专利名称::多种选择性密码安全认证系统及其方法
技术领域:
:本发明涉及一种安全认证系统,特别是一种将用户的登陆密码进行分级处理,并赋予各级密码特定的功能含义的安全认证系统;同时,还涉及该安全认证系统的设置和使用方法。属于信息安全
技术领域:
。本发明涉及数字化输入的安全输入方法,特别是一种防范内部人员,利用工作之便偷窃他人身份识别设备、安装木马等恶意手段,或在旁偷窃、偷听,以窃取重要输入信息的方法,以及一种具有提醒他有人企图窃取重要输入信息的方法。由于要输入的重要信息多数情况是以密码方式表达的,因此,本发明叙述中称其为密码,但是,其本质包括但不局限于通常意义下的密码,也可以是本发明第五个目的中提到的要传递的信息。虽然本发明主要是针对内部人员窃取信息而发明的,但是对纯外部人员或内外勾结作案也同样有效。主要应用于门禁、一卡通、ATM、计算机网络上身份认证信息的输入和其他涉及数字化输入电子设备的身份信息输入。
背景技术:
:在现有的电子设备中,如路由器的管理包括一个输入操作部(通常是路由器外接的计算机)和一个控制器(在路由器内部),通过一根电缆或无线的方式互连,而银行的业务终端和各种自动计费卡等设备,通常是通过一根电缆或类似方式互连。本发明重点解决窃取方式中的偷窥和假冒。对于偷窥,现在的防范方法有以下几种①用刮卡,将坐标值换为输入内容。用此法的人为了方便经常都挂去表面涂层,这样窃用者拍照或复印后再偷去密码就可随时以主人身份进入。②用令牌器产生随机数作为输入内容。③打印出一次性的口令清单查用。④用智能卡。⑤U盾等移动存储器存储一次性口令。⑥设置随机改变操作位置的软键盘输入。①-⑤虽然都很轻但数量多了也是使人头痛的事。第一是易丢失,第二是忘记带。因此,这些安全装置的拥有量不易过大。第⑥个方法既妨碍了操作者的方便性和习惯性,也无力对抗摄像机录象回放和计算机内藏的屏幕录像软件的攻击。对于假冒,现有的防范方法是①由用户区分正确的网址。②安全网站的首页有可靠的网址链接③在验证账号和密码正确时,网站可以回应用户预留的信息。由于钓鱼网站的欺骗对象是对系统不熟悉的人和比较粗心的人,因此,前两个做法不足以使这些人抵制钓鱼网站的欺骗。第③种做法是在输入了账号和密码后才知道上当了,密码已经被骗。我们也常常看到在银行里的持卡人输入111111,888888或出日日期作为密码的成年人,甚至见到过密码写在卡上的报道。为什么会这样呢?一方面我们可以说是发卡人对持卡人的培训很少,另一方面是可以认为计算机工作者对机器的关注,要远多于对使用机器的人的关注。试想有人要求你不要把密码记录在纸上,要有8位以上的字母、数字和其他符号组成的无意义串,每周要更换一次,而这张银行卡你可能几天或几个月才用一次,你认为难度大吗?所以,计算机工作者应该为用户找到用户易记而其他人又看了难懂,复制者按照复制的密码输入又无效的输入方式,同时还应为他们提供基本培训。此外,现在使用者忘记密码是由系统安全管理人员重置一个新密码。这虽然会使安全人员以使用者的身份进入系统时会留下审计线索,但他还是有机会从事不正当行为。有时使用者需要授权内部人员作某事通常就告诉了他密码,但是这样做有当时的风险和以后他变坏的风险。由于内部人员长期共处,对彼此的密码内容和使用习惯常会知晓,但常常变化会是其本人也很难记住,这些都是密码使用40多年来人们未能很好解决的问题。综合上述改进方法,大多是通过增加密码的复杂程度加大旁观者记忆或破解软件破解的难度。但是,这种认证方式在增加破解难度的同时,也增加了使用者的记忆难度或带来了易丢失密码的问题,同时盗取者更易于通过盗取密码记录设备本身直接获取认证信息。另外,由于现有的安全认证方式多是采用上述帐户与密码唯一对应的认证方式,使得用户在填写密码时往往需要他人回避。然而,在很多场合是难以满足这样填写的环境要求的,这给人们带来了许多使用上的不便。如果能够有一种密码形式,在他人直接观看的情况下仍然无法准确的获得相关的身份认证信息,那么将有效地改善这一问题。还有,现有的安全认证技术中帐号仅对应一种密码,身份认证后所对应的功能权限与帐号直接对应,而密码只是起到对用户的身份进行确认的作用。但是在某些情况下,用户可能希望将帐号借予他人并仅对其开放部分权限,这种情况在现有的认证技术中较难实现。再者,通常破解密码往往需要对帐户进行反复的登陆尝试。这种操作本可以作为一种预警信息提供给用户,使用户可以预先察觉帐号可能遭到攻击的危险。但是,这种预警机制在现有的安全认证技术中较难实现。鉴于上述目前安全认证技术中存在的诸多问题,本发明提出了一种新型的安全认证系统,可以有效的解决上述问题。
发明内容本发明的第一个目的是防止系统管理人员在重置使用者密码后,以系统使用人员的身份进入系统。这个目的实现的方法如下将密码分成两个或两个以上部分,和/或(再次)分为内容和格式两部分,由两个或两个以上的安全管理员来分工不同部分的进行管理。这样任何一个安全员就不可以单独修改进入。例如,具体实施的密码可由四个部分组成,系统分配部分、实时生成部分、记忆转换部分、校验部分。由一个安全员管理系统分配部分,另一个安全员管理其余三个部分。由于此密码的后三个部分是使用者参与制定的,因此实际修改的工作量并不会比只有一个安全员时的工作量有多少增加。本发明的第二个目的是防止内部人员以重置密码之外的方式窃取重要输入信息。由于实物身份识别装置比较容易被内部人员窃取,所以本发明的重点是采用非实物的方法来增加密码的破译难度。如与普遍密码相比该发明增加了与使用者思维习惯不同的系统分配部分,随现场时空变化而变化的实时生成部分,与记忆内容相关的记忆转化部分,在机器之间传输信息被证实行之有效的校验部分。在每个工作阶段开始时,使用管理密码进入系统,产生本工作阶段中在安全环境较差的地方使用的安全密码。例如银行内控人员的授权操作就需要在被检查对象身旁输入的密码。因此,需要用安全密码来保证内控人员操作的安全性。通过密码种类的划分,减少了重要密码的使用次数,降低了被盗输入信息的重要程度。不论是管理密码还是安全密码,密码按形式分,可由系统分配部分、实时生成部分、记忆转换部分、校验部分四个部分中的一个或多个排列或排列结果用yxsjl和/或yxsj2进行一次或多次变换而成(注yxsjl和yxsj2是系统提示的不同的有效随机数,为防止窃用者知道使用的yxsjl和yxsj2,通常要将它们淹没在冗余的随机数中。有时为了加强密码强度可以设定2个以上的有效随机数。变换需要用到有效随机数、偏差表和算法,具体实施方式见例一和例二),这样每次输入的密码都不相同。密码组成的四个部分的详细说明如下①系统分配部分是由系统自动随机按照自己的规则定义的(使用者只可以参与选择用还是不用,不能干预如何产生),因此使用者只需在密码生命期间记忆。机器自动分配的方法突破了使用者的思维定势使内部人员不易猜到,当然也可以对上述结果作出变换。②实时生成部分在使用者现场确定的,例如当前的日期,时间,某个约定网页上的局部信息、气温、股票股价的局部、金价、外汇汇率等,也可以是该屏或以前出现过的字段内容的局部,特别是重点审查字段的部分内容可以加强审查效果,当然也可以对上述内容进行组合并对结果作出变换。③记忆转换部分记忆的字符串(可以是原来的密码),或是其变换形态。校验部分用选定的算法对前三个部分的局部或全部内容迸行处理得到的结果(当剩余位数不够时,可以选择取剩余字符进行运算或舍去等方式)。由于前三个部分的变化会导致校验部分几乎是每次都在变化,这样使用者可以区分服务者的真假,服务者也可区分使用者的真假。它的内容包括a.算法b.校验数据C.结果的位置摆放。为防止内部人员长期有意监听、研究使用者的密码输入,使用者也可以将密码按使用频度分为管理密码(较易记忆)和安全密码(不易记忆),并对上面四部分组成的密码作进一步的变换。管理密码在每个工作阶段开始时使用一次,主要用来生成只在本工作阶段使用的安全密码,可以对其使用时间、地点和输入方法作进一步的限制,这样可以减少暴露管理密码的机会。管理密码应该使用在固定机器、固定时间段。使用环境可控制,使用次数减少,使用时间縮短,都会使管理密码更为安全。安全密码仅在工作阶段有效,较复杂,不易记忆。安全密码的使用可以是开放的,不易记忆的,每次工作阶段使用后该密码就作废,相当于一个阶段上的一次性密码。本发明的第三个目的是在有人企图窃取或进行了一部分窃取工作时就被发觉,并使用证据和线索找出做此事的内部人员,而不是现在这样,造成后果后再追查。