专利名称:基于口令卡提高身份认证安全性的方法
技术领域:
本发明涉及信息安全领域,特别涉及一种基于口令卡提高身份认证安全性的方法。
背景技术:
随着计算机技术的发展,信息安全越来越受到人们的关注,近年来出现的信息安全设备 是一种带有处理器和存储器的小型硬件装置,可以通过计算机的数据通讯接口与计算机相连, 一般通过USB (Universal Serial Bus,通用串行总线)接口与计算机相连,通常被称为USB KEY 或USB Token (身份认证设备),信息安全设备具有抗攻击的物理特性,安全性很高,因此被 广泛应用在身份识别、网上银行和VPN (Virtual Private Network,虚拟专用网络)等领域, 并且可以对信息安全设备内存储的数据进行加/解密处理,所以还可以将信息安全设备用于软 件版权保护领域;另外也可以将一些重要信息,比如密码、电子证书、电子签名和电子图章 等,存储到信息安全设备中,用以保证安全性或者防止遗忘。目前,较高端的信息安全设备 是可编程的,即可以在信息安全设备中运行预先存入其中的代码。
动态口令技术是一种动态生成随机口令的技术,即每一个口令只使用一次的技术,所以 每次使用的口令都是变化的。动态口令是利用口令生成算法生成的,口令生成算法可以是 DES、 SHA、 MD5和RSA等。其中口令生成算法可以按照时间或事件的动态变化来实现动 态口令的生成,即动态口令是通过随机因子(即生成要素)和另外一个或几个因子经过口令 车成算法计算得来的,其中生成要素可以釆用时间生成要素,也可以采用事件生成要素。
口令矩阵是通过口令生成算法生成的一组口令,用矩阵方式将口令排列成行数为X、列 数为Y的口令矩阵,例如X、 Y都为5,表示该口令矩阵大小为5行5列,共25个口令组 成。信息安全设备通过给出矩阵坐标值(矩阵行列号)来确定一个口令矩阵位置,进而确定 每次使用的口令。口令卡是标记有口令矩阵的口令卡,标记的具体方法可以是激光刻字生成、 喷码方式喷写、丝网印刷或打印标签并粘贴等等,每张口令卡都有各自不同的卡序列号,且 通常都保存有多个口令。口令卡上每个口令只能使用一次,实现一次一密的效果,是安全有 效的人员认证和登入控管工具。
信息安全设备一般采用PIN (Personal Identification Number,个人身份识别码)验证用户是否为该信息安全设备合法持有者。PIN码一般分为User PIN和SO PIN两种,User PIN是 用户使用的PIN码,SOPIN是管理员使用的PIN码,用于管理信息安全设备,拥有更高的权 限,比如可以解锁,可以初始化信息安全设备等。
目前信息安全设备广泛采用的身份认证方式为静态PIN码认证方式,在进行身份认证时 将信息安全设备与计算机相连,用户在计算机中输入PIN码,信息安全设备从计算机中获取 到用户输入的PIN码,并将用户输入的PIN码与其内预先存储在信息安全设备内的PIN码进 行比较,校验该PIN码的正确性,只有当用户输入的PIN码正确时,才说明该用户为信息安 全设备的合法持有者,允许该用户使用信息安全设备;否则,禁止用户使用信息安全设备。 PIN码可以由生产商或用户自己预先设置好,也可以由用户定期或不定期的修改。
一般信息安全设备连续验证的次数是由生产商预先设置好的,用来防止被人穷举破解, 比如,生产商在信息安全设备出厂前可以预先设置连续验证的最大次数为3次,则如果用户 连续输入3次PIN码都是错误的情况下,信息安全设备将被锁定。当信息安全设备被锁定后, 用户需要拿着信息安全设备到专门的柜台那里去做解锁,比如,用户的信息安全设备是用于 银行系统的,那么,当信息安全设备被锁定后,用户就需要拿着信息安全设备到银行去解锁。
上述现有技术在对信息安全设备进行用户身份认证时,每次都采用相同的PIN,虽然用 户可以修改PIN,但是通常不会在每次身份认证后都会修改PIN,因此存在着安全隐患,如 學PIN被黑客截获,则黑客就可能使用该PIN窃取智能密钥装置内存储的证书等敏感信息, 进行非法交易,给合法用户带来损失。并且现有技术中的解锁方法需要用户到专门的柜台去 办理,比较麻烦和耗时,而且如果用户有急用的话会给用户造成很多不便,甚至会给用户造 成经济上的损失。
