[发明专利]基于动态口令的认证方法、系统和装置

说明书

技术领域

本发明涉及信息安全技术领域，特别涉及基于动态口令的认证方法、系统和装置。

背景技术

近年来，随着互联网以及金融信息化的快速发展，网上银行以其便利、高效等特点得到了用户和银行业界的普遍推崇。为了确保信息的安全性，通常需要对用户进行认证，认证方式包括：基于静态口令的认证方式和基于动态口令的认证方式。其中，基于静态口令的认证方式由于口令固定不变，安全性较差，因此使用的较少，更多的是使用基于动态口令的认证方式。

动态口令又称为一次性口令(OTP，One Time Password)，根据生成方式的不同，可将动态口令进一步分为基于时间的动态口令和基于挑战-应答的动态口令。

1)基于时间的动态口令

令牌(或称为动态口令装置)和认证服务器在时间上保持同步，并且保存有相同的密钥种子；每隔一段时间，比如60秒，令牌和认证服务器即利用所述密钥种子采用相同的算法分别生成一个动态口令；当需要对用户进行认证时，用户通过令牌的显示屏获知当前的动态口令后，将该动态口令输入到交易终端中，交易终端将该动态口令发送(在实际应用中，还可能要发送用户名和静态密码等信息)给认证服务器进行认证。

2)基于挑战-应答的动态口令

令牌和认证服务器保存有相同的密钥种子，当需要对用户进行认证时，认证服务器向用户发送一个挑战码，用户获得该挑战码后，将其输入到令牌中；令牌利用密钥种子和挑战码生成动态口令(即应答码)，并利用显示屏显示给用户；用户获知动态口令后，将其输入到交易终端中，交易终端将动态口令发送给认证服务器进行认证。

但是，上述两种方式在实际应用中均会存在一定的问题，如：对于方式1)，动态口令并不是使用一次即失效，而是在一段时间内均有效，这样，如果动态口令被黑客截获，黑客可利用其与认证服务器进行交互，从而降低了安全性；对于方式2)，用户需要向令牌中输入挑战码，而为了方便用户携带，令牌的尺寸通常都比较小，因此会导致用户输入挑战码时非常不方便。

发明内容

有鉴于此，本发明的主要目的在于提供一种基于动态口令的认证方法，能够提高安全性，且能够方便用户使用。

本发明的另一目的在于提供一种基于动态口令的认证系统，能够提高安全性，且能够方便用户使用。

本发明的又一目的在于提供一种认证服务器和一种令牌，能够提高安全性，且能够方便用户使用。

为达到上述目的，本发明的技术方案是这样实现的：

一种基于动态口令的认证方法，包括：

A、令牌和认证服务器按照相同的生成方式、以相同的时间周期分别生成各时间窗口对应的基于时间的挑战码组；

B、当需要进行认证时，认证服务器向用户发送挑战码选择指示信息，根据挑战码选择指示信息选择出的挑战码为之前未使用过的挑战码；

当用户根据挑战码选择指示信息在令牌所显示的当前有效时间窗口对应的挑战码组中选定挑战码后，令牌根据用户选定的挑战码生成动态口令，并显示给用户；

认证服务器接收用户输入的动态口令，并对接收到的动态口令进行认证。

一种基于动态口令的认证系统，包括：

认证服务器和令牌，用于按照相同的生成方式、以相同的时间周期分别生成各时间窗口对应的基于时间的挑战码组；

认证服务器进一步用于，当需要进行认证时，向用户发送挑战码选择指示信息，根据挑战码选择指示信息选择出的挑战码为之前未使用过的挑战码；并对接收到的用户输入的动态口令进行认证；

令牌进一步用于，当用户根据挑战码选择指示信息在自身所显示的当前有效时间窗口对应的挑战码组中选定挑战码后，根据用户选定的挑战码生成动态口令，并显示给用户。

一种认证服务器，包括：

第一处理模块，用于按照与令牌相同的生成方式、以相同的时间周期分别生成各时间窗口对应的基于时间的挑战码组；

第二处理模块，用于当需要进行认证时，向用户发送挑战码选择指示信息，根据挑战码选择指示信息选择出的挑战码为之前未使用过的挑战码；并对接收到的用户输入的动态口令进行认证。

一种令牌，包括：

第三处理模块，用于按照与认证服务器相同的生成方式、以相同的时间周期分别生成各时间窗口对应的基于时间的挑战码组；

第四处理模块，用于当用户根据接收自认证服务器的挑战码选择指示信息在自身所显示的当前有效时间窗口对应的挑战码组中选定挑战码后，根据用户选定的挑战码生成动态口令，并显示给用户；根据挑战码选择指示信息选择出的挑战码为之前未使用过的挑战码。