專利名稱:安全訪問受保護(hù)資源的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全領(lǐng)域,尤其涉及一種安全訪問受保護(hù)資源的方法及系統(tǒng)。
背景技術(shù):
隨著計(jì)算機(jī)技術(shù)的高速發(fā)展�,越來越多的用戶習(xí)慣利用網(wǎng)絡(luò)的便捷和豐富的資源 來完成各項(xiàng)工作����。這在一定程度上節(jié)約了時(shí)間,提高了辦事效率��,促進(jìn)了互聯(lián)網(wǎng)的進(jìn)一步發(fā) 展和完善�。但是,隨著高科技手段的不斷發(fā)展�,在網(wǎng)絡(luò)給人們帶來便利和娛樂的同時(shí),也存 在著極大的安全隱患��。例如�,許多用戶在互聯(lián)網(wǎng)上注冊的用戶名及賬號很容易被別人所盜 取,給用戶和相關(guān)商家?guī)硪欢ǖ慕?jīng)濟(jì)及精神損失���。
發(fā)明內(nèi)容
本發(fā)明提供了一種安全訪問受保護(hù)資源的方法����,具體技術(shù)方案如下一種安全訪問受保護(hù)資源的方法��,所述方法包括第一終端向第二終端發(fā)出訪問受保護(hù)資源的請求�����,并將用戶輸入的用戶名及第一 數(shù)據(jù)發(fā)送給所述第二終端,所述第一數(shù)據(jù)由第三終端生成�;所述第二終端生成第二數(shù)據(jù),并根據(jù)所述用戶名查找所述第三終端的秘密�����;所述第二終端根據(jù)第一預(yù)設(shè)處理方法對所述第一數(shù)據(jù)���、第二數(shù)據(jù)及所述查找得到 的秘密進(jìn)行處理��,得到第一特征值����,并將所述第一特征值及第二數(shù)據(jù)發(fā)送給所述第一終端����, 所述第一終端將所述第一特征值及第二數(shù)據(jù)提供給所述用戶;所述第三終端接收所述用戶輸入的所述第二數(shù)據(jù)���,并根據(jù)與所述第一預(yù)設(shè)處理方 法相同的處理方法對所述第一數(shù)據(jù)�、第二數(shù)據(jù)及所述第三終端預(yù)先存儲的秘密進(jìn)行處理�����, 得到第二特征值,并在接收到所述用戶比對所述第一特征值與第二特征值一致的確認(rèn)信息 后���,根據(jù)第二預(yù)設(shè)處理方法對所述第一數(shù)據(jù)�����、第二數(shù)據(jù)及所述第三終端預(yù)先存儲的秘密進(jìn) 行處理,得到第三特征值�,并將所述第三特征值輸出給所述用戶;所述第一終端將所述用戶輸入的所述第三特征值發(fā)送給所述第二終端�;所述第二終端根據(jù)與所述第二預(yù)設(shè)處理方法相同的處理方法對所述第一數(shù)據(jù)、第 二數(shù)據(jù)及所述查找得到的秘密進(jìn)行處理生成第四特征值��,并比對所述第四特征值是否與接 收到的所述第三特征值一致���,若一致��,則允許訪問����,否則��,拒絕訪問。一種安全訪問受保護(hù)資源的方法�,所述方法包括第二終端接收到第一終端發(fā)送的訪問受保護(hù)資源的請求及用戶名,根據(jù)預(yù)設(shè)的算 法生成第三數(shù)據(jù)��,并將所述第三數(shù)據(jù)提供給用戶���;第三終端根據(jù)第三預(yù)設(shè)處理方法對所述用戶輸入的所述第三數(shù)據(jù)���、所述第三終端 預(yù)先存儲的秘密進(jìn)行處理,得到第五特征值��,并將所述第五特征值輸出給所述用戶����;所述第二終端將所述用戶輸入的所述第五特征值發(fā)送給所述第二終端;所述第二終端根據(jù)所述用戶名查找所述第三終端的秘密����,并根據(jù)與所述第三預(yù)設(shè) 處理方法相同的算法對所述第三數(shù)據(jù)、所述查找得到的秘密進(jìn)行處理�����,得到第六特征值���,比對所述第六特征值是否與所述第五特征值一致����,若一致,則允許訪問�����,否則��,拒絕訪問�����。一種安全訪問受保護(hù)資源的系統(tǒng)��,所述系統(tǒng)包括第一終端��、第二終端和第三終 端����;所述第二終端包括第二存儲模塊�����,用于存儲生成特征值的關(guān)聯(lián)信息,所述關(guān)聯(lián)信息包括與用戶名綁 定的所述第三終端的秘密和預(yù)設(shè)處理方法�����;第三接收模塊�,用于接收所述第一發(fā)送模塊發(fā)送的訪問受保護(hù)資源的請求、用戶 名�����、第一數(shù)據(jù)及第三特征值�����;第二隨機(jī)數(shù)生成模塊���,用于生成第二數(shù)據(jù)��; 第二特征值生成模塊��,用于采用第一預(yù)設(shè)處理方法對所述第一數(shù)據(jù)��、第二數(shù)據(jù)及 所述第二存儲模塊存儲的秘密進(jìn)行處理生成第一特征值�,采用第二預(yù)設(shè)處理方法對所述第 一數(shù)據(jù)�����、第二數(shù)據(jù)及所述第二存儲模塊存儲的秘密進(jìn)行處理生成第四特征值;驗(yàn)證模塊�,用于驗(yàn)證所述第二特征值生成模塊生成的第四特征值與所述第三接收 模塊接收到的第三特征值;第二輸出模塊��,用于輸出所述第二隨機(jī)數(shù)生成模塊生成的第二數(shù)據(jù)及第二特征值 生成模塊生成的第一特征值����;所述第三終端包括第一存儲模塊,用于存儲生成特征值的關(guān)聯(lián)信息�����,所述關(guān)聯(lián)信息包括生成特征值 的秘密和預(yù)設(shè)處理方法;第一接收模塊�����,用于接收用戶輸入的第二終端提供給所述用戶的所述第二終端第 二隨機(jī)數(shù)生成模塊生成的第二數(shù)據(jù)���,及所述用戶輸入的確認(rèn)信息����;第一隨機(jī)數(shù)生成模塊,用于生成第一數(shù)據(jù)�����;第一特征值生成模塊���,采用與所述第二終端第二特征值生成模塊采用的第一預(yù)設(shè) 處理方法相同的方法對所述第一數(shù)據(jù)���、第二數(shù)據(jù)及所述第一存儲模塊存儲的秘密進(jìn)行處理 生成第二特征值,在所述第一接收模塊接收到用戶比對第一特征值與第二特征值一致的確 認(rèn)信息后�����,采用與所述第二終端第二特征值生成模塊采用的第二預(yù)設(shè)處理方法相同的方法 對所述第一數(shù)據(jù)��、第二數(shù)據(jù)及所述第一存儲模塊存儲的秘密進(jìn)行處理生成第三特征值����;第一輸出模塊,用于將所述第一特征值生成模塊生成的第三特征值輸出給所述用 戶�����;所述第一終端包括第一發(fā)送模塊��,用于向第二終端發(fā)送所述用戶輸入的訪問受保護(hù)資源的請求、用 戶名�����、所述第三終端第一隨機(jī)數(shù)生成模塊生成的第一數(shù)據(jù)及第一特征值生成模塊生成的第 三特征值�;第二接收模塊�,用于接收所述第二終端第二隨機(jī)數(shù)生成模塊生成的第二數(shù)據(jù)及所 述第二終端第二特征值生成模塊生成的第一特征值,并輸出給所述用戶�。一種安全訪問受保護(hù)資源的系統(tǒng),所述系統(tǒng)包括第一終端�、第二終端和第三終 端;所述第二終端包括存儲模塊�,用于存儲生成特征值的關(guān)聯(lián)信息����,所述關(guān)聯(lián)信息包括與用戶名綁定的所述第三終端的秘密和預(yù)設(shè)處理方法;接收模塊�,用于接收所述第一終端發(fā)送模塊發(fā)送的訪問受保護(hù)資源的請求�����、用戶 名及第五特征值����;隨機(jī)數(shù)生成模塊,用于生成第三數(shù)據(jù)���;特征值生成模塊,用于采用第一預(yù)設(shè)處理方法對所述第一數(shù)據(jù)及所述第二終端存 儲模塊存儲的秘密進(jìn)行處理生成第六特征值��;驗(yàn)證模塊��,用于驗(yàn)證所述第二終端特征值生成模塊生成的第六特征值與所述第二 終端接收模塊接收到的第五特征值����;
所述第三終端包括存儲模塊���,用于存儲生成特征值的關(guān)聯(lián)信息,所述關(guān)聯(lián)信息包括生成特征值的秘 密和預(yù)設(shè)處理方法�;接收模塊,用于接收用戶輸入的第二終端提供給所述用戶的所述第二終端隨機(jī)數(shù) 生成模塊生成的第三數(shù)據(jù)����;特征值生成模塊,采用與所述第二終端第二特征值生成模塊采用的第三預(yù)設(shè)處理 方法相同的方法對所述第三數(shù)據(jù)及所述存儲模塊存儲的秘密進(jìn)行處理生成第五特征值;輸出模塊���,用于將所述特征值生成模塊生成的第五特征值輸出給所述用戶����;所述第一終端包括發(fā)送模塊���,用于向第二終端發(fā)送所述用戶輸入的訪問受保護(hù)資源的請求、用戶名�����、 所述第三終端特征值生成模塊生成的第五特征值��;接收模塊�,用于接收所述第二終端隨機(jī)數(shù)生成模塊生成的第三數(shù)據(jù),并輸出給所 述用戶�。本發(fā)明所提供的方法和系統(tǒng)可以實(shí)現(xiàn)數(shù)字簽名,并可以實(shí)現(xiàn)身份認(rèn)證��,防止了中 間人釣魚網(wǎng)站的攻擊�����,在一定程度了網(wǎng)絡(luò)中進(jìn)行交易的安全性��。
