[发明专利]一种基于动态密码的身份认证方法及认证服务器

说明书

技术领域

本发明涉及一种身份认证方法，尤其是一种基于动态密码的身份认证方法及认证服务器。

背景技术

计算机网络世界中的一切信息包括用户的身份信息都是用一组特定的数据来表示的，计算机只能识别用户的数字身份，所有对用户的授权也是针对用户数字身份的授权。身份认证即是在计算机网络中确认操作者身份的过程。身份认证也是服务供应商针对不同人员提供不同服务的首要步骤，用户只有通过了身份认证才能获得相应的服务。

现有的身份认证方法主要包括：部分密码认证方法、基于硬件（譬如动态口令牌）的动态密码认证方法、普通的密码输入登录认证方法。下面逐一介绍上述认证方法的特点：

1、部分密码认证方法：是指用户在登录的时候不需要输入完整的密码，只需要输入与身份认证服务器协商好的部分密码值完成身份认证。利用输入部分密码的方式，隐藏了原始持久性密码的信息，在一定程度上防止键盘记录攻击。虽然这种方法在每次登录时只需要用户输入部分密码，但是由于密码长度有限(其中原因有二：第一是登录系统的设计限制，第二是用户为了方便记忆)，因此用户的密码在多次的输入后很容易被攻击者分析得到；而且每次登录的密码输入信息都只是部分的不完整信息，那么用户提交的“登录密码信息”长度会很短，理论上认证系统也很容易遭受到攻击。

2、基于硬件(譬如动态口令牌)的动态密码认证方法：利用硬件动态生成随机码，客户在登录或者交易认证时候输入此动态密码，将其作为身份认证信息的一部分进行登录认证。这种认证方法利用了硬件的安全性和离线的动态性，在一定程度上保证了每次登录的一次性；增强了用户进行身份认证的安全性。它利用了what you have方法。基于硬件(譬如动态口令牌)的动态密码认证方法：首先，其成本高：由于这种动态密码的生成是基于硬件的，因此在与服务器同步性方面、硬件自身保护方面等都增加了整个认证系统的难度，而且硬件的定制也需要相应的费用，无形中增加了整个系统构建的费用；第二，灵活性差：这种硬件设备在用户使用和携带的过程中带来很大的不便，一旦设备丢失，用户则登录不了相应的系统，尽管可以通过后期的手续进行补救，但是时效性很差。

3、普通的密码输入登录认证方法：用户直接使用持久性账号及密码等身份信息以进行身份认证。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中需要在计算机内存中和传输过程可能会被木马程序或在网络中截获。虽然静态密码机制无论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式一种是不安全的身份认证方式。它利用了what you know的方法。该方法有几个特点：

登录密码的固定性：用户登录的密码是永久或长期的，在多次使用的过程中很容易被其他人窃取。

用于登录的身份信息具有完整性：因此，一旦密码被窃取，则攻击者就可以获取完整的访问权。

针对普通的密码输入登录认证方法，常见的窃取方式有：

键盘记录攻击：攻击者通过在目标计算机上注入恶意软件，对用户的所有的键盘操作进行记录和跟踪，最终获取用户的账号和密钥(即密码)。

账号密码信息文件窃取：多数应用系统（尤其是web上的系统）会提供自动登录的功能，那么这必然会将用户的信息保存到本地，而攻击者通过一定的恶意手段很容易就获取到用户的账号密码信息文件。

因此，普通的密码输入登录认证方法由于需要输入完整的持久性身份信息，容易导致持久性身份信息被窃取；部分密码认证方法也由于密码信息长度有限，存在容易被破解的风险；而基于硬件(譬如动态口令牌)的动态密码认证方法则提高了身份认证系统的构造成本，并且在后期补救手续上的时效性很差，亦给用户带来了极大不便。

发明内容

本发明要解决的技术问题是：提供一种使用方便、成本低廉、安全性能高的基于动态密码的身份认证方法。

本发明要解决的另一技术问题是：提供一种用于用户身份认证的认证服务器，该认证服务器可有效保障用户身份验证时持久性身份信息的安全。

为了解决上述技术问题，本发明所采用的技术方案是：

一种基于动态密码的身份认证方法，该方法包括：

A：认证服务器向客户端发送用于身份认证的挑战信息；

B：客户端接收来自认证服务器的挑战信息并在登录界面上显示该挑战信息；

C：客户端接收用户输入的相应的身份认证信息；