CN102510333B - 一种授权认证方法及系统 - Google Patents
一种授权认证方法及系统 Download PDFInfo
- Publication number
- CN102510333B CN102510333B CN201110301864.3A CN201110301864A CN102510333B CN 102510333 B CN102510333 B CN 102510333B CN 201110301864 A CN201110301864 A CN 201110301864A CN 102510333 B CN102510333 B CN 102510333B
- Authority
- CN
- China
- Prior art keywords
- key
- module
- signature
- external authentication
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000013475 authorization Methods 0.000 title claims abstract description 63
- 238000004364 calculation method Methods 0.000 claims description 57
- 230000008569 process Effects 0.000 claims description 26
- 238000009434 installation Methods 0.000 claims description 12
- 238000012795 verification Methods 0.000 claims description 11
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 claims description 8
- 230000001360 synchronised effect Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- BQCADISMDOOEFD-UHFFFAOYSA-N Silver Chemical compound [Ag] BQCADISMDOOEFD-UHFFFAOYSA-N 0.000 description 3
- 238000004321 preservation Methods 0.000 description 3
- 229910052709 silver Inorganic materials 0.000 description 3
- 239000004332 silver Substances 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Abstract
本发明公开一种授权认证方法和系统,该方法包括:在签名Key和授权Key中设置签名Key的外部认证密钥,外部认证密钥与签名Key的序列号一一对应;授权Key将加密公钥通过第一计算机发送给签名Key进行保存;第二计算机接收到身份认证请求后从签名Key中获取第二随机数和序列号并发送给授权Key;授权Key使用序列号查找外部认证密钥,并使用其与加密私钥对第二随机数进行签名生成待验证数据并通过第二计算机发送给签名Key;签名Key使用加密公钥和外部认证密钥对接收到的待验证数据进行验证。本方法实现了授权Key与签名Key一对一或一对多的关联,签名Key在授权Key对其身份认证通过后,才能对每笔交易的数据进行签名,从而确保银企交易的真实性,合法性。
Description
技术领域
本发明涉及信息安全领域,尤其涉及通过签名Key和授权Key实现的一种授权认证方法及系统。
背景技术
目前,随着计算机技术的快速发展,网上银行(简称网银)越来也普及,有更多的人开始使用这种方便快捷的网银服务,如个人网上银行、企业网上银行、手机银行等,这些网银的应用都是通过互联网方式与网银后台服务器进行交互。还有一种网上银行的模式为银企直联,此模式实现了企业系统(财务系统/企业管理系统SAP/企业资源规划系统ERP)与银行系统网络层次的安全链接,可以有效的避免来自互联网的攻击。但是对于不同的企业,其内部管理规则不统一,如果不对企业前置机进行安全有效的认证与管理,容易给银行与企业带来风险与损失。
现有技术中,企业前置机由专人管理,USB Key始终插在前置机上,USB Key需要授权才可以使用,授权过程值是PIN码的确认过程,现有技术中PIN码是固定的,容易泄漏,且由于USB Key是便携设备,容易被转移到其他设备上使用,存在安全隐患;在进行网上交易时,每笔交易都要重复输入验证PIN码,操作比较繁琐;由于输入PIN码缓存到软件层中,每次签名时都需软件与硬件进行交互来认证PIN码,而这样做会对系统的整体响应造成影响。
发明内容
本发明的目的是为了解决USB Key易被转移、签名需重复验证PIN码的问题,提供了一种授权认证方法及系统。
本发明提供的一种授权认证方法,包括关联过程和认证过程,其中关联过程包括:
步骤a:第一计算机接收到关联请求后,在签名Key和授权Key中设置所述签名Key的外部认证密钥,所述外部认证密钥与所述签名Key的序列号一一对应;
步骤b:所述第一计算机从所述授权Key中将加密公钥导出并发送给所述签名Key;
步骤c:所述签名Key保存所述加密公钥;
其中认证过程包括:
步骤d:第二计算机接收到身份认证请求后,从所述签名Key中获取第二随机数和所述序列号,并将其发送给所述授权Key;
步骤e:所述授权Key根据接收到的所述序列号查找对应的外部认证密钥,使用所述外部认证密钥和与所述加密公钥对应的加密私钥对接收到的所述第二随机数进行签名生成待验证数据,将所述待验证数据通过所述第二计算机发送给所述签名Key;
步骤f:所述签名Key使用所述加密公钥和所述外部认证密钥对接收到的所述待验证数据进行验证。
其中,所述步骤a中第一计算机接收到关联请求后还包括:
所述第一计算机判断是否有授权Key与其连接,是则在签名Key和授权Key中设置所述签名Key的外部认证密钥,否则结束。
其中,所述第一计算机在签名Key和授权Key中设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述签名Key中获取所述外部认证密钥,并将其发送给授权Key,所述授权Key接收所述外部认证密钥并进行保存。
其中,所述第一计算机在签名Key和授权Key中设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述签名Key中获取序列号;
所述第一计算机设置所述签名Key的外部认证密钥,如果设置成功则将所述获取的序列号和所述外部认证密钥发送给授权Key,否则结束;
所述授权Key接收所述序列号和外部认证密钥并进行保存。
其中,所述第一计算机设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述签名Key中获取所述外部认证密钥。
其中,所述第一计算机设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述授权Key中获得外部认证密钥;
所述第一计算机将所述外部认证密钥发送给所述签名Key,所述签名Key接收所述外部认证密钥并进行保存;
所述外部认证密钥是所述授权Key随机生成的或预先设置的。
其中,所述第一计算机设置所述签名Key的外部认证密钥,具体为:
所述第一计算机生成预定长度的随机串,并将其设为所述签名Key的外部认证密钥;
所述第一计算机将所述外部认证密钥发送给所述签名Key,所述签名Key接收所述外部认证密钥进行保存。
其中,所述第一计算机设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述签名Key和授权Key分别获取各自生成的随机串,将两者进行拼接或合并生成所述外部认证密钥;
所述第一计算机将所述外部认证密钥发送给所述签名Key,所述签名Key接收所述外部认证密钥进行保存。
其中,在步骤b之前还包括:所述授权Key使用加密算法生成所述加密私钥和所述加密公钥。
其中,所述步骤d中第二计算机接收到身份认证请求之后还包括:
