公开(公告)号：CN105187382B

公开(公告)日：2018-03-06

申请号：CN201510473859.9

申请日：2015-08-05

Applicant: 西安电子科技大学

Inventor： 金方园 ,  杨超 ,  马建峰 ,  李金库 ,  安迪 ,  何思蒙

IPC: H04L29/06

Abstract: 本发明公开了一种防止撞库攻击的多因子身份认证方法，主要解决现有网站登录系统中用户口令易遭暴力破解及撞库攻击的问题。本发明的多因子为用户口令，手机和手环，三者缺一不可，共同完成用户身份的安全认证。其实现步骤是：(1)用户用短口令由中止密钥导出函数生成原始主密钥，结合与手环和手机分别相关的两个随机数对原始主密钥进行两次加工，生成服务器存储口令并存在服务器；(2)用户结合手环和手机两个因子先后导出原始主密钥和两个不同的随机数，生成服务器存储口令；(3)用户用服务器存储口令与服务器交互认证。本发明针对不同网站生成不同的原始主密钥并安全保护，有效避免了单一口令易被盗用并进行身份伪装的危险。

公开(公告)号：CN105187382A

公开(公告)日：2015-12-23

申请号：CN201510473859.9

申请日：2015-08-05

Applicant: 西安电子科技大学

Inventor： 金方园 ,  杨超 ,  马建峰 ,  李金库 ,  安迪 ,  何思蒙

IPC: H04L29/06

CPC classification number: H04L63/083 ,  H04L63/0853

Abstract: 本发明公开了一种防止撞库攻击的多因子身份认证方法，主要解决现有网站登录系统中用户口令易遭暴力破解及撞库攻击的问题。本发明的多因子为用户口令，手机和手环，三者缺一不可，共同完成用户身份的安全认证。其实现步骤是：(1)用户用短口令由中止密钥导出函数生成原始主密钥，结合与手环和手机分别相关的两个随机数对原始主密钥进行两次加工，生成服务器存储口令并存在服务器；(2)用户结合手环和手机两个因子先后导出原始主密钥和两个不同的随机数，生成服务器存储口令；(3)用户用服务器存储口令与服务器交互认证。本发明针对不同网站生成不同的原始主密钥并安全保护，有效避免了单一口令易被盗用并进行身份伪装的危险。