一种动态口令认证方法及系统的制作方法

一种动态口令认证方法及系统的制作方法
【专利摘要】本发明公开了一种动态口令认证方法及系统，其中，动态口令认证方法包括：扫描获取认证设备生成的图像形态的挑战因子，并将图像形态的挑战因子转换为数字形态的挑战因子；根据获取的数字形态的挑战因子、预先设置的种子密匙和时间因子，生成第一动态口令；将生成的第一动态口令通过无线链路通信方式传输给认证设备；认证设备将接收到的第一动态口令与认证设备预先生成的第二动态口令对比；根据第一动态口令与第二动态口令的对比结果，确定第一动态口令认证通过或认证失败。通过本发明提供的方法，能够将认证设备产生的挑战因子自动输入动态令牌和将动态令牌生成的动态口令自动输入认证设备，避免手动输入速度慢且容易出错的问题。
【专利说明】一种动态口令认证方法及系统

【技术领域】
[0001]本发明涉及口令认证【技术领域】，具体涉及一种动态口令认证方法及系统。

【背景技术】
[0002]传统的静态口令认证技术，由于安全性较低，近年来已经逐渐被动态口令认证技术所代替，而动态口令认证技术中，最常见的就是基于挑战-应答机制的动态口令认证技术，即由认证设备随机产生一个挑战因子，然后通过动态令牌根据挑战因子计算产生动态口令，然后用户将动态口令输入认证设备，认证设备使用自身根据挑战因子计算产生的动态口令和用户输入的动态口令进行比较，如果相同则认证成功。
[0003]上述动态口令的认证方法存在一些问题:
[0004]生成的挑战因子理论上可以很长，但是用户在动态令牌上输入较长的挑战因子，耗时较长，而且容易导致输入错误，造成使用不便。


【发明内容】

[0005]本发明所要解决的技术问题是提供一种动态口令认证方法及系统，能够将认证设备产生的挑战因子自动输入动态令牌和将动态令牌生成的动态口令自动输入认证设备，避免手动输入速度慢且容易出错的问题。
[0006]本发明解决上述技术问题的技术方案如下:
[0007]依据本发明的一个方面，提供了一种动态口令认证方法，包括:
[0008]动态令牌扫描获取认证设备生成的图像形态的挑战因子，并将所述图像形态的挑战因子转换为数字形态的挑战因子；
[0009]根据所述获取的数字形态的挑战因子、预先设置的种子密匙和时间因子，通过预定算法进行运算，生成第一动态口令；
[0010]将所述生成的第一动态口令通过无线链路通信方式传输给认证设备；
[0011]认证设备将接收到的第一动态口令与认证设备预先生成的第二动态口令对比；
[0012]根据第一动态口令与第二动态口令的对比结果，确定第一动态口令认证通过或认证失败。
[0013]依据本发明的另一个方面，提供了一种动态口令认证系统，所述系统包括动态令牌和认证系统:
[0014]所述动态令牌包括:
[0015]挑战因子获取模块，用于扫描获取认证设备生成的图像形态的挑战因子，并将所述图像形态的挑战因子转换为数字形态的挑战因子；
[0016]第一动态口令生成模块，用于根据所述获取的数字形态的挑战因子、预先设置的种子密匙和时间因子，通过预定算法进行运算，生成第一动态口令；
[0017]传输模块，用于将所述生成的第一动态口令通过无线链路通信方式传输给认证设备;
[0018]所述认证设备包括:
[0019]对比模块，用于将接收到的第一动态口令与认证设备预先生成的第二动态口令对比；
[0020]认证确定模块，用于根据第一动态口令与第二动态口令的对比结果，确定第一动态口令认证通过或认证失败。
[0021]本发明提供的一种动态口令认证方法及系统，动态令牌通过扫描获取认证设备生成的图像形态的挑战因子，并将图像形态的挑战因子转换成数字形态的挑战因子，根据数字形态的挑战因子、种子密匙和时间因子生成动态口令，并将该动态口令通过无线链路通信的方式传输给认证设备，认证设备对传输的动态口令进行认证。本发明提供的方法中，动态令牌可以自动获取认证设备产生的挑战因子，也可以将生成的动态口令自动传输给认证设备，而无需用户手动输入挑战因子和动态口令，避免挑战因子或动态口令过长，手动输入耗时长，也避免了用户手动输入时容易出错的问题。

【专利附图】

【附图说明】
[0022]图1为本发明实施例一的一种动态口令认证方法流程图；
[0023]图2为本发明实施例一中认证设备生成图像形态的挑战因子示意图；
[0024]图3为本发明实施例一中动态令牌生成第一动态口令示意图；
[0025]图4为本发明实施例一中动态令牌将第一动态口令发送给认证设备示意图；
[0026]图5为本发明实施例一中认证设备对第一动态口令认证过程示意图；
[0027]图6为本发明实施例二的一种动态口令认证系统示意图。

【具体实施方式】
[0028]以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。
[0029]实施例一、一种动态口令认证方法。下面结合图1-图5对本实施例提供的方法进行详细说明。
[0030]参见图1，S101、动态令牌扫描获取认证设备生成的图像形态的挑战因子，并将该图像形态的挑战因子转换为数字形态的挑战因子。
[0031]具体的，参见图2，首先认证设备随机生成数字形态的挑战因子，其中，挑战因子的长度可变，可以由认证设备预先设定。认证设备随机生成了数字形态的挑战因子，将该数字形态的挑战因子转换为图像形态的挑战因子，具体的转换模式可以由认证设备设定。在本实施例中，认证设备将数字形态的挑战因子按照预先定义的变换方式将数字转换为彩色或黑白图像，其中，所述变换方式为将各个数字的数据位对应转换成彩色或黑白图像，形成图像形态的挑战因子，并将图像形态的挑战因子显示于认证设备的交互界面。
[0032]此时，动态令牌可以扫描显示于认证设备交互界面的图像形态的挑战因子，可以采用动态令牌的拍摄功能，例如，采用摄像头对显示于认证设备交互界面的图像形态的挑战因子进行拍摄，获取图像形态的挑战因子。当然，也可以采用其它的方式扫描获取图像形态的挑战因子，本实施例不作限定。当动态令牌获取到图像形态的挑战因子，将图像形态的挑战因子还原成数字形态的挑战因子。
[0033]S102、根据获取的数字形态的挑战因子、预先设置的种子密匙和时间因子，通过预定算法进行运算，生成第一动态口令。
[0034]具体的，参见图3，步骤SlOl将扫描获取的图像形态的挑战因子转换为数字形态的挑战因子后，根据该数字形态的挑战因子以及动态令牌中预先设置的种子密匙和时间因子，通过预定算法运算，生成第一动态口令。在本实施例中，时间因子为UTC(UniversalTime Coordinated，世界协调时)时间，并且根据数字形态的挑战因子、预先设置的种子密匙和时间因子，采用散列运算，达到散列结果。得到散列结果之后，对得到的散列结果按照预定规则进行动态截短，并将动态截短后的散列结果作为第一动态口令，其中，第一动态口令的长度可以设定。
[0035]S103、将生成的第一动态口令通过无线链路通信方式传输给认证设备。
[0036]具体的，动态令牌生成第一动态口令后，将生成的第一动态口令传输给认证设备，在具体传输过程中，用户可以在动态令牌上选择传输的方法，即可以选择向认证设备手动输入第一动态口令(缺省状态下，也是由用户向认证设备手动输入第一动态口令)，也可以选择通过无线链路通信方式向认证设备传输第一动态口令。
[0037]参见图4，在具体将动态令牌生成的第一动态口令传输给认证设备的过程中，用户可以通过动态令牌上的按键选择无线链路工作模式，比如，蓝牙通信链路模式、WIFI通信链路模式或NFC(Near Field Communicat1n,近距离无线通信)通信链路模式等。当用户在动态令牌上选择了无线链路工作模式后，可以选择向认证设备发送无线链路连接请求，认证设备接收到动态令牌发送的无线链路连接请求后，对动态令牌进行连接。当动态令牌与认证设备的无线链路连接成功后，在用户按键确认发送第一动态口令后，动态令牌通过无线链路的通信方式将动态令牌生成的第一动态口令传输给认证设备；当动态令牌与认证设备的无线链路连接失败时(比如，因设备原因无法建立起无线链路)，动态令牌会提示用户无线链路连接失败的信息，并提示用户按照缺省的工作模式将动态令牌生成的第一动态口令手动输入认证设备。另外，用户在动态令牌上随时可以选择与认证设备建立无线链路连接或者断开与认证设备的无线链路连接。需要说明的是，若用户未事先设定动态令牌的无线链路工作模式，则动态令牌按照缺省工作模式只在动态令牌上显示生成的第一动态口令，用户需要手动将生成的第一动态口令输入到认证设备。
[0038]当动态令牌通过无线链路的通信方式将动态令牌生成的第一动态口令传输给认证设备时，动态令牌采用预定的加密算法对生成的第一动态口令进行加密，比如，采用PKI (Public Key Infrastructure,公匙基础设施)技术对生成的第一动态口令进行加密，得到加密后的第一动态口令，并通过无线链路的通信方式将加密后的第一动态口令发送给认证设备。
[0039]S104、认证设备将接收到的第一动态口令与认证设备预先生成的第二动态口令对比。
[0040]具体的，参见图5，当用户手动向认证设备输入第一动态口令时，认证设备将用户输入的第一动态口令与认证设备预先生成的第二动态口令对比。当动态令牌通过无线链路通信方式将生成的第一动态口令传输给认证设备时，动态令牌传输给认证设备的第一动态口令是经过加密后的动态口令，此时，认证设备接收到加密后的第一动态口令后，对加密的第一动态口令解密，获得原始的第一动态口令，并将解密后的第一动态口令与认证设备中预先生成的第二动态口令对比。
[0041]其中，第二动态口令为认证设备预先生成的，认证设备根据之前生成的数字形态的挑战因子、预先存储的种子密匙和时间因子，其中，预先存储的种子密匙和时间因子与动态令牌使用的种子密匙和时间因子相同，对挑战因子、种子密匙和时间因子采用与动态令牌采用的运算算法相同的算法进行运算，比如，进行散列运算，得到散列结果，并对散列结果进行动态截短，动态截短的规则与动态令牌对散列结果的动态截短的规则相同，将动态截短的散列结果作为第二动态口令。
[0042]S105、根据第一动态口令与第二动态口令的对比结果，确定第一动态口令认证通过或认证失败。
[0043]具体的，认证设备对动态令牌传输的第一动态口令与自身生成的第二动态口令进行对比，若动态令牌传输的第一动态口令与认证设备生成的第二动态口令相同时，贝1J认证设备认为第一动态口令认证通过；若动态令牌传输的第一动态口令与认证设备生成的第二动态口令不同时，则认证设备认为第一动态口令认证失败。
[0044]需要说明的是，本实施例提供的动态口令认证方法能够在多种平台上实现，比如，能够在PC平台和移动平台上实现。
[0045]实施例二、一种动态口令认证系统。下面结合图6对本实施例提供的系统进行详细说明。
[0046]图6中，本实施例提供的系统包括动态令牌600和认证设备700，其中，动态令牌600包括挑战因子获取模块6001、第一动态口令生成模块6002、加密模块6003和传输模块6004 ;认证设备700包括挑战因子生成模块7001、转换模块7002、显示模块7003、解密模块7004、对比模块7025和认证确定模块7006。
[0047]挑战因子生成模块7001主要用于随机生成预设长度的数字形态的挑战因子。
[0048]转换模块7002主要用于将挑战因子生成模块7001生成的数字形态的挑战因子转换为图像形态的挑战因子。
[0049]显示模块7003主要用于将转换模块7002转换后的图像形态的挑战因子显示于认证设备的交互界面。
[0050]挑战因子获取模块6001主要用于扫描获取显示模块7003显示于认证设备的交互界面的图像形态的挑战因子，并将该图像形态的挑战因子转换为数字形态的挑战因子。
[0051]具体的，首先认证设备中的挑战因子生成模块7001随机生成数字形态的挑战因子，其中，挑战因子的长度可变，可以由认证设备预先设定。挑战因子生成模块7001随机生成了数字形态的挑战因子，转换模块7002将该数字形态的挑战因子转换为图像形态的挑战因子，具体的转换模式可以由认证设备设定。在本实施例中，转换模块7002将数字形态的挑战因子按照预先定义的变换方式将数字转换为彩色或黑白图像，其中，所述变换方式为将各个数据位的数字对应转换成彩色或黑白图像，形成图像形态的挑战因子，显示模块7003将转换模块7002转换后的图像形态的挑战因子显示于认证设备的交互界面。
[0052]此时，动态令牌中的挑战因子获取模块6001可以扫描显示于认证设备交互界面的图像形态的挑战因子，可以采用动态令牌的拍摄功能，例如，采用摄像头对显示于认证设备交互界面的图像形态的挑战因子进行拍摄，获取图像形态的挑战因子。当然，也可以采用其它的方式扫描获取图像形态的挑战因子，本实施例不作限定。当挑战因子获取模块6001获取到图像形态的挑战因子，将图像形态的挑战因子还原成数字形态的挑战因子。
[0053]第一动态口令生成模块6002主要用于根据挑战因子获取模块6001获取的数字形态的挑战因子、预先设置的种子密匙和时间因子，通过预定算法运算，生成第一动态口令。
[0054]具体的，挑战因子获取模块6001将扫描获取的图像形态的挑战因子转换为数字形态的挑战因子后，第一动态口令生成模块6002根据该数字形态的挑战因子以及动态令牌中预先设置的种子密匙和时间因子，通过预定算法运算，生成第一动态口令。在本实施例中，时间因子为UTC(Universal Time Coordinated,世界协调时)时间，第一动态口令生成模块6002根据数字形态的挑战因子、预先设置的种子密匙和时间因子，采用散列运算，得到散列结果。得到散列结果之后，对得到的散列结果按照预定规则进行动态截短，并将动态截短后的散列结果作为第一动态口令，其中，第一动态口令的长度可以设定。
[0055]加密模块6003主要用于对第一动态口令生成模块6022生成的第一动态口令加
LU O
[0056]传输模块6004主要用于将加密模块6003加密后的第一动态口令通过无线链路通信方式传输给认证设备。
[0057]具体的，第一动态口令生成模块6002生成了第一动态口令后，用户可以在动态令牌上选择传输的方法，即可以选择向认证设备手动输入第一动态口令(缺省状态下，也是由用户向认证设备手动输入第一动态口令)，也可以通过无线链路通信方式向认证设备传输第一动态口令。
[0058]设置于动态令牌中的传输模块6004通过无线链路的通信方式将动态令牌生成的第一动态口令传输给认证设备；当动态令牌与认证设备的无线链路连接失败时(比如，因设备原因无法建立起无线链路)，动态令牌会提示用户无线链路连接失败的信息，并提示用户按照缺省的工作模式将动态令牌生成的第一动态口令手动输入认证设备。
[0059]当传输模块6004通过无线链路的通信方式将动态令牌生成的第一动态口令传输给认证设备时，动态令牌中的加密模块6003采用预定的加密算法对生成的第一动态口令进行加密，比如，采用PKI (Public Key Infrastructure,公匙基础设施)技术对生成的第一动态口令进行加密，得到加密后的第一动态口令，传输模块6004通过无线链路的通信方式将加密模块6003加密后的第一动态口令发送给认证设备。
[0060]设置于认证设备中的解密模块7004主要用于对接收到的传输模块6004传输的加密后的第一动态口令进行解密，得到解密后的第一动态口令。
[0061]对比模块7005主要用于将加密模块7004解密后的第一动态口令与认证设备预先生成的第二动态口令对比。
[0062]认证确定模块7006主要用于根据第一动态口令与第二动态口令的对比结果，确定第一动态口令认证通过或认证失败。
[0063]具体的，当用户手动向认证设备输入第一动态口令时，认证设备中的对比模块7005将用户输入的第一动态口令与认证设备预先生成的第二动态口令对比。当动态令牌中的传输模块6004通过无线链路通信方式将生成的第一动态口令传输给认证设备时,传输模块6004传输给认证设备的第一动态口令是经过加密后的动态口令，此时，认证设备中的解密模块7004将接收到的加密后的第一动态口令进行解密，获得原始的第一动态口令，对比模块7005将解密后的第一动态口令与认证设备中预先生成的第二动态口令对比。
[0064]其中，第二动态口令为认证设备预先生成的，认证设备根据挑战因子生成模块7001生成的数字形态的挑战因子、预先存储的种子密匙和时间因子，其中，预先存储的种子密匙和时间因子与动态令牌使用的种子密匙和时间因子相同，对挑战因子、种子密匙和时间因子采用与动态令牌采用的运算算法相同的算法进行原酸，比如，进行散列运算，得到散列结果，并对散列结果进行动态截短，动态截短的规则与动态令牌对散列结果的动态截短的规则相同，将动态截短的散列结果作为第二动态口令。
[0065]认证设备中的对比模块7005对动态令牌传输的第一动态口令与自身生成的第二动态口令进行对比，若动态令牌传输的第一动态口令与认证设备生成的第二动态口令相同时，则认证设备中的认证确定模块7006确定第一动态口令认证通过；若动态令牌传输的第一动态口令与认证设备生成的第二动态口令不同时，则认证设备中的认证确定模块7006确定第一动态口令认证失败。
[0066]本发明提供的一种动态口令认证方法及系统，利用动态令牌扫描认证设备产生的图像形态的挑战因子，代替了传统的用户手动输入过程，充分发挥动态口令技术的优点，避免了挑战因子长度长时，用户手动输入时繁琐耗时的过程，也避免了用户手动输入时容易出错的问题；动态令牌可以通过无线链路的通信方式将生成的动态口令传输给认证设备，实现了将生成的动态口令自动传输给认证设备，可以很方便的在PC平台或移动平台上实现。
[0067]以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。
【权利要求】
1.一种动态口令认证方法，其特征在于，所述方法包括: 步骤S101、动态令牌扫描获取认证设备生成的图像形态的挑战因子，并将所述图像形态的挑战因子转换为数字形态的挑战因子； 步骤S102、根据所述获取的数字形态的挑战因子、预先设置的种子密匙和时间因子，通过预定算法进行运算，生成第一动态口令； 步骤S103、将所述生成的第一动态口令通过无线链路通信方式传输给认证设备； 步骤S104、认证设备将接收到的第一动态口令与认证设备预先生成的第二动态口令对比； 步骤S105、根据第一动态口令与第二动态口令的对比结果，确定第一动态口令认证通过或认证失败。
2.如权利要求1所述的一种动态口令认证方法，其特征在于，所述步骤SlOl包括: 认证设备随机生成预设长度的数字形态的挑战因子，并将该数字形态的挑战因子转换为图像形态的挑战因子，并将图像形态的挑战因子显示于认证设备的交互界面； 动态令牌扫描获取显示于认证设备交互界面的图像形态的挑战因子，并将该图像形态的挑战因子转换为数字形态的挑战因子。
3.如权利要求2所述的一种动态口令认证方法，其特征在于，所述认证设备随机生成预设长度的数字形态的挑战因子，并将该数字形态的挑战因子转换为图像形态的挑战因子具体包括: 认证设备随机生成预定长度的数字形态的挑战因子，将数字形态的挑战因子按照预先定义的变换方式将数字转换为彩色或黑白图像，其中，所述变换方式为将各个数据位的数字对应转换成彩色或黑白图像。
4.如权利要求1所述的一种动态口令认证方法，其特征在于，所述步骤S102包括: 根据所述获取的数字形态的挑战因子、预先设置的种子密匙和时间因子进行散列运算，得到运算后的散列结果； 按照预定规则对所述散列结果进行动态截短，将动态截短后的散列结果作为第一动态口令。
5.如权利要求1所述的一种动态口令认证方法，其特征在于，所述步骤S103包括: 动态令牌对所述生成的第一动态口令加密，并通过无线链路通信方式将加密后的第一动态口令传输给认证设备； 所述步骤S104包括: 认证设备对接收到的加密后的第一动态口令进行解密，得到解密后的第一动态口令，并将解密后的第一动态口令与认证设备预先生成的第二动态口令对比。
6.如权利要求5所述的一种动态口令认证方法，其特征在于，所述步骤S103中的无线链路通信方式为蓝牙通信链路、WI F I通信链路或NFC通信链路，所述步骤S103还包括: 用户将所述生成的第一动态口令手动输入认证设备。
7.如权利要求3所述的一种动态口令认证方法，其特征在于，所述步骤S104包括: 认证设备根据其生成的数字形态的挑战因子、与动态令牌相同的种子密匙和时间因子，采用与动态令牌相同的运算算法进行散列运算，得到散列结果； 利用与动态令牌相同的规则对得到的散列结果进行动态截短，将动态截短后的散列结果作为第二动态口令。
8.一种动态口令认证系统，其特征在于，所述系统包括动态令牌和认证系统: 所述动态令牌包括: 挑战因子获取模块，用于扫描获取认证设备生成的图像形态的挑战因子，并将所述图像形态的挑战因子转换为数字形态的挑战因子； 第一动态口令生成模块，用于根据所述获取的数字形态的挑战因子、预先设置的种子密匙和时间因子，通过预定算法进行运算，生成第一动态口令； 传输模块，用于将所述生成的第一动态口令通过无线链路通信方式传输给认证设备； 所述认证设备包括: 对比模块，用于将接收到的第一动态口令与认证设备预先生成的第二动态口令对比；认证确定模块，用于根据第一动态口令与第二动态口令的对比结果，确定第一动态口令认证通过或认证失败。
9.如权利要求8所述的一种动态口令认证系统，其特征在于，所述认证设备还包括: 挑战因子生成模块，用于随机生成预设长度的数字形态的挑战因子； 转换模块，用于将该数字形态的挑战因子转换为图像形态的挑战因子； 显示模块，用于将图像形态的挑战因子显示于认证设备的交互界面； 所述动态令牌中的挑战因子获取模块，用于扫描获取认证设备生成的图像形态的挑战因子，并将所述图像形态的挑战因子转换为数字形态的挑战因子具体包括: 扫描获取显示于认证设备交互界面的图像形态的挑战因子，并将该图像形态的挑战因子转换为数字形态的挑战因子。
10.如权利要求8所述的一种动态口令认证系统，其特征在于，所述动态令牌还包括: 加密模块，用于对所述生成的第一动态口令加密； 所述动态令牌中的传输模块，用于将所述生成的第一动态口令通过无线链路通信方式传输给认证设备具体包括: 将所述加密后的第一动态口令通过无线链路通信方式传输给认证设备； 所述认证设备还包括: 解密模块，用于对接收到的加密后的第一动态口令进行解密，得到解密后的第一动态口令。
【文档编号】H04L9/08GK104394002SQ201410769385
【公开日】2015年3月4日 申请日期:2014年12月12日 优先权日:2014年12月12日
【发明者】薛原 申请人:恒宝股份有限公司