一种便携式智能口令管理体制的建立与操作方法技术

一种便携式智能口令管理体制的建立与操作方法，步骤如下：1：三类实体建立通信信道；2：用户注册系统账户；3：本地口令管理准备；4：用户添加网站记录；5：口令管理器加密数据库并生成消息验证码；6：计算主口令秘密分享份额；7：加密秘密份额并分布式存储；8：用户向服务器验证身份；9：口令管理器证明运行环境未变；10：用户授权代理使用账户；11：代理自动登陆目标网站；12：用户授权其他用户使用其账户；13：用户激活更新的口令管理器；14：用户发起找回口令请求；15：用户手机恢复口令所需的信息；16：用户恢复主口令及网站口令；本发明专利技术提高了口令的管理效率，增加了使用口令的便捷，改善口令的安全性，具有推广前景。

Establishment and operation method of a portable intelligent password management system

Steps of establishing and operating method, a portable intelligent password management system are as follows: 1: three types of entities to establish a communication channel; 2: user registration system for local accounts; 3: 4: user password management; add website records; 5: password manager database encryption and message authentication code generation; 6: calculate the master password secret sharing share; 7: encryption secret share and distributed storage; 8: user authentication to the server; 9: password manager that the operating environment has not changed; 10: user authorization proxy account; 11: the automatic landing target network station; 12: user authorization to other users of the account; 13: user password manager the activation update; 14: user initiated retrieve password request; 15: mobile phone user password recovery required information; 16: user password and password recovery master site; the invention improves The password management efficiency increases the convenience of using password, improves the security of password, and has the prospect of popularization.

