[发明专利]基于CPK的动态口令生成和验证方法及装置

说明书

技术领域

本发明涉及以鉴别（Authentication）、授权（Authorization）和管理（Administration）为核心的AAA领域，具体来说，涉及一种基于组合公钥（Combined Public Key，简称为CPK）的动态口令生成和验证方法及装置。

背景技术

OTP（全称是one time password）也称动态口令，是一种安全便捷的防盗技术，该技术是根据专门的算法生成的一个不可预测的随机数字组合，一个密码只能使用一次。采用动态口令就无需定期修改密码，安全省心，对管理庞大的用户非常的方便，目前被广泛应用在网银、网游、电子商务、企业等应用领域，例如，在网上交易中使用配套的动态口令可以有效的保护登陆和交易安全。

目前，动态口令普遍是基于动态口令令牌的形式存在，动态口令令牌是一种可以根据时间同步动态口令的装置，其大小类似于U盘的大小，存在着体积小、易携带的特点，受到广大用户的喜爱，但是，现有的动态口令令牌是不具备PIN保护功能的，因此，当动态口令令牌丢失后，动态口令令牌生成的动态口令很容易被人窃取，从而就有可能导致非法登陆的危险，存在着一定的安全隐患。

针对现有相关技术中基于动态口令令牌的验证方案存在安全隐患的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中基于动态口令令牌的验证方案存在安全隐患的问题，本发明提出一种基于CPK的动态口令生成和验证方法及装置，能够避免动态口令在丢失后，出现非法登陆的情况，提高了动态口令验证的安全性。

本发明的技术方案是这样实现的：

根据本发明的一个方面，提供了一种基于CPK的动态口令生成方法。

该动态口令生成方法包括：

接收服务器发送的服务器标识和随机数，其中，随机数为服务器根据用户发送的动态口令生成请求生成的随机数；

根据服务器标识，确定与服务器标识对应的服务器的公钥；

根据服务器的公钥和预先配置的用户的私钥，生成第一会话密钥；

利用第一会话密钥，对随机数进行加密，生成动态口令。

此外，该动态口令生成方法还包括：预先向服务器发送动态口令生成请求，促使服务器根据动态口令生成请求生成随机数。

另外，该动态口令生成方法还包括：预先配置用户的私钥，其中，在预先配置用户的私钥时，可根据密钥管理系统中的私钥矩阵和组合公钥算法，将用户对应的名称作为用户标识，生成用户的私钥。

此外，该动态口令生成方法还包括：将用户的私钥存储至预先配置的载体中，并将用户的私钥与载体进行绑定，促使用户的私钥与载体不可分离。

其中，上述载体可以为TransFLash卡。

根据本发明的另一方面，提供了一种基于CPK的动态口令生成装置。

该动态口令生成装置包括：

第一接收模块，用于接收服务器发送的服务器标识和随机数，其中，随机数为服务器根据用户发送的动态口令生成请求生成的随机数；

第一公钥确定模块，用于根据服务器标识，确定与服务标识对应的服务器的公钥；

第一密钥生成模块，用于根据服务器的公钥和预先配置的用户的私钥，生成第一会话密钥；

第一口令生成模块，用于利用第一会话密钥，对随机数进行加密，生成动态口令。

此外，该动态口令生成装置还包括请求模块，用于预先向服务器发送动态口令生成请求，促使服务器根据动态口令生成请求生成随机数。

另外，该动态口令生成装置还包括配置模块，用于预先配置用户的私钥，其中在预先配置用户的私钥时，可根据密钥管理系统中的私钥矩阵和组合公钥算法，将用户对应的名称作为用户标识，生成用户的私钥。

此外，该动态口令生成装置还包括绑定模块，用于将用户的私钥存储至预先配置的载体中，并将用户的私钥与载体进行绑定，促使用户的私钥与载体不可分离。

其中，上述载体可以为TransFLash卡。

根据本发明的又一方面，提供了一种基于CPK的动态口令验证方法。

该动态口令验证方法包括：

接收用户发送的用户标识和动态口令；

根据用户标识，确定用户的公钥；

根据用户的公钥和与服务器标识对应的服务器的私钥，生成第二会话密钥；

利用第二会话密钥，对随机数进行加密，生成验证口令；

根据验证口令，对接收的动态口令进行验证，并将验证的结果返回给用户。