信息安全設備及服務器時間同步方法

專利名稱：信息安全設備及服務器時間同步方法
技術領域：
本發明涉及到數據安全領域，尤其涉及到一種信息安全設備及服務器時間同步方法。
背景技術：
隨著社會經濟的發展，人們進行網上交易的需求越來越多，為了保護網上交易賬戶的安全，人們會選擇購買信息安全設備如動態令牌(一次性密碼裝置)或USB KEY等，用其代替傳統的靜態密碼進行用戶身份認證。然而，目前市場上的信息安全設備在發行后，信息安全設備和信息安全設備服務器只根據自身設置的時鐘電路進行計時和計算，這種時鐘計時方式，在信息安全設備發行初期，弊端一般不會暴露，但是隨著時間的推移，時鐘電路的誤差會因為積累而變大，使信息安全設備與信息安全設備服務器的時鐘差變大，由此給用戶的身份認證帶來問題。

發明內容
本發明的主要目的為提供一種信息安全設備及服務器時間同步方法，可實現信息安全設備與信息安全設備服務器之間的時間同步。本發明提出一種信息安全設備時間同步方法，包括步驟信息安全設備向信息安全設備服務器發送時間同步請求；根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同步。優選地，在執行所述根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同步之前，還包括接收信息安全設備服務器發送的時間同步響應信息；所述時間同步響應信息由所述信息安全設備服務器根據所述時間同步請求生成；根據所述時間同步響應信息生成簽名，并發送至信息安全設備服務器，供信息安全設備服務器驗證后生成所述時間同步數據。優選地，所述根據時間同步響應信息生成簽名包括生成一個第一隨機數；根據所述第一隨機數和本端預設的算法計算簽名。優選地，所述根據第一隨機數和本端預設的算法計算簽名具體為根據本端預設的私鑰對所述第一隨機數、時間同步響應信息、信息安全設備的硬件標識和/或用戶的特征信息進行簽名計算。優選地，所述根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同步包括當所述時間同步數據為密文時，驗證所述校驗碼，驗證通過后解密所述時間同步數據；根據解密后的時間同步數據更新本端的時間數據；當所述時間同步數據為明文時，驗證所述校驗碼，驗證通過后根據所述時間同步數據更新本端的時間數據。優選地，所述時間同步請求包括信息安全設備生成的第二隨機數，所述校驗碼為信息安全設備服務器根據所述第二隨機數和時間同步數據生成。優選地，所述校驗碼為信息安全設備服務器根據所述時間同步數據生成。優選地，所述根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同步包括當所述時間同步數據為密文時，驗證所述校驗碼，驗證通過后解密所述時間同步數據；根據解密后的時間同步數據更新本端的時間數據；當所述時間同步數據為明文時，驗證所述校驗碼，驗證通過后根據所述時間同步數據更新本端的時間數據。本發明還提出一種信息安全設備服務器時間同步方法，包括步驟接收信息安全設備發送的時間同步請求；根據所述時間同步請求生成校驗碼和時間同步數據，并反饋至信息安全設備，供信息安全設備進行時間同步。優選地，在執行所述根據時間同步請求生成校驗碼和時間同步數據之前，還包括根據信息安全設備發送的時間同步請求生成時間同步響應信息，并反饋至所述信息安全設備，供該信息安全設備生成簽名；接收信息安全設備發送的簽名，并驗證該簽名。優選地，所述時間同步響應信息為一個第三隨機數或根據一個第四隨機數加密生成的值。優選地，所述根據時間同步請求生成校驗碼和時間同步數據包括根據預存的管理密鑰對本端的時間信息、信息安全設備的硬件標識和/或用戶的特征信息進行加密計算，得到所述時間同步數據；或將本端的時間信息設置為所述時間同步數據；對所述時間同步數據進行校驗，得到所述校驗碼。優選地，所述時間同步請求包括信息安全設備生成的第二隨機數。優選地，所述根據時間同步請求生成校驗碼和時間同步數據包括根據預存的管理密鑰對本端的時間信息、信息安全設備的硬件標識和/或用戶的特征信息進行加密計算，得到所述時間同步數據；或將本端的時間信息設置為所述時間同步數據；對所述時間同步數據和所述第二隨機數進行校驗，得到所述校驗碼。本發明提出的一種信息安全設備及服務器時間同步方法、設備和服務器，信息安全設備通過和信息安全設備服務器的遠程數據交互，相互進行驗證，自動進行時間同步，防止因信息安全設備及服務器之間的時間數據誤差影響用戶的身份認證。


圖I為本發明信息安全設備時間同步方法第一實施例的流程示意圖；圖2為本發明信息安全設備時間同步方法第一實施例的一種數據交互示意5
圖3為本發明信息安全設備時間同步方法第一實施例的另一種數據交互示意圖；圖4為本發明信息安全設備服務器時間同步方法第二實施例的流程示意圖。本發明目的的實現、功能特點及優點將結合實施例，參照附圖做進一步說明。
具體實施例方式應當理解，此處所描述的具體實施例僅僅用以解釋本發明，并不用于限定本發明。本發明實施例的信息安全設備為動態令牌、USB KEY等智能安全裝置，或是包含動態令牌功能和USB KEY功能的多功能U盾。參照圖1，提出本發明信息安全設備時間同步方法第一實施例，包括步驟S10、信息安全設備向信息安全設備服務器發送時間同步請求；步驟S11、根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同
止 /J/ o參照圖2、圖3，對上述信息安全設備時間同步方法第一實施例進行詳細說明。信息安全設備可設置為定時進行時間同步，也可以在用戶認為必要時啟動時間同步流程進行同步，如圖2所示，以下為信息安全設備進行時間同步的流程信息安全設備在初始化時即接受公私鑰對設置，并在本端保留私鑰，將公鑰傳送給信息安全設備服務器。上述私鑰可用于時間同步過程中的數據加解密。(I)信息安全設備向信息安全設備服務器發送時間同步請求。(2)信息安全設備服務器接收時間同步請求，生成時間同步響應信息并把時間同步響應信息反饋給信息安全設備。該時間同步響應信息可為一個信息安全設備服務器隨機生成的第三隨機數R1，也可為根據一第四隨機數R3加密生成的值。(3)信息安全設備接收信息安全設備服務器反饋的時間同步響應信息，生成第一隨機數R2，根據本端保存的私鑰及預設的算法，對上述時間同步響應信息、第一隨機數R2 和信息安全設備的認證信息進行計算，生成簽名。上述信息安全設備的認證信息為信息安全設備的硬件標識和/或用戶的特征信息，信息安全設備的硬件標識為信息安全設備的唯一標識，唯一對應該信息安全設備，用戶的特征信息為信息安全設備發行時，登記并存儲在信息安全設備服務器內用于對用戶身份進行驗證的信息。將包含簽名的時間同步應答信息發送給信息安全設備服務器。時間同步應答信息包括簽名、信息安全設備的硬件標識、用戶的特征信息和/或時間同步響應信息。(4)信息安全設備服務器接收時間同步應答信息，提取時間同步應答信息中的簽名后，根據本端的公鑰驗證該簽名。如簽名驗證通過，則根據時間同步應答信息生成時間同步數據信息安全設備服務器根據預存的管理密鑰(信息安全設備服務器與信息安全設備都預存有相同的管理密鑰，且該管理密鑰與該信息安全設備唯一對應)對所述第一隨機數R2(該第一隨機數R2由接收的簽名解析得到)、時間同步響應信息、本端的時間信息、信息安全設備的硬件標識和 /或用戶的特征信息進行加密計算獲得時間同步數據，再對該時間同步數據進行校驗，得到校驗碼MAC1。信息安全設備服務器還可直接將本端的時間信息設置為時間同步數據，再對該時間同步數據進行校驗得到校驗碼MACl。信息安全設備服務器將校驗碼MACl和時間同步數據發送給信息安全設備。
(5)信息安全設備驗證校驗碼MAC1，驗證通過，則解密時間同步數據，提取所述時間同步數據的時間信息，將信息安全設備的時間數據更新為上述時間信息(如時間同步數據即為時間信息，則在校驗碼MACl校驗通過后直接將信息安全設備的時間信息更新為接收到的時間同步數據)。信息安全設備驗證校驗碼MACl的步驟具體可為信息安全設備根據預存的與信息安全設備服務器相應的校驗算法對時間同步數據進行校驗，生成校驗碼 MAC2。將校驗碼MAC2與接收的校驗碼MACl比對，一致則驗證通過。本實施例不僅限于上述信息安全設備進行時間同步的流程，該流程還可以如圖3 所示(I)信息安全設備向信息安全設備服務器發送時間同步請求，該時間同步請求可包括一第二隨機數R4、信息安全設備的硬件標識和/或用戶的特征信息。(2)信息安全設備服務器接收時間同步請求，根據預存的管理密鑰(信息安全設備服務器與信息安全設備都預存有相同的管理密鑰，且該管理密鑰與該信息安全設備唯一對應)對本端的時間信息、信息安全設備的硬件標識和/或用戶的特征信息進行加密計算獲得時間同步數據，再對該時間同步數據和第二隨機數R4進行校驗，得到校驗碼MAC1。信息安全設備服務器還可直接將本端的時間信息設置為時間同步數據，再對該時間同步數據和第二隨機數R4進行校驗得到校驗碼MACl。信息安全設備服務器將校驗碼MACl和時間同步數據發送給信息安全設備。(5)信息安全設備驗證校驗碼MAC1，驗證通過，則解密時間同步數據，提取所述時間同步數據的時間信息，將信息安全設備的時間數據更新為上述時間信息(如時間同步數據即為時間信息，則在校驗碼MACl校驗通過后直接將信息安全設備的時間信息更新為接收到的時間同步數據)。信息安全設備驗證校驗碼MACl的步驟具體可為信息安全設備根據預存的與信息安全設備服務器相應的校驗算法對時間同步數據和第二隨機數R4進行校驗，生成校驗碼MAC2。將校驗碼MAC2與接收的校驗碼MACl比對，一致則驗證通過。本實施例中，信息安全設備通過和信息安全設備服務器的數據交互，相互進行驗證，自動進行時間同步，防止信息安全設備及服務器之間的時間數據誤差。參照圖4，提出本發明信息安全設備服務器時間同步方法第二實施例，包括步驟S20、接收信息安全設備發送的時間同步請求；步驟S21、根據所述時間同步請求生成校驗碼和時間同步數據，并反饋至信息安全設備，供信息安全設備進行時間同步。參照圖2、圖3，對上述信息安全設備時間同步方法第二實施例進行詳細說明。信息安全設備可設置為定時進行時間同步，也可以在用戶認為必要時啟動時間同步流程進行同步，如圖2所示，以下為信息安全設備進行時間同步的流程信息安全設備在初始化時即接受公私鑰對設置，并在本端保留私鑰，將公鑰傳送給信息安全設備服務器。上述私鑰可用于時間同步過程中的數據加解密。(I)信息安全設備向信息安全設備服務器發送時間同步請求。(2)信息安全設備服務器接收時間同步請求，生成時間同步響應信息并把時間同步響應信息反饋給信息安全設備。該時間同步響應信息可為一個信息安全設備服務器隨機生成的第三隨機數R1，也可為根據一第四隨機數R3加密生成的值。(3)信息安全設備接收信息安全設備服務器反饋的時間同步響應信息，生成第一隨機數R2，根據本端保存的私鑰及預設的算法，對上述時間同步響應信息、第一隨機數R2 和信息安全設備的認證信息進行計算，生成簽名。上述信息安全設備的認證信息為信息安全設備的硬件標識和/或用戶的特征信息，信息安全設備的硬件標識為信息安全設備的唯一標識，唯一對應該信息安全設備，用戶的特征信息為信息安全設備發行時，登記并存儲在信息安全設備服務器內用于對用戶身份進行驗證的信息。將包含簽名的時間同步應答信息發送給信息安全設備服務器。時間同步應答信息包括簽名、信息安全設備的硬件標識、用戶的特征信息和/或時間同步響應信息。(4)信息安全設備服務器接收時間同步應答信息，提取時間同步應答信息中的簽名后，根據本端的公鑰驗證該簽名。如簽名驗證通過，則根據時間同步應答信息生成時間同步數據信息安全設備服務器根據預存的管理密鑰(信息安全設備服務器與信息安全設備都預存有相同的管理密鑰，且該管理密鑰與該信息安全設備唯一對應)對所述第一隨機數R2(該第一隨機數R2由接收的簽名解析得到)、時間同步響應信息、本端的時間信息、信息安全設備的硬件標識和 /或用戶的特征信息進行加密計算獲得時間同步數據，再對該時間同步數據進行校驗，得到校驗碼MAC1。信息安全設備服務器還可直接將本端的時間信息設置為時間同步數據，再對該時間同步數據進行校驗得到校驗碼MACl。信息安全設備服務器將校驗碼MACl和時間同步數據發送給信息安全設備。(5)信息安全設備驗證校驗碼MAC1，驗證通過，則解密時間同步數據，提取所述時間同步數據的時間信息，將信息安全設備的時間數據更新為上述時間信息(如時間同步數據即為時間信息，則在校驗碼MACl校驗通過后直接將信息安全設備的時間信息更新為接收到的時間同步數據)。信息安全設備驗證校驗碼MACl的步驟具體可為信息安全設備根據預存的與信息安全設備服務器相應的校驗算法對時間同步數據進行校驗，生成校驗碼 MAC2。將校驗碼MAC2與接收的校驗碼MACl比對，一致則驗證通過。本實施例不僅限于上述信息安全設備進行時間同步的流程，該流程還可以如圖3 所示(I)信息安全設備向信息安全設備服務器發送時間同步請求，該時間同步請求可包括一第二隨機數R4、信息安全設備的硬件標識和/或用戶的特征信息。(2)信息安全設備服務器接收時間同步請求，根據預存的管理密鑰(信息安全設備服務器與信息安全設備都預存有相同的管理密鑰，且該管理密鑰與該信息安全設備唯一對應)對本端的時間信息、信息安全設備的硬件標識和/或用戶的特征信息進行加密計算獲得時間同步數據，再對該時間同步數據和第二隨機數R4進行校驗，得到校驗碼MACl。信息安全設備服務器還可直接將本端的時間信息設置為時間同步數據，再對該時間同步數據和第二隨機數R4進行校驗得到校驗碼MACl。信息安全設備服務器將校驗碼MACl和時間同步數據發送給信息安全設備。(5)信息安全設備驗證校驗碼MAC1，驗證通過，則解密時間同步數據，提取所述時間同步數據的時間信息，將信息安全設備的時間數據更新為上述時間信息(如時間同步數據即為時間信息，則在校驗碼MACl校驗通過后直接將信息安全設備的時間信息更新為接收到的時間同步數據)。信息安全設備驗證校驗碼MACl的步驟具體可為信息安全設備根據預存的與信息安全設備服務器相應的校驗算法對時間同步數據和第二隨機數R4進行校驗，生成校驗碼MAC2。將校驗碼MAC2與接收的校驗碼MACl比對，一致則驗證通過。本實施例中，信息安全設備服務器通過和信息安全設備的數據交互，相互進行驗證，自動進行時間同步，防止信息安全設備及服務器之間的時間數據誤差。以上所述僅為本發明的優選實施例，并非因此限制本發明的專利范圍，凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換，或直接或間接運用在其他相關的技術領域，均同理包括在本發明的專利保護范圍內。
權利要求
1.一種信息安全設備時間同步方法，其特征在于，包括步驟信息安全設備向信息安全設備服務器發送時間同步請求；根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同步。
2.如權利要求I所述的方法，其特征在于，在執行所述根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同步之前，還包括接收信息安全設備服務器發送的時間同步響應信息；所述時間同步響應信息由所述信息安全設備服務器根據所述時間同步請求生成；根據所述時間同步響應信息生成簽名，并發送至信息安全設備服務器，供信息安全設備服務器驗證后生成所述時間同步數據。
3.如權利要求2所述的方法，其特征在于，所述根據時間同步響應信息生成簽名包括:生成一個第一隨機數；根據所述第一隨機數和本端預設的算法計算簽名。
4.如權利要求3所述的方法，其特征在于，所述根據第一隨機數和本端預設的算法計算簽名具體為根據本端預設的私鑰對所述第一隨機數、時間同步響應信息、信息安全設備的硬件標識和/或用戶的特征信息進行簽名計算。
5.如權利要求I至4中任一項所述的方法，其特征在于，所述根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同步包括當所述時間同步數據為密文時，驗證所述校驗碼，驗證通過后解密所述時間同步數據； 根據解密后的時間同步數據更新本端的時間數據；當所述時間同步數據為明文時，驗證所述校驗碼，驗證通過后根據所述時間同步數據更新本端的時間數據。
6.如權利要求I所述的方法，其特征在于，所述時間同步請求包括信息安全設備生成的第二隨機數，所述校驗碼為信息安全設備服務器根據所述第二隨機數和時間同步數據生成。
7.如權利要求I所述的方法，其特征在于，所述校驗碼為信息安全設備服務器根據所述時間同步數據生成。
8.如權利要求6或7所述的方法，其特征在于，所述根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同步包括當所述時間同步數據為密文時，驗證所述校驗碼，驗證通過后解密所述時間同步數據； 根據解密后的時間同步數據更新本端的時間數據；當所述時間同步數據為明文時，驗證所述校驗碼，驗證通過后根據所述時間同步數據更新本端的時間數據。
9.一種信息安全設備服務器時間同步方法，其特征在于，包括步驟接收信息安全設備發送的時間同步請求；根據所述時間同步請求生成校驗碼和時間同步數據，并反饋至信息安全設備，供信息安全設備進行時間同步。
10.如權利要求9所述的方法，其特征在于，在執行所述根據時間同步請求生成校驗碼和時間同步數據之前，還包括根據信息安全設備發送的時間同步請求生成時間同步響應信息，并反饋至所述信息安全設備，供該信息安全設備生成簽名；接收信息安全設備發送的簽名，并驗證該簽名。
11.如權利要求10所述的方法，其特征在于，所述時間同步響應信息為一個第三隨機數或根據一個第四隨機數加密生成的值。
12.如權利要求9或10所述的方法，其特征在于，所述根據時間同步請求生成校驗碼和時間同步數據包括根據預存的管理密鑰對本端的時間信息、信息安全設備的硬件標識和/或用戶的特征信息進行加密計算，得到所述時間同步數據；或將本端的時間信息設置為所述時間同步數據；對所述時間同步數據進行校驗，得到所述校驗碼。
13.如權利要求9所述的方法，其特征在于，所述時間同步請求包括信息安全設備生成的第二隨機數。
14.如權利要求12所述的方法，其特征在于，所述根據時間同步請求生成校驗碼和時間同步數據包括根據預存的管理密鑰對本端的時間信息、信息安全設備的硬件標識和/或用戶的特征信息進行加密計算，得到所述時間同步數據；或將本端的時間信息設置為所述時間同步數據；對所述時間同步數據和所述第二隨機數進行校驗，得到所述校驗碼。
全文摘要
本發明揭示了一種信息安全設備遠程時間同步方法，包括步驟信息安全設備向信息安全設備服務器發送時間同步請求；根據信息安全設備服務器反饋的校驗碼和時間同步數據，進行時間同步。本發明還提出一種信息安全設備服務器遠程時間同步方法。本發明提供的一種信息安全設備及服務器時間同步方法，可實現信息安全設備與信息安全設備服務器之間的時間同步。
文檔編號H04L29/08GK102594803SQ20121001581
公開日2012年7月18日 申請日期2012年1月18日 優先權日2012年1月18日
發明者陳柳章 申請人:深圳市文鼎創數據科技有限公司