CN106209372A - 一种具有位置验证的动态密码认证系统及方法 - Google Patents

Abstract

本发明涉及一种具有位置验证的动态密码认证系统及方法。解决现有技术中短信动态密码被拦截，导致欺骗认证的问题。系统包括用户认证终端、用户业务终端、动态密码认证服务器、位置认证单元，用户认证终端和用户业务终端各自通过网络接入单元分别与动态密码认证服务器相连，位置认证单元分别与网络接入单元、动态密码认证服务器相连；认证方法中增加了对用户认证终端、用户业务终端的位置信息进行匹配认证的步骤。本发明的优点是对现有的动态密码认证方法进行扩展，增加了对接收、回复动态密码的用户终端的位置判断流程；通过判断接收、回复动态密码的用户终端是否在同一位置，确定动态密码是否被拦截，从而使动态密码认证更加安全。

Description

一种具有位置验证的动态密码认证系统及方法

技术领域

本发明涉及一种密码认证领域，尤其是涉及一种具有位置验证的动态密码认证系统及方法。

背景技术

动态密码认证，一般由动态密码服务端发送短信动态密码到用户手机终端，用户读取动态密码并在客户端输入，客户端发送到动态密码服务端，由动态密码服务端验证发送的短信动态密码与返回的动态密码，如验证通过则动态密码认证成功，否则，认证失败。

现有的对动态密码认证技术，主要集中在如何生成不被仿冒的动态密码或者如何保证动态密码的及时发送和接收方面。如中国专利公开号为CN101166091A的专利文献，主要研究了在生成不被仿冒的动态密码；中国专利公开号为CN101350720A的专利文献，主要研究了如何保证动态密码的及时发送和接收方面。

短信动态密码已在网上支付中已被广泛使用，由于针对手机智能终端的拦截短信的病毒在移动互联网上传播，出现了因短信动态密码的被拦截而盗取用户资金的诈骗活动。

总之，现有动态密码技术存在难以防范使用拦截得到的动态密码进行欺骗认证的缺陷。

发明内容

本发明主要是解决现有技术中短信动态密码被拦截，导致欺骗认证的问题，提供了一种具有位置验证的动态密码认证系统及方法。

本发明的上述技术问题主要是通过下述技术方案得以解决的：一种具有位置验证的动态密码认证系统，包括用户认证终端、用户业务终端、动态密码认证服务器、位置认证单元，所述用户认证终端和用户业务终端各自通过网络接入单元分别与动态密码认证服务器相连，位置认证单元分别与网络接入单元、动态密码认证服务器相连；

用户认证终端：通过网络接入单元与动态密码认证服务器进行通信，接收动态密码；用户认证终端可以为个人电脑、其中安装了浏览器、APP程序的手机或PDA等等。

用户业务终端：通过网络接入单元与动态密码认证服务器进行通信，向动态密码认证服务器发送动态密码，向动态密码认证服务器反馈位置信息；用户业务终端可以为个人电脑、其中安装了浏览器、APP程序的手机或PDA等等。

动态密码认证服务器：生成动态密码，发送并接收动态密码，判断接收的动态密码的有效性向位置认证单元发送位置认证请求、接收认证结果；

网络接入单元：通过有线或无线通信网络连接用户业务终端、用户认证终端，将用户业务终端、用户认证终端接入通信网络或互联网；网络接入单元可以是为手机基站，DSL（DSL，Digital Subscriber Loop）接入网的数字用户接入复用器DSLM（DSLM，DSL Access Multiplier），PON（PON，Passive Optical Networks）接入网的光线路终端OLT（OLT，Optical Line Terminal），光网络单元ONU（ONU，Optical Network Unit）等，或者LAN（LAN，Local Area Network）接入网的楼道交换机、小区交换机、汇聚交换机等。也可以是WiFi无线接入网的AP（AP，Access Point）等。

位置认证单元：采集网络接入单元的包括位置的信息并建立其与接入的用户终端的识别信息的对应，对用户业务终端、用户认证终端的位置信息进行匹配，将位置信息匹配结果发送给动态密码认证服务器。

本发明系统还能对用户认证终端、用户业务终端的位置信息进行匹配认证，通过判断接收、回复动态密码的用户终端是否在同一位置，确定动态密码是否被拦截,进一步提高了动态密码认证的安全性。

作为一种优选方案，所述用户业务终端还包括有终端位置读取单元，位置读取单元包括GPS定位单元、北斗定位单元。

一种具有位置验证的动态密码认证方法，包括以下步骤：

a．用户业务终端向动态密码认证服务器发起密码申请请求，动态密码认证服务器在数据库中获取认证手机号或认证号码并将生成的动态密码发送给所述认证手机号或认证号码对应的用户认证终端，在用户业务终端输入用户认证终端接收的动态密码，用户业务终端生成包含动态密码信息的反馈信息发送至动态密码认证服务器；数据库中存储有与用户业务终端关联的用户认证终端的认证手机号或认证号码，动态密码认证服务器在收到用户业务终端密码申请请求，通过数据库能获取对应的用户认证终端手机号或认证号码。

b．动态密码认证服务器对反馈信息的动态密码进行验证，若验证失败，则认证失败，若验证成功，则进入下一步骤；

c．动态密码认证服务器向位置认证单元发送位置认证请求，位置认证单元获取用户认证终端的位置信息和用户业务终端的位置信息；

d．位置认证单元对用户认证终端和用户业务终端的位置信息进行匹配，若匹配成功，则动态密码认证成功，若匹配失败，则动态密码认证失败，位置认证单元将认证结果发送给动态密码认证服务器。

