[发明专利]口令生成方法、口令验证方法、支付方法及装置

说明书

本申请实施例公开了口令生成方法、口令验证方法、支付方法及装置。所述口令生成方法包括：终端将预先存储的令牌和当前时间值作为第一预设算法的输入值，计算得到动态口令；所述终端还预先存储与所述令牌对应的设备ID，所述令牌和所述设备ID是由服务端生成并向所述终端发送的；终端至少将包含所述动态口令的第一信息作为第二预设算法的输入值，计算得到第二信息；终端生成包含所述动态口令、所述第二信息及所述设备ID的认证口令。相较于现有技术，本申请实施例生成的认证口令被他人蛮力破解的风险得到有效降低。

技术领域

本申请涉及信息认证领域，特别涉及一种口令生成方法、口令验证方法、支付方法及装置。

背景技术

目前，在诸多场景中均需要通过动态口令(One-time Password,OTP)进行用户身份的认证。其应用场景包括线下扫码支付等。

以线下扫码支付场景为例，一般地，支付应用的服务端可以预先为每个客户端生成唯一的令牌和与该令牌对应的设备ID，并将生成的令牌和设备ID发送至每个客户端，客户端可以将该令牌和设备ID存储于安全存储区。其中，服务端需要预先存储令牌与设备ID的对应关系。在用户需要通过上述支付应用的客户端进行扫码支付时，客户端可以根据预先存储的令牌和当前时间值，采用一定的预设算法(如：事件同步HOTP算法)计算得到一动态口令，将该动态口令(如：M位)与上述设备ID(如：N位)组成身份口令(如：M+N位)。随后，商户可以通过扫码装置对该身份口令进行扫描，并将扫描到的身份口令上传至上述支付应用的服务端进行校验。服务端可以根据上述身份口令得到设备ID，并查询得到与该设备ID对应的令牌，利用系统当前时间和令牌作为上述预设算法的输入值，计算得到可信动态口令列表，并利用该可信动态口令列表对所述动态口令进行校验；若动态口令校验通过，则表明当前用户的身份认证通过，可以执行支付事务。

上述现有技术中的身份口令存在被“蛮力破解”的风险。所谓“蛮力破解”是指：由于客户端生成的上述身份口令为明文，可以在获取到该身份口令中的设备ID(如：N位)后，按照一定的方式(如：随机、穷举)生成上述动态口令(如：M位)，并不断利用生成的动态口令和上述设备ID组成的身份认证口令(如：M+N位)来对用户身份进行认证，直至用户身份认证成功。举例来说，在某个时刻，客户端根据令牌和当前时间值计算得到的动态口令是：“123456”，则上述“蛮力破解”过程是：他人逐一从“000000”到“999999”生成动态口令，并对当前时刻的身份认证口令进行破解，直至碰撞到正确的动态口令“123456”为止。在上述现有技术中，假设上述M位的动态口令中的每一位是0～9，则上述用户身份被蛮力破解成功的概率大约为：1/10^M。

可见，现有技术中的身份认证口令存在一定的被他人蛮力破解的风险。

发明内容

本申请实施例的目的是提供一种口令生成方法、口令验证方法、支付方法及装置，以解决现有技术中的身份认证口令存在被他人蛮力破解的风险的问题。

为解决上述技术问题，本申请实施例提供的口令生成方法、口令验证方法、支付方法及装置是这样实现的：

一种口令生成方法，包括：

终端将预先存储的令牌和当前时间值作为第一预设算法的输入值，计算得到动态口令；所述终端还预先存储与所述令牌对应的设备ID，所述令牌和所述设备ID是由服务端生成并向所述终端发送的；

终端至少将包含所述动态口令的第一信息作为第二预设算法的输入值，计算得到第二信息；

终端生成包含所述动态口令、所述第二信息及所述设备ID的认证口令。

一种口令验证方法，包括：