專利名稱:動態令牌初始化的方法及裝置的制作方法
技術領域:
本發明涉及信息安全技術領域���,尤其涉及一種動態令牌初始化的方法及裝置。
背景技術:
動態令牌是用來生成動態口令的終端����,動態口令可以確認用戶的合法身份�����,從而在用戶以合法身份登錄的基礎上保障用戶業務訪問的安全性��。動態口令認證技術被認為是目前能夠最有效解決用戶身份認證的方式之一,從而被廣泛應用在銀行、證券�、第三方支付��、大企業內部等各類信息系統場景中。現有技術中的動態令牌大多采用對稱密鑰體系,這種密鑰體系加密和解密的密鑰 是相同的���;因此,該動態令牌的安全性完全依賴于密鑰,一旦密鑰泄露就意味著任何人都能對用戶信息進行加密和解密。為了避免密鑰的泄露,在動態令牌初始化時���,一般采用將密鑰生成因子輸入動態令牌,在動態令牌內部根據該密鑰生成因子計算生成密鑰而不是直接將密鑰輸入動態令牌。密鑰生成因子一般包括動態令牌序列號����、當前時間�、mackey (校驗密鑰Xseedkey (種子分散密鑰)等?�,F有技術一般采用手動輸入的方式輸入動態令牌序列號和當前時間,并將mackey和seedkey在動態令牌初始化之前就存儲在動態令牌內部�;現有技術采用手動輸入方式進行初始化���,在操作時很不方便且初始化效率很低�,還容易出錯���,而將mackey和seedkey在初始化之前就存儲在動態令牌內部存在極大的安全隱患����。
發明內容
本發明的主要目的是提供一種動態令牌初始化的方法及裝置,旨在解決通過手動輸入對動態令牌進行初始化所帶來的一系列問題��。本發明公開了一種動態令牌初始化的方法��,包括以下步驟接收并保存包括序列號�����、當前時間和保護密鑰信息的第一數據,根據固定密鑰對所述保護密鑰信息進行解密�����,得到保護密鑰���;接收包括校驗密鑰密文和種子分散密鑰密文的第二數據���,根據所述保護密鑰對所述第二數據中的所述密文進行解密���,獲取校驗密鑰和種子分散密鑰并保存���。優選地�,所述接收并保存包括序列號����、當前時間和保護密鑰信息的第一數據,根據固定密鑰對所述保護密鑰信息進行解密,得到保護密鑰的步驟之前還包括步驟預置所述固定密鑰����。優選地�����,所述接收所述第一數據后,對所述第一數據進行校驗;若校驗通過�,則保存所述第一數據并進行后續的相關操作�����。優選地,所述接收所述第二數據后�,對所述第二數據進行校驗��;若校驗通過,則利用所述第二數據進行后續的相關操作���。優選地,所述第一數據和/或第二數據是通過串口、USB接口或無線通信方式進行接收的��。本發明還公開一種動態令牌初始化的裝置,包括
第一初始化模塊�����,用于接收并保存包括序列號�����、當前時間和保護密鑰信息的第一數據�,根據固定密鑰對所述保護密鑰信息進行解密�����,得到保護密鑰;第二初始化模塊,用于接收包括校驗密鑰密文和種子分散密鑰密文的第二數據��,根據所述保護密鑰對所述第二數據中的所述密文進行解密����,獲取校驗密鑰和種子分散密鑰并保存。優選地,所述動態令牌初始化的裝置,還包括固定密鑰設置模塊,用于預置所述固定密鑰����。優選地�,所述第一初始化模塊還用于,接收所述第一數據后,對所述第一數據進行校驗�;若校驗通過���,則保存所述第一數據并進行后續的相關操作�����。優選地�����,所述第二初始化模塊還用于,接收所述第二數據后,對所述第二數據進行校驗���;若校驗通過��,則利用所述第二數據進行后續的相關操作�。 優選地�����,所述第一初始化模塊和/或第二初始化模塊通過串口����、USB接口或無線通信方式接收相應的數據。本發明通過接收并保存包括序列號�����、當前時間和保護密鑰信息的第一數據��,根據固定密鑰對所述保護密鑰信息進行解密����,得到保護密鑰、接收包括校驗密鑰密文和種子分散密鑰密文的第二數據����,根據所述保護密鑰對所述第二數據中的所述密文進行解密�,獲取校驗密鑰和種子分散密鑰并保存的方法,具有動態令牌進行初始化時無需手動輸入的有益效果�,提高了動態令牌初始化的效率和安全性��,使動態令牌的初始化過程更加便捷��。
圖I是本發明動態令牌初始化的方法第一實施例流程示意圖����;圖2是本發明動態令牌初始化的方法第二實施例流程示意圖����;圖3是本發明動態令牌初始化的裝置第一實施例結構示意圖�����;圖4是本發明動態令牌初始化的裝置第二實施例結構示意圖�。本發明目的的實現�、功能特點及優點將結合實施例��,參照附圖做進一步說明。
具體實施例方式以下結合說明書附圖及具體實施例進一步說明本發明的技術方案��。應當理解,此處所描述的具體實施例僅僅用以解釋本發明��,并不用于限定本發明。參照圖1�����,圖I是本發明動態令牌初始化的方法第一實施例流程示意圖���;如圖I所示,本發明動態令牌初始化的方法包括以下步驟步驟S01��、接收并保存包括序列號、當前時間和保護密鑰信息的第一數據�,根據固定密鑰對所述保護密鑰信息進行解密�����,得到保護密鑰;動態令牌進行初始化時���,接收至少包括序列號、當前時間和保護密鑰信息的第一數據�����,并使用預先設置的固定密鑰對第一數據中的保護密鑰信息進行解密,獲取保護密鑰。所述保護密鑰可以為一個隨機數,所述保護密鑰信息由固定密鑰對保護密鑰原文加密得到。在一優選的實施例中,動態令牌通過串口����、USB (Universal Serial Bus���,通用串行總線)接口或無線通信方式接收相應數據����。
在一優選的實施例中,所述第一數據還包括第一校驗碼MAC1,動態令牌接收到第一數據后,要對第一數據進行校驗���,校驗通過后,再將該第一數據進行保存或解密等操作;若校驗不通過��,則等待重新接收的新的第一數據����。所述校驗過程具體為動態令牌使用所述固定密鑰對第一數據進行MAC (Message Authentication Code,消息來源正確性鑒別數據)碼計算,得到第二校驗碼MAC2 ;判斷MACl和MAC2是否相等,若二者相等���,則使用所述固定密鑰對保護密鑰信息進行解密,得到保護密鑰,并保存在動態令牌中��,如動態令牌的RAM(Random Access Memory,隨機存儲器)中����;同時,將當前時間寫入動態令牌,將所述序列號保存在動態令牌中,如動態令牌的RAM中。步驟S02��、接收包括校驗密鑰密文和種子分散密鑰密文的第二數據��,根據所述保護密鑰對所述第二數據中的所述密文進行解密��,獲取校驗密鑰和種子分散密鑰并保存。動態令牌獲取保護密鑰后,接收包括至少校驗密鑰密文即MAC密鑰密文和種子分 散密鑰密文的第二數據���。所述種子分散密鑰密文由所述保護密鑰對種子分散密鑰原文加密得到,所述種子分散密鑰原文可以由種子分散根密鑰與動態令牌序列號運算得到;所述MAC密鑰密文由保護密鑰對MAC密鑰原文加密得到,所述MAC密鑰原文可以由種子分散根密鑰與動態令牌序列號運算得到。在一優選的實施例中,所述第二數據還包括MAC3����,接收所述第二數據后��,動態令牌對所述第二數據進行校驗,若校驗通過,則利用所述第二數據進行后續的相關操作�;若校驗未通過��,則等待重新接收新的第二數據。所述校驗過程具體為動態令牌使用所述固定密鑰對所述第二數據進行MAC計算,得到MAC4 ;判斷MAC3和MAC4是否相等��,若二者相等,則第二數據校驗通過。動態令牌根據步驟SOl獲取的保護密鑰對接收的第二數據中的MAC密鑰密文和種子分散密鑰密文進行解密,獲取MAC密鑰和種子分散密鑰�,并將所述MAC密鑰和種子分散密鑰保存����,如保存在動態令牌的RAM中。本發明通過接收并保存包括序列號���、當前時間和保護密鑰信息的第一數據����,根據固定密鑰對所述保護密鑰信息進行解密�,得到保護密鑰、接收包括校驗密鑰密文和種子分散密鑰密文的第二數據��,根據所述保護密鑰對所述第二數據中的所述密文進行解密���,獲取校驗密鑰和種子分散密鑰并保存的方法��,具有動態令牌進行初始化時無需手動輸入的有益效果��,提高了動態令牌初始化的效率和安全性,使動態令牌的初始化過程更加便捷�。參照圖2����,圖2是本發明動態令牌初始化的方法第二實施例流程示意圖;本實施例與本發明動態令牌初始化的方法第一實施例的區別是��,僅增加了步驟SOO ;本實施例僅對步驟SOO作具體描述,本發明動態令牌初始化的方法所涉及的其他步驟請參照圖I所述實施例的具體描述��,在此不再贅述。如圖2所示����,本發明動態令牌初始化的方法在步驟S01���、接收并保存包括序列號、當前時間和保護密鑰信息的第一數據�����,根據固定密鑰對所述保護密鑰信息進行解密��,得到保護密鑰之前還包括步驟步驟S00��、預置所述固定密鑰��。在一優選的實施例中�,在動態令牌出廠前,在動態令牌中如MCU芯片內植入一個固定的密鑰�,即所述的固定密鑰�,用于在動態令牌初始化過程中作MAC碼計算和對該動態令牌保護密鑰的加密和解密處理�。
本實施例通過在動態令牌內部設置固定密鑰的方法,具有提高動態令牌安全性的有益效果���。參照圖3�����,圖3是本發明動態令牌初始化的裝置第一實施例結構示意圖����;如圖3所示,本發明動態令牌初始化的裝置包括第一初始化模塊01����,用于接收并保存包括序列號���、當前時間和保護密鑰信息的第一數據��,根據固定密鑰對所述保護密鑰信息進行解密���,得到保護密鑰�;動態令牌進行初始化時,第一初始化模塊01接收至少包括序列號、當前時間和保護密鑰信息的第一數據��,并使用預先設置的固定密鑰對第一數據中的保護密鑰信息進行解密,獲取保護密鑰。所述保護密鑰可以為一個隨機數,所述保護密鑰信息由固定密鑰對保護密鑰原文加密得到。在一優選的實施例中�����,動態令牌通過串口、USB接口或無線通信方式接收相應數據。
在一優選的實施例中,所述第一數據還包括第一校驗碼MAC1�����,第一初始化模塊01接收到第一數據后,要對第一數據進行校驗,校驗通過后,再將該第一數據進行保存或解密等操作�;若校驗不通過����,則等待重新接收的新的第一數據�����。所述校驗過程具體為第一初始化模塊01使用所述固定密鑰對第一數據進行MAC碼計算���,得到第二校驗碼MAC2 ;判斷MACl和MAC2是否相等�,若二者相等,則第一初始化模塊01使用所述固定密鑰對保護密鑰信息進行解密,得到保護密鑰��,并保存在動態令牌中,如動態令牌的RAM中;同時,第一初始化模塊01將當前時間寫入動態令牌���,將所述序列號保存在動態令牌中,如動態令牌的RAM中���。第二初始化模塊02,用于接收包括校驗密鑰密文和種子分散密鑰密文的第二數據�,根據所述保護密鑰對所述第二數據中的所述密文進行解密�����,獲取校驗密鑰和種子分散密鑰并保存���。動態令牌通過第一初始化模塊01獲取保護密鑰后,第二初始化模塊02接收包括至少校驗密鑰密文即MAC密鑰密文和種子分散密鑰密文的第二數據�����。所述種子分散密鑰密文由所述保護密鑰對種子分散密鑰原文加密得到,所述種子分散密鑰原文可以由種子分散根密鑰與動態令牌序列號運算得到;所述MAC密鑰密文由保護密鑰對MAC密鑰原文加密得至IJ�����,所述MAC密鑰原文可以由種子分散根密鑰與動態令牌序列號運算得到��。在一優選的實施例中�,所述第二數據還包括MAC3�,第二初始化模塊02接收所述第二數據后,對所述第二數據進行校驗,若校驗通過�����,第二初始化模塊02則利用所述第二數據進行后續的相關操作���;若校驗未通過,則等待重新接收新的第二數據�����。所述校驗過程具體為第二初始化模塊02使用所述固定密鑰對所述第二數據進行MAC計算,得到MAC4 ;判斷MAC3和MAC4是否相等����,若二者相等�����,則第二數據校驗通過�����。第二初始化模塊02根據第一初始化模塊01獲取的保護密鑰對接收的第二數據中的MAC密鑰密文和種子分散密鑰密文進行解密�,獲取MAC密鑰和種子分散密鑰,并將所述MAC密鑰和種子分散密鑰保存��,如保存在動態令牌的RAM中。本發明通過接收并保存包括序列號�、當前時間和保護密鑰信息的第一數據��,根據固定密鑰對所述保護密鑰信息進行解密,得到保護密鑰��、接收包括校驗密鑰密文和種子分散密鑰密文的第二數據�����,根據所述保護密鑰對所述第二數據中的所述密文進行解密,獲取校驗密鑰和種子分散密鑰并保存,具有動態令牌進行初始化時無需手動輸入的有益效果,提高了動態令牌初始化的效率和安全性,使動態令牌的初始化過程更加便捷�����。參照圖4�,圖4是本發明動態令牌初始化的裝置第二實施例結構示意圖。本實施例與發明動態令牌初始化的裝置第一實施例的區別是,僅增加了固定密鑰設置模塊03;本實施例僅對固定密鑰設置模塊03作具體描述��,本發明動態令牌初始化的裝置所涉及的其他模塊請參照本發明動態令牌初始化的裝置第一實施例的具體描述�����,在此不再贅述��。如圖4所示,本發明動態令牌初始化的裝置還包括固定密鑰設置模塊03�����,用于預置所述固定密鑰。在一優選的實施例中�����,在動態令牌出廠前����,固定密鑰設置模塊03在動態令牌中如MCU芯片內植入一個固定的密鑰,即所述的固定密鑰�,用于在動態令牌初始化過程中作MAC碼計算和對該動態令牌保護密鑰的加密和解密處理����。
本實施例通過在動態令牌內部設置固定密鑰�����,具有提高動態令牌安全性的有益效果O以上所述僅為本發明的優選實施例,并非因此限制其專利范圍,凡是利用本發明說明書及附圖內容所作的等效結構或等效流程變換,直接或間接運用在其他相關的技術領域�����,均同理包括在本發明的專利保護范圍內����。
權利要求
1.一種動態令牌初始化的方法,其特征在于,包括以下步驟 接收并保存包括序列號�����、當前時間和保護密鑰信息的第一數據�����,根據固定密鑰對所述保護密鑰信息進行解密�����,得到保護密鑰; 接收包括校驗密鑰密文和種子分散密鑰密文的第二數據,根據所述保護密鑰對所述第二數據中的所述密文進行解密,獲取校驗密鑰和種子分散密鑰并保存���。
2.如權利要求I所述的方法,其特征在于,所述接收并保存包括序列號、當前時間和保護密鑰信息的第一數據����,根據固定密鑰對所述保護密鑰信息進行解密�,得到保護密鑰的步驟之前還包括步驟 預置所述固定密鑰。
3.如權利要求I所述的方法,其特征在于����,所述接收所述第一數據后���,對所述第一數據進行校驗�����;若校驗通過,則保存所述第一數據并進行后續的相關操作�。
4.如權利要求I所述的方法,其特征在于�,所述接收所述第二數據后���,對所述第二數據進行校驗;若校驗通過����,則利用所述第二數據進行后續的相關操作。
5.如權利要求I至4任一項所述的方法��,其特征在于,所述第一數據和/或第二數據是通過串口�����、USB接口或無線通信方式進行接收的。
6.一種動態令牌初始化的裝置���,其特征在于��,包括 第一初始化模塊,用于接收并保存包括序列號��、當前時間和保護密鑰信息的第一數據�,根據固定密鑰對所述保護密鑰信息進行解密��,得到保護密鑰���; 第二初始化模塊,用于接收包括校驗密鑰密文和種子分散密鑰密文的第二數據�,根據所述保護密鑰對所述第二數據中的所述密文進行解密�����,獲取校驗密鑰和種子分散密鑰并保存��。
7.如權利要求6所述的裝置,其特征在于�,還包括 固定密鑰設置模塊�����,用于預置所述固定密鑰。
8.如權利要求6所述的裝置,其特征在于,所述第一初始化模塊還用于,接收所述第一數據后,對所述第一數據進行校驗���;若校驗通過��,則保存所述第一數據并進行后續的相關操作。
9.如權利要求6所述的裝置,其特征在于�����,所述第二初始化模塊還用于�����,接收所述第二數據后,對所述第二數據進行校驗��;若校驗通過�,則利用所述第二數據進行后續的相關操作�。
10.如權利要求6至9任一項所述的裝置,其特征在于,所述第一初始化模塊和/或第二初始化模塊通過串口����、USB接口或無線通信方式接收相應的數據���。
全文摘要
本發明公開一種動態令牌初始化的方法����,包括接收并保存包括序列號���、當前時間和保護密鑰信息的第一數據��,根據固定密鑰對保護密鑰信息進行解密���,得到保護密鑰��;接收包括校驗密鑰密文和種子分散密鑰密文的第二數據,根據保護密鑰對第二數據中的密文進行解密,獲取校驗密鑰和種子分散密鑰并保存���。本發明還公開一種動態令牌初始化的裝置。本發明通過接收并保存包括序列號���、當前時間和保護密鑰信息的第一數據并由保護密鑰信息得到保護密鑰、根據保護密鑰獲取校驗密鑰和種子分散密鑰并保存的方法,具有動態令牌進行初始化時無需手動輸入的有益效果,提高了動態令牌初始化的效率和安全性�����,使動態令牌的初始化過程更加便捷�����。
文檔編號H04L9/32GK102891753SQ201210361019
公開日2013年1月23日 申請日期2012年9月25日 優先權日2012年9月25日
發明者陳柳章 申請人:深圳市文鼎創數據科技有限公司