专利名称:一种信息安全设备的认证方法及认证系统的制作方法
技术领域:
本发明涉及设备标识安全认证技术,特别涉及一种信息安全设备的认证方法及认
证系统。
背景技术:
设备在生产制造过程中,设备制造商除了设置该设备的制造商标识外,通常还会 根据应用商的需求,在已制造完成的设备上设置该设备的应用商标识(实际应用中,为了 提高设备的安全性,该设备的应用商标识不能随意更改,通常由设备制造商通过外部计算 机输入应用商标识进行固化设置),用以标识该设备所属的应用商,这在信息安全设备的使 用中显得尤为重要。例如,一些智能卡、通用串行总线密钥卡(USB Key,Universal Serial Band Key)等信息安全设备,设备制造商需要在这些卡上设置应用商标识,以标识该卡是由 哪个应用商提供给用户的、并以此区别不同应用商提供的服务。举例来说,网上银行系统 中,设备制造商为工商银行提供的信息安全设备USB Key上,设置标识"ICBC",以表明由工 商银行提供该卡的服务,用户在工商银行网站、营业点或指定的场所使用USB Key,应用商 (工商银行)服务器读取该USB Key中包含的标识,如果该标识与应用商服务器预先存储的 标识"ICBC"相一致,则通过安全认证,认为该信息安全设备合法,并提供相应的服务。
随着社会竞争的日趋激烈,各应用商出于安全策略、设备成本等因素的考虑,可能 选择多个设备制造商作为设备供货方;同样地,设备制造商也可能为多个应用商提供不同 的信息安全设备,并为不同应用商提供的设备设置相应的应用商标识。 由上述可见,当设备制造商需要为多个应用商提供信息安全设备时,设备制造商 需要针对每个应用商分别进行备货,并分别储存为应用商生产制造出的信息安全设备,将 面临很大的备货和生产压力,增加了信息安全设备的生产成本,进而增加了应用商的支出 成本,尤其是在多个应用商所需的信息安全设备相同而只是初始化程序不同的情况下。
为了降低应用商的支出成本,现有技术采用的方法是将信息安全设备的应用商标 识由应用商自行设置,即设备制造商不需要针对每个应用商分别进行备货及储存,应用商 接收到不同设备制造商提供的信息安全设备后,统一通过外部应用商服务器输入应用商标 识,对该接收的信息安全设备进行应用商标识设置并存储在该信息安全设备中,这样,可以 有效地降低应用商的支出成本。但是,上述由应用商自行设置应用商标识的方法,导致一些 不法分子可以通过合法途径获取应用商所需的信息安全设备,再在获取的信息安全设备上 设置该应用商标识以进行仿冒,用户计算机软件(预先从应用商处获取并安装,软件中携 带有应用商设置的应用商标识)判断信息安全设备中包含的标识与预先存储的应用商标 识相一致,则提供相应的服务。这样,使得信息安全设备的应用商标识安全性低、认证安全 性较差。
发明内容
有鉴于此,本发明的主要目的在于提出一种信息安全设备的认证方法,提高信息
4安全设备的应用商标识的认证安全性。 本发明的另一目的在于提出一种信息安全设备的认证系统,提高信息安全设备的 应用商标识的认证安全性。
为达到上述目的,本发明提供了一种信息安全设备的认证方法,该方法包括
信息安全设备根据预先存储的加密算法对应用商输入的随机数和应用商标识进 行加密计算得到应用商标识校验码,将应用商标识以及应用商标识校验码写入信息安全设 备的应用商标识区; 用户计算机软件判断信息安全设备的应用商标识区存储的应用商标识以及应用 商标识校验码与预先从应用商安装软件获取的应用商标识以及应用商标识校验码是否匹 配,如果匹配,应用商标识安全认证成功。 所述加密算法为对称算法、非对称算法和哈希算法中的一种或其任意组合。
所述对应用商输入的随机数和应用商标识进行加密计算包括 将接收的应用商标识作为明文,将接收的随机数作为密钥、或者对接收的随机数
进行变换,将变换后的随机数作为密钥,使用预先存储的加密算法进行计算;或, 将接收的应用商标识和随机数作为明文,利用设备制造商预先设置的密钥使用预
先存储的加密算法进行计算。 将随机数和应用商标识进行加密计算得到的计算结果作为所述应用商标识校验 码;或, 将所述计算结果再经过编码、裁剪、简单变换组合后作为应用商标识校验码。
所述应用商标识包括应用商的中英文縮写、中文名称、英文名称、或者应用商选择 的其它用于对自身进行标识的字符。 所述预先获取的应用商标识以及应用商标识校验码以明文或加密的方式保存在
文件中,所述文件包括用户计算机上的本地文件以及存储在网络上的文件。 所述应用商标识安全认证成功包括 如果从信息安全设备的应用商标识区读取的应用商标识与预先从应用商处获取 的应用商标识相匹配、且,从信息安全设备的应用商标识区读取的应用商标识校验码与预 先从应用商安装软件获取的应用商标识校验码相匹配,则通过应用商标识安全认证。
所述应用商标识安全认证成功包括 如果从信息安全设备的应用商标识区读取的应用商标识校验码与预先从应用商
安装软件获取的应用商标识校验码相匹配,则通过应用商标识安全认证。 所述预先从应用商处获取的应用商标识以及应用商标识校验码包括 用户计算机根据信息安全设备携带的应用商标识以及应用商标识校验码的安装
软件,进行安装形成用户计算机软件,并将携带的应用商标识以及应用商标识校验码进行
存储;或, 根据信息安全设备参数,从相应的应用商下载携带有应用商标识以及应用商标识 校验码的安装软件,进行安装形成用户计算机软件,并将携带的应用商标识以及应用商标 识校验码进行存储。 —种信息安全设备的认证系统,该系统包括信息安全设备、应用商服务器以及运 行于用户计算机上的用户计算机软件,其中,
应用商服务器,用于接收应用商输入的随机数和应用商标识,输出至信息安全设 备; 信息安全设备,用于对应用商服务器输入的随机数和应用商标识,进行加密计算 得到应用商标识校验码,将应用商标识以及应用商标识校验码存储至信息安全设备的应用 商标识区;接收用户计算机软件发送的认证要求,将存储的应用商标识以及应用商标识校 验码发送至用户计算机软件; 用户计算机软件,向信息安全设备发送认证要求,获得信息安全设备返回的应用 商标识以及应用商标识校验码,与用户计算机本地或异地存储的预先从应用商安装软件获 取的应用商标识以及应用商标识校验码进行比较。 所述信息安全设备包括通信单元、加密单元以及存储单元,其中, 通信单元,用于接收应用商服务器输入的随机数和应用商标识,发送至加密单元,
接收用户计算机软件发送的认证要求,从存储单元读取应用商标识以及应用商标识校验
码,发送至用户计算机软件; 加密单元,用于接收随机数和应用商标识,进行加密计算得到应用商标识校验码,
将应用商标识以及应用商标识校验码发送至存储单元; 存储单元,用于存储应用商标识以及应用商标识校验码。 所述用户计算机软件包括通信单元、存储单元以及认证单元,其中, 通信单元,用于接收认证要求,发送至信息安全设备,接收信息安全设备返回的应
用商标识以及应用商标识校验码信息,发送至认证单元; 认证单元,用于向通信单元发送认证要求,接收通信单元发送的应用商标识以及 应用商标识校验码信息,与从存储单元读取的应用商标识以及应用商标识校验码进行匹 配,如果匹配,应用商标识安全认证成功; 存储单元,用于存储从应用商安装软件获取的应用商标识以及应用商标识校验 码。 由上述的技术方案可见,本发明提供的信息安全设备的认证方法及认证系统,信 息安全设备根据预先存储的加密算法对应用商输入的随机数和应用商标识进行加密计算 得到验证码,由于验证码的计算过程在信息安全设备内部进行、且应用商输入的随机数是 保密的,如果不法分子企图仿冒应用商标识,即使采用同样的应用商标识,由于无从获知应 用商设置的随机数,加密计算得到的结果也就不能通过认证,提高了信息安全设备应用商 标识的安全性以及认证安全性。
图1为本发明实施例信息安全设备的认证方法流程示意图。
图2为本发明实施例信息安全设备的认证方法具体流程示意图。
图3为本发明实施例信息安全设备的认证系统结构示意图。
具体实施例方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对 本发明作进一步地详细描述。
6
本发明提供的信息安全设备的认证方法及认证系统,通过将携带随机数的应用商 标识输入至信息安全设备,信息安全设备使用加密算法对接收的随机数和应用商标识进行 加密,将应用商标识以及加密结果写入信息安全设备的应用商标识区,用户计算机软件根 据信息安全设备的应用商标识区存储的应用商标识以及应用商标识校验码,与预先从应用 商提供的应用商安装软件中获取的应用商标识以及应用商标识校验码进行匹配,如果匹 配,通过应用商标识安全认证。 图1为本发明实施例信息安全设备的认证方法流程示意图,参见图l,该流程包 括 步骤101,信息安全设备根据预先存储的加密算法对应用商输入的随机数和应用 商标识进行加密计算得到应用商标识校验码,将应用商标识以及应用商标识校验码写入信 息安全设备的应用商标识区; 本步骤中,加密算法可以是对称算法、非对称算法和哈希算法中的一种或其任意 组合。信息安全设备中预先存储的加密算法具体可由应用商根据实际需要进行设置。实际 应用中,应用商可以将信息安全设备与应用商服务器相连,通过应用商服务器向信息安全 设备输入随机数和应用商标识。 对应用商输入的随机数和应用商标识进行加密计算包括将接收的应用商标识作 为明文,将接收的随机数作为密钥、或者对接收的随机数进行变换,将变换后的随机数作为 密钥,使用加密算法进行计算;或者是,将接收的应用商标识和随机数作为明文,利用设备 制造商预先设置的密钥使用加密算法进行计算(该密钥可以是设备制造商设置并保密,并 同样存储在应用商服务器软件中)。 应用商标识校验码可以是对接收的随机数和应用商标识进行加密计算得到的计 算结果;也可以是将该计算结果再经过编码、裁剪、简单变换组合后作为应用商标识验证 码。 应用商标识包括应用商的中英文縮写、中文名称、英文名称、或者应用商选择的其 它用于对自身进行标识的字符等。 应用商输入的随机数应当保证不同应用商输入的随机数重复的可能性极低,即高 质量的随机数,应用商对输入的随机数进行保密。 实际应用中,可以将应用商标识和应用商标识校验码组合后作为一个字符串写入 信息安全设备的应用商标识区的存储地址;也可以将应用商标识和应用商标识校验码分别 写入信息安全设备的应用商标识区中不同的存储地址。应用商标识区可以是非易失存储 区。 步骤102,用户计算机预先从应用商安装软件获取携带有应用商设置的应用商标 识以及应用商标识校验码并存储,判断信息安全设备的应用商标识区存储的应用商标识以 及应用商标识校验码与预先存储的应用商标识以及应用商标识校验码是否匹配,如果匹 配,通过应用商标识安全认证。 本步骤中,用户计算机可以是根据信息安全设备携带的应用商设置的应用商标识 以及应用商标识校验码的安装软件(应用商安装软件),也可以根据信息安全设备参数, 从相应的应用商下载携带有应用商设置的应用商标识以及应用商标识校验码的安装软件, 进行安装形成用户计算机软件,并将携带的应用商标识以及应用商标识校验码保存在文件5/7页
中。当用户将信息安全设备插入用户计算机时,用户计算机可以检测到信息安全设备插入 并通知用户计算机软件。 预先获取的应用商标识以及应用商标识校验码可以是以明文的方式保存在文件
中,也可以是以加密的方式保存在文件中以提高存储的安全性。其中,文件包括用户计算机
上的本地文件以及存储在网络上的文件,这样,存储的应用商标识校验码更安全。 通过应用商标识安全认证包括如果信息安全设备的应用商标识区存储的应用商
