CN104378204A

CN104378204A - 基于组合模式的动态口令生成方法

Info

Publication number: CN104378204A
Application number: CN201410160099.1A
Authority: CN
Inventors: 不公告发明人
Original assignee: Wuxi Beidou Xingtong Information Technology Co Ltd
Current assignee: Pingdingshan University
Priority date: 2014-04-21
Filing date: 2014-04-21
Publication date: 2015-02-25
Anticipated expiration: 2034-04-21
Also published as: CN106936573A; CN104378204B; CN106998251B; CN106998251A; CN106936573B

Abstract

本发明涉及一种基于组合模式的动态口令生成方法，包括，获得硬件令牌的系统时间，基于所述系统时间获得所述硬件令牌当前系统时间的动态口令生成组合模式，所述动态口令生成组合模式包括静态加时间同步模式、静态加事件同步模式、静态加挑战应答模式、时间同步加事件同步模式、时间同步加挑战应答模式、事件同步加挑战应答模式，基于获得的动态口令生成组合模式生成两个序列的口令，并将所述两个序列的口令合并为一个序列，以获得合并口令，身份认证服务器对所述合并口令进行验证。通过本发明，能够提高动态口令的安全性能，避免动态口令被轻易破解，从而有效地保障了消费者和商家的经济利益。

Description

基于组合模式的动态口令生成方法

技术领域

本发明涉及电子鉴权领域，尤其涉及一种基于组合模式的动态口令生成方法。

背景技术

在网络通信技术快速发展的今天，通过网络进行电子支付已经成为时尚，而移动终端软硬件的研发创新和物流业的蓬勃发展又为这一支付方式推波助澜。通过电子支付，人们可以不用去各个商场实地考察，也不用在银行长时间排队等候取现，即可完成消费，在家接收购买的物品，为人们极大地节约了时间成本。科技的进步也是一把双刃剑，在电子支付为人们提供便利的同时，也对支付的安全性提出了新的课题，由于支付是在网络媒体上执行，也为熟悉网络技术的不法分子提供了窃取用户信息的机会。如何提高电子鉴权的可靠性，是众多电子安全技术开发公司急需解决的技术问题。

当前，使用动态口令进行用户身份验证是电子支付中常用的鉴权手段。现有的动态口令的使用存在时间同步、事件同步和挑战应答三种模式。时间同步产生的动态口令，硬件令牌和验证服务器同步产生相同的动态口令，对硬件令牌和验证服务器的时间同步性要求较高；基于事件同步的动态口令，其原理是通过某一特定的事件次序及相同的种子值作为输入，通过HASH算法在硬件令牌和验证服务器两端运算出一致的密码；挑战应答模式的动态口令，接收服务端下发的挑战码，用户在硬件令牌上输入该挑战码，硬件令牌通过内置的算法上生成一个6/8位、一次有效的动态口令。

但是，动态口令的三种模式都是单独使用，且每一种模式都有规则可循，一旦不法分子熟悉动态口令的生成模式后，通过截取大量老的动态口令，组成一个口令字典，还是能够进行动态口令的破解，实现对身份认证系统的攻击，给用户和商家带来一定的经济损失。

因此，需要一种新的动态口令生成方法，在已有的生成动态口令的三种模式的基础上，变换并组合动态口令的生成模式，使得破解人员难于获得动态口令的生成规则，极大地提高电子支付的安全性和身份认证系统的可靠性。

发明内容

为了解决上述问题，本发明提供了一种基于组合模式的动态口令生成方法，通过将已有的三种生成模式进行组合，基于当前系统时间选择不同的组合模式生成组合的动态口令，一方面，组合模式随系统时间随时改变，加大动态口令破解的难度，另一方面，组合模式在某一分钟内是不变的，也避免动态口令生成模式频繁改变给用户带来的不便，从而合理地提高了动态口令的安全性。

根据本发明的一方面，提供了一种基于组合模式的动态口令生成方法，所述动态口令生成方法包括：

步骤1：获得硬件令牌的系统时间，所述系统时间包括日期信息、小时信息和分钟信息；

步骤2：对所述日期信息、所述小时信息和所述分钟信息进行第一预定算法计算，获得综合时间信息，所述综合时间信息为一数字；

步骤3：取所述综合时间信息的个位数字作为组合模式生成因子；

步骤4：根据第一预定对应关系基于所述组合模式生成因子获得动态口令生成组合模式；

步骤5：基于获得的动态口令生成组合模式生成两个序列的口令，并将所述两个序列的口令合并为一个序列，以获得合并口令；所述硬件令牌的显示器显示所述合并口令；

步骤6：用户将所述合并口令录入到身份认证服务器的认证窗口中；

步骤7：身份认证服务器根据用户录入的合并口令对用户身份进行认证；

步骤8：所述身份认证服务器向所述认证窗口返回认证结果；

其中，所述身份认证服务器根据用户录入的合并口令对用户身份进行认证包括：所述身份认证服务器获得所述身份认证服务器的系统时间，所述身份认证服务器的系统时间包括日期信息、小时信息和分钟信息；对所述日期信息、所述小时信息和所述分钟信息进行第二预定算法计算，获得所述身份认证服务器的综合时间信息，所述身份认证服务器的综合时间信息为一数字；取所述身份认证服务器的综合时间信息的个位数字作为所述身份认证服务器的组合模式生成因子；根据第二预定对应关系基于所述身份认证服务器的组合模式生成因子获得动态口令生成组合模式；基于获得的动态口令生成组合模式生成两个序列的口令，并将所述两个序列的口令合并为一个序列，以获得所述身份认证服务器的合并口令；将所述身份认证服务器的合并口令与所述身份认证服务器接收到的用户录入的合并口令进行匹配，匹配成功则判断用户为合法用户，匹配失败则判断用户为非法用户；

其中，所述动态口令生成组合模式包括静态加时间同步模式、静态加事件同步模式、静态加挑战应答模式、时间同步加事件同步模式、时间同步加挑战应答模式和事件同步加挑战应答模式；

其中，所述第一预定算法与所述第二预定算法的算法相同，所述第一预定对应关系与所述第二预定对应关系相同。

更具体地，所述基于组合模式的动态口令生成方法进一步包括，在用户将所述合并口令录入到身份认证服务器的认证窗口中之后，所述认证窗口设置预定时间窗口，在所述预定时间窗口内所述身份认证服务器未向所述认证窗口返回认证结果时，所述认证窗口提醒用户重新输入所述合并口令。

更具体地，所述基于组合模式的动态口令生成方法进一步包括，当所述身份认证服务器向所述认证窗口返回认证结果多次为非法用户时，所述认证窗口锁定，禁止用户在当天继续输入所述合并口令。

更具体地，所述基于组合模式的动态口令生成方法进一步包括，所述第一预定算法为同或、异或、加法或减法运算中的一种。

更具体地，所述基于组合模式的动态口令生成方法进一步包括，所述第一预定对应关系为，当所述组合模式生成因子为0时，所述动态口令生成组合模式为静态加时间同步模式，当所述组合模式生成因子为1或2时，所述动态口令生成组合模式为静态加事件同步模式，当所述组合模式生成因子为3或4时，所述动态口令生成组合模式为静态加挑战应答模式，当所述组合模式生成因子为5或6时，所述动态口令生成组合模式为时间同步加事件同步模式，当所述组合模式生成因子为7或8时，所述动态口令生成组合模式为时间同步加挑战应答模式，当所述组合模式生成因子为9时，所述动态口令生成组合模式为事件同步加挑战应答模式。

附图说明

以下将结合附图对本发明的实施方案进行描述，其中：

图1为根据本发明实施方案示出的基于组合模式的动态口令生成方法的方法流程图。

图2为根据本发明实施方案示出的基于动态口令的电子鉴权系统的结构方框图。

具体实施方式

下面将参照附图对本发明的基于组合模式的动态口令生成方法的实施方案进行详细说明。

口令认证是最简单，也是最常用的一种远程身份认证方法。为了解决静态口令可能出现的在传输中被盗用或在数据库中被盗用等问题，同时为了有效地避免攻击者的口令猜测和重试攻击，动态口令应运而生。动态口令的主要思想是在用户登录过程中加入一些不确定因素，如时间、随机数等，使得每次用户登录过程中传送的信息都不同，从而抵御重试攻击，提高登录过程中的安全性。动态口令技术主要分两种，即同步口令技术和异步口令技术，其中异步口令技术采用了挑战应答方式，而同步口令技术又分为时间同步口令和事件同步口令。当前，以上三种主要生成方式生成的动态口令广泛地应用于电子商务、电子邮件、无线接入、网络设备登录、网上银行等多种网络服务中，通过合法用户的令牌和远端服务器的合作，完成对使用者的电子鉴权。

时间同步口令，是基于令牌和服务器的时间同步，通过运算来生成一致的动态口令，基于时间同步的令牌，一般更新率为60秒，每60秒产生一个新口令，但由于其同步的基础是国际标准时间，则要求其服务器能够十分精确的保持正确的时钟，同时对其令牌的晶振频率有严格的要求，从而降低系统失去同步的几率，从另一方面，基于时间同步的令牌在每次进行认证时，服务器端将会检测令牌的时钟偏移量，相应不断的微调自己的时间记录，从而保证了令牌和服务器的同步，确保日常的使用，但由于令牌的工作环境不同，在磁场，高温，高压，震荡，浸水等情况下易发生时钟脉冲的不确定偏移和损坏，故对于时间同步的设备进行较好的保护是十分必要的，对于失去时间同步的令牌，目前可以通过增大偏移量的技术（前后10分钟）来进行远程同步，确保其能够继续使用，降低对应用的影响，但对于超出默认（共20分钟）的时间同步令牌，将无法继续使用或进行远程同步，必须送回服务器端另行处理。同样，对于基于时间同步的服务器，应较好地保护其系统时钟，不要随意更改，以免发生同步问题，从而影响全部基于此服务器进行认证的令牌。

事件同步口令，其原理是通过某一特定的事件次序及相同的种子值作为输入，在算法中运算出一致的密码，其运算机理决定了其整个工作流程同时钟无关，不受时钟的影响，令牌中不存在时间脉冲晶振，但由于其算法的一致性，其口令是预先可知的，通过令牌，你可以预先知道今后的多个密码，故当令牌遗失且没有使用PIN码对令牌进行保护时，存在非法登陆的风险，故使用事件同步的令牌，对PIN码的保护是十分必要的。同样，基于事件同步的令牌同样存在失去同步的风险，例如用户多次无目的的生成口令等，对于令牌的失步，事件同步的服务器使用增大偏移量的方式进行再同步，其服务器端会自动向后推算一定次数的密码，来同步令牌和服务器，当失步情况经非常严重，大范围超出正常范围时，通过连续输入两次令牌计算出的密码，服务器将在较大的范围内进行令牌同步，一般情况下，令牌同步所需的次数不会超过3次。但在极端情况下，不排出失去同步的可能性，例如电力耗尽，在更换电池时操作失误等。此时，令牌仍可通过手工输入由管理员生成的一组序列值来实现远程同步，而无需返回服务器端重新同步。

异步口令技术，采用了挑战应答方式，在令牌和服务器之间除相同的算法外没有需要进行同步的条件，故能够有效的解决令牌失步的问题，降低对应用的影响，同时极大的增加了系统的可靠性。异步口令使用的缺点主要是在使用时，用户需多一个输入挑战值的步骤，对于操作人员，增加了复杂度，故在应用时，将根据用户应用的敏感程度和对安全的要求程度来选择密码的生成方式。

上述三种动态口令生成模式在一定程度上有效地保证了电子鉴权的准确度，但三种动态口令生成模式中的每一个模式的生成方式都是公知内容，熟悉密码技术的不法分子通过有限次的尝试，还是能够获得破解机会。为了解决现有动态口令生成模式固定而易破解的技术问题，本发明提出了一种基于组合模式的动态口令生成方法。

图1为根据本发明实施方案示出的基于组合模式的动态口令生成方法的方法流程图，所述动态口令生成方法包括以下步骤：

步骤101：获得硬件令牌的系统时间，所述系统时间包括日期信息、小时信息和分钟信息；

步骤102：对所述日期信息、所述小时信息和所述分钟信息进行第一预定算法计算，获得综合时间信息，所述综合时间信息为一数字；

步骤103：取所述综合时间信息的个位数字作为组合模式生成因子；

步骤104：根据第一预定对应关系基于所述组合模式生成因子获得动态口令生成组合模式；

步骤105：基于获得的动态口令生成组合模式生成两个序列的口令，并将所述两个序列的口令合并为一个序列，以获得合并口令；所述硬件令牌的显示器显示所述合并口令；

步骤106：用户将所述合并口令录入到身份认证服务器的认证窗口中；

步骤107：身份认证服务器根据用户录入的合并口令对用户身份进行认证；

步骤108：所述身份认证服务器向所述认证窗口返回认证结果，当认证结果判断用户为合法用户时，跳转到步骤109，当认证结果判断用户为非法用户时，跳转到步骤110；

步骤109：所述认证窗口完成认证，进入用户授权界面；

步骤110：所述认证窗口提示认证失败，请求用户再次输入所述合并口令；

其中，步骤107还包括，所述身份认证服务器获得所述身份认证服务器的系统时间，所述身份认证服务器的系统时间包括日期信息、小时信息和分钟信息；对所述日期信息、所述小时信息和所述分钟信息进行第二预定算法计算，获得所述身份认证服务器的综合时间信息，所述身份认证服务器的综合时间信息为一数字；取所述身份认证服务器的综合时间信息的个位数字作为所述身份认证服务器的组合模式生成因子；根据第二预定对应关系基于所述身份认证服务器的组合模式生成因子获得动态口令生成组合模式；基于获得的动态口令生成组合模式生成两个序列的口令，并将所述两个序列的口令合并为一个序列，以获得所述身份认证服务器的合并口令；将所述身份认证服务器的合并口令与所述身份认证服务器接收到的用户录入的合并口令进行匹配，匹配成功则判断用户为合法用户，匹配失败则判断用户为非法用户；

其中，在步骤106之后，所述认证窗口还可设置预定时间窗口，在所述预定时间窗口内所述身份认证服务器未向所述认证窗口返回认证结果时，所述认证窗口提醒用户重新输入所述合并口令；以及当所述身份认证服务器向所述认证窗口返回认证结果多次为非法用户时，所述认证窗口可自动锁定，禁止用户在当天继续输入所述合并口令。

其中，所述动态口令生成组合模式包括静态加时间同步模式、静态加事件同步模式、静态加挑战应答模式、时间同步加事件同步模式、时间同步加挑战应答模式和事件同步加挑战应答模式；所述第一预定算法与所述第二预定算法的算法相同，所述第一预定对应关系与所述第二预定对应关系相同；所述第一预定对应关系可选择为，当所述组合模式生成因子为0时，所述动态口令生成组合模式为静态加时间同步模式，当所述组合模式生成因子为1或2时，所述动态口令生成组合模式为静态加事件同步模式，当所述组合模式生成因子为3或4时，所述动态口令生成组合模式为静态加挑战应答模式，当所述组合模式生成因子为5或6时，所述动态口令生成组合模式为时间同步加事件同步模式，当所述组合模式生成因子为7或8时，所述动态口令生成组合模式为时间同步加挑战应答模式，当所述组合模式生成因子为9时，所述动态口令生成组合模式为事件同步加挑战应答模式。

另外，为了使得硬件令牌端和身份认证服务器端生成的两个合并口令一直相同，必须保障硬件令牌端和身份认证服务器端的系统时间严格同步，一般二者的系统时间差来源有两种：1）硬件令牌装置的时间是由晶振模块产生的，晶振模块存在偏差，尽管晶振模块偏差的幅度不同，但这部分的偏差都是正向的；2）用户输入动态口令到动态口令被服务器接收，这之间也存在时间偏差。这部分的时间偏差主要是由用户输入延迟、网络传输延迟所造成的。可以采用时间补偿方式对身份认证服务器端的系统时间进行补偿，以实现二者系统时间的同步，有效克服上述问题。

接着，继续参考图2对本发明进行说明，图2为根据本发明实施方案示出的基于动态口令的电子鉴权系统的结构方框图，所述电子鉴权系统包括硬件令牌201、认证终端202、身份认证服务器203和通信网络204，所述硬件令牌201包括显示器，显示基于组合模式的动态口令生成方法所生成的动态口令，所述动态口令为一合并口令，所述认证终端202显示认证窗口，供用户输入所述硬件令牌201显示的动态口令，所述认证终端202通过通信网络204与身份认证服务器203连接，将用户输入的动态口令发送给身份认证服务器203端，所述身份认证服务器203同时自身根据相同的动态口令生成方法生成另一个动态口令，以实现两个动态口令的匹配，身份认证服务器203将匹配结果返回给认证终端202，以告知认证终端当前用户是否为合法用户，从而完成电子鉴权。

采用本发明的基于组合模式的动态口令生成方法，针对现有动态口令生成模式固定易于破解的技术问题，采用随系统时间变化的动态口令组合生成模式，随时改变组合生成模式，使得破解人员难于寻找动态口令的生成规律，保障基于动态口令的电子鉴权的安全性。

可以理解的是，虽然本发明已以较佳实施例披露如上，然而上述实施例并非用以限定本发明。对于任何熟悉本领域的技术人员而言，在不脱离本发明技术方案范围情况下，都可利用上述揭示的技术内容对本发明技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均仍属于本发明技术方案保护的范围内。

Claims

1.一种基于组合模式的动态口令生成方法，其特征在于，所述动态口令生成方法包括：

获得硬件令牌的系统时间，所述系统时间包括日期信息、小时信息和分钟信息；

对所述日期信息、所述小时信息和所述分钟信息进行第一预定算法计算，获得综合时间信息，所述综合时间信息为一数字；

取所述综合时间信息的个位数字作为组合模式生成因子；

根据第一预定对应关系基于所述组合模式生成因子获得动态口令生成组合模式；

基于获得的动态口令生成组合模式生成两个序列的口令，并将所述两个序列的口令合并为一个序列，以获得合并口令；

所述硬件令牌的显示器显示所述合并口令；

用户将所述合并口令录入到身份认证服务器的认证窗口中；

身份认证服务器根据用户录入的合并口令对用户身份进行认证；

所述身份认证服务器向所述认证窗口返回认证结果；

其中，所述身份认证服务器根据用户录入的合并口令对用户身份进行认证包括：

所述身份认证服务器获得所述身份认证服务器的系统时间，所述身份认证服务器的系统时间包括日期信息、小时信息和分钟信息；

对所述日期信息、所述小时信息和所述分钟信息进行第二预定算法计算，获得所述身份认证服务器的综合时间信息，所述身份认证服务器的综合时间信息为一数字；

取所述身份认证服务器的综合时间信息的个位数字作为所述身份认证服务器的组合模式生成因子；

根据第二预定对应关系基于所述身份认证服务器的组合模式生成因子获得动态口令生成组合模式；

基于获得的动态口令生成组合模式生成两个序列的口令，并将所述两个序列的口令合并为一个序列，以获得所述身份认证服务器的合并口令；

将所述身份认证服务器的合并口令与所述身份认证服务器接收到的用户录入的合并口令进行匹配，匹配成功则判断用户为合法用户，匹配失败则判断用户为非法用户；

2.如权利要求1所述的基于组合模式的动态口令生成方法，其特征在于，还包括：

在用户将所述合并口令录入到身份认证服务器的认证窗口中之后，所述认证窗口设置预定时间窗口，在所述预定时间窗口内所述身份认证服务器未向所述认证窗口返回认证结果时，所述认证窗口提醒用户重新输入所述合并口令。

3.如权利要求1所述的基于组合模式的动态口令生成方法，其特征在于，还包括：

当所述身份认证服务器向所述认证窗口返回认证结果多次为非法用户时，所述认证窗口锁定，禁止用户在当天继续输入所述合并口令。

4.如权利要求1所述的基于组合模式的动态口令生成方法，其特征在于：

所述第一预定算法为同或、异或、加法或减法运算中的一种。

5.如权利要求1所述的基于组合模式的动态口令生成方法，其特征在于：

所述第一预定对应关系为，当所述组合模式生成因子为0时，所述动态口令生成组合模式为静态加时间同步模式，当所述组合模式生成因子为1或2时，所述动态口令生成组合模式为静态加事件同步模式，当所述组合模式生成因子为3或4时，所述动态口令生成组合模式为静态加挑战应答模式，当所述组合模式生成因子为5或6时，所述动态口令生成组合模式为时间同步加事件同步模式，当所述组合模式生成因子为7或8时，所述动态口令生成组合模式为时间同步加挑战应答模式，当所述组合模式生成因子为9时，所述动态口令生成组合模式为事件同步加挑战应答模式。