專利名稱:動(dòng)態(tài)口令生成方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種身份認(rèn)證類產(chǎn)品����,特別是應(yīng)用系統(tǒng)的用戶動(dòng)態(tài)口令生成方法,它可以防止相應(yīng)應(yīng)用系統(tǒng)的用戶口令被盜用��、被猜測(cè)�、被截取、被竊聽等安全隱患�����。
背景技術(shù):
隨著網(wǎng)絡(luò)的飛速發(fā)展�,網(wǎng)絡(luò)已經(jīng)深入到我們的生活中,全球信息化已成為人類發(fā)展的大趨勢(shì)��。對(duì)于國(guó)家來說�����,信息是社會(huì)發(fā)展的重要戰(zhàn)略資源。而對(duì)于企業(yè)來說����,聯(lián)網(wǎng)信息和應(yīng)用則是實(shí)現(xiàn)生產(chǎn)率和競(jìng)爭(zhēng)優(yōu)勢(shì)最大化的關(guān)鍵所在�。但是,在充分利用網(wǎng)絡(luò)共享信息資源的同時(shí)���,也意味著向員工���、承包商、業(yè)務(wù)伙伴和客戶開放了您的網(wǎng)絡(luò)���。
近幾年來�,世界各國(guó)有關(guān)計(jì)算機(jī)與信息的犯罪案件正在呈上升的趨勢(shì)��。根據(jù)國(guó)外CERT(Computer Emergency Response Team)的調(diào)查報(bào)告����,2001年發(fā)生的網(wǎng)絡(luò)安全事故幾乎比萬用戶資料被盜,要求用戶立即修改密碼���,其損失約850萬元����。從2001年9月下旬到10月12日,北京各大報(bào)紙的頭版頭條多次報(bào)道股民股票賬戶被惡意操縱事件��,股民累計(jì)損失達(dá)126.56萬元�。2001年11月,我國(guó)江西省上饒市公安局破獲了一起電腦黑客襲擊證券公司案件����。犯罪嫌疑人鄔某在不到兩個(gè)月的時(shí)間里,破解了申銀萬國(guó)上饒營(yíng)業(yè)部的78個(gè)股民賬號(hào)交易密碼�,共產(chǎn)生非法交易額530多萬元。
我國(guó)所建的信息系統(tǒng)防護(hù)能力很差��,許多應(yīng)用系統(tǒng)處于低設(shè)防甚至不設(shè)防狀態(tài)�,完全受制于人。無論是局域網(wǎng)還是廣域網(wǎng)�,都存在著自然和人為等諸多安全隱患。綜觀現(xiàn)在的形形色色的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)�,最常見而簡(jiǎn)單的訪問控制方法是通過檢驗(yàn)輸入的用戶帳號(hào)、口令是否與數(shù)據(jù)庫(kù)中存放的值匹配來確認(rèn)用戶的真實(shí)性���。用戶在沒有更改口令時(shí)����,口令是靜止不變的,即所謂的“靜態(tài)口令”���,而調(diào)查表明���,有60%的系統(tǒng)被攻擊和突破的地方首先是這種靜態(tài)口令。許多最具危害性的犯罪都擁有共同的特點(diǎn)即繞過口令保護(hù)以獲取對(duì)信息或資金的訪問權(quán)限����。而系統(tǒng)對(duì)于非法入侵者無法知曉他是誰��?他在干什么���?他干了些什么�?因此����,要解決信息安全問題,就有必要從改進(jìn)第一關(guān)——身份認(rèn)證開始�。
為此,美國(guó)專利中公開了RSA公司的產(chǎn)品SecureID為典型代表���,其口令令牌每60秒變化一次����,來實(shí)現(xiàn)動(dòng)態(tài)口令。它采用單變量(即時(shí)間)的算法來產(chǎn)生動(dòng)態(tài)口令�。這種動(dòng)態(tài)口令令牌由于為了保證時(shí)間認(rèn)證同步,存在這樣一種安全隱患這就是存在一個(gè)時(shí)間的漂移窗口���。在該時(shí)間窗口內(nèi)的口令都是有效的�����,因?yàn)榭紤]到令牌時(shí)鐘與服務(wù)器時(shí)鐘之間的漂移��,在認(rèn)證檢驗(yàn)時(shí)實(shí)際的有效時(shí)間區(qū)間還要比60秒大幾倍�����,因而給攻擊者留下更大的攻擊區(qū)間���。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種安全性更高,可靠性更好����、使用方便、易于維護(hù)的動(dòng)態(tài)口令生成方法�。
本發(fā)明的目的是這樣實(shí)現(xiàn)的�,動(dòng)態(tài)口令生成方法����,它至少包括獲得3DES算法輸入?yún)⒘浚ㄟ^3DES算法產(chǎn)生動(dòng)態(tài)口令��,其特征是所述的輸入?yún)⒘渴怯呻S機(jī)的變量作為虛時(shí)間因子����、通過事件計(jì)數(shù)器作為同步因子、從每次都在變化的用戶個(gè)人密鑰中得到特征因子組成�,由三個(gè)變量因子作參量����,調(diào)用3DES算法生成動(dòng)態(tài)口令。
所述的口令是隨事件計(jì)數(shù)因子變化而變化��。
所述的三因子存貯在存貯器內(nèi)���。
本發(fā)明的優(yōu)點(diǎn)是由于采用隨機(jī)的變量得到虛時(shí)間因子����,避免了時(shí)間同步的種種缺點(diǎn)����;而口令是隨事件計(jì)數(shù)因子變化一次調(diào)用一次3DES算法�,保證了每個(gè)口令只能使用一次��,即使立即再次輸入也無法通過認(rèn)證�。也不需注意令牌上當(dāng)前顯示的口令還有多少秒就要變化,是否來得及輸入到計(jì)算機(jī)中去�����,需要一個(gè)時(shí)間的等待過程�。沒有這種限制,可以極為隨意����。采用三因子作參量,調(diào)用3DES算法得到口令�,更安全。
下面結(jié)合實(shí)施例附圖對(duì)本發(fā)明作進(jìn)一步說明圖1是本發(fā)明實(shí)施例流程圖�����;圖2是3DES算法框圖�;圖3是一個(gè)實(shí)現(xiàn)動(dòng)態(tài)口令的生成裝置框圖。
具體實(shí)施例方式圖1給出了算法的流程過程,算法從100步驟開始�,進(jìn)入鍵掃描程序101,檢測(cè)是否有模式選擇鍵按下���,如模式選擇鍵沒有打開時(shí)�����,程序是處在低功耗�,即節(jié)電模式102���。在節(jié)電模式102時(shí)定時(shí)檢測(cè)模式選擇鍵沒有打開����,沒有在此巡回檢測(cè)��,如有乒乓鍵打開����,由節(jié)電模式102進(jìn)入正常模式103����;在進(jìn)入正常模式103后,程序進(jìn)入初始化操作104�,對(duì)計(jì)數(shù)器�����、計(jì)時(shí)寄存器進(jìn)行清除�����;然后讀取初始化的數(shù)據(jù)包(主要包括虛時(shí)間變量����、初始個(gè)人密鑰值和事件計(jì)數(shù)器���,即3因子)���,完成步驟105;接著執(zhí)行步驟106����,對(duì)上述參數(shù)進(jìn)行校驗(yàn),當(dāng)數(shù)據(jù)校驗(yàn)通不過時(shí)�,執(zhí)行步驟108,給出出錯(cuò)信息�����,停止使用。當(dāng)數(shù)據(jù)校驗(yàn)?zāi)芡ㄟ^時(shí)�,執(zhí)行步驟107,將數(shù)據(jù)表示成16進(jìn)制的ASCII��;在此之后���,以這些數(shù)據(jù)作參量��,執(zhí)行109步驟進(jìn)行3DES運(yùn)算����,得到準(zhǔn)密文�����;然后執(zhí)行步驟110�����、111�、112�,由準(zhǔn)密文進(jìn)行運(yùn)算分離,得到6字節(jié)的密文,也就是得到口令�,并將口令進(jìn)行顯示。到此所需使用的新口令已經(jīng)產(chǎn)生完成�����,而在隨后的步驟中���,將會(huì)產(chǎn)生下一口令的參量值��。
程序?qū)?zhí)行步驟113���、114,生成新的數(shù)據(jù)包(主要包括事件計(jì)數(shù)器值和虛時(shí)間因子以及個(gè)人密鑰值)��,并將這個(gè)數(shù)據(jù)包存貯于EEPROM中�����,等待下一次鍵操作����,產(chǎn)生下一口令。在完成上述操作后����,程序接著執(zhí)行步驟115���、116,產(chǎn)生一計(jì)時(shí)標(biāo)志信息���,并檢測(cè)是否有鍵按下���,如時(shí)間檢測(cè)步驟117在10分鐘內(nèi)沒有檢測(cè)到鍵按下,程序返回到開始的節(jié)電模式102�。如在10分鐘內(nèi)檢測(cè)到鍵按下,執(zhí)行步驟118���,清除計(jì)時(shí)標(biāo)志信息����,停止計(jì)時(shí)����;并進(jìn)入步驟119進(jìn)一步判斷是否是模式選擇鍵,當(dāng)是模式選擇鍵時(shí)��,程序同樣返回到開始的節(jié)電模式102����。如不是,程序進(jìn)入功能鍵120�����、121���、122的操作����,讀功能計(jì)數(shù)寄存器的值S�����,功能鍵有三種分別代表1���、2���、0。如值S值=0���,則執(zhí)行124顯示高8位的事件計(jì)數(shù)器值(加密的)���;如值S值=1�����,則執(zhí)行125顯示低8位的事件計(jì)數(shù)器值(加密的)����;如值S值=2�,則執(zhí)行126顯示上一次口令值;無論是S值是多少�,完成的功能鍵操作后,將執(zhí)行步驟127的程序�,運(yùn)行S=(S+1)MOD3,在此之后返回到步驟115��,置計(jì)時(shí)標(biāo)志�,重新開始計(jì)時(shí)。
如圖2所示��,從提高安全性����、經(jīng)濟(jì)性和方便使用出發(fā),本發(fā)明中的動(dòng)態(tài)口令技術(shù)的核心借助3DES算法�����,它由虛時(shí)間因子、事件計(jì)數(shù)因子�、個(gè)人密鑰因子三變量通過3DES算法來產(chǎn)生動(dòng)態(tài)口令���。3DES算法使得用戶的口令每次使用時(shí)產(chǎn)生的都不一樣����,具有不可預(yù)測(cè)性�����,而且每個(gè)口令的有效期就是輸入的瞬間���,從而不易受重發(fā)攻擊和試探性攻擊�����,而且網(wǎng)絡(luò)截取也無效����。
本發(fā)明中利用稱為“虛時(shí)間”的變量作為變動(dòng)的因子��,事件計(jì)數(shù)器作為同步因子,用戶密鑰作為特征因子����;采用虛時(shí)間是為了避免實(shí)時(shí)間的漂移同步問題;口令產(chǎn)生的事件計(jì)數(shù)器其初始值為一個(gè)隨機(jī)數(shù)�����。這樣由每次都變化的個(gè)人密鑰因子和虛時(shí)間變量因子���、事件計(jì)數(shù)器因子通過3DES算法���,將產(chǎn)生一個(gè)密文數(shù)據(jù)包。
圖3給出了動(dòng)態(tài)口令的生成裝置框圖���,它至少由一個(gè)處理單元5���、一個(gè)存貯單元7、功能鍵9���、模式選擇鍵8�、顯示單元6、時(shí)鐘芯片11和電源電路組成��,由圖3的硬件完成動(dòng)態(tài)口令生成將以開始步驟100進(jìn)行��,處理單元5不斷讀取模式選擇鍵8�,檢測(cè)是否有模式選擇鍵8按下,如模式選擇鍵8處于高時(shí)���,處理單元5處在低功耗模式,即節(jié)電模式102����。在節(jié)電模式102時(shí)定時(shí)檢測(cè)模式選擇鍵8,沒有始終處在節(jié)電模式102����,如模式選擇鍵8為低,并經(jīng)確認(rèn)��,由節(jié)電模式102進(jìn)入正常模式103���;在進(jìn)入正常模式103后��,處理單元5進(jìn)入初始化操作104���,對(duì)計(jì)數(shù)器���、計(jì)時(shí)寄存器進(jìn)行清除;然后讀取讀取初始化的數(shù)據(jù)包(主要包括虛時(shí)間變量�����、初始個(gè)人密鑰值和事件計(jì)數(shù)器���,即3因子)����,完成步驟105���;接著處理單元5對(duì)上述參數(shù)進(jìn)行校驗(yàn)��,當(dāng)數(shù)據(jù)校驗(yàn)通不過時(shí)�����,執(zhí)行步驟108��,給出出錯(cuò)信息�,停止使用。當(dāng)數(shù)據(jù)校驗(yàn)?zāi)芡ㄟ^時(shí)����,將數(shù)據(jù)表示成16進(jìn)制的ASCII;在此之后�����,以這些數(shù)據(jù)作參量�,進(jìn)行3DES運(yùn)算,得到8字節(jié)的準(zhǔn)密文����;由準(zhǔn)密文進(jìn)行運(yùn)算分離��,得到6字節(jié)的密文��,也就是得到口令���,并將口令進(jìn)行顯示�����。到此所需使用的新口令已經(jīng)產(chǎn)生��。而在隨后處理單元5將會(huì)產(chǎn)生下一口令的參量值并執(zhí)行步驟113�、114,生成新的數(shù)據(jù)包(主要包括虛時(shí)間變量���、初始個(gè)人密鑰值和事件計(jì)數(shù)器��,即3因子)存貯于存貯單元7中��,等待下一次鍵操作����,產(chǎn)生下一口令�。在完成上述操作后,程序接著執(zhí)行步驟115����、116,產(chǎn)生一計(jì)時(shí)標(biāo)志信息��,并檢測(cè)是否有功能鍵9����、模式選擇鍵8按下,如在10分鐘內(nèi)沒有檢測(cè)到鍵按下�,程序返回到開始的節(jié)電模式102�����。如在10分鐘內(nèi)檢測(cè)到鍵按下�,清除計(jì)時(shí)標(biāo)志信息����,停止計(jì)時(shí);并判斷是否是模式選擇鍵8��,當(dāng)是模式選擇鍵8時(shí)�����,處理單元5同樣進(jìn)入節(jié)電模式���。否則是功能鍵9,進(jìn)行菜單顯示�,0、顯示高8位的事件計(jì)數(shù)器值(加密的)���;1�、顯示低8位的事件計(jì)數(shù)器值(加密的)���;2�、顯示上一次口令值。
權(quán)利要求
1.動(dòng)態(tài)口令生成方法����,它至少包括獲得3DES算法輸入?yún)⒘浚ㄟ^3DES算法產(chǎn)生動(dòng)態(tài)口令�����,其特征是它通過隨機(jī)的變量作為虛時(shí)間因子�����;通過事件計(jì)數(shù)器作為同步因子�;從每次都在變化的用戶個(gè)人密鑰中得到特征因子,由上述的三個(gè)變量因子作參量��,調(diào)用3DES算法生成動(dòng)態(tài)口令����。
2.根據(jù)權(quán)利要求1所述的動(dòng)態(tài)口令生成方法,其特征是所述的口令是隨事件計(jì)數(shù)因子變化而變化���。
3.根據(jù)權(quán)利要求1所述的動(dòng)態(tài)口令生成方法��,其特征是所述的三因子存貯在存貯器內(nèi)��。
4.根據(jù)權(quán)利要求1所述的動(dòng)態(tài)口令生成方法����,其特征是所述的獲得3DES算法輸入?yún)⒘浚ㄟ^3DES算法產(chǎn)生動(dòng)態(tài)口包括如下步驟算法從100步驟開始��,進(jìn)入鍵掃描程序101���,檢測(cè)是否有模式選擇鍵按下�����,如模式選擇鍵沒有打開時(shí)��,程序是處在低功耗��,即節(jié)電模式102�;在節(jié)電模式102時(shí)定時(shí)檢測(cè)模式選擇鍵沒有打開�,沒有在此巡回檢測(cè)�,如有模式選擇鍵打開,由節(jié)電模式102進(jìn)入正常模式103����;在進(jìn)入正常模式103后���,程序進(jìn)入初始化操作104,對(duì)計(jì)數(shù)器��、計(jì)時(shí)寄存器進(jìn)行清除����;然后讀取初始化的數(shù)據(jù)包(主要包括虛時(shí)間變量、初始個(gè)人密鑰值和事件計(jì)數(shù)器�����,即3因子)�,完成步驟105;接著執(zhí)行步驟106�,對(duì)上述參數(shù)進(jìn)行校驗(yàn),當(dāng)數(shù)據(jù)校驗(yàn)通不過時(shí)����,執(zhí)行步驟108,給出出錯(cuò)信息�����,停止使用;當(dāng)數(shù)據(jù)校驗(yàn)?zāi)芡ㄟ^時(shí)����,執(zhí)行步驟107,將數(shù)據(jù)表示成16進(jìn)制的ASCII�;在此之后,以這些數(shù)據(jù)作參量����,執(zhí)行109步驟進(jìn)行3DES運(yùn)算,得到準(zhǔn)密文�����;然后執(zhí)行步驟110�����、111�、112,由準(zhǔn)密文進(jìn)行運(yùn)算分離��,得到6字節(jié)的密文����,也就是得到口令,并將口令進(jìn)行顯示���;到此所需使用的新口令已經(jīng)產(chǎn)生完成�,而在隨后的步驟中�����,將會(huì)產(chǎn)生下一口令的參量值����;程序?qū)?zhí)行步驟113、114��,生成新的數(shù)據(jù)包(主要包括虛時(shí)間變量�����、初始個(gè)人密鑰值和事件計(jì)數(shù)器�,即3因子),并將這些值存貯于EEPROM中��,等待下一次鍵操作����,產(chǎn)生下一口令����;在完成上述操作后����,程序接著執(zhí)行步驟115、116�,產(chǎn)生一計(jì)時(shí)標(biāo)志信息,并檢測(cè)是否有鍵按下�����,如時(shí)間檢測(cè)步驟117在10分鐘內(nèi)沒有檢測(cè)到鍵按下���,程序返回到開始的節(jié)電模式102���;如在10分鐘內(nèi)檢測(cè)到鍵按下,執(zhí)行步驟118��,清除計(jì)時(shí)標(biāo)志信息��,停止計(jì)時(shí)����;并進(jìn)入步驟119進(jìn)一步判斷是否是模式選擇鍵�,當(dāng)是模式選擇鍵時(shí)��,程序同樣返回到開始的節(jié)電模式102�;如不是��,程序進(jìn)入功能鍵120�、121、122的操作�,讀功能計(jì)數(shù)寄存器的值S,功能鍵有三種分別代表1�����、2���、0��;如值S值=0���,則執(zhí)行124顯示高8位的事件計(jì)數(shù)器值(加密的);如值S值=1���,則執(zhí)行125顯示低8位的事件計(jì)數(shù)器值(加密的)��;如值S值=2���,則執(zhí)行126顯示上一次口令值���;無論是S值是多少,完成的功能鍵操作后�,將執(zhí)行步驟127的程序,運(yùn)行S=(S+1)MOD3����,在此之后返回到步驟115,置計(jì)時(shí)標(biāo)志����,重新開始計(jì)時(shí)。
全文摘要
本發(fā)明涉及一種身份認(rèn)證類產(chǎn)品��,特別是應(yīng)用系統(tǒng)的用戶動(dòng)態(tài)口令生成方法�,它可以防止相應(yīng)應(yīng)用系統(tǒng)的用戶口令被盜用、被猜測(cè)�、被截取、被竊聽等安全隱患���,它至少包括獲得3DES算法輸入?yún)⒘?����,通過3DES算法產(chǎn)生動(dòng)態(tài)口令�,其特征是它通過隨機(jī)的變量作為虛時(shí)間因子;通過事件計(jì)數(shù)器作為同步因子���;從每次都在變化的用戶個(gè)人密鑰中得到特征因子�,由上述的三個(gè)變量因子作參量���,調(diào)用3DES算法生成動(dòng)態(tài)口令。所述的口令是隨事件計(jì)數(shù)因子變化而變化���。所述的三因子存貯在存貯器內(nèi)��。這種動(dòng)態(tài)口令生成方法安全性更高���,可靠性更好、使用方便���、易于維護(hù)��。
文檔編號(hào)H04L9/06GK1731721SQ20041007303
公開日2006年2月8日 申請(qǐng)日期2004年8月22日 優(yōu)先權(quán)日2004年8月22日
發(fā)明者王以和, 馮虞, 陳超 申請(qǐng)人:西安海星現(xiàn)代科技股份有限公司