[发明专利]一种支持离线环境的OTP认证方法

说明书

本发明涉及一种支持离线环境的OTP认证方法，本发明基于内网认证客户端、内网认证服务端、手机APP和云端认证服务器组成的系统，采用手机OTP APP作为桥梁，实现内部网络和外部互联网之间通信数据的交互，将内网认证客户端的认证请求、外网云端的认证服务器OTP动态口令的认证信息在相互隔离的不同网络中的传递；基于手机移动APP实现OTP的令牌功能，实现了离线环境中从客户端认证请求、认证服务器响应全过程认证信息的传递，克服了离线网络中无法进行OTP认证的不足，为工控领域离线网络环境中的设备和系统提供增强认证的安全性。

技术领域

本发明涉及软硬件授权有效性验证技术领域，具体涉及一种支持离线环境的OTP认证方法。

背景技术

对软硬件知识产权采用技术手段进行保护，是保障研发人员权益和创造性成果的重要方式。主流的保护方式通过序列号认证、证书认证、硬件认证等不同的授权认证方式实现，这些方式通常需要到服务器上进行联网验证，由于工控领域的许多设备和系统大量部署在与互联网隔离的企业内部网络中，无法使用联网验证的方式进行授权认证。

OTP(One Time Password，一次性密码)，又称动态密码或单次有效密码，是指在设备和信息系统上只能使用一次的密码，根据专门算法、每隔一定时间(一般取值在30秒到两分钟之间)生成一个不可预测的随机数字组合，有效期为只有一次登录会话或交易。OTP一次性密码已在金融、电信等领域被广泛应用，有效地保护了用户的安全。相对于传统静态密码，OTP的突出优点是不容易受到重放攻击(replay attack)；同时，防止了多个使用相同系统的用户，因其中一个被攻击而造成所有系统用户都变得脆弱；OTP还可以抵御攻击模拟，从而进一步减少攻击面。但使用OTP的不利之处是，OTP作为传统密码增强替代方式，它们需要额外的技术支持，如一些实现纳入了双因素认证，确保单次有效密码需要访问特定的信息，如设备PIN、文字短信、智能手机验证码、或者访问特定硬件等。OTP的使用场景要求良好的网络环境，在有效期内稳定地接受到认证信息。

探索在工控领域离线网络环境下，如何使用OTP一次性密码认证方式对设备和系统进行版权和认证保护，具有重要的应用价值。

发明内容本发明提出了一种支持离线环境的OTP认证方法，采用手机OTP APP作为桥梁，实现内部网络和外部互联网之间通信数据的交互，将内网认证客户端的认证请求、外网云端的认证服务器OTP动态口令的认证信息在相互隔离的不同网络中的传递；基于手机移动APP实现OTP的令牌功能，实现了离线环境中从客户端认证请求、认证服务器响应全过程认证信息的传递，克服了离线网络中无法进行OTP认证的不足，为工控领域离线网络环境中的设备和系统提供增强认证的安全性。

支持离线环境的OTP认证系统包括内网认证客户端、内网认证服务端、手机APP、云端认证服务器。基于上述OTP认证系统，有如下种支持离线环境的OTP认证方法，具体包括如下步骤：

步骤1、内部网络用户登录时，由部署在内网的认证客户端生成认证请求；

内部网络用户登录时，由部署在内网的认证客户端生成认证请求。工控领域的设备和系统，出于安全考虑，大量部署在与互联网环境相隔离的企业内部网络中。为了使用互联网环境中的OTP增强安全认证功能，需要在内网中部署认证客户端和服务端，在需要认证的环节，如系统登录时，由认证客户端生成认证请求。

步骤2、认证请求信息以QR(Quick Response)二维码方式显示在认证客户端界面屏幕上；客户端生成的认证请求信息包括本机的硬件编码SysID、本机当前时间戳Timestamp等信息生成认证请求参数。认证请求信息组成：AuthPara＝SysID||Timestamp。

步骤3、使用手机APP扫描认证客户端屏幕上的二维码，解析请求数据并上传请求信息到云端认证服务器；

上传的请求信息包括手机APP用户UserID和认证请求信息，即请求信息为：AuthPara2＝SysID||Timestamp||UserID。