专利名称:安全认证方法和设备的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及一种安全认证方法和设备。
背景技术:
随着计算机技术日新月异的发展,网络安全面临着很大的挑战,尤其是 网上银行服务器、电子商务网站等要求安全性极高的系统,往往是黑客们攻 击的重中之重。现有技术中,通过动态密码锁,合法客户们能够较为安全的 登录使用涉及金额操作的服务器系统。
动态密码锁也称一次性密码,其内置电源、密码生成芯片和显示屏。数
字4走用于输入用户PIN (Personal Identification Number,个人识别码)码,芯 片运行专门的密码算法,生成当前密码并显示在显示屏上。用户每次输入正 确的PIN码后都可以得到一个一次性动态密码,认证服务器采用相同的算法 计算当前的有效密码。由于只有合法用户才持有该硬/f牛,所以只要一次性密 码验证通过,系统就可以认为该用户的身份可靠。由于用户每次登录必须使 用另外一个动态密码,因此即使黑客截获了一次密码,也无法利用这个密码 来仿冒合法用户的身份。
在实现本发明的过程中,发明人发现现有技术至少存在以下问题 对于动态密码锁,在服务器端的认证系统里可以计算出所有动态密码, 一旦银行认证服务器系统被破解就会对银行系统造成很大安全威胁,另外网 银的管理员可以在服务器端人为的修改动态密码锁的规则,因此具有一定的 安全隐患。
发明内容
本发明实施例提供一种安全认证方法和设备,用于保证服务器和客户端 的数据安全。本发明实施例提供一种安全认证方法,应用于在客户端和网络侧认证服
务器之外的第三方认证设备上,所述第三方设备与所述客户端连接,包括 生成一次性密码;
根据输入的所述一次性密码对所述用户的身份进行认证,并向所述客户 端发送认证结果。
本发明实施例还提供一种安全认证设备,作为客户端和网络侧认证服务 器之外的第三方认证设备并与所述客户端连接,包括 密码生成单元,用于生成一次性密码;
客户端接口单元,用于接收所述客户端发送的由用户通过所述客户端输 入的所述一次性密码;
密码认证单元,用于根据输入的所述一次性密码对所述用户的身份进行 认证,并向所述客户端发送认证结果。
与现有技术相比,本发明实施例具有以下优点
本发明的实施例中,将对用户输入的一次性密码的认证在服务器外的安 全认证设备上进行,使得非法用户无法通过破解服务器的认证算法或盗取用 户密码的方式威胁正常用户的使用,保证了服务器和用户的数据安全。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所 需要使用的附图作简单地介绍,显而易见地,下面描述中的附图4叉仅是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前 提下,还可以根据这些附图获得其他的附图。
图l是本发明实施例中安全认证方法的流程图2是本发明实施例中一次性密码的生成流程图3是本发明实施例中根据一次性密码进行认证的流程图4是本发明实施例中安全认证设备的结构示意图5是本发明实施例中安全认证设备的另 一结构示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行 清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例, 而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有 做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种安全认证方法,应用于在客户端和网络侧认证服 务器之外的第三方认证设备上,该第三方设备与客户端连接,如图l所示,包
括
步骤sl01、生成一次性密码。
步骤s102、接收客户端发送的由用户通过客户端输入的一次性密码。 步骤s103、根据一次性密码对用户的身份进行认i正,并向客户端发送认 证结果。
本发明的实施例中,将一次性密码的生成以及对用户输入的一次性密码 的认证在服务器外的安全认证设备上进行,使得非法用户无法通过破解服务 器的认证算法或盗取用户密码的方式威胁正常用户的使用,保证了服务器和 用户的数据安全。
本发明实施例提供一种安全认证方法,其包括才艮据用户输入的PIN码生 成密码、以及对用户输入的密码进行认证两部分流程。以下分别对两部分流 程进行描述。
本发明实施例提供的安全认证方法中,才艮据用户输入的PIN码生成密码 的流程如图2所示,包括
步骤s201 、接收用户输入的PIN码。
输入装置如键盘,用户可以通过该输入装置输入PIN码。该PIN码是用户预 先可以获知的,是使用该安全认证设备的基本条件。 步骤s202、对用户输入的PIN码进行认证。具体的,根据本地预先设置的正确PIN码,对用户输入的PIN码进行认 证。当然,也可以采用其它认证方式,本发明实施例对此不做限定。
步骤s203、对用户输入的PIN码认证通过时,生成一次性密码。
具体的,对用户输入的PIN码认证通过时,才艮据预设的动态参数生成一 次性密码,可以使用的动态参数包括当前时间、安全认证设备使用次数、随 机数中的一种或多种。对于生成一次性密码所釆用的算法,可以使用PKI (Public Key Infrastructure,公开密钥基础设施)标准对称或非对称算法,本 发明实施例不〗故限定。另外,对PIN码的iUi失败时,可以向用户进行提示 或不进行任何处理,本发明的实施例对此不进行详细描述。
步骤s204、显示该生成的一次性密码。
显示装置如LED (Light Emitting Diode,发光二极管)显示屏,通过该显示装 置将生成的一次性密码显示给用户。该步骤s204为可选步骤,该一次性密码 也可以通过与安全认证设备连接的客户端显示给用户。
本发明实施例提供的安全认证方法中,对用户输入的密码进行认证的流
程如图3所示,包括
步骤s301、用户通过客户端程序输入其"i人为正确的一次性密码。
具体的,该客户端程序可以包括运行于服务器上用于登录特定服务如网
上银行、商务网站等的程序,通过该客户端程序的界面,用户输入其认为正
确的一次性密码。
步骤s302、接收客户端程序发送的由用户输入的一次性密码。
具体的,用户在通过客户端程序进行登录时,为了确保登录成功,需要
USB接口 )。客户端程序接收到用户输入的一次性密码后,将该一次性密码向 本发明实施例的安全认证设备发送
步骤s303、对该一次性密码进行认证。
具体的,对该一次性密码进行认证的方法可以有很多,本发明的实施例列举以下两种
(1 )在前述步骤s203中根据预设的动态参数生成一次性密码时,将生成 一次性密码所使用的动态参数进行存储。本步骤中需要对用户输入的一次性 密码进行认证时,首先根据本地存储的最近一次使用的动态参数生成一个中 间密码;之后将该中间密码与用户输入的一次性密码进行比较,比较结果为 相同时,判断对该一次性密码也即用户身份的认证通过;否则判断对该一次 性密码也即用户身份的认证失败。
(2)在前述步骤s203中根据预设的动态参数生成一次性密码后,使用该 一次性密码对特定内容(如用户的PIN码)进行加密,加密所使用的算法不 限。当接收到用户输入的一次性密码时,使用该用户输入的一次性密码对上 述加密后的特定内容(如用户的PIN码)进行解密,当解密结果为正确的特 定内容(如用户的PIN码)时,判断对该一次性密码也即用户身份的认证通 过;否则判断对该一次性密码也即用户身份的认证失败。 步骤s304、向客户端程序发送认证结果。
具体的,认证结果为通过时,客户端程序连接到特定服务供用户使用; 否则可以向用户进行提示或不进行任何处理,本发明的实施例对此不进行详 细描述。另外,为了保证上述"一次性密码"只能使用一次,向客户端程序 发送认证通过结果后,丢弃与该一次性密码相关的内容,使得用户在下次认 证时,即使输入上一次通过认证所使用的密码仍无法通过认证。
步骤s305、客户端将认证结果向网络侧认证服务器发送,触发网络侧认 证服务器根据认证结果进行操作。
另外,上述步骤s304中,可以在向客户端程序发送认证结果前先对认证 结果进行加密,之后再向客户端发送;或在步骤s304中不加密,而在步骤s305 中由客户端对认证结果进行加密。无论采用哪种方法,客户端都是将加密后 的认证结果向网络側认证服务器发送,触发网络侧认证服务器根据解密得到 的认证结果进行操作。具体的,步骤s304或步骤s305中的加密方法与网络侧 认证服务器使用的解密方法相对应,可采用的加密/解密算法包括AES (Advanced Encryption Standard,高歸口密标准)算法Y旦不限于AES算法。通过该加密/解密处理,保护了认证结果在网络中的传输安全。
现有技术中除了动态密码锁技术外,还提供了 USBKEY技术,USBKEY 是一种USB ( Universal Serial Bus,通用串行总线)接口的硬件设备,内置单 片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书, 并利用USBKEY内置的公钥算法实现对用户身份的认证。而对于USBKEY, 由于PIN码非一次性密码,且是在客户端上输入并通过网络侧传递给认证服 务器的,黑客可以通过木马程序截获用户PIN码并取得虚假认证,造成极大 的安全隐患。相比较可以发现,本发明实施例中提供的方法同时兼具有现有 技术USBKEY和动态密码锁中认证方法的优点,使用一次性密码,并将一次 性密码的生成以及对用户输入的一次性密码的认证在服务器外的安全认证设 备上进行,使得非法用户无法通过破解服务器的认证算法、或通过木马程序 盗取在网络中传递的用户密码的方式威胁正常用户的使用,保证了服务器和 用户的数据安全。
本发明的实施例还提供一种安全认证设备,作为客户端和网络侧认证服 务器之外的第三方认证设备,并与客户端连接,如图4所示,包括 密码生成单元IO,用于生成一次性密码。
具体的,可以根据预设的动态参数生成一次性密码,动态参数包括当前 时间、安全认证设备4吏用次数、随机数中的一种或多种。
客户端接口单元20,用于接收客户端发送的由用户通it^户端输入的一 次性密码。具体的,用户在客户端程序输入一次性密码时,客户端程序将一 次性密码发送到安全认证设备的客户端接口单元20。
密码认证单元30,用于根据客户端接口单元20接收的一次性密码对用户 的身份进行认证,并向客户端发送认证结果。
本发明的另一实施例中,还提供了一种安全认证设备,作为客户端和网 络侧认证服务器之外的第三方认证设备,并与客户端连接,如图5所示,还 包括
密码显示单元40,用于显示密码生成单元10生成的一次性密码。 另外,上述密码生成单元IO可以包括口令输入子单元ll,用于接收用户输入的口令。
口令验证子单元12,用于在口令输入子单元11接收的口令正确时,根据 预设的动态参数生成一次性密码。
另外,上述密码认证单元30可以包括
第一密码认证子单元31,用于根据本地存储的最近一次使用的动态参 数生成中间密码;该中间密码与上述输入的所述一次性密码相同时,判断对 用户的身份认证通过;否则判断对用户的身份认证失败。
第二密码认证子单元32,用于^^用密码生成单元IO生成的一次性密码 对用户输入的口令进行加密,得到加密后的用户输入的口令;使用客户端接 口单元20接收到的由用户输入的一次性密码,对加密后的用户输入的口令进 行解密,当解密结果为该用户输入的口令时,判断对用户的身份认证通过; 否则判断对用户的身份认证失败。
为使本实施例方法的安全性进一步提高,可以在本装置向客户端程序发 送认证结果前先对i人i正结果进行加密,因此,所述密码iU正单元30还可以包 括
认证结果加密子单元33,用于将认证结果进行加密后向客户端发送。由 客户端将加密后的认证结果向网络侧认证服务器发送,触发网络侧认证服务 器根据解密得到的所述认证结果进行操作。客户端将加密后的认证结果向网 络侧认证服务器发送,触发网络侧认证服务器根据解密得到的认证结果进行 操作。具体的,所使用的加密方法与网络侧认证服务器使用的解密方法相对 应,可采用的加密/解密算法包括AES (Advanced Encryption Standard,高级 加密标准)算法但不限于AES算法。
另外,上述密码生成单元10和密码认证单元30可以位于安全认证设备 的USBKEY功能芯片上;上述口令输入子单元11可以为4建盘;上述密码显 示单元40可以为LED显示装置。
本发明的实施例中,将一次性密码的生成以及对用户输入的一次性密码 的认证在服务器外的安全认证设备上进行,4吏得非法用户无法通过破解服务 器的认证算法、或通过客户端木马程序盗取密码的方式威胁正常用户的使用,保证了服务器和用户的数据安全。另外,同时兼具有USBKEY和动态密码锁 的优点。
上述模块可以分布于一个装置,也可以分布于多个装置。上述模块可以 合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发 明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。 基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软 件产品可以存储在一个非易失性存储介质(可以是CD-ROM, U盘,移动硬 盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服 务器,或者网络设备等)4丸行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的 模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的才莫块可以按照实施例描述 进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一 个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆
分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。 以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,
任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1、一种安全认证方法,应用于在客户端和网络侧认证服务器之外的第三方认证设备上,所述第三方设备与所述客户端连接,其特征在于,包括生成一次性密码;接收所述客户端发送的由用户通过所述客户端输入的所述一次性密码;根据输入的所述一次性密码对所述用户的身份进行认证,并向所述客户端发送认证结果。
2、 如权利要求l所述的方法,其特征在于,所述生成一次性密码包括 接收用户输入的口令;所述口令正确时,根据预设的动态参数生成一次性密码。
3、 如权利要求l所述的方法,其特征在于,所述生成一次性密码后,还 包括将所述一次性密码通过所述第三方设备显示;或将所述密码通过所述客 户端显示。
4、 如权利要求1或2所述的方法,其特征在于,所述根据输入的一次性 密码对所述用户的身份进行认证包括根据本地存储的最近一次使用的预设动态参数生成中间密码; 所述中间密码与输入的所述一次性密码相同时,判断对所述用户的身份 认证通过;否则判断对所述用户的身份认证失败。
5、 如权利要求1或2所述的方法,其特征在于,所述生成一次性密码后 还包括使用所述一次性密码对所述用户输入的口令进行加密,得到加密后 的用户输入的口令;所述根据输入的一次性密码对所述用户的身份进行认证包括使用所述 输入的一次性密码对所述加密后的用户输入的口令进行解密,当解密结果为 所述用户输入的口令时,判断对所述用户的身份认证通过;否则判断对所述 用户的身份认证失败。
6、 如权利要求4所述的方法,其特征在于,所述动态参数包括当前时间、 或使用次数、或随机数中的一种或多种。
7、 如权利要求1或2所述的方法,其特征在于,所述向客户端发送认证结果包括将所述认证结果进行加密并向所述客户端发送; 所述将所述认证结杲进行加密并向所述客户端发送后还包括 所述客户端将所述加密后的认证结果向所述网络侧认证服务器发送,触 发所述网络侧认证服务器根据解密得到的所述认证结果进行操作。
8、 如权利要求1或2所述的方法,其特征在于,所述向所述客户端发送 认证结果后,还包括所述客户端将所述认证结果进行加密后向所述网络侧认证服务器发送, 触发所述网络侧认证服务器根据解密得到的所述认证结果进行操作。
9、 一种安全认证设备,其特征在于,作为客户端和网络侧认证服务器之 外的第三方认证设备并与所述客户端连接,包括密码生成单元,用于生成一次性密码;客户端接口单元,用于接收所述客户端发送的由用户通过所述客户端输 入的所述一次性密码;密码认证单元,用于根据输入的所述一次性密码对所述用户的身份进行 认证,并向所述客户端发送认证结果。
10、 如权利要求9所述的安全认证设备,其特征在于,还包括 密码显示单元,用于显示所述密码生成单元生成的所述一次性密码。
11、 如权利要求9所述的安全认证设备,其特征在于,所述密码生成单 元包括口令输入子单元,用于接收用户输入的口令;口令验证子单元,用于在所述口令输入子单元才妾收的口令正确时,根据 预设的动态参数生成一次性密码。
12、 如权利要求11所述的安全认证设备,其特征在于,所述密码认证单 元包括第一密码认证子单元,用于根据本地存储的最近一次使用的动态参 数生成中间密码;所述中间密码与所述输入的一次性密码相同时,判断对所 述用户的身份认证通过;否则判断对所述用户的身份认证失败。
13、 如权利要求11所述的安全认证设备,其特征在于,所述密码认证单元包括第二密码认证子单元,用于使用所述密码生成单元生成的一次性密 码对所述用户输入的口令进行加密,得到加密后的用户输入的口令;使用所 述客户端接口单元接收到的所述输入的一次性密码对所述加密后的用户输入 的口令进行解密,当解密结果为所述用户输入的口令时,判断对所述用户的 身份认证通过;否则判断对所述用户的身份认证失败。
14、 如权利要求12或13所述的安全认证设备,其特征在于,所述密码 认证单元还包括认证结果加密子单元,用于将所述认证结果进行加密后向所述客户端发送。
15、 如权利要求9或10或11所述的安全认证设备,其特征在于,所述 密码生成单元和密码认证单元位于所述安全认证设备的USBKEY功能芯片 上。
全文摘要
本发明公开了一种安全认证方法和安全认证设备。该方法应用于在客户端和网络侧认证服务器之外的第三方认证设备上,所述第三方设备与所述客户端连接,包括生成一次性密码;接收客户端发送的由用户通过所述客户端输入的一次性密码;根据所述一次性密码对所述用户的身份进行认证,并向所述客户端发送认证结果。本发明的实施例中,将一次性密码的生成以及对用户输入的一次性密码的认证在服务器外的安全认证设备上进行,使得非法用户无法通过破解服务器的认证算法或盗取用户密码的方式威胁正常用户的使用,保证了服务器和用户的数据安全。
文档编号H04L29/06GK101420302SQ20081018054
公开日2009年4月29日 申请日期2008年12月1日 优先权日2008年12月1日
发明者万峪臣 申请人:成都市华为赛门铁克科技有限公司