[发明专利]基于动态口令和数字证书的双向身份认证方法

说明书

技术领域

本发明涉及计算机技术，特别涉及计算机系统网络安全的技术。

背景技术

随着计算机网络的发展和网络应用的迅速普及，网络安全日益受到人们的重视，网络的安全访问控制越来越重要，网络系统遭受的攻击，大部分是入侵者获得已经存在的通道或伪装身份与用户建立通讯通道的基础上，而身份认证是安全系统中的第一道关卡，身份认证技术解决的是验证网络通讯双方真实身份的问题，目的是为了在通信双方之间建立相互信任的关系，验证用户的真实身份，防止非法用户窃取敏感数据，通过对身份认证技术的理论分析和系统设计等方面的研究，可以增强现有认证系统的安全性、可用性和易管理性，提高系统的效率，为网络安全系统应用提供高效实用的解决方案；基于口令的认证机制因其简单有效、易于使用，在分布式环境下被广泛应用于身份合法性验证，从而决定是否提供资源的使用授权，但是用户在选择口令的时候，一般都是选择便于自己记忆的口令，这样就很容易遭受字典攻击，为此许多研究人员从增加安全性和提高效率这两方面入手，提出了一系列的协议，大致可以分为两类：基于安全hash函数的认证协议以及基于公钥体制的认证协议，前者由于具备开销小、效率高等特点，成为近年来研究的热点。对于计算机单机的应用，用户资源使用访问控制可以实现安全保护，而对于集中分时系统的服务，通过基于用户身份认证，如登录口令等实现资源的安全保护，而在计算机网络广泛应用的时代，更常见的是客户机/服务器分布式应用模型，在这种模型中，要求每个客户机能保证对每个用户身份的识别，每个客户机对服务器身份的识别以及服务器对每个客户机身份的识别。目前在有些对安全性要求较高的系统中，单纯的基于口令的认证方式已无法满足当前复杂网络环境下身份认证的需求，随着技术的发展，又涌现出数字证书、生物识别等新的身份认证技术。目前，具有数字签名的数字证书技术是最成熟、最安全的身份认证解决办法。数字证书具有的保密性、完整性、真实性和不可否认性等特点，使得数字证书身份认证正在被广泛应用，但是，在单纯的基于数字证书的认证中，如果其中一方传递的证书链不是自己的，另一方只对接收到的证书链进行有效期、完整性、签名等验证，往往也可以通过，因此，系统资源授权就存在风险。

发明内容

本发明的目的是克服目前数字证书认证中系统资源授权存在风险的缺点，提供一种基于动态口令和数字证书的双向身份认证方法。

本发明解决其技术问题，采用的技术方案是，基于动态口令和数字证书的双向身份认证方法，其特征在于，包括以下步骤：

a.客户端向服务器发出注册请求，用户在客户端输入用户的身份信息ID_c和口令PW；

b.服务器接收到该注册请求，判断接收到的ID_c是否已经注册过，若是则回到a步骤，并提示客户端重新输入，若不是则进入下一步；

c.客户端产生随机数R_0-1和R₀，并进行如下计算：

X0-1=H(IDc,PW⊕R0-1)]]>

X0=H(IDc,PW⊕R0)]]>

Y₀＝H(ID_c，X₀)