專利名稱:基于對稱密碼體制的網(wǎng)絡(luò)身份認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域,是用對稱密碼體制來實現(xiàn)網(wǎng)絡(luò)身份認(rèn)證,該技術(shù)方法可防止非法或越權(quán)的網(wǎng)絡(luò)訪問,適用于政府、社會團(tuán)體、軍隊、銀行、證券、保險等單位的各種網(wǎng)站。
背景技術(shù):
目前,國內(nèi)外一些廠商生產(chǎn)的基于密碼算法的網(wǎng)絡(luò)身份認(rèn)證產(chǎn)品,都是采用非對稱密碼體制,即公鑰或雙鑰體制。該技術(shù)不僅要建立CA認(rèn)證中心,還要建立證書管理中心和密鑰管理中心等,非對稱密碼算法復(fù)雜,密鑰要求太長,認(rèn)證速度慢,日常的密鑰分發(fā)、管理繁瑣,系統(tǒng)維護(hù)費用高,系統(tǒng)建立投入大,尤其是每年還要交服務(wù)費,導(dǎo)致該技術(shù)的普及應(yīng)用難度較大。
發(fā)明內(nèi)容
本網(wǎng)絡(luò)身份認(rèn)證方法采用計算機(jī)、密碼和網(wǎng)絡(luò)技術(shù)來構(gòu)建網(wǎng)絡(luò)身份認(rèn)證系統(tǒng),是在客戶計算機(jī)和網(wǎng)絡(luò)服務(wù)器兩端,分別設(shè)置一對相同的對稱密碼算法,通過比較兩端用對稱密碼算法加密生成的認(rèn)證碼,來實現(xiàn)身份認(rèn)證。全部過程由軟、硬件結(jié)合方式實現(xiàn),具體方法如下1、客戶端的對稱密碼算法和一套“子密鑰”組N存放在一個數(shù)字鑰匙中,其中N=580~2970個,子密鑰的長度為16比特~32比特;服務(wù)器端的對稱密碼算法和一組固定的密鑰K,也存放在一個數(shù)字鑰匙中,其中K=128比特~256比特,K變化量為2128~2256,該數(shù)字鑰匙用硬件實現(xiàn),是一支內(nèi)置CPU智能芯片具有智能卡功能的USB設(shè)備。
2、每個用戶分別擁有一套不同的“子密鑰”組,與加密算法一起存放在數(shù)字鑰匙中,由時間戳和隨機(jī)碼控制對該“子密鑰”組進(jìn)行隨機(jī)、實時組合選取,并合成密鑰,合成后的密鑰長度為128~256比特,其變化量為2128~2256,這種密鑰的生成方式能達(dá)到一次一變,不重復(fù),100年也用不完。
3、時間戳是根據(jù)客戶端計算機(jī)的系統(tǒng)時間來產(chǎn)生,時間戳由8位數(shù)字組成;隨機(jī)碼是由客戶端認(rèn)證系統(tǒng)隨機(jī)產(chǎn)生,由8~16個數(shù)字組成。
4、將客戶端產(chǎn)生的時間戳和隨機(jī)碼傳輸?shù)綌?shù)字鑰匙中,在數(shù)字鑰匙中,對一組明文T進(jìn)行加密生成密文M1,其中T=128比特~200比特,M1=128比特~200比特,M1的變化量為2128~2200,其密文M1與明文T長度一樣,將該密文M1稱為認(rèn)證碼。
5、用戶號由英文字母或數(shù)字組成,長度為4~16位,用戶號在客戶機(jī)和服務(wù)器里同時備份。
6、將用戶號、時間戳、隨機(jī)碼和認(rèn)證碼一起作為認(rèn)證參數(shù),認(rèn)證參數(shù)是由客戶端發(fā)給網(wǎng)絡(luò)服務(wù)器端,用于對客戶端用戶身份的識別,認(rèn)證參數(shù)是在網(wǎng)絡(luò)上公開傳輸。
7、服務(wù)器端各用戶的“子密鑰”組,是用該端對稱密碼算法和一組固定的密鑰K進(jìn)行加密,生成“密子密鑰”組,并預(yù)置在與用戶號對應(yīng)的硬盤存儲區(qū)。
8、服務(wù)器端在進(jìn)行認(rèn)證時,是先根據(jù)客戶端傳來的用戶號、隨機(jī)碼和時間戳,選出用戶號對應(yīng)的“密子密鑰”并輸入數(shù)字鑰匙中,在數(shù)字鑰匙中,將其用固定密鑰K和加密算法進(jìn)行解密并合成密鑰,再用該密鑰和加密算法對一組與客戶端相同的明文T進(jìn)行加密,生成認(rèn)證碼M2,將M2與客戶端傳來的認(rèn)證碼M1進(jìn)行對比是否相同,來實現(xiàn)網(wǎng)絡(luò)身份認(rèn)證。
圖1基于對稱密碼體制的網(wǎng)絡(luò)身份認(rèn)證流程圖
具體實施例方式以下結(jié)合
身份認(rèn)證方法的實現(xiàn)步驟圖1說明客戶端計算機(jī)首先產(chǎn)生時間戳和隨機(jī)碼,由其控制從“子密鑰”組中選出若干個“子密鑰”,并合成密鑰,再將該密鑰輸入加密算法,對一組明文進(jìn)行加密生成密文,把該段密文作為認(rèn)證碼M1,與用戶號、隨機(jī)碼和時間戳一并通過網(wǎng)絡(luò)傳輸給網(wǎng)絡(luò)服務(wù)器。服務(wù)器端接收到客戶機(jī)端發(fā)來的認(rèn)證參數(shù)后,根據(jù)用戶號、時間戳和隨機(jī)碼,首先選出該用戶號對應(yīng)的“密子密鑰”,將其用固定的密鑰和加密算法進(jìn)行解密,并合成密鑰,再用該密鑰和加密算法對一組與客戶端相同的明文進(jìn)行加密生成認(rèn)證碼M2,將兩端的認(rèn)證碼M1和M2進(jìn)行比較,若相同,為合法用戶,否則,為非法用戶。
權(quán)利要求
1.基于對稱密碼體制的網(wǎng)絡(luò)身份認(rèn)證方法,是利用計算機(jī)、密碼和網(wǎng)絡(luò)技術(shù)來實現(xiàn),其實施步驟如下在客戶計算機(jī)和網(wǎng)絡(luò)服務(wù)器兩端,分別設(shè)置一對相同的對稱密碼算法,用客戶端對稱密碼算法對一組有限長的明文進(jìn)行加密,生成一組密文,將該密文作為認(rèn)證碼,與用戶號、時間戳和隨機(jī)碼一并通過網(wǎng)絡(luò)傳輸給網(wǎng)絡(luò)服務(wù)器,且密鑰采用組合生成,保證一次一密,服務(wù)器端以相同的對稱密碼算法和密鑰對相同的明文進(jìn)行加密生成密文,將該密文作為服務(wù)器端的認(rèn)證碼與客戶端傳輸來的認(rèn)證碼進(jìn)行比較,相同則為合法用戶,反之,為非法用戶。
2.根據(jù)權(quán)利1要求的方法,其特征在于用對稱密碼體制來實現(xiàn)網(wǎng)絡(luò)身份認(rèn)證。
3.根據(jù)權(quán)利1要求的方法,其特征在于每個用戶分別擁有一套不同的“子密鑰”組,與加密算法一起存放在數(shù)字鑰匙中,由時間戳和隨機(jī)碼控制對該“子密鑰”組進(jìn)行隨機(jī)、實時組合選取,并合成密鑰,使得對稱密碼的密鑰達(dá)到一次一密,不重復(fù),100年也用不完,從而,解決了對稱密碼的密鑰分發(fā)和管理較繁瑣的難題。
4.根據(jù)權(quán)利3要求的方法,其特征在于進(jìn)行網(wǎng)絡(luò)身份認(rèn)證過程中的有限長的認(rèn)證碼,在密鑰和加密算法控制下生成,一次一變,不重復(fù),從而,防止認(rèn)證碼被盜用。
5.根據(jù)權(quán)利1要求的方法,其特征在于客戶端的對稱密碼算法和一套“子密鑰”組存放在一個數(shù)字鑰匙中,服務(wù)器端的對稱密碼算法和一組固定的密鑰也存放在一個數(shù)字鑰匙中,該數(shù)字鑰匙用硬件實現(xiàn),防止非法的數(shù)據(jù)讀取。
6.根據(jù)權(quán)利1要求的方法,其特征在于網(wǎng)絡(luò)服務(wù)器端各用戶的“子密鑰”組,是用該端對稱密碼算法和一組固定的密鑰進(jìn)行加密,生成“密子密鑰”組,并預(yù)置在與用戶號對應(yīng)的硬盤存儲區(qū),從而,保證了服務(wù)器端用戶密鑰的安全。
7.根據(jù)權(quán)利5和6要求的方法,其特征在于1)客戶機(jī)端用戶密鑰的使用,是根據(jù)隨機(jī)碼和時間戳選出“子密鑰”再合成密鑰,并對一組有限長的明文進(jìn)行加密生成認(rèn)證碼,其過程全部在數(shù)字鑰匙中進(jìn)行,防止“子密鑰”和加密算法的數(shù)據(jù)泄漏;2)服務(wù)器端各用戶密鑰的使用,是先根據(jù)客戶端傳來的用戶號、隨機(jī)碼和時間戳,選出用戶號對應(yīng)的“密子密鑰”,將其用數(shù)字鑰匙中固定密鑰和算法進(jìn)行解密并合成密鑰,再用該密鑰對一組指定的明文進(jìn)行加密,生成認(rèn)證碼,加、解密過程全部在數(shù)字鑰匙中進(jìn)行,防止被解密的“密子密鑰”和加密算法的數(shù)據(jù)泄漏。
全文摘要
基于對稱密碼體制的網(wǎng)絡(luò)身份認(rèn)證方法,是運用計算機(jī)、密碼和網(wǎng)絡(luò)技術(shù),在客戶機(jī)和網(wǎng)絡(luò)服務(wù)器兩端,分別設(shè)置一對相同的對稱密碼算法,用客戶端的加密算法,對一組有限長的明文進(jìn)行加密生成密文,將該密文作為認(rèn)證碼,與用戶號、時間戳和隨機(jī)碼一并經(jīng)網(wǎng)絡(luò)傳給服務(wù)器,且密鑰采用組合生成方式,達(dá)到一次一密,服務(wù)器端以相同的密鑰和加密算法對相同的明文進(jìn)行加密,生成同長度的認(rèn)證碼,將兩組認(rèn)證碼進(jìn)行比較,從而,實現(xiàn)網(wǎng)絡(luò)身份認(rèn)證。
文檔編號H04L9/32GK1516388SQ03155838
公開日2004年7月28日 申請日期2003年8月26日 優(yōu)先權(quán)日2003年8月26日
發(fā)明者胡祥義 申請人:胡祥義