專利名稱:電子/手機令牌動態(tài)口令認(rèn)證系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全認(rèn)證技術(shù),更具體地說,涉及一種動態(tài)身份認(rèn)證方法及系統(tǒng)。
背景技術(shù):
進入網(wǎng)絡(luò)時代,集中式的網(wǎng)絡(luò)管理和開放式的電子商務(wù)使信息安全顯得尤為重要。國內(nèi)外推出各種軟硬件系統(tǒng)和產(chǎn)品,解決信息安全的不同方面和不同層次的問題。如防火墻技術(shù)、VPN技術(shù)、數(shù)據(jù)傳輸與存儲的加解密技術(shù)、網(wǎng)絡(luò)入侵檢測和各種身份認(rèn)證技術(shù)等等。其中,身份認(rèn)證是信息安全的基礎(chǔ),如果不能可靠地確認(rèn)計算機信息系統(tǒng)訪問者的身份是否合法,那么其他安全措施將會形同虛設(shè)。目前,有別于普通靜態(tài)口令的認(rèn)證主要有以下幾種形式USB卡、CA認(rèn)證、智能IC卡、指紋虹模認(rèn)證1.USB卡存在認(rèn)證信息可能在傳輸中被竊取和重用以及只能在有USB電腦的接口上使用等方面的缺陷;2.CA認(rèn)證使用公鑰和私鑰機制,由第三方CA認(rèn)證中心保證公鑰的正確性。但用戶的私鑰是靜態(tài)信息,如果一旦泄密,就可以被非法使用,此外實施成本高,使用維護管理成本也相當(dāng)高;3.IC卡同樣存在認(rèn)證信息可能在傳輸中被截取和重用的缺陷,用戶也必須安裝相應(yīng)的讀卡設(shè)備;4.指紋虹模認(rèn)證雖然是使用典型個人特征來檢驗用戶身份,安全程序很高,但由于數(shù)據(jù)量大,遠(yuǎn)程登錄實施起來的難度大、成本高。而且其本質(zhì)上還是一種靜態(tài)信息,所以不能從根本上杜絕截取、仿冒等安全問題。
于是就需要一種新的安全認(rèn)證方法來克服上述幾種形式的缺陷。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種新的動態(tài)身份認(rèn)證方法和系統(tǒng),其采用基于時鐘同步的電子/手機令牌動態(tài)口令雙因素身份認(rèn)證技術(shù)系統(tǒng)使得用戶口令即無法被盜取而且又能解決常規(guī)的口令頻繁變換所帶來的問題。
本發(fā)明涉及以鑒別、授權(quán)和管理為核心的AAA技術(shù),是基于移動通訊的網(wǎng)絡(luò)化安全應(yīng)用,是一種綜合利用網(wǎng)絡(luò)通訊、移動通訊和信息編碼實現(xiàn),應(yīng)用于在線撥入及登錄各種計算機操作系統(tǒng)、股票交易、電子銀行、電子商務(wù)等網(wǎng)上業(yè)務(wù)的安全認(rèn)證技術(shù)。
根據(jù)本發(fā)明的一方面,提供一種動態(tài)身份認(rèn)證方法,使用電子令牌技術(shù),具體認(rèn)證步驟如下為手機植入一動態(tài)口令生成裝置同時整合手機的運算、時鐘、液晶顯示功能形成令牌手機;令牌手機經(jīng)激活,由大素數(shù)據(jù)庫產(chǎn)生并提供令牌手機用戶特定的種子值及初始化時間;所述令牌手機將根據(jù)時間產(chǎn)生一個動態(tài)口令;當(dāng)需要登陸到網(wǎng)絡(luò)時,強制執(zhí)行雙因素身份認(rèn)證機制,輸入所述動態(tài)口令與用戶標(biāo)識,并將所述用戶標(biāo)識和所述動態(tài)口令傳送至一認(rèn)證代理應(yīng)用服務(wù)器;認(rèn)證代理應(yīng)用服務(wù)器將所述用戶標(biāo)識和動態(tài)口令發(fā)送至一認(rèn)證服務(wù)器,所述認(rèn)證服務(wù)器根據(jù)用戶標(biāo)識在數(shù)據(jù)庫中尋找所述令牌并根據(jù)時間序列一起生成對比口令,與所述動態(tài)口令進行比較,并將比較結(jié)果送至所述認(rèn)證代理應(yīng)用服務(wù)器;如果所述比較結(jié)果相同,則允許用戶登陸,否則拒絕用戶登陸。
