CN1777096B - 用于口令保护的方法和设备 - Google Patents
用于口令保护的方法和设备 Download PDFInfo
- Publication number
- CN1777096B CN1777096B CN2005101133995A CN200510113399A CN1777096B CN 1777096 B CN1777096 B CN 1777096B CN 2005101133995 A CN2005101133995 A CN 2005101133995A CN 200510113399 A CN200510113399 A CN 200510113399A CN 1777096 B CN1777096 B CN 1777096B
- Authority
- CN
- China
- Prior art keywords
- password
- key
- unsymmetrical key
- unsymmetrical
- certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
描述了用于口令保护的***和方法。在一个方面,通过组合口令和其它数据来确定性地形成非对称密钥对。该非对称密钥对的公钥被导出到外部设备。该非对称密钥对的私钥被用来实施对该外部设备的后续认证。
Description
技术领域
本发明涉及口令保护和认证。
背景技术
意识到安全问题的操作***需要认证用户的能力。用户认证可以用多种方式实现。在其最简单的形式中,用户认证是基于用户认证码和用户身份的某种组合。用户认证码是从用户知道的某种唯一的东西导出的,诸如口令。更新近的且较复杂的、多因素认证机制也依赖于用户拥有的某种东西(通常是由某种形式的硬件表示的令牌)、用户是的某种东西(诸如指纹或虹膜等生物测定认证码)、或者这三者的某种组合。然而,即使在这样的多因素认证***中,口令被用于特定操作,从而需要被管理并存储。对口令或者从口令导出的某种表示的存储是一个难题。
已经使用过各种技术来存储口令,但是由于针对存储的口令的攻击变得愈加复杂且对攻击者可用的计算机硬件变得愈加快速,这些技术都具有使得它们不合适的某些缺点。例如,用于存储口令的一个最简单的方案是只存储口令本身。然而,在这样的情形中,设法获取了口令列表的攻击者能够立即使用所有的口令。为对抗这样的不受阻碍的访问,***试图使用简单的数学运算来混淆口令,诸如基于Rot-13或Base-64的那些口令。或者,使用固定的密钥来对口令加密。然而,这些技术是轻易可逆的,因为对存储的口令具有访问权限并知晓算法或固定密钥的任何人能够轻易地确定明文口令。
引入更复杂的单向加密函数(OWF)来解决上述弱点。OWF使用密码算法来混淆并存储口令。对存储的口令的最常见类型的攻击是硬算或某种类型的字典/硬算混合攻击,在这些攻击中攻击者必须猜测口令、使用正确的OWF对猜测的口令编码并将其与存储的值进行比较。如果两个值匹配,那么找到了正确的口令。不幸的是,现今某些OWF口令加密算法在密码上不是安全的,而其它OWF口令加密算法尽管现在被认为在密码上是安全的,但在不久的将来可能不再安全,尤其是面对分布式协定的攻击努力。
常规的OWF口令混淆技术基本上也由于其它原因在其安全存储口令的能力上有限制。最重要的问题是,存储的认证码(口令散列)与用来认证用户的是相同的值。换言之,唯一的秘密是认证码,即口令表示或散列,而不是它所表示的口令。为讨论的目的,术语“散列”用来指示存储的口令表示,而不论该口令是否已经被混淆。
可以探听和破解线上(on-wire)口令认证算法。网络上的认证序列可以被捕捉并被用来确定或破解口令。尽管由于所捕捉到的信息在口令表示本身上经受了另外的密码变换,这样的攻击是难以作恶的,然而可能使用密码上安全的存储算法,而仅让线上算法对存储的值的硬算是易受攻击的,这可以被用来代替如在上一段中所描述的明文口令。
发明内容
描述了用于口令保护的***和方法。在一个方面,通过组合口令和其它数据,确定性地形成非对称的密钥对。该非对称密钥对的公钥被导出至外部设备。该非对称密钥的私钥用来实施对该外部设备的后续认证。
附图说明
在附图中,组件参考标号的最左端的一位数字标识该组件第一次出现的特定附图。
图1示出了用于口令保护的示例性***。
图2示出了用于口令保护的示例性过程。
图3示出了用于生成用于数字签名登录操作的公钥和私钥证书的示例性过程。
图4示出了可在其上完全或部分地实现口令保护的合适的计算环境的示例。
具体实施方式
概述
基本上所有的常规口令存储***都会遭受简单攻击。例如,没有“加盐(salt)”的口令散列对预先计算的散列攻击是脆弱的,在这样的攻击中,攻击者预先计算对应于某些口令的一组口令散列。(“加盐”是在散列之前取一短值并将其添加给口令的过程。)然而,一旦突破安全性并获取口令数据库,就可以将所窃取的散列与预先计算的散列进行比较,以在几秒内获取底层口令。本质上,这是“破解一次,在任何地方使用”的攻击,而常规的口令攻击是基于在运行时猜测口令并计算散列的。
在某些情况下,攻击者不必对口令进行逆向工程设计来危害***。这部分是由于现有的质询-响应协议,在该协议中,表示存储的口令的散列可以由攻击者直接使用。直接使用散列的口令攻击为被称为“通过散列”攻击。它们依赖于这样的基本事实:在质询-响应认证***中,唯一使用的秘密是散列。拥有该散列的攻击者可以将其使用在会正确地响应认证质询的工具中,并被认证为其口令由该散列表示的用户。实际上,所有的现代计算机认证***都会遭受“通过散列”攻击;某些比其它更脆弱。“通过散列”攻击完全独立于执行超过获取散列所需的计算的的任何需求。这样,与口令存储***与口令本身一样安全的传统假设相反,口令存储***不像口令本身一样安全。如果攻击者具有对散列的访问权限,那么相比弱口令,强口令不会提供任何额外的安全性。如果这发生,所有的口令散列与它们表示的明文口令等效。
诸如Rainbow Crack等新兴工具通常用于突出现有口令存储算法中的弱点。Rainbow Crack是对于可以预先计算散列而不是在运行时计算所有散列来破解口令的老想法的优化的免费可用实现。在运行时,可以将窃取的散列与存储的散列进行比较,并用简单的查找来进行匹配。由于更多的人们开始研究口令是如何被存储和使用的,设想有更多的努力将致力于这种类型的攻击是合乎逻辑的。当前,面对能够访问散列的攻击者击败这样的口令攻击的唯一的已知方法是通过使用智能卡或基于令牌的认证***。然而,构建智能卡实现的实现困难意味着在可预见的未来,智能卡不会完全替代口令。
下文用于口令保护的***和方法解决了上文相对于常规口令存储技术(例如,通过使用密码上安全的公钥,以及通过确保为特定用户存储的数据不同于用来验证该用户的数据)所描述的每一弱点。现在将相对于图1到图4详细描述用于口令保护的***和方法的这些和其它方面。
示例性***
图1示出了用于口令保护的示例性***100。计算***100包括计算设备102,它包括程序模块104和程序数据106。程序模块104包括,例如,口令保护模块108。口令保护模块108实现一种其中不需要信任机制的伪证书解决方案来从口令112生成存储的口令表示110。伪证书解决方案这样被命名,以将其与真正的公钥基础架构(PKI)区分开来。在PKI中,所有的证书是由证书服务器签发的,并由证书服务器签署来证实真实性和有效性。因为证书服务器证书本身可以由另一证书服务器签发,因此整个***生成了采用树形式的信任分层结构。如果***中的代理信任树中的特定节点,那么该代理也将信任其证书是由树中所信任的节点下的某一实体签发的任何节点。在***100的伪证书实现中,证书不是从这样的中央授权机构中发出的,且它们不是由证书服务器签署的。尽管证书采用与在PKI中使用的相同形式,但这仅是包装一组公有或私有加密密钥的方便的方法。然而,通过将公钥和私钥对存储在证书中,可获得一个非凡的优点:它允许***生成为PKI设计的所有现有认证***。证书是自签署的,这样它们对于在PKI中使用是完全有效的,只是它们不是信任分层结构的部分。
***100实现被定义为诸如1024位、2048位、4096位安全性等的密钥长度的安全性级别。为了生成密钥,口令保护模块108将用户标识符(例如,用户主要名称(UPN)或与用户相关联的某些其它任意数据)与明文口令112相组合。该组合可以包括简单的串接或诸如将密码散列应用于该两项等任何数量的其它过程。为说明的目的,该操作的结果被示为“其它数据”114中的“组合的结果”。在一种实现中,(UPN),即电子邮件地址格式的***用户名称被用作用户标识符。在另一实现中,用户标识符是表示***用户的任一个任意值。该特定的值是无关紧要的,只要其用户在***内是一致的,且该示例性***虑及所有可能的值。用户标识符用来对口令“加盐”以防止两个用户拥有相同的存储的口令值,即使他们的口令是相同的。
口令保护模块108使用上述组合的结果来生成私钥和相关联的公钥。在一种实现中,口令保护模块108使用组合的结果作为秘密密钥x,并计算相关联的Diffie-Hellman公钥为y=gx mod p,其中g和p是对应于所使用的位安全性级别(例如,1024位、2048位等)的位长度的整数。该整数可以是预定或随机的。在一种实现中,该整数是公钥证书120的一部分,以允许在***100上使用不同的密钥长度。也可以使用诸如RSA、DSA、椭圆曲线法等其它密钥生成技术。
在一种实现中,口令保护模块108使用任何所需公钥证书格式,使用y作为用户的公钥且可任选地包括了参数g和p,创建了公钥证书120。公钥证书是这样一种结构,它以指定格式包含非对称密钥对的公共部分(“公钥”),以及诸如人名/电子邮件地址/标题/电话号码/和/或其类似物等身份信息,以及与用户或实体相关联的数据的数字签名。公钥证书也被称为身份证书。公钥证书被存储在认证服务器上。一个示例性的这样的认证服务器被示为图4的远程计算机480。可以使用任何目录或用户标识***来存储该公钥证书。口令保护模块108使用公钥证书120,根据***中手边的已建立的基于证书的认证规则来认证用户/实体。一个示例性的这样的认证会话参考图2在下文描述。
示例性过程
图2示出了用于口令保护的示例性过程。为示例性说明的目的,图2的操作是相对于图1的组件描述的。(在附图中,组件参考标号的最左端的一位数字标识该组件第一次出现的特定附图。)在框202处,口令保护模块108(图1)将用户标识符与明文口令112相组合。为说明的目的,该操作的结果被示为“其它数据”114中的“组合的结果”。用户标识符的使用用作“盐”,来确保拥有相同口令的两个用户获得不同的密钥。在框204处,口令保护模块108从该组合的结果中确定性地生成非对称密钥对118(公钥和私钥对),即,该过程可以用相同的方法重复,拥有相同的输入,并达到相同的输出。
更具体地,口令保护模块108从私钥中计算出诸如Diffie-Hellman公钥y=gxmod p等公钥。在其它实施例中,可以使用组合的数据来确定性地给予伪随机数生成器种子,作为该非对称密钥生成过程的一部分。
在框206处,口令保护模块108将非对称密钥对118的公钥导出到诸如由图4的远程计算机480表示的外部设备。在框208处,非对称密钥对的私钥被用来实施对该外部设备的后续认证。该认证是基于任一个任意类型的基于公钥的认证方案的。
例如,用于口令保护的***和方法可以与Bellovin/Merritt加密密钥交换(EXE)协议一起使用。首先描述EKE协议的Diffie-Hellman形式及其达到的效果。假设客户机和服务器已经在公共素模p和公共生成器g上达成一致。客户机通过选择随机值A并生成生存期短暂的Diffie-Hellman值X=g^A mod p并将该X值发送给服务器开始。服务器生成随机值B并形成Y=g^B mod p,并以客户机可以解密的方式对其加密:Z=E(Y)。服务器也计算强共享密钥K=X^B mod p。
服务器生成随机现时值B’,它是使用强对称密钥K来加密的,以形成U=K(B’)(记法的轻微滥用)。服务器向客户机发送Z和U。客户机对Z解密来获取Y并计算出相同的强共享密钥K为K=Y^A mod p。客户机然后生成随机现时值A’,并向服务器发送V=K(A’,B’)。服务器对V解密并检查B’是否正确。假设B’是正确的,那么服务器向客户机发送W=K(A’)。客户机对W解密并检查A’是否正确。假设A’是正确的,那么该强共享K现在已经被认证并且能够用于随后的通信。以其最简单的形式,前两段已经描述了Diffie-Hellman密钥交换来生成强共享密钥K。对EKE的常规使用是,当客户机和服务器仅共享弱口令,且一般利用使用该弱口令作为密钥的对称密码来完成加密(Z=E(Y))时。始终保持现时值,显然,EKE防止对该弱口令的离线攻击。
考虑到上述情况,且在一种实现中,口令112是弱口令,且***100通过从弱口令112中生成非对称密钥对118来实现EKE。
图3示出了创建基于图1的非对称密钥对的公钥/私钥证书并使用其来执行基于证书的登录的示例性过程。为示例性说明的目的,图3的操作是相对于图1的组件而描述的。(在附图中,组件参考标号的最左端的一位数字标识该组件第一次出现的特定附图。)在框302处,口令保护模块108使用任何所需的公钥证书格式,使用y作为用户的公钥,创建公钥证书120。在框304处,口令保护模块108在认证服务器上存储公钥证书120。在框306处,并且在认证会话过程中,口令保护模块108通过执行操作202到206计算出公钥-私钥对118。在框308处,口令保护模块108执行与用于传统的数字证书相同的经认证的登录过程。这在技术上可以使用任何可用的基于证书的登录技术来执行。在一种实现中,该基于证书的登录技术是数字签名算法(DSA)机制。
示例性操作***
尽管并非必需的,但用于口令保护的***和方法是在正由个人计算机执行的计算机可执行指令(程序模块)的通用语境中描述的。程序模块一般包括例程、程序、对象、组件、数据结构等,它们执行特定任务或实现特定抽象数据类型。尽管该***和方法是在前述语境中描述的,但是之后描述的动作和操作也可以用硬件来实现。
图4示出了可完全或部分地实现口令保护的合适的计算环境的示例。示例性计算环境400仅是用于图1的示例性***和图2和3的示例性操作的合适的计算环境的一个示例,且不旨在对此处所描述的***和方法的使用范围和功能提出任何限制。也不应该将计算环境400解释为对于在示例性操作环境400所示的组件中的一个或其组合有任何依赖或要求。
此处描述的方法和***可用众多其它通用或专用计算***环境或配置来操作。适合在本发明中使用的公知的计算***、环境和/或配置的示例包括,但不限于,个人计算机、服务器计算机、多处理器***、基于微处理器的***、网络PC、小型机、大型机、包含上述***或设备中的任一个的分布式计算机环境等。该架构的压缩或子集形式也可以在资源有限的客户机中实现,诸如手持式计算机或其它计算机设备。本发明是在分布式计算环境中实现的,其中任务由通过通信网络连接的远程处理设备来执行。在分布式计算环境中,程序模块可以位于包括存储器存储设备在内的本地和远程计算机存储介质中。
参考图4,用于口令保护的示例性***包括执行例如图1的***100的计算机410形式的通用计算设备。下面所述的计算机410的各方面是图1的客户机计算设备102的示例性实现。计算机410的组件可以包括,但不限于,处理单元420、***存储器430和将包括***存储器在内的各种***组件耦合至处理单元420的***总线421。***总线421可以是若干类型的总线结构中的任一种,包括存储器总线或存储器控制器、***总线和使用多种总线体系结构中的任一种的局部总线。作为示例,而非限制,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线和***部件互连(PCI)总线(也被称为Mezzanine总线)。
计算机410通常包括各种计算机可读介质。计算机可读介质可以是能够被计算机410访问到的任何可用介质,且包括易失性和非易失性介质、可移动和不可移动介质。作为示例,而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以任何方法或技术实现的用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存储所需信息且可以由计算机100访问的任何其它介质。
通信介质通常具体化为诸如载波或其它传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据,且包括任何信息传递介质。术语“已调制数据信号”指的是这样一种信号,其一个或多个特征以在信号中编码信息的方式被设定或更改。作为示例,而非限制,通信介质包括有线介质(诸如有线网络或直接线连接),和无线介质(诸如声学、RF、红外线和其它无线介质)。上述中任一个的组合也应包括在计算机可读介质范围之内。
***存储器430包括易失性或非易失性存储器形式的计算机存储介质,诸如只读存储器(ROM)431和随机存取存储器(RAM)432。基本输入/输出***433(BIOS)包含有助于诸如启动时在计算机410中的元件之间传递信息的基本例程,它通常存储在ROM 431中。RAM 432通常包含处理单元420可以立即访问和/或目前正在操作的数据和/或程序模块。作为示例,而非限制,图4示出了操作***434、应用程序435、其它程序模块436和程序数据437。
计算机410也可以包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图4示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器441,从可移动、非易失性磁盘452中读取或向其写入的磁盘驱动器451,和从诸如CD ROM或其它光学介质等可移动、非易失性光盘456中读取或向其写入的光盘驱动器455。可以在示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括,但不限于,盒式磁带、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等。硬盘驱动器441通常通过不可移动存储器接口,诸如接口440连接至***总线421,磁盘驱动器451和光盘驱动器455通常通过可移动存储器接口,诸如接口450连接至***总线421。
以上描述和在图4中示出的驱动器及其相关联的计算机存储介质为计算机410提供了对计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图4中,硬盘驱动器441被示为存储操作***444、应用程序445、其它程序模块446和程序数据447。注意到这些组件可以与操作***434、应用程序435、其它程序模块436和程序数据437相同或不同。应用程序435包括,例如图1中的程序模块104。程序数据437包括,例如图1中的程序数据106。操作***444、应用程序445、其它程序模块446和程序数据447在这里被标注了不同的标号是为了说明至少它们是不同的副本。
在一种实现中,用户可以通过输入设备,诸如键盘462和定点设备461(通常指鼠标、跟踪球或触摸垫)向计算机410输入命令和信息。其它输入设备(未示出)可以包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等。这些和其它输入设备通常通过耦合至***总线的用户输入接口460连接至处理单元420,但也可以由其它接口或总线结构,诸如并行端口、游戏端口、1394/火线、加速图形端口或通用串行总线(USB)连接。
计算机410可使用至一个或多个远程计算机,诸如远程计算机480的逻辑连接在网络化环境中操作。远程计算机480可以是个人计算机、服务器、路由器、网络PC、移动计算设备、对等设备或其它常见网络节点,且根据其特定实现,可以包括上文相对于计算机410所描述的许多或所有元件,尽管在图4中仅示出存储器存储设备481。图4中所示的逻辑连接包括局域网(LAN)471和广域网(WAN)473,但也可以包括其它网络。这样的网络环境在办公室、企业范围计算机网络、内联网和因特网中是常见的。
当在LAN网络环境中使用时,计算机410通过网络接口或适配器470连接至LAN 471。当在WAN网络环境中使用时,计算机410通常包括调制解调器472或用于通过诸如因特网等WAN 473建立通信的其它装置。调制解调器472可以是内部的或外部的,它可以通过用户输入接口460或其它合适的机制连接至***总线421。在网络化环境中,相对于计算机410所描述的程序模块或其部分可以存储在远程存储器存储设备中。作为示例,而非限制,图4示出了远程应用程序485驻留在存储器设备481上。可以理解,所示的网络连接是示例性的,且可以使用在计算机之间建立通信链路的其它手段。
结论
尽管用于口令保护的***和方法是以对结构特征和/或方法操作或动作专用的语言来描述的,但是可以理解,在所附权利要求中所定义的实现不必限于所述的具体特征或动作。从而,该具体特征和操作被揭示为实现所要求保护的主题的示例性形式。
Claims (9)
1.一种计算机实现的方法,包括:
通过口令和用户标识符的组合确定性地形成第一非对称密钥对;
基于所述第一非对称密钥对公式化一公钥证书;
将所述公钥证书导出到外部设备;以及
使用所述第一非对称密钥对的私钥来实施对所述外部设备的后续认证,这包括响应于认证会话,通过使用用于生成所述第一非对称密钥对的操作以生成第二非对称密钥对来执行数字签名登录过程。
2.如权利要求1所述的方法,其特征在于,所述第一非对称密钥对和所述第二非对称密钥对基于Diffie-Hellman、RSA、DSA。
3.如权利要求1所述的方法,其特征在于,所述口令是明文口令。
4.如权利要求1所述的方法,其特征在于,所述口令是根据加密密钥交换协议而生成的弱口令。
5.如权利要求1所述的方法,其特征在于,所述用户标识符是用户主要名称或实质上对用户唯一的其它值。
6.如权利要求1所述的方法,其特征在于,所述确定性地形成第一非对称密钥对还包括:
创建所述口令和所述用户标识符;以及
通过加密函数组合所述口令和所述用户标识符。
7.如权利要求1所述的方法,其特征在于,所述确定性地形成第一非对称密钥对还包括将所述组合用作伪随机数生成器的种子来生成所述第一非对称密钥对。
8.如权利要求1所述的方法,其特征在于,所述外部设备是服务器。
9.一种计算设备,包括:
用于通过口令和用户标识符的组合确定性地形成第一非对称密钥对的装置;
用于基于所述第一非对称密钥对公式化一公钥证书的装置;
用于将所述公钥证书导出到外部设备的装置;以及
用于使用所述第一非对称密钥对的私钥来实施对所述外部设备的后续认证的装置,这包括用于响应于认证会话,通过使用用于生成所述第一非对称密钥对的操作以生成第二非对称密钥对来执行数字签名登录过程的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/990,798 US7602910B2 (en) | 2004-11-17 | 2004-11-17 | Password protection |
| US10/990,798 | 2004-11-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1777096A CN1777096A (zh) | 2006-05-24 |
| CN1777096B true CN1777096B (zh) | 2010-09-29 |
Family
ID=35534213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005101133995A Expired - Fee Related CN1777096B (zh) | 2004-11-17 | 2005-10-17 | 用于口令保护的方法和设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7602910B2 (zh) |
| EP (1) | EP1659475B1 (zh) |
| JP (1) | JP4914051B2 (zh) |
| KR (1) | KR101292975B1 (zh) |
| CN (1) | CN1777096B (zh) |
Families Citing this family (58)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8284942B2 (en) * | 2004-08-24 | 2012-10-09 | Microsoft Corporation | Persisting private/public key pairs in password-encrypted files for transportation to local cryptographic store |
| US7992203B2 (en) | 2006-05-24 | 2011-08-02 | Red Hat, Inc. | Methods and systems for secure shared smartcard access |
| US8364952B2 (en) | 2006-06-06 | 2013-01-29 | Red Hat, Inc. | Methods and system for a key recovery plan |
| US8098829B2 (en) | 2006-06-06 | 2012-01-17 | Red Hat, Inc. | Methods and systems for secure key delivery |
| US8332637B2 (en) | 2006-06-06 | 2012-12-11 | Red Hat, Inc. | Methods and systems for nonce generation in a token |
| US8180741B2 (en) | 2006-06-06 | 2012-05-15 | Red Hat, Inc. | Methods and systems for providing data objects on a token |
| US7822209B2 (en) | 2006-06-06 | 2010-10-26 | Red Hat, Inc. | Methods and systems for key recovery for a token |
| US8495380B2 (en) | 2006-06-06 | 2013-07-23 | Red Hat, Inc. | Methods and systems for server-side key generation |
| US8707024B2 (en) | 2006-06-07 | 2014-04-22 | Red Hat, Inc. | Methods and systems for managing identity management security domains |
| US9769158B2 (en) | 2006-06-07 | 2017-09-19 | Red Hat, Inc. | Guided enrollment and login for token users |
| US8099765B2 (en) | 2006-06-07 | 2012-01-17 | Red Hat, Inc. | Methods and systems for remote password reset using an authentication credential managed by a third party |
| US8589695B2 (en) | 2006-06-07 | 2013-11-19 | Red Hat, Inc. | Methods and systems for entropy collection for server-side key generation |
| US8412927B2 (en) | 2006-06-07 | 2013-04-02 | Red Hat, Inc. | Profile framework for token processing system |
| US8806219B2 (en) | 2006-08-23 | 2014-08-12 | Red Hat, Inc. | Time-based function back-off |
| US8787566B2 (en) * | 2006-08-23 | 2014-07-22 | Red Hat, Inc. | Strong encryption |
| US8356342B2 (en) | 2006-08-31 | 2013-01-15 | Red Hat, Inc. | Method and system for issuing a kill sequence for a token |
| US8977844B2 (en) | 2006-08-31 | 2015-03-10 | Red Hat, Inc. | Smartcard formation with authentication keys |
| US9038154B2 (en) | 2006-08-31 | 2015-05-19 | Red Hat, Inc. | Token Registration |
| US8074265B2 (en) | 2006-08-31 | 2011-12-06 | Red Hat, Inc. | Methods and systems for verifying a location factor associated with a token |
| US20080123842A1 (en) * | 2006-11-03 | 2008-05-29 | Nokia Corporation | Association of a cryptographic public key with data and verification thereof |
| US8418235B2 (en) * | 2006-11-15 | 2013-04-09 | Research In Motion Limited | Client credential based secure session authentication method and apparatus |
| US20080118059A1 (en) * | 2006-11-22 | 2008-05-22 | Research In Motion Limited | System and method for secure record protocol using shared knowledge of mobile user credentials |
| DE602006006072D1 (de) * | 2006-11-22 | 2009-05-14 | Research In Motion Ltd | System und Verfahren für ein sicheres Aufzeichnungsprotokoll unter Verwendung von gemeinsam genutzten Kenntnissen von Mobilteilnehmerberechtigungsnachweisen |
| US8693690B2 (en) | 2006-12-04 | 2014-04-08 | Red Hat, Inc. | Organizing an extensible table for storing cryptographic objects |
| US8607070B2 (en) * | 2006-12-20 | 2013-12-10 | Kingston Technology Corporation | Secure storage system and method of use |
| US8813243B2 (en) | 2007-02-02 | 2014-08-19 | Red Hat, Inc. | Reducing a size of a security-related data object stored on a token |
| US8639940B2 (en) | 2007-02-28 | 2014-01-28 | Red Hat, Inc. | Methods and systems for assigning roles on a token |
| US8832453B2 (en) | 2007-02-28 | 2014-09-09 | Red Hat, Inc. | Token recycling |
| US9081948B2 (en) | 2007-03-13 | 2015-07-14 | Red Hat, Inc. | Configurable smartcard |
| US9767319B2 (en) * | 2007-04-17 | 2017-09-19 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Method and apparatus of secure authentication for system on chip (SoC) |
| US8499168B2 (en) * | 2007-05-09 | 2013-07-30 | Kingston Technology Corporation | Secure and scalable solid state disk system |
| US8527781B2 (en) * | 2007-05-09 | 2013-09-03 | Kingston Technology Corporation | Secure and scalable solid state disk system |
| US8010768B2 (en) * | 2007-05-09 | 2011-08-30 | Kingston Technology Corporation | Secure and scalable solid state disk system |
| US8302167B2 (en) * | 2008-03-11 | 2012-10-30 | Vasco Data Security, Inc. | Strong authentication token generating one-time passwords and signatures upon server credential verification |
| US8140855B2 (en) * | 2008-04-11 | 2012-03-20 | Microsoft Corp. | Security-enhanced log in |
| CN101917427A (zh) * | 2010-08-10 | 2010-12-15 | 电子科技大学 | 一种将非认证密钥交换协议转化为认证的密钥交换协议的方法 |
| US8918853B2 (en) * | 2011-06-29 | 2014-12-23 | Sharp Laboratories Of America, Inc. | Method and system for automatic recovery from lost security token on embedded device |
| US20130290733A1 (en) * | 2012-04-26 | 2013-10-31 | Appsense Limited | Systems and methods for caching security information |
| US20130290734A1 (en) * | 2012-04-26 | 2013-10-31 | Appsense Limited | Systems and methods for caching security information |
| US8954735B2 (en) * | 2012-09-28 | 2015-02-10 | Intel Corporation | Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware |
| US8897450B2 (en) | 2012-12-19 | 2014-11-25 | Verifyle, Inc. | System, processing device, computer program and method, to transparently encrypt and store data objects such that owners of the data object and permitted viewers are able to view decrypted data objects after entering user selected passwords |
| CN103973651B (zh) * | 2013-02-01 | 2018-02-27 | 腾讯科技(深圳)有限公司 | 基于加盐密码库的账户密码标识设置、查询方法及装置 |
| US9106412B2 (en) | 2013-03-08 | 2015-08-11 | Mcafee, Inc. | Data protection using programmatically generated key pairs from a master key and a descriptor |
| AU2014305655A1 (en) * | 2013-08-09 | 2016-03-24 | Mypersonaldocs Pty Ltd | Controlling essential life data |
| CN104579668B (zh) * | 2013-10-28 | 2018-12-11 | 深圳市腾讯计算机***有限公司 | 一种用户身份的验证方法和密码保护装置及验证*** |
| EP2905718A1 (en) * | 2014-02-05 | 2015-08-12 | Thomson Licensing | Device and method certificate generation |
| CN104821884B (zh) * | 2015-05-14 | 2019-01-22 | 收付宝科技有限公司 | 基于非对称密钥体系的私钥保护方法 |
| CN105245343B (zh) * | 2015-09-22 | 2018-09-14 | 华南理工大学 | 一种基于多变量密码技术的在线离线签名***及方法 |
| JP2018170642A (ja) * | 2017-03-30 | 2018-11-01 | 株式会社アクセル | 復号装置、鍵作成装置、暗号化装置、暗号処理システム、復号方法及び復号プログラム |
| CN107070909A (zh) * | 2017-04-01 | 2017-08-18 | 广东欧珀移动通信有限公司 | 信息发送方法、信息接收方法、装置及*** |
| US10776480B2 (en) * | 2018-04-02 | 2020-09-15 | International Business Machines Corporation | Producing volatile password hashing algorithm salts from hardware random number generators |
| CN109145585B (zh) * | 2018-08-23 | 2020-09-22 | 北京神州绿盟信息安全科技股份有限公司 | 一种检测网站存在弱口令的方法及装置 |
| US10970372B2 (en) | 2018-11-01 | 2021-04-06 | Microsoft Technology Licensing, Llc | Revocable biometric print based identification |
| JP6719789B2 (ja) * | 2019-07-09 | 2020-07-08 | 株式会社アクセル | 暗号処理システム、暗号処理方法及び暗号処理プログラム |
| US11438378B1 (en) * | 2019-12-18 | 2022-09-06 | NortonLifeLock Inc. | Systems and methods for protecting against password attacks by concealing the use of honeywords in password files |
| CN111711624B (zh) * | 2020-06-15 | 2022-06-21 | 华中师范大学 | 安全云口令管理器控制***、控制方法、设备及存储介质 |
| US20220141029A1 (en) * | 2020-10-29 | 2022-05-05 | Microsoft Technology Licensing, Llc | Using multi-factor and/or inherence-based authentication to selectively enable performance of an operation prior to or during release of code |
| US20230177161A1 (en) * | 2021-12-08 | 2023-06-08 | Hewlett-Packard Development Company, L.P. | Bios change requests signings based on passwords |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5666415A (en) * | 1995-07-28 | 1997-09-09 | Digital Equipment Corporation | Method and apparatus for cryptographic authentication |
| CN1305151A (zh) * | 1999-12-08 | 2001-07-25 | 开利公司 | 软件安全机制 |
| CN1359487A (zh) * | 1998-09-17 | 2002-07-17 | 英戴克***公司 | 用于解锁被口令保护软件***来恢复主口令的装置和方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH08274769A (ja) * | 1995-03-28 | 1996-10-18 | Toppan Printing Co Ltd | 対称暗号鍵の配送システムおよび通信端末 |
| US5734718A (en) | 1995-07-05 | 1998-03-31 | Sun Microsystems, Inc. | NIS+ password update protocol |
| US6230269B1 (en) * | 1998-03-04 | 2001-05-08 | Microsoft Corporation | Distributed authentication system and method |
| JP4764536B2 (ja) * | 1998-11-17 | 2011-09-07 | 株式会社リコー | 画像計測機器 |
| EP2312791B1 (en) * | 1999-01-29 | 2017-11-01 | Google Technology Holdings LLC | Key management for telephone calls to protect signaling and call packets between cta's |
| US6983368B2 (en) | 2000-08-04 | 2006-01-03 | First Data Corporation | Linking public key of device to information during manufacture |
| GB0028278D0 (en) * | 2000-11-20 | 2001-01-03 | Tao Group Ltd | Personal authentication system |
| WO2002063825A2 (en) * | 2001-02-05 | 2002-08-15 | Asiansign Co., Ltd | An optical storage medium for storing a public key infrastructure (pki)-based private key and certificate, a method and system for issuing the same and a method for using such |
| DE10200288A1 (de) * | 2002-01-07 | 2003-07-17 | Scm Microsystems Gmbh | Eine Vorrichtung zur Ausführung von Anwendungen, die sichere Transaktionen und/oder Zugangskontrolle zu werthaltigen Inhalten und/oder Dienstleistungen umfassen, und Verfahren zum Schutz einer solchen Vorrichtung |
| JP3862081B2 (ja) * | 2002-11-07 | 2006-12-27 | 日本電信電話株式会社 | 名前解決方法、名前解決システム、名前解決ディレクトリ、通信端末装置、プログラム及び記録媒体 |
| JP2005167527A (ja) * | 2003-12-02 | 2005-06-23 | Hitachi Ltd | 証明書管理システムおよびその方法 |
-
2004
- 2004-11-17 US US10/990,798 patent/US7602910B2/en not_active Expired - Fee Related
-
2005
- 2005-09-28 KR KR1020050090321A patent/KR101292975B1/ko active IP Right Grant
- 2005-10-17 CN CN2005101133995A patent/CN1777096B/zh not_active Expired - Fee Related
- 2005-10-17 JP JP2005301986A patent/JP4914051B2/ja not_active Expired - Fee Related
- 2005-10-21 EP EP05109838.2A patent/EP1659475B1/en not_active Not-in-force
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5666415A (en) * | 1995-07-28 | 1997-09-09 | Digital Equipment Corporation | Method and apparatus for cryptographic authentication |
| CN1359487A (zh) * | 1998-09-17 | 2002-07-17 | 英戴克***公司 | 用于解锁被口令保护软件***来恢复主口令的装置和方法 |
| CN1305151A (zh) * | 1999-12-08 | 2001-07-25 | 开利公司 | 软件安全机制 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060104441A1 (en) | 2006-05-18 |
| US7602910B2 (en) | 2009-10-13 |
| EP1659475B1 (en) | 2019-07-17 |
| KR101292975B1 (ko) | 2013-08-02 |
| KR20060066621A (ko) | 2006-06-16 |
| CN1777096A (zh) | 2006-05-24 |
| JP2006148879A (ja) | 2006-06-08 |
| EP1659475A1 (en) | 2006-05-24 |
| JP4914051B2 (ja) | 2012-04-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1777096B (zh) | 用于口令保护的方法和设备 | |
| US20210367753A1 (en) | Trusted measurement and control network authentication method based on double cryptographic values and chaotic encryption | |
| KR100827650B1 (ko) | 그룹에 참여하도록 초대된 잠재적 회원을 인증하는 방법 | |
| KR101237632B1 (ko) | 토큰과 검증자 사이의 인증을 위한 네크워크 헬퍼 | |
| US7836306B2 (en) | Establishing secure mutual trust using an insecure password | |
| US9407619B2 (en) | Un-password™: risk aware end-to-end multi-factor authentication via dynamic pairing | |
| US6535980B1 (en) | Keyless encryption of messages using challenge response | |
| US8213608B2 (en) | Roaming utilizing an asymmetric key pair | |
| US20060195402A1 (en) | Secure data transmission using undiscoverable or black data | |
| US20080240447A1 (en) | System and method for user authentication with exposed and hidden keys | |
| JP2011125020A (ja) | 非証明書公開キーインフラストラクチャーに基づく、安全なクライアント・サーバー間の通信を設計するシステムおよび方法 | |
| CN110959163A (zh) | 能够在多个存储节点上安全存储大型区块链的计算机实现的***和方法 | |
| MXPA03003710A (es) | Metodos para cambiar a distancia una contrasena de comunicaciones. | |
| CN109716725B (zh) | 数据安全***及其操作方法和计算机可读存储介质 | |
| CN111224784B (zh) | 一种基于硬件可信根的角色分离的分布式认证授权方法 | |
| Lee et al. | Two factor authentication for cloud computing | |
| Resende et al. | PUF-based mutual multifactor entity and transaction authentication for secure banking | |
| KR100553792B1 (ko) | 단말 대 단말간의 인증기능을 구비한 통신장치 및 방법 | |
| Kiennert et al. | Authentication systems | |
| Scherzer et al. | Authenticating mandatory access controls and preserving privacy for a high-assurance smart card | |
| JP2005151524A (ja) | 認証システムおよび認証方法 | |
| Lu et al. | Communication security between a computer and a hardware token | |
| WO2009133869A1 (ja) | 二要素認証システム | |
| Kwon et al. | Three-round smart card-based key exchange scheme | |
| Patiyoot | Patiyoot 2: Key Distribution, and Session Key for Authentication Protocol in Wireless Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150430 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150430 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100929 Termination date: 20191017 |