CN102752115A - 挑战码生成方法及装置、动态口令认证方法及系统 - Google Patents
挑战码生成方法及装置、动态口令认证方法及系统 Download PDFInfo
- Publication number
- CN102752115A CN102752115A CN201210231015XA CN201210231015A CN102752115A CN 102752115 A CN102752115 A CN 102752115A CN 201210231015X A CN201210231015X A CN 201210231015XA CN 201210231015 A CN201210231015 A CN 201210231015A CN 102752115 A CN102752115 A CN 102752115A
- Authority
- CN
- China
- Prior art keywords
- user
- challenge code
- transaction information
- dynamic password
- transaction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000006835 compression Effects 0.000 claims description 6
- 238000007906 compression Methods 0.000 claims description 6
- 230000003068 static effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种挑战码生成方法及装置、动态口令认证方法及系统,属于信息安全领域。该方法包括:根据用户交易信息生成挑战码,所述挑战码包含若干个字符,其中的一位或几位字符用于表示所述用户交易信息中的一个或几个信息,或者其中的全部字符用于表示所述用户交易信息。该方法由于根据用户交易信息生成挑战码,生成的挑战码中包含用户交易信息,在利用该挑战码生成动态口令时,使得用户可以先根据解析后显示的用户交易信息确认是否是用户真正的交易,再进行后续的认证及交易操作,从而保证了交易的安全性,避免了因动态口令存在不安全隐患造成的交易不安全问题。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种挑战码生成方法及装置、动态口令认证方法及系统。
背景技术
近年来,伴随互联网以及金融信息化的快速发展,网上银行以其便利、高效等优点迅速得到用户和银行业界的普遍推崇。银行和各种大型电子商务网站为了克服基于静态口令的认证方式的安全缺陷,大多采用了动态口令令牌或动态口令卡来加强网络身份认证的安全性。
动态口令技术又称为一次性口令(One Time Password,简称OTP)技术,其特点是用户根据服务商提供的动态口令令牌的显示数字来输入动态口令,而动态口令技术根据密码生成方式的不同,可以分为基于时间的动态口令技术和基于挑战/应答的动态口令技术。
采用基于时间的动态口令技术时,动态口令生成装置与服务器在时间上同步,并且存储有相同的密钥种子;动态口令生成装置与服务器使用该密钥种子每隔一段时间(例如,60秒)生成一个动态口令;需要进行用户认证时,用户通过动态口令生成装置的显示屏获知当前的动态口令后,在交易终端输入该动态口令,交易终端将该动态口令以及用户名、静态密码等信息发送给服务器进行认证。
采用基于挑战/应答的动态口令技术时,动态口令生成装置与服务器存储有相同的密钥种子;需要进行用户认证时,服务器向用户的交易终端或手机发送一个挑战码,用户获得挑战码后,将挑战码输入动态口令生成装置;动态口令生成装置使用密钥种子和用户输入的挑战码生成应答码(即动态口令),用户通过动态口令生成装置的显示屏获知当前的动态口令后,在交易终端输入该动态口令,交易终端将该动态口令以及用户名、静态密码等信息发送给服务器进行认证。
上述基于动态口令技术的身份验证方式很好地克服了静态密码验证中口令信息固定不变的缺陷,但也存在如下问题:
(1)采用基于时间的动态口令技术时,动态口令并不是使用一次即失效,而是在一定时间内有效,因此当该动态口令被截获后,黑客可以使用该动态口令与服务器进行交互;例如,用户使用基于时间的动态口令登录后,黑客可以随即使用截获的该动态口令进行后续的操作。即现有的采用基于时间的动态口令技术存在较大的安全隐患。
(2)采用基于挑战/应答的动态口令技术时,服务器一般是随机向用户的交易终端或手机发送挑战码的,随机挑战码与交易信息和用户信息(可以统称为用户交易信息)无关,用户无法得知是否是自身需要进行的真正的交易,也无法得知是哪一次的交易,当用户由于无法得知是否是自身需要进行的真正的交易时,而对非真正的交易进行了支付,会造成用户财产的损失,因此,服务器向用户的交易终端或手机发送随机挑战码可能会成为电子交易中一个不安全的因素。
发明内容
本发明实施方式提供一种保证交易安全的挑战码生成方法及装置、动态口令认证方法及系统,可以解决目前的动态口令存在安全隐患的问题。
为解决上述问题本发明提供的技术方案如下:
本发明实施方式提供一种挑战码生成方法,包括:
根据用户交易信息生成挑战码,所述挑战码包含若干个字符,其中的一位或几位字符用于表示所述用户交易信息中的一个或几个信息,或者其中的全部字符用于表示所述用户交易信息。
本发明实施方式还提供一种挑战码生成装置,包括:
获取单元和主控单元;其中,
所述获取单元,用于获取本次交易的用户交易信息;
所述主控单元,用于根据所述获取单元获取的用户交易信息生成挑战码,所述挑战码包含若干个字符,其中的一位或几位字符用于表示所述用户交易信息中的一个或几个信息,或者其中的全部字符用于表示所述用户交易信息。
