CN105357186B - 一种基于带外验证和增强otp机制的二次认证方法 - Google Patents

一种基于带外验证和增强otp机制的二次认证方法 Download PDF

Info

Publication number
CN105357186B
CN105357186B CN201510650318.9A CN201510650318A CN105357186B CN 105357186 B CN105357186 B CN 105357186B CN 201510650318 A CN201510650318 A CN 201510650318A CN 105357186 B CN105357186 B CN 105357186B
Authority
CN
China
Prior art keywords
server
client
authentication
user
otp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510650318.9A
Other languages
English (en)
Other versions
CN105357186A (zh
Inventor
汪德嘉
刘伟
刘景景
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Pay Egis Technology Co ltd
Original Assignee
Jiangsu Payegis Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Payegis Technology Co Ltd filed Critical Jiangsu Payegis Technology Co Ltd
Priority to CN201510650318.9A priority Critical patent/CN105357186B/zh
Publication of CN105357186A publication Critical patent/CN105357186A/zh
Application granted granted Critical
Publication of CN105357186B publication Critical patent/CN105357186B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • H04L69/162Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields involving adaptations of sockets based mechanisms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Virology (AREA)
  • Biomedical Technology (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明揭示了一种基于带外验证和增强OTP机制的二次认证方法,在普通OTP机制的基础上,增加客户端对服务器的认证,客户端、服务器基于PKI/CA采用单向SSL认证协议通信;二次认证完成之后,服务器基于设备指纹,采用带外安全信道,向用户绑定设备推送业务认证消息。用户在设备上确认推送消息之后,业务方能继续进行。同时,用户移动设备安装环境清场控件,防止木马控制通信破坏业务安全性,整个二次认证方法消除了普通OTP令牌存在的网络钓鱼和中间人攻击威胁,是快捷支付、网上支付、移动支付等业务中普遍采用的短信验证码的一个良好替代。

Description

一种基于带外验证和增强OTP机制的二次认证方法
技术领域
本发明涉及信息安全领域,涉及身份认证领域,尤其涉及一种基于带外验证和增强OTP机制的二次认证方法,是一种强身份认证技术。
背景技术
认证技术是信息安全理论与技术的一个重要方面。用户在访问安全系统之前,首先经过身份认证系统识别身份,然后系统根据用户的身份和授权数据库决定用户是否能够访问某个资源。身份认证在安全系统中的地位极其重要,是最基本的安全服务,其它的安全服务都要依赖于它。一旦身份认证系统被攻破,那么系统的所有安全措施将形同虚设。黑客攻击的目标往往就是身份认证系统,因此身份认证实在是网络安全的关键。
在普通业务领域中,普遍采用静态密码作为身份认证技术,即根据你所知道的信息来证明你的身份。实际上,由于许多用户为了防止忘记密码,经常采用诸如生日、电话号码等容易被猜测的字符串作为密码,或者把密码抄在纸上放在一个自认为安全的地方,这样很容易造成密码泄漏。这种方法具有明显缺陷:一是难以记忆、二是容易被黑客破译。用在以安全为基础的金融行业显然不合适。此时非常需要有新的身份认证技术来提高应用系统的身份认证安全。
动态口令机制是为了解决静态口令的安全弱点,提出的一种双因素的动态口令身份认证机制。动态口令的产生因子一般都采用双因子运算:其一为令牌的种子密钥。它是代表用户身份的识别码,是固定不变的。其二为变动因子,正是变动因子的不断变化,才产生了不断变动的动态口令。采用不同的变动因子,形成了不同的动态口令认证技术:比如基于时间同步认证技术、基于事件同步认证技术和挑战/应答方式的非同步认证技术。
动态口令可以有效防止重放攻击、窃听、猜测攻击等。但是,它同样也存在着不足。现有的基于动态口令的身份认证系统都只能实现单向认证,即服务器对客户端的认证,这样就不能避免服务器端的攻击。从网银交易过程来看,动态口令仅对用户身份进行认证,而没有对交易过程进行验证。待用户身份确定之后,“中间人”便拦截用户的转账操作,篡改数据后发送给服务器,而服务器没有办法区分给它发出转账指令的是用户还是木马,直接执行了转账,“中间人”再把服务器返回的信息篡改后显示给用户。这样,“中间人”就轻而易举地绕过动态口令,获取了用户的个人认证信息,完全控制了这次交易。而动态口令也就成为一个“形同虚设”的“保镖”,无法真正保护用户账户的安全。而实际发生的一系列案例,也证明了动态口令无法锁牢用户的账户。
针对动态口令的“网络钓鱼”事件也时有发生。网银的“钓鱼事件”是一种在线欺诈行为,并非涉及计算机领域的信息安全技术,其本质是不法分子通过欺诈手段获得客户真实的动态口令密码,而后进行转账、汇款等非法操作。这种欺诈手段主要有两种表现形式:一是不法分子以银行名义发送垃圾邮件或拨打客户电话,用中奖、顾问、对账、紧急事件等虚假信息引诱用户在邮件或电话中回复银行卡号、身份证号、网银登陆密码、动态口令等敏感信息;二是不法分子克隆一个与网银登陆、在线支付页面及其相似的假冒网站,并利用即时通讯等聊天工具宣传、引诱客户前往,当客户进入假网站后,误认为自己处在一个真实、安全的银行在线服务环境中,并按假页面的提示要求输入自己的密码口令等敏感信息。以上两种方式都会导致客户的密码口令失窃,不法分子再利用这些口令进行资金盗窃。
发明内容
本发明针对现有动态口令技术存在的网络钓鱼和中间人攻击问题,提出了一种基于带外验证和增强OTP机制的二次身份认证方法,是一种金融级的强身份认证方法。
本发明的上述目的,其得以实现的技术解决方案是:一种基于带外验证和增强OTP机制的二次认证方法,关联于客户端和服务器之间且基于普通OTP实现,其特征在于:在客户端与服务器之间建立单向SSL认证协议的连接进行安全通信,服务器对客户端完整性校验,客户端对服务器基于PKI/CA体系认证,并在客户端与服务器之间建立带外安全信道,在完整性校验和PKI/CA体系认证后基于设备指纹为客户端对应的用户推送业务认证消息,并且客户端与服务器之间采用包括动态扫描与动态校验两部分的环境清场安全控件防止木马控制通信、破坏业务安全性,其中动态扫描为面向客户端本身动态校验执行环境状态、检测环境中病毒与木马动态威胁、防止恶意代码被植入、识别并预警潜在安全问题,动态校验为服务器面向客户端主动感知应用状态、及时发现二次打包版本、允许指定客户端解密,并且动态校验的内容及规则由上位机动态下发至服务器。
进一步地,服务器对客户端完整性校验基于哈希完整性校验方法实施。
进一步地,在服务器向客户端对应的用户推送业务认证消息后,需用户确认认证消息为本人操作后继续进行业务。
进一步地,基于带外安全信道,所述服务器通过客户端软件整合前台应用加固方法、安全控件、后台设备指纹及风险决策模拟硬件U盾。
进一步地,用户使用二次认证方法进行业务前需向服务器进行注册、绑定客户端的设备,且注册流程至少包括以下步骤:
S01、客户端向服务器发送验证请求消息;
S02、服务器给客户端提供公钥/CA证书进行验证;
S03、客户端验证服务器公钥/CA证书的有效性及合法性;
S04、服务器验证客户端的完整性;
S05、客户端与服务器建立安全的单向SSL通信信道;
S06、客户端采集计算设备指纹所需参数发送给服务器;
S07、服务器将用户设备指纹安全存储在服务器附带的数据服务器中,并将设备指纹发送给客户端;
S08、客户端设备指纹安全存储在本地设备。
进一步地,用户使用二次认证方法完成交易业务,至少包含以下步骤:
S10、客户端向服务器发送验证请求消息;
S11、服务器给客户端提供公钥/CA证书进行验证;
S12、客户端验证服务器公钥/CA证书的有效性及合法性;
S13、服务器验证客户端的完整性;
S14、客户端与服务器建立安全的单向SSL通信信道;
S15、客户端进行本地身份认证;
S16、客户端向服务器发送二次认证请求;
S17、客户端生成基于设备指纹的业务认证消息OTP1发送给服务器;
S18、服务器生成业务认证消息OTP2,并对比与OTP1的一致性;
S19、服务器查询用户绑定的设备指纹,向对应的绑定设备推送消息,消息包含本次业务信息的详细情况;
S20、用户核实本次业务的操作真实性,将判定结果发送给服务器;
S21、根据客户端的回应,服务器执行对应的操作或者拒绝对应的操作。
进一步地,所述二次认证方法用于网上银行、网上支付、网上转账、移动支付、快捷支付、普通业务的登陆及交易认证。
应用本发明基于带外验证和增强OTP机制的二次认证方式对用户进行身份认证,较之于现有身份认证方式具有显著的进步性:服务器通过手机软件模拟硬件U盾,整合前台应用加固、安全控件等多项安全技术,以及后台设备指纹、风险决策等技术,用手机实现身份认证,无需额外硬件,实现了开放环境下更安全与便捷的双因素认证;SSL单向实现对服务器端认证,服务器端对客户端进行完整性校验,同时通过带外通讯(安全信道)模拟二代U盾确认操作,客户端安装环境清场安全控件,消除了普通OTP存在的网络钓鱼和中间人攻击威胁。
附图说明
图1为本发明基于带外验证和增强OTP机制的二次认证的系统框图。
图2为本发明中用户移动设备在服务器注册的流程示意图。
图3为本发明中用户进行二次身份认证操作业务的详细流程示意图。
图4为本发明中用户在PC端进行认证的流程示意图。
具体实施方式
本发明针对现有OTP令牌认证存在的钓鱼问题和中间人攻击问题,提出了一种增强型的OTP机制,并结合带外安全通信,提出了一种新型的基于带外验证及增强OTP机制的多重身份认证方法,并同时给出了其实现方式。为了更清楚地说明本发明中的新型身份认证方案和实现方法,下面结合附图和实施例对本发明进行具体的描述,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的可行的等效变化。
如图1所示,为本发明基于带外验证和增强OTP机制的二次认证系统框图,系统主要涉及客户端、服务器、数据服务器、客户端的移动设备。客户端与服务器之前的连接为单向认证SSL连接,其中服务器有CA数字证书,协议实现客户端对服务器的认证并建立安全通信连接,同时通过该安全信道完成基本的OTP认证服务。增强OTP认证完成之后,服务器通过数据服务器查询用户对应设备指纹,然后向该设备通过带外安全信道推送验证消息,用户确认消息,二次认证完成。
另外,在用户移动设备端,病毒木马可能驻留系统,威胁移动金融应用动态安全;移动金融应用完整性被破坏,也将直接影响后台服务安全;因此,用户移动设备端需安装环境清场安全控件。环境清场应至少包括动态扫描与动态校验两个部分。其中动态扫描要达到的效果为:面向客户端本身动态校验执行环境状态(是否Root),检测环境中是否存在病毒、木马动态威胁,防止应用被植入恶意代码、对潜在安全问题提前识别和预警;动态校验要达到的效果为:(1)服务器面向客户端主动感知应用状态,及时发现二次打包版本;(2)校验内容、校验规则动态下发,防止重放攻击;(3)只有指定设备才能解密,防止远程伪造校验数据。
用户使用二次认证方法进行业务前需向服务器进行注册、绑定客户端的设备。如图2所示,为本发明用户移动设备在服务器注册流程示意图,其注册的流程至少包括以下步骤:
S01、客户端向服务器发送验证请求消息;
S02、服务器给客户端提供公钥/CA证书进行验证;
S03、客户端验证服务器公钥/CA证书的有效性及合法性;
S04、服务器验证客户端的完整性;
S05、客户端与服务器建立安全的单向SSL通信信道;
S06、客户端采集计算设备指纹所需参数发送给服务器;
S07、服务器将用户设备指纹安全存储在服务器附带的数据服务器中,并将设备指纹发送给客户端;
S08、客户端设备指纹安全存储在本地设备。
通常而言,对应客户端的不同设备的设备指纹是不同的且是唯一的。本二次认证方法中设备指纹服务模块集成设备指纹生成算法,设备指纹算法采用了APP平台类型、CPU个数、屏幕大小、MAC地址等参数来保障生成的设备指纹的唯一性。
用户使用二次认证方法完成交易业务,如图3所示的详细流程示意图,其认证过程至少包括以下步骤:S10、客户端向服务器发送验证请求消息;
S11、服务器给客户端提供公钥/CA证书进行验证;
S12、客户端验证服务器公钥/CA证书的有效性及合法性;
S13、服务器验证客户端的完整性;
S14、客户端与服务器建立安全的单向SSL通信信道;
S15、客户端进行本地身份认证;
S16、客户端向服务器发送二次认证请求;
S17、客户端生成基于设备指纹的业务认证消息OTP1发送给服务器;
S18、服务器生成业务认证消息OTP2,并对比与OTP1的一致性;
S19、服务器查询用户绑定的设备指纹,向对应的绑定设备推送消息,消息包含本次业务信息的详细情况;
S20、用户核实本次业务的操作真实性,将判定结果发送给服务器;
S21、根据客户端的回应,服务器执行对应的操作或者拒绝对应的操作。
需要补充说明的是:上述生成OTP口令的参数,除了种子密钥(固定因子)、设备指纹(固定因子)、当前时间(随机因子),也可以是其他固定因子和随机因子的组合。动态口令生成算法可以采用OATH组织的基于HMAC、时间、挑战/应答的OTP生成算法(RFC4226、RFC6238、RFC6287),也可以采用商密的基于SM3/SM4的OTP生成算法,也可以是除此之外的OTP生成算法或自定义算法。
用户设备指纹改变则需要通知服务器更新本地设备和服务器存储的设备指纹。S17、S18中的种子密钥、设备指纹是在客户端和服务器之间共享的秘密,任何一方改变这两个值都会导致OTP口令认证不成功。
进一步地,S18中考虑到客户端变动因子与服务器中的变动因子可能存在不同步的情况,所以在实际认证时,可能需要服务器多次计算动态口令来与接收到的动态口令进行比较,只有所计算的动态口令都与接收到的动态口令不相同时,才认为认证失败,否则,认为认证成功。
进一步地,S19中服务器消息推送服务模块发送推送消息到对应的设备列表,对应的设备指纹可能不止一个,会发送到绑定的所有设备上,任意绑定设备的确认消息均可使操作完成。
本发明二次认证方法可以应用于多种场景,如网上银行,网上支付,网上转账,移动支付,快捷支付,普通业务系统的登陆及交易认证,凡是用传统USBKey、OTP令牌的场景都可以使用本发明的二次身份认证方式。
从具体的实施例来看,如图4所示,描述了用户在使用部署了基于带外验证的增强OTP机制的银行进行交易的简要流程。用户首先输入账号、密码登录到网上银行,同时,用户还需要打开已经在服务器注册过的手机银行APP,此时手机与传统OTP令牌类似,作为一个独立的认证设备为用户提供二次认证功能。用户只需在APP上点击获取OTP口令,然后把该口令填入网上银行相应的文本框中;网上银行把该OTP口令发送给服务器,服务器验证此口令的正确性,然后将本次业务信息通过带外安全信道推送到手机银行APP上,用户确认业务信息,将确认消息返回给服务器,服务器将用户认证及确认情况发给网上银行,网上银行再允许或拒绝用户的下一步操作。
用户在涉及到身份认证的业务系统中均可使用本发明提供的基于带外验证及增强OTP机制的二次认证方式,其二次认证流程大致如下(以下默认用户已在业务系统中登录完成,业务系统已知当前用户):
用户在业务系统账号已完成设备绑定的情况下,进行业务系统的相关业务操作,显示OTP输入框;
用户打开手机中业务系统APP,点击OTP功能;
业务系统APP生成OTP;
用户将OTP填入业务系统界面OTP输入框中;
OTP输入框对填入的OTP口令的合法性进行校验,通过即自动发起认证;
等待确认状态等待的时间根据服务器后台安全策略配置中配置的值来定,界面显示当前等待剩余的时间;
其中“重新发送”只有在OTP认证失败,用户未确认操作,或者用户拒绝操作后出现;
OTP输入框向服务器发起二次认证请求;
服务器进行OTP认证,认证完成后向绑定的设备推送确认操作;
用户在绑定设备的业务系统APP中收到服务器推送的确认消息,APP弹出确认界面;
用户点击确认;
业务系统APP向服务器发起认证通过请求;
如用户确认操作,则服务器调用业务系统提供的业务回调接口;
用户操作页面自动跳转到操作成功页面。
以上是本发明技术方案和部分实例的详细展示,但其应用场景远不限于此。
综上所述,本发明结合带外验证和增强OTP机制,在普通OTP机制的基础上,增加客户端对服务器的认证,客户端、服务器基于PKI/CA采用单向SSL认证协议通信;二次认证完成之后,服务器基于设备指纹,采用带外安全信道,向用户绑定设备推送业务认证消息。用户在设备上确认推送消息之后,业务方能继续进行。同时,用户移动设备端安装环境清场控件,防木马、防截屏等恶意攻击,整个二次认证方法消除了普通OTP令牌存在的网络钓鱼和中间人攻击威胁,是快捷支付、网上支付、移动支付等业务中普遍采用的短信验证码的一个良好替代。
以上对发明的安全机制和具体实施方法进行了详细的介绍,并给出了相应的实施例子。当然,除上述实施例外,本发明还可以有其它实施方式,凡采用等同替换或等效变换形成的技术方案,均落在本发明所要保护的范围之内。可以理解到的是:应用本发明基于带外验证及增强OTP机制的二次认证方案,极大地提高了移动终端在参与电子商务移动支付密码认证的灵活性和安全性。

Claims (7)

1.一种基于带外验证和增强OTP机制的二次认证方法,关联于客户端和服务器之间且基于普通OTP实现,其特征在于:在客户端与服务器之间建立单向SSL认证协议的连接进行安全通信,服务器对客户端完整性校验,客户端对服务器基于PKI/CA体系认证,并在客户端与服务器之间建立带外安全信道,在完整性校验和PKI/CA体系认证后基于设备指纹为客户端对应的用户推送业务认证消息,并且客户端与服务器之间采用包括动态扫描与动态校验两部分的环境清场安全控件防止木马控制通信、破坏业务安全性,其中动态扫描为面向客户端本身动态校验执行环境状态、检测环境中病毒与木马动态威胁、防止恶意代码被植入、识别并预警潜在安全问题,动态校验为服务器面向客户端主动感知应用状态、及时发现二次打包版本、允许指定客户端解密,并且动态校验的内容及规则由上位机动态下发至服务器。
2.根据权利要求1所述基于带外验证和增强OTP机制的二次认证方法,其特征在于:服务器对客户端完整性校验基于哈希完整性校验方法实施。
3.根据权利要求1所述基于带外验证和增强OTP机制的二次认证方法,其特征在于:在服务器向客户端对应的用户推送业务认证消息后,需用户确认认证消息为本人操作后继续进行业务。
4.根据权利要求1所述基于带外验证和增强OTP机制的二次认证方法,其特征在于:基于带外安全信道,所述服务器通过客户端软件整合前台应用加固方法、安全控件、后台设备指纹及风险决策模拟硬件U盾。
5.根据权利要求1所述基于带外验证和增强OTP机制的二次认证方法,其特征在于:用户使用二次认证方法进行业务前需向服务器进行注册、绑定客户端的设备,且注册流程至少包括以下步骤:
S01、客户端向服务器发送验证请求消息;
S02、服务器给客户端提供公钥/CA证书进行验证;
S03、客户端验证服务器公钥/CA证书的有效性及合法性;
S04、服务器验证客户端的完整性;
S05、客户端与服务器建立安全的单向SSL通信信道;
S06、客户端采集计算设备指纹所需参数发送给服务器;
S07、服务器将用户设备指纹安全存储在服务器附带的数据服务器中,并将设备指纹发送给客户端;
S08、客户端设备指纹安全存储在本地设备。
6.根据权利要求1所述基于带外验证和增强OTP机制的二次认证方法,其特征在于:用户使用二次认证方法完成交易业务,至少包含以下步骤:
S10、客户端向服务器发送验证请求消息;
S11、服务器给客户端提供公钥/CA证书进行验证;
S12、客户端验证服务器公钥/CA证书的有效性及合法性;
S13、服务器验证客户端的完整性;
S14、客户端与服务器建立安全的单向SSL通信信道;
S15、客户端进行本地身份认证;
S16、客户端向服务器发送二次认证请求;
S17、客户端生成基于设备指纹的业务认证消息OTP1发送给服务器;
S18、服务器生成业务认证消息OTP2,并对比与OTP1的一致性;
S19、服务器查询用户绑定的设备指纹,向对应的绑定设备推送消息,消息包含本次业务信息的详细情况;
S20、用户核实本次业务的操作真实性,将判定结果发送给服务器;
S21、根据客户端的回应,服务器执行对应的操作或者拒绝对应的操作。
7.根据权利要求1所述基于带外验证和增强OTP机制的二次认证方法,其特征在于:所述二次认证方法用于网上银行、网上支付、网上转账、移动支付、快捷支付、普通业务的登陆及交易认证。
CN201510650318.9A 2015-10-10 2015-10-10 一种基于带外验证和增强otp机制的二次认证方法 Active CN105357186B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510650318.9A CN105357186B (zh) 2015-10-10 2015-10-10 一种基于带外验证和增强otp机制的二次认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510650318.9A CN105357186B (zh) 2015-10-10 2015-10-10 一种基于带外验证和增强otp机制的二次认证方法

Publications (2)

Publication Number Publication Date
CN105357186A CN105357186A (zh) 2016-02-24
CN105357186B true CN105357186B (zh) 2018-10-19

Family

ID=55333050

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510650318.9A Active CN105357186B (zh) 2015-10-10 2015-10-10 一种基于带外验证和增强otp机制的二次认证方法

Country Status (1)

Country Link
CN (1) CN105357186B (zh)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107276964A (zh) * 2016-04-07 2017-10-20 大唐网络有限公司 二手物品在线交易过程中实现分级加密和安全认证的方法
CN106685912B (zh) * 2016-08-09 2020-06-12 厦门天锐科技股份有限公司 一种应用系统的安全访问方法
US10586033B2 (en) * 2017-08-29 2020-03-10 International Business Machines Corporation Automatic upgrade from one step authentication to two step authentication via application programming interface
CN107454111A (zh) * 2017-09-29 2017-12-08 南京中高知识产权股份有限公司 安全认证设备及其工作方法
CN109587143B (zh) * 2018-12-10 2019-09-27 北京芯盾时代科技有限公司 基于主路的二次认证方法和系统
CN111310242B (zh) * 2020-02-03 2022-06-07 同盾控股有限公司 设备指纹生成的方法、装置、存储介质及电子设备
CN112165488A (zh) * 2020-09-28 2021-01-01 杭州安恒信息安全技术有限公司 一种风险评估方法、装置、设备及可读存储介质
CN112968864A (zh) * 2021-01-26 2021-06-15 太原理工大学 一种可信的IPv6网络服务过程机制
CN112907933A (zh) * 2021-03-15 2021-06-04 宁波三星医疗电气股份有限公司 一种电能表的抄表方法
CN113411249B (zh) * 2021-05-17 2022-05-20 宁波乐歌海生智家科技有限公司 一种智能邮箱的认证方法及系统
CN117579402A (zh) * 2024-01-17 2024-02-20 北京大学 平台二次认证登录系统及方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101102194A (zh) * 2007-07-31 2008-01-09 北京飞天诚信科技有限公司 一种otp设备及利用该设备进行身份认证的方法
CN101986597A (zh) * 2010-10-20 2011-03-16 杭州晟元芯片技术有限公司 一种带生物特征识别功能的身份认证系统及其认证方法
CN102176712A (zh) * 2011-02-14 2011-09-07 华为终端有限公司 一种身份认证的方法及数据卡

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100153711A1 (en) * 2008-12-11 2010-06-17 Electronics And Telecommunications Research Institute Downloadable conditional access system efficiently detecting duplicated dcas host
WO2010089723A1 (en) * 2009-02-08 2010-08-12 Infinite Memories Ltd. A circuit, system, device and method of authenticating a communication session and encrypting data thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101102194A (zh) * 2007-07-31 2008-01-09 北京飞天诚信科技有限公司 一种otp设备及利用该设备进行身份认证的方法
CN101986597A (zh) * 2010-10-20 2011-03-16 杭州晟元芯片技术有限公司 一种带生物特征识别功能的身份认证系统及其认证方法
CN102176712A (zh) * 2011-02-14 2011-09-07 华为终端有限公司 一种身份认证的方法及数据卡

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
一种动态口令与指纹识别相结合的双向身份认证系统的研究与实现;徐华龙;《中国优秀说是学位论文全文数据库 信息科技辑》;20091215(第12期);第26-46页 *
网上银行身份认证系统的安全性研究;程宇贤;《中国优秀硕士学位论文全文数据库 信息科技辑》;20101015(第10期);第21、38、41、47页 *

Also Published As

Publication number Publication date
CN105357186A (zh) 2016-02-24

Similar Documents

Publication Publication Date Title
CN105357186B (zh) 一种基于带外验证和增强otp机制的二次认证方法
US11832099B2 (en) System and method of notifying mobile devices to complete transactions
US20190281028A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
US9900163B2 (en) Facilitating secure online transactions
EP3195108B1 (en) System and method for integrating an authentication service within a network architecture
JP4861417B2 (ja) 拡張ワンタイム・パスワード方法および装置
CN102006271B (zh) 用于在线交易的ip地址安全多信道认证
US9736150B2 (en) Authentication system and method
US8869238B2 (en) Authentication using a turing test to block automated attacks
US20050021975A1 (en) Proxy based adaptive two factor authentication having automated enrollment
US20120324545A1 (en) Automated security privilege setting for remote system users
Hammood et al. A review of user authentication model for online banking system based on mobile IMEI number
JP2017519412A (ja) 認証装置の登録のための強化されたセキュリティ
US20090220075A1 (en) Multifactor authentication system and methodology
Tally et al. Anti-phishing: Best practices for institutions and consumers
JP5186648B2 (ja) 安全なオンライン取引を容易にするシステム及び方法
WO2008024362A9 (en) Advanced multi-factor authentication methods
Yasin et al. Enhancing anti-phishing by a robust multi-level authentication technique (EARMAT).
JP4578352B2 (ja) 通信媒介装置、データ提供装置およびデータ提供システム
Razumov et al. Ensuring the security of web applications operating on the basis of the SSL/TLS protocol
WO2010070456A2 (en) Method and apparatus for authenticating online transactions using a browser
CN117396866A (zh) 授权交易托管服务
Blauw Beatrix: A Model for Multi-Modal and Fine-Grained Authentication for Online Banking
Al-Sharafi A Review of User Authentication Model for Online Banking System based on Mobile IMEI Number

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: Xinping street Suzhou City Industrial Park 215123 Jiangsu province No. 388 innovation park off 6 Building 5 floor

Applicant after: JIANGSU PAY EGIS TECHNOLOGY Co.,Ltd.

Address before: Xinping Street Industrial Park of Suzhou city in Jiangsu province 215123 No. 388 takeoff Innovation Park Building 6 5F

Applicant before: SUZHOU PAYEGIS INFORMATION TECHNOLOGY Co.,Ltd.

COR Change of bibliographic data
CB02 Change of applicant information

Address after: 215021 3F-301 room, Suzhou 2. 5 Industrial Park, No. 88 Dongchang Road, Suzhou Industrial Park, Suzhou, Jiangsu, China. C2

Applicant after: JIANGSU PAY EGIS TECHNOLOGY Co.,Ltd.

Address before: 215123 5, building 6, Tengfei Innovation Park, 388 Xinping street, Suzhou Industrial Park, Jiangsu.

Applicant before: JIANGSU PAY EGIS TECHNOLOGY Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20201022

Address after: 3f-007, 3rd floor, North (xiesu Industrial Park), 760 Guangji North Road, Gusu District, Suzhou City, Jiangsu Province

Patentee after: Jiangsu Tongfu Dun Xinchuang Technology Co.,Ltd.

Patentee after: Beijing tongfudun Artificial Intelligence Technology Co.,Ltd.

Patentee after: JIANGSU PAY EGIS TECHNOLOGY Co.,Ltd.

Address before: Suzhou City, Jiangsu province 215021 East Road, Suzhou Industrial Park, No. 88 Suzhou 2.5 Industrial Park C2 building room 3F-301

Patentee before: JIANGSU PAY EGIS TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20221109

Address after: 4F, Building C2, Suzhou 12.5 Industrial Park, No. 88, Dongchang Road, Suzhou Industrial Park, Jiangsu Province, 215000

Patentee after: JIANGSU PAY EGIS TECHNOLOGY Co.,Ltd.

Address before: 3f-007, 3rd floor, north, No. 760, Guangji North Road, Gusu District, Suzhou City, Jiangsu Province

Patentee before: Jiangsu Tongfu Dun Xinchuang Technology Co.,Ltd.

Patentee before: Beijing tongfudun Artificial Intelligence Technology Co.,Ltd.

Patentee before: JIANGSU PAY EGIS TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right
CP02 Change in the address of a patent holder

Address after: 4f, building C2, Suzhou 2.5 Industrial Park, 88 Dongchang Road, Suzhou Industrial Park, Jiangsu Province, 215000

Patentee after: JIANGSU PAY EGIS TECHNOLOGY Co.,Ltd.

Address before: 4F, Building C2, Suzhou 12.5 Industrial Park, No. 88, Dongchang Road, Suzhou Industrial Park, Jiangsu Province, 215000

Patentee before: JIANGSU PAY EGIS TECHNOLOGY Co.,Ltd.

CP02 Change in the address of a patent holder