[发明专利]基于动态口令的一对多身份认证系统和方法

说明书

本发明提供了一种基于动态口令的一对多身份认证系统和方法。该系统包括：主体、多个客体和认证服务器；主体管理多个客体，当需要认证某个客体时，根据主体密钥和某个客体的客体唯一标识符使用动态口令生成算法生成某个客体对应的动态口令，将动态口令传输给某个客体；某个客体将自己的客体唯一标识符和主体传输过来的动态口令传输给认证服务器；认证服务器根据主体密钥和客体唯一标识符使用相同的动态口令生成算法生成客体对应的动态口令，当生成的动态口令和客体传输过来的动态口令一致时，则确认某个客体的身份认证成功。本发明解决了“一对多”口令认证场景下的安全性和易用性问题，提供了一种安全、易用的基于口令的身份认证方法。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于动态口令的一对多身份认证系统和方法。

背景技术

在网络系统的访问过程中，通常会使用口令作为使用者身份鉴别的凭证。基于口令的身份认证可以分为基于静态口令的身份认证和基于动态口令的身份认证两种类型。由于静态口令具有固定性和易猜解性，因此在较高安全需求的场景下，基于静态口令的认证方式不适用。为满足较高安全需求，人们提出并使用动态口令对系统使用者进行身份鉴别，确认系统使用者身份的合法性。动态口令具有不可预测性、使用方便等优点，可以有效满足单次访问系统时的身份认证安全要求。

但目前的动态口令认证系统针对的是一个主体拥有一个客体的认证场景，即“一对一”认证场景。典型的“一对多”场景包括机房管理中的主机管理、网络基础设施的管理等。使用现有动态口令认证系统在一个主体拥有多个客体，即“一对多”场景下进行认证时，如为一个主体分配一块令牌，则对不同客体进行认证使用口令是相同的，会导致安全性下降；否则，须为主体分配多块令牌，使每一个令牌对应一个客体。这种情况下，易用性大大降低，同时提高了使用成本。现有动态口令认证系统无法满足上述“一对多”认证场景。

发明内容

本发明目的是解决一个主体管理多个客体场景下基于口令的身份认证问题，以克服现有技术在安全性和易用性方面存在的不足。

为了实现上述目的，本发明提供了一种基于动态口令的一对多身份认证系统和方法，采用了如下技术方案。

一种基于动态口令的一对多身份认证系统，包括：主体、多个客体和认证服务器；

主体，用于管理多个客体，当需要认证某个客体时，根据主体密钥和所述某个客体的客体唯一标识符使用动态口令生成算法生成所述某个客体对应的动态口令，将所述动态口令传输给所述某个客体；

某个客体，用于将自己的客体唯一标识符和所述主体传输过来的动态口令传输给所述认证服务器；

认证服务器，用于根据主体密钥和客体唯一标识符使用相同的动态口令生成算法生成客体对应的动态口令，当生成的动态口令和所述客体传输过来的动态口令一致时，则确认所述某个客体的身份认证成功。

优选地，主体包括：口令生成器、令牌和安全存储模块；

安全存储模块，用于存储主体密钥和安全策略；

口令生成器，是主体所有的运行在智能设备上的应用程序，包括用于生成动态口令的令牌，令牌在获取客体唯一标识符后，使用安全存储模块中存储的主体密钥、客体唯一标识符和变动因子作为参数，通过动态口令生成算法生成所述某个客体对应的动态口令中间值，将所述动态口令中间值根据所述安全存储模块中存储的安全策略做映射，映射成满足安全要求的中口令长度和口令复杂度的所述某个客体对应的动态口令。

优选地，认证服务器包括：认证系统管理模块、动态口令生成模块和身份验证模块；

认证系统管理模块，用于管理认证过程中涉及的主体基本信息、客体基本信息、令牌相关信息和日志信息，生成用于标识客体的唯一标识符，管理主体身份标识和客体的唯一标识符之间的对应关系，为每个主体分配令牌，对主体中的口令生成器进行初始化，将主体管理的客体的唯一标识符在令牌初始化阶段传输到主体的口令生成器中；