专利名称:转换静态密码系统以变为二因素认证的制作方法
技术领域:
本发明涉及二因素认证,并具体地涉及在静态密码系统上实现二因素认证的系统和方法。
背景技术:
在现代电子领域中,实现识别采用的途径主要基于预定因素,诸如“您知道的某物”(诸如密码、PIN号码等)、“您具有的某物”(诸如令牌、访问卡等)或者“您是某物”(诸如指纹、虹膜扫描等)。验证因素的验证处理通常认为是认证。例如,如果Alice和Bob将进行约会,则他们能够彼此识别,通过i)知道会面时间和地点(第一因素认证);ii)识别他们驾驶的车辆的车牌(第二因素认证);以及iii)见面时认出彼此的面部和声音(第三因素认证)。自然地这种认证处理将不认真和严格进行,而是在每次他们会面时潜意识地进行。但是,如果Bob忘记时间但是仍然驾驶相同车辆,Alice不会像当Bob驾驶不同车辆时或者甚至Bob看起来不同时一样产生怀疑。不同的认证因素的组合使得被识别人被准确认证具有很强的可能性。例如,如果系统仅仅要求用户提供秘密密码(一个因素认证)被识别,而另一系统要求用户提供密码密码和从唯一令牌产生的动态密码(二因素认证或者2FA),后一系统在认证用户上将被认为是更安全的系统。已经存在很多成功的攻击,诸如对仅采用一因素认证以确定用户身份的系统进行钓鱼和嫁接(pharming),并且这种攻击逐渐增多。即使这样,采用一单数认证运行的系统远超过采用2FA的系统。2FA通常被金融机构等采用。一因素认证比2FA更受欢迎有很多原因。这些原因包括成本可行性、系统可行性、协议兼容性和用户可控制性。很多2FA方案,诸如RSA、VASCO, DS3等已经存在商业应用。其能够在他们的后端系统集成以实现对它们的用户的二因素认证。集成2FA方案要求对现有系统的重大升级。 因此,在现有系统上部署和维护2FA的成本可能超过得到的益处。这变为使组织放弃进行这种实施的主要因素。尽管组织努力使它们的应用系统开放并且更新,不可避免地存在一些遗留应用或者专用系统,超出组织的控制以修改或者重配置。即使组织已经具有企业规模的2FA方案, 这些系统将不能利用添加的安全性。存在与2FA的使用不兼容的多个密码协议,例如,包括Microsoft Windows Active Directory,世界上大多数系统的企业骨干的很多系统广泛使用的Kerberos不兼容2FA。在用户登录阶段,Kerberos网络认证协议要求操纵静态密码作为与Kerberos服务器的密钥交换的一部分。当用户必须提供静态密码以及动态密码以便发送到后端认证服务器时,协议与2FA方案不能良好工作。存在可用的多个应对方案,其涉及修改Windows GINA登录处理以单独负责动态密码,但是这些应对方案部署起来很困难并且甚至更难维护。至此,2FA的实施被留下成为系统拥有者的权限。如果系统拥有者选择不实施2FA
4来保护用户帐号,则用户除了选择更复杂的密码以及仅仅使用信任的机器来登录以外没有其他选择。很明显,尽管来自用户的需求很多,但在因特网上诸如GMail、MSN、Yahoo、 Facebook、MapleStory等的大多数因特网和W^eb 2. O服务不提供2FA。希望2FA保护其帐户的用户仅由系统拥有者所支配。
发明内容
本发明提供将采用静态密码认证或一因素认证的任何系统转换为采用强大的二因素认证的系统和方法,其要求用户呈现静态密码和动态密码,而不用修改现有系统。在本发明的一个方面,本发明提供一种用于在采用静态密码认证或者一因素认证的现有系统上实现二因素认证或者多因素认证的系统。所述系统包括令牌管理器,可操作用于跟踪用户的令牌并且产生第二认证因素;密码管理器,可访问现有系统,密码管理器可操作用于基于第一认证因素和第二认证因素形成新认证代码,其中第一认证因素是在现有系统上注册以便访问的认证代码,密码管理器利用在现有系统上当前注册的新认证代码替换第一认证因素。在一个实施方式中,产生第二认证因素和用新认证代码替换第一认证因素是以预定间隔递归地被执行。在另一实施方式中,令牌管理器基于第一认证因素产生第二认证因素。在又一实施方式中,第一认证因素包括静态密码并且第二认证因素包括动态密码。在另一实施方式中,密码管理器通过改变密码操作用新认证代码代替第一认证因素。还有可能密码管理器通过设置/重置密码操作用新认证代码代替第一认证因素。在另一实施方式中,系统相对于现有系统远程地存在。还有可能系统存在于现有系统上。但是,当密码管理器存在于现有系统上时,令牌管理器可以相对于现有系统远程地存在。在另一实施方式中,系统可以是软件模块或者硬件模块,或者为这两者的组合。根据本发明的另一方面,本发明提供一种用于在采用静态密码认证或者一因素认证的现有系统上实现二因素认证或者多因素认证的方法,所述方法包括部署模块;通过现有系统跟踪用户的令牌;产生第二认证因素;基于第一认证因素和第二认证因素形成新认证代码,其中第一认证因素是在现有系统上注册的用于访问的认证代码;用现有系统上的新认证代码替换第一认证因素,由此访问现有系统的认证将基于新认证密码。在一个实施方式中,产生第二认证因素和用新认证代码替换第一认证因素是以预定间隔递归地被执行。在一个实施方式中,第一认证因素包括静态密码并且第二认证因素包括动态密码。还有可能第二认证因素是基于第一认证因素产生的。在另一实施方式中,用新认证代码替换第一认证因素包括改变现有系统上注册的密码。还有可能用新认证代码替换第一认证因素包括设置/重置现有系统上注册的密码。在又一实施方式中,模块被部署以相对于现有系统远程地存在。还有可能模块被部署为存在于现有系统上。另外,模块可以是软件模块或者硬件模块,或者该两者的组合。
下面将参照附图描述本发明的优选实施方式,其中类似附图标记指代类似元素。图1是根据本发明的一个实施方式的二因素认证系统的功能框图。图2是根据本发明的另一实施方式的二因素认证系统的功能框图。图3是根据本发明的另一实施方式的二因素认证系统的功能框图。图4是根据本发明的另一实施方式的二因素认证系统的功能框图。图5是根据本发明的另一实施方式的二因素认证系统的功能框图。图6是根据本发明的另一实施方式的二因素认证系统的功能框图。图7是根据本发明的另一实施方式的二因素认证系统的功能框图。
具体实施例方式与上文发明内容一致,以下多个具体和替换实施方式是为了理解本发明的发明特征而提供的。然而,对本领域技术人员明显地,本发明可以实施而不用这些具体细节。一些细节可以不详细描述以不混淆本发明。为了便于参考,在整个说明书中,当指代对附图共同的相同或者类似特征时使用相同的附图标记。本发明的目的是提供一种可以在已建立的系统,通常为一因素认证系统上实施的方案,以支持二因素认证OFA)。期望在已建立的一因素认证系统上实现2FA而不要求对现有系统进行任何修改。本发明提供将采用静态密码认证或者一因素认证的现有系统转换为2FA系统的系统和方法。在一个实施方式中,转换的系统将要求用户呈现静态密码和动态密码以便认证,而不需要修改现有系统。为了说明,静态密码是指用于认证的预定代码或者字符串。静态密码是通常在将被访问的现有系统中存储的第一认证因素。静态密码通常在全部时间是固定的直至被用户的请求改变。在另一方面,动态密码是指基于预设算法产生的第二认证因素。图1是根据本发明的一个实施方式的2FA系统100的功能图。2FA系统100总体上包括两部分前端用户110和后端系统120。为了简化,前端用户110将还指代用户110, 并且后端系统120将还指代后端系统120。用户或者前端用户110在下文称为具有合法权利用识别代码访问访问受限资源的任何人。后端系统120包括后端模块121和现有系统 125。后端模块121能够访问现有系统125,并且能够被提供对现有系统125的进资源和出资源。现有系统125是一因素或者静态密码认证系统。在登录处理之前,用户110被给予用于获得用户动态密码的令牌。令牌可以是硬件装置,在装置上运行的软件模块、诸如SMS、email等经过任何可用途径发送的消息的形式,或者甚至刮刮卡或者包含密码序列的任何物理介质。通常,通过令牌提供的动态密码是一次性密码(OTP),其为以预定间隔或者任何预定条件变化的伪随机码。这些条件可以在具体时间或者间隔专门针对用户。本领域技术人员将理解令牌广泛用于2FA或者多因素认证,并且由此细节在此不提供以便简洁。可操作地,在后端系统120侧,以常规预设间隔,在步骤122后端模块121计算动态密码。当动态密码被产生时,在步骤1 后端模块进行“改变密码”操作以将在现有系统 125上注册的当前注册密码以预限定格式的改变为新密码,包括静态密码和模块化动态密码。改变密码操作是通常特征允许用户在任何一因素认证系统上主动改变注册密码。在步骤126,新密码进一步记录在后端模块,使得能够基于先前获得的新密码获得随后的新密码。通过在现有系统125上规则地改变和更新包括静态密码和动态密码的新密码,现有系统125能够被更好地保护,因为在现有系统125上注册的密码包括两个或者更多个认证因素。用户110的静态密码是在现有系统125上注册的记录的密码。用户110假设使用静态密码来访问基于一因素认证的现有系统125。静态密码还应该用后端模块121预记录以便产生新密码。在用户110主动改变静态密码的情况下,后端模块121需要用新静态密码更新。新密码的预限定的形式可以是静态密码和动态密码两者的组合,例如,以连锁形式。为了提高安全性,新密码可以还被编码。在用户110侧,在步骤112用户110请求登录现有系统125。在步骤114用户110 接着调出针对用户110的静态密码以访问现有系统125并在步骤116通过令牌获得动态密码。在步骤118当静态密码和动态密码对用户110可用时,两个密码被以预定方式组合并且提供到现有系统125,例如连锁,以验证在现有系统125上记录的新密码。通过令牌获得的动态密码应与后端模块121产生的动态密码相同或者相应。类似地,来自用户110的组合密码的预定方式将与在现有系统125上注册的新密码相同或者相应。因此,从用户110侧发送的组合密码被验证在现有系统125注册的新密码以便认证。应注意密码的验证和认证是在现有系统125上通过一因素或者静态密码认证进行的。因此, 2FA在现有系统125上通过后端模块121实现并且由此明显地提高现有系统125的安全性。后端模块121是独立于采用一因素认证系统的现有系统125工作的添加应用或者系统。其自动地包括第二因素或者更多因素到一因素认证系统而不需要修改现有系统125。 还没有对现有系统125采用的协议的改变和修改。在一个实施方式中,静态密码存储在后端模块121上使得静态密码可获取以便与第二(或者更多个)因素连锁以便认证。本领域技术人员应理解本发明可以在大多数如果不是全部采用一因素认证的现有系统上应用。提供一模块,其能够在现有系统上部署以将认证扩展到两个或者更多个因素认证,由此增加访问的安全性。通常,用户经过诸如个人计算机、移动电话等的电子装置经过诸如因特网的通信网络访问系统。图2是根据本发明的另一实施方式的2FA系统200的功能图。2FA系统200包括用户210和后端系统220。后端系统220包括后端模块221和现有系统225。可操作地,在步骤222,后端模块221以规则预设间隔计算动态密码。动态密码接着与注册的静态密码连锁以便形成新密码。在步骤224,新密码被设置/重置作为授权密码以便访问现有系统225。 通常,这种操作(即设置/重置密码)要求管理员权限来设置新密码,其不同于图1例示的 “改变密码”操作。因此,在步骤226,从用户210发送的连锁密码验证后端模块221设置的新密码以便认证。在用户210侧,用户210被给予令牌。在步骤212,用户210请求登录现有系统225。 在步骤214,用户210调出静态密码,并且在步骤216,用户激活令牌以产生动态密码。在步骤218,包括静态密码和动态密码的新密码能够被形成并且提供到现有系统225。因此,现有系统225可以验证来自用户210的密码对在现有系统225上当前注册的连锁密码。本领域技术人员应理解后端模块221被提供以改变和更新在现有系统225上注册的记录密码为包括原始静态密码和产生的密码的新密码。通过改变在现有系统225上注册的密码以包括第二因素(即动态密码)以便认证,上述实施方式在现有的一因素认证系统上实现2FA,由此在一因素认证系统上模拟2FA。为了说明目的,操作“改变密码”和“设置/重置密码”主要不同在于访问现有系统 225的权限。如上文提到的,在大多数系统中,通常用户被给予用户权限来主动改变他们的密码。为了执行改变密码操作,用户将要求输入现有系统225上当前注册的密码。在另一方面,设置/重置密码操作通常可被现有系统225的管理员操作,由此要求管理员权限来进行这种操作。通常在管理员权限下,在现有系统225上注册的密码能够被改变而无需知道密码。因此,认识到在一因素认证系统上实现2FA将要求用包括第二认证因素的规则替换注册密码很重要。因此,2FA或者多因素认证能够在任何现有系统上实现无需采用的系统和 /或协议上的任何重要升级或者修改。图3是根据本发明的另一实施方式的2FA系统300的功能图。2FA系统300包括用户310和后端系统320。后端系统320包括后端模块321和现有系统325。可操作地,在步骤322,位于后端系统320上的后端模块321以规则预设间隔计算动态密码。在步骤324, 后端模块321进行“改变密码”操作以通过提供记录的当前密码改变记录的当前密码为后端模块321产生的动态密码。因此,现有系统325等待用户310用动态密码登录。类似地, 产生动态密码和改变记录的密码的操作被以预定周期/间隔递归地进行。在用户310侧,用户310被给予令牌。在步骤312,用户310请求登录现有系统 325。在步骤314,用户向令牌输入静态密码。在步骤316,令牌提供动态密码。在步骤318 动态密码接着被提供到后端系统320以便认证。提供匹配的动态密码的用户被允许对现有系统325的访问。返回步骤322,后端模块可以基于在后端系统320上注册的静态密码计算动态密码。还有可能一旦用户ID被验证,后端模块计算动态密码而不需要静态密码。在此情况下, 向令牌输入静态密码可以被认为是第一认证因素,而动态密码被认为是第二认证因素。在本实施方式中,尽管在现有系统325仅仅使用动态密码进行验证,但要求另一认证因素以产生动态密码,因此2FA也被实现。图4是根据本发明的另一实施方式的2FA系统400的功能图。2FA系统400包括用户410和后端系统420。后端系统420还包括后端模块421和现有系统425。可操作地, 在步骤422,以规则的预设间隔,后端模块421计算动态密码。在步骤424,“改变密码”操作被后端模块421进行以将现有密码改变为连锁密码。在产生动态密码(步骤42 之后的步骤426中,动态密码被按照要求远程地传递到用户410。因此,现有系统425等待用户 410登录。在用户410侧,用户被提供预先指定的方式,诸如移动电话号码或者电子邮件地址或者任何消息ID以接收动态密码。当在步骤似6动态密码被传递时动态密码被经过预先指定的方式远程地提供给用户410。用户410能够经过任何可用服务获得动态密码,例如产生的动态密码可以从后端模块421经过SMS或者email或者在线消息传递给用户410。 在现有系统425上的密码被改变的时间点,在步骤416用户410从后端模块421接收动态密码。为了登录,在步骤414用户410调出先前用现有系统425注册的静态密码并且在步骤418与动态密码连锁。在步骤4 连锁的密码接着被提供给现有系统421以便认证。如以上实施方式中所示,2FA或者多因素认证能够在一因素认证或者静态密码认证系统上实现经过部署模块而无需修改或者改变现有系统的现有架构和协议。模块包括令牌管理器和密码管理器。令牌管理器是用于跟踪用户的令牌并且产生对应的动态密码而提供。令牌管理器适用于确保所产生的动态密码是新的并且同步。密码管理器适用于当要求认证时取得和替换现有密码为新密码。密码替换能够经过改变密码操作或者设置/重置密码操作进行。根据部署的类型,密码管理器可以要求存储/恢复原始密码。部署的类型可以是本地部署或者远程部署。图5例示根据本发明的一个实施方式的2FA部署500的框图。2FA部署500在允许用户520访问的目标系统510上实现。目标系统510是采用静态密码或者一因素认证的系统。后端模块530在可访问目标系统510的远程系统上部署以便实现和模拟2FA。远程系统能够是外部装置提供商用于实现2FA系统。后端模块530适用于经过“改变密码”操作实现2FA。在此情况下,用户可以通过其上提供的令牌管理服务访问远程系统管理他们自身的动态令牌。本实施方式对于因特网和诸如Gmail的Web 2.0上的系统是期望的。图6例示根据本发明的替换实施方式的2FA部署600的框图。以类似图5的2FA 部署的方式2FA部署600在允许用户访问的目标系统610上实现,只是2FA部署600的后端模块630集成在目标系统610上之外。集成的2FA部署600性能更好并且处理开销更低。 尽管不限于,2FA部署600适用于对目标系统610自身具有完全控制的企业,例如Microsoft Windows Active Directory。针对用户的令牌管理等将有可能取决于管理员。在本发明的又一实施方式中,提供如图7所示的2FA部署700。通过本地集成后端模块的密码管理器740,但是后端模块的令牌管理器730被远程地设置,2FA部署700在目标系统710上实现。当用户720请求登录时,密码管理器740可操作用于连接到令牌管理器以获得针对密码720的更新的密码。新密码将被产生以对用户720进行认证。类似地, 密码管理器740可以进行“改变密码”以将当前注册的密码替换为新密码以便认证。该部署700适用于具有之上要求实现二因素认证的多个目标系统的企业。添加模块的变化可以是将令牌管理放置在目标系统之外,并且保持改变密码部件在目标系统之内。以规则间隔,改变密码部件将连接到令牌管理服务以获得针对用户的更新的密码,并且设置针对用户的密码。这种设置适用于存在多个目标系统的企业。本发明适用于将一单数认证系统转换为2FA系统。然而本领域技术人员理解本发明能够将任何现有系统(包括以建立的2FA系统)转换为多因素认证系统,不用对以上任何实施方式进行修改。尽管已经描述和例示了本发明,应理解可以对本发明进行很多变化、修改、改变、 和其组合而不背离本发明。
权利要求
1.一种用于在采用静态密码认证或者一因素认证的现有系统上实现二因素认证或者多因素认证的系统,所述系统包括令牌管理器,可操作用于跟踪用户的令牌并且产生第二认证因素;密码管理器,可访问所述现有系统,所述密码管理器可操作用于基于第一认证因素和所述第二认证因素形成新认证代码,其中所述第一认证因素是在现有系统上注册以便访问的认证代码,所述密码管理器利用在所述现有系统上当前注册的所述新认证代码替换所述第一认证因素。
2.根据权利要求1所述的系统,其中产生所述第二认证因素和用所述新认证代码替换所述第一认证因素是以预定间隔递归地被执行。
3.根据权利要求1所述的系统,其中所述新认证代码包括所述第一认证因素和所述第二认证因素。
4.根据权利要求1所述的系统,其中所述令牌管理器基于第一认证因素产生所述第二认证因素。
5.根据权利要求1所述的系统,其中所述第一认证因素包括静态密码并且所述第二认证因素包括动态密码。
6.根据权利要求1所述的系统,其中所述密码管理器通过改变密码操作用所述新认证代码代替所述第一认证因素。
7.根据权利要求1所述的系统,其中所述密码管理器通过设置/重置密码操作用所述新认证代码代替所述第一认证因素。
8.根据权利要求1所述的系统,其中所述系统相对于所述现有系统远程地存在。
9.根据权利要求1所述的系统,其中所述系统存在于所述现有系统上。
10.根据权利要求1所述的系统,其中所述令牌管理器相对于所述现有系统远程地存在,并且所述密码管理器存在于所述现有系统上。
11.根据权利要求1所述的系统,其中所述系统是软件模块。
12.根据权利要求1所述的系统,其中所述系统是硬件模块。
13.一种用于在采用静态密码认证或者一因素认证的现有系统上实现二因素认证或者多因素认证的方法,所述方法包括部署模块;通过所述现有系统跟踪用户的令牌;产生第二认证因素;基于第一认证因素和所述第二认证因素形成新认证代码,其中所述第一认证因素是在所述现有系统上注册的用于访问的认证代码;用所述现有系统上的新认证代码替换所述第一认证因素,由此访问所述现有系统的认证将基于所述新认证密码。
14.根据权利要求13所述的方法,其中产生所述第二认证因素和用所述新认证代码替换所述第一认证因素是以预定间隔递归地被执行。
15.根据权利要求13所述的方法,其中所述第一认证因素包括静态密码并且所述第二认证因素包括动态密码。
16.根据权利要求13所述的方法,其中所述第二认证因素是基于所述第一认证因素产生的。
17.根据权利要求13所述的方法,其中用所述新认证代码替换所述第一认证因素包括改变所述现有系统上注册的密码。
18.根据权利要求13所述的方法,其中用所述新认证代码替换所述第一认证因素包括设置/重置所述现有系统上注册的密码。
19.根据权利要求13所述的方法,其中所述模块被部署以相对于所述现有系统远程地存在。
20.根据权利要求13所述的方法,其中所述模块被部署为存在于所述现有系统上。
全文摘要
本发明提供将采用静态密码认证或一因素认证的任何系统转换为采用强大的二因素认证的系统和方法,其要求用户呈现静态密码和动态密码,而不用修改现有系统。
文档编号H04L9/32GK102308515SQ201080006702
公开日2012年1月4日 申请日期2010年2月4日 优先权日2009年2月4日
发明者陈德源 申请人:数码安信有限公司