CN1221900C - 动态电子密码设备及其资源共享系统的用户身份认证方法 - Google Patents
动态电子密码设备及其资源共享系统的用户身份认证方法 Download PDFInfo
- Publication number
- CN1221900C CN1221900C CN 01144349 CN01144349A CN1221900C CN 1221900 C CN1221900 C CN 1221900C CN 01144349 CN01144349 CN 01144349 CN 01144349 A CN01144349 A CN 01144349A CN 1221900 C CN1221900 C CN 1221900C
- Authority
- CN
- China
- Prior art keywords
- equipment
- checking
- electronic cipher
- dynamic electronic
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000009466 transformation Effects 0.000 claims abstract description 3
- 238000004891 communication Methods 0.000 claims description 27
- 230000015572 biosynthetic process Effects 0.000 claims description 18
- 238000004364 calculation method Methods 0.000 claims description 9
- 230000008676 import Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000006243 chemical reaction Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 description 19
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 239000000306 component Substances 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Images
Abstract
本发明涉及一种动态电子密码形成与核验设备,以及在用户资源共享系统中,利用该设备实现用户身份认证的方法。形成与核验设备主要包括微处理器、存储单元、完成杂凑操作的HASH操作专用芯片、和完成加解密变换的有限域乘法器专用芯片。认证方法主要包括:被访问设备在接收访问设备的登录请求后,记录其标识码,并产生随机数返回该访问设备;该访问设备的形成与核验设备,将随机数作为明文,经杂凑操作获得HASH结果(m),再利用私钥(K1)及m通过密码形成算法,生成动态电子密码(C)送至被访问设备;被访问设备的形成与核验设备,根据标识码获得访问设备的公钥(K2),再利用密码核验算法对C进行核验,生成中间结果m’,通过比较m与m’决定是否允许访问设备登录。
Description
技术领域
本发明涉及一种信息安全技术领域,更确切地说是涉及动态电子密码形成和核验设备,特别涉及一种利用专用集成电路和非对称密钥加密算法的动态电子密码设备(或系统),它具有形成动态电子密码的功能,该密码是该设备唯一签出的,即电子密码具有数字签名功能,另外,它还具有核验功能,即在由多个这样的设备组成的系统中,一个设备可以核验另一个设备形成的动态电子密码的正确性。
背景技术
近年来,在计算机信息安全领域中,研究动态电子密码安全系统一直是该领域中的一个重要课题。通过动态电子密码系统寻求自身合法身份认证的计算机用户,只需记住所要求密码中的一部分,而剩下的部分则由密码形成设备完成,该设备每次可以产生一个不同的密码。应用动态电子密码,可以有效地防止通过监测截取或通过字典式攻击来猜测用户密码的事件发生。
从国内外的发展情况来看,动态电子密码设备的实用化才刚刚起步,目前所见到的动态电子密码设备的具体实施方法,大多均采用通用的集成电路实现,如标准的逻辑门电路、触发器、通用门阵列、CPLD(复杂可编程逻辑器件)、FPGA(现场可编程门阵列)、微处理器等,这样的系统很容易被仿制,安全性较差,并且,利用通用器件完成专用密码运算的操作,则使设备结构复杂、性能价格比降低。
另一方面,从目前所见到的动态电子密码设备的密码形成算法来看,大多属于对称密码算法的范畴,在这种对称密码算法体制中,加密算法和解密算法使用相同的密钥,亦即形成密码所使用的密钥和核验密码所使用的密钥相同,并且被不同的设备共有,这样,系统的安全性就较差,当出现密钥泄漏事件时,无法仲裁是那方的责任。
发明内容
本发明的目的是设计一种动态电子密码设备及其资源共享系统的用户身份认证方法,采用集成的有密码算法的专用集成电路,以简化设备的结构,提高可靠性,和保证设备具有较高的安全性;通过采用非对称密钥加密算法,明显提高系统的安全性,并且在发生密钥泄漏事件时,能明确区分责任,有力地解决仲裁问题。
实现本发明目的的技术方案是这样的:一种动态电子密码形成与核验设备,其特征在于:包括微处理器、存储单元、包括加密运算模块的HASH操作专用集成电路芯片、和包括有限域乘法器的有限域乘法专用集成电路芯片;访问侧与被访问侧设备的HASH操作专用集成电路芯片,由芯片中的加密运算模块利用内置密钥对输入的明文完成HASH操作,求出摘要值m,并将该摘要值m返回微处理器;访问侧设备的微处理器从存储器中找到私钥K1,连同该摘要值m送有限域乘法专用集成电路芯片,由芯片中的有限域乘法器对之进行密码形成算法操作,生成动态电子密码C;被访问侧设备的微处理器从存储器中找到公钥K2,连同动态电子密码C送有限域乘法专用集成电路芯片,由芯片中的有限域乘法器对之进行密码核验算法操作,生成中间结果m’;被访问侧设备的微处理器根据摘要值m与中间结果m’决定核验结果。
所述的电子密码设备还包括有可分别显示、打印电子密码(C)的显示器、打印机,用于传输电子密码(C)的通信接口,和键盘装置;所述的显示器、打印机、通信接口分别与所述的微处理器连接,所述的键盘装置与所述的HASH操作专用集成电路芯片连接。
还包括有IC卡插槽与记录用户信息的IC卡,IC卡插槽与所述的微处理器连接,和连接所述的HASH操作专用集成电路芯片。
所述的HASH操作专用集成电路芯片,还包括一个以上的并行口及其缓冲器,和指令、时序、译码控制模块,所述的加密运算模块、缓冲器和指令、时序、译码控制模块通过数据总线连接。
所述的有限域乘法专用集成电路芯片还包括并行口及其缓冲器、寄存器,和时序生成、组合逻辑模块;所述的有限域乘法器、缓冲器、寄存器、和时序生成、组合逻辑模块通过数据总线、控制总线连接。
实现本发明目的的技术方案还是这样的:一种利用本发明的动态电子密码形成与核验设备建立的用户资源共享系统的用户身份认证方法,该系统中,每一台被访问设备及访问设备侧均设置有一台动态电子密码形成与核验设备,并通过串行方式与所述的被访问设备、访问设备连接,其特征在于包括:
A.在每一台动态电子密码形成与核验设备设置自身固有的且不同于其它动态电子密码形成与核验设备的私钥(K1),和具有其它动态电子密码形成与核验设备的公钥(K2),并由用户设备的身份标识码指定公钥与访问设备或被访问设备间的对应关系;
B.由访问设备侧的动态电子密码形成与核验设备获取当前的用户信息与口令,并与存储器中的用户信息与口令比较,比较一致时接收该访问设备的登录请求;
C.被访问设备接收访问设备的登录请求,记录访问设备的标识码,并产生一个随机数返回该访问设备;
D.该访问设备采用脱机或联机方式向动态电子密码形成与核验设备输入该随机数,将该随机数作为明文数据,经编码和带有密钥的杂凑操作后获得明文的HASH结果(m),再利用私钥(K1)及明文的HASH结果(m)进行密码形成算法操作,生成动态电子密码(C),并送至被访问设备;
E.被访问设备的动态电子密码形成与核验设备,根据记录的访问设备标识码获得访问设备的公钥(K2),再利用该公钥(K2)和密码核验算法对所述的随机数及动态电子密码(C)进行核验,并将核验结果传送给被访问设备,在核验结果正确时允许访问设备登录。
所述的访问设备可以是一终端通信用户,被访问设备可以是另一终端通信用户或服务器。
所述步骤A中,所述的私钥(K1)与公钥(K2)是成对生成的。
所述步骤B中,所述的获取当前用户信息与口令,是由所述的动态电子密码形成与核验设备,分别通过读取IC卡槽中的IC卡和扫描键值获得的。
所述步骤D中的脱机方式,是利用所述动态电子密码形成与核验设备上的键盘直接输入所述的随机数完成的。
所述步骤D中的联机方式,是利用访问设备上的键盘直接输入所述的随机数,并通过访问设备上的联机操作软件完成的。
所述步骤D中的带有密钥的杂凑操作是利用HASH操作专用集成电路芯片完成的;所述的密码形成算法操作是利用密码形成算法操作专用集成电路芯片完成的15位数据的有限域乘法运算,采用签名(S)运算用私钥(K1)对HASH操作结果(m)进行加密变换,生成动态电子密码(C)。
所述步骤E中的核验进一步包括:
e1.采用核验(V)运算用公钥(K2)对所述的动态电子密码作解密变换,形成中间结果(m’);
e2.对所述的随机数作编码和杂凑(HASH)操作,形成HASH操作结果(m);
e3.将暂存的中间结果(m’)与上述的HASH操作结果(m)进行比较,两者相同时判断验证结果正确,两者不一致时判断验证结果不正确。
本发明的动态电子密码形成和核验设备,采用非对称密钥加密算法体制,解密算法和加密算法使用不同的密钥,分别称为公钥和私钥,亦即形成密码所使用的密钥和核验密码所使用的密钥不同,只有拥有私钥才能形成电子密码,拥有公钥的设备只能核验对方的密码而不能仿造出用别人私钥形成的电子密码,从而在发生密钥泄漏事件时,能明确区分责任,进行仲裁。
本发明的动态电子密码形成和核验设备,采用有密码算法的专用集成电路,大大简化了设备结构,提高了工作可靠性,和保证设备具有较高的安全性。
在由多个本发明的动态电子密码形成与核验设备组成的系统中,一个设备可以核验由另一个设备形成的动态电子密码的正确性,从而确保在资源共享系统中对各用户身份认证的安全可靠性。
附图说明
图1是依据本发明的动态电子密码形成和核验设备的原理性结构框图。
图2是依据本发明的专用集成电路(SSPKI01)的原理性结构框图。
图3是依据本发明的专用集成电路(SSPKI03)的原理性结构框图。
图4是依据本发明的动态电子密码形成和核验设备构成的用户资源共享(基于动态密码机制)系统结构示意图。
图5是图4所示资源共享系统的身份认证流程图。
具体实施方式
本发明旨在利用电子计算机、信息安全和通信技术,以加密算法专用集成电路为核心设计动态电子密码设备,完成形成动态电子密码和核验动态电子密码的双重功能。
首先说明利用非对称密钥加密算法及加密算法专用集成电路形成动态电子密码的原理。电子密码形成算法和电子密码核验算法分别表达为:
C=f1(K1,M)……(1)
M=f2(K2,C)……(2)
其中,M代表明文或明文经过HASH(杂凑)运算之后的结果,C是M的电子密码,f1是电子密码形成算法,K1是电子密码的形成密钥,即“私钥”,f2是电子密码核验算法,K2是电子密码核验密钥,即“公钥”。
对于同一个私钥K1和密码形成算法f1,不同的明文M1、M2,将得到不同的电子密码。这样,如果每次以随机产生的数据即随机数作为明文,或者以绝对时间作为明文并定时变化,每次就可以产生出不同的(动态)电子密码。
参见图1,图中示出本发明的动态电子密码形成和核验设备的原理性结构。由计算机微处理器芯片、密码算法专用集成电路、存储器件、显示器、键盘、IC卡、实时时钟、通信部件、电源电路等组成。其中,微处理器是密码设备的核心处理部件,完成对其它各个部件的控制和操作,以及数据的处理;存储器包括Flash存储器和机存取存储器RAM,Flash存储器是非易失性存储器,主要保存设备工作流程所需参数和特征数据,能长期保存汉字字库、厂家信息以及以加密形式存储的算法公钥,随机存取存储器RAM主要保存设备运行的临时数据和参数。显示器可采用160×64点阵大屏幕液晶显示器,可以显示中文、英文、罗马字、图形符号等,键盘由通用数字键0到9以及功能键(确定、清除)等组成,完成信息的输入,显示器和键盘是设备的主要人机接口;通信部件包括符合RS-232C标准的串行通信口和专用的扩展口两类,串行通信口可以与具有RS-232C标准串行口的其它设备(如PC机)进行通信,完成信息的输入和输出,专用的扩展口可用于同类设备之间的通信和功能扩展;IC卡是一种具有加密功能的集成电路卡,是使用设备的准入卡,用户将IC卡插入设备的卡片插槽中,并且输入正确的登录口令后就可以使用该设备了,反之,如果用户插入的不是设备的IC卡,或口令错误均不能使用该设备,而且,口令连续错误次数超过指定次数(如3次),即使以后输入的口令正确,该用户也不能使用密码设备;实时时钟为密码设备提供准确时间;电源电路将交流市电或将备用电池电转变为设备所需要的直流电平,并且具有对备用电池充电的充电器;电源监测电路可采用电源电压监测集成片(本实施例采用具有电源监测功能的专用集成电路芯片:SSPKI03)检测设备电源电压,当该电压低于设定电压达到指定的时间后,发出复位信号使微处理器复位,防止程序跑飞后会改写设备的重要数据。
上述设备形成动态电子密码的过程是:
用户将IC卡插入设备的卡片插槽中后,ASIC#1(SSPKI01)的P0口检测到卡片已经插入插槽,微处理器开始读取IC卡中的用户信息,并提示用户输入口令,这时用户通过键盘输入口令(如8位数字),键盘信号由ASIC#1(SSPKI01)的P2口与P4口进行扫描来完成,所得到的键值经过ASIC#1(SSPKI01)的P0口输入到微处理器中,微处理器将保存在Flash存储器中的用户信息和口令,与当前接收的用户信息和口令比较,当两者相同时,允许用户使用设备,否则不允许用户使用设备,并且在用户输入的口令出错时,还会将错误次数记录在Flash存储器中该用户信息的记录中。其间,需要提示给用户的信息由微处理器输出到显示器上作相应显示。
在用户登录后,可以通过两种方式输入明文,第一种方法是脱机方式,第二种方式是联机方式。
脱机方式时,用户使用键盘输入明文数据,键盘信号由ASIC#1(SSPKI01)的P2口与P4口进行扫描来完成,所得到的键值经过P0口输入到微处理器中,微处理器将输入的明文再通过ASIC#1(SSPKI01)的P0口送入加密运算模块ASIC#1中,在该模块中完成带有内置密钥的HASH操作,求出摘要值(m),如56比特数据,该hash值(m)被返回到微处理器中,微处理器根据用户的记录信息从Flash存储器中找到采用加密形式的私钥并解密(K1),由上述明文的HASH结果(m)及得到的私钥(K1)进行密码形成算法(S算法)操作,其中的主要步骤将由ASIC#2(SSPKI03)中的有限域乘法器完成,最后形成动态电子密码(C),由显示器显示出来。
联机方式时,用户需要将设备与通信终端设备(如PC机)通过串口连接起来,并在通信终端设备上安装动态电子密码形成与核验设备的联机操作软件,启动动态电子密码形成与核验设备后进入串行工作状态,这样,由终端设备的键盘输入的数据通过通信接口电路送到微处理器中,而处理器显示的内容又通过通信接口电路送到通信终端设备中,并在通信终端设备显示器上提示给用户,密码设备内部形成电子密码的操作与第一种方法是完全相同的。
电子密码形成与核验设备核验动态密码的过程是:
用户将IC卡插入设备的卡片插槽中后,ASIC#1(SSPKI01)的P0口检测到卡片已经插入插槽,微处理器开始读取IC卡中的用户信息,并提示用户输入口令,这时用户通过键盘输入口令(如8位数字),键盘信号由ASIC#1(SSPKI01)的P2口与P4口通过扫描来完成,所得到的键值经过P0口输入到微处理器中,微处理器从Flash存储器中调出用户信息和口令,并与当前接收的用户信息与口令比较,当两者相同时,允许用户使用设备,否则不允许用户使用设备,并且在用户输入口令出错时,还将口令错误次数记录在Flash存储器中该用户信息的记录中。其间,需要提示给用户的信息由微处理器输出到显示器上作相应显示。
在用户登录后,可以通过两种方式输入明文和需要核验的电子密码并得到核验结果,第一种方法是脱机方式,第二种方式是联机方式。
脱机方式时,用户使用键盘输入数据,键盘信号由ASIC#1(SSPKI01)的P2口与P4口通过扫描来完成,所得到的键值经过P0口输入到微处理器中,微处理器将输入数据再通过ASIC#1(SSPKI01)P0口送入加密运算模块ASIC#1(SSPKI01)中,在该模块中完成带有内置密钥的HASH操作,HASH结果(56比特数据)被返回给微处理器,微处理器根据用户的记录信息从Flash存储器中找到加密形式的对方公钥并解密(K2),采用电子密码形成时同样的方法对明文求HASH结果(m),并利用公钥(K2)及动态电子密码(C),利用V运算进行密码核验算法操作,得中间结果(m’),再与求出的HASH结果(m)比较,以决定核验结果的正确与否,其中的主要步骤是由ASIC#2(SSPKI03)中的有限域乘法器完成,最后给出核验结果,由显示器显示出来。
联机方式时,用户需要将动态电子密码形成与核验设备与通信终端设备(如PC机)通过串口连接起来,并在通信终端设备上安装动态电子密码形成与核验设备的联机操作软件,启动动态电子密码形成与核验设备后进入串行工作状态,这样,由通信终端设备键盘输入的数据通过通信接口电路送到微处理器中,而处理器显示的内容又通过通信接口电路送到通信终端设备中,并在通信终端设备显示器上提示给用户,密码设备内部形成电子密码的操作与第一种方法是完全相同的。
综上所述,本发明的以加密算法专用集成电路为核心部件,所设计的动态电子密码设备,具有结构简单、抗攻击、抗复制能力强等优点,不仅能完成动态电子密码生成与核验的功能,而且其形成的动态电子密码具有签名功能,能在出现密钥泄漏事件时做出责任仲裁。
加密算法专用集成电路主要包括两片专用集成电路:ASIC#1(SSPKI01),如图2中所示,和ASIC#2(SSPKI03),如图3中所示。
参见图2,专用集成电路ASIC#1(SSPKI01)的主要功能是实现带密钥的HASH操作,主要由加密运算模块、缓冲器和指令、时序、译码控制电路组成。专用集成电路ASIC#1还有端口扩展以及键盘扩展等功能,图中P0、P1、P2、P4为四个端口,P0口与微处理器的8位数据总线连接,P1、P2是带缓冲的8位扩展口,P4是带上拉电阻的4位输入口,当P4中任一线为低电平时,输出为低电平,因此,P4口适合用作键盘的回扫输入。专用集成电路ASIC#1还具有电源管理功能,当设备电源电压低于指定电压达到指定时间后,发出复位信号。加密模块对输入的数据,利用内置密钥生成56位的HASH值,HASH操作是提取输入数据(明文)的“摘要”的操作,其意义在于使得输入数据(明文)每位的信息均能反映到HASH结果的每位上。
参见图3,专用集成电路ASIC#2(SSPKI03)的主要功能是实现15位数据的有限域乘法运算,并且还提供锁存器、译码器等功能。图中,P0口与微处理器的8位数据端口连接,P1为8位带锁存器的数据输出口,三个地址线A0-A2以及P2口实现3-8译码器的功能,有限域乘法器实现15位乘15位、而结果仍为15位的有限域乘法运算,完成非对称密钥加密算法中密码形成运算和密码核验运算的重要操作。
参见图4,在基于动态密码机制构成的用户资源共享(如局域网)系统中,可以由多个动态密码形成与核验设备组成一个动态密码系统,来完成用户身份的认证工作。其中,资源共享系统中的各个被访问设备如服务器41或各用户终端,以及访问设备如各用户终端(用用户标识号1...N区别)均配有一个动态电子密码形成和核验设备42,并与之通过串行方式连接,安装相应的通信软件。动态密码形成和核验设备42与服务器41或用户终端1...N间可选择脱机或联机方式工作。
在这样一个用户资源共享系统的用户认证中,各个密码设备42分别具有不同的私钥,而它们又都具有其它设备的公钥,一个公钥与一用户的对应关系是依靠每个设备用户的身份标识码来指定的。各个设备的私钥获取及身份标识码的分配等是通过“授权”过程来完成的。
参见图5,在授权过程完成之后,一个终端设备登录一台服务器的动态密码形成和核验的步骤如下:
步骤51:终端设备启动登录进程,终端设备向服务器提交终端设备的用户标识码;
步骤52:服务器接收终端用户的请求,并验证用户使用的标识码;
步骤53:判断用户使用的标识码是否正确,如果用户使用的标识码正确,则执行步骤54,否则,系统拒绝为终端用户提供服务,并返回给用户相应的提示;
步骤54:服务器记录用户标识码,并产生一个随机数,送到终端用户的操作界面上显示;
步骤55:终端用户登录,在接收到该随机数后,以其作为明文,调用动态电子密码设备的通信软件,计算出动态电子密码,并提交给服务器,以执行相应的密码核验进程;
步骤56:服务器将步骤52、54中获得的用户标识码、随机数及动态电子密码一起发送到动态电子密码形成与核验设备中,该设备首先由用户标识号得到终端用户的公钥,然后利用该公钥和密码核验算法,对随机数和动态电子密码进行核验,并将核验结果返回给服务器;
步骤57:由服务器判断动态电子密码形成与核验设备的核验结果,当核验结果正确时,则允许该用户的登录请求,执行步骤58,否则执行步骤59,服务器拒绝为用户提供服务,并返回给终端用户相应的提示。
本发明的动态电子密码形成和核验设备是利用专用集成电路和非对称密钥加密算法实现的,硬件采用微处理器芯片及存储器、显示器等,应用软件使用汇编及高级语言开发。具有形成动态电子密钥的功能,并且该密码是该设备唯一签出的。电子密码具有数字签名功能和核验功能,在由多个这样的动态电子密码形成与核验设备组成的资源共享系统中,一个设备可以核验由另一个设备形成的动态电子密码的正确性,用以认证授权用户的身份。可广泛应用于银行、证券、网络通信和电子锁等技术领域。
Claims (13)
1.一种动态电子密码形成与核验设备,其特征在于:包括微处理器、存储单元、包括加密运算模块的HASH操作专用集成电路芯片、和包括有限域乘法器的有限域乘法专用集成电路芯片;访问侧与被访问侧设备的HASH操作专用集成电路芯片,由芯片中的加密运算模块利用内置密钥对输入的明文完成HASH操作,求出摘要值m,并将该摘要值m返回微处理器;访问侧设备的微处理器从存储器中找到私钥K1,连同该摘要值m送有限域乘法专用集成电路芯片,由芯片中的有限域乘法器对之进行密码形成算法操作,生成动态电子密码C;被访问侧设备的微处理器从存储器中找到公钥K2,连同动态电子密码C送有限域乘法专用集成电路芯片,由芯片中的有限域乘法器对之进行密码核验算法操作,生成中间结果m’;被访问侧设备的微处理器根据摘要值m与中间结果m’决定核验结果。
2.根据权利要求1所述的一种动态电子密码形成与核验设备,其特征在于:所述的电子密码设备还包括有可分别显示、打印电子密码C的显示器、打印机,用于传输电子密码C的通信接口,和键盘装置;所述的显示器、打印机、通信接口分别与所述的微处理器连接,所述的键盘装置与所述的HASH操作专用集成电路芯片连接。
3.根据权利要求1所述的一种动态电子密码形成与核验设备,其特征在于:还包括有IC卡插槽与记录用户信息的IC卡,IC卡插槽与所述的微处理器连接,和连接所述的HASH操作专用集成电路芯片。
4.根据权利要求1或2或3所述的一种动态电子密码形成与核验设备,其特征在于:所述的HASH操作专用集成电路芯片,还包括一个以上的并行口及其缓冲器,和指令、时序、译码控制模块,所述的加密运算模块、缓冲器和指令、时序、译码控制模块通过数据总线连接。
5.根据权利要求1或2或3所述的一种动态电子密码形成与核验设备,其特征在于:所述的有限域乘法专用集成电路芯片还包括并行口及其缓冲器、寄存器,和时序生成、组合逻辑模块;所述的有限域乘法器、缓冲器、寄存器、和时序生成、组合逻辑模块通过数据总线、控制总线连接。
6.一种利用权利要求1的动态电子密码形成与核验设备建立的用户资源共享系统的用户身份认证方法,该系统中,每一台被访问设备及访问设备侧均设置有一台动态电子密码形成与核验设备,并通过串行方式与所述的被访问设备、访问设备连接,其特征在于包括:
A.在每一台动态电子密码形成与核验设备设置自身固有的且不同于其它动态电子密码形成与核验设备的私钥K1,和具有其它动态电子密码形成与核验设备的公钥K2,并由用户设备的身份标识码指定公钥与访问设备或被访问设备间的对应关系;
B.由访问设备侧的动态电子密码形成与核验设备获取当前的用户信息与口令,并与存储器中的用户信息与口令比较,比较一致时接收该访问设备的登录请求;
C.被访问设备接收访问设备的登录请求,记录访问设备的标识码,并产生一个随机数返回该访问设备;
D.该访问设备采用脱机或联机方式向动态电子密码形成与核验设备输入该随机数,将该随机数作为明文数据,经编码和带有密钥的杂凑操作后获得明文的HASH结果m,再利用私钥K1及明文的HASH结果m进行密码形成算法操作,生成动态电子密码C,并送至被访问设备;
E.被访问设备的动态电子密码形成与核验设备,根据记录的访问设备标识码获得访问设备的公钥K2,再利用该公钥K2和密码核验算法对所述的随机数及动态电子密码C进行核验,并将核验结果传送给被访问设备,在核验结果正确时允许访问设备登录。
7.根据权利要求6所述的一种用户资源共享系统的用户身份认证方法,其特征在于:所述的访问设备可以是一终端通信用户,被访问设备可以是另一终端通信用户或服务器。
8.根据权利要求6所述的一种用户资源共享系统的用户身份认证方法,其特征在于:所述步骤A中,所述的私钥K1与公钥K2是成对生成的。
9.根据权利要求6所述的一种用户资源共享系统的用户身份认证方法,其特征在于:所述步骤B中,所述的获取当前用户信息与口令,是由所述的动态电子密码形成与核验设备,分别通过读取IC卡槽中的IC卡和扫描键值获得的。
10.根据权利要求6所述的一种用户资源共享系统的用户身份认证方法,其特征在于:所述步骤D中的脱机方式,是利用所述动态电子密码形成与核验设备上的键盘直接输入所述的随机数完成的。
11.根据权利要求6所述的一种用户资源共享系统的用户身份认证方法,其特征在于:所述步骤D中的联机方式,是利用访问设备上的键盘直接输入所述的随机数,并通过访问设备上的联机操作软件完成的。
12.根据权利要求6所述的一种用户资源共享系统的用户身份认证方法,其特征在于:所述步骤D中的带有密钥的杂凑操作是利用HASH操作专用集成电路芯片完成的;所述的密码形成算法操作是利用密码形成算法操作专用集成电路芯片完成的15位数据的有限域乘法运算,采用签名S运算用私钥K1对HASH操作结果m进行加密变换,生成动态电子密码C。
13.根据权利要求6所述的一种用户资源共享系统的用户身份认证方法,其特征在于所述步骤E中的核验进一步包括:
e1.采用核验V运算用公钥K2对所述的动态电子密码作解密变换,形成中间结果m’;
e2.对所述的随机数作编码和杂凑HASH操作,形成HASH操作结果m;
e3.将暂存的中间结果m’与上述的HASH操作结果m进行比较,两者相同时判断验证结果正确,两者不一致时判断验证结果不正确。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01144349 CN1221900C (zh) | 2001-12-17 | 2001-12-17 | 动态电子密码设备及其资源共享系统的用户身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 01144349 CN1221900C (zh) | 2001-12-17 | 2001-12-17 | 动态电子密码设备及其资源共享系统的用户身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1427351A CN1427351A (zh) | 2003-07-02 |
| CN1221900C true CN1221900C (zh) | 2005-10-05 |
Family
ID=4677498
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 01144349 Expired - Lifetime CN1221900C (zh) | 2001-12-17 | 2001-12-17 | 动态电子密码设备及其资源共享系统的用户身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1221900C (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895554A (zh) * | 2010-07-26 | 2010-11-24 | 贵阳高新华美龙技术有限公司 | 一种动态码防伪方法及系统 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100414866C (zh) * | 2004-03-26 | 2008-08-27 | 西安海星现代科技股份有限公司 | 无令牌动态口令身份认证方法 |
| CN100374968C (zh) * | 2004-04-23 | 2008-03-12 | 光宝科技股份有限公司 | 主动认证的控制与管理方法 |
| CN100492966C (zh) * | 2004-11-26 | 2009-05-27 | 王小矿 | 基于智能卡和动态密码的身份认证系统 |
| CN100492968C (zh) * | 2004-11-26 | 2009-05-27 | 王小矿 | 基于动态密码的防伪方法 |
| CN100492967C (zh) * | 2004-11-26 | 2009-05-27 | 王小矿 | 基于动态密码的销售管理方法 |
| CN100595785C (zh) * | 2004-11-26 | 2010-03-24 | 王小矿 | 用于小额支付的动态密码运用方法 |
| CN1798026B (zh) * | 2004-12-27 | 2010-08-25 | 北京天地融科技有限公司 | 一种增强计算机上使用电子签名工具安全性的方法 |
| JP4148246B2 (ja) * | 2005-06-30 | 2008-09-10 | ブラザー工業株式会社 | 通信システム、証明書更新装置、証明書更新プログラム、通信装置及び代替更新プログラム |
| WO2007143932A1 (fr) * | 2006-06-12 | 2007-12-21 | Nian Chen | Procédé de contrôle d'authentification numérique par usb, guichet automatique de banque et terminal de point de vente l'exploitant |
| US9767319B2 (en) * | 2007-04-17 | 2017-09-19 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Method and apparatus of secure authentication for system on chip (SoC) |
| CN101321060B (zh) * | 2007-06-07 | 2011-06-08 | 管海明 | 一种用于编码和译码数字消息的方法和系统 |
| CN101933287B (zh) * | 2007-08-08 | 2015-11-25 | 黄金富 | 对抗木马程式用完即弃一次性密钥的加密认证装置和方法 |
| CN101933315B (zh) * | 2007-08-08 | 2014-03-26 | 黄金富 | 可对抗木马程式采用用完即弃一次性密钥的加密认证键盘 |
| CN101621503A (zh) * | 2008-06-30 | 2010-01-06 | 中华电信股份有限公司 | 应用于虚拟专用网络架构下的身份识别系统与方法 |
| CN101957958A (zh) * | 2010-09-19 | 2011-01-26 | 中兴通讯股份有限公司 | 一种实现网络支付的方法及手机终端 |
| CN103581121B (zh) * | 2012-07-25 | 2019-04-16 | 深圳中兴网信科技有限公司 | 一种web应用的登录认证方法及系统 |
| CN103152178B (zh) * | 2013-02-04 | 2015-11-11 | 浪潮(北京)电子信息产业有限公司 | 云计算验证方法和系统 |
| CN103391197B (zh) * | 2013-07-19 | 2016-06-08 | 武汉大学 | 一种基于手机令牌和NFC技术的Web身份认证方法 |
| CN103795542A (zh) * | 2014-01-24 | 2014-05-14 | 中国工商银行股份有限公司 | 一种数字签名认证方法及装置 |
| CN107659396B (zh) * | 2016-07-23 | 2022-07-22 | 东莞宏大动力科技有限公司 | 一种动态加密方法 |
| US10523648B2 (en) * | 2017-04-03 | 2019-12-31 | Microsoft Technology Licensing, Llc | Password state machine for accessing protected resources |
| CN107733912A (zh) * | 2017-10-31 | 2018-02-23 | 珠海市魅族科技有限公司 | 信息加密方法、信息认证方法、终端及计算机可读存储介质 |
| WO2019200155A1 (en) * | 2018-04-13 | 2019-10-17 | Lexmark International, Inc. | Chip and supply item for imaging device, including communication |
-
2001
- 2001-12-17 CN CN 01144349 patent/CN1221900C/zh not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895554A (zh) * | 2010-07-26 | 2010-11-24 | 贵阳高新华美龙技术有限公司 | 一种动态码防伪方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1427351A (zh) | 2003-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1221900C (zh) | 动态电子密码设备及其资源共享系统的用户身份认证方法 | |
| CN1153147C (zh) | 利用外部加密算法安全地产生计算机系统口令 | |
| US8065718B2 (en) | Secure authentication using hardware token and computer fingerprint | |
| CN101447010B (zh) | 登录系统及登录方法 | |
| CN1234081C (zh) | 利用bios通过身份认证实现安全访问硬盘的方法 | |
| CN109587162B (zh) | 登录验证方法、装置、终端、密码服务器及存储介质 | |
| CN1808973A (zh) | 通用串行总线人机交互类的信息安全设备及其控制方法 | |
| CN1281608A (zh) | 利用生物统计数据生成密码密钥 | |
| CN1439207A (zh) | 用于建立可核查身份而又保密的平台和方法 | |
| CA2408222A1 (en) | Security system for high level transactions between devices | |
| US8984599B2 (en) | Real time password generation apparatus and method | |
| CN1992592A (zh) | 动态口令认证系统和方法 | |
| CN1959693A (zh) | 一种实现指纹智能密钥装置多用户使用的方法 | |
| CN111882719A (zh) | 一种基于动态密码的密码防盗方法、装置及智能锁具 | |
| CN1427575A (zh) | 电子密码形成与核验方法 | |
| TWI416922B (zh) | 運用圖像式認證碼的認證系統及其方法 | |
| CN103297237A (zh) | 身份注册和认证方法、系统、个人认证设备和认证服务器 | |
| CN101552671A (zh) | 基于u盘和动态差异密码的网络身份认证方法及系统 | |
| CN102685121A (zh) | 一种数字签名方法和装置 | |
| CN102546168A (zh) | 用于身份认证的通讯装置 | |
| CN101547098B (zh) | 公共网络数据传输安全认证方法及系统 | |
| CN116346415A (zh) | 一种工控plc系统的多因素登录认证方法、装置及plc系统 | |
| CN2914498Y (zh) | 基于通用串行总线人机交互类设备的信息安全设备 | |
| CN2896370Y (zh) | 一种智能密钥装置 | |
| US9203607B2 (en) | Keyless challenge and response system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: ZHAORI SCIENCE & TECHNOLOGY (SHENZHEN) CO., LTD. Free format text: FORMER OWNER: ZHAORI SCIENCE AND TECHNOLOGY CO. LTD., BEIJING Effective date: 20061103 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20061103 Address after: Nine road 518040 Shenzhen city Futian District Tairan 213 building 6 floor C-3 block Patentee after: Zhaori Science & Technology (Shenzhen) Co., Ltd. Address before: 100089, Beijing, Haidian District, West Third Ring Road, No. 11, block B, 2 Patentee before: Zhaori Science and Technology Co., Ltd., Beijing |
|
| C56 | Change in the name or address of the patentee |
Owner name: SHENZHEN ZHAORI TECHNOLOGY CO., LTD. Free format text: FORMER NAME: ZHAORI SCIENCE + TECHNOLOGY (SHENZHEN) CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: Nine road 518040 Shenzhen city Futian District Tairan 213 building 6 floor C-3 block Patentee after: Shenzhen Sinosun Technology Co., Ltd. Address before: Nine road 518040 Shenzhen city Futian District Tairan 213 building 6 floor C-3 block Patentee before: Sinosun Technology (Shenzhen) Co., Ltd. |
|
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20051005 |