用于认证的方法、装置、终端设备及系统制造方法及图纸
【技术实现步骤摘要】
用于认证的方法、装置、终端设备及系统
本申请涉及电子
,具体的说是一种用于客户端的认证方法、装置及终端设备,一种用于服务端的认证方法、装置及终端设备,以及一种用于用户认证的系统。
技术介绍
由于静态口令认证机制存在易遭受窃听攻击、口令猜测攻击、重放攻击及口令泄露等问题,而动态口令由于它使用便捷,能与各种业务系统快速无缝互操作,而成为身份认证技术的主流,被广泛应用于电子商务、网游、金融等领域。动态口令认证机制是基于某种密码算法,将用户的身份代码和某种不确定因素作为密码算法的输入参数,经过算法变换得到一个变化的结果,将其作为用户的登录口令。认证服务器端使用相应的算法进行计算,并将计算结果与用户的登录口令进行比对,若相同则接受登录。由此得到变化的、不重复的动态口令,且无需用户记忆,一个口令只能使用一次,重复使用将被拒绝接受登录。现有生成动态口令认证的终端有硬件令牌、短信密码、手机令牌、软件令牌四种,这四种存在如下不足:一是仅实现服务器对客户端的单向认证,无法防范假冒的服务器欺骗合法用户,如果攻击者截取服务器的认证信息,可以利用数据库,口令重放等手段冒充服务器欺骗客户端。二是容易遭受小数攻击,当客户端向认证服务器请求认证时,攻击者可通过网络窃听截获认证服务器传送的挑战信息(即Seed和Iteration),并修改Iteration为较小值,然后假冒服务器将截获的Seed和较小的Iteration发给客户端。客户端利用攻击者传送的Seed和Iteration计算出一次性口令,并传送给服务器。攻击者再次截获客户端传来的一次性口令,并利用已知的单向散列函数依次计算...
【技术保护点】
一种用于客户端的认证方法,其特征在于,包括:生成第一动态交互验证信息;将所述第一动态交互验证信息发送至服务端;接收所述服务端发送的根据所述第一动态交互验证信息生成的第二动态交互验证信息;根据所述第二动态交互验证信息判断所述服务端是否合法,以及根据所述第二动态交互验证信息生成第三动态交互验证信息;若合法,则将所述第三动态交互验证信息发送至服务端,以供所述服务端根据所述第三动态交互验证信息判断所述客户端是否通过认证。
【技术特征摘要】
1.一种用于客户端的认证方法,其特征在于,包括:生成第一动态交互验证信息;将所述第一动态交互验证信息发送至服务端;接收所述服务端发送的根据所述第一动态交互验证信息生成的第二动态交互验证信息;根据所述第二动态交互验证信息判断所述服务端是否合法,以及根据所述第二动态交互验证信息生成第三动态交互验证信息;若合法,则将所述第三动态交互验证信息发送至服务端,以供所述服务端根据所述第三动态交互验证信息判断所述客户端是否通过认证。2.根据权利要求1所述的用于客户端的认证方法,其特征在于,客户端和所述服务端上均预先存储有相应的或相同的信息处理方法,所述客户端根据所述信息处理方法对动态交互验证信息的处理结果与所述服务端对所述动态交互验证信息的处理结果是相应的或相同的;所述根据所述第二动态交互验证信息判断所述服务端是否合法的步骤,包括:根据预先存储的信息处理方法对所述第二动态交互验证信息进行处理,根据处理结果是否符合预期判断所述服务端是否合法。3.根据权利要求2所述的用于客户端的认证方法,其特征在于,所述客户端和所述服务端上均预先存储有多组相应的或相同的信息处理方法,且每组所述信息处理方法在所述客户端和所述服务端上均具有相应或相同的信息处理方法标识;所述动态交互验证信息中包含有信息处理方法标识;所述根据预先存储的信息处理方法对所述第二动态交互验证信息进行处理,根据处理结果判断所述服务端是否合法的步骤,包括:根据所述第一动态交互验证信息中的信息处理方法标识查询对应的预先存储的信息处理方法;根据所述信息处理方法对所述第二动态交互验证信息进行处理,根据处理结果是否符合预期判断所述服务端是否合法。