CN101414909A - 网络应用用户身份验证***、方法和移动通信终端 - Google Patents
网络应用用户身份验证***、方法和移动通信终端 Download PDFInfo
- Publication number
- CN101414909A CN101414909A CNA200810226984XA CN200810226984A CN101414909A CN 101414909 A CN101414909 A CN 101414909A CN A200810226984X A CNA200810226984X A CN A200810226984XA CN 200810226984 A CN200810226984 A CN 200810226984A CN 101414909 A CN101414909 A CN 101414909A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication password
- checking
- network application
- mobile communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种网络应用用户身份验证***、方法和移动通信终端,用于提高网络应用用户身份验证的通用性。本发明实施例中,通过移动通信终端设备这个被越来越多人随身携带的设备存储身份数字证书,提供无需动态联网的设备,实现动态口令验证技术,从而以低成本便携来大幅提高应用***的安全性。
Description
技术领域
本发明涉及网络应用技术,特别涉及一种网络应用用户身份验证技术。
背景技术
在信息化网络高度发达的时代,移动电子商务类业务领域也正在越来越多地被大家所关注和使用。当前大多数电子商务应用、电子银行***都采用传统的账号加用户密码的形式进行用户身份验证,这种方式中的口令有可能因为输入环境不隐秘、和用户的特征信息相关等原因被盗,存在安全隐患。
目前解决用户密码安全问题的方案包括以下三种:
一、USB key硬件身份数字证书方案
这种方案目前被企业普遍采用,USB Key是一种USB接口的硬件设备,采用软硬件相结合的强双因子认证模式,内置单片机或智能卡芯片,可以存储用户的口令或数字证书,利用USB Key内置的口令学算法实现对用户身份的验证。但是USB Key只能在有USB插口的设备上使用,限制了使用范围。另外由于必须连接电脑,在已经出现相应的木马病毒的情况下,仍然存在USBKey口令或证书被盗的安全隐患。
二、动态口令令牌(One-time Password Token)
该技术是指用户的口令按照时间或使用次数不断动态变化,每个口令只使用一次。这个技术是当前安全身份验证的常用解决方案。
现有的动态口令令牌技术使用内置电源、高精度时钟、口令生成芯片和显示屏的专用硬件,口令生成芯片运行专门的口令生成算法,根据当前时间或使用次数生成当前电子口令并显示在显示屏上。验证服务器采用相同的算法计算当前的有效口令。由于每次使用的电子口令必须由动态口令令牌来产生,只有合法用户才持有该令牌硬件,所以只要动态口令验证通过,***就可以认为该用户的身份是可靠的。这类动态口令令牌的技术和方法的缺点在于,大多数需要和时间精确相关,因此需要高精度时钟的专用硬件,导致硬件成本高,专用硬件令牌也携带不便,通用性不好。
三、移动通信终端短信验证技术
移动通信终端短信验证技术在每次交易前,由***将动态验证码以短信的形式发给用户,从而实现动态口令的功能。这种方式比动态口令令牌方式要安全一些,但秘密的动态口令信息需要在不保密移动通信网络里明文传送,而且发送短信需要一定的成本,另外,短信方式存在可能的延迟问题。
发明内容
本发明实施例提供一种网络应用用户身份验证***、方法和移动通信终端,用于提高网络应用用户身份验证的通用性。
一种网络应用用户身份验证***,包括:
密钥及用户管理子***,用于生成并保存用户使用网络应用的身份数字证书;在接收到包含身份数字证书的验证请求时,生成并输出随机信息,以及利用设定算法生成在设定时长内有效的用户验证口令信息并输出,所述用户验证口令信息的计算参数包括:验证请求中包含的身份数字证书和根据该验证请求生成的随机信息;
移动通信终端,用于从密钥及用户管理子***获得用户的身份数字证书,并在用户进行网络应用的身份验证时,将该身份数字证书输出给网络应用及验证子***;接收用户输入的随机信息,利用所述设定算法生成用户鉴权口令,所述用户鉴权口令的计算参数包括:用户输入的随机信息和保存的身份数字证书;
网络应用及验证子***,用于在用户请求进行网络应用的身份验证时,从移动通信终端获得身份数字证书,生成所述验证请求并发送给密钥及用户管理子***;接收所述密钥及用户管理子***输出的随机信息,接收用户输入的用户鉴权口令,接收所述密钥及用户管理子***输出的用户验证口令信息,以及根据所述鉴权口令和用户验证口令信息获得验证结果。
较佳的,所述网络应用及验证子***具体包括:
网络服务器,用于提供网络应用及验证子***的交互界面并在用户通过该交互界面请求进行网络应用的身份验证时,与所述移动通信终端建立通信连接并通过所述通信连接从移动通信终端获得身份数字证书,生成所述验证请求并转发;接收所述随机信息并通过应用及验证子***的交互界面显示给用户,接收用户通过应用及验证子***的交互界面输入的用户鉴权口令并转发,以及接收验证结果;
动态口令验证服务器,用于接收所述网络服务器输出的验证请求并转发给密钥及用户管理子***,接收所述密钥及用户管理子***输出的随机信息并转发给网络服务器;接收所述网络服务器转发的鉴权口令和密钥及用户管理子***输出的验证口令,以及根据所述鉴权口令和用户验证口令信息获得验证结果,并将所述验证结果发送给网络服务器。
进一步:所述密钥及用户管理子***还用于接收用户通过密钥及用户管理子***交互界面输入的用户密码并对应用户的身份数字证书进行保存;并且在利用所述设定算法生成在设定时长内有效的用户验证口令信息时,所述用户验证口令信息的计算参数还包括用户输入的用户密码;以及所述移动通信终端还用于接收用户通过移动通信终端交互界面输入的用户密码,并且在利用所述设定算法生成用户鉴权口令时,所述用户鉴权口令的计算参数还包括用户输入的用户密码。
更进一步:所述密钥及用户管理子***还用于根据设定规则维护标识用户验证次数累计值的第一序列号,并且在利用所述设定算法生成在设定时长内有效的用户验证口令信息时,所述用户验证口令信息的计算参数还包括:所述第一序列号;以及所述移动通信终端还用于根据设定规则维护标识用户请求验证次数累计值的第二序列号,并且在利用所述设定算法生成用户鉴权口令时,所述用户鉴权口令的计算参数还包括:所述第二序列号。
以及,所述密钥及用户管理子***利用所述设定算法生成的在设定时长内有效的用户验证口令信息包括:利用包括所述第一序列号当前值的设定个数个第一序列号值中的每一个,分别对应生成的一组用户验证口令;以及所述动态口令验证服务器根据所述鉴权口令和用户验证口令信息,当用户鉴权口令和一组用户验证口令中的任一个一致时,获得验证通过的结果,反之获得验证失败的结果。
所述移动通信终端与网络应用及验证子***通过建立通信连接传输用户的身份数字证书,所述建立通信连接具体包括:
通过USB接口建立的有线连接;或者
通过蓝牙建立的无线连接;或者
通过红外线仿真串口建立的无线连接。
一种网络应用用户身份验证方法,包括:
移动通信终端在用户进行网络应用的身份验证时,向网络应用及验证子***输出从密钥及用户管理子***获得的用户的身份数字证书;
网络应用及验证子***在接收到用户的身份数字证书时,生成包含身份数字证书的验证请求并发送给密钥及用户管理子***;
密钥及用户管理子***根据接收的验证请求,生成随机信息并利用设定算法生成在设定时长内有效的用户验证口令信息,以及将所述随机信息和用户验证口令信息输出给网络应用及验证子***,所述用户验证口令信息的计算参数包括:验证请求中包含的身份数字证书和根据该验证请求生成的随机信息;
网络应用及验证子***接收密钥及用户管理子***输出的随机信息和用户验证口令信息,接收用户输入的用户鉴权口令,所述用户鉴权口令为移动通信终端根据用户输入的随机信息时利用所述设定算法生成并显示给用户,所述用户鉴权口令的计算参数包括:用户输入的随机信息和保存的身份数字证书;网络应用及验证子***根据所述鉴权口令和在设定时长内有效的用户验证口令信息,对用户身份进行验证。
一种移动通信终端,包括:
用于获得用户的身份数字证书的单元;
用于在用户进行网络应用的身份验证时,与网络应用及验证子***建立通信连接并通过通信连接输出该身份数字证书的单元;
用于接收用户通过移动通信终端交互界面输入的随机信息的单元;
用于利用设定算法生成用户鉴权口令并由移动通信终端交互界面进行显示的单元,所述用户鉴权口令的计算参数包括用户输入的随机信息和保存的身份数字证书。
本发明实施例中,通过移动通信终端设备这个被越来越多人随身携带的设备存储身份数字证书,提供验证工作时无需动态连互联网和高精度时钟的通用媒介,实现电子证书动态口令验证技术,从而以低成本来大幅提高了网络应用验证机制的通用性和便携性。
附图说明
图1为本发明实施例提供的网络应用用户身份验证***的实现原理示意图;
图2为本发明实施例提供的网络应用用户身份验证***的一种具体网络架构示意图;
图3为本发明实施例提供的用户身份验证方法中,网络应用用户的开户流程示意图;
图4为本发明实施例提供的用户身份验证方法中,网络应用用户将身份数字证书下载到移动通信终端上的流程示意图;
图5为本发明实施例提供用户身份验证方法中,激活移动通信终端上身份数字证书的流程示意图;
图6为本发明实施例提供的使用身份数字证书进行身份验证的流程示意图。
具体实施方式
PKI(Public Key Infrastructure)即公开密钥体系,是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。在PKI***中,CA(Certificate Authority)认证中心是具有权威的认证管理机构,可以向用户签发唯一身份标识的数字证书,并和网络应用提供商的设备一起提供数字证书验证机制。
如图1所示,本发明实施例基于PKI机制的动态口令技术,提供一种实现用户身份验证的验证***,利用具有权威机构的CA所颁发的身份数字证书,对网络应用的用户身份实现合法性验证,该验证***主要包括:移动通信终端12、网络服务器13、动态口令验证服务器14和密钥及用户管理子***11,其中:
密钥及用户管理子***11,作为PKI***中CA的设备,用于对身份数字证书的颁发、管理工作,以及和移动通信终端12、应用管理服务器,以及动态口令验证服务器14一起完成用户身份的验证;身份数字证书实际上是保存在密钥及用户管理子***11上的用户相关信息记录,也可以看作由CA签发的一个声明,证明证书主体(证书申请者拥有了身份数字证书后即成为证书主体)与证书中所包含的公钥的惟一对应关系。身份数字证书包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书的有效期等内容。如果用户需要更新身份数字证书,可以重新到CA办理手续。
移动通信终端12,用于从密钥及用户管理子***11下载颁发给网络应用用户的身份数字证书,并在用户需要进行身份验证时,通过移动通信终端12的USB口、蓝牙或者红外仿真串口,将身份数字证书传输给网络服务器13,以表明网络应用用户的身份,并和网络服务器13、动态口令验证服务器14,以及密钥及用户管理子***11一起,利用身份数字证书、预留在密钥及用户管理子***11上的用户密码以及密钥及用户管理子***11提供的在设定时长内有效的随机信息完成用户身份的验证;
网络服务器13和动态口令验证服务器14,作为网络应用提供商的设备,组成网络应用及验证子***,为用户提供网络应用交互界面,并和移动通信终端12以及密钥及用户管理子***11一起完成用户身份的验证。
用户下载身份数字证书之前,根据不同的网络应用,需要通过CA的柜台进行开户操作,包括向CA预留用户基本信息和用户密码,CA将用户预留的用户基本信息和用户密码保存到密钥及用户管理子***中,密钥及用户管理子***为申请数字证书的用户提供唯一的身份数字证书并产生对应的数字证书激活码,CA将数字证书激活码提供给用户,用户通过验证服务器将自己的身份数字证书下载到移动通信终端12的客户端上,并利用激活码激活身份数字证书。
仍参见图1所示,本发明实施例中,移动通信终端12利用身份数字证书完成用户身份的验证的具体过程包括如下步骤:
S101、移动通信终端12在用户进行网络应用的身份验证时,与网络服务器13建立通信连接并通过通信连接输出从密钥及用户管理子***11获得的用户的身份数字证书;
S102、网络服务器13在接收到用户的身份数字证书时,生成包含身份数字证书的验证请求并发送动态口令验证服务器14;
S103、动态口令验证服务器14将验证请求转发给密钥及用户管理子***11;
S104、密钥及用户管理子***11根据接收的验证请求,生成随机信息并利用设定算法生成在设定时长内有效的用户验证口令信息,以及将随机信息和用户验证口令信息输出给动态口令验证服务器14,用户验证口令信息的计算参数包括验证请求中包含的身份数字证书和根据该验证请求生成的随机信息;
S105、动态口令验证服务器14将随机信息转发给网络服务器13,并保存用户验证口令信息;
S106、网络服务器13通过应用交互界面向用户显示随机信息;
S107、用户通过应用交互界面可以看到随机信息,并通过移动通信终端12的交互界面将随机信息输入移动通信终端12;
S108、移动通信终端12根据用户输入的随机信息和用户身份证书生成用户鉴权口令,并将用户鉴权口令显示到移动通信终端12的交互界面上;
S109、用户将移动通信终端12的交互界面上显示的用户鉴权口令输入到网络服务器13中;
S110、网络服务器13将用户鉴权口令转发给动态口令验证服务器14;
S111、动态口令验证服务器14根据网络服务器13转发的用户鉴权口令,和之前保存的在设定时长内有效的用户验证口令信息,对用户身份进行验证。
S112、动态口令验证服务器14向网络服务器13返回验证结果。
在上述验证过程中,用户鉴权口令和用户验证口令信息的计算参数包括用户的身份数字证书和随机信息,用户的身份数字证书是用户的唯一标识,从而与用户绑定,只要用户保证个人人身份数字证书的安全,则可以保证验证结果的安全性。而随机信息是临时产生的,具有时效性,密钥及用户管理子***11根据随机信息的时效性,为生成的用户验证口令信息设定有效时长,保证了每一次用于验证的用户鉴权口令和用户验证口令信息为当次有效的动态口令,从而提高了认证机制的安全性。
一般的,网络服务器13包括用户可以通过交互界面操作的前台设备,例如电脑、游戏机、ATM机,POS机等,动态口令验证服务器14作为后台设备执行具体的验证操作,出于安全考虑,应该分开设置。但是对一些安全性要求较低,或者组网简单的应用,也可以合并设置为一个网络应用及验证子***,共同承担网络应用的交互和身份验证功能。
对于移动通信终端12和网络服务器13,分别需要根据本发明实施例提供的方案安装专用的客户端,为用户提供相应的交互界面,并执行用户通过交互界面输入的相关操作,根据本发明实施例提供的技术方案,相关交互界面的开发工作为本领域技术人员所熟知,这里不再详细描述。
本发明实施例中,随机信息可以是随机数、或者数字和字母的组合等,生成方法例如伪随机数生成算法等,随机信息的产生技术也为本领域技术人员所熟知,这里不再详细描述。
本发明实施例中,通过移动通信终端设备这个被越来越多人随身携带的设备存储身份数字证书,提供验证工作时无需动态连互联网和高精度时钟的通用媒介,实现电子证书动态口令验证技术,从而以低成本来大幅提高了网络应用验证机制的通用性和便携性。
本发明实施例中,口令的算法一般采用不可逆哈希算法,如SHA1、MD5等。
进一步为增加验证机制的安全性,本发明实施例中,用户还可以在密钥及用户管理子***11预留用户密码,并在输入随机信息时输入用户密码,从在计算用户验证口令信息时,计算参数可以进一步包括:用户预先保存在密钥及用户管理子***11中的用户密码;以及在计算用户鉴权口令时,计算参数也可以进一步包括:用户通过移动通信终端12交互界面接收到输入随机信息。
更进一步,为增加验证机制的安全性,本发明实施例中,移动通信终端12根据设定规则,例如每次第进1的累计方法,在本地维护用户触发验证请求的累计值,密钥及用户管理子***11根据相同的设定规则,每一次收到验证请求并生成随机信息和用户验证口令信息时更新累计值,双方将各自维护的累计次数作为一个参数参与用户鉴权口令和用户验证口令信息的计算,为防止用户的误操作,密钥及用户管理子***11计算出的用户验证口令信息包括分别用当前累计值和大于当前累计值的几个值计算出的一组用户验证口令,只要用户鉴权口令和一组用户验证口令中的任一个一致,则可获得验证通过的结果,反之获得验证失败的结果。
本发明实施例提供的一种网络应用认证***的具体架构参见图2所示,其中:
密钥及用户管理子***具体包括:用户管理服务器、CA服务器、用户信息库和移动通信终端软件下载服务器,其中:用户管理服务器可以连接柜台终端,主要用于个人数字证书的颁发和管理工作,包括接收用户在开户网络应用时预留的用户基本信息、用户密码,为用户生成身份数字证书以及激活码,并在用户请求进行身份认证时生成随机信息和验证口令信息等。用户信息库主要作为数据库存储每一个用户的身份数字证书等相关信息。移动通信终端客户端下载服务器为用户提供各种网络应用客户端的相关软件,用户可以登录该服务器下载或更新网络应用的客户端,在运营商网络支持的情况下可以采用WapPush的方式推送地址到用户移动通信终端上,用户也可以直接通过移动通信终端无线登录到服务器上下载,当然,也可以由移动通信终端设备厂商预装到终端设备或终端设备的SIM/USIM模块上。
网络应用及验证子***具体包括:业务终端、网络(WEB)服务器、动态口令验证服务器和业务应用服务器等,其中:业务终端提供网络应用的交互界面,网络服务器提供网络应用的登录管理,动态口令验证服务器执行口令验证,验证通过的用户可以进入业务应用服务器执行具体业务。
下面结合附图,以较佳实施例对本发明涉及的各个流程进行详细说明。
一、用户开户流程
如图3所示,用户在使用网络应用之前,首先要到CA提供的柜台申请开户,具体的开户流程包括如下步骤:
S301、用户自己或柜员代替用户填写申请表,并且柜员需要将用户的基本信息录入密钥及用户管理子***,包括:身份证号id_num和用户使用的移动通信终端的电话号码phone_num等;
S302、用户将选择的用户密码passwd录入密钥及用户管理子***,用户密码作为用户密码可以参与鉴权口令和验证口令的计算,进一步加强验证机制的安全性;
进一步,还可以调用密码***修改密码流程,供用户修改密码。
S303、密钥及用户管理子***生成身份数字证书及其激活码;
身份数字证书的生成方式很多,可以根据身份证号、电话号码、用户密码或其它基本信息生成,本领域技术人员可以根据需要灵活选择生成方式。
身份数字证书的激活码的生成方式也很多,可以根据用户密码或其它基本信息生成,本领域技术人员可以根据需要灵活选择其它激活码生成方式,本发明实施例给出以下具体实现方式:
密钥及用户管理子***将passwd通过不可逆算法fsave计算得到原始口令的存储形式save_pass,其中:计算参数包括passwd和phone_num等:
save_pass=fsave(passwd,phone_num)
以phone_num为索引存储save_pass。密钥管理子***并不直接保存用户口令,由于采用的是不可逆算法,也无法通过save_pass反解出passwd。
