[发明专利]一种基于动态口令的纯软件DPVA身份认证方法

说明书

本发明公开了一种基于动态口令的纯软件DPVA身份认证方法，利用信任和信任传递理论，构建一个基于信任传递的虚拟身份认证模型，并分别设计多种环境下的虚拟身份认证方案。消费者首先与支付平台和网上银行系统达成某种契约并预留安全信息。消费者在商家系统中进行购物结算行为时，无需登录支付平台或网上银行，而是将预留安全信息通过加密处理发送给商家系统，商家系统将此安全信息发送给支付平台或网上银行，经过验证后，支付平台或网上银行确认该支付请求是由消费者产生的，从而达成交易。消费者无需在每次交易中登录支付平台或网上银行，整个移动商务过程会得到精简，其交易效率和交易体验都会大大提高、收到钓鱼和仿冒攻击的风险则会大大降低。

技术领域

本发明属于信息技术领域，应用于电子商务行业，具体涉及一种基于动态口令的纯软件DPVA身份认证方法。

背景技术

现有的两方身份认证泛指仅仅通过交易双方的协商、信息交换和判断，来进行彼此之间的身份认证。这种认证方式无需第三方参与，过程简洁，但无法精确地互相确定双方的身份。常见的两方身份认证机制主要有以下几种类型。

(1)单因子身份认证

单因子认证一般基于口令，这种认证方式是一种被验证者输入账号和口令信息，验证者通过被验证这输入的信息和验证者存储的被验证者信息进行比对而进行身份认证的过程。账号和口令一般是被验证者注册时预留的，这些信息被加密后存储在验证者的数据库中。

Lamport在1981年提出了基于一次性口令的身份认证方案。在此认证方案中，验证者通过将被验证者输入的口令与事先存储在验证者服务器中的密码表进行比对的方法来实现身份认证的目的。随后，Shimizu、Hailer和Sandirigama等人在Lamport的方案基础上进行安全、性能和效率等方面的改进。这类方案的优点在于实现起来比较容易，但是验证者端需要存放用户口令或口令表，一旦验证者端数据库漏洞造成口令遗失或口令表规则被破解，则会威胁认证系统的安全。同时，这类方案主要面向单向认证，无法实现双向认证，容易造成仿冒和钓鱼攻击。

Harn等人在Diffie-Hellman公钥加密技术的基础上，提出了一种基于非对称密钥体制的口令认证方案。此方案在验证者端无需对与用户口令有关的信息进行特别保护，在更新相关验证信息的时候也不需要被验证者的参与。

Peyravian和Zunic提出了一种基于摘要算法的、轻量化的单向身份认证协议，但此协议存在易遭受钓鱼攻击等安全问题。为了解决此协议中存在的问题，Hwang等在文献、Lee等分别针对Peyravian-Zunic协议提出了改进方案，Peyravian也对自己的协议提出了优化方案。之后，Zhu等人在Hwang-Yeh协议的基础上提出了一种改进协议，但这个改进协议在抵御冒充攻击和密钥协商等方面有所欠缺。Islam等人针对上述问题在Hwang-Yeh协议的基础上提出了一种改进协议，用于解决上述问题。

(2)多因子身份认证

基于口令的单因子身份认证存在很多问题，例如用户口令存储于认证者服务器，认证者技术水平和意识良莠不齐，导致数据安全隐患、用户信息容易泄露。攻击者可以利用盗取、分析、解密甚至“撞库”等手段进行攻击。另外，基于口令的单因子身份认证是单向的，服务器可以对用户身份进行认证，但用户不能对服务器身份进行认证，这就使钓鱼和仿冒成为可能。