一種在線激活移動(dòng)終端令牌的設(shè)備和系統(tǒng)的工作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全領(lǐng)域,尤其涉及一種在線激活移動(dòng)終端令牌的設(shè)備和系統(tǒng)的工作方法。
【背景技術(shù)】
[0002]移動(dòng)終端令牌,全稱動(dòng)態(tài)密碼移動(dòng)終端令牌,是用來(lái)生成動(dòng)態(tài)口令的移動(dòng)終端軟件,移動(dòng)終端令牌是由運(yùn)行在移動(dòng)終端上的程序產(chǎn)生動(dòng)態(tài)口令,動(dòng)態(tài)口令與移動(dòng)終端綁定進(jìn)行身份認(rèn)證,口令的生成過(guò)程不產(chǎn)生通信及費(fèi)用,具有使用簡(jiǎn)單、安全性高、低成本、無(wú)需攜帶額外設(shè)備、容易獲取、無(wú)物流等優(yōu)勢(shì),移動(dòng)終端令牌是3G時(shí)代動(dòng)態(tài)密碼身份認(rèn)證的發(fā)展趨勢(shì)。
[0003]OTP云認(rèn)證中心是基于SaaS模式的身份認(rèn)證平臺(tái),部署在互聯(lián)網(wǎng)上,為個(gè)人、家庭和企業(yè)提供可靠的身份認(rèn)證基礎(chǔ)設(shè)施,OTP云認(rèn)證中心為網(wǎng)站提供獨(dú)立的基于云的OTP服務(wù),通過(guò)簡(jiǎn)單集成,使用免費(fèi)的移動(dòng)終端令牌,即可極大的增強(qiáng)網(wǎng)站登錄的安全性。
[0004]二維碼,又稱二維條碼,它是用特定的幾何圖形按照一定規(guī)律在平米上分布的黑白相間的圖形,是所有信息數(shù)據(jù)的一把鑰匙,應(yīng)用相當(dāng)廣泛。
[0005]現(xiàn)有技術(shù)中,移動(dòng)終端令牌在激活過(guò)程中,當(dāng)掃描二維碼時(shí),會(huì)從二維碼中直接獲取到敏感信息,安全性低。
【發(fā)明內(nèi)容】
[0006]為解決現(xiàn)有技術(shù)中提供的問(wèn)題,本發(fā)明提供了一種在線激活移動(dòng)終端令牌的設(shè)備和系統(tǒng)的工作方法。
[0007]本發(fā)明采用的技術(shù)方案是:一種在線激活移動(dòng)終端令牌的系統(tǒng)工作方法,應(yīng)用于包括云認(rèn)證管理平臺(tái)、云認(rèn)證服務(wù)器、終端、移動(dòng)終端令牌組成的系統(tǒng)中,所述方法包括:
[0008]步驟S1:所述云認(rèn)證服務(wù)器接收來(lái)自所述云認(rèn)證管理平臺(tái)的第一激活請(qǐng)求,根據(jù)所述第一激活請(qǐng)求生成第一激活響應(yīng),并將其返回至所述云認(rèn)證管理平臺(tái);
[0009]步驟S2:所述云認(rèn)證管理平臺(tái)將所述第一激活響應(yīng)發(fā)送至所述終端;
[0010]步驟S3:當(dāng)所述移動(dòng)終端令牌從所述終端中獲取到所述第一激活響應(yīng)后,根據(jù)所述第一激活響應(yīng)訪問(wèn)所述云認(rèn)證服務(wù)器,并根據(jù)所述第一激活響應(yīng)生成第二激活請(qǐng)求,將所述第二激活請(qǐng)求發(fā)送至所述云認(rèn)證服務(wù)器;
[0011]步驟S4:所述云認(rèn)證服務(wù)器接收到所述第二激活請(qǐng)求后,生成令牌序列號(hào)和種子生成因子,根據(jù)所述種子生成因子生成服務(wù)器種子密鑰,保存所述令牌序列號(hào)與所述服務(wù)器種子密鑰;
[0012]步驟S5:所述云認(rèn)證服務(wù)器根據(jù)所述令牌序列號(hào)和所述種子生成因子生成第二激活響應(yīng),并將所述第二激活響應(yīng)返回給所述移動(dòng)終端令牌;
[0013]步驟S6:所述移動(dòng)終端令牌從所述第二激活響應(yīng)中獲取所述種子生成因子和所述令牌序列號(hào),根據(jù)所述種子生成因子生成令牌種子密鑰,保存所述令牌序列號(hào)和所述令牌種子密鑰;
[0014]步驟S7:所述移動(dòng)終端令牌對(duì)所述令牌種子密鑰和內(nèi)置的動(dòng)態(tài)因子進(jìn)行計(jì)算,生成動(dòng)態(tài)口令,根據(jù)所述動(dòng)態(tài)口令生成第三激活請(qǐng)求,并將所述第三激活請(qǐng)求發(fā)送至所述云認(rèn)證服務(wù)器;
[0015]步驟S8:所述云認(rèn)證服務(wù)器從接收到的所述第三激活請(qǐng)求中獲取動(dòng)態(tài)口令,并獲取保存的服務(wù)器種子密鑰,對(duì)所述服務(wù)器種子密鑰和內(nèi)置的動(dòng)態(tài)因子進(jìn)行計(jì)算,生成動(dòng)態(tài)口令,判斷生成的動(dòng)態(tài)口令與獲取到的動(dòng)態(tài)口令是否匹配,如果是,則執(zhí)行步驟S10,否則向所述移動(dòng)終端令牌返回激活失敗的第三激活響應(yīng),結(jié)束;
[0016]步驟S9:所述云認(rèn)證服務(wù)器生成激活成功的第三激活響應(yīng),并將所述第三激活響應(yīng)返回至所述移動(dòng)終端令牌,激活成功。
[0017]所述云認(rèn)證管理平臺(tái)與所述云認(rèn)證服務(wù)器設(shè)置在同一設(shè)備中,或設(shè)置在不同的設(shè)備中。
[0018]所述步驟SI中,所述根據(jù)所述第一激活請(qǐng)求生成第一激活響應(yīng),具體包括:所述云認(rèn)證服務(wù)器調(diào)用隨機(jī)數(shù)生成函數(shù),生成第一隨機(jī)數(shù),將所述第一隨機(jī)數(shù)作為激活請(qǐng)求ID并保存,根據(jù)所述激活請(qǐng)求ID生成第一激活響應(yīng);
[0019]所述步驟S3中,所述根據(jù)所述第一激活響應(yīng)生成第二激活請(qǐng)求,具體包括:所述移動(dòng)終端令牌從所述第一激活響應(yīng)中獲取所述激活請(qǐng)求ID并保存,根據(jù)所述激活請(qǐng)求ID生成第二激活請(qǐng)求;
[0020]所述步驟S4中,所述接收到所述第二激活請(qǐng)求后還包括:所述云認(rèn)證服務(wù)器從所述第二激活請(qǐng)求中獲取所述激活請(qǐng)求ID,判斷所述激活請(qǐng)求ID與保存的激活請(qǐng)求ID是否相同,如果是,則繼續(xù)后續(xù)操作,否則報(bào)錯(cuò),結(jié)束;
[0021]所述步驟S5中,所述根據(jù)所述令牌序列號(hào)和所述種子生成因子生成第二激活響應(yīng),具體包括:所述云認(rèn)證服務(wù)器根據(jù)所述令牌序列號(hào)、所述種子生成因子和所述激活請(qǐng)求ID生成第二激活響應(yīng);
[0022]所述步驟S5與步驟S6之間還包括:所述移動(dòng)終端令牌從第二激活響應(yīng)中獲取激活請(qǐng)求ID,判斷激活請(qǐng)求ID與保存的激活請(qǐng)求ID是否相同,如果是,則執(zhí)行步驟S6,否則報(bào)錯(cuò),結(jié)束。
[0023]所述步驟SI中,所述根據(jù)所述第一激活請(qǐng)求生成第一激活響應(yīng),具體包括:
[0024]步驟al:所述云認(rèn)證服務(wù)器從所述第一激活請(qǐng)求中獲取所述用戶名;
[0025]步驟a2:所述云認(rèn)證服務(wù)器根據(jù)所述用戶名獲取對(duì)應(yīng)的企業(yè)標(biāo)識(shí),根據(jù)預(yù)設(shè)前綴標(biāo)識(shí)、預(yù)設(shè)域名、所述企業(yè)標(biāo)識(shí)和所述激活請(qǐng)求ID生成所述第一激活響應(yīng);
[0026]所述步驟S3中,所述根據(jù)所述第一激活響應(yīng)訪問(wèn)云認(rèn)證服務(wù)器,具體包括:所述移動(dòng)終端令牌從所述第一激活響應(yīng)中獲取所述預(yù)設(shè)域名和所述企業(yè)標(biāo)識(shí),并獲取終端端口號(hào),根據(jù)所述預(yù)設(shè)域名、所述企業(yè)標(biāo)識(shí)和所述終端端口號(hào)得到激活URL,通過(guò)所述激活URL訪問(wèn)所述云認(rèn)證服務(wù)器,與所述云認(rèn)證服務(wù)器建立網(wǎng)絡(luò)數(shù)據(jù)鏈路。
[0027]所述步驟SI中,所述生成第一隨機(jī)數(shù)之后還包括:所述云認(rèn)證服務(wù)器獲取并記錄服務(wù)器系統(tǒng)時(shí)間;
[0028]所述步驟S4還包括:所述云認(rèn)證服務(wù)器獲取當(dāng)前服務(wù)器系統(tǒng)時(shí)間,判斷當(dāng)前服務(wù)器系統(tǒng)時(shí)間與記錄的所述服務(wù)器系統(tǒng)時(shí)間的差值是否在預(yù)設(shè)范圍內(nèi),如果是,則繼續(xù)后續(xù)操作,否則刪除保存的所述激活請(qǐng)求ID。
[0029]所述步驟S3中,所述根據(jù)所述第一激活響應(yīng)生成第二激活請(qǐng)求,具體包括:所述移動(dòng)終端令牌獲取保存的令牌標(biāo)識(shí)碼和令牌版本號(hào),并調(diào)用獲取系統(tǒng)類型函數(shù),獲取移動(dòng)終端系統(tǒng)類型,根據(jù)所述令牌標(biāo)識(shí)碼、所述令牌版本號(hào)和所述移動(dòng)終端系統(tǒng)類型生成第二激活請(qǐng)求;
[0030]所述步驟S4接收到所述第二激活請(qǐng)求后,還包括:所述云認(rèn)證服務(wù)器從所述第二激活請(qǐng)求中獲取所述令牌標(biāo)識(shí)碼、所述令牌版本號(hào)和所述移動(dòng)終端系統(tǒng)類型,并獲取保存的令牌標(biāo)識(shí)碼、令牌版本號(hào)和移動(dòng)終端系統(tǒng)類型,判斷是否匹配,如果是,則繼續(xù)后續(xù)操作,否則報(bào)錯(cuò),結(jié)束。
[0031]所述步驟S5中,所述根據(jù)所述令牌序列號(hào)和所述種子生成因子生成第二激活響應(yīng),具體包括:所述云認(rèn)證服務(wù)器根據(jù)所述令牌標(biāo)識(shí)碼對(duì)所述種子生成因子進(jìn)行加密,得到加密種子生成因子,根據(jù)所述令牌標(biāo)識(shí)碼和所述加密種子生成因子生成第二激活響應(yīng);
[0032]所述步驟S6中,所述從所述第二激活響應(yīng)中獲取所述種子生成因子和所述令牌序列號(hào),具體包括:所述云認(rèn)證服務(wù)器從所述第二激活響應(yīng)中獲取令牌序列號(hào)和加密種子生成因子,根據(jù)所述令牌標(biāo)識(shí)碼對(duì)所述加密種子生成因子進(jìn)行解密,得到種子生成因子。
[0033]所述步驟SI之前還包括:
[0034]步驟bl:所述云認(rèn)證管理平臺(tái)等待接收管理員選擇的需要激活的用戶記錄;
[0035]步驟b2:所述云認(rèn)證管理平臺(tái)根據(jù)所述用戶記錄中的用戶名,生成所述第一激活請(qǐng)求;
[0036]步驟b3:所述云認(rèn)證管理平臺(tái)將所述第一激活請(qǐng)求發(fā)送給所述云認(rèn)證服務(wù)器。
[0037]所述步驟bl之前還包括:
[0038]步驟CO:所述云認(rèn)證管理平臺(tái)將驗(yàn)證密碼失敗次數(shù)置為初值;
[0039]步驟Cl:所述云認(rèn)證管理平臺(tái)等待接收管理員輸入管理員賬號(hào)和密碼;
[0040]步驟c2:所述云認(rèn)證管理平臺(tái)判斷接收到的管理員輸入的管理員賬號(hào)和密碼是否正確,如果是,則執(zhí)行步驟Cl,否則執(zhí)行步驟c3 ;
[0041]步驟c3:所述云認(rèn)證管理平臺(tái)更新驗(yàn)證密碼失敗次數(shù),判斷更新后的驗(yàn)證密碼失敗次數(shù)是否達(dá)到預(yù)設(shè)次數(shù),如果是,則報(bào)錯(cuò),鎖定所述云認(rèn)證管理平臺(tái),否則返回步驟Cl。
[0042]所述步驟b2之前還包括:所述云認(rèn)證管理平臺(tái)接收管理員點(diǎn)擊的激活按鈕,獲取上次激活時(shí)間和當(dāng)前系統(tǒng)時(shí)間,判斷兩者之差是否大于預(yù)設(shè)時(shí)長(zhǎng),如果是,則允許再次激活,執(zhí)行步驟b2,否則返回已激活響應(yīng),結(jié)束;
[0043]所述步驟b2具體為:所述云認(rèn)證管理平臺(tái)根據(jù)所述用戶記錄中的用戶名和重新激活標(biāo)識(shí),生成第一激活請(qǐng)求;
[0044]所述步驟SI還包括:所述云認(rèn)證服務(wù)器記錄所述重新激活標(biāo)識(shí);
[0045]所述步驟S4具體包括:所述云認(rèn)證服務(wù)器判斷是否記錄有重新激活標(biāo)識(shí),如果是,則生成種子生成因子,否則生成令牌序列號(hào)和種子生成因子。
[0046]所述步驟S9還包括:獲取當(dāng)前系統(tǒng)時(shí)間,將當(dāng)前系統(tǒng)時(shí)間作為上次激活時(shí)間保存。
[0047]所述步驟S2具體包括:
[0048]步驟S2-1:所述云認(rèn)證管理平臺(tái)接收到所述第一激活響應(yīng)后,根據(jù)所述第一激活響應(yīng)生成二維碼圖片;
[0049]步驟S2-2:所述云認(rèn)證管理平臺(tái)獲取對(duì)應(yīng)的郵箱賬號(hào),根據(jù)所述郵箱賬號(hào)將所述二維碼圖片通過(guò)郵件方式發(fā)送至移動(dòng)終端;
[0050]步驟S2-3:所述終端顯示接收到的所述二維碼圖片;
[0051]所述步驟S3中,所述移動(dòng)終端令牌獲取到所述第一激活響應(yīng),具體為:所述移動(dòng)終端接收對(duì)所述二維碼圖片的掃描,解析所述二維碼圖片,得到所述第一激活響應(yīng)。
[0052]所述步驟S2具體包括:所述云認(rèn)證管理平臺(tái)獲取終端號(hào)碼,根據(jù)所述終端號(hào)碼將所述第一激活響應(yīng)通過(guò)短信方式發(fā)送至所述終端號(hào)碼對(duì)應(yīng)的終端;
[0053]所述步驟S3中,所述移動(dòng)終端令牌獲取到所述第一激活響應(yīng),具體為:所述移動(dòng)終端令牌開啟接收數(shù)據(jù)機(jī)制,接收所述第一激活響應(yīng)。
[0054]所述步驟S4具體包括:
[0055]步驟dl:所述云認(rèn)證服務(wù)器調(diào)用隨機(jī)數(shù)生成函數(shù),生成第二隨機(jī)數(shù),作為種子生成因子,并根據(jù)令牌序列號(hào)生成算法,產(chǎn)生一個(gè)令牌序列號(hào)并保存;
[0056]步驟d2:所述云認(rèn)證服務(wù)器應(yīng)用預(yù)設(shè)推導(dǎo)算法,對(duì)所述種子生成因子進(jìn)行推導(dǎo),得到服務(wù)器種子密鑰;
[0057]步驟d3:所述云認(rèn)證服務(wù)器獲取企業(yè)密鑰,應(yīng)用所述企業(yè)密鑰對(duì)所述服務(wù)器種子密鑰進(jìn)行加密,得到加密服務(wù)器種子密鑰并保存。
[0058]所述步驟S8中,所述獲取保存的服務(wù)器種子密鑰,對(duì)所述服務(wù)器種子密鑰進(jìn)行計(jì)算,生成動(dòng)態(tài)口令,具體為:
[0059]步驟el:所述云認(rèn)證服務(wù)器獲取對(duì)應(yīng)的所述企業(yè)密鑰和所述加密服務(wù)器種子密鑰;
[0060]步驟e2:所述云認(rèn)證服務(wù)器根據(jù)所述企業(yè)密鑰,應(yīng)用預(yù)設(shè)解密算法對(duì)所述加密服務(wù)器種子密鑰進(jìn)行解密,得到服務(wù)器種子密鑰;
[0061]步驟e3:所述云認(rèn)證服務(wù)器應(yīng)用口令生成算法,對(duì)所述服務(wù)器種子密鑰和內(nèi)置的動(dòng)態(tài)因子進(jìn)行計(jì)算,生成動(dòng)態(tài)口令。
[0062]所述獲取對(duì)應(yīng)的所述企業(yè)密鑰,之前還包括:
[0063]步驟f 1:密鑰運(yùn)維平臺(tái)接收密鑰持有者的管理員密鑰;
[0064]步驟f2:所述密鑰運(yùn)維平臺(tái)對(duì)所述管理員密鑰進(jìn)行預(yù)設(shè)運(yùn)算,得到主密鑰,將所述主密鑰保存;
[0065]步驟f3:所述云認(rèn)證服務(wù)器定時(shí)向所述密鑰運(yùn)維平臺(tái)獲取主密鑰,判斷獲取到的主密鑰與保存的主密鑰是否相同,如果是,則執(zhí)行步驟f4,否則用獲取到的主密鑰更新保存的主密鑰,執(zhí)行步驟f4;
[0066]步驟f4:所述云認(rèn)證服務(wù)器獲取對(duì)應(yīng)的企業(yè)ID,對(duì)所述主密鑰和所述企業(yè)ID進(jìn)行散列運(yùn)算,得到企業(yè)密鑰,將所述企業(yè)密鑰保存。
[0067]所述步驟S6具體包括:
[0068]步驟S6-1:所述移動(dòng)終端令牌從所述第二激活響應(yīng)中獲取種子生成因子