标识与预先存储的应用商标识相匹配、且,信息安全设备的应用商标识区存储的应用商标
识校验码与预先存储的应用商标识校验码相匹配,则通过应用商标识的安全认证。 实际应用中,由于应用商标识校验码是通过将随机数和应用商标识进行加密计算
得到的,其中包含了应用商标识,因而,也可以是在信息安全设备的应用商标识区存储的应
用商标识校验码与预先存储的应用商标识校验码相匹配时,则通过应用商标识的安全认证。 安装软件中携带的应用商标识校验码是根据与步骤101相同的方法得到的,在此 不再赘述。 由上述实施例可见,本发明实施例的信息安全设备的认证方法,信息安全设备根 据预先存储的加密算法对应用商输入的随机数和应用商标识进行加密计算得到应用商标 识校验码,将应用商标识以及应用商标识校验码写入信息安全设备的应用商标识区;用户 计算机软件预先从应用商安装软件获取应用商设置的应用商标识以及应用商标识校验码 并存储,判断信息安全设备的应用商标识区存储的应用商标识以及应用商标识校验码与预 先存储的应用商标识以及应用商标识校验码是否匹配,如果匹配,通过应用商标识的安全 认证。由于应用商采用相同的应用商标识和随机数为每个信息安全设备进行标识,并在信 息安全设备内部计算应用商标识校验码,虽然其应用商标识是公开的,但随机数是保密的, 如果不法分子企图仿冒应用商标识,即使采用同样的应用商标识,由于无从获知应用商设 置的随机数、和/或,加密算法,也就无法计算出相同的应用商标识校验码,从而使得认证 不能通过,保证了信息安全设备应用商标识的安全性以及认证安全性;进一步地,不需要设 备制造商为不同的应用商保留或者预先设置不同的初始信息,从而大幅度降低了设备制造 商在生产管理方面的工作量和错误率。 基于图l,下面举具体实施例,对信息安全设备的认证方法作详细说明。 图2为本发明实施例信息安全设备的认证方法具体流程示意图,参见图2,该流程
包括 步骤201 :将信息安全设备与外部计算机连接;
本步骤中,外部计算机即前述的应用商服务器。 步骤202 :应用商在计算机键盘上输入自己的应用商标识(N),同时输入预先设定 的随机数(R); 步骤203 :计算机将应用商输入的应用商标识N和随机数R发送给信息安全设备;
步骤204:信息安全设备接收到N和R之后,将N作为明文,将R作为密钥,使用 HMAC算法计算得到校验码(C); 步骤205 :信息安全设备将N和C组合到一起,写入到信息安全设备的应用商标识 区;
经过步骤201 步骤205后,信息安全设备中就保存了一个有意义而且可以验证 的应用商标识,应用商标识的设置过程不需要设备生产商的参与。 应用商采用相同的N和R为每个信息安全设备进行标识,应用商设置的N是公开 的,而R是保密的,以保证所有信息安全设备具有相同的标识。 步骤206 :用户计算机软件检测到信息安全设备插入,读取该信息安全设备的应 用商标识区中存储的N和C ; 步骤207 :用户计算机软件读取预先存储的应用商标识以及应用商标识校验码;
本步骤中,用户计算机可以是根据信息安全设备携带的应用商设置的应用商标识 以及应用商标识校验码的安装软件,也可以根据信息安全设备参数,从相应的应用商下载 携带有应用商设置的应用商标识以及应用商标识校验码的安装软件,进行安装形成用户计 算机软件,并将携带的应用商标识以及应用商标识校验码进行存储。 步骤208 :判断信息安全设备的应用商标识区中存储的N是否与预先存储的应用 商标识相同,如果相同,执行步骤209,否则,结束流程; 步骤209 :判断信息安全设备的应用商标识区中存储的C是否与预先存储的应用
商标识校验码相同,如果相同,通过应用商标识的安全认证,否则,结束流程。 这样,由于用户计算机软件中预先存储有应用商标识(N')和应用商标识校验码
(C'),如果N与N'相同、且C与C'也相同,表明该信息安全设备合法,否则,该信息安全设
备不是应用商定制的设备。 图3为本发明实施例信息安全设备的认证系统结构示意图,参见图3,该系统包 括信息安全设备、运行于用户计算机上的用户计算机软件以及应用商服务器,其中,
应用商服务器,用于接收应用商输入的随机数和应用商标识,输出至信息安全设 备; 信息安全设备,用于对应用商服务器输入的随机数和应用商标识,进行加密计算 得到应用商标识校验码,将应用商标识以及应用商标识校验码存储至信息安全设备的应用 商标识区;接收用户计算机软件发送的认证要求,将存储的应用商标识以及应用商标识校 验码信息发送至用户计算机软件; 用户计算机软件,向信息安全设备发送认证要求,根据信息安全设备返回的应用 商标识以及应用商标识校验码信息,与预先从应用商安装软件获取的应用商标识以及应用 商标识校验码进行匹配,如果匹配,通过应用商标识的安全认证。
信息安全设备包括通信单元、加密单元以及存储单元,其中, 通信单元,用于接收应用商服务器输入的随机数和应用商标识,发送至加密单元, 接收用户计算机软件发送的认证要求,从存储单元读取应用商标识以及应用商标识校验 码,发送至用户计算机软件; 加密单元,用于接收随机数和应用商标识,进行加密计算得到应用商标识校验码,
将应用商标识以及应用商标识校验码发送至存储单元; 存储单元,用于存储应用商标识以及应用商标识校验码。 用户计算机软件包括通信单元、存储单元以及认证单元,其中, 通信单元,用于接收认证要求,发送至信息安全设备,接收信息安全设备返回的应
用商标识以及应用商标识校验码信息,发送至认证单元;
认证单元,用于向通信单元发送认证要求,接收通信单元发送的应用商标识以及应用商标识校验码信息,与从存储单元读取的应用商标识以及应用商标识校验码进行匹配,如果匹配,通过应用商标识的安全认证。 存储单元,用于存储预先从应用商安装软件获取的应用商标识以及应用商标识校验码。 以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。
权利要求
一种信息安全设备的认证方法,其特征在于,该方法包括信息安全设备根据预先存储的加密算法对应用商输入的随机数和应用商标识进行加密计算得到应用商标识校验码,将应用商标识以及应用商标识校验码写入信息安全设备的应用商标识区;用户计算机软件判断信息安全设备的应用商标识区存储的应用商标识以及应用商标识校验码与预先从应用商安装软件获取的应用商标识以及应用商标识校验码是否匹配,如果匹配,应用商标识安全认证成功。
2. 如权利要求1所述的方法,其特征在于,所述加密算法为对称算法、非对称算法和哈希算法中的一种或其任意组合。
3. 如权利要求1所述的方法,其特征在于,所述对应用商输入的随机数和应用商标识进行加密计算包括将接收的应用商标识作为明文,将接收的随机数作为密钥、或者对接收的随机数进行变换,将变换后的随机数作为密钥,使用预先存储的加密算法进行计算;或,将接收的应用商标识和随机数作为明文,利用设备制造商预先设置的密钥使用预先存储的加密算法进行计算。
4. 如权利要求1至3任一项所述的方法,其特征在于,将随机数和应用商标识进行加密计算得到的计算结果作为所述应用商标识校验码;或,将所述计算结果再经过编码、裁剪、简单变换组合后作为应用商标识校验码。
5. 如权利要求4所述的方法,其特征在于,所述应用商标识包括应用商的中英文縮写、中文名称、英文名称、或者应用商选择的其它用于对自身进行标识的字符。
6. 如权利要求4所述的方法,其特征在于,所述预先获取的应用商标识以及应用商标识校验码以明文或加密的方式保存在文件中,所述文件包括用户计算机上的本地文件以及存储在网络上的文件。
7. 如权利要求4所述的方法,其特征在于,所述应用商标识安全认证成功包括如果从信息安全设备的应用商标识区读取的应用商标识与预先从应用商处获取的应用商标识相匹配、且,从信息安全设备的应用商标识区读取的应用商标识校验码与预先从应用商安装软件获取的应用商标识校验码相匹配,则通过应用商标识安全认证。
8. 如权利要求4所述的方法,其特征在于,所述应用商标识安全认证成功包括如果从信息安全设备的应用商标识区读取的应用商标识校验码与预先从应用商安装软件获取的应用商标识校验码相匹配,则通过应用商标识安全认证。
9. 如权利要求4所述的方法,其特征在于,所述预先从应用商处获取的应用商标识以及应用商标识校验码包括用户计算机根据信息安全设备携带的应用商标识以及应用商标识校验码的安装软件,进行安装形成用户计算机软件,并将携带的应用商标识以及应用商标识校验码进行存储;或,根据信息安全设备参数,从相应的应用商下载携带有应用商标识以及应用商标识校验码的安装软件,进行安装形成用户计算机软件,并将携带的应用商标识以及应用商标识校验码进行存储。
10. —种信息安全设备的认证系统,其特征在于,该系统包括信息安全设备、应用商 服务器以及运行于用户计算机上的用户计算机软件,其中,应用商服务器,用于接收应用商输入的随机数和应用商标识,输出至信息安全设备; 信息安全设备,用于对应用商服务器输入的随机数和应用商标识,进行加密计算得到应用商标识校验码,将应用商标识以及应用商标识校验码存储至信息安全设备的应用商标识区;接收用户计算机软件发送的认证要求,将存储的应用商标识以及应用商标识校验码发送至用户计算机软件;用户计算机软件,向信息安全设备发送认证要求,获得信息安全设备返回的应用商标识以及应用商标识校验码,与用户计算机本地或异地存储的预先从应用商安装软件获取的应用商标识以及应用商标识校验码进行比较。
11. 如权利要求10所述的系统,其特征在于,所述信息安全设备包括通信单元、加密 单元以及存储单元,其中,通信单元,用于接收应用商服务器输入的随机数和应用商标识,发送至加密单元,接收 用户计算机软件发送的认证要求,从存储单元读取应用商标识以及应用商标识校验码,发 送至用户计算机软件;加密单元,用于接收随机数和应用商标识,进行加密计算得到应用商标识校验码,将应 用商标识以及应用商标识校验码发送至存储单元;存储单元,用于存储应用商标识以及应用商标识校验码。
12. 如权利要求10或11所述的系统,其特征在于,所述用户计算机软件包括通信单 元、存储单元以及认证单元,其中,通信单元,用于接收认证要求,发送至信息安全设备,接收信息安全设备返回的应用商 标识以及应用商标识校验码信息,发送至认证单元;认证单元,用于向通信单元发送认证要求,接收通信单元发送的应用商标识以及应用 商标识校验码信息,与从存储单元读取的应用商标识以及应用商标识校验码进行匹配,如 果匹配,应用商标识安全认证成功;存储单元,用于存储从应用商安装软件获取的应用商标识以及应用商标识校验码。
全文摘要
本发明公开了一种信息安全设备的认证方法。信息安全设备根据预先存储的加密算法对应用商输入的随机数和应用商标识进行加密计算得到应用商标识校验码,将应用商标识以及应用商标识校验码写入信息安全设备的应用商标识区;用户计算机软件判断信息安全设备的应用商标识区存储的应用商标识以及应用商标识校验码与预先从应用商安装软件获取的应用商标识以及应用商标识校验码是否匹配,如果匹配,通过应用商标识的安全认证。本发明还公开了一种信息安全设备的认证系统。应用本发明,可以降低设备制造商在生产管理方面的工作量和错误率、提高信息安全设备应用商标识的安全性以及认证安全性。
文档编号H04L29/06GK101695072SQ20091023641
公开日2010年4月14日 申请日期2009年10月21日 优先权日2009年10月21日
发明者孙吉平, 韩勇 申请人:北京深思洛克软件技术股份有限公司;