CN107359998B - 一种便携式智能口令管理体制的建立与操作方法 - Google Patents
一种便携式智能口令管理体制的建立与操作方法 Download PDFInfo
- Publication number
- CN107359998B CN107359998B CN201710506127.4A CN201710506127A CN107359998B CN 107359998 B CN107359998 B CN 107359998B CN 201710506127 A CN201710506127 A CN 201710506127A CN 107359998 B CN107359998 B CN 107359998B
- Authority
- CN
- China
- Prior art keywords
- password
- user
- information
- account
- manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/067—Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
Abstract
一种便携式智能口令管理体制的建立与操作方法,步骤如下:1:三类实体建立通信信道;2:用户注册系统账户;3:本地口令管理准备;4:用户添加网站记录;5:口令管理器加密数据库并生成消息验证码;6:计算主口令秘密分享份额;7:加密秘密份额并分布式存储;8:用户向服务器验证身份;9:口令管理器证明运行环境未变;10:用户授权代理使用账户;11:代理自动登陆目标网站;12:用户授权其他用户使用其账户;13:用户激活更新的口令管理器;14:用户发起找回口令请求;15:用户手机恢复口令所需的信息;16:用户恢复主口令及网站口令;本发明提高了口令的管理效率,增加了使用口令的便捷,改善口令的安全性,具有推广前景。
Description
(一)技术领域:
本发明设计一种便携式智能口令管理体制的建立与操作方法,可实现用户对于多个网络账户口令信息的生成,存储,管理,使用,授权和找回功能。在保证用户个人口令信息的安全性下,使得用户可以在任何口令代理完成自动登录特定网页或者应用程序的功能,极大的提升了口令管理的效率,属于信息安全中的密码学领域。
(二)技术背景:
口令安全作为系统安全的前提,是系统安全的重要一部分。随着互联网应用的迅猛发展,每个人都需要记忆大量的网络账户名称和密码口令。仅凭借人脑记忆是难以记住所有的口令信息,因此绝大多数用户选择记忆简单的口令信息或者将口令信息在账户之间重复使用,虽然减少了用户的记忆负担,但是口令信息因此更容易被破解,带来用户个人账户信息的泄露,给用户造成损失。
口令管理系统可以帮助用户生成,存储,管理和使用口令,减少用户的记忆负担,缩短用户输入时间,提高管理口令的效率,实为如今管理口令的一种必然趋势。
目前按照口令存储介质的分类,可以将口令管理体制分为以下几类:基于电脑硬盘存储的口令管理体制,基于浏览器存储的口令管理体制,基于安全令牌存储的口令管理体制,基于个人口令管理器存储的口令管理体制。基于电脑硬盘存储的口令管理体制将口令信息存储在电脑本地,容易实现但是也容易遭受多样攻击,而且电脑不方便移动携带;基于浏览器的口令管理体制将信息存储在服务器云端,可以在任何电脑上下载口令信息使用,但是云存储安全无法保证,多次报道的网站用户个人账户信息的泄露证明了这一点;基于安全令牌的口令管理体制将口令存储在小巧且方便携带的令牌中,安全性较高,但是该令牌往往只提供针对一个网站应用的口令服务,无法同时管理多个口令。
基于个人口令管理器的存储口令管理体制是近几年新型的口令管理办法,他将口令相关信息存储在智能手机,平板,手表等个人口令管理器的本地的存储空间中,通过在个人口令管理器平台编写的软件集中化管理多个口令,兼具了以上几种口令管理体制的特点。然而,目前广泛使用的基于个人口令管理器的口令管理系统较少,也缺乏对应的高效便捷的口令管理机制。因此我们提出一种基于个人口令管理器存储的便携式口令管理体制,保证口令的安全性,提高口令的管理与使用效率。
(三)发明内容:
1、目的:本发明的目的是提出一种便携式智能口令管理体制的建立与操作方法,该体制以个人口令管理器为唯一的身份凭证标识,可以在保证口令信息在存储和传输过程中的安全前提之下,提供多个网络账户口令的管理以及网站页面和应用程序登录的功能,改变了传统的口令管理方式。此外,如果个人口令管理器丢失,系统提供找回机制,用户可以将存储在丢失的个人口令管理器上的口令信息找寻回来。同时,用户可以对指定用户授权,使得授权用户可以使用该用户的账户口令登陆网站完成相关操作。该系统可以显著提高口令的管理效率,增加用户使用口令的便捷程度,具有较远的推广前景。
2、技术方案:
本发明方案包含三类实体:1)个人口令管理器:个人口令管理器包含智能手机,平板,手表等智能可携带设备,个人口令管理器应用是指以该个人口令管理器为平台编写特定应用软件,该应用软件可以生成,存储,加密,管理,备份相关口令信息。2)口令服务器:存储着每个使用该系统用户的账户信息,提供找回,授权,无口令身份认证等功能,是管理个人口令管理器和口令代理的核心设施。3)口令代理:口令代理包含电脑,智能手机,智能平板,智能手表等可联网设备,口令代理插件是指基于特定浏览器编写的浏览器插件,或者是专门的应用程序,用来自动检测可登陆的口令代理的应用程序,用户可以通过该插件接收个人口令管理器传来的口令信息完成登录操作,并通过该插件对口令信息进行修改,同时配合其他两类实体完成相关系统操作。
本发明为一种便携式智能口令管理体制的建立与操作方法,该方法由系统初始化模块、用户注册模块、口令备份模块、口令使用模块,口令授权模块、口令找回模块六个模块共16个步骤实现其功能,六个模块由三类实体互相配合共同完成。
本发明一种便携式智能口令管理体制的建立与操作方法,其运行步骤如下:
模块一:系统初始化模块口令服务器S、个人口令管理器M以及口令代理P初始化系统参数;