本发明方法还包括对用户认证终端、用户业务终端的位置信息进行匹配认证，通过判断接收、回复动态密码的用户终端是否在同一位置，确定动态密码是否被拦截,进一步提高了动态密码认证的安全性。

作为一种优选方案，在步骤c之前还进行以下操作：

位置认证单元实时采集各网络接入单元的信息，网络接入单元信息包含位置信息和与之连接的用户认证终端或用户业务终端的识别信息；所述用户认证终端识别信息为用户认证终端号码、登陆名或IP地址，用户业务终端识别信息为用户业务终端号码、登陆名或IP地址。

作为一种优选方案，所述用户业务终端通过终端位置读取单元获取用户业务终端的位置信息，用户业务终端发送给动态密码认证服务器的反馈信息还包括有用户业务终端位置信息。位置信息为经纬度信息、能表示位置的基站号信息等等，位置信息具体类型根据位置读取单元的类型而定。

作为一种优选方案，步骤c中位置信息获取包括：

c11．动态密码认证服务器根据认证手机号或认证号码获得用户认证终端的识别信息，根据接收动态密码申请请求时获得的用户业务终端IP地址获得用户业务终端的识别信息；

c12．动态密码认证服务器向位置认证单元发送位置认证请求，位置认证请求包含有要认证的用户认证终端和用户业务终端的识别信息；

c13．位置认证单元根据用户认证终端的识别信息获得用户认证终端连接的网络接入单元的位置信息，将该位置信息作为用户认证终端的位置信息，位置认证单元根据用户业务终端的识别信息获得用户业务终端连接的网络接入单元的位置信息，将该位置信息作为用户业务终端的位置信息。

作为一种优选方案，步骤d中位置信息匹配包括以下步骤：

d11．根据用户认证终端连接的网络接入单元的位置信息和用户业务终端连接的网络接入单元的位置信息计算两接入单元之间的距离；

d12．位置认证单元中根据网络接入单元类型预设有最远覆盖半径值，将计算出的距离与两个网络接入单元最远覆盖半径值之和相比较，若大于最远覆盖半径值之和，则位置匹配失败；否则，位置匹配成功。

作为一种优选方案，步骤c中位置信息获取包括：

用户业务终端位置获取步骤：

c21．用户业务终端将用户业务单元的位置信息加入到反馈信息中发送给动态密码认证服务器；

c22．动态密码认证服务器解析反馈信息获得用户业务终端位置信息；

用户认证终端位置获取步骤：

c31．动态密码认证服务器根据认证手机号或认证号码获得用户认证终端的识别信息；

c32．动态密码认证服务器向位置认证单元发送位置认证请求，位置认证请求包含有要查询的用户认证终端的识别信息以及用户业务终端的位置信息；

c33．位置认证单元根据用户认证终端的识别信息获得与位置认证单元连接的网络接入单元位置信息，将该位置信息作为用户认证终端的位置信息。

作为一种优选方案，步骤d中位置信息匹配包括以下步骤：

d21．根据用户认证终端连接的网络接入单元的位置信息和用户业务终端的位置信息计算用户认证终端连接的网络接入单元和用户业务终端之间的距离；

d22．位置认证单元中根据网络接入单元类型预设有最远覆盖半径值，将计算出的距离与用户认证终端连接的网络接入单元最远覆盖半径值相比较，若大于最远覆盖半径值，则位置匹配失败；否则，位置匹配成功。

作为一种优选方案，在位置信息匹配之前还包括有对网络接入单元信息匹配的步骤，包括：

d01．判断用户认证终端和用户业务终端当前连接的网络接入单元是否为同类型设备，若否则进入步骤c，若是则进入下步骤；

d02．判断两网络接入单元是否为同一设备，若否则进入步骤c，若是则用户认证终端和用户业务终端位置匹配成功。

因此，本发明的优点是：在现有动态密码认证系统的基础上改造完成，对现有的动态密码认证方法进行扩展。增加了对接收、回复动态密码的用户终端的位置判断流程；通过判断接收、回复动态密码的用户终端是否在同一位置，确定动态密码是否被拦截，从而使动态密码认证更加安全。

附图说明

附图1是本发明的一种结构示意图；

附图2是本发明中方法一种流程示意图；

附图3是本发明中方法另一种流程示意图。

11-用户认证终端 12-用户业务终端 13-网络接入单元 14-位置认证单元 15-动态密码认证服务器 16-网络。

具体实施方式

下面通过实施例，并结合附图，对本发明的技术方案作进一步具体的说明。

实施例1：

本实施例一种具有位置验证的动态密码系统，如图1所示，包括用户认证终端11、用户业务终端12、网络接入单元13、位置认证单元14和动态密码认证服务器15。网络接入单元具有多个，与位于其覆盖范围内的用户认证终端或用户业务终端连接。用户认证终端11通过一个网络接入单元13和动态密码认证服务器15连接，用户业务终端12通过一个网络接入单元13和动态密码认证服务器15连接，动态密码认证服务器15连接位置认证单元14，位置认证单元14分别与两个网络接入单元、动态密码认证服务器相连。

网络接入单元、位置认证单元、动态密码认证服务器通过网络16进行连接，网络16由因特网、专用通信线路、移动通信网络（包括基站）、宽带无线网络（包括AP）和网关等构成。

动态密码认证服务器 15可以由一台服务器实现或由运行相同或不同应用的服务器组实现。

本实施例中用户认证终端11以手机，或者接收短信的装置为例。则与用户认证终端连接的网络接入单元13为移动通信网络的基站。

用户业务终端12以个人电脑，安装了浏览器、APP程序手机或PDA等装置为例；与用户业务单元连接的网络接入单元可以为有线网络的接入单元，例如，DSL（DSL，Digital Subscriber Loop）接入网的数字用户接入复用器DSLM（DSLM，DSL Access Multiplier）、BRAS；又如PON（PON，Passive Optical Networks）接入网的光线路终端OLT（OLT，Optical Line Terminal）、光网络单元ONU（ONU，Optical Network Unit）等；或者LAN（LAN，Local Area Network）接入网的楼道交换机、小区交换机、汇聚交换机等；也可以是WiFi无线接入网的AP（AP，Access Point）等。

位置认证单元14可以是信令采集、解析装置，采集网络接入单元或者网络16其他网元的信令，并通过终端号码、终端登陆名、终端IP地址等确定接入的用户终端；位置认证单元14也可以采集网络接入单元13的经纬度位置信息、网络接入单元的最远覆盖范围；位置认证单元14还建立用户认证终端识别信息与网络接入单元的对应关系。

本实施例中，用户业务终端12如使用ADSL上网，则连接的网络接入单元13可以是DSLM；用户业务终端12如使用LAN上网，则连接的网络接入单元13可以是楼道交换机、小区交换机或汇聚交换机之一，交换机提供接入的用户范围越少即覆盖范围小，则位置验证越精确，但获取交换机位置越复杂；用户业务终端12如使用小区光宽带上网，则连接的网络接入单元13可以是光线路终端OLT或光网络单元ONU之一；

一种具有位置验证的动态密码方法，如图2所示，包括以下步骤：

步骤a、用户业务终端12向动态密码认证服务器15发起密码申请请求，动态密码认证服务器15在数据库中获取认证手机号或认证号码并将生成的动态密码发送给所述认证手机号或认证号码对应的用户认证终端11，在用户业务终端12输入用户认证终端11接收的动态密码，用户业务终端12生成包含动态密码信息的反馈信息发送至动态密码认证服务器15；

用户业务终端12上网后可以使用浏览器等软件，首先连接动态密码认证服务器或其提供认证的网站进行业务操作，例如网上支付、网站登陆等；当动态密码认证服务器或其提供认证的网站判断需要动态密码认证时，动态密码认证服务器即收到密码申请请求，动态密码认证服务器进行动态密码认证流程；具体地，动态密码认证服务器15生成动态密码，并在动态密码认证服务器预设的数据库中或其提供认证的网站的数据库中获取认证手机号，动态密码认证服务器15使用短信将动态密码发送给认证手机号对应的用户认证终端11；本实施例中，用户认证终端11是手机，网络接入单元13是基站，手机连接基站后可收发短信。

动态密码认证服务器15在数据库中获取认证手机号或认证号码的方法，根据业务种类分两种情况：其一，在动态密码认证服务器或其提供认证的网站预设数据库，并存储客户认证手机号或认证号码，例如，对网上支付业务，在动态密码认证服务器或银行支付网站中存储银行卡号、绑定的认证手机号；当用户输入卡号并支付时，动态密码认证服务器获得认证手机号。其二，用户业务终端12在操作界面上直接输入手机号并将包括手机号的密码申请请求发给动态密码认证服务器，动态密码认证服务器获得认证手机号并可存储。

步骤b、动态密码认证服务器对反馈信息的动态密码进行验证，若验证失败，则认证失败，若验证成功，则进入下一步骤；

本实施例的后续步骤，对用户认证终端11与用户业务终端12的位置或距离进行验证，所述位置验证就是验证用户认证终端与用户业务终端是否在同一个地方，如果用户认证终端与用户业务终端的距离超过了测量误差允许的最大范围，则表示两终端不在同一位置，位置验证失败。

