CN1224925C - 一种非生物物理特征的数字身份认证方法 - Google Patents
一种非生物物理特征的数字身份认证方法 Download PDFInfo
- Publication number
- CN1224925C CN1224925C CN 03135256 CN03135256A CN1224925C CN 1224925 C CN1224925 C CN 1224925C CN 03135256 CN03135256 CN 03135256 CN 03135256 A CN03135256 A CN 03135256A CN 1224925 C CN1224925 C CN 1224925C
- Authority
- CN
- China
- Prior art keywords
- data
- random
- array
- answer
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种非生物物理特征的可通用的数字身份认证方法,特征是预先身份登记,生成身份码和共同的基本密码,每次身份认证时从预先生成的基本密码中,随机选择两个部分排列作为两个加密密码,分别对该次产生的随机数组进行加密,得到的密文数据对,作为认证方的问询数据和被认证方的回答数据,认证方跟据回答数据和自己产生的比较数据进行比较,确认被认证方的身份;优点是由于每次身份认证时,使用一个该次产生的随机数组作为认证基础,不同时间产生的随机数组不同,认证用的问答数据对是该随机数组的密文,不传输该随机数组的明文,也不传输基本密码的明文或密文,且加密密码随机变化,使攻击者无法破解出基本密码,确保了认证过程的安全。
Description
技术领域
本发明涉及一种非生物物理特征的数字身份认证方法,确切地说是涉及一种在每次身份认证时,随机地从预先生成的保密的基本密码中,选择两个部分排列作为两个实际加密密码,分别对该次产生的随机数组加密,得到的密文数据对作为问答数据对进行身份认证的方法。
背景技术
目前正在使用的基于生物物理特征的身份认证法,如指纹、视网膜、声音、外形特征等作为认证基础的身份认证法,安全性能非常有限。原因在于:1、这些生物物理特征容易被提取和复制,如指纹可以轻松提取并做成指纹膜,声音可以提取特征后重新合成,视网膜和外形特征的复制也是完全可能的。2、生物物理特征的不变性,使得特征数据在传输、保存上容易被泄露。3、当需要多方认证时,特征数据将在多处保存,安全问题更加突出。
正在使用的各种数字身份认证方法,有“单向的”如网上大量使用的帐号加密码直接传输给服务网站的身份认证法,由于联系双方所经过的网络均能得到帐号和密码的明文,尽管认证双方各自非常小心的保密密码,在登录过程中却被暴露无余。现在网上黑客猖獗的一个重要原因,就是使用了该身份认证法造成的。一种改进的将帐号和密码加密传输进行身份认证的方法,如所谓“无标识全动态”的身份认证法,发明人认为攻击者将面临所有帐户和密码的密文。其实,在认证一方监听网络时才如此,当监听被认证方附近的网络时,将得到极少量用户的多次认证信息,由于帐号和密码的非一次性,分析和解密将成为可能,该方法安全性问题无法回避。
采用了“双向”“问答式”或所谓“挑战密码式”的身份认证方法,明显的提高了认证双方的安全性,各种“双向”“问答式”的身份认证法,其产生问答数据和使用的加密算法是不一样的,对回答式身份认证方法的安全性讨论也从未停止,一类正使用的方法是采用公钥加密体制的身份认证法,它可以方便的完成数字签名和身份认证,但一个重要的问题在于该类方法不能自由产生密码,必需有一个完全信赖的第三方密码分发机构,并且该机构本身必须是绝对的安全和可信,且密码分发过程不受到监听。基于算法复杂性和基于计算复杂性的加密算法,往往只有专家有较多的认识,有的甚至连专家也不能给出清晰的安全性证明,普通人更难于理解和信任;基于复杂性的加密算法,随着技术的进步和数学的进展都让人产生不安全感。在问答式的认证方法中,有的竟用随机数明文作为问询数据,密文作为回答数据,发明者似乎绝对的相信加密算法并且绝对的不相信攻击者的能力。
在安防产品中,如车辆防盗器,电子钥匙,遥控器等正在使用的装置,有的竟没有身份认证过程,有身份认证的,往往也只限于“单向加密”或所谓“滚动码”方法,其安全性能需要大幅度提高才行。
发明内容
本发明的目的在于:为了解决上述问题,提高认证系统的安全,特为用户提供一种具有抗监听分析、防破解攻击、使用安全、方法简单、原理易懂、使用方便、应用范围广的非生物物理特征的数字身份认证方法。
