專利名稱:一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)字證書認(rèn)證技術(shù),尤其是一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法及系統(tǒng)。
背景技術(shù):
隨著電子商務(wù)和互聯(lián)網(wǎng)的快速發(fā)展,USB Key作為網(wǎng)絡(luò)用戶身份識(shí)別和數(shù)據(jù)保護(hù)的“電子鑰匙”,正在被越來(lái)越多的用戶所熟悉。USB Key是一種基于USB接口的智能存儲(chǔ)身份認(rèn)證設(shè)備,內(nèi)置有智能卡CPU、存儲(chǔ)器、芯片操作系統(tǒng)(Chip Operating System,COS)和安全文件系統(tǒng),用于在服務(wù)器和用戶之間進(jìn)行身份認(rèn)證。由于USB Key主要用于網(wǎng)絡(luò)認(rèn)證,其內(nèi)部存儲(chǔ)有用戶的數(shù)字證書和用戶私鑰,利用其內(nèi)置的公鑰算法實(shí)現(xiàn)對(duì)用戶身份的驗(yàn)證,用戶的私鑰和數(shù)字證書保存于USB Key安全存儲(chǔ)區(qū)域中,理論上無(wú)法從外部獲取,這就保證了用戶私鑰和數(shù)字證書的安全性。USB Key 通過(guò) PIN (Personal Identification Number,個(gè)人識(shí)別密碼)碼來(lái)保護(hù) USB Key的使用權(quán),PIN碼是USB Key的密碼,只有擁有的該USB Key的PIN碼,才可以進(jìn)行 USB Key操作。即使被人撿到,或電腦被入侵,也無(wú)法在不知道PIN碼的情況下盜用用戶的 USB Key。假如用戶用戶的系統(tǒng)被入侵,由于用戶每次輸入的皆為完整的PIN碼,入侵者只要采用鍵盤記錄工具或者其他方式即可獲得用戶的PIN碼,這樣入侵者就能獲取用戶USB Key的使用權(quán),進(jìn)行一些有損用戶利益的操作。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是提供一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法,該方法可以有效地提高用戶使用硬件數(shù)字證書載體的信息安全性。本發(fā)明要解決的另一技術(shù)問(wèn)題是提供一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng),該系統(tǒng)有效地保障了用戶使用硬件數(shù)字證書載體的信息安全性。為了解決上述技術(shù)問(wèn)題,本發(fā)明所采用的技術(shù)方案是
一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法,該方法包括以下步驟 硬件數(shù)字證書載體接收來(lái)自客戶端的服務(wù)請(qǐng)求; 硬件數(shù)字證書載體向客戶端傳送包含有二進(jìn)制序列的PIN碼輸入信息; 硬件數(shù)字證書載體接收來(lái)自客戶端的PIN碼數(shù)據(jù);
硬件數(shù)字證書載體將來(lái)自客戶端的PIN碼數(shù)據(jù)與內(nèi)部運(yùn)算得到的動(dòng)態(tài)PIN碼數(shù)據(jù)進(jìn)行匹配,若匹配則激活硬件數(shù)字證書載體提供服務(wù)響應(yīng)。進(jìn)一步作為優(yōu)選的實(shí)施方式,所述二進(jìn)制序列是由硬件數(shù)字證書載體隨機(jī)產(chǎn)生的數(shù)據(jù),該二進(jìn)制序列的位數(shù)與硬件數(shù)字證書載體原始PIN碼的位數(shù)相同。進(jìn)一步作為優(yōu)選的實(shí)施方式,硬件數(shù)字證書載體接收來(lái)自客戶端的服務(wù)請(qǐng)求之后并在向客戶端傳送包含有二進(jìn)制序列的PIN碼輸入信息之前還包括
對(duì)服務(wù)請(qǐng)求的指令完整性進(jìn)行判斷,若服務(wù)請(qǐng)求的指令完整并需要提升權(quán)限,則硬件數(shù)字證書載體向客戶端傳送包含有二進(jìn)制序列的PIN碼輸入信息。進(jìn)一步作為優(yōu)選的實(shí)施方式,所述硬件數(shù)字證書載體隨機(jī)產(chǎn)生的二進(jìn)制序列存儲(chǔ)在緩沖存儲(chǔ)模塊,該緩沖存儲(chǔ)模塊內(nèi)數(shù)據(jù)的存儲(chǔ)時(shí)間可以設(shè)置,并且在二進(jìn)制序列刷新時(shí)被新生成的二進(jìn)制序列覆蓋。進(jìn)一步作為優(yōu)選的實(shí)施方式,所述硬件數(shù)字證書載體隨機(jī)產(chǎn)生的二進(jìn)制序列的刷新次數(shù)可以設(shè)置,當(dāng)超過(guò)預(yù)定義的刷新次數(shù)后,硬件數(shù)字證書載體將進(jìn)入鎖定狀態(tài)。一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng),該系統(tǒng)包括
數(shù)據(jù)接收模塊,用于接收來(lái)自客戶端的數(shù)據(jù),包括服務(wù)請(qǐng)求和用戶通過(guò)客戶端輸入的 PIN碼數(shù)據(jù);
安全服務(wù)模塊,用于生成包含有二進(jìn)制序列的PIN碼輸入信息; 數(shù)據(jù)發(fā)送模塊,用于將包含有二進(jìn)制序列的PIN碼輸入信息傳送給客戶端; 比較模塊,用于根據(jù)硬件數(shù)字證書載體的原始PIN碼和二進(jìn)制序列計(jì)算得到動(dòng)態(tài)PIN 碼數(shù)據(jù),并比較計(jì)算得到的動(dòng)態(tài)PIN碼數(shù)據(jù)與來(lái)自客戶端的PIN碼數(shù)據(jù),若匹配則激活硬件數(shù)字證書載體提供服務(wù)響應(yīng)。進(jìn)一步作為優(yōu)選的實(shí)施方式,所述二進(jìn)制序列是由安全服務(wù)模塊隨機(jī)產(chǎn)生的數(shù)據(jù),該二進(jìn)制序列的位數(shù)與硬件數(shù)字證書載體原始PIN碼的位數(shù)相同。進(jìn)一步作為優(yōu)選的實(shí)施方式,該系統(tǒng)還包括一指令處理模塊,用于對(duì)服務(wù)請(qǐng)求的指令完整性進(jìn)行判斷,若服務(wù)請(qǐng)求的指令完整并需要提升權(quán)限,則安全服務(wù)模塊生成包含有二進(jìn)制序列的PIN碼輸入信息。進(jìn)一步作為優(yōu)選的實(shí)施方式,該系統(tǒng)還包括一緩沖存儲(chǔ)模塊,用于存儲(chǔ)安全服務(wù)模塊隨機(jī)產(chǎn)生的二進(jìn)制序列,該緩沖存儲(chǔ)模塊內(nèi)數(shù)據(jù)的存儲(chǔ)時(shí)間可以設(shè)置,并且在二進(jìn)制序列刷新時(shí)被新生成的二進(jìn)制序列覆蓋。進(jìn)一步作為優(yōu)選的實(shí)施方式,該系統(tǒng)還包括一刷新計(jì)數(shù)模塊,用于對(duì)安全服務(wù)模塊刷新二進(jìn)制序列的次數(shù)進(jìn)行計(jì)數(shù),所述二進(jìn)制序列的刷新次數(shù)可以設(shè)置,當(dāng)超過(guò)預(yù)定義的刷新次數(shù)后,硬件數(shù)字證書載體將進(jìn)入鎖定狀態(tài)。本發(fā)明的有益效果是本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法及系統(tǒng),在用戶獲取硬件數(shù)字證書載體的使用權(quán)限進(jìn)行PIN碼認(rèn)證時(shí),一改傳統(tǒng)的直接輸入全部PIN碼的做法,而是通過(guò)與動(dòng)態(tài)生成的二進(jìn)制序列結(jié)合,要求用戶輸入動(dòng)態(tài)的PIN碼,從而使得即使系統(tǒng)被非法入侵時(shí),入侵者也無(wú)法獲取完整的PIN碼,提高了硬件數(shù)字證書載體密碼的安全性,保障了用戶的合法利益。
下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步說(shuō)明
圖1是本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法實(shí)施例一的步驟流程圖; 圖2是本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法實(shí)施例二的步驟流程圖; 圖3是本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng)實(shí)施例一的結(jié)構(gòu)方框圖; 圖4是本發(fā)明硬件數(shù)字證書載體與客戶端系統(tǒng)的數(shù)據(jù)流5圖5是本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng)實(shí)施例二的結(jié)構(gòu)方框圖; 圖6是本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng)實(shí)施例三的結(jié)構(gòu)方框圖。
具體實(shí)施例方式現(xiàn)有的硬件數(shù)字證書載體的PIN碼驗(yàn)證需要用戶輸入完整的PIN碼,本發(fā)明采用輸入動(dòng)態(tài)的PIN碼的方式以提高硬件數(shù)字證書載體PIN碼的安全性。參照?qǐng)D1,本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法實(shí)施例一的步驟流程如下
步驟SlO 硬件數(shù)字證書載體接收來(lái)自客戶端的服務(wù)請(qǐng)求;
步驟S20 硬件數(shù)字證書載體向客戶端傳送包含有二進(jìn)制序列的PIN碼輸入信息;
步驟S30 硬件數(shù)字證書載體接收來(lái)自客戶端的PIN碼數(shù)據(jù);
步驟S40:硬件數(shù)字證書載體將來(lái)自客戶端的PIN碼數(shù)據(jù)與內(nèi)部運(yùn)算得到的動(dòng)態(tài)PIN 碼數(shù)據(jù)進(jìn)行匹配,若匹配則激活硬件數(shù)字證書載體提供服務(wù)響應(yīng)。下面列舉一個(gè)實(shí)際應(yīng)用的例子,硬件數(shù)字證書載體以USB Key為例,假設(shè)該USB Key 的 PIN 碼為 123321123?,F(xiàn)有技術(shù)的USB Key的PIN碼認(rèn)證流程如下
A:用戶申請(qǐng)使用USB Key服務(wù)響應(yīng),通過(guò)客戶端向USB Key服務(wù)請(qǐng)求; B:USB Key接收服務(wù)請(qǐng)求后,向客戶端返回PIN碼認(rèn)證請(qǐng)求,客戶端彈出PIN碼認(rèn)證輸入框;
C:用戶通過(guò)客戶端輸入PIN碼123321123 ; D: USB Key為用戶提供服務(wù)響應(yīng)。在本發(fā)明中USB Key的PIN碼認(rèn)證流程如下
A:用戶申請(qǐng)使用USB Key服務(wù)響應(yīng),通過(guò)客戶端向USB Key服務(wù)請(qǐng)求; B:USB Key接收服務(wù)請(qǐng)求后,向客戶端返回PIN碼認(rèn)證請(qǐng)求,客戶端彈出PIN碼認(rèn)證輸入框,客戶端同時(shí)顯示隨PIN碼認(rèn)證請(qǐng)求接收的二進(jìn)制序列,例如提示00ΧΧ0Χ000 (二進(jìn)制序列由USB Key隨機(jī)產(chǎn)生的,理論上每次得到的二進(jìn)制序列無(wú)法預(yù)知,此序列的位數(shù)與USB Key的PIN碼長(zhǎng)度相等,0表示其對(duì)應(yīng)的PIN碼相同位置的數(shù)字需要輸入,X表示不用輸入); C:用戶通過(guò)客戶端輸入PIN碼122123 ;
D: USB Key將用戶輸入的動(dòng)態(tài)PIN碼與內(nèi)部計(jì)算獲得PIN碼進(jìn)行匹配,若匹配為用戶提供服務(wù)響應(yīng)。作為本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法的進(jìn)一步改進(jìn),所述二進(jìn)制序列是由硬件數(shù)字證書載體隨機(jī)產(chǎn)生的數(shù)據(jù),該二進(jìn)制序列的位數(shù)與硬件數(shù)字證書載體原始PIN碼的位數(shù)相同。在上述實(shí)施例的基礎(chǔ)之上,參照?qǐng)D2,作為本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法的進(jìn)一步改進(jìn),本發(fā)明動(dòng)態(tài)密碼驗(yàn)證方法實(shí)施例二在步驟SlO和步驟S20之間還設(shè)有步驟S11,步驟Sll為對(duì)對(duì)服務(wù)請(qǐng)求的指令完整性進(jìn)行判斷,若服務(wù)請(qǐng)求的指令完整并需要提升權(quán)限,則硬件數(shù)字證書載體向客戶端傳送包含有二進(jìn)制序列的PIN碼輸入信肩、ο進(jìn)一步,所述硬件數(shù)字證書載體隨機(jī)產(chǎn)生的二進(jìn)制序列存儲(chǔ)在緩沖存儲(chǔ)模塊,該緩沖存儲(chǔ)模塊內(nèi)數(shù)據(jù)的存儲(chǔ)時(shí)間可以設(shè)置,并且在二進(jìn)制序列刷新時(shí)被新生成的二進(jìn)制序
