專利名稱:基于usb硬件令牌的認證系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種對關(guān)鍵點實施保護的認證系統(tǒng)���,尤其涉及一種基于 USB硬件令牌的認證系統(tǒng);此外����,本發(fā)明還涉及一種基于USB硬件令牌的
認證方法o
背景技術(shù):
目前,常用的身份認證的流程一般采用先認證身份����,后進行操作的方 式。比如��, 一個用戶登錄游戲時系統(tǒng)會提示用戶輸入用戶名、口令(密碼)�。 登錄一旦成功之后,其余的所有操作都不再需要身份認證�。
這種認證方式的缺點在于 一次認證之后用戶就可以進行多次操作, 但是用戶如果被黑客安裝了木馬�,黑客就可以通過木馬控制用戶的計算機 進行破壞操作。
因此需要在用戶交易的關(guān)鍵點處再次認證用戶身份���,常用的方法是讓 用戶再次輸入用戶名和密碼�����,這個過程仍然可以被黑客控制���,所以需要有 一種讓用戶介入的系統(tǒng),從而保證關(guān)鍵點交易是得到用戶認可的�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種基于USB硬件令牌的認證系統(tǒng),
保證用戶能夠有效參與到系統(tǒng)的認證過程中�����,從而保證關(guān)鍵點交易是得到
用戶認可的�����,以提高認證系統(tǒng)的安全性;為此����,本發(fā)明還提供一種基于USB 硬件令牌的認證方法。
為了解決上述技術(shù)問題����,本發(fā)明提供一種基于USB硬件令牌的認證系
統(tǒng),包括應(yīng)用系統(tǒng)服務(wù)器�、應(yīng)用系統(tǒng)終端��、認證服務(wù)器和認證設(shè)備��;所述
的認證設(shè)備為具有USB接口的硬件令牌�����,該硬件令牌具有指示燈和確認按 鍵����,該指示燈用于提示用戶應(yīng)用系統(tǒng)終端要求進行數(shù)據(jù)交換,該確認按鍵 用于用戶確認硬件令牌和應(yīng)用系統(tǒng)終端的數(shù)據(jù)交換�;所述的應(yīng)用系統(tǒng)服務(wù) 器用于在用戶進行關(guān)鍵操作時激活硬件令牌上的指示燈,提示用戶按下硬 件令牌上的確認按鍵,使硬件令牌進行算法計算�����,并根據(jù)最終由認證服務(wù) 器返回的認證結(jié)果確定用戶的關(guān)鍵操作是否成功���;所述的應(yīng)用系統(tǒng)終端用 于將硬件令牌產(chǎn)生的通過算法計算后的數(shù)據(jù)結(jié)果轉(zhuǎn)發(fā)給應(yīng)用系統(tǒng)服務(wù)器�����; 所述的認證服務(wù)器用于對從應(yīng)用系統(tǒng)服務(wù)器接收到的硬件令牌產(chǎn)生的通 過算法計算后的數(shù)據(jù)結(jié)果進行認證并將認證結(jié)果返回給應(yīng)用系統(tǒng)服務(wù)器�。
所述的每一個認證設(shè)備在應(yīng)用系統(tǒng)服務(wù)器上啟用時與 一用戶名綁定�。
用戶在啟用認證設(shè)備時申請綁定,應(yīng)用系統(tǒng)服務(wù)器設(shè)定一認證期���,對 用戶身份進行認證���。
用戶在啟用認^E設(shè)備時申請綁定,應(yīng)用系統(tǒng)服務(wù)器設(shè)定一確認期����,用 戶須在確認期內(nèi)對該綁定進行確認。
此外���,本發(fā)明還提供一種基于USB硬件令牌的認證方法�����,包括如下步 驟(1)用戶通過用戶名和密碼登錄系統(tǒng)�;(2)在用戶進行關(guān)鍵操作時, 系統(tǒng)檢査該用戶是否綁定了認證設(shè)備��,如果綁定了認證設(shè)備���,應(yīng)用系統(tǒng)服 務(wù)器激活硬件令牌上的指示燈��,提示用戶進行確認���;(3)用戶按下硬件令 牌上的確認按鍵后��,硬件令牌產(chǎn)生通過算法計算后的數(shù)據(jù)結(jié)果�����,用戶通過 應(yīng)用系統(tǒng)終端將該結(jié)果發(fā)送給應(yīng)用系統(tǒng)服務(wù)器����;(4)應(yīng)用系統(tǒng)服務(wù)器將該
結(jié)果轉(zhuǎn)發(fā)給認證服務(wù)器進行認證并將認證結(jié)果返回給應(yīng)用系統(tǒng)服務(wù)器; (5)應(yīng)用系統(tǒng)服務(wù)器根據(jù)認證結(jié)果確定用戶的關(guān)鍵操作是否成功。
步驟(4)中��,所述認證服務(wù)器進行認證具體包括如下情況A.如果 認證設(shè)備處于掛失可以登錄狀態(tài)�����,返回用戶認證成功��;B.如果認證設(shè)備處 于掛失不可以登錄狀態(tài)����,返回用戶認證失敗��;C.如果認證設(shè)備處于停用狀 態(tài)��,則返回設(shè)備停用��;D.如果認證設(shè)備是啟用狀態(tài)�����,并且動態(tài)密碼正確則 返回認證成功�;E.如果認證設(shè)備是啟用狀態(tài),并且動態(tài)密碼返回錯誤�,則 返回認證失敗��。
所述的關(guān)鍵操作是進行交易操作�。
本發(fā)明的有益效果在于:本發(fā)明采用軟件和硬件結(jié)合的方式進行關(guān)鍵 操作的認證�����,保證用戶能夠有效參與到系統(tǒng)的認證過程中����,從而保證關(guān)鍵 點交易是得到用戶認可的,防止了惡意程序?qū)ο到y(tǒng)的隨意破壞���,提高了認 證系統(tǒng)的安全性�。本發(fā)明適用于銀行����、證券、企業(yè)管理和電子商務(wù)等多種 需要登錄認證身份的領(lǐng)域�����,具有適用范圍廣��,操作簡單���,實用性強等優(yōu)點����。
圖1是本發(fā)明基于USB硬件令牌的認證系統(tǒng)的組成示意圖�; 圖2是本發(fā)明認證系統(tǒng)中USB硬件令牌的結(jié)構(gòu)示意圖; 圖3是本發(fā)明基于USB硬件令牌的認證方法的流程圖�。
具體實施例方式
本發(fā)明可以通過軟件和硬件結(jié)合的方式進行關(guān)鍵操作的認證。新的登 錄系統(tǒng)在用戶登錄時只要輸入了正確的用戶名和密碼即可以登錄成功��。但 如果用戶要進行交易之類的關(guān)鍵操作�����,在進行操作時軟件系統(tǒng)激活認證設(shè)
備上的指示燈����,提示用戶進行確認,用戶按下確認按鍵后���,認證設(shè)備通過 算法計算后��,將結(jié)果返回給軟件系統(tǒng)認證�����,軟件系統(tǒng)認證通過后�����,該交易 才可以繼續(xù)進行�����。
如圖1所示��,本發(fā)明的認證系統(tǒng)包括應(yīng)用系統(tǒng)服務(wù)器��,應(yīng)用系統(tǒng)終端���, 認證服務(wù)器���,認證設(shè)備。在用戶進行關(guān)鍵操作時�,應(yīng)用系統(tǒng)服務(wù)器激活認 證設(shè)備上的指示燈,提示用戶進行確認���,用戶按下認證設(shè)備上的確認按鍵 后,認證設(shè)備產(chǎn)生通過算法計算后的數(shù)據(jù)結(jié)果�,用戶通過應(yīng)用系統(tǒng)終端將 該結(jié)果發(fā)送給應(yīng)用系統(tǒng)服務(wù)器���,應(yīng)用系統(tǒng)服務(wù)器將該結(jié)果轉(zhuǎn)發(fā)給認證服務(wù) 器,認證服務(wù)器對該結(jié)果進行認證并將認證結(jié)果返回給應(yīng)用系統(tǒng)服務(wù)器����, 應(yīng)用系統(tǒng)服務(wù)器根據(jù)認證結(jié)果確定用戶的關(guān)鍵操作是否成功。其中���,每一 個認證設(shè)備在應(yīng)用系統(tǒng)服務(wù)器上啟用時與一用戶名綁定�����。用戶在啟用認證 設(shè)備時申請綁定����,應(yīng)用系統(tǒng)服務(wù)器可以設(shè)定一認證期���,對用戶身份進行認 證�,應(yīng)用系統(tǒng)服務(wù)器還可以設(shè)定一確認期�����,用戶須在確認期內(nèi)對該綁定進 行確認����。
