[发明专利]基于手机短信的多因子双向动态身份认证装置和方法

说明书

技术领域

本发明涉及身份认证领域，尤其是一种利用手机短信进行双向多因子身份认证的装置和方法。

背景技术

对于网络信息系统来说，能否识别使用者的身份，是能否确保安全的基础和关键。身份认证是网络安全最重要的第一道防线，是最重要的安全服务，其他的安全服务都要依赖于它。黑客攻击的目标往往就是身份认证系统，一旦身份认证系统被攻破，则系统的所有安全措

施将形同虚设。随着电子商务、电子政务和移动计算技术的发展，身份认证变得越来越重要和复杂。网络信息系统都会要求使用者在使用系统之前，提供一些相关信息用以实现对使用者的身份认证。

身份认证就是证实用户的真实身份与其所声称的身份是否相符，以防止非法用户通过身份欺诈访问系统资源的过程。目前，主要的身份认证方式大致可分为三类：(1)只有该主体知道的秘密，通常使用“用户名+口令”的形式；客户端将上述信息传送到认证中心，认证中心从数据库中查询相应项，如果和用户提供的信息相符则认证通过。 (2)主体拥有的物品，如智能卡或USBKey等物理介质；系统合法用户都持有一个令牌或智能卡，其中产生或存储用户的个人化参数如动态密码、电子证书等。当用户访问资源时，通过物理介质中的数据将认证识别语发送给系统。(3)只有该主体具有的独一无二的特征或能力，如指纹、瞳孔、声音等。认证方根据提取被认证方的某些特征来认证身份，典型的特征如指纹、虹膜，DNA等。

单独采用以上某一种方法进行身份认证称为单因子认证，单因子认证方法具有明显缺陷：

第（1）类中“用户名+口令”的形式其存在着静态性、固定性和长期使用性而容易受容易受到重放、字典、网络窃听、篡改以及猜测等攻击，并且难以记忆。第（2）类中若智能卡或USBKey等物理介质丢失就容易被人冒充，另外某些物理介质需要专用读卡器，使用上不够方便  并付出很高的采购成本和管理成本。第（3）类中生物特征认证由于认证设备价格和技术等因素，仅适用保密程度很高的场合，不容易普及。另外存放生物特征数据库本身并不具有安全保密性，在系统推广到互联网中进行身份认证时很容易被窃取和篡改，而且生物特征的不可撤销性，一旦泄露便造成灾难性的后果。

双因子认证就是在单因子身份认证的基础上，再采用第二种方法进行认证，即用户需要出示第二个身份。双因子认证的方法主要有数字双因子认证、生物双因子认证如指纹认证等。数字双因子认证之一数字证书认证(PKI+USBKEY)被认为目前业界身份安全认证最安全做法，但由于技术要求高，最终客户操作要求高以及USBKEY 的自然损耗大，很难得到大量推广；数字证书具有高安全性，但不方便、技术门槛高、价格贵及客户端的不安全性，同样很难得到大量推广。现有双向双因子认证方法，采用密码信息和认证识别语对用户和服务器进行双向双因子认证，这种认证方法存在着静态性、固定性和长期使用性而容易受到重放、字典、网络窃听、篡改以及猜测等攻击。

发明内容

本发明的目的是提供一种基于手机短信的多因子双向动态身份认证装置。

本发明的另一个目的是提供一种基于手机短信的多因子双向动态身份认证方法，以解决现有双向双因子认证方法存在的容易受到重放、字典、网络窃听、篡改以及猜测等攻击的问题。

一种基于手机短信的多因子双向动态身份认证装置，包括注册用户、认证服务器，所述注册用户通过互联网与认证服务器相连，所述认证服务器与短信猫相连，所述短信猫通过移动网络与手机终端相连，所述手机终端与所述注册用户相连。

一种基于手机短信的多因子双向动态身份认证方法，其特征在于包括如下步骤：

A、注册用户通过互联网提交账号信息到认证服务器；

B、认证服务器对注册用户提交的账号信息验证是否成功；

C、认证服务器对注册用户第一次认证成功则在认证服务器上的随机数生成系统产生一次性动态验证码；

D、认证服务器自动将动态验证码和认证识别语通过短信平台、短信猫、移动网络发送至手机终端；

E、注册用户验证手机终端接收到的认证识别语是否成功；

F、注册用户对认证服务器的认证成功则向认证服务器提交手机终端接收到的动态验证码；

G、认证服务器对动态验证码验证是否成功；

H、注册用户对认证服务器和认证服务器对注册用户都认证成功时，则双向认证成功，认证结束。