所述第二计算机判断是否有授权Key与其连接,是则所述第二计算机从所述签名Key中获取第二随机数和所述序列号,并将其发送给所述授权Key,否则结束。
其中,所述第二计算机接收到身份认证请求之后,还包括:
所述第二计算机对所述授权Key的PIN码进行验证,如验证通过,则将所述第二随机数和所述序列号发送给所述授权Key,如验证未通过则结束。
其中,所述第二计算机对所述授权Key的PIN码进行验证,具体为:
所述第二计算机从授权Key中获取第一随机数,使用接收到的用户输入的授权Key的PIN码对所述第一随机数进行加密生成第一加密数据,将所述第一加密数据发送给授权Key;
所述授权Key接收所述第一加密数据,使用存储的PIN码对所述第一随机数进行加密生成第二加密数据,并判断其与第一加密数据是否相同,如相同则给第二计算机返回验证通过信息,如不同则结束。
其中,所述步骤e中所述授权Key使用所述外部认证密钥和所述加密私钥对接收到的所述第二随机数进行签名生成待验证数据,具体为:
所述授权Key使用所述外部认证密钥对所述第二随机数进行计算得到第一计算结果,使用所述加密私钥对所述第一计算结果进行签名生成待验证数据。
其中,所述授权Key使用所述外部认证密钥对所述第二随机数进行加密算法得到第一计算结果。
其中,所述步骤f具体为:所述签名Key使用所述加密公钥对接收到的所述待验证数据进行解密,如解密成功则使用所述外部认证密钥对所述第二随机数进行计算生成第二计算结果,判断所述第二计算结果和解密成功的结果是否一致,是则验证通过,否则结束;如解密失败则结束。
其中,所述授权Key将所述待验证数据和第一计算结果通过所述第二计算机发送给所述签名Key。
其中,所述步骤f具体为:所述签名Key使用所述加密公钥对接收到的所述待验证数据进行解密,如解密成功则使用所述外部认证密钥对所述第二随机数进行计算生成第二计算结果,判断所述第二计算结果和接收到的所述第一计算结果是否一致,是则验证通过,否则结束;如解密失败则结束。
其中,所述步骤f具体为:所述签名Key使用所述加密公钥对接收到的所述待验证数据进行解密,如解密成功则得到第一解密结果,使用所述外部认证密钥对所述第一解密结果进行解密,如解密成功得到第二解密结果,判断所述第二解密结果与所述第二随机数是否一致,如一致则验证通过,否则结束;如解密失败则结束;如解密失败则结束。
其中,如验证通过,所述签名Key给所述第二计算机返回验证通过提示信息。
其中,在验证通过之后,还包括:所述授权Key和签名Key同步更新所述外部认证密钥。
其中,所述授权Key和签名Key同步更新所述外部认证密钥,具体为:
所述第二计算机从所述签名key中获取第三随机数和所述签名Key的序列号并将其发送给所述授权Key;
所述授权Key根据接收到所述序列号找到所述外部认证密钥,使用所述加密私钥对接收到的所述第三随机数进行加密,将加密结果通过所述第二计算机发送给所述签名Key;
所述签名Key使用所述加密公钥对接收到的所述加密结果进行解密,如解密成功,则将所述外部认证密钥替换为所述第三随机数,并通过所述第二计算机给所述授权Key返回验证通过信息,如解密失败则结束;
所述授权Key在接收到所述验证通过信息后将存储的外部认证密钥更新为所述第三随机数。
本发明又提供一种授权认证系统,包括:授权Key、计算机和签名Key;
所述授权Key包括:
第一接收模块,用于在认证时接收所述计算机发送的所述签名Key的序列号和第二随机数;
第一存储模块:用于存储加密公钥和加密私钥,接收所述计算机发送的外部认证密钥并进行保存;
查找模块,用于在认证时根据接收到的所述签名Key的序列号在所述第一存储模块中查找对应的外部认证密钥;
签名模块,用于使用查找到的所述外部认证密钥和所述加密私钥对接收到的所述第二随机数进行签名生成待验证数据;
第一发送模块,用于将所述加密公钥和待验证数据发送给所述计算机;
第一接口模块,用于与计算机建立连接;
所述计算机包括:
第二接收模块,用于接收用户发起的关联请求和身份认证请求,接收所述第一发送模块发送的所述加密公钥和待验证数据;
设置模块,用于在接收到所述关联请求时在所述签名Key和授权Key中设置所述签名Key的所述外部认证密钥;
获取模块,用于在接收到身份认证请求时从所述签名Key中获取第二随机数和所述签名Key的序列号;
第二发送模块,用于在关联时将接收到的加密公钥发送给所述签名Key;在认证时将获取的所述签名Key的序列号和第二随机数发送给所述授权Key,将接收到的所述待验证数据发送给所述签名Key;
第二接口模块,用于与所述授权Key和签名Key建立连接;
所述签名Key包括:
第三接收模块,用于接收所述第二发送模块发送的加密公钥和待验证数据;
第二存储模块,用于存储所述外部认证密钥、所述签名Key的序列号、所述第二随机数和接收到的所述加密公钥;
验证模块,用于使用存储的所述加密公钥和外部认证密钥对接收到的所述待验证数据进行验证;
第三接口模块,用于与计算机建立连接。
其中,所述设置模块包括:生成单元,用于生成外部认证密钥;发送单元,用于将所述外部认证密钥发送给所述授权Key和签名Key。
其中,所述授权Key还包括第一生成模块,所述签名Key还包括第二生成模块,所述第一生成模块用于生成第一随机串,所述第二生成模块用于生成第二随机串;所述设置模块还包括获取单元;所述获取单元用于从所述第一生成模块和第二生成模块中分别获取所述第一随机串和第二随机串;所述生成单元具体用于将所述获取的第一随机串和第二随机串进行拼接或合并生成所述外部认证密钥。
其中,所述设置模块包括:获取单元,用于在接收到关联请求时从所述第二存储模块中获取所述外部认证密钥;发送单元,用于将所述获取到的所述外部认证密钥发送给所述第一存储模块。
其中,所述设置模块包括:获取单元,用于在接收到关联请求时从所述第一存储模块中获取所述外部认证密钥;发送单元,用于将所述获取到的所述外部认证密钥发送给所述第二存储模块。
其中,所述设置模块的获取单元还用于在接收到关联请求时从所述第二存储模块中获取所述签名Key的序列号;发送单元还用于将所述获取到的所述签名Key的序列号发送给所述第一存储模块;所述第一存储模块还用于存储所述签名Key的序列号。
其中,所述授权Key还包括第一生成模块,用于根据公钥加密算法生成所述加密公钥和加密私钥。
其中,所述第一生成模块还用于生成第一随机数。
其中,所述计算机还包括第二加密模块;第二接收模块还用于接收用户输入的授权Key的PIN码;所述获取模块还用于从授权Key中获取第一随机数;所述第二加密模块用于使用所述接收到的用户输入的授权Key的PIN码对所述获取到的第一随机数进行加密,生成第一加密数据;所述第二发送模块还用于将所述第一加密数据发送给所述第一接收模块;所述授权Key还包括第一加密模块和第一判断模块;所述第一接收模块还用于接收第二发送模块发送的第一加密数据;所述第一存储模块还用于存储第一随机数和授权Key的PIN码;所述第一加密模块用于使用存储的所述授权Key的PIN码对存储的所述第一随机数进行加密生成第二加密数据;所述第一判断模块用于判断所述第二加密数据与接收到的所述第一加密数据是否相同。
其中,所述计算机还包括第二判断模块,用于判断是否有授权Key与所述计算机连接。
其中,所述签名模块包括:第一计算单元,用于使用查找到的所述外部认证密钥对存储的所述第二随机数进行计算生成第一计算结果;签名单元,用于使用所述存储的加密私钥对所述第一计算结果进行签名生成待验证数据。
其中,所述验证模块包括:解密单元,用于使用存储的所述加密公钥对接收到的所述待验证数据进行解密;第二计算单元,用于使用存储的所述外部认证密钥对存储的所述第二随机数进行计算,生成第二计算结果;判断单元,用于判断解密成功得到的解密结果与所述第二计算结果是否相同。
其中,所述第一计算单元具体用于使用查找到的所述外部认证密钥对存储的所述第二随机数进行加密计算生成第一计算结果。
其中,所述第一发送单元还用于发送所述第一计算结果;所述第二接收模块还用于接收所述第一计算结果,所述第二发送模块还用于将接收到的所述第一计算结果发送给第三接收模块;所述第三接收模块还用于接收所述第一计算结果。
其中,所述验证模块包括:解密单元,用于使用存储的所述加密公钥对接收到的所述待验证数据进行解密;判断单元,用于判断解密成功得到的解密结果与所述接收到的第一计算结果是否相同。
其中,所述验证模块包括:第一解密单元,用于使用存储的所述加密公钥对接收到的所述待验证数据进行解密;第二解密单元,用于使用存储的所述外部认证密钥对第一解密单元解密成功得到的结果进行解密;判断单元,用于判断所述第二解密单元解密成功得到的解密结果与存储的所述第二随机数是否相同。
其中,所述签名Key还包括第三发送模块,用于在验证通过时给所述计算机发送验证通过提示信息。
其中,所述授权Key还包括更新模块,所述签名Key还包括解密模块和替换模块;所述第二接收模块还用于接收所述第一发送模块发送的加密结果,接收第三发送模块发送的验证成功信息;所述获取模块还用于从所述签名Key中获取第三随机数和签名Key的序列号;所述第二发送模块还用于将获取到的所述第三随机数和签名Key的序列号发送给所述第一接收模块,将接收到的所述验证成功信息发送给所述更新模块,用于将接收到的所述加密结果发送给所述第三接收模块;所述第一接收模块还用于接收所述第二发送模块发送的所述第三随机数和签名Key的序列号;所述第一存储模块还用于存储第三随机数;所述查找单元还用于根据接收到的所述签名Key的序列号在所述第一存储模块中查找对应的外部认证密钥;所述第一加密模块还用于根据所述第一存储模块中的加密私钥对接收到的所述第三随机数进行加密;所述更新模块用于在接收到验证成功信息后,将所述第一存储模块中的外部认证密钥更新为所述第三随机数;第一发送模块还用于将所述第一加密模块中的加密结果发送给所述第二接收模块;所述第三接收模块还用于接收所述第二发送模块发送的加密结果;所述第二存储模块还用存储第三随机数;所述解密模块用于使用所述第二存储模块中的所述加密公钥对接收到的所述加密结果进行解密;所述替换模块用于在所述解密模块解密成功时将所述第二存储模块中的外部认证密钥替换为所述第三随机数;所述第三发送模块还用于在所述解密模块解密成功时向所述第二接收模块发送验证成功信息。
本发明与现有技术相比,具有以下优点:
本发明实现了授权Key与签名Key一对一或一对多的关联,签名Key通过授权Key认证来取得签名权限,签名Key在授权Key对其身份认证通过后,才能对每笔交易的数据进行签名,从而确保银企交易的真实性,合法性;本发明提供的方法只要签名Key不拔出或认证的计算机重启,就不需要再次对签名Key进行认证,简化多次进行签名操作的繁琐操作。
附图说明
图1为本发明实施例一提供的一种授权认证方法流程图;
图2为本发明实施例二提供的又一种授权认证方法的关联过程的流程图;
图3为本发明实施例二提供的又一种授权认证方法的认证过程的流程图;
图4为本发明实施例二提供的又一种授权认证方法中的认证过程结束后授权Key和签名Key同时更新外部认证密钥的流程图;
图5为本发明实施例三提供的一种授权认证系统的方框图;
图6为本发明实施例四提供的另一种授权认证系统的方框图。
具体实施方式
为更近一步阐述本发明为达成预订目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种授权认证方法及系统,其具体实施方式、特征及功效,说明如后。
实施例一
本实施例提供了一种授权认证方法,是在签名Key插入到计算机上时进行的,签名Key与签名Key进行一对多的关联,如图1所示,该方法中授权Key与签名Key建立关联的过程包括S101-S107;
S101:第一计算机接收到关联请求,判断是否有授权Key与该第一计算机连接,是则执行S102,否则结束;
S102:第一计算机从签名Key中获取序列号;
具体的,在本实施例中,序列号的长度为事先约定的12位,该序列号作为外部认证密钥的ID;
S103:第一计算机设置所述签名Key的外部认证密钥,如果设置成功则执行步骤104,否则结束;
优选地,在本实施例中,S103之前还包括
S103’:第一计算机对所述签名key进行身份验证,验证通过则继续,否则结束;
优选地,在本实施例中,所述第一计算机设置签名Key的外部认证密钥具体为:
S103-1:第一计算机生成预定长度的随机串;
S103-2:第一计算机将生成的随机串设为签名Key的外部认证密钥,将其发送给签名Key;
除此之外,上述随机串还可以由签名Key或授权Key生成,第一计算机从签名Key或授权Key中获得随机串后,将获得的随机串设为签名Key的外部认证密钥;
上述随机串还可以由签名Key和授权Key分别生成随机子串,第一计算机从签名Key和授权Key分别获取各自生成的随机子串后,进行拼接、合并等变换生成外部认证密钥;
外部认证密钥还可以为授权Key生成的随机数或预先设置的数值,第一计算机从授权Key中获取外部认证密钥;
S104:第一计算机将获取的序列号和设置好的外部认证密钥发送给授权Key;
S105:授权Key接收序列号和外部认证密钥并进行保存,授权Key与签名Key建立了关联;
S106:授权Key将加密公钥发送给第一计算机;
S107:第一计算机接收加密公钥将其转发给签名Key;
具体的,在本实施例中,加密公钥与授权Key中内置的加密私钥相对应,加密私钥是授权Key白行生成的;除此之外,加密私钥也可以是事先导入到授权Key中的;
S108:签名Key接收加密公钥并进行保存;
在本实施例中,如授权Key只与一个签名Key建立关联,也可以不获取签名Key的序列号。
本实施例提供的方法中,利用授权Key对签名Key进行身份认证的过程如下:
S109:第二计算机接收到身份认证请求后判断是否有授权Key与该第二计算机连接,是则执行S110,否则结束;
S110:第二计算机从签名Key中获取序列号;
在本实施例中,如果授权Key只与一个签名Key建立了关联,也可不进行S110;
S111:第二计算机给签名Key下发“生成随机数”命令;
S112:签名Key接收到“生成随机数”命令后,生成预定长度的随机串并进行保存;
S113:签名Key将生成的随机串发送给第二计算机;
S114:第二计算机将获取到的序列号和接收到的随机串发给授权Key;
S115:授权Key接收序列号和随机串,并根据序列号查找对应的外部认证密钥,如找到则执行S116,如未找到则结束;
S115还可用S115’替换,
S115’:授权Key接收序列号和随机串,并根据序列号查找对应的外部认证密钥,如找到则授权Key检查是否存储有专用私钥,如果是则执行S116,否则结束,如未找到则结束;
S116:授权Key用查找到的外部认证密钥对接收到的随机串加密,并用存储的加密私钥对加密结果进行签名;
在本实施例中,加密所用的算法是事先约定的;优选地,在本实施例中,所述算法为3DES;除此之外,还可以为DES、AES等其他对称加密算法;
S117:授权Key将加密结果和签名结果按照预定格式拼接后发给第二计算机;
S118:第二计算机接收拼接后的加密结果和签名结果并转发给签名Key;
S119:签名Key接收拼接后的加密结果和签名结果,并使用存储的加密公钥验证签名结果,如验证成功则执行步骤S120,如验证失败则结束;
S119还可用S119’代替,
S119’:签名Key接收拼接后的加密结果和签名结果,检查是否存储有加密公钥,如果存在则使用存储的加密公钥验证签名结果;如验证成功则执行步骤S120,如验证失败则结束;如不存在则结束;
S120:签名Key使用加密结果对签名Key进行身份认证;
在本实施例中,对签名Key进行身份认证的具体过程为:
签名Key使用内置的外部认证密钥对所述加密结果进行解密,如解密成功则判断解密结果与当前保存的随机串是否一致,如果是则身份认证通过;否则结束,如解密不成功则结束。
除此之外,还可以为:
签名Key利用内置的外部认证密钥对当前保存的随机串进行加密生成第二加密结果,判断第二加密结果与接收到的加密结果是否一致,如果是则身份认证通过;否则结束。
在身份认证通过后,本实施例提供的方法还包括:签名Key清除当前保存的随机串。
在本实施例中,授权Key和签名Key还可同步更新外部认证密钥,具体更新过程与关联过程相同,其中签名Key的身份认证过程与上述认证过程相同,在此不再赘述。
实施例二
本发明实施例二提供的一种授权认证方法,包括关联过程和认证过程,具体实现技术方案为:授权Key和签名Key通过计算机进行数据传输,授权Key的PIN验证通过后,授权Key与签名Key进行一对多的关联,关联后,使用签名Key进行操作时需要事先由授权Key对签名Key的进行身份认证,认证通过后才能使用签名Key进行操作。
