專利名稱：C/s架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證方法、系統(tǒng)及裝置的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及身份驗(yàn)證技術(shù)，尤其是涉及一種基于客戶端/服務(wù)器端(Client/Server, C/S) 架構(gòu)下對(duì)客戶端身份以隨機(jī)產(chǎn)生的一次性動(dòng)態(tài)密碼算法進(jìn)行驗(yàn)證的方法、系統(tǒng)及裝置。
背景技術(shù)：
目前的計(jì)算機(jī)應(yīng)用軟件中，基于客戶端/服務(wù)器端(Client/Server， C/S )架構(gòu)的軟件占 了很大一部分，如企業(yè)網(wǎng)上OA系統(tǒng)、網(wǎng)上銀行系統(tǒng)和網(wǎng)絡(luò)游戲系統(tǒng)。同一時(shí)間內(nèi)有多人可 以通過客戶端同時(shí)登錄到服務(wù)器來完成特定的業(yè)務(wù)功能。在多個(gè)登錄的用戶中，每個(gè)人的身份、權(quán)限都是不同的，決定其所能使用的軟件功能 也不相同。為了區(qū)分不同用戶的身份和權(quán)限，系統(tǒng)給每個(gè)用戶分發(fā)不同的登錄賬號(hào)和密碼。 系統(tǒng)憑借用戶登錄時(shí)所使用的賬號(hào)來區(qū)分不同用戶的身份，進(jìn)而賦予用戶不同的權(quán)限。目前采用的客戶端用戶登錄至服務(wù)器端的方式如下.一是用戶使用靜態(tài)的賬號(hào)和密碼登錄，如MSN、 QQ等聊天軟件，電子郵件系統(tǒng)等。 在靜態(tài)密碼驗(yàn)證中，將用戶賬號(hào)和密碼結(jié)合起來，先用賬號(hào)識(shí)別"你是誰"，再用密碼驗(yàn)證"你 確實(shí)是誰"，這種身分認(rèn)證方法操作簡單，但不安全，賬號(hào)和密碼容易被竊??；合法用戶的 賬號(hào)和靜態(tài)密碼一旦被黑客盜走，那么黑客就可以實(shí)施重放攻擊，假冒合法用戶的身份。另一種是使用動(dòng)態(tài)一次性密碼登錄，即密碼不是靜態(tài)的，而是只能使用一次的動(dòng)態(tài)密 碼。動(dòng)態(tài)密碼系統(tǒng)中，服務(wù)器端和客戶端共享一個(gè)相同的密鑰K和一個(gè)共同的種子S (該種 子可以是時(shí)間序列值或事件序列值)，驗(yàn)證程序是一個(gè)單向陷門函數(shù)F ( S )(比如為MD4、 MD5或SHA1)，依賴于單向陷門函數(shù)的安全性，即正向計(jì)算很容易，反向計(jì)算卻幾乎不可 能，來保證動(dòng)態(tài)密碼的安全性。它一般配合一個(gè)硬件令牌來使用，每按一次按鍵，令牌根 據(jù)F (S)就可以生成一個(gè)動(dòng)態(tài)密碼，動(dòng)態(tài)密碼上送到服務(wù)器端，服務(wù)器端同樣根據(jù)F(S) 計(jì)算出動(dòng)態(tài)密碼，進(jìn)行驗(yàn)證。種子值S使用過一次后，即進(jìn)行更新，以供下一次計(jì)算使用。 該動(dòng)態(tài)密碼有一個(gè)有效時(shí)間窗， 一旦使用過一次或超出該時(shí)間范圍，密碼即失效。如果黑 客仍采用靜態(tài)密碼的盜取方法，即使盜取成功，他得到的是已經(jīng)失效的密碼，重放攻擊沒 有任何作用。但是，由于動(dòng)態(tài)密碼登錄驗(yàn)證的根本仍然是只在用戶登錄時(shí)驗(yàn)證一次，如果驗(yàn)證通過， 即認(rèn)為用戶為合法用戶，可以無限期使用系統(tǒng)。因此，針對(duì)這種特點(diǎn)，發(fā)展出了針對(duì)動(dòng)態(tài) 密碼的中間人攻擊。即黑客位于客戶端與服務(wù)器端之間，當(dāng)客戶端的用戶登錄時(shí)，用戶輸 入的動(dòng)態(tài)密碼首先被黑客截取，黑客馬上斷開客戶端與服務(wù)器端的網(wǎng)絡(luò)連接，給用戶造成 服務(wù)暫停的假象；然后黑客在極短的時(shí)間內(nèi)使用截取的動(dòng)態(tài)密碼假冒用戶登錄服務(wù)器端， 因?yàn)闀r(shí)間很短，動(dòng)態(tài)密碼仍然有效，所以黑客成功的假冒了合法用戶。因此，前述方法存在安全缺陷，其根本原因在于只對(duì)客戶端的用戶身份進(jìn)行一次登錄 驗(yàn)證，如果驗(yàn)證通過，即認(rèn)為用戶為合法用戶，可以無限期使用連結(jié)至服務(wù)器端；靜態(tài)密 碼的方式無法抵御重放攻擊，而一次性動(dòng)態(tài)密碼方式無法抵御中間人攻擊，這使得它們?cè)?用于客戶端/服務(wù)器端的結(jié)構(gòu)時(shí)面臨嚴(yán)重的安全挑戰(zhàn)。 發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問題在于提出一種C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證方法、系 統(tǒng)及裝置，以通過使用與客戶端連接的動(dòng)態(tài)令牌單元利用共享密鑰和使用動(dòng)態(tài)驗(yàn)證算法對(duì) 服務(wù)器端產(chǎn)生的挑戰(zhàn)碼和客戶端用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)響應(yīng)碼，在客戶 端與服務(wù)器端以挑戰(zhàn)/響應(yīng)認(rèn)證方式對(duì)客戶端身份進(jìn)行動(dòng)態(tài)驗(yàn)證。為解決上述問題，本發(fā)明公開一種C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證系統(tǒng)，包括客戶端和用于對(duì)客戶端作身份驗(yàn)證的服務(wù)器端；連接客戶端的動(dòng)態(tài)令牌單元，用于在客戶端與服務(wù)器端以挑戰(zhàn)/響應(yīng)認(rèn)證方式對(duì)客戶端 身份進(jìn)行動(dòng)態(tài)驗(yàn)證過程中，使用動(dòng)態(tài)驗(yàn)證算法合成服務(wù)器端產(chǎn)生的挑戰(zhàn)碼和客戶端用戶輸入的身份信息，生產(chǎn)反饋至服務(wù)器端的響應(yīng)碼； 其中，所述動(dòng)態(tài)令牌單元包括 接口單元，用于連接客戶端； 密鑰存儲(chǔ)單元，用于存儲(chǔ)經(jīng)加密處理后的共享密鑰； 驗(yàn)證算法單元，用于提供動(dòng)態(tài)驗(yàn)證算法；具有防拷貝的安全控制單元，用于利用共享密鑰，使用動(dòng)態(tài)驗(yàn)證算法對(duì)服務(wù)器端產(chǎn)生 的挑戰(zhàn)碼和客戶端用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)反饋至服務(wù)器端的響應(yīng)碼。 較優(yōu)的，所迷動(dòng)態(tài)驗(yàn)證算法為SHA1-HMAC算法。較優(yōu)的，所述客戶端與所述服務(wù)器端之間以每進(jìn)行一次數(shù)據(jù)通信就產(chǎn)生一次挑戰(zhàn)/響應(yīng) 認(rèn)證，或以所述服務(wù)器端選擇的一個(gè)隨機(jī)時(shí)間為間隔產(chǎn)生一次挑戰(zhàn)/響應(yīng)認(rèn)證。 較優(yōu)的，所述接口單元為USB接口 。另外，本發(fā)明公開一種C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證裝置，包括 接口單元，用于連接客戶端； 密鑰存儲(chǔ)單元，用于存儲(chǔ)經(jīng)加密處理后的共享密鑰； 驗(yàn)證算法單元，用于提供動(dòng)態(tài)驗(yàn)證算法；具有防拷貝的安全控制單元，用于利用共享密鑰，使用動(dòng)態(tài)驗(yàn)證算法對(duì)服務(wù)器端產(chǎn)生 的挑戰(zhàn)碼和客戶端用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)反饋至服務(wù)器端的響應(yīng)碼。 