具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明实施例提供了一种优选的动态令牌,如图1所示是动态令牌的一种优选示意图,包括:生物识别器102和显示屏104,其中,生物识别器102,用于进行生物身份识别并在识别通过后指示显示屏显示动态口令;显示屏104,用于显示动态口令。
上述优选实施方式,通过在动态令牌上设置生物识别器,从而达到对用户身份进行识别,只有在识别通过后才会生成并显示动态口令,通过上述方式解决了相关技术中动态令牌无需进行身份验证就可以使用而导致的安全性较低的技术问题,达到了提高动态令牌安全性的技术效果。
在一个优选实施方式中,上述生物识别器可以由识别芯片和处理芯片组成,其中,识别芯片用于获取待识别的信息,例如:指纹。然后将其传输至处理芯片,通过该处理芯片对待识别的信息进行识别,在识别通过后就可以生成相应的动态令牌,并传输至显示屏进行显示。
在实际应用中,上述的生物识别器可以包括但不限于以下至少之一:指纹识别器、虹膜识别器、视网膜识别器、人脸识别器。即,只要是能够实现人员身份识别的技术都可以应用。
考虑到指纹是人体独一无二的特征,其复杂度足以提供用于鉴别的特征,指纹识别技术主要依据的就是每个人包括指纹在内的皮肤纹路在图案、断点和交叉点上是各不相同的,每个人所呈现出的状态是唯一的,而且是终生不变的。因此,仅需要保存其所对应的指纹,然后将采集到的指纹信息与其进行比对就可以验证使用者的身份。因此,对于上述的生物识别器优选地可以包括:指纹识别芯片,即通过采集使用者的指纹进行识别来验证使用者的身份即可。
一般的动态口令都是一串数字,为了对这些数字进行有效显示,上述的显示屏可以是3位8显示笔段式液晶屏。
为了使得用户在使用的时候更方便,对于上述的生物识别器与显示屏可以是位于所述动态令牌的同一侧,例如都位于动态令牌的正面,这样只要放上指纹进行识别就可以看到显示的动态口令。
本发明实施例还提供了一种优选的,动态口令显示方法,如图2所示,包括以下步骤:
步骤S202:获取待识别信息进行身份识别;
步骤S204:在识别通过后,显示动态口令。
在一个优选实施方式中,上述待识别信息可以但不限于包括以下至少之一:指纹信息、人脸信息、虹膜信息。
为了进一步保障数据的安全性,在认证通过后显示动态口令的时候,可以是每间隔预定的时间间隔(例如:60秒)就重新生成一次动态口令。在一个优选实施方式中,在显示动态口令后,上述方法还可以包括:在预定时间间隔后,显示不同于当前的动态口令的动态口令。
具体的,上述的动态口令显示方法在应用在动态令牌上的时候,可以采用以下方法实现:获取待识别信息进行身份识别包括:通过位于动态令牌上的指纹识别芯片获取指纹信息;根据所述指纹信息与预存的指纹信息进行比较;如果相同,则表明识别通过;显示动态口令包括:通过位于所述动态令牌上的显示屏显示所述动态口令。
在本实施例中还提供了一种动态口令显示装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图3是根据本发明实施例的动态口令显示装置的一种优选结构框图,如图3所示,包括:获取单元302和显示单元304,下面对该结构进行说明。
获取单元302,用于获取待识别信息并进行身份识别;
显示单元304,用于在识别通过后,显示动态口令。
本发明优选实施方式中,提供了一种基于时间同步和指纹识别技术的生物识别动态令牌的身份认证设备,用于为应用系统提供高安全性的身份认证功能,保护用户的身份认证安全,防止攻击者通过身份盗用、身份冒用以及身份欺诈等方式实施非法操作,将动态令牌与认证服务器相结合,提供了一种使用简单、安全性高、稳定性好、成本低廉的双因子身份认证解决方案。
通过上述的指纹识别的动态令牌,用户仅仅需要轻刷自己的指纹,动态口令就可以自动显示,口令无需记忆,完全随需要产生,且完全独立使用,无需安装配置,设计小巧轻便,便于随身携带。
可以采用一般的标准加密算法进行加密,动态令牌上设置有LCD显示屏和电池,友好的功能界面,时间间隔可以为60秒或30秒等等。
对于动态令牌自身所产生的动态口令而言,安全性较高,口令动态每次均不相同,口令随机产生,取值不可预测,口令一次有效,认证结束即作废,口令密码组合,双重因子认证,口令自我保护,指纹自动认证,口令可以独立使用,避免了外部攻击。
上述的动态令牌可以应用于金融、保险、税收、海关、商务、办公、教育、娱乐、消费等行业,同时可以应用在基于计算机网络、固定电话、移动电话、数字电视等的应用系统,同时也可以用作面向网银、电信、电子商务、网游等大型运营系统的网络登陆认证等等。
对于这种动态令牌的技术规范可以但不限于按照以下规范设置:外观尺寸预计:55.9mm×25mm×15mm;电池寿命:假设每天生成10个动态口令,平均可以使用1至3年,OTP安全算法OATH标准算法;产品封装:PC(聚碳酸脂);工作温度:-10℃至+50℃;存放温度-20℃至+70℃;重量:12.3grams;符合标准CE、FCC、RoHS;时间同步型:5。
对于其外形和大小可以与一般的U盘大小相似,这样更便于携带。
考虑到动态令牌的实用性,指纹识别技术是优于其他的生物识别技术的一种身份鉴别方法。这主要是因为指纹各不相同、终生基本不变的特点已经得到公认,近二三十年的指纹自动识别系统的研究和实践为指纹自动识别打下了良好的技术基础。特别是现有的指纹自动识别系统已达到操作方便、准确可靠、 价格适中的阶段,是实用化的生物测定方法。
生物识别动态口令显示设备使用先进的生物识别技术来管理动态令牌,可加强保密级别。通过硬件、软件测试,对电路、供电等设计等设备装置,都进行了整合及优化,成品体积较小,仅有拇指大小,使得产品便于携带。
将指纹识别与动态令牌的功能进行整合,生物识别动态令牌在自动生成动态口令时,动态口令显示框不立即显示,需要经授权的操作人员,将指纹放在指纹识别窗口(指纹识别芯片)上,经过识别确认后,显示动态口令。避免了非授权人员进行操作,确保了令牌持有人的身份合法;保护了设备、数据或资金的安全。同时可以对需要进行设备使用及使用人员身份进行双重识别,增强了系统的安全性和保密性。
生物识别动态口令显示设备(结合了生物识别技术的动态令牌)将生物识别与指纹令牌的功能集于一身,由生物识别、动态口令和供电组成。生物识别部分主要用于对人员身份认证,动态口令生成对设备操作所必需的口令并对口令进行输出,供电部分主要作用是提供生物识别和动态口令所需的电源。在体积上尽可能地做到了拇指大小,充分整合了安全与便携的功能,体积较小,便于携带。
生物识别动态密码令牌硬件系统可以如图4所示包括:指纹识别、微控制单元(Micro Control Unit,简称为MCU)、晶体、电源、液晶显示、编程及配置接口等部分组成。
优选地,上述液晶显示(LCD)可以是8位笔段式液晶,用来显示计算口令及工作提示信息等;指纹识别部分,用来输入和比对操作人员和信息;晶体为32768Hz柱状手表晶体,为系统内部实时时钟走时提供工作时钟;电源为4.5V纽扣式锂锰电池,为系统工作提供电源;MCU作为系统核心,负责系统工作状态调度、工作模式切换、计算动态密码等工作,MCU具有大容量程序存储器和RAM,集成LCD驱动、RTC、UART等多种功能,具有极低的功耗,可以满足动态令牌的使用要求。
生物识别密码令牌的供电,经过设计,由小型的电池供电,密码显示屏和指纹识别的装置,分别采用迷你的设备,精确的电路设计,在不响性能的前提下,最大可能地减小了产品的体积。
对于生物识别动态令牌服务器的架设可以是在内网中架设一台动态令牌服务器(要求与SSL VPN设备路由可达),操作系统可以采用Windows Server2003/Windows XP SP2/Windows2000。
对于SSL VPN的配置可以是新建Radius服务器,根据架设的动态令牌服务器进行配置,配置用户启用动态令牌认证,采用的令牌认证服务器为上述设置的Radius服务器。
在完成动态令牌服务器及SSL VPN设备配置后,用户登录SSL VPN即可采用动态令牌认证。具体的系统架构可以如图5所示,包括:用户、动态令牌、SSL VPN建立、应用服务器、Radius服务器。
上述产品将生物识别技术与动态口令显示设备相结合,提高了保密级别,为设备或系统加密的动态口令,用生物识别技术将其与合法的使用人员进行绑定,确保获得密码者是正确、安全的人员,增强了设备或系统的安全性。同时,数据安全,内嵌存储器,无硬件接口;维修安全:流程加密,不暴露指纹数据;通信安全:可定制加密通信与加密协议;控制安全:可后置驱动,随机加密控制。
在使用由算法和PIN生成登录密码的系统中,防止个人反复嗅探网络后获得用户的PIN,进行非法操作时,动态口令可以用以下方法对密码进行改进:
1)用户再也不能选择弱密码;
2)用户只要记住PIN,而不用记住传统的强密码;
3)一旦密码被使用一次,线路上嗅探到的密码就已经失效;
4)用户需要拥有令牌硬件进行认证;
5)动态口令有单独的服务器接受来自认证服务器中继的请求。
优选地,动态口可以分为:时间同步、事件同步、挑战/应答这三种类型,从生成终端的形式来说,动态口令可以分为:短信密码、动态令牌、刮刮卡等,其中动态令牌包含硬件令牌和手机令牌两种形式。
硬件令牌一次性密码(OTP)的凭证选项多种多样,例如:事件型OTP(ET z100)、时间型OTP(ETz201/z202/z203),挑战应答型OTP(ET z300),ET手机令牌。
由于口令每次都变化,即使得到其中一次的密码也没有实质性作用,而且这种动态口令由专用算法生成,随机性高,不太容易被破解。因此,动态口令极大地提高了用户身份认证的安全性。
生物识别动态令牌显示设备通过功能整合,将生物识别与指纹令牌的功能集于一身,并在体积上尽可能地做到了拇指大小,充分整合了安全与便携的功能。
下面提供一个具体的实施方式进行说明:
1、假设生物识别动态令牌服务器:在内网中架设一台动态令牌服务器(要求与SSL VPN设备路由可达),操作系统可以采用Windows Server2003/Windows XP SP2/Windows2000。
为了能够顺利完成使用Server身份认证系统保护VPN用户登录,需要完成以下的安装配置工作,主要包括:
S1:安装和配置数据库系统,创建Server数据库和数据库表。
S2:安装、配置并运行Server认证服务器,安装过程中需要授权文件。
S3:安装、配置并运行管理中心,安装或配置过程中需要授权文件。
S4:令牌的导入,以及与用户帐号的绑定,在管理中心中导入令牌种子。
S5:修改VPN后台设置,修改成支持Radius协议的认证方式
2、SSL VPN配置
新建Radius服务器,根据2.1中所架设的动态令牌服务器进行配置
配置用户启用动态令牌认证,采用的令牌认证服务器为上述设置的Radius服务器。
3、动态令牌验证,整个认证的整体过程可以包括以下步骤:其中,假设采用了用户名密码认证及动态令牌认证:
S1:用户向SSL VPN设备发起接入请求。
S2:SSL VPN向用户提出用户名密码认证。
S3:用户提交用户名密码完成第一项认证。
S4:SSL VPN向用户提出动态令牌认证请求。
S5:用户人员指纹验证。
S6:用户根据动态令牌的6位随机码提交验证码。
S7:SSL VPN将用户名及验证码以标准Radius包封装后提交给动态令牌服务器(Radius)进行验证。
S8:动态令牌服务器根据用户名查找到与该令牌关联的验证码库,基于时间验证机制进行验证码校验,并完成令牌数据库中该用户的时间校准(如果采用基于事件验证的令牌,则根据验证码的漂移进行种子校准)。
S9:动态令牌服务器根据标准Radius协议将验证结果返回给SSL VPN设备。
S10:SSL VPN设备根据验证结果允许/拒绝用户的SSL VPN接入。
在另外一个实施例中,还提供了一种软件,该软件用于执行上述实施例及优选实施方式中描述的技术方案。
在另外一个实施例中,还提供了一种存储介质,该存储介质中存储有上述软件,该存储介质包括但不限于:光盘、软盘、硬盘、可擦写存储器等。
从以上的描述中,可以看出,本发明实现了如下技术效果:通过在动态令牌上设置生物识别器,从而达到对用户身份进行识别,只有在识别通过后才会生成并显示动态口令,通过上述方式解决了相关技术中动态令牌无需进行身份验证就可以使用而导致的安全性较低的技术问题,达到了提高动态令牌安全性的技术效果。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。