CN103428001A - 一种隐式增强便捷web身份认证方法 - Google Patents
一种隐式增强便捷web身份认证方法 Download PDFInfo
- Publication number
- CN103428001A CN103428001A CN2013104006591A CN201310400659A CN103428001A CN 103428001 A CN103428001 A CN 103428001A CN 2013104006591 A CN2013104006591 A CN 2013104006591A CN 201310400659 A CN201310400659 A CN 201310400659A CN 103428001 A CN103428001 A CN 103428001A
- Authority
- CN
- China
- Prior art keywords
- sha3
- otp
- user
- certificate server
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种隐式增强便捷WEB身份认证方法,本方法为:1)用户通过自身携带的移动设备作为SHA3-OTP生成载体并与认证服务器建立安全信道,完成用户与设备的绑定,并生成QR码发送给该移动设备;2)该客户端扫描被加密的QR码生成OTP;3)该用户在浏览器端向认证服务器发起身份认证请求;4)服务器将登录令牌发送给该浏览器端;5)该浏览器端将本次会话标识、登录令牌发送给该设备;6)该设备判断两会话标识进行身份认证,如果一致,则将当前生成的OTP和会话标识签名经浏览器端转发给服务器进行验证,若验证不通过,则终止该身份认证;若通过,则允许该用户进入相应的业务系统。本发明安全性高、用户体验效果好。
Description
技术领域
本发明属于信息安全的身份认证领域,具体涉及到一种隐式增强便捷WEB身份认证方法。
背景技术
传统的Web身份认证方式为用户输入用户名和口令传送到服务器端,服务器端通过与该用户已注册数据进行一致性比对,以确认用户身份合法性,这种方法存在其致命缺陷:用户标识和口令封装在数据报文中较容易被窃取,从而造成攻击者的重放攻击或字典彩虹表攻击。而基于证书的数字签名身份认证技术,虽然安全性高,但必须以完善的CA系统为基础,技术复杂、成本高,因此实施难度大,使用范围较小。
OTP(One-time Password)是一种安全便捷的动态口令账号防盗技术,其作为一次性有效的密码保护措施,可有效保护交易和登录认证的安全。OTP采用专用算法每隔一段时间生成一个不可预测的随机数字组合,且该随机数组合作为口令只能使用一次,所以能很好的防范重放攻击和字典彩虹表攻击,同时使用OTP动态口令无需定期更换密码,安全省心、技术难度小、成本低,还可减小应用系统的认证负担。
传统的OTP技术是采用SHA1或SHA2来生成,由于SHA1已被攻破,而SHA2和SHA1在设计原理上有类似的结构和基本数学运算,因此使用SHA1或SHA2生成OTP存在一定的安全隐患。同时,在传统基于OTP增强的身份认证系统中,用户在通过用户名和密码认证后,需要在服务器返回的OTP认证请求中,手动输入从用户特定生成OTP设备载体来获得的OTP或者通过自身手机信号获得OTP,这都给用户带来了很大的不便(如需随身携带专门OTP设备或手机没有通信信号等)。
发明内容
本发明旨在针对传统身份认证所面临的增强身份认证技术挑战,本发明的目的在于提出一种隐式增强便捷WEB身份认证方法。本发明拟在保证用户高安全身份认证和便捷用户体验的前提下,通过安全的SHA3-HMAC散列函数和被加密保存OTP共享秘钥的QR码载体,生成SHA3-OTP(基于SHA3的一次性密码),以获得高安全的一次性密码,即SHA3-OTP客户端通过解密被公钥加密的的QR码得到生成OTP的共享秘钥和用户标识,作为安全SHA3-HMAC散列函数的计算参数,生成SHA3-OTP,用户使用随身携带且已预装SHA3-OTP客户端的智能移动设备作为SHA3-OTP生成载体,省去了需额外随身携带OTP专门设备和移动设备无通信信号的麻烦,同时在SHA3-OTP生成载体与PC浏览器间通过无线通信方式自动建立信息安全传输通道,使基于OTP的增强身份认证自动获取OTP,提高用户体验效果。基于此,本发明的身份认证方法具有安全性高、用户体验效果好、使用方便快捷等优势。
本发明的技术方案为:
一种隐式增强便捷WEB身份认证方法,其步骤为:
1)在用户的移动设备上安装一SHA3-OPT客户端,并在该移动设备与认证服务器之间建立一安全信道;所述SHA3-OPT客户端为能够扫描被加密保存OTP共享秘钥的QR码载体,并利用该QR码与SHA3-HMAC散列函数生成SHA3-OTP;
2)该移动设备通过所述安全信道将用户注册信息、该移动设备的无线通信标识和证书签发请求发送到认证服务器;认证服务器验证通过后将该移动设备标识与用户标识进行绑定,并生成加密的QR码发送给该移动设备;该QR码包含用户标识、共享秘钥SK和公钥证书信息;
3)该SHA3-OTP客户端扫描被加密的QR码,获得用户标识、共享秘钥SK和公钥证书,本地保存该公钥证书,并采用SHA3-HMAC算法将用户标识、系统UTC时间、共享密钥SK作为计算参数定期生成SHA3-OTP;
4)该用户在浏览器端输入登录信息后,向认证服务器发起身份认证请求;
5)登录信息认证通过后,认证服务器将共享秘钥SK加密的登录令牌、保护密钥PK和该移动设备的无线通信标识发送给该浏览器端,该登录令牌包含本次会话标识、时间戳、用户标识和保护密钥PK;
6)该浏览器端用保护密钥PK加密本次会话标识并生成一会话令牌;然后将该会话令牌以及保护密钥PK加密的本次会话标识、该登录令牌发送给该移动设备;
7)该移动设备依据该共享密钥SK解密该登录令牌得到一会话标识SessionIDSK和保护秘钥PK,再通过该保护密钥PK解密该会话令牌获得一个会话标识SessionIDPK,如果两个会话标识不一致,则终止该身份认证,如果一致,则SHA3-OTP客户端对当前生成的SHA3-OTP和会话标识签名,并将签名结果和SHA3-OTP发送到该浏览器端;
8)该浏览器端将所述签名结果和SHA3-OTP转发给认证服务器进行验证,若验证不通过,则终止该身份认证;若验证通过,则允许该用户进入相应的业务系统。
进一步的,所述步骤8)中,认证服务器对所述签名结果和SHA3-OTP进行验证的方法为:认证服务器通过该用户的公钥证书对签名结果进行验证,若验证不通过,则终止该身份认证;若验证通过,则认证服务器将该用户的用户标识、共享秘钥SK、系统UTC时间作为SHA3-HMAC算法的计算参数,产生一个SHA3-OTP,结合该用户的同步偏移量值,对SHA3-OTP进行验证。
进一步的,所述SHA3-OPT客户端本地生成一公私密钥对;所述证书签发请求包括该公钥;所述认证服务器利用该公钥对所述QR码进行加密;所述SHA3-OTP客户端利用该私钥对当前生成的SHA3-OTP和会话标识签名。
进一步的,当SHA3-OTP客户端产生的SHA3-OTP超过认证服务器的认证窗口范围时,SHA3-OTP客户端与认证服务器进行同步,其方法为:
41)SHA3-OTP客户端向认证服务器发起OTP同步请求;
42)认证服务器接收到该OTP同步请求后,双方协商建立一安全信道,并向SHA3-OTP客户端请求签名的用户标识、公钥证书和连续两次SHA3-OTP信息;
43)认证服务器通过安全信道接收到SHA3-OTP客户端发送的数据后,验证公钥证书和用户标识的合法性,若验证失败,停止该同步;验证通过,则认证服务器基于UTC同步偏移窗口与SHA3-OTP客户端传送的两次SHA3-OTP值,完成同步过程。
进一步的,认证服务器基于UTC同步偏移窗口与SHA3-OTP客户端传送的两次SHA3-OTP值,完成同步过程的方法为:认证服务器预定义N个同步偏移量窗口,然后使用同步偏移窗口内的偏移值的和,共享密钥SK和认证服务器UTC时间生成SHA3-OTP,然后将接收到的SHA3-OTP与生成的SHA3-OTP依次比较,找到与接收到的SHA3-OTP相等的SHA3-OTP,则该SHA3-OTP对应的偏移值即为接收到的OTP对应的偏移值,利用该偏移值完成同步。
进一步的,生成所述SHA3-OTP的方法为:将共享密钥SK、用户标识和UTC时间作为SHA3-HMAC算法的计算参数,生成一信息摘要;然后从生成的信息摘要中随机摘取设定位数的比特信息,生成设定位随机数字的SHA3-OTP。
进一步的,步骤8)中,若验证通过,则所述认证服务器将一有时间期限的认证信息保存在该浏览器端,以便该用户下次直接登录。
下面简要介绍本方案的基本思想,本发明在吸取已有解决方案的优点的基础之上,提出了自己的设计思想,具体来说,本发明技术方案包括下列几个方面:
方面一,用户通过自身携带的移动设备作为SHA3-OTP生成载体,并与认证服务器建立安全信道,完成用户与预装有SHA3-OTP客户端的移动设备的绑定注册。用户与设备绑定注册时,在SHA3-OTP客户端(用户随身携带移动设备预装SHA3-OTP客户端)本地生成公私钥对,同时通过安全信道将用户注册信息(用户标识、密码、邮箱等)、SHA3-OTP生成载体的无线通信标识(如蓝牙的MAC地址、Wi-Fi的SSID和password)和PKCS#10证书签发请求发送到认证服务器;认证服务器将合法用户SHA3-OTP载体设备标识与用户标识进行绑定,协商产生一随机共享密钥(SK),并签发用户公钥证书并保存,同时为该用户生成被公钥加密的QR码(包含户标识、共享秘钥和公钥证书信息),完成用户标识和设备绑定注册。该过程的实施将为基于SHA3-OTP隐式增强身份认证的实现奠定坚实的基础,实现人与设备的二元融合。
方面二,借助用户便携式移动智能设备(如智能手机、Pad等)预装的SHA3-OTP客户端扫描被公钥加密的QR码获得用户名标识、共享秘钥和用户公钥证书,并将用户证书保存在安全存储区,同时采用SHA3-HMAC算法,将用户标识、系统UTC时间(即协调世界时,又称世界统一时间,被应用于许多互联网和万维网的标准中)、共享秘钥作为计算参数,每30秒计算一次OTP。该过程的实现为用户提供了可靠的增强身份认证因子,全面保障用户账号和应用系统的安全。
方面三,用户在不改变SHA3-OTP生成载体设备自身系统时间的情况下,基于UTC同步窗口完成与认证服务器端OTP的同步工作。概括来说,用户通过预装SHA3-OTP客户端的同步模块,将其生成的SHA3-OTP和用户标识一起发送到认证服务器端,认证服务端调用客户端同步模块,完成基于同步窗口的OTP同步,并将同步偏移值保存于用户信息记录中,以便后期的认证服务使用。该过程由于不改变用户自身设备的系统时间,对用户来说是半透明的,提升了用户便捷使用OTP的体验,同时同步窗口的存在不会过高的增加认证服务系统的计算负荷,保证服务系统安全。
方面四,用户在不改变传统登录方式基础之上,利用SHA3-OTP生成设备载体,实现一种基于SHA3-OTP的隐式增强便捷的身份认证,即通过一种安全无线协议完成PC浏览器安全插件模块与SHA3-OTP客户端信息的安全交互,实现用户标识、密码和SHA3-OTP隐式增强便捷两步认证;该安全插件模块具有安全无线通信、生成会话令牌、转发断言请求。概括来说,用户在完成传统用户标识和密码认证后,认证服务器返回被共享秘钥SK加密的登录令牌LoginToken(该令牌包含本次会话标识SessionID、时间戳Timestamp和认证服务器随机生成的保护秘钥PK,PK是在用户完成用户标识和密码认证通过后,认证服务器产生的一个密钥,用于保障本次会话过程没被篡改。)、SHA3-OTP生成载体设备无线通信标识和保护密钥PK返回给PC浏览器;PC浏览器插件通过PC浏览器接受到上述信息,依据SHA3-OTP载体设备无线通信标识信息自动连接用户设备,同时将被PK加密的本次SessionID和LoginToken发送给用户设备终端;用户SHA3-OTP生成载体的设备终端接受到信息后,判定SK验证加密的两个会话标识的一致性,若验证通过,使用安全存储区的私钥对该会话标识和此刻产生的SHA3-OTP进行签名,将该签名值和SHA3-OTP值自动通过PC浏览器插件发送认证服务器,认证服务器验证通过,返回认证通过信息,进入用户登录系统。该过程的实现,不需要用户额外的进行操作,方便简洁,可有效的防范中间人攻击,同时保证用户登录系统的安全。
本发明与现有技术相比,具有以下优点:
本发明不需要对原来身份认证系统的处理流程进行较大改造,安全性高和用户体验效果好。由于本发明是在确保认证系统业务逻辑不变基础之上,采用基于移动智能设备预装SHA3-OTP客户端隐式增强认证技术,保证用户登录的安全,同时也简化增强认证时用户手动过程,因此用户体验效果好、安全性高。
附图说明
图1本发明的整体实施示意图;
图2人与设备关联的注册交互流程图;
图3基于用户便携式移动终端SHA3-OTP客户端启动流程图;
图4SHA3-OTP生成算法流程示意图;
图5基于UTC同步窗口的SHA3-OTP同步流程图;
图6基于SHA3-OTP增强身份认证交互流程图。
具体实施方式
为使本发明的目的、优点以及技术方案更加清楚明白,以下通过具体实施,并结合附图,对本发明进一步详细说明。
对于图1从整体上描述了该方案实施的总体架构,主要包括下面四个部分的内容。
一、基于SHA3-OTP客户端人机关联的注册实现方法
用户利用自身携带的移动设备作为SHA3-OTP客户端载体,并与认证服务器建立安全信道,完成用户与设备绑定注册。下面结合附图2具体描述其执行过程:
a)用户点击SHA3-OTP客户端的注册按钮(预装在自身携带移动智能设备上),在本地临时安全存储区生成公私钥对,同时向认证服务器发起注册请求;认证服务器端利用公钥对生成的QR码进行加密;移动设备端使用私钥对生成的QR进行解密,其完成移动设备端生成的SHA3-OTP和会话标识SessionID进行签名。
b)认证服务器接收到注册请求后,通过SHA3-OTP客户端中预装的证书,认证服务器与用户SHA3-OTP客户端载体设备建立安全信道,展现注册服务页面,若安全信道建立不成功,则立刻终止注册流程;安全信道的建立过程:客户端和服务器分别验证对方的签名,验证都通过后,双方建立信任关系,然后写上生成共享密钥,对传输的内容均使用该共享密钥加密。
c)用户在SHA3-OTP客户端载体设备完成用户合法信息(如用户名、密码、邮箱等)的录入后,点击人机关联按钮将录入信息和生成的PKCS10证书签发请求(包括设备标识和公钥)以及获得载体设备唯一无线通信标识(如Wi-Fi的SSID、蓝牙的MAC地址等)发送给认证服务器;
d)认证服务器接收到注册相关信息,判断注册信息的合法性(如唯一性、数据格式的合法性),若注册信息不合法,则提示终止注册流程;
e)若用户信息合法,认证服务器为该终端用户生成启动SHA3-OTP运行的共享密钥SK,并对SK进行加密,同时将加密后的SK信息和注册信息保存到数据库中;
f)认证服务器为该用户终端签发该用户终端公钥证书,并将公钥证书保存在认证服务器的LDAP数据库中;
g)认证服务器通过用户公钥加密用户标识、共享秘钥和用户公钥证书,将加密后信息作为QR码的信息源生成QR码,完成人机关联注册;
h)认证服务器返回SHA3-OTP载体设备,注册完成提示,并提醒用户通过发送到注册邮箱中的QR码,启动SHA3-OTP客户端。
二、基于加密的QR码和SHA3-HMAC算法启动SHA3-OTP客户端的实现方法
用户通过便携式移动智能设备预装SHA3-OTP客户端的扫描模块扫描被公钥加密的QR码,获得用户名标识UserID、共享秘钥SK和用户公钥证书Cert,并将用户证书安全存储,同时采用SHA3-HMAC算法,将UserID、系统UTC时间、SK作为计算参数,启动SHA3-OTP。下面结合附图3具体描述其执行过程:
a)用户使用SHA3-OTP客户端的扫描模块扫描QR码,获得公钥加密后信息,SHA3-OTP调用临时安全存储区的私钥解密加密信息,获得用户标识、共享秘钥和设备公钥证书;
b)SHA3-OTP客户端自动地调用安全存储模块,将私钥和公钥证书保存在设备永久安全存储区,并删除临时安全存储区相关公私钥对信息;
c)SHA3-OTP客户端将a)步骤获得用户标识、共享秘钥和获得系统UTC时间作为SHA3-HMAC计算参数,生成SHA3-OTP散列值,该散列值为OTP生成重要信息源,结合附图4,具体说明SHA3-OTP生成算法处理流程,将512比特的SK和UserID、160比特的UTC时间作为SHA3-HMAC的计算参数,通过该HMAC算法生成512比特的信息摘要,同时从生成的512比特的信息摘要中随机摘取32比特信息,生成支持6/8/9位随机数字的OTP;
d)用户点击SHA3-OTP客户端上的启动按钮,进入OTP运行模式(每隔30s产生一个6/8/9位随机数字的OTP)。
三、基于UTC同步窗口的SHA3-OTP同步的实现方法
用户在不改变SHA3-OTP客户端载体设备自身系统时间的情况下,基于UTC同步窗口完成与认证服务器的同步工作。该同步工作发生SHA3-OTP客户端产生的OTP,超过服务器端认证窗口范围,就会造成认证失败,需要用户操作同步按钮,完成客户端与服务端OTP同步。下面结合附图5具体描述其执行过程:
a)用户点击SHA3-OTP客户端的同步按钮,向认证服务器发起OTP同步请求;
b)认证服务器接收到客户端的OTP同步请求后,双方协商建立安全信道,并要求客户端传送被私钥签名的用户标识、设备证书(即公钥证书)和连续两次SHA3-OTP信息;
c)客户端接受到认证服务器的要求后,通过安全信道发送上述信息数据到认证服务器;
d)认证服务器接受到客户端发送的数据后,验证设备证书和用户标识的合法性(即首先通过认证服务签名证书验证设备证书的合法性,若设备证书合法,则通过设备证书查询对应用户标识,依次验证用户标识签名的合法性,若两者都验证通过,则用户合法),若验证失败,停止该同步流程;
e)若验证通过,认证服务器调用SHA3-OTP同步模块,通过基于UTC同步偏移窗口与客户端传送的两次OTP值,完成同步过程(即同步过程为客户端的每个OTP与基于UTC同步偏移量窗口比较,形成两个同步偏移值,若两个同步偏移值相等,则同步成功;若不相等,则同步失败,需要重新b)-f)步骤,若重复执行3次该步骤仍不成功,为保证认证服务器安全,终止该同步流程);认证服务器预先定义了同步偏移量窗口(如1、2、3、…、N,N为自然数),认证服务器使用该同步窗口内的偏移值(如-N、…、-2、-1、0、1、2、…、N,N为自然数)作为生成OTP参数之一(其他参数为SK和认证服务器UTC时间,即SK、认证服务器UTC时间与偏移量的和,作为计算参数),当认证服务器接收到OTP后,将接收到的OTP与生成的OTP依次比较,找到与接收到的OTP相等的OTP,则该OTP对应的偏移值即为接收到的OTP对应的偏移值。
f)认证服务器同步成功后,将同步偏移值保存于对应的用户信息记录中,以便下次认证使用,同时返回同步成功。
四、基于SHA3-OTP客户端的隐式增强便捷身份认证的实现方法
用户通过不改变传统登录方式基础之上,利用SHA3-OTP设备载体,实现一种基于SHA3-OTP隐式增强的身份认证,即通过一种安全无线协议完成PC浏览器安全插件模块与SHA3-OTP客户端信息的安全交互,实现用户标识、密码和SHA3-OTP隐式增强便捷两步认证。下面结合附图6具体描述其执行过程:
a)用户在传统的登录页面输入用户标识和密码后,向认证服务器发起身份认证请求;
b)认证服务器验证接收到的用户标识和密码的合法性,若验证不合法,停止该身份认证过程;若验证合法,则验证对应设备证书的有效性,若设备证书有效,则为本地会话生成一个保护密钥PK,同时生成一个被共享密钥SK加密的登录令牌LoginToken(该登录令牌包含本次会话标识SessionID,时间戳Timestamp,用户标识,以及保护密钥PK)认证服务器将登录令牌、SHA3-OTP载体设备无线通信标识和保护密钥PK一起发送给PC浏览器;
c)PC浏览器将接受到的信息传递给PC浏览器插件,PC浏览器插件形成会话令牌SessionToken(该会话令牌包含使用PK加密本次会话的SessionID),并生成一个断言请求(该请求包含LoginToken和PK加密的会话标识),同时通过接受的SHA3-OTP载体无线通信标识与该载体设备建立无线连接,将此断言请求发送给载体设备;
d)用户的SHA3-OTP客户端通过共享密钥SK解密登录令牌LoginToken,获得一个会话标识SessionIDSK和保护秘钥PK,再通过获得PK解密会话令牌SessionToken,获得一个会话标识SessionIDPK,比较两个会话标识是否一致,若不一致,终止该身份认证流程(以免遭受中间人攻击);
e)若两个会话标识一致,则SHA3-OTP客户端使用已保存在安全存储区的私钥对此刻生成的SHA3-OTP和会话标识SessionID签名,并将签名结果和SHA3-OTP发送到PC浏览器插件;
f)PC浏览器插件将接受信息转发给认证服务器,认证服务器通过用户公钥证书对签名进行验证,若验证不通过,则该身份认证流程终止;若验证通过,则对SHA3-OTP进行验证(该验证过程为认证服务器将获得用户标识、解密被加密共享秘钥、系统UTC时间,作为SHA3-HMAC的计算参数,产生一个SHA3-OTP,结合获得对应用户的同步偏移量值,完成SHA3-OTP的验证),若验证不通过,终止该身份认证流程,若验证通过,则允许用户进入相应的业务系统,并将一个有时间期限的认证信息保存在PC浏览器客户端,以方便用户下次直接登录。
Claims (7)
1.一种隐式增强便捷WEB身份认证方法,其步骤为:
1)在用户的移动设备上安装一SHA3-OPT客户端,并在该移动设备与认证服务器之间建立一安全信道;所述SHA3-OPT客户端为能够扫描被加密保存OTP共享秘钥的QR码载体,并利用该QR码与SHA3-HMAC散列函数生成SHA3-OTP;
2)该移动设备通过所述安全信道将用户注册信息、该移动设备的无线通信标识和证书签发请求发送到认证服务器;认证服务器验证通过后将该移动设备标识与用户标识进行绑定,并生成加密的QR码发送给该移动设备;该QR码包含用户标识、共享秘钥SK和公钥证书信息;
3)该SHA3-OTP客户端扫描被加密的QR码,获得用户标识、共享秘钥SK和公钥证书,本地保存该公钥证书,并采用SHA3-HMAC算法将用户标识、系统UTC时间、共享密钥SK作为计算参数定期生成SHA3-OTP;
4)该用户在浏览器端输入登录信息后,向认证服务器发起身份认证请求;
5)登录信息认证通过后,认证服务器将共享秘钥SK加密的登录令牌、保护密钥PK和该移动设备的无线通信标识发送给该浏览器端,该登录令牌包含本次会话标识、时间戳、用户标识和保护密钥PK;
6)该浏览器端用保护密钥PK加密本次会话标识并生成一会话令牌;然后将该会话令牌以及保护密钥PK加密的本次会话标识、该登录令牌发送给该移动设备;
7)该移动设备依据该共享密钥SK解密该登录令牌得到一会话标识SessionIDSK和保护秘钥PK,再通过该保护密钥PK解密该会话令牌获得一个会话标识SessionIDPK,如果两个会话标识不一致,则终止该身份认证,如果一致,则SHA3-OTP客户端对当前生成的SHA3-OTP和会话标识签名,并将签名结果和SHA3-OTP发送到该浏览器端;
8)该浏览器端将所述签名结果和SHA3-OTP转发给认证服务器进行验证,若验证不通过,则终止该身份认证;若验证通过,则允许该用户进入相应的业务系统。
2.如权利要求1所述的方法,其特征在于所述步骤8)中,认证服务器对所述签名结果和SHA3-OTP进行验证的方法为:认证服务器通过该用户的公钥证书对签名结果进行验证,若验证不通过,则终止该身份认证;若验证通过,则认证服务器将该用户的用户标识、共享秘钥SK、系统UTC时间作为SHA3-HMAC算法的计算参数,产生一个SHA3-OTP,结合该用户的同步偏移量值,对SHA3-OTP进行验证。
3.如权利要求1所述的方法,其特征在于所述SHA3-OPT客户端本地生成一公私密钥对;所述证书签发请求包括该公钥;所述认证服务器利用该公钥对所述QR码进行加密;所述SHA3-OTP客户端利用该私钥对当前生成的SHA3-OTP和会话标识签名。
4.如权利要求1或2所述的方法,其特征在于当SHA3-OTP客户端产生的SHA3-OTP超过认证服务器的认证窗口范围时,SHA3-OTP客户端与认证服务器进行同步,其方法为:
41)SHA3-OTP客户端向认证服务器发起OTP同步请求;
42)认证服务器接收到该OTP同步请求后,双方协商建立一安全信道,并向SHA3-OTP客户端请求签名的用户标识、公钥证书和连续两次SHA3-OTP信息;
43)认证服务器通过安全信道接收到SHA3-OTP客户端发送的数据后,验证公钥证书和用户标识的合法性,若验证失败,停止该同步;验证通过,则认证服务器基于UTC同步偏移窗口与SHA3-OTP客户端传送的两次SHA3-OTP值,完成同步过程。
5.如权利要求4所述的方法,其特征在于认证服务器基于UTC同步偏移窗口与SHA3-OTP客户端传送的两次SHA3-OTP值,完成同步过程的方法为:认证服务器预定义N个同步偏移量窗口,然后使用同步偏移窗口内的偏移值的和,共享密钥SK和认证服务器UTC时间生成SHA3-OTP,然后将接收到的SHA3-OTP与生成的SHA3-OTP依次比较,找到与接收到的SHA3-OTP相等的SHA3-OTP,则该SHA3-OTP对应的偏移值即为接收到的OTP对应的偏移值,利用该偏移值完成同步。
6.如权利要求1或2或3所述的方法,其特征在于生成所述SHA3-OTP的方法为:将共享密钥SK、用户标识和UTC时间作为SHA3-HMAC算法的计算参数,生成一信息摘要;然后从生成的信息摘要中随机摘取设定位数的比特信息,生成设定位随机数字的SHA3-OTP。
7.如权利要求1所述的方法,其特征在于步骤8)中,若验证通过,则所述认证服务器将一有时间期限的认证信息保存在该浏览器端,以便该用户下次直接登录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310400659.1A CN103428001B (zh) | 2013-09-05 | 2013-09-05 | 一种隐式增强便捷web身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310400659.1A CN103428001B (zh) | 2013-09-05 | 2013-09-05 | 一种隐式增强便捷web身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103428001A true CN103428001A (zh) | 2013-12-04 |
| CN103428001B CN103428001B (zh) | 2016-08-17 |
Family
ID=49652209
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310400659.1A Expired - Fee Related CN103428001B (zh) | 2013-09-05 | 2013-09-05 | 一种隐式增强便捷web身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103428001B (zh) |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103780397A (zh) * | 2014-02-25 | 2014-05-07 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证方法 |
| CN103856332A (zh) * | 2014-03-22 | 2014-06-11 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 |
| CN104144167A (zh) * | 2014-08-15 | 2014-11-12 | 深圳市蜂联科技有限公司 | 一种开放式智能网关平台的用户登录认证方法 |
| CN104618117A (zh) * | 2015-02-04 | 2015-05-13 | 北京云安世纪科技有限公司 | 基于二维码的智能卡设备的身份认证装置及方法 |
| CN104836802A (zh) * | 2015-04-24 | 2015-08-12 | 深圳市墨麟科技有限公司 | 基于登陆服务器的登陆链接方法及系统 |
| CN104967510A (zh) * | 2015-06-01 | 2015-10-07 | 浪潮软件集团有限公司 | 一种多样化自适应密码变更控制模块 |
| CN105162764A (zh) * | 2015-07-30 | 2015-12-16 | 北京石盾科技有限公司 | 一种ssh安全登录的双重认证方法、系统和装置 |
| CN105284072A (zh) * | 2013-08-12 | 2016-01-27 | 德国邮政股份公司 | 对加密数据的解密支持 |
| CN105337941A (zh) * | 2014-08-04 | 2016-02-17 | 阿里巴巴集团控股有限公司 | 一种设备标识提供方法及装置 |
| CN105391549A (zh) * | 2015-12-10 | 2016-03-09 | 四川长虹电器股份有限公司 | 客户端与服务器之间通信动态密钥实现方法 |
| CN105897424A (zh) * | 2016-03-14 | 2016-08-24 | 深圳奥联信息安全技术有限公司 | 一种增强身份认证的方法 |
| CN106790274A (zh) * | 2017-02-20 | 2017-05-31 | 中国科学院信息工程研究所 | 一种一次性密码登录无线局域网的方法 |
| CN107408167A (zh) * | 2015-04-14 | 2017-11-28 | 英特尔公司 | 执行用户无缝认证 |
| CN107431619A (zh) * | 2015-02-11 | 2017-12-01 | 亿贝韩国有限公司 | 用于在线网站的会员登录的安全认证系统及其方法 |
| CN107992734A (zh) * | 2017-10-25 | 2018-05-04 | 广东联合电子服务股份有限公司 | 一种cpu卡读写服务方法、电子设备、存储介质、系统 |
| CN108886518A (zh) * | 2016-03-31 | 2018-11-23 | 高通股份有限公司 | 传输层安全令牌绑定及可信签名 |
| CN109787950A (zh) * | 2018-11-15 | 2019-05-21 | 北京网众共创科技有限公司 | 系统的登录方法和装置、存储介质及电子装置 |
| CN109977643A (zh) * | 2019-03-29 | 2019-07-05 | 安信数字(广州)科技有限公司 | 用户认证方法、装置和电子设备 |
| CN109995699A (zh) * | 2017-12-29 | 2019-07-09 | 上海智显光电科技有限公司 | 多媒体设备管理系统及管理方法 |
| CN110505184A (zh) * | 2018-05-18 | 2019-11-26 | 深圳企业云科技股份有限公司 | 一种企业网盘安全登录认证系统及方法 |
| CN110661623A (zh) * | 2018-06-29 | 2020-01-07 | 高级计算发展中心(C-Dac),班加罗尔 | 用于使用个人认证设备(pad)认证用户的方法和系统 |
| CN111079103A (zh) * | 2015-09-14 | 2020-04-28 | 阿里巴巴集团控股有限公司 | 一种身份认证方法和设备 |
| CN111182152A (zh) * | 2014-03-13 | 2020-05-19 | 微软技术许可有限责任公司 | 使用机器可读码的设备认证和配对 |
| CN111277550A (zh) * | 2018-12-05 | 2020-06-12 | 中国电信股份有限公司 | 基于RESTful的交互方法、服务器、客户端和装置 |
| CN111586023A (zh) * | 2020-04-30 | 2020-08-25 | 广州市百果园信息技术有限公司 | 一种认证方法、设备和存储介质 |
| CN111586024A (zh) * | 2020-04-30 | 2020-08-25 | 广州市百果园信息技术有限公司 | 一种认证方法、设备和存储介质 |
| CN112291055A (zh) * | 2019-07-24 | 2021-01-29 | 广东知业科技有限公司 | 一种工业互联网数据通讯加密方法 |
| CN113132365A (zh) * | 2021-04-07 | 2021-07-16 | 武汉光庭信息技术股份有限公司 | 车载T-Box的通信安全保护方法及系统 |
| CN113872983A (zh) * | 2021-10-13 | 2021-12-31 | 苏州兆晶智能科技有限公司 | 一种区块链芯片身份认证系统及其认证方法 |
| CN114095154A (zh) * | 2021-10-12 | 2022-02-25 | 福建升腾资讯有限公司 | 一种App登录的动态口令实现方法、装置、设备和介质 |
| CN114401128A (zh) * | 2021-12-31 | 2022-04-26 | 上海天诚比集科技有限公司 | token泄露校验方法、装置及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101517562A (zh) * | 2006-09-15 | 2009-08-26 | 因尼科技株式会社 | 通过多个模式对一次性密码的用户进行注册和验证的方法以及记录有执行该方法的程序的计算机可读记录介质 |
| CN101547202A (zh) * | 2008-03-28 | 2009-09-30 | 三星电子株式会社 | 处理网络上的装置的安全等级的方法和设备 |
| US20100017860A1 (en) * | 2005-12-09 | 2010-01-21 | Ishida Natsuki | Authentication system and authentication method |
| CN101897165A (zh) * | 2007-10-30 | 2010-11-24 | 意大利电信股份公司 | 数据处理系统中验证用户的方法 |
| WO2012014231A1 (en) * | 2010-07-29 | 2012-02-02 | Nirmal Juthani | System and method for generating a strong multi factor personalized server key from a simple user password |
| CN103154958A (zh) * | 2010-09-30 | 2013-06-12 | 谷歌公司 | 基于图像的密钥交换 |
-
2013
- 2013-09-05 CN CN201310400659.1A patent/CN103428001B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100017860A1 (en) * | 2005-12-09 | 2010-01-21 | Ishida Natsuki | Authentication system and authentication method |
| CN101517562A (zh) * | 2006-09-15 | 2009-08-26 | 因尼科技株式会社 | 通过多个模式对一次性密码的用户进行注册和验证的方法以及记录有执行该方法的程序的计算机可读记录介质 |
| CN101897165A (zh) * | 2007-10-30 | 2010-11-24 | 意大利电信股份公司 | 数据处理系统中验证用户的方法 |
| CN101547202A (zh) * | 2008-03-28 | 2009-09-30 | 三星电子株式会社 | 处理网络上的装置的安全等级的方法和设备 |
| WO2012014231A1 (en) * | 2010-07-29 | 2012-02-02 | Nirmal Juthani | System and method for generating a strong multi factor personalized server key from a simple user password |
| CN103154958A (zh) * | 2010-09-30 | 2013-06-12 | 谷歌公司 | 基于图像的密钥交换 |
Non-Patent Citations (3)
| Title |
|---|
| MOHAMED HAMDY ELDEFRAWY,KHALED ALGHATHBAR等: "OTP-Based Two-Factor Authentication Using Mobile Phones", 《2011 EIGHTH INTERNATIONAL CONFERENCE ON INFORMATION TECHNOLOGY:NEW GENERATIONS(ITNG)》 * |
| YOUNG SIL LEE,NACK HYUN KIM,HYOTAEK LIM等: "Online banking authentication system using mobile-OTP with QR-code", 《2010 5TH INTERNATIONAL CONFERENCE ON COMPUTER SCIENCES AND CONVERGENCE INFORMATION TECHNOLOGY(ICCIT)》 * |
| YUNG-WEI KAO ,GUO-HENG LUO,HSIEN-TANG LIN,YU-KAI HUANG等: "Physical Access Control Based on QR Code", 《2011 INTERNATIONAL CONFERENCE ON CYBER-ENABLED DISTRIBUTED COMPUTING AND KNOWLEDGE DISCOVERY(CYBERC》 * |
Cited By (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105284072B (zh) * | 2013-08-12 | 2017-03-22 | 德国邮政股份公司 | 对加密数据的解密支持 |
| CN105284072A (zh) * | 2013-08-12 | 2016-01-27 | 德国邮政股份公司 | 对加密数据的解密支持 |
| CN103780397B (zh) * | 2014-02-25 | 2016-09-14 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证方法 |
| CN103780397A (zh) * | 2014-02-25 | 2014-05-07 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证方法 |
| US10979413B2 (en) | 2014-03-13 | 2021-04-13 | Microsoft Technology Licensing, Llc | Authentication and pairing of devices using a machine readable code |
| CN111182152A (zh) * | 2014-03-13 | 2020-05-19 | 微软技术许可有限责任公司 | 使用机器可读码的设备认证和配对 |
| CN103856332A (zh) * | 2014-03-22 | 2014-06-11 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 |
| CN103856332B (zh) * | 2014-03-22 | 2017-02-08 | 中国科学院信息工程研究所 | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 |
| CN105337941A (zh) * | 2014-08-04 | 2016-02-17 | 阿里巴巴集团控股有限公司 | 一种设备标识提供方法及装置 |
| CN104144167A (zh) * | 2014-08-15 | 2014-11-12 | 深圳市蜂联科技有限公司 | 一种开放式智能网关平台的用户登录认证方法 |
| CN104144167B (zh) * | 2014-08-15 | 2017-05-17 | 深圳市蜂联科技有限公司 | 一种开放式智能网关平台的用户登录认证方法 |
| CN104618117A (zh) * | 2015-02-04 | 2015-05-13 | 北京云安世纪科技有限公司 | 基于二维码的智能卡设备的身份认证装置及方法 |
| CN104618117B (zh) * | 2015-02-04 | 2018-06-12 | 北京奇虎科技有限公司 | 基于二维码的智能卡设备的身份认证装置及方法 |
| US11050567B2 (en) | 2015-02-11 | 2021-06-29 | Ebay Inc. | Security authentification system for membership login of online website and method thereof |
| US11706031B2 (en) | 2015-02-11 | 2023-07-18 | Ebay Korea Co., Ltd. | Security authentication system for membership login of online website and method thereof |
| US10554410B2 (en) | 2015-02-11 | 2020-02-04 | Ebay Inc. | Security authentication system for membership login of online website and method thereof |
| CN107431619A (zh) * | 2015-02-11 | 2017-12-01 | 亿贝韩国有限公司 | 用于在线网站的会员登录的安全认证系统及其方法 |
| CN107408167A (zh) * | 2015-04-14 | 2017-11-28 | 英特尔公司 | 执行用户无缝认证 |
| CN104836802A (zh) * | 2015-04-24 | 2015-08-12 | 深圳市墨麟科技有限公司 | 基于登陆服务器的登陆链接方法及系统 |
| CN104836802B (zh) * | 2015-04-24 | 2018-04-06 | 深圳墨麟科技股份有限公司 | 基于登陆服务器的登陆链接方法及系统 |
| CN104967510A (zh) * | 2015-06-01 | 2015-10-07 | 浪潮软件集团有限公司 | 一种多样化自适应密码变更控制模块 |
| CN105162764A (zh) * | 2015-07-30 | 2015-12-16 | 北京石盾科技有限公司 | 一种ssh安全登录的双重认证方法、系统和装置 |
| CN111079103B (zh) * | 2015-09-14 | 2024-02-09 | 创新先进技术有限公司 | 一种身份认证方法和设备 |
| CN111079103A (zh) * | 2015-09-14 | 2020-04-28 | 阿里巴巴集团控股有限公司 | 一种身份认证方法和设备 |
| CN105391549A (zh) * | 2015-12-10 | 2016-03-09 | 四川长虹电器股份有限公司 | 客户端与服务器之间通信动态密钥实现方法 |
| CN105391549B (zh) * | 2015-12-10 | 2018-10-12 | 四川长虹电器股份有限公司 | 客户端与服务器之间通信动态密钥实现方法 |
| CN105897424A (zh) * | 2016-03-14 | 2016-08-24 | 深圳奥联信息安全技术有限公司 | 一种增强身份认证的方法 |
| CN108886518A (zh) * | 2016-03-31 | 2018-11-23 | 高通股份有限公司 | 传输层安全令牌绑定及可信签名 |
| CN106790274A (zh) * | 2017-02-20 | 2017-05-31 | 中国科学院信息工程研究所 | 一种一次性密码登录无线局域网的方法 |
| CN107992734A (zh) * | 2017-10-25 | 2018-05-04 | 广东联合电子服务股份有限公司 | 一种cpu卡读写服务方法、电子设备、存储介质、系统 |
| CN107992734B (zh) * | 2017-10-25 | 2022-02-08 | 广东联合电子服务股份有限公司 | 一种cpu卡读写服务方法、电子设备、存储介质、系统 |
| CN109995699A (zh) * | 2017-12-29 | 2019-07-09 | 上海智显光电科技有限公司 | 多媒体设备管理系统及管理方法 |
| CN110505184B (zh) * | 2018-05-18 | 2022-02-22 | 深圳企业云科技股份有限公司 | 一种企业网盘安全登录认证系统及方法 |
| CN110505184A (zh) * | 2018-05-18 | 2019-11-26 | 深圳企业云科技股份有限公司 | 一种企业网盘安全登录认证系统及方法 |
| CN110661623A (zh) * | 2018-06-29 | 2020-01-07 | 高级计算发展中心(C-Dac),班加罗尔 | 用于使用个人认证设备(pad)认证用户的方法和系统 |
| CN109787950A (zh) * | 2018-11-15 | 2019-05-21 | 北京网众共创科技有限公司 | 系统的登录方法和装置、存储介质及电子装置 |
| CN111277550A (zh) * | 2018-12-05 | 2020-06-12 | 中国电信股份有限公司 | 基于RESTful的交互方法、服务器、客户端和装置 |
| CN109977643A (zh) * | 2019-03-29 | 2019-07-05 | 安信数字(广州)科技有限公司 | 用户认证方法、装置和电子设备 |
| CN112291055B (zh) * | 2019-07-24 | 2024-03-29 | 广东知业科技有限公司 | 一种工业互联网数据通讯加密方法 |
| CN112291055A (zh) * | 2019-07-24 | 2021-01-29 | 广东知业科技有限公司 | 一种工业互联网数据通讯加密方法 |
| CN111586024B (zh) * | 2020-04-30 | 2022-06-14 | 广州市百果园信息技术有限公司 | 一种认证方法、设备和存储介质 |
| CN111586024A (zh) * | 2020-04-30 | 2020-08-25 | 广州市百果园信息技术有限公司 | 一种认证方法、设备和存储介质 |
| CN111586023A (zh) * | 2020-04-30 | 2020-08-25 | 广州市百果园信息技术有限公司 | 一种认证方法、设备和存储介质 |
| CN113132365A (zh) * | 2021-04-07 | 2021-07-16 | 武汉光庭信息技术股份有限公司 | 车载T-Box的通信安全保护方法及系统 |
| CN114095154A (zh) * | 2021-10-12 | 2022-02-25 | 福建升腾资讯有限公司 | 一种App登录的动态口令实现方法、装置、设备和介质 |
| CN114095154B (zh) * | 2021-10-12 | 2023-06-27 | 福建升腾资讯有限公司 | 一种App登录的动态口令实现方法、装置、设备和介质 |
| CN113872983A (zh) * | 2021-10-13 | 2021-12-31 | 苏州兆晶智能科技有限公司 | 一种区块链芯片身份认证系统及其认证方法 |
| CN114401128A (zh) * | 2021-12-31 | 2022-04-26 | 上海天诚比集科技有限公司 | token泄露校验方法、装置及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103428001B (zh) | 2016-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103428001B (zh) | 一种隐式增强便捷web身份认证方法 | |
| CN109040067B (zh) | 一种基于物理不可克隆技术puf的用户认证设备及认证方法 | |
| CN101640886B (zh) | 鉴权方法、重认证方法和通信装置 | |
| CN103391197B (zh) | 一种基于手机令牌和NFC技术的Web身份认证方法 | |
| DK1348280T3 (en) | Approval data communications | |
| CN101212293B (zh) | 一种身份认证方法及系统 | |
| CN108270571A (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| WO2017201809A1 (zh) | 终端通信方法及系统 | |
| CN103297403A (zh) | 一种实现动态密码认证的方法和系统 | |
| CN104253801B (zh) | 实现登录认证的方法、装置和系统 | |
| CN104735068A (zh) | 基于国密的sip安全认证的方法 | |
| CN103780397A (zh) | 一种多屏多因子便捷web身份认证方法 | |
| RU2004101416A (ru) | Устройство, сконфигурированное для обмена данными и способ аутентификации | |
| CN102036236A (zh) | 一种对移动终端认证的方法和装置 | |
| CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
| CN101212296A (zh) | 基于证书及sim的wlan接入认证方法及系统 | |
| US10133861B2 (en) | Method for controlling access to a production system of a computer system not connected to an information system of said computer system | |
| EP2209254A1 (en) | A method of one-way access authentication | |
| CN114765534B (zh) | 基于国密标识密码算法的私钥分发系统和方法 | |
| CN103532713A (zh) | 传感器认证和共享密钥产生方法和系统以及传感器 | |
| CN100456884C (zh) | 无线通信系统中的重认证方法 | |
| CN102739403A (zh) | 动态令牌的身份认证方法及装置 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
| CN114650173A (zh) | 一种加密通讯方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160817 Termination date: 20170905 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |