CN109818738A - 一种计算机终端安全登陆方法 - Google Patents
一种计算机终端安全登陆方法 Download PDFInfo
- Publication number
- CN109818738A CN109818738A CN201811647691.9A CN201811647691A CN109818738A CN 109818738 A CN109818738 A CN 109818738A CN 201811647691 A CN201811647691 A CN 201811647691A CN 109818738 A CN109818738 A CN 109818738A
- Authority
- CN
- China
- Prior art keywords
- password
- authentication
- dynamic
- dynamic password
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及信息认证技术领域,更具体地,涉及一种计算机终端安全登陆方法。包括:输入静态口令、账号和动态口令,若用户列表中有对应账号,则对动态密码进行离线认证,认证成功后进入windows登陆验证,若用户列表中无对应账号,则对动态密码进行在线认证,将计算机终端与后台动态口令认证服务器通信,动态密码认证成功后进入windows登陆验证,若在离线认证和在线认证均失败则通过预留口令进行应急登陆,认证成功后进入windows登陆验证。加强了windows桌面系统的安全性,避免了因非授权访问导致的信息泄露、非授权操作等安全问题。
Description
技术领域
本发明涉及信息认证技术领域,更具体地,涉及一种计算机终端安全登陆方法。
背景技术
目前,对桌面计算机终端的安全加固已经采取了部分安全措施,如安装防病毒软件和个人防火墙软件,甚至部署了漏洞扫描系统定期对桌面计算机进行漏洞扫描,督促用户及时更新操作系统补丁。但是,对于用户的身份认证问题,往往不够重视,以为大家都在同一个办公室,不可能出现盗用计算机及用户账号和密码的问题,但此种问题,却在实际环境中屡屡发生,不得不引起重视。
Windows桌面终端系统是客户端进入企业网络的第一道门户,如果能够在入口加强身份认证,将能够极大的保护企业信息资源。
现有存在以下几点问题:
(1)从技术上极易被泄露
互联网上病毒、木马程序、黑客恶意软件泛滥,可以以各种隐蔽的方式驻留在计算机上,并可以以多种技术实现方式窃取账户信息,如果有人庆幸还没有发生这样的安全事件,那只有三种可能:一是你还没有觉察到,二是你还没有成为目标,三是你的账户还不重要。
(2)在内部极易被猜测
由于人的惰性,以及安全意识、安全习惯、安全责任和安全技术水平缺失,人们往往设置简单密码,且长期不更新,这在内部同事之间极易猜测,由于账户命名规则统一,因此极易被别有用心的同事猜测完整的账户信息。
(3)高权限账户往往密码设置简单
一个实际情况是,往往拥有高权限账户的密码设置简单,往往是使用者的电话或者是生日,极易被同事猜测。
(4)密码安全管理制度难以实施
按照密码安全管理制度,需要设置足够复杂的密码(8位以上,数字、字母甚至字符混合)、定期修改(一般要求1个月更新一次),由于人固有的惰性,以及安全意识和习惯的缺失,这一制度实际上很难实施,特别是针对高权限账户。
一旦因用户的帐号密码泄密而发生企业机密信息泄露等违规操作,责任还是在IT部门,使用者往往可以因静态口令容易被猜测、在互联网上容易泄露等原因进行抵赖而逃避责任,最终IT部门无奈的面临责任不清或者责任不可追究的尴尬局面。
在传统的静态口令验证系统中,由于口令为“一次设置,重复使用”,由于口令的重复使用而增加了口令丢失和破解的危险性,降低了系统的安全系数,特别是在互联网环境下,黑客、木马和病毒泛滥,使得静态口令更加容易被泄露,造成企业信息系统和资源的非授权访问,导致直接经济损失和间接的信誉和商誉损失。
发明内容
本发明为克服上述现有技术所述的至少一种缺陷,提供一种计算机终端安全登陆方法,加强了windows桌面系统的安全性,避免了因非授权访问导致的信息泄露、非授权操作等安全问题。
为解决上述技术问题,本发明采用的技术方案是:一种计算机终端安全登陆方法,包括:
输入静态口令、账号和动态口令,若用户列表中有对应账号,则对动态密码进行离线认证,认证成功后进入windows登陆验证,若用户列表中无对应账号,则对动态密码进行在线认证,将计算机终端与后台动态口令认证服务器通信,动态密码认证成功后进入windows登陆验证,若在离线认证和在线认证均失败则通过预留口令进行应急登陆,认证成功后进入windows登陆验证。
进一步的,所述的动态口令采用伪随机算法生成,取当前时间和种子密钥产生动态密码,其中当前时间为同步因子,种子密钥是为了保证动态密码的唯一性和随机性的因子,时间相当于公钥,种子密钥相当于私钥。
进一步的,所述的伪随机算法包括DES算法,MD5算法,SM2算法和SM3算法。
进一步的,所述的伪随机算法预安装在计算机终端和动态口令认证服务器中。
进一步的,所述的动态口令每隔若干秒重新根据伪随机算法计算生成,所述的动态密码在时间窗口内有效。
进一步的,所述的动态口令通过动态令牌展示,所述的动态令牌为硬件设备或软件设备。
进一步的,所述的硬件设备为矩阵卡或刮刮卡。
进一步的,所述的软件设备为安装有令牌软件的移动设备。
与现有技术相比,有益效果是:加强了windows桌面系统的安全性,避免了因非授权访问导致的信息泄露、非授权操作等安全问题,解决了终端登陆认证的安全管理的问题,系统的安全不再依赖使用者的个人安全意识、安全习惯和安全技术水平,实现可掌控的安全性,实现良好的用户体验,用户不再发愁设置、更新复杂密码,且只需要携带身份认证令牌既可。
附图说明
图1是本发明流程示意图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。附图中描述位置关系仅用于示例性说明,不能理解为对本专利的限制。
如图1所示,一种计算机终端安全登陆方法,包括:
输入静态口令、账号和动态口令,若用户列表中有对应账号,则对动态密码进行离线认证,认证成功后进入windows登陆验证,若用户列表中无对应账号,则对动态密码进行在线认证,将计算机终端与后台动态口令认证服务器通信,动态密码认证成功后进入windows登陆验证,若在离线认证和在线认证均失败则通过预留口令进行应急登陆,认证成功后进入windows登陆验证。
通过本方法登入windows系统,每个授权用户都有唯一的账号和唯一的动态密码密钥,用户的动态密码是通过该密钥生成,为一次性的口令,且不可预知和伪造。用户登录操作系统时,除了一个记忆在头脑中的口令外,还必须提供他拥有的动态密码。只有同时使用正确的用户静态口令和用户本人的动态口令才有可能进入网络,使网络安全性大大提高。
在本实施例中,动态口令采用伪随机算法生成,取当前时间和种子密钥产生动态密码,其中当前时间为同步因子,种子密钥是为了保证动态密码的唯一性和随机性的因子,时间相当于公钥,种子密钥相当于私钥。每个授权用户都有唯一的账号和唯一的动态密码密钥,用户的动态密码是通过该密钥生成,为一次性的口令,且不可预知和伪造。送来的动态密码,进行一次一密认证。即使黑客通过工具截获使用过的动态密码,也有效防止口令的重发攻击。
在本实施例中,伪随机算法包括DES算法,MD5算法,SM2算法和SM3算法。
其中,DES算法为密码体制中的对称密码体制,又被称为美国数据加密标准,是1972年美国IBM公司研制的对称密码体制加密算法。 明文按64位进行分组,密钥长64位,密钥事实上是56位参与DES运算(第8、16、24、32、40、48、56、64位是校验位, 使得每个密钥都有奇数个1)分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。主要应用在认证服务器与计算机终端之间的通信加密,可以有效的解决网内盗听,搭线监听。
MD5算法为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。主要应用在 认证服务器和网络设备之间进行加密,例如常见的交换机不能安装特定的客户端,只能启用对应的保护模块与认证服务器通信,该加密方式最基本的通信加密方式。
SM2算法和RSA算法都是公钥密码算法SM2算法是一种更先进安全的算法,国家商用密码体系中被用来替换RSA算法。SM2是一种非对称算法,这是 动态令牌生成密码的关键环节,因为对称算法可以根据结果推算出加密内容,而非对称算法是根据结果无法推算出加密内容,因此每次的产生的动态码,都是无法推算出加密的种子密钥。此方法也就巧妙的规避了大规模试凑,穷举的破解方法。因为永远不知道每次变动的密码是对应的什么加密内容。
SM3密码杂凑算法,国家密码管理局编制的商用算法,用于密码应用中的数字签名和验证、消息认证码的生成与验证以及随机数的生成,可满足多种密码应用的安全需求。
SM3算法强调的是至少两种加密方式形成的加密算法,因此密码的组装的时候需要多种因素环节构成。此方法是产品的一个组合应用,单纯的动态技术已经满足了随机生成一次一密的要求,但是考虑到密码的中生成口令介质的安全性, 系统增加了PIN码设置,只有将其二者合并是使用,真正达到强身份认证作用。
在本实施例中,伪随机算法预安装在计算机终端和动态口令认证服务器中。在进行离线认证的时候,只需要通过算法计算比对即可验证动态口令是否正确,无需联网进行验证。若离线验证失败的时候,计算机终端可与认证服务器进行通信,通过认证服务器的算法计算比对对动态口令进行认证。
其中,动态口令每隔若干秒重新根据伪随机算法计算生成,动态密码在时间窗口内有效。即每30/60秒产生一个密码,使用一次后立即失效,不能重复使用。
在本实施例中,动态口令通过动态令牌展示,动态令牌为硬件设备或软件设备。动态口令应用私有随机算法产生100亿个随机数记录在数据库。该随机数应用上述的伪随机算法保证其随机性和不可预测性;随机数生成时包含唯一连续的种子密钥序列号,以此来保证令牌种子密钥的唯一性。该数据库中的记录数量足够使用100年以上,可以保证在足够长的时间内不必循环使用数据库中的随机数。生产时,从上述数据库中抽取生产订单需要数量的随机数记录,抽取完后自动从数据库中删除抽取过的随机数。然后采用国密局128位的SM3杂凑算法对抽取的随机数进行循环加密,生成种子密钥,该加密算法具有不可逆性,可以保证种子密钥的安全性。
在本实施例中,硬件设备为矩阵卡或刮刮卡。
在本实施例中,软件设备为安装有令牌软件的移动设备。
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
Claims (8)
1.一种计算机终端安全登陆方法,其特征在于,包括:
输入静态口令、账号和动态口令,若用户列表中有对应账号,则对动态密码进行离线认证,认证成功后进入windows登陆验证,若用户列表中无对应账号,则对动态密码进行在线认证,将计算机终端与后台动态口令认证服务器通信,动态密码认证成功后进入windows登陆验证,若在离线认证和在线认证均失败则通过预留口令进行应急登陆,认证成功后进入windows登陆验证。
2.根据权利要求1所述的一种计算机终端安全登陆方法,其特征在于,所述的动态口令采用伪随机算法生成,取当前时间和种子密钥产生动态密码,其中当前时间为同步因子,种子密钥是为了保证动态密码的唯一性和随机性的因子,时间相当于公钥,种子密钥相当于私钥。
3.根据权利要求2所述的一种计算机终端安全登陆方法,其特征在于,所述的伪随机算法包括DES算法,MD5算法,SM2算法和SM3算法。
4.根据权利要求2所述的一种计算机终端安全登陆方法,其特征在于,所述的伪随机算法预安装在计算机终端和动态口令认证服务器中。
5.根据权利要求3所述的一种计算机终端安全登陆方法,其特征在于,所述的动态口令每隔若干秒重新根据伪随机算法计算生成,所述的动态密码在时间窗口内有效。
6.根据权利要求1-5任一所述的一种计算机终端安全登陆方法,其特征在于,所述的动态口令通过动态令牌展示,所述的动态令牌为硬件设备或软件设备。
7.根据权利要求6所述的一种计算机终端安全登陆方法,其特征在于,所述的硬件设备为矩阵卡或刮刮卡。
8.根据权利要求6所述的一种计算机终端安全登陆方法,其特征在于,所述的软件设备为安装有令牌软件的移动设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811647691.9A CN109818738A (zh) | 2018-12-29 | 2018-12-29 | 一种计算机终端安全登陆方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811647691.9A CN109818738A (zh) | 2018-12-29 | 2018-12-29 | 一种计算机终端安全登陆方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109818738A true CN109818738A (zh) | 2019-05-28 |
Family
ID=66603324
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811647691.9A Pending CN109818738A (zh) | 2018-12-29 | 2018-12-29 | 一种计算机终端安全登陆方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109818738A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112333154A (zh) * | 2020-10-16 | 2021-02-05 | 四川九八村信息科技有限公司 | 一种基于动态密码进行权限控制方法及其血浆采集机 |
| CN114344915A (zh) * | 2021-12-29 | 2022-04-15 | 深圳方舟互动科技有限公司 | 基于ai智能识别的网络游戏交互方法 |
| CN114491633A (zh) * | 2022-01-26 | 2022-05-13 | 四川巧夺天工信息安全智能设备有限公司 | 一种基于同步种子的离线身份认证方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101662364A (zh) * | 2009-09-17 | 2010-03-03 | 北京飞天诚信科技有限公司 | 一种安全登陆的方法和系统 |
| CN102857615A (zh) * | 2012-09-24 | 2013-01-02 | 武汉大学 | 一种基于动态密码的触摸屏手机解锁方法 |
| CN106230802A (zh) * | 2016-07-26 | 2016-12-14 | 中山大学 | 一种线上帐号登录的方法 |
| CN107295011A (zh) * | 2017-08-04 | 2017-10-24 | 杭州安恒信息技术有限公司 | 网页的安全认证方法及装置 |
| US20180032714A1 (en) * | 2014-03-27 | 2018-02-01 | Yahya Zia | Method of Dynamically Adapting a Secure Graphical Password Sequence |
| CN108521333A (zh) * | 2018-04-27 | 2018-09-11 | 飞天诚信科技股份有限公司 | 一种基于动态口令进行离线认证的登录方法及系统 |
-
2018
- 2018-12-29 CN CN201811647691.9A patent/CN109818738A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101662364A (zh) * | 2009-09-17 | 2010-03-03 | 北京飞天诚信科技有限公司 | 一种安全登陆的方法和系统 |
| CN102857615A (zh) * | 2012-09-24 | 2013-01-02 | 武汉大学 | 一种基于动态密码的触摸屏手机解锁方法 |
| US20180032714A1 (en) * | 2014-03-27 | 2018-02-01 | Yahya Zia | Method of Dynamically Adapting a Secure Graphical Password Sequence |
| CN106230802A (zh) * | 2016-07-26 | 2016-12-14 | 中山大学 | 一种线上帐号登录的方法 |
| CN107295011A (zh) * | 2017-08-04 | 2017-10-24 | 杭州安恒信息技术有限公司 | 网页的安全认证方法及装置 |
