CN1645796A - 采用双重认证协议来防止用户口令被盗用的方法 - Google Patents
采用双重认证协议来防止用户口令被盗用的方法 Download PDFInfo
- Publication number
- CN1645796A CN1645796A CN 200510008981 CN200510008981A CN1645796A CN 1645796 A CN1645796 A CN 1645796A CN 200510008981 CN200510008981 CN 200510008981 CN 200510008981 A CN200510008981 A CN 200510008981A CN 1645796 A CN1645796 A CN 1645796A
- Authority
- CN
- China
- Prior art keywords
- user
- protocol
- network
- authentication
- authenticating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
采用双重认证协议来防止用户口令被盗用的方法,是运用计算机、网络和密码技术,在客户端的认证设备中存放两组认证协议,一组为网络认证协议,一组为认证设备的认证协议,用静态口令作为部分密钥,另一部分密钥由认证设备的认证协议自动产生,两者结合成对称加密算法的加密密钥,对用户证书和网络认证协议进行加、解密,来达到对认证设备的识别和对网络认证协议的调控,同时,也在网络服务器端建立网络认证协议,与客户端的网络认证协议对应,并采用对称或者非对称加密算法,生成一次一变的动态口令,实现对网络用户的身份识别,从而,防止用户口令被盗用。
Description
技术领域:
本发明涉及信息安全领域,是运用计算机、网络和密码技术,来解决网络用户的口令被盗用的问题,该技术方法能够对用户的口令进行严格的防护,实现对认证设备的认证和网络的安全登录,同时,杜绝电子政务、电子商务、网上银行和网络游戏等行业的“盗号”现象,本发明适用于各种网络需用身份识别的系统。
背景技术:
目前,国内外能完全解决网络“盗号”问题的技术方法和产品还没有,一些厂商生产的防网络“盗号”产品,是采用智能卡和加密技术产生一次一变的动态口令,来实现网络身份认证,但是,若用户丢失智能卡,容易被盗用,还有一些厂商是采用双因子网络身份认证,采用用户的静态口令和认证协议产生的动态口令同时进行网络身份认证,这类产品也具有易破解的特点,“盗号”者可通过木马病毒和对用户的认证协议进行分析,来盗用用户的静态口令和认证协议产生的动态口令,总之,现有的防网络“盗号”方法和产品都不能满足市场的需求。
发明内容:
本防止用户口令被盗用的方法,是运用计算机、网络和密码技术建立网络安全身份认证体系,在网络服务器端和各客户机端,分别设置一对相同的加密设备,其加密算法使用对称密码算法或非对称密码算法,服务器和客户机端分别建立一组网络认证协议,该网络认证协议产生一次一变的动态口令,实现客户机与网络服务器之间的身份认证;在客户机端的认证设备中建立另一组认证协议,用于对客户机端认证设备的识别,使用对称加密算法来实现,其加密密钥由两部分组成:一部分是用户的静态口令,另一部分是认证设备中的认证协议自动产生,两者结合成加密密钥,对用户证书和部分或全部网络认证协议进行加、解密,来达到对认证设备的识别和对网络认证协议的调控,当用户的静态口令通过了客户机端认证设备的识别后,将网络认证协议解密生成明文,再调用该网络认证协议完成对网络服务器的身份识别,从而,防止用户口令被盗用,全部过程用纯软件或软、硬件结合方式实现,具体方法如下:
1、在网络服务器和客户机两端分别建立网络认证协议,网络服务器端的认证协议存放在加密设备中,例如:加密卡、加密机等,或存放在服务器的硬盘里,客户机端的认证协议存放在认证设备中,其中认证设备指:智能卡、U盘、光盘、软盘、硬盘等。
2、网络认证协议建立在对称或非对称加密算法体制上,由客户机端的网络认证协议产生一次一变的动态口令K,其中:K=80~2000bit位的“0”、“1”数码,并将该动态口令及其认证参数发送给网络服务器,当网络服务器端收到动态口令和认证参数后,根据网络认证协议生成相同长度的动态口令,经过对比两端的动态口令是否相同,来判断客户端用户的身份。
3、当网络认证协议采用对称加密算法时,
(1)对称加密密钥采用“密钥种子”技术,在用户的会话密钥和时间戳的控制下,随机选取生成一次一密的加密密钥N,其中:N=80~128bit的“0”、“1”数码,用于对用户证书进行加密生成用户的密证书,并将其定义为动态口令K,由于加密密钥一次一变,则产生的动态口令K一次一变。