列覆蓋。進(jìn)一步,所述硬件數(shù)字證書載體隨機(jī)產(chǎn)生的二進(jìn)制序列的刷新次數(shù)可以設(shè)置,當(dāng)超過(guò)預(yù)定義的刷新次數(shù)后,硬件數(shù)字證書載體將進(jìn)入鎖定狀態(tài)。例如設(shè)定刷新次數(shù)為3次, 這樣用戶僅有三次輸入動(dòng)態(tài)PIN碼通過(guò)認(rèn)證的機(jī)會(huì),避免了非法入侵者在獲取部分PIN碼的基礎(chǔ)上通過(guò)多次刷新進(jìn)行攻擊。參照?qǐng)D3,在本發(fā)明基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng)實(shí)施例一中,該系統(tǒng)包括
數(shù)據(jù)接收模塊10,用于接收來(lái)自客戶端的數(shù)據(jù),包括服務(wù)請(qǐng)求和用戶通過(guò)客戶端輸入的PIN碼數(shù)據(jù);
安全服務(wù)模塊20,用于生成包含有二進(jìn)制序列的PIN碼輸入信息; 數(shù)據(jù)發(fā)送模塊30,用于將包含有二進(jìn)制序列的PIN碼輸入信息傳送給客戶端; 比較模塊40,用于根據(jù)硬件數(shù)字證書載體的原始PIN碼和二進(jìn)制序列計(jì)算得到動(dòng)態(tài) PIN碼數(shù)據(jù),并比較計(jì)算得到的動(dòng)態(tài)PIN碼數(shù)據(jù)與來(lái)自客戶端的PIN碼數(shù)據(jù),若匹配則激活硬件數(shù)字證書載體提供服務(wù)響應(yīng)。進(jìn)一步作為優(yōu)選的實(shí)施方式,所述二進(jìn)制序列是由安全服務(wù)模塊隨機(jī)產(chǎn)生的數(shù)據(jù),該二進(jìn)制序列的位數(shù)與硬件數(shù)字證書載體原始PIN碼的位數(shù)相同。參照?qǐng)D4,在本發(fā)明動(dòng)態(tài)密碼驗(yàn)證系統(tǒng)的實(shí)際工作中,數(shù)據(jù)的具體流向如下
1、用戶向應(yīng)用程序提交使用硬件數(shù)字證書載體的服務(wù)響應(yīng)的請(qǐng)求;
2、應(yīng)用禾呈序通過(guò)操作系統(tǒng)調(diào)用CSP (Cryptographic service provider),艮口 windows 平臺(tái)最底層加密接口,通過(guò)CSP向硬件數(shù)字證書載體的C0S(Chip Operating System,片上操作系統(tǒng))發(fā)送服務(wù)請(qǐng)求;
3、COS通過(guò)指令解析后,將隨機(jī)生成的二進(jìn)制序列和輸入PIN碼請(qǐng)求打包成PIN碼輸入信息,通過(guò)CSP傳送給應(yīng)用程序;
4、應(yīng)用程序顯示PIN碼輸入框,并顯示PIN碼“輸入提示”(即0Χ00ΧΧ000此類序列,此時(shí)它的表現(xiàn)形式應(yīng)當(dāng)還只是一個(gè)二進(jìn)制數(shù),如101100111);
5、用戶在客戶端根據(jù)PIN碼“輸入提示”輸入動(dòng)態(tài)PIN碼,應(yīng)用程序經(jīng)CSP將用戶輸入的動(dòng)態(tài)PIN碼轉(zhuǎn)交給COS。6、COS經(jīng)過(guò)對(duì)動(dòng)態(tài)PIN碼的驗(yàn)證,決定是否為用戶提供服務(wù)響應(yīng)。參照?qǐng)D5,作為對(duì)本發(fā)明動(dòng)態(tài)密碼驗(yàn)證系統(tǒng)實(shí)施例一的進(jìn)一步改進(jìn),在實(shí)施例二中該系統(tǒng)還包括一指令處理模塊50,用于對(duì)服務(wù)請(qǐng)求的指令完整性進(jìn)行判斷,若服務(wù)請(qǐng)求的指令完整并需要提升權(quán)限,則安全服務(wù)模塊20生成包含有二進(jìn)制序列的PIN碼輸入信肩、ο參照?qǐng)D6,作為對(duì)本發(fā)明動(dòng)態(tài)驗(yàn)證系統(tǒng)實(shí)施例二的進(jìn)一步改進(jìn),在實(shí)施例三中該系統(tǒng)還包括一緩沖存儲(chǔ)模塊60,用于存儲(chǔ)安全服務(wù)模塊20隨機(jī)產(chǎn)生的二進(jìn)制序列,該緩沖存儲(chǔ)模塊60內(nèi)數(shù)據(jù)的存儲(chǔ)時(shí)間可以設(shè)置,并且在二進(jìn)制序列刷新時(shí)被新生成的二進(jìn)制序
