CN1274105C - 基于数字证书实现的动态口令认证方法 - Google Patents
基于数字证书实现的动态口令认证方法 Download PDFInfo
- Publication number
- CN1274105C CN1274105C CN 03129281 CN03129281A CN1274105C CN 1274105 C CN1274105 C CN 1274105C CN 03129281 CN03129281 CN 03129281 CN 03129281 A CN03129281 A CN 03129281A CN 1274105 C CN1274105 C CN 1274105C
- Authority
- CN
- China
- Prior art keywords
- user
- password
- certificate
- dynamic password
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种基于数字证书实现的动态口令认证方法,属于计算机和信息安全技术领域。本发明在证书认证的基础上,采用口令的动态生成机制,通过证书认证机制对用户的身份进行确认,再使用动态口令机制实现各种应用系统的安全登录,具体如下:首先,利用数字证书把用户自然身份和数字信息绑定在一起,采用非对称公钥机制,通过数字签名、加密/解密技术实现对用户身份的验证,其次,采用挑战/应答机制的动态口令,通过动态口令方法,针对不同用户生成不同的一次性动态口令,实现各种应用系统的安全登录。本发明方法的实现更加方便和快捷,并具有可靠性更高、安全性更好的特点,保证了系统的安全性,避免了传统静态口令泄密所带来的安全隐患。
Description
技术领域
本发明涉及的是一种动态口令认证方法,特别是一种基于数字证书实现的动态口令认证方法,属于计算机和信息安全技术领域。
背景技术
身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一的技术。在应用系统中实现身份认证的方法有许多,目前使用最多的是基于口令的认证方法和基于证书的认证方法。
基于口令的认证方法通过对验证用户输入的用户名和口令来验证用户身份的合法性。传统的静态口令方式对口令的验证是将用户输入的口令和后台服务器上保存的口令加以对比来验证用户口令的正确性,从而确定用户身份的合法性。在传统的静态口令机制中,口令在使用和传输的过程中没有做任何保护措施,口令非常容易泄漏,造成系统的不安全。目前流行的动态口令技术很好地解决了口令的安全性。动态口令技术通过专用算法和同步机制动态的生成一次性口令,口令的生成和验证都是动态的,保证用户每次登录系统时所使用的口令都不相同,从而避免了由于口令泄漏带来的系统不安全。动态口令方法通过口令的变化保证口令的安全性,具有灵活性和方便性,但口令方式本身只能验证用户所输入口令的合法性,却不能确定用户的自然身份,难以保证口令本身和口令使用者自然身份之间的对应关系。
经文献检索发现,动态口令方法的研究主要集中在动态口令的生成机制和使用方法上,中国专利申请号:01108417.0,名称:基于动态口令的身份鉴别方法。该专利对口令使用者的自然身份是否合法只能通过对用户ID的验证来实现,而用户ID在应用系统中存储和传输一般都是以明文方式实现,存在安全隐患。
基于证书的身份认证是另一种主要的认证方法,它是公钥基础设施(PublicKey Infrastructure,PKI)所提供的最基本的安全服务之一。PKI公钥基础设施基于非对称公钥技术,采用数字证书将用户自然身份和公钥等数字信息绑定在一起,在各种网络应用中唯一地标识用户的身份,并在此基础上提供数据加密/解密、数字签名等安全服务。PKI公钥基础设施是目前国际上较为成熟的解决开放式互联网络信息安全需求的一套安全体系,国内外许多行业多采用PKI公钥基础设施作为保证应用系统安全的安全平台,为应用系统提供全面的安全保障。
数字证书在用户自然身份与数字信息之间建立了联系的桥梁,可以实现对用户自然身份的认证,但完全采用基于证书进行身份认证必须在应用系统服务器端实现证书验证的代理机制,而这种证书验证代理机制的实现相对口令验证代理机制的实现来说十分复杂,并且,由于不同应用系统的内部机制不同,所以证书认证代理机制的实现也不尽相同,这种复杂性阻碍了PKI技术的推广应用,不利于应用系统的安全建设。
发明内容
本发明的目的在于克服现有技术中的不足,提供一种基于数字证书实现的动态口令认证方法,该方法将证书的优点和动态口令的优点有机地结合在一起,使其充分发挥各自的优势,通过证书和动态口令的结合将用户自然身份和用户口令紧密地联系到一起,建立一种实现方便、安全可靠、灵活有效的身份认证机制。
本发明是通过以下技术方案实现的,本发明在证书认证的基础上,采用口令的动态生成机制,通过证书认证机制对用户的身份进行确认,再使用动态口令机制实现各种应用系统的安全登录,具体如下:(1)利用数字证书把用户自然身份和数字信息绑定在一起;(2)采用非对称公钥机制,通过证书认证实现对用户身份的验证;(3)采用挑战/应答机制的动态口令,通过动态口令方法,针对不同用户生成不同的一次性动态口令,使用用户证书中的公钥对该动态口令进行加密下传到用户,实现各种应用系统的安全登录,并且不改变应用系统原有的登录模式,方便用户的使用。
以下对本发明方法作进一步的说明,方法步骤如下:
(1)用户提交数字证书;
(2)用户证书信息和经过签名的访问请求被发送到安全认证系统,安全认证系统验证后,产生一个挑战数,利用该挑战数,通过可生成一个一次性动态口令的算法生成一个一次性动态口令,然后使用用户证书中的公钥对该口令进行加密下传到用户;
(3)用户在应用系统的登录界面上,使用该动态口令进行登录;
(4)客户输入的所有信息被传送到后台应用系统,通过两种方式对该动态口令进行验证:一种是本地认证,当认证系统生成动态口令下传到客户端的同时直接将该口令传递到应用系统,应用系统利用该口令实现对用户访问信息的本地认证,另一种是第三方认证,应用系统将用户访问的信息传递到认证系统进行认证,认证系统将验证结果返回给后台应用系统,从而完成一次认证过程。
本发明充分利用现有PKI和动态口令的成熟技术和实现机制,使方法的实现更加方便和快捷,并具有可靠性更高、安全性更好的特点。由于用户在每次登录系统时所使用的口令都不相同,从而保证了系统的安全性,避免了传统静态口令泄密所带来的安全隐患,同时,由于证书的使用保证了口令使用者的身份合法性,从而保证了系统的安全性。
1、证书认证
所述的证书认证是基于非对称公钥原理实现的,每一个用户都持有一对密钥:私钥和公钥,经过私钥加密的信息只能使用对应的公钥解密,经过公钥加密的信息只能使用对应的私钥解密。私钥由用户本人保管和使用,不能告知外界,公钥保存在一张可以标识用户身份的数字证书中,数字证书一般存储在一个可以被外界查询和使用的公共存储区。数字证书中同时包括了用户的身份信息,如用户名、身份证号码、工作单位等等,这些用户身份信息与用户的公钥对应,在数字世界中可以标识用户的身份。这样,通过对证书合法性的验证就可以证明用户身份的合法性。
在PKI体系中,用户的证书是由一个最高信任机构CA颁发的,具有可信性。CA机构同时提供证书的验证机制,各种证书验证机构可以通过该验证机制验证证书的合法性。
2、挑战/应答机制的动态口令
本发明方法采用挑战/应答机制实现动态口令,用户登录系统时,每一次登录的口令都不相同,从而避免了由于口令在传输和使用过程中泄漏引起的安全隐患。
当用户需要访问系统时,首先向认证系统提交证书,认证系统通过验证证书来确定用户和请求的合法性,验证通过后,认证系统产生一个挑战数,然后用该挑战数,通过可生成一个应答数的算法计算出相应的应答数,通常是一个字符串,该应答数就是动态口令,认证系统使用用户证书中的公钥对该口令进行加密下传到用户,用户将该应答数或应答数的MD5摘要作为口令上传给认证系统,认证系统利用同样的算法再次计算出一个应答数或应答数的MD5摘要并和用户上传的应答数或应答数的MD5摘要进行比较,如果两者相同,允许该用户访问系统,否则拒绝用户的登录请求。
3、通过证书认证机制对用户的身份进行确认,然后使用动态口令机制实现各种应用系统的安全登录
用户首先需要向安全认证系统进行注册,系统为每一位证书用户在安全认证系统中保存一条用户帐号信息,帐号信息包括:用户ID、用户证书ID信息,客户每次通过网络进入系统时,只需提交证书,就可以获得一个动态口令作为本次登录应用系统的口令,用户使用该口令登录应用系统。
具体流程如下:
(1)在验证开始中,系统验证用户的证书,用户证书信息和经过用户私钥加密的登录请求通过网络首先被传送到认证系统;
(2)认证系统首先通过标准的证书验证机制对用户的证书进行合法性验证,然后产生一个挑战数,并利用可生成一个一次性应答数的算法生成一个一次性的应答数,作为用户登录的动态口令,然后使用用户证书中的公钥对该口令进行加密下发到客户端;
(3)用户使用该口令登录应用系统;
(4)应用系统接到该口令后,应用系统通过两种方式该口令进行验证:一种是本地认证,当认证系统生成动态口令下传到客户端的同时直接将该口令传递到应用系统,应用系统利用该口令实现对用户访问信息的本地认证,另一种是第三方认证,应用系统将用户访问的信息传递到认证系统进行认证,认证系统将验证结果返回给后台应用系统;
(5)通过验证后,用户就可以获得访问权限。
系统每一次生成的口令只能在本次挑战/应答过程中有效,下次登录时系统会生成不同的挑战数,相应的口令也会发生变化,因此不担心口令被其他人截取。挑战/应答机制的动态口令认证方法即可以保证很高的安全性,实现起来又十分方便,是一种灵活、方便、可靠、有效的认证方法。
本发明具有实质性特点和显著进步,本发明可以有效保护各种应用系统的安全:(1)首先在应用系统中使用口令验证代理机制克服了证书验证代理机制的复杂性,提高了系统的可用性,使得系统易于实现,使用方便灵活。简单的口令验证代理机制可以方便地支持AIX,HP-UX,Solaris,Linux等多种操作系统平台以及Oracle、DB2等多种大型数据库系统,可以将系统用户(包括root)的口令设为使用动态口令。同时,更容易与标准的Radius认证服务器相结合,实现对用户身份的认证和权限控制。(2)采用了证书机制将用户自然身份和数字口令有机地结合在一起,使系统不仅能够保证口令的安全性,而且还能保证使用口令的用户身份的合法性,提高了系统的安全性,弥补了原有单纯动态口令方法中的缺点。(3)基于证书的动态口令安全认证系统可以容易地实现以下安全控制:通过动态口令对安全网页访问进行限制;NETWARE/NT/SCO UNIX系统登录功能;ORACLE/SQL SERVER等大型数据库的用户连接访问控制,等等。
具体实施方式
下面是一个使用本发明方法企业上网用户帐户管理上的应用实例描述,企业中往往需要对内部员工上Internet进行严格管理,主要实现对上网用户登录系统和权限进行统一的管理和控制,基于证书的动态口令认证系统与网管代理相结合能够实现对上网用户的全面管理,满足企业对员工上网的管理需求。安全认证服务器负责验证证书和动态口令,并为每一个上网用户注册和分配权限;在代理服务器上安装有动态口令认证代理软件,并配置安全认证服务器的IP地址;每个上网用户的PC机上安装有动态认证客户端软件。动态认证安全端与安全认证服务器通信,利用证书启动客户端系统,获得动态口令,用户使用该生成的动态口令登录代理系统,代理服务器通过安全认证服务器完成对用户身份的验证。安全认证服务器上保存有上网用户的帐号,并实现对用户进行权限控制。
(1)用户首先插入证书,启动客户端软件,并输入证书口令和用户名;
(2)客户端软件生成登录请求信息,用用户的私钥对登录信息进行加密,客户端软件不与网络代理系统通信,直接与安全认证服务器通信,将用户证书和加密的登录信息一起传送到安全认证服务器;
(3)安全认证服务器上运行着认证系统,认证系统通过标准的证书认证方式对用户证书进行验证,验证通过后,生成一个挑战数,利用该挑战数,通过可生成一个一次性口令的算法生成一个一次性口令,然后使用用户证书中的公钥对该口令进行加密下传到客户端;
(4)客户端软件获得该口令,并显示在屏幕上;
(5)用户使用该口令登录网络代理服务器;
(6)动态口令认证代理截获登录的用户名和口令,并将这些信息发送到安全认证服务器;
(7)安全认证服务器通过再次同样的算法计算出动态口令,并将之与用户登录的口令作比较,进行口令验证,并将验证结果发回到网络代理服务器;
(8)网络代理服务器根据结果判断是否允许用户使用网络代理接入Internet。
使用了基于证书的动态口令系统后,加强了Internet用户管理系统安全性,规范了上网人员的管理,具体效果:(1)动态口令的使用增强了Internet上网用户口令的安全性,上网用户每次登录代理服务器时所使用的口令都不相同,从而避免了口令泄漏的发生;(2)数字证书和口令的结合,实现了对上网用户身份的认证,保证口令使用者身份的合法性;(3)采用了目前已经比较成熟的证书技术和动态口令技术,系统构架清晰、结构简单,实现方便、快捷;(4)对Internet用户帐户实现了集中管理,方便了系统的维护,降低了系统管理难度和管理成本,同时,使系统更加安全;(5)使用软件客户端,不需要任何其他硬件设备,成本低,适合用于对大规模用户管理。
Claims (4)
1、一种基于数字证书实现的动态口令认证方法,其特征在于,在证书认证的基础上,采用口令的动态生成机制,通过证书认证机制对用户的身份进行确认,再使用动态口令机制实现各种应用系统的安全登录,具体如下:(1)利用数字证书把用户自然身份和数字信息绑定在一起;(2)采用非对称公钥机制,通过证书认证实现对用户身份的验证;(3)采用挑战/应答机制的动态口令,通过动态口令方法,针对不同用户生成不同的一次性动态口令,使用用户证书中的公钥对该动态口令进行加密下传到用户,实现各种应用系统的安全登录。
2、根据权利要求1所述的基于数字证书实现的动态口令认证方法,其特征是,方法步骤如下:
(1)用户提交数字证书;
(2)用户证书信息和经过签名的访问请求被发送到安全认证系统,安全认证系统验证后,产生一个挑战数,利用该挑战数,通过可生成一个一次性动态口令的算法生成一个一次性动态口令,然后使用用户证书中的公钥对该口令进行加密下传到用户;
(3)用户在应用系统的登录界面上,使用该动态口令进行登录;
(4)客户输入的所有信息被传送到后台应用系统,通过两种方式对该动态口令进行验证:一种是本地认证,当认证系统生成动态口令下传到客户端的同时直接将该口令传递到应用系统,应用系统利用该口令实现对用户访问信息的本地认证,另一种是第三方认证,应用系统将用户访问的信息传递到认证系统进行认证,认证系统将验证结果返回给后台应用系统,从而完成一次认证过程。
3、根据权利要求1或2所述的基于数字证书实现的动态口令认证方法,其特征是,所述的证书认证,具体如下:
证书认证是基于非对称公钥原理实现的,每一个用户都持有一对密钥:私钥和公钥,经过私钥加密的信息只能使用对应的公钥解密,经过公钥加密的信息只能使用对应的私钥解密,私钥由用户本人保管和使用,公钥保存在一张可唯一标识用户身份的数字证书中,数字证书存储在一个可被外界查询和使用的公共存储区,数字证书中同时包括了用户的身份信息,这些用户身份信息与用户的公钥对应,在数字世界中标识用户的身份,通过对证书合法性的验证就可证明用户身份的合法性。
4、根据权利要求1或2所述的基于数字证书实现的动态口令认证方法,其特征是,所述的通过证书认证机制对用户的身份进行确认,然后使用动态口令机制实现各种应用系统的安全登录,具体如下:
用户首先需要向安全认证系统进行注册,系统为每一位证书用户在安全认证系统中保存一条用户帐号信息,帐号信息包括:用户ID、用户证书ID信息,客户每次通过网络进入系统时,只需提交证书,就可获得一个动态口令作为本次登录应用系统的口令,用户使用该口令登录应用系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03129281 CN1274105C (zh) | 2003-06-12 | 2003-06-12 | 基于数字证书实现的动态口令认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03129281 CN1274105C (zh) | 2003-06-12 | 2003-06-12 | 基于数字证书实现的动态口令认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1477810A CN1477810A (zh) | 2004-02-25 |
| CN1274105C true CN1274105C (zh) | 2006-09-06 |
Family
ID=34153473
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03129281 Expired - Fee Related CN1274105C (zh) | 2003-06-12 | 2003-06-12 | 基于数字证书实现的动态口令认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1274105C (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100353705C (zh) * | 2004-03-09 | 2007-12-05 | 欧阳世杰 | 一次性密码保护无卡式电子交易交付方法 |
| AT413775B (de) * | 2004-03-31 | 2006-05-15 | Helmut Dipl Ing Schluderbacher | Verfahren zur sicheren anmeldung an ein technisches system |
| CN1756154B (zh) * | 2004-09-30 | 2010-11-17 | 中国科学院研究生院 | 一种数字签名方法 |
| JP4737974B2 (ja) | 2004-11-26 | 2011-08-03 | 株式会社東芝 | オンラインショッピングシステムとそのユーザ管理装置、ネット店舗装置及びユーザ端末装置 |
| EP1868126B1 (en) * | 2006-06-16 | 2011-08-10 | Thomson Licensing | Device and method for discovering emulated clients |
| CN101626291B (zh) * | 2008-07-07 | 2012-08-22 | 上海众人网络安全技术有限公司 | 一种基于ecc算法的身份认证系统和身份认证方法 |
| CN101753303B (zh) * | 2008-12-03 | 2011-10-12 | 北京天融信科技有限公司 | 一种双因子认证方法 |
| CN101764691B (zh) * | 2009-12-17 | 2012-05-02 | 北京握奇数据系统有限公司 | 一种获取动态口令生成密钥的方法、设备和系统 |
| CN101841525A (zh) * | 2010-03-02 | 2010-09-22 | 中国联合网络通信集团有限公司 | 安全接入方法、系统及客户端 |
| CN102413064A (zh) * | 2010-09-25 | 2012-04-11 | 上海中标软件有限公司 | 一种基于浏览器控件的webmail邮件签名加密方法 |
| CN102984115B (zh) * | 2011-09-02 | 2016-03-16 | 中国长城计算机深圳股份有限公司 | 一种网络安全方法、及客户端服务器 |
| CN103856468B (zh) * | 2012-12-06 | 2017-05-31 | 鸿富锦精密工业(深圳)有限公司 | 身份验证系统及方法 |
| CN103051453B (zh) * | 2012-12-17 | 2016-03-23 | 连连银通电子支付有限公司 | 一种基于数字证书的移动终端网络安全交易系统与方法 |
| CN103544412B (zh) * | 2013-10-16 | 2017-01-04 | 深圳全智达通信股份有限公司 | 一种软件包权限控制方法及装置 |
| CN104683354B (zh) * | 2015-03-24 | 2017-09-22 | 武汉理工大学 | 一种基于标识的动态口令系统 |
| CN106411520B (zh) * | 2015-07-29 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 一种虚拟资源数据的处理方法、装置及系统 |
| CN107274182B (zh) * | 2016-04-06 | 2020-06-16 | 阿里巴巴集团控股有限公司 | 业务处理方法及装置 |
| CN105847282B (zh) * | 2016-05-13 | 2020-06-23 | 智车优行科技(北京)有限公司 | 车辆控制方法、服务器及系统 |
| CN107196914A (zh) * | 2017-04-25 | 2017-09-22 | 北京潘达互娱科技有限公司 | 身份认证方法及装置 |
| CN108134787B (zh) * | 2017-12-21 | 2020-06-23 | 恒宝股份有限公司 | 一种身份认证方法及认证装置 |
| CN109194484A (zh) * | 2018-08-14 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于共享密钥的令牌跨域传输方法 |
| CN111079102A (zh) * | 2018-10-18 | 2020-04-28 | 上海擎感智能科技有限公司 | Linux远程安全登录方法、系统、存储介质及设备 |
| CN114679293A (zh) * | 2021-06-15 | 2022-06-28 | 腾讯云计算(北京)有限责任公司 | 基于零信任安全的访问控制方法、设备及存储介质 |
-
2003
- 2003-06-12 CN CN 03129281 patent/CN1274105C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1477810A (zh) | 2004-02-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1274105C (zh) | 基于数字证书实现的动态口令认证方法 | |
| US11496310B2 (en) | Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication | |
| CN105577665B (zh) | 一种云环境下的身份和访问控制管理系统及方法 | |
| Tardo et al. | SPX: Global authentication using public key certificates | |
| CN108964885B (zh) | 鉴权方法、装置、系统和存储介质 | |
| CN104065652B (zh) | 一种身份验证方法、装置、系统及相关设备 | |
| JP5619019B2 (ja) | 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証) | |
| CN102202040B (zh) | 一种对客户端进行认证方法及装置 | |
| CA2708059C (en) | System and method for dynamic, multi-attribute authentication | |
| CN103152179A (zh) | 一种适用于多应用系统的统一身份认证方法 | |
| CN111783075A (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
| US10904233B2 (en) | Protection from data security threats | |
| CN1547343A (zh) | 一种基于数字证书的单点登录方法 | |
| CN110891060A (zh) | 一种基于多业务系统集成的统一认证系统 | |
| GB2386802A (en) | Auditing of secure communication sessions over a communication network | |
| CN105430014B (zh) | 一种单点登录方法及其系统 | |
| CN100365974C (zh) | 一种控制计算机登录的设备及方法 | |
| CN1960255A (zh) | 分布式多级安全访问控制方法 | |
| CN102404112A (zh) | 一种可信终端接入认证方法 | |
| CN115333755A (zh) | 一种基于持续信任评估的多属性身份认证方法 | |
| CN102571874A (zh) | 一种分布式系统中的在线审计方法及装置 | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| CN116506118A (zh) | 一种pki证书透明化服务中身份隐私性保护方法 | |
| CN110620750A (zh) | 一种分布式系统的网络安全验证方法 | |
| CN111682941B (zh) | 基于密码学的集中式身份管理、分布式认证与授权的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20060906 |