CN105681247A - 一种安全认证方法、装置、认证服务器及系统 - Google Patents
一种安全认证方法、装置、认证服务器及系统 Download PDFInfo
- Publication number
- CN105681247A CN105681247A CN201410652297.XA CN201410652297A CN105681247A CN 105681247 A CN105681247 A CN 105681247A CN 201410652297 A CN201410652297 A CN 201410652297A CN 105681247 A CN105681247 A CN 105681247A
- Authority
- CN
- China
- Prior art keywords
- certification
- safety
- equipment
- safety certificate
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明提供一种安全认证方法、装置、认证服务器及系统,应用于客户端侧的安全认证方法包括:所述客户端从安全认证设备中获取一个或多个认证串;所述客户端将所述一个或多个认证串发送至认证服务器,使得所述认证服务器能够根据所述一个或多个认证串对所述客户端及安全认证设备进行安全认证。客户端通过摄像头或近场通信功能从安全认证设备中获取认证串,解决了没有USB接口的设备认证的问题,且利用图形显示认证串的方法有效防止了偷窥密码的问题;同时通过认证服务器对安全认证设备的初始化;然后将安全认证设备和客户端进行绑定,最终通过客户端从安全认证设备上获取认证串并发送至认证服务器来实现客户端的安全认证,大大提高安全性和适用性。
Description
技术领域
本发明涉及通信安全认证技术领域,特别涉及一种安全认证方法、装置、认证服务器及系统。
背景技术
伴随着云时代的到来,更多的用户数据保存在云端,传统的用户名+密码的认证技术已经很难保证用户的数据安全,安全界普遍采用多因子认证的方法提高安全性。
目前主流的多因子认证方法包括:短信验证码和USB令牌等。现有技术中主流的多因子认证方法方面从安全性、兼容性、成本、易用性和灵活性等方面比较如下:
| 解决方案 | 安全性 | 兼容性 | 成本 | 易用性 | 灵活性 |
| 短信验证码 | 高 | 低 | 高 | 一般 | 一般 |
| USB令牌 | 高 | 低 | 高 | 一般 | 低 |
短信验证码,是通过认证服务器向手机发送一串字符,来达到二次验证目的的方法;USB令牌,是一种USB接口设备,它可以通过USB端口向主机发送数据。
但是短信验证码要求用户必须绑定手机,并且对网络依赖较大,不适用信号不好或者不允许携带手机的场合使用,而且验证码的发送过程也容易泄密。
USB令牌仅适用于PC(个人电脑)设备,对于没有USB接口的手持移动设备,无法通过其获得认证。
发明内容
本发明的目的在于提供一种安全认证方法、装置、认证服务器及系统,适用于移动设备和固定设备,提高认证方式的安全性和适用性。
为了达到上述目的,本发明实施例提供一种安全认证方法,应用于客户端侧,包括:
所述客户端从安全认证设备中获取一个或多个认证串;
所述客户端将所述一个或多个认证串发送至认证服务器,使得所述认证服务器能够根据所述一个或多个认证串对所述客户端及安全认证设备进行安全认证。
其中,所述客户端从安全认证设备中获取一个或多个认证串,具体为:
所述客户端通过USB接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端与所述安全认证设备通过所述USB接口连接。
其中,所述客户端从安全认证设备中获取一个或多个认证串,具体为:
所述客户端通过读取所述安全认证设备上显示的图形,并对所述图形进行解析来获取一个或多个认证串,其中,所述图形是所述安全认证设备根据所述认证串转化得到。
其中,所述客户端从安全认证设备中获取一个或多个认证串,具体为:
所述客户端通过近场通信接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端和所述安全认证设备均开启对应的近场通信接口。
本发明实施例还提供一种安全认证方法,应用于认证服务器侧,包括:
所述认证服务器接收安全认证设备发送的初始化请求,根据所述初始化请求为所述安全认证设备分配唯一的标识号,并根据所述唯一的标识号生成所述安全认证设备的多个认证串,完成所述安全认证设备的初始化;
所述认证服务器接收客户端发送的一个或多个认证串;
所述认证服务器根据所述一个或多个认证串对所述客户端进行认证,若认证通过则完成所述客户端的认证;其中,所述一个或多个认证串为所述客户端从所述完成初始化的安全认证设备中获取的。
其中,所述第一请求中携带的连续多个认证串和所述第二请求中携带的认证串均采用一次一密形式;
所述客户端从所述安全认证设备中获取认证串后,所述客户端将所述认证串删除,所述认证服务器将已经认证的认证串删除。
其中,所述认证服务器接收安全认证设备发送的初始化请求,根据所述初始化请求为所述安全认证设备分配唯一的标识号,并根据所述唯一的标识号生成所述安全认证设备的多个认证串,以完成所述安全认证设备的初始化,具体包括:
所述认证服务器根据所述安全认证设备发送初始化请求的时间及所述安全认证设备的序号,为所述安全认证设备分配唯一的标识号;
所述认证服务器利用预设的不可逆函数对所述标识号进行处理,生成所述安全认证设备的多个动态口令;
所述认证服务器将所述多个动态口令倒置顺序后得到一序列;
所述认证服务器将所述序列中的多个动态口令分别与所述安全认证设备的标识号合并后生成多个认证串;
所述认证服务器在本地保存所述多个认证串,并将所述多个认证串发送至所述安全认证设备,使得所述安全认证设备的初始化完成。
其中,所述认证服务器根据所述一个或多个认证串对所述客户端进行认证,若认证通过则完成所述客户端的认证,具体包括:
所述认证服务器分别将所述一个或多个认证串拆分为所述安全认证设备的标识号和所述安全认证设备的动态口令;
所述认证服务器根据所述安全认证设备的标识号,获取所述认证服务器本地保存的该安全认证设备的认证串;
所述认证服务器将拆分所述认证串得到的动态口令分别与所述认证服务器本地保存的认证串中的动态口令进行比对;
若比对成功,则认证通过,所述认证服务器完成对所述客户端的认证。
本发明实施例还提供一种装置,应用于客户端侧,包括:
第三获取模块,用于从安全认证设备中获取一个或多个认证串;
发送模块,用于所述客户端将所述一个或多个认证串发送至认证服务器,使得所述认证服务器能够根据所述一个或多个认证串对所述客户端及安全认证设备进行安全认证。
其中,所述第三获取模块包括:
第一获取子模块,用于通过USB接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端与所述安全认证设备通过所述USB接口连接。
其中,所述第三获取模块包括:
第二获取子模块,用于通过读取所述安全认证设备上显示的图形,并对所述图形进行解析来获取一个或多个认证串,其中,所述图形是所述安全认证设备根据所述认证串转化得到。
其中,所述第三获取模块包括:
第三获取子模块,用于通过近场通信接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端和所述安全认证设备均开启对应的近场通信接口。
本发明实施例还提供一种认证服务器,包括:
第一接收模块,用于接收安全认证设备发送的初始化请求,根据所述初始化请求为所述安全认证设备分配唯一的标识号,并根据所述唯一的标识号生成所述安全认证设备的多个认证串,完成所述安全认证设备的初始化;
第二接收模块,用于接收客户端发送的一个或多个认证串;
认证模块,用于根据所述一个或多个认证串对所述客户端进行认证,若认证通过则完成所述客户端的认证;其中,所述一个或多个认证串为所述客户端从所述完成初始化的安全认证设备中获取的。
其中,所述第一接收模块包括:
分配模块,用于根据所述安全认证设备发送初始化请求的时间及所述安全认证设备的序号,为所述安全认证设备分配唯一的标识号;
第一生成模块,用于利用预设的不可逆函数对所述标识号进行处理,生成所述安全认证设备的多个动态口令;
倒置模块,用于将所述多个动态口令倒置顺序后得到一序列;
第二生成模块,用于将所述序列中的多个动态口令分别与所述安全认证设备的标识号合并后生成多个认证串;
保存模块,用于在本地保存所述多个认证串,并将所述多个认证串发送至所述安全认证设备,使得所述安全认证设备的初始化完成。
其中,所述认证模块包括:
第一拆分模块,用于分别将所述一个或多个认证串拆分为所述安全认证设备的标识号和所述安全认证设备的动态口令;
第二获取模块,用于根据所述安全认证设备的标识号,获取所述认证服务器本地保存的该安全认证设备的认证串;
比对模块,用于所述认证服务器将拆分所述认证串得到的动态口令分别与所述认证服务器本地保存的认证串中的动态口令进行比对;
认证子模块,用于若比对成功,则认证通过,所述认证服务器完成对所述客户端的认证。
本发明实施例还提供一种系统,包括如上所述的装置、安全认证设备以及如上所述的认证服务器。
本发明的上述技术方案至少具有如下有益效果:
本发明实施例的安全认证方法、装置、认证服务器及系统中,客户端通过摄像头或近场通信功能从安全认证设备中获取认证串,解决了没有USB接口的设备认证的问题,且利用图形显示认证串的方法有效防止了偷窥密码的问题;同时通过认证服务器对安全认证设备的初始化;然后将安全认证设备和客户端进行绑定,最终通过客户端从安全认证设备上获取认证串并发送至认证服务器来实现客户端的安全认证,大大提高了安全性和适用性。
附图说明
图1表示本发明实施例的安全认证方法应用于客户端的基本步骤示意图;
图2表示本发明实施例的安全认证方法应用于认证服务器侧的基本步骤示意图;
图3表示本发明实施例的安全认证方法中安全认证设备的初始化的步骤示意图;
图4表示本发明实施例的安全认证方法中安全认证设备与客户端的绑定步骤示意图;
图5表示本发明实施例的安全认证方法中安全认证设备登录认证服务器的步骤示意图;
图6表示本发明实施例的客户端的装置的组成结构示意图;
图7表示本发明实施例的认证服务器的组成结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有技术中的安全认证方法均不适用于移动设备的问题,提供一种安全认证方法、装置、认证服务器及系统,通过认证服务器根据安全认证设备的标识号作为初始种子经过计算处理后生成由多个动态口令组成的序列,进而完成安全认证设备的初始化;然后将安全认证设备和客户端进行绑定,最终通过客户端从安全认证设备上获取认证串并发送至认证服务器来实现客户端的安全认证,大大提高了安全性和适用性。
如图1所示,本发明实施例提供一种安全认证方法,应用于客户端侧,包括:
步骤11,所述客户端从安全认证设备中获取一个或多个认证串;
步骤12,所述客户端将所述一个或多个认证串发送至认证服务器,使得所述认证服务器能够根据所述一个或多个认证串对所述客户端及安全认证设备进行安全认证。
本发明上述实施例中,获取一个或多个认证串的途径主要包括三种,即步骤11包括:
步骤111,所述客户端通过USB接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端与所述安全认证设备通过所述USB接口连接。
或者步骤112,所述客户端通过读取所述安全认证设备上显示的图形,并对所述图形进行解析来获取一个或多个认证串,其中,所述图形是所述安全认证设备根据所述认证串转化得到。
或者步骤113,所述客户端通过近场通信接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端和所述安全认证设备均开启对应的近场通信接口。
本发明具体实施例中,安全认证设备具有一个USB接口、一个图形转换器(该图形转换器用于将认证串转化为可显示的图形)、一个显示屏(用于显示转化的图形)以及一个近场通信接口NFC;该安全认证设备的设置可以在没有USB接口的移动设备上使用,增加了认证的广泛性。
需要说明的是,在本发明实施例的具体应用中,图形转换器为一二维码转换器,且显示屏为一电子墨水屏;使用电子墨水屏可以保证没有USB接入设备也可以通过摄像头获得认证串,增加了认证的广泛性,解决了手机以及平板没有USB接口的问题,并且电子墨水屏相较之LED等设备更为省电,增加了设备的使用时间。在本发明的具体实施例中,安全认证设备还包括一非易失性存储器,该存储器用于存储实现保存的一次一密序列;同时该安全认证设备还设置有一物理按键,按压所述物理按键能够使得一个认证串发送至客户端并在转换为图形在电子墨水屏幕上显示。
本发明实施例中通过二维码转换器将一次一密密码转换成二维码图像,并采用电子墨水屏将二维码显示,可以在没有USB接口的移动设备上使用,并且有效的防止了偷窥密码的问题。
为了更好的实现上述目的,如图2所示,本发明实施例提供一种安全认证方法,应用于认证服务器侧,包括:
步骤21,所述认证服务器接收安全认证设备发送的初始化请求,根据所述初始化请求为所述安全认证设备分配唯一的标识号,并根据所述唯一的标识号生成所述安全认证设备的多个认证串,完成所述安全认证设备的初始化;
步骤22,所述认证服务器接收客户端发送的一个或多个认证串
步骤23,所述认证服务器根据所述一个或多个认证串对所述客户端进行认证,若认证通过则完成所述客户端的认证;其中,所述一个或多个认证串为所述客户端从所述完成初始化的安全认证设备中获取的。
本发明上述实施例中,认证服务器首次接受客户端发送的认证串时,需要接收连续多个认证串,进而绑定客户端(账户)与安全认证设备;在之后的身份认证过程中,仅需接收客户端发送的一个认证串即可。具体的,绑定过程如下:
步骤231,所述认证服务器接收客户端发送的绑定所述安全认证设备的第一请求,其中,所述第一请求中携带连续多个认证串;
步骤232,所述认证服务器根据所述第一请求中的连续多个认证串对所述客户端进行绑定认证,若绑定认证通过则完成所述客户端与所述安全认证设备的绑定。
具体的登录认证过程如下:
步骤233,所述认证服务器接收所述客户端发送的登录所述认证服务器的第二请求,其中,所述第二请求中携带一认证串;
步骤234,所述认证服务器根据所述第二请求中的认证串对所述客户端进行登录认证,若登录认证通过则所述认证服务器授权所述客户端登录。
本发明的上述实施例中,安全认证设备是用于生成认证串的一个硬件设备,具体的为一手持令牌。认证服务器首先需要对安全认证设备进行初始化,该初始化过程是为了赋予该安全认证设备进行安全认证的权利,确保其合法性;当需要使用某一安全认证设备时,首先需要将该安全认证设备绑定在客户端对应的账号(如用户名)上,其中该客户端可以为移动设备也可以为PC机等固定设备;该绑定过程也需要认证服务器的参与,当安全认证设备绑定成功后,客户端与安全认证设备就形成了一一对应的关系,即该客户端的认证过程需通过该安全认证设备来实现;当用户需要通过客户端登录时,客户端需从安全认证设备中获取认证串,并将该认证串作为登录请求发送至认证服务器,认证服务器解析该认证串并与保存于认证服务器本地的动态密码进行比对,对所述客户端进行登录认证,认证通过则授权登录,否则拒绝登录。该过程进一步保证了登录的安全性。
需要说明的是,客户端与安全认证设备就形成了一一对应的关系具体是指客户端上的用户账号与安全认证设备一一对应,当用户在另一客户端上登录该用户账号时,可直接采用该安全认证设备进行登录认证。
具体的,所述第一请求中携带的连续多个认证串和所述第二请求中携带的认证串均采用一次一密形式;所述客户端从所述安全认证设备中获取认证串后,所述客户端将所述认证串删除,所述认证服务器将已经认证的认证串删除。
本发明上述实施例中,如图3所示,步骤21包括:
步骤311,所述认证服务器根据所述安全认证设备发送初始化请求的时间及所述安全认证设备的序号,为所述安全认证设备分配唯一的标识号;
步骤312,所述认证服务器利用预设的不可逆函数对所述标识号进行处理,生成所述安全认证设备的多个动态口令;
步骤313,所述认证服务器将所述多个动态口令倒置顺序后得到一序列;
步骤314,所述认证服务器将所述序列中的多个动态口令分别与所述安全认证设备的标识号合并后生成多个认证串;
步骤315,所述认证服务器在本地保存所述多个认证串,并将所述多个认证串发送至所述安全认证设备,使得所述安全认证设备的初始化完成。
需要说明的是,本发明实施例采用一种安全性高、易于携带操作、寿命长的方案,其中使用的一项技术是动态口令。动态口令(OTP,One-TimePassword)又称一次性密码,是使用密码技术实现的在客户端和服务器之间通过共享秘密的一种认证技术,是一种强认证技术,是增强目前静态口令认证的一种非常方便技术手段,是一种重要的双因素认证技术,
本发明的上述实施例中,认证服务器将安全认证设备的序号和安全认证设备发送初始化请求的时间随机组合生成安全认证设备的标识号,具体的该标识号是12位的字符;认证服务器将12位(包括序号+时间)的安全认证设备的标识ID作为初始种子s,并事先确定一个不可逆函数f,(例如一个良好的哈希函数),通过递归计算f(x)而得到类似如下序列:f(s),f(f(s)),f(f(f(s)))……,其中f(s)、f(f(s))或f(f(f(s)))均为动态口令,即一次一密密码(该密码仅能使用一次,不能重复使用,使用后可删除);同时,具体的f(s)、f(f(s))或f(f(f(s)))均为32位;倒置上述一次一密密码的顺序后生成一次一密序列,其中采用倒置顺序的方法以确保即使第三方得到其中某个密码,也无法得出序列中的下一个密码。因为倒序导致推算原序列中的上一个密码需要用到反函数f-1(x),并且事先确定的函数为不可逆函数,故可视为整个倒置后的序列为一次一密序列。
例如,f(s)、f(f(s))、f(f(f(s)))分别为1234…32、345…34、678…37(f(s)、f(f(s))或f(f(f(s)))均为32位,在此不一一列出);则倒置后的序列为678…37、345…34、1234…32。本发明实施例采用一次一密序列防止了通过已展示密码推算未来密码的攻击;通过一个不可逆函数,递归生成初级的一次一密密码序列,然后再将整个序列倒置反转,得到最终的一次一密序列,有效的防止了通过推算未来密码的攻击,提高安全性。
本发明上述实施例中,如图4所示,步骤232包括:
步骤411,所述认证服务器获取所述第一请求中携带的连续多个认证串;
步骤412,所述认证服务器分别将所述多个认证串拆分为所述安全认证设备的标识号和所述安全认证设备的动态口令;
步骤413,所述认证服务器根据所述安全认证设备的标识号,获取所述认证服务器本地保存的该安全认证设备的认证串;
步骤414,所述认证服务器将拆分所述多个认证串得到的多个动态口令依次与所述认证服务器本地保存的认证串中的动态口令进行比对;
步骤415,若比对成功,则绑定认证通过,所述安全认证设备与所述客户端绑定;若对比不成功,则绑定认证失败,所述安全认证设备不与所述客户端绑定。
本发明上述实施例中,如图5所示,步骤234包括:
步骤511,所述认证服务器获取所述第二请求中携带的认证串;
步骤512,所述认证服务器将所述认证串拆分为所述安全认证设备的标识号和所述安全认证设备的动态口令;
步骤513,所述认证服务器根据所述安全认证设备的标识号,确定存储于所述认证服务器本地的认证串,并将所述动态口令与确定的认证串中的动态口令进行比对;
步骤514,若比对成功,则登录认证通过,所述认证服务器授权所述客户端登录;若对比不成功,则登录认证失败,所述认证服务器拒绝所述客户端登录。
本发明的具体实施例中,绑定认证与登录认证的主要区别在于绑定认证需要多个认证串,在本发明实施例中为5个认证串,且该5个认证串为连续的,该5个认证串中的5个动态口令依次排列组成一次一密序列,与认证服务器中的一次一密序列进行对比,不仅需要每一个一次一密密码完全相同,还需要该5个一次一密密码的顺序与认证服务器中保存的顺序也相同,才能对比成功,则则绑定认证通过,所述安全认证设备与所述客户端绑定;否则,所述安全认证设备不与所述客户端绑定,需进行重新认证;而登录认证仅需一个认证串,其认证过程与绑定认证的过程相同,在此不一一赘述。
具体的,认证服务器通过开放的应用程序编程接口API接收客户端发来的请求(第一请求或第二请求),认证服务器从请求中获取长度为44位的认证串拆分成12位+32位的两部分,前12位为安全认证设备的标识ID,后32位为具有时序的一次一密密码;再根据前12位ID找对应的序列,并且比对连续的5个(或1个)一次一密密码,如果匹配失败服务器通过API发送绑定失败消息;如果匹配成功则发送绑定成功消息,并且从序列中删除匹配过的一次一密密码。
为了更好的实现上述目的,如图6所示,本发明实施例还提供一种装置,应用于客户端,包括:
第三获取模块61,用于从安全认证设备中获取一个或多个认证串;
发送模块62,用于所述客户端将所述一个或多个认证串发送至认证服务器,使得所述认证服务器能够根据所述一个或多个认证串对所述客户端及安全认证设备进行安全认证。
具体的,本发明上述实施例中,所述第三获取模块61包括:
第一获取子模块,用于通过USB接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端与所述安全认证设备通过一USB接口连接。
具体的,本发明上述实施例中,所述第三获取模块61包括:
第二获取子模块,用于通过读取所述安全认证设备上显示的图形,并对所述图形进行解析来获取一个或多个认证串,其中,所述图形是所述安全认证设备利用图形转换器将所述认证串转化而成。
具体的,本发明上述实施例中,所述第三获取模块61包括:
第三获取子模块,用于通过近场通信接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端和所述安全认证设备均开启近场通讯功能。
需要说明的是,本发明实施例提供的客户端是应用上述安全认证方法的客户端,则上述安全认证方法是所有实施例均适用于该客户端,且均能达到相同或相似的有益效果。
为了更好的实现上述目的,如图7所示,本发明实施例还提供一种认证服务器,包括:
第一接收模块71,用于接收安全认证设备发送的初始化请求,根据所述初始化请求为所述安全认证设备分配唯一的标识号,并根据所述唯一的标识号生成所述安全认证设备的多个认证串,以完成所述安全认证设备的初始化;
第二接收模块72,用于接收客户端发送的一个或多个认证串;
认证模块73,用于根据所述一个或多个认证串对所述客户端进行认证,若认证通过则完成所述客户端的认证;其中,所述一个或多个认证串为所述客户端从所述完成初始化的安全认证设备中获取的。
具体的,本发明上述实施例中,所述第一接收模块71包括:
分配模块,用于根据所述安全认证设备发送初始化请求的时间及所述安全认证设备的序号,为所述安全认证设备分配唯一的标识号;
第一生成模块,用于利用预设的不可逆函数对所述标识号进行处理,生成所述安全认证设备的多个动态口令;
倒置模块,用于将所述多个动态口令倒置顺序后得到一序列;
第二生成模块,用于将所述序列中的多个动态口令分别与所述安全认证设备的标识号合并后生成多个认证串;
保存模块,用于在本地保存所述多个认证串,并将所述多个认证串发送至所述安全认证设备,使得所述安全认证设备的初始化完成。
具体的,本发明上述实施例中,所述认证模块73包括:
第一拆分模块,用于分别将所述一个或多个认证串拆分为所述安全认证设备的标识号和所述安全认证设备的动态口令;
第二获取模块,用于根据所述安全认证设备的标识号,获取所述认证服务器本地保存的该安全认证设备的认证串;
比对模块,用于所述认证服务器将拆分所述认证串得到的动态口令分别与所述认证服务器本地保存的认证串中的动态口令进行比对;
认证子模块,用于若比对成功,则认证通过,所述认证服务器完成对所述客户端的认证。
需要说明的是,本发明实施例提供的认证服务器是应用上述安全认证方法的认证服务器,则上述安全认证方法是所有实施例均适用于该认证服务器,且均能达到相同或相似的有益效果。
为了更好的实现上述目的,本发明实施例还提供一种系统,包括如上所述的认证服务器、安全认证设备以及如上所述的装置。
本发明实施例提供的系统中,通过认证服务器根据安全认证设备的标识号作为初始种子经过计算处理后生成由多个动态口令组成的序列,进而完成安全认证设备的初始化;然后将安全认证设备和客户端进行绑定,最终通过客户端从安全认证设备上获取认证串并发送至认证服务器来实现客户端的安全认证,大大提高了安全性和适用性。
当需要使用某一个安全认证设备时,首先需要将安全认证设备绑定在客户端对应的账号(如用户名)上:
首先需要使用传统用户名、密码登陆应用,然后将用户与某一个安全认证设备进行绑定。如果该设备具有USB接口可以将该令牌设备插入USB接口,开启需要认证的应用,并且连续5次按下按键,此时应用获得5个连续的认证串,并且将其发送到认证服务器认证;如果该设备没有USB接口,可以采用设备摄像头捕捉显示在电子墨水屏上的二维码,并将其转换成认证串,同样的,图像采集也需要连续进行5次,并将其发送到认证服务器。认证服务器通过API接收客户端发来的请求,会根据前12位ID找对应的序列,并且比对连续的5个一次一密密码,如果匹配失败服务器通过API发送绑定失败消息;如果匹配成功则发送绑定成功消息。并且从序列中删除匹配过的一次一密密码。
当安全认证设备绑定成功后,绑定用户与安全认证设备就形成了一一对应关系,当用户需要登陆时,需要进行如下操作:
首先使用传统用户名、密码登陆;将手持令牌插入设备USB接口,按下按键,44位一次一密密码将发送到认证应用,再由API发送到认证服务器进行认证,如果认证失败,应用将拒绝登陆,如果认证成功,将从序列中删除当前一次一密密码,并且授权登陆;如果手持设备没有USB接口,可以使用摄像头拍摄电子墨水屏上的二维码,并且通过应用转化为认证串发送到服务器,再由API发送到服务器进行认证,如果认证失败,应用将拒绝登陆,如果认证成功,将从序列中删除当前一次一密密码,并且授权登陆;如果手机具有NFC近场通讯模块,可以使用NFC进行验证。首先开启手持令牌的NFC功能,将它靠近具有NFC的手机,并开启手机上的对应应用,再由API发送到服务器进行认证,如果认证失败,应用将拒绝登陆,如果认证成功,将从序列中删除当前一次一密密码,并且授权登陆。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (16)
1.一种安全认证方法,应用于客户端侧,其特征在于,包括:
所述客户端从安全认证设备中获取一个或多个认证串;
所述客户端将所述一个或多个认证串发送至认证服务器,使得所述认证服务器能够根据所述一个或多个认证串对所述客户端及安全认证设备进行安全认证。
2.根据权利要求1所述的安全认证方法,其特征在于,所述客户端从安全认证设备中获取一个或多个认证串,具体为:
所述客户端通过USB接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端与所述安全认证设备通过所述USB接口连接。
3.根据权利要求1所述的安全认证方法,其特征在于,所述客户端从安全认证设备中获取一个或多个认证串,具体为:
所述客户端通过读取所述安全认证设备上显示的图形,并对所述图形进行解析来获取一个或多个认证串,其中,所述图形是所述安全认证设备根据所述认证串转化得到。
4.根据权利要求1所述的安全认证方法,其特征在于,所述客户端从安全认证设备中获取一个或多个认证串,具体为:
所述客户端通过近场通信接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端和所述安全认证设备均开启对应的近场通信接口。
5.一种安全认证方法,应用于认证服务器侧,其特征在于,包括:
所述认证服务器接收安全认证设备发送的初始化请求,根据所述初始化请求为所述安全认证设备分配唯一的标识号,并根据所述唯一的标识号生成所述安全认证设备的多个认证串,完成所述安全认证设备的初始化;
所述认证服务器接收客户端发送的一个或多个认证串;
所述认证服务器根据所述一个或多个认证串对所述客户端进行认证,若认证通过则完成所述客户端的认证;其中,所述一个或多个认证串为所述客户端从所述完成初始化的安全认证设备中获取的。
6.根据权利要求5所述的安全认证方法,其特征在于,所述第一请求中携带的连续多个认证串和所述第二请求中携带的认证串均采用一次一密形式;
所述客户端从所述安全认证设备中获取认证串后,所述客户端将所述认证串删除,所述认证服务器将已经认证的认证串删除。
7.根据权利要求5所述的安全认证方法,其特征在于,所述认证服务器接收安全认证设备发送的初始化请求,根据所述初始化请求为所述安全认证设备分配唯一的标识号,并根据所述唯一的标识号生成所述安全认证设备的多个认证串,以完成所述安全认证设备的初始化,具体包括:
所述认证服务器根据所述安全认证设备发送初始化请求的时间及所述安全认证设备的序号,为所述安全认证设备分配唯一的标识号;
所述认证服务器利用预设的不可逆函数对所述标识号进行处理,生成所述安全认证设备的多个动态口令;
所述认证服务器将所述多个动态口令倒置顺序后得到一序列;
所述认证服务器将所述序列中的多个动态口令分别与所述安全认证设备的标识号合并后生成多个认证串;
所述认证服务器在本地保存所述多个认证串,并将所述多个认证串发送至所述安全认证设备,使得所述安全认证设备的初始化完成。
8.根据权利要求7所述的安全认证方法,其特征在于,所述认证服务器根据所述一个或多个认证串对所述客户端进行认证,若认证通过则完成所述客户端的认证,具体包括:
所述认证服务器分别将所述一个或多个认证串拆分为所述安全认证设备的标识号和所述安全认证设备的动态口令;
所述认证服务器根据所述安全认证设备的标识号,获取所述认证服务器本地保存的该安全认证设备的认证串;
所述认证服务器将拆分所述认证串得到的动态口令分别与所述认证服务器本地保存的认证串中的动态口令进行比对;
若比对成功,则认证通过,所述认证服务器完成对所述客户端的认证。
9.一种装置,应用于客户端侧,其特征在于,包括:
第三获取模块,用于从安全认证设备中获取一个或多个认证串;
发送模块,用于所述客户端将所述一个或多个认证串发送至认证服务器,使得所述认证服务器能够根据所述一个或多个认证串对所述客户端及安全认证设备进行安全认证。
10.根据权利要求9所述的装置,其特征在于,所述第三获取模块包括:
第一获取子模块,用于通过USB接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端与所述安全认证设备通过所述USB接口连接。
11.根据权利要求9所述的装置,其特征在于,所述第三获取模块包括:
第二获取子模块,用于通过读取所述安全认证设备上显示的图形,并对所述图形进行解析来获取一个或多个认证串,其中,所述图形是所述安全认证设备根据所述认证串转化得到。
12.根据权利要求9所述的装置,其特征在于,所述第三获取模块包括:
第三获取子模块,用于通过近场通信接口从所述安全认证设备中获取一个或多个认证串,其中,所述客户端和所述安全认证设备均开启对应的近场通信接口。
13.一种认证服务器,其特征在于,包括:
第一接收模块,用于接收安全认证设备发送的初始化请求,根据所述初始化请求为所述安全认证设备分配唯一的标识号,并根据所述唯一的标识号生成所述安全认证设备的多个认证串,完成所述安全认证设备的初始化;
第二接收模块,用于接收客户端发送的一个或多个认证串;
认证模块,用于根据所述一个或多个认证串对所述客户端进行认证,若认证通过则完成所述客户端的认证;其中,所述一个或多个认证串为所述客户端从所述完成初始化的安全认证设备中获取的。
14.根据权利要求13所述的认证服务器,其特征在于,所述第一接收模块包括:
分配模块,用于根据所述安全认证设备发送初始化请求的时间及所述安全认证设备的序号,为所述安全认证设备分配唯一的标识号;
第一生成模块,用于利用预设的不可逆函数对所述标识号进行处理,生成所述安全认证设备的多个动态口令;
倒置模块,用于将所述多个动态口令倒置顺序后得到一序列;
第二生成模块,用于将所述序列中的多个动态口令分别与所述安全认证设备的标识号合并后生成多个认证串;
保存模块,用于在本地保存所述多个认证串,并将所述多个认证串发送至所述安全认证设备,使得所述安全认证设备的初始化完成。
15.根据权利要求14所述的认证服务器,其特征在于,所述认证模块包括:
第一拆分模块,用于分别将所述一个或多个认证串拆分为所述安全认证设备的标识号和所述安全认证设备的动态口令;
第二获取模块,用于根据所述安全认证设备的标识号,获取所述认证服务器本地保存的该安全认证设备的认证串;
比对模块,用于所述认证服务器将拆分所述认证串得到的动态口令分别与所述认证服务器本地保存的认证串中的动态口令进行比对;
认证子模块,用于若比对成功,则认证通过,所述认证服务器完成对所述客户端的认证。
16.一种系统,其特征在于,包括如权利要求9至12任一项所述的装置、安全认证设备以及如权利要求13至15任一项所述的认证服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410652297.XA CN105681247A (zh) | 2014-11-17 | 2014-11-17 | 一种安全认证方法、装置、认证服务器及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410652297.XA CN105681247A (zh) | 2014-11-17 | 2014-11-17 | 一种安全认证方法、装置、认证服务器及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105681247A true CN105681247A (zh) | 2016-06-15 |
Family
ID=56945619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410652297.XA Pending CN105681247A (zh) | 2014-11-17 | 2014-11-17 | 一种安全认证方法、装置、认证服务器及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105681247A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107046529A (zh) * | 2017-01-05 | 2017-08-15 | 同济大学 | 一种基于hash加密的车路协同安全通信方法 |
| CN112600865A (zh) * | 2021-03-08 | 2021-04-02 | 南京怡晟安全技术研究院有限公司 | 物联网设备可靠的身份与版本信息认证方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030072451A1 (en) * | 2001-10-16 | 2003-04-17 | Pimentel Roberto J. | Method and apparatus for securely transferring wireless data |
| CN102298683A (zh) * | 2010-06-22 | 2011-12-28 | 国民技术股份有限公司 | 一种具有短距离射频通讯认证的认证装置、系统及方法 |
| CN103259667A (zh) * | 2013-06-07 | 2013-08-21 | 北京邮电大学 | 移动终端上eID身份认证的方法及系统 |
| CN104065652A (zh) * | 2014-06-09 | 2014-09-24 | 韩晟 | 一种身份验证方法、装置、系统及相关设备 |
-
2014
- 2014-11-17 CN CN201410652297.XA patent/CN105681247A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030072451A1 (en) * | 2001-10-16 | 2003-04-17 | Pimentel Roberto J. | Method and apparatus for securely transferring wireless data |
| CN102298683A (zh) * | 2010-06-22 | 2011-12-28 | 国民技术股份有限公司 | 一种具有短距离射频通讯认证的认证装置、系统及方法 |
| CN103259667A (zh) * | 2013-06-07 | 2013-08-21 | 北京邮电大学 | 移动终端上eID身份认证的方法及系统 |
| CN104065652A (zh) * | 2014-06-09 | 2014-09-24 | 韩晟 | 一种身份验证方法、装置、系统及相关设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107046529A (zh) * | 2017-01-05 | 2017-08-15 | 同济大学 | 一种基于hash加密的车路协同安全通信方法 |
| CN107046529B (zh) * | 2017-01-05 | 2020-03-24 | 同济大学 | 一种基于hash加密的车路协同安全通信方法 |
| CN112600865A (zh) * | 2021-03-08 | 2021-04-02 | 南京怡晟安全技术研究院有限公司 | 物联网设备可靠的身份与版本信息认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965230B (zh) | 一种安全通信方法、系统及终端设备 | |
| EP4016920A1 (en) | Confidential authentication and provisioning | |
| US20210399895A1 (en) | Systems and Methods for Single-Step Out-of-Band Authentication | |
| CN101741843B (zh) | 利用公钥基础设施实现用户身份验证的方法、设备及系统 | |
| CN113612605B (zh) | 使用对称密码技术增强mqtt协议身份认证方法、系统和设备 | |
| US20090150989A1 (en) | User authentication | |
| CN106330850A (zh) | 一种基于生物特征的安全校验方法及客户端、服务器 | |
| CN108737323B (zh) | 一种数字签名方法、装置及系统 | |
| RU2017140260A (ru) | Аутентификация в распределенной среде | |
| CN106470190A (zh) | 一种Web实时通信平台鉴权接入方法及装置 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN103532966A (zh) | 一种支持基于usb key单点登录虚拟桌面的装置及方法 | |
| EP3724798B1 (en) | Method for authenticating a user based on an image relation rule and corresponding first user device, server and system | |
| CN104486087B (zh) | 一种基于远程硬件安全模块的数字签名方法 | |
| CN106936790A (zh) | 基于数字证书实现客户端和服务器端进行双向认证的方法 | |
| CN101662458A (zh) | 一种认证方法 | |
| CN104735065A (zh) | 一种数据处理方法、电子设备及服务器 | |
| CN102364888B (zh) | 动态令牌密钥因子的设置方法、系统、终端及验证服务器 | |
| CN105553654A (zh) | 密钥信息查询处理方法和装置、密钥信息管理系统 | |
| CN104426659A (zh) | 动态口令生成方法、认证方法及系统、相应设备 | |
| CN109005144A (zh) | 一种身份认证方法、设备、介质和系统 | |
| CN105554008A (zh) | 用户终端、认证服务器、中间服务器、系统和传送方法 | |
| CN108616359A (zh) | 一种基于二维码的otp认证方法及系统 | |
| CN104918245B (zh) | 一种身份认证方法、装置、服务器及客户端 | |
| CN105681247A (zh) | 一种安全认证方法、装置、认证服务器及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160615 |
|
| RJ01 | Rejection of invention patent application after publication |