一种口令认证系统,包括设置在客户端的口令保护器和设置在服务器端的验证器,其中:口令保护器:用以先对与服务器端约定的不变因子和可变因子进行混淆扩散变换产生种子,再利用所述种子产生伪随机序列,最后利用伪随机序列直接产生当前口令或利用对所述序列做非线性变换的结果产生当前口令;验证器:用以当接收客户端发送的当前口令时,利用预先约定的所述不变因子和可变因子采用与口令保护器相同的算法产生验证口令,当所述验证口令与所述接收到的当前口令相同时,所述客户端的用户身份认证通过。该系统不仅安全系数高,成本低且支持多应用和多渠道。
【技术实现步骤摘要】
本专利技术涉及身份验证、访问控制的电子认证系统及认证方法。特别是涉及电子生成动态、随机不可预测的口令,通过验证这些口令来正确识别已获得授权的个体或用户,并由此判定是否允许访问、进出、存取受保护的系统资源、是否提供有条件的服务,是否实现特别的业务往来等。
技术介绍
口令是最广泛使用的一种验证身份合法性的方法,授权的用户都拥有一个区别于系统中其他用户的标识符ID(用户名、序列码或帐号)和只有用户自己知道的秘密口令。若用户想要登录系统,就须在请求节点键入自已的用户标示符和口令。系统将所述用户标示符和口令与预先保护的用户标示符和口令进行比对,如果匹配,则所述用户身份合格,允许其进入系统或提供服务,否则所述用户身份非法,拒绝其进入系统或不提供服务。现在随着通信网络化的迅猛发展,口令在网上来回传输的机会越来越多,传统的口令认证系统没有提供口令在网上传输的保护机制的问题目益突出,口令在网上被黑客截取的事件日益增多。为使口令安全传输,简单地将口令加密后在网上传送的办是徒劳的,丝毫也不会提高安全性。因为,黑客同样可以截获该些密口令,无需还原密口令成明的形式,直接用截获的密口令来冒充授权用户,同样可以达到目的。密口令对认证节点来说只不过是多了一次脱密的程序,无法由此判定用户的真伪,进而造成损失。比如,在网上银行交易过程中,用户的标示符和对应的口令被不法第三方获得后,很容易给用户造成经济损失。要彻底解决这个问题,使用动态的口令是一种较为有效的方法。动态的口令是指每个口令只有一次有效,并只在很短的时间内有效,使口令随时间不可预测地变化,致使黑客即使截获到口令也只是一个无用的失效口令,由此提高认证的安全性。一次性密码本是上述思路的产物,按照事先约定使用办法,认证双方使用相同的密码本进行认证,比如建行的刮刮卡方案,一次性密码本方案在一定程序上解决了口令泄漏的问题,但是,由于无限大的密码本是不可能的,有限的密码本必然带来安全问题,即存在安全性还是非常低的技术问题,并且,若每个应用、每个认证实体都必须维护一个密码本,造成难以支持多个应用的技术缺陷。目前还存在另一种一次性口令生成器方案,认证双方采用相同的种子和相同的算法每次产生不同的认证口令。这种一次性口令生成器认证的安全系数较高,但是口令生成器通常做成便于用户携带、象信用卡大小或外形象普通计算器一样的装置(简称卡或令牌),成本较高且不能支持多应用。比如,为了提高客户进行网上交易的安全性,每个银行给客户提供一口令生成器。若一客户申请若干家银行的网上交易,则该客户需要保存若干张口令生成器,对于银行来说,口令生成器的制作成本高,对于客户来说,携带不便。并且,一张口令生成器只支持一认证,比如,某家银行开发的口令生成器只对应用于网上银行交易的认证,对POS机的银行交易并不支持等,无法做到支持多应用。
技术实现思路
本专利技术的目的在于提供一种,以解决现有技术中动态口令认证系统的安全系数低或成本高、不支持多应用的技术问题。为解决上述问题,本专利技术公开了一种口令认证系统,包括设置在客户端的口令保护器和设置在服务器端的验证器,其中口令保护器用以先对与服务器端约定的不变因子和可变因子进行混淆扩散变换产生种子,再利用所述种子产生伪随机序列,最后利用伪随机序列直接产生当前口令或利用对所述序列做非线性变换的结果产生当前口令;验证器用以当接收客户端发送的当前口令时,利用预先约定的所述不变因子和可变因子采用与口令保护器相同的算法产生验证口令,当所述验证口令与所述接收到的当前口令相同时,所述客户端的用户身份认证通过。所述口令保护器进一步包括混淆扩散单元、伪随机序列生成单元和口令产生单元,其中混淆扩散单元用于对与服务器端约定的不变因子和可变因子进行混淆扩散变换产生种子;伪随机序列生成单元用以由伪随机序列生成算法根据混淆扩散单元产生的种子产生伪随机序列;口令产生单元根据设定的口令长度、类型按照预设算法产生当前口令。所述验证器进一步包括混淆扩散单元、伪随机序列生成单元、口令产生单元和验证单元,其中混淆扩散单元用于对与服务器端约定的不变因子和可变因子进行混淆扩散变换产生种子;伪随机序列生成单元用以由伪随机序列生成算法根据混淆扩散单元产生的种子产生伪随机序列;口令产生单元根据设定的口令长度、类型按照预设算法产生验证口令;验证单元用于将接收到的当前口令与所述验证口令进行比对,若相同,则验证通过。所述口令保护器/验证器还包括非线性变换单元,所述非线性变换单元设置在伪随机序列生成单元和口令产生单元之间,用于按照预先设定从产生的伪随机序列中截取一段序列作非线性变换。混淆扩散单元和伪随机序列生成单元可以采用不同的算法进行混淆扩散和伪随机序列生成或采用一算法完成混淆扩散和伪随机序列生成。所述客户端包括计算机终端、手机、PDA。并且,客户端从服务器上下载并安装口令保护器。本专利技术还公开了一种口令认证方法,包括以下步骤(1)客户端先对与服务器端约定的不变因子和可变因子进行混淆扩散变换产生种子,再利用所述种子产生伪随机序列,最后利用伪随机序列直接产生当前口令或利用对所述序列做非线性变换的结果产生当前口令;(2)服务器端接收客户端发送的当前口令时,利用预先约定的所述不变因子和可变因子采用与口令保护器相同的算法产生验证口令,当所述验证口令与所述接收到的当前口令相同时,所述客户端的用户身份认证通过。步骤(1)之前还包括客户端接收用户修改后的不变因子或/和可变因子;步骤(1)和步骤(2)之间还包括客户端将修改后的不变因子或/和可变因子加密后发送至服务器端。步骤(1)之前包括在客户端和服务器设置并保存若干种口令产生算法;步骤(1)包括客户端选择其中一种口令产生算法产生当前口令先将不变因子和可变因子进行混淆扩散变换产生种子,再利用所述种子产生伪随机序列,最后利用伪随机序列直接产生当前口令或利用对所述序列做非线性变换的结果产生当前口令;步骤(1)和步骤(2)之间还包括客户端将选择口令产生算法的序号发送至服务器端,以便服务器采用相同的口令产生算法产生验证口令。与现有技术相比,本专利技术具有以下优点本专利技术每次使用的口令都不相同,随着可变因子(如时间)的变化,口令也随之变化,明显降低了口令泄漏带来的风险,并且,本专利技术先通过混淆扩散来保证可变因子的变化引起种子足够大的变化,从而保证每次口令的足够随机性,然后利用伪随机序列生成单元来保证每次口令的足够随机性,随后利用非线性变换单元来保证口令的不可前逆和不可后退性,通过上述处理后产生的当前口令具有较高的安全性。最重要的是,本专利技术无需增加额外的硬件设备来进行身份认证,实现成本低,并且支持多应用、多渠道。附图说明图1是本专利技术的口令认证系统的结构示意图;图2是口令保护器的一种实施结构示意图; 图3是验证器的一种实施结构示意图;图4是本专利技术的口令认证方法的流程图。具体实施例方式以下结合附图,具体说明本专利技术。加密技术是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解密)。加密技术的要点是加密算法,加密算法可以分为对称加密、不对称加密和不可逆加密三类算法。不可逆加密算法的特征是加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被本文档来自技高网...
【技术保护点】
一种口令认证系统,其特征在于,包括设置在客户端的口令保护器和设置在服务器端的验证器,其中: 口令保护器:用以先对与服务器端约定的不变因子和可变因子进行混淆扩散变换产生种子,再利用所述种子产生伪随机序列,最后利用伪随机序列直接产生当前口令或利用对所述序列做非线性变换的结果产生当前口令; 验证器:用以当接收客户端发送的当前口令时,利用预先约定的所述不变因子和可变因子采用与口令保护器相同的算法产生验证口令,当所述验证口令与所述接收到的当前口令相同时,所述客户端的用户身份认证通过。
【技术特征摘要】
【专利技术属性】
技术研发人员:郭锐,杨家雏,李登峰,
申请(专利权)人:中国银联股份有限公司,
类型:发明
国别省市:31[中国|上海]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。