一種使動態(tài)令牌時間同步的方法
【專利摘要】本發(fā)明公開了一種使動態(tài)令牌時間同步的方法,包括:客戶端向動態(tài)令牌認證服務器發(fā)出動態(tài)令牌的時間同步請求�����,該時間同步請求中攜帶有該動態(tài)令牌或該動態(tài)令牌使用者的標識信息���,動態(tài)令牌認證服務器根據時間同步請求中該動態(tài)令牌或該動態(tài)令牌使用者的標識信息在其數據庫中查找該動態(tài)令牌對應的種子密鑰��,動態(tài)令牌認證服務器根據查找到的種子密鑰及該動態(tài)令牌認證服務器的當前時間并使用消息驗證算法計算校驗信息�����,動態(tài)令牌認證服務器將計算得到的校驗信息和動態(tài)令牌認證服務器的當前時間打包生成回應信息��。本發(fā)明能夠解決現有動態(tài)令牌在發(fā)生時鐘偏移后��,需要返廠或送回服務器端進行處理����,從而影響動態(tài)令牌使用壽命和用戶體驗的技術問題。
【專利說明】—種使動態(tài)令牌時間同步的方法
【技術領域】
[0001]本發(fā)明屬于安全認證【技術領域】�,更具體地,涉及一種使動態(tài)令牌時間同步的方法����。【背景技術】
[0002]隨著電子政務���、電子商務等應用系統的飛速發(fā)展�,動態(tài)密碼技術作為替換靜態(tài)密碼的有效方式�,由于其使用簡便、能夠增強安全性�����,使得動態(tài)密碼系統得到了廣泛應用。
[0003]動態(tài)密碼是一次性密碼��,每個密碼只能使用一次��,它隨著時間或使用次數的變化而不斷變化�����。動態(tài)令牌是用于產生動態(tài)密碼的電子終端設備�����,該設備內置處理芯片��、顯示屏����,部分設備帶有按鍵裝置。動態(tài)令牌使用種子密鑰根據當前時間或事件計數器的值生成動態(tài)密碼����。種子密鑰用于對輸入的時間或事件計數器進行加密或HMAC操作�,通過變換運算(通常是模運算)后輸出6-8位數字到顯示屏,作為動態(tài)密碼���。
[0004]現有使用硬件來產生動態(tài)密碼的方式主要是采用動態(tài)令牌���,其中����,基于時間同步(所謂“時間同步”是指用戶動態(tài)令牌和認證服務器所產生的動態(tài)密碼在時間上必須同步)的動態(tài)令牌目前被廣泛使用�����,其把時間作為變動因子�,一般以60秒作為變化單位,��。但由于動態(tài)令牌的工作環(huán)境不同�����,在磁場��、高溫����、高壓、震蕩�����、入水等情況下動態(tài)令牌易發(fā)生時鐘脈沖的不確定偏移和損壞。對于失去時間同步的動態(tài)令牌��,往往需要返廠或送回服務器端進行處理����,這樣影響動態(tài)令牌的使用壽命和用戶的使用體驗。
【發(fā)明內容】
[0005]針對現有技術的以上缺陷或改進需求��,本發(fā)明提供了一種使動態(tài)令牌時間同步的方法���,其目的在于����,解決現有動態(tài)令牌在發(fā)生時鐘偏移后���,需要返廠或送回服務器端進行處理��,從而影響動態(tài)令牌使用壽命和用戶體驗的技術問題��。
[0006]為實現上述目的��,按照本發(fā)明的一個方面,提供了一種使動態(tài)令牌時間同步的方法,包括以下步驟:
[0007](I)客戶端向動態(tài)令牌認證服務器發(fā)出動態(tài)令牌的時間同步請求����,該時間同步請求中攜帶有該動態(tài)令牌或該動態(tài)令牌使用者的標識信息;
[0008]( 2 )動態(tài)令牌認證服務器根據時間同步請求中該動態(tài)令牌或該動態(tài)令牌使用者的標識信息在其數據庫中查找該動態(tài)令牌對應的種子密鑰���;
[0009](3)動態(tài)令牌認證服務器根據查找到的種子密鑰及該動態(tài)令牌認證服務器的當前時間并使用消息驗證算法計算校驗信息�����;
[0010](4)動態(tài)令牌認證服務器將計算得到的校驗信息和動態(tài)令牌認證服務器的當前時間打包生成回應信息���,并將該回應信息發(fā)送到客戶端;
[0011](5)客戶端將收到的回應信息注入到動態(tài)令牌中�,并根據動態(tài)令牌中的種子密鑰對注入的回應信息進行驗證。
[0012]優(yōu)選地��,動態(tài)令牌的標識信息為動態(tài)令牌的序列號�����,動態(tài)令牌使用者的標識信息為該令牌使用者的賬號�����,且該賬號與動態(tài)令牌的序列號綁定。[0013]優(yōu)選地�,所使用的消息驗證算法包括哈希算法、MAC算法��、以及HMAC算法��。
[0014]優(yōu)選地�,打包方式可以采用動態(tài)令牌認證服務器的當前時間和校驗信息直接拼接的方式,或者采用將動態(tài)令牌認證服務器的當前時間和校驗信息按照一定格式編碼后拼接的方式��,或者采用將動態(tài)令牌認證服務器的當前時間按照一定格式編碼后與校驗信息拼接的方式���。
[0015]優(yōu)選地��,步驟(5)具體包括以下子步驟:
[0016](5-1)客戶端將收到的回應信息注入到動態(tài)令牌中�����;
[0017](5-2)動態(tài)令牌根據回應信息中動態(tài)令牌認證服務器的當前時間和該動態(tài)令牌中存儲的種子密鑰并使用消息驗證算法計算校驗信息����,其中所使用的消息驗證算法與上述步驟(3)中對應的消息驗證算法完全相同��。
[0018](5-3)動態(tài)令牌將步驟(5-2)中得到的校驗信息與回應信息中包含的校驗信息進行比較���,若二者相同�,則用回應信息中包含的動態(tài)令牌認證服務器的當前時間更新動態(tài)令牌的當前時間����,若二者不同,則過程結束�。
[0019]優(yōu)選地,步驟(5-1)中���,注入回應信息的方式可以為聯機自動注入�����,也可以為脫機手動注入��,在聯機自動注入過程中�,動態(tài)令牌具有外部接口與客戶端相連�����,通過外部接口從客戶端上獲取回應信息�,在脫機手動注入過程中,在動態(tài)令牌的脫機狀態(tài)下�����,由用戶查看客戶端,并將客戶端收到的回應信息手動輸入到動態(tài)令牌中����。
[0020]按照本發(fā)明的另一方面,提供了一種使動態(tài)令牌時間同步的系統����,包括:
[0021]第一模塊,其設置于客戶端中����,用于向動態(tài)令牌認證服務器發(fā)出動態(tài)令牌的時間同步請求,該時間同步請求中攜帶有該動態(tài)令牌或該動態(tài)令牌使用者的標識信息����;
[0022]第二模塊,其設置于動態(tài)令牌認證服務器中�,用于根據時間同步請求中該動態(tài)令牌或該動態(tài)令牌使用者的標識信息在其數據庫中查找該動態(tài)令牌對應的種子密鑰;
[0023]第三模塊���,其設置于動態(tài)令牌認證服務器中�,用于根據查找到的種子密鑰及該動態(tài)令牌認證服務器的當前時間并使用消息驗證算法計算校驗信息��;
[0024]第四模塊,其設置于動態(tài)令牌認證服務器中����,用于將計算得到的校驗信息和動態(tài)令牌認證服務器的當前時間打包生成回應信息,并將該回應信息發(fā)送到打包客戶端�;
[0025]第五模塊�����,用于將收到的回應信息注入到動態(tài)令牌中����,并根據動態(tài)令牌中的種子密鑰對注入的回應信息進行驗證。
[0026]優(yōu)選地�����,第五模塊具體包括以下子模塊:
[0027]第一子模塊�����,其設置于客戶端中����,用于將收到的回應信息注入到動態(tài)令牌中��;
[0028]第二子模塊�,其設置于動態(tài)令牌中����,用于根據回應信息中動態(tài)令牌認證服務器的當前時間和該動態(tài)令牌中存儲的種子密鑰并使用消息驗證算法計算校驗信息,其中所使用的消息驗證算法與上述第三模塊中對應的消息驗證算法完全相同���;
[0029]第三子模塊����,其設置于動態(tài)令牌中���,用于將第二子模塊得到的校驗信息與回應信息中包含的校驗信息進行比較��,若二者相同�����,則用回應信息中包含的動態(tài)令牌認證服務器的當前時間更新動態(tài)令牌的當前時間��,若二者不同����,則過程結束。
[0030]總體而言���,通過本發(fā)明所構思的以上技術方案與現有技術相比�����,能夠取得下列有益效果:
[0031](I)本發(fā)明的方法可以通過客戶端與動態(tài)令牌認證服務器之間的交互實現動態(tài)令牌時間的在線同步�����,因此即使在動態(tài)令牌發(fā)生時鐘偏移后,也不需要返廠或送回服務器端進行處理���,從而不會影響動態(tài)令牌的使用壽命和用戶體驗����。
[0032](2)本發(fā)明的方法可以提供聯機自動注入回應信息或脫機手動注入回應信息����,從而方便用戶更新動態(tài)令牌的時間,提高動態(tài)令牌使用的便捷性����。
[0033](3)本發(fā)明的方法利用動態(tài)令牌自身的種子密鑰來計算校驗信息����,從而提高了更新動態(tài)令牌時間過程中的安全性��。
【專利附圖】
【附圖說明】
[0034]圖1是本發(fā)明使動態(tài)令牌時間同步的方法的流程圖����。
【具體實施方式】
[0035]為了使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白��,以下結合附圖及實施例����,對本發(fā)明進行進一步詳細說明。應當理解����,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明�����。此外�,下面所描述的本發(fā)明各個實施方式中所涉及到的技術特征只要彼此之間未構成沖突就可以相互組合。
[0036]如圖1所示,本發(fā)明使動態(tài)令牌時間同步的方法包括以下步驟:
[0037](I)客戶端向動態(tài)令牌認證服務器發(fā)出動態(tài)令牌的時間同步請求�����,該時間同步請求中攜帶有該動態(tài)令牌或該動態(tài)令牌使用者的標識信息�,動態(tài)令牌的標識信息即為動態(tài)令牌的序列號,動態(tài)令牌使用者的標識信息即為該令牌使用者的賬號��,且該賬號與動態(tài)令牌的序列號綁定���;
[0038]( 2 )動態(tài)令牌認證服務器根據時間同步請求中該動態(tài)令牌或該動態(tài)令牌使用者的標識信息在其數據庫中查找該動態(tài)令牌對應的種子密鑰���;
[0039](3)動態(tài)令牌認證服務器根據查找到的種子密鑰及該動態(tài)令牌認證服務器的當前時間并使用消息驗證算法計算校驗信息;具體而言����,所使用的消息驗證算法包括哈希算法����、消息驗證碼(Message authentication code,簡稱MAC)算法、以及基于哈希函數構造的消息驗證碼(Hash-based message authentication code,簡稱 HMAC)算法���;
[0040](4)動態(tài)令牌認證服務器將計算得到的校驗信息和動態(tài)令牌認證服務器的當前時間打包生成回應信息����,并將該回應信息發(fā)送到打包客戶端;具體而言����,打包方式可以采用動態(tài)令牌認證服務器的當前時間和校驗信息直接拼接的方式,或者采用將動態(tài)令牌認證服務器的當前時間和校驗信息按照一定格式編碼(比如Base64�����、ASCII編碼等)后拼接的方式���,或者采用將動態(tài)令牌認證服務器的當前時間按照一定格式編碼(比如Base64�����、ASCII編碼等)后與校驗信息拼接的方式�。但應理解本發(fā)明絕不局限于上述的打包方式�����,現有的任何信息打包方式都可被使用�����。
[0041](5)客戶端將收到的回應信息注入到動態(tài)令牌中,并根據動態(tài)令牌中的種子密鑰對注入的回應信息進行驗證����;本步驟具體包括以下子步驟:
[0042](5-1)客戶端將收到的回應信息注入到動態(tài)令牌中;具體而言��,注入回應信息的方式可以為聯機自動注入��,也可以為脫機手動注入�,在聯機自動注入過程中,動態(tài)令牌具有外部接口與客戶端相連���,通過外部接口從客戶端上獲取回應信息�����;在脫機手動注入過程中��,在動態(tài)令牌的脫機狀態(tài)下����,由用戶查看客戶端����,并將客戶端收到的回應信息手動輸入到動態(tài)令牌中;
[0043](5-2)動態(tài)令牌根據回應信息中動態(tài)令牌認證服務器的當前時間和該動態(tài)令牌中存儲的種子密鑰并使用消息驗證算法計算校驗信息���;所使用的消息驗證算法與上述步驟
(3)中對應的消息驗證算法完全相同�。
[0044](5-3)動態(tài)令牌將步驟(5-2)中得到的校驗信息與回應信息中包含的校驗信息進行比較����,若二者相同,則表示動態(tài)令牌的種子密鑰的驗證通過�����,并用回應信息中包含的動態(tài)令牌認證服務器的當前時間更新動態(tài)令牌的當前時間���,若二者不同����,則表示動態(tài)令牌的種子密鑰的驗證未通過���,過程結束����。
[0045]本發(fā)明使動態(tài)令牌時間同步的系統包括:
[0046]第一模塊����,其設置于客戶端中�����,用于向動態(tài)令牌認證服務器發(fā)出動態(tài)令牌的時間同步請求�����,該時間同步請求中攜帶有該動態(tài)令牌或該動態(tài)令牌使用者的標識信息����,動態(tài)令牌的標識信息即為動態(tài)令牌的序列號����,動態(tài)令牌使用者的標識信息即為該令牌使用者的賬號,且該賬號與動態(tài)令牌的序列號綁定����;
[0047]第二模塊,其設置于動態(tài)令牌認證服務器中�,用于根據時間同步請求中該動態(tài)令牌或該動態(tài)令牌使用者的標識信息在其數據庫中查找該動態(tài)令牌對應的種子密鑰;
[0048]第三模塊���,其設置于動態(tài)令牌認證服務器中���,用于根據查找到的種子密鑰及該動態(tài)令牌認證服務器的當前時間并使用消息驗證算法計算校驗信息;具體而言��,所使用的消息驗證算法包括哈希算法��、消息驗證碼(Message authentication code,簡稱MAC)算法����、以及基于哈希函數構造的消息驗證碼(Hash-based message authentication code,簡稱HMAC)算法;
[0049]第四模塊��,其設置于動態(tài)令牌認證服務器中�����,用于將計算得到的校驗信息和動態(tài)令牌認證服務器的當前時間打包生成回應信息����,并將該回應信息發(fā)送到打包客戶端;具體而言���,打包方式可以采用動態(tài)令牌認證服務器的當前時間和校驗信息直接拼接的方式�����,或者采用將動態(tài)令牌認證服務器的當前時間和校驗信息按照一定格式編碼(比如Base64��、ASCII編碼等)后拼接的方式��,或者采用將動態(tài)令牌認證服務器的當前時間按照一定格式編碼(比如Base64����、ASCII編碼等)后與校驗信息拼接的方式。但應理解本發(fā)明絕不局限于上述的打包方式��,現有的任何信息打包方式都可被使用���。
[0050]第五模塊����,用于將收到的回應信息注入到動態(tài)令牌中�,并根據動態(tài)令牌中的種子密鑰對注入的回應信息進行驗證;本模塊具體包括以下子模塊:
[0051]第一子模塊���,其設置于客戶端中��,用于將收到的回應信息注入到動態(tài)令牌中�����;具體而言�,注入回應信息的方式可以為聯機自動注入����,也可以為脫機手動注入,在聯機自動注入過程中����,動態(tài)令牌具有外部接口與客戶端相連,通過外部接口從客戶端上獲取回應信息����;在脫機手動注入過程中,在動態(tài)令牌的脫機狀態(tài)下�����,由用戶查看客戶端��,并將客戶端收到的回應信息手動輸入到動態(tài)令牌中�����;
[0052]第二子模塊,其設置于動態(tài)令牌中�,用于根據回應信息中動態(tài)令牌認證服務器的當前時間和該動態(tài)令牌中存儲的種子密鑰并使用消息驗證算法計算校驗信息;所使用的消息驗證算法與上述第三模塊中對應的消息驗證算法完全相同�����。
[0053]第三子模塊�,其設置于動態(tài)令牌中,用于將第二子模塊得到的校驗信息與回應信息中包含的校驗信息進行比較���,若二者相同���,則表示動態(tài)令牌的種子密鑰的驗證通過,并用回應信息中包含的動態(tài)令牌認證服務器的當前時間更新動態(tài)令牌的當前時間�,若二者不同,則表示動態(tài)令牌的種子密鑰的驗證未通過�,過程結束。
[0054]本領域的技術人員容易理解�,以上所述僅為本發(fā)明的較佳實施例而已,并不用以限制本發(fā)明��,凡在本發(fā)明的精神和原則之內所作的任何修改����、等同替換和改進等����,均應包含在本發(fā)明的保護范圍之內�。
【權利要求】
1.一種使動態(tài)令牌時間同步的方法,其特征在于�,包括以下步驟: (1)客戶端向動態(tài)令牌認證服務器發(fā)出動態(tài)令牌的時間同步請求,該時間同步請求中攜帶有該動態(tài)令牌或該動態(tài)令牌使用者的標識信息����; (2)動態(tài)令牌認證服務器根據時間同步請求中該動態(tài)令牌或該動態(tài)令牌使用者的標識信息在其數據庫中查找該動態(tài)令牌對應的種子密鑰���; (3)動態(tài)令牌認證服務器根據查找到的種子密鑰及該動態(tài)令牌認證服務器的當前時間并使用消息驗證算法計算校驗信息����; (4)動態(tài)令牌認證服務器將計算得到的校驗信息和動態(tài)令牌認證服務器的當前時間打包生成回應信息����,并將該回應信息發(fā)送到客戶端; (5)客戶端將收到的回應信息注入到動態(tài)令牌中�����,并根據動態(tài)令牌中的種子密鑰對注入的回應信息進行驗證��。
2.根據權利要求1所述的方法,其特征在于����,動態(tài)令牌的標識信息為動態(tài)令牌的序列號,動態(tài)令牌使用者的標識信息為該令牌使用者的賬號����,且該賬號與動態(tài)令牌的序列號綁定。
3.根據權利要求1所述的方法�����,其特征在于�����,所使用的消息驗證算法包括哈希算法����、MAC算法、以及HMAC算法��。
4.根據權利要求1所述的方法�����,其特征在于,打包方式可以采用動態(tài)令牌認證服務器的當前時間和校驗信息直接拼接的方式���,或者采用將動態(tài)令牌認證服務器的當前時間和校驗信息按照一定格式編碼后拼接的方式�,或者采用將動態(tài)令牌認證服務器的當前時間按照一定格式編碼后與校驗信息拼接的方式�。
5.根據權利要求1所述的方法,其特征在于��,步驟(5)具體包括以下子步驟: (5-1)客戶端將收到的回應信息注入到動態(tài)令牌中����; (5-2)動態(tài)令牌根據回應信息中動態(tài)令牌認證服務器的當前時間和該動態(tài)令牌中存儲的種子密鑰并使用消息驗證算法計算校驗信息,其中所使用的消息驗證算法與上述步驟(3)中對應的消息驗證算法完全相同�。 (5-3)動態(tài)令牌將步驟(5-2)中得到的校驗信息與回應信息中包含的校驗信息進行比較�,若二者相同,則用回應信息中包含的動態(tài)令牌認證服務器的當前時間更新動態(tài)令牌的當前時間�����,若二者不同�����,則過程結束�����。
6.根據權利要求1所述的方法,其特征在于�, 步驟(5-1)中,注入回應信息的方式可以為聯機自動注入���,也可以為脫機手動注入��; 在聯機自動注入過程中�����,動態(tài)令牌具有外部接口與客戶端相連����,通過外部接口從客戶端上獲取回應信息��; 在脫機手動注入過程中�����,在動態(tài)令牌的脫機狀態(tài)下��,由用戶查看客戶端�,并將客戶端收到的回應信息手動輸入到動態(tài)令牌中�。
7.—種使動態(tài)令牌時間同步的系統,包括: 第一模塊���,其設置于客戶端中�����,用于向動態(tài)令牌認證服務器發(fā)出動態(tài)令牌的時間同步請求�,該時間同步請求中攜帶有該動態(tài)令牌或該動態(tài)令牌使用者的標識信息����。 第二模塊,其設置于動態(tài)令牌認證服務器中���,用于根據時間同步請求中該動態(tài)令牌或該動態(tài)令牌使用者的標識信息在其數據庫中查找該動態(tài)令牌對應的種子密鑰����;第三模塊���,其設置于動態(tài)令牌認證服務器中,用于根據查找到的種子密鑰及該動態(tài)令牌認證服務器的當前時間并使用消息驗證算法計算校驗信息�����; 第四模塊,其設置于動態(tài)令牌認證服務器中��,用于將計算得到的校驗信息和動態(tài)令牌認證服務器的當前時間打包生成回應信息���,并將該回應信息發(fā)送到打包客戶端�����; 第五模塊�,用于將收到的回應信息注入到動態(tài)令牌中��,并根據動態(tài)令牌中的種子密鑰對注入的回應信息進行驗證��。
8.根據權利要求1所述的系統�����,其特征在于�����,第五模塊具體包括以下子模塊: 第一子模塊�,其設置于客戶端中,用于將收到的回應信息注入到動態(tài)令牌中��; 第二子模塊,其設置于動態(tài)令牌中����,用于根據回應信息中動態(tài)令牌認證服務器的當前時間和該動態(tài)令牌中存儲的種子密鑰并使用消息驗證算法計算校驗信息,其中所使用的消息驗證算法與上述第三模塊中對應的消息驗證算法完全相同����。 第三子模塊,其設置于動態(tài)令牌中�,用于將第二子模塊得到的校驗信息與回應信息中包含的校驗信息進行比較,若二者相同����,則用回應信息中包含的動態(tài)令牌認證服務器的當前時間更新動態(tài)令牌的當前時間, 若二者不同�����,則過程結束�����。
【文檔編號】H04L9/32GK103944720SQ201410138069
【公開日】2014年7月23日 申請日期:2014年4月8日 優(yōu)先權日:2014年4月8日
【發(fā)明者】徐遠航, 周鷹 申請人:武漢信安珞珈科技有限公司