[发明专利]一种安全认证方法、设备及系统

说明书

技术领域

本发明涉及信息安全技术领域，具体涉及一种安全认证方法、设备及系统。

背景技术

目前银行使用的USB KEY是一种较为安全的网上银行认证系统，但是仍然存在某些风险，例如黑客可以通过一定的方法，盗取银行用户的资金。

如招商银行使用的第一代USB KEY，在USB KEY上没有设置物理按键，而用户通常习惯于将USB KEY插在电脑上，如果用户的电脑被黑客劫持和控制，黑客就可以暗地里向USB KEY发送指令，完成签名授权工作。即使用户只在交易的时候插入USB KEY，如果用户电脑被木马劫持，用户USB KEY一旦插入电脑，黑客就可以在自己的电脑上远程监控，在交易结束时，黑客就可以利用USB KEY还未被用户拔下来的时间差，迅速登陆对方的网银，把钱转走。

如工商银行使用的以U盾为主的第二代USB KEY通过增加显示屏和确认键的方式解决了第一产品的安全问题，增加显示屏后，用户交易的金额会在U盾的显示屏上显示，用户在U盾上按下确认键后才能签名授权交易，从而减小黑客劫持控制电脑进行非法授权交易的可能性。

上述第二代USB KEY虽然能够在一定程度上减小第一代USB KEY被黑客劫持的可能性，但是第二代USB KEY还需要在电脑上安装驱动程序才能使用，所以黑客可以把目标转移到攻击驱动程序，一旦驱动程序被破解，黑客则可以通过电脑虚拟出确认信息，完成非法授权交易。

发明内容

针对上述缺陷，本发明实施例提供了一种安全认证方法、设备及系统，用于提高用户交易的安全性。

本发明第一方面提供一种安全认证方法，包括：

认证设备显示当前动态密码和交易信息，所述当前动态密码包含有生成时间和所述认证设备的硬件标识；

所述认证设备获取用户对所述交易信息的确认信息后，将所述当前动态密码和数字证书发送给银行服务器进行安全认证。

一个实施例中，所述认证设备根据当前时间和自身的硬件标识，按照与所述银行服务器协商的算法生成当前动态密码。

一个实施例中，所述认证设备设置有计数器，还包括：

在生成所述当前动态密码后通过所述计数器开始计数，当所述计数器的计数值为预定的有效时间值，且未获得用户对所述交易信息的确认信息时，则生成新的当前动态密码，替换所显示的当前动态密码。

一个实施例中，所述认证设备在首次使用时，将自身的硬件标识发送给所述银行服务器，与所述银行服务器建立对应关系，同时和所述银行服务器校对时间，使得自身时间和所述银行服务器的时间同步。

一个实施例中，所述认证设备与所述银行服务器协商动态密码的生成算法。

本发明第二方面提供一种安全认证方法，包括：

接收认证设备发送的当前动态密码和数字证书，所述当前动态密码包含有生成时间和所述认证设备的硬件标识；

判断所述数字证书是否有效，当确定所述数字证书有效时，根据所述当前动态密码包含的生成时间和所述认证设备的硬件标识生成认证动态密码；所述认证动态密码的生成算法和所述当前动态密码的生成算法相同；

判断所述认证动态密码与所述当前动态密码是否一致，若一致，则发送认证确认信息；若不一致，则发送认证失败信息。

一个实施例中，所述根据所述当前动态密码包含的生成时间和所述认证设备的硬件标识生成认证动态密码包括：

判断所述当前动态密码是否为有效密码，若是，则根据所述当前动态密码中的生成时间和当前时间，判断所述当前动态密码是否在有效认证期内，若是，则根据所述当前动态密码包含的生成时间和所述认证设备的硬件标识生成认证动态密码。

一个实施例中，接收所述认证设备发送的硬件标识，与所述认证设备建立对应关系，同时和所述认证设备校对时间，使得自身时间和所述认证设备的时间同步。

一个实施例中，与所述认证设备协商动态密码的生成算法；

进而所述根据所述生成时间和所述认证设备的硬件标识生成认证动态密码包括：

根据与所述认证设备协商的算法生成所述认证动态密码。

本发明第三方面提供一种认证设备，包括：

信息显示单元，用于显示当前动态密码和交易信息，所述当前动态密码包含有生成时间和所述认证设备的硬件标识；

认证信息发送单元，用于获取用户对所述交易信息的确认信息后，将所述当前动态密码和数字证书发送给银行服务器进行安全认证。

一个实施例中，当前动态密码生成单元，用于所述认证设备根据当前时间和自身的硬件标识，按照与所述银行服务器协商的算法生成当前动态密码。