本实施例中的第一计算机包括终端与设置在其内部的关联程序。参见图2,关联过程具体包括:
S201:第一计算机接收到关联请求,判断是否有授权Key和签名Key与第一计算机连接,是则执行S202,否则结束;
S202:第一计算机从签名Key中获取外部认证密钥和序列号;
在本实施例中,外部认证密钥为对称密钥,是签名Key随机产生的随机数或预先设置的数值,优选的,外部认证密钥是签名Key随机产生的随机数;
具体的,在本实施例中的外部认证密钥为8位,序列号为12位,该序列号作为外部认证密钥的ID;
S203:第一计算机将序列号和外部认证密钥发送给授权Key;
S204:授权Key接收序列号和外部认证密钥并进行保存;
S205:授权Key将加密公钥导出并发送给第一计算机;
具体的,在本实施例中,授权Key的加密公钥、加密私钥和签名Key的序列号是一一对应的;
在本实施例中,加密公钥是通过RSA加密算法产生的或预先存储的,优选的,本实施例的加密公钥是通过RSA加密算法得到的,加密私钥存储在授权Key中不导出;
S206:第一计算机接收加密公钥并转发给签名Key;
S207:签名Key接收加密公钥并进行保存;
在身份认证过程中,外部认证密钥当作签名Key的PIN码。
在本实施例中的第二计算机(即前置机)包括终端和终端上的软件程序,本实施例提供的方法中的认证过程如图3所示,具体包括:
S301:第二计算机接收到身份认证请求,判断是否有授权Key和签名Key与第二计算机连接,是则执行步骤S302,否则结束;
S302:第二计算机从授权Key中获取第一随机数;
具体的,在本实施例中,第一随机数是授权Key随机生成的或预先存储的,具体的,在本实施例中第一随机数是随机生成的,授权Key对产生的第一随机数进行备份;
S303:第二计算机接收用户输入的授权Key的PIN码,并使用其对获取到的第一随机数进行加密,生成第一加密数据;
具体的,在本实施例中,授权Key的PIN码设置为8位;
S304:第二计算机将第一加密数据发送给授权Key;
S305:授权Key接收第一加密数据,使用其存储的PIN码对备份的第一随机数进行加密,生成第二加密数据;
S306:授权Key判断第一加密数据与第二加密数据是否相同,如相同,则对授权Key的验证通过,执行S307,如不同则结束
S307:授权Key给第二计算机返回验证通过信息;
S308:第二计算机接收到验证通过信息后从签名Key中获取第二随机数和序列号;
具体的,签名Key中的第二随机数是随机产生的或预先存储的,优选的,在本实施例中,签名Key中的第二随机数是随机产生的,签名Key对产生的第二随机数进行备份;
S309:第二计算机将第二随机数和序列号发送给授权Key;
S310:授权Key接收第二随机数和序列号,并根据序列号查找对应的外部认证密钥,如找到则执行S311,如未找到则结束;
S311:授权Key使用查找到的外部认证密钥对接收到的第二随机数进行计算得到第一计算结果,使用存储的加密私钥对第一计算结果进行签名生成待验证数据;
优选的,在本实施例中,使用DES对接收到的第二随机数进行计算;具体的,使用3DES对第二随机数进行加密,得到8字节大小的第一计算结果,对第一计算结果进行pkcs1补位后进行签名,生成128字节大小的待验证数据;
S312:授权Key将第一计算结果和待验证数据发送给第二计算机;
S313:第二计算机接收第一计算结果和待验证数据并将其转发给签名Key;
S314:签名Key接收第一计算结果和待验证数据,使用存储的加密公钥对待验证数据进行验证,如验证通过则执行S315,如验证未通过则结束;
S315:签名Key使用外部认证密钥对备份的第二随机数进行计算生成第二计算结果;
具体的,该步骤中的计算法则与S311中的计算法则一致,预先设置在签名Key和授权Key中;
S316:签名Key判断第二计算结果和接收到的第一计算结果是否一致,是则执行S317,否则结束;
在本实施例中,S312-S316可替换为S312’-S316’;
S312’:授权Key将待验证数据发送给第二计算机;
S313’:第二计算机接收待验证数据并将其转发给签名Key;
S314’:签名Key接收待验证数据,使用存储的加密公钥对待验证数据进行验证,如验证通过则执行S315’,如验证失败则结束;
S315’:签名Key使用外部认证密钥对备份的第二随机数进行计算生成第二计算结果;
该步骤中的计算法则与S311中的计算法则一致,预先设置在签名Key和授权Key中;优选的,使用加密算法;S314’和S315’顺序可调换;
S316’:签名Key判断第二计算结果与验证通过得到的结果是否一致,是则执行S317,否则结束;
在本实施例中,如S211中使用的是加密算法,则S315’和S316’还可替换为:
S315”:签名Key使用外部认证密钥对验证通过得到的结果进行解密,如解密成功得到第二解密结果,执行S316”,如解密失败则结束;
S316”:签名Key判断第二解密结果与备份的第二随机数是否一致,如一致则执行S317,否则结束。
S317:签名Key给第二计算机返回验证通过提示信息。
本实施例中,通过授权Key对签名Key进行关联,进行交易签名之前使用授权Key对签名Key的进行身份认证,认证通过后才能对交易信息进行签名操作,提高交易过程的安全性。
在本实施例中,在授权Key对签名Key认证之后,授权Key和签名Key可同时更新外部认证密钥,如图4所示,包括:
S401:第二计算机从签名key中获取第三随机数和签名Key的序列号;
S402:第二计算机将第三随机数和序列号发送给授权Key;
S403:授权Key接收第三随机数和序列号,根据序列号找到外部认证密钥;
S404:授权Key备份第三随机数,并使用存储的加密私钥对第三随机数进行加密;
S405:授权Key将加密结果返回给第二计算机;
S406:第二计算机将加密结果发送给签名key;
S407:签名Key接收加密结果,并使用存储的加密公钥对加密结果进行解密,如解密成功,则执行S408,如解密失败则结束;
具体的,在本实施例中,签名Key存储的公钥与授权的自身私钥一一对应;
S408:签名Key将外部认证密钥替换为第三随机数;
S409:签名Key给第二计算机返回验证通过信息;
S410:第二计算机接收验证通过信息并转发给授权Key;
S411:授权Key接收到验证通过信息后将存储的外部认证密钥更新为备份的第三随机数。
本实施例中,授权Key对签名Key认证通过后,只要签名KEY不被拔除或第二计算机不重启,再有签名请求时签名Key直接进行签名操作,简化对签名Key的PIN码的验证过程;即使签名Key移动到其它PC,因没有授权KEY的配合,也无法进行操作,提高了交易签名操作的安全性。
实施例三
本发明实施例三提供了一种授权认证系统,如图5所示,包括:授权Key3、计算机2和签名Key1;
授权Key1具体包括:
第一接收模块11,用于在关联时接收计算机发送的签名Key的序列号和外部认证密钥,在认证时接收计算机发送的第一加密数据、签名Key的序列号和第二随机数;
第一生成模块12,用于根据RSA加密算法()生成加密公钥和加密私钥,还用于生成第一随机数和/或随机串;
第一存储模块13,用于存储加密公钥和加密私钥,关联时接收到的签名Key的序列号、外部认证密钥,认证时接收到的第二随机数;还用于存储第一随机数和授权Key的PIN码;
本实施例中,加密公钥、加密私钥和/或第一随机数是第一生成模块12随机生成的,或预先设置的;签名Key的序列号与加密公钥、加密私钥一一对应;外部认证密钥是随机生成的或预先设置好的;
查找模块14,用于根据在认证时接收到的序列号查找对应存储的外部认证密钥;
第一加密模块15,用于使用存储的授权Key的PIN码对存储的第一随机数进行加密生成第二加密数据;
第一判断模块16,用于判断接收到的第一加密数据与计算得到的第二加密数据是否相同;
签名模块17,包括:
第一计算单元171,用于使用查找到的外部认证密钥对存储的第二随机数进行计算生成第一计算结果;
签名单元172,用于使用存储的加密私钥对计算得到的第一计算结果进行签名生成待验证数据;
第一发送模块18,用于向计算机2发送加密公钥、待验证数据和第一判断模块16判断相同时生成的验证通过信息;
第一接口模块19,用于与计算机2建立连接;
计算机2具体包括:
第二接收模块21,用于接收用户发起的关联请求、身份认证请求、用户输入的授权Key的PIN码,接收签名Key发送的验证通过提示信息,接收第一发送模块18发送的加密公钥、验证通过信息待验证数据;
