專利名稱:一種usb挑戰(zhàn)應(yīng)答令牌認(rèn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全技術(shù)領(lǐng)域�����,特別涉及一種能抗網(wǎng)絡(luò)欺詐和第三方攻擊的USB挑戰(zhàn)應(yīng)答令牌認(rèn)證方法及系統(tǒng)�。
背景技術(shù):
通過使用強(qiáng)雙因子口令(動(dòng)態(tài)口令和靜態(tài)口令)認(rèn)證技術(shù)的應(yīng)用來確認(rèn)用戶的合法性是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)利用口令實(shí)行身份識(shí)別的一項(xiàng)發(fā)展較快的安全技術(shù)。申請?zhí)枮?011100120747. 7�,發(fā)明名稱為“ 一種動(dòng)態(tài)令牌雙向認(rèn)證方法及系統(tǒng)”的中國專利申請公開了一種動(dòng)態(tài)令牌的認(rèn)證方法,該認(rèn)證方法為時(shí)鐘型的動(dòng)態(tài)雙向認(rèn)證令牌產(chǎn)生并顯示挑戰(zhàn)碼和驗(yàn)證碼�����,通過認(rèn)證網(wǎng)頁輸入挑戰(zhàn)碼和ID號(hào)����,由網(wǎng)站(認(rèn)證服務(wù)器)驗(yàn)證后發(fā)回一組驗(yàn)證碼,與令牌顯示的驗(yàn)證碼核對�,以確認(rèn)網(wǎng)站的真實(shí)性。上述專利申請公開的技術(shù)雖然可以實(shí)現(xiàn)防御對一般釣魚網(wǎng)站的欺詐攻擊����,但是對于如何防止目前日益猖獗的第三方黑客攻擊的情況卻顯得軟弱無能、束手無策��。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種帶有USB接口的無全盤輸入鍵的新型挑戰(zhàn)應(yīng)答令牌���,在現(xiàn)有技術(shù)的基礎(chǔ)上解決受到第三方黑客攻擊的問題���。本發(fā)明的技術(shù)方案是,一種USB挑戰(zhàn)應(yīng)答令牌認(rèn)證系統(tǒng)�,由客戶端USB挑戰(zhàn)應(yīng)答令牌、認(rèn)證網(wǎng)頁和認(rèn)證服務(wù)器組成�����,其中�,客戶端USB挑戰(zhàn)應(yīng)答令牌是帶有USB接口的無全盤輸入鍵的挑戰(zhàn)應(yīng)答令牌,該令牌采用時(shí)間機(jī)制���,每30/60秒密碼變換一次���,支持國密SM3���、0ATH、SHA256等算法�����,USB挑戰(zhàn)應(yīng)答令牌在進(jìn)行普通登錄認(rèn)證交易操作時(shí)��,使用方式與現(xiàn)有普通單/雙向認(rèn)證令牌一致����,只需要將令牌顯示的動(dòng)態(tài)密碼輸入到網(wǎng)銀頁面上即可,即單向認(rèn)證�,也可選擇采用挑戰(zhàn)碼/驗(yàn)證碼雙向認(rèn)證方式,USB挑戰(zhàn)應(yīng)答令牌在進(jìn)行交易認(rèn)證時(shí)�����,用戶需要將令牌插入計(jì)算機(jī)的USB插口��,由網(wǎng)銀認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件��。要求用戶輸入令牌的使用密碼�,令牌在密碼驗(yàn)證通過的情況下點(diǎn)擊令牌按鍵確認(rèn)��,才允許USB令牌進(jìn)行挑戰(zhàn)應(yīng)答方式的運(yùn)算,認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件�����,將交易信息����,包括轉(zhuǎn)賬賬號(hào)、轉(zhuǎn)賬金額����,通過USB 口傳遞給令牌,由令牌密碼芯片按挑戰(zhàn)應(yīng)答方式計(jì)算出與交易數(shù)據(jù)(信息)相關(guān)的動(dòng)態(tài)密碼并通過USB 口返回���,認(rèn)證網(wǎng)頁將交易數(shù)據(jù)和返回的含用戶交易信息的動(dòng)態(tài)密碼一起發(fā)送到系統(tǒng)認(rèn)證服務(wù)器��,由認(rèn)證服務(wù)器根據(jù)用戶標(biāo)識(shí)獲得令牌種子密鑰��,按挑戰(zhàn)應(yīng)答方式對交易數(shù)據(jù)進(jìn)行計(jì)算得到與交易數(shù)據(jù)相關(guān)的動(dòng)態(tài)密碼�����,并與用戶提交的含用戶交易信息的動(dòng)態(tài)碼進(jìn)行比對�����,從而確認(rèn)交易數(shù)據(jù)是否被篡改��。USB挑戰(zhàn)應(yīng)答令牌為常顯模式����,6-8位動(dòng)態(tài)密碼,每60秒更新一次���,在客戶端USB挑戰(zhàn)應(yīng)答令牌的內(nèi)置芯片里���,融入了認(rèn)證服務(wù)器相同的信任算法,每塊令牌都有一個(gè)唯一的序列號(hào)與種子密鑰�����,當(dāng)客戶端采用雙向認(rèn)證模式時(shí)�,客戶端令牌根據(jù)令牌當(dāng)前時(shí)間運(yùn)算并顯示出相應(yīng)的挑戰(zhàn)碼和驗(yàn)證碼,60秒鐘后��,令牌會(huì)自動(dòng)切換到常顯模式���,顯示6-8位動(dòng)態(tài)密碼,長按令牌按鍵(5秒以上),令牌液晶屏幕會(huì)顯示用戶令牌序列號(hào)���,USB挑戰(zhàn)應(yīng)答令牌由USB接口芯片與含有SM3��、OATH和SHA/256算法的令牌密碼芯片連接��,通過認(rèn)證控件調(diào)用認(rèn)證網(wǎng)頁的用戶交易信息(轉(zhuǎn)賬賬號(hào)���、轉(zhuǎn)賬金額)參與令牌運(yùn)
笪
o
一種USB挑戰(zhàn)應(yīng)答令牌認(rèn)證方法,包括以下基本步驟 登錄網(wǎng)頁認(rèn)證�,按雙向認(rèn)證模式核對驗(yàn)證碼,即(I)客戶端USB挑戰(zhàn)應(yīng)答令牌根據(jù)令牌當(dāng)前時(shí)鐘的小時(shí)分鐘值產(chǎn)生并顯示一組挑戰(zhàn)碼和驗(yàn)證碼����;(2)將所述客戶端USB挑戰(zhàn)應(yīng)答令牌顯示的挑戰(zhàn)碼連同令牌序列號(hào)輸入系統(tǒng)應(yīng)用表示層的認(rèn)證網(wǎng)頁,發(fā)送認(rèn)證服務(wù)器��;(3)所述認(rèn)證服務(wù)器根據(jù)用戶令牌序列號(hào)在數(shù)據(jù)庫中找到該用戶令牌種子密鑰進(jìn)行運(yùn)算�,并以所述挑戰(zhàn)碼校準(zhǔn)系統(tǒng)令牌時(shí)鐘偏差獲得一個(gè)8位十進(jìn)制碼,將所述8位十進(jìn)制動(dòng)態(tài)密碼取其高5位進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換后產(chǎn)生認(rèn)證服務(wù)器驗(yàn)證碼�����;(4)所述認(rèn)證服務(wù)器將所述認(rèn)證服務(wù)器驗(yàn)證碼發(fā)送并顯示于所述應(yīng)用表示層的認(rèn)證網(wǎng)頁�����,用戶驗(yàn)證所述認(rèn)證服務(wù)器驗(yàn)證碼與客戶端USB挑戰(zhàn)應(yīng)答令牌驗(yàn)證碼是否一致,以確認(rèn)網(wǎng)站的真實(shí)性�; 認(rèn)證網(wǎng)頁輸入交易信息(5)用戶核對驗(yàn)證碼準(zhǔn)確無誤后,確認(rèn)并在認(rèn)證網(wǎng)頁上輸入交易信息��;(6)認(rèn)證網(wǎng)頁提示用戶將USB挑戰(zhàn)應(yīng)答令牌插入電腦USB插口��;(7)認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件彈出界面�����,要求用戶輸入U(xiǎn)SB挑戰(zhàn)應(yīng)答令牌的使用密碼�,通過USB接口到USB令牌驗(yàn)證使用密碼。驗(yàn)證通過�����,用戶點(diǎn)擊令牌確認(rèn)按鍵���,交易信息(轉(zhuǎn)賬賬號(hào)���、轉(zhuǎn)賬金額)將自動(dòng)進(jìn)入U(xiǎn)SB挑戰(zhàn)應(yīng)答令牌密碼(含SM3/0ATH/SHA256算法)芯片,結(jié)合用戶種子密鑰混合運(yùn)算產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼;(8)認(rèn)證網(wǎng)頁接受并顯示通過認(rèn)證控件返回的由令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼���; 確認(rèn)交易安全(9)將含用戶交易信息的動(dòng)態(tài)密碼連同交易數(shù)據(jù)發(fā)送至認(rèn)證服務(wù)器��;(10)認(rèn)證服務(wù)器調(diào)用用戶種子密鑰和用戶交易數(shù)據(jù)通過密碼(含SM3/0ATH/SHA256等算法)機(jī)/卡產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼�,并與認(rèn)證網(wǎng)頁發(fā)來的由USB挑戰(zhàn)應(yīng)答令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼進(jìn)行比對�;(11)將比對及后續(xù)執(zhí)行交易結(jié)果發(fā)送交易完成或失敗信息至認(rèn)證網(wǎng)頁;如果認(rèn)證服務(wù)器運(yùn)算產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼與USB挑戰(zhàn)應(yīng)答令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼比對不符�,則說明其用戶交易信息遭第三方攻擊者篡改。具體實(shí)施例的認(rèn)證流程還包括以下步驟步驟S101���,按下令牌按鍵,USB挑戰(zhàn)應(yīng)答令牌切換至雙向認(rèn)證模式��,此時(shí)令牌顯示2位挑戰(zhàn)碼和5位驗(yàn)證碼�;
步驟S102,在認(rèn)證網(wǎng)頁上輸入令牌序列號(hào)同時(shí)輸入令牌挑戰(zhàn)碼���;步驟S103�����,認(rèn)證網(wǎng)頁將用戶令牌序列號(hào)/挑戰(zhàn)碼發(fā)送至認(rèn)證服務(wù)器���;步驟S104��,對應(yīng)用戶令牌序列號(hào)/挑戰(zhàn)碼�����,認(rèn)證服務(wù)器在數(shù)據(jù)庫中找到該令牌種子密鑰進(jìn)行運(yùn)算����,產(chǎn)生5位數(shù)認(rèn)證用驗(yàn)證碼��,傳送至認(rèn)證網(wǎng)頁�����;步驟S105�����,用戶核對5位數(shù)驗(yàn)證碼無誤后�����,點(diǎn)擊下一步用戶進(jìn)入網(wǎng)上交易操作���;步驟S106���,認(rèn)證網(wǎng)頁提示用戶將USB挑戰(zhàn)應(yīng)答令牌插入電腦USB插口�;步驟S107�,認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件,彈出界面���,要求用戶輸入U(xiǎn)SB挑戰(zhàn)應(yīng)答令牌的 使用密碼�����;步驟S108�,令牌使用密碼驗(yàn)證通過后���,將用戶交易信息通過USB接口送至令牌密碼(包含SM3/0ATH/SHA256算法)芯片,結(jié)合用戶種子密鑰混算產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼����;步驟S109,認(rèn)證網(wǎng)頁通過認(rèn)證控件接收USB接口返回的由令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼;步驟S110�����,認(rèn)證網(wǎng)頁將含用戶交易信息的動(dòng)態(tài)密碼和交易信息發(fā)送至認(rèn)證服務(wù)器;步驟S111����,認(rèn)證服務(wù)器調(diào)用用戶種子密鑰及用戶交易信息通過密碼算法產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼,并與認(rèn)證網(wǎng)頁發(fā)來的由令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼進(jìn)行比對�����;步驟S112�����,將比對及后續(xù)執(zhí)行交易結(jié)果����,發(fā)送交易完成或失敗信息至認(rèn)證網(wǎng)頁,USB挑戰(zhàn)應(yīng)答令牌認(rèn)證流程完成����。本發(fā)明以USB挑戰(zhàn)應(yīng)答令牌的插接方法通過USB接口芯片及認(rèn)證控件的調(diào)用,把認(rèn)證網(wǎng)頁上的用戶交易信息(轉(zhuǎn)賬賬號(hào)��、轉(zhuǎn)賬金額)自動(dòng)輸入令牌密碼芯片��,連同用戶種子密鑰進(jìn)行運(yùn)算后產(chǎn)生一個(gè)新的含用戶交易信息的動(dòng)態(tài)密碼并自動(dòng)返回認(rèn)證網(wǎng)頁����,再連同用戶交易數(shù)據(jù)信息一起發(fā)送至認(rèn)證服務(wù)器����,實(shí)行安全認(rèn)證和后續(xù)交易操作��。由于第三方攻擊者不掌握用戶唯一的種子密鑰��,�����,也無法破解和利用用戶的認(rèn)證與交易信息��。本發(fā)明能有效抵御第三方黑客的惡意攻擊��,可廣泛使用于金融�、證券、網(wǎng)絡(luò)游戲等電子商務(wù)和國家電子政務(wù)���、國防工業(yè)系統(tǒng)、軍隊(duì)及電信等企事業(yè)單位的網(wǎng)絡(luò)信息安全���。
圖I是本發(fā)明一實(shí)施例中USB挑戰(zhàn)應(yīng)答令牌認(rèn)證流程2是本發(fā)明一實(shí)施例中一認(rèn)證網(wǎng)頁認(rèn)證控件及客戶端USB挑戰(zhàn)應(yīng)答令牌
具體實(shí)施例方式以下結(jié)合附圖對于本發(fā)明技術(shù)方案的實(shí)施作具體說明�。圖I所示一種抗網(wǎng)絡(luò)欺詐和第三方攻擊的USB挑戰(zhàn)應(yīng)答令牌認(rèn)證方法及系統(tǒng)由客戶端USB挑戰(zhàn)應(yīng)答令牌、認(rèn)證網(wǎng)頁(附認(rèn)證控件)和認(rèn)證服務(wù)器組成��。其USB挑戰(zhàn)應(yīng)答令牌認(rèn)證流程�,包括以下步驟。步驟SlOl按下令牌按鍵����,USB挑戰(zhàn)應(yīng)答令牌切換至雙向認(rèn)證模式,此時(shí)令牌顯示2位挑戰(zhàn)碼(如圖所示05)和5位驗(yàn)證碼(如圖所示HHPUS)�。步驟S102在認(rèn)證網(wǎng)頁上輸入令牌序列號(hào)同時(shí)輸入令牌挑戰(zhàn)碼(如圖中05)。
步驟S103認(rèn)證網(wǎng)頁將用戶令牌序列號(hào)/挑戰(zhàn)碼發(fā)送至認(rèn)證服務(wù)器��。步驟S104對應(yīng)用戶令牌序列號(hào)/挑戰(zhàn)碼(05)�,認(rèn)證服務(wù)器在數(shù)據(jù)庫中找到該令牌種子密鑰進(jìn)行運(yùn)算,產(chǎn)生5位數(shù)(HHPUS)認(rèn)證用驗(yàn)證碼���,傳送至認(rèn)證網(wǎng)頁����。步驟S105用戶核對5位數(shù)(HHPUS)驗(yàn)證碼無誤后����,點(diǎn)擊下一步用戶進(jìn)入網(wǎng)上交易操作。步驟S106認(rèn)證網(wǎng)頁提示用戶將USB挑戰(zhàn)應(yīng)答令牌插入電腦USB 口�����。步驟S107認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件,彈出界面�,要求用戶輸入U(xiǎn)SB挑戰(zhàn)應(yīng)答令牌的使用密碼并點(diǎn)擊確認(rèn)。步驟S108令牌使用密碼驗(yàn)證通過后��,認(rèn)證網(wǎng)頁跳出交易信息頁面����,用戶輸入交易賬號(hào)和交易金額并要求用戶核對USB挑戰(zhàn)應(yīng)答令牌上顯示的交易信息。步驟S109令牌通過USB接口在液晶屏顯示交易賬號(hào)后三位和交易金額(整數(shù)部分��,最大7位字符)��。步驟SllO用戶確認(rèn)令牌屏幕顯示的交易賬號(hào)及交易金額無誤后���,在規(guī)定的時(shí)間內(nèi)點(diǎn)擊令牌按鍵確認(rèn)運(yùn)算���。交易信息不符,則用戶應(yīng)在認(rèn)證網(wǎng)頁上點(diǎn)擊“取消”按鍵或者拔出USB插頭停止交易運(yùn)算���。認(rèn)證網(wǎng)頁延時(shí)幾秒后無確認(rèn)則自動(dòng)取消�。步驟Slll令牌將用戶交易信息(交易金額��、交易賬號(hào))連同用戶種子密鑰混合運(yùn)算產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼����。步驟SI 12認(rèn)證網(wǎng)頁通過認(rèn)證控件接收USB接口返回的由令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼。步驟SI 13用戶在認(rèn)證網(wǎng)頁點(diǎn)擊確認(rèn)鍵將含用戶交易信息的動(dòng)態(tài)密碼和交易信息發(fā)送至認(rèn)證服務(wù)器��。步驟SI 14認(rèn)證服務(wù)器調(diào)用用戶種子密鑰及用戶交易信息通過密碼(SM3/0ATH/SHA256算法)機(jī)/卡產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼���,并與認(rèn)證網(wǎng)頁發(fā)來的由令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼進(jìn)行比對����。步驟SI 15
將比對及后續(xù)執(zhí)行交易結(jié)果��,發(fā)送交易完成或失敗信息至認(rèn)證網(wǎng)頁�,USB挑戰(zhàn)應(yīng)答令牌認(rèn)證流程完成。如圖2所示���,是本發(fā)明實(shí)施例中的客戶端USB挑戰(zhàn)應(yīng)答令牌����。USB挑戰(zhàn)應(yīng)答令牌為常顯模式���,6-8位動(dòng)態(tài)密碼���,每60秒更新一次�����。在客戶端USB挑戰(zhàn)應(yīng)答令牌的內(nèi)置芯片里�����,融入了認(rèn)證服務(wù)器相同的信任算法�,每塊令牌都有一個(gè)唯一的序列號(hào)與種子密鑰����。當(dāng)客戶端采用雙向認(rèn)證模式時(shí),客戶端令牌根據(jù)令牌當(dāng)前時(shí)間運(yùn)算并顯示出相應(yīng)的挑戰(zhàn)碼和驗(yàn)證碼���。60秒鐘后�����,令牌會(huì)自動(dòng)切換到常顯模式�,顯示6-8位動(dòng)態(tài)密碼���。長按(5秒以上)令牌按鍵�,令牌液晶屏幕會(huì)顯示用戶令牌序列號(hào)。USB挑戰(zhàn)應(yīng)答令牌由USB接口芯片與令牌密碼(含SM3���、OATH、SHA/256等算法)芯片連接����,通過認(rèn)證控件調(diào)用認(rèn)證網(wǎng)頁的用戶交易信息參與令牌運(yùn)算。USB挑戰(zhàn)應(yīng)答令牌的主要功能如下I���、具備USB接口工作正常亮燈功能�;2��、令牌屏幕具備顯示用戶交易信息功能�;3、具備USB接口接收用戶交易信息��,通過密碼芯片快速進(jìn)行運(yùn)算后���,返回產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼功能����;4、具備令牌點(diǎn)擊按鍵確認(rèn)功能�;5、具備令牌挑戰(zhàn)應(yīng)答運(yùn)算及進(jìn)行挑戰(zhàn)應(yīng)答運(yùn)算時(shí)的使用密碼驗(yàn)證的功能����。認(rèn)證控件由網(wǎng)頁進(jìn)行調(diào)用,主要實(shí)現(xiàn)與USB挑戰(zhàn)應(yīng)答令牌的通信�,具有以下功能I、通過網(wǎng)頁在線自動(dòng)運(yùn)行安裝���,無需用戶手工安裝����;2�、提供USB挑戰(zhàn)應(yīng)答令牌的使用密碼輸入、驗(yàn)證�、修改等功能;
3�、提供與USB挑戰(zhàn)應(yīng)答令牌的通信功能,實(shí)現(xiàn)用戶交易數(shù)據(jù)傳輸和經(jīng)運(yùn)算后含用戶交易信息動(dòng)態(tài)密碼的返回�����。
權(quán)利要求
1.一種USB挑戰(zhàn)應(yīng)答令牌認(rèn)證系統(tǒng)���,其特征在于��,由客戶端USB挑戰(zhàn)應(yīng)答令牌����、認(rèn)證網(wǎng)頁和認(rèn)證服務(wù)器組成,其中��, 客戶端USB挑戰(zhàn)應(yīng)答令牌是帶有USB接口的無全盤輸入鍵的挑戰(zhàn)應(yīng)答令牌��,該令牌采用時(shí)間機(jī)制���,每30/60秒密碼變換一次,支持國密SM3�����、OATH���、SHA256等算法�����, USB挑戰(zhàn)應(yīng)答令牌在進(jìn)行普通登錄認(rèn)證交易操作時(shí)�,使用方式與現(xiàn)有普通單/雙向認(rèn)證令牌一致,只需要將令牌顯示的動(dòng)態(tài)密碼輸入到頁面上即可�,即單向認(rèn)證,也可選擇采用同步碼/驗(yàn)證碼雙向認(rèn)證方式��, USB挑戰(zhàn)應(yīng)答令牌在進(jìn)行交易認(rèn)證時(shí)����,用戶需要將令牌插入計(jì)算機(jī)的USB插口,由網(wǎng)銀認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件��。要求用戶輸入令牌的使用密碼��,令牌在密碼驗(yàn)證通過的情況下���,點(diǎn)擊令牌按鍵確認(rèn)�����,才允許USB令牌進(jìn)行挑戰(zhàn)應(yīng)答方式的運(yùn)算���, 認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件,將交易信息���,包括轉(zhuǎn)賬賬號(hào)��、轉(zhuǎn)賬金額���,通過USB 口傳遞給令牌��,由令牌密碼芯片按挑戰(zhàn)應(yīng)答方式計(jì)算出與交易數(shù)據(jù)相關(guān)的動(dòng)態(tài)密碼并通過USB 口返回�����, 認(rèn)證網(wǎng)頁將交易數(shù)據(jù)和返回的含用戶交易信息的動(dòng)態(tài)密碼一起發(fā)送到系統(tǒng)認(rèn)證服務(wù)器�,由認(rèn)證服務(wù)器根據(jù)用戶標(biāo)識(shí)獲得令牌種子密鑰��,按挑戰(zhàn)應(yīng)答方式對交易數(shù)據(jù)進(jìn)行混合運(yùn)算得到與交易數(shù)據(jù)相關(guān)的動(dòng)態(tài)密碼����,并與令牌提交的含用戶交易信息的動(dòng)態(tài)密碼進(jìn)行比對�����,從而確認(rèn)交易數(shù)據(jù)是否被篡改��。
2.如權(quán)利要求I的USB挑戰(zhàn)應(yīng)答令牌認(rèn)證系統(tǒng)��,其特征在于����,USB挑戰(zhàn)應(yīng)答令牌為常顯模式��,6-8位動(dòng)態(tài)密碼���,每30/60秒更新一次, 在客戶端USB挑戰(zhàn)應(yīng)答令牌的內(nèi)置芯片里���,融入了認(rèn)證服務(wù)器相同的信任算法�����,每塊令牌都有一個(gè)唯一的序列號(hào)與種子密鑰�����, 當(dāng)客戶端采用雙向認(rèn)證模式時(shí)���,客戶端令牌根據(jù)令牌當(dāng)前時(shí)間運(yùn)算并顯示出相應(yīng)的挑戰(zhàn)碼和驗(yàn)證碼,60秒鐘后�����,令牌會(huì)自動(dòng)切換到常顯模式�����,顯示6-8位動(dòng)態(tài)密碼,長按令牌按鍵(5秒以上)��,令牌液晶屏幕會(huì)顯示用戶令牌序列號(hào)���, USB挑戰(zhàn)應(yīng)答令牌由USB接口芯片與含有SM3���、OATH和SHA/256算法的令牌密碼芯片連接,通過認(rèn)證控件調(diào)用認(rèn)證網(wǎng)頁的用戶交易信息(轉(zhuǎn)賬賬號(hào)�、轉(zhuǎn)賬金額)參與令牌運(yùn)算。
3.—種USB挑戰(zhàn)應(yīng)答令牌認(rèn)證方法��,其特征在于���,包括以下步驟 登錄網(wǎng)頁認(rèn)證,按雙向認(rèn)證模式核對驗(yàn)證碼��,即 (1)客戶端USB挑戰(zhàn)應(yīng)答令牌根據(jù)令牌當(dāng)前時(shí)鐘的小時(shí)分鐘值產(chǎn)生并顯示一挑戰(zhàn)碼和驗(yàn)證碼����; (2)將所述客戶端USB挑戰(zhàn)應(yīng)答令牌顯示的挑戰(zhàn)碼連同令牌序列號(hào)輸入系統(tǒng)應(yīng)用表示層的認(rèn)證網(wǎng)頁,發(fā)送認(rèn)證服務(wù)器����; (3)所述認(rèn)證服務(wù)器根據(jù)用戶令牌序列號(hào)在數(shù)據(jù)庫中找到該用戶令牌種子密鑰進(jìn)行運(yùn)算�����,并以所述挑戰(zhàn)碼校準(zhǔn)系統(tǒng)令牌時(shí)鐘偏差獲得一個(gè)8位十進(jìn)制碼�����,將所述8位十進(jìn)制動(dòng)態(tài)密碼取其高5位進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換后產(chǎn)生認(rèn)證服務(wù)器驗(yàn)證碼�; (4)所述認(rèn)證服務(wù)器將所述認(rèn)證服務(wù)器驗(yàn)證碼發(fā)送并顯示于所述應(yīng)用表示層的認(rèn)證網(wǎng)頁�����,用戶驗(yàn)證所述認(rèn)證服務(wù)器驗(yàn)證碼與客戶端USB挑戰(zhàn)應(yīng)答令牌驗(yàn)證碼是否一致���,以確認(rèn)網(wǎng)站的真實(shí)性�����; 認(rèn)證網(wǎng)頁輸入交易信息����,即(5)用戶核對驗(yàn)證碼準(zhǔn)確無誤后,確認(rèn)并在認(rèn)證網(wǎng)頁上輸入交易信息�; (6)認(rèn)證網(wǎng)頁提示用戶將USB挑戰(zhàn)應(yīng)答令牌插入電腦USB插口; (7)認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件彈出界面���,要求用戶輸入U(xiǎn)SB挑戰(zhàn)應(yīng)答令牌的使用密碼��,通過USB接口到USB令牌驗(yàn)證使用密碼����。驗(yàn)證通過���,用戶點(diǎn)擊令牌確認(rèn)按鍵�����,交易信息(轉(zhuǎn)賬賬號(hào)�����、轉(zhuǎn)賬金額)將自動(dòng)進(jìn)入U(xiǎn)SB挑戰(zhàn)應(yīng)答令牌密碼(含SM3/0ATH/SHA256等算法)芯片���,結(jié)合用戶種子密鑰混合運(yùn)算產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼����; (8)認(rèn)證網(wǎng)頁接受并顯示通過認(rèn)證控件返回的由令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼����; 確認(rèn)交易安全�,即 (9)將含用戶交易信息的動(dòng)態(tài)密碼連同交易數(shù)據(jù)發(fā)送至認(rèn)證服務(wù)器; (10)認(rèn)證服務(wù)器調(diào)用用戶種子密鑰和用戶交易數(shù)據(jù)通過密碼(含SM3/OATH/SHA256算法)機(jī)/卡運(yùn)算并產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼�,并與認(rèn)證網(wǎng)頁發(fā)來的由USB挑戰(zhàn)應(yīng)答令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼進(jìn)行比對; (11)將比對及后續(xù)執(zhí)行交易結(jié)果發(fā)送交易完成或失敗信息至認(rèn)證網(wǎng)頁��; 如果認(rèn)證服務(wù)器運(yùn)算產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼與USB挑戰(zhàn)應(yīng)答令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼比對不符��,則說明其用戶交易信息遭第三方攻擊者篡改��。
4.如權(quán)利要求3所述的USB挑戰(zhàn)應(yīng)答令牌認(rèn)證方法���,其特征在于�����,還包括以下認(rèn)證流程和步驟 步驟S101�,按下令牌按鍵��,USB挑戰(zhàn)應(yīng)答令牌切換至雙向認(rèn)證模式�,此時(shí)令牌顯示2位挑戰(zhàn)碼和5位驗(yàn)證碼; 步驟S102,在認(rèn)證網(wǎng)頁上輸入令牌序列號(hào)同時(shí)輸入令牌挑戰(zhàn)碼�����; 步驟S103����,認(rèn)證網(wǎng)頁將用戶令牌序列號(hào)/挑戰(zhàn)碼發(fā)送至認(rèn)證服務(wù)器; 步驟S104�,對應(yīng)用戶令牌序列號(hào)/挑戰(zhàn)碼,認(rèn)證服務(wù)器在數(shù)據(jù)庫中找到該令牌種子密鑰進(jìn)行運(yùn)算��,產(chǎn)生5位數(shù)認(rèn)證用驗(yàn)證碼��,傳送至認(rèn)證網(wǎng)頁�����; 步驟S105�����,用戶令牌核對5位數(shù)驗(yàn)證碼無誤后�,用戶可進(jìn)入下一步網(wǎng)上交易操作; 步驟S106��,認(rèn)證網(wǎng)頁提示用戶將USB挑戰(zhàn)應(yīng)答令牌插入電腦USB插口; 步驟S107�����,認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件��,彈出界面���,要求用戶輸入U(xiǎn)SB挑戰(zhàn)應(yīng)答令牌的使用密碼; 步驟S108���,令牌使用密碼驗(yàn)證通過后�,認(rèn)證網(wǎng)頁跳出交易信息頁面����,用戶輸入交易賬號(hào)和交易金額并要求用戶核對USB挑戰(zhàn)應(yīng)答令牌上顯示的交易信息; 步驟S109����,令牌通過USB接口在液晶屏顯示交易賬號(hào)后三位和交易金額(整數(shù)部分,最大7位字符)��; 步驟S110����,用戶確認(rèn)令牌屏幕顯示的交易賬號(hào)及交易金額無誤后����,在規(guī)定的時(shí)間內(nèi)點(diǎn)擊令牌按鍵確認(rèn)運(yùn)算��,交易信息不符���,則用戶應(yīng)在認(rèn)證網(wǎng)頁上點(diǎn)擊“取消”按鍵或者拔出USB插頭停止交易運(yùn)算��,認(rèn)證網(wǎng)頁延時(shí)幾秒后無確認(rèn)則自動(dòng)取消�����; 步驟S111���,令牌將用戶交易信息(交易金額、交易賬號(hào))連同用戶種子密鑰混合運(yùn)算產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼����; 步驟S112,認(rèn)證網(wǎng)頁通過認(rèn)證控件接收USB接口返回的由令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼�;步驟S113,用戶在認(rèn)證網(wǎng)頁點(diǎn)擊確認(rèn)鍵將含用戶交易信息的動(dòng)態(tài)密碼和交易信息發(fā)送至認(rèn)證服務(wù)器��; 步驟S114,認(rèn)證服務(wù)器調(diào)用用戶種子密鑰及用戶交易信息通過密碼(SM3/0ATH/SHA256算法)機(jī)/卡產(chǎn)生含用戶交易信息的動(dòng)態(tài)密碼�,并與認(rèn)證網(wǎng)頁發(fā)來的由令牌產(chǎn)生的含用戶交易信息的動(dòng)態(tài)密碼進(jìn)行比對; 步驟S115����,將比對及后續(xù)執(zhí)行交易結(jié)果����,發(fā)送交易完成或失敗信息至認(rèn)證網(wǎng)頁,USB挑戰(zhàn)應(yīng)答令牌認(rèn)證流程完成�。
全文摘要
本發(fā)明公開了一種USB挑戰(zhàn)應(yīng)答令牌認(rèn)證系統(tǒng),客戶端USB挑戰(zhàn)應(yīng)答令牌是帶有USB接口的無全盤輸入鍵的挑戰(zhàn)應(yīng)答令牌��,USB挑戰(zhàn)應(yīng)答令牌在進(jìn)行認(rèn)證交易操作時(shí)�����,認(rèn)證網(wǎng)頁調(diào)用認(rèn)證控件�����,將交易信息����,包括轉(zhuǎn)賬賬號(hào)����、轉(zhuǎn)賬金額�����,通過USB口傳遞給令牌�����,由令牌密碼芯片按挑戰(zhàn)應(yīng)答方式計(jì)算出與交易數(shù)據(jù)相關(guān)的動(dòng)態(tài)密碼并通過USB口返回�,認(rèn)證網(wǎng)頁將交易數(shù)據(jù)和返回的含用戶交易信息的動(dòng)態(tài)密碼一起發(fā)送到系統(tǒng)認(rèn)證服務(wù)器,由認(rèn)證服務(wù)器根據(jù)用戶標(biāo)識(shí)獲得令牌種子密鑰����,按挑戰(zhàn)應(yīng)答方式對交易數(shù)據(jù)進(jìn)行計(jì)算得到與交易數(shù)據(jù)相關(guān)的動(dòng)態(tài)密碼,并與令牌提交的含用戶交易信息的動(dòng)態(tài)碼進(jìn)行比對����,從而確認(rèn)交易數(shù)據(jù)是否被篡改。
文檔編號(hào)H04L29/06GK102684880SQ20121013474
公開日2012年9月19日 申請日期2012年5月3日 優(yōu)先權(quán)日2012年5月3日
發(fā)明者林順來, 林麟 申請人:林順來, 林麟