CN101355426A - 基于动态口令的身份认证方法及系统 - Google Patents
基于动态口令的身份认证方法及系统 Download PDFInfo
- Publication number
- CN101355426A CN101355426A CNA2008102221342A CN200810222134A CN101355426A CN 101355426 A CN101355426 A CN 101355426A CN A2008102221342 A CNA2008102221342 A CN A2008102221342A CN 200810222134 A CN200810222134 A CN 200810222134A CN 101355426 A CN101355426 A CN 101355426A
- Authority
- CN
- China
- Prior art keywords
- data
- dynamic password
- coordinate
- password
- offset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明是关于一种基于动态口令的身份认证方法及系统,所述的方法包括:随机生成一组动态口令,每个动态口令均具有唯一性;建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐标数据的对应关系进行存储;设置所述动态口令的坐标偏移数据;在进行动态口令安全认证时:提示一组所述的坐标数据;接收输入的动态口令;根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令;将输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果。本发明克服了动态口令卡容易被他人偷窥、复印或拍照而威胁客户信息或财产安全的问题。
Description
技术领域
本发明涉及身份认证的方法及系统,特别是关于一种基于动态口令的身份认证方法及系统。
背景技术
随着计算机应用和因特网的普及,各种远程交易系统已经被越来越多地推广和应用,交易方式也从传统的面对面的柜台有纸交易转向虚拟柜台无纸交易,如,电话银行、网上银行、远程报税等等。作为远程交易系统,客户信息、特别是账户、资金等重要信息的安全是人们最为关心的问题,作为保证信息安全的第一道防线——客户身份鉴别是至关重要的,如何阻止非授权客户对系统的入侵是系统必须首先解决的问题。目前,在涉及交易安全方面网络系统中多采用动态口令认证方式,该认证方式给客户一张口令卡,如图1所示,客户端的口令卡是一张以矩阵形式印有若干字符串的文字卡片,每个字符串可以由横、纵坐标确定。
申请号为200610169595.9的发明专利公开了一种认证方法,包括:客户在申领口令时,将所申请的口令卡的“序列号”与客户进行绑定。在口令卡使用过程中,认证服务器会向客户提问坐标数据,如“A3”、“B2”,客户刮开提问坐标的区域获得相应的口令,将所述的口令输入系统中供认证服务器认证。
随着口令卡使用次数的增多,口令卡的口令覆膜会被逐渐刮开,当使用到一定次数后整张卡的绝大部分甚至是全部坐标的覆膜都将刮开,那时口令卡的口令信息将完全暴露,在客户保管不当的情况下容易被他人偷窥、复印或者拍照,将失去口令卡认证身份的功能,甚至威胁到客户信息、客户资金等安全。
本发明将上述申请号为200610169595.9的发明专利作为本发明的现有技术合并于此。
发明内容
本发明的目的为提供一种基于动态口令的身份认证方法及系统。
所述方法包括以下步骤:随机生成一组动态口令,每个动态口令均具有唯一性;建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐标数据的对应关系进行存储;设置所述动态口令的坐标偏移数据;在进行动态口令安全认证时:提示一组所述的坐标数据;接收输入的动态口令;根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令;将输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果。