由于动态密码由客户从用户认证终端读取并输入用户业务终端，因此，用户认证终端与用户业务终端必须在目力可及或较近的距离范围内，才能在动态密码有效的时间阀值内进行读取和输入操作。

本实施例的后续步骤前，位置认证单元实时采集各网络接入单元的信息，网络接入单元信息包含位置信息和与之连接的用户认证终端或用户业务终端的识别信息。本实施例中具体包括：

位置认证单元采集与用户认证终端连接的网络接入单元13信息，也就是基站的位置信息，以及用户认证终端的识别信息，并将该基站的最远覆盖范围作为用户认证终端11的位置范围。具体采集网络接入单元信息的方法是：

位置认证单元采集若干城市的某个电信运营商或全国某个电信运营商的通信核心网设备的信令，通过采集、分析基站及基站连接的核心网设备的信令，例如，基站与SGSN（SGSN，Serving GPRS SUPPORT NODE）之间信令、SGSN与GGSN（GGSN, Gateway GPRS Support Node）之间信令等，确定基站编号及其连接的所有手机号并根据基站型号、功率确定其最远覆盖范围，位置认证单元也采集基站编号对应的基站位置。位置认证单元采集所述信息并建立对应关系后，用户认证终端11只要是所述被采集信令的电信运营商的客户，通过手机号码在位置认证单元中能查到其连接的基站位置信息。

位置认证单元采集与用户业务终端连接的网络接入单元的位置信息，以及用户业务终端的识别信息，并将该其的最远覆盖范围作为用户认证终端11的位置范围。具体采集网络接入单元信息的方法是：

位置认证单元采集若干城市某个电信运营商或全国某个电信运营商等的互联网核心网设备的信令，通过采集、分析互联网接入设备及其连接的核心网设备的信令，例如，对DSL接入网络采集分析DSLM与BRAS之间的信令及位置；对LAN接入网络采集分析楼道交换机、小区交换机或汇聚交换机的信令及位置；对WiFi无线接入网络采集分析AP与AC之间信令及位置等等，确定DSLM编号、AP编号、小区交换机编号或汇聚交换机编号等及其连接的所有IP地址并根据设备型号确定其最远覆盖范围。位置认证单元采集所述信息并建立对应关系后，用户业务终端12只要是所述被采集信令的电信运营商的客户，通过其IP地址在位置认证单元中能查到其连接的接入设备位置等信息。

本实施例中，位置认证单元采集信令的网络内的客户，才能提供动态密码的位置验证。

至此位置认证单元对各网络接入单元信息采集步骤结束。

步骤c、动态密码认证服务器16向位置认证单元15发送位置认证请求，位置认证单元获取用户认证终端11的位置信息和用户业务终端12的位置信息；

本实施例中步骤c中位置信息获取包括：

步骤c11、动态密码认证服务器根据认证手机号或认证号码获得用户认证终端的识别信息，根据接收动态密码申请请求时获得的用户业务终端IP地址获得用户业务终端的识别信息；

步骤c12、动态密码认证服务器向位置认证单元发送位置认证请求，位置认证请求包含有要查询的用户认证终端和用户业务终端的识别信息；

步骤c13、位置认证单元根据用户认证终端的识别信息获得用户认证终端连接的网络接入单元的位置信息，将该位置信息作为用户认证终端的位置信息，位置认证单元根据用户业务终端的识别信息获得用户业务终端连接的网络接入单元的位置信息，将该位置信息作为用户业务终端的位置信息；

用户认证终端或用户业务终端的位置信息包括位置及精确度，本实施例中，将用户认证终端或用户业务终端连接的网络接入单元的位置作为对应用户终端位置而将网络接入单元的最远覆盖半径作为对应用户终端的位置精确度；

例如，位置认证单元采集到基站的经纬度以及连接在该基站的所有手机号，位置认证单元根据基站设备的发射功率等参数确定基站信号最远覆盖半径；位置认证单元建立手机号与基站信息的对应关系，通过用户认证终端11的手机号码可以查到基站信息。

又例如，位置认证单元采集到互联网接入单元的经纬度及设备信息及连接在该接入单元的所有IP地址，并建立IP地址与网络接入单元信息的对应关系，由于IP地址的唯一性，位置认证单元在接收用户业务终端12的业务操作时，获取其IP地址，通过用户业务终端12的IP地址，可获取其连接的网络接入单元的位置信息；例如，用户业务终端12的IP地址为DSL接入网络分配使用，则位置认证单元通过采集的IP地址与网络接入设备的对应关系，查到DSLM及DSLM的位置信息及该设备提供服务用户的最远覆盖距离，在普通无中继的有线网络中，不影响网速的网线最远覆盖距离理论上不超过150米；又如，用户业务终端12的IP地址为LAN接入网络分配使用，则位置认证单元通过采集的IP地址与网络接入设备的对应关系，查到楼道交换机或小区交换机或汇聚交换机的位置信息及该设备提供服务用户的最远覆盖距离。