| CN108521333A (zh) * | 2018-04-27 | 2018-09-11 | 飞天诚信科技股份有限公司 | 一种基于动态口令进行离线认证的登录方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 安盟动态口令认证系统: "《安盟动态口令认证系统产品说明书》", 《IASK爱问共享资料》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112333154A (zh) * | 2020-10-16 | 2021-02-05 | 四川九八村信息科技有限公司 | 一种基于动态密码进行权限控制方法及其血浆采集机 |
| CN114344915A (zh) * | 2021-12-29 | 2022-04-15 | 深圳方舟互动科技有限公司 | 基于ai智能识别的网络游戏交互方法 |
| CN114491633A (zh) * | 2022-01-26 | 2022-05-13 | 四川巧夺天工信息安全智能设备有限公司 | 一种基于同步种子的离线身份认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Conklin et al. | Password-based authentication: a system perspective | |
| Ives et al. | The domino effect of password reuse | |
| Mirante et al. | Understanding password database compromises | |
| CN109361668A (zh) | 一种数据可信传输方法 | |
| CN106453361B (zh) | 一种网络信息的安全保护方法及系统 | |
| CN109818738A (zh) | 一种计算机终端安全登陆方法 | |
| Singh | Network Security and Management | |
| Pagar et al. | Strengthening password security through honeyword and Honeyencryption technique | |
| Gupta et al. | Implementing high grade security in cloud application using multifactor authentication and cryptography | |
| KR20110007834A (ko) | 위치 인증을 통한 사용자 프로그램의 기밀문서 판독 방지방법 | |
| Walfield et al. | TOFU for OpenPGP | |
| Nwogu | Improving the security of the internet banking system using three-level security implementation | |
| Hire et al. | Security of user credentials on web portals | |
| Nair et al. | Multi-Factor Credential Hashing for Asymmetric Brute-Force Attack Resistance | |
| Moses et al. | Addressing the Inadequacies of Role Based Access Control (RBAC) models for highly privileged administrators: introducing the SNAP principle for mitigating privileged account breaches | |
| Goldberg | What does “MFA” mean? | |
| Alzomai | Identity management: Strengthening one-time password authentication through usability | |
| Shelke et al. | Prevention of phishing threats using visual cryptography and one time password (OTP) | |
| Samarati et al. | Data security | |
| Sood | Phishing Attacks: A Challenge Ahead | |
| Onashoga et al. | A one-time server-specific password authentication scheme | |
| Yang et al. | Secure Email Login Based on Lightweight Asymmetric Identities | |
| Chakraborty et al. | A Study on Password Protection and Encryption in the era of Cyber Attacks | |
| Bohuk | Characterizing and Detecting Password Guessing Attacks | |
| Poggi et al. | Information Attacks and Defenses on the Social Web |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190528 |
|
| RJ01 | Rejection of invention patent application after publication |