所述系统包括安全服务装置、数据管理装置、服务提供装置、客户终端装置。其中所述的客户终端装置连接于所述的服务提供装置,包括:终端提示单元,用于在客户终端装置上提示输入坐标偏移数据或提示一组坐标数据;终端输入单元,用于根据提示输入坐标偏移数据或动态口令;所述的服务提供装置连接于所述的数据管理装置、安全服务装置和客户终端装置,用于生成坐标偏移数据输入界面数据或动态口令输入界面数据,并将所述界面数据发送给客户终端装置,再接收在客户终端装置输入坐标偏移数据或用于认证的动态口令,并发送给所述的安全服务装置;所述的安全服务装置连接于所述的数据管理装置及所述的服务提供装置,包括:动态口令生成单元,用于随机生成一组动态口令并且每个动态口令均具有唯一性;动态口令坐标单元,用于建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐标数据的对应关系进行存储;提示坐标数据生成单元,用于选择一组坐标数据,生成提示坐标数据发送给所述的服务提供装置,供所述的服务提供装置生成动态口令输入界面数据;口令认证单元,用于根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令,将输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果;所述的数据管理装置连接于所述的服务提供装置,用于存储所述的每个动态口令与一坐标数据的对应关系及坐标偏移数据。
本发明提供的实现安全身份认证的系统及方法,克服了目前动态口令认证方式中存在口令卡口令信息容易暴露,容易被他人偷窥、复印或者拍照等,从而危及客户信息或财产安全的问题。
附图说明
图1为现有的动态口令卡示意图;
图2为本发明的基于动态口令的身份认证系统的结构图;
图3为实施例中本发明的系统中安全服务装置的结构图;
图4为实施例中本发明的系统中安全服务装置的结构图;
图5为实施例中本发明的系统中客户终端装置的结构图;
图6为实施例中本发明提供给用户需输入的卡坐标数据的界面;
图7为实施例中本发明动态口令验证方法的流程;
图8为实施例中本发明动态口令卡的动态口令与坐标数据对应关系列表承载面。
具体实施方式
本发明是使用动态口令卡实现网上在线支付的一种安全认证方法,其包括两个方面:
1)动态口令卡是一张随机生成的用于客户身份认证的卡,它的坐标值通过一定随机数生成算法保证唯一性和随机性;
SHA1PRNG:是一种随机数生成(PRNG)算法,该算法符合IEEEP1363标准,用SHA1作为PRNG的基础,它计算一个真随机种子值上的SHA1散列,该真随机种子值与一个64位的计数器串接在一起,每运算一次值就增加1,对真随机种子值计算SHA1散列后,从160位的SHA1输出中,只用64位。
2)通过采用基于挑战/应答(Challenge/Response)的安全身份认证机制,保证客户在线支付每次所使用的挑战口令都是随机的,保证安全性。
申领了动态口令卡的客户通过网上银行办理的对外支付交易均需使用动态口令进行客户身份确认。通过系统将动态口令卡与领用客户帐号进行绑定。领取动态口令卡后,客户需使用客户终端装置设置动态口令的坐标偏移数据,最佳的实施方式是到银行柜面凭证件及银行卡号或账号在专门的客户终端装置输入坐标偏移数据,每次需要客户使用口令时,网上银行系统将提示客户输入动态口令卡上坐标位置的口令,系统将对客户录入的口令进行认证。
下面将对照附图,对本发明的具体实施方式进行详细说明。
如图2所示,本发明的身份认证系统中具有数据管理装置201,该数据管理装置201可以是一个PC服务器或主机,运行数据库管理系统,存放客户的网银动态口令卡安全数据信息,如动态口令卡的卡号、卡坐标序号、卡坐标数据、动态口令的坐标偏移数据等安全认证信息,并负责认证通过后的客户访问管理。
认证系统中服务提供装置202可以是一个Web应用服务器,为客户提供预留信息登记、为商城提供基于http和https的服务的网上交易接口,和企业商城服务装置207进行交互。当商城服务装置207开始访问服务提供装置202中涉及网上支付的交易时,必须首先通过银行的安全服务装置204的安全认证。服务提供装置202用于生成坐标偏移数据输入界面数据和动态口令输入界面数据,并将所述界面数据发送给客户终端装置,再接收在客户终端输入的所述的坐标偏移数据或用于认证的动态口令,并发送给安全服务装置。服务提供装置202还负责提供设置坐标偏移数据的功能。客户在申请使用口令卡时进行坐标偏移数据设置,包括设置横坐标偏移数据m(-M<m<M,M为口令卡总的横坐标个数),以及设置纵坐标偏移数据n(-N<n<N,N为口令卡总的纵坐标个数)。客户终端装置208向服务提供装置202发出坐标偏移数据设置请求,服务提供装置202生成坐标偏移数据输入界面的数据,并将所述界面数据发送给客户终端装置208,客户终端装置208显示坐标偏移数据输入界面,客户在客户终端装置208上输入横坐标偏移数据m和纵坐标偏移数据n,客户终端装置208将包含客户输入的横坐标偏移数据m和纵坐标偏移数据n的数据发送给服务提供装置进行处理,服务提供装置202判断客户终端装置208发送的数据为涉及安全身份认证的数据后,转发给安全服务装置204进行处理。
