[发明专利]基于动态口令的用户卡认证方法和系统

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种基于动态口令的用户卡认证方法和系统。

背景技术

随着互联网应用的发展及网络非法攻击的增多，用户身份认证的安全性日益重要。传统的网络应用认证方式使用“用户名+静态口令”的组合，由于静态口令相对固定，容易被破解或网络截获，因此，业界提出了动态口令的认证方式。

动态口令是根据某种特定的加密算法，随某一个动态的“关键因子”生成的一次一变的口令。由于动态口令每次生成不同的数值，每次生成的口令只能使用一次，因此具有更高的安全性，在网络银行、电子商务等安全性要求较高的网络业务中得到广泛应用。

用户卡动态口令是在用户卡上生成的动态口令，结合了动态口令高安全性和用户卡携带方便、唯一标识用户的优点。目前的用户卡动态口令主要有两种：

一种是挑战码方式动态口令，用户卡需要用户通过额外的手段获取挑战码，例如用户可以通过网页获取挑战码，易用性较差。

另一种是事件方式用户卡动态口令，用户卡与认证服务器需要共同维护计数器的同步性和私密性，实现比较复杂，并且会占用用户卡和认证服务器较多的处理资源。

发明内容

本发明实施例所要解决的一个技术问题是：提供一种基于动态口令的用户卡认证方法和系统，以解决传统动态口令中存在的易用性差和实现复杂的问题。

本发明实施例的一个方面提供了一种基于动态口令的用户卡认证方法，包括：用户卡响应于用户获取动态口令的请求，向手机获取当前的时间信息，将当前的时间信息转化为第一时间因子，根据所述第一时间因子和种子生成第一动态口令，并通过用户向认证服务器提交所述第一动态口令；认证服务器接收用户提交的第一动态口令，将接收到所述第一动态口令的时刻的时间信息转化为第二时间因子，以所述第二时间因子为基准，对于认证时间窗口内的各个时间因子结合种子生成至少一个第二动态口令，如果所述第一动态口令与其中一个第二动态口令符合，则所述用户卡认证通过，如果所述第一动态口令与所有第二动态口令都不符合，则所述用户卡认证失败。

所述用户卡根据以下公式将当前的时间信息转化为第一时间因子：

其中，T₁表示第一时间因子，T表示用户卡获取的当前的时间信息，T₀表示基准时间，X表示步长时间间隔，表示向下取整。

认证服务器根据以下公式将接收到所述第一动态口令的时刻的时间信息转化为第二时间因子：

其中，T₂表示第二时间因子，T’表示认证服务器接收到所述第一动态口令的时刻的时间信息，T₀表示基准时间，X表示步长时间间隔，表示向下取整。

所述用户卡根据所述第一时间因子和种子生成第一动态口令具体包括：所述用户卡将第一时间因子T₁和种子K作为生成动态口令的输入参数，采用安全哈希算法SHA生成摘要；对摘要取偏移量；将偏移量最高位置0；根据偏移量拼接生成字符串；对字符串取模得到第一动态口令。

所述认证服务器以所述第二时间因子为基准，对于认证时间窗口内的各个时间因子结合种子生成至少一个第二动态口令具体包括：生成第一动态口令的输入参数记为（T₁，K），认证时间窗口为[－N，＋N]，则生成第二动态口令的输入参数为(T₂-N，K)…(T₂-N+i，K)…(T₂，K)…(T₂+N-i，K)…(T₂+N，K)，所述认证服务器采用与第一动态口令相同的动态口令生成算法得到2N＋1个第二动态口令，其中，T₁表示第一时间因子，T₂表示第二时间因子，K表示种子，i在1至N－1之间。

生成动态口令的算法包括OATH TOTP算法和国密时间型动态口令算法。