专利名称:动态口令认证方法、装置和网络系统的制作方法
技术领域:
本发明实施例涉及网络技术,尤其涉及一种动态口令认证方法、装置和网络系统。
背景技术:
网络中一般采用用户名加密钥的方式管理设备或账户,用户需要持有预先设置的用户名以及与用户名对应的密钥才能登录网络设备或网络账户。由于各种密码破译技术的发展,密钥容易被破译,仅采用用户名加密钥的登录方式,网络设备或网络账户的安全存在一定的隐患。因此,可以采用双因素认证的方法进行登录,以保证网络设备或网络账户的安全。双因素认证就是在使用单一的用户名加密钥进行认证以外,再增加一种认证手段,才能完成登录,使破译的难度增大,提高网络设备和网络账户的安全性。目前使用的双因素认证方法一般为用户名加密钥和USB keyCUniversal Serial BUS key,通用串行总线密钥)两种认证方法的组合来进行。USB key是一种带有USB接口且具有微型处理能力的小型处理设备,能够具备数据签名的能力。在使用USB key登录前,用户需要将USB key的证书导入需要登录的网络设备或网络账户服务器中,当需要登录时,网络设备或网络账户服务器向USB key发送一串随机数,USB key对这串随机数进行签名后发送回网络设备或网络账户服务器中,网络设备或网络账户服务器使用与USB key相同的证书验证签名,若验证通过则用户合法,USB key认证通过。使用USB key进行双因素认证,需要使用专用的USB key设备,用户需要随身携带才可登录需要认证的设备或网络账户,还为用户增加了额外的支出,并且USB key仅能使用在具有USB接口的设备上。
发明内容
本发明实施例提供一种动态口令认证方法、装置和网络系统,用于提供一种安全便捷的口令认证方法,便于用户随时随地的登录待认证设备。第一方面提供一种动态口令认证方法,包括:通过本设备的第一 口令生成算法对第一初始信息和第一同步信息进行运算,以获得第一动态口令;其中,所述第一动态口令用于提供给待认证设备,以使所述待认证设备通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令,并根据所述第一动态口令和第二动态口令进行认证;所述第一口令生成算法和第二口令生成算法相同,所述第一初始信息和第二初始信息相同,所述第一同步信息和第二同步信息相同。在第一方面的第一种可能的实现方式中,在通过本设备的第一 口令生成算法对第一初始信息和第一同步信息进行运算之前,还包括:在接收到口令生成请求时,根据本设备中当前的系统时间产生所述第一同步信
肩、O
在第一方面的第二种可能的实现方式中,在通过本设备的第一 口令生成算法对第一初始信息和第一同步信息进行运算之前,还包括:随机生成第一初始信息密钥;通过第一初始信息生成算法对所述第一初始信息密钥进行运算,以获得所述第一初始信息;其中,所述第一初始信息密钥和第一初始信息用于提供给所述待认证设备,以使所述待认证设备根据所述第二初始信息生成算法验证所述第一初始信息密钥和第一初始信息的对应性,并在验证通过时采用所述第一初始信息作为第二初始信息,所述第一初始Ih息生成算法和所述第二初始息算法相同。结合第一方面至第一方面的第二种可能的实现方式,在第三种可能的实现方式中,所述第一 口令生成算法和所述第二 口令生成算法为不可逆算法,所述第一初始信息生成算法和所述第二初始信息生成算法为不可逆算法。第二方面提供一种动态口令认证方法,包括:当接收到第一动态口令时,通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令;根据所述第一动态口令和第二动态口令进行认证;其中,所述第一动态口令为便携设备通过第一 口令生成算法对第一初始信息和第一同步信息进行运算而获得,所述第一口令生成算法和第二口令生成算法相同,所述第一初始信息和第二初始信息相同,所述第一同步信息和第二同步信息相同。在第二方面的第一种可能的实现方式中,在通过第二 口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令之前,还包括:在接收到第一动态口令时,根据本设备中当前的系统时间产生所述第二同步信
肩、O在第二方面的第二种可能的实现方式中,在通过第二 口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令之前,还包括:接收第一初始信息密钥和第一初始信息,其中,所述第一初始信息为便携设备通过第一初始信息生成算法对所述第一初始信息密钥进行运算而获得;根据第二初始信息生成算法验证所述第一初始信息密钥和第一初始信息的对应性,所述第一初始信息生成算法和所述第二初始信息算法相同;当验证通过时,采用所述第一初始信息作为第二初始信息。结合第二方面至第二方面的第二种可能的实现方式,在第三种可能的实现方式中,所述第一 口令生成算法和所述第二 口令生成算法为不可逆算法,所述第一初始信息生成算法和所述第二初始信息生成算法为不可逆算法。第三方面提供一种便携设备侧动态口令认证装置,包括:第一动态口令生成模块,用于通过本设备的第一口令生成算法对第一初始信息和第一同步信息进行运算,以获得第一动态口令;其中,所述第一动态口令用于提供给待认证设备,以使所述待认证设备通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令,并根据所述第一动态口令和第二动态口令进行认证;所述第一口令生成算法和第二口令生成算法相同,所述第一初始信息和第二初始信息相同,所述第一同步息和第二同步息相同。在第三方面的第一种可能的实现方式中,所述便携设备侧动态口令认证装置还包括:第一同步信息模块,用于在接收到口令生成请求时,根据本设备中当前的系统时间产生所述第一同步信息;第一初始信息密钥模块,用于随机生成第一初始信息密钥;第一初始信息生成模块,用于通过第一初始信息生成算法对所述第一初始信息密钥进行运算,以获得所述第一初始信息;其中,所述第一初始信息密钥和第一初始信息用于提供给所述待认证设备,以使所述待认证设备根据所述第二初始信息生成算法验证所述第一初始信息密钥和第一初始信息的对应性,并在验证通过时采用所述第一初始信息作为第二初始息,所述第一初始息生成算法和所述第二初始息算法相同。第四方面提供一种待认证设备侧动态口令认证装置,包括:第二动态口令生成模块,用于当接收到第一动态口令时,通过第二 口令生成算法对第二初始息和第二同步息进行运算,以获得第二动态口令;认证模块,用于根据所述第一动态口令和第二动态口令进行认证;其中,所述第一动态口令为便携设备通过第一口令生成算法对第一初始信息和第一同步信息进行运算而获得,所述第一口令生成算法和第二口令生成算法相同,所述第一初始信息和第二初始信息相同,所述第一同步信息和第二同步信息相同。在第四方面的第一种可能的实现方式中,所述待认证设备侧动态口令认证装置还包括:第二同步信息模块,用于在接收到第一动态口令时,根据本设备中当前的系统时间产生所述第二同步信息;接收模块,用于接收第一初始信息密钥和第一初始信息,其中,所述第一初始信息为便携设备通过第一初始信息生成算法对所述第一初始信息密钥进行运算而获得;初始信息验证模块,用于根据第二初始信息生成算法验证所述第一初始信息密钥和第一初始信息的对应性,所述第一初始信息生成算法和所述第二初始信息算法相同;第二初始信息模块,用于当验证通过时,采用所述第一初始信息作为第二初始信肩、O第五方面提供一种网络系统,包括:如第三方面任一种可能的实现方式提供的便携设备侧动态口令认证装置;如第四方面任一种可能的实现方式提供的待认证设备侧动态口令认证装置。本发明实施例提供的动态口令认证方法、装置和网络系统,采用第一口令生成算法对第一初始信息和第一同步信息进行运算,获得第一动态口令,由于生成第一动态口令的输入为第一初始信息和第一同步信息,并且第一初始信息仅有权限登录待认证设备的用户知道,可以保证第一动态口令的安全性。并且,本实施例提供的动态口令认证方法可以应用在便携设备上,用户不需要使用专用的口令认证设备,便于用户随时随地的登录网络设备或网络账户。
图1为本发明实施例提供的动态口令认证方法实施例二的流程图;图2为本发明实施例提供的动态口令认证方法实施例三的流程图;图3为本发明实施例提供的动态口令认证方法实施例四的流程图;图4为本发明实施例提供的动态口令认证方法实施例五的流程图;图5为本发明实施例提供的便携设备侧动态口令认证装置实施例一的结构示意图;图6为本发明实施例提供的便携设备侧动态口令认证装置实施例二的结构示意图;图7为本发明实施例提供的便携设备侧动态口令认证装置实施例三的结构示意图;图8为本发明实施例提供的待认证设备侧动态口令认证装置实施例一的结构示意图;图9为本发明实施例提供的待认证设备侧动态口令认证装置实施例二的结构示意图;图10为本发明实施例提供的待认证设备侧动态口令认证装置实施例三的结构示意图;图11为本发明实施例提供的网络系统实施例一的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明实施例提供一种动态口令认证方法,该方法可以应用于任意便携设备,例如手机、平板电脑等设备,但不限于此。可以将本发明提供的动态口令认证方法与用户名加密码的认证方法组合在一起进行双因素认证,用于登录网络设备或网络账户,但本发明提供的动态认证方法不限于此,任何设备或账户的登录管理都可以采用本发明提供的动态口令认证方法进行。所谓动态口令,即口令不为固定的值,而是根据一定规则变化的。本发明实施例提供的动态口令认证方法实施例一可以包括:通过本设备的第一口令生成算法对第一初始信息和第一同步信息进行运算,以获得第一动态口令;其中,第一动态口令用于提供给待认证设备,以使待认证设备通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令,并根据第一动态口令和第二动态口令进行认证;第一口令生成算法和第二口令生成算法相同,第一初始信息和第二初始信息相同,第一同步息和第二同步息相同。具体地,本实施例提供的动态口令认证方法可以采用软件方式在任意电子设备上实现,但考虑到动态口令认证的实用性,一般在便携设备上实现,所述便携设备为用户可以随身携带的电子设备,例如手机、平板电脑等,只要该便携设备可以完成本发明所需实现的运算功能,并且可以输出运算后的结果即可。优选地,采用手机、平板电脑等有独立显示功能并且不需与需要认证的设备连接的便携设备。特别地,由于手机已经逐渐成为人类生活中必不可少的工具,绝大部分用户都会随身携带,因此在用户随身携带的手机上使用本实施例提供的动态口令认证方法不需要用户增加额外的认证设备。首先便携设备通过第一口令算法对第一初始信息和第一同步信息进行运算,获得第一动态口令,该第一口令算法用于计算第一动态口令,为预设在便携设备中的保密算法,第一初始信息和第一同步信息为计算第一动态口令的输入值,其中第一初始信息为预先设定的一个初始值,仅有权限登录待认证设备的用户知道;第一同步信息为按照设定规律变化的信息,一般采用系统时钟作为第一同步信息。当获得第一动态口令后,用户可以将第一动态口令输入待认证的设备,供待认证设备进行认证。待认证设备可以为用户需要登录进行使用或管理的网络设备、提供网络账户的服务器等。待认证设备接收到用户输入的第一动态口令后,通过第二口令生成算法对第二初始信息和第二同步信息进行运算,获得第二动态口令。待认证设备根据第二动态口令对用户输入的第一动态口令进行认证,当第一动态口令与第二动态口令相同时,则认证通过,待认证设备允许用户登录,否则认证失败,拒绝用户登录。第二动态口令与第一动态口令相同的前提为:第二口令生成算法和便携设备中的第一口令生成算法相同,第二初始信息和便携设备中的第一初始信息相同,第二同步信息和便携设备中的第一同步信息相同。其中,第一口令生成算法和第二口令生成算法为预设的保密算法,便携设备和待认证设备中都需要预设相同的算法;第一初始信息和第二初始信息为一个口令的初始值,可以理解为口令的密钥,该初始信息仅有权限登录待认证设备的用户知道,待认证设备中的第二初始信息应该为用户导入的;第一同步信息和第二同步信息需要使用在便携设备和待认证设备中相同的规律变化的信息,该信息需要从设备中自动获取,一般采用系统时间作为同步信息。第一口令生成算法与第二 口令生成算法不限于是相同的一套算法,第一口令生成算法还可以是在便携设备中预设的多套算法,第二口令生成算法还可以是在待认证设备种预设的多套算法,便携设备或者待认证设备根据不同的第一初始信息和第二初始信息选择不同的第一口令生成算法和第二 口令生成算法,若第一初始信息与第二初始信息相同,则选择的第一 口令生成算法和第二口令生成算法也相同,从而通过运算生成的第一动态口令和第二动态口令也相同。进一步地,便携设备中生成的第一动态口令可以为生成后用户主动输入待认证设备的,也可以是便携设备连接待认证设备,生成第一动态口令后自动发送给待认证设备的。例如,便携设备为手机时,生成第一动态口令后,由用户主动输入待认证的网络设备,进行认证;或者便携设备为优盘时,将优盘连接至待认证的网络设备,生成第一动态口令后,主动发送给待认证的网络设备,进行认证。优选地,本实施例采用用户主动输入的方式,由于待认证设备的类型可能为多种形式,可能不能提供优盘等设备的连接接口,但几乎所有的电子设备都有外部输入的功能或接口,因此使用用户主动输入的方式适应性更强。需要说明的是,本实施例提供的动态口令认证方法可以采用软件的方式安装在便携设备和待认证设备中,只要在便携设备和待认证设备中使用相同的软件即可实现本实施例提供的动态口令认证方法。本实施例提供的动态口令认证方法,采用第一 口令生成算法对第一初始信息和第一同步信息进行运算,获得第一动态口令,由于生成第一动态口令的输入为第一初始信息和第一同步信息,并且第一初始信息仅有权限登录待认证设备的用户知道,可以保证第一动态口令的安全性。并且,本实施例提供的动态口令认证方法可以应用在便携设备上,用户不需要使用专用的口令认证设备,便于用户随时随地的登录网络设备或网络账户。需要说明的是,一般地,登录网络设备或网络账户时,不会仅使用动态口令认证方式进行认证,而是使用用户名加密码和动态口令两种认证方法组合的双因素认证方法来进行登录。可以进一步地提高网络设备或网络账户的安全性。进一步地,当采用设备中的系统时间作为第一同步信息时,由于便携设备中的系统时间与待认证设备中的系统时间可能不同,为了确保第一同步时间与待认证设备中的第二同步信息相同,需要对第一同步信息和第二同步信息进行同步。具体地,可以采用手动或自动方式进行同步,若采用手动方式进行同步,可以将便携设备中的系统时间调整为与待认证设备中的系统时间一致;若采用自动方式进行同步,可以使用便携设备和待认证设备中的系统时间同步功能将系统时间均同步为标准时间。优选地,由于目前便携设备和网络中的待认证设备均有系统时间同步功能,因此采用自动方式同步便携设备和待认证设备的系统时间。图1为本发明实施例提供的动态口令认证方法实施例二的流程图,如图2所示,本实施例的方法可以在上述方法实施例一之前执行,用于获取第一初始信息,本实施例的动态口令认证方法包括:步骤SlOl,随机生成第一初始信息密钥。具体地,由于生成第一动态口令的第一口令生成算法和第一同步信息对于相同环境下的用户是相同的,因此,第一初始信息为保证不同用户使用的第一动态口令不同的关键因素。所以,也需要采用一定的机制保证第一初始信息的安全。首先,在便携设备随机生成第一初始信息密钥,该第一初始信息密钥用于生成第一初始信息,由于该第一初始信息密钥为在用户私有的便携设备中随机生成的,因此,该第一初始信息密钥具有很高的私密性。步骤S102,通过第一初始信息生成算法对第一初始信息密钥进行运算,以获得第一初始信息;其中,第一初始信息密钥和第一初始信息用于提供给所述待认证设备,以使待认证设备根据第二初始信息生成算法验证第一初始信息密钥和第一初始信息的对应性,并在验证通过时采用第一初始信息作为第二初始信息,第一初始信息生成算法和第二初始信息算法相同。具体地,便携设备通过第一初始信息生成算法对所述第一初始信息密钥进行运算,获得所述第一初始信息。该第一初始信息生成算法为预设在便携设备中的保密算法。由于用于生成第一初始信息的第一初始信息密钥为随机生成的,经过运算获得的第一初始信息也具有随机性,并且该第一初始信息在用户私有的便携设备中生成,因此该第一初始信息也具有很高的私密性。用户需要记录下第一初始信息和第一初始信息密钥,该信息需要妥善记录和保管,当便携设备丢失时可以使用记录的第一初始信息和第一初始信息密钥,用另外的便携设备登录待认证设备,或者更换第一初始信息。为了使用便携设备登录待认证设备,用户需要将根据第一初始信息生成算法获得的第一初始信息提供给待认证设备,待认证设备才能通过第二口令生成算法运算出与第一动态口令相同的第二动态口令。用户只需要在第一次登录待认证设备时为待认证设备提供第一初始信息,待认证设备可以记录该第一初始信息,并将该第一初始信息作为第二初始信息。为了进一步地确待认证设备安全,用户在输入第一初始信息时,待认证设备还需要用户提供第一初始信息密钥,在待认证设备中预设有与第一初始信息生成算法相同的第二初始信息生成算法,待认证设备通过第一初始信息生成算法对输入的第一初始信息密钥进行运算,若所得结果与第一初始信息相同,则用户通过验证,将第一初始信息作为第二初始信息,否则验证失败,拒绝将用户输入的第一初始信息作为第二初始信息。第一初始信息生成算法与第二初始信息生成算法不限于是相同的一套算法,第一初始信息生成算法还可以是在便携设备中预设的多套算法,第二初始信息生成算法还可以是在待认证设备种预设的多套算法,便携设备或者待认证设备根据不同的第一初始信息密钥选择不同的第一初始信息生成算法和第二初始信息生成算法,相同的第一初始信息密钥对应相同的第一初始信息生成算法和第二初始信息生成算法,从而通过运算生成的第一初始信息和第二初始信息也相同。设置第一初始信息密钥是为了避免由于第一初始信息泄露造成的待认证设备的安全隐患,并且当用户使用的便携设备丢失时,可以使用第一初始信息密钥和第一初始信息取消待认证设备中的第二初始信息,并重新设定第二初始信息。例如,当用户使用的便携设备丢失,用户可以在另一部便携设备中安装与之前的便携设备中相同的软件,该软件中预设有第一初始信息生成算法、第一口令生成算法和动态生成第一初始信息密钥的方法。首先将第一初始信息与第一初始信息密钥输入便携设备中,便携设备通过第一初始信息生成算法与第一初始信息密钥验证第一初始信息,即通过第一初始信息算法对第一初始信息密钥进行运算,若结果与第一初始信息相同则验证通过;然后通过第一口令生成算法生成第一动态口令登入待认证设备,在待认证设备中取消第二初始信息,取消第二初始信息仍然需要输入第一初始信息与第一初始信息密钥,经待认证设备验证后取消第二初始信息;最后在便携设备中根据步骤SlOl和步骤S102的方法生成新的第一初始信息密钥和新的第一初始信息,并将新的第一初始信息密钥和新的第一初始信息输入待认证设备中,在待认证设备中生成新的第二初始信息,则完成了第一初始信息和第二初始信息的更换。使用上述方法,在用户使用的便携设备丢失时,用户也可以将记录的第一初始信息和第一初始信息密钥导入新的便携设备,并使用新的便携设备登录待认证设备,或者生成新的第一初始信息和新的第一初始信息密钥,并更换待认证设备中的第二初始信息,从而确保待认证设备的安全。并且,由于用户可以自定义第生成第一初始信息并将第一初始信息输入至待认证设备中,因此用户可以使用一台便携设备通过一套第一初始信息和第一初始信息密钥登录多台待认证设备,也可以通过多套第一初始信息和第一初始信息密钥登录多台待认证设备。本实施例的动态口令认证方法,在便携设备中随机生成第一初始信息密钥,然后使用第一初始信息生成算法生成第一初始信息,并将该第一初始信息发送给待认证设备,提供了一种安全的第一初始信息生成和使用方法,从而提高了使用动态口令登录待认证设备的安全性,并且当用户使用的便携设备丢失时,用户可以重新设定第一初始信息,进一步确保了待认证设备的安全性。需要说明的是,上述方法实施例一和二中,第一口令生成算法第一 口令生成算法和第二口令生成算法为不可逆算法,第一初始信息生成算法和第二初始信息生成算法为不可逆算法。所述不可逆算法为复杂度很高的算法,在不知道该算法的情况下,无法通过该算法运算后的结果推算出算法的输入值。使用不可逆算法计算第一动态口令和第一初始信息,可以更加增强本发明动态口令认证方法的安全性。图2为本发明实施例提供的动态口令认证方法实施例三的流程图,如图3所示,本实施例的动态口令认证方法包括:步骤S201,当接收到第一动态口令时,通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令。具体地,本实施例提供的动态口令认证方法可以采用软件方式在任意待认证设备上实现,所述待认证设备可以为网络设备或提供网络账户的服务器等需要用户进行登录管理或使用的设备。本实施例的方法可以当使用任一便携设备采用动态口令认证方法登录待认证设备时使用。 当待认证设备接收到请求认证的第一动态口令时,通过第二 口令生成算法对第二初始信息和第二同步信息进行运算,获得第二动态口令。该第二口令生成算法为预设在待认证设备中的保密算法,第二初始信息和第二同步信息为计算第二动态口令的输入值,其中第二初始信息为预先设定的一个初始值;第二同步信息为按照设定规律变化的信息,一般采用系统时钟作为第二同步信息。步骤S202,根据第一动态口令和第二动态口令进行认证;其中,第一动态口令为便携设备通过第一口令生成算法对第一初始信息和第一同步信息进行运算而获得,第一口令生成算法和第二口令生成算法相同,第一初始信息和第二初始信息相同,第一同步信息和第二同步信息相同。具体地,待认证设备收到第一动态口令并运算出第二动态口令后,根据第一动态口令和第二动态口令对用户进行认证。若第二动态口令与第一动态口令相同则通过认证,允许用户登录;否则认证失败,拒绝用户登录。第二动态口令与第一动态口令相同的前提为:第二口令生成算法和便携设备中的第一口令生成算法相同,第二初始信息和便携设备中的第一初始信息相同,第二同步信息和便携设备中的第一同步信息相同。其中,第一口令生成算法和第二口令生成算法为预设的保密算法,便携设备和待认证设备中都需要预设相同的算法;第一初始信息和第二初始信息为一个口令的初始值,可以理解为口令的密钥,该初始信息仅有权限登录待认证设备的用户知道,待认证设备中的第二初始信息应该为用户导入的;第一同步信息和第二同步信息需要使用在便携设备和待认证设备中相同的规律变化的信息,该信息需要从设备中自动获取,一般采用系统时间作为同步信息。进一步地,便携设备中生成的第一动态口令可以为生成后用户主动输入待认证设备的,也可以是便携设备连接待认证设备,生成第一动态口令后自动发送给待认证设备的。例如,便携设备为手机时,生成第一动态口令后,由用户主动输入待认证的网络设备,进行认证;或者便携设备为优盘时,将优盘连接至待认证的网络设备,生成第一动态口令后,主动发送给待认证的网络设备,进行认证。优选地,本实施例采用用户主动输入的方式,由于待认证设备的类型可能为多种形式,可能不能提供优盘等设备的连接接口,但几乎所有的电子设备都有外部输入的功能或接口,因此使用用户主动输入的方式适应性更强。需要说明的是,本实施例提供的动态口令认证方法可以采用软件的方式安装在便携设备和待认证设备中,只要在便携设备和待认证设备中使用相同的软件即可实现本实施例提供的动态口令认证方法。本实施例提供的动态口令认证方法,通过第二 口令生成算法对第二初始信息和第二同步信息进行运算,获得第二动态口令,并对接收的第一动态口令进行认证,由于生成第二动态口令的输入为第二初始信息和第二同步信息,并且第二初始信息与便携设备中的第一初始信息相同,而仅有权限登录待认证设备的用户知道,可以保证使用第一动态口令登录待认证设备的安全性。需要说明的是,一般地,登录网络设备或网络账户时,不会仅使用动态口令认证方式进行认证,而是使用用户名加密码和动态口令两种认证方法组合的双因素认证方法来进行登录。可以进一步地提高网络设备或网络账户的安全性。进一步地,当采用设备中的系统时间作为第二同步信息时,由于待认证设备中的系统时间与便携设备中的系统时间可能不同,为了确保第二同步时间与便携设备中的第一同步信息相同,需要对第二同步信息和第一同步信息进行同步。具体地,可以采用手动或自动方式进行同步,若采用手动方式进行同步,可以将便携设备中的系统时间调整为与待认证设备中的系统时间一致;若采用自动方式进行同步,可以使用待认证设备和便携设备中的系统时间同步功能将系统时间均同步为标准时间。优选地,由于目前待认证设备和网络中的便携设备均有系统时间同步功能,因此采用自动方式同步待认证设备和便携设备的系统时间。图3为本发明实施例提供的动态口令认证方法实施例四的流程图,如图3所示,本实施例的方法可以在图2所示实施例之前执行,用于获取第二初始信息,本实施例的动态口令认证方法包括:步骤S301,接收第一初始信息密钥和第一初始信息,其中,第一初始信息为便携设备通过第一初始信息生成算法对第一初始信息密钥进行运算而获得。具体地,在待认证设备对用户进行认证之前,需要先获取用户使用的便携设备中的第一初始信息,并将该第一初始信息作为第二初始信息,才可以保证在待认证设备中获取的第二动态口令与用户输入的第一动态口令进行相同。由于生成第二动态口令的第二口令生成算法和第二同步信息对于相同环境下的用户是相同的,因此,第二初始信息为保证不同用户使用的第二动态口令不同的关键因素。所以,也需要采用一定的机制保证第二初始信息的安全,因此,用户在输入第一初始信息时,待认证设备还需要用户提供第一初始信息密钥。首先,接收用户输入的第一初始信息密钥和第一初始信息,其中第一初始信息为便携设备通过第一初始信息生成算法对第一初始信息密钥进行运算而获得,该第一初始信息生成算法为预设在便携设备中的保密算法。第一初始信息密钥为在便携设备中随机生成的,由于该第一初始信息密钥与第一初始信息为在用户私有的便携设备中随机生成的,因此,该第一初始信息密钥和第一初始信息具有很高的私密性。步骤S302,根据第二初始信息生成算法验证第一初始信息密钥和第一初始信息的对应性,第一初始信息生成算法和第二初始信息算法相同。具体地,待认证设备根据第二初始信息生成算法对第一初始信息密钥进行运算,若所得结果与第一初始信息相同,则验证通过,否则验证失败。第一初始信息生成算法和第二初始信息算法相同,均为预设的保密算法。步骤S303,当验证通过时,采用第一初始信息作为第二初始信息。
具体地,若步骤S302验证通过,则将用户输入的第一初始信息作为待认证设备中的第二初始信息。用户只需要在第一次登录待认证设备时为待认证设备提供第一初始信息,待认证设备可以记录该第一初始信息,并将该第一初始信息作为第二初始信息。设置第一初始信息密钥是为了避免由于第一初始信息泄露造成的待认证设备的安全隐患,并且当用户使用的便携设备丢失时,可以使用第一初始信息密钥和第一初始信息取消待认证设备中的第二初始信息,并重新设定第二初始信息。例如,当用户使用的便携设备丢失,用户可以在另一部便携设备中安装与之前的便携设备中相同的软件,该软件中预设有第一初始信息生成算法、第一口令生成算法和动态生成第一初始信息密钥的方法。首先将第一初始信息与第一初始信息密钥输入便携设备中,便携设备通过第一初始信息生成算法与第一初始信息密钥验证第一初始信息,即通过第一初始信息算法对第一初始信息密钥进行运算,若结果与第一初始信息相同则验证通过;然后通过第一口令生成算法生成第一动态口令登入待认证设备,在待认证设备中取消第二初始信息,取消第二初始信息仍然需要输入第一初始信息与第一初始信息密钥,经待认证设备验证后取消第二初始信息;最后在便携设备中根据步骤SlOl和步骤S102的方法生成新的第一初始信息密钥和新的第一初始信息,并将新的第一初始信息密钥和新的第一初始信息输入待认证设备中,在待认证设备中生成新的第二初始信息,则完成了第一初始信息和第二初始信息的更换。使用上述方法,在用户使用的便携设备丢失时,用户也可以将记录的第一初始信息和第一初始信息密钥导入新的便携设备,并使用新的便携设备登录待认证设备,或者生成新的第一初始信息和新的第一初始信息密钥,并更换待认证设备中的第二初始信息,从而确保待认证设备的安全。并且,由于用户可以自定义第生成第一初始信息并将第一初始信息输入至待认证设备中,因此用户可以使用一台便携设备通过一套第一初始信息和第一初始信息密钥登录多台待认证设备,也可以通过多套第一初始信息和第一初始信息密钥登录多台待认证设备。本实施例的动态口令认证方法,待认证设备接收便携设备发送的第一初始信息和第一初始信息密钥,然后使用第二初始信息生成算法生成对第一初始信息进行验证,提供了一种安全的第二初始信息使用方法,从而提高了使用动态口令登录待认证设备的安全性,并且当用户使用的便携设备丢失时,用户可以重新设定第二初始信息,进一步确保了待认证设备的安全性。需要说明的是,上述方法实施例三和四中,第一口令生成算法第一 口令生成算法和第二口令生成算法为不可逆算法,第一初始信息生成算法和第二初始信息生成算法为不可逆算法。所述不可逆算法为复杂度很高的算法,在不知道该算法的情况下,无法通过该算法运算后的结果推算出算法的输入值。使用不可逆算法计算第一动态口令和第一初始信息,可以更加增强本发明动态口令认证方法的安全性。图4为本发明实施例提供的动态口令认证方法实施例五的流程图,如图4所示,本实施例为使用便携设备对待认证设备进行动态口令认证的具体流程,本实施例的动态口令认证方法包括:步骤S401,便携设备随机生成第一初始信息密钥。具体地,本步骤在用户首次使用便携设备采用动态口令认证方法登录待认证设备或者当用户需要更换待认证设备中的第一初始信息时进行。
步骤S402,便携设备通过第一初始信息生成算法对第一初始信息密钥进行运算,以获得第一初始息。步骤S403,待认证设备接收第一初始信息密钥和第一初始信息。具体地,用户通过自动或手动地方式将第一初始信息和第一初始信息密钥输入待认证设备。步骤S404,待认证设备根据第二初始信息生成算法验证第一初始信息密钥和第一初始信息的对应性。具体地,若验证通过,则执行步骤S405,否则验证失败,返回验证失败消息,结束认证过程。步骤S405,待认证设备将第一初始信息作为第二初始信息。步骤S406,便携设备通过第一口令生成算法对第一初始信息和第一同步信息进行运算,以获得第一动态口令。具体地,用户使用动态口令登录待认证设备时,主动控制便携设备生成第一动态口令。步骤S407,待认证设备接收到第一动态口令,通过第二 口令生成算法对第二初始息和第二同步息进行运算,以获得第二动态口令。具体地,用户通过自动或手动方式向待认证设备发送第一动态口令,待认证设备收到第一动态口令后,生成第二动态口令。步骤S408,待认证设备根据第一动态口令和第二动态口令进行认证。具体地,若第一动态口令和第二动态口令相同,则认证通过,允许用户登录待认证设备,否则认证失败,返回认证失败消息,结束认证过程。图5为本发明实施例提供的便携设备侧动态口令认证装置实施例一的结构示意图,如图5所示,本实施例的便携设备侧动态口令认证装置50包括:第一动态口令生成模块51,用于通过本设备的第一口令生成算法对第一初始信息和第一同步信息进行运算,以获得第一动态口令;其中,第一动态口令用于提供给待认证设备,以使待认证设备通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令,并根据第一动态口令和第二动态口令进行认证;第一口令生成算法和第二口令生成算法相同,第一初始信息和第二初始信息相同,第一同步信息和第二同步信息相同。本实施例提供的便携设备侧动态口令认证装置用于实现上述动态口令认证方法实施例一的技术方案,其实现原理和技术效果类似,此处不再赘述。图6为本发明实施例提供的便携设备侧动态口令认证装置实施例二的结构示意图,如图6所示,本实施例的便携设备侧动态口令认证装置50在图5所示实施例的基础上,还包括:第一同步信息模块52,用于在接收到口令生成请求时,根据本设备中当前的系统时间产生第一同步信息。图7本发明实施例提供的便携设备侧动态口令认证装置实施例三的结构示意图,如图7所示,本实施例的便携设备侧动态口令认证装置50在图6所示实施例的基础上,还包括:
第一初始信息密钥模块53,用于随机生成第一初始信息密钥。第一初始信息生成模块54,用于通过第一初始信息生成算法对第一初始信息密钥进行运算,以获得第一初始信息;其中,第一初始信息密钥和第一初始信息用于提供给待认证设备,以使待认证设备根据第二初始信息生成算法验证第一初始信息密钥和第一初始信息的对应性,并在验证通过时采用所述第一初始信息作为第二初始信息,第一初始信息生成算法和第二初始息算法相同。本实施例提供的便携设备侧动态口令认证装置用于实现图1所示动态口令认证方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。进一步地,上述便携设备侧动态口令认证装置实施例中,第一口令生成算法和第二 口令生成算法为不可逆算法,第一初始信息生成算法和第二初始信息生成算法为不可逆算法。图8为本发明实施例提供的待认证设备侧动态口令认证装置实施例一的结构示意图,如图8所示,本实施例的待认证设备侧动态口令认证装置60包括:第二动态口令生成模块61,用于当接收到第一动态口令时,通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令。认证模块62,用于根据第一动态口令和第二动态口令进行认证;其中,第一动态口令为便携设备通过第一口令生成算法对第一初始信息和第一同步信息进行运算而获得,第一口令生成算法和第二口令生成算法相同,第一初始信息和第二初始信息相同,第一同步息和第二同步息相同。本实施例提供的便携设备用于实现图2所示动态口令认证方法实施例三的技术方案,其实现原理和技术效果类似,此处不再赘述。图9为本发明实施例提供的待认证设备侧动态口令认证装置实施例二的结构示意图,如图9所示,本实施例的待认证设备侧动态口令认证装置60在图8所示实施例的基础上,还包括:第二同步信息模块63,用于在接收到第一动态口令时,根据本设备中当前的系统时间产生第二同步信息。图10为本发明实施例提供的待认证设备侧动态口令认证装置实施例三的结构示意图,如图10所示,本实施例的待认证设备侧动态口令认证装置60在图9所示实施例的基础上,还包括:接收模块64,用于接收第一初始信息密钥和第一初始信息,其中,第一初始信息为便携设备通过第一初始信息生成算法对第一初始信息密钥进行运算而获得。初始信息验证模块65,用于根据第二初始信息生成算法验证第一初始信息密钥和第一初始信息的对应性,第一初始信息生成算法和第二初始信息算法相同。第二初始信息生成模块66,用于当验证通过时,采用第一初始信息作为第二初始信息。本实施例提供的便携设备用于实现图3所示动态口令认证方法实施例四的技术方案,其实现原理和技术效果类似,此处不再赘述。进一步地,上述待认证设备侧动态口令认证装置实施例中,第一口令生成算法和第二口令生成算法为不可逆算法,第一初始信息生成算法和第二初始信息生成算法为不可逆算法。图11为本发明实施例提供的网络系统实施例一的结构示意图,如图11所示,本实施例的网络系统包括:本发明任意实施例所提供的便携设备侧动态口令认证装置71,用于生成第一动态口令。本发明任意实施例所提供的待认证设备侧动态口令认证装置72,用于接收便携设备侧动态口令认证装置71生成的第一动态口令并对其进行认证。本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种动态口令认证方法,其特征在于,包括: 通过本设备的第一口令生成算法对第一初始信息和第一同步信息进行运算,以获得第一动态口令; 其中,所述第一动态口令用于提供给待认证设备,以使所述待认证设备通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令,并根据所述第一动态口令和第二动态口令进行认证;所述第一口令生成算法和第二口令生成算法相同,所述第一初始信息和第二初始信息相同,所述第一同步信息和第二同步信息相同。
2.根据权利要求1所述的方法,其特征在于,在通过本设备的第一口令生成算法对第一初始信息和第一同步信息进行运算之前,还包括: 在接收到口令生成请求时,根据本设备中当前的系统时间产生所述第一同步信息。
3.根据权利要求1所述的方法,其特征在于,在通过本设备的第一口令生成算法对第一初始信息和第一同步信息进行运算之前,还包括: 随机生成第一初始信息密钥; 通过第一初始信息生成算法对所述第一初始信息密钥进行运算,以获得所述第一初始信息; 其中,所述第一初始信息密钥和第一初始信息用于提供给所述待认证设备,以使所述待认证设备根据所述第二初始信息生成算法验证所述第一初始信息密钥和第一初始信息的对应性,并在验证通过时采用所述第一初始信息作为第二初始信息,所述第一初始信息生成算法和所述第二初始信息算法相同 。
4.根据权利要求1 3任 一项所述的方法,其特征在于,所述第一口令生成算法和所述第二口令生成算法为不可逆算法,所述第一初始信息生成算法和所述第二初始信息生成算法为不可逆算法。
5.—种动态口令认证方法,其特征在于,包括: 当接收到第一动态口令时,通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令; 根据所述第一动态口令和第二动态口令进行认证; 其中,所述第一动态口令为便携设备通过第一口令生成算法对第一初始信息和第一同步信息进行运算而获得,所述第一口令生成算法和第二口令生成算法相同,所述第一初始信息和第二初始信息相同,所述第一同步信息和第二同步信息相同。
6.根据权利要求5所述的方法,其特征在于,在通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令之前,还包括: 在接收到第一动态口令时,根据本设备中当前的系统时间产生所述第二同步信息。
7.根据权利要求5所述的方法,其特征在于,在通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令之前,还包括: 接收第一初始信息密钥和第一初始信息,其中,所述第一初始信息为便携设备通过第一初始信息生成算法对所述第一初始信息密钥进行运算而获得; 根据第二初始信息生成算法验证所述第一初始信息密钥和第一初始信息的对应性,所述第一初始信息生成算法和所述第二初始信息算法相同; 当验证通过时,采用所述第一初始信息作为第二初始信息。
8.根据权利要求5 7任一项所述的方法,其特征在于,所述第一口令生成算法和所述第二口令生成算法为不可逆算法,所述第一初始信息生成算法和所述第二初始信息生成算法为不可逆算法。
9.一种便携设备侧动态口令认证装置,其特征在于,包括: 第一动态口令生成模块,用于通过本设备的第一口令生成算法对第一初始信息和第一同步信息进行运算,以获得第一动态口令;其中,所述第一动态口令用于提供给待认证设备,以使所述待认证设备通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令,并根据所述第一动态口令和第二动态口令进行认证;所述第一口令生成算法和第二口令生成算法相同,所述第一初始信息和第二初始信息相同,所述第一同步息和第二同步息相同。
10.根据权利要求9所述的装置,其特征在于,还包括: 第一同步信息模块,用于在接收到口令生成请求时,根据本设备中当前的系统时间产生所述第一同步信息; 第一初始信息密钥模块,用于随机生成第一初始信息密钥; 第一初始信息生成模块,用于通过第一初始信息生成算法对所述第一初始信息密钥进行运算,以获得所述第一初始信息;其中,所述第一初始信息密钥和第一初始信息用于提供给所述待认证设备,以使所述待认证设备根据所述第二初始信息生成算法验证所述第一初始信息密钥和第一初始信息的对应性,并在验证通过时采用所述第一初始信息作为第二初始息,所述第一初始息生成算法和所述第二初始息算法相同。
11.一种待认证设备侧动态口令认证装置,其特征在于,包括: 第二动态口令生成模块,用于当接收到第一动态口令时,通过第二口令生成算法对第二初始息和第二同步息进行运算,以获得第二动态口令; 认证模块,用于根据所述第一动态口令和第二动态口令进行认证;其中,所述第一动态口令为便携设备通过第一口令生成算法对第一初始信息和第一同步信息进行运算而获得,所述第一口令生成算法和第二口令生成算法相同,所述第一初始信息和第二初始信息相同,所述第一同步信息和第二同步信息相同。
12.根据权利要求11所述的装置,其特征在于,还包括: 第二同步信息模块,用于在接收到第一动态口令时,根据本设备中当前的系统时间产生所述第二同步信息; 接收模块,用于接收第一初始信息密钥和第一初始信息,其中,所述第一初始信息为便携设备通过第一初始信息生成算法对所述第一初始信息密钥进行运算而获得; 初始信息验证模块,用于根据第二初始信息生成算法验证所述第一初始信息密钥和第一初始信息的对应性,所述第一初始信息生成算法和所述第二初始信息算法相同; 第二初始信息模块,用于当验证通过时,采用所述第一初始信息作为第二初始信息。
13.一种网络系统,其特征在于,包括: 如权利要求9或10所述的 便携设备侧动态口令认证装置; 如权利要求11或12所述的待认证设备侧动态口令认证装置。
全文摘要
本发明实施例提供一种动态口令认证方法、装置和网络系统,一种动态口令认证方法包括通过本设备的第一口令生成算法对第一初始信息和第一同步信息进行运算,以获得第一动态口令;其中,所述第一动态口令用于提供给待认证设备,以使所述待认证设备通过第二口令生成算法对第二初始信息和第二同步信息进行运算,以获得第二动态口令,并根据所述第一动态口令和第二动态口令进行认证;所述第一口令生成算法和第二口令生成算法相同,所述第一初始信息和第二初始信息相同,所述第一同步信息和第二同步信息相同。本发明实施例提供的动态口令认证方法、装置和网络系统,用于提供一种安全便捷的口令认证方法,便于用户随时随地的登录待认证设备。
文档编号H04L9/32GK103078739SQ201210579118
公开日2013年5月1日 申请日期2012年12月27日 优先权日2012年12月27日
发明者谢文辉, 陆晓萍 申请人:华为技术有限公司