圖1是本發(fā)明實(shí)施例1提供的一種安全訪問受保護(hù)資源的方法流程圖�;圖2是本發(fā)明實(shí)施例2提供的另一種安全訪問受保護(hù)資源的方法流程圖;圖3是本發(fā)明實(shí)施例3提供的一種安全訪問受保護(hù)資源的系統(tǒng)結(jié)構(gòu)示意圖��;圖4是本發(fā)明實(shí)施例4提供的一種安全訪問受保護(hù)資源的系統(tǒng)結(jié)構(gòu)示意圖
具體實(shí)施例方式為使本發(fā)明的目的���、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面將結(jié)合附圖對本發(fā)明實(shí)施方 式作進(jìn)一步地詳細(xì)描述���。實(shí)施例1本實(shí)施例提供了一種安全訪問受保護(hù)資源的方法,參見圖1�����,所述方法如下101��、第二終端接收第一終端發(fā)送的訪問受保護(hù)資源的請求��,根據(jù)預(yù)設(shè)的算法生成 第三數(shù)據(jù)并保存����;具體地�,生成的第三數(shù)據(jù)可以是一個(gè)2到8位的隨機(jī)數(shù)�,但不局限于2到8位,也 不局限于數(shù)字形式��,還可以是字母�、字母+數(shù)字等。
102���、第二終端將生成的第三數(shù)據(jù)發(fā)送給第一終端��,第一終端顯示輸出該第三數(shù) 據(jù)����;103�、第三終端對第三數(shù)據(jù)、特征因子及存儲的秘密進(jìn)行處理��,生成第五特征值��;需要說明的是���,在此之前�,用戶將第一終端顯示輸出的第三數(shù)據(jù)輸入第三終端。具體地���,特征因子是第三終端獲取的當(dāng)前時(shí)間值或計(jì)數(shù)值。具體地�,1)、第三終端將第三數(shù)據(jù)����、特征因子進(jìn)行組合,生成中間值�����,其中�����,將第三 數(shù)據(jù)及特征因子進(jìn)行組合包括但不限于串行連接�;2)、采用預(yù)設(shè)的密碼算法根據(jù)存儲的秘 密對中間值進(jìn)行加密�,得到密文;3)��、采用預(yù)設(shè)的截短方法對2)中計(jì)算得到的密文進(jìn)行截 短處理��,得到第五特征值。其中����,預(yù)設(shè)的密碼算法包括但不限于SHA1、SHA256�����、SHA512 ��;其中�����,預(yù)設(shè)的截短方法包括但不限于掩碼壓縮和自定義壓縮中的至少一種����。
具體地,本步驟還包括第三終端生成第五特征值后更新特征因子�。104、第一終端將用戶名及第五特征值發(fā)送給第二終端��;具體的�����,在此之前,用戶將用戶名及第三終端生成并顯示的第五特征值輸入到第 一終端�;105、第二終端根據(jù)用戶名查找第三終端的設(shè)備編號�����、秘密����;在本實(shí)施例中����,第三終端具有唯一的編號,并且每個(gè)第三終端中都存儲有秘密�����,該 秘密為第三終端利用特征值算法生成特征值時(shí)所需的靜態(tài)參數(shù)�,每個(gè)第三終端中存儲的秘 密不重復(fù),用戶將用戶名(例如�,賬號)和第三終端綁定后,第二終端上將會存儲與用戶賬 號對應(yīng)的第三終端的編號和秘密�,并存儲有與第三終端相同的特征值算法,用以生成特征 值���;第二終端根據(jù)用戶名查找用戶所持的第三終端的秘密包括第二終端根據(jù)用戶 名查找與該用戶的用戶名綁定的第三終端的編號��,根據(jù)第三終端的編號查找第三終端的秘 密�;第二終端根據(jù)用戶名查找用戶所持的第三終端的秘密還可以為在用戶將第三終 端與用戶名綁定時(shí),第二終端建立用戶名與第三終端的秘密的對應(yīng)關(guān)系�����,在第二終端查找 秘密時(shí)��,根據(jù)用戶名直接就可以找到對應(yīng)的第三終端的秘密����。106、第二終端根據(jù)第三數(shù)據(jù)���、特征因子��、查找得到的秘密生成第六特征值��;具體地�����,第二終端采用與第三終端生成第五特征值相同的算法生成第六特征值�����, 此處就不再贅述�。本實(shí)施例中,第二終端按照與第三終端相同的方式更新特征因子���,從而保證第三 終端與第二終端同步����。無論是第三終端還是第二終端���,更新特征因子均采用如下方式獲取當(dāng)前國際標(biāo)準(zhǔn)時(shí)間,將當(dāng)前國際標(biāo)準(zhǔn)時(shí)間加或減指定值后的結(jié)果���,作為更新 后的時(shí)間因子���,該指定的值可以根據(jù)需要進(jìn)行設(shè)置及修改,如設(shè)置為30秒����、60秒等等;或者,獲取當(dāng)前計(jì)數(shù)值�����,將當(dāng)前計(jì)數(shù)值加或減指定值后的結(jié)果���,作為更新后的特征 因子����,該指定的值可以根據(jù)需要進(jìn)行設(shè)置及修改��,如設(shè)置為1次��、2次等����。需要說明的是,當(dāng)?shù)谌K端與第二終端均采用當(dāng)前獲取的時(shí)間值作為特征因子生 成第五特征值或第六特征值時(shí)���,第三終端與第二終端的時(shí)鐘頻率應(yīng)當(dāng)保持同步����。
107�����、第二終端對比接收到的第五特征值是否與第六特征值一致,如果一致�����,執(zhí)行108;如果不一致�����,執(zhí)行109;108�、允許訪問受保護(hù)資源;109���、拒絕訪問受保護(hù)資源�; 在本發(fā)明實(shí)施例中��,當(dāng)生成特征值時(shí)有當(dāng)前計(jì)數(shù)值的參與時(shí)����,需要對第二終端的 特征因子進(jìn)行修正�,修正過程如下在生成特征值時(shí)將設(shè)備(第三終端或第二終端)生成特征值的次數(shù)作為特征因 子,第一次生成特征值時(shí)特征因子為計(jì)數(shù)值1���、第二次生成特征值時(shí)特征因子為計(jì)數(shù)值2����, 以此類推,每生成一次特征值計(jì)數(shù)值增加1����,也可以為增加一個(gè)預(yù)設(shè)步長。由于第三終端和 第二終端是單獨(dú)計(jì)次的���,而且�,第三終端在每次生成特征值后���,計(jì)數(shù)器就自增����,第二終端則 是在認(rèn)證成功后�����,計(jì)數(shù)器才自增��,很容易產(chǎn)生計(jì)數(shù)不一致的現(xiàn)象����,因此需要對第二終端所存 儲的計(jì)數(shù)值進(jìn)行修正����;設(shè)定在第三終端生成第五特征值時(shí)使用的特征因子為計(jì)數(shù)值218�,此時(shí)在第二終 端中保存的特征因子為計(jì)數(shù)值210,在第二終端計(jì)算第六特征值時(shí)設(shè)定計(jì)數(shù)值浮動范圍為 10���,計(jì)算210作為特征因子對應(yīng)的特征值����,并將計(jì)數(shù)值逐漸增加到210+10���,并同時(shí)進(jìn)行第六 特征值的計(jì)算���,每計(jì)算出一個(gè)第六特征值,即與第五特征值進(jìn)行比對����,如不相同則增加計(jì)算 值繼續(xù)進(jìn)行第六特征值的計(jì)算����。由上可知,第二終端生成第六特征值時(shí)��,分別以計(jì)數(shù)值210�、 211……219���、220作為特征因子��,生成一組最多11個(gè)特征值�,第二終端將接收到的第五特征 值與上述11個(gè)特征值進(jìn)行比對�,當(dāng)?shù)诙K端以計(jì)數(shù)值218作為特征因子生成的特征值時(shí)比 對成功����,則認(rèn)為第五特征值正確�,并停止第六特征值的計(jì)算,這時(shí)還要對第二終端存儲的計(jì) 數(shù)值進(jìn)行修正��,將218作為正確的計(jì)數(shù)值����,使得第三終端與第二終端的計(jì)數(shù)值保持同步��,同 時(shí)第二終端將計(jì)數(shù)值218增加1 (或預(yù)定的步長)保存��,作為下次計(jì)算特征值的特征因子, 如果上述一組11個(gè)第一認(rèn)證碼中沒有與第五特征值相同的�����,則認(rèn)為第五特征值不正確�����。當(dāng)參與運(yùn)算的特征因子是當(dāng)前獲取的時(shí)間值時(shí)�����,為了防止由于操作上的延時(shí)而導(dǎo) 致第三終端進(jìn)行了特征因子的更新,而不與第二終端中的特征因子同步�,還可以提供一個(gè) 容錯(cuò)的范圍,具體如下第二終端用與第三終端生成第五特征值相同的方法生成多個(gè)第六特征值作為窗 口�,通過比對窗口內(nèi)是否有與第五特征值相同的第六特征值來進(jìn)行驗(yàn)證�,如果窗口內(nèi)有一 個(gè)第六特征值與第五特征值相同,則驗(yàn)證成功�,如果窗口了所有的第六特征值均與第五特 征值不同��,則驗(yàn)證失?����?����;相應(yīng)地���,當(dāng)比對窗口內(nèi)有與第五特征值相同的第六特征值時(shí),第二終端將比對成 功的第六特征值對應(yīng)的特征因子作為當(dāng)前的特征因子���,按照與第三終端相同的方式更新該 當(dāng)前特征因子��。例如���,在第三終端內(nèi)部中每60秒產(chǎn)生一個(gè)6位的第五特征值,當(dāng)前時(shí)間 為“10:57:00”�,生成的第五特征值為“708902”,則下一個(gè)第五特征值的生成時(shí)間是 “10:58:00”�����。第二終端的當(dāng)前時(shí)間為“10:57:00”����,在該時(shí)間的基礎(chǔ)上分別減少以及增 加指定的值����,如60秒�����,則得到其他6個(gè)特征因子“10:24:00”�、“10:25:00”、“10:26:00”���、 “10:58:00”���、“10:59:00”、“11:00:00”���,第二終端根據(jù)當(dāng)前特征因子和其他6個(gè)特征因子分別生成7個(gè)第六特征值�,按照時(shí)間的順序分別為:“718002”����、“540065”、“540786”、 “708902”���、“005468”���、“654009”����、“075400”,第二終端將收到的第五特征值與該7個(gè)第六特 征值進(jìn)行對比��,如果該第五特征值與上述7個(gè)第六特征值中的某一個(gè)特征值相同��,則本次 驗(yàn)證通過���,允許訪問���,且根據(jù)當(dāng)前匹配的特征值確定對應(yīng)的特征因子,更新該特征因子��,用 于下次驗(yàn)證��,如當(dāng)前匹配的認(rèn)證碼是“708902”�,對應(yīng)的特征因子是“10:57:00”,則將其更 新為“10:58:00” ;如果7個(gè)第六特征值中沒有與第五特征值相同的特征值���,則本次驗(yàn)證失 敗�,不允許訪問�����。需要說明的是���,在計(jì)算特征值或認(rèn)證碼時(shí)��,參與運(yùn)算的除了必須的第三數(shù)據(jù)及秘 密外�,特征因子是可選的�,參與運(yùn)算的還可以包括其他可選項(xiàng),如會話信息(會話信息等)��、 PIN碼或PIN碼哈希值等����,參與運(yùn)算的可選項(xiàng)是認(rèn)證雙方事先約定好的。還需要說明的是�����,當(dāng)?shù)诙K端產(chǎn)生的第三數(shù)據(jù)為待簽名數(shù)據(jù)或待簽名數(shù)據(jù)的哈希 值時(shí),上述基于特征值的訪問流程還可以實(shí)現(xiàn)數(shù)字簽名(明文簽名)的功能���,即第三終端將 用于簽名 的第三數(shù)據(jù)運(yùn)用于上面介紹的生成第五特征值的算法計(jì)算簽名��,即第五特征值����, 并發(fā)送簽名給第二終端�����,第二終端采用上述所說的驗(yàn)證方法(生成第一認(rèn)證碼�,對比第一 認(rèn)證碼是否與第五特征值相同)對該簽名進(jìn)行驗(yàn)證���,這樣在實(shí)現(xiàn)對第一終端驗(yàn)證的同時(shí)����, 達(dá)到了數(shù)字簽名的目的�。在實(shí)際運(yùn)用中,上述實(shí)施例中的第三數(shù)據(jù)是由待簽名數(shù)據(jù)或待簽名數(shù)據(jù)的哈希值 轉(zhuǎn)換得到的����。實(shí)施例2本實(shí)施例提供了一種安全訪問受保護(hù)資源的方法,參見圖2,所述方法如下201 第三終端生成第一數(shù)據(jù)并保存�����,其中�����,該第一數(shù)據(jù)具體為隨機(jī)數(shù)��;需要說明的是��,使第三終端生成隨機(jī)數(shù)的方法有多種��,例如����,第三終端帶有按鍵, 用戶第一次按下按鍵后�����,第三終端根據(jù)內(nèi)置的算法生成一個(gè)隨機(jī)數(shù)�����,其中,該隨機(jī)數(shù)可以是 一個(gè)2到8位數(shù)字的隨機(jī)數(shù)��,但不局限于2-8位�,也不局限于數(shù)字形式,可以是字母����、字母+ 數(shù)字等。202 第一終端將第一數(shù)據(jù)���、用戶名���、PIN碼及訪問受保護(hù)資源的請求發(fā)送給第二 終端�;在此之前,用戶將第三終端生成顯示的第一數(shù)據(jù)��、用戶名及PIN碼輸入第一終端�。203 第二終端根據(jù)預(yù)設(shè)的算法生成第二數(shù)據(jù),并保存該生成的第二數(shù)據(jù)�;其中,第二數(shù)據(jù)具體為隨機(jī)數(shù)����,該值可以是任意2到8位數(shù)字的隨機(jī)數(shù)�,但不限于 2到8位��,也不局限于數(shù)字形式�����,可以是字母���、字母+數(shù)字等����。204��、第二終端根據(jù)接收到的用戶名查找第三終端的編號�����、秘密����;在本實(shí)施例中,第三終端具有唯一的編號����,并且每個(gè)第三終端中都存儲有秘密��,該 秘密為第三終端利用特征值算法生成特征值時(shí)所需的靜態(tài)參數(shù)����,每個(gè)第三終端中存儲的秘 密不重復(fù)�����,用戶將用戶名(例如�����,賬號)和第三終端綁定后����,第二終端上將會存儲與用戶賬 號對應(yīng)的第三終端的編號和秘密,并存儲有與第三終端相同的特征值算法�,用以生成特征 值���;第二終端根據(jù)用戶名查找用戶所持的第三終端的秘密包括第二終端根據(jù)用戶 名查找與該用戶的用戶名綁定的第三終端的編號���,根據(jù)第三終端的編號查找第三終端的秘密;第二終端根據(jù)用戶名查找用戶所持的第三終端的秘密還可以為在用戶將第三終 端與用戶名綁定時(shí)�,第二終端建立用戶名與第三終端的秘密的對應(yīng)關(guān)系����,在第二終端查找 秘密時(shí)����,根據(jù)用戶名直接就可以找到對應(yīng)的第三終端的秘密。�;205、第二終端對秘密��、第一數(shù)據(jù)�、第二數(shù)據(jù)及PIN碼進(jìn)行處理,生成第一特征值��, 并保存該生成的第一特征值����;具體地1)、第二終端將第一數(shù)據(jù)��、第二數(shù)據(jù)����、PIN碼進(jìn)行組合,生成中間值����,其中����, 將第一數(shù)據(jù)�����、第二數(shù)據(jù)��、PIN碼進(jìn)行組合包括但不限于串行連接���;2)��、根據(jù)預(yù)設(shè)的密碼算法 根據(jù)查找得到的秘密對中間值進(jìn)行加密��,得到密文����;3)�����、采用預(yù)設(shè)的截短方法對2)中計(jì)算 得到的密文進(jìn)行截短處理��,生成第一特征值�;其中,預(yù)設(shè)的密碼算法包括但不限于SHA1�、SHA256、SHA256 ��;其中�����,預(yù)設(shè)的截短方法包括但限于掩碼壓縮或自定義壓縮中的至少一種����。
206��、第二終端將第一特征值及第二數(shù)據(jù)發(fā)送給第一終端�����,第一終端顯示輸出第一 特征值及第二數(shù)據(jù)�;207、第三終端根據(jù)存儲的秘密�����、第一數(shù)據(jù)、第二數(shù)據(jù)及PIN碼生成第二特征值����,并 顯示輸出;在此之前����,用戶將PIN碼及第一終端顯示輸出的第二數(shù)據(jù)輸入第三終端;在本實(shí)施例中�����,第三終端在用戶的第二次觸發(fā)下生成第二特征值����,生成第二特征 值的特征值算法與步驟205中第二終端生成第一特征值的算法相同,此處就不再贅述�����;208�、用戶將第三終端輸出的第二特征值與第一終端顯示的第一特征值進(jìn)行對比,如果相同���,則認(rèn)為第二終端是合法的�����,執(zhí)行209 ���;如果不相同,則認(rèn)為第二終端不合法���,執(zhí)行214 ���;209、第三終端根據(jù)存儲的秘密�、第二數(shù)據(jù)、第一數(shù)據(jù)及PIN碼生成第三特征值���,并 顯示輸出�;在本實(shí)施例中����,第三終端在用戶的第三次觸發(fā)下生成第三特征值;具體地1)���、將第二數(shù)據(jù)�、第一數(shù)據(jù)、PIN碼進(jìn)行組合��,生成中間值�,其中,將第二數(shù) 據(jù)���、第一數(shù)據(jù)�����、PIN碼進(jìn)行組合包括但不限于串行連接�;2)�、根據(jù)預(yù)設(shè)的密碼算法根據(jù)存儲 的秘密對中間值進(jìn)行加密,得到密文�����;3)�����、采用預(yù)設(shè)的截短方法對2)中計(jì)算得到的密文進(jìn) 行截短處理���,生成第三特征值����;其中,預(yù)設(shè)的密碼算法包括但不限于SHA1�、SHA256�、SHA256 ;其中���,預(yù)設(shè)的截短方法包括但限于掩碼壓縮或自定義壓縮中的至少一種���。210、第一終端將第三特征值發(fā)送給第二終端�;在此之前,用戶將第三終端生成的第三特征值輸入到第一終端����。211、第二終端根據(jù)查找得到的秘密��、第二數(shù)據(jù)��、第一數(shù)據(jù)及PIN碼生成第四特征 值�����;具體地,第二終端根據(jù)秘密�、第二數(shù)據(jù)、第一數(shù)據(jù)及PIN碼采用與第三終端生成第 三特征值時(shí)相同的算法來生成第四特征值�;212、第二終端比較生成的第四特征值是否與接收到的第三特征值相同�,如果相同,則認(rèn)為第一終端是合法的���,執(zhí)行213 ���;
如果不相同,則認(rèn)為第一終端不合法執(zhí)行214 ��;213���、允許訪問受保護(hù)的資源���;214、拒絕訪問受保護(hù)的資源��。需要說明的是����,特征值生成時(shí)采用的參數(shù)中除了第一數(shù)據(jù)��、第二數(shù)據(jù)��、秘密外���,其 他的參數(shù)是可選項(xiàng),例如實(shí)施例1中參中參與運(yùn)算的特征因子�����、本實(shí)施例中的PIN碼��,可選 的因子還可以包括第一及第二終端間的會話信息��,如會話信息等�����,參與運(yùn)算的可選項(xiàng)是事 先預(yù)定好的��。需要說明的是���,在生成第一特征值與第三特征值時(shí)���,參與運(yùn) 算的第一數(shù)據(jù)與第二 數(shù)據(jù)的組合方式是不同的;需要說明是����,當(dāng)?shù)诙K端產(chǎn)生的第二數(shù)據(jù)為待簽名數(shù)據(jù)或待簽名數(shù)據(jù)的哈希值 時(shí),上述基于特征值的訪問方法的流程還可以實(shí)現(xiàn)數(shù)字簽名(明文簽名)的功能����,流程如 下第一終端向第二終端發(fā)送一個(gè)隨機(jī)的第一數(shù)據(jù),第二終端計(jì)算該第一數(shù)據(jù)的應(yīng)答(即 第一特征值)�,并和用于簽名的第二數(shù)據(jù)發(fā)送到第一終端,第一終端首先會驗(yàn)證第二終端的 應(yīng)答(即第三終端是生成第二特征值����,并比較是否與第一特征值相同),然后�����,計(jì)算該用于 簽名的隨機(jī)數(shù)的簽名(即生成第三特征值��,)���,并發(fā)送給第二終端��,第二終端對該簽名進(jìn)行 驗(yàn)證(即生成第四特征值���,并比較是否與第三特征值相同)����,這樣在實(shí)現(xiàn)對第一終端身份認(rèn) 證的同時(shí)���,達(dá)到了數(shù)字簽名的目的�。在實(shí)際運(yùn)用中�,上述實(shí)施例中的隨機(jī)數(shù)是由待簽名數(shù)據(jù)或待簽名數(shù)據(jù)的哈希值轉(zhuǎn) 換得來的。實(shí)施例3本實(shí)施例提供了一種安全訪問受保護(hù)資源的系統(tǒng)�����,參見圖3��,該系統(tǒng)包括第三終 端301����、第一終端302和第二終端303���,其中�����,各設(shè)備功能如下第三終端301包括存儲模塊3011��,用于存儲生成特征值的關(guān)聯(lián)信息����,該關(guān)聯(lián)信息包括生成特征值的 秘密和預(yù)設(shè)處理方法;其中���,預(yù)設(shè)處理方法包括預(yù)設(shè)密碼算法和截短處理方法�;接收模塊3012�,用于接收用戶輸入的確認(rèn)信息(例如,按鍵等部件)及第三數(shù)據(jù)���, 所述第三數(shù)據(jù)為隨機(jī)數(shù)���;接收模塊3012還用于接收用戶輸入的PIN碼及第一終端與第二終端間的會話信 息;特征值生成模塊3013���,用于當(dāng)接收模塊3012接收到用戶輸入的確認(rèn)信息后��,根據(jù) 接收模塊3012接收到的第三數(shù)據(jù)�����、存儲模塊3011存儲的秘密��,采用存儲模塊3011存儲的 第三預(yù)設(shè)處理方法生成第五特征值����;具體地,特征值生成模塊3013包括加密單元3013A,用于根據(jù)存儲模塊3011存儲的秘密采用第三預(yù)設(shè)密碼算法對接 收模塊3012接收到的第三數(shù)據(jù)進(jìn)行加密處理;生成單元3013B����,用于對加密單元的加密結(jié)果采用第三預(yù)設(shè)截短處理方法進(jìn)行截 短處理�,生成第五特征值。輸出模塊3014���,用于當(dāng)接收模塊3012接收到用戶輸入的確認(rèn)信息后�����,輸出特征值生成模塊3013生成的第五特征值;本實(shí)施例中的 接收模塊3012還可以接收用戶輸入的PIN碼�、會話信息等���;本實(shí)施例中的存儲模塊3011還可以存儲生成特征值的次數(shù)���;第一終端302包括發(fā)送模塊3021�,用于向所述第二終端發(fā)送用戶輸入的訪問受 保護(hù)資源的請求����、用戶名�����、第三終端特征值生成模塊3013生成的特征值�;接收模塊3022�����,用于接收第二終端隨機(jī)數(shù)生成模塊3033生成的第三數(shù)據(jù),該第三 數(shù)據(jù)為隨機(jī)數(shù)���,并輸出給所述用戶����;該第一終端302與第二終端303通過互聯(lián)網(wǎng)連接�����,其上有輸入裝置和輸出裝置�����,輸 入裝置用于接收用戶輸入的信息�,并同網(wǎng)絡(luò)將該信息發(fā)送給第二終端,該輸入裝置可以是 鍵盤等����;輸入裝置用于將從第二終端303接收的信息輸出給用戶��,該輸出裝置可以是一個(gè) 顯示器,也可以是音頻播放器等����;第二終端303包括存儲模塊3031����,用于存儲生成特征值的關(guān)聯(lián)信息,該關(guān)聯(lián)信息包括與用戶名綁定 的第三終端的秘密及預(yù)設(shè)處理方法��;其中���,預(yù)設(shè)處理方法包括預(yù)設(shè)密碼算法和截短處理方法���;接收模塊3032����,用于接收第一終端302的發(fā)送模塊3021發(fā)送的訪問受保護(hù)資源的 請求�����、用戶名和第五特征值�;隨機(jī)數(shù)生成模塊3033��,用于生成隨機(jī)數(shù)�����,本實(shí)施例中為第三數(shù)據(jù)�����;特征值生成模塊3034�,用于生成第六特征值�;具體地�,特征值生成模塊3034包括查找單元3034A,用于根據(jù)接收模塊3032接 收到的用戶名在存儲模塊3031中查找第三終端的秘密和預(yù)設(shè)處理方法��;加密單元3034B��,用于根據(jù)查找單元3034A查找得到的第三終端301的秘密采用第 三預(yù)設(shè)密碼算法對隨機(jī)數(shù)生成單元3033生成的第三數(shù)據(jù)進(jìn)行加密處理��;生成單元3034C�����,用于對加密單元3034B的加密結(jié)果采用第三預(yù)設(shè)截短處理方法 進(jìn)行截短處理����,生成第六特征值。驗(yàn)證模塊3035���,用于驗(yàn)證特征值生成模塊3034生成的第六特征值與接收模塊 3032接收到的第五特征值���;具體地,驗(yàn)證模塊3035包括比對單元3035A��,用于比對特征值生成模塊3034生 成的第六特征值是否與接收到的第五特征值一致�����;執(zhí)行單元3035B�����,用于當(dāng)所述比對單元比對特征值生成模塊3034生成的第六特 征值與接收到的第五特征值的結(jié)果是一致的��,則允許訪問受保護(hù)資源���;當(dāng)特征值生成模塊 3034生成的第六特征值與接收到的第五特征值的結(jié)果不一致的�����,則拒絕訪問受保護(hù)資源����。本實(shí)施例中,接收模塊3032還用于第一終端302返回的PIN碼�����、會話信息等��;輸出模塊3036����,用于第二生成模塊3034生成第三數(shù)據(jù)后,輸出第三數(shù)據(jù)給第一終 端 302�。本實(shí)施例中,第三預(yù)設(shè)密碼算法包括指紋算法或加密用散列算法���;本實(shí)施例中,第三預(yù)設(shè)截短處理方法包括掩碼壓縮或自定義壓縮方法����。本實(shí)施例中���,特征值生成模塊3013和特征值生成模塊3034在生成特征值時(shí),還可 以根據(jù)可選參數(shù)�,包括特征因子和/或PIN碼和/或會話信息,來生成特征值��,其中�,特征因子包括時(shí)間值或特征值生成次數(shù),具體如實(shí)施例1中所述��,此處就不再贅述��;具體地��,將第三數(shù)據(jù)及可選參數(shù)進(jìn)行組合�����,該組合包括但不限于串行連接����;采用第 三預(yù)設(shè)密碼算法對組合后數(shù)據(jù)進(jìn)行加密;采用第三預(yù)設(shè)截短處理方法將加密結(jié)果進(jìn)行截短 處理����,得到特征值�。具體地�����,在可選參數(shù)包括特征因子時(shí)���,第二終端303還包括��,更新模塊����,用于在生 成第六特征值后����,對特征因子進(jìn)行更新。實(shí)施例4本實(shí)施例提供了一種認(rèn)證系統(tǒng)���,參見圖4�,該系統(tǒng)包括第三終端401���、第一終端 402和第二終端403���,其中,各設(shè)備功能如下第三終端401包括存儲模塊4011�,用于存儲生成特征值的關(guān)聯(lián)信息,該關(guān)聯(lián)信息包括生成特征值的 秘密和預(yù)設(shè)處理方法��;其中����,預(yù)設(shè)處理方法包括預(yù)設(shè)密碼算法和截短處理方法; 接收模塊4012���,用于接收用戶輸入的確認(rèn)信息(例如��,按鍵等部件)及第二終端隨 機(jī)數(shù)生成模塊4033生成的第二數(shù)據(jù)���;隨機(jī)數(shù)生成模塊4013,用于生成第一數(shù)據(jù)��,該第一數(shù)據(jù)為隨機(jī)數(shù)�;特征值生成模塊4014,用于采用與所述第二終端特征值生成模塊4033采用的第 一預(yù)設(shè)處理方法相同的方法對第一數(shù)據(jù)���、第二數(shù)據(jù)及存儲模塊4011存儲的秘密進(jìn)行處理 生成第二特征值����,在第一接收模塊4012接收到用戶的確認(rèn)信息后,采用與第二終端特征 值生成模塊4033采用的第二預(yù)設(shè)處理方法相同的方法對第一數(shù)據(jù)��、第二數(shù)據(jù)及存儲模塊 4011存儲的秘密進(jìn)行處理生成第三特征值��;具體地���,特征值生成模塊4014包括組合單元4014A�,用于將隨機(jī)數(shù)生成模塊4013生成的第一數(shù)據(jù)與接收模塊4012接 收到的第二數(shù)據(jù)進(jìn)行串行連接��;加密單元4014B����,用于根據(jù)存儲模塊4011存儲的秘密采用第一預(yù)設(shè)密碼算法對組 合單元4014A的連接結(jié)果進(jìn)行加密處理;生成單元4014C�����,用于采用第一預(yù)設(shè)截短處理方法對所述加密單元4014B的加密 結(jié)果進(jìn)行處理�����,生成第二特征值���。和組合單元4014A'�����,用于將第二數(shù)據(jù)及第一數(shù)據(jù)進(jìn)行串行連接����;加密單元4014B'�����,用于根據(jù)存儲模塊4011存儲的秘密采用第二預(yù)設(shè)密碼算法對 組合單元4014A'的連接結(jié)果進(jìn)行加密處理��;生成單元4014C'�����,用于采用第二預(yù)設(shè)截短處理方法對加密單元4014B'的加密 結(jié)果進(jìn)行處理��,生成第三特征值�����。輸出模塊4015��,用于當(dāng)接收模塊4012接收到用戶輸入確認(rèn)信息后,輸出第二特征 值及第三特征值��;其中���,輸出模塊4015輸出第二特征值后�����,用戶對比第二特征值與第二終 端生成的第一特征值是否一致���,一致,確認(rèn)第二終端合法���;本實(shí)施例中的接收模塊4012還可以接收用戶輸入的PIN碼���、會話信息等;第一終端402包括
發(fā)送模塊4021����,用于向所述第二終端發(fā)送用戶輸入的訪問受保護(hù)資源的請求、用 戶名����、第三終端隨機(jī)數(shù)生成模塊4013生成的第一數(shù)據(jù)及特征值生成模塊4014生成的第三 特征值����;接收模塊4022���,用于接收所述第二終端隨機(jī)數(shù)生成模塊4033生成的第二數(shù)據(jù)及 第二終端特征值生成模塊4013生成的第一特征值�,并輸出給所述用戶����;該第一終端402與第二終端403通過互聯(lián)網(wǎng)連接����,其上有輸入裝置和輸出裝置,輸 入裝置用于接收用戶輸入的信息�����,并同網(wǎng)絡(luò)將該信息發(fā)送給第二終端�����,該輸入裝置可以是 鍵盤等����;輸入裝置用于將從第二終端403接收的信息輸出給用戶�,該輸出裝置可以是一個(gè) 顯示器����,也可以是音頻播放器等;
第二終端403包括存儲模塊4031�,用于存儲生成特征值的關(guān)聯(lián)信息,該關(guān)聯(lián)信息包括與用戶名綁定 的第三終端的秘密和預(yù)設(shè)處理方法��;接收模塊4032�,用于接收第一終端402發(fā)送模塊4021發(fā)送的訪問受保護(hù)資源的請 求、用戶名��、第一數(shù)據(jù)和第三特征值�����;隨機(jī)數(shù)生成模塊4033�,用于生成隨機(jī)數(shù),本實(shí)例中����,生成的隨機(jī)數(shù)為第二數(shù)據(jù);特征值生成模塊4034����,用于當(dāng)接收模塊4032接收到第一數(shù)據(jù)后�,采用第一預(yù)設(shè)處 理方法對第一數(shù)據(jù)��、第二數(shù)據(jù)及存儲模塊4031存儲的秘密進(jìn)行處理生成第一特征值����;當(dāng)接 收模塊4032接收到第三特征值時(shí),采用第二預(yù)設(shè)處理方法對第一數(shù)據(jù)��、第二數(shù)據(jù)及存儲模 塊存儲4013的秘密進(jìn)行處理生成第四特征值���;具體地���,特征值生成模塊4034包括查找單元4034A���,用于根據(jù)接收模塊4032接收到的用戶名在存儲模塊4031中查找 第三終端401的秘密和預(yù)設(shè)處理方法��;組合單元4034B����,用于將第一數(shù)據(jù)與第二數(shù)據(jù)進(jìn)行串行連接���;�����;加密單元4034C�,用于根據(jù)查找得到的秘密采用第一預(yù)設(shè)密碼算法對組合單元 4034B的連接結(jié)果進(jìn)行加密處理�;生成單元4034D,用于采用第一預(yù)設(shè)截短處理方法對加密單元4034C的加密結(jié)果 進(jìn)行處理�,生成第一特征值�;和組合單元4034B'�,用于將第二數(shù)據(jù)及第一數(shù)據(jù)進(jìn)行串行連接�����;加密單元4034C'����,用于根據(jù)查找得到的秘密采用第二預(yù)設(shè)密碼算法對組合單元 4034B'的連接結(jié)果進(jìn)行加密處理���;生成單元4034D',用于采用第二預(yù)設(shè)截短處理方法對加密單元4034C'的加密 結(jié)果進(jìn)行處理���,生成第四特征值����。驗(yàn)證模塊4035����,用于判斷特征值生成模塊4034生成的第四特征值是否與接收模 塊4032接收到的第三特征值一致,一致,認(rèn)為第一終端合法;具體地�����,驗(yàn)證模塊4035包括比對單元4035A�����,用于比對特征值生成模塊4034生成的第四特征值是否與接收到
的第三特征值一致��;執(zhí)行單元4035B�,用于當(dāng)所述比對單元4035A比對特征值生成模塊4034生成的第四特征值與接收到的第三特征值的 結(jié)果是一致的,則允許訪問受保護(hù)資源���;當(dāng)特征值生 成模塊4034生成的第四特征值與接收到的第三特征值的結(jié)果不一致的����,則拒絕訪問受保 護(hù)資源�����。輸出模塊4036,用于特征值生成模塊4034生成第二數(shù)據(jù)�����、第一特征值后����,輸出第 二數(shù)據(jù)、第一特征值給第一終端402 �;本實(shí)施例中�,接收模塊4032還用于第一終端402返回的PIN碼��、會話信息等�;本實(shí)施例中��,第一及第二預(yù)設(shè)密碼算法包括指紋算法或加密用散列算法;本實(shí)施例中,第一及第二預(yù)設(shè)截短處理方法包括掩碼壓縮或自定義壓縮方法。本實(shí)施例中�����,特征值生成模塊4013和特征值生成模塊4034在生成特征值時(shí)�����,還可 以根據(jù)可選參數(shù),包括特征因子和/或PIN碼和/或會話信息�,來生成特征值��,其中�����,特征 因子包括時(shí)間值或特征值生成次數(shù)�����;具體地�,將第一數(shù)據(jù)���、第二數(shù)據(jù)及可選參數(shù)進(jìn)行組合,該組合包括但不限于串行連 接�;采用預(yù)設(shè)密碼算法對組合后數(shù)據(jù)進(jìn)行加密;采用預(yù)設(shè)截短處理方法將加密結(jié)果進(jìn)行截 短處理����,得到特征值,如實(shí)施例2中相應(yīng)部分所述���,此處就不再贅述���。具體地,在可選參數(shù)包括特征因子時(shí)�,第二終端403還包括更新模塊,用于在生 成第一及第四特征值后,對特征因子進(jìn)行更新����。本發(fā)明實(shí)施例所提供的方法和系統(tǒng)可以實(shí)現(xiàn)數(shù)字簽名,并可以實(shí)現(xiàn)身份認(rèn)證��,防 止了中間人釣魚網(wǎng)站的攻擊�����,在一定程度了網(wǎng)絡(luò)中進(jìn)行交易的安全性�����。以上所述�����,僅為本發(fā)明的具體實(shí)施方式
��,但本發(fā)明的保護(hù)范圍并不局限于此�����,任何 熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)�,可輕易想到的變化或替換,都應(yīng) 涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)����。因此,本發(fā)明的保護(hù)范圍應(yīng)所述以權(quán)利要求的保護(hù)范圍為 準(zhǔn)��。
權(quán)利要求
一種安全訪問受保護(hù)資源的方法����,其特征在于,所述方法包括第一終端向第二終端發(fā)出訪問受保護(hù)資源的請求�����,并將用戶輸入的用戶名及第一數(shù)據(jù)發(fā)送給所述第二終端���,所述第一數(shù)據(jù)由第三終端生成�����;所述第二終端生成第二數(shù)據(jù)���,并根據(jù)所述用戶名查找所述第三終端的秘密;所述第二終端根據(jù)第一預(yù)設(shè)處理方法對所述第一數(shù)據(jù)���、第二數(shù)據(jù)及所述查找得到的秘密進(jìn)行處理�,得到第一特征值,并將所述第一特征值及第二數(shù)據(jù)發(fā)送給所述第一終端�����,所述第一終端將所述第一特征值及第二數(shù)據(jù)提供給所述用戶����;所述第三終端接收所述用戶輸入的所述第二數(shù)據(jù),并根據(jù)與所述第一預(yù)設(shè)處理方法相同的處理方法對所述第一數(shù)據(jù)�、第二數(shù)據(jù)及所述第三終端預(yù)先存儲的秘密進(jìn)行處理,得到第二特征值�����,并在接收到所述用戶比對所述第一特征值與第二特征值一致的確認(rèn)信息后���,根據(jù)第二預(yù)設(shè)處理方法對所述第一數(shù)據(jù)���、第二數(shù)據(jù)及所述第三終端預(yù)先存儲的秘密進(jìn)行處理�,得到第三特征值,并將所述第三特征值輸出給所述用戶����;所述第一終端將所述用戶輸入的所述第三特征值發(fā)送給所述第二終端�����;所述第二終端根據(jù)與所述第二預(yù)設(shè)處理方法相同的處理方法對所述第一數(shù)據(jù)���、第二數(shù)據(jù)及所述查找得到的秘密進(jìn)行處理生成第四特征值,并比對所述第四特征值是否與接收到的所述第三特征值一致���,若一致����,則允許訪問���,否則����,拒絕訪問�����。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于���,所述第二終端根據(jù)第一預(yù)設(shè)處理方法對 所述第一數(shù)據(jù)、第二數(shù)據(jù)及所述查找得到的秘密進(jìn)行處理����,得到第一特征值包括將所述第一數(shù)據(jù)、第二數(shù)據(jù)進(jìn)行串行連接���,得到第一中間值�;采用第一預(yù)設(shè)密碼算法根據(jù)所述查找得到的秘密對所述第一中間值進(jìn)行處理�����,得到密 文信息��;采用第一預(yù)設(shè)截短方法對所述密文信息進(jìn)行截短處理�,得到第一特征值。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于����,所述第一預(yù)設(shè)密碼算法包括指紋算法或 安全散列算法����;所述第一預(yù)設(shè)截短方法包括掩碼壓縮或自定義壓縮。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,所述第三終端根據(jù)第二預(yù)設(shè)處理方法 對所述第一數(shù)據(jù)�、第二數(shù)據(jù)及所述第三終端預(yù)先存儲的秘密進(jìn)行處理,得到第三特征值包 括將所述第二中間值����、第一中間值進(jìn)行串行連接,得到第二中間值����; 采用第二預(yù)設(shè)密碼算法根據(jù)所述第三終端預(yù)先存儲的秘密對所述第二中間值進(jìn)行加 密處理,得到密文信息�;采用第二預(yù)設(shè)截短方法對所述密文信息進(jìn)行截短處理,得到第三特征值�。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于�����,所述第二預(yù)設(shè)密碼算法包括指紋算法或 安全散列算法;所述第二預(yù)設(shè)截短方法包括掩碼壓縮或自定義壓縮方法�����。
6.根據(jù)權(quán)利要求1所述的方法���,其特征在于�,所述方法還包括所述第三終端與第二終 端在生成特征值時(shí)��,處理的數(shù)據(jù)除了所述第一數(shù)據(jù)���、第二數(shù)據(jù)和秘密外��,還包括特征因子 和/或PIN碼和/或會話信息�����;其中����,所述特征因子包括時(shí)間值或特征值生成次數(shù)���。
7.根據(jù)權(quán)利要求6所述的方法����,其特征在于,所述第三終端與第二終端在生成特征值 后��,對所述特征因子進(jìn)行更新���。
8.根據(jù)權(quán)利要求6所述的方法,其特征在于��,所述方法還包括所述第二終端根據(jù)第一 預(yù)設(shè)處理方法對所述第一數(shù)據(jù)����、第二數(shù)據(jù)、特征因子和/或PIN碼和/或會話信息�、及所述 查找得到的秘密進(jìn)行處理,得到第一特征值��。
9.根據(jù)權(quán)利要求8所述的方法��,其特征在于�,所述第二終端根據(jù)第一預(yù)設(shè)處理方法對 所述第一數(shù)據(jù)、第二數(shù)據(jù)���、特征因子和/或PIN碼和/或會話信息���、及所述查找得到的秘密 進(jìn)行處理��,得到第一特征值包括將所述第一數(shù)據(jù)����、第二數(shù)據(jù)進(jìn)行串行連接�,得到第一中間值; 將所述第一中間值��、特征因子和/或PIN碼和/或會話信息進(jìn)行組合�����; 采用第一預(yù)設(shè)密碼算法根據(jù)所述查找得到的秘密對所述組合后得到的數(shù)據(jù)進(jìn)行加密 處理����,得到密文信息;采用第一預(yù)設(shè)截短方法對所述密文信息進(jìn)行截短處理�����,得到第一特征值���。
10.根據(jù)權(quán)利要求6所述的方法����,其特征在于,所述方法還包括所述第三終端根據(jù)第 二預(yù)設(shè)處理方法對所述第一數(shù)據(jù)�、第二數(shù)據(jù)、特征因子和/或PIN碼和/或會話信息�、及所 述第三終端預(yù)先存儲的秘密進(jìn)行處理,得到第三特征值�。
11.根據(jù)權(quán)利要求10所述的方法�����,其特征在于��,所述第三終端根據(jù)第二預(yù)設(shè)處理方法 對所述第一數(shù)據(jù)��、第二數(shù)據(jù)�、特征因子和/或PIN碼和/或會話信息、及所述第三終端預(yù)先 存儲的秘密進(jìn)行處理����,得到第三特征值包括將所述第二中間值、第一中間值進(jìn)行串行連接�����,得到第二中間值; 將所述第二中間值���、特征因子和/或PIN碼和/或會話信息進(jìn)行組合����; 采用第二預(yù)設(shè)密碼算法根據(jù)所述第三終端預(yù)先存儲的秘密對所述組合后得到的數(shù)據(jù) 進(jìn)行加密處理��,得到密文信息�����;采用第二預(yù)設(shè)截短方法對所述密文信息進(jìn)行截短處理�,得到第三特征值。
12.—種安全訪問受保護(hù)資源的方法����,其特征在于,所述方法包括第二終端接收到第一終端發(fā)送的訪問受保護(hù)資源的請求及用戶名����,根據(jù)預(yù)設(shè)的算法生 成第三數(shù)據(jù),并將所述第三數(shù)據(jù)提供給用戶��;第三終端根據(jù)第三預(yù)設(shè)處理方法對所述用戶輸入的所述第三數(shù)據(jù)、所述第三終端預(yù)先 存儲的秘密進(jìn)行處理��,得到第五特征值�,并將所述第五特征值輸出給所述用戶; 所述第二終端將所述用戶輸入的所述第五特征值發(fā)送給所述第二終端��; 所述第二終端根據(jù)所述用戶名查找所述第三終端的秘密����,并根據(jù)與所述第三預(yù)設(shè)處理 方法相同的算法對所述第三數(shù)據(jù)、所述查找得到的秘密進(jìn)行處理�,得到第六特征值,比對所 述第六特征值是否與所述第五特征值一致�����,若一致����,則允許訪問�����,否則�,拒絕訪問�����。
13.根據(jù)權(quán)利要求12所述的方法���,其特征在于,所述第三終端根據(jù)第三預(yù)設(shè)處理方法 對所述用戶輸入的所述第三數(shù)據(jù)����、所述第三終端預(yù)先存儲的秘密進(jìn)行處理包括采用第三預(yù)設(shè)密碼算法根據(jù)所述第三終端預(yù)先存儲的秘密對所述第三數(shù)據(jù)進(jìn)行加密, 得到密文信息��;采用第四預(yù)設(shè)截短方法對所述密文信息進(jìn)行截短處理��,得到第五特征值���。
14.根據(jù)權(quán)利要求13所述的方法��,其特征在于����,所述第三預(yù)設(shè)密碼算法包括指紋算法或安全散列算法�����;所述第三預(yù)設(shè)截短方法包括掩碼壓縮或自定義壓縮方法。
15.根據(jù)權(quán)利要求12所述的方法����,其特征在于,所述方法還包括所述第三終端與第 二終端在生成特征值時(shí)����,參與運(yùn)算的除了所述第三數(shù)據(jù)和秘密外,還包括特征因子和/或 PIN碼和/或會話信息�����;其中�,所述特征因子包括時(shí)間值或特征值生成次數(shù)。
16.根據(jù)權(quán)利要求15所述的方法���,其特征在于,所述第三終端與第二終端在生成特征 值后���,對所述特征因子進(jìn)行更新�。
17.根據(jù)權(quán)利要求15所述的方法���,其特征在于���,所述方法還包括第三終端根據(jù)第三預(yù) 設(shè)處理方法對所述用戶輸入的所述第三數(shù)據(jù)�、特征因子和/或PIN碼和/或會話信息�����、所述 第三終端預(yù)先存儲的秘密進(jìn)行處理�,得到第五特征值。
18.根據(jù)權(quán)利要求17所述的方法���,其特征在于��,第三終端根據(jù)第三預(yù)設(shè)處理方法對所 述用戶輸入的所述第三數(shù)據(jù)���、特征因子和/或PIN碼和/或會話信息、所述第三終端預(yù)先存 儲的秘密進(jìn)行處理�,得到第五特征值包括將所述第三數(shù)據(jù)、特征因子和/或PIN碼和/或會話信息進(jìn)行組合��; 采用第三預(yù)設(shè)密碼算法根據(jù)所述第三終端預(yù)先存儲的秘密對所述組合后得到的數(shù)據(jù) 進(jìn)行加密����,得到密文信息;采用第四預(yù)設(shè)截短方法對所述密文信息進(jìn)行截短處理�����,得到第五特征值。
19.一種安全訪問受保護(hù)資源的系統(tǒng)���,其特征在于�,所述系統(tǒng)包括第一終端�����、第二終 端和第三終端��;所述第二終端包括第二存儲模塊�,用于存儲生成特征值的關(guān)聯(lián)信息,所述關(guān)聯(lián)信息包括與用戶名綁定的 所述第三終端的秘密和預(yù)設(shè)處理方法����;第三接收模塊,用于接收所述第一發(fā)送模塊發(fā)送的訪問受保護(hù)資源的請求���、用戶名、第 一數(shù)據(jù)及第三特征值��;第二隨機(jī)數(shù)生成模塊����,用于生成第二數(shù)據(jù)����;第二特征值生成模塊�����,用于采用第一預(yù)設(shè)處理方法對所述第一數(shù)據(jù)����、第二數(shù)據(jù)及所述 第二存儲模塊存儲的秘密進(jìn)行處理生成第一特征值,采用第二預(yù)設(shè)處理方法對所述第一數(shù) 據(jù)��、第二數(shù)據(jù)及所述第二存儲模塊存儲的秘密進(jìn)行處理生成第四特征值��;驗(yàn)證模塊����,用于驗(yàn)證所述第二特征值生成模塊生成的第四特征值與所述第三接收模塊 接收到的第三特征值;第二輸出模塊���,用于輸出所述第二隨機(jī)數(shù)生成模塊生成的第二數(shù)據(jù)及第二特征值生成 模塊生成的第一特征值�; 所述第三終端包括第一存儲模塊,用于存儲生成特征值的關(guān)聯(lián)信息��,所述關(guān)聯(lián)信息包括生成特征值的秘 密和預(yù)設(shè)處理方法�����;第一接收模塊��,用于接收用戶輸入的第二終端提供給所述用戶的所述第二終端第二隨 機(jī)數(shù)生成模塊生成的第二數(shù)據(jù)�����,及所述用戶輸入的確認(rèn)信息����; 第一隨機(jī)數(shù)生成模塊,用于生成第一數(shù)據(jù)���;第一特征值生成模塊�,采用與所述第二終端第二特征值生成模塊采用的第一預(yù)設(shè)處理 方法相同的方法對所述第一數(shù)據(jù)��、第二數(shù)據(jù)及所述第一存儲模塊存儲的秘密進(jìn)行處理生成 第二特征值�����,在所述第一接收模塊接收到用戶比對第一特征值與第二特征值一致的確認(rèn)信 息后,采用與所述第二終端第二特征值生成模塊采用的第二預(yù)設(shè)處理方法相同的方法對所 述第一數(shù)據(jù)����、第二數(shù)據(jù)及所述第一存儲模塊存儲的秘密進(jìn)行處理生成第三特征值�;第一輸出模塊,用于將所述第一特征值生成模塊生成的第三特征值輸出給所述用戶��; 所述第一終端包括第一發(fā)送模塊��,用于向第二終端發(fā)送所述用戶輸入的訪問受保護(hù)資源的請求�����、用戶名�、 所述第三終端第一隨機(jī)數(shù)生成模塊生成的第一數(shù)據(jù)及第一特征值生成模塊生成的第三特 征值; 第二接收模塊��,用于接收所述第二終端第二隨機(jī)數(shù)生成模塊生成的第二數(shù)據(jù)及所述第 二終端第二特征值生成模塊生成的第一特征值����,并輸出給所述用戶。
20.根據(jù)權(quán)利要求19所述的系統(tǒng)���,其特征在于���,所述第一特征值生成模塊包括 第一組合單元���,用于將所述第一數(shù)據(jù)與所述第二數(shù)據(jù)進(jìn)行串行連接;第一加密單元�,用于根據(jù)所述第一存儲模塊存儲的秘密采用第一預(yù)設(shè)密碼算法對所述 第一組合單元的連接結(jié)果進(jìn)行加密處理;第一生成單元�����,用于采用第一預(yù)設(shè)截短處理方法對所述第一加密單元的加密結(jié)果進(jìn)行 處理�����,生成第二特征值���;
21.根據(jù)權(quán)利要求19所述的系統(tǒng)�����,其特征在于�����,所述第一特征值生成模塊包括 第二組合單元���,用于將所述第二數(shù)據(jù)及所述第一數(shù)據(jù)進(jìn)行串行連接�;第二加密單元����,用于根據(jù)所述第一存儲模塊存儲的秘密采用第二預(yù)設(shè)密碼算法對所述 第二組合單元的連接結(jié)果進(jìn)行加密處理����;第二生成單元,用于采用第二預(yù)設(shè)截短處理方法對所述第二加密單元的加密結(jié)果進(jìn)行 處理�,生成第三特征值。
22.根據(jù)權(quán)利要求19所述的系統(tǒng)����,其特征在于,所述第二特征值生成模塊包括查找單元�,用于根據(jù)所述第三接收模塊接收到的用戶名在所述第二存儲模塊中查找所 述第三終端的秘密和預(yù)設(shè)處理方法;第三組合單元�����,用于將所述第一數(shù)據(jù)與所述第二數(shù)據(jù)進(jìn)行串行連接���; 第三加密單元��,用于根據(jù)所述查找得到的秘密采用第一預(yù)設(shè)密碼算法對所述第三組合 單元的連接結(jié)果進(jìn)行加密處理�����;第三生成單元��,用于采用第一預(yù)設(shè)截短處理方法對所述第三加密單元的加密結(jié)果進(jìn)行 處理����,生成第一特征值;
23.根據(jù)權(quán)利要求19所述的系統(tǒng)����,其特征在于,所述第一特征值生成模塊包括 第四組合單元���,用于將所述第二數(shù)據(jù)及所述第一數(shù)據(jù)進(jìn)行串行連接�;第四加密單元����,用于根據(jù)所述查找得到的秘密采用第二預(yù)設(shè)密碼算法對所述第四組合 單元的連接結(jié)果進(jìn)行加密處理;第四生成單元��,用于采用第二預(yù)設(shè)截短處理方法對所述第四加密單元的加密結(jié)果進(jìn)行 處理��,生成第四特征值。
24.根據(jù)權(quán)利要求20至23所述的系統(tǒng)��,其特征在于���,所述第一預(yù)設(shè)密碼算法包括指紋算法或安全散列算法����;所述第一預(yù)設(shè)截短方法包括掩碼壓縮或自定義壓縮����。
25.根據(jù)權(quán)利要求20至23所述的方法�����,其特征在于���,所述第二預(yù)設(shè)密碼算法包括指紋 算法或安全散列算法�;所述第二預(yù)設(shè)截短方法包括掩碼壓縮或自定義壓縮�����。
26.根據(jù)權(quán)利要求19所述的系統(tǒng)��,其特征在于,所述第一特征值生成模塊與所述第二 特征值生成模塊生成特征值時(shí)���,處理的數(shù)據(jù)除了所述第一數(shù)據(jù)�����、第二數(shù)據(jù)和秘密外�,還包 括特征因子和/或PIN碼和/或會話信息�;其中,所述特征因子包括時(shí)間值或特征值生成次數(shù)�。
27.根據(jù)權(quán)利要求26所述的系統(tǒng),其特征在于��,所述第二終端還包括更新模塊�,用于在所述第二特征值生成模塊生成第一特征值及第四特征值后,對所述 特征因子進(jìn)行更新�。
28.根據(jù)權(quán)利要求19所述的系統(tǒng),其特征在于�����,所述第二終端驗(yàn)證模塊包括比對單元�,用于比對所述第二特征值生成模塊生成的特征值是否與所述第三接收單元 接收到的特征值一致;執(zhí)行單元,用于當(dāng)所述比對單元比對所述第二特征值生成模塊生成的特征值與所述 第三接收單元接收到的特征值的結(jié)果是一致的����,則允許訪問受保護(hù)資源;當(dāng)所述第二特征 值生成模塊生成的特征值與所述第三接收單元接收到的特征值的結(jié)果不一致的�,則拒絕訪 問受保護(hù)資源。
29.一種安全訪問受保護(hù)資源的系統(tǒng)���,其特征在于���,所述系統(tǒng)包括第一終端、第二終 端和第三終端�;所述第二終端包括存儲模塊,用于存儲生成特征值的關(guān)聯(lián)信息�����,所述關(guān)聯(lián)信息包括與用戶名綁定的所述 第三終端的秘密和預(yù)設(shè)處理方法�;接收模塊�����,用于接收所述第一終端發(fā)送模塊發(fā)送的訪問受保護(hù)資源的請求��、用戶名及 第五特征值���;隨機(jī)數(shù)生成模塊�����,用于生成第三數(shù)據(jù)�����;特征值生成模塊���,用于采用第一預(yù)設(shè)處理方法對所述第一數(shù)據(jù)及所述第二終端存儲模 塊存儲的秘密進(jìn)行處理生成第六特征值���;驗(yàn)證模塊,用于驗(yàn)證所述第二終端特征值生成模塊生成的第六特征值與所述第二終端 接收模塊接收到的第五特征值��; 所述第三終端包括存儲模塊���,用于存儲生成特征值的關(guān)聯(lián)信息���,所述關(guān)聯(lián)信息包括生成特征值的秘密和 預(yù)設(shè)處理方法;接收模塊�,用于接收用戶輸入的第二終端提供給所述用戶的所述第二終端隨機(jī)數(shù)生成 模塊生成的第三數(shù)據(jù);特征值生成模塊,采用與所述第二終端第二特征值生成模塊采用的第三預(yù)設(shè)處理方法 相同的方法對所述第三數(shù)據(jù)及所述存儲模塊存儲的秘密進(jìn)行處理生成第五特征值�����; 輸出模塊����,用于將所述特征值生成模塊生成的第五特征值輸出給所述用戶;所述第一終端包括發(fā)送模塊�,用于向第二終端發(fā)送所述用戶輸入的訪問受保護(hù)資源的請求、用戶名���、所述 第三終端特征值生成模塊生成的第五特征值�����;接收模塊���,用于接收所述第二終端隨機(jī)數(shù)生成模塊生成的第三數(shù)據(jù)����,并輸出給所述用戶。
30.根據(jù)權(quán)利要求29所述的系統(tǒng)�����,其特征在于,所述第三終端特征值生成模塊包括 加密單元�,用于根據(jù)所述第三終端存儲模塊存儲的秘密采用第三預(yù)設(shè)密碼算法對所述第三終端接收模塊接收到的第三數(shù)據(jù)進(jìn)行加密處理;生成單元����,用于對所述加密單元的加密結(jié)果采用第三預(yù)設(shè)截短處理方法進(jìn)行截短處 理,生成第五特征值�����。
31.根據(jù)權(quán)利要求29所述的系統(tǒng)�,其特征在于,所述第二終端特征值生成模塊包括 查找單元�,用于根據(jù)所述第二終端接收模塊收到的用戶名在所述第二終端存儲模塊中查找所述第三終端的秘密和預(yù)設(shè)處理方法;加密單元��,用于根據(jù)所述查找單元查找得到的所述秘密采用第三預(yù)設(shè)密碼算法對所述 第二終端接收模塊接收到的第三數(shù)據(jù)進(jìn)行加密處理����;生成單元,用于對所述加密單元的加密結(jié)果采用第三預(yù)設(shè)截短處理方法進(jìn)行截短處 理��,生成第六特征值���。
32.根據(jù)權(quán)利要求30和31所述的系統(tǒng)����,其特征在于,所述第三預(yù)設(shè)密碼算法包括指紋 算法或安全散列算法�����;所述第三預(yù)設(shè)截短方法包括掩碼壓縮或自定義壓縮�。
33.根據(jù)權(quán)利要求29所述的系統(tǒng),其特征在于���,所述第三終端特征值生成模塊與所述 第二終端特征值生成模塊生成特征值時(shí)����,處理的數(shù)據(jù)除了所述第三數(shù)據(jù)和秘密外���,還包括 特征因子和/或PIN碼和/或會話信息�����;其中��,所述特征因子包括時(shí)間值或特征值生成次數(shù)���。
34.根據(jù)權(quán)利要求33所述的系統(tǒng),其特征在于�����,所述第二終端還包括更新模塊���,用于在所述第二終端特征值生成模塊生成第六特征值后����,對所述特征因子 進(jìn)行更新���。
35.根據(jù)權(quán)利要求29所述的系統(tǒng)��,其特征在于����,所述第二終端驗(yàn)證模塊包括比對單元����,用于比對所述第二終端特征值生成模塊生成的第六特征值是否與所述第二 終端接收單元接收到的第五特征值一致;執(zhí)行單元�����,用于當(dāng)所述第二終端特征值生成模塊生成的第六特征值是否與所述第二 終端接收單元接收到的第五特征值的結(jié)果是一致的,則允許訪問受保護(hù)資源���;當(dāng)所述第二 終端特征值生成模塊生成的第六特征值是否與所述第二終端接收單元接收到的第五特征 值的結(jié)果不一致的����,則拒絕訪問受保護(hù)資源��。全文摘要
本發(fā)明提供了一種安全訪問受保護(hù)資源的方法及系統(tǒng)�����,屬于信息安全領(lǐng)域����。第一終端向第二終端發(fā)出訪問受保護(hù)資源的請求,并將用戶名及第一數(shù)據(jù)發(fā)送給第二終端���;第二終端生成第二數(shù)據(jù)����,并查找第三終端的秘密��;第二終端對所述第一數(shù)據(jù)、第二數(shù)據(jù)及秘密進(jìn)行處理����,得到第一特征值����;第三終端對所述第一數(shù)據(jù)、第二數(shù)據(jù)及秘密進(jìn)行處理����,得到第二特征值,并在接收到確認(rèn)信息后��,對所述第一數(shù)據(jù)��、第二數(shù)據(jù)及所述第三終端預(yù)先存儲的秘密進(jìn)行處理����,得到第三特征值;第一終端將第三特征值發(fā)送給第二終端�;第二終端對所述第一數(shù)據(jù)、第二數(shù)據(jù)及秘密進(jìn)行處理生成第四特征值����,并比對第四特征值是否與第三特征值一致�����,若一致�����,則允許訪問����,否則�,拒絕訪問。
文檔編號H04L9/32GK101964789SQ20101029203
公開日2011年2月2日 申請日期2010年9月26日 優(yōu)先權(quán)日2010年9月26日
發(fā)明者于華章, 陸舟 申請人:北京飛天誠信科技有限公司