CN114430324A - 基于哈希链的线上快速身份验证方法 - Google Patents
基于哈希链的线上快速身份验证方法 Download PDFInfo
- Publication number
- CN114430324A CN114430324A CN202210000154.5A CN202210000154A CN114430324A CN 114430324 A CN114430324 A CN 114430324A CN 202210000154 A CN202210000154 A CN 202210000154A CN 114430324 A CN114430324 A CN 114430324A
- Authority
- CN
- China
- Prior art keywords
- uaf
- client
- authenticator
- hash
- specific module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于哈希链的线上快速身份认证方法,主要解决现有的线上快速身份认证协议FIDO在诚实实体进行正常的注册或认证流程中可能出现恶意UAF客户端、恶意认证器特定模块从而泄露消息,影响协议机密性,导致恶意登录的问题。其实现方案是:初始化FIDO协议各相关实体;调用本地安全环境指令验证实体的完整性;进行哈希链注册;运行FIDO协议,在保证协议正常运行的前提下,基于哈希链实现认证器特定模块、用户代理对UAF客户端的校验以及UAF客户端对认证器特定模块的校验,增强协议的安全性,实现用户在在线服务中的身份注册和认证。本发明安全性强,速度快、开销小,可用于在线服务的远程登录、身份认证及交易认证。
Description
技术领域
本发明属于网络安全技术领域,特别涉及一种线上快速身份验证方法,可用于在线服务的远程登录、身份认证、交易认证。
背景技术
长久以来,口令一直作为身份验证的一个重要手段,输入用户名与密码进行校验一度成为所有在线网站的身份验证方式。在口令成为一个用户唯一身份认证标识时,口令的泄露无疑将带来很大危害。随着技术的发展,更多的身份验证手段出现,人们尝试使用独一无二的生物特征,如指纹、面容、虹膜等方式进行个人身份验证。生物识别手段在如今的生活中的应用愈加流行与成熟,但也存在诸多不足。2019年,生物科技公司Suprema被曝出泄漏超过100万人的面部和指纹信息的案件。由此可见,即使是快捷方便的生物识别手段仍然容易在各个环节产生数据泄露的风险,尤其是针对服务商数据库的攻击,将可能导致大规模数据的泄露。
2013年2月,快速在线身份认证FIDO联盟正式成立,最初的目的在于利用越来越成熟和流行的生物识别机制定义一套开放的、可扩展的、能互用的身份识别机制,减少用户在认证时对密码的依赖。其中通用认证框架UAF允许在线服务提供无密码和多因素安全性,用户通过选择本地身份验证机制,如轻扫手指、查看相机、对着麦克风说话、输入PIN等,将设备或原始密码注册到在线服务中。在注册过程中,验证器生成平台唯一的公私密钥对。私钥存储在本地的安全计算环境中,公钥则使用特定于设备型号的认证密钥进行签名。基于公私钥对的非对称加密体系,只在本地的可信执行环境中存储用户的生物特征信息,是FIDO相较于传统身份认证方式的两个重要不同点。
深圳市文鼎创数据科技有限公司在其申请号201910979088.9的专利文献中提出“基于FIDO设备的交易认证方法及FIDO设备”。其应用于服务器,在FIDO设备登录指令中的extension信息条目或其他现有条目或新增的条目中嵌入交易信息,采用这种嵌入方式既不与原有功能冲突,又能保证用户交易信息确认的安全功能,实现了国内外网上银行大金额交易的安全和应用要求。但该方法中提出的设置交易信息以及交易信息的确认机制仅用于信息确认,无法消除隐私数据泄露以及破坏登录的风险。
北京邮电大学冯皓楠在In Network and Distributed System SecuritySymposium(NDSS),2021发表的论文“AFormal Analysis of the FIDO UAF Protocol”中通过形式化验证工具proverif对FIDO UAF协议进行分析,指出如果存在恶意的UAF客户端设备,就会影响UAF协议的部分安全属性,产生认证器重绑定攻击、隐私泄露攻击和拒绝服务攻击,论文中提出一种解决办法,即认证器特定模块对UAF客户端的标识CallerID建立可信列表。但其不足之处是UAF客户端的数量庞大,可信列表的维护将极为困难。
发明内容
本发明的目的在于针对上述FIDO UAF协议存在的风险,提出一种基于哈希链的线上快速身份验证方法,以避免注册和认证流程中出现恶意UAF客户端实体和恶意认证器特定模块,确保诚实实体的正常注册和认证,提高FIDO UAF协议的安全性,缩小攻击面。
实现本发明目的的具体思路是:通过初始化FIDO标准结构,在经过校验的安全环境下,由UAF客户端向认证器特定模块和用户代理进行哈希链的注册。通过在正常的FIDO协议注册和认证流程中增加验证哈希链的过程,实现认证器特定模块和用户代理对UAF客户端的认证以及UAF客户端对认证器特定模块的认证。同时通过提供一种可设置次数的重新请求机制,请求未通过验证的设备重新发送信息,避免恶意UAF客户端与认证器特定模块通信、恶意UAF客户端与用户代理通信、恶意认证器特定模块与UAF客户端通信这三大问题。通过利用哈希函数的单向性、碰撞约束以及较高的计算效率在UAF协议中提供诚实实体的验证,及时发现恶意实体并终止协议流程,有利于保障协议的机密性,缩小攻击面。
根据上述思路,本发明的实现步骤包括如下:
(1)在开始哈希链注册之前,对线上快速认证协议FIDO中的认证器特定模块、UAF客户端和用户代理的完整性进行校验;
(2)对校验通过的认证器特定模块、用户代理和UAF客户端进行哈希链的注册:
2a)UAF客户端生成两个随机数n1和n2,初始化计数器i=1,j=1及UAF客户端重新请求计数器kUC=0,初始化哈希链次数L,UAF客户端最大重新请求次数K;
2b)将UAF客户端标识CallerID分别与两个随机数n1和n2连接,作为认证器特定模块的哈希链种子xASM和用户代理的哈希链种子xUA;
2c)分别对认证器特定模块的哈希链种子xASM和用户代理的哈希链种子xUA进行L次哈希运算,得到认证器特定模块的初始哈希链信息H1和用户代理的初始哈希链信息H2;
2d)设置哈希链注册标志为req,并发送消息(req,H1,K)给认证器特定模块,发送消息(req,H2,K)给用户代理;
2e)认证器特定模块收到注册哈希链的消息后,将初始哈希链信息H1分别保存为初始哈希链信息H和哈希链验证信息H’,将UAF客户端最大重新请求次数K保存为认证器特定模块最大重新请求次数K’;初始化计数器i’=0,认证器特定模块重新请求计数器kASM=0;
2f)用户代理收到注册哈希链的消息后将初始哈希链信息H2分别保存为初始哈希链信息H和哈希链验证信息H’,将最大重新请求次数K保存为用户代理最大重新请求次数K’;初始化计数器j’=0,用户代理重新请求计数器kUA=0;
(3)运行FIDO协议,在注册过程和认证过程中进行数据处理和基于哈希链对UAF客户端和认证器特定模块的认证:
3a)根据FIDO协议流程,依次在服务器端、用户代理、UAF客户端之间进行数据的初始化、数据传输及简单运算处理;
3b)UAF客户端向认证器特定模块发送数据处理后的原本FIDO协议数据,同时发起哈希链认证请求;
3c)认证器特定模块对UAF客户端进行哈希链认证,认证成功后,继续执行FIDO协议流程,认证器特定模块对原本FIDO协议数据进行简单运算,并发送运算后的数据给认证器;认证器对部分数据进行处理,同时对用户进行本地身份校验,校验成功后将处理后的消息返回给认证器特定模块;
3d)认证器特定模块向UAF客户端转发认证器处理后的原本FIDO协议数据,同时发起哈希链认证请求;
3e)UAF客户端对认证器特定模块进行哈希链认证,认证成功后,向用户代理转发认证器特定模块发来的原本FIDO协议数据,同时发起哈希链认证请求;
3f)用户代理对UAF客户端进行哈希链认证,认证成功后,继续执行FIDO协议流程,直至服务器端对返回的FIDO协议数据校验完毕,若校验通过,则线上快速验证协议对用户的身份注册或身份认证成功。
本发明与现有技术相比具有如下优点:
第一,本发明由于在现有FIDO协议的注册和认证过程中,增设基于哈希链实现的认证器特定模块、用户代理对UAF客户端以及UAF客户端对认证器特定模块的校验,解决了现有的FIDO协议在诚实实体进行正常的注册或认证流程中可能出现恶意UAF客户端、恶意认证器特定模块从而泄露消息,影响协议机密性,导致恶意登录的问题,在保证诚实实体能够正常运行FIDO协议的同时增强安全性,缩小了攻击面。
第二,由于本发明采用基于哈希链的校验是一种本地校验,相较其他远程校验方式可在确保安全性的同时提高校验速度,减少开销。
附图说明
图1是本发明的实现总流程图;
图2是本发明中进行哈希链注册的子流程图;
具体实施方式
为了更进一步阐述本发明达成预定发明目的所采取的技术手段及功效,以下结合附图对本发明的实施例作进一步详细描述。
本发明是对现有线上快速身份认证协议FIDO的改进,即通过在认证器特定模块、UAF客户端与用户代理之间添加哈希链的验证,在保证FIDO协议注册和认证两个过程正常执行的情况下,增加其安全性,减小协议攻击面,实现使用非传统文本密码线上快速身份认证。
参照图1,本实例的实现步骤如下:
步骤一,初始化FIDO各相关实体。
现有线上快速身份认证协议FIDO包括认证器、认证器特定模块、UAF客户端、用户代理以及服务器端,其中:
所述认证器,包含一个或多个身份验证器,用于支持使用FIDO协议对用户进行在线认证,身份验证器包括但不限于指纹验证器、面容验证器、语音验证器,该认证器生成并存储认证器标识符AAID,认证密钥skAT,对称密钥kW;
所述认证器特定模块,是认证器的抽象层,为上层提供统一的应用程序编程接口,当认证器特定模块第一次启动时,它会生成一个秘密tok;
所述UAF客户端,是实现UAF协议客户端逻辑的***服务或应用程序,初始化时会生成一个UAF客户端标识CallerID,即UAF客户端安卓应用程序包签名证书的哈希值,同时,认证器特定模块可以从操作***中检索CallerID;
所述用户代理,是指用户应用程序,其具有标识符FacetID,通常由应用程序的统一资源标识符来标识,例如,当用户代理是浏览器时,FacetID是触发UAF操作的网页的网址;当用户代理是安卓上的应用程序时,FacetID是用户代理安卓应用程序包签名证书的哈希值;UAF客户端可以从操作***中检索FacetID;
所述服务器端,其包括一个web服务器和一个UAF服务器,该UAF服务器确保只能注册受信任的身份验证程序,管理身份验证程序与用户帐户的关联,并评估用户身份验证。
步骤二,调用本地安全环境指令验证几个实体的完整性。
根据本地运行的安全环境,调用安全环境中的指令来校验认证器特定模块、UAF客户端和用户代理的完整性,确保哈希链注册启动时这三个实体均为诚实实体。
步骤三,在诚实实体认证器特定模块、UAF客户端和用户代理间注册哈希链。
参照图2,本步骤的具体实现步骤如下:
3.1)UAF客户端生成两个随机数n1和n2,初始化计数器i=1,j=1及UAF客户端重新请求计数器kUC=0,初始化哈希链次数L,UAF客户端最大重新请求次数K;
3.2)将UAF客户端标识CallerID分别与两个随机数n1和n2连接,作为认证器特定模块的哈希链种子xASM和用户代理的哈希链种子xUA;
3.3)分别对认证器特定模块的哈希链种子xASM和用户代理的哈希链种子xUA进行L次哈希运算,得到认证器特定模块的初始哈希链信息H1和用户代理的初始哈希链信息H2;
3.4)设置哈希链注册标志为req,并发送消息(req,H1,K)给认证器特定模块,发送消息(req,H2,K)给用户代理;
3.5)认证器特定模块收到注册哈希链的消息后,将初始哈希链信息H1分别保存为初始哈希链信息H和哈希链验证信息H’,将UAF客户端最大重新请求次数K保存为认证器特定模块最大重新请求次数K’;初始化计数器i’=0,认证器特定模块重新请求计数器kASM=0;
3.6)用户代理收到注册哈希链的消息后将初始哈希链信息H2分别保存为初始哈希链信息H和哈希链验证信息H’,将最大重新请求次数K保存为用户代理最大重新请求次数K’;初始化计数器j’=0,用户代理重新请求计数器kUA=0;
步骤四,运行FIDO协议,依次在服务器端、用户代理、UAF客户端之间进行数据的初始化、数据传输及简单的运算处理。
4.1)在服务器端进行数据的初始化,并发送给用户代理:
运行FIDO协议的注册过程与运行其认证过程,对其不同的过程分别进行初始化:
若运行FIDO协议注册过程,则在用户使用原始方式登录成功后,服务器端生成用户名UName,指向受信任用户代理URL的列表AppID,随机质询值Chlg,会话标识符SData,并将生成的UName、AppID、SData、Chlg这四种注册请求消息发给用户代理;
若运行FIDO协议认证过程,则在收到在线用户身份认证请求后,服务器端生成随机质询值Chlg,会话标识符SData,指向受信任用户代理URL的列表AppID,添加和交易确认有关文本信息的可选参数[Tr],根据请求中用户名UName查找对应的密钥标识KeyID,并将生成的AppID、KeyID、SData、Chlg、[Tr]这些认证请求消息发给用户代理;
4.2)用户代理在FIDO协议注册过程和认证过程中均将服务器端发送的数据转发给UAF客户端;
4.3)UAF客户端收到消息后,从AppID中检索受信任的用户代理列表,并验证标识用户代理身份的FacetID是否在列表中:
若存在,则将SData存储为xSData,并计算TLS通道信息TLSData,将(AppID,FacetID,Chlg,TLSData)记为质询参数fcp;
