[发明专利]一种动态密码认证的方法及服务端系统

说明书

技术领域

本发明涉及密码认证领域，特别是涉及一种动态密码认证的方法和服务端系统。

背景技术

在现实生活中，我们个人的身份主要通过各种证件来确认，比如：身份证、户口本等，而计算机的各种系统资源(如：文件、数据和应用系统等)也需要认证机制的保护，从而确保这些资源被适格的人使用。

目前各类计算资源主要通过密码认证方式进行保护，一般使用静态密码认证和动态密码认证两种方式。

静态密码认证方式采用的是“用户名+口令”的认证方式。用户登录时，应用服务器通过静态密码进行身份认证，确认用户是否为合法的授权用户。这种认证的缺点在于：由于用户的帐号是固定的明文，密码是静态的，用户在很长时间内不会更改密码，造成这种密码很容易被窃取；对这种认证方式常用的有效攻击方式有网络数据流窃听、认证信息截取/重放、字典攻击、穷举尝试、窥探、社交工程等；由于这种认证方式存在较多的安全漏洞，对客户的身份进行认证的安全强度已经不能满足现代各类应用系统的要求。

针对静态密码认证的缺点，动态密码认证可以提高认证的安全强度。动态密码也称一次密码，其动态来源于产生密码的运算因子随时间变化。目前网上银行用户在登录网上银行的时候，网上银行会向用户的手机上发送一条短信，告诉用户一个一次性有效的动态密码，用户除了输入客户号、静态密码外，还要输入这个动态密码才能登录网上银行。这样，除了静态密码认证外，用户又多了一重安全保障，而且，由于这个动态密码是每次不同，每个密码只能使用一次，黑客即使窃取了本次的动态密码，也无法再次使用，而且每个动态密码之间毫无规律的，黑客不能猜测出用户的下一个动态密码。这种方式的缺点在于需要依赖于移动通信网络，当移动通信网络出现故障或者手机接收短信故障时，导致用户无法实时接收短信，而动态密码通常会在很短的时间内就失效，影响了用户的登录。

动态密码认证的另一种方式是采用预先发放的密码口令卡进行认证，如，目前中国工商银行推出网上银行客户使用的电子银行密码口令卡，网上银行客户可申请领取该卡。每张网上银行密码口令卡上都以矩阵形式印有若干字符串。客户通过网上银行进行对外转账、缴费等支付交易时，网上银行系统会随机给出一组口令卡坐标。客户按坐标在卡片上找到正确的口令组合并输入网上银行系统后，才能进行相关交易。密码口令卡的有效使用次数是1000次，超过使用次数时需要申领新卡。这种方式的缺点在于：采用实物密码口令卡，不易保存，容易丢失；使用前，需要客户申请，并去专门场所领取，领用不便；更换时也必须重新申领新的密码口令卡，更换卡不便；有效使用次数较多，造成有效时间长，多数密码在有效期内会被重复使用，容易失密。

总之，现有的密码认证方法都存在一些缺陷，导致密码不能及时接收、不易保存、使用不便和容易失密的问题。

发明内容

本发明所要解决的技术问题是提供一种更方便更安全的动态密码认证的方法和系统，以解决现有技术中密码不能及时接收、不易保存、使用不便和容易失密的问题。

为了解决上述技术问题，本发明公开了一种动态密码认证的方法，包括下列步骤：

预置用户帐号和用户移动终端设备号码的对应关系；

根据用户的请求，随机生成字符串，并发送给用户移动终端设备；

根据用户的认证申请随机生成密码提示信息，并把所述密码提示信息发送给客户端，所述密码提示信息规定了所述字符串中特定位的字符组合为本次认证申请的动态密码；

用户根据所述移动终端设备收到的字符串和所述客户端收到的密码提示信息输入动态密码；

判断用户输入的动态密码的有效性，如果有效，则认证通过。

优选的，在生成密码提示信息之前，所述方法还包括：

判断该用户帐号对应的所述随机生成的字符串是否位于有效期内；

如果是，则不再生成新的随机字符串。

优选的，所述字符串是由数字、字母、符号或者三者混合组成的。

优选的，所述密码提示信息中所规定的特定位是所述字符串中连续的或者是不连续的位。

优选的，所述认证申请还包括静态密码认证申请，对所述静态密码进行认证，如果认证通过，则继续进行动态密码的认证，否则，认证失败。

本发明还提供了一种动态密码认证的服务端系统，通过移动通信网络和用户移动终端设备连接，并通过互联网络和用户客户端相连，包括以下部件：

第一存储单元，用于存储用户帐号和用户移动终端号码的对应关系；

字符串生成单元，用于随机生成字符串；