CN104283688B - 一种USBKey安全认证系统及安全认证方法 - Google Patents
一种USBKey安全认证系统及安全认证方法 Download PDFInfo
- Publication number
- CN104283688B CN104283688B CN201410539508.9A CN201410539508A CN104283688B CN 104283688 B CN104283688 B CN 104283688B CN 201410539508 A CN201410539508 A CN 201410539508A CN 104283688 B CN104283688 B CN 104283688B
- Authority
- CN
- China
- Prior art keywords
- equipment
- module
- authentication
- usbkey
- background service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000012545 processing Methods 0.000 claims abstract description 213
- 230000006854 communication Effects 0.000 claims abstract description 56
- 238000004891 communication Methods 0.000 claims abstract description 52
- 230000008569 process Effects 0.000 claims description 18
- 230000000052 comparative effect Effects 0.000 claims description 9
- 230000010354 integration Effects 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 claims description 2
- 235000013399 edible fruits Nutrition 0.000 claims description 2
- 238000012795 verification Methods 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004064 recycling Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施方式提供了一种USBKey安全认证系统和方法。该系统包括:用于运行客户端应用的客户端设备,其可向USBKey设备发起认证请求,并接收认证结果;USBKey设备包括至少一个第一认证处理模块,该模块用于接收包含第一认证处理模块标识信息的认证请求,并针对标识信息进行第一认证处理,将处理结果通过安全通信通道发送给后台服务设备;后台服务设备包括第二认证处理模块,该模块接收到第一认证处理模块的处理结果后进行第二认证处理,将该处理结果作为最终认证结果发送给客户端设备,或者,通过安全通信通道发送给USBKey设备的第一认证处理模块,以便第一认证处理模块进行认证处理得到最终认证结果并发送给客户端设备。本申请实施方式可以提高认证安全性。
Description
技术领域
本申请的实施方式涉及信息安全技术领域,尤其涉及一种USBKey安全认证系统及安全认证方法。
背景技术
随着互联网技术及电子商务的发展,涉及个人身份信息、商业秘密等等私有数据的活动越来越多,使得各领域对信息安全的要求越来越高。为确保信息安全,目前,市场上普遍采用USBkey技术进行安全认证,比如,大部分金融机构的网上银行,几乎均采用USBkey技术来保护客户资料和交易过程的安全。不仅如此,USBkey同时也在其他领域被广泛用。这充分体现了USBkey技术的内在潜力和市场前景。
参见图1,该图示出了传统USBKey安全认证系统的一种组成结构,该系统包括3个独立的组件:运行客户端应用111的客户端设备1,该设备具有操作系统环境,客户端应用作为运行在该操作系统环境中的一个模块部署,这里的客户端设备可以是PC桌面设备或移动智能设备;USBKey设备2,类似于便携式U盘,其通过USB接口接入到设备1的操作系统环境之中;后台服务设备6,用于实现业务服务处理和认证过程。在实际认证时,客户端应用111通过通信过程11向USBKey设备2发送指令,USBKey设备2通过通信过程21将经过密码学运算处理后的处理结果返回给客户端应用111。同时,客户端应用111通过通信过程4向后台服务设备6发送信息,后台服务设备6通过通信过程5将响应返回给客户端111,从而实现认证。
虽然利用上述USBKey系统能够在一定程度上实现安全认证,但是,由于USBKey设备作为独立的执行环境存在,仅能在其内部进行密码学运算,其与后台服务设备的通信过程完全交给其对应的客户端设备,这将不可避免导致一些敏感信息泄漏到客户端应用所在的执行环境之中,带来安全隐患。
发明内容
为了解决上述问题,本申请实施方式提供了一种USBKey安全认证系统及安全认证方法,以便解决传统USBKey安全认证认证过程中存在的信息泄露,以及由此引起的安全隐患问题。
本申请实施方式提供的USBKey安全认证系统包括:客户端设备,USBKey设备以及后台服务设备,所述USBKey设备与所述后台服务设备之间建立有安全通信通道,其中:
所述客户端设备具有第一操作系统,用于运行客户端应用,客户端应用可向USBKey设备发起认证请求,并接收来自USBKey设备或后台服务设备的认证结果实现认证;
所述USBKey设备具有第二操作系统,所述USBKey设备包括至少一个第一认证处理模块,所述第一认证处理模块用于接收所述认证请求,所述认证请求中包含第一认证处理模块的标识信息,并针对所述标识信息进行第一认证处理,将第一认证处理得到的处理结果通过所述安全通信通道发送给所述后台服务设备;
所述后台服务设备包括第二认证处理模块,所述第二认证处理模块接收到所述第一认证处理的处理结果后进行第二认证处理,并将第二认证处理得到的结果作为最终认证结果发送给客户端设备,或者,通过USBKey设备与后台服务设备之间的安全通信通道发送给所述USBKey设备的第一认证处理模块,以便第一认证处理模块进行认证处理得到最终认证结果并发送给客户端设备。
优选地,所述第一认证处理模块包括标识信息转发模块和第一运算模块,其中:所述标识信息转发模块,用于转发包含所述标识信息的认证请求发送给所述后台服务设备的第二认证处理模块;所述第一运算模块,用于对来自后台服务设备的随机数和USBKey设备存储的密钥进行摘要运算,得到第二摘要信息,并将所述第二摘要信息通过所述安全通信通道发送给所述后台服务设备的第二认证处理模块;
