【技术实现步骤摘要】
基于动态口令的工业控制设备身份认证方法及装置
[0001]本专利技术涉及身份认证
,具体涉及一种基于动态口令的工业控制设备身份认证方法及装置。
技术介绍
[0002]动态口令也叫做一次性口令(One Time Password,简称OTP),又称动态密码或单次有效密码,是在计算器系统或其他数字设备上只能使用一次的密码,有效期为只有一次登录会话或交易。
[0003]基于动态口令的身份认证,是使用密码技术实现的在客户端和服务器之间通过共享秘密实现的一种强认证技术,是增强静态口令认证的一种技术手段。一般包括作为口令产生器的动态令牌(一个带电池和液晶屏的微型硬件设备),和用于管理令牌及完成身份认证的身份认证系统组成。
[0004]现有的基于动态口令的身份认证过程如下:
[0005]步骤0:认证服务器产生种子密钥,种子密钥又称预共享密钥(Pre
‑
Shared Key,简称PSK)。然后将密钥通过离线方式导出到动态令牌中。此步骤只在令牌初始化时发生1次;
[0006]步骤1:终端用户登录时,通过肉眼读取动态令牌上显示的动态口令,输入在要登录的终端业务系统上;
[0007]步骤2:终端业务系统提交用户名和动态口令给认证服务器;
[0008]步骤3:认证服务器根据用户名匹配种子密钥,并校验本次动态口令值正确性,然后将登录结果返回给终端业务系统。
[0009]传统动态口令缺点是人类难以记忆,需要通过特定的渠道告知使用者,并由使用者读取动态口令,然后手动输 ...
【技术保护点】
【技术特征摘要】
1.基于动态口令的工业控制设备身份认证方法,其特征在于,包括种子秘钥分发阶段和身份认证阶段;所述种子秘钥分发阶段包括:工业控制终端发起设备注册请求,由工业控制终端计算本机硬件特征码及设备序列号,并将所述本机硬件特征码及设备序列号发送给认证服务器;向工业控制终端输入随机授权码,所述随机授权码由所述认证服务器对所述本机硬件特征码及设备序列号进行校验审批通过后产生,所述随机授权码还用于结合所述本机硬件特征码、设备序列号由认证服务器采用国密算法计算第一杂凑值;所述工业控制终端采用国密算法计算包括所述本机硬件特征码、设备序列号及随机授权码的第二杂凑值;所述身份认证阶段包括:工业控制终端获取当前本地时间,工业控制终端根据所述当前本地时间和第二杂凑值得出第一动态口令;工业控制终端将所述本机硬件特征码、当前本地时间和第一动态口令发送给认证服务器;工业控制终端接收所述认证服务器发送的验证结果,所述验证结果获得过程为:由所述认证服务器根据所述本机硬件特征码查询数据库得到第一杂凑值,根据所述第一杂凑值得出第二动态口令,验证所述第一动态口令和第二动态口令是否相同。2.根据权利要求1所述的基于动态口令的工业控制设备身份认证方法,其特征在于,所述随机授权码结合所述本机硬件特征码、设备序列号由认证服务器采用国密算法SM3计算第一杂凑值;所述工业控制终端采用国密算法SM3计算包括所述本机硬件特征码、设备序列号及随机授权码的第二杂凑值。3.根据权利要求2所述的基于动态口令的工业控制设备身份认证方法,其特征在于,所述第一杂凑值作为所述认证服务器的种子秘钥,所述第二杂凑值作为所述工业控制终端的种子秘钥;所述第一杂凑值与所述第二杂凑值相等。4.根据权利要求1所述的基于动态口令的工业控制设备身份认证方法,其特征在于,由所述认证服务器验证接收的当前本地时间是否在误差范围之内,若所述当前本地时间超出误差范围判定当前本地时已被使用。5.根据权利要求1所述的基于动态口令的工业控制设备身份认证方法,其特征在于,当所述第一动态口令和第二动态口令相同时,验证成功,允许所述工业控制终端根据登录结果处理后续操作,完成工业控制终端的身份认证。6.基于动态口令的工业控制设备身份认证方法,其特征在于,包括种子秘钥分发阶段和身份认证阶段;所述种子秘钥分发阶段包括:通过认证服务器接收工业控制终端发送的设备注册请求,所述设备注册请求包括工业控制终端计算的本机硬件特征码及设备序列号;由所述认证服务器对所述本机硬件特征码及设备序列号进行校验审批,所述校验审批
通过后产生随机授权码;认证服务器采用国密算法计算包括所述本机硬件特征码、设备序列号及随机授权码的第一杂凑值;所述随机授权码还用于结合所述本机硬件特征码、设备序列号由工业控制终端采用国密算法计算第二杂凑值;所述身份认证阶段包括:认证服务器接收工业控制终端发送的第一动态口令,所述第一动态口令由工业控制终端根据获取的当前本地时间和第二杂凑值得出;认证服务器根据所述本机硬件特征码查询数据库得到第一杂凑...
【专利技术属性】
技术研发人员:苑桂杰,谭曙光,
申请(专利权)人:北京惠而特科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。