专利名称:公式密码结合图形提示的交互型动态密码校验模式的制作方法
技术领域:
本发明涉及公式密码结合图形提示的交互型动态密码校验模式。
背景技术:
在互联网安全技术领域,“账号+静态字符密码”是现今所通用的最基本身份验证模式,从登陆单机,到登陆Microsoft Windows 2003 Server从登陆聊天室,到登陆网络银行,尽皆如此。
上述模式长期以来在安全知识教育的配合下,发挥了有效的作用。然而,随着时间的推移,对解决这一模式下众多无法弥补的漏洞的需求已经愈加紧迫。
安全知识的教育是相当重要的,但也是致命的,因为其违背了安全系统“永远不要将安全基于对自然人的信赖”这一原则。换言之,“教育”内容越广泛,对“自然人”的依赖越强,我们的安全隐患也就越大。
事实同样也证实了这一点尽管计算机及网络安全知识教育用户不要选用自己的生日、姓名等容易被猜到的字符来作为自己的密码,但为了记忆方便,众多用户依然会选用自己熟悉的字符来作为自己的密码。采用此类低质量的密码,为诸如“联想密码破解法”,“字典密码破解法”等手段提供了可乘之机。
尽管计算机及网络安全知识也教育用户要经常更改密码,但,事实上大多数用户为了怕麻烦而很少去这么做。如此一来,这种静态的密码也就给了诸如“暴力密码破解法”等手段提供了机会。
尽管计算机及网络安全知识谆谆教导用户不要在不信任的计算机上登录敏感网站,可这一建议却无法得到所有用户的严格执行。于是,一旦在非信任的计算机上登陆,诸如键盘监听等间谍软件便能轻而易举地捕获密码。
此外,由于互联网通讯使用的是公共线路,加之无线网络的逐渐普及,这些种种也都为密码被中途截获提供了可能。
事实上,“用户名+静态字符密码”的今天已是四面楚歌......
毫无疑问,只要密码是静态的,理论上都可以被破解。长期以来,我们不得不依赖提升密码质量(即增加密码长度与复杂性)来延迟密码被破解的时间,可这一扬汤止沸的做法必将会因为人类记忆力的生理极限而遭遇瓶颈。而另一方面,计算机的破解速度在理论上却是可以无限的。随着计算机运算速度的突飞猛进,以往要花100年才能破解的密码,现在1年就行了,如果用365部计算机共同分段破解,那么就能将破解时间缩减为只有1天------毫无疑问,人类记忆力对抗计算机破解速度的天平将会毫不留情地向危险的方向慢慢倒去。
正如上述,静态字符密码有着极大的不安全性。改善这一不安全性的方法有三个1、增加密码长度;2、增加密码复杂性;3、增加密码更新频率。不幸的是这三个做法都受到了用户使用习惯及生理能力的限制,这要求我们必须发展一个新的机制来解决这一限制。
另一方面我们也看到,即使密码质量得到了提高,但密码还是有被截获的可能。但正如二次世界大战中的情报战一样,密电如果被敌军截获并不可怕。因为任何密电都需要经过机密的解密过程才能被解读。同样,当我们的密码越来容易被他人所截获的时候,这也要求我们必须创造一个新的模式来提高当密码被截获后的反破解能力。
面对以上静态密码所处的种种尴尬境地与新要求,人们自然联想到“动态密码”,诚然,所谓“动态密码”并不是新话题,市面上也有相当数目的各种此类产品。但是,所有这些现有技术及产品,都是依靠一个外界的密码生成设备来产生随机密码(如动态密码卡,动态密码接受机,甚至手机短信等)。对于用户而言,所需要记忆、使用的仍然是静态字符,所以此类模式还是属于“字符密码”的延伸,而只是在验证的时候将一个指定的静态字符变成另外一个指定的静态字符而已,其思维其实并没有跳出“字符密码”模式的框框。
现有技术的种种弊端将严重限制明日的计算机及网络安全。这种“限制”并非是来自技术本身,而是来自思想的停滞。就如同打仗不仅要靠装备,更要靠战法一样。当今的计算机安全技术已经发展得很快了。然而,作为一般用户的普罗大众,其应用模式却被迫停留在80年代“字符密码”的冷兵器时期,这无疑才是我们当今最大的瓶颈。
在分析人类的记忆生理特征后,我们可以发现简单逛完一遍超市后,顾客可能无法记住所有感兴趣商品的价格,然而却可以容易地回忆出商品所摆放的位置。这是因为人类的强项在于逻辑思考,而非记忆。对于人类来说,通常记忆逻辑规则会比记忆生硬的字符来得更容易,事实上,我们也的确是在用记忆规则的方法来记忆我们身边的绝大多数事物。
例如记忆本发明者的手机号码“13809237751”,通常并非通过死记硬背,而是通过技巧。“1380”是电讯公司给定的起始号码,“9”需要记忆,“23”为连号,“775”为本发明者出生年月,“1”重复第一位数字。
再如,日常我们忘记某件事情,但只需少许提示我们便能“想起来”。这是因为我们将“提示”套入了我们脑海中所记住的规则,所以才得出了我们“想起来”的结果。所有这些例子都说明了人类善于记忆规则而并非硬性数据字符的特性。
既然人类在生理上具有善于记忆规则的特点。因此,发明者提出了如下用“密码规则”即“公式密码”取代“字符密码”的发明构思。
本
发明内容
本发明的目的是提供一种不依赖外界的密码生成设备来产生随机密码的单机,网络,或互联网安全应用领域的全新模式,即公式密码结合图形提示的交互型动态密码校验模式。事实上,本发明的发明者首创并应用了以“公式密码”取代“字符密码”的概念。
本发明的上述目的是采用如下技术方案予以实现的公式密码结合图形提示的交互型动态密码校验模式,其特征在于所述模式包括A.由用户记忆“公式密码”而非“字符密码”;B.使用和生产“交互型”动态密码;C.采用将“随机提示符”与/或“随机编码表”套入“公式密码”而生成动态密码;D.使用变形图片而非字符来传递提示符与/或编码表;
E.将“公式密码”与“图形提示”相结合。
根据本发明,用户预设公式密码;验证时校验方会随机产生一串提示符与/或一个编码表,并根据用户预设密码计算出期待密码;校验方将提示符与/或编码表以图形格式发送给用户;用户收到以上提示后,将之套入个人预设的公式而得出密码,并输入;验证方将用户输入密码与期待密码校对并决定是否接受登陆。
通过公式密码来计算获得动态的、且无规则的密码,其运作模式为用户在预设了公式密码后,每次登陆验证系统都将会被发送一个随机的编码表与/或一串随机的提示符,而用户则需要依据提示符与/或编码表,套用预设的公式密码来计算出结果并输入。
所述密码为冗长或简短的。
所述的“编码表”以及“提示符”每次都将会以图形的格式传送给用户,即,每次验证系统随机产生了提示符与/或编码表后,都会将字符性的提示符与编码表变为图片格式,并作适当变形处理。
公式密码结合图形提示的交互型动态密码校验模式依据以下流程运行a.验证系统锁定用户账号后随机产生编码表与/或提示符;b.验证系统根据编码表与/或提示符及用户预设的公式密码计算出对应的期待密码;c.验证系统将上述编码表与/或提示符转化为图片格式,并将做适度变形或复杂化处理;d.验证系统将上述图片加密发送给用户端;e.用户根据编码表与/或提示符,结合预设的公式密码得出密码,并输入;f.用户端将用户输入密码加密传送给验证系统请求验证;g.验证系统将收到的密码与期待密码相核对;h.如果符合,则通过认证;如果不符合,则拒绝登陆。
所述“公式密码”中“公式”可以是多样性的,它可以是对提示符的计算、可以是对提示符的组合、可以是抛开提示符对身边特征的取值(如日期),可以是空城计(不设规则只用静态密码),也可以是其它类型的“规则”,或对各种规则的组合使用。
在密码输入方式上,用户可以选择通过键盘输入,也可以通过鼠标方便快捷地在屏幕的编码表上直接点击输入。
由于本发明采用了上述技术方案,从而完全摒弃了任何外界的密码生成设备,创造性地解决了长期以来困扰单机、网络、互联网及其相关网站的难题。
本发明是完全不需要依赖任何外界设备参与的动态密码产生及校验模式。与现有技术相比,其本质上的不同是“公式密码”完全脱离了原有的“字符密码”概念。对于用户来说,使用公式密码系统后,用户所要记忆、使用的已是不再是硬梆梆的“字符”,而是“算法”和“规则”。
简单地说,两者的区别就如同是“单词”与“语法”的区别一样。一个是靠随机翻字典抽单词的办法来组成不同的“静态”句子;另外一个则是可以抛开对字典的依赖,随处随地通过语法规则来构造、组合真正的“动态”的句子。
迄今为止,本发明并没有在任何形式的媒介上被他人提出过,属于安全领域的全新技术。
本发明是基于高度实用性的前提而设计的。它可以应用在单机验证、局域网验证、互联网验证,甚至于ATM银行自动柜员机的密码验证上。总体而言,这一模式可以是对所有“静态字符密码”模式的取代与提高。
实现“交互型动态密码校验模式”所需要涉及的所有技术及操作都是在事实上可行的。现行的验证系统可以在不明显增加额外投资的前提下,用这一模式取代旧有的“静态字符密码”模式;同时,普通用户也可以在不增加分毫额外购置及不增加生理记忆负荷的情况下得益于这一模式。
本发明的重要实用性意义体现在其未雨绸缪的前瞻性上。
本发明并不仅仅只是一个“商品”,而是一个“指导性模式”。如同对”www”网址的模式与”@”电子邮件的模式的发明一样,这一指导性模式的发明尽管在未来还需要进行不断地改进,但对这一指导性模式的需求却是紧迫的,任何相关的改进都无法逾越本发明基本构思的精华。
毫无疑问,本发明具有如下优点1)用“公式密码”创造动态密码,既使用户所输入密码被监听或截获,监听者/截获者也无法得知下一个密码是什么;2)由于经过编码的密码是动态且随机无规律的,所以,无论攻击者使用暴力密码破解法还是联想密码破解法,都将很难达到其预期目的。
3)利用“公式密码”模式,用户只需要记住简单的规则就可以创造出冗长复杂的高质量密码,事半功倍。
4)同时采用提示符与编码表,可以在不明显增加用户使用难度的情况下,将密码的多样性加乘,使规律更难以被捕捉。
5)将“公式密码”结合随机的“图片提示”的模式将可以令安全性能更加加强。
因为采用随机模糊化的图片字符作为提示工具后,即便提示图片被攻击者全部截获,攻击者的计算机也很难分析出图片内容,更无从分析公式密码。而人工分析的破解速度则远远无法实质危害安全。
6)避免对外界任何形式密码生成设备的依赖,同时也避免因此类设备被盗、被抢、被毁、丢失、失灵等可能引发的潜在隐患。
“交互型动态密码”这一概念的提出,是对现有“静态字符密码”模式的大胆颠覆,同时也是对现有必须依赖外部设备才能生产动态密码的解脱。正如申请人在背景技术中所坦述的,现有“用户名+静态字符密码”模式有着众多绝症般的缺陷,随着时间的推移,终究会有一天消亡。而“通过公式密码结合图形提示”所产生的“交互型动态密码”可以有效地减少对用户记忆力的强求,也避免了对外部设备的依赖。用“公式密码”取代“静态密码”可以大幅提升安全性及抗破解能力;可以显著增强一旦信息/密码被截获后的反分析能力。
与现有的技术相比,“公式密码结合图形提示的交互型动态密码校验模式”可以在保留原来传统字符密码验证模式的便利性前提下(即,全天候随处使用,无需任何外界协助),取得革命性的进步。
具体实施例方式
以下结合具体实施方式
详述本发明公式密码结合图形提示的交互型动态密码校验模式,其特征在于所述模式包括A.由用户记忆“公式密码”而非“字符密码”;B.使用和生产“交互型”动态密码;
C.采用将“随机提示符”与/或“随机编码表”套入“公式密码”而生成动态密码;D.使用变形图片而非字符来传递提示符与/或编码表;E.将“公式密码”与“图形提示”相结合。
根据本发明,用户预设公式密码;验证时校验方会随机产生一串提示符与/或一个编码表,并计算出期待密码;校验方将提示符与/或编码表以图形格式发送给用户;用户收到以上提示后,将之套入个人预设的公式而得出密码,并输入;验证方将用户输入密码与期待密码校对并决定是否接受登陆。
所述密码为冗长或简短的,相对而言,以冗长为最佳。
所述的“编码表”以及“提示符”每次都将会以图形的格式传送给用户,即,每次验证系统随机产生了提示符与编码表后,都会将字符性的提示符与编码表变为图片格式,并作适当变形处理。
公式密码结合图形提示的交互型动态密码校验模式依据以下流程运行a.验证系统锁定用户账号后随机产生编码表与/或提示符;b.验证系统根据编码表与/或提示符及用户预设的公式密码计算出对应的期待密码;c.验证系统将上述编码表与/或提示符转化为图片格式,并将做适度变形或复杂化处理;d.验证系统将上述图片加密发送给用户端;e.用户根据编码表与/或提示符,结合预设的公式密码得出密码,并输入;f.用户端将用户输入密码加密传送给验证系统请求验证;g.验证系统将收到的密码与期待密码相核对;h.如果符合,则通过认证;如果不符合,则拒绝登陆。
所述“公式密码”中“公式”可以是多样性的,它可以是对提示符的计算、可以是对提示符的组合、可以是抛开提示符对身边特征的取值(如日期),可以是空城计(不设规则只用静态密码),也可以是其它类型的“规则”,或对各种规则的组合使用。
为了增加安全性,以上所述的“编码表”以及“提示符”都将会以图形的格式传送给用户。即,每次验证系统随机产生了提示符与编码表后,都会将字符性的提示符与编码表变为图片格式,并作适当变形处理。
例如,某用户预设了“公式密码”如下(#1)(#1)(T)(9)(#4+1)(#date)其意义为
假设用户收到以下图形化的提示符,且当天的日期为6月18日,
则通过对上述规则的计算/组合,可得到如下结果G G T 9 0 1 8
假设用户还同时收到了如下的编码表
则,用户此次需要提交验证的密码就应当依据上表的对应关系改变成为N e N e 7 q 7 q I D E I Z c可见,只需要一个并不复杂的规则就可以简单地获得一个14位的高质量密码。
同理,用户同样也可以预设更复杂的组合运算关系以获得更加安全的登陆。例如(#1)(#4)(#3+2)(#3+3)(#2)(#date*2)(#date+2)(P)(e)(t)这将会是一个长达约20位字符的动态密码,里面混合有反复、加法、乘法、日期、调位、静态字符等多种措施,几乎没有被破解的可能。
同时,用户也可以预设较简单的公式密码。例如(1)(2)(#1)(#2)依据上述的编码表与提示符,可迅速得到此公式密码所对应的密码应当为I 1 4 N e 2 Y尽管原来的公式密码极度简单,但生产出来的密码却有着较高的质量。并且,由于此密码在每次登陆中都是无规则动态变化的,所以想对其进行捕捉或破解仍然存在着相当大的难度。
在密码输入方式上,用户可以选择通过键盘敲入,也可以通过鼠标方便快捷地在屏幕的编码表上直接点击输入。
注以上所举例子,采用了“公式密码”结合“提示符”以及“编码表”的较复杂做法。用户也可以采用将“公式密码”结合“提示符”,或将普通“字符密码”结合“编码表”的较简单方式来获得较为低质量的动态密码。
权利要求
1.公式密码结合图形提示的交互型动态密码校验模式,其特征在于所述模式包括A.由用户记忆“公式密码”;B.使用和生产“交互型”动态密码;C.采用将“随机提示符”与/或“随机编码表”套入“公式密码”而生成动态密码;D.使用变形图片而非字符来传递提示符与/或编码表;E.将“公式密码”与“图形提示”相结合。
2.根据权利要求1所述的公式密码结合图形提示的交互型动态密码校验模式,其特征在于用户预设公式密码;验证时校验方会随机产生一串提示符与/或一个编码表,并计算出期待密码;校验方将提示符与/或编码表以图形格式发送给用户;用户收到以上提示后,将之套入个人预设的公式而得出密码,并输入;验证方将用户输入密码与期待密码校对并决定是否接受登陆。
3.根据权利要求1所述的公式密码结合图形提示的交互型动态密码校验模式,其特征在于所述密码可为冗长的或简短的。
4.根据权利要求1所述的公式密码结合图形提示的交互型动态密码校验模式,其特征在于所述的“编码表”以及“提示符”每次都将会以图形的格式传送给用户,即,每次验证系统随机产生了提示符与/或编码表后,都会将字符性的提示符与编码表变为图片格式。
5.根据权利要求1所述的公式密码结合图形提示的交互型动态密码校验模式,其特征在于每次验证系统随机产生了提示符与/或编码表后,都会将字符性的提示符与编码表变为图片格式,并作适当变形处理。
6.根据权利要求1所述的公式密码结合图形提示的交互型动态密码校验模式,其特征在于所述公式密码结合图形提示的交互型动态密码校验模式依据以下流程运行a.验证系统锁定用户账号后随机产生编码表与提示符;b.验证系统根据编码表与/或提示符及用户预设的公式密码计算出对应的期待密码;c.验证系统将上述编码表与/或提示符转化为图片格式,并将做适度变形或复杂化处理;d.验证系统将上述图片加密发送给用户端;e.用户根据编码表与/或提示符,结合预设的公式密码得出密码,并输入;f.用户端将用户输入密码加密传送给验证系统请求验证;g.验证系统将收到的密码与期待密码相核对;h.如果符合,则通过认证;如果不符合,则拒绝登陆。
7.根据权利要求1所述的公式密码结合图形提示的交互型动态密码校验模式,其特征在于所述“公式密码”中“公式”可以是多样性的,它可以是对提示符的计算、可以是对提示符的组合、可以是抛开提示符对身边特征的取值(如日期),可以是空城计(不设规则只用静态密码),也可以是其它类型的“规则”,或对各种规则的组合使用。
8.根据权利要求1所述的公式密码结合图形提示的交互型动态密码校验模式,其特征在于在密码输入方式上,用户可以选择通过键盘输入,也可以通过鼠标方便快捷地在屏幕的编码表上直接点击输入。
全文摘要
本发明公开了一种公式密码结合图形提示的交互型动态密码校验模式,其特征在于通过公式密码来计算获得动态的、且无规则的密码。用户在预设了公式密码后,每次登陆验证系统都将会被发送一个随机的编码表与/或一串随机的提示符,而用户则需要依据提示符与/或编码表,套用预设的公式密码来计算出结果并输入。每次验证系统随机产生了提示符与编码表后,都会将字符性的提示符与编码表变为图片格式,并作适当变形处理。公式密码结合图形提示的交互型动态密码校验模式依据设定流程运行。在密码输入方式上,用户可以选择通过键盘输入,也可以通过鼠标方便快捷地在屏幕的编码表上直接点击输入。由于本发明采用了上述技术方案,从而完全摒弃了任何外界的密码生成设备,创造性地解决了长期以来困扰单机、网络,互联网用户及其相关网站的难题。
文档编号H04L9/16GK1716852SQ200410027928
公开日2006年1月4日 申请日期2004年7月1日 优先权日2004年7月1日
发明者谈子晨 申请人:谈子晨