专利名称:一种动态密码令牌身份认证方法、移动终端及系统的制作方法
技术领域:
本发明关于身份鉴别和交易认证技术,特别是关于网上银行等交易系统的身份鉴 别和交易认证技术,具体的讲是一种动态密码令牌身份认证方法、移动终端及系统。
背景技术:
在现有技术中,针对身份鉴别和交易授权认证的方案有如下几种首先为静态密 码,在静态密码的使用过程中,用户常常会设置弱密码,如生日、电话号等,容易被窃取和监 听,例如可通过木马盗取和网络嗅探等窃取静态密码。其次为刮刮卡和动态密码卡,刮刮卡 和动态密码卡在使用时,实现了一次一密,但仍无法保证交易数据的安全,存在交易数据被 篡改的风险。再有就是时间型动态令牌,时间型动态令牌是基于时间的一次性密码产生器, 能够保证一次一密,针对窃取和嗅探风险有一定的安全提升,但也不能完全根除风险。
发明内容
本发明实施例提供了一种动态密码令牌身份认证方法、移动终端及系统,用以解 决网上银行等交易系统的身份鉴别和交易认证的问题。本发明的目的之一是,提供一种动态密码令牌身份认证方法,该方法包括动态密 码生成步骤和动态密码认证步骤;动态密码生成步骤包括扫描用户指纹图像生成用户指 纹数据;获取扫描用户指纹图像时的晶振时间数据;根据扫描的用户指纹数据、晶振时间 数据和加密算法生成动态密码;向用户显示动态密码;动态密码认证步骤包括接收用户 输入的动态密码;从预存储的指纹数据中获取对应用户的指纹数据;从系统时钟获取接收 到动态密码时的时间参数;根据对应用户的指纹数据、时间参数和加密算法生成校验码; 判断用户输入的动态密码是否与所述的校验码相一致,如果是则输出身份认证成功信息, 如果否则输出身份认证失败信息。本发明的目的之一是,提供一种动态密码令牌移动终端,该移动终端包括指纹扫 描单元,用于扫描用户指纹图像生成用户指纹数据;晶振时间获取单元,用于获取扫描用户 指纹图像时的晶振时间数据;动态密码生成单元,用于根据扫描的用户指纹数据、晶振时间 数据和加密算法生成动态密码;动态密码显示单元,用于向用户显示动态密码。本发明的目的之一是,提供一种动态密码令牌身份认证系统,该系统包括动态密 码令牌移动终端和认证服务器;动态密码令牌移动终端包括指纹扫描单元,用于扫描用 户指纹图像生成用户指纹数据;晶振时间获取单元,用于获取扫描用户指纹图像时的晶振 时间数据;动态密码生成单元,用于根据扫描的用户指纹数据、晶振时间数据和加密算法生 成动态密码;动态密码显示单元,用于向用户显示动态密码;认证服务器包括动态密码接 受单元,用于接收用户输入的动态密码;指纹数据获取单元,用于从预存储的用户指纹数据 中获取对应的用户指纹数据;时间参数获取单元,用于从系统时钟获取接收到动态密码时 的时间参数;校验码生成单元,用于根据获取的对应的用户指纹数据、时间参数和加密算法 生成校验码;动态密码校验单元,用于判断用户输入的动态密码是否与校验码相一致,如果是则输出身份认证成功信息,如果否则输出身份认证失败信息。本发明的目的之一是,提供一种动态密码令牌身份认证方法,该方法包括动态密 码生成步骤和动态密码认证步骤;动态密码生成步骤包括采集用户所处地理位置的经纬 度数据;获取采集经纬度数据时的晶振时间数据;根据经纬度数据、晶振时间数据、用户标 识和加密算法生成动态密码;向用户显示动态密码;动态密码认证步骤包括接收用户输 入的动态密码;根据用户标识从预存储的位置数据中获取对应用户的限定经纬度数据;从 系统时钟获取接收到动态密码时的时间参数;根据获取的经纬度数据、时间参数、用户标识 和加密算法生成校验码;判断用户输入的动态密码是否与校验码相一致,如果是则输出身 份认证成功信息,如果否则输出身份认证失败信息。本发明的目的之一是,提供一种动态密码令牌移动终端,该移动终端包括GPS单 元,用于采集用户所处地理位置的经纬度数据;晶振时间获取单元,用于获取采集所述经纬 度数据时的晶振时间数据;动态密码生成单元,用于根据经纬度数据、晶振时间数据、用户 标识和加密算法生成动态密码;动态密码显示单元,用于向用户显示所述的动态密码。本发明的目的之一是,提供一种动态密码令牌身份认证系统,该系统包括动态密 码令牌移动终端和认证服务器;动态密码令牌移动终端包括GPS单元,用于采集用户所处 地理位置的经纬度数据;晶振时间获取单元,用于获取采集经纬度数据时的晶振时间数据; 动态密码生成单元,用于根据经纬度数据、晶振时间数据、用户标识和加密算法生成动态密 码;动态密码显示单元,用于向用户显示动态密码;认证服务器包括动态密码接收单元, 用于接收用户输入的动态密码;位置数据获取单元,用于根据用户标识从预存储的位置数 据中获取对应用户的限定经纬度数据;时间参数获取单元,用于从系统时钟获取接收到动 态密码时的时间参数;校验码生成单元,用于根据获取的经纬度数据、时间参数、用户标识 和加密算法生成校验码;动态密码校验单元,用于判断用户输入的动态密码是否与所述的 校验码相一致,如果是则输出身份认证成功信息,如果否则输出身份认证失败信息。本发明的目的之一是,提供一种动态密码令牌身份认证方法,该方法包括动态密 码生成步骤和动态密码认证步骤;动态密码生成步骤包括获取用户标识码;获取晶振时 间数据;根据用户标识码和晶振时间数据通过加密算法生成动态密码;向用户显示动态密 码;动态密码认证步骤包括接收用户输入的用户名和动态密码;根据用户名从预存储的 用户名与用户标识码绑定关系中获取对应的用户标识码;从系统时钟获取接收到动态密码 时的时间参数;根据时间参数和对应的用户标识码和加密算法生成校验码;判断用户输入 的动态密码是否与校验码相一致,如果是则输出身份认证成功信息,如果否则输出身份认 证失败信息。本发明的有益效果在于,本发明的基于指纹的动态密码令牌和基于GPS的动态密 码令牌与传统动态令牌(如基于时间、事件或挑战码的令牌)在技术上存在一定的差异, 以传统的时间令牌为例,令牌初始会在硬件中内置种子文件,通过算法将种子与时间进行 计算,从而得到6位或8位的数字信息用作登录动态密码,令牌的唯一保护即是PIN码(用 户登录时需要输入PIN+动态密码),如果被别有用心人得到令牌以及PIN码(此概率较小 但仍存在),则认证将不在安全。指纹动态密码令牌是将生物识别技术作为令牌的保护和计算因素,其使用内置算 法将用户的指纹信息与时间进行混合计算,得出唯一动态信息用作登录的动态码。另外指纹令牌将存储用户指纹信息,只有向令牌扫描合法的指纹信息后,令牌开始计算动态密码, 此实现方法通过合法人的指纹信息保护令牌,如果没有合法指纹,令牌将不会开启。GPS动态密码令牌是将卫星定位技术作为令牌的保护和计算因素,其使用内置算 法将用户的位置(经纬度)信息与时间进行混合计算,得出唯一动态信息用作登录的动态 码。另外GPS动态密码令牌也可存储用户指纹信息,只有向令牌扫描合法的指纹信息后, GPS动态密码令牌开始计算动态密码,此实现方法通过合法人的指纹信息保护令牌,如果没 有合法指纹,GPS动态密码令牌将不会开启。有效地解决了网上银行等交易系统的身份鉴 别和交易认证的问题。指纹动态密码令牌移动终端和GPS动态密码令牌移动终端可以是手机或PDA等移 动通信终端,因此使用方便。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可 以根据这些附图获得其他的附图。图1为本发明实施例基于指纹扫描的动态密码令牌身份认证方法流程图;图2为本发明实施例基于指纹扫描的动态密码令牌移动终端结构框图;图3为本发明实施例具有指纹扫描器的动态密码令牌移动终端示意图;图4为本发明实施例基于指纹扫描的身份认证服务器的结构框图;图5为本发明实施例基于指纹扫描的身份认证系统工作流程图;图6为本发明实施例基于GPS的动态密码令牌身份认证方法流程图;图7为本发明实施例基于GPS的动态密码令牌移动终端结构框图;图8为本发明实施例基于GPS的身份认证服务器的结构框图;图9为本发明实施例基于GPS的身份认证系统工作流程图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本发明保护的范围。实施例1如图1所示,本发明实施例的动态密码令牌身份认证方法包括动态密码生成步 骤(步骤S100)和动态密码认证步骤(步骤S200);动态密码生成步骤(步骤S100)包括扫描用户指纹图像生成用户指纹数据(步 骤S101);获取扫描用户指纹图像时的晶振时间数据(步骤S102);根据扫描的用户指纹数 据、晶振时间数据和加密算法生成动态密码(步骤S103);向用户显示所述的动态密码(步 骤 S104)。动态密码认证步骤(步骤S200)包括接收用户输入的动态密码(步骤S201);从预存储的指纹数据中获取对应用户的指纹数据(步骤S202);从系统时钟获取接收到所述 动态密码时的时间参数(步骤S203);根据对应用户的指纹数据、时间参数和加密算法生成 校验码(步骤S204);判断用户输入的动态密码是否与所述的校验码相一致,如果是则输出 身份认证成功信息,如果否则输出身份认证失败信息(步骤S205)。如图2所示,本发明实施例的动态密码令牌移动终端可以是手机,该动态密码令 牌手机包括指纹扫描单元101,用于扫描用户指纹图像生成用户指纹数据;晶振时间获取 单元102,用于获取扫描用户指纹图像时的晶振时间数据;动态密码生成单元103,用于根 据扫描的用户指纹数据、晶振时间数据和加密算法生成动态密码;动态密码显示单元104, 用于向用户显示动态密码。该手机还包括普通手机都具有的中央处理器105、手机模块 106和电池107。在图2中,指纹扫描单元包括指纹扫描器,晶振时间获取单元包括晶振器,动态密 码显示单元包括LCD显示器。中央处理器分别与显示器、晶振器、指纹扫描器、密码生成单 元以及电池相连接,并控制其工作。电池提供工作电能。手机模块用于普通的无线通信。如图3所示,动态密码令牌手机100包括外壳;外壳上设置有IXD触摸显示屏 1011、指纹扫描器1012扫描器放置区1013。扫描器放置区1013上设置有扫描器保护盖 1014。扫描器保护盖1014与扫描器放置区1013为能够开合的枢接。扫描器保护盖1014 可为透明材质,并覆盖住扫描器放置区1013,以保护指纹扫描器1012。动态密码令牌手机I00还包括存储器,以存储有包含对称加密算法或摘要算法 的密码算法和用户预存的指纹数据;开关按键,以接收用户触按执行开机或关机的操作。动态密码令牌手机I00还包括指纹开关;指纹开关根据预存储的用户指纹数据 与扫描的用户指纹数据的比对执行开机或关机的操作。如图4所示,本实施例的动态密码令牌身份认证系统包括动态密码令牌移动终 端和认证服务器。其中动态密码令牌移动终端的结构如图2所示。认证服务器包括动态 密码接受单元201,用于接收用户输入的动态密码;指纹数据获取单元202,用于从预存储 的用户指纹数据中获取对应的用户指纹数据;时间参数获取单元203,用于从系统时钟获 取接收到动态密码时的时间参数;校验码生成单元204,用于根据获取的对应的用户指纹 数据、时间参数和加密算法生成校验码;动态密码校验单元205,用于判断用户输入的动态 密码是否与校验码相一致,如果是则输出身份认证成功信息,如果否则输出身份认证失败 fn息ο如图5所示,基于指纹识别的身份认证系统工作流程包括以下步骤用户携带动 态密码令牌手机通过网络认证终端在认证服务器上进行交易身份认证。其中,步骤S301,用户登录页面,输入登录ID ;步骤S302,页面提示使用动态密码令牌手机产生动态密码;步骤S303,用户按下动态密码令牌手机的开关键或扫描指纹,开启动态密码令牌 程序;步骤S304,动态密码令牌手机的显示器提示用户扫描指纹;步骤S305,用户通过动态密码令牌手机的指纹扫描器扫描指纹;步骤S306,手机的中央处理器从存储器中获取用户标识信息和对称加密算法,并 根据当前扫描指纹数据、当前晶振时间数据和用户标识信息,使用对称加密算法,得到动态密码,密码可以是6至8位数字组成,根据需要可自定义长度和密码取值范围;步骤S307,将得到的动态密码通过显示器提供给用户;步骤S308,用户在交易页面输入动态密码令牌手机产生的动态密码并提交;步骤S309,认证服务器校验此动态密码,认证服务器根据记录的用户指纹数据、当 前系统时间数据,并利用对称加密算法重新计算用户当前的动态密码作为校验码,如果得 到的校验码与用户提交的动态密码相同,则验证通过,继续后续处理;步骤S310,如验证成功,认证服务器返回登录成功页面;如验证失败,则认证服务 器提示相关错误。在执行步骤301之前,可在认证服务器中执行以下步骤生成以时间参数为基准 的具有前后时间漂移关系的一组时间数据。例如如果认证服务器接收用户输入的动态密 码的时间为12:00时整,则时间参数=12:00,以12:00为基准生成具有前后时间漂移关系 的一组时间数据为 11:58、11:59、12:00、12:01、12:02。将对应用户的指纹数据分别与一组时间数据11:58、11:59、12:00、12:01、12:02 中的每一个时间数据进行加密计算,生成对应的多个校验码。例如指纹数据与11:58进行对称加密计算=校验码1 ;指纹数据与11:59进行对称加密计算=校验码2 ;指纹数据与12:00进行对称加密计算=校验码3 ;指纹数据与12:01进行对称加密计算=校验码4 ;指纹数据与12:02进行对称加密计算=校验码5。其中的加密算法可以是对称加密算法,也可采用摘要算法。认证服务器判断用户 输入的动态密码是否与校验码1 5中的一个校验码相一致,如果是则输出身份认证成功 信息,如果否则输出身份认证失败信息。根据手机的晶振时间数据和认证服务器的一组时间数据(如11:58、11:59、 12:00、12:01、12:02),确定手机的晶振时间数据相对基准时间参数的时间漂移量。例如手 机显示动态密码的时间和用户将动态密码输入认证服务器的时间均为11:58,而认证服务 器接收动态密码的系统时间为12:00,则认证服务器可确定手机的晶振的时间漂移量为-2 分(即慢2分)。认证服务器存储时间漂移量与用户指纹数据的映射关系。例如用户1, 手机的晶振的时间漂移量为-2分。在执行步骤301时,认证服务器在时间参数t接收到用户1输入的动态密码后,可 直接根据时间漂移量与用户指纹数据的映射关系确定出计算校验码的时间数据=t-2。用 户1指纹数据与t-2进行对称加密计算=校验码1。本实施例的动态密码令牌手机与传统动态令牌(如基于时间、事件或挑战码的 令牌)在技术上存在一定的差异,以时间令牌为例,令牌初始会在硬件中内置种子文件,通 过算法将种子与时间进行计算,从而得到6位或8位的数字信息用作登录动态密码,令牌的 唯一保护即是PIN码(用户登录时需要输入PIN+动态密码),如果被别有用心人得到令牌 以及PIN码(此概率较小但仍存在),则认证将不在安全。本实施例的动态密码令牌装置是将指纹识别技术作为令牌的保护和计算因素,指 纹令牌的实现方式有兩种(1)动态密码令牌装置使用内置算法将用户的指纹信息与时间进行混合计算,得出唯一动态信息用作登录的动态码,此实现方法是将指纹令牌做终端计算工具,实现原理 如下1.在分发动态密码令牌装置前需要将用户的合法指纹信息存储在动态密码令牌 装置存储器中,通过指纹扫描器获取用户指纹信息;使用扫描指纹信息与存储器中用户预 存储的指纹信息进行匹配,如果匹配成功则进入下一步密码计算。2.指纹处理芯片将预存储的指纹信息转换成2进制格式数据,该数据即用户种子 文件;3.主处理芯片使用内置与芯片中的对称加密算法,以用户指纹信息为密钥和当前 时间计算得到唯一的结果,使用该结果中的6位或8位作为令牌显示的动态码。(2)动态密码令牌装置将存储用户指纹信息,只有向令牌扫描合法的指纹信息后, 令牌开始计算动态码,此实现方法通过合法人的指纹信息保护令牌,如果没有合法指纹,令 牌将不会开启。实现原理如下1.在分发动态密码令牌装置前需要将用户的合法指纹信息存储在动态密码令牌 装置存储器中;2.用户使用动态密码令牌装置,首先需要扫描指纹,动态密码令牌装置将获取的 用户指纹信息与存储器中的指纹进行对比,如果结果一致开始计算动态码,反之处理过程 结束(使用指纹模板技术对比相似度)。3.指纹处理芯片将指纹信息转换成二进制格式数据,该数据即用户种子文件;4.主处理芯片使用内置与芯片中的对称加密算法,以用户预存储指纹信息为密钥 和当前时间计算得到唯一的结果,使用该结果中的6位或8位作为动态密码令牌装置显示 的动态密码。后台实现(服务器端),为了保证计算结果的一致性,服务器端需要通过指纹采集 设备将用户的指纹信息录入到数据库中,还要将用户指纹写入令牌中,在每次用户认证时, 认证服务器采用相同的算法,将用户指纹与时间或事件因素进行混合计算,对比用户的登 录密码。(采用指纹令牌,用户可以不用在记忆复杂PIN码,登录时也不在需要PIN码,指纹 令牌在极大提高认证安全性的同时,减少用户使用难度)实现原理如下1用户登录输入内容由二部分组成(用户名、动态码);2.服务器将按照相同的算法和用户指纹信息进行计算,与用户的动态码进行对 比,结果一致则认证成功,否则失败。实施例2如图6所示,本实施例的动态密码令牌身份认证方法包括动态密码生成步骤(步 骤100')和动态密码认证步骤(步骤200')。动态密码生成步骤(步骤100')包括采集用户所处地理位置的经纬度数据(步 骤101');获取采集经纬度数据时的晶振时间数据(步骤102');根据经纬度数据、晶振 时间数据、用户标识和加密算法生成动态密码(步骤103');向用户显示动态密码(步骤 104')。其中用户标识信息可以是服务器端存储的用户名与唯一标识码的绑定关系,并将 该唯一标识码作为动态密码计算的用户标识。例如用户名和唯一码的绑定关系为手机用 户A唯一标识码为123123123,在用户A的手机中进行动态密码计算时123123123作为用户 标识参与计算。
动态密码认证步骤(步骤200')包括接收用户输入的动态密码(步骤201'); 根据用户标识从预存储的位置数据中获取对应用户的限定经纬度数据(步骤202');从 系统时钟获取接收到动态密码时的时间参数(步骤203');根据获取的经纬度数据、时间 参数、用户标识和加密算法生成校验码(步骤204');判断用户输入的动态密码是否与 校验码相一致,如果是则输出身份认证成功信息,如果否则输出身份认证失败信息(步骤 205')。如图7所示,本实施例的动态密码令牌移动终端可为手机,该动态密码令牌手 机包括GPS单元101',用于采集用户所处地理位置的经纬度数据;晶振时间获取单 元102',用于获取采集经纬度数据时的晶振时间数据;动态密码生成单元103',用于 根据经纬度数据、晶振时间数据、用户标识和加密算法生成动态密码;动态密码显示单元 104',用于向用户显示动态密码。该手机还包括普通手机都具有的中央处理器105、手机模块106和电池107。在图7中,GPS单元为GPS芯片,晶振时间获取单元包括晶振器,动态密码显示单 元包括IXD显示器。中央处理器分别与显示器、晶振器、GPS芯片、密码生成单元以及电池 相连接,并控制其工作。电池提供工作电能。手机模块用于普通的无线通信。如图3所示,具有GPS芯片的动态密码令牌手机100包括外壳;外壳上设置有IXD 触摸显示屏1011、指纹扫描器1012扫描器放置区1013。扫描器放置区1013上设置有扫描 器保护盖1014。扫描器保护盖1014与扫描器放置区1013为能够开合的枢接。扫描器保护 盖1014可为透明材质,并覆盖住扫描器放置区1013,以保护指纹扫描器1012。具有GPS芯片的动态密码令牌手机还包括存储器,以存储有包含对称加密算法 或摘要算法的密码算法和用户预存的指纹数据;开关按键,以接收用户触按执行开机或关 机的操作;指纹开关;指纹开关根据预存储的用户指纹数据与扫描的用户指纹数据的比对 执行开机或关机的操作。如图8所示,本实施例的动态密码令牌身份认证系统包括动态密码令牌移动终 端和认证服务器;动态密码令牌移动终端的结构如图7所示。认证服务器包括动态密码 接收单元201',用于接收用户输入的动态密码;位置数据获取单元202',用于根据用户 标识从预存储的位置数据中获取对应用户的限定经纬度数据;时间参数获取单元203', 用于从系统时钟获取接收到所述的动态密码时的时间参数;校验码生成单元204',用于 根据获取的经纬度数据、时间参数、用户标识和加密算法生成校验码;动态密码校验单元 205',用于判断用户输入的动态密码是否与所述的校验码相一致,如果是则输出身份认证 成功信息,如果否则输出身份认证失败信息。如图9所示,基于GPS芯片的身份认证系统工作流程包括以下步骤用户携带动态 密码令牌手机通过网络认证终端在认证服务器上进行交易身份认证。其中,步骤S401,用户登录页面,输入登录ID ;步骤S402,页面提示使用动态密码令牌手机产生动态密码;步骤S403,用户按下动态密码令牌手机的开关键,开启动态密码令牌程序;步骤S404,GPS模块获取用户当前的经纬度数据;步骤S405,手机的中央处理器从存储器中获取用户标识信息和对称加密算法,并 根据当前经纬度数据、当前晶振时间数据和用户标识信息,使用对称加密算法,得到动态密码,密码可以是6至8位数字组成,根据需要可自定义长度和密码取值范围;步骤S406,将得到的动态密码通过显示器提供给用户;步骤S407,用户在交易页面输入动态密码令牌装置产生的动态密码并提交;步骤S408,认证服务器校验此动态密码,根据记录的用户的限定活动范围数据、当 前系统时间数据和用户标识信息,并利用对称加密算法重新计算用户当前的动态密码或动 态密码组作为校验码,如果得到的校验码或校验码之一与用户提交的动态密码相同,则验 证通过,继续后续处理;步骤S409,返回登录成功页面;如验证失败,则提示相关错误。具有指纹识别的身份认证系统工作流程包括以下步骤用户携带动态密码令牌装 置在网络认证终端上进行交易。其中,步骤S501,用户登录页面,输入登录ID ;步骤S502,页面提示使用动态密码令牌装置产生动态密码;步骤S503,用户按下动态密码令牌装置的开关键,开启动态密码令牌装置;步骤S504,GPS模块获取用户当前的经纬度数据;步骤S505,动态密码令牌装置的显示单元提示用户扫描指纹;步骤S506,用户通过动态密码令牌装置的指纹扫描器扫描指纹;步骤S507,中央处理器从存储器中获取用户标识信息和对称加密算法,并根据当 前经纬度数据扫描指纹数据、当前晶振时间数据和用户标识信息,使用对称加密算法,得到 动态密码,密码可以是6至8位数字组成,根据需要可自定义长度和密码取值范围;步骤S508,将得到的动态密码通过显示器提供给用户;步骤S509,用户在交易页面输入动态密码令牌装置产生的动态密码并提交;步骤S510,后台动态密码管理系统校验此动态密码,后台根据记录的用户的限定 活动范围数据、用户指纹数据、当前系统时间数据和用户标识,并利用对称加密算法重新计 算用户当前的动态密码作为校验码,如果得到的校验码与用户提交的动态密码相同,则验 证通过,继续后续处理;步骤S511,返回登录成功页面;如验证失败,则提示相关错误。在执行步骤401或步骤501之前,可在认证服务器中执行以下步骤认证服务器预先存储用于限定用户活动范围的多组经纬度数据。例如用户1在 注册时被规定的交易活动范围是A区域,而限定A区域的地理位置数据是多组经纬度数据 经纬数据1、经纬数据2、……、经纬数据η,(η为正整数)。将标准时间数据分别与多组经纬度数据中的每一组经纬度数据进行加密计算,生 成多个校验码。例如标准时间数据与经纬数据1进行对称加密计算=校验码1 ;标准时间数据与经纬数据2进行对称加密计算=校验码2 ;标准时间数据与经纬数据η进行对称加密计算=校验码η ;认证服务器判断用户1输入的动态密码是否与多个校验码(校验码1、校验码 2、……、校验码η)中的一个校验码相一致,如果是则输出身份认证成功信息,如果否则输 出身份认证失败信息。在计算校验码1、……、校验码η时,可以生成以标准时间数据为基准的具有前后时间漂移关系的一组时间数据。例如如果认证服务器接收用户输入的动态密码的时间为 12:00时整,则标准时间=12:00,以12:00为基准生成具有前后时间漂移关系的一组时间 数据为 11:58、11:59、12:00、12:01、12:02。将经纬数据1与具有前后时间漂移关系的一组时间数据(11:58、11:59、12:00、 12:01,12:02)分别进行对称加密计算,得到多个(如5个)校验码(如校验码11,校验码 12,校验码13,校验码14,校验码1 。认证服务器判断用户1输入的动态密码是否与多个 校验码(如校验码11,校验码12,校验码13,校验码14,校验码15)中的一个校验码相一 致,如果是则输出身份认证成功信息,如果否则输出身份认证失败信息。根据手机的晶振时 间数据和认证服务器的一组时间数据(如:11:58、11:59、12:00、12:01、12:02),确定手机 的晶振时间数据相对基准时间参数的时间漂移量。例如手机显示动态密码的时间和用户 将动态密码输入认证服务器的时间均为11:58,而认证服务器接收动态密码的系统时间为 12:00,则认证服务器可确定手机的晶振的时间漂移量为-2分(即慢2分)。认证服务器 存储时间漂移量与用户指纹数据的映射关系。例如用户1,手机的晶振的时间漂移量为-2 分。在执行步骤301时,认证服务器在时间参数t接收到用户1输入的动态密码后,可直接 根据时间漂移量与用户指纹数据的映射关系确定出计算校验码的时间数据=t-2。用户1 指纹数据与t-2进行对称加密计算=校验码11。动态密码令牌手机的GPS模块将卫星定位技术融入认证领域,在认证登录人身份 的同时认证登录人所在的位置是否符合要求,实现方式有兩种(1)动态密码令牌装置有触发开关按钮,即GPS模块默认为待机状态,当用户触发 开始,令牌装置通过内置GPS芯片获得用户所在地的经纬度坐标,将该坐标作为种子,利用 算法和时间与用户标识信息进行混合计算得到唯一动态码(此方法在登录时也可被需要 输入PIN码)。实现原理1用户触发动态密码令牌装置的开始按钮;2.令牌装置启动GPS芯片获取用户当前地理坐标值(经纬度),HASH算法后作为 唯一种子文件;3.主处理芯片通过内置对称加密算法使用种子文件作为密钥和当前时间与用户 标识信息进行计算,得到唯一动态码信息,由液晶屏显示输出。用户标识信息可以是服务器 端存储的用户名与唯一标识码的绑定关系,并由服务器将唯一标识码发送给动态密码令牌 移动终端参与动态密码计算。4用户登录系统时可输入三部分内容(用户名、PIN码、动态码)。(2)动态密码令牌装置也可通过合法人的指纹信息进行触发,即GPS令牌默认为 待机状态,其计算过程与方法(1)相同,计算得到唯一动态码(此方法在登录时不需要输入 PIN码)。实现原理1.分发令牌装置前将用户指纹信息写入令牌装置存储单元中。2用户通过扫描指纹激活令牌,令牌通过对比指纹信息判断用户合法性。3.如果用户指纹对比成功,令牌开始计算动态码。4.令牌启动GPS芯片获取当前地理坐标值(经纬度),将经纬度数据进行HASH算 法计算后作为唯一种子文件。5.主处理芯片通过内置对称加密算法使用种子文件作为密钥和当前时间、指纹数据、用户标识信息进行计算,得到唯一动态码信息,由液晶屏显示输出。6用户登录系统时需要输入二部分内容(用户名、动态码)。后台实现(服务器端)在使用GPS令牌认证时,为了保证计算结果的一致性,服 务器端使用GPS坐标地图辅助进行配合,即规定用户可以登录的位置,当用户的认证信息 发送至认证服务器时,服务器同样利用算法将所规定的坐标经纬度(范围)与时间或事件 就行混合计算,与用户认证信息逐一对比,如果一组相同即认证通过,反之认证失败。实施例3本实施例的动态密码令牌身份认证方法包括动态密码生成步骤和动态密码认 证步骤;动态密码生成步骤包括获取用户标识码(如,用户通过手机下载唯一标识码 123123123);获取晶振时间数据;根据用户标识码(123123123)和晶振时间数据通过加密 算法生成动态密码;向用户显示动态密码;动态密码认证步骤包括接收用户输入的用户 名和动态密码;根据用户名从预存储的用户名与用户标识码绑定关系中获取对应的用户标 识码(例如,用户名和唯一码的绑定关系为手机用户A与唯一标识码123123123进行绑 定,在用户A的手机中进行动态密码计算时123123123作为用户标识参与计算);从系统时 钟获取接收到动态密码时的时间参数;根据时间参数和对应的用户标识码(123^3123)和 加密算法生成校验码;判断用户输入的动态密码是否与校验码相一致,如果是则输出身份 认证成功信息,如果否则输出身份认证失败信息。本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例 的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员, 依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内 容不应理解为对本发明的限制。
权利要求
1.一种动态密码令牌身份认证方法,其特征是,所述的方法包括动态密码生成步骤 和动态密码认证步骤;所述的动态密码生成步骤包括 扫描用户指纹图像生成用户指纹数据; 获取扫描用户指纹图像时的晶振时间数据; 根据扫描的用户指纹数据、晶振时间数据和加密算法生成动态密码; 向用户显示所述的动态密码; 所述的动态密码认证步骤包括 接收用户输入的动态密码; 从预存储的指纹数据中获取对应用户的指纹数据; 从系统时钟获取接收到所述动态密码时的时间参数; 根据所述的对应用户的指纹数据、时间参数和加密算法生成校验码; 判断用户输入的动态密码是否与所述的校验码相一致,如果是则输出身份认证成功信 息,如果否则输出身份认证失败信息。
2.根据权利要求1所述的方法,其特征是,根据所述的对应用户的指纹数据、时间参数 和加密算法生成校验码包括生成以所述时间参数为基准的具有前后时间漂移关系的一组时间数据; 将所述的对应用户的指纹数据分别与所述一组时间数据中的每一个时间数据进行加 密计算,生成对应的多个校验码。
3.根据权利要求2所述的方法,其特征是,所述的判断用户输入的动态密码是否与所 述的校验码相一致,如果是则输出身份认证成功信息,如果否则输出身份认证失败信息包 括判断用户输入的动态密码是否与所述的多个校验码中的一个校验码相一致,如果是则 输出身份认证成功信息,如果否则输出身份认证失败信息。
4.根据权利要求3所述的方法,其特征是,所述的动态密码认证步骤还包括根据所述 的晶振时间数据和所述的一组时间数据,确定所述晶振时间数据相对所述时间参数的时间 漂移量,并存储所述的时间漂移量与用户指纹数据的映射关系。
5.根据权利要求4所述的方法,其特征是,所述的动态密码认证步骤还包括根据所述 的时间漂移量与用户指纹数据的映射关系确定出计算校验码的时间数据。
6.一种动态密码令牌移动终端,其特征是,所述的移动终端包括 指纹扫描单元,用于扫描用户指纹图像;晶振时间获取单元,用于获取扫描用户指纹图像时的晶振时间数据; 动态密码生成单元,用于根据扫描的用户指纹数据、晶振时间数据和加密算法生成动 态密码;动态密码显示单元,用于向用户显示所述的动态密码。
7.根据权利要求6所述的移动终端,其特征是,所述的移动终端还包括 数据存储单元,用于存储用户指纹数据和加密算法;指纹开关单元,用于根据扫描的用户指纹数据与存储的用户指纹数据的一致性比对结 果执行开机动作。
8.一种动态密码令牌身份认证系统,其特征是,所述的系统包括动态密码令牌移动 终端和认证服务器;所述的动态密码令牌移动终端包括 指纹扫描单元,用于扫描用户指纹图像;晶振时间获取单元,用于获取扫描用户指纹图像时的晶振时间数据; 动态密码生成单元,用于根据扫描的用户指纹数据、晶振时间数据和加密算法生成动 态密码;动态密码显示单元,用于向用户显示所述的动态密码; 所述的认证服务器包括动态密码接受单元,用于接收用户输入的动态密码;指纹数据获取单元,用于从预存储的用户指纹数据中获取对应的用户指纹数据; 时间参数获取单元,用于从系统时钟获取接收到所述的动态密码时的时间参数; 校验码生成单元,用于根据获取的对应的用户指纹数据、时间参数和加密算法生成校 验码;动态密码校验单元,用于判断用户输入的动态密码是否与所述的校验码相一致,如果 是则输出身份认证成功信息,如果否则输出身份认证失败信息。
9.根据权利要求8所述的系统,其特征是,所述的校验码生成单元,生成以所述时间参 数为基准的具有前后时间漂移关系的一组时间数据,并将所述的对应用户的指纹数据分别 与所述一组时间数据中的每一个时间数据进行加密计算,生成对应的多个校验码。
10.根据权利要求9所述的系统,其特征是,所述的动态密码校验单元,判断用户输入 的动态密码是否与所述的多个校验码中的一个校验码相一致,如果是则输出身份认证成功 信息,如果否则输出身份认证失败信息。
11.根据权利要求8所述的系统,其特征是,所述的认证服务器还包括时间漂移量获取单元,用于根据所述的晶振时间数据和所述的一组时间数据确定所述 晶振时间数据相对所述时间参数的时间漂移量;时间漂移量存储单元,用于存储所述的时间漂移量与用户指纹数据的映射关系; 时间数据确定单元,用于根据所述的时间漂移量与用户指纹数据的映射关系确定出计 算校验码的时间数据。
12.一种动态密码令牌身份认证方法,其特征是,所述的方法包括动态密码生成步骤 和动态密码认证步骤;所述的动态密码生成步骤包括 采集用户所处地理位置的经纬度数据; 获取采集所述经纬度数据时的晶振时间数据;根据所述的经纬度数据、晶振时间数据、用户标识和加密算法生成动态密码; 向用户显示所述的动态密码; 所述的动态密码认证步骤包括 接收用户输入的动态密码;根据用户标识从预存储的位置数据中获取对应用户的限定经纬度数据; 从系统时钟获取接收到所述的动态密码时的时间参数;根据获取的经纬度数据、时间参数、用户标识和加密算法生成校验码; 判断用户输入的动态密码是否与所述的校验码相一致,如果是则输出身份认证成功信 息,如果否则输出身份认证失败信息。
13.根据权利要求12所述的方法,其特征是,所述的根据获取的限定经纬度数据、标准 时间数据、用户标识和与加密算法生成校验码包括预先存储用于限定用户活动范围的多组经纬度数据;将标准时间数据和用户标识分别与所述的多组经纬度数据中的每一组经纬度数据进 行加密计算,生成多个校验码。
14.根据权利要求13所述的方法,其特征是,所述的判断用户输入的动态密码是否与 所述的校验码相一致,如果是则输出身份认证成功信息,如果否则输出身份认证失败信息 包括判断用户输入的动态密码是否与所述的多个校验码中的一个校验码相一致,如果是则 输出身份认证成功信息,如果否则输出身份认证失败信息。
15.根据权利要求12所述的方法,其特征是,所述的方法还包括动态密码触发步骤, 所述的动态密码触发步骤包括扫描用户指纹图像生成用户指纹数据;将扫描的用户指纹数据与预存储的用户指纹数据进行一致性对比,如果是则触发所述 的动态密码生成步骤。
16.一种动态密码令牌移动终端,其特征是,所述的移动终端包括 GPS单元,用于采集用户所处地理位置的经纬度数据;晶振时间获取单元,用于获取采集所述经纬度数据时的晶振时间数据; 动态密码生成单元,用于根据所述的经纬度数据、晶振时间数据、用户标识和加密算法 生成动态密码;动态密码显示单元,用于向用户显示所述的动态密码。
17.根据权利要求16所述的移动终端,其特征是,所述的移动终端包括 指纹扫描单元,用于扫描用户指纹图像生成用户指纹数据;指纹存储单元,用于存储用户指纹数据;指纹开关单元,用于根据扫描的用户指纹数据与存储的用户指纹数据的一致性比对结 果执行开机动作。
18.—种动态密码令牌身份认证系统,其特征是,所述的系统包括动态密码令牌移动 终端和认证服务器;所述的动态密码令牌移动终端包括 GPS单元,用于采集用户所处地理位置的经纬度数据; 晶振时间获取单元,用于获取采集所述经纬度数据时的晶振时间数据; 动态密码生成单元,用于根据所述的经纬度数据、晶振时间数据、用户标识和加密算法 生成动态密码;动态密码显示单元,用于向用户显示所述的动态密码; 所述的认证服务器包括动态密码接收单元,用于接收用户输入的动态密码;位置数据获取单元,用于根据用户标识从预存储的位置数据中获取对应用户的限定经 纬度数据;时间参数获取单元,用于从系统时钟获取接收到所述的动态密码时的时间参数; 校验码生成单元,用于根据获取的经纬度数据、时间参数、用户标识和加密算法生成校 验码;动态密码校验单元,用于判断用户输入的动态密码是否与所述的校验码相一致,如果 是则输出身份认证成功信息,如果否则输出身份认证失败信息。
19.根据权利要求18所述的系统,其特征是,所述的认证服务器包括 位置数据存储单元,存储用于限定用户活动范围的多组经纬度数据;所述的校验码生成单元,将时间参数和用户标识分别与所述的多组经纬度数据中的每 一组经纬度数据进行加密计算,生成多个校验码。
20.根据权利要求19所述的系统,其特征是,所述的动态密码校验单元,判断用户输入 的动态密码是否与所述的多个校验码中的一个校验码相一致,如果是则输出身份认证成功 信息,如果否则输出身份认证失败信息。
21.一种动态密码令牌身份认证方法,其特征是,所述的方法包括动态密码生成步骤 和动态密码认证步骤;所述的动态密码生成步骤包括 获取用户标识码; 获取晶振时间数据;根据所述的用户标识码和晶振时间数据通过加密算法生成动态密码; 向用户显示所述的动态密码; 所述的动态密码认证步骤包括 接收用户输入的用户名和动态密码;根据用户名从预存储的用户名与用户标识码绑定关系中获取对应的用户标识码; 从系统时钟获取接收到所述的动态密码时的时间参数; 根据时间参数和对应的用户标识码和加密算法生成校验码;判断用户输入的动态密码是否与所述的校验码相一致,如果是则输出身份认证成功信 息,如果否则输出身份认证失败信息。
全文摘要
本发明提供了一种动态密码令牌身份认证方法、移动终端及系统,该移动终端包括指纹存储单元,用于存储用户指纹信息,校验用户指纹的合法性,指纹扫描单元,用于扫描用户指纹图像生成用户指纹数据;晶振时间获取单元,用于获取扫描用户指纹图像时的晶振时间数据;动态密码生成单元,用于根据扫描的用户指纹数据、晶振时间数据和加密算法生成动态密码;动态密码显示单元,用于向用户显示动态密码。以解决网上银行等交易系统的身份鉴别和交易认证的问题。
文档编号H04L9/32GK102123033SQ20111007278
公开日2011年7月13日 申请日期2011年3月23日 优先权日2011年3月23日
发明者郑延军, 金鑫, 陈华 申请人:北京恒光数码科技有限公司