专利名称:一种图形图像与动态密码相结合的身份认证方法
技术领域:
本发明属于身认证领域,尤其涉及一种图形图像与动态密码相结合的身份认证方法。
背景技术:
在互联网时代,身份认证的安全性被越来越多的得到重视,相应的强身份认证的动态密码技术已经越来越多的应用于各个不同的领域。动态密码的特点在于密码仅一次可用且具有时效性,即使攻击者通过各种手段得到了用户的若干密码也无法登陆。目前主流的动态密码生成机制为事件同步型动态密码、时间同步型动态密码、挑战应答型动态密
码。 目前各类型动态密码设备产品中,凡是涉及到外部输入因子参与生成密码的,其外部输入因子的输入方式多为键盘输入方式,且均为数字。例如,对于挑战应答型动态密码设备,在认证服务端的交互界面上显示出一段数字挑战码,用户将所述挑战码通过键盘输入到动态密码设备上,动态密码设备根据加密算法加密生成认证密码,用户再将所述认证密码输入到认证服务端的交互界面上,认证服务端完成用户身份认证。由于在生成认证密码前需要用户手动输入挑战码,比较费时费力,而且由于动态密码设备的按键输入限制,挑战码只能是数字形式,生成的认证密码安全性不高。
发明内容
鉴于上述问题,本发明目的在于提供一种图形图像与动态密码相结合的身份认证方法,旨在解决现有技术中,由于挑战码以数字形式表征且信息量有限,不能包含文字或其他形式的挑战信息,致使生成的认证密码安全性不高的技术问题,而且需要用户手动输入挑战码,比较费时费力。本发明是这样实现的,从动态密码设备侧,所述图形图像与动态密码相结合的身份认证方法,包括获取认证服务端提供的、包含有挑战信息的图形图像;解析处理所述图形图像,获取其中包含的挑战信息;将获取到的挑战信息经过预定加密算法加密后生成认证密码;输出所述认证密码。从认证服务端侧,所述图形图像与动态密码相结合的身份认证方法,包括生成包含有挑战信息的图形图像并显示或发送;将所述挑战信息经预定加密算法加密后生成比对密码;获取用户输入的认证密码并与所述比对密码进行对比,当密码一致时即可确认用户身份。本发明还提供了一种动态密码设备,包括图形图像获取单元,用于获取认证服务端提供的、包含有挑战信息的图形图像;
图形解析获取单元,用于解析处理所述图形图像,获取其中包含的挑战信息;认证密码生成单元,用于将获取到的挑战信息经过预定加密算法加密后生成认证密码;认证密码输出单元,用于输出所述认证密码。本发明还提供了一种认证服务端,包括图形生成显示单元,用于生成包含有挑战信息的图形图像并显示或发送;比对密码生成单元,用于将所述挑战信息经预定加密算法加密后生成比对密码;密码验证单元,用于获取用户输入的认证密码并与所述比对密码进行对比,当密码一致时即可确认用户身份。 本发明的有益效果是在本发明技术方案中,认证服务端提供的挑战信息以图形图像形式显示出来,可以直接显示在认证服务端的交互界面,也可发送到用户手机上显示出来,动态密码设备直接通过扫描或拍摄该图形图像,获取其中的挑战信息,挑战信息经过加密后生成认证密码,用户将所述认证密码输入到认证服务端,认证服务端将所述用户输入的认证密码与自己生成的比对密码进行对比判断,当密码一致时用户通过认证。由于挑战信息是包含在图形图像中,不局限于数字,其信息量更为丰富,因此生成的认证密码更为安全;此外,用户仅需直接用动态密码设备扫描所述图形图像,设备可以自动识别其中的挑战信息生成认证密码,无需用户手动输入挑战信息,使用起来更为方便。
图I是本发明第一实施例提供的图形图像与动态密码相结合的身份认证方法的流程图;图2是本发明第二实施例提供的图形图像与动态密码相结合的身份认证方法的流程图;图3是本发明第三实施例提供的动态密码设备的结构方框图;图4是本发明第四实施例提供的认证服务端的结构方框图;图5是本发明第五实施例提供的移动终端和外置密码令牌实现的动态密码设备的结构图;图6是本发明第六实施例提供的移动终端和外置密码令牌实现的动态密码设备的另一结构图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。本发明技术方案主要是用户通过使用动态密码设备,根据图形图像中包含的挑战信息生成认证密码,认证服务端根据该密码完成用户身份认证。为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。实施例一:
图I示出了本发明第一实施例提供的一种图形图像与动态密码相结合的身份认证方法的流程,为了便于说明仅示出了与本发明实施例相关的部分。本实施例从动态密码设备侧描述本发明技术方案,具体包括下述步骤步骤S101、获取认证服务端提供的、包含有挑战信息的图形图像。用户用手持的动态密码设备获取认证服务器提供的包含有挑战信息的图形图像,所述认证服务端为服务商提供的身份认证的后台服务器,比如对于银行系统的身份认证,所述认证服务端就是银行内部用户处理身份认证的后台服务器,用户在ATM机或网银上进行转账时,ATM机和网银与所述认证服务端通过网络连接,ATM机和网银的操作界面就是认证服务端与人的交互界面。
所述图形图像为动态密码设备和认证服务端有共同认知的图形,双方都知晓其中包含的挑战信息,比如一维码、二维码等等,这些是由公知的编码方式编码生成挑战信息;或者亦可根据动态密码设备和认证服务端自定义编码方式生成的图形,比如莫尔斯码,通过自定义的点划组合来表示每个字符,认证服务端将挑战信息生成莫尔斯码图片后,动态密码设备通过扫描该莫尔斯码解析其中的挑战信息;又或者,可以直接通过中文图片的形式显示其中的挑战信息,动态密码设备通过文字识别技术即可获取其中包含的挑战信息。需要说明的是,本发明实施所述的图形图像包括但不限于上述的一维码、二维码、文字、特征图案或莫尔斯码,只要是动态密码设备和认证服务端双方有共同认知、能够识别出其中的挑战信息的图形图像都在本发明的保护范围之内。作为一种具体的表现形式,本实施例中所述的挑战信息可以是用户和认证服务端完成交易的交易信息,比如用户通过ATM机或网银转账,所述的挑战信息可以为转账的交易信息,包括账号、户名、转账金额、转入账号、转入账户名等等中的一个或多个交易信息,认证服务端根据该交易信息生成双方可以识别的图形图像;或者,所述挑战信息是认证服务端随机生成的一端挑战码,比如用户通过电脑登录游戏,游戏服务商直接生成一个随机挑战码以图片形式显示在电脑屏幕上,用户直接用动态密码设备扫描该挑战码图片,自动生成认证密码。进一步作为优选的实施方式,为了保证挑战信息不被透露,所述图形图像中包含的挑战信息是经过加密后的信息,只要动态密码设备能够相应解密即可,比如认证服务端可以对前述的交易信息进行加密,再生成包含该加密信息的图形图像,这样交易信息不被透露,保证了账户安全。步骤S102、解析处理所述图形图像,获取其中包含的挑战信息。当用户用动态密码设备扫描或拍摄到所述图形图像后,由于认证服务端将挑战信息生成为图形图像的编码方式是动态密码设备所述知晓的,因此本步骤中,动态密码设备根据内部软硬件结合,对扫描或拍摄到的图形进行图像处理和解码运算,即可获取到图形图像中所包含的挑战信息,优选的,可将挑战信息以明文显示或以语音输出,以便用户确认。步骤S103、将获取到的挑战信息经过预定加密算法加密后生成认证密码。本发明实施例中,图形图像作为生成认证密码的必要因子之一,动态密码设备内的加密软件将获取到的挑战信息按照预定的加密算法加密后生成认证密码,在认证服务端会采用同样的加密算法生成比对密码,这里的加密算法可以采用现有身份认证行业的加密算法,比如哈希算法,也可以双方自定义加密算法,本发明不对加密算法作具体限定,只要是双方约定好即可。步骤S104、输出所述认证密码。在生成认证密码后,作为一种具体的输出方式,所述认证密码以明文字符方式显示在动态密码设备界面上,或者所述认证密码以明文语音方式从动态密码设备中输出。用户将动态密码设备界面上显示的认证密码或者听到的认证密码输入到认证服务端的交互界面上(比如用户通过ATM机或网银转账即,交互界面就是ATM机和网银界面),认证服务器获取用户输入的认证密码并与自身生成采用相同加密算法生成的比对密码进行对比判断,当认证密码与比对密码完全一致时,即可确认用户身份。本实施例在动态密码设备侧提供了一种身份认证方法,通过该方法,用户仅需用动态密码设备扫描图形图像,动态密码设备自动生成认证密码,用户输入所述认证密码,认证服务端将所述认证密码与自身生成的比对密码对比判断,即可完成身份认证,整个认证过程操作简单,无需用户手动输入挑战信息,而且由于本实施例中的挑战信息包含在图形 图像中,与现有方案中的挑战信息相比,可以包含更大的信息量,生成的认证密码安全性更高,而且所述图形图像包含的挑战信息亦可为经加密的信息,可以进一步保证生成安全性能更高的认证密码。实施例二 :图2示出了本发明第二实施例提供的一种图形图像与动态密码相结合的身份认证方法的流程,为了便于说明仅示出了与本发明实施例相关的部分。本实施例从认证服务端侧描述本发明技术方案,具体包括下述步骤步骤S201、生成包含有挑战信息的图形图像并显示或发送。本实施例中,首先认证服务端需要生成一个包含有挑战信息的图形图像,使得用户能够通过动态密码设备生成认证密码,认证服务端再显示或发送所述图形图像,具体的,还是以用户通过ATM机或网银转账为例,认证服务端生成图形图像后,将该图形图形显示在ATM机或网银的操作界面上,或者将图形图像以彩信形式发送到用户手机上,用户用动态密码设备扫描ATM机或网银的操作界面上的图形图像,或者扫描手机接收到的图形图像,即可获取到其中的挑战信息。与实施例一种步骤SlOl相同,这里所述的图形图像为动态密码设备和认证服务端有共同认知的图形,双方都知晓其中包含的挑战信息,包括但不限于上述的一维码、二维码、文字或莫尔斯码。所述挑战信息可以为用户和认证服务端完成交易的交易信息,或者是认证服务端随机生成的一个挑战码。进一步作为优选的实施方式,所述图形图像中包含的挑战信息是经过加密后的信息,保证挑战信息不被透露。步骤S202、将所述挑战信息经预定加密算法加密后生成比对密码。本步骤中认证服务端所采用的加密算法与动态密码设备生成认证密码所采用的加密算法相同,这样才能够由相同的挑战信息经过相同的加密算法得到相同的密码。步骤S203、获取用户输入的认证密码并与所述比对密码进行对比,当密码一致时即可认定用户身份合格。动态密码设备将解析出的挑战信息用与认证服务端采用相同的加密算法加密后,生成认证密码,所述认证密码以明文字符形式在设备屏幕上显示出来,或者以明文语音的形式从设备喇叭输出,用户将设备屏幕上显示的认证密码,或者听到的设备输出的语音形式的认证密码输入到认证服务端的交互界面相应的位置上,认证服务端获取用户输入的认证密码,将所述认证密码与自身生成的比对密码进行对比判断,当密码一致时即可认定用户身份合格。本实施例在认证服务端侧描述了身份认证方法流程,采用该方法的认证服务端在本发明的保护范围之内。实施例三:图3示出了本发明第三实施例提供的一种动态密码设备,为了便于说明仅示出了与本发明实施例相关的部分。本实施例提供的动态密码设备包括 图形图像获取单元301,用于获取认证服务端提供的、包含有挑战信息的图形图像;图形解析获取单元302,用于解析处理所述图形图像,获取其中包含的挑战信息;认证密码生成单元303,用于将获取到的挑战信息经过预定加密算法加密后生成认证密码;认证密码输出单元304,用于输出所述认证密码。其中,所述认证密码输出单元304包括字符显示输出模块,用于以明文形式在动态密码设备界面显示所述认证密码;或者,密码语音输出模块,用于以明文语音方式从动态密码设备中输出所述认证密码。本实施例提供的各个功能单元301-304分别对应实现了实施例一中步骤S101-S104。其中,图形图像获取单元301获取认证服务端提供的、包含有挑战信息的图形图像,图形解析获取单元302解析处理所述图形图像,获取其中包含的挑战信息,认证密码生成单元303将获取到的挑战信息经过预定加密算法加密后生成认证密码,认证密码输出单元304输出所述认证密码。在具体表现形式上,所述图形图像获取单元301为动态密码设备上的摄像头以及相应的驱动模块;所述图形解析获取单元302是一段由图像处理程序生成的解析模块,可以识别图形图像中的挑战信息;所述认证密码生成单元303是一个硬件或软件加密模块;若所述认证密码输出单元304包括字符显示输出模块,则所述字符显示输出模块是动态密码设备上的显示屏以及相应的显示驱动控制模块,若所述认证密码输出单元304包括密码语音输出模块,则所述密码语音输出模块为动态密码设备上的喇叭以及相应的声音输出控制模块。在物理表现形式上,本实施例所述的动态密码设备可以是开发商独立开发的动态令牌,该动态令牌包括所述图形图像获取单元、图形解析获取单元、认证密码生成单元和认证密码输出单元;作为一种优选方式,本实施例所述的动态密码设备亦可是安装有服务商提供的认证应用的移动终端,其中所述认证应用包括上述的图形图像获取单元、图形解析获取单元、认证密码生成单元和认证密码输出单元,用户利用移动终端本身的摄像头获取图形图像,利用终端本身的显示模块和语音模块来输出挑战信息和动态密码,所述认证应用的内部加密算法与认证服务端保证一致,所述认证应用得到图形图像经解析处理后,将得到的挑战信息经加密运算后得到认证密码,并显示在屏幕上或以语音读出,并且若认证服务端将生成的包含有挑战信息的图形图像直接发送到用户的移动终端上,所述移动终端无需扫描就已经获取到所述图形图像,略去图像获取步骤。由于动态密码设备的功能集成到移动终端中,这样更便于随身携带。或者也可以通过移动终端与外置的密码令牌连接来实现本实施例所述的动态密码设备。其中所述移动终端用于获取图形图像并解析出挑战信息,所述外置密码令牌用于根据挑战信息生成认证密码,再通过外置密码令牌或移动终端输出所述认证密码。实施例四图4示出了本发明第四实施例提供的一种认证服务端,为了便于说明仅示出了与本发明实施例相关的部分。本实施例提供的认证服务端包括
图形生成显示单元401,用于生成包含有挑战信息的图形图像并显示或发送;比对密码生成单元402,用于将所述挑战信息经预定加密算法加密后生成比对密码;密码验证单元403,用于获取用户输入的认证密码并与所述比对密码进行对比,当密码一致时即可认定用户身份合格。本实施例提供的各个功能单元401-403分别对应实现了实施例二中步骤S201-S203。具体的,图形生成显示单元401首先生成包含有挑战信息的图形图像,再将所述图形图像显示在认证服务端的交互界面上,或者直接发送到用户的手持设备,使得用户能够通过动态密码设备扫描获取到图形图像,进而以所述图形图像为必要因子之一生成认证密码,并输入到认证服务端的交互界面正确的位置上;比对密码生成单元402将所述挑战信息经预定的加密算法加密后生成比对密码,所述加密算法与动态密码设备生成认证密码所采用加密算法相同,密码验证单元403获取用户输入的认证密码并与所述比对密码进行对比,当密码一致时即可认定用户身份合格。在具体表现形式上,所述图形生成显示单元401本质上是一个信息编码图形生成程序模块,通过执行该程序模块可以生成一副包含有挑战信息的图像,所述比对密码生成单元402与实施例三中的认证密码生成单元303类似,是一个硬件或软件加密模块,所述密码验证单元403是一段数据对比判断程序模块。本实施例提供的认证服务端可以被广大需要提供身份认证系统的服务商采用。综上,本发明实施例从四个方面描述了本发明技术方案,用户无需手动输入挑战信息,通过扫描即可生成认证密码,动态密码设备使用更为方便,而且由于本实施例中的挑战信息包含在图形图像中,与现有方案中的挑战信息相比,可以包含更大的信息量,生成的认证密码安全性更高。使用本发明所述的图形图像与动态密码相结合的身份认证方法,使用或生产本发明所述的动态密码设备、认证服务端均在本发明的保护范围之内。实施例五图5示出了本发明第五实施例提供的由移动终端和外置密码令牌实现的动态密码设备的结构,为了便于说明仅示出了与本发明实施例相关的部分。本实施例提供有移动终端50和外置密码令牌55,两者通过移动终端接口进行连接,所述移动终端50包括摄像头组件501,用于获取认证服务端提供的、包含有挑战信息的图形图像;中央处理器502,包括用于解析所述图形图像获取挑战信息的解析模块5021,以及用于将所述挑战信息调制成接口所支持的调制信号的调制模块5022 ;所述外置密码令牌55包括微处理器551,包括用于解调移动终端50发送过来的调制信号,还原成挑战信息的解调模块5511、用于将所述解调后的挑战信息加密生成认证密码的加密模块5512,以及用于将所述认证密码调制成接口所支持的调制信号的第二调制模块513。所述中央处理器502还包括用于解调外置密码令牌55发送过来的调制信号,还原成认证密码的第二解调模块5023,以及用于输出所述认证密码的输出模块5024,所述显示丰旲块5024可以为显不屏或首频输出系统。本发明实施例通过移动终端和外置密码令牌结合实现的本发明的身份认证技术方案,具体的,图形图像获取单元可由摄像头组件501实现,图形解析获取单元可由中央处理器502实现,认证密码生成单元可由外置密码令牌55设备中的微处理器551实现,认证 密码输出单元可由移动终端50中的输出模块5024实现。本实施例通过移动终端和外置密码令牌进行结合,由移动终端的摄头像组件获取图形图像,并解析出包含的挑战信息,再将所述调制信息调制后发送到外置密码令牌,外置密码令牌解调还原出挑战信息,并按照预定加密算法加密后得打认证密码,将所述认证密码调制后发送到所述移动终端,并在移动终端中输出。实施例六:图6示出了本发明第六实施例提供的由移动终端和外置密码令牌实现的动态密码设备的另一结构,为了便于说明仅示出了与本发明实施例相关的部分。本实施例提供有移动终端60和外置密码令牌65,两者通过移动终端接口进行连接,所述移动终端60包括摄像头组件601,用于获取认证服务端提供的、包含有挑战信息的图形图像;中央处理器602,包括用于解析所述图形图像获取挑战信息的解析模块6021,以及用于将所述挑战信息调制成接口所支持的调制信号的调制模块6022 ;所述外置密码令牌65包括微处理器651,包括用于解调移动终端60发送过来的调制信号,还原成挑战信息的解调模块6511、用于将所述解调后的挑战信息加密生成认证密码的加密模块6512。第二输出模块652,用于输出所述认证密码,可以包括显示屏或音频输出系统。本发明实施例与实施例五不同之处在于,实施例五是将认证密码在移动终端上输出,而本实施例提供的外置密码令牌具有第二输出模块,可以将认证密码在外置密码令牌上输出,比如可以在外置密码令牌上的显示屏显示,或者通过音频系统以声音方式输出。本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以在存储于一计算机可读取存储介质中,所述的存储介质,如R0M/RAM、磁盘、光盘、闪存、SD卡等。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种图形图像与动态密码相结合的身份认证方法,其特征在于,所述方法包括下述步骤 获取认证服务端提供的、包含有挑战信息的图形图像; 解析处理所述图形图像,获取其中包含的挑战信息; 将获取到的挑战信息经过预定加密算法加密后生成认证密码; 输出所述认证密码。
2.如权利要求I所述方法,其特征在于,所述挑战信息为动态密码设备和认证服务端的交易信息,或者是认证服务端随机生成的挑战码。
3.如权利要求2所述方法,其特征在于,所述图形图像为动态密码设备和认证服务端有共同认知的图形,包括一维码、二维码、文字、特征图案或莫尔斯码。
4.如权利要求3所述方法,其特征在于,所述图形图像中包含的挑战信息为加密信息或明文信息。
5.如权利要求1-4任一项所述方法,其特征在于,由所述图形图像解析后得到挑战信息可以明文显示也可不显示,可以语音输出也可不以语音方式输出; 所述认证密码的输出方式为所述认证密码以明文字符形式显示在动态密码设备或软件界面,或者,所述认证密码以明文语音方式从动态密码设备或软件中输出。
6.一种图形图像与动态密码相结合的身份认证方法,其特征在于,所述方法包括下述步骤 生成包含有挑战信息的图形图像并显示或发送; 将所述挑战信息经预定加密算法加密后生成比对密码; 获取用户输入的认证密码并与所述比对密码进行对比,当密码一致时即可确认用户身份。
7.一种动态密码设备,其特征在于,所述设备包括 图形图像获取单元,用于获取认证服务端提供的、包含有挑战信息的图形图像; 图形解析获取单元,用于解析处理所述图形图像,获取其中包含的挑战信息; 认证密码生成单元,用于将获取到的挑战信息经过预定加密算法加密后生成认证密码; 认证密码输出单元,用于输出所述认证密码。
8.如权利要求7所述设备,其特征在于,所述认证密码输出单元包括 字符显示输出模块,用于以明文形式在动态密码设备或软件界面显示所述认证密码; 或者, 密码语音输出模块,用于以明文语音方式从动态密码设备或软件中输出所述认证密码。
9.如权利要求7或8所述设备,其特征在于,所述动态密码设备为独立开发的动态密码令牌,或者具有图形获取、解析、加密功能的终端和终端软件。
10.一种认证服务端,其特征在于,所述认证服务端包括 图形生成显示单元,用于生成包含有挑战信息的图形图像并显示或发送; 比对密码生成单元,用于将所述挑战信息经预定加密算法加密后生成比对密码; 密码验证单元,用于获取用户输入的认证密码并与所述比对密码进行对比,当密码一致时即可确认用户身份·。
全文摘要
本发明适用于身份认证技术领域,提供一种图形图像与动态密码相结合的身份认证方法。所述方法包括获取认证服务端提供的、包含有挑战信息的图形图像;解析处理所述图形图像,获取其中包含的挑战信息;将获取到的挑战信息经过预定加密算法加密后生成认证密码;输出所述认证密码。通过本发明技术方案,用户无需手动输入挑战信息,通过扫描或拍摄方式输入挑战信息从而生成认证密码,动态密码设备使用更为方便,而且由于本实施例中的挑战信息包含在图形图像中,与传统挑战应答型动态令牌方案中的挑战信息相比,可以包含更大的信息量,生成的认证密码安全性更高。
文档编号H04L9/32GK102801724SQ20121028228
公开日2012年11月28日 申请日期2012年8月9日 优先权日2012年8月9日
发明者闫凤如, 代永红 申请人:长城瑞通(北京)科技有限公司