密钥及用户管理子***通过不可逆算法fact生成激活码act_key:
act_key=fact(passwd,phone_num,id_num)
最后打印phone_num/act_key并发放给用户,完成开户流程。
二、身份数字证书下载流程
如图4所示,用户申请开户完成后,获得激活码,并通过密钥及用户管理子***中的下载服务器将身份数字证书下载到移动通信终端上,具体流程包括以下步骤:
S401、登录下载网站的网页;
S402、用户在网页的输入界面输入移动通信终端的用户号码,用户身份证号(如果选择)、以及激活码,向移动通信终端软件下载服务器发出请求,请求身份数字证书License’。移动通信终端软件下载服务器根据用户身份证号(如果选择)和激活码从CA服务器提取身份数字证书,并根据移动通信终端的用户号码发送到移动通信终端上;
License’=flic(passwd,phone_num,id_num,act_key)。
S403、移动通信终端根据用户操作,以phone_num为索引安装身份数字证书。
三、激活下载到移动通信终端上的身份数字证书
身份数字证书被激活后才可以使用,并且在激活过程中,可以同时完成使用移动通信终端的用户号码和个人数字证书的绑定,如图5所示,具体包括如下步骤:
S501、用户在移动通信终端上输入需要使用该功能的移动通信终端***phone_num,移动通信终端将保存该***;
S502、用户在移动通信终端输入开户时预留的用户密码passwd;
S503、用户在移动通信终端输入开户的时候预留的用户基本信息:身份证号码id_num(可选);
S504、移动通信终端采用与密钥及用户管理子***相同的不可逆算法fact计算act_key’:
act_key’=fact(passwd,phone_num,id_num)
S505、用户输入激活码act_key,如果act_key’与act_key不一致则激活失败。
S506、在密钥及用户管理子***将使用移动通信终端和个人数字证书进行绑定。
本发明实施例提供一种具体的绑定过程:
将移动通信终端特征信息作为phone_mask,例如移动通信终端的IMEI号作为phone_mask,若IMEI号无法取到则以移动通信终端的其它特征信息(如当前可用内存容量)为种子生成一个随机信息作为phone_mask。phone_mask用于区分不同的移动通信终端,以便对特定移动通信终端进行绑定;
采用不可逆算法fbind计算绑定码bind_key并保存在移动通信终端上:
bind_key=fbind(phone_num,phone_mask)
通过不可逆算法fsave计算原始口令的存储形式save_pass(此处save_pass并不保存,仅用于密钥对bind_key进行加密传输,以保证只有合法用户才能完成绑定):
save_pass=fsave(passwd,phone_num)
以save_pass为密钥加密phone_num/bind_key发送给密钥及用户管理子***;
密钥及用户管理子***以save_pass解密得到bind_key;
取随机信息作为同步码syn;
初始化服务器端计算次序seq_svr=0;
以phone_num为索引存储bind_key/syn/seq_svr;
密钥及用户管理子***返回syn给移动通信终端;
移动通信终端存储syn;
初始化移动通信终端计算次序seq_mob=0;
需要说明的是,用户密码、同步码syn可以在后期验证时作为计算验证口令和鉴权口令的参数,从而进一步加强验证机制的安全性。
激活成功。
通过开户、下载和激活流程,移动通信终端成功获得了用户的身份数字证书。
四、验证流程
用户完成开户流程,并获得身份数字证书后,日常的使用流程比较方便,具体使用过程中的验证流程如图6所示,包括如下步骤:
S601、用户登录网络服务器使用网络应用时,网络服务器首先请求用户出示身份数字证书,网络服务器和移动通信终端建立通信连接,根据用户的操作,移动通信终端将用户的身份数字证书传输给网络服务器;
S602、网络服务器生成包含用户的身份数字证书的验证请求并通过动态口令验证服务器发送给密钥及用户管理子***,以及接收密钥及用户管理子***返回的随机信息,并以防机器识别的方式显示随机信息challenge,例如采用抗自动识别的图型形式显示;
同时密钥及用户管理子***还根据当前的计算次序seq_svr、seq_svr+1...seq_svr+N-1,共计n个序列号,分别计算n个一次性验证口令OTP’组成的验证口令“有效窗口”,并将验证口令“有效窗口”发送给动态口令验证服务器:
OTP’i=fOTP(save_pass,syn,seq_svr+i,bind_key,challenge):i=1...n
S603、移动通信终端计算用户鉴权口令OTP;
移动通信终端根据用户输入的用户密码passwd、challenge,用户输入的用户密码仅在本次计算时候有效,并不在移动通信终端存储,不在网络上传输,以保证不被盗取。而且移动通信终端在计算鉴权口令的过程中也不连互联网。
移动通信终端上软件通过不可逆算法fsave计算用户密码的存储形式save_pass:
save_pass=fsave(passwd,card_num)
移动通信终端根据syn、当前计算次序seq_mob以及用户密码passwd和challenge,采用与后台***一致的不可逆算法fOTP计算其本次用户鉴权口令并将鉴权口令显示下移动通信终端的交互界面上,以及将当前计算次序递增:
OTP=fOTP(save_pass,syn,seq_mob,bind_key,challenge)
S604、口令验证过程。
用户在网络服务器的应用交互界面上输入OTP,网络服务器将OTP传输给动态口令验证服务器,动态口令验证服务器如果确定OTP与验证口令“有效窗口”中的某一个OTP’i一致,则本次验证通过,否则验证失败,并将验证结果返回给网络服务器和密钥及用户管理子***,网络服务器根据验证结果继续后续处理。
本发明实施例中,通过移动通信终端设备这个被越来越多人随身携带的设备存储身份数字证书,提供无需动态联网的媒介,实现动态口令验证技术,从而以低成本来大幅提高了网络应用验证机制的通用性和便携性。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1、一种网络应用用户身份验证***,其特征在于,包括:
密钥及用户管理子***,用于生成并保存用户使用网络应用的身份数字证书;在接收到包含身份数字证书的验证请求时,生成并输出随机信息,以及利用设定算法生成在设定时长内有效的用户验证口令信息并输出,所述用户验证口令信息的计算参数包括:验证请求中包含的身份数字证书和根据该验证请求生成的随机信息;
移动通信终端,用于从密钥及用户管理子***获得用户的身份数字证书,并在用户进行网络应用的身份验证时,将该身份数字证书输出给网络应用及验证子***;接收用户输入的随机信息,利用所述设定算法生成用户鉴权口令,所述用户鉴权口令的计算参数包括:用户输入的随机信息和保存的身份数字证书;
网络应用及验证子***,用于在用户请求进行网络应用的身份验证时,从移动通信终端获得身份数字证书,生成所述验证请求并发送给密钥及用户管理子***;接收所述密钥及用户管理子***输出的随机信息,接收用户输入的用户鉴权口令,接收所述密钥及用户管理子***输出的用户验证口令信息,以及根据所述鉴权口令和用户验证口令信息获得验证结果。
2、如权利要求1所述的***,其特征在于,所述网络应用及验证子***具体包括:
网络服务器,用于提供网络应用及验证子***的交互界面并在用户通过该交互界面请求进行网络应用的身份验证时,与所述移动通信终端建立通信连接并通过所述通信连接从移动通信终端获得身份数字证书,生成所述验证请求并转发;接收所述随机信息并通过网络应用及验证子***的交互界面显示给用户,接收用户通过网络应用及验证子***的交互界面输入的用户鉴权口令并转发,以及接收验证结果;
动态口令验证服务器,用于接收所述网络服务器输出的验证请求并转发给密钥及用户管理子***,接收所述密钥及用户管理子***输出的随机信息并转发给网络服务器;接收所述网络服务器转发的鉴权口令和密钥及用户管理子***输出的验证口令,以及根据所述鉴权口令和用户验证口令信息获得验证结果,并将所述验证结果发送给网络服务器。
3、如权利要求2所述的***,其特征在于:
所述密钥及用户管理子***还用于接收用户通过密钥及用户管理子***交互界面输入的用户密码并对应用户的身份数字证书进行保存;并且在利用所述设定算法生成在设定时长内有效的用户验证口令信息时,所述用户验证口令信息的计算参数还包括用户输入的用户密码;以及
所述移动通信终端还用于接收用户通过移动通信终端交互界面输入的用户密码,并且在利用所述设定算法生成用户鉴权口令时,所述用户鉴权口令的计算参数还包括用户输入的用户密码。
4、如权利要求2或3所述的***,其特征在于:
所述密钥及用户管理子***还用于根据设定规则维护标识用户验证次数累计值的第一序列号,并且在利用所述设定算法生成在设定时长内有效的用户验证口令信息时,所述用户验证口令信息的计算参数还包括:所述第一序列号;以及
所述移动通信终端还用于根据设定规则维护标识用户请求验证次数累计值的第二序列号,并且在利用所述设定算法生成用户鉴权口令时,所述用户鉴权口令的计算参数还包括:所述第二序列号。
5、如权利要求4所述的***,其特征在于,所述密钥及用户管理子***利用所述设定算法生成的在设定时长内有效的用户验证口令信息包括:利用包括所述第一序列号当前值的设定个数个第一序列号值中的每一个,分别对应生成的一组用户验证口令;以及
所述动态口令验证服务器根据所述鉴权口令和用户验证口令信息,当用户鉴权口令和一组用户验证口令中的任一个一致时,获得验证通过的结果,反之获得验证失败的结果。
6、如权利要求1~5任一所述的***,其特征在于,所述移动通信终端与网络应用及验证子***通过建立通信连接传输用户的身份数字证书,所述建立通信连接具体包括:
通过USB接口建立的有线连接;或者
通过蓝牙建立的无线连接;或者
通过红外线仿真串口建立的无线连接。
7、一种网络应用用户身份验证方法,其特征在于,包括:
移动通信终端在用户进行网络应用的身份验证时,向网络应用及验证子***输出从密钥及用户管理子***获得的用户的身份数字证书;
网络应用及验证子***在接收到用户的身份数字证书时,生成包含身份数字证书的验证请求并发送给密钥及用户管理子***;
密钥及用户管理子***根据接收的验证请求,生成随机信息并利用设定算法生成在设定时长内有效的用户验证口令信息,以及将所述随机信息和用户验证口令信息输出给网络应用及验证子***,所述用户验证口令信息的计算参数包括:验证请求中包含的身份数字证书和根据该验证请求生成的随机信息;
网络应用及验证子***接收密钥及用户管理子***输出的随机信息和用户验证口令信息,接收用户输入的用户鉴权口令,所述用户鉴权口令为移动通信终端根据用户输入的随机信息时利用所述设定算法生成并显示给用户,所述用户鉴权口令的计算参数包括:用户输入的随机信息和保存的身份数字证书;
网络应用及验证子***根据所述鉴权口令和在设定时长内有效的用户验证口令信息,对用户身份进行验证。
8、如权利要求7所述的方法,其特征在于:
所述用户验证口令信息的计算参数还包括:用户预先保存在密钥及用户管理子***中的用户密码;以及
所述用户鉴权口令的计算参数还包括:用户通过移动通信终端交互界面接收到输入随机信息时,还输入的用户密码。
9、如权利要求7或8所述的方法,其特征在于:
所述用户验证口令信息的计算参数还包括:密钥及用户管理子***根据设定规则维护的用于标识用户验证次数累计值的第一序列号;以及
所述用户鉴权口令的计算参数还包括:移动通信终端根据所述设定规则维护的用于标识用户请求验证次数累计值的第二序列号。
10、如权利要求9所述的方法,其特征在于,所述用户验证口令信息包括:利用包括所述第一序列号当前值的设定个数个第一序列号值中的每一个,分别对应生成的一组用户验证口令;以及
所述网络应用及验证子***根据鉴权口令和用户验证口令信息,对用户身份进行验证具体包括:当用户鉴权口令和所述一组用户验证口令中的任一个一致时,获得验证通过的结果,反之获得验证失败的结果。
11、一种移动通信终端,其特征在于,包括:
用于获得用户的身份数字证书的单元;
用于在用户进行网络应用的身份验证时,与网络应用及验证子***建立通信连接并通过通信连接输出该身份数字证书的单元;
用于接收用户通过移动通信终端交互界面输入的随机信息的单元;
用于利用设定算法生成用户鉴权口令并由移动通信终端交互界面进行显示的单元,所述用户鉴权口令的计算参数包括用户输入的随机信息和保存的身份数字证书。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810226984XA CN101414909B (zh) | 2008-11-28 | 2008-11-28 | 网络应用用户身份验证***、方法和移动通信终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810226984XA CN101414909B (zh) | 2008-11-28 | 2008-11-28 | 网络应用用户身份验证***、方法和移动通信终端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101414909A true CN101414909A (zh) | 2009-04-22 |
| CN101414909B CN101414909B (zh) | 2010-12-01 |
Family
ID=40595242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810226984XA Active CN101414909B (zh) | 2008-11-28 | 2008-11-28 | 网络应用用户身份验证***、方法和移动通信终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101414909B (zh) |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101957958A (zh) * | 2010-09-19 | 2011-01-26 | 中兴通讯股份有限公司 | 一种实现网络支付的方法及手机终端 |
| CN102377759A (zh) * | 2010-08-25 | 2012-03-14 | ***通信有限公司 | 业务处理***、用户身份识别方法以及相关装置 |
| CN101765108B (zh) * | 2009-07-01 | 2012-05-30 | 北京华胜天成科技股份有限公司 | 基于移动终端的安全认证服务平台***、装置和方法 |
| CN102780674A (zh) * | 2011-05-09 | 2012-11-14 | 同方股份有限公司 | 一种具有多因素认证方法的网络业务处理方法及*** |
| CN102932244A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| US8438380B2 (en) | 2009-09-17 | 2013-05-07 | Ambit Microsystems (Shanghai) Ltd. | Method for controlling remote wireless device with a user device |
| CN103167491A (zh) * | 2011-12-15 | 2013-06-19 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
| CN103179564A (zh) * | 2011-12-22 | 2013-06-26 | 上海格尔软件股份有限公司 | 基于移动终端认证的网络应用登录方法 |
| CN103618605A (zh) * | 2013-11-26 | 2014-03-05 | 中国联合网络通信集团有限公司 | 时变访问令牌的生成方法及服务器 |
| CN104113556A (zh) * | 2014-07-31 | 2014-10-22 | 国家超级计算深圳中心(深圳云计算中心) | 网络登录验证方法和***及移动终端和应用服务器 |
| CN104349313A (zh) * | 2013-07-23 | 2015-02-11 | 阿里巴巴集团控股有限公司 | 业务授权方法、设备及*** |
| CN104601593A (zh) * | 2015-02-04 | 2015-05-06 | 公安部第三研究所 | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 |
| CN104991748A (zh) * | 2015-07-08 | 2015-10-21 | 李昕 | 一种远程三维打印***及其方法 |
| CN105099680A (zh) * | 2014-05-05 | 2015-11-25 | 中国电子信息产业发展研究院 | 一种根据数字证书认证用户身份的方法及装置 |
| CN105281913A (zh) * | 2015-09-17 | 2016-01-27 | 杭州猿人数据科技有限公司 | 用于电子签名的电子证据处理方法、***及动态码服务*** |
| CN105405012A (zh) * | 2014-09-11 | 2016-03-16 | 苏州海博智能***有限公司 | 智能ic卡及支付处理方法 |
| CN105610822A (zh) * | 2015-12-28 | 2016-05-25 | 东软熙康健康科技有限公司 | 授信验证方法及装置 |
| CN101997824B (zh) * | 2009-08-20 | 2016-08-10 | ***通信集团公司 | 基于移动终端的身份认证方法及其装置和*** |
| CN106656993A (zh) * | 2016-11-04 | 2017-05-10 | ***股份有限公司 | 一种动态验证码验证方法及装置 |
| CN107231343A (zh) * | 2017-04-25 | 2017-10-03 | 广东网金控股股份有限公司 | 一种u盾激活方法、客户端及*** |
| CN107274182A (zh) * | 2016-04-06 | 2017-10-20 | 阿里巴巴集团控股有限公司 | 业务处理方法及装置 |
| CN107769913A (zh) * | 2016-08-16 | 2018-03-06 | 广东国盾量子科技有限公司 | 一种基于量子UKey的通信方法及*** |
| CN108052829A (zh) * | 2017-09-05 | 2018-05-18 | 重庆自由家信息技术有限公司 | 一种数据融合方法 |
| CN108737112A (zh) * | 2018-06-04 | 2018-11-02 | 北京艾丕科技有限责任公司 | 一种激活手机盾的*** |
| CN109313683A (zh) * | 2016-03-02 | 2019-02-05 | 瑞可利有限公司 | 认证处理装置及认证处理方法 |
| CN109600223A (zh) * | 2017-09-30 | 2019-04-09 | 腾讯科技(深圳)有限公司 | 验证方法、激活方法、装置、设备及存储介质 |
| WO2021004392A1 (zh) * | 2019-07-05 | 2021-01-14 | 华为技术有限公司 | 鉴权方法、设备及服务器 |
-
2008
- 2008-11-28 CN CN200810226984XA patent/CN101414909B/zh active Active
Cited By (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101765108B (zh) * | 2009-07-01 | 2012-05-30 | 北京华胜天成科技股份有限公司 | 基于移动终端的安全认证服务平台***、装置和方法 |
| CN101997824B (zh) * | 2009-08-20 | 2016-08-10 | ***通信集团公司 | 基于移动终端的身份认证方法及其装置和*** |
| US8438380B2 (en) | 2009-09-17 | 2013-05-07 | Ambit Microsystems (Shanghai) Ltd. | Method for controlling remote wireless device with a user device |
| CN102026171B (zh) * | 2009-09-17 | 2013-06-12 | 国基电子(上海)有限公司 | 安全控制远程无线设备的方法 |
| CN102377759B (zh) * | 2010-08-25 | 2014-10-08 | ***通信有限公司 | 业务处理***、用户身份识别方法以及相关装置 |
| CN102377759A (zh) * | 2010-08-25 | 2012-03-14 | ***通信有限公司 | 业务处理***、用户身份识别方法以及相关装置 |
| CN101957958A (zh) * | 2010-09-19 | 2011-01-26 | 中兴通讯股份有限公司 | 一种实现网络支付的方法及手机终端 |
| US8751404B2 (en) | 2010-09-19 | 2014-06-10 | Zte Corporation | Method and mobile terminal for realizing network payment |
| CN102780674A (zh) * | 2011-05-09 | 2012-11-14 | 同方股份有限公司 | 一种具有多因素认证方法的网络业务处理方法及*** |
| CN103167491A (zh) * | 2011-12-15 | 2013-06-19 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
| CN103167491B (zh) * | 2011-12-15 | 2016-03-02 | 上海格尔软件股份有限公司 | 一种基于软件数字证书的移动终端唯一性认证方法 |
| CN103179564B (zh) * | 2011-12-22 | 2016-04-06 | 上海格尔软件股份有限公司 | 基于移动终端认证的网络应用登录方法 |
| CN103179564A (zh) * | 2011-12-22 | 2013-06-26 | 上海格尔软件股份有限公司 | 基于移动终端认证的网络应用登录方法 |
| CN102932244B (zh) * | 2012-10-25 | 2015-08-12 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN102932244A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN104349313A (zh) * | 2013-07-23 | 2015-02-11 | 阿里巴巴集团控股有限公司 | 业务授权方法、设备及*** |
| CN104349313B (zh) * | 2013-07-23 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 业务授权方法、设备及*** |
| CN110087241B (zh) * | 2013-07-23 | 2022-06-03 | 创新先进技术有限公司 | 业务授权方法、设备及*** |
| CN110087241A (zh) * | 2013-07-23 | 2019-08-02 | 阿里巴巴集团控股有限公司 | 业务授权方法、设备及*** |
| CN103618605A (zh) * | 2013-11-26 | 2014-03-05 | 中国联合网络通信集团有限公司 | 时变访问令牌的生成方法及服务器 |
| CN103618605B (zh) * | 2013-11-26 | 2017-07-14 | 中国联合网络通信集团有限公司 | 时变访问令牌的生成方法及服务器 |
| CN105099680B (zh) * | 2014-05-05 | 2019-02-12 | 中国电子信息产业发展研究院 | 一种根据数字证书认证用户身份的方法及装置 |
| CN105099680A (zh) * | 2014-05-05 | 2015-11-25 | 中国电子信息产业发展研究院 | 一种根据数字证书认证用户身份的方法及装置 |
| CN104113556A (zh) * | 2014-07-31 | 2014-10-22 | 国家超级计算深圳中心(深圳云计算中心) | 网络登录验证方法和***及移动终端和应用服务器 |
| CN105405012A (zh) * | 2014-09-11 | 2016-03-16 | 苏州海博智能***有限公司 | 智能ic卡及支付处理方法 |
| CN104601593B (zh) * | 2015-02-04 | 2017-12-01 | 公安部第三研究所 | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 |
| CN104601593A (zh) * | 2015-02-04 | 2015-05-06 | 公安部第三研究所 | 基于挑战方式实现网络电子身份认证过程中防追踪的方法 |
| CN104991748A (zh) * | 2015-07-08 | 2015-10-21 | 李昕 | 一种远程三维打印***及其方法 |
| CN105281913B (zh) * | 2015-09-17 | 2019-01-15 | 杭州猿人数据科技有限公司 | 用于电子签名的电子证据处理方法、***及动态码服务*** |
| CN105281913A (zh) * | 2015-09-17 | 2016-01-27 | 杭州猿人数据科技有限公司 | 用于电子签名的电子证据处理方法、***及动态码服务*** |
| CN105610822A (zh) * | 2015-12-28 | 2016-05-25 | 东软熙康健康科技有限公司 | 授信验证方法及装置 |
| CN109313683A (zh) * | 2016-03-02 | 2019-02-05 | 瑞可利有限公司 | 认证处理装置及认证处理方法 |
| CN107274182B (zh) * | 2016-04-06 | 2020-06-16 | 阿里巴巴集团控股有限公司 | 业务处理方法及装置 |
| CN107274182A (zh) * | 2016-04-06 | 2017-10-20 | 阿里巴巴集团控股有限公司 | 业务处理方法及装置 |
| CN107769913B (zh) * | 2016-08-16 | 2020-12-29 | 广东国盾量子科技有限公司 | 一种基于量子UKey的通信方法及*** |
| CN107769913A (zh) * | 2016-08-16 | 2018-03-06 | 广东国盾量子科技有限公司 | 一种基于量子UKey的通信方法及*** |
| CN106656993A (zh) * | 2016-11-04 | 2017-05-10 | ***股份有限公司 | 一种动态验证码验证方法及装置 |
| CN106656993B (zh) * | 2016-11-04 | 2019-12-06 | ***股份有限公司 | 一种动态验证码验证方法及装置 |
| CN107231343A (zh) * | 2017-04-25 | 2017-10-03 | 广东网金控股股份有限公司 | 一种u盾激活方法、客户端及*** |
| CN107231343B (zh) * | 2017-04-25 | 2019-10-11 | 广东网金控股股份有限公司 | 一种u盾激活方法、客户端及*** |
| CN108052829A (zh) * | 2017-09-05 | 2018-05-18 | 重庆自由家信息技术有限公司 | 一种数据融合方法 |
| CN109600223A (zh) * | 2017-09-30 | 2019-04-09 | 腾讯科技(深圳)有限公司 | 验证方法、激活方法、装置、设备及存储介质 |
| CN109600223B (zh) * | 2017-09-30 | 2021-05-14 | 腾讯科技(深圳)有限公司 | 验证方法、激活方法、装置、设备及存储介质 |
| CN108737112A (zh) * | 2018-06-04 | 2018-11-02 | 北京艾丕科技有限责任公司 | 一种激活手机盾的*** |
| WO2021004392A1 (zh) * | 2019-07-05 | 2021-01-14 | 华为技术有限公司 | 鉴权方法、设备及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101414909B (zh) | 2010-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101414909B (zh) | 网络应用用户身份验证***、方法和移动通信终端 | |
| CN103259667B (zh) | 移动终端上eID身份认证的方法及*** | |
| CN101222333B (zh) | 一种数据交易处理方法及设备 | |
| US7362869B2 (en) | Method of distributing a public key | |
| CN103229452B (zh) | 移动手持设备的识别和通信认证 | |
| EP1807966B1 (en) | Authentication method | |
| CN101547095B (zh) | 基于数字证书的应用服务管理***及管理方法 | |
| CN112953970B (zh) | 一种身份认证方法及身份认证*** | |
| US20120084565A1 (en) | Cryptographic device that binds an additional authentication factor to multiple identities | |
| US9344896B2 (en) | Method and system for delivering a command to a mobile device | |
| CN101699892B (zh) | 动态口令生成方法和动态口令生成装置及网络*** | |
| CN110073387A (zh) | 证实通信设备与用户之间的关联 | |
| CN102148685A (zh) | 一种由用户自定义多密码种子动态密码认证方法及*** | |
| CN101527634B (zh) | 账户信息与证书绑定的***和方法 | |
| CN101393628A (zh) | 一种新型的网上安全交易***和方法 | |
| CN106850201A (zh) | 智能终端多因子认证方法、智能终端、认证服务器及*** | |
| CN102238193A (zh) | 数据认证方法及使用该方法的*** | |
| KR20070084801A (ko) | 스마트카드를 이용한 원 타임 패스워드 생성 및 인증방법그리고 이를 위한 스마트카드 | |
| TWI578253B (zh) | 使用行動通訊裝置申請金融憑證之系統及其方法 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN110247758A (zh) | 密码管理的方法、装置及密码管理器 | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及*** | |
| TW201601083A (zh) | 一次性密碼生成的方法、裝置及認證方法、認證系統 | |
| CN104125230A (zh) | 一种短信认证服务***以及认证方法 | |
| CN103401686B (zh) | 一种用户互联网身份认证***及其应用方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |