[发明专利]令牌、动态口令生成方法、动态口令认证方法及系统

说明书

技术领域

本发明涉及电子技术领域，尤其涉及一种动态口令牌、动态口令生成方法、动态口令认证方法及系统。

背景技术

近年来，伴随互联网以及金融信息化的快速发展，网上银行以其便利、高效等优点迅速得到用户和银行业界的普遍推崇。银行和各种大型电子商务网站为了克服基于静态口令的认证方式的安全缺陷，大多采用了动态口令令牌或动态口令卡来加强网络身份认证的安全性。

动态口令技术又称为一次性口令（One Time Password，简称OTP）技术，其特点是用户根据服务商提供的动态口令令牌的显示数字来输入电子密码，而动态口令技术根据密码生成方式的不同，可以分为基于时间的动态口令技术、基于事件的动态口令技术以及基于挑战/应答的动态口令技术。

采用基于挑战/应答的动态口令技术时，动态口令牌与服务器存储有相同的密钥种子；需要进行用户认证时，服务器为用户生成一个挑战码，用户获得挑战码后，将挑战码输入动态口令牌；动态口令牌使用密钥种子和用户输入的挑战码生成应答码（即动态密码），用户通过动态口令牌的显示屏获知当前的动态密码后，在交易终端输入该动态密码，交易终端将该动态密码以及用户名、静态密码等信息发送给服务器进行认证。

上述基于动态口令技术的身份验证方式很好地克服了静态密码验证中口令信息固定不变的缺陷，但也存在如下问题：

采用基于挑战/应答的动态口令技术时，服务器一般是随机向用户的交易终端或手机发送挑战码的，随机挑战码与交易信息和用户信息（可以统称为用户交易信息）无关，用户无法得知是否是自身需要进行的真正的交易，也无法得知是哪一次的交易，当用户由于无法得知是否是自身需要进行的真正的交易时，而对非真正的交易进行了支付，会造成用户财产的损失，因此，服务器向用户的交易终端或手机发送随机挑战码可能会成为电子交易中一个不安全的因素。

另外，采用基于挑战/应答的动态口令技术时，动态口令牌根据该挑战码生成动态密码，其中，即便挑战码采用了用户交易信息，例如账号和金额，一旦黑客获取到用户的账户信息，冒充银行给用户发送其账号和金额，并告知用户将其显示结果发送给“银行”，例如：黑客冒充银行给用户发送短信，告知其动态口令牌需要升级，需要用户将其发送给用户的信息输入至动态口令牌生成动态密码，并将动态密码反馈给黑客，通过此种方式，黑客即可以直接获得该用户的动态密码而进行后续操作，从而成为较大的安全隐患。

发明内容

本发明旨在解决现有动态口令认证不安全的问题。

本发明的主要目的在于提供一种动态口令生成方法；

本发明的另一目的在于提供一种动态口令认证方法；

本发明的又一目的在于提供一种动态口令认证方法；

本发明的再一目的在于提供一种动态口令认证系统。

为达到上述目的，本发明的技术方案具体是这样实现的：

本发明一方面提供了一种动态口令生成方法，包括：动态口令牌接收加密挑战码；所述动态口令牌接收第一确认指令；所述动态口令牌获取预设的解密策略，根据所述解密策略对所述加密挑战码进行解密，获得所述挑战码；所述动态口令牌获取预设的动态口令生成策略，根据所述挑战码以及所述动态口令生成策略生成动态口令；所述动态口令牌获取预设的第一提示策略，根据所述第一提示策略提示所述动态口令。

此外，在所述动态口令牌获得所述挑战码的步骤之后，所述动态口令牌获取预设的动态口令生成策略的步骤之前，该动态口令生成方法还包括：所述动态口令牌获取预设的解析策略，根据所述解析策略解析所述挑战码所代表的含义，获得解析信息；所述动态口令牌获取预设的第二提示策略，根据所述第二提示策略提示所述解析信息；所述动态口令牌接收第二确认指令。