CN102098160B - 一种基于动态口令和数字证书的双因素认证安全令牌装置 - Google Patents
一种基于动态口令和数字证书的双因素认证安全令牌装置 Download PDFInfo
- Publication number
- CN102098160B CN102098160B CN2010105391056A CN201010539105A CN102098160B CN 102098160 B CN102098160 B CN 102098160B CN 2010105391056 A CN2010105391056 A CN 2010105391056A CN 201010539105 A CN201010539105 A CN 201010539105A CN 102098160 B CN102098160 B CN 102098160B
- Authority
- CN
- China
- Prior art keywords
- dynamic password
- control chip
- token device
- security token
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
一种基于动态口令和数字证书的双因素认证安全令牌装置,它是由安全控制芯片、微控制器、液晶显示屏以及按键组成。微控制器外接液晶显示屏以及按键,微控制器通过串口以及一个输入/输出端口与安全控制芯片相连接,接收安全控制芯片的中断信号,将动态口令信号传给安全控制芯片。当该安全令牌装置与计算机相连接时,用户可以选择使用动态口令或者数字证书进行身份认证;当该安全令牌装置脱机使用时,用户可以触发安全令牌上的按键,通过读取安全令牌上的液晶显示屏获得动态口令进行身份认证,它具有很好的安全性和灵活性,可适应不同环境下的应用需求。本发明在信息安全中身份认证技术领域里具有较好的实用价值和广阔的应用前景。
Description
技术领域
本发明涉及一种双因素认证安全令牌,尤其涉及一种基于动态口令和数字证书的双因素认证安全令牌装置,它将动态口令和数字证书认证结合到一起,用户可以选择使用数字证书或者动态口令进行身份认证。属于信息安全中身份认证技术领域。
背景技术
常见的身份认证使用静态的“用户名加口令”的方式,非常容易遭受攻击,导致合法用户身份被伪造。国内大部分金融机构目前主要使用动态口令卡或者基于数字证书认证的USBKEY增强用户网上交易的安全性。
动态口令认证保证了用户每次向远端服务器传送的登录口令都不一样,服务器端采用与客户端相同的算法保证动态口令的同步,即使攻击者截获了多个用户使用过的登录口令也无法推算出下一次的口令。
数字证书是由CA(Certification Authority证书授权中心)签发的一个电子文件,证明拥有证书的主体与证书中所包含的公钥具有唯一对应关系。采用公钥加密算法进行用户信息的传送可以保证信息传递的保密性、认证性、数据完整性以及交易的不可否认性。
目前国内网上银行使用USBKEY或者动态口令卡增强用户交易的安全性。USBKEY认证和动态口令认证不可同时使用,给用户带来不便。在某些保密场合的计算机的USB端口被限制使用,这时USBKEY就无法使用;而动态口令卡使用次数是有限的,不方便携带。
发明内容
1、目的:本发明的目的是提供一种基于动态口令和数字证书的双因素认证安全令牌装置,它克服了现有技术的不足,当本安全令牌装置不与计算机相连接时,用户仍可以使用动态口令进行身份认证;当本安全令牌装置与计算机相连接时,用户可以自主选择使用动态口令或者数字证书完成身份认证,克服了上述缺陷。
2、技术方案:本发明一种基于动态口令和数字证书的双因素认证安全令牌装置(以下简称安全令牌装置),它是由安全控制芯片、微控制器、液晶显示屏以及按键和控制电路组成。它们之间的位置连接关系、信号走向是微控制器外接液晶显示屏以及按键,微控制器通过串口以及一个输入/输出端口与安全控制芯片相连接,接受安全控制芯片的中断信号,将动态口令信号传给安全控制芯片。
所述控制电路,是由USB(Universal Serial BUS)通信电路、串口通信电路和电压转换电路组成。该USB通信电路通过DP、DM管脚与国民技术的Z32U连接,实现USB通信功能;该串口通信电路是由三星微控制器S3F8285的P3.4(串口发送)和P3.5(串口接收)管脚构成,二者相互独立,实现串口通信功能;该电压转换电路通过Z32U的第25管脚与国民技术的Z32U连接,为Z32U芯片提供3.3v工作电压。
其中,该安全控制芯片是国民技术的Z32U;
其中,该微控制器是S3F8285;
其中,该液晶显示屏是东莞市嘉田公司设计制作的专用液晶显示屏,定制产品;
其中,该按键是东莞市嘉田公司开模设计制作的按键,定制产品;
其中,该USB通信电路是由安全控制芯片Z32U的DM和DP管脚外接24欧姆电阻和47PF滤波电容构成,滤波电容一端接地,另一端与24欧姆电阻和DM、DP管脚相连接,其中DP管脚要接1500欧姆上拉电阻。
其中,该串口通信电路是由三星微控制器S3F8285的P3.4(串口发送)和P3.5(串口接收)管脚构成,二者相互独立,
其中,该电压转换电路是由电压转换芯片LM1117-3.3v构成,LM1117-3.3v的管脚1接收5v电压输入,管脚2输出3.3v转换电压。
该安全令牌装置的原理及工作流程是:
该安全令牌装置为上层网络用户的身份认证提供数字证书存储、数字签名和动态口令认证等功能。现有USBKEY中的安全控制芯片耗电量很大,无法使用电池对其供电脱机使用;现有的动态口令认证设备无法与电脑相连接,需要用户手动输入动态口令,给使用带来不便。
该安全令牌装置可同时向上层网络应用提供动态口令认证和数字证书认证两种方式:安全令牌不与计算机连接时,用户可以采用动态口令进行认证,与计算机连接使用时,用户可以选择使用数字证书或者动态口令进行认证。
该安全令牌装置采用两块芯片分别实现动态口令和数字证书的认证功能,微控制器和安全控制芯片通过串口和一条输入/输出端口相连接。当本安全令牌装置连接计算机时,如果用户选择采用数字证书进行身份认证,本安全令牌装置向上位机提供数字证书、数字签名等认证功能;如果用户选择动态口令方式进行身份认证,安全控制芯片首先通过输入/输出端口向微控制器发出中断触发信号,微控制器收到中断触发信号后产生动态口令并通过串口向安全控制芯片发送,安全控制芯片收到动态口令后通过USB接口向计算机传输,完成动态口令认证。当本安全令牌装置不与计算机连接时,安全控制芯片停止工作,微控制器由电池供电仍可继续工作,用户通过按键触发微控制器产生动态口令并显示于液晶显示屏上,用户手动输入该动态口令,完成身份认证。
3、优点及功效:本发明的优点是:
1、同时具备了数字证书和动态口令的双因素认证方式,两种认证方式都具有非常高的安全性;
2、认证方式灵活。当本安全令牌装置与计算机相连接时,用户可以选择数字证书认证或者动态口令认证,或者将二者结合起来,具有更高的安全性;当本安全令牌装置不与计算机相连接时,用户可以触发按键生成动态口令显示于液晶显示屏上,读取之后手动输入完成身份认证。
附图说明
图1是本发明安全令牌装置的结构示意图
图中:Z32U为国民技术的安全控制芯片,S3F8285是三星的微控制器芯片,通信电路模块是S3F8285芯片,接收用户生成动态口令参数值的接口。
图2-A和图2-B是本发明安全令牌装置的电路图。
图2-B中:S0是三星S3F8285芯片;S1是液晶显示模块,显示S3F8285产生的动态口令;S2是S3F8285芯片的通信模块;LM1117是电压转换芯片,为Z32U的正常工作供电;USB是Z32U芯片的USB接口模块。
具体实施方式:
本发明一种基于动态口令和数字证书的双因素认证安全令牌装置,其结构图见图1所示,图2(含图2-A和图2-B)为其电路图,它是由安全控制芯片、微控制器、液晶显示屏、按键和控制电路组成。它们之间的位置连接关系、信号走向是:微控制器外接液晶显示屏以及按键,微控制器通过串口以及一个输入/输出端口与安全控制芯片相连接,将动态口令信号传给安全控制芯片。
所述安全控制芯片是国民技术的Z32U;
所述微控制器是三星S3F8285;
所述液晶显示屏是东莞市嘉田公司设计制作的专用液晶显示屏,定制产品;
所述按键是东莞市嘉田公司开模设计制作的按键,定制产品;
所述控制电路,包括USB通信电路、串口通信电路和电压转换电路。该USB通信电路通过DP、DM管脚与国民技术的Z32U连接,实现USB通信功能;该串口通信电路是由三星微控制器S3F8285的P3.4(串口发送)和P3.5(串口接收)管脚构成,二者相互独立。实现串口通信功能;该电压转换电路通过Z32U的第25管脚与国民技术的Z32U连接,为Z32U芯片提供3.3v工作电压。
该USB通信电路是由安全控制芯片Z32U的DM和DP管脚外接24欧姆电阻和47PF滤波电容构成,滤波电容一端接地,另一端与24欧姆电阻和DM、DP管脚相连接,其中DP管脚要接1500欧姆上拉电阻。
该串口通信电路是由三星微控制器S3F8285的P3.4(串口发送)和P3.5(串口接收)管脚构成,二者相互独立。
该电压转换电路是由一片电压转换芯片LM1117-3.3v构成,LM1117-3.3v的管脚1接收5v电压输入,管脚2输出3.3v转换电压。
1、本发明的结构如图1所示,该安全令牌装置由两片芯片Z32U及S3F8285组成。Z32U模块实现与计算机的USB通信、存储数字证书、生成公私钥对、数字签名功能;三星S3F8285模块实现动态口令生成,驱动液晶显示屏显示动态口令,并在收到Z32U芯片的中断触发信号时将产生的动态口令通过串口传给Z32U芯片。
2、本发明的工作原理图如图2-A和图2-B所示。中兴芯片Z32U通过USB接口与计算机相连接,8、9管脚与三星芯片S3F8285的8、9管脚相连接,Z32U的13管脚与S3F8285的20管脚相连,二者均为通用I/O端口。选用液晶显示屏显示动态口令,S3F8285内部带有驱动液晶显示屏的模块。
3、当该安全令牌装置与计算机相连接时,如果用户选择数字证书认证的话,计算机读取该安全令牌装置中的数字证书并对交易信息做签名运算,进行认证;如果用户选用动态口令认证方式,则用户不必从液晶显示屏上读取动态口令,直接通过USB端口发送指令给Z32U芯片,Z32U产生中断信号通过13管脚传给S3F8285芯片,S3F8285通过20管脚收到中断信号之后产生动态口令并通过8、9管脚传给Z32U,Z32U通过USB端口传给计算机,计算机把动态口令发送到远端服务器完成一次动态口令认证;当该安全令牌装置不与计算机连接、脱机使用时,触发该安全令牌装置上的按键即可在液晶显示屏上显示一个动态口令,用户可以手动输入动态口令,进行身份认证。
4、需要说明的是,本设计中的安全芯片、生成动态口令的芯片以及液晶显示屏都是可以替换为其他类似产品,进一步的,两块芯片之间传输动态口令也可以使用其他方法实现。综上所述,本发明不仅限于上述实施方式,而是包括了本领域技术人员所能采用的等同的替代方式实现,这些在权利要求书得到了体现,并纳入到本发明的保护范围。
Claims (6)
1.一种基于动态口令和数字证书的双因素认证安全令牌装置,其特征在于:它是由安全控制芯片、微控制器、液晶显示屏、按键和控制电路组成;微控制器外接液晶显示屏以及按键,微控制器通过串口以及一个输入/输出端口与安全控制芯片相连接,接收安全控制芯片的中断信号,将动态口令信号传给安全控制芯片;所述控制电路,是USB通信电路、串口通信电路和电压转换电路,分别实现USB通信、串口通信以及为安全控制芯片提供3.3v工作电压的功能;
当该安全令牌装置与计算机相连接时,如果用尸选择数字证书认证的话,计算机读取该安全令牌装置中的数字证书并对交易信息做签名运算,进行认证;如果用户选用动态口令认证方式,则安全控制芯片首先通过输入/输出端口向微控制器发出中断触发信号,微控制器收到中断触发信号后产生动态口令并通过串口向安全控制芯片发送,安全控制芯片收到动态口令后通过USB接口向汁算机传输,计算机把动态口令发送到远端服务器完成一次动态口令认证;当该安全令牌装置不与计算机连接时,触发该安全令牌装置上的按键即可在液晶显示屏上显示一个动态口令,用户手动输入动态口令,进行身份认证。
2.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置,其特征在于:该安全控制芯片是国民技术的Z32U。
3.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置,其特征在于:该微控制器是S3F8285。
4.根据权利要求2所述的一种基于动态口令和数字证书的双因素认证安全令牌装置,其特征在于:该USB通信电路是由所述安全控制芯片Z32U的DM和DP管脚外接24欧姆电阻和47PF滤波电容构成,滤波电容一端接地,另一端与24欧姆电阻和DM、DP管脚相连接,而DP管脚要接1500欧姆上拉电阻。
5.根据权利要求3所述的一种基于动态口令和数字证书的双因素认证安全令牌装置,其特征在于:该串口通信电路是由所述微控制器S3F8285的P3.4即串口发送和P3.5即串口接收管脚构成,二者相互独立。
6.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置,其特征在于:该电压转换电路是由电压转换芯片LM1117-3.3v构成,LM1117-3.3v的管脚1接收5v电压输入,管脚2输出3.3v转换电压。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105391056A CN102098160B (zh) | 2010-11-11 | 2010-11-11 | 一种基于动态口令和数字证书的双因素认证安全令牌装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105391056A CN102098160B (zh) | 2010-11-11 | 2010-11-11 | 一种基于动态口令和数字证书的双因素认证安全令牌装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102098160A CN102098160A (zh) | 2011-06-15 |
| CN102098160B true CN102098160B (zh) | 2012-07-18 |
Family
ID=44131039
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105391056A Active CN102098160B (zh) | 2010-11-11 | 2010-11-11 | 一种基于动态口令和数字证书的双因素认证安全令牌装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102098160B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595532A (zh) * | 2013-10-21 | 2014-02-19 | 上海动联信息技术股份有限公司 | 基于usbkey和动态口令技术的复合型多功能密码钥匙 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102222390B (zh) * | 2011-06-30 | 2012-10-31 | 飞天诚信科技股份有限公司 | 一种多功能智能密钥装置及其工作方法 |
| CN104038345A (zh) * | 2014-06-20 | 2014-09-10 | 上海动联信息技术股份有限公司 | 一种实现usbkey与动态令牌之间协作的控制系统及控制方法 |
| EP3291502B1 (en) * | 2016-09-01 | 2021-07-28 | Roche Diagnostics GmbH | Method for authenticating an instrument for processing a biological sample or reagent, and system comprising an instrument for processing a biological sample or reagent |
| CN106302550A (zh) * | 2016-10-21 | 2017-01-04 | 成都智达电力自动控制有限公司 | 一种用于智能变电站自动化的信息安全方法及系统 |
| CN110177124B (zh) * | 2019-06-20 | 2022-02-25 | 深圳市迅雷网络技术有限公司 | 基于区块链的身份认证方法及相关设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7748031B2 (en) * | 2005-07-08 | 2010-06-29 | Sandisk Corporation | Mass storage device with automated credentials loading |
| CN201130947Y (zh) * | 2007-08-28 | 2008-10-08 | 上海盛大网络发展有限公司 | 硬件令牌 |
| CN101212303B (zh) * | 2007-12-24 | 2010-10-13 | 北京飞天诚信科技有限公司 | 动态口令输出方法、动态口令生成方法及其装置 |
| CN101340294A (zh) * | 2008-08-07 | 2009-01-07 | 深圳市紫金支点技术股份有限公司 | 一种密码键盘装置及其实现方法 |
-
2010
- 2010-11-11 CN CN2010105391056A patent/CN102098160B/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103595532A (zh) * | 2013-10-21 | 2014-02-19 | 上海动联信息技术股份有限公司 | 基于usbkey和动态口令技术的复合型多功能密码钥匙 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102098160A (zh) | 2011-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102098160B (zh) | 一种基于动态口令和数字证书的双因素认证安全令牌装置 | |
| CN102222390B (zh) | 一种多功能智能密钥装置及其工作方法 | |
| CN102647275A (zh) | 可用于移动终端的key | |
| CN104063646A (zh) | 支持移动终端的无线u盾 | |
| CN102799828A (zh) | 支持移动终端的二代u盾 | |
| CN102867255A (zh) | 多操作系统平台和移动支付设备的网银u盾及其工作方法 | |
| CN103051640A (zh) | 一种基于蓝牙的网银安全设备及其数据通讯方法 | |
| CN103595532A (zh) | 基于usbkey和动态口令技术的复合型多功能密码钥匙 | |
| CN204731815U (zh) | 模拟卡片 | |
| CN105743855B (zh) | 一种互联网应用设备的安全控制系统及其发行、应用方法 | |
| CN203070422U (zh) | 多用途ic卡互联网终端 | |
| CN202008672U (zh) | 一种电子商务交易安全终端 | |
| CN205068458U (zh) | 智能卡的读卡器 | |
| CN109615054A (zh) | 一种智能卡 | |
| CN204392264U (zh) | 一种基于蓝牙通信的指纹式动态口令认证装置及系统 | |
| CN102708491A (zh) | 基于可信计算的新型USB Key设备及其安全交易方法 | |
| CN203465725U (zh) | 电子签名扩展设备 | |
| CN202694349U (zh) | 多种接口方式的USBKey | |
| CN201892951U (zh) | 一种密钥装置 | |
| CN202904587U (zh) | 支持多操作系统平台和移动支付设备的网银u盾 | |
| CN204288285U (zh) | 一种安全性较高的电力手持作业终端 | |
| CN204740601U (zh) | 数据交互系统 | |
| CN104767082B (zh) | 一种具有网络认证功能的智能移动终端充电电缆 | |
| CN203966125U (zh) | 一种无线感应式安全认证终端设备 | |
| CN104156761A (zh) | 身份证数据传输系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |