[发明专利]提高签名安全性的方法和系统

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种提高签名安全性的方法和系统。

背景技术

OTP(One-Time Password，一次性密码)是用户在解决自己的密码安全性能低的问题时，产生的一项技术。它是指用户每次使用的密码按照时间或使用次数的变化而不断变化。OTP可以由智能卡、令牌、移动电话产生或者通过短信息进行发送。OTP可以抵御键盘记录、屏幕记录和偷窥等攻击，攻击者即使看到输入的OTP也没有任何风险，因为OTP一旦使用即告失效，无论OTP以任何形式被记录下来都没有任何意义。

人们在传输验证信息时，如果将明文直接在主机和网络中进行传输，存在很多的安全隐患，如可能会被别人截获，或是被别人进行篡改等，无疑这对信息的正确传递造成很大的威胁。

重放攻击就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。为了抵御重放攻击，现在的身份认证一般采用挑战应答方式，但是所需的挑战值的熵值必须大(变化量要很大)，若挑战值变化量不大，攻击者只需截获足够的挑战应答关系，就可以进行重放攻击了，无疑这种方法受到很多因素的限制，而且安全性能也不高。

现在人们在防范重放攻击方面，一般的解决方法是由服务器端生成随机验证消息发给客户端，再由客户端加入到待签名数据中。由于验证消息是完全随机的，服务端需要通过会话控制等手段来确认当前使用的验证消息，比较复杂，而且效率比较低。

发明内容

为了提高签名的安全性，防止重放攻击，本发明提供了一种提高签名安全性的方法和系统，所述技术方案如下：

本发明提供了一种提高签名安全性的方法，所述方法包括：

智能密钥设备与客户端连接，接收用户输入的签名指令和待签名数据；

所述智能密钥设备根据动态密码种子和动态参数的当前值生成第一动态密码，并更新所述动态参数；

所述智能密钥设备根据所述动态密码种子和所述动态参数的当前值生成第二动态密码，将所述第二动态密码并入所述待签名数据，进行签名，并更新所述动态参数；

所述智能密钥设备通过所述客户端将签名结果、所述第一动态密码和待签名数据发送给服务器；

所述服务器接收到所述签名结果、第一动态密码和待签名数据后，根据与所述智能密钥设备相同的动态密码种子和所述服务器的动态参数的当前值，对所述第一动态密码进行验证，如果验证所述第一动态密码成功，则更新所述服务器的动态参数，并根据所述动态密码种子、所述服务器的动态参数的当前值和所述待签名数据对所述签名结果进行验证，如果验证所述签名结果成功，则继续进行操作，如果验证所述签名结果失败，则结束；如果所述第一动态密码验证失败，则结束操作。

所述智能密钥设备根据所述动态密码种子和所述动态参数的当前值生成第二动态密码之前，还包括：

所述智能密钥设备将所述第一动态密码提供给所述用户，并接收所述用户通过所述客户端输入的校验码；

比对所述校验码与第一动态密码是否一致，如果一致，则执行所述智能密钥设备生成第二动态密码的步骤；否则，结束操作。

所述将所述第二动态密码并入所述待签名数据，具体包括：采用拼接方式和/或插入方式将所述第二动态密码并入所述待签名数据。

所述根据与所述智能密钥设备相同的动态密码种子和所述服务器的动态参数的当前值，对所述第一动态密码进行验证，具体包括：

所述服务器根据与所述智能密钥设备相同的动态密码种子和所述服务器的动态参数的当前值，生成第三动态密码；

比对所述第一动态密码与第三动态密码是否一致，如果一致，则验证成功；否则，验证失败。

所述根据所述动态密码种子、所述服务器的动态参数的当前值和所述待签名数据对所述签名结果进行验证，具体包括：

所述服务器根据所述动态密码种子和所述服务器的动态参数的当前值，生成第四动态密码；

将所述第四动态密码并入所述待签名数据，对所述签名结果进行验证。

所述将所述第四动态密码并入所述待签名数据，具体包括：采用拼接方式和/或插入方式将所述第四动态密码并入所述待签名数据。

所述接收用户输入的签名指令和待签名数据之前，还包括：

所述智能密钥设备对用户进行身份认证。

所述身份认证为PIN码认证或生物认证。

所述智能密钥设备的动态参数和所述服务器的动态参数均为时间因子或均为事件因子。

所述更新动态参数为获取当前时间或记录事件发生的次数。

本发明还提供了一种提高签名安全性的方法，所述方法包括：