【技术实现步骤摘要】
一种便携式智能口令管理体制的建立与操作方法(一)
：本专利技术设计一种便携式智能口令管理体制的建立与操作方法，可实现用户对于多个网络账户口令信息的生成，存储，管理，使用，授权和找回功能。在保证用户个人口令信息的安全性下，使得用户可以在任何口令代理完成自动登录特定网页或者应用程序的功能，极大的提升了口令管理的效率，属于信息安全中的密码学领域。(二)技术背景：口令安全作为系统安全的前提，是系统安全的重要一部分。随着互联网应用的迅猛发展，每个人都需要记忆大量的网络账户名称和密码口令。仅凭借人脑记忆是难以记住所有的口令信息，因此绝大多数用户选择记忆简单的口令信息或者将口令信息在账户之间重复使用，虽然减少了用户的记忆负担，但是口令信息因此更容易被破解，带来用户个人账户信息的泄露，给用户造成损失。口令管理系统可以帮助用户生成，存储，管理和使用口令，减少用户的记忆负担，缩短用户输入时间，提高管理口令的效率，实为如今管理口令的一种必然趋势。目前按照口令存储介质的分类，可以将口令管理体制分为以下几类：基于电脑硬盘存储的口令管理体制，基于浏览器存储的口令管理体制，基于安全令牌存储的口令管理体制，基于个人口令管理器存储的口令管理体制。基于电脑硬盘存储的口令管理体制将口令信息存储在电脑本地，容易实现但是也容易遭受多样攻击，而且电脑不方便移动携带；基于浏览器的口令管理体制将信息存储在服务器云端，可以在任何电脑上下载口令信息使用，但是云存储安全无法保证，多次报道的网站用户个人账户信息的泄露证明了这一点；基于安全令牌的口令管理体制将口令存储在小巧且方便携带的令牌中，安全性较高，但是该令牌往往只提供针对一个网站应用的口令服务，无法同时管理多个口令。基于个人口令管理器的存储口令管理体制是近几年新型的口令管理办法，他将口令相关信息存储在智能手机，平板，手表等个人口令管理器的本地的存储空间中，通过在个人口令管理器平台编写的软件集中化管理多个口令，兼具了以上几种口令管理体制的特点。然而，目前广泛使用的基于个人口令管理器的口令管理系统较少，也缺乏对应的高效便捷的口令管理机制。因此我们提出一种基于个人口令管理器存储的便携式口令管理体制，保证口令的安全性，提高口令的管理与使用效率。(三)
技术实现思路
：1、目的：本专利技术的目的是提出一种便携式智能口令管理体制的建立与操作方法，该体制以个人口令管理器为唯一的身份凭证标识，可以在保证口令信息在存储和传输过程中的安全前提之下，提供多个网络账户口令的管理以及网站页面和应用程序登录的功能，改变了传统的口令管理方式。此外，如果个人口令管理器丢失，系统提供找回机制，用户可以将存储在丢失的个人口令管理器上的口令信息找寻回来。同时，用户可以对指定用户授权，使得授权用户可以使用该用户的账户口令登陆网站完成相关操作。该系统可以显著提高口令的管理效率，增加用户使用口令的便捷程度，具有较远的推广前景。2、技术方案：本专利技术方案包含三类实体：1)个人口令管理器：个人口令管理器包含智能手机，平板，手表等智能可携带设备，个人口令管理器应用是指以该个人口令管理器为平台编写特定应用软件，该应用软件可以生成，存储，加密，管理，备份相关口令信息。2)口令服务器：存储着每个使用该系统用户的账户信息，提供找回，授权，无口令身份认证等功能，是管理个人口令管理器和口令代理的核心设施。3)口令代理：口令代理包含电脑，智能手机，智能平板，智能手表等可联网设备，口令代理插件是指基于特定浏览器编写的浏览器插件，或者是专门的应用程序，用来自动检测可登陆的口令代理的应用程序，用户可以通过该插件接收个人口令管理器传来的口令信息完成登录操作，并通过该插件对口令信息进行修改，同时配合其他两类实体完成相关系统操作。本专利技术为一种便携式智能口令管理体制的建立与操作方法，该方法由系统初始化模块、用户注册模块、口令备份模块、口令使用模块，口令授权模块、口令找回模块六个模块共16个步骤实现其功能，六个模块由三类实体互相配合共同完成。本专利技术一种便携式智能口令管理体制的建立与操作方法，其运行步骤如下：模块一：系统初始化模块口令服务器S、个人口令管理器M以及口令代理P初始化系统参数；步骤1：口令服务器S生成一个支持确定性盲签名的数字公钥密码体制的公私钥对(PKS，SKS)，口令代理P生成一个支持验证身份的数字签名的公私钥对(PKP，SKP)，他们的签名和验证算法统一用Sign和Verify表示。三类实体生成相同的安全对称密码体制加密和解密算法(E，D)，以及安全杂凑函数H：{0，1}*←{0，1}l。个人口令管理器M生成以(t，n)安全常数的秘密分享方案，其秘密份额拆分算法用F表示，对应的秘密重构算法用Rec表示，其中t<n。各实体之间互相认证，建立安全通信信道；模块二：用户注册模块新用户注册系统账户，输入个人相关信息，个人口令管理器应用生成用户主口令；用户在个人口令管理器应用中创建新的网站或应用程序的账户及登录口令，或对现有的账户口令进行修改与删除；用户的账户及口令信息被加密存储，并提供完整性检测，可以通过形式化证明的方法证明被保存的账户和口令信息是安全的；步骤2：用户注册系统账户，M代表用户与S交互：设用户个人认证信息是Person，选取账户名ID0，记个人信息集合为A＝(Person，ID0)，盲化A获得个人信息集合的盲化结果A’，向S提交(ID0，A’)。S生成关于A’的盲签名σ′0，返回σ′0给ID0，M对σ′0脱盲得到签名明文σ0，验证Verify(σ0，A，PKS)＝1来确认签名信息确实来自口令服务器S，随后M计算用户ID0的私钥SKM＝H(A||σ0)，并计算对应的公钥PKM。随后M检测本地的运行环境，得到个人管理器可识别信息Linfo，计算个人口令管理器M的私钥SKD＝H(SKM||Linfo)，并计算对应的公钥PKD。M发送(PKM，PKD)给S和P，S保存(ID0，PKM，PKD)步骤3：M的本地口令管理准备：M生成主口令mp，并确定一个朋友集{ID1，ID2，……，IDn}；步骤4：M的登陆账号口令管理，创建本地数据库DB，添加网站记录RSi：对于网址URLi，网站账户名accounti，记Mi＝(mp，URLi，accounti)为该条网站记录的特征消息，发送盲化后的Mi’给S，S计算特征消息Mi的盲签名σ′i，s＝Sign(Mi，SKS)并返回σ′i，s给M。M对σ′i，s脱盲获得σi，s，验证Verify(σi，s，mp，URLi，accounti，PKS)＝1来确认签名消息确实来自口令服务器S，然后M生成网站记录RSi的登陆口令passwordi＝H(mp||σi，s)，同时对该条记录标识一个唯一的标签tagi用来让用户区分各个记录；在步骤4生成网站口令之后，用户需要将网站信息在目标网站的服务器上注册，不过使用该系统方便的是这些网站信息只需要输入一次即可，之后可由口令代理代为输入；步骤5：M加密数据库记录及消息认证码：M使用用户ID0的私钥SKM进行签名获得σi，M＝Sign(URLi，accounti，SKM)，然后获得网站记录RSi的加密密钥ki，M＝H(mp||σi，M)，接着加密该网站记录获得密文ci即E(RSi)＝E(URL本文档来自技高网...

