专利名称:密码提供设备和密码认证系统的制作方法
技术领域:
本实用新型涉及信息安全技术领域,更具体地,涉及一种密码提供设备和密码认 证系统。
背景技术:
随着网络应用的不断普及,人们经常需要访问各种各样的网站,如电子银行、电子 购物、收发电子邮件(Email)、网上聊天、网络游戏等。在登录网站之前,通常都需要用户输 入自己的用户名和密码。然而,目前网上存在着各种病毒,可以在用户输入密码时偷偷记录 下用户通过键盘所输入的字符,从而盗取用户的密码,这就给用户带来很大的风险。正是由于以上原因,目前出现了多种安全性较高的认证方法,如动态令牌、 USB-Key证书认证等。但是这两种高安全性的认证方法都存在一个问题,那就是一个客户端 认证设备(动态令牌或USB-Key)只能用于一个认证系统。比如如果一个用户有两家不同 银行的网上账号,则他就需要有两个相应的客户端认证设备。这个问题不但增加了用户的 开销,还给用户在使用和管理认证设备上都带来了极大的不便。
实用新型内容本实用新型实施方式提出一种密码提供设备,能够适用于多个认证系统。本实用 新型实施方式还提出一种密码认证系统,实现了一个密码提供设备对应于多个认证系统的 技术效果。本实用新型的技术方案是这样实现的一种密码提供设备,该密码提供设备包括 接口单元,密码获取单元、密码存储单元以及密码加密单元,其中密码获取单元,用于获取 密码;密码存储单元,用于以密码存储表的形式存储由密码获取单元获取的密码,所述密码 存储表中还存储有对应于所述密码的密码标识;接口单元,用于接收包含密码标识的认证 请求,以及将加密的密码密文发送到所述密码提供设备之外用于认证;密码加密单元,用于 从所述认证请求中解析出密码标识,从所述密码存储表中查询出对应于所述密码标识的密 码,并对所述密码进行加密,然后将加密后的密码密文通过接口单元发送到所述密码提供 设备之外用于认证。一种密码认证系统,该密码认证系统包括密码提供设备、认证客户端 和认证服务器,其中密码提供设备,用于以密码存储表的形式存储密码以及对应于密码的 密码标识,并从所述密码存储表中查询出对应于用户所选择的密码标识的密码,根据加密 算法对所述密码进行加密,将加密后的密码密文通过认证客户端发送到所述认证服务器用 于认证;认证客户端,用于从密码提供设备获取列表的密码标识,并将该列表的密码标识显 示给用户,供用户从该列表中选择密码标识;认证服务器,用于同步存储在密码提供设备中 所保存的密码,并根据与密码提供设备相同的加密算法对对应于用户所选择的密码标识的 密码进行加密,并当该认证服务器生成的密码密文与密码提供设备发送来的密码密文相同 时,判定密码提供设备提供的密码正确。从上述技术方案可以看出,在本实用新型实施方式中,密码提供设备以密码存储表的数据结构存储密码,并根据由认证请求解析出的密码标识从密码存储表中查询出密 码,再将加密后的密码密文发送到密码提供设备之外用于认证。由此可见,由于单个的密码 提供设备可以保存多个对应于不同认证系统的密码,因此单个的密码提供设备能够适用于 多个认证系统。这就既降低了客户端硬件认证设备的成本,又方便了用户对认证设备的管 理和使用。而且,认证客户端从密码提供设备处只能获得“密码描述列表”,其中只包含密码 ID和密码描述符等信息,不包含密码的真实数据,因此提高了认证系统的安全性。而且,由 于使用密码提供设备来保存密码,可以设置较长位数的密码,从而降低了密码被暴力破解 的可能性,进一步提高了认证系统的安全性。不仅于此,本实用新型实施方式的密码同步也会给用户维护密码的操作带来很大 的方便性和安全性。
图1为根据本实用新型实施方式的密码提供设备结构示意图;图2为根据本实用新型实施方式的密码认证系统的结构示意图;图3为根据本实用新型实施方式的第一种密码提供设备结构示意图;图4为根据本实用新型实施方式的第一种密码提供设备的密码编辑系统结构示 意图;图5为根据本实用新型实施方式的第二种密码提供设备结构示意图;图6为根据本实用新型实施方式的密码认证方法流程示意图;图7为根据本实用新型优选实施方式的密码认证方法流程示意图;图8为图7中密码提供设备计算密码密文的示范性详细流程图;图9为图7中认证服务器认证密码密文的示范性详细流程图;图10为根据本实用新型实施方式的密码提供设备和密码认证系统的密码同步方 式示意图;图11为根据本实用新型实施方式的密码提供设备和密码认证系统的通过网络进 行密码同步的系统结构示意图;图12为根据本实用新型实施方式的采用非对称加密算法的密码同步过程流程示 意图;图13为根据本实用新型实施方式的采用对称加密算法的密码同步过程流程示意 图;图14为根据本实用新型实施方式的设备直连方式密码同步系统结构示意图;图15为根据本实用新型实施方式的设备直连方式密码同步流程图;图16为根据本实用新型优选实施方式的第一种密码提供设备的密码产生及保存 的方法流程示意图。
具体实施方式
为使本实用新型实施方式的目的、技术方案和优点表达得更加清楚明白,下面结 合附图及具体实施方式
对本实用新型再作进一步详细的说明。图1为根据本实用新型实施方式的密码提供设备结构示意图。[0026]如图1所示,该密码提供设备100包括接口单元101,密码获取单元102、密码存 储单元103以及密码加密单元104,其中密码获取单元102,用于获取密码;密码存储单元 103,用于以密码存储表的形式存储由密码获取单元102获取的密码,所述密码存储表中还 存储有对应于所述密码的密码标识;接口单元101,用于接收来自密码提供设备100之外且 包含密码标识的认证请求,以及将加密的密码密文发送到所述密码提供设备100之外用于 认证;密码加密单元104,用于从所述认证请求中解析出密码标识,从所述密码存储表中查 询出对应于所述密码标识的密码,并对所述密码进行加密,然后将加密后的密码密文通过 接口单元101发送到所述密码提供设备100之外用于认证。可见,在密码存储单元103的密码存储表中可以存储对应于多个认证系统的密 码,从而适用于多个认证系统。在一个优选实施方式中,接口单元101与外部密码编辑设备 (图1中没有示出)连接。此时,密码获取单元102,用于通过所述接口单元101从所述外 部密码编辑设备获取密码。而且,在一个进一步优选的实施方式中,该密码提供设备100进 一步包括在密码获取模式和密码认证模式之间切换的模式切换单元。该模式切换单元,用 于当工作于密码获取模式时,激发所述密码获取单元102通过所述接口单元101从所述外 部密码编辑设备获取密码;并当工作于密码认证模式时,激发所述密码加密单元104将加 密后的密码密文通过接口单元101发送到所述密码提供设备100之外用于认证。在另一个 优选实施方式中,可以由密码提供设备100自身来产生密码。此时,密码获取单元102,用于 根据预定的密码生成算法产生密码。进一步的,在认证请求中还可以包括挑战码。此时,密码加密单元104,用于从认证 请求中解析出密码标识和挑战码,再从密码存储单元103的密码存储表中查询出对应于所 述密码标识的密码,并根据挑战码和散列(HASH)函数对密码进行加密,然后将加密后的密 码密文通过接口单元101发送到所述密码提供设备100之外用于认证。优选的,该密码提 供设备100进一步包括密码同步单元(图1中没有示出)。该密码同步单元,用于将密码存 储单元103中所保存的密码同步保存到所述密码提供设备100之外的各个认证系统中。基于图1所示的密码提供设备,图2为根据本实用新型实施方式的密码认证系统 的结构示意图。如图2所示,该密码认证系统200包括密码提供设备201、认证客户端202和 认证服务器203,其中密码提供设备201,用于以密码存储表的形式存储密码以及对应于 密码的密码标识,并从所述密码存储表中查询出对应于用户所选择的密码标识的密码,根 据加密算法对所述密码进行加密,将加密后的密码密文通过认证客户端202发送到所述认 证服务器203用于认证;认证客户端202,用于从密码提供设备201获取列表的密码标识, 并将该列表的密码标识显示给用户,供用户从该列表中选择密码标识;认证服务器203,用 于同步存储在密码提供设备201中所保存的密码,并根据与密码提供设备201相同的加密 算法对对应于用户所选择的密码标识的密码进行加密,并当该认证服务器203生成的密码 密文与密码提供设备201发送来的密码密文相同时,判定密码提供设备201提供的密码正 确。比如,认证服务器203中可以包含数据库,该数据库中存储有用户账号以及对应 于用户账号的密码。用户可以在认证客户端202上输入用户账号,认证客户端202再将用 户账号发送到认证服务器203,然后认证服务器203根据接收到的用户账号在数据库中查 询对应于该用户账号的密码,再根据与密码提供设备201相同的加密算法对查询出的密码进行加密,并当该认证服务器203生成的密码密文与密码提供设备201发送来的密码密文 相同时,判定密码提供设备201提供的该用户账号对应的密码正确。以上列出了通过认证客户端202传送用户账号的方式,使得认证服务器203查询 用户密码的方式,但是本实用新型实施方式并不局限于此。实际应用中,可能存在多种用户 账号发送到认证服务器203的方式,比如直接由密码提供设备201向认证服务器203发送 用户账号,等等,这些实施方式都应该包括在本实用新型的范围之内。在具体实现中,优选的,认证服务器203可以是用于认证用户身份的服务器,在其 中保存有用户的账号和密码。认证客户端202是一种运行在客户端计算机上的软件,可以 为用户提供登录界面,并与认证服务器203和密码提供设备201进行协议交互,完成用户的 身份认证。在使用密码提供设备进行密码认证之前,有一个必要的准备工作那就是将密码 提供设备中所保存的密码同样地设置到相应的认证服务器中(即同步),这样才能保证认 证服务器进行正确的认证,这个问题称为“密码同步”问题。本实用新型实施方式后面将对 此提供完整的解决方案,在此先假设密码提供设备和认证服务器所保存的密码已经被同步 过了。在一个优选的实施方式中,密码提供设备201和认证服务器203之间通过设备直 连方式、采用对称加密算法的网络互联方式、采用非对称加密算法的网络互联方式或用户 手工同步方式实现密码同步(下面将对密码提供设备201和认证服务器203之间的同步方 式进行更加详细的说明)。在本实用新型实施方式中,密码存储表存储有密码以及对应于密码的密码标识, 其中密码标识可以包括密码标识符和/或密码描述符。无论是密码标识符或密码描述符, 都与密码相对应。比如,在密码提供设备中,优选采用如下表1形式的数据结构来保存用户的密码表 权利要求一种密码提供设备,其特征在于,该密码提供设备包括接口单元,密码获取单元、密码存储单元以及密码加密单元,其中密码获取单元,用于获取密码;密码存储单元,用于以密码存储表的形式存储由密码获取单元获取的密码,所述密码存储表中还存储有对应于所述密码的密码标识;接口单元,用于接收包含密码标识的认证请求,以及将加密的密码密文发送到所述密码提供设备之外用于认证;密码加密单元,用于从所述认证请求中解析出密码标识,从所述密码存储表中查询出对应于所述密码标识的密码,并对所述密码进行加密,然后将加密后的密码密文通过接口单元发送到所述密码提供设备之外用于认证。
2.根据权利要求1所述的密码提供设备,其特征在于,所述接口单元与外部密码编辑 设备连接,所述密码获取单元,用于通过所述接口单元从所述外部密码编辑设备获取密码。
3.根据权利要求2所述的密码提供设备,其特征在于,该密码提供设备进一步包括在 密码获取模式和密码认证模式之间切换的模式切换单元,所述模式切换单元,用于当工作于密码获取模式时,激发所述密码获取单元通过所述 接口单元从所述外部密码编辑设备获取密码;并当工作于密码认证模式时,激发所述密码 加密单元将加密后的密码密文通过接口单元发送到所述密码提供设备之外用于认证。
4.根据权利要求1所述的密码提供设备,其特征在于,所述密码获取单元,用于根据预 定的密码生成算法产生所述密码。
5.根据权利要求1-4中任一项所述的密码提供设备,其特征在于,所述认证请求中进 一步包括挑战码;密码加密单元,用于从所述认证请求中解析出密码标识和挑战码,从所述密码存储表 中查询出对应于所述密码标识的密码,并根据挑战码和散列HASH函数对所述密码进行加 密,然后将加密后的密码密文通过接口单元发送到所述密码提供设备之外用于认证。
6.根据权利要求1-4中任一项所述的密码提供设备,其特征在于,该密码提供设备进 一步包括密码同步单元,用于将密码存储单元中所保存的密码同步保存到所述密码提供设备之外的认证系统中。
7.一种密码认证系统,其特征在于,该密码认证系统包括密码提供设备、认证客户端和 认证服务器,其中密码提供设备,用于以密码存储表的形式存储密码以及对应于密码的密码标识,并从 所述密码存储表中查询出对应于用户所选择的密码标识的密码,根据加密算法对所述密码 进行加密,将加密后的密码密文通过认证客户端发送到所述认证服务器用于认证;认证客户端,用于从密码提供设备获取列表的密码标识,并将该列表的密码标识显示 给用户,供用户从该列表中选择密码标识;认证服务器,用于同步存储在密码提供设备中所保存的密码,并根据与密码提供设备 相同的加密算法对对应于用户所选择的密码标识的密码进行加密,并当该认证服务器生成 的密码密文与密码提供设备发送来的密码密文相同时,判定密码提供设备提供的密码正
8.根据权利要求7所述的密码认证系统,其特征在于,所述密码提供设备和认证服务 器之间通过设备直连方式、采用对称加密算法的网络互联方式、采用非对称加密算法的网 络互联方式或用户手工同步方式实现密码同步。
9.根据权利要求7或8所述的密码认证系统,其特征在于,所述密码提供设备用于根据 预定的密码生成算法自身产生所述密码,或者从外部密码编辑设备获取密码。
10.根据权利要求7或8所述的密码认证系统,其特征在于,所述加密算法为HASH算法。
专利摘要本实用新型实施方式提供了一种密码提供设备。其中密码获取单元,用于获取密码;密码存储单元,用于以密码存储表的形式存储由密码获取单元获取的密码,密码存储表中还存储有对应于密码的密码标识;接口单元,用于接收包含密码标识的认证请求,以及将加密的密码密文发送到密码提供设备之外用于认证;密码加密单元,用于从认证请求中解析出密码标识,从密码存储表中查询出对应于密码标识的密码,并对密码进行加密,然后将加密后的密码密文通过接口单元发送到密码提供设备之外用于认证。还提供了一种密码认证系统,实现了一个密码提供设备适用于多个认证系统的效果,提高了认证系统的安全性,方便了用户对认证设备的管理和使用。
文档编号H04L9/32GK201717885SQ20102012919
公开日2011年1月19日 申请日期2010年3月12日 优先权日2010年3月12日
发明者薛明 申请人:薛明