专利名称:基于口令卡提高身份认证安全性的方法
技术领域:
本发明涉及信息安全领域,特别涉及一种基于口令卡提高身份认证安全性的方法。
背景技术:
随着计算机技术的发展,信息安全越来越受到人们的关注,近年来出现的信息安全设备 是一种带有处理器和存储器的小型硬件装置,可以通过计算机的数据通讯接口与计算机相连, 一般通过USB(Universal Serial Bus,通用串行总线)接口与计算机相连,通常被称为USB KEY 或USB Token (身份认证设备),信息安全设备具有抗攻击的物理特性,安全性很高,因此被 广泛应用在身份识别、网上银行和VPN (Virtual Private Network,虚拟专用网络)等领域, 并且可以对信息安全设备内存储的数据进行加/解密处理,所以还可以将信息安全设备用于软 件版权保护领域;另外也可以将一些重要信息,比如密码、电子证书、电子签名和电子图章 等,存储到信息安全设备中,用以保证安全性或者防止遗忘。目前,较高端的信息安全设备 是可编程的,即可以在信息安全设备中运行预先存入其中的代码。
动态n令技术是一种动态生成随机口令的技术,即每"个口令只使用一次的技术,所以
每次使用的口令都是变化的。动态口令是利用口令生成算法生成的,U令生成算法可以是 DES、 SHA、 MD5和RSA等。其中口令生成算法可以按照时间或事件的动态变化来实现动 态U令的生成,即动态口令是通过随机因子(即生成要素)和另外一个或几个因子经过口令 生成算法计算得来的,其中生成要素可以采用时间生成要素,也可以采用事件生成要素。
口令矩阵是通过口令生成算法生成的一组口令,用矩阵方式将口令排列成行数为X、列 数为Y的口令矩阵,例如X、 Y都为5,表示该口令矩阵大小为5行5列,共25个口令组 成。信息安全设备通过给出矩阵坐标值(矩阵行列号)来确定一个口令矩阵位置,进而确定 每次使用的口令。U令卡是标记有口令矩阵的口令卡,标记的具体方法可以是激光刻字生成、 喷码方式喷写、丝网印刷或打印标签并粘贴等等,每张口令卡都有各自不同的卡序列号,且 通常都保存有多个口令。口令卡上每个口令只能使用一次,实现一次一密的效果,是安全有 效的人员认证和登入控管工具。
信息安全设备一般采用PIN (Personal Identification Number,个人身份识别码)验证用户是否为该信息安全设备合法持有者。PIN码一般分为User PIN和SO PIN两种,User PIN是 用户使用的PIN码,SOPIN是管理员使用的PIN码,用于管理信息安全设备,拥有更高的权 限,比如可以解锁,可以初始化信息安全设备等。
目前信息安全设备广泛采用的身份认证方式为静态PIN码认证方式,在进行身份认证时 将信息安全设备与计算机相连,用户在计算机中输入PIN码,信息安全设备从计算机中获取 到用户输入的PIN码,并将用户输入的PIN码与其内预先存储在信息安全设备内的PIN码进 行比较,校验该PIN码的正确性,只有当用户输入的PIN码正确时,才说明该用户为信息安 全设备的合法持有者,允许该用户使用信息安全设备;否则,禁止用户使用信息安全设备。 PIN码可以由生产商或用户自己预先设置好,也可以由用户定期或不定期的修改。
一般信息安全设备连续验证的次数是由生产商预先设置好的,用来防止被人穷举破解, 比如,生产商在信息安全设备出厂前可以预先设置连续验证的最大次数为3次,则如果用户 连续输入3次PIN码都是错误的情况下,信息安全设备将被锁定。当信息安全设备被锁定后, 用户需要拿着信息安全设备到专门的柜台那里去做解锁,比如,用户的信息安全设备是用于 银行系统的,那么,当信息安争设备被锁定后,用户就需要拿着信息安全设备到银行去解锁。
上述现有技术在对信息安全设备进行用户身份认证时,每次都采用相同的PIN,虽然用 户可以修改PIN,但是通常不会在每次身份认证后都会修改PIN,因此存在着安全隐患,如 果PIN被黑客截获,则黑客就可能使用该PIN窃取智能密钥装置内存储的证书等敏感信息, 进行非法交易,给合法用户带来损失。并且现有技术中的解锁方法需要用户到专门的柜台去 办理,比较麻烦和耗时,而且如果用户有急用的话会给用户造成很多不便,甚至会给用户造 成经济上的损失。
发明内容
为了提高信息安全设备身份认证的安全性,本发明提供了一种基于口令卡提高身份认证
安全性的方法。所述技术方案如下
一方面,本发明提供了一种基于口令卡提高身份认证安全性的方法,所述方法包括 信息安全设备接收用户发来的绑定第一口令卡的申请和校验码;
所述信息安全设备比对所述校验码和内置的验证码是否一致,如果一致,则接收所述用 户输入的所述第一口令卡的序列号,保存所述序列号,完成与所述第一口令卡的绑定;
当所述信息安全设备接收到所述用户的身份认证申请后,在预存的坐标范围内选取第一 举标值并提供给所述用户,并接收所述用户输入的在所述第一口令卡上与所述第一坐标值对应的口令;
所述信息安全设备利用口令生成算法计算所述保存的序列号和所述第一坐标值,生成口 令,比对所述生成的口令与所述用户输入的口令是否一致,如果一致,则所述用户身份认证 成功;否则,所述用户身份认证失败。
所述方法还包括
所述用户身份认证成功后,所述信息安全设备在所述预存的坐标范围内将所述第一坐标 值标识为不可用。
所述校验码为静态密码或生物特征。
另一方面,本发明还提供了一种基于口令卡提高身份认证安全性的方法,所述方法包括 信息安全设备接收用户发来的绑定第一口令卡的申请和校验码;
所述信息安全设备比对所述校验码和内置的验证码是否一致,如果一致,则接收所述用 户输入的所述第一口令卡的序列号,利用口令生成算法计算所述序列号生成口令矩阵,并保 存所述口令矩阵,完成与所述第一口令卡的绑定;
当所述信息安全设备接收到所述用户的身份认证申请后,在所述口令矩阵中选取一个口 令,并将该口令对应的第一坐标值提供给所述用户,并接收所述用户输入的在所述第一口令 卡上与所述第一坐标值对应的口令;
所述信息安全设备比对所述选取的口令与所述用户输入的口令是否一致,如果一致,则 所述用户身份认证成功;否则,所述用户身份认证失败。
所述方法还包括
所述用户身份认证成功后,所述信息安全设备在所述口令矩阵中将所述第--坐标值对应 的口令标识为不可用。
所述校验码为静态密码或生物特征。 本发明提供的技术方案带来的有益效果是
通过将口令卡和信息安全设备进行绑定,并根据该口令卡中的口令进行身份认证,提高 了身份认证的安全性,实现了动态认证,每次身份认证时都使用不同的口令,达到一次一密
的效果。与现有技术中每次都采用相同的PIN验证,以及需要到专门的柜台进行绑定或解锁 相比,可以避免如果PIN被黑客截获,信息安全设备内存储的证书等敏感信息被黑客窃取或 进行非法交易等问题,增加了破解难度,提高了安全性,而且也不存在不同步问题。
图1是本发明实施例1提供的基于口令卡提高身份认证安全性的方法流程图; 图2是本发明实施例2提供的基于口令卡提高身份认证安全性的方法流程图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进 一步地详细描述。 实施例1
参见图,本发明实施例提供了一种基于口令卡提高身份认证安全性的方法,该方法具 体包括
步骤101:信息安全设备接收用户发来的绑定第一口令卡的申请和校验码。 歩骤102:信息安全设备比对接收到的校验码和内置的验证码是否一致,如果一致,则 执行步骤103;否则,信息安全设备与第一口令卡的绑定失败,结束。
步骤103:信息安全设备接收用户输入的第一口令卡的序列号,保存该序列号,完成与
第一n令卡的绑定。
歩骤104:当信息安全设备接收到用户的身份认证申请后,在预存的坐标范围内选取第
一坐标值并提供给用户,并接收用户输入的在第一口令卡上与第一坐标值对应的口令User PIN1。
用户购买的口令卡上通常有多个口令,如30个,且该多个口令通常都按矩阵的形式排列, 矩阵中的每个口令都有相应的坐标值,如口令User PIN1在第3行第4列,其对应的坐标值 为(3, 4)。
信息安全设备预存的坐标范围内有多个坐标值,通常该坐标范围与用户购买的口令卡上 的口令矩阵的坐标范围相同,信息安全设备可以随机地选取一个坐标值作为第一坐标值,并 提供给用户。例如,信息安全设备预存的坐标范围为4行X5歹l」,则信息安全设备可以选取 坐标值(4, 2),即第4行第2列,作为第一坐标值。
步骤105:信息安全设备利用口令生成算法计算已保存的序列号和选取的第一坐标值, 生成一个口令User PIN2。
优选地,上述口令生成算法为HOTP算法,具体的生成方法是将坐标值与口令卡的序列 号拼接,再利用HOTP算法生成相应的口令。本步骤中为将第一坐标值与己保存的序列号 拼接,然后利用HOTP算法生成口令User PIN2。
步骤106:信息安全设备比对生成的口令UserPIN2与用户输入的口令User PIN1是否一致,如果一致,则执行步骤107;否则,执行步骤108。
步骤107:该用户身份认证成功,允许该用户使用和操作信息安全设备,然后结束。 步骤108:该用户身份认证失败,禁止该用户使用和操作信息安全设备,结束。 进一步地,步骤107之后还可以包括
信息安全设备在预存的坐标范围内将第一坐标值标识为不可用。如将第一坐标值设置为 指定的数值或符号,标识该坐标值为不可用。
本实施例中的校验码可以为静态密码或生物特征。
本实施例中,对信息安全设备与口令卡进行绑定的过程还可以由服务端或生产商完成, 用户在获得信息安全设备的同时也获得与该信息安全设备绑定的口令卡。
实施例2
参见图2,本发明实施例还提供了一种基于口令卡提高身份认证安全性的方法,具体包
括
步骤201:信息安全设备接收用户发来的绑定第一口令卡的中请和校验码。 步骤202:信息安全设备比对该校验码和内置的验证码是否一致,如果一致,则执行歩 骤203; &则,信息安全设备与第一口令卡的绑定失败,结束。
歩骤203:信息安全设备接收用户输入的第一口令卡的序列号,利用口令生成算法计算
该序列号生成口令矩阵,并保存该口令矩阵,完成与第一口令卡的绑定。
步骤204:当信息安全设备接收到用户的身份认证中请后,在已保存的口令矩阵中选取
一个口令UserPINl.并将该口令对应的第一坐标值提供给用户,并接收用户输入的在第一口 令卡上与第一坐标值对应的口令UserPIN2。其中,信息安全设备可以随机地在口令矩阵屮选 取一个U令。
步骤205:信息安全设备比对选取的口令UserPINl与用户输入的口令User PIN2是否一 致,如果一致,则执行歩骤206;否则,执行歩骤207。
步骤206:该用户身份认证成功,允许该用户使用和操作信息安全设备,然后结束。 步骤207:该用户身份认证失败,禁止该用户使用和操作信息安全设备,结束。 进一步地,步骤206之后还可以包括
信息安全设备在已保存的n令矩阵中将第一坐标值对应的口令标识为不可用。如将第一 坐标值对应的口令设置为指定的数值或符号,标识该口令为不可用。 本实施例中的校验码可以为静态密码或生物特征。本实施例中,对信息安全设备与口令卡进行绑定的过程还可以由服务端或生产商完成, 用户在获得信息安全设备的同时也获得与该信息安全设备绑定的口令卡。
本发明实施例通过将口令卡和信息安全设备进行绑定,并根据该口令卡中的口令进行身 份认证,提高了身份认证的安全性,实现了动态认证,每次身份认证时都使用不同的口令, 达到一次一密的效果。与现有技术中每次都采用相同的PIN验证,以及需要到专门的柜台进 行绑定或解锁相比,可以避免如果PIN被黑客截获,信息安全设备内存储的证书等敏感信息 被黑客窃取或进行非法交易等问题,增加了破解难度,提高了安全性,而且也不存在不同步问题。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之 内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于口令卡提高身份认证安全性的方法,其特征在于,所述方法包括信息安全设备接收用户发来的绑定第一口令卡的申请和校验码;所述信息安全设备比对所述校验码和内置的验证码是否一致,如果一致,则接收所述用户输入的所述第一口令卡的序列号,保存所述序列号,完成与所述第一口令卡的绑定;当所述信息安全设备接收到所述用户的身份认证申请后,在预存的坐标范围内选取第一坐标值并提供给所述用户,并接收所述用户输入的在所述第一口令卡上与所述第一坐标值对应的口令;所述信息安全设备利用口令生成算法计算所述保存的序列号和所述第一坐标值,生成口令,比对所述生成的口令与所述用户输入的口令是否一致,如果一致,则所述用户身份认证成功;否则,所述用户身份认证失败。
2. 根据权利要求l所述的基于口令卡提高身份认证安全性的方法,其特征在于,所述方 法还包括所述用户身份认证成功后,所述信息安全设备在所述预存的坐标范围内将所述第一坐标 值标识为不可用。
3. 根据权利要求1或2所述的基于口令卡提高身份认证安全性的力'法,其特征在于,所 述校验码为静态密码或生物特征。
4. 一种基于口令卡提高身份认证安全性的方法,其特征在于,所述方法包括 信息安全设备接收用户发来的绑定第一口令卡的申请和校验码;所述信息安全设备比对所述校验码和内置的验证码是否一致,如果一致,则接收所述用户输入的所述第一口令卡的序列号,利用n令生成算法计算所述序列号生成口令矩阵,并保存所述口令矩阵,完成与所述第一口令卡的绑定;当所述信息安全设备接收到所述用户的身份认证申请后,在所述口令矩阵中选取一个口 令,并将该口令对应的第一坐标值提供给所述用户,并接收所述用户输入的在所述第一口令 卡上与所述第一坐标值对应的口令;所述信息安全设备比对所述选取的口令与所述用户输入的口令是否一致,如果一致,则所述用户身份认证成功;否则,所述用户身份认证失败。
5. 根据权利要求4所述的基于口令卡提高身份认证安全性的方法,其特征在于,所述方 法还包括所述用户身份认证成功后,所述信息安全设备在所述口令矩阵中将所述第一坐标值对应 的口令标识为不可用。
6. 根据权利要求4或5所述的基于口令卡提高身份认证安全性的方法,其特征在于,所 述校验码为静态密码或生物特征。
全文摘要
本发明公开了一种基于口令卡提高身份认证安全性的方法,属于信息安全领域。所述方法包括信息安全设备接收用户发来的绑定第一口令卡的申请和校验码,比对所述校验码和内置的验证码是否一致,如果一致,则接收用户输入的该口令卡的序列号,保存所述序列号,完成与该口令卡的绑定;身份认证时,在预存的坐标范围内随机选取第一坐标值给用户,将根据该坐标值、上述算法和序列号算出的口令与用户按该坐标值输入的口令进行比对,完成身份认证。本发明提高了身份认证的安全性,实现了动态认证,与现有技术相比,可避免若PIN被黑客截获,设备内信息被黑客窃取或进行非法交易等问题,增加了破解难度,提高了安全性。
文档编号H04L9/32GK101304315SQ200810115880
公开日2008年11月12日 申请日期2008年6月30日 优先权日2008年6月30日
发明者于华章, 舟 陆 申请人:北京飞天诚信科技有限公司