CN103916249A - 一种动态口令生成方法和系统 - Google Patents
一种动态口令生成方法和系统 Download PDFInfo
- Publication number
- CN103916249A CN103916249A CN201410169963.4A CN201410169963A CN103916249A CN 103916249 A CN103916249 A CN 103916249A CN 201410169963 A CN201410169963 A CN 201410169963A CN 103916249 A CN103916249 A CN 103916249A
- Authority
- CN
- China
- Prior art keywords
- dynamic password
- mobile terminal
- token
- applet
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明公开了一种动态口令生成方法和系统,方法为:进入移动终端,输入PIN码,请求生成动态口令;移动终端读取手机上的系统时间;移动终端调用SE上的令牌Applet,并请求生成动态口令;令牌Applet校验输入的PIN,若输入的PIN码与SE内的PIN码不一致,则退出;若PIN码验证通过,令牌Applet生成动态口令,并将生成的动态口令返回给移动终端;移动终端显示动态口令。本发明降低了手机令牌及动态密钥的安全风险和硬件令牌遗失后带来的安全风险,解决了硬件令牌不易携带的问题,降低了硬件令牌口令的发行成本,解决了硬件令牌口令不能复用共享的问题。
Description
技术领域
本发明涉及一种动态口令生成方法和系统。
背景技术
动态口令是根据特定的算法生成一个不可预测的随机数字组合,每个生成的口令仅能够在指定的时间内使用一次。其优点在于一个口令在认证过程中只使用一次,下次认证时则更换使用另一个口令,使得不法分子难以仿冒合法用户的身份,用户也不需要去记忆密码。目前该方法被广泛运用在网银、网游、电信运营商、电子商务等领域。
目前主流用于生成动态口令的方法有硬件令牌、短信密码、手机令牌等。
1、短信密码
短信密码以手机短信形式请求包含6位或者更多随机数的动态口令,INK身份认证系统以短信形式发送随机的6/8位密码到客户的手机上,客户在登录或者交易认证是输入此动态口令,从而确保系统身份认证的安全性。
2、硬件令牌
当前最主流的是基于当前最主流的是基于位动态数。
3、手机令牌
是一种手机客户端软件,它是基于时间同步方式,每隔30或60秒产生一个随机6位动态密码,口令生成过程中不产生通信费用,具有使用简单、安全性高、低成本、无需携带额外设备、容易获取、无物流等优势,手机令牌是3G时代动态密码身份认证发展趋势。
手令牌的使用将大大减小服务管理及运营成本,方便用户。
对于硬件令牌或手机令牌实现动态口令主要采用时间同步,基于令牌和服务器的时间同步,通过运算来生成一致的动态口令,基于时间同步的令牌,一般更新率为60秒,每60秒产生一个新口令。此方法需要确保服务器和令牌的时间同步。
短信密码明文传输,存在被拦截的风险,容易被黑客或犯罪团伙获取,造成资金损失以及敏感信息的泄漏。
硬件令牌存在以下缺点:1、获取硬件令牌需要用户购买,有一定的使用成本;2、硬件令牌仅可用于令牌发行方的网络登录,不易共享复用,具有局限性;3、硬件令牌需要用户随身携带,容易遗失;4、由于无PIN码保护,遗失后存在较大安全风险。
手机令牌的密钥在手机客户端软件中保存,容易被手机黑客攻击和读取,存在较大安全风险。
发明内容
本发明所要解决的技术问题是,针对现有技术不足,提供一种动态口令生成方法和系统,降低手机令牌及动态密钥的安全风险和硬件令牌遗失后带来的安全风险,解决硬件令牌不易携带的问题,降低硬件令牌口令的发行成本,解决硬件令牌口令不能复用共享的问题。
为解决上述技术问题,本发明所采用的技术方案是:一种动态口令生成方法,移动终端调用SE上的令牌Applet,并请求生成动态口令;令牌Applet生成动态口令并返回给移动终端。
移动终端调用SE上的令牌Applet之前,进行如下处理:
1)进入移动终端,输入PIN码,请求生成动态口令;
2)移动终端读取手机上的系统时间,或者移动终端触发一个事件序列号。
进入移动终端之前,令牌Applet与业务平台交互,实现业务平台向令牌Applet安全下发动态口令生成密钥。
令牌Applet生成动态口令之前,进行如下处理:
1)令牌Applet校验输入的PIN,若输入的PIN码与SE内的PIN码不一致,则退出;
2)若PIN码验证通过,令牌Applet生成动态口令,并将生成的动态口令返回给移动终端。
令牌Applet生成动态口令,并将生成的动态口令返回给移动终端后,移动终端显示动态口令。
当移动终端读取手机上的系统时间时,移动终端请求生成动态口令的请求参数包括PIN码、时间、时间偏移量;当移动终端触发一个事件序列号时,移动终端请求生成动态口令的请求参数包括PIN码和事件序列号。
本发明还提供了一种动态口令生成系统,其特征在于,包括:
移动终端:用于调用SE上的令牌Applet,并请求生成动态口令;
令牌Applet:用于生成动态口令并返回给移动终端;
业务平台:用于与令牌Applet交互,实现业务平台向令牌Applet安全下发动态口令生成密钥;提供时间同步功能。
移动终端所调用SE上的令牌Applet为SE上可运行的应用程序。
本发明的时间偏移量为手机和平台之间的时间偏移量,可通过客户端与平台的交互获得。
本发明的SE为具有硬加解密功能的安全芯片,可以存在于用户身份识别模块(SIM卡),也可以存在于SD卡,也可以存在于手机终端内部。
与现有技术相比,本发明所具有的有益效果为:本发明有效的利用了移动互联网及手机支付发展的技术成果,有机的融合了手机令牌和硬件令牌的技术优点,兼顾了使用的便利性与安全性;本发明降低了硬件令牌的发行成本;相对于硬件令牌,本发明可利用移动互联网及可信服务平台,可空中更新令牌Applet中的安全算法,有效降低末端设备的更新维护成本。本发明降低了手机令牌及动态密钥的安全风险和硬件令牌遗失后带来的安全风险,解决了硬件令牌不易携带的问题,降低了硬件令牌口令的发行成本,解决了硬件令牌口令不能复用共享的问题。
附图说明
图1为本发明系统架构图;
图2为本发明获取动态口令的流程图;
图3为平台验证动态口令的流程图。
具体实施方式
本发明系统架构如图1所示,包含三部分:
业务系统,包括用户登录、用户鉴权以及时间同步。提供用户浏览器或客户端方式的登录界面,接受用户输入的用户账户及动态密码,并提交系统平台进行基于时间同步技术的动态密码的验证。同时提供与用户手机客户端上的时间同步。
移动终端的程序(如客户端、Web应用程序)提供生成动态密码的操作界面,调用SE上令牌Applet生成密码,并与业务平台同步时间。
令牌Applet,是安全元件SE上的应用程序,接受移动终端的输入,并根据输入生成动态密码。令牌Applet需要与业务平台共享对称密钥用于生成动态密码,生成密码的因子包括时间及用户信息,或事件信息。安全元件SE包括多种形态,常见有全终端(即安全芯片嵌入终端)、SD卡(Secure Digital Memory Card)、SIM卡(Subscriber Identity Module) 以及HCE(Hosted Card Emulator)等。
获取动态口令的流程如图2所示。
1. 用户进入移动终端,输入PIN码,请求生成动态口令;
2. 移动终端读取手机上系统时间(移动终端需要定期与业务平台同步系统时间,计算出时间偏移量);
3. 移动终端调用SE上令牌Applet,请求生成动态口令,请求参数包括PIN、时间、时间偏移量等;
4. 令牌Applet首先校验输入的PIN,若输入的PIN码与SE内PIN码不一致,则退出;
5. 若PIN码验证通过,令牌Applet生成动态口令;生成因子包括时间、时间偏移量、密钥等;
6. 令牌Applet将生成的动态口令返回给移动终端;
7. 移动终端显示动态口令。
平台验证动态口令的流程如图3所示:
1. 用户输入用户账户及动态口令;
2. 提交用户账户及动态口令到业务系统进行验证;
3. 业务系统读取系统时间,利用动态口令生成密钥生成动态口令;
4. 业务系统检查口令是否相同,如果相同允许登录,否则拒绝登录;
5. 将登录响应返回给用户。
本发明可应用于浏览器及手机钱包客户端方式的用户登录。
用户使用浏览器或手机客户端登录邮箱、OA或支付系统等,浏览器或客户端提供的登录网页需要用户输入用户ID(例如手机号码)及口令。用户首先输入用户ID,然后用户使用手机,进入移动终端,选择令牌关联的邮箱、OA或支付网站,请求生成口令。移动终端调用SE,使用不可破解的硬件加密生成动态口令,同时以倒计时方式显示口令的有效期(有效期一般为30秒),用户在登录页面中输入移动终端给出的动态口令,然后登录。邮箱、OA或支付网站验证动态口令是否正确,若正确,允许用户登录系统。使用动态口令的方法避免用户记忆邮箱、OA或支付等网站的静态口令。
Claims (7)
1.一种动态口令生成方法,其特征在于,该方法主要实现过程如下:移动终端调用SE上的令牌Applet,并请求生成动态口令;令牌Applet生成动态口令并返回给移动终端。
2.根据权利要求1所述的动态口令生成方法,其特征在于,移动终端调用SE上的令牌Applet之前,进行如下处理:
1)进入移动终端,输入PIN码;
2)移动终端读取手机上的系统时间,或者移动终端触发一个事件序列号。
3.根据权利要求2所述的动态口令生成方法,其特征在于,进入移动终端之前,令牌Applet与业务平台交互,实现业务平台向令牌Applet安全下发动态口令生成密钥。
4.根据权利要求3所述的动态口令生成方法,其特征在于,令牌Applet生成动态口令之前,进行如下处理:
1)令牌Applet校验输入的PIN,若输入的PIN码与SE内的PIN码不一致,则退出;
2)若PIN码验证通过,令牌Applet生成动态口令,并将生成的动态口令返回给移动终端。
5.根据权利要求4所述的动态口令生成方法,其特征在于,令牌Applet生成动态口令,并将生成的动态口令返回给移动终端后,移动终端显示动态口令。
6.根据权利要求2~5之一所述的动态口令生成方法,其特征在于,当移动终端读取手机上的系统时间时,移动终端请求生成动态口令的请求参数包括PIN码、时间、时间偏移量;当移动终端触发一个事件序列号时,移动终端请求生成动态口令的请求参数包括PIN码和事件序列号。
7.一种动态口令生成系统,其特征在于,包括:
移动终端:用于调用SE上的令牌Applet,并请求生成动态口令;
令牌Applet:用于生成动态口令并返回给移动终端;
业务平台:用于与令牌Applet交互,实现业务平台向令牌Applet安全下发动态口令生成密钥;提供时间同步功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410169963.4A CN103916249A (zh) | 2014-04-25 | 2014-04-25 | 一种动态口令生成方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410169963.4A CN103916249A (zh) | 2014-04-25 | 2014-04-25 | 一种动态口令生成方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103916249A true CN103916249A (zh) | 2014-07-09 |
Family
ID=51041670
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410169963.4A Pending CN103916249A (zh) | 2014-04-25 | 2014-04-25 | 一种动态口令生成方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103916249A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539421A (zh) * | 2014-08-22 | 2015-04-22 | 南京速帕信息科技有限公司 | 一种基于动态算法种子的手机令牌的实现方法 |
| CN104539785A (zh) * | 2014-08-22 | 2015-04-22 | 南京速帕信息科技有限公司 | 一键放行的手机令牌的实现方法 |
| CN105847000A (zh) * | 2016-05-27 | 2016-08-10 | 深圳市雪球科技有限公司 | 令牌产生方法以及基于该令牌产生方法的通信系统 |
| CN106533686A (zh) * | 2015-09-10 | 2017-03-22 | 中国电信股份有限公司 | 加密通信方法和系统、通信单元、客户端 |
| CN107959670A (zh) * | 2017-11-06 | 2018-04-24 | 北京明华联盟科技有限公司 | 一种动态口令的生成方法、装置、终端设备和存储介质 |
| CN108055238A (zh) * | 2017-11-10 | 2018-05-18 | 平安普惠企业管理有限公司 | 一种账户验证方法及系统 |
| CN111262866A (zh) * | 2020-01-17 | 2020-06-09 | 腾讯科技(深圳)有限公司 | 一种云服务接入方法、装置、设备及介质 |
| CN111275858A (zh) * | 2020-01-22 | 2020-06-12 | 广东快车科技股份有限公司 | 一种声纹识别的授信方法及系统 |
| CN111355583A (zh) * | 2018-12-20 | 2020-06-30 | 中移(杭州)信息技术有限公司 | 一种业务提供系统、方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101163014A (zh) * | 2007-11-30 | 2008-04-16 | 中国电信股份有限公司 | 一种动态口令身份认证系统和方法 |
| CN101500011A (zh) * | 2009-03-13 | 2009-08-05 | 北京华大智宝电子系统有限公司 | 实现动态口令安全保护的方法及系统 |
| CN101616409A (zh) * | 2009-07-28 | 2009-12-30 | 徐嵩 | 一种动态口令认证方法 |
-
2014
- 2014-04-25 CN CN201410169963.4A patent/CN103916249A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101163014A (zh) * | 2007-11-30 | 2008-04-16 | 中国电信股份有限公司 | 一种动态口令身份认证系统和方法 |
| CN101500011A (zh) * | 2009-03-13 | 2009-08-05 | 北京华大智宝电子系统有限公司 | 实现动态口令安全保护的方法及系统 |
| CN101616409A (zh) * | 2009-07-28 | 2009-12-30 | 徐嵩 | 一种动态口令认证方法 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104539785A (zh) * | 2014-08-22 | 2015-04-22 | 南京速帕信息科技有限公司 | 一键放行的手机令牌的实现方法 |
| CN104539785B (zh) * | 2014-08-22 | 2017-02-01 | 南京速帕信息科技有限公司 | 一键放行的手机令牌的实现方法 |
| CN104539421A (zh) * | 2014-08-22 | 2015-04-22 | 南京速帕信息科技有限公司 | 一种基于动态算法种子的手机令牌的实现方法 |
| CN106533686A (zh) * | 2015-09-10 | 2017-03-22 | 中国电信股份有限公司 | 加密通信方法和系统、通信单元、客户端 |
| CN106533686B (zh) * | 2015-09-10 | 2020-04-28 | 中国电信股份有限公司 | 加密通信方法和系统、通信单元、客户端 |
| CN105847000A (zh) * | 2016-05-27 | 2016-08-10 | 深圳市雪球科技有限公司 | 令牌产生方法以及基于该令牌产生方法的通信系统 |
| CN107959670B (zh) * | 2017-11-06 | 2020-12-18 | 北京明华联盟科技有限公司 | 一种动态口令的生成方法、装置、终端设备和存储介质 |
| CN107959670A (zh) * | 2017-11-06 | 2018-04-24 | 北京明华联盟科技有限公司 | 一种动态口令的生成方法、装置、终端设备和存储介质 |
| CN108055238A (zh) * | 2017-11-10 | 2018-05-18 | 平安普惠企业管理有限公司 | 一种账户验证方法及系统 |
| CN108055238B (zh) * | 2017-11-10 | 2020-10-23 | 平安普惠企业管理有限公司 | 一种账户验证方法及系统 |
| CN111355583A (zh) * | 2018-12-20 | 2020-06-30 | 中移(杭州)信息技术有限公司 | 一种业务提供系统、方法、装置、电子设备及存储介质 |
| CN111262866A (zh) * | 2020-01-17 | 2020-06-09 | 腾讯科技(深圳)有限公司 | 一种云服务接入方法、装置、设备及介质 |
| CN111275858A (zh) * | 2020-01-22 | 2020-06-12 | 广东快车科技股份有限公司 | 一种声纹识别的授信方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103916249A (zh) | 一种动态口令生成方法和系统 | |
| US9741033B2 (en) | System and method for point of sale payment data credentials management using out-of-band authentication | |
| Aloul et al. | Two factor authentication using mobile phones | |
| EP2166697B1 (en) | Method and system for authenticating a user by means of a mobile device | |
| US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
| US10045210B2 (en) | Method, server and system for authentication of a person | |
| US20160112437A1 (en) | Apparatus and Method for Authenticating a User via Multiple User Devices | |
| KR101718948B1 (ko) | 일회용 난수를 이용하여 인증하는 통합 인증 시스템 | |
| US9256724B2 (en) | Method and system for authorizing an action at a site | |
| Cresitello-Dittmar | Application of the blockchain for authentication and verification of identity | |
| WO2019226115A1 (en) | Method and apparatus for user authentication | |
| US9137241B2 (en) | Method and system using a cyber ID to provide secure transactions | |
| TW201544983A (zh) | 資料通訊方法和系統及客戶端和伺服器 | |
| Malathi et al. | Achieving privacy and security using QR code by means of encryption technique in ATM | |
| KR20150025392A (ko) | 스마트카드 인증서버를 이용한 본인확인과 소액결제 인증 시스템 및 그 방법 | |
| US10051468B2 (en) | Process for authenticating an identity of a user | |
| CN103929310A (zh) | 一种手机客户端口令统一认证方法及系统 | |
| KR101321829B1 (ko) | 사이트 방문자 인증 방법 및 인증 시스템 | |
| Kaur et al. | A comparative analysis of various multistep login authentication mechanisms | |
| US20160021102A1 (en) | Method and device for authenticating persons | |
| US20150302506A1 (en) | Method for Securing an Order or Purchase Operation Means of a Client Device | |
| Certic | The Future of Mobile Security | |
| Indu et al. | A stand-alone and SMS-based approach for authentication using mobile phone | |
| Abraham et al. | SPAQ: Secure PIN authentication using QR code | |
| CN106961446A (zh) | 一种网上交易系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140709 |
|
| RJ01 | Rejection of invention patent application after publication |