CN102571810B - 一种基于硬件数字证书载体的动态密码验证方法及系统 - Google Patents
一种基于硬件数字证书载体的动态密码验证方法及系统 Download PDFInfo
- Publication number
- CN102571810B CN102571810B CN201210028535.0A CN201210028535A CN102571810B CN 102571810 B CN102571810 B CN 102571810B CN 201210028535 A CN201210028535 A CN 201210028535A CN 102571810 B CN102571810 B CN 102571810B
- Authority
- CN
- China
- Prior art keywords
- digital certificate
- hardware digital
- binary sequence
- certificate carrier
- pin code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种基于硬件数字证书载体的动态密码验证方法及系统,该方法包括:硬件数字证书载体接收来自客户端的服务请求;硬件数字证书载体向客户端传送包含有二进制序列的PIN码输入信息;硬件数字证书载体接收来自客户端的PIN码数据;硬件数字证书载体将来自客户端的PIN码数据与内部运算得到的动态PIN码数据进行匹配,若匹配则激活硬件数字证书载体提供服务响应。本发明在用户获取硬件数字证书载体的使用权限进行PIN码认证时,通过与动态生成的二进制序列结合,要求用户输入动态的PIN码,从而使得即使系统被非法入侵时,入侵者也无法获取完整的PIN码,提高了硬件数字证书载体密码的安全性,保障了用户的合法利益。
Description
技术领域
本发明涉及数字证书认证技术,尤其是一种基于硬件数字证书载体的动态密码验证方法及系统。
背景技术
随着电子商务和互联网的快速发展,USB Key作为网络用户身份识别和数据保护的“电子钥匙”,正在被越来越多的用户所熟悉。
USB Key是一种基于USB接口的智能存储身份认证设备,内置有智能卡CPU、存储器、芯片操作系统(Chip Operating System,COS)和安全文件系统,用于在服务器和用户之间进行身份认证。
由于USB Key主要用于网络认证,其内部存储有用户的数字证书和用户私钥,利用其内置的公钥算法实现对用户身份的验证,用户的私钥和数字证书保存于USB Key安全存储区域中,理论上无法从外部获取,这就保证了用户私钥和数字证书的安全性。
USB Key通过PIN(Personal Identification Number,个人识别密码)码来保护USB Key的使用权,PIN码是USB Key的密码,只有拥有的该USB Key的PIN码,才可以进行USB Key操作。即使被人捡到,或电脑被入侵,也无法在不知道PIN码的情况下盗用用户的USB Key。
假如用户用户的系统被入侵,由于用户每次输入的皆为完整的PIN码,入侵者只要采用键盘记录工具或者其他方式即可获得用户的PIN码,这样入侵者就能获取用户USB Key的使用权,进行一些有损用户利益的操作。
发明内容
本发明要解决的技术问题是:提供一种基于硬件数字证书载体的动态密码验证方法,该方法可以有效地提高用户使用硬件数字证书载体的信息安全性。
本发明要解决的另一技术问题是:提供一种基于硬件数字证书载体的动态密码验证系统,该系统有效地保障了用户使用硬件数字证书载体的信息安全性。
为了解决上述技术问题,本发明所采用的技术方案是:
一种基于硬件数字证书载体的动态密码验证方法,该方法包括以下步骤:
硬件数字证书载体接收来自客户端的服务请求;
硬件数字证书载体向客户端传送包含有二进制序列的PIN码输入信息;
硬件数字证书载体接收来自客户端的PIN码数据;
硬件数字证书载体将来自客户端的PIN码数据与内部运算得到的动态PIN码数据进行匹配,若匹配则激活硬件数字证书载体提供服务响应。
进一步作为优选的实施方式,所述二进制序列是由硬件数字证书载体随机产生的数据,该二进制序列的位数与硬件数字证书载体原始PIN码的位数相同。
进一步作为优选的实施方式,硬件数字证书载体接收来自客户端的服务请求之后并在向客户端传送包含有二进制序列的PIN码输入信息之前还包括:
对服务请求的指令完整性进行判断,若服务请求的指令完整并需要提升权限,则硬件数字证书载体向客户端传送包含有二进制序列的PIN码输入信息。
进一步作为优选的实施方式,所述硬件数字证书载体随机产生的二进制序列存储在缓冲存储模块,该缓冲存储模块内数据的存储时间可以设置,并且在二进制序列刷新时被新生成的二进制序列覆盖。
进一步作为优选的实施方式,所述硬件数字证书载体随机产生的二进制序列的刷新次数可以设置,当超过预定义的刷新次数后,硬件数字证书载体将进入锁定状态。
一种基于硬件数字证书载体的动态密码验证系统,该系统包括:
数据接收模块,用于接收来自客户端的数据,包括服务请求和用户通过客户端输入的PIN码数据;
安全服务模块,用于生成包含有二进制序列的PIN码输入信息;
数据发送模块,用于将包含有二进制序列的PIN码输入信息传送给客户端;
比较模块,用于根据硬件数字证书载体的原始PIN码和二进制序列计算得到动态PIN码数据,并比较计算得到的动态PIN码数据与来自客户端的PIN码数据,若匹配则激活硬件数字证书载体提供服务响应。
进一步作为优选的实施方式,所述二进制序列是由安全服务模块随机产生的数据,该二进制序列的位数与硬件数字证书载体原始PIN码的位数相同。
进一步作为优选的实施方式,该系统还包括一指令处理模块,用于对服务请求的指令完整性进行判断,若服务请求的指令完整并需要提升权限,则安全服务模块生成包含有二进制序列的PIN码输入信息。
进一步作为优选的实施方式,该系统还包括一缓冲存储模块,用于存储安全服务模块随机产生的二进制序列,该缓冲存储模块内数据的存储时间可以设置,并且在二进制序列刷新时被新生成的二进制序列覆盖。
进一步作为优选的实施方式,该系统还包括一刷新计数模块,用于对安全服务模块刷新二进制序列的次数进行计数,所述二进制序列的刷新次数可以设置,当超过预定义的刷新次数后,硬件数字证书载体将进入锁定状态。
本发明的有益效果是:本发明基于硬件数字证书载体的动态密码验证方法及系统,在用户获取硬件数字证书载体的使用权限进行PIN码认证时,一改传统的直接输入全部PIN码的做法,而是通过与动态生成的二进制序列结合,要求用户输入动态的PIN码,从而使得即使系统被非法入侵时,入侵者也无法获取完整的PIN码,提高了硬件数字证书载体密码的安全性,保障了用户的合法利益。
附图说明
下面结合附图对本发明的具体实施方式作进一步说明:
图1是本发明基于硬件数字证书载体的动态密码验证方法实施例一的步骤流程图;
图2是本发明基于硬件数字证书载体的动态密码验证方法实施例二的步骤流程图;
图3是本发明基于硬件数字证书载体的动态密码验证系统实施例一的结构方框图;
图4是本发明硬件数字证书载体与客户端系统的数据流图;
图5是本发明基于硬件数字证书载体的动态密码验证系统实施例二的结构方框图;
图6是本发明基于硬件数字证书载体的动态密码验证系统实施例三的结构方框图。
具体实施方式
现有的硬件数字证书载体的PIN码验证需要用户输入完整的PIN码,本发明采用输入动态的PIN码的方式以提高硬件数字证书载体PIN码的安全性。
参照图1,本发明基于硬件数字证书载体的动态密码验证方法实施例一的步骤流程如下:
步骤S10:硬件数字证书载体接收来自客户端的服务请求;
步骤S20:硬件数字证书载体向客户端传送包含有二进制序列的PIN码输入信息;
步骤S30:硬件数字证书载体接收来自客户端的PIN码数据;
步骤S40:硬件数字证书载体将来自客户端的PIN码数据与内部运算得到的动态PIN码数据进行匹配,若匹配则激活硬件数字证书载体提供服务响应。
下面列举一个实际应用的例子,硬件数字证书载体以USB Key为例,假设该USB Key的PIN码为123321123。
现有技术的USB Key的PIN码认证流程如下:
A:用户申请使用USB Key服务响应,通过客户端向USB Key服务请求;
B:USB Key接收服务请求后,向客户端返回PIN码认证请求,客户端弹出PIN码认证输入框;
C:用户通过客户端输入PIN码123321123;
D: USB Key为用户提供服务响应。
在本发明中USB Key的PIN码认证流程如下:
A:用户申请使用USB Key服务响应,通过客户端向USB Key服务请求;
B:USB Key接收服务请求后,向客户端返回PIN码认证请求,客户端弹出PIN码认证输入框,客户端同时显示随PIN码认证请求接收的二进制序列,例如提示OOXXOXOOO(二进制序列由USB Key随机产生的,理论上每次得到的二进制序列无法预知,此序列的位数与USB Key的PIN码长度相等,O表示其对应的PIN码相同位置的数字需要输入,X表示不用输入);
C:用户通过客户端输入PIN码122123;
D: USB Key将用户输入的动态PIN码与内部计算获得PIN码进行匹配,若匹配为用户提供服务响应。
作为本发明基于硬件数字证书载体的动态密码验证方法的进一步改进,所述二进制序列是由硬件数字证书载体随机产生的数据,该二进制序列的位数与硬件数字证书载体原始PIN码的位数相同。
在上述实施例的基础之上,参照图2,作为本发明基于硬件数字证书载体的动态密码验证方法的进一步改进,本发明动态密码验证方法实施例二在步骤S10和步骤S20之间还设有步骤S11,步骤S11为对对服务请求的指令完整性进行判断,若服务请求的指令完整并需要提升权限,则硬件数字证书载体向客户端传送包含有二进制序列的PIN码输入信息。
进一步,所述硬件数字证书载体随机产生的二进制序列存储在缓冲存储模块,该缓冲存储模块内数据的存储时间可以设置,并且在二进制序列刷新时被新生成的二进制序列覆盖。
进一步,所述硬件数字证书载体随机产生的二进制序列的刷新次数可以设置,当超过预定义的刷新次数后,硬件数字证书载体将进入锁定状态。例如设定刷新次数为3次,这样用户仅有三次输入动态PIN码通过认证的机会,避免了非法入侵者在获取部分PIN码的基础上通过多次刷新进行攻击。
参照图3,在本发明基于硬件数字证书载体的动态密码验证系统实施例一中,该系统包括:
