具有使用增加安全性的一次密码的多个认证模式的认证系统技术方案

提供了认证处理，其包括使用具有逆变换的预定变换来生成认证参数作为时间相关输入的函数。支持多种认证模式，其中一种认证模式的时间相关输入的位长度不同于另一种认证模式的时间相关输入的位长度。生成认证参数部分地取决于时间相关输入是属于一个认证模式还是属于另一个认证模式。使用具有另一逆变换的另一预定变换从认证参数生成包括字符串的时间相关密码。在认证系统内转发时间相关密码以用于认证器认证。于认证器认证。于认证器认证。

【技术实现步骤摘要】
【国外来华专利技术】具有使用增加安全性的一次密码的多个认证模式的认证系统

技术介绍

[0001]用于向系统资源(例如用户应用)认证用户的认证系统是公知的。许多认证系统通过使用通常仅为用户和发行方或认证方所知的密码来操作。从资源请求节点通过通信信道发送这种密码的系统易受到未授权实体对所发送的密码的拦截的攻击。此后，这些实体可以通过使用所截取的密码以及诸如用户ID的非秘密信息(该非秘密信息也可能被截取)来尝试获得对系统资源的访问。
[0002]为了禁止获得未授权访问的尝试，密码通常以加密形式通过通信信道传输，使得对通信信道的访问不会产生纯文本形式的密码本身。然而，即使在传输之前加密密码的系统也容易受到加密的密码可能被记录并且此后被直接注入到通信信道中(而不是通过终端和加密设备)以保护期望的访问的可能性的伤害。
[0003]为了对抗该挑战，使用了“一次性”或“动态”密码，其仅在短暂的时间间隔(例如，一分钟或更短)内有效，使得在一个间隔期间对一次性密码的拦截不提供在稍后的间隔期间用于获得对系统的访问的有用信息。
[0004]这种类型的系统通常根据秘密信息(例如用户密码或加密密钥)、时间相关信息(例如时刻(TOD)值或时间/日期值)以及可选地非秘密信息(例如用户ID和应用ID)来生成一次性密码。一次性密码被发送到认证节点，在一个实施例中，将一次性密码与以类似方式使用相同的秘密信息和非秘密信息(如果有的话)连同认证节点处可用的时间值生成的比较密码进行比较。如果所发送的密码与比较密码一致，则用户被认证并被授权访问系统资源。在另一实现中，通过从接收的一次性密码中恢复原始时间/日期值以便与认证节点处可用的时间/日期值直接比较，可以避免在认证器处生成比较密码的必要性。

