09-19 | 2007-02-28 | 北京飞天诚信科技有限公司 | 一种智能密钥设备 |
CN101076190A (zh) * | 1996-01-24 | 2007-11-21 | 伊兹安全网络有限公司 | 移动通信系统中鉴权密钥的管理 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1332425A (zh) * | 2000-07-10 | 2002-01-23 | 黄金富 | 采用动态密码的认证付款的方法和相应的电子装置 |
AU2002218644A1 (en) * | 2000-11-29 | 2002-06-11 | Temasek Polytechnic | Enhance authorization system and method for computer security |
CN100425018C (zh) * | 2004-09-08 | 2008-10-08 | 中国工商银行股份有限公司 | 一种网络中动态加密装置及其口令认证方法 |
FR2892876A1 (fr) * | 2005-11-02 | 2007-05-04 | Gemplus Sa | Procede de depot securise de donnees numeriques, procede associe de recuperation de donnees numeriques, dispositifs associes pour la mise en oeuvre des procedes, et systeme comprenant les dits dispositifs |
CN100589382C (zh) * | 2005-12-30 | 2010-02-10 | 腾讯科技(深圳)有限公司 | 动态口令认证系统和方法 |
-
2007
- 2007-08-08 WO PCT/CN2007/002384 patent/WO2009018685A1/zh active Application Filing
- 2007-08-08 CN CN200780100187.0A patent/CN101933287B/zh not_active Expired - Fee Related
-
2011
- 2011-06-02 HK HK11105547.4A patent/HK1151402A1/zh not_active IP Right Cessation
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101076190A (zh) * | 1996-01-24 | 2007-11-21 | 伊兹安全网络有限公司 | 移动通信系统中鉴权密钥的管理 |
WO2000062232A1 (en) * | 1999-04-12 | 2000-10-19 | Digital Media On Demand, Inc. (Dmod, Inc.) | Secure electronic commerce system |
CN1319294A (zh) * | 1999-07-29 | 2001-10-24 | 安全技术有限公司 | 具有保密功能的适配器及使用这种适配器的计算机保密系统 |
CN1427351A (zh) * | 2001-12-17 | 2003-07-02 | 北京兆日科技有限责任公司 | 动态电子密码设备及其资源共享系统的用户身份认证方法 |
CN1622508A (zh) * | 2004-12-13 | 2005-06-01 | 刘云清 | 基于动态密码表的动态密码生成和认证系统及方法 |
CN1790984A (zh) * | 2004-12-14 | 2006-06-21 | 中兴通讯股份有限公司 | 一种通信系统中用户身份保密的方法 |
CN1851740A (zh) * | 2006-06-02 | 2006-10-25 | 上海华申智能卡应用系统有限公司 | 基于传统终端交易形式的银行网银业务处理方法 |
CN1921392A (zh) * | 2006-09-19 | 2007-02-28 | 北京飞天诚信科技有限公司 | 一种智能密钥设备 |
Also Published As
Publication number | Publication date |
---|---|
HK1151402A1 (zh) | 2012-01-27 |
WO2009018685A1 (fr) | 2009-02-12 |
CN101933287A (zh) | 2010-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3435591B1 (en) | 1:n biometric authentication, encryption, signature system | |
CN105427099B (zh) | 安全电子交易的网络认证方法 | |
EP3257194B1 (en) | Systems and methods for securely managing biometric data | |
CN105229965B (zh) | 设备真伪判定系统以及设备真伪判定方法 | |
CN1565117B (zh) | 数据验证方法和装置 | |
CN101848090B (zh) | 认证装置及利用其进行网上身份认证与交易的系统与方法 | |
CN107248075B (zh) | 一种实现智能密钥设备双向认证和交易的方法及装置 | |
CN104798083B (zh) | 用于验证访问请求的方法和系统 | |
CN101334884B (zh) | 提高转账安全性的方法和系统 | |
CN104322003B (zh) | 借助实时加密进行的密码认证和识别方法 | |
CN102075327B (zh) | 一种实现电子钥匙解锁的方法、装置及系统 | |
CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
CN107592308A (zh) | 一种面向移动支付场景的双服务器多因子认证方法 | |
CN107786550A (zh) | 一种自助设备的安全通信方法、安全通信系统及自助设备 | |
JPS6310839A (ja) | デ−タ通信システム及び方法 | |
WO2018133674A1 (zh) | 一种银行支付许可认证信息的反馈验证方法 | |
CN103929308B (zh) | 应用于rfid卡的信息验证方法 | |
US20140258718A1 (en) | Method and system for secure transmission of biometric data | |
CN101945114A (zh) | 基于fuzzy vault和数字证书的身份认证方法 | |
CN107864124A (zh) | 一种终端信息安全保护方法、终端及蓝牙锁 | |
CN108401494B (zh) | 一种传输数据的方法及系统 | |
US20100005519A1 (en) | System and method for authenticating one-time virtual secret information | |
CN107257283B (zh) | 基于量子图态的指纹认证方法 | |
CN106100854A (zh) | 基于权威主体的终端设备的逆向认证方法及系统 | |
CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1151402 Country of ref document: HK |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1151402 Country of ref document: HK |
|
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20151125 Termination date: 20160808 |
|
CF01 | Termination of patent right due to non-payment of annual fee |