步骤1:口令服务器S生成一个支持确定性盲签名的数字公钥密码体制的公私钥对(PKS,SKS),口令代理P生成一个支持验证身份的数字签名的公私钥对(PKP,SKP),他们的签名和验证算法统一用Sign和Verify表示。三类实体生成相同的安全对称密码体制加密和解密算法(E,D),以及安全杂凑函数H:{0,1}*←{0,1}l。个人口令管理器M生成以(t,n)安全常数的秘密分享方案,其秘密份额拆分算法用F表示,对应的秘密重构算法用Rec表示,其中t<n。各实体之间互相认证,建立安全通信信道;
模块二:用户注册模块新用户注册系统账户,输入个人相关信息,个人口令管理器应用生成用户主口令;用户在个人口令管理器应用中创建新的网站或应用程序的账户及登录口令,或对现有的账户口令进行修改与删除;用户的账户及口令信息被加密存储,并提供完整性检测,可以通过形式化证明的方法证明被保存的账户和口令信息是安全的;
步骤2:用户注册系统账户,M代表用户与S交互:设用户个人认证信息是Person,选取账户名ID0,记个人信息集合为A=(Person,ID0),盲化A获得个人信息集合的盲化结果A’,向S提交(ID0,A’)。S生成关于A’的盲签名σ′0,返回σ′0给ID0,M对σ′0脱盲得到签名明文σ0,验证Verify(σ0,A,PKS)=1来确认签名信息确实来自口令服务器S,随后M计算用户ID0的私钥SKM=H(A||σ0),并计算对应的公钥PKM。随后M检测本地的运行环境,得到个人管理器可识别信息Linfo,计算个人口令管理器M的私钥SKD=H(SKM||Linfo),并计算对应的公钥PKD。M发送(PKM,PKD)给S和P,S保存(ID0,PKM,PKD)
步骤3:M的本地口令管理准备:M生成主口令mp,并确定一个朋友集{ID1,ID2,……,IDn};
步骤4:M的登陆账号口令管理,创建本地数据库DB,添加网站记录RSi:对于网址URLi,网站账户名accounti,记Mi=(mp,URLi,accounti)为该条网站记录的特征消息,发送盲化后的Mi’给S,S计算特征消息Mi的盲签名σ′i,s=Sign(Mi,SKS)并返回σ′i,s给M。M对σ′i,s脱盲获得σi,s,验证Verify(σi,s,mp,URLi,accounti,PKS)=1来确认签名消息确实来自口令服务器S,然后M生成网站记录RSi的登陆口令passwordi=H(mp||σi,s),同时对该条记录标识一个唯一的标签tagi用来让用户区分各个记录;
在步骤4生成网站口令之后,用户需要将网站信息在目标网站的服务器上注册,不过使用该系统方便的是这些网站信息只需要输入一次即可,之后可由口令代理代为输入;
步骤5:M加密数据库记录及消息认证码:M使用用户ID0的私钥SKM进行签名获得σi,M=Sign(URLi,accounti,SKM),然后获得网站记录RSi的加密密钥ki,M=H(mp||σi,M),接着加密该网站记录获得密文ci即E(RSi)=E(URLi,ki,M),E(account_,),E(passwordi,ki,M)。不妨将该条记录该数据库中的主键记为rowi,随后计算消息认证码maci=H(rowi||tagi||ci||ki,M)该条记录在数据库中按以下形式保存:(rowi,tagi,E(URLi,ki,M),E(account_,ki,M),E(passwordi,ki,M),maci)每当数据库内的信息被修改(记录的添加,修改或者删除),maci都需要被更新,用来验证数据库所有信息的完整性;
模块三:口令备份模块通过秘密分享的办法将用户的主口令备份,并对秘密份额进行加密;
步骤6:M计算主口令mp的秘密分享份额:随机选取参数s0,s1,使得计算分享给朋友集的秘密份额s1,i=F(ID0,s1);
步骤7:M加密秘密份额并分布式存储:M盲化个人用户信息Pinfo为Pinfo’,发送Pinfo’给S,S生成关于Pinfo’的盲签名σ′,返回σ′给M,M对σ′脱盲得到σ,验证Verify(σ,Pinfo,PKS)=1来确认签名消息确实来自口令服务器S,随后M计算秘密份额的加密结果S0=E(s0,σ),S1,i=E(s1,i,σ),其中i=1,2,…,n。M发送S0给S,S1,i给用户IDi;
模块四:口令使用模块用户在口令代理登陆自己的系统账户,自动登录目标网站;
步骤8:用户ID0通过M向S验证身份:M使用私钥SKM对当前时间信息τ进行签名,获得关于当前时间信息的签名στ,提交(στ,τ)给S,S验证Verify(στ,τ,PKM)=1来确定用户身份确实为用户ID0;
步骤9:M向S验证自己的运行环境未改变:M使用私钥SKD对当前时间信息τ0进行签名,获得签名στ0,提交(στ0,τ0)给S,S验证Verify(στ0,τ0,PKD)=1来确定口令管理器M运行环境未曾改变;
在步骤9中用户向服务器验证个人身份时,默认了用户和个人口令管理器之间完成了认证过程,其认证办法可以是两者协商一个认证口令,该口令只保存在个人口令管理器的本地,当用户长时间未使用管理器后再次使用管理器的情况时输入该认证口令完成用户和个人口令管理器之间的身份认证;
步骤10:ID0授权P使用账户:P随机选取参数r1,以及当前时间信息τ1,记代理会话秘钥参数为d1=(r1,τ1),用公钥PKM对d1加密获得加密密文d1’,然后使用口令代理的私钥SKP计算对d1摘要的数字签名即σd1=Sign(H(d1),SKP),发送(d1’,H(d1),σd1)给S,并向S发起使用账户ID0的请求。S转发(d1’,H(d1),σd1)给M,如果M同意授权P使用账户ID0的请求,则随机选取参数r2,记用户会话秘钥参数为d2=(r2,τ2),用公钥PKP对d2加密获得密文d2’,然后使用用户ID0的私钥SKM计算对d1摘要的数字签名即σd2=Sign(H(d2),SKM),发送(d2’,H(d2),σd2)给S,S转发(d2’,H(d2),σd2)给P,并同意P使用账户ID0;
步骤11:P使用网站记录RSi:所有的tag信息被同步到P上,P通过选定tagi来向M申请使用对应的网站记录RSi,M重新计算maci来验证该条信息的完整性,如果mac值未曾改变,则M计算RSi的解密密钥,也即先计算σi,M=Sign(URLi,accounti,SKM),然后获得网站记录RSi的解密密钥ki,M=H(mp||σi,M),以此对ci解密获得RSi=(URLi,accounti,passwordi)。随后M使用SKM解密d1’获得d1,验证Verify(H(d1),σd1,PKP)=1来确认签名信息确实来自口令代理P,接着计算M与P之间传递信息的加密会话密钥为然后M用kP,M对RSi加密并发送给P,P使用SKP解密d2’获得d2,验证Verify(H(d2),σd2,PKM)=1来确认签名信息确实来自个人口令管理器M,接着计算M与P之间传递信息的解密会话密钥然后P用kP,M对传来的消息进行解密获得RSi,P接着比较待登陆网站的网址是否与URLi一致,如果一致,则将信息自动提交到网站服务器,完成登陆操作;
