CN101425897A - 一种用户认证方法、系统、服务器和用户节点 - Google Patents
一种用户认证方法、系统、服务器和用户节点 Download PDFInfo
- Publication number
- CN101425897A CN101425897A CN200710176473.7A CN200710176473A CN101425897A CN 101425897 A CN101425897 A CN 101425897A CN 200710176473 A CN200710176473 A CN 200710176473A CN 101425897 A CN101425897 A CN 101425897A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- valid period
- identity information
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用户认证方法、系统、服务器和用户节点,属于网络信息安全领域。方法包括:服务器接收用户提交的身份信息,向用户发送包含用户口令和有效期间的注册信息;用户根据用户口令和代数曲线的生成元点生成登录信息参数,向服务器发送登录信息;服务器根据身份信息、登录信息参数和有效期间生成服务器会话密钥,向用户发送用户会话密钥参数;用户生成用户会话密钥;服务器和用户根据各自生成的会话密钥进行相互认证。系统包括服务器和用户节点。一种服务器和一种用户节点。本发明通过构造一个代数曲线群和运用一个安全的哈希函数,优化了用户认证,对于服务器来讲,维护更简单,安全性增强,还适用于网格计算平台下的用户认证。
Description
技术领域
本发明涉及网络信息安全领域,特别涉及一种用户认证方法、系统、服务器和用户节点。
背景技术
近年来,网格计算无论是在学术领域还是在应用研究领域均得到了广泛深入的研究。网格计算,作为一种分布式计算模型,代表着一类新的系统。这些系统可以通过Internet的连接将各种异构的计算资源,如计算机、存储空间、传感器、应用软件和实验结果组合在一起,从而为更大范围内的用户群提供方便的访问。例如,当用户请求一些计算和数据资源时,网格可以通过Internet无缝地、透明地、动态地提供给他们,这种方式非常类似于电力网络供电给终端用户。
然而,由于网格计算的目的在于仅提供安全的网格服务资源给合法的用户,因此安全问题成为网格计算中一个非常重要的问题。为了阻止不合法的用户去访问网格资源,用户与服务器之间必需保证互相认证。
Chang等学者提出了一个有效的实用的基于口令的认证方案以解决认证问题。该方案具体方法步骤如下:
其中,U:用户;
S:可信任的服务器;
ID:用户公开的用户身份;
pw:用户低熵的口令;
K:服务器密钥;
p,q:两个大素数满足q|p-1;
g:GF(p)中阶为q的生成元;
E(x,y):对称加密算法以x作为密钥加密y;
H():安全的单向哈希函数。
服务器首先通过密钥K将(ID,E(K,pw))存放在数据库中。描述中为方便省略modp。
登录认证阶段:
第一步:用户U选择一个随机数r1,计算。然后,用户U将计算结果以及身份ID作为登录请求发送给服务器。
第二步:当服务器S接收到登录请求后,服务器首先根据身份ID从数据库中找到对应的E(K,pw),然后用K解密pw,之后再使用口令pw获取,选择一个随机数r2,计算服务器S的会话密钥 。服务器S计算和,并将计算结果发送给用户U。
变更口令阶段:
上述方案的缺点主要表现为以下几点:
1.需要使用对称加密算法,因而软(硬)件设计较为复杂;
2.服务器端需要维护存放(ID,E(K,pw))的验证表,增加了维护代价;
发明内容
为了优化用户认证,本发明实施例提供了一种用户认证方法、系统、服务器和用户节点。所述技术方案如下:
一种用户认证方法,所述方法包括:
服务器接收用户提交的身份信息,选择有效期间,根据所述身份信息和有效期间生成用户口令,向所述用户发送包含所述用户口令和有效期间的注册信息;
所述用户根据所述用户口令和代数曲线的生成元点生成登录信息参数,向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息;
所述服务器根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数,向所述用户发送所述用户会话密钥参数;
所述用户根据收到的用户会话密钥参数生成用户会话密钥;
所述服务器和用户根据各自生成的会话密钥进行相互认证。
一种用户认证的系统,所述系统包括:
服务器,用于接收用户节点提交的身份信息,选择有效期间,根据所述身份信息和有效期间生成用户口令,向所述用户节点发送包含所述用户口令和有效期间的注册信息;以及收到所述用户节点的登录信息后,根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数,向所述用户节点发送所述用户会话密钥参数;根据所述服务器会话密钥和所述用户节点进行认证;
用户节点,用于向所述服务器提交身份信息,在收到所述注册信息后,根据所述用户口令和代数曲线的生成元点生成登录信息参数,向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息,收到所述用户会话密钥参数后,根据收到的用户会话密钥参数生成用户会话密钥,根据所述用户会话密钥和所述服务器进行认证。
一种用户认证的服务器,所述服务器包括:
注册模块,用于接收所述用户节点提交的身份信息,选择有效期间,根据所述身份信息和有效期间生成用户口令,向所述用户节点发送包含所述用户口令和有效期间的注册信息;
响应模块,用于收到所述用户节点的登录信息后,根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数,向所述用户节点发送所述用户会话密钥参数;
认证模块,根据所述服务器会话密钥和所述用户节点进行认证。
一种用户认证的用户节点,所述用户节点包括:
登录模块,用于根据所述用户口令和代数曲线的生成元点生成所述登录信息参数,并向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息;
用户会话密钥生成模块,用于接收所述服务器返回的所述用户会话密钥参数,并根据收到的所述用户会话密钥参数生成所述用户会话密钥;
认证模块,用于根据所述用户会话密钥和所述服务器进行认证。
本发明实施例所述的技术方案仅需要一个代数曲线群的构造和一个安全的哈希函数的运用,从实现角度上与以往认证方案相比简单可行;对于服务器端,仅需要保存一个密钥,而不需要存贮用户口令表,便于维护,增强了安全性,同时实现了基于口令的双向认证。
附图说明
图1是本发明实施例1提供的一种用户认证方法流程图;
图2是本发明实施例2提供的一种用户变更登录口令的方法流程图;
图3是本发明实施例3提供的一种用户认证的系统示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例1
本发明实施例提供了一种用户认证方法,该方法包括:
服务器接收用户提交的身份信息,生成用户口令,向用户发送包含用户口令和有效期间的注册信息;用户生成登录信息参数,向服务器发送登录信息;服务器生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数,向用户发送用户会话密钥参数;用户根据收到的用户会话密钥参数生成用户会话密钥;服务器和用户根据各自生成的会话密钥进行认证。
其中,代数曲线可以为椭圆曲线、超椭圆曲线或圆锥曲线。如图1所示,本发明实施例以用户U作为访问资源的用户,以服务器S作为提供资源的可信任服务器,以代数曲线具体为椭圆曲线为例,基于椭圆曲线密码学技术提供了一种用户认证的方法,该方法包括以下步骤:
本实施例中涉及的符号如下:
U:用户;
S:可信任的服务器;
ID:用户公开的用户身份;
G:椭圆曲线E(Fp)上阶为q的子群,P=(xP,yP)为其生成元点;
D:均匀分布的字典空间,其大小为|D|=2k,48≤k≤112;
pw:取自于D中的用户低熵的口令;
K:服务器密钥;
h:安全的单向哈希函数,h:{0,1}*→{0,1}l,l=160;
[m]k:字符串m的最高k位比特;
i:口令pw的有效期间。
首先,需要进行基于椭圆曲线群的构造,即:
令p>3为一个安全的大素数,选择两个域元素a,b∈Fp满足4a3+27b2≠0modp,定义Fp上非奇异椭圆曲线方程E:y2=x3+ax+b mod p。即满足同余方程式y2=x3+ax+b mod p所有解(x,y)∈Fp×Fp的集合,加上无穷远点O。选择一个E(Fp)上的生成元点P=(xP,yP),其阶为q,并且P≠O。这样椭圆曲线E(Fp)上阶为q的子群G就构造出来了。
在注册阶段,用户向可信任服务器提交自己身份信息,本发明实施例中身份信息以身份ID为例,服务器经检查身份ID后,生成用户口令,并将携带有用户口令和有效期间的注册信息返回用户,完成用户在服务器上的注册。
步骤101:用户U向服务器S提交身份ID。
步骤102:服务器S对收到的用户U的身份ID进行有效性检查,选择有效期间i,通过服务器密钥K计算哈希值v=h(K||ID||i),生成用户口令pw=[v]k,并将携带有用户口令pw=[v]k以及有效期间i的注册信息返回用户U。
至此,注册阶段已经完成,希望登录用户可以根据身份ID、用户口令pw及其有效期间i进行下面的登录认证阶段:
步骤103:用户U选择一个随机数 ,其中是小于q并与q互素的所有正整数构成的群,并计算登录信息参数R1=(pw·r1)P,然后把其身份ID、R1和有效期间i作为登录信息(ID,R1,i)发送给服务器S。
步骤104:服务器S收到用户U发送的登录信息(ID,R1,i)后,获取用户身份ID和有效期间i,再根据原有的服务器密钥计算哈希值v=h(K||ID||i),用户口令pw=[v]k和服务器会话密钥参数R1′=pw-1R1=r1P。在中任意选取一个数r2,计算用户会话密钥参数R2=r2P,服务器会话密钥sk=r2R1′=r1r2P和h1=h(sk||R2),并把服务器响应消息(R2,h1)发送给用户U。
步骤105:用户U收到服务器S发送的(R2,h1)后,计算用户会话密钥sk′=r1R2=r1r2P,然后认证服务器S,此处具体通过检查h(sk′||R2)=h1是否成立完成验证,如果等式成立,则服务器S通过认证。否则,服务器S未通过认证。服务器S通过认证后,用户U计算并发送h2=h(sk′||ID)给服务器S。
步骤106:服务器S计算h2′=h(sk||ID),并对计算得出的h2′和收到的h2进行比较,如果等式h2′=h2成立,则用户U通过认证,并授权其访问资源。
此外,当用户U与服务器S之间通过了互相认证之后,sk=r1r2P作为会话密钥用于以后操作,例如,当会话密钥sk=r1r2P在用户U和服务器S之间共享后,他们之间就可以建立一条安全信道。
本发明实施例从实现角度上与现有技术提供的认证方案相比简单可行,仅需要一个椭圆曲线群的构造和一个安全的哈希函数的运用,同时对于服务器端,仅需要保存一个密钥,而不需要存贮用户口令表,便于维护,增强了安全性。
实施例2
如图2所示,本发明实施例提供了一种当用户与服务器之间通过了互相认证之后,用户变更登录口令的方法,该方法具体步骤如下:
步骤201:用户U通过和服务器S之间相互认证后建立的安全信道,将身份ID,旧的口令pw以及有效期间i发送给服务器S;
步骤202:服务器收到身份ID,旧的口令pw以及有效期间i后,检查等式pw=[h(K||ID||i)]k是否成立,如果成立,那么服务器S选择一个新的有效期间i′和pw′=[h(K||ID||i′)]k,并通过安全信道将(pw′,i′)发送给用户U,从而用户得到新的口令pw′和i′。
本发明实施例提供的用户变更登录口令的方法,服务器通过认证用户旧的口令和有效期间后生成新的有效期间和新的口令,并通过安全信道返回给用户,方法简单可行。
实施例3
如图3所示,本发明实施例提供一种用户认证的系统,包括:
服务器,用于接收用户节点提交的身份信息,选择有效期间,根据身份信息和有效期间生成用户口令,向用户节点发送包含用户口令和有效期间的注册信息;以及收到用户节点的登录信息后,根据身份信息、登录信息参数和有效期间生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数,向用户节点发送用户会话密钥参数;根据服务器会话密钥和用户节点进行认证,认证通过后,授权用户访问资源。
用户节点,用于向服务器提交身份信息,在收到注册信息后,根据用户口令和代数曲线的生成元点生成登录信息参数,向服务器发送包含身份信息、登录信息参数和有效期间的登录信息,收到用户会话密钥参数后,根据收到的用户会话密钥参数生成用户会话密钥,根据用户会话密钥和服务器进行认证,认证通过后,访问资源。
其中,代数曲线具体可以为椭圆曲线、超椭圆曲线或圆锥曲线。
实施例4
本发明实施例还提供了一种用户认证的服务器,具体包括:
注册模块,用于接收用户节点提交的身份信息,选择有效期间,根据身份信息和有效期间生成用户口令,向用户节点发送包含用户口令和有效期间的注册信息;
响应模块,用于收到用户节点的登录信息后,根据身份信息、登录信息参数和有效期间生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数,向用户节点发送用户会话密钥参数;
认证模块,根据服务器会话密钥和用户节点进行认证。
其中,代数曲线具体可以为椭圆曲线、超椭圆曲线或圆锥曲线。
认证通过后,服务器授权用户节点访问资源。
进一步还可以包括,口令更改模块,用于根据服务器密钥、身份信息和有效期间生成用户口令,判断生成的用户口令与旧的用户口令是否相等,如果相等,则选择一个新的有效期间并根据新的服务器密钥、身份信息和新的有效期间生成新的用户口令,并通过安全信道将新的用户口令和有效期间发送给用户节点。
实施例5
本发明实施例还提供了一种用户认证的用户节点,包括:
登录模块,用于根据用户口令和代数曲线的生成元点生成登录信息参数,并向服务器发送包含身份信息、登录信息参数和有效期间的登录信息;
用户会话密钥生成模块,用于接收服务器返回的用户会话密钥参数,并根据收到的用户会话密钥参数生成用户会话密钥;
认证模块,用于根据用户会话密钥和服务器进行认证。
认证通过后,用户节点得到服务器的授权,对资源进行访问。
如表1所示,将Chang、Yoon等方案以及发明实施例提供的技术方案在构造上进行比较。其中,Yoon等学者为了解决时间戳的问题,提出了一个比Chang的方案更为有效的基于口令的认证方案。
表1 三个认证方案之间的比较
从实现角度来讲,本发明实施例提供的技术方案的认证设计与现有技术认证方案相比特别简单,仅需要一个椭圆曲线群的构造和运用一个安全的哈希函数。对于服务器端来讲,由于仅需要保存一个密钥,而不需要存贮一张用户口令表,因此维护更为简单,安全性增强。为了达到1024比特RSA的强度,椭圆曲线群的阶只要160比特,因此传送的请求消息缩短。
本发明实施例所述的技术方案仅需要一个椭圆曲线群的构造和一个安全的哈希函数的运用,从实现角度上与以往认证方案相比简单可行;对于服务器端,仅需要保存一个密钥,而不需要存贮用户口令表,便于维护,增强了安全性,同时实现了基于口令的双向认证;此外,由于本发明实施例是基于椭圆曲线构造的,这样登录数据虽短,但可达到较高的安全性。当用户变更登录口令时,服务器通过认证用户旧的口令和有效期间后生成新的有效期间和新的口令,并通过安全信道返回给用户,方法简单可行。上述本发明实施例所述的技术方案,不仅可以作为一般认证,还适用于网格计算平台认证。
本发明实施例是基于椭圆曲线群构造的,也可以基于其他的代数曲线群来实现本发明实施例所述的方法,如基于超椭圆曲线群或圆锥曲线群等。
以上实施例提供的技术方案中部分步骤可以通过软件实现,软件存储在可读取的存储介质上,如计算机的软盘,硬盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (13)
1.一种用户认证方法,其特征在于,所述方法包括:
服务器接收用户提交的身份信息,选择有效期间,根据所述身份信息和有效期间生成用户口令,向所述用户发送包含所述用户口令和有效期间的注册信息;
所述用户根据所述用户口令和代数曲线的生成元点生成登录信息参数,向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息;
所述服务器根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数,向所述用户发送所述用户会话密钥参数;
所述用户根据收到的用户会话密钥参数生成用户会话密钥;
所述服务器和用户根据各自生成的会话密钥进行相互认证。
2.根据权利要求1所述的用户认证方法,其特征在于,所述服务器接收用户提交的身份信息,选择有效期间,根据所述身份信息和有效期间生成用户口令的步骤具体包括:
所述服务器接收用户提交的身份信息,对所述身份信息进行有效性检查;
所述服务器选择有效期间,将所述服务器的密钥、所述身份信息和所述有效期间连接后进行哈希计算,生成哈希值,选取所述哈希值的最高k位比特生成用户口令。
3.根据权利要求1所述的一种用户认证方法,其特征在于,所述用户根据所述用户口令和代数曲线的生成元点生成登录信息参数的步骤具体包括:
所述用户选择一个群中的随机数,将所述随机数、用户口令一起对代数曲线的生成元点进行点乘运算,生成登录信息参数。
4.根据权利要求1所述的一种用户认证方法,其特征在于,所述服务器根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数的步骤具体包括:
将所述服务器的密钥、所述身份信息和所述有效期间连接后进行哈希计算,生成哈希值,选取所述哈希值的最高k位比特生成用户口令;
将所述用户口令与登录信息参数进行点乘运算,生成服务器会话密钥参数;
选择一个群中的随机数,将所述随机数和服务器会话密钥参数进行点乘运算,生成服务器会话密钥;
将所述随机数和代数曲线的生成元点进行点乘运算,生成用户会话密钥参数。
5.根据权利要求1所述的一种用户认证方法,其特征在于,所述服务器和用户根据各自生成的会话密钥进行相互认证的步骤具体包括:
所述服务器将所述服务器会话密钥和用户会话密钥参数连接后进行哈希计算,生成第一哈希值,并发送给所述用户;
所述用户将所述用户会话密钥和用户会话密钥参数连接后进行哈希计算,生成第二哈希值,判断所述第一哈希值与所述第二哈希值是否相等,如果相等,所述服务器通过认证,并将所述用户会话密钥和身份信息连接后进行哈希计算,生成第三哈希值,并发送给所述服务器;
所述服务器将服务器会话密钥和身份信息连接后进行哈希计算,生成第四哈希值,判断所述第三哈希值与所述第四哈希值是否相等,如果相等,所述用户通过认证。
6.根据权利要求1所述的一种用户认证方法,其特征在于,所述方法还包括:
所述用户将身份信息、旧的用户口令以及有效期间通过与服务器认证后建立的安全信道发送给服务器;
所述服务器根据服务器密钥、所述身份信息和有效期间生成用户口令,判断所述生成的用户口令与所述旧的用户口令是否相等,如果相等,则所述服务器选择一个新的有效期间并根据所述新的服务器密钥、身份信息和新的有效期间生成新的用户口令,并通过安全信道将所述新的用户口令和有效期间发送给用户。
7.根据权利要求1-6中任一权利要求所述的用户认证方法,其特征在于,所述代数曲线具体为椭圆曲线、超椭圆曲线或圆锥曲线。
8.一种用户认证的系统,其特征在于,所述系统包括:
服务器,用于接收用户节点提交的身份信息,选择有效期间,根据所述身份信息和有效期间生成用户口令,向所述用户节点发送包含所述用户口令和有效期间的注册信息;以及收到所述用户节点的登录信息后,根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数,向所述用户节点发送所述用户会话密钥参数;根据所述服务器会话密钥和所述用户节点进行认证;
用户节点,用于向所述服务器提交身份信息,在收到所述注册信息后,根据所述用户口令和代数曲线的生成元点生成登录信息参数,向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息,收到所述用户会话密钥参数后,根据收到的用户会话密钥参数生成用户会话密钥,根据所述用户会话密钥和所述服务器进行认证。
9.根据权利要求8所述的用户认证系统,其特征在于,所述代数曲线具体为椭圆曲线、超椭圆曲线或圆锥曲线。
10.一种用户认证的服务器,其特征在于,所述服务器包括:
注册模块,用于接收所述用户节点提交的身份信息,选择有效期间,根据所述身份信息和有效期间生成用户口令,向所述用户节点发送包含所述用户口令和有效期间的注册信息;
响应模块,用于收到所述用户节点的登录信息后,根据所述身份信息、登录信息参数和有效期间生成服务器会话密钥,根据代数曲线的生成元点生成用户会话密钥参数,向所述用户节点发送所述用户会话密钥参数;
认证模块,根据所述服务器会话密钥和所述用户节点进行认证。
11.根据权利要求10所述的用户认证的服务器,其特征在于,所述代数曲线具体为椭圆曲线、超椭圆曲线或圆锥曲线。
12.如权利要求10所述的用户认证的服务器,所述服务器还包括:
口令更改模块,用于根据所述服务器密钥、所述身份信息和有效期间生成所述用户口令,判断所述生成的用户口令与所述旧的用户口令是否相等,如果相等,则选择一个新的有效期间并根据所述新的服务器密钥、身份信息和新的有效期间生成新的用户口令,并通过安全信道将所述新的用户口令和有效期间发送给用户节点。
13.一种用户认证的用户节点,其特征在于,所述用户节点包括:
登录模块,用于根据所述用户口令和代数曲线的生成元点生成所述登录信息参数,并向所述服务器发送包含所述身份信息、登录信息参数和有效期间的登录信息;
用户会话密钥生成模块,用于接收所述服务器返回的所述用户会话密钥参数,并根据收到的所述用户会话密钥参数生成所述用户会话密钥;
认证模块,用于根据所述用户会话密钥和所述服务器进行认证。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710176473.7A CN101425897B (zh) | 2007-10-29 | 2007-10-29 | 一种用户认证方法、系统、服务器和用户节点 |
EP08846871.5A EP2093927A4 (en) | 2007-10-29 | 2008-10-28 | AUTHENTICATION METHOD, SYSTEM, SERVER AND USER N UD |
PCT/CN2008/072863 WO2009059535A1 (fr) | 2007-10-29 | 2008-10-28 | Procédé d'authentification, système, serveur et nœud d'utilisateur |
US12/497,930 US8510556B2 (en) | 2007-10-29 | 2009-07-06 | Authentication method, system, server, and user node |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200710176473.7A CN101425897B (zh) | 2007-10-29 | 2007-10-29 | 一种用户认证方法、系统、服务器和用户节点 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101425897A true CN101425897A (zh) | 2009-05-06 |
CN101425897B CN101425897B (zh) | 2011-05-18 |
Family
ID=40616253
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200710176473.7A Expired - Fee Related CN101425897B (zh) | 2007-10-29 | 2007-10-29 | 一种用户认证方法、系统、服务器和用户节点 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8510556B2 (zh) |
EP (1) | EP2093927A4 (zh) |
CN (1) | CN101425897B (zh) |
WO (1) | WO2009059535A1 (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012022155A1 (zh) * | 2010-08-16 | 2012-02-23 | 中兴通讯股份有限公司 | 演进型节点b的身份认证方法及系统 |
WO2013143491A1 (zh) * | 2012-03-31 | 2013-10-03 | 华为终端有限公司 | 密钥信息处理方法及设备 |
CN103905437A (zh) * | 2014-03-22 | 2014-07-02 | 哈尔滨工程大学 | 一种基于口令的远程认证协议方法 |
CN103973433A (zh) * | 2013-01-31 | 2014-08-06 | 中国科学院空间科学与应用研究中心 | 一种基于计算关联成像的网络密钥分发方法及系统 |
CN106096379A (zh) * | 2016-06-29 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种计算节点的安全加固的方法及装置 |
CN107506602A (zh) * | 2017-09-07 | 2017-12-22 | 北京海融兴通信息安全技术有限公司 | 一种大数据健康预测系统 |
CN109347887A (zh) * | 2018-12-17 | 2019-02-15 | 郑州云海信息技术有限公司 | 一种身份认证的方法及装置 |
CN110890962A (zh) * | 2019-12-20 | 2020-03-17 | 支付宝(杭州)信息技术有限公司 | 认证密钥协商方法、装置、存储介质及设备 |
CN111818015A (zh) * | 2020-06-10 | 2020-10-23 | 胡全生 | 一种适用于远程节点访问的安全保护系统 |
WO2021168860A1 (zh) * | 2020-02-29 | 2021-09-02 | 华为技术有限公司 | 一种密钥更新方法及相关装置 |
CN114065171A (zh) * | 2021-11-11 | 2022-02-18 | 北京海泰方圆科技股份有限公司 | 一种身份认证方法、装置、系统、设备及介质 |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7650509B1 (en) * | 2004-01-28 | 2010-01-19 | Gordon & Howard Associates, Inc. | Encoding data in a password |
US20070194881A1 (en) | 2006-02-07 | 2007-08-23 | Schwarz Stanley G | Enforcing payment schedules |
KR100901872B1 (ko) * | 2006-12-01 | 2009-06-09 | 한국전자통신연구원 | 그리드 서비스를 이용한 이종 노매딕/이동 통신 네트워크간 협업 시스템 및 그 방법 |
US9026267B2 (en) | 2007-03-09 | 2015-05-05 | Gordon*Howard Associates, Inc. | Methods and systems of selectively enabling a vehicle by way of a portable wireless device |
CN101425897B (zh) | 2007-10-29 | 2011-05-18 | 上海交通大学 | 一种用户认证方法、系统、服务器和用户节点 |
US8918791B1 (en) * | 2011-03-10 | 2014-12-23 | Applied Micro Circuits Corporation | Method and system for queuing a request by a processor to access a shared resource and granting access in accordance with an embedded lock ID |
US8799165B2 (en) | 2012-01-11 | 2014-08-05 | Rawllin International Inc. | Electronic signature security algorithms |
US11037147B2 (en) * | 2012-07-09 | 2021-06-15 | The Western Union Company | Money transfer fraud prevention methods and systems |
US9665997B2 (en) | 2013-01-08 | 2017-05-30 | Gordon*Howard Associates, Inc. | Method and system for providing feedback based on driving behavior |
CN103166761B (zh) * | 2013-02-05 | 2015-11-04 | 清华大学深圳研究生院 | 指纹锁及身份认证方法 |
US8928471B2 (en) | 2013-03-14 | 2015-01-06 | Gordon*Howard Associates, Inc. | Methods and systems related to remote tamper detection |
US9840229B2 (en) | 2013-03-14 | 2017-12-12 | Gordon*Howard Associates, Inc. | Methods and systems related to a remote tamper detection |
US9378480B2 (en) | 2013-03-14 | 2016-06-28 | Gordon*Howard Associates, Inc. | Methods and systems related to asset identification triggered geofencing |
US9035756B2 (en) | 2013-03-14 | 2015-05-19 | Gordon*Howard Associates, Inc. | Methods and systems related to remote tamper detection |
US20140325225A1 (en) * | 2013-04-27 | 2014-10-30 | Quantron Inc. | Self-authenticated method with timestamp |
US9013333B2 (en) | 2013-06-24 | 2015-04-21 | Gordon*Howard Associates, Inc. | Methods and systems related to time triggered geofencing |
KR101516881B1 (ko) * | 2013-09-23 | 2015-05-04 | 숭실대학교산학협력단 | 사용자 인증 방법 및 장치 |
US20150227733A1 (en) * | 2014-02-10 | 2015-08-13 | Hyundai Motor Company | Automatic login system and automatic login method |
CN105812124A (zh) * | 2014-12-31 | 2016-07-27 | 环达电脑(上海)有限公司 | 密码生成方法和密码验证方法 |
US9701279B1 (en) | 2016-01-12 | 2017-07-11 | Gordon*Howard Associates, Inc. | On board monitoring device |
US11025425B2 (en) | 2018-06-25 | 2021-06-01 | Elasticsearch B.V. | User security token invalidation |
US11223626B2 (en) | 2018-06-28 | 2022-01-11 | Elasticsearch B.V. | Service-to-service role mapping systems and methods |
US11196554B2 (en) * | 2018-07-27 | 2021-12-07 | Elasticsearch B.V. | Default password removal |
CN109347626B (zh) * | 2018-09-03 | 2021-05-25 | 杭州电子科技大学 | 一种具有反跟踪特性的安全身份认证方法 |
US11023598B2 (en) | 2018-12-06 | 2021-06-01 | Elasticsearch B.V. | Document-level attribute-based access control |
CN115828200B (zh) * | 2022-11-03 | 2023-08-25 | 广州市迪声音响有限公司 | 一种动态均衡增益参数的可视化曲线界面系统 |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09252323A (ja) * | 1996-01-11 | 1997-09-22 | Sony Corp | 通信システムおよび通信装置 |
US5737424A (en) * | 1996-06-04 | 1998-04-07 | Software Security, Inc. | Method and system for secure distribution of protected data using elliptic curve systems |
US6119229A (en) * | 1997-04-11 | 2000-09-12 | The Brodia Group | Virtual property system |
GB9709136D0 (en) * | 1997-05-02 | 1997-06-25 | Certicom Corp | A log-on verification protocol |
CA2255285C (en) * | 1998-12-04 | 2009-10-13 | Certicom Corp. | Enhanced subscriber authentication protocol |
US6446205B1 (en) * | 1998-12-10 | 2002-09-03 | Citibank, N.A. | Cryptosystems with elliptic curves chosen by users |
US6757825B1 (en) * | 1999-07-13 | 2004-06-29 | Lucent Technologies Inc. | Secure mutual network authentication protocol |
US6802000B1 (en) * | 1999-10-28 | 2004-10-05 | Xerox Corporation | System for authenticating access to online content referenced in hardcopy documents |
US7096354B2 (en) * | 2000-08-04 | 2006-08-22 | First Data Corporation | Central key authority database in an ABDS system |
FI115098B (fi) * | 2000-12-27 | 2005-02-28 | Nokia Corp | Todentaminen dataviestinnässä |
US7246238B2 (en) * | 2001-01-25 | 2007-07-17 | Schlumberger Omnes, Inc. | System and method for providing integration via a dial-up interface |
US20030065956A1 (en) * | 2001-09-28 | 2003-04-03 | Abhijit Belapurkar | Challenge-response data communication protocol |
CN100454809C (zh) * | 2001-12-20 | 2009-01-21 | 西北工业大学 | 利用一次性口令进行交易认证的方法 |
US7024548B1 (en) * | 2003-03-10 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device |
CN1774687A (zh) * | 2003-04-14 | 2006-05-17 | 松下电器产业株式会社 | 使用挑战响应原理的客户端服务器鉴别 |
CN1444169A (zh) * | 2003-04-23 | 2003-09-24 | 浙江大学 | 一种椭圆曲线上基于公钥证书的身份认证方法 |
US7895436B2 (en) * | 2003-10-28 | 2011-02-22 | The Foundation For The Promotion Of Industrial Science | Authentication system and remotely-distributed storage system |
JP2005165631A (ja) * | 2003-12-02 | 2005-06-23 | Sony Corp | 情報処理システム、情報処理装置および方法、並びにプログラム |
US7373509B2 (en) * | 2003-12-31 | 2008-05-13 | Intel Corporation | Multi-authentication for a computing device connecting to a network |
US7694335B1 (en) * | 2004-03-09 | 2010-04-06 | Cisco Technology, Inc. | Server preventing attacks by generating a challenge having a computational request and a secure cookie for processing by a client |
US7606918B2 (en) * | 2004-04-27 | 2009-10-20 | Microsoft Corporation | Account creation via a mobile device |
ES2420158T3 (es) * | 2004-07-15 | 2013-08-22 | Anakam, Inc. | Sistema y método para bloquear un inicio de sesión de red no autorizado usando una contraseña robada |
PT1854263E (pt) * | 2005-02-04 | 2011-07-05 | Qualcomm Inc | Técnica de bootstrapping para protecção de comunicações sem fios |
CN1925390A (zh) * | 2005-11-17 | 2007-03-07 | 胡玉莲 | 实用不可展的公钥加密系统 |
CN1980127A (zh) * | 2005-12-08 | 2007-06-13 | 中国银联股份有限公司 | 口令认证系统及口令认证方法 |
CN101425897B (zh) | 2007-10-29 | 2011-05-18 | 上海交通大学 | 一种用户认证方法、系统、服务器和用户节点 |
-
2007
- 2007-10-29 CN CN200710176473.7A patent/CN101425897B/zh not_active Expired - Fee Related
-
2008
- 2008-10-28 EP EP08846871.5A patent/EP2093927A4/en not_active Withdrawn
- 2008-10-28 WO PCT/CN2008/072863 patent/WO2009059535A1/zh active Application Filing
-
2009
- 2009-07-06 US US12/497,930 patent/US8510556B2/en not_active Expired - Fee Related
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012022155A1 (zh) * | 2010-08-16 | 2012-02-23 | 中兴通讯股份有限公司 | 演进型节点b的身份认证方法及系统 |
CN102378165A (zh) * | 2010-08-16 | 2012-03-14 | 中兴通讯股份有限公司 | 演进型节点b的身份认证方法及系统 |
CN102378165B (zh) * | 2010-08-16 | 2014-06-11 | 中兴通讯股份有限公司 | 演进型节点b的身份认证方法及系统 |
WO2013143491A1 (zh) * | 2012-03-31 | 2013-10-03 | 华为终端有限公司 | 密钥信息处理方法及设备 |
CN103973433A (zh) * | 2013-01-31 | 2014-08-06 | 中国科学院空间科学与应用研究中心 | 一种基于计算关联成像的网络密钥分发方法及系统 |
CN103905437A (zh) * | 2014-03-22 | 2014-07-02 | 哈尔滨工程大学 | 一种基于口令的远程认证协议方法 |
CN103905437B (zh) * | 2014-03-22 | 2017-02-22 | 哈尔滨工程大学 | 一种基于口令的远程认证协议方法 |
CN106096379A (zh) * | 2016-06-29 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种计算节点的安全加固的方法及装置 |
CN107506602A (zh) * | 2017-09-07 | 2017-12-22 | 北京海融兴通信息安全技术有限公司 | 一种大数据健康预测系统 |
CN109347887A (zh) * | 2018-12-17 | 2019-02-15 | 郑州云海信息技术有限公司 | 一种身份认证的方法及装置 |
CN110890962A (zh) * | 2019-12-20 | 2020-03-17 | 支付宝(杭州)信息技术有限公司 | 认证密钥协商方法、装置、存储介质及设备 |
WO2021120871A1 (zh) * | 2019-12-20 | 2021-06-24 | 支付宝(杭州)信息技术有限公司 | 认证密钥协商方法、装置、存储介质及设备 |
WO2021168860A1 (zh) * | 2020-02-29 | 2021-09-02 | 华为技术有限公司 | 一种密钥更新方法及相关装置 |
CN115104282A (zh) * | 2020-02-29 | 2022-09-23 | 华为技术有限公司 | 一种密钥更新方法及相关装置 |
CN115104282B (zh) * | 2020-02-29 | 2023-08-22 | 华为技术有限公司 | 一种密钥更新方法及相关装置 |
CN111818015A (zh) * | 2020-06-10 | 2020-10-23 | 胡全生 | 一种适用于远程节点访问的安全保护系统 |
CN114065171A (zh) * | 2021-11-11 | 2022-02-18 | 北京海泰方圆科技股份有限公司 | 一种身份认证方法、装置、系统、设备及介质 |
CN114065171B (zh) * | 2021-11-11 | 2022-07-08 | 北京海泰方圆科技股份有限公司 | 一种身份认证方法、装置、系统、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
EP2093927A4 (en) | 2013-10-09 |
US20090271624A1 (en) | 2009-10-29 |
CN101425897B (zh) | 2011-05-18 |
EP2093927A1 (en) | 2009-08-26 |
US8510556B2 (en) | 2013-08-13 |
WO2009059535A1 (fr) | 2009-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101425897B (zh) | 一种用户认证方法、系统、服务器和用户节点 | |
CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
CN1777096B (zh) | 用于口令保护的方法和设备 | |
Awasthi et al. | An enhanced remote user authentication scheme using smart cards | |
CN101938473A (zh) | 单点登录系统及单点登录方法 | |
Giri et al. | Efficient biometric and password based mutual authentication for consumer USB mass storage devices | |
CN103853950A (zh) | 一种基于移动终端的认证方法及移动终端 | |
Lee et al. | Two factor authentication for cloud computing | |
CN108289026A (zh) | 一种卫星网络中的身份认证方法及相关设备 | |
He et al. | Security Analysis of a Dynamic ID-based Authentication Scheme for Multi-server Environment Using Smart Cards. | |
Alzuwaini et al. | An Efficient Mechanism to Prevent the Phishing Attacks. | |
Al-Janabi et al. | Development of certificate authority services for web applications | |
Sharma et al. | Dual factor third‐party biometric‐based authentication scheme using quantum one time passwords | |
Khan et al. | A new dynamic identity‐based authentication protocol for multi‐server environment using elliptic curve cryptography | |
CN107248997A (zh) | 多服务器环境下基于智能卡的认证方法 | |
Ramasamy et al. | New Remote Mutual Authentication Scheme using Smart Cards. | |
CN103685216A (zh) | 信息处理设备及其系统和方法、程序以及客户端终端 | |
CN107947923A (zh) | 一种无可信中心的属性密钥分发方法 | |
Al-Attab et al. | Authentication scheme for insecure networks in cloud computing | |
Chhikara et al. | Construction of elliptic curve cryptography‐based authentication protocol for internet of things | |
CN113422681B (zh) | 一种基于量子密码的区块链数字签名方法、装置及系统 | |
JP5099771B2 (ja) | 二要素認証システム | |
Tsague et al. | DS-NIZKP: A ZKP-based Strong Authentication using Digital Signature for Distributed Systems | |
Choudhury et al. | Cryptanalysis of ‘A novel user-participating authentication scheme’ | |
Zheng et al. | Lightweight Certificateless Two-Factor Authentication Protocol Using Smart Cards |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110518 Termination date: 20181029 |