专利名称:动态口令生成方法、认证方法和装置及网络系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种动态口令生成方法、动态口令认证方法、 动态口令生成装置和服务器及网络系统。
背景技术:
随着通信技术的飞速发展,基于因特网和移动网络的电子交易已成为重要的银行 交易业务模式。例如,用户可以通过支持无线应用协议(WirelessApplication Protocol, 简称WAP)技术的移动终端登录WAP网站,进行网上银行交易。为了保证电子银行交易的 可靠性和安全性,基于对用户身份信息的认证成为网上银行交易业务中的核心问题。目前, 各大商业银行主要采用动态口令卡和U盾作为对用户身份信息认证的电子银行安全介质。动态口令卡是一张大小、形状与银行卡相似的卡片,俗称刮刮卡,每张卡片上覆盖 有多个不同的密码。用户在使用电子银行时,先向服务器提交客户端证书,服务器对客户端 证书验证通过后提示用户输入交易密码,此时用户按顺序输入刮刮卡上的一个密码即可, 每个密码只能使用一次。动态口令采用一次一密的方式,不需客户设置、记忆,每次都使用 新的密码,克服了静态密码的缺点,有效解决了一些不法分子利用“木马”病毒窃取网上银 行密码的问题。U盾是一种基于“USB Key”身份认证方式的通用串行总线(UniversalSerial Bus ; 以下简称USB)设备,内置单片机或智能芯片,形状类似于U盘。单片机或智能芯片具有存 储空间,用于存储用户的密钥或个人数字证书。用户在网上交易时,先向服务器提交客户端 证书,服务器对客户端证书验证通过后提示用户接入U盾,用户将U盾插入个人计算机的 USB接口,U盾内置的1024位非对称密钥算法便对数据进行加密、解密和数字签名,从而保 证了用户认证的安全性。但是动态口令卡和U盾存在如下缺陷对于使用动态口令卡或U盾的用户来说,在 进行电子交易时,必须随身携带动态口令卡或U盾;并且动态口令卡或U盾还需要与客户端 证书同时使用,否则无法进行电子交易。因而,对于用户而言,不能随时随地的进行电子交 易,限制了用户进行电子交易的应用环境。
发明内容
本发明的目的是提供一种动态口令生成方法、认证方法和装置及网络系统,以促 使用户能随时随地获取进行身份认证的动态口令以进行安全的电子交易、以及安全登录或 访问服务器。为实现上述目的,本发明提供了一种动态口令生成方法,包括接收移动终端发送的、请求获取用于对用户进行身份认证的动态口令的请求信 息;根据存储的第一加密次数,应用预置的加密算法,对存储的所述用户的个人认证 信息进行加密运算后,生成对应的第一动态口令;
4
向所述移动终端返回所述第一动态口令,供所述用户应用所述第一动态口令向所 述服务器请求进行身份认证;更新所述第一加密次数。本发明还提供了一种动态口令生成装置,包括接收模块,用于接收移动终端发送的、请求获取用于对用户进行身份认证的动态 口令的请求信息;第一动态口令生成模块,用于根据存储的第一加密次数,应用预置的加密算法,对 存储的所述用户的个人认证信息进行加密运算后,生成对应的第一动态口令;发送模块,用于向所述移动终端返回所述第一动态口令,供所述用户应用所述第 一动态口令向所述服务器请求进行身份认证;第一加密次数更新模块,用于更新所述第一加密次数。本发明实施例动态口令生成方法和动态口令生成装置,在服务器提示用户获取进 行身份认证的动态口令时,移动终端向动态口令生成装置发送生成动态口令的请求信息。 动态口令生成装置根据内置的加密算法和用户的个人认证信息以及不断更新的加密次数, 为用户及时生成动态口令,并通过移动终端提供给用户。因此,随身携带移动终端的用户能 随时随地获取进行身份认证的动态口令,并应用该动态口令向请求服务器身份认证以进行 安全的电子交易、以及安全登录、访问服务器。从而,满足了用户随时随地进行安全电子交 易、以及安全登录或访问服务器的需求。