一种身份认证装置及方法
【技术领域】
[0001]本发明涉及身份认证技术领域,具体涉及一种身份认证装置及方法。
【背景技术】
[0002]OTP(One Time Password,一次性动态口令)是一种基于伪随机虚列的动态口令认证方法。OTP通常分为时间同步、事件同步和挑战/应答三种认证方式。OTP的基本原理是将时间或事件(次数)或挑战,结合一个自身保存的一个独一无二的种子(Seed),采用单向哈希算法生成一个动态口令。
[0003]OTP通常由客户端(硬件或者APP)和认证服务器构成。每个OTP客户端和认证服务器共享一个独一无二的种子,每个OTP客户端有一个唯一标识。通常种子分发是将种子在生产时预制或者APP激活时设置到OTP客户端里,同时保存到认证服务器。
[0004]动态口令在OTP客户端根据存储的种子和动态参数生成。认证时,OTP客户端标识和动态口令会传给OTP认证服务器,OTP认证服务器根据标识检索出对应的种子,然后根据该种子和动态参数生成动态口令,对比两个动态口令,从而完成认证。
[0005]在上述OTP的动态口令被破解或者泄露时,基于上述认证方法,将直接完成认证,导致认证不安全,容易造成一些机密资料的泄露。
【发明内容】
[0006]针对现有技术中的缺陷,本发明提供了一种身份认证装置及方法,该装置解决了身份认证技术的不安全性问题。
[0007]第一方面,本发明提供一种身份认证方法,包括:
[0008]客户端通过第一动态口令向网站/应用服务器发送身份认证请求;
[0009]所述网站/应用服务器接收所述客户端发送的第一动态口令,并对所述第一动态口令进行拆分,将拆分后的动态口令分别向不同的认证服务器进行认证;
[0010]所述认证服务器对拆分后的动态口令进行认证,并将认证结果发送所述网站/应用服务器;
[0011]所述网站/应用服务器接收不同的认证服务器发送的认证结果,并根据不同的认证服务器发送的认证结果向所述客户端发送最终的认证结果。
[0012]可选的,所述客户端通过第一动态口令向网站/应用服务器发送身份认证请求包括:
[0013]设置于客户端中的OTP模块根据OTP模块生产过程中的种子和动态参数生成第一动态口令;
[0014]所述OTP模块将所述第一动态口令发送所述客户端的浏览器;
[0015]所述客户端的浏览器通过第一动态口令向网站/应用服务器发送身份认证请求。
[0016]可选的,所述设置于客户端中的OTP模块根据OTP模块生产过程中的种子和动态参数生成第一动态口令,包括:
[0017]所述OTP模块在生产时,生成F区的种子存储在所述OTP模块内的安全存储器的F区和F认证服务器;
[0018]所述OTP模块在生产后,生成E区的种子存储在所述OTP模块内的安全存储器的E区和E认证服务器;
[0019]所述OTP模块将所述安全存储器的F区的种子和动态参数生成第二动态口令,以及将所述安全存储器的E区的种子和动态参数生成第三动态口令,并将所述第二动态口令和第三动态口令合并生成所述第一动态口令。
[0020]可选的,所述网站/应用服务器接收所述客户端发送的第一动态口令,并对所述第一动态口令进行拆分,将拆分后的动态口令分别向不同的认证服务器进行认证,包括:
[0021]所述网站/应用服务器接收所述客户端发送的第一动态口令,并将所述第一动态口令拆分成第二动态口令和第三动态口令,将所述第二动态口令和第三动态口令分别向不同的认证服务器进行认证。
[0022]可选的,所述网站/应用服务器接收所述客户端发送的第一动态口令,并将所述第一动态口令拆分成第二动态口令和第三动态口令,将所述第二动态口令和第三动态口令分别向不同的认证服务器进行认证,包括:
[0023]所述网站/应用服务器将所述第二动态口令发送至F认证服务器进行认证,将所述第三动态口令发送至E认证服务器进行认证。
[0024]可选的,所述认证服务器对拆分后的动态口令进行认证,并将认证结果发送所述网站/应用服务器,包括:
[0025]所述F认证服务器对所述第二动态口令进行认证,生成第一认证结果,并将所述第一认证结果发送所述网站/应用服务器;
[0026]所述E认证服务器对所述第三动态口令进行认证,生成第二认证结果,并将所述第二认证结果发送所述网站/应用服务器。
[0027]可选的,所述网站/应用服务器接收不同的认证服务器发送的认证结果,并根据不同的认证服务器发送的认证结果向所述客户端发送最终的认证结果,包括:
[0028]所述网站/应用服务器接收所述F认证服务器和E认证服务器发送的认证结果,并根据所述F认证服务器和E认证服务器发送的认证结果向所述客户端发送最终认证结果O
[0029]可选的,所述根据不同的认证服务器发送的认证结果向所述客户端发送最终的认证结果,包括:
[0030]在所述F认证服务器和所述E认证服务器均认证通过时,则向所述客户端发送认证通过的认证结果;
[0031]在所述F认证服务器和所述E认证服务器有任一个认证服务器未认证通过时,则向所述客户端发送认证失败的认证结果。
[0032]第二方面,本发明还提供了一种身份认证装置,包括:客户端、网站/应用服务器、认证服务器;
[0033]所述客户端,用于通过第一动态口令向网站/应用服务器发送身份认证请求;
[0034]所述网站/应用服务器,用于接收所述客户端发送的第一动态口令,并对所述第一动态口令进行拆分,将拆分后的动态口令分别向不同的认证服务器进行认证;
[0035]所述认证服务器,用于对拆分后的动态口令进行认证,并将认证结果发送所述网站/应用服务器;
[0036]所述网站/应用服务器,用于接收不同的认证服务器发送的认证结果,并根据不同的认证服务器发送的认证结果向所述客户端发送最终的认证结果。
[0037]可选的,所述客户端具体用于:
[0038]通过设置于客户端中的OTP模块根据OTP模块生产过程中的种子和动态参数生成第一动态口令;
[0039]所述OTP模块将所述第一动态口令发送所述客户端的浏览器;
[0040]所述客户端的浏览器通过第一动态口令向网站/应用服务器发送身份认证请求。
[0041]由上述技术方案可知,本发明提供的一种身份认证装置及方法,该方法通过网站/应用服务器对接收客户端发送的动态口令进行拆分,并将拆分后的动态口令分别向不同的认证服务器进行认证。该装置提高了身份认证的安全性。
【附图说明】
[0042]图1为本发明一实施例提供的一种身份认证方法的流程示意图;
[0043]图2为本发明另一实施例提供的一种身份认证方法的流程示意图;
[0044]图3为本发明一实施例提供的一种身份认证装置的结构示意图。
【具体实施方式】
[0045]下面结合附图,对发明的【具体实施方式】作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
[0046]图1示出了本发明实施例提供的一种身份认证方法的流程示意图,如图1所示,该方法包括如下步骤:
[0047]101、客户端通过第一动态口令向网站/应用服务器发送身份认证请求;
[0048]102、所述网站/应用服务器接收所述客户端发送的第一动态口令,并对所述第一动态口令进行拆分,将拆分后的动态口令分别向不同的认证服务器进行认证;
[0049]103、所述认证服务器对拆分后的动态口令进行认证,并将认证结果发送所述网站/应用服务器;
[0050]104、所述网站/应用服务器接收不同的认证服务器发送的认证结果,并根据不同的认证服务器发送的认证结果向所述客户端发送最终的认证结果。
[0051]上述方法通过网站/应用服务器对接收客户端发送的动态口令进行拆分,并将拆分后的动态口令分别向不同的认证服务器进行认证。该装置提高了身份认证的安全性。
[0052]具体的,上述步骤101具体包括:
[0053]设置于客户端中的OTP模块根据OTP模块生产过程中的种子和动态参数生成第一动态口令;
[0054]具体的,上述动态参数可以理解为时间、事件同步和挑战/应答等。
[0055]所述OTP模块将所述第一动态口令发送所述客户端的浏览器;
[0056]所述客户端的浏览器通过第一动态口令向网站/应用服务器发送身份认证请求。
[0057]图2示出了本发明实施例提供的一种身份认证方法的流程示意图,如图2所示,该方法包括如下步骤:
[0058]201、OTP模块设置于客户端中的OTP模块根据OTP模块生产过程中的种子和动态参数生成第一动态口令。
[0059]OTP客户端包含一个核心OTP模块,该模块有基本的安全存储器用以安全非易失地保存种子,并能够根据种子和输入参数(时间或次数或挑战)生成动态口令。该模块的安全存储器分为两个区域称为F区和E区,每个区域只存放种子的一部分,要生成动态口令必须同时需要F区和E区的种子。
[0060]认证服务器对应地分开部署,分为F认证服务器和E认证服务器。F认证服务器存储的是OTP模块F区的种子,这个是在OTP模块生产时完成的。OTP模块在生产后,提交给使用者集成到最终的设备或者客户端里面去,此时使用者构建E认证服务器,并生成E区的种子写入到OTP模块的E区里面,并保存到自己的E认证服务器。
[0061]具体的,所述OTP模块在生产时,生成F区的种子存储在所述OTP模块内的安全存储器的F区和F认证服务器;
[0062]所述OTP模块在生产后,生成E区的种子存储在所述OTP模块内的安全存储器的E区和E认证服务器;
[0063]所述OTP模块将所述安全存储器的F区的种子和动态参数生成第二动态口令,以及将所述安全存储器的E区的种子和动态参数生成第三动态口令,并将所述第二动态口令和第三动态口令合并生成所述第一动态口令。
[0064]OTP模块提供必要的接口,供客户端或者设备调用,生成动态口令时,E区的种子和F区的种子分别生成第二动态口令和第三动态口令,最终的第一动态口令由第二动态口令和第三动态口令合并而成,合并的方式可以是前后模式即AAAABBBB方式,也可以是交叉模式及ABABABAB模式。
[0065]上述动态口令可以通过单向哈希算法生成,该动态口令的字符类型、口令长度、时间步长等均可以设定。
[0066]可理解的是,上述F区种子为OTP模块中硬件厂商已设定好的种子,只能由硬件厂商根据需要重新进行设定修改;上述E区种子为OTP模块提供商设定的种子,只能由提供商根据需要进行重新设定修改。