亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種隱式增強(qiáng)便捷web身份認(rèn)證方法

文檔序號(hào):7769440閱讀:186來源:國(guó)知局
一種隱式增強(qiáng)便捷web身份認(rèn)證方法
【專利摘要】本發(fā)明公開了一種隱式增強(qiáng)便捷WEB身份認(rèn)證方法,本方法為:1)用戶通過自身攜帶的移動(dòng)設(shè)備作為SHA3-OTP生成載體并與認(rèn)證服務(wù)器建立安全信道,完成用戶與設(shè)備的綁定,并生成QR碼發(fā)送給該移動(dòng)設(shè)備;2)該客戶端掃描被加密的QR碼生成OTP;3)該用戶在瀏覽器端向認(rèn)證服務(wù)器發(fā)起身份認(rèn)證請(qǐng)求;4)服務(wù)器將登錄令牌發(fā)送給該瀏覽器端;5)該瀏覽器端將本次會(huì)話標(biāo)識(shí)、登錄令牌發(fā)送給該設(shè)備;6)該設(shè)備判斷兩會(huì)話標(biāo)識(shí)進(jìn)行身份認(rèn)證,如果一致,則將當(dāng)前生成的OTP和會(huì)話標(biāo)識(shí)簽名經(jīng)瀏覽器端轉(zhuǎn)發(fā)給服務(wù)器進(jìn)行驗(yàn)證,若驗(yàn)證不通過,則終止該身份認(rèn)證;若通過,則允許該用戶進(jìn)入相應(yīng)的業(yè)務(wù)系統(tǒng)。本發(fā)明安全性高、用戶體驗(yàn)效果好。
【專利說明】一種隱式增強(qiáng)便捷WEB身份認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于信息安全的身份認(rèn)證領(lǐng)域,具體涉及到一種隱式增強(qiáng)便捷WEB身份認(rèn) 證方法。
【背景技術(shù)】
[0002]傳統(tǒng)的Web身份認(rèn)證方式為用戶輸入用戶名和口令傳送到服務(wù)器端,服務(wù)器端通 過與該用戶已注冊(cè)數(shù)據(jù)進(jìn)行一致性比對(duì),以確認(rèn)用戶身份合法性,這種方法存在其致命缺 陷:用戶標(biāo)識(shí)和口令封裝在數(shù)據(jù)報(bào)文中較容易被竊取,從而造成攻擊者的重放攻擊或字典 彩虹表攻擊。而基于證書的數(shù)字簽名身份認(rèn)證技術(shù),雖然安全性高,但必須以完善的CA系 統(tǒng)為基礎(chǔ),技術(shù)復(fù)雜、成本高,因此實(shí)施難度大,使用范圍較小。
[0003]OTP (One-time Password)是一種安全便捷的動(dòng)態(tài)口令賬號(hào)防盜技術(shù),其作為一次 性有效的密碼保護(hù)措施,可有效保護(hù)交易和登錄認(rèn)證的安全。OTP采用專用算法每隔一段時(shí) 間生成一個(gè)不可預(yù)測(cè)的隨機(jī)數(shù)字組合,且該隨機(jī)數(shù)組合作為口令只能使用一次,所以能很 好的防范重放攻擊和字典彩虹表攻擊,同時(shí)使用OTP動(dòng)態(tài)口令無需定期更換密碼,安全省 心、技術(shù)難度小、成本低,還可減小應(yīng)用系統(tǒng)的認(rèn)證負(fù)擔(dān)。
[0004]傳統(tǒng)的OTP技術(shù)是采用SHAl或SHA2來生成,由于SHAl已被攻破,而SHA2和SHAl 在設(shè)計(jì)原理上有類似的結(jié)構(gòu)和基本數(shù)學(xué)運(yùn)算,因此使用SHAl或SHA2生成OTP存在一定的 安全隱患。同時(shí),在傳統(tǒng)基于OTP增強(qiáng)的身份認(rèn)證系統(tǒng)中,用戶在通過用戶名和密碼認(rèn)證 后,需要在服務(wù)器返回的OTP認(rèn)證請(qǐng)求中,手動(dòng)輸入從用戶特定生成OTP設(shè)備載體來獲得 的OTP或者通過自身手機(jī)信號(hào)獲得0TP,這都給用戶帶來了很大的不便(如需隨身攜帶專門 OTP設(shè)備或手機(jī)沒有通信信號(hào)等)。

【發(fā)明內(nèi)容】

[0005]本發(fā)明旨在針對(duì)傳統(tǒng)身份認(rèn)證所面臨的增強(qiáng)身份認(rèn)證技術(shù)挑戰(zhàn),本發(fā)明的目的在 于提出一種隱式增強(qiáng)便捷WEB身份認(rèn)證方法。本發(fā)明擬在保證用戶高安全身份認(rèn)證和便捷 用戶體驗(yàn)的前提下,通過安全的SHA3-HMAC散列函數(shù)和被加密保存OTP共享秘鑰的QR碼 載體,生成SHA3-0TP (基于SHA3的一次性密碼),以獲得高安全的一次性密碼,即SHA3-0TP 客戶端通過解密被公鑰加密的的QR碼得到生成OTP的共享秘鑰和用戶標(biāo)識(shí),作為安全 SHA3-HMAC散列函數(shù)的計(jì)算參數(shù),生成SHA3-0TP,用戶使用隨身攜帶且已預(yù)裝SHA3-0TP客 戶端的智能移動(dòng)設(shè)備作為SHA3-0TP生成載體,省去了需額外隨身攜帶OTP專門設(shè)備和移動(dòng) 設(shè)備無通信信號(hào)的麻煩,同時(shí)在SHA3-0TP生成載體與PC瀏覽器間通過無線通信方式自動(dòng) 建立信息安全傳輸通道,使基于OTP的增強(qiáng)身份認(rèn)證自動(dòng)獲取0TP,提高用戶體驗(yàn)效果?;?于此,本發(fā)明的身份認(rèn)證方法具有安全性高、用戶體驗(yàn)效果好、使用方便快捷等優(yōu)勢(shì)。
[0006]本發(fā)明的技術(shù)方案為:
[0007]—種隱式增強(qiáng)便捷WEB身份認(rèn)證方法,其步驟為:
[0008]I)在用戶的移動(dòng)設(shè)備上安裝一 SHA3-0PT客戶端,并在該移動(dòng)設(shè)備與認(rèn)證服務(wù)器之間建立一安全信道;所述SHA3-0PT客戶端為能夠掃描被加密保存OTP共享秘鑰的QR碼載體,并利用該QR碼與SHA3-HMAC散列函數(shù)生成SHA3-0TP ;
[0009]2)該移動(dòng)設(shè)備通過所述安全信道將用戶注冊(cè)信息、該移動(dòng)設(shè)備的無線通信標(biāo)識(shí)和證書簽發(fā)請(qǐng)求發(fā)送到認(rèn)證服務(wù)器;認(rèn)證服務(wù)器驗(yàn)證通過后將該移動(dòng)設(shè)備標(biāo)識(shí)與用戶標(biāo)識(shí)進(jìn)行綁定,并生成加密的QR碼發(fā)送給該移動(dòng)設(shè)備;該QR碼包含用戶標(biāo)識(shí)、共享秘鑰SK和公鑰證書信息;
[0010]3)該SHA3-0TP客戶端掃描被加密的QR碼,獲得用戶標(biāo)識(shí)、共享秘鑰SK和公鑰證書,本地保存該公鑰證書,并采用SHA3-HMAC算法將用戶標(biāo)識(shí)、系統(tǒng)UTC時(shí)間、共享密鑰SK作為計(jì)算參數(shù)定期生成SHA3-0TP ;
[0011]4)該用戶在瀏覽器端輸入登錄信息后,向認(rèn)證服務(wù)器發(fā)起身份認(rèn)證請(qǐng)求;
[0012]5)登錄信息認(rèn)證通過后,認(rèn)證服務(wù)器將共享秘鑰SK加密的登錄令牌、保護(hù)密鑰PK和該移動(dòng)設(shè)備的無線通信標(biāo)識(shí)發(fā)送給該瀏覽器端,該登錄令牌包含本次會(huì)話標(biāo)識(shí)、時(shí)間戳、用戶標(biāo)識(shí)和保護(hù)密鑰PK ;
[0013]6)該瀏覽器端用保護(hù)密鑰PK加密本次會(huì)話標(biāo)識(shí)并生成一會(huì)話令牌;然后將該會(huì)話令牌以及保護(hù)密鑰PK加密的本次會(huì)話標(biāo)識(shí)、該登錄令牌發(fā)送給該移動(dòng)設(shè)備;
[0014]7)該移動(dòng)設(shè)備依據(jù)該共享密鑰SK解密該登錄令牌得到一會(huì)話標(biāo)識(shí)SeSSionIDSK和保護(hù)秘鑰PK,再通過該保護(hù)密鑰PK解密該會(huì)話令牌獲得一個(gè)會(huì)話標(biāo)識(shí)SeSSionIDPK,如果兩個(gè)會(huì)話標(biāo)識(shí)不一致,則終止該身份認(rèn)證,如果一致,則SHA3-0TP客戶端對(duì)當(dāng)前生成的SHA3-0TP和會(huì)話標(biāo)識(shí)簽名,并將簽名結(jié)果和SHA3-0TP發(fā)送到該瀏覽器端;
[0015]8)該瀏覽器端將所述簽名結(jié)果和SHA3-0TP轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器進(jìn)行驗(yàn)證,若驗(yàn)證不通過,則終止該身份認(rèn)證;若驗(yàn)證通過,則允許該用戶進(jìn)入相應(yīng)的業(yè)務(wù)系統(tǒng)。
[0016]進(jìn)一步的,所述步驟8 )中,認(rèn)證服務(wù)器對(duì)所述簽名結(jié)果和SHA3-0TP進(jìn)行驗(yàn)證的方法為:認(rèn)證服務(wù)器通過該用戶的公鑰證書對(duì)簽名結(jié)果進(jìn)行驗(yàn)證,若驗(yàn)證不通過,則終止該身份認(rèn)證;若驗(yàn)證通過,則認(rèn)證服務(wù)器將該用戶的用戶標(biāo)識(shí)、共享秘鑰SK、系統(tǒng)UTC時(shí)間作為SHA3-HMAC算法的計(jì)算參數(shù),產(chǎn)生一個(gè)SHA3-0TP,結(jié)合該用戶的同步偏移量值,對(duì)SHA3-0TP進(jìn)行驗(yàn)證。
[0017]進(jìn)一步的,所述SHA3-0PT客戶端本地生成一公私密鑰對(duì);所述證書簽發(fā)請(qǐng)求包括該公鑰;所述認(rèn)證服務(wù)器利用該公鑰對(duì)所述QR碼進(jìn)行加密;所述SHA3-0TP客戶端利用該私鑰對(duì)當(dāng)前生成的SHA3-0TP和會(huì)話標(biāo)識(shí)簽名。
[0018]進(jìn)一步的,當(dāng)SHA3-0TP客戶端產(chǎn)生的SHA3-0TP超過認(rèn)證服務(wù)器的認(rèn)證窗口范圍時(shí),SHA3-0TP客戶端與認(rèn)證服務(wù)器進(jìn)行同步,其方法為:
[0019]41) SHA3-0TP客戶端向認(rèn)證服務(wù)器發(fā)起OTP同步請(qǐng)求;
[0020]42)認(rèn)證服務(wù)器接收到該OTP同步請(qǐng)求后,雙方協(xié)商建立一安全信道,并向SHA3-0TP客戶端請(qǐng)求簽名的用戶標(biāo)識(shí)、公鑰證書和連續(xù)兩次SHA3-0TP信息;
[0021]43)認(rèn)證服務(wù)器通過安全信道接收到SHA3-0TP客戶端發(fā)送的數(shù)據(jù)后,驗(yàn)證公鑰證書和用戶標(biāo)識(shí)的合法性,若驗(yàn)證失敗,停止該同步;驗(yàn)證通過,則認(rèn)證服務(wù)器基于UTC同步偏移窗口與SHA3-0TP客戶端傳送的兩次SHA3-0TP值,完成同步過程。
[0022]進(jìn)一步的,認(rèn)證服務(wù)器基于UTC同步偏移窗口與SHA3-0TP客戶端傳送的兩次SHA3-0TP值,完成同步過程的方法為:認(rèn)證服務(wù)器預(yù)定義N個(gè)同步偏移量窗口,然后使用同步偏移窗口內(nèi)的偏移值的和,共享密鑰SK和認(rèn)證服務(wù)器UTC時(shí)間生成SHA3-0TP,然后 將接收到的SHA3-0TP與生成的SHA3-0TP依次比較,找到與接收到的SHA3-0TP相等的 SHA3-0TP,則該SHA3-0TP對(duì)應(yīng)的偏移值即為接收到的OTP對(duì)應(yīng)的偏移值,利用該偏移值完 成同步。
[0023]進(jìn)一步的,生成所述SHA3-0TP的方法為:將共享密鑰SK、用戶標(biāo)識(shí)和UTC時(shí)間作 為SHA3-HMAC算法的計(jì)算參數(shù),生成一信息摘要;然后從生成的信息摘要中隨機(jī)摘取設(shè)定 位數(shù)的比特信息,生成設(shè)定位隨機(jī)數(shù)字的SHA3-0TP。
[0024]進(jìn)一步的,步驟8)中,若驗(yàn)證通過,則所述認(rèn)證服務(wù)器將一有時(shí)間期限的認(rèn)證信息 保存在該瀏覽器端,以便該用戶下次直接登錄。
[0025]下面簡(jiǎn)要介紹本方案的基本思想,本發(fā)明在吸取已有解決方案的優(yōu)點(diǎn)的基礎(chǔ)之 上,提出了自己的設(shè)計(jì)思想,具體來說,本發(fā)明技術(shù)方案包括下列幾個(gè)方面:
[0026]方面一,用戶通過自身攜帶的移動(dòng)設(shè)備作為SHA3-0TP生成載體,并與認(rèn)證服務(wù)器 建立安全信道,完成用戶與預(yù)裝有SHA3-0TP客戶端的移動(dòng)設(shè)備的綁定注冊(cè)。用戶與設(shè)備綁 定注冊(cè)時(shí),在SHA3-0TP客戶端(用戶隨身攜帶移動(dòng)設(shè)備預(yù)裝SHA3-0TP客戶端)本地生成公 私鑰對(duì),同時(shí)通過安全信道將用戶注冊(cè)信息(用戶標(biāo)識(shí)、密碼、郵箱等)、SHA3-0TP生成載體 的無線通信標(biāo)識(shí)(如藍(lán)牙的MAC地址、W1-Fi的SSID和password)和PKCS#10證書簽發(fā)請(qǐng) 求發(fā)送到認(rèn)證服務(wù)器;認(rèn)證服務(wù)器將合法用戶SHA3-0TP載體設(shè)備標(biāo)識(shí)與用戶標(biāo)識(shí)進(jìn)行綁 定,協(xié)商產(chǎn)生一隨機(jī)共享密鑰(SK),并簽發(fā)用戶公鑰證書并保存,同時(shí)為該用戶生成被公鑰 加密的QR碼(包含戶標(biāo)識(shí)、共享秘鑰和公鑰證書信息),完成用戶標(biāo)識(shí)和設(shè)備綁定注冊(cè)。該 過程的實(shí)施將為基于SHA3-0TP隱式增強(qiáng)身份認(rèn)證的實(shí)現(xiàn)奠定堅(jiān)實(shí)的基礎(chǔ),實(shí)現(xiàn)人與設(shè)備 的二元融合。
[0027]方面二,借助用戶便攜式移動(dòng)智能設(shè)備(如智能手機(jī)、Pad等)預(yù)裝的SHA3-0TP客 戶端掃描被公鑰加密的QR碼獲得用戶名標(biāo)識(shí)、共享秘鑰和用戶公鑰證書,并將用戶證書保 存在安全存儲(chǔ)區(qū),同時(shí)采用SHA3-HMAC算法,將用戶標(biāo)識(shí)、系統(tǒng)UTC時(shí)間(即協(xié)調(diào)世界時(shí),又 稱世界統(tǒng)一時(shí)間,被應(yīng)用于許多互聯(lián)網(wǎng)和萬維網(wǎng)的標(biāo)準(zhǔn)中)、共享秘鑰作為計(jì)算參數(shù),每30 秒計(jì)算一次0TP。該過程的實(shí)現(xiàn)為用戶提供了可靠的增強(qiáng)身份認(rèn)證因子,全面保障用戶賬號(hào) 和應(yīng)用系統(tǒng)的安全。