模块五:口令授权模块用户授权其他用户使用自己特定网站账户及其口令;
步骤12:用户IDx通过P向口令服务器M申请使用用户ID0的RSi记录,服务器收到请求之后,将询问用户ID0的个人口令管理器应用程序端的授权许可,如果用户ID0同意该操作,则用户ID0按照步骤11及12将目标信息传递给IDx,但是用户IDx所使用的P只有RSi的使用权,使用之后RSi被自动删除,服务器记录用户IDx的相关操作;
模块六:口令找回模块如果个人口令管理器遗失或者更新,在新的个人口令管理器上恢复主口令与网站登陆口令的信息;
步骤13:用户ID0激活更新的用户个人口令管理器M,并向服务器S验证个人身份:用户在更新后的M上,输入个人认证信息Person及账户名ID0,记个人信息集合A=(Person,ID0),盲化A获得A’,向S提交(ID0,A’)。S生成关于A’的盲签名σ′0,返回σ′0给ID0,M对σ′0脱盲得到σ0,验证Verify(σ0,A,PKS)=1来确认签名信息确实来自口令服务器S,随后M计算私钥SKM=H(A||σ0),随后M使用用户ID0私钥SKM对当前时间信息τ进行签名,获得签名στ,提交(στ,τ)S,S验证Verify(στ,τ,PKM)=1来确定用户身份确实为ID0。之后,M检测本地的运行环境,得到个人管理器可识别信息Linfo’,计算个人口令管理器的私钥SKD’=H(SKM||Linfo’),并计算对应的公钥PKD’,随后M将PKD’发送给S,S保存PKD’并更新管理器设备信息;
步骤14:M盲化个人用户信息Pinfo为Pinfo’,发送Pinfo’给S,代表用户ID0箱服务器S发起找回口令请求;
步骤15:M收集恢复口令所需的信息:S要求ID1,…,IDn返回分享的秘密份额,假设M收集到至少t个来自不同用户IDi返回的被加密的秘密份额,设为S1,i,…,S1,i+t-1,随后S生成关于Pinfo’的盲签名σ′,返回σ′,S0,S1,i,…,S1,i+t-1给M;
步骤16:M恢复主口令及网站口令:M对σ′脱盲得到σ,验证Verify(σ,Pinfo,PKS)=1来确认签名信息确实来自口令服务器S,随后M解密被加密的信息获得分享的秘密份额明文,也即s0=D(S0,σ),s1,i=D(S1,i,σ),其中i=i,i+1,…,i+t-1,随后M恢复恢复秘密,也即s1=Rec(s1,i,…,s1,i+t-1)并计算主口令之后就可以按照步骤4及5恢复所有网站口令;
其中,步骤1所描述的“盲签名”应采用确定性盲签名方法,比如RSA盲签名;
其中,步骤1描述的“秘密份额拆分算法”可以是现有的秘密分享算法,如shamir秘密分享算法和相关的扩展版本;
其中,步骤1所述的“秘密重构算法”依据进行秘密分享时使用的算法执行相关的恢复算法,如秘密分享时使用了经典shamir秘密分享算法,恢复秘密时可以通过拉格朗日插值公式恢复秘密。
其中,在步骤2中所述的“系统账户”,是指用户在使用该智能口令管理系统时自己的在该系统中的唯一标识名;
其中,在步骤3中所述的“生成主口令mp”的作法,是通过输入系统安全参数λ的大小,选择相应的椭圆曲线:Y2=X3+aX+b(a和b是系数),可以调用Pairing-BasedCryptosystems函数包中相关函数即可生成;
通过以上步骤,用户随身携带个人口令管理器,同时只需要记录少量信息,就可以管理所有的网络账户和口令;并在系统的智能监管之下,用户无需输入任何口令信息,就可以登录相关网页及应用程序;此外,系统提供安全的口令生成和存储办法,口令授权功能,以及个人口令管理器丢失之后的口令找回机制,可以显著提高口令的管理效率,增加用户使用口令的便捷程度,改善口令的安全性,具有较远的推广前景。
3、优点及功效:
本发明提供一种口令管理体制的建立与操作方法,将信息存储,管理操作依靠特定的个人口令管理器应用软件和口令服务器完成,在任何安装系统插件的口令代理上,合法用户都可以携带个人口令管理器在该口令代理上完成网页或者应用程序的登陆操作,十分便捷高效。该发明创新点如下:
1)用户可以随时随地在任一口令代理上登陆并使用口令。系统中,用户只需要记录自己的账户名和身份认证口令,用户可以直接在口令代理输入认证信息进行登陆自己系统账户的操作,或者选择动态登陆的方式,通过手机验证的方式登陆口令代理。口令代理的插件及补丁是以主流浏览器或特定应用程序软件为基础进行开发,更加便于系统的操作和推广。
2)使用口令时,用户无需进行任何键盘输入操作。口令代理插件会自动检测可以登陆的网站,检测到之后会自动将信息填入网站或应用程序登陆界面,完成登陆操作,极大的简化了传统登陆行为,节省用户时间。
3)口令信息存储安全性可以保证。所有口令信息保存在个人口令管理器应用之中,但不直接存储,而是根据相关口令生成参数随用随生成;口令生成参数的存储安全性可以被形式化语言证明,可以抵制暴力破解,字典攻击,重放攻击,中间人攻击,钓鱼攻击,物理观察攻击等多种攻击行为,保证手机即使在丢失的情况下也不会将信息泄露。
4)如果个人口令管理器丢失,系统也提供相应的口令找回机制。所有口令信息由用户主口令按照特定算法生成,该主口令通过秘密分享机制分享给自己信任的社会关系人员。当需要进行找回口令时,在口令服务器的协助之下,从用户的信任的社会关系人员处取回分享的秘密信息,就可以获取恢复出用户主口令,进而恢复所有口令信息。但是口令服务器,社会关系用户无法单独恢复出用户主口令;而且即使口令服务器中的信息意外泄露,攻击者也无法恢复出用户口令信息。
5)系统提供用户口令授权机制,用户可以指定其他用户暂时使用某口令信息,使得授权用户可以暂时使用特定网站或应用程序的登陆功能,却无法读取,添加,修改,删除或授权用户的口令。
综合来看,该方法可以显著提高口令的管理效率,增加用户使用口令的便捷程度,改善口令的安全性,具有较远的推广前景。
(四)附图说明:
图1为本发明所述方法的系统框架。
图2为本发明所述方法的完整系统流程框图。该图简单总结了该方法的各个流程步骤。
(五)具体实施方式
本发明为一种便携式智能口令管理体制的建立与操作方法,该方法由系统初始化模块、用户注册模块、口令备份模块、口令使用模块,口令授权模块、口令找回模块六个模块共16个步骤实现其功能,六个模块由三类实体互相配合共同完成。
本发明一种便携式智能口令管理体制的建立与操作方法,其运行步骤如下:
模块一:系统初始化模块口令服务器S、个人口令管理器M以及口令代理P初始化系统参数;
步骤1:口令服务器S生成一个支持确定性盲签名的数字公钥密码体制的公私钥对(PKS,SKS),口令代理P生成一个支持验证身份的数字签名的公私钥对(PKP,SKP),他们的签名和验证算法统一用Sign和Verify表示。三类实体生成相同的安全对称密码体制加密和解密算法(E,D),以及安全杂凑函数H:{0,1}*←{0,1}l。个人口令管理器M生成以(t,n)安全常数的秘密分享方案,其秘密份额拆分算法用F表示,对应的秘密重构算法用Rec表示,其中t<n。各实体之间互相认证,建立安全通信信道;
模块二:用户注册模块新用户注册系统账户,输入个人相关信息,个人口令管理器应用生成用户主口令;用户在个人口令管理器应用中创建新的网站或应用程序的账户及登录口令,或对现有的账户口令进行修改与删除;用户的账户及口令信息被加密存储,并提供完整性检测,可以通过形式化证明的方法证明被保存的账户和口令信息是安全的;
步骤2:用户注册系统账户,M代表用户与S交互:设用户个人认证信息是Person,选取账户名ID0,记个人信息集合为A=(Person,ID0),盲化A获得个人信息集合的盲化结果A’,向S提交(ID0,A’)。S生成关于A’的盲签名σ′0,返回σ′0给ID0,M对σ′0脱盲得到签名明文σ0,验证Verify(σ0,A,PKS)=1来确认签名信息确实来自口令服务器S,随后M计算用户ID0的私钥SKM=H(A||σ0),并计算对应的公钥PKM。随后M检测本地的运行环境,得到个人管理器可识别信息Linfo,计算个人口令管理器M的私钥SKD=H(SKM||Linfo),并计算对应的公钥PKD。M发送(PKM,PKD)给S和P,S保存(ID0,PKM,PKD)
步骤3:M的本地口令管理准备:M生成主口令mp,并确定一个朋友集{ID1,ID2,……,IDn};
步骤4:M的登陆账号口令管理,创建本地数据库DB,添加网站记录RSi:对于网址URLi,网站账户名accounti,记Mi=(mp,URLi,accounti)为该条网站记录的特征消息,发送盲化后的Mi’给S,S计算特征消息Mi的盲签名σ′i,s=Sign(Mi,SKS)并返回σ′i,s给M。M对σ′i,s脱盲获得σi,s,验证Verify(σi,s,mp,URLi,accounti,PKS)=1来确认签名消息确实来自口令服务器S,然后M生成网站记录RSi的登陆口令passwordi=H(mp||σi,s),同时对该条记录标识一个唯一的标签tagi用来让用户区分各个记录;
在步骤4生成网站口令之后,用户需要将网站信息在目标网站的服务器上注册,不过使用该系统方便的是这些网站信息只需要输入一次即可,之后可由口令代理代为输入;
步骤5:M加密数据库记录及消息认证码:M使用用户ID0的私钥SKM进行签名获得σi,M=Sign(URLi,accounti,SKM),然后获得网站记录RSi的加密密钥ki,M=H(mp||σi,M),接着加密该网站记录获得密文ci即E(RSi)=E(URLi,ki,M),E(account_,),E(passwordi,ki,M)。不妨将该条记录该数据库中的主键记为rowi,随后计算消息认证码maci=H(rowi||tagi||ci||ki,M)该条记录在数据库中按以下形式保存:(rowi,tagi,E(URLi,ki,M),E(account_,ki,M),E(passwordi,ki,M),maci)每当数据库内的信息被修改(记录的添加,修改或者删除),maci都需要被更新,用来验证数据库所有信息的完整性;
模块三:口令备份模块通过秘密分享的办法将用户的主口令备份,并对秘密份额进行加密;
步骤6:M计算主口令mp的秘密分享份额:随机选取参数s0,s1,使得计算分享给朋友集的秘密份额s1,i=F(ID0,s1);
步骤7:M加密秘密份额并分布式存储:M盲化个人用户信息Pinfo为Pinfo’,发送Pinfo’给S,S生成关于Pinfo’的盲签名σ′,返回σ′给M,M对σ′脱盲得到σ,验证Verify(σ,Pinfo,PKS)=1来确认签名消息确实来自口令服务器S,随后M计算秘密份额的加密结果S0=E(s0,σ),S1,i=E(s1,i,σ),其中i=1,2,…,n。M发送S0给S,S1,i给用户IDi;
模块四:口令使用模块用户在口令代理登陆自己的系统账户,自动登录目标网站;
步骤8:用户ID0通过M向S验证身份:M使用私钥SKM对当前时间信息τ进行签名,获得关于当前时间信息的签名στ,提交(στ,τ)给S,S验证Verify(στ,τ,PKM)=1来确定用户身份确实为用户ID0;
步骤9:M向S验证自己的运行环境未改变:M使用私钥SKD对当前时间信息τ0进行签名,获得签名στ0,提交(στ0,τ0)给S,S验证Verify(στ0,τ0,PKD)=1来确定口令管理器M运行环境未曾改变;
在步骤9中用户向服务器验证个人身份时,默认了用户和个人口令管理器之间完成了认证过程,其认证办法可以是两者协商一个认证口令,该口令只保存在个人口令管理器的本地,当用户长时间未使用管理器后再次使用管理器的情况时输入该认证口令完成用户和个人口令管理器之间的身份认证;
步骤10:ID0授权P使用账户:P随机选取参数r1,以及当前时间信息τ1,记代理会话秘钥参数为d1=(r1,τ1),用公钥PKM对d1加密获得加密密文d1’,然后使用口令代理的私钥SKP计算对d1摘要的数字签名即σd1=Sign(H(d1),SKP),发送(d1’,H(d1),σd1)给S,并向S发起使用账户ID0的请求。S转发(d1’,H(d1),σd1)给M,如果M同意授权P使用账户ID0的请求,则随机选取参数r2,记用户会话秘钥参数为d2=(r2,τ2),用公钥PKP对d2加密获得密文d2’,然后使用用户ID0的私钥SKM计算对d1摘要的数字签名即σd2=Sign(H(d2),SKM),发送(d2’,H(d2),σd2)给S,S转发(d2’,H(d2),σd2)给P,并同意P使用账户ID0;
步骤11:P使用网站记录RSi:所有的tag信息被同步到P上,P通过选定tagi来向M申请使用对应的网站记录RSi,M重新计算maci来验证该条信息的完整性,如果mac值未曾改变,则M计算RSi的解密密钥,也即先计算σi,M=Sign(URLi,accounti,SKM),然后获得网站记录RSi的解密密钥ki,M=H(mp||σi,M),以此对ci解密获得RSi=(URLi,accounti,passwordi)。随后M使用SKM解密d1’获得d1,验证Verify(H(d1),σd1,PKP)=1来确认签名信息确实来自口令代理P,接着计算M与P之间传递信息的加密会话密钥为kPM=d1⊕d2,然后M用kP,M对RSi加密并发送给P,P使用SKP解密d2’获得d2,验证Verify(H(d2),σd2,PKM)=1来确认签名信息确实来自个人口令管理器M,接着计算M与P之间传递信息的解密会话密钥然后P用kP,M对传来的消息进行解密获得RSi,P接着比较待登陆网站的网址是否与URLi一致,如果一致,则将信息自动提交到网站服务器,完成登陆操作;
模块五:口令授权模块用户授权其他用户使用自己特定网站账户及其口令;
步骤12:用户IDx通过P向口令服务器M申请使用用户ID0的RSi记录,服务器收到请求之后,将询问用户ID0的个人口令管理器应用程序端的授权许可,如果用户ID0同意该操作,则用户ID0按照步骤11及12将目标信息传递给IDx,但是用户IDx所使用的P只有RSi的使用权,使用之后RSi被自动删除,服务器记录用户IDx的相关操作;
模块六:口令找回模块如果个人口令管理器遗失或者更新,在新的个人口令管理器上恢复主口令与网站登陆口令的信息;
步骤13:用户ID0激活更新的用户个人口令管理器M,并向服务器S验证个人身份:用户在更新后的M上,输入个人认证信息Person及账户名ID0,记个人信息集合A=(Person,ID0),盲化A获得A’,向S提交(ID0,A’)。S生成关于A’的盲签名σ′0,返回σ′0给ID0,M对σ′0脱盲得到σ0,验证Verify(σ0,A,PKS)=1来确认签名信息确实来自口令服务器S,随后M计算私钥SKM=H(A||σ0),随后M使用用户ID0私钥SKM对当前时间信息τ进行签名,获得签名στ,提交(στ,τ)S,S验证Verify(στ,τ,PKM)=1来确定用户身份确实为ID0。之后,M检测本地的运行环境,得到个人管理器可识别信息Linfo’,计算个人口令管理器的私钥SKD’=H(SKM||Linfo’),并计算对应的公钥PKD’,随后M将PKD’发送给S,S保存PKD’并更新管理器设备信息;
步骤14:M盲化个人用户信息Pinfo为Pinfo’,发送Pinfo’给S,代表用户ID0箱服务器S发起找回口令请求;
步骤15:M收集恢复口令所需的信息:S要求ID1,…,IDn返回分享的秘密份额,假设M收集到至少t个来自不同用户IDi返回的被加密的秘密份额,设为S1,i,…,S1,i+t-1,随后S生成关于Pinfo’的盲签名σ′,返回σ′,S0,S1,i,…,S1,i+t-1给M;
步骤16:M恢复主口令及网站口令:M对σ′脱盲得到σ,验证Verify(σ,Pinfo,PKS)=1来确认签名信息确实来自口令服务器S,随后M解密被加密的信息获得分享的秘密份额明文,也即s0=D(S0,σ),s1,i=D(S1,i,σ),其中i=i,i+1,…,i+t-1,随后M恢复恢复秘密,也即s1=Rec(s1,i,…,s1,i+t-1)并计算主口令之后就可以按照步骤4及5恢复所有网站口令;
其中,步骤1所描述的“盲签名”应采用确定性盲签名方法,比如RSA盲签名;
其中,步骤1描述的“秘密份额拆分算法”可以是现有的秘密分享算法,如shamir秘密分享算法和相关的扩展版本;
其中,步骤1所述的“秘密重构算法”依据进行秘密分享时使用的算法执行相关的恢复算法,如秘密分享时使用了经典shamir秘密分享算法,恢复秘密时可以通过拉格朗日插值公式恢复秘密。
其中,在步骤2中所述的“系统账户”,是指用户在使用该智能口令管理系统时自己的在该系统中的唯一标识名;
其中,在步骤3中所述的“生成主口令mp”,是指通过输入系统安全参数λ的大小,选择相应的椭圆曲线:Y2=X3+a++b(a和b是系数),可以调用Pairing-Based Cryptosystems函数包中相关函数即可生成;
通过以上步骤,用户随身携带个人口令管理器,同时只需要记录少量信息,就可以管理所有的网络账户和口令;并在系统的智能监管之下,用户无需输入任何口令信息,就可以登录相关网页及应用程序;此外,系统提供安全的口令生成和存储办法,口令授权功能,以及个人口令管理器丢失之后的口令找回机制,可以显著提高口令的管理效率,增加用户使用口令的便捷程度,改善口令的安全性,具有较远的推广前景。
Claims (3)
1.一种便携式智能口令管理体制的建立与操作方法,其特征在于:其运行步骤如下:
步骤1:口令服务器S生成一个支持确定性盲签名的数字公钥密码体制的公私钥对(PKs,SKs),口令代理P生成一个支持验证身份的数字签名的公私钥对(PKP,SKP),他们的签名和验证算法统一用Sign和Verify表示;口令服务器S、口令代理P及个人口令管理器M生成相同的安全对称密码体制加密算法E和解密算法D,以及安全杂凑函数H:{0,1}*←{0,1}1;个人口令管理器M生成以t和n为参数的秘密分享方案,其秘密份额拆分算法用F表示,对应的秘密重构算法用Rec表示,其中t<n;各实体之间互相认证,建立安全通信信道;
步骤2:用户注册系统账户,M代表用户与S交互:设用户个人认证信息是Person,选取账户名ID0,记个人信息集合为A=(Person,ID0),盲化A获得个人信息集合的盲化结果A’,向S提交(ID0,A’);S生成关于A’的盲签名σ′0,返回σ′0给ID0,M对σ′0脱盲得到签名明文σ0,验证Verify(σ0,A,PKS)=1来确认签名信息确实来自口令服务器S,随后M计算用户ID0的私钥SKM=H(A||σ0),并计算对应的公钥PKM;随后M检测本地的运行环境,得到个人口令管理器可识别信息Linfo,计算个人口令管理器M的私钥SKD=H(SKM||Linfo),并计算对应的公钥PKD;M发送(PKM,PKD)给S和P,S保存(ID0,PKM,PKD);
