CN108322310A - 一种利用安全设备读卡登录方法及安全登录系统 - Google Patents
一种利用安全设备读卡登录方法及安全登录系统 Download PDFInfo
- Publication number
- CN108322310A CN108322310A CN201711458795.0A CN201711458795A CN108322310A CN 108322310 A CN108322310 A CN 108322310A CN 201711458795 A CN201711458795 A CN 201711458795A CN 108322310 A CN108322310 A CN 108322310A
- Authority
- CN
- China
- Prior art keywords
- card
- safety equipment
- smart card
- process end
- login process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种利用安全设备读卡登录方法和安全登录系统,其中方法包括:安全设备获取触发指令进行寻卡后控制读卡器向智能卡发送读卡指令,智能卡获取登录信息并向安全设备发送,安全芯片根据登录信息生成登录请求并向登录处理端发送,登录处理端根据登录请求获取登录信息并生成校验因子,向安全设备发送校验因子,智能卡通过安全设备接收校验因子,至少对校验因子签名得到签名信息,并向安全设备发送包含签名信息的校验信息,登录处理端通过安全设备接收校验信息,在验证用户账户和密码通过且签名通过时,执行登录操作。通过本发明的利用安全设备读卡登录方法,不仅可以快速地登录系统,还保证了用户账户的安全性。
Description
技术领域
本发明涉及一种电子技术领域,尤其涉及一种利用安全设备读卡登录方法及安全登录系统。
背景技术
在现有技术中,员工在登录到办公系统时需要通过键盘输入账户和密码进行登录,键盘木马程序等恶意软件可以截获用户在键盘处理的数据,每当键盘向所连接的主机发送数据时,在数据到达主机的目的接口之前,木马程序截获该数据,对用户数据进行监听和篡改,进而控制用户对键盘的操作。
将带有密钥运算功能的安全设备作为前端数据输入设备能够保护用户键入的数据安全,可以防止键盘输入的数据被监听和篡改。安全设备带有读卡器接口时,现有技术中并没有通过安全设备的读卡器读卡来进行登录的方法。
发明内容
本发明旨在解决上述问题之一。
本发明的主要目的在于提供一种利用安全设备读卡登录方法;
本发明的另一目的在于提供一种安全登录系统。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明一方面提供了一种利用安全设备读卡登录方法,所述安全设备包括:安全芯片、读卡器和通讯接口;所述方法包括:所述安全设备获取触发指令;所述安全芯片在所述安全设备获取所述触发指令之后,控制所述读卡器向外发送寻卡指令;智能卡接收所述寻卡指令,向所述安全设备发送寻卡响应;所述安全芯片控制所述读卡器接收所述寻卡响应后,并控制所述读卡器向所述智能卡发送读卡指令;所述智能卡接收所述读卡指令,获取登录信息,所述登录信息至少包括:用户账号和密码;所述智能卡向所述安全设备发送所述登录信息;所述安全芯片控制所述读卡器接收所述登录信息,根据所述登录信息生成登录请求,并调用通讯接口向登录处理端发送所述登录请求;所述登录处理端接收所述登录请求,根据所述登录请求获取所述登录信息,并生成校验因子;所述登录处理端向所述安全设备的所述通讯接口发送所述校验因子;所述安全设备通过所述通讯接口接收所述校验因子,并控制所述读卡器向所述智能卡发送所述校验因子;所述智能卡接收所述校验因子,获取智能卡的私钥,至少对所述校验因子进行哈希运算后获得第一摘要信息,利用所述智能卡的私钥对所述摘要信息进行加密得到签名信息;或者,所述智能卡接收所述校验因子,获取对称密钥,利用所述对称密钥至少对所述校验因子进行单向加密运算得到第一单向加密信息;所述智能卡向所述安全设备发送校验信息,所述校验信息包括:所述签名信息或所述第一单向加密信息;所述安全芯片控制所述读卡器接收所述校验信息,并调用所述通讯接口向所述登录处理端发送所述校验信息;所述登录处理端接收所述校验信息,根据所述登录信息获取所述用户帐号和所述密码,并对所述用户帐号和所述密码进行验证,根据所述校验信息获取所述签名信息或所述第一单向加密信息,当获取到的是所述签名信息时,所述登录处理端获取与所述用户帐号对应的智能卡的证书,根据所述智能卡的证书获取智能卡的公钥,利用所述智能卡的公钥对所述签名信息进行解密获得所述第一摘要信息,并至少对所述校验因子进行哈希运算后获得第二摘要信息,将所述第一摘要信息和所述第二摘要信息进行比对,在验证所述用户账户和所述密码通过且比对所述第一摘要信息和所述第二摘要信息一致时,执行登录操作;或者当获取到的是所述第一单向加密信息时,所述登录处理端获取所述对称密钥,利用所述对称密钥对所述校验因子进行所述单向加密运算得到第二单向加密信息,将所述第一单向加密信息和所述第二单向加密信息进行比对,在验证所述用户帐号和所述密码通过且比对所述第一单向加密信息和所述第二单向加密信息一致时,执行登录操作。
此外,所述读卡器包括:第一读卡模块和第二读卡模块;所述方法还包括:所述安全设备控制所述第一读卡模块或所述第二读卡模块发送轮询信号;所述智能卡接收所述轮询信号并返回轮询响应;所述安全设备在预设时间内未接收到所述轮询响应时,通过所述通讯接口通知所述登录处理端执行登出操作。
此外,所述登录处理端执行登录操作包括:所述登录处理端开启所述用户帐号对应的权限;所述登录处理端与所述智能卡协商授权密钥,并向所述安全设备的所述通讯接口发送所述授权密钥;所述安全设备通过所述通讯接口接收所述授权密钥,存储所述授权密钥。
此外,所述读卡器包括:第一读卡模块和第二读卡模块;所述方法还包括:所述安全设备控制所述第一读卡模块或所述第二读卡模块发送轮询信号;所述智能卡接收所述轮询信号并返回轮询响应;所述安全设备在预设时间内未接收到所述轮询响应时,删除所述授权密钥,并通过所述通讯接口通知所述登录处理端执行登出操作。
本发明还提供一种安全登录系统,所述系统包括:智能卡、安全设备和登录处理端,所述安全设备包括:安全芯片、读卡器和通讯接口;所述安全设备,用于获取触发指令;其中,所述安全芯片获取所述触发指令之后,控制所述读卡器向外发送寻卡指令,并在控制所述读卡器接收所述寻卡响应后控制所述读卡器向所述智能卡发送读卡指令,并控制所述读卡器接收所述登录信息,根据所述登录信息生成登录请求,并调用通讯接口向登录处理端发送所述登录请求;所述安全设备,还用于通过所述通讯接口接收所述校验因子,并控制所述读卡器向所述智能卡发送所述校验因子,其中,所述安全芯片还用于控制所述读卡器接收所述校验信息,并调用所述通讯接口向所述登录处理端发送所述校验信息;所述智能卡,用于接收所述寻卡指令,向所述安全设备发送寻卡响应,并接收所述读卡指令,获取登录信息,所述登录信息至少包括:用户账号和密码,向所述安全设备发送所述登录信息;所述智能卡,还用于接收所述校验因子,获取智能卡的私钥,至少对所述校验因子进行哈希运算后获得第一摘要信息,利用所述智能卡的私钥对所述摘要信息进行加密得到签名信息或者,所述智能卡,用于接收所述校验因子,获取对称密钥,利用所述对称密钥至少对所述校验因子进行单向加密运算得到第一单向加密信息;所述智能卡还用于并向所述安全设备发送校验信息,所述校验信息包括:所述签名信息或所述第一单向加密信息;所述登录处理端,用于接收所述登录请求,根据所述登录请求获取所述登录信息,并生成校验因子,并向所述安全设备的所述通讯接口发送所述校验因子;所述登录处理端,还用于接收所述校验信息,根据所述登录信息获取所述用户帐号和所述密码,并对所述用户帐号和所述密码进行验证,根据所述校验信息获取所述签名信息或所述第一单向加密信息,当获取到的是所述签名信息时,所述登录处理端获取与所述用户帐号对应的智能卡的证书,根据所述智能卡的证书获取智能卡的公钥,利用所述智能卡的公钥对所述签名信息进行解密获得所述第一摘要信息,并至少对所述校验因子进行哈希运算后获得第二摘要信息,将所述第一摘要信息和所述第二摘要信息进行比对,在验证所述用户账户和所述密码通过且比对所述第一摘要信息和所述第二摘要信息一致时,执行登录操作;或者当获取到的是所述第一单向加密信息时,所述登录处理端获取所述对称密钥,利用所述对称密钥对所述校验因子进行所述单向加密运算得到第二单向加密信息,将所述第一单向加密信息和所述第二单向加密信息进行比对,在验证所述用户帐号和所述密码通过且比对所述第一单向加密信息和所述第二单向加密信息一致时,执行登录操作。
此外,所述读卡器包括:第一读卡模块和第二读卡模块;所述安全设备,还用于控制所述第一读卡模块或所述第二读卡模块发送轮询信号,并在预设时间内未接收到所述轮询响应时,通过所述通讯接口通知所述登录处理端执行登出操作;所述智能卡,还用于接收所述轮询信号并返回轮询响应。
此外,在所述登录处理端执行登录操作时:所述登录处理端,还用于开启所述用户帐号对应的权限,并与所述智能卡协商授权密钥,并向所述安全设备的所述通讯接口发送所述授权密钥;所述安全设备,还用于通过所述通讯接口接收所述授权密钥,存储所述授权密钥。
此外,所述读卡器包括:第一读卡模块和第二读卡模块;所述安全设备,还用于控制所述第一读卡模块或所述第二读卡模块发送轮询信号,并在预设时间内未接收到所述轮询响应时,删除所述授权密钥,并通过所述通讯接口通知所述登录处理端执行登出操作;所述智能卡,还用于接收所述轮询信号并返回轮询响应。
由上述本发明提供的技术方案可以看出,本发明提供了一种利用安全设备读卡登录方法和安全登录系统,通过本发明的利用安全设备读卡登录方法,可以使得持有智能卡的用户可以通过读卡的方式、利用安全设备安全地登录到登录处理端,不仅可以快速地登录系统,还保证了用户账户的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例1提供的利用安全设备读卡登录方法的流程图;
图2为本发明实施例1提供的安全登录系统结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
本发明基于一种安全登录系统,该安全登录系统包括安全设备、智能卡和登录处理端。安全设备可以与智能卡进行通信,与智能卡进行数据交互,安全设备还可以与登录处理端进行通讯,安全设备可以直接与登录处理端进行数据交互,也可以通过与安全设备连接的客户端主机(PC端或其他终端)与登录处理端进行数据交互。该安全设备可以是一个安全键盘,该安全键盘具备现有的键盘功能,用户可以使用该安全键盘进行按键输入操作,安全芯片、读卡器和通讯接口均内置在该安全键盘中;该安全设备也可以是一个普通键盘和安全盒子,该普通键盘具备现有的键盘功能,该安全盒子中设置有安全芯片、读卡器和通讯接口,该安全盒子和普通键盘通过有线或者无线接口连接通信;该安全设备还可以是其他智能设备,例如ipad电脑、笔记本电脑、手机等,其内置安全芯片、读卡器和通讯接口;该安全设备还可以是其他智能设备和安全盒子,该安全盒子中设置有安全芯片、读卡器和通讯接口,该安全盒子和其他智能设备通过有线或者无线接口连接通信。
该智能卡是带有芯片的能够进行密钥运算(加密、签名)的卡,智能卡中存储有个人身份信息,具有存储空间,存储有与用户身份对应的私钥,利用该智能卡标识用户的身份,使得用户借助于智能卡登录到系统。智能卡上可以设置有显示屏(可以是触屏显示屏)和按键等,可以通过显示屏显示信息、通过按键或触屏接收信息输入。该智能卡可以能够通过RF、NFC、蓝牙等方式与安全设备进行通信,该智能卡可以是仅支持一种通信功能的智能卡,也可以是带有多种通信功能的智能卡,例如,该智能卡可以既通过NFC与安全设备连接,也可以通过蓝牙与安全设备连接,在不同的通信场合使用不同的通信方式,以分别实现不同通信方式的优势。该智能卡可以做成传统的卡片形状,也可以做成U盘等小型便携的设备形状,还可以是一个卡片形状的电子签名设备。
本发明的安全登录系统中的登录处理端一般位于后台服务器侧,登录处理端可以通过网络接口(有线接口或无线接口)直接连接到安全设备进行数据交互,也可以通过安全设备侧的客户端主机(PC端或其他终端)与安全设备进行数据交互。在某些情况下,登录处理端可以位于安全设备侧,例如,登录处理端设置在安全设备侧的客户端主机(PC端或其他终端)中。可见,本发明并不限定登录端和登录处理端的设置形态,只要是能够进行通信均可。
实施例1
本实施例提供一种利用安全设备读卡登录方法,该安全设备包括安全芯片、读卡器和通讯接口;该安全设备通过读卡器与智能卡连接进行通讯,通过通讯接口连接登录处理端进行通讯。根据前述,安全设备可以有多种形态,当该安全设备集成了键盘功能时,可以作为输入设备与PC或其他设备连接以输入数据,当该安全设备不带键盘时,可以通过触屏输入、语音输入等其他方式向PC或其他设备连接以输入数据。安全设备包括了安全芯片,该安全芯片作为安全设备的主控芯片,控制安全设备中其他模块的运行,该安全芯片中存储有密钥,可以进行密钥运算(加密、解密或签名等运算)。安全设备的读卡器可以是接触式读卡器,也可以是非接触式读卡器(如RF、NFC、蓝牙等),且读卡器可以同时兼具多种读卡通讯模式,例如可以兼具RF、NFC和蓝牙通讯模式。当读卡器为非接触式读卡器时,智能卡一旦进入到安全设备读卡器的通信范围内,即可与安全设备的读卡器连接并通信。安全设备上设置的通讯接口可以是网络通讯接口(有线网络接口、wifi接口、无线网络接口等),通过网络通讯接口直接与登录处理端连接进行数据通讯;安全设备上设置的通讯接口也可以连接到客户端主机的接口,如USB接口、串口、wifi、蓝牙、NFC等,以使得安全设备可以通过客户端主机与登录处理端进行数据交互。
基于此,如图1所示,本实施例提供的利用安全设备读卡登录方法包括:
步骤S101,安全设备获取触发指令。具体的,安全设备可以接收物理触发或者软件触发,用户可以通过设置在安全设备上的按键或按钮来触发向安全设备发送触发指令;安全设备也可以接收登录处理端发送的触发指令;安全设备还可以是设定检测设备来检测到是否需要触发,从而生成触发指令,例如,安全设备上可以设置摄像头、红外等检测设备,一旦检测到人体,即生成触发指令。该触发指令用于触发安全设备开始寻卡的操作,根据安全设备读卡器通讯方式的不同,可以根据需要开启不同的寻卡流程,例如可以根据通讯需要开启NFC寻卡流程。
步骤S102,安全芯片在安全设备获取触发指令之后,控制读卡器向外发送寻卡指令。具体的,安全芯片在作为安全设备的主控芯片,在安全设备获取了触发指令后,需要控制读卡器开启寻卡流程,向外广播发送寻卡指令,该寻卡指令可以是NFC寻卡指令。
步骤S103,智能卡接收寻卡指令,向安全设备发送寻卡响应。具体的,在智能卡进入到安全设备的通讯范围内时,能够接收到安全设备发送的寻卡指令,并根据寻卡指令向安全设备发送相应的寻卡响应。寻卡响应中可以包括智能卡的标识信息。在本发明的一个可选实施方式中,如果智能卡和安全设备的读卡器皆兼具NFC和蓝牙通讯模式时,当智能卡通过NFC接收到寻卡指令时,智能卡在向安全设备发送的寻卡响应中还可以包括蓝牙配对信息,以便安全设备在接收到蓝牙配对信息后,能够利用该蓝牙配对信息与智能卡进行蓝牙配对,从而在后续的交互中跟智能卡利用蓝牙进行通信,一方面可以省略蓝牙配对的繁复过程,一方面通过蓝牙通讯来提高通信效率。
步骤S104,安全芯片控制读卡器接收寻卡响应后,并控制读卡器向智能卡发送读卡指令。具体的,安全芯片在接收到寻卡响应后,获取寻卡响应中包含的智能卡的信息,确定了需要进行通讯的智能卡,即完成寻卡流程,则此时控制读卡器开启读卡流程,向智能卡发送读卡指令。读卡指令用于指示智能卡发送登录所需要的信息。
步骤S105,智能卡接收读卡指令,获取登录信息,登录信息至少包括:用户账号和密码;具体的,经过用户的授权,智能卡中可以预存有用户登录所需要的信息,至少包括用户账户和密码等信息,密码可以是字符形式,也可以是生物特征形式的密码,如指纹等。智能卡也可以在此时获取到登录信息,即用户通过智能卡的输入设备向智能卡输入登录信息,例如,用户通过智能卡的屏幕按键或物理按键输入用户账户和密码,或者通过智能卡的生物识别板输入生物密码信息。
步骤S106,智能卡向安全设备发送登录信息。在智能卡具有多种通讯方式时,可以采用寻卡时所使用的通讯模式向安全设备发送登录信息,也可以切换一种通讯模式向安全设备发送登录信息。例如,当安全设备在寻卡时使用NFC通讯方式时,此时智能卡向安全设备发送登录信息时,可以继续采用NFC通讯方式,也可以切换方式采用蓝牙通讯方式。此外,为了数据传输的安全,智能卡向安全设备发送登录信息时,可以将登录信息加密后发送。
步骤S107,安全芯片控制读卡器接收登录信息,根据登录信息生成登录请求,并调用通讯接口向登录处理端发送登录请求。具体的,安全设备接收到包含用户帐号和密码的登录信息后,需要向登录处理端发送用户帐号和密码去进行验证,故此,安全设备利用登录信息生成登录请求,并将该登录请求发送至登录处理端。当然,如果安全设备接收到的是加密的登录信息,需要使用相应的密钥解密。登录请求中除了包含智能卡发送来的登录信息,还可以包括其他标识智能卡或安全设备的信息,例如可以标识智能卡的ID信息或标识安全设备的ID信息等。登录请求中还可以包含指示登录处理端执行下一步处理的指示信息,例如,指示登录处理端根据登录信息生成校验因子。在发送登录请求时,安全设备可以将登录请求进行加密处理后发送给登录处理端,以保证数据传输安全。
步骤S108,登录处理端接收登录请求,根据登录请求获取登录信息,并生成校验因子。具体的,登录处理端在接收到登录请求后,从登录请求中获取所包含的登录信息。当然,如果登录请求是加密后的信息,则还需要先对其进行解密后获取登录信息。登录处理端在接收到登录请求后,根据登录请求的指示,执行生成校验因子的步骤。校验因子可以是根据随机数或者其他字符串生成,也可以是根据登录信息中的部分信息生成,以便登录处理端发送给其他设备校验其他设备的真实性。校验因子也可以进行加密处理后再发送,以保证数据传输安全。
步骤S109,登录处理端向安全设备的通讯接口发送校验因子。具体的,登录端在接收到校验因子后,如果是加密的校验因子,则利用匹配的密钥先解密校验因子,解密后发送给安全设备。如果登录端与安全设备之间的数据传输需要加密传输,登录端也可以利用与安全设备匹配的密钥对校验因子再次加密后发送给安全设备。根据前述,登录处理端可以直接向安全设备发送校验因子,也可以通过安全设备侧的客户端主机向安全设备发送校验因子,在此不再赘述。
步骤S110,安全设备通过通讯接口接收校验因子,并控制读卡器向智能卡发送校验因子。具体的,安全设备通过通讯接口接收校验因子,则安全设备的安全芯片获取校验因子。在接收到校验因子后,安全芯片需要控制读卡器向所连接的智能卡发送校验因子。此时读卡器需要判断此时是否有智能卡连接到该安全设备,如果读卡器连接有智能卡,则读卡器直接将该校验因子发送给所连接的智能卡。如果连接的该智能卡是利用蓝牙通信的智能卡,还在建立连接之前先进行蓝牙匹配。根据前述,安全设备可以直接接收登录处理端发送的校验因子,也可以通过安全设备侧的客户端主机接收登录处理端发送的校验因子,在此不再赘述。
此外,本发明的读卡器可以包含多个读卡模块,例如,可以既有NFC读卡模块又有蓝牙读卡模块,当安全芯片控制读卡器向智能卡发送校验因子时,可以选择通过NFC或者蓝牙的方式发送校验因子。
步骤S111,智能卡接收校验因子,获取智能卡的私钥,至少对校验因子进行哈希运算后获得第一摘要信息,利用智能卡的私钥对摘要信息进行加密得到签名信息;或者,智能卡接收校验因子,获取对称密钥,利用对称密钥至少对校验因子进行单向加密运算得到第一单向加密信息。具体的,智能卡在对校验因子进行处理时,可能采取多种处理方式,例如,智能卡可以在接收到校验因子后,获取自身存储的私钥,对校验因子利用哈希算法(散列算法)进行运算获得摘要值,再利用自身的私钥对摘要值进行加密后即获得签名数据。再如,智能卡也可以获取对称密钥,该对称密钥可以是预先存储在智能卡当中,也可以是智能卡向外部获取得到,还可以是在智能卡内部生成的,智能卡利用该对称密钥进行单向加密运算(不可逆的运算)从而获取单向加密信息,以便接收方能够利用同样的对称密钥对该单向加密信息进行验证。当然,智能卡中存储有用户帐号和密码时,智能卡在签名或加密的时候,不仅可以将校验因子进行签名或加密,还可以在签名时对校验因子、用户帐号和密码一起签名或加密。
步骤S112,智能卡向安全设备发送校验信息,校验信息包括:签名信息或第一单向加密信息。具体的,根据安全设备发送校验因子所用的读卡模块,智能卡采用与所用读卡模块相应的通讯方式向安全设备发送校验信息。智能卡在发送校验信息时,为了保证传输的安全性,可以将校验信息进行加密传输。此外,在智能卡利用私钥进行签名处理的情况下,智能卡在发送校验信息时,还可以包含智能卡私钥对应的证书或公钥,智能卡可以直接将公钥发送,保证接收方在接收到签名信息后能够利用公钥来验证签名信息;也可以将包含有公钥的证书发送,既保证接收方在接收到签名信息后能够利用公钥来验证签名信息,又保证接收方能够对公钥自身的真实性进行验证。在智能卡利用对称密钥进行处理的情况下,如果该对称密钥是智能卡生成的,则智能卡还将对称密钥一并发送出去,以便接收方能够使用该对称密钥对校验信息进行验证。
步骤S113,安全芯片控制读卡器接收校验信息,并调用通讯接口向登录处理端发送校验信息;具体的,安全设备接收到智能卡发送的校验信息后,安全芯片根据安全设备与登录处理端之间的数据传输方式,调用相应的通讯接口向登录处理端发送校验信息。根据前述,安全设备可以直接向登录处理端发送校验信息,也可以通过安全设备侧的客户端主机向登录处理端发送校验信息。例如,当安全设备与登录处理端处于短距离通信范围内,其两者可以通过有线接口连接(USB接口等)或无线接口连接(wifi、蓝牙、NFC等),则安全芯片调用相应的通讯接口发送数据;当安全设备和登录处理端异地安置,则安全设备调用有线网络接口或无线网络接口通过互联网、局域网等网络向登录处理端发送校验信息。
步骤S114,登录处理端接收校验信息,根据登录信息获取用户帐号和密码,并对用户帐号和密码进行验证,根据校验信息获取签名信息或第一单向加密信息;当获取到的是签名信息时,执行步骤S111,或者当获取到的是第一单向加密信息时,执行步骤S115。
步骤S115,登录处理端获取与用户帐号对应的智能卡的证书,根据智能卡的证书获取智能卡的公钥,利用智能卡的公钥对签名信息进行解密获得第一摘要信息,并至少对校验因子进行哈希运算后获得第二摘要信息,将第一摘要信息和第二摘要信息进行比对,在验证用户账户和密码通过且比对第一摘要信息和第二摘要信息一致时,执行登录操作。
步骤S116,登录处理端获取对称密钥,利用对称密钥对校验因子进行单向加密运算得到第二单向加密信息,将第一单向加密信息和第二单向加密信息进行比对,在验证用户帐号和密码通过且比对第一单向加密信息和第二单向加密信息一致时,执行登录操作。
基于步骤S114-S116具体来说,登录处理端在接收到校验信息后,先需要对登录信息的正确性进行验证,即根据之前接收到的登录信息获取到其中的用户帐号和密码信息,对用户帐号和密码进行长度和正确性校验,并存储用户帐号和密码校验的结果。登录处理端再根据校验信息中获取智能卡的签名信息或第一单向加密信息。如果获取到的是签名信息时,此时需要验签对校验信息进行验证,则登录处理端可以接收智能卡发送的用户帐号对应的智能卡的证书,也可以从存储区域中获取预先存储的用户帐号对应的智能卡的证书。登录处理端在初次获得智能卡的证书时,需要利用根证书对智能卡的证书进行验证,验证通过后从智能卡的证书中获取智能卡的公钥,该公钥也即与智能卡签名时所用的私钥对应的公钥。登录处理端利用与智能卡签名时同样的算法对校验因子进行哈希运算获得摘要值,将接收到的签名信息解密得到的摘要值与计算得到的摘要值进行比对,比对结果一致则判定为验签通过。在验证用户帐号和密码通过且验证签名通过时,登录处理端开始执行登录操作。如果获得到的是第一单向加密信息,此时需要加密处理对校验信息进行验证,则登录处理端利用与智能卡所用的对称密钥对应的对称密钥进行处理,该对称密钥可以是登录处理端预先存储的,也可以是接收智能卡发送来的。需要注意的是,登录处理端可以先验证用户帐号和密码再验证校验信息,也可以先验证校验信息再验证用户帐号和密码,也可以同时对两者进行验证,总之,无论是先验证用户帐号和密码还是先验证校验信息,均是本发明保护方式的替换,均应属于本发明的保护范围。
通过本发明的利用安全设备读卡登录方法,可以使得持有智能卡的用户可以通过读卡的方式、利用安全设备安全地登录到登录处理端,不仅可以快速地登录系统,还保证了用户账户的安全性。
在本发明的一个可选实施方式中,读卡器包括:第一读卡模块和第二读卡模块;方法还包括:安全设备控制第一读卡模块或第二读卡模块发送轮询信号;智能卡接收轮询信号并返回轮询响应;安全设备在预设时间内未接收到轮询响应时,通过通讯接口通知登录处理端执行登出操作。具体的,安全设备的读卡器可以有多种读卡功能,例如同时具备读取RF、NFC、蓝牙等卡的功能,因此读卡器中可以包括多个读卡模块。在用户利用智能卡和安全设备登录到系统上之后,安全设备需要通过电子围栏检测是否有登出的情况发生。具体来说,安全设备可以控制NFC或者蓝牙读卡模块定期发送轮询信号,一旦智能卡超出安全设备的读卡范围,则该智能卡无法接收到轮询信号,则此时安全设备在预设时间内收不到轮询响应,此时安全设备可以判定该持有智能卡的用户已经远离安全设备的范围,因此安全设备向登录处理端发送登出请求,请求登录处理端执行登出操作。通过上述技术方案中在安全设备上设置轮询机制,相对于在安全设备上设置电子围栏来检测智能卡是否还处于安全设备的通信范围,从而判断持有智能卡的用户是否离开的机制,可以保证操作安全设备的是正确的持有智能卡的人,防止其他人未经授权操作安全设备甚至在系统登录的状态下操作用户账户,保证了用户账户的安全性。
此外,安全设备上还可以设置有摄像头,通过摄像头监控的方式来检测持有智能卡的用户是否离开安全设备的范围,从而决定是否登出。
当然,用户也可以通过其他方式主动执行登出操作,例如通过操作登录端来执行登出操作;系统还可以设定超时自动登出机制,此均属于现有技术,在此不再赘述。
在本发明的一个可选实施方式中,登录处理端执行登录操作包括:登录处理端开启用户帐号对应的权限;登录处理端与智能卡协商授权密钥,并向安全设备的通讯接口发送授权密钥;安全设备通过通讯接口接收授权密钥,存储授权密钥。具体的,登录处理端根据用户帐号确定其对应的权限,并为该用户开启对应的权限。此外,登录处理端还可以与智能卡通过密钥协商过程协商出一个授权密钥,将授权密钥发送给安全设备使用。登录处理端与智能卡协商密钥的方式可以采取多种方式,例如通过随机数协商的方式,只要能协商出密钥即可,本发明对如何协商出协商密钥并不限定。安全设备使用该授权密钥可以执行与智能卡中的私钥相同的功能,例如,当需要使用智能卡执行加密或签名操作时,安全设备接收到待处理的数据后,无需再发送给智能卡,可以使用该授权密钥代替智能卡执行加密或签名等操作,以简化数据传输,加快数据处理速度。当然,当用户无论因为什么原因登出系统或被登出时,即安全设备在预设时间内未接收到轮询响应时,安全设备在向登录处理端发送登出请求时,安全密钥就不得再利用该授权密钥进行加密或签名操作,还要删除该授权密钥,以保证智能卡密钥的安全性。
本实施例还提供一种安全登录系统,前述利用安全设备读卡登录方法应用于本实施例的安全登录系统,对于安全登录系统中涉及的与本实施例中的利用安全设备读卡登录方法重复之处,在此不再赘述。此处仅对安全登录系统的框架结构进行简要描述,其余未尽之处参照本实施例的利用安全设备读卡登录方法。
如图2所示,安全登录系统,包括:智能卡10、安全设备20和登录处理端30,安全设备20包括:安全芯片201、读卡器202和通讯接口203;
安全设备20,用于获取触发指令;其中,安全芯片201获取触发指令之后,控制读卡器202向外发送寻卡指令,并在控制读卡器202接收寻卡响应后控制读卡器202向智能卡10发送读卡指令,并控制读卡器202接收登录信息,根据登录信息生成登录请求,并调用通讯接口203向登录处理端30发送登录请求;安全设备20,还用于通过通讯接口203接收校验因子,并控制读卡器202向智能卡10发送校验因子,其中,安全芯片201还用于控制读卡器202接收校验信息,并调用通讯接口203向登录处理端30发送校验信息;
智能卡10,用于接收寻卡指令,向安全设备20发送寻卡响应,并接收读卡指令,获取登录信息,登录信息至少包括:用户账号和密码,向安全设备20发送登录信息;智能卡10,还用于接收校验因子,获取智能卡10的私钥,至少对校验因子进行哈希运算后获得第一摘要信息,利用智能卡10的私钥对摘要信息进行加密得到签名信息;或者,智能卡10,用于接收校验因子,获取对称密钥,利用对称密钥至少对校验因子进行单向加密运算得到第一单向加密信息;智能卡10还用于向安全设备20发送校验信息,校验信息包括:签名信息或第一单向加密信息。
登录处理端30,用于接收登录请求,根据登录请求获取登录信息,并生成校验因子,并向安全设备20的通讯接口203发送校验因子;登录处理端30,还用于接收校验信息,根据登录信息获取用户帐号和密码,并对用户帐号和密码进行验证,根据校验信息获取签名信息或第一单向加密信息,当获取到的是签名信息时,登录处理端30获取与用户帐号对应的智能卡10的证书,根据智能卡10的证书获取智能卡10的公钥,利用智能卡10的公钥对签名信息进行解密获得第一摘要信息,并至少对校验因子进行哈希运算后获得第二摘要信息,将第一摘要信息和第二摘要信息进行比对,在验证用户账户和密码通过且比对第一摘要信息和第二摘要信息一致时,执行登录操作;或者当获取到的是第一单向加密信息时,登录处理端30获取对称密钥,利用对称密钥对校验因子进行单向加密运算得到第二单向加密信息,将第一单向加密信息和第二单向加密信息进行比对,在验证用户帐号和密码通过且比对第一单向加密信息和第二单向加密信息一致时,执行登录操作。
通过本发明的安全登录系统,可以使得持有智能卡的用户可以通过刷卡的方式、利用安全设备安全地登录到登录处理端,不仅可以快速地登录系统,还保证了用户账户的安全性。
在本发明的一个可选实施方式中,读卡器202包括:第一读卡模块和第二读卡模块;安全设备20,还用于控制第一读卡模块或第二读卡模块发送轮询信号,并在预设时间内未接收到轮询响应时,通过通讯接口203通知登录处理端30执行登出操作;智能卡10,还用于接收轮询信号并返回轮询响应。具体的,安全设备的读卡器可以有多种读卡功能,例如同时具备读取RF、NFC、蓝牙等卡的功能,因此读卡器中可以包括多个读卡模块。在用户利用智能卡和安全设备登录到系统上之后,安全设备需要通过电子围栏检测是否有登出的情况发生。具体来说,安全设备可以控制NFC或者蓝牙读卡模块定期发送轮询信号,一旦智能卡超出安全设备的读卡范围,则该智能卡无法接收到轮询信号,则此时安全设备在预设时间内收不到轮询响应,此时安全设备可以判定该持有智能卡的用户已经远离安全设备的范围,因此安全设备向登录处理端发送登出请求,请求登录处理端执行登出操作。通过上述技术方案中在安全设备上设置轮询机制,相对于在安全设备上设置电子围栏来检测智能卡是否还处于安全设备的通信范围,从而判断持有智能卡的用户是否离开的机制,可以保证操作安全设备的是正确的持有智能卡的人,防止其他人未经授权操作安全设备甚至在系统登录的状态下操作用户账户,保证了用户账户的安全性。
此外,安全设备上还可以设置有摄像头,通过摄像头监控的方式来检测持有智能卡的用户是否离开安全设备的范围,从而决定是否登出。
当然,用户也可以通过其他方式主动执行登出操作,例如通过操作登录端来执行登出操作;系统还可以设定超时自动登出机制,此均属于现有技术,在此不再赘述。
在本发明的一个可选实施方式中,在登录处理端30执行登录操作时:登录处理端30,还用于开启用户帐号对应的权限,并与智能卡10协商授权密钥,并向安全设备20的通讯接口203发送授权密钥;安全设备20,还用于通过通讯接口203接收授权密钥,存储授权密钥。具体的,登录处理端根据用户帐号确定其对应的权限,并为该用户开启对应的权限。此外,登录处理端还可以与智能卡通过密钥协商过程协商出一个授权密钥,将授权密钥发送给安全设备使用。登录处理端与智能卡协商密钥的方式可以采取多种方式,例如通过随机数协商的方式,只要能协商出密钥即可,本发明对如何协商出协商密钥并不限定。安全设备使用该授权密钥可以执行与智能卡中的私钥相同的功能,例如,当需要使用智能卡执行加密或签名操作时,安全设备接收到待处理的数据后,无需再发送给智能卡,可以使用该授权密钥代替智能卡执行加密或签名等操作,以简化数据传输,加快数据处理速度。
在本发明的一个可选实施方式中,当智能卡与登录处理端协商出了授权密钥并将授权密钥发送给安全设备的情况下,安全设备20,在预设时间内未接收到轮询响应时,还删除授权密钥。具体来说,当用户无论因为什么原因登出系统或被登出时,即安全设备在预设时间内未接收到轮询响应时,安全设备在向登录处理端发送登出请求时,安全密钥就不得再利用该授权密钥进行加密或签名操作,还要删除该授权密钥,以保证智能卡密钥的安全性。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (8)
1.一种利用安全设备读卡登录方法,所述安全设备包括:安全芯片、读卡器和通讯接口;其特征在于,所述方法包括:
所述安全设备获取触发指令;
所述安全芯片在所述安全设备获取所述触发指令之后,控制所述读卡器向外发送寻卡指令;
智能卡接收所述寻卡指令,向所述安全设备发送寻卡响应;
所述安全芯片控制所述读卡器接收所述寻卡响应后,并控制所述读卡器向所述智能卡发送读卡指令;
所述智能卡接收所述读卡指令,获取登录信息,所述登录信息至少包括:用户账号和密码;
所述智能卡向所述安全设备发送所述登录信息;
所述安全芯片控制所述读卡器接收所述登录信息,根据所述登录信息生成登录请求,并调用通讯接口向登录处理端发送所述登录请求;
所述登录处理端接收所述登录请求,根据所述登录请求获取所述登录信息,并生成校验因子;
所述登录处理端向所述安全设备的所述通讯接口发送所述校验因子;
所述安全设备通过所述通讯接口接收所述校验因子,并控制所述读卡器向所述智能卡发送所述校验因子;
所述智能卡接收所述校验因子,获取智能卡的私钥,至少对所述校验因子进行哈希运算后获得第一摘要信息,利用所述智能卡的私钥对所述摘要信息进行加密得到签名信息;或者,所述智能卡接收所述校验因子,获取对称密钥,利用所述对称密钥至少对所述校验因子进行单向加密运算得到第一单向加密信息;
所述智能卡向所述安全设备发送校验信息,所述校验信息包括:所述签名信息或所述第一单向加密信息;
所述安全芯片控制所述读卡器接收所述校验信息,并调用所述通讯接口向所述登录处理端发送所述校验信息;
所述登录处理端接收所述校验信息,根据所述登录信息获取所述用户帐号和所述密码,并对所述用户帐号和所述密码进行验证,根据所述校验信息获取所述签名信息或所述第一单向加密信息;
当获取到的是所述签名信息时,所述登录处理端获取与所述用户帐号对应的智能卡的证书,根据所述智能卡的证书获取智能卡的公钥,利用所述智能卡的公钥对所述签名信息进行解密获得所述第一摘要信息,并至少对所述校验因子进行哈希运算后获得第二摘要信息,将所述第一摘要信息和所述第二摘要信息进行比对,在验证所述用户账户和所述密码通过且比对所述第一摘要信息和所述第二摘要信息一致时,执行登录操作;或者
当获取到的是所述第一单向加密信息时,所述登录处理端获取所述对称密钥,利用所述对称密钥对所述校验因子进行所述单向加密运算得到第二单向加密信息,将所述第一单向加密信息和所述第二单向加密信息进行比对,在验证所述用户帐号和所述密码通过且比对所述第一单向加密信息和所述第二单向加密信息一致时,执行登录操作。
2.根据权利要求1所述的方法,其特征在于,所述读卡器包括:第一读卡模块和第二读卡模块;所述方法还包括:
所述安全设备控制所述第一读卡模块或所述第二读卡模块发送轮询信号;
所述智能卡接收所述轮询信号并返回轮询响应;
所述安全设备在预设时间内未接收到所述轮询响应时,通过所述通讯接口通知所述登录处理端执行登出操作。
3.根据权利要求1所述的方法,其特征在于,所述登录处理端执行登录操作包括:
所述登录处理端开启所述用户帐号对应的权限;
所述登录处理端与所述智能卡协商授权密钥,并向所述安全设备的所述通讯接口发送所述授权密钥;
所述安全设备通过所述通讯接口接收所述授权密钥,存储所述授权密钥。
4.根据权利要求3所述的方法,其特征在于,所述读卡器包括:第一读卡模块和第二读卡模块;所述方法还包括:
所述安全设备控制所述第一读卡模块或所述第二读卡模块发送轮询信号;
所述智能卡接收所述轮询信号并返回轮询响应;
所述安全设备在预设时间内未接收到所述轮询响应时,删除所述授权密钥,并通过所述通讯接口通知所述登录处理端执行登出操作。
5.一种安全登录系统,其特征在于,所述系统包括:智能卡、安全设备和登录处理端,所述安全设备包括:安全芯片、读卡器和通讯接口;
所述安全设备,用于获取触发指令;其中,所述安全芯片获取所述触发指令之后,控制所述读卡器向外发送寻卡指令,并在控制所述读卡器接收所述寻卡响应后控制所述读卡器向所述智能卡发送读卡指令,并控制所述读卡器接收所述登录信息,根据所述登录信息生成登录请求,并调用通讯接口向登录处理端发送所述登录请求;所述安全设备,还用于通过所述通讯接口接收所述校验因子,并控制所述读卡器向所述智能卡发送所述校验因子,其中,所述安全芯片还用于控制所述读卡器接收所述校验信息,并调用所述通讯接口向所述登录处理端发送所述校验信息;
所述智能卡,用于接收所述寻卡指令,向所述安全设备发送寻卡响应,并接收所述读卡指令,获取登录信息,所述登录信息至少包括:用户账号和密码,向所述安全设备发送所述登录信息;所述智能卡,还用于接收所述校验因子,获取智能卡的私钥,至少对所述校验因子进行哈希运算后获得第一摘要信息,利用所述智能卡的私钥对所述摘要信息进行加密得到签名信息,或者,所述智能卡,用于接收所述校验因子,获取对称密钥,利用所述对称密钥至少对所述校验因子进行单向加密运算得到第一单向加密信息;所述智能卡还用于向所述安全设备发送校验信息,所述校验信息包括:所述签名信息或所述第一单向加密信息;
所述登录处理端,用于接收所述登录请求,根据所述登录请求获取所述登录信息,并生成校验因子,并向所述安全设备的所述通讯接口发送所述校验因子;所述登录处理端,还用于接收所述校验信息,根据所述登录信息获取所述用户帐号和所述密码,并对所述用户帐号和所述密码进行验证,根据所述校验信息获取所述签名信息或所述第一单向加密信息;
当获取到的是所述签名信息时,所述登录处理端获取与所述用户帐号对应的智能卡的证书,根据所述智能卡的证书获取智能卡的公钥,利用所述智能卡的公钥对所述签名信息进行解密获得所述第一摘要信息,并至少对所述校验因子进行哈希运算后获得第二摘要信息,将所述第一摘要信息和所述第二摘要信息进行比对,在验证所述用户账户和所述密码通过且比对所述第一摘要信息和所述第二摘要信息一致时,执行登录操作;或者
当获取到的是所述第一单向加密信息时,所述登录处理端获取所述对称密钥,利用所述对称密钥对所述校验因子进行所述单向加密运算得到第二单向加密信息,将所述第一单向加密信息和所述第二单向加密信息进行比对,在验证所述用户帐号和所述密码通过且比对所述第一单向加密信息和所述第二单向加密信息一致时,执行登录操作。
6.根据权利要求5所述的系统,其特征在于,所述读卡器包括:第一读卡模块和第二读卡模块;
所述安全设备,还用于控制所述第一读卡模块或所述第二读卡模块发送轮询信号,并在预设时间内未接收到所述轮询响应时,通过所述通讯接口通知所述登录处理端执行登出操作
所述智能卡,还用于接收所述轮询信号并返回轮询响应。
7.根据权利要求5所述的系统,其特征在于,在所述登录处理端执行登录操作时:
所述登录处理端,还用于开启所述用户帐号对应的权限,并与所述智能卡协商授权密钥,并向所述安全设备的所述通讯接口发送所述授权密钥;
所述安全设备,还用于通过所述通讯接口接收所述授权密钥,存储所述授权密钥。
8.根据权利要求7所述的系统,其特征在于,所述读卡器包括:第一读卡模块和第二读卡模块;
所述安全设备,还用于控制所述第一读卡模块或所述第二读卡模块发送轮询信号,并在预设时间内未接收到所述轮询响应时,删除所述授权密钥,并通过所述通讯接口通知所述登录处理端执行登出操作;
所述智能卡,还用于接收所述轮询信号并返回轮询响应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711458795.0A CN108322310B (zh) | 2017-12-28 | 2017-12-28 | 一种利用安全设备读卡登录方法及安全登录系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711458795.0A CN108322310B (zh) | 2017-12-28 | 2017-12-28 | 一种利用安全设备读卡登录方法及安全登录系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108322310A true CN108322310A (zh) | 2018-07-24 |
| CN108322310B CN108322310B (zh) | 2021-08-17 |
Family
ID=62893279
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711458795.0A Active CN108322310B (zh) | 2017-12-28 | 2017-12-28 | 一种利用安全设备读卡登录方法及安全登录系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108322310B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112149098A (zh) * | 2019-06-26 | 2020-12-29 | 天地融科技股份有限公司 | 一种办公系统安全控制方法、装置及系统 |
| CN112149082A (zh) * | 2019-06-26 | 2020-12-29 | 天地融科技股份有限公司 | 一种办公系统安全控制方法、装置及系统 |
| CN112152960A (zh) * | 2019-06-26 | 2020-12-29 | 天地融科技股份有限公司 | 一种办公系统安全控制方法、装置及系统 |
| CN112149096A (zh) * | 2019-06-26 | 2020-12-29 | 天地融科技股份有限公司 | 一种办公认证方法、安全键盘及办公系统 |
| CN114519360A (zh) * | 2022-01-29 | 2022-05-20 | 金蝶软件(中国)有限公司 | 数据读写方法、业务系统的登录方法、装置和计算机设备 |
| CN114553409A (zh) * | 2022-02-24 | 2022-05-27 | 广东电网有限责任公司 | 密码验证方法、系统、设备、存储介质及程序产品 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719250A (zh) * | 2009-12-10 | 2010-06-02 | 中国联合网络通信集团有限公司 | 支付认证方法、平台和系统 |
| CN102831335A (zh) * | 2011-06-16 | 2012-12-19 | 中国科学院数据与通信保护研究教育中心 | 一种Windows操作系统的安全保护方法和系统 |
-
2017
- 2017-12-28 CN CN201711458795.0A patent/CN108322310B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101719250A (zh) * | 2009-12-10 | 2010-06-02 | 中国联合网络通信集团有限公司 | 支付认证方法、平台和系统 |
| CN102831335A (zh) * | 2011-06-16 | 2012-12-19 | 中国科学院数据与通信保护研究教育中心 | 一种Windows操作系统的安全保护方法和系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112149098A (zh) * | 2019-06-26 | 2020-12-29 | 天地融科技股份有限公司 | 一种办公系统安全控制方法、装置及系统 |
| CN112149082A (zh) * | 2019-06-26 | 2020-12-29 | 天地融科技股份有限公司 | 一种办公系统安全控制方法、装置及系统 |
| CN112152960A (zh) * | 2019-06-26 | 2020-12-29 | 天地融科技股份有限公司 | 一种办公系统安全控制方法、装置及系统 |
| CN112149096A (zh) * | 2019-06-26 | 2020-12-29 | 天地融科技股份有限公司 | 一种办公认证方法、安全键盘及办公系统 |
| CN112152960B (zh) * | 2019-06-26 | 2022-11-22 | 天地融科技股份有限公司 | 一种办公系统安全控制方法、装置及系统 |
| CN112149096B (zh) * | 2019-06-26 | 2024-05-24 | 天地融科技股份有限公司 | 一种办公认证方法、安全键盘及办公系统 |
| CN112149098B (zh) * | 2019-06-26 | 2024-05-24 | 天地融科技股份有限公司 | 一种办公系统安全控制方法、装置及系统 |
| CN114519360A (zh) * | 2022-01-29 | 2022-05-20 | 金蝶软件(中国)有限公司 | 数据读写方法、业务系统的登录方法、装置和计算机设备 |
| CN114519360B (zh) * | 2022-01-29 | 2024-03-08 | 金蝶软件(中国)有限公司 | 数据读写方法、业务系统的登录方法、装置和计算机设备 |
| CN114553409A (zh) * | 2022-02-24 | 2022-05-27 | 广东电网有限责任公司 | 密码验证方法、系统、设备、存储介质及程序产品 |
| CN114553409B (zh) * | 2022-02-24 | 2023-08-08 | 广东电网有限责任公司 | 密码验证方法、系统、设备、存储介质及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108322310B (zh) | 2021-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108322310A (zh) | 一种利用安全设备读卡登录方法及安全登录系统 | |
| JP6629952B2 (ja) | モバイルアプリケーションの安全性を確保する方法および装置 | |
| CN107113175B (zh) | 多用户强认证令牌 | |
| EP3039602B1 (en) | System for accessing data from multiple devices | |
| US20070283145A1 (en) | Multi-Factor Security System With Portable Devices And Security Kernels | |
| US20070223685A1 (en) | Secure system and method of providing same | |
| US20140380445A1 (en) | Universal Authentication and Data Exchange Method, System and Service | |
| EP2628133B1 (en) | Authenticate a fingerprint image | |
| CN104618114B (zh) | 身份证信息获取方法、装置及系统 | |
| US10708045B2 (en) | Confidential information setting method, confidential information setting system, and confidential information setting apparatus | |
| JP7105495B2 (ja) | セグメント化されたキー認証システム | |
| CN108200037A (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
| CN108322507A (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
| KR20200050813A (ko) | 생체 인증을 이용한 결제 방법 및 그 전자 장치 | |
| US11240029B2 (en) | Method of registration and access control of identity for third-party certification | |
| CN108322440A (zh) | 一种利用安全设备读卡登录方法及安全登录系统 | |
| CN108337235A (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
| CN117546162A (zh) | 用于控制对存储设备的访问的密码认证 | |
| CN106161481B (zh) | 一种移动终端物理按键隔离安全模块防范安全风险的装置 | |
| JP2005215870A (ja) | Rfidを用いたシングルサインオン方法及びシステム | |
| Singh | Multi-factor authentication and their approaches | |
| US11546774B2 (en) | Methods, systems, apparatuses, and devices for controlling access to an access control location | |
| CN106022095B (zh) | 一种安全装置、安全控制方法及身份证读卡终端 | |
| CN108322439A (zh) | 一种利用安全设备注册方法和注册系统 | |
| CN112948786B (zh) | 一种身份验证方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |