CN101686126A - 一套新型动态密码认证和实名上网的方法 - Google Patents
一套新型动态密码认证和实名上网的方法 Download PDFInfo
- Publication number
- CN101686126A CN101686126A CN200810211363A CN200810211363A CN101686126A CN 101686126 A CN101686126 A CN 101686126A CN 200810211363 A CN200810211363 A CN 200810211363A CN 200810211363 A CN200810211363 A CN 200810211363A CN 101686126 A CN101686126 A CN 101686126A
- Authority
- CN
- China
- Prior art keywords
- usbkey
- password
- real name
- digital certificate
- dynamic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明通过独立的密码管理中心,基于数字证书和USBKey技术的一套新型动态密码认证和实名上网方法。该方法的具体组成包括密码管理中心、客户端软件、USBKey、数字证书。密码管理中心接受动态密码申请,产生动态密码,通过数字证书技术将动态密码安全分发到客户端;并同步更新认证***的对应密码,从而实现动态密码认证;将本方法应用到上网接入认证,即可实现用户实名制安全上网。该方法解决了当前同类方法存在的高成本、密码失步、非实名、***改造量大等问题,提供了一种实名、安全、经济、可靠的新型动态密码认证和实名上网方法。
Description
【所属技术领域】
一种基于数字证书和USBkey的动态密码服务和实名上网方法,具体包括密码管理中心、客户端软件、USBkey、数字证书。
【技术背景】
口令密码技术是目前互联网应用进行用户认证的普遍技术,但是传统的静态口令密码技术安全强度较低,不能适应当前互联网应用愈发突出的安全性要求;当前的上网接入方式就是普遍采用静态口令密码方式。
现有的一种动态密码技术,就是在客户端和服务器端基于共同的算法、共同的参数进行同步运算,将当次运算的结果作为当次认证密码,客户端需要配备专门的硬件。这种技术存在三个明显缺陷:由于需要配备专门客户端硬件,单项成本过高;从技术上仍然存在客户端和对应认证***端密码不同步的可能性;对于已有应用***,要求对应的认证***进行改造,并增加服务器认证运算负载。
与上述方法不同的是,本发明通过独立的密码管理中心,利用数字证书和USBkey的安全特性而形成的一套新型动态密码方法。USBkey是指集成了安全芯片的各类终端设备,包括Uebkey以及key盘、安全智能卡等,终端中的安全芯片集成了各种对称和非对成密码算法,能安全保存各种密码和数据。该方法彻底解决了前一种动态密码认证技术的缺陷:实现动态密码认证只是利用USBkey现有功能,不需要新增硬件成本;本发明引入了独立密码管理中心,通过该中心的事务逻辑控制客户端和服务器端的动态密码同步更新,彻底解决客户端和服务器端密码失步问题;对于已有应用认证***,本发明不要求进行改造,并且不增加认证***认证运算量;还有,由于USBkey支持数字证书密码运算及其私钥的安全存放,有效保证了动态密码可以安全分发到每个用户USBkey,并安全保存。将本方法应用到上网接入认证,即可利用数字证书实现用户实名制上网,并提高现有帐号/口令模式的安全性。
本发明兼有实名、安全、经济、可靠的特点。
【发明目的】
本发明的目的有两个:
1.提供一套实名、安全、经济、可靠的动态密码认证方法。
2.提供一套实名、安全、经济、可靠的上网认证方法。
【发明内容】
一套基于数字证书和USBkey实现动态密码认证和实名上网的方法,由密码管理中心、客户端软件、USBkey、数字证书组成。具体包括四个方法:
1.基于数字证书的动态密码方法。
密码管理中心接受来自用户或者对应认证***的动态密码申请,产生动态密码,通过数字证书技术将动态密码安全分发到客户端;通过安全的传输通道将相同的动态密码发送给对应的认证***;并通过事务机制保证用户端和对应认证***端的动态密码同步更新,实现用户认证***对客户端的动态密码认证,从而提供动态密码服务。
为了减少本方法对传统认证模式的影响,提高本方法的健壮性,可以补充异常处理方法:在动态密码更新后,在客户端和对应的认证***端同时继续安全保存上一次认证成功过的密码,一旦用户用更新后的动态密码认证失败,客户端和服务器端可以自动适配上一次成功认证过的密码进行认证,这样可以屏蔽因为密码管理中心或者其他故障影响用户认证,该异常处理方法的一个关键是要安全保存上一次认证成功过的密码。
这种方法可以适用于各类互联网应用,前提是用户必须保证其证书私钥的安全性。
2.基于数字证书和USBkey的动态密码方法。
在方法1的基础上,增加USBkey安全保存数字证书和私钥,以及上一次认证成功过的密码,并通过增强的安全接口访问,可以进一步提高方法1的安全性,适应于更高安全需要的应用。
3.基于数字证书的实名安全上网方法。
在方法1的基础上,结合上网接入认证的特殊性,可以提供实名安全上网方法。,上网接入认证的特殊性在于:用户上网接入认证通过之前,用户还不具备上网能力,无法访问密码管理中心请求动态密码,因此用户开户的时候必须获得一个与对应的认证***一致的帐号和密码,用户首次拨号上网的时候以该帐号和密码拨号,认证通过后即通过方法1完成用户端和对应认证***端的动态密码同步更新,并安全保存到指定位置,下次拨号的时候,拨号客户端软件通过安全访问接口自动获取更新后的帐号和口令,按照标准的拨号协议完成拨号认证。
4.基于数字证书和USBkey的实名安全上网方法。
在方法3的基础上,增加USBkey安全保存数字证书和私钥,以及拨号帐号和密码,并通过增强的安全接口访问,可以进一步提高方法1的安全性。
如果将实名制证书用在上述方法中,即可提供对应的实名动态密码认证和实名上网方法。
方法中涉及USBkey的方法,也适用于除USBkey外的其他密码安全芯片设备;其他密码安全芯片设备也可以通过增加权利4所述的功能而形成对应的新型密码安全芯片装置,不仅是针对USBkey,也包括各类IC卡、手机卡、支付卡等、或者其他智能设备的安全芯片模块;所涉及数字证书是指各种公钥数字证书,无论由何种机构签发。
【有益效果】
提供一种实名、安全、经济、可靠的的动态密码方法;提供了一种实名上网接入方法,对于保持互联网健康有序的发展具有重要意义。
【附图说明】
附图1基于数字证书的动态密码认证过程。
附图2基于数字证书和USBKey的动态密码认证过程。
附图3基于数字证书的实名上网认证过程。
附图4基于数字证书和USBKey的实名上网认证过程。
【实现过程】
本部分各流程说明只是为了说明本发明的原理,不代表本发明的唯一实现方式,实际的实施流程只要符合本发明的精神,均覆盖在本发明的权利要求范围之内。
一、基于数字证书的动态密码认证的过程:
1.客户端软件向密码管理中心请求动态密码;也可以由对应的认证***发起动态密码请求,由认证***还是由客户端发起,可以根据具体应用场景选择,本流程以客户端发起为例;
2.密码管理中心产生动态密码,并利用用户数字证书将动态密码加密后返回给客户端;同时将对应的动态密码安全推送给对应的认证***,该过程中,密码管理中心负责控制客户端和认证***之间的动态密码同步;
3.客户端利用用户数字证书解密获得动态密码,并自动提交对应的认证***验证。
根据具体业务需要,可以选择在客户端和认证***端保留上次认证成功过的动态密码,以免本方法异常时影响用户使用。
二、基于数字证书和USBkey的动态密码认证的过程:
1.客户端软件向密码管理中心请求动态密码;也可以由对应的认证***发起动态密码请求,由认证***还是由客户端发起,可以根据具体应用场景选择,本流程以客户端发起为例;
2.密码管理中心产生动态密码,并利用用户数字证书将动态密码加密后返回给客户端;同时将对应的动态密码安全推送给对应的认证***,该过程中,密码管理中心负责控制客户端和认证***之间的动态密码同步;
3.客户端利用用户数字证书解密获得动态密码保存在USBkey,并通过增强的安全访问接口自动提交对应的认证***验证。
根据具体业务需要,可以选择在客户端的USBkey和认证***端保留上次认证成功过的动态密码,以免本方法异常时保证用户正常认证。
三、基于数字证书的实名上网认证的过程:
1.客户端软件利用本地保存的帐号和密码按照标准的拨号协议进行拨号认证请求;如果是首次拨号,则使用的是开户时分配的拨号帐号和密码,否则使用的是上次拨号成功后向密码管理中心请求获取的动态密码,如果拨号失败,可以使用最近一次认证成功过的密码尝试拨号;
2.对应的认证***将认证结果返回给客户端;
3.拨号成功后,客户端软件向密码管理中心请求动态密码;也可以由对应的认证***发起动态密码请求,由认证***还是由客户端发起,可以根据具体应用场景选择,并流程以客户端发起为例;
4.密码管理中心产生动态密码,并利用用户数字证书将动态密码加密后返回给拨号客户端;同时将对应的动态密码安全推送给对应的认证***,该过程中,密码管理中心负责控制拨号客户端和认证***之间的动态密码同步;
5.拨号客户端利用用户数字证书解密获得动态密码并安全保存,对应的认证***也保存对应的动态密码。下一次拨号使用该动态密码进行认证。
根据具体业务需要,可以选择在客户端和认证***端保留上次认证成功过的动态密码,以免本方法异常时影响用户使用。
四、基于数字证书的动态密码认证的过程:
1.客户端软件利用本地USBkey保存的帐号和密码按照标准的拨号协议进行拨号认证请求;如果是首次拨号,则使用的是开户时分配的拨号帐号和密码,否则使用的是上次拨号成功后向密码管理中心请求获取的动态密码,如果拨号失败,可以使用最近一次认证成功过的密码尝试拨号;
2.对应的认证***将认证结果返回给客户端;
3.拨号成功后,客户端软件向密码管理中心请求动态密码;也可以由对应的认证***发起动态密码请求,由认证***还是由客户端发起,可以根据具体应用场景选择,并流程以客户端发起为例;
4.密码管理中心产生动态密码,并利用用户数字证书将动态密码加密后返回给拨号客户端;同时将对应的动态密码安全推送给对应的认证***,该过程中,密码管理中心负责控制拨号客户端和认证***之间的动态密码同步;
5.拨号客户端利用用户数字证书解密获得动态密码并安全保存在USBkey,对应的认证***也保存对应的动态密码。下一次拨号使用该动态密码进行认证。
根据具体业务需要,可以选择在客户端的USBkey和认证***端保留上次认证成功过的动态密码,以免本方法异常时影响用户使用。
Claims (16)
1.一种基于实名数字证书实现动态密码的方法,其特征在于:基于数字证书技术,实现安全、经济、可靠的新型动态密码认证方法,密码管理中心接受来自用户或者对应认证***的动态密码申请,产生动态密码,通过数字证书技术将动态密码安全分发到客户端;通过安全的传输通道将相同的动态密码发送给对应的认证***;并通过事务机制保证用户端和对应认证***端的动态密码同步更新,实现用户认证***对客户端的动态密码认证,从而提供动态密码认证,为了减少本方法对传统认证模式的影响,提高本方法的健壮性,可以补充异常处理方法。
2.一种基于实名数字证书的实名动态密码方法。其特征在于:权利1所述的方法中,当用户证书为实名证书时,就可实现用户实名动态密码认证。
3.一种基于数字证书和USBkey的动态密码方法。其特征在于:在包含权利1所述方法的基础上,增加USBkey安全保存数字证书和私钥,以及上一次认证成功过的密码,并通过增强的终端安全接口访问,可以进一步提高权利1所述方法的安全性,适应于更高安全需要的应用。
4.一种基于实名数字证书和USBkey的实名动态密码方法。其特征在于:权利3所述的方法中,当用户证书为实名证书时,就可实现基于数字证书和USBkey的实名动态密码认证方法。
5.一种基于数字证书的安全上网方法。其特征在于:在包含权利1所述方法的基础上,结合上网接入认证的特殊性,提供实名、安全、经济、可靠的上网方法,上网接入认证的特殊性在于:用户上网接入认证通过之前,用户还不具备上网能力,无法访问密码管理中心请求动态密码,因此,本方法在权利1所述方法的基础上进行如下改进:首先,用户开户时必须获得一个与对应的认证***一致的帐号和密码,用户首次拨号上网的时候以该帐号和密码拨号;其次,认证通过后通过权利1所述方法完成用户端和对应认证***端的动态密码同步更新,并安全保存到指定位置,下次拨号的时候,拨号客户端软件通过安全访问接口自动获取更新后的帐号和口令,按照标准的拨号协议完成拨号认证。
6.一种基于实名数字证书的实名安全上网方法。其特征在于:权利5所述的方法中,当用户证书为实名证书时,就可实现用户实名安全上网。
7.一种基于数字证书和USBkey的安全上网方法。其特征在于:包含权利5所述方法的基础上,增加USBkey安全保存数字证书和私钥,以及拨号帐号和密码,并通过增强的安全接口访问,可以进一步提高权利5所述方法的安全性。
8.一种基于实名数字证书和USBkey的实名安全上网方法。其特征在于:其特征在于:权利7所述的方法中,当用户证书为实名证书时,就实现了用户实名安全上网。
9.如权利要求1、3、5和7所述方法,其特征在于:数字证书是指各种公钥数字证书,无论由何种机构签发。
10.如权利要求3、4、7和8所述方法,其特征在于:USBkey是指集成了安全芯片并支持USB接口的计算机外设,终端中的安全芯片集成了各种对称和非对成密码算法,能安全保存各种密码和数据,并提供安全访问接口。
11.如权利要求1、2、3、4、5、6、7和8所述方法,为了减少本方法对传统认证模式的影响,提高本方法的健壮性,可以补充异常处理方法,其特征在于:在动态密码更新后,在客户端和对应的认证***端继续同时安全保持上一次认证成功过的密码,一旦用户用更新后的动态密码认证失败,客户端和服务器端可以自动适配上一次成功认证过的密码进行认证,这样可以屏蔽因为密码管理中心或者其他故障影响用户认证,该异常处理方法的一个关键是要安全保存上一次认证成功过的密码。
12.如权利要求3、4、7、8所述方法,通过增强的终端安全接口访问,其特征在于:终端访问接口具备验证调用者身份和访问权限,以及加密传输敏感数据,防止敏感信息泄露或被篡改等安全机制。
13.一种包含权利3所述方法的扩展方法,其特征在于:权利3所述的方法可扩展到除USBKey以外的其他密码安全芯片设备,也就是权利3所述的方法不仅是针对USBkey,也包括各类IC卡、手机卡、支付卡等、或者其他智能设备的安全芯片模块。
14.一种包含权利4所述方法的扩展方法,其特征在于:权利3所述的方法可扩展到除USBKey以外的其他密码安全芯片设备,也就是权利3所述的方法不仅是针对USBkey,也包括各类IC卡、手机卡、支付卡等、或者其他智能设备的安全芯片模块。
15.一种包含权利7所述方法的扩展方法,其特征在于:权利3所述的方法可扩展到除USBKey以外的其他密码安全芯片设备,也就是权利3所述的方法不仅是针对USBkey,也包括各类IC卡、手机卡、支付卡等、或者其他智能设备的安全芯片模块。
16.一种包含权利8所述方法的扩展方法,其特征在于:权利6所述的方法可扩展到除USBKey以外的其他密码安全芯片设备,也就是权利6所述的方法不仅是针对USBkey,也包括各类IC卡、手机卡、支付卡等、或者其他智能设备的安全芯片模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810211363A CN101686126A (zh) | 2008-09-24 | 2008-09-24 | 一套新型动态密码认证和实名上网的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810211363A CN101686126A (zh) | 2008-09-24 | 2008-09-24 | 一套新型动态密码认证和实名上网的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101686126A true CN101686126A (zh) | 2010-03-31 |
Family
ID=42049115
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200810211363A Pending CN101686126A (zh) | 2008-09-24 | 2008-09-24 | 一套新型动态密码认证和实名上网的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101686126A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102769629A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 客户端密码存储方法及服务*** |
| CN102866998A (zh) * | 2011-07-05 | 2013-01-09 | 中兴通讯股份有限公司 | 一种同步***中集中式密码管理方法和*** |
| CN103684798A (zh) * | 2013-12-31 | 2014-03-26 | 南京理工大学连云港研究院 | 一种用于分布式用户服务间认证*** |
| CN106712948A (zh) * | 2017-03-09 | 2017-05-24 | 铁道第三勘察设计院集团有限公司 | 软件安全的集散控制架构及其控制方法 |
| WO2017101704A1 (zh) * | 2015-12-16 | 2017-06-22 | 阿里巴巴集团控股有限公司 | 验证方法及装置 |
| CN107682153A (zh) * | 2017-11-07 | 2018-02-09 | 歌尔股份有限公司 | 网络接入方法、密码远程更新方法、物联网设备及*** |
| CN108429726A (zh) * | 2017-07-12 | 2018-08-21 | 深圳市创想网络***有限公司 | 一种安全wifi证书加密验证接入方法及其*** |
| CN109194696A (zh) * | 2018-11-01 | 2019-01-11 | 福建工程学院 | 一种数据接口防扩散方法 |
| CN115622687A (zh) * | 2022-12-19 | 2023-01-17 | 深圳昂楷科技有限公司 | 动态密码生成方法、装置、计算机设备与介质 |
-
2008
- 2008-09-24 CN CN200810211363A patent/CN101686126A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102866998A (zh) * | 2011-07-05 | 2013-01-09 | 中兴通讯股份有限公司 | 一种同步***中集中式密码管理方法和*** |
| CN102769629A (zh) * | 2012-07-27 | 2012-11-07 | 汉柏科技有限公司 | 客户端密码存储方法及服务*** |
| CN102769629B (zh) * | 2012-07-27 | 2016-03-02 | 汉柏科技有限公司 | 客户端密码存储方法及服务*** |
| CN103684798A (zh) * | 2013-12-31 | 2014-03-26 | 南京理工大学连云港研究院 | 一种用于分布式用户服务间认证*** |
| CN103684798B (zh) * | 2013-12-31 | 2017-03-22 | 南京理工大学连云港研究院 | 一种用于分布式用户服务间认证方法 |
| WO2017101704A1 (zh) * | 2015-12-16 | 2017-06-22 | 阿里巴巴集团控股有限公司 | 验证方法及装置 |
| US10686801B2 (en) | 2015-12-16 | 2020-06-16 | Alibaba Group Holding Limited | Selecting user identity verification methods based on verification results |
| US11196753B2 (en) | 2015-12-16 | 2021-12-07 | Advanced New Technologies Co., Ltd. | Selecting user identity verification methods based on verification results |
| CN106712948A (zh) * | 2017-03-09 | 2017-05-24 | 铁道第三勘察设计院集团有限公司 | 软件安全的集散控制架构及其控制方法 |
| CN108429726A (zh) * | 2017-07-12 | 2018-08-21 | 深圳市创想网络***有限公司 | 一种安全wifi证书加密验证接入方法及其*** |
| CN107682153A (zh) * | 2017-11-07 | 2018-02-09 | 歌尔股份有限公司 | 网络接入方法、密码远程更新方法、物联网设备及*** |
| CN109194696A (zh) * | 2018-11-01 | 2019-01-11 | 福建工程学院 | 一种数据接口防扩散方法 |
| CN109194696B (zh) * | 2018-11-01 | 2021-09-21 | 福建工程学院 | 一种数据接口防扩散方法 |
| CN115622687A (zh) * | 2022-12-19 | 2023-01-17 | 深圳昂楷科技有限公司 | 动态密码生成方法、装置、计算机设备与介质 |
| CN115622687B (zh) * | 2022-12-19 | 2023-10-20 | 深圳昂楷科技有限公司 | 动态密码生成方法、装置、计算机设备与介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101686126A (zh) | 一套新型动态密码认证和实名上网的方法 | |
| JP5595636B2 (ja) | 安全な情報記憶デバイスと少なくとも1つのサードパーティとの間の通信、対応するエンティティ、情報記憶デバイス、及びサードパーティのための方法及びシステム | |
| CN101222488B (zh) | 控制客户端访问网络设备的方法和网络认证服务器 | |
| CN101183932B (zh) | 一种无线应用服务的安全认证***及其注册和登录方法 | |
| CN102202306B (zh) | 移动安全认证终端及方法 | |
| US8578452B2 (en) | Method for securely creating a new user identity within an existing cloud account in a cloud computing system | |
| KR20110126124A (ko) | 2-요소 인증을 위해 정적 암호를 변경하는 시스템 | |
| CN103679062A (zh) | 智能电表主控芯片和安全加密方法 | |
| CN101841525A (zh) | 安全接入方法、***及客户端 | |
| WO2018133674A1 (zh) | 一种银行支付许可认证信息的反馈验证方法 | |
| CN101686127A (zh) | 一种新型的USBKey安全调用方法和USBKey装置 | |
| CN101686128A (zh) | 一种新型的USBKey外部认证方法和USBKey装置 | |
| CN101986598B (zh) | 认证方法、服务器及*** | |
| CN101321064A (zh) | 一种基于数字证书技术的信息***的访问控制方法及装置 | |
| CN108055129B (zh) | 一种实现手机盾密钥统一管理的方法、设备及*** | |
| CN102201137A (zh) | 网络安全终端以及基于该终端的交互***和交互方法 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及*** | |
| US5481612A (en) | Process for the authentication of a data processing system by another data processing system | |
| CN101291221B (zh) | 一种用户身份隐私性保护的方法及通信***、装置 | |
| KR20090019576A (ko) | 모바일 단말기 인증 방법 및 모바일 단말기 인증 시스템 | |
| CN106357700A (zh) | 一种云环境下密码设备虚拟化方法 | |
| CN101291220B (zh) | 一种身份安全认证的***、装置及方法 | |
| CN101686129A (zh) | 一种新型的强安全服务和用户资源经营方法 | |
| CN202206419U (zh) | 网络安全终端以及基于该终端的交互*** | |
| US20070204167A1 (en) | Method for serving a plurality of applications by a security token |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C57 | Notification of unclear or unknown address | ||
| DD01 | Delivery of document by public notice |
Addressee: Li Hua Document name: Notification that Application Deemed to be Withdrawn |
|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20100331 |