4.根据权利要求3所述的用于客户端的认证方法,其特征在于,所述信息处理方法标识在所述客户端与所述服务端之间同步且定时变更。5.根据权利要求1所述的用于客户端的认证方法,其特征在于,客户端和所述服务端上均预先存储有相同的含有量子态制备基的量子态库,所述量子态制备基用于制备量子比特串或测量量子比特串,每个所述量子态制备基均有对应的量子态制备基标识,所述第一动态交互验证信息包括所述量子态制备基标识;所述第二动态交互验证信息包括所述服务端根据所述量子态制备基标识在服务端查询相应的量子态制备基,并通过所述量子态制备基生成第一量子比特串;所述根据所述第二动态交互验证信息判断所述服务端是否合法的步骤,包括:采用与所述量子态制备基标识对应的量子态制备基对所述第一量子比特串的比特值进行测量,获得比特值测量结果;根据所述比特值测量结果是否符合预期判断所述服务端是否合法。6.根据权利要求5所述的用于客户端的认证方法,其特征在于,所述生成第一动态交互验证信息的步骤,包括:从量子态库中选择至少一种量子态制备基;提取所述量子态制备基的量子态制备基标识;生成包含所述量子态制备基标识的第一动态交互验证信息。7.根据权利要求5所述的用于客户端的认证方法,其特征在于,所述从量子态库中选择至少一种量子态制备基采用随机选择的方式,每一次认证选择的量子态制备基均不相同。8.根据权利要求5所述的用于客户端的认证方法,其特征在于,所述第一动态交互验证信息还包括第一量子比特串长度;所述第二动态交互验证信息包括所述服务端根据所述量子态制备基标识在服务端查询相应的量子态制备基,并根据所述第一量子比特串长度通过所述量子态制备基生成的第一量子比特串,所述第一量子比特串通过所述量子态制备基发送至客户端。9.根据权利要求7所述的用于客户端的认证方法,其特征在于,所述第二动态交互验证信息还包括将所述第一量子比特串进行十进制转换后获得的十进制第一量子比特串;所述根据所述第二动态交互验证信息判断所述服务端是否合法的步骤,包括:采用与所述量子态制备基标识对应的量子态制备基对所述第一量子比特串的比特值进行测量,获得比特值测量结果;将所述十进制第一量子比特串按照十进制转换方法转换为转换后的第一量子比特串;测量所述第一量子比特串的长度,获得比特串长度测量结果;根据所述比特值测量结果是否符合预期和所述比特串长度测量结果是否符合预期判断所述服务端是否合法。10.根据权利要求5所述的用于客户端的认证方法,其特征在于,所述客户端与所述服务端上均预先存储有相同的量子串长度数据库,所述第一动态交互验证信息还包括第一量子比特串长度代码;所述第二动态交互验证信息包括所述服务端根据所述量子态制备基标识在量子态库中查询相应的量子态制备基、根据所述第一量子比特串长度代码在量子串长度数据库中查询相应的第一量子比特串长度,然后根据所述第一量子比特串长度通过所述量子态制备基生成第一量子比特串,所述第一量子比特串通过所述量子态制备基发送至客户端。11.根据权利要求5所述的用于客户端的认证方法,其特征在于,所述采用与所述量子态制备基标识对应的量子态制备基对所述第一量子比特串的比特值进行测量的步骤,包括:在量子态库中查找与所述量子态制备基标识对应的量子态制备基;随机选择所述量子态制备基的量子态对所述第一量子比特串的比特值进行测量。12.根据权利要求5所述的用于客户端的认证方法,其特征在于,所述根据所述第二动态交互验证信息生成第三动态交互验证信息的步骤,包括:将所述比特值测量结果及测量时使用的量子态的量子位标识作为第三动态交互验证信息。13.根据权利要求5所述的用于客户端的认证方法,其特征在于,所述第二动态交互验证信息还包括所述服务端选择的量子态制备基的代码及第二量子比特串长度;所述根据所述第二动态交互验证信息生成第三动态交互验证信息的步骤,包括:在量子态库中查询与所述服务端选择的量子态制备基的代码相对应的量子态制备基;根据所述第二量子比特串长度,通过所述量子态制备基生成第二量子比特串;生成包含所述第二量子比特串的第三动态交互验证信息。14.根据权利要求13所述的用于客户端的认证方法,其特征在于,所述根据所述第二动态交互验证信息生成第三动态交互验证信息的步骤,还包括:将所述第二量子比特串按照十进制转换方法进行转换,获得十进制第二量子比特串;所述生成包含所述第二量子比特串的第三动态交互验证信息的步骤,包括:生成包含所述第二量子比特串和所述十进制第二量子比特串的第三动态交互验证信息。15.根据权利要求13或14所述的用于客户端的认证方法,其特征在于,所述若合法,则将所述第三动态交互验证信息发送至服务端的步骤,包括:若合法,则将所述第二量子比特串采用所述量子态制备基发送至服务端。16.根据权利要求5所述的用于客户端的认证方法,其特征在于,所述客户端的量子态库与所述服务端的量子态库同步且按照预定的规则定时变更。17.根据权利要求1所述的用于客户端的认证方法,其特征在于,所述第一动态交互验证信息包括客户端的身份标识,所述身份标识用于服务端对所述客户端进行初步认证。18.根据权利要求17所述的用于客户端的认证方法,其特征在于,所述客户端的身份标识包括客户端的用户识别码和身份证书。19.根据权利要求1所述的用于客户端的认证方法,其特征在于,所述将所述第一动态交互验证信息发送至服务端的步骤,包括:将全部或部分所述第一动态交互验证信息采用密钥加密后发送至服务端;所述若合法,则将所述第三动态交互验证信息发送至服务端的步骤,包括:若合法,则将全部或部分所述第三动态交互验证信息采用密钥加密后发送至服务端。20.根据权利要求19所述的用于客户端的认证方法,其特征在于,所述密钥与所述服务端解密使用的密钥互为对称量子密钥,或互为公私密钥。21.根据权利要求1所述的用于客户端的认证方法,其特征在于,所述接收所述服务端发送的根据所述第一动态交互验证信息生成的第二动态交互验证信息的步骤,包括:接收所述服务端发送的至少部分信息已加密的根据所述第一动态交互验证信息生成的第二动态交互验证信息;采用与所述服务端加密使用的密钥相对应的解密密钥对加密部分信息进行解密。22.根据权利要求21所述的用于客户端的认证方法,其特征在于,所述解密密钥与所述服务端加密使用的密钥互为对称量子密钥,或互为公私密钥。23.一种用于客户端的认证装置,其特征在于,包括:第一动态交互验证信息生成单元,用于生成第一动态交互验证信息;第一动态交互验证信息发送单元,用于将所述第一动态交互验证信息发送至服务端;第二动态交互验证信息接收单元,用于接收所述服务端发送的根据所述第一动态交互验证信息生成的第二动态交互验证信息;第二动态交互验证信息验证单元,用于根据所述第二动态交互验证信息判断所述服务端是否合法,以及根据所述第二动态交互验证信息生成第三动态交互验证信息;第三动态交互验证信息发送单元,用于若合法,则将所述第三动态交互验证信息发送至服务端,以供所述服务端根据所述第三动态交互验证信息判断所述客户端是否通过认证。24.根据权利要求23所述的用于客户端的认证装置,其特征在于,客户端和所述服务端上均预先存储有相应的或相同的信息处理方法,所述客户端根据所述信息处理方法对动态交互验证信息的处理结果与所述服务端对所述动态交互验证信息的处理结果是相应的或相同的;所述第二动态交互验证信息验证单元包括:处理判断子单元,用于根据预先存储的信息处理方法对所述第二动态交互验证信息进行处理,根据处理结果判断所述服务端是否合法。25.根据权利要求24所述的用于客户端的认证装置,其特征在于,所述客户端和所述服务端上均预先存储有多组相应的或相同的信息处理方法,且每组所述信息处理方法在所述客户端和所述服务端上均具有相应或相同的信息处理方法标识;所述动态交互验证信息中包含有信息处理方法标识;所述处理判断子单元,包括:处理方法查询子单元,用于根据所述第一动态交互验证信息中的信息处理方法标识查询对应的预先存储的信息处理方法;处理方法处理子单元,用于根据所述信息处理方法对所述第二动态交互验证信息进行处理,根据处理结果判断所述服务端是否合法。26.根据权利要求25所述的用于客户端的认证装置,其特征在于,所述信息处理方法标识在所述客户端与所述服务端之间同步且定时变更。27.根据权利要求23所述的用于客户端的认证装置,其特征在于,客户端和所述服务端上均预先存储有相同的含有量子态制备基的量子态库,所述量子态制备基用于制备量子比特串或测量量子比特串,每个所述量子态制备基均有对应的量子态制备基标识,所述第一动态交互验证信息包括所述量子态制备基标识;所述第二动态交互验证信息包括所述服务端根据所述量子态制备基标识在服务端查询相应的量子态制备基,并通过所述量子态制备基生成第一量子比特串;所述第二动态交互验证信息验证单元包括:第一量子测量子单元,用于采用与所述量子态制备基标识对应的量子态制备基对所述第一量子比特串的比特值进行测量,获得比特值测量结果;第一量子判断子单元,用于根据所述比特值测量结果是否符合预期判断所述服务端是否合法。28.根据权利要求27所述的用于客户端的认证装置,其特征在于,所述第一动态交互验证信息生成单元包括:第一制备基选择子单元,用于从量子态库中选择至少一种量子态制备基;第一标识提取子单元,用于提取所述量子态制备基的量子态制备基标识;第一验证信息生成子单元,用于生成包含所述量子态制备基标识的第一动态交互验证信息。29.根据权利要求27所述的用于客户端的认证装置,其特征在于,所述从量子态库中选择至少一种量子态制备基采用随机选择的方式,每一次认证选择的量子态制备基均不相同。30.根据权利要求27所述的用于客户端的认证装置,其特征在于,所述第一动态交互验证信息还包括第一量子比特串长度;所述第二动态交互验证信息包括所述服务端根据所述量子态制备基标识在服务端查询相应的量子态制备基,并根据所述第一量子比特串长度通过所述量子态制备基生成的第一量子比特串,所述第一量子比特串通过所述量子态制备基发送至客户端。31.根据权利要求30所述的用于客户端的认证装置,其特征在于,所述第二动态交互验证信息还包括将所述第一量子比特串进行十进制转换后获得的十进制第一量子比特串;所述第二动态交互验证信息验证单元包括:第二量子测量子单元,用于采用与所述量子态制备基标识对应的量子态制备基对所述第一量子比特串的比特值进行测量,获得比特值测量结果;第二转换子单元,用于将所述十进制第一量子比特串按照十进制转换方法转换为转换后的第一量子比特串;第二长度测量子单元,用于测量所述第一量子比特串的长度,获得比特串长度测量结果;第二判断子单元,用于根据所述比特值测量结果是否符合预期和所述比特串长度测量结果是否符合预期判断所述服务端是否合法。32.根据权利要求27所述的用于客户端的认证装置,其特征在于,所述客户端与所述服务端上均预先存储有相同的量子串长度数据库,所述第一动态交互验证信息还包括第一量子比特串长度代码;所述第二动态交互验证信息包括所述服务端根据所述量子态制备基标识在量子态库中查询相应的量子态制备基、根据所述第一量子比特串长度代码在量子串长度数据库中查询相应的第一量子比特串长度,然后根据所述第一量子比特串长度通过所述量子态制备基生成第一量子比特串,所述第一量子比特串通过所述量子态制备基发送至客户端。33.根据权利要求27所述的用于客户端的认证装置,其特征在于,所述第一量子测量子单元包括:第一量子查询子单元,用于在量子态库中查找与所述量子态制备基标识对应的量子态制备基;第一随机测量子单元,用于随机选择所述量子态制备基的量子态对所述第一量子比特串的比特值进行测量。34.根据权利要求27所述的用于客户端的认证装置,其特征在于,所述第二动态交互验证信息验证单元包括:第三动态验证信息生成子单元,用于将所述比特值测量结果及测量时使用的量子态的量子位标识作为第三动态交互验证信息。35.根据权利要求27所述的用于客户端的认证装置,其特征在于,所述第二动态交互验证信息还包括所述服务端选择的量子态制备基标识及第二量子比特串长度;所述第二动态交互验证信息验证单元包括:第二量子查询子单元,用于在量子态库中查询与所述服务端选择的量子态制备基标识相对应的量子态制备基;第二量子制备子单元,用于根据所述第二量子比特串长度,通过所述量子态制备基生成第二量子比特串;第三信息生成子单元,用于生成包含所述第二量子比特串的第三动态交互验证信息。36.根据权利要求35所述的用于客户端的认证装置,其特征在于,所述第二动态交互验证信息验证单元还包括:十进制转换子单元,用于将所述第二量子比特串按照十进制转换方法进行转换,获得十进制第二量子比特串;所述第三信息生成子单元包括:十进制第三信息生成子单元,用于生成包含所述第二量子比特串和所述十进制第二量子比特串的第三动态交互验证信息。37.根据权利要求35或36所述的用于客户端的认证装置,其特征在于,所述第三动态交互验证信息发送单元包括:第三动态交互验证信息量子发送子单元,用于若合法,则将所述第二量子比特串采用所述量子态制备基发送至服务端。38.根据权利要求27所述的用于客户端的认证装置,其特征在于,所述客户端的量子态库与所述服务端的量子态库同步且按照预定的规则定时变更。39.根据权利要求23所述的用于客户端的认证装置,其特征在于,所述第一动态交互验证信息包括客户端的身份标识,所述身份标识用于服务端对所述客户端进行初步认证。40.根据权利要求39所述的用于客户端的认证装置,其特征在于,所述客户端的身份标识包括客户端的用户识别码和身份证书。41.根据权利要求23所述的用于客户端的认证装置,其特征在于,所述第一动态交互验证信息发送单元包括:第一动态交互验证信息加密子单元,用于将全部或部分所述第一动态交互验证信息采用密钥加密后发送至服务端;所述第三动态交互验证信息发送单元包括:第三动态交互验证信息加密子单元,用于若合法,则将全部或部分所述第三动态交互验证信息采用密钥加密后发送至服务端。42.根据权利要求41所述的用于客户端的认证装置,其特征在于,所述密钥与所述服务端解密使用的密钥互为对称量子密钥,或互为公私密钥。43.根据权利要求23所述的用于客户端的认证装置,其特征在于,所述第二动态交互验证信息接收单元包括:加密第二动态交互验证信息接收子单元,用于接收所述服务端发送的至少部分信息已加密的根据所述第一动态交互验证信息生成的第二动态交互验证信息;第二动态交互验证信息解密子单元,用于采用与所述服务端加密使用的密钥相对应的解密密钥对加密部分信息进行解密。44.根据权利要求43所述的用于客户端的认证装置,其特征在于,所述解密密钥与所述服务端加密使用的密钥互为对称量子密钥,或互为公私密钥。45.一种用于服务端的认证方法,其特征在于,包括:接收客户端发送的第一动态交互验证信息;根据所述第一动态交互验证信息生成第二动态交互验证信息;将所述第二动态交互验证信息发送至所述客户端;接收所述客户端发送的...
【专利技术属性】
技术研发人员:付颖芳,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。