本发明提供了一种动态口令认证方法,包括接收到用户通过动态口令生成装置生成的、请求进行身份认证的第一动态口令 后,应用预置的加密算法,根据存储的第二加密次数对所述第一动态口令进行加密运算生 成第二动态口令;根据存储的第三动态口令,对所述第二动态口令进行身份认证;在所述身份认证通过的情况下,将所述第三动态口令更新为所述第一动态口令;确定并更新下次对所述用户进行身份认证时、对所述动态口令生成装置生成的第 一动态口令进行加密运算的第二加密次数。本发明还提供了一种服务器,包括第二动态口令生成模块,用于接收到用户请求进行身份认证的第一动态口令后, 应用预置的加密算法,根据存储的第二加密次数对所述第一动态口令进行加密运算,生成 第二动态口令;认证模块,用于根据存储的第三动态口令,对所述第二动态口令进行认证;第二更新模块,用于在所述身份认证通过的情况下,将所述第三动态口令更新为 所述第一动态口令,确定并更新下次对所述用户进行身份认证时、对所述动态口令生成装 置生成的第一动态口令进行加密运算的第二加密次数。本发明还提供了一种网络系统,包括设置有所述动态口令生成装置的移动终端和所述服务器。本发明实施例动态口令认证方法和服务器及系统,服务器提示用户获取进行身份 认证的动态口令后,接收到用户提交的动态口令。先根据预置的加密算法和加密次数,对用 户提交的动态口令进行加密运算,生成第三动态口令。然后根据存储的、上次认证通过的第二动态口令,对第三动态口令进行认证。每次认证通过后,保存认证通过的第一动态口令, 同时重新确定下次认证时的加密次数并通知动态口令生成装置,以便对动态口令生成装置 下次生成的第一动态口令进行认证。从而,使动态口令生成装置能每次生成不同的第一动 态口令,并能保证服务器端每次能通过不同的第二动态口令对不同的第一动态口令进行认 证。从而能确保用户进行安全的电子交易,以及安全的登录或访问服务器。
图1为本发明动态口令生成方法实施例一的流程图;图2为本发明动态口令生成方法实施例二中动态口令短信息提交方式的示意图;图3为本发明动态口令生成方法实施例三中动态口令客户端提交方式的示意图;图4为本发明动态口令认证方法实施例的流程图;图5为本发明动态口令生成装置实施例一的结构示意图;图6为本发明动态口令生成装置实施例二的结构示意图;图7为本发明服务器实施例一的结构示意图;图8为本发明服务器实施例二的结构示意图;图9为本发明网络系统实施例的结构示意图。
具体实施例方式下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。目前,移动终端(例如手机)已成为各类人群普遍使用的一种随身携带的通信工 具。移动终端中设置的数据卡,例如用户识别模块(Subscriberldentity Module;以下简 称SIM卡)或SIM扩展卡,是一种具有存储、可编程、处理等功能的智能芯片。SIM扩展卡 又称卡贴,外型上是为适应不同移动终端对应的SIM卡插槽而设计的触点转换薄片。使用 时把SIM卡芯片触点对准卡贴上的触点,将两者粘合,再将这种“粘合”卡直接插入移动终 端的SIM卡插槽。由此,本发明利用移动终端和数据卡的优势,提供一种解决上述现有技术 缺陷的方案,即在不影响移动终端正常通信的基础上,在数据卡中内置有能为用户及时生 成动态口令的动态口令生成模块。图1为本发明动态口令生成方法实施例一的流程图。本实施例中的执行主体为设 置在移动终端中的数据卡,具体可为SIM卡,也可为SIM扩展卡。本实施例以设置在移动终 端中的数据卡为例对本发明动态口令生成方法的技术方案进行说明。如图1所示,本实施 例包括步骤11 接收移动终端发送的、请求获取用于对用户进行身份认证的动态口令的 请求信息。用户通过客户端浏览器(例如,Internet Explorer,或移动终端浏览器MP、 Gorilla、UCWEB等)或客户端软件(例如,股票交易软件)进行网上支付、网上登录等操作 时,或通过客户端浏览器/客户端软件登录、访问服务器时,服务器会提示用户提供动态口 令,以通过该动态口令对用户身份进行认证。此时,用户打开随身携带的移动终端(例如, 手机),通过操作移动终端中用户识别应用开发工具(SIM TOOL Kit,简称STK)的口令菜单 项,向数据卡发送请求信息以获取动态口令。
为确保动态口令的安全性,在用户启动STK的口令菜单项时,需输入数据卡的个 人识别码(Personal Identify Number,简称PIN码),PIN码验证通过后,移动终端再通过 应用协议数据单元(Application Protocol Data Unit,简称APDU)指令向数据卡发送请 求生成动态口令的信息。STK中包含一组用于移动终端与数据卡进行交互的指令,通过STK可以运行数据 卡的内置程序。移动终端与数据卡之间的通信,具体通过GSM11. 11和GSM11. 14协议规定的 APDU指令来实现。STK程序可以放置于数据卡中,它在移动终端上为用户提供了一个文字 菜单操作界面STK菜单,用户可以点击其中的菜单,实现特制的应用。另外,如果服务提供 商的业务进行了扩展或者改动,可以向用户移动终端发送消息,该消息会被传送到数据卡, 数据卡中的应用程序会根据该消息对现有的STK菜单进行修改,从而达到向用户提供新服 务的目的。步骤12 根据存储的第一加密次数,应用预置的加密算法,对存储的用户的个人 认证信息进行加密运算后,生成对应的第一动态口令;数据卡接收到移动终端发送的请求信息后,应用预置的加密算法,根据存储的第 一加密次数,对用户的个人认证信息进行加密运算,为用户生成对应的动态口令。其中,个人认证信息,是用户在服务器上注册个人信息后,由服务器为用户生成 的、唯一标识用户身份的信息。用户的个人认证信息、加密算法和第一加密次数,可在用户 在服务器上注册成功后,直接内置在用户使用的数据卡中。在个人认证信息和加密算法更 新后,可由服务器通过空中下载(Over the Air,简称0ΤΑ)通道即向用户所使用的移动终 端发送OTA短信息,下发给用户所使用的移动终端,再由移动终端传送给数据卡。其中,加密算法可为单向散列算法,相应地第一加密次数可为第一散列次数。本实 施例中以单向散列算法和第一散列次数为例,对本发明动态口令生成方法中加密算法和第 一加密次数进行说明。例如,数据卡中存储有单向散列算法H,第一散列次数A,和用户的个人认证信息 PW ;其中A初始化时为预设值。相应地,服务器端也存储有单向散列算法H、第二散列次数 X、和用户的个人认证信息PW以及第三动态口令Y;其中,H和PW,与数据卡中存储的单向散 列算法和用户的个人认证信息始终保持一致;X和Y初始化时为预设值,每次认证通过后需 重新确定;Y的初始值为Hw (PW),N为总散列次数,N = X+A (数据卡初始化时预设第一散列 次数为A)。其中,A的预设值可设为N-l,X的预设值可设为1。数据卡接收到请求信息后,计算出H00 (Pff)的值Y’,其中H00表示对PW进行A次 散列运算。服务器接收到来自数据卡的第一动态口令Y’后,计算出第二动态口令H00 (Y’) 的值Z。若H00 (Y’)与服务器端预设的第三动态口令Hw (PW)值相同,则说明身份认证通 过。当A的初始值为N-I时,数据卡计算出HfrD(PW)的值Y’,作为第一动态口令发送 给服务器。服务器计算出第二动态口令Ηω (Y’)的值Ζ,即只对Y’进行一次散列运算。若 Z与服务器端保存的Hw (Pff)值相同,则身份认证通过。步骤13 向移动终端返回第一动态口令,供用户应用第一动态口令向服务器请求 进行身份认证;生成动态口令后,数据卡向移动终端返回第一动态口令,供用户向服务器提交该第一动态口令,以使服务器对用户进行身份认证。步骤14 更新第一加密次数。数据卡生成第一动态口令后,需对第一加密次数进行更新,一种更新方式可为生 成第一动态口令后,数据卡按照与服务器事先约定的方式,即在注册时与服务器商定的方 式,自动对第一加密次数进行更新。承上所述,例如,每次生成动态口令后,数据卡可自动将 第一散列次数A减1 ;同时,服务器在每次验证完第一动态口令后,用原有的认证数据替换 为第一动态口令第以作为下一次认证依据,而不改变第二散列次数X。如此,服务器后续每 次对数据卡发送的第一动态口令进行认证时,只对该第一动态口令进行一次散列运算。另外,对第一加密次数进行更新的一种优选方式可为在身份认证通过后,服务器 端动态确定下一次认证时的第二加密次数,根据该第二加密次数向数据卡发送更新加密次 数指示,使数据卡根据该更新加密次数指示,对第一加密次数进行更新。上述更新方式具体 为在身份认证通过的情况下,接收到移动终端发送的、来自服务器的更新散列次数指示, 根据更新散列次数指示对第一散列次数进行更新。例如,服务器确定下次身份认证时的第二散列次数X为X’,则相应地指示数据卡 存储的第一散列次数更新为A’,其中X’、A’满足公式X’+A’ = A。也就是说,当非首次接收 到来自数据卡的第一动态口令时,先对第二动态口令Hon(PW)进行X’次散列,得到H (A,+x,) (PW),然后将H(A,+r) (PW)与H00 (PW)进行对比,以对H(a,+x,)(PW)进行认证。若相同,则认证 通过,并将第三动态口令Y更新为H(a,) (Pff)。然后,再确定下次认证时第二散列次数X”,并 通过X”确定数据卡中下次生成第一动态口令时的第一散列次数A”的更新。同样,X”和A” 满足公式X”+A” = A’。本发明实施例动态口令生成方法,在服务器提示用户获取进行身份认证的动态口 令时,移动终端向动态口令生成装置发送生成动态口令的请求信息。动态口令生成装置根 据内置的加密算法和用户的个人认证信息以及不断更新的加密次数,为用户及时生成动态 口令,并通过移动终端提供给用户。因此,随身携带移动终端的用户能随时随地获取进行身 份认证的动态口令,并应用该动态口令向请求服务器身份认证以进行安全的电子交易、以 及安全登录、访问服务器。从而,满足了用户随时随地进行安全电子交易、以及安全登录或 访问服务器的需求。在图1所示的方案中,用户向服务器提交第一动态口令的方式可以为用户直接 在客户端浏览器或客户端交易软件上输入第一动态口令,由客户端浏览器或客户端交易软 件向服务器发送。图2为本发明动态口令生成方法实施例二中动态口令短信息提交方式的 示意图。如图2所示,服务器在通过客户端浏览器或客户端交易软件界面,提示用户提交第 一动态口令时,会同时提示用户“请输入动态口令”,并给出了动态口令输入框。移动终端向 用户提供第一动态口令后,用户在该输入框中输入第一动态口令,第一动态口令经客户端 浏览器或客户端交易软件发送给服务器。服务器接收到该动态口令后,根据该第一动态口 令对用户进行身份验证,若验证通过则允许用户进入具体业务。此外,用户向服务器提交第一动态口令的方式也可以为用户应用移动终端以短 信息方式向服务器提交。图3为本发明动态口令生成方法实施例三中动态口令客户端提交 方式的示意图,如图3所示,服务器在通过客户端浏览器或客户端交易软件界面,提示用户 提交第一动态口令时,会同时提示用户“请通过短信息提交动态口令”。用户操作移动终端
8以短信息方式向服务器发送第一动态口令后,服务器根据该第一动态口令对用户进行身份 验证,若验证通过则允许用户进入具体业务。在上述方案中,若服务器更新了动态口令生成算法和动态口令生成参数以及用户 的个人认证信息,通过OTA短信息将更新后的动态口令生成算法以及用户的个人认证信息 下发给用户使用的移动终端,由移动终端传送给设置在移动终端中的SIM卡或SIM扩展卡。图4为本发明动态口令认证方法实施例的流程图,本实施例中的执行主体为对上 述动态口令进行身份认证的服务器。如图4所示,本实施例包括步骤41 接收到用户通过动态口令生成装置生成的、请求进行身份认证的第一动 态口令;本实施例中的动态口令生成装置可为上述数据卡。步骤42 应用预置的加密算法,根据存储的第二加密次数对第一动态口令进行加 密运算生成第二动态口令;其中,加密算法可为单向散列算法,相应地第二加密次数可为第二散列次数。本实 施例中以单向散列算法和散列次数为例,对本发明动态口令生成方法中加密算法和第二加 密次数进行说明。例如,服务器存储有单向散列算法H、第二散列次数X、和用户的个人认证信息PW 以及第三动态口令Y;其中,H和PW,与数据卡中存储的单向散列算法和用户的个人认证信 息始终保持一致;X和Y初始化时为预设值,每次认证通过后需重新确定;Y的初始值为Hw (PW),N为总散列次数,N = X+A (数据卡初始化时预设第一散列次数为A)。用户在服务器上注册后,预设数据卡中的第一散列次数初始值为A,数据卡首次接 收到请求信息后,计算出第一动态口令H00 (PW)的值Y’发送给服务器。服务器接收到首次 来自数据卡的第一动态口令Y’后,计算出第二动态口令H00 (Y’ )的值。步骤43 根据存储的第三动态口令,对第二动态口令进行身份认证;服务器接收到首次来自数据卡的第一动态口令Y’后,若H00 (Y’)与服务器端预设 的第三动态口令!^) (Pff)值相同,则说明身份认证通过。步骤44 在身份认证通过的情况下,将第三动态口令更新为第一动态口令;如果是首次认证通过,则将初始化时预设的第三动态口令Y更新为此时第一动态 口令H00 (PW)的值Y’。如果不是首次认证通过,则将上一次存储的第三动态口令Y更新为 此时第一动态口令H00 (Pff)的值Y’,即Y = Y’ = H00 (Pff)。步骤45 确定并更新下次进行身份认证时,对动态口令生成装置生成的第一动态 口令进行加密运算的第二加密次数。可根据具体情况,确定下次身份认证时的第二加密次数。其中,一种更新方式可 为,根据与数据卡事先约定的方式对第二加密次数进行更新。承上所述,第二散列次数的预 设值X为1,若服务器不对第二散列次数X的预设值1进行修改,则约定数据卡自动将第一 散列次数A减1,即A更新为A-I ;若服务器将第二散列次数X更新为2,即X = 2,则约定数 据卡自动将第一散列次数A更新为A-2。上述更新方式有可能存在以下情况用户使用移动终端触发数据卡生成了第一动 态口令,没有将第一动态口令提交给服务器。而按照事先与服务器约定每次生成第一动 态口令后,数据卡自动更新第一加密次数。因此会导致数据卡中使用的第一加密次数,与服务器存储的第二加密次数出现不同步的情况。例如,数据卡生成了第一动态口令H0^(PW) 的值Y’,但没有将Y’提交给服务器进行认证,此时数据卡中存储的第一散列次数A-I已更 新为A-2,服务器中存储的第二散列次数X始终为1。当将数据卡下次生成的第一动态口令 H(a_2) (Pff)值Y1',发送给服务器进行认证时,服务器只对Y1'进行一次散列,即Ηω (Y/ )= H0w) (Pff)。很明显H0h) (Pff),与服务器保存的第三动态口令H00 (Pff),不一致。在上述更新方式下,为避免因误操作等原因没有将数据卡生成的第一动态口令发 送给服务器,导致服务器对下次数据卡生成的第一动态口令认证不能通过的情况,服务器 对第一动态口令的认证方式会有所改变。例如,当服务器对第一动态口令H(A_2) (PW)进行一 次散列后,与自身存储的H00 (PW)不一致时,可再对H(a_2)(PW)进行B次(B为预设值,例如 五次)散列运算。在B次散列运算的得到B个结果中,如果有一个与H00 (PW) —致,则认为 服务器端通过对第一动态口令H00 (PW)的认证。因而,当用户误操作引起数据卡和服务器 的加密次数不同步时,本实施例能避免其导致的后续生成的第一动态口令不能通过服务器 认证的现象。另一种优选的更新方式可为服务器动态确定第二加密次数,即服务器与数据卡 事先不约定第二加密次数和第一加密次数的具体更新值,而是由服务器根据在每次认证通 过后,确定第二加密次数,然后根据该第二加密次数为数据卡生成更新加密次数指示。服务 器向数据卡返回更新加密次数指示时,可以短消息方式向设置有数据卡的移动终端发送更 新加密次数指示,使移动终端向数据卡转送该更新加密次数指示。例如,服务器将第二散列次数X更新为X’,则相应数据卡存储的第一散列次数更 新为A’,其中X’、A’满足公式Χ’ +Α’ = Α。因为,第三动态口令已更新为第一动态口令,即 利用H00(PW)对数据卡下次生成的第一动态口令H(A,)(PW)进行认证,并且在认证前还需对 第一动态口令H(A,)(PW)进行X’次散列。也就是说,当非首次接收到来自数据卡的第一动态口令时,先对第二动态口令 H(a,) (Pff)进行 V 次散列,得到 H(a,+x,) (PW),将 H(a,+x,) (Pff)与 H00 (Pff)进行对比,以对 H(a,+x,) (Pff)进行认证。若相同,则认证通过。并将第三动态口令Y更新为H(a,)(PW)。然后,再确 定下次认证时第二散列次数X”,通过X”确定数据卡中第一散列次数A”的更新,同样,X”和 A”满足公式X”+A” = A’。每次身份认证通过后,通过步骤44和步骤45,不断更新服务器的第三动态口令和 第二散列次数,提高了服务器存储的认证依据的安全性和可靠性。本发明实施例动态口令认证方法,服务器提示用户获取进行身份认证的动态口令 后,接收到用户提交的动态口令。先根据预置的加密算法和加密次数,对用户提交的动态口 令进行加密运算,生成第三动态口令。然后根据存储的、上次认证通过的第二动态口令,对 第三动态口令进行认证。每次认证通过后,保存认证通过的第一动态口令。同时还可重新 确定下次认证时的加密次数并通知动态口令生成装置,以便对动态口令生成装置下次生成 的第一动态口令进行认证。从而,使动态口令生成装置能每次生成不同的第一动态口令,并 能保证服务器端每次能通过相应的第二动态口令对不同的第一动态口令进行认证。因此, 保证了用户能通过服务器进行安全的电子交易,以及安全的登录或访问服务器。图5为本发明动态口令生成装置实施例一的结构示意图。本实施例中动态口令生 成装置具体可以为设置在移动终端中的数据卡,具体可为SIM卡或SIM扩展卡。本实施例以数据卡为例,对本发明动态口令生成装置的技术方案进行说明。如图5所示,本实施例包 括接收模块51、第一动态口令生成模块52、发送模块53和第一加密次数更新模块54。接收模块51,用于接收移动终端发送的、请求获取用于对用户进行身份认证的动 态口令的请求信息;第一动态口令生成模块52,用于根据存储的第一加密次数,应用预置 的加密算法,对存储的用户的个人认证信息进行加密运算后,生成对应的第一动态口令;发 送模块53,用于向移动终端返回第一动态口令,供用户应用第一动态口令向服务器请求进 行身份认证;第一加密次数更新模块54,用于更新第一加密次数。其中,第一加密次数更新模块54更新第一加密次数的方式有两种。一种更新方式 可为生成第一动态口令后,按照与服务器事先约定的方式,即在注册时与服务器商定的方 式,第一加密次数更新模块54自动对第一加密次数进行更新;另一种优选方式可为在身 份认证通过后,服务器端动态确定下一次认证时的第二加密次数,根据该第二加密次数向 数据卡发送更新加密次数指示,使第一加密次数更新模块54根据该更新加密次数指示,对 第一加密次数进行更新。其中,用户向服务器提交动态口令的方式有两种一是用户直接在客户端浏览器 或客户端交易软件上输入动态口令,由客户端浏览器或客户端交易软件向服务器发送;二 是用户应用移动终端以短信息方式向服务器提交。本实施例中动态口令装置的工作机理可参见图1至图3对应实施例的记载,在此 不再赘述。本发明实施例动态口令生成装置,在服务器提示用户获取进行身份认证的动态口 令时,移动终端向接收模块51发送生成动态口令的请求信息。第一动态口令生成模块52 根据内置的加密算法和用户的个人认证信息以及被第一加密次数更新模块54不断更新的 加密次数,为用户及时生成动态口令,通过发送模块53向移动终端提供。因此,随身携带移 动终端的用户能随时随地获取进行身份认证的动态口令,并应用该动态口令向请求服务器 身份认证以进行安全的电子交易、以及安全登录、访问服务器。从而,满足了用户随时随地 进行安全电子交易、以及安全登录或访问服务器的需求。图6为本发明动态口令生成装置实施例二的结构示意图。为使动态口令生成装 置中存储的第一加密次数与服务器端使用的第二加密次数保持同步,在通过服务器端认证 后,会接收服务器发送的更新加密次数的指示。如图6所示,在图5的基础上,上述方案还 包括更新指示接收模块55。更新指示接收模块55,用于在身份认证通过的情况下,接收到 移动终端发送的、来自服务器的更新加密次数指示。该更新加密次数指示,用于指示数据卡 根据更新加密次数指示对第一加密次数进行更新。如图6所示,在图5的基础上,上述方案还包括第一存储模块56。第一存储模块 56,用于存储加密算法、用户的个人认证信息和第一加密次数。上述第一加密次数更新模块 54根据该更新加密次数指示,对第一存储模块存储的第一加密次数进行更新。图7为本发明服务器实施例一的结构示意图,如图7所示,本实施例包括第二动 态口令生成模块71、认证模块72和第二更新模块73。第二动态口令生成模块71,用于接收到用户通过动态口令生成装置生成的、请求 进行身份认证的第一动态口令后,应用预置的加密算法,根据存储的第二加密次数对第一 动态口令进行加密运算生成第二动态口令;认证模块72,用于根据存储的第三动态口令,
11对第二动态口令进行认证;第二更新模块73,用于在身份认证通过的情况下,将第三动态 口令更新为第一动态口令,确定并更新下次对用户进行身份认证时、对动态口令生成装置 生成的第一动态口令进行加密运算的第二加密次数;本发明实施例服务器提示用户获取进行身份认证的动态口令后,接收到用户提交 的动态口令。第二动态口令生成模块71根据预置的加密算法和加密次数,对用户提交的动 态口令进行加密运算,生成第三动态口令。然后认证模块72根据存储的、上次认证通过的 第二动态口令,对第三动态口令进行认证。每次认证通过后,第二更新模块73保存认证通 过的第一动态口令,同时重新确定下次认证时的加密次数并通知动态口令生成装置,以便 对动态口令生成装置下次生成的第一动态口令进行认证。从而,使动态口令生成装置能每 次生成不同的第一动态口令,并能保证服务器端每次能通过相应的第二动态口令对不同的 第一动态口令进行认证。因此,保证了用户能通过服务器进行安全的电子交易,以及安全的 登录或访问服务器。图8为本发明服务器实施例二的结构示意图,为使动态口令生成装置中存储的第 一加密次数与服务器端使用的第二加密次数保持同步,服务器对动态口令装置提交的第一 动态口令认证通过后,指示动态口令生成装置对自身存储的第一加密次数进行更新。如图 8所示,在图7所示实施例的基础上,本实施例还包括更新指示模块74。更新指示模块74用于根据第二加密次数,生成更新加密次数指示,向设置有动态 口令生成装置的移动终端,发送更新加密次数指示,以使动态口令生成装置通过移动终端 接收更新加密次数指示。如图8所示,在图7所示实施例的基础上,本实施例还包括第二存储模块75。第 二存储模块75用于存储加密算法、第三动态口令和第二加密次数。上述第二更新模块73 确定下次对用户进行身份认证时、对动态口令生成装置生成的第一动态口令进行加密运算 的第二加密次数后,更新第二存储模块75中存储的第二加密次数。图9为本发明网络系统实施例的结构示意图,如图9所示,本实施例包括;设置有 动态口令生成装置90的移动终端91,以及服务器92。其中,动态口令生成装置90的工作 机理参见图5和图6对应实施例的描述,服务器92参见图7和图8对应实施例的描述,在 此不再赘述。本发明实施例网络系统中,服务器提示用户获取进行身份认证的动态口令后,接 收到用户提交的动态口令。先根据预置的加密算法和加密次数,对用户提交的动态口令进 行加密运算,生成第三动态口令。然后根据存储的、上次认证通过的第二动态口令,对第三 动态口令进行认证。每次认证通过后,保存认证通过的第一动态口令,同时重新确定下次认 证时的加密次数并通知动态口令生成装置,以便对动态口令生成装置下次生成的第一动态 口令进行认证。从而,使动态口令生成装置能每次生成不同的第一动态口令,并能保证服务 器端每次能通过不同的第二动态口令对不同的第一动态口令进行认证。从而能确保用户进 行安全的电子交易,以及安全的登录或访问服务器。最后应说明的是以上实施例仅用以说明本发明的技术方案而非对其进行限制, 尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依 然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修 改后的技术方案脱离本发明技术方案的精神和范围。
权利要求
一种动态口令生成方法,其特征在于,包括接收移动终端发送的、请求获取用于对用户进行身份认证的动态口令的请求信息;根据存储的第一加密次数,应用预置的加密算法,对存储的所述用户的个人认证信息进行加密运算后,生成对应的第一动态口令;向所述移动终端返回所述第一动态口令,供所述用户应用所述第一动态口令向所述服务器请求进行身份认证;更新所述第一加密次数。
2.根据权利要求1所述的动态口令生成方法,其特征在于,更新所述第一加密次数包括在所述身份认证通过的情况下,接收到所述移动终端发送的、来自所述服务器的更新 加密次数指示;根据所述更新加密次数指示对所述第一加密次数进行更新。
3.根据权利要求1所述的动态口令生成方法,其特征在于,所述用户应用所述第一动 态口令向所述服务器请求进行身份认证包括所述用户应用所述移动终端以短信息方式向所述服务器发送所述第一动态口令;或, 所述用户通过客户端浏览器或客户端交易软件向所述服务器提交所述第一动态口令。
4.一种动态口令认证方法,其特征在于,包括接收到用户通过动态口令生成装置生成的、请求进行身份认证的第一动态口令后,应 用预置的加密算法,根据存储的第二加密次数对所述第一动态口令进行加密运算生成第二 动态口令;根据存储的第三动态口令,对所述第二动态口令进行身份认证; 在所述身份认证通过的情况下,将所述第三动态口令更新为所述第一动态口令; 确定并更新下次对所述用户进行身份认证时、对所述动态口令生成装置生成的第一动 态口令进行加密运算的第二加密次数。
5.根据权利要求4所述的动态口令认证方法,其特征在于,在所述确定并更新下次对 所述用户进行身份认证时、对所述动态口令生成装置生成的第一动态口令进行加密运算的 第二加密次数之后,还包括根据所述第二加密次数,生成更新加密次数指示;向设置有所述动态口令生成装置的移动终端,发送所述更新加密次数指示,使所述动 态口令生成装置通过所述移动终端接收所述更新加密次数指示。
6.一种动态口令生成装置,其特征在于,包括接收模块,用于接收移动终端发送的、请求获取用于对用户进行身份认证的动态口令 的请求信息;第一动态口令生成模块,用于根据存储的第一加密次数,应用预置的加密算法,对存储 的所述用户的个人认证信息进行加密运算后,生成对应的第一动态口令;发送模块,用于向所述移动终端返回所述第一动态口令,供所述用户应用所述第一动 态口令向所述服务器请求进行身份认证;第一加密次数更新模块,用于更新所述第一加密次数。
7.根据权利要求6所述的动态口令生成装置,其特征在于,还包括更新指示接收模块,用于在所述身份认证通过的情况下,接收到所述移动终端发送的、 来自所述服务器的更新加密次数指示,以使所述第一加密次数更新模块,根据所述更新加 密次数指示,更新所述第一加密次数。所述更新加密次数指示,用于指示根据所述更新加密次数指示对所述第一加密次数进 行更新。
8.一种服务器,其特征在于,包括第二动态口令生成模块,用于接收到用户通过动态口令生成装置生成的、请求进行身 份认证的第一动态口令后,应用预置的加密算法,根据存储的第二加密次数对所述第一动 态口令进行加密运算生成第二动态口令;认证模块,用于根据存储的第三动态口令,对所述第二动态口令进行认证;第二更新模块,用于在所述身份认证通过的情况下,将所述第三动态口令更新为所述 第一动态口令,确定并更新下次对所述用户进行身份认证时、对所述动态口令生成装置生 成的第一动态口令进行加密运算的第二加密次数;
9.根据权利要求8所述的服务器,其特征在于,还包括更新指示模块,用于根据所述第二加密次数,生成更新加密次数指示,向设置有所述动 态口令生成装置的移动终端,发送所述更新加密次数指示,使所述动态口令生成装置通过 所述移动终端接收所述更新加密次数指示。
10.一种网络系统,其特征在于,包括设置有如权利要求6至7任一项所述的动态口 令生成装置的移动终端,以及如权利要求8至9任一项所述的服务器。
全文摘要
本发明公开了一种动态口令生成方法、认证方法和装置及网络系统。该动态口令生成方法包括根据存储的第一加密次数,应用预置的加密算法,对存储的用户的个人认证信息进行加密运算后,生成对应的第一动态口令;向移动终端返回第一动态口令,供用户应用第一动态口令向服务器请求进行身份认证;更新第一加密次数。本发明适用于通过客户端浏览器或客户端软件登录、访问服务器时,或进行电子交易时,向服务器提交进行身份认证的动态口令。
文档编号H04L9/30GK101931530SQ20091024247
公开日2010年12月29日 申请日期2009年12月14日 优先权日2009年12月14日
发明者孙江涛, 魏中华 申请人:北京神州付电子支付科技有限公司