CN101789864A - 一种网上银行后台身份认证方法、装置及系统 - Google Patents
一种网上银行后台身份认证方法、装置及系统 Download PDFInfo
- Publication number
- CN101789864A CN101789864A CN201010107212A CN201010107212A CN101789864A CN 101789864 A CN101789864 A CN 101789864A CN 201010107212 A CN201010107212 A CN 201010107212A CN 201010107212 A CN201010107212 A CN 201010107212A CN 101789864 A CN101789864 A CN 101789864A
- Authority
- CN
- China
- Prior art keywords
- password
- user
- input
- unit
- sign
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000012795 verification Methods 0.000 claims description 17
- 238000012545 processing Methods 0.000 description 21
- 230000006870 function Effects 0.000 description 16
- 230000004048 modification Effects 0.000 description 6
- 238000009825 accumulation Methods 0.000 description 5
- 239000013078 crystal Substances 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 241000234435 Lilium Species 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000008014 freezing Effects 0.000 description 1
- 238000007710 freezing Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000007790 scraping Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明实施例提供了一种网上银行后台身份认证方法、装置及系统,该装置包括:密码输入单元,接收用户输入的多要素密码;PIN输入单元,接收用户输入的PIN;密码模式选择单元,向用户提示多要素密码生成模式选择请求,接收用户输入的多要素密码生成模式;存储单元,存储用户密钥和密码算法;干扰单元,生成干扰因子;检验码生成单元,根据用户选择的多要素密码生成模式获取当前干扰因子、预存的用户密钥以及对应的密码算法,根据干扰因子、用户密钥和对应的密码算法生成检验码;认证单元,用校验码对多要素密码进行认证生成认证结果;显示单元,显示认证结果。用以解决网上银行等金融交易系统后台服务器的身份鉴别和交易认证问题。
Description
技术领域
本发明关于身份鉴别和交易认证技术,特别是关于网上银行等金融交易系统的身份鉴别和交易认证技术,具体的讲是一种网上银行后台身份认证方法、装置及系统。
背景技术
在现有技术中,针对身份鉴别和交易授权认证的方案有如下几种:(一)静态密码:用户使用时常常设置弱密码,如生日、电话号等;容易被窃取和监听,如通过木马盗取和网络嗅探等。(二)刮刮卡和动态密码卡:实现一次一密,但无法保证交易数据的安全,存在交易数据被篡改的风险。(三)时间型动态令牌:基于时间的一次性密码产生器,能够保证一次一密,针对窃取和嗅探风险有一定的安全提升,但也不能完全根除风险。同时,仍不能防范数据被篡改。(四)USBKEY和软证书:利用PKI体系,对数据进行数字签名和加密,保证数据的完整、不可抵赖、机密性等;但此种方式实施成本较高,需要后台部署CA、RA、验签组件等;用户需要进行证书的申请、更新、恢复等管理操作,使用复杂。同时,软证书容易被复制和盗取;USBKEY设备需要安装驱动和相关用户端组件才能使用,存在兼容性、易用性问题,且目前只能适用于计算机终端,无法在手机、电话、电视等渠道使用。同时,此种方式由于上层应用和底层签名加密之间有诸多环节,仍存在篡改数据的风险和被远程控制,造成恶意利用用户证书的风险。
上述各种认证方案,要么安全性不高,存在被窃取和嗅探风险,不能对交易数据进行保护等;要么易用性不高,后台部署及用户使用复杂、无法在各种渠道广泛使用。
发明内容
本发明实施例提供了一种网上银行后台身份认证方法、装置及系统,用以解决网上银行等金融交易系统后台的身份鉴别和交易认证的问题。
本发明的目的之一是,提供一种身份认证方法,该方法包括:接收用户输入的多要素密码;向用户提示个人识别码PIN输入信息;接收用户输入的PIN;确定所述的PIN正确后,向用户提示多要素密码生成模式选择请求;接收用户输入的多要素密码生成模式;根据输入的多要素密码生成模式获取当前的干扰因子、预存的用户密钥以及对应的密码算法,并根据当前的干扰因子、获取的用户密钥和对应的密码算法,生成所述多要素密码的校验码;用所述的校验码对所述的多要素密码进行认证。
本发明的目的之一是,提供一种身份认证装置,该装置包括:密码输入单元,用于接收用户输入的多要素密码;PIN输入单元,用于向用户提示PIN输入请求,接收用户输入的PIN;密码模式选择单元,用于确定所述的PIN正确后,向用户提示多要素密码生成模式选择请求,接收用户输入的多要素密码生成模式;存储单元,用于存储用户密钥和密码算法;干扰单元,用于生成干扰因子;检验码生成单元,用于根据用户选择的多要素密码生成模式获取当前干扰因子,并获取预存的用户密钥以及对应的密码算法,根据所述的干扰因子、用户密钥和对应的密码算法生成检验码;认证单元,用所述的校验码对所述的多要素密码进行认证生成认证结果;显示单元,用于显示所述的认证结果。
本发明的目的之一是,提供一种身份认证系统,该系统包括:身份认证装置和交易终端;所述的交易终端与网上银行后台认证服务器连接,用于通过交易页面向用户提示多要素密码、多要素密码生成模式和/或短签名因子信息;所述的身份认证装置包括:密码输入单元,用于接收用户输入的多要素密码;PIN输入单元,用于向用户提示PIN输入请求,接收用户输入的PIN;密码模式选择单元,用于确定所述的PIN正确后,向用户提示多要素密码生成模式选择请求,接收用户输入的多要素密码生成模式;存储单元,用于存储用户密钥和密码算法;干扰单元,用于生成干扰因子;检验码生成单元,用于根据用户选择的多要素密码生成模式获取当前干扰因子,并获取预存的用户密钥以及对应的密码算法,根据所述的干扰因子、用户密钥和对应的密码算法生成检验码;认证单元,用所述的校验码对所述的多要素密码进行认证生成认证结果;显示单元,用于显示所述的认证结果。
本发明的有益效果在于,本发明通过从交易页面获取多要素密码、密码生成模式和短签名信息,将多要素密码、密码生成模式和短签名信息在本发明装置的显示器上通过挑战的方式输入,本发明装置通过用户输入的信息和自身存储的信息、编码方法生成校验码,用校验码对输入的多要素密码进行认证,从而实现对交易页面及其后台服务器真实性的认证。这种反向认证方法提高了交易认证的安全性。本发明身份认证装置为脱机使用,无需和手机、电话、计算机进行连接,此种脱机使用的方式,一是使得装置可适用于多个电子渠道,为多个渠道使用同一认证介质提供了基础。二是改善了认证介质的易用性,降低了装置使用难度,无需安装驱动和控件程序。本发明身份认证装置及系统可用于验证服务器端身份,同时支持一次密码(OTP,One-Timepassword)和短签名(SIGN)两种工作模式。本发明认证装置提供PIN码保护,避免因身份认证装置丢失而造成的风险。支持PIN码的修改和重置。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例身份认证方法流程图;
图2为本发明实施例身份认证装置结构框图;
图3为本发明实施例身份认证装置外观示意图;
图4为本发明实施例身份认证装置内部结构框图;
图5为本发明实施例身份认证系统的示意图;
图6为本发明实施例身份认证系统OTP工作模式流程图;
图7为本发明实施例身份认证系统SIGN工作模式流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明具体实施方式提供了一种身份认证方法,该方法包括:接收用户输入的多要素密码(步骤S101);向用户提示个人识别码PIN输入信息(步骤S102);接收用户输入的PIN(步骤S103);确定所述的PIN正确后,向用户提示多要素密码生成模式选择请求(步骤S104);接收用户输入的多要素密码生成模式(步骤S105);根据所述的多要素密码生成模式获取当前干扰因子,并获取预存的用户密钥以及对应的密码算法,并根据当前干扰因子、用户密钥和密码算法生成校验码(步骤S106);用校验码对多要素密码进行认证(步骤S107)。
本具体实施方式的身份认证方法是基于身份认证装置的身份认证方法,可实现包括时间或者事件等多个干扰要素的一次性、多要素密码,用于用户身份鉴别及交易认证;同时,本实施例的身份认证方法提供短签名功能,可以保证交易数据不可篡改,不可抵赖。
本具体实施方式多要素密码的第一层次的保护范围是基于当前干扰因子(包括当前时间,计数器等)产生一个动态密码;多要素密码的第二层次的保护范围是为了进一步防止交易关键信息被劫持和篡改的考虑,在基于当前干扰因子的基础上,加上交易关键信息,一并作为动态密码(或者叫验证码)的产生因子。本实施例的身份认证方法的应用场景不限于互联网,还包括手机、电话、ATM等多种电子渠道。
如图2所示,本发明具体实施方式的身份认证装置包括:密码输入单元101用于接收用户输入的多要素密码;PIN输入单元102用于向用户提示PIN输入请求,接收用户输入的PIN;密码模式选择单元103用于确定所述的PIN正确后,向用户提示多要素密码生成模式选择请求,接收用户输入的多要素密码生成模式;存储单元104用于存储用户密钥和密码算法;干扰单元105用于获取干扰因子;检验码生成单元106用于根据用户选择的多要素密码生成模式获取当前干扰因子,并获取预存的用户密钥以及对应的密码算法,根据当前干扰因子、用户密钥和对应的密码算法生成检验码;认证单元107用于校验码对多要素密码进行认证;显示单元108用于显示认证结果。
具体实施方式的身份认证装置有两种工作模式,一种是一次密码(OTP,One-Time password)工作模式,另外一种是短签名(SIGN)工作模式。OTP工作模式主要根据干扰因子和客户密钥,按照一定算法,如摘要算法、或对称加密算法等,产生一次性动态密码,通过此一次性密码达到身份鉴别和交易认证的目的。SIGN工作模式主要根据客户输入元素(如交易金额和交易帐号),干扰因子、客户密钥,按照一定的算法,如摘要算法、或对称加密算法等,产生和交易数据相关一次性交易密码,通过此密码,保证交易数据的不可篡改,交易的不可抵赖。
本发明通过从交易页面获取多要素密码、密码生成模式和短签名信息,将多要素密码、密码生成模式和短签名信息在本发明装置的显示器上通过挑战的方式输入,本发明装置通过用户输入的信息和自身存储的信息、编码方法生成校验码,用校验码对输入的多要素密码进行认证,从而实现对交易页面及其后台服务器真实性的认证。这种反向认证方法提高了交易认证的安全性。
实施例
以网上银行登录为例,介绍OTP工作模式的处理流程。本发明实施例的身份认证系统包括:身份认证装置和网上银行交易终端;交易终端与网上银行后台认证服务器连接,用于将后台认证服务器产生的OTP密码通过交易页面向用户提示。
如图3所示,本实施例的身份认证装置包括:显示屏、输入键和外壳。输入键又可分为功能键和数字键盘。显示屏用于显示提示输入OTP密码和PIN码的指令信息,回显客户输入等功能;数字键盘主要用于输入OTP密码、PIN码、交易数据等信息;功能键有开关键,用于启动和关闭装置;PIN键,用于进入PIN码修改程序;OTP键,用于进入OTP工作模式,根据当前干扰因子、客户密钥和OTP加密算法,产生一次性动态密码的OTP校验码;SIGN键,用于进入SIGN工作模式,并根据客户输入元素、当前干扰因子、客户密钥和SIGN加密算法产生短签名密码的SIGN校验码。外壳,用于固定和保护内部零件及电路,并且具有美观和便于携带、使用的功能。本实施例的身份认证装置大小如同银行卡,易于携带,同时可根据需求进行灵活的外观定制。
如图4所示,本实施例的身份认证装置的内部结构包括:中央处理器,用于根据各种条件和请求进行计算处理;显示单元、输入单元、存储单元、干扰因子单元和电源单元。其中,显示单元包括显示屏和显示驱动芯片等,用于显示身份认证装置的提示信息、客户输入及密码信息等;输入单元包括键盘和输入控制逻辑,用于客户输入OTP密码或SIGN密码、身份认证装置PIN码、交易挑战、功能选择等;存储单元,用于存储客户密钥,每个身份认证装置的客户密钥不同,可使用硬件随机发生器产生,存储单元还保存加密算法等其他信息;干扰因子单元,用于提供时间或者事件干扰因子,如果是时间因子则提供时钟晶振,如果是事件因子,则提供事件计数器;作为一种特例,身份认证装置可省略干扰因子单元,为防范密码重复,防止重发攻击,可在要求客户输入的交易元素中增加随机变量或时间戳等一次性信息,从而保证客户密码的随机性,实现一次一密;电源单元,用于提供身份认证装置电能的组件,例如电池、可更换备用电池的双电池电源、可充电电池等。身份认证装置可采用触控开关实现开盖自毁等物理保护。
身份认证装置有两种工作模式,一种是OTP工作模式,另外一种是SIGN工作模式。OTP工作模式主要根据干扰因子和客户密钥,按照一定算法,如摘要算法、或对称加密算法等,产生一次性动态密码的校验码,通过此一次性密码与校验码的比对,达到后台身份鉴别和交易认证的目的。
如图5所示,为本实施例的网上银行后台身份认证系统,该系统包括:身份认证装置201和ATM终端202;ATM终端202与网上银行后台认证服务器连接,用于通过交易页面向用户提示多要素密码、多要素密码生成模式和短签名因子信息;身份认证装置201包括:中央处理器、显示器、开关按键、数字按键、密码模式选择键、存储器、干扰生成器、校验码生成器以及电池;其中,中央处理器分别与显示器、开关按键、数字按键、密码模式选择键、存储器、干扰生成器、校验码生成器以及电池相连接;开关按键接收用户进行的触按,执行开机动作;显示器向用户提示多要素密码和个人认证码PIN输入请求,用户通过数字按键输入多要素密码和PIN;显示器向用户提示密码模式选择信息,用户通过密码模式选择键输入密码模式;存储器存储用户密钥和密码算法,干扰生成器生成干扰因子,校验码生成器根据用户输入的密码模式获取对应的密码算法,并根据输入的干扰因子、预存的用户密钥和对应的密码算法生成多要素密码的校验码,并将校验码与输入的多要素密码进行比对,显示器显示比对结果;中央处理器控制显示器、开关按键、数字按键、密码模式选择键、存储器、干扰生成器和校验码生成器,电池提供工作电能。
如图6所示,OTP工作模式包括以下步骤:用户携带身份认证装置在网上银行终端上进行交易。其中,
步骤S201,客户访问网上银行登录页面,输入登录ID;
步骤S202,页面提示在身份认证装置上输入的OTP密码;
步骤S203,客户按下身份认证装置的开关键,开启身份认证装置,即通过输入单元输入该OTP密码,并向处理单元发送指令启动身份认证装置;
步骤S204,身份认证装置的显示单元提示客户输入PIN码;
步骤S205,客户通过输入单元输入PIN码,处理单元从存储单元中获取正确的PIN码,并同客户输入的PIN码比较,如正确则显示单元提供功能选择提示,如错误则处理单元进行PIN码错误累计并记录在存储单元,当未超过最大错误次数时,显示单元提示客户重新输入PIN码,当达到最大PIN码错误次数时,处理单元拒绝再次比对PIN码和计算密码,身份认证装置处于锁死状态,只能进行PIN码重置,才能继续使用身份认证装置;
步骤S206,PIN码正确,显示单元提示客户选择OTP或者SIGN功能;
步骤S207,客户按OTP键;
步骤S208,输入单元指示处理单元获得当前干扰因子,从存储单元获得客户密钥,并根据获得的当前干扰因子和客户密钥,使用OTP算法,得到一次性OTP密码的校验码,校验码可以是6位数字组成,根据需要可自定义长度和密码取值范围;
步骤S209,将得到的OTP校验码与输入的OTP密码进行比对,如果一致,则通过显示单元提供给客户验证成功,否则验证失败。
客户按身份认证装置开关键关闭身份认证装置,此时输入单元指令处理单元将身份认证装置处于关闭状态,如客户不手工关闭身份认证装置,身份认证装置在显示OTP密码校验结果15秒后会自动关闭,此时间可根据需要自定义,此超时自动关闭由处理单元主动发起。
SIGN工作模式主要根据客户输入元素,干扰因子、客户密钥,按照一定的算法,产生和交易数据相关一次性交易密码的校验码,通过此校验码,校验SIGN密码的合法性,从而判断后台服务器的真实性。
如图7所示,SIGN工作模式包括以下步骤:
步骤S301,客户进入交易录入页面,录入交易元素;
步骤S302,系统进行数据和交易的合法性校验后,回显交易确认页面,并提示客户使用动态身份认证装置进行短签名认证,并显示SIGN密码和交易元素(如:转出转入账号、交易金额和/或交易字符串等);交易字符串可以是用户在后台预留的信息,比如:用户的昵称为Lily,则系统进行数据和交易的合法性校验后,回显交易确认页面,并提示客户使用动态身份认证装置进行短签名认证,并显示SIGN密码和用户昵称输入请求,此时用户需在身份认证装置上分别输入显示的SIGN密码和Lily。
步骤S303,客户按身份认证装置的开关键开启身份认证装置,输入该SIGN密码,并指令处理单元处于工作状态;
步骤S304,处理单元指令显示单元提示输入PIN码;
步骤S305,客户输入正确的PIN码,输入单元将客户输入的PIN传递给处理单元,处理单元从存储单元获取客户PIN码,并同客户输入的PIN码进行比对;
步骤S306,如果PIN码一致则指示显示单元提示客户进行OTP或者SIGN功能选择;
步骤S307,客户按SIGN键进入交易短签名功能;输入单元指令处理单元处于短签名功能;
步骤S308,交易页面提示短签名功能需要输入的内容;
步骤S309,客户根据交易页面提示的内容,在身份认证装置上输入交易账号和金额和/或交易字符串(如,用户的昵称Lily),可以是分多个字段录入,或者将上述信息拼接成一个签名串一次性录入。此录入长度可支持256字节,或者根据需求进行自定义。如果输入错误,可使用后退键除去错误输入,如果要除去一行或全部输入,可按住后退键2秒,之后将清空某一行或全部客户输入,此操作可根据需求对输入单元进行自定义。输入单元最终将客户输入的交易信息传递给处理单元。短签名内容可以使用账号和金额,也可是后台随机从上述内容中选取的某些局部数字,亦或可以提示对交易验证码进行短签名;对于本交易,优先推荐对交易转出账号和金额进行签名;
步骤S310,客户在身份认证装置输入完成后,再按SIGN键,输入单元指令处理单元进行短签名。首先从存储单元中获取客户密钥和SIGN密码算法,并获取当前干扰因子,根据当前干扰因子、客户密钥和输入的交易元素,按照SIGN密码算法计算生成短签名密码的校验码;
步骤S311,将输入的SIGN密码与校验码进行比对,如果一致,则通过显示单元提供给客户验证成功,否则验证失败。
为支持客户使用此认证装置,需要在服务方部署动态密码管理系统,用于客户密钥产生、存储、使用、作废、冻结、解冻等生命周期管理,提供动态密码校验、错误累计功能,提供干扰因子同步功能,提供查询、统计、监控等功能。
身份认证装置对OTP和SIGN密码校验时,如果正确则记录下来,当前干扰因子以后不可再使用;如果错误,则进行错误累计,可进行密码错误日累计或历史累计。
在SIGN工作模式中,干扰因子参与运算,可使相同交易元素的短签名密码每次都不同,避免交易密码重发风险。
OTP工作模式和SIGN工作模式都可用于身份鉴别和交易认证,不局限于上述场景。例如,OTP工作模式和SIGN工作模式可用于验证服务器端身份,当客户登录系统时,动态密码管理系统后台首先使用OTP或者SIGN工作模式计算出一个密码,并显示或传递给客户,客户通过自己的认证装置可同样获得当前的密码,如果密码同服务器一致,说明服务器是真实的,不是钓鱼网站或电话欺诈。当使用SIGN工作模式时,也可不针对交易数据,而是使用约定好的某个信息,如当前交易验证码,或者预留在服务器端的信息进行短签名。优先推荐使用OTP工作模式进行客户或者服务器的身份鉴别,使用SIGN工作模式进行交易短签名。
身份认证装置有PIN码保护,使用时,必须输入正确的PIN码才能进行后续操作。
身份认证装置出厂时没有PIN码,客户拿到后第一次使用时,强制客户必须设置PIN码。例如,客户第一次使用时,按开关键开启装置,装置提示客户设置PIN码,客户通过数字键盘设置6位PIN码,并重新输入一次,此装置校验一致,则PIN码设置成功。
身份认证装置支持PIN码修改,客户按装置开关键启动,输入PIN码进入功能选择菜单,客户按PIN键进入PIN码修改功能,客户使用数字键盘设置6位新PIN码,并重新输入一次,装置校验一致,则PIN码修改成功。
身份认证装置支持PIN码重置,当客户遗忘PIN码时,需要到柜面处理,装置提供使用挑战应答方式的PIN码重置功能。在柜面,客户按此装置开关键开启,按2秒PIN键,此时装置根据当前干扰因子,和特定PIN重置算法得到PIN重置挑战值,如6位数字,客户将这6位挑战告知柜员,柜员在系统中录入,后台系统根据此挑战,客户当前干扰因子、客户密钥计算PIN重置应答,应答也可是6位数字,返回柜员终端,柜员通过打印密码信封,或者口头告知客户,客户在认证装置上输入此PIN重置应答码,装置校验正确后,将装置重置为无PIN码状态,或者重置为某个默认值。
身份认证装置中的干扰因子可采用时钟晶振或者事件计数器,优先推荐时钟晶振,上述干扰因子可能受到环境和人为因素的影响,造成同服务器端记录的不一致。如温度过高或过低造成时钟晶振不准,人为试用事件型OTP而未与后台校验,造成此装置和服务器端计数不一致。当出现上述情况时,需要对装置干扰因子进行同步处理。
客户可到柜面进行同步,客户使用此装置连续产生两个OTP密码,并告知柜员提交后台,后台根据客户提交的两个密码在干扰因子的一定变动范围内进行匹配,例如时钟晶振则在正负24小时内试算OTP密码,如果是事件计数则在正负50范围内试算OTP密码,只要能够匹配上客户连续输入的两个密码,即可定位装置干扰因子当前计数,调整服务器端记录,完成装置同步。上述匹配窗口可根据需求进行自定义。
身份认证装置大小如同银行卡,易于携带,同时可根据需求进行灵活的外观定制。装置的工作处于低功耗状态,其电量可有效保证装置使用3年以上,当电量耗尽或者到达有效期时,客户可更换一个新的装置,新装置采用新的客户密钥。
各种电子渠道可利用此装置进行身份鉴别和交易认证,如果配合原渠道的静态密码一起使用,将能够实现双因子认证,保证客户交易安全。
本发明通过交易短签名的实现方式,将交易元素参与到密码生成过程中,使得此密码只能用于此交易,如果篡改交易或者用此密码去做其他交易,服务器端都无法验证通过;通过短签名保证了交易数据的不可篡改,同时也起到了交易不可抵赖的作用,提高了交易认证的安全性。本发明身份认证装置为脱机使用,无需和手机、电话、计算机进行连接,此种脱机使用的方式,一是使得装置可适用于多个电子渠道,为多个渠道使用同一认证介质提供了基础。二是改善了认证介质的易用性,降低了装置使用难度,无需安装驱动和控件程序。本发明身份认证装置及系统可用于验证网上银行后台服务器端身份,同时支持OTP和SIGN两种工作模式。本发明认证装置提供PIN码保护,避免因身份认证装置丢失而造成的风险。支持PIN码的修改和重置。
本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (19)
1.一种网上银行后台身份认证方法,其特征是,所述的方法包括:
接收用户输入的多要素密码;
向用户提示个人识别码PIN输入信息;
接收用户输入的PIN;
确定所述的PIN正确后,向用户提示多要素密码生成模式选择请求;
接收用户输入的多要素密码生成模式;
根据输入的多要素密码生成模式获取当前的干扰因子、预存的用户密钥以及对应的密码算法,并根据当前的干扰因子、获取的用户密钥和对应的密码算法生成所述多要素密码的校验码;
用所述的校验码对所述的多要素密码进行认证。
2.根据权利要求1所述的方法,其特征是,所述的多要素密码生成模式包括:一次密码OTP生成模式和短签名密码SIGN生成模式。
3.根据权利要求2所述的方法,其特征是,接收用户通过键盘或触摸屏输入的OTP生成模式;
根据所述的OTP生成模式获取当前的干扰因子、预存的用户密钥以及对应的OTP密码算法,并根据所述的干扰因子、用户密钥和OTP密码算法生成OTP校验码,用所述的OTP校验码对所述的多要素密码进行认证。
4.根据权利要求2所述的方法,其特征是,接收用户通过键盘或触摸屏输入的SIGN生成模式;
根据所述的SIGN生成模式,向用户提示短签名因子信息输入请求;
接收用户通过键盘或触摸屏输入的短签名因子信息;
根据所述的SIGN生成模式获取当前干扰因子、预存的用户密钥以及SIGN密码算法,根据输入的短签名因子信息、所述的干扰因子、用户密钥和SIGN密码算法生成SIGN校验码,用所述的SIGN校验码对所述的多要素密码进行认证。
5.根据权利要求4所述的方法,其特征是,所述的短签名因子信息包括:交易帐号、交易金额和/或字符串。
6.根据权利要求1所述的方法,其特征是,所述的干扰因子包括:时钟数据和/或事件计数数据。
7.根据权利要求4所述的方法,其特征是,所述的方法还包括:外部交易页面向用户提示多要素密码、多要素密码生成模式和短签名因子信息。
8.一种网上银行后台身份认证装置,其特征是,所述的装置包括:
密码输入单元,用于接收用户输入的多要素密码;
PIN输入单元,用于向用户提示PIN输入请求,接收用户输入的PIN;
密码模式选择单元,用于确定所述的PIN正确后,向用户提示多要素密码生成模式选择请求,接收用户输入的多要素密码生成模式;
存储单元,用于存储用户密钥和密码算法;
干扰单元,用于生成干扰因子;
检验码生成单元,用于根据用户选择的多要素密码生成模式获取当前干扰因子,并获取预存的用户密钥以及对应的密码算法,根据所述的干扰因子、用户密钥和对应的密码算法生成检验码;
认证单元,用所述的校验码对所述的多要素密码进行认证生成认证结果;
显示单元,用于显示所述的认证结果。
9.根据权利要求8所述的装置,其特征是,所述的多要素密码生成模式包括:一次密码OTP生成模式和短签名密码SIGN生成模式。
10.根据权利要求9所述的装置,其特征是,所述的存储单元存储有OTP密码算法和SIGN密码算法;
所述的密码模式选择单元接收用户输入的OTP生成模式;
所述的检验码生成单元根据所述的OTP生成模式获取当前干扰因子、预存的用户密钥以及OTP密码算法,根据所述的干扰因子、用户密钥和OTP密码算法生成OTP校验码。
11.根据权利要求9所述的装置,其特征是,所述的装置还包括:短签名因子输入单元,用于根据用户输入的短签名密码SIGN生成模式,向用户提示短签名因子信息输入请求,接收用户通过键盘或触摸屏输入的短签名因子信息;其中,
所述的存储单元存储有OTP密码算法和SIGN密码算法;
所述的检验码生成单元根据所述的SIGN生成模式获取当前干扰因子、预存的用户密钥和SIGN密码算法、以及输入的短签名因子信息,并根据所述的干扰因子、用户密钥、输入的短签名因子信息和SIGN密码算法生成SIGN校验码。
12.根据权利要求11所述的装置,其特征是,所述的短签名因子信息包括:交易帐号、交易金额和/或字符串。
13.根据权利要求8所述的装置,其特征是,所述的干扰单元包括:
时钟,用于产生时间数据;
事件计数器,用于生成事件计数数据。
14.一种网上银行后台身份认证系统,其特征是,所述的系统包括:身份认证装置和交易终端;
所述的交易终端与网上银行后台认证服务器连接,用于通过交易页面向用户提示多要素密码、多要素密码生成模式和/或短签名因子信息;
所述的身份认证装置包括:密码输入单元,用于接收用户输入的多要素密码;PIN输入单元,用于向用户提示PIN输入请求,接收用户输入的PIN;密码模式选择单元,用于确定所述的PIN正确后,向用户提示多要素密码生成模式选择请求,接收用户输入的多要素密码生成模式;存储单元,用于存储用户密钥和密码算法;干扰单元,用于生成干扰因子;检验码生成单元,用于根据用户选择的多要素密码生成模式获取当前干扰因子,并获取预存的用户密钥以及对应的密码算法,根据所述的干扰因子、用户密钥和对应的密码算法生成检验码;认证单元,用所述的校验码对所述的多要素密码进行认证生成认证结果;显示单元,用于显示所述的认证结果。
15.根据权利要求14所述的系统,其特征是,所述的多要素密码生成模式包括:一次密码OTP生成模式和短签名密码SIGN生成模式。
16.根据权利要求15所述的系统,其特征是,所述的存储单元存储有OTP密码算法和SIGN密码算法;
所述的密码模式选择单元接收用户输入的OTP生成模式;
所述的检验码生成单元根据所述的OTP生成模式获取当前干扰因子、预存的用户密钥以及OTP密码算法,根据所述的干扰因子、用户密钥和OTP密码算法生成OTP校验码。
17.根据权利要求15所述的系统,其特征是,所述的装置还包括:短签名因子输入单元,用于根据用户输入的短签名密码SIGN生成模式,向用户提示短签名因子信息输入请求,接收用户通过键盘或触摸屏输入的短签名因子信息;其中,
所述的存储单元存储有OTP密码算法和SIGN密码算法;
所述的检验码生成单元根据所述的SIGN生成模式获取当前干扰因子、预存的用户密钥和SIGN密码算法、以及输入的短签名因子信息,并根据所述的干扰因子、用户密钥、输入的短签名因子信息和SIGN密码算法生成SIGN校验码。
18.根据权利要求17所述的系统,其特征是,所述的短签名因子信息包括:交易帐号、交易金额和/或字符串。
19.根据权利要求14所述的系统,其特征是,所述的干扰单元包括:
时钟,用于产生时间数据;
事件计数器,用于生成事件计数数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010107212A CN101789864B (zh) | 2010-02-05 | 2010-02-05 | 一种网上银行后台身份认证方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010107212A CN101789864B (zh) | 2010-02-05 | 2010-02-05 | 一种网上银行后台身份认证方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101789864A true CN101789864A (zh) | 2010-07-28 |
| CN101789864B CN101789864B (zh) | 2012-10-10 |
Family
ID=42532932
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010107212A Active CN101789864B (zh) | 2010-02-05 | 2010-02-05 | 一种网上银行后台身份认证方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101789864B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102307180A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种用于挑战应答令牌的交易确认方法 |
| CN102546571A (zh) * | 2010-12-31 | 2012-07-04 | 国民技术股份有限公司 | 一种身份认证系统及认证方法 |
| CN102611556A (zh) * | 2012-03-31 | 2012-07-25 | 飞天诚信科技股份有限公司 | 一种动态令牌的工作方法 |
| CN102664736A (zh) * | 2012-04-13 | 2012-09-12 | 天地融科技股份有限公司 | 电子密码生成方法、装置和设备以及电子密码认证系统 |
| CN102694766A (zh) * | 2011-03-21 | 2012-09-26 | 刘冠双 | 多方互动密码效验 |
| CN104333555A (zh) * | 2014-11-14 | 2015-02-04 | 中国建设银行股份有限公司 | 一种动态令牌工作方法及系统 |
| CN107276964A (zh) * | 2016-04-07 | 2017-10-20 | 大唐网络有限公司 | 二手物品在线交易过程中实现分级加密和安全认证的方法 |
| CN104333555B (zh) * | 2014-11-14 | 2018-02-09 | 中国建设银行股份有限公司 | 一种动态令牌工作方法及系统 |
| CN103684756B (zh) * | 2013-12-12 | 2018-10-19 | 深圳云高创投实业有限公司 | 基于物联同步的密码系统 |
| CN109658093A (zh) * | 2019-01-04 | 2019-04-19 | 中国银行股份有限公司 | 银行卡密码的密钥类型处理方法及装置 |
| CN109886181A (zh) * | 2019-02-18 | 2019-06-14 | Oppo广东移动通信有限公司 | 指纹算法确定方法及相关设备 |
| US20200358620A1 (en) * | 2019-05-10 | 2020-11-12 | Samsung Electronics Co., Ltd. | Method of operating memory system with replay attack countermeasure and memory system performing the same |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100492966C (zh) * | 2004-11-26 | 2009-05-27 | 王小矿 | 基于智能卡和动态密码的身份认证系统 |
| JP4388039B2 (ja) * | 2006-07-07 | 2009-12-24 | 株式会社ジェーシービー | ネット決済システム |
| CN101309141A (zh) * | 2007-05-15 | 2008-11-19 | 曲永皓 | 网络安全交易系统 |
| CN101102194B (zh) * | 2007-07-31 | 2010-06-09 | 北京飞天诚信科技有限公司 | 一种otp设备及利用该设备进行身份认证的方法 |
| WO2010000298A1 (en) * | 2008-06-30 | 2010-01-07 | Nokia Siemens Networks Oy | Apparatus, method and program for integrated authentication |
-
2010
- 2010-02-05 CN CN201010107212A patent/CN101789864B/zh active Active
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546571A (zh) * | 2010-12-31 | 2012-07-04 | 国民技术股份有限公司 | 一种身份认证系统及认证方法 |
| CN102546571B (zh) * | 2010-12-31 | 2014-10-15 | 国民技术股份有限公司 | 一种身份认证系统及认证方法 |
| CN102694766A (zh) * | 2011-03-21 | 2012-09-26 | 刘冠双 | 多方互动密码效验 |
| CN102307180A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种用于挑战应答令牌的交易确认方法 |
| US9413752B2 (en) | 2012-03-31 | 2016-08-09 | Feitian Technologies Co., Ltd. | One-time password operating method |
| CN102611556B (zh) * | 2012-03-31 | 2014-10-29 | 飞天诚信科技股份有限公司 | 一种动态令牌的工作方法 |
| CN102611556A (zh) * | 2012-03-31 | 2012-07-25 | 飞天诚信科技股份有限公司 | 一种动态令牌的工作方法 |
| CN102664736A (zh) * | 2012-04-13 | 2012-09-12 | 天地融科技股份有限公司 | 电子密码生成方法、装置和设备以及电子密码认证系统 |
| CN103684756B (zh) * | 2013-12-12 | 2018-10-19 | 深圳云高创投实业有限公司 | 基于物联同步的密码系统 |
| CN108924164A (zh) * | 2013-12-12 | 2018-11-30 | 景祝强 | 一种基于物联同步的二次密码的方法 |
| CN104333555A (zh) * | 2014-11-14 | 2015-02-04 | 中国建设银行股份有限公司 | 一种动态令牌工作方法及系统 |
| CN104333555B (zh) * | 2014-11-14 | 2018-02-09 | 中国建设银行股份有限公司 | 一种动态令牌工作方法及系统 |
| CN107276964A (zh) * | 2016-04-07 | 2017-10-20 | 大唐网络有限公司 | 二手物品在线交易过程中实现分级加密和安全认证的方法 |
| CN109658093A (zh) * | 2019-01-04 | 2019-04-19 | 中国银行股份有限公司 | 银行卡密码的密钥类型处理方法及装置 |
| CN109886181A (zh) * | 2019-02-18 | 2019-06-14 | Oppo广东移动通信有限公司 | 指纹算法确定方法及相关设备 |
| US20200358620A1 (en) * | 2019-05-10 | 2020-11-12 | Samsung Electronics Co., Ltd. | Method of operating memory system with replay attack countermeasure and memory system performing the same |
| US11552801B2 (en) * | 2019-05-10 | 2023-01-10 | Samsung Electronics Co., Ltd. | Method of operating memory system with replay attack countermeasure and memory system performing the same |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101789864B (zh) | 2012-10-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101789864B (zh) | 一种网上银行后台身份认证方法、装置及系统 | |
| CN101800645B (zh) | 一种身份认证方法、装置及系统 | |
| CN107888382B (zh) | 一种基于区块链的数字身份验证的方法、装置和系统 | |
| US8266441B2 (en) | One-time password credit/debit card | |
| CN201717873U (zh) | 一种身份认证装置及系统 | |
| AU2009200408B2 (en) | Password generator | |
| CN105162596B (zh) | 用于生成在与服务器交互中使用的安全值并传送给用户的设备 | |
| US8732793B2 (en) | Method and system for improving security of the key device | |
| US8954745B2 (en) | Method and apparatus for generating one-time passwords | |
| CA2417770A1 (en) | Trusted authentication digital signature (tads) system | |
| JP2009541870A (ja) | 生体特徴による身分認証の方法、装置、サーバ及びシステム | |
| CN106100848A (zh) | 基于智能手机和用户口令的双因子身份认证系统及方法 | |
| CN101374049B (zh) | 提高签名安全性的方法和系统 | |
| KR20090017099A (ko) | 일회용 패스워드 생성기능을 가진 스마트카드 및 이를이용한 전자금융거래시스템 | |
| KR101202245B1 (ko) | 이체정보로 생성되는 otp를 활용한 계좌이체시스템 및 방법 | |
| US8631475B1 (en) | Ordering inputs for order dependent processing | |
| US8756666B1 (en) | Generating authentication codes | |
| US20190362065A1 (en) | Password input system included in ic card and password input method included in ic card | |
| CN201717874U (zh) | 一种网上银行后台身份认证装置及系统 | |
| KR20070103956A (ko) | 착탈식 핸드폰 부속형의 시간동기화 방식 사용자 인증용원타임패스워드 생성 장치 및 방법 | |
| JP2001052125A (ja) | 認証装置および、認証システム | |
| JP2007317095A (ja) | 自動取引装置の認証システム | |
| KR20070117371A (ko) | 객체 지향 otp 난수 생성 장치 | |
| US20150302506A1 (en) | Method for Securing an Order or Purchase Operation Means of a Client Device | |
| CN111259362B (zh) | 一种硬件数字证书载体的身份鉴别方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |