[发明专利]一种结合拍照和条形码识别技术的OTP设备和方法

说明书

技术领域

本发明属于网络信息安全认证技术领域，具体涉及一种结合拍照和条形码识别技术的OTP设备和方法。

背景技术

随着网上银行的发展，作为网上银行客户端的安全设备，OTP作为一款多平台通用的产品，包括PC、手机、平板电脑、电话银行、ATM机等，使用越来越普及。

动态口令令牌(OTP，One time password)采用动态口令的认证方式就是在每次用户登录时除了输入常规的静态口令外，还要再输入一个每次都会变化的动态口令。这个动态口令的获得方式有很多种，如刮刮卡式、二维矩阵卡式和电子令牌式，其中电子令牌就是我们所说的动态口令令牌,如VeriSign的动态令牌VIP服务。刮刮卡和二维矩阵卡都是以纸质卡形式提供，但它们都存在着与生俱来的缺陷，刮刮卡有严格的使用次数限制，一般只能使用30次，而二维矩阵卡虽然可以无限次使用但很容易被复制，同动态口令相比刮刮卡和二维矩阵卡式都不具备时效性。现在很多国外银行和少数国内银行在网上银行应用中采用这种使用动态口令进行强身份认证的方式。

采用动态口令牌方式的优点：

(a)无须安装软件，操作简单。与客户电脑无关，不需要安装其他任何程序即可直接使用网上银行服务。

(b)一次一密，用过即失效。解决了客户密码被盗的问题。这应该是动态口令牌在安全性方面带来的最大好处。

OTP产品经过了时间型和事件型OTP的过渡，发展为安全性更高的挑战应答型OTP，为了提高挑战应答型OTP的安全性，抵御钓鱼、中间人攻击等非法攻击手段，目前市场上的挑战应答型OTP产品要求用户通过OTP的数字键盘输入帐号、金额、挑战码等信息参与应答码的计算，由于输入的信息较多，用户的使用体验非常差。

目前市场上的挑战应答型OTP没有拍照模块，对于帐号、金额、挑战码等信息需要用户手动输入，由于信息量大，用户手动输入较为繁琐，并且容易输入错误；而有些银行为了减少用户的输入量，只输入帐号金额的部分数据，如只输入帐号的后4位，而这又带来安全问题，攻击者如果有和用户后4位相同的帐号，仍然可以进行攻击。

挑战应答型OTP是一种安全认证设备，OTP通过每次交易的认证密码不同来保证交易的安全性，也就是每次交易时，需要将交易信息和挑战码等信息输入到OTP中，OTP通过内置算法和种子密钥计算生成应答码，应答码数据量较小，一般为6个字节，用户通过手动将信息输入到网页后提交给服务器；服务器同样对交易信息和挑战码生成应答码，并且和OTP生成的应答码比对，比对一致，允许进行交易。

条形码包括一维条形码（简称一维码）和二维条形码（简称二维码），其中：

如图1所示，一维码是将宽度不等的多个黑条和空白，按照一定的编码规则排列，用以表达一组信息的图形标识符。常见的条形码是由反射率相差很大的黑条（简称条）和白条（简称空）排成的平行线图案。条形码可以标出物品的生产国、制造厂家、商品名称、生产日期、图书分类号、邮件起止地点、类别、日期等许多信息，因而在商品流通、图书管理、邮政管理、银行系统等许多领域都得到广泛的应用。

如图2所示，二维码是用某种特定的几何图形按一定规律在平面（二维方向上）分布的黑白相间的图形记录数据符号信息的，在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念，使用若干个与二进制相对应的几何形体来表示文字数值信息，通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。它具有条码技术的一些共性：每种码制有其特定的字符集；每个字符占有一定的宽度；具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化等特点。

为了提升用户的用户体验，本发明提出了一种将拍照技术和条形码识别技术应用在挑战应答OTP产品上的方法，提高OTP产品的使用便利性。

发明内容

针对现有技术中存在的缺陷，本发明的目的是提供一种结合拍照和条形码识别技术的OTP设备和方法。该设备和方法能够在没有USB接口的智能手机、上网本、平板电脑上使用。

为达到以上目的，本发明采用的技术方案是：一种结合拍照和条形码识别技术的OTP方法，包括以下步骤：

(1)用户在WEB页面上输入交易信息，并提交给远程的网银服务器；

(2)远程的网银服务器根据用户输入的交易信息和网银服务器为本次交易生成的挑战码生成条形码并在用户终端的WEB页面上显示；