CN108521333B - 一种基于动态口令进行离线认证的登录方法及系统 - Google Patents

一种基于动态口令进行离线认证的登录方法及系统 Download PDF

Info

Publication number
CN108521333B
CN108521333B CN201810390666.0A CN201810390666A CN108521333B CN 108521333 B CN108521333 B CN 108521333B CN 201810390666 A CN201810390666 A CN 201810390666A CN 108521333 B CN108521333 B CN 108521333B
Authority
CN
China
Prior art keywords
information
module
terminal
user
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810390666.0A
Other languages
English (en)
Other versions
CN108521333A (zh
Inventor
陆舟
于华章
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Feitian Technologies Co Ltd
Original Assignee
Feitian Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Feitian Technologies Co Ltd filed Critical Feitian Technologies Co Ltd
Priority to CN201810390666.0A priority Critical patent/CN108521333B/zh
Publication of CN108521333A publication Critical patent/CN108521333A/zh
Application granted granted Critical
Publication of CN108521333B publication Critical patent/CN108521333B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开一种基于动态口令进行离线认证的登录方法及系统,该方法包括:当终端接收到登录信息时,判断认证服务器是否连接,是则将登录信息发送给认证服务器,认证服务器根据登录信息中的用户信息查找到的种子信息和口令算法、动态因子生成验证窗口,判断登录信息中的动态口令是否与验证窗口中的动态口令匹配,是则通知终端允许用户登录,否则通知终端拒绝用户登录;否则当有合法设备插入时将登录信息中的动态口令发送给离线设备;离线设备根据内部的种子信息、口令算法和动态因子生成验证窗口,判断登录信息中的动态口令是否与验证窗口中的动态口令匹配,是则通知终端允许用户登录,否则通知终端拒绝用户登录。本发明技术方案方便安全可靠。

Description

一种基于动态口令进行离线认证的登录方法及系统
技术领域
本发明涉及信息安全领域,尤其涉及一种基于动态口令进行离线认证的登录方法及系统。
背景技术
目前OTP Server(动态口令认证服务器)对口令的认证都是在线进行认证的,且OTP Server基本上部署在企业内部,通过在Windows、Linux等操作系统中安装OTP代理软件来进行安全保护。如果操作系统不能正常联网或者连接不到OTP Server,就不能正常登录到系统。例如一组用户在客户端的操作系统中安装了OTP代理软件对系统进行保护,现在需要出差,出差期间连接不到公司内网,如果用户需要使用客户端,那么只能卸载OTP代理软件,这样又降低了客户端的安全保护。
发明内容
本发明的目的是为了克服现有技术的不足,提供一种基于动态口令进行离线认证的登录方法及系统。
本发明提供了一种基于动态口令进行离线认证的登录方法,包括:
步骤S1:当终端接收到登录信息时,判断认证服务器是否连接,是则执行步骤S5,否则执行步骤S2;
步骤S2:所述终端判断是否有合法的离线设备插入,是则执行步骤S3,否则报错,结束;
步骤S3:所述终端将所述登录信息中的动态口令发送给所述离线设备;
步骤S4:所述离线设备根据内部的种子信息、口令算法和动态因子生成验证窗口,并判断所述登录信息中的动态口令是否与所述验证窗口中的动态口令匹配,是则通知所述终端允许用户登录,否则通知所述终端拒绝用户登录;
步骤S5:所述终端将所述登录信息发送给认证服务器;
步骤S6:所述认证服务器根据接收到的登录信息中的用户信息查找对应的种子信息和口令算法,如找到则执行步骤S7,如未找到则通知所述终端拒绝用户登录;
步骤S7:所述认证服务器根据所述找到的种子信息和口令算法、内部保存的动态因子生成验证窗口,并判断所述登录信息中的动态口令是否与所述验证窗口中的动态口令匹配,是则通知所述终端允许用户登录,否则通知所述终端拒绝用户登录。
进一步地,在所述步骤S1之前还包括:
步骤T1:所述认证服务器将生成的第一非对称密钥中的公钥与所述离线设备生成的非第二对称密钥对中的公钥进行交换;
步骤T2:所述认证服务器根据自身生成的第一非对称密钥中的公钥、种子信息和口令算法生成第一签名数据,并将所述第一签名数据通过所述终端发送给所述离线设备进行保存。
进一步地,所述步骤T1包括:
步骤T11:当所述认证服务器接收到下载签名数据请求时生成第一非对称密钥对并保存,通过所述终端给所述离线设备发送所述第一非对称密钥对中的公钥;
步骤T12:所述离线设备接收到第一非对称密钥对中的公钥后保存所述第一非对称密钥对中的公钥,生成第二非对称密钥对并保存,将所述第二非对称密钥对中的公钥通过所述终端发送给所述认证服务器;
步骤T13:所述认证服务器接收所述第二非对称密钥对中的公钥并保存。
进一步地,所述步骤T11还包括:所述认证服务器生成公钥证书并保存;
所述步骤T2包括:
步骤T21:所述认证服务器根据保存的用户信息查找对应的种子信息和口令算法,使用所述第二非对称密钥对中的公钥对找到的所述种子信息和口令算法进行加密得到第一加密数据,使用所述第一非对称密钥对中的私钥对所述公钥证书进行签名得到第一签名数据;
步骤T22:所述认证服务器将所述第一加密数据和所述第一签名数据通过所述终端发送给所述离线设备;
步骤T23:所述离线设备接收第一加密数据和第一签名数据并保存。
进一步地,所述步骤T1之前还包括:
步骤L1:当所述终端接收到下载数据信息时,向所述认证服务器发送离线认证请求;
步骤L2:所述认证服务器添加离线认证用户,并给所述终端返回成功响应。
进一步地,所述步骤L2中的所述认证服务器添加离线认证用户具体包括:所述认证服务器从所述离线认证请求中获取用户标识,并根据所述用户标识获取对应的用户信息并保存,或所述认证服务器从所述离线认证请求中获取对应的用户信息并保存。
进一步地,所述保存的用户信息有多个,则所述步骤T21中的使用所述第二非对称密钥对中的公钥对找到的所述种子信息和口令算法进行加密得到第一加密数据,具体包括:所述认证服务器使用所述第二非对称密钥对中的公钥对保存的所有用户的种子信息和口令算法进行加密得到第一加密数据。
进一步地,所述保存的用户信息有多个,所述步骤T21中的使用所述第二非对称密钥对中的公钥对找到的所述种子信息和口令算法进行加密得到第一加密数据,具体包括:所述认证服务器使用所述第二非对称密钥对中的公钥分别对保存的每个用户的种子信息和口令算法进行加密,根据所有加密结果得到第一加密数据。
进一步地,所述步骤T21中的使用所述第一非对称密钥对中的私钥对所述公钥证书进行签名得到第一签名数据,具体包括:所述认证服务器使用预设哈希算法对公钥证书进行计算得到第二哈希值,使用所述第一非对称密钥对中的私钥对第二哈希值进行加密得到第一签名数据。
进一步地,所述步骤T22具体包括:
步骤T22-11:所述认证服务器将所述用户信息、所述公钥证书、所述第一加密数据和所述第一签名数据发送给所述终端;
步骤T22-12:所述终端接收所述用户信息、所述公钥证书、所述第一加密数据和所述第一签名数据,保存所述公钥证书;
步骤T22-13:所述终端将所述用户信息、所述第一加密数据和所述第一签名数据发送给所述离线设备。
进一步地,所述步骤T1之前包括:当所述终端接收到用户信息时进行保存,将所述用户信息发送给所述认证服务器。
进一步地,所述步骤T22具体包括:
步骤T22-21:所述认证服务器将所述第一加密数据和所述第一签名数据发送给所述终端;
步骤T22-22:所述终端接收所述第一加密数据和所述第一签名数据,将保存的所述用户信息、接收到的所述第一加密数据和所述第一签名数据发送给所述离线设备。
进一步地,所述步骤T23之后还包括:当所述终端接收到公钥证书后进行保存。
进一步地,所述步骤S2包括:
步骤S20:所述终端判断是否有离线设备插入,是则执行步骤S21,否则报错,结束;
步骤S21:所述终端从所述离线设备中读取第一签名数据;
步骤S22:所述终端对所述第一签名数据进行验证,如验证成功则执行步骤S3,如验证失败则报错,结束。
进一步地,所述步骤S22包括:所述终端使用保存的第一非对称密钥对中的公钥对所述第一签名数据进行解密得到第一解密结果,使用预设哈希算法对保存的公钥证书进行计算得到第一哈希值,判断所述第一解密结果与所述第一哈希值是否相同,是则验证成功,执行步骤S3,否则验证失败,报错,结束。
进一步地,所述步骤S3具体包括:所述终端将所述登录信息中的动态口令和用户信息发送给所述离线设备;
所述步骤S4具体包括:所述离线设备根据内部的与所述用户信息对应的种子信息和口令算法、内部的动态因子生成验证窗口,并判断所述登录信息中的动态口令是否与所述验证窗口中的动态口令匹配,是则通知所述终端允许用户登录,否则通知所述终端拒绝用户登录。
进一步地,所述步骤S3与步骤S4之间包括:
步骤C1:所述离线设备根据接收到的所述登录信息中的用户信息查找对应的第一加密数据,使用保存的所述第二非对称密钥对中的私钥对查找到的所述第一加密数据进行解密,解密成功得到种子信息和口令算法。
进一步地,所述步骤C1与步骤S4之间包括:
步骤C2:所述离线设备判断自身是否有效,是则执行步骤S4,否则给所述终端返回异常的认证日志信息。
进一步地,所述步骤C2具体为:所述离线设备判断内部保存的有效时间日期算是否大于当前时间,是则执行步骤S4,否则给所述终端返回异常的认证日志信息。
进一步地,所述通知所述终端允许用户登录包括:给所述终端返回允许登录信息,执行步骤D1;
所述通知所述终端拒绝用户登录包括:给所述终端返回拒绝登录信息,执行步骤D1;
步骤D1:所述终端根据接收到的信息判断是否允许用户登录,如接收到的信息为允许登录信息则允许用户登录,如接收到的信息为拒绝登录信息则拒绝用户登录。
进一步地,所述步骤S4中判断为是时还包括:所述离线设备生成正常的认证日志信息并保存;所述步骤S4中判断为否时还包括:所述离线设备生成异常的认证日志信息并保存;
当所述终端与所述认证服务器建立连接且所述终端检测到所述离线设备插入时,所述方法还包括:
步骤P1:所述终端读取插入的离线设备中的认证日志信息,并将所述认证日志信息发送给认证服务器;
步骤P2:所述认证服务器接收所述认证日志信息并对其进行检查,如正常则执行步骤P3,如异常则执行步骤P5;
步骤P3:所述认证服务器用接收到的认证日志信息替换保存的对应离线设备的认证信息,并通过所述终端给所述离线设备返回更新成功信息;
步骤P4:所述离线设备接收到所述更新成功信息后,清除保存种子信息和口令算法;
步骤P5:所述认证服务器更新异常次数,判断异常次数是否为预定数据,是则临时锁定所述离线设备,否则永久锁定所述离线设备。
进一步地,如所述离线设备中有多个种子和算法,则所述更新成功信息中包括用户信息;
所述步骤P4具体包括:所述离线设备接收到所述更新成功信息后,清除保存的与所述更新成功信息中的用户信息对应的种子信息和口令算法。
进一步地,所述离线设备根据内部的种子信息、口令算法和动态因子生成验证窗口,包括:所述离线设备根据偏移值和内部的动态因子得到动态因子窗口,根据所述动态因子窗口、与所述用户信息对应的种子信息和口令算法生成验证窗口;所述偏移值的初始值为0;
所述步骤S4判断为是时还包括:所述离线设备根据匹配上的动态口令更新所述记录的偏移值和校正保存的动态因子。
本发明又提供了一种基于动态口令进行离线认证的登录系统,包括终端、离线设备和认证服务器;所述终端包括:
第一接收模块,用于接收登录信息;
第一判断模块,用于当所述第一接收模块接收到登录信息时,判断认证服务器是否连接;
第二判断模块,用于在所述第一判断模块判断为否时判断是否有合法的离线设备插入,当判断为否时报错;
第一发送模块,用于当所述第一判断模块判断为是时将所述第一接收模块接收到的登录信息发送给所述认证服务器;还用于当所述第二判断模块判断为是时将所述第一接收模块接收到登录信息中的动态口令发送给所述离线设备;
所述离线设备包括:
第二接收模块,用于接收所述第一发送模块发送的所述登录信息中的动态口令;
第一生成模块,用于根据内部的种子信息、口令算法和动态因子生成验证窗口;
第三判断模块,用于判断所述第二接收模块接收到的所述登录信息中的动态口令是否与所述第一生成模块生成的验证窗口中的动态口令匹配;
第二发送模块,用于当所述第三判断模块判断为是时通知所述终端允许用户登录;还用于当所述第三判断模块判断为否时通知所述终端拒绝用户登录;
所述认证服务器包括:
第三接收模块,用于接收所述第一发送模块发送的登录信息;
第一查找模块,用于根据所述第三接收模块接收到的登录信息中的用户信息查找对应的种子信息和口令算法;
第二生成模块,用于当所述第一查找模块找到对应的种子信息和口令算法时根据所述找到的种子信息和口令算法、内部保存的动态因子生成验证窗口;
第四判断模块,用于判断所述第三接收模块接收到的登录信息中的动态口令是否与所述第二生成模块生成的验证窗口中的动态口令匹配;
第三发送模块,用于当所述第一查找模块未找到对应的种子信息和口令算法时和所述第四判断模块判断为否时通知所述终端拒绝用户登录,还用于所述第四判断模块判断为是时通知所述终端允许用户登录。
进一步地,第二发送模块还用于将所述离线设备生成的第二非对称密钥对中的公钥发送给所述第一接收模块;
第一接收模块还用于接收第二发送模块发送的第二非对称密钥对中的公钥;
第一发送模块还用于将所述第一接收模块接收到的第二非对称密钥对中的公钥发送给所述第三接收模块;
第三接收模块还用于接收所述第一发送模块发送的第二非对称密钥对中的公钥;
第三发送模块还用于将所述认证服务器生成的第一非对称密钥对中的公钥发送给第一接收模块;
第一接收模块还用于接收第三发送模块发送的第一非对称密钥对中的公钥;
第一发送模块还用于将所述第一接收模块接收到的第一非对称密钥对中的公钥发送给所述第二接收模块;
第二接收模块还用于接收所述第一发送模块发送的第一非对称密钥对中的公钥;
所述认证服务器还包括第三生成模块,所述离线设备还包括第一保存模块;
所述第三生成模块用于根据所述认证服务器生成的第一非对称密钥中的公钥、种子信息和口令算法生成第一签名数据;
所述第三发送模块还用于将所述第三生成模块生成的第一签名数据发送给所述第一接收模块;
所述第一接收模块还用于接收所述第三发送模块发送的第一签名数据;
所述第一发送模块还用于将所述第一接收模块接收到的所述第一签名数据发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一发送模块发送的所述第一签名数据;
所述第一保存模块用于保存所述第二接收模块接收到的所述第一签名数据。
进一步地,所述认证服务器还包括第一生成保存模块和第二保存模块,所述离线设备还包括第二生成保存模块;
所述第三接收模块还用于接收下载签名数据请求;
所述第一生成保存模块,用于当所述第三接收模块接收到下载签名数据时生成第一非对称密钥对并保存;
所述第三发送模块还用于给所述第一接收模块发送所述第一非对称密钥中的公钥;
所述第一接收模块还用于接收所述第一非对称密钥中的公钥;
所述第一发送模块还用于将所述第一接收模块接收到的所述第一非对称密钥中的公钥发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一非对称密钥中的公钥;
所述第二生成保存模块,用于在所述第二接收模块接收到所述第一非对称密钥中的公钥时后生成第二非对称密钥对并保存;
所述第二保存模块,用于保存所述第二接收模块接收到的第一非对称密钥对中的公钥。
进一步地,所述认证服务器还包括第三生成保存模块,用于生成公钥证书并保存;
所述第三生成模块包括:第一查找单元、第一生成单元和第二生成单元;
所述第一查找单元用于根据保存的用户信息查找对应的种子信息和口令算法;
所述第一生成单元用于使用所述第二非对称密钥对中的公钥对找到的所述种子信息和口令算法进行加密得到第一加密数据;
所述第二生成单元用于使用所述第一非对称密钥对中的私钥对所述公钥证书进行签名得到第一签名数据;
所述第三发送模块还用于将所述第一生成单元生成的所述第一加密数据和所述第二生成单元生成的所述第一签名数据发送给所述第一接收模块;
所述第一接收模块还用于接收所述第三发送模块发送的所述第一加密数据和所述第一签名数据;
所述第一发送模块还用于将所述第一加密数据和所述第一签名数据发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一发送模块发送的第一加密数据和第一签名数据;
所述第一保存模块具体用于保存所述第二接收模块接收到的所述第一加密数据和所述第一签名数据。
进一步地,所述认证服务器还包括添加模块;
所述第一接收模块还用于接收下载数据信息;
所述第一发送模块还用于当所述第一接收模块接收到下载数据信息时向所述认证服务器发送离线认证请求;
所述第三接收模块还用于接收所述第一发送模块发送的离线认证请求;
所述添加模块用于在所述第三接收模块接收到离线认证请求时添加离线认证用户;
所述第三发送模块还用于在所述添加模块添加完离线认证用户后给所述终端返回成功响应;
所述第一接收模块还用于接收所述第三发送模块发送的成功响应。
进一步地,所述添加模块具体用于从所述离线认证请求中获取用户标识,并根据所述用户标识获取对应的用户信息并保存,或从所述离线认证请求中获取对应的用户信息并保存。
进一步地,所述保存的用户信息有多个,
所述第一生成单元具体用于使用所述第二非对称密钥对中的公钥对保存的所有用户的种子信息和口令算法进行加密得到第一加密数据。
进一步地,所述保存的用户信息有多个,
所述第一生成单元具体用于使用所述第二非对称密钥对中的公钥分别对保存的每个用户的种子信息和口令算法进行加密,根据所有加密结果得到第一加密数据。
进一步地,所述第二生成单元具体用于使用预设哈希算法对公钥证书进行计算得到第二哈希值,使用所述第一非对称密钥对中的私钥对第二哈希值进行加密得到第一签名数据。
进一步地,所述终端还包括第二保存模块;
所述第三发送模块还用于将所述用户信息、所述公钥证书、所述第一加密数据和所述第一签名数据发送给所述第一接收模块;
所述第一接收模块还用于接收所述第三发送模块发送的所述用户信息、所述公钥证书、所述第一加密数据和所述第一签名数据;
所述第二保存模块用于保存所述第一接收模块接收到的公钥证书;
所述第一发送模块还用于将所述用户信息、所述第一加密数据和所述第一签名数据发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一发送模块发送的所述用户信息、所述第一加密数据和所述第一签名数据。
进一步地,所述终端还包括第三保存模块;
所述第一接收模块还用于接收用户信息;
所述第三保存模块用于对所述第一接收模块接收到的用户信息进行保存;
所述第一发送模块还用于将所述用户信息发送给所述第三接收模块;
所述第三接收模块还用于接收所述第一发送模块发送的用户信息。
进一步地,所述第三发送模块还用于将所述第一加密数据和所述第一签名数据发送给所述第一接收模块;
所述第一接收模块还用于接收所述第一加密数据和所述第一签名数据;
所述第一发送模块还用于将所述第三保存模块保存的所述用户信息、所述第一接收模块接收到的所述第一加密数据和所述第一签名数据发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一发送模块发送的所述用户信息、所述第一加密数据和所述第一签名数据。
进一步地,所述第一接收模块还用于接收公钥证书;
所述第三保存模块还用于保存所述第一接收模块接收到的公钥证书。
进一步地,所述第二判断模块包括:
第一判断单元,用于判断是否有离线设备插入,当判断为否时报错;
第一读取单元,用于当所述第一判断单元判断为是时从所述离线设备中读取第一签名数据;
第一验证单元,用于对所述第一读取单元读取到的第一签名数据进行验证,如验证成功则触发所述第一发送模块将所述第一接收模块接收到的登录信息发送给所述认证服务器,如验证失败则报错。
进一步地,所述第一验证单元具体用于使用保存的所述第一非对称密钥对中的公钥对所述第一签名数据进行解密得到第一解密结果,使用预设哈希算法对保存的公钥证书进行计算得到第一哈希值,判断所述第一解密结果与所述第一哈希值是否相同,是则触发所述第一发送模块将所述第一接收模块接收到的登录信息发送给所述认证服务器,否则报错。
进一步地,所述第一发送模块还用于将所述登录信息中的动态口令和用户信息发送给所述离线设备;
所述第二接收模块还用于接收所述第一发送模块发送的所述登录信息中的动态口令和用户信息;
所述第一生成模块具体用于根据内部的与所述用户信息对应的种子信息和口令算法、内部的动态因子生成验证窗口;
所述第三判断模块具体用于判断所述登录信息中的动态口令是否与所述验证窗口中的动态口令匹配。
进一步地,所述离线设备还包括查找解密模块,用于根据所述第二接收模块接收到的所述登录信息中的用户信息查找对应的第一加密数据,使用保存的所述第二非对称密钥对中的私钥对查找到的所述第一加密数据进行解密,解密成功得到种子信息和口令算法。
进一步地,所述离线设备还包括第五判断模块,用于判断所述离线设备是否有效,是则触发所述第一生成模块工作,否则触发所述第二发送模块给所述终端返回异常的认证日志信息。
进一步地,所述第五判断模块具体用于判断内部保存的有效时间日期算是否大于当前时间,是则触发所述第一生成模块工作,否则触发所述第二发送模块给所述终端返回异常的认证日志信息。
进一步地,所述终端还包括第六判断模块;
第二发送模块,还用于当所述第三判断模块判断为是时给所述终端发送允许用户登录信息,还用于当所述第三判断模块判断为否时给所述终端发送拒绝用户登录信息;
第三发送模块,还用于当所述第一查找模块未找到对应的种子信息和口令算法时和所述第四判断模块判断为否时给所述终端发送拒绝用户登录信息,还用于所述第四判断模块判断为是时给所述终端发送允许用户登录信息;
所述第一接收模块还用于接收所述第二发送模块和第三发送模块发送的拒绝用户登录信息或允许用户登录信息;
所述第六判断模块用于根据接收到的信息判断是否允许用户登录,如接收到的信息为允许登录信息则允许用户登录,如接收到的信息为拒绝登录信息则拒绝用户登录。
进一步地,所述离线设备还包括第三生成保存模块和清除模块;所述终端还包括第一读取模块;所述认证服务器还包括第一检查模块、替换模块、更新判断模块;
所述第三生成保存模块用于在所述第三判断模块判断为是时生成正常的认证日志信息并保存;还用于在所述第三判断模块判断为否时生成异常的认证日志信息并保存;
所述第一读取模块用于当所述终端与所述认证服务器建立连接且所述终端检测到所述离线设备插入终端时,读取插入的所述离线设备中的认证日志信息;
所述第一发送模块还用于将所述第一读取模块读取的认证日志信息发送给认证服务器;
所述第三接收模块还用于接收所述第一发送模块发送的认证日志信息;
所述第一检查模块用于对所述第三接收模块接收到的所述认证日志信息进行检查;
所述替换模块用于当所述第一检查模块检查正常时用接收到的认证日志信息替换保存的对应离线设备的认证信息;
所述第三发送模块还用于给所述终端给所述离线设备返回更新成功信息;
所述第一接收模块还用于接收所述第三发送模块发送的更新成功过信息;
所述第一发送模块还用于给所述离线设备发送所述第一接收模块接收到的更新成功信息;
所述第二接收模块还用于接收所述第一发送模块发送的更新成功信息;
所述清除模块用于在所述第二接收模块接收到所述更新成功信息后,清除保存种子信息和口令算法;
所述更新判断模块用于当所述第一检查模块检查异常时更新异常次数,判断异常次数是否为预定数据,是则临时锁定所述离线设备,否则永久锁定所述离线设备。
进一步地,如所述离线设备中有多个种子和算法,则所述更新成功信息中包括用户信息;
所述清除模块具体用于在所述第二接收模块接收到所述更新成功信息后,清除保存的与所述更新成功信息中的用户信息对应的种子信息和口令算法。
进一步地,所述离线设备还包括更新模块;
所述第一生成模块具体用于根据偏移值和内部的动态因子得到动态因子窗口,根据所述动态因子窗口、与所述用户信息对应的种子信息和口令算法生成验证窗口;所述偏移值的初始值为0;
所述更新模块用于当所述第三判断模块判断为是时根据匹配上的动态口令更新所述记录的偏移值和校正保存的动态因子。
本发明与现有技术相比,具有以下优点:
本发明技术方案能够实现在没有网络或者网络受限的情况下结合使用离线设备和动态令牌对用户身份进行鉴别,方便用户进行登录,使用安全可靠。
附图说明
图1为本发明实施例一提供的一种基于动态口令进行离线认证的登录方法实现流程图;
图2为本发明实施例二提供的一种基于动态口令进行离线认证的登录方法的实现流程图;
图3为本发明实施例三提供的一种基于动态口令进行离线认证的登录方法中的下载签名数据过程实现流程图;
图4为本发明实施例三提供的一种基于动态口令进行离线认证的登录方法中的下载签名数据过程的另一种实现流程图
图5为本发明实施例四提供的一种基于动态口令进行离线认证的登录系统的方框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例一提供一种基于动态口令进行离线认证的登录方法,其中,OTP代理软件(即OTP代理装置)安装于终端上,如图1所示,本实施例方法包括:
步骤S1:当终端接收到登录信息时,判断认证服务器是否连接,是则执行步骤S5,否则执行步骤S2;
优选的,在步骤S1之前还包括:
