專利名稱:一種網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)及其方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計(jì)算機(jī)與網(wǎng)絡(luò)信息安全領(lǐng)域���,涉及一種網(wǎng)絡(luò)身份認(rèn)證系統(tǒng)及其方法,具體地說�,涉及一種網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)及其方法。
背景技術(shù):
目前現(xiàn)有的身份認(rèn)證產(chǎn)品有USB Key����,USB令牌�����、RSA SecurID身份認(rèn)證令牌和Smart Cardsand USB Authenticators��,SafeNet的iKey系列���,Smart Key,Datakey���,Gemplus智能卡���,飛天誠信的Epass身份認(rèn)證鎖等。其中最常用的是RSA SecurID身份認(rèn)證令牌及SafeNet的iKey系列�。
其中,RSA SecurID身份認(rèn)證令牌采用動(dòng)態(tài)密碼系統(tǒng)���,其由用戶端的密碼令牌和應(yīng)用系統(tǒng)端的認(rèn)證服務(wù)器組成����。認(rèn)證服務(wù)器是整個(gè)系統(tǒng)的核心部分,與應(yīng)用系統(tǒng)服務(wù)器通過局域網(wǎng)相連�����,對所有上網(wǎng)用戶進(jìn)行身份認(rèn)證��。用戶登錄應(yīng)用系統(tǒng)時(shí)��,依據(jù)安全算法�����,認(rèn)證系統(tǒng)會(huì)在密碼令牌的專用芯片和認(rèn)證服務(wù)器上同時(shí)生成動(dòng)態(tài)密碼����,經(jīng)過比較�����,若雙方密碼相同����,則為合法用戶,否則為非法用戶����。動(dòng)態(tài)密碼每分鐘變化一次��。用戶登錄時(shí)�,只要根據(jù)令牌上顯示的當(dāng)前動(dòng)態(tài)密碼�,再加上一個(gè)個(gè)人識(shí)別碼登錄即可。但RSA SecurID身份認(rèn)證令牌也存在如下的缺陷1�、需要保持令牌與服務(wù)器端的時(shí)鐘同步。如果令牌與服務(wù)器端的時(shí)鐘源稍有偏差而不能保持良好的同步����,當(dāng)累計(jì)偏差大到預(yù)設(shè)值(典型為60秒)就會(huì)發(fā)生合法用戶無法登錄的問題。由于令牌和服務(wù)器間沒有通信渠道�,無法定期自動(dòng)同步,需要在服務(wù)端登錄人工校正�����。而通常消費(fèi)級(jí)別的時(shí)鐘與標(biāo)準(zhǔn)時(shí)鐘的偏差每個(gè)月達(dá)到幾秒到十幾秒是非常普遍的允許誤差分布�。
2、并且用戶每次登錄時(shí)需要通過鍵盤輸入一長串無規(guī)律的隨機(jī)數(shù)字����,一旦輸錯(cuò)就要重新操作。而且在臨近動(dòng)態(tài)密碼變化的時(shí)間點(diǎn)操作時(shí)特別容易因時(shí)鐘沒對齊或網(wǎng)絡(luò)延遲而被拒絕登錄�����,使用起來非常不方便。
3���、由于在用戶登錄后一定的時(shí)間窗口內(nèi)密碼繼續(xù)有效��,所以就有黑客利用木馬軟件等手段跟蹤記錄并在該時(shí)間窗口內(nèi)用該密碼登錄的危險(xiǎn)。該危險(xiǎn)已被國外專家明確指出���。
以SafeNet的iKey系列為代表的USB令牌���,所采用的身份認(rèn)證方法一般為1、服務(wù)器或客戶端取得隨機(jī)數(shù)���,并將之發(fā)給對方����。
2���、取出各自存儲(chǔ)的算法因子����。
3、對這兩個(gè)數(shù)進(jìn)行運(yùn)算�����。
4����、看運(yùn)算結(jié)果是否一致。如果一致����,說明兩端的算法因子是一致的(因?yàn)殡S機(jī)數(shù)是共用的,影響結(jié)果的只能是算法因子)��。進(jìn)而推出客戶端的算法因子是約定的數(shù)---客戶是合法的用戶�����。
但上述認(rèn)證方法存在如下缺陷◆加密解密本身的任務(wù)調(diào)用��、運(yùn)算�����、中間結(jié)果的存放�����、結(jié)果檢驗(yàn)、密文合成或分解并不是都在iKey內(nèi)完成���,需要客戶端應(yīng)用軟件參與���。
◆iKey的配置等可以在客戶端上用商家的軟件直接操作,存在黑客攻破商家軟件而引起的種種危險(xiǎn)���。
◆對于iKey中只做了一層哈虛算法加密,沒有采用動(dòng)態(tài)加密��。假設(shè)黑客多次用客戶端上的木馬軟件跟蹤服務(wù)器發(fā)的隨機(jī)數(shù)和iKey回發(fā)的結(jié)果(即明文和密文)���,比較容易破解算法因子等而獲得非法接入的手段����。
其他USB KEY技術(shù)���,大多已經(jīng)在裝置中部分或全部實(shí)施散列算法�、公開密鑰算法���、隨機(jī)數(shù)生成�����、對稱密鑰算法�����。但加解密過程的調(diào)用���、明文����、密文的分解合成�����、結(jié)果校驗(yàn)�����、算法選擇和參數(shù)配置等都會(huì)部分或全部涉及客戶端軟件參與���。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)及其方法��,其在使用便捷的前提下能有效防止黑客繞過加密認(rèn)證而非法進(jìn)入用戶帳號(hào)��。
為了解決上述技術(shù)問題���,本發(fā)明所采用的技術(shù)方案是首先提供一種網(wǎng)絡(luò)帳號(hào)防盜方法�����,包括如下步驟a����、在客戶端連接擁有唯一序列號(hào)的外接網(wǎng)絡(luò)賬號(hào)防盜裝置�����;b�、外接網(wǎng)絡(luò)賬號(hào)防盜裝置采用公開密鑰算法和動(dòng)態(tài)加密算法結(jié)合的方法(可以先公開密鑰算法加密��,也可以先動(dòng)態(tài)加密)����,將賬號(hào)校驗(yàn)信息(如賬號(hào)用戶密碼、網(wǎng)絡(luò)賬號(hào)防盜裝置的序列號(hào)等���,所述的帳號(hào)用戶密碼一般為賬號(hào)用戶的高強(qiáng)度密碼或二級(jí)密碼)生成向服務(wù)器請求登錄的賬號(hào)校驗(yàn)信息密文����;c、網(wǎng)絡(luò)賬號(hào)防盜裝置將請求登錄的賬號(hào)校驗(yàn)信息密文與帳號(hào)等信息通過客戶端在網(wǎng)絡(luò)上傳給應(yīng)用服務(wù)器�����;d�、應(yīng)用服務(wù)器將來自外接網(wǎng)絡(luò)賬號(hào)防盜裝置的請求登錄的賬號(hào)校驗(yàn)信息密文經(jīng)過公開密鑰算法解密和動(dòng)態(tài)解密(兩種算法的數(shù)據(jù)處理次序與防盜裝置中的數(shù)據(jù)處理次序?qū)?yīng)),核查賬號(hào)校驗(yàn)信息(賬號(hào)用戶密碼��、序列號(hào)等���,所述的帳號(hào)用戶密碼一般為賬號(hào)用戶的高強(qiáng)度密碼或二級(jí)密碼)�;e�、應(yīng)用服務(wù)器查驗(yàn)所有信息是否無誤,無誤則允許接入�,有誤則停止接入。
加密解密本身的任務(wù)調(diào)用��、運(yùn)算��、中間結(jié)果的存放���、結(jié)果檢驗(yàn)�、明文和密文的合成或分解,完全在用戶的外接網(wǎng)絡(luò)賬號(hào)防盜裝置內(nèi)部進(jìn)行�。
進(jìn)一步地,本發(fā)明還包括如下定時(shí)確認(rèn)有效在線的方法�����,包括如下步驟應(yīng)用服務(wù)器定時(shí)發(fā)送經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密的校驗(yàn)握手信號(hào)����;外接網(wǎng)絡(luò)賬號(hào)防盜裝置將校驗(yàn)握手信號(hào)解密核實(shí);網(wǎng)絡(luò)賬號(hào)防盜裝置生成經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密生成握手應(yīng)答密文�;外接網(wǎng)絡(luò)賬號(hào)防盜裝置將握手應(yīng)答密文和賬號(hào)等通過客戶端在網(wǎng)絡(luò)上傳給應(yīng)用服務(wù)器;應(yīng)用服務(wù)器將握手應(yīng)答密文經(jīng)過公開密鑰算法解密和動(dòng)態(tài)解密�����;應(yīng)用服務(wù)器查驗(yàn)所有信息是否無誤����,無誤則繼續(xù)服務(wù)�,有誤則停止已接入的應(yīng)用服務(wù)。
進(jìn)一步地����,本發(fā)明的網(wǎng)絡(luò)帳號(hào)防盜方法還包括服務(wù)退出的方法�,包括如下步驟當(dāng)需要退出客戶端應(yīng)用登錄時(shí)����,客戶端發(fā)出退出服務(wù)請求給應(yīng)用服務(wù)器,應(yīng)用服務(wù)器停止所接入的服務(wù)�����;客戶端提示用戶取走外接網(wǎng)絡(luò)賬號(hào)防盜裝置����。
進(jìn)一步地,本發(fā)明的網(wǎng)絡(luò)帳號(hào)防盜方法還包括動(dòng)態(tài)加解密電路同步調(diào)整的方法��,具體為網(wǎng)絡(luò)認(rèn)證服務(wù)器或應(yīng)用服務(wù)器�����,發(fā)送同步調(diào)整信號(hào)(通過網(wǎng)絡(luò)以公開密鑰算法密文方式傳輸)給外接網(wǎng)絡(luò)賬號(hào)防盜裝置���,從而觸發(fā)第一隨機(jī)序列發(fā)生器和第二隨機(jī)序列發(fā)生器作同步調(diào)整(例如����,在同步點(diǎn)狀態(tài)復(fù)位),以保持與網(wǎng)絡(luò)認(rèn)證管理服務(wù)器或應(yīng)用服務(wù)器的隨機(jī)序列同步(即隨機(jī)序列發(fā)生器所處狀態(tài)一致�,如都為初始狀態(tài))。
進(jìn)一步地����,本發(fā)明的網(wǎng)絡(luò)帳號(hào)防盜方法還包括多應(yīng)用、多賬號(hào)簡便登錄的方法�����,包括如下步驟調(diào)用客戶端應(yīng)用登錄程序�����;客戶端登錄程序發(fā)送對應(yīng)當(dāng)前登錄應(yīng)用的應(yīng)用服務(wù)代碼或特征字到外接網(wǎng)絡(luò)帳號(hào)防盜裝置����;外接網(wǎng)絡(luò)帳號(hào)防盜裝置將內(nèi)部存儲(chǔ)的該應(yīng)用服務(wù)代碼或特征字下的所有帳號(hào)發(fā)送給客戶端;客戶端登錄程序顯示從外接網(wǎng)絡(luò)帳號(hào)防盜裝置接收的所有帳號(hào)供用戶選擇���,如果只有一個(gè)���,則自動(dòng)選定�����;
用戶在客戶端選擇登錄賬號(hào),輸入登錄密碼���;客戶端登錄程序?qū)⑺x賬號(hào)信息�、登錄密碼發(fā)送到外接網(wǎng)絡(luò)帳號(hào)防盜裝置��;外接網(wǎng)絡(luò)帳號(hào)防盜裝置檢查客戶端發(fā)來的賬號(hào)信息和登錄密碼是否無誤�����,如果有誤則停止登陸���,如果無誤��,則繼續(xù)步驟b�。
所述的登陸密碼可以是外接網(wǎng)絡(luò)帳號(hào)防盜裝置的主人密碼或用戶較易記憶的初級(jí)密碼�。
進(jìn)一步地,在所述外接網(wǎng)絡(luò)帳號(hào)防盜裝置中存儲(chǔ)多個(gè)應(yīng)用服務(wù)代碼或特征字����,并允許其中部分或全部應(yīng)用服務(wù)代碼或特征字在該外接網(wǎng)絡(luò)帳號(hào)防盜裝置出售或頒發(fā)給網(wǎng)絡(luò)賬號(hào)各用戶時(shí)尚未綁定任何應(yīng)用服務(wù),在該外接網(wǎng)絡(luò)賬號(hào)防盜裝置出售或頒發(fā)給網(wǎng)絡(luò)賬號(hào)各用戶后,在不需更改核心機(jī)密數(shù)據(jù)區(qū)的情況下��,追加綁定應(yīng)用服務(wù)���。
所述網(wǎng)絡(luò)認(rèn)證服務(wù)器或應(yīng)用服務(wù)器發(fā)送經(jīng)過加密的同步調(diào)整信號(hào)給外接網(wǎng)絡(luò)帳號(hào)防盜裝置��,外接網(wǎng)絡(luò)帳號(hào)防盜裝置收到后��,觸發(fā)第一隨機(jī)序列發(fā)生器或第二隨機(jī)序列發(fā)生器作同步調(diào)整�����。
同時(shí)��,本發(fā)明還提供一種網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)���,包括客戶端;及外接網(wǎng)絡(luò)帳號(hào)防盜裝置��,與客戶端相連接���,用于將賬號(hào)校驗(yàn)信息等經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密后生成向服務(wù)器請求登錄的賬號(hào)校驗(yàn)信息密文�;將請求登錄的賬號(hào)校驗(yàn)信息密文和帳號(hào)等通過客戶端在網(wǎng)絡(luò)上傳給應(yīng)用服務(wù)器�����;所述每個(gè)外接網(wǎng)絡(luò)帳號(hào)防盜裝置均擁有唯一的序列號(hào),且內(nèi)部設(shè)有任何模式下客戶端都無法訪問的核心機(jī)密數(shù)據(jù)區(qū)�。
應(yīng)用服務(wù)器��,其將外接網(wǎng)絡(luò)帳號(hào)防盜裝置請求登錄的賬號(hào)校驗(yàn)信息密文經(jīng)過公開密鑰算法解密和動(dòng)態(tài)解密��,核查賬號(hào)校驗(yàn)信息��,查驗(yàn)所有信息是否無誤����,無誤則允許接入,有誤則停止接入��;專用編程設(shè)備����,用于在通過安全握手通訊協(xié)議檢查后,對外接網(wǎng)絡(luò)賬號(hào)防盜裝置內(nèi)的非易失性存儲(chǔ)器中的核心機(jī)密數(shù)據(jù)區(qū)及其他區(qū)域進(jìn)行編程���。
網(wǎng)絡(luò)認(rèn)證服務(wù)器�����,可以用于提供同步調(diào)整和其他賬號(hào)防盜系統(tǒng)管理服務(wù)���。
進(jìn)一步地�,所述的外接網(wǎng)絡(luò)帳號(hào)防盜裝置包括第一隨機(jī)序列發(fā)生器�,用于產(chǎn)生可配置的隨機(jī)序列;非易失性存儲(chǔ)器����,用于存儲(chǔ)序列號(hào)、帳號(hào)信息��、賬號(hào)的用戶密碼(一般為賬號(hào)用戶的高強(qiáng)度密碼或二級(jí)密碼)����、本地公鑰、私鑰�、隨機(jī)序列的系數(shù)因子等信息;動(dòng)態(tài)加密電路�,對第一隨機(jī)序列發(fā)生器產(chǎn)生的隨機(jī)序列、非易失性存儲(chǔ)器中儲(chǔ)存的賬號(hào)校驗(yàn)信息和賬戶信息進(jìn)行動(dòng)態(tài)加密�;公開密鑰算法加密電路、將上述動(dòng)態(tài)加密后的信息再進(jìn)行公開密鑰算法加密�����;
控制單元,主要用于調(diào)用相關(guān)信息合成賬號(hào)校驗(yàn)信息�����,加密運(yùn)算調(diào)用���,配置第一隨機(jī)序列發(fā)生器��,根據(jù)解密后的同步信號(hào)對第一隨機(jī)序列發(fā)生器作同步調(diào)整,和客戶端通過外圍接口通訊��。
第二隨機(jī)序列發(fā)生器���,用于產(chǎn)生可配置的隨機(jī)序列�����;公開密鑰算法解密電路�����,用非易失性存儲(chǔ)器中儲(chǔ)存的私鑰對應(yīng)用服務(wù)器定時(shí)發(fā)送的經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密的校驗(yàn)握手信號(hào)進(jìn)行公開密鑰算法解密�;動(dòng)態(tài)解密電路����,對上述經(jīng)公開密鑰算法解密的信息再用第二隨機(jī)序列發(fā)生器產(chǎn)生的隨機(jī)序列動(dòng)態(tài)解密�;所述的控制單元����,主要用于解密運(yùn)算調(diào)用,配置第二隨機(jī)序列發(fā)生器等�,核實(shí)應(yīng)用服務(wù)器定時(shí)發(fā)送的信號(hào)經(jīng)解密后所含的序列號(hào)與非易失性存儲(chǔ)器中存儲(chǔ)的序列號(hào)是否一致,根據(jù)解密后的同步信號(hào)對第二隨機(jī)序列發(fā)生器作同步調(diào)整�����,和客戶端通過外圍接口通訊�����。
相應(yīng)地��,所述的網(wǎng)絡(luò)賬號(hào)防盜裝置也可以包括第一隨機(jī)序列發(fā)生器�,用于產(chǎn)生可配置的隨機(jī)序列;非易失性存儲(chǔ)器���,用于存儲(chǔ)序列號(hào)�、帳號(hào)信息��、賬號(hào)的用戶密碼(一般為賬號(hào)用戶的高強(qiáng)度密碼或二級(jí)密碼)、本地公鑰�����、私鑰����、隨機(jī)序列的系數(shù)因子等信息;公開密鑰算法加密電路��,對非易失性存儲(chǔ)器中儲(chǔ)存的賬號(hào)校驗(yàn)信息和賬戶信息進(jìn)行公開密鑰算法加密���;動(dòng)態(tài)加密電路,對上述公開密鑰算法加密結(jié)果用第一隨機(jī)序列發(fā)生器產(chǎn)生的隨機(jī)序列進(jìn)行動(dòng)態(tài)加密�;控制單元,主要用于調(diào)用相關(guān)信息合成賬號(hào)校驗(yàn)信息����,加密運(yùn)算調(diào)用,配置第一隨機(jī)序列發(fā)生器�,根據(jù)解密后的同步信號(hào)對第一隨機(jī)序列發(fā)生器作同步調(diào)整,和客戶端通過外圍接口通訊�。
第二隨機(jī)序列發(fā)生器,用于產(chǎn)生可配置的隨機(jī)序列���;動(dòng)態(tài)解密電路�,用第二隨機(jī)序列發(fā)生器產(chǎn)生的隨機(jī)序列對應(yīng)用服務(wù)器定時(shí)發(fā)送的經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密的校驗(yàn)握手信號(hào)進(jìn)行動(dòng)態(tài)解密;公開密鑰算法解密電路�,用非易失性存儲(chǔ)器中儲(chǔ)存的私鑰對上述經(jīng)動(dòng)態(tài)解密的信息進(jìn)行公開密鑰算法解密;所述的控制單元��,主要用于解密運(yùn)算調(diào)用��,配置第二隨機(jī)序列發(fā)生器等��,核實(shí)應(yīng)用服務(wù)器定時(shí)發(fā)送的信號(hào)經(jīng)解密后所含的序列號(hào)與非易失性存儲(chǔ)器中存儲(chǔ)的序列號(hào)是否一致��,根據(jù)來自應(yīng)用服務(wù)器的解密后的同步信號(hào)同步第二隨機(jī)序列發(fā)生器�����,和客戶端通過外圍接口通訊等�����。
進(jìn)一步地����,所述的外接網(wǎng)絡(luò)帳號(hào)防盜裝置還包括振蕩器和鎖相環(huán),其用于產(chǎn)生所需的各個(gè)頻率的時(shí)鐘信號(hào);存儲(chǔ)器�����,用于存放中間數(shù)據(jù)����,配合控制單元工作;通路選擇器�����,用于選擇不同的接口控制電路與客戶端通信���。
所述的網(wǎng)絡(luò)賬號(hào)防盜裝置還可以包括與編程設(shè)備連接的編程外圍接口���,該接口需要通訊協(xié)議與編程設(shè)備驗(yàn)證握手認(rèn)證后才能激活����;所述的核心機(jī)密數(shù)據(jù)區(qū)設(shè)于非易失性存儲(chǔ)器內(nèi),用于存放私鑰���、序列號(hào)等不允許在編程設(shè)備以外的外部設(shè)備訪問的核心機(jī)密數(shù)據(jù)�;所述的控制單元,可用于驗(yàn)證編程外圍接口與編程設(shè)備的握手通訊協(xié)議�,并只讓被允許的特定的模塊訪問非易失性存儲(chǔ)器中的核心機(jī)密數(shù)據(jù)區(qū),禁止可以和客戶端連接的接口電路訪問核心機(jī)密數(shù)據(jù)區(qū)及各加解密電路的某些寄存器����。
本發(fā)明將應(yīng)用服務(wù)器端和外接加密防盜裝置約定的動(dòng)態(tài)序列作動(dòng)態(tài)加密與公開密鑰算法加密有機(jī)結(jié)合,并且客戶端所有加密解密本身的任務(wù)調(diào)用�����、運(yùn)算���、中間結(jié)果的存放����、結(jié)果檢驗(yàn)�����、明文和密文的合成或分解都完全在該裝置內(nèi)進(jìn)行(甚至裝置內(nèi)的單顆SOC芯片中進(jìn)行)�,與客戶端軟件無關(guān),也不會(huì)在客戶端硬盤留下數(shù)據(jù)痕跡��,而且芯片內(nèi)部有任何模式下客戶端都無法訪問的非易式存貯器中的核心機(jī)密數(shù)據(jù)區(qū)�����,所以能夠嚴(yán)格防止網(wǎng)絡(luò)黑客通過竊聽客戶端及網(wǎng)絡(luò)通信,或者修改客戶端軟件��,從而獲得盜用和非法進(jìn)入用戶賬號(hào)的手法�����,最大限度保護(hù)個(gè)人網(wǎng)絡(luò)賬號(hào)及賬號(hào)內(nèi)的有形及無形資產(chǎn)的安全�。
用戶一個(gè)裝置在手,可以在聯(lián)網(wǎng)的任意PC�����、筆記本電腦等客戶端登錄不同或相同服務(wù)內(nèi)容的服務(wù)器上的多個(gè)賬號(hào)�����。而不必?fù)?dān)心賬號(hào)密碼被非法記錄�����、竊聽跟蹤�。
本發(fā)明由于網(wǎng)絡(luò)賬號(hào)防盜裝置可以根據(jù)當(dāng)前登錄的客戶端軟件對應(yīng)的特定應(yīng)用號(hào)在客戶端顯示并讓客戶選擇當(dāng)前需要登錄的賬號(hào)�����,并輸入用于確認(rèn)該裝置主人身份的密碼,不需輸入賬號(hào)���、隨機(jī)數(shù)字等��,所以登錄使用便捷��。
圖1是本發(fā)明的網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)的結(jié)構(gòu)示意圖��。
圖2是本發(fā)明的外接網(wǎng)絡(luò)帳號(hào)防盜裝置的結(jié)構(gòu)示意圖�����。
圖3是本發(fā)明的網(wǎng)絡(luò)帳號(hào)防盜方法的流程圖�����。
具體實(shí)施例方式
如圖1所示本發(fā)明的網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)包括外接網(wǎng)絡(luò)帳號(hào)防盜裝置1���,客戶端2,應(yīng)用服務(wù)器4�,網(wǎng)絡(luò)認(rèn)證管理服務(wù)器5,編程設(shè)備6�,所述外接網(wǎng)絡(luò)帳號(hào)防盜裝置與客戶端通過USB���、串口、紅外��、藍(lán)牙等各種通信接口連接��,所述客戶端與應(yīng)用服務(wù)器����、網(wǎng)絡(luò)認(rèn)證管理服務(wù)器通過網(wǎng)絡(luò)3(因特網(wǎng)、局域網(wǎng)��、無線網(wǎng)等)相連接��。
所述外接網(wǎng)絡(luò)帳號(hào)防盜裝置���,其與客戶端相連接����,用于將賬號(hào)校驗(yàn)信息(如內(nèi)部存儲(chǔ)的賬號(hào)用戶密碼(一般為賬號(hào)用戶的高強(qiáng)度密碼或二級(jí)密碼)��、序列號(hào)��、賬號(hào)信息��、校驗(yàn)序列等)經(jīng)過動(dòng)態(tài)加密和公開密鑰加密后生成向服務(wù)器請求登錄的賬號(hào)校驗(yàn)信息密文�����;將向服務(wù)器請求登錄的賬號(hào)校驗(yàn)信息密文和帳號(hào)等通過客戶端在網(wǎng)絡(luò)上傳給應(yīng)用服務(wù)器��;所述的應(yīng)用服務(wù)器�����,其將向服務(wù)器請求登錄的賬號(hào)校驗(yàn)信息密文經(jīng)過公開密鑰算法解密和動(dòng)態(tài)解密���,核查賬號(hào)的用戶密碼(一般為賬號(hào)用戶的高強(qiáng)度密碼或二級(jí)密碼)�����、序列號(hào)等信息���,查驗(yàn)所有信息是否無誤,無誤則允許接入����,有誤則停止接入。
所述編程設(shè)備��,用于在通過安全握手通訊協(xié)議檢查后,對外接網(wǎng)絡(luò)賬號(hào)防盜裝置內(nèi)的非易失性存儲(chǔ)器中的核心機(jī)密數(shù)據(jù)區(qū)和其他區(qū)域進(jìn)行編程����。
如圖2所示所述外接網(wǎng)絡(luò)帳號(hào)防盜裝置包括非易失性存儲(chǔ)器11,用于存儲(chǔ)隨機(jī)序列的系數(shù)因子��、序列號(hào)����、帳號(hào)信息、賬號(hào)的用戶密碼(一般為賬號(hào)用戶的高強(qiáng)度密碼或二級(jí)密碼)���、本地公鑰��、私鑰等信息���;第一隨機(jī)序列發(fā)生器7,用于根據(jù)非易失存儲(chǔ)器11內(nèi)儲(chǔ)存的系數(shù)因子產(chǎn)生可配置的隨機(jī)序列����;動(dòng)態(tài)加密電路8,利用對第一隨機(jī)序列發(fā)生器7產(chǎn)生的隨機(jī)序列�,對非易失性存儲(chǔ)器11中儲(chǔ)存的序列號(hào)、帳戶信息等進(jìn)行動(dòng)態(tài)加密����;公開密鑰加密電路9�����,將上述動(dòng)態(tài)加密后的信息再進(jìn)行公開密鑰加密;第二隨機(jī)序列發(fā)生器19�,用于根據(jù)非易失存儲(chǔ)器11內(nèi)儲(chǔ)存的系數(shù)因子產(chǎn)生可配置的隨機(jī)序列;公開密鑰解密電路16�����,用非易失性性存儲(chǔ)器11中儲(chǔ)存的私鑰對應(yīng)用服務(wù)器定時(shí)發(fā)送的經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密的校驗(yàn)握手信號(hào)進(jìn)行公開密鑰算法解密�;動(dòng)態(tài)解密電路17,對上述經(jīng)公開密鑰解密的信息再用第二隨機(jī)序列發(fā)生器19產(chǎn)生的隨機(jī)序列動(dòng)態(tài)解密�����;
控制電路10��,用于主要用于調(diào)用相關(guān)信息合成賬號(hào)校驗(yàn)信息�,加解密運(yùn)算調(diào)用,配置第一隨機(jī)序列發(fā)生器���,核實(shí)應(yīng)用服務(wù)器定時(shí)發(fā)送的信號(hào)經(jīng)解密后所含的序列號(hào)與非易失性存儲(chǔ)器11中存儲(chǔ)的序列號(hào)是否一致����。配置第一隨機(jī)序列發(fā)生器7和第二隨機(jī)序列發(fā)生器19及其他模塊,根據(jù)同步調(diào)整信號(hào)觸發(fā)第一隨機(jī)序列發(fā)生器7和第二隨機(jī)序列發(fā)生器19作同步調(diào)整����,控制接口電路完成和客戶端的通訊協(xié)議。
振蕩器和鎖相環(huán)21����,其用于產(chǎn)生所需的各個(gè)頻率的時(shí)鐘信號(hào);存儲(chǔ)器18�����,用于存放中間數(shù)據(jù)�,配合控制單元10工作。
通路選擇器12���,用于選擇不同的接口控制電路13����、14與客戶端2通信�����,與編程設(shè)備連接的編程外圍接口15,該接口需要通訊握手協(xié)議與編程設(shè)備握手驗(yàn)證后才能激活�,用于在安全模式下使用賬號(hào)防盜系統(tǒng)專用編程設(shè)備6訪問和燒錄非易失存儲(chǔ)器11中的核心數(shù)據(jù)區(qū)20和其他數(shù)據(jù)區(qū)。
所述的核心機(jī)密數(shù)據(jù)區(qū)20設(shè)于非易失性存儲(chǔ)器11內(nèi)���,用于存放私鑰����、序列號(hào)等不允許在專用編程設(shè)備以外的外部設(shè)備訪問的核心機(jī)密數(shù)據(jù)��;所述的控制單元10�,還可用于驗(yàn)證編程外圍接口15與專用編程設(shè)備的通訊握手協(xié)議��,并只讓被允許的特定的模塊(如激活的編程外圍接口15�、隨機(jī)序列發(fā)生器、公開密鑰加解密電路��、動(dòng)態(tài)加解密電路等)可以訪問非易失性存儲(chǔ)器11中的核心機(jī)密數(shù)據(jù)區(qū)20�����,禁止可以和客戶端連接的接口電路訪問核心機(jī)密數(shù)據(jù)區(qū)20及各加解密電路的某些寄存器�����。
采用本發(fā)明在任何模式下都不能通過客戶端接口13或14訪問非易失性存儲(chǔ)器中的核心機(jī)密數(shù)據(jù)區(qū)。所以��,黑客也無法通過網(wǎng)絡(luò)和客戶端訪問�����、偷取或篡改核心機(jī)密區(qū)的數(shù)據(jù)��。
進(jìn)一步��,所述的網(wǎng)絡(luò)認(rèn)證服務(wù)器或應(yīng)用服務(wù)器�����,用于發(fā)送收到同步調(diào)整信號(hào)(通過網(wǎng)絡(luò)以公開密鑰算法加密密文方式傳輸)給外接網(wǎng)絡(luò)賬號(hào)防盜裝置����,從而觸發(fā)第一隨機(jī)序列發(fā)生器7和第二隨機(jī)序列發(fā)生器19作同步調(diào)整(例如,在同步點(diǎn)狀態(tài)復(fù)位)����,以保持與網(wǎng)絡(luò)認(rèn)證管理服務(wù)器5或應(yīng)用服務(wù)器4的隨機(jī)序列同步(即使得隨機(jī)序列發(fā)生器所處狀態(tài)一致,如都復(fù)位成初始狀態(tài))����。
所述動(dòng)態(tài)加密電路8和公開密鑰加密電路9在數(shù)據(jù)通路中的先后順序可以互換����,公開密鑰解密電路16和動(dòng)態(tài)解密電路17在數(shù)據(jù)通路中的先后順序也可以互換���,但要和服務(wù)器的加解密次序相對應(yīng)��。
結(jié)合圖3所示本發(fā)明的網(wǎng)絡(luò)帳號(hào)防盜方法的主要流程如下每個(gè)外接網(wǎng)絡(luò)防盜裝置1都在內(nèi)部的非易失性存儲(chǔ)器11中燒錄了唯一的序列號(hào)����。任意兩個(gè)外接網(wǎng)絡(luò)防盜裝置1之間的序列號(hào)都不同�����。外接網(wǎng)絡(luò)帳號(hào)防盜裝置中的非易失性存儲(chǔ)器11中還存放了應(yīng)用號(hào)�、密鑰����、隨機(jī)序列發(fā)生器因子等,以及用戶的多個(gè)網(wǎng)絡(luò)賬號(hào)����、密碼和相關(guān)信息。
步驟1、用戶將外接網(wǎng)絡(luò)帳號(hào)防盜裝置1接入客戶端2��,步驟2�����、控制單元10配置外接網(wǎng)絡(luò)賬號(hào)防盜裝置1中其他各模塊��,步驟3����、用戶客戶端2打開客戶端應(yīng)用程序登錄界面,步驟4�、客戶端登錄程序發(fā)送應(yīng)用服務(wù)代碼或特征字到外接網(wǎng)絡(luò)帳號(hào)防盜裝置裝置,告知外接網(wǎng)絡(luò)帳號(hào)防盜裝置1當(dāng)前登錄哪個(gè)應(yīng)用(如運(yùn)營商A提供的服務(wù)平臺(tái)B)�,步驟5、外接網(wǎng)絡(luò)帳號(hào)防盜裝置將內(nèi)部存儲(chǔ)的該應(yīng)用服務(wù)代碼或特征字下的所有帳號(hào)發(fā)送給客戶端外接網(wǎng)絡(luò)帳號(hào)防盜裝置1會(huì)將非易失性存儲(chǔ)器11中的該種應(yīng)用(如運(yùn)營商A提供的服務(wù)平臺(tái)B)下的所有網(wǎng)絡(luò)賬號(hào)發(fā)給客戶端2����;步驟6、客戶端登錄程序顯示網(wǎng)絡(luò)賬號(hào)防盜裝置1在該種應(yīng)用下的所有帳號(hào)����,并由用戶選擇本次欲登錄的賬號(hào),(如果只有一個(gè)�����,則自動(dòng)選定)步驟7、用戶填入登錄密碼(多個(gè)賬號(hào)可以用同一個(gè)密碼��,也可以用不同密碼�����,該密碼也可以是外接網(wǎng)絡(luò)帳號(hào)防盜裝置的主人密碼或用戶較易記憶的初級(jí)密碼)�����;步驟8���、客戶端2的客戶端登錄程序?qū)⒂脩羲x賬號(hào)密碼通過接口傳輸給外接網(wǎng)絡(luò)帳號(hào)防盜裝置1��。
步驟9�、外接網(wǎng)絡(luò)帳號(hào)防盜裝置1核查確認(rèn)賬號(hào)密碼是否無誤���;如有誤則停止登陸,如密碼正確��,則繼續(xù)步驟10���;步驟10��、控制單元10���,將非易失性存儲(chǔ)器11中存放的序列號(hào)�����、所選賬號(hào)對應(yīng)的用戶密碼(一般為賬號(hào)用戶的高強(qiáng)度密碼或二級(jí)密碼��,不是裝置的主人密碼)����、帳戶內(nèi)的必要信息��、校驗(yàn)序列等組成賬號(hào)校驗(yàn)信息����,和第一隨機(jī)序列發(fā)生器7產(chǎn)生的隨機(jī)序列一起,經(jīng)動(dòng)態(tài)加密電路8進(jìn)行動(dòng)態(tài)加密���,將加密結(jié)果再經(jīng)公開密鑰算法加密電路9進(jìn)行加密后生成登陸請求密文�����;(所述的動(dòng)態(tài)加密算法及公開密鑰加密算法均是現(xiàn)有技術(shù)�����,可采用多種方式來實(shí)現(xiàn)�,比如,本具體實(shí)施例中����,動(dòng)態(tài)加密的方法具體為,將第一隨機(jī)序列發(fā)生器7產(chǎn)生的可配置隨機(jī)系列與非易失性存儲(chǔ)器11中存放的序列號(hào)��、對應(yīng)賬戶內(nèi)的必要信息等數(shù)據(jù)進(jìn)行逐位異或運(yùn)算)���。(公開密鑰算法和動(dòng)態(tài)加密算法的次序可交換�����,但需和應(yīng)用服務(wù)器解密運(yùn)算次序?qū)?yīng))步驟11�����、外接網(wǎng)絡(luò)帳號(hào)防盜裝置將向服務(wù)器請求登錄的賬號(hào)校驗(yàn)信息密文和帳號(hào)等傳給客戶端2;步驟12����、客戶端2的應(yīng)用登錄程序通過網(wǎng)絡(luò)3將請求登錄的賬號(hào)校驗(yàn)信息密文和帳號(hào)等傳給應(yīng)用服務(wù)器4���;步驟13、應(yīng)用服務(wù)器4會(huì)將請求登錄的賬號(hào)校驗(yàn)信息密文經(jīng)過公開密鑰算法和動(dòng)態(tài)解密�����,核查賬號(hào)的用戶密碼(一般為賬號(hào)用戶的高強(qiáng)度密碼或二級(jí)密碼)��、序列號(hào)等信息�;步驟14、應(yīng)用服務(wù)器4查驗(yàn)所有信息是否無誤�。如果有誤則停止登陸,如果無誤繼續(xù)步驟15�����;步驟15�、應(yīng)用服務(wù)器通知客戶端,于是客戶端2的客戶端軟件和應(yīng)用服務(wù)器4的服務(wù)器端軟件正常為用戶接入服務(wù)����。
進(jìn)一步地,本發(fā)明還可以包括應(yīng)用服務(wù)器4可以根據(jù)運(yùn)營商的需要選擇是否定時(shí)和與客戶端2相連的外接網(wǎng)絡(luò)帳號(hào)防盜裝置1用加密的方法握手確認(rèn)登錄始終有效���。
步驟16�、應(yīng)用服務(wù)器4定時(shí)發(fā)送經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密的校驗(yàn)握手信號(hào)經(jīng)客戶端2給外接網(wǎng)絡(luò)帳號(hào)防盜裝置1;步驟17�、外接網(wǎng)絡(luò)帳號(hào)防盜裝置將校驗(yàn)握手信號(hào)解密核實(shí)先經(jīng)公開密鑰解密電路16用非易失性存儲(chǔ)器11中的私鑰用公開密鑰算法解密,然后再經(jīng)動(dòng)態(tài)解密電路17用第二隨機(jī)序列器發(fā)生器19產(chǎn)生的序列動(dòng)態(tài)解密�。控制單元10確認(rèn)應(yīng)用服務(wù)器4發(fā)送的數(shù)據(jù)解密后所含的序列號(hào)與用戶所用的當(dāng)前本地外接網(wǎng)絡(luò)帳號(hào)防盜裝置1的序列號(hào)對照確認(rèn)無誤���;(公開密鑰算法和動(dòng)態(tài)解密算法的次序可交換���,但需和應(yīng)用服務(wù)器加密運(yùn)算次序?qū)?yīng))步驟18、外接網(wǎng)絡(luò)帳號(hào)防盜裝置1將第一隨機(jī)序列發(fā)生器7產(chǎn)生的隨機(jī)序列�、非易失性存儲(chǔ)器11中存放的序列號(hào)和對應(yīng)帳戶內(nèi)的必要信息等,經(jīng)過動(dòng)態(tài)加密電路8動(dòng)態(tài)加密和公開密鑰加密電路9公開密鑰加密后生成握手應(yīng)答文���;(公開密鑰算法和動(dòng)態(tài)加密算法的次序可交換��,但需和應(yīng)用服務(wù)器解密運(yùn)算次序?qū)?yīng))步驟19�、外接網(wǎng)絡(luò)帳號(hào)防盜裝置將所產(chǎn)生的握手應(yīng)答密文和帳號(hào)等通過客戶端2從網(wǎng)絡(luò)3上傳給應(yīng)用服務(wù)器4���;步驟20�����、應(yīng)用服務(wù)器4會(huì)將握手應(yīng)答密文經(jīng)過公開密鑰算法解密和動(dòng)態(tài)解密步驟21�、應(yīng)用服務(wù)器4查驗(yàn)所有信息是否無誤���,如果無誤��,維持正常登錄����;否則退出登錄�,停止為客戶端的客戶端軟件作用戶服務(wù)。
服務(wù)器端可以根據(jù)網(wǎng)絡(luò)應(yīng)用的需要選擇是否定時(shí)和用戶端的外接網(wǎng)絡(luò)帳號(hào)防盜裝置用加密的方法握手確認(rèn)登錄始終有效����,該握手應(yīng)該自動(dòng)進(jìn)行,在外接網(wǎng)絡(luò)帳號(hào)防盜裝置正常�、有效的情況下,不需用戶人工介入�,不干擾應(yīng)用程序運(yùn)行。
客戶端2的應(yīng)用軟件退出登錄時(shí)�����,將提示用戶取走外接網(wǎng)絡(luò)帳號(hào)防盜裝置1并妥善保管,并通知應(yīng)用服務(wù)器4該用戶本次服務(wù)已退出����。
外接加密防盜裝置在非易失性存儲(chǔ)器11中預(yù)留并提供多個(gè)應(yīng)用服務(wù)代碼或特征字,其中部分或全部應(yīng)用服務(wù)代碼或特征字在該網(wǎng)絡(luò)賬號(hào)防盜裝置出售或頒發(fā)給網(wǎng)絡(luò)賬號(hào)各用戶時(shí)尚未綁定任何應(yīng)用服務(wù)�。在該網(wǎng)絡(luò)賬號(hào)防盜裝置出售或頒發(fā)給網(wǎng)絡(luò)賬號(hào)各用戶后,在不需更改核心機(jī)密數(shù)據(jù)區(qū)的情況下��,可以追加綁定應(yīng)用服務(wù)���,并保存與該應(yīng)用服務(wù)有關(guān)的全部帳號(hào)等信息�����。
權(quán)利要求
1.一種網(wǎng)絡(luò)帳號(hào)防盜方法��,其特征在于���,包括如下步驟a、在客戶端連接一擁有唯一序列號(hào)的外接網(wǎng)絡(luò)帳號(hào)防盜裝置��;b����、外接網(wǎng)絡(luò)帳號(hào)防盜裝置將帳號(hào)校驗(yàn)信息經(jīng)過動(dòng)態(tài)加密和公開密鑰加密后生成向服務(wù)器請求登錄的賬號(hào)校驗(yàn)信息密文�����;c�����、外接網(wǎng)絡(luò)帳號(hào)防盜裝置將請求登錄的賬號(hào)校驗(yàn)信息密文與帳號(hào)通過客戶端在網(wǎng)絡(luò)上傳給應(yīng)用服務(wù)器;d����、應(yīng)用服務(wù)器將來自外接網(wǎng)絡(luò)帳號(hào)防盜裝置的請求登錄的賬號(hào)校驗(yàn)信息密文經(jīng)過公開密鑰算法解密和動(dòng)態(tài)解密,核查賬號(hào)校驗(yàn)信息�����;e�����、應(yīng)用服務(wù)器查驗(yàn)所有信息是否無誤�����,無誤則允許接入��,有誤則停止接入;其中���,加密解密本身的任務(wù)調(diào)用����、運(yùn)算�、中間結(jié)果的存放、結(jié)果檢驗(yàn)����、明文和密文的合成或分解,完全在外接網(wǎng)絡(luò)帳號(hào)防盜裝置內(nèi)部進(jìn)行��。
2.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡(luò)帳號(hào)防盜方法��,其特征在于����,所述的帳號(hào)校驗(yàn)信息包括賬號(hào)用戶密碼、外接網(wǎng)絡(luò)帳號(hào)防盜裝置的序列號(hào)����,或者,還可以包括檢驗(yàn)序列����。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)帳號(hào)防盜方法���,其特征在于,所述的賬號(hào)校驗(yàn)信息在外接網(wǎng)絡(luò)帳號(hào)防盜裝置中先經(jīng)過動(dòng)態(tài)加密����,然后再將加密結(jié)果進(jìn)行公開密鑰算法加密。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)帳號(hào)防盜方法��,其特征在于����,所述的賬號(hào)校驗(yàn)信息在外接網(wǎng)絡(luò)帳號(hào)防盜裝置中先經(jīng)過公開密鑰算法加密��,然后再將加密結(jié)果進(jìn)行動(dòng)態(tài)加密��。
5.根據(jù)權(quán)利要求3所述的網(wǎng)絡(luò)帳號(hào)防盜方法�,其特征在于,所述的請求登錄的賬號(hào)校驗(yàn)信息密文在應(yīng)用服務(wù)器先經(jīng)過公開密鑰算法解密���,再將解密結(jié)果經(jīng)動(dòng)態(tài)解密�。
6.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)賬號(hào)防盜方法���,其特征在于�,所述的請求登錄的賬號(hào)校驗(yàn)信息密文在服務(wù)器先經(jīng)過動(dòng)態(tài)解密,再將解密結(jié)果經(jīng)公開密鑰算法解密����。
7.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)帳號(hào)防盜方法,其特征在于���,還包括如下步驟應(yīng)用服務(wù)器定時(shí)發(fā)送經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密的校驗(yàn)握手信號(hào)�����;外接網(wǎng)絡(luò)帳號(hào)防盜裝置將校驗(yàn)握手信號(hào)解密核實(shí)�����;外接網(wǎng)絡(luò)帳號(hào)防盜裝置生成經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密生成握手應(yīng)答密文���;外接網(wǎng)絡(luò)帳號(hào)防盜裝置將握手應(yīng)答密文和賬號(hào)等通過客戶端在網(wǎng)絡(luò)上傳給應(yīng)用服務(wù)器;應(yīng)用服務(wù)器將握手應(yīng)答密文經(jīng)過公開密鑰算法解密和動(dòng)態(tài)解密�;應(yīng)用服務(wù)器查驗(yàn)所有信息是否無誤,無誤則繼續(xù)服務(wù)���,有誤則停止已接入的應(yīng)用服務(wù)��。
8.根據(jù)權(quán)利要求1或7所述的網(wǎng)絡(luò)賬號(hào)防盜方法�,其特征在于,還包括如下步驟當(dāng)需要退出客戶端應(yīng)用登錄時(shí)���,客戶端發(fā)出退出服務(wù)請求給應(yīng)用服務(wù)器�,應(yīng)用服務(wù)器停止所接入的服務(wù)����;客戶端提示用戶取走外接網(wǎng)絡(luò)帳號(hào)防盜裝置。
9.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)賬號(hào)防盜方法����,其特征在于,所述的步驟a與步驟b之間還包括如下步驟調(diào)用客戶端應(yīng)用登錄程序�;客戶端登錄程序發(fā)送對應(yīng)當(dāng)前登錄應(yīng)用的應(yīng)用服務(wù)代碼或特征字到外接網(wǎng)絡(luò)帳號(hào)防盜裝置����;外接網(wǎng)絡(luò)帳號(hào)防盜裝置將內(nèi)部存儲(chǔ)的該應(yīng)用服務(wù)代碼或特征字下的所有帳號(hào)發(fā)送給客戶端;客戶端登錄程序顯示從外接網(wǎng)絡(luò)帳號(hào)防盜裝置接收的所有帳號(hào)供用戶選擇��,如果只有一個(gè)����,則自動(dòng)選定���;用戶在客戶端選擇登錄賬號(hào),輸入登錄密碼�;客戶端登錄程序?qū)⑺x賬號(hào)信息、登錄密碼發(fā)送到外接網(wǎng)絡(luò)帳號(hào)防盜裝置�����;外接網(wǎng)絡(luò)帳號(hào)防盜裝置檢查客戶端發(fā)來的賬號(hào)信息和登錄密碼是否無誤�,如果有誤則停止登陸,如果無誤���,則繼續(xù)步驟b�。
10.根據(jù)權(quán)利要求9所述的網(wǎng)絡(luò)帳號(hào)防盜方法���,其特征在于����,所述的登陸密碼可以是外接網(wǎng)絡(luò)帳號(hào)防盜裝置的主人密碼或用戶較易記憶的初級(jí)密碼����。
11.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)賬號(hào)防盜方法,其特征在于,在所述外接網(wǎng)絡(luò)帳號(hào)防盜裝置中存儲(chǔ)多個(gè)應(yīng)用服務(wù)代碼或特征字�,并允許其中部分或全部應(yīng)用服務(wù)代碼或特征字在該外接網(wǎng)絡(luò)帳號(hào)防盜裝置出售或頒發(fā)給網(wǎng)絡(luò)賬號(hào)各用戶時(shí)尚未綁定任何應(yīng)用服務(wù),在該外接網(wǎng)絡(luò)賬號(hào)防盜裝置出售或頒發(fā)給網(wǎng)絡(luò)賬號(hào)各用戶后�,在不需更改核心機(jī)密數(shù)據(jù)區(qū)的情況下,追加綁定應(yīng)用服務(wù)���。
12.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)帳號(hào)防盜方法�,其特征在于���,網(wǎng)絡(luò)認(rèn)證服務(wù)器或應(yīng)用服務(wù)器發(fā)送經(jīng)過加密的同步調(diào)整信號(hào)給外接網(wǎng)絡(luò)帳號(hào)防盜裝置��,外接網(wǎng)絡(luò)帳號(hào)防盜裝置收到后��,觸發(fā)第一隨機(jī)序列發(fā)生器或第二隨機(jī)序列發(fā)生器作同步調(diào)整���。
13.一種網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng),其特征在于��,包括客戶端�;及外接網(wǎng)絡(luò)帳號(hào)防盜裝置���,與客戶端相連接�,用于將賬號(hào)校驗(yàn)信息等經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密后生成向服務(wù)器請求登錄的賬號(hào)校驗(yàn)信息密文�����;將請求登錄的賬號(hào)校驗(yàn)信息密文和帳號(hào)等通過客戶端在網(wǎng)絡(luò)上傳給應(yīng)用服務(wù)器;所述每個(gè)外接網(wǎng)絡(luò)帳號(hào)防盜裝置均擁有唯一的序列號(hào)�,且內(nèi)部設(shè)有任何模式下客戶端都無法訪問的核心機(jī)密數(shù)據(jù)區(qū)。應(yīng)用服務(wù)器����,其將外接網(wǎng)絡(luò)帳號(hào)防盜裝置請求登錄的賬號(hào)校驗(yàn)信息密文經(jīng)過公開密鑰算法解密和動(dòng)態(tài)解密,核查賬號(hào)校驗(yàn)信息����,查驗(yàn)所有信息是否無誤,無誤則允許接入��,有誤則停止接入����;編程設(shè)備,用于在通過安全握手通訊協(xié)議檢查后����,對外接網(wǎng)絡(luò)賬號(hào)防盜裝置內(nèi)的非易失性存儲(chǔ)器中的核心機(jī)密數(shù)據(jù)區(qū)進(jìn)行編程。
14.根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)�����,其特征在于,所述的外接網(wǎng)絡(luò)帳號(hào)防盜裝置包括第一隨機(jī)序列發(fā)生器(7)����,用于產(chǎn)生可配置的隨機(jī)序列;非易失性存儲(chǔ)器(11)����,用于存儲(chǔ)序列號(hào)、帳號(hào)信息��、賬號(hào)的用戶密碼�����、本地公鑰��、私鑰�����、隨機(jī)序列的系數(shù)因子等信息��;動(dòng)態(tài)加密電路(8)��,對第一隨機(jī)序列發(fā)生器(7)產(chǎn)生的隨機(jī)序列��、非易失性存儲(chǔ)器(11)中儲(chǔ)存的賬號(hào)校驗(yàn)信息和賬戶信息進(jìn)行動(dòng)態(tài)加密��;公開密鑰算法加密電路(9)���、將上述動(dòng)態(tài)加密后的信息再進(jìn)行公開密鑰算法加密���;控制單元(10),主要用于調(diào)用相關(guān)信息合成賬號(hào)校驗(yàn)信息��,加密運(yùn)算調(diào)用�����,配置第一隨機(jī)序列發(fā)生器����,根據(jù)解密后的同步信號(hào)對第一隨機(jī)序列發(fā)生器作同步調(diào)整,和客戶端通過外圍接口通訊�。
15.根據(jù)權(quán)利要求13所述的網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng),其特征在于��,所述的網(wǎng)絡(luò)賬號(hào)防盜裝置包括第一隨機(jī)序列發(fā)生器(7)��,用于產(chǎn)生可配置的隨機(jī)序列;非易失性存儲(chǔ)器(11)�����,用于存儲(chǔ)序列號(hào)����、帳號(hào)信息、賬號(hào)的用戶密碼�����、本地公鑰�、私鑰、隨機(jī)序列的系數(shù)因子等信息�����;公開密鑰算法加密電路(9)���,對非易失性存儲(chǔ)器(11)中儲(chǔ)存的賬號(hào)校驗(yàn)信息和賬戶信息進(jìn)行公開密鑰算法加密����;動(dòng)態(tài)加密電路(8)��,對上述公開密鑰算法加密結(jié)果用第一隨機(jī)序列發(fā)生器(7)產(chǎn)生的隨機(jī)序列進(jìn)行動(dòng)態(tài)加密;控制單元(10)��,主要用于調(diào)用相關(guān)信息合成賬號(hào)校驗(yàn)信息����,加密運(yùn)算調(diào)用����,配置第一隨機(jī)序列發(fā)生器,根據(jù)解密后的同步信號(hào)對第一隨機(jī)序列發(fā)生器作同步調(diào)整��,和客戶端通過外圍接口通訊�����。
16.根據(jù)權(quán)利要求14所述的網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)���,其特征在于,所述的外接網(wǎng)絡(luò)帳號(hào)防盜裝置還包括第二隨機(jī)序列發(fā)生器(19)���,用于產(chǎn)生可配置的隨機(jī)序列�;公開密鑰算法解密電路(16)�,用非易失性存儲(chǔ)器(11)中儲(chǔ)存的私鑰對應(yīng)用服務(wù)器定時(shí)發(fā)送的經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密的校驗(yàn)握手信號(hào)進(jìn)行公開密鑰算法解密��;動(dòng)態(tài)解密電路(17)�����,對上述經(jīng)公開密鑰算法解密的信息再用第二隨機(jī)序列發(fā)生器產(chǎn)生的隨機(jī)序列動(dòng)態(tài)解密���;所述的控制單元(10),主要用于解密運(yùn)算調(diào)用���,配置第二隨機(jī)序列發(fā)生器等�,核實(shí)應(yīng)用服務(wù)器定時(shí)發(fā)送的信號(hào)經(jīng)解密后所含的序列號(hào)與非易失性存儲(chǔ)器中存儲(chǔ)的序列號(hào)是否一致��,根據(jù)解密后的同步信號(hào)對第二隨機(jī)序列發(fā)生器作同步調(diào)整����,和客戶端通過外圍接口通訊。
17.根據(jù)權(quán)利要求15所述的網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)����,其特征在于,所述的外接網(wǎng)絡(luò)賬號(hào)防盜裝置還包括第二隨機(jī)序列發(fā)生器(19)���,用于產(chǎn)生可配置的隨機(jī)序列���;動(dòng)態(tài)解密電路(17)���,用第二隨機(jī)序列發(fā)生器(19)產(chǎn)生的隨機(jī)序列對應(yīng)用服務(wù)器定時(shí)發(fā)送的經(jīng)過動(dòng)態(tài)加密和公開密鑰算法加密的校驗(yàn)握手信號(hào)進(jìn)行動(dòng)態(tài)解密;公開密鑰算法解密電路(16)�,用非易失性存儲(chǔ)器(11)中儲(chǔ)存的私鑰對上述經(jīng)動(dòng)態(tài)解密的信息進(jìn)行公開密鑰算法解密;所述的控制單元(10)����,主要用于解密運(yùn)算調(diào)用��,配置第二隨機(jī)序列發(fā)生器等�����,核實(shí)應(yīng)用服務(wù)器定時(shí)發(fā)送的信號(hào)經(jīng)解密后所含的序列號(hào)與非易失性存儲(chǔ)器中存儲(chǔ)的序列號(hào)是否一致����,根據(jù)來自應(yīng)用服務(wù)器的解密后的同步信號(hào)同步第二隨機(jī)序列發(fā)生器,和客戶端通過外圍接口通訊等��。
18.根據(jù)權(quán)利要求14或15所述的的網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)���,其特征在于����,所述的外接網(wǎng)絡(luò)帳號(hào)防盜裝置還包括振蕩器和鎖相環(huán)(21)����,其用于產(chǎn)生所需的各個(gè)頻率的時(shí)鐘信號(hào);存儲(chǔ)器(18)��,用于存放中間數(shù)據(jù)����,配合控制單元工作����;通路選擇器(12),用于選擇不同的接口控制電路與客戶端通信����。
19.根據(jù)權(quán)利要求18所述的網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng),其特征在于��,所述的網(wǎng)絡(luò)賬號(hào)防盜裝置包括與編程設(shè)備(6)連接的編程外圍接口(15)�,其用于連接編程設(shè)備(6),該接口需要通訊協(xié)議與編程設(shè)備驗(yàn)證握手認(rèn)證后才能激活;所述的核心機(jī)密數(shù)據(jù)區(qū)(20)設(shè)于非易失性存儲(chǔ)器(11)內(nèi)����,用于存放私鑰、序列號(hào)等不允許編程設(shè)備(6)以外的外部設(shè)備訪問的核心機(jī)密數(shù)據(jù)��;所述的控制單元(10)��,可用于驗(yàn)證編程外圍接口(15)與編程設(shè)備的握手通訊協(xié)議�,并只讓被允許的特定的模塊訪問非易失性存儲(chǔ)器(11)中的核心機(jī)密數(shù)據(jù)區(qū)(20)��,禁止可以和客戶端連接的接口電路訪問核心機(jī)密數(shù)據(jù)區(qū)(20)及各加解密電路的某些寄存器���。
全文摘要
本發(fā)明提供一種網(wǎng)絡(luò)帳號(hào)防盜系統(tǒng)及其方法,其中主要技術(shù)方法為a.在客戶端接一有唯一序列號(hào)的外接防盜裝置���;b.外接防盜裝置將帳號(hào)校驗(yàn)信息經(jīng)過動(dòng)態(tài)加密和公開密鑰加密后生成向服務(wù)器請求登錄的賬號(hào)校驗(yàn)信息密文��;c.外接防盜裝置將校驗(yàn)信息密文與帳號(hào)通過客戶端在網(wǎng)絡(luò)上傳給應(yīng)用服務(wù)器����;d.應(yīng)用服務(wù)器將校驗(yàn)信息密文經(jīng)過公開密鑰算法解密和動(dòng)態(tài)解密�����,核查賬號(hào)校驗(yàn)信息;e.應(yīng)用服務(wù)器查驗(yàn)所有信息是否無誤�。其中�����,加密解密本身的任務(wù)調(diào)用��、運(yùn)算��、中間結(jié)果的存放��、結(jié)果檢驗(yàn)、明文和密文的合成或分解�����,完全在裝置內(nèi)部進(jìn)行���。本發(fā)明能夠有效防止非法入侵者利用一般加密認(rèn)證環(huán)節(jié)中的某些缺陷而非法進(jìn)入用戶帳號(hào)�;可以保護(hù)多個(gè)賬號(hào)��;使用便捷。
文檔編號(hào)H04L9/32GK1808975SQ200610023658
公開日2006年7月26日 申請日期2006年1月26日 優(yōu)先權(quán)日2006年1月26日
發(fā)明者黃濤 申請人:黃濤