本发明涉及一种基于USB Key的可有效对抗离线口令猜测攻击和内部攻击的改进方法,特别涉及一种基于USB Key的利用密钥协商的双向鉴别方法。
背景技术:
身份鉴别作为信息安全的第一道防线,是其他安全机制有效实施的前提和基础。基于智能卡的身份鉴别利用智能卡对用户的身份认证信息进行安全存储和计算,是一种双因子认证方式(口令+智能卡).被广泛应用于认证远程用户的身份。基于智能卡的双因子身份认证安全性高,计算代价低,被广泛应用于认证远程用户身份。2000年,SunHM提出一种有效的基于智能卡的远程用户身份鉴别方案。2001年,Kamioka T提出基于一次性口令的身份鉴别方案。2002年,chien H Y提出基于智能卡的远程身份鉴别方案。2003年,Shen JJ提出改进的基于智能卡的远程用户身份鉴别方案,同年。Shen Jau Ji也提出了基于智能卡的改进方案。2005年,Yen—ChengChcn提出了一种使用智能卡的远程用户身份鉴别方案,该方案无需维护口令目录表或验证表,可以有效抵抗重放攻击、假冒攻击、中间人攻击、服务器欺骗攻击等各种攻击。2006年,wen—GongShich也提出了一种方案,声称具有更好的安全性。但随后。有研究指出Yen-Cheng chen和wen—GongShieh提出的方案容易受到穷举攻击、离线的口令猜测攻击和内部攻击。
技术实现要素:
为解决上述问题,本发明提出一种基于USB Key的利用密钥协商的双向鉴别方法。
本发明所述一种基于USB Key的利用密钥协商的双向鉴别方法,其包括注册阶段、登录阶段、认证阶段和口令更改阶段。
优选地,所述注册阶段包括以下步骤:
1)用户提交身份和口令给S;
2)S格式化空白U,包括初始化管理员、用户PIN码;
3)S收到身份和口令,生成随机数,取得当前系统时间,
4)注册完成后,服务器分发电子钥匙给用户,用户得到电子钥匙之后可以自行更改PIN码。
进一步地,当用户访问服务器时,用户插入电子钥匙,同时在登陆界面输入电子钥匙PIN码、用户身份,Di和口令,通过PIN码验证后进入身份鉴别阶段,若口令错误,提示错误信息,拒绝用户继续登陆,结束会话。
进一步地,当用户想要修改口令时,包括以下步骤:
1)用户首先登陆系统,插入电子钥匙,输入正确的PIN码,通过身份鉴别,然后进人修改口令的界面,用户输入新口令;
2)重新生成随机数;
3)用新的口令代替原口令文件,完成口令的更新。
本发明所述一种基于USB Key的利用密钥协商的双向鉴别方法,不需要配套的读卡设备,使用usB接口进行通信的速率远高于串口通信,体积小,携带方便,可以有效抵抗上述几种安全攻击,还具有计算代价低、安全性好、效率高的特点,更适合在有限资源环境中进行应用。
具体实施方式
本发明所述一种基于USB Key的利用密钥协商的双向鉴别方法,其包括注册阶段、登录阶段、认证阶段和口令更改阶段。
优选地,所述注册阶段包括以下步骤:
1)用户提交身份和口令给S;
2)S格式化空白U,包括初始化管理员、用户PIN码;
3)S收到身份和口令,生成随机数,取得当前系统时间,
4)注册完成后,服务器分发电子钥匙给用户,用户得到电子钥匙之后可以自行更改PIN码。
进一步地,当用户访问服务器时,用户插入电子钥匙,同时在登陆界面输入电子钥匙PIN码、用户身份,Di和口令,通过PIN码验证后进入身份鉴别阶段,若jP脒码错误,提示错误信息,拒绝用户继续登陆,结束会话。
进一步地,当用户想要修改口令时,包括以下步骤
1)用户首先登陆系统,插入电子钥匙,输入正确的PIN码,通过身份鉴别,然后进人修改口令的界面,用户输入新口令;
2)重新生成随机数;
3)用新的口令代替原口令文件,完成口令的更新。
本发明所述一种基于USB Key的利用密钥协商的双向鉴别方法,不需要配套的读卡设备,usB接口进行通信的速率远高于串口通信,体积小,携带方便,有效抵抗上述几种安全攻击,还具有计算代价低、安全性好、效率高的特点,更适合在有限资源环境中进行应用。
具体实施方式:
本发明所述一种基于USB Key的利用密钥协商的双向鉴别方法,其包括注册阶段、登录阶段、认证阶段和口令更改阶段。
优选地,所述注册阶段包括以下步骤:
1)用户提交身份和口令给S;
2)S格式化空白U,包括初始化管理员、用户PIN码;
3)S收到身份和口令,生成随机数,取得当前系统时间,
4)注册完成后,服务器分发电子钥匙给用户,用户得到电子钥匙之后可以自行更改PIN码。
当用户访问服务器时,用户插入电子钥匙,同时在登陆界面输入电子钥匙PIN码、用户身份,Di和口令,通过PIN码验证后进入身份鉴别阶段,若jP脒码错误,提示错误信息,拒绝用户继续登陆,结束会话。
当用户想要修改口令时,包括以下步骤
1)用户首先登陆系统,插入电子钥匙,输入正确的PIN码,通过身份鉴别,然后进人修改口令的界面,用户输入新口令;
2)重新生成随机数;
3)用新的口令代替原口令文件,完成口令的更新。
本发明所述一种基于USB Key的利用密钥协商的双向鉴别方法,在usB Key中不存储口令验证信息,可以有效防止内部攻击和离线口令猜测攻击。而且,假设用户的口令被攻击者获得,只要不丢失电子钥匙,可以通过修改口令来更新电子钥匙中存放的口令密码,同时,在本发明中引入随机数,保证了每次身份鉴别信息新鲜性,达到了一次一密的效果。用户每次登陆的时候,电子钥匙都随机产生随机数,使得每次鉴别信息的重复概率极低,因此,该方案能有效抵抗口令猜测攻击。