第二判断模块22,用于判断是否有授权Key1和签名Key3与计算机2连接;
获取模块23,用于在接收到身份认证请求时从签名Key中获取第二随机数和签名Key的序列号;还用于从授权Key中获取第一随机数;
第二加密模块24,用于使用接收到的用户输入的PIN码对获取到的第一随机数进行加密生成第一加密数据;
设置模块25,用于在接收到所述关联请求时在所述签名Key和授权Key中设置所述签名Key的所述外部认证密钥;
在本实施例中,设置模块25包括:
生成单元251,用于生成外部认证密钥;
发送单元252,用于将生成的外部认证密钥发送给第一接收模块11和签名Key;
设置模块25还包括获取单元253,用于从第一生成模块12和第二生成模块32中分别获取随机串,还用于从第二存储模块33中获取签名Key的序列号;
生成单元251具体用于将获取的随机串进行拼接或合并生成外部认证密钥;
或,设置模块25包括:
获取单元,用于在接收到关联请求时从第二存储模块33或第一存储模块13中获取外部认证密钥;
发送单元,用于将获取到的外部认证密钥发送给第一存储模块13或第二存储模块33。
第二发送模块26,用于在关联时向第一接收模块11发送获取到的签名Key的序列号和外部认证密钥,向签名Key发送接收到的加密公钥;在认证时向第一接收模块11发送第一加密数据、获取到的第二随机数和签名Key的序列号,向签名Key发送待验证数据;
第二接口模块27,用于与授权Key1和签名Key3建立连接;
签名Key3具体包括:
第三接收模块31,用于接收第二发送模块25发送的加密公钥和待验证数据;
第二生成模块32,用于生成外部认证密钥、第二随机数,还用于生成随机串;
第二存储模块33,用于存储接收到的加密公钥、签名Key3的序列号,生成的第二随机数、外部认证密钥;
具体的,在本实施例中,第二随机数和外部认证密钥是第二生成模块32随机生成的,或预先设置的;
验证模块34,用于使用存储的所述加密公钥和外部认证密钥对接收到的所述待验证数据进行验证,具体包括:
解密单元341,用于使用存储的加密公钥对接收到的待验证数据进行解密;
第二计算单元342,用于使用存储的外部认证密钥对存储的第二随机数进行计算生成第二计算结果;
具体的,在本实施例中,第二计算单元342和第一计算单元171使用的算法相同;
判断单元343,用于判断解密单元341解密成功得到的解密结果与第二计算结果是否相同。
第三发送模块35,用于在判断单元343判断相同时向第二接收模块21发送验证通过提示信息;
第三接口模块36,用于与计算机2建立连接。
在本实施例中,签名Key中的验证模块34还有其他实现方式,
方式一:授权Key中的第一发送模块18用于将第一计算结果和待验证数据发送给计算机2;签名Key中的第三接收模块31用于接收到待验证数据和第一计算结果,验证模块34包括:解密单元,用于使用存储的加密公钥对接收到的待验证数据进行解密;判断单元,用于判断解密成功得到的解密结果与所述接收到的第一计算结果是否相同。
方式二:签名Key中的验证模块34包括第一解密单元、第二解密单元和判断单元;第一解密单元用于使用存储的加密公钥对接收到的待验证数据进行解密;第二解密单元用于使用存储的外部认证密钥对第一解密单元的解密成功的结果进行解密;判断单元用于判断第二解密单元的解密成功的结果与存储的第二随机数是否相同。
本实施例提供的系统是采用软硬件结合的方式实现的,硬件采用高性能智能卡芯片封装的签名Key和授权Key,负责存储企业证书,软件为与硬件USBKey通讯的应用软件设置在计算机中,在银行实现签名Key和授权Key的关联,在企业端进行签名时需使用授权Key对签名Key的身份进行认证,验证通过后才能进行签名操作,大大提高签名操作的安全性。
实施例四
参考图6,本发明实施例四提供了一种授权认证系统,本实施例提供的系统除了可以实现实施例三系统的授权认证功能外,还具有对授权Key和签名Key中的外部认证密钥同时更新的功能,如图6所示,在图5的基础上,授权Key还包括更新模块10,签名Key还包括解密模块37和替换模块38;
第二接收模块31还用于接收第一发送模块18发送的加密结果,接收第三发送模块35发送的验证成功信息;
获取模块23还用于从签名Key中获取第三随机数和签名Key的序列号;
第二发送模块26还用于将获取到的第三随机数和签名Key的序列号给第一接收模块,将接收到的验证成功信息发送给更新模块10,用于将接收到的加密结果发送给第三接收模块31;
第一接收模块11还用于接收第二发送模块26发送的第三随机数和签名Key的序列号、验证成功信息;
第一存储模块13还用于存储第三随机数;
查找单元14还用于根据接收到的签名Key的序列号在第一存储模块13中查找对应的外部认证密钥;
第一加密模块15还用于根据第一存储模块13中的加密私钥对接收到的第三随机数进行加密;
更新模块10用于在接收到验证成功信息后,将第一存储模块13中的外部认证密钥替换为第三随机数;
第一发送模块18还用于将第一加密模块15中的加密结果发送给第二接收模块21;
第三接收模块31还用于接收第二发送模块26发送的加密结果;
第二存储模块33还用存储第三随机数;
解密模块37用于使用第二存储模块33中的加密公钥对接收到的加密结果进行解密;
替换模块38用于在解密模块37解密成功时将第二存储模块33中的外部认证密钥替换为第三随机数;
第三发送模块35还用于在解密模块37解密成功时向第二接收模块21发送验证成功信息。
本实施例提供的授权认证系统,可在授权Key对签名Key授权验证通过后,同时对授权Key和签名Key存储的外部认证密钥进行更新,使每次进行交易签名使用的外部认证密钥都不同,进一步地提高了签名操作的安全性。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (37)
1.一种授权认证方法,其特征在于,包括关联过程和认证过程,其中关联过程包括:
步骤a:第一计算机接收到关联请求后,在签名Key和授权Key中设置所述签名Key的外部认证密钥,所述外部认证密钥与所述签名Key的序列号一一对应;
步骤b:所述第一计算机从所述授权Key中将加密公钥导出并发送给所述签名Key;
步骤c:所述签名Key保存所述加密公钥;
其中认证过程包括:
步骤d:第二计算机接收到身份认证请求后,所述第二计算机判断是否有授权Key与其连接,是则所述第二计算机从所述签名Key中获取第二随机数和所述序列号,并将其发送给所述授权Key,否则结束;
步骤e:所述授权Key根据接收到的所述序列号查找对应的外部认证密钥,使用所述外部认证密钥和与所述加密公钥对应的加密私钥对接收到的所述第二随机数进行签名生成待验证数据,将所述待验证数据通过所述第二计算机发送给所述签名Key;
步骤f:所述签名Key使用所述加密公钥和所述外部认证密钥对接收到的所述待验证数据进行验证。
2.如权利要求1所述的授权认证方法,其特征在于,所述步骤a中第一计算机接收到关联请求后还包括:
所述第一计算机判断是否有授权Key与其连接,是则在签名Key和授权Key中设置所述签名Key的外部认证密钥,否则结束。
3.如权利要求1或2所述的授权认证方法,其特征在于,所述第一计算机在签名Key和授权Key中设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述签名Key中获取所述外部认证密钥,并将其发送给授权Key,所述授权Key接收所述外部认证密钥并进行保存。
4.如权利要求1或2所述的授权认证方法,其特征在于,所述第一计算机在签名Key和授权Key中设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述签名Key中获取序列号;
所述第一计算机设置所述签名Key的外部认证密钥,如果设置成功则将所述获取的序列号和所述外部认证密钥发送给授权Key,否则结束;
所述授权Key接收所述序列号和外部认证密钥并进行保存。
5.如权利要求4所述的授权认证方法,其特征在于,所述第一计算机设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述签名Key中获取所述外部认证密钥。
6.如权利要求4所述的授权认证方法,其特征在于,所述第一计算机设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述授权Key中获得外部认证密钥;
所述第一计算机将所述外部认证密钥发送给所述签名Key,所述签名Key接收所述外部认证密钥并进行保存;
所述外部认证密钥是所述授权Key随机生成的或预先设置的。
7.如权利要求4所述的授权认证方法,其特征在于,所述第一计算机设置所述签名Key的外部认证密钥,具体为:
所述第一计算机生成预定长度的随机串,并将其设为所述签名Key的外部认证密钥;
所述第一计算机将所述外部认证密钥发送给所述签名Key,所述签名Key接收所述外部认证密钥进行保存。
8.如权利要求4所述的授权认证方法,其特征在于,所述第一计算机设置所述签名Key的外部认证密钥,具体为:
所述第一计算机从所述签名Key和授权Key分别获取各自生成的随机串,将两者进行拼接或合并生成所述外部认证密钥;
所述第一计算机将所述外部认证密钥发送给所述签名Key,所述签名Key接收所述外部认证密钥进行保存。
9.如权利要求1所述的授权认证方法,其特征在于,在步骤b之前还包括:所述授权Key使用加密算法生成所述加密私钥和所述加密公钥。
10.如权利要求1所述的授权认证方法,其特征在于,所述第二计算机接收到身份认证请求之后,还包括:
所述第二计算机对所述授权Key的PIN码进行验证,如验证通过,则将所述第二随机数和所述序列号发送给所述授权Key,如验证未通过则结束。
11.如权利要求10所述的授权认证方法,其特征在于,所述第二计算机对所述授权Key的PIN码进行验证,具体为:
所述第二计算机从授权Key中获取第一随机数,使用接收到的用户输入的授权Key的PIN码对所述第一随机数进行加密生成第一加密数据,将所述第一加密数据发送给授权Key;
所述授权Key接收所述第一加密数据,使用存储的PIN码对所述第一随机数进行加密生成第二加密数据,并判断其与第一加密数据是否相同,如相同则给第二计算机返回验证通过信息,如不同则结束。
12.如权利要求1所述的授权认证方法,其特征在于,所述步骤e中所述授权Key使用所述外部认证密钥和所述加密私钥对接收到的所述第二随机数进行签名生成待验证数据,具体为:
所述授权Key使用所述外部认证密钥对所述第二随机数进行计算得到第一计算结果,使用所述加密私钥对所述第一计算结果进行签名生成待验证数据。
13.如权利要求12所述的授权认证方法,其特征在于,所述授权Key使用所述外部认证密钥对所述第二随机数进行加密算法得到第一计算结果。
14.如权利要求12或13所述的授权认证方法,其特征在于,所述步骤f具体为:
所述签名Key使用所述加密公钥对接收到的所述待验证数据进行解密,如解密成功则使用所述外部认证密钥对所述第二随机数进行计算生成第二计算结果,判断所述第二计算结果和解密成功的结果是否一致,是则验证通过,否则结束;如解密失败则结束。
15.如权利要求13所述的授权认证方法,其特征在于,所述授权Key将所述待验证数据和第一计算结果通过所述第二计算机发送给所述签名Key。
16.如权利要求15所述的授权认证方法,其特征在于,所述步骤f具体为:
所述签名Key使用所述加密公钥对接收到的所述待验证数据进行解密,如解密成功则使用所述外部认证密钥对所述第二随机数进行计算生成第二计算结果,判断所述第二计算结果和接收到的所述第一计算结果是否一致,是则验证通过,否则结束;如解密失败则结束。
17.如权利要求13所述的授权认证方法,其特征在于,所述步骤f具体为:
所述签名Key使用所述加密公钥对接收到的所述待验证数据进行解密,如解密成功则得到第一解密结果,使用所述外部认证密钥对所述第一解密结果进行解密,如解密成功得到第二解密结果,判断所述第二解密结果与所述第二随机数是否一致,如一致则验证通过,否则结束;如解密失败则结束;如解密失败则结束。
18.如权利要求1所述的授权认证方法,其特征在于,如验证通过,所述签名Key给所述第二计算机返回验证通过提示信息。
19.如权利要求18所述的授权认证方法,其特征在于,在验证通过之后,还包括:
所述授权Key和签名Key同步更新所述外部认证密钥。
20.如权利要求19所述的授权认证方法,其特征在于,所述授权Key和签名Key同步更新所述外部认证密钥,具体为:
所述第二计算机从所述签名key中获取第三随机数和所述签名Key的序列号并将其发送给所述授权Key;
所述授权Key根据接收到所述序列号找到所述外部认证密钥,使用所述加密私钥对接收到的所述第三随机数进行加密,将加密结果通过所述第二计算机发送给所述签名Key;
所述签名Key使用所述加密公钥对接收到的所述加密结果进行解密,如解密成功,则将所述外部认证密钥替换为所述第三随机数,并通过所述第二计算机给所述授权Key返回验证通过信息,如解密失败则结束;
所述授权Key在接收到所述验证通过信息后将存储的外部认证密钥更新为所述第三随机数。
21.一种授权认证系统,其特征在于,包括:授权Key、计算机和签名Key;
所述授权Key包括:
第一接收模块,用于在认证时接收所述计算机发送的所述签名Key的序列号和第二随机数;
第一存储模块:用于存储加密公钥和加密私钥,接收所述计算机发送的外部认证密钥并进行保存;
查找模块,用于在认证时根据接收到的所述签名Key的序列号在所述第一存储模块中查找对应的外部认证密钥;
签名模块,用于使用查找到的所述外部认证密钥和所述加密私钥对接收到的所述第二随机数进行签名生成待验证数据;
第一发送模块,用于将所述加密公钥和待验证数据发送给所述计算机;
第一接口模块,用于与计算机建立连接;
所述计算机包括:
第二接收模块,用于接收用户发起的关联请求和身份认证请求,接收所述第一发送模块发送的所述加密公钥和待验证数据;
设置模块,用于在接收到所述关联请求时在所述签名Key和授权Key中设置所述签名Key的所述外部认证密钥;
第二判断模块,用于判断是否有授权Key与所述计算机连接;
获取模块,用于在接收到身份认证请求时从所述连接的签名Key中获取第二随机数和所述签名Key的序列号;
第二发送模块,用于在关联时将接收到的加密公钥发送给所述签名Key;在认证时将获取的所述签名Key的序列号和第二随机数发送给所述授权Key,将接收到的所述待验证数据发送给所述签名Key;
第二接口模块,用于与所述授权Key和签名Key建立连接;
所述签名Key包括:
第三接收模块,用于接收所述第二发送模块发送的加密公钥和待验证数据;
第二存储模块,用于存储所述外部认证密钥、所述签名Key的序列号、所述第二随机数和接收到的所述加密公钥;
验证模块,用于使用存储的所述加密公钥和外部认证密钥对接收到的所述待验证数据进行验证;
第三接口模块,用于与计算机建立连接。
22.如权利要求21所述的授权认证系统,其特征在于,所述设置模块包括:
生成单元,用于生成外部认证密钥;
发送单元,用于将所述外部认证密钥发送给所述授权Key和签名Key。
23.如权利要求22所述的授权认证系统,其特征在于,所述授权Key还包括第一生成模块,所述签名Key还包括第二生成模块,
所述第一生成模块用于生成第一随机串,所述第二生成模块用于生成第二随机串;
所述设置模块还包括获取单元;
所述获取单元用于从所述第一生成模块和第二生成模块中分别获取所述第一随机串和第二随机串;
所述生成单元具体用于将所述获取的第一随机串和第二随机串进行拼接或合并生成所述外部认证密钥。
24.如权利要求21所述的授权认证系统,其特征在于,所述设置模块包括:
获取单元,用于在接收到关联请求时从所述第二存储模块中获取所述外部认证密钥;
发送单元,用于将所述获取到的所述外部认证密钥发送给所述第一存储模块。
25.如权利要求21所述的授权认证系统,其特征在于,所述设置模块包括:
获取单元,用于在接收到关联请求时从所述第一存储模块中获取所述外部认证密钥;
发送单元,用于将所述获取到的所述外部认证密钥发送给所述第二存储模块。
26.如权利要求23-25任意一项所述的授权认证系统,其特征在于,所述设置模块的获取单元还用于在接收到关联请求时从所述第二存储模块中获取所述签名Key的序列号;
发送单元还用于将所述获取到的所述签名Key的序列号发送给所述第一存储模块;
所述第一存储模块还用于存储所述签名Key的序列号。
27.如权利要求21所述的授权认证系统,其特征在于,所述授权Key还包括第一生成模块,用于根据公钥加密算法生成所述加密公钥和加密私钥。
28.如权利要求27所述的授权认证系统,其特征在于,所述第一生成模块还用于生成第一随机数。
29.如权利要求28所述的授权认证系统,其特征在于,所述计算机还包括第二加密模块;
第二接收模块还用于接收用户输入的授权Key的PIN码;
所述获取模块还用于从授权Key中获取第一随机数;
所述第二加密模块用于使用所述接收到的用户输入的授权Key的PIN码对所述获取到的第一随机数进行加密,生成第一加密数据;
所述第二发送模块还用于将所述第一加密数据发送给所述第一接收模块;
所述授权Key还包括第一加密模块和第一判断模块;
所述第一接收模块还用于接收第二发送模块发送的第一加密数据;
所述第一存储模块还用于存储第一随机数和授权Key的PIN码;
所述第一加密模块用于使用存储的所述授权Key的PIN码对存储的所述第一随机数进行加密生成第二加密数据;
所述第一判断模块用于判断所述第二加密数据与接收到的所述第一加密数据是否相同。
30.如权利要求21所述的授权认证系统,其特征在于,所述签名模块包括:
第一计算单元,用于使用查找到的所述外部认证密钥对存储的所述第二随机数进行计算生成第一计算结果;
签名单元,用于使用所述存储的加密私钥对所述第一计算结果进行签名生成待验证数据。
31.如权利要求30所述的授权认证系统,其特征在于,所述验证模块包括:
解密单元,用于使用存储的所述加密公钥对接收到的所述待验证数据进行解密;
第二计算单元,用于使用存储的所述外部认证密钥对存储的所述第二随机数进行计算,生成第二计算结果;
判断单元,用于判断解密成功得到的解密结果与所述第二计算结果是否相同。
32.如权利要求30所述的授权认证系统,其特征在于,所述第一计算单元具体用于使用查找到的所述外部认证密钥对存储的所述第二随机数进行加密计算生成第一计算结果。
33.如权利要求30或32所述的授权认证系统,其特征在于,所述第一发送单元还用于发送所述第一计算结果;
所述第二接收模块还用于接收所述第一计算结果,所述第二发送模块还用于将接收到的所述第一计算结果发送给第三接收模块;
所述第三接收模块还用于接收所述第一计算结果。
34.如权利要求33所述的授权认证系统,其特征在于,所述验证模块包括:
解密单元,用于使用存储的所述加密公钥对接收到的所述待验证数据进行解密;
判断单元,用于判断解密成功得到的解密结果与所述接收到的第一计算结果是否相同。
35.如权利要求33所述的授权认证系统,其特征在于,所述验证模块包括:
第一解密单元,用于使用存储的所述加密公钥对接收到的所述待验证数据进行解密;
第二解密单元,用于使用存储的所述外部认证密钥对第一解密单元解密成功得到的结果进行解密;
判断单元,用于判断所述第二解密单元解密成功得到的解密结果与存储的所述第二随机数是否相同。
36.如权利要求29所述的授权认证系统,其特征在于,所述签名Key还包括第三发送模块,用于在验证通过时给所述计算机发送验证通过提示信息。
37.如权利要求36所述的授权认证系统,其特征在于,所述授权Key还包括更新模块,所述签名Key还包括解密模块和替换模块;
所述第二接收模块还用于接收所述第一发送模块发送的加密结果,接收第三发送模块发送的验证成功信息;
所述获取模块还用于从所述签名Key中获取第三随机数和签名Key的序列号;
所述第二发送模块还用于将获取到的所述第三随机数和签名Key的序列号发送给所述第一接收模块,将接收到的所述验证成功信息发送给所述更新模块,用于将接收到的所述加密结果发送给所述第三接收模块;
所述第一接收模块还用于接收所述第二发送模块发送的所述第三随机数和签名Key的序列号;
所述第一存储模块还用于存储第三随机数;
所述查找单元还用于根据接收到的所述签名Key的序列号在所述第一存储模块中查找对应的外部认证密钥;
所述第一加密模块还用于根据所述第一存储模块中的加密私钥对接收到的所述第三随机数进行加密;
所述更新模块用于在接收到验证成功信息后,将所述第一存储模块中的外部认证密钥更新为所述第三随机数;
第一发送模块还用于将所述第一加密模块中的加密结果发送给所述第二接收模块;
所述第三接收模块还用于接收所述第二发送模块发送的加密结果;
所述第二存储模块还用存储第三随机数;
所述解密模块用于使用所述第二存储模块中的所述加密公钥对接收到的所述加密结果进行解密;
所述替换模块用于在所述解密模块解密成功时将所述第二存储模块中的外部认证密钥替换为所述第三随机数;
所述第三发送模块还用于在所述解密模块解密成功时向所述第二接收模块发送验证成功信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110301864.3A CN102510333B (zh) | 2011-09-30 | 2011-09-30 | 一种授权认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110301864.3A CN102510333B (zh) | 2011-09-30 | 2011-09-30 | 一种授权认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102510333A CN102510333A (zh) | 2012-06-20 |
| CN102510333B true CN102510333B (zh) | 2014-07-30 |
Family
ID=46222387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110301864.3A Active CN102510333B (zh) | 2011-09-30 | 2011-09-30 | 一种授权认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102510333B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102790678B (zh) * | 2012-07-11 | 2015-01-14 | 飞天诚信科技股份有限公司 | 一种认证方法及系统 |
| CN103166754B (zh) * | 2013-03-12 | 2017-05-10 | 飞天诚信科技股份有限公司 | 一种处理指令的方法和装置 |
| CN103425786A (zh) * | 2013-08-22 | 2013-12-04 | 曙光云计算技术有限公司 | 数据的存储方法和装置、加密数据的访问方法和装置 |
| CN104639516B (zh) * | 2013-11-13 | 2018-02-06 | 华为技术有限公司 | 身份认证方法、设备及系统 |
| CN106529221B (zh) * | 2016-11-22 | 2019-03-19 | 北京中金国信科技有限公司 | 一种fpga程序防拷贝方法和pci-e密码卡 |
| CN106657152B (zh) * | 2017-02-07 | 2021-05-28 | 腾讯科技(深圳)有限公司 | 一种鉴权方法及服务器、访问控制装置 |
| SG10201704077UA (en) | 2017-05-18 | 2018-12-28 | Huawei Int Pte Ltd | Electronic key system for vehicles access based on portable devices |
| CN110401613B (zh) * | 2018-04-24 | 2023-01-17 | 北京握奇智能科技有限公司 | 一种认证管理方法和相关设备 |
| CN109245882A (zh) * | 2018-09-08 | 2019-01-18 | 华东交通大学 | 一种适用于电力无线传感器网络的sm2签名方法 |
| CN110034924B (zh) * | 2018-12-12 | 2022-05-13 | 创新先进技术有限公司 | 一种数据处理方法和装置 |
| CN109636381A (zh) * | 2018-12-12 | 2019-04-16 | 福建新大陆支付技术有限公司 | 一种基于ic卡的支付终端脱机授权方法及系统 |
| CN109672526B (zh) * | 2018-12-17 | 2021-11-09 | 福建联迪商用设备有限公司 | 一种管控可执行程序的方法及系统 |
| CN109815745B (zh) * | 2019-01-11 | 2023-02-17 | 珠海金山数字网络科技有限公司 | 一种基于图像签名的应用程序授权方法 |
| CN109902481B (zh) * | 2019-03-07 | 2021-10-26 | 北京深思数盾科技股份有限公司 | 一种用于加密设备的加密锁认证方法及加密设备 |
| JP7008661B2 (ja) * | 2019-05-31 | 2022-01-25 | 本田技研工業株式会社 | 認証システム |
| CN110191438B (zh) * | 2019-06-05 | 2022-09-23 | 深圳成谷科技有限公司 | 一种用于车车通信的认证方法及相关产品 |
| CN111563247A (zh) * | 2020-07-14 | 2020-08-21 | 飞天诚信科技股份有限公司 | 一种智能密钥设备登录系统的方法及装置 |
| CN113392418B (zh) * | 2021-06-30 | 2022-10-11 | 北京紫光展锐通信技术有限公司 | 数据部署方法及装置、计算机可读存储介质、部署设备、用户端 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001055979A1 (en) * | 2000-01-24 | 2001-08-02 | Smarttrust Systems Oy | Payment device and method for secure payment |
| CN1921395A (zh) * | 2006-09-19 | 2007-02-28 | 北京飞天诚信科技有限公司 | 提高网络软件安全性的方法和系统 |
| CN101094383A (zh) * | 2007-07-09 | 2007-12-26 | 中国网络通信集团公司 | Iptv认证鉴权方法、服务器及系统 |
| CN101989991A (zh) * | 2010-11-24 | 2011-03-23 | 北京天地融科技有限公司 | 安全导入密钥的方法及电子签名工具、认证设备及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7699233B2 (en) * | 2005-11-02 | 2010-04-20 | Nokia Corporation | Method for issuer and chip specific diversification |
-
2011
- 2011-09-30 CN CN201110301864.3A patent/CN102510333B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001055979A1 (en) * | 2000-01-24 | 2001-08-02 | Smarttrust Systems Oy | Payment device and method for secure payment |
| CN1921395A (zh) * | 2006-09-19 | 2007-02-28 | 北京飞天诚信科技有限公司 | 提高网络软件安全性的方法和系统 |
| CN101094383A (zh) * | 2007-07-09 | 2007-12-26 | 中国网络通信集团公司 | Iptv认证鉴权方法、服务器及系统 |
| CN101989991A (zh) * | 2010-11-24 | 2011-03-23 | 北京天地融科技有限公司 | 安全导入密钥的方法及电子签名工具、认证设备及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102510333A (zh) | 2012-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102510333B (zh) | 一种授权认证方法及系统 | |
| CN109076078B (zh) | 用以建立和更新用于安全的车载网络通信的密钥的方法 | |
| US10708062B2 (en) | In-vehicle information communication system and authentication method | |
| CN109495274B (zh) | 一种去中心化智能锁电子钥匙分发方法及系统 | |
| CN106656488B (zh) | 一种pos终端的密钥下载方法和装置 | |
| CN103067401B (zh) | 密钥保护方法和系统 | |
| CN106357400B (zh) | 建立tbox终端和tsp平台之间通道的方法以及系统 | |
| CN101300808B (zh) | 安全认证的方法和设置 | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| US20110113241A1 (en) | Ic card, ic card system, and method thereof | |
| CN106227503A (zh) | 安全芯片cos固件更新方法、服务端、终端及系统 | |
| CN105427099A (zh) | 安全电子交易的网络认证方法 | |
| JP5380583B1 (ja) | デバイス認証方法及びシステム | |
| CN110830245B (zh) | 基于身份秘密共享和隐式证书的抗量子计算分布式车联网方法及系统 | |
| CN110690956B (zh) | 双向认证方法及系统、服务器和终端 | |
| CN104412273A (zh) | 用于进行激活的方法和系统 | |
| CN110855616B (zh) | 一种数字钥匙生成系统 | |
| KR20120080283A (ko) | 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법 | |
| US20120124378A1 (en) | Method for personal identity authentication utilizing a personal cryptographic device | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
| CN111583482A (zh) | 一种基于二维码的门禁控制系统及其控制方法 | |
| JP2003298574A (ja) | 電子機器、認証局、電子機器認証システム、電子機器の認証方法 | |
| WO2014187209A1 (zh) | 一种备份电子签名令牌中信息的方法和系统 | |
| KR102145529B1 (ko) | 모바일 어플리케이션을 이용한 결제방법 및 이를 위한 장치 | |
| JP2021170757A (ja) | 認証検証システム、被認証装置、認証装置、認証検証方法、認証検証プログラム及びコンピュータで読み取り可能な記録媒体並びに記録した機器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 17th floor, building B, Huizhi building, No.9, Xueqing Road, Haidian District, Beijing 100085 Patentee after: Feitian Technologies Co.,Ltd. Country or region after: China Address before: 100085 17th floor, block B, Huizhi building, No.9 Xueqing Road, Haidian District, Beijing Patentee before: Feitian Technologies Co.,Ltd. Country or region before: China |
|
| CP03 | Change of name, title or address |