安全服务装置204是一个安全认证服务器,为企业商城提供数字签名的认证服务,负责企业商城证书数字签名的合法性校验。如图3所示,所述的安全服务装置包括:动态口令生成单元301,用于随机生成一组动态口令并且每个动态口令均具有唯一性;动态口令坐标单元302,用于建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐标数据的对应关系进行存储;提示坐标数据生成单元303,用于选择一组坐标数据,生成提示坐标数据发送给所述的服务提供装置,供所述的服务提供装置生成动态口令输入界面数据;口令认证单元304,用于根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令,将用户输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果。所述的口令认证单元304还可将用户输入的坐标偏移数据保存至数据管理装置201。
如图4所示,本发明的安全服务装置202还可包括坐标偏移数据处理单元305,用于检查用户输入的坐标偏移数据是否在合理的范围内,如果是则在数据管理装置中保存所述的坐标偏移数据。服务提供装置202将用户设置的坐标偏移数据转发给安全服务装置204进行处理时,坐标偏移数据处理单元305对所述数据进行检查,比如横坐标偏移数据m和纵坐标偏移数据n是否在合理的数数据范围内(即-M<m<M,-N<n<N),安全服务装置202完成数据检查后将坐标偏移数据(m,n)保存到数据管理装置201中。
客户终端装置208是网络系统的客户端,也可以是一台个人PC,安装有浏览器软件,也可以是其它能够运行浏览器软件的装置,如NC、Windows图形终端等。它有显示装置和输入装置,输入装置可以是键盘和鼠标。它通过调制解调器(Modem)或网卡连接到公共网络。如图5所示,所述的客户终端装置208包括:终端提示单元501,用于在客户终端装置上提示输入坐标偏移数据或提示坐标数据;终端输入单元502,用于根据提示输入坐标偏移数据或动态口令。客户终端装置208还可包括显示单元,登录网银系统进行对外支付时,通过网银提供的动态口令卡对外支付功能,发起交易请求,并接收到银行服务提供装置202返回的交易结果数据后,在所述的显示装置中显示提供给用户提示坐标数据的界面。如图6所示,例如当用户通过鼠标或键盘触发认证界面中的提交事件,如使用鼠标单击认证界面中的“确认”按钮,客户终端装置208便将交易数据发送给服务提供装置202。客户终端装置208发出身份认证请求,将身份认证请求发送给服务提供装置202,服务提供装置202判断数据为安全身份认证的数据后,转发给安全服务装置204,再调用提示坐标数据生成单元303采用随机数处理机制随机生成提示坐标数据(x,y),所述的提示坐标数据是根据动态口令坐标单元302,建立的动态口令与坐标数据的对应关系选出的。提示坐标数据生成单元303将提示坐标数据(x,y)发送给服务提供装置202,由服务提供装置202生成提示输入动态口令的画面信息数据,服务提供装置202将提示输入动态口令的画面信息数据发送给客户终端装置208,由客户终端装置208显示提示输入动态口令的画面。
服务提供装置202将包含客户输入的动态口令数据转发给安全服务装置204进行认证时,安全服务装置204调用口令认证单元304对客户输入的动态口令进行认证。口令认证单元304在认证动态口令时,通过访问数据管理装置101,读取存储在数据管理装置101中的客户设置的坐标偏移数据(m,n),根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据(x+m,y+n),即客户应输入的正确口令的坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令,将客户从动态口令卡获得并输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,如果一致则客户身份认证通过,如果不一致则客户身份认证不通过,口令认证单元304将口令认证结果返回给安全服务装置204,安全服务装置204再将身份认证的结果发送给服务提供装置202,服务提供装置202生成显示客户身份认证结果的画面数据信息,并发送给客户终端装置208,客户终端装置208显示客户身份认证结果界面。
内部网络203为企业的局域网,可以是以太网(Ethernet),也可以是其它局域网络,如光纤分布式数据接口(FDDI)、令牌环(Token-Ring)等。
网络安全装置205为防火墙,用于保护企业内部网络的安全,防止公共网络中的非法用户对内部网络的访问和攻击。
公共网络206可以是互联网(Internet),也可以是其它企业外部网(Extranet)。客户终端装置通过公共网络联接到银行网银服务提供装置和商城的服务提供装置。在本发明一实施例中所述的用于设置坐标偏移数据的客户终端装置通过内部网络203与所述的安全服务装置204连接,客户必须到银行柜面凭证件及银行卡号或账号设置口令坐标偏移数据。
本发明设置口令坐标偏移数据及验证的方法的具体流程如图7所示。
步骤S701,设置所述动态口令的坐标偏移数据:输入动态口令坐标偏移数据,检查所述的坐标偏移数据是否在合理的数数据范围内,如果是则对其进行存储。客户在申请使用口令卡时,先设置坐标偏移数据,包括设置横坐标偏移数据m(-M<m<M,M为口令卡总的横坐标个数),以及设置纵坐标偏移数据n(-N<n<N,N为口令卡总的纵坐标个数)。在设置坐标偏移数据时,客户终端装置208向服务提供装置202发出坐标偏移数据设置请求,服务提供装置202生成坐标偏移数据输入界面的数据,并将所述界面数据发送给客户终端装置208,客户终端装置208显示坐标偏移数据输入界面,客户在客户终端装置208上输入横坐标偏移数据m和纵坐标偏移数据n,客户终端装置208将包含客户输入的横坐标偏移数据m和纵坐标偏移数据n的数据发送给服务提供装置进行处理,服务提供装置202判断客户终端装置208发送的数据为涉及安全身份认证的数据后,转发给安全服务装置204进行处理。安全服务装置204将所述数据转给坐标偏移数据处理单元305进行处理,坐标偏移数据处理单元305对所述数据进行检查,比如横坐标偏移数据m和纵坐标偏移数据n是否在合理的数数据范围内,坐标偏移数据处理单元305完成数据检查后将坐标偏移数据(m,n)保存到数据管理装置201中。
步骤S702,提示所述的坐标数据:客户终端装置208发出身份认证请求。客户在客户终端装置208输入含身份标识(如银行卡号)的数据,客户终端装置208将身份认证请求发送给服务提供装置202,服务提供装置202判断数据为安全身份认证的数据后,转发给安全服务装置204,安全服务装置204从身份认证请求数据中获得客户身份标识,访问数据管理装置201,读取客户的动态口令卡数据。安全服务装置204的提示坐标数据生成单元303采用随机数处理机制随机生成提示坐标数据(x,y),并发送给服务提供装置202,由服务提供装置202生成输入动态口令的画面信息数据,服务提供装置202将所述的画面信息数据发送给客户终端装置208,由客户终端装置208显示该的画面。
步骤S703,接收输入的动态口令:客户看到提示的挑战坐标(x,y),根据自行设置的坐标偏移数据(m,n),在口令卡中查找坐标(x+m,y+m)对应的动态口令A并在客户终端装置208中输入该动态口令A,客户终端装置208将该动态口令A发送给服务提供装置202,服务提供装置202判断客户终端装置208发送的数据为涉及安全身份认证的数据后,转发给安全服务装置204进行处理。
步骤S704,根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令,将输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果:根据提示的坐标数据(x,y)与所述的坐标偏移数据(m,n)之和(x+m,y+n)获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令,将输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果。服务提供装置202将包含客户输入的动态口令的数据转发给安全服务装置204进行认证时,安全服务装置204调用口令认证单元304对客户输入的动态口令进行认证。口令认证单元304在认证所述的动态口令时,访问数据管理装置101,读取存储在数据管理装置101中的客户设置的坐标偏移数据(m,n),根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据(x+m,y+n),即客户应输入的正确口令的坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令A,将客户从动态口令卡获得并输入的动态口令A与获取的偏移坐标数据对应的动态口令进行一致性比较,如果一致则客户身份认证通过,如果不一致则客户身份认证不通过,口令认证单元304将口令认证结果返回给安全服务装置204,安全服务装置204再将身份认证的结果发送给服务提供装置202,服务提供装置202生成显示客户身份认证结果的画面数据信息,并发送给客户终端装置208,客户终端装置208显示客户身份认证结果界面。
图7为动态口令卡的动态口令与坐标数据对应关系列表承载面,该动态口令与坐标数据对应关系列表采用矩阵方式排列,分横纵10×10组口令数据,可由厂商提前印制成卡并加盖不透明覆膜。
还可采用PDA作为存储动态口令的便携式可读存储介质,在PDA的屏幕上显示以矩阵方式排列的动态口令与坐标数据对应关系列表,该动态口令与坐标数据对应关系列表分横纵10×10组口令数据,由厂商提前存储到PDA中。这里也可采取手机等替代方案。
如图6所示,客户终端装置的显示器上显示有坐标提示,其中提示了两组坐标数据,一组坐标数据是32,另一组坐标数据是62。如果用户设置的坐标偏移数据为(9,-2),则偏移坐标数据为(3+9,2-2)和(6+9,2-2)即(12,0)和(15,0),此时口令认证单元304可对超过横纵坐标最大数据的12及15作取模运算:12 mod 10,15 mod 10(10为横/纵坐标的个数)即取得12及15除以10的余数12 mod 10=2,15 mod 10=5,最后得出坐标数据(2,0)和(5,0)。如果提示坐标数据加坐标偏移数据出现了负数,例如(-2,0),则将该负数与其对应的横或纵坐标的总个数相加,此处为10+(-2)=8,即得出偏移坐标数据(8,1)。在查阅包含图8所示的对应关系的动态口令卡或PDA时,可从显示的动态口令与坐标数据对应关系列表中读出,(2,0)坐标位置上对应的动态口令为B2F,(5,0)坐标位置上对应的动态口令为574。客户终端装置的显示器上还显示有口令输入框,将B2F574输入到客户终端装置进行动态口令认证。
在另一实施例中,设置完坐标偏移数据后,可进行以下流程:安全服务装置204采用随机数处理机制随机生成真实动态口令坐标(x,y)后,再调用提示坐标数据生成单元303生成提示坐标数据,提示坐标数据生成单元303读取数据管理装置201中保存的客户设置的坐标偏移值(m,n)后,计算得到提示坐标数据(x-m,y-n),并将提示坐标数据(x-m,y-n)发送给服务提供装置202,由服务提供装置202生成输入动态口令的画面信息数据,服务提供装置202将所述的画面信息数据发送给客户终端装置208,由客户终端装置208进行显示。客户看到提示的坐标数据(x-m,y-n),根据自行设置的坐标偏移数据(m,n)得到真正动态口令坐标数据(x-m+m,y-n+m)=(x,y),再对照口令卡查找坐标(x,y)对应的动态口令A。客户在客户终端装置208中输入该动态口令A,客户终端装置208将该动态口令A发送给服务提供装置202,服务提供装置202判断客户终端装置208发送的数据为涉及安全身份认证的数据后,转发给安全服务装置204进行处理。口令认证单元304在认证动态口令时先将提示坐标数据(x-m,y-n)进行还原处理,通过访问数据管理装置201,读取存储在数据管理装置201中的客户设置的坐标偏移数据(m,n),再计算得到偏移坐标数据(x-m+m,y-n+n),即真实动态口令坐标数据(x,y)。口令认证单元304将真实动态口令坐标数据(x,y)对应的动态口令与输入的动态口令进行比较,产生验证结果。
在进一步的实施例中,所述的动态口令卡被称作电子银行口令卡。申领了电子银行口令卡的客户通过网上银行办理的对外支付交易均需使用动态口令进行客户身份确认。电子银行口令卡上印有19位序列号,第1-2位为卡类型的序号(“10”代表境内个人网上银行,“20”代表境外网上银行),第3-18位为卡片顺序号,第19位为校验位。
个人网上银行客户可到银行柜面申领电子银行口令卡,领取卡片后,在进行个人网上银行对外支付时,客户需根据页面提示输入电子银行口令卡上相应坐标上的口令,即可成功进行支付。
银行网点发售给客户电子银行口令卡时,通过系统将电子银行口令卡与领用客户进行绑定。每次需要客户使用口令时,网上银行系统将提示客户输入两个坐标位置的口令,系统将对客户录入的口令进行认证。
电子银行口令卡采用矩阵方式排列,横纵的口令数可按需要设定,由厂商提前印制成卡并加盖不透明覆膜。电子银行口令卡的外观尺寸与普通的银行卡卡片相同,卡片底色可为金色,其中卡片正面包括银行行标和“电子银行口令卡”字样、电子银行“小e人”图案、银行网址、服务热线、卡片防伪标识(包括水印防伪和微缩字等)以及使用提示。在本发明一实施例中卡片背面为19位卡号和印刷的10×10组口令,每组口令由3位数字构成,口令字符数据区分别覆盖可刮开的不透明保护膜,并印制有银行行徽图案,以防伪造。保护膜和银行行徽如被破坏,则视为废卡,不得提供给客户使用。
电子银行口令卡申领流程:个人客户可到营业网点申领电子银行口令卡:新申请注册个人网上银行的客户填写《电子银行个人客户注册申请表》上有关内容,已经注册个人网上银行的客户填写《电子银行个人客户变更(注销)事项申请表》上有关内容,即可申请。
营业网点柜员审核客户提供的本人身份证件和注册的银行卡无误后,在系统中办理启用交易,将卡片与领用客户进行绑定,并向客户发放电子银行口令卡,用户设置坐标偏移数据。
电子银行口令卡更换流程:客户的电子银行口令卡毁损或遗失后,可通过到营业网点申请更换电子银行口令卡。营业网点柜员审核客户客户提供的本人身份证件和注册的银行卡无误后,在系统中办理更换交易,向客户发放新的电子银行口令卡。办理更换后,原电子银行口令卡自动作废。
使用电子银行口令卡的认证流程:客户进行个人网上银行支付时,系统根据客户信息,判定客户是有效的电子银行口令卡用户后,向客户进行提问/应答。系统随机显示二个坐标提问,要求客户按序输入电子银行口令卡对应坐标值的动态口令。为了安全,提问坐标是用图片显示,并在页面建立坐标值有效时间控制机制,客户长时间不输入和确认时,系统会提示客户坐标值已经超时,需要客户重新按照页面新出的坐标进行输入(新展现的页面保留客户原输入的信息)。以转账汇款为例,页面提示如下:
客户根据“坐标”,按次序正确输入工行电子银行口令卡对应坐标值的动态口令作为“应答”项。客户输入对应坐标值的动态口令后,点击“确认”提交个人网上银行系统认证合法性。个人网上银行认证客户输入的“应答”后,完成认证工作,若应答相符则显示交易成功流水号。
对于电子银行口令卡的口令输入错误次数均进行日累计和历史累计输入错误次数控制,当一天内输入错误次数达到日累计规定次数后,系统自动冻结客户支付权限,次日输入错误的次数自动清零,并解冻客户支付权限,冻结当日客户可以前往营业网点进行支付状态的解冻;历史累计输入错误次数达到规定次数后,系统自动冻结客户支付权限,次日不再将错误次数清零,也不再解冻客户支付权限,客户需要在网点进行支付状态的解冻或更换新卡。
动态口令卡可采用ID卡、智能卡等,也可根据银行特色来定义所使用的动态口令卡特性以及在使用、认证时的一些特殊方式。
本发明的有益效果在于:本发明提供的实现安全身份认证的系统及方法,克服了目前动态口令认证方式中存在口令卡口令信息容易暴露,容易被他人偷窥、复印或者拍照等,从而危及客户信息或财产安全的问题。
以上具体实施方式仅用于说明本发明,而非用于限定本发明。
Claims (9)
1.一种基于动态口令的身份认证方法,其特征在于,所述方法包括以下步骤:
随机生成一组动态口令,每个动态口令均具有唯一性;
建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐标数据的对应关系进行存储;
设置所述动态口令的坐标偏移数据;
在进行动态口令安全认证时:
提示一组所述的坐标数据;
接收输入的动态口令;
根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令;
将输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果。
2.如权利要求1所述的基于动态口令的身份认证方法,其特征在于,所述的方法还包括,在设置所述动态口令坐标偏移数据时检查所述的坐标偏移数据是否在合理的数值范围内,如果是则对其进行存储。
3.根据权利要求1所述的基于动态口令的身份认证方法,其特征在于,根据建立的每个动态口令与坐标数据的对应关系,生成动态口令与坐标数据对应关系列表;
将所述的动态口令与坐标数据对应关系列表输出到便携式可读存储介质中或印制在卡上;
从所述的便携式可读存储介质中或卡上读出所述的偏移坐标数据对应的动态口令输入。
4.根据权利要求1所述的基于动态口令的身份认证方法,其特征在于,所述的坐标偏移数据、提示的坐标数据为二维坐标数据,包括横坐标数据和纵坐标数据,每个动态口令与一组横、纵坐标数据相对应。
5.一种基于动态口令的身份认证系统,所述基于动态口令的身份认证系统包括:安全服务装置、数据管理装置、服务提供装置、客户终端装置,其特征在于:
所述的客户终端装置连接于所述的服务提供装置,包括:
终端提示单元,用于在客户终端装置上提示输入坐标偏移数据或提示一组坐标数据;
终端输入单元,用于根据提示输入坐标偏移数据或动态口令;
所述的服务提供装置连接于所述的数据管理装置、安全服务装置和客户终端装置,用于生成坐标偏移数据输入界面数据或动态口令输入界面数据,并将所述界面数据发送给客户终端装置,再接收在客户终端装置输入坐标偏移数据或用于认证的动态口令,并发送给所述的安全服务装置;
所述的安全服务装置连接于所述的数据管理装置及所述的服务提供装置,包括:
动态口令生成单元,用于随机生成一组动态口令并且每个动态口令均具有唯一性;
动态口令坐标单元,用于建立每个动态口令与一组坐标数据的对应关系,并将动态口令与坐标数据的对应关系进行存储;
提示坐标数据生成单元,用于选择一组坐标数据,生成提示坐标数据发送给所述的服务提供装置,供所述的服务提供装置生成动态口令输入界面数据;
口令认证单元,用于根据提示的坐标数据与所述的坐标偏移数据之和获得偏移坐标数据,从所述的动态口令与坐标数据的对应关系中获得偏移坐标数据对应的动态口令,将输入的动态口令与获取的偏移坐标数据对应的动态口令进行一致性比较,输出认证结果;
所述的数据管理装置连接于所述的服务提供装置,用于存储所述的每个动态口令与一坐标数据的对应关系及坐标偏移数据。
6.根据权利要求5所述的基于动态口令的身份认证系统,其特征在于,所述的系统还包括:坐标偏移数据处理单元,用于检查所述的坐标偏移数据是否在合理的范围内,如果是则在所述的数据管理装置中保存所述的坐标偏移数据。
7.根据权利要求5所述的基于动态口令的身份认证系统,其特征在于,所述的系统还包括:便携式可读存储介质,用于存储根据建立的每个动态口令与一坐标数据的对应关系而生成的动态口令与坐标数据对应关系列表,并显示该动态口令与坐标数据对应关系列表;
从所述便携式可读存储介质上显示的动态口令与坐标数据对应关系列表中读出根据提示坐标数据得出的动态口令进行输入。
8.根据权利要求5所述的基于动态口令的身份认证系统,其特征在于,所述的坐标偏移数据、提示的坐标数据为二维坐标数据,包括横坐标数据和纵坐标数据,每个动态口令与一组横、纵坐标数据相对应。
9.根据权利要求5所述的基于动态口令的身份认证系统,其特征在于,所述的终端提示单元,还可至少提示两组坐标。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008102221342A CN101355426A (zh) | 2008-09-10 | 2008-09-10 | 基于动态口令的身份认证方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008102221342A CN101355426A (zh) | 2008-09-10 | 2008-09-10 | 基于动态口令的身份认证方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101355426A true CN101355426A (zh) | 2009-01-28 |
Family
ID=40308038
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008102221342A Pending CN101355426A (zh) | 2008-09-10 | 2008-09-10 | 基于动态口令的身份认证方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101355426A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902328A (zh) * | 2009-05-27 | 2010-12-01 | 林廷 | 一种利用动态密码验证用户身份的方法 |
CN102843236A (zh) * | 2012-09-12 | 2012-12-26 | 飞天诚信科技股份有限公司 | 一种动态口令的生成及认证方法与系统 |
CN103440442A (zh) * | 2013-08-28 | 2013-12-11 | 苏凯 | 一种可防盗的口令卡及对应的密码管理方法 |
CN111914246A (zh) * | 2019-05-10 | 2020-11-10 | 邱岳山 | 一种动态密码生成和验证方法 |
-
2008
- 2008-09-10 CN CNA2008102221342A patent/CN101355426A/zh active Pending
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101902328A (zh) * | 2009-05-27 | 2010-12-01 | 林廷 | 一种利用动态密码验证用户身份的方法 |
CN101902328B (zh) * | 2009-05-27 | 2016-08-03 | 林廷 | 一种利用动态密码验证用户身份的方法 |
CN102843236A (zh) * | 2012-09-12 | 2012-12-26 | 飞天诚信科技股份有限公司 | 一种动态口令的生成及认证方法与系统 |
CN102843236B (zh) * | 2012-09-12 | 2014-12-10 | 飞天诚信科技股份有限公司 | 一种动态口令的生成及认证方法与系统 |
CN103440442A (zh) * | 2013-08-28 | 2013-12-11 | 苏凯 | 一种可防盗的口令卡及对应的密码管理方法 |
CN111914246A (zh) * | 2019-05-10 | 2020-11-10 | 邱岳山 | 一种动态密码生成和验证方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2747947C2 (ru) | Системы и способы персональной идентификации и верификации | |
CN110771095B (zh) | 用于实现基于区块链的数字证书的系统和方法 | |
AU2005318933B2 (en) | Authentication device and/or method | |
CA2591968C (en) | Authentication device and/or method | |
US8626656B2 (en) | System and method for securing payment instruments | |
US8560457B2 (en) | Enhanced network server authentication using a physical out-of-band channel | |
CN110800254B (zh) | 用于生成数字标记的系统和方法 | |
US20100138347A1 (en) | Account Transaction Management Using Dynamic Account Numbers | |
EA034474B1 (ru) | Способ и система для абстрактных и рандомизированных одноразовых паролей для транзакционной аутентификации | |
CN105227317B (zh) | 一种支持认证器隐私的云数据完整性检测方法和系统 | |
BRPI0616692A2 (pt) | métodos fora de linha para autenticação em um sistema de autenticação cliente/servidor | |
CN1987938A (zh) | 一种动态密码方法、系统及动态密码卡 | |
CN102098315A (zh) | 一种客户端安全登录方法、装置及系统 | |
CN101897165A (zh) | 数据处理系统中验证用户的方法 | |
Patel et al. | DAuth: A decentralized web authentication system using Ethereum based blockchain | |
CN101093562A (zh) | 电子验证方法和电子验证系统 | |
CN111641605B (zh) | 基于动态口令的电子签章方法及系统 | |
CN103236927A (zh) | 一种基于动态身份标识的认证方法及系统 | |
CN104506557B (zh) | 用于管理登录信息的方法及装置 | |
Helbach et al. | Secure internet voting with code sheets | |
Perez et al. | Improving end-to-end verifiable voting systems with blockchain technologies | |
CN101355426A (zh) | 基于动态口令的身份认证方法及系统 | |
CN201360263Y (zh) | 基于动态口令的身份认证系统 | |
Akbar et al. | E-Voucher System Development for Social Assistance with Blockchain Technology | |
Misbahuddin et al. | A user friendly password authenticated key agreement for multi server environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20090128 |