[发明专利]一种USB挑战应答令牌认证方法及系统

说明书

技术领域

本发明属于信息安全技术领域，特别涉及一种能抗网络欺诈和第三方攻击的USB挑战应答令牌认证方法及系统。

背景技术

通过使用强双因子口令(动态口令和静态口令)认证技术的应用来确认用户的合法性是当前计算机网络利用口令实行身份识别的一项发展较快的安全技术。申请号为2011100120747.7，发明名称为“一种动态令牌双向认证方法及系统”的中国专利申请公开了一种动态令牌的认证方法，该认证方法为时钟型的动态双向认证令牌产生并显示挑战码和验证码，通过认证网页输入挑战码和ID号，由网站(认证服务器)验证后发回一组验证码，与令牌显示的验证码核对，以确认网站的真实性。

上述专利申请公开的技术虽然可以实现防御对一般钓鱼网站的欺诈攻击，但是对于如何防止目前日益猖獗的第三方黑客攻击的情况却显得软弱无能、束手无策。

发明内容

本发明的目的是提供一种带有USB接口的无全盘输入键的新型挑战应答令牌，在现有技术的基础上解决受到第三方黑客攻击的问题。

本发明的技术方案是，一种USB挑战应答令牌认证系统，由客户端USB挑战应答令牌、认证网页和认证服务器组成，其中，

客户端USB挑战应答令牌是带有USB接口的无全盘输入键的挑战应答令牌，该令牌采用时间机制，每30/60秒密码变换一次，支持国密SM3、OATH、SHA256等算法，

USB挑战应答令牌在进行普通登录认证交易操作时，使用方式与现有普通单/双向认证令牌一致，只需要将令牌显示的动态密码输入到网银页面上即可，即单向认证，也可选择采用挑战码/验证码双向认证方式，

USB挑战应答令牌在进行交易认证时，用户需要将令牌插入计算机的USB插口，由网银认证网页调用认证控件。要求用户输入令牌的使用密码，令牌在密码验证通过的情况下点击令牌按键确认，才允许USB令牌进行挑战应答方式的运算，

认证网页调用认证控件，将交易信息，包括转账账号、转账金额，通过USB口传递给令牌，由令牌密码芯片按挑战应答方式计算出与交易数据(信息)相关的动态密码并通过USB口返回，

认证网页将交易数据和返回的含用户交易信息的动态密码一起发送到系统认证服务器，由认证服务器根据用户标识获得令牌种子密钥，按挑战应答方式对交易数据进行计算得到与交易数据相关的动态密码，并与用户提交的含用户交易信息的动态码进行比对，从而确认交易数据是否被篡改。

USB挑战应答令牌为常显模式，6-8位动态密码，每60秒更新一次，

在客户端USB挑战应答令牌的内置芯片里，融入了认证服务器相同的信任算法，每块令牌都有一个唯一的序列号与种子密钥，

当客户端采用双向认证模式时，客户端令牌根据令牌当前时间运算并显示出相应的挑战码和验证码，60秒钟后，令牌会自动切换到常显模式，显示6-8位动态密码，长按令牌按键(5秒以上)，令牌液晶屏幕会显示用户令牌序列号，

USB挑战应答令牌由USB接口芯片与含有SM3、OATH和SHA/256算法的令牌密码芯片连接，通过认证控件调用认证网页的用户交易信息(转账账号、转账金额)参与令牌运算。

一种USB挑战应答令牌认证方法，包括以下基本步骤：

●登录网页认证，按双向认证模式核对验证码，即

(1)客户端USB挑战应答令牌根据令牌当前时钟的小时分钟值产生并显示一组挑战码和验证码；

(2)将所述客户端USB挑战应答令牌显示的挑战码连同令牌序列号输入系统应用表示层的认证网页，发送认证服务器；

(3)所述认证服务器根据用户令牌序列号在数据库中找到该用户令牌种子密钥进行运算，并以所述挑战码校准系统令牌时钟偏差获得一个8位十进制码，将所述8位十进制动态密码取其高5位进行数据格式转换后产生认证服务器验证码；

(4)所述认证服务器将所述认证服务器验证码发送并显示于所述应用表示层的认证网页，用户验证所述认证服务器验证码与客户端USB挑战应答令牌验证码是否一致，以确认网站的真实性；

●认证网页输入交易信息

(5)用户核对验证码准确无误后，确认并在认证网页上输入交易信息；

(6)认证网页提示用户将USB挑战应答令牌插入电脑USB插口；