CN109347887B - 一种身份认证的方法及装置 - Google Patents
一种身份认证的方法及装置 Download PDFInfo
- Publication number
- CN109347887B CN109347887B CN201811541161.6A CN201811541161A CN109347887B CN 109347887 B CN109347887 B CN 109347887B CN 201811541161 A CN201811541161 A CN 201811541161A CN 109347887 B CN109347887 B CN 109347887B
- Authority
- CN
- China
- Prior art keywords
- verification
- server
- random number
- encrypted
- factor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000012795 verification Methods 0.000 claims abstract description 156
- 230000006870 function Effects 0.000 claims description 8
- 238000002360 preparation method Methods 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 abstract description 5
- 238000005516 engineering process Methods 0.000 description 9
- 230000003068 static effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 101100162210 Aspergillus parasiticus (strain ATCC 56775 / NRRL 5862 / SRRC 143 / SU-1) aflM gene Proteins 0.000 description 4
- 101100102500 Caenorhabditis elegans ver-1 gene Proteins 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 230000002457 bidirectional effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种身份认证的方法,包括:向服务器发送登录认证请求,接收到所述服务器返回的加密的注册信息后,对所述加密的注册信息进行解密验证;验证通过后,构造验证参数,将加密的验证参数发送给所述服务器。还公开了一种身份认证的装置。本方案既能够抵御冒充服务器攻击,又能防止重放攻击,且对传输信息进行加密保护,有效保障了公司网络安全。
Description
技术领域
本发明涉及网络安全技术,尤指一种身份认证的方法及装置。
背景技术
随着网络的普及,安全问题变得越来越重要。身份认证技术作为构筑现代网络信息系统安全的重要组成部分,其目的是验证用户的真实身份,防止非法用户窃取和假冒合法用户。作为一种简单有效的安全措施,基于口令的身份认证机制得到广泛应用。而在目前普遍使用的口令认证中大都是静态口令,传统的静态口令机制采用用户名+口令的形式来对用户的身份进行核对,用户登录系统时,系统通过比对用户输人的信息与系统内维护的(用户名、口令)二元组信息,来判定用户身份的合法性。传统的静态口令机制虽然简单方便,但最大特点是如果用户不修改口令,那么这个口令就固定不变并长期有效。这种特点决定了静态口令在使用过程中容易遭受攻击造成信息泄露。一次性口令认证技术又称动态口令认证技术,正是为了解决静态口令存在的问题而提出的,其主要思想是在登录过程中加入不确定因子,使得每次登录过程中传送的信息都不同,以提高登录过程中的安全性。该技术最大优点是用户每次登录的口令都不同,可以有效防范静态口令认证技术所面临的安全威胁和攻击。
目前动态口令认证技术是采用95年由IETF(Internet Engineering Task Force,互联网工程任务组)提出的设计方案。
发明内容
为了解决上述技术问题,本发明提供了一种身份认证的方法及装置,能够抵御冒充服务器攻击。
为了达到本发明目的,本发明提供了一种身份认证的方法,包括:
向服务器发送登录认证请求,接收到所述服务器返回的加密的注册信息后,对所述加密的注册信息进行解密验证;
验证通过后,构造验证参数,将加密的验证参数发送给所述服务器。
进一步地,所述对所述加密的注册信息进行解密验证,包括:
利用第一密钥对所述加密的注册信息进行解密,如解密成功,则从解密数据中提取出所述服务器生成的第一随机数,根据指定函数对所述第一随机数计算出第一验证码,如所述第一验证码与所述解密数据中的验证码一致,则验证通过,保持与所述服务器连接。
进一步地,所述构造验证参数,加密后的验证参数发送给所述服务器,包括:
产生第二随机数,针对所述第二随机数和登录口令计算第一验证因子;
从所述解密数据中提取出初始随机数,针对所述初始随机数和所述登录口令计算第二验证因子;
对所述第一验证因子和所述第二验证因子加密后发送给所述服务器。
进一步地,所述向服务器发送登录请求之前,包括:
产生所述初始随机数,根据所述初始随机数和登录口令计算初始验证因子;
向所述服务器发送注册请求,携带包括用户身份标识、所述初始随机数和所述初始验证因子的注册信息;
向所述服务器获取所述第一密钥。
一种身份认证的装置,包括:存储器和处理器;其中,包括:
所述存储器,用于保存用于身份认证的程序;
所述处理器,用于读取执行所述用于身份认证的程序,执行如下操作:
向服务器发送登录认证请求,接收到所述服务器返回的加密的注册信息后,对所述加密的注册信息进行解密验证;
验证通过后,构造验证参数,将加密后的验证参数发送给所述服务器。
进一步地,所述对所述加密数据进行解密验证,包括:
利用注册时向所述服务器获取的第一密钥对所述加密数据进行解密,如解密成功,则从解密数据中提取出所述服务器生成的第一随机数,根据指定函数对所述第一随机数计算出第一验证码,如所述第一验证码与所述解密数据中的验证码一致,则验证通过,保持与所述服务器连接。
进一步地,所述构造验证参数,将加密后的验证参数发送给所述服务器,包括:
产生第二随机数,针对所述第二随机数和登录口令计算第一验证因子;
从所述解密数据中提取出初始随机数,针对所述初始随机数和所述登录口令计算第二验证因子;
对所述第一验证因子和所述第二验证因子加密后发送给所述服务器。
进一步地,所述向服务器发送登录请求之前,包括:
产生所述初始随机数,根据所述初始随机数和登录口令计算初始验证因子;
向所述服务器发送注册请求,携带用户身份标识、所述初始随机数和所述初始验证因子;
向所述服务器获取所述第一密钥。
一种身份认证的方法,包括:
接收到客户端的登录认证请求后,将加密的注册信息发送给所述客户端;
接收到所述客户端发送的加密的验证参数后,利用第二密钥对所述加密的验证参数进行解密,对解密后的验证参数进行验证。
进一步地,所述解密后的验证参数包括:利用所述客户端产生的第二随机数和登录口令计算得到的第一验证因子和利用初始随机数和所述登录口令计算得到的第二验证因子,所述对解密后的验证参数进行验证,包括:
将所述第二验证因子与预先存储的初始验证因子进行比较,如两者相等,则验证通过;
将所述初始验证因子替换为所述第一验证因子,所述初始验证因子是通过客户端产生的初始随机数和所述登录口令计算得到。
一种身份认证的装置,包括:存储器和处理器;其中,
所述存储器,用于保存用于身份认证的程序;
所述处理器,用于读取执行所述用于身份认证的程序,执行如下操作:
接收到客户端的登录认证请求后,将加密的注册信息发送给所述客户端;
接收到所述客户端发送的加密的验证参数后,利用第二密钥对所述加密的验证参数进行解密,对解密后的验证参数进行验证。
进一步地,所述解密后的验证参数包括:利用所述客户端产生的第二随机数和登录口令计算得到的第一验证因子和利用初始随机数和所述登录口令计算得到的第二验证因子,所述对解密后的验证参数进行验证,包括:
将所述第二验证因子与预先存储的初始验证因子进行比较,如两者相等,则验证通过;
将所述初始验证因子替换为所述第一验证因子,所述初始验证因子是通过客户端产生的初始随机数和所述登录口令计算得到。
本发明实施例提出了一种身份认证的方法及装置,既能够抵御冒充服务器攻击,又能防止重放攻击,且对传输信息进行加密保护,有效保障了公司网络安全。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例的客户端侧的一种身份认证的方法的流程图;
图2为本发明实施例的服务器侧的一种身份认证的方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
现有技术的实现方式:
(l)注册阶段
用户A输入身份ID,及登录口令S,并产生随机数N0,计算出验证因子Ver=H(S||NO),然后将ID、N0和Ver这三部分传送给服务器,用户保留S。服务器收到以上三部分数据,先检查服务器数据库中有无此用户,如果有,发出错误信息;否则添加此用户到数据库中,写入格式为:ID、N0、Ver。
(2)认证阶段
当用户A想要登录时,先产生一个随机数N1,然后按照下列步骤实现认证:
用户A将用户身份ID传送给远程服务器,请求登录;
服务器先验证此用户是否注册过,如果没有,则发出错误信息,提示用户注册并拒绝登录;如果用户已经注册,则在数据库中找到此用户的N0和Ver,并将其传给用户A;
用户A计算H(S||N0)和H(S||N1),并将H(S||N0)、H(S||N1)和N1发送到服务器,其中H(S||N0)是验证本次口令的计算参数,H(S||N1)是验证下次口令时计算参数;
服务器用保留的验证因子Ver=H(S||N0)与接收来的验证因子进行比较,如果相等,则接受用户登录请求,且修改Ver=H(S||N1),并将随机数N1和验证因子Ver写入用户数据库中,以备下次用户登录时使用;如果不相等,则发出登录口令错误信息并拒绝用户登录。
现有的方案可以很好的抵御重传攻击,并且实现比较简单,但存在的安全漏洞是不能实现对服务器的认证。当用户向服务器请求认证时,攻击者可以冒充服务器对用户的认证进行响应,进而获得用户的认证信息H(S||N0)和H(S||N1),从而冒充用户登录服务器获得更多有价值的信息。此外,认证信息在用户和服务器之间传送时没有加密,存在被监听报文获取有用信息的可能。
鉴于现有方案中存在的安全问题,本发明实施例的方法对现有方案做了一系列修改。
图1为本发明实施例的客户端侧的一种身份认证的方法的流程图,如图1所示,本实施例的方法应用于客户端,包括:
步骤101、向服务器发送登录认证请求,接收到所述服务器返回的加密的注册信息后,对所述加密的注册信息进行解密验证;
步骤102、验证通过后,构造验证参数,将加密的验证参数发送给所述服务器。
既能够抵御冒充服务器攻击,又能防止重放攻击,且对传输信息进行加密保护,有效保障了公司网络安全。
在一实施例中,所述对所述加密的注册信息进行解密验证,可以包括:
利用第一密钥对所述加密的注册信息进行解密,如解密成功,则从解密数据中提取出所述服务器生成的第一随机数,根据指定函数对所述第一随机数计算出第一验证码,如所述第一验证码与所述解密数据中的验证码一致,则验证通过,保持与所述服务器连接。
这样可以实现对服务器进行验证,可以抵御冒充服务器攻击。
在一实施例中,所述构造验证参数,加密后的验证参数发送给所述服务器,可以包括:
产生第二随机数,针对所述第二随机数和登录口令计算第一验证因子;
从所述解密数据中提取出初始随机数,针对所述初始随机数和所述登录口令计算第二验证因子;
对所述第一验证因子和所述第二验证因子加密后发送给所述服务器。
在一实施例中,所述向服务器发送登录请求之前,包括:
产生所述初始随机数,根据所述初始随机数和登录口令计算初始验证因子;
向所述服务器发送注册请求,携带包括用户身份标识、所述初始随机数和所述初始验证因子的注册信息;
向所述服务器获取所述第一密钥。
所述第一密钥可以是服务器公开密钥。
相应地,本实施例提供一种身份认证的装置,包括:存储器和处理器;包括:
所述存储器,用于保存用于身份认证的程序;
所述处理器,用于读取执行所述用于身份认证的程序,执行如下操作:
向服务器发送登录认证请求,接收到所述服务器返回的加密的注册信息后,对所述加密的注册信息进行解密验证;
验证通过后,构造验证参数,将加密后的验证参数发送给所述服务器。
图2为本发明实施例的服务器侧的一种身份认证的方法的流程图,如图2所示,本实施例的方法包括:
步骤201、接收到客户端的登录认证请求后,将加密的注册信息发送给所述客户端;
步骤202、接收到所述客户端发送的加密的验证参数后,利用第二密钥对所述加密的验证参数进行解密,对解密后的验证参数进行验证。
本实施例的方法可以实现对用户的身份进行验证,防止非法用户窃取和假冒合法用户。
在一实施例中,所述解密后的验证参数包括:利用所述客户端产生的第二随机数和登录口令计算得到的第一验证因子和利用初始随机数和所述登录口令计算得到的第二验证因子,所述对解密后的验证参数进行验证,包括:
将所述第二验证因子与预先存储的初始验证因子进行比较,如两者相等,则验证通过;
将所述初始验证因子替换为所述第一验证因子,所述初始验证因子是通过客户端产生的初始随机数和所述登录口令计算得到。
相应地,本发明实施例还提供一种身份认证的装置,包括:存储器和处理器,其中,
所述存储器,用于保存用于身份认证的程序;
所述处理器,用于读取执行所述用于身份认证的程序,执行如下操作:
接收到客户端的登录认证请求后,将加密的注册信息发送给所述客户端;
接收到所述客户端发送的加密的验证参数后,利用第二密钥对所述加密的验证参数进行解密,对解密后的验证参数进行验证。
为了便于本实施例方案的描述,约定符号如下:Ui表示用户i,S表示服务器端,UIDi表示用户i的身份标识,SKp表示服务器公开密钥,SKr表示服务器私有密钥,Ek(*)表示用k加密括号中的信息,Hi表示用户和服务器共享的安全散列函数,||表示级联运算。
本实施例的方法,详细描述如下:
(A)注册阶段
用户输入身份标识UIDi及登录口令Pw,并且产生随机数R0,计算验证因子Ver=Hi(Pw||R0),用户保留Pw,将UIDi、R0和Ver通过安全通道传送到服务器,同时获取服务器公开密钥SKp并存储。服务器收到以上三部分数据,先检查服务器中有无此用户,如果有,发出错误信息;否则,添加此用户到数据库中,格式为UIDi、R0、Ver并用服务器公钥SKp加密。
(B)认证阶段
用户Ui将身份标识UIDi传送给S请求登录;
S收到请求信息后,先验证此用户是否注册过,如果没有,则发出错误信息,提示用户注册并拒绝登录;否则,为合法用户,产生随机数Rs,计算Hs=Hi(Rs),然后使用服务器私钥加密,T=EskR(Hs,Rs,R0),最后将T发送给Ui。
Ui收到S发送的消息后,使用服务器公钥解密数据T,如果不能解密,则说明服务器S不是用户Ui要进行会话的服务器,终止与其连接;否则取出Rs,计算Hs’=Hi(Rs)与传过来的Hs比较。如果不相等,也说明服务器不正确,终止与其连接;如果相等,则验证服务器S是真正的服务器。
用户Ui产生随机数R1,计算Ver1=Hi(Pw||R1),然后从使用服务器公钥对T解密的内容中取出R0,计算Ver’=Hi(Pw||R0),生成D=Eskp(Ver’,Ver1),并将D传给服务器。服务器S收到D后,首先使用服务器私钥对D解密,得到Ver’、Ver1,判断Ver’和保存在服务器端的Ver是否相等,如果不相等,说明该用户为冒充用户;否则验证用户身份,并将Ver1作为验证下次口令时的计算参数。
本实施例中,每次认证所生成的随机数Rs、R0、R1各不相同且不重复,保证了每次传输的认证数据不相同,所以攻击者重放已经截获的信息也无法进行重放攻击。
本实施例中,在整个验证过程中传送的信息经过密钥加密而进行传输,所以在传输过程中攻击者想通过监听报文获取有价值的信息是不可能的。因此具有很好的信息保密性。
本实施例的方法修正了原方案的漏洞,可以实现客户端和服务器双向认证。如果攻击者冒充服务器,则由于服务器的私钥仅服务器自己拥有,没有在网络上传输,冒充者在客户端验证EskR(T)时无法通过,这样冒充者无法得到有价值的信息。
本发明实施例提出的一种改进的一次性口令认证方案,操作简单,实现了客户端、服务端双向认证,对传输信息加密保护,增强了安全性。
本发明实施例还提供了一种计算机可读存储介质,其存储有计算机可执行指令,所述计算机可执行指令被执行时实现所述身份认证的方法。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器,如数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
Claims (6)
1.一种身份认证的方法,其特征在于,包括:
向服务器发送登录认证请求,接收到所述服务器返回的加密的注册信息后,对所述加密的注册信息进行解密验证;
验证通过后,构造验证参数,将加密的验证参数发送给所述服务器;所述加密的验证参数用于所述服务器对发出所述认证请求的客户端的身份进行验证;
其中,所述对所述加密的注册信息进行解密验证,包括:
利用第一密钥对所述加密的注册信息进行解密,如解密成功,则从解密数据中提取出所述服务器生成的第一随机数,根据指定函数对所述第一随机数计算出第一验证码,如所述第一验证码与所述解密数据中的验证码一致,则验证通过,保持与所述服务器连接;
所述构造验证参数,将加密后的验证参数发送给所述服务器,包括:
产生第二随机数,针对所述第二随机数和登录口令计算第一验证因子;
从所述解密数据中提取出初始随机数,针对所述初始随机数和所述登录口令计算第二验证因子;
对所述第一验证因子和所述第二验证因子加密后发送给所述服务器。
2.根据权利要求1所述的方法,其特征在于,所述向服务器发送登录请求之前,包括:
产生所述初始随机数,根据所述初始随机数和登录口令计算初始验证因子;
向所述服务器发送注册请求,携带包括用户身份标识、所述初始随机数和所述初始验证因子的注册信息;
向所述服务器获取所述第一密钥。
3.一种身份认证的装置,包括:存储器和处理器;其特征在于,包括:
所述存储器,用于保存用于身份认证的程序;
所述处理器,用于读取执行所述用于身份认证的程序,执行如下操作:
向服务器发送登录认证请求,接收到所述服务器返回的加密的注册信息后,对所述加密的注册信息进行解密验证;
验证通过后,构造验证参数,将加密后的验证参数发送给所述服务器;所述加密的验证参数用于所述服务器对发出所述认证请求的客户端的身份进行验证;
其中,所述对所述加密的注册信息进行解密验证,包括:
利用注册时向所述服务器获取的第一密钥对所述加密数据进行解密,如解密成功,则从解密数据中提取出所述服务器生成的第一随机数,根据指定函数对所述第一随机数计算出第一验证码,如所述第一验证码与所述解密数据中的验证码一致,则验证通过,保持与所述服务器连接;
所述构造验证参数,将加密后的验证参数发送给所述服务器,包括:
产生第二随机数,针对所述第二随机数和登录口令计算第一验证因子;
从所述解密数据中提取出初始随机数,针对所述初始随机数和所述登录口令计算第二验证因子;
对所述第一验证因子和所述第二验证因子加密后发送给所述服务器。
4.根据权利要求3所述的装置,其特征在于,所述向服务器发送登录请求之前,包括:
产生所述初始随机数,根据所述初始随机数和登录口令计算初始验证因子;
向所述服务器发送注册请求,携带用户身份标识、所述初始随机数和所述初始验证因子;
向所述服务器获取所述第一密钥。
5.一种身份认证的方法,其特征在于,包括:
接收到客户端的登录认证请求后,将加密的注册信息发送给所述客户端;所述加密的注册信息用于所述客户端对发出所述加密的注册信息的服务器的身份进行验证;
接收到所述客户端发送的加密的验证参数后,利用第二密钥对所述加密的验证参数进行解密,对解密后的验证参数进行验证;
其中,所述解密后的验证参数包括:利用所述客户端产生的第二随机数和登录口令计算得到的第一验证因子和利用初始随机数和所述登录口令计算得到的第二验证因子,所述对解密后的验证参数进行验证,包括:
将所述第二验证因子与预先存储的初始验证因子进行比较,如两者相等,则验证通过;
将所述初始验证因子替换为所述第一验证因子,所述初始验证因子是通过客户端产生的初始随机数和所述登录口令计算得到。
6.一种身份认证的装置,包括:存储器和处理器;其特征在于,
所述存储器,用于保存用于身份认证的程序;
所述处理器,用于读取执行所述用于身份认证的程序,执行如下操作:
接收到客户端的登录认证请求后,将加密的注册信息发送给所述客户端;所述加密的注册信息用于所述客户端对发出所述加密的注册信息的服务器的身份进行验证;
接收到所述客户端发送的加密的验证参数后,利用第二密钥对所述加密的验证参数进行解密,对解密后的验证参数进行验证;
其中,所述解密后的验证参数包括:利用所述客户端产生的第二随机数和登录口令计算得到的第一验证因子和利用初始随机数和所述登录口令计算得到的第二验证因子,所述对解密后的验证参数进行验证,包括:
将所述第二验证因子与预先存储的初始验证因子进行比较,如两者相等,则验证通过;
将所述初始验证因子替换为所述第一验证因子,所述初始验证因子是通过客户端产生的初始随机数和所述登录口令计算得到。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811541161.6A CN109347887B (zh) | 2018-12-17 | 2018-12-17 | 一种身份认证的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811541161.6A CN109347887B (zh) | 2018-12-17 | 2018-12-17 | 一种身份认证的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109347887A CN109347887A (zh) | 2019-02-15 |
| CN109347887B true CN109347887B (zh) | 2021-04-30 |
Family
ID=65304356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811541161.6A Active CN109347887B (zh) | 2018-12-17 | 2018-12-17 | 一种身份认证的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109347887B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110659467A (zh) * | 2019-09-29 | 2020-01-07 | 浪潮(北京)电子信息产业有限公司 | 一种远程用户身份认证方法、装置、系统、终端及服务器 |
| CN111600870B (zh) * | 2020-05-13 | 2021-08-03 | 山东大学 | 一种双向通信认证方法及系统 |
| CN112422528B (zh) * | 2020-11-03 | 2022-10-14 | 北京锐安科技有限公司 | 客户端的登录方法、装置、系统、电子设备和存储介质 |
| CN114650151A (zh) * | 2020-12-15 | 2022-06-21 | 宝能汽车集团有限公司 | 基于车辆can总线的数据传输方法、装置、系统和存储介质 |
| CN118014742A (zh) * | 2024-04-08 | 2024-05-10 | 杭州大鱼网络科技有限公司 | 一种保险身份信息传输保护方法和系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101425897B (zh) * | 2007-10-29 | 2011-05-18 | 上海交通大学 | 一种用户认证方法、系统、服务器和用户节点 |
| WO2009107120A1 (en) * | 2008-02-28 | 2009-09-03 | Modus Id Corp. | Secure transmission system |
| CN102377573A (zh) * | 2011-12-08 | 2012-03-14 | 华东师范大学 | 一种口令可安全更新的双因子身份认证方法 |
| CN103338201B (zh) * | 2013-07-02 | 2016-06-08 | 山东科技大学 | 一种多服务器环境下注册中心参与的远程身份认证方法 |
| CN103905437B (zh) * | 2014-03-22 | 2017-02-22 | 哈尔滨工程大学 | 一种基于口令的远程认证协议方法 |
| CN104660605B (zh) * | 2015-03-05 | 2018-03-23 | 北京安普诺信息技术有限公司 | 一种多因子身份验证方法及其系统 |
| CN105072110A (zh) * | 2015-08-06 | 2015-11-18 | 山东科技大学 | 一种基于智能卡的双因素远程身份认证方法 |
| CN106921640A (zh) * | 2015-12-28 | 2017-07-04 | 航天信息股份有限公司 | 身份认证方法、认证装置及认证系统 |
-
2018
- 2018-12-17 CN CN201811541161.6A patent/CN109347887B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109347887A (zh) | 2019-02-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109347887B (zh) | 一种身份认证的方法及装置 | |
| US11799656B2 (en) | Security authentication method and device | |
| US10027631B2 (en) | Securing passwords against dictionary attacks | |
| CN102026195B (zh) | 基于一次性口令的移动终端身份认证方法和系统 | |
| US8209744B2 (en) | Mobile device assisted secure computer network communication | |
| US8775794B2 (en) | System and method for end to end encryption | |
| US6105137A (en) | Method and apparatus for integrity verification, authentication, and secure linkage of software modules | |
| US8156333B2 (en) | Username based authentication security | |
| EP2905719B1 (en) | Device and method certificate generation | |
| US8590024B2 (en) | Method for generating digital fingerprint using pseudo random number code | |
| CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
| CN109981562B (zh) | 一种软件开发工具包授权方法及装置 | |
| CN108418691A (zh) | 基于sgx的动态网络身份认证方法 | |
| CN109831311B (zh) | 一种服务器验证方法、系统、用户终端及可读存储介质 | |
| WO2001082038A2 (en) | Security link management in dynamic networks | |
| CN110505055B (zh) | 基于非对称密钥池对和密钥卡的外网接入身份认证方法和系统 | |
| CN104038486A (zh) | 一种基于标识型密码实现用户登录鉴别的系统及方法 | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| CN107204985A (zh) | 基于加密密钥的权限认证方法、装置及系统 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN101309147A (zh) | 一种基于图像口令身份认证方法 | |
| CN110519222B (zh) | 基于一次性非对称密钥对和密钥卡的外网接入身份认证方法和系统 | |
| CN114944921A (zh) | 登录认证方法、装置、电子设备及存储介质 | |
| JP5186648B2 (ja) | 安全なオンライン取引を容易にするシステム及び方法 | |
| Kim et al. | A Simple Attack on a Recently Introduced Hash-based Strong-password Authentication Scheme. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |