專(zhuān)利名稱(chēng):一種動(dòng)態(tài)令牌雙向認(rèn)證方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于信息安全技術(shù)領(lǐng)域,特別涉及一種動(dòng)態(tài)令牌雙向認(rèn)證方法及系統(tǒng)。
背景技術(shù):
通過(guò)使用強(qiáng)雙因子口令(動(dòng)態(tài)口令和靜態(tài)口令)認(rèn)證技術(shù)的應(yīng)用來(lái)確認(rèn)用戶(hù)的 合法性是當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)利用口令實(shí)現(xiàn)身份識(shí)別的一種發(fā)展較快的安全技術(shù)。申請(qǐng)?zhí)枮?2006101164625,發(fā)明名稱(chēng)為“一種基于預(yù)運(yùn)算的密碼卡動(dòng)態(tài)認(rèn)證方法及系統(tǒng)”的中國(guó)專(zhuān)利 申請(qǐng)公開(kāi)了一種動(dòng)態(tài)令牌的認(rèn)證方法,該認(rèn)證方法通過(guò)密碼卡(也可稱(chēng)為令牌卡)予運(yùn)算產(chǎn) 生的動(dòng)態(tài)密碼,經(jīng)過(guò)認(rèn)證服務(wù)器的認(rèn)證來(lái)識(shí)別用戶(hù)的合法性。上述專(zhuān)利申請(qǐng)公開(kāi)的技術(shù)雖然可以實(shí)現(xiàn)對(duì)用戶(hù)身份的識(shí)別安全性,但是對(duì)于如何 防止各種欺詐者假冒銀行及交易網(wǎng)站,套用竊取用戶(hù)密碼及交易信用卡賬號(hào)和盜用用戶(hù)資 金的情況卻束手無(wú)策。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種動(dòng)態(tài)令牌雙向認(rèn)證方法及系統(tǒng),結(jié)合網(wǎng)站服務(wù)器綠屏證 書(shū)(EV SSL證書(shū))和各種防欺詐軟件的綜合運(yùn)用,以解決現(xiàn)有技術(shù)中使用動(dòng)態(tài)密碼進(jìn)行身份 認(rèn)證對(duì)于假冒網(wǎng)站問(wèn)題產(chǎn)生的漏洞。本發(fā)明的一種動(dòng)態(tài)令牌雙向認(rèn)證方法及系統(tǒng)是基于時(shí)間式動(dòng)態(tài)令牌雙向認(rèn)證模 式。這種模式有效的增強(qiáng)了認(rèn)證系統(tǒng)的抗抵賴(lài)性,填補(bǔ)了一直以來(lái)OTP單向認(rèn)證的缺失。該 認(rèn)證模式以令牌當(dāng)前時(shí)鐘的小時(shí)分鐘值作為同步碼連同令牌序列號(hào),在認(rèn)證服務(wù)器端調(diào)用 令牌種子文件,以令牌同步碼,來(lái)校準(zhǔn)令牌系統(tǒng)的時(shí)間偏差并以此來(lái)運(yùn)算出8位10進(jìn)制驗(yàn) 證用動(dòng)態(tài)碼,取高5位按照一定的格式進(jìn)行數(shù)據(jù)轉(zhuǎn)換,作為認(rèn)證服務(wù)器驗(yàn)證碼發(fā)送至用戶(hù) 端應(yīng)用表示層認(rèn)證網(wǎng)頁(yè)。供用戶(hù)進(jìn)行驗(yàn)證,以此來(lái)判定系統(tǒng)網(wǎng)站的真實(shí)性。本發(fā)明的技術(shù)系統(tǒng)由客戶(hù)端雙向認(rèn)證令牌,認(rèn)證代理和認(rèn)證服務(wù)器組成。技術(shù)流 程包括以下步驟
