专利名称:动态口令防盗号的制作方法
技术领域:
本发明涉及在非安全环境下对用户身份进行确认时,使用户可以简单、有效、频繁的变更密码,防止固定的密码被木马、病毒、或其他恶意程序或具有恶意动机的人窃取,尤其是对在网吧进行网上交易、玩网络游戏的用户帐号进行保护,主要应用于帐号安全领域。
背景技术:
随着互联网的发展,各种传统应用已经搬到网络上来,由于互联网先天的不足,给一些不法分子以可乘之机,他们利用木马、病毒或其他恶意程序来窃取他人的帐号信息,以此达到牟利的目的,每年因网络游戏帐号被盗而引发的案件与日俱增,极大的危害了广大用户的利益。
目前,针对这个问题,已经有不少的解决方案,但是有的方案技术太复杂,普及较困难、有的设备成本太高,用户无法忍受、有的干脆就通过软件来加密输入的信息,结果终因操作系统的开放性而导致陷入一个长期的技术拉锯战,起不到良好的防盗效果,最终吃亏的还是用户。
其实,最有效的方法是使用户每次输入的密码都不一样,而且下次需要输入的密码是随机的,不可预测,且根据截获的密码也无法还原,动态口令卡就是典型的方案,但是因为它制造成本高昂、时间同步要求精度高等缺点,一直无法推广。
发明内容
本发明就是在充分考虑了以上防盗方案的优点和缺点后,结合现代电子技术、网络技术,提出的一种新型的、廉价的、易用的、安全的防盗方案。
该方案涉及了一个类似与计算器的设备E1,可以在第一次使用E1时输入一个唯一标识符KEY,E1通过算法F(X,Y)将输入的信息S2不可逆的转化为S3并显示给用户,由于该设备与计算机独立,所以整个转化过程木马或病毒无法窃取,这点也是本方案的核心;本发明所涉及的方法过程可以用以下方案来体现,步骤包括A.假设用户预先将一个分配给他(她)的唯一标识号KEY输入设备E1中;B.用户将步骤A中的KEY同自己的帐号信息建立关联;C.登录时用户输入帐号信息S1;D.系统给用户提示随机信息S2;E.用户将S2输入E1中,E1结合预先设定的KEY并通过不可逆算法F(X,Y)将S2转变为S3;F.用户把S3作为密码输入,确认S3的正确性即完成身份确认;安全性说明A.由于S2是随机信息,所以,计算出的S3不可预知;B.由于每个用户的KEY不相同,所以即使是相同S2也可产生不同的S3;C.由于采用单向算法,所以,通过截获S3及破解F(X,Y)并无法获得KEY;D.在无法获得KEY的情况下就无法根据S2来破解S3的值;E.由于组成S2、S3、KEY的字符很多,即使只使用数字,也有近43亿种变化;F.如果采用猜测的方式,破解的概率不到10亿分之一;发明特点1.E1算法公开;
2.E1无需固化不同的KEY,可批量生产,成本低廉;3.没有普通动态口令卡的时钟同步问题;4.使用简单,安全性好;
说明书附图中图1为使用该发明的步骤示意图;具体实施方式
本发明所涉及的方法过程可以用以下方案来体现,步骤包括1.生产一种类似与计算器的设备E1,可以在第一次使用E1时让用户输入一个分配给他的唯一标识符KEY;2.用户在登录系统之前首先将KEY通过WEB方式和自己的帐号建立关联;3.在系统的登录界面里输入自己的帐号信息S1;4.系统根据S1产生一个随机的验证码S2显示给用户(可以就在用户当前的显示屏上显示);5.用户把看到的S2输入E1中,并得到了E1计算出来的S3;6.再把S2输入到登录界面的密码输入框里;7.系统用和E1相同的计算方式计算出一个值和S3比较,如果相同,表示用户身份合法,否则即是非法用户;以上步骤涉及到的计算方法很多,这里可以采用CRC校验、MD5等都可以,只要是单向的就可以;
权利要求
1.动态口令防盗号,用于在不可信任的网络环境中防止因使用单一密码进行身份确认时造成的密码信息被窃取,其特征在于A.假设用户预先将一个分配给他(她)的唯一标识号KEY输入设备E1中;B.用户将步骤A中的KEY同自己的帐号信息建立关联;C.登录时用户输入帐号信息S1;D.系统给用户提示随机信息S2;E.用户将S2输入E1中,E1结合预先设定的KEY并通过不可逆算法F(X,Y)将S2转变为S3;F.用户把S3作为密码输入,确认S3的正确性即完成身份确认。
2.如权利要求1所述的动态口令防盗号,其特征在于步骤A、B可以执行一次或多次,但每次KEY值必须相同。
3.如权利要求1所述的动态口令防盗号,其特征在于所述步骤D、E、F和所述步骤C之间没有必然的次序要求。
4.如权利要求1所述的动态口令防盗号,其特征在于所述步骤E中S2到S3的算法F(X,Y)可采用任何的转换算法、校验算法及加密手段。
5.如权利要求1所述的动态口令防盗号,其特征在于所述各个步骤可以在同一设备中完成,也可以在不同设备中完成。
6.如权利要求1所述的动态口令防盗号,其特征在于所述步骤C中S1、步骤D中S2、步骤E中S3包括且不仅限于ASC字符。
7.如权利要求1所述的动态口令防盗号,其特征在于所述步骤C中S1、步骤D中S2、步骤E中S3的显示不仅限于文字方式。
8.如权利要求1所述的动态口令防盗号,其特征在于所述步骤E中S2到S3的转换和步骤F中确认S3的正确性,可采用相同算法或不同算法,也可采用非对称算法。
全文摘要
动态口令防盗号是为低成本的解决目前Internet网络身份验证安全问题(主要是盗号问题),系统采用独立与计算机的硬件,通过密码学中的单向加密算法,结合服务器随机产生的随机码来产生动态口令,使口令的离散性很大,且一次有效,达到一次一更换口令,彻底解决盗号问题,与传统的动态口令卡相比,思路完全不同,具有技术简单、成本更低(是普通动态口令卡成本的1/10)、使用简单等特点。
文档编号H04L9/32GK1929374SQ20051009831
公开日2007年3月14日 申请日期2005年9月8日 优先权日2005年9月8日
发明者赵志鹏 申请人:赵志鹏