CN101174953A - 一种基于S/Key系统的身份认证方法 - Google Patents
一种基于S/Key系统的身份认证方法 Download PDFInfo
- Publication number
- CN101174953A CN101174953A CNA2007100899991A CN200710089999A CN101174953A CN 101174953 A CN101174953 A CN 101174953A CN A2007100899991 A CNA2007100899991 A CN A2007100899991A CN 200710089999 A CN200710089999 A CN 200710089999A CN 101174953 A CN101174953 A CN 101174953A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- password
- client
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明涉及一种基于S/Key系统的身份认证方法。本发明在用户首次注册时通过客户端向认证服务器提交包括用户名、密码口令、迭代值及生物特征值的注册数据,由服务器生成与该用户对应的种子值,计算口令序列的第一个一次性口令。在用户身份认证过程中通过客户端和服务器之间的双向认证,而且是对注册用户的一次性口令和生物特征值相结合的双向认证。
Description
技术领域
本发明涉及一种计算机网络安全领域中身份认证的方法,特别是基于S/Key系统的身份认证方法。
背景技术
身份认证是网络安全系统中的第一道屏障,其他的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。目前主要的身份认证方法仍然是基于用户名/密码的静态身份认证。但这种认证存在许多的缺点,首先用户必须记忆一些复杂的密码,其次静态密码在传输的过程中很容易被截获。目前较为安全的身份认证方法是采用一次性口令认证方法,或者生物特征识别的身份认证方法。一次性口令身份认证的主要思想是在登录过程中加入不确定因素,使每次登录过程中传送的信息都不同,以提高登录过程中的安全性。生物特征识别身份认证方法是以人体的生物特征(指纹,掌纹,虹膜等)代替口令,不需要用户登录时输入密码。
S/Key系统是目前实现一次性口令认证方法较为理想的系统。S/Key系统包含两部分内容:初始化部分和认证部分。
初始化注册:
用户随机选择秘密通行口令W,设置一次性口令序列的最大迭代值N,通过安全信道将W、N提交给认证服务器,服务器生成与该用户对应的种子值S,并且计算口令序列的第一个口令P0=HN(W+S)。服务器保存和注册用户相关联的信息,用户的注册过程结束。
服务器上用户A的注册数据内容如下:
User ID:IDA
Seed:S
Sequence Number:N
OTP:P0
具体身份认证过程:
用户进行第i次登录时,先输入用户名IDA向服务器发送认证请求。
服务器将保存的当前序列号N-i,种子值S,一同发送给客户端。
客户端收到服务器的应答信息后,提示用户输入秘密通行口令W,并通过自己的一次性口令计算程序,计算当前的认证口令Pi
Pi=HN-i(W+S)
然后客户端将计算得到的本次认证口令Pi发送给服务器。
服务器接收到本次认证口令后,利用单向哈希函数H对其再进行一次运算,得到P’i-1,并将结果与上次保留的口令Pi-1作比较,如果相同,则接受用户的认证请求。并将Pi保存起来作为下次的口令验证。
S/Key系统可以达到在网络上传送的密码只使用一次的目的,可有效防止攻击者利用窃听到的旧口令进行重访攻击。但是S/Key系统仍然有严重的缺陷。首先,S/Key系统不能抵抗小数攻击;其次,如果攻击者通过键盘监听等攻击手段获得用户的秘密通行口令后,仍可以冒充合法用户成功通过认证。
另外,所有基于生物特征的识别技术是利用提取的生物特征数据作为识别码,因而在传送中易被非法截获。
发明内容
本发明针对现有的S/Key系统存在小数攻击,键盘监听的漏洞,以及单因子生物特征识别技术存在泄漏生物特征数据的缺点,提出一种基于S/Key系统的身份认证方法。
本发明所提出的方法主要包括以下步骤:用户在首次注册时由客户端通过安全信道向认证服务器提交用户名IDA、秘密通行口令,以及设置一次性口令序列的迭代值N,同时提供注册用户的生物特征值T’,服务器生成与该用户对应的种子值S,并且计算口令序列的第一个口令P0=HN(W+S)。用户在身份认证过程中首先通过客户端浏览器输入用户名IDA,向服务器提交认证请求,服务器收到认证请求后查询数据库,找出与用户名IDA对应的种子值S和当前迭代值N-i,以及上次认证时用于解密生物特征值的一次性口令Pi-1,并将这些值作为应答信息发送给客户端浏览器,客户端根据用户输入的秘密通行短语W、服务器发送过来的当前迭代值N-i和种子值S计算出当前一次性口令Pi=HN-i(W+S),并对当前口令Pi再进行一次哈希运算得到P’i-1=H(Pi),客户端将P’i-1与上次认证时用于解密生物特征值的一次性口令Pi-1比较,如果结果一致,则认为迭代值无误,客户端通过对服务器的验证。同时客户端采集用户的生物信息,提取特征值T,客户端用本次认证的一次性口令Pi作为密钥对用户生物特征值T进行加密,发送加密后的信息给服务器,服务器利用与客户端相同方法计算出本次认证的一次性口令P’i,用该一次性口令P’i对接收到的加密信息进行解密,解密后的用户生物特征值T与保存在服务器生物特征库中当前用户的生物特征值T’进行匹配,匹配成功则服务器通过对客户端的验证,并保存该一次性口令P’i,不匹配则说明用户非法,拒绝此次登录请求。
本发明的优点:
1、本发明的认证方法中,客户端传递给服务器的认证信息不是单一的动态口令,或用户生物特征信息,而是每次都在变化的加密后的生物特征值。任何重放或者窃听攻击都是无效的,具有很高的安全性。
2、本发明的认证方法中,增加了客户端对服务器的身份认证。每次认证过程中不传递本次登录的一次性口令,因此攻击者不可能得到客户端对服务器进行认证时的一次性口令,也不能得到当前的迭代值,有效避免了一次性口令身份认证的小数攻击问题。
3、本发明的认证方法,将一次性口令与生物特征识别技术进行有效的结合,解决了S/Key系统存在键盘监听的漏洞,进一步提高了认证系统的安全性。
4、采用了客户端与服务器的两次认证,提高了系统的安全性。
5、本发明的认证方法有广泛的应用前景,可以应用在金融、公安等对自身业务的安全性有较高要求的行业中。
附图说明
图1客户端认证的流程图
图2服务器端认证的流程图
图3基于S/Key系统的一次性口令与指纹识别的双向认证的流程图
具体实施方式
一种基于S/Key系统的一次性口令与生物特征识别相结合的双向身份认证方法包括以下步骤:
(1)客户端用户向服务器发出身份认证请求;
用户身份IDA;
(2)服务器根据客户端发送的用户名向客户端发出应答信息:
服务器向客户端发出迭代值N、种子值S和上次认证时用于解密生物特征值的一次性口令Pi-1;
(3)客户端根据当前迭代值N-i、种子值S、秘密通行短语W计算出当前一次性口令。计算如下:
Pi=HN-i(W+S);
(4)客户端保存当前口令Pi,并对当前口令Pi再进行一次哈希运算,计算如下:
P’i-1=H(Pi);
客户端将P’i-1与上次认证时用于解密生物特征值的一次性口令Pi-1比较,如果结果一致,则认为迭代值无误,客户端通过对服务器的验证。如果结果不同,则认为迭代值有误,系统提示存在小数攻击。
客户端通过生物特征识别仪提取用户的生物特征值T。用Pi作为加密密钥对T进行加密,加密如下:
Mi=E(T,Pi);
然后将加密密文Mi作为认证口令发送给服务器。
(5)服务器根据该用户当前迭代值N-i、种子值S、秘密通行短语W,用与客户端相同哈希函数计算出动态口令P’i,计算如下:
P’i=HN-i(W+S);
以一次性口令P’i作为解密密钥对接收到的加密信息Mi进行解密,解密如下:
T=D(Mi,P’i);
解密后的生物特征值T与当前用户保存在服务器端的生物特征库中的模板特征值T’进行匹配,按照一定的阈值决定这两个特征值是否相同,如果匹配成功则服务器通过对客户端的验证,并保存新口令P’i,用户成功登录。不匹配则说明用户非法。
每次成功登录后,迭代值递减,当迭代值减为0或秘密通行短语W泄密后,必须重新初始化迭代值和修改秘密通行短语。
下面以公安人口信息管理系统中本发明的应用为例说明本发明的过程:
1)注册过程:
用户ChenJiang随机选择秘密通行口令W=anfang,设置一次性口令序列的最大迭代值N=500,通过指纹识别仪采集用户ChenJiang右手拇指的指纹特征值T’m,通过安全信道将W、N、T’m提交给认证服务器,服务器生成与该用户对应的种子值S=rh03hu,并且计算口令序列的第一个口令P0=HN(W+S)
2)身份认证过程:
1.用户通过客户端浏览器输入用户名ChenJiang,向服务器提交认证请求。
2.服务器查询数据库,找出与用户名ChenJiang对应的种子值S=rh03hu,和当前迭代值N-i=10,同时找出上次认证时用于解密密钥的一次性口令Pi-1,
Pi-1=d565086da5a433e98cefe53d9276b742
并将这些值作为应答信息发送给客户端浏览器。如果数据库中没有与该用户名对应的纪录则拒绝此次登录请求。
3)客户端收到服务器发送的应答信息后,提示ChenJiang输入秘密通行短语W=anfang,同时通过指纹采集议采集ChenJiang的右手拇指指纹图像,客户端调用指纹处理模块对采集的指纹图像提取特征值T,并调用相应的运算模块做如下运算:
计算本次认证用作加密密钥的一次性口令:
Pi=HN-i(W+S)=b5b52c8cf69eca7147f95ea6add7d12f
计算上次认证用作解密密钥的一次性口令:
P’i-1=H(Pi)=d565086da5a433e98cefe53d9276b742
比较Pi-1与P’i-1的值(如果不相同,则认为存在攻击,提示用户进行相应的处理)。结果相同,用Pi作为秘钥对采集的指纹特征值进行加密
Mi=E(T,Pi)
将加密信息作为认证信息发送给服务器。
4.服务器收到客户端的认证信息后,作如下运算:
P’i=HN-i(W+S)=b5b52c8cf69eca7147f95ea6add7d12f
用P’i作为解密秘钥对加密信息进行解密
T=D(Mi,P’i)
将解密后得到的指纹特征值T与服务器指纹库中保存的该用户的指纹特征值T’m进行匹配,匹配结果一致,通过验证。将数据库中保存的上次成功登录口令Pi-1改为Pi。至此认证过程结束。
需要说明的本发明的实际应用不局限于以上给出的实施例。例如所使用的生物特征值也可使用掌纹或者虹膜,也可使用其它的生物特征值。
Claims (1)
1.一种基于S/Key系统认证方法,用户在首次注册时由客户端通过安全信道向认证服务器提交用户名IDA、秘密通行口令,以及设置一次性口令序列的迭代值N,同时提供注册用户的生物特征值T’,服务器生成与该用户对应的种子值S,并且计算口令序列的第一个口令P0=HN(W+S)。用户在身份认证过程中首先通过客户端浏览器输入用户名IDA,向服务器提交认证请求,服务器收到认证请求后查询数据库,找出与用户名IDA对应的种子值S和当前迭代值N-i,以及上次认证时用于解密生物特征值的一次性口令Pi-1,并将这些值作为应答信息发送给客户端浏览器,客户端根据用户输入的秘密通行短语W、服务器发送过来的当前迭代值N-i和种子值S计算出当前一次性口令Pi=HN-i(W+S),并对当前口令Pi再进行一次哈希运算得到P’i-1=H(Pi),客户端将P’i-1与上次认证时用于解密生物特征值的一次性口令Pi-1比较,如果结果一致,则认为迭代值无误,客户端通过对服务器的验证。同时客户端采集用户的生物信息,提取特征值T,客户端用本次认证的一次性口令Pi作为密钥对用户生物特征值T进行加密,发送加密后的信息给服务器,服务器利用与客户端相同方法计算出本次认证的一次性口令P’i,用该一次性口令P’i对接收到的加密信息进行解密,解密后的用户生物特征值T与保存在服务器生物特征库中当前用户的生物特征值T’进行匹配,匹配成功则服务器通过对客户端的验证,并保存该一次性口令P’i,不匹配则拒绝此次登录请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100899991A CN101174953A (zh) | 2007-03-27 | 2007-03-27 | 一种基于S/Key系统的身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2007100899991A CN101174953A (zh) | 2007-03-27 | 2007-03-27 | 一种基于S/Key系统的身份认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101174953A true CN101174953A (zh) | 2008-05-07 |
Family
ID=39423234
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007100899991A Pending CN101174953A (zh) | 2007-03-27 | 2007-03-27 | 一种基于S/Key系统的身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101174953A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101895537A (zh) * | 2010-06-30 | 2010-11-24 | 北京握奇数据系统有限公司 | 建立数据交互通道的方法和系统、智能卡、服务器 |
| CN101953113A (zh) * | 2008-02-25 | 2011-01-19 | 微软公司 | 对可漫游凭证存储的安全且可用保护 |
| CN102769531A (zh) * | 2012-08-13 | 2012-11-07 | 鹤山世达光电科技有限公司 | 身份认证装置及其方法 |
| CN103312690A (zh) * | 2013-04-19 | 2013-09-18 | 无锡成电科大科技发展有限公司 | 一种云计算平台的密钥管理系统及方法 |
| US8789166B2 (en) | 2009-10-30 | 2014-07-22 | Feitian Technologies Co., Ltd. | Verification method and system thereof |
| CN104079577A (zh) * | 2014-07-07 | 2014-10-01 | 北京智谷睿拓技术服务有限公司 | 认证方法及认证装置 |
| CN104636653A (zh) * | 2013-11-09 | 2015-05-20 | 电子科技大学 | 一种智能终端设备基于非接触性方式实现用户身份认证的系统方法 |
| CN104751154A (zh) * | 2014-07-25 | 2015-07-01 | 北京智膜科技有限公司 | 基于智能移动信息设备的指纹安全加密方法 |
| CN104753870A (zh) * | 2013-12-30 | 2015-07-01 | 中国移动通信集团公司 | 一种数据传输方法和系统 |
| CN105141428A (zh) * | 2015-08-19 | 2015-12-09 | 深圳密无痕智能科技有限公司 | 一种基于模糊金库和一次性口令的认证识别系统和方法 |
| CN105590040A (zh) * | 2014-11-03 | 2016-05-18 | 索尼公司 | 用于加密数字内容的数字权限管理的方法和系统 |
| CN106453352A (zh) * | 2016-10-25 | 2017-02-22 | 电子科技大学 | 一种单系统多平台身份验证方法 |
| CN107444175A (zh) * | 2017-08-28 | 2017-12-08 | 上海蔚来汽车有限公司 | 充换电站 |
| CN108509800A (zh) * | 2017-02-28 | 2018-09-07 | 盖特资讯系统股份有限公司 | 数据保护方法与系统 |
| CN108702291A (zh) * | 2015-12-18 | 2018-10-23 | 株式会社 Kt | 基于生物信息的认证装置及其操作方法 |
| CN109863730A (zh) * | 2016-09-19 | 2019-06-07 | 电子湾有限公司 | 多会话认证 |
| US10867056B2 (en) | 2017-02-06 | 2020-12-15 | iDGate Corporation | Method and system for data protection |
| CN112311794A (zh) * | 2020-10-30 | 2021-02-02 | 中电万维信息技术有限责任公司 | 一种基于mfa算法的双向身份认证方法 |
-
2007
- 2007-03-27 CN CNA2007100899991A patent/CN101174953A/zh active Pending
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101953113A (zh) * | 2008-02-25 | 2011-01-19 | 微软公司 | 对可漫游凭证存储的安全且可用保护 |
| CN101953113B (zh) * | 2008-02-25 | 2013-12-04 | 微软公司 | 对可漫游凭证存储的安全且可用保护 |
| US9262618B2 (en) | 2008-02-25 | 2016-02-16 | Microsoft Technology Licensing, Llc | Secure and usable protection of a roamable credentials store |
| US8789166B2 (en) | 2009-10-30 | 2014-07-22 | Feitian Technologies Co., Ltd. | Verification method and system thereof |
| CN101895537A (zh) * | 2010-06-30 | 2010-11-24 | 北京握奇数据系统有限公司 | 建立数据交互通道的方法和系统、智能卡、服务器 |
| CN102769531A (zh) * | 2012-08-13 | 2012-11-07 | 鹤山世达光电科技有限公司 | 身份认证装置及其方法 |
| CN103312690A (zh) * | 2013-04-19 | 2013-09-18 | 无锡成电科大科技发展有限公司 | 一种云计算平台的密钥管理系统及方法 |
| CN104636653A (zh) * | 2013-11-09 | 2015-05-20 | 电子科技大学 | 一种智能终端设备基于非接触性方式实现用户身份认证的系统方法 |
| CN104753870A (zh) * | 2013-12-30 | 2015-07-01 | 中国移动通信集团公司 | 一种数据传输方法和系统 |
| CN104079577A (zh) * | 2014-07-07 | 2014-10-01 | 北京智谷睿拓技术服务有限公司 | 认证方法及认证装置 |
| US10397217B2 (en) | 2014-07-07 | 2019-08-27 | Beijing Zhigu Rui Tuo Tech Co., Ltd | Authentication methods and authentication apparatuses |
| WO2016004804A1 (en) * | 2014-07-07 | 2016-01-14 | Beijing Zhigu Rui Tuo Tech Co., Ltd. | Authentication methods and authentication apparatuses |
| CN104751154A (zh) * | 2014-07-25 | 2015-07-01 | 北京智膜科技有限公司 | 基于智能移动信息设备的指纹安全加密方法 |
| CN105590040B (zh) * | 2014-11-03 | 2018-06-12 | 索尼公司 | 用于加密数字内容的数字权限管理的方法和系统 |
| CN105590040A (zh) * | 2014-11-03 | 2016-05-18 | 索尼公司 | 用于加密数字内容的数字权限管理的方法和系统 |
| CN105141428A (zh) * | 2015-08-19 | 2015-12-09 | 深圳密无痕智能科技有限公司 | 一种基于模糊金库和一次性口令的认证识别系统和方法 |
| CN108702291A (zh) * | 2015-12-18 | 2018-10-23 | 株式会社 Kt | 基于生物信息的认证装置及其操作方法 |
| CN109863730A (zh) * | 2016-09-19 | 2019-06-07 | 电子湾有限公司 | 多会话认证 |
| CN106453352A (zh) * | 2016-10-25 | 2017-02-22 | 电子科技大学 | 一种单系统多平台身份验证方法 |
| CN106453352B (zh) * | 2016-10-25 | 2020-04-17 | 电子科技大学 | 一种单系统多平台身份验证方法 |
| US10867056B2 (en) | 2017-02-06 | 2020-12-15 | iDGate Corporation | Method and system for data protection |
| CN108509800A (zh) * | 2017-02-28 | 2018-09-07 | 盖特资讯系统股份有限公司 | 数据保护方法与系统 |
| CN107444175A (zh) * | 2017-08-28 | 2017-12-08 | 上海蔚来汽车有限公司 | 充换电站 |
| CN112311794A (zh) * | 2020-10-30 | 2021-02-02 | 中电万维信息技术有限责任公司 | 一种基于mfa算法的双向身份认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101174953A (zh) | 一种基于S/Key系统的身份认证方法 | |
| US10680808B2 (en) | 1:N biometric authentication, encryption, signature system | |
| CN107819587B (zh) | 基于全同态加密的认证方法和用户设备以及认证服务器 | |
| CN101098232B (zh) | 一种动态口令与多生物特征结合的身份认证方法 | |
| US8670562B2 (en) | Generation and use of a biometric key | |
| US7409543B1 (en) | Method and apparatus for using a third party authentication server | |
| WO2017177435A1 (zh) | 一种身份认证方法、终端及服务器 | |
| CN101465735B (zh) | 网络用户身份验证方法、服务器及客户端 | |
| US20160219046A1 (en) | System and method for multi-modal biometric identity verification | |
| CN113114700B (zh) | 身份识别、业务处理以及生物特征信息的处理方法和设备 | |
| WO2017071496A1 (zh) | 实现会话标识同步的方法及装置 | |
| US20060122939A1 (en) | System and method for generating and verifying application licenses | |
| CN105847247A (zh) | 一种认证系统及其工作方法 | |
| US20080313707A1 (en) | Token-based system and method for secure authentication to a service provider | |
| CN101420301A (zh) | 人脸识别身份认证系统 | |
| CN107733933B (zh) | 一种基于生物识别技术的双因子身份认证的方法及系统 | |
| US20130088327A1 (en) | Template delivery type cancelable biometric authentication system and method therefor | |
| US10742410B2 (en) | Updating biometric template protection keys | |
| CN103067390A (zh) | 一种基于人脸特征的用户注册认证方法和系统 | |
| US11218319B2 (en) | Biometrics-based remote login | |
| CN114868358A (zh) | 隐私保护生物特征认证 | |
| CN101309147A (zh) | 一种基于图像口令身份认证方法 | |
| CN111355588B (zh) | 一种基于puf与指纹特征的可穿戴设备双因子认证方法及系统 | |
| CN113468596B (zh) | 一种用于电网数据外包计算的多元身份认证方法及系统 | |
| CN105071993B (zh) | 加密状态检测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080507 |