①客戶(hù)端雙向認(rèn)證令牌根據(jù)令牌當(dāng)前時(shí)鐘的小時(shí)分鐘值產(chǎn)生并顯示一同步碼和驗(yàn)證碼。②將所述客戶(hù)端雙向認(rèn)證令牌顯示的同步碼連同令牌序列號(hào)輸入系統(tǒng)應(yīng)用表示 層的認(rèn)證網(wǎng)頁(yè);發(fā)送認(rèn)證代理至認(rèn)證服務(wù)器。③所述認(rèn)證服務(wù)器根據(jù)用戶(hù)令牌序列號(hào)在數(shù)據(jù)庫(kù)中找到該用戶(hù)令牌種子文件進(jìn) 行運(yùn)算,并以所述同步碼校準(zhǔn)系統(tǒng)令牌時(shí)鐘偏差獲得一個(gè)8位十進(jìn)制碼,將所述的8位十進(jìn) 制動(dòng)態(tài)密碼取其高5位進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換后產(chǎn)生認(rèn)證服務(wù)器驗(yàn)證碼;④所述認(rèn)證服務(wù)器將所述的認(rèn)證服務(wù)器驗(yàn)證碼經(jīng)認(rèn)證代理發(fā)送并顯示于所述客戶(hù)端 應(yīng)用表示層認(rèn)證網(wǎng)頁(yè);用戶(hù)驗(yàn)證所述認(rèn)證服務(wù)器驗(yàn)證碼與客戶(hù)端令牌驗(yàn)證碼一致,則由用 戶(hù)輸入用戶(hù)名帳號(hào)/靜態(tài)密碼/客戶(hù)端令牌當(dāng)前產(chǎn)生的動(dòng)態(tài)密碼至客戶(hù)端應(yīng)用表示層的認(rèn) 證網(wǎng)頁(yè)經(jīng)由認(rèn)證代理發(fā)送轉(zhuǎn)交至所述認(rèn)證服務(wù)器;
⑤所述認(rèn)證服務(wù)器將客戶(hù)端令牌動(dòng)態(tài)密碼與所述認(rèn)證服務(wù)器內(nèi)聯(lián)動(dòng)用戶(hù)令牌序列號(hào) 運(yùn)算產(chǎn)生的認(rèn)證服務(wù)器當(dāng)前動(dòng)態(tài)密碼進(jìn)行比對(duì),并將比對(duì)結(jié)果發(fā)回至所述客戶(hù)端應(yīng)用表示 層認(rèn)證網(wǎng)頁(yè),客戶(hù)雙向認(rèn)證完成。認(rèn)證通過(guò)后即可進(jìn)行后續(xù)的安全交易操作。本發(fā)明采用增加同步碼和驗(yàn)證碼的雙向認(rèn)證步驟,這種模式可強(qiáng)化認(rèn)證系統(tǒng)對(duì)用 戶(hù)交易日志的審計(jì)追蹤管理。阻止了假冒網(wǎng)站對(duì)于動(dòng)態(tài)口令安全使用的威脅,可廣泛使用 于金融、證券、網(wǎng)絡(luò)游戲、電子商務(wù)、電信、國(guó)家電子政務(wù)、國(guó)防工業(yè)系統(tǒng)、軍隊(duì)等機(jī)要企事業(yè) 單位的網(wǎng)絡(luò)信息安全。
圖1是本發(fā)明一實(shí)施例中動(dòng)態(tài)令牌雙向認(rèn)證流程圖
圖2是本發(fā)明一實(shí)施例中動(dòng)態(tài)令牌雙向認(rèn)證流程方框示意圖 圖3是本發(fā)明一實(shí)施例中的客戶(hù)端雙向認(rèn)證令牌 圖4是本發(fā)明一實(shí)施例中的客戶(hù)端雙向認(rèn)證令牌
具體實(shí)施例方式以下結(jié)合附圖對(duì)于本發(fā)明的技術(shù)方案的實(shí)施作具體說(shuō)明。如圖1及圖2所示,一種動(dòng)態(tài)令牌雙向認(rèn)證方法及系統(tǒng)。其動(dòng)態(tài)令牌雙向認(rèn)證系 統(tǒng)由客戶(hù)端雙向認(rèn)證令牌;SY認(rèn)證代理及SY認(rèn)證服務(wù)器組成。其雙向認(rèn)證流程,包括以下 步驟
步驟S101,令牌切換至雙向認(rèn)證模式時(shí),令牌顯示2位同步碼和5位驗(yàn)證碼。步驟S102,在應(yīng)用表示層認(rèn)證網(wǎng)頁(yè)輸入令牌序列號(hào),同時(shí)輸入令牌顯示的同步碼, 以驗(yàn)證網(wǎng)站的真實(shí)性。步驟S103,將令牌序列號(hào)/同步碼發(fā)送至認(rèn)證代理,認(rèn)證代理發(fā)送至認(rèn)證服務(wù)器。步驟S104,對(duì)應(yīng)用戶(hù)令牌序列號(hào)/同步碼,認(rèn)證服務(wù)器在數(shù)據(jù)庫(kù)中找到該令牌的 種子文件進(jìn)行運(yùn)算,產(chǎn)生6-8位動(dòng)態(tài)密碼并轉(zhuǎn)換成5位供認(rèn)證用驗(yàn)證碼。步驟S105,認(rèn)證服務(wù)器將驗(yàn)證碼傳送至應(yīng)用表示層認(rèn)證網(wǎng)頁(yè),并予顯示。步驟S106,用戶(hù)核對(duì)令牌驗(yàn)證碼與認(rèn)證服務(wù)器返回的驗(yàn)證碼是否一致,確定無(wú)誤 后,令牌切換至?xí)r間制常顯模式,顯示6-8位動(dòng)態(tài)密碼。步驟S107,用戶(hù)在應(yīng)用表示層認(rèn)證網(wǎng)頁(yè)輸入用戶(hù)名帳號(hào)/靜態(tài)密碼/令牌當(dāng)前 6-8位動(dòng)態(tài)密碼。步驟S108,將用戶(hù)名帳號(hào)/靜態(tài)密碼/令牌當(dāng)前6-8位動(dòng)態(tài)密碼,發(fā)送認(rèn)證代理至 認(rèn)證服務(wù)器。步驟S109,認(rèn)證服務(wù)器將應(yīng)用表示層認(rèn)證網(wǎng)頁(yè)發(fā)送來(lái)的6-8位動(dòng)態(tài)密碼與認(rèn)證服 務(wù)器中聯(lián)動(dòng)用戶(hù)令牌序列號(hào)運(yùn)算產(chǎn)生的當(dāng)前6-8位動(dòng)態(tài)密碼進(jìn)行對(duì)比,判定認(rèn)證用戶(hù)的合法性。步驟S110,將比對(duì)結(jié)果發(fā)送至客戶(hù)端應(yīng)用表示層認(rèn)證網(wǎng)頁(yè),應(yīng)用表示層認(rèn)證網(wǎng)頁(yè) 接收并顯示對(duì)比結(jié)果,雙向認(rèn)證流程完成。如圖3所示,是本發(fā)明實(shí)施例中的客戶(hù)端雙向認(rèn)證令牌。雙向認(rèn)證令牌為常顯模式,6-8動(dòng)態(tài)密碼,每60秒更新一次。在客戶(hù)端雙向認(rèn)證令 牌的內(nèi)置芯片里,融入了與認(rèn)證服務(wù)器端相同的信任算法,每塊令牌都有一個(gè)唯一的序列 號(hào)與種子值。當(dāng)客戶(hù)端雙向認(rèn)證令牌切換至雙向認(rèn)證模式后,客戶(hù)端雙向認(rèn)證令牌根據(jù)當(dāng) 前令牌時(shí)間運(yùn)算并顯示出相應(yīng)的同步碼和驗(yàn)證碼。60秒鐘后,令牌會(huì)自動(dòng)切換到常顯模式, 顯示6-8位動(dòng)態(tài)密碼。長(zhǎng)按(5秒以上)令牌按鍵,令牌液晶屏幕會(huì)顯示用戶(hù)令牌序列號(hào)。SY客戶(hù)端雙向認(rèn)證令牌平時(shí)為常顯模式(時(shí)間機(jī)制6/8動(dòng)態(tài)口令,60秒變換一 次),見(jiàn)圖4,第一次按下令牌按鍵,令牌屏幕轉(zhuǎn)換為雙向認(rèn)證模式——這時(shí),令牌屏幕上會(huì) 顯示同步碼(如18)和驗(yàn)證碼(如UEras)見(jiàn)圖3令牌進(jìn)入雙向認(rèn)證模式60秒后會(huì)自動(dòng)切換 到常顯模式,長(zhǎng)按(5秒以上)令牌按鍵令牌液晶屏幕會(huì)顯示出令牌序列號(hào)。用戶(hù)根據(jù)提示 在客戶(hù)端應(yīng)用表示層認(rèn)證網(wǎng)頁(yè)輸入令牌顯示的同步碼(18)和令牌序列號(hào),客戶(hù)端認(rèn)證網(wǎng)頁(yè) 接收到信息后,會(huì)發(fā)送至、認(rèn)證代理。交認(rèn)證服務(wù)器認(rèn)定后反饋給客戶(hù)本次的銀行網(wǎng)站驗(yàn)證 碼。例如UEras(該驗(yàn)證碼是動(dòng)態(tài)的,每次都會(huì)不同)。在60秒內(nèi),即令牌的同步碼顯示時(shí)間 內(nèi),合法使用人接收到服務(wù)器反饋的驗(yàn)證碼后,立刻核對(duì)該銀行網(wǎng)站驗(yàn)證碼。正常情況下, 令牌驗(yàn)證碼(如UEras)應(yīng)當(dāng)與銀行網(wǎng)站反饋提示的驗(yàn)證碼相同。以此判定銀行網(wǎng)站的真實(shí) 性。驗(yàn)證碼確認(rèn)正確后,用戶(hù)可第二次按下按鍵,令牌進(jìn)入常顯模式見(jiàn)圖4,顯示當(dāng)前的動(dòng)態(tài) 密碼。用戶(hù)可按令牌顯示的動(dòng)態(tài)密碼輸入應(yīng)用表示層認(rèn)證網(wǎng)頁(yè),經(jīng)動(dòng)態(tài)驗(yàn)證通過(guò)后進(jìn)行安 全交易。這樣就達(dá)到了雙向認(rèn)證的目的。如驗(yàn)證碼不同,則不要在銀行交易系統(tǒng)認(rèn)證網(wǎng)頁(yè) 提交(輸入)令牌上顯示的動(dòng)態(tài)密碼。此時(shí)可判定您可能在同步碼輸入時(shí)有誤/網(wǎng)絡(luò)延誤也 有可能遭遇了假網(wǎng)站的攻擊。
權(quán)利要求
1.一種動(dòng)態(tài)令牌雙向認(rèn)證方法,其特征在于基于時(shí)間式動(dòng)態(tài)令牌雙向認(rèn)證模式,這 種模式有效地增強(qiáng)了認(rèn)證系統(tǒng)的抗抵賴(lài)性,填補(bǔ)了一直以來(lái)OTP單向認(rèn)證的缺失;該認(rèn)證 模式以令牌當(dāng)前時(shí)鐘的小時(shí)分鐘值作為同步碼連同令牌序列號(hào),在認(rèn)證服務(wù)器端調(diào)用令牌 種子文件,以令牌同步碼來(lái)校準(zhǔn)令牌系統(tǒng)的時(shí)間偏差并以此來(lái)運(yùn)算出8位10進(jìn)制驗(yàn)證用動(dòng) 態(tài)碼,取高5位按照一定的格式進(jìn)行數(shù)據(jù)轉(zhuǎn)換,作為認(rèn)證服務(wù)器驗(yàn)證碼發(fā)送至用戶(hù)端應(yīng)用 表示層認(rèn)證網(wǎng)頁(yè);供用戶(hù)進(jìn)行驗(yàn)證,以此來(lái)判定系統(tǒng)網(wǎng)站的真實(shí)性。
2.一種動(dòng)態(tài)令牌雙向認(rèn)證系統(tǒng),其特征在于,由客戶(hù)端雙向認(rèn)證令牌,認(rèn)證代理和認(rèn)證 服務(wù)器組成,包括以下步驟①客戶(hù)端雙向認(rèn)證令牌根據(jù)令牌當(dāng)前時(shí)鐘的小時(shí)分鐘值產(chǎn)生并顯 示一同步碼和驗(yàn)證碼;②將所述客戶(hù)端雙向認(rèn)證令牌顯示的同步碼連同令牌序列號(hào)輸入系統(tǒng)應(yīng)用表示層的 認(rèn)證網(wǎng)頁(yè),經(jīng)認(rèn)證代理發(fā)送至認(rèn)證服務(wù)器;③所述認(rèn)證服務(wù)器根據(jù)用戶(hù)令牌序列號(hào)在數(shù)據(jù)庫(kù)中找到該用戶(hù)令牌種子文件進(jìn)行運(yùn) 算,并以所述同步碼校準(zhǔn)系統(tǒng)令牌時(shí)鐘偏差獲得一個(gè)8位十進(jìn)制碼,將所述的8位十進(jìn)制動(dòng) 態(tài)密碼取其高5位進(jìn)行數(shù)據(jù)格式轉(zhuǎn)換后產(chǎn)生認(rèn)證服務(wù)器驗(yàn)證碼;④所述認(rèn)證服務(wù)器將所述的認(rèn)證服務(wù)器驗(yàn)證碼經(jīng)認(rèn)證代理發(fā)送并顯示于所述客戶(hù)端 應(yīng)用表示層認(rèn)證網(wǎng)頁(yè);用戶(hù)驗(yàn)證所述認(rèn)證服務(wù)器驗(yàn)證碼與客戶(hù)端令牌驗(yàn)證碼一致,則由用 戶(hù)輸入用戶(hù)名帳號(hào)/靜態(tài)密碼/客戶(hù)端令牌當(dāng)前產(chǎn)生的動(dòng)態(tài)密碼至客戶(hù)端應(yīng)用表示層的認(rèn) 證網(wǎng)頁(yè)經(jīng)認(rèn)證代理發(fā)送至所述認(rèn)證服務(wù)器;⑤所述認(rèn)證服務(wù)器將客戶(hù)端令牌動(dòng)態(tài)密碼與所述認(rèn)證服務(wù)器內(nèi)聯(lián)動(dòng)用戶(hù)令牌序列號(hào) 運(yùn)算產(chǎn)生的認(rèn)證服務(wù)器當(dāng)前動(dòng)態(tài)密碼進(jìn)行比對(duì),并將比對(duì)結(jié)果發(fā)回至所述客戶(hù)端應(yīng)用表示 層認(rèn)證網(wǎng)頁(yè),客戶(hù)雙向認(rèn)證完成,認(rèn)證通過(guò)后即可進(jìn)行后續(xù)的安全交易操作。
3.一種動(dòng)態(tài)令牌雙向認(rèn)證令牌,其特征在于,是電子令牌、手機(jī)令牌、IC卡令牌、SIM卡 插入式令牌其中之一,為常顯模式,6-8位動(dòng)態(tài)密碼,每60秒更新一次,在客戶(hù)端令牌的內(nèi) 置芯片里,融入了與認(rèn)證服務(wù)器端相同的信任算法,每塊令牌都有一個(gè)唯一的序列號(hào)與種 子值;當(dāng)客戶(hù)端令牌切換至雙向認(rèn)證模式后,客戶(hù)端令牌根據(jù)當(dāng)前令牌時(shí)間運(yùn)算并顯示出 相應(yīng)的同步碼和驗(yàn)證碼;60秒鐘后令牌會(huì)自動(dòng)切換到常顯模式,顯示6-8位動(dòng)態(tài)密碼;長(zhǎng)按 5秒以上令牌按鍵,令牌液晶屏幕會(huì)顯示出令牌序列號(hào)。
全文摘要
本發(fā)明涉及一種動(dòng)態(tài)令牌雙向認(rèn)證方法及系統(tǒng),該認(rèn)證方法及系統(tǒng)基于時(shí)間機(jī)制認(rèn)證模式。以令牌當(dāng)前時(shí)鐘的小時(shí)分鐘值作為同步碼,連同令牌序列號(hào)輸入并在認(rèn)證服務(wù)器端調(diào)用令牌種子文件,以令牌同步碼來(lái)校準(zhǔn)令牌系統(tǒng)的時(shí)間偏差并以此運(yùn)算出8位十進(jìn)制驗(yàn)證用動(dòng)態(tài)碼,取高5位按一定的格式進(jìn)行數(shù)據(jù)轉(zhuǎn)換,作為認(rèn)證服務(wù)器驗(yàn)證碼發(fā)送至用戶(hù)端應(yīng)用表示層認(rèn)證網(wǎng)頁(yè),供用戶(hù)進(jìn)行驗(yàn)證。用戶(hù)核對(duì)客戶(hù)端應(yīng)用表示層認(rèn)證網(wǎng)頁(yè)上顯示的認(rèn)證服務(wù)器驗(yàn)證碼與令牌顯示的令牌驗(yàn)證碼一致后,就可輸入令牌當(dāng)前的動(dòng)態(tài)密碼提交認(rèn)證服務(wù)器,以常規(guī)的操作流程完成身份認(rèn)證??蛻?hù)端雙向認(rèn)證令牌,可以是電子令牌、手機(jī)令牌、IC卡令牌、SIM卡插入式令牌。
文檔編號(hào)H04L29/06GK102148837SQ20111012074
公開(kāi)日2011年8月10日 申請(qǐng)日期2011年5月11日 優(yōu)先權(quán)日2011年5月11日
發(fā)明者李繼國(guó), 林順來(lái), 趙偉 申請(qǐng)人:上海時(shí)代億信信息科技有限公司, 林順來(lái), 趙偉