本發(fā)明的認證設(shè)備采用具有USB接口的硬件令牌���,如圖2所示,該硬 件令牌包括USB微控制器���、晶體�、算法協(xié)處理器����、數(shù)據(jù)存儲器、指示燈和 確認按鍵�����;晶體�����、算法協(xié)處理器����、數(shù)據(jù)存儲器、指示燈和確認按鍵分別與 USB微控制器相連;USB微控制器用于實現(xiàn)安全密碼算法并通過USB接口 與應(yīng)用終端進行數(shù)據(jù)交換��;算法協(xié)處理器用于進行復雜的算法運算���;數(shù)據(jù) 存儲器用于保存安全密鑰和數(shù)據(jù);指示燈用于提示用戶應(yīng)用系統(tǒng)終端要求 進行數(shù)據(jù)交換;確認按鍵用于用戶確認USB微控制器和應(yīng)用系統(tǒng)終端的數(shù) 據(jù)交換。
如圖3所示����,本發(fā)明基于USB硬件令牌的認證方法,包括如下步驟:
1. 用戶通過用戶名和靜態(tài)密碼登錄系統(tǒng)�。
2. 用戶進行關(guān)鍵(比如交易)操作(激活關(guān)鍵應(yīng)用),系統(tǒng)檢査該用 戶是否綁定了認證設(shè)備���,如果綁定了認證設(shè)備���,應(yīng)用系統(tǒng)服務(wù)器激活認證 設(shè)備上的指示燈,提示用戶按下認證設(shè)備的確認按鍵�����。
3. 用戶按下認證設(shè)備的確認按鍵后�����,認證設(shè)備產(chǎn)生通過算法計算后的 數(shù)據(jù)結(jié)果,用戶通過應(yīng)用系統(tǒng)終端將該結(jié)果發(fā)送給應(yīng)用系統(tǒng)服務(wù)器��,應(yīng)用 系統(tǒng)服務(wù)器將該結(jié)果轉(zhuǎn)發(fā)給認證服務(wù)器�����。
4. 認證服務(wù)器進行認證����,并將認證結(jié)果返回給應(yīng)用系統(tǒng)服務(wù)器。認證 服務(wù)器進行認證具體包括如下情況:A.如果用戶的認證設(shè)備處于掛失可以 登錄狀態(tài)��,返回用戶認證成功��;B.如果用戶的認證設(shè)備處于掛失不可以登 錄狀態(tài)����,返回用戶認證失敗����;C.如果用戶的認證設(shè)備處于停用狀態(tài),則返 回設(shè)備停用����;D.如果用戶的認證設(shè)備是啟用狀態(tài)��,并且動態(tài)密碼正確則返 回認證成功;E.如果用戶的認證設(shè)備是啟用狀態(tài)����,并且動態(tài)密碼返回錯誤���, 則返回認證失敗。
5. 應(yīng)用系統(tǒng)服務(wù)器根據(jù)認證服務(wù)器返回的認證結(jié)果��,決定用戶的關(guān)鍵 操作是否成功����。如果認證失敗,則用戶的關(guān)鍵操作失?��?��;如果認證成功, 則用戶的關(guān)鍵操作成功���。
以下是對認證過程中使用狀態(tài)的說明
1. 啟用用戶到網(wǎng)站上輸入用戶名�,身份證號����,電話�����,住址等資料, 用于用戶的售后服務(wù)��。
2. 綁定操作 一個帳號(用戶名)只有和認證設(shè)備進行了綁定�����,用戶
的關(guān)鍵操作才會被保護��。
3. 解除綁定 一個帳號(用戶名)和認證設(shè)備被解除綁定之后�����,用戶 的關(guān)鍵操作不再受保護���。
4. 掛失如果用戶遺失硬件令牌,可以向系統(tǒng)申請掛失�����,掛失有兩種 方式��,掛失可以登錄和掛失不能登錄。掛失可以登錄是用戶以后的操作不 再使用動態(tài)密碼�����。掛失不可以登錄是以后用戶不允許登錄��。
5. 解除掛失用戶可以到網(wǎng)站上對認證設(shè)備進行解除掛失操作�。該操 作只能針對已經(jīng)掛失的認證設(shè)備。
6. 停用用戶可以到網(wǎng)站上停用認證設(shè)備��。如果該認證設(shè)備還綁定著 帳號���,則認證設(shè)備停用之后該帳號不再受認證設(shè)備的保護。
本發(fā)明采用的認證方法可以是PKI (Public Key Infrastructure, 公鑰基礎(chǔ)設(shè)施)模式����、時間同步的動態(tài)密碼模式,或者是挑戰(zhàn)應(yīng)答機制等 各種根據(jù)認證設(shè)備的不同算法而形成的其它模式�����。下面以采用動態(tài)密碼模 式為例����,說明基于USB的硬件令牌產(chǎn)生動態(tài)密碼的認證過程
1. 在啟用硬件令牌時�����,用戶訪問應(yīng)用系統(tǒng)服務(wù)器��,輸入用戶名�����、靜態(tài) 密碼���、硬件令牌的產(chǎn)品序列號,申請將用戶名和硬件令牌進行綁定�����;系統(tǒng) 可以設(shè)置一個認證期和一個確認期��,認證期和確認期的長短可以任意設(shè) 定����, 一般設(shè)置成用戶登錄服務(wù)器的周期,約6天左右�。設(shè)置確認期的目的 是為了防止惡意綁定。
2. 用戶通過用戶名和靜態(tài)密碼登錄系統(tǒng)��。
3. 用戶進行關(guān)鍵(比如交易)操作,系統(tǒng)檢査該用戶是否綁定了硬件 令牌��,如果綁定了硬件令牌����,應(yīng)用系統(tǒng)服務(wù)器激活硬件令牌上的指示燈,提示用戶按下硬件令牌的確認按鍵。
4. 用戶按下認證設(shè)備的確認按鍵后��,硬件令牌產(chǎn)生一個動態(tài)密碼���,用
戶通過應(yīng)用系統(tǒng)終端將該動態(tài)密碼發(fā)送給應(yīng)用系統(tǒng)服務(wù)器��,應(yīng)用系統(tǒng)服務(wù) 器將該動態(tài)密碼轉(zhuǎn)發(fā)給認證服務(wù)器�。
5. 認證服務(wù)器進行認證�,根據(jù)由用戶身份確定的秘密數(shù)據(jù)計算出認證 密碼��,將該認證密碼與認證服務(wù)器接收到的動態(tài)密碼進行比較�����,得出認證 結(jié)果����,并將認證結(jié)果返回給應(yīng)用系統(tǒng)服務(wù)器���。
6.應(yīng)用系統(tǒng)服務(wù)器根據(jù)認證服務(wù)器返回的認證結(jié)果,決定用戶的關(guān)鍵 操作是否成功��。如果動態(tài)密碼與認證密碼不同����,認證失敗,則用戶的關(guān)鍵 操作失?。蝗绻麆討B(tài)密碼與認證密碼一致�����,認證成功���,則用戶的關(guān)鍵操作 成功�。
權(quán)利要求
1. 一種基于USB硬件令牌的認證系統(tǒng)�����,其特征在于�����,包括應(yīng)用系統(tǒng)服務(wù)器、應(yīng)用系統(tǒng)終端��、認證服務(wù)器和認證設(shè)備�;所述的認證設(shè)備為具有USB接口的硬件令牌,該硬件令牌具有指示燈和確認按鍵��,該指示燈用于提示用戶應(yīng)用系統(tǒng)終端要求進行數(shù)據(jù)交換����,該確認按鍵用于用戶確認硬件令牌和應(yīng)用系統(tǒng)終端的數(shù)據(jù)交換;所述的應(yīng)用系統(tǒng)服務(wù)器用于在用戶進行關(guān)鍵操作時激活硬件令牌上的指示燈����,提示用戶按下硬件令牌上的確認按鍵,使硬件令牌進行算法計算���,并根據(jù)最終由認證服務(wù)器返回的認證結(jié)果確定用戶的關(guān)鍵操作是否成功����;所述的應(yīng)用系統(tǒng)終端用于將硬件令牌產(chǎn)生的通過算法計算后的數(shù)據(jù)結(jié)果轉(zhuǎn)發(fā)給應(yīng)用系統(tǒng)服務(wù)器�����;所述的認證服務(wù)器用于對從應(yīng)用系統(tǒng)服務(wù)器接收到的硬件令牌產(chǎn)生的通過算法計算后的數(shù)據(jù)結(jié)果進行認證并將認證結(jié)果返回給應(yīng)用系統(tǒng)服務(wù)器���。
2. 根據(jù)權(quán)利要求1所述的基于USB硬件令牌的認證系統(tǒng)���,其特征在于 所述的每一個認證設(shè)備在應(yīng)用系統(tǒng)服務(wù)器上啟用時與一用戶名綁定。
3. 根據(jù)權(quán)利要求2所述的基于USB硬件令牌的認證系統(tǒng)�����,其特征在于 用戶在啟用認證設(shè)備時申請綁定�����,應(yīng)用系統(tǒng)服務(wù)器設(shè)定一認證期�����,對用戶 身份進行認證����。
4. 根據(jù)權(quán)利要求2所述的基于USB硬件令牌的認證系統(tǒng),其特征在于 用戶在啟用認證設(shè)備時申請綁定��,應(yīng)用系統(tǒng)服務(wù)器設(shè)定一確認期����,用戶須 在確認期內(nèi)對該綁定進行確認�。
5. 根據(jù)權(quán)利要求1所述的基于USB硬件令牌的認證系統(tǒng)�����,其特征在于 所述的關(guān)鍵操作是進行交易操作�����。
6. —種基于USB硬件令牌的認證方法���,其特征在于包括如下步驟: (1)用戶通過用戶名和密碼登錄系統(tǒng)��;(2)在用戶進行關(guān)鍵操作時���,系統(tǒng)檢査該用戶是否綁定了認證設(shè)備,如果綁定了認證設(shè)備�����,應(yīng)用系統(tǒng)服務(wù) 器激活硬件令牌上的指示燈���,提示用戶進行確認��;(3)用戶按下硬件令牌 上的確認按鍵后�����,硬件令牌產(chǎn)生通過算法計算后的數(shù)據(jù)結(jié)果����,用戶通過應(yīng) 用系統(tǒng)終端將該結(jié)果發(fā)送給應(yīng)用系統(tǒng)服務(wù)器�;(4)應(yīng)用系統(tǒng)服務(wù)器將該結(jié) 果轉(zhuǎn)發(fā)給認證服務(wù)器進行認證并將認證結(jié)果返回給應(yīng)用系統(tǒng)服務(wù)器;(5) 應(yīng)用系統(tǒng)服務(wù)器根據(jù)認證結(jié)果確定用戶的關(guān)鍵操作是否成功����。
7. 根據(jù)權(quán)利要求6所述的基于USB硬件令牌的認證方法,其特征在于 步驟(4)中����,所述認證服務(wù)器進行認證具體包括如下情況A.如果認證 設(shè)備處于掛失可以登錄狀態(tài),返回用戶認證成功�;B.如果認證設(shè)備處于掛 失不可以登錄狀態(tài),返回用戶認證失?����?���;C.如果認證設(shè)備處于停用狀態(tài)���, 則返回設(shè)備停用;D.如果認^E設(shè)備是啟用狀態(tài)���,并且動態(tài)密碼正確則返回 認證成功��;E.如果認證設(shè)備是啟用狀態(tài)�����,并且動態(tài)密碼返回錯誤����,則返回 認證失敗��。
8. 根據(jù)權(quán)利要求6所述的基于USB硬件令牌的認證系統(tǒng),其特征在于 所述的關(guān)鍵操作是進行交易操作。
全文摘要
本發(fā)明公開了一種基于USB硬件令牌的認證系統(tǒng)�,包括應(yīng)用系統(tǒng)服務(wù)器���、應(yīng)用系統(tǒng)終端、認證服務(wù)器和認證設(shè)備���;所述的認證設(shè)備為具有USB接口的硬件令牌�����,該硬件令牌具有指示燈和確認按鍵��。在用戶進行關(guān)鍵操作時��,應(yīng)用系統(tǒng)服務(wù)器激活硬件令牌上的指示燈��,提示用戶進行確認�����;用戶按下硬件令牌上的確認按鍵后�,硬件令牌通過算法計算后將結(jié)果轉(zhuǎn)給認證服務(wù)器進行認證��,應(yīng)用系統(tǒng)服務(wù)器根據(jù)認證結(jié)果確定用戶的關(guān)鍵操作是否成功�����。此外��,本發(fā)明還公開了一種基于USB硬件令牌的認證方法���。本發(fā)明能保證用戶能夠有效參與到系統(tǒng)的認證過程中�,從而保證關(guān)鍵點交易是得到用戶認可的,以提高認證系統(tǒng)的安全性�。
文檔編號G07F19/00GK101394276SQ20071009409
公開日2009年3月25日 申請日期2007年9月21日 優(yōu)先權(quán)日2007年9月21日
發(fā)明者朱繼盛, 杜江杰, 王寶驥, 強 肖, 勇 蔣 申請人:上海盛大網(wǎng)絡(luò)發(fā)展有限公司