CN101309147A - 一种基于图像口令身份认证方法 - Google Patents
一种基于图像口令身份认证方法 Download PDFInfo
- Publication number
- CN101309147A CN101309147A CNA2008101248367A CN200810124836A CN101309147A CN 101309147 A CN101309147 A CN 101309147A CN A2008101248367 A CNA2008101248367 A CN A2008101248367A CN 200810124836 A CN200810124836 A CN 200810124836A CN 101309147 A CN101309147 A CN 101309147A
- Authority
- CN
- China
- Prior art keywords
- authentication
- server
- image
- client
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 230000008569 process Effects 0.000 claims description 13
- 238000012795 verification Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 abstract description 2
- 230000008859 change Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 208000008918 voyeurism Diseases 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于一次性密钥的图像口令身份认证方法。本发明使用图像代替传统的文本口令,将图像口令的输入方式由传统的鼠标点击改为键盘输入,在传输过程中使用一次性密钥对认证信息进行加密。
Description
技术领域
本发明涉及一种计算机网络安全领域中身份认证的方法,特别是一种基于一次性密钥的图像口令身份认证方法。
背景技术
身份认证是网络安全系统中的第一道屏障,其他的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。目前主要的身份认证方法仍然是基于文本的静态身份认证。但是口令的不便记忆是这种认证方法的最大缺陷,为此近些年提出图像口令的概念,即用图像序列代替传统的字符串口令。但这种认证技术也存在缺点,首先图像口令不能有效的防止窥探攻击,其次图像本身是一种静态口令,如果直接将其在网络中传输,很容易被截获。但它对口令的记忆确实是一种很好的方法。
发明内容
本发明针对现有的图像口令认证系统存在的不足,提出一种基于一次性密钥的图像口令身份认证方法,这种方法可以有效防止因窥探攻击、网络窃听、重放攻击的漏洞等造成的失密,有效保证图像口令在传输过程中的安全性。
本发明所提出的方法主要包括两个阶段:注册阶段,认证阶段。
注册阶段:用户提交身份标识符Uid给认证服务器,请求注册。服务器计算用户身份标识符的散列值h=H(Uid),并遍历用户身份标识符列表,如果h已经存在,则提示用户重新选择新的Uid,以保证用户身份标识符的唯一性。如果不存在,则向客户端发送一个包含可选认证图像的挑战信息,提示用户选择认证图像,并定义特征值序列。用户从可选图像集合中选择容易记忆的图像作为认证图像P,并为每幅认证图像定义一个固定长度的特征值,通过安全通道将注册信息(P,Pt)传递给认证服务器。服务器计算特征值序列的散列值H(Pt),并将其存储在认证服务器的数据库中,以便认证时使用。
认证阶段:客户端计算用户身份标识符的散列值h=H(Uid),将h发送给服务器请求认证。服务器收到认证请求后,判断h是否属于用户标识符列表L,若h∈L,表明此Uid合法,生成随机数r,计算hs=H(r,k),使用对称密钥k对随机数r、认证图像集合I、以及hs进行加密Es=E(r,I,hs,k),然后将Es发送给客户端,并暂时保存r。若h!∈L,则说明Uid为非法用户,终止与Uid的会话。客户端收到服务器挑战信息后,使用对称密钥k对其进行解密得到(r,I,hs),并判断hs=H(r,k)是否成立,若不成立,则证明服务器是假冒的,终止与服务器的会话。若成立,则服务器的身份得到了验证,显示图像序列I,要求用户进行选择。客户端根据用户输入的认证图像的坐标值,确定认证图像P=P1...Pi...Pn,根据用户输入的特征值序列Pt计算其散列值H(Pt)。客户端以特征值序列的散列值H(Pt)作为固定因子,以随机数r作为可变因子利用单向散列算法计算一次性密钥Etmp,用Etmp对P进行加密Pe=E(P,Etmp),并生成数据完整性检验位hc=H(Pe,k),利用对称密钥k对Pe,hc进行加密Ec=E(Pe,hc,k),然后发送Ec给服务器。服务器解密客户端的应答信息,使用与客户端同样的方法计算一次性密钥Etmp,判断hc?=H(Pe,k)从而检验数据的完整性。利用Etmp对Pe进行解密得到认证图像序列,并与认证数据库中的认证图像序列进行比较。相同则通过认证,否则拒绝访问。
本发明的一种基于图像口令认证方法中,以认证图像的特征值序列为固定因子,以服务器端生成的随机数为可变因子利用一次性口令的实现原理生成一次性密钥,认证图像传输前,使用一次性密钥对其加密,每次认证过程中网络中传输的都是随机变化的认证信息。
本发明的优点:
1、口令便于记忆。本发明的认证方法中,要求用户输入的图像口令的特征值,是为了方便用户对图像口令的记忆而设定的简短、具有一定意义的字符串,而图像口令本身又是便于记忆的,因此认证过程中的口令是便于记忆的。
2、防止窥探攻击。认证过程中,用户不需要通过点击鼠标来选择认证图像,而是通过在文本框中输入认证图像的坐标值对其定位,每次认证过程中认证图像的分布是随机变化的,因此用户每次输入的坐标值序列也将随机变化,可以有效的防止窥探攻击。
3、抵抗重放攻击。每次认证过程中,都是通过一次性密钥对认证信息进行加密,因此客户端和服务器之间传递的认证信息都会随机变化,即使认证信息被截取了,也无法再次发送到服务器上进行验证,因为此时的解密密钥已经发生了改变,从而防止了非法用户对服务器进行重放攻击。
4、增加了客户端对服务器的验证。客户端并没有服务器端的对称密钥,但客户端通过验证hs?=H(r,k),确信与其通信的服务器端拥有客户端的对称密钥k,这样也就间接地验证了服务器端的身份。
5、本发明的认证方法有广泛的应用前景,可以应用在金融、公安等对自身业务的安全性有较高要求的行业中。
具体实施方式
一种基于一次性密钥的图像口令身份认证方法包括以下步骤:
1、客户端用户向服务器发出身份认证请求;
用户身份标识符的散列值h=H(Uid);
2、服务器接收到认证请求后,验证用户身份标识符的合法性,并向客户端发送认证挑战信息:
服务器向客户端发出认证图像集合I、随机数r,服务器身份验证位hs=H(r,k);
3、客户端根据hs验证服务器身份的合法性后,向用户显示认证图像集合I,根据用户输入的认证图像的坐标值对其进行定位。生成一次性密钥Etmp,用其加密认证图像,并生成数据完整性检验位hc。加密认证信息,将其发送至服务器请求验证。
4、服务器用与客户端同样的方法生成一次性密钥,对客户端应答信息完整性进行验证。解密认证图像序列,将其与认证数据库中的注册值P’进行比较,如果相同则通过验证,否则拒绝访问。
下面以本发明的一个应用为例说明本发明的过程:
1、注册过程:
用户Jauney由客户端向服务器发送注册请求,并提交身份标识符Uid给认证服务器请求注册,服务器确认用户身份标识符的唯一性后,根据客户端发送的用户身份标识符向客户端发送挑战信息,包括可选认证图像集合、随机数,以及服务器端验证位;
用户Jauney从图像集中选择4幅图标
作为认证图像。并为每幅认证图像定义一个特征值得到Pt=8304,通过安全信道将身份标识符Jauney,认证图像P,特征值Pt提交给认证服务器,服务器保存用户身份标识符的散列值、认证图像P、特征值Pt。
2、身份认证过程:
1)用户通过客户端浏览器输入用户身份标识符Jauney,客户端生成其散列值向服务器提交认证请求。
2)服务器遍历认证数据库,找出与Jauney的散列值相同的记录,根据该记录生成挑战信息:可选认证图像集合
(包含4幅认证图像,50幅干扰图像),随机数r=204,服务器身份验证位:
hs=H(r,k)=H(204,8300121)=723B9964D07764106052845CDC8EA2F9
(注:本次认证过程中的对称密钥k=8300121)
并将这些值作为挑战信息用对称密钥k加密后发送给客户端浏览器。如果数据库中没有与该用户名对应的纪录则拒绝此次登录请求。
3)客户端收到服务器发送的应答信息后,根据hs的值验证服务器身份的合法性。如果合法则显示可选认证图像集(这些图像随机分布在认证窗口中),提示用户Jauney输入认证图像的坐标值序列(2,3),(4,4),(3,6),(2,2)以及与每幅认证图像对应的特征值Pt=8304。
客户端根据用户输入的坐标值序列定位认证图像
根据随机数r和特征值Pt生成一次性密钥:
Etmp=MD5(r,H(Pt))=EE63B5A2CBD2E6A0D29A76528B48764A
利用Etmp对认证图像序列P进行加密得到Pe,根据Pe和对称密钥k生成数据完整性检验位:
hc=H(Pe,k)=E5D0E4A933E6BAD31DECB976A2FA5C6D
将Pe,hc使用对称密钥k加密后发送至服务器进行身份验证。
4)服务器收到用户的应答信息后解密得到Pe,hc。与客户端相同的方法生成一次性密钥Etmp′,根据hc的值进行数据完整性检验,如果应答数据包完整,则解密Pe得到认证图像序列P,将P与认证数据库中保存的Jauney的认证图像比较,相同则通过认证,如果不相同则提示用户重新选择认证图像或正确输入特征值序列。
在上述的注册和认证过程中,用户不是通过点击鼠标选取认证图像,而是根据认证图像在认证窗口中随机分布的坐标值对其进行定位。这种口令输入方式可以有效的避免攻击者在用户认证过程中通过旁窥或者摄像工具记录下用户的整个认证图像选取过程,防止认证图像的泄露。
本发明的实现不局限于以上的实施例,例如本发明还可以采用多于四幅图像的认证。
Claims (3)
1.一种基于图像口令的认证方法,包含以下步骤:
注册阶段:
用户由客户端向服务器发送注册请求,并提交身份标识符Uid给认证服务器请求注册,服务器确认用户身份标识符的唯一性后,根据客户端发送的用户身份标识符向客户端发送挑战信息,包括可选认证图像集合、随机数,以及服务器端验证位;
用户从可选认证图像集合中选择容易记忆的图像作为认证图像P,并为每幅认证图像定义一个固定长度的特征值,通过安全通道将注册信息(P,Pt)传递给认证服务器;
服务器计算特征值序列的散列值H(Pt),并将其存储在认证服务器的数据库中,以便认证时使用;
认证阶段:
用户由客户端向服务器发送认证请求,并提交身份标识符Uid给认证服务器请求认证;
客户端根据服务器端验证位验证服务器合法性,并向合法用户显示可选图像集合;
用户输入注册阶段选定的认证图像在当前认证窗口中的分布坐标,以及与每幅认证图像对应的特征值;
客户端根据特征值散列值、服务器发送过来的随机数计算当前一次性密钥,根据分布坐标定位认证图像,利用一次性密钥加密认证图像,并生成数据完整性检验位,再将加密后的认证图像、数据完整性检验位用对称密钥加密后发送给服务器;
服务器解密客户端应答信息,根据数据完整性检验位对客户端数据包的完整性进行检验,用认证数据库中保存的当前用户特征值序列的散列值、随机数计算当前一次性密钥,用所得一次性密钥解密认证图像,并将解密后的认证图像与认证数据库中的值进行比较,相同则通过验证。
2.根据权利要求1所述的一种基于图像口令的认证方法,其特征在于:用户根据认证图像在认证窗口中随机分布的坐标值对其进行定位。
3.根据权利要求1或2所述的一种基于图像口令的认证方法,其特征在于:以认证图像的特征值序列为固定因子,以服务器端生成的随机数为可变因子利用一次性口令的实现原理生成一次性密钥,认证图像传输前,使用一次性密钥对其加密,每次认证过程中网络中传输的都是随机变化的认证信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101248367A CN101309147A (zh) | 2008-06-13 | 2008-06-13 | 一种基于图像口令身份认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101248367A CN101309147A (zh) | 2008-06-13 | 2008-06-13 | 一种基于图像口令身份认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101309147A true CN101309147A (zh) | 2008-11-19 |
Family
ID=40125383
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101248367A Pending CN101309147A (zh) | 2008-06-13 | 2008-06-13 | 一种基于图像口令身份认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101309147A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710648A (zh) * | 2012-06-11 | 2012-10-03 | 北京慧眼智行科技有限公司 | 身份验证的方法、设备以及系统 |
| WO2012174775A1 (zh) * | 2011-06-24 | 2012-12-27 | 上海合合信息科技发展有限公司 | 指定信息获取方法及系统 |
| CN101415004B (zh) * | 2008-11-25 | 2013-05-08 | 江岳 | 嵌入式网页应用的认证方法 |
| WO2016206090A1 (zh) * | 2015-06-26 | 2016-12-29 | 华为技术有限公司 | 双因子认证方法、装置和设备 |
| US9710641B2 (en) | 2014-12-12 | 2017-07-18 | Arp-Ip Llc | System and method for replacing common identifying data |
| CN108390862A (zh) * | 2018-01-29 | 2018-08-10 | 丹露成都网络技术有限公司 | 一种基于图片数据加密索引的图形验证方法 |
| WO2018176700A1 (zh) * | 2017-03-31 | 2018-10-04 | 深圳市科迈爱康科技有限公司 | 远程访问服务的数据交互方法和系统 |
| US11455386B2 (en) | 2019-10-07 | 2022-09-27 | International Business Machines Corporation | Authentication based on image classification |
-
2008
- 2008-06-13 CN CNA2008101248367A patent/CN101309147A/zh active Pending
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101415004B (zh) * | 2008-11-25 | 2013-05-08 | 江岳 | 嵌入式网页应用的认证方法 |
| WO2012174775A1 (zh) * | 2011-06-24 | 2012-12-27 | 上海合合信息科技发展有限公司 | 指定信息获取方法及系统 |
| CN102710648A (zh) * | 2012-06-11 | 2012-10-03 | 北京慧眼智行科技有限公司 | 身份验证的方法、设备以及系统 |
| CN102710648B (zh) * | 2012-06-11 | 2016-04-06 | 北京慧眼智行科技有限公司 | 身份验证的方法、设备以及系统 |
| US9710641B2 (en) | 2014-12-12 | 2017-07-18 | Arp-Ip Llc | System and method for replacing common identifying data |
| US10204217B2 (en) | 2014-12-12 | 2019-02-12 | Arp-Ip Llc | System and method for replacing common identifying data |
| WO2016206090A1 (zh) * | 2015-06-26 | 2016-12-29 | 华为技术有限公司 | 双因子认证方法、装置和设备 |
| CN106489155A (zh) * | 2015-06-26 | 2017-03-08 | 华为技术有限公司 | 双因子认证方法、装置和设备 |
| WO2018176700A1 (zh) * | 2017-03-31 | 2018-10-04 | 深圳市科迈爱康科技有限公司 | 远程访问服务的数据交互方法和系统 |
| CN108390862A (zh) * | 2018-01-29 | 2018-08-10 | 丹露成都网络技术有限公司 | 一种基于图片数据加密索引的图形验证方法 |
| CN108390862B (zh) * | 2018-01-29 | 2021-04-27 | 丹露成都网络技术有限公司 | 一种基于图片数据加密索引的图形验证方法 |
| US11455386B2 (en) | 2019-10-07 | 2022-09-27 | International Business Machines Corporation | Authentication based on image classification |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106534175B (zh) | 基于OAuth协议的开放平台授权认证系统及方法 | |
| US7409543B1 (en) | Method and apparatus for using a third party authentication server | |
| US8589442B2 (en) | Intersystem single sign-on | |
| US8209744B2 (en) | Mobile device assisted secure computer network communication | |
| US20160269393A1 (en) | Protecting passwords and biometrics against back-end security breaches | |
| WO2019020051A1 (zh) | 一种安全认证的方法及装置 | |
| US20140082707A1 (en) | Systems and methods for network connected authentication | |
| CN107809317A (zh) | 一种基于令牌数字签名的身份认证方法及系统 | |
| CN102202040A (zh) | 一种对客户端进行认证方法及装置 | |
| JP2013509840A (ja) | ユーザー認証の方法及びシステム | |
| CN104243494B (zh) | 一种数据处理方法 | |
| CN107733933B (zh) | 一种基于生物识别技术的双因子身份认证的方法及系统 | |
| CN101309147A (zh) | 一种基于图像口令身份认证方法 | |
| CN105281902B (zh) | 一种基于移动终端的Web系统安全登录方法 | |
| CN109347887B (zh) | 一种身份认证的方法及装置 | |
| CN106452764A (zh) | 一种标识私钥自动更新的方法及密码系统 | |
| CN105072110A (zh) | 一种基于智能卡的双因素远程身份认证方法 | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| CN115766033A (zh) | 面向隐私保护的门限单点登录方法 | |
| CN116112234B (zh) | 一种电子签收安全校验方法、系统、介质及设备 | |
| CN105049433B (zh) | 标识化卡号信息传输验证方法及系统 | |
| JP2014081887A (ja) | セキュアシングルサインオン方式およびプログラム | |
| Weerasinghe et al. | Security framework for mobile banking | |
| TW202116038A (zh) | 電子裝置之認證方法及系統 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20081119 |