技術(shù)領(lǐng)域

本發(fā)明屬于計(jì)算機(jī)應(yīng)用系統(tǒng)安全領(lǐng)域，尤其涉及一種基于HASH芯片或加密芯片的雙因素認(rèn)證方法。本發(fā)明非常適合于大用戶量、高并發(fā)的，基于互聯(lián)網(wǎng)或移動(dòng)網(wǎng)絡(luò)的分布式設(shè)備或用戶認(rèn)證過程。

背景技術(shù)

隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)上的分布式應(yīng)用越來越多，而分布式應(yīng)用的過程中有一個(gè)非常主要的步驟，那就是必須要驗(yàn)證遠(yuǎn)端的應(yīng)用是否是自己所期望的那個(gè)。傳統(tǒng)的口令校驗(yàn)安全性上已經(jīng)無法保證，隨著賬號(hào)或認(rèn)證的附加價(jià)值越來越高，近幾年來賬號(hào)被他人破解或盜用的情況越來越多。現(xiàn)在各種使用硬件加密技術(shù)和用戶口令進(jìn)行雙因素認(rèn)證的方式也層出不窮，但是這些方法采用的都是非對(duì)稱加解密芯片，這種方法存在著成本很高，運(yùn)算效率低，需要在網(wǎng)上傳輸?shù)膬?nèi)容多，對(duì)遠(yuǎn)端服務(wù)器的壓力大等缺陷。最關(guān)鍵的是，非對(duì)稱加解密算法由于所占資源較高，不可能實(shí)現(xiàn)公私鑰對(duì)每次使用都更新的“一秘一鑰”。這對(duì)于認(rèn)證過程的安全性造成了極大的傷害。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是提供一種基于HASH芯片或加密芯片的雙因素認(rèn)證方法，該方法既能夠確保用戶的合法身份，又能夠確保用戶是通過合法的客戶端獲取服務(wù)。

為解決上述技術(shù)問題，本發(fā)明一種基于HASH芯片或加密芯片的雙因素認(rèn)證方法，包括如下步驟：

(1)客戶端使用的HASH芯片或加密芯片附帶一個(gè)芯片序列號(hào)并寫入一個(gè)隨機(jī)生成的種子；

(2)客戶端申請(qǐng)認(rèn)證時(shí)，向服務(wù)器發(fā)送認(rèn)證請(qǐng)求；

(3)服務(wù)器接到認(rèn)證請(qǐng)求之后，發(fā)送一個(gè)隨機(jī)生成的安全信息串到客戶端；

(4)客戶端使用HASH芯片或加密芯片，對(duì)服務(wù)器發(fā)過來的隨機(jī)生成的安全信息串和芯片內(nèi)置的種子組合后進(jìn)行HASH處理或加密處理，處理結(jié)果為動(dòng)態(tài)驗(yàn)證碼，并將芯片序列號(hào)、動(dòng)態(tài)驗(yàn)證碼與用戶和口令信息發(fā)送到服務(wù)器；

(5)服務(wù)器針對(duì)客戶端發(fā)來的芯片序列號(hào)和動(dòng)態(tài)驗(yàn)證碼作為一個(gè)認(rèn)證因素、用戶和口令信息作為另一個(gè)認(rèn)證因素進(jìn)行雙因素認(rèn)證，確定連接進(jìn)來的是不是合法的客戶端及合法的用戶，并將認(rèn)證結(jié)果返回客戶端。

本發(fā)明的有益效果在于：采用本發(fā)明方法，每一個(gè)客戶端每一次登陸所使用的都是隨機(jī)生成的安全校驗(yàn)信息串，做到了真正的“一秘一鑰”，在整個(gè)過程中，可以只進(jìn)行單項(xiàng)不可逆的HASH運(yùn)算，這在最大程度上保證了安全性的同時(shí)，提高了處理效率和服務(wù)器并發(fā)處理能力，所占用的網(wǎng)絡(luò)帶寬資源也極大的降低了。本方法非常適合于大用戶量、高并發(fā)的，基于互聯(lián)網(wǎng)或移動(dòng)網(wǎng)絡(luò)的分布式設(shè)備或用戶認(rèn)證過程。此外，該方法既能夠確保用戶的合法身份(有效的用戶)，又能夠確保用戶是通過合法的客戶端獲取服務(wù)(確保用戶使用有效的終端)，提高了安全性。

附圖說明

圖1是本發(fā)明基于HASH芯片或加密芯片的雙因素認(rèn)證方法的流程示意圖。

具體實(shí)施方式

本發(fā)明可以使用經(jīng)濟(jì)高效的HASH芯片(采用HASH算法的芯片)或者加密芯片來進(jìn)行雙因素認(rèn)證。HASH，一般翻譯成“散列”，也有直接音譯為“哈希”的，就是把任意長度的輸入(又叫做預(yù)映射，pre-image)，通過散列算法，變換成固定長度的輸出，該輸出就是散列值。本發(fā)明中，首先，客戶端使用的HASH芯片或加密芯片在出廠時(shí)附帶一個(gè)芯片序列號(hào)并寫入一個(gè)隨機(jī)生成的種子；客戶端在申請(qǐng)認(rèn)證的時(shí)候，服務(wù)器接到請(qǐng)求之后，發(fā)送一個(gè)隨機(jī)生成的安全信息串到客戶端，客戶端使用HASH芯片或加密芯片，對(duì)服務(wù)器發(fā)過來的隨機(jī)安全信息串和芯片內(nèi)置的種子組合后進(jìn)行HASH處理或加密處理，處理結(jié)果為動(dòng)態(tài)驗(yàn)證碼，并將芯片序列號(hào)、動(dòng)態(tài)驗(yàn)證碼與用戶和口令信息發(fā)送到服務(wù)器；服務(wù)器針對(duì)芯片序列號(hào)和動(dòng)態(tài)驗(yàn)證，以及用戶和口令信息這兩個(gè)因素直接進(jìn)行驗(yàn)證，最終確定連接進(jìn)來的是不是合法的客戶端及合法的用戶。

如圖1所示，本發(fā)明提供一種基于HASH芯片或加密芯片的雙因素認(rèn)證方法，該方法的客戶端使用的HASH芯片或加密芯片，在出廠時(shí)附帶一個(gè)芯片序列號(hào)并寫入一個(gè)隨機(jī)生成的種子，所述的種子是一個(gè)固定長度的隨機(jī)數(shù)序列；該方法具體包括如下步驟：

1.客戶端申請(qǐng)認(rèn)證，向服務(wù)器發(fā)送認(rèn)證請(qǐng)求，在這個(gè)請(qǐng)求中不包含任何認(rèn)證信息，只是告知服務(wù)器，有一個(gè)客戶端開始認(rèn)證過程了，請(qǐng)求服務(wù)器發(fā)放隨機(jī)安全信息串。

2.服務(wù)器隨機(jī)生成安全信息串，并發(fā)送給客戶端；服務(wù)器在客戶請(qǐng)求認(rèn)證的時(shí)候，自動(dòng)生成一個(gè)隨機(jī)安全信息串，并將其發(fā)送給客戶端，每一個(gè)客戶端，每一次申請(qǐng)的時(shí)候，都可以得到一個(gè)不同的安全信息串。

3.客戶端使用HASH芯片或加密芯片，將服務(wù)器發(fā)送過來的隨機(jī)安全信息串和芯片內(nèi)置的種子組合后進(jìn)行HASH處理或加密處理，處理結(jié)果為動(dòng)態(tài)驗(yàn)證碼。