本发明的目的是这样实现的:
一种非生物物理特征的数字身份认证方法,包括:
1、预先身份登记、生成身份码和基本密码Key,即认证双方需要事先互相登记生成对方的身份码,并用某种有效的保密方式生成一个共用的基本密码Key,各自加密基本密码Key后,保存身份码——密码表中;
2、身份认证过程:
①被认证方向认证方发出认证请求,同时将自己的身份码明文传输给认证方,等待接收认证方传来的问询数据;
②认证方接收认证请求后,查找并解密被认证方的身份码对应的基本密码Key,同时由随机数发生器产生两个随机数组M和N,其中N的维数大于M的维数,以随机数组M为参数,用选择函数Select从基本密码Key中选择一个部分排列作为实际加密密码Key-ask,对随机数组N进行加密,所得的密文数据作为认证方的问询数据data-ask,接着将随机数组M和问询数据data-ask一起明文传输给被认证方,同时切取随机数组N的一部分作为参数,用选择函数select从基本密码Key中另选一个部分排列作为实际加密密码Key-cmp,再对随机数组N进行加密,所得密文数据作为比较数据data-cmp并暂存,等待被认证方的回答数据;
③被认证方根据收到的随机数组M和问询数据data-ask,先解密出对应的基本密码Key,用与认证方相同的选择函数select,从基本密码Key中选择一个部分排列作为解密密码Key-ask对问询数据data-ask进行解密,解出随机数组N,再用与认证方相同的方法切取随机数组N的一部分作为参数,从基本密码Key中用选择函数select选择另一个部分排列作为加密码Key-answer,再对随机数组N进行加密,得到的密文数据作为回答数据data-answer,将该数据明文传输给认证方,等待认证结果;
④认证方将收到的回答数据data-answer与比较数据data-cmp进行比较,根据异同判定是否相应身份,并传送或执行相应结果;
⑤认证成功后,用该次的加密密码Key-answer对需要加密传输的数据分组进行加密,对方用Key-answer对加密数据进行解密。
认证双方的注销方法
请求注销方应提出注销请求,认证方对请求方进行身份认证,认证成功则删除请求方的身份码及对应的基本密码,并通知注销成功,注销请求方收到成功信号后删除对方的身份码和对应的基本密码。
本发明的优点在于:
每次身份认证时,不传输作为关键数据的基本密码的明文及其密文,作为认证基础的随机数据N也只传输了其密文,没有对应的明文传输,在知道加解密算法和认证方法的情况下,无法分析求解实际加解密密码及认证用的随机数组N,更无法分析和推算基本密码Key,可以看出,这种原理简单清晰,认证方法的算法过程完全透明,容易实现且使用方便的身份认证法,却能有效地应付攻击者对用户认证信息的监听记录和破解分析,消除认证过程中的安全隐患,保障用户的权利和资源不受到侵犯,可靠的维护认证过程的安全,提高认证系统的安全性。
附图说明
图1为本发明身份认证过程流程图
图中,方框为数据处理程序或装置,椭圆中为生成处理后保存或暂存的数据,图中左边为认证方,右边为被认证方,中间为某种数据传输通道。从图中可以看出,认证双方各自保存有相同的基本密码,认证方的随机数发生器每次认证时产生两个随机数组M和N,随机数组N作为认证的基础,M和N的一部分作为选择实际加解密密码的选择参数,选择函数用于在选择参数控制下从基本密码Key中选择实际的加解密密码,非线性的加密方程组和对应的解密方程组,用于对随机组N在加解密密码控制下分别进行加密和对其密文(即问询数据)进行解密,比较器对认证双方用同一实际加密密码对同一随机数加密的数据进行比较,从而判定是否相应身份,如果没有相同的基本加密,认证结果将是否定的。
从图中可以看出,透明传输通道只传输了一个明文的选择参数(即随机数组M)、和随机数组N的两个密文数据,没有与密文对应的明文,不构成任何可供破解的条件,同时对基本密码严加保密,认证中既不传输其明文,也不传输其密文,更有效地确保了认证系统的安全。
具体实施方式
实施例一:用电子身份令牌实现网络系统的身份认证和数据传输
1.网络身份认证系统包括网络服务计算机,通信线路和电子身份令牌。
被认证方持有电子身份令牌,所需身份认证数据则由该令牌自动产生。电子身份令牌硬件包括处理器,存储器,显示屏,按键及一个红外线、USB或者无线的数据传输接口。按键用于键入身份码、密码等。被认证方的身份认证过程是由上述硬件与身份认证软件共同自动实现的。作为被认证方的令牌的主要软件流程是:令牌开机初始化,等待中断,如果有通信中断,就取出收到的通信数据,如果数据中有问询数据,并且有自己的身份码,则从数据中取出随机数组M和问询数据data-ask,并从令牌自己存储的身份码----基本密码表中取出对应身份的基本密码key,用随机数组M作参数,调用选择函数select从基本密码key中选出该参数对应的基本密码的一个部分排列作为实际解密密码key-ask;用key-ask为解密密码对问询数据data-ask进行解密,得到问询数据的明文即随机数组N;接着取N的一部分作参数,调用选择函数select,从基本密码key中选出该参数对应的基本密码的另一个部分排列,作为实际加密密码key-answer,用key-answer作密码对解密出的随机数组N加密,得到的密文作为回答数据data-answer,将身份码和回答数据一起传输给认证方。之后等待中断。如果收到的是键盘中断,则进入管理模块。之后返回等待中断。
认证方的网络服务计算机,装有实现本身份认证方法的认证方软件。认证方服务软件包括:用于产生随机数的随机数发生器,随机数组M和随机数组N都直接由它生成;用于从基本密码key中选择基本密码的两个部分排列即两个实际加密密码的选择函数select,分别用随机数M和随机数组N的一部分作参数,调用选择函数select以生成实际加解密密码key-ask和实际加密密码key-cmp或实际加密密码key-answer;以及处理认证结果的认证结果处理函数。
认证方软件是这样工作的:认证软件启动初始化后,等待中断和消息,一旦收到认证请求信号,即查身份码----基本密码表,找出该身份码对应的基本密码key,同时启动随机数发生器,生成随机数组M和随机数组N,并用随机数组M作参数,调用选择函数select从基本密码key中选出该参数对应的基本密码的一个部分排列,作为实际加密密码key-ask;用key-ask作密码,对随机数组N加密,得到的密文作为问询数据data-ask;接着将问询数据data-ask、随机数组M、身份码一起传给被认证方。同时再切取随机数组N的一部分作参数再次调用选择函数select,从基本密码key中选出该参数对应的基本密码的另一个部分排列,作为实际加密密码key-cmp,用key-cmp作密码,再对随机数组N加密,得到的密文作为比较数据data-cmp,将比较数据data-cmp与身份码一起存入身份码----比较数据表中。如果收到回答数据data-answer,则找到该身份对应的比较数据data-cmp,将回答数据data-answer与比较数据data-cmp进行比较,相同就调用正确身份处理函数,不同则调用非法身份处理函数。之后返回扫描消息和等待中断状态。如果收到键盘中断,则调用人机界面函数和管理函数。返回扫描消息和等待中断状态。
2.系统登记:需要认证的双方如网络服务计算机与用户之间互相登记对方各自生成的身份码,并用可靠的保密手段传输生成一基本密码,用户通过令牌铵键或通信接口输入电子身份令牌中,且令牌中的密码只能在用户输入令牌口令后才能被加密输出。
3.身份认证过程和数据传输
登录使用本身份认证方法的网络系统时,网络系统认证服务程序将向用户的计算机传输一认证请求界面,提示输入身份码及相应的文字输入框,用户输入身份码回车后,自动将身份码传输给网络认证服务中心程序,服务中心程序查找出身份码对应的基本密码key,同时启动随机数发生器,生成随机数组M和随机数组N;用随机数组M作参数,调用选择函数select,从基本密码中选出对应参数的基本密码key的一个部分排列,作为实际加密密码key-ask,用key-ask作密码对随机数组N加密,得到的密文作为问询数据data-ask,将身份码、随机数组M和问询数据data-ask传输给被认证方。同时再切取随机数组N的一部分作参数再次调用选择函数select,从基本密码中选出参数对应的基本密码key的另一个部分排列,作为实际加密密码key-cmp,用key-cmp作密码,再对随机数组N加密,得到的密文作为比较数据data-cmp,将比较数据data-cmp与身份码一起存入身份码----比较数据表中。等待接收被认证方的回答数据data-answer。当身份码、随机数组M和问询数据data-ask组成的综合数据,传输到被认证方登录界面显示输入框中时,因该显示输入框为一输入输出转向的登录框,所以在登录框上点击鼠标右键,将提示转向的通信接口,当选择转向令牌所在的接口,则令牌将收到综合问询数据。令牌收到综合问询数据后,开始按本身份认证法计算回答数据:即如果数据中有问询数据,并且有自己的身份码,则从数据中取出随机数组M和问询数据data-ask,并从令牌自己存储的身份码----基本密码表中取出对应身份的基本密码key,用随机数组M作参数,调用选择函数select,从基本密码中选出参数对应的基本密码key的一个部分排列,作为实际解密密码key-ask;用key-ask为解密密码对问询数据data-ask进行解密,得到问询数据的明文即随机数组N;接着取N的一部分作参数,调用选择函数select从基本密码key中选出参数对应的基本密码的另一个部分排列,作为实际加密密码key-answer,再对解密出的随机数N加密,得到回答数据data-answer,将身份码和回答数据一起传输给认证方。认证方收到回答数据data-answer后,则找到该身份对应的比较数据data-cmp,将回答数据data-answer与比较数据data-cmp进行比较,相同则表明是正确身份并进行相应处理和数据传输;不同则是身份仿冒进行相应处理。
Claims (1)
1、一种非生物物理特征的通用的数字身份认证方法,其特征是:①预先身份登记,生成身份基本密码;②每次身份认证时,从预先生成的保密基本密码中,随机选择两个部分排列作为两个实际加密密码,分别对该次产生的随机数组进行加密,得到的密文数据对,作为认证方的问询数据和被认证方回答数据,认证方通过回答数据与事先生成的比较数据进行比较,确认被认证方身份,
其具体过程如下:
①被认证方向认证方发出认证请求,同时将自己的身份码明文传输给认证方,等待接收认证方传来的问询数据;
②认证方接收认证请求后,查找并解密被认证方的身份码对应的基本密码Key,同时由随机数发生器产生两个随机数组M和N,其中N的维数大于M的维数,以随机数组M为参数,用选择函数Select从基本密码Key中选择一个部分排列作为实际加密密码Key-ask,对随机数组N进行加密,所得的密文数据作为认证方的问询数据data-ask,接着将随机数组M和问询数据data-ask一起明文传输给被认证方,同时切取随机数组N的一部分作为参数,用选择函数select从基本密码Key中另选一个部分排列作为实际加密密码Key-cmp,再对随机数组N进行加密,所得密文数据作为比较数据data-cmp并暂存,等待被认证方的回答数据;
③被认证方根据收到的随机数组M和问询数据data-ask,先解密出对应的基本密码Key,用与认证方相同的选择函数select,从基本密码Key中选择一个部分排列作为解密密码Key-ask对问询数据data-ask进行解密,解出随机数组N,再用与认证方相同的方法切取随机数组N的一部分作为参数,从基本密码Key中用选择函数select选择另一个部分排列作为加密码Key-answer,再对随机数组N进行加密,得到的密文数据作为回答数据data-answer,将该数据明文传输给认证方,等待认证结果;
④认证方将收到的回答数据data-answer与比较数据data-cmp进行比较,根据异同判定是否相应身份,并传送或执行相应结果;
⑤认证成功后,用该次的加密密码Key-answer对需要加密传输的数据分组进行加密,对方用Key-answer对加密数据进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03135256 CN1224925C (zh) | 2003-06-20 | 2003-06-20 | 一种非生物物理特征的数字身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03135256 CN1224925C (zh) | 2003-06-20 | 2003-06-20 | 一种非生物物理特征的数字身份认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1480871A CN1480871A (zh) | 2004-03-10 |
| CN1224925C true CN1224925C (zh) | 2005-10-26 |
Family
ID=34154548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03135256 Expired - Fee Related CN1224925C (zh) | 2003-06-20 | 2003-06-20 | 一种非生物物理特征的数字身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1224925C (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1747382B (zh) * | 2005-09-06 | 2011-06-08 | 湖南泓达科技有限公司 | 随机加密及身份认证方法 |
| CN101098232B (zh) * | 2007-07-12 | 2012-05-09 | 兰州大学 | 一种动态口令与多生物特征结合的身份认证方法 |
| JP6910894B2 (ja) * | 2017-09-01 | 2021-07-28 | キヤノン株式会社 | 情報処理装置、制御方法、およびプログラム |
| CN108462700B (zh) * | 2018-02-10 | 2021-03-16 | 中电金融设备系统(深圳)有限公司 | 后台服务器、终端设备、适用于人脸识别的安全预警方法及存储介质 |
-
2003
- 2003-06-20 CN CN 03135256 patent/CN1224925C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1480871A (zh) | 2004-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6230269B1 (en) | Distributed authentication system and method | |
| CN109684129B (zh) | 数据备份恢复方法、存储介质、加密机、客户端和服务器 | |
| JP2004509399A (ja) | ネットワークにわたって配布されるオブジェクトを保護するためのシステム | |
| CN101695038A (zh) | 检测ssl加密数据安全性的方法及装置 | |
| CN111159684B (zh) | 一种基于浏览器的安全防护系统和方法 | |
| JPH07325785A (ja) | ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ | |
| WO2009146655A1 (zh) | 一种密码输入方法、装置和系统 | |
| CN110474908A (zh) | 交易监管方法与装置、存储介质及计算机设备 | |
| CN108768613A (zh) | 一种基于多种加密算法的密文口令校验方法 | |
| CN113852460A (zh) | 一种基于量子密钥增强工作密钥安全性的实现方法和系统 | |
| JPH11353280A (ja) | 秘密データの暗号化による本人確認方法及びシステム | |
| JPH10340255A (ja) | ネットワーク利用者認証方式 | |
| CN1224925C (zh) | 一种非生物物理特征的数字身份认证方法 | |
| CN100561913C (zh) | 一种访问密码设备的方法 | |
| CN103780600A (zh) | 一种基于rsa公钥密码的离线电力交易信息系统授权方法 | |
| CN113938878A (zh) | 一种设备标识符防伪造方法、装置和电子设备 | |
| CN101453335B (zh) | 用户信息安全输入方法、以及客户端 | |
| KR20210104338A (ko) | 양자난수 기반의 양자암호화칩이 탑재된 비화게이트웨이 및 이를 이용한 IoT디바이스간 비화통신 서비스 제공방법 | |
| CN111447060A (zh) | 一种基于代理重加密的电子文档分发方法 | |
| CN111953675A (zh) | 一种基于硬件设备的密钥管理方法 | |
| RU2275747C2 (ru) | Полностью динамическая аутентификация без идентификатора | |
| JP2005237037A (ja) | 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法 | |
| JP2001203687A (ja) | データ伝送方法 | |
| CN114172710B (zh) | 数据解密方法、装置、设备及存储介质 | |
| CN113037686B (zh) | 多数据库安全通信方法和系统、计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20051026 |