專利名稱:網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證系統(tǒng)���、方法和移動(dòng)通信終端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)應(yīng)用技術(shù),特別涉及一種網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證技術(shù)��。
背景技術(shù):
在信息化網(wǎng)絡(luò)高度發(fā)達(dá)的時(shí)代��,移動(dòng)電子商務(wù)類業(yè)務(wù)領(lǐng)域也正在越來越多 地被大家所關(guān)注和使用。當(dāng)前大多數(shù)電子商務(wù)應(yīng)用、電子銀行系統(tǒng)都采用傳統(tǒng) 的賬號加用戶密碼的形式進(jìn)行用戶身份驗(yàn)證�,這種方式中的口令有可能因?yàn)檩?入環(huán)境不隱秘�、和用戶的特征信息相關(guān)等原因被盜��,存在安全隱患�。
目前解決用戶密碼安全問題的方案包括以下三種
一���、 USBkey硬件身份數(shù)字證書方案
這種方案目前被企業(yè)普遍采用�����,USB Key是一種USB接口的硬件設(shè)備�����, 采用軟硬件相結(jié)合的強(qiáng)雙因子認(rèn)證模式��,內(nèi)置單片機(jī)或智能卡芯片����,可以存儲(chǔ) 用戶的口令或數(shù)字證書�����,利用USB Key內(nèi)置的口令學(xué)算法實(shí)現(xiàn)對用戶身份的 驗(yàn)證���。但是USBKey只能在有USB插口的設(shè)備上使用�,限制了使用范圍。另 外由于必須連接電腦���,在已經(jīng)出現(xiàn)相應(yīng)的木馬病毒的情況下�,仍然存在USB Key 口令或i正書凈皮盜的安全隱患�����。
二����、 動(dòng)態(tài)口令令牌(One-time Password Token)
該技術(shù)是指用戶的口令按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化�����,每個(gè)口令只使 用一次����。這個(gè)技術(shù)是當(dāng)前安全身份驗(yàn)證的常用解決方案。
現(xiàn)有的動(dòng)態(tài)口令令牌技術(shù)使用內(nèi)置電源����、高精度時(shí)鐘����、口令生成芯片和顯 示屏的專用硬件�����,口令生成芯片運(yùn)行專門的口令生成算法���,根據(jù)當(dāng)前時(shí)間或使 用次數(shù)生成當(dāng)前電子口令并顯示在顯示屏上�。驗(yàn)證服務(wù)器采用相同的算法計(jì)算 當(dāng)前的有效口令����。由于每次使用的電子口令必須由動(dòng)態(tài)口令令牌來產(chǎn)生,只有合法用戶才持有該令牌硬件�����,所以只要?jiǎng)討B(tài)口令驗(yàn)證通過���,系統(tǒng)就可以認(rèn)為該 用戶的身份是可靠的�����。這類動(dòng)態(tài)口令令牌的技術(shù)和方法的缺點(diǎn)在于�,大多數(shù)需 要和時(shí)間精確相關(guān),因此需要高精度時(shí)鐘的專用硬件���,導(dǎo)致硬件成本高�,專用 硬件令牌也攜帶不便�����,通用性不好��。 三��、移動(dòng)通信終端短信驗(yàn)證技術(shù)
移動(dòng)通信終端短信驗(yàn)證技術(shù)在每次交易前���,由系統(tǒng)將動(dòng)態(tài)-驗(yàn)證碼以短信的 形式發(fā)給用戶��,從而實(shí)現(xiàn)動(dòng)態(tài)口令的功能。這種方式比動(dòng)態(tài)口令令牌方式要安 全一些��,但秘密的動(dòng)態(tài)口令信息需要在不保密移動(dòng)通信網(wǎng)絡(luò)里明文傳送�����,而且 發(fā)送短信需要一定的成本��,另外,短信方式存在可能的延遲問題��。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供一種網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證系統(tǒng)�、方法和移動(dòng)通信終 端,用于提高網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證的通用性���。
一種網(wǎng)絡(luò)應(yīng)用用戶身份-瞼證系統(tǒng)����,包括
密鑰及用戶管理子系統(tǒng)����,用于生成并保存用戶使用網(wǎng)絡(luò)應(yīng)用的身份數(shù)字證 書;在接收到包含身份數(shù)字證書的驗(yàn)證請求時(shí)�,生成并輸出隨機(jī)信息,以及利 用設(shè)定算法生成在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn)證口令信息并輸出����,所述用戶驗(yàn)證 口令信息的計(jì)算參數(shù)包括驗(yàn)證請求中包含的身份數(shù)字證書和根據(jù)該驗(yàn)證請求 生成的隨枳/f言息;
移動(dòng)通信終端���,用于從密鑰及用戶管理子系統(tǒng)獲得用戶的身份數(shù)字證書���, 并在用戶進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí)�,將該身份數(shù)字證書輸出給網(wǎng)絡(luò)應(yīng)用及驗(yàn) 證子系統(tǒng)����;接收用戶輸入的隨機(jī)信息,利用所述設(shè)定算法生成用戶鑒權(quán)口令��, 所述用戶鑒權(quán)口令的計(jì)算參數(shù)包括用戶輸入的隨機(jī)信息和保存的身份數(shù)字證 書����;
網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng),用于在用戶請求進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí)�,從 移動(dòng)通信終端獲得身份數(shù)字證書,生成所述驗(yàn)證請求并發(fā)送給密鑰及用戶管理子系統(tǒng)���;接收所述密鑰及用戶管理子系統(tǒng)輸出的隨機(jī)信息�����,接收用戶輸入的用 戶鑒權(quán)口令���,接收所述密鑰及用戶管理子系統(tǒng)輸出的用戶驗(yàn)證口令信息�����,以及 根據(jù)所述鑒權(quán)口令和用戶驗(yàn)證口令信息獲得驗(yàn)證結(jié)果。 較佳的�,所述網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)具體包括
網(wǎng)絡(luò)服務(wù)器,用于提供網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)的交互界面并在用戶通過該 交互界面請求進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí)�,與所述移動(dòng)通信終端建立通信連接 并通過所述通信連接從移動(dòng)通信終端獲得身份數(shù)字證書,生成所述驗(yàn)證請求并 轉(zhuǎn)發(fā)�����;接收所述隨機(jī)信息并通過應(yīng)用及驗(yàn)證子系統(tǒng)的交互界面顯示給用戶����,接 收用戶通過應(yīng)用及驗(yàn)證子系統(tǒng)的交互界面輸入的用戶鑒權(quán)口令并轉(zhuǎn)發(fā),以及接 收驗(yàn)證結(jié)果�;
動(dòng)態(tài)口令驗(yàn)證服務(wù)器,用于接收所述網(wǎng)絡(luò)服務(wù)器輸出的驗(yàn)證請求并轉(zhuǎn)發(fā)給 密鑰及用戶管理子系統(tǒng)���,接收所述密鑰及用戶管理子系統(tǒng)輸出的隨機(jī)信息并轉(zhuǎn) 發(fā)給網(wǎng)絡(luò)服務(wù)器��;接收所述網(wǎng)絡(luò)服務(wù)器轉(zhuǎn)發(fā)的鑒權(quán)口令和密鑰及用戶管理子系 統(tǒng)輸出的驗(yàn)證口令�,以及根據(jù)所述鑒權(quán)口令和用戶驗(yàn)證口令信息獲得驗(yàn)證結(jié) 果����,并將所述驗(yàn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)器。
進(jìn)一步所述密鑰及用戶管理子系統(tǒng)還用于接收用戶通過密鑰及用戶管理 子系統(tǒng)交互界面輸入的用戶密碼并對應(yīng)用戶的身份數(shù)字證書進(jìn)行保存;并且在 利用所述設(shè)定算法生成在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn)證口令信息時(shí)���,所述用戶驗(yàn) 證口令信息的計(jì)算參數(shù)還包括用戶輸入的用戶密碼��;以及所述移動(dòng)通信終端還 用于接收用戶通過移動(dòng)通信終端交互界面輸入的用戶密碼���,并且在利用所述設(shè) 定算法生成用戶鑒權(quán)口令時(shí),所述用戶鑒權(quán)口令的計(jì)算參數(shù)還包括用戶輸入的 用戶密碼�。
更進(jìn)一步所述密鑰及用戶管理子系統(tǒng)還用于根據(jù)設(shè)定規(guī)則維護(hù)標(biāo)識用戶 驗(yàn)證次數(shù)累計(jì)值的第一序列號,并且在利用所述設(shè)定算法生成在設(shè)定時(shí)長內(nèi)有 效的用戶驗(yàn)證口令信息時(shí)����,所述用戶驗(yàn)證口令信息的計(jì)算參數(shù)還包括所述第 一序列號;以及所述移動(dòng)通信終端還用于根據(jù)設(shè)定MJ'j維護(hù)標(biāo)識用戶請求驗(yàn)證次數(shù)累計(jì)值的第二序列號����,并且在利用所述設(shè)定算法生成用戶鑒權(quán)口令時(shí),所
述用戶鑒權(quán)口令的計(jì)算參數(shù)還包括所述第二序列號���。
以及����,所述密鑰及用戶管理子系統(tǒng)利用所述設(shè)定算法生成的在設(shè)定時(shí)長內(nèi) 有效的用戶驗(yàn)證口令信息包括利用包括所述第一序列號當(dāng)前值的設(shè)定個(gè)數(shù)個(gè) 第一序列號值中的每一個(gè)����,分別對應(yīng)生成的一組用戶-驗(yàn)證口令;以及所述動(dòng)態(tài) 口令驗(yàn)證服務(wù)器根據(jù)所述鑒權(quán)口令和用戶驗(yàn)證口令信息���,當(dāng)用戶鑒權(quán)口令和一 組用戶驗(yàn)證口令中的任一個(gè)一致時(shí)��,獲得驗(yàn)證通過的結(jié)果��,反之獲得驗(yàn)證失敗 的結(jié)果�。
所述移動(dòng)通信終端與網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)通過建立通信連接傳輸用戶 的身份數(shù)字證書����,所述建立通信連接具體包括 通過USB接口建立的有線連接;或者 通過藍(lán)牙建立的無線連接�����;或者 通過紅外線仿真串口建立的無線連接���。 一種網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證方法��,包括
移動(dòng)通信終端在用戶進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí)���,向網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系 統(tǒng)輸出從密鑰及用戶管理子系統(tǒng)獲得的用戶的身份數(shù)字證書;
網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)在接收到用戶的身份數(shù)字證書時(shí),生成包含身份數(shù) 字證書的驗(yàn)證請求并發(fā)送給密鑰及用戶管理子系統(tǒng)�;
密鑰及用戶管理子系統(tǒng)根據(jù)接收的驗(yàn)證請求,生成隨機(jī)信息并利用設(shè)定算 法生成在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn)證口令信息�,以及將所述隨機(jī)信息和用戶驗(yàn) 證口令信息輸出給網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng),所述用戶驗(yàn)證口令信息的計(jì)算參數(shù) 包括驗(yàn)證請求中包含的身份數(shù)字證書和根據(jù)該驗(yàn)證請求生成的隨機(jī)信息��;
網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)接收密鑰及用戶管理子系統(tǒng)輸出的隨機(jī)信息和用 戶驗(yàn)證口令信息�,接收用戶輸入的用戶鑒權(quán)口令,所述用戶鑒權(quán)口令為移動(dòng)適 信終端根據(jù)用戶輸入的隨機(jī)信息時(shí)利用所述設(shè)定算法生成并顯示給用戶���,所述 用戶鑒權(quán)口令的計(jì)算參數(shù)包括用戶輸入的隨機(jī)信息和保存的身份數(shù)字證書�;網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)根據(jù)所述鑒權(quán)口令和在i殳定時(shí)長內(nèi)有效的用戶 一瞼 證口令信息��,對用戶身份進(jìn)行驗(yàn)證�����。 一種移動(dòng)通信終端�,包括 用于獲得用戶的身份數(shù)字證書的單元;
用于在用戶進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí)��,與網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)建立通
信連接并通過通信連接輸出該身份數(shù)字證書的單元���;
用于接收用戶通過移動(dòng)通信終端交互界面輸入的隨機(jī)信息的單元����; 用于利用設(shè)定算法生成用戶鑒權(quán)口令并由移動(dòng)通信終端交互界面進(jìn)行顯
示的單元,所述用戶鑒權(quán)口令的計(jì)算參數(shù)包括用戶輸入的隨機(jī)信息和保存的身
份數(shù)字證書����。
本發(fā)明實(shí)施例中����,通過移動(dòng)通信終端設(shè)備這個(gè)被越來越多人隨身攜帶的設(shè) 備存儲(chǔ)身份數(shù)字證書,提供驗(yàn)證工作時(shí)無需動(dòng)態(tài)連互聯(lián)網(wǎng)和高精度時(shí)鐘的通用 媒介����,實(shí)現(xiàn)電子證書動(dòng)態(tài)口令驗(yàn)證技術(shù),從而以低成本來大幅提高了網(wǎng)絡(luò)應(yīng)用 驗(yàn)證機(jī)制的通用性和便攜性�。
圖1為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證系統(tǒng)的實(shí)現(xiàn)原理示意
圖2為本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證系統(tǒng)的一種具體網(wǎng)絡(luò)架 構(gòu)示意圖3為本發(fā)明實(shí)施例提供的用戶身份驗(yàn)證方法中,網(wǎng)絡(luò)應(yīng)用用戶的開戶流 程示意圖4為本發(fā)明實(shí)施例提供的用戶身份驗(yàn)證方法中���,網(wǎng)絡(luò)應(yīng)用用戶將身份數(shù) 字證書下載到移動(dòng)通信終端上的流程示意圖5為本發(fā)明實(shí)施例提供用戶身份驗(yàn)證方法中�,激活移動(dòng)通信終端上身份 數(shù)字證書的流程示意圖����;圖6為本發(fā)明實(shí)施例提供的使用身份數(shù)字證書進(jìn)行身份驗(yàn)證的流程示意圖。
具體實(shí)施例方式
尸X/ (7^W/ci^;;/w/raWn/"MW 即公開密鑰體系�����,是一種遵循既定標(biāo)準(zhǔn)的 密鑰管理平臺(tái),能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需 的密鑰和證書管理體系�,簡單來說,尸X/就是利用公鑰理論和技術(shù)建立的提供 安全服務(wù)的基礎(chǔ)設(shè)施���。尸X/技術(shù)是信息安全技術(shù)的核心�,也是電子商務(wù)的關(guān)鍵 和基礎(chǔ)技術(shù)��。在尸X/系統(tǒng)中����,C4 fCeW訴cafe^^/zw7Xv,認(rèn)證中心是具有權(quán)威 的認(rèn)證管理機(jī)構(gòu)�����,可以向用戶簽發(fā)唯一身份標(biāo)識的數(shù)字證書���,并和網(wǎng)絡(luò)應(yīng)用提 供商的設(shè)備一起提供數(shù)字證書驗(yàn)證機(jī)制�。
如圖l所示���,本發(fā)明實(shí)施例基于尸X/機(jī)制的動(dòng)態(tài)口令技術(shù)��,提供一種實(shí)現(xiàn) 用戶身份驗(yàn)證的驗(yàn)證系統(tǒng)��,利用具有權(quán)威機(jī)構(gòu)的C4所頒發(fā)的身份數(shù)字證書���, 對網(wǎng)絡(luò)應(yīng)用的用戶身份實(shí)現(xiàn)合法性^i正����,該驗(yàn)證系統(tǒng)主要包括移動(dòng)通信終端 12��、網(wǎng)絡(luò)服務(wù)器13���、動(dòng)態(tài)口令驗(yàn)證服務(wù)器14和密鑰及用戶管理子系統(tǒng)11,其 中
密鑰及用戶管理子系統(tǒng)11,作為PKI系統(tǒng)中C4的i殳備,用于對身份數(shù)字 證書的頒發(fā)�、管理工作,以及和移動(dòng)通信終端12�、應(yīng)用管理服務(wù)器,以及動(dòng)態(tài) 口令驗(yàn)證服務(wù)器14 一起完成用戶身份的驗(yàn)證��;身份數(shù)字證書實(shí)際上是保存在 密鑰及用戶管理子系統(tǒng)11上的用戶相關(guān)信息記錄��,也可以看作由C4簽發(fā)的一 個(gè)聲明���,證明證書主體(證書申請者擁有了身份數(shù)字證書后即成為證書主體) 與證書中所包含的公鑰的惟一對應(yīng)關(guān)系�。身份數(shù)字證書包括證書申請者的名稱 及相關(guān)信息、申請者的公鑰�、簽發(fā)證書的C4的數(shù)字簽名及證書的有效期等內(nèi) 容。如果用戶需要更新身份數(shù)字證書��,可以重新到C4辦理手續(xù)���。
移動(dòng)通信終端12���,用于從密鑰及用戶管理子系統(tǒng)11下栽頒發(fā)給網(wǎng)絡(luò)應(yīng)用 用戶的身份數(shù)字證書,并在用戶需要進(jìn)行身份驗(yàn)證時(shí)����,通過移動(dòng)通信終端12的USB口、藍(lán)牙或者紅外仿真串口�����,將身份數(shù)字證書傳輸給網(wǎng)絡(luò)服務(wù)器13���, 以表明網(wǎng)絡(luò)應(yīng)用用戶的身份��,并和網(wǎng)絡(luò)服務(wù)器13�、動(dòng)態(tài)口令驗(yàn)證服務(wù)器14��, 以及密鑰及用戶管理子系統(tǒng)11 一起,利用身份數(shù)字證書�、預(yù)留在密鑰及用戶 管理子系統(tǒng)11上的用戶密碼以及密鑰及用戶管理子系統(tǒng)ll提供的在設(shè)定時(shí)長 內(nèi)有效的隨機(jī)信息完成用戶身份的驗(yàn)證;
網(wǎng)絡(luò)服務(wù)器13和動(dòng)態(tài)口令驗(yàn)證服務(wù)器14�����,作為網(wǎng)絡(luò)應(yīng)用提供商的設(shè)備����, 組成網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng),為用戶提供網(wǎng)絡(luò)應(yīng)用交互界面���,并和移動(dòng)通信終 端12以及密鑰及用戶管理子系統(tǒng)11 一起完成用戶身份的驗(yàn)證����。
用戶下載身份數(shù)字證書之前�,根據(jù)不同的網(wǎng)絡(luò)應(yīng)用���,需要通過C4的拒臺(tái) 進(jìn)行開戶操作��,包括向C4預(yù)留用戶基本信息和用戶密碼�,C4將用戶預(yù)留的用 戶基本信息和用戶密碼保存到密鑰及用戶管理子系統(tǒng)中�,密鑰及用戶管理子系 統(tǒng)為申請數(shù)字證書的用戶提供唯一的身份數(shù)字證書并產(chǎn)生對應(yīng)的數(shù)字證書激 活碼�,C4將數(shù)字證書激活碼提供給用戶��,用戶通過驗(yàn)證服務(wù)器將自己的身份 數(shù)字證書下載到移動(dòng)通信終端12的客戶端上�,并利用激活碼激活身份數(shù)字證 書。
仍參見圖1所示���,本發(fā)明實(shí)施例中�,移動(dòng)通信終端12利用身份數(shù)字證書 完成用戶身份的驗(yàn)證的具體過程包括如下步驟
5101����、 移動(dòng)通信終端12在用戶進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份IH正時(shí),與網(wǎng)絡(luò)服務(wù) 器13建立通信連接并通過通信連接輸出從密鑰及用戶管理子系統(tǒng)11獲得的用 戶的身份數(shù)字證書��;
5102���、 網(wǎng)絡(luò)服務(wù)器13在接收到用戶的身份數(shù)字證書時(shí)���,生成包含身份數(shù) 字證書的驗(yàn)證請求并發(fā)送動(dòng)態(tài)口令驗(yàn)證服務(wù)器14;
5103、 動(dòng)態(tài)口令驗(yàn)證服務(wù)器14將驗(yàn)證請求轉(zhuǎn)發(fā)給密鑰及用戶管理子系統(tǒng)
11;
5104�、 密鑰及用戶管理子系統(tǒng)11根據(jù)接收的驗(yàn)證請求,生成隨機(jī)信息并 利用設(shè)定算法生成在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn)-〖正口令信息���,以及將隨機(jī)信息和用戶驗(yàn)證口令信息輸出給動(dòng)態(tài)口令驗(yàn)證服務(wù)器14,用戶驗(yàn)^i正口令信息的計(jì)算參 數(shù)包括驗(yàn)證請求中包含的身份數(shù)字證書和根據(jù)該驗(yàn)證請求生成的隨機(jī)信息���;
5105��、 動(dòng)態(tài)口令驗(yàn)證服務(wù)器14將隨機(jī)信息轉(zhuǎn)發(fā)給網(wǎng)絡(luò)服務(wù)器13,并保存 用戶馬全證口令信息��;
5106�����、 網(wǎng)絡(luò)服務(wù)器13通過應(yīng)用交互界面向用戶顯示隨機(jī)信息����;
5107���、 用戶通過應(yīng)用交互界面可以看到隨機(jī)信息���,并通過移動(dòng)通信終端12 的交互界面將隨機(jī)信息輸入移動(dòng)通信終端12;
5108�、 移動(dòng)通信終端12根據(jù)用戶輸入的隨機(jī)信息和用戶身份證書生成用 戶鑒權(quán)口令,并將用戶鑒權(quán)口令顯示到移動(dòng)通信終端12的交互界面上���;
5109���、 用戶將移動(dòng)通信終端12的交互界面上顯示的用戶鑒權(quán)口令輸入到 網(wǎng)絡(luò)服務(wù)器13中���;
5110、 網(wǎng)絡(luò)服務(wù)器13將用戶鑒權(quán)口令轉(zhuǎn)發(fā)給動(dòng)態(tài)口令驗(yàn)證服務(wù)器14;
5111��、 動(dòng)態(tài)口令驗(yàn)證服務(wù)器14根據(jù)網(wǎng)絡(luò)服務(wù)器13轉(zhuǎn)發(fā)的用戶鑒權(quán)口令�, 和之前保存的在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn)證口令信息,對用戶身份進(jìn)行驗(yàn)證�����。
5112���、 動(dòng)態(tài)口令驗(yàn)證服務(wù)器14向網(wǎng)絡(luò)服務(wù)器13返回驗(yàn)證結(jié)果���。 在上述驗(yàn)證過程中,用戶鑒權(quán)口令和用戶驗(yàn)證口令信息的計(jì)算參數(shù)包括用
戶的身份數(shù)字證書和隨機(jī)信息�����,用戶的身份數(shù)字證書是用戶的唯一標(biāo)識�����,從而 與用戶綁定,只要用戶保證個(gè)人人身份數(shù)字證書的安全��,則可以保證驗(yàn)證結(jié)果 的安全性�����。而隨機(jī)信息是臨時(shí)產(chǎn)生的�,具有時(shí)效性,密鑰及用戶管理子系統(tǒng)ll 根據(jù)隨機(jī)信息的時(shí)效性���,為生成的用戶驗(yàn)證口令信息設(shè)定有效時(shí)長�����,保證了每 一次用于驗(yàn)證的用戶鑒權(quán)口令和用戶驗(yàn)證口令信息為當(dāng)次有效的動(dòng)態(tài)口令�,從 而提高了認(rèn)證機(jī)制的安全性�����。
一般的��,網(wǎng)絡(luò)服務(wù)器13包括用戶可以通過交互界面操作的前臺(tái)設(shè)備�����,例 如電腦�����、游戲機(jī)�、^rM機(jī),POS機(jī)等��,動(dòng)態(tài)口令驗(yàn)證服務(wù)器14作為后臺(tái)設(shè)備 執(zhí)行具體的驗(yàn)證操作��,出于安全考慮�����,應(yīng)該分開設(shè)置�。但是對一些安全性要求 較低,或者組網(wǎng)簡單的應(yīng)用��,也可以合并設(shè)置為一個(gè)網(wǎng)絡(luò)應(yīng)用及—驗(yàn)證子系統(tǒng)�,共同承擔(dān)網(wǎng)絡(luò)應(yīng)用的交互和身份驗(yàn)證功能。
對于移動(dòng)通信終端12和網(wǎng)絡(luò)服務(wù)器13��,分別需要根據(jù)本發(fā)明實(shí)施例提供 的方案安裝專用的客戶端��,為用戶提供相應(yīng)的交互界面�,并執(zhí)行用戶通過交互 界面輸入的相關(guān)操作�,根據(jù)本發(fā)明實(shí)施例提供的技術(shù)方案��,相關(guān)交互界面的開 發(fā)工作為本領(lǐng)域技術(shù)人員所熟知����,這里不再詳細(xì)描述。
本發(fā)明實(shí)施例中�,隨機(jī)信息可以是隨機(jī)數(shù)、或者數(shù)字和字母的組合等�,生 成方法例如偽隨機(jī)數(shù)生成算法等,隨機(jī)信息的產(chǎn)生技術(shù)也為本領(lǐng)域技術(shù)人員所 熟知���,這里不再詳細(xì)描述����。
本發(fā)明實(shí)施例中�����,通過移動(dòng)通信終端設(shè)備這個(gè)被越來越多人隨身攜帶的設(shè) 備存儲(chǔ)身份數(shù)字證書�����,提供驗(yàn)證工作時(shí)無需動(dòng)態(tài)連互聯(lián)網(wǎng)和高精度時(shí)鐘的通用 媒介����,實(shí)現(xiàn)電子證書動(dòng)態(tài)口令驗(yàn)證技術(shù)����,/人而以低成本來大幅提高了網(wǎng)絡(luò)應(yīng)用 驗(yàn)證機(jī)制的通用性和便攜性���。
本發(fā)明實(shí)施例中,口令的算法一般采用不可逆哈希算法�,如Sffi4/、MD5等���。
進(jìn)一步為增加-^i正機(jī)制的安全性����,本發(fā)明實(shí)施例中��,用戶還可以在密鑰及 用戶管理子系統(tǒng)11預(yù)留用戶密碼��,并在輸入隨機(jī)信息時(shí)輸入用戶密碼����,從在 計(jì)算用戶驗(yàn)證口令信息時(shí),計(jì)算參數(shù)可以進(jìn)一步包括用戶預(yù)先保存在密鑰及 用戶管理子系統(tǒng)11中的用戶密碼��;以及在計(jì)算用戶鑒權(quán)口令時(shí),計(jì)算參數(shù)也 可以進(jìn)一步包括用戶通過移動(dòng)通信終端12交互界面接收到輸入隨機(jī)信息���。
更進(jìn)一步���,為增加驗(yàn)證機(jī)制的安全性,本發(fā)明實(shí)施例中����,移動(dòng)通信終端12 根據(jù)設(shè)定規(guī)則,例如每次第進(jìn)l的累計(jì)方法��,在本地維護(hù)用戶觸發(fā)驗(yàn)證請求的 累計(jì)值�,密鑰及用戶管理子系統(tǒng)11根據(jù)相同的設(shè)定規(guī)則,每一次收到l^正請 求并生成隨機(jī)信息和用戶驗(yàn)證口令信息時(shí)更新累計(jì)值�����,雙方將各自維護(hù)的累計(jì) 次數(shù)作為 一個(gè)參數(shù)參與用戶鑒權(quán)口令和用戶駘�����、〖正口令信息的計(jì)算����,為防止用戶 的誤操作�,密鑰及用戶管理子系統(tǒng)11計(jì)算出的用戶驗(yàn)證口令信息包括分別用 當(dāng)前累計(jì)值和大于當(dāng)前累計(jì)值的幾個(gè)值計(jì)算出的一組用戶驗(yàn)證口令�,只要用戶鑒權(quán)口令和一組用戶驗(yàn)證口令中的任一個(gè)一致,則可獲得驗(yàn)證通過的結(jié)果��,反 之獲得驗(yàn)證失敗的結(jié)果���。
本發(fā)明實(shí)施例提供的一種網(wǎng)絡(luò)應(yīng)用認(rèn)證系統(tǒng)的具體架構(gòu)參見圖2所示,其
中
密鑰及用戶管理子系統(tǒng)具體包括用戶管理服務(wù)器�、CA服務(wù)器、用戶信 息庫和移動(dòng)通信終端軟件下載服務(wù)器�,其中用戶管理服務(wù)器可以連接拒臺(tái)終 端,主要用于個(gè)人數(shù)字證書的頒發(fā)和管理工作���,包括接收用戶在開戶網(wǎng)絡(luò)應(yīng)用 時(shí)預(yù)留的用戶基本信息��、用戶密碼�����,為用戶生成身份數(shù)字證書以及激活碼��,并 在用戶請求進(jìn)行身份認(rèn)證時(shí)生成隨機(jī)信息和驗(yàn)證口令信息等���。用戶信息庫主要 作為數(shù)據(jù)庫存儲(chǔ)每一個(gè)用戶的身份數(shù)字證書等相關(guān)信息���。移動(dòng)通信終端客戶端 下載服務(wù)器為用戶提供各種網(wǎng)絡(luò)應(yīng)用客戶端的相關(guān)軟件,用戶可以登錄該服務(wù) 器下載或更新網(wǎng)絡(luò)應(yīng)用的客戶端�,在運(yùn)營商網(wǎng)絡(luò)支持的情況下可以采用 『opjPMsZi的方式推送地址到用戶移動(dòng)通信終端上,用戶也可以直接通過移動(dòng)通 信終端無線登錄到服務(wù)器上下載�,當(dāng)然,也可以由移動(dòng)通信終端設(shè)備廠商預(yù)裝 到終端設(shè)備或終端設(shè)備的SIM/USIM模塊上���。
網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)具體包括業(yè)務(wù)終端���、網(wǎng)絡(luò)f『五BJ服務(wù)器、動(dòng)態(tài) 口令驗(yàn)證服務(wù)器和業(yè)務(wù)應(yīng)用服務(wù)器等���,其中業(yè)務(wù)終端提供網(wǎng)絡(luò)應(yīng)用的交互界 面����,網(wǎng)絡(luò)服務(wù)器提供網(wǎng)絡(luò)應(yīng)用的登錄管理�����,動(dòng)態(tài)口令馬^i正服務(wù)器執(zhí)行口令^S正�����, 驗(yàn)證通過的用戶可以進(jìn)入業(yè)務(wù)應(yīng)用服務(wù)器執(zhí)行具體業(yè)務(wù)。
下面結(jié)合附圖�,以較佳實(shí)施例對本發(fā)明涉及的各個(gè)流程進(jìn)行詳細(xì)說明。
一����、用戶開戶流程
如圖3所示,用戶在使用網(wǎng)絡(luò)應(yīng)用之前�,首先要到C4提供的拒臺(tái)申請開 戶,具體的開戶流程包括如下步驟
S301���、用戶自己或拒員代替用戶填寫申請表,并且柜員需要將用戶的基本 信息錄入密鑰及用戶管理子系統(tǒng)�,包括身份證號W一wwm和用戶使用的移動(dòng) 通4言終端的電i舌號石馬/ /zowe一m/m等;5302���、 用戶將選擇的用戶密碼pa^M^錄入密鑰及用戶管理子系統(tǒng)�����,用戶 密碼作為用戶密碼可以參與鑒權(quán)口令和驗(yàn)證口令的計(jì)算���,進(jìn)一步加強(qiáng)驗(yàn)證機(jī)制 的安全性;
進(jìn)一步,還可以調(diào)用密碼系統(tǒng)修改密碼流程���,供用戶修改密碼�。
5303�����、 密鑰及用戶管理子系統(tǒng)生成身份數(shù)字證書及其激活碼�����; 身份數(shù)字證書的生成方式很多�,可以根據(jù)身份證號、電話號碼���、用戶密碼
或其它基本信息生成�����,本領(lǐng)域技術(shù)人員可以根據(jù)需要靈活選擇生成方式���。
身份數(shù)字證書的激活碼的生成方式也很多,可以根據(jù)用戶密碼或其它基本 信息生成��,本領(lǐng)域技術(shù)人員可以根據(jù)需要靈活選擇其它激活碼生成方式,本發(fā) 明實(shí)施例給出以下具體實(shí)現(xiàn)方式
密鑰及用戶管理子系統(tǒng)將�;xmwd通過不可逆算法/皿e計(jì)算得到原始口令 的存儲(chǔ)形式savejyoss,其中計(jì)算參數(shù)包括pos^vw/和/ /zo"e—等
sttvej3ass^騰(^aM一一o"e一""
以p/zo恥一m/m為索引存儲(chǔ)^vejmw�����。密鑰管理子系統(tǒng)并不直接保存用戶 口令����,由于采用的是不可逆算法,也無法通過ravejw: 反解出��;7as:yw丄
密鑰及用戶管理子系統(tǒng)通過不可逆算法/^生成激活碼a"—
最后打印p/zowe—www/a"J:e_y并發(fā)》文給用戶����,完成開戶流程。 二�����、身份數(shù)字證書下載流程
如圖4所示���,用戶申請開戶完成后,獲得激活碼�����,并通過密鑰及用戶管理 子系統(tǒng)中的下載服務(wù)器將身份數(shù)字證書下載到移動(dòng)通信終端上,具體流程包括 以下步驟
5401���、 登錄下載網(wǎng)站的網(wǎng)頁����;
5402�、 用戶在網(wǎng)頁的輸入界面輸入移動(dòng)通信終端的用戶號碼,用戶身傷4正 號(如果選擇)�、以及激活碼,向移動(dòng)通信終端軟件下載服務(wù)器發(fā)出請求����,請 求身份數(shù)字證書"ce附e,���。移動(dòng)通信終端軟件下載服務(wù)器根據(jù)用戶身份證號(如果選擇)和激活碼從CA服務(wù)器提取身份數(shù)字證書�����,并根據(jù)移動(dòng)通信終端的用 戶號碼發(fā)送到移動(dòng)通信終端上��;
S403��、移動(dòng)通信終端4艮據(jù)用戶操作�����,以p/zo"e一mw2為索引安裝身份數(shù)字證書��。
三���、激活下載到移動(dòng)通信終端上的身份數(shù)字證書
身份數(shù)字證書被激活后才可以使用���,并且在激活過程中,可以同時(shí)完成使 用移動(dòng)通信終端的用戶號碼和個(gè)人數(shù)字證書的綁定��,如圖5所示�����,具體包括如 下步驟
S501 ����、用戶在移動(dòng)通信終端上輸入需要使用該功能的移動(dòng)通信終端卡號 移動(dòng)通信終端將保存該卡號��;
5502���、 用戶在移動(dòng)通信終端輸入開戶時(shí)預(yù)留的用戶密碼��; aww《
5503���、 用戶在移動(dòng)通信終端輸入開戶的時(shí)候預(yù)留的用戶基本信息身份證 號碼/(w謡(可選)���;
5504、 移動(dòng)通信終端采用與密鑰及用戶管理子系統(tǒng)相同的不可逆算法/flC, 計(jì)算acL&力
5505���、 用戶輸入激活碼a"Jfe》如果a"—fe少�,與ac/J^不一致則激活失敗�。
5506、 在密鑰及用戶管理子系統(tǒng)將使用移動(dòng)通信終端和個(gè)人數(shù)字證書進(jìn)行 綁定����。
本發(fā)明實(shí)施例提供一種具體的綁定過程
將移動(dòng)通信終端特征信息作為/^o"e_mosAr,例如移動(dòng)通信終端的/ME/號 作為p/zo"e一附osA:,若/Affi/號無法取到則以移動(dòng)通信終端的其它特征信息(如 當(dāng)前可用內(nèi)存容量)為種子生成一個(gè)隨才幾信息作為p/w"e—mosA:。 /7/20"e—wosA: 用于區(qū)分不同的移動(dòng)通信終端����,以便對特定移動(dòng)通信終端進(jìn)行綁定;采用不可逆算法Aw計(jì)算綁定碼6/"d一^y并保存在移動(dòng)通信終端上
6/"《A:e"y^妙owe一"訓(xùn)��,/ /20"e一wa^
通過不可逆算法乂�,計(jì)算原始口令的存儲(chǔ)形式rave(此處mw 并不保存���,僅用于密鑰對Z)/"0^進(jìn)行力口密傳輸,以保證只有合法用戶才能完 成綁定)
save^p^m^,(^awW�����, p/;owe— 以rave為密鑰力口密/ /zo"e—發(fā)送《合密鑰及用戶管理子系
統(tǒng)�;
密鑰及用戶管理子系統(tǒng)以save^aw解密得到6/wc/J:e少; 取隨機(jī)信息作為同步碼s����,; 初始化服務(wù)器端計(jì)算次序w《jw^化 以/ /zo"e—"w附為索引存儲(chǔ)Zn'"d一A:e少/sy"/seg—sv廣�, 密鑰及用戶管理子系統(tǒng)返回^"給移動(dòng)通信終端; 移動(dòng)通信終端存l諸^w;
初始化移動(dòng)通信終端計(jì)算次序"《—附06=0/
需要說明的是����,用戶密碼、同步碼s���,可以在后期驗(yàn)證時(shí)作為計(jì)算驗(yàn)證口 令和鑒權(quán)口令的參數(shù)�,從而進(jìn)一步加強(qiáng)驗(yàn)證機(jī)制的安全性���。
;敫活成功��。
通過開戶��、下載和激活流程���,移動(dòng)通信終端成功獲得了用戶的身份數(shù)字證書。
四���、驗(yàn)證流程
用戶完成開戶流程�,并獲得身份數(shù)字證書后����,日常的使用流程比較方便, 具體使用過程中的驗(yàn)證流程如圖6所示�����,包括如下步驟
S601�����、用戶登錄網(wǎng)絡(luò)服務(wù)器使用網(wǎng)絡(luò)應(yīng)用時(shí)����,網(wǎng)絡(luò)服務(wù)器首先請求用戶出 示身份數(shù)字證書���,網(wǎng)絡(luò)服務(wù)器和移動(dòng)通信終端建立通信連接,根據(jù)用戶的操作����, 移動(dòng)通信終端將用戶的身份數(shù)字證書傳輸給網(wǎng)絡(luò)服務(wù)器;5602���、 網(wǎng)絡(luò)服務(wù)器生成包含用戶的身份數(shù)字證書的驗(yàn)證請求并通過動(dòng)態(tài)口 令驗(yàn)證服務(wù)器發(fā)送給密鑰及用戶管理子系統(tǒng)��,以及接收密鑰及用戶管理子系統(tǒng) 返回的隨機(jī)信息�����,并以防才幾器識別的方式顯示隨4幾信息challenge,例如采用抗 自動(dòng)識別的圖型形式顯示��;
同時(shí)密鑰及用戶管理子系統(tǒng)還根據(jù)當(dāng)前的計(jì)算次序M《jW �、
M《—>svr+sw+A^/����,共計(jì)n個(gè)序列號,分別計(jì)算w個(gè)一次性驗(yàn)證口令' 組成的驗(yàn)證口令"有效窗口 "���,并將驗(yàn)證口令"有效窗口 �,,發(fā)送給動(dòng)態(tài)口令驗(yàn)證服 務(wù)器
OT!P����,f^7p(^"ve砂",s^_svr+/, 6/ fl[_A^��, cA"/fewg^/=_/..."
5603����、 移動(dòng)通信終端計(jì)算用戶鑒權(quán)口令07P,'
移動(dòng)通信終端根據(jù)用戶輸入的用戶密碼/ omt^、 c/w//e ge���,用戶輸入的用 戶密碼僅在本次計(jì)算時(shí)候有效��,并不在移動(dòng)通信終端存儲(chǔ)�,不在網(wǎng)絡(luò)上傳輸��, 以保證不被盜取����。而且移動(dòng)通信終端在計(jì)算鑒權(quán)口令的過程中也不連互聯(lián)網(wǎng)。
移動(dòng)通信終端上軟件通過不可逆算法/Mve計(jì)算用戶密碼的存儲(chǔ)形式
save
移動(dòng)通信終端根據(jù)syn�、當(dāng)前計(jì)算次序seq_mob以及用戶密碼powvw/和 c/w〃e"ge,采用與后臺(tái)系統(tǒng)一致的不可逆算法/ojp計(jì)算其本次用戶鑒權(quán)口令并 將鑒權(quán)口令顯示下移動(dòng)通信終端的交互界面上,以及將當(dāng)前計(jì)算次序遞增 07!P^/"o7y^ve_jmss, s戸,s^l附o6, A/"af一^y�, c/r"http://e"ge)
5604、 口令棘過程��。
用戶在網(wǎng)絡(luò)服務(wù)器的應(yīng)用交互界面上輸入07p��,網(wǎng)絡(luò)服務(wù)器將or尸傳輸
給動(dòng)態(tài)口令驗(yàn)證服務(wù)器���,動(dòng)態(tài)口令驗(yàn)證服務(wù)器如果確定07p與驗(yàn)證口令"有效 窗口"中的某一個(gè)(97p�����,,一致�,則本次驗(yàn)證通過���,否則驗(yàn)證失敗���,并將驗(yàn)證結(jié)果 返回給網(wǎng)絡(luò)服務(wù)器和密鑰及用戶管理子系統(tǒng),網(wǎng)絡(luò)服務(wù)器根據(jù)驗(yàn)證結(jié)果繼續(xù)后 續(xù)處理�����。本發(fā)明實(shí)施例中���,通過移動(dòng)通信終端設(shè)備這個(gè)被越來越多人隨身攜帶的設(shè) 備存儲(chǔ)身份數(shù)字證書���,提供無需動(dòng)態(tài)聯(lián)網(wǎng)的媒介�,實(shí)現(xiàn)動(dòng)態(tài)口令驗(yàn)證技術(shù)���,從 而以低成本來大幅提高了網(wǎng)絡(luò)應(yīng)用驗(yàn)證機(jī)制的通用性和便攜性���。
離本發(fā)明的精神和范圍����。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利 要求及其等同技術(shù)的范圍之內(nèi)���,則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)�����。
權(quán)利要求
1�、一種網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證系統(tǒng)�,其特征在于,包括密鑰及用戶管理子系統(tǒng)��,用于生成并保存用戶使用網(wǎng)絡(luò)應(yīng)用的身份數(shù)字證書;在接收到包含身份數(shù)字證書的驗(yàn)證請求時(shí)�,生成并輸出隨機(jī)信息,以及利用設(shè)定算法生成在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn)證口令信息并輸出�,所述用戶驗(yàn)證口令信息的計(jì)算參數(shù)包括驗(yàn)證請求中包含的身份數(shù)字證書和根據(jù)該驗(yàn)證請求生成的隨機(jī)信息;移動(dòng)通信終端���,用于從密鑰及用戶管理子系統(tǒng)獲得用戶的身份數(shù)字證書���,并在用戶進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí),將該身份數(shù)字證書輸出給網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)�����;接收用戶輸入的隨機(jī)信息����,利用所述設(shè)定算法生成用戶鑒權(quán)口令,所述用戶鑒權(quán)口令的計(jì)算參數(shù)包括用戶輸入的隨機(jī)信息和保存的身份數(shù)字證書���;網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)���,用于在用戶請求進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí),從移動(dòng)通信終端獲得身份數(shù)字證書�����,生成所述驗(yàn)證請求并發(fā)送給密鑰及用戶管理子系統(tǒng);接收所述密鑰及用戶管理子系統(tǒng)輸出的隨機(jī)信息����,接收用戶輸入的用戶鑒權(quán)口令,接收所述密鑰及用戶管理子系統(tǒng)輸出的用戶驗(yàn)證口令信息����,以及根據(jù)所述鑒權(quán)口令和用戶驗(yàn)證口令信息獲得驗(yàn)證結(jié)果。
2�����、 如權(quán)利要求1所述的系統(tǒng)�,其特征在于�����,所述網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng) 具體包括網(wǎng)絡(luò)服務(wù)器�,用于提供網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)的交互界面并在用戶通過該 交互界面請求進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí),與所述移動(dòng)通信終端建立通信連接 并通過所述通信連接從移動(dòng)通信終端獲得身份數(shù)字證書�,生成所述驗(yàn)證請求并 轉(zhuǎn)發(fā);接收所述隨機(jī)信息并通過網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)的交互界面顯示給用 戶��,接收用戶通過網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)的交互界面輸入的用戶鑒權(quán)口令并轉(zhuǎn) 發(fā),以及接收驗(yàn)證結(jié)果�����;動(dòng)態(tài)口令驗(yàn)證服務(wù)器�,用于接收所述網(wǎng)絡(luò)服務(wù)器輸出的驗(yàn)證請求并轉(zhuǎn)發(fā)給密鑰及用戶管理子系統(tǒng),接收所述密鑰及用戶管理子系統(tǒng)輸出的隨機(jī)信息并轉(zhuǎn)發(fā)給網(wǎng)絡(luò)服務(wù)器����;接收所述網(wǎng)絡(luò)服務(wù)器轉(zhuǎn)發(fā)的鑒權(quán)口令和密鑰及用戶管理子系 統(tǒng)輸出的驗(yàn)證口令,以及根據(jù)所述鑒權(quán)口令和用戶驗(yàn)證口令信息獲得驗(yàn)證結(jié) 果�����,并將所述驗(yàn)證結(jié)果發(fā)送給網(wǎng)絡(luò)服務(wù)器��。
3���、 如權(quán)利要求2所述的系統(tǒng)�,其特征在于所述密鑰及用戶管理子系統(tǒng)還用于接收用戶通過密鑰及用戶管理子系統(tǒng) 交互界面輸入的用戶密碼并對應(yīng)用戶的身份數(shù)字證書進(jìn)行保存�;并且在利用所 述設(shè)定算法生成在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn)證口令信息時(shí),所述用戶驗(yàn)證口令 信息的計(jì)算參數(shù)還包括用戶輸入的用戶密碼��;以及所述移動(dòng)通信終端還用于接收用戶通過移動(dòng)通信終端交互界面輸入的用 戶密碼����,并且在利用所述設(shè)定算法生成用戶鑒權(quán)口令時(shí)��,所述用戶鑒權(quán)口令的 計(jì)算參數(shù)還包括用戶輸入的用戶密碼�。
4����、 如權(quán)利要求2或3所述的系統(tǒng),其特征在于所述密鑰及用戶管理子系統(tǒng)還用于根據(jù)設(shè)定規(guī)則維護(hù)標(biāo)識用戶驗(yàn)證次數(shù) 累計(jì)值的第一序列號�,并且在利用所述設(shè)定算法生成在設(shè)定時(shí)長內(nèi)有效的用戶 驗(yàn)證口令信息時(shí),所述用戶驗(yàn)證口令信息的計(jì)算參數(shù)還包括所述第一序列號�; 以及所述移動(dòng)通信終端還用于根據(jù)設(shè)定規(guī)則維護(hù)標(biāo)識用戶請求驗(yàn)證次數(shù)累計(jì) 值的第二序列號,并且在利用所述設(shè)定算法生成用戶鑒權(quán)口令時(shí)����,所述用戶鑒 權(quán)口令的計(jì)算參數(shù)還包括所述第二序列號。
5���、 如權(quán)利要求4所述的系統(tǒng),其特征在于�����,所述密鑰及用戶管理子系統(tǒng)利用所述設(shè)定算法生成的在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn)證口令信息包括利用包括所述第 一序列號當(dāng)前值的設(shè)定個(gè)數(shù)個(gè)第 一序列號值中的每一個(gè)�����,分別對應(yīng)生成的一組用戶驗(yàn)證口令;以及所述動(dòng)態(tài)口令驗(yàn)證服務(wù)器根據(jù)所述鑒權(quán)口令和用戶驗(yàn)證口令信息����,當(dāng)用戶 鑒權(quán)口令和一組用戶驗(yàn)證口令中的任一個(gè)一致時(shí),獲得驗(yàn)證通過的結(jié)果��,反之獲得驗(yàn)證失敗的結(jié)果���。
6�、 如權(quán)利要求1 ~5任一所述的系統(tǒng)���,其特征在于��,所述移動(dòng)通信終端與 網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)通過建立通信連接傳輸用戶的身份數(shù)字證書�����,所述建立 通信連接具體包括通過USB接口建立的有線連接����;或者 通過藍(lán)牙建立的無線連接;或者 通過紅外線仿真串口建立的無線連接����。
7、 一種網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證方法��,其特征在于�����,包括 移動(dòng)通信終端在用戶進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí)����,向網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)輸出從密鑰及用戶管理子系統(tǒng)獲得的用戶的身份數(shù)字證書;網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)在接收到用戶的身份數(shù)字證書時(shí)�����,生成包含身份數(shù) 字證書的驗(yàn)證請求并發(fā)送給密鑰及用戶管理子系統(tǒng)����;密鑰及用戶管理子系統(tǒng)才艮據(jù)接收的驗(yàn)證請求,生成隨機(jī)信息并利用設(shè)定算 法生成在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn)證口令信息��,以及將所述隨機(jī)信息和用戶驗(yàn) 證口令信息輸出給網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)�����,所述用戶驗(yàn)證口令信息的計(jì)算參數(shù) 包括驗(yàn)證請求中包含的身份數(shù)字證書和根據(jù)該驗(yàn)證請求生成的隨機(jī)信息���;網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)接收密鑰及用戶管理子系統(tǒng)輸出的隨機(jī)信息和用 戶驗(yàn)證口令信息��,接收用戶輸入的用戶鑒權(quán)口令�,所述用戶鑒權(quán)口令為移動(dòng)通 信終端根據(jù)用戶輸入的隨機(jī)信息時(shí)利用所述設(shè)定算法生成并顯示給用戶��,所述 用戶鑒權(quán)口令的計(jì)算參數(shù)包括用戶輸入的隨機(jī)信息和保存的身份數(shù)字證書�����;網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)根據(jù)所述鑒權(quán)口令和在設(shè)定時(shí)長內(nèi)有效的用戶驗(yàn) 證口令信息�,對用戶身份進(jìn)行驗(yàn)證。
8�����、 如權(quán)利要求7所述的方法��,其特征在于所述用戶驗(yàn)證口令信息的計(jì)算參數(shù)還包括用戶預(yù)先保存在密鑰及用戶管 理子系統(tǒng)中的用戶密碼�;以及所述用戶鑒權(quán)口令的計(jì)算參數(shù)還包括用戶通過移動(dòng)通信終端交互界面接收到輸入隨機(jī)信息時(shí),還輸入的用戶密碼�。
9��、 如權(quán)利要求7或8所述的方法��,其特征在于所述用戶驗(yàn)證口令信息的計(jì)算參數(shù)還包括密鑰及用戶管理子系統(tǒng)根據(jù)設(shè) 定規(guī)則維護(hù)的用于標(biāo)識用戶驗(yàn)證次數(shù)累計(jì)值的第 一序列號��;以及所述用戶鑒權(quán)口令的計(jì)算參數(shù)還包括移動(dòng)通信終端根據(jù)所述設(shè)定規(guī)則維 護(hù)的用于標(biāo)識用戶請求驗(yàn)證次數(shù)累計(jì)值的第二序列號����。
10��、 如權(quán)利要求9所述的方法�,其特征在于,所述用戶驗(yàn)證口令信息包括 利用包括所述第一序列號當(dāng)前值的設(shè)定個(gè)數(shù)個(gè)第一序列號值中的每一個(gè)�����,分別 對應(yīng)生成的一組用戶-驗(yàn)證口令���;以及所述網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)根據(jù)鑒權(quán)口令和用戶驗(yàn)證口令信息��,對用戶身 份進(jìn)行驗(yàn)證具體包括當(dāng)用戶鑒權(quán)口令和所述一組用戶驗(yàn)證口令中的任一個(gè)一 致時(shí)�����,獲得驗(yàn)證通過的結(jié)果����,反之獲得驗(yàn)證失敗的結(jié)果�����。
11�、 一種移動(dòng)通信終端,其特征在于�����,包括 用于獲得用戶的身份數(shù)字證書的單元���;用于在用戶進(jìn)行網(wǎng)絡(luò)應(yīng)用的身份驗(yàn)證時(shí)�����,與網(wǎng)絡(luò)應(yīng)用及驗(yàn)證子系統(tǒng)建立通信連接并通過通信連接輸出該身份數(shù)字證書的單元�����;用于接收用戶通過移動(dòng)通信終端交互界面輸入的隨機(jī)信息的單元�; 用于利用設(shè)定算法生成用戶鑒權(quán)口令并由移動(dòng)通信終端交互界面進(jìn)行顯示的單元��,所述用戶鑒權(quán)口令的計(jì)算參數(shù)包括用戶輸入的隨機(jī)信息和保存的身份數(shù)字證書。
全文摘要
本發(fā)明公開了一種網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證系統(tǒng)����、方法和移動(dòng)通信終端,用于提高網(wǎng)絡(luò)應(yīng)用用戶身份驗(yàn)證的通用性�����。本發(fā)明實(shí)施例中�����,通過移動(dòng)通信終端設(shè)備這個(gè)被越來越多人隨身攜帶的設(shè)備存儲(chǔ)身份數(shù)字證書��,提供無需動(dòng)態(tài)聯(lián)網(wǎng)的設(shè)備��,實(shí)現(xiàn)動(dòng)態(tài)口令驗(yàn)證技術(shù)���,從而以低成本便攜來大幅提高應(yīng)用系統(tǒng)的安全性�����。
文檔編號H04L29/06GK101414909SQ20081022698
公開日2009年4月22日 申請日期2008年11月28日 優(yōu)先權(quán)日2008年11月28日
發(fā)明者斌 王, 王偉珣 申請人:中國移動(dòng)通信集團(tuán)公司;中國移動(dòng)通信集團(tuán)上海有限公司