(2)用户名或用户号由Y位数字或英文字母组成,其中:Y=4~12位,时间戳为8位数字,分别表示年、月、日,根据客户机端计算机系统的时钟产生,会话密钥由N1=8~16位数字组成,由客户机端的网络认证协议产生的N1位随机数字,“密钥种子”为M1组数码,M1=100~2000,每组数码的长度为M2,M2=4~32bit的“0”、“1”数码,在会话密钥与时间戳控制下,从用户的M1组“密钥种子”中选取N1组“密钥种子”并合成一组加密密钥N。
(3)网络认证协议是首先由客户端产生一次一变的动态口令,再将该口令和认证参数发送给网络服务器,网络服务器端收到后,根据认证参数生成加密密钥,并对预存在服务器端的用户证书进行加密生成用户的密证书即:动态口令,经过对比两端的动态口令是否相同来判断用户的身份,其中认证参数包括:用户名或用户号、会话密钥和时间戳等。
4、当网络认证协议采用非对称加密算法时,
(1)在客户机端认证设备中存放一组用户的私钥,其长度为1024或2048bit,在网络服务器端存放一组用户的公钥,其长度也为1024或2048bit,建立随机数组S1,其中:S1=100~2000,每组随机数的长度为S2=8~32bit的“0”、“1”数码,并在用户的会话密钥和时间戳的控制下对随机数组进行选取,每次选取N1组随机数并合成一组随机数S,S=80~2000bit的“0”、“1”数码,将随机数S和用户的证书结合作为明文,再用用户的私钥对其进行加密生成一组密文,将该密文定义为动态口令,由于选取的随机数S一次一变,则经过加密的密文也一次一变,即:动态口令一次一变。
(2)由客户机端产生一次一变的动态口令,再将该口令和认证参数发送给网络服务器,网络服务器端收到后,根据认证参数取出该用户的公钥对动态口令进行解密生成明文,再根据认证参数生成随机数SF,同时,调出网络服务器端预存的用户证书,经过对比两端的证书,并对比随机数S和SF是否完全相同来判断用户的身份,其中认证参数包括:用户名或用户号、会话密钥和时间戳等。
5、在客户机端的认证设备中建立对用户身份进行识别的认证协议,
(1)使用对称加密算法,将用户设置的静态口令作为加密密钥的一部分,另一部分加密密钥由认证协议自动产生,两者合成一组完整的加密密钥,对用户的证书进行加密生成用户的密证书,同时,对部分或全部网络认证协议进行加密生成密文,即密网络认证协议,并将用户的证书和密证书以及密网络认证协议存放在认证设备中。
(2)在认证设备中的认证协议中,将静态口令设为K1,K1由数字或A~F之间的英文字母组成,长度为L1,L1=8~32位,认证协议再将L1位口令经过1变4后,L1=32~128bit。
(3)由认证协议自动产生的另一部分加密密钥设为K2,其长度为L2=80~128,K2在时间戳和会话密钥的控制下,从用户的“密钥种子”中选取N1组“密钥种子”并合并而成,将K1和K2两部分加密密钥结合生成一组加密密钥K3,用于对用户证书加密和对网络认证协议加解密,其中:K1和K2结合的方式为:逻辑同或者逻辑异,同时,两者结合的位置由认证设备中的认证协议规定,生成的加密密钥K3长度为L2。
(4)将用户的密证书定义为认证设备中认证协议的认证码,作为用户使用静态口令K1对认证设备进行认证的对比参数,即:以用户的静态口令K1和认证协议自动产生的另一部分加密密钥K2一起合成一组加密密钥K3,用K3对用户的证书进行加密,生成用户的密证书即认证码,与存放在认证设备中用户的密证书即认证码进行对比,来实现用户对认证设备识别。
(5)用户的静态口令通过认证设备的认证后,用该静态口令生成的加密密钥K3将密网络认证协议解密成明文,即网络认证协议,再调用其进行网络用户的身份识别;若用户的静态口令未能通过认证设备的认证,用其生成的加密密钥K3不能将密网络认证协议解密成正确的明文,则不能调用网络认证协议进行网络用户的身份识别。
6、用户的静态口令只作为认证设备中认证协议的部分加密密钥,而不作为两组认证协议中的认证对比参数,用户的静态口令是记忆在用户的脑海里,用户可对其静态口令随时进行修改,用户的静态口令不存放在认证设备和客户机里,也不存放在网络服务器里,同时,也不在网络上传输。
7、存放在客户机端认证设备中的两种认证协议包括:认证设备的认证协议和密网络认证协议,同时,还存放用户名或用户号、用户的证书、用户的密证书、“密钥种子”,以及控制生成加密密钥K2的时间戳和会话密钥等数据。
附图说明:
图1:认证设备的认证协议流程图
图2:认证协议中用户静态口令修改流程图
具体实施方式:
以下结合附图说明防止用户口令被盗用方法的实现步骤:
图1:说明认证设备的认证协议流程,首先,用户输入其静态口令给认证设备后,在认证设备中生成加密密钥,并将加密密钥输入对称加密算法中,对用户的证书进行加密生成密证书即:认证码,将该组认证码与认证设备中预存的一组认证码进行对比?若正确,则用户对认证设备的认证通过,接下来用已生成的加密密钥将认证设备中的密网络认证协议解密成明文,即:网络认证协议,再调用其实现网络用户身份识别,并可重复调用之,之后停机;若不正确,则提示用户的静态口令错,请重新输入静态口令或者停机。
图2:说明用户修改认证协议中用户的静态口令过程,首先,用户输入其现静态口令给认证设备,同时也输入用户的新静态口令,并重复输入新静态口令一次,在认证设备中对比两次输入的用户新静态口令是否相同?若不相同,则重新输入新静态口令两遍或停机;若相同,则使用现静态口令生成加密密钥,调用加密算法对用户证书进行加密生成密证书,即认证码,取出存放在认证设备中的另一组认证码,经对比两组认证码是否相同?若不相同,则提示输入现静态口令错,重新输入现静态口令或停机,若相同,则调用现静态口令生成的加密密钥,对密网络认证协议解密生成明文,即网络认证协议,再用新静态口令生成新的加密密钥,对部分或全部网络认证协议加密生成密文,即:新的密网络认证协议,并代替原密网络认证协议,存放在认证设备中,再用新静态口令生成的加密密钥对用户证书加密生成新的密证书,即新的认证码,将新的认证码代替原认证码,存放在认证设备中,至此,可重复进行用户静态口令的修改或停机。
Claims (7)
1、采用双重认证协议来防止用户口令被盗用的方法,是运用计算机、网络和密码技术来实现,其实施步骤如下:
在客户端的认证设备中存放两组认证协议,一组为网络认证协议,一组为认证设备的认证协议,用静态口令作为部分密钥,另一部分密钥由认证设备的认证协议自动产生,两者结合成对称加密算法的加密密钥,对用户证书和网络认证协议进行加、解密,来达到对认证设备的识别和对网络认证协议的调控,同时,也在网络服务器端建立网络认证协议,与客户端的网络认证协议对应,并采用对称或者非对称加密算法,生成一次一变的动态口令,实现对网络用户的身份识别,从而,防止用户口令被盗用。
2、根据权利1要求所述的防止用户口令被盗用的方法其特征在于:
用于客户机与网络服务器两端的网络认证协议是基于对称或非对称加密算法体制来实现,用户与认证设备之间的认证协议是基于对称加密算法体制来实现。
3、根据权利2要求所述的方法其特征在于:
(1)根据网络认证协议,由客户机端自动生成一次一变的动态口令发送给网络服务器,来实现网络身份认证;
(2)根据认证设备的认证协议,由用户直接输入静态口令来实现对认证设备的识别。
4、根据权利1要求所述的防止用户口令被盗用的方法其特征在于:
在认证设备的认证协议中,用户的静态口令是作为密钥的一部分,另外一部分密钥由认证设备中的认证协议自动产生,两者合成对称加密算法的加密密钥,用该加密密钥和对称加密算法,分别对用户的证书和部分或全部网络认证协议进行加密生成密文,防止用户的静态口令被破译,也防止网络认证协议被盗用。
5、根据权利4要求所述的方法其特征在于:
(1)将用户的密证书即认证码,作为用户使用静态口令对认证设备进行认证的对比参数,即:以静态口令和认证协议自动产生的另一部分加密密钥一起合成一组加密密钥,对用户的证书进行加密,生成用户的密证书即认证码,与存放在认证设备中用户的密证书即认证码进行对比,来实现用户对认证设备识别;
(2)在已知认证设备中的用户证书、用户的密证书和对称加密算法条件下,来破解一部分加密密钥即:静态口令,其成本和技术难度都十分大,尤其在用户的静态口令达到20位即:80bit以上,且对称加密算法较强条件下,黑客要破译长度超过80bit的对称密钥几乎是不可能的。
6、根据权利4要求所述的方法其特征在于:
(1)当用户的静态口令未能通过认证设备的认证,则不能强行调用网络认证协议,因为存放在认证设备中的网络认证协议是密文;
(2)只有用户的静态口令通过了认证设备的认证后,才能将密网络认证协议解密成明文,并调用其进行网络用户的身份识别。
7、根据权利4和5要求所述的方法其特征在于:
用户的静态口令不作为两组认证协议中的认证对比参数,用户的静态口令是记忆在用户的脑海里,用户可对其静态口令随时进行修改,用户的静态口令不存放在认证设备和客户机里,也不存放在网络服务器里,同时,也不在网络上传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100089815A CN100431297C (zh) | 2005-02-28 | 2005-02-28 | 采用双重认证协议来防止用户口令被盗用的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100089815A CN100431297C (zh) | 2005-02-28 | 2005-02-28 | 采用双重认证协议来防止用户口令被盗用的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1645796A true CN1645796A (zh) | 2005-07-27 |
| CN100431297C CN100431297C (zh) | 2008-11-05 |
Family
ID=34875369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100089815A Active CN100431297C (zh) | 2005-02-28 | 2005-02-28 | 采用双重认证协议来防止用户口令被盗用的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100431297C (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101364872B (zh) * | 2007-08-08 | 2011-09-21 | 精品科技股份有限公司 | 一种通过验证来执行指令的方法 |
| WO2012071714A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京卓微天成科技咨询有限公司 | 一种数据加解密方法及装置 |
| WO2012071717A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京卓微天成科技咨询有限公司 | 一种数据加解密方法及装置 |
| WO2012071725A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京卓微天成科技咨询有限公司 | 一种数据选择加密解密方法及装置 |
| CN102577243A (zh) * | 2009-10-14 | 2012-07-11 | 阿尔卡特朗讯公司 | 通过电信网络的通信设备管理 |
| CN108023726A (zh) * | 2016-10-28 | 2018-05-11 | 三星Sds株式会社 | 加密装置 |
| CN108632296A (zh) * | 2018-05-17 | 2018-10-09 | 中体彩科技发展有限公司 | 一种网络通信的动态加密与解密方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040128542A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
| CN1549482B (zh) * | 2003-05-16 | 2010-04-07 | 华为技术有限公司 | 一种实现高速率分组数据业务认证的方法 |
-
2005
- 2005-02-28 CN CNB2005100089815A patent/CN100431297C/zh active Active
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101364872B (zh) * | 2007-08-08 | 2011-09-21 | 精品科技股份有限公司 | 一种通过验证来执行指令的方法 |
| CN102577243A (zh) * | 2009-10-14 | 2012-07-11 | 阿尔卡特朗讯公司 | 通过电信网络的通信设备管理 |
| WO2012071714A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京卓微天成科技咨询有限公司 | 一种数据加解密方法及装置 |
| WO2012071717A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京卓微天成科技咨询有限公司 | 一种数据加解密方法及装置 |
| WO2012071725A1 (zh) * | 2010-11-29 | 2012-06-07 | 北京卓微天成科技咨询有限公司 | 一种数据选择加密解密方法及装置 |
| CN108023726A (zh) * | 2016-10-28 | 2018-05-11 | 三星Sds株式会社 | 加密装置 |
| CN108023726B (zh) * | 2016-10-28 | 2021-03-26 | 三星Sds株式会社 | 加密装置及加密方法 |
| CN108632296A (zh) * | 2018-05-17 | 2018-10-09 | 中体彩科技发展有限公司 | 一种网络通信的动态加密与解密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100431297C (zh) | 2008-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8966276B2 (en) | System and method providing disconnected authentication | |
| CA2590989C (en) | Protocol and method for client-server mutual authentication using event-based otp | |
| CN101828357B (zh) | 用于证书提供的方法和装置 | |
| US8171527B2 (en) | Method and apparatus for securing unlock password generation and distribution | |
| EP1958374B1 (en) | Proofs of vicinity using cpufs | |
| CN107248075B (zh) | 一种实现智能密钥设备双向认证和交易的方法及装置 | |
| EP2334008A1 (en) | A system and method for designing secure client-server communication protocols based on certificateless public key infrastructure | |
| CN109728909A (zh) | 基于USBKey的身份认证方法和系统 | |
| CN102664739A (zh) | 一种基于安全证书的pki实现方法 | |
| CN110971411B (zh) | 一种基于sotp技术对私钥乘加密的sm2同态签名方法 | |
| CN100431297C (zh) | 采用双重认证协议来防止用户口令被盗用的方法 | |
| CN103427987A (zh) | 数据加密的方法、数据验证方法及电子装置 | |
| US20130097427A1 (en) | Soft-Token Authentication System | |
| CN111030814A (zh) | 秘钥协商方法及装置 | |
| CN107707562A (zh) | 一种非对称动态令牌加、解密算法的方法、装置 | |
| CN1516388A (zh) | 基于对称密码体制的网络身份认证方法 | |
| CN1917424A (zh) | 一种可信计算模块功能升级的方法 | |
| CN109218251B (zh) | 一种防重放的认证方法及系统 | |
| CN1980127A (zh) | 口令认证系统及口令认证方法 | |
| Daddala et al. | Design and implementation of a customized encryption algorithm for authentication and secure communication between devices | |
| CN100566239C (zh) | 多级智能密钥装置的密钥传递方法和系统 | |
| CN115632797A (zh) | 一种基于零知识证明的安全身份验证方法 | |
| Abiega-L’Eglisse et al. | A New Fuzzy Vault based Biometric System robust to Brute-Force Attack | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| CN109450641A (zh) | 一种高端模具信息管理系统访问控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP02 | Change in the address of a patent holder |
Address after: 100091 No. 4, building 22, West 1, Hongqi hospital, Beijing, Haidian District Patentee after: Hu Xiangyi Address before: 100044 Beijing city Xicheng District Xizhimen Street No. 138 room 620 Beijing Planetarium Patentee before: Hu Xiangyi |