国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種口令可安全更新的雙因子身份認(rèn)證方法

      文檔序號(hào):7769238閱讀:344來(lái)源:國(guó)知局
      專利名稱:一種口令可安全更新的雙因子身份認(rèn)證方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及的是安全認(rèn)證技術(shù)領(lǐng)域,特別涉及一種口令可安全更新的雙因子身份認(rèn)證方法。
      背景技術(shù)
      隨著網(wǎng)絡(luò)時(shí)代的發(fā)展,電子商務(wù)、電子政務(wù)以及其它基于網(wǎng)絡(luò)的應(yīng)用席卷全球,互聯(lián)網(wǎng)安全問(wèn)題越發(fā)重要。近年來(lái)發(fā)生的銀行盜號(hào)等事件,使得人們也越來(lái)越重視網(wǎng)絡(luò)交易的安全。身份認(rèn)證用于確認(rèn)通信實(shí)體身份的真實(shí)性。通常有三種用于身份認(rèn)證的因子,包括用戶擁有的東西(如智能卡)、用戶知道的東西(如口令)、以及用戶本身的信息(如指紋)。人們可以使用任何一種因子實(shí)現(xiàn)身份認(rèn)證,也可以使用幾種因子組合的方法來(lái)實(shí)現(xiàn), 其中基于口令和智能卡相結(jié)合的雙因子方法是目前最為普遍使用的。基于口令的身份認(rèn)證系統(tǒng)中,口令更新是用于提高系統(tǒng)安全性而廣泛使用的一種手段。但是,現(xiàn)有雙因子身份認(rèn)證系統(tǒng)在執(zhí)行口令更新功能時(shí)至少存在兩種缺陷要么口令更新依賴于先前登錄的成功執(zhí)行,為了更新口令必須先執(zhí)行登錄階段的操作,這帶來(lái)計(jì)算量和通信量的增加;要么是舊口令在被更新后仍可用于系統(tǒng)登錄,這違背了舊口令在更新后應(yīng)即無(wú)效的實(shí)踐認(rèn)識(shí)。本發(fā)明克服了現(xiàn)有技術(shù)中更新口令需要先登錄、且舊口令仍作用于系統(tǒng)登錄的缺陷,提出了一種口令可安全更新的雙因子身份認(rèn)證方法,不需要先成功登錄服務(wù)器然后更新口令,大大降低了計(jì)算量和通信量,且更新口令后舊口令即告失效。本發(fā)明方法中用戶與服務(wù)器的雙向認(rèn)證過(guò)程保證了口令的安全性。

      發(fā)明內(nèi)容
      本發(fā)明公開(kāi)了一種口令可安全更新的雙因子身份認(rèn)證方法,其特征在于,包括如下步驟步驟一服務(wù)器生成公開(kāi)參數(shù)與主密鑰;步驟二 用戶根據(jù)步驟一中所述公開(kāi)參數(shù),選取口令,將身份信息及所述口令的摘要信息在所述服務(wù)器處注冊(cè)并由服務(wù)器保存;所述服務(wù)器生成智能卡并交給所述用戶,所述服務(wù)器維護(hù)關(guān)于所述用戶信息的注冊(cè)表;步驟三所述用戶利用所述口令和智能卡登錄所述服務(wù)器和/或更新口令。其中,所述步驟一中,所述公開(kāi)參數(shù)由所述用戶共享,所述主密鑰由所述服務(wù)器保存。其中,所述步驟二中智能卡存有關(guān)于所述服務(wù)器的主密鑰和所述用戶身份的摘要信息,所述用戶收到所述智能卡后可存入登錄所需的隨機(jī)數(shù)據(jù)。其中,所述步驟三中,在所述登錄過(guò)程中,用戶確認(rèn)對(duì)方為所登錄的服務(wù)器,所述服務(wù)器確認(rèn)登錄者為系統(tǒng)中的合法用戶。其中,所述登錄過(guò)程和口令更新過(guò)程均實(shí)現(xiàn)所述用戶與服務(wù)器的雙向認(rèn)證以保證通信雙方身份的真實(shí)性,如任何一方是不真實(shí)的則另一方退出會(huì)話過(guò)程。其中,所述口令更新過(guò)程中既實(shí)現(xiàn)用戶與服務(wù)器的雙向認(rèn)證又安全更新口令。其中,所述登錄過(guò)程包括以下步驟步驟Al 所述用戶輸入口令,更新智能卡中的信息,并利用口令和智能卡計(jì)算出數(shù)據(jù)發(fā)往服務(wù)器;步驟A2 所述服務(wù)器收到所述用戶發(fā)來(lái)的數(shù)據(jù)后,經(jīng)過(guò)計(jì)算并查找所存儲(chǔ)的注冊(cè)表,若數(shù)據(jù)不吻合則拒絕所述用戶并退出;若數(shù)據(jù)吻合則認(rèn)為所述用戶合法,更新所存儲(chǔ)的關(guān)于所述用戶的信息,并給出響應(yīng)數(shù)據(jù);步驟A3 所述用戶在收到所述響應(yīng)數(shù)據(jù)后確認(rèn)數(shù)據(jù)的一致性后,則確認(rèn)所述服務(wù)器是真實(shí)的,并給出相應(yīng)的會(huì)話數(shù)據(jù)作為響應(yīng);所述服務(wù)器在對(duì)所述用戶的會(huì)話數(shù)據(jù)做確認(rèn)處理后,和所述用戶共享會(huì)話密鑰。其中,所述口令更新過(guò)程包括以下步驟步驟Bl 所述用戶輸入舊口令,更新智能卡中的信息,并利用所述口令和智能卡計(jì)算出包含新口令信息的數(shù)據(jù)發(fā)往服務(wù)器;步驟B2 所述服務(wù)器收到所述包含新口令信息的數(shù)據(jù)后,經(jīng)過(guò)計(jì)算并查找所存儲(chǔ)的注冊(cè)表,若數(shù)據(jù)不吻合則拒絕用戶并退出,若數(shù)據(jù)吻合則確認(rèn)用戶合法登錄,并更新所存儲(chǔ)的關(guān)于所述用戶的信息,并給出相應(yīng)的響應(yīng)數(shù)據(jù);步驟B3 所述用戶在收到所述響應(yīng)數(shù)據(jù)后確認(rèn)數(shù)據(jù)的一致性后,則確認(rèn)所述服務(wù)器是真實(shí)的,利用收到的數(shù)據(jù)更新智能卡中的信息,并給出會(huì)話數(shù)據(jù)作為響應(yīng);所述服務(wù)器對(duì)所述會(huì)話數(shù)據(jù)做確認(rèn)處理后,進(jìn)一步更新所存儲(chǔ)的關(guān)于該用戶的信息。與現(xiàn)有技術(shù)相比,本發(fā)明具有如下有益效果1、本發(fā)明可實(shí)現(xiàn)用戶口令的安全更新,更新后用戶的舊口令即告失效,無(wú)法用于后續(xù)登錄會(huì)話;2、本發(fā)明實(shí)現(xiàn)的口令更新是直接執(zhí)行,不需要先成功登錄服務(wù)器然后再執(zhí)行口令更新操作,從而大大降低計(jì)算代價(jià)和通信帶寬;3、本發(fā)明可實(shí)現(xiàn)用戶和服務(wù)器的雙向認(rèn)證,如果雙向認(rèn)證不成功則用戶無(wú)法登錄服務(wù)器,也無(wú)法更新口令,從而保證了口令的安全性;4、本發(fā)明實(shí)現(xiàn)的雙因子身份認(rèn)證方法可抵抗卡泄露情況下的冒充攻擊,即獲得智能卡信息的攻擊者既無(wú)法冒充服務(wù)器欺騙用戶,也無(wú)法冒充用戶欺騙服務(wù)器;5、本發(fā)明提供用戶的隱私保護(hù)功能,任何第三方即使獲得登錄過(guò)程或口令更新過(guò)程中服務(wù)器與用戶間的交互信息也無(wú)法獲知用戶身份信息,且無(wú)法將兩次不同會(huì)話過(guò)程中的交互信息連接起來(lái),從而不知道兩次會(huì)話中分別與服務(wù)器交互的用戶是否為同一個(gè)。


      圖1是采用實(shí)施本發(fā)明方法的用戶認(rèn)證裝置的示意圖。圖2是本發(fā)明認(rèn)證方法實(shí)施例的流程圖。圖3是本發(fā)明認(rèn)證方法實(shí)施例的登錄過(guò)程中用戶與服務(wù)器之間的消息流的示意圖。圖4是本發(fā)明認(rèn)證方法實(shí)施例的口令安全過(guò)程中戶與服務(wù)器之間的消息流的示意圖。
      具體實(shí)施例方式結(jié)合以下具體實(shí)施例和附圖,對(duì)本發(fā)明作進(jìn)一步的詳細(xì)說(shuō)明,本發(fā)明的保護(hù)內(nèi)容不局限于以下實(shí)施例。在不背離發(fā)明構(gòu)思的精神和范圍下,本領(lǐng)域技術(shù)人員能夠想到的變化和優(yōu)點(diǎn)都被包括在本發(fā)明中,并且以所附的權(quán)利要求書為保護(hù)范圍。本發(fā)明口令可安全更新的雙因子身份認(rèn)證方法,包括如下步驟步驟一服務(wù)器生成公開(kāi)參數(shù)與主密鑰;其中,公開(kāi)參數(shù)由用戶共享,主密鑰由服務(wù)器保存。步驟二 用戶根據(jù)步驟一中的公開(kāi)參數(shù),選取口令,將身份信息及所述口令的摘要信息在服務(wù)器上處注冊(cè)并由服務(wù)器保存;服務(wù)器生成智能卡并交給用戶,服務(wù)器維護(hù)關(guān)于用戶信息的注冊(cè)表。智能卡存有關(guān)于服務(wù)器的主密鑰和用戶身份的摘要信息,用戶收到智能卡后可存入登錄所需的隨機(jī)數(shù)據(jù)。步驟三用戶利用口令和智能卡登錄服務(wù)器和/或更新口令。在登錄過(guò)程中,用戶確認(rèn)對(duì)方為所登錄的服務(wù)器的,服務(wù)器確認(rèn)登錄者為系統(tǒng)中的合法用戶。登錄過(guò)程和口令更新過(guò)程均實(shí)現(xiàn)了用戶與服務(wù)器的雙向認(rèn)證,以保證通信雙方身份的真實(shí)性。如果任何一方是不真實(shí)的,則另一方退出會(huì)話過(guò)程,退出登錄過(guò)程或口令更新過(guò)程??诹罡逻^(guò)程中既實(shí)現(xiàn)用戶與服務(wù)器的雙向認(rèn)證又實(shí)現(xiàn)安全更新口令。登錄過(guò)程包括以下步驟步驟Al 用戶輸入口令,更新智能卡中的信息,并利用口令和智能卡計(jì)算出數(shù)據(jù)發(fā)往服務(wù)器;步驟A2 服務(wù)器收到用戶發(fā)來(lái)的數(shù)據(jù)后,經(jīng)過(guò)計(jì)算并查找所存儲(chǔ)的注冊(cè)表,若數(shù)據(jù)不吻合則拒絕所述用戶并退出;若數(shù)據(jù)吻合則認(rèn)為用戶合法,更新所存儲(chǔ)的關(guān)于用戶的信息,并給出響應(yīng)數(shù)據(jù);步驟A3 用戶在收到響應(yīng)數(shù)據(jù)后確認(rèn)數(shù)據(jù)的一致性后則確認(rèn)該服務(wù)器合法,并給出相應(yīng)的會(huì)話數(shù)據(jù)作為響應(yīng);服務(wù)器在對(duì)用戶的會(huì)話數(shù)據(jù)做確認(rèn)處理后,和用戶共享會(huì)話密鑰。本發(fā)明中,當(dāng)用戶在收到服務(wù)器的響應(yīng)(比如A)后,會(huì)利用自己知道的數(shù)據(jù)以及服務(wù)器發(fā)過(guò)來(lái)的響應(yīng)數(shù)據(jù)A中的一部分(比如a)計(jì)算出來(lái)一個(gè)數(shù)據(jù),進(jìn)行對(duì)比,當(dāng)該數(shù)據(jù)與A中的另一部分?jǐn)?shù)據(jù)(比如b)相等的話,則確認(rèn)該服務(wù)器是真實(shí)合法的??诹罡逻^(guò)程包括以下步驟步驟Bl 用戶輸入舊口令,更新智能卡中的信息,并利用口令和智能卡計(jì)算出包含新口令信息的數(shù)據(jù)發(fā)往服務(wù)器;步驟B2 服務(wù)器收到包含新口令信息的數(shù)據(jù)后,經(jīng)過(guò)計(jì)算并查找所存儲(chǔ)的注冊(cè)表,若數(shù)據(jù)不吻合則拒絕用戶并退出,若數(shù)據(jù)吻合則確認(rèn)用戶合法登錄,并更新所存儲(chǔ)的關(guān)于用戶的信息,并給出相應(yīng)的響應(yīng)數(shù)據(jù);步驟B3 用戶在收到響應(yīng)數(shù)據(jù)后確認(rèn)數(shù)據(jù)的一致性后,則確認(rèn)所述服務(wù)器是真實(shí)的,利用收到的數(shù)據(jù)更新智能卡中的信息,并給出會(huì)話數(shù)據(jù)作為響應(yīng);服務(wù)器對(duì)會(huì)話數(shù)據(jù)做確認(rèn)處理后,進(jìn)一步更新所存儲(chǔ)的關(guān)于該用戶的信息。
      本發(fā)明中登錄過(guò)程不包括修改口令的意思。現(xiàn)有技術(shù)的一般雙因子認(rèn)證方案中, 用戶為了修改口令,必須先執(zhí)行一個(gè)登錄過(guò)程,然后執(zhí)行修改口令過(guò)程,是一個(gè)有先后次序的操作過(guò)程。但是,本發(fā)明的主要特點(diǎn)之一就是可以同時(shí)完成登錄過(guò)程和修改口令過(guò)程,且所花計(jì)算代價(jià)和通訊代價(jià)與現(xiàn)有技術(shù)相比較要節(jié)省很多,約與現(xiàn)有技術(shù)的登錄過(guò)程所花的代價(jià)相差不大。圖1所示,是采用本發(fā)明口令可安全更新的雙因子身份認(rèn)證方法的用戶認(rèn)證裝置的方框圖,用戶認(rèn)證裝置包括中央處理器(CPU)、服務(wù)器、按鍵輸入單元、顯示單元、智能卡讀取單元;當(dāng)用戶通過(guò)用戶認(rèn)證裝置的智能卡讀取單元插入智能卡并通過(guò)鍵盤輸入單元輸入自己的口令后,中央處理器(CPU)將利用讀取到的智能卡內(nèi)容和用戶的口令進(jìn)行計(jì)算, 并與遠(yuǎn)程服務(wù)器執(zhí)行交互。兩者交互的結(jié)果是服務(wù)器允許用戶登錄/口令更新,或者由于兩者中的一個(gè)為非法而中斷會(huì)話。認(rèn)證結(jié)果通過(guò)顯示單元顯示。圖2所示是解釋本發(fā)明優(yōu)選實(shí)施例的流程圖,在遠(yuǎn)程服務(wù)器和用戶端計(jì)算機(jī)之間應(yīng)用圖1所示的用戶認(rèn)證裝置及本發(fā)明認(rèn)證方法,包括如下步驟步驟一,在參數(shù)生成階段,服務(wù)器生成系統(tǒng)參數(shù)。服務(wù)器S選擇大素?cái)?shù)p,生成橢圓曲線E:y2 = x3+ax+b,其中a,b e、且 4a3+27b2modp興0,選取E上的一個(gè)階為η的點(diǎn)G。服務(wù)器S進(jìn)一步選擇\中的隨機(jī)數(shù)χ為自己的主密鑰,計(jì)算P = xG為自己的公鑰。最后,服務(wù)器S選擇哈希函數(shù)h,H,H1, H2與H3 并連同(p,E,G,P) —起作為公開(kāi)參數(shù)供系統(tǒng)用戶使用。步驟二,在注冊(cè)階段,身份為IDu的用戶U在服務(wù)器處完成注冊(cè)過(guò)程。所述注冊(cè)過(guò)程為①用戶U選擇PW為自己的口令,選擇隨機(jī)數(shù)b和α,計(jì)算ku = h(PW| |b),并將IDU, α和1^發(fā)送給服務(wù)器S;②服務(wù)器S 選擇隨機(jī)數(shù) cu,計(jì)算 ks = h(P||x),t = H(ks, IDu, ku,cu),令 α u = α, 將記錄(IDU,α u, cu)加入自己的注冊(cè)表T中,將含有t和P的智能卡交給用戶;③用戶U進(jìn)一步將b和α也存入智能卡中,至此注冊(cè)過(guò)程結(jié)束。本發(fā)明中,維護(hù)關(guān)于用戶信息的注冊(cè)表是指,該表中的每一行對(duì)應(yīng)一個(gè)用戶的信息,用戶在登錄過(guò)程或者口令修改過(guò)程中,服務(wù)器存儲(chǔ)的用戶信息表會(huì)根據(jù)會(huì)話過(guò)程中的需要對(duì)該表中關(guān)于該用戶的信息進(jìn)行修改,比如,把表中的某個(gè)數(shù)字改為另外一個(gè)數(shù)字了。 用戶信息可以用(用戶名,隨機(jī)數(shù))方式進(jìn)行記錄。本實(shí)施例中,例如(IDU,au,cu)。用戶信息記錄方式不受限制,可以應(yīng)設(shè)計(jì)方法不同而不同。步驟三,在登錄階段,用戶利用自己知道的口令和擁有的智能卡登錄服務(wù)器,在登錄期間,用戶和服務(wù)器完成雙向認(rèn)證,即登錄會(huì)話完成后用戶相信對(duì)方確實(shí)是服務(wù)器,服務(wù)器也相信對(duì)方確實(shí)是系統(tǒng)中的合法用戶。如圖3所示,登錄過(guò)程具體為①步驟Al 用戶U輸入口令PW并插入智能卡后,選擇隨機(jī)數(shù)1^,計(jì)算A = ruG,α =α +1,5=(/0 |丨《丨隊(duì)丨|//(4/認(rèn),《人,0沖歷( 乃,將數(shù)據(jù)I :A,B發(fā)往服務(wù)器;②步驟A2 服務(wù)器S收到(A,B)后將ΒΘ/^χΧ)解釋為IDuI | α | |ku|| σ,然后在注冊(cè)表 T 中檢查如存在記錄(IDu, α u,cu)使得 α > α u 且 ο = H (A, IDu, α,ku,H(ks,IDu, ku,cu)),則繼續(xù)下面的步驟(否則拒絕)在注冊(cè)表中更新Ciu= α,選擇隨機(jī)數(shù)rs,計(jì)算C=rsG, K = H2 (xA, A, C,rsA),X = H(K,C),將響應(yīng)數(shù)據(jù) II (C,X)發(fā)給用戶;③步驟A3 用戶U收到(C,X)后計(jì)算K = H2 (ruP,A,C,ruC)并檢查X = H(K,C)是否成立如不是,則拒絕服務(wù)器并退出;否則,令K為會(huì)話密鑰用于用戶U與服務(wù)器S的后續(xù)秘密通信,并將會(huì)話數(shù)據(jù)III :Y = H(K,X)發(fā)送給服務(wù)器S。服務(wù)器S檢查Y = H(K,X)是否成立如是,取K為會(huì)話密鑰;否則拒絕并退出。在執(zhí)行步驟三的同時(shí),在口令安全更新階段,用戶可利用自己知道的口令PW和擁有的智能卡與服務(wù)器交互以完成口令更新過(guò)程,將口令由PW安全地更新為用戶U所選擇的新口令PW'。在登錄過(guò)程中,用戶發(fā)送的信息(A,B)是對(duì)用戶身份IDu的加密,這保證了攻擊者即使能夠獲得(A,B)也無(wú)法由此獲知該用戶身份,所采用的加密方法是概率性的,從而攻擊者即使獲得不同會(huì)話中的數(shù)據(jù)(A,B)和(A' ,B'),也無(wú)法由此確定參與這兩次會(huì)話過(guò)程中用戶是否是同一個(gè)用戶。此外,登錄過(guò)程中的數(shù)據(jù)(C,X)和Y均與用戶身份信息無(wú)關(guān), 所以攻擊者即便獲得了(C,X)和Y也無(wú)法由此獲知該用戶身份,亦不能用這些數(shù)據(jù)來(lái)確定不同會(huì)話過(guò)程中的用戶是否是同一個(gè)用戶。如圖4所示,所述口令更新過(guò)程,具體為①步驟Bl 用戶U輸入口令PW、PW ‘并插入智能卡后,選擇隨機(jī)數(shù) b ‘、ru,計(jì)算 A = ruG, α = α+l, ku = h(Pff || b), ku ' = h(Pff ' |b '), β=(/ ) | |(X丨隊(duì) j HI 丨ZiOUA^丸 U))十丑3(r P),將數(shù)據(jù)I’ A,B發(fā)往服務(wù)器;②步驟B2 服務(wù)器 S 收到(A,B)后將解釋為 IDU| I α I |ku|| ku' || σ , 然后在注冊(cè)表T中檢查如存在記錄(IDU, au, cu)使得α > Ciu且σ = H (A, IDu, α,ku, ku',H(ks,IDu, ku,cu)),則繼續(xù)下面的步驟(否則拒絕)在注冊(cè)表中更新au= α,選擇
      隨機(jī)數(shù) Cu',計(jì)算 Kc = H2Gv ku',xA, A), t' = H(ks,IDu, ku' , cu' ),C=eKcQ'),X =
      H(K。,C),將響應(yīng)數(shù)據(jù)II’ (C, X)發(fā)給用戶;③步驟Β3用戶 U 收到(C,X)后計(jì)算 Kc = H2(h(PWlI b),h(PW' |b' ),ruP,ruG), 檢查X = H(K。,C)是否成立不成立,則退出;否貝U,用K。解密C,計(jì)算t' =H(ks,IDu,ku', Cu'),更新t = t' , b = b',將會(huì)話數(shù)據(jù)III’ Y = H(K。,X)發(fā)送給服務(wù)器S。服務(wù)器S 檢查Y = Η(κ。,X)是否成立如是,更新Cu= Cu';否貝IJ,在T中以(IDU,au,cu,Cu')替換(IDU, a u, cu)。不論是在登錄過(guò)程還是口令更新過(guò)程中,一旦服務(wù)器S收到用戶U發(fā)來(lái)的(A,B), 并在T中檢查到含有IDu的記錄(IDU,au,cu,cu'),服務(wù)器S就刪去不能使得ο = Η(Α, IDu, α,ku,H(ks,IDu, ku,cu))或 σ = H(A, IDu, a,ku,ku',H(ks,IDu, ku,cu))成立的 cu 或 cu',從而維護(hù)了 T中的有效三元組。與登錄過(guò)程類似,攻擊者無(wú)法利用口令更新過(guò)程中出現(xiàn)的信息(A,B)、(C,X)和Y 來(lái)確定用戶的身份,亦不能用這些數(shù)據(jù)來(lái)確定不同會(huì)話過(guò)程中的用戶是否是同一個(gè)用戶。本發(fā)明中,登錄過(guò)程與更新口令過(guò)程的消息流不完全相同,所采用的數(shù)據(jù)計(jì)算出來(lái)的方法不一樣。從而實(shí)現(xiàn)了本發(fā)明的目的之一為了修改口令,本發(fā)明只需要執(zhí)行本發(fā)明的口令修改過(guò)程,而不需要像其他現(xiàn)有技術(shù)的那些方法,先執(zhí)行該方法中的登錄過(guò)程,再執(zhí)行該方法中的口令修改過(guò)程。
      本實(shí)施例中用戶與服務(wù)器可實(shí)現(xiàn)雙向認(rèn)證,用戶可自由選擇或更改自己的口令, 舊口令在更新后不能繼續(xù)用于后續(xù)的登錄認(rèn)證。與現(xiàn)有技術(shù)中的其它雙因子身份認(rèn)證方法不同的是,用戶不需要在口令更新前先執(zhí)行登錄過(guò)程,而是在與服務(wù)器實(shí)現(xiàn)雙向認(rèn)證的同時(shí)就可修改口令,從而節(jié)約了計(jì)算量和通信帶寬。本發(fā)明提供的身份認(rèn)證方法,滿足雙因子身份認(rèn)證的安全性要求,保證在智能卡泄露的情況下,攻擊者既無(wú)法冒充服務(wù)器欺騙用戶, 也無(wú)法冒充用戶欺騙服務(wù)器;在只知道口令而無(wú)智能卡的情況下,用戶也無(wú)法登錄服務(wù)器。
      權(quán)利要求
      1.一種口令可安全更新的雙因子身份認(rèn)證方法,其特征在于,包括如下步驟步驟一服務(wù)器生成公開(kāi)參數(shù)與主密鑰;步驟二 用戶根據(jù)步驟一中所述公開(kāi)參數(shù),選取口令,將身份信息及所述口令的摘要信息在所述服務(wù)器處注冊(cè)并由服務(wù)器保存;所述服務(wù)器生成智能卡并交給所述用戶,所述服務(wù)器維護(hù)關(guān)于所述用戶信息的注冊(cè)表;步驟三所述用戶利用所述口令和智能卡登錄所述服務(wù)器和/或更新口令。
      2.如權(quán)利要求1所述口令可安全更新的雙因子身份認(rèn)證方法,其特征在于,所述步驟一中,所述公開(kāi)參數(shù)由所述用戶共享,所述主密鑰由所述服務(wù)器保存。
      3.如權(quán)利要求1所述口令可安全更新的雙因子身份認(rèn)證方法,其特征在于,所述步驟二中智能卡存有關(guān)于所述服務(wù)器的主密鑰和所述用戶身份的摘要信息,所述用戶收到所述智能卡后可存入登錄所需的隨機(jī)數(shù)據(jù)。
      4.如權(quán)利要求1所述口令可安全更新的雙因子身份認(rèn)證方法,其特征在于,所述步驟三中,在所述登錄過(guò)程中當(dāng)用戶確認(rèn)對(duì)方為所登錄的服務(wù)器時(shí),所述服務(wù)器確認(rèn)登錄者為系統(tǒng)中的合法用戶。
      5.如權(quán)利要求1所述口令可安全更新的雙因子身份認(rèn)證方法,其特征在于,所述登錄過(guò)程和口令更新過(guò)程均實(shí)現(xiàn)用戶與服務(wù)器的雙向認(rèn)證以保證通信雙方身份的真實(shí)性;當(dāng)任何一方是不真實(shí)的,則另一方退出會(huì)話過(guò)程。
      6.如權(quán)利要求1所述口令可安全更新的雙因子身份認(rèn)證方法,其特征在于,所述用戶不需要先成功登錄所述服務(wù)器再更新自己的口令,而是在口令更新過(guò)程中既實(shí)現(xiàn)用戶與服務(wù)器的雙向認(rèn)證又安全更新口令。
      7.如權(quán)利要求1所述口令可安全更新的雙因子身份認(rèn)證方法,其特征在于,所述登錄過(guò)程包括以下步驟步驟Al 所述用戶輸入口令,更新智能卡中的信息,并利用口令和智能卡計(jì)算出數(shù)據(jù)發(fā)往服務(wù)器;步驟A2 所述服務(wù)器收到所述用戶發(fā)來(lái)的數(shù)據(jù)后,經(jīng)過(guò)計(jì)算并查找所存儲(chǔ)的注冊(cè)表, 若數(shù)據(jù)不吻合則拒絕所述用戶并退出;若數(shù)據(jù)吻合則認(rèn)為所述用戶合法,更新所存儲(chǔ)的關(guān)于所述用戶的信息,并給出響應(yīng)數(shù)據(jù);步驟A3 所述用戶在收到所述響應(yīng)數(shù)據(jù)后確認(rèn)數(shù)據(jù)的一致性后,則確認(rèn)所述服務(wù)器是真實(shí)的,并給出相應(yīng)的會(huì)話數(shù)據(jù)作為響應(yīng);所述服務(wù)器在對(duì)所述用戶的會(huì)話數(shù)據(jù)做確認(rèn)處理后,和所述用戶共享會(huì)話密鑰。
      8.如權(quán)利要求1所述的口令可安全更新的雙因子身份認(rèn)證方法,其特征是,所述口令更新過(guò)程包括以下步驟步驟Bl 所述用戶輸入舊口令,更新智能卡中的信息,并利用所述口令和智能卡計(jì)算出包含新口令信息的數(shù)據(jù)發(fā)往服務(wù)器;步驟B2 所述服務(wù)器收到所述包含新口令信息的數(shù)據(jù)后,經(jīng)過(guò)計(jì)算并查找所存儲(chǔ)的注冊(cè)表,若數(shù)據(jù)不吻合則拒絕用戶并退出,若數(shù)據(jù)吻合則確認(rèn)用戶合法登錄,并更新所存儲(chǔ)的關(guān)于所述用戶的信息,并給出相應(yīng)的響應(yīng)數(shù)據(jù);步驟B3 所述用戶在收到所述響應(yīng)數(shù)據(jù)后確認(rèn)數(shù)據(jù)的一致性后,則確認(rèn)該服務(wù)器是真實(shí)的,利用收到的數(shù)據(jù)更新智能卡中的信息,并給出會(huì)話數(shù)據(jù)作為響應(yīng);所述服務(wù)器對(duì)所述會(huì)話數(shù)據(jù)做確認(rèn)處理后,進(jìn)一步更新所存儲(chǔ)的關(guān)于該用戶的信息。
      全文摘要
      本發(fā)明涉及一種口令可安全更新的雙因子身份認(rèn)證方法,包括如下步驟服務(wù)器生成公開(kāi)參數(shù)與主密鑰;用戶注冊(cè)與服務(wù)器更新注冊(cè)表;利用口令與智能卡的雙向認(rèn)證登錄和/或更新口令。本發(fā)明不需要先成功登錄服務(wù)器然后再更新口令,從而大大降低計(jì)算量和通信量;且更新口令后舊口令即告失效。本發(fā)明中的用戶與服務(wù)器的雙向認(rèn)證過(guò)程保證了口令的安全性。
      文檔編號(hào)H04L29/06GK102377573SQ20111040649
      公開(kāi)日2012年3月14日 申請(qǐng)日期2011年12月8日 優(yōu)先權(quán)日2011年12月8日
      發(fā)明者李強(qiáng), 李祥學(xué), 鄭東, 錢海峰, 黃征 申請(qǐng)人:上海沿伸信息技術(shù)有限公司, 華東師范大學(xué)
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1