专利名称:一种基于动态口令和数字证书的双因素认证安全令牌装置的制作方法
技术领域:
本发明涉及一种双因素认证安全令牌,尤其涉及一种基于动态口令和数字证书的 双因素认证安全令牌装置,它将动态口令和数字证书认证结合到一起,用户可以选择使用 数字证书或者动态口令进行身份认证。属于信息安全中身份认证技术领域。
背景技术:
常见的身份认证使用静态的“用户名加口令”的方式,非常容易遭受攻击,导致合 法用户身份被伪造。国内大部分金融机构目前主要使用动态口令卡或者基于数字证书认证 的USBKEY增强用户网上交易的安全性。动态口令认证保证了用户每次向远端服务器传送的登录口令都不一样,服务器端 采用与客户端相同的算法保证动态口令的同步,即使攻击者截获了多个用户使用过的登录 口令也无法推算出下一次的口令。数字证书是由CA(Certification Authority证书授权中心)签发的一个电子文 件,证明拥有证书的主体与证书中所包含的公钥具有唯一对应关系。采用公钥加密算法进 行用户信息的传送可以保证信息传递的保密性、认证性、数据完整性以及交易的不可否认 性。目前国内网上银行使用USBKEY或者动态口令卡增强用户交易的安全性。USBKEY 认证和动态口令认证不可同时使用,给用户带来不便。在某些保密场合的计算机的USB端 口被限制使用,这时USBKEY就无法使用;而动态口令卡使用次数是有限的,不方便携带。
发明内容
1、目的本发明的目的是提供一种基于动态口令和数字证书的双因素认证安全令 牌装置,它克服了现有技术的不足,当本安全令牌装置不与计算机相连接时,用户仍可以使 用动态口令进行身份认证;当本安全令牌装置与计算机相连接时,用户可以自主选择使用 动态口令或者数字证书完成身份认证,克服了上述缺陷。2、技术方案本发明一种基于动态口令和数字证书的双因素认证安全令牌装置 (以下简称安全令牌装置),它是由安全控制芯片、微控制器、液晶显示屏以及按键和控制 电路组成。它们之间的位置连接关系、信号走向是微控制器外接液晶显示屏以及按键,微控 制器通过串口以及一个输入/输出端口与安全控制芯片相连接,接受安全控制芯片的中断 信号,将动态口令信号传给安全控制芯片。所述控制电路,是由USB (Universal Serial BUS)通信电路、串口通信电路和电压 转换电路组成。该USB通信电路通过DP、DM管脚与国民技术的Z32U连接,实现USB通信功 能;该串口通信电路是由三星微控制器S3F8285的P3. 4(串口发送)和P3. 5 (串口接收) 管脚构成,二者相互独立,实现串口通信功能;该电压转换电路通过Z32U的第25管脚与国 民技术的Z32U连接,为Z32U芯片提供3. 3v工作电压。其中,该安全控制芯片是国民技术的Z32U ;
其中,该微控制器是S3F8285 ;其中,该液晶显示屏是东莞市嘉田公司设计制作的专用液晶显示屏,定制产品;其中,该按键是东莞市嘉田公司开模设计制作的按键,定制产品;其中,该USB通信电路是由安全控制芯片Z32U的DM和DP管脚外接24欧姆电阻 和47PF滤波电容构成,滤波电容一端接地,另一端与24欧姆电阻和DM、DP管脚相连接,其 中DP管脚要接1500欧姆上拉电阻。 其中,该串口通信电路是由三星微控制器S3F8285的P3. 4 (串口发送)和P3. 5 (串 口接收)管脚构成,二者相互独立,其中,该电压转换电路是由电压转换芯片LMl 117-3. 3v构成,LMl 117-3. 3v的管脚 1接收5v电压输入,管脚2输出3. 3v转换电压。该安全令牌装置的原理及工作流程是该安全令牌装置为上层网络用户的身份认证提供数字证书存储、数字签名和动态 口令认证等功能。现有USBKEY中的安全控制芯片耗电量很大,无法使用电池对其供电脱机 使用;现有的动态口令认证设备无法与电脑相连接,需要用户手动输入动态口令,给使用带 来不便。该安全令牌装置可同时向上层网络应用提供动态口令认证和数字证书认证两种 方式安全令牌不与计算机连接时,用户可以采用动态口令进行认证,与计算机连接使用 时,用户可以选择使用数字证书或者动态口令进行认证。该安全令牌装置采用两块芯片分别实现动态口令和数字证书的认证功能,微控制 器和安全控制芯片通过串口和一条输入/输出端口相连接。