CN102307094A - 一种动态口令签名方法 - Google Patents
一种动态口令签名方法 Download PDFInfo
- Publication number
- CN102307094A CN102307094A CN201110106474A CN201110106474A CN102307094A CN 102307094 A CN102307094 A CN 102307094A CN 201110106474 A CN201110106474 A CN 201110106474A CN 201110106474 A CN201110106474 A CN 201110106474A CN 102307094 A CN102307094 A CN 102307094A
- Authority
- CN
- China
- Prior art keywords
- dynamic password
- account
- dynamic
- token
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种动态口令签名方法,该方法是利用目标账号、源账号以及转账金额信息进行加密运算生成一次性的动态密码。本发明采用动态口令签名算法技术,实现对交易关键信息签名,防止欺诈交易发生。
Description
技术领域
本发明涉及一种签名方法,具体涉及一种动态口令签名方法。
背景技术
动态密码是一种一次性密码,每个密码只能使用一次。动态密码可以随时间、次数和挑战信息而变化。动态密码具有良好的安全性,广泛适用于各类信息系统。
动态口令是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态口令就无需定期密码,安全省心,这是这项技术的一个额外价值,对企事业内部应用尤其有用。
动态令牌是一种密码设备,用来生成动态口令终端,动态口令技术可以有效防止盗号,免除频繁修改静态密码的烦恼。
动态令牌的实现机制一般是基于时间同步机制,由于时间同步机制是以时间值作为参数每次动态地算出一串数字上传至中心服务器,所以它要求令牌和认证服务器在时间上保持一致性。虽然可以设定一定范围的误差来提高系统登录的通过率,但是实际情况是非常难于在一定的时间点上保证一致性,这样就带来安全隐患和不可靠性。再者,时间同步机制只要用户所输入的数和认证服务器的对应上就可以,存在非常大的隐患。所以在实际动态令牌应用中,还存在大量欺诈交易案例,从而给令牌的推广、用户财产和企业形象带来诸多负面影响。
在上述情况下,确保令牌使用安全成为一个关键问题。尤其是令牌用量特大的金融类客户在进行网银交易转账时,对令牌使用的安全非常敏感,非常担心欺诈交易案例出现。一旦发生欺诈交易案例,将导致灾难性后果,必须通过技术手段进行保障。
发明内容
本发明针对现有令牌在网银交易过程中存在大量欺诈交易的问题,而提供一种动态口令签名方法,该方法采用动态口令签名技术,实现对交易关键信息签名,防止欺诈交易发生。
为了达到上述目的,本发明采用如下的技术方案:
一种动态口令签名方法,该方法是利用目标账号、源账号以及转账金额信息进行加密运算生成一次性的动态密码。
在本发明的一实施例中,所述方法具体包括如下步骤:
(1)通过动态令牌输入目标银行帐号、源银行帐号以及转账金额信息;
(2)动态令牌利用输入目标银行帐号、源银行帐号以及转账金额信息结合时间和种子密钥信息进行加密运算,生成动态密码;
(3)将生成的动态密码发送至认证服务器;
(4)认证服务器执行同样的加密运算,并生成用于认证的动态密码;
(5)认证服务器将生成的动态密码与接收的动态密码进行对比验证,并将验证结果返回给客户端。
进一步的,所述步骤(1)前通过输入PIN马启动令牌。
基于上述方案形成的本发明具有以下优点:
(1)动态口令签名方法是以一定的算法为基础的,不受时间的限制,能够有效避免的常规动态令牌所存在的安全隐患和不可靠性;
(2)动态口令签名方法不仅可以对真假用户进行识别,而且可以识别真假中心。而时间同步机制只能识别真假用户,对于即使是假中心也无能为力。对于本发明来说,如果是假中心的话,则它没有固定的算法与相应的密钥,也就无法解密用户用密钥加密的数据,有效防范假中心从用户处截取有用的信息而产生恶劣的后果。
(3)本发明为一种真正安全可靠的身份认证方式。而且系统能比较彻底的解决欺诈交易发生,所以采用动态口令签名方法能有效防范非法用户的侵入。同时,还能有效地防范假中心的隐患,非常安全。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明流程示意图。
图2为本发明认证的流程示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明提供的动态口令签名机制属于异步方式,其基本原理为:在数字签名的模式下输入目标账号、源账号、转账金额,并据此生成一次性密码。
其身份认证过程如下(参见图1):
(1)通过动态令牌输入目标银行帐号、源银行帐号以及转账金额信息。
(2)动态令牌利用输入目标银行帐号、源银行帐号以及转账金额信息结合时间和种子密钥信息进行加密运算,将运算结果截短并转换为可显示数据,从而生成6或8位的动态密码。
同时,针对步骤2的技术方案,本发明提供一种密钥生产方法。设HOTPk(T)表示用种子密钥K对T进行加密运算。K为种子密钥,K的长度为160bit。K1是目标账号保留信息,K2源账号保留信息,K3是转账金额保留信息,T1是时间,S1是种子。欲产生随机密钥TOTP,动态密码计算过程如下:
1、TOTP=HOTP k(K1,K2,K3,T1,S1),TOTP长度为20byte;
2、进行动态截短,Sbis=DT(TOTP),Sbits的长度为4byte;
截短函数DT的过程如下:
1)约定TOTP=TOTP[0]...TOTP[19];
2)OffsetBits为String[19]的低位4bits;
3)Offset=StToNum(OffsetBits);这里0<=OffSet<=15
4)P=TOTP[OffSet]...TOTP[OffSet+3];
5)得到P的低位31bits。
3、将Sbits转换为数字Snum=StToNum(Sbits);
4、得到动态密码D=Snum mod 10^Digit(Digit为动态密码位数)。
(3)将生成的动态密码发送至认证服务器。
(4)认证服务器执行同样的加密运算,并生成用于认证的动态密码。
(5)认证服务器将生成的动态密码与接收的动态密码进行对比验证,并将验证结果返回给客户端。
上述方案形成的运行模式主要适用于金额转账,即应用于网银交易过程。在输入PIN码启动令牌后,按操作键进入数字签名模式,该模式下,用户需要在令牌中输入目标银行帐号、源银行帐号、转账金额,按OK得到一个动态密码,该动态密码包含了上述三个信息因素,该密码只对该两个帐号之间的转账有效,因此即使被中间人获取,也无法修改银行帐号,一旦修改,该动态密码无法正确认证。该应用可有效地确保转账安全,防止欺诈交易发生。
基于上述原理,本发明在网银交易系统的具体应用如下(参见图2):
第一步,用户输入用户名,静态口令以及动态口令进入网银操作界面。
第二步,在进行网银转账交易时,根据网银操作界面要求填写相关源银行帐号、目标银行帐号、转账金额等相关信息,并得到一动态密码输入框。
第三步,用户输入PIN码启动动态令牌后,按操作键进入数字签名模式。
第四步,在该模式下,用户通过令牌上键盘在令牌中输入目标银行帐号、源银行帐号、转账金额,并按下确认键。
第五步,令牌根据输入的目标银行帐号、源银行帐号以及转账金额信息结合时间和种子密钥信息进行加密运算。
第六步,将加密运算的结果截短并转换为可显示数,据此生成6或8位的动态密码。
第七步,用户将第六步获得的动态密码输入到第二步完成后的动态密码输入框中,使得动态密码传到认证服务器上进行认证。
第八步,认证服务器参考动态密码签名算法进行运算,认证服务器执行同样的算法生成动态密码,并与用户输入的动态密码进行比对,最后返回认证结果。
第九步,如果验证结果一致,交易成功。否则,转帐交易关闭,提示拥护交易失败。
上述网银交易的认证过程能够有效的识别假用户,避免欺诈交易的出现,有效的保证网银的安全性和可操作性。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (3)
1.一种动态口令签名方法,其特征在于,所述方法是利用目标账号、源账号以及转账金额信息进行加密运算生成一次性的动态密码。
2.根据权利要求1所述的一种动态口令签名方法,其特征在于,所述方法具体包括如下步骤:
(1)通过动态令牌输入目标银行帐号、源银行帐号以及转账金额信息;
(2)动态令牌利用输入目标银行帐号、源银行帐号以及转账金额信息结合时间和种子密钥信息进行加密运算,生成动态密码;
(3)将生成的动态密码发送至认证服务器;
(4)认证服务器执行同样的加密运算,并生成用于认证的动态密码;
(5)认证服务器将生成的动态密码与接收的动态密码进行对比验证,并将验证结果返回给客户端。
3.根据权利要求2所述的一种动态口令签名方法,其特征在于,所述步骤(1)前通过输入PIN马启动令牌。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110106474A CN102307094A (zh) | 2011-04-27 | 2011-04-27 | 一种动态口令签名方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110106474A CN102307094A (zh) | 2011-04-27 | 2011-04-27 | 一种动态口令签名方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102307094A true CN102307094A (zh) | 2012-01-04 |
Family
ID=45380909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110106474A Pending CN102307094A (zh) | 2011-04-27 | 2011-04-27 | 一种动态口令签名方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102307094A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638465A (zh) * | 2012-03-29 | 2012-08-15 | 上海动联信息技术有限公司 | 一种防止钓鱼攻击的挑战应答动态密码生成方法 |
| CN102752115A (zh) * | 2012-07-04 | 2012-10-24 | 北京天龙融和软件有限公司 | 挑战码生成方法及装置、动态口令认证方法及系统 |
| CN102752154A (zh) * | 2012-07-29 | 2012-10-24 | 西北工业大学 | Web网站死链检测方法 |
| CN104992331A (zh) * | 2015-07-17 | 2015-10-21 | 上海众人网络安全技术有限公司 | 一种移动终端虚拟线下支付系统及支付方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060153380A1 (en) * | 2002-06-18 | 2006-07-13 | Gertner Dmitry A | Personal cryptoprotective complex |
| CN101620705A (zh) * | 2009-08-07 | 2010-01-06 | 中国建设银行股份有限公司 | 一种用于网上银行的安全认证方法及系统 |
| CN101651675A (zh) * | 2009-08-27 | 2010-02-17 | 北京飞天诚信科技有限公司 | 提高网络交易安全性的方法和系统 |
-
2011
- 2011-04-27 CN CN201110106474A patent/CN102307094A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060153380A1 (en) * | 2002-06-18 | 2006-07-13 | Gertner Dmitry A | Personal cryptoprotective complex |
| CN101620705A (zh) * | 2009-08-07 | 2010-01-06 | 中国建设银行股份有限公司 | 一种用于网上银行的安全认证方法及系统 |
| CN101651675A (zh) * | 2009-08-27 | 2010-02-17 | 北京飞天诚信科技有限公司 | 提高网络交易安全性的方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 刘建伟: "一种适用于HOTP的一次口令生成算法", 《西安电子科技大学学报(自然科学版)》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638465A (zh) * | 2012-03-29 | 2012-08-15 | 上海动联信息技术有限公司 | 一种防止钓鱼攻击的挑战应答动态密码生成方法 |
| CN102638465B (zh) * | 2012-03-29 | 2015-01-07 | 上海动联信息技术股份有限公司 | 一种防止钓鱼攻击的挑战应答动态密码生成方法 |
| CN102752115A (zh) * | 2012-07-04 | 2012-10-24 | 北京天龙融和软件有限公司 | 挑战码生成方法及装置、动态口令认证方法及系统 |
| CN102752115B (zh) * | 2012-07-04 | 2015-09-16 | 北京天龙融和软件有限公司 | 挑战码生成方法及装置、动态口令认证方法及系统 |
| CN102752154A (zh) * | 2012-07-29 | 2012-10-24 | 西北工业大学 | Web网站死链检测方法 |
| CN102752154B (zh) * | 2012-07-29 | 2014-08-20 | 西北工业大学 | Web网站死链检测方法 |
| CN104992331A (zh) * | 2015-07-17 | 2015-10-21 | 上海众人网络安全技术有限公司 | 一种移动终端虚拟线下支付系统及支付方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11855983B1 (en) | Biometric electronic signature authenticated key exchange token | |
| CN101051908B (zh) | 动态密码认证系统及方法 | |
| CN102880960B (zh) | 基于指纹识别手机的短信支付方法及系统 | |
| CN101334884B (zh) | 提高转账安全性的方法和系统 | |
| CN202854880U (zh) | 基于指纹识别手机的短信支付系统 | |
| CN101808077B (zh) | 信息安全输入处理系统和方法以及智能卡 | |
| CN107508685B (zh) | 一种云计算环境中应用电子签名服务系统的实现方法 | |
| CN101291227A (zh) | 一种密码输入方法、装置和系统 | |
| KR101202245B1 (ko) | 이체정보로 생성되는 otp를 활용한 계좌이체시스템 및 방법 | |
| CN104283686A (zh) | 一种数字版权保护方法及其系统 | |
| CN102684880A (zh) | 一种usb挑战应答令牌认证方法及系统 | |
| CN103916249A (zh) | 一种动态口令生成方法和系统 | |
| CN101739622A (zh) | 一种可信支付计算机系统 | |
| CN101599192B (zh) | 实现银行卡安全保护的方法 | |
| CN110569672A (zh) | 一种基于移动设备的高效可信电子签名系统及方法 | |
| CN102307094A (zh) | 一种动态口令签名方法 | |
| CN200993803Y (zh) | 网上银行系统安全终端 | |
| CN102170437A (zh) | 基于挑战口令令牌实现钓鱼网站识别的系统及方法 | |
| CN101594354B (zh) | 提高转账安全性的方法和系统 | |
| CN104657860A (zh) | 一种手机银行安全认证方法 | |
| CN103051618A (zh) | 一种终端认证设备和网络认证方法 | |
| CN102938033A (zh) | 一种银行u盾增强安全性的系统及使用方法 | |
| CN104103132A (zh) | 一种移动uKey、无卡取现系统及方法 | |
| CN201465118U (zh) | 电子印章系统和电子印章 | |
| KR101389264B1 (ko) | 무결성코드를 포함하는 일회용암호 기반의 인증방법과 그시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 201203 Shanghai City Chenhui Road, Zhangjiang High Tech Park of Pudong New Area No. 88 Building No. 2 room 2401 Applicant after: DynamiCode Company Limited Address before: 200003 Shanghai Guo Shou Jing Road, Zhangjiang High Tech Park of Pudong New Area No. 498 building 14 room 1306 - 22301 Applicant before: DynamiCode Company Limited |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: SHANGHAI DYNAMICODE TECHNOLOGY CO., LTD. TO: SHANGHAI DYNAMICODE INFORMATION TECHNOLOGY CO., LTD. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120104 |