[发明专利]一种基于多状态映射的强认证方法

说明书

技术领域

本发明涉及计算机信息安全领域，特别涉及一种基于多状态映射的强认证方法。

背景技术

随着信息技术的推广和网络应用的日益普及，人们的生活越来越多的依赖于计算机。人们在享受计算机系统提供的便利的同时，也面临着各种各样的信息安全的风险，如个人信息泄露、账号密码被窃取、用户U盘丢失、网络服务器拥有方恶意的信息泄漏等。2009年10月，Gmail、雅虎、微软的Windows Live Hotmail以及其他服务提供商遭受网络钓鱼攻击，超过3万个用户名和密码被泄露。日前，Search Security网站针对358名信息化负责人的调查，大多数人认为单一密码保护已经无法保证身份认证以及访问管理的安全需求：74％的受访者认为信息系统的用户需要记住的密码太多，超过56％的受访者表示他们经常需要帮助用户重置密码，79％的受访者宣布他们将投资花费在身份管理领域，64％的受访者已经考虑购买密码令牌。

密码体系是目前Internet上的识别用户身份的普遍方式，密码安全是身份认证的一个核心问题。在进行身份认证时，传统的方法通常要求用户直接在网页上输入用户ID和密码，用户ID和密码是以明文的形式传递给服务器的，这种方法操作起来相对简单，但是却存在着很多安全隐患：首先，为了便于记忆，用户多选择生日、电话号码等作为密码，黑客可以通过暴力程序不断尝试并且很容易破译密码；其次，黑客容易利用邮件、钓鱼网站诈骗和木马等手段来获取用户的密码；第三，用户忘记密码时，需要采用邮件或电话等方式取回密码，增加了不安全性和不便性。而随着电子商务的兴起，USB Key认证方式虽然大大地提高了安全性，但其也伴随着成本高、用户需随身携带以及设备容易损坏等造成用户使用不便的因素。

发明内容

本发明的目的在于克服上述的缺点和不足，提供一种基于多状态映射的强认证方法，该方法具有动态、实时、方便、强安全等优点，并解决了传统密码体系带来的因忘记密码而无法进行身份认证的问题。

本发明的目的是通过下述技术方法实现的：一种基于多状态映射的强认证方法，如图1所示，包括以下步骤：

S1、用户在安全状态下设置一个密码口令，进入步骤S2；

S2、网站服务器将密码口令对应用户ID记录下来，进入步骤S3；

S3、在用户登录时，网站服务器根据用户ID实时给出一个动态的口令矩阵，进入步骤S4；

S4、用户根据密码口令查找口令矩阵，得到对应的矩阵密码，输入矩阵密码进行登录，进入步骤S5；

S5、网站服务器根据用户ID和矩阵密码对用户进行身份验证。

为更好的实现本发明，所述安全状态通过设置安全通道、SSL或其他加密方式实现；

所述密码口令由字母和符号组成，其中所述字母包括大写英文字母和小写英文字母；

所述矩阵密码由数字组成。

优选的，所述步骤S3中网站服务器根据用户ID实时给出一个动态的口令矩阵，其中口令矩阵的生成规则为：

(1)口令矩阵采用字母、符号对应0-9十个数字的显示方式，每个字母或符号随机对应0-9之中的一个数字；动态口令矩阵至少要包括26个大写字母和26个小写字母(共52个字符)，加上常用的符号，补齐为10的倍数个字符；

(2)网站服务器根据用户ID记录口令矩阵信息，若是用户的目录下没有口令矩阵记录，则根据随机算法生成字符对应数字的口令矩阵，假设矩阵有n个字符，则平均每n/10个字符对应同一个数字；

(3)若网站服务器中存有用户的口令矩阵记录，则网站服务器查找上一次口令矩阵的记录，此次矩阵的每个数字对应的n/10个字符中有n/20个字符从上一次记录的对应字符中随机抽取，另外n/20个字符随机抽取；当用户ID对应的口令矩阵记录超过n/10次，则清空记录，采用规则(2)来生成动态口令矩阵。

优选的，所述随机算法是通过线性同余算法、BBS伪随机数发生器以及ANSIX9.17伪随机数发生器中的一种或多种实现的。

优选的，所述步骤S3、在用户登录时，网站服务器根据用户ID实时给出一个动态的口令矩阵，具体包括以下步骤：

S3.1、在用户登录时，用户输入用户ID，并向网站服务器请求获取口令矩阵，进入步骤S3.2；

S3.2、网站服务器接收到用户获取口令矩阵的请求，检查该用户ID对应的口令矩阵记录，如果没有记录，则进入步骤S3.3；如果有对应的口令矩阵记录，则进入步骤S3.4；

S3.3、网站服务器按照动态口令矩阵生成规则(2)随机生成口令矩阵，并将新生成的口令矩阵传递给用户；