本發(fā)明提供了一種基于動態(tài)口令的一對多身份認證系統(tǒng)和方法。該系統(tǒng)包括：主體、多個客體和認證服務(wù)器；主體管理多個客體，當(dāng)需要認證某個客體時，根據(jù)主體密鑰和某個客體的客體唯一標(biāo)識符使用動態(tài)口令生成算法生成某個客體對應(yīng)的動態(tài)口令，將動態(tài)口令傳輸給某個客體；某個客體將自己的客體唯一標(biāo)識符和主體傳輸過來的動態(tài)口令傳輸給認證服務(wù)器；認證服務(wù)器根據(jù)主體密鑰和客體唯一標(biāo)識符使用相同的動態(tài)口令生成算法生成客體對應(yīng)的動態(tài)口令，當(dāng)生成的動態(tài)口令和客體傳輸過來的動態(tài)口令一致時，則確認某個客體的身份認證成功。本發(fā)明解決了“一對多”口令認證場景下的安全性和易用性問題，提供了一種安全、易用的基于口令的身份認證方法。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種基于動態(tài)口令的一對多身份認證系統(tǒng)和方法。

背景技術(shù)

在網(wǎng)絡(luò)系統(tǒng)的訪問過程中，通常會使用口令作為使用者身份鑒別的憑證?；诳诹畹纳矸菡J證可以分為基于靜態(tài)口令的身份認證和基于動態(tài)口令的身份認證兩種類型。由于靜態(tài)口令具有固定性和易猜解性，因此在較高安全需求的場景下，基于靜態(tài)口令的認證方式不適用。為滿足較高安全需求，人們提出并使用動態(tài)口令對系統(tǒng)使用者進行身份鑒別，確認系統(tǒng)使用者身份的合法性。動態(tài)口令具有不可預(yù)測性、使用方便等優(yōu)點，可以有效滿足單次訪問系統(tǒng)時的身份認證安全要求。

但目前的動態(tài)口令認證系統(tǒng)針對的是一個主體擁有一個客體的認證場景，即“一對一”認證場景。典型的“一對多”場景包括機房管理中的主機管理、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的管理等。使用現(xiàn)有動態(tài)口令認證系統(tǒng)在一個主體擁有多個客體，即“一對多”場景下進行認證時，如為一個主體分配一塊令牌，則對不同客體進行認證使用口令是相同的，會導(dǎo)致安全性下降；否則，須為主體分配多塊令牌，使每一個令牌對應(yīng)一個客體。這種情況下，易用性大大降低，同時提高了使用成本。現(xiàn)有動態(tài)口令認證系統(tǒng)無法滿足上述“一對多”認證場景。

發(fā)明內(nèi)容

本發(fā)明目的是解決一個主體管理多個客體場景下基于口令的身份認證問題，以克服現(xiàn)有技術(shù)在安全性和易用性方面存在的不足。

為了實現(xiàn)上述目的，本發(fā)明提供了一種基于動態(tài)口令的一對多身份認證系統(tǒng)和方法，采用了如下技術(shù)方案。

一種基于動態(tài)口令的一對多身份認證系統(tǒng)，包括：主體、多個客體和認證服務(wù)器；

主體，用于管理多個客體，當(dāng)需要認證某個客體時，根據(jù)主體密鑰和所述某個客體的客體唯一標(biāo)識符使用動態(tài)口令生成算法生成所述某個客體對應(yīng)的動態(tài)口令，將所述動態(tài)口令傳輸給所述某個客體；

某個客體，用于將自己的客體唯一標(biāo)識符和所述主體傳輸過來的動態(tài)口令傳輸給所述認證服務(wù)器；

認證服務(wù)器，用于根據(jù)主體密鑰和客體唯一標(biāo)識符使用相同的動態(tài)口令生成算法生成客體對應(yīng)的動態(tài)口令，當(dāng)生成的動態(tài)口令和所述客體傳輸過來的動態(tài)口令一致時，則確認所述某個客體的身份認證成功。

優(yōu)選地，主體包括：口令生成器、令牌和安全存儲模塊；

安全存儲模塊，用于存儲主體密鑰和安全策略；

口令生成器，是主體所有的運行在智能設(shè)備上的應(yīng)用程序，包括用于生成動態(tài)口令的令牌，令牌在獲取客體唯一標(biāo)識符后，使用安全存儲模塊中存儲的主體密鑰、客體唯一標(biāo)識符和變動因子作為參數(shù)，通過動態(tài)口令生成算法生成所述某個客體對應(yīng)的動態(tài)口令中間值，將所述動態(tài)口令中間值根據(jù)所述安全存儲模塊中存儲的安全策略做映射，映射成滿足安全要求的中口令長度和口令復(fù)雜度的所述某個客體對應(yīng)的動態(tài)口令。

優(yōu)選地，認證服務(wù)器包括：認證系統(tǒng)管理模塊、動態(tài)口令生成模塊和身份驗證模塊；

認證系統(tǒng)管理模塊，用于管理認證過程中涉及的主體基本信息、客體基本信息、令牌相關(guān)信息和日志信息，生成用于標(biāo)識客體的唯一標(biāo)識符，管理主體身份標(biāo)識和客體的唯一標(biāo)識符之間的對應(yīng)關(guān)系，為每個主體分配令牌，對主體中的口令生成器進行初始化，將主體管理的客體的唯一標(biāo)識符在令牌初始化階段傳輸?shù)街黧w的口令生成器中；