步骤T1:认证服务器将生成的第一非对称密钥中的公钥与离线设备生成的非第二对称密钥对中的公钥进行交换;
具体的,在本实施例中,步骤T1包括:
步骤T11:当认证服务器接收到下载签名数据请求时生成第一非对称密钥对并保存,通过终端给离线设备发送获取密钥请求和第一非对称密钥对中的公钥;
步骤T12:离线设备接收到获取密钥请求和第一非对称密钥对中的公钥后保存第一非对称密钥对中的公钥,生成第二非对称密钥对并保存,将第二非对称密钥对中的公钥通过终端发送给认证服务器;
步骤T13:认证服务器接收第二非对称密钥对中的公钥并保存。
可选的,在本实施例中,步骤T1之前还包括:
步骤L1:当终端接收到下载数据信息时,向认证服务器发送离线认证请求;
步骤L2:认证服务器添加离线认证用户,并给终端返回成功响应。
可选的,步骤L2中的认证服务器添加离线认证用户具体包括:认证服务器从离线认证请求中获取用户标识,并根据用户标识获取对应的用户信息并保存,或认证服务器从离线认证请求中获取对应的用户信息并保存。
步骤T2:认证服务器根据自身生成的第一非对称密钥中的公钥、种子信息和口令算法生成第一签名数据,并将第一签名数据通过终端发送给离线设备进行保存;
可选的,步骤T11还包括:认证服务器生成公钥证书并保存;相应的,步骤T2包括:
步骤T21:认证服务器根据保存的用户信息查找对应的种子信息和口令算法,使用第二非对称密钥对中的公钥对找到的种子信息和口令算法进行加密得到第一加密数据,使用第一非对称密钥对中的私钥对公钥证书进行签名得到第一签名数据;
在本实施例中,得到第一加密数据有多种实现方式,例如:
(1)保存的用户信息有多个,则步骤T21中的使用第二非对称密钥对中的公钥对找到的种子信息和口令算法进行加密得到第一加密数据,具体包括:认证服务器使用第二非对称密钥对中的公钥对保存的所有用户的种子信息和口令算法进行加密得到第一加密数据。
(2)保存的用户信息有多个,步骤T21中的使用第二非对称密钥对中的公钥对找到的种子信息和口令算法进行加密得到第一加密数据,具体包括:认证服务器使用第二非对称密钥对中的公钥分别对保存的每个用户的种子信息和口令算法进行加密,根据所有加密结果得到第一加密数据。
可选的,步骤T21中的使用第一非对称密钥对中的私钥对公钥证书进行签名得到第一签名数据,具体包括:认证服务器使用预设哈希算法对公钥证书进行计算得到第二哈希值,使用第一非对称密钥对中的私钥对第二哈希值进行加密得到第一签名数据。
步骤T22:认证服务器将第一加密数据和第一签名数据通过终端发送给离线设备;
可选的,步骤T22有多种实现方式,本实施例以下述两种方式为例进行说明;
方式一:步骤T22具体包括:
步骤T22-11:认证服务器将用户信息、公钥证书、第一加密数据和第一签名数据发送给终端;
步骤T22-12:终端接收用户信息、公钥证书、第一加密数据和第一签名数据,保存公钥证书;
步骤T22-13:终端将用户信息、第一加密数据和第一签名数据发送给离线设备。
方式二:步骤T1之前包括:当终端接收到用户信息时进行保存,将用户信息发送给认证服务器。相应的,步骤T22具体包括:
步骤T22-21:认证服务器将第一加密数据和第一签名数据发送给终端;
步骤T22-22:终端接收第一加密数据和第一签名数据,将保存的用户信息、接收到的第一加密数据和第一签名数据发送给离线设备。
步骤T23:离线设备接收第一加密数据和第一签名数据并保存。
可选的,如步骤T22通过方式二实现,则步骤T23之后还包括:当终端接收到公钥证书后进行保存。
在本实施例中,登录信息包括动态口令和用户信息,用户信息可以包括用户名、PIN码等;
步骤S2:终端判断是否有合法的离线设备插入,是则执行步骤S3,否则报错,结束;
在本实施例中,步骤S2包括:
步骤S20:终端判断是否有离线设备插入,是则执行步骤S21,否则报错,结束;
可选的,步骤S20判断为否时还包括:终端等待离线设备插入,并判断等待时间是否超过预设时间,是则报错,结束,否则继续等待离线设备插入并判断。
步骤S21:终端从离线设备中读取第一签名数据;
步骤S22:终端对第一签名数据进行验证,如验证成功则执行步骤S3,如验证失败则报错,结束。
具体的,步骤S22包括:终端使用保存的第一非对称密钥对中的公钥对第一签名数据进行解密得到第一解密结果,使用预设哈希算法对保存的公钥证书进行计算得到第一哈希值,判断第一解密结果与第一哈希值是否相同,是则验证成功,执行步骤S3,否则验证失败,报错,结束。
步骤S3:终端将登录信息中的动态口令发送给离线设备;
如一个离线设备多个用户使用,则本实施例步骤S3具体包括:终端将登录信息中的动态口令和用户信息发送给离线设备;
步骤S4:离线设备根据内部的种子信息、口令算法和动态因子生成验证窗口,并判断登录信息中的动态口令是否与验证窗口中的动态口令匹配,是则通知终端允许用户登录,否则通知终端拒绝用户登录;
如一个离线设备多个用户使用,相应的,本实施例步骤S4具体包括:离线设备根据内部的与用户信息对应的种子信息和口令算法、内部的动态因子生成验证窗口,并判断登录信息中的动态口令是否与验证窗口中的动态口令匹配,是则通知终端允许用户登录,否则通知终端拒绝用户登录。
可选的,在本实施例中,步骤S3与步骤S4之间包括:
步骤C1:离线设备根据接收到的登录信息中的用户信息查找对应的第一加密数据,使用保存的第二非对称密钥对中的私钥对查找到的第一加密数据进行解密,解密成功得到种子信息和口令算法。
可选的,步骤C1与步骤S4之间包括:
步骤C2:离线设备判断自身是否有效,是则执行步骤S4,否则给终端返回异常的认证日志信息;
具体的,离线设备判断自身是否有效,具体为:离线设备判断内部保存的有效时间日期算是否大于当前时间,是则离线设备有效,否则离线设备无效;
具体的,在本实施例中,离线设备根据内部的种子信息、口令算法和动态因子生成验证窗口,包括:离线设备根据偏移值和内部的动态因子得到动态因子窗口,根据动态因子窗口、与用户信息对应的种子信息和口令算法生成验证窗口;偏移值的初始值为0;如为时间型或时间型令牌则验证窗口中每个动态口令的生成过程具体为:根据口令算法对动态因子和种子信息进行计算得到动态口令,如为挑战型令牌则验证窗口中每个动态口令的生成过程具体为:根据口令算法对挑战值、动态因子和种子信息进行计算得到动态口令;
步骤S4判断为是时还包括:离线设备根据匹配上的动态口令更新记录的偏移值和校正保存的动态因子;
例如:时间型动态因子的窗口是时间,内部保存的时间型动态因子为3点,生成的验证窗口为:将2点59分45秒到3点0分15秒这段时间内的30个动态口令,接收到的动态口令为3点0分2秒的口令,即离线设备的时间偏移了2秒,根据3点0分2秒的口令校正离线设备内的动态因子(即将离线设备内的动态因子时钟的当前时刻校正为3点0分2秒),然后下次生成的验证窗口就是从2点59分47秒到3点0分17秒对应生成的30个动态口令;同理,事件型动态因子的窗口是令牌按键的次数,内部保存的时间型动态因子为100即按键被按了100次,生成的动态因子窗口则为85到115这30个动态口令,匹配上的次数是102次,根据102次的口令校正离线设备内的动态因子(即将离线设备内的动态因子计数器的当前值校正为102),记录偏移值2,然后下次生成的验证窗口是从87到117对应生成的30个动态口令;
步骤S5:终端将登录信息发送给认证服务器;
步骤S6:认证服务器根据接收到的登录信息中的用户信息查找对应的种子信息和口令算法,如找到则执行步骤S7,如未找到则通知终端拒绝用户登录;
步骤S7:认证服务器根据与找到的种子信息和口令算法、内部保存的动态因子生成验证窗口,并判断登录信息中的动态口令是否与验证窗口中的动态口令匹配,则通知终端允许用户登录,否则通知终端拒绝用户登录。
在本实施例中,通知终端允许用户登录包括:给终端返回允许登录信息,执行步骤D1;
通知终端拒绝用户登录包括:给终端返回拒绝登录信息,执行步骤D1;
步骤D1:终端根据接收到的信息判断是否允许用户登录,如接收到的信息为允许登录信息则允许用户登录,如接收到的信息为拒绝登录信息则拒绝用户登录。
本实施例的方法还可以包括数据更新过程,即步骤S4中判断为是时还包括:离线设备生成正常的认证日志信息并保存;步骤S4中判断为否时还包括:离线设备生成异常的认证日志信息并保存;
当终端与认证服务器建立连接且终端检测到离线设备插入时,方法还包括
步骤P1:终端读取插入的离线设备中的认证日志信息,并将认证日志信息发送给认证服务器;
步骤P2:认证服务器接收认证日志信息并对其进行检查,如正常则执行步骤P3,如异常则执行步骤P5;
步骤P3:认证服务器用接收到的认证日志信息替换保存的对应离线设备的认证信息,并通过终端给离线设备返回更新成功信息;
步骤P4:离线设备接收到更新成功信息后,清除保存种子信息和口令算法;
具体的,在本实施例中,如离线设备中有多个种子和算法,则更新成功信息中包括用户信息;步骤P4具体包括:离线设备接收到更新成功信息后,清除保存的与更新成功信息中的用户信息对应的种子信息和口令算法。
步骤P5:认证服务器更新异常次数,判断异常次数是否为预定数据,是则临时锁定离线设备,否则永久锁定离线设备。
实施例二
本发明实施例二提供一种基于动态口令进行离线认证的登录方法,其中,OTP代理软件(即OTP代理装置)安装于终端上,多个离线用户共同使用一个离线设备,如图2所示,本实施例方法包括:
步骤200:当终端接收到登录信息时,判断认证服务器是否连接,是则执行步骤209,否则执行步骤201;
具体的,本实施例中的登录信息包括动态口令和用户信息;
可选的,步骤200判断为否执行步骤201之前还包括:终端等待预设时长后再次判断判断是否与认证服务器连接,是则执行步骤209,否则执行步骤201;
步骤201:终端判断是否有离线设备插入,是则执行步骤202,否则等待离线设备插入,返回步骤201;
优选的,在本实施例中,如终端等待离线设备插入的时间超过预设时间则报错,结束;
步骤202:终端从离线设备中读取第一签名数据;
可选的,在本实施例中,如下载签名数据过程是由管理员接收到用户书面或口头的离线认证信息时,将该离线认证用户信息进行登记的方法实现时,则步骤202可替换为:当终端接收到登录确认信息时则从离线设备中读取第一签名数据;
步骤203:终端对第一签名数据进行验证,如验证成功则执行步骤S4,如验证失败则报错,结束;
具体的,在本实施例中,步骤203包括:终端使用保存的第一非对称密钥对中的公钥对获取的第一签名数据进行解密得到第一解密结果,使用预设哈希算法对保存的第一公钥证书进行计算得到第一哈希值,判断第一解密结果与第一哈希值是否相同,是则验证成功,否则验证失败;
步骤204:终端将登录信息中的动态口令和用户信息发送给离线设备;
步骤205:离线设备接收动态口令和用户信息,判断离线设备是否有效,是则执行步骤206,否则给终端返回异常的认证日志信息,执行步骤208;
在本实施例中,判断离线设备是否有效,具体为:判断离线设备内保存的有效时间日期算是否大于当前时间,是则离线设备有效,否则离线设备无效;
步骤206:离线设备根据用户信息查找对应的第一加密数据,使用保存的第二非对称密钥对中的私钥对查找到的第一加密数据进行解密,解密成功得到种子信息和口令算法;
步骤207:离线设备根据内部的与用户信息对应的种子信息和口令算法、内部的动态因子生成验证窗口,并判断登录信息中的动态口令是否与验证窗口中的动态口令匹配,是则生成正常的认证日志信息,并给终端返回允许登录信息,根据匹配上的动态口令更新记录的偏移值和保存的动态因子,执行步骤208,否则生成异常的认证日志信息,并给终端返回拒绝登录信息,执行步骤208;
本实施例中的偏移值的初始值为0;
在本实施例中,离线设备根据种子信息和口令算法生成验证窗口,包括:离线设备按照预定规则,根据种子信息、口令算法和每个动态因子生成动态口令;或根据种子信息、口令算法、挑战值和动态因子生成动态口令;多个动态因子对应生成多个动态口令即验证窗口,动态因子可以为时间因子或事件因子;例如,当前动态因子为95,预定规则中的幅度值为10,则生成的验证窗口为90、91、92、93、94、95、96、97、98、99、100所对应生成的一系列动态口令;
可选的,步骤206-207可替换为:
步骤206’:离线设备使用保存的第二非对称密钥对中的私钥对保存的第一加密数据进行解密,解密成功得到所有用户的种子信息和口令算法;
步骤207’:离线设备根据用户信息在解密得到的种子信息和口令算法中查找对应的种子信息和口令算法中,根据找到的种子信息、口令算法和一系列动态因子生成验证窗口,并判断登录信息中的动态口令是否与验证窗口中的动态口令匹配,是则给终端返回允许登录信息,执行步骤208,否则给终端返回拒绝登录信息,执行步骤208;
步骤208:终端根据接收到的离线设备返回的信息判断是否允许登录,是则允许登录,否则拒绝登录;
具体的,在本实施例中,如步骤208中终端接收到离线设备返回的验证信息为允许登录信息则判断允许登录,如终端接收到离线设备返回的验证信息为拒绝登录信息或错误信息则判断不允许登录。
步骤209:终端将登录信息发送给认证服务器;
步骤210:认证服务器根据接收到的登录信息中的用户信息查找对应的种子信息和口令算法,如找到则执行步骤211,如未找到则通知终端拒绝用户登录;
步骤211:认证服务器根据找到的种子信息和口令算法、内部保存的动态因子生成验证窗口,并判断登录信息中的动态口令是否与验证窗口中的动态口令匹配,是则通知终端允许用户登录,否则通知终端拒绝用户登录。
本实施例中,步骤209-步骤211是使用动态令牌在线正常登录的过程,其中步骤211中生成验证窗口的过程与步骤207相同,在此不再赘述。
优选的,在本实施例中,当终端与认证服务器建立了连接且终端检测到离线设备插入时,该方法还可以包括:
步骤Y10:终端读取离线设备中的认证日志信息;
步骤Y11:终端将认证日志信息发送给认证服务器;
步骤Y12:认证服务器接收认证日志信息并对其进行检查,如正常则执行步骤Y13,如异常则执行步骤Y17;
在本实施例中,认证日志信息异常包括连续时间内频繁认证;
步骤Y13:认证服务器用接收到的认证日志信息替换保存的对应离线设备的认证信息;
步骤Y14:认证服务器给终端返回更新成功信息;
步骤Y15:终端将更新成功信息发送给离线设备;
步骤Y16:离线设备接收到更新成功信息后,清除保存的种子信息和口令算法;
可选的,如离线设备中有多个种子和算法,则更新成功信息中包括用户信息,步骤Y16包括:离线设备接收到更新成功信息后,清除保存的与更新成功信息中的用户信息对应的种子信息和口令算法;还可以清除和本实施例方法相关的其他数据,如第一签名数据和第一加密数据等等;
步骤Y17:服务器更新异常次数,判断异常次数是否为预定数据,是则临时锁定离线设备,否则永久锁定离线设备;
在本实施例中,当离线设备被临时锁定后,离线设备对终端发送过来的数据不做处理返回临时锁定信息,在预设时长后离线设备自动解锁,与终端继续进行正常通讯;当离线设备被永久锁定后,离线设备对终端发送过来的数据不做处理返回永久锁定信息;
如多个用户使用同一个离线设备,则步骤Y17中服务器对离线设备中的当前用户信息进行临时锁定或永久锁定;
在本实施例的方法中,步骤200之前还可以包括下载签名数据过程,包括:
步骤T1:当认证服务器接收到下载签名数据请求时生成第一非对称密钥对和第一公钥证书并保存,通过终端给离线设备发送第一非对称密钥对中的公钥;
可选的,第一非对称密钥中的公钥可设置在获取密钥请求,认证服务器通过终端给离线设备发送获取密钥请求,第一非对称密钥中的公钥和获取密钥请求也可分开发送;
步骤T2:离线设备接收到第一非对称密钥对中的公钥后保存第一非对称密钥对中的公钥,生成第二非对称密钥对并保存,将第二非对称密钥对中的公钥通过终端发送给认证服务器;
步骤T3:认证服务器接收第二非对称密钥对中的公钥并保存,根据保存的用户信息查找对应的种子信息和口令算法,使用第二非对称密钥对中的公钥对种子信息和口令算法进行加密得到第一加密数据,使用第一非对称密钥对中的私钥对公钥证书进行签名得到第一签名数据;
步骤T4:认证服务器将第一加密数据和第一签名数据通过终端发送给离线设备;
可选的,如多个离线用户共同使用一个离线设备,则步骤T4认证服务器还将用户信息发送给离线设备;
步骤T5:离线设备接收第一加密数据和第一签名数据并保存。
可选的,如多个离线用户共同使用一个离线设备,则步骤T5中离线设备还接收用户信息并保存。
实施例三
本发明实施例三提供一种基于动态口令进行离线认证的登录方法中的下载签名数据过程实现,如图3所示,本实施例方法包括:
步骤301:当终端接收到下载数据信息时,向连接的认证服务器发送离线认证请求;
步骤302:认证服务器添加离线认证用户;
具体的,在本实施例中,步骤302包括:认证服务器从离线认证请求中获取用户标识,并根据用户标识获取对应的用户信息并保存,或认证服务器从离线认证请求中获取对应的用户信息并保存;
步骤303:认证服务器给终端返回成功响应;
步骤304:终端判断是否有离线设备插入,是则执行步骤305,否则提示离线认证用户插入离线设备,返回步骤304;
具体的,在本实施例中,步骤304中判断为否时还包括:终端判断等待离线设备插入时长是否超过预设值,是则报错,否则返回步骤304;
步骤305:终端判断离线设备是否合法,是则给认证服务器发送下载签名数据请求,执行步骤306,否则报错,结束;
步骤306:认证服务器生成第一非对称密钥对和公钥证书并保存;
具体的,在本实施例中,第一非对称密钥对中包括私钥和公钥;
步骤307:认证服务器给终端发送获取密钥请求和第一非对称密钥对中的公钥;
步骤308:终端将获取密钥请求和第一非对称密钥对中的公钥转发给离线设备;
步骤309:离线设备接收到获取密钥请求和第一非对称密钥对中的公钥后保存第一非对称密钥对中的公钥,生成第二非对称密钥对并保存;
具体的,在本实施例中,第二非对称密钥对包括私钥和公钥;
步骤310:离线设备将第二非对称密钥对中的公钥发送给终端;
步骤311:终端将第二非对称密钥对中的公钥转发给认证服务器;
步骤312:认证服务器接收第二非对称密钥对中的公钥并保存;
步骤313:认证服务器根据用户信息查找对应的种子信息和口令算法,使用第二非对称密钥对中的公钥对种子信息和口令算法进行加密得到第一加密数据,使用第一非对称密钥对中的私钥对公钥证书进行签名得到第一签名数据;
可选的,如离线认证用户有多个时,则步骤313中的使用第二非对称密钥对中的公钥对种子信息和口令算法进行加密得到第一加密数据,有多种实现方式,例如:
第一种方式:使用第二非对称密钥对中的公钥对所有用户的种子信息和口令算法进行加密得到第一加密数据;
第二种方式:使用第二非对称密钥对中的公钥对每个用户的种子信息和口令算法分别进行加密,根据所有加密结果得到第一加密数据(例如可以拼接所有加密结果得到第一加密数据);
使用第一非对称密钥对中的私钥对公钥证书进行签名得到第一签名数据,具体为:使用预设哈希算法对公钥证书进行计算得到第二哈希值,使用第一非对称密钥对中的私钥对第二哈希值进行加密得到第一签名数据;
步骤314:认证服务器将用户信息、第一加密数据、第一签名数据和公钥证书发送给终端;
步骤315:终端接收用户信息、第一加密数据、第一签名数据和公钥证书,保存公钥证书;
步骤316:终端将用户信息、第一加密数据和第一签名数据转发给离线设备;
步骤317:离线设备接收用户信息、第一加密数据和第一签名数据并保存;
本实施例中的下载签名数据过程还有另一种实现方式,管理员接收到用户书面或口头的离线认证信息时,将该用户信息进行登记,如图4所示,包括:
步骤401:当终端接收到用户信息时进行保存;
步骤402:终端判断是否有离线设备插入,是则执行步骤403,否则提示管理员插入离线设备,返回步骤402;
具体的,在本实施例中,步骤402中判断为否时还包括:终端判断等待离线设备插入时长是否超过预设值,是则报错,否则返回步骤402;
步骤403:终端判断离线设备是否合法,是则执行步骤404,否则报错,结束;
步骤404:终端给连接的认证服务器发送用户信息;
步骤405:认证服务器接收用户信息并保存,生成第一非对称密钥对和公钥证书并保存;
具体的,在本实施例中,第一非对称密钥对包括私钥和公钥;
步骤406:认证服务器给终端发送第一非对称密钥对中的公钥;
步骤407:终端将第一非对称密钥对中的公钥转发给离线设备;
步骤408:离线设备接收第一非对称密钥对中的公钥并保存,生成第二非对称密钥对并保存;
具体的,在本实施例中,第二非对称密钥对包括私钥和公钥;
步骤409:离线设备将第二非对称密钥对中的公钥发送给终端;
步骤410:终端将第二非对称密钥对中的公钥转发给认证服务器;
步骤411:认证服务器接收第二非对称密钥对中的公钥并保存;
步骤412:认证服务器根据用户信息查找对应的种子信息和口令算法,使用第二非对称密钥对中的公钥对种子信息和口令算法进行加密得到第一加密数据,使用第一非对称密钥对中的私钥对公钥证书进行签名得到第一签名数据;
可选的,如离线认证用户有多个时,则步骤412中的使用第二非对称密钥对中的公钥对种子信息和口令算法进行加密得到第一加密数据,有多种实现方式,例如:
第一种方式:使用第二非对称密钥对中的公钥对所有用户的种子信息和口令算法进行加密得到第一加密数据;
第二种方式:使用第二非对称密钥对中的公钥对每个用户的种子信息和口令算法分别进行加密,根据所有加密结果得到第一加密数据(例如可以拼接所有加密结果得到第一加密数据);
使用第一非对称密钥对中的私钥对第一公钥证书进行签名得到第一签名数据,具体为:使用预设哈希算法对公钥证书进行计算得到第二哈希值,使用第一非对称密钥对中的私钥对第二哈希值进行加密得到第一签名数据;
步骤413:认证服务器将第一加密数据和第一签名数据发送给终端;
步骤414:终端将用户信息、第一加密数据和第一签名数据转发给离线设备;
步骤415:离线设备接收用户信息、第一加密数据和第一签名数据并保存;
在步骤415之后,管理员将公钥证书和离线设备转交给离线认证用户,离线认证用户将公钥证书导入终端,终端接收到公钥证书后保存。
本发明技术方案能够实现在没有网络或者网络受限的情况下对用户身份进行鉴别,方便用户进行登录,使用安全可靠。
本发明实施例方法既能方便用户在离线的状态下正常使用终端,又能使用动态令牌的安全保护,通过将认证服务器精简加固后写入到离线设备中,在登录系统过程中使用离线设备实现基于动态令牌离线认证过程,使登录过程更简洁安全方便。
实施例四
本发明实施例四提供一种基于动态口令进行离线认证的登录系统,如图5所示,包括终端1、离线设备2和认证服务器3;终端包括:
第一接收模块11,用于接收登录信息;
第一判断模块12,用于当第一接收模块11接收到登录信息时,判断认证服务器是否连接;
第二判断模块13,用于在第一判断模块12判断为否时判断是否有合法的离线设备插入,当判断为否时报错;
第一发送模块14,用于当第一判断模块12判断为是时将第一接收模块11接收到的登录信息发送给认证服务器3;还用于当第二判断模块13判断为是时将第一接收模块11接收到的登录信息中的动态口令发送给离线设备2;
离线设备2包括:
第二接收模块21,用于接收第一发送模块14发送的登录信息中的动态口令;
第一生成模块22,用于根据内部的种子信息、口令算法和动态因子生成验证窗口;
第三判断模块23,用于判断第二接收模块21接收到的登录信息中的动态口令是否与第一生成模块22生成的验证窗口中的动态口令匹配;
第二发送模块24,用于当第三判断模块23判断为是时通知终端1允许用户登录;还用于当第三判断模块23判断为否时通知终端1拒绝用户登录;
认证服务器3包括:
第三接收模块31,用于接收第一发送模块14发送的登录信息;
第一查找模块32,用于根据第三接收模块31接收到的登录信息中的用户信息查找对应的种子信息和口令算法;
第二生成模块33,用于当第一查找模块32找到对应的种子信息和口令算法时根据找到的种子信息和口令算法、内部保存的动态因子生成验证窗口;
第四判断模块34,用于判断第三接收模块31接收到的登录信息中的动态口令是否与第二生成模块33生成的验证窗口中的动态口令匹配;
第三发送模块35,用于当第一查找模块32未找到对应的种子信息和口令算法时和第四判断模块34判断为否时通知终端1拒绝用户登录,还用于第四判断模块34判断为是时通知终端1允许用户登录。
可选的,在本实施例中,第二发送模块24还用于将离线设备2生成的第二非对称密钥对中的公钥发送给第一接收模块11;
第一接收模块11还用于接收第二发送模块24发送的第二非对称密钥对中的公钥;
第一发送模块14还用于将第一接收模块11接收到的第二非对称密钥对中的公钥发送给第三接收模块31;
第三接收模块31还用于接收第一发送模块14发送的第二非对称密钥对中的公钥;
第三发送模块35还用于将认证服务器3生成的第一非对称密钥对中的公钥发送给第一接收模块11;
第一接收模块11还用于接收第三发送模块35发送的第一非对称密钥对中的公钥;
第一发送模块14还用于将第一接收模块11接收到的第一非对称密钥对中的公钥发送给第二接收模块21;
第二接收模块21还用于接收第一发送模块14发送的第一非对称密钥对中的公钥;
认证服务器3还包括第三生成模块,离线设备2还包括第一保存模块;
第三生成模块用于根据认证服务器生成的第一非对称密钥中的公钥、种子信息和口令算法生成第一签名数据;
第三发送模块35还用于将第三生成模块生成的第一签名数据发送给第一接收模块11;
第一接收模块11还用于接收第三发送模块35发送的第一签名数据;
第一发送模块14还用于将第一接收模块11接收到的第一签名数据发送给第二接收模块21;
第二接收模块21还用于接收第一发送模块14发送的第一签名数据;
第一保存模块用于保存第二接收模块21接收到的第一签名数据。
可选的,在本实施例中,认证服务器3还包括第一生成保存模块和第二保存模块,离线设备2还包括第二生成保存模块;
第三接收模块31还用于接收下载签名数据请求;
第一生成保存模块,用于当第三接收模块31接收到下载签名数据时生成第一非对称密钥对并保存;
第三发送模块35还用于给第一接收模块11发送获取密钥请求;
第一接收模块11还用于接收获取密钥请求;
第一发送模块14还用于将第一接收模块11接收到的获取密钥请求发送给第二接收模块21;
第二接收模块21还用于接收获取密钥请求;
第二生成保存模块,用于在第二接收模块21接收到获取密钥请求时后生成第二非对称密钥对并保存;
第二保存模块,用于保存第二接收模块21接收到的第一非对称密钥对中的公钥。
可选的,在本实施例中,认证服务器3还包括第三生成保存模块,用于生成公钥证书并保存;
第三生成模块包括:第一查找单元、第一生成单元和第二生成单元;
第一查找单元用于根据保存的用户信息查找对应的种子信息和口令算法;
第一生成单元用于使用第二非对称密钥对中的公钥对找到的种子信息和口令算法进行加密得到第一加密数据;
第二生成单元用于使用第一非对称密钥对中的私钥对公钥证书进行签名得到第一签名数据;
第三发送模块35还用于将第一生成单元生成的第一加密数据和第二生成单元生成的第一签名数据发送给第一接收模块11;
第一接收模块11还用于接收第三发送模块35发送的第一加密数据和第一签名数据;
第一发送模块14还用于将第一加密数据和第一签名数据发送给第二接收模块21;
第二接收模块21还用于接收第一发送模块14发送的第一加密数据和第一签名数据;
第一保存模块具体用于保存第二接收模块21接收到的第一加密数据和第一签名数据。
可选的,在本实施例中,认证服务器3还包括添加模块;
第一接收模块11还用于接收下载数据信息;
第一发送模块14还用于当第一接收模块11接收到下载数据信息时向认证服务器3发送离线认证请求;
第三接收模块31还用于接收第一发送模块14发送的离线认证请求;
添加模块用于在第三接收模块31接收到离线认证请求时添加离线认证用户;
第三发送模块35还用于在添加模块添加完离线认证用户后给终端2返回成功响应;
第一接收模块11还用于接收第三发送模块35发送的成功响应。
可选的,在本实施例中,添加模块具体用于从离线认证请求中获取用户标识,并根据用户标识获取对应的用户信息并保存,或从离线认证请求中获取对应的用户信息并保存。
可选的,在本实施例中,保存的用户信息有多个,则第一生成单元具体用于使用第二非对称密钥对中的公钥对保存的所有用户的种子信息和口令算法进行加密得到第一加密数据。
可选的,在本实施例中,保存的用户信息有多个,则第一生成单元具体用于使用第二非对称密钥对中的公钥分别对保存的每个用户的种子信息和口令算法进行加密,根据所有加密结果得到第一加密数据。
可选的,在本实施例中,第二生成单元具体用于使用预设哈希算法对公钥证书进行计算得到第二哈希值,使用第一非对称密钥对中的私钥对第二哈希值进行加密得到第一签名数据。
可选的,在本实施例中,终端1还包括第二保存模块;
第三发送模块35还用于将用户信息、公钥证书、第一加密数据和第一签名数据发送给第一接收模块11;
第一接收模块11还用于接收第三发送模块35发送的用户信息、公钥证书、第一加密数据和第一签名数据;
第二保存模块用于保存第一接收模块11接收到的公钥证书;
第一发送模块14还用于将用户信息、第一加密数据和第一签名数据发送给第二接收模块21;
第二接收模块21还用于接收第一发送模块14发送的用户信息、第一加密数据和第一签名数据。
可选的,在本实施例中,终端1还包括第三保存模块;
第一接收模块11还用于接收用户信息;
第三保存模块用于对第一接收模块11接收到的用户信息进行保存;
第一发送模块14还用于将用户信息发送给第三接收模块31;
第三接收模块31还用于接收第一发送模块14发送的用户信息。
可选的,在本实施例中,第三发送模块35还用于将第一加密数据和第一签名数据发送给第一接收模块11;
第一接收模块11还用于接收第一加密数据和第一签名数据;
第一发送模块14还用于将第三保存模块保存的用户信息、第一接收模块11接收到的第一加密数据和第一签名数据发送给第二接收模块21;
第二接收模块21还用于接收第一发送模块14发送的用户信息、第一加密数据和第一签名数据。
可选的,在本实施例中,第一接收模块11还用于接收公钥证书;
第三保存模块还用于保存第一接收模块11接收到的公钥证书。
可选的,在本实施例中,第二判断模块13包括:
第一判断单元,用于判断是否有离线设备插入,当判断为否时报错;
第一读取单元,用于当第一判断单元判断为是时从离线设备中读取第一签名数据;
第一验证单元,用于对第一读取单元读取到的第一签名数据进行验证,如验证成功则触发第一发送模块14将第一接收模块11接收到的登录信息发送给认证服务器3,如验证失败则报错。
可选的,在本实施例中,第一验证单元具体用于使用保存的第一非对称密钥对中的公钥对第一签名数据进行解密得到第一解密结果,使用预设哈希算法对保存的公钥证书进行计算得到第一哈希值,判断第一解密结果与第一哈希值是否相同,是则触发第一发送模块14将第一接收模块11接收到的登录信息发送给认证服务器,否则报错。
可选的,在本实施例中,第一发送模块14还用于将登录信息中的动态口令和用户信息发送给离线设备2;
第二接收模块21还用于接收第一发送模块14发送的登录信息中的动态口令和用户信息;
第一生成模块22具体用于根据内部的与用户信息对应的种子信息和口令算法、内部的动态因子生成验证窗口;
第三判断模块23具体用于判断登录信息中的动态口令是否与验证窗口中的动态口令匹配。
可选的,在本实施例中,离线设备2还包括查找解密模块,用于根据第二接收模块21接收到的登录信息中的用户信息查找对应的第一加密数据,使用保存的第二非对称密钥对中的私钥对查找到的第一加密数据进行解密,解密成功得到种子信息和口令算法。
可选的,在本实施例中,离线设备2还包括第五判断模块,用于判断离线设备是否有效,是则触发第一生成模块22工作,否则触发第二发送模24块给终端返回异常的认证日志信息。
可选的,在本实施例中,第五判断模块具体用于判断内部保存的有效时间日期算是否大于当前时间,是则触发第一生成模块22工作,否则触发第二发送模块24给终端返回异常的认证日志信息。
可选的,在本实施例中,终端1还包括第六判断模块;
第二发送模块24,还用于当第三判断模块23判断为是时给终端发送允许用户登录信息,还用于当第三判断模块23判断为否时给终端发送拒绝用户登录信息;
第三发送模块35,还用于当第一查找模块32未找到对应的种子信息和口令算法时和第四判断模块34判断为否时给终端1发送拒绝用户登录信息,还用于第四判断模块34判断为是时给终端1发送允许用户登录信息;
第一接收模块11还用于接收第二发送模块24和第三发送模块35发送的拒绝用户登录信息或允许用户登录信息;
第六判断模块用于根据接收到的信息判断是否允许用户登录,如接收到的信息为允许登录信息则允许用户登录,如接收到的信息为拒绝登录信息则拒绝用户登录。
可选的,在本实施例中,离线设备2还包括第三生成保存模块和清除模块;终端1还包括第一读取模块;认证服务器3还包括第一检查模块、替换模块、更新判断模块;
第三生成保存模块用于在第三判断模块23判断为是时生成正常的认证日志信息并保存;还用于在第三判断模块23判断为否时生成异常的认证日志信息并保存;
第一读取模块用于当终端1与认证服务器3建立连接且终端1检测到离线设备2插入终端时,读取插入的离线设备2中的认证日志信息;
第一发送模块14还用于将第一读取模块读取的认证日志信息发送给认证服务器3;
第三接收模块31还用于接收第一发送模块14发送的认证日志信息;
第一检查模块用于对第三接收模块31接收到的认证日志信息进行检查;
替换模块用于当第一检查模块32检查正常时用接收到的认证日志信息替换保存的对应离线设备2的认证信息;
第三发送模块35还用于给终端1给离线设备2返回更新成功信息;
第一接收模块11还用于接收第三发送模块35发送的更新成功过信息;
第一发送模块14还用于给离线设备2发送第一接收模块11接收到的更新成功信息;
第二接收模块21还用于接收第一发送模块14发送的更新成功信息;
清除模块用于在第二接收模块21接收到更新成功信息后,清除保存种子信息和口令算法;
更新判断模块用于当第一检查模块23检查异常时更新异常次数,判断异常次数是否为预定数据,是则临时锁定离线设备,否则永久锁定离线设备。
可选的,在本实施例中,如离线设备2中有多个种子和算法,则更新成功信息中包括用户信息;清除模块具体用于在第二接收模块21接收到更新成功信息后,清除保存的与更新成功信息中的用户信息对应的种子信息和口令算法。
可选的,在本实施例中,离线设备2还包括更新模块;
第一生成模块22具体用于根据偏移值和内部的动态因子得到动态因子窗口,根据动态因子窗口、与用户信息对应的种子信息和口令算法生成验证窗口;偏移值的初始值为0;
更新模块用于当第三判断模块23判断为是时根据匹配上的动态口令更新记录的偏移值和校正保存的动态因子。
本发明技术方案能够实现在没有网络或者网络受限的情况下结合使用离线设备和动态令牌对用户身份进行鉴别,方便用户进行登录,使用安全可靠。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。

Claims (42)

1.一种基于动态口令进行离线认证的登录方法,其特征在于,包括:
步骤S1:当终端接收到登录信息时,判断认证服务器是否连接,是则执行步骤S5,否则执行步骤S2;
步骤S2:所述终端判断是否有合法的离线设备插入,是则执行步骤S3,否则报错,结束;
步骤S3:所述终端将所述登录信息中的动态口令发送给所述离线设备;
步骤S4:所述离线设备根据内部的种子信息、口令算法和动态因子生成验证窗口,并判断所述登录信息中的动态口令是否与所述验证窗口中的动态口令匹配,是则通知所述终端允许用户登录,否则通知所述终端拒绝用户登录;
步骤S5:所述终端将所述登录信息发送给认证服务器;
步骤S6:所述认证服务器根据接收到的登录信息中的用户信息查找对应的种子信息和口令算法,如找到则执行步骤S7,如未找到则通知所述终端拒绝用户登录;
步骤S7:所述认证服务器根据所述找到的种子信息和口令算法、内部保存的动态因子生成验证窗口,并判断所述登录信息中的动态口令是否与所述验证窗口中的动态口令匹配,是则通知所述终端允许用户登录,否则通知所述终端拒绝用户登录;
所述步骤S2包括:
步骤S20:所述终端判断是否有离线设备插入,是则执行步骤S21,否则报错,结束;
步骤S21:所述终端从所述离线设备中读取第一签名数据;
步骤S22:所述终端对所述第一签名数据进行验证,如验证成功则执行步骤S3,如验证失败则报错,结束;
所述离线设备根据内部的种子信息、口令算法和动态因子生成验证窗口,包括:所述离线设备根据偏移值和内部的动态因子得到动态因子窗口,根据所述动态因子窗口、与所述用户信息对应的种子信息和口令算法生成验证窗口;所述偏移值的初始值为0;
所述步骤S4判断为是时还包括:所述离线设备根据匹配上的动态口令更新所述偏移值和校正保存的动态因子。
2.如权利要求1所述的方法,其特征在于,在所述步骤S1之前还包括:
步骤T1:所述认证服务器将生成的第一非对称密钥中的公钥与所述离线设备生成的第二非对称密钥对中的公钥进行交换;
步骤T2:所述认证服务器根据自身生成的第一非对称密钥中的公钥、种子信息和口令算法生成第一签名数据,并将所述第一签名数据通过所述终端发送给所述离线设备进行保存。
3.如权利要求2所述的方法,其特征在于,所述步骤T1包括:
步骤T11:当所述认证服务器接收到下载签名数据请求时生成第一非对称密钥对并保存,通过所述终端给所述离线设备发送所述第一非对称密钥对中的公钥;
步骤T12:所述离线设备接收到第一非对称密钥对中的公钥后保存所述第一非对称密钥对中的公钥,生成第二非对称密钥对并保存,将所述第二非对称密钥对中的公钥通过所述终端发送给所述认证服务器;
步骤T13:所述认证服务器接收所述第二非对称密钥对中的公钥并保存。
4.如权利要求3所述的方法,其特征在于,所述步骤T11还包括:所述认证服务器生成公钥证书并保存;
所述步骤T2包括:
步骤T21:所述认证服务器根据保存的用户信息查找对应的种子信息和口令算法,使用所述第二非对称密钥对中的公钥对找到的所述种子信息和口令算法进行加密得到第一加密数据,使用所述第一非对称密钥对中的私钥对所述公钥证书进行签名得到第一签名数据;
步骤T22:所述认证服务器将所述第一加密数据和所述第一签名数据通过所述终端发送给所述离线设备;
步骤T23:所述离线设备接收第一加密数据和第一签名数据并保存。
5.如权利要求4所述的方法,其特征在于,所述步骤T1之前还包括:
步骤L1:当所述终端接收到下载数据信息时,向所述认证服务器发送离线认证请求;
步骤L2:所述认证服务器添加离线认证用户,并给所述终端返回成功响应。
6.如权利要求5所述的方法,其特征在于,所述步骤L2中的所述认证服务器添加离线认证用户具体包括:所述认证服务器从所述离线认证请求中获取用户标识,并根据所述用户标识获取对应的用户信息并保存,或所述认证服务器从所述离线认证请求中获取对应的用户信息并保存。
7.如权利要求4所述的方法,其特征在于,所述保存的用户信息有多个,则所述步骤T21中的使用所述第二非对称密钥对中的公钥对找到的所述种子信息和口令算法进行加密得到第一加密数据,具体包括:所述认证服务器使用所述第二非对称密钥对中的公钥对保存的所有用户的种子信息和口令算法进行加密得到第一加密数据。
8.如权利要求4所述的方法,其特征在于,所述保存的用户信息有多个,所述步骤T21中的使用所述第二非对称密钥对中的公钥对找到的所述种子信息和口令算法进行加密得到第一加密数据,具体包括:所述认证服务器使用所述第二非对称密钥对中的公钥分别对保存的每个用户的种子信息和口令算法进行加密,根据所有加密结果得到第一加密数据。
9.如权利要求4所述的方法,其特征在于,所述步骤T21中的使用所述第一非对称密钥对中的私钥对所述公钥证书进行签名得到第一签名数据,具体包括:所述认证服务器使用预设哈希算法对公钥证书进行计算得到第二哈希值,使用所述第一非对称密钥对中的私钥对第二哈希值进行加密得到第一签名数据。
10.如权利要求4所述的方法,其特征在于,所述步骤T22具体包括:
步骤T22-11:所述认证服务器将所述用户信息、所述公钥证书、所述第一加密数据和所述第一签名数据发送给所述终端;
步骤T22-12:所述终端接收所述用户信息、所述公钥证书、所述第一加密数据和所述第一签名数据,保存所述公钥证书;
步骤T22-13:所述终端将所述用户信息、所述第一加密数据和所述第一签名数据发送给所述离线设备。
11.如权利要求4所述的方法,其特征在于,所述步骤T1之前包括:当所述终端接收到用户信息时进行保存,将所述用户信息发送给所述认证服务器。
12.如权利要求11所述的方法,其特征在于,所述步骤T22具体包括:
步骤T22-21:所述认证服务器将所述第一加密数据和所述第一签名数据发送给所述终端;
步骤T22-22:所述终端接收所述第一加密数据和所述第一签名数据,将保存的所述用户信息、接收到的所述第一加密数据和所述第一签名数据发送给所述离线设备。
13.如权利要求12所述的方法,其特征在于,所述步骤T23之后还包括:当所述终端接收到公钥证书后进行保存。
14.如权利要求1所述的方法,其特征在于,所述步骤S22包括:所述终端使用保存的第一非对称密钥对中的公钥对所述第一签名数据进行解密得到第一解密结果,使用预设哈希算法对保存的公钥证书进行计算得到第一哈希值,判断所述第一解密结果与所述第一哈希值是否相同,是则验证成功,执行步骤S3,否则验证失败,报错,结束。
15.如权利要求4所述的方法,其特征在于,所述步骤S3具体包括:所述终端将所述登录信息中的动态口令和用户信息发送给所述离线设备;
所述步骤S4具体包括:所述离线设备根据内部的与所述用户信息对应的种子信息和口令算法、内部的动态因子生成验证窗口,并判断所述登录信息中的动态口令是否与所述验证窗口中的动态口令匹配,是则通知所述终端允许用户登录,否则通知所述终端拒绝用户登录。
16.如权利要求15所述的方法,其特征在于,所述步骤S3与步骤S4之间包括:
步骤C1:所述离线设备根据接收到的所述登录信息中的用户信息查找对应的第一加密数据,使用保存的所述第二非对称密钥对中的私钥对查找到的所述第一加密数据进行解密,解密成功得到种子信息和口令算法。
17.如权利要求16所述的方法,其特征在于,所述步骤C1与步骤S4之间包括:
步骤C2:所述离线设备判断自身是否有效,是则执行步骤S4,否则给所述终端返回异常的认证日志信息。
18.如权利要求17所述的方法,其特征在于,所述步骤C2具体为:所述离线设备判断内部保存的有效时间日期算是否大于当前时间,是则执行步骤S4,否则给所述终端返回异常的认证日志信息。
19.如权利要求1所述的方法,其特征在于,所述通知所述终端允许用户登录包括:给所述终端返回允许登录信息,执行步骤D1;
所述通知所述终端拒绝用户登录包括:给所述终端返回拒绝登录信息,执行步骤D1;
步骤D1:所述终端根据接收到的信息判断是否允许用户登录,如接收到的信息为允许登录信息则允许用户登录,如接收到的信息为拒绝登录信息则拒绝用户登录。
20.如权利要求1所述的方法,其特征在于,所述步骤S4中判断为是时还包括:所述离线设备生成正常的认证日志信息并保存;所述步骤S4中判断为否时还包括:所述离线设备生成异常的认证日志信息并保存;
当所述终端与所述认证服务器建立连接且所述终端检测到所述离线设备插入时,所述方法还包括:
步骤P1:所述终端读取插入的离线设备中的认证日志信息,并将所述认证日志信息发送给认证服务器;
步骤P2:所述认证服务器接收所述认证日志信息并对其进行检查,如正常则执行步骤P3,如异常则执行步骤P5;
步骤P3:所述认证服务器用接收到的认证日志信息替换保存的对应离线设备的认证信息,并通过所述终端给所述离线设备返回更新成功信息;
步骤P4:所述离线设备接收到所述更新成功信息后,清除保存种子信息和口令算法;
步骤P5:所述认证服务器更新异常次数,判断异常次数是否为预定数据,是则临时锁定所述离线设备,否则永久锁定所述离线设备。
21.如权利要求20所述的方法,其特征在于,如所述离线设备中有多个种子和算法,则所述更新成功信息中包括用户信息;
所述步骤P4具体包括:所述离线设备接收到所述更新成功信息后,清除保存的与所述更新成功信息中的用户信息对应的种子信息和口令算法。
22.一种基于动态口令进行离线认证的登录系统,其特征在于,包括终端、离线设备和认证服务器;所述终端包括:
第一接收模块,用于接收登录信息;
第一判断模块,用于当所述第一接收模块接收到登录信息时,判断认证服务器是否连接;
第二判断模块,用于在所述第一判断模块判断为否时判断是否有合法的离线设备插入,当判断为否时报错;
第一发送模块,用于当所述第一判断模块判断为是时将所述第一接收模块接收到的登录信息发送给所述认证服务器;还用于当所述第二判断模块判断为是时将所述第一接收模块接收到登录信息中的动态口令发送给所述离线设备;
所述离线设备包括:
第二接收模块,用于接收所述第一发送模块发送的所述登录信息中的动态口令;
第一生成模块,用于根据内部的种子信息、口令算法和动态因子生成验证窗口;
第三判断模块,用于判断所述第二接收模块接收到的所述登录信息中的动态口令是否与所述第一生成模块生成的验证窗口中的动态口令匹配;
第二发送模块,用于当所述第三判断模块判断为是时通知所述终端允许用户登录;还用于当所述第三判断模块判断为否时通知所述终端拒绝用户登录;
所述认证服务器包括:
第三接收模块,用于接收所述第一发送模块发送的登录信息;
第一查找模块,用于根据所述第三接收模块接收到的登录信息中的用户信息查找对应的种子信息和口令算法;
第二生成模块,用于当所述第一查找模块找到对应的种子信息和口令算法时根据所述找到的种子信息和口令算法、内部保存的动态因子生成验证窗口;
第四判断模块,用于判断所述第三接收模块接收到的登录信息中的动态口令是否与所述第二生成模块生成的验证窗口中的动态口令匹配;
第三发送模块,用于当所述第一查找模块未找到对应的种子信息和口令算法时和所述第四判断模块判断为否时通知所述终端拒绝用户登录,还用于所述第四判断模块判断为是时通知所述终端允许用户登录;
所述第二判断模块包括:
第一判断单元,用于判断是否有离线设备插入,当判断为否时报错;
第一读取单元,用于当所述第一判断单元判断为是时从所述离线设备中读取第一签名数据;
第一验证单元,用于对所述第一读取单元读取到的第一签名数据进行验证,如验证成功则触发所述第一发送模块将所述第一接收模块接收到的登录信息发送给所述认证服务器,如验证失败则报错;
所述离线设备还包括更新模块;
所述第一生成模块具体用于根据偏移值和内部的动态因子得到动态因子窗口,根据所述动态因子窗口、与所述用户信息对应的种子信息和口令算法生成验证窗口;所述偏移值的初始值为0;
所述更新模块用于当所述第三判断模块判断为是时根据匹配上的动态口令更新所述偏移值和校正保存的动态因子。
23.如权利要求22所述的系统,其特征在于,
第二发送模块还用于将所述离线设备生成的第二非对称密钥对中的公钥发送给所述第一接收模块;
第一接收模块还用于接收第二发送模块发送的第二非对称密钥对中的公钥;
第一发送模块还用于将所述第一接收模块接收到的第二非对称密钥对中的公钥发送给所述第三接收模块;
第三接收模块还用于接收所述第一发送模块发送的第二非对称密钥对中的公钥;
第三发送模块还用于将所述认证服务器生成的第一非对称密钥对中的公钥发送给第一接收模块;
第一接收模块还用于接收第三发送模块发送的第一非对称密钥对中的公钥;
第一发送模块还用于将所述第一接收模块接收到的第一非对称密钥对中的公钥发送给所述第二接收模块;
第二接收模块还用于接收所述第一发送模块发送的第一非对称密钥对中的公钥;
所述认证服务器还包括第三生成模块,所述离线设备还包括第一保存模块;
所述第三生成模块用于根据所述认证服务器生成的第一非对称密钥中的公钥、种子信息和口令算法生成第一签名数据;
所述第三发送模块还用于将所述第三生成模块生成的第一签名数据发送给所述第一接收模块;
所述第一接收模块还用于接收所述第三发送模块发送的第一签名数据;
所述第一发送模块还用于将所述第一接收模块接收到的所述第一签名数据发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一发送模块发送的所述第一签名数据;
所述第一保存模块用于保存所述第二接收模块接收到的所述第一签名数据。
24.如权利要求23所述的系统,其特征在于,
所述认证服务器还包括第一生成保存模块和第二保存模块,所述离线设备还包括第二生成保存模块;
所述第三接收模块还用于接收下载签名数据请求;
所述第一生成保存模块,用于当所述第三接收模块接收到下载签名数据时生成第一非对称密钥对并保存;
所述第三发送模块还用于给所述第一接收模块发送所述第一非对称密钥中的公钥;
所述第一接收模块还用于接收所述第一非对称密钥中的公钥;
所述第一发送模块还用于将所述第一接收模块接收到的所述第一非对称密钥中的公钥发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一非对称密钥中的公钥;
所述第二生成保存模块,用于在所述第二接收模块接收到所述第一非对称密钥中的公钥时后生成第二非对称密钥对并保存;
所述第二保存模块,用于保存所述第二接收模块接收到的第一非对称密钥对中的公钥。
25.如权利要求24所述的系统,其特征在于,所述认证服务器还包括第三生成保存模块,用于生成公钥证书并保存;
所述第三生成模块包括:第一查找单元、第一生成单元和第二生成单元;
所述第一查找单元用于根据保存的用户信息查找对应的种子信息和口令算法;
所述第一生成单元用于使用所述第二非对称密钥对中的公钥对找到的所述种子信息和口令算法进行加密得到第一加密数据;
所述第二生成单元用于使用所述第一非对称密钥对中的私钥对所述公钥证书进行签名得到第一签名数据;
所述第三发送模块还用于将所述第一生成单元生成的所述第一加密数据和所述第二生成单元生成的所述第一签名数据发送给所述第一接收模块;
所述第一接收模块还用于接收所述第三发送模块发送的所述第一加密数据和所述第一签名数据;
所述第一发送模块还用于将所述第一加密数据和所述第一签名数据发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一发送模块发送的第一加密数据和第一签名数据;
所述第一保存模块具体用于保存所述第二接收模块接收到的所述第一加密数据和所述第一签名数据。
26.如权利要求25所述的系统,其特征在于,所述认证服务器还包括添加模块;
所述第一接收模块还用于接收下载数据信息;
所述第一发送模块还用于当所述第一接收模块接收到下载数据信息时向所述认证服务器发送离线认证请求;
所述第三接收模块还用于接收所述第一发送模块发送的离线认证请求;
所述添加模块用于在所述第三接收模块接收到离线认证请求时添加离线认证用户;
所述第三发送模块还用于在所述添加模块添加完离线认证用户后给所述终端返回成功响应;
所述第一接收模块还用于接收所述第三发送模块发送的成功响应。
27.如权利要求26所述的系统,其特征在于,所述添加模块具体用于从所述离线认证请求中获取用户标识,并根据所述用户标识获取对应的用户信息并保存,或从所述离线认证请求中获取对应的用户信息并保存。
28.如权利要求25所述的系统,其特征在于,所述保存的用户信息有多个,
所述第一生成单元具体用于使用所述第二非对称密钥对中的公钥对保存的所有用户的种子信息和口令算法进行加密得到第一加密数据。
29.如权利要求25所述的系统,其特征在于,所述保存的用户信息有多个,
所述第一生成单元具体用于使用所述第二非对称密钥对中的公钥分别对保存的每个用户的种子信息和口令算法进行加密,根据所有加密结果得到第一加密数据。
30.如权利要求25所述的系统,其特征在于,所述第二生成单元具体用于使用预设哈希算法对公钥证书进行计算得到第二哈希值,使用所述第一非对称密钥对中的私钥对第二哈希值进行加密得到第一签名数据。
31.如权利要求25所述的系统,其特征在于,所述终端还包括第二保存模块;
所述第三发送模块还用于将所述用户信息、所述公钥证书、所述第一加密数据和所述第一签名数据发送给所述第一接收模块;
所述第一接收模块还用于接收所述第三发送模块发送的所述用户信息、所述公钥证书、所述第一加密数据和所述第一签名数据;
所述第二保存模块用于保存所述第一接收模块接收到的公钥证书;
所述第一发送模块还用于将所述用户信息、所述第一加密数据和所述第一签名数据发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一发送模块发送的所述用户信息、所述第一加密数据和所述第一签名数据。
32.如权利要求25所述的系统,其特征在于,所述终端还包括第三保存模块;
所述第一接收模块还用于接收用户信息;
所述第三保存模块用于对所述第一接收模块接收到的用户信息进行保存;
所述第一发送模块还用于将所述用户信息发送给所述第三接收模块;
所述第三接收模块还用于接收所述第一发送模块发送的用户信息。
33.如权利要求32所述的系统,其特征在于,
所述第三发送模块还用于将所述第一加密数据和所述第一签名数据发送给所述第一接收模块;
所述第一接收模块还用于接收所述第一加密数据和所述第一签名数据;
所述第一发送模块还用于将所述第三保存模块保存的所述用户信息、所述第一接收模块接收到的所述第一加密数据和所述第一签名数据发送给所述第二接收模块;
所述第二接收模块还用于接收所述第一发送模块发送的所述用户信息、所述第一加密数据和所述第一签名数据。
34.如权利要求33所述的系统,其特征在于,
所述第一接收模块还用于接收公钥证书;
所述第三保存模块还用于保存所述第一接收模块接收到的公钥证书。
35.如权利要求22所述的系统,其特征在于,所述第一验证单元具体用于使用保存的第一非对称密钥对中的公钥对所述第一签名数据进行解密得到第一解密结果,使用预设哈希算法对保存的公钥证书进行计算得到第一哈希值,判断所述第一解密结果与所述第一哈希值是否相同,是则触发所述第一发送模块将所述第一接收模块接收到的登录信息发送给所述认证服务器,否则报错。
36.如权利要求25所述的系统,其特征在于,所述第一发送模块还用于将所述登录信息中的动态口令和用户信息发送给所述离线设备;
所述第二接收模块还用于接收所述第一发送模块发送的所述登录信息中的动态口令和用户信息;
所述第一生成模块具体用于根据内部的与所述用户信息对应的种子信息和口令算法、内部的动态因子生成验证窗口;
所述第三判断模块具体用于判断所述登录信息中的动态口令是否与所述验证窗口中的动态口令匹配。
37.如权利要求36所述的系统,其特征在于,所述离线设备还包括查找解密模块,用于根据所述第二接收模块接收到的所述登录信息中的用户信息查找对应的第一加密数据,使用保存的所述第二非对称密钥对中的私钥对查找到的所述第一加密数据进行解密,解密成功得到种子信息和口令算法。
38.如权利要求37所述的系统,其特征在于,所述离线设备还包括第五判断模块,用于判断所述离线设备是否有效,是则触发所述第一生成模块工作,否则触发所述第二发送模块给所述终端返回异常的认证日志信息。
39.如权利要求38所述的系统,其特征在于,所述第五判断模块具体用于判断内部保存的有效时间日期算是否大于当前时间,是则触发所述第一生成模块工作,否则触发所述第二发送模块给所述终端返回异常的认证日志信息。
40.如权利要求22所述的系统,其特征在于,所述终端还包括第六判断模块;
第二发送模块,还用于当所述第三判断模块判断为是时给所述终端发送允许用户登录信息,还用于当所述第三判断模块判断为否时给所述终端发送拒绝用户登录信息;
第三发送模块,还用于当所述第一查找模块未找到对应的种子信息和口令算法时和所述第四判断模块判断为否时给所述终端发送拒绝用户登录信息,还用于所述第四判断模块判断为是时给所述终端发送允许用户登录信息;
所述第一接收模块还用于接收所述第二发送模块和第三发送模块发送的拒绝用户登录信息或允许用户登录信息;
所述第六判断模块用于根据接收到的信息判断是否允许用户登录,如接收到的信息为允许登录信息则允许用户登录,如接收到的信息为拒绝登录信息则拒绝用户登录。
41.如权利要求22所述的系统,其特征在于,所述离线设备还包括第三生成保存模块和清除模块;所述终端还包括第一读取模块;所述认证服务器还包括第一检查模块、替换模块、更新判断模块;
所述第三生成保存模块用于在所述第三判断模块判断为是时生成正常的认证日志信息并保存;还用于在所述第三判断模块判断为否时生成异常的认证日志信息并保存;
所述第一读取模块用于当所述终端与所述认证服务器建立连接且所述终端检测到所述离线设备插入终端时,读取插入的所述离线设备中的认证日志信息;
所述第一发送模块还用于将所述第一读取模块读取的认证日志信息发送给认证服务器;
所述第三接收模块还用于接收所述第一发送模块发送的认证日志信息;
所述第一检查模块用于对所述第三接收模块接收到的所述认证日志信息进行检查;
所述替换模块用于当所述第一检查模块检查正常时用接收到的认证日志信息替换保存的对应离线设备的认证信息;
所述第三发送模块还用于给所述终端给所述离线设备返回更新成功信息;
所述第一接收模块还用于接收所述第三发送模块发送的更新成功过信息;
所述第一发送模块还用于给所述离线设备发送所述第一接收模块接收到的更新成功信息;
所述第二接收模块还用于接收所述第一发送模块发送的更新成功信息;
所述清除模块用于在所述第二接收模块接收到所述更新成功信息后,清除保存种子信息和口令算法;
所述更新判断模块用于当所述第一检查模块检查异常时更新异常次数,判断异常次数是否为预定数据,是则临时锁定所述离线设备,否则永久锁定所述离线设备。
42.如权利要求41所述的系统,其特征在于,如所述离线设备中有多个种子和算法,则所述更新成功信息中包括用户信息;
所述清除模块具体用于在所述第二接收模块接收到所述更新成功信息后,清除保存的与所述更新成功信息中的用户信息对应的种子信息和口令算法。
CN201810390666.0A 2018-04-27 2018-04-27 一种基于动态口令进行离线认证的登录方法及系统 Active CN108521333B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810390666.0A CN108521333B (zh) 2018-04-27 2018-04-27 一种基于动态口令进行离线认证的登录方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810390666.0A CN108521333B (zh) 2018-04-27 2018-04-27 一种基于动态口令进行离线认证的登录方法及系统

Publications (2)

Publication Number Publication Date
CN108521333A CN108521333A (zh) 2018-09-11
CN108521333B true CN108521333B (zh) 2020-12-15

Family

ID=63429324

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810390666.0A Active CN108521333B (zh) 2018-04-27 2018-04-27 一种基于动态口令进行离线认证的登录方法及系统

Country Status (1)

Country Link
CN (1) CN108521333B (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109787954B (zh) * 2018-12-12 2021-08-10 四川商通实业有限公司 一种php接口安全过滤方法及系统
CN109818738A (zh) * 2018-12-29 2019-05-28 广东电网有限责任公司 一种计算机终端安全登陆方法
CN110765174A (zh) * 2019-09-23 2020-02-07 南京泰治自动化技术有限公司 一种基于可离线的spc数据采集方法及系统
CN110620780B (zh) * 2019-09-26 2021-10-22 如般量子科技有限公司 基于非对称密钥池和时间戳的抗量子计算二维码认证方法及系统
CN111147259B (zh) * 2019-12-26 2022-01-14 华为技术有限公司 鉴权方法和设备
CN111818072B (zh) * 2020-07-16 2022-04-15 中国联合网络通信集团有限公司 数字证书的验证方法、用户节点及认证授权中心
CN111935178B (zh) * 2020-09-23 2020-12-29 南京中孚信息技术有限公司 一种移动设备双因子离线认证方法、系统及装置
DE102020125570A1 (de) 2020-09-30 2022-03-31 Novar Gmbh Verfahren, system und computerprogramm zur authentifikation von brandsteuersystemen
CN112578222B (zh) * 2020-11-27 2022-09-13 国网山东省电力公司济宁供电公司 一种配电终端离线检测方法、系统及平台
CN112202559B (zh) * 2020-12-10 2021-03-16 飞天诚信科技股份有限公司 一种自动注册管理服务器的方法及系统
CN113343946A (zh) * 2021-08-02 2021-09-03 深圳市顺易通信息技术有限公司 基于物联网的交接柜及其控制系统、控制方法
CN114499859A (zh) * 2022-03-22 2022-05-13 深圳壹账通智能科技有限公司 密码验证方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1703002A (zh) * 2005-07-05 2005-11-30 江苏乐希科技有限公司 便携式一次性动态密码生成器以及使用其的安全认证系统
CN106296186A (zh) * 2015-05-25 2017-01-04 阿里巴巴集团控股有限公司 信息交互方法、装置及系统
CN107248918A (zh) * 2017-06-14 2017-10-13 徐华静 离线互联网控制装置及其控制系统与方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3996939B2 (ja) * 2006-03-30 2007-10-24 株式会社シー・エス・イー オフラインユーザ認証システム、その方法、およびそのプログラム
US8627083B2 (en) * 2010-10-06 2014-01-07 Motorala Mobility LLC Online secure device provisioning with online device binding using whitelists
US8838982B2 (en) * 2011-09-21 2014-09-16 Visa International Service Association Systems and methods to secure user identification

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1703002A (zh) * 2005-07-05 2005-11-30 江苏乐希科技有限公司 便携式一次性动态密码生成器以及使用其的安全认证系统
CN106296186A (zh) * 2015-05-25 2017-01-04 阿里巴巴集团控股有限公司 信息交互方法、装置及系统
CN107248918A (zh) * 2017-06-14 2017-10-13 徐华静 离线互联网控制装置及其控制系统与方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种动态口令身份认证方案的设计与实现;于晓晨;《中国优秀硕士学位论文全文数据库 信息科技辑》;20150715;全文 *

Also Published As

Publication number Publication date
CN108521333A (zh) 2018-09-11

Similar Documents

Publication Publication Date Title
CN108521333B (zh) 一种基于动态口令进行离线认证的登录方法及系统
US9055427B2 (en) Updating configuration parameters in a mobile terminal
KR101694744B1 (ko) 다중-요소 인증 공유 등록 시스템
CN110493258B (zh) 基于token令牌的身份校验方法及相关设备
EP2165503B1 (en) Received message verification
US20130318357A1 (en) System and Method for Secure Software Update
CN102113358B (zh) 实现终端设备锁网的方法、系统及终端设备
CN110611569B (zh) 一种认证方法及相关设备
EP2530964B1 (en) Method and device for terminal network locking
CN111182547B (zh) 登录保护方法、装置及系统
CN110753023B (zh) 一种设备认证方法、设备访问方法和装置
CN114257376B (zh) 数字证书更新方法、装置、计算机设备和存储介质
CN112437068A (zh) 认证及密钥协商方法、装置和系统
US11823194B2 (en) Decentralized biometric authentication platform
CN109933974B (zh) 密码初始化方法、装置、计算机设备及存储介质
CN111698204A (zh) 一种双向身份认证的方法及装置
CN111148213A (zh) 5g用户终端的注册方法、用户终端设备及介质
CN107979579B (zh) 一种安全认证方法和安全认证设备
CN112487470B (zh) 信息校验方法、装置、终端设备和计算机可读存储介质
KR20180052479A (ko) 서명 체인을 이용한 유무선 공유기의 펌웨어 업데이트 시스템, 유무선 공유기 및 유무선 공유기의 펌웨어 업데이트 방법
CN113438212A (zh) 基于区块链节点的通信安全管理方法及区块链安全系统
CN109936522B (zh) 设备认证方法及设备认证系统
CN109756509B (zh) 一种基于信息回执的网络认证系统及其工作方法
CN114422252A (zh) 一种身份认证方法及装置
CN117527439A (zh) 基于预埋证书的数字证书校验方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
OL01 Intention to license declared
OL01 Intention to license declared