[发明专利]一种动态口令认证方法

权利要求书

1、一种动态口令认证方法，其特征在于，包括以下步骤：

A、手机用户卡的动态口令应用模块将手机用户卡对应的用户识别码和注册请求发送给认证服务器组；

B、认证服务器组收到的同时获取第一网络时间，并经过3DES加密后发送给手机用户卡；

C、手机用户卡收到后，使用对称的密钥解密，将获取的第一网络时间作为所述用户本次服务的时间原点，进行存储；

D、手机用户卡向认证服务器组发送动态口令服务请求，所述请求采用OTA密钥进行3DES加密；

E、认证服务器组收到所述请求的同时获取第二网络时间，并向手机用户卡发送经过3DES加密的、且有时间戳的电路域用户临时标识符TMSI和第二网络时间，间隔1秒钟后，再次向手机用户卡发送带时间戳的经过3DES加密的、且有时间戳的电路域用户临时标识符TMSI和第二网络时间用于追加确认；

F、手机用户卡收到经过3DES加密的、且有时间戳的电路域用户临时标识符TMSI和第二网络时间，使用对称的3DES解密，检验收到的电路域用户临时标识符TMSI是否为发送动态口令服务请求是发送出去的电路域用户临时标识符TMSI，如果是，则解密后得到的第二网络时间、第一网络时间和电路域用户临时标识符TMSI一起构成动态数据源；

G、将动态数据源进行数字化处理得到20位10进制数，手机用户卡动态口令应用模块的策略模块根据约定的策略取出5到10个十进制数字作为当前的动态口令。

2、根据权利要求1所述的一种动态口令认证方法，其特征在于，步骤E还包括以下步骤：

如果收到两次短消息的时间间隔在5秒之内，则当时为网络非繁忙时段，可以使用动态口令，如果收到两次短消息的时间间隔在5秒到10秒之内，则当时为网络比较繁忙时段，提醒用户尽快使用动态口令，如果收到两次短消息的时间间隔在10秒之上，则当时为网络繁忙时段，提醒用户再次提出动态口令服务请求。

3、根据权利要求1所述的一种动态口令认证方法，其特征在于，还包括以下步骤：

手机用户卡和手机交互手机属性后，手机用户卡获得手机的能力状况，判断是否支持传输介质无关协议B.I.P.指令子集；

如果支持B.I.P.指令子集，则用户识别应用发展工具提示用户可以选择增强型鉴权方式；

在发送动态口令服务请求的同时，手机用户卡通过手机和认证服务器组建立安全套结子连接，或者建立HTTPS，进行双模式认证；

在手机用户卡收到动态数据源的同时，手机用户卡和认证服务器完成安全认证。

4、根据权利要求3所述的一种动态口令认证方法，其特征在于，手机用户卡是SIM卡或者UICC卡，用户识别码是IMSI值或者ICCID值，用户识别应用发展工具是STK或者USAT。

5、根据权利要求1所述的一种动态口令认证方法，其特征在于，还包括以下步骤：

将第一网络时间、提出动态口令注册请求手机用户卡对应的手机号和IMSI值记录在用户管理数据库，以便管理使用。

6、根据权利要求1所述的一种动态口令认证方法，其特征在于，认证服务器组包括空中下载和管理服务器和认证服务器。

7、根据权利要求1所述的一种动态口令认证方法，其特征在于，步骤D中，动态口令服务请求包括第一网络时间、申请标识、IMSI值和手机用户即时的位置信息。

8、根据权利要求1-7中任一权利要求所述的一种动态口令认证方法，还包括以下步骤：

手机用户通过网页导航到动态口令应用或者使用手机用户卡的用户识别应用发展工具，选择动态口令的入口，发送获取动态口令的请求；

通过空中接口，以安全传输的方式将动态口令应用下载到手机用户卡，并进行安装。

9、根据权利要求1-7中任一权利要求所述的一种动态口令认证方法，还包括以下步骤：

手机用户对动态口令应用进行休眠、删除和注销。

10、一种动态口令认证系统，其特征在于，包括手机、手机用户卡、认证服务器组、应用管理服务器和用户管理数据库，手机用户卡包括动态口令应用模块，认证服务器组进一步包括空中下载和管理服务器、传输介质无关协议网关和认证服务器，其中，

手机用于通信；

手机用户卡的动态口令应用模块用于发送动态口令服务请求和接收动态口令；

认证服务器组用于接收动态口令服务请求和发送经过3DES加密的、且有时间戳的电路域用户临时标识符TMSI和第二网络时间；

应用管理服务器用于管理动态口令服务的应用；

用户管理数据库用于存储第一网络时间、提出动态口令注册请求手机用户卡对应的手机号和IMSI值。