至此步骤c结束。

步骤d、位置认证单元对用户认证终端和用户业务终端的位置信息进行匹配，若匹配成功，则动态密码认证成功，若匹配失败，则动态密码认证失败，位置认证单元将认证结果发送给动态密码认证服务器。

本实施例中步骤d中的位置匹配包括：

步骤d11、根据用户认证终端连接的网络接入单元的位置信息和用户业务终端连接的网络接入单元的位置信息计算两接入单元之间的距离；

计算两网络接入单元之间的距离；例如，位置使用经纬度表示，则按两点经纬度计算距离；

步骤d12、位置认证单元中预设有网络接入单元类型及对应最远覆盖半径值，将计算出的距离与两个网络接入单元最远覆盖半径值之和相比较，若大于最远覆盖半径值之和，则位置匹配失败；否则，位置匹配成功；

对基站，根据不同的信号调制方式、信号频率和发射功率，确定其最远覆盖半径值；对有线网路根据线路类型确定其最远覆盖距离值，例如一般网线双绞线的网线最远覆盖距离理论上不超过150米，网络接入单元13到与之连接的用户业务终端12通过N个网路交换机，则最远覆盖距离值为150米╳N。

计算两网络接入单元13之间的距离，如大于最远覆盖半径值之和，则两个网络接入单元的最远覆盖范围没有交集，因此，接入一个网络接入单元的用户业务终端12和接入另一个网络接入单元的用户认证终端11不在同一位置，位置匹配失败；

本实施例，将网络接入单元位置信息作为用户终端的位置，其误差最大误差就是网络接入单元的最远覆盖距离，在误差范围内不再区别两用户终端是否处于同一位置。

至此步骤d结束。

在以上步骤中，位置距离的计算可以计算位置测量误差，例如基本位置测量时的GPS误差；在互联网上进行的信息传输，可以采用加密技术进行保密。

另外，在位置信息匹配之前还包括有对网络接入单元信息匹配的步骤，包括：

d01．判断用户认证终端和用户业务终端当前连接的网络接入单元是否为同类型设备，若否则进入步骤c，若是则进入下步骤；判断两个网络接入单元是否都是手机基站、交换机等。本实施例中两个网络接入单元为不同类型的设备，则进入步骤c。

d02．判断两网络接入单元是否为同一设备，若否则进入步骤c，若是则用户认证终端和用户业务终端位置匹配成功。若是为同一类型设备，例如都为手机基站，则再判断他们的编号是否相同，若编号相同则两个网络接入单元为同一网络接入单元，则可以判定用户认证终端和用户业务终端的位置是在一起的，匹配成功。

另外，系统中的用户业务终端12若以具有上网功能的手机或者手机网络上网装置为例，则与用户业务终端连接的网络接入单元13是移动通信网络的基站。

位置认证单元采集与用户业务终端连接的网络接入单元的位置信息，以及用户业务终端的识别信息，并将该其的最远覆盖范围作为用户认证终端11的位置范围。具体采集网络接入单元信息的方法是：

位置认证单元采集若干城市单个电信运营商或全国单个电信运营商等的通信核心网设备的信令，通过采集、分析基站及基站连接的核心网设备的信令，例如，基站与SGSN（SGSN，Serving GPRS SUPPORT NODE）之间信令、SGSN与GGSN（GGSN, Gateway GPRS Support Node）之间信令等，确定基站编号及其连接的IP地址并根据基站型号、功率确定其最远覆盖范围；位置认证单元也采集基站编号对应的基站位置。用户业务终端12只要是所述被采集信令的电信运营商的客户，通过其IP地址在位置认证单元中能查到其连接的接入设备位置等信息。

实施例2：

本实施例一种具有位置验证的动态密码系统，本实施例给出了另一结构的系统。系统包括用户认证终端11、用户业务终端12、网络接入单元13、位置认证单元14和动态密码认证服务器15。网络接入单元具有多个，与位于其覆盖范围内的用户认证终端或用户业务终端连接。用户认证终端11通过一个网络接入单元13和动态密码认证服务器15连接，用户业务终端12通过一个网络接入单元13和动态密码认证服务器15连接，动态密码认证服务器15连接位置认证单元14，位置认证单元14分别与两个网络接入单元、动态密码认证服务器相连。其中用户业务终端12还包括有终端位置读取单元，终端位置读取单元包括GPS定位单元、北斗定位单元。

本实施例中用户认证终端11以手机，或者接收短信的装置为例。则与用户认证终端连接的网络接入单元13为移动通信网络的基站。

用户业务终端12以个人电脑，安装了浏览器、APP程序手机或PDA等装置为例，而终端位置读取单元为用户业务终端中的定位模块或是用户业务终端中安装的定位软件。

位置认证单元14可以是信令采集、解析装置，采集网络接入单元或者网络16其他网元的信令，并通过终端号码、终端登陆名、终端IP地址等确定接入的用户终端；位置认证单元14也可以采集网络接入单元13的经纬度位置信息、网络接入单元的最远覆盖范围；位置认证单元14还建立用户认证终端识别信息与网络接入单元的对应关系。

一种具有位置验证的动态密码方法，如图3所示，包括以下步骤：

步骤a、用户业务终端12向动态密码认证服务器15发起密码申请请求，动态密码认证服务器15在数据库中获取认证手机号或认证号码并将生成的动态密码发送给所述认证手机号或认证号码对应的用户认证终端11，在用户业务终端12输入用户认证终端11接收的动态密码，用户业务终端12生成包含动态密码信息的反馈信息发送至动态密码认证服务器15；

用户业务终端12上网后可以使用浏览器等软件，首先连接动态密码认证服务器或其提供认证的网站进行业务操作，例如网上支付、网站登陆等；当动态密码认证服务器或其提供认证的网站判断需要动态密码认证时，动态密码认证服务器即收到密码申请请求，动态密码认证服务器进行动态密码认证流程；具体地，动态密码认证服务器15生成动态密码，并在动态密码认证服务器预设的数据库中或其提供认证的网站的数据库中获取认证手机号，动态密码认证服务器15使用短信将动态密码发送给认证手机号对应的用户认证终端11；本实施例中，用户认证终端11是手机，网络接入单元13是基站，手机连接基站后可收发短信。

动态密码认证服务器15在数据库中获取认证手机号或认证号码的方法，根据业务种类分两种情况：其一，在动态密码认证服务器或其提供认证的网站预设数据库，并存储客户认证手机号或认证号码，例如，对网上支付业务，在动态密码认证服务器或银行支付网站中存储银行卡号、绑定的认证手机号；当用户输入卡号并支付时，动态密码认证服务器获得认证手机号。其二，用户业务终端12在操作界面上直接输入手机号并将包括手机号的密码申请请求发给动态密码认证服务器，动态密码认证服务器获得认证手机号并可存储。

步骤b、动态密码认证服务器对反馈信息的动态密码进行验证，若验证失败，则认证失败，若验证成功，则进入下一步骤；

本实施例的后续步骤，对用户认证终端11与用户业务终端12的位置或距离进行验证，所述位置验证就是验证用户认证终端与用户业务终端是否在同一个地方，如果用户认证终端与用户业务终端的距离超过了测量误差允许的最大范围，则表示两终端不在同一位置，位置验证失败。

由于动态密码由客户从用户认证终端读取并输入用户业务终端，因此，用户认证终端与用户业务终端必须在目力可及或较近的距离范围内，才能在动态密码有效的时间阀值内进行读取和输入操作。

本实施例的后续步骤前，位置认证单元实时采集各网络接入单元的信息，网络接入单元信息包含位置信息和与之连接的用户认证终端或用户业务终端的识别信息。本实施例中具体包括：

位置认证单元采集与用户认证终端连接的网络接入单元13信息，也就是基站的位置信息，以及用户认证终端的识别信息，并将该基站的最远覆盖范围作为用户认证终端11的位置范围。具体采集网络接入单元信息的方法是：

位置认证单元采集若干城市的某个电信运营商或全国某个电信运营商的通信核心网设备的信令，通过采集、分析基站及基站连接的核心网设备的信令，例如，基站与SGSN（SGSN，Serving GPRS SUPPORT NODE）之间信令、SGSN与GGSN（GGSN, Gateway GPRS Support Node）之间信令等，确定基站编号及其连接的所有手机号并根据基站型号、功率确定其最远覆盖范围，位置认证单元也采集基站编号对应的基站位置。位置认证单元采集所述信息并建立对应关系后，用户认证终端11只要是所述被采集信令的电信运营商的客户，通过手机号码在位置认证单元中能查到其连接的基站位置信息。

本实施例中用户业务终端的位置信息直接由终端位置读取单元提供，而不必通过位置认证单元对与用户业务终端连接的网络接入单元进行采集位置信息。

至此位置认证单元对各网络接入单元信息采集步骤结束。

步骤c、动态密码认证服务器15向位置认证单元14发送位置认证请求，位置认证单元获取用户认证终端11的位置信息和用户业务终端12的位置信息；

本实施例中步骤c中位置信息获取包括：

用户业务终端位置获取步骤：

c21．用户业务终端将用户业务单元的位置信息加入到反馈信息中发送给动态密码认证服务器；

c22．动态密码认证服务器解析反馈信息获得用户业务终端位置信息；

用户认证终端位置获取步骤：

c31．动态密码认证服务器根据认证手机号或认证号码获得用户认证终端的识别信息；

c32．动态密码认证服务器向位置认证单元发送位置认证请求，位置认证请求包含有要查询的用户认证终端的识别信息以及用户业务终端的位置信息。

用户认证终端的位置信息包括位置及精确度，本实施例中，将用户认证终端连接的网络接入单元的位置作为对应用户终端位置而将网络接入单元的最远覆盖半径作为对应用户终端的位置精确度；

