[发明专利]增强型一次性动态口令的认证方法及系统

说明书

技术领域

本发明涉及信息安全技术，尤其涉及一种动态口令实现方法及系统。

背景技术

随着计算机在各行各业的广泛应用，计算机对人们的生活和工作变得越来越重要，如，在个人电脑上或手机上完成水电煤缴费、购物等在线支付的普及，然而其在改变和提高的生产效率的同时，也给人们留下了信息安全的隐患。各种各样的软、硬件加密技术及机制应运而生，以保障数据在线传输、处理和贮存过程中的安全，如，为了保障在线支付过程中的安全，各大银行纷纷推出了电子密码器产品，用户首先从电子密码器获得一组动态口令，再将获得的动态口令提交至银行认证后台，进而完成交易真伪的认证，由于动态口令的登陆方式与传统口令的登陆方式几乎无异，因而这种方式在网上银行、手机银行、电话银行等多种交易渠道得到了广泛的应用。

为了进一步保障交易过程中的安全，目前较为常用的是使用实体硬件作为动态口令的载体，其内置电池、芯片和显示屏，产生并显示动态密码，但是这种动态令牌有一定的体积和厚度，长时间携带会给用户带来不便；当然，也有体积和厚度较小的令牌形式，如卡片式令牌，这种令牌虽然携带方便，但按键手感普遍较差，用户输入也不方便，同时成本也比较高；另外，人们也尝试在智能手机上开发软件令牌产品，但是其安全性无法保证，这种软件令牌只能用于安全性要求不是很高的场所。

无论是实体硬件动态令牌还是软件动态令牌，都有一个共同的弱点，其所有令牌的算法都相同且公开的，只是通过密钥来实现不同用户的身份认证过程，一旦密钥被非法获得，不法分子即可任意获取动态密码，动态令牌将不再安全，因而一种更能保障用户安全的动态令牌的实现方法成为一种迫切地需求。

发明内容

针对上述问题，本发明提供了一种全新的动态口令认证方法及系统，在客户端中存放与用户信息关联的唯一客户端算法代替了传统的密钥文件，大大增强了动态口令的安全性能。

本发明提供的技术方案如下：

一种增强型一次性动态口令的认证方法，具体包括以下步骤：

S1收集用户信息，形成与所述用户信息关联的客户端算法；

S2客户端结合第一环境信息、所述用户信息及所述客户端算法，生成第一动态口令；

S3发送所述第一动态口令至认证服务器；

S4所述认证服务器结合所述用户信息及第二环境信息，生成第二动态口令；

S5比较所述第一动态口令和所述第二动态口令，完成动态口令的认证。

优选地，所述用户信息包括用户名。

优选地，所述第一环境信息和所述第二环境信息包括时间信息。

优选地，在步骤S1中，收集用户信息，形成与所述用户信息关联的客户端算法，具体包括：

S11系统收集用户信息，同时自动生成密钥参数；

S12关联所述用户信息与所述密钥参数；

S13结合所述密钥参数生成第一用户编制参数；

S14结合所述第一用户编制参数形成客户端算法。

优选地，在步骤S4中，所述认证服务器结合所述用户信息及第二环境信息，生成第二动态口令，具体包括：

S41认证服务器结合所述用户信息，获取与所述用户信息关联的所述密钥参数；

S42结合所述密钥参数生成第二用户编制参数；

S43获取第二环境信息中的用户信息，生成密钥种子参数；

S44结合所述第二用户编制参数与所述密钥种子参数，生成所述第二动态口令。

优选地，所述密钥参数和所述密钥种子参数包括8个字节。

一种增强型一次性动态动态口令认证系统，包括客户端，认证服务器，还包括随机数字发生装置，与所述客户端连接，用于生成与用户信息关联的密钥参数；

转换装置，与所述随机数字发生装置连接，用于将所述密钥参数转换成用户编制参数；

所述客户端中包括结合所述用户信息唯一确定的客户端算法，用于生成第一动态口令；

所述认证服务器生成第二动态口令，同时比对所述第一动态口令与所述第二动态口令。

本发明提供了一种增强型一次性动态口令的认证方法与系统，有益效果在于：

1.与传统的动态口令认证系统不同，本发明的客户端中不存放密钥文件，而是存放与用户信息唯一对应的客户端算法函数，解决了客户端密钥安全存储问题，从而大大提高了本发明中认证系统的安全。

2.本发明中的密钥文件在认证服务器中运行，而不出现在客户端中，解决了传统的认证系统中密钥文件传输过程中存在的安全问题。