專(zhuān)利名稱:基于手機(jī)短信的多因子雙向動(dòng)態(tài)身份認(rèn)證裝置的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及身份認(rèn)證領(lǐng)域��,尤其是一種利用手機(jī)短信進(jìn)行雙向多因子身份認(rèn)證的裝置��。
背景技術(shù):
對(duì)于網(wǎng)絡(luò)信息系統(tǒng)來(lái)說(shuō)���,能否識(shí)別使用者的身份�,是能否確保安全的基礎(chǔ)和關(guān)鍵。身份認(rèn)證是網(wǎng)絡(luò)安全最重要的第一道防線�,是最重要的安全服務(wù),其他的安全服務(wù)都要依賴于它���。黑客攻擊的目標(biāo)往往就是身份認(rèn)證系統(tǒng)�����,一旦身份認(rèn)證系統(tǒng)被攻破�,則系統(tǒng)的所有安全措施將形同虛設(shè)����。隨著電子商務(wù)、電子政務(wù)和移動(dòng)計(jì)算技術(shù)的發(fā)展�����,身份認(rèn)證變得越來(lái)越重要和復(fù)雜���。網(wǎng)絡(luò)信息系統(tǒng)都會(huì)要求使用者在使用系統(tǒng)之前����,提供一些相關(guān)信息用以實(shí)現(xiàn)對(duì)使用者的身份認(rèn)證�。身份認(rèn)證就是證實(shí)用戶的真實(shí)身份與其所聲稱的身份是否相符��,以防止非法用戶通過(guò)身份欺詐訪問(wèn)系統(tǒng)資源的過(guò)程��。目前����,主要的身份認(rèn)證方式大致可分為三類(lèi):(I)只有該主體知道的秘密�����,通常使用“用戶名+ 口令”的形式�����;客戶端將上述信息傳送到認(rèn)證中心�����,認(rèn)證中心從數(shù)據(jù)庫(kù)中查詢相應(yīng)項(xiàng)���,如果和用戶提供的信息相符則認(rèn)證通過(guò)。(2)主體擁有的物品��,如智能卡或USBKey等物理介質(zhì)�;系統(tǒng)合法用戶都持有一個(gè)令牌或智能卡����,其中產(chǎn)生或存儲(chǔ)用戶的個(gè)人化參數(shù)如動(dòng)態(tài)密碼�、電子證書(shū)等。當(dāng)用戶訪問(wèn)資源時(shí)�,通過(guò)物理介質(zhì)中的數(shù)據(jù)將認(rèn)證識(shí)別語(yǔ)發(fā)送給系統(tǒng)。(3)只有該主體具有的獨(dú)一無(wú)二的特征或能力����,如指紋、瞳孔�、聲音等。認(rèn)證方根據(jù)提取被認(rèn)證方的某些特征來(lái)認(rèn)證身份�����,典型的特征如指紋��、虹膜�����,DNA 等�。單獨(dú)采用以上某一種方法進(jìn)行身份認(rèn)證稱為單因子認(rèn)證,單因子認(rèn)證方法具有明顯缺陷:第(I)類(lèi)中“用戶名+·· 口令”的形式其存在著靜態(tài)性����、固定性和長(zhǎng)期使用性而容易受容易受到重放�����、字典�����、網(wǎng)絡(luò)竊聽(tīng)�、篡改以及猜測(cè)等攻擊����,并且難以記憶。第(2)類(lèi)中若智能卡或USBKey等物理介質(zhì)丟失就容易被人冒充���,另外某些物理介質(zhì)需要專(zhuān)用讀卡器,使用上不夠方便并付出很高的采購(gòu)成本和管理成本����。第(3)類(lèi)中生物特征認(rèn)證由于認(rèn)證設(shè)備價(jià)格和技術(shù)等因素,僅適用保密程度很高的場(chǎng)合��,不容易普及���。另外存放生物特征數(shù)據(jù)庫(kù)本身并不具有安全保密性�����,在系統(tǒng)推廣到互聯(lián)網(wǎng)中進(jìn)行身份認(rèn)證時(shí)很容易被竊取和篡改�����,而且生物特征的不可撤銷(xiāo)性�����,一旦泄露便造成災(zāi)難性的后果���。雙因子認(rèn)證就是在單因子身份認(rèn)證的基礎(chǔ)上����,再采用第二種方法進(jìn)行認(rèn)證���,即用戶需要出示第二個(gè)身份�。雙因子認(rèn)證的方法主要有數(shù)字雙因子認(rèn)證����、生物雙因子認(rèn)證如指紋認(rèn)證等�����。數(shù)字雙因子認(rèn)證之一數(shù)字證書(shū)認(rèn)證(PKI+USBKEY)被認(rèn)為目前業(yè)界身份安全認(rèn)證最安全做法�,但由于技術(shù)要求高�����,最終客戶操作要求高以及USBKEY的自然損耗大�,很難得到大量推廣;數(shù)字證書(shū)具有高安全性��,但不方便��、技術(shù)門(mén)檻高���、價(jià)格貴及客戶端的不安全性����,同樣很難得到大量推廣?���,F(xiàn)有雙向雙因子認(rèn)證方法,采用密碼信息和認(rèn)證識(shí)別語(yǔ)對(duì)用戶和服務(wù)器進(jìn)行雙向雙因子認(rèn)證����,這種認(rèn)證方法存在著靜態(tài)性、固定性和長(zhǎng)期使用性而容易受到重放����、字典、網(wǎng)絡(luò)竊聽(tīng)��、篡改以及猜測(cè)等攻擊�。
實(shí)用新型內(nèi)容本實(shí)用新型的目的是提供一種基于手機(jī)短信的多因子雙向動(dòng)態(tài)身份認(rèn)證裝置,以解決現(xiàn)有雙向雙因子認(rèn)證方法存在的容易受到重放���、字典���、網(wǎng)絡(luò)竊聽(tīng)、篡改以及猜測(cè)等攻擊的問(wèn)題����。一種基于手機(jī)短信的多因子雙向動(dòng)態(tài)身份認(rèn)證裝置,包括注冊(cè)用戶��、認(rèn)證服務(wù)器�,所述注冊(cè)用戶通過(guò)互聯(lián)網(wǎng)與認(rèn)證服務(wù)器相連���,所述認(rèn)證服務(wù)器與短信貓相連,所述短信貓通過(guò)移動(dòng)網(wǎng)絡(luò)與手機(jī)終端相連��,所述手機(jī)終端與所述注冊(cè)用戶相連��。認(rèn)證服務(wù)器在一定時(shí)間段內(nèi)注銷(xiāo)動(dòng)態(tài)驗(yàn)證碼�,防止重放攻擊。動(dòng)態(tài)驗(yàn)證碼是由隨機(jī)數(shù)生成系統(tǒng)生成的一次性數(shù)字串��。認(rèn)證識(shí)別語(yǔ)是用戶注冊(cè)時(shí)設(shè)置的自己熟知易記的字符信息�����,可以是一段文字�����、一串?dāng)?shù)字或一組符號(hào)等�。認(rèn)證識(shí)別語(yǔ)通過(guò)GSM、CDMA等移動(dòng)網(wǎng)絡(luò)傳輸����,不在傳統(tǒng)IP網(wǎng)絡(luò)中傳送,從而避免了信息被偵聽(tīng)�、泄漏��。認(rèn)證服務(wù)器安裝有短信平臺(tái)和隨機(jī)數(shù)生成系統(tǒng)等軟件,對(duì)用注冊(cè)用戶提交的信息進(jìn)行認(rèn)證�����;短信平臺(tái)安裝在認(rèn)證服務(wù)器上�;隨機(jī)數(shù)生成系統(tǒng)用于隨機(jī)生成一次性動(dòng)態(tài)驗(yàn)證碼,短信平臺(tái)用于管理發(fā)送短信����,和短信貓配合使用。短信貓是短信收發(fā)必備的中間設(shè)備���,認(rèn)證服務(wù)器將動(dòng)態(tài)驗(yàn)證碼和認(rèn)證識(shí)別語(yǔ)經(jīng)過(guò)短信貓和移動(dòng)網(wǎng)絡(luò)發(fā)送到手機(jī)終端�����,接收注冊(cè)用戶通過(guò)網(wǎng)絡(luò)提交的賬號(hào)����、動(dòng)態(tài)驗(yàn)證碼等信息����,并進(jìn)行認(rèn)證�;所述手機(jī)終端用于接收經(jīng)短信平臺(tái)�����、移動(dòng)網(wǎng)絡(luò)和短信貓發(fā)送的包含動(dòng)態(tài)驗(yàn)證碼和認(rèn)證識(shí)別語(yǔ)的短信����;注冊(cè)用戶是驗(yàn)證手機(jī)上收到的認(rèn)證識(shí)別語(yǔ)的正確性,對(duì)認(rèn)證服務(wù)器進(jìn)行認(rèn)證���。注冊(cè)用戶在認(rèn)證服務(wù)器上注冊(cè)了賬號(hào)(包括用戶名和密碼)���、認(rèn)證識(shí)別語(yǔ)和手機(jī)號(hào)碼等息。
短信貓�����,是一種工業(yè)級(jí)GSM MODEM����,通過(guò)串口與計(jì)算機(jī)連接,可以通過(guò)AT指令控制進(jìn)行短信收發(fā)的設(shè)備�����;短信平臺(tái)采用北京諾亞迅達(dá)科技有限公司的短信管理系統(tǒng),可以進(jìn)行二次開(kāi)發(fā)���;移動(dòng)網(wǎng)絡(luò)是指GSM�����、GPRS、EDGE或CDMA無(wú)線數(shù)據(jù)通訊網(wǎng)絡(luò)的任意一種或組合�;手機(jī)終端是能收發(fā)短信的普通手機(jī),無(wú)需安裝任何軟件��。手機(jī)目前已經(jīng)成為生活的必需品�����,短信使用更加頻繁���。本裝置提高了身份認(rèn)證的可靠性和安全性�,保障了網(wǎng)絡(luò)信息的安全�����。該裝置具有以下特點(diǎn):1.抗重放攻擊�。動(dòng)態(tài)驗(yàn)證碼是變化的一次性口令,此口令在一定時(shí)間段內(nèi)自動(dòng)注銷(xiāo)�,服務(wù)器端口沒(méi)有保留口令�����,即使攻擊者通過(guò)竊聽(tīng)得到了此驗(yàn)證碼��,也無(wú)法用于下一次認(rèn)證�����,使得攻擊者很難進(jìn)行重放����。2.防偵聽(tīng)、泄漏�����。用戶認(rèn)證識(shí)別語(yǔ)通過(guò)GSM��、CDMA等移動(dòng)網(wǎng)絡(luò)傳輸�,不在傳統(tǒng)IP網(wǎng)絡(luò)中傳送,從而避免了信息被偵聽(tīng)�����、泄漏。
3.完整性����。實(shí)現(xiàn)了客戶端與認(rèn)證服務(wù)器端之間的雙向認(rèn)證。4.易于普及推廣��,本裝置沒(méi)有設(shè)備兼容的問(wèn)題�����,價(jià)格低廉����、實(shí)用性強(qiáng)��、使用方便�����,管理維護(hù)成本低�����,易于普及推廣��。本實(shí)用新型將通信技術(shù)和網(wǎng)絡(luò)技術(shù)有機(jī)地結(jié)合起來(lái),提出一種基于手機(jī)短信的動(dòng)態(tài)驗(yàn)證碼�����、認(rèn)證識(shí)別語(yǔ)和網(wǎng)絡(luò)口令的多因子雙向動(dòng)態(tài)身份認(rèn)證方法���,在賬號(hào)驗(yàn)證��、動(dòng)態(tài)驗(yàn)證碼驗(yàn)證和認(rèn)證識(shí)別語(yǔ)驗(yàn)證都成功時(shí)�����,雙向認(rèn)證成功��。該認(rèn)證方法一方面可以提供服務(wù)器對(duì)用戶的認(rèn)證��,另一方面可以提供用戶對(duì)服務(wù)器的認(rèn)證���,實(shí)現(xiàn)了客戶端和認(rèn)證服務(wù)器的雙向認(rèn)證。進(jìn)一步增強(qiáng)了客戶端和服務(wù)器端雙向身份認(rèn)證的強(qiáng)度�。該認(rèn)證方法不改變現(xiàn)有系統(tǒng)的整體架構(gòu),符合用戶的使用習(xí)慣��。
圖1為一種基于手機(jī)短信的多因子雙向動(dòng)態(tài)身份認(rèn)證裝置的結(jié)構(gòu)示意圖;圖2為一種基于手機(jī)短信的多因子雙向動(dòng)態(tài)身份認(rèn)證方法的流程圖����。
具體實(shí)施方式
下面的實(shí)施例可以進(jìn)一步說(shuō)明本實(shí)用新型,但不以任何方式限制本實(shí)用新型��。一種基于手機(jī)短信的多因子雙向動(dòng)態(tài)身份認(rèn)證裝置���,包括注冊(cè)用戶3�����、認(rèn)證服務(wù)器2�,所述注冊(cè)用戶3通過(guò)互聯(lián)網(wǎng)I與認(rèn)證服務(wù)器2相連���,所述認(rèn)證服務(wù)器2與短信貓4相連,所述短信貓4通過(guò)移動(dòng)網(wǎng)絡(luò)6與手機(jī)終端5相連�,所述手機(jī)終端5與所述注冊(cè)用戶3相連。該多因子雙向動(dòng)態(tài)身份認(rèn)證裝置認(rèn)證步驟如下:步驟100:認(rèn)證開(kāi)始�����,注冊(cè)用戶3通過(guò)互聯(lián)網(wǎng)I提交賬號(hào)信息到認(rèn)證服務(wù)器2�����。步驟101:認(rèn)證服務(wù)器2對(duì)注冊(cè)用戶3提交的賬號(hào)信息驗(yàn)證是否成功,是���,轉(zhuǎn)到步驟102��,否�����,轉(zhuǎn)到步驟111��。步驟102:認(rèn)證服務(wù)器2對(duì)注冊(cè)用戶3第一次認(rèn)證成功�����。
步驟103:認(rèn)證服務(wù)器2上的隨機(jī)數(shù)生成系統(tǒng)產(chǎn)生一次性動(dòng)態(tài)驗(yàn)證碼�����。步驟104:認(rèn)證服務(wù)器2自動(dòng)將動(dòng)態(tài)驗(yàn)證碼和認(rèn)證識(shí)別語(yǔ)通過(guò)短信平臺(tái)�����、短信貓4����、移動(dòng)網(wǎng)絡(luò)6發(fā)送至注冊(cè)用戶的手機(jī)終端5。步驟105:認(rèn)證服務(wù)器2在一定時(shí)間段內(nèi)注銷(xiāo)動(dòng)態(tài)驗(yàn)證碼����,防止重放攻擊。步驟106:注冊(cè)用戶3驗(yàn)證手機(jī)終端5接收到的認(rèn)證識(shí)別語(yǔ)是否成功��,是�����,轉(zhuǎn)到步驟107���,否�,轉(zhuǎn)到步驟111����。步驟107:注冊(cè)用戶3對(duì)認(rèn)證服務(wù)器2的認(rèn)證成功�����。步驟108:注冊(cè)用戶3向認(rèn)證服務(wù)器2提交手機(jī)終端5接收到的動(dòng)態(tài)驗(yàn)證碼�����。步驟109:認(rèn)證服務(wù)器2對(duì)動(dòng)態(tài)驗(yàn)證碼驗(yàn)證是否成功,是,轉(zhuǎn)到步驟110,否,轉(zhuǎn)到步驟 112.[0032]步驟110:認(rèn)證服務(wù)器2對(duì)注冊(cè)用戶3第二次認(rèn)證成功����。步驟111:認(rèn)證失敗,轉(zhuǎn)到步驟100,重新開(kāi)始認(rèn)證。步驟112:認(rèn)證失敗,轉(zhuǎn)到步驟100,重新開(kāi)始認(rèn)證���。步驟113:注冊(cè)用戶3對(duì)認(rèn)證服務(wù)器2和認(rèn)證服務(wù)器2對(duì)注冊(cè)用戶3認(rèn)證都成功時(shí)���,雙向認(rèn)證成功,認(rèn)證結(jié)束�。
權(quán)利要求1.一種基于手機(jī)短信的多因子雙向動(dòng)態(tài)身份認(rèn)證裝置���,包括注冊(cè)用戶���、認(rèn)證服務(wù)器,所述注冊(cè)用戶通過(guò)互聯(lián)網(wǎng)與認(rèn)證服務(wù)器相連��,其特征在于:所述認(rèn)證服務(wù)器(2)與短信貓(4)相連����,所述短信貓(4)通過(guò)移動(dòng)網(wǎng)絡(luò)(6)與手機(jī)終端(5)相連�����,所述手機(jī)終端(5)與所述注冊(cè)用戶(3)相 連。
專(zhuān)利摘要本實(shí)用新型公開(kāi)了一種基于手機(jī)短信的多因子雙向動(dòng)態(tài)身份認(rèn)證裝置�,以解決現(xiàn)有雙向雙因子認(rèn)證方法存在的容易受到重放���、字典��、網(wǎng)絡(luò)竊聽(tīng)��、篡改以及猜測(cè)等攻擊的問(wèn)題����。該認(rèn)證裝置包括注冊(cè)用戶����、認(rèn)證服務(wù)器�,所述注冊(cè)用戶通過(guò)互聯(lián)網(wǎng)與認(rèn)證服務(wù)器相連�,所述認(rèn)證服務(wù)器與短信貓相連�����,所述短信貓通過(guò)移動(dòng)網(wǎng)絡(luò)與手機(jī)終端相連�����,所述手機(jī)終端與所述注冊(cè)用戶相連�����。該認(rèn)證方法是注冊(cè)用戶對(duì)認(rèn)證服務(wù)器和認(rèn)證服務(wù)器對(duì)注冊(cè)用戶都認(rèn)證成功時(shí)�,則雙向認(rèn)證成功�����,認(rèn)證結(jié)束。該認(rèn)證裝置一方面可以提供服務(wù)器對(duì)用戶的認(rèn)證����,另一方面可以提供用戶對(duì)服務(wù)器的認(rèn)證�����,實(shí)現(xiàn)了客戶端和認(rèn)證服務(wù)器的雙向認(rèn)證。進(jìn)一步增強(qiáng)了客戶端和服務(wù)器端雙向身份認(rèn)證的強(qiáng)度�����。
文檔編號(hào)H04W12/06GK203120164SQ201320012110
公開(kāi)日2013年8月7日 申請(qǐng)日期2013年1月10日 優(yōu)先權(quán)日2013年1月10日
發(fā)明者楊生舉, 施韶亭 申請(qǐng)人:甘肅省科學(xué)技術(shù)情報(bào)研究所