专利名称:基于对称密码体制的网络身份认证方法
技术领域:
本发明涉及信息安全领域,是用对称密码体制来实现网络身份认证,该技术方法可防止非法或越权的网络访问,适用于政府、社会团体、军队、银行、证券、保险等单位的各种网站。
背景技术:
目前,国内外一些厂商生产的基于密码算法的网络身份认证产品,都是采用非对称密码体制,即公钥或双钥体制。该技术不仅要建立CA认证中心,还要建立证书管理中心和密钥管理中心等,非对称密码算法复杂,密钥要求太长,认证速度慢,日常的密钥分发、管理繁琐,系统维护费用高,系统建立投入大,尤其是每年还要交服务费,导致该技术的普及应用难度较大。
发明内容
本网络身份认证方法采用计算机、密码和网络技术来构建网络身份认证系统,是在客户计算机和网络服务器两端,分别设置一对相同的对称密码算法,通过比较两端用对称密码算法加密生成的认证码,来实现身份认证。全部过程由软、硬件结合方式实现,具体方法如下1、客户端的对称密码算法和一套“子密钥”组N存放在一个数字钥匙中,其中N=580~2970个,子密钥的长度为16比特~32比特;服务器端的对称密码算法和一组固定的密钥K,也存放在一个数字钥匙中,其中K=128比特~256比特,K变化量为2128~2256,该数字钥匙用硬件实现,是一支内置CPU智能芯片具有智能卡功能的USB设备。
2、每个用户分别拥有一套不同的“子密钥”组,与加密算法一起存放在数字钥匙中,由时间戳和随机码控制对该“子密钥”组进行随机、实时组合选取,并合成密钥,合成后的密钥长度为128~256比特,其变化量为2128~2256,这种密钥的生成方式能达到一次一变,不重复,100年也用不完。
3、时间戳是根据客户端计算机的系统时间来产生,时间戳由8位数字组成;随机码是由客户端认证系统随机产生,由8~16个数字组成。
4、将客户端产生的时间戳和随机码传输到数字钥匙中,在数字钥匙中,对一组明文T进行加密生成密文M1,其中T=128比特~200比特,M1=128比特~200比特,M1的变化量为2128~2200,其密文M1与明文T长度一样,将该密文M1称为认证码。
5、用户号由英文字母或数字组成,长度为4~16位,用户号在客户机和服务器里同时备份。
6、将用户号、时间戳、随机码和认证码一起作为认证参数,认证参数是由客户端发给网络服务器端,用于对客户端用户身份的识别,认证参数是在网络上公开传输。
7、服务器端各用户的“子密钥”组,是用该端对称密码算法和一组固定的密钥K进行加密,生成“密子密钥”组,并预置在与用户号对应的硬盘存储区。
8、服务器端在进行认证时,是先根据客户端传来的用户号、随机码和时间戳,选出用户号对应的“密子密钥”并输入数字钥匙中,在数字钥匙中,将其用固定密钥K和加密算法进行解密并合成密钥,再用该密钥和加密算法对一组与客户端相同的明文T进行加密,生成认证码M2,将M2与客户端传来的认证码M1进行对比是否相同,来实现网络身份认证。
图1基于对称密码体制的网络身份认证流程图
具体实施例方式以下结合
身份认证方法的实现步骤图1说明客户端计算机首先产生时间戳和随机码,由其控制从“子密钥”组中选出若干个“子密钥”,并合成密钥,再将该密钥输入加密算法,对一组明文进行加密生成密文,把该段密文作为认证码M1,与用户号、随机码和时间戳一并通过网络传输给网络服务器。服务器端接收到客户机端发来的认证参数后,根据用户号、时间戳和随机码,首先选出该用户号对应的“密子密钥”,将其用固定的密钥和加密算法进行解密,并合成密钥,再用该密钥和加密算法对一组与客户端相同的明文进行加密生成认证码M2,将两端的认证码M1和M2进行比较,若相同,为合法用户,否则,为非法用户。
权利要求
1.基于对称密码体制的网络身份认证方法,是利用计算机、密码和网络技术来实现,其实施步骤如下在客户计算机和网络服务器两端,分别设置一对相同的对称密码算法,用客户端对称密码算法对一组有限长的明文进行加密,生成一组密文,将该密文作为认证码,与用户号、时间戳和随机码一并通过网络传输给网络服务器,且密钥采用组合生成,保证一次一密,服务器端以相同的对称密码算法和密钥对相同的明文进行加密生成密文,将该密文作为服务器端的认证码与客户端传输来的认证码进行比较,相同则为合法用户,反之,为非法用户。
2.根据权利1要求的方法,其特征在于用对称密码体制来实现网络身份认证。
3.根据权利1要求的方法,其特征在于每个用户分别拥有一套不同的“子密钥”组,与加密算法一起存放在数字钥匙中,由时间戳和随机码控制对该“子密钥”组进行随机、实时组合选取,并合成密钥,使得对称密码的密钥达到一次一密,不重复,100年也用不完,从而,解决了对称密码的密钥分发和管理较繁琐的难题。
4.根据权利3要求的方法,其特征在于进行网络身份认证过程中的有限长的认证码,在密钥和加密算法控制下生成,一次一变,不重复,从而,防止认证码被盗用。
5.根据权利1要求的方法,其特征在于客户端的对称密码算法和一套“子密钥”组存放在一个数字钥匙中,服务器端的对称密码算法和一组固定的密钥也存放在一个数字钥匙中,该数字钥匙用硬件实现,防止非法的数据读取。
6.根据权利1要求的方法,其特征在于网络服务器端各用户的“子密钥”组,是用该端对称密码算法和一组固定的密钥进行加密,生成“密子密钥”组,并预置在与用户号对应的硬盘存储区,从而,保证了服务器端用户密钥的安全。
7.根据权利5和6要求的方法,其特征在于1)客户机端用户密钥的使用,是根据随机码和时间戳选出“子密钥”再合成密钥,并对一组有限长的明文进行加密生成认证码,其过程全部在数字钥匙中进行,防止“子密钥”和加密算法的数据泄漏;2)服务器端各用户密钥的使用,是先根据客户端传来的用户号、随机码和时间戳,选出用户号对应的“密子密钥”,将其用数字钥匙中固定密钥和算法进行解密并合成密钥,再用该密钥对一组指定的明文进行加密,生成认证码,加、解密过程全部在数字钥匙中进行,防止被解密的“密子密钥”和加密算法的数据泄漏。
全文摘要
基于对称密码体制的网络身份认证方法,是运用计算机、密码和网络技术,在客户机和网络服务器两端,分别设置一对相同的对称密码算法,用客户端的加密算法,对一组有限长的明文进行加密生成密文,将该密文作为认证码,与用户号、时间戳和随机码一并经网络传给服务器,且密钥采用组合生成方式,达到一次一密,服务器端以相同的密钥和加密算法对相同的明文进行加密,生成同长度的认证码,将两组认证码进行比较,从而,实现网络身份认证。
文档编号H04L9/32GK1516388SQ03155838
公开日2004年7月28日 申请日期2003年8月26日 优先权日2003年8月26日
发明者胡祥义 申请人:胡祥义