当本安全令牌装置连接计算机 时,如果用户选择采用数字证书进行身份认证,本安全令牌装置向上位机提供数字证书、数 字签名等认证功能;如果用户选择动态口令方式进行身份认证,安全控制芯片首先通过输 入/输出端口向微控制器发出中断触发信号,微控制器收到中断触发信号后产生动态口令 并通过串口向安全控制芯片发送,安全控制芯片收到动态口令后通过USB接口向计算机传 输,完成动态口令认证。当本安全令牌装置不与计算机连接时,安全控制芯片停止工作,微 控制器由电池供电仍可继续工作,用户通过按键触发微控制器产生动态口令并显示于液晶 显示屏上,用户手动输入该动态口令,完成身份认证。3、优点及功效本发明的优点是1、同时具备了数字证书和动态口令的双因素认证方式,两种认证方式都具有非常 高的安全性;2、认证方式灵活。当本安全令牌装置与计算机相连接时,用户可以选择数字证书 认证或者动态口令认证,或者将二者结合起来,具有更高的安全性;当本安全令牌装置不与 计算机相连接时,用户可以触发按键生成动态口令显示于液晶显示屏上,读取之后手动输 入完成身份认证。
图1是本发明安全令牌装置的结构示意中Z32U为国民技术的安全控制芯片,S3F8285是三星的微控制器芯片,通信电 路模块是S3F8285芯片,接收用户生成动态口令参数值的接口。
图2-A和图2-B是本发明安全令牌装置的电路图。图2-B中S0是三星S3F8285芯片;Sl是液晶显示模块,显示S3F8285产生的动态 口令;S2是S3F8285芯片的通信模块;LMl 117是电压转换芯片,为Z32U的正常工作供电; USB是Z32U芯片的USB接口模块。
具体实施例方式本发明一种基于动态口令和数字证书的双因素认证安全令牌装置,其结构图见图 1所示,图2 (含图2-A和图2-B)为其电路图,它是由安全控制芯片、微控制器、液晶显示屏、 按键和控制电路组成。它们之间的位置连接关系、信号走向是微控制器外接液晶显示屏以 及按键,微控制器通过串口以及一个输入/输出端口与安全控制芯片相连接,将动态口令 信号传给安全控制芯片。所述安全控制芯片是国民技术的Z32U ;所述微控制器是三星S3F8285 ;
所述液晶显示屏是东莞市嘉田公司设计制作的专用液晶显示屏,定制产品;所述按键是东莞市嘉田公司开模设计制作的按键,定制产品;所述控制电路,包括USB通信电路、串口通信电路和电压转换电路。该USB通信电 路通过DP、DM管脚与国民技术的Z32U连接,实现USB通信功能;该串口通信电路是由三星 微控制器S3F8285的P3.4(串口发送)和P3.5(串口接收)管脚构成,二者相互独立。实 现串口通信功能;该电压转换电路通过Z32U的第25管脚与国民技术的Z32U连接,为Z32U 芯片提供3. 3v工作电压。该USB通信电路是由安全控制芯片Z32U的DM和DP管脚外接24欧姆电阻和47PF 滤波电容构成,滤波电容一端接地,另一端与24欧姆电阻和DM、DP管脚相连接,其中DP管 脚要接1500欧姆上拉电阻。该串口通信电路是由三星微控制器S3F8285的P3. 4 (串口发送)和P3. 5 (串口接 收)管脚构成,二者相互独立。该电压转换电路是由一片电压转换芯片LMl 117-3. 3v构成,LMl 117-3. 3v的管脚1 接收5v电压输入,管脚2输出3. 3v转换电压。1、本发明的结构如图1所示,该安全令牌装置由两片芯片Z32U及S3F8285组成。 Z32U模块实现与计算机的USB通信、存储数字证书、生成公私钥对、数字签名功能;三星 S3F8285模块实现动态口令生成,驱动液晶显示屏显示动态口令,并在收到Z32U芯片的中 断触发信号时将产生的动态口令通过串口传给Z32U芯片。2、本发明的工作原理图如图2-A和图2-B所示。中兴芯片Z32U通过USB接口与 计算机相连接,8、9管脚与三星芯片S3F8285的8、9管脚相连接,Z32U的13管脚与S3F8285 的20管脚相连,二者均为通用I/O端口。选用液晶显示屏显示动态口令,S3F8285内部带 有驱动液晶显示屏的模块。3、当该安全令牌装置与计算机相连接时,如果用户选择数字证书认证的话,计算 机读取该安全令牌装置中的数字证书并对交易信息做签名运算,进行认证;如果用户选用 动态口令认证方式,则用户不必从液晶显示屏上读取动态口令,直接通过USB端口发送指 令给Z32U芯片,Z32U产生中断信号通过13管脚传给S3F8285芯片,S3F8285通过20管脚收到中断信号之后产生动态口令并通过8、9管脚传给Z32U,Z32U通过USB端口传给计算机, 计算机把动态口令发送到远端服务器完成一次动态口令认证;当该安全令牌装置不与计算 机连接、脱机使用时,触发该安全令牌装置上的按键即可在液晶显示屏上显示一个动态口 令,用户可以手动输入动态口令,进行身份认证。 4、 需要说明的是,本设计中的安全芯片、生成动态口令的芯片以及液晶显示屏都 是可以替换为其他类似产品,进一步的,两块芯片之间传输动态口令也可以使用其他方法 实现。综上所述,本发明不仅限于上述实施方式,而是包括了本领域技术人员所能采用的等 同的替代方式实现,这些在权利要求书得到了体现,并纳入到本发明的保护范围。
权利要求
1.一种基于动态口令和数字证书的双因素认证安全令牌装置,其特征在于它是由安 全控制芯片、微控制器、液晶显示屏、按键和控制电路组成;微控制器外接液晶显示屏以及 按键,微控制器通过串口以及一个输入/输出端口与安全控制芯片相连接,接收安全控制 芯片的中断信号,将动态口令信号传给安全控制芯片;所述控制电路,是USB通信电路、串 口通信电路和电压转换电路,分别实现USB通信、串口通信以及为安全控制芯片提供3. 3v 工作电压的功能。
2.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置, 其特征在于该安全控制芯片是国民技术的Z32U。
3.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置, 其特征在于该微控制器是S3F8^5。
4.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置, 其特征在于该液晶显示屏是东莞市嘉田公司设计作的专用液晶显示屏。
5.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置, 其特征在于该按键是东莞市嘉田公司开模设计定作的按键。
6.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置, 其特征在于该USB通信电路是由安全控制芯片D2U的DM和DP管脚外接M欧姆电阻和 47PF滤波电容构成,滤波电容一端接地,另一端与M欧姆电阻和DM、DP管脚相连接,而DP 管脚要接1500欧姆上拉电阻。
7.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置, 其特征在于该串口通信电路是由三星微控制器S3F^85的P3. 4即串口发送和P3. 5即串 口接收管脚构成,二者相互独立。
8.根据权利要求1所述的一种基于动态口令和数字证书的双因素认证安全令牌装置, 其特征在于该电压转换电路是由电压转换芯片LM1117-3. 3v构成,LMl 117-3. 3v的管脚1 接收5v电压输入,管脚2输出3. 3v转换电压。
全文摘要
一种基于动态口令和数字证书的双因素认证安全令牌装置,它是由安全控制芯片、微控制器、液晶显示屏以及按键组成。微控制器外接液晶显示屏以及按键,微控制器通过串口以及一个输入/输出端口与安全控制芯片相连接,接收安全控制芯片的中断信号,将动态口令信号传给安全控制芯片。当该安全令牌装置与计算机相连接时,用户可以选择使用动态口令或者数字证书进行身份认证;当该安全令牌装置脱机使用时,用户可以触发安全令牌上的按键,通过读取安全令牌上的液晶显示屏获得动态口令进行身份认证,它具有很好的安全性和灵活性,可适应不同环境下的应用需求。本发明在信息安全中身份认证技术领域里具有较好的实用价值和广阔的应用前景。
文档编号H04L9/32GK102098160SQ20101053910
公开日2011年6月15日 申请日期2010年11月11日 优先权日2010年11月11日
发明者修春娣, 刘书明, 刘建伟, 尚涛, 毛剑, 郑志明 申请人:北京航空航天大学