專利名稱:解決計算機(jī)應(yīng)用系統(tǒng)操作中忘記口令的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)系統(tǒng)操作方法,特別涉及解決計算機(jī)應(yīng)用系統(tǒng)操作過程中忘記口令的方法。
目前,計算機(jī)應(yīng)用系統(tǒng)針對不同級別的用戶提供不同的使用權(quán)限,并利用用戶名和口令來進(jìn)行用戶認(rèn)證。系統(tǒng)管理員(或超級用戶)擁有最高的系統(tǒng)管理權(quán)限,并負(fù)責(zé)為其他級別的用戶(以下簡稱普通用戶)建立用戶帳號和口令,當(dāng)普通用戶忘記口令時,系統(tǒng)管理員可以在完成驗證之后,為用戶建立用戶賬號和口令以解決問題。但系統(tǒng)管理員忘記口令時,計算機(jī)應(yīng)用系統(tǒng)的管理工作則無法正常運行。這時系統(tǒng)管理員一般將求助于計算機(jī)應(yīng)用系統(tǒng)提供商,提供商有兩種辦法解決忘記口令的尷尬局面第一種辦法重新安裝計算機(jī)應(yīng)用系統(tǒng),其缺點是原有系統(tǒng)的數(shù)據(jù)將全部或部分丟失,使用戶蒙受損失。
第二種辦法為計算機(jī)應(yīng)用系統(tǒng)設(shè)置后門口令,使得系統(tǒng)管理員可以應(yīng)用后門口令重新進(jìn)入計算機(jī)應(yīng)用系統(tǒng),如果該后門口令是不隨時間進(jìn)行變化的,則稱為靜態(tài)后門口令。
通常提供商將后門口令預(yù)先設(shè)置,如果發(fā)生系統(tǒng)管理員忘記口令的情形,就直接將該后門口令交給系統(tǒng)管理員,這一類后門口令可用軟件,也可用硬件實現(xiàn),屬于靜態(tài)后門口令,靜態(tài)后門口令的不足主要有兩方面,一方面是如果提供商保管理后門口令,則容易使用戶產(chǎn)生不信任感,因為提供商有可能通過該口令進(jìn)入用戶的計算機(jī)系統(tǒng),非法獲取用戶數(shù)據(jù),在當(dāng)今互聯(lián)網(wǎng)廣泛應(yīng)用的時代,這種風(fēng)險讓人越來越無法接受。另一方面是,如果用戶保管后門口令,則仍然存在口令遺忘或丟失的可能。所以無論是靜態(tài)后門口令還是所有已知的動態(tài)口令都無法克服以上二個方面的不足。
本發(fā)明的目的,是針對以上技術(shù)的不足,提供一種解決計算機(jī)應(yīng)用系統(tǒng)操作中忘記口令的方法,使用戶不必?fù)?dān)心由于系統(tǒng)口令丟失造成的不便和損失,不必?fù)?dān)心計算機(jī)應(yīng)用系統(tǒng)提供商或任何第三方通過后門口令非法獲得用戶的數(shù)據(jù)。
本發(fā)明的目的可以通過以下技術(shù)方案實現(xiàn)設(shè)計一種解決計算機(jī)應(yīng)用系統(tǒng)操作中忘記口令的方法,其方法采用下列步驟(1)、啟動用戶后門口令系統(tǒng);(2)、在用戶端鍵入一序列A;(3)用戶端子系統(tǒng)將序列A與計算機(jī)隨機(jī)系統(tǒng)產(chǎn)生的隨機(jī)數(shù)a進(jìn)行邏輯變換,生成輸入序列B;(4)、用戶端子系統(tǒng)將輸入序列B通過散列函數(shù)b進(jìn)行邏輯變換,生成輸出序列D;(5)、用戶將輸出序列D及身份證明送至提供商端子系統(tǒng);(6)、提供商端子系統(tǒng)將輸出序列D經(jīng)散列函數(shù)d進(jìn)行邏輯變換,生成序列E,又經(jīng)單向陷門函數(shù)及秘密參數(shù)1變換,生成輸出序列F,并將F送用戶端子系統(tǒng);(7);用戶端子系統(tǒng)將送來的輸出序列F經(jīng)單向陷門函數(shù)及秘密參數(shù)2變換,生成序列E,序列E又經(jīng)散列函數(shù)f變換生成口令1并顯示在用戶端;(8)、用戶端子系統(tǒng)將輸出序列D經(jīng)散列函數(shù)d進(jìn)行邏輯變換,生成序列E,序列E又經(jīng)散列函數(shù)f變換生成口令2并儲存在系統(tǒng)中;(9)、用戶端子系統(tǒng)比較口令1、口令2,兩者相同時,即允許用戶登錄。
本發(fā)明與現(xiàn)有技術(shù)相比,用戶每次申請口令時,得到的后門口令互不相同;用戶使用該后門口令后,該口令立即失效,在申請后門口令并獲得認(rèn)證批準(zhǔn)之前任何人都無法預(yù)知后門口令;當(dāng)后門口令的產(chǎn)生依賴于多方的共同參與時,缺少任何一方都不能生成后門口令。
下面結(jié)合附圖對本發(fā)明進(jìn)一步詳述
圖1為本發(fā)明的函數(shù)關(guān)系生成圖;圖2為本發(fā)明的程序流程圖;解決計算機(jī)應(yīng)用系統(tǒng)操作中忘記口令的方法,其方法采用下列步驟(1)、啟動用戶后門口令系統(tǒng);(2)、在用戶端鍵入一序列A;(3)用戶端子系統(tǒng)將鍵序A與計算機(jī)系統(tǒng)隨機(jī)產(chǎn)生的隨機(jī)數(shù)a進(jìn)行加、減、乘、除或其混合的邏輯變換,生成輸入序列B;(4)、用戶端子系統(tǒng)將輸入序列B通過散列函數(shù)b如SHA、MD5等進(jìn)行邏輯變換,生成輸出序列D;(5)、用戶將輸出序列D及身份證明送至提供商端子系統(tǒng);
(6)、提供商端子系統(tǒng)驗證身份證明文件,并將輸出序列D經(jīng)散列函數(shù)d如SHA進(jìn)行邏輯變換,生成序列E,又經(jīng)單向陷門函數(shù)及秘密參數(shù)1(該參數(shù)1由提供商設(shè)定)變換,生成輸出序列F,并將F送用戶端子系統(tǒng);(7);用戶端子系統(tǒng)將送來的輸出序列F經(jīng)單向陷門函數(shù)及秘密參數(shù)2變換,生成序列E,序列E又經(jīng)散列函數(shù)f變換生成口令1并顯示在用戶端;(8)、用戶端子系統(tǒng)將輸出序列D經(jīng)散列函數(shù)d進(jìn)行邏輯變換,生成序列E,序列E又經(jīng)散列函數(shù)f變換生成口令2并儲存在系統(tǒng)中;(9)、用戶端子系統(tǒng)比較口令1、口令2,兩者相同時,即允許用戶登錄。
當(dāng)口令生成參與者包含第三方時,在前述第(5)步驟用戶將輸出序列D及身份證明送至提供商端子系統(tǒng)時,同時采用下列步驟(10)、用戶將輸出序列D及身份證明送至第三方計算機(jī);(11)、第三方端子系統(tǒng)在接收到用戶提供的輸出序列D及身份證明后予以核實;(12)、第三方端子系統(tǒng)利用將核實后的輸出序列D進(jìn)行邏輯變換,生成輸出序列H,并傳送給用戶端子系統(tǒng);(13)、用戶端子系統(tǒng)同時接前述第(6)步驟將提供商端傳至的輸出序列F前步輸出序列H進(jìn)行散列函數(shù)變換,生成口令1并顯示在用戶端;(14)、用戶端子系統(tǒng)將輸序列D經(jīng)散列函數(shù)d進(jìn)行邏輯變換,生成序列E,序列E又經(jīng)散列函數(shù)f變換生成口令2并儲存在系統(tǒng)中;(15)用戶端子系統(tǒng)比較口令1、口令2,兩者相同時即允許用戶登錄。
本發(fā)明可應(yīng)用于網(wǎng)絡(luò)設(shè)備,包括路由器、防火墻、代理服務(wù)器、可管理交換機(jī)、接入服務(wù)器、AAA網(wǎng)關(guān)以及網(wǎng)絡(luò)安全設(shè)備等等。下面以不包含第三方子系統(tǒng)的基本實現(xiàn)方法為例闡述一下本發(fā)明在網(wǎng)絡(luò)設(shè)備上的應(yīng)用假設(shè)網(wǎng)絡(luò)設(shè)備的系統(tǒng)管理員用戶賬號名為root用戶端子系統(tǒng)慶網(wǎng)絡(luò)設(shè)備上建立特權(quán)系統(tǒng)用戶,假設(shè)賬號名為6tao,該用戶具有修改root口令的權(quán)限,但不具有任何其他權(quán)限。該用戶初始設(shè)置為不可用,直到用戶申請后門口令時為止。(以下流程參考附圖1)1、用戶鍵入特別鍵序或用鼠標(biāo)擊點特別控制以啟動用戶端子系統(tǒng),例如用戶進(jìn)入設(shè)備的管理登錄界面,但已經(jīng)遺失root口令,故無法進(jìn)入系統(tǒng)進(jìn)行管理。但管理登錄界面上有“申請后門口令”按鈕,用戶可以用鼠標(biāo)點此按鈕進(jìn)入用戶端子系統(tǒng),開始申請后門口令流程。
2、系統(tǒng)彈出對話框,提示用戶輸入16位長由字母和數(shù)字組成的隨機(jī)序列token1,例如token1=’1234abcd1234abcd’3、系統(tǒng)提示用戶記錄第2步輸入的16位長序列token1,然后自動根據(jù)token1、隨機(jī)數(shù)1和散列函數(shù)算法1產(chǎn)生16位長序列token2,并將token2顯示在屏幕上。
系統(tǒng)在后臺根據(jù)token1、隨機(jī)數(shù)1、散列函數(shù)算法1、散列函數(shù)算法2、散列算法3、單向陷門函數(shù)和秘密參數(shù)2計算出6tao的口令passwd,并儲存在系統(tǒng)中,以備將來(第7步)驗證。
4、用戶記錄下第3步產(chǎn)生的16位長序列token2,并將token2和用戶的證明文件等資料利用傳真等手段傳遞給提供商。
5、提供商完成驗證用戶證明資料并予以核準(zhǔn)派發(fā)后門后令后,提供商端子系統(tǒng)利用token2、散列函數(shù)算法2、單向陷門函數(shù)和秘密參數(shù)1產(chǎn)生16位長序列token3,提供商將token傳遞給用戶。
6、用戶進(jìn)入用戶端子系統(tǒng),輸入第3步中記錄和token1以及從提供商處收到的token3,系統(tǒng)利用單向陷門函數(shù)和秘密參數(shù)2驗證token3的有效性,驗證通過后根據(jù)token1、token3和散列算法3自動產(chǎn)生6tao的后門口令passwd。
7、用戶使用passwd登錄進(jìn)入6tao賬戶,并修改root口令。
系統(tǒng)在后臺利用寫入隨機(jī)數(shù)2等方式更改6tao口令,使6tao口令只能使用1次。
權(quán)利要求
1.一種解決計算機(jī)應(yīng)用系統(tǒng)操作中忘記口令的方法,其特征在于采用下列步驟(1)、啟動用戶后門口令系統(tǒng);(2)、在用戶端鍵入一序列A;(3)用戶端子系統(tǒng)將序列A與計算機(jī)系統(tǒng)隨機(jī)產(chǎn)生的隨機(jī)數(shù)a進(jìn)行邏輯變換,生成輸入序列B;(4)、用戶端子系統(tǒng)將輸入序列B通過散列函數(shù)b進(jìn)行邏輯變換,生成輸出序列D;(5)、用戶將輸出序列D及身份證明送至提供商端子系統(tǒng);(6)、提供商端子系統(tǒng)將輸出序列D經(jīng)散列函數(shù)d進(jìn)行邏輯變換,生成序列E,又經(jīng)單向陷門函數(shù)及秘密參數(shù)1變換,生成輸出序列F,并將F送用戶端子系統(tǒng);(7);用戶端子系統(tǒng)將送來的輸出序列F經(jīng)單向陷門函數(shù)及秘密參數(shù)2變換,生成序列E,序列E又經(jīng)散列函數(shù)f變換生成口令1并顯示在用戶端;(8)、用戶端子系統(tǒng)將輸出序列D經(jīng)散列函數(shù)d進(jìn)行邏輯變換,生成序列E,序列E又經(jīng)散列函數(shù)f變換生成口令2并處存在系統(tǒng)中;(9)、用戶端子系統(tǒng)比較口令1、口令2,兩者相同時,即允許用戶登錄。
2.根據(jù)權(quán)利要求1所述的解決計算機(jī)應(yīng)用系統(tǒng)操作中忘記口令的方法,其特征在于當(dāng)口令生成參與者包含第三方時,在前述第(5)步驟用戶將輸出序列D及身份證明送至提供商端子系統(tǒng)時,同時采用下列步驟(10)、用戶將輸出序列D及身份證明送至第三方計算機(jī);(11)、第三方端子系統(tǒng)在接收到用戶提供的輸出序列D及身份證明后予以核實;(12)、第三方端子系統(tǒng)利用將核實后的輸出序列D進(jìn)行邏輯變換,生成輸出序列H,并傳送給用戶端子系統(tǒng);(13)、用戶端子系統(tǒng)同時接前述第(6)步驟將收提供商端傳至的輸出序列F前步輸出序列H進(jìn)行散列函數(shù)變換,生成口令1并顯示在用戶端;(14)、用戶端子系統(tǒng)將輸序列D經(jīng)散列函數(shù)d進(jìn)行邏輯變換,生成序列E,序列E又經(jīng)散列函數(shù)f變換生成口令2;(15)用戶端子系統(tǒng)比較口令1、口令2,兩者相同時即允許用戶登錄。
全文摘要
一種解決計算機(jī)應(yīng)用系統(tǒng)操作中忘記口令的方法,其方法是在用戶端子系統(tǒng)及提供商端子系統(tǒng)分別設(shè)有數(shù)字函數(shù)變換和序列自動生成程序,在用戶端子系統(tǒng)鍵入一指令,該子系統(tǒng)產(chǎn)生一序列1,該序列被傳遞至提供商端子系統(tǒng),經(jīng)確認(rèn)后生成序列2,序列2被傳回至用戶端子系統(tǒng),經(jīng)數(shù)學(xué)函數(shù)變換后得一新的口令,登錄即可,本發(fā)明解決了用戶忘記口令的不便和后門口令泄密的可能。
文檔編號G06F9/305GK1393768SQ0111887
公開日2003年1月29日 申請日期2001年6月27日 優(yōu)先權(quán)日2001年6月27日
發(fā)明者夏樹濤, 魏克為 申請人:深圳市六韜信息技術(shù)有限公司