增强型一次性动态口令的认证方法及系统的制作方法
【专利摘要】本发明涉及信息安全技术,尤其涉及增强型一次性动态口令的认证方法及系统,包括收集用户信息,形成与所述用户信息关联的客户端算法;客户端结合第一环境信息、所述用户信息及所述客户端算法,生成第一动态口令;发送所述第一动态口令至认证服务器;所述认证服务器结合所述用户信息及第二环境信息,生成第二动态口令;比较所述第一动态口令和所述第二动态口令,完成动态口令的认证。,本发明的客户端中不存放密钥文件,而是存放与用户信息唯一对应的算法函数,解决了客户端密钥安全存储问题,从而大大提高了本发明中认证系统的安全。且每个客户端都不一样,因而即使不法分子破解了一个客户端,不会影响其他的客户端,保障了客户端用户的安全。
【专利说明】增强型一次性动态口令的认证方法及系统
【技术领域】
[0001]本发明涉及信息安全技术,尤其涉及一种动态口令实现方法及系统。
【背景技术】
[0002]随着计算机在各行各业的广泛应用,计算机对人们的生活和工作变得越来越重要,如,在个人电脑上或手机上完成水电煤缴费、购物等在线支付的普及,然而其在改变和提高的生产效率的同时,也给人们留下了信息安全的隐患。各种各样的软、硬件加密技术及机制应运而生,以保障数据在线传输、处理和贮存过程中的安全,如,为了保障在线支付过程中的安全,各大银行纷纷推出了电子密码器产品,用户首先从电子密码器获得一组动态口令,再将获得的动态口令提交至银行认证后台,进而完成交易真伪的认证,由于动态口令的登陆方式与传统口令的登陆方式几乎无异,因而这种方式在网上银行、手机银行、电话银行等多种交易渠道得到了广泛的应用。
[0003]为了进一步保障交易过程中的安全,目前较为常用的是使用实体硬件作为动态口令的载体,其内置电池、芯片和显示屏,产生并显示动态密码,但是这种动态令牌有一定的体积和厚度,长时间携带会给用户带来不便;当然,也有体积和厚度较小的令牌形式,如卡片式令牌,这种令牌虽然携带方便,但按键手感普遍较差,用户输入也不方便,同时成本也比较高;另外,人们也尝试在智能手机上开发软件令牌产品,但是其安全性无法保证,这种软件令牌只能用于安全性要求不是很高的场所。
[0004]无论是实体硬件动态令牌还是软件动态令牌,都有一个共同的弱点,其所有令牌的算法都相同且公开的,只是通过密钥来实现不同用户的身份认证过程,一旦密钥被非法获得,不法分子即可任意获取动态密码,动态令牌将不再安全,因而一种更能保障用户安全的动态令牌的实现方法成为一种迫切地需求。
【发明内容】
[0005]针对上述问题,本发明提供了一种全新的动态口令认证方法及系统,在客户端中存放与用户信息关联的唯一客户端算法代替了传统的密钥文件,大大增强了动态口令的安全性能。
[0006]本发明提供的技术方案如下:
[0007]一种增强型一次性动态口令的认证方法,具体包括以下步骤:
[0008]SI收集用户信息,形成与所述用户信息关联的客户端算法;
[0009]S2客户端结合第一环境信息、所述用户信息及所述客户端算法,生成第一动态口令;
[0010]S3发送所述第一动态口令至认证服务器;
[0011]S4所述认证服务器结合所述用户信息及第二环境信息,生成第二动态口令;
[0012]S5比较所述第一动态口令和所述第二动态口令,完成动态口令的认证。
[0013]优选地,所述用户信息包括用户名。
[0014]优选地,所述第一环境信息和所述第二环境信息包括时间信息。
[0015]优选地,在步骤SI中,收集用户信息,形成与所述用户信息关联的客户端算法,具体包括:
[0016]Sll系统收集用户信息,同时自动生成密钥参数;
[0017]S12关联所述用户信息与所述密钥参数;
[0018]S13结合所述密钥参数生成第一用户编制参数;
[0019]S14结合所述第一用户编制参数形成客户端算法。
[0020]优选地,在步骤S4中,所述认证服务器结合所述用户信息及第二环境信息,生成第二动态口令,具体包括:
[0021]S41认证服务器结合所述用户信息,获取与所述用户信息关联的所述密钥参数;
[0022]S42结合所述密钥参数生成第二用户编制参数;
[0023]S43获取第二环境信息中的用户信息,生成密钥种子参数;
[0024]S44结合所述第二用户编制参数与所述密钥种子参数,生成所述第二动态口令。
[0025]优选地,所述密钥参数和所述密钥种子参数包括8个字节。
[0026]一种增强型一次性动态动态口令认证系统,包括客户端,认证服务器,还包括随机数字发生装置,与所述客户端连接,用于生成与用户信息关联的密钥参数;
[0027]转换装置,与所述随机数字发生装置连接,用于将所述密钥参数转换成用户编制参数;
[0028]所述客户端中包括结合所述用户信息唯一确定的客户端算法,用于生成第一动态口令;
[0029]所述认证服务器生成第二动态口令,同时比对所述第一动态口令与所述第二动态口令。
[0030]本发明提供了一种增强型一次性动态口令的认证方法与系统,有益效果在于:
[0031]1.与传统的动态口令认证系统不同,本发明的客户端中不存放密钥文件,而是存放与用户信息唯一对应的客户端算法函数,解决了客户端密钥安全存储问题,从而大大提高了本发明中认证系统的安全。
[0032]2.本发明中的密钥文件在认证服务器中运行,而不出现在客户端中,解决了传统的认证系统中密钥文件传输过程中存在的安全问题。
[0033]3.客户端中存放的算法函数与用户信息关联,每个客户端都不一样,因而即使不法分子破解了一个客户端,不会影响其他的客户端,保障了客户端用户的安全。
【专利附图】
【附图说明】
[0034]下面结合附图和【具体实施方式】对本发明作进一步详细说明:
[0035]图1是本发明中增强型一次性动态口令认证方法流程图;
[0036]图2是本发明中增强型一次性动态口令认证系统中客户端算法形成结构示意图。
【具体实施方式】
[0037]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面结合附图和实施例对本发明进行具体的描述。下面描述中的附图仅仅是本发明的一些实施例。对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0038]如图1所示,本发明提供了一种增强型一次性动态口令认证方法,具体包括以下步骤:
[0039]SI收集用户信息,形成与用户信息关联的客户端算法;
[0040]S2客户端结合第一环境信息、用户信息及客户端算法,生成第一动态口令;
[0041]S3发送第一动态口令至认证服务器;
[0042]S4认证服务器结合用户信息及第二环境信息,生成第二动态口令;
[0043]S5比较第一动态口令和第二动态口令,完成动态口令的认证。
[0044]具体地,本发明提供了一种软件形式的动态令牌,适用于任何需要用户信息认证的场所,如网上银行交易等,特别地,本发明对动态口令认证发明的应用场所不作具体限定,无论用于何种场所,只要该场所需要进行用户信息的认证,是包含在本发明中。
[0045]优选地,在步骤SI中,上述用户信息包括用户名等,例如,当用户需要进行网上银行交易时,首先需要用户输入用户信息,如用户名,点击交易页面中的“注册”按钮进行注册,系统获取用户信息,随后形成与上述用户信息唯一对应的客户端算法,具体包括:
[0046]Sll系统收集用户信息,同时自动生成密钥参数;
[0047]S12关联用户信息与密钥参数;
[0048]S13结合密钥参数生成第一用户编制参数;
[0049]S14结合第一用户编制参数形成客户端算法。
[0050]具体地,当系统获取了用户信息之后,系统将通过随机数发生器生成,如16位的随机数,即上述的密钥参数,作为用户的密钥信息。随后系统将上述用户信息与密钥参数进行绑定。
[0051]在步骤S13中,根据上述的密钥参数转换成第一用户编制参数,具体地,第一用户编制参数是密钥参数经过转换模块转而成的另一种数据表现形式,客户端根据上述第一用户编制参数生成与用户信息关联的客户端算法,完成用户注册。特别地,客户端应用程序形成的过程中调用上述客户端算法来生成客户端程序,即客户端算法存放在客户端程序中,以便调用。在本发明中,客户端中存放与密钥参数唯一对应的客户端算法,每个客户端中的客户端算法都不相同,大大增强了认证方法的安全性能。进一步地,客户端算法包括OTP (One-time Password,动态口令)算法,其每隔60s生成一个与时间相关的随机数组合,且每个口令只能使用一次,即利用OTP算法生成的动态口令为一种一次性动态口令。特别地,本发明对客户端算法的具体形式不作限定,无论何种算法,只要其能实现本发明的目的,都在本发明的保护范围中。
[0052]在步骤S2中,第一环境包括当前的时间信息等。当需要进行用户信息认证时,用户在客户端程序中输入用户名等相关信息,客户端程序即调用上述客户端算法,同时结合用户名、密钥参数等信息自动生成第一动态口令。优选地,第一动态口令包括8个字节。
[0053]在步骤S3中,当第一动态口令生成之后同时在客户端显示,用户即在客户端中动态口令的输入窗口中输入上述第一动态口令,客户端程序则自动将用户名、第一动态密码等信息发送至认证服务器中,等待认证服务对第一动态密码的认证。
[0054]在步骤S4中,认证服务器用户信息及第二环境信息,生成第二动态口令,具体步骤包括:
[0055]S41认证服务器结合用户信息,获取与用户信息关联的密钥参数;
[0056]S42结合密钥参数生成第二用户编制参数;
[0057]S43获取第二环境信息中的用户信息,生成密钥种子参数;
[0058]S44结合第二用户编制参数与密钥种子参数,生成第二动态口令。
[0059]具体地,首先认证服务器根据客户端程序发送过来的用户信息,得到与用户信息关联的密钥参数,进而生成第一用户编制信息。与此同时,认证服务器获取第二环境信息的用户信息,如当前时间认证服务器获取到的用户名称,生成与密钥参数格式相同的密钥种子参数。最后,结合上述第二用户编制参数和密钥种子参数,计算得出第二动态口令。
[0060]在步骤S5中,将客户端程序发送过来的第一动态口令及认证服务器生成的第二动态口令进行比较,若两个动态口令完全相同,则认证成功,否则认证失败,至此即完成了交易页面中的身份认证过程。
[0061]如图2所示为本发明提供的增强型一次性动态口令认证系统中客户端算法的形成结构示意图,包括输入模块、转换模块、随机数字发生模块及客户端程序。具体地,当用户需要进行用户身份认证,如网上银行交易认证,用户首先在交易页面中输入模块中输入用户信息,如用户名,点击“注册”按钮进行注册,则系统通过上述随机数发生模块自动生成,如16位数的随机数,用来作为本发明的密钥参数,随后系统自动将用户信息与得到的密钥参数进行关联绑定。特别地,本发明中对用户信息和随机数发生模块生成的随机数的位数不作具体限定,只要用户输入的用户信息能够用于唯一标识需要进行认证的用户,还可以包括如,邮箱地址、手机号码等;只要随机数的位数,如4位、8位、16位、32位等能通过随机数发生模块生成,都在本发明的保护范围中。随后系统通过与上述随机数字发生模块连接的转换模块将密钥参数转换成第一用户编制参数,以将密钥参数转换成为能够用于生成客户端算法的格式,进而系统根据得到的的用户编制参数形成客户端算法,存储在客户端程序中,方便客户端程序调用,同时完成了用户的注册过程。
[0062]当用户需要进行身份认证时,首先在客户端算中的输入模块中输入用户信息,如用户名,则客户端程序根据输入的用户信息调出客户端算法运行,自动生成第一动态口令,同时在客户端中的显示模块中进行显示,特别地,本发明中第一动态口令的位数(字节数)与上述随机发生模块中生成的随机数(密钥参数)的位数相同,即客户端中生成8字节的一次性动态口令。
[0063]用户从显示模块中获取了客户端生成的第一动态口令,进而在客户端中的动态口令输入窗口中输入上述第一动态口令,同时客户端将用户信息和第一动态口令等信息发送至认证服务器端口,等待认证服务器验证。
[0064]认证服务器接收到了用户信息,即同时自动获取了与用户信息关联的密钥参数,再根据密钥参数生成第二用户编制参数;与此同时,认证服务器根据当前时间获取到的用户信息,生成密钥种子参数,特别地,本发明中生成的密钥种子参数的位数(字节数)与上述的密钥参数和第一动态口令的位数(字节数)相同。随后认证服务器根据第二用户编制参数及密钥种子参数生成第二动态口令。
[0065]最后,通过认证服务器中的比对模块将第一动态口令和第二动态口令进行比较,如若两个动态口令相同,则认证成功,否则则认证失败。进一步地,认证服务器将认证结果反馈至客户端,若认证成功,则用户直接进入交易页面进行交易;若认证失败,提示用户重新验证。更进一步地,本发明中的客户端算法包括OTP算法,其每隔60s生成一个与时间相关的随机数组合,且每个口令只能使用一次,因而若用户在60s内多次输入第一动态口令且验证失败,则系统生成新的第一动态口令,系统自动对用户信息再次进行验证。
[0066]本发明在客户端中存放与用户信息唯一对应的算法函数,且每个客户端中存放的客户端算法都不一样,进而大大增加了不法分子破解密钥文件的难度,大大提高了本发明中认证系统的安全。
[0067]采用上述优选方案,用户即可在同一个界面上同时观察到所需要的实体的数据,以及与该实体存在关系的实体的数据情况,给用户一种更加直观,更加全面的方式。使用户可以从局部跳到全局,或者是深入更细节的了解需要了解的情况。
【权利要求】
1.一种增强型一次性动态口令的认证方法,其特征在于,包括以下步骤: Si收集用户信息,形成与所述用户信息关联的客户端算法; S2客户端结合第一环境信息、所述用户信息及所述客户端算法,生成第一动态口令; S3发送所述第一动态口令至认证服务器; S4所述认证服务器结合所述用户信息及第二环境信息,生成第二动态口令; S5比较所述第一动态口令和所述第二动态口令,完成动态口令的认证。
2.如权利要求1所述动态口令认证方法,其特征在于:所述用户信息包括用户名。
3.如权利要求1所述增强型一次性动态口令的认证方法,其特征在于:所述第一环境信息和所述第二环境信息包括时间信息。
4.如权利要求1所述增强型一次性动态口令的认证方法,其特征在于,在步骤SI中,收集用户信息,形成与所述用户信息关联的客户端算法,具体包括: Sll系统收集用户信息,同时自动生成密钥参数; S12关联所述用户信息与所述密钥参数; S13结合所述密钥参数生成第一用户编制参数; S14结合所述第一用户编制参数形成客户端算法。
5.如权利要求4所述增强型一次性动态口令的认证方法,其特征在于,在步骤S4中,所述认证服务器结合所述用户信息及第二环境信息,生成第二动态口令,具体包括: S41认证服务器结合所述用户信息,获取与所述用户信息关联的所述密钥参数; S42结合所述密钥参数生成第二用户编制参数; S43获取第二环境信息中的用户信息,生成密钥种子参数; S44结合所述第二用户编制参数与所述密钥种子参数,生成所述第二动态口令。
6.如权利要求5所述增强型一次性动态口令的认证方法,其特征在于,所述密钥参数和所述密钥种子参数包括8个字节。
7.一种增强型一次性动态动态口令认证系统,包括客户端,认证服务器,其特征在于: 还包括随机数字发生装置,与所述客户端连接,用于生成与用户信息关联的密钥参数; 转换装置,与所述随机数字发生装置连接,用于将所述密钥参数转换成用户编制参数; 所述客户端中包括结合所述用户信息唯一确定的客户端算法,用于生成第一动态口令; 所述认证服务器生成第二动态口令,同时比对所述第一动态口令与所述第二动态口令。
【文档编号】H04L9/32GK104079413SQ201410333976
【公开日】2014年10月1日 申请日期:2014年7月14日 优先权日:2014年7月14日
【发明者】谈剑锋, 尤磊, 盛学明 申请人:上海众人科技有限公司