国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種抗服務器端信息泄露的口令認證方法

      文檔序號:8415400閱讀:368來源:國知局
      一種抗服務器端信息泄露的口令認證方法
      【技術領域】
      [0001]本發(fā)明屬于網(wǎng)絡技術領域,尤其涉及一種抗服務器端信息泄露的口令認證方法。
      【背景技術】
      [0002]隨著網(wǎng)絡技術的不斷發(fā)展,基于網(wǎng)絡平臺的應用系統(tǒng)越來越多。這些系統(tǒng)通常采用各種身份認證技術保證登陸到服務器的用戶身份的真實性,從而保證系統(tǒng)和數(shù)據(jù)的安全以及授權訪問者的合法權益。
      [0003]目前,身份認證主要通過下面三種基本途徑之一或其組合來實現(xiàn):基于知識的身份認證、基于生物學特征的身份認證和基于令牌設備如智能卡的身份認證。其中基于知識的身份認證因簡單方便而得到廣泛的應用。
      [0004]口令認證作為典型的基于知識的身份認證技術,已成為很多系統(tǒng)首選的認證方式。在口令認證方式中,服務器端存有用戶名和經(jīng)過處理的口令,用戶只有輸入有效的用戶名以及與之匹配的口令才能通過認證。然而現(xiàn)實中有各種原因會導致服務器端的信息泄露,從而導致經(jīng)過變換的口令也會泄露。由于口令空間較小,故敵手容易通過離線字典攻擊等方式來獲取用戶的登陸口令。
      [0005]為避免因用戶口令空間較小而造成的口令易遭受離線字典攻擊的問題,某些具有更高安全性要求的系統(tǒng)除使用口令認證之外,還增加了其他的認證手段,用戶需通過多種認證才能完成登錄。這種認證技術稱為多因素認證。多因素認證可能需要令牌設備如智能卡來存儲和處理用戶登陸所需的密鑰。由于密鑰空間很大,敵手即便獲取了服務器端存儲的信息也很難通過離線字典攻擊等方式來破解密鑰。然而,上述令牌設備會增加用戶額外的支出,且僅支持在有特定接口的設備上使用,同時用戶需隨身攜帶才可登陸網(wǎng)絡賬戶。此夕卜,用戶持有的令牌設備也存在遺失及被敵手非法獲取的風險。

      【發(fā)明內(nèi)容】

      [0006]為解決由于用戶口令空間較小而造成的口令易遭受離線字典攻擊的問題,本發(fā)明在無需從用戶端增加令牌設備如智能卡的前提下,提出一種抗服務器端信息泄露的口令認證方法。
      [0007]本發(fā)明涉及三種網(wǎng)絡實體:用戶,可信第三方(Trusted Third Party,TTP)和應用服務器(Applicat1n Server,AS)。其中用戶持有網(wǎng)絡賬戶名以及相應的登錄口令,TTP利用其密鑰采用特定算法處理用戶的登錄信息,而應用服務器維護用戶的賬戶名和登陸口令相關信息的數(shù)據(jù)庫,并據(jù)此對用戶的登陸請求進行認證。
      [0008]本發(fā)明采用的技術方案如下:
      [0009]一種抗服務器端信息泄露的口令認證方法,其步驟為:通過TTP完成用戶注冊和登陸過程的應用已在TTP上完成了登記,即TTP知曉各應用的標識以及其對應的服務器或域名等。
      [0010]一、注冊過程
      [0011]I)用戶將希望注冊賬號的應用標識符Al和自己選擇的賬戶名user以及登陸口令pw通過安全方式發(fā)送給TTP ;
      [0012]2)TTP以其密鑰k及用戶發(fā)送的(AI,user,pw)作為特定算法f的輸入,計算得到一個秘密的X,并將(user,x)發(fā)送給Al指定的應用服務器;
      [0013]3)該應用服務器驗證用戶信息的合法性(比如根據(jù)用戶名是否已被注冊或者合乎規(guī)范等要求來判斷用戶的合法性),若合法則存儲(user,X),并通過TTP向用戶返回注冊成功的信息。
      [0014]二、登陸過程
      [0015]I)用戶通過本地客戶端(如瀏覽器登陸頁面)輸入希望登陸的應用標識符Al和注冊賬戶名user以及相應的登陸口令pw’ ;
      [0016]2)本地客戶端將用戶輸入的(Al,user, pw’ )通過安全網(wǎng)絡信道發(fā)送給TTP,TTP以其密鑰k以及(AI,user,pw’)作為特定算法f的輸入計算得到x’,并基于X’與Al指定的應用服務器執(zhí)行認證協(xié)議;
      [0017]3)若認證成功,則服務器通過TTP向用戶返回登陸成功的消息,用戶可完成系統(tǒng)的登陸。
      [0018]進一步的,所述的安全網(wǎng)絡信道需采用安全的通信協(xié)議。
      [0019]進一步的,所述TTP的密鑰k來自于足夠大的密鑰空間,例如長度不小于128比特。
      [0020]進一步的,所述特定算法f為安全算法,即僅從算法輸出反推算法輸入在計算上是不可行的,如SHA-256算法或AES加密算法等。
      [0021 ] 進一步的,所述TTP發(fā)揮了將來自于較小空間的用戶口令轉變?yōu)閬碜暂^大空間的秘密的X以及存儲應用標識符Al與對應服務器的關聯(lián)關系的作用。
      [0022]進一步的,單個用戶可通過同一個TTP在多個不同的應用服務器上注冊賬號,也可以在同一個服務器的多個應用注冊賬號;(Al,user)唯一標識了是哪個應用上的哪個賬號。
      [0023]進一步的,服務器端存儲的X可為TTP計算得到的直接結果,也可為X經(jīng)過編碼或轉換之后的結果。
      [0024]進一步的,所述TTP與服務器之間的認證協(xié)議由服務器發(fā)起并完成,可為直接驗證X’與本地存儲的X是否一致的簡單形式,也可為由服務器端發(fā)起的基于秘密X的挑戰(zhàn)響應協(xié)議等,比如采用基于預共享密鑰的認證協(xié)議如MAPI,DH-EKE, EVEl等認證方法。
      [0025]與現(xiàn)有技術相比,本發(fā)明提出一種抗服務器端信息泄露的口令認證方法,其有益效果為:
      [0026]a)本發(fā)明使用戶無需在本地增加令牌設備便能完成身份認證,不會給用戶增加任何額外的開銷(如多因素認證技術中由令牌設備引入的開銷),且即便敵手通過某種手段獲得了服務器端存儲的秘密信息仍無法猜測用戶的登陸口令,保護了登陸口令的安全;本發(fā)明中可信第三方發(fā)揮了將來自于較小空間的用戶口令轉變?yōu)閬碜暂^大空間的秘密的X的作用。
      [0027]b)本發(fā)明提出的是一種通用框架,故具有廣泛的適用性,尤其適用于企業(yè)網(wǎng)、校園網(wǎng)等多服務器由同一權威機構管理的網(wǎng)絡環(huán)境。
      【附圖說明】
      [0028]圖1為本發(fā)明中用戶在某應用系統(tǒng)中注冊過程的示例圖。
      [0029]圖2為本發(fā)明中用戶在某應用系統(tǒng)中登陸過程的示例圖。
      【具體實施方式】
      [0030]為了使本發(fā)明的目的、技術方案和優(yōu)點更加清晰明白,以下將結合具體實施例,并參照附圖對本發(fā)明做詳細的說明。
      [0031]本實施例中以用戶通過TTP在一個應用系統(tǒng)(假定已在TTP上進行過登
      當前第1頁1 2 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1