[发明专利]一套新型动态密码认证和实名上网的方法

说明书

【所属技术领域】

一种基于数字证书和USBkey的动态密码服务和实名上网方法，具体包括密码管理中心、客户端软件、 USBkey、数字证书。

【技术背景】

口令密码技术是目前互联网应用进行用户认证的普遍技术，但是传统的静态口令密码技术安全强度较 低，不能适应当前互联网应用愈发突出的安全性要求；当前的上网接入方式就是普遍采用静态口令密码方 式。

现有的一种动态密码技术，就是在客户端和服务器端基于共同的算法、共同的参数进行同步运算，将 当次运算的结果作为当次认证密码，客户端需要配备专门的硬件。这种技术存在三个明显缺陷：由于需要 配备专门客户端硬件，单项成本过高；从技术上仍然存在客户端和对应认证系统端密码不同步的可能性； 对于已有应用系统，要求对应的认证系统进行改造，并增加服务器认证运算负载。

与上述方法不同的是，本发明通过独立的密码管理中心，利用数字证书和USBkey的安全特性而形成 的一套新型动态密码方法。USBkey是指集成了安全芯片的各类终端设备，包括Uebkey以及key盘、安全 智能卡等，终端中的安全芯片集成了各种对称和非对成密码算法，能安全保存各种密码和数据。该方法彻 底解决了前一种动态密码认证技术的缺陷：实现动态密码认证只是利用USBkey现有功能，不需要新增硬 件成本；本发明引入了独立密码管理中心，通过该中心的事务逻辑控制客户端和服务器端的动态密码同步 更新，彻底解决客户端和服务器端密码失步问题；对于已有应用认证系统，本发明不要求进行改造，并且 不增加认证系统认证运算量；还有，由于USBkey支持数字证书密码运算及其私钥的安全存放，有效保证 了动态密码可以安全分发到每个用户USBkey，并安全保存。将本方法应用到上网接入认证，即可利用数 字证书实现用户实名制上网，并提高现有帐号/口令模式的安全性。

本发明兼有实名、安全、经济、可靠的特点。

【发明目的】

本发明的目的有两个：

1.提供一套实名、安全、经济、可靠的动态密码认证方法。

2.提供一套实名、安全、经济、可靠的上网认证方法。

【发明内容】

一套基于数字证书和USBkey实现动态密码认证和实名上网的方法，由密码管理中心、客户端软件、 USBkey、数字证书组成。具体包括四个方法：

1.基于数字证书的动态密码方法。

密码管理中心接受来自用户或者对应认证系统的动态密码申请，产生动态密码，通过数字证 书技术将动态密码安全分发到客户端；通过安全的传输通道将相同的动态密码发送给对应的认证 系统；并通过事务机制保证用户端和对应认证系统端的动态密码同步更新，实现用户认证系统对 客户端的动态密码认证，从而提供动态密码服务。

为了减少本方法对传统认证模式的影响，提高本方法的健壮性，可以补充异常处理方法：在 动态密码更新后，在客户端和对应的认证系统端同时继续安全保存上一次认证成功过的密码，一 旦用户用更新后的动态密码认证失败，客户端和服务器端可以自动适配上一次成功认证过的密码 进行认证，这样可以屏蔽因为密码管理中心或者其他故障影响用户认证，该异常处理方法的一个 关键是要安全保存上一次认证成功过的密码。

这种方法可以适用于各类互联网应用，前提是用户必须保证其证书私钥的安全性。

2.基于数字证书和USBkey的动态密码方法。

在方法1的基础上，增加USBkey安全保存数字证书和私钥，以及上一次认证成功过的密码， 并通过增强的安全接口访问，可以进一步提高方法1的安全性，适应于更高安全需要的应用。

3.基于数字证书的实名安全上网方法。

在方法1的基础上，结合上网接入认证的特殊性，可以提供实名安全上网方法。，上网接入 认证的特殊性在于：用户上网接入认证通过之前，用户还不具备上网能力，无法访问密码管理中 心请求动态密码，因此用户开户的时候必须获得一个与对应的认证系统一致的帐号和密码，用户 首次拨号上网的时候以该帐号和密码拨号，认证通过后即通过方法1完成用户端和对应认证系统 端的动态密码同步更新，并安全保存到指定位置，下次拨号的时候，拨号客户端软件通过安全访 问接口自动获取更新后的帐号和口令，按照标准的拨号协议完成拨号认证。

4.基于数字证书和USBkey的实名安全上网方法。