【技术保护点】
一种便携式智能口令管理体制的建立与操作方法，其特征在于：其运行步骤如下：模块一：系统初始化模块 口令服务器S、个人口令管理器M以及口令代理P初始化系统参数；步骤1：口令服务器S生成一个支持确定性盲签名的数字公钥密码体制的公私钥对(PKS，SKS)，口令代理P生成一个支持验证身份的数字签名的公私钥对(PKP，SKP)，他们的签名和验证算法统一用Sign和Verify表示；三类实体生成相同的安全对称密码体制加密和解密算法(E，D)，以及安全杂凑函数H：{0，1}

【技术特征摘要】
2017.01.11 CN 20171001800121.一种便携式智能口令管理体制的建立与操作方法，其特征在于：其运行步骤如下：模块一：系统初始化模块口令服务器S、个人口令管理器M以及口令代理P初始化系统参数；步骤1：口令服务器S生成一个支持确定性盲签名的数字公钥密码体制的公私钥对(PKS，SKS)，口令代理P生成一个支持验证身份的数字签名的公私钥对(PKP，SKP)，他们的签名和验证算法统一用Sign和Verify表示；三类实体生成相同的安全对称密码体制加密和解密算法(E，D)，以及安全杂凑函数H：{0，1}*←{0，1}l；个人口令管理器M生成以(t，n)安全常数的秘密分享方案，其秘密份额拆分算法用F表示，对应的秘密重构算法用Rec表示，其中t<n；各实体之间互相认证，建立安全通信信道；模块二：用户注册模块新用户注册系统账户，输入个人相关信息，个人口令管理器应用生成用户主口令；用户在个人口令管理器应用中创建新的网站或应用程序的账户及登录口令，及对现有的账户口令进行修改与删除；用户的账户及口令信息被加密存储，并提供完整性检测，通过形式化证明的方法证明被保存的账户和口令信息是安全的；步骤2：用户注册系统账户，M代表用户与S交互：设用户个人认证信息是Person，选取账户名ID0，记个人信息集合为A＝(Person，ID0)，盲化A获得个人信息集合的盲化结果A’，向S提交(ID0，A’)；S生成关于A’的盲签名σ′0，返回σ′0给ID0，M对σ′0脱盲得到签名明文σ0，验证Verify(σ0，A，PKS)＝1来确认签名信息确实来自口令服务器S，随后M计算用户ID0的私钥SKM＝H(A||σ0)，并计算对应的公钥PKM；随后M检测本地的运行环境，得到个人管理器可识别信息Linfo，计算个人口令管理器M的私钥SKD＝H(SKM||Linfo)，并计算对应的公钥PKD；M发送(PKM，PKD)给S和P，S保存(ID0，PKM，PKD)；步骤3：M的本地口令管理准备：M生成主口令mp，并确定一个朋友集{ID1，ID2，……，IDn}；步骤4：M的登陆账号口令管理，创建本地数据库DB，添加网站记录RSi：对于网址URLi，网站账户名accounti，记Mi＝(mp，URLi，accounti)为该条网站记录的特征消息，发送盲化后的Mi’给S，S计算特征消息Mi的盲签名σ′i，s＝Sign(Mi，SKS)并返回σ′i，s给M；M对σ′i，s脱盲获得σi，s，验证Verify(σi，s，mp，URLi，accounti，PKS)＝1来确认签名消息确实来自口令服务器S，然后M生成网站记录RSi的登陆口令passwordi＝H(mp||σi，s)，同时对该条记录标识一个唯一的标签tagi用来让用户区分各个记录；在步骤4生成网站口令之后，用户需要将网站信息在目标网站的服务器上注册，不过使用该系统方便的是这些网站信息只需要输入一次即可，之后由口令代理代为输入；步骤5：M加密数据库记录及消息认证码：M使用用户ID0的私钥SKM进行签名获得σi，M＝Sign(URLi，accounti，SKM)，然后获得网站记录RSi的加密密钥ki，M＝H(mp||σi，M)，接着加密该网站记录获得密文ci即不妨将该条记录该数据库中的主键记为rowi，随后计算消息认证码maci＝H(rowi||tagi||ci||ki，M)该条记录在数据库中按以下形式保存：(rowi，tagi，E(URLi，ki，M),E(account_，ki，M),E(passwordi，ki，M)，maci)每当数据库内的信息被修改，maci都需要被更新，用来验证数据库所有信息的完整性；模块三：口令备份模块通过秘密分享的办法将用户的主口令备份，并对秘密份额进行加密；步骤6：M计算主口令mp的秘密分享份额：随机选取参数s0，s1，使得计算分享给朋友集的秘密份额s1,i＝F(ID0，s1)；步骤7：M加密秘密份额并分布式存储：M盲化个人用户信息Pinfo为Pinfo’，发送Pinfo’给S，S生成关于Pinfo’的盲签名σ′，返回σ′给M，M对σ′脱盲得到σ，验证Verify(σ，Pinfo，PKS)＝1来确认签名消息确实来自口令服务器S，随后M计算秘密份额的加密结果S0＝E(s0，σ)，S1,i＝E(s1,i，σ)，其中i＝1,2，…，n；M发送S0给S，S1,i给用户IDi；模块四：口令使用模块用户在口令代理登陆自己的系统账户，自动登录目标网站；步骤8：用户ID0通过M向S验证身份：M使用私钥SKM对当前时间信息τ进行签名，获得关于当前时间信息的签名στ，提交(στ，τ)给S，S验证Verify(στ，τ，PKM)＝1来确定用户身份确实为用户ID0；步骤9：M向S验证自己的运行环境未改变：M使用私钥SKD对当前时间信息τ0进行签名，获得签名στ0，提交(στ0，τ0)给S，S验证Verify(στ0，τ0，PKD)＝1来确定口令管理器M运行环境未曾改变；在步骤9中用户向服务器验证个人身份时，默认了用户和个人口令管理器之间完成了认证过程，其认证办法是两者协商一个认证口令，该口令只保存在个人口令管理器的本地，当用户长时间未使用管理器后再次使用管理器的情况时输入该认证口令完成用户和个人口令管理器之间的身份认证；步骤10：ID0授权P使用账户：P随机选取参数r1，以及当前时间信息τ1，记代理会话秘钥参数为d1＝(r1，τ1)，用公钥PKM对d1加密获得加密密文d1’，然后使用口令代理的私钥SKP计算对d1摘要的数字签名即σd1＝Sign(H(d1...

【专利技术属性】
技术研发人员：伍前红，梁智，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：北京,11