若不存在,则不予处理。
步骤五,UAF客户端向认证器特定模块发送数据处理后的数据,同时发起哈希链认证请求。
5.1)UAF客户端生成哈希链认证请求参数:
UAF客户端先将认证器特定模块哈希链种子xASM进行L-i次的哈希运算,生成哈希校验值HASM,再将计数器i的值向上增1,生成一个随机数N和一个时间戳timeCA;
5.2)UAF客户端将处理后的数据及哈希链认证请求参数发送给认证器特定模块:
在FIDO协议的注册过程和认证过程中,UAF客户端对不同的过程分别向认证器特定模块发送不同处理后的数据及哈希链认证请求参数:
在FIDO协议注册过程中,UAF客户端将步骤4.1)中用户代理发来的用户名UName,步骤4.3)中得到的质询参数fcp与哈希校验值HASM,随机数N,时间戳timeCA一并发送给认证器特定模块;
在FIDO协议认证过程中,UAF客户端将4.1)中用户代理发来的密钥标识KeyID,可选参数[Tr],步骤4.3)中得到的质询参数fcp与哈希校验值HASM,随机数N,时间戳timeCA一并发送给认证器特定模块。
步骤六,认证器特定模块对UAF客户端进行哈希链验证。
6.1)在认证器特定模块收到哈希校验值HASM后,先进行一次哈希运算得到哈希值H′ASM,再将H′ASM与步骤3.5)存储的哈希链验证信息H’进行比较,判断UAF客户端是否通过认证:
如果H′ASM=H’,则认证器特定模块对UAF客户端认证成功,保存随机数N的值,将计数器i’值向上增1,并将哈希链验证信息H’更新为哈希校验值HASM;
如果H′ASM≠H’,则认证器特定模块对UAF客户端认证失败,执行6.2);
6.2)认证器特定模块将对UAF客户端进行重新请求:
6.2a)认证器特定模块先将认证器特定模块重新请求计数器kASM向上增1,再生成一个时间戳timeASM,将时间戳timeASM与计数器i’的值发送给UAF客户端;
6.2b)UAF客户端收到重新请求信息,验证时间戳timeASM是否在邻近范围内:
如果不在,则不予处理;
如果在,则验证通过,先将计数器i的值更新为i’+1,再将认证器特定模块哈希链种子xASM进行L-i次的哈希运算,将哈希运算的结果赋给哈希校验值HASM,同时生成新的随机数N’,更新时间戳timeCA,并将N’赋给N,再将哈希校验值HASM、随机数N’和时间戳timeCA发送给认证器特定模块;
6.2c)认证器特定模块验证时间戳timeCA:
若UAF客户端发来的时间戳timeCA所表示的时间位于步骤6.2a)认证器特定模块生成的时间戳timeASM之前,则不予处理;
若UAF客户端发来的时间戳timeCA所表示的时间位于步骤6.2a)认证器特定模块生成的时间戳timeASM之后,则将收到的哈希校验值HASM进行一次哈希运算得到哈希值H′ASM,执行6.3);
6.3)将哈希值H′ASM与哈希链验证信息H’进行比较,判断UAF客户端是否通过重新请求认证:
如果H′ASM=H’,则重新请求认证通过,认证器特定模块对UAF客户端认证成功,认证器特定模块将N’保存为随机数N,将计数器i’值向上增1,并将哈希链验证信息H’的值更新为哈希校验值HASM;
如果H′ASM≠H’,则重新请求认证失败,认证器特定模块对认证器特定模块重新请求计数器kASM的值进行判断:
若认证器特定模块重新请求计数器kASM的值小于认证器特定模块最大重新请求次数K’,则返回6.2a);
若认证器特定模块重新请求计数器kASM的值大于等于认证器特定模块最大重新请求次数K’,则认为正常流程中出现恶意的UAF客户端实体,终止本次FIDO协议运行。
步骤七,认证器特定模块对UAF客户端认证成功后,进行数据处理并将处理过的数据发送给认证器。
7.1)认证器特定模块对UAF客户端认证成功后,进行数据处理:
在FIDO协议的注册过程和认证过程中,认证器特定模块对不同的过程分别进行数据处理:
在FIDO协议注册过程中,认证器特定模块对质询参数fcp进行一次哈希运算,记为挑战值fc,将列表AppID,秘密tok,UAF客户端标识CallerID作连接再进行一次哈希运算,达到的值记为令牌ak;
在FIDO协议认证过程中,认证器特定模块对质询参数fcp进行一次哈希运算,记为挑战值fc;将列表AppID,秘密tok,UAF客户端标识CallerID作连接再进行一次哈希运算,得到的值记为令牌ak;再以密钥标识KeyID为索引找到对应的密文h;
7.2)认证器特定模块将处理过的数据发送给认证器:
在FIDO协议的注册过程和认证过程中,认证器特定模块对不同的过程分别发送数据:
在FIDO协议注册过程中,认证器特定模块将UAF客户端发来的用户名UName,列表AppID和处理得到的令牌ak,挑战值fc发送给认证器;
在FIDO协议认证过程中,认证器特定模块将UAF客户端发来的密钥标识KeyID,列表AppID,可选参数[Tr]和处理得到的令牌ak,挑战值fc,密文h发送给认证器。
步骤八,在FIDO协议的注册过程和认证过程中,认证器对认证器特定模块发来的消息进行不同的处理。
8.1)在FIDO协议注册过程中的处理:
8.1a)认证器将收到的令牌ak与列表AppID作连接再进行一次哈希运算,得到的值重新赋给令牌ak;
8.1b)认证器触发内置的匹配器,对本地验证用户的生物信息,如指纹、面容、语音、虹膜进行验证,生成该用户账户的身份验证密钥对<skAU,pkAU>,其中skAU是私钥,pkAU是公钥;
8.1c)生成一个随机KeyID作为密钥标识,使用认证器内置的对称加密密钥kW对(skAU,ak,UName,KeyID)进行加密,得到的密文记为h;
8.1d)认证器生成随机签名计数器CNTRA,认证器使用认证密钥skAT对(AAID,fc,KeyID,CNTRA,pkAU)进行签名,签名记为S,其中,AAID为步骤1.1)认证器初始化时生成的认证器标识符,挑战值fc在步骤7.2)中由认证器特定模块发送给认证器;
8.2)在FIDO协议认证过程中的处理:
8.2a)认证器将收到的令牌ak与AppID作连接再进行哈希运算,并将得到的值重新赋给令牌ak;
8.2b)使用认证器内置的对称加密密钥kW对密文h进行解密,得到(skAU,xak,xUName,KeyID);
8.2c)校验解密得到的xak与认证器特定模块发送的ak是否相等:
若不相等,则终止FIDO协议运行,用户身份认证失败;
若相等,则将随机签名计数器CNTRA的值加1,并将结果存储为xCNTRA,生成随机数n;认证器使用私钥skAU对消息(AAID,n,fc,[hTr],KeyID,xCNTRA)进行签名,签名记为S,其中[hTr]为可选参数,当可选参数[Tr]不为空时,认证器展示Tr中的文本内容,并将Tr进行一次哈希运算,记为[hTr]。
步骤九,认证器向认证器特定模块发送消息。
在FIDO协议的注册过程和认证过程中,认证器对不同的过程分别发送:
对于FIDO协议的注册过程,认证器将消息(AAID,fc,KeyID,h,CNTRA,pkAU,S)发送给认证器特定模块;其中,AAID为步骤1.1)认证器初始化时生成的认证器标识符,挑战值fc在步骤7.2)中由认证器特定模块发送给认证器,其余参数为步骤八中认证器生成;
对于FIDO协议的认证过程,认证器将消息(AAID,n,fc,[hTr],KeyID,xCNTRA,S)发送给认证器特定模块;其中,AAID为步骤1.1)认证器初始化时生成的认证器标识符;挑战值fc在步骤7.2)中由认证器特定模块发送给认证器,其余参数为步骤八中认证器生成。
步骤十,认证器特定模块向UAF客户端转发认证器处理后的数据,同时发起哈希链认证请求。
10.1)认证器特定模块生成哈希链认证请求参数:
认证器特定模块先将3.6)存储的初始哈希链信息H与随机数N作连接,将得到的字符串进行一次哈希运算得到哈希校验值HUC,再生成时间戳timeAC;
10.2)认证器特定模块存储部分数据并向UAF客户端转发认证器处理后的数据,同时发送哈希链认证请求参数:
在FIDO协议注册过程中,认证器特定模块先存储(CallerID,AppID,h,KeyID),其中,CallerID由操作***中检索得到,AppID包含在5.2)中UAF客户端发送的fcp参数中,其余参数包括在步骤九认证器向认证器特定模块发送的消息中;再将消息(AAID,fc,KeyID,CNTRA,pkAU,S,HUC,timeAC)发送给UAF客户端,其中,HUC,timeAC为步骤10.1)中生成的哈希链认证请求参数,其余参数包括在步骤九认证器向认证器特定模块发送的消息中;
在FIDO协议认证过程中,认证器特定模块将消息(AAID,n,fc,[hTr],KeyID,xCNTRA,S,HUC,timeAC)发送给UAF客户端;其中,HUC,timeAC为步骤10.1)中生成的哈希链认证请求参数,其余参数包括在步骤九认证器向认证器特定模块发送的消息中。
步骤十一,UAF客户端对认证器特定模块进行哈希链验证。
11.1)UAF客户端将认证器特定模块的初始哈希链信息H1与随机数N连接,并对其进行一次哈希运算得到哈希校验值H′UC,再将H′UC与认证器特定模块发来的哈希校验值HUC进行比较,判断认证器特定模块是否通过认证:
如果HUC=H′UC,则UAF客户端对认证器特定模块认证成功;
如果HUC≠H′UC,则UAF客户端对认证器特定模块认证失败,执行11.2);
11.2)认证器特定模块请求UAF客户端进行重新认证:
11.2a)UAF客户端先将UAF客户端重新请求计数器kUC向上增1,再生成一个时间戳timeUC和一个新的随机数N’,并将该新的随机数N’赋给随机数N,将时间戳timeUC和新的随机数N’发送给认证器特定模块;
11.2b)认证器特定模块验证时间戳timeUC是否在邻近范围内:
如果不在,则不予处理;
如果在,则验证通过,即将随机数N的值更新为N’,将初始哈希链信息H与随机数N作连接,并对其进行一次哈希运算,将哈希运算的结果赋给哈希校验值HUC,更新时间戳timeAC,再将哈希校验值HUC和更新后的时间戳timeAC发送给UAF客户端;
11.2c)UAF客户端验证时间戳timeAC:
若认证器特定模块发来的时间戳timeAC位于步骤11.2a)UAF客户端生成的时间戳timeUC之前,则不予处理;
若认证器特定模块发来的时间戳timeAC位于步骤11.2a)UAF客户端生成的时间戳timeUC之后,则将认证器特定模块的初始哈希链信息H1与随机数N作连接,再对其进行一次哈希运算得到哈希校验值H′UC,执行11.3);
11.3)比较HUC与H′UC,判断认证器特定模块是否通过重新请求认证:
如果HUC=H′UC,则重新请求认证通过,UAF客户端对认证器特定模块认证成功;
如果HUC≠H′UC,则重新请求认证失败,UAF客户端对UAF客户端重新请求计数器kUC的值进行判断:
若UAF客户端重新请求计数器kUC的值小于UAF客户端最大重新请求次数K,则返回到11.2a);
若UAF客户端重新请求计数器kUC的值大于等于UAF客户端最大重新请求次数K,则认为正常流程中出现恶意的认证器特定模块,终止本次FIDO协议运行。
步骤十二,UAF客户端对认证器特定模块认证成功后,数据转发给用户代理,同时发起哈希链认证请求。
12.1)UAF客户端生成哈希链认证请求参数:
UAF客户端先将用户代理哈希链种子xUA进行L-j次的哈希运算,生成哈希校验值HUA,再将计数器j的值向上增1,生成一个时间戳timeCU;
12.2)UAF客户端向用户代理转发数据,同时发送哈希链认证请求参数:
在FIDO协议注册过程中,UAF客户端将消息(xSData,AAID,fc,KeyID,CNTRA,pkAU,S,fcp,HUA,timeCU)发送给用户代理,其中,HUA,timeCU为12.1)中生成的哈希链认证请求参数,xSData,fcp为4.3)中UAF客户端生成的,其余参数包括在步骤十认证器特定模块向UAF客户端发送的消息中;
在FIDO协议认证过程中,UAF客户端将消息(xSData,AAID,n,fc,[hTr],KeyID,xCNTRA,fcp,S,HUA,timeCU)发送给用户代理,其中,HUA,timeCU为12.1)中生成的哈希链认证请求参数,xSData,fcp为4.3)中UAF客户端生成的,其余参数包括在步骤十认证器特定模块向UAF客户端发送的消息中。
步骤十三,用户代理对UAF客户端进行哈希链验证。
13.1)在用户代理收到哈希校验值HUA后,先进行一次哈希运算得到哈希值H′UA,再将H′UA与3.6)存储的哈希链验证信息H’进行比较,判断UAF客户端是否通过认证:
如果H′UA=H’,则用户代理对UAF客户端认证成功,将计数器j’值向上增1,并将哈希链验证信息H’更新为哈希校验值HUA;
如果H′UA≠H’,则用户代理对UAF客户端认证失败,执行13.2);
13.2)UAF客户端请求用户代理进行重新认证:
13.2a)用户代理先将用户代理重新请求计数器kUA向上增1,再生成一个时间戳timeUA,将时间戳timrUA与计数器j’的值发送给UAF客户端;
13.2b)UAF客户端验证时间戳timeUA是否在邻近范围内:
如果不在,则不予处理;
如果在,则验证通过,先将计数器j的值更新为j’+1,再将用户代理哈希链种子xUA进行L-i次的哈希运算,将哈希运算的结果赋给哈希校验值HUA,更新时间戳timeCU,将哈希校验值HUA和时间戳timeCU发送给用户代理;
13.2c)用户代理验证时间戳timeCU:
若UAF客户端发来的时间戳timeCU所表示的时间位于步骤13.2a)用户代理生成的时间戳timeUA之前,则不予处理;
若UAF客户端发来的时间戳timeCU所表示的时间位于步骤13.2a)用户代理生成的时间戳timeUA之后,将收到的哈希校验值HUA进行一次哈希运算得到哈希值H′UA,执行13.3);
13.3)将哈希值H′UA与哈希链验证信息H’进行比较,判断UAF客户端是否通过重新请求认证:
如果H′UA=H’,则重新请求认证通过,用户代理对UAF客户端认证成功,用户代理将计数器j’向上增1,并将哈希链验证信息H’的值更新为哈希校验值HUA;
如果H′UA≠H’,则重新请求认证失败,用户代理对用户代理重新请求计数器kUA的值进行判断:
若用户代理重新请求计数器kUA的值小于用户代理最大重新请求次数K’,则返回至13.2a);
若用户代理重新请求计数器kUA的值大于等于用户代理最大重新请求次数K’,则认为正常流程中出现恶意的UAF客户端实体,终止本次FIDO协议运行。
步骤十四,用户代理对UAF客户端认证成功后,将数据转发给服务器端。
在FIDO协议注册过程中,用户代理将消息(xSData,AAID,fc,KeyID,CNTRA,pkAU,S,fcp)发送给服务器端,其中,所有参数包括在步骤十二UAF客户端向用户代理发送的消息中;
在FIDO协议认证过程中,用户代理将消息(xSData,AAID,n,fc,[hTr],KeyID,xCNTRA,fcp,S)发送给服务器端,其中,所有参数包括在步骤十二UAF客户端向用户代理发送的消息中。
步骤十五,在FIDO协议的注册过程和认证过程中,服务器端对用户代理发来的消息进行不同的验证处理:
15.1)在FIDO协议注册过程中的验证处理:
15.1a)服务器端计算TLS通道信息TLSData;将存储的列表AppID,随机质询值Chlg,会话标识符SData进行连接,再作一次哈希运算,记为xfc;
15.1b)服务器端检查以下5项内容:
一是用户代理发来的xSData与步骤4.1)中服务器端生成的会话标识符SData是否相等;
二是步骤15.1a)中服务器端处理得到的xfc与用户代理发来的fc是否相等;
三是用户代理发来消息中fcp的三个参数即列表AppID,随机质询值Chlg,TLS通道信息TLSData是否与步骤4.1)中服务器端生成的相等;
四是从AppID中检索受信任的用户代理列表,检查标识用户代理身份的FacetID是否在列表中;
五是使用公共非对称密钥pkAT对签名进行验证,检查签名验证是否通过;
若以上检查数据全部相等,且FacetID在列表中,签名验证也已通过,则将用户代理发来的CNTRA赋给计数器CNTRS,并存储用户代理发来的公钥pkAU、密钥标识KeyID、认证器标识符AAID、计数器CNTRS,完成用户注册;
否则,用户注册失败;
15.2)在FIDO协议认证过程中的验证处理:
15.2a)服务器端计算TLS通道信息TLSData;以用户代理发来的(AAID’,KeyID)为索引定位公钥pkAU,其中AAID’是指用户代理发来的消息中的AAID值;
15.2b)将存储的列表AppID,随机质询值Chlg,TLS通道信息TLSData作连接后进行一次哈希运算,记为xfc;
15.2c)服务器端检查以下7项内容:
一是用户代理发来的xSData与步骤4.1)中服务器端生成的会话标识符SData是否相等;
二是步骤15.2.2)中服务器端处理得到的xfc与用户代理发来的fc是否相等;
三是用户代理发来的消息中fcp中的三个参数即列表AppID,随机质询值Chlg,TLS通道信息TLSData是否与步骤4.1)中服务器端生成的相同;
四是从AppID中检索受信任的用户代理列表,检查标识用户代理身份的FacetID是否在列表中;
五是服务器端存储的AAID与AAID’是否相等,这里AAID’是指用户代理发来的消息中的AAID值;
六是用户代理发来的xCNTRA是否等于服务器端存储的CNTRA的值加1;
七是若有可选参数[hTr],[hTr]是否等于[Tr]作一次哈希运算的值;
若检查中数据全部相等,且FacetID在列表中,则用户认证成功;
否则,用户认证失败。
本发明未详细说明部分属于本领域技术人员公知常识。
以上所述仅为发明的较佳实施例而已,并不用以限制本发明,显然对于本领域的专业人员来说,在了解了本发明内容和原理后,都可能在不背离本发明原理、结构的情况下,进行形式和细节上的各种修正和改变,但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。
Claims (7)
1.一种基于哈希链的线上快速身份验证方法,包括注册和认证,其特征在于:
(1)在开始哈希链注册之前,对线上快速认证协议FIDO中的认证器特定模块、UAF客户端和用户代理的完整性进行校验;
(2)对校验通过的认证器特定模块、用户代理和UAF客户端进行哈希链的注册:
2a)UAF客户端生成两个随机数n1和n2,初始化两个计数器i=1,j=1,UAF客户端重新请求计数器kUC=0,初始化哈希链次数L,UAF客户端最大重新请求次数K;
2b)将UAF客户端标识CallerID分别与两个随机数n1和n2连接,作为认证器特定模块的哈希链种子xASM和用户代理的哈希链种子xUA;
2c)分别对认证器特定模块的哈希链种子xASM和用户代理的哈希链种子xUA进行L次哈希运算,得到认证器特定模块的初始哈希链信息H1和用户代理的初始哈希链信息H2;
2d)设置哈希链注册标志为req,并发送消息(req,H1,K)给认证器特定模块,发送消息(req,H2,K)给用户代理;
2e)认证器特定模块收到注册哈希链的消息后,将初始哈希链信息H1分别保存为初始哈希链信息H和哈希链验证信息H’,将UAF客户端最大重新请求次数K保存为认证器特定模块最大重新请求次数K’;初始化计数器i’=0,认证器特定模块重新请求计数器kASM=0;
2f)用户代理收到注册哈希链的消息后将初始哈希链信息H2分别保存为初始哈希链信息H和哈希链验证信息H’,将最大重新请求次数K保存为用户代理最大重新请求次数K’;初始化计数器j’=0,用户代理重新请求计数器kUA=0;
(3)运行FIDO协议,在注册过程和认证过程中进行数据处理和基于哈希链对UAF客户端和认证器特定模块的认证:
3a)根据FIDO协议流程,依次在服务器端、用户代理、UAF客户端之间进行数据的初始化、数据传输及简单运算处理;
3b)UAF客户端向认证器特定模块发送数据处理后的原本FIDO协议数据,同时发起哈希链认证请求;
3c)认证器特定模块对UAF客户端进行哈希链认证,认证成功后,继续执行FIDO协议流程,认证器特定模块对原本FIDO协议数据进行简单运算,并发送运算后的数据给认证器;认证器对部分数据进行处理,同时对用户进行本地身份校验,校验成功后将处理后的消息返回给认证器特定模块;
3d)认证器特定模块向UAF客户端转发认证器处理后的原本FIDO协议数据,同时发起哈希链认证请求;
3e)UAF客户端对认证器特定模块进行哈希链认证,认证成功后,向用户代理转发认证器特定模块发来的原本FIDO协议数据,同时发起哈希链认证请求;
3f)用户代理对UAF客户端进行哈希链认证,认证成功后,继续执行FIDO协议流程,直至服务器端对返回的FIDO协议数据校验完毕,若校验通过,则线上快速验证协议对用户的身份注册或身份认证成功。
2.根据权利要求1所述的方法,其中3b)中UAF客户端向认证器特定模块发起哈希链认证请求,是由UAF客户端先将认证器特定模块哈希链种子xASM进行L-i次的哈希运算,生成哈希校验值HASM,再将计数器i的值向上增1,生成一个随机数N和一个时间戳timecA,并将该随机数N、时间戳timeCA和哈希校验值HASM一起发送给认证器特定模块。
3.根据权利要求1所述的方法,其中3c)中认证器特定模块对UAF客户端进行哈希链认证,实现如下:
3c1)在认证器特定模块收到哈希校验值HASM后,先进行一次哈希运算得到哈希值H′ASM,再将H′ASM与2e)存储的哈希链验证信息H’进行比较,判断UAF客户端是否通过认证:
如果H′ASM=H’,则认证器特定模块对UAF客户端认证成功,保存随机数N的值,将计数器i’值向上增1,并将哈希链验证信息H’更新为哈希校验值HASM;
如果H′ASM≠H’,则认证器特定模块对UAF客户端认证失败,则执行3c2);
3c2)认证器特定模块将对UAF客户端进行重新请求:
3c21)认证器特定模块先将认证器特定模块重新请求计数器kASM向上增1,再生成一个时间戳timeASM,将时间戳timeASM与计数器i’的值发送给UAF客户端;
3c22)UAF客户端收到重新请求信息,验证时间戳timeASM是否在邻近范围内:
如果不在,则不予处理;
如果在,则验证通过,先将计数器i的值更新为i’+1,再将认证器特定模块哈希链种子xASM进行L-i次的哈希运算,将哈希运算的结果赋给哈希校验值HASM,同时生成新的随机数N’,更新时间戳timeCA,并将N’赋给N,将哈希校验值HASM,随机数N’和时间戳timeCA发送给认证器特定模块;
3c23)认证器特定模块验证时间戳timeCA:
若UAF客户端发来的时间戳timeCA所表示的时间位于步骤3c21)认证器特定模块生成的时间戳timeASM之前,则不予处理;
若UAF客户端发来的时间戳timeCA所表示的时间位于步骤3c21)认证器特定模块生成的时间戳timeASM之后,则将收到的哈希校验值HASM进行一次哈希运算得到哈希值H′ASM,执行3c3);
3c3)将哈希值H′ASM与哈希链验证信息H’进行比较,判断UAF客户端是否通过重新请求认证:
如果H′ASM=H’,则重新请求认证通过,认证器特定模块对UAF客户端认证成功,认证器特定模块将N’保存为随机数N,将计数器i’值向上增1,并将哈希链验证信息H’的值更新为哈希校验值HASM;
如果H′ASM≠H’,则重新请求认证失败,认证器特定模块对认证器特定模块重新请求计数器kASM的值进行判断:
若认证器特定模块重新请求计数器kASM的值小于认证器特定模块最大重新请求次数K’,则返回至3c21);
若认证器特定模块重新请求计数器kASM的值大于等于认证器特定模块最大重新请求次数K’,则认为正常流程中出现恶意的UAF客户端实体,终止本次FIDO协议运行。
4.根据权利要求1所述的方法,其中3d)中认证器特定模块向UAF客户端发起哈希链认证请求,是由认证器特定模块先将2e)存储的初始哈希链信息H与随机数N作连接,将得到的字符串进行一次哈希运算得到哈希校验值HUC,生成时间戳timeAC,再将时间戳timeAC与哈希校验值HUC同时发送给UAF客户端。
5.根据权利要求1所述的方法,其中3e)中UAF客户端对认证器特定模块进行哈希链认证,实现如下:
3e1)UAF客户端将认证器特定模块的初始哈希链信息H1与随机数N连接,并对其进行一次哈希运算得到哈希校验值H′UC,再将H′UC与认证器特定模块发来的哈希校验值HUC进行比较,判断认证器特定模块是否通过认证:
如果HUC=H′UC,则UAF客户端对认证器特定模块认证成功;
如果HUC≠H′UC,则UAF客户端对认证器特定模块认证失败,执行3e2);
3e2)认证器特定模块请求UAF客户端进行重新认证:
3e21)UAF客户端先将UAF客户端重新请求计数器kUC向上增1,再生成一个时间戳timeUC和一个新的随机数N’,并将该新的随机数N’赋给随机数N,将时间戳timeUC和新的随机数N’发送给认证器特定模块;
3e22)认证器特定模块验证时间戳timeUC是否在邻近范围内:
如果不在,则不予处理;
如果在,则验证通过,即将随机数N的值更新为N’,将初始哈希链信息H与随机数N作连接,并对其进行一次哈希运算,将哈希运算的结果赋给哈希校验值HUC,更新时间戳timeAC,再将哈希校验值HUC和更新后的时间戳timeAC发送给UAF客户端;
3e23)UAF客户端验证时间戳timeAC:
若认证器特定模块发来的时间戳timeAC位于步骤3e21)UAF客户端生成的时间戳timeUC之前,则不予处理;
若认证器特定模块发来的时间戳timeAC位于步骤3e21)UAF客户端生成的时间戳timeUC之后,则将认证器特定模块的初始哈希链信息H1与随机数N作连接,再对其进行一次哈希运算得到哈希校验值H′UC,执行3e3);
3e3)比较HUC与H′UC,判断认证器特定模块是否通过重新请求认证:
如果HUC=H′UC,则重新请求认证通过,UAF客户端对认证器特定模块认证成功;
如果HUC≠H′UC,则重新请求认证失败,UAF客户端对UAF客户端重新请求计数器kUC的值进行判断:
若UAF客户端重新请求计数器kUC的值小于UAF客户端最大重新请求次数K,则返回至3e21);
若UAF客户端重新请求计数器kUC的值大于等于UAF客户端最大重新请求次数K,则认为正常流程中出现恶意的认证器特定模块,终止本次FIDO协议运行。
6.根据权利要求1所述的方法,其中3e)中UAF客户端向用户代理发起哈希链认证请求,是由UAF客户端先将用户代理哈希链种子xUA进行L-j次的哈希运算,生成哈希校验值HUA,再将计数器j的值向上增1,生成一个时间戳timeCU,再将时间戳timeCU与哈希校验值HUA发送给用户代理。
7.根据权利要求1所述的方法,其中3f)用户代理对UAF客户端进行哈希链认证,实现如下:
3f1)在用户代理收到哈希校验值HUA后,先进行一次哈希运算得到哈希值H′UA,再将H′UA与2f)存储的哈希链验证信息H’进行比较,判断UAF客户端是否通过认证:
如果H′UA=H’,则用户代理对UAF客户端认证成功,将计数器j’值向上增1,并将哈希链验证信息H’更新为哈希校验值HUA;
如果H′UA≠H’,则用户代理对UAF客户端认证失败,执行3f2);
3f2)UAF客户端请求用户代理进行重新认证:
3f21)用户代理先将用户代理重新请求计数器kUA向上增1,再生成一个时间戳timeUA,将时间戳timeUA与计数器j’的值发送给UAF客户端;
3f22)UAF客户端验证时间戳timeUA是否在邻近范围内:
如果不在,则不予处理;
如果在,则验证通过,先将计数器j的值更新为j’+1,再将用户代理哈希链种子xUA进行L-i次的哈希运算,将哈希运算的结果赋给哈希校验值HUA,更新时间戳timeCU,将哈希校验值HUA和时间戳timeCU发送给用户代理;
3f23)用户代理验证时间戳timeCU:
若UAF客户端发来的时间戳timeCU所表示的时间位于步骤3f21)用户代理生成的时间戳timeUA之前,则不予处理;
若UAF客户端发来的时间戳timeCU所表示的时间位于步骤3f21)用户代理生成的时间戳timeUA之后,将收到的哈希校验值HUA进行一次哈希运算得到哈希值H′UA,执行3f3);
3f3)将哈希值H′UA与哈希链验证信息H’进行比较,判断UAF客户端是否通过重新请求认证:
如果H′UA=H’,则重新请求认证通过,用户代理对UAF客户端认证成功,用户代理将计数器j’向上增1,并将哈希链验证信息H’的值更新为哈希校验值HUA;
如果H′UA≠H’,则重新请求认证失败,用户代理对用户代理重新请求计数器kUA的值进行判断:
若用户代理重新请求计数器kUA的值小于用户代理最大重新请求次数K’,则返回至3f21);
若用户代理重新请求计数器kUA的值大于等于用户代理最大重新请求次数K’,则认为正常流程中出现恶意的UAF客户端实体,终止本次FIDO协议运行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210000154.5A CN114430324B (zh) | 2022-01-02 | 2022-01-02 | 基于哈希链的线上快速身份验证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210000154.5A CN114430324B (zh) | 2022-01-02 | 2022-01-02 | 基于哈希链的线上快速身份验证方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114430324A true CN114430324A (zh) | 2022-05-03 |
CN114430324B CN114430324B (zh) | 2023-07-28 |
Family
ID=81311224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210000154.5A Active CN114430324B (zh) | 2022-01-02 | 2022-01-02 | 基于哈希链的线上快速身份验证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114430324B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978543A (zh) * | 2022-05-23 | 2022-08-30 | 飞天诚信科技股份有限公司 | 一种凭证注册和认证的方法及*** |
CN115296807A (zh) * | 2022-10-08 | 2022-11-04 | 北京安帝科技有限公司 | 用于预防工控网络病毒的密钥生成方法、装置、设备 |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1767429A (zh) * | 2004-10-29 | 2006-05-03 | 大唐移动通信设备有限公司 | 移动通信用户认证与密钥协商方法 |
CN102026195A (zh) * | 2010-12-17 | 2011-04-20 | 北京交通大学 | 基于一次性口令的移动终端身份认证方法和*** |
CN102223374A (zh) * | 2011-06-22 | 2011-10-19 | 熊志海 | 一种基于电子证据在线保全的第三方认证保全***及方法 |
CN106972917A (zh) * | 2017-03-15 | 2017-07-21 | 西安电子科技大学 | 用户运行轨迹的安全验证方法 |
CN108092776A (zh) * | 2017-12-04 | 2018-05-29 | 南京南瑞信息通信科技有限公司 | 一种身份认证服务器和身份认证令牌 |
US10075437B1 (en) * | 2012-11-06 | 2018-09-11 | Behaviosec | Secure authentication of a user of a device during a session with a connected server |
CN109167778A (zh) * | 2018-08-28 | 2019-01-08 | 南京邮电大学 | 物联网中终端设备无身份通用认证方法 |
WO2019083082A1 (ko) * | 2017-10-26 | 2019-05-02 | 순천향대학교 산학협력단 | 안전한 스마트 홈 환경을 위한 ksi 기반 인증 및 통신 방법 및 이를 위한 시스템 |
CN110248334A (zh) * | 2019-06-25 | 2019-09-17 | 西南交通大学 | 一种lte-r车-地通信非接入层认证方法 |
CN111641651A (zh) * | 2020-05-29 | 2020-09-08 | 南方电网科学研究院有限责任公司 | 一种基于哈希链的访问验证方法及装置 |
US20210176046A1 (en) * | 2019-12-06 | 2021-06-10 | Mastercard International Incorporated | Method and system for http session management using hash chains |
-
2022
- 2022-01-02 CN CN202210000154.5A patent/CN114430324B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1767429A (zh) * | 2004-10-29 | 2006-05-03 | 大唐移动通信设备有限公司 | 移动通信用户认证与密钥协商方法 |
CN102026195A (zh) * | 2010-12-17 | 2011-04-20 | 北京交通大学 | 基于一次性口令的移动终端身份认证方法和*** |
CN102223374A (zh) * | 2011-06-22 | 2011-10-19 | 熊志海 | 一种基于电子证据在线保全的第三方认证保全***及方法 |
US10075437B1 (en) * | 2012-11-06 | 2018-09-11 | Behaviosec | Secure authentication of a user of a device during a session with a connected server |
CN106972917A (zh) * | 2017-03-15 | 2017-07-21 | 西安电子科技大学 | 用户运行轨迹的安全验证方法 |
WO2019083082A1 (ko) * | 2017-10-26 | 2019-05-02 | 순천향대학교 산학협력단 | 안전한 스마트 홈 환경을 위한 ksi 기반 인증 및 통신 방법 및 이를 위한 시스템 |
CN108092776A (zh) * | 2017-12-04 | 2018-05-29 | 南京南瑞信息通信科技有限公司 | 一种身份认证服务器和身份认证令牌 |
CN109167778A (zh) * | 2018-08-28 | 2019-01-08 | 南京邮电大学 | 物联网中终端设备无身份通用认证方法 |
CN110248334A (zh) * | 2019-06-25 | 2019-09-17 | 西南交通大学 | 一种lte-r车-地通信非接入层认证方法 |
US20210176046A1 (en) * | 2019-12-06 | 2021-06-10 | Mastercard International Incorporated | Method and system for http session management using hash chains |
CN111641651A (zh) * | 2020-05-29 | 2020-09-08 | 南方电网科学研究院有限责任公司 | 一种基于哈希链的访问验证方法及装置 |
Non-Patent Citations (2)
Title |
---|
DMITRY KOGAN: "T/Key: Second-Factor Authentication From Secure Hash Chains", 《CCS \'17: PROCEEDINGS OF THE 2017 ACM SIGSAC CONFERENCE ON COMPUTER AND COMMUNICATIONS SECURITY》 * |
徐军;: "基于口令的身份认证方案安全性分析及其改进", 《山东理工大学学报(自然科学版)》, no. 03 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978543A (zh) * | 2022-05-23 | 2022-08-30 | 飞天诚信科技股份有限公司 | 一种凭证注册和认证的方法及*** |
CN114978543B (zh) * | 2022-05-23 | 2023-09-19 | 飞天诚信科技股份有限公司 | 一种凭证注册和认证的方法及*** |
CN115296807A (zh) * | 2022-10-08 | 2022-11-04 | 北京安帝科技有限公司 | 用于预防工控网络病毒的密钥生成方法、装置、设备 |
CN115296807B (zh) * | 2022-10-08 | 2022-12-06 | 北京安帝科技有限公司 | 用于预防工控网络病毒的密钥生成方法、装置、设备 |
Also Published As
Publication number | Publication date |
---|---|
CN114430324B (zh) | 2023-07-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10979427B2 (en) | Method and device for authenticating based on authenticating device | |
CN108810029B (zh) | 一种微服务架构服务间鉴权***及优化方法 | |
US10798087B2 (en) | Apparatus and method for implementing composite authenticators | |
CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
US10652282B2 (en) | Brokered authentication with risk sharing | |
US8214890B2 (en) | Login authentication using a trusted device | |
US8700901B2 (en) | Facilitating secure online transactions | |
US8627424B1 (en) | Device bound OTP generation | |
US20100217975A1 (en) | Method and system for secure online transactions with message-level validation | |
CN114430324B (zh) | 基于哈希链的线上快速身份验证方法 | |
CN114143343B (zh) | 雾计算环境中远程访问控制***、控制方法、终端及介质 | |
EP2414983B1 (en) | Secure Data System | |
US8875244B1 (en) | Method and apparatus for authenticating a user using dynamic client-side storage values | |
CN112383401A (zh) | 一种提供身份鉴别服务的用户名生成方法及*** | |
US8832812B1 (en) | Methods and apparatus for authenticating a user multiple times during a session | |
CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
EP2070248B1 (en) | System and method for facilitating secure online transactions | |
CN106657125A (zh) | 一种适用于在线身份认证的流控机制 | |
CN117336092A (zh) | 一种客户端登录方法、装置、电子设备和存储介质 | |
WO2024060696A1 (zh) | 一种基于tee的智能家居远程控制方法及相关装置 | |
CN110460609B (zh) | 终端应用与安全认证平台的双向认证方法及*** | |
WO2023155642A1 (zh) | 基于时间的一次性密码算法的身份认证 | |
CN116484426A (zh) | 一种基于可信执行环境的医疗数据联邦学习方法及*** | |
CN114500074B (zh) | 单点***安全访问方法、装置及相关设备 | |
CN115314217A (zh) | 跨多接入边缘计算***登录方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |