CN109150891B - 一种验证方法、装置和信息安全设备 - Google Patents
一种验证方法、装置和信息安全设备 Download PDFInfo
- Publication number
- CN109150891B CN109150891B CN201811032504.6A CN201811032504A CN109150891B CN 109150891 B CN109150891 B CN 109150891B CN 201811032504 A CN201811032504 A CN 201811032504A CN 109150891 B CN109150891 B CN 109150891B
- Authority
- CN
- China
- Prior art keywords
- password
- verification
- data
- server
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
Abstract
本申请公开了一种验证方法和装置以及信息安全设备,该验证方法包括:接收来自信息安全设备的设备端验证数据;生成服务端验证数据并基于设备端验证数据和服务端验证数据生成第一验证口令;将第一验证口令和服务端验证数据返回给第一用户设备;其中,第一用户设备接收的第一验证口令和服务端验证数据用于输入信息安全设备来进行身份验证。通过本申请的技术方案,能够安全且高效地实现信息安全设备的身份验证。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种验证方法、装置和信息安全设备。
背景技术
现如今信息安全已经渗透到人们日常生活的各个方面,人们越来越多地使用作为物理硬件设备的信息安全设备来确保信息和数据交互的安全。例如,作为应用较为广泛的一种信息安全设备,智能密钥设备是一种带有处理器和存储器的硬件装置,被广泛地应用于在军事,商务,金融等需要强安全领域。为防止智能钥匙设备在所有者不知情的情况下被盗用,通常做法是给智能密钥设定只有所有者知道的PIN码。盗用者因不知道PIN码所以无法使用智能密钥设备。
然而,由于PIN码仅为一组简单的数据,盗用者可以通过一些非法手段,如窥视、破译等获取PIN码,从而造成智能密钥设备被盗用。
发明内容
有鉴于此,本发明实施例提出了一种验证方案,用于应对智能密钥设备容易被盗用的问题。
为此,本发明实施例一方面提出了一种验证方法,应用于服务端,包括:
接收来自信息安全设备的设备端验证数据;
生成服务端验证数据并基于设备端验证数据和服务端验证数据生成第一验证口令;
将第一验证口令和服务端验证数据返回给第一用户设备;
其中,第一用户设备接收的第一验证口令和服务端验证数据用于输入信息安全设备来进行身份验证。
可选地,生成服务端验证数据并基于设备端验证数据和服务端验证数据生成第一验证口令包括:
生成第一随机口令,并基于第一随机口令和设备端验证数据生成第一验证口令。
可选地,生成服务端验证数据并基于设备端验证数据和服务端验证数据生成第一验证口令包括:
生成第一随机口令,基于第一随机口令生成第一验证数据,并基于第一验证数据和设备端验证数据生成第一验证口令。
本发明实施例还提出了一种验证装置,应用于服务端,包括:
通信单元,其配置为接收来自信息安全设备的设备端验证数据;
第一处理单元,其配置为生成服务端验证数据并基于设备端验证数据和服务端验证数据生成第一验证口令,
其中,通信单元还配置为将第一验证口令和服务端验证数据返回给第一用户设备,
其中,第一用户设备接收的第一验证口令和服务端验证数据用于输入信息安全设备来进行身份验证。
可选地,所述第一处理单元配置为生成第一随机口令,并基于第一随机口令和设备端验证数据生成第一验证口令。
可选地,所述第一处理单元配置为生成第一随机口令,基于第一随机口令生成第一验证数据,并基于第一验证数据和设备端验证数据生成第一验证口令。
本发明实施例另一方面提出了一种验证方法,应用于信息安全设备,包括:
生成设备端验证数据,将设备端验证数据发送给服务端;
通过第一用户设备获得服务端响应于设备端验证数据而返回的第一验证口令和服务端验证数据;
基于设备端验证数据和服务端验证数据生成第二验证口令;
通过比对第一验证口令和第二验证口令来进行身份验证。
可选地,生成设备端验证数据,将设备端验证数据发送给服务端,包括:生成第二随机口令,并基于第二随机口令生成第二验证数据,将第二验证数据发送给服务端;基于设备端验证数据和服务端验证数据生成第二验证口令包括:基于第二随机口令和服务端验证数据生成第二验证口令。
可选地,生成设备端验证数据,将设备端验证数据发送给服务端,包括:生成第二随机口令,并基于第二随机口令生成第二验证数据,将第二随机口令发送给服务端;基于设备端验证数据和服务端验证数据生成第二验证口令包括:基于第二验证数据和服务端验证数据生成第二验证口令。
本发明实施例同时提出了一种信息安全设备,包括:
第二处理单元,其配置为生成设备端验证数据,以及基于设备端验证数据和服务端验证数据生成第二验证口令,并通过比对第一验证口令和第二验证口令来进行身份验证;
接口单元,其配置为将设备端验证数据发送给服务端,并通过第一用户设备获得服务端响应于设备端验证数据而返回的所述第一验证口令和所述服务端验证数据。
可选地,第二处理单元配置为生成第二随机口令,基于第二随机口令生成第二验证数据,并基于第二随机口令和服务端验证数据生成所述第二验证口令;接口单元配置为将第二验证数据发送给服务端。
可选地,第二处理单元配置为生成第二随机口令,基于第二随机口令生成第二验证数据,并基于第二验证数据和服务端验证数据生成所述第二验证口令;接口单元配置为将第二随机口令发送给服务端。
本发明实施例的验证方法、装置和信息安全设备通过基于服务端验证数据和设备端验证数据生成的验证口令对用户进行身份验证,每次身份验证时生成的验证口令不同,提高了破译难度,有效地降低了信息安全设备被盗用的几率。
附图说明
图1为本发明实施例的用于服务端的验证方法的一个实施例的示例性流程图;
图2为本发明实施例的用于服务端的验证方法的另一个实施例的示例性流程图;
图3本发明实施例的用于服务端的验证方法的再一个实施例的示例性流程图;
图4为本发明实施例的用于信息安全设备的验证方法的一个实施例的示例性流程图;
图5为本发明实施例的用于信息安全设备的验证方法的另一个实施例的示例性流程图;
图6为本发明实施例的用于信息安全设备的验证方法的再一个实施例的示例性流程图;
图7为本发明实施例的用于服务端的验证装置的示例性框图;
图8为本发明实施例的信息安全设备的示例性框图。
具体实施方式
下面参照附图对本发明实施例进行详细说明。
在本发明各实施例中,信息安全设备例如可以是密码芯片、加密卡、加密机、加密锁、密码机、安全服务器、安全加密套件、安全中间件、公开密钥基础设施(PKI)系统、授权证书(CA)系统、安全操作系统、网络/系统扫描系统、入侵检测系统、网络安全预警系统等。
图1为本发明实施例的用于服务端的验证方法的一个实施例的示例性流程图。
本发明实施例的验证方法应用于服务端,如图1所示,本发明实施例的验证方法包括:
S101、接收来自信息安全设备的设备端验证数据;
S102、生成服务端验证数据并基于设备端验证数据和服务端验证数据生成第一验证口令;
S103、将第一验证口令和服务端验证数据返回给第一用户设备。
当用户需要使用信息安全设备时,信息安全设备需要验证用户的身份,只有当验证为合法用户时才能允许用户使用信息安全设备。
当信息安全设备需要验证用户身份时,如信息安全设备自身具备联网功能,可直接向服务端发送设备端验证数据,否则可通过与信息安全设备有线或无线连接的其他能够联网的电子设备向服务端发送设备端验证数据。
本发明实施例中,设备端验证数据可以是信息安全设备生成的随机数、动态口令等,可确保信息安全设备每次进行身份验证时使用不同的设备端验证数据。例如,本发明实施例中设备端验证数据可以是随机数r1。
服务端接收到来自信息安全设备的设备端验证数据r1后,可生成服务端验证数据,服务端验证数据可以是服务端的验证装置生成的随机数、动态口令等,可确保每次接收到设备端验证数据后生成的服务端验证数据均相互不同。例如,本发明实施例中服务端验证数据可以是随机数r2。
服务端生成服务端验证数据后,可根据从信息安全设备接收到的设备端验证数据r1和所生成的服务端验证数据r2来生成第一验证口令c1,也即,(r1,r2)→c1。
服务端在生成第一验证口令c1后,可将本次生成的服务端验证数据r2和第一验证口令c1发送至用户预先指定的独立于信息安全设备的第一用户设备。
本发明实施例中的第一用户设备需要具有通信功能或联网功能,例如可以是用户的手机、平板电脑、笔记本电脑等终端设备,服务端可通过通话、短消息或邮件等方式将服务端验证数据r2和第一验证口令c1通知给第一用户设备。通过将验证用数据发送给用户预先指定的第一用户设备,能够通过验证信息安全设备的使用者是否持有预先注册的移动通信号码或电子邮箱的使用权,能够进一步提高信息安全设备对使用者的身份验证的可靠性。
在本发明实施例中,第一用户设备接收的第一验证口令c1和服务端验证数据r2用于输入信息安全设备来进行身份验证。在第一用户设备获得服务端验证数据r2和第一验证口令c1后,可将服务端验证数据r2和第一验证口令c1手动输入至信息安全设备,或者通过在第一用户设备与信息安全设备之间建立通信连接的方式将服务端验证数据r2和第一验证数据c1传送给信息安全设备。
信息安全设备接收到服务端验证数据r2和第一验证数据c1后,可基于本次身份验证期间生成的设备端验证数据r1和该接收到的服务端验证数据r2生成第二验证口令,也即,(r1,r2)→c2,并将生成的第二验证口令c2与该接收到的第一验证数据c1进行比对,如比对结果为一致,则确认用户身份合法,允许用户使用信息安全设备,否则确认用户身份不合法,禁止用户使用信息安全设备。
本发明实施例中,服务端与信息安全设备预先约定用于生成验证口令的算法,在服务端和信息安全设备中存储相同的算法来生成验证口令,使得如果第一验证口令是服务端使用该算法对服务端验证数据和设备端验证数据进行计算生成的,就会与信息安全设备使用相同算法对设备端验证数据和服务端验证数据进行计算生成的第二验证口令一致。这里约定的算法例如可以为加密算法,如RSA、AES、DES、MD5等,也可以是散列算法,还可以是自定义算法,或者多种算法按预定顺序的组合算法。
通过本发明实施例,通过使用预先约定的算法基于服务端验证数据和设备端验证数据生成的验证口令对要使用信息安全设备的用户进行身份验证,每次身份验证时并非使用固定的验证口令而是生成不同的验证口令进行验证,极大地提高了破译难度,有效地降低了信息安全设备被盗用的几率。
图2为本发明实施例的用于服务端的验证方法的另一个实施例的示例性流程图。
如图2所示,本发明实施例的验证方法包括:
S111、接收来自信息安全设备的设备端验证数据;
S112、生成第一随机口令,并基于第一随机口令和设备端验证数据生成第一验证口令;
S113、将第一验证口令和服务端验证数据返回给第一用户设备。
本发明实施例中,设备端验证数据可以包括信息安全设备即时生成的随机口令r1和信息安全设备通过对随机口令r1进行安全运算生成的设备端验证数据b1,信息安全设备生成设备端验证数据b1后,将设备端验证数据b1发送给服务端。
服务端接收到来自信息安全设备的设备端验证数据b1后,可生成服务端验证数据,本发明实施例中的服务端验证数据包括服务端即时生成的随机口令r2(S112中的第一随机口令)以及服务端通过对随机口令r2进行安全运算生成的服务端验证数据b1。
服务端生成随机口令r2后,可根据从信息安全设备接收到的设备端验证数据b1和所生成的随机口令r2来生成第一验证口令c1,也即,(a1,r2)→c1。
服务端在生成第一验证口令c1后,可通过通话、短消息或邮件等方式将本次生成的服务端验证数据b1和本次生成的第一验证口令c1发送至用户预先指定的独立于信息安全设备的第一用户设备。
在第一用户设备获得服务端验证数据b1和第一验证口令c1后,可将服务端验证数据b1和第一验证口令c1手动输入至信息安全设备,或者通过在第一用户设备与信息安全设备之间建立通信连接的方式将服务端验证数据b1和第一验证口令c1传送给信息安全设备。
信息安全设备接收到服务端验证数据b1和第一验证数据c1后,可基于本次身份验证期间生成的随机口令r1和该接收到的服务端验证数据b1生成第二验证口令c2,也即,(b1,r1)→c2,并将生成的第二验证口令c2与该接收到的第一验证数据c1进行比对,如比对结果为一致,则确认用户身份合法,允许用户使用信息安全设备,否则确认用户身份不合法,禁止用户使用信息安全设备。
本发明实施例中,受信任的服务端与信息安全设备预先设置有商定的随机口令生成算法,预先约定了用于生成服务端验证数据b1和a1的安全算法,并预先约定了用于生成验证口令c1和c2的算法,从而通过上述一系列预先协调使得受信任的服务端生成的验证口令c1和信息安全设备生成的c2一致,而其他非法终端很难伪造出正确的验证口令c1。这里约定的算法例如可以为加密算法,如RSA、AES、DES、MD5等,也可以是散列算法,还可以是自定义算法,或者多种算法按预定顺序的组合算法。
本发明实施例中,生成验证口令c1、c2的算法和生成设备端验证数据b1、b1的算法可以不同。
本发明实施例通过在服务端和信息安全设备两端分别对交叉数据组合进行安全运算生成验证口令,从而进一步提高了验证口令的破解难度。
图3本发明实施例的用于服务端的验证方法的再一个实施例的示例性流程图。
如图3所示,本发明实施例的验证方法包括:
S121、接收来自信息安全设备的设备端验证数据;
S122、生成第一随机口令,基于第一随机口令生成第一验证数据,并基于第一验证数据和设备端验证数据生成第一验证口令;
S123、将第一验证口令和服务端验证数据返回给第一用户设备。
本发明实施例中,设备端验证数据可以包括信息安全设备即时生成的随机口令r1和信息安全设备通过对随机口令r1进行安全运算生成的设备端验证数据b1。与图2所示实施例不同的是,本发明实施例中信息安全设备生成设备端验证数据后,将设备端验证数据中的随机口令r1发送给服务端。
服务端接收到来自信息安全设备的随机口令r1后,可生成服务端验证数据,本发明实施例中的服务端验证数据包括服务端即时生成的随机口令r2(S122中的第一随机口令)以及服务端通过对随机口令r2进行安全运算生成的服务端验证数据b1(S122中的第一验证数据)。
服务端生成服务端验证数据b1后,可根据从信息安全设备接收到的随机口令r1和所生成的服务端验证数据b1来生成第一验证口令c1,也即,(b1,r1)→c1。
服务端在生成第一验证口令c1后,可通过通话、短消息或邮件等方式将本次生成的随机口令r2和本次生成的第一验证口令c1发送至用户预先指定的独立于信息安全设备的第一用户设备。
在第一用户设备获得随机口令r2和第一验证口令c1后,可将随机口令r2和第一验证口令c1手动输入至信息安全设备,或者通过在第一用户设备与信息安全设备之间建立通信连接的方式将随机口令r2和第一验证口令c1传送给信息安全设备。
信息安全设备接收到随机口令r2和第一验证数据c1后,可基于本次身份验证期间生成的设备端验证数据b1和该接收到的随机口令r2生成第二验证口令c2,也即,(a1,r2)→c2,并将生成的第二验证口令c2与该接收到的第一验证数据c1进行比对,如比对结果为一致,则确认用户身份合法,允许用户使用信息安全设备,否则确认用户身份不合法,禁止用户使用信息安全设备。
本发明实施例中,受信任的服务端与信息安全设备预先设置有商定的随机口令生成算法,预先约定了用于生成服务端验证数据b1和a1的安全算法,并预先约定了用于生成验证口令c1和c2的算法,从而通过上述一系列预先协调使得受信任的服务端生成的验证口令c1和信息安全设备生成的c2一致,而其他非法终端很难伪造出正确的验证口令c1。这里约定的算法例如可以为加密算法,如RSA、AES、DES、MD5等,也可以是散列算法,还可以是自定义算法,或者多种算法按预定顺序的组合算法。
本发明实施例中,生成验证口令c1、c2的算法和生成设备端验证数据b1、b1的算法也可以不同。
本发明实施例通过在服务端和信息安全设备两端分别对交叉数据组合进行安全运算生成验证口令,同样能够进一步提高验证口令的破解难度。
图4为本发明实施例的用于信息安全设备的验证方法的一个实施例的示例性流程图。
本发明实施例的验证方法应用于信息安全设备,如图4所示,本发明实施例的验证方法包括:
S201、生成设备端验证数据,将设备端验证数据发送给服务端;
S202、通过第一用户设备获得服务端响应于设备端验证数据而返回的第一验证口令和服务端验证数据;
S203、基于设备端验证数据和服务端验证数据生成第二验证口令;
S204、通过比对第一验证口令和第二验证口令来进行身份验证。
本发明实施例的验证方法与图1所示的应用于服务端的验证方法是对应的,因此下面简略说明本发明实施例的实现过程。
当用户需要使用信息安全设备时,信息安全设备需要验证用户的身份,这时信息安全设备可直接或间接地向服务端发送设备端验证数据。S201中的设备端验证数据可以是信息安全设备生成的随机数、动态口令等,例如可以是随机数r1。
服务端接收到来自信息安全设备的设备端验证数据r1后,可生成服务端验证数据,服务端验证数据可以是服务端的验证装置生成的随机数、动态口令等,例如可以是随机数r2。
服务端生成随机数r2后,可根据从信息安全设备接收到的随机数r1和所生成的随机数r2来生成第一验证口令c1,也即,(r1,r2)→c1,并将本次生成的随机数r2和第一验证口令c1发送至用户预先指定的独立于信息安全设备的第一用户设备。
在第一用户设备获得随机数r2和第一验证口令c1后,可通过人工输入或通信方式将随机数r2和第一验证口令c1手动输入至信息安全设备,信息安全设备可基于本次身份验证期间生成的随机数r1和该接收到的随机数r2生成第二验证口令,也即,(r1,r2)→c2,并将生成的第二验证口令c2与该接收到的第一验证数据c1进行比对,如比对结果为一致,则确认用户身份合法,允许用户使用信息安全设备,否则确认用户身份不合法,禁止用户使用信息安全设备。
本发明实施例中,在服务端和信息安全设备中存储相同的算法来生成验证口令,这里的算法例如可以为加密算法,如RSA、AES、DES、MD5等,也可以是散列算法,还可以是自定义算法,或者多种算法按预定顺序的组合算法。
通过本发明实施例,通过使用预先约定的算法基于服务端验证数据和设备端验证数据生成的验证口令对要使用信息安全设备的用户进行身份验证,每次身份验证时并非使用固定的验证口令而是生成不同的验证口令进行验证,极大地提高了破译难度,有效地降低了信息安全设备被盗用的几率。
图5为本发明实施例的用于信息安全设备的验证方法的另一个实施例的示例性流程图。
如图5所示,本发明实施例的验证方法包括:
S211、生成第二随机口令,并基于第二随机口令生成第二验证数据,将第二验证数据发送给服务端;
S212、通过第一用户设备获得服务端响应于第二验证数据而返回的第一验证口令和服务端验证数据;
S213、基于第二随机口令和服务端验证数据生成第二验证口令;
S214、通过比对第一验证口令和第二验证口令来进行身份验证。
本发明实施例的验证方法与图2所示的应用于服务端的验证方法是对应的,因此下面简略说明本发明实施例的实现过程。
本发明实施例中,信息安全设备生成随机口令r1(S211中的第二随机口令),并对随机口令r1进行安全运算生成设备端验证数据b1(S211中的第二验证数据)。信息安全设备生成设备端验证数据b1后,将设备端验证数据b1发送给服务端。
服务端接收到来自信息安全设备的设备端验证数据b1后,可生成服务端验证数据,包括服务端即时生成的随机口令r2以及服务端通过对随机口令r2进行安全运算生成的服务端验证数据b1。
服务端生成随机口令r2后,可根据从信息安全设备接收到的设备端验证数据b1和所生成的随机口令r2来生成第一验证口令c1,也即,(a1,r2)→c1,并将本次生成的服务端验证数据b1和第一验证口令c1发送至用户预先指定的独立于信息安全设备的第一用户设备。
在第一用户设备获得服务端验证数据b1和第一验证口令c1后,可通过用户手动或通信传输的方式将服务端验证数据b1和第一验证口令c1输入信息安全设备。
信息安全设备接收到服务端验证数据b1和第一验证数据c1后,可基于本次身份验证期间生成的随机口令r1和该接收到的服务端验证数据b1生成第二验证口令c2,也即,(b1,r1)→c2,并将生成的第二验证口令c2与该接收到的第一验证数据c1进行比对,如比对结果为一致,则确认用户身份合法,允许用户使用信息安全设备,否则确认用户身份不合法,禁止用户使用信息安全设备。
本发明实施例中,通过在服务端和信息安全设备中进行前述的预先协调使得受信任的服务端生成的验证口令c1和信息安全设备生成的c2一致,而其他非法终端很难伪造出正确的验证口令c1。
本发明实施例中,生成验证口令c1、c2的算法和生成设备端验证数据b1、b1的算法可以不同。
本发明实施例通过在服务端和信息安全设备在两端分别对交叉数据组合进行安全运算生成验证口令,从而进一步提高了验证口令的破解难度。
图6为本发明实施例的用于信息安全设备的验证方法的再一个实施例的示例性流程图。
如图6所示,本发明实施例的验证方法包括:
S221、生成第二随机口令,并基于第二随机口令生成第二验证数据,将第二随机口令发送给服务端;
S222、通过第一用户设备获得服务端响应于第二随机口令而返回的第一验证口令和服务端验证数据;
S223、基于第二验证数据和服务端验证数据生成第二验证口令;
S224、通过比对第一验证口令和第二验证口令来进行身份验证。
本发明实施例的验证方法与图3所示的应用于服务端的验证方法是对应的,因此下面简略说明本发明实施例的实现过程。
本发明实施例中,信息安全设备即时生成随机口令r1,并通过对随机口令r1进行安全运算生成的设备端验证数据b1,将这两个设备端验证数据中的随机口令r1发送给服务端。
服务端接收到来自信息安全设备的随机口令r1后,可生成随机口令r2,并通过对随机口令r2进行安全运算生成服务端验证数据b1。
服务端生成服务端验证数据b1后,可根据从信息安全设备接收到的随机口令r1和所生成的服务端验证数据b1来生成第一验证口令c1,也即,(b1,r1)→c1,并将本次生成的随机口令r2和本次生成的第一验证口令c1发送至用户预先指定的独立于信息安全设备的第一用户设备。
在第一用户设备获得随机口令r2和第一验证口令c1后,可将随机口令r2和第一验证口令c1通过手动或通信传输的方式输入至信息安全设备。
信息安全设备接收到随机口令r2和第一验证数据c1后,可基于本次身份验证期间生成的设备端验证数据b1和该接收到的随机口令r2生成第二验证口令c2,也即,(a1,r2)→c2,并将生成的第二验证口令c2与该接收到的第一验证数据c1进行比对,如比对结果为一致,则确认用户身份合法,允许用户使用信息安全设备,否则确认用户身份不合法,禁止用户使用信息安全设备。
本发明实施例中,通过在服务端和信息安全设备中进行前述的预先协调使得受信任的服务端生成的验证口令c1和信息安全设备生成的c2一致,而其他非法终端很难伪造出正确的验证口令c1。本发明实施例中,生成验证口令c1、c2的算法和生成设备端验证数据b1、b1的算法也可以不同。
本发明实施例通过在服务端和信息安全设备两端分别对交叉数据组合进行安全运算生成验证口令,提高了验证口令的破解难度。
图7为本发明实施例的用于服务端的验证装置的示例性框图。
本发明实施例的验证装置应用于服务端。如图7所示,本发明实施例的验证装置1包括通信单元11和第一处理单元12。
第一处理单元12配置为生成服务端验证数据并基于设备端验证数据和服务端验证数据生成第一验证口令。第一处理单元12例如可以实施为通用的中央处理单元CPU、专用软件模块或者专用的安全芯片。
通信单元11配置为从自信息安全设备接收设备端验证数据并传送给第一处理单元12,并配置为将第一处理单元12生成的第一验证口令和服务端验证数据返回给第一用户设备。通信单元11例如可以实施为无线或有限的通信端口。
其中,第一用户设备接收的第一验证口令和服务端验证数据用于输入信息安全设备来进行身份验证。
在本发明一个实施例中,第一处理单元12可以配置为生成第一随机口令,并基于第一随机口令和设备端验证数据生成第一验证口令。
在本发明另一个实施例中,第一处理单元12可以配置为生成第一随机口令,基于第一随机口令生成第一验证数据,并基于第一验证数据和设备端验证数据生成第一验证口令。
本发明各实施例的验证装置的具体操作过程可参考前述对应的方法实施例,在此省略具体说明。
图8为本发明实施例的信息安全设备的示例性框图。
如图8所示,本发明实施例的信息安全设备包括接口单元21和第二处理单元22。
第二处理单元22可以配置为生成设备端验证数据,以及基于设备端验证数据和服务端验证数据生成第二验证口令,并通过比对第一验证口令和第二验证口令来进行身份验证。第二处理单元22可以实施为信息安全设备中的专用安全芯片。
接口单元21配置为将设备端验证数据发送给服务端,并通过第一用户设备获得服务端响应于设备端验证数据而返回的第一验证口令和服务端验证数据。接口单元21可以配置为信息安全设备的输入/输出接口。
在本发明一个实施例中,第二处理单元22可以配置为生成第二随机口令,基于第二随机口令生成第二验证数据,并基于第二随机口令和服务端验证数据生成所述第二验证口令;接口单元21可以配置为将第二验证数据发送给服务端。
在本发明另一个实施例中,第二处理单元22可以配置为生成第二随机口令,基于第二随机口令生成第二验证数据,并基于第二验证数据和服务端验证数据生成所述第二验证口令;接口单元可以配置为将第二随机口令发送给服务端。
本发明各实施例的验证装置的具体操作过程可参考前述对应的方法实施例,在此省略具体说明。
以上对本发明多个实施例进行了详细说明,但本发明不限于上述特定的实施例,本领域技术人员在本发明实施例的基础上在不超出本发明构思范围的情况下能够进行多种修改和变型,这些修改和变型都应落入本发明要求保护的范围之内。
Claims (5)
1.一种验证方法,应用于服务端,包括:
接收来自信息安全设备的设备端验证数据,包括:通过信息安全设备即时生成随机口令r1,通过信息安全设备对随机口令r1进行运算生成验证数据a1,接收来自信息安全设备的验证数据a1;生成服务端验证数据并基于设备端验证数据和服务端验证数据生成第二验证口令,包括:通过服务端生成随机口令r2,通过对随机口令r2进行运算生成验证数据b1;基于随机口令r2和验证数据a1生成第二验证口令c2;将第二验证口令c2和验证数据b1返回给第一用户设备;
其中,第一用户设备接收的第二验证口令c2和验证数据b1用于输入信息安全设备来进行身份验证;包括:基于随机口令r1和验证数据b1生成第一验证口令c1,并将第二验证口令c2与第一验证口令c1进行比对,当确定比对结果为一致,确认用户身份合法,当确定比对结果不一致,确认用户身份不合法;
其中,受信任的服务端与信息安全设备预先设置有商定的随机口令生成算法,预先约定了用于生成验证数据b1和a1的安全算法,并预先约定了用于生成验证口令c1和c2的算法,从而通过上述一系列预先协调使得受信任的服务端生成的验证口令c2和信息安全设备生成的c1一致,而其他非法终端很难伪造出正确的验证口令c1。
2.一种验证装置,应用于服务端,包括:
通信单元,其配置为接收来自信息安全设备的设备端验证数据,包括:通过信息安全设备即时生成随机口令r1,通过信息安全设备对随机口令r1进行运算生成验证数据a1,接收来信息安全设备的验证数据a1;
第一处理单元,其配置为生成服务端验证数据并基于设备端验证数据和服务端验证数据生成第二验证口令包括:通过服务端生成随机口令r2,通过对随机口令r2进行运算生成验证数据b1;基于随机口令r2和验证数据a1生成第二验证口令c2;将第二验证口令c2和验证数据b1返回给第一用户设备;其中,第一用户设备接收的第二验证口令c2和验证数据b1用于输入信息安全设备来进行身份验证;包括:基于随机口令r1和验证数据b1生成第一验证口令c1,并将第二验证口令c2与第一验证口令c1进行比对,当确定比对结果为一致,确认用户身份合法,当确定比对结果不一致,确认用户身份不合法;
其中,受信任的服务端与信息安全设备预先设置有商定的随机口令生成算法,预先约定了用于生成验证数据b1和a1的安全算法,并预先约定了用于生成验证口令c1和c2的算法,从而通过上述一系列预先协调使得受信任的服务端生成的验证口令c2和信息安全设备生成的c1一致,而其他非法终端很难伪造出正确的验证口令c1。
3.一种验证方法,应用于信息安全设备,包括:
生产设备端验证数据,将设备端验证数据发送给服务端,包括:即时生成随机口令r1,对随机口令r1进行运算生成验证数据a1,将验证数据a1发送给服务端;
通过第一用户设备获得服务端响应于设备端验证数据而返回的第二验证口令c2和服务端验证数据,包括:通过服务端生成随机口令r2,通过对随机口令r2进行运算生成验证数据b1;基于随机口令r2和验证数据a1生成第二验证口令c2;将第二验证口令c2和验证数据b1返回给第一用户设备;
基于随机口令r1和验证数据b1生成第一验证口令c1,并将第二验证口令c2与第一验证口令c1进行比对,当确定比对结果为一致,确认用户身份合法,当确定比对结果不一致,确认用户身份不合法;
其中,受信任的服务端与信息安全设备预先设置有商定的随机口令生成算法,预先约定了用于生成验证数据b1和a1的安全算法,并预先约定了用于生成验证口令c1和c2的算法,从而通过上述一系列预先协调使得受信任的服务端生成的验证口令c2和信息安全设备生成的c1一致,而其他非法终端很难伪造出正确的验证口令c1。
4.如权利要求3所述的验证方法,其中,
生成设备端验证数据,将设备端验证数据发送给服务端,包括:生成随机口令r1,并基于随机口令r1生成验证数据a1,将随机口令r1发送给服务端;基于设备端验证数据和服务端验证数据生成第二验证口令包括:通过服务端生成随机口令r2,通过对随机口令r2进行运算生成验证数据b1;基于随机口令r1和验证数据b1生成第二验证口令c2;将第二验证口令c2和随机口令r2返回给第一用户设备;
基于随机口令r2和验证数据a1生成第一验证口令c1,并将第二验证口令c2与第一验证口令c1进行比对,当确定比对结果为一致,确认用户身份合法,当确定比对结果不一致,确认用户身份不合法。
5.一种信息安全设备,包括:
第二处理单元,其配置为生成设备端验证数据,包括:生成随机口令r1,对随机口令r1进行运算生成验证数据a1;
接口单元,其配置为将验证数据a1发送给服务端;通过第一用户设备获得服务端响应于设备端验证数据而返回的第二验证口令c2和服务端验证数据,包括:通过服务端生成随机口令r2,通过对随机口令r2进行运算生成验证数据b1;基于随机口令r2和验证数据a1生成第二验证口令c2;将第二验证口令c2和验证数据b1返回给第一用户设备;
所述第二处理单元还配置为基于随机口令r1和验证数据b1生成第一验证口令c1,并将第二验证口令c2与第一验证口令c1进行比对,当确定比对结果为一致,确认用户身份合法,当确定比对结果不一致,确认用户身份不合法;
其中,受信任的服务端与信息安全设备预先设置有商定的随机口令生成算法,预先约定了用于生成验证数据b1和a1的安全算法,并预先约定了用于生成验证口令c1和c2的算法,从而通过上述一系列预先协调使得受信任的服务端生成的验证口令c2和信息安全设备生成的c1一致,而其他非法终端很难伪造出正确的验证口令c1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811032504.6A CN109150891B (zh) | 2018-09-05 | 2018-09-05 | 一种验证方法、装置和信息安全设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811032504.6A CN109150891B (zh) | 2018-09-05 | 2018-09-05 | 一种验证方法、装置和信息安全设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109150891A CN109150891A (zh) | 2019-01-04 |
| CN109150891B true CN109150891B (zh) | 2020-03-17 |
Family
ID=64827035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811032504.6A Active CN109150891B (zh) | 2018-09-05 | 2018-09-05 | 一种验证方法、装置和信息安全设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109150891B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113067705B (zh) * | 2021-04-13 | 2022-05-27 | 广州锦行网络科技有限公司 | 一种连接建立中身份验证的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889434A (zh) * | 2006-07-21 | 2007-01-03 | 胡祥义 | 一种安全高效网络用户身份鉴别的方法 |
| CN101083526A (zh) * | 2007-08-07 | 2007-12-05 | 华为技术有限公司 | 生成密钥的方法、通信系统、通信设备和服务器 |
| CN101188495A (zh) * | 2007-12-04 | 2008-05-28 | 魏恺言 | 一种实现强口令认证方式的安全系统及方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101420297B (zh) * | 2008-09-08 | 2010-11-03 | 北京飞天诚信科技有限公司 | 协商密钥的方法和系统 |
| WO2011050745A1 (zh) * | 2009-10-30 | 2011-05-05 | 北京飞天诚信科技有限公司 | 认证方法及系统 |
| CN102148683A (zh) * | 2010-02-04 | 2011-08-10 | 上海果壳电子有限公司 | 基于hash芯片或加密芯片的双因素认证方法 |
| CN102752311B (zh) * | 2012-07-16 | 2016-04-06 | 天地融科技股份有限公司 | 一种认证方法、系统和装置 |
| CN102868527B (zh) * | 2012-08-17 | 2016-01-20 | 天地融科技股份有限公司 | 一种动态口令生成系统及装置 |
| CN102916970B (zh) * | 2012-10-30 | 2015-04-15 | 飞天诚信科技股份有限公司 | 一种基于网络的pin码缓存方法 |
| CN103905195A (zh) * | 2012-12-28 | 2014-07-02 | 中国电信股份有限公司 | 基于动态口令的用户卡认证方法和系统 |
| CN104539701B (zh) * | 2014-12-29 | 2018-04-27 | 飞天诚信科技股份有限公司 | 一种在线激活移动终端令牌的设备和系统的工作方法 |
| CN105282168B (zh) * | 2015-11-06 | 2019-02-05 | 盛趣信息技术(上海)有限公司 | 基于chap协议的数据交互方法及装置 |
| CN106789069B (zh) * | 2016-12-20 | 2019-12-13 | 中国电子科技集团公司第三十研究所 | 一种零知识身份认证方法 |
| CN107342862B (zh) * | 2017-08-28 | 2021-02-19 | 北京信任度科技有限公司 | 一种云加端三权分立实现密钥生成和保护的方法及系统 |
-
2018
- 2018-09-05 CN CN201811032504.6A patent/CN109150891B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1889434A (zh) * | 2006-07-21 | 2007-01-03 | 胡祥义 | 一种安全高效网络用户身份鉴别的方法 |
| CN101083526A (zh) * | 2007-08-07 | 2007-12-05 | 华为技术有限公司 | 生成密钥的方法、通信系统、通信设备和服务器 |
| CN101188495A (zh) * | 2007-12-04 | 2008-05-28 | 魏恺言 | 一种实现强口令认证方式的安全系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109150891A (zh) | 2019-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109981562B (zh) | 一种软件开发工具包授权方法及装置 | |
| US10848304B2 (en) | Public-private key pair protected password manager | |
| CN105427099A (zh) | 安全电子交易的网络认证方法 | |
| CN111181928B (zh) | 车辆诊断方法、服务器及计算机可读存储介质 | |
| CN107733636B (zh) | 认证方法以及认证系统 | |
| CN107979467B (zh) | 验证方法及装置 | |
| CN108462700B (zh) | 后台服务器、终端设备、适用于人脸识别的安全预警方法及存储介质 | |
| CN111131300B (zh) | 通信方法、终端及服务器 | |
| CN104426659A (zh) | 动态口令生成方法、认证方法及系统、相应设备 | |
| CN111161056A (zh) | 一种提高数字资产交易安全性的方法、系统及设备 | |
| CN111539720B (zh) | 一种基于数字货币的可信交易方法和系统 | |
| CN112241527B (zh) | 物联网终端设备的密钥生成方法、系统及电子设备 | |
| CN111031539A (zh) | 一种基于移动端增强Windows操作系统登录安全性的方法和系统 | |
| CN109190343B (zh) | 一种基于指纹识别的身份验证安全认证系统 | |
| CN115859267A (zh) | 一种应用程序安全启动的方法、存储控制芯片和电子设备 | |
| CN113612852A (zh) | 一种基于车载终端的通信方法、装置、设备及存储介质 | |
| CN112583588B (zh) | 一种通信方法及装置、可读存储介质 | |
| CN109150891B (zh) | 一种验证方法、装置和信息安全设备 | |
| CN105873043B (zh) | 一种用于移动终端的网络私匙的生成及应用方法及其系统 | |
| CN110968878B (zh) | 信息传输方法、系统、电子设备及可读介质 | |
| KR101451638B1 (ko) | 본인 확인 및 도용 방지 시스템 및 방법 | |
| CN113592484A (zh) | 一种账户的开立方法、系统及装置 | |
| CN112995213B (zh) | 一种安全认证方法及其应用装置 | |
| EP4250209A1 (en) | Devices, methods and a system for secure electronic payment transactions | |
| CN117424709B (zh) | 终端设备的登录方法、设备以及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee after: Beijing Shendun Technology Co.,Ltd. Address before: 100193 5th floor 510, No. 5 Building, East Yard, No. 10 Wangdong Road, Northwest Haidian District, Beijing Patentee before: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. |