CN108322439B - 一种利用安全设备注册方法和注册系统 - Google Patents
一种利用安全设备注册方法和注册系统 Download PDFInfo
- Publication number
- CN108322439B CN108322439B CN201711462992.XA CN201711462992A CN108322439B CN 108322439 B CN108322439 B CN 108322439B CN 201711462992 A CN201711462992 A CN 201711462992A CN 108322439 B CN108322439 B CN 108322439B
- Authority
- CN
- China
- Prior art keywords
- registration
- information
- smart card
- card
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种利用安全设备注册方法和注册系统,其中方法包括:安全设备向注册端输入注册信息,注册端生成注册请求并向注册处理端发送,注册处理端根据注册请求获取注册信息,并生成校验因子,向注册端发送校验因子,智能卡通过安全设备接收校验因子,对校验因子加密得到签名信息,向安全设备发送包含签名信息和智能卡证书的校验信息,注册处理端通过安全设备接收校验信息,在验证签名通过时,存储注册帐号、密码和智能卡的证书。通过本发明的利用安全设备注册方法,可以使得持有智能卡的用户可以通过读卡的方式、利用安全设备安全地注册到注册处理端,方便了用户的注册过程,还保证了用户账户的安全性。
Description
技术领域
本发明涉及一种电子技术领域,尤其涉及一种利用安全设备注册方法和注册系统。
背景技术
在现有技术中,员工在登录到办公系统时需要通过键盘输入账户和密码进行登录,键盘木马程序等恶意软件可以截获用户在键盘处理的数据,每当键盘向所连接的主机发送数据时,在数据到达主机的目的接口之前,木马程序截获该数据,对用户数据进行监听和篡改,进而控制用户对键盘的操作。
将带有密钥运算功能的安全设备作为前端数据输入设备能够保护用户键入的数据安全,可以防止键盘输入的数据被监听和篡改。安全设备带有读卡器接口时,利用安全设备的读卡器读卡来进行安全登录是一种更安全的登录方式,而现有技术中并没有利用安全设备来进行注册的方法。
发明内容
本发明旨在解决上述问题之一。
本发明的主要目的在于提供一种利用安全设备注册方法;
本发明的另一目的在于提供一种注册系统。
为达到上述目的,本发明的技术方案具体是这样实现的:
本发明一方面提供了一种利用安全设备注册方法,所述安全设备包括:安全芯片、读卡器和通讯接口;所述方法包括:所述安全设备通过通讯接口向注册端输入注册信息,所述注册信息包括:注册帐号和密码;注册端接收所述注册信息,生成注册请求,向注册处理端发送所述注册请求,其中:所述注册请求包括所述注册信息;所述注册处理端接收所述注册请求,根据所述注册请求获取所述注册信息,并生成校验因子,向所述注册端发送所述校验因子;所述注册端接收所述校验因子后,向所述安全设备的通讯接口发送所述校验因子;所述安全芯片控制所述读卡器向所述智能卡发送所述校验因子;所述智能卡接收所述校验因子,获取智能卡的私钥,至少对所述校验因子进行哈希运算后获得第一摘要信息,利用所述智能卡的私钥对所述摘要信息进行加密得到签名信息;或者,所述智能卡接收所述校验因子,获取对称密钥,利用所述对称密钥至少对所述校验因子进行单向加密运算得到第一单向加密信息;所述智能卡向所述安全设备发送校验信息,所述校验信息包括所述签名信息和所述智能卡的证书,或者所述校验信息包括所述第一单向加密信息;所述安全芯片控制所述读卡器接收所述校验信息,并调用所述通讯接口向所述注册处理端发送所述校验信息;所述注册处理端接收所述校验信息,根据所述注册信息获取所述注册帐号和所述密码,根据所述校验信息获取所述签名信息和所述智能卡的证书或所述第一单向加密信息;当获取到的是所述签名信息和所述智能卡的证书时,所述注册处理端利用根证书验证所述智能卡的证书,并在验证所述智能卡的证书通过后,根据所述智能卡的证书获取智能卡的公钥,利用所述智能卡的公钥对所述签名信息进行解密获得所述第一摘要信息,并至少对所述校验因子进行哈希运算后获得第二摘要信息,将所述第一摘要信息和所述第二摘要信息进行比对,在比对所述第一摘要信息和所述第二摘要信息一致时,存储所述注册帐号、所述密码和所述智能卡的证书;或者当获取到的是所述第一单向加密信息时,所述注册处理端获取所述对称密钥,利用所述对称密钥对所述校验因子进行所述单向加密运算得到第二单向加密信息,将所述第一单向加密信息和所述第二单向加密信息进行比对,在验证所述用户帐号和所述密码通过且比对所述第一单向加密信息和所述第二单向加密信息一致时,存储所述注册帐号、所述密码和所述智能卡的证书。
此外,所述方法还包括:所述注册处理端通过所述注册端向所述安全设备发送所述注册帐号和所述密码;所述安全芯片控制所述读卡器向所述智能卡发送所述注册帐号和所述密码;所述智能卡存储所述注册帐号和所述密码。
此外,所述方法还包括:所述注册处理端与所述智能卡协商出加密密钥,并利用所述加密密钥加密所述注册处理端与所述智能卡之间传输的数据。
本发明还提供一种注册系统,所述系统包括:安全设备、智能卡、注册端和注册处理端;所述安全设备包括:安全芯片、读卡器和通讯接口;所述安全设备,用于通过通讯接口向所述注册端输入注册信息,所述注册信息包括:注册帐号和密码;其中:所述安全芯片,用于控制所述读卡器向所述智能卡发送所述校验因子;所述安全芯片,还用于控制所述读卡器接收所述校验信息,并调用所述通讯接口向所述注册处理端发送所述校验信息;所述注册端,用于接收所述注册信息,生成注册请求,向注册处理端发送所述注册请求,其中,所述注册请求包括所述注册信息;所述注册端,还用于在接收所述校验因子后,向所述安全设备的通讯接口发送所述校验因子;所述智能卡,用于接收所述校验因子,获取智能卡的私钥,至少对所述校验因子进行哈希运算后获得第一摘要信息,利用所述智能卡的私钥对所述摘要信息进行加密得到签名信息或者,所述智能卡接收所述校验因子,获取对称密钥,利用所述对称密钥至少对所述校验因子进行单向加密运算得到第一单向加密信息;所述智能卡还用于并向所述安全设备发送校验信息,所述校验信息包括所述签名信息和所述智能卡的证书,或者所述校验信息包括所述第一单向加密信息;所述注册处理端,用于接收所述注册请求,根据所述注册请求获取所述注册信息,并生成校验因子,向所述注册端发送所述校验因子;所述注册处理端,还用于接收所述校验信息,根据所述注册信息获取所述注册帐号和所述密码,根据所述校验信息获取所述签名信息和所述智能卡的证书或所述第一单向加密信息;当获取到的是所述签名信息和所述智能卡的证书时,所述注册处理端利用根证书验证所述智能卡的证书,并在验证所述智能卡的证书通过后,根据所述智能卡的证书获取智能卡的公钥,利用所述智能卡的公钥对所述签名信息进行解密获得所述第一摘要信息,并至少对所述校验因子进行哈希运算后获得第二摘要信息,将所述第一摘要信息和所述第二摘要信息进行比对,在比对所述第一摘要信息和所述第二摘要信息一致时,存储所述注册帐号、所述密码和所述智能卡的证书;或者当获取到的是所述第一单向加密信息时,所述注册处理端获取所述对称密钥,利用所述对称密钥对所述校验因子进行所述单向加密运算得到第二单向加密信息,将所述第一单向加密信息和所述第二单向加密信息进行比对,在验证所述用户帐号和所述密码通过且比对所述第一单向加密信息和所述第二单向加密信息一致时,存储所述注册帐号、所述密码和所述智能卡的证书。
此外,所述注册处理端,还用于通过所述注册端向所述安全设备发送所述注册帐号和所述密码;所述安全芯片,还用于控制所述读卡器向所述智能卡发送所述注册帐号和所述密码;所述智能卡,还用于存储所述注册帐号和所述密码。
此外,所述注册处理端与所述智能卡协商出加密密钥,并利用所述加密密钥加密所述注册处理端与所述智能卡之间传输的数据。
由上述本发明提供的技术方案可以看出,本发明提供了一种利用安全设备注册方法和注册系统,通过本发明的利用安全设备注册方法,可以使得持有智能卡的用户可以通过读卡的方式、利用安全设备安全地注册到注册处理端,方便了用户的注册过程,还保证了用户账户的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例1提供的利用安全设备注册方法的流程图;
图2为本发明实施例1提供的注册系统结构示意图。
具体实施方式
下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
下面将结合附图对本发明实施例作进一步地详细描述。
本发明基于一种注册系统,该注册系统包括安全设备、智能卡、注册端和注册处理端。安全设备可以与智能卡进行通信,与智能卡进行数据交互,安全设备还可以与注册端进行通讯,与注册端进行数据交互。该安全设备可以是一个安全键盘,该安全键盘具备现有的键盘功能,用户可以使用该安全键盘进行按键输入操作,安全芯片、读卡器和通讯接口均内置在该安全键盘中;该安全设备也可以是一个普通键盘和安全盒子,该普通键盘具备现有的键盘功能,该安全盒子中设置有安全芯片、读卡器和通讯接口,该安全盒子和普通键盘通过有线或者无线接口连接通信;该安全设备还可以是其他智能设备,例如iPad电脑、笔记本电脑、手机等,其内置安全芯片、读卡器和通讯接口;该安全设备还可以是其他智能设备和安全盒子,该安全盒子中设置有安全芯片、读卡器和通讯接口,该安全盒子和其他智能设备通过有线或者无线接口连接通信。
该智能卡是带有芯片的能够进行密钥运算(加密、签名)的卡,智能卡中存储有个人身份信息,具有存储空间,存储有与用户身份对应的私钥,利用该智能卡标识用户的身份,使得用户借助于智能卡登录到系统。智能卡上可以设置有显示屏(可以是触屏显示屏)和按键等,可以通过显示屏显示信息、通过按键或触屏接收信息输入。该智能卡可以通过RF、NFC、蓝牙等方式与安全设备进行通信,该智能卡可以是仅支持一种通信功能的智能卡,也可以是带有多种通信功能的智能卡,例如,该智能卡可以既通过NFC与安全设备连接,也可以通过蓝牙与安全设备连接,在不同的通信场合使用不同的通信方式,以分别实现不同通信方式的优势。该智能卡可以做成传统的卡片形状,也可以做成U盘等小型便携的设备形状,还可以是一个卡片形状的电子签名设备。
本发明的安全注册系统中的注册端与注册处理端可以分体设置,也可以合体设置在一个设备上。当注册端与注册处理端分体设置时,注册端可以设置在安全设备侧的个人计算机(Personal Computer,PC)设备上,注册处理端可以设置在后台服务器侧。当注册端与注册处理端设置在同一个设备上时,其可以设置在安全设备侧的PC或其他终端,也可以设置在后台服务器端。例如,注册端可以是设置在PC或其他终端上的客户端软件,该PC或其他终端通过有线连接或无线连接(wifi、蓝牙、NFC等)与安全设备连接,该注册端与注册处理端不设置在同一设备上,通过局域网、互联网或其他网络连接到注册处理端。再如,注册端也可以是一个注册页面,该注册页面可以设置在互联网的任意服务器(只要能与注册处理端进行通信即可)上,而注册处理端设置在后台服务器上,该注册端通过局域网、互联网或其他网络连接到注册处理端。再如,注册端作为一个软件或注册页面,与注册处理端一同设置在后台服务器,安全设备要与注册端进行通信时需要与后台服务器进行通信。可见,本发明并不限定注册端和注册处理端的设置形态,只要是能够进行通信均可。
实施例1
本实施例提供一种利用安全设备注册方法,该安全设备包括安全芯片、读卡器和通讯接口;该安全设备通过读卡器与智能卡连接进行通讯,通过通讯接口连接注册端进行通讯。具体来说,根据前述,安全设备可以有多种形态,当该安全设备集成了键盘功能时,可以作为输入设备与PC或其他设备连接以输入数据,当该安全设备不带键盘时,可以通过触屏输入、语音输入等其他方式向PC或其他设备连接以输入数据。安全设备包括了安全芯片,该安全芯片作为安全设备的主控芯片,控制安全设备中其他模块的运行,该安全芯片中存储有密钥,可以进行密钥运算(加密、解密或签名等运算)。安全设备的读卡器可以是接触式读卡器,也可以是非接触式读卡器(如RF、NFC、蓝牙等),且读卡器可以同时兼具多种读卡通讯模式,例如可以兼具RF、NFC和蓝牙通讯模式。当读卡器为非接触式读卡器时,智能卡一旦进入到安全设备读卡器的通信范围内,即可与安全设备的读卡器连接并通信。安全设备与注册端连接的通讯接口可以是有线通讯接口,如USB接口、串口、有线网络接口等,也可以是有无线通讯接口,如wifi、蓝牙、NFC、无线网络接口等,以使得安全设备可以通过有线通讯接口或无线通讯接口连接到注册端。例如,安全设备可以通过USB或蓝牙等接口连接到PC,直接与设置在PC上的注册端进行通讯。
基于此,如图1所示,本实施例提供的利用安全设备注册方法包括:
步骤S101,安全设备通过通讯接口向注册端输入注册信息,注册信息包括:注册帐号和密码;具体的,用户在首次使用智能卡登录到系统(例如云办公系统等)时,需要先进行注册,为了保证注册的安全性,可以利用安全设备来完成注册过程。当用户利用安全设备向注册端进行注册时,根据打开的注册端的提示,通过安全设备进行用户帐号和密码的输入,安全设备接收用户输入的信息,并转化成相应的用户帐号和密码信息,将用户帐号和密码通过通讯接口发送至注册端。密码可以是字符形式,也可以是生物特征形式的密码,如指纹等。用户在向安全设备输入注册信息时,可以通过智能卡的屏幕按键或物理按键输入用户账户和密码,或者通过智能卡的生物识别板输入生物密码信息。安全设备在向注册端输入注册信息的时候,可以每接收一个字符输入发送至注册端,由注册端对最终接收的字符进行处理得到用户帐号和密码信息。由于安全设备中具有安全芯片,安全设备也可以对按键输入进行处理,在将用户输入的信息进行处理转换后发送给注册端。此外,安全设备还可以对注册信息进行加密处理后再发送给注册端,以保证数据传输安全。
步骤S102,注册端接收注册信息,生成注册请求,向注册处理端发送注册请求,其中:注册请求包括注册信息;具体的,注册端接收到包含用户帐号和密码的注册信息后,需要向注册处理端发送用户帐号和密码向注册处理端完成注册过程,故此,注册端利用注册信息生成注册请求,并将该注册请求发送至注册处理端。注册请求中除了包含安全设备发送来的注册信息,还可以包括其他标识注册端或安全设备的信息,例如可以标识注册端所处设备的ID信息或标识注册端所连接的安全设备的ID信息等。注册请求中还可以包含指示注册处理端执行下一步处理的指示信息,例如,指示注册处理端根据注册信息生成校验因子。在发送注册请求时,注册端可以将注册请求进行加密处理后发送给注册处理端,以保证数据传输安全。
步骤S103,注册处理端接收注册请求,根据注册请求获取注册信息,并生成校验因子,向注册端发送校验因子;具体的,注册处理端在接收到注册请求后,从注册请求中获取所包含的注册信息。当然,如果注册请求是加密后的信息,则还需要先对其进行解密后获取注册信息。注册处理端在接收到注册请求后,根据注册请求的指示,执行生成校验因子的步骤。校验因子可以是根据随机数或者其他字符串生成,也可以是根据注册信息中的部分信息生成,以便注册处理端发送给其他设备校验其他设备的真实性。校验因子也可以进行加密处理后再发送,以保证数据传输安全。
步骤S104,注册端接收校验因子后,向安全设备的通讯接口发送校验因子;具体的,注册端在接收到校验因子后,如果是加密的校验因子,则利用匹配的密钥先解密校验因子,解密后发送给安全设备。如果注册端与安全设备之间的数据传输需要加密传输,注册端也可以利用与安全设备匹配的密钥对校验因子再次加密后发送给安全设备。
步骤S105,安全芯片控制读卡器向智能卡发送校验因子;具体的,安全设备通过通讯接口接收校验因子,则安全设备的安全芯片获取校验因子。在接收到校验因子后,安全芯片需要控制读卡器向一个智能卡发送校验因子。此时读卡器需要判断此时是否有智能卡连接到该安全设备,如果读卡器连接有智能卡,则读卡器直接将该校验因子发送给所连接的智能卡。如果读卡器此时并未连接到某个智能卡,则读卡器先执行寻卡操作,向外发送寻卡指令,当接收到某个智能卡发送的寻卡响应后建立连接。如果连接的该智能卡是利用蓝牙通信的智能卡,还在建立连接之前先进行蓝牙匹配。关于读卡器寻卡以及与卡片建立连接的过程属于现有技术,在此不再赘述。
此外,本发明的读卡器可以包含多个读卡模块,例如,可以既有NFC读卡模块又有蓝牙读卡模块,当安全芯片控制读卡器向智能卡发送校验因子时,可以选择通过NFC或者蓝牙的方式发送校验因子。
步骤S106,智能卡接收校验因子,获取智能卡的私钥,至少对校验因子进行哈希运算后获得第一摘要信息,利用智能卡的私钥对摘要信息进行加密得到签名信息;或者,智能卡接收校验因子,获取对称密钥,利用对称密钥至少对校验因子进行单向加密运算得到第一单向加密信息;具体的,智能卡在对校验因子进行处理时,可能采取多种处理方式,例如,智能卡可以在接收到校验因子后,获取自身存储的私钥,对校验因子利用哈希算法(散列算法)进行运算获得摘要值,再利用自身的私钥对摘要值进行加密后即获得签名数据。再如,智能卡也可以获取对称密钥,该对称密钥可以是预先存储在智能卡当中,也可以是智能卡向外部获取得到,还可以是在智能卡内部生成的,智能卡利用该对称密钥进行单向加密运算(不可逆的运算)从而获取单向加密信息,以便接收方能够利用同样的对称密钥对该单向加密信息进行验证。当然,智能卡中还可以存储有用户帐号和密码,智能卡在签名或加密的时候,不仅可以将校验因子进行签名和加密,还可以在签名和加密时对校验因子、用户帐号和密码一起签名或加密。
步骤S107,智能卡向安全设备发送校验信息,校验信息包括签名信息和智能卡的证书,或者校验信息包括第一单向加密信息;具体的,根据安全设备发送校验因子所用的读卡模块,智能卡采用与所用读卡模块相应的通讯方式向安全设备发送校验信息。在智能卡利用私钥进行签名处理的情况下,智能卡在发送校验信息时,为了保证传输的安全性,可以将校验信息进行加密传输。智能卡在发送校验信息时,还发送与智能卡私钥对应的证书或公钥,智能卡可以直接将公钥发送,保证接收方在接收到签名信息后能够利用公钥来验证签名信息;也可以将包含有公钥的证书发送,既保证接收方在接收到签名信息后能够利用公钥来验证签名信息,又保证接收方能够对公钥自身的真实性进行验证。在智能卡利用对称密钥进行处理的情况下,如果该对称密钥是智能卡生成的,则智能卡还将对称密钥一并发送出去,以便接收方能够使用该对称密钥对校验信息进行验证。
步骤S108,安全芯片控制读卡器接收校验信息,并调用通讯接口向注册处理端发送校验信息;具体的,安全设备接收到智能卡发送的校验信息后,安全芯片可以直接向注册处理端发送校验信息,也可以通过注册端向注册处理端发送校验信息。在安全芯片通过注册端向注册处理端发送信息时,安全芯片根据安全设备与注册端之间数据传输方式,调用相应的通讯接口向注册端发送校验信息。例如,当安全设备与注册端处于短距离通信范围内,其两者可以通过有线接口连接(USB接口等)或无线接口连接(wifi、蓝牙、NFC等),则安全芯片调用相应的通讯接口发送数据;当安全设备和注册端异地安置,则安全设备调用有线网络接口或无线网络接口通过互联网、局域网等网络向注册端发送校验信息。当注册端接收到校验信息后,再向注册处理端发送该校验信息。
当安全芯片直接向注册处理端发送校验信息时,根据安全设备和注册处理端之间的数据传输方式,选择合适的传输方式向注册处理端发送校验信息。例如,当安全设备与注册处理端处于短距离通信范围内,其两者可以通过有线接口连接(USB接口等)或无线接口连接(wifi、蓝牙、NFC等),则注册端利用相应的通讯接口发送数据;当安全设备和注册处理端需要远距离通信时,则注册端调用有线网络接口或无线网络接口通过互联网、局域网等网络向注册端发送校验信息。
步骤S109,注册处理端接收校验信息,根据注册信息获取注册帐号和密码,根据校验信息获取签名信息和智能卡的证书或第一单向加密信息,当获取到的是签名信息时,执行步骤S110,或者当获取到的是第一单向加密信息时,执行步骤S111。
步骤S110,注册处理端利用根证书验证智能卡的证书,并在验证智能卡的证书通过后,根据智能卡的证书获取智能卡的公钥,利用智能卡的公钥对签名信息进行解密获得第一摘要信息,并将校验因子进行哈希运算后获得第二摘要信息,将第一摘要信息和第二摘要信息进行比对,在比对第一摘要信息和第二摘要信息一致时,存储注册帐号、密码和智能卡的证书。
步骤S111,注册处理端获取对称密钥,利用对称密钥对校验因子进行单向加密运算得到第二单向加密信息,将第一单向加密信息和第二单向加密信息进行比对,在验证用户帐号和密码通过且比对第一单向加密信息和第二单向加密信息一致时,存储注册帐号、密码和智能卡的证书。