[0028]方面三,用戶在不改變SHA3-0TP生成載體設(shè)備自身系統(tǒng)時(shí)間的情況下,基于UTC 同步窗口完成與認(rèn)證服務(wù)器端OTP的同步工作。概括來說,用戶通過預(yù)裝SHA3-0TP客戶端 的同步模塊,將其生成的SHA3-0TP和用戶標(biāo)識(shí)一起發(fā)送到認(rèn)證服務(wù)器端,認(rèn)證服務(wù)端調(diào)用 客戶端同步模塊,完成基于同步窗口的OTP同步,并將同步偏移值保存于用戶信息記錄中, 以便后期的認(rèn)證服務(wù)使用。該過程由于不改變用戶自身設(shè)備的系統(tǒng)時(shí)間,對(duì)用戶來說是半 透明的,提升了用戶便捷使用OTP的體驗(yàn),同時(shí)同步窗口的存在不會(huì)過高的增加認(rèn)證服務(wù) 系統(tǒng)的計(jì)算負(fù)荷,保證服務(wù)系統(tǒng)安全。
[0029]方面四,用戶在不改變傳統(tǒng)登錄方式基礎(chǔ)之上,利用SHA3-0TP生成設(shè)備載體,實(shí) 現(xiàn)一種基于SHA3-0TP的隱式增強(qiáng)便捷的身份認(rèn)證,即通過一種安全無線協(xié)議完成PC瀏覽 器安全插件模塊與SHA3-0TP客戶端信息的安全交互,實(shí)現(xiàn)用戶標(biāo)識(shí)、密碼和SHA3-0TP隱式 增強(qiáng)便捷兩步認(rèn)證;該安全插件模塊具有安全無線通信、生成會(huì)話令牌、轉(zhuǎn)發(fā)斷言請(qǐng)求。概 括來說,用戶在完成傳統(tǒng)用戶標(biāo)識(shí)和密碼認(rèn)證后,認(rèn)證服務(wù)器返回被共享秘鑰SK加密的登錄令牌LoginToken(該令牌包含本次會(huì)話標(biāo)識(shí)SessionID、時(shí)間戳Timestamp和認(rèn)證服務(wù)器隨機(jī)生成的保護(hù)秘鑰PK,PK是在用戶完成用戶標(biāo)識(shí)和密碼認(rèn)證通過后,認(rèn)證服務(wù)器產(chǎn)生的一個(gè)密鑰,用于保障本次會(huì)話過程沒被篡改。)、SHA3-0TP生成載體設(shè)備無線通信標(biāo)識(shí)和保護(hù)密鑰PK返回給PC瀏覽器;PC瀏覽器插件通過PC瀏覽器接受到上述信息,依據(jù)SHA3-0TP載體設(shè)備無線通信標(biāo)識(shí)信息自動(dòng)連接用戶設(shè)備,同時(shí)將被PK加密的本次SessionID和LoginToken發(fā)送給用戶設(shè)備終端;用戶SHA3-0TP生成載體的設(shè)備終端接受到信息后,判定SK驗(yàn)證加密的兩個(gè)會(huì)話標(biāo)識(shí)的一致性,若驗(yàn)證通過,使用安全存儲(chǔ)區(qū)的私鑰對(duì)該會(huì)話標(biāo)識(shí)和此刻產(chǎn)生的SHA3-0TP進(jìn)行簽名,將該簽名值和SHA3-0TP值自動(dòng)通過PC瀏覽器插件發(fā)送認(rèn)證服務(wù)器,認(rèn)證服務(wù)器驗(yàn)證通過,返回認(rèn)證通過信息,進(jìn)入用戶登錄系統(tǒng)。該過程的實(shí)現(xiàn),不需要用戶額外的進(jìn)行操作,方便簡(jiǎn)潔,可有效的防范中間人攻擊,同時(shí)保證用戶登錄系統(tǒng)的安全。
[0030]本發(fā)明與現(xiàn)有技術(shù)相比,具有以下優(yōu)點(diǎn):
[0031]本發(fā)明不需要對(duì)原來身份認(rèn)證系統(tǒng)的處理流程進(jìn)行較大改造,安全性高和用戶體驗(yàn)效果好。由于本發(fā)明是在確保認(rèn)證系統(tǒng)業(yè)務(wù)邏輯不變基礎(chǔ)之上,采用基于移動(dòng)智能設(shè)備預(yù)裝SHA3-0TP客戶端隱式增強(qiáng)認(rèn)證技術(shù),保證用戶登錄的安全,同時(shí)也簡(jiǎn)化增強(qiáng)認(rèn)證時(shí)用戶手動(dòng)過程,因此用戶體驗(yàn)效果好、安全性高。
【專利附圖】

【附圖說明】
[0032]圖1本發(fā)明的整體實(shí)施示意圖;
[0033]圖2人與設(shè)備關(guān)聯(lián)的注冊(cè)交互流程圖;
[0034]圖3基于用戶便攜式移動(dòng)終端SHA3-0TP客戶端啟動(dòng)流程圖;
[0035]圖4SHA3-0TP生成算法流程示意圖;
[0036]圖5基于UTC同步窗口的SHA3-0TP同步流程圖;
[0037]圖6基于SHA3-0TP增強(qiáng)身份認(rèn)證交互流程圖。
【具體實(shí)施方式】
[0038]為使本發(fā)明的目的、優(yōu)點(diǎn)以及技術(shù)方案更加清楚明白,以下通過具體實(shí)施,并結(jié)合附圖,對(duì)本發(fā)明進(jìn)一步詳細(xì)說明。
[0039]對(duì)于圖1從整體上描述了該方案實(shí)施的總體架構(gòu),主要包括下面四個(gè)部分的內(nèi)容。
[0040]一、基于SHA3-0TP客戶端人機(jī)關(guān)聯(lián)的注冊(cè)實(shí)現(xiàn)方法
[0041]用戶利用自身攜帶的移動(dòng)設(shè)備作為SHA3-0TP客戶端載體,并與認(rèn)證服務(wù)器建立安全信道,完成用戶與設(shè)備綁定注冊(cè)。下面結(jié)合附圖2具體描述其執(zhí)行過程:
[0042]a)用戶點(diǎn)擊SHA3-0TP客戶端的注冊(cè)按鈕(預(yù)裝在自身攜帶移動(dòng)智能設(shè)備上),在本地臨時(shí)安全存儲(chǔ)區(qū)生成公私鑰對(duì),同時(shí)向認(rèn)證服務(wù)器發(fā)起注冊(cè)請(qǐng)求;認(rèn)證服務(wù)器端利用公鑰對(duì)生成的QR碼進(jìn)行加密;移動(dòng)設(shè)備端使用私鑰對(duì)生成的QR進(jìn)行解密,其完成移動(dòng)設(shè)備端生成的SHA3-0TP和會(huì)話標(biāo)識(shí)SessionID進(jìn)行簽名。
[0043]b)認(rèn)證服務(wù)器接收到注冊(cè)請(qǐng)求后,通過SHA3-0TP客戶端中預(yù)裝的證書,認(rèn)證服務(wù)器與用戶SHA3-0TP客戶端載體設(shè)備建立安全信道,展現(xiàn)注冊(cè)服務(wù)頁面,若安全信道建立不成功,則立刻終止注冊(cè)流程;安全信道的建立過程:客戶端和服務(wù)器分別驗(yàn)證對(duì)方的簽名, 驗(yàn)證都通過后,雙方建立信任關(guān)系,然后寫上生成共享密鑰,對(duì)傳輸?shù)膬?nèi)容均使用該共享密 鑰加密。
[0044]c)用戶在SHA3-0TP客戶端載體設(shè)備完成用戶合法信息(如用戶名、密碼、郵箱等) 的錄入后,點(diǎn)擊人機(jī)關(guān)聯(lián)按鈕將錄入信息和生成的PKCSlO證書簽發(fā)請(qǐng)求(包括設(shè)備標(biāo)識(shí)和 公鑰)以及獲得載體設(shè)備唯一無線通信標(biāo)識(shí)(如W1-Fi的SSID、藍(lán)牙的MAC地址等)發(fā)送給 認(rèn)證服務(wù)器;
[0045]d)認(rèn)證服務(wù)器接收到注冊(cè)相關(guān)信息,判斷注冊(cè)信息的合法性(如唯一性、數(shù)據(jù)格式 的合法性),若注冊(cè)信息不合法,則提示終止注冊(cè)流程;
[0046]e)若用戶信息合法,認(rèn)證服務(wù)器為該終端用戶生成啟動(dòng)SHA3-0TP運(yùn)行的共享密 鑰SK,并對(duì)SK進(jìn)行加密,同時(shí)將加密后的SK信息和注冊(cè)信息保存到數(shù)據(jù)庫(kù)中;
[0047]f)認(rèn)證服務(wù)器為該用戶終端簽發(fā)該用戶終端公鑰證書,并將公鑰證書保存在認(rèn)證 服務(wù)器的LDAP數(shù)據(jù)庫(kù)中;
[0048]g)認(rèn)證服務(wù)器通過用戶公鑰加密用戶標(biāo)識(shí)、共享秘鑰和用戶公鑰證書,將加密后 信息作為QR碼的信息源生成QR碼,完成人機(jī)關(guān)聯(lián)注冊(cè);
[0049]h)認(rèn)證服務(wù)器返回SHA3-0TP載體設(shè)備,注冊(cè)完成提示,并提醒用戶通過發(fā)送到注 冊(cè)郵箱中的QR碼,啟動(dòng)SHA3-0TP客戶端。
[0050]二、基于加密的QR碼和SHA3-HMAC算法啟動(dòng)SHA3-0TP客戶端的實(shí)現(xiàn)方法
[0051]用戶通過便攜式移動(dòng)智能設(shè)備預(yù)裝SHA3-0TP客戶端的掃描模塊掃描被公鑰加密 的QR碼,獲得用戶名標(biāo)識(shí)UserlD、共享秘鑰SK和用戶公鑰證書Cert,并將用戶證書安全存 儲(chǔ),同時(shí)采用SHA3-HMAC算法,將UserlD、系統(tǒng)UTC時(shí)間、SK作為計(jì)算參數(shù),啟動(dòng)SHA3-0TP。 下面結(jié)合附圖3具體描述其執(zhí)行過程:
[0052]a)用戶使用SHA3-0TP客戶端的掃描模塊掃描QR碼,獲得公鑰加密后信息, SHA3-0TP調(diào)用臨時(shí)安全存儲(chǔ)區(qū)的私鑰解密加密信息,獲得用戶標(biāo)識(shí)、共享秘鑰和設(shè)備公鑰 證書;
[0053]b) SHA3-0TP客戶端自動(dòng)地調(diào)用安全存儲(chǔ)模塊,將私鑰和公鑰證書保存在設(shè)備永久 安全存儲(chǔ)區(qū),并刪除臨時(shí)安全存儲(chǔ)區(qū)相關(guān)公私鑰對(duì)信息;
[0054]c) SHA3-0TP客戶端將a)步驟獲得用戶標(biāo)識(shí)、共享秘鑰和獲得系統(tǒng)UTC時(shí)間作為 SHA3-HMAC計(jì)算參數(shù),生成SHA3-0TP散列值,該散列值為OTP生成重要信息源,結(jié)合附圖4, 具體說明SHA3-0TP生成算法處理流程,將512比特的SK和UserlD、160比特的UTC時(shí)間作 為SHA3-HMAC的計(jì)算參數(shù),通過該HMAC算法生成512比特的信息摘要,同時(shí)從生成的512 比特的信息摘要中隨機(jī)摘取32比特信息,生成支持6/8/9位隨機(jī)數(shù)字的OTP ;
[0055]d)用戶點(diǎn)擊SHA3-0TP客戶端上的啟動(dòng)按鈕,進(jìn)入OTP運(yùn)行模式(每隔30s產(chǎn)生一 個(gè)6/8/9位隨機(jī)數(shù)字的OTP )。
[0056]三、基于UTC同步窗口的SHA3-0TP同步的實(shí)現(xiàn)方法
[0057]用戶在不改變SHA3-0TP客戶端載體設(shè)備自身系統(tǒng)時(shí)間的情況下,基于UTC同步窗 口完成與認(rèn)證服務(wù)器的同步工作。該同步工作發(fā)生SHA3-0TP客戶端產(chǎn)生的0TP,超過服務(wù) 器端認(rèn)證窗口范圍,就會(huì)造成認(rèn)證失敗,需要用戶操作同步按鈕,完成客戶端與服務(wù)端OTP 同步。下面結(jié)合附圖5具體描述其執(zhí)行過程:[0058]a)用戶點(diǎn)擊SHA3-0TP客戶端的同步按鈕,向認(rèn)證服務(wù)器發(fā)起OTP同步請(qǐng)求;
[0059]b)認(rèn)證服務(wù)器接收到客戶端的OTP同步請(qǐng)求后,雙方協(xié)商建立安全信道,并要求客戶端傳送被私鑰簽名的用戶標(biāo)識(shí)、設(shè)備證書(即公鑰證書)和連續(xù)兩次SHA3-0TP信息;
[0060]c)客戶端接受到認(rèn)證服務(wù)器的要求后,通過安全信道發(fā)送上述信息數(shù)據(jù)到認(rèn)證服務(wù)器;
[0061]d)認(rèn)證服務(wù)器接受到客戶端發(fā)送的數(shù)據(jù)后,驗(yàn)證設(shè)備證書和用戶標(biāo)識(shí)的合法性(即首先通過認(rèn)證服務(wù)簽名證書驗(yàn)證設(shè)備證書的合法性,若設(shè)備證書合法,則通過設(shè)備證書查詢對(duì)應(yīng)用戶標(biāo)識(shí),依次驗(yàn)證用戶標(biāo)識(shí)簽名的合法性,若兩者都驗(yàn)證通過,則用戶合法),若驗(yàn)證失敗,停止該同步流程;
[0062]e)若驗(yàn)證通過,認(rèn)證服務(wù) 器調(diào)用SHA3-0TP同步模塊,通過基于UTC同步偏移窗口與客戶端傳送的兩次OTP值,完成同步過程(即同步過程為客戶端的每個(gè)OTP與基于UTC同步偏移量窗口比較,形成兩個(gè)同步偏移值,若兩個(gè)同步偏移值相等,則同步成功;若不相等,則同步失敗,需要重新b) -f)步驟,若重復(fù)執(zhí)行3次該步驟仍不成功,為保證認(rèn)證服務(wù)器安全,終止該同步流程);認(rèn)證服務(wù)器預(yù)先定義了同步偏移量窗口(如1、2、3、…、N,N為自然數(shù)),認(rèn)證服務(wù)器使用該同步窗口內(nèi)的偏移值(如-N、…、-2、-1、0、1、2、…、N,N為自然數(shù))作為生成OTP參數(shù)之一(其他參數(shù)為SK和認(rèn)證服務(wù)器UTC時(shí)間,即SK、認(rèn)證服務(wù)器UTC時(shí)間與偏移量的和,作為計(jì)算參數(shù)),當(dāng)認(rèn)證服務(wù)器接收到OTP后,將接收到的OTP與生成的OTP依次比較,找到與接收到的OTP相等的0ΤΡ,則該OTP對(duì)應(yīng)的偏移值即為接收到的OTP對(duì)應(yīng)的偏移值。
[0063]f)認(rèn)證服務(wù)器同步成功后,將同步偏移值保存于對(duì)應(yīng)的用戶信息記錄中,以便下次認(rèn)證使用,同時(shí)返回同步成功。
[0064]四、基于SHA3-0TP客戶端的隱式增強(qiáng)便捷身份認(rèn)證的實(shí)現(xiàn)方法
[0065]用戶通過不改變傳統(tǒng)登錄方式基礎(chǔ)之上,利用SHA3-0TP設(shè)備載體,實(shí)現(xiàn)一種基于SHA3-0TP隱式增強(qiáng)的身份認(rèn)證,即通過一種安全無線協(xié)議完成PC瀏覽器安全插件模塊與SHA3-0TP客戶端信息的安全交互,實(shí)現(xiàn)用戶標(biāo)識(shí)、密碼和SHA3-0TP隱式增強(qiáng)便捷兩步認(rèn)證。下面結(jié)合附圖6具體描述其執(zhí)行過程:
[0066]a)用戶在傳統(tǒng)的登錄頁面輸入用戶標(biāo)識(shí)和密碼后,向認(rèn)證服務(wù)器發(fā)起身份認(rèn)證請(qǐng)求;
[0067]b)認(rèn)證服務(wù)器驗(yàn)證接收到的用戶標(biāo)識(shí)和密碼的合法性,若驗(yàn)證不合法,停止該身份認(rèn)證過程;若驗(yàn)證合法,則驗(yàn)證對(duì)應(yīng)設(shè)備證書的有效性,若設(shè)備證書有效,則為本地會(huì)話生成一個(gè)保護(hù)密鑰PK,同時(shí)生成一個(gè)被共享密鑰SK加密的登錄令牌LoginToken (該登錄令牌包含本次會(huì)話標(biāo)識(shí)SessionID,時(shí)間戳Timestamp,用戶標(biāo)識(shí),以及保護(hù)密鑰PK)認(rèn)證服務(wù)器將登錄令牌、SHA3-0TP載體設(shè)備無線通信標(biāo)識(shí)和保護(hù)密鑰PK —起發(fā)送給PC瀏覽器;
[0068]c)PC瀏覽器將接受到的信息傳遞給PC瀏覽器插件,PC瀏覽器插件形成會(huì)話令牌SessionToken (該會(huì)話令牌包含使用PK加密本次會(huì)話的SessionID),并生成一個(gè)斷言請(qǐng)求(該請(qǐng)求包含LoginToken和PK加密的會(huì)話標(biāo)識(shí)),同時(shí)通過接受的SHA3-0TP載體無線通信標(biāo)識(shí)與該載體設(shè)備建立無線連接,將此斷言請(qǐng)求發(fā)送給載體設(shè)備;
[0069]d)用戶的SHA3-0TP客戶端通過共享密鑰SK解密登錄令牌LoginToken,獲得一個(gè)會(huì)話標(biāo)識(shí)SessionIDfx和保護(hù)秘鑰PK,再通過獲得PK解密會(huì)話令牌SessionToken,獲得一個(gè)會(huì)話標(biāo)識(shí)SeSSionIDPK,比較兩個(gè)會(huì)話標(biāo)識(shí)是否一致,若不一致,終止該身份認(rèn)證流程(以免遭受中間人攻擊);
[0070]e)若兩個(gè)會(huì)話標(biāo)識(shí)一致,則SHA3-0TP客戶端使用已保存在安全存儲(chǔ)區(qū)的私鑰對(duì)此刻生成的SHA3-0TP和會(huì)話標(biāo)識(shí)SessionID簽名,并將簽名結(jié)果和SHA3-0TP發(fā)送到PC瀏覽器插件;
[0071]f)PC瀏覽器插件將接受信息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器,認(rèn)證服務(wù)器通過用戶公鑰證書對(duì)簽名進(jìn)行驗(yàn)證,若驗(yàn)證不通過,則該身份認(rèn)證流程終止;若驗(yàn)證通過,則對(duì)SHA3-0TP進(jìn)行驗(yàn)證(該驗(yàn)證過程為認(rèn)證服務(wù)器將獲得用戶標(biāo)識(shí)、解密被加密共享秘鑰、系統(tǒng)UTC時(shí)間,作為SHA3-HMAC的計(jì)算參數(shù),產(chǎn)生一個(gè)SHA3-0TP,結(jié)合獲得對(duì)應(yīng)用戶的同步偏移量值,完成SHA3-0TP的驗(yàn)證),若驗(yàn)證不通過,終止該身份認(rèn)證流程,若驗(yàn)證通過,則允許用戶進(jìn)入相應(yīng)的業(yè)務(wù)系統(tǒng),并將一個(gè)有時(shí)間期限的認(rèn)證信息保存在PC瀏覽器客戶端,以方便用戶下次直接登錄。
【權(quán)利要求】
1.一種隱式增強(qiáng)便捷WEB身份認(rèn)證方法,其步驟為:1)在用戶的移動(dòng)設(shè)備上安裝一SHA3-0PT客戶端,并在該移動(dòng)設(shè)備與認(rèn)證服務(wù)器之間建立一安全信道;所述SHA3-0PT客戶端為能夠掃描被加密保存OTP共享秘鑰的QR碼載體, 并利用該QR碼與SHA3-HMAC散列函數(shù)生成SHA3-0TP ;2)該移動(dòng)設(shè)備通過所述安全信道將用戶注冊(cè)信息、該移動(dòng)設(shè)備的無線通信標(biāo)識(shí)和證書簽發(fā)請(qǐng)求發(fā)送到認(rèn)證服務(wù)器;認(rèn)證服務(wù)器驗(yàn)證通過后將該移動(dòng)設(shè)備標(biāo)識(shí)與用戶標(biāo)識(shí)進(jìn)行綁定,并生成加密的QR碼發(fā)送給該移動(dòng)設(shè)備;該QR碼包含用戶標(biāo)識(shí)、共享秘鑰SK和公鑰證書信息;3)該SHA3-0TP客戶端掃描被加密的QR碼,獲得用戶標(biāo)識(shí)、共享秘鑰SK和公鑰證書,本地保存該公鑰證書,并采用SHA3-HMAC算法將用戶標(biāo)識(shí)、系統(tǒng)UTC時(shí)間、共享密鑰SK作為計(jì)算參數(shù)定期生成SHA3-0TP ;4)該用戶在瀏覽器端輸入登錄信息后,向認(rèn)證服務(wù)器發(fā)起身份認(rèn)證請(qǐng)求;5)登錄信息認(rèn)證通過后,認(rèn)證服務(wù)器將共享秘鑰SK加密的登錄令牌、保護(hù)密鑰PK和該移動(dòng)設(shè)備的無線通信標(biāo)識(shí)發(fā)送給該瀏覽器端,該登錄令牌包含本次會(huì)話標(biāo)識(shí)、時(shí)間戳、用戶標(biāo)識(shí)和保護(hù)密鑰PK ;6)該瀏覽器端用保護(hù)密鑰PK加密本次會(huì)話標(biāo)識(shí)并生成一會(huì)話令牌;然后將該會(huì)話令牌以及保護(hù)密鑰PK加密的本次會(huì)話標(biāo)識(shí)、該登錄令牌發(fā)送給該移動(dòng)設(shè)備;7)該移動(dòng)設(shè)備依據(jù)該共享密鑰SK解密該登錄令牌得到一會(huì)話標(biāo)識(shí)SeSSionIDSK和保護(hù)秘鑰PK,再通過該保護(hù)密鑰PK解密該會(huì)話令牌獲得一個(gè)會(huì)話標(biāo)識(shí)SeSSionIDPK,如果兩個(gè)會(huì)話標(biāo)識(shí)不一致,則終止該身份認(rèn)證,如果一致,則SHA3-0TP客戶端對(duì)當(dāng)前生成的SHA3-0TP 和會(huì)話標(biāo)識(shí)簽名,并將簽名結(jié)果和SHA3-0TP發(fā)送到該瀏覽器端;8)該瀏覽器端將所述簽名結(jié)果和SHA3-0TP轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器進(jìn)行驗(yàn)證,若驗(yàn)證不通過,則終止該身份認(rèn)證;若驗(yàn)證通過,則允許該用戶進(jìn)入相應(yīng)的業(yè)務(wù)系統(tǒng)。
2.如權(quán)利要求1所述的方法,其特征在于所述步驟8)中,認(rèn)證服務(wù)器對(duì)所述簽名結(jié)果和SHA3-0TP進(jìn)行驗(yàn)證的方法為:認(rèn)證服務(wù)器通過該用戶的公鑰證書對(duì)簽名結(jié)果進(jìn)行驗(yàn)證, 若驗(yàn)證不通過,則終止該身份認(rèn)證;若驗(yàn)證通過,則認(rèn)證服務(wù)器將該用戶的用戶標(biāo)識(shí)、共享秘鑰SK、系統(tǒng)UTC時(shí)間作為SHA3-HMAC算法的計(jì)算參數(shù),產(chǎn)生一個(gè)SHA3-0TP,結(jié)合該用戶的同步偏移量值,對(duì)SHA3-0TP進(jìn)行驗(yàn)證。
3.如權(quán)利要求1所述的方法,其特征在于所述SHA3-0PT客戶端本地生成一公私密鑰對(duì);所述證書簽發(fā)請(qǐng)求包括該公鑰;所述認(rèn)證服務(wù)器利用該公鑰對(duì)所述QR碼進(jìn)行加密;所述SHA3-0TP客戶端利用該私鑰對(duì)當(dāng)前生成的SHA3-0TP和會(huì)話標(biāo)識(shí)簽名。
4.如權(quán)利要求1或2所述的方法,其特征在于當(dāng)SHA3-0TP客戶端產(chǎn)生的SHA3-0TP超過認(rèn)證服務(wù)器的認(rèn)證窗口范圍時(shí),SHA3-0TP客戶端與認(rèn)證服務(wù)器進(jìn)行同步,其方法為:41)SHA3-0TP客戶端向認(rèn) 證服務(wù)器發(fā)起OTP同步請(qǐng)求;42)認(rèn)證服務(wù)器接收到該OTP同步請(qǐng)求后,雙方協(xié)商建立一安全信道,并向SHA3-0TP客戶端請(qǐng)求簽名的用戶標(biāo)識(shí)、公鑰證書和連續(xù)兩次SHA3-0TP信息;43)認(rèn)證服務(wù)器通過安全信道接收到SHA3-0TP客戶端發(fā)送的數(shù)據(jù)后,驗(yàn)證公鑰證書和用戶標(biāo)識(shí)的合法性,若驗(yàn)證失敗,停止該同步;驗(yàn)證通過,則認(rèn)證服務(wù)器基于UTC同步偏移窗口與SHA3-0TP客戶端傳送的兩次SHA3-0TP值,完成同步過程。
5.如權(quán)利要求4所述的方法,其特征在于認(rèn)證服務(wù)器基于UTC同步偏移窗口與SHA3-0TP客戶端傳送的兩次SHA3-0TP值,完成同步過程的方法為:認(rèn)證服務(wù)器預(yù)定義N個(gè)同步偏移量窗口,然后使用同步偏移窗口內(nèi)的偏移值的和,共享密鑰SK和認(rèn)證服務(wù)器UTC時(shí)間生成SHA3-0TP,然后將接收到的SHA3-0TP與生成的SHA3-0TP依次比較,找到與接收到的SHA3-0TP相等的SHA3-0TP,則該SHA3-0TP對(duì)應(yīng)的偏移值即為接收到的OTP對(duì)應(yīng)的偏移值,利用該偏移值完成同步。
6.如權(quán)利要求1或2或3所述的方法,其特征在于生成所述SHA3-0TP的方法為:將共享密鑰SK、用戶標(biāo)識(shí)和UTC時(shí)間作為SHA3-HMAC算法的計(jì)算參數(shù),生成一信息摘要;然后從生成的信息摘要中隨機(jī)摘取設(shè)定位數(shù)的比特信息,生成設(shè)定位隨機(jī)數(shù)字的SHA3-0TP。
7.如權(quán)利要求1所述的方法,其特征在于步驟8)中,若驗(yàn)證通過,則所述認(rèn)證服務(wù)器將一有時(shí)間期限的認(rèn)證信息保.存在該瀏覽器端,以便該用戶下次直接登錄。
【文檔編號(hào)】H04L29/06GK103428001SQ201310400659
【公開日】2013年12月4日 申請(qǐng)日期:2013年9月5日 優(yōu)先權(quán)日:2013年9月5日
【發(fā)明者】王雅哲, 李琛, 王瑜, 吳月修 申請(qǐng)人:中國(guó)科學(xué)院信息工程研究所
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1