CN101350719A - 新型的身份认证方法 - Google Patents
新型的身份认证方法 Download PDFInfo
- Publication number
- CN101350719A CN101350719A CNA2007100760315A CN200710076031A CN101350719A CN 101350719 A CN101350719 A CN 101350719A CN A2007100760315 A CNA2007100760315 A CN A2007100760315A CN 200710076031 A CN200710076031 A CN 200710076031A CN 101350719 A CN101350719 A CN 101350719A
- Authority
- CN
- China
- Prior art keywords
- value
- client
- server
- information
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000004044 response Effects 0.000 claims abstract description 15
- 230000005540 biological transmission Effects 0.000 claims description 9
- 230000002596 correlated effect Effects 0.000 description 2
- 150000003839 salts Chemical class 0.000 description 2
- 230000016571 aggressive behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种新型的身份认证方法,包括如下步骤:a.客户端向服务器发出登陆请求;b.所述服务器向所述客户端发出散列运算挑战信息;c.所述客户端根据所述散列运算挑战信息计算出响应信息,并将所述响应信息发送给所述服务器;d.所述服务器检验所述响应信息,如果通过认证,所述服务器向所述客户端发送登陆成功信息;否则,发送登陆失败信息并将不成功登陆的次数n加1,且所述客户端进入步骤a。本发明的身份认证方法不仅明显减少了认证服务器的开销,而且能有效地抵御字典攻击、拒绝服务攻击等攻击手段,显著增强了应用系统的安全性。
Description
技术领域
本发明涉及身份认证方法,更具体地说,涉及一种基于单向散列函数的新型的身份认证方法。
背景技术
在互联网的虚拟环境中,如何低成本并高效的确定用户在现实环境中对应的真实身份,一直是众多在互联网中向用户提供各种服务的公司致力解决的难题。在现有的身份认证方案中,认证服务器的开销比较大,而且不能有效地抵御字典攻击、拒绝服务攻击等攻击手段,应用系统的安全性低。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种新型的身份认证方法。
本发明解决其技术问题所采用的技术方案是:构造一种新型的身份认证方法,包括如下步骤:
a、客户端向服务器发出登陆请求;
b、所述服务器向所述客户端发出散列运算挑战信息;
c、所述客户端根据所述散列运算挑战信息计算出响应信息,并将所述响应信息发送给所述服务器;
d、所述服务器检验所述响应信息,如果通过认证,所述服务器向所述客户端发送登陆成功信息;否则,发送登陆失败信息并将不成功登陆的次数n加1,且所述客户端进入步骤a。
在本发明所述的新型的身份认证方法中,所述散列运算挑战信息包括:标准散列函数H(r,R)的值、随机数R的值、以及认证信息代码MAC的值。所述随机数R的值是一128bit的数。
在本发明所述的新型的身份认证方法中,在步骤c中,所述客户端根据所述标准散列函数H(r,R)的值和所述随机数R的值计算出所述随机数r的值。所述随机数r的值是20bit的数。
在本发明所述的新型的身份认证方法中,所述响应信息包括:所述随机数r的值、所述客户端的ID、所述客户端的用户口令P、以及所述认证信息代码MAC的值。所述客户端通过SSL向所述服务器发送所述随机数r的值和所述用户口令P。在步骤d中,所述服务器根据所述随机数r的值、所述用户口令P、所述ID、私钥KBob、以及所述不成功登陆的次数n,计算出散列函数H(r,H(P),ID,KBob,n)的值,并与所述认证信息代码MAC的值比较,如果相同,则通过认证,向所述客户端发送登陆成功信息;否则,发送登陆失败信息并将不成功登陆的次数n加1。
本发明的有益效果是,不仅明显减少了认证服务器的开销,而且能有效地抵御字典攻击、拒绝服务攻击等攻击手段,显著增强了应用系统的安全性。排除了攻击者通过在很短的时间内发出大量的猜测口令来加大系统的开销,甚至使攻击者的计算机在发出系列请求的同时面临很多困难。在抵御攻击者的在线字典攻击的同时,本方案还可抵御拒绝服务攻击。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明所述的新型的身份认证方法的示意图。
具体实施方式
如图1所示,该认证方法包括四个信息,整个过程只用到散列函数。四个信息中有两个是简单的没有加密的消息交换;另两个中一个是客户端的散列运算,一个是服务器的散列运算。服务器向客户端发出一个挑战,客户端只能在经过一段时间的运算挑战应答之后才能登录。这段运算时间的长短很容易被服务器控制。
KBob:服务器的私钥;P:客户端的用户口令;n:不成功登录的次数;r:随机产生的20bit的数;R:随机产生的128bit的数;MAC:认证信息代码H(r,H(P),ID,KBob,n),由服务器发向客户端;H(x):变量为x的标准散列函数。方案详细描述:
信息1.客户端向服务器的发送:一个简单的用户向服务器发出的登录请求。
信息2.服务器向客户端的发送:为了响应客户端的请求,服务器向客户端发出散列运算挑战信息:H(r,R)、R、认证信息代码MAC的值。H(r,R)是两个随机数r,R的散列运算结果。用户必须从散列函数H(r,R)的值和R值计算出r的值。r可能是任意的一个20bit的数。认证信息代码MAC的值也是一个散列函数值,对服务器以外的人都是很难猜到的。这个散列函数值只有拥有私钥KBob的服务器才能重建。要知道用户是不会用到这个MAC,它只是在下一步中返回给服务器,因此,服务器就没必要存储MAC。服务器用这个MAC来检验客户端计算出的r值,并用在我们将要看到的客户端回复的第三个及时消息里。
为了计算出r的值,客户端必须结合R的值和所有可能的20bit的r来检验散列函数H(r,R)的值。这是比特级的运算,需要很长的时间(大约5秒钟或更多)。如果把这两个随机数换成一个大的随机数,计算量将更大,这样客户端的计算负担将是不希望看到的。如果只用一个任意的20bit的数,攻击者将存储所有可能的20bit的数的散列函数值,这样就很容易通过相关的简单研究得出正确的r值。所以用一个20bit的任意数r和一个128bit的任意数R就同时达到了两个目的:第一,它给客户端合适的计算量,使在线的字典攻击得到阻止并保证了真正用户的权利;第二,它避免了提前计算所有的20bit的数的散列函数值的情况。因此,R对r的计算就像加入“盐”值(“盐”值在密码技术口令中,用来修改口令散列的随机数据串,使用口令散列匹配策略为进攻系统的攻击者制造困难。)一样是非常有效的。
客户端在收到第二次信息后,就做必要的运算找出r的值,然后接着处理第三次信息。
信息3.客户端向服务器的发送:为了使方案容易在网络环境下实现,这一步是独立于前两步的基础上完成的,也就是说,客户端在做了必要的计算后就重新初始化连接开始直接发出方案的第三步信息。
客户端在收到第二步的信息后,从中计算出r的值,然后把自己的ID、计算出的r值、用户口令P、以及MAC发向服务器。在这一步里,r的值和以及口令P是直接发过去的,所以最好使用SSL,否则,用户口令就能在信息3中直接获得。
服务器收到这个信息后,结合收到的r、P、用户的ID、存储的私钥KBob、存储的n值计算出散列函数值,然后比较发出的MAC和计算出的散列函数值,如果相符,则登录成功,否则登录失败并把n的值加1。
MAC是用来认证r值(客户端对服务器端挑战的响应),并抵御了攻击者的即时攻击(攻击者一次又一次的发送相同的系列值)。我们在计算MAC时用到了动态的n值,因此,由于每次登录失败后n的自加1使反复的使用消息2不可能实现。
当客户端的用户成功登录时n不自加1,这点对合法用户来说是很有用的。这就意味着:如果用户上次成功登录,这次就可以用上次的一些计算结果而无需重复相关的计算。因此,合法的用户只需第一次登录时进行相关的计算,对于后来的登录来说,只要登录不失败,他最后的一次计算可以一直用下去。
由于MAC的使用,服务器就无需存储用来检验用户发来的信息的正确性的r和R值,这使这个方案更容易在网络环境下实现。
信息4.服务器向客户端的发送:服务器给客户端的简单回答用户提供的信息正确与否。如果正确,则这次登录成功,否则,用户必须从第一个消息重新开始。
该方案的设计是为了阻止在线字典攻击。对于每一个用户登录,用户必须计算由系统作为挑战发来的r值,这个计算过程要一定的时间,会因计算机的不同而长短不一样。随着计算机处理速度的提高,通过改变r值的长度来调整这个计算时间。这个计算时间有效的阻止了在一段时间不断发送成千上万的登录请求的在线字典攻击。从整个方案看,在一定的时间内认证请求的数量可能会大量的减少,因此,整个发起在线字典攻击的过程就很困难并且开销很大。
Claims (8)
1、一种新型的身份认证方法,其特征在于,包括如下步骤:
a、客户端向服务器发出登陆请求;
b、所述服务器向所述客户端发出散列运算挑战信息;
c、所述客户端根据所述散列运算挑战信息计算出响应信息,并将所述响应信息发送给所述服务器;
d、所述服务器检验所述响应信息,如果通过认证,所述服务器向所述客户端发送登陆成功信息;否则,发送登陆失败信息并将不成功登陆的次数n加1,且所述客户端进入步骤a。
2、根据权利要求1所述的新型的身份认证方法,其特征在于,所述散列运算挑战信息包括:标准散列函数H(r,R)的值、随机数R的值、以及认证信息代码MAC的值。
3、根据权利要求2所述的新型的身份认证方法,其特征在于,所述随机数R的值是一128bit的数。
4、根据权利要求2或3所述的新型的身份认证方法,其特征在于,在步骤c中,所述客户端根据所述标准散列函数H(r,R)的值和所述随机数R的值计算出所述随机数r的值。
5、根据权利要求4所述的新型的身份认证方法,其特征在于,所述随机数r的值是20bit的数。
6、根据权利要求4所述的新型的身份认证方法,其特征在于,所述响应信息包括:所述随机数r的值、所述客户端的ID、所述客户端的用户口令P、以及所述认证信息代码MAC的值。
7、根据权利要求6所述的新型的身份认证方法,其特征在于,所述客户端通过SSL向所述服务器发送所述随机数r的值和所述用户口令P。
8、根据权利要求6所述的新型的身份认证方法,其特征在于,在步骤d中,所述服务器根据所述随机数r的值、所述用户口令P、所述ID、私钥KBob、以及所述不成功登陆的次数n,计算出散列函数H(r,H(P),ID,KBob,n)的值,并与所述认证信息代码MAC的值比较,如果相同,则通过认证,向所述客户端发送登陆成功信息;否则,发送登陆失败信息并将不成功登陆的次数n加1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100760315A CN101350719B (zh) | 2007-07-18 | 2007-07-18 | 新型的身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100760315A CN101350719B (zh) | 2007-07-18 | 2007-07-18 | 新型的身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101350719A true CN101350719A (zh) | 2009-01-21 |
| CN101350719B CN101350719B (zh) | 2012-08-22 |
Family
ID=40269320
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100760315A Active CN101350719B (zh) | 2007-07-18 | 2007-07-18 | 新型的身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101350719B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102065147A (zh) * | 2011-01-07 | 2011-05-18 | 深圳市易聆科信息技术有限公司 | 一种基于企业应用系统获取用户登录信息的方法及装置 |
| CN102118747A (zh) * | 2010-01-04 | 2011-07-06 | Tata咨询服务有限公司 | 用于无线通信装置和服务器之间的安全同步的系统和方法 |
| CN102148683A (zh) * | 2010-02-04 | 2011-08-10 | 上海果壳电子有限公司 | 基于hash芯片或加密芯片的双因素认证方法 |
| CN102291238A (zh) * | 2011-07-29 | 2011-12-21 | 朱新泉 | 一种网络用户身份认证方法 |
| CN102315937A (zh) * | 2010-07-09 | 2012-01-11 | 塔塔咨询服务有限公司 | 无线通信装置和服务器之间数据的安全交易系统和方法 |
| CN101557400B (zh) * | 2009-05-13 | 2012-02-22 | 厦门吉比特网络技术股份有限公司 | 网络游戏反外挂的实现方法 |
| CN105516980A (zh) * | 2015-12-17 | 2016-04-20 | 河南大学 | 一种基于Restful架构的无线传感器网络令牌认证方法 |
| CN106657166A (zh) * | 2017-03-09 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种身份验证的方法、终端设备以及服务器 |
| CN107086981A (zh) * | 2016-02-16 | 2017-08-22 | 爱特梅尔公司 | 受控安全代码认证 |
| CN107493302A (zh) * | 2017-09-28 | 2017-12-19 | 北京云衢科技有限公司 | 一种用户信息获取方法和装置 |
| CN111064565A (zh) * | 2019-12-31 | 2020-04-24 | 北京握奇智能科技有限公司 | 缓解DDoS攻击的方法 |
| CN111740982A (zh) * | 2020-06-18 | 2020-10-02 | 深圳市今天国际物流技术股份有限公司 | 一种基于算力证明的服务器防攻击方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1338841A (zh) * | 2000-08-11 | 2002-03-06 | 海南格方网络安全有限公司 | 计算机安全认证智能密钥 |
| CN1282042A (zh) * | 2000-09-01 | 2001-01-31 | 曾兴 | 一种新型的计算机联网保税监管系统及方法 |
| CN1599314A (zh) * | 2004-08-25 | 2005-03-23 | 湖南大学 | 一种基于s/key系统双向认证的一次性口令验证方法 |
-
2007
- 2007-07-18 CN CN2007100760315A patent/CN101350719B/zh active Active
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101557400B (zh) * | 2009-05-13 | 2012-02-22 | 厦门吉比特网络技术股份有限公司 | 网络游戏反外挂的实现方法 |
| CN102118747A (zh) * | 2010-01-04 | 2011-07-06 | Tata咨询服务有限公司 | 用于无线通信装置和服务器之间的安全同步的系统和方法 |
| CN102118747B (zh) * | 2010-01-04 | 2013-10-30 | Tata咨询服务有限公司 | 用于无线通信装置和服务器之间的安全同步的系统和方法 |
| CN102148683A (zh) * | 2010-02-04 | 2011-08-10 | 上海果壳电子有限公司 | 基于hash芯片或加密芯片的双因素认证方法 |
| CN102315937A (zh) * | 2010-07-09 | 2012-01-11 | 塔塔咨询服务有限公司 | 无线通信装置和服务器之间数据的安全交易系统和方法 |
| CN102315937B (zh) * | 2010-07-09 | 2015-04-15 | 塔塔咨询服务有限公司 | 无线通信装置和服务器之间数据的安全交易系统和方法 |
| CN102065147A (zh) * | 2011-01-07 | 2011-05-18 | 深圳市易聆科信息技术有限公司 | 一种基于企业应用系统获取用户登录信息的方法及装置 |
| CN102291238A (zh) * | 2011-07-29 | 2011-12-21 | 朱新泉 | 一种网络用户身份认证方法 |
| CN105516980A (zh) * | 2015-12-17 | 2016-04-20 | 河南大学 | 一种基于Restful架构的无线传感器网络令牌认证方法 |
| CN105516980B (zh) * | 2015-12-17 | 2018-11-13 | 河南大学 | 一种基于Restful架构的无线传感器网络令牌认证方法 |
| CN107086981A (zh) * | 2016-02-16 | 2017-08-22 | 爱特梅尔公司 | 受控安全代码认证 |
| CN107086981B (zh) * | 2016-02-16 | 2021-07-09 | 爱特梅尔公司 | 受控安全代码认证 |
| WO2018161777A1 (zh) * | 2017-03-09 | 2018-09-13 | 腾讯科技(深圳)有限公司 | 一种身份验证的方法、终端设备、服务器和存储介质 |
| CN106657166A (zh) * | 2017-03-09 | 2017-05-10 | 腾讯科技(深圳)有限公司 | 一种身份验证的方法、终端设备以及服务器 |
| CN106657166B (zh) * | 2017-03-09 | 2019-09-17 | 腾讯科技(深圳)有限公司 | 一种身份验证的方法、终端设备以及服务器 |
| CN107493302A (zh) * | 2017-09-28 | 2017-12-19 | 北京云衢科技有限公司 | 一种用户信息获取方法和装置 |
| CN111064565A (zh) * | 2019-12-31 | 2020-04-24 | 北京握奇智能科技有限公司 | 缓解DDoS攻击的方法 |
| CN111064565B (zh) * | 2019-12-31 | 2024-01-23 | 北京握奇智能科技有限公司 | 缓解DDoS攻击的方法 |
| CN111740982A (zh) * | 2020-06-18 | 2020-10-02 | 深圳市今天国际物流技术股份有限公司 | 一种基于算力证明的服务器防攻击方法和系统 |
| CN111740982B (zh) * | 2020-06-18 | 2022-02-11 | 深圳市今天国际物流技术股份有限公司 | 一种基于算力证明的服务器防攻击方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101350719B (zh) | 2012-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101350719B (zh) | 新型的身份认证方法 | |
| CN105162785B (zh) | 一种基于认证设备进行注册的方法和设备 | |
| US8627424B1 (en) | Device bound OTP generation | |
| CN101697540B (zh) | 一种p2p服务请求用户身份认证方法 | |
| CN105337949B (zh) | 一种SSO认证方法、web服务器、认证中心和token校验中心 | |
| CN103338201B (zh) | 一种多服务器环境下注册中心参与的远程身份认证方法 | |
| CN103067385B (zh) | 防御会话劫持攻击的方法和防火墙 | |
| RU2018121828A (ru) | Системы и способы для аутентификации онлайнового пользователя с использованием сервера безопасной авторизации | |
| CN107210916A (zh) | 条件登录推广 | |
| CN104767624B (zh) | 基于生物特征的远程认证协议方法 | |
| CN1832401A (zh) | 一种保护帐号密码安全的方法 | |
| CN104901809B (zh) | 基于口令和智能卡的远程认证协议方法 | |
| CN101969446A (zh) | 一种移动商务身份认证方法 | |
| CN106464493B (zh) | 包含一次性通行码的持久性认证系统 | |
| CN103905437A (zh) | 一种基于口令的远程认证协议方法 | |
| CN109088865A (zh) | 用户身份认证方法、装置、可读存储介质和计算机设备 | |
| CN105119721B (zh) | 一种基于智能卡的三因素远程身份认证方法 | |
| CN103347018A (zh) | 一种基于智能卡的多服务环境下远程身份认证方法 | |
| CN106506529A (zh) | 一种双向认证方法及系统 | |
| Kim et al. | A design of one-time password mechanism using public key infrastructure | |
| CN106060097B (zh) | 一种信息安全竞赛的管理系统及管理方法 | |
| CN108400962A (zh) | 一种多服务器架构下的认证和密钥协商方法 | |
| CN106789069A (zh) | 一种零知识身份认证方法 | |
| CN104734856B (zh) | 一种抗服务器端信息泄露的口令认证方法 | |
| CN106790138A (zh) | 一种政务云应用用户登录双因子验证的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |