专利名称:太极活性密码验证技术的制作方法
技术领域:
本发明涉及户验证方法。
背景技术:
为了安全要求对一个试图登录或请求资源的用户进行一定的验证,以确定他(或她)就是自己所宣称的那个人。
有三种验证方法一、他所知道的内容,如密码或某个问题的相应答案;二、他所拥有的物品,如智能卡、徽章、相应的工作证;三、他的生物特征,如指纹、视网膜、声音。
三种验证方式各有其内在弱点。
对于远程或多用户访问,第二、第三种验证方式实现困难、成本昂贵、缺乏灵活性,所以密码验证的方式成为应用最广泛的一种验证方式。
但是密码验证也有其弱点,密码验证的有效性基于密码内容的保密,一旦有别人知道这一内容即可冒充此人进行登录。
获知他人密码的方式有强力猜测(遍历)、录像、网络监听、数据截取、机器内历史纪录的破解、键盘物理跟踪、键盘软件跟踪、目击等。
对于在公共场所使用密码,更是大大增加了泄露的风险,如使用网吧电脑、在公众场合使用笔记本电脑等。在网吧登陆即时聊天工具、网络游戏、在线支付工具的人是很多的,账号盗用的事情也很多,并且多数的盗用成功是由于对机器内历史纪录的破解、键盘跟踪、直接目视等。
为加强安全性,目前已有多种动态密码验证技术。
经文献检索发现,目前已经获得专利和正在申请的动态密码验证技术主要分成以下几类1、基于口令发生装置或智能卡的解决方案,这类方案的优点是安全性好,但需要智能卡、读卡器等设备,还得由管理中心统一发放和管理,并且验证时计算量大。因此适合安全要求较高且资金预算充足的项目。
2、秘密参数+随机数的解决方案,一般由服务器产生随机数,再由客户端利用秘密参数对其进行加工,服务器对比客户端返回的加工数是否等于自己用同样方法加工所得的数,如果等于则验证成功。这类方案的客户端一般不需要智能卡、读卡器等设备,降低了实现成本,但用户得小心保存好秘密参数,不能丢失或损坏该数据(病毒、硬盘故障、格式化),并且用户要在不同的计算机上登录就很不方便了。
3、由用户对随机数进行加工的解决方案,即由服务器产生随机数,再由客户根据自己记住的加工规则对其进行加工(数加工者由机器改为人),服务器对比客户返回的加工数是否等于自己用同样方法加工的数,如果等于则验证成功。这类方案的客户端不需保留密密参数,用户可在不同的计算机上登录,但从系统整体而言不可能全部的用户都设置了足够复杂的加工规则,所以如果用100种不太复杂的加工规则对500个账号进行攻击,很可能可以攻破其中较多的账号。
4、基于数字证书的解决方案,这类方案的优点是安全性好,且技术成熟,客户端也不一定要安装额外设备。但从系统总体而言成本高,配置复杂,维护要求高。
各种方案各有其优缺点,本发明致力于成本低、灵活性和实用性好。
发明内容
本发明旨在增加一层操作级的安全性和一种外层保护。
对一个账号,设立一组相互之间值离散,使用有顺序的密码,任意二次连续登录的密码均可不相同。并且服务提供单元有安全记分审计功能。
一个密码由多个段组成,在具体的实施方案中可根据安全要求和使用方便等因素对字符段进行选择增删。
一个完整的密码由以下几个段组成附加验证码+二或三位任意字符+循环变化码+奇偶标记+随机数加工码。
附加验证码由服务器随机给出,可以是大小写字母、数字和特殊符号等。
二或三位任意字符由用户每次登录时随意输入。
循环变化码在第一次建立或更改密码时,先设立一个源码字符窜,接着在这个源码字符窜中任选若干位,作变量位,并确定一种有序的变化规则,以后每一次登陆的实际可用循环变化码由源码、变化规则和当前序号共同决定。
循环变化码形式1设立一个源密码。接着在这个密码字符窜中任选若干位,作变量位,并确定每次的变化元素,可用密码总数确定,相互之间值离散,循环使用,并有顺序。如附
图1所示(变量位简称位,可变元素简称位元)。
循环变化码形式2设立一个源密码。接着在这个密码字符窜中任选若干位作变量位,并确定可变元素类型,变化步长,循环极限;每一次的实际可用密码由源密码、可变元素类型,变化步长和当前序号共同决定。如附图2所示。
奇偶标记在输入奇数序号的循环变化码时应加上奇数序号的标志;在输入偶数序号的循环变化码时应加上偶数序号的标志。
奇偶标志可单位,也可多位,且两个标志的位数可以不相等。
单位的奇偶标志如以“Q”作为奇数序号的标志;以“#”作为偶数序号的标志。
那么在输入(一)(三)号等奇数序号的密码时应加上“Q”;在输入(二)(四)号等双数序号的密码时应加上“#”。
多位的奇偶标志如以“Qi5”作为奇数序号的标志;以“p4”作为偶数序号的标志。
随机数加工码在第一次建立或更改密码时,设立一个加工规则。
要求登录时,由服务器给出一个随机数,用户按照预定义的规则加工,把加工后的新数输入。加工规则可以是按位的加、减、乘、除,或整体的加、减、乘、除,向左移位,向右移位,倒序排列,组合加工等。
对于每次实际可用密码的排列顺序,也是可以作为秘密信息的。
如由用户在初始化密码时确定一种排列顺序,或者每次登录时由服务器给出。
服务登录流程示例及计分式审计规则,详见附图3。
具体实施例方式
下文描述一个本发明的实施例。
注册阶段用户向服务器提出注册请求。
服务器返回注册界面。
申请用户名为User1。
用户设置循环变化码为元密码MingSi,可变位3,5,6,变化元素3eqG,变化方法从右往左把变化元素压入可变位。如附图4所示。
奇偶标记以“Q”作为奇数序号的标志;以“p4”作为偶数序号的标志;随机数加工规则按位加3,如大于等于10,则取个位数。
登录认证阶段第一次登录用户在帐户框输入User1,发送登录请求,服务器返回,附加验证图片,上面写着“HG3E”,随机数“917”,当前可用循环变化码号“(一)”。并提示当前完整密码的排列顺序是附加验证码+二/三位任意字符+循环变化码+奇偶标记+随机数加工码。
用户在密码框输入HG3EXkMingSiQ240。
登录成功。用户可以开始活动,并管理自己的帐户状态。
1.可更改密码或下次登陆密码序号;2.可查看单次警戒值和累计警戒值,且可修改累计警戒值。
并且累计警戒值大于3时会有提醒。设用户这时没有更改安全设置。
第二次登录用户在帐户框输入User1,发送登录请求,服务器返回,附加验证图片,上面写着“5UA”,随机数“3807”,当前可用循环变化码号“(二)”,并提示当前完整密码的排列顺序是循环变化码+附加验证码+随机数加工码+二/三位任意字符+奇偶标记。
用户在密码框输入Mi3geq5UA6130GCkp4。
登录成功。
安全性和可推广性分析本发明的安全核心在于循环变化码+奇偶标记+随机数加工码。
在具体实施项目中中可根据安全要求和使用方便等因素对字符段进行选择增删,比如省略循环变化码或随机数加工码。
有多种简单的循环变化码选择方法,列举其中一个选择方法设总可用密码数位4个,原密码为O1O2O3O4O5O6,变量位为第三、第五,可变元素为X1X2X3X4,变化方法为从右至左将可变元素压入变量位,每次多余二个不用。如附图5所示。
合法用户的额外记忆内容是二个变量位和四个可变元素。对于非法盗用者如果只知道其中一个密码,他不能推测出其他密码。
对于随机数加工码也有很多简单易用的加工规则,如设服务器给出的随机数=0189,1、按位+3,大于等于10,取个位,得3412;2、按位取和,得18;3、前两位相乘,后面的数-6,负数取绝对值,得123;
4、倒序排列,首尾数+4,大于等于10,取个位,得3814;等等随机数加工规则不出现在密码的输入和传输过程中,如果截取密码的攻击者成功截获密码,但不知道对应的随机数的话,无法推算出加工规则。
有多种简单易用的循环变化码选择方法和随机数加工规则的存在,是本发明可推广性的重要保证。
本发明用户不需购买和携带IC卡之类的存储介质,用户端不需安装额外设备,对服务提供单元增加额外的计算负担很小,易于编程实现,成本低,灵活性强,用户可在随意的客户端上登录,成功登录后在客户端可以不留任何记录,可配合任意底层加密技术。
然而具备较好的安全性。可以抵御重传攻击,由于每次登录时,使用不同的密码,所以可以抵御重传攻击。并且,他人得知一次登录使用的密码,很难成功登陆账号,即使得知二个,由于计分式安全审计的存在,也很难成功登陆账号,尤其在短时间内更难,给账号一个保护。大大增加使用公共电脑及在公共场所使用密码时的安全性。
本发明中的密码虽对用户有些额外的记忆要求,但只要用户掌握了一点使用技巧以后,不构成太大的障碍。鉴于安全性的提高,一些希望经济地获得额外安全性的用户会乐于接受这种密码的,特别是年青群体更易于接受并使用这种密码。
鉴于可在不脱离本发明的精神和本质特征的情况下,变化某些部分作出多种实施方案,故本发明的应用方法和范围,包含但不限于上述实例。
权利要求
1.一种太极活性密码验证技术,在用户请求登录服务提供单元时,要求用户输入正确的密码,其特征在于对一个账号,设立一组相互之间值离散,有使用顺序的密码,任意二次连续登录的密码均可不相同。一个完整的密码由以下几个段组成附加验证码+二或三位任意字符+循环变化码+奇偶标记+随机数加工码。并且服务提供单元有安全记分审计功能。
2.如权利要求1所述的太极活性密码验证技术,其特征是其中的附加验证码由服务器随机给出,可以是任意ASCII字符、GB2312-80字符、Unicode字符,即可以是大小写字母、数字、特殊符号和汉字多种符号。给出形式可以直接是字符,也可以是图片的形式,还可以是转义符号序列。
3.如权利要求1所述的太极活性密码验证技术,其特征是其中的二或三位任意字符由用户每次登录时随意输入。
4.如权利要求1所述的太极活性密码验证技术,其特征是其中的循环变化码在第一次建立或更改密码时,先设立一个源码字符窜,接着在这个源码字符窜中任选若干位,作变量位,并确定一种有序的变化规则,以后每一次登陆的实际可用循环变化码由源码、变化规则和当前序号共同决定。
5.如权利要求4所述的太极活性密码验证技术,其特征是其中的循环变化码的具体循环方式可有多种变化,故包含但不限于下述形式。循环变化码形式1设立一个源密码。接着在这个密码字符窜中任选若干位,作变量位,并确定每次的变化元素,可用密码总数确定,相互之间值离散,循环使用,并有顺序。循环变化码形式2设立一个源密码。接着在这个密码字符窜中任选若干位作变量位,并确定可变元素类型,变化步长,循环极限;每一次的实际可用密码由源密码、可变元素类型,变化步长和当前序号共同决定。
6.如权利要求1所述的太极活性密码验证技术,其特征是其中的奇偶标记在输入奇数序号的循环变化码时应加上奇数序号的标志;在输入偶数序号的循环变化码时应加上偶数序号的标志。奇偶标志可只有一位,也可多位,且两个标志的位数可以不相等。
7.如权利要求1所述的太极活性密码验证技术,其特征是其中的随机数加工码在第一次建立或更改密码时,设立一个加工规则。要求登录时,由服务器给出一个随机数,用户按照预定义的规则加工,把加工后的新数输入。加工规则可以是按位的加、减、乘、除,或整体的加、减、乘、除,向左移位,向右移位,倒序排列,组合加工。由于具体的加工规则从数学上来讲是近乎无限的,所以在此无法一一列举。
8.如权利要求1所述的太极活性密码验证技术,其特征是在具体的实施方案中可根据安全要求和使用方便等因素对密码字符段进行选择增删。
9.如权利要求1所述的太极活性密码验证技术,其特征是对于每次实际可用密码的排列顺序,也是可以作为秘密信息的。可由用户在初始化密码时确定一种排列顺序,或者每次登录时由服务器给出。
10.如权利要求1所述的太极活性密码验证技术,其特征是其中计分式审计规则为当服务提供单元接收到用户输入的密码后,判断是否等于合法密码,等于则验证成功。不等于进一步判断,循环变化码是否为预设码中其中之一,为引述方便将此判断记作A,奇偶标记是否等于其中之一个,为引述方便将此判断记作B,随机数是否符合加工规则,为引述方便将此判断记作C;A=真,B=真,C=真,则单次警戒值、累计警戒值+X1;A=假,B=真,C=真,则单次警戒值、累计警戒值+X2;A=真,B=真,C=假,则单次警戒值、累计警戒值+X3;A=假,B=真,C=假,则单次警戒值、累计警戒值+X4;A=假,B=假,C=假,则单次警戒值、累计警戒值+X5;若单次警戒值>S2则锁账号T2小时;若累计警戒值>S1则锁账号T1小时;给用户发警告邮件。若没有超过警戒阀值,返回“账号或密码错误。请重试。”累计警戒值每隔T3自动下降S3。
全文摘要
太极活性密码验证技术。本发明属用户验证领域。本发明旨在增加一层操作级的安全性和一种外层保护。对一个账号,设立一组相互之间值离散,有使用顺序的、循环的密码,任意二次连续登录的密码均可不相同。一个完整的密码由几个段组成附加验证码+二或三位任意字符+循环变化码+奇偶标记+随机数加工码。在初始化密码时,用户先确定源密码和变化规则,每一次登录时的实际可用密码由源密码、变化规则和当前序号共同决定。大大增加使用公共电脑及在公共场所使用密码时的安全性,如使用网吧电脑、在公众场合使用笔记本电脑等。并具有实现成本低,灵活性强等优点。
文档编号H04L9/12GK1731724SQ20051006044
公开日2006年2月8日 申请日期2005年8月22日 优先权日2005年8月22日
发明者卓悌科 申请人:卓悌科