[发明专利]基于HASH芯片或加密芯片的双因素认证方法

说明书

技术领域

本发明属于计算机应用系统安全领域，尤其涉及一种基于HASH芯片或加密芯片的双因素认证方法。本发明非常适合于大用户量、高并发的，基于互联网或移动网络的分布式设备或用户认证过程。

背景技术

随着互联网的普及，网络上的分布式应用越来越多，而分布式应用的过程中有一个非常主要的步骤，那就是必须要验证远端的应用是否是自己所期望的那个。传统的口令校验安全性上已经无法保证，随着账号或认证的附加价值越来越高，近几年来账号被他人破解或盗用的情况越来越多。现在各种使用硬件加密技术和用户口令进行双因素认证的方式也层出不穷，但是这些方法采用的都是非对称加解密芯片，这种方法存在着成本很高，运算效率低，需要在网上传输的内容多，对远端服务器的压力大等缺陷。最关键的是，非对称加解密算法由于所占资源较高，不可能实现公私钥对每次使用都更新的“一秘一钥”。这对于认证过程的安全性造成了极大的伤害。

发明内容

本发明要解决的技术问题是提供一种基于HASH芯片或加密芯片的双因素认证方法，该方法既能够确保用户的合法身份，又能够确保用户是通过合法的客户端获取服务。

为解决上述技术问题，本发明一种基于HASH芯片或加密芯片的双因素认证方法，包括如下步骤：

(1)客户端使用的HASH芯片或加密芯片附带一个芯片序列号并写入一个随机生成的种子；

(2)客户端申请认证时，向服务器发送认证请求；

(3)服务器接到认证请求之后，发送一个随机生成的安全信息串到客户端；

(4)客户端使用HASH芯片或加密芯片，对服务器发过来的随机生成的安全信息串和芯片内置的种子组合后进行HASH处理或加密处理，处理结果为动态验证码，并将芯片序列号、动态验证码与用户和口令信息发送到服务器；

(5)服务器针对客户端发来的芯片序列号和动态验证码作为一个认证因素、用户和口令信息作为另一个认证因素进行双因素认证，确定连接进来的是不是合法的客户端及合法的用户，并将认证结果返回客户端。

本发明的有益效果在于：采用本发明方法，每一个客户端每一次登陆所使用的都是随机生成的安全校验信息串，做到了真正的“一秘一钥”，在整个过程中，可以只进行单项不可逆的HASH运算，这在最大程度上保证了安全性的同时，提高了处理效率和服务器并发处理能力，所占用的网络带宽资源也极大的降低了。本方法非常适合于大用户量、高并发的，基于互联网或移动网络的分布式设备或用户认证过程。此外，该方法既能够确保用户的合法身份(有效的用户)，又能够确保用户是通过合法的客户端获取服务(确保用户使用有效的终端)，提高了安全性。

附图说明

图1是本发明基于HASH芯片或加密芯片的双因素认证方法的流程示意图。

具体实施方式

本发明可以使用经济高效的HASH芯片(采用HASH算法的芯片)或者加密芯片来进行双因素认证。HASH，一般翻译成“散列”，也有直接音译为“哈希”的，就是把任意长度的输入(又叫做预映射，pre-image)，通过散列算法，变换成固定长度的输出，该输出就是散列值。本发明中，首先，客户端使用的HASH芯片或加密芯片在出厂时附带一个芯片序列号并写入一个随机生成的种子；客户端在申请认证的时候，服务器接到请求之后，发送一个随机生成的安全信息串到客户端，客户端使用HASH芯片或加密芯片，对服务器发过来的随机安全信息串和芯片内置的种子组合后进行HASH处理或加密处理，处理结果为动态验证码，并将芯片序列号、动态验证码与用户和口令信息发送到服务器；服务器针对芯片序列号和动态验证，以及用户和口令信息这两个因素直接进行验证，最终确定连接进来的是不是合法的客户端及合法的用户。

如图1所示，本发明提供一种基于HASH芯片或加密芯片的双因素认证方法，该方法的客户端使用的HASH芯片或加密芯片，在出厂时附带一个芯片序列号并写入一个随机生成的种子，所述的种子是一个固定长度的随机数序列；该方法具体包括如下步骤：

1.客户端申请认证，向服务器发送认证请求，在这个请求中不包含任何认证信息，只是告知服务器，有一个客户端开始认证过程了，请求服务器发放随机安全信息串。

2.服务器随机生成安全信息串，并发送给客户端；服务器在客户请求认证的时候，自动生成一个随机安全信息串，并将其发送给客户端，每一个客户端，每一次申请的时候，都可以得到一个不同的安全信息串。

3.客户端使用HASH芯片或加密芯片，将服务器发送过来的随机安全信息串和芯片内置的种子组合后进行HASH处理或加密处理，处理结果为动态验证码。