較優(yōu)的，所述動(dòng)態(tài)驗(yàn)證算法為SHA1-HMAC算法。 較優(yōu)的，所述接口單元為USB接口 。再者，本發(fā)明還公開一種C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證方法，包括與客戶端連接的動(dòng)態(tài)令牌單元利用共享密鑰和使用動(dòng)態(tài)驗(yàn)證算法對(duì)服務(wù)器端產(chǎn)生的挑 戰(zhàn)碼和客戶端用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)響應(yīng)碼，并通過客戶端將響應(yīng)碼反 饋至服務(wù)器端，在客戶端與服務(wù)器端以挑戰(zhàn)/響應(yīng)認(rèn)證方式對(duì)客戶端身份進(jìn)行動(dòng)態(tài)驗(yàn)證。較優(yōu)的，所述客戶端與所述服務(wù)器端之間以每進(jìn)行一次數(shù)據(jù)通信就產(chǎn)生一次挑戰(zhàn)/響應(yīng) 認(rèn)證，或以所述服務(wù)器端選擇的一個(gè)隨機(jī)時(shí)間為間隔產(chǎn)生一次挑戰(zhàn)/響應(yīng)認(rèn)證。較優(yōu)的，所述動(dòng)態(tài)驗(yàn)證算法為SHA1-HMAC算法。與現(xiàn)有技術(shù)相比，本發(fā)明具有以下有益效果1、 本發(fā)明解決了目前C/S架構(gòu)下對(duì)用戶身份鑒別的安全缺陷，提出了在客戶端和服務(wù) 器端的使用過程中隨時(shí)發(fā)起的動(dòng)態(tài)驗(yàn)證方法，避免了一次性登錄中，用戶身份極易偽造的 缺陷。2、 由于本發(fā)明使用的動(dòng)態(tài)驗(yàn)證使用的算法采用一次性動(dòng)態(tài)密碼算法，因?yàn)槊艽a是動(dòng)態(tài) 的，這使得它可以抵御重放攻擊。并且，由于本發(fā)明的驗(yàn)證方法并不僅限于用戶登錄時(shí)刻， 而是由服務(wù)器端動(dòng)態(tài)發(fā)起，隨機(jī)地在任意時(shí)刻進(jìn)行驗(yàn)證，因?yàn)轵?yàn)證是隨機(jī)的，可能在任意 的時(shí)刻發(fā)起，使得假冒客戶端的難度大大增加，服務(wù)器端在任意一次驗(yàn)證中一旦驗(yàn)證失敗， 隨即斷開與客戶端的連接，停止服務(wù)，使假冒的客戶端失效；即使中間人攻擊即使能竊取 某一次的動(dòng)態(tài)密碼，但在隨機(jī)發(fā)起的下一次的驗(yàn)證中，它由于無法獲取后續(xù)的動(dòng)態(tài)密碼， 從而無法繼續(xù)假冒客戶，這使得它可以抵御中間人攻擊。因此，本發(fā)明為系統(tǒng)提供了更高 的安全性。3、 同時(shí)，本發(fā)明的驗(yàn)證過程是自動(dòng)完成的，不需要人工參與，對(duì)用戶而言是透明的， 具有使用簡便，客戶接受程度高的優(yōu)點(diǎn)，較好的解決了使用便利性與安全性的矛盾。


圖1是本發(fā)明一個(gè)較佳實(shí)施例的結(jié)構(gòu)示意圖。
具體實(shí)施方式
本發(fā)明是通過使用與客戶端連接的動(dòng)態(tài)令牌單元利用共享密鑰和使用動(dòng)態(tài)驗(yàn)證算法對(duì) 服務(wù)器端產(chǎn)生的挑戰(zhàn)碼和客戶端用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)響應(yīng)碼，在客戶 端與服務(wù)器端以挑戰(zhàn)/響應(yīng)認(rèn)證方式對(duì)客戶端身份進(jìn)行動(dòng)態(tài)驗(yàn)證。請(qǐng)參考圖1所示。本實(shí)施例中，動(dòng)態(tài)令牌單元130與客戶端110連接，其是一個(gè)嵌入 式的防侵入設(shè)備，用于在客戶端110與服務(wù)器端120以挑戰(zhàn)/響應(yīng)(Challenge/Response)認(rèn) 證方式對(duì)客戶端110的用戶身份進(jìn)行動(dòng)態(tài)驗(yàn)證過程中，使用動(dòng)態(tài)驗(yàn)證算法合成服務(wù)器端120 產(chǎn)生的挑戰(zhàn)碼(Challenge Code)和客戶端110用戶輸入的身份信息，生產(chǎn)響應(yīng)碼(Response Code)并經(jīng)客戶端110反饋至服務(wù)器端120,從而實(shí)現(xiàn)對(duì)客戶端110的用戶身份的隨時(shí)、隨 機(jī)的動(dòng)態(tài)-瞼證。其中，所述動(dòng)態(tài)令牌單元130包括連接客戶端110的接口單元131,其可為USB接 口；用于存儲(chǔ)經(jīng)加密處理后的共享密鑰的密鑰存儲(chǔ)單元132;用于提供動(dòng)態(tài)驗(yàn)證算法的驗(yàn)證 算法單元133;具有防拷貝的安全控制單元134,控制運(yùn)用邏輯無法對(duì)密鑰存儲(chǔ)單元132中 的共享密鑰進(jìn)行復(fù)制，該安全控制單元134用于利用共享密鑰，使用動(dòng)態(tài)驗(yàn)證算法對(duì)服務(wù) 器端120產(chǎn)生的挑戰(zhàn)碼和客戶端110的用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)反饋至服 務(wù)器端120的響應(yīng)碼。并且，所述動(dòng)態(tài)令牌單元130具有一個(gè)唯一的機(jī)器號(hào)或序列號(hào)，其 與一個(gè)客戶端的用戶身^分信息(或用戶賬號(hào))進(jìn)行綁定。本實(shí)施例的工作過程如下1、 將動(dòng)態(tài)令牌單元130通過接口單元131與客戶端110連接。2、 用戶打開客戶端110的客戶端軟件，通過選擇相應(yīng)的驅(qū)動(dòng)使得客戶端110與動(dòng)態(tài)令 牌單元130連接。3、 用戶從客戶端110輸入身份信息或用戶賬號(hào)，使用客戶端軟件登錄。4、 客戶端110的客戶端軟件發(fā)出的登錄請(qǐng)求轉(zhuǎn)發(fā)至服務(wù)器端120。5、 服務(wù)器端120接收到帶有用戶身份信息的登錄請(qǐng)求后，使用真隨機(jī)數(shù)發(fā)生器產(chǎn)生一 個(gè)隨機(jī)數(shù)作為挑戰(zhàn)碼，并將挑戰(zhàn)碼返回至客戶端110 。6、 客戶端110收到該挑戰(zhàn)碼后，轉(zhuǎn)發(fā)給動(dòng)態(tài)令牌單元130,動(dòng)態(tài)令牌單元130利用密 鑰存儲(chǔ)單元132中的共享密鑰，使用驗(yàn)證算法單元133產(chǎn)生一個(gè)動(dòng)態(tài)驗(yàn)證算法對(duì)服務(wù)器端 120產(chǎn)生的挑戰(zhàn)碼和客戶端110的用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)響應(yīng)碼，并通過 客戶端110將響應(yīng)碼反饋至服務(wù)器端120。7、 服務(wù)器端120將響應(yīng)碼與其自己的計(jì)算結(jié)果做比較，驗(yàn)證響應(yīng)碼的正確性，如果正 確，則認(rèn)為用戶的身分合法，客戶端110的用戶可以連接至服務(wù)器端120使用與用戶身份 對(duì)應(yīng)的特定業(yè)務(wù)功能。8、 在隨后的直至客戶端110的用戶退出服務(wù)器端120的整個(gè)使用過程中，服務(wù)器端120 會(huì)動(dòng)態(tài)隨機(jī)的以挑戰(zhàn)/響應(yīng)認(rèn)證方式挑戰(zhàn)客戶端110，如果任何一次的挑戰(zhàn)/響應(yīng)失敗，則認(rèn) 為客戶端110的用戶身份非法，服務(wù)器端120立即停止對(duì)客戶端110的服務(wù)。以上過程是自動(dòng)完成的，無須用戶的參與，因此，整個(gè)驗(yàn)證過程相對(duì)用戶來說是透明的。 另外，所述動(dòng)態(tài)令牌單元130中的動(dòng)態(tài)驗(yàn)證算法兼顧硬件速度和算法的安全性，采用 了 SHA1 - HMAC算法。它是一種基于SHA1算法的消息鑒別碼算法。定義HMAC需要一 個(gè)加密用散列函數(shù)(表示為H)和一個(gè)密鑰K。在SHA1-HMAC算法中，H是SHA1算法。 我們用B來表示數(shù)據(jù)塊的字長，用L來表示散列函數(shù)的輸出數(shù)據(jù)字長(比如，在SHA-1中， L=20)。鑒別密鑰的長度可以是小于等于數(shù)據(jù)塊字長的任何正整數(shù)值。應(yīng)用程序中使用的密 鑰長度若是比B大，則首先用使用散列函數(shù)H作用于它，然后用H輸出的L長度字符串作 為在HMAC中實(shí)際使用的密鑰。 一般情況下，推薦的最小密鑰K長度是L個(gè)字長(與H 的輸出數(shù)據(jù)長度相等)。我們將定義兩個(gè)固定且不同的字符串ipad,opad 'o'標(biāo)志內(nèi)部與外部) ipad = the byte 0x36 repeated B timesopad = the byte 0x5C repeated B times, 計(jì)算'text'的HMAC:H( K XOR opad, H(K XOR ipad, text)) 即為以下步驟1、 在密鑰K后面添加0來創(chuàng)建一個(gè)子長為B的字符串。(例如，如果K的字長是20 字節(jié)，B-60字節(jié)，則K后會(huì)加入44個(gè)零字節(jié)0x00)2、 將上一步生成的B字長的字符串與ipad做異或運(yùn)算。3、 將數(shù)據(jù)流text填充至第二步的結(jié)果字符串中。4、 用H作用于第三步生成的數(shù)據(jù)流。5、 將第一步生成的B字長字符串與opad做異或運(yùn)算。6、 再將第四步的結(jié)果填充進(jìn)第五步的結(jié)果中。7、 用H作用于第六步生成的數(shù)據(jù)流，輸出最終結(jié)果。并且，動(dòng)態(tài)令牌單元130收到挑戰(zhàn)碼C后，與其序列號(hào)SE (其序列號(hào)SE與用戶身份 信息綁定)連接起來，即C+SE,用做SHAl-HMAC的輸入數(shù)據(jù)text。SHA1 - HMAC算法對(duì)硬件速度要求相對(duì)較低，同時(shí)它具有相當(dāng)高的安全性，目前有 MD5碰撞成功的文獻(xiàn)報(bào)道，但還未見有關(guān)于SHA1碰撞成功的報(bào)道。動(dòng)態(tài)驗(yàn)證的時(shí)間選擇有兩種方案1、 將動(dòng)態(tài)驗(yàn)證附加于每個(gè)交易包上。它使得發(fā)生一次數(shù)據(jù)通訊即進(jìn)行一次驗(yàn)證。這種 方案具有最高的安全性，它確保了每一次的通訊都去判斷客戶端是否為假冒的。但是這種 方案的運(yùn)算強(qiáng)度較大。2、 以服務(wù)器端120的隨機(jī)時(shí)間選擇算法T + cj為時(shí)間間隔發(fā)生動(dòng)態(tài)驗(yàn)證。其中T是一 個(gè)人工調(diào)整因子，是人工指定的一個(gè)時(shí)間值。o是計(jì)算機(jī)隨機(jī)選擇的一個(gè)-T +T之間的時(shí)間 值。實(shí)施時(shí)可根據(jù)應(yīng)用系統(tǒng)的重要性及安全級(jí)別來選擇。因此，本發(fā)明的動(dòng)態(tài)驗(yàn)證是以客戶端110的動(dòng)態(tài)令牌單元130為承載體，選定 SHAl-HMAC作為驗(yàn)證算法，給出了動(dòng)態(tài)驗(yàn)證的時(shí)間選擇方案，再加上服務(wù)器端120就構(gòu) 成了一套完整的驗(yàn)證方法，可以對(duì)客戶端110的用戶身份進(jìn)行有效的鑒偽，防止假冒客戶 端110的用戶身份而造成的損失。綜上，本發(fā)明具有如下有益技術(shù)效果1 、本發(fā)明解決了目前C/S架構(gòu)下對(duì)用戶身份鑒別的安全缺陷，提出了在客戶端和服務(wù) 器端的使用過程中隨時(shí)發(fā)起的動(dòng)態(tài)驗(yàn)證方法，避免了一次性登錄中，用戶身分極易偽造的缺陷。2、 由于本發(fā)明使用的動(dòng)態(tài)驗(yàn)證使用的算法采用一次性動(dòng)態(tài)密碼算法，因?yàn)槊艽a是動(dòng)態(tài) 的，這使得它可以抵御重放攻擊。并且，由于本發(fā)明的驗(yàn)證方法并不僅限于用戶登錄時(shí)刻， 而是由服務(wù)器端動(dòng)態(tài)發(fā)起，隨機(jī)地在任意時(shí)刻進(jìn)行驗(yàn)證，因?yàn)轵?yàn)證是隨機(jī)的，可能在任意 的時(shí)刻發(fā)起，使得假冒客戶端的難度大大增加，服務(wù)器端在任意一次驗(yàn)證中一旦驗(yàn)證失敗， 隨即斷開與客戶端的連接，停止服務(wù)，使假冒的客戶端失效；即使中間人攻擊即使能竊取 某一次的動(dòng)態(tài)密碼，但在隨機(jī)發(fā)起的下一次的驗(yàn)證中，它由于無法獲取后續(xù)的動(dòng)態(tài)密碼， 從而無法繼續(xù)假冒客戶，這使得它可以抵御中間人攻擊。因此，本發(fā)明為系統(tǒng)提供了更高 的安全性。3、 同時(shí)，本發(fā)明的驗(yàn)證過程是自動(dòng)完成的，不需要人工參與，對(duì)用戶而言是透明的， 具有使用簡便，客戶接受程度高的優(yōu)點(diǎn)，較好的解決了使用便利性與安全性的矛盾。
權(quán)利要求
1、一種C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證系統(tǒng)，其特征在于，包括客戶端和用于對(duì)客戶端作身份驗(yàn)證的服務(wù)器端；連接客戶端的動(dòng)態(tài)令牌單元，用于在客戶端與服務(wù)器端以挑戰(zhàn)/響應(yīng)認(rèn)證方式對(duì)客戶端身份進(jìn)行動(dòng)態(tài)驗(yàn)證過程中，使用動(dòng)態(tài)驗(yàn)證算法合成服務(wù)器端產(chǎn)生的挑戰(zhàn)碼和客戶端用戶輸入的身份信息，生產(chǎn)反饋至服務(wù)器端的響應(yīng)碼；其中，所述動(dòng)態(tài)令牌單元包括接口單元，用于連接客戶端；密鑰存儲(chǔ)單元，用于存儲(chǔ)經(jīng)加密處理后的共享密鑰；驗(yàn)證算法單元，用于提供動(dòng)態(tài)驗(yàn)證算法；具有防拷貝的安全控制單元，用于利用共享密鑰，使用動(dòng)態(tài)驗(yàn)證算法對(duì)服務(wù)器端產(chǎn)生的挑戰(zhàn)碼和客戶端用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)反饋至服務(wù)器端的響應(yīng)碼。
2、 根據(jù)權(quán)利要求1所述的C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證系統(tǒng)，其特征在于，所述 動(dòng)態(tài)驗(yàn)證算法為SHA1-HMAC算法。
3、 根據(jù)權(quán)利要求1所述的C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證系統(tǒng)，其特征在于，所述 客戶端與所述服務(wù)器端之間以每進(jìn)行一次數(shù)據(jù)通信就產(chǎn)生一次挑戰(zhàn)/響應(yīng)認(rèn)證，或以所述服 務(wù)器端選擇的一個(gè)隨^L時(shí)間為間隔產(chǎn)生一次挑戰(zhàn)/響應(yīng)認(rèn)證。
4、 根據(jù)權(quán)利要求1所述的C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證系統(tǒng)，其特征在于，所述 接口單元為USB接口。
5、 一種C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證裝置，其特征在于，包括 接口單元，用于連接客戶端；密鑰存儲(chǔ)單元，用于存儲(chǔ)經(jīng)加密處理后的共享密鑰； 驗(yàn)證算法單元，用于提供動(dòng)態(tài)驗(yàn)證算法；具有防拷貝的安全控制單元，用于利用共享密鑰，使用動(dòng)態(tài)驗(yàn)證算法對(duì)服務(wù)器端產(chǎn)生 的挑戰(zhàn)碼和客戶端用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)反饋至服務(wù)器端的響應(yīng)碼。
6、 根據(jù)權(quán)利要求5所述的C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證裝置，其特征在于，所述 動(dòng)態(tài)驗(yàn)證算法為SHA1-HMAC算法。
7、 根據(jù)權(quán)利要求5所述的C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證裝置，其特征在于，所述 接口單元為USB接口。
8、 一種C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證方法，其特征在于，包括與客戶端連接的動(dòng)態(tài)令牌單元利用共享密鑰和使用動(dòng)態(tài)驗(yàn)證算法對(duì)服務(wù)器端產(chǎn)生的挑 戰(zhàn)碼和客戶端用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)響應(yīng)碼，并通過客戶端將響應(yīng)碼反饋至服務(wù)器端，在客戶端與服務(wù)器端以挑戰(zhàn)/響應(yīng)認(rèn)證方式對(duì)客戶端身份進(jìn)行動(dòng)態(tài)驗(yàn)證。
9、 根據(jù)權(quán)利要求8所述的C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證方法，其特征在于，所述 客戶端與所迷服務(wù)器端之間以每進(jìn)行一次數(shù)據(jù)通信就產(chǎn)生一次挑戰(zhàn)/響應(yīng)認(rèn)證，或以所述服 務(wù)器端選擇的一個(gè)隨機(jī)時(shí)間為間隔產(chǎn)生一次挑戰(zhàn)/響應(yīng)認(rèn)證。
10、 根據(jù)權(quán)利要求8所述的C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證方法，其特征在于，所 述動(dòng)態(tài)驗(yàn)證算法為SHA1-HMAC算法。
全文摘要
本發(fā)明公開一種C/S架構(gòu)下客戶端身份的動(dòng)態(tài)驗(yàn)證系統(tǒng)、方法和裝置，其中，該動(dòng)態(tài)驗(yàn)證系統(tǒng)包括客戶端和服務(wù)器端；連接客戶端的動(dòng)態(tài)令牌單元，該動(dòng)態(tài)令牌單元包括接口單元，用于連接客戶端；密鑰存儲(chǔ)單元，用于存儲(chǔ)經(jīng)加密處理后的共享密鑰；驗(yàn)證算法單元，用于提供動(dòng)態(tài)驗(yàn)證算法；具有防拷貝的安全控制單元，用于利用共享密鑰，使用動(dòng)態(tài)驗(yàn)證算法對(duì)服務(wù)器端產(chǎn)生的挑戰(zhàn)碼和客戶端用戶輸入的身份信息進(jìn)行合成處理，生產(chǎn)反饋至服務(wù)器端的響應(yīng)碼。本發(fā)明解決了目前C/S架構(gòu)下對(duì)用戶身份鑒別的安全缺陷，提出了在客戶端和服務(wù)器端的使用過程中隨時(shí)發(fā)起的動(dòng)態(tài)驗(yàn)證方法，避免了一次性登錄中，用戶身份極易偽造的缺陷；且具有使用簡便，客戶接受程度高的優(yōu)點(diǎn)。
文檔編號(hào)H04L9/32GK101252437SQ20081006506
公開日2008年8月27日 申請(qǐng)日期2008年1月15日 優(yōu)先權(quán)日2008年1月15日
發(fā)明者吳俊華, 崔若起, 張家浩, 李登輝, 穆敬東, 毅 米, 邱愛國, 黃海昌 申請(qǐng)人:深圳市九思泰達(dá)技術(shù)有限公司