专利名称:动态令牌初始化的方法及装置的制作方法
技术领域:
本发明涉及信息安全技术领域,尤其涉及一种动态令牌初始化的方法及装置。
背景技术:
动态令牌是用来生成动态口令的终端,动态口令可以确认用户的合法身份,从而在用户以合法身份登录的基础上保障用户业务访问的安全性。动态口令认证技术被认为是目前能够最有效解决用户身份认证的方式之一,从而被广泛应用在银行、证券、第三方支付、大企业内部等各类信息系统场景中。现有技术中的动态令牌大多采用对称密钥体系,这种密钥体系加密和解密的密钥 是相同的;因此,该动态令牌的安全性完全依赖于密钥,一旦密钥泄露就意味着任何人都能对用户信息进行加密和解密。为了避免密钥的泄露,在动态令牌初始化时,一般采用将密钥生成因子输入动态令牌,在动态令牌内部根据该密钥生成因子计算生成密钥而不是直接将密钥输入动态令牌。密钥生成因子一般包括动态令牌序列号、当前时间、mackey (校验密钥Xseedkey (种子分散密钥)等。现有技术一般采用手动输入的方式输入动态令牌序列号和当前时间,并将mackey和seedkey在动态令牌初始化之前就存储在动态令牌内部;现有技术采用手动输入方式进行初始化,在操作时很不方便且初始化效率很低,还容易出错,而将mackey和seedkey在初始化之前就存储在动态令牌内部存在极大的安全隐患。
发明内容
本发明的主要目的是提供一种动态令牌初始化的方法及装置,旨在解决通过手动输入对动态令牌进行初始化所带来的一系列问题。本发明公开了一种动态令牌初始化的方法,包括以下步骤接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥;接收包括校验密钥密文和种子分散密钥密文的第二数据,根据所述保护密钥对所述第二数据中的所述密文进行解密,获取校验密钥和种子分散密钥并保存。优选地,所述接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥的步骤之前还包括步骤预置所述固定密钥。优选地,所述接收所述第一数据后,对所述第一数据进行校验;若校验通过,则保存所述第一数据并进行后续的相关操作。优选地,所述接收所述第二数据后,对所述第二数据进行校验;若校验通过,则利用所述第二数据进行后续的相关操作。优选地,所述第一数据和/或第二数据是通过串口、USB接口或无线通信方式进行接收的。本发明还公开一种动态令牌初始化的装置,包括
第一初始化模块,用于接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥;第二初始化模块,用于接收包括校验密钥密文和种子分散密钥密文的第二数据,根据所述保护密钥对所述第二数据中的所述密文进行解密,获取校验密钥和种子分散密钥并保存。优选地,所述动态令牌初始化的装置,还包括固定密钥设置模块,用于预置所述固定密钥。优选地,所述第一初始化模块还用于,接收所述第一数据后,对所述第一数据进行校验;若校验通过,则保存所述第一数据并进行后续的相关操作。优选地,所述第二初始化模块还用于,接收所述第二数据后,对所述第二数据进行校验;若校验通过,则利用所述第二数据进行后续的相关操作。 优选地,所述第一初始化模块和/或第二初始化模块通过串口、USB接口或无线通信方式接收相应的数据。本发明通过接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥、接收包括校验密钥密文和种子分散密钥密文的第二数据,根据所述保护密钥对所述第二数据中的所述密文进行解密,获取校验密钥和种子分散密钥并保存的方法,具有动态令牌进行初始化时无需手动输入的有益效果,提高了动态令牌初始化的效率和安全性,使动态令牌的初始化过程更加便捷。
图I是本发明动态令牌初始化的方法第一实施例流程示意图;图2是本发明动态令牌初始化的方法第二实施例流程示意图;图3是本发明动态令牌初始化的装置第一实施例结构示意图;图4是本发明动态令牌初始化的装置第二实施例结构示意图。本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施例方式以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。参照图1,图I是本发明动态令牌初始化的方法第一实施例流程示意图;如图I所示,本发明动态令牌初始化的方法包括以下步骤步骤S01、接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥;动态令牌进行初始化时,接收至少包括序列号、当前时间和保护密钥信息的第一数据,并使用预先设置的固定密钥对第一数据中的保护密钥信息进行解密,获取保护密钥。所述保护密钥可以为一个随机数,所述保护密钥信息由固定密钥对保护密钥原文加密得到。在一优选的实施例中,动态令牌通过串口、USB (Universal Serial Bus,通用串行总线)接口或无线通信方式接收相应数据。
在一优选的实施例中,所述第一数据还包括第一校验码MAC1,动态令牌接收到第一数据后,要对第一数据进行校验,校验通过后,再将该第一数据进行保存或解密等操作;若校验不通过,则等待重新接收的新的第一数据。所述校验过程具体为动态令牌使用所述固定密钥对第一数据进行MAC (Message Authentication Code,消息来源正确性鉴别数据)码计算,得到第二校验码MAC2 ;判断MACl和MAC2是否相等,若二者相等,则使用所述固定密钥对保护密钥信息进行解密,得到保护密钥,并保存在动态令牌中,如动态令牌的RAM(Random Access Memory,随机存储器)中;同时,将当前时间写入动态令牌,将所述序列号保存在动态令牌中,如动态令牌的RAM中。步骤S02、接收包括校验密钥密文和种子分散密钥密文的第二数据,根据所述保护密钥对所述第二数据中的所述密文进行解密,获取校验密钥和种子分散密钥并保存。动态令牌获取保护密钥后,接收包括至少校验密钥密文即MAC密钥密文和种子分 散密钥密文的第二数据。所述种子分散密钥密文由所述保护密钥对种子分散密钥原文加密得到,所述种子分散密钥原文可以由种子分散根密钥与动态令牌序列号运算得到;所述MAC密钥密文由保护密钥对MAC密钥原文加密得到,所述MAC密钥原文可以由种子分散根密钥与动态令牌序列号运算得到。在一优选的实施例中,所述第二数据还包括MAC3,接收所述第二数据后,动态令牌对所述第二数据进行校验,若校验通过,则利用所述第二数据进行后续的相关操作;若校验未通过,则等待重新接收新的第二数据。所述校验过程具体为动态令牌使用所述固定密钥对所述第二数据进行MAC计算,得到MAC4 ;判断MAC3和MAC4是否相等,若二者相等,则第二数据校验通过。动态令牌根据步骤SOl获取的保护密钥对接收的第二数据中的MAC密钥密文和种子分散密钥密文进行解密,获取MAC密钥和种子分散密钥,并将所述MAC密钥和种子分散密钥保存,如保存在动态令牌的RAM中。本发明通过接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥、接收包括校验密钥密文和种子分散密钥密文的第二数据,根据所述保护密钥对所述第二数据中的所述密文进行解密,获取校验密钥和种子分散密钥并保存的方法,具有动态令牌进行初始化时无需手动输入的有益效果,提高了动态令牌初始化的效率和安全性,使动态令牌的初始化过程更加便捷。参照图2,图2是本发明动态令牌初始化的方法第二实施例流程示意图;本实施例与本发明动态令牌初始化的方法第一实施例的区别是,仅增加了步骤SOO ;本实施例仅对步骤SOO作具体描述,本发明动态令牌初始化的方法所涉及的其他步骤请参照图I所述实施例的具体描述,在此不再赘述。如图2所示,本发明动态令牌初始化的方法在步骤S01、接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥之前还包括步骤步骤S00、预置所述固定密钥。在一优选的实施例中,在动态令牌出厂前,在动态令牌中如MCU芯片内植入一个固定的密钥,即所述的固定密钥,用于在动态令牌初始化过程中作MAC码计算和对该动态令牌保护密钥的加密和解密处理。
本实施例通过在动态令牌内部设置固定密钥的方法,具有提高动态令牌安全性的有益效果。参照图3,图3是本发明动态令牌初始化的装置第一实施例结构示意图;如图3所示,本发明动态令牌初始化的装置包括第一初始化模块01,用于接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥;动态令牌进行初始化时,第一初始化模块01接收至少包括序列号、当前时间和保护密钥信息的第一数据,并使用预先设置的固定密钥对第一数据中的保护密钥信息进行解密,获取保护密钥。所述保护密钥可以为一个随机数,所述保护密钥信息由固定密钥对保护密钥原文加密得到。在一优选的实施例中,动态令牌通过串口、USB接口或无线通信方式接收相应数据。
在一优选的实施例中,所述第一数据还包括第一校验码MAC1,第一初始化模块01接收到第一数据后,要对第一数据进行校验,校验通过后,再将该第一数据进行保存或解密等操作;若校验不通过,则等待重新接收的新的第一数据。所述校验过程具体为第一初始化模块01使用所述固定密钥对第一数据进行MAC码计算,得到第二校验码MAC2 ;判断MACl和MAC2是否相等,若二者相等,则第一初始化模块01使用所述固定密钥对保护密钥信息进行解密,得到保护密钥,并保存在动态令牌中,如动态令牌的RAM中;同时,第一初始化模块01将当前时间写入动态令牌,将所述序列号保存在动态令牌中,如动态令牌的RAM中。第二初始化模块02,用于接收包括校验密钥密文和种子分散密钥密文的第二数据,根据所述保护密钥对所述第二数据中的所述密文进行解密,获取校验密钥和种子分散密钥并保存。动态令牌通过第一初始化模块01获取保护密钥后,第二初始化模块02接收包括至少校验密钥密文即MAC密钥密文和种子分散密钥密文的第二数据。所述种子分散密钥密文由所述保护密钥对种子分散密钥原文加密得到,所述种子分散密钥原文可以由种子分散根密钥与动态令牌序列号运算得到;所述MAC密钥密文由保护密钥对MAC密钥原文加密得至IJ,所述MAC密钥原文可以由种子分散根密钥与动态令牌序列号运算得到。在一优选的实施例中,所述第二数据还包括MAC3,第二初始化模块02接收所述第二数据后,对所述第二数据进行校验,若校验通过,第二初始化模块02则利用所述第二数据进行后续的相关操作;若校验未通过,则等待重新接收新的第二数据。所述校验过程具体为第二初始化模块02使用所述固定密钥对所述第二数据进行MAC计算,得到MAC4 ;判断MAC3和MAC4是否相等,若二者相等,则第二数据校验通过。第二初始化模块02根据第一初始化模块01获取的保护密钥对接收的第二数据中的MAC密钥密文和种子分散密钥密文进行解密,获取MAC密钥和种子分散密钥,并将所述MAC密钥和种子分散密钥保存,如保存在动态令牌的RAM中。本发明通过接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥、接收包括校验密钥密文和种子分散密钥密文的第二数据,根据所述保护密钥对所述第二数据中的所述密文进行解密,获取校验密钥和种子分散密钥并保存,具有动态令牌进行初始化时无需手动输入的有益效果,提高了动态令牌初始化的效率和安全性,使动态令牌的初始化过程更加便捷。参照图4,图4是本发明动态令牌初始化的装置第二实施例结构示意图。本实施例与发明动态令牌初始化的装置第一实施例的区别是,仅增加了固定密钥设置模块03;本实施例仅对固定密钥设置模块03作具体描述,本发明动态令牌初始化的装置所涉及的其他模块请参照本发明动态令牌初始化的装置第一实施例的具体描述,在此不再赘述。如图4所示,本发明动态令牌初始化的装置还包括固定密钥设置模块03,用于预置所述固定密钥。在一优选的实施例中,在动态令牌出厂前,固定密钥设置模块03在动态令牌中如MCU芯片内植入一个固定的密钥,即所述的固定密钥,用于在动态令牌初始化过程中作MAC码计算和对该动态令牌保护密钥的加密和解密处理。
本实施例通过在动态令牌内部设置固定密钥,具有提高动态令牌安全性的有益效果O以上所述仅为本发明的优选实施例,并非因此限制其专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
权利要求
1.一种动态令牌初始化的方法,其特征在于,包括以下步骤 接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥; 接收包括校验密钥密文和种子分散密钥密文的第二数据,根据所述保护密钥对所述第二数据中的所述密文进行解密,获取校验密钥和种子分散密钥并保存。
2.如权利要求I所述的方法,其特征在于,所述接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥的步骤之前还包括步骤 预置所述固定密钥。
3.如权利要求I所述的方法,其特征在于,所述接收所述第一数据后,对所述第一数据进行校验;若校验通过,则保存所述第一数据并进行后续的相关操作。
4.如权利要求I所述的方法,其特征在于,所述接收所述第二数据后,对所述第二数据进行校验;若校验通过,则利用所述第二数据进行后续的相关操作。
5.如权利要求I至4任一项所述的方法,其特征在于,所述第一数据和/或第二数据是通过串口、USB接口或无线通信方式进行接收的。
6.一种动态令牌初始化的装置,其特征在于,包括 第一初始化模块,用于接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对所述保护密钥信息进行解密,得到保护密钥; 第二初始化模块,用于接收包括校验密钥密文和种子分散密钥密文的第二数据,根据所述保护密钥对所述第二数据中的所述密文进行解密,获取校验密钥和种子分散密钥并保存。
7.如权利要求6所述的装置,其特征在于,还包括 固定密钥设置模块,用于预置所述固定密钥。
8.如权利要求6所述的装置,其特征在于,所述第一初始化模块还用于,接收所述第一数据后,对所述第一数据进行校验;若校验通过,则保存所述第一数据并进行后续的相关操作。
9.如权利要求6所述的装置,其特征在于,所述第二初始化模块还用于,接收所述第二数据后,对所述第二数据进行校验;若校验通过,则利用所述第二数据进行后续的相关操作。
10.如权利要求6至9任一项所述的装置,其特征在于,所述第一初始化模块和/或第二初始化模块通过串口、USB接口或无线通信方式接收相应的数据。
全文摘要
本发明公开一种动态令牌初始化的方法,包括接收并保存包括序列号、当前时间和保护密钥信息的第一数据,根据固定密钥对保护密钥信息进行解密,得到保护密钥;接收包括校验密钥密文和种子分散密钥密文的第二数据,根据保护密钥对第二数据中的密文进行解密,获取校验密钥和种子分散密钥并保存。本发明还公开一种动态令牌初始化的装置。本发明通过接收并保存包括序列号、当前时间和保护密钥信息的第一数据并由保护密钥信息得到保护密钥、根据保护密钥获取校验密钥和种子分散密钥并保存的方法,具有动态令牌进行初始化时无需手动输入的有益效果,提高了动态令牌初始化的效率和安全性,使动态令牌的初始化过程更加便捷。
文档编号H04L9/32GK102891753SQ201210361019
公开日2013年1月23日 申请日期2012年9月25日 优先权日2012年9月25日
发明者陈柳章 申请人:深圳市文鼎创数据科技有限公司