CN110190960A - 一种基于双因子动态密码的安全路由器登录验证方法和系统 - Google Patents
一种基于双因子动态密码的安全路由器登录验证方法和系统 Download PDFInfo
- Publication number
- CN110190960A CN110190960A CN201910579774.7A CN201910579774A CN110190960A CN 110190960 A CN110190960 A CN 110190960A CN 201910579774 A CN201910579774 A CN 201910579774A CN 110190960 A CN110190960 A CN 110190960A
- Authority
- CN
- China
- Prior art keywords
- verified
- networked devices
- secure router
- mobile terminal
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Abstract
本发明涉及一种基于双因子动态密码的安全路由器登录验证方法,包括:S1、将联网设备和移动终端的联网设备标识和移动终端设备标识预先存储到安全路由器中;S2、判定所述待验证联网设备标识和所述待验证移动终端设备标识是否属于已授权,如果是执行步骤S3,否则拒绝登录;S3、生成动态密码并将所述动态密码发送到所述安全路由器和所述与所述待验证的联网设备关联的移动终端;S4、采用所述动态密码登录所述安全路由器并进行联网;S5、所述安全路由器生成周期性更新的心跳密码,并将所述心跳密码分发到登录的联网设备和移动终端;S6、验证第一心跳密码和第二心跳密码,如果验证通过则允许所述待验证的联网设备继续联网,否则断开联网。
Description
技术领域
本发明涉及信息安全领域,更具体地说,涉及一种基于双因子动态密码的安全路由器登录验证方法和系统。
背景技术
随着网络的普遍应用与发展,现实世界的数字化范围扩展迅速,应用领域已延伸到运输物流、工业制造、健康医疗、智能城市/家居/园区、安防监控、智能制造、环境监测等方方面面,具有十分广阔的市场。一方面网络的规模和复杂性成倍增长,庞大规模的终端设备联入到网络环境中来;另一方面,作为联接的核心网络设备,安全路由器仅能依靠内置加密机制,安全隐患极大。如果用户沿用默认密码,黑客可轻易攻破,而黑客入侵安全路由器后,会转而攻击联网的其他系统,即为跳板攻击;此外,非授权设备的恶意蹭网亦可导致安全路由器的连接资源消耗,可用性丧失。因此,确保安全路由器的授权连接在管理控制上做到安全可靠,是企业用户或者家庭与个人用户亟待需要解决的问题。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述缺陷,提供一种能够保障安全路由器安全,防止非授权设备登录安全路由器的基于双因子动态密码的安全路由器登录验证方法和系统。
本发明解决其技术问题所采用的技术方案是:构造一种基于双因子动态密码的安全路由器登录验证方法,包括:
S1、将已授权的联网设备和已授权的移动终端的已授权联网设备标识和已授权移动终端设备标识预先存储到安全路由器中;
S2、接收待验证的联网设备的待验证联网设备标识以及与所述待验证的联网设备关联的移动终端的待验证移动终端设备标识,并判定所述待验证联网设备标识和所述待验证移动终端设备标识是否属于已授权的联网设备和已授权的移动终端,如果是执行步骤S3,否则拒绝所述待验证的联网设备登录所述安全路由器;
S3、生成动态密码并将所述动态密码发送到所述安全路由器和所述与所述待验证的联网设备关联的移动终端;
S4、所述待验证的联网设备采用所述动态密码登录所述安全路由器并进行联网;
S5、所述安全路由器生成周期性更新的心跳密码,并将所述心跳密码分发到登录的所述待验证的联网设备和所述与所述待验证的联网设备关联的移动终端;
S6、所述待验证的联网设备将自身接收到的第一心跳密码和从所述与所述待验证的联网设备关联的移动终端接收到第二心跳密码进行验证,如果验证通过则允许所述待验证的联网设备继续联网,否则断开联网。
在本发明所述的基于双因子动态密码的安全路由器登录验证方法中,所述步骤S6进一步包括:
S61、所述待验证的联网设备直接从所述安全路由器接收所述第一心跳密码;
S62、所述待验证的联网设备通过内置的WIFI模块以挑战应答的方式从所述与所述待验证的联网设备关联的移动终端接收所述第二心跳密码;
S63、所述待验证的联网设备验证所述第一心跳密码和所述第二心跳密码是否一致,如果是执行则允许所述待验证的联网设备继续联网,否则断开联网。
在本发明所述的基于双因子动态密码的安全路由器登录验证方法中,所述步骤S5进一步包括:
S51、所述安全路由器基于物理电信号生成真随机数的方式生成周期性更新的心跳密码;
S52、所述安全路由器将所述心跳密码分发到登录的所述待验证的联网设备和所述与所述待验证的联网设备关联的移动终端,并同时销毁分发的所述心跳密码。
在本发明所述的基于双因子动态密码的安全路由器登录验证方法中,所述步骤S3进一步包括:
S31、基于物理电信号生成真随机数的方式生成所述动态密码;
S32、将所述动态密码发送到所述安全路由器和所述与所述待验证的联网设备关联的移动终端。
在本发明所述的基于双因子动态密码的安全路由器登录验证方法中,所述步骤S4进一步包括:
S41、所述待验证的联网设备通过内置的WIFI模块,以挑战应答的方式周期性轮询所述与所述待验证的联网设备关联的移动终端,以获得所述动态密码;
S42、所述待验证的联网设备基于所述动态密码向所述安全路由器发起登录验证请求,所述安全路由器验证所述动态密码,如果验证通过则允许所述待验证的联网设备登录所述安全路由器并进行联网;否则向所述与所述待验证的联网设备关联的移动终端发送拒绝通知。
在本发明所述的基于双因子动态密码的安全路由器登录验证方法中,所述步骤S1进一步包括:
S11、所述安全路由器接收已授权的联网设备和已授权的移动终端的所述已授权联网设备标识和所述已授权移动终端设备标识并形成权属关系列表。
在本发明所述的基于双因子动态密码的安全路由器登录验证方法中,所述步骤S2进一步包括:
S21、所述待验证的联网设备的内置WIFI模块主动获取所述待验证移动终端设备标识,并将所述待验证联网设备标识和所述待验证移动终端设备标识发送给所述安全路由器;
S22、所述安全路由器在所述权属关系列表中查找所述待验证联网设备标识和所述待验证移动终端设备标识,如果在所述权属关系列表中找到所述待验证联网设备标识和所述待验证移动终端设备标识,则判定所述待验证联网设备标识和所述待验证移动终端设备标识是否属于已授权的联网设备和已授权的移动终端并执行步骤S3,否则拒绝所述待验证的联网设备登录所述安全路由器。
在本发明所述的基于双因子动态密码的安全路由器登录验证方法中,所述步骤S51进一步包括:
S511、采用连续光源生成独立的三组物理随机信号;
S512、基于所述三组物理随机信号生成二进制真随机数流;
S513、基于所述二进制真随机数生成所述心跳密码并对所述心跳密码进行周期性更新。
在本发明所述的基于双因子动态密码的安全路由器登录验证方法中,所述三组独立的物理随机信号包括光照度信号、电磁辐射信号和环境噪声信号。
本发明还涉及一种基于双因子动态密码的安全路由器登录验证系统,包括联网设备、与所述联网设备关联的移动终端,以及安全路由器;所述联网设备、与所述联网设备关联的移动终端,以及安全路由器上存储计算机程序,所述计算机程序被执行时实现所述的基于双因子动态密码的安全路由器登录验证方法。
实施本发明的基于双因子动态密码的安全路由器登录验证方法及系统,通过双重验证的方式,能够有效保障安全路由器安全,防止非授权设备登录安全路由器。进一步地,通过使用真随机数生成动态密码和心跳密码,更能保证密码的安全性和秘密性,进一步有效防止黑客攻击。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明的基于双因子动态密码的安全路由器登录验证方法的第一实施例的流程图;
图2是本发明的基于双因子动态密码的安全路由器登录验证方法的生成动态密码和心跳密码的方法的优选实施例的流程图;
图3是本发明的基于双因子动态密码的安全路由器登录验证方法的用于生成动态密码和心跳密码的真随机数的方法的优选实施例的流程图;
图4是图3所示实施例中采用的光源阵列的结构示意图;
图5是图3所示实施例采用的光源随机信号生成装置以及传感器的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供了一种基于双因子动态密码的安全路由器登录验证方法,包括:S1、将已授权的联网设备和已授权的移动终端的已授权联网设备标识和已授权移动终端设备标识预先存储到安全路由器中;S2、接收待验证的联网设备的待验证联网设备标识以及与所述待验证的联网设备关联的移动终端的待验证移动终端设备标识,并判定所述待验证联网设备标识和所述待验证移动终端设备标识是否属于已授权的联网设备和已授权的移动终端,如果是执行步骤S3,否则拒绝所述待验证的联网设备登录所述安全路由器;S3、生成动态密码并将所述动态密码发送到所述安全路由器和所述与所述待验证的联网设备关联的移动终端;S4、所述待验证的联网设备采用所述动态密码登录所述安全路由器并进行联网;S5、所述安全路由器生成周期性更新的心跳密码,并将所述心跳密码分发到登录的所述待验证的联网设备和所述与所述待验证的联网设备关联的移动终端;S6、所述待验证的联网设备将自身接收到的第一心跳密码和从所述与所述待验证的联网设备关联的移动终端接收到第二心跳密码进行验证,如果验证通过则允许所述待验证的联网设备继续联网,否则断开联网。实施本发明的基于双因子动态密码的安全路由器登录验证方法,通过双重验证的方式,能够有效保障安全路由器安全,防止非授权设备登录安全路由器。
图1是本发明的基于双因子动态密码的安全路由器登录验证方法的第一实施例的流程图。如图1所示,在步骤S1中,将已授权的联网设备和已授权的移动终端的已授权联网设备标识和已授权移动终端设备标识预先存储到安全路由器中。在本发明的优选实施例中,所述步骤S1进一步包括:所述安全路由器接收已授权的联网设备和已授权的移动终端的所述已授权联网设备标识和所述已授权移动终端设备标识并形成权属关系列表。例如,可以在移动终端(即已授权的移动终端),例如手机中先下载APP,然后在手机终端APP中,用户可利用手机唯一标识串码信息注册生成账户,并将账户信息发送至安全路由器存档。然后,对于需要管理控制的联网设备(即已授权的联网设备),用户在首次启用该联网设备前,即可使用移动终端APP将注册账户与联网设备的设备标识绑定,形成用户对设备的权属关系,并发送至安全路由器存档。
在本发明的进一步的优选实施例中,在首次启用该联网设备前,用户即可使用手机终端APP扫描联网设备的二维码凭证,确保将手机终端与该联网设备捆绑,二维码凭证中含有该设备的标识信息,首次捆绑设备的用户即为管理员用户。管理员用户可在手机终端APP中为其他用户进行管理控制权限的授予与分配,形成用户-设备的权属关系列表,并发送到安全路由器存档。
在步骤S2中,接收待验证的联网设备的待验证联网设备标识以及与所述待验证的联网设备关联的移动终端的待验证移动终端设备标识,并判定所述待验证联网设备标识和所述待验证移动终端设备标识是否属于已授权的联网设备和已授权的移动终端,如果是执行步骤S3,否则拒绝所述待验证的联网设备登录所述安全路由器。
在本发明的优选实施例中,所述步骤S2进一步包括S21、所述待验证的联网设备的内置WIFI模块主动获取所述待验证移动终端设备标识,并将所述待验证联网设备标识和所述待验证移动终端设备标识发送给所述安全路由器;S22、所述安全路由器在所述权属关系列表中查找所述待验证联网设备标识和所述待验证移动终端设备标识,如果在所述权属关系列表中找到所述待验证联网设备标识和所述待验证移动终端设备标识,则判定所述待验证联网设备标识和所述待验证移动终端设备标识是否属于已授权的联网设备和已授权的移动终端并执行步骤S3,否则执行步骤S8,拒绝所述待验证的联网设备登录所述安全路由器。
例如,待验证的联网设备需要联入网络时,用户只需将手机终端靠近该待验证的联网设备,该待验证的联网设备内置的WIFI模块会在其可探测范围内,主动获取用户手机终端唯一串码,并连同自身标识发送至安全路由器。安全路由器接收到手机串码和设备标识信息后,会在其存储的用户-设备权属关系列表中进行查找匹配,判断是否在权属关系列表内,如果不在此范围内,则提示无权联网并管理控制该设备,如成功查找到,则要求第三方密码服务模块启动动态密码生成程序。
在步骤S3中,生成动态密码并将所述动态密码发送到所述安全路由器和所述与所述待验证的联网设备关联的移动终端。在本发明中,可以采用任何已知方法生成所述动态密码。在本发明中,优选的,采用第三方密码服务模块利用密码算法进行动态密码生成,并随即存储安全路由器,并同步发送到用户的手机终端APP中。
在本发明的进一步的优选实施例中,所述步骤S3进一步包括:S31、基于物理电信号生成真随机数的方式生成所述动态密码;S32、将所述动态密码发送到所述安全路由器和所述与所述待验证的联网设备关联的移动终端。在本发明的优选实施例中,例如基于真实的随机物理过程生成随机数,即选择具有统计学随机的信号,如光电、噪声、电磁信号,产生无周期性、无相关性、分布均匀的随机数,拥有设备无关、不可预测、不可逆、不能重复的特点,以达到真正随机的目标。
在步骤S4中,所述待验证的联网设备采用所述动态密码登录所述安全路由器并进行联网。在本发明的优选实施例中,所述待联网设备周期化轮询用户手机终端APP,一旦用户的手机终端APP接收到安全路由器的动态密码,则待联网设备主动从用户手机终端APP中获取此动态密码,并利用该密码登陆安全路由器。
在本发明的进一步的优选实施例中,所述步骤S4进一步包括:S41、所述待验证的联网设备通过内置的WIFI模块,以挑战应答的方式周期性轮询所述与所述待验证的联网设备关联的移动终端,以获得所述动态密码;S42、所述待验证的联网设备基于所述动态密码向所述安全路由器发起登录验证请求,所述安全路由器验证所述动态密码,如果验证通过则允许所述待验证的联网设备登录所述安全路由器并进行联网;否则向所述与所述待验证的联网设备关联的移动终端发送拒绝通知。
在所述步骤S5中,所述安全路由器生成周期性更新的心跳密码,并将所述心跳密码分发到登录的所述待验证的联网设备和所述与所述待验证的联网设备关联的移动终端。在本发明的优选实施例中,当所述待验证的联网设备登陆验证通过后,所述待验证的联网设备连入网络,为防止密码截取和重放攻击,安全路由器采用短时周期变化的心跳密码变更机制验证已联网设备的合法性。所述步骤S5进一步包括:S51、所述安全路由器基于物理电信号生成真随机数的方式生成周期性更新的心跳密码;S52、所述安全路由器将所述心跳密码分发到登录的所述待验证的联网设备和所述与所述待验证的联网设备关联的移动终端,并同时销毁分发的所述心跳密码。
在步骤S6中,所述待验证的联网设备将自身接收到的第一心跳密码和从所述与所述待验证的联网设备关联的移动终端接收到第二心跳密码进行验证,如果验证通过则执行步骤S7允许所述待验证的联网设备继续联网,否则执行步骤S9断开联网。在本发明的优选实施例中,所述步骤S6进一步包括:S61、所述待验证的联网设备直接从所述安全路由器接收所述第一心跳密码;S62、所述待验证的联网设备通过内置的WIFI模块以挑战应答的方式从所述与所述待验证的联网设备关联的移动终端接收所述第二心跳密码;S63、所述待验证的联网设备验证所述第一心跳密码和所述第二心跳密码是否一致,如果是执行则允许所述待验证的联网设备继续联网,否则断开联网。
实施本发明的基于双因子动态密码的安全路由器登录验证方法及系统,通过双重验证的方式,能够有效保障安全路由器安全,防止非授权设备登录安全路由器。进一步地,通过使用真随机数生成动态密码和心跳密码,更能保证密码的安全性和秘密性,进一步有效防止黑客攻击。
图2是本发明的基于双因子动态密码的安全路由器登录验证方法的生成动态密码和心跳密码的优选实施例的流程图。
基于物理信号生成真随机数的方法由真随机的物理信号作为信号源,从本质上讲是非确定性的,没有算法被用来产生可预测的后继位。因此,真随机数生成装置的结构和算法允许公开,这就使其在本质上区别于广泛应用的伪随机数发生器。由于真随机数的产生需要一个真正随机的信号源,每个真随机数生成装置都需要一个熵的物理信号源。熵一般是衡量物理系统中的无序的指标,在信息论方面,熵可以作为衡量信号源不可预测性的指标。真随机数生成装置所产生的随机数来源于真实的随机物理过程,彻底消除了伪随机数的周期性问题。采集大量随机数最好的方法是选取真实世界的自然随机,真随机源的获取可以有下列方式:1.使用随机噪声,选取真实世界的自然随机性;2、使用计算机时钟,获取到秒级可以认为是随机的;3.测量键盘的反应时间,用人们打字的随机方式来产生随机位,测量连续击键的时间,然后取这些测量的最低有效位;4.提取随机性。在通常情况下,产生随机数最好的办法是找出许多似乎是随机的事件,然后从中提取;5.各种随机物理过程如宇宙噪声、CMOS电路中的噪声、光子振动和放射性衰变均可用于产生随机物理信号。
基于上述思路,提供了一种基于真随机数生成动态密码和心跳密码的方法。如图2所示,在步骤S221中,采用连续光源生成独立的三组物理随机信号。在本发明的优选实施例中,所述三组独立的物理随机信号包括光照度信号、电磁辐射信号和环境噪声信号。在本发明的优选实施例中,可以采用发光灯作为连续光源。选择连续光源作为随机信号生成器的原因如下:光电效应经理论及实验证实具有完全不可预测性;光源选择丰富,类型多;容易组成阵列,产生更多的随机组合;各光源可独立控制,且控制简单;可产生多种随机信号,如光照度、电磁辐射、噪声等;性价比高。从能耗、使用寿命、响应时间上考虑,优选使用LED光源。在本实施例中,利用光源的量子特性,产生三组独立的物理随机信号,从而保证提供量子熵源。由光照度信号、电磁辐射信号和环境噪声信号等组成混沌熵源。从而提供了高冗余级别和用于生成每个输出位的熵值,确保产生最高质量的真随机数。
优选的,在本实施例中,可以使用继电器模块或控制板卡形式控制光源发光,电磁继电器动作次数在20万次以内,使用寿命有限。采用控制板卡方式则无动作次数限制且控制频率高,但控制装置成本会增高。本发明的优选实施例中,根据装置运行寿命及随机数生成速率要求,采用板卡进行控制。当然,在本发明的其他优选实施例中,还可以采用其他控制方式。
在步骤S222中,基于所述三组物理随机信号生成二进制真随机数流。在本发明的优选实施例中,可以采用多个传感器检测所述三组物理随机信号并判定所述三组物理随机信号中是否至少有两组有效,如果是执行后续步骤,否则停止生成二进制真随机数流。在判定所述三组物理随机信号中是否至少有两组有效时,对检测到物理随机信号进行融合、扰码和分析以生成所述二进制真随机数流。然后可以采用以千兆以太网接口,例如RJ45、USB对外发布。由于三组物理随机信号类型多样且不可逆、采集装置的测量误差、电源波动、环境干扰等因素,即使光阵列连续以同样逻辑运作,所测量的结果也不一致,因此所生成的随机数具有不可预测性、不可逆特性,且能高速生成。
在步骤S223中,采用随机统计检验包验证所述二进制真随机数流中的真随机数的安全性和随机性。在本发明的优选实施例中,采用国际上通用的标准的随机性的统计检验包NIST-STS进行全面测试,使得生成的真随机数能够保证最高级别的安全性和随机性。国内/国际随机性检测规范标准所含检测项目如下表1:
表1
按上述NIST-STS规定的16个项目进行检测,样本数量不少于1000,每个样本长度不低于106比特。单项检测如果20组或以上不能通过检测,则不合格。允许重复1次随机数采集与检测,如果仍不合格,则判定随机性不合格。当然,在本发明的其他优选实施例中,还可以采用其他的检测方法进行相关检测,这些均落入本发明的保护范围。
在步骤S224中,基于所述真随机数生成所述动态密码或者所述心跳密码。本领域技术人员知悉,可以直接将设定时间段或者设定位数的上述随机生成的所述真随机数作为所述动态密码,或者所述心跳密码。
图3是本发明的基于双因子动态密码的安全路由器登录验证方法的用于生成动态密码和心跳密码的真随机数的方法的优选实施例的流程图。如图3所示,在步骤S331中,采用由多个独立发光的光源构建的光源阵列生成所述三组物理随机信号。在本发明的优选实施例中,如图4所示,可以采用红、绿、黄、白蓝五种颜色的36个LED光源,按照6*6形式排布构造所述光源阵列。在本发明的进一步的优选实施例中,该LED光源的参数如下寿命:40000h;亮度:>100cd/m2;电源:DC24V、15mA;接口:接插式(2.8*0.8mm)/螺钉式;外径:7.5mm~29mm;外壳材质铜镀铬或不锈钢,坚固耐用。总共可产生236种光组合,产生具有统计学随机的物理随机信号。
在步骤S332中,驱动各个所述独立发光的光源发光以产生物理随机变化的所述光照度信号、所述电磁辐射信号和所述环境噪声信号。优选的,可以采用继电器模块或控制板卡独立驱动所述36个LED光源。优选的,在本实施例中,可以使用继电器模块或控制板卡形式控制光源发光,电磁继电器动作次数在20万次以内,使用寿命有限。采用控制板卡方式则无动作次数限制且控制频率高,但控制装置成本会增高。本发明的优选实施例中,根据装置运行寿命及随机数生成速率要求,采用板卡进行控制。当然,在本发明的其他优选实施例中,还可以采用其他控制方式。
如图5所示,可以主要通过接线盒30对36个LED灯光源61进行连接,接线盒30通过连接电缆10连接信号控制卡72;具体控制动作由信号控制卡72进行控制。例如可以使用PCI插槽式板卡PCI-1752U,能够提供隔离数字量输入通道和隔离数字量输出通道,隔离保护电压可达到2500VDC。此外所有输出通道在系统重启后都可以保持它们上次的输出值,同时PCI-1752U提供通道冻结功能,在操作工作中可以将每个通道的当前输出状态维持不变。主要技术指标如下:64路隔离数字量输出;输出通道高电压隔离(2500VDC);2000VDC ESD保护;宽输入范围(5~40VDC);隔离输出通道上的高汇点电流(最大200mA/每通道);输出状态回读;热重启动系统时保持数字量输出值;通道冻结功能。在本实施例中,36个LED灯光源61可以伪随机方式驱动,驱动函数可由监控主机自定义,与环境结合,产生物理随机变化的所述光照度信号、所述电磁辐射信号和所述环境噪声信号。
在步骤S333中采用多个传感器检测所述三组物理随机信号并判定所述三组物理随机信号中是否至少有两组有效,如果是执行步骤S4,否则停止生成二进制真随机数流,整个进程结束。在本发明的进一步的优选实施例中,可以对所述三组物理随机信号进行增强处理。
如图5所示,可以采用信号采集卡71通过连接电缆10连接接线盒40,接线盒40进一步通过信号电缆20连接光照度传感器51、声音传感器53和磁感应强度传感器52从而采集所述光照度信号、所述电磁辐射信号和所述环境噪声信号。信号采集卡71可以直接插入工控机PCI插槽,通过接线盒40连接各信号传感器51-53进行信号采集。
所述信号采集卡71可以选择如下几种类型:1、高精度动态信号采集卡PCIE-1802:具有8通道,24位,216kS/s/ch,动态信号同步采集卡。内置4mA/10mA激励电流,可用于测量集成电子压电式(IEPE)传感器,如声音、振动信号;2、多通道同步采样多功能卡PCI-1706U:具有8通道,16位,250KS/s,同步取样高精度通用多功能卡。它带有8个250KS/s16位A/D转换器;3、多通道扫描采样多功能卡PCI-1716:具有16通道,16位,250KS/s,高分辨率多功能数据采集卡。它带有1个250KS/s16位A/D转换器。
所述光照度传感器51可以选择如昆仑海岸ZD-6VBM:其采用高灵敏度的光敏元件作为传感器,具有测量范围宽,线性度好,防水性能好,使用、安装方便,传输距离远等特点。
所述声音传感器53可以选择如下几种类型:1、GRAS 40PH/NI782121-06;其集成智能传感器和集成放大器,通过IEPE激励供电,方便使用。频率响应范围10Hz-20kHz,SMB接口,符合1类声级计标准;2、科尚仪器KSI-308A-213:其是1/2英寸驻极体电容传声器。标配的前置放大器采用4mA恒流源(IEPE)供电,频率响应范围20Hz-20kHz,BNC口输出。与带极化电压的前置放大器相比,结构简单,使用方便;3、澄科电子AWA14423声音传感器+AWA14604前置放大器;其采用镍振膜和镍合金外壳,并进行特殊的稳定性处理,具有频率范围宽、频率特性好等优。磁感应强度传感器52可以选择如康威霍尔型磁场感应模块,其采用线性霍尔效应传感器,用于检测信号源的磁感应强度,具有低噪声、低功耗、高精度特点,内含薄膜电阻,有更好的温度稳定性和准确性。
在本优选实施例中,所述三组独立的物理随机信号包括光照度信号、电磁辐射信号和环境噪声信号,这三组模拟信号,所以可以使用专用的模块化采集装置或采集卡。模块化装置针对具体的信号,传感器与采集结合,需要使用多个模块采集,并以通讯方式接连,采样精度与采样速率较低,部署简单,成本低。而使用PCI/PCIe/PXI/PXIe采集卡形式,传感器与采集分离,采样精度与采样速率都较高。
在本发明的进一步的优选实施例中,所述光照度传感器51检测LED光照度信号,因此装于光源阵列正前方;所述磁感应强度传感器52检测磁感应强度,装于光源阵列正前方;所述声音传感器53用于检测环境噪声,装于光源阵列的背板上。进一步的,还可以设置电能检测模块采集电压、电流,装于供电回路;各传感器输出信号接入信号采集卡,主机通过PCI/PXI总线采集数据。
在步骤S334中,对检测到物理随机信号进行融合、扰码和分析以生成所述二进制真随机数流。在本发明的优选实施例中,所述步骤S4进一步包括对检测到的物理随机信号提取有效信息位;对所述有效信息位进行异或处理以生成预处理的有效二进制位数据;采用线性反馈移位寄存器对所述有效二进制位数据进行扰码处理以生成所述二进制真随机数流。这样可以避免生成的随机数二进制流出现连续的1。在本实施例中,有效信息位不包括每次采样的不变区域的值。
在本发明的进一步的优选实施例中,将所述有效二进制位数据与36位线性反馈移位寄存器的输出进行异或运算以生成所述二进制真随机数流,其中循环周期为236,初始种子来源于采集的理随机信号即所述光照度信号、所述电磁辐射信号和所述环境噪声信号。另一方面对采集到的所述光照度信号、所述电磁辐射信号和所述环境噪声信号进行融合,生成随机数。在本发明进一步的优选实施例中,还可以包括对硬件设备工作状态监测,如采集设备、传感器、光源等出现故障,则禁止输出随机数。在本发明中由于信号源类型多样且不可逆、采集装置的测量误差、电源波动、环境干扰等因素,即使光阵列连续以同样逻辑运作,所测量的结果也不一致,因此所生成的随机数具有不可预测性、不可逆特性,且能高速生成;可以应用于密码学、信息安全、人工智能、数值计算、随机抽样、神经计算等领域。
在步骤S335中,采用随机统计检验包验证所述二进制真随机数流中的真随机数的安全性和随机性。在本发明的优选实施例中,采用国际上通用的标准的随机性的统计检验包NIST-STS进行全面测试,使得生成的真随机数能够保证最高级别的安全性和随机性。
本实施例基于多种随机的物理信号,多信号类型包括光强度、电磁辐射及声音信号,产生真随机数,不可预测、不可逆;信号源使用6×6光源阵列,并使用不同功率的光源;每个光源可独立控制,光源组合类型高达236;随机数生成速率超过1kbps;生成的随机信号再通过国际通用的标准的检测包NIST-STS进行检测,保证生成高质量的真随机数。解决了目前广泛应用的伪随机数的不足,适用于目前高随机度要求的信息安全领域等。
本实施例中生成的真随机数,可以用来生成动态密码或心跳密码,从而用于上述基于双因子动态密码的安全路由器登录验证方法。
本发明还涉及一种基于双因子动态密码的安全路由器登录验证系统,包括联网设备、与所述联网设备关联的移动终端,以及安全路由器;所述联网设备、与所述联网设备关联的移动终端,以及安全路由器上存储计算机程序,所述计算机程序被执行时实现所述的基于双因子动态密码的安全路由器登录验证方法。
因此,本发明可以通过硬件、软件或者软、硬件结合来实现。本发明可以在至少一个计算机系统中以集中方式实现,或者由分布在几个互连的计算机系统中的不同部分以分散方式实现。任何可以实现本发明方法的计算机系统或其它设备都是可适用的。常用软硬件的结合可以是安装有计算机程序的通用计算机系统,通过安装和执行程序控制计算机系统,使其按本发明方法运行。
本发明还可以通过计算机程序产品进行实施,程序包含能够实现本发明方法的全部特征,当其安装到计算机系统中时,可以实现本发明的方法。本文件中的计算机程序所指的是:可以采用任何程序语言、代码或符号编写的一组指令的任何表达式,该指令组使系统具有信息处理能力,以直接实现特定功能,或在进行下述一个或两个步骤之后实现特定功能:a)转换成其它语言、编码或符号;b)以不同的格式再现。
实施本发明的基于双因子动态密码的安全路由器登录验证方法及系统,通过双重验证的方式,能够有效保障安全路由器安全,防止非授权设备登录安全路由器。进一步地,通过使用真随机数生成动态密码和心跳密码,更能保证密码的安全性和秘密性,进一步有效防止黑客攻击。
虽然本发明是通过具体实施例进行说明的,本领域技术人员应当明白,在不脱离本发明范围的情况下,还可以对本发明进行各种变换及等同替代。另外,针对特定情形或材料,可以对本发明做各种修改,而不脱离本发明的范围。因此,本发明不局限于所公开的具体实施例,而应当包括落入本发明权利要求范围内的全部实施方式。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于双因子动态密码的安全路由器登录验证方法,其特征在于,包括:
S1、将已授权的联网设备和已授权的移动终端的已授权联网设备标识和已授权移动终端设备标识预先存储到安全路由器中;
S2、接收待验证的联网设备的待验证联网设备标识以及与所述待验证的联网设备关联的移动终端的待验证移动终端设备标识,并判定所述待验证联网设备标识和所述待验证移动终端设备标识是否属于已授权的联网设备和已授权的移动终端,如果是执行步骤S3,否则拒绝所述待验证的联网设备登录所述安全路由器;
S3、生成动态密码并将所述动态密码发送到所述安全路由器和所述与所述待验证的联网设备关联的移动终端;
S4、所述待验证的联网设备采用所述动态密码登录所述安全路由器并进行联网;
S5、所述安全路由器生成周期性更新的心跳密码,并将所述心跳密码分发到登录的所述待验证的联网设备和所述与所述待验证的联网设备关联的移动终端;
S6、所述待验证的联网设备将自身接收到的第一心跳密码和从所述与所述待验证的联网设备关联的移动终端接收到第二心跳密码进行验证,如果验证通过则允许所述待验证的联网设备继续联网,否则断开联网。
2.根据权利要求1所述的基于双因子动态密码的安全路由器登录验证方法,其特征在于,所述步骤S6进一步包括:
S61、所述待验证的联网设备直接从所述安全路由器接收所述第一心跳密码;
S62、所述待验证的联网设备通过内置的WIFI模块以挑战应答的方式从所述与所述待验证的联网设备关联的移动终端接收所述第二心跳密码;
S63、所述待验证的联网设备验证所述第一心跳密码和所述第二心跳密码是否一致,如果是执行则允许所述待验证的联网设备继续联网,否则断开联网。
3.根据权利要求2所述的基于双因子动态密码的安全路由器登录验证方法,其特征在于,所述步骤S5进一步包括:
S51、所述安全路由器基于物理电信号生成真随机数的方式生成周期性更新的心跳密码;
S52、所述安全路由器将所述心跳密码分发到登录的所述待验证的联网设备和所述与所述待验证的联网设备关联的移动终端,并同时销毁分发的所述心跳密码。
4.根据权利要求3所述的基于双因子动态密码的安全路由器登录验证方法,其特征在于,所述步骤S3进一步包括:
S31、基于物理电信号生成真随机数的方式生成所述动态密码;
S32、将所述动态密码发送到所述安全路由器和所述与所述待验证的联网设备关联的移动终端。
5.根据权利要求4所述的基于双因子动态密码的安全路由器登录验证方法,其特征在于,所述步骤S4进一步包括:
S41、所述待验证的联网设备通过内置的WIFI模块,以挑战应答的方式周期性轮询所述与所述待验证的联网设备关联的移动终端,以获得所述动态密码;
S42、所述待验证的联网设备基于所述动态密码向所述安全路由器发起登录验证请求,所述安全路由器验证所述动态密码,如果验证通过则允许所述待验证的联网设备登录所述安全路由器并进行联网;否则向所述与所述待验证的联网设备关联的移动终端发送拒绝通知。
6.根据权利要求5所述的基于双因子动态密码的安全路由器登录验证方法,其特征在于,所述步骤S1进一步包括:
S11、所述安全路由器接收已授权的联网设备和已授权的移动终端的所述已授权联网设备标识和所述已授权移动终端设备标识并形成权属关系列表。
7.根据权利要求6所述的基于双因子动态密码的安全路由器登录验证方法,其特征在于,所述步骤S2进一步包括:
S21、所述待验证的联网设备的内置WIFI模块主动获取所述待验证移动终端设备标识,并将所述待验证联网设备标识和所述待验证移动终端设备标识发送给所述安全路由器;
S22、所述安全路由器在所述权属关系列表中查找所述待验证联网设备标识和所述待验证移动终端设备标识,如果在所述权属关系列表中找到所述待验证联网设备标识和所述待验证移动终端设备标识,则判定所述待验证联网设备标识和所述待验证移动终端设备标识是否属于已授权的联网设备和已授权的移动终端并执行步骤S3,否则拒绝所述待验证的联网设备登录所述安全路由器。
8.根据权利要求3所述的基于双因子动态密码的安全路由器登录验证方法,其特征在于,所述步骤S51进一步包括:
S511、采用连续光源生成独立的三组物理随机信号;
S512、基于所述三组物理随机信号生成二进制真随机数流;
S513、基于所述二进制真随机数生成所述心跳密码并对所述心跳密码进行周期性更新。
9.根据权利要求8所述的基于双因子动态密码的安全路由器登录验证方法,其特征在于,所述三组独立的物理随机信号包括光照度信号、电磁辐射信号和环境噪声信号。
10.一种基于双因子动态密码的安全路由器登录验证系统,其特征在于,包括联网设备、与所述联网设备关联的移动终端,以及安全路由器;所述联网设备、与所述联网设备关联的移动终端,以及安全路由器上存储计算机程序,所述计算机程序被执行时实现权利要求1-9中任意一项所述的基于双因子动态密码的安全路由器登录验证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910579774.7A CN110190960B (zh) | 2019-06-28 | 2019-06-28 | 一种基于双因子动态密码的安全路由器登录验证方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910579774.7A CN110190960B (zh) | 2019-06-28 | 2019-06-28 | 一种基于双因子动态密码的安全路由器登录验证方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110190960A true CN110190960A (zh) | 2019-08-30 |
| CN110190960B CN110190960B (zh) | 2021-07-09 |
Family
ID=67724327
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910579774.7A Active CN110190960B (zh) | 2019-06-28 | 2019-06-28 | 一种基于双因子动态密码的安全路由器登录验证方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110190960B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014005004A1 (en) * | 2012-06-29 | 2014-01-03 | Techlok, Llc | Proximity aware security system for portable electronics with multi-factor user authentication and secure device identity verification |
| US20160149894A1 (en) * | 2014-11-25 | 2016-05-26 | Appright, Inc. | System and method for providing multi factor authentication |
| CN106375166A (zh) * | 2016-09-30 | 2017-02-01 | 无锡小天鹅股份有限公司 | 家用电器的配网方法、装置、系统和智能路由器 |
| CN106789462A (zh) * | 2016-12-15 | 2017-05-31 | 九阳股份有限公司 | 一种智能家电入网安全控制方法 |
-
2019
- 2019-06-28 CN CN201910579774.7A patent/CN110190960B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014005004A1 (en) * | 2012-06-29 | 2014-01-03 | Techlok, Llc | Proximity aware security system for portable electronics with multi-factor user authentication and secure device identity verification |
| US20160149894A1 (en) * | 2014-11-25 | 2016-05-26 | Appright, Inc. | System and method for providing multi factor authentication |
| CN106375166A (zh) * | 2016-09-30 | 2017-02-01 | 无锡小天鹅股份有限公司 | 家用电器的配网方法、装置、系统和智能路由器 |
| CN106789462A (zh) * | 2016-12-15 | 2017-05-31 | 九阳股份有限公司 | 一种智能家电入网安全控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110190960B (zh) | 2021-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11599098B2 (en) | Apparatus and methods for testing circuit elements at one or more manufacturing stages | |
| CN110333842B (zh) | 一种真随机数生成方法及系统 | |
| US11580321B2 (en) | Systems, devices, and methods for machine learning using a distributed framework | |
| CN103890712B (zh) | 用于随机数产生器的具有磁阻元件的熵源 | |
| KR102626613B1 (ko) | 다중 소스 엔트로피 무작위성 집계 및 분배 네트워크 | |
| CN106354476B (zh) | 基于激光相位涨落的量子随机数发生器和量子随机数生成方法 | |
| Tudosa et al. | Hardware security in IoT era: The role of measurements and instrumentation | |
| CN103793198B (zh) | 基于放大真空态的量子随机数发生器及方法 | |
| Li et al. | Privacy-preserving RFID authentication based on cryptographical encoding | |
| CN110351261A (zh) | 一种基于双因素认证管理设备连接安全服务器的方法和系统 | |
| US7519641B2 (en) | Method and apparatus for generating true random numbers by way of a quantum optics process | |
| CN104982095B (zh) | 用于集成电路的基于双随机位生成器的防篡改系统 | |
| CN108139888A (zh) | 量子随机数生成器 | |
| CN103713879A (zh) | 基于光子到达时间的无偏高速量子随机数发生器 | |
| Lampert et al. | Robust, low-cost, auditable random number generation for embedded system security | |
| Park et al. | QEC: A quantum entropy chip and its applications | |
| CN209433389U (zh) | 一种基于多纵模激光器的高速量子随机数发生装置 | |
| CN206224439U (zh) | 基于激光相位涨落的量子随机数发生器 | |
| CN206115423U (zh) | 一种基于放大自发辐射的量子随机数发生器 | |
| CN110190960A (zh) | 一种基于双因子动态密码的安全路由器登录验证方法和系统 | |
| Gaglio et al. | A TRNG exploiting multi-source physical data | |
| US11469910B2 (en) | Physically unclonable function device | |
| CN209265419U (zh) | 一种基于光子自发辐射的高速量子随机数发生器 | |
| Iavich et al. | Hybrid quantum random number generator for cryptographic algorithms | |
| CN109783059A (zh) | 一种量子随机数产生方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |