CN104579686A - 一种用于手机令牌的种子匹配方法 - Google Patents
一种用于手机令牌的种子匹配方法 Download PDFInfo
- Publication number
- CN104579686A CN104579686A CN201510020576.9A CN201510020576A CN104579686A CN 104579686 A CN104579686 A CN 104579686A CN 201510020576 A CN201510020576 A CN 201510020576A CN 104579686 A CN104579686 A CN 104579686A
- Authority
- CN
- China
- Prior art keywords
- seed
- mobile phone
- server
- token
- phone terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
本发明公开了一种用于手机令牌的种子匹配方法,该方法中当手机端令牌产生的动态口令来服务器认证时,服务器会根据种子至少两位十进制随机数进行计算产生新的种子,循环新的种子产生的动态口令与手机端产生的动态口令做匹配,如果服务器端产生的动态口令都和手机端产生的口令不一致,则认证手机端产生的口令无效;如果一致,服务器端记录当前随机数,改变种子的状态位;当第二次做认证时,服务器端会根据第一次认证成功后的种子生成的动态口令进行比对,如果一致,则认为手机端产生种子是正确的且是经过变形的,此时更新服务器端的种子。该方法能够防止通过暴力破解的方法获取种子数据,提高手机令牌的安全性。
Description
技术领域
本发明涉及网络安全认证技术领域,具体涉及手机令牌技术。
背景技术
OTP全称叫One-time Password,也称动态口令,是根据专门的算法生成一个与时间相关的、不可预测的随机数字组合,每个口令只能使用一次。
OTP产生的因素包括种子,时间,算法;保障OTP安全的唯一要素就是保障种子数据的安全性(算法公开)。
动态密码手机令牌也称手机口令牌,是用来生成动态口令的手机客户端软件。手机动态令牌是由运行在手机上的程序产生动态口令,动态口令与手机绑定进行身份认证。目前成熟的手机令牌有号令手机令牌,国内手机动态令牌号令手机令牌,其特点是不仅提供通用版本,还有各种手机操作系统上的包括iPhone、Sybiam、Windows Mobile、Andriod v1.8等。
OTP应用于手机令牌时,分为手机联网与不联网的情况,当手机联网时,可通过手机自动与服务端通讯,将服务端种子发放到手机端,此时只要保证通讯的安全,并且需要操作者具有一定的网络安全方面的知识,但是大多数操作者不具备这方面的知识,从而很容易造成种子的泄露,给手机令牌的安全性带来极大的影响。
当手机不联网时,需要通过手动输入完成种子的发放。虽然通过手动输入能够有效避免因网络安全问题造成种子泄露的问题,但是通过手工输入时,输入的数据有限(可见字符),长度有限,可通过暴力穷举的方法破解。
即:OTP=fun(time+seed),如果客户知道OTP,则通过计算公式,则可以尝试seed。
由此可见,如何有效提高手机令牌获取种子时的安全性,避免种子被暴力破解是本领域亟需解决的问题。
发明内容
针对现有动态密码手机令牌在获取种子时所存在的问题,本发明的目的在于提供一种手机令牌的种子匹配方法,以防止通过暴力破解的方法获取种子数据,提高手机令牌的安全性。
为了达到上述目的,本发明采用如下的技术方案:
一种用于手机令牌的种子匹配方法,该方法基于手机和认证服务器实施,
在手机端,获取相应动态令牌的序列号和激活码,并由此产生手机第一新种子,接着将第一新种子与某一至少2位十进制随机数进行计算产生手机第二新种子,再利用手机第二新种子计算形成动态口令;
在认证服务器端,获取相应动态令牌的序列号和激活码,并由此产生服务器第一新种子;
当手机端令牌产生的动态口令来认证服务器认证时,认证服务器根据服务器第一新种子和至少2位十进制随机数循环进行计算产生相应的服务器第二新种子,再循环利用相应的服务器第二新种子计算产生对应的动态口令,并循环与手机端产生的动态口令做匹配;
如果服务器端产生的所有动态口令都与手机端产生的口令不一致,则认证手机端产生的口令无效;
如果服务器端中根据某一个至少2位十进制随机数产生的动态口令和手机端产生的动态口令一致,记录当前随机数,改变种子的状态位,记录当前的种子和随机数;
当手机端产生的动态口令第二次在认证服务器上做认证,认证服务器端会根据第一次认证成功后的种子和随机数生成对应动态口令,并进行比对,如果一致,则认为手机端产生种子是正确的且是经过变形的,此时更新服务器端的种子,更新最新的种子为当前的种子和随机数算出来的种子。
本发明提供的方案将目前产生种子算法变更为:OTP=fun(time+seed+radom(2位十进制随机数)),这样暴力破解的复杂度;比原来复杂度提高10*10=100倍,可以根据随机数的位数指数增加复杂度。
同时,只有连续2次校验动态口令才能保证手机端的种子确实是经过原始种子和两位随机数计算后的种子,这样能够极大的增加计算生成动态口令的复杂度,有效的增加暴力破解的难度。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明进行种子匹配的流程原理图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明提供的用于手机令牌的种子匹配方案,基于手机和认证服务器来实施。
在手机端,
首先,获取相应动态令牌的序列号和激活码,并将该序列号和激活码做摘要产生手机第一新种子,即原始种子。
该步骤中,动态令牌对应的序列号和激活码,随动态令牌同时下发,在获取时,直接提取即可。但并不限于此,可根据实际需求来采用其它的获取方案,只要能够快速、准确的获取到动态令牌对应的序列号和激活码即可。
在形成种子时,由获取到的序列号和激活码按照所设定的算法做摘要得到,该令牌种子具体是由私有结构体和当前时间采用国密SM3算法生成的32字节随机数,私有结构体包括算法、口令长度、口令变化周期、令牌种子等。
接着,将第一新种子与一2位或者指定位数(大于2位)的十进制随机数进行计算产生手机第二新种子,具体计算所采用的算法可根据实际需求而定,但该算法与认证服务器中计算时锁采用的算法相同。
再接着,利用手机第二新种子计算形成动态口令,例如由手机第二新种子与时间进行计算得到动态口令。
在认证服务器端,
获取相应动态令牌的序列号和激活码,并将该序列号和激活码做摘要产生服务器第一新种子,即原始种子。
该步骤中,动态令牌对应的序列号和激活码,随动态令牌同时下发并进行存储,在获取时,直接提取即可。但并不限于此,可根据实际需求来采用其它的获取方案,只要能够快速、准确的获取到动态令牌对应的序列号和激活码即可。
对于服务器的第一新种子(即原始种子),其同样是由获取到的序列号和激活码按照一定的算法做摘要形成。该令牌种子是由私有结构体和当前时间采用国密SM3算法生成的32字节随机数,私有结构体包括算法、口令长度、口令变化周期、令牌种子等。
当手机端令牌产生的动态口令来认证服务器认证时,认证服务器根据服务器第一新种子与2位或者指定位数(大于2位)的十进制随机数中包含所有的随机数依次循环进行计算产生对应的服务器第二新种子,这里计算所采用的算法与手机端中采用的算法相同;接着,利用计算产生的服务器第二新种子计算产生对应的动态口令(其计算采用的算法与手机中计算产生动态口令所采用的算法相同),并循环与手机端产生的动态口令做匹配。
如果服务器端产生的所有动态口令都与手机端产生的动态口令不一致,则认证手机端产生的口令无效;
如果服务器端中根据某一个至少2位十进制随机数产生的动态口令和手机端产生的动态口令一致,记录当前随机数,改变种子的状态位,记录当前的种子和随机数;
当手机端产生的动态口令第二次在认证服务器上做认证,认证服务器端会根据第一次认证成功后的种子和随机数生成对应动态口令,并进行比对,如果一致,则认为手机端产生种子是正确的且是经过变形的,此时更新服务器端的种子,更新最新的种子为当前的种子和对应随机数算出来的种子,由此完成种子的匹配。
由上可知,认证成功后的种子在结构体上进行了改变(如进行变形),且记录当前认证过的动态口令(如更新相应的种子),有效保证认证的可靠性和准确性。
该方案中首先利用摘要产生种子,由于摘要时间短,可增加其复杂度,增加运算时间,达到防止暴力破解的目的。
再者,对于手机端手动激活,单纯的激活码和序列号做摘要生成种子,而生成后的种子加上2位或者指定位数的随机数进行运算,然后服务器端做匹配,将产生种子算法变更为:OTP=fun(time+seed+radom(2位或指定位数十进制随机数)),这样复杂度比原来增加102乃至10n倍,从而达到增加理论可行的暴力破解的工作量。
基于上述方案,本发明的具体实施过程如下(参见图1):
1、认证服务器端产生动态令牌激活码、令牌序列号;用户从服务器端获取动态令牌的激活码以及令牌序列号。
2、手机端:
(21)手机端根据获取的激活码,令牌序列号,做摘要产生种子seed(原始种子)。
(22)根据生成的种子seed和一随机产生的2位数的随机数通过相应的算法计算产生新的种子newseed1。
(23)利用产生新的种子newseed1通过动态口令算法,如fun(newsees1+时间),计算得到动态口令Dynamicode1。
(24)将生成动态口令发送至服务器端进行认证匹配。
3、服务器端
(31)认证服务器端根据产生的动态令牌激活码,令牌序列号,做摘要并由此产生对应的种子seed(原始种子)。
(32)认证服务器端将计算得到的种子seed依次循环与2位数的随机数(从00---99)中所包括的随机数,进行计算,产生对应的新的种子newseed2。
(33)利用产生新的种子newseed2通过动态口令算法,如fun(newsees2+时间),计算得到动态口令Dynamicode2。
(34)将动态口令Dynamicode2与手机端生成的动态口令Dynamicode1进行进行匹配。
(35)如果不匹配,转入步骤(32),再次与剩余的2位数随机数进行计算;如果匹配转入,步骤(37)。
(36)如果服务器端产生的所有动态口令都与手机端产生的动态口令不一致,则认证手机端产生的口令无效,此次匹配失败。
(37)服务器端记录此时匹配的随机数,改变种子的状态位,此时的种子是原始种子和当前匹配的随机数计算出来的,记录当前的种子和随机数,完成第一次匹配,并等待第二次认证匹配。
(38)当手机端产生的动态口令第二次在认证服务器上做认证,认证服务器端更新种子为第一次匹配的随机数和原始种子计算后的种子(第一次认证成功后的种子),并利用该种子生成相应的动态口令与手机端产生的动态口令再次进行比对,如果一致,则认为手机端产生种子是通过原始种子和当前随机数计算生成的,此时更新服务器端的种子,更新最新的种子为当前的种子和对应随机数算出来的种子,由此完成种子的匹配。
整个过程能够有效防止暴力破解。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.一种用于手机令牌的种子匹配方法,其特征在于,所述方法基于手机和认证服务器实施,
在手机端,获取相应动态令牌的序列号和激活码,并由此产生手机第一新种子,接着将第一新种子与某一至少2位十进制随机数进行计算产生手机第二新种子,再利用手机第二新种子计算形成动态口令;
在认证服务器端,获取相应动态令牌的序列号和激活码,并由此产生服务器第一新种子;
当手机端令牌产生的动态口令来认证服务器认证时,认证服务器根据服务器第一新种子和至少2位十进制随机数循环进行计算产生相应的服务器第二新种子,再循环利用相应的服务器第二新种子计算产生对应的动态口令,并循环与手机端产生的动态口令做匹配;
如果服务器端产生的所有动态口令都与手机端产生的口令不一致,则认证手机端产生的口令无效;
如果服务器端中根据某一个至少2位十进制随机数产生的动态口令和手机端产生的动态口令一致,记录当前随机数,改变种子的状态位,记录当前的种子和随机数;
当手机端产生的动态口令第二次在认证服务器上做认证,认证服务器端会根据第一次认证成功后的种子和随机数生成对应动态口令,并进行比对,如果一致,则认为手机端产生种子是正确的且是经过变形的,此时更新服务器端的种子,更新最新的种子为当前的种子和随机数算出来的种子。
2.根据权利要求1所述的一种用于手机令牌的种子匹配方法,其特征在于,所述手机端将序列号和激活码做摘要产生手机第一新种子。
3.根据权利要求1所述的一种用于手机令牌的种子匹配方法,其特征在于,所述服务器端将序列号和激活码做摘要产生服务器第一新种子。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510020576.9A CN104579686B (zh) | 2015-01-15 | 2015-01-15 | 一种用于手机令牌的种子匹配方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510020576.9A CN104579686B (zh) | 2015-01-15 | 2015-01-15 | 一种用于手机令牌的种子匹配方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104579686A true CN104579686A (zh) | 2015-04-29 |
| CN104579686B CN104579686B (zh) | 2018-10-30 |
Family
ID=53094965
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510020576.9A Active CN104579686B (zh) | 2015-01-15 | 2015-01-15 | 一种用于手机令牌的种子匹配方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104579686B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027263A (zh) * | 2016-07-22 | 2016-10-12 | 北京信安世纪科技有限公司 | 一种令牌种子的更新方法、装置和相关设备 |
| CN106230586A (zh) * | 2016-07-22 | 2016-12-14 | 北京信安世纪科技有限公司 | 一种令牌种子动态更新方法和装置 |
| CN109615745A (zh) * | 2018-12-12 | 2019-04-12 | 李扬渊 | 解锁方法、装置、系统、密码锁、设备和介质 |
| CN111130781A (zh) * | 2020-03-17 | 2020-05-08 | 中科天御(苏州)科技有限公司 | 一种车联网通信控制主动安全防御方法及装置 |
| CN112104456A (zh) * | 2020-08-14 | 2020-12-18 | 广州江南科友科技股份有限公司 | 一种令牌激活方法、装置、存储介质和计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003065169A2 (en) * | 2002-01-30 | 2003-08-07 | Tecsec, Inc. | Access system utilizing multiple factor identification and authentication |
| CN101662465A (zh) * | 2009-08-26 | 2010-03-03 | 深圳市腾讯计算机系统有限公司 | 一种动态口令验证的方法及装置 |
| CN102025716A (zh) * | 2010-06-29 | 2011-04-20 | 北京飞天诚信科技有限公司 | 一种对动态口令令牌的种子进行更新的方法 |
-
2015
- 2015-01-15 CN CN201510020576.9A patent/CN104579686B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003065169A2 (en) * | 2002-01-30 | 2003-08-07 | Tecsec, Inc. | Access system utilizing multiple factor identification and authentication |
