CN102075522A - 一种结合数字证书和动态密码的安全认证与交易方法 - Google Patents
一种结合数字证书和动态密码的安全认证与交易方法 Download PDFInfo
- Publication number
- CN102075522A CN102075522A CN 201010601784 CN201010601784A CN102075522A CN 102075522 A CN102075522 A CN 102075522A CN 201010601784 CN201010601784 CN 201010601784 CN 201010601784 A CN201010601784 A CN 201010601784A CN 102075522 A CN102075522 A CN 102075522A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- user
- digital certificate
- usb token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种结合数字证书和动态密码的安全认证与交易方法,它有两大步骤:步骤一:安全认证方法;步骤二:安全交易方法。具体为:首先,基于数字证书实现客户端与服务器之间的双向认证;然后,在双向认证的基础上,通过数字证书和动态密码的结合实现安全认证;最后,在安全认证的基础上,通过数字证书和动态密码的结合实现安全交易。本发明结合数字证书和动态密码对用户的身份进行确认后,实现各种应用系统的安全登录和安全交易,本发明将数字证书和动态密码有机结合起来,避免了单独使用数字证书或动态密码的安全隐患,并充分发挥了各自的安全优势,能够抵御各种攻击,具有很高的安全性,满足网络中各种高安全应用的需求,在网络安全技术领域里具有较好的实用价值和广阔的应用前景。
Description
(一)技术领域
本发明是在开放的网络环境中涉及一种结合数字证书和动态密码的安全认证与交易方法,它主要解决身份认证与电子交易的安全问题,属于信息安全技术领域。
(二)背景技术
随着国际互联网的不断发展,网上银行、电子商务和电子政务等借助网络处理越来越多,如何保障网上开展业务的安全是当前面临的主要问题。身份认证作为网络安全中的第一道防线,是网络系统的安全门户。访问控制和资源安全都要依赖于身份认证系统提供的用户身份。一旦身份认证系统被攻破,那么系统的所有安全措施都将形同虚设,可见身份认证系统在安全系统中的地位非常重要。
在应用系统中实现身份认证的方法有很多,目前使用最多的是基于密码的认证方法和基于数字证书的认证方法。
基于密码的认证方法通过验证用户输入的用户名和密码来验证用户身份的合法性。传统的密码方法是“用户名+静态密码”的认证,通过比较用户输入的静态密码与后台服务器上保存的静态密码来验证用户密码的正确性,从而确定用户身份的合法性。这种方法易于实现,操作简单,但其安全性极差。攻击者可以通过网络窃听、字典攻击、截取/重放、网络钓鱼等手段来获得用户名和静态密码,进而假冒合法用户。
为了解决静态密码的不安全问题,现在许多系统都采用了基于动态密码的身份认证机制。动态密码技术通过专用算法和同步机制动态生成一次性密码,密码的生产和验证都是动态的,保证用户每次登录系统时所使用的密码都不相同,动态密码具有动态性、一次性和随机性,从而避免由于密码泄漏带来的系统不安全,可以有效防止窃听、重放、假冒、猜测等攻击,而且用户不用再费力记密码。
虽然动态密码有很好的安全性,但是并不能解决所有的问题,存在以下不足:
(1)认证系统的服务器端可以计算出所有动态密码,因此黑客如果将精力放在破解认证服务器系统,那么就可能对系统造成安全威胁。另外系统也依赖于服务器的管理员,服务器的管理员可以在服务器端修改动态密码的规则,假冒用户登录,这也具有一定的安全隐患;
(2)基于动态密码的身份认证系统只能实现单向认证,即服务器对客户端的认证,并没有客户端验证服务器的合法性,无法实现双向认证,这样攻击者就容易通过伪造服务器(如钓鱼网站)进行攻击;
(3)动态密码的本质是单钥密码机制,只能确认用户的身份,无法参与到交易过程中进行保护,无法实现数据完整性、不可否认等;
基于数字证书的身份认证是另一种主要的认证方法,它是PKI(Public KeyInfrastructure,公钥基础设施)所提供的最基本的安全服务之一。公钥基础设施基于非对称密码技术,采用数字证书将用户自然身份和公钥等数字信息绑定在一起,在各种网络应用中唯一地标识用户的身份,并在此基础上提供数据的加密/解密和数字签名等安全服务。不仅能够从用户身份验证角度在用户自然身份与数字信息之间建立了联系的桥梁,保证用户身份合法性验证,实现对用户自然身份的认证,而且能够参与到交易过程中进行保护。
数字证书和用户私钥存放在单独的硬件设备USB Key(Universal Serial BusKey,通用串行总线硬件数字证书载体)中,使得网络钓鱼攻击者无法伪造用户签名假冒用户登录服务器,即使服务器端也无法假冒用户,从而抵抗类似交易伪造或交易劫持等针对交易过程而不是针对身份的攻击,可以弥补动态密码技术的安全隐患。
虽然数字证书有的方面优于动态密码技术,但是有一些动态密码所没有的安全性问题。
(1)交互操作存在漏洞。存放数字证书的USB Key的PIN码(PersonalIdentification Number,个人识别密码),是用户在电脑上输入的,黑客可以通过程序或木马截获用户PIN码,并通过截获的PIN码来取得虚假认证。黑客可以假冒用户,远程控制进行身份认证,而用户无法知晓;
(2)无法防止数据被篡改。用户的交易数据在送入USB Key加密前,可能会被黑客拦截,并篡改交易账单号或交易金额,这样可以在用户不知情的情况下完成非法交易。
为了解决上述的安全问题,满足用户的高安全需求,保证网络认证与交易的安全,将数字证书和动态密码技术结合在一起,克服数字证书和动态密码技术单独应用存在的不足,提供一种安全可靠的身份认证和网上交易方法很有必要。
现有一些将数字证书与动态密码简单结合的方法,就是在服务器验证数字证书后,基于挑战/应答产生随机因子生成动态密码进行登录,其本质还是数字证书的应用,基于数字证书产生的动态密码并没有提高认证系统的安全性。这些方法没有发挥动态密码的安全优势,也没有解决数字证书存在的安全问题,不能完全满足网络中各种高安全应用的需求。
(三)发明内容
1、目的:为了解决现有方法中存在的安全问题,本发明提供了一种结合数字证书和动态密码的安全认证和交易方法,它克服了单独使用数字证书和动态密码的不足,充分发挥各自的优势,实现安全可靠的身份认证和网上交易。
2、技术方案:本发明通过以下技术方案实现,首先,基于数字证书实现客户端与服务器之间的双向认证;然后,在双向认证的基础上,通过数字证书和动态密码的结合实现身份认证;最后,在安全认证的基础上,通过数字证书和动态密码的结合实现安全交易。
本发明需要硬件设备USB(Universal Serial Bus,通用串行总线)令牌的支持,该USB令牌是融合了数字证书和动态密码技术的新一代令牌,由安全控制芯片、微控制器、液晶显示屏以及按键和控制电路组成,微控制器外接液晶显示屏以及按键,微控制器通过串口以及一个输入/输出端口与安全控制芯片相连接,接收安全控制芯片的中断信号,将动态密码信号传给安全控制芯片。(该令牌装置另有专利申请。)
USB令牌在使用之前需要进行初始化,初始化过程如下:
(1)用户将生成动态密码的秘密因子导入USB令牌中存储且不可导出;
(2)用户用USB令牌产生用户公钥/私钥对,用户私钥在USB令牌中存储且不可导出;
(3)用户从USB令牌中导出用户公钥发送给CA(Certificate Authority,证书授权中心);
(4)CA生成用户数字证书后将CA公钥和用户数字证书发送给用户,用户将CA公钥和用户数字证书导入USB令牌中存储。
本发明是一种结合数字证书和动态密码的安全认证与交易方法,该方法具体步骤如下:
1.安全认证方法
结合数字证书和动态密码对用户的身份进行认证,判断是否为合法用户,用户只用拥有合法有效数字证书和动态密码,并经USB令牌按键确认才能通过服务器的认证,执行相应权限的操作。安全认证信息流程如图2所示,具体步骤如下:
步骤一:基于数字证书进行客户端与服务器之间的双向认证。
(1)当登陆系统时,用户在客户端输入用户名IDC后确认。客户端提示用户插入USB令牌。
用户插入USB令牌,并通过USB令牌的键盘输入PIN码。若PIN码不正确,则USB令牌提示重新输入,错误三次后USB令牌锁定;若PIN码正确,则USB令牌将用户数字证书CertC发送给客户端。客户端将用户名IDC和用户数字证书CertC一起发送给服务器。
(2)服务器通过用户名IDC在数据库中查找该用户。若不存在则结束会话,提示该用户不存在;若存在则用CA公钥KCA验证用户数字证书CertC。
若验证不通过则结束会话,提示用户数字证书错误;若验证通过则产生随机数RS,并从用户数字证书CertC中提取用户公钥KC对随机数RS加密得到
将
和服务器数字证书CertS一起发送给客户端。
(3)客户端从USB令牌中读取CA公钥KCA验证服务器数字证书CertS。若验证不通过则结束会话,提示服务器数字证书错误;若验证通过则将
发送给USB令牌。USB令牌用用户私钥K′C解密
得到随机数RS后发送给客户端。
客户端产生随机数RC,并从服务器数字证书CertS中提取服务器公钥KS加密RS||RC得到
将发送给服务器。(其中符号||为字符串连接符)
(4)服务器用服务器私钥K′S解密
得到随机数RS||RC,比较得到的随机数RS与原来产生的随机数是否相同。若不相同则结束会话,提示客户端认证失败;若相同则表明客户端身份真实。服务器从用户数字证书CertC中提取用户公钥KC对随机数RC加密得到
将发送给客户端。
(5)客户端将
发送给USB令牌。USB令牌用用户私钥K′C解密
得到随机数RC后发送给客户端。
客户端比较收到的随机数RC与原来产生的随机数是否相同。若不相同则结束会话,提示服务器认证失败;若相同则表明服务器身份真实,提示客户端与服务器之间双向认证成功,请按USB令牌的确认键。
步骤二:结合数字证书和动态密码进行身份认证。
(1)用户按USB令牌的确认键基于事件生成OTP(One Time Password,动态密码),USB令牌将OTP发送给客户端。客户端从服务器数字证书CertS中提取服务器公钥KS加密OTP得到
将
发送给服务器。
(2)服务器用服务器私钥K′S解密
得到OTP,服务器生成动态密码OTP,比较两个动态密码是否相同。若不相同则结束会话,提示用户动态密码错误;若相同则身份认证通过,提示身份认证成功。
(3)身份认证成功后,就将客户端用户名IDC绑定客户端的操作权限。
上述步骤实现了安全认证。
因为随机数没有公开,所以可以用随机数RS和RC的运算值作为客户端与服务器之间的对称加密(AES)的密钥;客户端与服务器之间也可以用数字证书协商别的对称密钥。当客户端与服务器之间需要传输重要数据时,就用协商好的对称密钥进行加密传输。
2.安全交易方法
在安全认证后,用户可以执行相应权限的操作,但是特别重要的操作,如网上交易等,需要更高的安全性。结合数字证书和动态密码的安全交易,用户只用拥有合法有效数字证书和动态密码,并经USB令牌按键确认才能完成交易。安全交易信息流程如图3所示,具体步骤如下:
(1)在用户身份认证成功的前提下,当用户进行网上交易确认时,用户在客户端确认。客户端提示用户插入USB令牌。用户插入USB令牌,并通过USB令牌的键盘输入PIN码。若PIN码不正确,则USB令牌提示重新输入,错误三次后USB令牌锁定;若PIN码正确,则USB令牌将用户确认信息发送给客户端。客户端将用户确认信息发送给服务器。
(2)服务器用服务器私钥K′S对交易账单号||交易账号||交易金额(XXX)进行数字签名得到
将
发送给客户端。
(3)客户端从服务器数字证书CertS中提取服务器公钥KS,解签名
得到交易账单号||交易账号||交易金额后发送给USB令牌。
USB令牌将交易账单号、交易账号、交易金额显示在屏幕上。用户查看USB令牌上的显示与电脑上正进行的交易账单号、交易账号、交易金额是否相同。
若不相同则用户取消交易。若相同则用户按USB令牌的确认键基于事件生成动态密码OTP,USB令牌将OTP发送给客户端。另外,USB令牌用用户私钥K′C对交易账单号||交易账号||交易金额(XXX)进行数字签名得到
将
发送给客户端。
客户端从服务器数字证书CertS中提取服务器公钥KS加密OTP得到
最后将
和
一起发送给服务器。
(4)服务器用服务器私钥K′S解密得到OTP,服务器生成动态密码OTP,比较两个动态密码是否相同。
若不相同则结束会话,提示用户动态密码错误;若相同则服务器从用户数字证书CertC中提取用户公钥KC解签名
得到XXX,比较XXX与原来的交易账单号、交易账号、交易金额是否相同。
若不相同则结束会话,提示交易账单号、交易账号、交易金额有误;若相同则确认交易,提示交易成功。
上述步骤实现了安全交易。
3.优点及功效
本发明将数字证书和动态密码有机结合起来实现了安全认证与交易,不仅避免了单独使用数字证书或动态密码的安全隐患,而且充分发挥了各自的安全优势,能够抵御各种攻击,具有很高安全性,满足网络中各种高安全应用的需求,在网络安全技术领域里具有较好的实用价值和广阔的应用前景。
(1)双向安全认证:在认证过程中,不仅服务器对客户端进行身份认证,客户端同样对服务器进行身份认证,同时保证了客户端与服务器之间的双向安全。双向认证解决了服务器端的安全隐患,可以防止伪造服务器(如钓鱼网站)和中间人攻击等。
(3)多重安全保护:USB令牌有PIN码保护,别人拿到USB令牌也无法使用;而且PIN码通过USB令牌上的键盘输入,黑客或木马不可能获得PIN码,也不可能在USB令牌的键盘上输入PIN码;动态密码具有动态性、一次性和随机性,且加密传输;动态密码和交易确认必须通过USB令牌上的确认键操作,黑客不可能通过远程操控实现;用户私钥在USB令牌中存储且不可导出,签名和解密都在USB令牌内完成,没有USB令牌不可能进行假冒等。多重安全保护可以有效防止窃听、重放、假冒、猜测、穷举、钓鱼等攻击。
(3)保护交易过程:数字证书和动态密码参与到交易过程中,交易的重要数据(交易账单号、交易账号、交易金额)必须发送到USB令牌的屏幕上显示,经过用户确认,然后用用户私钥进行数字签名,最后发送给服务器,保证了重要数据不可能被篡改,能够有效地防止对交易过程的交易伪造或交易劫持等,从而保证了交易过程的安全。
(四)附图说明
图1本发明流程框图。
图2安全认证信息流程示意图。
图3安全交易信息流程示意图。
图中符号说明如下:
| 编号 | 符号 | 符号说明 |
| 1 | IDC | 用户名。 |
| 2 | RC/RS | 客户端/服务器产生的随机数。 |
| 3 | KCA | CA公钥。 |
| 4 | KS/K′S | 服务器的公钥/私钥。 |
| 5 | KC/K′C | 用户的公钥/私钥。 |
| 6 | CertC/CertS | 用户/服务器数字证书。 |
| 7 | OTP | 动态密码。 |
| 8 | || | 字符串连接符。 |
| 9 | XXX | 交易账单号||交易账号||交易金额。 |
| 10 | EK(X) | 用公钥K对数据X进行加密。 |
| 11 | SigK′(X) | 用私钥K′对数据X进行签名。 |
(五)具体实施方式
见图1、2、3,本发明是一种结合数字证书和动态密码的安全认证与交易方法,该方法具体步骤如下:
1.安全认证方法
结合数字证书和动态密码对用户的身份进行认证,判断是否为合法用户,用户只用拥有合法有效数字证书和动态密码,并经USB令牌按键确认才能通过服务器的认证,执行相应权限的操作。安全认证信息流程如图2所示,具体步骤如下:
步骤一:基于数字证书进行客户端与服务器之间的双向认证。
(1)当登陆系统时,用户在客户端输入用户名IDC后确认。客户端提示用户插入USB令牌。
用户插入USB令牌,并通过USB令牌的键盘输入PIN码。若PIN码不正确,则USB令牌提示重新输入,错误三次后USB令牌锁定;若PIN码正确,则USB令牌将用户数字证书CertC发送给客户端。客户端将用户名IDC和用户数字证书CertC一起发送给服务器。
(2)服务器通过用户名IDC在数据库中查找该用户。若不存在则结束会话,提示该用户不存在;若存在则用CA公钥KCA验证用户数字证书CertC。
若验证不通过则结束会话,提示用户数字证书错误;若验证通过则产生随机数RS,并从用户数字证书CertC中提取用户公钥KC对随机数RS加密得到将
和服务器数字证书CertS一起发送给客户端。
(3)客户端从USB令牌中读取CA公钥KCA验证服务器数字证书CertS。若验证不通过则结束会话,提示服务器数字证书错误;若验证通过则将发送给USB令牌。USB令牌用用户私钥K′C解密
得到随机数RS后发送给客户端。
客户端产生随机数RC,并从服务器数字证书CertS中提取服务器公钥KS加密RS||RC得到将
发送给服务器。
(4)服务器用服务器私钥K′S解密
得到随机数RS||RC,比较得到的随机数RS与原来产生的随机数是否相同。若不相同则结束会话,提示客户端认证失败;若相同则表明客户端身份真实。服务器从用户数字证书CertC中提取用户公钥KC对随机数RC加密得到
将
发送给客户端。
(5)客户端将
发送给USB令牌。USB令牌用用户私钥K′C解密得到随机数RC后发送给客户端。
客户端比较收到的随机数RC与原来产生的随机数是否相同。若不相同则结束会话,提示服务器认证失败;若相同则表明服务器身份真实,提示客户端与服务器之间双向认证成功,请按USB令牌的确认键。
步骤二:结合数字证书和动态密码进行身份认证。
(1)用户按USB令牌的确认键基于事件生成动态密码,USB令牌将OTP发送给客户端。客户端从服务器数字证书CertS中提取服务器公钥KS加密OTP得到
将发送给服务器。
(2)服务器用服务器私钥K′S解密
得到OTP,服务器生成动态密码OTP,比较两个动态密码是否相同。若不相同则结束会话,提示用户动态密码错误;若相同则身份认证通过,提示身份认证成功。
(3)身份认证成功后,就将客户端用户名IDC绑定客户端的操作权限。
上述步骤实现了安全认证。
因为随机数没有公开,所以可以用随机数RS和RC的运算值作为客户端与服务器之间的对称加密(AES)的密钥;客户端与服务器之间也可以用数字证书协商别的对称密钥。当客户端与服务器之间需要传输重要数据时,就用协商好的对称密钥进行加密传输。
2.安全交易方法
在安全认证后,用户可以执行相应权限的操作,但是特别重要的操作,如网上交易等,需要更高的安全性。结合数字证书和动态密码的安全交易,用户只用拥有合法有效数字证书和动态密码,并经USB令牌按键确认才能完成交易。安全交易信息流程如图3所示,具体步骤如下:
(1)在用户身份认证成功的前提下,当用户进行网上交易确认时,用户在客户端确认。客户端提示用户插入USB令牌。
用户插入USB令牌,并通过USB令牌的键盘输入PIN码。若PIN码不正确,则USB令牌提示重新输入,错误三次后USB令牌锁定;若PIN码正确,则USB令牌将用户确认信息发送给客户端。客户端将用户确认信息发送给服务器。
(2)服务器用服务器私钥K′S对交易账单号||交易账号||交易金额(XXX)进行数字签名得到将
发送给客户端。
(3)客户端从服务器数字证书CertS中提取服务器公钥KS,解签名
得到交易账单号||交易账号||交易金额后发送给USB令牌。
USB令牌将交易账单号、交易账号、交易金额显示在屏幕上。用户查看USB令牌上的显示与电脑上正进行的交易账单号、交易账号、交易金额是否相同。
若不相同则用户取消交易。若相同则用户按USB令牌的确认键基于事件生成动态密码OTP,USB令牌将OTP发送给客户端。另外,USB令牌用用户私钥K′C对交易账单号||交易账号||交易金额(XXX)进行数字签名得到
将
发送给客户端。
客户端从服务器数字证书CertS中提取服务器公钥KS加密OTP得到
最后将
和
一起发送给服务器。
(4)服务器用服务器私钥K′S解密
得到OTP,服务器生成动态密码OTP,比较两个动态密码是否相同。
若不相同则结束会话,提示用户动态密码错误;若相同则服务器从用户数字证书CertC中提取用户公钥KC解签名
得到XXX,比较XXX与原来的交易账单号、交易账号、交易金额是否相同。
若不相同则结束会话,提示交易账单号、交易账号、交易金额有误;若相同则确认交易,提示交易成功。
上述步骤实现了安全交易。
Claims (1)
1.一种结合数字证书和动态密码的安全认证与交易方法,其特征在于:首先,基于数字证书实现客户端与服务器之间的双向认证;然后,在双向认证的基础上,通过数字证书和动态密码的结合实现身份认证;最后,在安全认证的基础上,通过数字证书和动态密码的结合实现安全交易;该方法具体步骤如下:
步骤一:安全认证方法
结合数字证书和动态密码对用户的身份进行认证,判断是否为合法用户,用户只用拥有合法有效数字证书和动态密码,并经USB令牌按键确认才能通过服务器的认证,执行相应权限的操作,具体实现过程如下:
(一)、基于数字证书进行客户端与服务器之间的双向认证
(1)当登陆系统时,用户在客户端输入用户名IDC后确认,客户端提示用户插入USB令牌;
用户插入USB令牌,并通过USB令牌的键盘输入PIN码;若PIN码不正确,则USB令牌提示重新输入,错误三次后USB令牌锁定;若PIN码正确,则USB令牌将用户数字证书CertC发送给客户端,客户端将用户名IDC和用户数字证书CertC一起发送给服务器;
(2)服务器通过用户名IDC在数据库中查找该用户;若不存在则结束会话,提示该用户不存在;若存在则用CA公钥KCA验证用户数字证书CertC;
若验证不通过则结束会话,提示用户数字证书错误;若验证通过则产生随机数RS,并从用户数字证书CertC中提取用户公钥KC对随机数RS加密得到
将
和服务器数字证书CertS一起发送给客户端;
(3)客户端从USB令牌中读取CA公钥KCA验证服务器数字证书CertS;若验证不通过则结束会话,提示服务器数字证书错误;若验证通过则将
发送给USB令牌,USB令牌用用户私钥K′C解密
得到随机数RS后发送给客户端;
客户端产生随机数RC,并从服务器数字证书CertS中提取服务器公钥KS加密RS||RC得到
将
发送给服务器;其中,符号||为字符串连接符;
(4)服务器用服务器私钥K′S解密得到随机数RS||RC,比较得到的随机数RS与原来产生的随机数是否相同;若不相同则结束会话,提示客户端认证失败;若相同则表明客户端身份真实,服务器从用户数字证书CertC中提取用户公钥KC对随机数RC加密得到
将
发送给客户端;
(5)客户端将
发送给USB令牌,USB令牌用用户私钥K′C解密
得到随机数RC后发送给客户端;
客户端比较收到的随机数RC与原来产生的随机数是否相同;若不相同则结束会话,提示服务器认证失败;若相同则表明服务器身份真实,提示客户端与服务器之间双向认证成功,请按USB令牌的确认键;
(二)、结合数字证书和动态密码进行身份认证
(1)用户按USB令牌的确认键基于事件生成动态密码OTP,USB令牌将OTP发送给客户端;客户端从服务器数字证书CertS中提取服务器公钥KS加密OTP得到
将
发送给服务器;
(2)服务器用服务器私钥K′S解密
得到OTP,服务器生成动态密码OTP,比较两个动态密码是否相同;若不相同则结束会话,提示用户动态密码错误;若相同则身份认证通过,提示身份认证成功;
(3)身份认证成功后,就将客户端用户名IDC绑定客户端的操作权限;
因为随机数没有公开,所以可以用随机数RS和RC的运算值作为客户端与服务器之间的对称加密(AES)的密钥;客户端与服务器之间也可以用数字证书协商别的对称密钥;当客户端与服务器之间需要传输重要数据时,就用协商好的对称密钥进行加密传输;
步骤二:安全交易方法
在安全认证后,用户可以执行相应权限的操作,结合数字证书和动态密码的安全交易,用户只用拥有合法有效数字证书和动态密码,并经USB令牌按键确认才能完成交易;具体实现过程如下:
(1)在用户身份认证成功的前提下,当用户进行网上交易确认时,用户在客户端确认,客户端提示用户插入USB令牌;用户插入USB令牌,并通过USB令牌的键盘输入PIN码;若PIN码不正确,则USB令牌提示重新输入,错误三次后USB令牌锁定;若PIN码正确,则USB令牌将用户确认信息发送给客户端,客户端将用户确认信息发送给服务器;
(2)服务器用服务器私钥K′S对交易账单号||交易账号||交易金额(XXX)进行数字签名得到将
发送给客户端;
(3)客户端从服务器数字证书CertS中提取服务器公钥KS,解签名
得到交易账单号||交易账号||交易金额后发送给USB令牌;
USB令牌将交易账单号、交易账号、交易金额显示在屏幕上,用户查看USB令牌上的显示与电脑上正进行的交易账单号、交易账号、交易金额是否相同;
若不相同则用户取消交易;若相同则用户按USB令牌的确认键基于事件生成动态密码OTP,USB令牌将OTP发送给客户端;另外,USB令牌用用户私钥K′C对交易账单号||交易账号||交易金额(XXX)进行数字签名得到
将发送给客户端;
客户端从服务器数字证书CertS中提取服务器公钥KS加密OTP得到
最后将
和
一起发送给服务器;
(4)服务器用服务器私钥K′S解密
得到OTP,服务器生成动态密码OTP,比较两个动态密码是否相同;
若不相同则结束会话,提示用户动态密码错误;若相同则服务器从用户数字证书CertC中提取用户公钥KC解签名得到XXX,比较XXX与原来的交易账单号、交易账号、交易金额是否相同;
若不相同则结束会话,提示交易账单号、交易账号、交易金额有误;若相同则确认交易,提示交易成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106017845A CN102075522B (zh) | 2010-12-22 | 2010-12-22 | 一种结合数字证书和动态密码的安全认证与交易方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010106017845A CN102075522B (zh) | 2010-12-22 | 2010-12-22 | 一种结合数字证书和动态密码的安全认证与交易方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102075522A true CN102075522A (zh) | 2011-05-25 |
| CN102075522B CN102075522B (zh) | 2012-07-04 |
Family
ID=44033866
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010106017845A Active CN102075522B (zh) | 2010-12-22 | 2010-12-22 | 一种结合数字证书和动态密码的安全认证与交易方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102075522B (zh) |
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102413144A (zh) * | 2011-12-05 | 2012-04-11 | 中国电力科学研究院 | 一种用于c/s架构业务的安全接入系统及相关接入方法 |
| CN102710611A (zh) * | 2012-05-11 | 2012-10-03 | 福建联迪商用设备有限公司 | 网络安全身份认证方法和系统 |
| CN102752311A (zh) * | 2012-07-16 | 2012-10-24 | 天地融科技股份有限公司 | 一种认证方法、系统和装置 |
| CN102868519A (zh) * | 2011-07-04 | 2013-01-09 | 周哲仰 | 数据保密方法及系统 |
| CN102904883A (zh) * | 2012-09-25 | 2013-01-30 | 上海交通大学 | 在线交易系统的中间人攻击防御方法 |
| CN103297234A (zh) * | 2013-05-08 | 2013-09-11 | 上海众人网络安全技术有限公司 | 一种动态令牌及动态密码生成系统和方法 |
| CN103312678A (zh) * | 2012-03-15 | 2013-09-18 | 中国移动通信集团公司 | 一种客户端安全登录方法、装置及系统 |
| CN103491090A (zh) * | 2013-09-23 | 2014-01-01 | 金蝶软件(中国)有限公司 | 一种安全认证方法、设备及系统 |
| CN103856468A (zh) * | 2012-12-06 | 2014-06-11 | 鸿富锦精密工业(深圳)有限公司 | 身份验证系统及方法 |
| CN103929310A (zh) * | 2014-04-25 | 2014-07-16 | 长沙市梦马软件有限公司 | 一种手机客户端口令统一认证方法及系统 |
| CN104166914A (zh) * | 2014-08-20 | 2014-11-26 | 武汉天喻信息产业股份有限公司 | 基于安全元件的主机卡片模拟技术的安全系统及方法 |
| CN104468124A (zh) * | 2014-12-22 | 2015-03-25 | 联想(北京)有限公司 | 基于ssl的认证方法及电子设备 |
| CN104573464A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 一种基于usb控制器的办公终端系统可重入方法 |
| CN104935591A (zh) * | 2015-06-16 | 2015-09-23 | 苏盛辉 | 基于非对称身份的动态口令生成与验证方法 |
| WO2016107320A1 (zh) * | 2014-12-30 | 2016-07-07 | 北京奇虎科技有限公司 | 网站安全信息的加载方法和浏览器装置 |
| CN106302550A (zh) * | 2016-10-21 | 2017-01-04 | 成都智达电力自动控制有限公司 | 一种用于智能变电站自动化的信息安全方法及系统 |
| CN103795545B (zh) * | 2014-02-14 | 2017-01-18 | 飞天诚信科技股份有限公司 | 一种安全通信的方法和系统 |
| CN106411528A (zh) * | 2016-10-17 | 2017-02-15 | 重庆邮电大学 | 一种基于隐式证书的轻量级认证密钥协商方法 |
| CN106850566A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇艺世纪科技有限公司 | 一种数据一致性校验的方法及装置 |
| CN106921501A (zh) * | 2017-05-04 | 2017-07-04 | 北京帕斯沃得科技有限公司 | 一种智能密码签名身份鉴别认证方法及系统 |
| CN107294909A (zh) * | 2016-04-04 | 2017-10-24 | 汪风珍 | 一种电子身份实名认证的产品和方法 |
| CN107295000A (zh) * | 2017-07-12 | 2017-10-24 | 郑州云海信息技术有限公司 | 一种基于证书的通信方法及系统 |
| CN108600240A (zh) * | 2018-05-02 | 2018-09-28 | 济南浪潮高新科技投资发展有限公司 | 一种通信系统及其通信方法 |
| CN108696536A (zh) * | 2018-07-03 | 2018-10-23 | 北京科东电力控制系统有限责任公司 | 一种安全认证方法 |
| CN108900471A (zh) * | 2018-05-31 | 2018-11-27 | 北京证大向上金融信息服务有限公司 | 用于传输数据的服务器、客户端、网络系统及方法 |
| CN108989318A (zh) * | 2018-07-26 | 2018-12-11 | 中国电子科技集团公司第三十研究所 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
| CN109101809A (zh) * | 2018-08-22 | 2018-12-28 | 山东浪潮通软信息科技有限公司 | 一种基于证书认证登录系统有效性认证的方法 |
| CN110401666A (zh) * | 2019-07-30 | 2019-11-01 | 四川虹魔方网络科技有限公司 | 一种基于用户身份的网络权限分配方法 |
| CN112233758A (zh) * | 2020-10-15 | 2021-01-15 | 刘明 | 脑动脉硬化病管理云平台系统及电子智能药盒 |
| CN112233759A (zh) * | 2020-10-15 | 2021-01-15 | 刘明 | 冠心病管理云平台系统及智能药盒 |
| CN112000942B (zh) * | 2020-10-30 | 2021-01-22 | 成都掌控者网络科技有限公司 | 基于授权行为的权限列表匹配方法、装置、设备及介质 |
| CN112751664A (zh) * | 2019-10-29 | 2021-05-04 | 中国移动通信有限公司研究院 | 一种物联网组网方法、装置和计算机可读存储介质 |
| CN113793149A (zh) * | 2021-09-16 | 2021-12-14 | 中国银行股份有限公司 | 离线交易认证系统、方法及中心服务器、客户端 |
| CN113793149B (zh) * | 2021-09-16 | 2024-10-25 | 中国银行股份有限公司 | 离线交易认证系统、方法及中心服务器、客户端 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050188202A1 (en) * | 2004-02-23 | 2005-08-25 | Nicolas Popp | Token provisioning |
| CN101178802A (zh) * | 2006-11-08 | 2008-05-14 | 李东声 | 网络银行交易中动态密码的实现方法与电子签名装置 |
| CN101616148A (zh) * | 2009-07-31 | 2009-12-30 | 北京握奇数据系统有限公司 | 网络交易身份认证方法和装置 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
-
2010
- 2010-12-22 CN CN2010106017845A patent/CN102075522B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050188202A1 (en) * | 2004-02-23 | 2005-08-25 | Nicolas Popp | Token provisioning |
| CN101178802A (zh) * | 2006-11-08 | 2008-05-14 | 李东声 | 网络银行交易中动态密码的实现方法与电子签名装置 |
| CN101616148A (zh) * | 2009-07-31 | 2009-12-30 | 北京握奇数据系统有限公司 | 网络交易身份认证方法和装置 |
| CN101674304A (zh) * | 2009-10-15 | 2010-03-17 | 浙江师范大学 | 一种网络身份认证系统及方法 |
Cited By (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102868519A (zh) * | 2011-07-04 | 2013-01-09 | 周哲仰 | 数据保密方法及系统 |
| CN102413144B (zh) * | 2011-12-05 | 2015-08-05 | 中国电力科学研究院 | 一种用于c/s架构业务的安全接入系统及相关接入方法 |
| CN102413144A (zh) * | 2011-12-05 | 2012-04-11 | 中国电力科学研究院 | 一种用于c/s架构业务的安全接入系统及相关接入方法 |
| CN103312678B (zh) * | 2012-03-15 | 2016-09-07 | 中国移动通信集团公司 | 一种客户端安全登录方法、装置及系统 |
| CN103312678A (zh) * | 2012-03-15 | 2013-09-18 | 中国移动通信集团公司 | 一种客户端安全登录方法、装置及系统 |
| CN102710611A (zh) * | 2012-05-11 | 2012-10-03 | 福建联迪商用设备有限公司 | 网络安全身份认证方法和系统 |
| CN102752311A (zh) * | 2012-07-16 | 2012-10-24 | 天地融科技股份有限公司 | 一种认证方法、系统和装置 |
| CN102752311B (zh) * | 2012-07-16 | 2016-04-06 | 天地融科技股份有限公司 | 一种认证方法、系统和装置 |
| CN102904883A (zh) * | 2012-09-25 | 2013-01-30 | 上海交通大学 | 在线交易系统的中间人攻击防御方法 |
| CN103856468A (zh) * | 2012-12-06 | 2014-06-11 | 鸿富锦精密工业(深圳)有限公司 | 身份验证系统及方法 |
| CN103856468B (zh) * | 2012-12-06 | 2017-05-31 | 鸿富锦精密工业(深圳)有限公司 | 身份验证系统及方法 |
| CN103297234A (zh) * | 2013-05-08 | 2013-09-11 | 上海众人网络安全技术有限公司 | 一种动态令牌及动态密码生成系统和方法 |
| CN103491090A (zh) * | 2013-09-23 | 2014-01-01 | 金蝶软件(中国)有限公司 | 一种安全认证方法、设备及系统 |
| CN103795545B (zh) * | 2014-02-14 | 2017-01-18 | 飞天诚信科技股份有限公司 | 一种安全通信的方法和系统 |
| CN103929310A (zh) * | 2014-04-25 | 2014-07-16 | 长沙市梦马软件有限公司 | 一种手机客户端口令统一认证方法及系统 |
| CN104166914A (zh) * | 2014-08-20 | 2014-11-26 | 武汉天喻信息产业股份有限公司 | 基于安全元件的主机卡片模拟技术的安全系统及方法 |
| CN104468124A (zh) * | 2014-12-22 | 2015-03-25 | 联想(北京)有限公司 | 基于ssl的认证方法及电子设备 |
| CN104468124B (zh) * | 2014-12-22 | 2018-04-27 | 联想(北京)有限公司 | 基于ssl的认证方法及电子设备 |
| CN104573464A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 一种基于usb控制器的办公终端系统可重入方法 |
| WO2016107320A1 (zh) * | 2014-12-30 | 2016-07-07 | 北京奇虎科技有限公司 | 网站安全信息的加载方法和浏览器装置 |
| CN104935591A (zh) * | 2015-06-16 | 2015-09-23 | 苏盛辉 | 基于非对称身份的动态口令生成与验证方法 |
| CN107294909A (zh) * | 2016-04-04 | 2017-10-24 | 汪风珍 | 一种电子身份实名认证的产品和方法 |
| CN106411528A (zh) * | 2016-10-17 | 2017-02-15 | 重庆邮电大学 | 一种基于隐式证书的轻量级认证密钥协商方法 |
| CN106411528B (zh) * | 2016-10-17 | 2019-06-14 | 重庆邮电大学 | 一种基于隐式证书的轻量级认证密钥协商方法 |
| CN106302550A (zh) * | 2016-10-21 | 2017-01-04 | 成都智达电力自动控制有限公司 | 一种用于智能变电站自动化的信息安全方法及系统 |
| CN106850566A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇艺世纪科技有限公司 | 一种数据一致性校验的方法及装置 |
| CN106850566B (zh) * | 2016-12-29 | 2020-04-03 | 北京奇艺世纪科技有限公司 | 一种数据一致性校验的方法及装置 |
| CN106921501B (zh) * | 2017-05-04 | 2020-01-31 | 北京帕斯沃得科技有限公司 | 一种智能密码签名身份鉴别认证方法及系统 |
| CN106921501A (zh) * | 2017-05-04 | 2017-07-04 | 北京帕斯沃得科技有限公司 | 一种智能密码签名身份鉴别认证方法及系统 |
| CN107295000A (zh) * | 2017-07-12 | 2017-10-24 | 郑州云海信息技术有限公司 | 一种基于证书的通信方法及系统 |
| CN108600240A (zh) * | 2018-05-02 | 2018-09-28 | 济南浪潮高新科技投资发展有限公司 | 一种通信系统及其通信方法 |
| CN108900471A (zh) * | 2018-05-31 | 2018-11-27 | 北京证大向上金融信息服务有限公司 | 用于传输数据的服务器、客户端、网络系统及方法 |
| CN108900471B (zh) * | 2018-05-31 | 2022-02-25 | 北京证大向上金融信息服务有限公司 | 用于传输数据的服务器、客户端、网络系统及方法 |
| CN108696536A (zh) * | 2018-07-03 | 2018-10-23 | 北京科东电力控制系统有限责任公司 | 一种安全认证方法 |
| CN108989318A (zh) * | 2018-07-26 | 2018-12-11 | 中国电子科技集团公司第三十研究所 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
| CN108989318B (zh) * | 2018-07-26 | 2020-12-29 | 中国电子科技集团公司第三十研究所 | 一种面向窄带物联网的轻量化安全认证及密钥交换方法 |
| CN109101809A (zh) * | 2018-08-22 | 2018-12-28 | 山东浪潮通软信息科技有限公司 | 一种基于证书认证登录系统有效性认证的方法 |
| CN110401666A (zh) * | 2019-07-30 | 2019-11-01 | 四川虹魔方网络科技有限公司 | 一种基于用户身份的网络权限分配方法 |
| CN112751664A (zh) * | 2019-10-29 | 2021-05-04 | 中国移动通信有限公司研究院 | 一种物联网组网方法、装置和计算机可读存储介质 |
| CN112751664B (zh) * | 2019-10-29 | 2023-11-28 | 中国移动通信有限公司研究院 | 一种物联网组网方法、装置和计算机可读存储介质 |
| CN112233758A (zh) * | 2020-10-15 | 2021-01-15 | 刘明 | 脑动脉硬化病管理云平台系统及电子智能药盒 |
| CN112233759A (zh) * | 2020-10-15 | 2021-01-15 | 刘明 | 冠心病管理云平台系统及智能药盒 |
| CN112000942B (zh) * | 2020-10-30 | 2021-01-22 | 成都掌控者网络科技有限公司 | 基于授权行为的权限列表匹配方法、装置、设备及介质 |
| CN113793149A (zh) * | 2021-09-16 | 2021-12-14 | 中国银行股份有限公司 | 离线交易认证系统、方法及中心服务器、客户端 |
| CN113793149B (zh) * | 2021-09-16 | 2024-10-25 | 中国银行股份有限公司 | 离线交易认证系统、方法及中心服务器、客户端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102075522B (zh) | 2012-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102075522B (zh) | 一种结合数字证书和动态密码的安全认证与交易方法 | |
| Jiang et al. | On the security of a privacy-aware authentication scheme for distributed mobile cloud computing services | |
| US6138239A (en) | Method and system for authenticating and utilizing secure resources in a computer system | |
| CN101848090B (zh) | 认证装置及利用其进行网上身份认证与交易的系统与方法 | |
| CN109040067A (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
| CN108092776A (zh) | 一种身份认证服务器和身份认证令牌 | |
| TWI512524B (zh) | 身份驗證系統及方法 | |
| CN101393628B (zh) | 一种新型的网上安全交易系统和方法 | |
| CN109687965B (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
| TWI648679B (zh) | 使用區塊鏈之證照發行管理系統與方法 | |
| CN100566250C (zh) | 一种点对点网络身份认证方法 | |
| Nagaraju et al. | SecAuthn: provably secure multi-factor authentication for the cloud computing systems | |
| CN101819614A (zh) | 利用语音核验USBKey增强网络交易安全性的系统和方法 | |
| CN102201137A (zh) | 网络安全终端以及基于该终端的交互系统和交互方法 | |
| CN101420302A (zh) | 安全认证方法和设备 | |
| Alzuwaini et al. | An Efficient Mechanism to Prevent the Phishing Attacks. | |
| US20190007218A1 (en) | Second dynamic authentication of an electronic signature using a secure hardware module | |
| Backes et al. | Using mobile device communication to strengthen e-voting protocols | |
| CN110866754A (zh) | 一种基于动态口令的纯软件dpva身份认证方法 | |
| Boontaetae et al. | RDI: Real digital identity based on decentralized PKI | |
| CN101547098B (zh) | 公共网络数据传输安全认证方法及系统 | |
| CN111539032B (zh) | 一种抗量子计算破解的电子签名应用系统及其实现方法 | |
| Kiljan et al. | What you enter is what you sign: Input integrity in an online banking environment | |
| Chatterjee et al. | A novel multi-server authentication scheme for e-commerce applications using smart card | |
| Gao et al. | Cryptanalysis of three dynamic ID-based remote user authentication schemes using smart cards |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |