CN105281916A - 一种便携式密码系统 - Google Patents
一种便携式密码系统 Download PDFInfo
- Publication number
- CN105281916A CN105281916A CN201510745471.XA CN201510745471A CN105281916A CN 105281916 A CN105281916 A CN 105281916A CN 201510745471 A CN201510745471 A CN 201510745471A CN 105281916 A CN105281916 A CN 105281916A
- Authority
- CN
- China
- Prior art keywords
- cryptographic
- cryptographic function
- request
- application
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Telephonic Communication Services (AREA)
Abstract
发明涉及一种便携式密码系统,包括便携式密码装置、密码应用程序和密码服务器;便携式密码装置是一个通过密码功能程序向密码应用程序提供密码功能调用的便携式计算装置;密码应用程序调用密码功能前,密码应用程序或密码功能程序使用用户的身份凭证在密码服务器完成登录;之后,在密码应用程序和密码功能程序通过密码服务器交换密码功能调用请求和处理结果,在交换过程中,调用请求和处理结果用密码应用程序和密码功能程序之间共享的请求-响应标识数据标识;基于本发明,即便用户计算机与便携式密码装置无法通过连接线或近场无线通信直接建立连接,计算机中的密码应用程序仍能通过数据网络调用便携式密码装置中的密码功能。
Description
技术领域
本发明属于信息安全技术领域,特别是一种能够通过网络远程调用便携式密码装置的密码功能的密码系统。
背景技术
目前个人用户最常用的便携式密码硬件装置是USBKey、SmartCard。这些便携式密码硬件装置的主要功能包括密钥管理(如密钥生成及存储)和密码运算(如加密和解密,签名和签名验证、散列运算等)。
随着各种智能便携式装置的出现和发展,如移动通信终端、平板电脑、智能穿戴设备(智能眼镜、手表),便携式密码硬件装置出现了一些新的发展趋势,比如,由智能便携式装置通过软件实施并提供密码功能,或者将密码硬件集成到智能便携式装置中使得智能便携式装置同时能作为一个便携式密码装置使用(智能便携式装置与密码装置的结合)。
但是,将智能便携式装置作为一个便携式密码装置使用时有一个问题需要解决,这就是用户计算机如何同智能便携式装置建立连接,以使得用户计算机中的各种密码应用程序(如安全电子邮件、在线安全订单程序、文件加密程序)能够调用智能便携式装置中的密码功能。对此,最常用的方式包括:用户计算机与智能便携式装置通过传输导线(如USB连接线等)连接,或者用户计算机与智能便携式装置之间通过近场无线通信方式(如Wi-Fi、Bluetooth、红外等)建立点对点的连接。但是,如果这些方式都不行怎办?比如,若用户未携带USB连接线,或者计算机没有USB连接口(网吧中的计算机有可能出现这种情况),或者计算机没有近场无线通信功能(如台式电脑),而这就是本发明要解决的问题。
发明内容
本发明的目的是提出一种密码应用程序能够通过网络,包括移动通信网、局域网和公共网络,调用便携式密码装置提供的密码功能的便携式密码系统,以便在用户计算机与便携式密码装置之间无法通过传输导线、或无线信道直接建立连接的情况下,用户密码应用程序能够调用便携式密码装置提供的密码功能。
为了实现上述目的,本发明所采用的技术方案是:
一种便携式密码系统,所述密码系统包括便携式密码装置、密码应用程序和密码服务器,其中:
所述便携式密码装置是一个提供密码功能的便携式计算装置;所述便携式密码装置是一个专门实施密码功能的装置,或者是一个在通用便携式计算装置(如移动通信终端、平盘电脑、智能穿戴设备)上实施密码功能的装置,或者是一个在通用便携式计算装置中集成了密码硬件的装置;所述便携式密码装置提供的密码功能包括密钥管理(如密钥生成、存储、导入、导出等)以及密码运算(如数据加密和解密,数字签名和签名验证,散列运算,动态口令生成等);所述便携式密码装置具有人机交互界面以及连接数据网络(包括移动通信数据网、无线或有线局域网以及公共网络)的能力;所述便携式密码装置中运行有一个密码功能程序,用于通过数据网络向便携式密码装置以外的密码应用程序提供密码功能调用服务;所述便携式密码装置提供的密码功能由所述密码功能程序实施,或者由密码功能程序调用便携式密码装置中的密码模块实施;
所述密码服务器是一个在密码应用程序调用便携式密码装置的密码功能的过程中起桥梁作用的系统;
所述密码应用程序是一个通过调用便携式密码装置的密码功能实现预定的安全目标或目的的程序;密码应用程序运行所在计算装置是便携式密码装置以外的其他计算装置(如用户计算机);
在所述密码应用程序调用所述便携式密码装置的密码功能前,便携式密码装置中的密码功能程序被用户或便携式密码装置启动,密码应用程序或密码功能程序使用用户的身份凭证(Credential)在密码服务器完成登录(logon)(密码应用程序和密码功能程序两个程序中只需一个程序在密码服务器完成登录即可,不必两个都登录);所述身份凭证由用户标识信息及私密数据构成(如用户名、口令,数字证书及私钥,用户标识及基于标识生成的标识私钥等);
密码功能程序在启动后,或者密码功能程序在密码服务器完成登录后,通过请求-响应标识数据在密码服务器查询、获取密码应用程序提交的密码功能调用请求(若是密码应用程序在密码服务器进行登录,则密码功能程序在启动后即进行此查询);所述请求-响应标识数据是密码应用程序和密码功能程序之间共享的、用于区分不同密码应用程序提交的密码功能调用请求及对应处理结果的标识性数据;
在密码应用程序或密码功能程序登录密码服务器后,需要调用密码功能的密码应用程序将密码功能调用请求提交到密码服务器,提交到密码服务器的密码功能调用请求通过密码应用程序和密码功能程序之间共享的请求-响应标识数据标识并包含密码功能指示以及功能调用所需参数;提交密码功能调用请求后,密码应用程序通过请求-响应标识数据标识从密码服务器查询、获取密码功能调用处理结果;
在密码应用程序向密码服务器提交密码功能调用请求后,密码功能程序通过请求-响应标识数据在密码服务器查询、获得密码应用程序提交的密码功能调用请求,然后在便携式密码装置中完成密码功能调用的处理,之后将密码功能调用处理结果返回到密码服务器;返回到密码服务器的密码功能调用处理结果通过密码应用程序和密码功能程序之间共享的请求-响应标识数据标识;
在密码功能程序向密码服务器返回密码功能调用处理结果后,密码应用程序通过请求-响应标识数据标识从密码服务器查询、获得密码功能调用处理结果;
在密码应用程序和密码功能程序通过密码服务器交换密码功能调用请求和密码功能调用处理结果的过程中,密码服务器确保交换密码功能调用请求和密码功能调用处理结果的密码应用程序和密码功能程序两个程序中的一个程序已在密码服务器完成登录。
从以上发明内容可以看到,在用户计算机与便携式密码装置无法通过连接线或近场无线通信直接建立连接的情况下,用户计算机中的密码应用程序可以通过数据网络包括移动数据网、局域网或公共网络调用便携式密码装置提供的各种密码功能。
需指出的是本发明申请人在另一个专利申请“一种基于移动终端的密码系统”(专利受理号:201410407715.9)中也提出了一种基于移动终端的密码系统,本发明的方案与201410407715.9中的方案不同之处在于:1)本发明略去了密码模块这个组件,即密码应用程序直接通过密码服务器调用移动密码装置中的功能,而不是先调用本地的密码模块,然后再由密码模块通过密码服务器调用移动密码装置中的密码功能;省去密码模块这种方案的好处不仅仅是少了一个组件的问题,而是在很多情况能带来便利,比如,若密码应用程序是浏览器,则通过浏览器调用本地的密码模块(如WindowsCSP)是非常困难的,一般需要通过控件或插件才能进行调用,而开发浏览器控件或插件不但麻烦,而且兼容性差(不同的浏览器、操作系统,控件或插件会不同);而采用本发明的方案,浏览器可直接用HTTP或Ajax等连接密码服务器,然后通过密码服务器调用移动密码装置中的密码功能,不存在兼容性问题;2)在本发明中,调用密码功能时,密码应用程序和密码功能程序之间无需在密码服务器建立逻辑连接(密码连接),即是一种无连接的方案;相反地,在专利申请201410407715.9中,密码应用程序和密码功能程序之间需在密码服务器建立逻辑连接(密码连接);无连接的方案使得密码服务器的实施更简单。
附图说明
图1为本发明的密码系统的示意图。
具体实施方式
下面结合附图对本发明作进一步的描述。
本发明首先涉及密码应用程序和密码功能程序之间共享的请求-响应标识数据的实施,密码应用程序和密码功能程序之间共享的请求-响应标识数据的具体实施方式包括:静态请求-响应标识数据和动态请求-响应标识数据。
所述静态请求-响应标识数据是指,从密码应用程序或密码功能程序登录密码服务器开始到登出密码服务器为止,请求-响应标识数据在密码应用程序和密码功能程序多次交换密码功能调用请求和密码功能调用处理结果过程中保持不变;而所述动态请求-响应标识数据是指请求-响应标识数据在密码应用程序和密码功能程序交换密码功能调用请求和密码功能调用处理结果过程中每次交换时都不同;其中,一对密码功能调用请求和密码功能调用处理结果交换是一次交换;
静态请求-响应标识数据在密码应用程序和密码功能程序多次交换密码功能调用请求和密码功能调用处理结果过程中是保持不变的,因此,静态请求-响应标识数据既用于标识已登录的密码应用程序或密码功能程序,又用于标识密码应用程序和密码功能程序之间交换的密码功能调用请求和密码功能调用处理结果;
动态请求-响应标识数据包含不变请求-响应标识数据和可变请求-响应标识数据,其中,不变请求-响应标识数据用于标识已登录的密码应用程序或密码功能程序,从密码应用程序或密码功能程序登录密码服务器开始到登出密码服务器为止,不变请求-响应标识数据保持不变,而可变请求-响应标识数据用于标识不同的密码功能调用请求和相应的密码功能调用处理结果,即在每次交换密码功能调用请求和密码功能调用处理结果时都不同。
对于密码应用程序和密码功能程序之间的请求-响应标识数据,可通过如下方式共享:
密码应用程序和密码功能程序两程序中的一个程序生成一个随机字串并通过人机界面显示,或者,所述密码服务器向密码应用程序和密码功能程序两个程序中在密码服务器完成登录的程序返回一个随机字串,并由完成登录的程序通过人机界面显示,之后,用户将人机界面显示的随机字串输入到另一个程序(另一个未通过人机界面显示随机字串的程序),再之后,密码应用程序和密码功能程序用随机字串生成或导出共享的请求-响应标识数据。
密码应用程序和密码功能程序用随机字串生成或导出共享的请求-响应标识数据的方法如下:
若请求-响应标识数据是静态请求-响应标识数据,则密码应用程序和密码功能程序用随机字串生成或导出共享的静态请求-响应标识数据即可;
若请求-响应标识数据是动态请求-响应标识数据,则密码应用程序和密码功能程序先用随机字串生成或导出共享的动态请求-响应标识数据中的不变请求-响应标识数据,然后在每次进行密码功能调用请求和密码功能调用处理结果交换时,用随机字串生成或导出可变请求-响应标识数据;
这里,密码应用程序和密码功能程序用随机字串生成或导出共享的静态请求-响应标识数据或动态请求-响应标识数据中的不变请求-响应标识数据方法包括(但不限于):
用随机字串作为静态或不变请求-响应标识数据,或者用随机字串的散列值(HASH)作为静态或不变请求-响应标识数据,或者以用户在密码服务器的帐户名与随机字串合并后的字串作为静态或不变请求-响应标识数据(此时,对于未在密码服务器登录的程序,要么由用户输入在密码服务器的帐户名,要么由用户为程序配置在密码服务器的帐户名,要么由程序缓存用户在密码服务器的帐户名),或者以用户在密码服务器的帐户名与随机字串合并后的字串的散列值作为静态或不变请求-响应标识数据,或者以用户的一个唯一标识与随机字串的合并后的字串作为静态或不变请求-响应标识数据,或者以用的用户的一个唯一标识与随机字串合并后的字串的散列值作为静态或不变请求-响应标识数据;所述用户的唯一标识包括用户的电子邮箱地址、移动通信号码、身份证号码以及其他能唯一标识用户的字串。
当密码应用程序和密码功能程序之间共享的请求-响应标识数据是动态请求-响应标识数据时,密码应用程序和密码功能程序之间共享的动态请求-响应标识数据中的可变请求-响应标识数据的一种生成方式如下:
在每次进行密码功能调用请求和密码功能调用处理结果交换时,密码应用程序和密码功能程序利用二者之间共享的随机字串结合当前时间或交换次数通过单向不可逆函数(如散列函数)计算得到可变请求-响应标识数据(比如,按动态口令的生成方法,这里共享的随机字串就相当于动态口令种子密钥);所述交换次数是指,从密码应用程序或密码功能程序登录密码服务器开始,密码应用程序和密码功能程序之间交换密码功能调用请求和密码功能调用处理结果的次数。
进一步地,若所述随机字串由密码应用程序通过人机界面以条码形式显示,而所述便携式密码装置带有摄像头,则所述密码功能程序调用条码扫描程序通过摄像头扫描密码应用程序通过人机界面显示的条码,从条码中获得随机字串;
更进一步地,若所述密码应用程序通过人机界面以条码形式显示随机字串以及密码功能程序需要登录的密码服务器的地址,则所述密码功能程序调用条码扫描程序通过摄像头扫描密码应用程序通过人机界面显示的条码,从条码中获得随机字串以及密码服务器的地址,然后利用用户的身份凭证登录密码服务器。
密码服务器的具体实施可采用任何成熟的信息系统开发技术,如J2EE、ASP.NET、C/C++等,其中,一些关键功能的具体实施描述如下。
在密码应用程序和密码功能程序通过密码服务器交换密码功能调用请求和密码功能调用处理结果的过程中,密码服务器确保交换密码功能调用请求和密码功能调用处理结果的密码应用程序和密码功能程序两个程序中的一个程序已在密码服务器完成登录的一种实施方案如下:
若密码应用程序和密码功能程序之间共享的请求-响应标识数据是静态请求-响应标识数据,则静态请求-响应标识数据本身是请求-响应标识数中包含的用于标识密码应用程序和密码功能程序二个程序中已在密码服务器登录的程序的登录标识数据;
若密码应用程序和密码功能程序之间共享的请求-响应标识数据是动态请求-响应标识数据,则动态请求-响应标识数据中的不变请求-响应标识数据是请求-响应标识数中包含的用于标识密码应用程序和密码功能程序二个程序中已在密码服务器登录的程序的登录标识数据;
当密码应用程序或密码功能程序在密码服务器完成登录后,完成登录的密码应用程序或密码功能程序将密码应用程序和密码功能程序之间共享的登录标识数据提交到密码服务器,由密码服务器保存在内存或数据库中的一个登录标识数据表或队列中;
当密码服务器接收到一个密码应用程序提交的密码功能调用请求后,在处理接收到的密码功能调用请求之前,密码服务器接先检查登录标识数据表或队列中是否保存有同密码功能调用请求中的请求-响应标识数据中包含的登录标识数据一样的登录标识数据,若没有,则进行密码功能调用请求和密码功能调用处理结果交换的密码应用程序和密码功能程序都未登录密码服务器,密码服务器拒绝密码应用程序提交的密码功能调用请求;否则,进行密码功能调用请求和密码功能调用处理结果交换的密码应用程序和密码功能程序两个程序中的一个已登录密码服务器,密码服务器接受密码应用程序提交的密码功能调用请求;
当密码服务器接收到一个密码功能程序返回的密码功能调用处理结果后,在处理接收到的密码功能调用处理结果之前,密码服务器接先检登录标识数据表或队列中是否保存有同密码功能调用处理结果中的请求-响应标识数据中包含的登录标识数据一样的登录标识数据,若没有,则进行密码功能调用请求和密码功能调用处理结果交换的密码应用程序和密码功能程序都未登录密码服务器,密码服务器拒绝密码功能程序返回的密码功能调用处理结果;否则,进行密码功能调用请求和密码功能调用处理结果交换的密码应用程序和密码功能程序两个程序中的一个已登录密码服务器,密码服务器接受密码功能程序返回的密码功能调用处理结果;
当一个已登录的密码应用程序或密码功能程序从密码服务器登出(logout)时,密码服务器将登出的密码应用程序或密码功能程序提交的登录标识数据从登录标识数据表或队列中清除;或者,当保存在登录标识数据表或队列中的一个登录标识数据超时未用时,密码服务器将超时未用的登录标识数据从登录标识数据表或队列中清除;一个登录标识数据超时未用是指在预定的时间期限内密码服务器未接收到包含此登录标识数据的密码功能调用请求和密码功能调用处理结果。
在密码应用程序和密码功能程序通过密码服务器交换密码功能调用请求和密码功能调用处理结果的过程中,密码服务器对密码功能调用请求和密码功能调用处理结果进行处理的一种实施方案如下:
当密码服务器接收到密码应用程序提交的密码功能调用请求后,将接收到的密码功能调用请求保存在内存或数据库中的一个密码功能调用请求表或队列中;若一个密码功能调用请求在密码功能调用请求表或队列中存放的时间超过预定的时间期限仍未被密码功能程序获取,则密码服务器将超时未处理的密码功能调用请求从密码功能调用请求表或队列中清除;
当密码服务器接收到密码功能程序提交的对密码功能调用请求的查询请求后,利用查询请求中的请求-响应标识数据在密码功能调用请求表或队列中查看是否有对应的密码功能调用请求,即在密码功能调用请求表或队列中是否有一个密码功能调用请求的请求-响应标识数据与查询请求中的请求-响应标识数据一样,若有,则将对应的密码功能调用请求返回给密码功能程序,然后将对应的密码功能调用请求从密码功能调用请求表或队列中清除;
当密码服务器接收到密码功能程序返回的密码功能调用处理结果后,将接收到的密码功能调用处理结果保存在内存或数据库中的一个密码功能调用处理结果表或队列中;若一个密码功能调用处理结果在密码功能调用处理结果表或队列中存放的时间超过预定的时间期限仍未被密码应用程序获取,则密码服务器将超时未处理的密码功能调用处理结果从密码功能调用处理结果表或队列中清除;
当密码服务器接收到密码应用程序提交的对密码功能调用处理结果的查询请求后,利用查询请求中的请求-响应标识数据在密码功能调用处理结果表或队列中查询是否有对应的密码功能调用处理结果,即在密码功能调用处理结果表或队列中是否有一个密码功能调用处理结果的请求-响应标识数据与查询请求中的请求-响应标识数据一样,若有,则将对应的密码功能调用处理结果返回给密码应用程序,然后将对应的密码功能调用处理结果从密码功能调用处理结果表或队列中清除。
还有,所述密码功能程序在密码服务器查询、获取密码应用程序提交的密码功能调用请求以及所述密码应用程序在密码服务器查询、获取密码功能程序返回的密码功能调用处理结果的数据交互方式包括:服务器推送(即由服务器主动返回数据,如反向Ajax、持久连接技术)或定时查询。
其他未说明的具体技术实施,对于相关领域的技术人员而言是众所周知,不言自明的。
Claims (10)
1.一种便携式密码系统,其特征是:所述密码系统包括便携式密码装置、密码应用程序和密码服务器,其中:
所述便携式密码装置是一个提供密码功能的便携式计算装置;所述便携式密码装置是一个专门实施密码功能的装置,或者是一个在通用便携式计算装置上实施密码功能的装置,或者是一个在通用便携式计算装置中集成了密码硬件的装置;所述便携式密码装置提供的密码功能包括密钥管理以及密码运算;所述便携式密码装置具有人机交互界面以及连接数据网络的能力;所述便携式密码装置中运行有一个密码功能程序,用于通过数据网络向便携式密码装置以外的密码应用程序提供密码功能调用服务;所述便携式密码装置提供的密码功能由所述密码功能程序实施,或者由密码功能程序调用便携式密码装置中的密码模块实施;
所述密码服务器是一个在密码应用程序调用便携式密码装置的密码功能的过程中起桥梁作用的系统;
所述密码应用程序是一个通过调用便携式密码装置的密码功能实现预定的安全目标或目的的程序;密码应用程序运行所在计算装置是便携式密码装置以外的其他计算装置;
在所述密码应用程序调用所述便携式密码装置的密码功能前,便携式密码装置中的密码功能程序被用户或便携式密码装置启动,密码应用程序或密码功能程序使用用户的身份凭证在密码服务器完成登录;所述身份凭证由用户标识信息及私密数据构成;
密码功能程序在启动后,或者密码功能程序在密码服务器完成登录后,通过请求-响应标识数据在密码服务器查询、获取密码应用程序提交的密码功能调用请求;所述请求-响应标识数据是密码应用程序和密码功能程序之间共享的、用于区分不同密码应用程序提交的密码功能调用请求及对应处理结果的标识性数据;
在密码应用程序或密码功能程序登录密码服务器后,需要调用密码功能的密码应用程序将密码功能调用请求提交到密码服务器,提交到密码服务器的密码功能调用请求通过密码应用程序和密码功能程序之间共享的请求-响应标识数据标识并包含密码功能指示以及功能调用所需参数;提交密码功能调用请求后,密码应用程序通过请求-响应标识数据标识从密码服务器查询、获取密码功能调用处理结果;
在密码应用程序向密码服务器提交密码功能调用请求后,密码功能程序通过请求-响应标识数据在密码服务器查询、获得密码应用程序提交的密码功能调用请求,然后在便携式密码装置中完成密码功能调用的处理,之后将密码功能调用处理结果返回到密码服务器;返回到密码服务器的密码功能调用处理结果通过密码应用程序和密码功能程序之间共享的请求-响应标识数据标识;
在密码功能程序向密码服务器返回密码功能调用处理结果后,密码应用程序通过请求-响应标识数据标识从密码服务器查询、获得密码功能调用处理结果;
在密码应用程序和密码功能程序通过密码服务器交换密码功能调用请求和密码功能调用处理结果的过程中,密码服务器确保交换密码功能调用请求和密码功能调用处理结果的密码应用程序和密码功能程序两个程序中的一个程序已在密码服务器完成登录。
2.根据权利要求1所述的便携式密码系统,其特征是:
密码应用程序和密码功能程序之间共享的请求-响应标识数据的具体实施方式包括:静态请求-响应标识数据和动态请求-响应标识数据;所述静态请求-响应标识数据是指,从密码应用程序或密码功能程序登录密码服务器开始到登出密码服务器为止,请求-响应标识数据在密码应用程序和密码功能程序多次交换密码功能调用请求和密码功能调用处理结果过程中保持不变;而所述动态请求-响应标识数据是指请求-响应标识数据在密码应用程序和密码功能程序交换密码功能调用请求和密码功能调用处理结果过程中每次交换时都不同;其中,一对密码功能调用请求和密码功能调用处理结果交换是一次交换;
静态请求-响应标识数据在密码应用程序和密码功能程序多次交换密码功能调用请求和密码功能调用处理结果过程中是保持不变的,静态请求-响应标识数据既用于标识已登录的密码应用程序或密码功能程序,又用于标识密码应用程序和密码功能程序之间交换的密码功能调用请求和密码功能调用处理结果;
动态请求-响应标识数据包含不变请求-响应标识数据和可变请求-响应标识数据,其中,不变请求-响应标识数据用于标识已登录的密码应用程序或密码功能程序,从密码应用程序或密码功能程序登录密码服务器开始到登出密码服务器为止,不变请求-响应标识数据保持不变,而可变请求-响应标识数据用于标识不同的密码功能调用请求和相应的密码功能调用处理结果,即在每次交换密码功能调用请求和密码功能调用处理结果时都不同。
3.根据权利要求1所述的便携式密码系统,其特征是:
所述密码应用程序和密码功能程序共享所述请求-响应标识数据的方法包括:
密码应用程序和密码功能程序两程序中的一个程序生成一个随机字串并通过人机界面显示,或者,所述密码服务器向密码应用程序和密码功能程序两个程序中在密码服务器完成登录的程序返回一个随机字串,并由完成登录的程序通过人机界面显示,之后,用户将人机界面显示的随机字串输入到另一个程序,再之后,密码应用程序和密码功能程序用随机字串生成或导出共享的请求-响应标识数据。
4.根据权利要求3所述的便携式密码系统,其特征是:
若请求-响应标识数据是静态请求-响应标识数据,则密码应用程序和密码功能程序用随机字串生成或导出共享的静态请求-响应标识数据即可;若请求-响应标识数据是动态请求-响应标识数据,则密码应用程序和密码功能程序先用随机字串生成或导出共享的动态请求-响应标识数据中的不变请求-响应标识数据,然后在每次进行密码功能调用请求和密码功能调用处理结果交换时,用随机字串生成或导出可变请求-响应标识数据。
5.根据权利要求4所述的便携式密码系统,其特征是:
所述密码应用程序和密码功能程序用随机字串生成或导出共享的静态请求-响应标识数据或动态请求-响应标识数据中的不变请求-响应标识数据方法包括:
用随机字串作为静态或不变请求-响应标识数据,或者用随机字串的散列值作为静态或不变请求-响应标识数据,或者以用户在密码服务器的帐户名与随机字串合并后的字串作为静态或不变请求-响应标识数据,或者以用户在密码服务器的帐户名与随机字串合并后的字串的散列值作为静态或不变请求-响应标识数据,或者以用户的一个唯一标识与随机字串的合并后的字串作为静态或不变请求-响应标识数据,或者以用的用户的一个唯一标识与随机字串合并后的字串的散列值作为静态或不变请求-响应标识数据;所述用户的唯一标识包括用户的电子邮箱地址、移动通信号码、身份证号码以及其他能唯一标识用户的字串。
6.根据权利要求4所述的便携式密码系统,其特征是:
若密码应用程序和密码功能程序之间共享的请求-响应标识数据是动态请求-响应标识数据,则密码应用程序和密码功能程序之间共享的动态请求-响应标识数据中的可变请求-响应标识数据的一种生成方式是:
在每次进行密码功能调用请求和密码功能调用处理结果交换时,密码应用程序和密码功能程序利用二者之间共享的随机字串结合当前时间或交换次数通过单向不可逆函数计算得到可变请求-响应标识数据;所述交换次数是指,从密码应用程序或密码功能程序登录密码服务器开始,密码应用程序和密码功能程序之间交换密码功能调用请求和密码功能调用处理结果的次数。
7.根据权利要求3所述的便携式密码系统,其特征是:
若所述随机字串由密码应用程序通过人机界面以条码形式显示,而所述便携式密码装置带有摄像头,则所述密码功能程序调用条码扫描程序通过摄像头扫描密码应用程序通过人机界面显示的条码,从条码中获得随机字串;
若所述密码应用程序通过人机界面以条码形式显示随机字串以及密码功能程序需要登录的密码服务器的地址,则所述密码功能程序调用条码扫描程序通过摄像头扫描密码应用程序通过人机界面显示的条码,从条码中获得随机字串以及密码服务器的地址,然后利用用户的身份凭证登录密码服务器。
8.根据权利要求2所述的便携式密码系统,其特征是:
在密码应用程序和密码功能程序通过密码服务器交换密码功能调用请求和密码功能调用处理结果的过程中,密码服务器确保交换密码功能调用请求和密码功能调用处理结果的密码应用程序和密码功能程序两个程序中的一个程序已在密码服务器完成登录的一种实施方案如下:
若密码应用程序和密码功能程序之间共享的请求-响应标识数据是静态请求-响应标识数据,则静态请求-响应标识数据本身是请求-响应标识数中包含的用于标识密码应用程序和密码功能程序二个程序中已在密码服务器登录的程序的登录标识数据;
若密码应用程序和密码功能程序之间共享的请求-响应标识数据是动态请求-响应标识数据,则动态请求-响应标识数据中的不变请求-响应标识数据是请求-响应标识数中包含的用于标识密码应用程序和密码功能程序二个程序中已在密码服务器登录的程序的登录标识数据;
当密码应用程序或密码功能程序在密码服务器完成登录后,完成登录的密码应用程序或密码功能程序将密码应用程序和密码功能程序之间共享的登录标识数据提交到密码服务器,由密码服务器保存在内存或数据库中的一个登录标识数据表或队列中;
当密码服务器接收到一个密码应用程序提交的密码功能调用请求后,在处理接收到的密码功能调用请求之前,密码服务器接先检查登录标识数据表或队列中是否保存有同密码功能调用请求中的请求-响应标识数据中包含的登录标识数据一样的登录标识数据,若没有,则进行密码功能调用请求和密码功能调用处理结果交换的密码应用程序和密码功能程序都未登录密码服务器,密码服务器拒绝密码应用程序提交的密码功能调用请求;否则,进行密码功能调用请求和密码功能调用处理结果交换的密码应用程序和密码功能程序两个程序中的一个已登录密码服务器,密码服务器接受密码应用程序提交的密码功能调用请求;
当密码服务器接收到一个密码功能程序返回的密码功能调用处理结果后,在处理接收到的密码功能调用处理结果之前,密码服务器接先检登录标识数据表或队列中是否保存有同密码功能调用处理结果中的请求-响应标识数据中包含的登录标识数据一样的登录标识数据,若没有,则进行密码功能调用请求和密码功能调用处理结果交换的密码应用程序和密码功能程序都未登录密码服务器,密码服务器拒绝密码功能程序返回的密码功能调用处理结果;否则,进行密码功能调用请求和密码功能调用处理结果交换的密码应用程序和密码功能程序两个程序中的一个已登录密码服务器,密码服务器接受密码功能程序返回的密码功能调用处理结果;
当一个已登录的密码应用程序或密码功能程序从密码服务器登出时,密码服务器将登出的密码应用程序或密码功能程序提交的登录标识数据从登录标识数据表或队列中清除;或者,当保存在登录标识数据表或队列中的一个登录标识数据超时未用时,密码服务器将超时未用的登录标识数据从登录标识数据表或队列中清除;一个登录标识数据超时未用是指在预定的时间期限内密码服务器未接收到包含此登录标识数据的密码功能调用请求和密码调用处理结果。
9.根据权利要求1所述的便携式密码系统,其特征是:
在密码应用程序和密码功能程序通过密码服务器交换密码功能调用请求和密码功能调用处理结果的过程中,密码服务器对密码功能调用请求和密码功能调用处理结果进行处理的一种实施方案如下:
当密码服务器接收到密码应用程序提交的密码功能调用请求后,将接收到的密码功能调用请求保存在内存或数据库中的一个密码功能调用请求表或队列中;若一个密码功能调用请求在密码功能调用请求表或队列中存放的时间超过预定的时间期限仍未被密码功能程序获取,则密码服务器将超时未处理的密码功能调用请求从密码功能调用请求表或队列中清除;
当密码服务器接收到密码功能程序提交的对密码功能调用请求的查询请求后,利用查询请求中的请求-响应标识数据在密码功能调用请求表或队列中查看是否有对应的密码功能调用请求,即在密码功能调用请求表或队列中是否有一个密码功能调用请求的请求-响应标识数据与查询请求中的请求-响应标识数据一样,若有,则将对应的密码功能调用请求返回给密码功能程序,然后将对应的密码功能调用请求从密码功能调用请求表或队列中清除;
当密码服务器接收到密码功能程序返回的密码功能调用处理结果后,将接收到的密码功能调用处理结果保存在内存或数据库中的一个密码功能调用处理结果表或队列中;若一个密码功能调用处理结果在密码功能调用处理结果表或队列中存放的时间超过预定的时间期限仍未被密码应用程序获取,则密码服务器将超时未处理的密码功能调用处理结果从密码功能调用处理结果表或队列中清除;
当密码服务器接收到密码应用程序提交的对密码功能调用处理结果的查询请求后,利用查询请求中的请求-响应标识数据在密码功能调用处理结果表或队列中查询是否有对应的密码功能调用处理结果,即在密码功能调用处理结果表或队列中是否有一个密码功能调用处理结果的请求-响应标识数据与查询请求中的请求-响应标识数据一样,若有,则将对应的密码功能调用处理结果返回给密码应用程序,然后将对应的密码功能调用处理结果从密码功能调用处理结果表或队列中清除。
10.根据权利要求1所述的便携式密码系统,其特征是:
所述密码功能程序在密码服务器查询、获取密码应用程序提交的密码功能调用请求以及所述密码应用程序在密码服务器查询、获取密码功能程序返回的密码功能调用处理结果的数据交互方式包括:服务器推送或定时查询。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510745471.XA CN105281916B (zh) | 2015-11-05 | 2015-11-05 | 一种便携式密码系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510745471.XA CN105281916B (zh) | 2015-11-05 | 2015-11-05 | 一种便携式密码系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105281916A true CN105281916A (zh) | 2016-01-27 |
| CN105281916B CN105281916B (zh) | 2018-09-25 |
Family
ID=55150310
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510745471.XA Active CN105281916B (zh) | 2015-11-05 | 2015-11-05 | 一种便携式密码系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105281916B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791287A (zh) * | 2016-03-01 | 2016-07-20 | 武汉理工大学 | 调用移动终端中密码功能的方法 |
| CN106506152A (zh) * | 2016-11-16 | 2017-03-15 | 武汉理工大学 | 一种密码装置的共享使用方法 |
| CN106982220A (zh) * | 2017-04-21 | 2017-07-25 | 百望电子发票数据服务有限公司 | 一种数字证书调用方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070098176A1 (en) * | 2005-09-01 | 2007-05-03 | Jeong-Ki Song | Wireless LAN security system and method |
| CN104144256A (zh) * | 2014-07-17 | 2014-11-12 | 武汉理工大学 | 一种基于移动终端的便携式密码装置 |
| CN104202163A (zh) * | 2014-08-19 | 2014-12-10 | 武汉理工大学 | 一种基于移动终端的密码系统 |
| CN104901951A (zh) * | 2015-04-23 | 2015-09-09 | 武汉理工大学 | 一种Web应用中基于移动终端的密码数据处理与交互方法 |
| CN104915607A (zh) * | 2015-04-28 | 2015-09-16 | 武汉理工大学 | 一种基于移动终端的密码数据处理和交换方法 |
-
2015
- 2015-11-05 CN CN201510745471.XA patent/CN105281916B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070098176A1 (en) * | 2005-09-01 | 2007-05-03 | Jeong-Ki Song | Wireless LAN security system and method |
| CN104144256A (zh) * | 2014-07-17 | 2014-11-12 | 武汉理工大学 | 一种基于移动终端的便携式密码装置 |
| CN104202163A (zh) * | 2014-08-19 | 2014-12-10 | 武汉理工大学 | 一种基于移动终端的密码系统 |
| CN104901951A (zh) * | 2015-04-23 | 2015-09-09 | 武汉理工大学 | 一种Web应用中基于移动终端的密码数据处理与交互方法 |
| CN104915607A (zh) * | 2015-04-28 | 2015-09-16 | 武汉理工大学 | 一种基于移动终端的密码数据处理和交换方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791287A (zh) * | 2016-03-01 | 2016-07-20 | 武汉理工大学 | 调用移动终端中密码功能的方法 |
| CN105791287B (zh) * | 2016-03-01 | 2018-06-19 | 武汉理工大学 | 调用移动终端中密码功能的方法 |
| CN106506152A (zh) * | 2016-11-16 | 2017-03-15 | 武汉理工大学 | 一种密码装置的共享使用方法 |
| CN106982220A (zh) * | 2017-04-21 | 2017-07-25 | 百望电子发票数据服务有限公司 | 一种数字证书调用方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105281916B (zh) | 2018-09-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9741033B2 (en) | System and method for point of sale payment data credentials management using out-of-band authentication | |
| US10348715B2 (en) | Computer-implemented systems and methods of device based, internet-centric, authentication | |
| US9185096B2 (en) | Identity verification | |
| US8661254B1 (en) | Authentication of a client using a mobile device and an optical link | |
| US9191394B2 (en) | Protecting user credentials from a computing device | |
| US20170085561A1 (en) | Key storage device and method for using same | |
| US10848304B2 (en) | Public-private key pair protected password manager | |
| CN102457507A (zh) | 云计算资源安全共享方法、装置及系统 | |
| CN107733933B (zh) | 一种基于生物识别技术的双因子身份认证的方法及系统 | |
| US11496462B2 (en) | Secure multifactor authentication with push authentication | |
| US20200196143A1 (en) | Public key-based service authentication method and system | |
| CN104202163A (zh) | 一种基于移动终端的密码系统 | |
| US11921840B2 (en) | Systems and methods for password managers | |
| CN101808077A (zh) | 信息安全输入处理系统和方法以及智能卡 | |
| CN105281916A (zh) | 一种便携式密码系统 | |
| JP6240102B2 (ja) | 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム | |
| US20150350170A1 (en) | Secure authentication of mobile users with no connectivity between authentication service and requesting entity | |
| KR101651607B1 (ko) | 익명 아이디를 사용하는 원클릭 사용자 인증 방법 및 시스템 | |
| KR101537564B1 (ko) | 생체인식 중계 인증 시스템 및 그 방법 | |
| CN113826096A (zh) | 利用用户生物特征识别数据的用户认证及签名装置和方法 | |
| CN105072136A (zh) | 一种基于虚拟驱动的设备间安全认证方法和系统 | |
| KR102123405B1 (ko) | 보안 회원가입 및 로그인 호스팅 서비스 제공 시스템 및 그 방법 | |
| KR20100008893A (ko) | 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템 | |
| Xu et al. | Qrtoken: Unifying authentication framework to protect user online identity | |
| KR20120088236A (ko) | 콘텐츠 서비스를 위한 사용자 인증 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |