[发明专利]一种网络用户身份认证方法

说明书

技术领域

本发明涉及信息技术领域，具体讲涉及互联网、计算机网络身份认证技术。

背景技术

在网络世界里，经常需要对用户进行身份认证。常用的一种方法是：将帐号(有些情况称为用户名)和密码直接通过用户终端输入并传送到服务器，服务器对比预存的帐号和密码，是否相同，决定用户身份的真伪。由于这种认证方法在认证过程中会暴露密码，密码容易被偷窥和盗取，安全性较差。真对安全问题，发明了很多用户认证方法。一类方法是通过复杂的算法对帐号和密码等加密，传送到服务器，在服务器经过解密，再对比预存的帐号和密码。由于算法和加密过程复杂，用户不知道如何计算，需要专用计算装置。为了安全，加密计算也不能在用户端上完成。所以这类方法必需网络之外的设备辅助完成。一类是通过网络之外的途径传递每次认证的信息(密码)。如用手机短信传递密码。由于需要第三方参与，且涉及费用问题，增加了系统运行的复杂性。还有一类是通过网络之外途径，一次设置很多组密码，在认证身份时，随机使用其中一组密码，每组密码只用一次。这多组密码很难记住，所以每次认证都要用记录这组密码的物件。密码组用完，或记录密码组的物件丢失，就要重新申领密码组。虽然上述这些方法大大提高了安全性，但有一个共同的缺点，必需网络之外的设备来协助完成认证，要增加额外的运行费用。

图1是一种认证原理方框图。认证过程是：

①用户根据函数M＝F(x)计算，得到函数值M1。

②通过网络终端和网络将M1和变量因子x传送到服务器。

③服务器根据函数M＝f(x)计算，得到函数值M2。

④M1与M2比较，如果相等，就通过认证。如果不相等，就不通过认证。

这里密秘部分是函数M＝F(x)和M＝f(x)。

在上述图1的认证过程中，第1步在网络之外完成，网络外泄密，不在本文讨论之内。第3步和第4步在服务器内完成。服务器是安全的，一般不考虑认证过程泄密。如果服务器不安全，任何认证都没有意义了。第2步在网络上完成，是容易产生泄密的过程。但这里只有M1和变量因子x出现在第2步中，作为密秘的函数M＝F(x)和M＝f(x)没有出现，所以认证过程不会泄露密秘。所以图1的认证原理，窃取本次认证过程的资料不能直接用于下一次认证。

在图1的认证原理中，当x是时间，就是所谓时间同步一次一密法。

在图1的认证原理中，当x是由认证方提供的随机数，就是所谓挑战/应答一次一密法。

用不同的x，就形成不同认证方法。

现有的认证方法中，一般一个系统使用同一种函数算法，即整个系统F(x)和f(x)算法原理相同。一般一个系统使用同一种变量因子x。

如何设置和使用密秘函数M＝F(x)和M＝f(x)，衍生出多种认证方法。

发明内容

基于图1所示的认证原理，本发明提供了一种网络身份认证方法，如图2。图2从方框图结构上与挑战/应答一次一密法相似，但内容不同。本发明内容：

1.认证过程：

①用户将帐号(或用户名)和固定密码输入用户终端发送到服务器请求登录。

②服务器查找服务器中已有的帐号(或用户名)和固定密码。如果没有这个帐号，或密码不对，返回一个提示信息，并终止登录请求。如果帐号和密码核对无误时，保存用户终端信息，如网址IP、网卡物理地址MAC等。产生随机数R保存。将网址IP、网卡物理地址MAC和随机数R发送到用户终端。

③用户根据函数F(xj)的需要，从用户终端上显示的网址IP、网卡物理地址MAC、随机数Ri选取其值，代入自己掌握的函数式M＝F(xj)，计算得到验证码M1。

④将验证码M1输入到用户终端，连同变量因子信息发送到服务器。

⑤服务器把第一次收到的变量因子的值和第2次收到的相同的变量因子的值比较(应该相等)，不相等认证失败，相等就将变量因子值和验证码M1、代入函数式M＝f(xj)，计算出校对码M2。

⑥比较M1和M2，相同认证通过，不同认证不通过。

2.组成函数M＝F(xj)和M＝f(xj)的规则由认证系统规定并公开。即变量因子、运算因子(算法)、运算规则、数据长度和表达方式由认证系统规定并公开。

3.函数M＝F(xj)和M＝f(xj)可以采用表格形式(或类似表格功能的方式)表达。一个认证系统表示函数M＝F(xj)和M＝f(xj)的表格列和行数是统一的。表格中的一个单元格限于一个字符。至少有一个表示保持单元格原内容不变的字符，如空格符。