步骤3:M的本地口令管理准备:M生成主口令mp,并确定一个朋友集{ID1,ID2,……,IDn};
步骤4:M的登录账号口令管理,创建本地数据库DB,添加网站记录RSi:对于网址URLi,网站账户名accounti,记Mi=(mp,URLi,accounti)为该条网站记录的特征消息,发送盲化后的Mi’给S,S计算特征消息Mi的盲签名σ′i,S=Sign(Mi,SKS)并返回σ′i,S给M;M对σ′i,S脱盲获得σi,S,验证Verify(σiS,mp,URLi,accounti,PKs)=1来确认签名消息确实来自口令服务器S,然后M生成网站记录RSi的登录口令passwordi=H(mp||σi,S),同时对该条记录标识一个唯一的标签tagi用来让用户区分各个记录;
在步骤4生成登录口令之后,用户需要将网站信息在目标网站的服务器上注册,只需要输入一次,之后由口令代理代为输入;
步骤5:M加密数据库记录及消息认证码:M使用用户ID0的私钥SKM进行签名获得σi,M=Sign(URLi,accounti,SKM),然后获得网站记录RSi的加密密钥ki,M=H(mp||σi,M),接着加密该网站记录获得密文E(URLi,ki,M),E(accounti,ki,M),E(passwordi,ki,M);将该条记录在数据库中的主键记为rowi,随后计算消息认证码maci=H(rowi||tagi||ci||ki,M),该条记录在数据库中按以下形式保存:(rowi,tagi,E(URLi,ki,M),E(accounti,ki,M),E(passwordi,ki,M),maci),每当数据库内的信息被修改,maci都需要被更新,用来验证数据库所有信息的完整性;
步骤6:M计算主口令mp的秘密分享份额:随机选取参数s0,s1,使得计算分享给朋友集的秘密份额s1,i=F(ID0,s1);
步骤7:M加密秘密份额并分布式存储:M盲化个人用户信息Pinfo为Pinfo’,发送Pinfo’给S,S生成关于Pinfo’的盲签名σ′,返回σ′给M,M对σ′脱盲得到σ,验证Verify(σ,Pinfo,PKS)=1来确认签名消息确实来自口令服务器S,随后M计算秘密份额的加密结果S0=E(s0,σ),S1,i=E(s1,i,σ),其中i=1,2,…,n;M发送S0给S,M发送S1,i给用户IDi;
步骤8:用户ID0通过M向S验证身份:M使用私钥SKM对当前时间信息τ进行签名,获得关于当前时间信息的签名στ,提交(στ,τ)给S,S验证Verify(στ,τ,PKM)=1来确定用户身份确实为用户ID0;
步骤9:M向S验证自己的运行环境未改变:M使用私钥SKD对当前时间信息τ0进行签名,获得签名στ0,提交(στ0,τ0)给S,S验证Verify(στ0,τ0,PKD)=1来确定口令管理器M运行环境未曾改变;
在步骤9中用户向服务器验证个人身份时,默认了用户和个人口令管理器之间完成了认证过程,其认证办法是两者协商一个认证口令,该认证口令只保存在个人口令管理器的本地,当用户长时间未使用管理器后再次使用管理器的情况时输入该认证口令完成用户和个人口令管理器之间的身份认证;
步骤10:ID0授权P使用账户:P随机选取参数r1,以及当前时间信息τ1,记代理会话秘钥参数为d1=(r1,τ1),用公钥PKM对d1加密获得加密密文d1’,然后使用口令代理的私钥SKP计算对d1摘要的数字签名即σd1=Sign(H(d1),SKP),发送(d1’,H(d1),τd1)给S,并向S发起使用账户ID0的请求;S转发(d1’,H(d1),σd1)给M,如果M同意授权P使用账户ID0的请求,则随机选取参数r2,记用户会话秘钥参数为d2=(r2,τ2),用公钥PKP对d2加密获得密文d2’,然后使用用户ID0的私钥SKM计算对d1摘要的数字签名即σd2=Sign(H(d2),SKM),发送(d2’,H(d2),σd2)给S,S转发(d2’,H(d2),σd2)给P,并同意P使用账户ID0;
步骤11:P使用网站记录RSi:所有的tag信息被同步到P上,P通过选定tagi来向M申请使用对应的网站记录RSi,M重新计算maci来验证该条信息的完整性,如果maci值未曾改变,则M计算RSi的解密密钥,也即先计算σi,M=Sign(URLi,accounti,SKM),然后获得网站记录RSi的解密密钥ki,M=H(mp||σi,M),以此对ci解密获得RSi=(URLi,accounti,passwordi),随后M使用SKM解密d1’获得d1,验证Verify(H(d1),σd1,PKP)=1来确认签名信息确实来自口令代理P,接着计算M与P之间传递信息的加密会话密钥为然后M用kP,M对RSi加密并发送给P,P使用SKP解密d2’获得d2,验证Verify(H(d2),σd2,PKM)=1来确认签名信息确实来自个人口令管理器M,接着计算M与P之间传递信息的解密会话密钥然后P用kP,M对传来的消息进行解密获得RSi,P接着比较待登录网站的网址是否与URLi一致,如果一致,则将信息自动提交到网站服务器,完成登录操作;
步骤12:用户IDx通过P向口令服务器M申请使用用户ID0的RSi记录,口令服务器收到请求之后,将询问用户ID0的个人口令管理器应用程序端的授权许可,如果用户ID0同意该操作,则用户ID0按照步骤11及12将目标信息传递给IDx,但是用户IDx所使用的P只有RSi的使用权,使用之后RSi被自动删除,服务器记录用户IDx的相关操作;
步骤13:用户ID0激活更新的用户个人口令管理器M,并向服务器S验证个人身份:用户在更新后的M上,输入个人认证信息Person及账户名ID0,记个人信息集合A=(Person,ID0),盲化A获得A’,向S提交(ID0,A’);S生成关于A’的盲签名σ′0,返回σ′0给ID0,M对σ′0脱盲得到σ0,验证Verify(σ0,A,PKS)=1来确认签名信息确实来自口令服务器S,随后M计算私钥SKM=H(A||σ0),随后M使用用户ID0私钥SKM对当前时间信息τ进行签名,获得签名στ,提交(στ,τ)给S,S验证Verify(στ,τ,PKM)=1来确定用户身份确实为ID0;之后,M检测本地的运行环境,得到个人管理器可识别信息Linfo’,计算个人口令管理器的私钥SKD’=H(SKM||Linfo’),并计算对应的公钥PKD’,随后M将PKD’发送给S,S保存PKD’并更新管理器设备信息;
步骤14:M盲化个入用产信息Pinfo为Pinfo’,发迭Pinfo’给S,代表用户ID0向服务器S发起找回口令请求;
步骤15:M收集恢复口令所需的信息:S要求ID1,…,IDn返回分享的秘密份额,M收集到至少t个来自不同用户IDi返回的被加密的秘密份额,设为S1,i,…,S1,i+t-1,随后S生成关于Pinfo’的盲签名σ′,返回σ′,S0,S1,i,…,S1,i+t-1给M;
步骤16:M恢复主口令及登录口令:M对σ′脱盲得到σ,验证Verify(σ,Pinfo,PKs)=1来确认签名信息确实来自口令服务器S,随后M解密被加密的信息获得分享的秘密份额明文,s0=D(S0,σ),s1,i=D(S1,i,σ),其中i=i,i+1,…,i+t-1,随后M恢复秘密,s1=Rec(s1,i,…,s1,i+t-1)并计算主口令之后就按照步骤4及5恢复所有登录口令。
2.根据权利要求1所述的一种便携式智能口令管理体制的建立与操作方法,其特征在于:
在步骤1中所描述的“盲签名”应采用确定性RSA盲签名方法;
在步骤1中描述的“秘密份额拆分算法”是shamir秘密分享算法或其相关的扩展版本;
在步骤1中所述的“秘密重构算法”依据进行秘密分享时使用的算法执行相关的恢复算法,秘密分享时使用了经典shamir秘密分享算法,恢复秘密时通过拉格朗日插值公式恢复秘密。
3.根据权利要求1所述的一种便携式智能口令管理体制的建立与操作方法,其特征在于:
在步骤2中所述的“系统账户”,是指用户在使用该智能口令管理系统时自己的在该系统中的唯一标识名。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710018001.2A CN106850228A (zh) | 2017-01-11 | 2017-01-11 | 一种便携式智能口令管理体制的建立与操作方法 |
CN2017100180012 | 2017-01-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107359998A CN107359998A (zh) | 2017-11-17 |
CN107359998B true CN107359998B (zh) | 2019-11-08 |
Family
ID=59118197
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710018001.2A Pending CN106850228A (zh) | 2017-01-11 | 2017-01-11 | 一种便携式智能口令管理体制的建立与操作方法 |
CN201710506127.4A Active CN107359998B (zh) | 2017-01-11 | 2017-06-28 | 一种便携式智能口令管理体制的建立与操作方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710018001.2A Pending CN106850228A (zh) | 2017-01-11 | 2017-01-11 | 一种便携式智能口令管理体制的建立与操作方法 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN106850228A (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017114419A1 (de) * | 2017-06-28 | 2019-01-03 | Deutsche Post Ag | Verfahren zum bedienungsfreien Steuern eines Fahrzeug-Schließsystems mit einem mobilen Endgerät |
CN107959569B (zh) * | 2017-11-27 | 2020-11-17 | 浙江神州量子网络科技有限公司 | 一种基于对称密钥池的密钥补充方法和密钥补充装置、密钥补充系统 |
CN108768643A (zh) * | 2018-06-22 | 2018-11-06 | 哈尔滨工业大学 | 一种隐私数据保护方法及系统 |
CN109525583B (zh) * | 2018-11-26 | 2021-03-12 | 中国科学院数据与通信保护研究教育中心 | 一种用于第三方提供身份管理的服务系统的虚假凭证检测方法及系统 |
CN109961283A (zh) * | 2019-03-18 | 2019-07-02 | 北京意锐新创科技有限公司 | 基于动态口令和数字证书的二维码支付方法和装置 |
CN110601824B (zh) * | 2019-08-26 | 2023-06-13 | 北京思源理想控股集团有限公司 | 信息的传输方法及装置 |
CN110765447B (zh) * | 2019-10-25 | 2024-01-23 | 华中师范大学 | 一种口令增强方法和手环 |
CN111107073B (zh) * | 2019-12-11 | 2022-05-10 | 数字广东网络建设有限公司 | 应用自动登录方法、装置、计算机设备和存储介质 |
CN111711624B (zh) * | 2020-06-15 | 2022-06-21 | 华中师范大学 | 安全云口令管理器控制系统、控制方法、设备及存储介质 |
CN113486324B (zh) * | 2021-07-23 | 2023-07-21 | 公安部第三研究所 | 基于sm2算法实现三因素匿名身份认证的方法 |
CN114731280B (zh) * | 2022-02-25 | 2024-02-09 | 百果园技术(新加坡)有限公司 | 身份认证方法、装置、终端及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1913431A (zh) * | 2006-08-24 | 2007-02-14 | 华为技术有限公司 | 管理网络设备的用户口令的方法、系统及口令管理服务器 |
CN101282252A (zh) * | 2007-04-06 | 2008-10-08 | 盛大信息技术(上海)有限公司 | 基于网络的远程服务器的口令管理和登录方法 |
CN105024972A (zh) * | 2014-04-21 | 2015-11-04 | 中标软件有限公司 | 一种基于云计算的口令管理方法及系统 |
-
2017
- 2017-01-11 CN CN201710018001.2A patent/CN106850228A/zh active Pending
- 2017-06-28 CN CN201710506127.4A patent/CN107359998B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1913431A (zh) * | 2006-08-24 | 2007-02-14 | 华为技术有限公司 | 管理网络设备的用户口令的方法、系统及口令管理服务器 |
CN101282252A (zh) * | 2007-04-06 | 2008-10-08 | 盛大信息技术(上海)有限公司 | 基于网络的远程服务器的口令管理和登录方法 |
CN105024972A (zh) * | 2014-04-21 | 2015-11-04 | 中标软件有限公司 | 一种基于云计算的口令管理方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107359998A (zh) | 2017-11-17 |
CN106850228A (zh) | 2017-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107359998B (zh) | 一种便携式智能口令管理体制的建立与操作方法 | |
Al Hamid et al. | A security model for preserving the privacy of medical big data in a healthcare cloud using a fog computing facility with pairing-based cryptography | |
CN107147652B (zh) | 一种基于区块链的用户多形态身份的安全融合认证方法 | |
KR102493744B1 (ko) | 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버 | |
US10516527B1 (en) | Split-key based cryptography system for data protection and synchronization across multiple computing devices | |
EP2304636B1 (en) | Mobile device assisted secure computer network communications | |
US20180013555A1 (en) | Data transmission method and apparatus | |
JP4790731B2 (ja) | 派生シード | |
He et al. | A social-network-based cryptocurrency wallet-management scheme | |
KR101982237B1 (ko) | 클라우드 컴퓨팅 환경에서의 속성 기반 암호화를 이용한 데이터 공유 방법 및 시스템 | |
US8924711B2 (en) | Hack-deterring system for storing sensitive data records | |
CN101815091A (zh) | 密码提供设备、密码认证系统和密码认证方法 | |
CN101771699A (zh) | 一种提高SaaS应用安全性的方法及系统 | |
CN103795534A (zh) | 基于口令的认证方法及用于执行该方法的装置 | |
US20070255951A1 (en) | Token Based Multi-protocol Authentication System and Methods | |
CN104038486A (zh) | 一种基于标识型密码实现用户登录鉴别的系统及方法 | |
CN110445840B (zh) | 一种基于区块链技术的文件存储和读取的方法 | |
CN113067699A (zh) | 基于量子密钥的数据共享方法、装置和计算机设备 | |
Rana et al. | Efficient and secure attribute based access control architecture for smart healthcare | |
Yan et al. | A lightweight authentication and key agreement scheme for smart grid | |
CN105281902A (zh) | 一种基于移动终端的Web系统安全登录方法 | |
CN111327629A (zh) | 身份验证方法、客户端和服务端 | |
Liu et al. | EMK-ABSE: Efficient multikeyword attribute-based searchable encryption scheme through cloud-edge coordination | |
CN114629713A (zh) | 身份验证方法、装置及系统 | |
CN113014394B (zh) | 基于联盟链的电子数据存证方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |