[发明专利]身份认证方法、一次性密码电子装置和系统

说明书

技术领域

本发明涉及信息安全认证技术领域，特别涉及一种基于一次性密码进行身份认证的方法、一次性密码电子装置和系统。

背景技术

目前，一次性密码（One-time Password，简写OTP）技术被广泛应用在银行、证券、网游、网上购物、电子政务、大企业内部等场合，结合原来的静态密码，为用户的财产安全提供了更坚实的防护。在两种密码同时保护下，只有一个人既拿到你的一次性密码令牌或者口令卡，又知道你的静态密码，才有可能攻破你的帐户。一次性密码技术可以根据实现方式分成同步式和异步式。当前市场上我们用到的同步式令牌设备（Synchronous Token）是在令牌设备内保存有和验证服务器相同的一个基准值，如精确到微秒的时间，或用管理员设置的一个可变数值。基于时间同步的令牌设备称为时间同步令牌(Clock-based Token)，而基于可变数值计算的则称为计数同步令牌(Counter-based Token)。它们生成一次性密码的方式大致相同，都是利用改令牌独有的密钥，加上令牌设备与服务器同步的变量作为两个参数，生成一个用于登录系统的一次性密码。而验证服务器端则会使用相同的变量及算法处理保存在数据库中的用户密码，如果用户提供的一次性密码和验证服务器计算的相同，就可以证明该用户是系统的合法用户。采用异步式的有异步式令牌设备（Asynchronous Token）、纸质的口令卡。由于同步式令牌设备需要和验证服务器相一致的时间或数值变量，所以同步式令牌设备的部署和维护并不轻松。异步式令牌设备则没有这个缺点，它不需要验证服务器维护和令牌设备之间的时间或变量同步。异步式令牌设备采取挑战-回答（Challenge-Response）的一次性密码生成方式，在用户提出登录请求后，验证服务器将根据用户输入的密码返回一个数字，用户再将这个数字输入到令牌设备中进行计算后，把计算结果返回给验证服务器，验证服务器也会进行相同的计算步骤并将结果和用户的输入进行比较，如两个值相同，则验证通过，用户可以登入系统。采用异步式的纸质的口令卡，是根据服务器提供的坐标值在该口令卡上找到相应的密码并返回给服务器，服务器根据返回值判断用户是否合法。从上可以看出，采用同步式的系统，对技术人员的技术水平、运行环境的软硬件要求，都是非常高的，甚至有些公司达不到这些要求，只好采用第三方公司的认证系统。更进一步地，随着系统的建设扩大，系统的不安全性、不稳定性、成本的不可控性将日益突出。而采用异步式的系统，存在着采用挑战-回答的话非常繁琐，容易出错，并且需要输入挑战信息而要求提供很多按键会使令牌体积很大；采用口令卡的话发现查找困难，并且纸张上密码数量总是太少，会重复使用而导致不安全。除了一次性密码技术，顺便说一下使用广泛的USBKEY设备存在的问题：需要安装驱动程序和相关用户端组件才能使用，存在兼容性、易用性问题，且目前只能适用于计算机终端，无法在手机、智能终端、电视等渠道使用；同时，此种方式由于上层应用和底层签名加密之间有诸多环节，仍存在篡改数据的风险和被远程控制，造成恶意利用用户证书的风险。因此怎样方便、安全、低成本地使用一次性密码就会显得非常重要。

发明内容

本发明实施例提供基于一次性密码的身份认证方法、一次性密码电子装置和系统，使用了异步式一次性密码技术，大量的一次性密码保存在一次性密码电子装置内，该一次性密码电子装置被触发一下就输出一个新密码，不需要挑战-回答，方便使用，用以解决以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供以下的技术方案。

1.一种身份认证方法，包括步骤如下：

步骤S110：一次性密码电子装置根据用户触发按顺序在其上预存的一次性密码列表上找到第一个状态为第一状态的一次性密码，并输出该一次性密码且改其状态为第二状态，该一次性密码将被输入到身份认证中心，一同被输入到身份认证中心的还有该一次性密码电子装置的唯一标识或用户帐户标识，前面所述的预存的一次性密码列表包含多个一次性密码，每个一次性密码由数字、字母、符号组成，在列表内唯一，对应的初始状态都为第一状态，前面所述的用户帐户标识是用来找到对应的唯一的用户帐户，其包括用户帐号、用户名称、身份证号、电话号码和电子邮箱中的至少一种，还可以包括用户帐户登录密码；