CN116055178A - 一种支持离线环境的otp认证方法 - Google Patents

一种支持离线环境的otp认证方法 Download PDF

Info

Publication number
CN116055178A
CN116055178A CN202310041052.2A CN202310041052A CN116055178A CN 116055178 A CN116055178 A CN 116055178A CN 202310041052 A CN202310041052 A CN 202310041052A CN 116055178 A CN116055178 A CN 116055178A
Authority
CN
China
Prior art keywords
authentication
otp
request
client
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310041052.2A
Other languages
English (en)
Inventor
高峻
晏培
张军
杨强浩
王彦丰
田旭达
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seatech Beijing Co ltd
Xinjiang Zhongjing Internet Of Things Technology Co ltd
Zhongjing Tianyu Technology Hangzhou Co ltd
Original Assignee
Seatech Beijing Co ltd
Xinjiang Zhongjing Internet Of Things Technology Co ltd
Zhongjing Tianyu Technology Hangzhou Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seatech Beijing Co ltd, Xinjiang Zhongjing Internet Of Things Technology Co ltd, Zhongjing Tianyu Technology Hangzhou Co ltd filed Critical Seatech Beijing Co ltd
Priority to CN202310041052.2A priority Critical patent/CN116055178A/zh
Publication of CN116055178A publication Critical patent/CN116055178A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K7/00Methods or arrangements for sensing record carriers, e.g. for reading patterns
    • G06K7/10Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation
    • G06K7/14Methods or arrangements for sensing record carriers, e.g. for reading patterns by electromagnetic radiation, e.g. optical sensing; by corpuscular radiation using light without selection of wavelength, e.g. sensing reflected white light
    • G06K7/1404Methods for optical code recognition
    • G06K7/1408Methods for optical code recognition the method being specifically adapted for the type of code
    • G06K7/14172D bar codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Electromagnetism (AREA)
  • Power Engineering (AREA)
  • Toxicology (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种支持离线环境的OTP认证方法,本发明基于内网认证客户端、内网认证服务端、手机APP和云端认证服务器组成的系统,采用手机OTP APP作为桥梁,实现内部网络和外部互联网之间通信数据的交互,将内网认证客户端的认证请求、外网云端的认证服务器OTP动态口令的认证信息在相互隔离的不同网络中的传递;基于手机移动APP实现OTP的令牌功能,实现了离线环境中从客户端认证请求、认证服务器响应全过程认证信息的传递,克服了离线网络中无法进行OTP认证的不足,为工控领域离线网络环境中的设备和系统提供增强认证的安全性。

Description

一种支持离线环境的OTP认证方法
技术领域
本发明涉及软硬件授权有效性验证技术领域,具体涉及一种支持离线环境的OTP认证方法。
背景技术
对软硬件知识产权采用技术手段进行保护,是保障研发人员权益和创造性成果的重要方式。主流的保护方式通过序列号认证、证书认证、硬件认证等不同的授权认证方式实现,这些方式通常需要到服务器上进行联网验证,由于工控领域的许多设备和系统大量部署在与互联网隔离的企业内部网络中,无法使用联网验证的方式进行授权认证。
OTP(One Time Password,一次性密码),又称动态密码或单次有效密码,是指在设备和信息系统上只能使用一次的密码,根据专门算法、每隔一定时间(一般取值在30秒到两分钟之间)生成一个不可预测的随机数字组合,有效期为只有一次登录会话或交易。OTP一次性密码已在金融、电信等领域被广泛应用,有效地保护了用户的安全。相对于传统静态密码,OTP的突出优点是不容易受到重放攻击(replay attack);同时,防止了多个使用相同系统的用户,因其中一个被攻击而造成所有系统用户都变得脆弱;OTP还可以抵御攻击模拟,从而进一步减少攻击面。但使用OTP的不利之处是,OTP作为传统密码增强替代方式,它们需要额外的技术支持,如一些实现纳入了双因素认证,确保单次有效密码需要访问特定的信息,如设备PIN、文字短信、智能手机验证码、或者访问特定硬件等。OTP的使用场景要求良好的网络环境,在有效期内稳定地接受到认证信息。
探索在工控领域离线网络环境下,如何使用OTP一次性密码认证方式对设备和系统进行版权和认证保护,具有重要的应用价值。
发明内容本发明提出了一种支持离线环境的OTP认证方法,采用手机OTP APP作为桥梁,实现内部网络和外部互联网之间通信数据的交互,将内网认证客户端的认证请求、外网云端的认证服务器OTP动态口令的认证信息在相互隔离的不同网络中的传递;基于手机移动APP实现OTP的令牌功能,实现了离线环境中从客户端认证请求、认证服务器响应全过程认证信息的传递,克服了离线网络中无法进行OTP认证的不足,为工控领域离线网络环境中的设备和系统提供增强认证的安全性。
支持离线环境的OTP认证系统包括内网认证客户端、内网认证服务端、手机APP、云端认证服务器。基于上述OTP认证系统,有如下种支持离线环境的OTP认证方法,具体包括如下步骤:
步骤1、内部网络用户登录时,由部署在内网的认证客户端生成认证请求;
内部网络用户登录时,由部署在内网的认证客户端生成认证请求。工控领域的设备和系统,出于安全考虑,大量部署在与互联网环境相隔离的企业内部网络中。为了使用互联网环境中的OTP增强安全认证功能,需要在内网中部署认证客户端和服务端,在需要认证的环节,如系统登录时,由认证客户端生成认证请求。
步骤2、认证请求信息以QR(Quick Response)二维码方式显示在认证客户端界面屏幕上;客户端生成的认证请求信息包括本机的硬件编码SysID、本机当前时间戳Timestamp等信息生成认证请求参数。认证请求信息组成:AuthPara=SysID||Timestamp。
步骤3、使用手机APP扫描认证客户端屏幕上的二维码,解析请求数据并上传请求信息到云端认证服务器;
上传的请求信息包括手机APP用户UserID和认证请求信息,即请求信息为:AuthPara2=SysID||Timestamp||UserID。
步骤4、云端认证服务器接收认证请求,并进行合法性判断;
云端认证服务器接收到APP的通信请求,进行基于设备身份的双向认证。在安装APP时获取手机设备信息、注册要对什么产品进行认证,这些信息在注册或者首次通信连接时会发送到服务器注册备案,并将服务器信息反馈给APP存储备份。APP向服务器发起认证请求时,服务器根据设备信息和备案信息进行APP的身份合法性认证,APP端也能根据其存储备份的服务器信息对当前服务端身份进行认证,双向认证保证通信的安全可信。
APP将请求信息AuthPara2上传之后,服务器在生成动态响应码之前,还要进行用户合法性及版权有效期的双重判断,以保证只对合法认证请求发放OTP动态口令。
双重判断过程具体如下:
步骤4.1、认证服务器判断请求认证用户是否为已注册用户,如果为未注册用户,则向手机APP返回用户注册要求,手机APP显示注册界面;用户注册完成后,需要在内网认证客户端重新发起认证请求,刷新生成新的认证请求二维码;
云端认证服务器将手机APP上传的请求信息AuthPara2=SysID||Timestamp||UserID,解析成SysID、Timestamp、UserID。在服务器内置的用户注册信息库中检索该硬件编码SysID。未检索到返回代码ErrorCode1,要求用户注册。注册完毕需要返回步骤1,由认证客户端重新发起认证请求,刷新生成新的认证请求二维码。
步骤4.2、如果请求用户为已注册用户,则通过查询云端认证服务器中的用户数据库,确认用户版权是否在有效期内。如果版权已过有效期,则向手机APP返回版权续约要求,手机APP显示版权续约界面;版权续约填写完成后,需要在内网认证客户端重新发起认证请求,刷新生成新的认证请求二维码;
云端认证服务器通过解析手机APP发来的认证请求AuthPara2,在服务器内置的用户注册信息库中检索该硬件编码SysID,对已过有效期的认证请求返回代码ErrorCode2,提示版权续约。版权续约后需要返回步骤1,由认证客户端重新发起认证请求,刷新生成新的认证请求二维码。
步骤5、对已完成用户注册并且版权在有效期内的用户认证请求,云端服务器生成动态口令,并将动态口令以二维码和文字方式返回到手机APP;服务器将收到的手机APP上传的请求信息AuthPara2=SysID||Timestamp||UserID,解析出系统和设备编码SysID,以及时间戳Timestamp。云端服务器依据收到的客户端请求硬件编码和时间戳,使用国密SM3算法生成OTP动态认证码OTPstring=SM3(SysID||Timestamp),并返回到手机APP。手机APP接收到该OTPstring后,编码为QR(Quick Response)二维码显示在手机APP屏幕上,同时显示OTPstring的文字版本。
步骤6、手机APP接收到动态口令后,即可进行认证口令输入。
如果内网认证客户端支持二维码扫描功能,则通过扫描手机APP上显示的动态口令二维码进行输入,只需将手机APP屏幕对准内网认证客户端扫描设备,实现OTP认证码的读取。
如果内网认证客户端不支持二维码扫描功能,则需要将动态口令手工录入到内网认证客户端;即将手机APP屏幕上的OTPstring的文字版本信息手工录入到内网认证客户端。
步骤7、内网认证客户端接收到认证请求的动态口令后,向部署在内网的认证服务端提交认证请求,内网的认证服务端收到OTPstring后,利用系统和设备的硬件编码SysID和发起认证请求时客户端本地的时间Timestamp,通过国密SM3算法生成一个内部动态口令TMPstring,即TMPstring=SM3(SysID||Timestamp),对OTPstring和TMPstring进行比较,如果两者相同,则表示此次云端认证服务端传递回来的OTP动态口令是正确的,即通过认证。如果两者不同,则表示此次输入的OTP动态口令是错误的,认证未通过。
内网的认证服务端将认证结果返回到认证客户端,完成支持离线环境的OTP认证功能。如果认证未通过,则返回步骤1重新生成新的认证请求,进行新一轮的认证过程操作。
上述支持离线环境的OTP认证方法,基于手机APP的OTP令牌功能,实现了将内网认证客户端认证请求传输到云端认证服务器,并将云端认证服务生成的OTP动态口令传输到内网认证客户端,完成了认证信息在企业内部网络和互联网不同网络间的传递,克服了离线网络中无法进行传统OTP认证的不足,为工控领域离线网络环境中的设备和系统提供了增强认证的安全性支持。
OTP认证方法为产品提供了在线的安全增强认证功能,在产品认证和授权保护中得到了广泛应用,然而由于OTP认证服务器由厂商建设、部署和维护,为其产品提供在线的认证功能,无法应用于离线环境。为了使OTP认证方法能应用于离线环境、部署在企业内部网络中的产品的认证,本方法提出了一种通过手机APP作为作为桥梁,实现部署在互联网上的厂商OTP认证服务器和企业内部隔离网络产品认证客户端之间通信数据的交互,达成企业内网认证客户端的认证请求、外网云端的认证服务器OTP动态口令的认证信息在相互隔离的不同网络中的传递,克服了离线网络中难以进行OTP认证的不足,为部署在离线网络环境中的产品的认证和授权提供了安全增强认证的可行方案。
附图说明
图1为本发明支持离线环境的OTP认证方法流程图;
图2为本发明支持离线环境的OTP认证方法组成结构图。
具体实施方式
下面根据附图举例对本发明做进一步解释:
一种支持离线环境的OTP认证方法,如图1所示,包括认证客户端生成认证请求、手机APP扫描认证请求二维码并上传到云端认证服务器、云端认证服务器接收认证请求后进行是否注册和是否在有效期的双重判断、生成OTP动态口令并返回到手机APP、通过扫描或手工录入将动态口令输入到内网认证客户端、认证客户端独立或者协同内网认证服务端进行认证判断等过程。如图2所示,用于实现上述方法的内网OTP认证系统包括:认证客户端、内网认证服务端、手机APP和云端认证服务器。
具体包括如下步骤:
步骤1、内部网络用户登录时,由部署在内网的认证客户端生成认证请求。
工控领域的设备和系统,出于安全考虑,大量部署在与互联网环境相隔离的企业内部网络中。
OTP全称是One Time Password(一次性密码),使用一次性动态口令,是为了防止黑客通过一次成功的口令窃取而永久地获得系统访问权而设计的一种认证技术,设计算法每隔一定时间(一般取值在30秒到两分钟之间)生成一个不可预测的随机数字组合,有效期为只有一次登录会话或交易,OTP一次性密码已在金融、电信等领域被广泛应用。
为了使用互联网环境中的OTP增强安全认证功能,需要在内网中部署认证客户端和服务端,在需要认证的环节,如系统登录时,由认证客户端生成认证请求。
步骤2、认证请求以二维码方式显示在认证客户端界面屏幕上。
客户端生成的认证请求信息包括本机的硬件编码、时间戳等信息生成认证请求参数。认证客户端程序自动提取代表设备唯一性的硬件编码信息SysID、以及本机当前时间戳Timestamp。硬件编码信息采用客户端设备的CPU或者存储设备等具备唯一性的编码。在传统的认证方式中,时间戳一般取服务器上的时间,客户端首先要与服务端做时间同步。但由于工控设备和系统往往有特殊的要求,频繁修改设备的时间可能会影响设备的状态从而产生异常,本方法中直接取客户端设备的时间戳,不对客户端和服务端设备做时间同步,后面在认证时也直接采用客户端设备的时间戳即可。认证请求信息AuthPara的组成包括硬件编码信息SysID和设备当前时间戳Timestamp两部分,即AuthPara=SysID||Timestamp。认证请求信息以QR(Quick Response)二维码方式显示在客户端界面屏幕上,编码成二维码是为了方便使用手机快速地进行信息的读取和传递。
步骤3、使用手机APP扫描认证请求二维码,解析请求数据并上传请求信息到云端认证服务器:
APP采用了基于设备身份认证的技术,与内网认证客户端和云端认证服务器分别进行双向身份认证,从而保证手机端、认证客户端和认证服务器三端互信。实现了部署在相互隔离网络中的内网认证客户端和云端认证服务器之间的可信交互。通过扫描认证客户端屏幕上的二维码,在认证过程中作为OTP令牌和认证信息在企业内网和互联网两类不同网络中传输的桥梁,实现将内网中的认证请求数据传输到云端认证服务器。请求信息包括手机APP用户UserID和认证请求信息,即请求信息为:AuthPara2=SysID||Timestamp||UserID。
步骤4、云端认证服务器接收认证请求,并进行合法性判断。
云端认证服务器是设备和系统厂家建设的版权认证和发放管理服务器,接收到手机端的通信请求,与APP端进行基于身份的双向认证,然后对上传的请求信息AuthPara2实现认证请求响应。在生成动态响应码之前,还要进行认证请求用户的是否已注册及版权有效期的双重判断,以保证只对合法的认证请求发放OTP动态口令。
双重判断过程具体如下:
步骤4.1、认证服务器判断请求认证用户是否为已注册用户。
云端认证服务器通过解析手机APP发来的请求信息AuthPara2,提取出客户端的硬件编码SysID,在服务器内置的用户注册信息库中检索该硬件编码。如果未检索到该硬件编码SysID,则判断客户端用户为未注册用户,在进行下一步认证之前,需要进行用户注册。服务端向手机APP返回未检索到用户信息的代码ErrorCode1,手机APP在接收到该返回代码后,启动用户注册界面,并将客户端的硬件编码信息SysID和手机APP用户UserID自动填写到注册项中,用户在该界面提交相关的版权注册信息后,过系统审核后成为合法用户,将已销售的设备和系统信息在云端认证服务器中提前备案,则能在用户注册完毕即可获得相应设备和系统的授权。
因为OTP的认证时效性较强,注册完毕可能已过了认证有效期,需要由认证客户端重新发起认证请求,刷新生成新的认证请求二维码。
步骤4.2、如果请求用户为已注册用户,则通过查询云端认证服务器中的用户数据库,确认用户版权是否在有效期内。
云端认证服务器通过解析手机APP发来的请求信息AuthPara2,提取客户端的硬件编码SysID,在服务器内置的用户注册信息库中检索该硬件编码。对已检索到该硬件编码的已注册用户,同时检索出其版权有效期,对已过有效期的认证请求,在进行下一步认证之前,需要进行版权续约。服务端向手机APP返回版权已过有效期的代码ErrorCode2,手机APP在接收到该返回代码后,启动版权续约界面,并将客户端的硬件编码信息自动填写到续约项中,用户在该界面提交相关的版权信息后,有时需要支付相关费用,经过审核后才成为合法用户,通过在线方式支付的,版权有效期续费后程序自动审核可以立即生效,非在线支付的要经过一定时间完成支付和审核才能生效。生效后即可获得相应设备和系统的版权授权。因为OTP的认证时效性较强,版权续约后可能已过了认证有效期,需要返回由认证客户端重新发起认证请求,刷新生成新的认证请求二维码。
步骤5、对已完成用户注册并且版权在有效期内的用户认证请求,云端服务器生成动态口令,并将动态口令以二维码和文字方式返回到手机APP。
云端服务器解析收到的请求信息AuthPara2,从中解析出系统和设备编码SysID,以及时间戳Timestamp,使用国密SM3算法生成OTP动态认证码OTPstring=SM3(SysID||Timestamp),并返回到手机APP,手机APP接收到该OTPstring后,编码为QR(QuickResponse)二维码显示在手机APP屏幕上,同时显示OTPstring的文字版本,以方便内网认证客户端没有配备扫描设备的输入场景。
步骤6、手机APP接收到动态口令后,即可进行认证码的输入。
如果内网认证客户端配备了扫描设备、支持二维码扫描功能,则通过扫描手机APP上显示的动态口令二维码进行输入。只需将手机APP屏幕对准内网认证客户端扫描设备,即可实现OTP认证码的读取。如果内网认证客户端没有配备扫描设备、不支持二维码扫描功能,则需要将动态口令码OTPstring的文字版本,手工录入到内网认证客户端。
步骤7、内网认证客户端接收到认证请求的动态口令后,向部署在内网的认证服务端提交认证请求。
内网的认证服务端收到OTPstring后,利用系统和设备的硬件编码SysID和发起认证请求时客户端本地的时间Timestamp,通过国密SM3算法生成一个内部动态口令TMPstring,即TMPstring=SM3(SysID||Timestamp),并对OTPstring和TMPstring进行比较,如果两者相同,则表示此次云端认证服务端传递回来的OTP动态口令是正确的,即通过认证。如果两者不同,则表示此次输入的OTP动态口令是错误的,认证未通过。内部认证服务器将认证结果返回到认证客户端,完成支持离线环境的OTP认证功能。如果认证未通过,则可以返回初始流程,重新生成新的认证请求,进行新一轮的认证过程操作。
内网认证服务器和云端认证服务器生成OTP动态口令的算法是相同的,但厂商部署在云端便于对产品的维护以及版权管理。另外,对于某些设备和系统,内网认证服务器和认证客户端可以合并在一起,即图2中内网认证服务器画为虚线的原因。
支持离线环境的OTP认证方法,基于手机APP的OTP令牌功能,实现了将内网认证客户端认证请求传输到云端认证服务器,并将云端认证服务生成的OTP动态口令传输到内网认证客户端,完成了认证信息在企业内部网络和互联网不同网络间的传递,克服了离线网络中无法进行传统OTP认证的不足,为工控领域离线网络环境中的设备和系统提供了增强认证的安全性支持。

Claims (9)

1.一种支持离线环境的OTP认证方法,其特征在于:采用手机OTP APP作为桥梁,实现内部网络和外部互联网之间通信数据的交互,将内网认证客户端的认证请求、外网云端的认证服务器OTP动态口令的认证信息在相互隔离的不同网络中的传递;
具体包括如下步骤:
步骤1、内部网络用户登录时,由部署在内网的认证客户端生成认证请求;
步骤2、认证请求信息以二维码方式显示在认证客户端界面屏幕上;
步骤3、使用手机APP扫描认证客户端屏幕上的二维码,解析请求数据并上传请求信息到云端认证服务器;
步骤4、云端认证服务器接收请求信息,并进行合法性判断;
步骤4.1、认证服务器判断请求认证用户是否为已注册用户,如果为未注册用户,则向手机APP返回用户注册要求,手机APP显示注册界面;用户注册完成后,需要在内网认证客户端重新发起认证请求,刷新生成新的认证请求二维码;
步骤4.2、如果请求用户为已注册用户,则通过查询云端认证服务器中的用户数据库,确认用户版权是否在有效期内;如果版权已过有效期,则向手机APP返回版权续约要求,手机APP显示版权续约界面;版权续约填写完成后,需要在内网认证客户端重新发起认证请求,刷新生成新的认证请求二维码;
步骤5、对已完成用户注册并且版权在有效期内的用户认证请求,云端服务器生成动态口令,并将动态口令以二维码和文字方式返回到手机APP;
步骤6、手机APP接收到动态口令后,即可进行认证口令输入;如果内网认证客户端支持二维码扫描功能,则通过扫描手机APP上显示的动态口令二维码进行输入,如果内网认证客户端不支持二维码扫描功能,则需要将动态口令手工录入到内网认证客户端;
步骤7、内网认证客户端接收到认证请求的动态口令后,向部署在内网的认证服务端提交认证请求,内网的认证服务端将认证结果返回到认证客户端,完成支持离线环境的OTP认证功能。
2.如权利要求1所述的一种支持离线环境的OTP认证方法,其特征在于:所述步骤1中,在内网中部署认证客户端和服务端,在需要认证的环节,由认证客户端生成认证请求。
3.如权利要求1所述的一种支持离线环境的OTP认证方法,其特征在于:所述步骤2中,客户端生成的认证请求信息包括本机的硬件编码SysID、本机当前时间戳Timestamp信息生成的认证请求参数;认证请求信息组成:AuthPara=SysID||Timestamp。
4.如权利要求1所述的一种支持离线环境的OTP认证方法,其特征在于:所述步骤3中,请求信息包括手机APP用户UserID和认证请求信息,即请求信息为:AuthPara2=SysID||Timestamp||UserID。
5.如权利要求1所述的一种支持离线环境的OTP认证方法,其特征在于:所述步骤4中,云端认证服务器接收到上传的请求信息AuthPara2之后,在生成动态响应码之前,要进行用户合法性及版权有效期的双重判断,以保证只对合法认证请求发放OTP动态口令;
双重判断过程如下:
云端认证服务器将手机APP发来的认证请求AuthPara2=SysID||Timestamp||UserID,解析成SysID、Timestamp、UserID;在服务器内置的用户注册信息库中检索该硬件编码SysID;未能检索到则返回代码ErrorCode1,要求用户注册;注册完毕需要返回步骤1,由认证客户端重新发起认证请求,刷新生成新的认证请求二维码;
同时对已过有效期的认证请求返回代码ErrorCode2,提示版权续约;版权续约后需要返回步骤1,由认证客户端重新发起认证请求,刷新生成新的认证请求二维码。
6.如权利要求1所述的一种支持离线环境的OTP认证方法,其特征在于:所述步骤5中;云端服务器依据收到的客户端请求硬件编码和时间戳,通过SM3算法生成OTP动态认证码;服务器解析收到的请求信息AuthPara2,从中解析出系统和设备编码SysID,以及时间戳Timestamp,使用国密SM3算法生成OTP动态认证码OTPstring,并返回到手机APP,手机APP接收到该OTPstring后,编码为二维码显示在手机APP屏幕上,同时显示OTPstring的文字版本。
7.如权利要求1所述的一种支持离线环境的OTP认证方法,其特征在于:所述步骤6中;如果内网认证客户端支持二维码扫描功能,只需将手机APP屏幕对准内网认证客户端扫描设备,实现OTP认证码的读取;如果内网认证客户端不支持二维码扫描功能需将手机APP屏幕上的OTPstring的文字版本信息手工录入到内网认证客户端。
8.如权利要求1所述的一种支持离线环境的OTP认证方法,其特征在于,所述步骤7中,内网认证客户端接收到认证请求的动态口令后,向部署在内网的认证服务端提交认证请求,内网的认证服务端收到动态认证码OTPstring后,利用系统和设备的硬件编码SysID和发起认证请求时客户端本地的时间Timestamp,通过国密SM3算法生成一个内部动态口令TMPstring,对OTPstring和TMPstring进行比较,如果OTPstring=TMPstring,则表示此次云端认证服务端传递回来的OTP动态口令正确,即通过认证;如果两者不同,则表示此次输入的OTP动态口令错误,认证未通过;内部认证服务器将认证结果返回到认证客户端,完成支持离线环境的OTP认证功能;如果认证未通过,则返回步骤1重新生成新的认证请求,进行新一轮的认证过程操作。
9.一种用于运行权利要求1所述的支持离线环境的OTP认证方法的系统,其特征在于:包括认证客户端、内网认证服务端、手机APP和云端认证服务器。
CN202310041052.2A 2023-01-12 2023-01-12 一种支持离线环境的otp认证方法 Pending CN116055178A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310041052.2A CN116055178A (zh) 2023-01-12 2023-01-12 一种支持离线环境的otp认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310041052.2A CN116055178A (zh) 2023-01-12 2023-01-12 一种支持离线环境的otp认证方法

Publications (1)

Publication Number Publication Date
CN116055178A true CN116055178A (zh) 2023-05-02

Family

ID=86131044

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310041052.2A Pending CN116055178A (zh) 2023-01-12 2023-01-12 一种支持离线环境的otp认证方法

Country Status (1)

Country Link
CN (1) CN116055178A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117857060A (zh) * 2024-03-05 2024-04-09 中国人民解放军国防科技大学 一种二维码离线核验方法、系统及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117857060A (zh) * 2024-03-05 2024-04-09 中国人民解放军国防科技大学 一种二维码离线核验方法、系统及存储介质
CN117857060B (zh) * 2024-03-05 2024-05-17 中国人民解放军国防科技大学 一种二维码离线核验方法、系统及存储介质

Similar Documents

Publication Publication Date Title
CN102201915B (zh) 一种基于单点登录的终端认证方法和装置
CN111953708B (zh) 基于云平台的跨账号登录方法、装置及服务器
CN105187431B (zh) 第三方应用的登录方法、服务器、客户端及通信系统
US20160219039A1 (en) Mobile Authentication Method and System for Providing Authenticated Access to Internet-Sukpported Services and Applications
US8490169B2 (en) Server-token lockstep systems and methods
US20060288405A1 (en) Authentication management platform for managed security service providers
KR101451359B1 (ko) 사용자 계정 회복
CN104270338A (zh) 一种电子身份注册及认证登录的方法及其系统
CN111275419B (zh) 一种区块链钱包签名确权方法、装置及系统
KR20210095093A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
US11363014B2 (en) Method and system for securely authenticating a user by an identity and access service using a pictorial code and a one-time code
EP3579595B1 (en) Improved system and method for internet access age-verification
US8826401B1 (en) Method and system using a cyber ID to provide secure transactions
CN115982694A (zh) 一种资源访问的方法、装置、设备及介质
CN116055178A (zh) 一种支持离线环境的otp认证方法
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
KR101627896B1 (ko) 인증 어플리케이션을 이용한 인증 방법 및 장치
CN102882882B (zh) 一种用户资源授权方法
CN115811412A (zh) 一种通信方法、装置、sim卡、电子设备和终端设备
KR101617452B1 (ko) 오티피를 이용한 온라인 결제방법
KR20200018546A (ko) 공개키 기반의 서비스 인증 방법 및 시스템
CN101540674A (zh) 一种在即时通信工具中登录Web端的方法
CN112970017A (zh) 设备到云存储的安全链接
KR101510473B1 (ko) 컨텐츠 제공자에 제공되는 회원 정보의 보안을 강화한 인증방법 및 시스템
KR101066729B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination