本发明专利技术公开了一种利用数字证书进行动态令牌种子密钥注入与更新的方法,该方法包括如下步骤:动态令牌出厂初始化;动态令牌向认证服务器申请数字证书;认证服务器生成种子密钥;认证服务器向动态令牌要求签名;认证服务器认证动态令牌签名;动态令牌注入种子。利用数字证书进行动态令牌种子密钥进行注入,通过专业的技术手段对种子密钥注入进行安全保护。数字证书的非对称密码技术和对称密码技术能保证任何人非法探测到信道上的种子密钥密文也无法得到种子密钥明文。
【技术实现步骤摘要】
本专利技术涉及一种动态令牌种子密钥注入与更新的方法,具体是一种利用数字证书进行动态令牌种子密钥注入与更新的方法,属于动态令牌种子密钥
技术介绍
一般而言,数字证书和动态令牌是现有技术中普遍使用的网络身份认证技术。具体而言,数字证书通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统。它是由权威机构--CA机构,又称为证书授权(Certificate Authority)中心发行的。人们可以在网上用它来识别对方的身份。数字证书具有双向身份认证、数据保密、数据完整性和不可否认性的优点。数字证书的认证过程包括两个过程:证书发放和证书登录。证书发放过程是通过CA系统完成,证书登录过程是通过业务系统完成。动态令牌是对传统静态口令的改进,动态令牌运用种子密钥与时间和事件挑战码通过特定算法运算生成当前有效的一次性口令。该口令仅使用一次,随机变化,与认证服务同步,是一种安全便捷的身份认证技术。动态令牌认证过程包括三个部分:终端与认证服务种子密钥注入、客户端产生动态口令和服务器验证该动态口令。动态令牌的安全性在于令牌终端和认证服务器种子密钥的注入。目前动态令牌中的种子数据都是在动态令牌出厂前,由动态令牌生产厂家预置种子密钥初始值在动态令牌中,动态令牌出厂后,再通过激活或变化手段对种子密钥进行变换生成最终的动态令牌种子,此后动态令牌种子无法再次更新。此流程中预置种子密钥初始值在动态令牌环节的安全性始终无法保证,目前的大多数手段是通过人工管理来防止种子密钥初始值的复制与泄漏,如开发专门的黑匣子用于注入种子密钥初始值、对生产车间和进出人员严格管控等。专利
技术实现思路
针对上述现有技术存在问题,本专利技术提供一种利用数字证书进行动态令牌种子密钥注入与更新的方法,该方法能够将数字证书和动态口令的优势叠加,扩展了传统U盾的使用场景,用户体验更好。本专利技术通过以下技术方案来实现上述目的:一种利用数字证书进行动态令牌种子密钥注入与更新的方法,该方法包括如下步骤:1)动态令牌出厂初始化;2)动态令牌向认证服务器申请数字证书;3)认证服务器生成种子密钥;4)认证服务器向动态令牌要求签名;5)认证服务器认证动态令牌签名;6)动态令牌注入种子。进一步,所述步骤6)包括如下步骤:1)认证服务器使用动态令牌的公钥加密种子密钥、UTC时间和挑战码得注入密文;2)认证服务将注入密文发往动态令牌;3)动态令牌使用私钥解密注入密文,得种子密钥,及挑战数据;4)动态令牌根据种子密钥与挑战数据生成动态口令;5)动态令牌将动态口令发往认证服务请求认证;6)认证服务认证动态口令,若认证通过,则注入种子密钥成功;否则,注入失败。本专利技术的有益效果是:1)利用数字证书进行动态令牌种子密钥进行注入,通过专业的技术手段对种子密钥注入进行安全保护。数字证书的非对称密码技术和对称密码技术能保证任何人非法探测到信道上的种子密钥密文也无法得到种子密钥明文;2)利用数字证书进行动态令牌种子密钥进行注入,解放了生产厂家生产环节额外的安全设施硬件配置,降低了动态令牌成本;3)采用非对称密钥体制可以在需要时与服务器同步更新动态令牌种子密钥,保证动态令牌的安全;4)融合数字证书和动态令牌,一个设备可同时提供动态口令认证和PKI加密及数字签名功能,动态令牌适用于更多的使用场景。具体实施方式下面将结合本专利技术的实施例,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。一种利用数字证书进行动态令牌种子密钥注入与更新的方法,该方法包括如下步骤:数字证书进行动态令牌种子密钥注入的步骤:1)动态令牌出厂初始化;2)动态令牌向认证服务器申请数字证书;3)认证服务器生成种子密钥;4)认证服务器向动态令牌要求签名;5)认证服务器认证动态令牌签名;6)动态令牌注入种子。进一步,所述步骤6)包括如下步骤:1)认证服务器使用动态令牌的公钥加密种子密钥、UTC时间和挑战码得注入密文;2)认证服务将注入密文发往动态令牌;3)动态令牌使用私钥解密注入密文,得种子密钥,及挑战数据;4)动态令牌根据种子密钥与挑战数据生成动态口令;5)动态令牌将动态口令发往认证服务请求认证;6)认证服务认证动态口令,若认证通过,则注入种子密钥成功;否则,注入失败。数字证书是基于非公钥体系,安全性高,能够支持签名验签,双向认证,交易信息抗抵赖性,保证数据完整,但是系统成本偏高,运算耗时复杂,交互次数多;动态口令是一次一密安全性高,无法暴力破解,使用方便,系统成本低,但是其不能够对传输数据加密,不能够保证信息的完整性,种子密钥安全导入复杂,与服务器同步困难,使用寿命短。该方法通过将数字证书和动态口令技术融合,数字证书和动态口令优势互补,扩展传统U盾的使用场景,用户体验更好。如对网银转账,允许银行或用户根据应用场景选择不同的身份认证方式如交易5000元以下,允许使用动态口令;交易超过5000元,只允许数字签名。传统的动态口令生产环节中种子的导入一直是一个难题。一般需要厂商预先采用治具或是特定的安全匣子将加密机生成的初始种子密钥通过硬件接口安全导入U盾,并同时将种子密钥保存在服务器端。即传统方式主要是通过硬件及人工管控来实现种子的安全导入,且种子密钥一旦写入就无法更新。利用数字证书的优点,我们设计了一种新的种子密钥导入方法:使用数字证书公钥保护种子密钥的导入(用公钥加密种子密钥,U盾内部使用私钥界面得种子密钥)。其流程为:1)U盾产生卡片公私钥;2)U盾将编号与卡片公钥发往CA中心(认证服务器);3)CA中心缓存编号与卡片公钥,向U盾请求签名;4)U盾使用卡片私钥进行数字签名,将签名结果发往CA中心;5)CA中心验证签名通过后,保存卡片公钥到数据库,同时使用CA私钥签名卡片公钥和用6)户信息作为数字证书;7)U盾保存数字证书;8)CA中心产生种子密钥,使用卡片公钥加密种子密钥,发送到U盾;9)U盾使用卡片私钥解密得种子密钥,使用种子密钥产生动态口令与服务器进行同步。以上所举实施例为本专利技术的较佳实施方式,仅用来方便说明本专利技术,并非对本专利技术作任何形式上的限制,任何所属
中具有通常知识者,若在不脱离本专利技术所提技术特征的范围内,利用本专利技术所揭示
技术实现思路
所作出局部更动或修饰的等效实施例,并且未脱离本专利技术的技术特征内容,均仍属于本专利技术技术特征的范围内。本文档来自技高网...
【技术保护点】
一种利用数字证书进行动态令牌种子密钥注入与更新的方法,其特征在于,该方法包括如下步骤:1)动态令牌出厂初始化;2)动态令牌向认证服务器申请数字证书;3)认证服务器生成种子密钥;4)认证服务器向动态令牌要求签名;5)认证服务器认证动态令牌签名;6)动态令牌注入种子。
【技术特征摘要】
1.一种利用数字证书进行动态令牌种子密钥注入与更新的方法,其特征在于,该方法包括如下步骤:1)动态令牌出厂初始化;2)动态令牌向认证服务器申请数字证书;3)认证服务器生成种子密钥;4)认证服务器向动态令牌要求签名;5)认证服务器认证动态令牌签名;6)动态令牌注入种子。2.根据权利要求1所述的一种利用数字证书进行动态令牌种子密钥注入与更新的方法,其特征在于,所...
【专利技术属性】
技术研发人员:陈辉武,田若征,修丞丞,
申请(专利权)人:国信安泰武汉科技有限公司,
类型:发明
国别省市:湖北;42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。