[发明专利]一种生成双因数动态口令的方法

说明书

技术领域

本发明涉及一种安全认证技术，具体涉及一种生成双因数动态口令的方法。

背景技术

随着Web应用的不断发展，网络在为人们的生活提供方便的同时，也带来了巨大的信息安全隐患，网络信息资源的安全访问控制显得愈来愈重要。双因素动态密码身份认证作为网络应用系统的安全屏障，通过一次性密码验证通信双方的真实身份，可以达到防止非法用户假冒合法用户窃取数据资料的目的。

动态密码是一种一次性密码，每个密码只能使用一次。动态密码可以随时间、次数和挑战信息而变化。动态密码具有良好的安全性，广泛适用于各类信息系统。

动态口令是一种安全便捷的帐号防盗技术，可以有效保护交易和登录的认证安全，采用动态口令就无需定期密码，安全省心，这是这项技术的一个额外价值，对企事业内部应用尤其有用。

动态令牌是一种密码设备，用来生成动态口令终端，动态口令技术可以有效防止盗号，免除频繁修改静态密码的烦恼。

但是目前VPN等设备或一些应用软件上无法通过修改程序代码来增加动态密码输入框，只能输入静态密码或动态密码，而仅仅输入静态密码或动态密码无法完成实际意义上的双因素认证。

就目前技术而言，若要实现实际意义上的双因素认证只有通过对设备进行整体改造，使其具有动态密码输入框和静态密码输入框，以此实现同时输入静态密码和动态密码进行双因素认证。但这就需要摒弃原有设备进行安装新的设备，其费用非常的高，不具备可行性。

为此，如何在现有设备的基础上实现真正的双因素认证是本领域亟需解决的问题。

发明内容

本发明针对现有现有VPN等设备或一些应用软件上无法实现真正意义上的双因素认证，而提供一种生成双因数动态口令的方法，其通过将动态密码与静态密码结合后产生的密码进行认证，以此实现真正的双因素认证，保证系统和应用的安全。

为了达到上述目的，本发明采用如下的技术方案：

一种生成双因数动态口令的方法，所述方法包括如下步骤：

(1)将静态密码输入令牌；

(2)令牌根据种子密钥以及时间信息进行动态密码运算，得到一动态密码；

(3)令牌再根据输入的静态密码和生成的动态密码信息进行加密运算得到一双因素动态密码。

在本发明的一实施例中，所述双因素动态密码采用HOTP算法，Hash函数采用SHA1，动态密码的位数为6位。

本发明得到的动态密码既与令牌自身相关，也与输入的静态密码相关，是一个包含了上述两个因素的密码。

本发明特别适合用于由于设备或应用限制，只能输入一个密码的情况，通过本发明能够在现有设备的基础上实现真正意义上的双因素认证，避免大规模的更换设备造成的资源和经济浪费。

同时，本发明的应用可以使得在不改变应用或设备的程序的前提下，通过引入可输入静态密码的动态令牌来实现双因素身份认证，做到了易用性和安全性的有效平衡，减少了信息安全隐患。

附图说明

以下结合附图和具体实施方式来进一步说明本发明。

图1为本发明的原理框图。

图2为本发明的实施流程图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

本发明采用一种动态密码与静态密码混合的技术，实现只有一个输入框的情况下可以同时结合静态密码和动态密码认证。

基于上述原理，本发明的实现过程如下(参见图1)：

首先，通过将静态密码输入令牌。

接着，令牌根据种子密钥以及时间因素进行动态密码运算，得到一种动态密码。

再者，令牌再根据输入的静态密码和生成的动态密码信息进行加密运算得到一双因素动态密码(及混合动态密码)。该动态密码既与令牌自身相关，也与输入的静态密码相关，是一个包含了上述两个因素的密码。

本发明中采用的动态令牌算法完全符合OATH规范，通过该算法形成的产品特性如下：

1、种子长度为160it；

2、动态口令位数为6位；

3、动态口令变化周期为1分钟；

动态密码TOTP函数如下：

TOTP＝HOTP(K，T)＝Truncate(HMAC-SHA-1(K，T))

K为种子密钥，在令牌中，K的长度为160bit；

T＝(当前Unix时间-T₀)/X，T的长度为64bit；

T₀为从1970年1月1日的Unix时间；