CN101459516B - 一种动态口令安全登录方法 - Google Patents

Abstract

一种动态口令安全登录方法，设置客户端和服务器拥有相同参数的权值同步模型，包括如下步骤：客户端发起登录请求，将用户名发给服务器；服务器产生一个随机数，返回给客户端；客户端和服务器各自计算得到：M＝User|Passwd|R，H＝SHA1(M)，F＝LFSR(H)，并根据随机数序列F映射计算得到相同的权值W^C＝W^S；客户端根据随机数，让权值同步模型学习P＝R％n次，其中R为随机数，n为预设值，将更新P次后的权值向量W^C，经Hash运算后SHA1(W^C)发送给服务器；服务器同样让权值同步模型学习P次，得到更新P次后的权值向量W^S并计算其Hash值SHA1(W^S)；如果SHA1(W^C)＝SHA1(W^S)认证成功，否则失败。本发明使用简单、安全高效、成本低。

Description

一种动态口令安全登录方法

技术领域

本发明涉及一种动态口令登录方法。

背景技术

面对开放的网络环境下，用户的安全登录是至关重要的。目前，各类Web网站的用户登录一般都基于用户名和口令的认证方式实现，服务器端存放着用户名和口令的相关信息，通过比对来自客户端的登录信息以完成安全认证。在密码技术尚无普及之前，一些网站(尤其是一些免费服务供应站点)在发送用户登录口令时，直接将口令的明文发送至服务器完成比对。针对明文口令传输，黑客利用网络抓包工具即可直接截获用户口令，极为不安全。因此，针对口令登录的安全问题，已出现各种不同的登录技术。我们根据每次用户登录时向服务器传输的登录信息是否相同，将目前业界的各类登录方案分成静态口令登录和动态口令登录两大类。下面就两类口令登录方案的现状，分别给出简要的描述及优缺点分析：

(1)静态口令方式

无加密技术：直接将用户名和口令明文发送至服务器。例如，我们对tom.com的免费邮箱登录系统(非安全登录方式)进行抓包分析，发现如下图所示，用户名和密码都采用明文传递。该方案中，用户口令无论在网络上传送还是在服务器用户数据库中的保存都采用明文处理，极不安全。

Hash运算：目前一般Web网站最为流行的方式，即将用户口令先通过Hash运算得到口令的Hash值，将Hash值传递给服务器，服务器通过与用户数据库中对应用户的口令Hash值比对，完成对用户口令的认证。例如对Yahoo.com的免费邮箱登录系统分析，获得如下图所示的用户名和密码，即口令已经过Hash运算成为一串Hash值(passwd＝d778d18dc52e8e3230b2839c1b7dfddc)。

该方案的特点是实现简单、口令安全，一般可采用JavaScript等浏览器端程序实现客户端的Hash运算功能，即使口令的Hash值被抓包分析也无法从Hash值中计算获得口令明文，因此口令加密的安全性依赖于Hash函数的安全性。但是，该方案无法抵抗重放攻击，即网络中的黑客可简单地将截获的Hash值直接重新发送至服务器以骗取服务器认证。存在重放攻击的根本原因在于每次客户端发送的Hash值是不变的，跟客户端向服务器发起的连接请求或时间无关。

HTTPS安全连接：目前PKI环境下的SSL协议已被业界广泛认为具有最高安全强度的解决方案，它采用数字证书认证建立安全的加密通道，HTTPS支持Web方式下的SSL协议。因此，目前一些大型商用网站都支持HTTPS安全连接，如Hotmail等邮箱登录。

该方案直接使用HTTPS证书认证，输入的口令直接在SSL加密通道下传递，安全性高。但存在的最大问题是配置HTTPS服务器需购买数字证书服务，成本高昂，一般的网站无法接受。另外，针对服务器证书单向认证方案(目前大部分网站都采用该形式)，通过较深入的技术手段HTTPS也面临中间人攻击。