技术实现思路

[0005]在一个或多个方面中，通过提供用于认证系统内的认证处理的计算机程序产品，克服了现有技术的某些缺点，并且提供了附加的优点。该计算机程序产品包括可由处理电路读取并且存储用于执行方法的指令的计算机可读存储介质。该方法包括使用具有逆变换的预定变换来生成认证参数，作为时间相关输入的函数。时间相关输入可使用逆变换从认证参数中恢复，并且认证系统支持多种认证模式。用于多种认证模式中的一种认证模式的时间相关输入的位长度不同于用于多种认证模式中的另一种认证模式的时间相关输入的种长度。此外，生成认证参数部分地取决于时间相关输入是一种认证模式还是另一种认证模式。此外，该方法包括使用具有另一逆变换的另一预定变换从认证参数生成包括字符串的时间相关密码，其中认证参数可使用另一逆变换从时间相关密码恢复，并且将时间相关密码转发到认证系统的认证器以用于认证。
[0006]本文还描述并要求保护与一个或多个方面相关的计算机系统和方法。此外，本文还描述并可要求保护与一个或多个方面相关的服务。
[0007]通过本文所述的技术实现了额外的特征和优点。本专利技术的其它实施例和方面在本文中详细描述，并且被认为是所要求保护的方面的一部分。
附图说明
[0008]本专利技术的一个或多个方面作为示例在说明书结尾处的权利要求中被特别指出并清楚地要求保护。从下面结合附图的详细描述中，本专利技术的前述和其它目的、特征和优点将变得显而易见，在附图中：
[0009]图1是根据本专利技术的一个或多个方面的使用认证处理的认证系统的一个实施例的框图；
[0010]图2是示出根据本专利技术的一个或多个方面的图1的认证系统的一个实施例的进一步细节的更详细框图；
[0011]图3是根据本专利技术的一个或多个方面的认证系统的另一实施例的框图，其中，由安全服务器使用认证处理来生成认证密码；
[0012]图4示出了根据本专利技术的一个或多个方面的用于对任意位长度的时间相关输入进行加密以获得时间相关认证密码以转发到认证系统的认证器的一个过程实施例；
[0013]图5示出了根据本专利技术的一个或多个方面的用于评估时间相关的认证密码的一个过程实施例，其中恢复输入到图4的加密过程的原始时间值以与参考时间值进行比较；
[0014]图6A
‑
6D示出了根据本专利技术的一个或多个方面的用于生成时间相关认证密码以转发到认证器的加密过程的更详细实施例；
[0015]图7A
‑
7B示出了根据本专利技术的一个或多个方面的用于评估经由图6A
‑
6D的加密过程生成的时间相关认证密码的评估过程的更详细实施例；
[0016]图8A示出了结合并使用本专利技术的一个或多个方面的计算环境或资源的一个示例；
[0017]图8B示出了根据本专利技术的一方面的图8A的处理器的进一步细节；
[0018]图9A示出了结合并使用本专利技术的一个或多个方面的计算环境或资源的另一示例；
[0019]图9B示出了根据本专利技术的一方面的图9A的存储器的进一步细节；
[0020]图10示出了可以实现本专利技术的实施例的某些方面或与本专利技术的实施例的某些方面相关联地使用的云计算环境的实施例；以及
[0021]图11示出了根据本专利技术的实施例的抽象模型层。
具体实施方式
[0022]附图进一步示出本专利技术，并且与具体实施方式一起用于解释本专利技术的各方面，在附图中，贯穿各个图，相同的附图标记表示相同或功能相似的元件，并且附图被并入说明书中并形成说明书的一部分。注意，在这一点上，省略了对公知的系统、设备、处理技术等的描述，以免在细节上使本专利技术模糊。然而，应当理解，详细描述和该特定示例虽然指示本专利技术的各方面，但仅以说明的方式给出，而非限制。对于本领域技术人员来说，在本专利技术的基本概念的精神或范围内的各种替换、修改、添加和/或其它布置从本公开将是显而易见的。还应注意，本文公开了许多专利技术方面和特征，并且除非不一致，否则每个公开的方面或特征可与本文公开的一个或多个概念的特定应用所需的任何其它公开的方面或特征组合。
[0023]还注意，下面仅作为示例使用特定代码、设计、架构、协议、布局、示意图或工具来描述说明性实施例，而不是作为限制。此外，为了描述的清楚，仅作为示例，在某些情况下使用特定软件、工具或数据处理环境来描述说明性实施例。说明性实施例可以结合其他相当或类似目的结构、系统、应用或架构来使用。说明性实施例的一个或多个方面可以以硬件、
软件或其组合来实现。
[0024]如本领域技术人员所理解的，本申请中所引用的程序代码可以包括软件和硬件。例如，本专利技术的某些实施例中的程序代码可以包括固定功能硬件，但是其它实施例可以利用所描述的功能的基于软件的实现。某些实施例组合了两种类型的程序代码。在图8A中将程序代码(也称为一个或多个程序或程序指令)的一个示例描绘为存储在计算机系统802的存储器806中的(多个)应用程序830和/或(多个)计算机可读程序指令834，以及存储在由计算机系统802访问的数据存储设备844中的程序846和(多个)计算机可读程序指令848。
[0025]如上文简要提到的，基于认证令牌的认证系统可为诸如请求节点的实体提供向认证器(或认证节点)确认身份断言的方式。确认本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机程序产品，用于在认证系统内进行认证处理，所述计算机程序产品包括：计算机可读存储介质，其能够由处理电路读取并且存储用于执行方法的指令，所述方法包括：使用具有逆变换的预定变换，根据时间相关输入来生成认证参数，所述时间相关输入可使用所述逆变换从所述认证参数中恢复，并且所述认证系统支持多种认证模式，用于所述多种认证模式中的一种认证模式的所述时间相关输入的位长度不同于用于所述多种认证模式中的另一种认证模式的所述时间相关输入的位长度，并且所述生成部分地取决于所述时间相关输入是所述一种认证模式还是所述另一种认证模式；使用具有另一逆变换的另一预定变换从认证参数生成包括字符串的时间相关密码，所述认证参数可使用所述另一逆变换从时间相关密码恢复；以及将所述时间相关的密码转发到所述认证系统的认证器以用于认证。2.根据权利要求1所述的计算机程序产品，其中，在所述时间相关输入是所述一个认证模式的情况下，所述时间相关输入是奇数位的二进制输入。3.根据权利要求2所述的计算机程序产品，其中，在所述时间相关输入是所述另一认证模式的情况下，所述时间相关输入是偶数位的二进制输入。4.根据权利要求3所述的计算机程序产品，其中，所述一个认证模式的所述时间相关输入包括41位，并且所述另一认证模式的所述时间相关输入包括48位。5.根据权利要求1所述的计算机程序产品，其中，所述生成包括：将所述时间相关输入分割成一个段(部分_a)和另一个段(部分_b)；使用所述一个段(部分_a)和所述另一个段(部分_b)来执行所述时间相关输入的多轮变换以获得最后部分_a和最后部分_b，其中，所述多轮变换中的一轮变换包括至少部分地使用签入密钥、轮特定值和变换过程来变换当前部分_a和当前部分_b，所述轮特定值随着所述多轮变换中的每一轮变换而改变；以及基于执行所述多轮变换，组合所述最后部分_a和所述最后部分_b以形成所述认证参数。6.根据权利要求5所述的计算机程序产品，其中，所述一个认证模式是UPPER认证模式，其中所述签入密钥仅使用大写字母和数字，并且所述另一认证模式是MIXED认证模式，其中所述签入密钥使用大写字母和小写字母、数字以及一个或多个特殊字符中的任一个。7.根据权利要求5所述的计算机程序产品，其中，所述多轮变换中的一轮或更多轮变换包括部分地取决于所述认证系统当前是使用所述一种认证模式还是所述另一种认证模式的过程。8.根据权利要求5所述的计算机程序产品，其中，在执行部分_a和部分_b的多轮变换期间，至少一轮变换包括通过使用当前部分_b变换当前部分_a来生成新的部分_a，以及通过使用新的部分_a变换当前部分_b来生成新的部分_b。9.根据权利要求5所述的计算机程序产品，其中，所述轮特定值包括轮计数器的当前值，所述轮计数器的所述当前值随着所述多轮变换中的每一轮变换而改变，并且其中所述变换过程是消息认证码(MAC)过程。10.根据权利要求1所述的计算机程序产品，还包括：使用另一逆变换，从呈现给认证器的时间相关密码重新生成认证参数；
使用逆变换从认证参数重新生成时间相关输入；以及当重新生成的时间相关值在参考时间相关值的预定容限内时，准许访问资源，否则，拒绝访问资源。11.一种用于在认证系统内进行认证处理的计算机系统，所述计算机系统包括：存储器；与所述存储器通信的一个或多个处理器；以及程序代码，所述程序代码能够由所述一个或多个处理器经由所述存储器执行以执行包括以下步骤的方法：使用具有逆变换的预定变换，根据时间相关输入来生成认证参数，所述时间相关输入可使用所述逆变换从所述认证参数中恢复，并且所述认证系统支持多种认证模式，用于所述多种认证模式中的...

【专利技术属性】
技术研发人员：R，
申请(专利权)人：国际商业机器公司，
类型：发明
国别省市：