本发明实施方式进一步提供一种动态口令认证方法,包括:
交易系统根据获取的所述用户交易信息按上述方法生成挑战码,并根据所述挑战码生成交易系统端的动态口令;
动态口令生成装置根据所述挑战码生成动态口令生成装置端的动态口令;
交易系统在接收到动态口令生成装置端的动态口令后,通过将其与交易系统端的动态口令进行对比来完成认证。
本发明实施方式进一步还提供一种动态口令认证系统,包括:
交易系统和动态口令生成装置;其中,
所述交易系统,用于根据获取的所述用户交易信息按上述方法生成挑战码,并根据所述挑战码生成交易系统端的动态口令;并用于在接收到动态口令生成装置端的动态口令后,通过将其与交易系统端的动态口令进行对比来完成认证;
所述动态口令生成装置,用于根据所述挑战码接收装置接收的挑战码生成动态口令。
由上述提供的技术方案可以看出,本发明实施方式提供的挑战码生成方法,由于根据用户交易信息生成挑战码,生成的挑战码中包含用户交易信息,在利用该挑战码生成动态口令时,使得用户可以先根据解析后显示的用户交易信息确认是否是用户真正的交易,再进行后续的认证及交易操作,从而保证了交易的安全性,避免了因动态口令存在不安全隐患造成的交易不安全问题。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1为本发明实施例提供的认证系统结构示意图;
图2为本发明实施例提供的认证方法流程图;
图3为本发明实施例提供的挑战码生成装置结构示意图。
具体实施方式
下面结合具体实施例对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
本发明实施例的核心是:
交易系统根据用户交易信息生成挑战码,其中,挑战码是可解析的,其包括若干个字符,其中的一位或几位字符用来表示用户交易信息中的一个或几个信息或者全部字符皆用于表示用户交易信息。
动态口令生成装置或挑战码接收装置根据服务器发送的挑战码解析得到用户交易信息,并显示解析得到的用户交易信息。
其中用户交易信息可以包括:交易双方用户名、交易双方账号、交易金额、交易单据号等信息。
下面对本发明实施例作进一步地详细描述。
如图1所示,本发明实施例的动态口令认证系统包含:交易系统和动态口令生成装置,也可以包含挑战码接收装置。
动态口令生成装置可以是动态口令令牌。
挑战码接收装置用于接收交易系统发送的挑战码,通常可以是手机终端或者个人电脑。当然,上述的挑战码接收装置和动态口令生成装置可以设置为一个实体设备。
交易系统可以包含:交易终端和认证服务器。交易终端和认证服务器也可以合并为一个实体设备。
其中,交易终端可以是银行的ATM(Automated Teller Machine,自动柜员机),也可以是个人电脑或者手机终端等设备,当交易终端为个人电脑或者手机终端等设备时,挑战码接收装置可以与交易终端为一个设备。
用户在交易终端或独立设置的用户交易信息管理终端(以下统称为用户交易信息管理终端)中输入/编辑用户交易信息;用户交易信息管理终端将用户输入/编辑的用户交易信息逐条发送给交易系统。
交易系统根据本次交易的交易报文获取本次交易的用户交易信息,使用该用户交易信息生成挑战码,并根据该挑战码生成交易系统端的动态口令;在接收到动态口令生成装置端的动态口令后,交易系统通过将其与交易系统端的动态口令进行对比来完成认证。
进一步,交易系统可以通过以下方式根据用户交易信息生成挑战码,该挑战码可是可解析的,该解析可以由动态口令生成装置解析,也可以直观地被用户识别。
1.基于预先存储的用户交易信息列表:
基于此种方式,首先在动态口令生成装置和交易系统中分别预先存储相同的用户交易信息列表。用户交易信息列表中包括用户交易信息以及与用户交易信息相对应的索引码。其中用户交易信息可以包括:交易双方用户名、交易双方账号等信息。
交易系统根据本次交易的交易报文获取本次交易的用户交易信息,使用该用户交易信息生成挑战码时,从用户交易信息列表中查找相应的用户交易信息,并查找到与该用户交易信息对应的索引码,根据该索引码生成挑战码,并将该挑战码发送至挑战码接收装置。
挑战码接收装置接收到挑战码后,将挑战码显示出来,用户根据显示出来的挑战码输入动态口令生成装置。
动态口令生成装置接收到该挑战码后,解析该挑战码,即根据该挑战码中的索引码查找预先存储的用户交易信息列表,从中查找到与该索引码对应的用户交易信息,并显示查找到的用户交易信息,以便用户进行确认该交易是否是用户需要的真正的交易。
其中,使用索引码生成挑战码可以通过如下方式实现:
(1)直接将索引码作为挑战码;
(2)存在多个索引码时,可以按照预先设定的顺序将索引码排序作为挑战码;
(3)将索引码设置在挑战码中的预设的位置上。例如生成的索引码可以为3个字符,挑战码为6个字符,可以预设挑战码中的2-4位来表示索引码,或者2、4、6位表示索引码等,其余位设置随机数即可。
例如:对于用户交易信息为交易双方用户名时,其中索引码与用户交易信息对应关系为:01-张三,02-李四;对于用户交易信息为交易双方账号时,001-12345,002-98765等。
2.基于预设的规则:
用户交易信息可以包含如下的一个或其组合信息:交易双方用户名、交易双方账号、交易金额、交易单据号等信息。
此时,交易系统生成挑战码时可以通过预设的规则将用户交易信息分别通过指定的字符表示。
例如:交易方用户名张三采用汉语拼音zhangsan、汉语拼音首字母ZS、或张三的Unicode码来表示,交易金额可以仅用最高位的数字和计数单位表示,例如1234元用1Q表示,123元用1B表示等,其中计数单位个十百千万可以分别用GSBQW表示等。
当然,交易系统还可以使用无损压缩算法,例如采用LZW压缩算法对交易方用户名、交易方账号和交易金额等信息进行压缩后生成压缩字符串。
交易系统基于上述规则生成挑战码,并将挑战码发送至挑战码接收装置,挑战码接收装置接收并显示该挑战码,例如:zhangsan1Q,用户看到该挑战码,即可以确认该挑战码表示的意思为“张三1千”,即向张三汇款1000~1999元,从而确认此次交易是否是用户需要的真正的交易。
当然,用户还可以将该挑战码输入至动态口令生成装置中,动态口令生成装置解析输入的挑战码,并将解析后的用户交易信息显示出来以便用户来确认。例如,动态口令生成装置从挑战码中解析用于表示交易金额的字符“1Q”后,显示如下信息:本次交易的交易金额为1000~1999元。
当然,交易系统生成挑战码可以通过如下方式实现:
(1)直接将上述指定的字符或者压缩字符串作为挑战码;
(2)将上述指定的字符或者压缩字符串依照预设的顺序排列为挑战码;
(3)将上述指定的字符设置在挑战码中的预设的位置上。例如用户名设置在第2-3位上,金额设置在后两位上等,其余位数可以填充随机数。
3.基于用户交易信息:
用户交易信息可以包含如下的一个或其组合信息:交易双方用户名、交易双方账号、交易金额、交易单据号等信息。
此时,交易系统直接将用户交易信息中的交易双方用户名、交易双方账号、交易金额、交易单据号等信息直接作为挑战码发送给挑战码接收装置,或者提取上述信息中的部分信息作为挑战码,挑战码接收装置接收并显示该挑战码,用户看到该挑战码,即可以确认该挑战码表示的意思,从而确认此次交易是否是用户需要的真正的交易。例如Jack1234561234001可以表示用户名为Jack,账号为123456,交易金额为1234,交易单据号为001。
当然,用户还可以将该挑战码输入至动态口令生成装置中,动态口令生成装置解析输入的挑战码,将解析后的用户交易信息显示出来以便用户来确认。
交易系统生成挑战码可以通过如下方式实现:
(1)直接将上述信息作为挑战码;
(2)将上述信息依照预设的顺序排列为挑战码;
(3)将上述信息设置在挑战码中的预设的位置上。例如用户名Jack设置在第3~10位上,金额设置在后两位等,其余位数可以填充随机数。
通过以上描述可知,生成挑战码可以选择以上三种方式中的一种,也可以将上述三种方式任意组合生成挑战码。
交易系统发送挑战码时:可以是交易系统直接将挑战码发送至挑战码接收装置。也可以是交易系统将挑战码加密后发送至挑战码接收装置。还可以是直接采用无损压缩算法将用户交易信息进行压缩后生成压缩字符串。
采用加密方式传输时,进一步保证了挑战码传输的安全性。
通过加密方式对挑战码进行加密时,首先在交易系统中预先设置加密算法,在挑战码接收装置或者动态口令生成装置中预设解密算法。
当然,该加密算法可以是预先设置的加密算法,可以采用生成动态口令时的加密算法。
交易系统根据上述三种方式生成挑战码后,将挑战码根据预设的加密算法进行加密,发送给挑战码接收装置。此时,可以通过如下方式进行解密和显示:
(1)挑战码接收装置接收加密后的挑战码并对其进行解密,将解密后的信息显示出来,用户将解密后的信息输入至动态口令生成装置,以便动态口令生成装置解析挑战码,显示解析后的用户交易信息从而确认此次交易是否是用户需要的真正交易。
(2)挑战码接收装置接收加密后的挑战码,并将该信息显示出来,用户将该信息输入至动态口令生成装置,动态口令生成装置对输入的信息进行解密,得到挑战码明文,解析该挑战码,并显示解析后的用户交易信息,以便用户确认此次交易是否是用户需要的真正交易。
通过以上三种方式,用户可以确认此次交易是否是用户需要的真正交易从而进行确认。动态口令生成装置在接收到挑战码并对其进行解析,显示用户交易信息,用户确认交易信息正确后,可以指示动态口令生成装置生成动态口令,以便确认交易。
动态口令生成装置生成动态口令端的动态口令后,显示该动态口令,用户将动态口令生成装置端的动态口令输入至交易系统,交易系统对该动态口令进行认证:即交易终端将用户输入的动态口令生成装置端的动态口令发送给认证服务器进行认证(例如对比交易系统端的动态口令是否与动态口令生成装置端的动态口令一致),认证通过后,交易终端完成后续的认证和/或交易处理。
动态口令生成装置通过对挑战码进行解析,并显示解析挑战码后得到的用户交易信息,可以令用户确定本次交易是否并非恶意网站发送的虚假交易,并对用户需要的真正的交易进行支付,提高了交易的安全性。
本发明提供一种动态口令认证系统认证动态口令的方法,如图2所示,包括以下步骤:
步骤201,用户交易信息管理终端将用户输入/编辑的用户交易信息发送给交易系统;
具体的,用户在交易终端或独立设置的用户交易信息管理终端(以下统称为用户交易信息管理终端)中输入/编辑用户交易信息;用户交易信息管理终端将用户输入/编辑的用户交易信息逐条发送给交易系统。
步骤202,交易系统根据用户交易信息生成挑战码,并根据该挑战码生成交易系统端的动态口令;
步骤203,交易系统可将该挑战码发送至挑战码接收装置;
具体的,上述的挑战码接收装置和动态口令生成装置可以设置为一个实体设备,当交易终端为个人电脑或者手机终端等设备时,挑战码接收装置可以与交易终端为一个设备。
步骤204,用户将该挑战码输入至动态口令生成装置;
进一步,如果挑战码接收装置和动态口令生成装置为一个实体设备时,则无需用户输入挑战码。
步骤205,动态口令生成装置接收到挑战码后,对该挑战码进行解析,并显示解析后的用户交易信息;
具体的,基于预先存储的用户交易信息列表时,动态口令生成装置接收到该挑战码后,解析该挑战码,即根据该挑战码中的索引码查找预先存储的用户交易信息列表,从中查找到与该索引码对应的用户交易信息,并显示查找到的用户交易信息,以便用户进行确认该交易是否是用户需要的真正的交易。
基于预设的规则时,用户看到挑战码接收装置接收到的挑战码,即可以确认该挑战码表示的意思,从而确认此次交易是否是用户需要的真正的交易;或者动态口令生成装置解析输入的挑战码,并将解析后的用户交易信息显示出来以便用户来确认。例如,动态口令生成装置从挑战码中解析用于表示交易金额的字符“1Q”后,显示如下信息:本次交易的交易金额为1000~1999元。
基于用户交易信息时,用户看到挑战码接收装置接收的挑战码,即可以确认该挑战码表示的意思,从而确认此次交易是否是用户需要的真正的交易;或者动态口令生成装置解析输入的挑战码,将解析后的用户交易信息显示出来以便用户来确认。
步骤206,用户确认用户交易信息正确后指示动态口令生成装置生成动态口令;
步骤207,动态口令生成装置根据挑战码生成动态口令生成装置端的动态口令;
步骤208,用户将动态口令生成装置端的动态口令输入到交易系统;
步骤209,交易系统接收动态口令生成装置端的动态口令,并与交易系统端的动态口令对比进行认证。
本发明实施例还提供一种挑战码生成装置,可以利用上述给出的生成挑战码的方法生成挑战码,如图3所示,该挑战码生成装置包括:获取单元和主控单元;
其中,获取单元,用于获取本次交易的用户交易信息;
主控单元,用于根据所述获取单元获取的用户交易信息生成挑战码,所述挑战码包含若干个字符,其中的一位或几位字符用于表示所述用户交易信息中的一个或几个信息,或者其中的全部字符用于表示所述用户交易信息。
上述装置中,主控单元还用于从预先存储的所述用户交易信息列表中查找所述用户交易信息对应的索引码,根据所述索引码生成挑战码;
或者
主控单元还用于根据预设的规则将所述用户交易信息生成挑战码。
上述装置还包括存储单元,用于预先存储包含用户交易信息以及与用户交易信息相对应的索引码的用户交易信息列表;
根据用户交易信息生成挑战码时,所述主控单元还用于从存储单元预先存储的所述用户交易信息列表中查找对应的用户交易信息,并查找到与该用户交易信息对应的索引码,根据所述索引码生成挑战码。
上述装置中,根据所述索引码生成挑战码时,所述主控单元还用于直接将索引码作为挑战码;
或
所述主控单元还用于将存在的多个索引码按照预先设定的顺序排列后作为挑战码;
或
所述主控单元还用于将索引码设置在预定位置,其它位置采用随机数形成的字符串作为挑战码。
上述装置中,根据用户交易信息生成挑战码时,所述主控单元还用于将用户交易信息按预设的规则分别通过指定的字符表示,将按上述预设的规则表示用户交易信息形成的字符串作为挑战码;
或
所述主控单元还用于通过无损压缩算法对用户交易信息进行压缩后生成压缩字符串,将所述压缩字符串作为挑战码。
上述装置中,根据用户交易信息生成挑战码时,所述主控单元还用于直接将用户交易信息作为挑战码;
或
所述主控单元还用于将用户交易信息按照预设的顺序排列后作为挑战码;
或
所述主控单元还用于将用户交易信息设置在预设位置,其它位置采用随机数填充后形成的字符串作为挑战码。
上述装置中,获取单元获取的用户交易信息包括:
交易双方用户名、交易双方账号、交易金额、交易单据号中的任一种或几种组合。
进一步的,上述挑战码生成装置中还可以设置发送单元,用于向挑战码接收装置发送生成的挑战码。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (21)
1.一种挑战码生成方法,其特征在于,包括:
根据用户交易信息生成挑战码,所述挑战码包含若干个字符,其中的一位或几位字符用于表示所述用户交易信息中的一个或几个信息,或者其中的全部字符用于表示所述用户交易信息。
2.根据权利要求1所述的方法,其特征在于,所述根据用户交易信息生成挑战码包括:
从预先存储的所述用户交易信息列表中查找所述用户交易信息对应的索引码,根据所述索引码生成挑战码;
或者
根据预设的规则将所述用户交易信息生成挑战码。
3.根据权利要求2所述的方法,其特征在于,所述从预先存储的所述用户交易信息列表中查找所述用户交易信息对应的索引码,根据所述索引码生成挑战码的步骤包括:
预先存储包含用户交易信息以及与用户交易信息相对应的索引码的用户交易信息列表;
根据用户交易信息生成挑战码时,从预先存储的所述用户交易信息列表中查找对应的用户交易信息,并查找到与该用户交易信息对应的索引码,根据所述索引码生成挑战码。
4.根据权利要求3所述的方法,其特征在于,所述根据所述索引码生成挑战码包括:
直接将索引码作为挑战码;
或
存在多个索引码时,将多个索引码按照预先设定的顺序排列后作为挑战码;
或
将索引码设置在预定位置,其它位置采用随机数形成的字符串作为挑战码。
5.根据权利要求2所述的方法,其特征在于,所述根据用户交易信息生成挑战码包括:
将用户交易信息按预设的规则分别通过指定的字符表示,将按上述预设的规则表示用户交易信息形成的字符串作为挑战码;
或
通过无损压缩算法对用户交易信息进行压缩后生成压缩字符串,将所述压缩字符串作为挑战码。
6.根据权利要求1所述的方法,其特征在于,所述根据用户交易信息生成挑战码包括:
直接将用户交易信息作为挑战码;
或
将用户交易信息按照预设的顺序排列后作为挑战码;
或
将用户交易信息设置在预设位置,其它位置采用随机数填充后形成的字符串作为挑战码。
7.根据权利要求1~6任一项所述的方法,其特征在于,所述用户交易信息包括:
交易双方用户名、交易双方账号、交易金额、交易单据号中的任一种或几种组合。
8.一种挑战码生成装置,其特征在于,包括:
获取单元和主控单元;其中,
所述获取单元,用于获取本次交易的用户交易信息;
所述主控单元,用于根据所述获取单元获取的用户交易信息生成挑战码,所述挑战码包含若干个字符,其中的一位或几位字符用于表示所述用户交易信息中的一个或几个信息,或者其中的全部字符用于表示所述用户交易信息。
9.根据权利要求8所述的装置,其特征在于,所述主控单元还用于从预先存储的所述用户交易信息列表中查找所述用户交易信息对应的索引码,根据所述索引码生成挑战码;
或者
所述主控单元还用于根据预设的规则将所述用户交易信息生成挑战码。
10.根据权利要求9所述的装置,其特征在于,还包括:存储单元,用于预先存储包含用户交易信息以及与用户交易信息相对应的索引码的用户交易信息列表;
根据用户交易信息生成挑战码时,所述主控单元还用于从存储单元预先存储的所述用户交易信息列表中查找对应的用户交易信息,并查找到与该用户交易信息对应的索引码,根据所述索引码生成挑战码。
11.根据权利要求10所述的装置,其特征在于,根据所述索引码生成挑战码时,所述主控单元还用于直接将索引码作为挑战码;
或
所述主控单元还用于将存在的多个索引码按照预先设定的顺序排列后作为挑战码;
或
所述主控单元还用于将索引码设置在预定位置,其它位置采用随机数形成的字符串作为挑战码。
12.根据权利要求8所述的装置,其特征在于,根据用户交易信息生成挑战码时,所述主控单元还用于将用户交易信息按预设的规则分别通过指定的字符表示,将按上述预设的规则表示用户交易信息形成的字符串作为挑战码;
或
所述主控单元还用于通过无损压缩算法对用户交易信息进行压缩后生成压缩字符串,将所述压缩字符串作为挑战码。
13.根据权利要求8所述的装置,其特征在于,根据用户交易信息生成挑战码时,所述主控单元还用于直接将用户交易信息作为挑战码;
或
所述主控单元还用于将用户交易信息按照预设的顺序排列后作为挑战码;
或
所述主控单元还用于将用户交易信息设置在预设位置,其它位置采用随机数填充后形成的字符串作为挑战码。
14.根据权利要求8~13任一项所述的装置,其特征在于,所述获取单元获取的用户交易信息包括:
交易双方用户名、交易双方账号、交易金额、交易单据号中的任一种或几种组合。
15.一种动态口令认证方法,其特征在于,包括:
交易系统根据获取的所述用户交易信息按上述权利要求1~7任一项所述的方法生成挑战码,并根据所述挑战码生成交易系统端的动态口令;
动态口令生成装置根据所述挑战码生成动态口令生成装置端的动态口令;
交易系统在接收到动态口令生成装置端的动态口令后,通过将其与交易系统端的动态口令进行对比来完成认证。
16.根据权利要求15所述的方法,其特征在于,
所述交易系统将所述挑战码发送至所述挑战码接收装置;
所述动态口令生成装置根据所述挑战码接收装置接收的挑战码生成动态口令生成装置端的动态口令。
17.根据权利要求16所述的方法,其特征在于,所述交易系统将所述挑战码发送至挑战码接收装置包括:
所述交易系统直接将挑战码发送至挑战码接收装置;
或
所述交易系统将挑战码加密后发送至挑战码接收装置。
18.根据权利要求16所述的方法,其特征在于,所述动态口令生成装置根据所述挑战码接收装置接收的挑战码生成动态口令之前,还包括以下步骤:
挑战码接收装置将接收到的未加密挑战码显示出来;
所述动态口令生成装置接收输入的挑战码,对输入的挑战码解析后得到用户交易信息,并显示所述用户交易信息,用户根据显示的所述用户交易信息确认此次交易是否是用户需要的真正交易,若用户确认是则进行后续操作;若用户确认否则停止认证;
或
挑战码接收装置接收加密后的挑战码并对其进行解密,将解密后的信息显示出来;
动态口令生成装置接收输入的解密后的信息,动态口令生成装置解析该信息得到用户交易信息,并显示所述用户交易信息,用户根据显示的所述用户交易信息确认此次交易是否是用户需要的真正交易,若用户确认是则进行后续操作;若用户确认否则停止认证;
或
挑战码接收装置接收加密后的挑战码,并将该挑战码显示出来;
动态口令生成装置接收输入的加密后的挑战码,动态口令生成装置对输入的加密后的挑战码进行解密,得到挑战码明文,解析该挑战码明文后得到用户交易信息,并显示所述用户交易信息,用户根据显示的所述用户交易信息确认此次交易是否是用户需要的真正交易,若用户确认是则进行后续操作;若用户确认否则停止认证。
19.一种动态口令认证系统,其特征在于,包括:
交易系统和动态口令生成装置;其中,
所述交易系统,用于根据获取的所述用户交易信息按上述权利要求1~7任一项所述的方法生成挑战码,并根据所述挑战码生成交易系统端的动态口令;并用于在接收到动态口令生成装置端的动态口令后,通过将其与交易系统端的动态口令进行对比来完成认证;
所述动态口令生成装置,用于根据所述挑战码接收装置接收的挑战码生成动态口令。
20.根据权利要求19所述的系统,其特征在于,所述动态口令认证系统还包括:挑战码接收装置;
所述挑战码接收装置,用于接收所述交易系统发送的挑战码。
21.根据权利要求20所述的系统,其特征在于,在动态口令生成装置根据所述挑战码接收装置接收的挑战码生成动态口令之前,
所述挑战码接收装置还用于将接收到的未加密挑战码显示出来;
动态口令生成装置接收输入的挑战码后,所述动态口令生成装置还用于对输入的挑战码解析后得到用户交易信息,并显示所述用户交易信息,根据显示的所述用户交易信息使用户确认此次交易是否是用户需要的真正交易,若用户确认是则进行后续操作;若用户确认否则停止认证;
或
所述挑战码接收装置还用于对接收加密后的挑战码进行解密,将解密后的信息显示出来;
动态口令生成装置接收输入的解密后的信息后,所述动态口令生成装置还用于解析该信息后得到用户交易信息,并显示所述用户交易信息,根据显示的所述用户交易信息使用户确认此次交易是否是用户需要的真正交易,若用户确认是则进行后续操作;若用户确认否则停止认证;
或
所述挑战码接收装置还用于接收加密后的挑战码,并将该挑战码显示出来;
动态口令生成装置接收输入的加密后的挑战码后,所述动态口令生成装置还用于对输入的挑战码进行解密,得到挑战码明文,解析该挑战码明文后得到用户交易信息,并显示所述用户交易信息,根据显示的所述用户交易信息使用户确认此次交易是否是用户需要的真正交易,若用户确认是则进行后续操作;若用户确认否则停止认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210231015.XA CN102752115B (zh) | 2012-07-04 | 2012-07-04 | 挑战码生成方法及装置、动态口令认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210231015.XA CN102752115B (zh) | 2012-07-04 | 2012-07-04 | 挑战码生成方法及装置、动态口令认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102752115A true CN102752115A (zh) | 2012-10-24 |
| CN102752115B CN102752115B (zh) | 2015-09-16 |
Family
ID=47032026
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210231015.XA Active CN102752115B (zh) | 2012-07-04 | 2012-07-04 | 挑战码生成方法及装置、动态口令认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102752115B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103023643A (zh) * | 2012-11-22 | 2013-04-03 | 天地融科技股份有限公司 | 一种动态口令牌及动态口令生成方法 |
| CN103078738A (zh) * | 2012-11-22 | 2013-05-01 | 天地融科技股份有限公司 | 一种动态口令生成装置及转接头 |
| CN103475479A (zh) * | 2013-09-03 | 2013-12-25 | 天地融科技股份有限公司 | 智能密钥设备、移动终端以及动态口令的输出方法和系统 |
| CN103475481A (zh) * | 2013-09-06 | 2013-12-25 | 天地融科技股份有限公司 | 令牌、动态口令生成方法、动态口令认证方法及系统 |
| CN103516525A (zh) * | 2013-10-22 | 2014-01-15 | 天地融科技股份有限公司 | 一种动态口令生成方法和系统 |
| CN103532719A (zh) * | 2013-10-22 | 2014-01-22 | 天地融科技股份有限公司 | 动态口令生成方法和系统、交易请求的处理方法和系统 |
| CN103647770A (zh) * | 2013-12-10 | 2014-03-19 | 上海众人网络安全技术有限公司 | 亚音频电子密码器及其动态口令生成方法 |
| WO2014079282A1 (zh) * | 2012-11-23 | 2014-05-30 | 腾讯科技(深圳)有限公司 | 存储和验证兑换码的方法和装置 |
| CN103957104A (zh) * | 2014-04-22 | 2014-07-30 | 交通银行股份有限公司 | 动态令牌防钓鱼方法及装置 |
| CN104125072A (zh) * | 2014-08-05 | 2014-10-29 | 上海众人科技有限公司 | 一种非接触式动态口令认证方法及系统 |
| CN104424566A (zh) * | 2013-09-11 | 2015-03-18 | 北京同方微电子有限公司 | 一种用于网上银行的电子动态口令装置及其交易方法 |
| CN104517050A (zh) * | 2013-10-02 | 2015-04-15 | 晶心科技股份有限公司 | 电子装置的软件-硬件认证方法与其对应装置 |
| CN104767623A (zh) * | 2015-04-22 | 2015-07-08 | 苏州海博智能系统有限公司 | 一种动态口令生成方法及设备 |
| CN105391553A (zh) * | 2015-10-15 | 2016-03-09 | 上海动联信息技术股份有限公司 | 基于包含金额的挑战因子的挑战应答动态口令的生成方法 |
| CN106411815A (zh) * | 2015-07-29 | 2017-02-15 | 腾讯科技(深圳)有限公司 | 一种数据转移方法、移动终端、服务器以及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123148A (zh) * | 2011-03-02 | 2011-07-13 | 北京天地融科技有限公司 | 基于动态口令的认证方法、系统和装置 |
| CN102158488A (zh) * | 2011-04-06 | 2011-08-17 | 北京天地融科技有限公司 | 动态口令生成方法及装置、认证方法及系统 |
| CN102307094A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种动态口令签名方法 |
| CN102307180A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种用于挑战应答令牌的交易确认方法 |
| CN102347942A (zh) * | 2011-07-01 | 2012-02-08 | 飞天诚信科技股份有限公司 | 一种基于图像采集的信息安全方法及系统 |
| CN102387020A (zh) * | 2011-10-20 | 2012-03-21 | 北京天地融科技有限公司 | 一种动态密码生成装置、动态密码实现方法及系统 |
-
2012
- 2012-07-04 CN CN201210231015.XA patent/CN102752115B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102123148A (zh) * | 2011-03-02 | 2011-07-13 | 北京天地融科技有限公司 | 基于动态口令的认证方法、系统和装置 |
| CN102158488A (zh) * | 2011-04-06 | 2011-08-17 | 北京天地融科技有限公司 | 动态口令生成方法及装置、认证方法及系统 |
| CN102307094A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种动态口令签名方法 |
| CN102307180A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种用于挑战应答令牌的交易确认方法 |
| CN102347942A (zh) * | 2011-07-01 | 2012-02-08 | 飞天诚信科技股份有限公司 | 一种基于图像采集的信息安全方法及系统 |
| CN102387020A (zh) * | 2011-10-20 | 2012-03-21 | 北京天地融科技有限公司 | 一种动态密码生成装置、动态密码实现方法及系统 |
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103078738A (zh) * | 2012-11-22 | 2013-05-01 | 天地融科技股份有限公司 | 一种动态口令生成装置及转接头 |
| CN103023643A (zh) * | 2012-11-22 | 2013-04-03 | 天地融科技股份有限公司 | 一种动态口令牌及动态口令生成方法 |
| CN103838753B (zh) * | 2012-11-23 | 2018-04-27 | 腾讯科技(北京)有限公司 | 一种兑换码的存储、验证方法和装置 |
| US9619657B2 (en) | 2012-11-23 | 2017-04-11 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for storing redeem code, and method and apparatus for verifying redeem code |
| WO2014079282A1 (zh) * | 2012-11-23 | 2014-05-30 | 腾讯科技(深圳)有限公司 | 存储和验证兑换码的方法和装置 |
| CN103838753A (zh) * | 2012-11-23 | 2014-06-04 | 腾讯科技(北京)有限公司 | 一种兑换码的存储、验证方法和装置 |
| US10176304B2 (en) | 2012-11-23 | 2019-01-08 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for storing redeem code, and method and apparatus for verifying redeem code |
| CN103475479A (zh) * | 2013-09-03 | 2013-12-25 | 天地融科技股份有限公司 | 智能密钥设备、移动终端以及动态口令的输出方法和系统 |
| CN103475481A (zh) * | 2013-09-06 | 2013-12-25 | 天地融科技股份有限公司 | 令牌、动态口令生成方法、动态口令认证方法及系统 |
| WO2015032248A1 (zh) * | 2013-09-06 | 2015-03-12 | 天地融科技股份有限公司 | 令牌、动态口令生成方法、动态口令认证方法及系统 |
| CN104424566A (zh) * | 2013-09-11 | 2015-03-18 | 北京同方微电子有限公司 | 一种用于网上银行的电子动态口令装置及其交易方法 |
| CN104517050A (zh) * | 2013-10-02 | 2015-04-15 | 晶心科技股份有限公司 | 电子装置的软件-硬件认证方法与其对应装置 |
| CN104517050B (zh) * | 2013-10-02 | 2017-11-17 | 晶心科技股份有限公司 | 电子装置的软件‑硬件认证方法与其对应装置 |
| CN103532719A (zh) * | 2013-10-22 | 2014-01-22 | 天地融科技股份有限公司 | 动态口令生成方法和系统、交易请求的处理方法和系统 |
| CN103532719B (zh) * | 2013-10-22 | 2017-01-18 | 天地融科技股份有限公司 | 动态口令生成方法和系统、交易请求的处理方法和系统 |
| CN103516525A (zh) * | 2013-10-22 | 2014-01-15 | 天地融科技股份有限公司 | 一种动态口令生成方法和系统 |
| CN103516525B (zh) * | 2013-10-22 | 2017-01-18 | 天地融科技股份有限公司 | 一种动态口令生成方法和系统 |
| CN103647770A (zh) * | 2013-12-10 | 2014-03-19 | 上海众人网络安全技术有限公司 | 亚音频电子密码器及其动态口令生成方法 |
| CN103957104A (zh) * | 2014-04-22 | 2014-07-30 | 交通银行股份有限公司 | 动态令牌防钓鱼方法及装置 |
| CN104125072A (zh) * | 2014-08-05 | 2014-10-29 | 上海众人科技有限公司 | 一种非接触式动态口令认证方法及系统 |
| CN104767623A (zh) * | 2015-04-22 | 2015-07-08 | 苏州海博智能系统有限公司 | 一种动态口令生成方法及设备 |
| CN106411815A (zh) * | 2015-07-29 | 2017-02-15 | 腾讯科技(深圳)有限公司 | 一种数据转移方法、移动终端、服务器以及系统 |
| CN106411815B (zh) * | 2015-07-29 | 2019-06-07 | 腾讯科技(深圳)有限公司 | 一种数据转移方法、移动终端、服务器以及系统 |
| CN105391553A (zh) * | 2015-10-15 | 2016-03-09 | 上海动联信息技术股份有限公司 | 基于包含金额的挑战因子的挑战应答动态口令的生成方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102752115B (zh) | 2015-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102752115B (zh) | 挑战码生成方法及装置、动态口令认证方法及系统 | |
| CN101897165B (zh) | 数据处理系统中验证用户的方法 | |
| CN102158488B (zh) | 动态口令生成方法及装置、认证方法及系统 | |
| KR102477453B1 (ko) | 트랜잭션 메시징 | |
| CN104903904B (zh) | 用于资源请求的条形码认证 | |
| CN104464117B (zh) | 基于动态二维码银行自动柜员机取款方法及系统 | |
| JP2018513650A (ja) | 二次元コードセキュリティチェック用のデータ偽造認識方法 | |
| EP2693687A1 (en) | Method for generating a code, authorization method and authorization system for authorizing an operation | |
| US20160127134A1 (en) | User authentication system and method | |
| CN104541475A (zh) | 用于交易认证的经提取且随机化的一次性密码 | |
| CN104077690B (zh) | 一次性密码生成的方法、装置及认证方法、认证系统 | |
| CN102238193A (zh) | 数据认证方法及使用该方法的系统 | |
| CN110232021A (zh) | 页面测试的方法及装置 | |
| CN103955643B (zh) | 一种网银交易安全判断与提示方法及系统 | |
| CN105187389A (zh) | 一种基于数字混淆加密的网页访问方法及系统 | |
| US20170076285A1 (en) | Payment Method and Apparatus and Payment Factor Processing Method and Apparatus | |
| CN102073803A (zh) | 一种增强usbkey安全的装置、方法及系统 | |
| CN104657860A (zh) | 一种手机银行安全认证方法 | |
| US20140344162A1 (en) | Method and system for enhancing the security of electronic transactions | |
| CN104102858A (zh) | 应用程序加密处理方法、装置和终端 | |
| CN101159547A (zh) | 文本信息输入、输出和传输的动态保密方法 | |
| CN110740112B (zh) | 认证方法、装置和计算机可读存储介质 | |
| CN106961417A (zh) | 基于密文的身份验证方法 | |
| JP5589471B2 (ja) | ロイヤリティ管理システム,ロイヤリティ管理方法及びトークン | |
| KR101619282B1 (ko) | 클라우드 기반 비밀번호 통합관리 시스템 및 이의 제어 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 100083 Beijing, Haidian District Road, No. 38, B block, 1810 Patentee after: Beijing Tiandi Cryptography Technology Co., Ltd. Address before: 102211 Beijing city Changping District Baishan town 100 Ge Road No. 9 Hospital No. 2 building four layer Patentee before: Beijing Tianlong Ronghe Software Co., Ltd. |