根據(jù)本發(fā)明的一實施例,所述令牌手機產(chǎn)生的動態(tài)口令為一次性口令,按照預(yù)定時間,通常為一分鐘或幾十秒鐘改變一次且不能重復(fù)使用。
根據(jù)本發(fā)明的一實施例,為所述手機值入一次性動態(tài)口令應(yīng)用程序而形成令牌手機。
根據(jù)本發(fā)明的一實施例,所述動態(tài)口令應(yīng)用程序是偽隨機算法程序,所述令牌手機植入合法用戶初始化程序,是由大素數(shù)據(jù)庫產(chǎn)生并提供給手機令牌用戶特定的種子值及初始化時間用來激活令牌手機。
根據(jù)本發(fā)明的另一方面,提供一種動態(tài)身份認(rèn)證系統(tǒng),使用電子令牌技術(shù),包括一電子/手機令牌,手機植入有一動態(tài)口令生成裝置形成令牌手機,令牌手機經(jīng)激活,所述令牌手機將根據(jù)時間產(chǎn)生一個動態(tài)口令;一認(rèn)證代理應(yīng)用服務(wù)器,連接到網(wǎng)絡(luò),當(dāng)需要登陸網(wǎng)絡(luò)時,強制執(zhí)行雙因素身份認(rèn)證機制,所述認(rèn)證代理應(yīng)用服務(wù)器接收用戶標(biāo)識和由令牌手機產(chǎn)生的動態(tài)口令;一認(rèn)證服務(wù)器,接收所述認(rèn)證代理應(yīng)用服務(wù)器傳遞的用戶標(biāo)識和動態(tài)口令,根據(jù)用戶標(biāo)識在數(shù)據(jù)庫中尋找所述令牌并根據(jù)時間序列一起生成對比口令,與所述動態(tài)口令進行比較,并將比較結(jié)果送至所述認(rèn)證代理應(yīng)用服務(wù)器;其中,所述認(rèn)證代理應(yīng)用服務(wù)器根據(jù)所述認(rèn)證服務(wù)器返回的比較結(jié)果決定是否允許用戶登陸,如果所述比較結(jié)果相同,則允許用戶登陸,否則拒絕用戶登陸。
根據(jù)本發(fā)明的一實施例,所述認(rèn)證服務(wù)器通過中心局域網(wǎng)與認(rèn)證代理應(yīng)用服務(wù)器相連,所述認(rèn)證代理應(yīng)用服務(wù)器包括Web服務(wù)器、應(yīng)用服務(wù)器以及通訊服務(wù)器/路由器。
根據(jù)本發(fā)明的一實施例,所述認(rèn)證代理應(yīng)用服務(wù)器為一通訊服務(wù)器/路由器,與中心局域網(wǎng)連接;本地用戶可直接聯(lián)到中心局域網(wǎng);電話查詢/電話委托用戶可連到公共交換電話網(wǎng)后再通過所述通訊服務(wù)器/路由器連接到所述中心局域網(wǎng);移動用戶可通連入DDN后再通過所述通訊服務(wù)器/路由器連入所述中心局域網(wǎng);分部局域網(wǎng)用戶可連入分部局域網(wǎng)后連入另一不作為認(rèn)證代理應(yīng)用服務(wù)器的通訊服務(wù)器/路由器連入幀中繼互聯(lián)網(wǎng)通過第一通訊服務(wù)器/路由器連入中心局域網(wǎng)。
根據(jù)本發(fā)明的一實施例,所述令牌手機產(chǎn)生的動態(tài)口令為一次性口令,按照預(yù)定時間,通常為一分鐘或者幾十秒種改變一次且不能重復(fù)使用;為所述手機值入一次性動態(tài)口令應(yīng)用程序而形成令牌手機。
根據(jù)本發(fā)明的一實施例,所述動態(tài)口令應(yīng)用程序是偽隨機算法程序,所述令牌手機植入合法用戶初始化程序,是由大素數(shù)據(jù)庫產(chǎn)生并提供給手機令牌用戶特定的種子值及初始化時間用來激活令牌手機。
根據(jù)本發(fā)明的一實施例,所述植入手機的初始化程序和一次性動態(tài)口令應(yīng)用程序以及所述認(rèn)證服務(wù)器中采用的動態(tài)口令及對比口令產(chǎn)生方法包括內(nèi)置偽隨機算法和令牌初值;令牌函數(shù),函數(shù)形式是long acSeaKESyncAuthGenerateCode(char*acPartKey1,char*acPartKey2,char*acPartKey3,char*acPartKey4,char*acInitTime,char*acTokenPwd);參數(shù)值acPartKey1,acPartKey2,acPartKey3,acPartKey4初始化種子數(shù),其中前3個不變?yōu)橐婚_始的種子數(shù),第4個初始為“”,后面的為上一次的產(chǎn)生的動態(tài)口令;acInitTime第一次為初始化時間,后來為上一次計算口令時候的時間;acTokenPwd返回的當(dāng)前時間的動態(tài)口令;返回值為0表示成功,非0表示失敗。
采用了本發(fā)明的技術(shù)方案,采用本發(fā)明所揭示的動態(tài)身份認(rèn)證方法及系統(tǒng),提供了基于時鐘同步的電子/手機令牌動態(tài)口令雙因素身份認(rèn)證技術(shù),使得用戶口令即無法被盜取而且又能解決常規(guī)的口令頻繁變換所帶來的問題。
圖1是根據(jù)本發(fā)明的一實施例的動態(tài)口令認(rèn)證工作流程圖;圖2是根據(jù)本發(fā)明的一實施例的認(rèn)證系統(tǒng)結(jié)構(gòu)示意圖;圖3是根據(jù)本發(fā)明的一實施例的認(rèn)證系統(tǒng)的應(yīng)用結(jié)構(gòu)圖;圖4是根據(jù)本發(fā)明一實施例的令牌手機植入一次性動態(tài)口令應(yīng)用程序功能示圖。
具體實施例方式
下面進一步說明本發(fā)明的技術(shù)方案。
本發(fā)明提供一種動態(tài)身份認(rèn)證方法,使用電子令牌技術(shù),參考圖1示出了其一個實施例的流程圖,如圖1所示,其具體認(rèn)證步驟如下首先是為手機植入一動態(tài)口令生成裝置形成令牌手機100,令牌手機經(jīng)激活;根據(jù)本發(fā)明的一實施例,為手機值入的是一次性動態(tài)口令應(yīng)用程序而形成令牌手機,根據(jù)本發(fā)明的一實施例,值入的動態(tài)口令應(yīng)用程序是偽隨機算法程序,同時,還對令牌手機植入合法用戶初始化程序,由大素數(shù)據(jù)庫產(chǎn)生并提供給手機令牌用戶特定的種子值及初始化時間用來激活令牌手機。
接下來令牌手機100根據(jù)時間產(chǎn)生一個動態(tài)口令,令牌手機產(chǎn)生的動態(tài)口令為一次性口令,一分鐘,也可設(shè)定為幾十秒改變一次且不能重復(fù)使用。
之后當(dāng)需要登陸到網(wǎng)絡(luò)時,強制執(zhí)行雙因素身份認(rèn)證機制,例如通過圖1中所示的登陸界面102進行登陸,此時會要求認(rèn)證用戶輸入動態(tài)口令與用戶標(biāo)識,并將用戶標(biāo)識和動態(tài)口令傳送至一認(rèn)證代理應(yīng)用服務(wù)器104;認(rèn)證代理應(yīng)用服務(wù)器104將用戶標(biāo)識和動態(tài)口令發(fā)送至一認(rèn)證服務(wù)器106,認(rèn)證服務(wù)器106根據(jù)用戶標(biāo)識在數(shù)據(jù)庫中尋找令牌并根據(jù)時間序列一起生成對比口令,與動態(tài)口令進行比較,并將比較結(jié)果送至認(rèn)證代理應(yīng)用服務(wù)器104;認(rèn)證代理應(yīng)用服務(wù)器104根據(jù)比較結(jié)果決定是否允許用戶登陸,如果比較結(jié)果相同,則允許用戶登陸,否則拒絕用戶登陸。
本發(fā)明還提供了一種動態(tài)身份認(rèn)證系統(tǒng),參考圖2,圖2示出了根據(jù)本發(fā)明的動態(tài)身份認(rèn)證系統(tǒng)200的一個實施例的結(jié)構(gòu)圖,如圖2所示,其包括一電子/手機令牌,202,手機植入有一動態(tài)口令生成裝置形成令牌手機,令牌手機經(jīng)激活,令牌手機將根據(jù)時間產(chǎn)生一個動態(tài)口令;根據(jù)本發(fā)明的一實施例,為手機值入的是一次性動態(tài)口令應(yīng)用程序而形成令牌手機,值入的動態(tài)口令應(yīng)用程序是偽隨機算法程序,根據(jù)本發(fā)明的一實施例,同時,還對令牌手機植入合法用戶初始化程序,是由大素數(shù)據(jù)庫產(chǎn)生并提供給手機令牌用戶特定的種子值及初始化時間用來激活令牌手機。令牌手機202根據(jù)時間產(chǎn)生一個動態(tài)口令,令牌手機202產(chǎn)生的動態(tài)口令為一次性口令,一分鐘,也可設(shè)定為幾十秒改變一次且不能重復(fù)使用。
一認(rèn)證代理應(yīng)用服務(wù)器204,連接到網(wǎng)絡(luò),當(dāng)需要登陸網(wǎng)絡(luò)時,強制執(zhí)行雙因素身份認(rèn)證機制,認(rèn)證代理應(yīng)用服務(wù)器接收用戶標(biāo)識和由令牌手機產(chǎn)生的動態(tài)口令;一認(rèn)證服務(wù)器206,接收認(rèn)證代理應(yīng)用服務(wù)器發(fā)送的用戶標(biāo)識和動態(tài)口令,根據(jù)用戶標(biāo)識在數(shù)據(jù)庫中尋找令牌并根據(jù)時間序列一起生成對比口令,與動態(tài)口令進行比較,并將比較結(jié)果送至認(rèn)證代理應(yīng)用服務(wù)器;其中,認(rèn)證代理應(yīng)用服務(wù)器204根據(jù)認(rèn)證服務(wù)器206返回的比較結(jié)果決定是否允許用戶登陸,如果比較結(jié)果相同,則允許用戶登陸,否則拒絕用戶登陸。
根據(jù)本發(fā)明的一應(yīng)用實例,本發(fā)明的認(rèn)證代理應(yīng)用服務(wù)器和認(rèn)證服務(wù)器具有廣泛的應(yīng)用范圍,參考圖3可見認(rèn)證服務(wù)器206通過中心局域網(wǎng)302與認(rèn)證代理應(yīng)用服務(wù)器204相連,認(rèn)證代理應(yīng)用服務(wù)器204包括Web服務(wù)器204a、應(yīng)用服務(wù)器204b以及通訊服務(wù)器/路由器204c。參考圖3所示的實例,對于通訊服務(wù)器/路由器204c作為認(rèn)證代理應(yīng)用服務(wù)器的情況,該通訊服務(wù)器/路由器204c與中心局域網(wǎng)302連接;本地用戶304可直接聯(lián)到中心局域網(wǎng)302;電話查詢/電話委托用戶306可連到公共交換電話網(wǎng)308后再通過通訊服務(wù)器/路由器204c連接到中心局域網(wǎng)302;移動用戶310可連通入DDN 312后再通過通訊服務(wù)器/路由器204c連入中心局域網(wǎng)302;分部局域網(wǎng)用戶314可連入分部局域網(wǎng)316后連入另一不作為認(rèn)證代理應(yīng)用服務(wù)器的通訊服務(wù)器/路由器318連入幀中繼互聯(lián)網(wǎng)320通過通訊服務(wù)器/路由器204c連入中心局域網(wǎng)302。
在本發(fā)明中,認(rèn)證代理應(yīng)用服務(wù)器可以被看成是認(rèn)證服務(wù)器的客戶端,是企業(yè)網(wǎng)絡(luò)中任何需要受保護認(rèn)證資源。認(rèn)證代理應(yīng)用服務(wù)器在整個系統(tǒng)中就象一個“安全哨兵”。更特別的是對于Web服務(wù)器作為認(rèn)證代理應(yīng)用服務(wù)器的情況來說,認(rèn)證代理應(yīng)用服務(wù)器是用來保護Web服務(wù)器的安全,并且被TCP/IP網(wǎng)絡(luò)連接到認(rèn)證服務(wù)器上,這就為Web服務(wù)器提供了身份認(rèn)證服務(wù)。