综合目前存在的静态口令登录方式，简单的方案尽管高效但容易受到重放攻击，而HTTPS安全登录方式则存在配置复杂、成本高、效率低等问题。

(2)动态口令方式

动态Hash运算：针对一般的Hash口令登录方式，服务器每次接受连接请求时为客户端产生一个随机值返回给客户端，客户端先为用户口令计算Hash值再将该Hash值和随机值结合在一起计算一个动态的Hash值发送至服务器，服务器利用用户数据库中的口令Hash值和产生的随机值，计算同样的Hash值进行安全比对。

该方案可为每次用户登录产生不一样的Hash值，可避免简单的重放攻击和中间人攻击，但是其安全性完全依赖于Hash函数的安全性。同时，服务器端产生随机数的算法如果被公开或破解，例如截获JavaScript可分析随机数的发生函数，则网络黑客可对其发起中间人攻击。另外，密码学界已提出了对目前一些流行Hash算法，如MD5、SHA1等的攻击方法，因此该方案的安全问题值得关注。

公钥加密：利用RSA等公钥加密算法，客户端登录之前先向服务器发起一个临时登录请求，服务器动态产生一个公钥私钥对，将私钥保留并将公钥回复给客户端，客户端再将输入的口令用服务器公钥加密后发送至服务器，服务器利用其私钥解密用户加密的口令以获得对用户口令的认证。国内著名的腾讯网(QQ邮箱)登录时曾采用过此类方案(目前已支持安全方式登录)。

该方案的特点是用户口令在网上经公钥加密后传送，不可破解，但客户端需公钥技术的支持，对浏览器实现来说运算量较大。同时，尽管客户端每次向服务器连接可获得不同的公钥，即口令密文也每次不同，但是该方案由于对服务器的认证，因此无法抵抗中间人攻击，即黑客可利用伪造服务器产生公钥对分发给客户端以骗取客户端信任。

令牌(Token)一次性动态口令：One-Time Password，即一次性动态口令认证方式是一种安全级别较高的口令验证系统，一般在客户端需一个被称为令牌Token的手持设备产生每次登录的一个动态口令，口令传送到服务器后，服务器端采用同样的Token算法产生相同的动态口令比对，最常用的方法是基于时间戳的口令发生装置。

该类方案的优点是口令完全动态产生，具有一次性口令的安全特点，但问题是口令登录系统部署复杂、成本高，且存在Token设备的时间同步等维护成本。

动态口令登录技术是一种普遍被接受的安全登录方式，但目前存在的很多方案难免存在使用复杂、构建成本高等问题。

发明内容

为了克服已有的动态口令登录方法的使用复杂、不能兼顾安全性和成本的不足，本发明提供一种使用简单、安全高效、成本低的动态口令安全登录方法。

本发明解决其技术问题所采用的技术方案是：

一种动态口令安全登录方法，在所述登录方法中，设置客户端和服务器拥有相同参数的权值同步模型，所述登录方法包括如下步骤：

(1)、客户端发起登录请求，将用户名发给服务器；

(2)、服务器产生一个随机数，返回给客户端；

(3)、客户端和服务器各自计算得到：M＝User|Passwd|R，H＝SHA1(M)，F＝LFSR(H)，其中User表示用户名，Passwd表示用户口令，R表示随机数，“|”表示消息的级联，并根据随机数序列F映射计算得到相同的权值W^C＝W^S；

(4)、客户端根据随机数，让权值同步模型学习P＝R％n次，其中R为随机数，n为预设值，将更新P次后的权值向量W^C，经Hash运算后SHA1(W^C)发送给服务器；

(5)、服务器同样让权值同步模型学习P次，得到更新P次后的权值向量W^S并计算其Hash值SHA1(W^S)；如果SHA1(W^C)＝SHA1(W^S)认证成功，否则失败。

(6)、动态口令登录结束。

作为优选的一种方案：所述的权值同步模型由两个具备相同离散参数的特殊神经网络构成，每个神经网络由K个具有离散输入和权值的感知器组成。定义每个感知器的输出值计算公式为：

${\mathrm{\σ}}_i=\mathrm{sign}\left(\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{W}_{\mathrm{ij}}{X}_{\mathrm{ij}}\right),$

其中x_ij(i＝1，2，...K；j＝1，2，...，N)为第i个感知器的N维输入向量，w_ij(i＝1，2，...K；j＝1，2，...，N)为第i个感知器的N维权值向量，x_ij取值为+1或-1，w_ij取值为区间[-L，+L]内的整数(L为模型选定的正整数)。

符号函数定义为：

$\mathrm{Sign}\left(X\right)=\left\{\begin{array}{cc}+1& X\&GreaterEqual;0\\ -1& X<0\end{array}\right.$

定义神经网络的最终输出值计算公式为：

$\mathrm{\&tau;}=\mathrm{sign}\left(\underset{i=1}{\overset{K}{\mathrm{\&Pi;}}}{\mathrm{\&sigma;}}_i\right)$  ，i＝1，2，...，K。

作为优选的再一种方案：在所述步骤(2)中，M＝User|Passwd|R|URL，URL表示服务器域名。

本发明的技术构思为：两个输入向量动态变化但完全相同具有特定结构的新型离散神经网络模型(下文中将具体介绍该模型)通过比较各自的输出是否相同，不断更新各自的权值向量，通过若干步这样的互学习后，最终可实现两个神经网络的权值同步(我们称已达到权值同步的模型为权值同步模型，关于权值同步的实现过程及其它应用可参考已递交的专利申请200710156220.3)。当实现权值同步后，通过输入向量的不断变化，模型的两个权值会不断更新但始终将保持同步，这种权值同步的保持特性即可用于设计口令的动态变化。

本发明的目的就是设计一个由客户端和服务器组成的权值同步模型，利用权值同步的特性，构建一个结合传统Hash运算和权值同步技术的新型动态口令登录模型，使每次传输的认证口令与权值同步相关。所发明的登录方法选用ActiveX控件技术实现浏览器客户端的权值同步计算模型，对用户完全透明，即用户按传统的用户名和口令框输入自己的用户名和口令，权值同步模型将完成动态口令的计算与认证，就算用户在不同的网站设置了相同的用户名和口令，本方案也可保障产生完全不同的动态登录口令。

采用Hash运算和权值同步模型，下面先介绍离散的权值同步模型。参照图1，图1是离散的权值同步模型结构图示。模型输入向量为X，权值向量为W，输入向量元素x_ij(i＝1，2，...K；j＝1，2，...，N)及中间输出值σ_i(i＝1，2，...K)的取值都为+1或-1，对应权值向量元素值w_ij的取值空间为区间[-L，+L]中的整数(L为正整数)，τ为权值同步模型的最终输出值，取值范围也为+1或-1，因为：

$\mathrm{Sign}\left(X\right)=\left\{\begin{array}{cc}+1& X\&GreaterEqual;0\\ -1& X<0\end{array}\right.$

${\mathrm{\&sigma;}}_i=\mathrm{sign}\left(\underset{j=1}{\overset{N}{\mathrm{\&Sigma;}}}{W}_{\mathrm{ij}}{X}_{\mathrm{ij}}\right)$

$\mathrm{\&tau;}=\mathrm{sign}\left(\underset{i=1}{\overset{K}{\mathrm{\&Pi;}}}{\mathrm{\&sigma;}}_i\right)$

下面假设客户端和服务器构成一个权值同步模型，记权值向量、输入向量、中间输出值、最终输出值分别为：W^C、X^C、σ^C、τ^C和W^S、X^S、σ^S、τ^S。

权值同步模型的学习与更新方法如下：当输出相等时τ^C＝τ^S，在C，S两端，选择所有中间输出与最终输出相等的权值分量，即选择满足：

${\mathrm{\&sigma;}}_i^C={\mathrm{\&tau;}}^C$ 的权值分量

作如下方式的权值更新：

$W_{\mathrm{ij}}^C=W_{\mathrm{ij}}^C-X_{\mathrm{ij}}^C{\mathrm{\&sigma;}}_i$

其中，权值向量元素的取值保持在区间[-L，L]内，即：

$W_{\mathrm{ij}}^C=\left\{\begin{array}{cc}L& W_{\mathrm{ij}}^C\&GreaterEqual;L\\ -L& W_{\mathrm{ij}}^C\&le;0\end{array}\right.$

显然，对于权值同步模型，已实现了W^C＝W^S，而由于X^C＝X^S始终成立，因此后续的学习过程中τ^C＝τ^S将始终成立，这也将确保权值始终同步W^C＝W^S。

本发明的有益效果主要表现在：

(1)思路新颖，非经典全新方法。突破传统基于Hash、Token或公钥技术的动态口令登录技术，具有较大创新意义。

(2)流程简单，易于开发。该方法的软件实现对浏览器客户端运算要求低，适用于各类浏览器端的开发，建议采用ActiveX控件技术以加强程序安全性。

(3)运行效率高、计算耗费低。该方法不涉及大数运算，程序仅需执行简单的加法运算和异或操作，执行速度快。

(4)操作简便、移植性好。采用传统的输入框输入用户名和口令的使用模式，无需额外硬件设备，容易被接受和推广。登录模型部署简单，移植性好，适用于各类平台。

(5)安全性高。权值同步模型属于完全非线性变换，能抵抗各类密码分析；登录时的口令传送采用二次Hash值加强保护；方案采用服务器随机数方法，可有效抵抗重放攻击和中间人攻击；方案添加了URL计算，可有效预防用户因使用习惯问题在不同网站设置相同用户名和密码引起的安全问题。

附图说明

图1是离散的权值同步模型结构图。

图2是基于权值同步和Hash的动态口令登录流程图。

具体实施方式

下面结合附图对本发明作进一步描述。

参照图2，一种动态口令安全登录方法，在所述登录方法中，设置客户端和服务器拥有相同参数的权值同步模型，所述登录方法包括如下步骤：

(1)、客户端发起登录请求，将用户名发给服务器；

(2)、服务器产生一个随机数，返回给客户端；

(3)、客户端和服务器各自计算得到：M＝User|Passwd|R，H＝SHA1(M)，F＝LFSR(H)，其中User表示用户名，Passwd表示用户口令，R表示随机数，“|”表示消息的级联，并根据随机数序列F映射计算得到相同的权值W^C＝W^S；

(4)、客户端根据随机数，让权值同步模型学习P＝R％n次，其中R为随机数，n为预设值，将更新P次后的权值向量W^C，经Hash运算后SHA1(W^C)发送给服务器；

(5)、服务器同样让权值同步模型学习P次，得到更新P次后的权值向量W^S并计算其Hash值SHA1(W^S)；如果SHA1(W^C)＝SHA1(W^S)认证成功，否则失败。

(6)、动态口令登录结束。

所述的权值同步模型描述如下：模型参数定义：

模型由两个具备相同离散参数的特殊神经网络构成，每个神经网络由K个具有离散输入和权值的感知器组成。定义每个感知器的输出值计算公式为：

${\mathrm{\&sigma;}}_i=\mathrm{sign}\left(\underset{j=1}{\overset{N}{\mathrm{\&Sigma;}}}{W}_{\mathrm{ij}}{X}_{\mathrm{ij}}\right),$

其中x_ij(i＝1，2，...K；j＝1，2，...，N)为第i个感知器的N维输入向量，w_ij(i＝1，2，...K；j＝1，2，...，N)为第i个感知器的N维权值向量，x_ij取值为+1或-1，w_ij取值为区间[-L，+L]内的整数(L为模型选定的正整数)。

符号函数定义为：

$\mathrm{Sign}\left(X\right)=\left\{\begin{array}{cc}+1& X\&GreaterEqual;0\\ -1& X<0\end{array}\right.$

定义神经网络的最终输出值计算公式为：

$\mathrm{\&tau;}=\mathrm{sign}\left(\underset{i=1}{\overset{K}{\mathrm{\&Pi;}}}{\mathrm{\&sigma;}}_i\right)$ ，i＝1，2，...，K

参数初始化操作：

记权值同步模型的两个神经网络为P^C，P^S，相应的权值向量、输入向量、最终输出值分别记为：W^C、X^C、σ^C、τ^C和W^S、X^S、σ^S、τ^S。

初始化参数如下：

W^C＝W^S，X^C＝X^S。

其中，X^C(t)＝X^S(t)，这里的时间参数t指每一步权值同步互学习后，两方的权值向量保持同步。

权值更新操作：

给定一个权值同步的学习步数值n，双方的权值向量按如下更新公式执行n次更新操作。

对满足 ${\mathrm{\&sigma;}}_i^C={\mathrm{\&tau;}}^C$ 和 ${\mathrm{\&sigma;}}_i^S={\mathrm{\&tau;}}^S$ 的所有权值分量

W^S，计算：

$W_{\mathrm{ij}}^C=W_{\mathrm{ij}}^C-X_{\mathrm{ij}}^C{\mathrm{\&sigma;}}_i^C$ 、 $W_{\mathrm{ij}}^S=W_{\mathrm{ij}}^S-X_{\mathrm{ij}}^S{\mathrm{\&sigma;}}_i^S$

记n次更新操作后的权值向量为：W^C’、W^S’。

结论：W^C’＝W^S’。

在所述步骤(2)中，M＝User|Passwd|R|URL，URL表示服务器域名。

本实施例结合传统的随机数发生器LFSR(LFSR为密码学中的公知技术)和Hash算法SHA1(SHA1算法也是密码学中的公知技术)，我们给出一个新型的动态口令登录方案如图2所示。设置客户端C和服务器S拥有相同参数(K＝3，L＝3，N＝100)的权值同步模型，User表示用户名，Passwd表示用户口令，R表示随机数，URL表示服务器域名，“|”表示消息的级联。登录方案的具体描述如下：

(1)C发起登录请求，将User发给S；

(2)S产生一个随机数R，返回给C；

(3)C和S各自计算得到M＝User|Passwd|R|URL，H＝SHA1(M)，F＝LFSR(H)，并根据随机数序列F映射计算得到相同的权值W^C＝W^S，具体的做法是每取3位二进制F_{i，i+1，i+2}，映射得到一个权值元素的值(权值向量中一共有300个元素，则需取900位二进制随机序列)，根据第一位是否为0决定权值的正负，后二位转化成十进制(十进制取值在[-3，3]内)。例如F＝101010...，则 $W_{11}^C=W_{11}^S=+1,$ $W_{12}^C=W_{12}^S=-2,....;$ 确定同步的权值后，再计算相同的输入向量，可将剩下的F序列直接转化成输入向量，即只要将二进制序列中的0映射为-1。例如，F＝101010...，则 $X_{11}^C=X_{11}^S=1,$ $X_{12}^C=X_{12}^S=0,$ $X_{13}^C=X_{13}^S=1,$ $X_{14}^C=X_{14}^S=0,$ $X_{15}^C=X_{15}^S=1,$ $X_{16}^C=X_{16}^S=0,$ ...，权值同步模型经过一次互学习后，输入向量需动态变化但保持相同，即只要继续选取F二进制序列的值赋予输入向量即可。

(4)C根据随机数R，让权值同步模型学习P＝R％300次(取随机数R除以300的余数)，这里n取为300，n也可预设为其它值。将更新P次后的权值向量W^C，经Hash运算后SHA1(W^C)发送给S；

(5)S同样让权值同步模型学习P次(权值同步模型的最终输出位保持相等，因此无需交换输出即可执行权值更新)，得到更新P次后的权值向量W^S并计算其Hash值SHA1(W^S)，如果SHA1(W^C)＝SHA1(W^S)认证成功，否则失败。

(6)动态口令登录结束。

开发的ActiveX安全控件应用实例分析：

(1)在服务器http://localhost上注册用户名tieming，注册用户口令123456

(2)用户在登录网站中输入用户名：tieming，密码：123456

(3)服务器产生随机数R＝1234，发送给客户端

(4)客户端和服务器计算SHA1(tieming12345612341ocalhost)＝2ef67f5288a17796084e79541318fe39d16f46d7

利用LFSR计算得到二进制序列F＝

110101001101010000110111010001000111......

利用二进制映射计算得到：

W^C＝W^S＝(3，1，-1，1，-2，0，2，3，-2，-1，0，3，....)

X^C＝X^S＝(1，-1，-1，-1，1，-1，1，1，-1，-1，......)

(5)客户端通过P＝1234％300＝34次权值更新后，得到

W^C’＝(2，3，-1，-3，0，0，2，1，1，-3，1，0，.....)，

计算SHA1(W^C’)＝

378042cd5e73e04da1df9db374f6dc5a2639af5

并发送给服务器

(6)服务器通过与客户端相同的方式更新得到

W^S’＝(2，3，-1，-3，0，0，2，1，1，-3，1，0，.....)

计算SHA1(W^S’)＝

378042cd5e73e04da1df9db374f6dc5a2639af5

显然有SHA1(W^C’)＝＝SHA1(W^S’)

(7)客户端浏览器显示登录成功。

Claims (3)

1.一种动态口令安全登录方法，其特征在于：在所述登录方法中，设置客户端和服务器拥有相同参数的权值同步模型，所述登录方法包括如下步骤：

(1)、客户端发起登录请求，将用户名发给服务器；

(2)、服务器产生一个随机数，返回给客户端；

(3)、客户端和服务器各自计算得到：M＝User|Passwd|R，H＝SHA1(M)，F＝LFSR(H)，其中User表示用户名，Passwd表示用户口令，R表示随机数，“|”表示消息的级联，并根据随机数序列F映射计算得到相同的权值W^C＝W^S，W^C为客户端的权值，W^S为服务器的权值；

(4)、客户端根据随机数，让权值同步模型学习P＝R％n次，其中R为随机数，n为预设值，将更新P次后的权值向量W^C，经Hash运算后得到SHA1(W^C)，并将其发送给服务器；

(5)、服务器同样让权值同步模型学习P次，得到更新P次后的权值向量W^S并计算其Hash值SHA1(W^S)；如果SHA1(W^C)＝SHA1(W^S)认证成功，否则失败；

(6)、动态口令登录结束。

2.如权利要求1所述的动态口令安全登录方法，其特征在于：所述的权值同步模型由两个具备相同离散参数的特殊神经网络构成，每个神经网络由K个具有离散输入和权值的感知器组成，定义每个感知器的输出值计算公式为： 

其中x_ij(i＝1，2，...k；j＝1，2，...，N)为第i个感知器的N维输入向量，w_ij(i＝1，2，...K；j＝1，2，...，N)为第i个感知器的N维权值向量，x_ij取值为+1或-1，w_ij取值为区间[-L，+L]内的整数，L为模型选定的正整数；

符号函数定义为：

定义神经网络的最终输出值计算公式为：

i＝1，2，...，K。

3.如权利要求1或2所述的动态口令安全登录方法，其特征在于：在所述步骤(2)中，M＝User|Passwd|R|URL，URL表示服务器域名。 

Images