CN102170354B - 集中账号密码认证生成*** - Google Patents
集中账号密码认证生成*** Download PDFInfo
- Publication number
- CN102170354B CN102170354B CN201110094311.5A CN201110094311A CN102170354B CN 102170354 B CN102170354 B CN 102170354B CN 201110094311 A CN201110094311 A CN 201110094311A CN 102170354 B CN102170354 B CN 102170354B
- Authority
- CN
- China
- Prior art keywords
- website
- user
- password
- authentication center
- certification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 239000012141 concentrate Substances 0.000 claims abstract description 3
- 238000004422 calculation algorithm Methods 0.000 claims description 3
- 239000012467 final product Substances 0.000 claims description 2
- 238000012790 confirmation Methods 0.000 abstract 1
- 238000000034 method Methods 0.000 description 5
- 238000007726 management method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种集中账号密码认证生成***,可以依赖它将用户的身份认证、密码生成都集中在一个权威的认证中心。认证中心与用户共享主密钥,给网站颁发ID,并且进行数字签名证实其身份,认证网站转发的用户的账号密码的真实性。用户在各个网站的账号是一样的,而密码都是由主密钥、网站ID等信息派生的,其中用到单向函数,因此即使知道一个网站的密码也无法反推主密钥,无法推测其他的网站的密码,并且用户可以无需认证的情况下进行安全的挂失和密码更新,不知道主密钥的人无法完成挂失。***保证用户凭一个账号和主密钥,就可在所有加盟的网站无需认证进行注册和密码更新,既方便用户记忆,也方便网站的认证。
Description
技术领域
本发明属信息安全领域,涉及一种集中账号密码认证生成***。
背景技术
目前因特网上的网站越来越多,大多数网站都需要注册账号,并且设置相应的密码。有些网站还需进行身份认证才能注册,但是这种认证有时候就是随意输入自己的身份证号码、提交一些证明材料等,不仅工作量大,而且很容易伪造。为了方便,许多网站无需提交认证信息,用户就可以自由注册,这带来了安全隐患。
对于用户而言,在不同的网站注册需要设置不同的账号和密码,由于账号都是用户任意注册的,用户的常用用户名可能已经被他人抢先注册,不得不设置许多不同的用户名,而且密码为了保证安全性,也不得不设置不同的密码,所以用户造成了记忆上的不方便,往往会混淆不同网站的注册信息。
目前市场存在措施:目前市场上普遍推广的单点登陆***可以简化企业内部多个***登陆的繁琐问题。但是这种***只适合在企业内部使用,适用范围较窄,不适合互联网范围内的广泛应用。
本发明设计了一种低成本的,一次认证即可应用到所有网站的集中账号密码认证生成***,由一个可信任的账号认证管理中心来认证个人用户和网站用户,为个人用户生成唯一的账号,密码则根据算法自动生成。各个网站可以通过安全连接获得用户的账户和密码,而且密码只是对于该网站适用,其他网站的密码不能由此网站密码推算。各个网站可以独立设置一种自己网站的独立用户名和账户认证中心的统一账户(比如可以用sohu.com和ca.org分别标识网站自己的账户和认证中心的账户),也可以全部采用账户认证中心的账户密码。
发明内容
本发明旨在提供一种集中式的认证和账户管理方法。
发明涉及到三方:认证中心C,用户A和网站B。认证中心负责用可靠的方式认证用户和网站,管理用户的账户和密码。
用户在认证中心的注册:用户提交自己的信息,认证中心通过各种方式,对用户的各种资料和信息进行认证,并且备案。经过认证后,采用安全的链接,与用户共享一个主密钥K。
网站在认证中心的注册:用户提交自己的信息,认证中心通过各种方式,核实网站的真实性,并且将相关信息备案。核实网站的身份后,获得网站的公钥,授予其唯一的一个ID。认证中心将网站Id公开,并且给网站B发一个签名文件,证明B的ID就是公开的那个。完成注册后,网站需要进行相应编程,首先是要支持认证中心的账户类型,假设为ca.org类账户;其次要建立网站和认证中心直接的安全通信的编程。
用户在网站的注册:只要用户A和网站B都经过合法的认证,用户第一次注册网站B的时候,如果选择网站独立的账户,则与本***无关;如果选择ca.org类账户,则用户可以提交自己的统一账户,用户先查看认证中心网站中公布的网站B的ID,或者在B网站上下载一个认证中心的签名,证明网站B的ID,然后用户方根据主密钥、网站的ID和一些其他附加信息,附加信息中包括一个固定长度是用来标识挂失次数的,其中也可以包括账户名,注册的时候其值设置为0,采用单向函数来生成密码,注意如果生成的值很长,可以约定截取一定的位数。用户将信息提交给网站,网站将信息转发给认证中心,网站用认证中心的公钥加密用户的账户和密码给认证中心,并且用自己的私钥签名,认证中心接受到信息后,先用网站的公钥验证签名,然后用自己的私钥解密。由于认证中心和用户共享主密钥,所以认证中心也可以根据主密钥、网站的ID和一些其他附加信息,采用同样的单向函数来生成密码。由于两者知道的信息是一样的,所以,如果用户身份属实,得到的结果应该是一样的。认证中心将核实的结果告诉网站,如果身份得到核实,网站即可认可用户的账户和密码。此后如果用户需要修改密码,可以直接自己在网站修改。其中的附加信息为功能的拓展提供了预留的空间,预留的附加信息为做更多的设置和限定提供了条件,包括在同一网站的不同位置如果需要采用不同的密码的时候,可以在附加信息中加以区分,得到不同密码,也可以将账户名作为附加信息的一部分以达到更好的安全效果。
用户密码挂失和更新:如果用户密码泄露了或者被木马盗取了,就需要将原来的密码挂失,并且更新新的密码,用户挂失的时候可以自动生成一个新的密码,其产生方式为利用单向函数,主密钥、网站的ID和一些其他附加信息,将标识挂失次数的比特位设置为挂失的次数。网站接受到后,用类似的方法转发给认证中心,认证中心认证通过后,即可采用该新密码。挂失和更新是一体的,用更新的密码可以认证用户的身份,这样避免一些人伪冒真正用户进行恶意挂失。
由于采用了单向函数,网站知道用户的密码不能反推权威账号管理中心与用户共享的密钥。密码泄露后,其他的人也无法通过密码来获取主密钥相关的信息,或者是新密码的相关信息。从而在保证便利性的同时,也保证了安全性。
具体实施方式
下面举例说明:
***的各个功能可以采用B/S或者C/S模式实现,包括用户密码的计算,当然有些功能可以采用独立程序实现,我们这里假设采用B/S模式。
由于采用了单向函数,网站知道用户的密码不能反推权威账号管理中心与用户共享的密钥。密码泄露后,其他的人也无法通过密码来获取主密钥相关的信息,或者是新密码的相关信息。
本***在实现的时候,主要是集中在认证中心的***开发,并且认证中心可以给各个网站提供一个的代码模板供网站使用,认证中心还可以为网站提供其他的各种功能的代码模板供网站直接使用或者参考(如果采用C/S模式,则认证中心可以提供客户端给各个网站使用)。为了让用户计算密码,可以将前述的通过主密钥计算密码的方法做成网页脚本,让用户访问网站即可在页面输入各种信息,计算各个网站的密码,另外,为了方便用户,可以开发一个密码生成器供用户下载到本地,随时可计算各个网站的密码,使得用户不用网页脚本就可以计算密码。
(一)认证中心网站采用单向加密的安全套接字链接。用户登录认证中心网站,提交注册信息,包括用户的身份信息等。认证中心看到注册申请后,阅读用户提交的资料,并且采用查验证件等方式来核实用户资料的真实性,然后请求用户提交主密钥。用户采用安全链接将主密钥K加密后发给认证中心,认证中心将用户的各种资料和主密钥存放在数据库中。
(二)网站管理员登录认证中心网站,提交网站的注册信息,包括网站及其法人的身份信息等。认证中心看到注册申请后,阅读网站提交的资料,并且采用各种方式来核实用户资料的真实性,然后给网站分配一个ID,要求网站提交自己的公钥(如果没有,请求用户生成密钥对,提交公钥),对公钥做一个数字签名,同时,也将分配给网站的ID、网站的域名、Ip、网站的公钥等信息存放在一个文件中做一个签名,发给网站,网站可以将这一文件放在网上供用户下载和验证。
(三)用户将认证中心的数字证书设置为受信任的发行者类别。用户注册网站时,可以登录认证中心的网站,查询网站B的ID,或者直接在网站B上下载认证中心的签名文件。然后认证中心的一个网页的脚本可以根据主密钥、ID和附加的信息生成密码。用户打开这个页面,生成密码。这其中可以采用多种方式来实现单向函数:第一种方法是对所有的信息,比如主密钥、ID和附加的信息做MD5等哈希函数运算,取其中固定长度的一部分作为密码。第二种方法是以主密钥作为密钥,用某个固定的分组密码或者流密码算法来加密ID和附加信息,截取密文的固定长度的一部分作为密码。由于分组密码和流密码在已知明文密文对的时候是安全的,无法获得密钥,所以,即使是网站,也不能根据ID和附加信息与密码来反推主密钥。
(四)用户登录网站B,提交自己的用户名和密码,进行注册。网站将ID、账户名和密码加密后转发给认证中心,认证中心认证网站身份的真实性,并且解密信息后,验证用户的密码是否正确,并且告知网站,网站得到正确的信息后,接受用户的注册,将用户名和密码存放在数据库中。注意用户和网站B之间也必须采用安全套接字进行安全连接。网站B和认证中心则必须采用双向认证的安全套接字连接。
(五)如果用户在网站的密码泄露了,可以在认证中心的一个挂失的网页中用脚本计算第n次挂失后的新密码,也可以利用从认证中心下载的计算密码的软件计算挂失后新密码,然后在网站B中选择挂失页面,提交一个挂失的请求,挂失的请求中包括了挂失的次数,网站将用户以前的挂失次数调出来,核对新的挂失次数是否是增加了1次,如果是,将挂失次数加1,然后将挂失相关信息提交给认证中心,认证中心做核对,将结果告知网站B;如果不是,拒绝用户的请求。如果被告知用户的挂失时输入的新密码正确,接受用户的挂失,并且更新用户的密码为前面得到验证过的新密码。
Claims (7)
1.一种集中账号密码认证生成***,其特征在于可以在不同的网站采用相同的账户名,存在一个认证中心,它的***可以生成不同网站的不同密码,但是这些密钥互***露信息,而密码由一个主密钥,结合网站ID,是否挂失及挂失次数以及其他的附加信息采用单向函数生成;用户在认证中心的注册流程为:用户提交自己的信息,认证中心通过各种方式,对用户的各种资料和信息进行认证,经过认证后,采用安全的链接,与用户共享一个主密钥K;网站在认证中心的注册流程为:用户提交自己的信息,认证中心通过各种方式,核实网站的真实性,并且将相关信息备案,核实网站的身份后,获得网站的公钥,授予其唯一的一个ID,认证中心将网站Id公开;用户在网站的注册流程为:只要用户A和网站B都经过合法的认证,用户第一次注册网站B的时候,如果选择网站独立的账户,则与本***无关;如果选择认证中心的账户方式,则用户提交自己的统一账户,用户先查看认证中心网站中公布的网站B的ID,然后用户方根据主密钥、网站的ID和一些其他附加信息,附加信息中包括一个固定长度是用来标识挂失次数的,注册的时候其值设置为0,采用单向函数来生成密码,用户将信息提交给网站,网站将信息转发给认证中心,网站用认证中心的公钥加密用户的账户和密码给认证中心,认证中心接受到信息后,用自己的私钥解密,认证中心将核实的结果告诉网站,如果身份得到核实,网站即可认可用户的账户和密码,此后如果用户需要修改密码,直接自己在网站修改。
2.如权利要求1所述的集中账号密码认证生成***,其特征在于单向函数可以采用哈希函数,将主密钥、网站ID、其他附加信息合并后,输入哈希函数生成哈希值,取其中的规定的一部分作为密码。
3.如权利要求1所述的集中账号密码认证生成***,其特征在于单向函数可以采用对称加密算法,采用某一个固定的对称加密算法,以主密钥作为加密密钥,加密合并后的网站ID和其他附加信息,取其中规定的一部分作为密码。
4.如权利要求1所述的集中账号密码认证生成***,其特征在于用户与认证中心采用单向认证的安全套接字连接,网站与认证中心采用双向认证的安全套接字连接。
5.如权利要求4所述的集中账号密码认证生成***,其特征在于认证中心采用验证网站提交的数字签名的方式来证实网站的真实性,而通过用户提交的单向函数产生的密码来证实和验证用户身份的真实性。
6.如权利要求5所述的集中账号密码认证生成***,其特征在于用户密码泄露,需要挂失以前的密码并且更新密码的时候,可以将主密钥、网站ID、挂失次数等附加信息输入单向函数,将生成新密码信息提交给网站,网站再提交给认证中心进行认证,通过认证则接受认证,并且以后即采用先前生成的新密码作为以后使用的密码,使得用户可以挂失而直接得到认证,泄露的密码将会被废弃。
7.如权利要求6所述的集中账号密码认证生成***,其特征在于预留的附加信息为更多的设置和限定提供了条件,包括在同一网站的不同位置如果需要采用不同的密码的时候,可以在附加信息中加以区分,得到不同密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110094311.5A CN102170354B (zh) | 2011-04-11 | 2011-04-11 | 集中账号密码认证生成*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110094311.5A CN102170354B (zh) | 2011-04-11 | 2011-04-11 | 集中账号密码认证生成*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102170354A CN102170354A (zh) | 2011-08-31 |
| CN102170354B true CN102170354B (zh) | 2016-07-06 |
Family
ID=44491339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110094311.5A Active CN102170354B (zh) | 2011-04-11 | 2011-04-11 | 集中账号密码认证生成*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102170354B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103491062B (zh) * | 2012-06-13 | 2017-03-22 | 北京新媒传信科技有限公司 | 一种生成密码的方法和装置 |
| CN103856438B (zh) * | 2012-11-28 | 2018-03-06 | 卡巴斯克 | 具安全性保护的自动转址及网络身份验证方法 |
| CN103227786B (zh) * | 2013-04-08 | 2018-11-16 | 优视科技有限公司 | 一种网站登录信息填入方法及装置 |
| CN103220152A (zh) * | 2013-04-22 | 2013-07-24 | 鸿富锦精密工业(深圳)有限公司 | 服务器***及服务器登录的方法 |
| CN104683301B (zh) * | 2013-11-28 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 一种密码保存的方法及装置 |
| CN104506557B (zh) * | 2015-01-07 | 2019-06-11 | 北京深思数盾科技股份有限公司 | 用于管理登录信息的方法及装置 |
| CN105701372B (zh) * | 2015-12-18 | 2019-04-09 | 布比(北京)网络技术有限公司 | 一种区块链身份构建及验证方法 |
| CN106789033B (zh) * | 2017-01-17 | 2020-06-19 | 江苏慧世联网络科技有限公司 | 一种基于无证书签密的电子合同签署方法 |
| CN108512657B (zh) * | 2017-02-28 | 2021-05-14 | 中兴通讯股份有限公司 | 一种密码生成方法及装置 |
| CN106878327A (zh) * | 2017-03-22 | 2017-06-20 | 江苏金易达供应链管理有限公司 | 面向贸易服务平台的登录方法 |
| CA3108917A1 (en) | 2018-10-02 | 2020-04-09 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| US10581611B1 (en) * | 2018-10-02 | 2020-03-03 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
| CN112446990A (zh) * | 2020-10-30 | 2021-03-05 | 重庆电子工程职业学院 | 一种智能锁具*** |
| CN114969808B (zh) * | 2022-05-07 | 2023-09-19 | 中移互联网有限公司 | 一种账号的管理方法、装置、电子设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101291223A (zh) * | 2007-12-21 | 2008-10-22 | 任少华 | 由第三方提供身份认证服务的***和方法 |
-
2011
- 2011-04-11 CN CN201110094311.5A patent/CN102170354B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101291223A (zh) * | 2007-12-21 | 2008-10-22 | 任少华 | 由第三方提供身份认证服务的***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102170354A (zh) | 2011-08-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102170354B (zh) | 集中账号密码认证生成*** | |
| US11526879B2 (en) | Method and system for zero-knowledge and identity based key management for decentralized applications | |
| US10027670B2 (en) | Distributed authentication | |
| CN108235806B (zh) | 安全访问区块链的方法、装置、***、存储介质及电子设备 | |
| US8219808B2 (en) | Session-based public key infrastructure | |
| CN100580657C (zh) | 分布式单一注册服务 | |
| US7971240B2 (en) | Session key security protocol | |
| AU2017225928A1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| WO2010067812A1 (ja) | 自己認証通信機器および機器認証システム | |
| JPH08106437A (ja) | ログオン証明書 | |
| RU2007138849A (ru) | Сетевые коммерческие транзакции | |
| CN105827395A (zh) | 一种网络用户认证方法 | |
| MX2012011105A (es) | Autoridad de certificado. | |
| KR20200016506A (ko) | 익명 디지털 아이덴티티 수립 방법 | |
| CN113010871A (zh) | 基于联盟区块链平台的电子学历证书验证方法 | |
| JP3914193B2 (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
| JPH10240826A (ja) | 電子契約方法 | |
| TWI772908B (zh) | 以線上快速認證之硬體載具認證並簽章之系統及方法 | |
| JP2007074745A (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
| US20140245412A1 (en) | Linking credentials in a trust mechanism | |
| Sadqi et al. | A cryptographic mutual authentication scheme for web applications | |
| CN115883104B (zh) | 终端设备的安全登录方法及装置、非易失性存储介质 | |
| TWI694346B (zh) | 多元身分認證憑據之系統與方法 | |
| JP2007043750A (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
| CN107454063B (zh) | 一种用户交互认证方法、设备及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20110831 Assignee: Guilin Youman Network Technology Co.,Ltd. Assignor: GUILIN University OF ELECTRONIC TECHNOLOGY Contract record no.: X2022450000203 Denomination of invention: Centralized account password authentication generation system Granted publication date: 20160706 License type: Common License Record date: 20221125 |
|
| OL01 | Intention to license declared | ||
| OL01 | Intention to license declared |