CN103973445A - 一种双通道登录的方法和系统 - Google Patents
一种双通道登录的方法和系统 Download PDFInfo
- Publication number
- CN103973445A CN103973445A CN201410037679.1A CN201410037679A CN103973445A CN 103973445 A CN103973445 A CN 103973445A CN 201410037679 A CN201410037679 A CN 201410037679A CN 103973445 A CN103973445 A CN 103973445A
- Authority
- CN
- China
- Prior art keywords
- data
- safety device
- operative installations
- logon
- identification authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4012—Verifying personal identification numbers [PIN]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3223—Realising banking transactions through M-devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/34—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
- G06Q20/352—Contactless payments by cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Finance (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明的目的是提出一种安全登录的方法和系统。在使用可能不安全的计算机终端时,可以利用另一个计算机终端与该计算机终端配合,达到安全登录。在该方法中登录账户和身份认证数据,包括其都不可能同时出现在可能不安全的设备中。该方法可以用于网络登录;结合好的密码协议,可简单且安全地解决使用银行、游戏等服务中身份认证安全的方法。
Description
技术领域
本发明属于信息安全领域。本发明涉及的是一种双通道登录的方法和系统。具体地说,涉及一种利用用户的手持设备获得身份认证数据进行登录的方法和系统。
背景技术
现有的网络应用中,比较常见的登录方式是:用户在计算机上打开浏览器进入网站页面;网站页面要求用户输入用户账户及PIN码;用户输入用户账户和PIN码后,计算机把用户账户和相关PIN码传送到网站;网站查询如果用户账户与PIN码匹配,那么允许该计算机登录该网站,并享有相应的权力,否则拒绝该计算机登录。
山于黑客和木马的存在,用户账户及PIN码被盗窃,造成黑客可以假冒用户进入网站,并使用用户的权力。为此,有很多技术方案来解决这个安全问题。例如用动态密码解决PIN码容易被盗的风险。但是动态密码也可以被中间人攻击,同样可以被黑客假冒。
登录系统就是账户管理系统。基本的因素是:账户及身份认证。安全的目标就是在计算机上(使用装置)上将账户及身份认证传送到网站,网站确认账户及身份认证数据匹配,则允许该计算机登录网站,否则决绝登录。使用装置对于网站来说,本质就是网络地址,如QQ号、IP地址。就是说网站能够区别该计算机传送来的数据,也能把数据传送到该计算机。
在本申请文件中,有时需要用到各种密码技术来说明技术方案。非对称密码系统我们用RSA来说明:RSAD表示解密算法或签名算法,RSAE表示公开算法。
发明内容
在计算机用户的潜意识中,登录山两个必要因素决定:用户名和自己记忆的PIN码,并认为只要这两个因素不同时被攻击者掌握,登录就是安全的;事实上,网站登录大多数的安全性也是建筑在这个“安全假设”基础上的。
为了安全,大多数用户“潜意识”中,把安全的希望建筑在PIN码的不泄露上。用PIN码保护登录安全也成为普通大众的“安全习惯”。从安全的角度,为了保护用户的PIN码,最好不在不安全的计算机上输入PIN码,而采用在用户自己的手机上输入PIN码来提高保障安全的体验。
把有计算能力的手机变成传统的令牌,然后利用手机可以输入PIN码的优势增加登录的安全性,然后利用手机联网的特性实现账户与PIN码的双通道传送,达到安全体验和便捷的统一。
手机有显示器及键盘,充分利用用户自己的手机是一个安全易用的方案。这样登录系统就需要三个装置:使用装置(如计算机或手机)、确认装置(如手机)及安全装置;并利用使用装置及确认装置两个物品来提高安全性。本发明的本质就是利用使用装置与安全装置,确认装置与安全装置两个互不联系的信息通道,分别传送部分登录数据,然后由安全装置组合登录数据来提高登录的安全性。
根据本发明的一种双通道登录系统,它包括:使用装置,用于获取登录账户和使用装置网络地址等数据;确认装置,用于获取身份认证数据;安全装置,根据从使用装置获得的登录账户及使用装置网络地址等数据,及从确认装置获得的身份认证数据,组合生成登录数据;其中,使用装置与安全装置网络连接;确认装置与安全装置连接;使用装置将获得的登录账户和使用装置网络地址的数据传送到安全装置;确认装置获得身份认证数据,并传送到安全装置;安全装置确定登录账户和使用装置网络地址的数据与身份认证数据的关联,然后组合生成登录数据。
进一步,安全装置根据存储的登录账户与确认装置网络地址进行关联,确定登录账户和网络地址的数据与身份认证数据的关联。
更好地,安全装置还存储登录账户与确认装置关联地址的信息,并根据该信息发送数据到确认装置,用于确认装置变换身份认证数据。
更安全地,确认装置还有与安全装置同步的数据发生器,数据发生器生成的数据,用于确认装置变换身份认证数据和安全装置逆变换得到身份认证数据。
最后,上述身份认证数据是与登录账户相关的PIN码。
根据本发明的另一个发明,一种安全登录的方法,它包括:
A、使用装置获得包括登录账户的数据;B、安全装置通过与使用装置的连接通道,获得登录账户数据;C、确认装置获得身份认证数据,并传送身份认证数据到安全装置;D、安全装置关联登录账户数据和身份认证数据,组合生成登录数据。
一般地,步骤C的身份认证数据是PIN码。
安全地,步骤C的是通过确认装置与安全装置的网络连接传送身份认证数据到安全装置。
比较少地,步骤C的是通过使用装置传送身份认证数据到安全装置。
更安全地,步骤C为:C1、确认装置获得PIN码;C2、变换PIN码;C3、通过安全装置与确认装置的连接通道,传送变换后的PIN码到安全装置。
进一步,步骤C2是确认装置根据接收安全装置传送来的数据变换PIN码。
也可以,步骤C2是根据确认装置内的数据产生器产生的数据或通过近场通信得到的数据变换PIN码。
更安全地,步骤C为:C1、确认装置获得防偷窥码;C2、根据预存码、防偷窥码得到PIN码;C3、变换PIN码;C3、通过安全装置与确认装置的连接通道,传送变换后的PIN码到安全装置。
最后地,登录数据中还包含用于关联登录数据与PIN码的数据。
附图说明
下面参照附图描绘本发明,其中
图1表示优选实施例1、2、4、5相关联的系统的示意图;
图2表示优选实施例3、7相关联的系统的示意图;
图3表示优选实施例6相关联的系统的示意图;
具体实施方式
[实施例1](单账户,PIN,关联数据)
本发明的第1个实施例就是把登录的账户数据用使用装置与安全装置,身份认证数据(PIN)用确认装置与安全装置两个通道分别传送,然后由安全装置组合收到的数据组成完整的登录数据后,进行登录的实施例。
本实施例我们结合网站来叙述,一种双通道登录系统所关联的系统如图1所示。系统由双通道登录系统1(安全装置11、确认装置12、使用装置13及网络14)、网站2及用户3。其中安全装置11与使用装置13通过网络3连接;安全装置11与确认装置12通过网络3连接;安全装置11与网站2连接(可以是直接连接,也可以是通过网络14连接)。
使用装置13包括:使用装置网络地址D;用户3有登录账户F及相应的PIN31;确认装置12包括:与登录账户F对应的关联数据P;安全装置11包括:登录账户F、及与F对应的关联数据P。
登录的步骤为:
1、使用装置13获得登录账户F;使用装置13有网络地址D;上述数据(F、D)通过网络3传送到安全装置11;
2、安全装置11接收到(F、D),得到与F对应的关联数据P,即(F、D、P);
3、确认装置12输入PIN31,通过网络3传送(PIN31,P)到安全装置11;
4、安全装置11根据P进行(F、D、P)与(PIN31,P)的关联,得到与PIN31关联的(F、D);安全装置11发送数据(PIN31、F、D)到网站2;
5、网站2根据(PIN31、F、D)中的(PIN31、F)判断,正确允许网络地址D的登录,否则拒绝登录。
该实施例的P是用于关联的数据,可以是任何数据,只是要求安全装置11中登录账户F相关的P与确认装置12中的P一致即可,即P可以是一串没有其他意义的数据,只用于两部分数据的关联;这样确认装置12可以隐藏自己的网络地址发送(PIN31,P)到安全装置11。
P也可以是确认装置12的网络地址,如QQ号码、微博号码及电子邮件地址。这样利用确认装置12的网络地址的合法性,来加强安全性。实施例1实现了登录账户F与PIN码的双通道分别传输到安全装置11的登录系统及方法,防止登录账户F和PIN码被不法分子同时截取的可能性,提高了现有登录系统的安全性。
关联码P还可以采用使用装置13显示随机码P,确认装置12除了输入PIN31外还要输入随机码P,这样也可以实现登录数据关联。好处是安全装置11不需要存储登录账户F与关联数据P的对应关系。也可以在确认装置12显示随机码P,在使用装置13上输入P,传送到安全装置11用于关联。这些显示及输入步骤,还可以改用其他技术手段如,二维码,声波,NFC等近场数据传输技术。总之目的就是使安全装置11与确认装置12有一个用于同步的数据P。
关联码P如果是网络物理地址,那么该信息也可以包含在发送PIN31到安全装置12的地址码中。
[实施例21(单账户,PIN,下发令牌)
本发明的第2个实施例一种双通道登录所关联的系统如图1所示。
系统由双通道登录系统1(安全装置11、确认装置12、使用装置13及网络14)、网站2及用户3组成。其中安全装置11与使用装置13通过网络3连接;安全装置11与确认装置12通过网络3连接;安全装置11与网站2连接(可以是直接连接,也可以是通过网络14连接)。
使用装置13包括:使用装置网络地址D;用户3有登录账户F及相应的PIN31;确认装置12包括:与登录账户F对应的关联数据P;安全装置11包括:登录账户F、及与F对应的关联数据P,P是确认装置12的网络地址如手机号码、QQ号码、微博号码及电子邮件地址等。
登录的步骤为:
1、使用装置13获得登录账户F;使用装置13有使用装置网络地址D;上述数据(F、D)通过网络3传送到安全装置11;
2、安全装置11接收到(F、D),根据F得到登录账户F确认装置12的网络地址P。
3、安全装置11生成随机数R,根据网络地址P发送R到确认装置12。
4、用户在确认装置12输入PIN31,并通过网络3,传送(R+PIN31)到安全装置11;
5、安全装置11根据P关联(F、D)与(R+PIN31)及R,得到PIN31=(R+PIN31)-R及与PIN31关联的(F、D);安全装置11发送登录数据(PIN31、F、D)到网站2;
6、网站2根据(PIN31、F、D)中的(PIN31、F)判断,正确允许网络地址D的登录成功,否则拒绝登录。
该实施例的P是确认装置12的网络地址,可以是手机号码、QQ号码、微博号码及电子邮件地址。这样可以利用他们的安全性进一步加强了实施例的安全性。实施例2实现了登录账户F与PIN码的双通道分别传输到安全装置11的登录系统,防止登录账户和PIN码被不法分子同时截取的可能性,提高了现有系统的安全性。
步骤3的R+PIN31只不过是一种根据数据R变换PIN31的一种方法,本质上应该是确认装置可以计算一个函数H(R,PIN31),然后安全装置根据R可以计算H-1(R,PIN31)并得到PIN31。当然H也可以使用对称密码体制和公开密码体制。
本实施例中的R,不是必须。但是有R安全性更高。
本实施例中,还可以采用安全装置11传送数据R到确认装置12通过短信(网络),而确认装置12传送数据到安全装置11使用计算机网络(WIFI)。但本质上就是安全装置11与确认装置12能够双向传送信息,以下实施例均不赘述,手机短信网络和计算机网络合起来都看成一个网络,即网络3。
[实施例3](单账户,PIN,同步令牌)
实施例3,一种双通道登录系统所关联的系统如图2所示。登录系统由双通道登录系统1(安全装置11、确认装置12、使用装置13、网络14)、网站2、用户3组成。其中安全装置11与使用装置13通过网络14连接;安全装置11与确认装置12通过网络14连接;安全装置11与网站2连接。
使用装置13包括:使用装置网络地址D;用户3有登录账户F及相应的PIN31;确认装置12包括:与登录账户F对应的关联数据P,还有数据生成器121;安全装置11包括:付款账户F相关的数据生成器111,数据生成器121与数据生成器111,生成的数据同步,如采用令牌技术中的时间同步,或事件同步;安全装置11还包括:登录账户F、及与F对应的关联数据P,P是确认装置12的网络地址如手机号码、QQ号码、微博号码及电子邮件地址等。
登录的步骤为:
1、使用装置13获得登录账户F;使用装置13有使用装置网络地址D;上述数据(F、D)通过网络3传送到安全装置11;
2、安全装置11有(F、D),根据F得到登录账户F的确认装置12网络地址P,安全装置11的数据生成器111生成数据R。
3、确认装置12输入PIN31,确认装置12的数据生成器121生成数据R,并通过网络3,根据传送(R+PIN31)到安全装置11;
4、安全装置11根据P关联(F、D)和(R+PIN31),得到(R+PIN31);根据安全装置111生成的数据R,得到PIN31;及关联的(PIN31,F、D);安全装置11发送登录数据(PIN31、F、D)到网站2;
5、网站根据(PIN31、F、D)中的(PIN31、F)判断,正确允许网络地址D的用户登录成功,否则拒绝登录;
该实施例中的R,是由安全装置11的数据生成器111和确认装置12的数据生成器121分别产生,与令牌的原理一致,他们产生的数在一个时间段一致(时间同步),或根据产生次数一致(事件同步)。更进一步,还可以用一个真正的令牌产生这个数R,然后输入确认装置121来达到确认装置获得R。也可以用近场通信技术实现数据R从令牌到确认装置的传送,如NFC技术,二维码,声波等近场数据传送技术。
实施例3与实施例2的区别,在于数据R由安全装置11与确认装置12同步产生一致的数据,而不需要从安全装置11传送到确认装置12,或者相反从确认装置12传送到安全装置11。
如果加入关联码P,传输((R+PIN31),P);本实施例确认装置可以隐藏确认装置12的网络地址,也是一种安全手段。
[实施例4](账户,PIN,二维码扫描)
本实施例4的一种双通道登录系统所关联的系统如图1所示。登录系统由双通道登录系统1(安全装置11、确认装置12、收款装置13、网络14)、网站2、用户3组成。其中安全装置11与收款装置13通过网络14连接;安全装置11与网站2连接;确认装置12与安全装置11通过网络14连接。
使用装置13包括:使用装置网络地址D;用户3有登录账户F及相应的PIN31;确认装置12包括:与登录账户F对应的关联数据P;安全装置11还包括:登录账户F、及与F对应的关联数据P。
这样,登录的步骤为:
1、使用装置13生成关联数据P,获得登录账户F,使用装置网络地址D;上述数据(F、D、P)通过网络3传送到安全装置11;
2、使用装置13生成P的二维码,并显示;
3、确认装置12扫描使用装置13显示的二维码,得到P;
4、用户3在确认装置12上输入PIN31;
5、确认装置12通过网络14传送(PIN31,P)到安全装置11;
6、安全装置11根据(PIN31,P)与(F、D、P),得到PIN31关联(F、D);安全装置11发送登录数据(PIN31、F、D)到网站2;
7、网站2根据(PIN31、F、D)中的(PIN31、F)判断是否正确,正确允许网络地址D的用户登录成功,否则拒绝登录。
实施例4中的关联数据P的用途是提供给安全装置11进行登录数据的匹配和组合,所以该数据的生成可以是随机产生,可以是根据固定规则产生,当然也可以由安全装置11产生(如,流水码),然后传送到使用装置13中。
本实施例中,确认装置12也可以隐藏其网络地址。
在步骤2,3中,把“使用装置13生成P的二维码并显示;确认装置12扫描使用装置13显示的二维码,得到P”;可以有多种方法实现;如实施例中图形码方法。也可以使用声波的方式,使用装置把要传送的信息进行编码,用使用装置的扬声器播放出来,然后确认装置的听筒接收到扬声器的声音后,解码得到要传送的数据。为了让付款人确认付款金额,还可以在实施例4中的二维码中还包括一些交易信息。
事实上,通过二维码单向从使用装置13向确认装置12传送的信息,也可以采用手工输入完成。扫描二维码的本质是信息从使用装置单向传送到确认装置,手工输入也是近场传送的手段。所以二维码还可以改成其他近场技术手段,如声波、NFC等等。
由于考虑安全装置11中,可以采用存储登录账户的HASH值,来提高安全性。登录账户的作用是对应相应密钥或确认装置的网络地址。
[实施例5](无计算双通道)
根据本发明的第5种实施方式所关联的系统如图1所示。登录系统由双通道登录系统1(安全装置11、确认装置12、收款装置13、网络14)、网站2、用户3组成。其中安全装置11与收款装置13通过网络14连接;安全装置11与网站2连接;确认装置12与安全装置11通过网络14连接。
安全装置11内包括:安全私钥RSA安全私钥;使用装置13含有安全公钥RSA安全 公钥;确认装置12包含:安全公钥RSA安全公钥及RSA用户私钥;用户3拥有登录数据32(RSA安全公钥(登录账户F、确认装置12网络地址P、RSA用户公钥))及PIN码PIN31。
1、使用装置13得到RSA安全公钥(F、P、RSA用户公钥)及D传送到安全装置11;
2、安全装置11根据RSA安全私钥计算得到(F、D、P、RSA用户公钥);
3、安全装置11生成随机数R,计算RSA用户公钥(R),根据P传送到确认装置12;
4、确认装置12计算RSA用户私钥(RSA用户公钥(R)),得到R;
5、确认装置12上输入PIN31,传送RSA安全公钥(PIN31,R)到安全装置11;
6、安全装置11计算RSA安全私钥(RSA安全公钥(PIN31,R)),得到(PIN31,R),并根据R与F的关联(或网络地址P进行关联),得到与PIN31匹配的(F,D);发送登录数据(PIN31、F、D)到网站2;
7、网站2根据(PIN31、F、D)中的(PIN31、F)判断是否正确,正确允许网络地址D的用户登录成功,否则拒绝登录。
本实施例的第1步,使用装置13得到RSA安全公钥(F、P、RSA付款公钥)。可以通过多种方式:如把RSA安全公钥(F、P、RSA付款公钥)做成文件,用户从网络或计算机获得传送给使用装置即可,也可以把RSA安全公钥(F、P、RSA付款公钥)数据印刷成二维码,然后使用装置扫描该二维码获得;也可以把RSA安全公钥(F、P、RSA付款公钥)存放在磁条卡上,使用装置通过刷卡获得;还可以把RSA安全公钥(F、P、RSA付款公钥)放到IC卡上,通过在使用装置上插入IC卡获得;还可以把RSA安全公钥(F、P、RSA付款公钥)放到射频卡上(如电子标签、Mifare卡、Desfire卡等近场数据通信的卡),通过让该卡靠近使用装置获得。
本实施例的优点在于,当登录开始前和结束后,安全装置中不需要存储任何与登录用户相关的信息,这样的安全装置的工作比较简洁和不容易受到黑客攻击。
[实施例6](确认装置芯片)
根据本发明关联的第6种实施方式,一种双通道登录方法和系统所关联的系统如图3所示。登录系统山双通道登录系统1(安全装置11、确认装置12、使用装置13、网络14)、网站2、用户3组成。其中安全装置11与使用装置13通过网络14连接;安全装置11与网站2通过网络14连接,安全装置11与确认装置12通过网络14连接。
安全装置11包括:登录账户F及相关的登录公钥RSA登录公钥和确认装置12的网络地址P;使用装置13有使用装置网络地址D;确认装置12芯片121包含:登录私钥RSA登录私钥、登录账户F的PIN码PIN111,及确认使用PIN111的芯片码31;用户3拥有芯片码31及登录账户F。
1、使用装置13获得登录账户F,使用装置网络地址D;上述数据(F、D)通过网络3传送到安全装置11;
2、安全装置11得到(F、D),根据F得到确认装置12网络地址P及RSA登录 公钥,生成随机数R,计算RSA登录公钥(R,F,D),根据P传送到确认装置12;
3、确认装置12传送RSA登录公钥(R,F,D)到芯片121,芯片121计算RSA登 录私钥(RSA登录公钥(R))得到(R,F,D);
4、在确认装置上输入芯片码31,并传送到芯片121;
5、芯片121判断芯片码31,正确传送RSA登录私钥(R+PIN111,F,D)到确认装置12,然后通过网络14传送到安全装置11;
6、安全装置11计算RSA登录公钥(RSA登录公钥(R+PIN111,F,D)),得到(R+PIN111,F,D);根据第2步产生的R,得到(PIN111,F,D);发送登录数据(PIN111、F、D)到网站2;
7、网站2根据(PIN111、F、D)中的(PIN111、F)判断,正确允许网络地址D的用户登录成功,否则拒绝登录。
本实施例中是传输R来增强安全。也可以参考实施例3用令牌技术,让安全装置与确认装置获得相同的R。这样安全装置在没有确认装置的芯片121工作获得R的前提下,不可能进行使用装置的登录。
本实施例的芯片码32的功能是打开芯片121,使之进行相应的计算,也可以让芯片码等同PIN111,这样就不需要在芯片121中存储PIN111了。直接从确认装置上获得PIN111传送到芯片121进行计算。本实施例中的芯片121,都可以用软件实现其功能。
[实施例7](防偷窥)
实施例7,一种双通道登录系统所关联的系统如图2所示。登录系统由双通道登录系统1(安全装置11、确认装置12、使用装置13、网络14)、网站2、用户3组成。其中安全装置11与使用装置13通过网络14连接;安全装置11与确认装置12通过网络14连接;安全装置11与网站2连接。
使用装置13包括:使用装置网络地址D;用户3有登录账户F及相应的PIN31所对应的防偷窥码FP31;确认装置12包括数据生成器121,预存码YC122=PIN31+FP31,与登录账户F对应的关联数据P,还有数据生成器121;安全装置11包括:付款账户F相关的数据生成器111,数据生成器121与数据生成器111,生成的数据同步,如采用令牌技术中的时间同步,或事件同步;安全装置11还包括:登录账户F、及与F对应的关联数据P,P是确认装置12的网络地址如手机号码、QQ号码、微博号码及电子邮件地址等。
登录的步骤为:
1、使用装置13获得登录账户F;使用装置13有使用装置网络地址D;上述数据(F、D)通过网络3传送到安全装置11;
2、安全装置11有(F、D),根据F得到登录账户F的确认装置12网络地址P,安全装置11的数据生成器111生成数据R。
3、确认装置12输入FP31,确认装置12的数据生成器121生成数据R,有预存码YC122,得到PIN31=YC122-FP31=PIN31+FP31-FP31,并通过网络3,根据传送(R+PIN31)到安全装置11;
4、安全装置11根据P关联(F、D)和(R+PIN31),得到(R+PIN31)根据安全装置111生成的数据R,得到PIN31;及关联的(PIN31,F、D);安全装置11发送登录数据(PIN31、F、D)到网站2;
5、网站根据(PIN31、F、D)中的(PIN31、F)判断,正确允许网络地址D的用户登录成功,否则拒绝登录;
该实施例中与实施例3基本一致,区别在于在确认装置上用户不是输入PIN31,而是FP31。这样可以防止对用户输入PIN31的偷窥。当登录账户F与确认装置12同时丢失后,确认装置12中并没有PIN31,所以安全。而FP31被偷窥,同时登录账户丢失(被复制),只要确认装置12没有同时被丢,登录还是安全。采用YC122与FP31共同解决了防偷窥的问题。另外这个防偷窥的YC122=PIN31+FP31,P1N31=YC122-FP31就是YC122根据PIN31及FP31进行变换,PIN31根据YC122及FP31进行逆变换。这两个可逆的函数,而不是一定使用加法和减法。
总结本发明的思想,其核心就是双通道,让使用装置及确认装置分别传送部分登录数据,然后安全装置组合这两部分数据为登录数据,除安全装置外,任何装置中都不会有完整的登录数据,包括登录数据的加密形式。
在以上的实施例中,装置之间的数据传送,在叙述时有的没有采用加密技术。两个设备通信的加密技术及密钥分配,对称密码体制和公开密码体制这些技术都是公知技术。我们的实施例可以都使用这些技术实现通信的加密。为叙述方便,就不具体一一叙述。
以上用实施例来说明本发明的方法。尽管在以上的实施例中对本发明进行了描述,但可以理解,以上实施例的描述是说明性的而非限制性的,本领域的熟练技术人员可以理解,在不脱离由权利要求书定义的本发明的精神和范围的前提下,可做出各种变形、改进、修改和替换。
Claims (13)
1.一种安全登录的系统,它包括:
使用装置,用于获取登录账户和使用装置网络地址等数据;
确认装置,用于获取身份认证数据;
安全装置,根据从使用装置获得的登录账户及使用装置网络地址等数据,及从确认装置获得的身份认证数据,组合生成登录数据;
其中,使用装置与安全装置网络连接;确认装置与安全装置连接;
使用装置将获得的登录账户和使用装置网络地址的数据传送到安全装置;确认装置获得身份认证数据,并传送到安全装置;安全装置确定登录账户和使用装置网络地址的数据与身份认证数据的关联,然后组合生成登录数据。
2.根据权利要求1的系统,特征在于安全装置根据存储的登录账户与确认装置网络地址进行关联,确定登录账户和网络地址的数据与身份认证数据的关联。
3.根据权利要求1的系统,特征在于安全装置还存储登录账户与确认装置关联地址的信息,并根据该信息发送数据到确认装置,用于确认装置变换身份认证数据。
4.根据权利要求1的系统,特征在于确认装置还有与安全装置同步的数据发生器,数据发生器生成的数据,用于确认装置变换身份认证数据和安全装置逆变换得到身份认证数据。
5.一种安全登录的方法,它包括:
A、使用装置获得包括登录账户的数据;
B、安全装置通过与使用装置的连接通道,获得登录账户数据;
C、确认装置获得身份认证数据,并传送身份认证数据到安全装置;
D、安全装置关联登录账户数据和身份认证数据,组合生成登录数据。
6.根据权利要求5的方法,其特征在于步骤C的身份认证数据是PIN码。
7.根据权利要求5或6的方法,其特征在于步骤C的是通过确认装置与安全装置的网络连接传送身份认证数据到安全装置。
8.根据权利要求5或6的方法,其特征在于步骤C的是通过使用装置传送身份认证数据到安全装置。
9.根据权利要求6的方法,其特征在于步骤C为:
C1、确认装置获得PIN码;
C2、变换PIN码;
C3、通过安全装置与确认装置的连接通道,传送变换后的PIN码到安全装置。
10.根据权利要求9的方法,其特征在于C2是确认装置根据接收安全装置传送来的数据变换PIN码。
11.根据权利要求9的方法,其特征在于步骤C2是根据确认装置内的数据产生器产生的数据或通过近场通信得到的数据变换PIN码。
12.根据权利要求6的方法,其特征在于步骤C为:
C1、确认装置获得防偷窥码;
C2、根据预存码、防偷窥码得到PIN码;
C3、变换PIN码;
C3、通过安全装置与确认装置的连接通道,传送变换后的PIN码到安全装置。
13.根据权利要求5、6、9、12的方法,其特征在于登录数据中还包含用于关联登录数据与PIN码的数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410037679.1A CN103973445A (zh) | 2013-01-28 | 2014-01-27 | 一种双通道登录的方法和系统 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310030941 | 2013-01-28 | ||
CN201310030941.5 | 2013-01-28 | ||
CN201410037679.1A CN103973445A (zh) | 2013-01-28 | 2014-01-27 | 一种双通道登录的方法和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103973445A true CN103973445A (zh) | 2014-08-06 |
Family
ID=51240703
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410037680.4A Pending CN103971241A (zh) | 2013-01-28 | 2014-01-27 | 一种双通道支付的方法和系统 |
CN201410037679.1A Pending CN103973445A (zh) | 2013-01-28 | 2014-01-27 | 一种双通道登录的方法和系统 |
CN201410037678.7A Pending CN103971242A (zh) | 2013-01-28 | 2014-01-27 | 一种确认安全装置中数据的方法和系统 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410037680.4A Pending CN103971241A (zh) | 2013-01-28 | 2014-01-27 | 一种双通道支付的方法和系统 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410037678.7A Pending CN103971242A (zh) | 2013-01-28 | 2014-01-27 | 一种确认安全装置中数据的方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (3) | CN103971241A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015110037A1 (zh) * | 2014-01-27 | 2015-07-30 | 邵通 | 一种双通道身份认证的方法和系统 |
WO2015110043A1 (zh) * | 2014-01-27 | 2015-07-30 | 邵通 | 一种双通道身份认证选择的装置、系统和方法 |
CN106104598A (zh) * | 2014-08-15 | 2016-11-09 | 邵通 | 一种使用卡公开数据输入付款账户的方法和系统 |
CN107612902A (zh) * | 2017-09-11 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种Windows系统登录认证方法及系统 |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104125237A (zh) * | 2014-08-13 | 2014-10-29 | 广州市易票联支付技术有限公司 | 一种基于pos机的安全验证方法 |
CN106415636B (zh) * | 2014-08-15 | 2022-01-18 | 邵通 | 一种隐藏用户标识数据的装置、方法和系统 |
CN104363199B (zh) * | 2014-09-30 | 2017-10-27 | 熊文俊 | 基于时间同步码的安全认证方法及时间同步码模块 |
CA2980768A1 (en) * | 2015-03-31 | 2016-10-06 | Visa International Service Association | Multi-protocol data transfer |
CN105069613B (zh) * | 2015-07-23 | 2018-09-25 | 黄秀开 | 一种智能手机的在线支付安保系统 |
CN105069620B (zh) * | 2015-07-23 | 2018-08-07 | 黄秀开 | 一种智能手机的交易保密系统 |
CN105117906B (zh) * | 2015-07-23 | 2018-10-09 | 黄秀开 | 一种可从外部确认的智能手机在线支付安保系统 |
CN105139195B (zh) * | 2015-07-23 | 2018-09-25 | 黄秀开 | 一种智能手机的安全系统 |
CN105243539A (zh) * | 2015-09-15 | 2016-01-13 | 重庆智韬信息技术中心 | 实现二维码安全支付的身份认证方法 |
-
2014
- 2014-01-27 CN CN201410037680.4A patent/CN103971241A/zh active Pending
- 2014-01-27 CN CN201410037679.1A patent/CN103973445A/zh active Pending
- 2014-01-27 CN CN201410037678.7A patent/CN103971242A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015110037A1 (zh) * | 2014-01-27 | 2015-07-30 | 邵通 | 一种双通道身份认证的方法和系统 |
WO2015110043A1 (zh) * | 2014-01-27 | 2015-07-30 | 邵通 | 一种双通道身份认证选择的装置、系统和方法 |
CN106104598A (zh) * | 2014-08-15 | 2016-11-09 | 邵通 | 一种使用卡公开数据输入付款账户的方法和系统 |
CN107612902A (zh) * | 2017-09-11 | 2018-01-19 | 郑州云海信息技术有限公司 | 一种Windows系统登录认证方法及系统 |
CN107612902B (zh) * | 2017-09-11 | 2020-09-18 | 苏州浪潮智能科技有限公司 | 一种Windows系统登录认证方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103971241A (zh) | 2014-08-06 |
CN103971242A (zh) | 2014-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103973445A (zh) | 一种双通道登录的方法和系统 | |
CN106779636B (zh) | 一种基于手机耳机接口的区块链数字货币钱包 | |
CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
Li et al. | A novel smart card and dynamic ID based remote user authentication scheme for multi-server environments | |
CN103905204B (zh) | 数据的传输方法和传输系统 | |
GB2538052B (en) | Encoder, decoder, encryption system, encryption key wallet and method | |
CN101393628B (zh) | 一种新型的网上安全交易系统和方法 | |
Rezaeighaleh et al. | New secure approach to backup cryptocurrency wallets | |
CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
CN101577917A (zh) | 一种安全的基于手机的动态密码验证方法 | |
CN101631305B (zh) | 一种加密方法及系统 | |
CN102664898A (zh) | 一种基于指纹识别的加密传输方法、装置及系统 | |
Xie et al. | Cryptanalysis and security enhancement of a robust two‐factor authentication and key agreement protocol | |
CN104125230B (zh) | 一种短信认证服务系统以及认证方法 | |
CN105553654A (zh) | 密钥信息查询处理方法和装置、密钥信息管理系统 | |
CN110505055A (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
CN104468099A (zh) | 基于cpk的动态口令生成和验证方法及装置 | |
CN105187382A (zh) | 防止撞库攻击的多因子身份认证方法 | |
CN101944216A (zh) | 双因子在线交易安全认证方法及系统 | |
Chung et al. | Weaknesses and improvement of Wang et al.'s remote user password authentication scheme for resource-limited environments | |
CN113111386A (zh) | 一种区块链交易数据的隐私保护方法 | |
CN107615797B (zh) | 一种隐藏用户标识数据的装置、方法和系统 | |
CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
CN110519222A (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
CN202206419U (zh) | 网络安全终端以及基于该终端的交互系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140806 |