一种事件型动态口令装置及实现方法
【专利摘要】本发明涉及一种事件型动态口令装置及实现方法,包括同步模块与认证模块,同步模块通过封装在动态口令装置内的通讯通道与服务端进行同步操作,认证模块通过手动录入客户端的方式与服务端进行认证操作,同步操作与认证操作采用通道异步的方法有效的解决了动态口令的安全性问题,避免了在同步操作过程中密码被不法者截获而冒充用户身份的弊端。
【专利说明】一种事件型动态口令装置及实现方法
【技术领域】
[0001]本发明涉及信息安全领域中的动态口令技术,具体来说,涉及一种基于事件型动态口令装置及实现方法。
【背景技术】
[0002]随着信息产业的发展,信息化水平已经成为衡量一个国家现代化和综合国力的重要标志,目前计算机网络已经成为信息的主要载体,信息的传播途径也主要依靠计算机网络,然而通信涉密事件越来越多,比如机要文件、计划部署等必须要有严格的实时性和保密性,需要有较高安全级别的身份认证系统来确保通信的准确性与安全性。
[0003]动态口令是根据专门的算法生成一个不可预测的随机数字组合,每个密码只能使用一次,采用一种称之为动态口令生成令牌的专用硬件,包括内置电源、密码生成芯片和显示屏等,密码生成芯片运行专门的加密算法,根据当前时间或使用次数生成当前密码并显示在显示屏上,服务器采用相同的算法计算当前的有效密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端设备上即可实现身份的确认。由于用户每次使用的密码都是动态令牌产生的随机数字,即使被黑客截获了一次密码,也无法利用该密码来冒充用户身份,有效的保证了用户身份的安全性。目前越来越多的行业已经将动态口令作为最安全的身份认证技术之一。
[0004]20世纪90年代出现的动态口令技术,经过长期发展,近20年以来已在国内外金融、电信、电子商务等领域得到了广泛的应用。目前,动态口令产品分为基于时间同步和基于事件同步两种,其中,基于事件同步的动态令牌在其整个工作流程中不受时钟的影响,令牌中也不存在时间脉冲晶振,因此基于事件的令牌相对于时间性动态口令更能适用于非常恶劣的环境,即使令牌不小心掉入水里浸泡也不会受太大的影响。
[0005]基于事件型动态口令,例如专利号为200710304030.1专利名称为一种动态口令生成方法及装置的中国专利,所述动态口令生成方法为采集指纹图像,从指纹图像中提取指纹特征信息,将所述指纹特征信息与指纹特征模板进行比较认证,在通过认证后利用指纹特征模板或指纹特征模板对应的用户秘密信息生成动态口令,这种方法解决了动态口令生成装置缺乏用户身份验证和只能面向单个用户的缺陷,同时有效避免了动态口令生成装置丢失或被窃取后被冒用的安全隐患,有效提高了动态口令生成装置的安全性。
[0006]再如西安建筑科技大学华清学院的机电工程系的毕业论文《基于事件同步动态口令身份认证的研究》一文中提到的事件型动态口令认证流程,用户的身份证书被传递到服务器后,服务器将用户的ID和口令与服务器中或LDAP中存储的资料进行比较,判断是否匹配来进行认证;同步时,客户端提供两个连续的动态口令给服务端,服务端在确认该动态口令匹配时则同步成功。
[0007]以上所述的事件型动态口令都存在一个安全性的问题,即用户在进行认证时,若被钓鱼网站利用,反馈回需要用户同步的提示,如果用户继续使用客户端同步,则钓鱼网站能够获取用户多个正确且连续的动态码,在一个完整的安全认证体系中,这是非常危险的。
【发明内容】
[0008]为了解决上述问题,本发明第一个方面涉及一种事件型动态口令装置,包括内置电源、密码生成芯片、显示屏、动态码生成按钮和同步按钮,还包括同步模块与认证模块,其配置成通过在所述事件型动态口令装置内设置无线通讯网络或外接电脑客户端的接口模块,用于将同步码发送到服务端。
[0009]优选的是,所述接口模块为USB接口。
[0010]在上述任一方案中优选的是,所述USB接口用来外接电脑,通过电脑客户端的通讯网络与所述服务端进行同步操作。
[0011]在上述任一方案中优选的是,所述同步模块安装有sim卡。
[0012]在上述任一方案中优选的是,所述认证模块用来确认客户端身份,与认证服务端直接通讯进行密码的比对。
[0013]本发明另一个方面涉及一种事件型动态口令实现方法,包括:
[0014]a)通过动态口令装置获取动态码;
[0015]b)将动态码录入客户端;
[0016]c)与服务端生成的动态码进行比对,
[0017]如果在事件型动态口令实现方法中出现失步,则进行同步操作,所述同步操作与认证操作通过不同的通讯通道与服务器进行连接,所述同步操作的通道封装在事件型动态口令装置内部。
[0018]优选的是,用户端通过按下同步按钮启动同步程序,之后通过同步模块与服务端进行通讯。
[0019]在上述任一方案中优选的是,与服务端进行通讯包括通过内置于动态口令令牌内部的sim卡或通过外置接口连接电脑客户端。
[0020]在上述任一方案中优选的是,所述同步操作通过外置接口与电脑连接,之后通过电脑与服务端进行同步操作。
[0021 ] 在上述任一方案中优选的是,所述外置接口为USB接口。
【专利附图】
【附图说明】
[0022]图1为认证和同步程序采用两个不同的通道
[0023]图2为按照本发明的事件型动态口令实现方法流程图。
【具体实施方式】
[0024]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0025]根据本发明的实施例,本发明提供了一种事件型动态口令装置,包括内置电源、密码生成芯片、显示屏、动态码生成按钮和同步按钮,还包括同步模块与认证模块,其配置成通过在所述事件型动态口令装置内设置无线通讯网络或外接电脑客户端的接口模块,用于将同步码发送到服务端进行同步操作,接口模块为USB接口,用来外接电脑,并通过电脑的通讯网络与服务端进行同步操作。
[0026]所述同步模块安装有sim卡,与服务端直接通讯。
[0027]本发明的另一个方面涉及了一种事件型动态口令的实现方法,首先在动态口令令牌上安装有同步按钮与事件按钮,且内置电源与密码生成芯片,包括如下认证步骤:
[0028]a)通过动态口令装置获取动态码;
[0029]b)将动态码录入客户端;
[0030]c)与服务端生成的动态码进行比对。
[0031]如果在事件型动态口令实现方法中出现失步,则进行同步操作,如图1所示所述同步操作与认证操作通过同步通道I和认证通道2与服务器进行连接,所述同步通道I封装在事件型动态口令装置内部。
[0032]在本实施例中,动态口令装置包括显示屏,用来显示动态口令,并具有同步按钮与事件按钮,当用户按下事件按钮时,通过密码生成芯片来生成新的密码并显示在显示屏上。基于事件同步原理的令牌是通过某一特定的事件次序及种子作为输入,然后根据算法运算出密码,同理在服务端也有相同的种子及一致的算法,这样双方得到的动态码就会相同。不同于时间同步技术,事件型动态口令技术是让用户的密码随着使用次数不断的动态变化,它在用户每按下一次按钮时产生一个新的密码,用户令牌用预设的密钥与用户按键次数通过密码算法生成动态口令,服务器同时根据相同的密钥和步长计算出相同密码,与传过来的口令进行比较,以确认用户身份。
[0033]基于事件型同步的动态口令令牌与时间型动态口令同样存在失去同步的风险,如用户无目的地频繁使用事件按钮等。对此令牌上设有同步按钮,可以通过服务端向后推算一定次数的密码增大偏移量的方式进行同步。比如当前令牌显示的动态码是第η步的步长计算出来的,而假设相应服务端的步长还停留在第η-100,那么令牌启动同步程序,产生第η步长与η+1步长的动态码并经由客户端发送给服务端,服务端在接收后,从第η-100开始计算动态码,每次计算得到的动态码都与传入动态码的相匹配,匹配不成功则步长自动加I并继续计算,若没有超过限定范围则直到产生相匹配的动态码,若超过限定范围则提示同步失败。
[0034]在本实施例中,同步按钮按下时,同步通讯首先启动,如图1所示同步通道I是封装在动态口令装置之内的,据此通道使服务器获得用户的同步请求,用户通过同步通道I将两个动态口令发送到服务端,服务端收到请求后,按照服务端存储的当前步长开始进行计算,直到计算出与传入动态码相匹配的结果。
[0035]通过一条独立的通讯通道来传递动态口令既可以认证用户的身份,也可以用来保护动态口令与同步请求不被非法者截获来冒充持有者身份。
[0036]在本实施例中,如图2所示,其独立的通讯通道通过sim卡或者USB接口来实现。
[0037]Sim卡是客户识别模块的缩写,广泛应用在手机上,用来确认用户身份,将sim卡作为外设装置嵌入到动态令牌中,用来发送信息,其安全性远远高于传统的通讯通道,与之等价替换的还有wifi通讯。
[0038]通过USB接口,可以直接插入计算机中,且同步程序与之前的通过sim卡通讯道路一样是封装在令牌中的,计算机读取该同步程序后,向服务器进行认证请求来获得认证并进行同步操作。
[0039]当服务端与客户端同步以后,则可以使用该装置进行认证操作,包括以下步骤:
[0040]I)用户登录应用系统,申请绑定动态口令应用服务。应用系统将申请绑定的用户账号信息同步给动态口令服务器。
[0041]2)动态口令服务器验证用户绑定信息,建立用户。
[0042]3)用户根据应用系统提示输入动态口令,并提交。应用系统将动态口令提交给服务端。
[0043]经比较,双方动态口令一致,动态口令服务器向应用系统返回验证通过信息,完成验证后,进行后续应用。
[0044]需要说明的是,按照本发明的事件型动态口令装置及实现方法包括上述实施例中的任何一项及其任意组合,但上面所述的实施例仅仅是对本发明的优选实施方式进行描述,并非对本发明范围进行限定,在不脱离本发明设计精神前提下,本领域普通工程技术人员对本发明的技术方案作出的各种变形和改进,均应落入本发明的权利要求书确定的保护范围内。
【权利要求】
1.一种事件型动态口令装置,包括内置电源、密码生成芯片、显示屏、动态码生成按钮和同步按钮,其特征在于:还包括同步模块与认证模块,其配置成通过在所述事件型动态口令装置内设置无线通讯网络或外接电脑客户端的接口模块,用于将同步码发送到服务端。
2.如权利要求1所述的事件型动态口令装置,其特征在于:所述接口模块为USB接口。
3.如权利要求2所述的事件型动态口令装置,其特征在于:所述USB接口用来外接电脑,通过电脑客户端的通讯网络与所述服务端进行同步。
4.如权利要求1所述的事件型动态口令装置,其特征在于:所述同步模块安装有sim卡。
5.如权利要求1所述的事件型动态口令装置,其特征在于:所述认证模块用来确认客户端身份,与认证服务端直接通讯进行密码的比对。
6.一种事件型动态口令实现方法,包括: a)通过动态口令装置获取动态码; b)将动态码录入客户端; c)与服务端生成的动态码进行比对, 其特征在于,如果在事件型动态口令实现方法中出现失步,则进行同步操作,所述同步操作与认证操作通过不同的通讯通道与服务器进行连接,所述同步操作的通道封装在事件型动态口令装置内部。
7.如权利要求6所述的事件型动态口令实现方法,其特征在于:用户端通过按下同步按钮启动同步程序,之后通过同步模块与服务端进行通讯。
8.如权利要求6所述的事件型动态口令实现方法,其特征在于:与服务端进行通讯包括通过内置于动态口令令牌内部的sim卡或通过外置接口连接电脑客户端。
9.如权利要求8所述的事件型动态口令实现方法,其特征在于:所述同步操作通过外置接口与电脑连接,之后通过电脑与服务端进行同步操作。
10.如权利要求9所述的事件型动态口令实现方法,其特征在于:所述外置接口为USB接口。
【文档编号】H04L29/06GK104184593SQ201410468568
【公开日】2014年12月3日 申请日期:2014年9月16日 优先权日:2014年9月16日
【发明者】曹岩, 周睿 申请人:北京唐密科技发展有限公司