CN110602142B - 一种基于密码链的后台认证方法 - Google Patents
一种基于密码链的后台认证方法 Download PDFInfo
- Publication number
- CN110602142B CN110602142B CN201910936439.8A CN201910936439A CN110602142B CN 110602142 B CN110602142 B CN 110602142B CN 201910936439 A CN201910936439 A CN 201910936439A CN 110602142 B CN110602142 B CN 110602142B
- Authority
- CN
- China
- Prior art keywords
- password
- chain
- authentication
- seed
- background
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000012795 verification Methods 0.000 claims abstract description 4
- 238000012423 maintenance Methods 0.000 description 17
- YSMRWXYRXBRSND-UHFFFAOYSA-N TOTP Chemical compound CC1=CC=CC=C1OP(=O)(OC=1C(=CC=CC=1)C)OC1=CC=CC=C1C YSMRWXYRXBRSND-UHFFFAOYSA-N 0.000 description 2
- 238000004880 explosion Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Accessory Devices And Overall Control Thereof (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种基于密码链的后台认证方法,包括服务端系统和后台认证系统,所述后台认证系统通过内置种子使用密码链算法算出基准密码;所述服务端系统使用内置种子并根据输入的基准密码算法算出认证密码;将认证密码输入后台认证系统进行认证校验,从而实现后台认证系统与服务端系统的分离部署。本发明通过密码链的形式实现了后台认证系统与服务端系统的分离部署,有效的避免了密码泄露后任何人都可以登陆系统,提升了系统认证的安全性。
Description
技术领域
本发明属于安全认证的技术领域,具体涉及一种基于密码链的后台认证方法。
背景技术
后台认证已成为运维维护不可或缺的一部分。但是网络的飞速发展,信息的大爆炸,运维人员的扩招及外包,信息管理人员离职走动,认证密码难免外泄。传统的密码认证使用TOTP及HOTP认证KEY的方案,运维人员手持一个动态令牌,看似使用动态口令进行安全认证,实际在发生企业信息泄露事件后,运维人员则把责任推卸到系统漏洞或动态令牌丢失上,无从查证,而注销变更动态令牌的过程也及其复杂繁琐,管理成本大大增加。更多外流人员非法出卖动态口令,出卖数据以谋取更多的利益。
发明内容
本发明的目的在于提供一种基于密码链的后台认证方法,通过密码链的形式实现了后台认证系统与服务端系统的分离部署,有效的避免了密码泄露后任何人都可以登陆系统,提升了系统认证的安全性。
本发明主要通过以下技术方案实现:一种基于密码链的后台认证方法,后台认证系统通过内置种子并使用密码链算法算出基准密码;服务端系统使用内置种子并根据输入的基准密码算出认证密码;将认证密码输入后台认证系统进行认证校验,从而实现后台认证系统与服务端系统的分离部署。
为了更好的实现本发明,进一步的,所述后台认证系统基于HOTP链式算法,并使用加密哈希函数将内置种子与当前时间戳组合在一起,以生成一次性基准密码,并计算出下一链密码作为比对密码;所述服务端系统使用HOTP链式算法算出链中所有密码,并根据基准密码找到下一链认证密码。
为了更好的实现本发明,进一步的,所述后台认证系统算出基准密码主要包括以下步骤:
步骤S1:所述后台认证系统初始化内置种子及时间因子;所述后台认证系统使用内置种子、时间因子,并使用PBKDF2算法生成私钥;
步骤S2:所述后台认证系统使用生成的私钥K以及UTC时间戳作为计数器C,使用HOTP链式算法算出初始化的基准密码;
步骤S3:所述后台认证系统将基准密码打印到屏幕上,并提示输入认证密码。
为了更好的实现本发明,进一步的,所述服务端系统算出认证密码主要包括以下步骤:
步骤S4:所述服务端系统初始化内置种子及时间因子;所述服务端系统使用内置种子、时间因子,并使用PBKDF2算法生成私钥;
步骤S5:将基准密码输入服务端系统,所述服务端系统使用生成的私钥K以及UTC时间戳作为计数器C,使用HOTP链式算法、通过基准密码找出下一链密码,所述服务端系统将下一链密码作为认证密码打印到屏幕上。
为了更好的实现本发明,进一步的,所述后台认证系统使用HOTP算法以及初始化的基准密码算出下一链密码;所述后台认证系统使用下一链密码与输入的认证密码比对,以验证合法性。
为了更好的实现本发明,进一步的,所述内置种子是指定一串由数字、字母、特殊符号组成字符串作为种子;所述基准密码是基于HOTP链式算法生成的一串字符串。
所述PBKDF2算法应用一个伪随机函数以导出密码。导出密码的长度本质上是没有限制的。PBKDF2简单而言就是将salted hash进行多次重复计算,这个次数是可选择的。如果计算一次所需要的时间是1微秒,那么计算1百万次就需要1秒钟。假如攻击一个密码所需的rainbow table有1千万条,建立所对应的rainbow table所需要的时间就是115天。这个代价足以让大部分的攻击者望而生畏。PBKDF2算法有标准化、实现容易、同时采用了久经考验的SHA算法的优点。由于PBKDF2算法已经是一种成熟公开的算法,这里将不再赘述。
HOTP是事件同步,通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法运算出一致的密码。使用HOTP算法作为密码链基准算法,使用不同基准密码,可以得出不同密码链推导密码。
HOTP=Truncate(HMAC-SHA-1(K,C))
其中:
K共享密码(种子+时间编码得到)
C计数器(一个数字)
由于HOTP已经是一种成熟公开的算法,这里将不再赘述。HOTP常用于互联网业务,包括HOTP动态令牌,在网站认证输入该动态口令,口令一次有效,这种技术目前应用普遍,常应用于网银登陆,购物平台登陆等。
本发明的有益效果:
(1)本发明有效的避免了密码泄露后任何人都可以登陆系统,提升了系统认证的安全性。对密码的管理人员离职后将无法将密码传递给任意他人直接用于非法用途。使用本系统,极大的保证了系统认证的可靠性,每登陆都要申请密码认证,动态密码不归属个人所有,登录认证人员及管理员都无直接拥有动态密码,认证人员每次都需要向管理人员申请动态密码,管理人员每次需要填写申请并发放认证密码,使每一次认证都有源可查,并为制止非法利用密码数据提供了保障。
(2)本发明使用密码链直接登陆后台系统,登陆认证变为链式,密码随机生成。运维人员手里没有固定密码及动态口令,每次登录都将向密码链系统申请密码,获取密码申请有根有据,溯源可追寻。管理人员无需维护大量密码及硬件动态令牌,同时屏蔽了管理者的安全风险。而基于密码链的后台认证系统,后台认证每次基准码不同,相同基准码在不同时间使用同一个密码则不能登陆,管理员无需维护大量密码及动态令牌,运维人员也没有实质固定密码及动态口令卡,让企业私有财产维护认证管理更简单更安全。
(3)本发明还可以对前台登陆系统进行验证,在每次登陆前台系统需要输入一次性链式密码方可登陆,链式密码并不在运维人员手上,增加前台操作人员登陆认证的安全性及密码爆破的复杂性。
(4)本发明异于HOTP传统认证方案,传统HOTP往往用于获取一次随机密码认证登录,由于HOTP是基于事件类型,与TOTP不同是与时间不相同,所以只要认证人员手持HOTP动态令牌每次认证步调一致则可以认证,并不需要服务端同步时间,可用于离线服务器认证。本发明基于HOTP链式的特点,使用HOTP+基准密码的方法则可产生链式密码中的所有密码,这种应用实现标准化,但不同于一次HOTP的认证,而是采用链式认证的方法来实现密码链模式,认证人员也无法手持HOTP认证动态令牌。
(5)动态密码认证往往在二次认证或传统自动化认证交换过程,而传统二次认证或自动化认证交换都需要第一次握手通信,而第一次握手过程往往采用对称密码交换方案或非对称密码签名,交换认证过程杂。而对于认证双方,只要认证最终签名一致则相互受信。本发明意在解决第一次认证无需任何签名及种子,直接使用密码链中的随机密码,认证方无法通过固定形式证明自己的身份合法性。
附图说明
图1为本发明的流程图。
具体实施方式
实施例1:
一种基于密码链的后台认证方法,如图1所示,所述后台认证系统负责算出基准密码,并负责对认证密码进行验证;所述服务端系统负责生成认证密码;主要包括以下步骤:
1)后台认证系统初始化内置种子及时间因子;
2)后台认证系统使用内置种子+时间因子,使用PBKDF2算法生成私钥;
3)后台认证系统使用生成的私钥K+UTC时间戳作为计数器C,使用HOTP链式算法算出初始化的基准密码;
4)后台认证系统将基准密码输出打印到屏幕上,并提示输入认证密码;
5)服务端系统初始化内置种子及时间因子;
6)服务端系统使用内置种子+时间因子,使用PBKDF2算法生成私钥;
7)服务端系统输入基准密码;
8)服务端系统使用生成的私钥K+UTC时间戳作为计数器C,使用HOTP链式算法+通过基准密码找出下一链密码;
9)服务端系统将下一链密码作为认证密码打印到屏幕上;
10)后台认证系统使用HOTP算法+初始化的基准密码算出下一链密码
11)后台认证系统使用下一链密码与输入的认证密码做比对,验证认证合法性。
这里涉及到数据的安全,所有临时算出的数据都在用完后释放,并不驻留在内存中。
所述后台认证系统负责初始化种子,使用种子算出私钥,根据私钥+时间戳计数器,使用HOTP链式算法算出基准密码,并计算出下一链密码作为认证合法性的比对密码,比对输入的认证密码。所述服务端系统负责初始化种子,使用种子算出私钥,根据私钥+时间戳计数器,接收输入基准密码,使用HOTP链式算法算出链中所有密码,并根据基准密码找到下一链认证密码,将认证密码打印在屏幕上。
本发明在使用过程中主要包括以下步骤:
1.运维人员登录运维机器后台系统,后台认证系统完成初始化计算,将基准密码输出打印到屏幕上,并提示输入认证密码;
2.运维人员将基准密码提交给管理员进行运维申请登录;
3.管理员收到运维申请后,在后台服务系统填写运维申请表,提交基准密码;
4.服务端系统根据基准密码算出密码链,找到对应的下一链密码;
5.服务端系统将下一链密码输出打印在屏幕上;
6.管理员收到下一链认证密码,将认证密码下发给运维人员;
7.运维人员使用认证密码进行认证登录。
以上所有操作都将在申请流程中变成流程化,让每一次运维都有依据。
本发明有效的避免了密码泄露后任何人都可以登陆系统,提升了系统认证的安全性。对密码的管理人员离职后将无法将密码传递给任意他人直接用于非法用途。使用本系统,极大的保证了系统认证的可靠性,每登陆都要申请密码认证,动态密码不归属个人所有,登录认证人员及管理员都无直接拥有动态密码,认证人员每次都需要向管理人员申请动态密码,管理人员每次需要填写申请并发放认证密码,使每一次认证都有源可查,并为制止非法利用密码数据提供了保障。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。
Claims (6)
1.一种基于密码链的后台认证方法,其特征在于,后台认证系统通过内置种子并使用密码链算法算出基准密码;服务端系统使用内置种子并根据输入的基准密码算出认证密码;将认证密码输入后台认证系统进行认证校验,从而实现后台认证系统与服务端系统的分离部署;
所述后台认证系统负责初始化种子,使用种子算出私钥,根据私钥+时间戳计数器,使用HOTP链式算法算出基准密码,并计算出下一链密码作为认证合法性的比对密码,比对输入的认证密码;所述服务端系统负责初始化种子,使用种子算出私钥,根据私钥+时间戳计数器,接收输入基准密码,使用HOTP链式算法算出链中所有密码,并根据基准密码找到下一链认证密码,将认证密码打印在屏幕上。
2.根据权利要求1所述的一种基于密码链的后台认证方法,其特征在于,所述后台认证系统基于HOTP链式算法,并使用加密哈希函数将内置种子与当前时间戳组合在一起,以生成一次性基准密码,并计算出下一链密码作为比对密码;所述服务端系统使用HOTP链式算法算出链中所有密码,并根据基准密码找到下一链认证密码。
3.根据权利要求2所述的一种基于密码链的后台认证方法,其特征在于,所述后台认证系统算出基准密码主要包括以下步骤:
步骤S1:所述后台认证系统初始化内置种子及时间因子;所述后台认证系统使用内置种子、时间因子,并使用PBKDF2算法生成私钥;
步骤S2:所述后台认证系统使用生成的私钥K以及UTC时间戳作为计数器C,使用HOTP链式算法算出初始化的基准密码;
步骤S3:所述后台认证系统将基准密码打印到屏幕上,并提示输入认证密码。
4.根据权利要求3所述的一种基于密码链的后台认证方法,其特征在于,所述服务端系统算出认证密码主要包括以下步骤:
步骤S4:所述服务端系统初始化内置种子及时间因子;所述服务端系统使用内置种子、时间因子,并使用PBKDF2算法生成私钥;
步骤S5:将基准密码输入服务端系统,所述服务端系统使用生成的私钥K以及UTC时间戳作为计数器C,使用HOTP链式算法、通过基准密码找出下一链密码,所述服务端系统将下一链密码作为认证密码打印到屏幕上。
5.根据权利要求4所述的一种基于密码链的后台认证方法,其特征在于,所述后台认证系统使用HOTP算法以及初始化的基准密码算出下一链密码;所述后台认证系统使用下一链密码与输入的认证密码比对,以验证合法性。
6.根据权利要求1所述的一种基于密码链的后台认证方法,其特征在于,所述内置种子是指定一串由数字、字母、特殊符号组成字符串作为种子;所述基准密码是基于HOTP链式算法生成的一串字符串。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910936439.8A CN110602142B (zh) | 2019-09-29 | 2019-09-29 | 一种基于密码链的后台认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910936439.8A CN110602142B (zh) | 2019-09-29 | 2019-09-29 | 一种基于密码链的后台认证方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110602142A CN110602142A (zh) | 2019-12-20 |
| CN110602142B true CN110602142B (zh) | 2022-07-19 |
Family
ID=68864787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910936439.8A Active CN110602142B (zh) | 2019-09-29 | 2019-09-29 | 一种基于密码链的后台认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110602142B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11949672B2 (en) | 2022-01-31 | 2024-04-02 | International Business Machines Corporation | Authentication based on chain of strings generated from secret string |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051908A (zh) * | 2007-05-21 | 2007-10-10 | 北京飞天诚信科技有限公司 | 动态密码认证系统及方法 |
| CN104104517A (zh) * | 2004-10-15 | 2014-10-15 | 弗里塞恩公司 | 一次性密码验证的方法和系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2387999B (en) * | 2002-04-24 | 2004-03-24 | Richard Mervyn Gardner | Sequential authentication with infinitely variable codes |
| US9768963B2 (en) * | 2005-12-09 | 2017-09-19 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
| CN101000673A (zh) * | 2006-01-13 | 2007-07-18 | 蒋利 | 用户交易口令确认系统及方法 |
| JP5556659B2 (ja) * | 2008-08-29 | 2014-07-23 | 日本電気株式会社 | 通信システム、送信側及び受信又は転送側の通信装置、データ通信方法、データ通信プログラム |
| CN102307093A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种生成双因数动态口令的方法 |
| CN102882684A (zh) * | 2012-09-26 | 2013-01-16 | 长城瑞通(北京)科技有限公司 | 一种多密钥动态令牌的实现方法及装置 |
-
2019
- 2019-09-29 CN CN201910936439.8A patent/CN110602142B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104104517A (zh) * | 2004-10-15 | 2014-10-15 | 弗里塞恩公司 | 一次性密码验证的方法和系统 |
| CN101051908A (zh) * | 2007-05-21 | 2007-10-10 | 北京飞天诚信科技有限公司 | 动态密码认证系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110602142A (zh) | 2019-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8769637B2 (en) | Iterated password hash systems and methods for preserving password entropy | |
| US9225717B1 (en) | Event-based data signing via time-based one-time authentication passcodes | |
| TWI512524B (zh) | 身份驗證系統及方法 | |
| JP2013509840A (ja) | ユーザー認証の方法及びシステム | |
| Archana et al. | Survey on usable and secure two-factor authentication | |
| Mishra et al. | An anonymous and secure biometric‐based enterprise digital rights management system for mobile environment | |
| US11496586B2 (en) | User and client device registration with server | |
| CN105656862A (zh) | 认证方法及装置 | |
| US11374759B2 (en) | Username-less and password-less one-time identification and authentication code method and system | |
| GB2488310A (en) | A method and system for authenticating a computer user by using an array of elements | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN106657002A (zh) | 一种新型防撞库关联时间多密码的身份认证方法 | |
| CN111355591A (zh) | 一种基于实名认证技术的区块链账号安全的管理方法 | |
| CN109644137A (zh) | 具有签名消息的基于令牌的认证 | |
| Alizai et al. | Key-based cookie-less session management framework for application layer security | |
| CN106790138A (zh) | 一种政务云应用用户登录双因子验证的方法 | |
| Huszti et al. | A simple authentication scheme for clouds | |
| Wong et al. | Secure biometric-based authentication for cloud computing | |
| CN110602142B (zh) | 一种基于密码链的后台认证方法 | |
| CN108512832A (zh) | 一种针对OpenStack身份认证的安全增强方法 | |
| Pampori et al. | Securely eradicating cellular dependency for e-banking applications | |
| Wong et al. | Towards Biometric-based Authentication for Cloud Computing. | |
| US10911217B1 (en) | Endpoint-to-endpoint cryptographic system for mobile and IoT devices | |
| CN117370952A (zh) | 基于区块链的多重节点身份验证方法及装置 | |
| CN110505199A (zh) | 基于轻量级非对称身份的Email安全登录方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |