[发明专利]一种身份认证装置及方法

说明书

技术领域

本发明涉及身份认证技术领域，具体涉及一种身份认证装置及方法。

背景技术

OTP(One Time Password，一次性动态口令)是一种基于伪随机虚列的动态口令认证方法。OTP通常分为时间同步、事件同步和挑战/应答三种认证方式。OTP的基本原理是将时间或事件(次数)或挑战，结合一个自身保存的一个独一无二的种子(Seed)，采用单向哈希算法生成一个动态口令。

OTP通常由客户端(硬件或者APP)和认证服务器构成。每个OTP客户端和认证服务器共享一个独一无二的种子，每个OTP客户端有一个唯一标识。通常种子分发是将种子在生产时预制或者APP激活时设置到OTP客户端里，同时保存到认证服务器。

动态口令在OTP客户端根据存储的种子和动态参数生成。认证时，OTP客户端标识和动态口令会传给OTP认证服务器，OTP认证服务器根据标识检索出对应的种子，然后根据该种子和动态参数生成动态口令，对比两个动态口令，从而完成认证。

在上述OTP的动态口令被破解或者泄露时，基于上述认证方法，将直接完成认证，导致认证不安全，容易造成一些机密资料的泄露。

发明内容

针对现有技术中的缺陷，本发明提供了一种身份认证装置及方法，该装置解决了身份认证技术的不安全性问题。

第一方面，本发明提供一种身份认证方法，包括：

客户端通过第一动态口令向网站/应用服务器发送身份认证请求；

所述网站/应用服务器接收所述客户端发送的第一动态口令，并对所述第一动态口令进行拆分，将拆分后的动态口令分别向不同的认证服务器进行认证；

所述认证服务器对拆分后的动态口令进行认证，并将认证结果发送所述网站/应用服务器；

所述网站/应用服务器接收不同的认证服务器发送的认证结果，并根据不同的认证服务器发送的认证结果向所述客户端发送最终的认证结果。

可选的，所述客户端通过第一动态口令向网站/应用服务器发送身份认证请求包括：

设置于客户端中的OTP模块根据OTP模块生产过程中的种子和动态参数生成第一动态口令；

所述OTP模块将所述第一动态口令发送所述客户端的浏览器；

所述客户端的浏览器通过第一动态口令向网站/应用服务器发送身份认证请求。

可选的，所述设置于客户端中的OTP模块根据OTP模块生产过程中的种子和动态参数生成第一动态口令，包括：

所述OTP模块在生产时，生成F区的种子存储在所述OTP模块内的安全存储器的F区和F认证服务器；

所述OTP模块在生产后，生成E区的种子存储在所述OTP模块内的安全存储器的E区和E认证服务器；

所述OTP模块将所述安全存储器的F区的种子和动态参数生成第二动态口令，以及将所述安全存储器的E区的种子和动态参数生成第三动态口令，并将所述第二动态口令和第三动态口令合并生成所述第一动态口令。

可选的，所述网站/应用服务器接收所述客户端发送的第一动态口令，并对所述第一动态口令进行拆分，将拆分后的动态口令分别向不同的认证服务器进行认证，包括：

所述网站/应用服务器接收所述客户端发送的第一动态口令，并将所述第一动态口令拆分成第二动态口令和第三动态口令，将所述第二动态口令和第三动态口令分别向不同的认证服务器进行认证。

可选的，所述网站/应用服务器接收所述客户端发送的第一动态口令，并将所述第一动态口令拆分成第二动态口令和第三动态口令，将所述第二动态口令和第三动态口令分别向不同的认证服务器进行认证，包括：

所述网站/应用服务器将所述第二动态口令发送至F认证服务器进行认证，将所述第三动态口令发送至E认证服务器进行认证。

可选的，所述认证服务器对拆分后的动态口令进行认证，并将认证结果发送所述网站/应用服务器，包括：

所述F认证服务器对所述第二动态口令进行认证，生成第一认证结果，并将所述第一认证结果发送所述网站/应用服务器；

所述E认证服务器对所述第三动态口令进行认证，生成第二认证结果，并将所述第二认证结果发送所述网站/应用服务器。

可选的，所述网站/应用服务器接收不同的认证服务器发送的认证结果，并根据不同的认证服务器发送的认证结果向所述客户端发送最终的认证结果，包括：

所述网站/应用服务器接收所述F认证服务器和E认证服务器发送的认证结果，并根据所述F认证服务器和E认证服务器发送的认证结果向所述客户端发送最终认证结果。