[发明专利]基于多变量的动态密码口令双向认证的身份识别方法技术

说明书

技术领域

本发明涉及信息安全领域中的身份识别认证技术，特别涉及基于一次一密方 式的动态口令密码的技术领域和基于B/S和C/S构架下的网络系统中进行双向认 证的技术领域。

背景技术

身份认证是保证系统安全稳定运行不可缺少、至关重要的一步。用户在访问 应用系统时，应该首先通过某种身份验证机制来验证用户的身份与所宣称的是否 一致。目前常用的身份认证技术有静态口令认证和动态口令认证。

静态口令认证方式采用“用户帐号+静态口令＝某人身份”的认证方式，口令 由用户自行设定。登录应用系统时同时输入用户帐号和口令，如果与后台系统预 留的相同即认为是合法授权用户，反之则为非法用户。采用静态口令确认用户身 份的方式因为简单易行，一直在很多领域广泛使用。但这种认证方式的缺点在于 用户的帐号固定不变，口令也是经常不变，随着使用次数的增加，口令泄露的可 能性越来越大。特别是互联网上的应用系统，由于网络技术自身的缺陷和操作系 统的安全漏洞，造成间谍软件和木马程序等泛滥成灾，用户的帐号和口令更容易 被窃取，给合法用户造成损失，严重影响了互联网应用系统的安全。

动态口令认证是提高口令安全强度的一种有效手段。令牌(动态口令发生器) 和认证系统共享一定的秘密信息和相同的口令算法，用户将令牌产生的动态口令 提交给认证系统进行判定，如果认证系统产生的动态口令与用户提交的一致，则 系统认为是合法用户，反之则认为是非法用户，从而达到身份认证的目的。动态 口令是不断变化的，从前面使用过的口令不能推测出后面将要使用的口令，且口 令使用后就立刻作废，即使被他人看到或窃取到也不能再次使用，从而确保了用 户帐号的安全。

正所谓“道高一尺，魔高一丈”，攻击者不能破解动态口令系统，又不能重 用从用户那里偷来的动态口令，于是就出现了“骗”用户口令的攻击方法------ “网络钓鱼”(Phishing)。

网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮 件，意图引诱收信人给出敏感信息(如用户名、口令、帐号ID、ATMPIN码 或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一 个通过精心设计与目标组织的网站非常相似的钓鱼网站上，诱骗用户输入信用卡 号码、口令、帐号等身份相关信息。这些个人信息对黑客们具有非常大的吸引力， 因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利 益。受害者经常遭受显著的经济损失或全部个人信息被窃取并用于犯罪的目的。

网络钓鱼除了发送欺骗性垃圾邮件这种攻击方式外，还存在跨站攻击、DNS 中毒攻击、网络流量进行重定向攻击(pharming)等形式。这些攻击都是通 过利用网络技术的缺陷或浏览器软件本身的技术漏洞，让用户仅从页面本身看不 出谁真谁假。由于很多电子商务或在线银行应用的复杂性，他们的网站经常使用 HTML框架结构或其他复杂的页面结构架设，这也可能使得一个终端用户很难 判断一个特定的网页是否合法。欺骗者通过使用多种技术的组合，可以隐藏一个 精心设计的网页的真实来源，也使得一个无戒备心的用户很可能被引诱去访问钓 鱼者的假冒网站，不知不觉地泄漏他们的认证口令信息和所需要的数字身份信 息，从而成为一次成功的网络钓鱼攻击的又一个受害者。

木马病毒技术也在不断地发展之中。曾经轰动一时的、由潘祖继编写的“密 宝终结者”木马就是其中的典型代表。该木马能有效突破“盛大密宝”(一种动 态口令令牌)的动态口令保护机制，窃取由“密宝”保护的网络游戏账号和密码。 其攻击原理是：木马程序在截取到用户的动态口令后会向服务器发送一个错误的 数据封包，使服务器误以为这是用户输入的口令有错误。因而黑客可以得到一个 有效的用户账号和密码。这说明在强大的利益诱惑面前，攻击者的手段层出不穷， 简单地使用动态口令并不能完全使用户的帐号更安全，迫切需要一种更安全的认 证方法来抵御“网络钓鱼”和木马窃取等攻击手段。