基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法
【專利摘要】本發(fā)明公開了基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法�����,該方法通過(guò)Windows?GINA或Credential?Provider登錄體系����,將動(dòng)態(tài)口令身份認(rèn)證機(jī)制與Windows密碼認(rèn)證機(jī)制進(jìn)行無(wú)縫集成,形成集成基于挑戰(zhàn)應(yīng)答類型動(dòng)態(tài)口令的動(dòng)態(tài)身份認(rèn)證和基于Windows密碼認(rèn)證的雙因素認(rèn)證�����。本發(fā)明提供的Windows系統(tǒng)雙因素認(rèn)證能夠有效提高Windows系統(tǒng)的安全性��,有效防密碼擴(kuò)散��,抗暴力破解�,抗重放攻擊���,安全可靠����。
【專利說(shuō)明】基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù),具體涉及Windows系統(tǒng)的登陸安全技術(shù)�。
【背景技術(shù)】
[0002]動(dòng)態(tài)口令作為最安全的身份認(rèn)證技術(shù)之一,目前已經(jīng)被越來(lái)越多的行業(yè)所應(yīng)用�����。由于它使用便捷�,且與平臺(tái)無(wú)關(guān)性,隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展��,動(dòng)態(tài)口令技術(shù)已成為身份認(rèn)證技術(shù)的主流��,被廣泛應(yīng)用于企業(yè)����、網(wǎng)游、金融等領(lǐng)域����,國(guó)內(nèi)外從事動(dòng)態(tài)口令相關(guān)研發(fā)和生產(chǎn)的企業(yè)也越來(lái)越多,其優(yōu)勢(shì)在于與各種業(yè)務(wù)系統(tǒng)快速無(wú)縫互操作�,其完全自主研發(fā)的號(hào)令動(dòng)態(tài)口令身份認(rèn)證軟件系統(tǒng)穩(wěn)定、高效����、支持多種認(rèn)證模式�����,其解決方案可以服務(wù)不同規(guī)模企業(yè)���。
[0003]Microsoft Windows,是微軟公司制作和研發(fā)的一套桌面操作系統(tǒng)�����,它問(wèn)世于1985年�,起初僅僅是MS-DOS模擬環(huán)境,后續(xù)的系統(tǒng)版本由于微軟不斷的更新升級(jí)�����,不但易用��,也慢慢的成為家家戶戶人們最喜愛的操作系統(tǒng)�����。
[0004]目前Windows系統(tǒng)用戶認(rèn)證是采用傳統(tǒng)的用戶名和密碼的方式�。系統(tǒng)安全主要依靠靜態(tài)密碼保護(hù),但一般系統(tǒng)管理員不強(qiáng)制使用高強(qiáng)度口令和定期修改系統(tǒng)密碼的規(guī)定���,使得Windows用戶會(huì)選擇一些弱口令(如:123456)��,而且靜態(tài)密碼易于擴(kuò)散和遺忘的等諸多缺點(diǎn)�����,故密碼一旦被不法用戶得到���,可能造成的巨大的損失。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有Windows系統(tǒng)用戶認(rèn)證是采用傳統(tǒng)的用戶名和密碼的方式在安全性方面所存在的問(wèn)題���,本發(fā)明的目的在于提供一種基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法�,有效提升系統(tǒng)的安全性�,確保只有授權(quán)用戶能訪問(wèn)Windows系統(tǒng)。
[0006]為了達(dá)到上述目的���,本發(fā)明采用如下的技術(shù)方案:
[0007]基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法��,所述認(rèn)證方法通過(guò)Windows GINA或Credential Provider登錄體系,將動(dòng)態(tài)口令身份認(rèn)證機(jī)制與Windows密碼認(rèn)證機(jī)制進(jìn)行無(wú)縫集成���,形成集成基于挑戰(zhàn)應(yīng)答類型動(dòng)態(tài)口令的動(dòng)態(tài)身份認(rèn)證和基于Windows密碼認(rèn)證的雙因素認(rèn)證����。
[0008]在本認(rèn)證方法的優(yōu)選實(shí)例中����,所述動(dòng)態(tài)口令身份認(rèn)證機(jī)制通過(guò)Windows系統(tǒng)的認(rèn)證接口嵌入到Windows密碼認(rèn)證機(jī)制中,實(shí)現(xiàn)無(wú)縫集成��。
[0009]進(jìn)一步的��,所述認(rèn)證過(guò)程具體包括如下步驟:
[0010](I)用戶通過(guò)Windows登陸界面輸入Windows密碼�;
[0011](2) Windows系統(tǒng)在接收到輸入的Windows密碼后,將產(chǎn)生挑戰(zhàn)值請(qǐng)求,并傳至認(rèn)證服務(wù)器;
[0012](3)認(rèn)證服務(wù)器在接收到請(qǐng)求后�,在步進(jìn)值范圍內(nèi)根據(jù)計(jì)算規(guī)則生成一個(gè)隨機(jī)挑戰(zhàn)值,通過(guò)網(wǎng)絡(luò)傳遞給相應(yīng)的Windows系統(tǒng)��;
[0013](4) Windows系統(tǒng)接收到該挑戰(zhàn)值后,將通過(guò)Windows登陸界面進(jìn)行顯示�;[0014](5)用戶在硬件令牌端輸入該挑戰(zhàn)值,硬件令牌使用與認(rèn)證服務(wù)器端相同的種子密鑰生成挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令��;
[0015](6)將硬件令牌生成的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令通過(guò)Windows登陸界面輸入����;
[0016](7Mndows系統(tǒng)在接收到挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令后,將對(duì)用戶輸入的Windows密碼進(jìn)行驗(yàn)證,并在驗(yàn)證通過(guò)后將接收到挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令傳至認(rèn)證服務(wù)器�����。
[0017](8)認(rèn)證服務(wù)器使用與硬件令牌里面相同的種子密鑰生成一個(gè)動(dòng)態(tài)口令��,并與硬件令牌生成的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令進(jìn)行比對(duì)�,進(jìn)行認(rèn)證�����;
[0018](9)若動(dòng)態(tài)口令相同���,則認(rèn)證成功����,Windows系統(tǒng)完成登陸��;若動(dòng)態(tài)口令不同則認(rèn)證失敗���,無(wú)法通過(guò)Windows登陸����。
[0019]進(jìn)一步的,所述步驟(2)中挑戰(zhàn)值請(qǐng)求由與認(rèn)證服務(wù)器的會(huì)話密鑰加密后經(jīng)網(wǎng)絡(luò)傳至認(rèn)證服務(wù)器���。
[0020]進(jìn)一步的�,所述步驟(3)中隨機(jī)挑戰(zhàn)值是由認(rèn)證服務(wù)器的隨機(jī)數(shù)發(fā)生器生成的一個(gè)隨機(jī)數(shù)��。
[0021]本發(fā)明提供的方法將基于挑戰(zhàn)應(yīng)答類型動(dòng)態(tài)口令的動(dòng)態(tài)身份認(rèn)證技術(shù)和基于Windows密碼認(rèn)證方式集成在一起形成雙因素認(rèn)證方式���,有效解決現(xiàn)行單一靜態(tài)密碼認(rèn)證方式的不安全因素����,從而提升Windows系統(tǒng)的安全性��,確保只有授權(quán)用戶能訪問(wèn)Windows系統(tǒng)�����,防密碼擴(kuò)散����,抗暴力破解,抗重放攻擊���,安全可靠���。
【專利附圖】
【附圖說(shuō)明】
[0022]以下結(jié)合附圖和【具體實(shí)施方式】來(lái)進(jìn)一步說(shuō)明本發(fā)明����。
[0023]圖1為本發(fā)明進(jìn)行Windows系統(tǒng)雙因素認(rèn)證的流程圖��。
【具體實(shí)施方式】
[0024]為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段����、創(chuàng)作特征�����、達(dá)成目的與功效易于明白了解����,下面結(jié)合具體圖示,進(jìn)一步闡述本發(fā)明�����。
[0025]本發(fā)明通過(guò)Windows GINA或Credential Provider登錄體系,將動(dòng)態(tài)口令身份認(rèn)證機(jī)制與Windows密碼認(rèn)證機(jī)制無(wú)縫集成�,從而實(shí)現(xiàn)集成挑戰(zhàn)應(yīng)答類型動(dòng)態(tài)口令的動(dòng)態(tài)身份認(rèn)證和Windows密碼認(rèn)證的雙因素認(rèn)證方式。
[0026]其中����,動(dòng)態(tài)口令認(rèn)證是在系統(tǒng)級(jí)別上,通過(guò)微軟系統(tǒng)接口嵌入到Windows身份認(rèn)證會(huì)話過(guò)程中�����,從而使動(dòng)態(tài)口令認(rèn)證成為Windows身份認(rèn)證不可或缺的一環(huán)����。
[0027]由此�,用戶在進(jìn)行認(rèn)證時(shí),首先通過(guò)Windows訪問(wèn)登陸界面向認(rèn)證服務(wù)器請(qǐng)求挑戰(zhàn)值�,認(rèn)證服務(wù)器在步進(jìn)值內(nèi)根據(jù)計(jì)算規(guī)則生成一個(gè)隨機(jī)挑戰(zhàn)值,通過(guò)網(wǎng)絡(luò)傳遞給請(qǐng)求用戶��。
[0028]然后用戶在硬件令牌端輸入該挑戰(zhàn)值��,硬件令牌使用與認(rèn)證系統(tǒng)端相同的種子密鑰生成挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令���;
[0029]再者�����,認(rèn)證服務(wù)器使用與硬件令牌里面相同的種子密鑰生成一個(gè)動(dòng)態(tài)口令(如果在動(dòng)態(tài)口令的步進(jìn)值范圍內(nèi)�����,每次生成相同的應(yīng)答值)�����;
[0030]最后���,認(rèn)證服務(wù)器將計(jì)算得到的動(dòng)態(tài)口令與硬件令牌生成的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令進(jìn)行比對(duì)��,進(jìn)行認(rèn)證:若動(dòng)態(tài)口令相同,則認(rèn)證成功�,若動(dòng)態(tài)口令不同則認(rèn)證失敗。[0031]由此����,本方案在具體實(shí)施時(shí),用戶進(jìn)入Windows操作系統(tǒng)登陸界面時(shí)�,要求訪問(wèn)用戶不但要進(jìn)行系統(tǒng)靜態(tài)密碼認(rèn)證,而且要求使用挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令來(lái)認(rèn)證�����,只有用戶通過(guò)Windows靜態(tài)密碼認(rèn)證和動(dòng)態(tài)口令認(rèn)證雙重認(rèn)證機(jī)制的情況下,才可以訪問(wèn)Windows系統(tǒng)����。
[0032]參見圖1,其所示為進(jìn)行Windows系統(tǒng)雙因素認(rèn)證的流程圖��。整個(gè)過(guò)程如下:
[0033](I)用戶首先通過(guò)Windows登陸界面輸入Windows密碼����;
[0034](2) Windows系統(tǒng)在接收到輸入的Windows密碼后���,將觸發(fā)自動(dòng)產(chǎn)生挑戰(zhàn)值請(qǐng)求�,并傳至認(rèn)證服務(wù)器�����;
[0035](3)認(rèn)證服務(wù)器在接收到請(qǐng)求后�,在60S內(nèi)根據(jù)計(jì)算規(guī)則生成一個(gè)隨機(jī)挑戰(zhàn)值,通過(guò)網(wǎng)絡(luò)傳遞給相應(yīng)的Windows系統(tǒng)����;
[0036](4) Windows系統(tǒng)接收到該挑戰(zhàn)值后,將通過(guò)Windows登陸界面進(jìn)行顯示;
[0037](5)用戶60S內(nèi)在所持有的硬件令牌端輸入Windows登陸界面顯示的挑戰(zhàn)值�,硬件令牌使用與認(rèn)證服務(wù)器端相同的種子密鑰生成挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令;
[0038](6)將硬件令牌生成的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令通過(guò)Windows登陸界面輸入����;
[0039](7) Windows系統(tǒng)在接收到挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令后,將對(duì)用戶在步驟(I)輸入的Windows密碼進(jìn)行驗(yàn)證���,若驗(yàn)證不通過(guò)��,則轉(zhuǎn)入步驟(I);若驗(yàn)證通過(guò)���,則將接收到挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令傳至認(rèn)證服務(wù)器����。
[0040](8)認(rèn)證服務(wù)器使用與硬件令牌里面相同的種子密鑰生成一個(gè)動(dòng)態(tài)口令�����,并與硬件令牌生成的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令進(jìn)行比對(duì)��,進(jìn)行認(rèn)證�;這樣即使在60秒內(nèi)此動(dòng)因口令在網(wǎng)絡(luò)傳輸中被惡意截獲��,并向服務(wù)器重發(fā)�,也不會(huì)被服務(wù)器認(rèn)為是重放攻擊。
[0041](9)若動(dòng)態(tài)口令相同�,則認(rèn)證成功,認(rèn)證服務(wù)器向Windows系統(tǒng)發(fā)送認(rèn)證通過(guò)信息�����,Windows系統(tǒng)在接收并核對(duì)該信息后,通過(guò)登陸用戶的身份認(rèn)證����,完成登陸;若動(dòng)態(tài)口令不同�����,則認(rèn)證失敗�,認(rèn)證服務(wù)器向Windows系統(tǒng)發(fā)送認(rèn)證不通過(guò)信息,Windows系統(tǒng)在接收并核對(duì)該信息后�����,將通過(guò)登陸界面顯示認(rèn)證不通過(guò)的信息���,并轉(zhuǎn)入步驟(I)��。
[0042]由上可知�����,通過(guò)本發(fā)明提供的Windows系統(tǒng)雙因素認(rèn)證能夠有效提高Windows系統(tǒng)的安全性��,有效防密碼擴(kuò)散�,抗暴力破解,抗重放攻擊�����,安全可靠�。
[0043]以上顯示和描述了本發(fā)明的基本原理、主要特征和本發(fā)明的優(yōu)點(diǎn)�。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實(shí)施例的限制����,上述實(shí)施例和說(shuō)明書中描述的只是說(shuō)明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下�����,本發(fā)明還會(huì)有各種變化和改進(jìn)���,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定���。
【權(quán)利要求】
1.基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法��,其特征在于���,所述認(rèn)證方法通過(guò)Windows GINA或Credential Provider登錄體系��,將動(dòng)態(tài)口令身份認(rèn)證機(jī)制與Windows密碼認(rèn)證機(jī)制進(jìn)行無(wú)縫集成�,形成集成基于挑戰(zhàn)應(yīng)答類型動(dòng)態(tài)口令的動(dòng)態(tài)身份認(rèn)證和基于Windows密碼認(rèn)證的雙因素認(rèn)證�����。
2.根據(jù)權(quán)利要求1所述的基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法���,其特征在于����,所述動(dòng)態(tài)口令身份認(rèn)證機(jī)制通過(guò)Windows系統(tǒng)的認(rèn)證接口嵌入到Windows密碼認(rèn)證機(jī)制中����,實(shí)現(xiàn)無(wú)縫集成。
3.根據(jù)權(quán)利要求1或2所述的基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法�,其特征在于,所述認(rèn)證過(guò)程具體包括如下步驟: (1)用戶通過(guò)Windows登陸界面輸入Windows密碼�; (2)Windows系統(tǒng)在接收到輸入的Windows密碼后,將產(chǎn)生挑戰(zhàn)值請(qǐng)求,并傳至認(rèn)證服務(wù)器; (3)認(rèn)證服務(wù)器在接收到請(qǐng)求后���,在步進(jìn)值范圍內(nèi)根據(jù)計(jì)算規(guī)則生成一個(gè)隨機(jī)挑戰(zhàn)值����,通過(guò)網(wǎng)絡(luò)傳遞給相應(yīng)的Windows系統(tǒng); (4)Windows系統(tǒng)接收到該挑戰(zhàn)值后,將通過(guò)Windows登陸界面進(jìn)行顯示����; (5)用戶在硬件令牌端輸入該挑戰(zhàn)值,硬件令牌使用與認(rèn)證服務(wù)器端相同的種子密鑰生成挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令��; (6)將硬件令牌生成的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令通過(guò)Windows登陸界面輸入��; (7Mndows系統(tǒng)在接收到挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令后�,將對(duì)用戶輸入的Windows密碼進(jìn)行驗(yàn)證,并在驗(yàn)證通過(guò)后將接收到挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令傳至認(rèn)證服務(wù)器�。 (8)認(rèn)證服務(wù)器使用與硬件令牌里面相同的種子密鑰生成一個(gè)動(dòng)態(tài)口令,并與硬件令牌生成的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令進(jìn)行比對(duì)�����,進(jìn)行認(rèn)證��; (9)若動(dòng)態(tài)口令相同����,則認(rèn)證成功,Windows系統(tǒng)完成登陸�;若動(dòng)態(tài)口令不同則認(rèn)證失敗,無(wú)法通過(guò)Windows登陸��。
4.根據(jù)權(quán)利要求3所述的基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法�����,其特征在于�����,所述步驟(2)中挑戰(zhàn)值請(qǐng)求由與認(rèn)證服務(wù)器的會(huì)話密鑰加密后經(jīng)網(wǎng)絡(luò)傳至認(rèn)證服務(wù)器����。
5.根據(jù)權(quán)利要求3所述的基于挑戰(zhàn)應(yīng)答型動(dòng)態(tài)口令的Windows系統(tǒng)雙因素認(rèn)證方法,其特征在于����,所述步驟(3)中隨機(jī)挑戰(zhàn)值是由認(rèn)證服務(wù)器的隨機(jī)數(shù)發(fā)生器生成的一個(gè)隨機(jī)數(shù)。
【文檔編號(hào)】G06F21/46GK103902880SQ201410126871
【公開日】2014年7月2日 申請(qǐng)日期:2014年3月31日 優(yōu)先權(quán)日:2014年3月31日
【發(fā)明者】胡永剛, 沈勇堅(jiān), 王翔平 申請(qǐng)人:上海動(dòng)聯(lián)信息技術(shù)股份有限公司