[发明专利]一种动态密码认证方法、客户端及认证系统

说明书

技术领域

本发明涉及网络安全领域，尤其涉及一种动态密码认证方法、客户端及认证系统。

背景技术

随着互联网对社会的影响日益深入，越来越多的交易转移到网络上进行，然而网络环境安全性则不容乐观，病毒、木马横行，身份、账户被盗的情况屡见不鲜。虽然现有方案中有些会根据不同场景采用不同密码(比如登录或查询时用一个密码，支付时用另一个密码)，但支付时采用的密码本质上还是静态密码，并且该密码也用于任何一笔交易，被盗后对用户的资金安全将造成重大威胁。

互联网上目前的身份认证系统大致有下列几种：

静态口令认证，缺陷在于一个密码多次使用，若密码被窃取，则很容易被假冒身份。

基于硬件动态口令认证(事件、时间同步型)，如RSA SecurID；缺陷在于需要购买硬件设备，成本较高，存在同步问题，且产生的密码与业务无关，存在中间人窃取密码或篡改交易信息的可能。

基于硬件动态口令认证(挑战应答型)，带数字键盘，用户将挑战问题在令牌中输入，将得到的动态密码提交给后台系统认证身份，优点是密码与交易内容绑定；缺陷在于需要购买硬件设备，需要用户手工输入交易信息，不太方便，硬件的使用寿命一般是3-5年，成本较高。

数字证书硬件(第一代USBKey)，借助USBKey来保存密钥，安全性较高；缺陷在于需要购买USBKey，成本较高；而且对客户端系统有要求，下载安全补丁、安装证书对用户电脑操作水平要求较高；另外通过USB接口与电脑连接，存在被木马控制的风险。

数字证书硬件(第二代USBKey)，，安全性较高，带液晶屏，可显示交易内容，并且有用户确认键，需用户手工操作才可生成数字签名，可防范木马控制。缺陷在于需要购买USBKey，成本较高，还需要安装相关软件、驱动程序，下载证书等，对用户电脑操作水平要求较高。

基于手机短信的动态密码认证，服务端向用户手机发一条短信，包含用于认证身份的动态密码。此方案缺陷在于运营成本较高，发送短信需要向移动运营商支付费用，并且受移动通信网络影响，短信接收存在延迟，甚至接收不到短信；而且同样存在被中途被截获后假冒用户身份问题。

发明内容

本申请要解决的技术问题是如何更好地进行互联网应用中的身份认证。

为了解决上述问题，本申请提供了一种动态密码认证方法，包括：

接收挑战问题的密文；

解密挑战问题的密文，得到挑战问题的明文；将成功解密挑战问题所使用的密钥作为首选密钥；

根据所述挑战问题的明文及首选密钥产生新的首选密钥；

根据所述新的首选密钥产生动态密码并显示。

进一步地，所述从网络侧接收挑战问题的密文的步骤包括：

扫描网络侧生成的二维码图片，该二维码图片通过对挑战问题的密文编码产生；

对所述二维码图片解码得到挑战问题的密文。

进一步地，所述挑战问题中至少包括交易数据；

所述根据挑战问题的明文及首选密钥产生新的首选密钥的步骤前还包括：

从所述挑战问题的明文中提取交易数据；

显示所述交易数据；

收到用户输入的确认信息后，进行所述根据挑战问题的明文及产生新的首选密钥的步骤。

进一步地，所述挑战问题中至少包括起始时间；所述起始时间为所述挑战问题的产生时间；

所述显示所述交易数据的步骤前还包括：

从所述挑战问题的明文中提取起始时间；

判断当前时刻和所述起始时间的时间间隔是否大于预定时间阈值；

如果大于，则提示用户是否继续；

如果不大于，或接收到用户要求继续的指令则进行所述显示交易数据的步骤。

进一步地，所述解密挑战问题的密文，得到挑战问题的明文，将成功解密挑战问题所使用的密钥作为首选密钥的步骤包括：

采用首选密钥解密挑战问题的密文，如果解密成功则得到挑战问题的明文；如果失败，则采用次选密钥解密所述挑战问题的密文，如果解密成功则得到挑战问题的明文，将次选密钥作为首选密钥；如果解密失败则结束认证；

当采用首选密钥解密成功时，所述根据所述挑战问题的明文及首选密钥产生新的首选密钥的步骤前还包括：

将原先的首选密钥作为新的次选密钥。

本申请还提供了一种动态密码认证方法，包括：

当需要对用户进行认证时，产生对应于待认证用户的挑战问题，并根据该待认证用户对应的首选密钥加密所述挑战问题；

发送挑战问题的密文；