数据接收模块10,用于接收来自客户端的数据,包括服务请求和用户通过客户端输入的PIN码数据;
安全服务模块20,用于生成包含有二进制序列的PIN码输入信息;
数据发送模块30,用于将包含有二进制序列的PIN码输入信息传送给客户端;
比较模块40,用于根据硬件数字证书载体的原始PIN码和二进制序列计算得到动态PIN码数据,并比较计算得到的动态PIN码数据与来自客户端的PIN码数据,若匹配则激活硬件数字证书载体提供服务响应。
进一步作为优选的实施方式,所述二进制序列是由安全服务模块随机产生的数据,该二进制序列的位数与硬件数字证书载体原始PIN码的位数相同。
参照图4,在本发明动态密码验证系统的实际工作中,数据的具体流向如下:
1、用户向应用程序提交使用硬件数字证书载体的服务响应的请求;
2、应用程序通过操作系统调用CSP(Cryptographic service provider),即windows平台最底层加密接口,通过CSP向硬件数字证书载体的COS(Chip Operating System,片上操作系统)发送服务请求;
3、COS通过指令解析后,将随机生成的二进制序列和输入PIN码请求打包成PIN码输入信息,通过CSP传送给应用程序;
4、应用程序显示PIN码输入框,并显示PIN码“输入提示”(即OXOOXXOOO此类序列,此时它的表现形式应当还只是一个二进制数,如101100111);
5、用户在客户端根据PIN码“输入提示”输入动态PIN码,应用程序经CSP将用户输入的动态PIN码转交给COS。
6、COS经过对动态PIN码的验证,决定是否为用户提供服务响应。
参照图5,作为对本发明动态密码验证系统实施例一的进一步改进,在实施例二中该系统还包括一指令处理模块50,用于对服务请求的指令完整性进行判断,若服务请求的指令完整并需要提升权限,则安全服务模块20生成包含有二进制序列的PIN码输入信息。
参照图6,作为对本发明动态验证系统实施例二的进一步改进,在实施例三中该系统还包括一缓冲存储模块60,用于存储安全服务模块20随机产生的二进制序列,该缓冲存储模块60内数据的存储时间可以设置,并且在二进制序列刷新时被新生成的二进制序列覆盖。
进一步,该系统还包括一刷新计数模块70,用于对安全服务模块20刷新二进制序列的次数进行计数,所述二进制序列的刷新次数可以设置,当超过预定义的刷新次数后,硬件数字证书载体将进入锁定状态。假定在实际应用中,预定义二进制序列的刷新次数为三次,用户每刷新一次二进制序列,则缓冲存储模块60内的二进制序列被安全服务模块20新生成的二进制序列覆盖,同时刷新计数模块70的计数器进行减1操作,当用户在三次内未通过动态PIN码验证,则硬件数字证书载体进入锁定模式,用户将无法进行操作,需要将硬件数字证书载体拔出后重新插入客户端方能使用。
以上是对本发明的较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可以作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (9)
1.一种基于硬件数字证书载体的动态密码验证方法,其特征在于,该方法包括以下步骤:
硬件数字证书载体接收来自客户端的服务请求;
硬件数字证书载体向客户端传送包含有二进制序列的PIN码输入信息,所述硬件数字证书载体随机产生的二进制序列的刷新次数可以设置,当超过预定义的刷新次数后,硬件数字证书载体将进入锁定状态;
硬件数字证书载体接收来自客户端的对应二进制序列输入的PIN码数据;
硬件数字证书载体将来自客户端的PIN码数据与内部运算得到的动态PIN码数据进行匹配,若匹配则激活硬件数字证书载体提供服务响应。
2.根据权利要求1所述的一种基于硬件数字证书载体的动态密码验证方法,其特征在于:
所述二进制序列是由硬件数字证书载体随机产生的数据,该二进制序列的位数与硬件数字证书载体原始PIN码的位数相同。
3.根据权利要求2所述的一种基于硬件数字证书载体的动态密码验证方法,其特征在于:硬件数字证书载体接收来自客户端的服务请求之后并在向客户端传送包含有二进制 序列的PIN码输入信息之前还包括:
对服务请求的指令完整性进行判断,若服务请求的指令完整并需要提升权限,则硬件数字证书载体向客户端传送包含有二进制序列的PIN码输入信息。
4.根据权利要求3所述的一种基于硬件数字证书载体的动态密码验证方法,其特征在于:
所述硬件数字证书载体随机产生的二进制序列存储在缓冲存储模块,该缓冲存储模块内数据的存储时间可以设置,并且在二进制序列刷新时被新生成的二进制序列覆盖。
5.一种基于硬件数字证书载体的动态密码验证系统,其特征在于,该系统包括:
数据接收模块,用于接收来自客户端的对应二进制序列输入的PIN码数据,包括服务请求和用户通过客户端输入的PIN码数据;
安全服务模块,用于生成包含有二进制序列的PIN码输入信息;
数据发送模块,用于将包含有二进制序列的PIN码输入信息传送给客户端;
比较模块,用于根据硬件数字证书载体的原始PIN码和二进制序列计算得到动态PIN码数据,并比较计算得到的动态PIN码数据与来自客户端的PIN码数据,若匹配则激活硬件数字证书载体提供服务响应。
6.根据权利要求5所述的一种基于硬件数字证书载体的动态密码验证系统,其特征在于:
所述二进制序列是由安全服务模块随机产生的数据,该二进制序列的位数与硬件数字证书载体原始PIN码的位数相同。
7.根据权利要求6所述的一种基于硬件数字证书载体的动态密码验证系统,其特征在于:
该系统还包括一指令处理模块,用于对服务请求的指令完整性进行判断,若服务请求的指令完整并需要提升权限,则安全服务模块生成包含有二进制序列的PIN码输入信息。
8.根据权利要求7所述的一种基于硬件数字证书载体的动态密码验证系统,其特征在于:
还包括一缓冲存储模块,用于存储安全服务模块随机产生的二进制序列,该缓冲存储模块内数据的存储时间可以设置,并且在二进制序列刷新时被新生成的二进制序列覆盖。
9.根据权利要求8所述的一种基于硬件数字证书载体的动态密码验证系统,其特征在于:
还包括一刷新计数模块,用于对安全服务模块刷新二进制序列的次数进行计数,所述二进制序列的刷新次数可以设置,当超过预定义的刷新次数后,硬件数字证书载体将进入锁定状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210028535.0A CN102571810B (zh) | 2012-02-09 | 2012-02-09 | 一种基于硬件数字证书载体的动态密码验证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210028535.0A CN102571810B (zh) | 2012-02-09 | 2012-02-09 | 一种基于硬件数字证书载体的动态密码验证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102571810A CN102571810A (zh) | 2012-07-11 |
| CN102571810B true CN102571810B (zh) | 2015-07-22 |
Family
ID=46416284
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210028535.0A Active CN102571810B (zh) | 2012-02-09 | 2012-02-09 | 一种基于硬件数字证书载体的动态密码验证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102571810B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103107883B (zh) * | 2013-01-04 | 2016-09-28 | 深圳市文鼎创数据科技有限公司 | Pin码的安全防护方法及客户端 |
| CN105245344A (zh) * | 2015-09-28 | 2016-01-13 | 东南大学 | 具有USB Key功能的智能手表及用于该手表的验证方法 |
| CN107481357A (zh) * | 2017-07-10 | 2017-12-15 | 广东工业大学 | 基于证书锁定与动态密钥的门禁安全认证方法 |
| CN115622687B (zh) * | 2022-12-19 | 2023-10-20 | 深圳昂楷科技有限公司 | 动态密码生成方法、装置、计算机设备与介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101216923A (zh) * | 2008-01-07 | 2008-07-09 | 中国工商银行股份有限公司 | 提高网上银行交易数据安全性的系统及方法 |
| CN101304317A (zh) * | 2008-06-30 | 2008-11-12 | 北京飞天诚信科技有限公司 | 基于口令卡提高身份认证安全性的方法 |
| CN101350723A (zh) * | 2008-06-20 | 2009-01-21 | 北京天威诚信电子商务服务有限公司 | 一种USB Key设备及其实现验证的方法 |
-
2012
- 2012-02-09 CN CN201210028535.0A patent/CN102571810B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101216923A (zh) * | 2008-01-07 | 2008-07-09 | 中国工商银行股份有限公司 | 提高网上银行交易数据安全性的系统及方法 |
| CN101350723A (zh) * | 2008-06-20 | 2009-01-21 | 北京天威诚信电子商务服务有限公司 | 一种USB Key设备及其实现验证的方法 |
| CN101304317A (zh) * | 2008-06-30 | 2008-11-12 | 北京飞天诚信科技有限公司 | 基于口令卡提高身份认证安全性的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102571810A (zh) | 2012-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106330850B (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| WO2017197974A1 (zh) | 一种基于生物特征的安全认证方法、装置及电子设备 | |
| CN105162797B (zh) | 一种基于视频监控系统的双向认证方法 | |
| CN102946392A (zh) | 一种url数据加密传输方法及系统 | |
| CN105430014B (zh) | 一种单点登录方法及其系统 | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| CN110830471B (zh) | Otp验证方法、服务器、客户端及计算机可读存储介质 | |
| JP2019525691A (ja) | 端末の攻撃警告メッセージログを取得する権限付与方法およびシステム | |
| CN104426659A (zh) | 动态口令生成方法、认证方法及系统、相应设备 | |
| CN102609656A (zh) | 一种基于图片验证的USB Key安全增强方法及系统 | |
| CN102571810B (zh) | 一种基于硬件数字证书载体的动态密码验证方法及系统 | |
| CN103888429A (zh) | 虚拟机启动方法、相关设备和系统 | |
| CN102882682A (zh) | 基于gps的身份认证方法及系统 | |
| Cetin | Design, testing and implementation of a new authentication method using multiple devices | |
| CN106953731A (zh) | 一种终端管理员的认证方法及系统 | |
| CN105556893A (zh) | 使用口令对移动设备的安全访问 | |
| CN102983969B (zh) | 一种操作系统的安全登录系统及安全登录方法 | |
| CN110399706B (zh) | 授权认证方法、装置和计算机系统 | |
| CN112862484A (zh) | 一种基于多端交互的安全支付方法及装置 | |
| CN105227583A (zh) | 一种密钥加密方法及系统、电子设备 | |
| US10771970B2 (en) | Method of authenticating communication of an authentication device and at least one authentication server using local factor | |
| Xie et al. | VOAuth: A solution to protect OAuth against phishing | |
| CN103827877A (zh) | 用于剽窃保护的方法以及执行装置 | |
| Sun et al. | Improved mobile application security mechanism based on Kerberos | |
| CN110098915B (zh) | 认证方法及系统、终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20170209 Address after: 510630 Tianhe District, Guangzhou Province, East Road, fishing village, lane, room 2, No. two, No. 304 Patentee after: Guangzhou Yao than Mdt InfoTech Ltd Address before: Tianhe District Shipai computer science and engineering South China Normal University Guangzhou 510630 Guangdong Province Patentee before: Zhao Gansen |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200201 Address after: 510000 Room 2908, 906 Tianhe Road, Tianhe District, Guangzhou City, Guangdong Province Patentee after: Guangdong Weihai Big Data Technology Co., Ltd. Address before: 510630 Tianhe District, Guangzhou Province, East Road, fishing village, lane, room 2, No. two, No. 304 Patentee before: Guangzhou Yao than Mdt InfoTech Ltd |
|
| TR01 | Transfer of patent right |