CN105391553A - 基于包含金额的挑战因子的挑战应答动态口令的生成方法 - Google Patents
基于包含金额的挑战因子的挑战应答动态口令的生成方法 Download PDFInfo
- Publication number
- CN105391553A CN105391553A CN201510672059.XA CN201510672059A CN105391553A CN 105391553 A CN105391553 A CN 105391553A CN 201510672059 A CN201510672059 A CN 201510672059A CN 105391553 A CN105391553 A CN 105391553A
- Authority
- CN
- China
- Prior art keywords
- money
- amount
- dynamic password
- challenge
- challenging value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了基于包含金额的挑战因子的挑战应答动态口令的生成方法,其首先对输入的挑战值进行检测并判断挑战值中包含的金额的格式,接着根据金额的格式将该金额转换成标准格式,再进行结合种子生成动态口令。本发明提供的方案能够有效解决由于用户输入的金额值格式不同,而导致无法进行挑战应答认证的问题,能够确保参与计算的金额挑战值格式一致。
Description
技术领域
本发明涉及安全应用领域,具体涉及挑战类型动态口令的生成技术。
背景技术
动态口令作为最安全的身份认证技术之一,目前已经被越来越多的行业所应用。由于它使用便捷,且与平台无关性,随着移动互联网的发展,动态口令技术已成为身份认证技术的主流,被广泛应用于企业、网游、金融等领域,国内外从事动态口令相关研发和生产的企业也越来越多,其优势在于与各种业务系统快速无缝互操作,其完全自主研发的号令动态口令身份认证软件系统稳定、高效、支持多种认证模式,其解决方案可以服务不同规模企业。
动态口令按技术主要分两种:同步口令技术、异步口令技术。同步口令技术主要分为时间同步口令和事件同步口令。动态口令技术中主要涉及以下一些技术名称:
步进值:动态口令包含一个步进值参数,比如时间型动态口令的步进值,一般采用60秒;表示在每一个60秒内的生成的动态口令是相同的,而该动态口令在认证系统端进行认证时仅允许被认证一次,在下一个60秒内生成的动态口令则变成了另一个不同的动态口令;
挑战应答类型的动态口令:属于异步口令类型的动态口令,在生成动态口令时,要求认证系统在服务端生成一个挑战值,然后将该挑战值传递给持有支持动态口令算法的硬件令牌的客户,客户在令牌上输入该挑战值,令牌会根据该挑战值,计算出一个应答,称之为挑战应答动态口令,然后将动态口令传递给认证系统服务端进行认证,服务端使用同样的挑战值来计算动态口令,并于客户传递过来的动态口令进行比对,若相同,则认证成功,若不同则认证失败;
种子密钥:用于根据一些参数,来计算生成动态口令的种子密钥。
当前的挑战应答类型的动态口令在认证系统端产生挑战值,并在硬件令牌端输入该挑战值,硬件令牌使用与认证系统端相同的种子密钥生成挑战应答动态口令,然后认证系统端使用与硬件令牌里面相同的种子密钥生成一个动态口令,并于硬件令牌生成的挑战应答动态口令进行比对,进行认证。
针对上述的挑战应答类型的动态口令,当使用一个金额值来作为挑战值或参与挑战值的组成时,由于金额的格式可以为多种格式,比如:123、123.0、0123.0、123.00等均表示人民币123元,而对于每种用户在动态口令令牌上输入的格式如果不同,则会产生不同的动态口令,则在挑战应答动态口令的认证过程中将会导致无法认证。
发明内容
针对现有挑战应答类型的动态口令在面对金额值作为挑战值或参与挑战值的组成时,会产生不同的动态口令,导致无法认证的问题,本发明的目的在于提供一种基于包含金额的挑战因子的挑战应答动态口令的生成方法,保证认证的正常进行。
为了达到上述目的,本发明采用如下的技术方案:
基于包含金额的挑战因子的挑战应答动态口令的生成方法,所述生成方法首先对输入的挑战值进行检测并判断挑战值中包含的金额的格式,接着根据金额的格式将该金额转换成标准格式,再进行结合种子生成动态口令。
在本发明的优选实例中,所述方法通过如下步骤来具体实现:
(1)输入的挑战值进行检测,检测挑战值中是否包含金额,若包含,转入步骤(2);若不包含,则转入步骤(4);
(2)判断输入挑战值中的金额的格式;
(3)根据步骤(2)中确定的金额格式将该金额转换成标准格式;
(4)将处理好的挑战值结合种子生成动态口令。
进一步的,所述步骤(1)中根据交易方式判断输入的挑战值中是否包含金额。
进一步的,所述步骤(2)中通过检测挑战值中包括金额的所有数值,并根据检测结果来判断该金额的格式。
本发明提供的方案能够有效解决由于用户输入的金额值格式不同,而导致无法进行挑战应答认证的问题,能够确保参与计算的金额挑战值格式一致。
整个方案在实施时非常的简单可靠,对整个挑战应答认证的过程没有任何影响,且能够保证挑战应答认证过程的有效和精准。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实施的流程示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明方案在动态口令认证系统以及令牌中,使用挑战应答动态口令认证时,首先对输入的挑战值进行检测,如果将输入金额作为挑战值时候,则根据金额的格式,自动将用户输入的符合金额值转换成标准格式,即:保留有效整数位且有效整数位不以0开头,保留一个小数点,保持小数点两位。
则,如果用户输入的金额类似123、123.0、123.00、0123、0123.0、0123.00时,自动将会转换为标准格式:123.00。这样可以保持用户输入并转换后的挑战值(123.00)与认证系统端使用同样的方式格式化金额后的挑战值(123.00)一致,这样即可满足正常的认证流程。
基于上述原理,本发明的具体实现过程如下(参见图1):
(1)输入的挑战值进行检测,检测挑战值中是否包含金额,若包含,转入步骤(2);若不包含,则转入步骤(4);
该步骤中主要是根据交易方式判断输入的挑战值中是否包含金额。由于在规定的业务交易中,挑战值的组成通常含有具体的意义,比如支付交易、转账交易、缴费交易,通常银行会在这些交易中将金额作为挑战值的组成部分之一等。所以,一旦在某个交易过程中确定是何种交易,用户在令牌上选择了此种交易,令牌及根据选择的交易可以确定当前输入的是否包含金额数据。
(2)判断输入挑战值中的金额的格式;
该步骤中首先从挑战值中提取出其包含的金额,再对该金额的格式进行判断。
在提取金额时,根据动态令牌所选择的交易方式,确定输入挑战值中包含金额的位置,并根据该位置,从挑战值中提取出相应的金额。
对提出的金额进行判断时,首先依次检测金额中所有的组成字符,并判断每个字符所表示的含义:为数字还是小数点。再根据金额的格式要求,判断出金额的格式。
(3)根据步骤(2)中确定的金额格式将该金额转换成标准格式;
该步骤中涉及的金额标准格式为:保留一个小数点、两位小数位的有效数值的金额格式。
在进行转换时,首先根据判断出的金额的格式,确定该金额中小数点位置,以该小数点为分界点,将整个金额分为左右两部分:
对位于小数点左侧的左部分金额值,从右向左依次检测该左部分金额的所有组成字符,直至检测到非0的数字,并将之前检测到“0”或非数字字符删除,将整理好的左部分金额值置于小数点左侧;
对位于小数点右侧的右部分金额值,从左向右截取两位数字,对于不足两位的以0补足,并将整理好的右部分金额值置于小数点右侧。
由此形成标准格式的金额:首位数字非“0”,保留一个小数点、两位小数位的有效数值。
比如:如果用户输入的金额类似123、123.0、123.00、0123、0123.0、0123.00时,自动将会转换为标准格式:123.00。即格式为保留一个小数点、两位小数位的有效数值的金额格式。
通过上述的转换方式,能够快速、准确的将各种不同格式的金额自动的转换成统一的金额格式,极大的提高工作效率和保证后续动态令牌工作的稳定可靠性。
(4)将处理好的挑战值结合种子密钥生成动态口令。
该步骤中将不包含金额的挑战值直接与种子密钥进行计算生成动态口令或将金额转换成标准格式的挑战值与与种子密钥进行计算生成动态口令。
在实际的操作过程中,由于在规定的业务交易中、挑战值的组成通常含有具体的意义:比如支付交易、转账交易、缴费交易,通常银行会在这些交易中将金额作为挑战值的组成部分之一等。
当客户在网银系统中做支付交易时,假定银行规定支付业务中的支付金额必须作为挑战应答动态口令认证中的挑战值组成部分之一,并且在网银系统支付业务操作过程中提醒客户:“请在您持有的动态口令令牌中选择支付业务,并输入当前交易金额”。
此时用户一般会按照提示在令牌中输入金额作为挑战值,但是在客户输入的过程中很可能输入一个格式不统一的金额:比如交易金额实际应该为¥123.50,而用户很可能输入成123.5。
由于网银后台调用动态口令认证系统端使用的挑战值中的金额的格式为标准格式:¥123.50。
由此,将导致用户在令牌上输入的挑战值与网银后台调用动态口令认证系统端使用的挑战值不一致,导致挑战应答动态口令认证失败。
若客户的动态令牌运行本发明提供的方案,将在客户输入所有的挑战值后(包括相应的金额),根据客户通过动态令牌选择的交易方式,以确定该挑战值中是否包括金额,若检测到包括金额,将对金额的格式进行检测判断,再根据金额的格式,将挑战值中的金额转换成标准格式,最后再以该标准格式的金额形成计算动态口令的挑战值,并且该挑战值与网银后台调用动态口令认证系统端使用的挑战值一直,从而保证挑战应答动态口令认证通过。
由此,本发明提供的方案能够在令牌中对用户输入金额自动转换为相应的标准格式,达到挑战值一致并且认证通过的目的。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (4)
1.基于包含金额的挑战因子的挑战应答动态口令的生成方法,其特征在于,所述生成方法首先对输入的挑战值进行检测并判断挑战值中包含的金额的格式,接着根据金额的格式将该金额转换成标准格式,再进行结合种子生成动态口令。
2.根据权利要求1所述的基于包含金额的挑战因子的挑战应答动态口令的生成方法,其特征在于,所述方法通过如下步骤来具体实现:
(1)输入的挑战值进行检测,检测挑战值中是否包含金额,若包含,转入步骤(2);若不包含,则转入步骤(4);
(2)判断输入挑战值中的金额的格式;
(3)根据步骤(2)中确定的金额格式将该金额转换成标准格式;
(4)将处理好的挑战值结合种子生成动态口令。
3.根据权利要求2所述的基于包含金额的挑战因子的挑战应答动态口令的生成方法,其特征在于所述步骤(1)中根据交易方式判断输入的挑战值中是否包含金额。
4.根据权利要求2所述的基于包含金额的挑战因子的挑战应答动态口令的生成方法,所述步骤(2)中通过检测挑战值中包括金额的所有数值,并根据检测结果来判断该金额的格式。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510672059.XA CN105391553A (zh) | 2015-10-15 | 2015-10-15 | 基于包含金额的挑战因子的挑战应答动态口令的生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510672059.XA CN105391553A (zh) | 2015-10-15 | 2015-10-15 | 基于包含金额的挑战因子的挑战应答动态口令的生成方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105391553A true CN105391553A (zh) | 2016-03-09 |
Family
ID=55423408
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510672059.XA Pending CN105391553A (zh) | 2015-10-15 | 2015-10-15 | 基于包含金额的挑战因子的挑战应答动态口令的生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105391553A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247227A (zh) * | 2007-02-15 | 2008-08-20 | 李东声 | 电子签名方法及电子签名装置 |
CN102752115A (zh) * | 2012-07-04 | 2012-10-24 | 北京天龙融和软件有限公司 | 挑战码生成方法及装置、动态口令认证方法及系统 |
CN103391195A (zh) * | 2013-07-01 | 2013-11-13 | 飞天诚信科技股份有限公司 | 一种动态令牌的工作方法 |
CN103840943A (zh) * | 2014-03-11 | 2014-06-04 | 上海动联信息技术股份有限公司 | 基于挑战应答动态口令实现多业务认证的方法 |
EP2183875A4 (en) * | 2007-07-31 | 2015-10-07 | Karen Mary Artus | METHOD AND SYSTEM FOR DATA ENCRYPTION |
-
2015
- 2015-10-15 CN CN201510672059.XA patent/CN105391553A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101247227A (zh) * | 2007-02-15 | 2008-08-20 | 李东声 | 电子签名方法及电子签名装置 |
EP2183875A4 (en) * | 2007-07-31 | 2015-10-07 | Karen Mary Artus | METHOD AND SYSTEM FOR DATA ENCRYPTION |
CN102752115A (zh) * | 2012-07-04 | 2012-10-24 | 北京天龙融和软件有限公司 | 挑战码生成方法及装置、动态口令认证方法及系统 |
CN103391195A (zh) * | 2013-07-01 | 2013-11-13 | 飞天诚信科技股份有限公司 | 一种动态令牌的工作方法 |
CN103840943A (zh) * | 2014-03-11 | 2014-06-04 | 上海动联信息技术股份有限公司 | 基于挑战应答动态口令实现多业务认证的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104464117B (zh) | 基于动态二维码银行自动柜员机取款方法及系统 | |
CN103258270B (zh) | 银行支付方法及其装置 | |
CN104599408B (zh) | 基于动态二维码的第三方账户自动柜员机取款方法及系统 | |
CN102158488B (zh) | 动态口令生成方法及装置、认证方法及系统 | |
US20150161613A1 (en) | Methods and systems for authentications and online transactions | |
CN102281138B (zh) | 一种提高验证码安全性的方法和系统 | |
US9336523B2 (en) | Managing a secure transaction | |
WO2015096800A1 (zh) | 数据处理方法、中间服务器及系统 | |
CN104504567B (zh) | 一种小额支付卡的充值方法及装置 | |
CN111641605B (zh) | 基于动态口令的电子签章方法及系统 | |
CN104102868A (zh) | 一种基于人脸识别技术的多模态Usb Key认证的方法 | |
CN105989259B (zh) | 用户身份验证方法、装置及系统 | |
WO2016087974A1 (en) | Token authentication for touch sensitive display devices | |
CN102170437A (zh) | 基于挑战口令令牌实现钓鱼网站识别的系统及方法 | |
EP3229190A1 (en) | Payment verification method, apparatus and system | |
CN107231343B (zh) | 一种u盾激活方法、客户端及系统 | |
JP5965090B2 (ja) | 送金を安全に行うために使用されるサインコードを生成する方法およびシステム | |
CN105956858B (zh) | 一种支付方法及电子设备 | |
CN105391553A (zh) | 基于包含金额的挑战因子的挑战应答动态口令的生成方法 | |
CN114389821B (zh) | 基于区块链的签名监管方法、装置、设备和存储介质 | |
CN102142963A (zh) | 一种基于多重交易因子的挑战口令认证系统及方法 | |
TWI793479B (zh) | 一種資料處理方法、裝置與系統 | |
CN106961417A (zh) | 基于密文的身份验证方法 | |
SG10201801449TA (en) | Methods and systems for person to merchant (p2m) payment transactions | |
CN104023030A (zh) | 一种令牌口令的同步方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160309 |