发明内容
为了提高信息安全设备身份认证的安全性,本发明提供了一种基于口令卡提高身份认证
安全性的方法。所述技术方案如下
一方面,本发明提供了一种基于口令卡提高身份认证安全性的方法,所述方法包括 信息安全设备接收用户输入的第一口令卡的序列号,所述信息安全设备内预存有所述第
一口令卡的坐标范围;
所述信息安全设备利用口令生成算法分别计算所述序列号和所述第一口令卡的坐标范围 内的各个坐标值,生成第一口令矩阵;所述第一口令矩阵与所述第一口令卡上的口令矩阵相 同;所述信息安全设备保存所述序列号和第一口令矩阵,完成与所述第一口令卡的绑定; 当所述信息安全设备接收到所述用户的身份认证申请后,在所述第一口令矩阵中选择一
个口令,将所述选择的口令对应的第一坐标值提供给所述用户,并接收所述用户输入的在所
述第一口令卡上与所述第一坐标值对应的口令;
所述信息安全设备比对所述选择的口令和所述接收的口令是否一致,如果一致,则所述 用户身份认证成功;否则,所述用户身份认证失败。
所述信息安全设备接收用户输入的第一口令卡的序列号之前,还包括
所述信息安全设备接收所述用户输入的缺省密码,比对预存的缺省密码和接收的缺省密 码是否一致,如果一致,则执行所述接收用户输入的第一口令卡的序列号的步骤;否则,返 回失败信息,结束。
所述信息安全设备接收用户输入的第一口令卡的序列号,具体包括
所述信息安全设备在预存的所述第一口令卡的坐标范围内选取第二坐标值,并将所述第 二坐标值提供给所述用户;
所述信息安全设备接收所述用户输入的所述第一口令卡的序列号和在所述第一口令卡上 与所述第二坐标值对应的口令,并利用所述口令生成算法计算所述序列号和第二坐标值得到 口令;
所述信息安全设备比对所述计算出的口令与所述用户输入的口令是否一致,如果一致, 则执行所述信息安全设备利用口令生成算法分别计算所述序列号和所述第一口令卡的坐标范 围内的各个坐标值,生成第一口令矩阵的步骤;否则,返回失败信息,结束。
所述信息安全设备保存所述序列号和第一口令矩阵之前,还包括
所述信息安全设备在所述第一口令卡的坐标范围外选取第三坐标值,并将所述第三坐标 值提供给所述用户;
服务端接收所述用户输入的所述第一口令卡的序列号和第三坐标值,用与所述信息安全 设备采用的相同的口令生成算法计算所述序列号和第三坐标值得到第一验证码,并将所述第 一验证码返回给所述信息安全设备;
所述信息安全设备利用所述口令生成算法计算所述序列号和第三坐标值,得到校验码, 比对所述校验码和所述第一验证码是否一致,如果一致,则执行保存所述序列号和第一口令 矩阵的步骤;否则,返回失败信息,结束。
所述方法还包括
当所述信息安全设备接收到所述用户发来的第二口令卡的绑定申请后,在所述第一口令卡的坐标范围外选取并输出第四坐标值;
服务端接收所述第四坐标值和所述第一 口令卡的序列号,利用与所述信息安全设备采用 的相同的口令生成算法计算所述第四坐标值和序列号得到第二验证码,将所述第二验证码返 回给所述信息安全设备;
所述信息安全设备利用所述口令生成算法计算所述第一口令卡的序列号和所述第四坐标 值,得到校验码,比对所述校验码和所述第二验证码是否一致,如果一致,则接收所述用户 输入的所述第二口令卡的信息,并按照与所述第一口令卡和信息安全设备相同的绑定方法绑 定所述第二口令卡和信息安全设备;否则所述用户的绑定申请失败,结束。
所述接收所述用户输入的所述第二口令卡的信息,具体包括
所述信息安全设备接收所述用户输入的在所述第二口令卡的坐标范围内选取的第五坐标 值、所述第二 口令卡的序列号及所述第五坐标值对应的口令;
所述信息安全设备根据所述口令生成算法计算所述第二口令卡的序列号和所述第五坐标 值得到口令,比对所述计算出的口令与所述用户输入的口令是否一致,如果一致,则执行绑 定所述第二口令卡的步骤;否则,所述用户的绑定申请失败,结束。
完成绑定所述第二口令卡和信息安全设备之后,还包括
所述信息安全设备删除已保存的所述第一口令卡的序列号和所述第一口令矩阵。 本发明提供的技术方案带来的有益效果是-
通过将口令卡和信息安全设备进行绑定,并根据该口令卡中的口令进行身份认证,提高 了身份认证的安全性,实现了动态认证,每次身份认证时都使用不同的口令,达到一次一密 的效果。与现有技术中每次都釆用相同的PIN验证,以及需要到专门的柜台进行绑定或解锁 相比,可以避免如果PIN被黑客截获,信息安全设备内存储的证书等敏感信息被黑客窃取或 进行非法交易等问题,增加了破解难度,提高了安全性,而且也不存在不同步问题。
图1是本发明实施例提供的基于口令卡提高身份认证安全性的方法流程图; 图2是本发明实施例提供的再次绑定口令卡的方法流程图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进 一步地详细描述。参见图1,本发明实施例提供了一种基于口令卡提高身份认证安全性的方法,该方法具 体包括
步骤101:信息安全设备接收用户输入的第一口令卡的序列号,信息安全设备内预存有
第一口令卡的坐标范围。
进一步地,信息安全设备接收用户输入的第一口令卡的序列号之前,还可以包括 信息安全设备接收用户输入的缺省密码,比对预存的缺省密码和接收的缺省密码是否一
致,如果一致,则执行接收用户输入的第一口令卡的序列号的步骤;否则,返回失败信息,
结束O
步骤102:信息安全设备利用口令生成算法分别计算序列号和第一口令卡的坐标范围内 的各个坐标值,生成第一口令矩阵;第一口令矩阵与第一口令卡上的口令矩阵相同。
优选地,上述口令生成算法为HOTP算法,具体的生成方法是将坐标值与口令卡的序列 号拼接,再利用HOTP算法生成相应的口令。在本步骤中为信息安全设备将预存的第一口 令卡坐标范围内的各个坐标值分别与接收的第一口令卡的序列号进行拼接,再通过HOTP算 法对拼接得到的多个结果分别进行计算,生成多个动态口令,将该多个动态口令根据自身的 坐标位置排成一个口令矩阵,即得到第一口令矩阵。
步骤103:信息安全设备保存序列号和第一口令矩阵,完成与第一口令卡的绑定; 上述过程为信息安全设备与第一口令卡进行初次绑定的过程,绑定成功后,用户可以使 用该第一口令卡的口令进行身份认证,该第一口令卡上的每个口令只能使用一次,即一次一
密,使用后的口令则作废,不能再用。
步骤104:当信息安全设备接收到用户的身份认证申请后,在第一口令矩阵中选择一个 口令,将选择的口令对应的第一坐标值提供给用户,并接收用户输入的在第一口令卡上与第 一坐标值对应的口令。
用户购买的口令卡上通常有多个口令,如30个,且该多个口令通常都按矩阵的形式排列, 矩阵中的每个口令都有相应的坐标值,如口令User PIN1在第3行第4列,其对应的坐标值 为(3, 4)。
其中,信息安全设备可以随机地在第一口令矩阵中选取一个口令,并将该口令对应的第 一坐标值提供给用户。例如,信息安全设备在第一口令矩阵中随机选取口令UserPINl,并将 该口令对应的坐标值(3, 4)提供给用户,用户按照该坐标值在第一口令卡上刮开第3行第 4列的口令,并输入到信息安全设备中。
步骤105:信息安全设备比对选择的口令和接收的口令是否一致,如果一致,则执行步骤106;否则,执行步骤107。
步骤106:该用户身份认证成功,允许该用户使用和操作信息安全设备,然后结束。 步骤107:该用户身份认证失败,禁止该用户使用和操作信息安全设备,结束。 进一歩地,步骤IOI中信息安全设备接收用户输入的第一口令卡的序列号,可以具体包
括
信息安全设备在预存的第一口令卡的坐标范围内选取第二坐标值,并将第二坐标值提供 给用户;信息安全设备接收用户输入的第一口令卡的序列号和在第一口令卡上与第二坐标值 对应的口令,并利用口令生成算法计算序列号和第二坐标值得到口令;信息安全设备比对计 算出的口令与用户输入的口令是否一致,如果一致,则执行信息安全设备利用口令生成算法 分别计算序列号和第一口令卡的坐标范围内的各个坐标值,生成第一口令矩阵的步骤;否则, 返回失败信息,结束。
进一步地,步骤103中信息安全设备保存序列号和第一口令矩阵之前,还可以包括 信息安全设备在第一口令卡的坐标范围外选取第三坐标值,并将第三坐标值提供给用户; 服务端接收用户输入的第一口令卡的序列号和第三坐标值,用与信息安全设备采用的相同的 口令生成算法计算序列号和第三坐标值得到第一验证码,并将第一验证码返回给信息安全设 备;信息安全设备利用口令生成算法计算序列号和第三坐标值,得到校验码,比对校验码和 等一验证码是否一致,如果一致,则执行保存序列号和第一口令矩阵的步骤;否则,返回失 败信息,结束。
当用户绑定成功的第一口令卡上的所有口令均使用过后,或者当用户丢失第一口令卡后, jf户还可以用其它口令卡进行重新绑定,即进一步地,参见图2,本实施例提供的方法还包
括
步骤201:当信息安全设备接收到用户发来的第二口令卡的绑定申请后,在预存的第一 口令卡的坐标范围外选取并输出第四坐标值给用户。
步骤202:服务端接收用户通过客户端输入的第四坐标值和第一口令卡的序列号,利用 与信息安全设备采用的相同的口令生成算法,计算第四坐标值和该序列号得到第二验证码, 并通过客户端将第二验证码返回给信息安全设备。
步骤203:信息安全设备利用口令生成算法计算第一口令卡的序列号和第四坐标值,得
到校验码。
步骤204:信息安全设备比对计算得到的校验码和收到的第二验证码是否一致,如果一 致,则执行步骤205;否则,用户的绑定申请失败,结束。步骤205:信息安全设备接收用户输入的第二口令卡的信息,并按照与第一口令卡和信 息安全设备相同的绑定方法绑定第二口令卡和信息安全设备。
其中,步骤205中信息安全设备接收用户输入的第二口令卡的信息,可以具体包括
信息安全设备接收用户输入的在第二口令卡的坐标范围内选取的第五坐标值、第二口令 卡的序列号及第五坐标值对应的口令;信息安全设备根据口令生成算法计算第二口令卡的序 列号和第五坐标值得到口令,比对计算出的口令与用户输入的口令是否一致,如果一致,则 执行绑定第二口令卡的步骤;否则,用户的绑定申请失败,结束。
进一步地,当信息安全设备完成与第二口令卡的绑定之后,即当信息安全设备保存了第 二口令卡的序列号和生成的第二口令矩阵之后,还可以包括
信息安全设备删除已保存的第一口令卡的序列号和第一口令矩阵。
本发明实施例通过将口令卡和信息安全设备进行绑定,并根据该口令卡中的口令进行身 份认证,提高了身份认证的安全性,实现了动态认证,每次身份认证时都使用不同的口令, 达到一次一密的效果。与现有技术中每次都采用相同的PIN验证,以及需要到专门的柜台进 行绑定或解锁相比,可以避免如果PIN被黑客截获,信息安全设备内存储的证书等敏感信息 被黑客窃取或进行非法交易等问题,增加了破解难度,提高了安全性,而且也不存在不同步 问题。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之 内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于口令卡提高身份认证安全性的方法,其特征在于,所述方法包括信息安全设备接收用户输入的第一口令卡的序列号,所述信息安全设备内预存有所述第一口令卡的坐标范围;所述信息安全设备利用口令生成算法分别计算所述序列号和所述第一口令卡的坐标范围内的各个坐标值,生成第一口令矩阵;所述第一口令矩阵与所述第一口令卡上的口令矩阵相同;所述信息安全设备保存所述序列号和第一口令矩阵,完成与所述第一口令卡的绑定;当所述信息安全设备接收到所述用户的身份认证申请后,在所述第一口令矩阵中选择一个口令,将所述选择的口令对应的第一坐标值提供给所述用户,并接收所述用户输入的在所述第一口令卡上与所述第一坐标值对应的口令;所述信息安全设备比对所述选择的口令和所述接收的口令是否一致,如果一致,则所述用户身份认证成功;否则,所述用户身份认证失败。
2. 根据权利要求l所述的基于口令卡提高身份认证安全性的方法,其特征在于,所述信 息安全设备接收用户输入的第一口令卡的序列号之前,还包括所述信息安全设备接收所述用户输入的缺省密码,比对预存的缺省密码和接收的缺省密 码是否一致,如果一致,则执行所述接收用户输入的第一口令卡的序列号的步骤;否则,返 回失败信息,结束。
3. 根据权利要求l所述的基于口令卡提高身份认证安全性的方法,其特征在于,所述信 息安全设备接收用户输入的第一口令卡的序列号,具体包括所述信息安全设备在预存的所述第一口令卡的坐标范围内选取第二坐标值,并将所述第 二坐标值提供给所述用户;所述信息安全设备接收所述用户输入的所述第一口令卡的序列号和在所述第一口令卡上 与所述第二坐标值对应的口令,并利用所述口令生成算法计算所述序列号和第二坐标值得到 口令;所述信息安全设备比对所述计算出的口令与所述用户输入的口令是否一致,如果一致, 则执行所述信息安全设备利用口令生成算法分别计算所述序列号和所述第一口令卡的坐标范围内的各个坐标值,生成第一口令矩阵的步骤;否则,返回失败信息,结束。
4. 根据权利要求l所述的基于口令卡提高身份认证安全性的方法,其特征在于,所述信 息安全设备保存所述序列号和第一口令矩阵之前,还包括所述信息安全设备在所述第一口令卡的坐标范围外选取第三坐标值,并将所述第三坐标 值提供给所述用户;服务端接收所述用户输入的所述第一口令卡的序列号和第三坐标值,用与所述信息安全 设备采用的相同的口令生成算法计算所述序列号和第三坐标值得到第一验证码,并将所述第 一验证码返回给所述信息安全设备;所述信息安全设备利用所述口令生成算法计算所述序列号和第三坐标值,得到校验码, 比对所述校验码和所述第一验证码是否一致,如果一致,则执行保存所述序列号和第一口令 矩阵的步骤;否则,返回失败信息,结束。
5. 根据权利要求l所述的基于口令卡提高身份认证安全性的方法,其特征在于,所述方 法还包括当所述信息安全设备接收到所述用户发来的第二口令卡的绑定申请后,在所述第一口令 卡的坐标范围外选取并输出第四坐标值;服务端接收所述第四坐标值和所述第一口令卡的序列号,利用与所述信息安全设备采用 的相同的口令生成算法计算所述第四坐标值和序列号得到第二验证码,将所述第二验证码返 回给所述信息安全设备;所述信息安全设备利用所述口令生成算法计算所述第一口令卡的序列号和所述第四坐标 隼,得到校验码,比对所述校验码和所述第二验证码是否一致,如果一致,则接收所述用户 输入的所述第二口令卡的信息,并按照与所述第一口令卡和信息安全设备相同的绑定方法绑 定所述第二口令卡和信息安全设备;否则所述用户的绑定申请失败,结束。
6. 根据权利要求5所述的基于口令卡提高身份认证安全性的方法,其特征在于,所述接收所述用户输入的所述第二口令卡的信息,具体包括所述信息安全设备接收所述用户输入的在所述第二口令卡的坐标范围内选取的第五坐标值、所述第二口令卡的序列号及所述第五坐标值对应的口令;所述信息安全设备根据所述口令生成算法计算所述第二口令卡的序列号和所述第五坐标值得到口令,比对所述计算出的口令与所述用户输入的口令是否一致,如果一致,则执行绑 定所述第二口令卡的步骤;否则,所述用户的绑定申请失败,结束。
7.根据权利要求5或6所述的基于口令卡提高身份认证安全性的方法,其特征在于,完 成绑定所述第二口令卡和信息安全设备之后,还包括所述信息安全设备删除已保存的所述第一口令卡的序列号和所述第一口令矩阵。
全文摘要
本发明公开了一种基于口令卡提高身份认证安全性的方法,属于信息安全领域。所述方法包括信息安全设备接收用户输入的第一口令卡的序列号,利用口令生成算法分别计算该序列号和预存的第一口令卡的坐标范围内的各个坐标值,生成第一口令矩阵,保存该序列号和第一口令矩阵,完成与该卡的绑定;身份认证时,在第一口令矩阵内选取口令,并将对应的第一坐标值提供给用户,接收用户输入的在第一口令卡上与第一坐标值对应的口令,对选择的口令和接收的口令进行比对,完成身份认证。本发明提高了身份认证的安全性,实现了动态认证,与现有技术相比,可避免若PIN被黑客截获,设备内信息被黑客窃取或进行非法交易等问题,增加了破解难度,提高了安全性。
文档编号H04L9/08GK101304316SQ20081011588
公开日2008年11月12日 申请日期2008年6月30日 优先权日2008年6月30日
发明者于华章, 舟 陆 申请人:北京飞天诚信科技有限公司