專利名稱:一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)和方法
技術領域:
本發(fā)明屬于電子身份認證的技術領域�,具體涉及一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)和方法�。
背景技術:
隨著信息技術的不斷發(fā)展,各種電子信息系統(tǒng)在人們的生活�����、學習和工作中得到了廣泛的應用���,例如電子郵件系統(tǒng)����、即時消息系統(tǒng)、電子商務系統(tǒng)����、網絡游戲系統(tǒng)、網絡銀行系統(tǒng)等等�����?;诎踩退矫苄缘囊?�,目前大多數電子信息系統(tǒng)均需要針對用戶進行身份認證���。目前���,使用最為普遍的是用戶名加密碼的認證方式。由用戶設定并保管自己的密碼信息�,在訪問電子信息系統(tǒng)時提交該密碼進行身份認證。
由于盜號木馬等惡意軟件的大肆傳染��,如何有效的保護用戶名和口令不被盜竊,成為所有因特網用戶保護帳號及其關聯的金融財產和虛擬財產的急需解決的問題��。傳統(tǒng)的基于客戶端木馬査殺的技術��,只能針對已知的惡意軟件針對性的查殺��,效果極其有限�����?��;趧討B(tài)口令卡的系統(tǒng)���,具有成本高、物理實施困難�、口令卡丟失、攜帶不便等諸多問題�����。
發(fā)明內容
針對現有技術中存在的問題�,本發(fā)明的目的在于提供一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)和方法,在傳統(tǒng)的用戶名加用戶口令的保護方法上����,增加了通過位置關聯來提出挑戰(zhàn)問題的方式���,來增強口令保護的強度,即使用戶口令�、挑戰(zhàn)問題和答案被竊取了,還能照樣防止盜號��。所述的一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)����,其特征在于包括相互配合連接的客戶端、挑戰(zhàn)機和服務器�,客戶端中配合設置登錄子系統(tǒng)模塊,挑戰(zhàn)機中配合設置每個用戶獨立的用戶挑戰(zhàn)問題庫�����、位置檢測與問題選擇模塊����,位置檢測與問題選擇模塊中配合設置令牌校驗問題檢査模塊�����,服務器中配合設置問題檢査和口令校驗模塊、用戶名���、用戶口令庫���,問題檢查和口令校驗模塊中配合設置令牌校驗問題檢查模塊。
所述的一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)�,其特征在于所述的登錄子系統(tǒng)模塊分別連接設置用戶挑戰(zhàn)問題庫、位置檢測與問題選擇模塊�����、問題檢查和口令校驗模塊��,問題檢查和口令校驗模塊連接用戶名���、用戶口令庫��,令牌校驗問題檢査模塊與令牌校驗問題檢查模塊連接設置�。
所述的一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)���,其特征在于所述的挑戰(zhàn)機設置在服務器內����,同時去掉令牌校驗問題檢查模塊、令牌校驗問題檢查模塊�����。
一種基于位置關聯問題挑戰(zhàn)的賬號口令保護方法����,其特征在于包括問題設置階段和問題挑戰(zhàn)階段,問題設置的方法如下
1) 客戶端�����、服務器和挑戰(zhàn)機進行初始化并啟動�����;
2) 用戶登錄子系統(tǒng)模塊�����,顯示登錄界面���,用戶輸入用戶名和用戶口令,服務器���、挑戰(zhàn)機接收登錄命令�����,獲取用戶名和用戶口令�����,并校驗用戶口令�,若校驗失敗,則直接結束退出�,若校驗成功則執(zhí)行下一步;
3) 用戶口令校驗成功后�����,返回系統(tǒng)定義的通用缺省問題�,并發(fā)送給客戶端,客戶端上顯示系統(tǒng)的通用缺省問題���,用戶選擇問題或增加自己的問題����,并對每個問題給出答案,提交選擇的問題及其答案后結束���;
4) 服務器和挑戰(zhàn)機接收并存儲用戶名和該用戶名的所有問題及其答案后結束����;
問題挑戰(zhàn)的方法如下
1) 客戶端�、服務器和挑戰(zhàn)機進行初始化并啟動;
2) 用戶登錄子系統(tǒng)模塊����,顯示登錄界面,用戶輸入用戶名和用戶口令����,服務器、挑戰(zhàn)機接收登錄命令并獲取用戶名�,若失敗則直接結束退出,若獲取成功則執(zhí)行下一步���;
3) 根據用戶登錄的IP地址����,挑戰(zhàn)機按照算法�,動態(tài)選擇一個挑戰(zhàn)問題,并發(fā)送給客戶端���;
4) 客戶端顯示系統(tǒng)選擇的挑戰(zhàn)問題����,用戶給出答案���,并向服務器和挑戰(zhàn)機提交用戶名���、用戶口令、挑戰(zhàn)問題及其答案�����;
5) 服務器和挑戰(zhàn)機接收用戶名�、用戶口令、挑戰(zhàn)問題及其答案����,然后校驗挑戰(zhàn)問題的答案,若正確則容許客戶端登錄服務器���,若校驗錯誤則結束退出���。
所述的一種基于位置關聯問題挑戰(zhàn)的賬號口令保護方法����,其特征在于問題挑戰(zhàn)步驟3)中所述的根據用戶登錄的IP地址�����,挑戰(zhàn)機(1)按照算法�����,動態(tài)選擇一個挑戰(zhàn)問題�����,算法如下
1) 如果當前連接的IP已經和一個問題關聯�,直接返回該問題
2) 如果當前連接的IP是一個新IP,判斷是否有未關連工P的問題��,如果有�,則返回該問題
3) 如果當前連接的IP是一個新IP,判斷已經關連了問題的最接近的IP����,計算IP接近�,如果IP鄰近程度小于指定門限��,則返回最鄰近IP關聯的問題�;根據IP選擇挑戰(zhàn)問題的另一解決方案�����,是基于IP數據庫來查詢��,根據不同的IP歸屬來關聯�。
本發(fā)明在傳統(tǒng)的用戶名加用戶口令的保護方法上,增加了通過位置關聯提出挑戰(zhàn)問題的方式�����,基于IP位置關聯的算法���,動態(tài)選擇挑戰(zhàn)問題�����,完全解決黑客在客戶端盜竊用戶口令的問題��,讓黑客難以獲取到口令�,即使獲取了用戶口令,也沒有挑戰(zhàn)問題的信息���,使獲取到的用戶口令無效��,來增強口令保護的強度���。
圖1為本發(fā)明的系統(tǒng)結構示意圖2為本發(fā)明另一種實施方式的系統(tǒng)結構示意圖3為本發(fā)明問題設置階段的流程圖4問本發(fā)明問題挑戰(zhàn)階段的流程圖。
圖中l(wèi)-挑戰(zhàn)機����,2-用戶挑戰(zhàn)問題庫,3-位置檢測與問題選擇模塊���,4��、 4a-令牌校驗問題檢査模塊����,5-服務器�,6-用戶名、用戶口令庫�����,7-問題檢查和口令校驗模塊,8-登錄子系統(tǒng)模塊����,9-客戶端。
具體實施例方式
以下結合附圖對本發(fā)明做進一步的說明�����。
一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)�����,包括相互配合連接的客戶端9�����、挑戰(zhàn)機1和服務器5����,客戶端9中配合設置登錄子系統(tǒng)模塊8��,挑戰(zhàn)機1中配合設置每個用戶獨立的用戶挑戰(zhàn)問題庫2�����、位置檢測與問題選擇模塊3,位置檢測與問題選擇模塊3中配合設置令牌校驗問題檢査模塊4��,服務器5中配合設置問題檢查和口令校驗模塊7���、用戶名�、用戶口令庫6���,問題檢査和口令校驗模塊7中配合設置令牌校驗問題檢查模塊�����,此種模式為客戶端-挑戰(zhàn)機-服務器模式�。系統(tǒng)也可以把挑戰(zhàn)機1設置在服務器5內��,使服務器5同時具備挑戰(zhàn)機的功能�����,并去掉令牌校驗問題檢查模塊4�、令牌校驗問題檢查模塊4a,此種模式為客戶端-服務器模式���。登錄子系統(tǒng)模塊8分別連接設置用戶挑戰(zhàn)問題庫2�、位置檢測與問題選擇模
塊3、問題檢查和口令校驗模塊7���,問題檢查和口令校驗模塊7連接用戶名���、用戶口令庫6,校驗問題檢查模塊4與校驗問題檢査模塊4a連接設置���。
一種基于位置關聯問題挑戰(zhàn)的賬號口令保護方法��,包括問題設置階段和問題挑戰(zhàn)階段��。
首先進行問題設置,如果是在客戶端-服務器模式下�����,用戶登錄服務器����,如
果是在客戶端-挑戰(zhàn)機-服務器模式下,用戶登錄挑戰(zhàn)機�。問題設置的流程如下
1) 客戶端9、服務器5和挑戰(zhàn)機1進行初始化并啟動�����;
2) 用戶登錄子系統(tǒng)模塊8,顯示登錄界面,用戶輸入用戶名和用戶口令����,服務器5、挑戰(zhàn)機l接收登錄命令�����,獲取用戶名和用戶口令��,并校驗用戶口令���,若校驗失敗�,則直接結束退出�,若校驗成功則執(zhí)行下一步;
3) 用戶口令校驗成功后����,返回系統(tǒng)定義的通用缺省問題,并發(fā)送給客戶端9����,客戶端9上顯示系統(tǒng)的通用缺省問題���,用戶選擇問題或增加自己的問題,并對每個問題給出答案�����,提交選擇的問題及其答案后結束�����;
4) 服務器5和挑戰(zhàn)機1接收并存儲用戶名和該用戶名的所有問題及其答案后結束�。
用戶選擇并回答服務器預給定義的通用缺省問題,或設置自定義的問題并給出答案�����,然后將信息保存到用戶挑戰(zhàn)問題庫中��。比如
問1:我的籍貫�;答l:四川;
問2:我的姓�����;答2:李�;
問3:我媽媽的姓答3:王�����;
問4:我出生年月答4:7607;
然后進行問題挑戰(zhàn),如果是在客戶端-服務器模式下,用戶登錄服務器�����,如果是在客戶端-挑戰(zhàn)機-服務器模式下���,用戶登錄挑戰(zhàn)機���。問題挑戰(zhàn)的流程如下.1)客戶端9、服務器5和挑戰(zhàn)機1進行初始化并啟動�;
2) 用戶登錄子系統(tǒng)模塊8,顯示登錄界面���,用戶輸入用戶名和用戶口令����,服務器5���、挑戰(zhàn)機l接收登錄命令并獲取用戶名�����,若失敗則直接結束退出�,若獲取成功則執(zhí)行下一步;
3) 根據用戶登錄的IP地址�����,挑戰(zhàn)機l按照算法,動態(tài)選擇一個挑戰(zhàn)問題����,
并發(fā)送給客戶端9;
4) 客戶端9顯示系統(tǒng)選擇的挑戰(zhàn)問題�,用戶給出答案��,并向服務器5和挑戰(zhàn)機l提交用戶名����、用戶口令�、挑戰(zhàn)問題及其答案��;
5) 服務器5接收用戶名�、用戶口令、挑戰(zhàn)問題及其答案���,然后校驗用戶口令�����,如果口令校驗不成功則直接結束退出。如果口令校驗成功,客戶端-服務器模式下在服務器校驗挑戰(zhàn)問題的答案;客戶端-挑戰(zhàn)機-服務器模式下,服務器連同令牌發(fā)送給挑戰(zhàn)機校驗挑戰(zhàn)問題的答案���,若正確則容許客戶端登錄服務器��,若校驗錯誤則結束退出���。
服務器檢測到客戶端的IP地址����,然后按照如下算法選擇挑戰(zhàn)問題�,關聯位置和問題
1) 如果當前連接的IP已經和一個問題關聯�,直接返回該問題���;
2) 如果當前連接的IP是一個新IP,判斷是否有未關連IP的問題�����,如果有,則返回該問題�����;
3) 如果當前連接的IP是一個新IP��,判斷已經關連了問題的最接近的IP��。計算IP接近算法為如果IP鄰近程度小于指定門限,則返回最鄰近IP關聯的問題�;根據IP選擇挑戰(zhàn)問題,另一解決方案�,是基于IP數據庫來查詢�����,根據不同的IP歸屬來關聯��。如果用戶使用的是客戶端-挑戰(zhàn)機-服務器模式���,則會同時產生一基于時間和隨機數并用私鑰加密的令牌,防止客戶端偽造已知問題及其答案��,保證問題和位置的必然相關性���。如果用戶使用的是客戶端-服務器模式�����,則不會產生令牌���。
在用戶名���、用戶口令、挑戰(zhàn)問題及其答案校驗時���,如果用戶使用的是客戶端-服務器模式����,則直接在用戶問題挑戰(zhàn)庫中校驗問題和答案���,如果是在客戶端-挑戰(zhàn)機-服務器模式下,則連同令牌��,挑戰(zhàn)問題和答案一起發(fā)送到挑戰(zhàn)機中校驗是否正確�����。
以下通過舉例說明本系統(tǒng)和方法防盜保護的實現方式。
1. 用戶在A地(比如上海)����,登錄被本發(fā)明任何一種模式的系統(tǒng)��,輸入了用戶名��,用戶口令�,被系統(tǒng)按照位置選擇的挑戰(zhàn)問題并回答給出答案����。
比如用戶名Vip2009
用戶口令mypassword3333$$挑戰(zhàn)問題我自己名字的拼音是什么����?答案 goodboy
2. 黑客在客戶機器上通過木馬等任何惡意軟件攔截到了口令,或者通過網絡攔截或者網絡嗅探盜取到了相關數據��。
3. 黑客在B地(比如北京)�,用獲取到的相關信息���,嘗試登錄系統(tǒng)。系統(tǒng)通過IP關聯����,動態(tài)的選擇一個挑戰(zhàn)問題,比如
挑戰(zhàn)問題我最喜歡的科學家是誰����?
答案 �? ����?(從來沒有竊取到過該挑戰(zhàn)問題的答案)
由于正常用戶登錄的IP與黑客登錄的IP地址不同,按照IP位置范圍選擇算法�,黑客登錄后出現的挑戰(zhàn)問題與攔截到的問題不一樣,而且從來沒有提示過這個問題����,所以,黑客沒有機會竊取到這個信息���。因此即使有了正確的用戶名,用戶口令�,但按照位置關聯規(guī)則,沒法獲取在北京出現的挑戰(zhàn)問題和答案����,所以黑客很難在用戶在北京上網的時候,也能同時獲取到用戶口令����。
本發(fā)明的思想,是在傳統(tǒng)的用戶名加口令的保護方法上,增加了通過位置關聯來提出挑戰(zhàn)問題的方式�����,來增強口令保護的強度�����。需要安全認證的用戶�����,先在系統(tǒng)的客戶端選擇和設定挑戰(zhàn)問題及其答案��,然后保存到服務器端����。當用戶需要登錄的時候,服務器根據客戶端連接的工P地址��,這個完全可信可靠的無法偽造的互聯網通訊地址信息���,根據本發(fā)明描述的位置相關問題選擇算法�,動態(tài)的選擇一個挑戰(zhàn)問題���,讓用戶回答��,口令是根據物理位置而動態(tài)變化的一部分��。作為黑客��,通過任何黑客手段��,在用戶登錄的甲地�,可以竊取到用戶名和用戶口令,挑戰(zhàn)問題及其答案�����,但黑客在任何其他的地方�,用戶名和用戶口令即使有效,但系統(tǒng)根據其物理位置�,動態(tài)的選擇了其他的挑戰(zhàn)問題,黑客就不能給出正確的答案�,而無法進入系統(tǒng)��,更有效的達到了安全保護效果��。
權利要求
1.一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)���,其特征在于包括相互配合連接的客戶端(9)���、挑戰(zhàn)機(1)和服務器(5)����,客戶端(9)中配合設置登錄子系統(tǒng)模塊(8)�,挑戰(zhàn)機(1)中配合設置每個用戶獨立的用戶挑戰(zhàn)問題庫(2)、位置檢測與問題選擇模塊(3)�����,位置檢測與問題選擇模塊(3)中配合設置令牌校驗問題檢查模塊(4)���,服務器(5)中配合設置問題檢查和口令校驗模塊(7)����、用戶名��、用戶口令庫(6)�,問題檢查和口令校驗模塊(7)中配合設置令牌校驗問題檢查模塊(4a)。
2. 如權利要求1所述的一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)��, 其特征在于所述的登錄子系統(tǒng)模塊(8)分別連接用戶挑戰(zhàn)問題庫(2)��、位置檢 測與問題選擇模塊(3)、問題檢査和口令校驗模塊(7)�,問題檢查和口令校驗 模塊(7)連接用戶名、用戶口令庫(6)�����,令牌校驗問題檢查模塊(4)與令牌 校驗問題檢查模塊(4a)連接�。
3. 如權利要求1所述的一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng), 其特征在于所述的挑戰(zhàn)機(1)設置在服務器(5)內�,同時去掉令牌校驗問題 檢查模塊(4)、令牌校驗問題檢査模塊(4a)�����。
4. 一種基于位置關聯問題挑戰(zhàn)的賬號口令保護方法��,其特征在于包括問題 設置階段和問題挑戰(zhàn)階段����,問題設置的方法如下1) 客戶端(9)、服務器(5)和挑戰(zhàn)機(1)進行初始化并啟動���;2) 用戶登錄子系統(tǒng)模塊(8),顯示登錄界面����,用戶輸入用戶名和用戶口令�, 服務器(5)���、挑戰(zhàn)機(1)接收登錄命令�,獲取用戶名和用戶口令��,并校驗用戶 口令�����,若校驗失敗����,則直接結束退出,若校驗成功則執(zhí)行下一步�;3) 用戶口令校驗成功后���,返回系統(tǒng)定義的通用缺省問題,并發(fā)送給客戶端(9)�,客戶端(9)上顯示系統(tǒng)的通用缺省問題�,用戶選擇問題或增加自己的問題����,并對每個問題給出答案�,提交選擇的問題及其答案后結束�����;4)服務器(5)和挑戰(zhàn)機(1)接收并存儲用戶名和該用戶名的所有問題及其答案后結束���;問題挑戰(zhàn)的方法如下1) 客戶端(9)��、服務器(5)和挑戰(zhàn)機(1)進行初始化并啟動����;2) 用戶登錄子系統(tǒng)模塊(8)��,顯示登錄界面,用戶輸入用戶名和用戶口令�����, 服務器(5)�����、挑戰(zhàn)機(1)接收登錄命令并獲取用戶名,若失敗則直接結束退出�����, 若獲取成功則執(zhí)行下一步;3) 根據用戶登錄的IP地址��,挑戰(zhàn)機(1)按照算法,動態(tài)選擇一個挑戰(zhàn)問 題�,并發(fā)送給客戶端(9);4) 客戶端(9)顯示系統(tǒng)選擇的挑戰(zhàn)問題�,用戶給出答案,并向服務器(5) 和挑戰(zhàn)機(1)提交用戶名��、用戶口令���、挑戰(zhàn)問題及其答案;5) 服務器(5)和挑戰(zhàn)機(1)接收用戶名����、用戶口令����、挑戰(zhàn)問題及其答案�����, 然后校驗挑戰(zhàn)問題的答案����,若正確則容許客戶端登錄服務器,若校驗錯誤則結 束退出�。
5.如權利要求4所述的一種基于位置關聯問題挑戰(zhàn)的賬號口令保護方法�����, 其特征在于問題挑戰(zhàn)步驟3)中所述的根據用戶登錄的IP地址��,挑戰(zhàn)機(1)按 照算法,動態(tài)選擇一個挑戰(zhàn)問題�����,算法如下1) 如果當前連接的IP已經和一個問題關聯����,直接返回該問題;2) 如果當前連接的IP是一個新IP���,判斷是否有未關連IP的問題,如果有�����, 則返回該問題�����;3) 如果當前連接的IP是一個新IP��,判斷已經關連了問題的最接近的IP,計算IP接近��,如果IP鄰近程度小于指定門限,則返回最鄰近IP關聯的問題; 根據IP選擇挑戰(zhàn)問題的另一解決方案��,是基于IP數據庫來查詢,根據不同的 IP歸屬來關聯�。
全文摘要
一種基于位置關聯問題挑戰(zhàn)的賬號口令保護系統(tǒng)和方法,屬于電子身份認證的技術領域���。包括相互配合連接的客戶端����、挑戰(zhàn)機和服務器�����,客戶端中配合設置子系統(tǒng)模塊,挑戰(zhàn)機中配合設置用戶挑戰(zhàn)問題庫��、位置檢測與問題選擇模塊,位置檢測與問題選擇模塊中配合設置令牌校驗問題檢查模塊�����,服務器中配合設置問題檢查和口令校驗模塊、用戶名��、用戶口令庫,問題檢查和口令校驗模塊中配合設置令牌校驗問題檢查模塊����。方法包括問題設置階段和問題挑戰(zhàn)階段����。本發(fā)明在傳統(tǒng)的用戶名加用戶口令的保護方法上,增加了通過位置關聯來提出挑戰(zhàn)問題的方式�,基于IP位置關聯的算法,動態(tài)選擇挑戰(zhàn)問題�����,完全解決黑客在客戶端盜竊用戶口令的問題����,讓黑客難以獲取到口令��。
文檔編號H04L9/32GK101582766SQ20091009859
公開日2009年11月18日 申請日期2009年5月18日 優(yōu)先權日2009年5月18日
發(fā)明者李麗平 申請人:李麗平