虎符令牌认证系统的制作方法
【专利摘要】本发明提供了一种虎符令牌认证系统,包括具备唯真标识的虎符令牌及认证软件,所述唯真标识是一种可验证的用于真实描述主体唯一性的信息编码,具有唯一性;不变性;扩展性;含义性;规范性和安全性。唯真标识适用于电子或数字标识码和图形标识码及其混合编码,本发明解决了全球标识认证、网络通讯和贸易过程中,对人、物体、商品与电子商务的认证与管理和电子政务相关行政部门即海关,检疫检验,工商税务,知识产权,环境保护,银行,保险的资质、信用等方面发展的种种要求。本发明还公开了一种身份证电子认证方法,一种金融电子认证方法和一种网络安全认证方法。
【专利说明】虎符令牌认证系统
【技术领域】
[0001]本发明涉及一种能够通过组合密钥体系直接进行标识认证的虎符令牌及安全软件。
【背景技术】
[0002]标识认证是安全行业一直以来没有解决的难题,利用组合密钥系统,定义智能的安全标识,通过非常小的存储空间,就可以实现名字即密钥的特点,即实现直接标识认证,这将是安全认证行业的一大飞跃,解决了 PKI体系不能实现海量认证服务的缺点,但做为标识本身,还需要规范编码格式和认证方法,因此提出并实现一套能够进行标识认证的编码与认证系统非常有用。
【发明内容】
[0003]本发明解决了传统标识不能进行安全认证的缺点,提供了一种虎符令牌认证系统,其特征在于,由包含唯真标识的虎符令牌及包含唯真标识认证功能的安全软件组成,所述唯真标识采用电子或数字标识码和图形标识码及其混合编码和组合密钥架构实现能够直接进行标识认证,是一种可验证的用于真实描述主体唯一性的信息编码;所述组合密钥架构是指以椭圆曲线加密算法为基础,对多随机数或特定数据进行运算,生成同运算模型下的若干对不同的私钥和公钥,分别放在私钥矩阵和公钥矩阵中,通过对唯真标识做摘要映射,能够把摘要值换算成若干位置坐标,私钥矩阵中对应位置取出的多个私钥模加的结果组成的新私钥和对应的公钥矩阵中同样位置取出的多个公钥点加的结果组成的新公钥仍然是一对公钥对,公钥矩阵和公钥运算算法公开,私钥矩阵由发行方秘密保存,生成的私钥交由用户自己秘密保存,这样任何用户只要有对方的唯真标识,就可以计算对方的公钥安全的给对方发信息,以及验证对方的签名,任何用户只要有自己的私钥,就能解开发来的加密数据,以及对自己保证的数据做签名。
[0004]所述的虎符令牌认证系统,其特征在于,所述唯真标识由Fl基本字段和F2附加字段组成,其中Fl由RC发行编码,GC分类编码,SN串号和CC特征编码四部分组成。
[0005]所述的虎符令牌认证系统,其特征在于,所述虎符令牌还设有本地输入接口,用于输入数据;所述数据存储单元包括用于存储系统关键数据的不可复制但可更新数据的存储器;并且所述虎符令牌是一体化安全器件,制作成一体嵌入式芯片;是一种完善的保密装置,并具有不可复制性;所述虎符令牌在执行常规控制前,验证本地输入的数据或信号,经判断正确,只有获得权限之后,才使相应外部设备在所述虎符令牌的控制下,进行正常的数据通信工作。
[0006]所述的虎符令牌认证系统,其特征在于,所述的虎符令牌是智能卡模块形式,所述虎符令牌通过处理本地输入的数据,验证用户身份。
[0007]所述的虎符令牌认证系统,其特征在于,所述虎符令牌通过处理本地输入的数据,与虎符令牌内部不可复制但可更新数据的存储器上已预设的关键数据进行核对运算,控制各通信接口的通信权限和/或数据加解密。
[0008]所述的虎符令牌认证系统,其特征在于,包含中央控制单元,程序存储器,数据存储器,通信接口,其中所述中央控制单元是设有程序存储器的中央处理器,和/或者是加密逻辑;
[0009]和/或,所述程序存储器是只读存储器和/或非易失存储器;
[0010]和/或,所述数据存储单元,是非易失存储器和随机存储器,其中,所述不可复制但可更新数据的存储器是非易失存储器;
[0011]和/或,所述通信接口是以下接口中的一个或多个:
[0012]USB接口、并行接口、存储接口、串行通信接口、红外接口、无线接口、可编程通用IO接口、指示灯接口、蜂鸣器接口、音频编解码接口、PCMCIA接口、智能卡接口、专用算法协处理器接口。
[0013]所述的虎符令牌认证系统,其特征在于,所述的虎符令牌通过配置参数成为辅助安全软件进行认证的系统令牌。
[0014]所述的虎符令牌认证系统,其特征在于,所述的安全软件的安全运算通过系统令牌来辅助实现,即安全软件通过把虎符令牌的安全数据送到系统令牌进行验证,并通过系统令牌加密数据发给虎符令牌。
[0015]具体的验证方法为,唯真标识采用组合密钥架构,即用Fl字段经过组合密钥运算就能得到与Fl唯一对应的关键密钥数据,其中至少包括一对公钥对,即任何人通过公开的运算规则,都能通过Fl运算得到签名验证所需的公钥,而SD正是使用与该公钥对应的保密私钥对Fl和F2的数据的摘要值进行签名运算所得到的全部或部分结果,通过核对该全部或部分结果就能确定唯真标识的真实性和完整性。
[0016]以椭圆曲线加密算法为例,首先生成一个私钥矩阵,以及一个和这个私钥矩阵对应的公钥矩阵,即私钥矩阵中特定位置的私钥和公钥矩阵中同样位置的公钥是一对公钥对,通过对用户的唯真标识做摘要,能够把摘要值换算成若干位置坐标,从公钥矩阵对应位置取出多个公钥做点加,生成用户公钥,由于公钥矩阵和计算用户公钥的算法公开,任何人都能计算出用户公钥来验证签名,或用用户公钥加密数据发给该用户,而该用户也只能用自己的用户私钥进行签名或解开其他人发来的用该用户公钥加密的数据。在椭圆曲线算法限定的同一个域内,私钥矩阵中同样位置的私钥模加的结果组成的用户私钥和对应的公钥矩阵中同样位置的公钥点加的结果组成的用户公钥仍然是一对公钥对,因此公钥矩阵和公钥运算算法公开,而私钥矩阵由发行方秘密保存,生成的用户私钥交由用户自己秘密保存。这样任何用户只要有对方的唯真标识,就可以用对方的用户公钥安全的给对方发信息,以及验证对方的签名,任何用户只要有自己的用户私钥,就能解开发来的加密数据,以及对自己承诺的数据做签名。作为扩展应用,还有基于此运算基础上的共享随机密钥生成,一次一密等多种安全应用。
[0017]唯真标识适用于电子或数字标识码和图形标识码及其混合编码。
【专利附图】
【附图说明】
[0018]图1是本发明的典型结构示意图。
[0019]图2是本发明在实际应用中的生成示意图。[0020]图3是本发明在实际应用中的认证、加解密与签名示意图。
【具体实施方式】
[0021]本发明的唯真标识RID在传输数据包中的结构如说明书附图的图1所示,包含“RID”字符串,RID唯真标识数据包和SD签名数据。
[0022]其中RID唯真标识数据包又包含一个Fl基本字段和若干F2附加字段。
[0023]Fl基本字段包括RC发行编码,GC分类编码,SN串号和CC特征编码。
[0024]F2附加字段包括BN编码数据块数和若干编码数据块,其中每个编码数据块又包括TAG标签类型,LEN数据长度和VAL有效数据。
[0025]所述唯真标识是一种可验证的用于真实描述主体唯一性的信息编码,具有唯一性(一个代码只能唯一地标识一个分类对象,不因时间、地点等因素发生变化);不变性(在整个信息系统周期内编码不发生变化,并且,编码不会因外部环境变化而发生变化);扩展性(有备用代码,允许新数据的加入);简短性(代码结构简短明确,有利于减少存储空间和录入时间,并且能减少差错);含义性(反映编码对象的特点,有助记忆,便于检查);规范性(同一层级代码的类型、结构、代码符号、码位长度以及代码的编写格式统一)和安全性(唯真标识本身及在应用中都能够验证其真实性和合法性)。唯真标识适用于电子或数字标识码和图形标识码及其混合编码,本发明解决了全球标识认证、网络通讯和贸易过程中,对人、物体、商品与电子商务的认证与管理和电子政务相关行政部门即海关,检疫检验,工商税务,知识产权,环境保护,银行,保险的资质、信用等方面发展的种种要求。
[0026]实施例1 (身份证电子认证方法)
[0027]本发明的身份证电子认证方法,其特征在于,采用虎符令牌认证系统,在唯真标识的附加字段中分别定义用户的子标识,包括身份证号、银行账号、邮箱号码和电话号码等,由于唯真标识的Fl字段中兼容身份证的编码格式18位十进制数字,因此用户唯一身份即公钥,将无需再为用户建立额外的安全管理系统,主标识对应的密钥基本不用于做日常业务,只用于对其它子标识进行管理,并以硬件的形式存在,密钥不外漏,基本没有风险,在主标识安全保障的前提下,用户通过组合各子标识能够不断升级和迁移应用的安全性。
[0028]实施例2 (金融电子认证方法)
[0029]本发明的金融电子认证方法,其特征在于,采用虎符令牌认证系统,在唯真标识的附加字段中分别定义用户的子标识,包括身份证号、多银行账号、股票账号、邮箱号码和电话号码。子标识可以明确在有效期,次数及业务类型上严格限制密钥的使用条件,使得每种金融业务都有独立的安全密钥,但又统一受主标识密钥管理。由于唯真标识的Fl字段中兼容身份证的编码格式18位十进制数字,因此用户唯一身份即公钥,将无需再为用户建立额外的安全管理系统,主标识对应的密钥基本不用于做日常业务,只用于对其它子标识进行管理,并以硬件的形式存在,密钥不外漏,基本没有风险。在主标识安全保障的前提下,用户通过组合各子标识能够不断升级和迁移金融应用的安全性。
[0030]实施例3 (网络安全认证方法)
[0031]本发明的网络安全认证方法,其特征在于,采用虎符令牌认证系统,在唯真标识的附加字段中分别定义用户的子标识,包括网络IP地址、网络接口模块编号、设备编号、邮箱号码和电话号码等。由于能够直接进行网络地址的标识认证,将大大简化网络安全认证负担,使得操作系统和应用程序可以透明的安全的联网和使用。在主标识安全保障的前提下,用户通过组合各子标识能够不断升级和迁移网络应用的安全性。
【权利要求】
1.一种虎符令牌认证系统,其特征在于,由包含唯真标识的虎符令牌及包含唯真标识认证功能的安全软件组成,所述唯真标识采用电子或数字标识码和图形标识码及其混合编码和组合密钥架构实现能够直接进行标识认证,是一种可验证的用于真实描述主体唯一性的信息编码;所述组合密钥架构是指以椭圆曲线加密算法为基础,对多随机数或特定数据进行运算,生成同运算模型下的若干对不同的私钥和公钥,分别放在私钥矩阵和公钥矩阵中,通过对唯真标识做摘要映射,能够把摘要值换算成若干位置坐标,私钥矩阵中对应位置取出的多个私钥模加的结果组成的新私钥和对应的公钥矩阵中同样位置取出的多个公钥点加的结果组成的新公钥仍然是一对公钥对,公钥矩阵和公钥运算算法公开,私钥矩阵由发行方秘密保存,生成的私钥交由用户自己秘密保存,这样任何用户只要有对方的唯真标识,就可以计算对方的公钥安全的给对方发信息,以及验证对方的签名,任何用户只要有自己的私钥,就能解开发来的加密数据,以及对自己保证的数据做签名。
2.根据权利要求1中所述的虎符令牌认证系统,其特征在于,所述唯真标识由Fl基本字段和F2附加字段组成,其中Fl由RC发行编码,GC分类编码,SN串号和CC特征编码四部分组成。
3.根据权利要求2中所述的虎符令牌认证系统,其特征在于,所述虎符令牌还设有本地输入接口,用于输入数据;所述数据存储单元包括用于存储系统关键数据的不可复制但可更新数据的存储器;并且所述虎符令牌是一体化安全器件,制作成一体嵌入式芯片;是一种完善的保密装置,并具有不可复制性;所述虎符令牌在执行常规控制前,验证本地输入的数据或信号,经判断正确,只有获得权限之后,才使相应外部设备在所述虎符令牌的控制下,进行正常的数据通信工作。
4.根据权利要求3所述的虎符令牌认证系统,其特征在于,所述的虎符令牌是智能卡模块形式,所述虎符令牌通过处理本地输入的数据,验证用户身份。
5.根据权利要求3所述的虎符令牌认证系统,其特征在于,所述虎符令牌通过处理本地输入的数据,与虎符令 牌内部不可复制但可更新数据的存储器上已预设的关键数据进行核对运算,控制各通信接口的通信权限和/或数据加解密。
6.根据权利要求3至5任一所述的虎符令牌认证系统,其特征在于,包含中央控制单元,程序存储器,数据存储器,通信接口,其中所述中央控制单元是设有程序存储器的中央处理器,和/或者是加密逻辑; 和/或,所述程序存储器是只读存储器和/或非易失存储器; 和/或,所述数据存储单元,是非易失存储器和随机存储器,其中,所述不可复制但可更新数据的存储器是非易失存储器; 和/或,所述通信接口是以下接口中的一个或多个: USB接口、并行接口、存储接口、串行通信接口、红外接口、无线接口、可编程通用IO接口、指示灯接口、蜂鸣器接口、音频编解码接口、PCMCIA接口、智能卡接口、专用算法协处理器接口。
7.根据权利要求6中所述的虎符令牌认证系统,其特征在于,所述的虎符令牌通过配置参数成为辅助安全软件进行认证的系统令牌。
8.根据权利要求7中所述的虎符令牌认证系统,其特征在于,所述的安全软件的安全运算通过系统令牌来辅助实现,即安全软件通过把虎符令牌的安全数据送到系统令牌进行验证,并通过系统令牌加密 数据发给虎符令牌。
【文档编号】H04L9/30GK103546284SQ201210235874
【公开日】2014年1月29日 申请日期:2012年7月10日 优先权日:2012年7月10日
【发明者】许丰 申请人:北京虎符科技有限公司