专利名称:电子签名工具及使用该装置的认证系统、方法
技术领域:
本发明涉及信息安全技术领域,特别涉及ー种电子签名工具及具有该电子签名エ具的认证系统以及相应的动态ロ令生成方法和认证方法。
背景技术:
随着金融信息化的日益成熟,人们的消费理念逐渐从实体消费转向网络购物,随之网络交易的安全和可靠性等逐渐引起了人们的关注。目前银行和各种大型电子商务网站为了克服安全性缺陷,采用电子签名工具加强网络身份认证的安全性。现有的电子签名工具的功能为存储用户的私钥以及数字证书,利用电子签名工具内置的公钥算法实现对用户身份的认证,从而保证用户身份认证的安全性。现有的电子签名工具的问题是,身份认证基于静态的用户私钥,存在安全缺陷。
发明内容
本发明的目的g在至少解决上述技术缺陷之一。为达到上述目的,本发明一方面提出ー种电子签名工具,包括存储模块,用于存储用户私钥;因子生成模块,用于生成事件值因子;以及ロ令生成模块,用于根据所述事件值因子、所述用户私钥以及所述电子签名工具的唯一标识生成动态ロ令。根据本发明实施例的电子签名工具,通过在电子签名工具中设置事件值因子而生成动态ロ令,增强了网络身份认证的安全性。本发明另一方面还提出ー种认证系统,包括电子签名工具,用于生成第一事件值因子,井根据所述第一事件值因子、所述电子签名工具的唯一标识以及存储在所述电子签名工具中的用户私钥生成第一动态ロ令;以及认证服务器,用于生成第二事件值因子,根据所述第二事件值因子、所述电子签名工具的唯一标识以及与所述私钥对应的密钥生成第二动态ロ令,接收所述电子签名工具发送的第一动态ロ令,判断所述第一动态ロ令和所述第ニ动态ロ令是否一致,并在判断所述第一动态ロ令与所述第二动态ロ令一致时确认通过认证,其中,所述第一事件值因子与所述第二事件值因子的初始值相同。根据本发明实施例的认证系统,电子签名工具与认证服务器相配合,电子签名工具通过设置事件值因子生成动态ロ令发送至认证服务器,并与认证服务器生成的动态ロ令进行比较,增强了网络身份认证的安全性。本发明又一方面还提出一种动态ロ令生成方法,包括以下步骤电子签名工具生成事件值因子;所述电子签名工具根据所述事件值因子以及所述电子签名工具的唯一标识和存储在所述电子签名工具中的用户私钥生成动态ロ令。根据本发明实施例的动态ロ令生成方法,通过在电子签名工具中设置事件值因子生成动态ロ令,增强了网络身份认证的安全性。本发明再一方面还提出一种认证方法,包括以下步骤电子签名工具生成第一事件值因子;所述电子签名工具根据所述第一事件值因子以及所述电子签名工具的唯一标识、和存储在所述电子签名工具中的用户私钥生成第一动态ロ令;认证服务器生成第二事件值因子,其中所述第一事件值因子与所述第二事件值因子的初始值相同;所述认证服务器根据所述第二事件值因子以及所述电子签名工具的唯一标识和与所述用户私钥对应的密钥生成第二动态ロ令;所述认证服务器接收所述第一动态ロ令;所述认证服务器判断所述第一动态ロ令与所述第二动态ロ令是否一致,并在判断所述第一动态ロ令与所述第二动态ロ令一致时确认通过认证。根据本发明实施例的认证方法,电子签名工具与认证服务器相配合,电子签名工具通过设置事件值因子生成动态ロ令发送至认证服务器,并与认证服务器生成的动态ロ令进行比较,增强了网络身份认证的安全性。本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中图I为本发明一个实施例的电子签名工具的结构框图;图2为本发明另ー个实施例的电子签名工具的结构框图;图3为本发明一个实施例的动态ロ令生成方法的流程图;图4为本发明一个实施例的认证系统的结构框图;以及图5为本发明一个实施例的认证方法的流程图。
具体实施例方式下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过參考附图描述的实施例是示例性的,仅用于解释本发明,而不能理解为对本发明的限制。相反,本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。在本发明的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。此外,在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。下面结合说明书附图详细描述根据本发明实施例的电子签名工具。
图I为本发明一个实施例的电子签名工具的结构框图。如图I所示,根据本发明实施例的电子签名工具包括存储模块10、因子生成模块20和ロ令生成模块30。存储模块10用于存储用户私钥。因子生成模块20用于生成事件值因子。其中,因子生成模块20可以为计数器,且计数器可以使用固定的算法。例如,初始值设置为0,算法为每次操作累加I。ロ令生成模块30用于根据事件值因子、用户私钥以及电子签名工具的唯一标识生成动态ロ令。在本发明的一个实施例中,电子签名工具的唯一标识可以为电子签名工具的序列号等。此外,动态ロ令的生成可參照现有技木,此处不再详细描述。根据本发明实施例的电子签名工具,通过在电子签名工具中设置事件值因子而生成动态ロ令,增强了网络身份认证的安全性。在本发明的一个实施例中,在ロ令生成模块30生成动态ロ令之后,因子生成模块20还用于更改事件值因子。例如,计数器加I等。由此,保证后续的动态ロ令生成的正确进行。图2为本发明另ー个实施例的电子签名工具的结构框图。如图2所示,在图I所示的实施例的基础上,根据本发明实施例的电子签名工具还包括显示模块40。显示模块40用于显示动态ロ令。根据本发明实施例的电子签名工具,通过显示模块显示动态ロ令,由此用户可以获知生成的动态ロ令,从而可以将动态ロ令输入交易終端中进行后续的认证工作。下面结合附图详细描述根据本发明实施例的动态ロ令生成方法。图3为根据本发明实施例的动态ロ令生成方法的流程图。如图3所示,根据本发明实施例的动态ロ令生成方法包括下述步骤。步骤S101,电子签名工具生成事件值因子。具体地,可在电子签名工具的安全芯片中设置事件值因子,该事件值因子可以通过计数器实现,且计数器可以使用固定的算法。例如,初始值设置为0,算法为每次操作累加
Io步骤S102,电子签名工具根据事件值因子以及电子签名工具的唯一标识和存储在电子签名工具中的用户私钥生成动态ロ令。在本发明的一个实施例中,电子签名工具的唯一标识可以为序列号等。具体的动态ロ令生成可參考现有的密码生成技木,此处不再详细描述。根据本发明实施例的动态ロ令生成方法,通过在电子签名工具中设置事件值因子生成动态ロ令,增强了网络身份认证的安全性。应理解,在电子签名工具生成动态ロ令后,将更改事件值因子,例如计数器加I等,由此保证正常进行后续的动态ロ令生成。此外,电子签名工具还可以显示生成的动态ロ令,由此用户可以获知动态ロ令,从而可以将动态ロ令输入交易終端中进行后续的认证エ作。本发明另ー方面还提出ー种认证系统。图4为本发明一个实施例的认证系统的结构框图。如图4所示,根据本发明实施例的认证系统包括电子签名工具I和认证服务器2。电子签名工具I用于生成第一事件值因子,并根据第一事件值因子、电子签名工、具I的唯一标识以及存储在电子签名工具I中的用户私钥生成第一动态ロ令。其中,电子签名工具I的唯一标识可以为电子签名工具I的序列号等。认证服务器2用于生成第二事件值因子,根据第二事件值因子、电子签名工具I的唯一标识以及与私钥对应的密钥生成第二动态ロ令,接收电子签名工具发送的第一动态ロ令,判断第一动态ロ令和第二动态ロ令是否一致,并在判断第一动态ロ令与第二动态ロ令一致时确认通过认证,其中,第一事件值因子与第二事件值因子的初始值相同。根据本发明实施例的认证系统,电子签名工具与认证服务器相配合,通过电子签名工具中设置事件值因子生成的动态ロ令发送至认证服务器,并与认证服务器生成的动态ロ令进行比较,增强了网络身份认证的安全性。在本发明的一个实施例中,电子签名工具I还用于在每次生成第一动态ロ令之后通过第一更改算法更改第一事件值因子,以保证毎次生成的第一动态ロ令的事件值是不同的,从一定程度上保证了安全性。 此外,认证服务器2还用于在确认通过认证之后通过第二更改算法更改第二事件值因子,其中,第一更改算法与第二更改算法相同。由此,保证正常进行后续的动态ロ令生成及认证工作。此外,为了防止用户在不知情的情况下,由于误操作生成了动态ロ令而又没有将该动态ロ令使用于交易中,从而导致再次生成的动态ロ令无法通过认证,在本发明的另ー个实施例中,认证服务器2可以预设电子签名工具I的事件值因子在预设范围内均可以通过认证。例如,由于用户操作,电子签名工具I生成了三次动态ロ令,用户将第三次生成的第一动态ロ令发送给认证服务器2,此时,电子签名工具I的第一事件值因子在本次的初始值之上加3,而认证服务器2的第二事件值因子仍为本次的初始值,假设预设范围为5,则认证服务器2认证通过,执行后续操作。具体地,此时认证服务器2可以采用如下方式进行认证将第二事件值因子从初始值逐次加1,井分别计算动态ロ令,当从初始值加到3吋,生成的动态ロ令与第一动态ロ令一致,认证通过。也就是说,认证服务器2还用于在判断第一动态ロ令与第二动态ロ令不一致时,在预设范围内更改第二事件值因子并计算更新的第二动态ロ令,并在更新的第二动态ロ令与第一动态ロ令一致时,通过认证。如果电子签名工具I的动态ロ令在预设范围内仍无法通过认证,即认证服务器2判断出电子签名工具I的事件值因子在预设范围外,则提示用户更新事件值因子。例如预设范围为5,电子签名工具的事件值因子为加6,认证服务器通过逐次加I的方式加至5,动态ロ令还无法通过认证,此时可以提示用户更新事件值因子。该更新可以由电子签名工具I发送当前事件值因子给认证服务器2,认证服务器2将电子签名工具I发送的事件值因子作为新的事件值因子更新;或者,还可以由认证服务器2发送当前事件值因子给电子签名工具1,电子签名工具I将认证服务器2发送的事件值因子作为新的事件值因子更新。由此,保证电子签名工具I和认证服务器2的事件值因子同歩。下面结合附图详细描述根据本发明实施例的认证方法。图5为本发明一个实施例的认证方法的流程图。如图5所示,根据本发明实施例的认证方法包括下述步骤。步骤S201,电子签名工具生成第一事件值因子。具体地,在电子签名工具的安全芯片中设置事件值因子,该事件值因子可以通过计数器实现,且计数器可以使用固定的算法。例如,初始值设置为O,算法为每次操作累加
Io步骤S202,电子签名工具根据第一事件值因子以及电子签名工具的唯一标识和存储在电子签名工具中的用户私钥生成第一动态ロ令。其中,电子签名工具的唯一标识可以为电子签名工具的序列号等。步骤S203,认证服务器生成第二事件值因子,其中,第一事件值因子与第二事件值因子的初始值相同。步骤S204,认证服务器根据第二事件值因子以及电子签名工具的唯一标识和与用户私钥对应的密钥生成第二动态ロ令。步骤S205,认证服务器接收第一动态ロ令。例如,电子签名工具显不第一动态ロ令,由此用户可以将第一动态ロ令输入交易終端,由交易终端将第一动态ロ令发送至认证服务器。步骤S206,认证服务器判断第一动态ロ令与第二动态ロ令是否一致,并在判断第一动态ロ令与第二动态ロ令一致时确认通过认证。应理解,在步骤203中,为了防止用户在不知情的情况下,由于误操作生成了动态ロ令而又没有将该动态ロ令使用于交易中,从而造成再次生成的动态ロ令无法通过认证的问题,在本发明的一个实施例中,认证服务器可以预设电子签名工具的事件值因子在预设范围内均可以通过认证。例如,电子签名工具的第一事件值因子在初始值之上加3,而认证服务器的第二事件值因子仍为初始值,假设预设范围为5,则认证服务器认证通过,执行后续操作。具体地,此时认证服务器可以采用如下方式进行认证将第二事件值因子从初始值逐次加1,并分别计算动态ロ令,当从初始值加到3时,生成的动态ロ令与第一动态ロ令一致,认证通过。进ー步地,如果认证服务器2判断出电子签名工具的事件值因子在预设范围之夕卜,则提示用户更新事件值因子。例如预设范围为5,电子签名工具的事件值因子为加6,认证服务器通过逐次加I的方式加至5,动态ロ令还无法通过认证,此时,可以提示用户更新事件值因子。该更新可以由电子签名工具发送当前事件值因子给认证服务器,认证服务器将电子签名工具发送的事件值因子作为新的事件值因子更新;或者,还可以由认证服务器发送当前事件值因子给电子签名工具,电子签名工具将认证服务器发送的事件值因子作为新的事件值因子更新。由此,保证电子签名工具和认证服务器的事件值因子同歩。根据本发明实施例的认证方法,电子签名工具与认证服务器相配合,电子签名工具通过设置事件值因子生成动态ロ令发送至认证服务器,并与认证服务器生成的动态ロ令进行比较,由此增强了网络身份认证的安全性。尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同限定。权利要求
1.ー种电子签名工具,其特征在于,包括 存储模块,用于存储用户私钥; 因子生成模块,用于生成事件值因子; ロ令生成模块,用于根据所述事件值因子、所述用户私钥以及所述电子签名工具的唯ー标识生成动态ロ令。
2.根据权利要求I所述的电子签名工具,其特征在于,还包括 显示模块,用于显示所述动态ロ令。
3.根据权利要求I或2所述的电子签名工具,其特征在于,所述因子生成模块还用于在所述ロ令生成模块生成所述动态ロ令之后,更改所述事件值因子。
4.根据权利要求3所述的电子签名工具,其特征在于,所述因子生成模块为计数器。
5.根据权利要求I所述的电子签名工具,其特征在于,所述电子签名工具的唯一标识为序列号。
6.一种认证系统,其特征在于,包括 电子签名工具,用于生成第一事件值因子,井根据所述第一事件值因子、所述电子签名工具的唯一标识以及存储在所述电子签名工具中的用户私钥生成第一动态ロ令;以及 认证服务器,用于生成第二事件值因子,根据所述第二事件值因子、所述电子签名工具的唯一标识以及与所述私钥对应的密钥生成第二动态ロ令,接收所述电子签名工具发送的第一动态ロ令,判断所述第一动态ロ令和所述第二动态ロ令是否一致,并在判断所述第一动态ロ令与所述第二动态ロ令一致时确认通过认证,其中,所述第一事件值因子与所述第ニ事件值因子的初始值相同。
7.根据权利要求6所述的认证系统,其特征在于,所述电子签名工具还用于在生成第一动态ロ令之后通过第一更改算法更改所述第一事件值因子。
8.根据权利要求7所述的认证系统,其特征在于,所述认证服务器还用于在确认通过认证之后通过第二更改算法更改所述第二事件值因子,其中所述第一更改算法与所述第二更改算法相同。
9.根据权利要求7所述的认证系统,其特征在于,所述认证服务器还用于在判断所述第一动态ロ令与所述第二动态ロ令不一致时,在预设范围内更改所述第二事件值因子并计算相应的更新的第二动态ロ令,以及在判断所述更新的第二动态ロ令与所述第一动态ロ令一致时确认通过认证。
10.根据权利要求6至9任ー项所述的认证系统,其特征在于,所述电子签名工具还用于在确认未通过认证时,发送当前事件值因子至所述认证服务器,所述认证服务器还用于根据所述电子签名工具的当前事件值因子更新自身的事件值因子。
11.根据权利要求6至9任ー项所述的认证系统,其特征在于,所述认证服务器还用于在确认未通过认证时,发送当前事件值因子至所述电子签名工具,所述电子签名工具还用于根据所述认证服务器的当前事件值因子更新自身的事件值因子。
12.一种动态ロ令生成方法,其特征在于,包括以下步骤 电子签名工具生成事件值因子; 所述电子签名工具根据所述事件值因子以及所述电子签名工具的唯一标识和存储在所述电子签名工具中的用户私钥生成动态ロ令。
13.根据权利要求12所述的动态ロ令生成方法,其特征在于,还包括 显示所述动态ロ令。
14.根据权利要求12或13所述的动态ロ令生成方法,其特征在于,还包括 在生成所述动态ロ令之后,所述电子签名工具更新所述事件值因子。
15.一种认证方法,其特征在于,包括以下步骤 电子签名工具生成第一事件值因子; 所述电子签名工具根据所述第一事件值因子以及所述电子签名工具的唯一标识和存储在所述电子签名工具中的用户私钥生成第一动态ロ令; 认证服务器生成第二事件值因子,其中,所述第一事件值因子与所述第二事件值因子的初始值相同; 所述认证服务器根据所述第二事件值因子以及所述电子签名工具的唯一标识和与所述用户私钥对应的密钥生成第二动态ロ令; 所述认证服务器接收所述第一动态ロ令; 所述认证服务器判断所述第一动态ロ令与所述第二动态ロ令是否一致,并在判断所述第一动态ロ令与所述第二动态ロ令一致时确认通过认证。
16.根据权利要求15所述的认证方法,其特征在于,还包括 在生成第一动态ロ令之后,更改所述第一事件值因子。
17.根据权利要求16所述的认证方法,其特征在于,还包括 在确认通过认证之后,更改所述第二事件值因子,其中,所述第一事件值因子和第二事件值因子的更改算法相同。
18.根据权利要求16所述的认证方法,其特征在于,还包括 所述认证服务器在判断所述第一动态ロ令与所述第二动态ロ令不一致时,在预设范围内更改所述第二事件值因子; 所述认证服务器根据更改后的第二事件值因子计算生成更新的第二动态ロ令; 所述认证服务器判断所述更新的第二动态ロ令是否与所述第一动态ロ令一致,并在判断一致时确认通过认证。
19.根据权利要求15至18任一项所述的认证方法,其特征在于,还包括 在确认未通过认证时,所述认证服务器发送当前事件值因子至所述电子签名工具; 所述电子签名工具根据所述认证服务器的当前事件值因子更新自身的事件值因子。
20.根据权利要求15至18任一项所述的交易方法,其特征在于,还包括 在确认未通过认证时,所述电子签名工具发送当前事件值因子至所述认证服务器; 所述认证服务器根据所述电子签名工具的当前事件值因子更新自身的事件值因子。
全文摘要
本发明提出一种电子签名工具及使用该装置的认证系统、方法。其中,电子签名工具包括存储模块,用于存储用户私钥;因子生成模块,用于生成事件值因子;口令生成模块,用于根据事件值因子、用户私钥以及电子签名工具的唯一标识生成动态口令。本发明通过在电子签名工具中设置事件值因子而生成动态口令,由此可与认证服务器生成的动态口令比较,增强网络身份认证的安全性。
文档编号H04L9/32GK102752118SQ201210258798
公开日2012年10月24日 申请日期2012年7月24日 优先权日2012年7月24日
发明者李东声 申请人:天地融科技股份有限公司