技術領域

本發明涉及信息安全領域，特別涉及一種信息安全設備的同步方法和系統。

背景技術

信息安全設備可用于生成動態口令，廣泛應用于網銀、電信運營商和電子政務等領域。信息安全設備所生成的動態口令可用于身份認證，能夠有效提高身份認證的安全性。

當信息安全設備在磁場、高溫、高壓、震蕩或浸水等環境下工作時，信息安全設備容易發生時鐘脈沖的偏移，進而失去與認證服務器之間的時間同步。

現有技術中，信息安全設備在失步后生成同步碼，用戶通過客戶端將該同步碼傳送給認證服務器，認證服務器根據用戶輸入的同步碼進行同步操作。

發明人在實現本發明的過程中，發現現有技術至少存在以下缺陷：

現有技術通過非聯機的方式對信息安全設備進行同步，需要由用戶手工輸入同步碼，當用戶手工輸入出錯時，也會造成同步失敗，導致同步成功率低，安全性差。

發明內容

本發明提供了一種信息安全設備的同步方法和系統，以解決現有技術中同步成功率低以及安全性差的缺陷。

本發明提供了一種信息安全設備的同步方法，應用于包括信息安全設備、主機和認證服務器的系統中，所述信息安全設備包括智能密鑰模塊和動態令牌模塊，所述方法包括以下步驟：

A1、所述動態令牌模塊生成動態口令；

A2、所述主機中的客戶端獲取所述動態口令，將所述動態口令發送給所述認證服務器；

A3、所述認證服務器根據與所述動態令牌模塊對應的令牌偏移量，對接收到的動態口令進行匹配，

如果所述接收到的動態口令與所述認證服務器在認證窗口內生成的動態口令匹配，則執行步驟A4；

如果所述接收到的動態口令與所述認證服務器在認證窗口內生成的動態口令均不匹配，且與所述認證服務器在同步窗口內生成的動態口令匹配，則執行步驟A5；

如果所述接收到的動態口令與所述認證服務器在同步窗口內生成的動態口令均不匹配，則執行步驟A6；

A4、所述認證服務器向所述客戶端返回認證成功消息；

A5、所述認證服務器將與所述動態令牌模塊對應的失步標識置位，向所述客戶端返回令牌失步消息；

A6、所述認證服務器向所述客戶端返回認證失敗消息；

當所述信息安全設備與所述客戶端建立連接后，所述方法還包括：

B1、所述認證服務器判斷與所述動態令牌模塊對應的失步標識是否置位，如果置位，則執行步驟B2；否則，結束流程；

B2、所述認證服務器向所述客戶端發送失步狀態信息；

B3、所述客戶端向所述智能密鑰模塊發送同步指令；

B4、所述智能密鑰模塊將所述同步指令發送給所述動態令牌模塊；

B5、所述動態令牌模塊生成隨機數，根據所述隨機數和自身保存的種子密鑰生成第一臨時密鑰；

B6、所述動態令牌模塊根據所述隨機數、所述第一臨時密鑰和第一時間信息生成第一同步碼，將所述第一時間信息與預設時長相加，得到更新后的第一時間信息，根據所述隨機數、所述第一臨時密鑰和更新后的第一時間信息生成第二同步碼，將所述隨機數、所述第一同步碼和所述第二同步碼發送給所述智能密鑰模塊；

B7、所述智能密鑰模塊將所述隨機數、所述第一同步碼和所述第二同步碼發送給所述客戶端；

B8、所述客戶端將所述隨機數、所述第一同步碼、所述第二同步碼以及與所述動態令牌模塊對應的身份信息發送給所述認證服務器；

B9、所述認證服務器根據所述身份信息檢索與所述動態令牌模塊對應的種子密鑰，根據檢索到的種子密鑰和所述隨機數生成第二臨時密鑰；

B10、所述認證服務器根據所述隨機數、所述第二臨時密鑰和第二時間信息，對所述第一同步碼和所述第二同步碼進行認證，如果認證通過，則獲取令牌偏移時間、所述第一同步碼的認證成功時間和所述第二同步碼的認證成功時間，并執行步驟B12；否則，執行步驟B11；

B11、所述認證服務器向所述客戶端返回同步失敗消息，結束流程；

B12、所述認證服務器判斷所述第一同步碼的認證成功時間和所述第二同步碼的認證成功時間之間的間隔是否為所述預設時長，如果是，則執行步驟B13；否則，返回步驟B11；

B13、所述認證服務器將所述令牌偏移時間保存為與所述動態令牌模塊對應的令牌偏移量，向所述客戶端返回同步成功消息，將與所述動態令牌模塊對應的失步標識復位。