例如，位置认证单元采集到基站的经纬度以及连接在该基站的所有手机号，位置认证单元根据基站设备的发射功率等参数确定基站信号最远覆盖半径；位置认证单元建立手机号与基站信息的对应关系，通过用户认证终端11的手机号码可以查到基站信息。

用户业务终端的位置信息直接由终端位置读取单元提供，用户业务终端将其位置信息加入到反馈信息中发送给动态密码认证服务器，动态密码认证服务器解析反馈信息获得用户业务终端位置信息。动态密码认证服务器向位置认证单元发送位置认证请求时也将用户业务终端的位置信息发送给位置认证单元。

至此步骤c结束。

步骤d、位置认证单元对用户认证终端和用户业务终端的位置信息进行匹配，若匹配成功，则动态密码认证成功，若匹配失败，则动态密码认证失败，位置认证单元将认证结果发送给动态密码认证服务器。

本实施例中步骤d中的位置匹配包括：

d21．根据用户认证终端连接的网络接入单元的位置信息和用户业务终端的位置信息计算用户认证终端连接的网络接入单元和用户业务终端之间的距离；

d22．位置认证单元中根据网络接入单元类型预设有最远覆盖半径值，将计算出的距离与用户认证终端连接的网络接入单元最远覆盖半径值相比较，若大于最远覆盖半径值，则位置匹配失败；否则，位置匹配成功。

本实施例中是计算用户认证终端连接的网络接入单元和用户业务终端之间的距离，若计算出的距离值小于用户认证终端的覆盖半径值，即用户业务终端未处于用户认证终端网络接入单元的覆盖范围内，说明用户业务终端和用户认证终端不再同一位置，位置匹配失败。

至此步骤d结束。

另外，在位置信息匹配之前还包括有对网络接入单元信息匹配的步骤，包括：

d01．判断用户认证终端和用户业务终端当前连接的网络接入单元是否为同类型设备，若否则进入步骤c，若是则进入下步骤；判断两个网络接入单元是否都是手机基站、交换机等。本实施例中两个网络接入单元为不同类型的设备，则进入步骤c。

d02．判断两网络接入单元是否为同一设备，若否则进入步骤c，若是则用户认证终端和用户业务终端位置匹配成功。若是为同一类型设备，例如都为手机基站，则再判断他们的编号是否相同，若编号相同则两个网络接入单元为同一网络接入单元，则可以判定用户认证终端和用户业务终端的位置是在一起的，匹配成功。

实施例3：

本实施例一种具有位置验证的动态密码的系统，系统结构如图1所示，与实施例2中的结构相同，该系统的动态密码验证方法如图3所示，其步骤与实施例2中相同。

本实施例中与实施例2不同在于，系统的用户业务终端12以手机为例，其通过WiFi上网，与用户业务终端连接的网络接入单元13是无线网络的AP；用户业务终端12的终端位置读取单元读取的位置信息为手机连接的基站编号。

则在步骤c中，业务终端位置获取：

c21．用户业务终端将用户业务单元的位置信息加入到反馈信息中发送给动态密码认证服务器；

本实施例具体的为，用户业务终端通过接收的无线信号，读取基站编号，并将基站编号作为用户业务终端的位置信息加入到反馈信息中发送到动态密码认证服务器。

c22．动态密码认证服务器解析反馈信息获得用户业务终端位置信息；

本实施例具体的为，动态密码认证服务器接收用户业务终端的基站编号，根据基站编号得到具体经纬度值及其覆盖半径，作为用户业务终端位置信息。本实施例的步骤d与实施例1相同。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

尽管本文较多地使用了用用户认证终端、用户业务终端、网络接入单元、位置认证单元等术语，但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质；把它们解释成任何一种附加的限制都是与本发明精神相违背的。

Claims (10)

1.一种具有位置验证的动态密码认证系统，其特征在于：包括用户认证终端（11）、用户业务终端（12）、动态密码认证服务器（15）、位置认证单元（14），所述用户认证终端和用户业务终端各自通过网络接入单元（13）分别与动态密码认证服务器相连，位置认证单元分别与网络接入单元、动态密码认证服务器相连；

用户认证终端：通过网络接入单元与动态密码认证服务器进行通信，接收动态密码；

用户业务终端：通过网络接入单元与动态密码认证服务器进行通信，向动态密码认证服务器发送动态密码，向动态密码认证服务器反馈位置信息；

动态密码认证服务器：生成动态密码，发送并接收动态密码，判断接收的动态密码的有效性并向位置认证单元发送位置认证请求、接收认证结果；

网络接入单元：通过有线或无线通信网络连接用户业务终端、用户认证终端，将用户业务终端、用户认证终端接入通信网络或互联网；

位置认证单元：采集网络接入单元的包括位置的信息并建立其与接入的用户终端的识别信息的对应，对用户业务终端、用户认证终端的位置信息进行匹配，将位置信息匹配结果发送给动态密码认证服务器。

2.根据权利要求1所述的一种具有位置验证的动态密码认证系统，其特征是所述用户业务终端还包括有终端位置读取单元，位置读取单元包括GPS定位单元、北斗定位单元。

3.一种具有位置验证的动态密码认证方法，采用权1或2中的系统，其特征是：包括以下步骤：

a．用户业务终端向动态密码认证服务器发起密码申请请求，动态密码认证服务器在数据库中获取认证手机号或认证号码并将生成的动态密码发送给所述认证手机号或认证号码对应的用户认证终端，在用户业务终端输入用户认证终端接收的动态密码，用户业务终端生成包含动态密码信息的反馈信息发送至动态密码认证服务器；

b．动态密码认证服务器对反馈信息的动态密码进行验证，若验证失败，则认证失败，若验证成功，则进入下一步骤；

c．动态密码认证服务器向位置认证单元发送位置认证请求，位置认证单元获取用户认证终端的位置信息和用户业务终端的位置信息；

d．位置认证单元对用户认证终端和用户业务终端的位置信息进行匹配，若匹配成功，则动态密码认证成功，若匹配失败，则动态密码认证失败，位置认证单元将认证结果发送给动态密码认证服务器。

4.根据权利要求3所述的一种具有位置验证的动态密码认证方法，其特征是在步骤c之前还进行以下操作：

位置认证单元实时采集各网络接入单元的信息，网络接入单元信息包含位置信息和与之连接的用户认证终端或用户业务终端的识别信息；所述用户认证终端识别信息为用户认证终端号码、登陆名或IP地址，用户业务终端识别信息为用户业务终端号码、登陆名或IP地址。

5.根据权利要求4所述的一种具有位置验证的动态密码认证方法，其特征是所述用户业务终端通过终端位置读取单元获取用户业务终端的位置信息，用户业务终端发送给动态密码认证服务器的反馈信息还包括有用户业务终端位置信息。

6.根据权利要求4所述的一种具有位置验证的动态密码认证方法，其特征是：步骤c中位置信息获取包括：

c11．动态密码认证服务器根据认证手机号或认证号码获得用户认证终端的识别信息，根据接收动态密码申请请求时获得的用户业务终端IP地址获得用户业务终端的识别信息；

c12．动态密码认证服务器向位置认证单元发送位置认证请求，位置认证请求包含有要认证的用户认证终端和用户业务终端的识别信息；

c13．位置认证单元根据用户认证终端的识别信息获得用户认证终端连接的网络接入单元的位置信息，将该位置信息作为用户认证终端的位置信息，位置认证单元根据用户业务终端的识别信息获得用户业务终端连接的网络接入单元的位置信息，将该位置信息作为用户业务终端的位置信息。

7.根据权利要求6所述的一种具有位置验证的动态密码认证方法，其特征是步骤d中位置信息匹配包括以下步骤：

d11．根据用户认证终端连接的网络接入单元的位置信息和用户业务终端连接的网络接入单元的位置信息计算两接入单元之间的距离；

d12．位置认证单元中根据网络接入单元类型预设有最远覆盖半径值，将计算出的距离与两个网络接入单元最远覆盖半径值之和相比较，若大于最远覆盖半径值之和，则位置匹配失败；否则，位置匹配成功。

8.根据权利要求5所述的一种具有位置验证的动态密码认证方法，其特征是步骤c中位置信息获取包括：

用户业务终端位置获取步骤：

c21．用户业务终端将用户业务单元的位置信息加入到反馈信息中发送给动态密码认证服务器；

c22．动态密码认证服务器解析反馈信息获得用户业务终端位置信息；

用户认证终端位置获取步骤：

c31．动态密码认证服务器根据认证手机号或认证号码获得用户认证终端的识别信息；

c32．动态密码认证服务器向位置认证单元发送位置认证请求，位置认证请求包含有要查询的用户认证终端的识别信息以及用户业务终端的位置信息；

c33．位置认证单元根据用户认证终端的识别信息获得与位置认证单元连接的网络接入单元位置信息，将该位置信息作为用户认证终端的位置信息。

9.根据权利要求8所述的一种具有位置验证的动态密码认证方法，其特征是步骤d中位置信息匹配包括以下步骤：

d21．根据用户认证终端连接的网络接入单元的位置信息和用户业务终端的位置信息计算用户认证终端连接的网络接入单元和用户业务终端之间的距离；

d22．位置认证单元中根据网络接入单元类型预设有最远覆盖半径值，将计算出的距离与用户认证终端连接的网络接入单元最远覆盖半径值相比较，若大于最远覆盖半径值，则位置匹配失败；否则，位置匹配成功。

10.根据权利要求3所述的一种具有位置验证的动态密码认证方法，其特征是在位置信息匹配之前还包括有对网络接入单元信息匹配的步骤，包括：

d01．判断用户认证终端和用户业务终端当前连接的网络接入单元是否为同类型设备，若否则进入步骤c，若是则进入下步骤；

d02．判断两网络接入单元是否为同一设备，若否则进入步骤c，若是则用户认证终端和用户业务终端位置匹配成功。