專利名稱:一種認(rèn)證方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種認(rèn)證(Authentication)方法,尤其是一種一次性口令 (One Time Password, OTP)認(rèn)證方法�����。
背景技術(shù):
在目前的網(wǎng)絡(luò)中���, 一些傳統(tǒng)的認(rèn)證方法(例如常用的"用戶名+ 口令" 的認(rèn)證方法)存在抗攻擊能力差的弱點(diǎn)�����。這些認(rèn)證方法通常使用靜態(tài)口令(或 稱密碼)�,在比較長的一段時(shí)間內(nèi)口令不變�����。由于使用明文在網(wǎng)絡(luò)中傳輸口 令�����,因此攻擊者較容易猜測(cè)出口令或者較容易使用監(jiān)聽工具來竊聽傳輸內(nèi) 容,從而發(fā)覺用戶口令����。另外���, 一些木馬工具也可以在用戶敲擊鍵盤時(shí)將用 戶敲擊的內(nèi)容記錄下來����,進(jìn)而識(shí)別用戶口令���。再有�,即使有些時(shí)候用戶使用 了密文傳輸數(shù)據(jù)���,攻擊者難以破解用戶的口令明文����,但是攻擊者仍可以通過 模擬發(fā)送用戶已經(jīng)發(fā)送的數(shù)據(jù)包來得到用戶的訪問權(quán)限���。
針對(duì)上述認(rèn)證方法中的弱點(diǎn)�,現(xiàn)有技術(shù)中已經(jīng)提出了一些安全性更高的 認(rèn)證方法�,其中之一是一次性口令方法��。在一次性口令方法中���,用戶的口令 不是像傳統(tǒng)的認(rèn)證方法那樣在一段時(shí)間內(nèi)口令不變,而是對(duì)于每一次認(rèn)證都 使用一個(gè)新的口令�,故稱為一次性口令。
現(xiàn)有的認(rèn)證系統(tǒng)中已經(jīng)存在許多一次性口令技術(shù)���。例如����,在一些網(wǎng)上銀 行應(yīng)用中將一次性口令打印在一次性口令卡上�,每個(gè)口令上面覆蓋有可刮擦 的涂層。用戶在每一次網(wǎng)上銀行應(yīng)用的認(rèn)證中可以使用一個(gè)一次性口令�。使 用該方法在價(jià)格上比較便宜,但當(dāng)一次性口令卡上的口令都用完時(shí)��,用戶需 要購買新的一次性口令卡�����。又例如���, 一些一次性口令認(rèn)證系統(tǒng)使用一次性口 令令牌(OTP Token)技術(shù)����。該令牌是一個(gè)硬件設(shè)備,用來和認(rèn)證服務(wù)器進(jìn) 行同步���,并將同步結(jié)果顯示在令牌的顯示屏上��。但是,該方法的弱點(diǎn)是令牌
4具有一定的生命周期����,超過該生命周期就需要重新購置令牌,由于該令牌的 價(jià)格較昂貴,因此導(dǎo)致購買或者更新的成本較高。再例如��,可以使用挑戰(zhàn)-
應(yīng)答(Challenge-Response)技術(shù)來產(chǎn)生一次性口令�。這種方法是由網(wǎng)絡(luò)側(cè) 發(fā)送一個(gè)隨機(jī)數(shù)給終端,終端用所存儲(chǔ)的密鑰對(duì)該隨機(jī)數(shù)進(jìn)行運(yùn)算并返回運(yùn) 算結(jié)果給網(wǎng)絡(luò)側(cè)�����,用以驗(yàn)證終端側(cè)所存儲(chǔ)的密鑰是否與網(wǎng)絡(luò)側(cè)的相同�����。
隨著手機(jī)的普及����,出現(xiàn)了一種用短消息服務(wù)(Short Message Service, SMS)來傳遞一次性口令的一次性口令技術(shù)。在這種認(rèn)證系統(tǒng)中�����,目前存在 以下幾種SMS認(rèn)證方法
第一種����,當(dāng)收到用戶發(fā)出的認(rèn)證請(qǐng)求時(shí),認(rèn)證服務(wù)器(也稱認(rèn)證中心) 生成一個(gè)一次性口令���,然后通過SMS將該口令傳遞給用戶���。用戶使用該口令 登陸一個(gè)應(yīng)用并對(duì)該應(yīng)用進(jìn)行訪問。
由于認(rèn)證服務(wù)器是通過SMS消息將一次性口令發(fā)送給用戶����,而SMS消息 是通過空中接口進(jìn)行傳遞,在空中接口傳遞的SMS消息容易被竊聽��。也就是 說�����,中間人(man-in-the-middle)可以在手機(jī)和認(rèn)證服務(wù)器之間架設(shè)一個(gè) 基站從而竊聽到傳遞一次性口令的SMS消息,進(jìn)而用竊聽獲取的一次性口令 登陸上述應(yīng)用并對(duì)該應(yīng)用進(jìn)行訪問�。因此,這種認(rèn)證過程的安全性較差���。
第二種�����,當(dāng)收到用戶發(fā)出的認(rèn)證請(qǐng)求時(shí)����,認(rèn)證服務(wù)器(也稱認(rèn)證中心) 生成一個(gè)一次性口令��,然后通過SMS將該口令傳遞給用戶���。用戶再將接收到 的一次性口令通過SMS發(fā)送給認(rèn)證服務(wù)器進(jìn)行驗(yàn)證。
這種方法在一個(gè)認(rèn)證過程的兩個(gè)方向上都要使用SMS來傳遞一次性口 令����,基于和第一種同樣的原因,這種認(rèn)證過程的安全性也較差��。另外����,由于 發(fā)送SMS的無線資源有限�����,在SMS中心要進(jìn)行SMS的排隊(duì)���,在某一時(shí)刻如果 要發(fā)送的SMS很多,造成SMS擁塞的情況下�����,SMS易于丟失�����。
第三種���,當(dāng)收到用戶發(fā)出的認(rèn)證請(qǐng)求時(shí)��,認(rèn)證服務(wù)器(也稱認(rèn)證中心) 生成一個(gè)一次性口令��,并將該口令進(jìn)行二維條碼編碼���,然后將該編碼后的一 次性口令通過多媒體短信服務(wù)(Multimedia Messaging Sevice����,麗S)傳遞 給用戶����。用戶接收到該應(yīng)S消息后使用條碼解碼器進(jìn)行解碼,取出一次性口 令�����,再使用該口令登陸一個(gè)應(yīng)用并對(duì)該應(yīng)用進(jìn)行訪問���。
基于和第一種同樣的原因��,這種認(rèn)證過程的安全性也較差。另外�,由于 麗S為圖片格式,使用薩S傳遞一次性口令速度較慢���,價(jià)格也比SMS貴��,因 此這種方法并不實(shí)用����。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種認(rèn)證方法,能夠使得認(rèn)證過程更為安全��。
為達(dá)到上述目的�,本發(fā)明的技術(shù)方案具體是這樣實(shí)現(xiàn)的一種認(rèn)證方法, 該方法包含以下步驟
(1) 用戶向一個(gè)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息����;
(2) 所述認(rèn)證服務(wù)器驗(yàn)證所述用戶的身份,若為合法用戶則繼續(xù)步驟
(3);
(3) 所述認(rèn)證服務(wù)器生成一個(gè)一次性口令并創(chuàng)建一個(gè)會(huì)話���,并將所述 一次性口令和標(biāo)志所述會(huì)話的會(huì)話標(biāo)識(shí)符通過一個(gè)有線網(wǎng)絡(luò)發(fā)送給所述用 戶����;
(4 )所述用戶將獲得的一次性口令和會(huì)話標(biāo)識(shí)符通過一個(gè)無線網(wǎng)絡(luò)發(fā) 送給所述認(rèn)證服務(wù)器�;
(5)所述認(rèn)證服務(wù)器將所接收的一次性口令和所生成的一次性口令進(jìn) 行對(duì)比,若兩者相同���,則認(rèn)證成功�����;否則認(rèn)證失敗����。
所述步驟(1)中,所述用戶通過一個(gè)客戶端將所述認(rèn)證請(qǐng)求消息發(fā)送 給一個(gè)認(rèn)證代理����,所述認(rèn)證代理再將所述認(rèn)證請(qǐng)求消息發(fā)送給所述認(rèn)證服務(wù) 器。所述認(rèn)證請(qǐng)求消息通常包括所述用戶的用戶標(biāo)識(shí)符��、個(gè)人識(shí)別碼和驗(yàn)證 碼�����。
所述步驟(2)中�����,所述認(rèn)證服務(wù)器通過檢驗(yàn)所述個(gè)人識(shí)別碼的哈希值 和所述用戶標(biāo)識(shí)符來驗(yàn)證所述用戶的身份��。
所述步驟(3)中�,所述認(rèn)證服務(wù)器將所述一次性口令和所述會(huì)話標(biāo)識(shí) 符進(jìn)行加密和/或編碼后通過所述有線網(wǎng)絡(luò)發(fā)送給所述用戶。其中���,所述認(rèn) 證服務(wù)器首先對(duì)所述一次性口令進(jìn)行加密,認(rèn)證服務(wù)器采用對(duì)稱密碼算法對(duì) 所述一次性口令進(jìn)行加密�,其中的密鑰為所述用戶標(biāo)識(shí)符、個(gè)人識(shí)別碼、會(huì) 話標(biāo)識(shí)符三者的哈希值���。然后��,認(rèn)證服務(wù)器將加密后的一次性口令和所述會(huì) 話標(biāo)識(shí)符進(jìn)行二維條碼編碼�����,再將編碼后的消息通過所述有線網(wǎng)絡(luò)發(fā)送給所 述用戶���。
所述步驟(4)中,所述用戶對(duì)接收到的消息進(jìn)行二維條碼解碼和解密�����,從而獲得所述所述會(huì)話標(biāo)識(shí)符和所述一次性口令�����。其中�,所述用戶首先使用 一個(gè)解碼器對(duì)接收到的消息進(jìn)行二維條碼解碼,得到所述會(huì)話標(biāo)識(shí)符���,再根 據(jù)所述用戶標(biāo)識(shí)符�����、個(gè)人識(shí)別碼����、會(huì)話標(biāo)識(shí)符三者的哈希值計(jì)算出所述密鑰, 最后根據(jù)所述密鑰對(duì)所述一次性口令進(jìn)行解密�����。最后����,所述用戶將獲得的一 次性口令和會(huì)話標(biāo)識(shí)符通過短消息服務(wù)發(fā)送給所述認(rèn)證服務(wù)器。
采用本發(fā)明所提供的認(rèn)證方法��,認(rèn)證服務(wù)器將生成的一次性口令通過有 線網(wǎng)絡(luò)傳遞給用戶���,而用戶則通過無線網(wǎng)絡(luò)��,尤其是通過短消息服務(wù)將一次 性口令傳遞給認(rèn)證服務(wù)器����。在這個(gè)過程中���,首先有線網(wǎng)絡(luò)有效地保證了一次 性口令傳遞的安全性����。其次�����,即使攻擊者在有線網(wǎng)絡(luò)傳遞的過程中截獲了一
次性口令���,但由于攻擊者無法擁有用戶的手機(jī)�,無法模擬用戶的SIM卡����,因
此也就無法冒充用戶去發(fā)送一次性口令以獲得認(rèn)證服務(wù)器的驗(yàn)證。再次��,即 使在最壞的情況下�����,攻擊者在有線網(wǎng)絡(luò)傳遞的過程中截獲了一次性口令����,并
且模擬用戶的SBI卡去發(fā)送一次性口令���,但是由于認(rèn)證服務(wù)器已經(jīng)為用戶創(chuàng) 建了一個(gè)會(huì)話并且為該會(huì)話設(shè)置了一個(gè)會(huì)話標(biāo)識(shí)符,而該會(huì)話標(biāo)識(shí)符與一次 性口令是一一對(duì)應(yīng)的�,攻擊者發(fā)送的一次性口令無法與用戶的會(huì)話標(biāo)識(shí)符相 對(duì)應(yīng),因此也就無法登陸并訪問用戶的應(yīng)用�。
另外,本發(fā)明所提供的認(rèn)證方法中���,認(rèn)證服務(wù)器將生成的一次性口令通 過有線網(wǎng)絡(luò)而非短消息服務(wù)傳遞給用戶�����。由于有線網(wǎng)絡(luò)的帶寬要大于無線網(wǎng) 絡(luò)�,因此用有線網(wǎng)絡(luò)發(fā)送一次性口令給用戶時(shí)����,具有穩(wěn)定、速度快的優(yōu)點(diǎn)��, 而且一次性口令不易丟失�����,可靠性高。
下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式
作進(jìn)一步詳細(xì)的描述�����,其中 圖1是本發(fā)明實(shí)施例的認(rèn)證方法的流程具體實(shí)施例方式
圖1是本發(fā)明實(shí)施例的認(rèn)證方法的流程圖��。在圖1所示的認(rèn)證系統(tǒng)中包 括用戶所使用的手機(jī)�����,用戶的客戶端�,認(rèn)證代理(或稱應(yīng)用服務(wù)器)����,SMS 系統(tǒng)以及認(rèn)證服務(wù)器(或稱認(rèn)證中心)。用戶在訪問一個(gè)應(yīng)用以前���,必須先與認(rèn)證服務(wù)器建立一個(gè)會(huì)話
(session)�����。用戶通過客戶端發(fā)起認(rèn)證請(qǐng)求和接收一次性口令0TP����。在常用的瀏覽器和服務(wù)器結(jié)構(gòu)(Browser/Server, B/S)中����,客戶端通常是一個(gè)認(rèn)證代理上的網(wǎng)頁應(yīng)用�?��?蛻舳丝梢杂闷銲P地址標(biāo)識(shí)��,更準(zhǔn)確地��,客戶端還可用其IP地址和端口號(hào)標(biāo)識(shí)����。認(rèn)證代理將用戶從客戶端發(fā)起的認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器并將認(rèn)證服務(wù)器生成的一次性口令OTP轉(zhuǎn)發(fā)給用戶的客戶端�����。認(rèn)證中心則用于對(duì)用戶進(jìn)行驗(yàn)證����、生成一次性口令OTP和認(rèn)證一次性口令0TP。在用戶的手機(jī)中或者客戶端中安裝有能夠?qū)ΧS條碼進(jìn)行解碼的解碼器��,該解碼器還能夠?qū)用芩惴ㄟM(jìn)行解密�。用戶的手機(jī)中的解碼器可以是手機(jī)中設(shè)置的照相機(jī)或者手機(jī)上的一段解碼程序。下面具體說明認(rèn)證步驟
第一步,在訪問一個(gè)應(yīng)用之前�����,用戶通過客戶端向認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息�����。例如在一個(gè)網(wǎng)頁應(yīng)用中�����,用戶通過一個(gè)瀏覽器訪問認(rèn)證代理�����。認(rèn)證代理則通過客戶端的瀏覽器來顯示一個(gè)界面�,讓用戶通過客戶端輸入其用戶標(biāo)識(shí)符(userID)����、個(gè)人識(shí)別碼(PIN碼)和驗(yàn)證碼。驗(yàn)證碼通常是將一串隨機(jī)產(chǎn)生的數(shù)字或符號(hào)�����,生成一幅圖片,圖片里加上一些干擾象素����,由用戶肉眼識(shí)別其中的驗(yàn)證碼信息,輸入表單提交網(wǎng)站驗(yàn)證���,驗(yàn)證成功后才能使用某項(xiàng)功能�。驗(yàn)證碼的作用是為了防止攻擊者利用機(jī)器自動(dòng)注冊(cè)��、登錄�、訪問。
用戶通過客戶端輸入其用戶標(biāo)識(shí)符userID�、個(gè)人識(shí)別碼PIN碼和驗(yàn)證碼后,客戶端發(fā)送一個(gè)認(rèn)證請(qǐng)求消息給認(rèn)證代理�。認(rèn)證請(qǐng)求消息中包含了上述用戶標(biāo)識(shí)符userID、對(duì)個(gè)人識(shí)別碼PIN碼進(jìn)行哈希運(yùn)算的值HASH (PIN)和驗(yàn)證碼和客戶端的IP地址��,其中HASH ()為哈希函數(shù)����。為了更準(zhǔn)確地標(biāo)識(shí)用戶,認(rèn)證請(qǐng)求消息中還可以包括客戶端所使用的端口號(hào)��。認(rèn)證代理對(duì)其中的驗(yàn)證碼進(jìn)行驗(yàn)證���,以區(qū)分是用戶發(fā)出的請(qǐng)求還是機(jī)器發(fā)出的請(qǐng)求��。如果是前者����,認(rèn)證代理將用戶標(biāo)識(shí)符userID、對(duì)個(gè)人識(shí)別碼PIN碼進(jìn)行哈希運(yùn)算的值HASH (PIN)����、客戶端的IP地址和端口號(hào)轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。
第二步�����,認(rèn)證服務(wù)器驗(yàn)證所述用戶的身份�����。認(rèn)證服務(wù)器將用戶標(biāo)識(shí)符userID和個(gè)人識(shí)別碼的哈希值HASH (PIN)與其存儲(chǔ)的用戶標(biāo)識(shí)符userlD和個(gè)人識(shí)別碼的哈希值HASH (PIN)進(jìn)行比較�,如果一致則進(jìn)行第三步�����。
第三步���,認(rèn)證服務(wù)器使用隨機(jī)生成器生成一個(gè)一次性口令OTP并創(chuàng)建一個(gè)會(huì)話�,該會(huì)話用一個(gè)會(huì)話標(biāo)識(shí)符SessionID來標(biāo)識(shí)。會(huì)話標(biāo)識(shí)符SessionID和該一次性口令OTP綁定����,并且也與用戶客戶端的IP地址和端口號(hào)綁定。也就是說����,對(duì)于一個(gè)會(huì)話,只對(duì)應(yīng)該用戶客戶端的一個(gè)IP地址和一個(gè)端口號(hào)�。該會(huì)話設(shè)置為未激活狀態(tài),直到認(rèn)證服務(wù)器收到用戶發(fā)送過來的一次性
口令OTP并認(rèn)證通過后該會(huì)話才被激活��。
認(rèn)證服務(wù)器將一次性口令OTP和標(biāo)志所述會(huì)話的會(huì)話標(biāo)識(shí)符SessionID通過一個(gè)有線網(wǎng)絡(luò)發(fā)送給所述用戶���。但從安全性的角度出發(fā)�,更多的情況下����,要對(duì)一次性口令OTP和會(huì)話標(biāo)識(shí)符SessionID進(jìn)行加密或者編碼,或者既進(jìn)行加密�,又進(jìn)行編碼。此處以既對(duì)一次性口令OTP和會(huì)話標(biāo)識(shí)符SessionID進(jìn)行加密�,又進(jìn)行編碼為例進(jìn)行說明���。
認(rèn)證服務(wù)器首先對(duì)一次性口令OTP進(jìn)行加密。認(rèn)證服務(wù)器先計(jì)算加密的密鑰K�����,密鑰K為用戶標(biāo)識(shí)符userlD����、個(gè)人識(shí)別碼PIN、會(huì)話標(biāo)識(shí)符SessionID
三者連接后的哈希值��,即表示如下= 7i4OT(證/Dll房IS固'o"/D)其中����,I表示將該符號(hào)前后兩者進(jìn)行連接。
然后���,認(rèn)證服務(wù)器采用對(duì)稱密碼算法對(duì)所述一次性口令OTP進(jìn)行加密,
即計(jì)算&(or尸)�,^表示對(duì)稱密碼算法,尺為密鑰�����。
最后,認(rèn)證服務(wù)器采用對(duì)加密后的一次性口令OTP和會(huì)話標(biāo)識(shí)符SessionID進(jìn)行二維條碼編碼���,生成消息Msgl���。
M堪i =臉Cocfe(^ (or尸)ls謡'o禮)
其中,I表示將該符號(hào)前后兩者進(jìn)行連接���,^W��。A表示對(duì)連接后的字符串進(jìn)行二維條碼編碼�。這里所說的二維條碼是用某種特定的幾何圖形按一定規(guī)律在平面(二維方向上)分布的黑白相間的圖形記錄數(shù)據(jù)符號(hào)信息�,能夠在橫向和縱向兩個(gè)方位同時(shí)表達(dá)信息,因此能在很小的面積內(nèi)表達(dá)大量的
"f曰息�。
認(rèn)證服務(wù)器將加密和二維條碼編碼后生成的消息Msgl發(fā)送給認(rèn)證代理,認(rèn)證代理再將該消息進(jìn)一步轉(zhuǎn)發(fā)給用戶客戶端�。
第四步,用戶通過客戶端獲得消息Msgl后�,首先用手機(jī)上的照相機(jī)將顯示在客戶端上的消息Msgl進(jìn)行拍照,獲得二維條碼圖案�。用戶利用手機(jī)中安裝的能夠?qū)ΧS條碼進(jìn)行解碼的解碼器對(duì)二維條碼進(jìn)行解碼,獲得加密的一次性口令&(orP)和會(huì)話標(biāo)識(shí)符SessionID�。由于手機(jī)上的解碼器還能夠?qū)用芩惴ㄟM(jìn)行解密,因此手機(jī)再根據(jù)用戶標(biāo)識(shí)符userID�����、個(gè)人識(shí)別碼PIN、會(huì)話標(biāo)識(shí)符SessionlD三者的哈希值計(jì)算出密鑰/C��,最后根據(jù)密鑰K對(duì)加密的一次性口令&(07P)進(jìn)行解密�����,得到一次性口令0TP�。
在另一個(gè)實(shí)施例中,客戶端有解碼器��??蛻舳双@得消息Msgl后,直接在客戶端利用其解碼器對(duì)二維條碼進(jìn)行解碼��,獲得加密的一次性口令^(07P)和會(huì)話標(biāo)識(shí)符SessionID�����?����?蛻舳嗽俑鶕?jù)用戶標(biāo)識(shí)符userID���、個(gè)人識(shí)別碼PIN���、會(huì)話標(biāo)識(shí)符SessionID三者的哈希值計(jì)算出密鑰K,最后根據(jù)密鑰《對(duì)加密的一次性口令&(O7P)進(jìn)行解密�����,得到一次性口令0TP���。
用戶利用手機(jī)來編輯短消息SMS��,短消息SMS中包括一次性口令OTP和會(huì)話標(biāo)識(shí)符SessionID�����,將該短消息SMS發(fā)送給SMS網(wǎng)關(guān)���,SMS網(wǎng)關(guān)將該消息轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。
第五步�,認(rèn)證服務(wù)器將從SMS網(wǎng)關(guān)處所接收的一次性口令OTP和所生成的一次性口令OTP進(jìn)行對(duì)比,若兩者相同���,則認(rèn)證成功��;否則認(rèn)證失敗���。一旦認(rèn)證成功�,則認(rèn)證服務(wù)器將用會(huì)話標(biāo)識(shí)符SessionID標(biāo)識(shí)的會(huì)話激活��。這樣�,用戶與認(rèn)證服務(wù)器成功地建立了會(huì)話,用戶就可以對(duì)位于客戶端的應(yīng)用進(jìn)行訪問�。
從上述實(shí)施例的過程中可以看出,本發(fā)明中認(rèn)證服務(wù)器先創(chuàng)建了一個(gè)會(huì)話�,而該會(huì)話又與客戶端的IP地址(和端口號(hào))綁定。即使在認(rèn)證服務(wù)器向客戶端傳遞一次性口令的過程中攻擊者截獲了一次性口令���,攻擊者也無法登陸用戶所要訪問的應(yīng)用����。這是因?yàn)槭紫裙粽邿o法擁有用戶的手機(jī)��,無法模擬用戶的SIM卡��,因此也就無法冒充用戶去發(fā)送一次性口令以獲得認(rèn)證服務(wù)器的驗(yàn)證��。再次,即使在最壞的情況下�,攻擊者截獲了一次性口令����,并且模擬用戶的SIM卡去發(fā)送一次性口令,但是由于認(rèn)證服務(wù)器已經(jīng)為用戶創(chuàng)建了一個(gè)會(huì)話并且為該會(huì)話設(shè)置了一個(gè)會(huì)話標(biāo)識(shí)符�����,而該會(huì)話標(biāo)識(shí)符與一次性口令是一一對(duì)應(yīng)的�����,攻擊者發(fā)送的一次性口令無法與用戶的會(huì)話標(biāo)識(shí)符相對(duì)應(yīng)����,因此也就無法登陸并訪問用戶的應(yīng)用。
權(quán)利要求
1.一種認(rèn)證方法��,其特征在于該方法包含以下步驟(1)用戶向一個(gè)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息�;(2)所述認(rèn)證服務(wù)器驗(yàn)證所述用戶的身份,若為合法用戶則繼續(xù)步驟(3)���;(3)所述認(rèn)證服務(wù)器生成一個(gè)一次性口令并創(chuàng)建一個(gè)會(huì)話��,并將所述一次性口令和標(biāo)志所述會(huì)話的會(huì)話標(biāo)識(shí)符通過一個(gè)有線網(wǎng)絡(luò)發(fā)送給所述用戶���;(4)所述用戶將獲得的一次性口令和會(huì)話標(biāo)識(shí)符通過一個(gè)無線網(wǎng)絡(luò)發(fā)送給所述認(rèn)證服務(wù)器�����;(5)所述認(rèn)證服務(wù)器將所接收的一次性口令和所生成的一次性口令進(jìn)行對(duì)比���,若兩者相同,則認(rèn)證成功���;否則認(rèn)證失敗��。
2. 根據(jù)權(quán)利要求1所述的認(rèn)證方法�,其特征在于所述步驟(1)中��, 所述用戶通過一個(gè)客戶端將所述認(rèn)證請(qǐng)求消息發(fā)送給一個(gè)認(rèn)證代理����,所述認(rèn) 證代理再將所述認(rèn)證請(qǐng)求消息發(fā)送給所述認(rèn)證服務(wù)器。
3. 根據(jù)權(quán)利要求1或2所述的認(rèn)證方法����,其特征在于所述認(rèn)證請(qǐng)求消息包括所述用戶的用戶標(biāo)識(shí)符�、個(gè)人識(shí)別碼��、驗(yàn)證碼和用戶客戶端的IP 地址��。
4. 根據(jù)權(quán)利要求3所述的認(rèn)證方法���,其特征在于所述步驟(2)中,所 述認(rèn)證服務(wù)器通過檢驗(yàn)所述個(gè)人識(shí)別碼的哈希值和所述用戶標(biāo)識(shí)符來驗(yàn)證 所述用戶的身份�����。
5. 根據(jù)權(quán)利要求1所述的認(rèn)證方法���,其特征在于所述步驟(3)中�����,所述認(rèn)證服務(wù)器將所述一次性口令和所述會(huì)話標(biāo)識(shí)符進(jìn)行加密和/或編碼后 通過所述有線網(wǎng)絡(luò)發(fā)送給所述用戶��。
6. 根據(jù)權(quán)利要求5所述的認(rèn)證方法�,其特征在于所述認(rèn)證服務(wù)器首先對(duì)所述一次性口令進(jìn)行加密����,然后將加密后的一次性口令和所述會(huì)話標(biāo)識(shí) 符進(jìn)行二維條碼編碼����,再將編碼后的消息通過所述有線網(wǎng)絡(luò)發(fā)送給所述用 戶�。
7. 根據(jù)權(quán)利要求6所述的認(rèn)證方法,其特征在于所述認(rèn)證服務(wù)器采用對(duì)稱密碼算法對(duì)所述一次性口令進(jìn)行加密���,其中的密鑰為所述用戶標(biāo)識(shí) 符����、個(gè)人識(shí)別碼���、會(huì)話標(biāo)識(shí)符三者的哈希值�。
8. 根據(jù)權(quán)利要求6所述的認(rèn)證方法�����,其特征在于所述步驟(4)中�����, 所述用戶對(duì)接收到的消息進(jìn)行二維條碼解碼和解密��,從而獲得所述所述會(huì)話 標(biāo)識(shí)符和所述一次性口令��。
9. 根據(jù)權(quán)利要求8所述的認(rèn)證方法,其特征在于所述用戶首先使用 一個(gè)解碼器對(duì)接收到的消息進(jìn)行二維條碼解碼����,得到所述會(huì)話標(biāo)識(shí)符,再根 據(jù)所述用戶標(biāo)識(shí)符��、個(gè)人識(shí)別碼��、會(huì)話標(biāo)識(shí)符三者的哈希值計(jì)算出所述密鑰���, 最后根據(jù)所述密鑰對(duì)所述一次性口令進(jìn)行解密。
10. 根據(jù)權(quán)利要求5所述的認(rèn)證方法��,其特征在于所述步驟(4)中��,所述用戶將獲得的一次性口令和會(huì)話標(biāo)識(shí)符通過短消息服務(wù)發(fā)送給所述認(rèn) 證服務(wù)器�。
全文摘要
本發(fā)明提出一種認(rèn)證方法,該方法包含以下步驟(1)用戶向一個(gè)認(rèn)證服務(wù)器發(fā)送認(rèn)證請(qǐng)求消息�;(2)認(rèn)證服務(wù)器驗(yàn)證用戶的身份,若為合法用戶則繼續(xù)步驟(3)���;(3)認(rèn)證服務(wù)器生成一個(gè)一次性口令并創(chuàng)建一個(gè)會(huì)話�����,并將一次性口令和標(biāo)志會(huì)話的會(huì)話標(biāo)識(shí)符通過一個(gè)有線網(wǎng)絡(luò)發(fā)送給用戶�;(4)用戶將獲得的一次性口令和會(huì)話標(biāo)識(shí)符通過一個(gè)無線網(wǎng)絡(luò)發(fā)送給認(rèn)證服務(wù)器;(5)認(rèn)證服務(wù)器將所接收的一次性口令和所生成的一次性口令進(jìn)行對(duì)比�����,若兩者相同�,則認(rèn)證成功;否則認(rèn)證失敗�����。和現(xiàn)有技術(shù)中的一次性口令認(rèn)證方法相比�����,本發(fā)明能夠使得認(rèn)證過程更為安全����。
文檔編號(hào)H04L29/06GK101662458SQ20081014695
公開日2010年3月3日 申請(qǐng)日期2008年8月28日 優(yōu)先權(quán)日2008年8月28日
發(fā)明者濤 王, 郭代飛, 隋愛芬 申請(qǐng)人:西門子(中國)有限公司