專利名稱:一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)安全身份認證技術(shù),具體涉及在一次性口令認證系統(tǒng)中��,當(dāng)硬件令牌和認證服務(wù)器發(fā)生失步時的一種基于事件的令牌重同步方法。屬于計算機和信息安全技術(shù)領(lǐng)域�。
背景技術(shù):
一次性口令認證技術(shù)為用戶進行身份認證時提供隨機生成的和每次不同的認證口令,解決傳統(tǒng)的靜態(tài)口令容易被盜的危險����。一次性口令認證已被越來越廣泛的應(yīng)用于電子商務(wù),網(wǎng)絡(luò)游戲��,網(wǎng)上銀行等任何一種需要進行身份認證的網(wǎng)絡(luò)平臺上?����,F(xiàn)有的各種一次性口令認證技術(shù)及方案大多提供硬件令牌和認證服務(wù)器��,所述硬件令牌用于為用戶在有認證需求時隨機提供認證口令�;所述認證服務(wù)器用于接收用戶認證時傳來的用戶名和用戶口令,并根據(jù)用戶名查找相關(guān)因子計算口令副本��,并將口令副本與用戶傳來的用戶口令進行對比��,以驗證用戶是否認證成功�。由于硬件令牌和認證服務(wù)器分別通過口令生成因子計算用戶口令和口令副本,因此���,很容易發(fā)生由于用戶誤操作等原因引起的口令生成因子不同步的問題(即發(fā)生令牌失步)�,使得失步后的認證操作均無法成功。目前的各種一次性口令認證方案沒有提供的解決該失步問題的有效方法�����,特別的����,對于基于事件的一次性口令認證系統(tǒng),硬件令牌和認證服務(wù)器間的口令同步通過內(nèi)置計數(shù)器實現(xiàn)�����,計數(shù)器值隨著某種事件的觸發(fā)不斷遞增�����。一般的����,在硬件令牌中,用戶點擊按鈕一次�,則計數(shù)器值加一;在認證服務(wù)器中���,認證成功一次�,則計數(shù)器值加一��,如果用戶不斷點擊硬件令牌上的按鈕而不進行認證操作��,則會導(dǎo)致硬件令牌中的計數(shù)器值不斷增加�,而認證服務(wù)器中的計數(shù)器值保持不變,使得兩者發(fā)生失步�����。本發(fā)明針對基于事件的一次性口令認證系統(tǒng)中的令牌失步問題����,考慮不同應(yīng)用場景,在保證系統(tǒng)可靠性��,靈活性的基礎(chǔ)上提供完整的令牌重同步方法��,主要特點有:1.本發(fā)明適用于基于時間的一次性口令認證系統(tǒng)����,令牌重同步方法基于硬件令牌和認證服務(wù)器中的計數(shù)器值完成。2.令牌重同步方法基于預(yù)設(shè)窗口大小���,分為窗口內(nèi)重同步和窗口外重同步兩個方面���。3.窗口內(nèi)重同步由客戶端和認證服務(wù)器自動完成����,窗口外重同步由管理員參與完成����。
發(fā)明內(nèi)容
1、目的:本發(fā)明的目的是為了提供一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法���,該方法基于預(yù)先設(shè)定的窗口大小��,分為窗口內(nèi)重同步和窗口外重同步兩個方面�,完成硬件令牌和認證服務(wù)器失步后的重同步操作�。2、技術(shù)方案:所述技術(shù)方案如下:
本發(fā)明一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法����,其包括窗口內(nèi)重同步和窗口外重同步兩個方面,兩者的關(guān)系是:系統(tǒng)預(yù)先設(shè)定窗口值大小�,當(dāng)硬件令牌和認證服務(wù)器計數(shù)器失步次數(shù)小于或等于窗口值大小則進行窗口內(nèi)重同步;當(dāng)硬件令牌和認證服務(wù)器計數(shù)器失步次數(shù)大于窗口值大小則進行窗口外重同步���。發(fā)明所涉及方法的整體執(zhí)行流程圖如圖1所不�。所述窗口內(nèi)重同步是指:系統(tǒng)通過預(yù)先配置的方式設(shè)置窗口大小,當(dāng)進行窗口內(nèi)重同步操作時���,硬件令牌首先計算一個客戶口令,并發(fā)送至認證服務(wù)器�����,認證服務(wù)器根據(jù)當(dāng)前計數(shù)器值計算服務(wù)器口令��,如果客戶口令和服務(wù)器匹配�,則窗口內(nèi)重同步成功,將計數(shù)器值加一���。如果不匹配�,服務(wù)器將計數(shù)器值加一后重新計算服務(wù)器口令���,再與客戶端口令進行比較����,如果匹配�,則窗口內(nèi)重同步成功,如果不匹配則重復(fù)上述過程��,此過程重復(fù)次數(shù)不能超過窗口值大小,窗口內(nèi)重同步由認證服務(wù)器自動完成��,執(zhí)行流程圖如圖2所示����。窗口大小的選取很關(guān)鍵,取值過大會降低認證強度��,增加攻擊者偽造身份成功的概率����,取值過小會頻繁引起窗口外重同步,影響系統(tǒng)的正常運行�。所述窗口外重同步是指:如果失步次數(shù)超出窗口值大小,則說明有可能存在惡意攻擊行為�����,此時應(yīng)當(dāng)進行更高強度的重同步操作���。窗口外重同步不可由系統(tǒng)自動完成���,需要管理員參與完成。管理員在驗證用戶合法性后,通過令牌獲取三個連續(xù)的客戶口令����,按照先后次序發(fā)送至認證服務(wù)器。認證服務(wù)器將計數(shù)器值逐次加一��,并重復(fù)計算服務(wù)器口令���,直到有三組連續(xù)的服務(wù)器口令與客戶口令均匹配,則窗口外重同步成功�。執(zhí)行流程圖如圖3所
/Jn ο窗口外重同步在三個連續(xù)動態(tài)口令同時匹配時才能成功,如果前一口令匹配�����,而后一 口令不匹配�����,則窗口外重同步要重新執(zhí)行����,這樣嚴格保證了同步結(jié)果的正確性。但其執(zhí)行流程較復(fù)雜�����,應(yīng)當(dāng)設(shè)定適當(dāng)?shù)拇翱诖笮。诒WC系統(tǒng)安全的基礎(chǔ)上防止頻繁進行窗口外重同步操作���。綜上所述���,本發(fā)明提供一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法,該方法基于預(yù)先設(shè)定的窗口大小����,分為窗口內(nèi)重同步和窗口外重同步兩個方面,并通過硬件令牌和認證服務(wù)器中的計數(shù)器值完成硬件令牌和認證服務(wù)器失步后的重同步操作��。本發(fā)明所涉及方法的具體步驟如下所述:本發(fā)明一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法���,其具體步驟如下:步驟一:系統(tǒng)預(yù)先設(shè)定重同步窗口大??�;步驟二:硬件令牌生成客戶口令����,并發(fā)送至認證服務(wù)器;步驟三:認證服務(wù)器進行窗口內(nèi)重同步��,即基于計數(shù)器值生成服務(wù)器口令,并比較客戶口令和服務(wù)器口令是否一致���,如一致�,則向客戶端反饋重同步成功�����,否則服務(wù)器將計數(shù)器值和重復(fù)計算次數(shù)同時加一��;步驟四:判斷重復(fù)計算次數(shù)是否大于窗口值大小��,如是��,則通知客戶端進行窗口外重同步�,否則重復(fù)執(zhí)行步驟三和步驟四�,直至認證成功,或進入窗口外重同步���。如出現(xiàn)認證成功���,則令牌重同步方法執(zhí)行結(jié)束,否則繼續(xù)執(zhí)行步驟五及其后各步驟�,完成窗口外重同
I K
少;步驟五:執(zhí)行窗口外重同步,即硬件令牌生成第一個客戶口令����,并發(fā)送至認證服務(wù)器。認證服務(wù)器計算第一個服務(wù)器口令�,并驗證第一個客戶口令和第一個服務(wù)器口令是否一致,如一致����,則通知客戶端生成第二個客戶口令,否則將服務(wù)器計數(shù)器值加一后重新計算第一個服務(wù)器口令��,并驗證第一個客戶口令和新生成的第一個服務(wù)器口令是否一致����。重復(fù)該步驟,直至出現(xiàn)第一個客戶口令和第一個服務(wù)器口令一致�����,則進入步驟六����;步驟六:硬件令牌生成第二個客戶口令,并發(fā)送至認證服務(wù)器��,認證服務(wù)器講計數(shù)器值加一后計算第二個服務(wù)器口令,并驗證第二個客戶口令和第二個服務(wù)器口令是否一致�����,如一致����,則通知客戶端生成第三個客戶口令,進入步驟七�����。否則�,重新執(zhí)行步驟五;步驟七:硬件令牌生成第三個客戶口令�����,并發(fā)送至認證服務(wù)器����,認證服務(wù)器將計數(shù)器值加一后���,計算第三個服務(wù)器口令����,并驗證第三個個客戶口令和第三個個服務(wù)器口令是否一致,如一致��,則通知客戶端重同步成功���。否則�����,重新執(zhí)行步驟五�����。所述七個步驟中���,步驟一至步驟四概括了窗口內(nèi)重同步過程。步驟四至步驟七概括了窗口外重同步過程����;步驟一至步驟四確保,在窗口內(nèi)重同步時需要在窗口值大小內(nèi)存在一致口令才能重同步成功�����;步驟五至步驟七確保,在窗口外重同步時需要連續(xù)三個口令一致才能重同步成功����。3、優(yōu)點和功效:優(yōu)點:本發(fā)明一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法���,它的主要優(yōu)點是:方法高效��,計算簡單����,運算所花時間少���,運行速度快�,占用系統(tǒng)內(nèi)存空間小�����,可抵抗針對認證系統(tǒng)的蠻力攻擊�����。功效:本發(fā)明為基于事件的一次性口令認證系統(tǒng)提供通用的令牌重同步方法�,解決令牌和認證服務(wù)器間的失步問題,并抵抗蠻力攻擊�����,提出基于窗口大小值的計數(shù)器重同步方法����。其可以確保認證系統(tǒng)的正常運行,并確保身份認證系統(tǒng)的安全性�����。
圖1基于事件的一次性口令認證系統(tǒng)令牌重同步方法執(zhí)行流程圖����;圖2窗口內(nèi)重同步流程圖;圖3窗口外重同步流程圖�����;圖中符號說明如下:0TP_C:硬件令牌生成的客戶口令�����;0TP_S:認證服務(wù)器生成的服務(wù)器口令�����;C0UNT_S:認證服務(wù)器中用于生成口令的計數(shù)器值。
具體實施方式
:前文已將本發(fā)明的基于事件的一次性口令認證系統(tǒng)令牌重同步方法進行了完整��、詳細的介紹�,下面,結(jié)合各附圖�����,對本發(fā)明的技術(shù)特點和實施方式作進一步的描述��。本實施實例���,提供了完整的基于事件的一次性口令認證系統(tǒng)令牌重同步方法�,參見圖1���,是所述基于事件的一次性口令認證系統(tǒng)令牌重同步方法流程圖����,具體包括:步驟101�,系統(tǒng)預(yù)先設(shè)定重同步窗口大小;步驟102�����,硬件令牌生成客戶口令�����,并發(fā)送至認證服務(wù)器��;步驟103����,認證服務(wù)器接收步驟102中發(fā)送來的客戶口令���,同時�����,基于計數(shù)器值生成服務(wù)器口令�,并比較客戶口令和服務(wù)器口令是否一致����。
步驟104,如果步驟103中判斷的結(jié)果是客戶口令和服務(wù)器口令一致,則進入步驟104,向客戶端反饋重同步成功��。步驟105���,如果步驟103中判斷的結(jié)果是客戶口令和服務(wù)器口令不一致����,則進入步驟105���,服務(wù)器將計數(shù)器值和重復(fù)計算次數(shù)加一����。步驟106�,服務(wù)器判斷重復(fù)計算次數(shù)是否大于步驟101中設(shè)定的窗口值大小。如果判斷結(jié)果為重復(fù)計算次數(shù)大于窗口值大小���,則再次執(zhí)行步驟103�。步驟107�����,如果步驟106中的判斷結(jié)果為重復(fù)計算次數(shù)步大于窗口值大小�,則進入步驟107����,開始窗口外重同步����。步驟108����,開始執(zhí)行窗口外重同步后,硬件令牌計算第一個客戶口令����,并發(fā)送至服務(wù)器。步驟109�����,服務(wù)器受到步驟108發(fā)來的第一個客戶口令后����,計算第一個服務(wù)器口令。步驟110����,服務(wù)器判斷第一個服務(wù)器口令和第一個客戶口令是否一致。步驟111,如果步驟110的判斷結(jié)果是第一個服務(wù)器口令和第一個客戶口令不一致�����,則進入步驟111���,服務(wù)器將計數(shù)器值加一����,然后進入步驟109�����,重新計算第一個服務(wù)器口令��。步驟112��,如果步驟110的判斷結(jié)果是第一個服務(wù)器口令和第一個客戶口令一致����,則進入步驟112,由硬件令牌計算第二個客戶口令�����,并發(fā)送至服務(wù)器步驟113,認證服務(wù)器將計數(shù)器值加一���,并計算第二個服務(wù)器口令�。步驟114�,服務(wù)器比較第二個服務(wù)器口令是否與第二個客戶口令一致,如果判斷結(jié)果為第二個服務(wù)器口令是否與第二個客戶口令不一致�,則重新執(zhí)行步驟109。步驟115�����,如果步驟115的判斷結(jié)果為第二個服務(wù)器口令是否與第二個客戶口令一致�����,則進入步驟115��,由硬件令牌計算第三個客戶口令�����,并發(fā)送至服務(wù)器�。步驟116�,認證服務(wù)器將計數(shù)器值加一�����,并計算第三個服務(wù)器口令步驟117�����,服務(wù)器比較第三個服務(wù)器口令與第三個客戶口令是否一致���,如果判斷結(jié)果為第三個服務(wù)器口令與第三個客戶口令不一致,則重新執(zhí)行步驟109步驟118�����,如果步驟117的判斷結(jié)果為第三個服務(wù)器口令與第三個客戶口令一致���,則進入步驟118��,此時��,窗口外重同步成功�,則向客戶端反饋重同步成功�����。至此,本發(fā)明一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法執(zhí)行過程結(jié)束��。本發(fā)明主要對基于時間的一次性口令認證系統(tǒng)的令牌和服務(wù)器計數(shù)器失步的問題����,提出了基于窗口值大小的令牌重同步方法,該方法分為窗口內(nèi)重同步和窗口外重同步兩個方面��。本發(fā)明申請書中未作詳細描述的內(nèi)容屬于本領(lǐng)域?qū)I(yè)技術(shù)人員公知的現(xiàn)有技術(shù)��。
權(quán)利要求
1.一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法�,其特征在于:該方法包括如下具體步驟如下: 步驟一:系統(tǒng)預(yù)先設(shè)定重同步窗口大小���; 步驟二:硬件令牌生成客戶口令,并發(fā)送至認證服務(wù)器���; 步驟三:認證服務(wù)器進行窗口內(nèi)重同步���,即基于計數(shù)器值生成服務(wù)器口令,并比較客戶口令和服務(wù)器口令是否一致���,如一致����,則向客戶端反饋重同步成功,否則服務(wù)器將計數(shù)器值和重復(fù)計算次數(shù)同時加一�; 步驟四:判斷重復(fù)計算次數(shù)是否大于窗口值大小,如是�,則通知客戶端進行窗口外重同步,否則重復(fù)執(zhí)行步驟三和步驟四����,直至認證成功,或進入窗口外重同步���。如出現(xiàn)認證成功���,則令牌重同步方法執(zhí)行結(jié)束,否則繼續(xù)執(zhí)行步驟五及其后各步驟����,完成窗口外重同步;步驟五:執(zhí)行窗口外重同步���,即硬件令牌生成第一個客戶口令��,并發(fā)送至認證服務(wù)器���。認證服務(wù)器計算第一個服務(wù)器口令�,并驗證第一個客戶口令和第一個服務(wù)器口令是否一致�����,如一致����,則通知客戶端生成第二個客戶口令,否則將服務(wù)器計數(shù)器值加一后重新計算第一個服務(wù)器口令�,并驗證第一個客戶口令和新生成的第一個服務(wù)器口令是否一致。重復(fù)該步驟�����,直至出現(xiàn)第一個客戶口令和第一個服務(wù)器口令一致��,則進入步驟六��; 步驟六:硬件令牌生成第二個客戶口令�����,并發(fā)送至認證服務(wù)器�,認證服務(wù)器講計數(shù)器值加一后計算第二個服務(wù)器口令,并驗證第二個客戶口令和第二個服務(wù)器口令是否一致��,如一致���,則通知客戶端生成第三個客戶口令����,進入步驟七��。否則����,重新執(zhí)行步驟五; 步驟七:硬件令牌生成第三個客戶口令�,并發(fā)送至認證服務(wù)器,認證服務(wù)器將計數(shù)器值加一后����,計算第三個服務(wù)器口令,并驗證第三個個客戶口令和第三個個服務(wù)器口令是否一致�,如一致,則通知客戶端重同步成功���。否則�,重新執(zhí)行步驟五。
所述七個步驟中����,步驟一至步驟四概括了窗口內(nèi)重同步過程。步驟四至步驟七概括了窗口外重同步過程���;步驟一至步驟四確保�����,在窗口內(nèi)重同步時需要在窗口值大小內(nèi)存在一致口令才能重同步成功�;步驟五至步驟七確保��,在窗口外重同步時需要連續(xù)三個口令一致才能重同步成功��。
2.一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法�,其特征在于:該方法包括窗口內(nèi)重同步和窗口外重同步兩個方面。
所述窗口內(nèi)重同步���,是指只要重復(fù)計算口令次數(shù)小于窗口大小且找到相一致的客戶口令和服務(wù)器口令,則窗口內(nèi)重同步成功�; 所述窗口外同步,是指窗口內(nèi)重同步不成功時執(zhí)行的進一步重同步過程,在該窗口外重同步過程中����,只要有連續(xù)三個客戶口令和服務(wù)器口令相一致,則重同步成功����。
全文摘要
一種基于事件的一次性口令認證系統(tǒng)令牌重同步方法,針對基于事件的一次性口令認證系統(tǒng)中硬件令牌和認證服務(wù)器由于計數(shù)器值不一致而導(dǎo)致的令牌失步問題�����,提供令牌重同步方法�。該方法基于預(yù)先設(shè)定的窗口大小,以計數(shù)器值作為同步因子��,分為窗口內(nèi)重同步和窗口外重同步兩個方面�����。當(dāng)硬件令牌和服務(wù)器的失步次數(shù)在窗口大小內(nèi)�����,則執(zhí)行窗口內(nèi)重同步�,只要重復(fù)計算口令次數(shù)小于或等于窗口大小�����,且能找到一組一致的客戶口令和服務(wù)器口令�,則重同步成功��;否則����,進行窗口外重同步,此時只要有連續(xù)三組客戶口令和服務(wù)器口令相一致�,則重同步成功,該重同步方法的完整執(zhí)行流程分為七個步驟�����。本發(fā)明方法高效����,計算簡單,運算所花時間少�����,運行速度快�,占用系統(tǒng)內(nèi)存空間小����,可抵抗針對認證系統(tǒng)的蠻力攻擊�����。
文檔編號H04L29/06GK103138928SQ20111039375
公開日2013年6月5日 申請日期2011年12月1日 優(yōu)先權(quán)日2011年12月1日
發(fā)明者李慧娟, 劉博 , 李為宇, 張薇, 周煉赤 申請人:李慧娟, 劉博 , 李為宇