基于步骤S109-S111具体来说,注册处理端在接收到校验信息后,先需要对注册信息进行验证,即根据之前接收到的注册信息获取到其中的用户帐号和密码信息,对用户帐号的长度、唯一性、合法性等进行验证,对密码的长度、合法性、繁简度等进行验证,如果验证通过,则存储用户帐号和密码校验的结果。注册处理端再根据校验信息中获取智能卡的签名信息或第一单向加密信息。如果获取到的是签名信息时,此时需要验签对校验信息进行验证,则注册处理端接收智能卡发送的用户帐号对应的智能卡的证书,利用根证书对智能卡的证书进行验证,验证通过后从智能卡的证书中获取智能卡的公钥,该公钥也即与智能卡签名时所用的私钥对应的公钥。注册处理端利用与智能卡签名时同样的算法对校验因子进行哈希运算获得摘要值,将接收到的签名信息解密得到的摘要值与计算得到的摘要值进行比对,比对结果一致则判定为验签通过。如果获得到的是第一单向加密信息,此时需要加密处理对校验信息进行验证,则注册处理端利用与智能卡所用的对称密钥对应的对称密钥进行处理,该对称密钥可以是注册处理端预先存储的,也可以是接收智能卡发送来的。在验证用户帐号和密码通过且验证校验信息通过时,注册处理端开始执行注册操作,将该用户帐号列为合法用户,将该用户账户、密码与智能卡进行绑定,对其开启相应的权限,并存储用户账户、密码及该用户的相关信息(例如,可以将用户的证书一并存储),以便在持有智能卡的用户登录时验证持卡用户的身份。需要注意的是,注册处理端可以先验证用户帐号和密码再验证校验信息,也可以先验证校验信息再验证用户帐号和密码,也可以同时对两者进行验证,总之,无论是先验证用户帐号和密码还是先验证校验信息,均是本发明保护方式的替换,均应属于本发明的保护范围。
通过本发明的利用安全设备注册方法,可以使得持有智能卡的用户可以通过读卡的方式、利用安全设备安全地注册到注册处理端,方便了用户的注册过程,还保证了用户账户的安全性。
在本发明的一个可选实施方式中,本发明的利用安全设备注册方法还包括:注册处理端通过注册端向安全设备发送注册帐号和密码;安全芯片控制读卡器向智能卡发送注册帐号和密码;智能卡存储注册帐号和密码。具体的,注册处理端在对发送来的注册信息完成注册后,还可以将注册帐号和密码发送给智能卡,在智能卡中存储一份注册帐号和密码,以便用户在下次使用智能卡进行登录操作时无需再手动输入注册帐号和密码,而只需读卡就可获得注册帐号和密码,从而简化了后续的登录流程。
在本发明的一个可选实施方式中,本发明的利用安全设备注册方法还包括:注册处理端与智能卡协商出加密密钥,并利用加密密钥加密注册处理端与智能卡之间传输的数据。注册处理端之间通过协商出的加密密钥来传输数据,可以更大程度地保证数据传输的安全性。
本实施例还提供一种注册系统,前述利用安全设备注册方法应用于本实施例的注册系统,对于注册系统中涉及的与本实施例中的利用安全设备注册方法重复之处,在此不再赘述。此处仅对注册系统的框架结构进行简要描述,其余未尽之处参照本实施例的利用安全设备注册方法。
如图2所示,注册系统包括:智能卡10、安全设备20、注册端30和注册处理端40;安全设备20包括:安全芯片201、读卡器202和通讯接口203;
安全设备20,用于通过通讯接口203向注册端30输入注册信息,注册信息包括:注册帐号和密码;其中:安全芯片201,用于控制读卡器202向智能卡10发送校验因子;安全芯片201,还用于控制读卡器202接收校验信息,并调用通讯接口203向注册处理端40发送校验信息;
注册端30,用于接收注册信息,生成注册请求,向注册处理端40发送注册请求,其中,注册请求包括注册信息;注册端30,还用于在接收校验因子后,向安全设备20的通讯接口203发送校验因子;
智能卡10,用于接收校验因子,获取智能卡10的私钥,至少对校验因子进行哈希运算后获得第一摘要信息,利用智能卡10的私钥对摘要信息进行加密得到签名信息;或者,智能卡10接收校验因子,获取对称密钥,利用对称密钥至少对校验因子进行单向加密运算得到第一单向加密信息;智能卡10还用于向安全设备20发送校验信息,校验信息包括签名信息和智能卡10的证书,或者校验信息包括第一单向加密信息;
注册处理端40,用于接收注册请求,根据注册请求获取注册信息,并生成校验因子,向注册端30发送校验因子;注册处理端40,还用于接收校验信息,根据注册信息获取注册帐号和密码,根据校验信息获取签名信息和智能卡10的证书或第一单向加密信息;
当获取到的是签名信息和智能卡的证书时,注册处理端40利用根证书验证智能卡10的证书,并在验证智能卡10的证书通过后,根据智能卡10的证书获取智能卡10的公钥,利用智能卡10的公钥对签名信息进行解密获得第一摘要信息,并至少对校验因子进行哈希运算后获得第二摘要信息,将第一摘要信息和第二摘要信息进行比对,在比对第一摘要信息和第二摘要信息一致时,存储注册帐号、密码和智能卡10的证书;或者
当获取到的是第一单向加密信息时,注册处理端40获取对称密钥,利用对称密钥对校验因子进行单向加密运算得到第二单向加密信息,将第一单向加密信息和第二单向加密信息进行比对,在验证用户帐号和密码通过且比对第一单向加密信息和第二单向加密信息一致时,存储注册帐号、密码和智能卡的证书。
通过本发明的注册系统,可以使得持有智能卡的用户可以通过读卡的方式、利用安全设备安全地注册到注册处理端,方便了用户的注册过程,还保证了用户账户的安全性。
在本发明的一个可选实施方式中,注册处理端40,还用于通过注册端30向安全设备20发送注册帐号和密码;安全芯片201,还用于控制读卡器202向智能卡10发送注册帐号和密码;智能卡10,还用于存储注册帐号和密码。具体的,注册处理端在对发送来的注册信息完成注册后,还可以将注册帐号和密码发送给智能卡,在智能卡中存储一份注册帐号和密码,以便用户在下次使用智能卡进行登录操作时无需再手动输入注册帐号和密码,而只需读卡就可获得注册帐号和密码,从而简化了后续的登录流程。
在本发明的一个可选实施方式中,注册处理端40与智能卡10协商出加密密钥,并利用加密密钥加密注册处理端40与智能卡10之间传输的数据。注册处理端之间通过协商出的加密密钥来传输数据,可以更大程度地保证数据传输的安全性。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
Claims (6)
1.一种利用安全设备注册方法,所述安全设备为安全键盘,所述安全设备包括:安全芯片、读卡器和通讯接口;其特征在于,所述方法包括:
所述安全设备接收用户通过键盘按键输入的信息,所述安全芯片将用户输入的字符进行处理,转化成相应的注册信息;
所述安全设备通过通讯接口向注册端输入所述注册信息,所述注册信息包括:注册帐号和密码;
注册端接收所述注册信息,生成注册请求,向注册处理端发送所述注册请求,其中:所述注册请求包括所述注册信息,并包含指示所述注册处理端根据所述注册信息生成校验因子的指示信息;
所述注册处理端接收所述注册请求,根据所述注册请求获取所述注册信息,根据所述指示信息生成校验因子,向所述注册端发送所述校验因子;
所述注册端接收所述校验因子后,向所述安全设备的通讯接口发送所述校验因子;所述读卡器判断是否有智能卡连接到所述安全设备,如果所述读卡器连接有所述智能卡,所述安全芯片控制所述读卡器向所述智能卡发送所述校验因子,如果所述读卡器没有连接所述智能卡,所述读卡器执行寻卡操作,向外发送寻卡指令,当接收到所述智能卡发送的寻卡响应后,与所述智能卡建立连接,所述安全芯片控制所述读卡器向所述智能卡发送所述校验因子;
所述智能卡接收所述校验因子,获取智能卡的私钥,至少对所述校验因子进行哈希运算后获得第一摘要信息,利用所述智能卡的私钥对所述摘要信息进行加密得到签名信息;或者,所述智能卡接收所述校验因子,获取对称密钥,利用所述对称密钥至少对所述校验因子进行单向加密运算得到第一单向加密信息;
所述智能卡向所述安全设备发送校验信息,所述校验信息包括所述签名信息和所述智能卡的证书,或者所述校验信息包括所述第一单向加密信息;
所述安全芯片控制所述读卡器接收所述校验信息,并调用所述通讯接口向所述注册处理端发送所述校验信息;
所述注册处理端接收所述校验信息,根据所述注册信息获取所述注册帐号和所述密码,根据所述校验信息获取所述签名信息和所述智能卡的证书或所述第一单向加密信息;
当获取到的是所述签名信息和所述智能卡的证书时,所述注册处理端利用根证书验证所述智能卡的证书,并在验证所述智能卡的证书通过后,根据所述智能卡的证书获取智能卡的公钥,利用所述智能卡的公钥对所述签名信息进行解密获得所述第一摘要信息,并至少对所述校验因子进行哈希运算后获得第二摘要信息,将所述第一摘要信息和所述第二摘要信息进行比对,在比对所述第一摘要信息和所述第二摘要信息一致时,存储所述注册帐号、所述密码和所述智能卡的证书;或者
当获取到的是所述第一单向加密信息时,所述注册处理端获取所述对称密钥,利用所述对称密钥对所述校验因子进行所述单向加密运算得到第二单向加密信息,将所述第一单向加密信息和所述第二单向加密信息进行比对,在验证所述注册帐号和所述密码通过且比对所述第一单向加密信息和所述第二单向加密信息一致时,存储所述注册帐号、所述密码和所述智能卡的证书。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述注册处理端通过所述注册端向所述安全设备发送所述注册帐号和所述密码;
所述安全芯片控制所述读卡器向所述智能卡发送所述注册帐号和所述密码;
所述智能卡存储所述注册帐号和所述密码。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
所述注册处理端与所述智能卡协商出加密密钥,并利用所述加密密钥加密所述注册处理端与所述智能卡之间传输的数据。
4.一种注册系统,所述系统包括:安全设备、智能卡、注册端和注册处理端;所述安全设备为安全键盘,所述安全设备包括:安全芯片、读卡器和通讯接口;
所述安全设备,用于接收用户通过键盘按键输入的信息,所述安全芯片将用户输入的字符进行处理,转化成相应的注册信息;通过通讯接口向所述注册端输入所述注册信息,所述注册信息包括:注册帐号和密码;其中:所述安全芯片,用于触发所述读卡器判断是否有智能卡连接到所述安全设备,如果所述读卡器连接有所述智能卡,控制所述读卡器向所述智能卡发送校验因子,如果所述读卡器没有连接所述智能卡,所述读卡器执行寻卡操作,向外发送寻卡指令,当接收到所述智能卡发送的寻卡响应后,与所述智能卡建立连接,所述安全芯片控制所述读卡器向所述智能卡发送所述校验因子;所述安全芯片,还用于控制所述读卡器接收校验信息,并调用所述通讯接口向所述注册处理端发送所述校验信息;
所述注册端,用于接收所述注册信息,生成注册请求,向注册处理端发送所述注册请求,其中,所述注册请求包括所述注册信息,并包含指示所述注册处理端根据所述注册信息生成校验因子的指示信息;所述注册端,还用于在接收所述校验因子后,向所述安全设备的通讯接口发送所述校验因子;
所述智能卡,用于接收所述校验因子,获取智能卡的私钥,至少对所述校验因子进行哈希运算后获得第一摘要信息,利用所述智能卡的私钥对所述摘要信息进行加密得到签名信息;或者,所述智能卡接收所述校验因子,获取对称密钥,利用所述对称密钥至少对所述校验因子进行单向加密运算得到第一单向加密信息;所述智能卡还用于向所述安全设备发送校验信息,所述校验信息包括所述签名信息和所述智能卡的证书,或者所述校验信息包括所述第一单向加密信息;
所述注册处理端,用于接收所述注册请求,根据所述注册请求获取所述注册信息,根据所述指示信息生成校验因子,向所述注册端发送所述校验因子;所述注册处理端,还用于接收所述校验信息,根据所述注册信息获取所述注册帐号和所述密码,根据所述校验信息获取所述签名信息和所述智能卡的证书或所述第一单向加密信息;
当获取到的是所述签名信息和所述智能卡的证书时,所述注册处理端利用根证书验证所述智能卡的证书,并在验证所述智能卡的证书通过后,根据所述智能卡的证书获取智能卡的公钥,利用所述智能卡的公钥对所述签名信息进行解密获得所述第一摘要信息,并至少对所述校验因子进行哈希运算后获得第二摘要信息,将所述第一摘要信息和所述第二摘要信息进行比对,在比对所述第一摘要信息和所述第二摘要信息一致时,存储所述注册帐号、所述密码和所述智能卡的证书;或者
当获取到的是所述第一单向加密信息时,所述注册处理端获取所述对称密钥,利用所述对称密钥对所述校验因子进行所述单向加密运算得到第二单向加密信息,将所述第一单向加密信息和所述第二单向加密信息进行比对,在验证所述注册帐号和所述密码通过且比对所述第一单向加密信息和所述第二单向加密信息一致时,存储所述注册帐号、所述密码和所述智能卡的证书。
5.根据权利要求4所述的系统,其特征在于,
所述注册处理端,还用于通过所述注册端向所述安全设备发送所述注册帐号和所述密码;
所述安全芯片,还用于控制所述读卡器向所述智能卡发送所述注册帐号和所述密码;
所述智能卡,还用于存储所述注册帐号和所述密码。
6.根据权利要求4或5所述的系统,其特征在于,所述注册处理端与所述智能卡协商出加密密钥,并利用所述加密密钥加密所述注册处理端与所述智能卡之间传输的数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711462992.XA CN108322439B (zh) | 2017-12-28 | 2017-12-28 | 一种利用安全设备注册方法和注册系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711462992.XA CN108322439B (zh) | 2017-12-28 | 2017-12-28 | 一种利用安全设备注册方法和注册系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108322439A CN108322439A (zh) | 2018-07-24 |
| CN108322439B true CN108322439B (zh) | 2020-12-15 |
Family
ID=62892644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711462992.XA Active CN108322439B (zh) | 2017-12-28 | 2017-12-28 | 一种利用安全设备注册方法和注册系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108322439B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034423A (zh) * | 2006-03-09 | 2007-09-12 | 福建省普集网络科技有限公司 | 一种用于网络上唯一性、精确、快速定位登陆网页的方法 |
| CN101719250A (zh) * | 2009-12-10 | 2010-06-02 | 中国联合网络通信集团有限公司 | 支付认证方法、平台和系统 |
| CN103346888A (zh) * | 2013-07-02 | 2013-10-09 | 山东科技大学 | 一种基于密码、智能卡和生物特征的远程身份认证方法 |
| CN105141615A (zh) * | 2015-09-07 | 2015-12-09 | 天地融科技股份有限公司 | 一种远程开户方法和系统及其身份验证方法和系统 |
| CN106330919A (zh) * | 2016-08-26 | 2017-01-11 | 国家电网公司 | 一种运维安全审计方法及系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7461399B2 (en) * | 2004-07-30 | 2008-12-02 | Rsa Security Inc. | PIN recovery in a smart card |
| CN102082669A (zh) * | 2010-12-23 | 2011-06-01 | 深圳市文鼎创数据科技有限公司 | 一种安全认证方法及装置 |
| US20130185567A1 (en) * | 2012-01-13 | 2013-07-18 | Greg Salyards | Method or process for securing computers or mobile computer devices with a contact or dual-interface smart card |
| CN102737311B (zh) * | 2012-05-11 | 2016-08-24 | 福建联迪商用设备有限公司 | 网络银行安全认证方法和系统 |
| CN102867366B (zh) * | 2012-09-19 | 2014-10-15 | 中国工商银行股份有限公司 | 一种便携式银行卡数据处理装置、系统及方法 |
-
2017
- 2017-12-28 CN CN201711462992.XA patent/CN108322439B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101034423A (zh) * | 2006-03-09 | 2007-09-12 | 福建省普集网络科技有限公司 | 一种用于网络上唯一性、精确、快速定位登陆网页的方法 |
| CN101719250A (zh) * | 2009-12-10 | 2010-06-02 | 中国联合网络通信集团有限公司 | 支付认证方法、平台和系统 |
| CN103346888A (zh) * | 2013-07-02 | 2013-10-09 | 山东科技大学 | 一种基于密码、智能卡和生物特征的远程身份认证方法 |
| CN105141615A (zh) * | 2015-09-07 | 2015-12-09 | 天地融科技股份有限公司 | 一种远程开户方法和系统及其身份验证方法和系统 |
| CN106330919A (zh) * | 2016-08-26 | 2017-01-11 | 国家电网公司 | 一种运维安全审计方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108322439A (zh) | 2018-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9525550B2 (en) | Method and apparatus for securing a mobile application | |
| US10904007B2 (en) | Authentication device based on biometric information, control server connected to the same, and login method based on biometric information thereof | |
| US8739266B2 (en) | Universal authentication token | |
| CN101300808B (zh) | 安全认证的方法和设置 | |
| CN108322310B (zh) | 一种利用安全设备读卡登录方法及安全登录系统 | |
| US9445269B2 (en) | Terminal identity verification and service authentication method, system and terminal | |
| CN105847247A (zh) | 一种认证系统及其工作方法 | |
| KR20160129839A (ko) | 블루투스 인터페이스를 갖는 인증 장치 | |
| JP2012530311A5 (zh) | ||
| CN103825871A (zh) | 一种鉴权系统及其发射终端、接收终端和权限认证方法 | |
| CN109920100B (zh) | 一种智能锁开锁方法及系统 | |
| CN108200037B (zh) | 一种利用安全设备执行安全操作的方法及系统 | |
| CN109063438A (zh) | 一种数据访问方法、装置、本地数据安全访问设备及终端 | |
| CN104618114B (zh) | 身份证信息获取方法、装置及系统 | |
| TW201729562A (zh) | 伺服器、行動終端機、網路實名認證系統及方法 | |
| EP3480718B1 (en) | System and method for facilitating authentication via a shortrange wireless token | |
| CN108322440B (zh) | 一种利用安全设备读卡登录方法及安全登录系统 | |
| KR101792220B1 (ko) | 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션이 탑재된 사용자 모바일 단말기, 인증 서비스 장치 및 컴퓨터 프로그램 | |
| CN105592056A (zh) | 用于移动设备的密码安全系统及其密码安全输入方法 | |
| CN107548542B (zh) | 经强化完整性及安全性的用户认证方法 | |
| CN108322439B (zh) | 一种利用安全设备注册方法和注册系统 | |
| KR20180034199A (ko) | 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템 | |
| CN107292611B (zh) | 一种交易方法和系统 | |
| KR101879842B1 (ko) | Otp를 이용한 사용자 인증 방법 및 시스템 | |
| KR101790121B1 (ko) | 전자 기기 인증 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |