基于动态口令的用户卡认证方法和系统的制作方法
【专利摘要】本发明公开了一种基于动态口令的用户卡认证方法和系统,涉及信息安全领域。本发明通过用户卡向手机获取当前的时间信息,将当前的时间信息转化为第一时间因子,根据第一时间因子和种子生成第一动态口令,用户卡可以直接生成动态口令,用户无需通过额外的手段获取挑战码、计数器或时间信息,易用性较好;并且认证服务器将接收到第一动态口令的时刻的时间信息转化为第二时间因子,以第二时间因子为基准,对于认证时间窗口内的各个时间因子结合种子生成至少一个第二动态口令,将第一动态口令与第二动态口令比较,以便对用户卡进行认证,整个认证过程用户卡与认证服务器无需共同维护时间信息的同步性和私密性,因此实现比较简单。
【专利说明】基于动态口令的用户卡认证方法和系统
【技术领域】
[0001]本发明涉及信息安全领域,特别涉及一种基于动态口令的用户卡认证方法和系统。
【背景技术】
[0002]随着互联网应用的发展及网络非法攻击的增多,用户身份认证的安全性日益重要。传统的网络应用认证方式使用“用户名+静态口令”的组合,由于静态口令相对固定,容易被破解或网络截获,因此,业界提出了动态口令的认证方式。
[0003]动态口令是根据某种特定的加密算法,随某一个动态的“关键因子”生成的一次一变的口令。由于动态口令每次生成不同的数值,每次生成的口令只能使用一次,因此具有更高的安全性,在网络银行、电子商务等安全性要求较高的网络业务中得到广泛应用。
[0004]用户卡动态口令是在用户卡上生成的动态口令,结合了动态口令高安全性和用户卡携带方便、唯一标识用户的优点。目前的用户卡动态口令主要有两种:
[0005]一种是挑战码方式动态口令,用户卡需要用户通过额外的手段获取挑战码,例如用户可以通过网页获取挑战码,易用性较差。
[0006]另一种是事件方式用户卡动态口令,用户卡与认证服务器需要共同维护计数器的同步性和私密性,实现比较复杂,并且会占用用户卡和认证服务器较多的处理资源。
【发明内容】
[0007]本发明实施例所要解决的一个技术问题是:提供一种基于动态口令的用户卡认证方法和系统,以解决传统动态口令中存在的易用性差和实现复杂的问题。
[0008]本发明实施例的一个方面提供了一种基于动态口令的用户卡认证方法,包括:用户卡响应于用户获取动态口令的请求,向手机获取当前的时间信息,将当前的时间信息转化为第一时间因子,根据所述第一时间因子和种子生成第一动态口令,并通过用户向认证服务器提交所述第一动态口令;认证服务器接收用户提交的第一动态口令,将接收到所述第一动态口令的时刻的时间信息转化为第二时间因子,以所述第二时间因子为基准,对于认证时间窗口内的各个时间因子结合种子生成至少一个第二动态口令,如果所述第一动态口令与其中一个第二动态口令符合,则所述用户卡认证通过,如果所述第一动态口令与所有第二动态口令都不符合,则所述用户卡认证失败。
[0009]所述用户卡根据以下公式将当前的时间信息转化为第一时间因子:
[0010]
【权利要求】
1.一种基于动态口令的用户卡认证方法,包括: 用户卡响应于用户获取动态口令的请求,向手机获取当前的时间信息,将当前的时间信息转化为第一时间因子,根据所述第一时间因子和种子生成第一动态口令,并通过用户向认证服务器提交所述第一动态口令; 认证服务器接收用户提交的第一动态口令,将接收到所述第一动态口令的时刻的时间信息转化为第二时间因子,以所述第二时间因子为基准,对于认证时间窗口内的各个时间因子结合种子生成至少一个第二动态口令,如果所述第一动态口令与其中一个第二动态口令符合,则所述用户卡认证通过,如果所述第一动态口令与所有第二动态口令都不符合,则所述用户卡认证失败。
2.根据权利要求1所述的方法,其特征在于,所述用户卡将当前的时间信息转化为第一时间因子具体包括: 所述用户卡根据以下公式将当前的时间信息转化为第一时间因子:T1=[T-T0/X], 其中,T1表示第一时间因子,T表示用户卡获取的当前的时间信息,T0表示基准时间,X表示步长时间间隔,「I表示向下取整。
3.根据权利要求1所述的方法,其特征在于,所述认证服务器将接收到所述第一动态口令的时刻的时间信息转化为第二时间因子具体包括: 认证服务器根据以下公式将接收到所述第一动态口令的时刻的时间信息转化为第二时间因子:T2=[T'-T0/X], 其中,T2表示第二时间因子,t’表示认证服务器接收到所述第一动态口令的时刻的时间信息,T0表示基准时间,X表示步长时间间隔,[]表示向下取整。
4.根据权利要求1所述的方法,其特征在于,所述用户卡根据所述第一时间因子和种子生成第一动态口令具体包括: 所述用户卡将第一时间因子T1和种子K作为生成动态口令的输入参数,采用安全哈希算法SHA生成摘要; 对摘要取偏移量; 将偏移量最高位置O ; 根据偏移量拼接生成字符串; 对字符串取模得到第一动态口令。
5.根据权利要求4所述的方法,其特征在于,所述认证服务器以所述第二时间因子为基准,对于认证时间窗口内的各个时间因子结合种子生成至少一个第二动态口令具体包括: 生成第一动态口令的输入参数记为(T1, K),认证时间窗口为[-N,+N],则生成第二动态口令的输入参数为(T2-N, K)…(T2-N+i,K)…(T2,K)…(T2+N-1,K)…(T2+N,K),所述认证服务器采用与第一动态口令相同的动态口令生成算法到2N + 1个第二动态口令,其中,T1表示第一时间因子,T2表示第二时间因子,K表示种子,i在I至N — I之间。
6.根据权利要求1所述的方法,其特征在于,生成动态口令的算法包括OATHTOTP算法和国密时间型动态口令算法。
7.一种基于动态口令的用户卡认证系统,包括:用户卡和认证服务器; 所述用户卡,用于响应于用户获取动态口令的请求,向手机获取当前的时间信息,将当前的时间信息转化为第一时间因子,根据所述第一时间因子和种子生成第一动态口令,并通过用户向认证服务器提交所述第一动态口令; 所述认证服务器,用于接收用户提交的第一动态口令,将接收到所述第一动态口令的时刻的时间信息转化为第二时间因子,以所述第二时间因子为基准,对于认证时间窗口内的各个时间因子结合种子生成至少一个第二动态口令,如果所述第一动态口令与其中一个第二动态口令符合,则所述用户卡认证通过,如果所述第一动态口令与所有第二动态口令都不符合,则所述用户卡认证失败。
8.根据权利要求7所述的系统,其特征在于,所述用户卡在将当前的时间信息转化为第一时间因子时,具体用于: 所述用户卡根据以下公式将当前的时间信息转化为第一时间因子:
9.根据权利要求7所述的系统,其特征在于,所述认证服务器在将接收到所述第一动态口令的时刻的时间信息转化为第二时间因子时,具体用于: 所述认证服务器根据以下公式将接收到所述第一动态口令的时刻的时间信息转化为第二时间因子:
10.根据权利要求7所述的系统,其特征在于,所述用户卡在根据所述第一时间因子和种子生成第一动态口令时,具体用于: 所述用户卡将第一时间因子T1和种子K作为生成动态口令的输入参数,采用安全哈希算法SHA生成摘要; 对摘要取偏移量; 将偏移量最高位置0 ; 根据偏移量拼接生成字符串; 对字符串取模得到第一动态口令。
11.根据权利要求10所述的系统,其特征在于,所述认证服务器在以所述第二时间因子为基准,对于认证时间窗口内的各个时间因子结合种子生成至少一个第二动态口令时,具体用于:生成第一动态口令的输入参数记为(T1, K),认证时间窗口为[一 N,+N],则生成第二动态口令的输入参数为(T2-N, K)…(T2-N+i,K)…(T2,K)…(T2+N-1,K)…(T2+N,K),所述认证服务器采用与第一动态口令相同的动态口令生成算法得到2N + I个第二动态口令,其中,T1表示第一时间因子,T2表示第二时间因子,K表示种子,i在I至N — I之间。
12.根据权利要求7所述的系统,其特征在于,生成动态口令的算法包括OATH TOTP算法和国密时间型动态口令算法。
【文档编号】H04L9/32GK103905195SQ201210581425
【公开日】2014年7月2日 申请日期:2012年12月28日 优先权日:2012年12月28日
【发明者】蔡秋艳, 黄健文, 郭建昌, 郭茂文, 黎艳, 刘兆元, 杨穗珊, 桂烜, 黄浙辉, 卢燕青, 陈红捷, 杨敏维 申请人:中国电信股份有限公司