專利名稱:基于usb硬件令牌的認證系統及方法
技術領域:
本發明涉及一種對關鍵點實施保護的認證系統,尤其涉及一種基于 USB硬件令牌的認證系統;此外,本發明還涉及一種基于USB硬件令牌的
認證方法o
背景技術:
目前,常用的身份認證的流程一般采用先認證身份,后進行操作的方 式。比如, 一個用戶登錄游戲時系統會提示用戶輸入用戶名、口令(密碼)。 登錄一旦成功之后,其余的所有操作都不再需要身份認證。
這種認證方式的缺點在于 一次認證之后用戶就可以進行多次操作, 但是用戶如果被黑客安裝了木馬,黑客就可以通過木馬控制用戶的計算機 進行破壞操作。
因此需要在用戶交易的關鍵點處再次認證用戶身份,常用的方法是讓 用戶再次輸入用戶名和密碼,這個過程仍然可以被黑客控制,所以需要有 一種讓用戶介入的系統,從而保證關鍵點交易是得到用戶認可的。
發明內容
本發明要解決的技術問題是提供一種基于USB硬件令牌的認證系統,
保證用戶能夠有效參與到系統的認證過程中,從而保證關鍵點交易是得到
用戶認可的,以提高認證系統的安全性;為此,本發明還提供一種基于USB 硬件令牌的認證方法。
為了解決上述技術問題,本發明提供一種基于USB硬件令牌的認證系
統,包括應用系統服務器、應用系統終端、認證服務器和認證設備;所述
的認證設備為具有USB接口的硬件令牌,該硬件令牌具有指示燈和確認按 鍵,該指示燈用于提示用戶應用系統終端要求進行數據交換,該確認按鍵 用于用戶確認硬件令牌和應用系統終端的數據交換;所述的應用系統服務 器用于在用戶進行關鍵操作時激活硬件令牌上的指示燈,提示用戶按下硬 件令牌上的確認按鍵,使硬件令牌進行算法計算,并根據最終由認證服務 器返回的認證結果確定用戶的關鍵操作是否成功;所述的應用系統終端用 于將硬件令牌產生的通過算法計算后的數據結果轉發給應用系統服務器; 所述的認證服務器用于對從應用系統服務器接收到的硬件令牌產生的通 過算法計算后的數據結果進行認證并將認證結果返回給應用系統服務器。
所述的每一個認證設備在應用系統服務器上啟用時與 一用戶名綁定。
用戶在啟用認證設備時申請綁定,應用系統服務器設定一認證期,對 用戶身份進行認證。
用戶在啟用認^E設備時申請綁定,應用系統服務器設定一確認期,用 戶須在確認期內對該綁定進行確認。
此外,本發明還提供一種基于USB硬件令牌的認證方法,包括如下步 驟(1)用戶通過用戶名和密碼登錄系統;(2)在用戶進行關鍵操作時, 系統檢査該用戶是否綁定了認證設備,如果綁定了認證設備,應用系統服 務器激活硬件令牌上的指示燈,提示用戶進行確認;(3)用戶按下硬件令 牌上的確認按鍵后,硬件令牌產生通過算法計算后的數據結果,用戶通過 應用系統終端將該結果發送給應用系統服務器;(4)應用系統服務器將該
結果轉發給認證服務器進行認證并將認證結果返回給應用系統服務器; (5)應用系統服務器根據認證結果確定用戶的關鍵操作是否成功。
步驟(4)中,所述認證服務器進行認證具體包括如下情況A.如果 認證設備處于掛失可以登錄狀態,返回用戶認證成功;B.如果認證設備處 于掛失不可以登錄狀態,返回用戶認證失敗;C.如果認證設備處于停用狀 態,則返回設備停用;D.如果認證設備是啟用狀態,并且動態密碼正確則 返回認證成功;E.如果認證設備是啟用狀態,并且動態密碼返回錯誤,則 返回認證失敗。
所述的關鍵操作是進行交易操作。
本發明的有益效果在于:本發明采用軟件和硬件結合的方式進行關鍵 操作的認證,保證用戶能夠有效參與到系統的認證過程中,從而保證關鍵 點交易是得到用戶認可的,防止了惡意程序對系統的隨意破壞,提高了認 證系統的安全性。本發明適用于銀行、證券、企業管理和電子商務等多種 需要登錄認證身份的領域,具有適用范圍廣,操作簡單,實用性強等優點。
圖1是本發明基于USB硬件令牌的認證系統的組成示意圖; 圖2是本發明認證系統中USB硬件令牌的結構示意圖; 圖3是本發明基于USB硬件令牌的認證方法的流程圖。
具體實施例方式
本發明可以通過軟件和硬件結合的方式進行關鍵操作的認證。新的登 錄系統在用戶登錄時只要輸入了正確的用戶名和密碼即可以登錄成功。但 如果用戶要進行交易之類的關鍵操作,在進行操作時軟件系統激活認證設
備上的指示燈,提示用戶進行確認,用戶按下確認按鍵后,認證設備通過 算法計算后,將結果返回給軟件系統認證,軟件系統認證通過后,該交易 才可以繼續進行。
如圖1所示,本發明的認證系統包括應用系統服務器,應用系統終端, 認證服務器,認證設備。在用戶進行關鍵操作時,應用系統服務器激活認 證設備上的指示燈,提示用戶進行確認,用戶按下認證設備上的確認按鍵 后,認證設備產生通過算法計算后的數據結果,用戶通過應用系統終端將 該結果發送給應用系統服務器,應用系統服務器將該結果轉發給認證服務 器,認證服務器對該結果進行認證并將認證結果返回給應用系統服務器, 應用系統服務器根據認證結果確定用戶的關鍵操作是否成功。其中,每一 個認證設備在應用系統服務器上啟用時與一用戶名綁定。用戶在啟用認證 設備時申請綁定,應用系統服務器可以設定一認證期,對用戶身份進行認 證,應用系統服務器還可以設定一確認期,用戶須在確認期內對該綁定進 行確認。
本發明的認證設備采用具有USB接口的硬件令牌,如圖2所示,該硬 件令牌包括USB微控制器、晶體、算法協處理器、數據存儲器、指示燈和 確認按鍵;晶體、算法協處理器、數據存儲器、指示燈和確認按鍵分別與 USB微控制器相連;USB微控制器用于實現安全密碼算法并通過USB接口 與應用終端進行數據交換;算法協處理器用于進行復雜的算法運算;數據 存儲器用于保存安全密鑰和數據;指示燈用于提示用戶應用系統終端要求 進行數據交換;確認按鍵用于用戶確認USB微控制器和應用系統終端的數 據交換。
如圖3所示,本發明基于USB硬件令牌的認證方法,包括如下步驟:
1. 用戶通過用戶名和靜態密碼登錄系統。
2. 用戶進行關鍵(比如交易)操作(激活關鍵應用),系統檢査該用 戶是否綁定了認證設備,如果綁定了認證設備,應用系統服務器激活認證 設備上的指示燈,提示用戶按下認證設備的確認按鍵。
3. 用戶按下認證設備的確認按鍵后,認證設備產生通過算法計算后的 數據結果,用戶通過應用系統終端將該結果發送給應用系統服務器,應用 系統服務器將該結果轉發給認證服務器。
4. 認證服務器進行認證,并將認證結果返回給應用系統服務器。認證 服務器進行認證具體包括如下情況:A.如果用戶的認證設備處于掛失可以 登錄狀態,返回用戶認證成功;B.如果用戶的認證設備處于掛失不可以登 錄狀態,返回用戶認證失敗;C.如果用戶的認證設備處于停用狀態,則返 回設備停用;D.如果用戶的認證設備是啟用狀態,并且動態密碼正確則返 回認證成功;E.如果用戶的認證設備是啟用狀態,并且動態密碼返回錯誤, 則返回認證失敗。
5. 應用系統服務器根據認證服務器返回的認證結果,決定用戶的關鍵 操作是否成功。如果認證失敗,則用戶的關鍵操作失敗;如果認證成功, 則用戶的關鍵操作成功。
以下是對認證過程中使用狀態的說明
1. 啟用用戶到網站上輸入用戶名,身份證號,電話,住址等資料, 用于用戶的售后服務。
2. 綁定操作 一個帳號(用戶名)只有和認證設備進行了綁定,用戶
的關鍵操作才會被保護。
3. 解除綁定 一個帳號(用戶名)和認證設備被解除綁定之后,用戶 的關鍵操作不再受保護。
4. 掛失如果用戶遺失硬件令牌,可以向系統申請掛失,掛失有兩種 方式,掛失可以登錄和掛失不能登錄。掛失可以登錄是用戶以后的操作不 再使用動態密碼。掛失不可以登錄是以后用戶不允許登錄。
5. 解除掛失用戶可以到網站上對認證設備進行解除掛失操作。該操 作只能針對已經掛失的認證設備。
6. 停用用戶可以到網站上停用認證設備。如果該認證設備還綁定著 帳號,則認證設備停用之后該帳號不再受認證設備的保護。
本發明采用的認證方法可以是PKI (Public Key Infrastructure, 公鑰基礎設施)模式、時間同步的動態密碼模式,或者是挑戰應答機制等 各種根據認證設備的不同算法而形成的其它模式。下面以采用動態密碼模 式為例,說明基于USB的硬件令牌產生動態密碼的認證過程
1. 在啟用硬件令牌時,用戶訪問應用系統服務器,輸入用戶名、靜態 密碼、硬件令牌的產品序列號,申請將用戶名和硬件令牌進行綁定;系統 可以設置一個認證期和一個確認期,認證期和確認期的長短可以任意設 定, 一般設置成用戶登錄服務器的周期,約6天左右。設置確認期的目的 是為了防止惡意綁定。
2. 用戶通過用戶名和靜態密碼登錄系統。
3. 用戶進行關鍵(比如交易)操作,系統檢査該用戶是否綁定了硬件 令牌,如果綁定了硬件令牌,應用系統服務器激活硬件令牌上的指示燈,提示用戶按下硬件令牌的確認按鍵。
4. 用戶按下認證設備的確認按鍵后,硬件令牌產生一個動態密碼,用
戶通過應用系統終端將該動態密碼發送給應用系統服務器,應用系統服務 器將該動態密碼轉發給認證服務器。
5. 認證服務器進行認證,根據由用戶身份確定的秘密數據計算出認證 密碼,將該認證密碼與認證服務器接收到的動態密碼進行比較,得出認證 結果,并將認證結果返回給應用系統服務器。
6.應用系統服務器根據認證服務器返回的認證結果,決定用戶的關鍵 操作是否成功。如果動態密碼與認證密碼不同,認證失敗,則用戶的關鍵 操作失敗;如果動態密碼與認證密碼一致,認證成功,則用戶的關鍵操作 成功。
權利要求
1. 一種基于USB硬件令牌的認證系統,其特征在于,包括應用系統服務器、應用系統終端、認證服務器和認證設備;所述的認證設備為具有USB接口的硬件令牌,該硬件令牌具有指示燈和確認按鍵,該指示燈用于提示用戶應用系統終端要求進行數據交換,該確認按鍵用于用戶確認硬件令牌和應用系統終端的數據交換;所述的應用系統服務器用于在用戶進行關鍵操作時激活硬件令牌上的指示燈,提示用戶按下硬件令牌上的確認按鍵,使硬件令牌進行算法計算,并根據最終由認證服務器返回的認證結果確定用戶的關鍵操作是否成功;所述的應用系統終端用于將硬件令牌產生的通過算法計算后的數據結果轉發給應用系統服務器;所述的認證服務器用于對從應用系統服務器接收到的硬件令牌產生的通過算法計算后的數據結果進行認證并將認證結果返回給應用系統服務器。
2. 根據權利要求1所述的基于USB硬件令牌的認證系統,其特征在于 所述的每一個認證設備在應用系統服務器上啟用時與一用戶名綁定。
3. 根據權利要求2所述的基于USB硬件令牌的認證系統,其特征在于 用戶在啟用認證設備時申請綁定,應用系統服務器設定一認證期,對用戶 身份進行認證。
4. 根據權利要求2所述的基于USB硬件令牌的認證系統,其特征在于 用戶在啟用認證設備時申請綁定,應用系統服務器設定一確認期,用戶須 在確認期內對該綁定進行確認。
5. 根據權利要求1所述的基于USB硬件令牌的認證系統,其特征在于 所述的關鍵操作是進行交易操作。
6. —種基于USB硬件令牌的認證方法,其特征在于包括如下步驟: (1)用戶通過用戶名和密碼登錄系統;(2)在用戶進行關鍵操作時,系統檢査該用戶是否綁定了認證設備,如果綁定了認證設備,應用系統服務 器激活硬件令牌上的指示燈,提示用戶進行確認;(3)用戶按下硬件令牌 上的確認按鍵后,硬件令牌產生通過算法計算后的數據結果,用戶通過應 用系統終端將該結果發送給應用系統服務器;(4)應用系統服務器將該結 果轉發給認證服務器進行認證并將認證結果返回給應用系統服務器;(5) 應用系統服務器根據認證結果確定用戶的關鍵操作是否成功。
7. 根據權利要求6所述的基于USB硬件令牌的認證方法,其特征在于 步驟(4)中,所述認證服務器進行認證具體包括如下情況A.如果認證 設備處于掛失可以登錄狀態,返回用戶認證成功;B.如果認證設備處于掛 失不可以登錄狀態,返回用戶認證失敗;C.如果認證設備處于停用狀態, 則返回設備停用;D.如果認^E設備是啟用狀態,并且動態密碼正確則返回 認證成功;E.如果認證設備是啟用狀態,并且動態密碼返回錯誤,則返回 認證失敗。
8. 根據權利要求6所述的基于USB硬件令牌的認證系統,其特征在于 所述的關鍵操作是進行交易操作。
全文摘要
本發明公開了一種基于USB硬件令牌的認證系統,包括應用系統服務器、應用系統終端、認證服務器和認證設備;所述的認證設備為具有USB接口的硬件令牌,該硬件令牌具有指示燈和確認按鍵。在用戶進行關鍵操作時,應用系統服務器激活硬件令牌上的指示燈,提示用戶進行確認;用戶按下硬件令牌上的確認按鍵后,硬件令牌通過算法計算后將結果轉給認證服務器進行認證,應用系統服務器根據認證結果確定用戶的關鍵操作是否成功。此外,本發明還公開了一種基于USB硬件令牌的認證方法。本發明能保證用戶能夠有效參與到系統的認證過程中,從而保證關鍵點交易是得到用戶認可的,以提高認證系統的安全性。
文檔編號G07F19/00GK101394276SQ20071009409
公開日2009年3月25日 申請日期2007年9月21日 優先權日2007年9月21日
發明者朱繼盛, 杜江杰, 王寶驥, 強 肖, 勇 蔣 申請人:上海盛大網絡發展有限公司