[发明专利]一种基于硬件数字证书载体的动态密码验证方法及系统

说明书

技术领域

本发明涉及数字证书认证技术，尤其是一种基于硬件数字证书载体的动态密码验证方法及系统。

背景技术

随着电子商务和互联网的快速发展，USB Key作为网络用户身份识别和数据保护的“电子钥匙”，正在被越来越多的用户所熟悉。

USB Key是一种基于USB接口的智能存储身份认证设备，内置有智能卡CPU、存储器、芯片操作系统（Chip Operating System，COS）和安全文件系统，用于在服务器和用户之间进行身份认证。

由于USB Key主要用于网络认证，其内部存储有用户的数字证书和用户私钥，利用其内置的公钥算法实现对用户身份的验证，用户的私钥和数字证书保存于USB Key安全存储区域中，理论上无法从外部获取，这就保证了用户私钥和数字证书的安全性。

USB Key通过PIN（Personal Identification Number，个人识别密码）码来保护USB Key的使用权，PIN码是USB Key的密码，只有拥有的该USB Key的PIN码，才可以进行USB Key操作。即使被人捡到，或电脑被入侵，也无法在不知道PIN码的情况下盗用用户的USB Key。

假如用户用户的系统被入侵，由于用户每次输入的皆为完整的PIN码，入侵者只要采用键盘记录工具或者其他方式即可获得用户的PIN码，这样入侵者就能获取用户USB Key的使用权，进行一些有损用户利益的操作。

发明内容

本发明要解决的技术问题是：提供一种基于硬件数字证书载体的动态密码验证方法，该方法可以有效地提高用户使用硬件数字证书载体的信息安全性。

本发明要解决的另一技术问题是：提供一种基于硬件数字证书载体的动态密码验证系统，该系统有效地保障了用户使用硬件数字证书载体的信息安全性。

为了解决上述技术问题，本发明所采用的技术方案是：

一种基于硬件数字证书载体的动态密码验证方法，该方法包括以下步骤：

硬件数字证书载体接收来自客户端的服务请求；

硬件数字证书载体向客户端传送包含有二进制序列的PIN码输入信息；

硬件数字证书载体接收来自客户端的PIN码数据；

硬件数字证书载体将来自客户端的PIN码数据与内部运算得到的动态PIN码数据进行匹配，若匹配则激活硬件数字证书载体提供服务响应。

进一步作为优选的实施方式，所述二进制序列是由硬件数字证书载体随机产生的数据，该二进制序列的位数与硬件数字证书载体原始PIN码的位数相同。

进一步作为优选的实施方式，硬件数字证书载体接收来自客户端的服务请求之后并在向客户端传送包含有二进制序列的PIN码输入信息之前还包括：

对服务请求的指令完整性进行判断，若服务请求的指令完整并需要提升权限，则硬件数字证书载体向客户端传送包含有二进制序列的PIN码输入信息。

进一步作为优选的实施方式，所述硬件数字证书载体随机产生的二进制序列存储在缓冲存储模块，该缓冲存储模块内数据的存储时间可以设置，并且在二进制序列刷新时被新生成的二进制序列覆盖。

进一步作为优选的实施方式，所述硬件数字证书载体随机产生的二进制序列的刷新次数可以设置，当超过预定义的刷新次数后，硬件数字证书载体将进入锁定状态。

一种基于硬件数字证书载体的动态密码验证系统，该系统包括：

数据接收模块，用于接收来自客户端的数据，包括服务请求和用户通过客户端输入的PIN码数据；

安全服务模块，用于生成包含有二进制序列的PIN码输入信息；

数据发送模块，用于将包含有二进制序列的PIN码输入信息传送给客户端；

比较模块，用于根据硬件数字证书载体的原始PIN码和二进制序列计算得到动态PIN码数据，并比较计算得到的动态PIN码数据与来自客户端的PIN码数据，若匹配则激活硬件数字证书载体提供服务响应。

进一步作为优选的实施方式，所述二进制序列是由安全服务模块随机产生的数据，该二进制序列的位数与硬件数字证书载体原始PIN码的位数相同。

进一步作为优选的实施方式，该系统还包括一指令处理模块，用于对服务请求的指令完整性进行判断，若服务请求的指令完整并需要提升权限，则安全服务模块生成包含有二进制序列的PIN码输入信息。