[发明专利]动态口令生成方法及装置、认证方法及系统

说明书

技术领域

本发明涉及信息安全领域，尤其一种动态口令生成方法及装置、认证方法及系统。

背景技术

近年来，伴随互联网以及金融信息化的快速发展，网上银行以其便利、高效等优点迅速得到用户和银行业界的普遍推崇。为了克服基于静态口令的认证方式的安全缺陷，很多网上银行采用了基于动态口令技术的认证方式。

动态口令技术又称为一次性口令(One Time Password，简称OTP)技术，根据密码生成方式的不同，可以分为基于时间的动态口令技术和基于挑战/应答的动态口令技术。

采用基于时间的动态口令技术时，动态口令生成装置与服务器在时间上同步，并且存储有相同的密钥种子；动态口令生成装置与服务器使用该密钥种子每隔一段时间(例如，60秒)生成一个动态口令；需要进行用户认证时，用户通过动态口令生成装置的显示屏获知当前的动态口令后，在交易终端输入该动态口令，交易终端将该动态口令以及用户名、静态密码等信息发送给服务器进行认证。

采用基于挑战/应答的动态口令技术时，动态口令生成装置与服务器存储有相同的密钥种子；需要进行用户认证时，服务器向用户的交易终端或手机发送一个挑战码，用户获得挑战码后，将挑战码输入动态口令生成装置；动态口令生成装置使用密钥种子和用户输入的挑战码生成应答码(即动态口令)，用户通过动态口令生成装置的显示屏获知当前的动态密码后，在交易终端输入该动态口令，交易终端将该动态口令以及用户名、静态密码等信息发送给服务器进行认证。

上述基于动态口令技术的身份验证方式很好地克服了静态密码验证中口令信息固定不变的缺陷，但也存在如下问题：

(1)采用基于时间的动态口令技术时，动态口令并不是使用一次即失效，而是在一定时间内有效，因此当该动态口令被截获后，黑客可以使用该动态口令与服务器进行交互；例如，用户使用基于时间的动态口令登录后，黑客可以随即使用截获的该动态口令进行后续的操作。即现有的采用基于时间的动态口令技术存在较大的安全隐患。

(2)采用基于挑战/应答的动态口令技术时，用户必须在动态口令生成装置中输入服务器发送的挑战码；为了便于用户携带，动态口令生成装置的尺寸通常较小，因此用户在动态口令生成装置中输入挑战码非常不便。

此外，现有的基于挑战/应答的动态口令技术还存在如下问题：

(I)由于挑战码为服务器随机产生，与交易信息和用户信息(可以统称为用户交易信息)无关，如果该挑战码太长，会造成用户输入不便，并容易造成输入错误，用户体验较差。

(II)，由于现有的基于挑战/应答的动态口令技术中挑战码为服务器随机产生，与交易信息和用户信息(可以统称为用户交易信息)无关，用户无法根据挑战码对交易进行确认。

发明内容

本发明所要解决的技术问题是，克服现有技术的不足，提供一种可无需用户手工输入挑战码的动态口令生成方法及装置、认证方法及系统。

为了解决上述问题，本发明提供一种认证方法，该方法包括：

交易系统生成并显示包含用户交易信息和/或随机信息的图形；

动态口令生成装置采集到交易系统显示的所述图形后，根据所述图形生成挑战码，并根据其生成的挑战码生成被认证方的动态口令；

交易系统接收到所述被认证方的动态口令后，通过将其与认证方的动态口令进行对比来完成认证；

其中，所述认证方的动态口令采用如下方式生成：所述交易系统根据所述用户交易信息和/或随机信息、或根据所述图形生成挑战码，并根据其生成的挑战码生成所述认证方的动态口令。

此外，所述图形中包含所述用户交易信息、或所述用户交易信息和随机信息；

所述动态口令生成装置采集到交易系统显示的所述图形后、根据所述图形生成挑战码前，还包含如下步骤：显示所述图形、或显示从所述图形中提取的用户交易信息供用户进行确认；并接收用户的确认指示。

此外，所述动态口令生成装置和交易系统采用如下方式根据所述图形生成挑战码：

从所述图形中提取所述用户交易信息和/或随机信息；

根据所述用户交易信息和/或随机信息生成所述挑战码。

此外，所述动态口令生成装置采用如下方式根据所述图形生成挑战码：从所述图形中提取所述用户交易信息和/或随机信息；根据所述用户交易信息和/或随机信息生成所述挑战码；

所述交易系统根据所述用户交易信息和/或随机信息生成所述挑战码。

此外，所述动态口令生成装置和交易系统采用如下方式根据所述图形生成挑战码：

从所述图形中提取所述用户交易信息和/或随机信息的编码信息；