本发明涉及网络通信领域,具体地,涉及一种安全认证方法和安全认证设备。
背景技术:
随着近几年媒体对木马案件的一系列报道,标志着当前的“木马经济产业链”已经非常成熟,已经成为不可忽视的全球互联网安全和社会性问题。因此,如何让用户的帐号信息输入更安全,如何防止木马和病毒盗取用户帐号信息成为互联网信息安全的首要问题。
目前,麦当劳这样的大企业在进行web管理各个分店交易时更加关心自己各个区域门店的身份账号安全问题。它作为当今全球最大的连锁快餐企业,在世界大约拥有3万间分店,截至2016年的统计数据显示,麦当劳在中国的门店数量约为2000家。麦当劳如何对这些分店进行统一有效的规范化管理以及保护各个麦当劳分店账户的安全是摆在麦当劳管理的一道难题。
技术实现要素:
本发明的目的是提供一种安全认证方法和安全认证设备,该方法利用服务器/客户端架构,采用两种部署运行模式,即所述服务器与所述客户端在同一或不同机器运行,所述针对用户实际情况,结合已设置了用户门店编号的usbkey,进行身份认证登录,提高交易使用安全性,使用户实现安全规范的统一的管理模式。
为了实现上述目的,本发明提供一种安全认证方法,该方法包括:生成随机数,并发送该随机数至usbkey;接收来自所述usbkey对所述随机数进行签名之后生成的签名数据,并校验所述签名数据是否正确;若所述签名数据正确,则校验所述usbkey内的证书是否有效;若所述证书有效,则获取证书中门店编号并验证所述门店编号是否与所存储的门店编号一致;以及若所述门店编号与所存储的门店编号一致则认证成功。
可选地,该方法还包括:系统初始化,用于绑定门店编号、客户端或服务器的硬件特征值以及usbkey。
可选地,所述系统初始化包括:获取所述硬件特征值及所述门店编号,并将所述硬件特征值及门店编号传入至usbkey;在所述usbkey验证所述门店编号与所述usbkey证书信息一致的情况下,验证所述硬件特征值及门店编号与所述usbkey的绑定状态;以及若所述绑定状态为验证成功则输出绑定成功;若所述绑定状态为未绑定则执行初始化绑定。
可选地,该方法还包括:生成二维码加密串并将所述二维码加密串传到所述usbkey;生成随机数并将所述随机数传给所述usbkey;将机器特征码与所述随机数进行hash运算,生成hash值1并将hash值1传给所述usbkey;以及在所述usbkey将所述hash值1与所述usbkey使用所述随机数与所述usbkey中安全存储的机器特征码进行hash运算的hash值2比较通过以及所述usbkey验证开票数据中门店编号与所述usbkey证书中的门店编号一致后,接收所述usbkey返回的所述usbkey经hash运算加密的二维码加密串。
可选地,所述服务器与所述客户端在同一或不同机器运行。
相应地,本发明还提供了一种安全认证设备,其该设备包括:数据处理装置,用于生成随机数并发送该随机数至usbkey以及接收来自所述usbkey对所述随机数进行签名之后生成的签名数据;以及控制装置,用于执行以下操作:校验所述签名数据是否正确;若所述签名数据正确,则校验所述usbkey内的证书是否有效;若所述证书有效,则获取证书中门店编号并验证所述门店编号是否与所存储的门店编号一致;以及若所述门店编号与所存储的门店编号一致则认证成功。
可选地,该设备还包括:系统初始化装置,用于绑定门店编号、客户端或服务器的硬件特征值以及usbkey。
可选地,所述系统初始化装置执行以下操作:获取所述硬件特征值及所述门店编号,并将所述硬件特征值及门店编号传入至usbkey;在所述usbkey验证所述门店编号与所述usbkey证书信息一致的情况下,验证所述硬件特征值及门店编号与所述usbkey的绑定状态;以及若所述绑定状态为验证成功则输出绑定成功;若所述绑定状态为未绑定则执行初始化绑定。
可选地,该设备还包括:二维码加密串生成装置,用于执行以下操作:生成二维码加密串并将所述二维码加密串传到所述usbkey;生成随机数并将所述随机数传给所述usbkey;将机器特征码与所述随机数进行hash运算,生成hash值1并将hash值1传给所述usbkey;以及在所述usbkey将所述hash值1与所述usbkey使用所述随机数与所述usbkey中安全存储的机器特征码进行hash运算的hash值2比较通过以及所述usbkey验证开票数据中门店编号与所述usbkey证书中的门店编号一致后,接收所述usbkey返回的所述usbkey经hash运算加密的二维码加密串。
可选地,所述服务器与所述客户端在同一或不同机器运行。
通过上述技术方案,采用服务器/客户端架构以及两种不同的部署运行模式,结合用户实际情况以及存储了所述用户的门店编号的usbkey,进行同一身份认证登录,结合usbkey的加密,使交易更安全,所述用户的账户信息更有保障,使用户实现安全规范的统一的管理模式。
本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是本发明实施例一提供的安全认证方法的流程图;
图2是本发明实施例一提供的系统初始化流程图;
图3是本发明实施例二提供的安全认证设备的结构示意图;
图4是本发明实施例三提供的安全认证设备的结构示意图;
图5是本发明实施例四提供的服务器与客户端的一种部署运行模式;以及
图6是本发明实施例五提供的服务器与客户端的另一种部署运行模式。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
图1是本发明实施例一提供的安全认证方法的流程图。如图1所示,该方法包括以下步骤:
步骤s10:开始;
步骤s11:生成随机数并发送该随机数至usbkey;
步骤s12:usbkey生成签名数据,所述usbkey对所述随机数进行签名之后生成签名数据;
步骤s13:校验所述签名数据是否正确;
步骤s14:校验证书是否有效,若所述签名数据正确,则校验所述usbkey内的证书是否有效;
步骤s15:认证出错,若所述签名数据错误,则输出认证错误;
步骤s16:获取证书中门店编号,若所述证书有效,则获取证书中门店编号;
步骤s18:认证错误,若所述证书无效,则输出认证错误;
步骤s17:验证所述门店编号是否与所存储的门店编号一致,若所述门店编号与所存储的门店编号一致则执行步骤s19,若所述门店编号与所存储的门店编号不一致则执行步骤s18;
步骤s19:认证成功;
步骤s20:认证失败,若认证错误则输出认证失败;以及
步骤s21:结束,认证成功与认证失败后结束。
通过上述步骤结合用户实际情况,与存储了用户门店编号的usbkey认证,即检验是否为与所述usbkey证书中身份为同一身份,从而实现同一身份登录。
此外,在该实施例中,所述安全认证方法还可包括系统初始化,用于绑定门店编号、客户端或服务器的硬件特征值以及usbkey。图2是本发明实施例一提供的系统初始化流程图。如图2所示,该系统初始化包括以下步骤:
步骤s200:开始;
步骤s201:获取硬件特征值,即获取客户端或服务器的硬件特征值
步骤s202:获取门店编号;
步骤s203:usbkey验证门店编号与其证书中信息是否一致;若一致则执行步骤s204,若不一致则执行步骤s205;
步骤s204:验证硬件特征值及门店编号与usbkey的绑定状态,即验证所述usbkey证书中的信息与所述硬件特征值及门店编号是否一致;若验证错误则执行步骤206,若验证成功则执行步骤s209,若绑定状态为未绑定则执行步骤s207;
步骤s205:出错提示,即所述usbkey已被绑定;
步骤s206:出错提示,即绑定信息与usbkey信息不一致;
步骤s207:初始化绑定,完成初始化绑定后执行步骤s208;
步骤s209:绑定成功;
步骤s208:绑定是否成功,即验证初始化绑定是否绑定成功;若绑定成功则执行步骤s209,若绑定失败则执行步骤s210;
步骤s210:绑定失败;
步骤s211:结束,执行步骤s209与步骤s210后执行结束。
系统初始化过程使得所述usbkey与门店编号及服务器或客户端的硬件特征值一一对应,从而使得身份认证登录更加的唯一性,即确定同一身份才能登录成功。
另外,在该实施例所提供的安全认证方法中还包括:生成二维码加密串并将所述二维码加密串传到所述usbkey;生成随机数并将所述随机数传给所述usbkey;将机器特征码与所述随机数进行hash运算,生成hash值1并将hash值1传给所述usbkey;以及在所述usbkey将所述hash值1与所述usbkey使用所述随机数与所述usbkey中安全存储的机器特征码进行hash运算的hash值2比较通过以及所述usbkey验证开票数据中门店编号与所述usbkey证书中的门店编号一致后,接收所述usbkey返回的所述usbkey经hash运算加密的二维码加密串。
在该实施例中,所述服务器与所述客户端可在同一或不同机器运行。
本发明还提供了一种安全认证设备,图3是本发明实施例二提供的安全认证设备的结构示意图。如图3所示,该设备包括:数据处理装置30,用于生成随机数并发送该随机数至usbkey以及接收来自所述usbkey对所述随机数进行签名之后生成的签名数据;以及控制装置31,用于执行以下操作:校验所述签名数据是否正确;若所述签名数据正确,则校验所述usbkey内的证书是否有效;若所述证书有效,则获取证书中门店编号并验证所述门店编号是否与所存储的门店编号一致;以及若所述门店编号与所存储的门店编号一致则认证成功。通过验证门店编号与所述usbkey证书中的门店编号是否一致,保证同一身份认证登录。
另外,安全认证设备还可包括系统初始化装置,用于绑定门店编号、客户端或服务器的硬件特征值以及usbkey,也可包括二维码加密串生成装置。图4是本发明实施例三提供的安全认证设备的结构示意图。如图4所示,该安全认证设备包括:系统初始化装置40、数据处理装置41、控制装置42、二维码加密串生成装置43。在所述安全认证设备初次安装工作时,所述系统初始化装置40将所述usbkey与所述门店编号及所述客户端或服务器的硬件特征值绑定,具体执行以下操作:获取所述硬件特征值及所述门店编号,并将所述硬件特征值及门店编号传入至usbkey;在所述usbkey验证所述门店编号与所述usbkey证书信息一致的情况下,验证所述硬件特征值及所述门店编号与所述usbkey的绑定状态;以及若所述绑定状态为验证成功则输出绑定成功;若所述绑定状态为未绑定则执行初始化绑定。所述系统初始化装置40的操作保证所述usbkey与所述门店编号及所述硬件特征值的一一对应,即使所述安全认证设备与所述usbkey同时被恶意攻击者获取或拷贝也无法使用,或者所述usbkey被盗或者丢失也不用担心伪造。所述二维码加密串生成装置43工作在所述安全认证设备工作的过程中,具体执行以下操作:生成二维码加密串并将所述二维码加密串传到所述usbkey;生成随机数并将所述随机数传给所述usbkey;将机器特征码与所述随机数进行hash运算,生成hash值1并将hash值1传给所述usbkey;以及在所述usbkey将所述hash值1与所述usbkey使用所述随机数与所述usbkey中安全存储的机器特征码进行hash运算的hash值2比较通过以及所述usbkey验证开票数据中门店编号与所述usbkey证书中的门店编号一致后,接收所述usbkey返回的所述usbkey经hash运算加密的二维码加密串。当所述安全认证设备获取二维码加密串时,需经过所述usbkey将所述二维码加密串进行加密,若在加密过程中将所述usbkey拔出,则获取所述二维码加密串失败,交易失败,如此保证交易的安全性。
此外,在本发明中,所述服务器与所述客户端在同一或不同机器运行。图5是本发明实施例四提供的服务器与客户端的一种部署运行模式。如图5所示门店服务器50与pos端/客户端53在不同机器运行,安全认证设备的安全认证设备程序51安装在所述门店服务器50上,所述pos端/客户端53有很多个,pos端/客户端531......pos端/客户端53n,安全认证设备客户端安装在pos端/客户端,每个pos端/客户端均对应一个安全认证设备客户端,安全认证设备客户端521......安全认证设备客户端52n。实施例四所提供的这种部署模式满足用户有多个门店时统一管理。图6是本发明实施例五提供的服务器与客户端的另一种部署运行模式。如图6所示,安全认证设备程序61与安全认证设备客户端62安装在同一机器上,即pos端/客户端60。实施例五所提供的这种部署模式满足用户只有一个门店时的管理,也可使用于有多个门店时的管理。
综上所述,通过将服务器或客户端的硬件特征值及门店编号与usbkey绑定实现一一对应,防止安全认证设备和所述usbkey被恶意攻击或拷贝以及所述usbkey被盗或丢失;通过安全认证设备的认证使得用户同一身份登录,保证安全性;二维码加密串加密装置使得交易过程更安全;两种部署运行模式使得用户可根据自身情况实现统一、安全管理。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。