CN101453458B - 基于多变量的动态密码口令双向认证的身份识别方法技术 - Google Patents
基于多变量的动态密码口令双向认证的身份识别方法技术 Download PDFInfo
- Publication number
- CN101453458B CN101453458B CN 200710195695 CN200710195695A CN101453458B CN 101453458 B CN101453458 B CN 101453458B CN 200710195695 CN200710195695 CN 200710195695 CN 200710195695 A CN200710195695 A CN 200710195695A CN 101453458 B CN101453458 B CN 101453458B
- Authority
- CN
- China
- Prior art keywords
- password
- user
- authentication
- server
- dynamic password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明基于多变量的动态密码口令双向认证的身份识别方法技术,其核心是采用事件同步的动态口令生成技术,以客户端向服务器端进行同步的方法,建立了安全的认证流程。不仅能够完全阻止现有的各种攻击方法的攻击,而且还完全兼容现有的基于静态口令认证的网络应用系统。具有系统升级改造成本低,所需时间短,用户使用习惯不需改变等优点。另外,用户可以自主选择是否采用强身份认证方法来保护自己帐号的安全,满足了不同层次用户的安全需要。
Description
技术领域
本发明涉及信息安全领域中的身份识别认证技术,特别涉及基于一次一密方式的动态口令密码的技术领域和基于B/S和C/S构架下的网络系统中进行双向认证的技术领域。
背景技术
身份认证是保证系统安全稳定运行不可缺少、至关重要的一步。用户在访问应用系统时,应该首先通过某种身份验证机制来验证用户的身份与所宣称的是否一致。目前常用的身份认证技术有静态口令认证和动态口令认证。
静态口令认证方式采用“用户帐号+静态口令=某人身份”的认证方式,口令由用户自行设定。登录应用系统时同时输入用户帐号和口令,如果与后台系统预留的相同即认为是合法授权用户,反之则为非法用户。采用静态口令确认用户身份的方式因为简单易行,一直在很多领域广泛使用。但这种认证方式的缺点在于用户的帐号固定不变,口令也是经常不变,随着使用次数的增加,口令泄露的可能性越来越大。特别是互联网上的应用系统,由于网络技术自身的缺陷和操作系统的安全漏洞,造成间谍软件和木马程序等泛滥成灾,用户的帐号和口令更容易被窃取,给合法用户造成损失,严重影响了互联网应用系统的安全。
动态口令认证是提高口令安全强度的一种有效手段。令牌(动态口令发生器)和认证系统共享一定的秘密信息和相同的口令算法,用户将令牌产生的动态口令提交给认证系统进行判定,如果认证系统产生的动态口令与用户提交的一致,则系统认为是合法用户,反之则认为是非法用户,从而达到身份认证的目的。动态口令是不断变化的,从前面使用过的口令不能推测出后面将要使用的口令,且口令使用后就立刻作废,即使被他人看到或窃取到也不能再次使用,从而确保了用户帐号的安全。
正所谓“道高一尺,魔高一丈”,攻击者不能破解动态口令系统,又不能重用从用户那里偷来的动态口令,于是就出现了“骗”用户口令的攻击方法------“网络钓鱼”(Phishing)。
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,诱骗用户输入信用卡号码、口令、帐号等身份相关信息。这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。
网络钓鱼除了发送欺骗性垃圾邮件这种攻击方式外,还存在跨站攻击、DNS中毒攻击、网络流量进行重定向攻击(pharming)等形式。这些攻击都是通过利用网络技术的缺陷或浏览器软件本身的技术漏洞,让用户仅从页面本身看不出谁真谁假。由于很多电子商务或在线银行应用的复杂性,他们的网站经常使用HTML框架结构或其他复杂的页面结构架设,这也可能使得一个终端用户很难判断一个特定的网页是否合法。欺骗者通过使用多种技术的组合,可以隐藏一个精心设计的网页的真实来源,也使得一个无戒备心的用户很可能被引诱去访问钓鱼者的假冒网站,不知不觉地泄漏他们的认证口令信息和所需要的数字身份信息,从而成为一次成功的网络钓鱼攻击的又一个受害者。
木马病毒技术也在不断地发展之中。曾经轰动一时的、由潘祖继编写的“密宝终结者”木马就是其中的典型代表。该木马能有效突破“盛大密宝”(一种动态口令令牌)的动态口令保护机制,窃取由“密宝”保护的网络游戏账号和密码。其攻击原理是:木马程序在截取到用户的动态口令后会向服务器发送一个错误的数据封包,使服务器误以为这是用户输入的口令有错误。因而黑客可以得到一个有效的用户账号和密码。这说明在强大的利益诱惑面前,攻击者的手段层出不穷,简单地使用动态口令并不能完全使用户的帐号更安全,迫切需要一种更安全的认证方法来抵御“网络钓鱼”和木马窃取等攻击手段。
通过研究可以发现,现有系统的身份认证是服务器对用户的单向认证,用户没有安全易行的方式来对服务器的真假进行鉴别,因此才造成“网络钓鱼”和各式各样木马病毒攻击的泛滥。只有采用客户端与服务器端的双向认证,才能彻底防止“网络钓鱼”这样的攻击手段。现有的双向认证协议基本上都是采用数字证书(PKI)来实现的,但采用数字证书进行双向认证的系统也存在诸如用户使用困难、认证系统建设成本高、与现有系统不兼容且改造成本高、时间长等缺点,使采用数字证书的系统难以大规模地推广使用。有的系统简单地在服务器和客户之间采用相互盘问/应答(challenge/response)方式来进行双向认证,也会存在一定的安全漏洞(如平行会话攻击等)。
本发明基于一次一变的动态口令实现了服务器和客户之间的双向认证,能够防止现有的各种攻击手段,并且能够兼容现有的基于静态口令认证的各种网络应用系统,具有系统升级改造成本低,所需时间短,用户使用习惯不需改变等优点。另外,用户可以自主选择是否采用强身份认证方法来保护自己帐号的安全,满足了不同层次用户的安全需要。
发明内容
采用动态口令进行身份认证,其本质仍然是对用户和认证系统之间预先共享的秘密信息(称为共享密钥)进行认证,只不过不是要用户直接传送这个共享密钥,而是用这个共享密钥作用于某个不断变化的同步信息,产生一次一变的数据作为认证使用的口令。同步信息为用户与认证系统所共有的、随时保持一致的信息,因此具有共享密钥的双方随时都能生成相同的口令,这就是动态口令身份认证的原理。根据生成动态口令时所使用的同步信息的不同,可以将动态口令分为基于时间同步的动态口令和基于事件同步的动态口令两大类。美国专利US-4720860及其后续专利US-4885778公开了基于时间同步的动态口令产生方法,该方法要求用户端和认证服务器端都必须有精确相同的时间。而基于事件同步的动态口令中的“事件”,就是用户请求认证的次数,本质上也就是令牌产生口令的次数。在理想的情况下,用户每产生一个动态口令都能得到服务器的认证,因此用户端和服务器端随时都具有相同的计数值。采用时间同步的动态口令认证系统,为了避免因时钟偏差而引起的认证错误,一般都采取每间隔一定时间(如一分钟)产生一个口令的方法,而认证服务器则具有更大的时间窗口,一般为三至五分钟。而采用事件同步的动态口令,产生连续的两个口令没有时间间隔上的要求,能够迅速、实时地生成动态口令。由于网络中断或口令输入错误等原因,不能保证每次令牌产生的口令都能得到系统的认证,因此客户端的同步计数器值往往都略大于认证服务器端的同步计数器值,所以认证系统都采用服务器端向客户端同步的方法来保持双方的同步,即每次认证成功后都将服务器端的计数值改为和客户端相同的计数值。
本发明的核心是采用基于事件同步的动态口令生成技术,以客户端向服务器端进行同步的方法,建立起安全的认证过程。
为了描述的方便,下面对本发明中需要用到的符号进行定义和说明。
Kcs:服务器和用户之间共享的秘密密钥,用于加密同步计数器值产生一次一变的动态口令;
P(n):同步计数器值为n时所对应的动态口令;
Ns:服务器端的同步计数器值;
Nc:客户端的同步计数器值;
Fd:用户是否使用动态口令进行二次身份认证,1=是,0=否;
Fs:静态口令认证成功与否的标志,1=成功,0=失败;
A:口令属性,区别需要认证的口令是静态口令还是动态口令,0=静态口令,1=动态口令。
整个认证系统在开始运行之前,需要完成一些系统初始化的工作,包括令牌的初始化和认证服务器数据库的初始化设置。令牌的初始化工作包括:令牌和认证服务器双方设定相同的共享密钥Kcs(但任意两个令牌之间的共享密钥都不同),设定相同的同步计数器值,即Ns=Nc=0。认证服务器数据库的初始化设置包括:用户注册,设置静态口令,将用户帐号与某个令牌进行绑定,设置该用户是否使用动态口令进行二次身份认证的标志,将所有用户的静态口令认证成功与否的标志Fs设置为0。
认证流程分为四步,如附图1所示。以下是每步特征的简要概述:
第1步:用户提交帐号和静态口令给认证服务器进行第一次身份认证;
第2步:服务器对用户提交的静态口令进行认证。认证通过后将同步计数器值增加1,将生成的动态口令传送到用户端,供用户对服务器的身份进行认证;
第3步:用户对服务器显示的动态口令进行认证。用户核对服务器显示的动态口令是否与自己令牌产生的动态口令相同。如果相同则提交下一次的动态口令进行再次身份认证。
第4步:服务器对用户提交的动态口令进行认证。
为了兼容现有的静态口令认证系统,本发明将静态口令认证作为整个认证过程的第1步。对于不需要采用更安全的措施来保障帐号安全的用户(如网络游戏的最初体验用户),只要静态口令认证成功就可以进入服务系统。而对帐号安全有更高要求的用户,则需要再进行第二次的动态口令认证。
保证认证信息的新鲜性是认证协议中最基本的组成部份。本发明中保证认证信息的新鲜性是通过每次用户静态口令认证成功后都要将该用户在服务器端的同步计数器值Ns增加1的方法来实现的。服务器提交给用户进行身份认证的口令就是根据最新的同步计数器值产生的。假冒的服务器(钓鱼网站)是不能每次都产生计数器值增加1后的动态口令的,从而和用户产生的动态口令不能匹配,很容易被用户识别为非法网站。为了更醒目地向用户表示服务器的身份,认证服务器可以将动态口令以图形方式嵌入用户注册时预留的图片(不是必要条件,但建议这样做)中,显示给登录用户,并请用户验证后输入下一个动态口令。
如果用户输入了正确的帐号和静态口令后,突然发生用户端的网络中断或计算机系统断电等意外事情,认证服务器端的同步计数值就和用户端的同步计数器器产生了差异,往往是Ns>Nc,这就会造成下次认证时服务器端显示的动态口令与用户令牌上产生的口令不一致的情况,此时用户只要用令牌多产生几次口令,就会找到与服务器端相同的口令,用户和服务器的同步计数器值又重新得以同步。用令牌多产生几次口令的过程就是客户端向服务器端同步的过程。
对认证协议的一些攻击方法,是要并发地执行多个认证请求连接。为了防御这些攻击方法,确保用户与认证系统连接的唯一性,认证服务器需要在静态口令认证成功后记录下本次连接用户的IP地址。在后续的动态口令认证过程中,还要验证这两次连接的IP地址是否相同,两次的IP地址不同就可以确定存在着攻击者,认证不能通过。这在采用第三方独立认证服务器时更是必须要验证的信息。
设置静态口令认证成功与否的标志Fs,是为了确保认证时总是保持先静态口令认证再动态口令认证的顺序。这是为了防止攻击者通过现有的和将来的各种各样方法窃取用户的动态口令,并使用窃取得来的动态口令冒充合法用户进入系统。
认证服务器端对用户提交的动态口令进行验证方法是,判断用户提交的口令是不是认证服务器提交给用户的那个口令的下一个口令,即将同步计数器值Ns增加1,并将新值写入到数据库中,以新的同步计数器值产生的口令是否与用户提交的相同。两者相同则说明用户提交的动态口令是正确的,认证通过,否则认证失败。
为了保证认证过程的完整和封闭性,在进行动态口令认证后,无论是认证成功还是认证失败,都要将静态口令认证成功的标志位置为0,防止可能出现的攻击方法。
本发明完全支持采用第三方独立认证服务器进行身份认证。采用第三方独立认证服务器不仅可以提高认证效率,而且有利于企业对多个应用系统采用同一个认证服务器来进行身份认证,这将更有利于企业实现诸如身份管理、单点登录、内网审核等安全管理功能。采用第三方独立认证服务器进行身份认证时的示意图如附图2所示。
从图中可以看出,客户端和接入服务器之间的通信过程和传送的数据都是和附图1完全相同,不同之处在于增加了接入服务器和第三方独立认证服务器之间的通信过程。接入服务器传送给认证服务器的数据至少包括“用户帐号”“用户口令”“口令属性”和“IP地址”这四项,其中的口令属性表明了需要认证的口令是静态口令还是动态口令,认证服务器根据口令属性选择相应的认证方法。而认证服务器传送给接入服务器的数据主要包括认证结果(认证成功、认证失败、需要动态口令再认证)和发送给用户对接入服务器进行认证的动态口令P(Ns+1)。接入服务器主要起着信息转发的作用。
需要指明的是,接入服务器与第三方独立认证服务器之间所采用的通信协议要具有数据完整性检验功能,如标准的Radius协议等,以确保认证服务器提供的认证结果是完整可信的。
附图说明
图1是基于动态口令的双向认证过程示意图
图2是采用第三方独立认证服务器时的双向认证过程示意图
图3是认证服务器的认证流程图
图4是用户正常登录过程示意图
图5是阻止“密宝终结者”木马攻击的原理示意图
图6是阻止“平行会话攻击”的原理示意图
具体实施方式
本发明的实施过程主要包括系统初始化设置和认证服务器启用两大过程。1系统初始化设置:这个过程主要包括用户注册、口令令牌的初始化、用户帐号与令牌的绑定以及认证数据库的初始化设置等。用户注册过程包括用户申请登录帐号、设置静态口令以及选择是否需要开通更安全的动态口令双向身份认证。每个口令令牌都有唯一的令牌序列号,以便与其它的令牌相区别。口令令牌的初始化过程是在口令令牌中产生与认证服务器相同的共享密钥和与认证服务器相同的同步计数器值。每个令牌的序列号不同从而产生的共享密钥也都不同,同步计数器值既可随机产生,也可设定为某个固定的值,只要保证令牌中的值与认证服务器中同一序列号的令牌值相同即可。用户帐号与令牌的绑定过程就是将用户帐号与用户使用的口令令牌之间建立起一一对应的关系,这是通过在认证数据库中建立二者的关联实现的。认证数据库的初始化设置主要包括将所有用户的静态口令认证成功标志置为0,表示还没有通过静态口令认证。
2认证服务器启用:当认证服务器完成初始化设置以后,就可以正式启用。为了更详细地描述认证服务器的认证过程,结合附图3所示的认证流程图进行说明。
当认证服务器接收到接入服务器发送过来的待认证数据后,从认证数据中取出用户的帐号信息,然后在认证服务器的数据库中根据用户帐号查找出该用户的静态口令、是否使用动态口令进行认证的标志Fd、静态口令认证是否成功的标志Fs、同步计数器值Ns等认证信息。然后根据认证数据中的口令属性A,选择相应的认证方法。
如果A=0,表示待认证数据中的口令是用户的静态口令,根据与认证服务器中保留的静态口令是否相同来进行认证。如果两者相同,则说明静态口令认证成功。如果两者不同,则说明用户提交的静态口令不正确,返回“认证失败”的标识,拒绝用户的本次认证请求。静态口令认证成功后,再根据Fd的值来进行判断。如果Fd=0,表示用户不需要进行动态口令二次认证,则认证服务器返回“认证成功”的标识,同意用户的接入请求;如果Fd=1,表示用户还需要进行动态口令身份认证,认证服务器于是记录下本次用户的IP地址,将静态口令认证成功的标志Fs置为1,将同步计数器值Ns增加1,并将以上数据回写到数据库中。根据新的Ns产生一个口令返回给用户,作为用户对服务器进行身份认证的口令,同时返回“需要动态口令再认证”的标识。
如果A=1,表示待认证数据中的口令是用户的动态口令。认证服务器先检查该用户的静态口令认证是否成功的标志Fs。如果Fs=0,则说明该用户尚未完成静态口令认证,是非法的认证数据,应当拒绝该用户的认证请求,返回“认证失败”的标识。如果Fs=1,说明用户完成了静态口令认证。认证服务器于是将静态口令认证成功的标志Fs置为0,将同步计数器值Ns增加1,并将以上数据回写到数据库中。根据新的Ns产生一个口令P(Ns),并与用户提交的动态口令P(Nc)进行比较,如果两者不同,则说明用户提交的动态口令不正确,返回“认证失败”的标识,拒绝用户的本次认证请求。如果两者相同,则说明用户提交的动态口令是正确的,但还需要验证本次认证用户的IP地址是否与进行静态口令认证用户的IP地址相同。如果两次认证的IP地址不同,则说明这两次认证不是来源于同一用户,其中之一肯定是来自非法攻击者,所以应当拒绝该用户的认证请求,返回“认证失败”的标识。如果两次认证的IP地址相同,则说明用户完成了认证系统所有的认证要求,是系统的合法用户,认证服务器返回“认证成功”的标识,同意用户的接入请求。
为了更直观地了解不同情形下的认证过程,下面举三个认证实例来进行解释说明。
假设客户令牌序列号为SD00100200000008,初始时刻客户端和服务器端的同步计数值都为0。用户帐号为“Test001”,静态口令为“MyBirthDay+1”。各个不同同步计数器值所对应的动态口令分别为:P(1)=17297397,P(2)=95017043,P(3)=20014829,P(4)=07196154,P(5)=84028807。
示例1
本示例演示的是用户正常的登录过程,示意图见附图4。
用户端在第1步中将用户帐号“Test001”和静态口令“MyBirthDay+1”提交给服务器,用户的IP地址为“61.134.1.1”。认证服务器端接收到用户提交的数据后,根据用户帐号取出相关认证信息,验证用户的静态口令,正确。于是将标志Fs置为1,将同步计数器值Ns增加1,即由0变为1,记录下用户的IP地址。
认证服务器在第2步中将产生的动态口令“17297397”转发给用户,由用户根据这个口令来判断服务器的真伪。用户收到服务器传送过来的口令,然后在自己的口令令牌上也产生一个口令,此时用户口令令牌中的同步计数器值Nc从0增加为1,产生的动态口令也是“17297397”,与服务器的口令相同,于是通过了对服务器的认证。
用户端在第3步中用口令令牌再产生一个动态口令,即同步计数器值为2的口令“95017043”,提交给服务器再次进行认证。用户的IP地址仍然为“61.134.1.1”。认证服务器接收到请求认证数据后,根据口令的属性判断这是动态口令,首先验证静态口令认证是否成功。Fs=1,说明用户已通过了静态口令认证,于是将Fs置为0,将同步计数器值Ns增加1,并将这些数据写回数据库中。此时的Ns=2,产生的相应口令为“95017043”,与用户提交的动态口令相同。再验证两次认证过程中用户的IP地址是否相同,验证结果是相同,于是返回“认证成功”的标识,同意用户接入服务器。
示例2
本示例演示的是阻止“密宝终结者”木马攻击的原理,示意图见附图5。
假设攻击者利用“密宝终结者”木马程序和其它木马程序,已经得到了示例1中用户的帐号和静态口令,并在认证过程的第3步截获了用户提交给认证服务器的动态口令“95017043”,同时修改了用户认证数据包中的内容,用户的动态口令认证过程不成功。此时认证服务器端的状态特征为:同步计数值Ns=2,静态口令认证成功标志Fs=0。以下是攻击者得到用户动态口令后的认证过程:
攻击者在客户端输入用户帐号“Test001”和静态口令“MyBirthDay+1”,用户的IP地址为“61.138.1.2”。认证服务器端接收到攻击者提交的数据后,根据用户帐号取出相关认证信息,验证用户的静态口令,正确。于是将标志Fs置为1,将同步计数器值Ns增加1,即由2变为3,记录下用户的IP地址。
认证服务器在第2步中将产生的动态口令“20014829”转发给用户,由用户根据这个口令来判断服务器的真伪。攻击者不验证服务器的真伪。
攻击者在第3步中输入截获的动态口令,即“95017043”,提交给服务器再次进行认证。攻击者的IP地址仍然为“61.138.1.2”。认证服务器接收到认证请求数据后,根据口令的属性判断这是动态口令,首先验证静态口令认证是否成功。Fs=1,说明用户已通过了静态口令认证,于是将Fs置为0,将同步计数器值Ns增加1,并将这些数据写回数据库中。此时的Ns=4,产生的相应口令为“07196154”,与攻击者提交的口令不同,认证失败。于是返回“认证失败”的标识,不同意攻击者接入服务器。这说明本认证协议成功地阻止了“密宝终结者”木马病毒的攻击。
示例3
本示例演示的是阻止“平行会话攻击”的原理,示意图见附图6。
所谓“平行会话攻击”,是指攻击者特意并发运行多个协议进程,企图在多个运行的进程中,得到某个进程需要的答案。
攻击者的第1步是在IP地址为“61.138.1.2”的机器上输入用户名“Test001”和正确的静态口令,服务器端通过验证后传送过来一个口令“20014829”,攻击者为了得到这个口令的下一个口令,于是在另一台IP地址为“61.138.1.3”的机器上输入用户名“Test001”和正确的静态口令,服务器端通过验证后传送过来一个口令“07196154”,攻击者于是可以完成第一个认证过程,在IP地址为“61.138.1.2”的机器上输入口令“07196154”,而此时认证服务器端的同步计数器值增加到了5,与Ns=5相对应的动态口令为“84028807”,与客户端提交的动态口令不同,故认证失败。
Claims (12)
1.一种兼容静态口令认证的、基于多变量动态密码口令的双向认证身份识别认证方法,其主要特征为认证流程包括如下4步:
第1步:用户提交帐号和静态口令给认证服务器进行第一次身份认证请求;
第2步:服务器对用户提交的静态口令进行认证:第一次身份认证请求通过后服务器将同步计数器值增加1,根据新的同步计数器值产生一个口令返回给用户,该口令作为用户对服务器进行身份认证的口令,并将生成的动态口令传送到用户端,供用户对服务器的身份进行认证;用户收到服务器传送过来的口令,然后在自己的口令令牌上也产生一个口令,此时用户口令令牌中的同步计数器值Nc从0增加为1;
第3步:用户对服务器显示的动态口令进行认证:用户核对服务器显示的动态口令是否与自己令牌产生的该动态口令相同,该判断过程为第二次身份认证;如果相同,用户则将用户端口令令牌再产生一个动态口令作为下一个动态口令,即同步计数器值同时变更为2的口令,提交给服务器再次进行认证,认证服务器接收到请求认证数据后,将同步计数器值加1,服务器产生一个新的动态口令;
第4步:服务器新产生的动态口令与用户提交的动态口令进行认证过程为第三次身份认证,如果服务器在此同步计数器值对应计算产生的动态口令与客户端提交的动态口令一致,则视为该认证过程成功,否则,视该认证过程失败。
2.如权利要求1所述的认证方法,其特征是该方法完全兼容静态口令认证系统,静态口令认证是整个认证过程的第一步。
3.如权利要求1所述的认证方法,其特征是认证系统保证认证信息新鲜性的方法是:每次用户在静态口令认证成功后都要将该用户的同步计数器值增加1,并保存在认证服务器的数据库中。
4.如权利要求1所述的认证方法,其特征是系统之间的同步是以客户端向服务器端进行同步。
5.如权利要求1所述的认证方法,其特征是保证认证请求连接唯一性的方法是:每次用户的静态口令认证成功后都要记录下本次连接中用户的IP地址。
6.如权利要求1所述的认证方法,其特征是对用户身份的认证总是保持先静态口令认证后动态口令认证的顺序。
7.如权利要求1所述的认证方法,其特征是验证用户提交的动态口令的方法是:将认证服务器端的同步计数器值NS增加1,并以新的同步计数器值产生的口令与用户提交的口令进行比较,若两者相同则用户提交的动态口令正确,不同则用户提交的动态口令不正确,认证失败。
8.如权利要求1所述的认证方法,其特征是认证服务器对动态口令进行验证时,无论认证是否成功都要将静态口令认证成功标志位置0。
9.如权利要求1所述的认证方法,其特征是在对动态口令进行验证后,还要检验提交动态口令时的IP地址是否与提交静态口令时的IP地址相同。若两者相同则认证成功,不同则认证失败。
10.如权利要求1所述的认证方法,其特征是支持第三方独立身份认证服务器,接入服务器需要向认证服务器传送的数据包括用户帐号、用户口令、口令属性和用户IP地址4项。
11.如权利要求10所述的认证方法,其特征是第三方独立身份认证服务器与接入服务器之间的通信协议具有数据完整性检验功能。
12.如权利要求10所述的认证方法,其特征是第三方独立身份认证服务器传送给接入服务器的认证结果信息包括“认证成功”“认证失败”“需要动态口令再认证”三项。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710195695 CN101453458B (zh) | 2007-12-06 | 2007-12-06 | 基于多变量的动态密码口令双向认证的身份识别方法技术 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710195695 CN101453458B (zh) | 2007-12-06 | 2007-12-06 | 基于多变量的动态密码口令双向认证的身份识别方法技术 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101453458A CN101453458A (zh) | 2009-06-10 |
| CN101453458B true CN101453458B (zh) | 2013-07-10 |
Family
ID=40735482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710195695 Expired - Fee Related CN101453458B (zh) | 2007-12-06 | 2007-12-06 | 基于多变量的动态密码口令双向认证的身份识别方法技术 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101453458B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8789166B2 (en) | 2009-10-30 | 2014-07-22 | Feitian Technologies Co., Ltd. | Verification method and system thereof |
| CN101699820B (zh) * | 2009-10-30 | 2013-02-13 | 飞天诚信科技股份有限公司 | 动态口令的认证方法和装置 |
| CN101847189A (zh) * | 2010-04-29 | 2010-09-29 | 钱袋网(北京)信息技术有限公司 | 基于动态口令处理方法和装置 |
| CN102468958A (zh) * | 2010-11-03 | 2012-05-23 | 虎昂科技股份有限公司 | 硬件锁装置认证方法及其相关硬件锁装置 |
| CN102164141B (zh) * | 2011-04-24 | 2014-11-05 | 陈珂 | 保护账号安全的方法 |
| CN102148837A (zh) * | 2011-05-11 | 2011-08-10 | 上海时代亿信信息科技有限公司 | 一种动态令牌双向认证方法及系统 |
| CN102833220B (zh) * | 2011-06-17 | 2014-12-31 | 同方股份有限公司 | 一种基于动态口令的密钥同步方法及系统 |
| CN103368732A (zh) * | 2012-03-26 | 2013-10-23 | 虎昂科技股份有限公司 | 通用串行总线装置认证方法及其相关通用串行总线装置 |
| CN103795724B (zh) * | 2014-02-07 | 2017-01-25 | 陈珂 | 一种基于异步动态口令技术的保护账户安全的方法 |
| CN104168329A (zh) * | 2014-08-28 | 2014-11-26 | 尚春明 | 云计算及互联网中的用户二次认证方法、装置和系统 |
| CN104283691B (zh) * | 2014-11-03 | 2018-11-27 | 深圳市奇付通科技有限公司 | 一种基于动态口令的双向身份认证方法及系统 |
| CN104580177B (zh) * | 2014-12-26 | 2018-04-27 | 广州酷狗计算机科技有限公司 | 资源提供方法、装置和系统 |
| CN104580199B (zh) * | 2014-12-31 | 2018-12-28 | 上海动联信息技术股份有限公司 | 一种基于微信的动态口令认证系统及认证方法 |
| CN106161367A (zh) * | 2015-04-07 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种动态口令验证方法及系统、客户端和服务器 |
| CN105184606A (zh) * | 2015-08-25 | 2015-12-23 | 山东开创集团有限公司 | 一种分销系统的子系统与服务器数据通信的方法 |
| CN105721159A (zh) * | 2016-01-20 | 2016-06-29 | 浪潮(北京)电子信息产业有限公司 | 一种操作系统身份认证方法及系统 |
| CN107395627B (zh) * | 2017-08-22 | 2020-07-17 | 河海大学 | 一种基于单向函数的轻量级认证协议 |
| CN107835155B (zh) * | 2017-10-11 | 2020-11-24 | 飞天诚信科技股份有限公司 | 一种双认证保护方法及装置 |
| CN108833395B (zh) * | 2018-06-07 | 2021-12-03 | 北京网迅科技有限公司杭州分公司 | 一种基于硬件接入卡的外网接入认证系统及认证方法 |
| CN110096861A (zh) * | 2019-04-12 | 2019-08-06 | 檀鹏程 | 一种基于生物特征的双向分布式身份验证系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466273A (zh) * | 2002-09-06 | 2004-01-07 | 联想(北京)有限公司 | 一种无线设备间进行连接认证的方法 |
| CN1599314A (zh) * | 2004-08-25 | 2005-03-23 | 湖南大学 | 一种基于s/key系统双向认证的一次性口令验证方法 |
-
2007
- 2007-12-06 CN CN 200710195695 patent/CN101453458B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466273A (zh) * | 2002-09-06 | 2004-01-07 | 联想(北京)有限公司 | 一种无线设备间进行连接认证的方法 |
| CN1599314A (zh) * | 2004-08-25 | 2005-03-23 | 湖南大学 | 一种基于s/key系统双向认证的一次性口令验证方法 |
Non-Patent Citations (1)
| Title |
|---|
| 陈航 等.《基于SHA和RSA算法实用有效的双向身份认证系统》.《计算机安全》.2006,(第04期), * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101453458A (zh) | 2009-06-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101453458B (zh) | 基于多变量的动态密码口令双向认证的身份识别方法技术 | |
| US8893251B2 (en) | System and method for embedded authentication | |
| EP1922632B1 (en) | Extended one-time password method and apparatus | |
| US8332627B1 (en) | Mutual authentication | |
| TWI436627B (zh) | 使用瀏覽器認證線上交易的方法 | |
| US9736150B2 (en) | Authentication system and method | |
| CN1937498A (zh) | 一种动态密码认证方法、系统及装置 | |
| WO2018021708A1 (ko) | 공개키 기반의 서비스 인증 방법 및 시스템 | |
| JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| JP4698751B2 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| Morii et al. | Research on integrated authentication using passwordless authentication method | |
| EP2514135B1 (en) | Systems and methods for authenticating a server by combining image recognition with codes | |
| CN101867588A (zh) | 一种基于802.1x的接入控制系统 | |
| CN101207483A (zh) | 一种双向双因子认证方法 | |
| JP2009003501A (ja) | ワンタイムパスワード認証システム | |
| WO2010070297A1 (en) | System for web-site verification | |
| CN113032761A (zh) | 保护远程认证 | |
| KR100982181B1 (ko) | 오티피 통합 인증 처리 시스템과 그 제어방법 | |
| WO2015108924A2 (en) | Authentication system | |
| Ionita | Secure Single Sign-On using CAS and OpenID | |
| TWI625643B (zh) | 無線感測網路的匿名認證方法 | |
| WO2023126133A1 (en) | Method for managing a remote server | |
| US20110231656A1 (en) | System and methods for authenticating a receiver in an on-demand sender-receiver transaction | |
| CN116664124A (zh) | 联机授权方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130710 Termination date: 20161206 |