所述第二认证处理模块包括第一查询模块、随机数生成模块和第二运算模块和第一比较模块,其中:所述第一查询模块,用于在接收到所述认证请求后,查询是否存在所述标识信息以及与第一认证处理模块对应的密钥;所述随机数生成模块,用于在存在第一认证处理模块标识信息时,生成随机数,并将所述随机数通过所述安全通信通道发送给USBKey设备的第一认证处理模块;所述第二运算模块,用于对所述第一认证处理模块对应的密钥和所述随机数进行摘要运算,得到第一摘要信息;所述第一比较模块,用于比较第一摘要信息和第二摘要信息是否相同,并将比较的结果发送给客户端设备。
优选地,所述第一认证处理模块包括第三运算模块、第一数字签名模块、第一加密模块和认证结果发送模块,其中:所述第三运算模块,用于对所述标识信息进行摘要运算,得到第三摘要信息;所述第一数字签名模块,用于利用私钥对第三摘要信息进行数字签名,得到第一签名证书;所述第一加密模块,用于利用与后台服务设备对应的公钥对所述所述标识信息和第一签名证书进行加密,得到第一认证信息,并将该第一认证信息通过所述安全通信通道发送给所述后台服务设备的第二认证处理模块;所述认证结果发送模块,用于将最终认证结果发送给客户端设备;
所述第二认证处理模块包括第一解密模块,第二查询模块和第一验证模块,其中:所述第一解密模块,用于利用后台服务设备的私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书;所述第二查询模块,用于根据所述所述标识信息查询与USBKey设备对应的公钥;所述第一验证模块,用于利用与USBKey设备对应的公钥对所述第一签名证书进行验证,并将验证结果通过所述安全通信通道发送给USBKey设备的第一认证处理模块。
进一步优选地,所述USBKey设备的存储有第一单向计数值,所述第一加密模块用于利用与后台服务设备对应的公钥对所述标识信息和第一签名证书以及所述第一单向计数值进行加密,得到第一认证信息,并在将所述第一认证信息发送给后台服务设备的第二认证处理模块后将第一单向计数值增加一个间距单位;
所述第一解密模块用于利用私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书以及所述第一单向计数值;
所述第一验证模块还用于将所述第一单向计数值与后台服务设备存储的所述标识信息对应的第二单向计数值进行比较,将比较结果作为验证结果的一部分。
进一步优选地,所述第二认证处理模块还包括更新模块、第二数字签名模块和第二加密模块,其中:所述更新模块,用于利用第一单向计数与一个间距单位的和更新所述第二单向计数值;所述第二数字签名模块,用于利用后台服务设备的私钥对更新后的第二单向计数值进行数字签名,得到第二签名证书;第二加密模块,用于利用USBKey设备对应的公钥对所述第二签名证书和更新后的第二单向计数值进行加密,得到第二认证信息,并将该第二认证信息通过所述安全通信通道发送给所述USBKey设备的第一认证处理模块;
所述第一认证处理模块还包括第二解密模块和第二验证模块,其中:所述第二解密模块,用于利用USBKey设备的私钥对所述第二认证信息进行解密,得到第二签名证书和第二单向计数值;所述第二验证模块,用于利用与后台服务设备对应的公钥对所述第二签名证书进行验证,并将第二单向计数值与第一单向计数值进行比较,将验证和比较结果作为最终的认证结果。
优选地,所述客户端设备为桌面设备,所述系统还包括代理服务端,所述代理服务端与USBKey设备集成为同一设备,所述代理服务端运行的操作系统与所述第二操作系统通过防火墙隔离,所述第二操作系统为安全执行环境。
优选地,所述客户端设备为移动智能设备,所述客户端设备与USBKey设备集成为同一设备,所述第一操作系统与第二操作系统通过防火墙隔离,所述第二操作系统为安全执行环境。
进一步优选地,所述USBKey设备具有提示模块,用于在USBKey设备接收到认证请求后,通过第二操作系统提示用户输入USBKey设备的PIN码,以便在输入的PIN正确后进入第一认证处理过程。
本申请实施方式还提供了一种USBKey安全认证方法。该方法包括:
运行在客户端设备的第一操作系统中的客户端应用向USBKey设备发起认证请求,该认证请求包含USBKey设备中的第一认证处理模块的标识信息;
运行在USBKey设备的第二操作系统中的第一认证处理模块针对所述标识信息进行第一认证处理,将第一认证处理得到的处理结果通过USBKey设备与后台服务设备之间的安全通信通道发送给后台服务设备;
后台服务设备的第二认证处理模块接收到所述第一认证处理的处理结果后进行第二认证处理,并将第二认证处理得到的结果作为最终认证结果发送给客户端设备,或者,将第二认证处理得到的结果通过USBKey设备与后台服务设备之间的安全通信通道发送给USBKey设备,USBKey设备的第一认证处理模块进行认证处理得到最终认证结果并发送给客户端设备。
优选地,所述方法包括:
USBKey设备的第一认证处理模块针对所述标识信息进行第一认证处理,将第一认证处理得到的处理结果通过USBKey设备与后台服务设备之间的安全通信通道发送给后台服务设备具体包括:
第一认证处理模块接收到认证请求后,将该认证请求转发给后台服务设备;
第一认证处理模块接收到后台服务设备产生的随机数后,利用随机数和USBKey设备存储的密钥进行摘要运算,得到第二摘要信息,并将所述第二摘要信息通过所述安全通信通道发送给后台服务设备;
后台服务设备的第二认证处理模块接收到所述第一认证处理的处理结果后进行第二认证处理具体包括:
第二认证处理模块接收到认证请求后,根据认证请求中的第一认证处理模块的标识信息查询是否存在该标识信息以及与该第一认证处理模块对应的密钥,在存在所述第一认证处理模块标识信息时,生成随机数,并将该随机数通过安全通信通道发送给USBKey设备的第一认证处理模块;
第二认证处理模块对所述第一认证处理模块对应的密钥和所述随机数进行摘要运算,得到第一摘要信息;
第二认证处理模块在接收到USBKey设备发送的第二摘要信息后,比较第一摘要信息和第二摘要信息是否相同。
优选地,所述方法包括:
USBKey设备的第一认证处理模块针对所述标识信息进行第一认证处理,将第一认证处理得到的处理结果通过USBKey设备与后台服务设备之间的安全通信通道发送给后台服务设备具体包括:
第一认证处理模块对所述标识信息进行摘要运算,得到第三摘要信息,利用USBKey设备的私钥对第三摘要信息进行数字签名,得到第一签名证书,再利用与后台服务设备对应的公钥对所述标识信息和第一签名证书进行加密,得到第一认证信息,并将该第一认证信息通过安全通信通道发送给所述后台服务设备;
后台服务设备的第二认证处理模块接收到所述第一认证处理的处理结果后进行第二认证处理具体包括:
第二认证处理模块接收到第一认证信息后,利用后台服务设备的私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书,再根据所述标识信息查询与USBKey设备对应的公钥,利用所述与USBKey设备对应的公钥对所述第一签名证书进行验证。
进一步优选地,所述USBKey设备存储有第一单向计数值;
所述利用与后台服务设备对应的公钥对所述标识信息和第一签名证书进行加密得到第一认证信息具体包括:
利用与后台服务设备对应的公钥对所述所述标识信息和第一签名证书以及所述第一单向计数值进行加密,得到第一认证信息,在将所述第一认证信息发送给后台服务设备的第二认证处理模块后将第一单向计数值增加一个间距单位;
所述利用后台服务设备的私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书具体包括:
利用后台服务设备的私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书以及所述第一单向计数值;
所述方法还包括:将所述第一单向计数值与后台服务设备存储的所述标识信息对应的第二单向计数值进行比较,将比较结果作为验证结果的一部分。
进一步优选地,所述方法还包括:
后台服务设备的第二认证处理模块利用第一单向计数与一个间距单位的和更新所述第二单向计数值,利用后台服务设备的私钥对更新后的第二单向计数值进行数字签名,得到第二签名证书;利用USBKey对应的公钥对所述第二签名证书和更新后的第二单向计数值进行加密,得到第二认证信息,并将该第二认证信息通过所述安全通信通道发送给所述USBKey设备;
USBKey设备的第一认证处理模块接收到第二认证信息后,利用USBKey的私钥对所述第二认证信息进行解密,得到第二签名证书和第二单向计数值,利用与后台服务设备对应的公钥对所述第二签名证书进行验证,并将第二单向计数值与第一单向计数值进行比较,将验证和比较的结果作为最终的认证结果。
与现有技术相比,本申请的实施方式可以取得多方面的技术效果。比如,由于USBKey设备与后台服务设备之间通过安全通道连接,使USBKey设备可以直接同后台服务设备进行通信以完成认证过程,而不需要经由客户端设备进行中转,从而避免客户端设备所在的执行环境可能带来的信息泄漏,减少或消除了安全隐患。再比如,USBKey设备和后台服务设备的整个认证过程都在安全操作系统中执行,可以避免恶意软件监控网络消息搜集用户敏感信息,从而提高了整个认证流程的安全性和性能。此外,USBKey设备同客户端设备可以集成在一起,不需要单独携带USBKey设备,方便了用户。
附图说明
通过参考附图阅读下文的详细描述,本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本发明的若干实施方式,其中:
图1为传统USBKey安全认证系统的组成结构图;
图2为本申请USBKey安全认证系统的一个实施例的组成结构图;
图3为本申请USBKey安全认证方法的一个实施例的流程图;
图4为本申请USBKey安全认证系统的又一实施例的组成结构图;
图5为本申请USBKey安全认证方法的又一个实施例的流程图;
图6为本申请USBKey安全认证系统的再一个实施例的组成结构图;
图7为本申请USBKey安全认证方法的再一个实施例的流程图;
图8为本申请USBKey安全认证系统的又一实施例的组成结构图;
图9为本申请USBKey安全认证系统的再一实施例的组成结构图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神。应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
实施例一
参见图2,该图示出了本申请的USBKey安全认证系统的一个实施例的组成结构(实施例一)。该实施例的USBKey安全认证系统包括:客户端设备21,USBKey设备22以及后台服务设备23,USBKey设备22与后台服务设备23之间建立有安全通信通道24,其中:
客户端设备21具有第一操作系统,在该设备的第一操作系统中运行有客户端应用,该客户端应用可向USBKey设备发起认证请求,还可以接收认证结果实现认证,在本申请的不同实施例中,该认证结果可以是由USBKey设备发送的,也可能是由后台服务设备发送的,这一定程度上取决于当前采用的认证机制,比如,如果采取“单向”认证机制(一个例子是主认证过程在后台服务设备完成,辅认证过程在USBKey设备完成,即主要后台服务设备对USBKey发送过来的消息进行的认证),那么最终的认证结果位于后台服务设备上,则可以直接由后台服务设备将认证结果发送给客户端,这种情况下,尽管也可以由后台服务设备通过USBKey设备与后台服务设备之间的安全通道将认证结果转发给USBKey设备,再由USBKey设备将其返回给客户端,这样并不阻碍发明目的的实现,但是,这样做可能不利于节约资源;如果采取“双向”认证机制(一个例子是不仅后台服务设备对USBKey设备发送过来的消息进行的认证,而且,USBKey设备对后台服务设备反馈的消息也进行认证),那么最终的认证结果通常位于USBKey设备上,则由USBKey设备将认证结果发送给客户端。
USBKey设备22具有第二操作系统,该设备可以包括至少一个第一认证处理模块221,第一认证处理模块221用于接收所述认证请求,该认证请求中包含第一认证处理模块的标识信息,并针对该标识信息进行第一认证处理,将第一认证处理得到的处理结果通过安全通信通道24发送给所述后台服务设备,这里的认证处理可以是对认证请求进行解析,将解析得到的信息通过安全通过发送到后台服务设备,也可以是进行与后台服务设备配合的一些运算操作。安全通信通道可以保证通信的双方(即USBKey设备和后台服务设备)进行正常的通信,其通信内容不会被截取,导致出现信息泄密等现象,具体可以采用加密技术、签名机制等方式来确保通信双方的通信安全。
后台服务设备23可以包括第二认证处理模块231,该模块接收到所述第一认证处理的处理结果后进行第二认证处理,将第二认证处理得到的结果发送给客户端设备。
在这一实施例中,第一认证处理模块、第二认证处理模块可以采取多种组成结构形式,不同的组成结构形式可以适应不同的认证处理过程。当然,无论哪种认证处理过程,第一认证处理模块与第二认证模块均存在着一定程度的配合关系,通过它们共同的相关操作来实现最终的认证。在本实施例中,为了更清楚地说明本实施例的技术方案,下面提供一种示例性的结构组成。参见图2,在该图中,第一认证处理模块221可以包括标识信息转发模块2211和第一运算模块2212,其中:标识信息转发模块2211,用于将包含第一认证处理模块标识信息的认证请求转发给所述后台服务设备的第二认证处理模块;第一运算模块2212,用于对来自后台服务设备的随机数和USBKey设备存储的密钥进行摘要运算,得到第二摘要信息,并将第二摘要信息通过所述安全通信通道发送给后台服务设备的第二认证处理模块。摘要运算具体可以采用哈希算法实现。
与第一认证处理模块的组成相应地,在图2中,第二认证处理模块231可以包括第一查询模块2311、随机数生成模块2312和第二运算模块2313和第一比较模块2314,其中:第一查询模块2311,用于在接收到所述认证请求后,查询是否存在所述认证请求包含的第一认证处理模块标识信息以及该与第一认证处理模块对应的密钥;随机数生成模块2312,用于在存在所述认证请求包含的第一认证处理模块标识信息时,生成随机数,并将所述随机数通过所述安全通信通道发送给USBKey设备的第一认证处理模块;第二运算模块2313,用于对所述USBKey设备对应的密钥和所述随机数进行摘要运算,得到第一摘要信息;第一比较模块2314,用于比较第一摘要信息和第二摘要信息是否相同,并将比较的结果发送给客户端设备。
需要说明的是,上述提及的密钥可以是多个第一认证处理模块使用相同的密钥,也可以是针对不同的第一认证处理模块采用不同的密钥,这两种情形的密钥均可称为“USBKey设备(后台服务设备)的密钥”。此外,后面将要提及的私钥、公钥等与此类似,后续不再重复说明。
在上述的第一认证处理模块和第二认证处理模块的组成中,某些情况下,并非每个模块均为必要,这取决于实施发明创造的主体对技术效果的要求。比如,上述的第二认证处理模块具有随机数产生模块,第一认证处理模块的第一运算模块需要对随机数进行处理,实际上,如果对安全性的要求没有那么高,或者当前执行环境有较大可能性不会出现信息泄露,那么完全可以不用产生随机数,并将随机数应用于摘要技术过程之中,从而在第二认证处理模块中可以不包含随机数产生模块。
在上述的系统实施例中,可以运行USBKey安全认证方法。参见图3所示的流程图,在该安全认证方法中,运行在客户端设备上的客户端应用首先向USBKey设备发起认证请求,该认证请求包含USBKey设备中的第一认证处理模块的标识信息(步骤S31),在使用实务过程中,该认证请求可以因各种原因受到触发,比如,用于要进行当前业务的验证,开启并运行相应的客户端应用。在USBKey设备接收到该请求后,将该请求转发给后台服务设备(步骤S32)。后台服务设备接收到该请求后,一方面,根据认证请求中的第一认证处理模块的标识信息查询是否存在该标识以及该第一认证处理模块对应的密钥K1(步骤S33),另一方面,后台服务设备生成一个随机数R1,并将该随机数R1通过安全通信通道发送给USBKey设备(步骤S34)。然后,后台服务设备根据第一认证处理模块对应的密钥K1和随机数R1进行摘要运算,得到摘要信息H1(步骤S35)。USBKey设备在接收到后台服务设备发送的随机数R1后,利用随机数R1和USBKey设备存储的密钥K2进行摘要运算,得到另一个摘要信息H2,并将该摘要信息发送给后台服务设备(步骤S36)。后台服务设备接收到摘要信息H2后,将摘要信息H1与H2进行比较(步骤S37),如果两者相同,则认证成功,否则,认证不成功;后台服务设备将认证结果发送给客户端应用(步骤S38)。客户端应用得到认证结果后,根据认证结果的具体情况,采取继续进行后续业务或中止(终止)当前服务等措施。
在这一USBKey安全认证过程中,还可以根据实际需要进行某些其它有用性的操作或者改变上述流程中的部分步骤。比如,在USBKey设备接收到认证请求后,为了防止某些非法的客户端应用也发起认证请求,进而实现一系列认证过程,本申请可以对发起认证请求的客户端应用进行代码完整性检测,如果该客户端应用的代码发生了非法篡改或伪装,则可以阻止该认证请求进行后续操作。还比如,在上述过程中,后台服务设备根据请求中的USBKey标识信息查询是否存在与该模块对应的密钥,如果具有该密钥,说明相关的金融机构已经部署了相关密钥在后台服务设备中或者相关用户已经开通这种类型的认证服务,具有权限进行相关认证工作,否则,需要进行密钥的部署。再比如,在进行认证操作之前还可以要求用户输入PIN码进行用户的身份验证。
实施例二
参见图4,该图示出了本申请的USBKey安全认证系统的又一个实施例的组成结构(实施例二)。该实施例的USBKey安全认证系统包括:客户端设备41,USBKey设备42以及后台服务设备43,USBKey设备42与后台服务设备43之间建立有安全通信通道44,其中:
客户端设备41具有第一操作系统,在该设备的第一操作系统中运行有客户端应用,该客户端应用可向USBKey设备发起认证请求,还可以接收认证结果实现认证,与前述实施例类似地,该认证结果可以来自USBKey设备,也可能来自后台服务设备。
USBKey设备42具有第二操作系统,该设备可以包括至少一个第一认证处理模块421,第一认证处理模块421用于接收所述认证请求,该认证请求中包含第一认证处理模块的标识信息,并针对USBKey标识信息进行第一认证处理,将第一认证处理得到的处理结果通过安全通信通道44发送给所述后台服务设备。
后台服务设备43可以包括第二认证处理模块431,该模块接收到所述第一认证处理的处理结果后进行第二认证处理,对于第二认证处理后的结果,可以存在两种不同的看待方式,不同的看待方式将使后台服务设备和USBKey设备的结构组成可能存在差别:一是将第二认证处理得到的结果直接作为最终的认证结果,这种情况下为单向认证,这样后台服务设备通过其发送功能可以直接将该结果发送给客户端设备(直接方式),或者先发送给USBKey设备,由USBKey将其发送给客户端设备(间接方式);二是将第二认证处理结果仅仅作为一种中间结果,该中间结果还需要发送给USBKey设备,由该设备的第一认证模块再进行相关的认证处理才得到最终的认证结果,这种情况下为双向认证,最终的认证结果由USBKey设备发送给客户端。
下面结合上述两种情形,分别说明后台服务设备和USBKey设备的内部组成。
针对上述第一种情形,即单向认证的情形,参见图4可知,作为USBKey设备组成模块的第一认证处理模块421,可以包括第三运算模块4211、第一数字签名模块4212、第一加密模块4213和认证结果发送模块4214,其中:第三运算模块4211,用于对第一认证处理模块的标识信息进行摘要运算,得到第三摘要信息;第一数字签名模块4212,用于利用第一认证处理模块的私钥对第三摘要信息进行数字签名,得到第一签名证书;第一加密模块4213,用于利用与后台服务设备对应的公钥对所述第一认证处理模块的标识信息和第一签名证书进行加密,得到第一认证信息,并将该第一认证信息通过所述安全通信通道发送给所述后台服务设备的第二认证处理模块;认证结果发送模块4214,用于将最终认证结果发送给客户端设备。作为后台服务设备组成模块的第二认证处理模块431,可以包括第一解密模块4311,第二查询模块4312和第一验证模块4313,其中:第一解密模块4311,用于利用后台服务设备的私钥对所述第一认证信息进行解密,得到第一认证处理模块的标识信息和第一签名证书;第二查询模块4312,用于根据所述第一认证处理模块的标识信息查询第一认证处理模块对应的公钥;第一验证模块4313,用于利用所述公钥对所述第一签名证书进行验证,并将验证结果作为最终认证结果通过所述安全通信通道发送给USBKey设备的第一认证处理模块。需要说明的是,如前所述,最终结果发送给客户端设备存在直接和间接两种方式,这里说明的是间接方式,如果需要采取直接发送方式,那么,USBKey设备中的第一认证模块可以不具有认证结果发送模块4214,而后台服务设备则可以不用将验证结果发送给USBKey设备,而是直接发送给用户端设备。当然,这些不同的实施方式,本领域技术人员可以根据实际情况进行选择。
在这种情形下,为了进一步提高认证的安全性,本申请优选在USBKey设备中还存储有第一单向计数值,这样,前述的第一加密模块用于利用与后台服务设备对应的公钥对所述第一认证处理模块的标识信息和第一签名证书以及所述第一单向计数值进行加密,得到第一认证信息,并在将所述第一认证信息发送给后台服务设备的第二认证处理模块后将第一单向计数值增加一个间距单位(比如,“1”);前述的第一解密模块用于利用后台服务设备的私钥对所述第一认证信息进行解密,得到第一认证处理模块的标识信息和第一签名证书以及所述第一单向计数值;前述的第一验证模块还用于将所述第一单向计数值与后台服务设备存储的第一认证处理模块的标识信息对应的第二单向计数值进行比较,将比较结果作为验证结果的一部分。
与上述这种实现单向认证的安全认证系统对应的,本申请在此基础上,还可以提出一种单向的安全认证方法。参见图5,在该安全认证方法中,运行在客户端设备上的客户端应用首先向USBKey设备发起认证请求,该认证请求包含USBKey设备中的第一认证处理模块的标识信息ID1(步骤S51)。在USBKey设备接收到该请求后,对第一认证处理模块的标识信息ID1进行摘要运算,得到第三摘要信息H3(步骤S52),利用第一认证处理模块对应的私钥对第三摘要信息H3进行数字签名,得到第一签名证书CA1(步骤S53),再利用与后台服务设备对应的公钥对所述第一认证处理模块的标识信息ID1和第一签名证书CA1进行加密,得到第一认证信息CT1,并将该第一认证信息CT1通过安全通信通道发送给所述后台服务设备(步骤S54)。后台服务设备接收到第一认证信息CT1后,利用后台服务设备的私钥对所述第一认证信息CT1进行解密,得到第一认证处理模块的标识信息ID1和第一签名证书CA1(步骤S55),再根据所述第一认证处理模块的标识信息ID1查询第一认证处理模块对应的公钥,利用该与第一认证处理模块对应的公钥对所述第一签名证书CA1进行验证,并将验证结果通过所述安全通信通道发送给USBKey设备(步骤S56)。最后,由USBKey设备将该验证结果作为最终的认证结果发送给客户端设备(步骤S57)。
针对第二种情形,即双向认证的情形,参见图6(注:本情形是在前一种情形基础之上的认证过程,与前一种情形相同的组成部分未重复标号)可知,作为后台服务设备组成部分的第二认证模块631,可以进一步包括更新模块6311、第二数字签名模块6312和第二加密模块6313,其中:更新模块6311,用于利用第一单向计数与1的和更新所述第二单向计数值;第二数字签名模块6312,用于利用后台服务设备的私钥对更新后的第二单向计数值进行数字签名,得到第二签名证书;第二加密模块6313,用于利用第一认证处理模块对应的公钥对所述第二签名证书和更新后的第二单向计数值进行加密,得到第二认证信息,并将该第二认证信息通过所述安全通信通道发送给所述USBKey设备的第一认证处理模块。作为USBKey设备组成部分的第一认证处理模块621,可以进一步包括第二解密模块6211和第二验证模块6212,其中:第二解密模块6211,用于利用私钥对所述第二认证信息进行解密,得到第二签名证书和第二单向计数值;第二验证模块6211,用于利用公钥对所述第二签名证书进行验证,并将第二单向计数值与第一单向计数值进行比较,将验证和比较结果作为最终的认证结果,由认证结果发送模块将该最终的认证结果发送给客户端设备。
在前一种情形实现的安全认证方法基础之上,借助于上述第二种情形的USBKey安全认证系统,可以进一步进行双向认证。参见图7,在该图的流程中,在后台服务设备对USBKey设备的单向认证中,考虑单向计数值,具体步骤参照图5中步骤S54、S55(注:图7中相应步骤的标号进行适应性修改)。在步骤S76中得到验证结果后,利用第一单向计数N1与1的和更新所述第二单向计数值N2,利用后台服务设备的私钥对更新后的第二单向计数值N2进行数字签名,得到第二签名证书CA2(步骤S77);利用第一认证处理模块对应的公钥对所述第二签名证书CA2和更新后的第二单向计数值N2进行加密,得到第二认证信息CT2,并将该第二认证信息CT2通过所述安全通信通道发送给所述USBKey设备(步骤S78)。在USBKey设备接收到第二认证信息CT2后,利用USBKey的私钥对所述第二认证信息CT2进行解密,得到第二签名证书CA2和第二单向计数值N2(步骤S79),然后,利用与后台服务设备对应的公钥对所述第二签名证书CA2进行验证,并将第二单向计数值N2与第一单向计数值N1进行比较,将验证和比较结果作为最终的认证结果(步骤S710)。最后,由USBKey设备将该验证结果作为最终的认证结果发送给客户端设备(步骤S711)。
实施例三
上述两个实施例中均提及客户端设备与USBKey设备,这两个设备与其它设备共同组成USBKey安全认证系统,这里没有特别限定这个两个设备之间的位置关系。但是,在某些情况下,对它们之间的位置关系进行明确,可能更能带来技术效果。参见图8,在该图中,客户端设备与USBKey设备集成为一个设备,该设备可以表现为智能设备。在这种集成的模式下,客户端设备所处的第一操作系统与USBKey设备所处的第二操作系统相互隔离,从而也使客户端设备所处的环境与USBKey设备所处的环境不同,为了安全起见,本申请将客户端设备所处的环境设置为富执行环境,该环境为非安装环境,USBKey设备所处的环境为安全执行环境。两个操作系统(运行相关应用的执行环境)之间的隔离可以通过硬件防火墙实现,整个架构可以基于ARM处理器的CPU安全扩展技术实现,从而可以在一个CPU上同时运行两个操作系统,且能够实现安全操作系统和非安全操作系统之间的切换。通过这种集成模式,可以保证需要较高安全的认证过程在安全执行环境中进行,而对安全要求不高(或者没有条件使其具有较高安全要求,比如,移动终端,由于传统的移动终端主要是以用户体验为中心开发的,没有过多考虑安全设计)的客户端设备中的应用,则可以运行在非安全环境中,这样使具有较高安全要求的环境仅占用较少的资源即可实现,而不具有较高安全要求的应用不涉及到过多敏感或私人信息,尽管处于不完全环境中,但并不会带来过多的麻烦。另外一个方面,这种集成的模式,使得在实现USBKey的安全认证过程中,无需再单独携带USBKey设备和客户端设备,而仅需要携带具有两者功能的一个设备即可,从而大大方便了用户。
在实际应用过程中,这种集成了客户端设备与USBKey设备的智能设备还可以应用于桌面环境中。参见图9,该图中桌面设备(比如PC电脑)通过网络与后台服务设备连接,桌面设备中安全有桌面操作系统和客户端应用,桌面设备和智能设备之间通过接口通道(比如,USB接口)进行通信,智能设备中的非安全执行环境部署有代理服务模块。通过这种模式使同一个第一认证处理模块,既可以为运行在智能设备上的客户端应用提供服务,而且,可以为PC等桌面设备提供用户身份认证功能。
应当指出的是,上述优选实施方式不应视为对本发明的限制,本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说,在不脱离本发明的精神和范围内,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (13)
1.一种USBKey安全认证系统,其特征在于,所述系统包括:客户端设备,USBKey设备以及后台服务设备,所述USBKey设备与所述后台服务设备之间建立有安全通信通道,其中:
所述客户端设备具有第一操作系统,用于运行客户端应用,客户端应用可向USBKey设备发起认证请求,并接收来自USBKey设备或后台服务设备的认证结果实现认证;
所述USBKey设备具有第二操作系统,所述USBKey设备包括至少一个第一认证处理模块,所述第一认证处理模块用于接收所述认证请求,所述认证请求中包含第一认证处理模块的标识信息,并针对所述标识信息进行第一认证处理,将第一认证处理得到的处理结果通过所述安全通信通道发送给所述后台服务设备;
所述后台服务设备包括第二认证处理模块,所述第二认证处理模块接收到所述第一认证处理的处理结果后进行第二认证处理,并将第二认证处理得到的结果作为最终认证结果发送给客户端设备,或者,通过USBKey设备与后台服务设备之间的安全通信通道发送给所述USBKey设备的第一认证处理模块,以便第一认证处理模块进行认证处理得到最终认证结果并发送给客户端设备。
2.根据权利要求1所述的系统,其特征在于,所述第一认证处理模块包括标识信息转发模块和第一运算模块,其中:所述标识信息转发模块,用于将包含所述标识信息的认证请求转发给所述后台服务设备的第二认证处理模块;所述第一运算模块,用于对来自后台服务设备的随机数和USBKey设备存储的密钥进行摘要运算,得到第二摘要信息,并将所述第二摘要信息通过所述安全通信通道发送给所述后台服务设备的第二认证处理模块;
所述第二认证处理模块包括第一查询模块、随机数生成模块和第二运算模块和第一比较模块,其中:所述第一查询模块,用于在接收到所述认证请求后,查询是否存在所述标识信息以及与第一认证处理模块对应的密钥;所述随机数生成模块,用于在存在第一认证处理模块标识信息时,生 成随机数,并将所述随机数通过所述安全通信通道发送给USBKey设备的第一认证处理模块;所述第二运算模块,用于对所述第一认证处理模块对应的密钥和所述随机数进行摘要运算,得到第一摘要信息;所述第一比较模块,用于比较第一摘要信息和第二摘要信息是否相同,并将比较的结果发送给客户端设备。
3.根据权利要求1所述的系统,其特征在于,所述第一认证处理模块包括第三运算模块、第一数字签名模块、第一加密模块和认证结果发送模块,其中:所述第三运算模块,用于对所述标识信息进行摘要运算,得到第三摘要信息;所述第一数字签名模块,用于利用USBKey 设备的私钥对第三摘要信息进行数字签名,得到第一签名证书;所述第一加密模块,用于利用与后台服务设备对应的公钥对所述标识信息和第一签名证书进行加密,得到第一认证信息,并将该第一认证信息通过所述安全通信通道发送给所述后台服务设备的第二认证处理模块;所述认证结果发送模块,用于将最终认证结果发送给客户端设备;
所述第二认证处理模块包括第一解密模块,第二查询模块和第一验证模块,其中:所述第一解密模块,用于利用后台服务设备的私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书;所述第二查询模块,用于根据所述所述标识信息查询与USBKey设备对应的公钥;所述第一验证模块,用于利用所述与USBKey设备对应的公钥对所述第一签名证书进行验证,并将验证结果通过所述安全通信通道发送给USBKey设备的第一认证处理模块。
4.根据权利要求3所述的系统,其特征在于,所述USBKey设备存储有第一单向计数值,所述第一加密模块用于利用与后台服务设备对应的公钥对所述所述标识信息和第一签名证书以及所述第一单向计数值进行加密,得到第一认证信息,并在将所述第一认证信息发送给后台服务设备的第二认证处理模块后将第一单向计数值增加一个间距单位;
所述第一解密模块用于利用私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书以及所述第一单向计数值;
所述第一验证模块还用于将所述第一单向计数值与后台服务设备存储的所述标识信息对应的第二单向计数值进行比较,将比较结果作为验证 结果的一部分。
5.根据权利要求4所述的系统,其特征在于,所述第二认证处理模块还包括更新模块、第二数字签名模块和第二加密模块,其中:所述更新模块,用于利用第一单向计数与一个间距单位的和更新所述第二单向计数值;所述第二数字签名模块,用于利用后台服务设备的私钥对更新后的第二单向计数值进行数字签名,得到第二签名证书;第二加密模块,用于利用USBKey设备对应的公钥对所述第二签名证书和更新后的第二单向计数值进行加密,得到第二认证信息,并将该第二认证信息通过所述安全通信通道发送给所述USBKey设备的第一认证处理模块;
所述第一认证处理模块还包括第二解密模块和第二验证模块,其中:所述第二解密模块,用于利用USBKey设备的私钥对所述第二认证信息进行解密,得到第二签名证书和第二单向计数值;所述第二验证模块,用于利用与后台服务设备对应的公钥对所述第二签名证书进行验证,并将第二单向计数值与第一单向计数值进行比较,将验证和比较结果作为最终的认证结果。
6.根据权利要求1至5中任何一项所述的系统,其特征在于,所述客户端设备为桌面设备,所述系统还包括代理服务端,所述代理服务端与USBKey设备集成为同一设备,所述代理服务端运行的操作系统与所述第二操作系统通过防火墙隔离,所述第二操作系统为安全执行环境。
7.根据权利要求1至5中任何一项所述的系统,其特征在于,所述客户端设备为移动智能设备,所述客户端设备与USBKey设备集成为同一设备,所述第一操作系统与第二操作系统通过防火墙隔离,所述第二操作系统为安全执行环境。
8.根据权利要求7所述的系统,其特征在于,所述USBKey设备具有提示模块,用于在USBKey设备接收到认证请求后,通过第二操作系统提示用户输入USBKey设备的PIN码,以便在输入的PIN正确后进入第一认证处理过程。
9.一种USBKey安全认证方法,其特征在于,所述方法包括:
运行在客户端设备的第一操作系统中的客户端应用向USBKey设备发起认证请求,该认证请求包含USBKey设备中的第一认证处理模块的标识 信息;
运行在USBKey设备的第二操作系统中的第一认证处理模块针对所述标识信息进行第一认证处理,将第一认证处理得到的处理结果通过USBKey设备与后台服务设备之间的安全通信通道发送给后台服务设备;
后台服务设备的第二认证处理模块接收到所述第一认证处理的处理结果后进行第二认证处理,并将第二认证处理得到的结果作为最终认证结果发送给客户端设备,或者,将第二认证处理得到的结果通过USBKey设备与后台服务设备之间的安全通信通道发送给USBKey设备,USBKey设备的第一认证处理模块进行认证处理得到最终认证结果并发送给客户端设备。
10.根据权利要求9所述的方法,其特征在于,所述方法包括:
USBKey设备的第一认证处理模块针对所述标识信息进行第一认证处理,将第一认证处理得到的处理结果通过USBKey设备与后台服务设备之间的安全通信通道发送给后台服务设备具体包括:
第一认证处理模块接收到认证请求后,将该认证请求转发给后台服务设备;
第一认证处理模块接收到后台服务设备产生的随机数后,利用随机数和USBKey设备存储的密钥进行摘要运算,得到第二摘要信息,并将所述第二摘要信息通过所述安全通信通道发送给后台服务设备;
后台服务设备的第二认证处理模块接收到所述第一认证处理的处理结果后进行第二认证处理具体包括:
第二认证处理模块接收到认证请求后,根据认证请求中的第一认证处理模块的标识信息查询是否存在该标识信息以及与该第一认证处理模块对应的密钥,在存在所述第一认证处理模块标识信息时,生成随机数,并将该随机数通过安全通信通道发送给USBKey设备的第一认证处理模块;
第二认证处理模块对所述第一认证处理模块对应的密钥和所述随机数进行摘要运算,得到第一摘要信息;
第二认证处理模块在接收到USBKey设备发送的第二摘要信息后,比较第一摘要信息和第二摘要信息是否相同。
11.根据权利要求9所述的方法,其特征在于,所述方法包括:
USBKey设备的第一认证处理模块针对所述标识信息进行第一认证处理,将第一认证处理得到的处理结果通过USBKey设备与后台服务设备之间的安全通信通道发送给后台服务设备具体包括:
第一认证处理模块对所述标识信息进行摘要运算,得到第三摘要信息,利用USBKey设备的私钥对第三摘要信息进行数字签名,得到第一签名证书,再利用与后台服务设备对应的公钥对所述标识信息和第一签名证书进行加密,得到第一认证信息,并将该第一认证信息通过安全通信通道发送给所述后台服务设备;
后台服务设备的第二认证处理模块接收到所述第一认证处理的处理结果后进行第二认证处理具体包括:
第二认证处理模块接收到第一认证信息后,利用后台服务设备的私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书,再根据所述标识信息查询与USBKey设备对应的公钥,利用所述与USBKey设备对应的公钥对所述第一签名证书进行验证。
12.根据权利要求11所述的方法,其特征在于,所述USBKey设备存储有第一单向计数值;
所述利用与后台服务设备对应的公钥对所述标识信息和第一签名证书进行加密得到第一认证信息具体包括:
利用与后台服务设备对应的公钥对所述所述标识信息和第一签名证书以及所述第一单向计数值进行加密,得到第一认证信息,在将所述第一认证信息发送给后台服务设备的第二认证处理模块后将第一单向计数值增加一个间距单位;
所述利用后台服务设备的私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书具体包括:
利用后台服务设备的私钥对所述第一认证信息进行解密,得到所述标识信息和第一签名证书以及所述第一单向计数值;
所述方法还包括:将所述第一单向计数值与后台服务设备存储的所述标识信息对应的第二单向计数值进行比较,将比较结果作为验证结果的一部分。
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
后台服务设备的第二认证处理模块利用第一单向计数与一个间距单位的和更新所述第二单向计数值,利用后台服务设备的私钥对更新后的第二单向计数值进行数字签名,得到第二签名证书;利用USBKey 对应的公钥对所述第二签名证书和更新后的第二单向计数值进行加密,得到第二认证信息,并将该第二认证信息通过所述安全通信通道发送给所述USBKey设备;
USBKey设备的第一认证处理模块接收到第二认证信息后,利用USBKey的私钥对所述第二认证信息进行解密,得到第二签名证书和第二单向计数值,利用与后台服务设备对应的公钥对所述第二签名证书进行验证,并将第二单向计数值与第一单向计数值进行比较,将验证和比较的结果作为最终的认证结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410539508.9A CN104283688B (zh) | 2014-10-11 | 2014-10-11 | 一种USBKey安全认证系统及安全认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410539508.9A CN104283688B (zh) | 2014-10-11 | 2014-10-11 | 一种USBKey安全认证系统及安全认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104283688A CN104283688A (zh) | 2015-01-14 |
| CN104283688B true CN104283688B (zh) | 2017-12-29 |
Family
ID=52258200
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410539508.9A Active CN104283688B (zh) | 2014-10-11 | 2014-10-11 | 一种USBKey安全认证系统及安全认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104283688B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016112860A1 (zh) * | 2015-01-15 | 2016-07-21 | 天地融科技股份有限公司 | 无线设备的通讯方法、无线设备和服务器 |
| CN106572066B (zh) * | 2015-10-10 | 2019-11-22 | 西安西电捷通无线网络通信股份有限公司 | 一种实体身份有效性验证方法及其装置 |
| CN106572065B (zh) * | 2015-10-10 | 2019-11-22 | 西安西电捷通无线网络通信股份有限公司 | 一种多ttp参与的实体身份有效性验证方法及装置 |
| CN105847007A (zh) * | 2016-03-17 | 2016-08-10 | 北京众云在线科技有限公司 | 用于终端设备的身份验证方法和计算机设备 |
| CN107844262B (zh) * | 2016-09-21 | 2021-06-25 | 东软集团股份有限公司 | 数据缓存、发送方法及装置 |
| CN106897639B (zh) * | 2017-01-06 | 2020-12-22 | 奇酷互联网络科技(深圳)有限公司 | 移动终端及其安全验证的方法和装置 |
| CN109495269B (zh) * | 2017-09-13 | 2023-11-03 | 厦门雅迅网络股份有限公司 | 车载端对接入设备的可信验证方法及其系统、车载端 |
| CN108521429A (zh) * | 2018-04-20 | 2018-09-11 | 黄绍进 | 一种匿名的互联网应用访问方法及装置 |
| DE102018120347A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
| CN109728909B (zh) * | 2019-03-21 | 2021-07-27 | 郑建建 | 基于USBKey的身份认证方法和系统 |
| CN110287685A (zh) * | 2019-06-28 | 2019-09-27 | 浪潮云信息技术有限公司 | 基于国产cpu、操作系统和数据库的key认证方法及系统 |
| CN112887409B (zh) * | 2021-01-27 | 2022-05-17 | 珠海格力电器股份有限公司 | 一种数据处理系统、方法、装置、设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005098639A1 (ja) * | 2004-04-01 | 2005-10-20 | Kabushiki Kaisha Toshiba | ログインシステム及び方法 |
| CN101312453A (zh) * | 2007-05-21 | 2008-11-26 | 联想(北京)有限公司 | 用户终端、登录网络服务系统的方法和绑定/解绑定方法 |
| CN102271042A (zh) * | 2011-08-25 | 2011-12-07 | 北京神州绿盟信息安全科技股份有限公司 | 数字证书认证方法、系统、USB Key设备和服务器 |
| CN103516524A (zh) * | 2013-10-21 | 2014-01-15 | 北京旋极信息技术股份有限公司 | 安全验证方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060059346A1 (en) * | 2004-09-14 | 2006-03-16 | Andrew Sherman | Authentication with expiring binding digital certificates |
-
2014
- 2014-10-11 CN CN201410539508.9A patent/CN104283688B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005098639A1 (ja) * | 2004-04-01 | 2005-10-20 | Kabushiki Kaisha Toshiba | ログインシステム及び方法 |
| CN101312453A (zh) * | 2007-05-21 | 2008-11-26 | 联想(北京)有限公司 | 用户终端、登录网络服务系统的方法和绑定/解绑定方法 |
| CN102271042A (zh) * | 2011-08-25 | 2011-12-07 | 北京神州绿盟信息安全科技股份有限公司 | 数字证书认证方法、系统、USB Key设备和服务器 |
| CN103516524A (zh) * | 2013-10-21 | 2014-01-15 | 北京旋极信息技术股份有限公司 | 安全验证方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104283688A (zh) | 2015-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104283688B (zh) | 一种USBKey安全认证系统及安全认证方法 | |
| US10601805B2 (en) | Securitization of temporal digital communications with authentication and validation of user and access devices | |
| CN100561916C (zh) | 一种更新认证密钥的方法和系统 | |
| CN101291224B (zh) | 在通信系统中处理数据的方法和系统 | |
| CN102170357B (zh) | 组合密钥动态安全管理系统 | |
| JP2023502346A (ja) | 量子安全ネットワーキング | |
| CN108924147B (zh) | 通信终端数字证书签发的方法、服务器以及通信终端 | |
| GB2585170A (en) | Oblivious pseudorandom function in a key management system | |
| CN104639516A (zh) | 身份认证方法、设备及系统 | |
| CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
| JP2015154491A (ja) | リモートアクセス、リモートデジタル署名のためのシステムおよび方法 | |
| CN1921395B (zh) | 提高网络软件安全性的方法 | |
| CN104424446A (zh) | 一种安全认证和传输的方法和系统 | |
| CN106060073B (zh) | 信道密钥协商方法 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN110147666A (zh) | 物联网场景下的轻量级nfc身份认证方法、物联网通信平台 | |
| CN116502732B (zh) | 基于可信执行环境的联邦学习方法以及系统 | |
| CN108199847A (zh) | 数字安全处理方法、计算机设备及存储介质 | |
| CN110138548A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 | |
| CN107154916A (zh) | 一种认证信息获取方法、提供方法及装置 | |
| CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
| CN110098925A (zh) | 基于非对称密钥池对和随机数的量子通信服务站密钥协商方法和系统 | |
| CN110380859A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站身份认证方法和系统 | |
| CN109510711A (zh) | 一种网络通信方法、服务器、客户端及系统 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |