CN1431591A - 基于软件令牌的适用于网络的动态口令身份认证系统 - Google Patents

基于软件令牌的适用于网络的动态口令身份认证系统 Download PDF

Info

Publication number
CN1431591A
CN1431591A CN 03114476 CN03114476A CN1431591A CN 1431591 A CN1431591 A CN 1431591A CN 03114476 CN03114476 CN 03114476 CN 03114476 A CN03114476 A CN 03114476A CN 1431591 A CN1431591 A CN 1431591A
Authority
CN
China
Prior art keywords
password
software token
token
software
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 03114476
Other languages
English (en)
Other versions
CN1186723C (zh
Inventor
王以和
陈超
冯虞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HAIXING MODERN SCIENCE & TECHNOLOGY Co Ltd XI'AN
Original Assignee
HAIXING MODERN SCIENCE & TECHNOLOGY Co Ltd XI'AN
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by HAIXING MODERN SCIENCE & TECHNOLOGY Co Ltd XI'AN filed Critical HAIXING MODERN SCIENCE & TECHNOLOGY Co Ltd XI'AN
Priority to CNB031144764A priority Critical patent/CN1186723C/zh
Publication of CN1431591A publication Critical patent/CN1431591A/zh
Application granted granted Critical
Publication of CN1186723C publication Critical patent/CN1186723C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于软件令牌的适用于网络的动态口令身份认证系统,整体采用B/S模块化结构,软件令牌图标化,包括:一个认证服务器,一个管理控制台,一个软件令牌,一个具有标准程序接口和协议的接口组件,本发明同采用硬件令牌、智能卡或生物特征识别产生口令或动态口令进行登陆的身份认证系统相比,不但具有口令一次一变、二次使用无效的功能,解决了猜测、剽窃、截取、窃听等安全问题,而且成本低、无须携带/添加附加设备,软件令牌易分发、易升级、易维护,安装、操作简便,具有防止口令被登陆者恶意借用,使得动态口令在引入到特定领域的计算机或手机应用系统中时,不但安全性能得到提高,而且经济方便,安装、操作简便,实用性强。

Description

基于软件令牌的适用于网络的动态口令身份认证系统
一、所属技术领域
本发明涉及以鉴别(Authentication)、授权(Authorization)和管理(Administration)为核心的AAA技术,涉及动态口令技术等领域。具体地说就是通过上述技术用软件制作一个动态口令发生器——软件令牌,来实现在基于网络的应用系统中不同登陆者的身份认证。
二、背景技术
众所周知,任何一类计算机应用系统,诸如:信息网站、游戏网站、个人邮箱、网上支付、远程登陆、企业信息系统等等,在登陆时都会需要操作者输入口令或密码。用户口令就犹如用户在网络或计算机系统的身份证明,如果被他人所窃取,就完全可能冒充你的身份进行“合法”操作。而大部分应用系统设置口令的方式基本上是采用静态,即如果用户不去改变它,它就不会有任何变化,长期使用容易引起猜测、剽窃、截取、窃听等对操作者不利的安全隐患,以及恶意借用等应用系统经营者不期望的安全隐患。目前,有别于这种普通静态口令的认证主要有三种形式:硬件令牌、智能卡和生物特征识别,虽然能够解决上述安全问题,但是还存在以下缺陷:
(1)用户要想登陆某一计算机应用系统,必须随身携带相应的硬件令牌或智能卡,以便由此生成登陆口令,安全性虽然增加,但却不甚方便,成本较高,分发管理都很麻烦。如果要使用多个此类系统的话,就要携带多个硬件令牌或智能卡,更不方便。
(2)生物特征识别虽然是使用个人典型特征(例如:脸部识别、指纹识别、虹膜扫描和声音鉴定)来检验用户身份,安全程度很高,但由于数据量大,远程登录实施起来的难度大、成本高。而且其本质上还是一种静态信息,所以不能从根本上杜绝截取、仿冒等安全问题。
(3)即使硬件令牌和智能卡采用了动态口令技术,可以解决猜测、剽窃、截取、窃听等安全问题,但恶意借用问题仍无法解决。
三、发明内容
鉴于在背景技术中所述的现有技术存在的缺陷,本发明的目的是提供一种基于软件令牌的适用于网络的动态口令身份认证系统,其使动态口令引入到特定领域的计算机应用系统中,不但能提高原有系统安全性,而且经济方便,安装、操作简便,分发管理简单,实用性强。
本发明在继承借助硬件令牌、智能卡和生物特征识别进行计算机应用系统登陆时,所能解决口令防猜测、防剽窃、防截取、防窃听等安全问题的基础上,减去口令产生设备(如:硬件令牌、智能卡)给用户带来的成本增加和使用携带的不便,并解决口令被用户恶意借用给计算机应用系统经营者带来的安全问题。具体任务有:
(1)输入口令随时间、频次、使用者等因素不同,而自动改变,他人无从猜测、推测;二次输入无效——不怕输入时被人窃看;一次一变——网上截取、在线侦听无法再用;此动态口令不在屏幕上显示,用户无法借给他人使用;
(2)用专用软件(软件令牌)产生这种动态口令,软件令牌只对在特定终端上登陆有效,具有防拷贝功能,一旦用户把自己的软件令牌借给他人使用,则自己就无法使用,且认证服务器留有借用记录;
(3)软件令牌的安装通过网上下载,使版本升级不受地域所限;下载安装的序列号通过个人电子邮件或手机短信获取;不分发硬件装置,管理更新方便;
(4)软件令牌操作简便;
(5)安装软件令牌的客户终端可以是一般的计算机,也可以是手机,用户在登录时根据手机中产生的动态口令在计算机上输入。当利用手机作为软件令牌载体时,还可以采用另外一种虚拟软件令牌的方法,即在服务器端为要登录的用户产生动态口令,通过手机短信发送给用户,然后在计算机上登录。
为了实现上述目的,本发明采用的技术方案是:基于软件令牌的适用于网络的动态口令身份认证系统,系统整体采用B/S模块化结构,软件令牌图标化,包括:
一个认证服务器;
一个管理控制台;
一个软件令牌,通过内部网或INTERNET从WEB站点下载到客户终端设备,并安装运行;
一个具有标准程序接口和协议的接口组件;
其特点是:
认证服务器软件,遵循国际身份认证服务的标准RADIUS协议,对通过软件令牌产生的动态口令进行鉴别,使原有的应用系统增加了授权访问控制和记帐审计确认多种功能;
管理控制台软件产生动态口令数据包,以供软件令牌使用,并对给所有登陆用户发放的软件令牌进行管理,进行注册、发放、挂失、禁用/解禁、解锁、注销及认证日志和操作日志的查询,其中功能可根据应用需要进行删减;
软件令牌利用管理控制台产生的数据包来产生动态口令,同时实现口令在应用时的一些实际操作功能;
接口组件具有标准程序接口和协议,与应用系统连接,为相应应用系统构成更为安全的身份认证体系,同时也保障了用户应用系统的完整性;
认证服务器和管理控制台两部分软件既可以集成在一台服务器上,也可以分装在两台服务器上。其内部的核心组件是在计算机操作系统平台之上,支持应用开发和运行的软件,它能够使认证系统相对独立于操作系统平台,也相对独立于待应用的原有应用系统。
核心组件封装了以下功能函数:
(1)软件令牌口令产生的函数;
(2)实现口令拖动的函数;
(3)初始化一个新的令牌,产生令牌数据包的函数;
(4)接收需要认证的口令的函数;
(5)实现动态口令认证的函数;
(6)接口组件初始化的库函数;
(7)从应用系统传递认证信息到认证系统的函数
本发明的其他特点是:当软件令牌是安装在计算机终端上时,以小图标形式出现在计算机桌面上的软件令牌,可以自由移动,口令代码不显示,防止抄袭或恶意借用;通过鼠标点击指定位置,拖动到应用系统口令认证界面中的口令输入框后释放,来完成一次性动态口令的输入,避免了人工输入长口令时容易产生的错误。
软件令牌产生的口令动态变化,其算法基于多种特征因子,难以猜解,抗攻击性强,还具有自动校正误差保持与系统同步的功能。
软件令牌在启动时,可以选择是否需要PIN码输入功能,以提供双因素安全保证,防止非授权人员使用;当PIN码输入超过允许错误输入次数时,软件令牌将被锁住,必须与系统管理员联系,提供必要的身份证明才能继续使用,或着等待24小时后软件令牌自动解锁。
当软件令牌是安装在手机中时,每次使用时手机就产生一个动态口令,供用户输入到计算机进行登录。同时还有一种虚拟软件令牌方式,各用户的软件令牌存放在认证服务器端,每次登录时产生动态口令,通过手机短信发送给用户,然后输入计算机进行身份认证。
本发明是一个以AAA(Authentication身份认证、Authorization访问控制、Administration安全管理)技术为基础前提,专门针对我国目前的计算机网络信息系统防护能力差、许多应用系统处于低设防甚至不设防状态所研究开发的动态口令身份认证系统,因此同一般采用静态口令进行登陆的身份认证系统相比,具有口令随时间、使用频数、口令生成载体——软件令牌等多种因素的不同而动态改变的特点,非人工干预,可以解决静态口令情况下,口令相对不变容易被猜测、在输入过程中容易被剽窃、网上传输容易被截取、特殊设备可能窃听、获取后可再用等安全问题。特别是本发明中采取了一系列措施来防止非法借用,解决了广大收费网站特别关心的安全问题。
由于本发明是基于软件令牌产生动态口令,因此同采用硬件令牌、智能卡或生物特征识别产生口令或动态口令进行登陆的身份认证系统相比,对于登陆者来说,具有不额外增加(或少增加)成本、无须携带附加设备以及安装、操作简便等极为实用而现实的特点,对于系统经营者来说,具有防止口令被登陆者恶意借用,软件令牌易分发、易升级、易维护等可控性特点,使得动态口令在引入到特定领域的计算机应用系统中时,较之采用静态口令的身份认证,不但安全性能得到提高,而且经济方便,安装、操作简便,实用性强。
四、附图说明
图1是本发明中数据流程(图1左部)与本发明系统结构之对照图;
图2为通过嵌入本发明所述的动态口令身份认证系统后的一般远程访问的计算机网络信息系统,它可以形成一个从网络层(防火墙)到系统层(AAA身份认证)的系统安全解决方案,使系统的安全性在原有基础上得到了进一步提高。
五、具体实施方式
以下结合附图和发明人具体的实施方式,对本发明作进一步的详细描述。
依本发明的技术方案,基于软件令牌的适用于网络的动态口令身份认证系统,系统整体采用B/S模块化结构,软件令牌图标化(详见图1),包括:
一个认证服务器1;
一个管理控制台2;
一个软件令牌3,通过内部网或INTERNET从WEB站点下载到客户终端设备,并安装运行;
一个接口组件4;
认证服务器1软件,遵循国际身份认证服务的标准RADIUS协议,对通过软件令牌3产生的动态口令进行鉴别,使原有的应用系统增加了授权访问控制和记帐审计确认等多种功能,实现了AAA认证技术。而管理控制台2软件产生动态口令数据包,以供软件令牌3使用,并对给所有登陆用户发放的软件令牌3进行管理,可以实现注册、发放、挂失、禁用/解禁、解锁、注销及认证日志和操作日志的查询等功能,其中功能可根据应用需要进行删减。软件令牌3利用管理控制台2产生的数据包来产生动态口令,同时实现口令在应用时的一些实际操作功能。接口组件4与应用系统进行连接。认证服务器1和管理控制台2两部分软件既可以集成在一台服务器上,也可以分装在两台服务器上,其中的核心组件是在计算机操作系统平台之上,支持应用开发和运行的软件,它能够使认证系统相对独立于操作系统平台,也相对独立于待应用的原有应用系统,通过具有标准程序接口和协议的接口组件4,为相应应用系统构成更为安全的身份认证体系,同时也保障了用户应用系统的完整性。
(1)核心组件的功能详述:
软件令牌口令产生的函数形式为:
函数形式:acSeaKESyncAuthGenerateCode()
参数为:const char *tttPassKey,PSDB sdbData,const char*serviceList,unsigned long clockCount,int nSynchroCounter,intnSynchroClock,char *password
返回值为:int为0,产生口令成功;不为0,产生口令失败,数据包有误。
实现口令拖动的函数形式为:
函数形式:OnRenderGlobalData()
参数为:LPFORMATETC lpFormatEtc,HGLOBAL*phGlobal
返回值:BOOL。TRUE成功,FALSE失败。
初始化一个新的令牌,产生令牌数据包的函数的形式为:
函数形式:acSeaPCGenerateImage()
参数为:ACPCProfileHandle ProfileHandle,const char*pszRuntimeParameters,unsigned long ulProcessFlag,const char*pszServiceList,const char *pszKey,unsigned int ulCryptoMethod,SDB **ppOutSDBarray,int *pnNbSDB
返回值为:int为0成功,不为0失败。
接收需要认证的口令的函数形式为:
函数形式:adcAuthCReceiveData()
参数为:UINT nFlag
返回值为:BOOL为TRUE成功,为FALSE失败。
接收到的数据的格式:
---------------------------------
|命令字|操作码|数据|
---------------------------------
命令字:
   NAME--接收的是与用户名、口令有关的数据
   ACHA--异步认证所请求的盘问码
   AEND--认证结束的标志
实现动态口令认证的函数形式为:
函数形式:acSeaKESyncAuthCheckCode()
参数为:const char*pszEncryptionKey,PSDB pDeviceSDB,const char*pszServiceName,const char *pszSyncAuthCode,unsigned long ulClock
返回值:int为0成功,不为0失败。
接口组件初始化的函数形式为:
函数形式:SeaWebInit()
参数为:BSTR tFileName
返回值:int为0成功,为1指定配置文件打开失败,为2系统目录寻找失败,为3配置文件不完整。
从应用系统传递认证信息到认证系统的函数的形式为:
函数形式:SeaWebAuthProcess()
参数为:BSTR cAccount,BSTR cPas sword
返回值:int为0成功;为1账户名为空;为2口令长度有误;为3 Socket初始化失败;为4连接服务器失败;为5服务器认证失败;为6 Socket建立失败;为7服务器已断开;为10认证错误超过最大次数;为11不是合法的客户端;为12该用户被禁用;为13不是合法的客户;为14需要静态口令;为15数据包已损坏,需要重新下载软件令牌。
(2)设计思想:
整个系统就是产生一个一次一变、用户不可见的口令,通过认证服务器的认证,加强系统的安全性能,因此整个设计考虑也是围绕着可变口令的产生、鉴别进行。
管理控制台产生一个数据包,该数据包可以产生可变的口令,其中加入了时间和频次等因子,使口令与当前的时间和频次有一定的依赖关系。利用这个数据包,每产生一个口令后,就更新一下该数据包,以待下次产生口令使用,同时,管理控制台将产生的数据包存入相应的数据库,每次产生两个相同的数据包,其中一个就传给注册的有效用户。
认证服务器认证来自用户的信息,并记录认证的日志。这是一个后台的服务程序,在服务器上一直运行,并在指定的端口进行监听是否有用户的认证信息的到来,一旦监听到有用户的信息,就打开一个新的线程去处理用户的认证。而原来的监听状态继续保持,以收集其他的认证用户。新的线程通过接收到的用户信息,根据用户名数据库,获取该用户的口令数据包,产生一个当前的口令,同时修改数据包,再存回到数据库。比较当前口令与用户输入的口令,生成约定的认证结果。
软件令牌主要在用户终端产生动态口令,并将口令拖到指定的输入窗口。一个注册用户成为有效用户后,会得到一个与该用户对应的产生动态口令的数据包。当用户要进行认证的时候,软件令牌就会根据当前鼠标的位置,判断浏览器输入窗口是否为口令输入框,如果是,当鼠标左键抬起后,就会利用当前的数据包产生一个口令,传送到当前的口令输入框,同时会修改口令数据包,以便下次使用。
接口组件主要作为应用系统与本认证系统的一个通讯的桥梁,将应用系统的用户信息,传送到认证系统进行认证。其中包括网络通信端口、IP地址的设置和通过该设置的信息的传递。
(3)设计实现
采用类似于3DES的加密算法产生管理控制台数据包,利用当前的时间和口令产生的频次(初始值为一个随机数)产生一个加密的密钥,结合一个指定的语法文件,产生一个数据包。函数形式为acSeaPCGenerateImage()。其中参数定义为ACPCProfileHandle ProfileHandle语法文件句柄,const char*pszRuntimeParameters初始化的命令参数,unsigned long ulProcessFlag保留,置为0即可,const char*pszServiceLis服务序列,const char*pszKey加密字符串,unsigned int ulCryptoMethod加密的方法,SDB**ppOutSDBarray输出的数据包,int *pnNbSDB输出的数据包的个数。
认证服务程序首先利用Socket在指定的端口,建立服务端的监听服务,等待用户的认证信息。当监听到有用户认证信息到达时,服务程序会另建立一个新的Socket来处理认证事件,而原监听的Socket继续处于监听的状态。新建立的Socket通过网络接收用户的认证信息,并根据定义的数据结构取得用户的用户名和口令。根据用户名到产生口令的数据包的表中查找相应用户的数据包,产生口令,对用户输入的口令进行认证,并返回认证的结果。实现动态口令认证的库函数形式为acSeaKESyncAuthCheckCode(),参数定义为const char* pszEncryptionKey加密字符串,PSDB pDeviceSDB产生口令的数据包,const char *pszServiceName服务序列,const char*pszSyncAuthCode接收的动态口令,unsigned long ulClock时钟计数器。软件令牌产生动态口令的函数形式为acSeaKESyncAuthGenerateCode(),参数定义为const char *tttPassKey加密字符串,PSDB sdbData产生口令的数据包,const char *serviceList服务序列,unsigned long clockCount时钟计数器,int nSynchroCounter事件计数器模值,int nSynchroClock时钟计数器模值,char*passWord输出的动态口令。其中,const char*serviceList(服务序列)参数主要是根据语法文件的设置,设定认证的方式。intnSynchroCounter(事件计数器模值)和int nSynchroClock(时钟计数器模值)参数,采用系统保留的值-1。这样,由于数据包中本身含有与初始化时间相关的信息,在产生口令的时候,会根据系统当前的时间,产生与当前时间一致的口令,从而保证口令的实时性、变化性。口令拖动功能是采取OLE结合IHTMLDocument2接口的技术,OLE是Windows本身提供的具有连接和嵌入功能的技术,IHTMLDocument2是Windows提供的与浏览器进行通信的标准接口,通过IHTMLDocument2接口可以访问到浏览器中当前页面的各个控件,从而对各个控件进行操作。在鼠标拖动的过程中,根据鼠标当前坐标位置,得到当前鼠标下控件的各种属性,判断具有Password属性的控件,当鼠标键抬起时,就可以将口令传送到该控件以实现口令的拖动,不需要用户手工输入,且不可见,对于不具有Password属性的控件,则不做任何动作。
为了让认证系统可以与任何应用系统相连接,采用了组件接口。组件接口可以做到开发语言的无关性,从而增加系统的兼容,通过把认证信息从应用系统传递到认证系统,使处于监听状态的认证系统的服务程序在特定的端口捕获用户的认证信息。接口初始化函数形式为SeaWebInit(),参数定义为BSTR tFileName配置文件名。准备一个服务于组件的配置文件,该文件按照指定的要求填写认证服务器的网络地址、IP地址和监听端口,通过函数得到相应的网络地址信息后,进行认证信息的传送。将认证信息从应用系统传递到认证系统的函数形式为SeaWebAuthProcess(),参数定义为BSTR cAccount用户名,BSTR cPassword。用户进行认证时,在用户端根据前一个函数设定的网络地址,建立相应的Socket,利用该Socket与服务端的监听程序进行通信,将认证信息传送给认证服务器。
(4)开发/运行平台:
开发语言:VC++6.0/ASP
开发环境:Windows2000 Professional
服务器:Windows2000 Server
WEB服务器:IIS 5.0
数据库:SQL Server 2000
由于本发明是一个以AAA(Authentication身份认证、Authorization访问控制、Administration安全管理)技术为基础前提,专门针对我国目前的计算机网络信息系统防护能力差、许多应用系统处于低设防甚至不设防状态所研究开发的动态口令身份认证系统,因此同一般采用静态口令进行登陆的身份认证系统相比,具有口令随时间、使用频数、口令生成载体——软件令牌等多种因素的不同而动态改变的特点,非人工干预,可以解决静态口令情况下,口令相对不变容易被猜测、在输入过程中容易被剽窃、网上传输容易被截取、特殊设备可能窃听等安全问题。特别是本发明中采取了一系列措施来防止非法借用,解决了广大收费网站特别关心的安全问题。
由于本发明是基于软件令牌产生动态口令的,因此同采用硬件令牌、智能卡或生物特征识别产生口令或动态口令进行登陆的身份认证系统相比,对于登陆者来说,具有不额外增加(或少增加)成本、无须携带附加设备以及安装、操作简便等极为实用而现实的特点;对于系统经营者来说,具有防止口令被登陆者恶意借用,软件令牌易分发、易升级、易维护等可控性特点,使得动态口令在引入到特定领域的计算机应用系统中时,较之采用静态口令的身份认证,不但安全性能得到提高,而且经济方便,安装、操作简便,实用性强。

Claims (6)

1.一种基于软件令牌的适用于网络的动态口令身份认证系统,系统整体采用B/S模块化结构,软件令牌图标化,包括:
一个认证服务器[1];
一个管理控制台[2];
一个软件令牌[3],通过内部网或INTERNET从WEB站点下载到客户终端设备,并安装运行;
一个具有标准程序接口和协议的接口组件[4];
其特征在于:
认证服务器[1]软件,遵循国际身份认证服务的标准RADIUS协议,对通过软件令牌[3]产生的动态口令进行鉴别,使原有的应用系统增加了授权访问控制和记帐审计确认功能;
管理控制台[2]软件产生动态口令数据包,以供软件令牌[3]使用,并对给所有登陆用户发放的软件令牌3进行管理,进行注册、发放、挂失、禁用/解禁、解锁、注销及认证日志和操作日志的查询,其中功能可根据应用需要进行删减;
软件令牌[3]利用管理控制台[2]产生的数据包来产生动态口令,同时实现口令在应用时的一些实际操作功能;
接口组件[4]具有标准程序接口和协议,与应用系统连接,为相应应用系统构成更为安全的身份认证体系,同时也保障了用户应用系统的完整性,可以实现不同应用系统的嵌入;
认证服务器和管理控制台两部分软件既可以集成在一台服务器上,也可以分装在两台服务器上,其内部的核心组件是在计算机操作系统平台之上,支持应用开发和运行的软件,它能够使认证系统相对独立于操作系统平台,也相对独立于待应用的原有应用系统;
核心组件封装了以下功能函数:
(1)软件令牌口令产生的函数;
(2)实现口令拖动的函数;
(3)初始化一个新的令牌,产生令牌数据包的函数;
(4)接收需要认证的口令的函数;
(5)实现动态口令认证的函数;
(6)接口组件初始化的库函数;
(7)从应用系统传递认证信息到认证系统的函数。
2.如权利要求1所述的基于软件令牌的适用于网络的动态口令身份认证系统,其特征在于,所述当软件令牌[3]在计算机终端上安装时,以小图标形式出现在计算机桌面上,可以自由移动,口令代码不显示;通过鼠标点击指定位置,拖动到应用系统口令认证界面中的口令输入框后释放,来完成一次性动态口令的输入。
3.如权利要求1所述的基于软件令牌的适用于网络的动态口令身份认证系统,其特征在于,所述软件令牌[3]产生的口令动态变化,其算法基于多种特征因子,抗攻击性强,还具有自动校正误差保持与系统同步的功能。
4.如权利要求1所述的基于软件令牌的适用于网络的动态口令身份认证系统,其特征在于,所述软件令牌[3]在启动时,可以选择是否需要PIN码输入功能,以提供双因素安全保证,防止非授权人员使用;当PIN码输入超过允许错误输入次数时,软件令牌将被锁住,必须与系统管理员联系,提供必要的身份证明才能继续使用,或着等待24小时后软件令牌自动解锁。
5.如权利要求1所述的基于软件令牌的适用于网络的动态口令身份认证系统,其特征在于,所述软件令牌[3]在手机中安装时,每次使用时手机就产生一个动态口令,供用户输入到计算机进行登录;同时还有一种虚拟软件令牌方式,各用户的软件令牌存放在认证服务器端,每次登录时产生动态口令,通过手机短信发送给用户,然后输入计算机进行身份认证。
6.如权利要求1所述的基于软件令牌的适用于网络的动态口令身份认证系统,其特征在于,所述软件令牌[3]口令产生的函数形式为:
函数形式:acSeaKESyncAuthGenerateCode()
参数为:const char *tttPassKey,PSDB sdbData,const char*serviceList,unsigned long clockCount,int nSynchroCounter,intnSynchroClock,char *password
返回值为:int为0,产生口令成功;不为0,产生口令失败,数据包有误;
所述实现口令拖动的函数形式为:
函数形式:OnRenderGlobalData()
参数为:LPFORMATETC lpFormatEtc,HGLOBAL*phGlobal
返回值:BOOL TRUE成功,FALSE失败;
所述初始化一个新的令牌,产生令牌数据包的函数的形式为:
函数形式:acSeaPCGenerateImage()
参数为:ACPCProfileHandle ProfileHandle,const char*pszRuntimeParameters,unsigned long ulProcessFlag,const char*pszServiceList,const char*pszKey,unsigned int ulCryptoMethod,SDB**ppOutSDBarray,int*pnNbSDB
返回值为:int为0成功,不为0失败;
所述接收需要认证的口令的函数形式为:
函数形式:adcAuthCReceiveData()
参数为:UINT nFlag
返回值为:BOOL为TRUE成功,为FALSE失败;
所述接收到的数据的格式:
--------------------------------
|命令字|操作码|数据|
--------------------------------
命令字:
   NAME--接收的是与用户名、口令有关的数据
   ACHA--异步认证所请求的盘问码
   AEND--认证结束的标志
所述实现动态口令认证的函数形式为:
函数形式:acSeaKESyncAuthCheckCode()
参数为:const char*pszEncryptionKey,PSDB pDeviceSDB,const char*pszServiceName,const char*pszSyncAuthCode,unsigned long ulClock
返回值:int为0成功,不为0失败;
所述接口组件初始化的函数形式为:
函数形式:SeaWebInit()
参数为:BSTR tFileName
返回值:int为0成功,为1指定配置文件打开失败,为2系统目录寻找失败,为3配置文件不完整;
所述从应用系统传递认证信息到认证系统的函数的形式为:
函数形式:SeaWebAuthProcess()
参数为:BSTR cAccount,BSTR cPassword
返回值:int为0成功;为1账户名为空;为2口令长度有误;为3 Socket初始化失败;为4连接服务器失败;为5服务器认证失败;为6 Socket建立失败;为7服务器已断开;为10认证错误超过最大次数;为11不是合法的客户端;为12该用户被禁用;为13不是合法的客户;为14需要静态口令;为15数据包已损坏,需要重新下载软件令牌。
CNB031144764A 2003-01-29 2003-01-29 基于软件令牌的适用于网络的动态口令身份认证系统 Expired - Fee Related CN1186723C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB031144764A CN1186723C (zh) 2003-01-29 2003-01-29 基于软件令牌的适用于网络的动态口令身份认证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB031144764A CN1186723C (zh) 2003-01-29 2003-01-29 基于软件令牌的适用于网络的动态口令身份认证系统

Publications (2)

Publication Number Publication Date
CN1431591A true CN1431591A (zh) 2003-07-23
CN1186723C CN1186723C (zh) 2005-01-26

Family

ID=4790441

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB031144764A Expired - Fee Related CN1186723C (zh) 2003-01-29 2003-01-29 基于软件令牌的适用于网络的动态口令身份认证系统

Country Status (1)

Country Link
CN (1) CN1186723C (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007071191A1 (en) * 2005-12-22 2007-06-28 Hong Kong Applied Science and Technology Research Institute Co. Ltd Dual authentications utilizing secure token chains
CN100422983C (zh) * 2004-11-30 2008-10-01 株式会社东芝 分配服务器给用户组的服务器借用设备
CN100452908C (zh) * 2005-11-16 2009-01-14 乔超 一种防止有通信条件/功能的软硬件被盗用的系统和方法
CN101014026B (zh) * 2006-12-18 2010-05-19 联创科技(南京)有限公司 动态自适应Radius系统通用软网关的实现方法
CN101421968B (zh) * 2003-12-23 2011-01-26 万朝维亚有限公司 用于连网计算机应用的鉴权系统
CN102124769A (zh) * 2008-09-08 2011-07-13 高通股份有限公司 用于安全亲合组管理的装置和方法
CN102855428A (zh) * 2011-06-30 2013-01-02 联想(北京)有限公司 一种计算机的安全控制方法及该计算机
CN103259785A (zh) * 2013-04-11 2013-08-21 深圳市深信服电子科技有限公司 虚拟令牌的认证方法及系统
CN103942473A (zh) * 2014-04-14 2014-07-23 立德高科(北京)数码科技有限责任公司 用于屏蔽非授权使用者启动软件的方法及其系统
CN105144180A (zh) * 2013-03-14 2015-12-09 微软技术许可有限责任公司 使用令牌和现有许可证的软件升级
CN105989278A (zh) * 2015-01-29 2016-10-05 武汉安问科技发展有限责任公司 一种基于动机模式分析的口令审计方法
CN107491670A (zh) * 2017-08-22 2017-12-19 深圳竹云科技有限公司 一种基于OTP算法的Windows系统安全登录方法
CN109918085A (zh) * 2009-12-21 2019-06-21 英特尔公司 提供软件分发和更新服务而不管端点机的状态或物理位置
CN110673873A (zh) * 2019-10-09 2020-01-10 成都安恒信息技术有限公司 一种基于审计的软件发布方法
CN112087438A (zh) * 2020-08-28 2020-12-15 上海军睿信息技术有限公司 一种基于otp算法的防重放攻击的鉴别方法

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100559763C (zh) * 2007-08-28 2009-11-11 中国科学院软件研究所 一种远程网络服务的完整性检验方法

Cited By (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101421968B (zh) * 2003-12-23 2011-01-26 万朝维亚有限公司 用于连网计算机应用的鉴权系统
CN100422983C (zh) * 2004-11-30 2008-10-01 株式会社东芝 分配服务器给用户组的服务器借用设备
CN100452908C (zh) * 2005-11-16 2009-01-14 乔超 一种防止有通信条件/功能的软硬件被盗用的系统和方法
WO2007071191A1 (en) * 2005-12-22 2007-06-28 Hong Kong Applied Science and Technology Research Institute Co. Ltd Dual authentications utilizing secure token chains
CN101014026B (zh) * 2006-12-18 2010-05-19 联创科技(南京)有限公司 动态自适应Radius系统通用软网关的实现方法
CN102124769A (zh) * 2008-09-08 2011-07-13 高通股份有限公司 用于安全亲合组管理的装置和方法
CN109918085B (zh) * 2009-12-21 2023-04-07 英特尔公司 提供软件分发和更新服务而不管端点机的状态或物理位置
CN109918085A (zh) * 2009-12-21 2019-06-21 英特尔公司 提供软件分发和更新服务而不管端点机的状态或物理位置
CN102855428A (zh) * 2011-06-30 2013-01-02 联想(北京)有限公司 一种计算机的安全控制方法及该计算机
CN102855428B (zh) * 2011-06-30 2016-03-30 联想(北京)有限公司 一种计算机的安全控制方法及该计算机
CN105144180A (zh) * 2013-03-14 2015-12-09 微软技术许可有限责任公司 使用令牌和现有许可证的软件升级
CN103259785B (zh) * 2013-04-11 2015-11-18 深圳市深信服电子科技有限公司 虚拟令牌的认证方法及系统
CN103259785A (zh) * 2013-04-11 2013-08-21 深圳市深信服电子科技有限公司 虚拟令牌的认证方法及系统
CN103942473B (zh) * 2014-04-14 2016-08-17 立德高科(北京)数码科技有限责任公司 用于屏蔽非授权使用者启动软件的方法
CN103942473A (zh) * 2014-04-14 2014-07-23 立德高科(北京)数码科技有限责任公司 用于屏蔽非授权使用者启动软件的方法及其系统
CN105989278A (zh) * 2015-01-29 2016-10-05 武汉安问科技发展有限责任公司 一种基于动机模式分析的口令审计方法
CN105989278B (zh) * 2015-01-29 2019-06-18 武汉安问科技发展有限责任公司 一种基于动机模式分析的口令审计方法
CN107491670A (zh) * 2017-08-22 2017-12-19 深圳竹云科技有限公司 一种基于OTP算法的Windows系统安全登录方法
CN110673873A (zh) * 2019-10-09 2020-01-10 成都安恒信息技术有限公司 一种基于审计的软件发布方法
CN110673873B (zh) * 2019-10-09 2022-11-01 成都安恒信息技术有限公司 一种基于审计的软件发布方法
CN112087438A (zh) * 2020-08-28 2020-12-15 上海军睿信息技术有限公司 一种基于otp算法的防重放攻击的鉴别方法

Also Published As

Publication number Publication date
CN1186723C (zh) 2005-01-26

Similar Documents

Publication Publication Date Title
CN1186723C (zh) 基于软件令牌的适用于网络的动态口令身份认证系统
CN108293045B (zh) 本地和远程系统之间的单点登录身份管理
US8544073B2 (en) Multi-platform single sign-on database driver
US6434700B1 (en) Authentication and authorization mechanisms for Fortezza passwords
EP1849254B1 (en) Systems and methods for automatically configuring and managing network devices and virtual private networks
US20070266421A1 (en) System, method and computer program product for centrally managing policies assignable to a plurality of portable end-point security devices over a network
US20160197919A1 (en) Real identity authentication
CN1731723A (zh) 电子/手机令牌动态口令认证系统
EP3423977A1 (en) Secure mobile device two-factor authentication
US20060168653A1 (en) Personal network security token
US20130198828A1 (en) Application-access authentication agent
US10097994B2 (en) Mobile touch authentication refresh
CN102664903A (zh) 一种网络用户验证方法及系统
EP2722001A1 (en) Secure data communication
WO2007127162A2 (en) Provisioned configuration for automatic wireless connection
CN1610292A (zh) 能共同操作的凭证收集和访问模块度
WO2007027154A1 (en) Fortified authentication on multiple computers using collaborative agents
CN101588352B (zh) 一种确保操作环境安全的方法及系统
CN103152179A (zh) 一种适用于多应用系统的统一身份认证方法
CN107122674A (zh) 一种应用于运维审计系统的oracle数据库的访问方法
CN100365974C (zh) 一种控制计算机登录的设备及方法
US20230155818A1 (en) Systems and methods for non-deterministic multi-party, multi-user sender-receiver authentication and non-repudiatable resilient authorized access to secret data
JP2023530802A (ja) クラスタアクセス方法、クラスタアクセス装置、電子機器、コンピュータ可読記憶媒体およびコンピュータプログラム
CN105763536B (zh) 基于动态图形密码的网络注册方法及系统
CN1894882A (zh) 认证系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C19 Lapse of patent right due to non-payment of the annual fee
CF01 Termination of patent right due to non-payment of annual fee