本发明涉及一种电子钥匙的动态口令。
背景技术:
口令是目前汁算机应用巾常用的一种身份验证和接人控制机制。在传统的网络应用中,经常采用的用户账号管理模式是一种静态的用户名和口令的对应关系。即:当用户登录远程服务器时,系统要求用户输入用户名及几令以确定用户的合法身份,用户可对自己的口令定期进行必要的修改,而在一定时期内,用户的口令是固定不变的。这种静态用户口令的方式存在以下安全隐患:①口令在网络传输过程中存在着被截获、监听的可能;②口令有可能铍字典攻击.破解的可能;③用户在使用口令过程中存在非主观泄漏的可能;④存在由于用户遗忘口令造成数据资料丢失的可能。
技术实现要素:
基于上述原因,本发明提出一种电子钥匙的动态口令。
本发明所述一种电子钥匙的动态口令,其特征在于:其包括以下步骤:
(1)动态口令的用户身份鉴别过程;
(2)服务器收到请求后创建会话;
优选地,所述动态口令的用户身份鉴别过程包括:
(1)用户启动Ⅲ浏览器,输入网站链接地址,向服务器发出会话请求;
(2)生成一个随机字符串x并保存,然后将该随机字符串隐藏在页而中返回给客户机;
(3)客户机将接收到的随机字符串x提交给插在该机上的电子数码钥匙,在电子钥匙内部进运算,运算结果Rc=HMAC-MD5(KEY,X),KEY为存放在钥匙中的密钥。然后用户将Rc作为用户口令,并将用户钥匙的序列号ID和口令Rc附加在数据请求的链接地址中发送给服务器。
优选地,服务器收到请求后创建会话,其过程为:服务器接收到数据请求后,根据钥匙序列号ID从数据库中提取该用户的密钥KEY,并进行MD5运算,运算结果Rh=HMAC—MD5(KEY,X),X为预先保存在相应会话中的随机字符串。然后服务器将Rh与接收到的Rc进行比对:若Rh:Re则证明客户机的密钥与服务器保存的密钥一致,说明用户身份合法,服务器可将用户权限范围内的数据信息返回给用户;否则服务器拒绝用户的数据请求。
本发明所述一种电子钥匙的动态口令,每次会话创建时,系统自动生成随机字符串并保存至会话结束,所以每次由不同的随机字符串而生成的用户口令也不相同,从而形成了固定的用户号和不同动态口令的对应关系,即使非法用户窃取了用户某次访问服务器的ID号和口令,通过Ⅲ浏览器重新创建会话进行数据访问也是会被服务器拒绝的,安全性能很高。
具体实施方式
本发明所述一种电子钥匙的动态口令,其包括以下步骤:
(3)动态口令的用户身份鉴别过程;
(4)服务器收到请求后创建会话;
(5)用户启动Ⅲ浏览器,输入网站链接地址,向服务器发出会话请求
(6)生成一个随机字符串x并保存,然后将该随机字符串隐藏在页而中返回给客户机;
(7)客户机将接收到的随机字符串x提交给插在该机上的电子数码钥匙,在电子钥匙内部进运算,运算结果Rc=HMAC-MD5(KEY,X),KEY为存放在钥匙中的密钥。然后用户将Rc作为用户口令,并将用户钥匙的序列号ID和口令Rc附加在数据请求的链接地址中发送给服务器。
(8)服务器收到请求后创建会话,其过程为:服务器接收到数据请求后,根据钥匙序列号ID从数据库中提取该用户的密钥KEY,并进行MD5运算,运算结果Rh=HMAC—MD5(KEY,X),X为预先保存在相应会话中的随机字符串。然后服务器将Rh与接收到的Rc进行比对:若Rh:Re则证明客户机的密钥与服务器保存的密钥一致,说明用户身份合法,服务器可将用户权限范围内的数据信息返回给用户;否则服务器拒绝用户的数据请求。
由于每次会话创建时,系统自动生成随机字符串并保存至会话结束,所以每次由不同的随机字符串而生成的用户口令也不相同,从而形成了固定的用户号和不同动态口令的对应关系,即使非法用户窃取了用户某次访问服务器的ID号和口令,通过Ⅲ浏览器重新创建会话进行数据访问也是会被服务器拒绝的,安全性能很高。