每次使用本发明的密码进入系统后,系统都会告诉使用者以往进入系统的信息,如地点、时间、主要操作信息,以方便使用者检查以往的操作是否是自己的操作。本发明还完整的建立了密码工作体系,使密码的使用和管理更全面科学。本发明还创造了查询码,每次使用此密码进入系统后,系统都会告诉使用者以往进入系统修改密码的信息如地点、时间、此密码由哪位安全管理人员负责等。此外,由于一个引导码对应着多个相关密码,如果引导码正确,而输入密码不正确说明有人正在攻击这个账号,使用者可以根据入侵者输入的密码判断其是否己经盗取了部分正确的密码。本发明的第四个目的是解决对授权人员的监管并限制其使用范围,而且解决大量可选密码时的遗忘问题。具体方法是采用引导码和隐含提示。采用引导码区别所有者自己使用和授权使用,区别正常使用和报警使用,系统给予使用者不同的使用权限。由于引导码是主动输入的,既可以作为账号A的密码看待,又可以作为下边密码的账号看待,引入引导码使密码多了保护层。通过账号A和引导码系统可以安全地提取出系统针对账号A的回应,而通过引导码和密码系统可以确保使用者的合法身份。系统还可以借助它完成鉴别是否有人盗取了使用者的密码集合中的部分有效密码,方法是每个密码组可以用引导码指定,而系统随机地从其中选中一条作为下面该输入的密码,并隐含的提示出来,如在回应窗口指定位置显示该用第几条,或其縮写;如果密码没通过,而引导码正确,说明引导码泄密;通知所有者当时使用者使用的密码和引导码,这可能就是已经泄密的前兆。此外隐含提示的内容还可以是有效随机数的位置、数量、内容,服务端预留的信息,校验信息,密码加密需要的其他信息和服务端通知的信息。由于本发明需要使用者在现场进行操作或在现场指导操作,这就为使用本发明的使用者在非自愿的时候摆脱被控制或报警提供了更多的机会和时间。本发明的第五个目的是允许操作者通知系统自己下面所作的事是非自愿的,要求系统按预定的方案执行,而不是按常规的操作执行。这样可以给操作者以时间和机会以便按自己的意愿操作。这个方案的实施将给企图犯罪的人以威慑,使他们不敢去实施犯罪。这个目的的实现方法如下(l)定义步骤①定义自己报警密码和其他需要内容。②定义出现报警时发给特定人的特定信息。(2)运行步骤①判断收到的密码是告警密码。②通知系统设定的有关人员。③将预留的特定信息发给特定人群。执行系统预制的全部工作。(3)修改步骤①一位或一位以上的安全管理人员的批准。②批准后要经过一段安全时间后才能进行修改或/和查看当前定义。③安全时间设置规定最短时间,如24小时,缺省为48小时。由于本发明需要使用者在现场进行操作或在现场指导操作,这就为使用本发明的使用者在非自愿的时候摆脱被控制或报警提供了更多的机会和时间。本发明的第六个目的是减少操作者的运算量和记忆量,降低使用难度,但要坚持通过培训才可以使用系统。方法是除了采用隐含提示和引导码外还为变换和校验设计了偏差表、运算符和逆运算符,普通小学文化的人经训练也可以熟练掌握,使用程序培训使用者,通过了培训才可以上传定义数据,从而可以使用系统工作。本发明的第七个目的是提升使用者的能力,使其可以对抗可能的伤害。方法是使用软件对其培训,通过检验后才能上传结果,正常使用系统。本发明的第八个目的是防止假冒服务端,方法是服务端为每个使用者提供个性化的回应码和校验码,使用者输入自己密码前可以先鉴别后输入。本发明的第九个目的是找到一个方便记忆但不容易被破译的多变的密码生成方法。该方法可以分为设置流程和执行认证流程2个流程。设置流程如下1、用户向认证服务器发出注册申请;2、服务器响应用户申请,要求用户填写注册帐号;3、用户向服务器发送注册帐号;4、服务器确认注册帐号是否可用,如不可用则返回步骤3,要求用户重新填写;如可用则向用户一级密码注册信息;5、用户根据一级密码注册信息,填写要注册的一级密码,并选择该一级密码开放的权限;6、服务器接收一级密码注册信息后,向用户发送二级密码注册信息;7、用户根据二级密码注册信息,选择二级密码提示信息的形式,并编辑所需的二级密码变换规则;8、服务器收到二级密码注册信息后,向用户发送相应的提示信息,要求用户试填二级密码;9、用户根据提示信息和所规定的变换规则,填写二级密码;10、服务器确认用户所填二级密码是否有效,如无效则返回步骤7,向用户发送二级密码注册信息要求重新注册;如有效则提示用户是否要继续注册下一级密码;11、用户选择继续注册一级密码,则返回步骤5注册新的一级密码;如果不需要再注册一级密码,则结束注册。多次输入模式判断执行认证流程,即将一级密码和二级密码等分为多个部分先后进行输入认证。具体步骤如下1、用户向服务器发出认证请求;2、服务器响应用户请求,并向用户发送登录提示;3、用户将帐号和一级密码信息发送给服务器;4、服务器对帐号和一级密码信息进行认证,如信息正确则返回该一级密码相应的提示信息;如信息不正确则在预警记录中记录登陆信息,并返回登陆失败信息;由于采用了先填写一级密码后填二级密码的模式,使得所返回的二级密码提示信息可以是根据该一级密码特定设置的个性提示信息。5、用户确认提示信息,并根据提示信息填写二级密码;用户可以根据服务器所返回提示信息确认服务器的身份,这样可以实现用户与服务器之间的双向身份识别,可以防止钓鱼网站等恶意盗取用户信息行为。另外,这种模式下一个一级密码可以设计有多个二级密码与之对应,而每个二级密码所对应提示信息各不相同,用户可以通过个性的提示信息识别服务器要求填写哪个二级密码进行认证,这进一步增加了二级密码的复杂性,降低被破解的可能。6、服务器接收二级密码对用户身份进行认证,如信息正确则认证通过,如信息不正确则在预警记录中记录登陆信息,并返回登陆失败信息。有査看预警记录权限的用户正常登陆后,可以通过预警记录査看登录失败的登录信息,及时采取应对措施。7.重复上面类似二级密码的处理过程,处理完剩余的多级密码。8.对于不需要功能码的系统来说,一种优化的输入方法是定义各级密码的输入设备或输入窗体或定义在输入完一些密码后执行约定操作,输入时按照约定完成。一种优化的输入方法是定义各级密码的输入设备或输入窗体以及该输入备或输入窗体的隐含提示,输入提示信息中显示隐含提示在指定的显示设备中或指定的窗体中,输入时按照约定完成。另一个优选的方案是在提示表中定义一个提示输入设备位置,当此位置显示为特定数时用指定的设备输入密码才有效。另一个优选的方案是在提示表中定义一个产生提示输入事件(例如点击鼠标右键或左键)步的位置,当此位置显示为特定数时,输入到此数时需要用指定的设备产生该事件后继续输入其它密码才有效(例如定义当此位置显示为5时用输入完第5个密码后,点击鼠标右键后再继续其他密码输入才有效)。复合多次输入模式判断执行认证流程,即将若干级密码符合后,再等分为多个部分先后进行输入认证。具体MMM步骤差别是需要定义哪些级密码复合到一起输入,如何复合。执行认证流程的差别是客户端输入时按照约定完成,服务端按约定将复合密码拆开为分级密码,之后可以按多次输入模式判断执行认证流程。同现有技术比较。本发明的技术效果在于*由于密码中有大量相同的逻辑记忆内容和图形记忆内容,因此相同密码强度下本发明产生的密码比一次一密的记忆量小。*密码的强度不再只决定密码的长度,还与密码的内容定义、结构和变换方法等相关,为同一个系统下找到让使用者自己放心的密码设置的方法提供了方法。*为密码变换和校验设计了偏差表、简单实用的运算符及其逆运算符。*当审查人员的密码的实时部分和/或校验部分必须选择与审査内容相关联时,可以强制审查人员注意审查要点的内容。*在输入设备前就已经是密文形式了,从任何地方都无法获得输入的信息明文,而且其完整形式是一次一密的,盗取了也没用。*记忆密码只是整个密码的一部分(其他的还有系统分配部分、校验部分、实时信息、位置、计算次序等),能猜出局部也不能破译整个密码。此外密码的局部、全部都可以定义多次加密,可以达到使用者放心。*由于任何一个管理员只能控制整个密码的的一部分,因此任何一个管理人员都不能假冒使用者的身份。通过使用查询码进入系统通过各部生成的校验码和最新生成的曰期可以知道是哪部分何时被修改。*由于事前预测和事中监管的工作力度的加强,从而减少了事故发生后的损失。査询密码、通知密码、锁定密码的设定和修改方法使密码的使用和管理更全面科学。*管理密码、安全密码、报警密码、引导码、隐含提示和校验码的使用平衡了安全与使用便利之间的种种矛盾。*本发明需要使用者在现场进行操作或在现场指导操作,这就为其摆脱被控制或报警提供了更多的机会。报警码的修改批准和设定安全时间后才许可修改的方法保障了报警码的有效性。*培训后才能使用的设计,使得使用者可以有熟练和安全的操作。图l.适用于外网的实施流程图2.适用于内网的实施流程图3.引导码的处理流程图4.服务端数据结构图图5.认证服务系统结构图具体实施方式例l:偏差表应用举例表l是偏差表的一种形式,中间黑框是显示区,也可以用来作为软键盘的输入区。其中O中的数字表示序号。从左上角的序号(D,顺序排列到右下角的€5。如果超过45则返回左上角的0)继续(0二②),如字符5的序号可以是⑥、等。用偏差表这个工具可以直观完成字符之间的运算。例如定义算子①的操作为字符⑦字符=两个字符序号差的绝对值;字符数字=字符序号加数字序号后的值作为序号,此处的字或数字(如果超过表尾就循环到表头继续);数字①数字^两个数字的序号之和,以所得的和为序号,所表示的序号位置的字符或数字。39=d*g)7=4BE=313=5G7=0歸)=4A2B=1A①BS)2二3表一<table>tableseeoriginaldocumentpage12</column></row><table>说明:偏差表外部提供标尺和/或坐标和/或提供显示区内的序号值,可以方便使用者心算。算子①不符合交换律,因此,在有三位以上运算时有提高保密度的功能。偏差表内除存放字符外,还可以存放句子、词组和图像,故也同样可以将其编码。表中的序号提示和坐标提示根据使用者的水平可以简化或变动。例2:JY变换方法:在本发明中常用的隐含表示方法和加密算法在此集中举例说明。例2-1jy变换方法的形式表达(1)设从提示表中选取有效随机数YXSJ1、YXSJ2。设YXSJ1是由字符yxl(1)、yxl(2)、、yxl(i)组成,简记为yxl;yxsj2是由字符yx2(1)、…、yx2(j)组成,简记为yxl;yx由字符yx(l)、…、yx(i)组成。(2)被变换内容为jy是由字符jy(l)、jy(2)、、jy(k)、组成(i、j、k为自然数)。(3)定义〇@为算子,(jx(i))表示一维提示表中对应坐标(jx(i))下的内容,(jX(i)、jx(j))表示二维提示表中对应坐标(jX(i)、jx(j))下的内容,其余可以类推。(4)那么变换方法有:①yxsjl①jy;②jxsyl①jxsj26jy;③(yxl)jy;(yxl)(yx2)jy;(yxl)(yx2)jy;④映射YXSJ1、YXSJ2到yx上取(yx(i))(yx(j))jy;(yx(i))G)(yx(j))jy;yxl(i)(yx(i))0(yx(j))jy⑤(yxl(i),yx2(j))jy(k);(yxl(i),yx2(j))yxl(i)0jy(k);(yxl(i),yx2(j))yxl(i)6jy(k);yxl(i)(yxl(i),yx2(j))〇yx2(i)〇jy(k)例2-2jy变换方法数字应用举例设j尸1357;jyl=13579yxsj1=83907490,yxsj2=49342437,yxjy3=13803111914算子①为模10按位加法,位数不足时循环使用最短的,直到最长的算完为止。为模10按位差的绝对值(即3-5=5-3=2)位数不足时循环使用.〇为模10按位差的自动借位值(即3-5=8,5-3=2),位数不足时循环使用.(1)yxsjl①jy二96478747;yxsj3①jy1=26372246605(2)yxsj2Ojy=52813784;26392246605〇jyl=jyl(3)yxsjlOyxsj2jy=222498271357=11338530(4)将yxsj2映射到yx上(yx(i),yx(j)),由表2得4为行,9为列,内容为9记为(4,9)=9,其余类推得到,(3,4)=0,(2,4)=6,(3,7)=8。可得9068,9068①j"0315。(5)如由表2选yxsjl内容表示行坐标,yxsj2内容表示列坐标。则得(8,4)=5,其余39,93,04,12,44,93,07类推得59887181,59887181」"62358438(6)将yxsjl和yxsj2连续映射到yx上,并划分2位一个坐标,则得83,90,74,90,49,34,24,37=50109068(这里(8,3)=),50109068jyjy=63670315jy=76141662例2-3与偏差表结合的应用举例表2是一种典型的提示表,黑框内为提示区,边框为坐标,纵向1至0成为行坐标,第一行横向1至C成为列坐标。提示区内适当的分割线和底纹可以方便使用者査找,还可以放置背景图,表中的加框的数据表达就是为此而设。一种安全的使用方式是禁止光标进入提示区,以防止泄露重要的提示信息位置。但可以把提示区作为输入数据的软键盘。设j尸7wssbmtt(不区分大小写)yxsj=67176152(由表2的(2,5)开始的数字1的形态)yxsj2=58099778(由表2的(2,0)开始的数字2的形态)算子的定义与例一相同,偏差表用表3时<table>tableseeoriginaldocumentpage14</column></row><table><table>tableseeoriginaldocumentpage14</column></row><table>a)yxsjl①jy二67176152①7wssbnrfKTTI画)9(最后一位9为2①补充位7的结果)(2)yxsj1yxsj2jy二67176152⑦580997787wssbm#=AEAFE8C07wssbmtt:HGHCZDPG例2-4—种利用记忆编码为坐标提出系统提示串中的局部数据进行变换的方法.有些设备(如一卡通、IC卡门禁、小键盘、银行的密码小码盘)的显示方式行数较少,提示表中的有效数据信息量较少,上面的变换方法就不太适合了.这时的变换办法就应改为■定义至少一个有效随机数■定义至少一个记忆密码■定义算法■运行时产生随机数■用有效随机数位置上的内容与记忆密码内容按算法运算,得到的结果作为输入说明当仅有有效随机数而无记忆密码时,变换结果比较容易被破解;而有两个有效随机数和一个记忆密码时运算量与安全度是比较适中的1.坐标01234567892.记忆密码0319143.随机数29373687314.yxsjl6153095.yxsj27460536.输入l8276357.输入27691718.输入3556893①算子的定义是按位模10加,下面为具体数字性例题,字符型的再加表3变换而已。②有效随机数yxsjl(615309)和yxsj2(746053)表示的是随机数中的坐标。yxsjl中的6对应随机数的坐标6的数,内容为8,l对应内容为9,依此类推,对应于随机数2937368731的内容分别为896721和738267③记忆密码假定为031914输入l:yxsjl①记忆二896721O031914二827635将yxsjl(615309)与记忆(031914)混合书写可得.jy:6鹏5鹏0,之后,无框的数査坐标转换,直接心算得jy=827635输入2:yxsj2①记忆二738267①031914二769171输入3:yxsjl①yxsj2①记忆二896721①738267①0319145568⑤利用本发明者的手机号作为jy=13803111914,规定每2位坐标、带1位内容,这样3位数运算产生一位输入结果,不足位时按实际计算,算子同上例。例如前3位138转换后为,l一9、3-—7、18、9708=4,其余类推,可得:.1、二13§03,1@14=4072例3.引导码、校验码、隐含提示和回应码的应用举例引导码和隐含提示的方法是本发明的两个要点。它们都是按照人们的记忆规律设计的,克服遗忘的方法。不同的是引导码是使用者主动输入的,隐含提示是由服务端按定义位置和/或定义内容主动输出的。使用者将要使用的内容或校验内容按有意义的位置或形状提前输入系统中,正如例2-3中yxsjl-67176152(由表2的(2,5)开始的数字1的形态)yxsj248099778(由表2的(2,O)开始的数字2的形态)。引导码在传统意义上是其账号A的密码,同时也是原有密码的账号。能窃取引导码的人也就可以窃取传统意义的密码。因此,引导码被盗应引起所有者和安全管理人员的高度重视。但由于本发明引导码后可以跟一个密码组,而且其中的每个密码又可以有不同的变换方式,应该输入哪一个密码是由系统随机选定,知道隐含提示的人才有可能输入正确,所以引导码被盗不会使所有者立即受到损失。此外,为了更安全些还建议为引导码提供密码YDMM。所有者和安全管理人员在发现引导码被盗后还会有一定的安全时间,为使这段时间是可控的,可以设定出现这类情况后,系统给安全管理人员报警,并在固定时间段内停止对这个帐号的响应,为防止所有者的错误输入,可以给1一3次的宽容,但应该记录在档案中。本发明将专业数据通讯领域的校验码推广到普通使用者的做法也有非常积极的作用。特别是校验码与隐含提示的结合,使服务端和安全管理人员的工作也处在使用人员的监督之下。钓鱼站点、假托、安全管理人员的违规操作、木马、监视,甚至屏幕录像等等手段在本发明的综合防范下都不再有效,所有者的隐私和合法权利将得到空前的保障。本发明中的校验部分涉及系统输入时有三个内容需要定义,即需要校验的范围(可选全部或第x位至第y位),校验结果的输入方式(可选放在尾部或每x位一个校验数),校验计算方法(可选、、)。涉及系统输出时除上面三个内容需要定义外,还需要定义校验数据来源。校验数据来源可以选择本屏数据,还是其它数据来源,例如在密码实时部分提到的内容都可以选用。上面已有的三个内容也可以更复杂些。例如,可以借助偏差表来完成的算法都可以选用。比较适用于审计工作的输出提示校验码最好是与审计要点相关联的,这样可以提醒使用者---审计人员此时操作应该注意哪些重点项目。隐含提示是由所有者和系统约定的内容,是为了提示使用人系统状态、下步输入相关数据、内容和位置等信息。例如,有效随机数的位置、数量、内容,服务端预留的信息,校验信息,密码加密需要的其他信息和服务端通知的信息。隐含提示是由使用前定义和使用中加载相关数据完成的。回应码是指系统对使用者操作的回应编码,可以用文字或图像的方式显示,也可以用声音或/和发光部件等部件表达。其中可以包含上面提到的有效信息,也会有来淹没有效信息的噪音信息,例如无意义的随机字符。正是这些噪音信息藏起了有效随机数和隐含提示。下面详细说明引导码(1)引导码的功能定义自用码是所有人自己使用的引导码,拥有全部使用功能。报警码是所有人在非自愿情况下使用的引导码,除去执行报警操作外,其他功能同自用码。授权码是被所有人授权的人员使用的引导码,只能在授权时限内执行被授权的功能。通常其行为要受到所有者的监控。査询码是所有人用来查询引导码定义和/或其他重要操作的时间和/或校验码的引导码。这里的校验码可以是当时定义引导码或密码组结构的md5码等单项函数,不提倡公开仅含有引导码或密码组内容的校验码。使用者可以从修改时间上回忆当时所作的改动是什么,该项服务是由哪位安全管理人员负责。也可以通过校验码与原来记录的旧校验码比较,从而得知是哪部分变化过,何时变动的,修改时的工作地点是哪里,当时应该由该哪位安全管理人员管理此部分等内容。(2)引导码的安全管理自用码和授权码的格式和内容可以由两位不同的安全管理人员分别负责重置。查询码可以由两位安全管理人员中的任何一位负责重置。而报警码的重置就应该由两位以上的安全管理人员同时重置。一种安全的报警引导码的管理方法是只有第一次所有者可以自行设置报警码,之后要修改或重置安全密码必须经过一位或以为以上安全管理人员的批准后,一段安全时间后的报警码修改期才许可修改或重置报警码。这样才能的保障报警密码不会在非自愿情境下被恶意修改而失去意义。这个方法不只适应于报警引导码的修改,也可用于在普通密码账号环境下直接许可定义报警密码的情况。各种引导码的内容和格式经过加密后可以分别存放在不同的物理介质上。(3)引导码与之对应的密码ydmm及密码组ramz为了在系统的安全性和使用方便性之间平衡,可以有多种使用引导码的方法。用法l:如图1所示,在同一屏幕中同时输入账号A、图文字符和引导码(101),判图文字符正确(103)可以防止自动攻击的情况,判账号A存在后(105)执行判引导码是否存在(107),相当现有的应用中判别账号和密码。在账号A和引导码正确的情况下执行显示账号A所对应的回应码和校验码(109),供使用者鉴别此服务端的正确性(111)。为进一步提高安全性可以增加(113)和(123)步,依据(113)提供的显示输入密码的基础数据在(123)步输入引导码对应密码ydmm,并迸一步显示与此引导码相对应的回应码与校验码(153)。此方法与当前习惯一致,易于推广。用法2为更好地防止偷窥,定义某一个引导码与一个密码组相关。运行时服务端随机地选择其中的一个做当前密码,并通过隐含提示告诉使用者选择的是哪一个密码。这样只要偷窥者没读懂具体的提示位置和提示内容,即使偷窥了整个密码组和密码形成规则也不能保证不输入错误,而暴露密码组已经局部被盗取的事实。下面以李白的《静夜思》为例,说明一个引导码、ydmm和密码组之间的关系,使用者也可推广为自己熟悉的歌曲、散文、经典对话等。《静夜思》……李白床前明月光,疑是地上霜。举头望明月,低头思故乡。将上面的诗用汉语拼音縮写,不同的句子以不同的符号结束,这样就会有很多编码方案。如果用五笔字型縮写,用法文、德文縮写方案就会更多。下面是拼音字母方案之一,第一个密码C7MlGS中的7和l是q和y的谐音,将字母改为数字,使密码中的成分复杂以便区别其他使用此诗的人。其他使用者也应该有自己的个性化方案。jysiLBAI1c7mlg$F92lsdssHG83jt5ml(H74DTSGX[I6我们可以定义jysi为引导码,LBAI为对应的密码yd咖;第1、3、4列的1-4、F-I、4-7是表示选择密码隐含提示的不同方法.第2列是提供服务端随机选定的密码组的内容,选定后的那条密码组中的密码在本发明中简称随机密码,记为SJMM。SJMM经使用者按照密码生成规则、系统提供的工具和基础数据变换后称为特定密码,记为TD廳。TDMM是有效密码的输入形态,与使用者输入的引导码有关,与服务端指定的SJMM有关,与预先定义的密码生成规则(如管理密码或安全密码)相关,与服务端当时产生的生成密码的基础数据有关。比如选择了在提示第7位出现8,表示应输入lSDSStt,如果第7位出现6,则要输入DTSGX[。另一个更安全的方法是间接表示位置,也就是定义第7位存放的是表达选择的位,出现8表示第8位的内容3是真实输入的内容,即应输入JT5M1(。为使定义更不易被内部人员猜出,可由机器自动生成一个提示方式,使用者记下使用熟练即可。另一个优选的方案是在提示表中定义一个提示输入设备位置,当此位置显示为偶数时用键盘输入,为奇数时使用手写板输入才有效。另一个优选的方案是在提示表中定义一个提示输入操作动作(例如点击鼠标右键)位置,例如定义当此位置显示为5时用输入完第5个密码后,点击鼠标右键后再继续其他密码输入才有效。第3列的提示方法适用于提示表中有大量字母的情况,此例以F为起点,按增量l递增。当然也可以定义为不相同字符如"静"的拼音字母次序(JING)等表示出使用者的个性化设计。第4列的提示方法是指用数字9位起点,用增量-l产生的。当然如果选增量为-2会得到9、7、5、3的提示内容,选增量为6,可能就需要利用偏差表。从这里也可以看到本发明给使用留的离散空间是很大的。使用者利用本发明可以产生毫不相关的密码输入,即便他们用的是用同一首诗助记。用法3:考虑到钓鱼网站可能在图1的流程下钓到账号A和引导码,可以使用图2的流程。当(205)判断账号A存在时,(209)显示账号对应的回应码和校验码。由于(209)的显示数据是个性化的,因此钓鱼网站只能钓到账号A,而且内部设钓鱼网站的人是很容易被抓到的。在第(211)步使用者判断服务端是正确的,可以在(213)步输入引导码。更安全的方法是第(209)步,同时显示将引导码进行变换所需数据,在定义引导码时选择变换算法和变换所需数据提示位置。第(215)步判断引导码存在后可以进一步证实服务端显示与引导码对应的回应码与校验码。该回应码可见使使用者回想起与此引导码相关的密码ydmm,输入ydmm(254)后,系统判断ydmm的正确性(255),不正确则返回(239)去更新图文字符。如果正确,系统从密码组中随机选择一条密码作为sjmm,提示选中了哪条密码,并提供变换tdram输入所需的基础数据提示(256)。使用者依据上面这些指示信息变换sj鹏成为tdmm输入(257)。在这个过程中,服务端依据所有者预先定义的信息从内部变换出tdmm,其数据结构如图4所示。从(401)账号A表查到使用者的账号幵始,到判断输入的引导码的功能(411),提示使用者的信息回应码的内容和位置,从密码组随机提取sjmra(421),借助(431)生成规则产生tdmm(内),与使用者依据提示和记忆,借助工具表推导出的tdrnm(外)相比较(225)。如果一致就可以执行该引导密码的功能。(4)引导码是报警码的情况应着重指出的是(224)判报警码的位置,也可以放在(255)和(256)之间。也就是说只要判定引导码输入正确就应该先判断是否是报警码,是就优先处理报警工作。这里因为正常情况下所有者不会输入报警码,盗码者也就是很难盗取报警码,而(256)前面有账号A和图文字符(201),引导码(213)和ydmra(254)四重保护,即使猜测和强力攻击也很难到这里。因此,在(255)之后判定是报警码就可以执行报警操作。这样才能利用这个与外界传递信息的机会传递出营救线索,并控制损失。例如可以将账户的款保留制定金额后,其余都转到其他指定账户上。也可以传出绑匪的手提电话或其他信息,重要的是给营救留出时间和线索。此外(244)位置的可变化也说明虽然有最佳功能位置,但计算机程序中大部分操作对未知的变化不是非常敏感,所以借助本发明的思路可以通过移位、增减、等效等手段产生无穷多的变化方案。发明人将保留对这些改动的追诉权。当判定引导码是报警码(244)后,执行基本报警程序(245),例如将预定的特定信息发送给有关人员,将收到的CDXX传递给有关人员,将保留金额之外的存款转移到安全账户去。使用者可以根据现场的情况判断是否可以拖时间,如果可以拖延时间在输入tdmm时(257)就创造出符合条件的tdmm(外),例如定义时是校验部分不正确就拖延时间。那么tdmm(外)就符合这个条件输入,那么在系统进行判断条件(246)时判断满足条件(y),就会执行报警密码拖延时间操作(248)。例如发出信息"系统繁忙,请等待",并中断系统响应一切时间。如果(257)输入的tdmm(外)的校验码正确就会执行(227)(229)进行普通报警码操作,如清理刚才的转移款项的可查询记录,以免发现已报警。当然,如果此类都在(245)做完了,或者所有报警工作都没留下可见的痕迹。那么步骤(229)可以取消直接执行自用码操作(231)。这样对外人而言,报警码的操作是透明的,要查询真实操作需要本人当面提出申请,最好延期提供。本发明中例举了比较完善的例子,一个简单的例子是现行常用的账号、密码方式中,只要在密码部分增加定义部分,区别出普通密码和报警码都可以执行图3所示的报警码的功能。更普遍的来说不用引导码,只定义区分自用密码(如201开头或A1),报警密码(如110开头或A2),授权密码(如以112开头或A3),查询密码(如以114开头或A4)的方式就可以使用图3所示的功能。(5)三种典型的报警码使用方法方法之一a)定义步骤①定义自己报警密码,例如以110为开始的密码②定义出现报警时发给特定人群的特定,例如给13803111914发短信"这是5566账号报警"。③设定其中报警工作例如设置安全账户,设定保留款。(2)运行步骤①判断收到的密码是告警密码,例如110,112。②将预留的特定信息发给特定人群,例如完成发送短信工作。③将款汇到指定账户,并保留设定金额。方法之二(1)定义步骤①定义报警用的引导码。②定义用于判断是否拖延时间的密码字段和内容。例如可以设定系统分配部分为56,或记忆转化部分为2468,或校验部分不正确就拖延时间。③设定安全账户。设置保留金额。设置特定人群联系方式。⑥设置要发出的特定信息。⑦为尽量拖延时间而设置的各种方法和提示信息。例如发出信息"通信线路故障"等中断信息,然后切断通信联系一段时间。⑧预设"输入密码时的随机数"(yxsjl)和算子①的逆运算,算子〇的算法,这样由心算的假密码jmnFCDXX①yxsjl输入后,系统传递信息CDXX=JMM〇yxsjl。(2)运行步骤①判断到引导码中出现报警引导码时,除保留金额外的全部款项全部汇到已设定的安全账户中。②将预定的特定信息发给指定人群。③将收到的CDXX发送给全体有关人员。④配合完成拖延时间的工作。⑤最后清除本地会显示与正常操作不同的记录。方法之三(主要用于无人值守的终端运行方式)(l)定义步骤①定义报警用的引导码和对应的密码。②定义用于判断是否拖延时间的密码字段和内容。例如可以设定系统分配部分为56,或记忆转化部分为2468,或校验部分不正确就拖延时间。③设定安全账户。设置保留金额。⑤设置特定人群联系方式。⑥设置要发出的特定信息。⑦为尽量拖延时间而设置的各种方法和提示信息。例如发出信息"通信线路故障"等中断信息,然后切断通信联系一段时间。⑧预设"输入密码时的随机数"(yxsjl)和算子①的逆运算,算子〇的算法,这样由心算的假密码jmm二CDXX①yxsjl输入后,系统传递信息CDXX=JMM〇yxsjl。例如为模10力B,Q为其逆运算符。Yxsjl为13579,传递的信息为电话号码CDXX=13803111914,心算jmm=CDXX<Syxsjl=26372246605。现场找借口在图2输入td咖时(256)输入加m,那么系统使用逆运算算出CDXX=JMM0yxsjl二13803111914。(2)运行步骤①判断到引导码中出现报警引导码时,除保留金额外的全部款项全部汇到已设定的安全账户中。②将预定的特定信息发给指定人群③将收到的CDXX发送给全体有关人员。配合完成拖延时间的工作⑤最后清除本地会显示与正常操作不同的记录(3)定义信息的安全保障步骤方法只有本人持有关证件到服务端的营业场所查询和/或更改定义信息,才能由工作人员将服务端的数据库内的该使用者的许可修改定义标志设置为许可修改状态。当使用者在运行的终端上通过了模拟定义程序的测试后,才可以上传定义信息至少一次。上传正确后自动删除使用者终端上保存的信息。如果超过规定的时限和/或次数限定就不再接受上传。例4.管理密码的设置举例由于管理密码是在较为安全的环境下使用的,而且使用次数较少。为说明方便,本例先说明后三个部分,在例5中再讲系统分配部分。初学者开始可整体作变换,熟练后在多次局部变换,增加破译难度。各个部分的内容和在密码中的位置由使用者定义后可以由两个安全员管理。例如涉及实时部分采用的数据公开在指定网页公布供使用者核对。使用者可以在指定网页上定义,也可以使用指定网址上下载定义程序生成定义文件上传,还可手工定义后上传文件。1.定义提示表中选取有效随机数YXSJ1、YXSJ2的位置(意义是第2行5列,0列开始的数字1和2的形态),安全管理员a管理此部分。YXSJ1的坐标为(2,5)、(3,5)、(4,5)、(5,5)、(6,4)、(7,4)、(8,4)、(9,4)YXSJ1的坐标为(2,0)、(2,a)、(3,a)、(4,0)、(5,0)、(6,9)、(7,9)、(7,0)2.定义引导码和YD廳为WZH和DHQL,选择变换方式为不变换。安全管理员b管理此部分。.登鹳雀楼….王之涣白日依山尽,黄河入海流。欲穷千里目,更上一层楼。Thewhitesunsetsbehindmountains,TheYellowRiverflowsintothesea.Gofurther叩oneflightofstarirs,Andyou'11widenyourviewathousandkilometer.3.定义密码组:T服替换为7,标点替换为自己的习惯字符。7wssbm#1,7yrfi7s%2,Gfuofos\3,Aywyvatktt44.定义实时部分选择2位当前系统时间分钟数,2位存款金额(个位和十位),不变换。安全管理员a管理此部分。5.SJMM的提示位置为(2,3)的内容所表示的直接数。6.定义记忆部分选择密码组,变换方式为OYXSJl。7.定义校验部分:选择实时部分和记忆部分的全部,每3位相随1位校验位。安全管理员c管理此部分。8.TDMM变换方式为整体①YXSJ1例如现在系统运行时出现提示表2,时间为12时20分19秒,存款金额为24556.88元.账号为XIEDAN,图文字符为"6f5r".此例选用偏差表3进行运算。按图2的流程进行操作,此时对应的TDMM变换过程如下账号等过程省略,(256)步取有效随机数yxsjl=67176152,密码的实时部分为2056.SJMM(256)应选取第二个密码7yrfi7s%。记忆部分7yrfi7s%YXSJ1=C*SM08X,再用校验算法计算校验部分205G6C*MSM08X*。计算TDMM结果为8V6NBD20YTP鍵2。安全管理员a、b、c分别管理密码定义的不同部分,只有同时重置才可以用新密码进入系统。例5.安全密码和授权密码的设置举例安全密码和管理密码的区别是密码的有效时间上,安全密码比管理密码短,仅在一个工作阶段内有效。密码的复杂程度上,安全密码比管理密码高,增加系统分配部分(突破了使用者的思维定势)和采用更多数量密码的密码组(如果找不到隐含提示的定义方法时,被抓到的机会更多了)。管理功能上,管理密码进入可以生成安全密码、授权密码。安全密码和授权密码的区别密码的有效时间上,安全密码比授权密码长。授权密码应在一个更短的工作阶段内有效,甚至是一次有效。密码的复杂程度上,授权密码更高,应该用系统生成的一次一密的密码,最好只用系统分配部分,最多增加校验部分。管理功能上,安全密码进入可以生成授权密码。系统分配部分是由系统自动随机按照自己的规则定义的(使用者只可以参与选择用还是不用,不能干预如何产生),因此使用者只需在密码生命期间记忆。机器自动分配的方法突破了使用者的思维定势使内部人员不易猜到,当然也可以对上述结果作出变换。系统分配部分虽然也可以在管理密码中使用,但由于管理密码可能会长期不用(例如长期出差),会遗忘系统分配部分,导致整个密码遗忘。所以提倡在安全密码和授权密码中使用这个部分。假设安全管理员a分工管理存放和重置这部分。正常时间和地点,遗忘此码所有者可以再次生成一个新的安全密码。引导码和YD廳各类不同的密码应该区别,最好系统软件自动判断。例6.使用软件对使用者培训的举例■人工登记初始密码■登陆网站■修改初始密码■下载离线运行的培训程序■离线■检査离线运行的培训程序是否被修改■被改,找安全管理人员■无误,离线运行的培训程序■培训程序自检运行环境的安全性■无误,开始培训课程■遇到连线环境自动退出■每步进行检验,通过在进入下步■培训通过建立自有的密码体系■测试通过,加密,删除无加密信息■许可连线上传加密过的定义文件■正式使用自有密码体系。由于整个过程加密传输密码保障了它的安全性。例6、下面结合附图和实施例对本发明作进一步描述。为了解决前述现有安全认证系统中的诸多问题,本发明提出了一种新型的安全认证系统。该系统是在现有帐号及密码的安全认证模式基础上将密码进行分级,分为一级密码和二级密码,并引入与密码填写相关提示信息部分。为叙述清楚本文只以2级密码体系为例叙述,读者可以方便的将密码层次推广到3级或更多级,以达到使用者的安全需求。一级密码为一种功能性密码,它既是与帐号对应的认证密码,同时也是二级密码的帐号。一个帐号可以对应多个一级密码,每个一级密码所对应的最终功能权限各不相同。而每个一级密码都对应于一个或多个不同的二级密码。用户只有将一级密码及与之对应二级密码全部填写正确,才能得到与所填一级密码相对应的认证权限。二级密码是一种需要根据提示信息填写的一次性密码。提示信息是由服务器端发送的随机信息,它可以是随机的数表或图案等。用户根据提示信息的随机信息进行一定有规则的变换得到相应二级密码。由于每次的提示信息的内容不同,所对应变换得到的二级密码也不同,因此实现了一次一密的一次性密码,使得明文输入密码成为了可能。由于,本发明采用了分级密码的模式设计,并且在二级密码环节采用了一次一密的一次性密码设计,在加大了密码破解难度的同时也为实现预警机制创造了条件。本发明中,专门设计有预警机制,对异常的登陆信息进行记录。用户在登陆了具有相应权限的模式后,即可查询相关的异常登陆记录。如发现有人填写对了某种权限的一级密码,但在二级密码处登陆失败,则说明该一级密码已经被盗取,应及时采取相应的弥补措施,并且还可以通过该记录的登陆时间和登陆IP地址等登陆信息,追査何人正试图盗取认证信息。虽然,本发明将密码部分分为一级密码和二级密码两部分,但在使用中可根据实际需要设计为一次输入模式或二次输入模式。下面给出这两种输入模式对应的登陆流程步骤。一次输入模式即将一级密码和二级密码整合为一个完整的密码,一次性输入完成。服务器端根据预先设定的规则将一级密码和二级密码分离进行认证。具体步骤如下1、用户向服务器发出认证请求;2、服务器响应用户请求,并向用户发送提示信息;由于这种模式下,提示信息是在服务器响应一级密码之前发送给用户的,因此应使用一种统一格式的提示信息。3、用户填写帐号,并在密码的规定位段相应填写一级密码和二级密码;这里应该指出由于各种权限的一级密码位数不一定相同,应当在密码中或前或其后开辟一段足够长的位段用以填写一级密码,而多余的部分可以任意填写填充满,这样进一步增加一级密码的破解难度。这里虽然服务器所给提示信息相同,但由于不同权限的一级密码所对应二级密码的变换规则不同,因此经变换而得的二级密码也各不相同,仍然可以满足安全认证的需要。4、服务器接收用户的认证信息,根据帐号分离出该帐号的一级密码和二级密码,并依次对用户身份进行认证,如信息正确则认证通过,如信息不正确则在预警记录中记录登陆信息和其他相应信息,并返回登陆失败信息。有查看预警记录权限的用户正常登陆后,可以通过预警记录查看登录失败的登录信息,及时釆取应对措施。二次输入模式即将一级密码和二级密码分为两个部分先后进行输入认证。具体步骤如下1、用户向服务器发出认证请求;2、服务器响应用户请求,并向用户发送登录提示;3、用户将帐号和一级密码信息发送给服务器;4、服务器对帐号和一级密码信息进行认证,如信息正确则返回该一级密码相应的提示信息;如信息不正确则在预警记录中记录登陆信息,并返回登陆失败信息;由于采用了先填一级密码后填二级密码的模式,使得所返回的二级密码提示信息可以是根据该一级密码特定设置的个性提示信息。5、用户确认提示信息,并根据提示信息填写二级密码;用户可以根据服务器所返回提示信息确认服务器的身份,这样可以实现用户与服务器之间的双向身份识别,可以防止钓鱼网站等恶意盗取用户信息行为。另外,这种模式下一个一级密码可以设计有多个二级密码与之对应,而每个二级密码所对应提示信息各不相同,用户可以通过个性的提示信息识别服务器要求填写哪个二级密码进行认证,这进一步增加了二级密码的复杂性,降低被破解的可能。6、服务器接收二级密码对用户身份进行认证,如信息正确则认证通过,如信息不正确则在预警记录中记录登陆信息,并返回登陆失败信息。有查看预警记录权限的用户正常登陆后,可以通过预警记录查看登录失败的登录信息,及时采取应对措施。由上可见,本发明的安全认证系统其特点之一在于对密码分级中的一级密码赋予一定的功能性,使该认证系统能够实现一些特别的功能。用户可以设置仅开放浏览权限的一级密码。这样对于一些经常需要进行浏览的内容,平时只需要通过该一级密码登陆即可,而无需使用具有修改权限的一级密码登陆。这样可以降低具有修改权限的一级密码的使用率,降低该密码被破解的可能,从而降低用户因认证信息被盗而遭受损失几率。另外,这样的权限的一级密码也便于借给他人使用,而无需担心因认证信息外借而遭受损失的可能。这样的设计特别适合于企业内部信息交流的需要。用户可以为使用方便而设置仅在一定时间内有效的一级密码,省去多级密码降低了密码强度但方便了使用者。这种一级密码的设计适合于一些需要在特定时间段开放登陆的内容,和一些需要临时获得登陆权限的人员使用。用户可以设计多个针对不同部分开放修改权限的一级密码,而各一级密码的二级密码生成规则各不相同。这样的设计特别适合于团队进行协作开发或修改某一共同的内容。用户还可以设置专门具有査询预警记录、进行报警和进行应急处理权限的一级密码。这种专门设计的预警一级密码可以在发现帐号异常时,进行及时的应急处理,并可以为追査帐户盗用者提供有利的信息。可见,通过对一级密码赋予一定的功能性,丰富了安全认证系统所能起到的作用,实现了许多传统认证系统所无法实现的功能。另外,本安全认证系统的另一个特点在于多级密码的设计。二级密码及以上级别密码作为本系统中核心的认证依据,其安全性的高低是整个系统的安全性能的关键。本系统中的二级密码及以上级别密码作为本系统采用了一次性密码的设计思想,即每次输入的密码仅对该次登陆有效,从而避免多次重复输入相同密码所造成的危险。但是,本发明中二级密码所采用的一次性密码的生成方法又与通常意义下一次性密码有所不同。通常意义下的一次性密码多是采用随机序列生成器,在每次登陆前分别在登陆端和服务器端同时生成一个相同的随机数串,通过对该随机数串的比对进行认证。这样的方法虽然能够实现一次一密的密码生成,但是该随即序列生成器一旦被盗取或者该生成规则被破解,这种安全模式也就不存在安全可言。本发明中二级密码的一次性密码生成方法特点在于,它充分利用了人本身的记忆能力和创造能力,要求使用者自主设计并记忆一种一次性密码变换规则,并将这种变换规则预先设定于服务器端。当用户在认证过程中需要填写二级密码时,用户可以通过系统给出的随机提示信息和本身记忆的一次性密码变换规则生成所需的一次性密码,并在服务器端进行认证。当然,这里所述的一次性密码变换规则根据实际安全的需要和用户本身的记忆能力可烦可简。但是,这种一次性密码生成方法其实质在于利用人脑记忆固定的变换规则,利用机器生成辅助产生一次性密码的随机提示信息,充分利用两者的长处,加大密码被破解或被盗取的难度。可以看出,这种一次性密码生成方法的实现其关键在于一种人和机器都可操作的变换规则的确定。在本发明中,这种变换规则用fl(X,,X2,X3,…xJ来表示,其中Xl,X2,X3,…X。表示用以变换生成一次性密码所选用的随机参数,输入Ri(fl,f2,f3,…)。这里为了进一步增加二级密码的复杂性,用以进行变换生成一次性密码的参数不仅可以来自前面所说的服务器所提供的随机提示信息,还可以来自许多其它的方面。下面就对其他还可以作为变换参数的来源进行举例1、人脑记忆部分这部分主要是指由人脑记忆的固定信息,相当于传统安全认证系统中的密码。2、实时部分这部分主要是指用户填写密码时的一些环境信息。比如,填写密码时的时间和日期;填写密码时的某种汇率或利率;金融账户中的资金金额;填写密码所用设备的IP地址等等。这些信息都是随时间或地点变化而变化的信息,将其引入作为生成二级密码所需的变换参数,可以进一步增加所生成密码的复杂程度。3、记忆转换部分记忆的字符串(可以是原来的密码),或是其变换形态。4、校验部分用选定的算法对前三个部分的局部或全部内容进行处理得到的结果(当剩余位数不够时,可以选择取剩余字符进行运算或舍去等方式)。由于前三个部分的变化会导致校验部分几乎是每次都在变化,这样使用者可以区分服务者的真假,服务者也可区分使用者的真假。它的内容包括a.算法b.校验数据c.结果的位置摆放。本发明中由服务器提供的随机提示信息通常是随机数表,也可以是由随机字符组成的字符和数字组成的表格。那么,如何从这些提示信息中提取所需的参数也可以作为增加密码复杂程度的一种手段。其中,最基本的方法是用户选取随机数表中若干坐标位置的数字依次作为进行变换的参数。但是,这种方法容易被偷窃者找到规律。为了解决直接选取的坐标位置不变容易被发现且记忆不方便的问题。可以在随机数表中设置有背景图案,通过背景图案中某些特定线条的走势,以该线条所经过的数字依次作为变换的参数。如表2中,随机数表的背景中有"1"、"2"两条线条。我们可以识别出依"1"线条的参数为"67176152",依"2"线条的参数为"5,9778"。前面提到,在二次输入模式下一个一级密码可以设计有多个二级密码与之对应,这里所说的二级密码应该理解为不同的一次性密码变换规则。在这种情况下,用户可以定义通过随机数表的外形区别服务器要求用户采用哪个二级密码的变换规则。因此,随机数表的外形也可以作为变换规则的一个参考参数。另外,本发明还为一次性密码变换规则提供了多种进行参数间变换所需的变换算子。这些变换算子应该能满足参数之间进行位与位的计算。例如,我们可以定义算子为模10按位加法(即35=53=8);算子@为模10按位差的绝对值(即3@5二5@3二2);算子〇为模IO按位差的自动借位值(即3〇5=8,5〇3=2)。这些算子在计算中位数不足时循环使用最短的,直到最长的算完为止,这样可以满足不同长度的参数间进行计算。另外,我们还可以定义a+b,为b参数在a参数后顺序连接。下面我们可以通过一个例子对本安全认证系统如何进行二级密码变换及安全认证进行说明。帐号名为zhanghao(account)的帐号下,设有两个一级密码分别为111111、222222。一级密码111111对应的二级密码变换规则f,(Xi,x3,x》为fJXi,X3,X5)=Xi①X;j+X5其中,^为一级密码111111;X3为提示信息中沿背景字"1"的数串;xs为登陆时系统时间的分钟数。一级密码222222对应的二级密码变换规则f2(x3,x4,x5)为F2(x2,x4,x5)=Xi⑤X3+X5其中,&为一级密码222222;X4为提示信息中沿背景字"2"的数串;x5为登陆时系统时间的分钟数。当服务器端回复的提示信息为表三,登录时系统时间为12时20分19秒。此时,参数X3为67176152,参数X4为58099778,参数X5为20。则一级密码111111对应的二级密码应为111111①67176152+20二7828726320;一级密码222222对应的二级密码应为22222258099778+20=3627755620。以上所述的各种参数来源及变换算子只是列举一些可行的实施方式,在实际使用中变换参数的选择及变换算子的定义并不应仅局限于上述所列举的形式。应当指出本发明中二级密码设计的实质是利用人脑记忆固定的变换规则,通过利用随机参数进行变换的方法,实现一次性密码的生成。可见,在不违背上述设计精神的情况下,采用任何显而易见的参数形式或变换算子算法都应视为在本发明的保护范围之内。综上所述可以总结本安全认证系统输入处理可以分为设置流程和执行认证流程2个流程(见图5)。设置流程如下1、用户⑥向认证服务器①发出注册申请;2、服务器①响应用户⑥申请,要求用户填写注册帐号;3、用户⑥向服务器①发送注册帐号;4、服务器①确认注册帐号是否可用,如不可用则返回步骤3,要求用户重新填写;如可用则向用户一级密码注册信息;5、用户(D根据一级密码注册信息,填写要注册的一级密码,并选择该一级密码开放的权限;6、服务器接收一级密码注册信息后,向用户⑥发送二级密码注册信息;7、用户⑥根据二级密码注册信息,选择二级密码提示信息的形式,并编辑所需的二级密码变换规则;8、服务器收到二级密码注册信息后,向用户⑥发送相应的提示信息,要求用户试填二级密码;9、用户⑥根据提示信息和所规定的变换规则,填写二级密码;10、服务器确认用户所填二级密码是否有效,如无效则返回步骤7,向用户发送二级密码注册信息要求重新注册;如有效则提示用户是否要继续注册下一级密码;11、用户⑥选择继续注册一级密码,则返回步骤5注册新的一级密码;如果不需要再注册一级密码,则结束注册。多次输入模式判断执行认证流程,即将一级密码和二级密码等分为多个部分先后进行输入认证。具体步骤如下1、用户⑥向服务器发出认证请求;2、服务器响应用户请求,并向用户⑥发送登录提示;3、用户将帐号和一级密码信息发送给服务器;4、服务器对帐号和一级密码信息进行认证,如信息正确则返回该一级密码相应的提示信息;如信息不正确则在预警记录中记录登陆信息,并返回登陆失败信息;由于采用了先填写一级密码后填二级密码的模式,使得所返回的二级密码提示信息可以是根据该一级密码特定设置的个性提示信息。5、用户⑥确认提示信息,并根据提示信息填写二级密码;用户⑥可以根据服务器所返回提示信息确认服务器的身份,这样可以实现用户与服务器之间的双向身份识别,可以防止钓鱼网站等恶意盗取用户信息行为。另外,这种模式下一个一级密码可以设计有多个二级密码与之对应,而每个二级密码所对应提示信息各不相同,用户⑥可以通过个性的提示信息识别服务器要求填写哪个二级密码进行认证,这进一步增加了二级密码的复杂性,降低被破解的可能。6、服务器接收二级密码对用户身份进行认证,如信息正确则认证通过,如信息不正确则在预警记录中记录登陆信息,并返回登陆失败信息。有査看预警记录权限的用户正常登陆后,可以通过预警记录查看登录失败的登录信息,及时采取应对措施。7、重复上面类似二级密码的处理过程,处理完剩余的多级密码。8、对于不需要功能码的系统来说,一种优化的输入方法是定义各级密码的输入设备⑤或输入窗体或定义在输入完一些密码后执行约定操作,输入时按照约定完成。一种优化的输入方法是定义各级密码的输入设备⑤或输入窗体以及该输入备或输入窗体的隐含提示,输入提示信息中显示隐含提示在指定的显示设备④中或指定的窗体中,输入时按照约定完成。一种优化的输入方法是在提示表中定义一个提示输入设备位置,当此位置显示为特定数时用指定的设备输入密码才有效。一种优化的输入方法是在提示表中定义一个产生提示输入事件(例如点击鼠标右键或左键)步的位置,当此位置显示为特定数时,输入到此数时需要用指定的设备产生该事件后继续输入其它密码才有效(例如定义当此位置显示为5时用输入完第5个密码后,点击鼠标右键后再继续其他密码输入才有效)。复合多次输入模式判断执行认证流程,即将若干级密码符合后,再等分为多个部分先后进行输入认证。具体^SMM步骤差别是需要定义哪些级密码复合到一起输入,如何复合。执行认证流程的差别是客户端输入时按照约定完成,服务端按约定将复合密码拆开为分级密码,之后可以按多次输入模式判断执行认证流程。综述1.防止系统管理人员在重置使用者密码后,以系统使用人员的身份进入系统。这个目的实现的方法如下将密码分成两个或两个以上部分,和/或(再次)分为内容和格式两部分,由两个或两个以上的安全管理员来分工不同部分的进行管理。详见例3和例4。2.防止内部人员以重置密码之外的方式窃取重要输入信息。由于实物身份识别装置比较容易被内部人员窃取,所以本发明的重点是采用非实物的方法来增加密码的破译难度,但也可以同时使用实物身份识别装置。采取了密码分多个部分组成;可以局部变换、整体变换;每个密码组可以用引导码指定,而系统随机地从其中选中一条作为下面该输入的密码,并隐含的提示出来,如果密码没通过,而引导码正确,说明引导码泄密,迅速通知所有者当时使用者使用的密码和引导码;通过密码种类的划分,减少了重要密码的使用次数,降低了被盜输入信息的重要程度。等多种手段。详见例l至例5。3.在有人企图窃取或进行了一部分窃取工作时就被发觉,并使用证据和线索找出做此事的内部人员,而不是现在这样,造成后果后再追查。每次使用本发明的密码进入系统后,系统都会告诉使用者以往进入系统的信息,如地点、时间、主要操作信息,以方便使用者检查以往的操作是否是自己的操作。本发明还完整的建立了密码工作体系,使密码的使用和管理更全面科学。本发明还创造了查询码,每次使用此密码进入系统后,系统都会告诉使用者以往进入系统修改密码的信息如地点、时间、此密码由哪位安全管理人员负责等。此外,由于一个引导码对应着多个相关密码,如果引导码正确,而输入密码不正确说明有人正在攻击这个账号,使用者可以根据入侵者输入的密码判断其是否已经盗取了部分正确的密码。一个引导码对应着一个YDMM也加强了系统的安全防范能力。详见例3至例5。4.解决对授权人员的监管并限制其使用范围,而且解决大量可选密码时的遗忘问题。具体方法是采用引导码和隐含提示。采用引导码区别所有者自己使用和授权使用,区别正常使用和报警使用,系统给予使用者不同的使用权限。由于引导码是主动输入的,既可以作为账号A的密码看待,又可以作为下边密码的账号看待,引入引导码使密码多了保护层。通过账号A和引导码系统可以安全地提取出系统针对账号A的回应,而通过引导码和密码系统可以确保使用者的合法身份。系统还可以借助它完成鉴别是否有人盗取了使用者的密码集合中的部分有效密码,方法是每个密码组可以用引导码指定,而系统随机地从其中选中一条作为下面该输入的密码,并隐含的提示出来,如在回应窗口指定位置显示该用第几条,或其縮写;如果密码没通过,而引导码正确,说明引导码泄密;通知所有者当时使用者使用的密码和引导码,这可能就是已经泄密的前兆。此外隐含提示的内容还可以是有效随机数的位置、数量、内容,服务端预留的信息,校验信息,密码加密需要的其他信息和服务端通知的信息。详见例3至例5。5.允许操作者通知系统自己下面所作的事是非自愿的,要求系统按预定的方案执行,而不是按常规的操作执行。这样可以给操作者以时间和机会以便按自己的意愿操作。这个方案的实施将给企图犯罪的人以威慑,使他们不敢去实施犯罪。由于本发明需要使用者在现场进行操作或在现场指导操作,这就为使用本发明的使用者在非自愿的时候摆脱被控制或报警提供了更多的机会和时间。这个目的的实现方法详见例3。6.减少操作者的运算量和记忆量,降低使用难度,但要坚持通过培训才可以使用系统。方法是除了采用隐含提示和引导码外还为变换和校验设计了偏差表、运算符和逆运算符,普通小学文化的人经训练也可以熟练掌握,使用程序培训使用者,通过了培训才可以上传定义数据,从而可以使用系统工作。详见例1至例5。7.提升使用者的能力,使其可以对抗可能的伤害。方法是使用软件对其培训,通过检验后才能上传结果,正常使用系统。详见例3至例6。8.防止假冒服务端,方法是服务端为每个使用者提供个性化的回应码和校验码,使用者输入自己密码前可以先鉴别后输入。详见例3至例5。权利要求1.一种“多种选择性密码安全认证系统”其特征在于,操作者可以通过一定的通信方式与认证服务器相连,使认证服务器只能识别操作者在选定的设备上,按指定的方法输入的密码。2.—种多种选择性密码安全认证方法其特征在于,认正方法是由下列步骤实现的*用户⑥向服务器发出认证请求;*服务器响应用户请求,并向用户⑥发送登录提示;*用户将帐号和一级密码信息发送给服务器;*服务器对帐号和一级密码信息进行认证,如信息正确则返回该一级密码相应的提示信息;如信息不正确则在预警记录中记录登陆信息,并返回登陆失败信息;由于采用了先填写一级密码后填二级密码的模式,使得所返回的二级密码提示信息可以是根据该一级密码特定设置的个性提示信息。*用户⑥确认提示信息,并根据提示信息填写二级密码;*用户⑥可以根据服务器所返回提示信息确认服务器的身份,这样可以实现用户与服务器之间的双向身份识别,可以防止钓鱼网站等恶意盗取用户信息行为。另外,这种模式下一个一级密码可以设计有多个二级密码与之对应,而每个二级密码所对应提示信息各不相同,用户⑥可以通过个性的提示信息识别服务器要求填写哪个二级密码进行认证,这进一步增加了二级密码的复杂性,降低被破解的可能。*服务器接收二级密码对用户身份进行认证,如信息正确则认证通过,如信息不正确则在预警记录中记录登陆信息,并返回登陆失败信息。*有查看预警记录权限的用户正常登陆后,可以通过预警记录查看登录失败的登录信息,及时采取应对措施。*重复上面类似二级密码的处理过程,处理完剩余的多级密码。3、一种多种选择性密码安全认证方法其特征在于,对于不需要功能码的系统来说,一种优化的输入方法是定义各级密码的输入设备⑤或输入窗体或定义在输入完一些密码后执行约定操作,输入时按照约定完成。4、一种多种选择性密码安全认证方法其特征在于,一种优化的输入方法是定义各级密码的输入设备⑤或输入窗体以及该输入备或输入窗体的隐含提示,输入提示信息中显示隐含提示在指定的显示设备④中或指定的窗体中,输入时按照约定完成。5、一种多种选择性密码安全认证方法其特征在于,一种优化的输入方法是在提示表中定义一个提示输入设备位置,当此位置显示为特定数时用指定的设备输入密码才有效。6.—种多种选择性密码安全认证方法其特征在于,一种优化的输入方法是在提示表中定义一个产生提示输入事件(例如点击鼠标右键或左键)步的位置,当此位置显示为特定数时,输入到此数时需要用指定的设备产生该事件后继续输入其它密码才有效(例如定义当此位置显示为5时用输入完第5个密码后,点击鼠标右键后再继续其他密码输入才有效)。7、一种多种选择性密码安全认证方法其特征在于,复合多次输入模式判断执行认证流程,即将若干级密码符合后,再等分为多个部分先后进行输入认证。具体设置流程步骤差别是需要定义哪些级密码复合到一起输入,如何复合。执行认证流程的差别是客户端输入时按照约定完成,服务端按约定将复合密码拆开为分级密码,之后可以按多次输入模式判断执行认证流程。全文摘要本发明涉及一种安全认证系统,特别是一种将用户的登陆密码进行分级处理,并赋予各级密码特定的功能含义的安全认证系统;同时,还涉及该安全认证系统的设置和使用方法。由于本发明需要使用者在现场进行操作或在现场指导操作,这就为使用本发明的使用者在非自愿的时候摆脱被控制或报警提供了更多的机会和时间。服务端为每个使用者提供个性化的回应码和校验码,使用者输入自己密码前可以先鉴别后输入,从而防止了假冒服务端。文档编号H04L29/06GK101414905SQ20071016502公开日2009年4月22日申请日期2007年10月17日优先权日2007年10月17日发明者丹谢申请人:丹谢