[发明专利]基于空中下载的动态口令身份认证系统

说明书

技术领域

本发明涉及安全认证技术，特别是指一种基于空中下载的动态口令身份认证系统。

背景技术

计算机网络中，最简单、最常见的身份认证方式是采用用户名和口令，通过对用户名和口令的匹配来确认用户的合法性，实现对用户的访问控制。可是，通过用户名和口令进行身份认证的方式，存在用户名、口令泄露的风险，给用户和应用系统造成了巨大的安全隐患。因此，动态口令身份认证越来越受到青睐。

目前，动态口令身份认证普遍应用在互联网、企业内网、虚拟专网、银行、证券、电子商务、电子政务、网络游戏中，已有成千上万的用户在使用着各式各样的口令令牌，其中包括软件令牌、电子令牌、智能身份识别卡令牌、USB令牌、动态口令点卡等。但是，这些令牌在使用过程中的安全性和便捷性都有待提高，例如：电子令牌由于其物理特性，造成其成本高、易损坏、易丢失、携带不便，在用户拥有多个令牌的情况下使用和携带更是不方便；软件令牌需要计算机或者网络承载，不方便使用和携带，并且由于没有脱离计算机网络，更易泄漏或遭到攻击，安全性较低；动态口令点卡是一种纸质口令卡(俗称刮刮卡)，这种卡存在有效期和使用次数的限制，发行量大消耗了很多的资源，而且易损坏、易丢失。现有令牌的诸多缺点，不仅对用户的使用造成不便，而且成本和资源消耗代价高昂，更重要的是导致令牌的推广使用难度增大。因此，提高身份认证的安全性和认证令牌使用的便捷性，是目前动态口令身份认证技术推广普及所急需解决的问题。

发明内容

有鉴于此，本发明提出一种基于空中下载的动态口令身份认证系统，更安全便捷的对用户的身份进行认证。

基于上述目的，本发明提出一种动态口令身份认证方法，包括：

在进行身份认证时，认证代理向认证服务器提出动态口令身份认证请求；

认证服务器生成挑战码，传送给认证代理；认证服务器调用密码算法生成动态口令A；

认证代理将挑战码发送给客户终端；客户终端显示挑战码，并要求用户输入动态口令进行认证；

用户在令牌上输入挑战码，调用同样的密码算法生成动态口令B；

用户将动态口令B输入到客户终端，并由认证代理传送给认证服务器；

认证服务器将动态口令B与动态口令A进行对比，一致则用户身份认证成功，否则用户身份认证失败。

所述的认证代理是应用服务器端的安全软件，它要求用户在访问应用服务器资源时，需通过动态口令身份认证。

所述的动态口令身份认证采用的是挑战/应答式的非同步动态口令认证机制。

所述的挑战/应答式的非同步动态口令认证机制的变动因子是一串随机数字序列，即挑战码。

所述的动态口令的计算需要结合挑战码、个人化密钥和其他个人信息。

所述的个人化密钥为一串随机数字序列，由认证服务器产生并与令牌唯一对应；由认证服务器加密存储于数据库中，并通过打印数字信封发放给用户；由用户在初次使用或更新时输入到令牌中。

所述的个人信息包括用户的账号、手机号和令牌的序列号。

所述的令牌为用户的身份识别卡。

所述的身份识别卡可为第二代无线通信网络中的SIM卡，第三代无线通信网络中的USIM卡，JAVA卡或者未来新型大容量存储卡。

所述的令牌可包含多个，每个令牌可包含一个或多个子令牌，每个子令牌对应一个用户账号。

所述的令牌在产生动态口令之前还包括：提示用户输入PIN码，PIN正确则启动令牌；提示输入挑战码，验证挑战码的合法性。

基于上述目的，本发明还提供了一种动态口令身份认证系统，包括：

身份识别卡令牌为用户持有的动态口令生成设备，用来生成动态口令；

认证代理，应用服务器端动态口令身份认证的安全软件，用来控制应用服务器终端与认证服务器之间数据传输，并且管理用户令牌的相关信息；

认证服务器，通过网络与各应用服务器相连接，集中控制所有用户对应用服务器资源的访问权限，并提供认证、授权和审计等服务。

所述的身份识别卡令牌使用手机作为令牌的输入输出设备，并通过应用程序空中下载方式将令牌程序推送(PUSH)到用户的身份识别卡上，从而形成认证令牌。

从上面所述可以看出，本发明与市场上已有的系统相比，最大的优势在于：一方面，无需用户额外增加新的设备，方便用户使用和产品推广；另一方面，基于密码的设计使得产品安全性高于已有的产品。

附图说明

图1为本发明实施例基于空中下载的动态口令身份认证系统的结构示意图；