列覆蓋。進(jìn)一步,該系統(tǒng)還包括一刷新計(jì)數(shù)模塊70,用于對(duì)安全服務(wù)模塊20刷新二進(jìn)制序列的次數(shù)進(jìn)行計(jì)數(shù),所述二進(jìn)制序列的刷新次數(shù)可以設(shè)置,當(dāng)超過(guò)預(yù)定義的刷新次數(shù)后,硬件數(shù)字證書載體將進(jìn)入鎖定狀態(tài)。假定在實(shí)際應(yīng)用中,預(yù)定義二進(jìn)制序列的刷新次數(shù)為三次,用戶每刷新一次二進(jìn)制序列,則緩沖存儲(chǔ)模塊60內(nèi)的二進(jìn)制序列被安全服務(wù)模塊20新生成的二進(jìn)制序列覆蓋,同時(shí)刷新計(jì)數(shù)模塊70的計(jì)數(shù)器進(jìn)行減1操作,當(dāng)用戶在三次內(nèi)未通過(guò)動(dòng)態(tài)PIN碼驗(yàn)證,則硬件數(shù)字證書載體進(jìn)入鎖定模式,用戶將無(wú)法進(jìn)行操作,需要將硬件數(shù)字證書載體拔出后重新插入客戶端方能使用。 以上是對(duì)本發(fā)明的較佳實(shí)施進(jìn)行了具體說(shuō)明,但本發(fā)明創(chuàng)造并不限于所述實(shí)施例,熟悉本領(lǐng)域的技術(shù)人員在不違背本發(fā)明精神的前提下還可以作出種種的等同變形或替換,這些等同的變形或替換均包含在本申請(qǐng)權(quán)利要求所限定的范圍內(nèi)。
權(quán)利要求
1.一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法,其特征在于,該方法包括以下步驟硬件數(shù)字證書載體接收來(lái)自客戶端的服務(wù)請(qǐng)求;硬件數(shù)字證書載體向客戶端傳送包含有二進(jìn)制序列的PIN碼輸入信息;硬件數(shù)字證書載體接收來(lái)自客戶端的PIN碼數(shù)據(jù);硬件數(shù)字證書載體將來(lái)自客戶端的PIN碼數(shù)據(jù)與內(nèi)部運(yùn)算得到的動(dòng)態(tài)PIN碼數(shù)據(jù)進(jìn)行匹配,若匹配則激活硬件數(shù)字證書載體提供服務(wù)響應(yīng)。
2.根據(jù)權(quán)利要求1所述的一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法,其特征在于所述二進(jìn)制序列是由硬件數(shù)字證書載體隨機(jī)產(chǎn)生的數(shù)據(jù),該二進(jìn)制序列的位數(shù)與硬件數(shù)字證書載體原始PIN碼的位數(shù)相同。
3.根據(jù)權(quán)利要求2所述的一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法,其特征在于硬件數(shù)字證書載體接收來(lái)自客戶端的服務(wù)請(qǐng)求之后并在向客戶端傳送包含有二進(jìn)制序列的PIN碼輸入信息之前還包括對(duì)服務(wù)請(qǐng)求的指令完整性進(jìn)行判斷,若服務(wù)請(qǐng)求的指令完整并需要提升權(quán)限,則硬件數(shù)字證書載體向客戶端傳送包含有二進(jìn)制序列的PIN碼輸入信息。
4.根據(jù)權(quán)利要求3所述的一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法,其特征在于所述硬件數(shù)字證書載體隨機(jī)產(chǎn)生的二進(jìn)制序列存儲(chǔ)在緩沖存儲(chǔ)模塊,該緩沖存儲(chǔ)模塊內(nèi)數(shù)據(jù)的存儲(chǔ)時(shí)間可以設(shè)置,并且在二進(jìn)制序列刷新時(shí)被新生成的二進(jìn)制序列覆蓋。
5.根據(jù)權(quán)利要求4所述的一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法,其特征在于所述硬件數(shù)字證書載體隨機(jī)產(chǎn)生的二進(jìn)制序列的刷新次數(shù)可以設(shè)置,當(dāng)超過(guò)預(yù)定義的刷新次數(shù)后,硬件數(shù)字證書載體將進(jìn)入鎖定狀態(tài)。
6.一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng),其特征在于,該系統(tǒng)包括數(shù)據(jù)接收模塊,用于接收來(lái)自客戶端的數(shù)據(jù),包括服務(wù)請(qǐng)求和用戶通過(guò)客戶端輸入的 PIN碼數(shù)據(jù);安全服務(wù)模塊,用于生成包含有二進(jìn)制序列的PIN碼輸入信息; 數(shù)據(jù)發(fā)送模塊,用于將包含有二進(jìn)制序列的PIN碼輸入信息傳送給客戶端; 比較模塊,用于根據(jù)硬件數(shù)字證書載體的原始PIN碼和二進(jìn)制序列計(jì)算得到動(dòng)態(tài)PIN 碼數(shù)據(jù),并比較計(jì)算得到的動(dòng)態(tài)PIN碼數(shù)據(jù)與來(lái)自客戶端的PIN碼數(shù)據(jù),若匹配則激活硬件數(shù)字證書載體提供服務(wù)響應(yīng)。
7.根據(jù)權(quán)利要求6所述的一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng),其特征在于所述二進(jìn)制序列是由安全服務(wù)模塊隨機(jī)產(chǎn)生的數(shù)據(jù),該二進(jìn)制序列的位數(shù)與硬件數(shù)字證書載體原始PIN碼的位數(shù)相同。
8.根據(jù)權(quán)利要求7所述的一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng),其特征在于該系統(tǒng)還包括一指令處理模塊,用于對(duì)服務(wù)請(qǐng)求的指令完整性進(jìn)行判斷,若服務(wù)請(qǐng)求的指令完整并需要提升權(quán)限,則安全服務(wù)模塊生成包含有二進(jìn)制序列的PIN碼輸入信息。
9.根據(jù)權(quán)利要求8所述的一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng),其特征在于還包括一緩沖存儲(chǔ)模塊,用于存儲(chǔ)安全服務(wù)模塊隨機(jī)產(chǎn)生的二進(jìn)制序列,該緩沖存儲(chǔ)模塊內(nèi)數(shù)據(jù)的存儲(chǔ)時(shí)間可以設(shè)置,并且在二進(jìn)制序列刷新時(shí)被新生成的二進(jìn)制序列覆蓋。
10.根據(jù)權(quán)利要求9所述的一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證系統(tǒng),其特征在于還包括一刷新計(jì)數(shù)模塊,用于對(duì)安全服務(wù)模塊刷新二進(jìn)制序列的次數(shù)進(jìn)行計(jì)數(shù),所述二進(jìn)制序列的刷新次數(shù)可以設(shè)置,當(dāng)超過(guò)預(yù)定義的刷新次數(shù)后,硬件數(shù)字證書載體將進(jìn)入鎖定狀態(tài)。
全文摘要
本發(fā)明公開了一種基于硬件數(shù)字證書載體的動(dòng)態(tài)密碼驗(yàn)證方法及系統(tǒng),該方法包括硬件數(shù)字證書載體接收來(lái)自客戶端的服務(wù)請(qǐng)求;硬件數(shù)字證書載體向客戶端傳送包含有二進(jìn)制序列的PIN碼輸入信息;硬件數(shù)字證書載體接收來(lái)自客戶端的PIN碼數(shù)據(jù);硬件數(shù)字證書載體將來(lái)自客戶端的PIN碼數(shù)據(jù)與內(nèi)部運(yùn)算得到的動(dòng)態(tài)PIN碼數(shù)據(jù)進(jìn)行匹配,若匹配則激活硬件數(shù)字證書載體提供服務(wù)響應(yīng)。本發(fā)明在用戶獲取硬件數(shù)字證書載體的使用權(quán)限進(jìn)行PIN碼認(rèn)證時(shí),通過(guò)與動(dòng)態(tài)生成的二進(jìn)制序列結(jié)合,要求用戶輸入動(dòng)態(tài)的PIN碼,從而使得即使系統(tǒng)被非法入侵時(shí),入侵者也無(wú)法獲取完整的PIN碼,提高了硬件數(shù)字證書載體密碼的安全性,保障了用戶的合法利益。
文檔編號(hào)H04L29/06GK102571810SQ20121002853
公開日2012年7月11日 申請(qǐng)日期2012年2月9日 優(yōu)先權(quán)日2012年2月9日
發(fā)明者巴鐘杰, 李子柳, 湯庸, 趙淦森 申請(qǐng)人:趙淦森