专利名称:基于动态口令的身份认证方法及系统的制作方法
技术领域:
本发明涉及身份认证的方法及系统,特别是关于一种基于动态口令的身 份认证方法及系统。
背景技术:
随着计算机应用和因特网的普及,各种远程交易系统已经被越来越多地 推广和应用,交易方式也从传统的面对面的柜台有纸交易转向虚拟柜台无纸 交易,如,电话银行、网上银行、远程报税等等。作为远程交易系统,客户 信息、特别是账户、资金等重要信息的安全是人们最为关心的问题,作为保 证信息安全的第一道防线——客户身份鉴别是至关重要的,如何阻止非授权 客户对系统的入侵是系统必须首先解决的问题。目前,在涉及交易安全方面 网络系统中多采用动态口令认证方式,该认证方式给客户一张口令卡,如图1 所示,客户端的口令卡是一张以矩阵形式印有若干字符串的文字卡片,每个 字符串可以由横、纵坐标确定。
申请号为200610169595.9的发明专利公开了一种认证方法,包括客户 在申领口令时,将所申请的口令卡的"序列号"与客户进行绑定。在口令卡 使用过程中,认证服务器会向客户提问坐标数据,如"A3" 、 "B2",客户 刮开提问坐标的区域获得相应的口令,将所述的口令输入系统中供认证服务 器认证。
随着口令卡使用次数的增多,口令卡的口令覆膜会被逐渐刮开,当使用 到一定次数后整张卡的绝大部分甚至是全部坐标的覆膜都将刮开,那时口令 卡的口令信息将完全暴露,在客户保管不当的情况下容易被他人偷窥、复印 或者拍照,将失去口令卡认证身份的功能,甚至威胁到客户信息、客户资金
等安全。
本发明将上述申请号为200610169595.9的发明专利作为本发明的现有技 术合并于此。
发明内容
本发明的目的为提供一种基于动态口令的身份认证方法及系统。
所述方法包括以下步骤随机生成一组动态口令,每个动态口令均具有 唯一性;建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐 标数据的对应关系进行存储;设置所述动态口令的坐标偏移数据;在进行动 态口令安全认证时提示一组所述的坐标数据;接收输入的动态口令;根据 提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动 态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令;将输入 的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认 证结果。
所述系统包括安全服务装置、数据管理装置、服务提供装置、客户终端 装置。其中所述的客户终端装置连接于所述的服务提供装置,包括终端提
示单元,用于在客户终端装置上提示输入坐标偏移数据或提示一组坐标数据; 终端输入单元,用于根据提示输入坐标偏移数据或动态口令;所述的服务提 供装置连接于所述的数据管理装置、安全服务装置和客户终端装置,用于生 成坐标偏移数据输入界面数据或动态口令输入界面数据,并将所述界面数据 发送给客户终端装置,再接收在客户终端装置输入坐标偏移数据或用于认证 的动态口令,并发送给所述的安全服务装置;所述的安全服务装置连接于所 述的数据管理装置及所述的服务提供装置,包括动态口令生成单元,用于 随机生成一组动态口令并且每个动态口令均具有唯一性;动态口令坐标单元, 用于建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐标数 据的对应关系进行存储;提示坐标数据生成单元,用于选择一组坐标数据,
生成提示坐标数据发送给所述的服务提供装置,供所述的服务提供装置生成
动态口令输入界面数据;口令认证单元,用于根据提示的坐标数据与所述的 坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应 关系中获得偏移坐标数据对应的动态口令,将输入的动态口令与获取的偏移 坐标数据对应的动态口令进行一致性比较,输出认证结果;所述的数据管理 装置连接于所述的服务提供装置,用于存储所述的每个动态口令与一坐标数 据的对应关系及坐标偏移数据。
本发明提供的实现安全身份认证的系统及方法,克服了目前动态口令认 证方式中存在口令卡口令信息容易暴露,容易被他人偷窥、复印或者拍照等, 从而危及客户信息或财产安全的问题。
图1为现有的动态口令卡示意图2为本发明的基于动态口令的身份认证系统的结构图;图3为实施例中本发明的系统中安全服务装置的结构图4为实施例中本发明的系统中安全服务装置的结构图5为实施例中本发明的系统中客户终端装置的结构图6为实施例中本发明提供给用户需输入的卡坐标数据的界面;
图7为实施例中本发明动态口令验证方法的流程;
图8为实施例中本发明动态口令卡的动态口令与坐标数据对应关系列表 承载面。
具体实施例方式
本发明是使用动态口令卡实现网上在线支付的一种安全认证方法,其包 括两个方面-
1)动态口令卡是一张随机生成的用于客户身份认证的卡,它的坐标值通 过一定随机数生成算法保证唯一性和随机性;
SHA1PRNG:是一种随机数生成(PRNG)算法,该算法符合正EEP1363标 准,用SHA1作为PRNG的基础,它计算一个真随机种子值上的SHA1散列, 该真随机种子值与一个64位的计数器串接在一起,每运算一次值就增加1, 对真随机种子值计算SHA1散列后,从160位的SHA1输出中,只用64位。
2)通过采用基于挑战/应答(Challenge/Response)的安全身份认证机制, 保证客户在线支付每次所使用的挑战口令都是随机的,保证安全性。
申领了动态口令卡的客户通过网上银行办理的对外支付交易均需使用动 态口令进行客户身份确认。通过系统将动态口令卡与领用客户帐号进行绑定。 领取动态口令卡后,客户需使用客户终端装置设置动态口令的坐标偏移数据, 最佳的实施方式是到银行柜面凭证件及银行卡号或账号在专门的客户终端装 置输入坐标偏移数据,每次需要客户使用口令时,网上银行系统将提示客户 输入动态口令卡上坐标位置的口令,系统将对客户录入的口令进行认证。
下面将对照附图,对本发明的具体实施方式
进行详细说明。
如图2所示,本发明的身份认证系统中具有数据管理装置201,该数据管 理装置201可以是一个PC服务器或主机,运行数据库管理系统,存放客户的 网银动态口令卡安全数据信息,如动态口令卡的卡号、卡坐标序号、卡坐标 数据、动态口令的坐标偏移数据等安全认证信息,并负责认证通过后的客户 访问管理。
认证系统中服务提供装置202可以是一个Web应用服务器,为客户提供 预留信息登记、为商城提供基于http和https的服务的网上交易接口,和企业 商城服务装置207进行交互。当商城服务装置207幵始访问服务提供装置202 中涉及网上支付的交易时,必须首先通过银行的安全服务装置204的安全认 证。服务提供装置202用于生成坐标偏移数据输入界面数据和动态口令输入 界面数据,并将所述界面数据发送给客户终端装置,再接收在客户终端输入 的所述的坐标偏移数据或用于认证的动态口令,并发送给安全服务装置。服 务提供装置202还负责提供设置坐标偏移数据的功能。客户在申请使用口令
卡时进行坐标偏移数据设置,包括设置横坐标偏移数据m (-M < m < M, M 为口令卡总的横坐标个数),以及设置纵坐标偏移数据n (-N<n<N, N为 口令卡总的纵坐标个数)。客户终端装置208向服务提供装置202发出坐标 偏移数据设置请求,服务提供装置202生成坐标偏移数据输入界面的数据, 并将所述界面数据发送给客户终端装置208,客户终端装置208显示坐标偏移 数据输入界面,客户在客户终端装置208上输入横坐标偏移数据m和纵坐标 偏移数据n,客户终端装置208将包含客户输入的横坐标偏移数据m和纵坐 标偏移数据n的数据发送给服务提供装置进行处理,服务提供装置202判断 客户终端装置208发送的数据为涉及安全身份认证的数据后,转发给安全服 务装置204进行处理。
安全服务装置204是一个安全认证服务器,为企业商城提供数字签名的 认证服务,负责企业商城证书数字签名的合法性校验。如图3所示,所述的 安全服务装置包括动态口令生成单元301,用于随机生成一组动态口令并且 每个动态口令均具有唯一性;动态口令坐标单元302,用于建立每个动态口令 与一组坐标数据的对应关系,并将动态口令与坐标数据的对应关系进行存储; 提示坐标数据生成单元303,用于选择一组坐标数据,生成提示坐标数据发送 给所述的服务提供装置,供所述的服务提供装置生成动态口令输入界面数据; 口令认证单元304,用于根据提示的坐标数据与所述的坐标偏移数据之和获得 偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数 据对应的动态口令,将用户输入的动态口令与获取的偏移坐标数据对应的动 态口令进行一致性比较,输出认证结果。所述的口令认证单元304还可将用 户输入的坐标偏移数据保存至数据管理装置201。
如图4所示,本发明的安全服务装置202还可包括坐标偏移数据处理单 元305,用于检査用户输入的坐标偏移数据是否在合理的范围内,如果是则在 数据管理装置中保存所述的坐标偏移数据。服务提供装置202将用户设置的 坐标偏移数据转发给安全服务装置204进行处理时,坐标偏移数据处理单元305对所述数据进行检査,比如横坐标偏移数据m和纵坐标偏移数据n是否 在合理的数数据范围内(即-]VKnKM, -N<n<N),安全服务装置202完 成数据检查后将坐标偏移数据(m, n)保存到数据管理装置201中。
客户终端装置208是网络系统的客户端,也可以是一台个人PC,安装有 浏览器软件,也可以是其它能够运行浏览器软件的装置,如NC、 Windows图 形终端等。它有显示装置和输入装置,输入装置可以是键盘和鼠标。它通过 调制解调器(Modem)或网卡连接到公共网络。如图5所示,所述的客户终 端装置208包括终端提示单元501,用于在客户终端装置上提示输入坐标偏 移数据或提示坐标数据;终端输入单元502,用于根据提示输入坐标偏移数据 或动态口令。客户终端装置208还可包括显示单元,登录网银系统进行对外 支付时,通过网银提供的动态口令卡对外支付功能,发起交易请求,并接收 到银行服务提供装置202返回的交易结果数据后,在所述的显示装置中显示 提供给用户提示坐标数据的界面。如图6所示,例如当用户通过鼠标或键盘 触发认证界面中的提交事件,如使用鼠标单击认证界面中的"确认"按钮, 客户终端装置208便将交易数据发送给服务提供装置202。客户终端装置208 发出身份认证请求,将身份认证请求发送给服务提供装置202,服务提供装置 202判断数据为安全身份认证的数据后,转发给安全服务装置204,再调用提 示坐标数据生成单元303采用随机数处理机制随机生成提示坐标数据(x, y), 所述的提示坐标数据是根据动态口令坐标单元302,建立的动态口令与坐标数 据的对应关系选出的。提示坐标数据生成单元303将提示坐标数据(x, y) 发送给服务提供装置202,由服务提供装置202生成提示输入动态口令的画面 信息数据,服务提供装置202将提示输入动态口令的画面信息数据发送给客 户终端装置208,由客户终端装置208显示提示输入动态口令的画面。
服务提供装置202将包含客户输入的动态口令数据转发给安全服务装置 204进行认证时,安全服务装置204调用口令认证单元304对客户输入的动态 口令进行认证。口令认证单元304在认证动态口令时,通过访问数据管理装
置101,读取存储在数据管理装置101中的客户设置的坐标偏移数据(m, n), 根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据(x+m, y+n),即客户应输入的正确口令的坐标数据,从所述的动态口令与坐标数据 的对应关系中获得偏移坐标数据对应的动态口令,将客户从动态口令卡获得 并输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较, 如果一致则客户身份认证通过,如果不一致则客户身份认证不通过,口令认 证单元304将口令认证结果返回给安全服务装置204,安全服务装置204再将 身份认证的结果发送给服务提供装置202,服务提供装置202生成显示客户身 份认证结果的画面数据信息,并发送给客户终端装置208,客户终端装置208 显示客户身份认证结果界面。
内部网络203为企业的局域网,可以是以太网(Ethernet),也可以是其 它局域网络,如光纤分布式数据接口 (FDDI)、令牌环(Token-Ring)等。
网络安全装置205为防火墙,用于保护企业内部网络的安全,防止公共 网络中的非法用户对内部网络的访问和攻击。
公共网络206可以是互联网(Internet),也可以是其它企业外部网 (Extranet)。客户终端装置通过公共网络联接到银行网银服务提供装置和商 城的服务提供装置。在本发明一实施例中所述的用于设置坐标偏移数据的客 户终端装置通过内部网络203与所述的安全服务装置204连接,客户必须到 银行柜面凭证件及银行卡号或账号设置口令坐标偏移数据。
本发明设置口令坐标偏移数据及验证的方法的具体流程如图7所示。
步骤S701,设置所述动态口令的坐标偏移数据输入动态口令坐标偏移 数据,检查所述的坐标偏移数据是否在合理的数数据范围内,如果是则对其 进行存储。客户在申请使用口令卡时,先设置坐标偏移数据,包括设置横坐 标偏移数据m (-M<m<M, M为口令卡总的横坐标个数),以及设置纵坐标 偏移数据n (-N<n<N, N为口令卡总的纵坐标个数)。在设置坐标偏移数据 时,客户终端装置208向服务提供装置202发出坐标偏移数据设置请求,服
务提供装置202生成坐标偏移数据输入界面的数据,并将所述界面数据发送 给客户终端装置208,客户终端装置208显示坐标偏移数据输入界面,客户在 客户终端装置208上输入横坐标偏移数据m和纵坐标偏移数据n,客户终端 装置208将包含客户输入的横坐标偏移数据m和纵坐标偏移数据n的数据发 送给服务提供装置进行处理,服务提供装置202判断客户终端装置208发送 的数据为涉及安全身份认证的数据后,转发给安全服务装置204进行处理。 安全服务装置204将所述数据转给坐标偏移数据处理单元305进行处理,坐 标偏移数据处理单元305对所述数据进行检查,比如横坐标偏移数据m和纵 坐标偏移数据n是否在合理的数数据范围内,坐标偏移数据处理单元305完 成数据检查后将坐标偏移数据(m, n)保存到数据管理装置201中。
步骤S702,提示所述的坐标数据客户终端装置208发出身份认证请求。 客户在客户终端装置208输入含身份标识(如银行卡号)的数据,客户终端 装置208将身份认证请求发送给服务提供装置202,服务提供装置202判断数 据为安全身份认证的数据后,转发给安全服务装置204,安全服务装置204从 身份认证请求数据中获得客户身份标识,访问数据管理装置201,读取客户的 动态口令卡数据。安全服务装置204的提示坐标数据生成单元303采用随机 数处理机制随机生成提示坐标数据(x, y),并发送给服务提供装置202,由 服务提供装置202生成输入动态口令的画面信息数据,服务提供装置202将 所述的画面信息数据发送给客户终端装置208,由客户终端装置208显示该的 画面。
步骤S703,接收输入的动态口令客户看到提示的挑战坐标(x, y), 根据自行设置的坐标偏移数据(m, n),在口令卡中查找坐标(x+m, y+m) 对应的动态口令A并在客户终端装置208中输入该动态口令A,客户终端装 置208将该动态口令A发送给服务提供装置202,服务提供装置202判断客 户终端装置208发送的数据为涉及安全身份认证的数据后,转发给安全服务 装置204进行处理。
步骤S704,根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐 标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应 的动态口令,将输入的动态口令与获取的偏移坐标数据对应的动态口令进行 一致性比较,输出认证结果根据提示的坐标数据(x, y)与所述的坐标偏 移数据(m, n)之和(x+m, y+n)获得偏移坐标数据,从所述的动态口令与 坐标数据的对应关系中获得偏移坐标数据对应的动态口令,将输入的动态口 令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果。 服务提供装置202将包含客户输入的动态口令的数据转发给安全服务装置204 进行认证时,安全服务装置204调用口令认证单元304对客户输入的动态口 令进行认证。口令认证单元304在认证所述的动态口令时,访问数据管理装 置101,读取存储在数据管理装置101中的客户设置的坐标偏移数据(m, n), 根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据(x+m, y+n),即客户应输入的正确口令的坐标数据,从所述的动态口令与坐标数据 的对应关系中获得偏移坐标数据对应的动态口令A,将客户从动态口令卡获 得并输入的动态口令A与获取的偏移坐标数据对应的动态口令进行一致性比 较,如果一致则客户身份认证通过,如果不一致则客户身份认证不通过,口 令认证单元304将口令认证结果返回给安全服务装置204,安全服务装置204 再将身份认证的结果发送给服务提供装置202,服务提供装置202生成显示客 户身份认证结果的画面数据信息,并发送给客户终端装置208,客户终端装置 208显示客户身份认证结果界面。
图7为动态口令卡的动态口令与坐标数据对应关系列表承载面,该动态 口令与坐标数据对应关系列表采用矩阵方式排列,分横纵10 X 10组口令数据, 可由厂商提前印制成卡并加盖不透明覆膜。
还可采用PDA作为存储动态口令的便携式可读存储介质,在PDA的屏 幕上显示以矩阵方式排列的动态口令与坐标数据对应关系列表,该动态口令 与坐标数据对应关系列表分横纵10X10组口令数据,由厂商提前存储到PDA 中。这里也可采取手机等替代方案。
如图6所示,客户终端装置的显示器上显示有坐标提示,其中提示了两 组坐标数据, 一组坐标数据是32,另一组坐标数据是62。如果用户设置的坐 标偏移数据为(9, -2),则偏移坐标数据为(3+9, 2-2)和(6+9, 2-2)即 (12, 0)和(15, 0),此时口令认证单元304可对超过横纵坐标最大数据 的12及15作取模运算12 mod 10, 15 mod 10 (10为横/纵坐标的个数)即 取得12及15除以10的余数12mod1(^2, 15 mod 10 = 5,最后得出坐标数 据(2, 0)和(5, 0)。如果提示坐标数据加坐标偏移数据出现了负数,例 如(-2, 0),则将该负数与其对应的横或纵坐标的总个数相加,此处为10+ (-2) = 8,即得出偏移坐标数据(8, 1)。在査阅包含图8所示的对应关系 的动态口令卡或PDA时,可从显示的动态口令与坐标数据对应关系列表中读 出,(2, 0)坐标位置上对应的动态口令为B2F, (5, 0)坐标位置上对应 的动态口令为574。客户终端装置的显示器上还显示有口令输入框,将B2F574 输入到客户终端装置进行动态口令认证。
在另一实施例中,设置完坐标偏移数据后,可进行以下流程安全服务 装置204采用随机数处理机制随机生成真实动态口令坐标(x, y)后,再调 用提示坐标数据生成单元303生成提示坐标数据,提示坐标数据生成单元303 读取数据管理装置201中保存的客户设置的坐标偏移值(m, n)后,计算得 到提示坐标数据(x-m, y-n),并将提示坐标数据(x-m, y-n)发送给服务提 供装置202,由服务提供装置202生成输入动态口令的画面信息数据,服务提 供装置202将所述的画面信息数据发送给客户终端装置208,由客户终端装置 208进行显示。客户看到提示的坐标数据(x-m, y-n),根据自行设置的坐标 偏移数据(m, n)得到真正动态口令坐标数据(x-m+m, y-n+m) = (x, y), 再对照口令卡查找坐标(x, y)对应的动态口令A。客户在客户终端装置208 中输入该动态口令A,客户终端装置208将该动态口令A发送给服务提供装 置202,服务提供装置202判断客户终端装置208发送的数据为涉及安全身份
认证的数据后,转发给安全服务装置204进行处理。口令认证单元304在认 证动态口令时先将提示坐标数据(x-m, y-n)进行还原处理,通过访问数据 管理装置201,读取存储在数据管理装置201中的客户设置的坐标偏移数据 (m, n),再计算得到偏移坐标数据(x—m+m, y—n+n),即真实动态口 令坐标数据(x, y) 。 口令认证单元304将真实动态口令坐标数据(x, y) 对应的动态口令与输入的动态口令进行比较,产生验证结果。
在进一步的实施例中,所述的动态口令卡被称作电子银行口令卡。申领 了电子银行口令卡的客户通过网上银行办理的对外支付交易均需使用动态口 令进行客户身份确认。电子银行口令卡上印有19位序列号,第1一2位为卡 类型的序号("10"代表境内个人网上银行,"20"代表境外网上银行), 第3—18位为卡片顺序号,第19位为校验位。
个人网上银行客户可到银行柜面申领电子银行口令卡,领取卡片后,在 进行个人网上银行对外支付时,客户需根据页面提示输入电子银行口令卡上 相应坐标上的口令,即可成功进行支付。
银行网点发售给客户电子银行口令卡时,通过系统将电子银行口令卡与 领用客户进行绑定。每次需要客户使用口令时,网上银行系统将提示客户输 入两个坐标位置的口令,系统将对客户录入的口令进行认证。
电子银行口令卡采用矩阵方式排列,横纵的口令数可按需要设定,由厂 商提前印制成卡并加盖不透明覆膜。电子银行口令卡的外观尺寸与普通的银 行卡卡片相同,卡片底色可为金色,其中卡片正面包括银行行标和"电子银 行口令卡"字样、电子银行"小e人"图案、银行网址、服务热线、卡片防 伪标识(包括水印防伪和微縮字等)以及使用提示。在本发明一实施例中卡 片背面为19位卡号和印刷的10X10组口令,每组口令由3位数字构成,口 令字符数据区分别覆盖可刮开的不透明保护膜,并印制有银行行徽图案,以 防伪造。保护膜和银行行徽如被破坏,则视为废卡,不得提供给客户使用。
电子银行口令卡申领流程个人客户可到营业网点申领电子银行口令卡
新申请注册个人网上银行的客户填写《电子银行个人客户注册申请表》上有 关内容,已经注册个人网上银行的客户填写《电子银行个人客户变更(注销) 事项申请表》上有关内容,即可申请。
营业网点柜员审核客户提供的本人身份证件和注册的银行卡无误后,在 系统中办理启用交易,将卡片与领用客户进行绑定,并向客户发放电子银行 口令卡,用户设置坐标偏移数据。
电子银行口令卡更换流程客户的电子银行口令卡毁损或遗失后,可通 过到营业网点申请更换电子银行口令卡。营业网点柜员审核客户客户提供的 本人身份证件和注册的银行卡无误后,在系统中办理更换交易,向客户发放 新的电子银行口令卡。办理更换后,原电子银行口令卡自动作废。
使用电子银行口令卡的认证流程客户进行个人网上银行支付时,系统 根据客户信息,判定客户是有效的电子银行口令卡用户后,向客户进行提问/ 应答。系统随机显示二个坐标提问,要求客户按序输入电子银行口令卡对应 坐标值的动态口令。为了安全,提问坐标是用图片显示,并在页面建立坐标 值有效时间控制机制,客户长时间不输入和确认时,系统会提示客户坐标值 已经超时,需要客户重新按照页面新出的坐标进行输入(新展现的页面保留 客户原输入的信息)。以转账汇款为例,页面提示如下
客户根据"坐标",按次序正确输入工行电子银行口令卡对应坐标值的 动态口令作为"应答"项。客户输入对应坐标值的动态口令后,点击"确认" 提交个人网上银行系统认证合法性。个人网上银行认证客户输入的"应答" 后,完成认证工作,若应答相符则显示交易成功流水号。
对于电子银行口令卡的口令输入错误次数均进行日累计和历史累计输入 错误次数控制,当一天内输入错误次数达到日累计规定次数后,系统自动冻 结客户支付权限,次日输入错误的次数自动清零,并解冻客户支付权限,冻 结当日客户可以前往营业网点进行支付状态的解冻;历史累计输入错误次数 达到规定次数后,系统自动冻结客户支付权限,次日不再将错误次数清零,
也不再解冻客户支付权限,客户需要在网点进行支付状态的解冻或更换新卡。
动态口令卡可采用ED卡、智能卡等,也可根据银行特色来定义所使用的 动态口令卡特性以及在使用、认证时的一些特殊方式。
本发明的有益效果在于本发明提供的实现安全身份认证的系统及方法, 克服了目前动态口令认证方式中存在口令卡口令信息容易暴露,容易被他人 偷窥、复印或者拍照等,从而危及客户信息或财产安全的问题。
以上具体实施方式
仅用于说明本发明,而非用于限定本发明。
权利要求
1.一种基于动态口令的身份认证方法,其特征在于,所述方法包括以下步骤随机生成一组动态口令,每个动态口令均具有唯一性;建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐标数据的对应关系进行存储;设置所述动态口令的坐标偏移数据;在进行动态口令安全认证时提示一组所述的坐标数据;接收输入的动态口令;根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令;将输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果。
2. 如权利要求1所述的基于动态口令的身份认证方法,其特征在于,所 述的方法还包括,在设置所述动态口令坐标偏移数据时检查所述的坐标偏移 数据是否在合理的数值范围内,如果是则对其进行存储。
3. 根据权利要求1所述的基于动态口令的身份认证方法,其特征在于, 根据建立的每个动态口令与坐标数据的对应关系,生成动态口令与坐标数据 对应关系列表;将所述的动态口令与坐标数据对应关系列表输出到便携式可读存储介质 中或印制在卡上;从所述的便携式可读存储介质中或卡上读出所述的偏移坐标数据对应的 动态口令输入。
4. 根据权利要求1所述的基于动态口令的身份认证方法,其特征在于, 所述的坐标偏移数据、提示的坐标数据为二维坐标数据,包括横坐标数据和 纵坐标数据,每个动态口令与一组横、纵坐标数据相对应。
5. —种基于动态口令的身份认证系统,所述基于动态口令的身份认证系统包括安全服务装置、数据管理装置、服务提供装置、客户终端装置,其 特征在于-所述的客户终端装置连接于所述的服务提供装置,包括-终端提示单元,用于在客户终端装置上提示输入坐标偏移数据或提示一组坐标数据;终端输入单元,用于根据提示输入坐标偏移数据或动态口令;所述的服务提供装置连接于所述的数据管理装置、安全服务装置和客户 终端装置,用于生成坐标偏移数据输入界面数据或动态口令输入界面数据, 并将所述界面数据发送给客户终端装置,再接收在客户终端装置输入坐标偏 移数据或用于认证的动态口令,并发送给所述的安全服务装置;所述的安全服务装置连接于所述的数据管理装置及所述的服务提供装 置,包括动态口令生成单元,用于随机生成一组动态口令并且每个动态口令 均具有唯一性;动态口令坐标单元,用于建立每个动态口令与一组坐标数据的对应 关系,并将动态口令与坐标数据的对应关系进行存储;提示坐标数据生成单元,用于选择一组坐标数据,生成提示坐标数 据发送给所述的服务提供装置,供所述的服务提供装置生成动态口令输 入界面数据;口令认证单元,用于根据提示的坐标数据与所述的坐标偏移数据之 和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得 偏移坐标数据对应的动态口令,将输入的动态口令与获取的偏移坐标数 据对应的动态口令进行一致性比较,输出认证结果; 所述的数据管理装置连接于所述的服务提供装置,用于存储所述的每个 动态口令与一坐标数据的对应关系及坐标偏移数据。
6. 根据权利要求5所述的基于动态口令的身份认证系统,其特征在于,所述的系统还包括坐标偏移数据处理单元,用于检查所述的坐标偏移数据 是否在合理的范围内,如果是则在所述的数据管理装置中保存所述的坐标偏 移数据。
7. 根据权利要求5所述的基于动态口令的身份认证系统,其特征在于,所述的系统还包括便携式可读存储介质,用于存储根据建立的每个动态口 令与一坐标数据的对应关系而生成的动态口令与坐标数据对应关系列表,并 显示该动态口令与坐标数据对应关系列表;从所述便携式可读存储介质上显示的动态口令与坐标数据对应关系列表 中读出根据提示坐标数据得出的动态口令进行输入。
8. 根据权利要求5所述的基于动态口令的身份认证系统,其特征在于,所述的坐标偏移数据、提示的坐标数据为二维坐标数据,包括横坐标数据和 纵坐标数据,每个动态口令与一组横、纵坐标数据相对应。
9. 根据权利要求5所述的基于动态口令的身份认证系统,其特征在于, 所述的终端提示单元,还可至少提示两组坐标。
全文摘要
本发明是关于一种基于动态口令的身份认证方法及系统,所述的方法包括随机生成一组动态口令,每个动态口令均具有唯一性;建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐标数据的对应关系进行存储;设置所述动态口令的坐标偏移数据;在进行动态口令安全认证时提示一组所述的坐标数据;接收输入的动态口令;根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令;将输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果。本发明克服了动态口令卡容易被他人偷窥、复印或拍照而威胁客户信息或财产安全的问题。
文档编号H04L9/32GK101355426SQ20081022213
公开日2009年1月28日 申请日期2008年9月10日 优先权日2008年9月10日
发明者付新丽, 潘兆明, 闫记东 申请人:中国工商银行股份有限公司