當(dāng)用戶試圖進入被認(rèn)證代理應(yīng)用服務(wù)器保護的資源時,用戶馬上被要求輸入其有效的身份證明,即PIN碼和從電子/手機令牌產(chǎn)生的動態(tài)口令。這些數(shù)據(jù)通過SSL傳送到認(rèn)證服務(wù)器上,在那里驗證輸入的PIN和動態(tài)口令是否有效,驗證的方法上面已經(jīng)說明,是由認(rèn)證服務(wù)器根據(jù)令牌和時間產(chǎn)生一個對比口令進行對比后進行驗證。通過動態(tài)口令驗證的用戶就可進入,而未被授權(quán)的非法用戶則被拒絕進入受保護的Web服務(wù)器。
認(rèn)證代理應(yīng)用服務(wù)器保護Web服務(wù)器所選定的頁面和目錄。在Web服務(wù)器的目錄和文件啟動代理軟件后,所有試圖訪問這些被保護的Web頁面的用戶,需出示動態(tài)口令。只有這些服務(wù)器數(shù)據(jù)庫注冊了的用戶才能訪問受動態(tài)口令保護的頁面。因此,既可以把網(wǎng)站作為公共資源提供給所有用戶,也可以把它作為高機密網(wǎng)站來給可信任用戶發(fā)送保密信息。
本發(fā)明的認(rèn)證代理應(yīng)用服務(wù)器可對如下Web平臺提供動態(tài)口令保護1)IIS虛擬服務(wù)器、路徑和文件;Outlook Web Access;Microsoft SiteServer和Site Server Commerce Edition;Microsoft Proxy Server。
2)Lotus數(shù)據(jù)庫(地址簿、日歷、郵件等)、URL路徑和安裝在WindowsNT平臺上的Domino Web服務(wù)器上的文件。
3)Web服務(wù)器根目錄或在Windows NT或UNIX平臺(Solaris、HP-UX和AIX)上的登錄認(rèn)證。
根據(jù)本發(fā)明的身份認(rèn)證方法可快捷簡便地布置安全服務(wù),而不需要與用戶的桌面交互。在用戶獲準(zhǔn)訪問機密Web資源之前,必須確定用戶的身份,強制實施他們制定的安全策略。
本發(fā)明中的認(rèn)證服務(wù)器具有以時鐘同步算法為機制的各類核心安全認(rèn)證管理模塊并以軟件開發(fā)包形式(提供多種應(yīng)用接口)嵌入并兼容于計算機網(wǎng)絡(luò)的各種專業(yè)應(yīng)用系統(tǒng),使用動態(tài)口令雙因素身份認(rèn)證。本發(fā)明的認(rèn)證服務(wù)器運行在網(wǎng)絡(luò)環(huán)境下,集中控制所有用戶對網(wǎng)絡(luò)的訪問,同時提供認(rèn)證、授權(quán)和審計服務(wù)。
植入手機的初始化程序和一次性動態(tài)口令應(yīng)用程序以及認(rèn)證服務(wù)器中采用的動態(tài)口令及對比口令產(chǎn)生方法包括內(nèi)置偽隨機算法和令牌初值;
b.令牌函數(shù),包括函數(shù)形式是long acSeaKESyncAuthGenerateCode(char*acPartKey1,char*acPartKey2,char*acPartKey3,char*acPartKey4,char*acInitTime,char*acTokenPwd);參數(shù)值acPartKey1,acPartKey2,acPartKey3,acPartKey4初始化種子數(shù),其中前3個不變?yōu)橐婚_始的種子數(shù),第4個初始為“”,后面的為上一次的產(chǎn)生的動態(tài)口令;acInitTime第一次為初始化時間,后來為上一次計算口令時候的時間;acTokenPwd返回的當(dāng)前時間的動態(tài)口令;返回值為0表示成功,非0表示失敗。
上述的算法既在認(rèn)證服務(wù)器中使用,又在手機中使用。參考圖4,圖4是根據(jù)本發(fā)明一實施例的令牌手機植入一次性動態(tài)口令應(yīng)用程序功能框圖,其包括值入到現(xiàn)有的手機內(nèi)核400中的偽隨機算法程序402和初始化程序404,手機內(nèi)核400通過時鐘線路406、運算線路408和液晶顯示線路410連接到手機顯示屏412,在完成動態(tài)口令的計算之后可以將動態(tài)口令顯示在手機顯示屏412上。
根據(jù)本發(fā)明的一實施例,認(rèn)證服務(wù)器還可以實現(xiàn)用戶令牌導(dǎo)入、導(dǎo)出;新建和刪除用戶令牌;啟用和禁用用戶令牌;設(shè)置用戶靜態(tài)密碼,分配用戶令牌,設(shè)置用戶令牌的權(quán)限;顯示和編輯令牌信息包括導(dǎo)入、導(dǎo)出,刪除,掛失令牌;令牌時鐘誤差自動同步;令牌日志審計;附計費。
綜合而言,使用本發(fā)明的身份認(rèn)證方法和系統(tǒng)具有如下的優(yōu)勢優(yōu)越的移動通訊在線撥入安全認(rèn)證服務(wù)功能支持各種主流手機型號,直接在手機彩屏上顯示(基于時鐘同步機制)動態(tài)口令(6-10位),該口令具有隨機性、一次性、方便性等特點,該動態(tài)口令手機結(jié)合認(rèn)證服務(wù)器認(rèn)證代理的使用,可安全登錄各種操作應(yīng)用系統(tǒng)、網(wǎng)上電子銀行、股票交易系統(tǒng)、電子商務(wù)交易系統(tǒng)進行在線撥入身份安全認(rèn)證,也可作為集中認(rèn)證控制的電子/手機令牌動態(tài)口令雙因素身份安全認(rèn)證,同時不影響移動通訊的通話質(zhì)量及手機的其它功能。
良好的互操作性認(rèn)證代理應(yīng)用服務(wù)器以及認(rèn)證服務(wù)器與各種主流的網(wǎng)絡(luò)設(shè)備(如CISCO、PERLE、BAY、華為等)互操作性強,為不同用戶機構(gòu)提供了最大的靈活性和投資保護能力。通過身份認(rèn)證方案,遠(yuǎn)程訪問產(chǎn)品、Internet防火墻、VPN、網(wǎng)絡(luò)操作系統(tǒng)(NT、2000和主流Linux、UNIX)都可以直接內(nèi)置身份認(rèn)證技術(shù)。
兼容主要標(biāo)準(zhǔn)本發(fā)明的認(rèn)證代理應(yīng)用服務(wù)器和認(rèn)證服務(wù)器包括RADIUS服務(wù)器,因此用戶可以從RADIUS和林果認(rèn)證使用的單一數(shù)據(jù)庫中管理用戶帳號。
綜上所述,采用本發(fā)明的身份認(rèn)證方法和系統(tǒng),使用及攜帶方便,(令牌)手機既可用于移動通訊,又可作為安全認(rèn)證的身份標(biāo)志,用戶身份驗證一步到位,比較條件/回復(fù)(Challenge/response)簡單。能防止未經(jīng)授權(quán)者訪問信息資源,可在網(wǎng)絡(luò)系統(tǒng)應(yīng)用程序中驗證用戶身份。能自動生成不可預(yù)測的一次性口令(通常間隙60秒時間變換一次),防止惡意冒用。不需要專門的識別設(shè)備,無線連接,移動性強,操作方便,是在線撥入、遠(yuǎn)程訪問和虛擬專用網(wǎng)使用的理想工具。
本發(fā)明揭示了一種動態(tài)身份認(rèn)證方法及系統(tǒng),提供了基于時鐘同步的電子/手機令牌動態(tài)口令雙因素身份認(rèn)證技術(shù),使得用戶口令即無法被盜取而且又能解決常規(guī)的口令頻繁變換所帶來的問題。
雖然本發(fā)明的技術(shù)方案已經(jīng)結(jié)合較佳的實施例說明于上,但是本領(lǐng)域的技術(shù)人員應(yīng)該理解,對于上述的實施例的各種修改或改變是可以預(yù)見的,這不應(yīng)當(dāng)被視為超出了本發(fā)明的保護范圍,因此,本發(fā)明的保護范圍不限于上述具體描述的實施例,而應(yīng)該是符合此處所揭示的創(chuàng)新性特征的最廣泛的范圍。
權(quán)利要求
1.一種動態(tài)身份認(rèn)證方法,使用電子令牌技術(shù),其特征在于為手機植入一動態(tài)口令生成裝置同時整合手機的運算、時鐘、液晶顯示功能形成令牌手機;令牌手機經(jīng)激活,由大素數(shù)據(jù)庫產(chǎn)生并提供令牌手機用戶特定的種子值及初始化時間;所述令牌手機將根據(jù)時間產(chǎn)生一個動態(tài)口令;當(dāng)需要登陸到網(wǎng)絡(luò)時,強制執(zhí)行雙因素身份認(rèn)證機制,輸入所述動態(tài)口令與用戶標(biāo)識,并傳送至一認(rèn)證代理應(yīng)用服務(wù)器;認(rèn)證代理應(yīng)用服務(wù)器將所述用戶標(biāo)識和動態(tài)口令發(fā)送至一認(rèn)證服務(wù)器;所述認(rèn)證服務(wù)器根據(jù)用戶標(biāo)識在數(shù)據(jù)庫中尋找所述令牌并根據(jù)時間序列一起生成對比口令,與所述動態(tài)口令進行比較,并將比較結(jié)果送至所述認(rèn)證代理應(yīng)用服務(wù)器;如果所述比較結(jié)果相同,則允許用戶登陸,否則拒絕用戶登陸。
2.如權(quán)利要求1所述的動態(tài)身份認(rèn)證方法,其特征在于,所述令牌手機產(chǎn)生的動態(tài)口令為一次性口令,按預(yù)定時間改變一次且不能重復(fù)使用。
3.如權(quán)利要求2所述的動態(tài)身份認(rèn)證方法,其特征在于,為所述手機值入一次性動態(tài)口令應(yīng)用程序而形成令牌手機。
4.如權(quán)利要求3所述的動態(tài)身份認(rèn)證方法,其特征在于所述動態(tài)口令應(yīng)用程序是偽隨機算法程序,所述令牌手機植入合法用戶初始化程序,是由大素數(shù)據(jù)庫產(chǎn)生并提供給令牌手機用戶特定的種子值及初始化時間用來確認(rèn)認(rèn)證用戶的合法性并激活令牌手機。
5.一種動態(tài)身份認(rèn)證系統(tǒng),使用電子令牌技術(shù),其特征在于,包括一電子/手機令牌,手機植入有一動態(tài)口令生成裝置形成令牌手機,令牌手機經(jīng)激活,所述令牌手機將根據(jù)時間產(chǎn)生一個動態(tài)口令;一認(rèn)證代理應(yīng)用服務(wù)器,連接到網(wǎng)絡(luò),當(dāng)需要登陸網(wǎng)絡(luò)時,所述認(rèn)證代理應(yīng)用服務(wù)器接收用戶標(biāo)識和由令牌手機產(chǎn)生的動態(tài)口令;一認(rèn)證服務(wù)器,接收所述認(rèn)證代理應(yīng)用服務(wù)器傳送的用戶標(biāo)識和動態(tài)口令,根據(jù)用戶標(biāo)識在數(shù)據(jù)庫中尋找所述令牌并根據(jù)時間序列一起生成對比口令,與所述動態(tài)口令進行比較,并將比較結(jié)果送至所述認(rèn)證代理應(yīng)用服務(wù)器;其中,所述認(rèn)證代理應(yīng)用服務(wù)器根據(jù)所述認(rèn)證服務(wù)器返回的比較結(jié)果決定是否允許用戶登陸,如果所述比較結(jié)果相同,則允許用戶登陸,否則拒絕用戶登陸。
6.如權(quán)利要求5所述的動態(tài)身份認(rèn)證的系統(tǒng),其特征在于,所述認(rèn)證服務(wù)器通過中心局域網(wǎng)與認(rèn)證代理應(yīng)用服務(wù)器相連,所述認(rèn)證代理應(yīng)用服務(wù)器包括Web服務(wù)器、應(yīng)用服務(wù)器以及通訊服務(wù)器/路由器。
7.如權(quán)利要求6所述的動態(tài)身份認(rèn)證系統(tǒng),其特征在于,所述認(rèn)證代理應(yīng)用服務(wù)器為一通訊服務(wù)器/路由器,與中心局域網(wǎng)連接;本地用戶可直接聯(lián)到中心局域網(wǎng);電話查詢/電話委托用戶可連到公共交換電話網(wǎng)后再通過所述通訊服務(wù)器/路由器連接到所述中心局域網(wǎng);移動用戶可連通入DDN后再通過所述通訊服務(wù)器/路由器連入所述中心局域網(wǎng);分部局域網(wǎng)用戶可連入分部局域網(wǎng)后連入另一不作為認(rèn)證代理應(yīng)用服務(wù)器的通訊服務(wù)器/路由器連入幀中繼互聯(lián)網(wǎng)通過第一通訊服務(wù)器/路由器連入中心局域網(wǎng)。
8.如權(quán)利要求7所述的動態(tài)身份認(rèn)證系統(tǒng),其特征在于,所述令牌手機產(chǎn)生的動態(tài)口令為一次性口令,按預(yù)定時間改變一次且不能重復(fù)使用;為所述手機植入一次性動態(tài)口令應(yīng)用程序而形成令牌手機,所述動態(tài)口令應(yīng)用程序是偽隨機算法程序。
9.如權(quán)利要求8所述的動態(tài)身份認(rèn)證系統(tǒng),其特征在于,所述還對所述令牌手機植入合法用戶初始化程序,是由大素數(shù)據(jù)庫產(chǎn)生并提供給手機令牌用戶特定的種子值及初始化時間用來激活令牌手機
10.如權(quán)利要求9所述的動態(tài)身份認(rèn)證系統(tǒng),其特征在于,所述植入手機的初始化程序和一次性動態(tài)口令應(yīng)用程序以及所述認(rèn)證服務(wù)器中采用的動態(tài)口令及對比口令產(chǎn)生方法包括內(nèi)置偽隨機算法和令牌初值;令牌函數(shù),函數(shù)形式是long acSeaKESyncAuthGenerateCode(char*acPartKey1,char *acPartKey2,char *acPartKey3,char *acPartKey4,char*acInitTime,char *acTokenPwd);參數(shù)值acPartKey1,acPartKey2,acPartKey3,acPartKey4初始化種子數(shù),其中前3個不變?yōu)橐婚_始的種子數(shù),第4個初始為“”,后面的為上一次的產(chǎn)生的動態(tài)口令;acInitTime第一次為初始化時間,后來為上一次計算口令時候的時間;acTokenPwd返回的當(dāng)前時間的動態(tài)口令;返回值為0表示成功,非0表示失敗。
全文摘要
本發(fā)明揭示了一種動態(tài)身份認(rèn)證的方法,包括為手機植入一動態(tài)口令生成裝置同時整合手機的運算、時鐘、液晶顯示功能形成令牌手機,令牌手機經(jīng)激活,即由大素數(shù)據(jù)庫產(chǎn)生并提供的令牌手機用戶特定的種子值及初始化時間;令牌手機將根據(jù)時間產(chǎn)生一個動態(tài)口令。電子/手機令牌用戶登陸網(wǎng)絡(luò)時,強制執(zhí)行雙因素身份認(rèn)證機制,輸入動態(tài)口令與用戶標(biāo)識,并傳送至一認(rèn)證代理應(yīng)用服務(wù)器;認(rèn)證代理應(yīng)用服務(wù)器將用戶標(biāo)識和動態(tài)口令發(fā)送至一認(rèn)證服務(wù)器,認(rèn)證服務(wù)器根據(jù)用戶標(biāo)識在數(shù)據(jù)庫中尋找令牌并根據(jù)時間序列一起生成對比口令,與動態(tài)口令進行比較,將結(jié)果送至認(rèn)證代理應(yīng)用服務(wù)器;如果比較結(jié)果相同,則允許用戶登陸,否則拒絕用戶登陸。采用本發(fā)明所提供基于時鐘同步的電子/手機令牌動態(tài)口令雙因素身份認(rèn)證技術(shù),使用戶口令即無法被盜取且又解決常規(guī)的口令頻繁變換所帶來的問題。
文檔編號H04L9/32GK1731723SQ200510028939
公開日2006年2月8日 申請日期2005年8月19日 優(yōu)先權(quán)日2005年8月19日
發(fā)明者林順來, 林麟, 張矩, 楊路, 陳洪建, 陳劍星 申請人:上海林果科技有限公司