【所屬技術(shù)領(lǐng)域】

一種基于數(shù)字證書和USBkey的動態(tài)密碼服務(wù)和實(shí)名上網(wǎng)方法，具體包括密碼管理中心、客戶端軟件、 USBkey、數(shù)字證書。

【技術(shù)背景】

口令密碼技術(shù)是目前互聯(lián)網(wǎng)應(yīng)用進(jìn)行用戶認(rèn)證的普遍技術(shù)，但是傳統(tǒng)的靜態(tài)口令密碼技術(shù)安全強(qiáng)度較 低，不能適應(yīng)當(dāng)前互聯(lián)網(wǎng)應(yīng)用愈發(fā)突出的安全性要求；當(dāng)前的上網(wǎng)接入方式就是普遍采用靜態(tài)口令密碼方 式。

現(xiàn)有的一種動態(tài)密碼技術(shù)，就是在客戶端和服務(wù)器端基于共同的算法、共同的參數(shù)進(jìn)行同步運(yùn)算，將 當(dāng)次運(yùn)算的結(jié)果作為當(dāng)次認(rèn)證密碼，客戶端需要配備專門的硬件。這種技術(shù)存在三個明顯缺陷：由于需要 配備專門客戶端硬件，單項成本過高；從技術(shù)上仍然存在客戶端和對應(yīng)認(rèn)證系統(tǒng)端密碼不同步的可能性； 對于已有應(yīng)用系統(tǒng)，要求對應(yīng)的認(rèn)證系統(tǒng)進(jìn)行改造，并增加服務(wù)器認(rèn)證運(yùn)算負(fù)載。

與上述方法不同的是，本發(fā)明通過獨(dú)立的密碼管理中心，利用數(shù)字證書和USBkey的安全特性而形成 的一套新型動態(tài)密碼方法。USBkey是指集成了安全芯片的各類終端設(shè)備，包括Uebkey以及key盤、安全 智能卡等，終端中的安全芯片集成了各種對稱和非對成密碼算法，能安全保存各種密碼和數(shù)據(jù)。該方法徹 底解決了前一種動態(tài)密碼認(rèn)證技術(shù)的缺陷：實(shí)現(xiàn)動態(tài)密碼認(rèn)證只是利用USBkey現(xiàn)有功能，不需要新增硬 件成本；本發(fā)明引入了獨(dú)立密碼管理中心，通過該中心的事務(wù)邏輯控制客戶端和服務(wù)器端的動態(tài)密碼同步 更新，徹底解決客戶端和服務(wù)器端密碼失步問題；對于已有應(yīng)用認(rèn)證系統(tǒng)，本發(fā)明不要求進(jìn)行改造，并且 不增加認(rèn)證系統(tǒng)認(rèn)證運(yùn)算量；還有，由于USBkey支持?jǐn)?shù)字證書密碼運(yùn)算及其私鑰的安全存放，有效保證 了動態(tài)密碼可以安全分發(fā)到每個用戶USBkey，并安全保存。將本方法應(yīng)用到上網(wǎng)接入認(rèn)證，即可利用數(shù) 字證書實(shí)現(xiàn)用戶實(shí)名制上網(wǎng)，并提高現(xiàn)有帳號/口令模式的安全性。

本發(fā)明兼有實(shí)名、安全、經(jīng)濟(jì)、可靠的特點(diǎn)。

【發(fā)明目的】

本發(fā)明的目的有兩個：

1.提供一套實(shí)名、安全、經(jīng)濟(jì)、可靠的動態(tài)密碼認(rèn)證方法。

2.提供一套實(shí)名、安全、經(jīng)濟(jì)、可靠的上網(wǎng)認(rèn)證方法。

【發(fā)明內(nèi)容】

一套基于數(shù)字證書和USBkey實(shí)現(xiàn)動態(tài)密碼認(rèn)證和實(shí)名上網(wǎng)的方法，由密碼管理中心、客戶端軟件、 USBkey、數(shù)字證書組成。具體包括四個方法：

1.基于數(shù)字證書的動態(tài)密碼方法。

密碼管理中心接受來自用戶或者對應(yīng)認(rèn)證系統(tǒng)的動態(tài)密碼申請，產(chǎn)生動態(tài)密碼，通過數(shù)字證 書技術(shù)將動態(tài)密碼安全分發(fā)到客戶端；通過安全的傳輸通道將相同的動態(tài)密碼發(fā)送給對應(yīng)的認(rèn)證 系統(tǒng)；并通過事務(wù)機(jī)制保證用戶端和對應(yīng)認(rèn)證系統(tǒng)端的動態(tài)密碼同步更新，實(shí)現(xiàn)用戶認(rèn)證系統(tǒng)對 客戶端的動態(tài)密碼認(rèn)證，從而提供動態(tài)密碼服務(wù)。

為了減少本方法對傳統(tǒng)認(rèn)證模式的影響，提高本方法的健壯性，可以補(bǔ)充異常處理方法：在 動態(tài)密碼更新后，在客戶端和對應(yīng)的認(rèn)證系統(tǒng)端同時繼續(xù)安全保存上一次認(rèn)證成功過的密碼，一 旦用戶用更新后的動態(tài)密碼認(rèn)證失敗，客戶端和服務(wù)器端可以自動適配上一次成功認(rèn)證過的密碼 進(jìn)行認(rèn)證，這樣可以屏蔽因?yàn)槊艽a管理中心或者其他故障影響用戶認(rèn)證，該異常處理方法的一個 關(guān)鍵是要安全保存上一次認(rèn)證成功過的密碼。

這種方法可以適用于各類互聯(lián)網(wǎng)應(yīng)用，前提是用戶必須保證其證書私鑰的安全性。

2.基于數(shù)字證書和USBkey的動態(tài)密碼方法。

在方法1的基礎(chǔ)上，增加USBkey安全保存數(shù)字證書和私鑰，以及上一次認(rèn)證成功過的密碼， 并通過增強(qiáng)的安全接口訪問，可以進(jìn)一步提高方法1的安全性，適應(yīng)于更高安全需要的應(yīng)用。

3.基于數(shù)字證書的實(shí)名安全上網(wǎng)方法。

在方法1的基礎(chǔ)上，結(jié)合上網(wǎng)接入認(rèn)證的特殊性，可以提供實(shí)名安全上網(wǎng)方法。，上網(wǎng)接入 認(rèn)證的特殊性在于：用戶上網(wǎng)接入認(rèn)證通過之前，用戶還不具備上網(wǎng)能力，無法訪問密碼管理中 心請求動態(tài)密碼，因此用戶開戶的時候必須獲得一個與對應(yīng)的認(rèn)證系統(tǒng)一致的帳號和密碼，用戶 首次撥號上網(wǎng)的時候以該帳號和密碼撥號，認(rèn)證通過后即通過方法1完成用戶端和對應(yīng)認(rèn)證系統(tǒng) 端的動態(tài)密碼同步更新，并安全保存到指定位置，下次撥號的時候，撥號客戶端軟件通過安全訪 問接口自動獲取更新后的帳號和口令，按照標(biāo)準(zhǔn)的撥號協(xié)議完成撥號認(rèn)證。

4.基于數(shù)字證書和USBkey的實(shí)名安全上網(wǎng)方法。