| CN101662465A (zh) * | 2009-08-26 | 2010-03-03 | 深圳市腾讯计算机系统有限公司 | 一种动态口令验证的方法及装置 |
| CN102025716A (zh) * | 2010-06-29 | 2011-04-20 | 北京飞天诚信科技有限公司 | 一种对动态口令令牌的种子进行更新的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106027263A (zh) * | 2016-07-22 | 2016-10-12 | 北京信安世纪科技有限公司 | 一种令牌种子的更新方法、装置和相关设备 |
| CN106230586A (zh) * | 2016-07-22 | 2016-12-14 | 北京信安世纪科技有限公司 | 一种令牌种子动态更新方法和装置 |
| CN106027263B (zh) * | 2016-07-22 | 2019-10-18 | 北京信安世纪科技股份有限公司 | 一种令牌种子的更新方法、装置和相关设备 |
| CN109615745A (zh) * | 2018-12-12 | 2019-04-12 | 李扬渊 | 解锁方法、装置、系统、密码锁、设备和介质 |
| CN111130781A (zh) * | 2020-03-17 | 2020-05-08 | 中科天御(苏州)科技有限公司 | 一种车联网通信控制主动安全防御方法及装置 |
| CN112104456A (zh) * | 2020-08-14 | 2020-12-18 | 广州江南科友科技股份有限公司 | 一种令牌激活方法、装置、存储介质和计算机设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104579686B (zh) | 2018-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2506637C2 (ru) | Способ и устройство верификации динамического пароля | |
| WO2018046009A1 (zh) | 一种区块链身份系统 | |
| US20150207790A1 (en) | Method and system for generating and authorizing dynamic password | |
| CN102474416B (zh) | 具有增量密钥建立能力的认证令牌 | |
| CN104579686A (zh) | 一种用于手机令牌的种子匹配方法 | |
| US9768957B2 (en) | Generation and management of multiple base keys based on a device generated key | |
| CN109075965B (zh) | 使用口令码验证的前向安全密码技术的方法、系统和装置 | |
| CN103905202A (zh) | 一种基于puf的rfid轻量级双向认证方法 | |
| KR101768605B1 (ko) | 전송 메시지에 대한 부인 방지가 가능한 데이터 전송 장치 및 방법 | |
| CN113114475B (zh) | 基于比特自检puf身份认证系统及协议 | |
| US11934323B2 (en) | Diversifying a base symmetric key based on a public key | |
| CN109714760A (zh) | 一种适用于直连通信环境下智能设备的权限访问控制方法 | |
| CN106385316B (zh) | Puf模糊提取电路和方法 | |
| CN113656775A (zh) | 一种带有效期的离线密码验证方法、系统及智能锁 | |
| CN109302286B (zh) | 一种Fido设备密钥索引的生成方法 | |
| CN107968764B (zh) | 一种认证方法及装置 | |
| CN115516420A (zh) | 用于软件更新的认证密钥的可控范围 | |
| CN110601854B (zh) | 一种授权客户端、配电终端设备及其授权方法 | |
| CN115550002A (zh) | 一种基于tee的智能家居远程控制方法及相关装置 | |
| CN116318675A (zh) | 一种动态密码生成方法、系统、装置、计算机设备及介质 | |
| EP3485603B1 (de) | Token-basiertes authentisieren mit signierter nachricht | |
| CN110298941A (zh) | 一种智能门锁一次性临时密码生成方法 | |
| CN104579692A (zh) | 一种基于智能卡的信息处理方法 | |
| US9820147B2 (en) | Authentification method for a communication network | |
| CN103840943A (zh) | 基于挑战应答动态口令实现多业务认证的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |