当前位置:文档之家 › 动态口令身份认证专利技术分析

动态口令身份认证专利技术分析

  • 格式:doc
  • 大小:29.50 KB
  • 文档页数:4

下载文档原格式

  / 4

合集下载

基于动态口令的身份认证机制及其安全性分析

基于动态口令的身份认证机制及其安全性分析

() 间同步 2时
本算法一个 非常重要 的问题是时间 的同步 。如果服务器
图 1 认 证 系 统模 型
3 基于 动态 口令 的挑 战/ 应答 认 证机 制
基 于挑战/应答 ( hl n e epne方式 的身份认 证机 C al g/ so s) e R 制就是每次认证 时认证服 务器 端都给客 户端 发送 一个不同的 ” 挑战” 字符 串,客 户端程序收到这 个” 战“ 挑 字符 串后 ,作 出
此 ,这是一 种非常安全的认证机制 。使 用者只需安装客 户程 序 ,申请成为合 法用户 ,运行客 户程序 ,使用 自己的用户名 / 口令字进行认 证 ,就可 以安全地使 用 网络 了。可 以说 ,用
户使用起来是很 方便 的。一个典型 的认 证过程如下所述 。 21动态 口令 的产生 .
[ ywo d l U e u h n ia in Dy a cp swo d S c rt Ke r s s r t e t t : n mi a s r ; e u i a c o y
身份认 证是实现 网络安全的重要机制之一 。通过这种机 制 ,认证服务器通过 网络验证 用户的身份与 所宣称的是 否一 致 ,然后才能实现对于 不同用户的访问控制 。目前有多种 认 证机制 ,如基于DC / reo的认证机制、基于公钥 的认证 EKebrs 机制 以及基于挑 战/应答 的认 证机 制等。本文在 基于挑 战/
应答认证机制 的基础 上 ,提 出了一种基于动 态 E令 的认证 机 l 制 。下面逐 步讨论该机 制的认证模型、认证过程、动态 E令 l 的产 生,并对它们 的安全性进 行分析。
果进行加密 ,这样第三方攻击者就 算 已经破译 了Hah s 算法 ,
也无法进行认证 ,因为它无法破译合法 用户 的动态 口令 。因

一种实现双向认证动态口令身份认证措施

一种实现双向认证动态口令身份认证措施

一种实现双向认证的动态口令身份认证方案来源:网店装修 摘要本文在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”问题的不足。

关键词双向身份认证、动态口令、同步重调,动态身份认证系统身份认证技术是信息安全理论与技术的一个重要方面,它是网络安全的第一道防线,用于限制非法用户访问受限的网络资源,是一切安全机制的基础。

这也就使之成为黑客攻击的主要目标。

因此使用一个强健有效的身份认证系统对于网络安全有着非同寻常的意义。

就国内外身份认证技术的发展情况来看,最传统的身份认证方式是帐号——口令方式;新兴的身份认证方式包括:生物特征识别法、动态口令<又称一次性口令)认证法等。

本文中主要展开对动态口令认证法的讨论和研究。

1 背景知识介绍 1.1 PKI体系PKI<Public Key Infrastructure 公共密钥基础设施)是一种遵循标准的密钥管理平台,它能够为所有网络应用透明的提供采用加密和数字签名等密码服务所必需的密钥和证书管理。

公共密钥基础设施则是希望从技术上解决网上身份认证、信息的保密性、信息的完整性和不可抵赖性等安全问题,为网络应用提供可靠的安全服务。

PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

完整的PKI系统必须具有权威认证机构(CA>、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口<API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

1.2 RSA加密算法RSA加密算法,又称非对称算法,采用公钥——私钥对来对信息进行加、解密。

RSA加密算法的过程如下:<1)取两个随机大素数p和q<保密)。

<2)计算公开的模数r=pq(公开>。

动态口令机制

动态口令机制

动态口令机制引言部分:随着互联网的不断发展,信息安全问题越来越被人们所关注。

传统的用户名和密码安全机制难以应对日益复杂的攻击形式和手段,因此动态口令机制应运而生。

一、什么是动态口令机制动态口令机制是一种基于时间同步技术的身份验证方式,它通过动态生成口令来提高用户的身份验证安全性。

动态口令机制产生的口令只能在一段时间内使用,严密的掌握了用户身份验证的有效期,从而有效地预防了诸如密码猜测、重放攻击、防窃听等安全威胁的产生。

二、动态口令机制的实现方式1.基于时间同步算法的实现动态口令机制最常见的实现方式是基于时间同步算法的实现,它需要网络中的认证服务器和用户设备同步时间。

在这种情况下,服务器先生成一个种子,再将其发送到用户设备上,用户设备和服务器采用同样的算法和同样的种子生成动态口令。

2.基于挑战-应答的实现基于挑战-应答的动态口令机制是在认证服务器和用户设备之间进行通信的,认证服务器下发一个挑战(challenge)到用户设备,用户设备将挑战加密并返回给服务器,服务器验证通过才允许用户登录。

这个过程中,挑战和响应均为动态口令,一次有效期为30秒,从而有效地提高了安全性。

三、动态口令机制的优势1.提高了安全性动态口令机制基于时间同步技术,一定时间段内生成的口令是一样的,但下一个时间段生成的口令与上一个时段生成的口令是不同的,有效地提高了用户身份验证的安全性。

2.减少密码泄露的可能性动态口令机制的口令是在一定时间段内有效的,当攻击者获得动态口令之后,只有在有效期内可以使用,超出有效期后就会失效,从而有效地减少了密码泄露的可能性。

3.操作简单方便相对于传统的用户名和密码安全机制,动态口令机制操作更加简单方便,用户只需要在认证页面上输入动态口令即可完成身份验证。

结尾部分:在当今信息化时代,安全问题越来越重要,动态口令机制作为一种安全性更高的身份验证方式,受到越来越多的关注和应用。

可以预见,动态口令机制将成为未来身份验证的主流方式,它不仅可以提高个人信息安全的级别,也可以有效阻止网络安全威胁和攻击的发生。

关于动态口令及其令牌的研究进展

关于动态口令及其令牌的研究进展

关于动态口令及其令牌的研究进展动态口令广泛应用于网上银行、电子支付等领域,目前朝着多因子认证的方向发展,其令牌种类众多,移动互联网时代下移动设备将成为一种重要的选择。

本文介绍了各类动态口令及其令牌并分析了其面临的安全挑战和解决方案,对其应用和发展作了展望。

标签:动态口令;令牌;移动设备;时间;事件;挑战应答1 引言动态口令是一种重要的身份认证技术,常用的密码很容易被窃取或猜测,动态口令克服了其长期使用同一口令的缺陷。

动态口令在电子商务、互联网金融等领域得到了广泛应用,企业或银行开发了自用方案如SecurID、U盾、口令卡等,一些企业也推出相关定制产品。

本文重点介绍动态口令的类型及令牌和近年来的研究成果,并其发展方向作了展望。

2 动态口令技术的分类动态口令主要有基于事件同步、基于时间同步、基于挑战应答三种类型,传递使用的令牌包括短信、手机、专有令牌(智能卡和芯片设备)、网页、硬拷贝等。

2.1 基于事件的动态口令基于事件的动态口令通过特定的事件次序及相同的种子值作为输入,通信双方维护相同的计数器以得到一致的口令,当前口令的产生依赖先前的口令,如哈希链方案和S/Key方案。

哈希链方案通过哈希函数F对种子x进行迭代运算(F (…F(x)…))生成口令,第i次认证要求客户端提供哈希链上的第N-i个口令FN-i(x),服务端验证F(FN-i(x))是否等于FN-i+1(x),一定程度上解决了不安全环境下的认证问题;S/Key方案选择MD4作为哈希函数,在生成的128位摘要只取64位转换为单词,通信双方需要维护相同的字典库和计数器,S/Key 方案能够有效防止重放攻击,但并不能抵抗小数攻击,攻击者冒充服务端要求客户端提供一个迭代数M的口令,得到FM(x)后就能计算出所有满足M<K<N 的FK(x)。

近几年RFC-4226提出了更安全的HMAC-base OTP(简称HOTP)方案,应用于各类专有令牌。

一种实现双向认证动态口令身份认证方案

一种实现双向认证动态口令身份认证方案

---------------------------------------------------------------范文最新推荐------------------------------------------------------ 1 / 24 一种实现双向认证动态口令身份认证方案

摘要在分析现有动态身份认证系统的基础上,结合使用国际标准加密算法设计了双向通信协议、动态密码生成算法、以及动态重调机制,解决了目前动态身份认证系统只能实现服务器对客户端的单向认证的缺陷,和以牺牲口令随机度来解决“失步”问题的不足。关键词双向身份认证、动态口令、同步重调,动态身份认证系统,不可否认基于动态口令的身份认证系统给网络安全带来了福音。它的优点,如动态性、一次性、随机性、多重安全性等,从根本上有效修补了传统身份认证系统存在的一些安全隐患。比如,可以有效防止重放攻击、窃听、猜测攻击等。但就目前的研究成果、使用情况来看,它同样也存在这不足,以及技术上的难关。现有的基于动态口令的身份认证系统都只能实现单向认证,即服务器对客户端的认证,这样就不能避免服务器端的攻击。随着网络应用的多样性发展,越来越多的网络应用要求能够实现双向认证以确保双发的利益,如电子商务、金融业务等,因此实现双向认证就成为了身份认证的一个必然趋势。对于同步认证技术来说,保证服务器端和客户端的高度同步是必需的。此时如何保持服务器和众多客户端同步就成了一个技术难关。基于同步认证技术的动态身份认证系统都存在“漂移”问题,也即“失步”。目前的解决办法往往是以牺牲口令的随机度来弥补这个缺陷。这无疑给系统带来了很大的安全隐患。当然异步认证技术不存在“漂移”问题,但是它进行认证的过程比较繁琐,占用通讯时间太长,效率比较低。针对上面提到的动态口令认证系统的不足和缺陷设计了一个新方案。该方案采用双向认证通信协议实现了双向认证,并设计了一种失步重调机制。2.2改进方案2.2.1双向认证通信协议在这个协议中使用了直接信任模型,即客户端和服务器端通过注册阶段而建立直接信任关系。(直接信任是最简单的信任形式。两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。)协议中包括两个阶段:注册阶段、登陆阶段。1)注册阶段注册阶段是为了让Client和Server建立初始信任关系。整个注册过程通过安全信道进行。注册阶段中Client和Server交换各自的id和公钥。服务器端将加密后存储。客户端将加密后存储在令牌中。Client将和本次的动态密码用自己的私钥加密,再和,此次产生的随机数R一并用Server的公钥加密后发送给Server。发送完毕后,客户端会将R备份,并启动计时器,若超过一定时间T后仍无收到Server的应答数据包则丢弃该随机数R;或在T范围之内收到Server应答数据包进行验证后丢弃该随机数R。,,,一种实现双向认证动态口令身份认证方案飞雪

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

动态口令身份认证专利技术分析动态口令能弥补静态口令技术的大部分安全缺陷,广泛应用于身份认证技术中。

文章基于CPRSABS和DWPI数据库,对基于动态口令的身份认证技术相关专利进行了梳理和分析,对涉及动态口令技术的研发有较大帮助。

关鍵词:动态口令(OTP);身份认证;技术演进;专利Abstract:The one-time password (OTP)can make up for most of the security defects of static password technology,and is widely used in identity authentication technology. Based on the databases of CPRSABS and DWPI,this paper sorts out and analyzes the patents of identity authentication technology based on dynamic password,which is helpful to the research and development of OTP technology.Keywords:one-time password (OTP);identity authentication;technology evolution;patent1 概述本文以基于动态口令身份认证的专利申请作为分析对象,重点分析全球范围内关于动态口令身份认证专利的四个主要技术分支,研究动态口令身份验证技术的技术发展趋势。

2 技术发展概述随着网络交易的猛增所带来的安全问题日益突出,动态口令身份认证技术开始受到越来越多人的青睐;美国的RSA公司最早开始本领域的专利申请,2001-2008年动态口令身份认证专利申请量增长显著,2009年其申请量达到一个小高峰,2009年至今整体呈现稳步上升的趋势。

本文通过分析专利申请的趋势来梳理动态口令技术的技术发展脉络;总的来说,动态口令身份认证技术专利主要集中在以下几个方面:动态口令的产生、口令的下发、口令表现形式以及动态口令与其他认证方法结合的多重认证技术。

2.1 动态口令的产生动态口令身份机制需要基于一种密码算法,将用户的身份和某种变动因子作为密码算法的输入参数,输出的结果即为动态口令,不同的变动因子构成了不同的动态口令产生技术。

90年代基于动态口令的身份验证技术开始萌芽,美国RSA公司成功研制了基于时间同步的动态口令认证系统RSA SecureID,RSA于1984年抢先进行了专利布局,申请了基于时间同步的动态口令相关专利(US4720860B),其提供一个用户身份唯一标识码以及动态变量,通过预定的算法生成一个不可预测的码,该动态变量可以是该固定码被输入到算法中的时间,通过比较客户端和服务器端生成的这两个不可预测码是否相同来进行身份认证,该专利被引用次数高达487次,奠定了时间同步技术的基础。

然而一直到2000年这期间时间同步技术发展缓慢,并未引起业界足够的重视,在2001年以前中国并未有动态口令相关申请;2001-2009年间,许多公司才开始跟随RSA的脚步开始了时间同步研究,由于时间同步的精确性极大地依赖于正确的时钟,这期间出现了大量对令牌时钟进行校正,提高时间因子的可靠性的专利,如:CN101854147A,飞天诚信公司,令牌根据温漂进行时钟偏差矫正,JP200819814A,服务器与令牌定时进行时钟同步。

同时,在这期间出现了基于事件同步的动态口令技术,原理是通过某一特定的事件次序(如通过计数器统计按键次数)及相同的种子值作为输入,在算法中运算出一致的密码,整个口令产生过程不受时钟影响,然而基于事件同步的令牌当电力耗尽,在更换电池时操作失误等均会导致失步,因此一系列防止失步的专利也应运而生(JP2001352324A,NEC公司,对事件类型令牌计数器的失步进行调整;CN104104517A 弗里塞恩公司,补偿事件计数器的同步缺失)。

此外,由于同步方式需要在服务器和令牌之间进行同步操作,为了增加系统的可靠性出现了异步方式的动态口令,服务器下发随机数作为挑战,令牌基于该挑战计算出响应作为动态口令发送给服务器(EP1919123A1 挑战/应答式动态口令)。

挑战-应答方式中挑战码十分关键,相关专利很大一部分涉及挑战码传输的改进:由手动输入挑战码进化为通过有线或无线方式自动输入,其中利用NFC 技术从手机向令牌终端发送挑战码是主流技术,同时为了防止挑战码被截获后影响动态口令可靠性,各大公司申请了许多挑战码加密传输的相关专利;为了防止钓鱼,挑战码也从单向认证向双向认证演进(CN102281137A,挑战码中包含交易信息以便用户确认交易真实性)。

这三种口令产生方式中主流的动态令牌技术是时间同步和挑战/应答两种形式,这是因为事件同步型令牌可以预先知道今后的多个密码,丢失后存在较大安全风险。

口令产生技术发展到后期,单一的动态因子已不能满足安全需求,2010-2014年出现了许多多因子认证方法,同时基于时间/事件/挑战码组合生成动态口令,多因子认证是动态口令必然发展趋势。

2.2 口令的下发最先出现的是基于硬件的令牌技术,硬件中内置动态口令生成算法(US08944918A,SAMSUNG,硬件口令);一方面,早期硬件口令不经过网络传输,生成的动态口令直接显示在显示屏上由用户手动输入到终端,为了免去用户手动输入动态口令的麻烦,在2001-2009年间陆续出现了许多将硬件口令自动输入终端的专利,自动传输的方式主要涉及:USB连接(EP1775673A3 ,硬件口令生成后经USB传输到客户端)、NFC传输、蓝牙传输、无线传输等;另一方面,硬件令牌中密钥种子以及加密算法的安全性大大影响动态口令的可靠度,相当一部分专利申请致力于对其进行改进,如:密钥种子由出厂时灌装改进为使用时由服务器动态灌装,硬件中封装的加密算法也由服务器动态选择,以提高动态口令安全性。

同时,面对硬件令牌存在的密钥泄露风险,出现了令牌防拆除自毁技术:为令牌的PIN码设置最大错误尝试次数,如果连续输入错误次数达上限则锁住令牌,这时必须由发卡单位才能进解锁,若自行尝试解锁令牌将自动销毁内部相关数据;为了合理利用口令资源,出现了动态口令回收技术。

此外,由于硬件口令需要随身携带,使用不便,随着智能手机的普及,2001-2005年间萌芽了基于手机软件的动态令牌技术(JP2006004020A,通过手机软件生成动态口令);手机令牌技术由手机程序产生动态口令,动态口令与手机绑定进行身份认证,无需专门的硬件来生成令牌,易用性好;同时,最初出现的手机令牌产生动态口令后用户仍然需要切换界面后手动输入,操作繁琐,出现了手机令牌自动输入技术(CN104539785A,手机令牌一键放行,无需手动输入)。

硬件口令与手机令牌均是在用户侧产生动态口令,需要携带专门的终端或者在手机上安装相应软件,操作不便;因此出现了通过网络侧下发动态口令技术,其中比较典型的例如BONCLE公司于2006年申请了一种使用连续的动态口令进行双向认证的方法(US2008034216A),引用频次高达176次,其技术方案如图1所示;用户端生成一次性口令(OTP)后将其发送给服务器端,服务器端对用户进行身份认证后产生一个连续的OTP并基于该OTP生成一个会话密钥,用户端同样地生成一个连续的OTP和对称的会话密钥;服务器端使用会话密钥对第一挑战进行加密后发送给用户,用户使用对称会话密钥对其进行解密后获得第一挑战,随后用户端向服务器端发送使用会话密钥加密后的第一响应,服务器然后对其进行认证;类似地,用户端对服务器进行认证,若认证通过,则用户端-服务器端双向认证通过;通过网络侧下发动态口令,且利用两次动态口令实现了对用户端和服务器端的双向认证,提高了系统的安全性。

可以使用短信、邮件、来电(CN1394067A,服务器通过来电显示向客户端下发口令)等传递动态口令,用戶可直接获得动态口令;其中,短信密码系统复杂度低、成本低,基于短信的动态口令是最主流的方式。

同时,由于网络下发口令技术中动态口令需要经过网络传输,很容易遭遇劫持、篡改和钓鱼等,如何保证网络传输过程中口令的安全性是其主要改进方向,例如:CN101764800A,动态口令通过加密的彩信/短信传输。

纵观口令下发技术,硬件口令、手机令牌以及网络侧下发各有优劣,硬件口令起步较早,相关技术十分成熟,在网游行业相对普及,而随着智能手机的发展,手机令牌和网络侧下发口令技术迅猛发展,是3G/4G时代动态密码身份认证发展趋势。

2.3 口令表现形式不管是硬件令牌、手机令牌还是网络侧下发令牌,最初的动态口令多以数字或字符的形式直接传输,随着对动态令牌安全性能需求的不断提高,口令的信息载体也越来越多样化,除了通过文本符号发送口令外,还可通过条形码、二维码、三维码、音频(CN101951320A,天地融科公司,音频形式动态口令)、光信号(CN102761360A 飞天诚信光信号传输挑战码)进行承载,也可以通过来电显示将动态口令隐含在来电号码中的方式进行传输,达到隐藏口令、提高用户体验的目的。

随着近年来二维码(QR码)技术的广泛应用,通过扫描二维码来获得动态口令是主流方式(US9363259B2,SYMANTEC公司,使用基于条形码图像中恢复的动态口令实现客户端认证)。

2.4 与其他认证方法相结合除动态口令技术外,其他身份认证技术主要包括:静态口令、USB key、数字证书、智能IC卡、基于生物特征的身份认证等;动态口令技术出现后虽然相比静态口令技术已经具有较高的安全性,但将其与其他身份认证技术有效结合起来,改变单一认证的弊端将会提供更高的安全性,多认证方式结合实现多重认证是未来身份认证技术发展的必然趋势。

如图2所示,Validity Sensor申请的US2010083000A1,用户向生物探测器中输入生物特征数据,例如指纹信息,将生物特征认证技术与动态口令技术相结合,实现双重认证,提高了身份认证过程的可靠性。

3 结束语本文对基于动态口令进行身份认证技术的相关专利的重要技术分支及其技术演进等方面进行了分析。

从总体来看,该领域的相关申请集中在2001年后,从早期的欧美、日韩到国内开始大规模研究,在身份认证领域,动态口令身份认证技术仍然是专利申请热点,如何进一步提高动态口令安全性是其主要的改进方向,其申请量也逐年稳步增长。

参考文献:[1]顾韵华,刘素英.动态口令身份机制及其安全性研究[J].微计算机信息,2007(33):51-53.[2]陈泽凯.关于动态口令及其令牌的研究进展[J].山东工业技术,2016(04):207.[3]于英政.QR二维码相关技术的研究[D].北京交通大学,2014.。