[发明专利]基于空中下载的动态口令身份认证系统

权利要求书

1.一种动态口令身份认证方法，其特征在于，包括：

在进行身份认证时，认证代理向认证服务器提出动态口令身份认证请求；

认证服务器生成挑战码，传送给认证代理；认证服务器调用密码算法生成动态口令A；

认证代理将挑战码发送给客户终端；客户终端显示挑战码，并要求用户输入动态口令进行认证；

用户在令牌上输入挑战码，调用同样的密码算法生成动态口令B；

用户将动态口令B输入到客户终端，并由认证代理传送给认证服务器；

认证服务器将动态口令B与动态口令A进行对比，一致则用户身份认证成功，否则用户身份认证失败。

2.如权利要求1所述的方法，其特征在于所述的认证代理是应用服务器端的安全软件，它要求用户在访问应用服务器资源时，需通过动态口令身份认证。

3.如权利要求2所述的方法，其特征在于所述的动态口令身份认证采用的是挑战/应答式的非同步动态口令认证机制。

4.如权利要求3所述的方法，其特征在于所述的挑战/应答式的非同步动态口令认证机制的变动因子是一串随机数字序列，即挑战码。

5.如权利要求1所述的方法，其特征在于所述的动态口令的计算需要结合挑战码、个人化密钥和其他个人信息。

6.如权利要求5所述的方法，其特征在于所述的个人化密钥为一串随机数字序列，由认证服务器产生并与令牌唯一对应；由认证服务器加密存储于数据库中，并通过打印数字信封发放给用户；由用户在初次使用或更新时输入到令牌中。

7.如权利要求5所述的方法，其特征在于所述的个人信息包括用户的账号、手机号和令牌的序列号。

8.如权利要求1所述的方法，其特征在于所述的令牌为用户的身份识别卡。

9.如权利要求8所述的方法，其特征在于所述的身份识别卡可为第二代无线通信网络中的SIM卡，第三代无线通信网络中的USIM卡，JAVA卡或者未来新型大容量存储卡。

10.如权利要求1所述的方法，其特征在于所述的令牌可包含多个，每个令牌可包含一个或多个子令牌，每个子令牌对应一个用户账号。

11.如权利要求8至10任意一项所述的方法，其特征在于所述的令牌在产生动态口令之前还包括：提示用户输入PIN码，PIN正确则启动令牌；提示输入挑战码，验证挑战码的合法性。

12.一种动态口令身份认证系统，其特征在于，包括：

身份识别卡令牌为用户持有的动态口令生成设备，用来生成动态口令；

认证代理，应用服务器端动态口令身份认证的安全软件，用来控制应用服务器终端与认证服务器之间数据传输，并且管理用户令牌的相关信息；

认证服务器，通过网络与各应用服务器相连接，集中控制所有用户对应用服务器资源的访问权限，并提供认证、授权和审计等服务。

13.如权利要求12所述的系统，其特征在于身份识别卡令牌使用手机作为令牌的输入输出设备，并通过应用程序空中下载方式将令牌程序推送(PUSH)到用户的身份识别卡上，从而形成认证令牌。