[发明专利]一种用于B/S网络结构的一次性口令认证系统和认证方法

说明书

(一)技术领域

本发明涉及互联网安全身份认证技术，具体涉及一种用于B/S(浏览器/服务器)网络结构的一次性口令认证系统和认证方法。属于计算机和信息安全技术领域。

(二)背景技术

身份认证是网络应用系统中的第一道防线，它可以限制非法用户访问网络资源。但通常使用的静态口令有许多固有的弱点，如易于猜测或窃听，易受重放攻击等攻击手段的影响，从而给系统的安全性埋下隐患。针对静态口令的缺点，OTP(One Time Password-一次性口令)认证技术使得每次认证使用不同口令，即使口令被盗，攻击者也无法重复使用。OTP认证已被越来越广泛的应用于电子商务，网络游戏，网上银行等任何一种需要进行身份认证的网络平台上。

现有的各种OTP认证技术及方案大多基于C/S(客户端/服务器)模式的网络架构，用户使用时需要安装相应插件或客户端软件，这种方式一方面使得用户使用不方便，在没有安装相应软件的终端上则无法使用，另一方面限制了系统的可移植性，也增加了系统部署、管理和维护的复杂程度。其次，现有方案没有考虑管理系统的设计和部署。使用过程中，系统初始化、用户使用问题的解决，用户的添加与删除，令牌重同步操作都需要管理系统的参与和统一管理。同时，现有方案的OTP产生方式多是基于时间的，一方面，对于时钟精度要求很高，同步过程难以把握；另一方面，硬件令牌为了满足每隔一段时间产生一个新的OTP的需求，必须保证实时开机状态，耗电量较大。

本发明考虑到各种应用场景，在保证系统可靠性，灵活性的基础上提供完整的OTP认证系统解决方案，主要特点有：

1.客户认证和管理员操作均面向B/S网络架构，通过浏览器页面即可完成，使用灵活，应用广泛，可移植性强，便于部署和维护。

2.OTP产生方式采用基于事件的方法，也就是每当用户开机触发按键时，硬件令牌才产生新OTP，平时处于关机状态。

3.硬件令牌通过指纹识别技术与用户唯一绑定，防止令牌丢失后被他人冒用。

4.系统结构完整，包含客户认证和系统管理两个方面的配套方案。

5.系统可以部署在多个服务提供商同时使用的场景中，认证服务器可由第三方维护，也可由服务提供商各自维护，使得部署和维护灵活简便。

(三)发明内容：

1、目的：为了弥补现有OTP认证系统的不足，并提供一套更为完整可用的解决方案，本发明提供了一种用于B/S网络结构的一次性口令认证系统和认证方法，它在保证用户身份认证可靠性的同时，具有便于维护及管理，使用方便，可移植，便于部署等优点。

2、技术方案：所述技术方案如下：

(1)本发明一种用于B/S网络结构的一次性口令认证系统，该系统包括硬件令牌、初始化工具、客户系统、管理系统和认证服务器。它们相互之间的关系是：初始化工具对刚出厂的硬件令牌完成初始化流程；硬件令牌为用户提供认证所需的OTP；用户通过客户系统输入OTP并由客户系统将该OTP按照规定数据包格式发送至认证服务器；认证服务器完成认证过程决定是否认证成功并将认证结果返回至客户系统，最终反馈给用户；管理系统在管理员的参与下完成系统管理和维护，按照规定数据包格式向认证服务器和客户端服务器发送管理操作请求，认证服务器和客户端服务器接收请求，完成管理操作，并向管理系统返回操作结果，具体如图1所示。

所述硬件令牌包括：存储模块、OTP生成模块、指纹模块、显示模块和触发模块。各部分实现方式和相互关系是：

该存储模块，用于存储OTP生成要素、触发次数、用户指纹信息。其为硬件设备，具体为微控制器S3F8285的内置flash存储器。

该OTP生成模块，用于通过存储模块中的OTP生成要素和触发次数计算生成OTP。具体的，生成OTP的算法采用HMAC-SHA1算法，由运行在微控制器S3F8285中的软件程序完成。

该指纹模块，用于在用户获得硬件令牌是初始化指纹并将获得的指纹信息存储在存储模块中，以及在硬件令牌开启时获取用户指纹信息，并验证其是否匹配。其是一种硬件设备，具体的，可为任意一种指纹采集设备。

该显示模块，用于向用户显示OTP生成模块计算所得的OTP。其为硬件设备，具体为东莞市嘉田公司设计定制的专用液晶显示屏。

该触发模块，通过此模块触发OTP生成模块生成OTP。其为硬件设备，具体为东莞市嘉田公司开模设计定制的按键。

所述初始化工具包括：初始化软件和令牌烧写器。各部分实现方式和相互关系是：