技術領域

本發明涉及一種身份認證方法，尤其是一種基于動態密碼的身份認證方法及認證服務器。

背景技術

計算機網絡世界中的一切信息包括用戶的身份信息都是用一組特定的數據來表示的，計算機只能識別用戶的數字身份，所有對用戶的授權也是針對用戶數字身份的授權。身份認證即是在計算機網絡中確認操作者身份的過程。身份認證也是服務供應商針對不同人員提供不同服務的首要步驟，用戶只有通過了身份認證才能獲得相應的服務。

現有的身份認證方法主要包括：部分密碼認證方法、基于硬件（譬如動態口令牌）的動態密碼認證方法、普通的密碼輸入登錄認證方法。下面逐一介紹上述認證方法的特點：

1、部分密碼認證方法：是指用戶在登錄的時候不需要輸入完整的密碼，只需要輸入與身份認證服務器協商好的部分密碼值完成身份認證。利用輸入部分密碼的方式，隱藏了原始持久性密碼的信息，在一定程度上防止鍵盤記錄攻擊。雖然這種方法在每次登錄時只需要用戶輸入部分密碼，但是由于密碼長度有限(其中原因有二：第一是登錄系統的設計限制，第二是用戶為了方便記憶)，因此用戶的密碼在多次的輸入后很容易被攻擊者分析得到；而且每次登錄的密碼輸入信息都只是部分的不完整信息，那么用戶提交的“登錄密碼信息”長度會很短，理論上認證系統也很容易遭受到攻擊。

2、基于硬件(譬如動態口令牌)的動態密碼認證方法：利用硬件動態生成隨機碼，客戶在登錄或者交易認證時候輸入此動態密碼，將其作為身份認證信息的一部分進行登錄認證。這種認證方法利用了硬件的安全性和離線的動態性，在一定程度上保證了每次登錄的一次性；增強了用戶進行身份認證的安全性。它利用了what?you?have方法。基于硬件(譬如動態口令牌)的動態密碼認證方法：首先，其成本高：由于這種動態密碼的生成是基于硬件的，因此在與服務器同步性方面、硬件自身保護方面等都增加了整個認證系統的難度，而且硬件的定制也需要相應的費用，無形中增加了整個系統構建的費用；第二，靈活性差：這種硬件設備在用戶使用和攜帶的過程中帶來很大的不便，一旦設備丟失，用戶則登錄不了相應的系統，盡管可以通過后期的手續進行補救，但是時效性很差。

3、普通的密碼輸入登錄認證方法：用戶直接使用持久性賬號及密碼等身份信息以進行身份認證。實際上，由于許多用戶為了防止忘記密碼，經常采用諸如生日、電話號碼等容易被猜測的字符串作為密碼，或者把密碼抄在紙上放在一個自認為安全的地方，這樣很容易造成密碼泄漏。如果密碼是靜態的數據，在驗證過程中需要在計算機內存中和傳輸過程可能會被木馬程序或在網絡中截獲。雖然靜態密碼機制無論是使用還是部署都非常簡單，但從安全性上講，用戶名/密碼方式一種是不安全的身份認證方式。它利用了what?you?know的方法。該方法有幾個特點：

登錄密碼的固定性：用戶登錄的密碼是永久或長期的，在多次使用的過程中很容易被其他人竊取。

用于登錄的身份信息具有完整性：因此，一旦密碼被竊取，則攻擊者就可以獲取完整的訪問權。

針對普通的密碼輸入登錄認證方法，常見的竊取方式有：

鍵盤記錄攻擊：攻擊者通過在目標計算機上注入惡意軟件，對用戶的所有的鍵盤操作進行記錄和跟蹤，最終獲取用戶的賬號和密鑰(即密碼)。

賬號密碼信息文件竊取：多數應用系統（尤其是web上的系統）會提供自動登錄的功能，那么這必然會將用戶的信息保存到本地，而攻擊者通過一定的惡意手段很容易就獲取到用戶的賬號密碼信息文件。

因此，普通的密碼輸入登錄認證方法由于需要輸入完整的持久性身份信息，容易導致持久性身份信息被竊取；部分密碼認證方法也由于密碼信息長度有限，存在容易被破解的風險；而基于硬件(譬如動態口令牌)的動態密碼認證方法則提高了身份認證系統的構造成本，并且在后期補救手續上的時效性很差，亦給用戶帶來了極大不便。

發明內容

本發明要解決的技術問題是：提供一種使用方便、成本低廉、安全性能高的基于動態密碼的身份認證方法。

本發明要解決的另一技術問題是：提供一種用于用戶身份認證的認證服務器，該認證服務器可有效保障用戶身份驗證時持久性身份信息的安全。

為了解決上述技術問題，本發明所采用的技術方案是：

一種基于動態密碼的身份認證方法，該方法包括：

A：認證服務器向客戶端發送用于身份認證的挑戰信息；

B：客戶端接收來自認證服務器的挑戰信息并在登錄界面上顯示該挑戰信息；

C：客戶端接收用戶輸入的相應的身份認證信息；