CN116527387A - 软令牌种子的生成方法、装置、处理器和电子设备 - Google Patents

软令牌种子的生成方法、装置、处理器和电子设备 Download PDF

Info

Publication number
CN116527387A
CN116527387A CN202310646556.7A CN202310646556A CN116527387A CN 116527387 A CN116527387 A CN 116527387A CN 202310646556 A CN202310646556 A CN 202310646556A CN 116527387 A CN116527387 A CN 116527387A
Authority
CN
China
Prior art keywords
target
seed
soft token
account
generating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310646556.7A
Other languages
English (en)
Inventor
杨伟伟
曾凯
陈梦霄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202310646556.7A priority Critical patent/CN116527387A/zh
Publication of CN116527387A publication Critical patent/CN116527387A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本申请公开了一种软令牌种子的生成方法、装置、处理器和电子设备。涉及金融科技领域,该方法包括:在检测到目标帐号请求在目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求;接收目标服务器响应目标请求生成的第一种子信息;生成与第一种子信息匹配的第二种子信息,目标应用用于根据第一参数和第二参数生成第一软令牌种子;将第二种子信息发送至目标服务器,其中,目标服务器用于根据第一参数和第二参数生成第二软令牌种子,目标软令牌种子包括第一软令牌种子和第二软令牌种子。通过本申请,解决了相关技术中软令牌认证功能的安全性较低的问题。

Description

软令牌种子的生成方法、装置、处理器和电子设备
技术领域
本申请涉及金融科技领域,具体而言,涉及一种软令牌种子的生成方法、装置、处理器和电子设备。
背景技术
随着互联网的高速发展,用户对智能终端设备的依赖越来越大,从而开发出各种运行在智能终端设备上的应用,为了提高应用的安全性,应用的软令牌认证功能也就应运而生,软令牌认证功能为口令(One-time Password,OTP)来对用户身份进行认证,而口令的生成需要软令牌种子的参与。相关技术中,软令牌种子通常是由服务器产生后发送给用户的智能终端上安装的应用上,且为便捷,往往是由服务器生成软令牌种子通过互联网通道,将种子发送给用户的智能终端上安装的应用,并于智能终端上安装的应用存储用于验令的生成。采用这种方式,一旦本地应用与服务器之间通信被恶意攻击和监控,则会导致软令牌种子的泄露,导致软令牌种子生成的口令不再安全。
针对相关技术中软令牌认证功能的安全性较低的问题,目前尚未提出有效的解决方案。
发明内容
本申请的主要目的在于提供一种软令牌种子的生成方法、装置、处理器和电子设备,以解决相关技术中软令牌认证功能的安全性较低的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种软令牌种子的生成方法,应用于目标应用。该方法包括:在检测到目标帐号请求在所述目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求,其中,所述目标请求用于请求获取用于实现所述目标帐号的所述软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在所述目标应用上办理业务的业务权限进行认证;接收所述目标服务器响应所述目标请求生成的第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;生成与所述第一种子信息匹配的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;将所述第二种子信息发送至所述目标服务器,其中,所述目标服务器用于根据所述第一参数和所述第二参数生成第二软令牌种子,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
可选的,所述向目标服务器发送目标请求,包括:使用非对称算法生成加密密钥对;生成携带有所述加密密钥对中包括的加密公钥的所述目标请求,其中,所述目标请求用于指示所述目标服务器为所述目标帐号生成所述第一种子信息,并使用所述加密公钥对所述第一种子信息进行加密传输;将所述目标请求发送至所述目标服务器。
可选的,所述生成与所述第一种子信息匹配的第二种子信息,包括:获取所述第一种子信息中携带的参考身份标识,其中,所述参考身份标识用于表征与所述第一种子信息匹配的帐号的帐号信息;在所述参考身份标识和所述目标帐号对应的目标身份标识匹配一致的情况下,调用第一生成脚本生成所述第二参数。
可选的,所述获取所述第一种子信息中携带的参考身份标识,包括:获取加密密钥对中包括的解密私钥,其中,所述加密密钥对中包括具有对应关系的加密公钥和所述解密私钥,所述目标服务器用于使用所述加密公钥对所述第一种子信息进行加密传输;使用所述解密私钥对所述第一种子信息进行解密,得到所述第一种子信息中携带的所述参考身份标识和所述第一参数。
可选的,所述将所述第二种子信息发送至所述目标服务器,包括:生成目标通知消息,其中,所述目标通知消息用于指示通过目标电话帐号向所述目标服务器发送携带有所述第二种子信息的目标短信,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号;将所述目标通知消息发送至所述目标帐号。
为了实现上述目的,根据本申请的另一个方面,提供了一种软令牌种子的生成方法,应用于目标服务器。该方法包括:获取目标请求,其中,所述目标请求用于请求获取用于实现目标帐号的软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在目标应用上办理业务的业务权限进行认证;响应所述目标请求,生成第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;向所述目标应用发送所述第一种子信息;接收所述目标应用响应所述第一种子信息生成的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;根据所述第一参数和所述第二参数生成第二软令牌种子,其中,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
可选的,所述响应所述目标请求,生成第一种子信息,包括:将目标帐号标识与参考帐号标识进行匹配,其中,所述目标帐号标识为所述目标请求中携带用于表征所述目标帐号的帐号信息的帐号标识,所述参考帐号标识为所述目标服务器中存储的用于表征所述目标帐号的帐号信息的帐号标识;在所述目标帐号标识与所述参考帐号标识匹配一致的情况下,调用第二生成脚本生成所述第一参数;生成携带有所述参考帐号标识和所述第一参数的第一种子信息。
可选的,所述向所述目标应用发送所述第一种子信息,包括:提取所述目标请求中携带的加密公钥;使用所述加密公钥对所述第一种子信息进行加密;将加密后的所述第一种子信息发送至所述目标应用。
可选的,在所述根据所述第一参数和所述第二参数生成第二软令牌种子之前,所述方法还包括:在所述第二种子信息为目标电话帐号通过目标短息发送至所述目标服务器的情况下,将所述目标电话帐号对应候选帐号标识与所述目标服务器中存储的所述目标帐号的参考帐号标识进行匹配,其中,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号,所述候选帐号标识用于表征所述目标电话帐号的帐号信息;在所述候选帐号标识和所述参考帐号标识匹配一致的情况下,根据所述第一参数和所述第二参数生成第二软令牌种子。
为了实现上述目的,根据本申请的另一方面,提供了一种软令牌种子的生成装置,应用于目标应用。该装置包括:第一发送模块,用于在检测到目标帐号请求在所述目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求,其中,所述目标请求用于请求获取用于实现所述目标帐号的所述软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在所述目标应用上办理业务的业务权限进行认证;第一接收模块,用于接收所述目标服务器响应所述目标请求生成的第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;第一生成模块,用于生成与所述第一种子信息匹配的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;第二发送模块,用于将所述第二种子信息发送至所述目标服务器,其中,所述目标服务器用于根据所述第一参数和所述第二参数生成第二软令牌种子,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
为了实现上述目的,根据本申请的另一方面,提供了一种软令牌种子的生成装置,应用于目标服务器。该装置包括:获取模块,用于获取目标请求,其中,所述目标请求用于请求获取用于实现目标帐号的软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在目标应用上办理业务的业务权限进行认证;第二生成模块,用于响应所述目标请求,生成第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;第三发送模块,用于向所述目标应用发送所述第一种子信息;第二接收模块,用于接收所述目标应用响应所述第一种子信息生成的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;第三生成模块,用于根据所述第一参数和所述第二参数生成第二软令牌种子,其中,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
通过本申请,采用以下步骤:在检测到目标帐号请求在所述目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求,其中,所述目标请求用于请求获取用于实现所述目标帐号的所述软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在所述目标应用上办理业务的业务权限进行认证;接收所述目标服务器响应所述目标请求生成的第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;生成与所述第一种子信息匹配的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;将所述第二种子信息发送至所述目标服务器,其中,所述目标服务器用于根据所述第一参数和所述第二参数生成第二软令牌种子,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子,即目标服务器和目标应用之间相互传递的是生成软令牌种子所需要的参数,目标服务器能够向目标应用发送表征生成软令牌种子所需要的第一参数,同时目标应用能够向目标服务器发送表征生成软令牌种子所需要的第二参数,进而目标服务器能够根据目标应用传递来的第二参数和自身存储的第一参数生成软令牌种子,目标应用也能够根据目标服务器传递来的第一参数和自身的第二参数生成软令牌种子,避免直接通过服务器和目标应用之间传递软令牌种子造成的软令牌种子的泄露,进而保证软令牌认证功能的安全性,解决了相关技术中软令牌认证功能的安全性较低的问题。进而达到了提高了软令牌认证功能的安全性的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的软令牌种子的生成方法的流程图一;
图2是根据本申请实施例的一种可选的生成软令牌种子的时序图;
图3是根据本申请实施例的一种可选的数据交互示意图;
图4是根据本申请实施例的一种可选的加密密钥对传输示意图;
图5是根据本申请实施例提供的软令牌种子的生成方法的流程图二;
图6是根据本申请实施例的软令牌种子的生成装置的示意图一;
图7是根据本申请实施例的软令牌种子的生成装置的示意图二;
图8是根据本申请实施例的一种可选的电子设备示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
下面结合优选的实施步骤对本发明进行说明,图1是根据本申请实施例提供的软令牌种子的生成方法的流程图一,如图1所示,该方法包括如下步骤:
步骤S101,在检测到目标帐号请求在所述目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求,其中,所述目标请求用于请求获取用于实现所述目标帐号的所述软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在所述目标应用上办理业务的业务权限进行认证;
步骤S102,接收所述目标服务器响应所述目标请求生成的第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;
步骤S103,生成与所述第一种子信息匹配的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;
步骤S104,将所述第二种子信息发送至所述目标服务器,其中,所述目标服务器用于根据所述第一参数和所述第二参数生成第二软令牌种子,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
本申请实施例提供的软令牌种子的生成方法,目标服务器和目标应用之间相互传递的是生成软令牌种子所需要的参数,目标服务器能够向目标应用发送表征生成软令牌种子所需要的第一参数,同时目标应用能够向目标服务器发送表征生成软令牌种子所需要的第二参数,进而目标服务器能够根据目标应用传递来的第二参数和自身存储的第一参数生成软令牌种子,目标应用也能够根据目标服务器传递来的第一参数和自身的第二参数生成软令牌种子,避免直接通过服务器和目标应用之间传递软令牌种子造成的软令牌种子的泄露,进而保证软令牌认证功能的安全性,解决了相关技术中软令牌认证功能的安全性较低的问题。进而达到了提高了软令牌认证功能的安全性的效果。
在上述步骤S101提供的实施例中,软令牌认证功能可以但不限于是通过目标应用和目标服务器根据软令牌种子为目标帐号生成软令牌,并对目标应用和目标服务器为目标帐号生成的软令牌进行匹配的方式实现的,当目标应用和目标服务器为目标帐号生成的软令牌匹配一致的情况下,则目标帐号通过了软令牌认证,此时可认为目标帐号具有在目标应用上办理业务的业务权限。
可选地,在本实施例中,目标请求中可以携带有目标帐号的帐号标识信息,该帐号标识信息用于表征目标帐号的身份,该帐号标识信息用于指示目标服务器开通软令牌认证功能的对象为目标帐号。
可选地,在本实施例中,目标请求可以是直接通过目标应用和目标服务器之间构建的专用互联网通道传输的,比如在目标服务器和目标应用上构建用于传输目标请求的数据传输接口,通过该数据传输接口传输目标请求,或者还可以是将目标请求通过加密的方式传输给目标服务器,比如使用目标密钥对目标请求进行加密,并将加密后的目标请求传输给目标服务器,同时,向目标帐号发送密钥发送请求,将密钥发送请求发送给目标帐号,该密钥发送请求用于指示使用目标帐号的目标对象通过目标手机号码向目标服务器发送携带有目标密钥的短信,进而在目标服务器接收到携带有目标密钥堵的短信后,通过对目标手机号码进行身份验证,从而在验证通过的情况下,使用目标密钥对目标请求进行解密。
在上述步骤S102提供的实施例中,第一种子信息中可以是携带有第一参数,目标应用接收到第一种子信息后能够从第一种子信息中提取出第一参数,或者第一种子信息中还可以是携带的第一参数的生成方式,进而当目标应用接收到第一种子信息后,通过从第一种子信息中提取出第一参数的生成方式,进而使用该生成方式生成第一参数。
可选地,在本实施例中,第一种子信息可以但不限于是被加密后传输到目标应用上的,对第一种子信息进行加密的密钥可以但不限于是通过非对称算法生成的加密密钥对中的加密公钥,该加密密钥对可以但不限与是目标应用生成的,进而通过将加密公钥传输给目标服务器用于对第一种子信息进行加密,目标应用将加密密钥对中的解密私钥保存用于对第一种子信息的解密。
在上述步骤S103提供的实施例中,第二种子信息中可以是携带有第二参数,或者第二种子信息中还可以是携带有第二参数的生成方式。
可选地,在本实施例中,当第二种子信息中携带的是第二参数的情况下,目标应用可以是通过调用参数生成脚本生成的第二参数,该参数生成脚本可以但不限于是通过随机生成的方式生成第二参数,或者还可以是将被触发的时间信息作为运算数据进行运算从而得到第二参数,或者还可以是将第一参数作为运算数据进行运算从而得到第二参数,本方案对此不做限定。
可选地,在本实施例中,目标应用可以但不限与是通过使用目标算法对第一参数和第二参数进行运算的方式从而得到第一软令牌种子,比如,将第一参数和第二参数相加,通过HASH算法对第一参数和第二参数相加得到的数值进行计算,从而得到第一软令牌种子,或者将第一参数和第二参数按照目标顺序排列,通过HASH算法对按照目标顺序排列的第一参数和第二参数进行运算,从而得到第一软令牌种子,或者还可以是将目标帐号的帐号标识+第一参数+第二参数,并使用HASH算法对帐号标识+第一参数+第二参数进行计算,从而得到第一软令牌种子,本方案对此不做限定。
在上述步骤S104提供的实施例中,将第二种子信息可以但不限与是通过调用目标应用和目标服务器之间构建的专用数据传输通道的方式传输到目标服务器的,或者还可以是通过调用与目标帐号具有绑定关系的目标电话帐号向目标服务器发送携带有第二种子信息的短息方式,本方案对此不做限定。
可选地,在本实施例中,目标服务器根据第一参数和第二参数生成第二软令牌种子的方式与目标应用根据第一参数和第二参数生成第二软令牌种子的方式相同。
图2是根据本申请实施例的一种可选的生成软令牌种子的时序图,生成软令牌种子之前需要在手机银行客户端(即本申请中的目标应用)和手机银行服务器(本申请中的目标服务器)之间进行数据交互,从手机银行客户端和手机银行服务器分别生成用于生成软令牌种子的参数,并将参数传递给对方,从而实现通过传递的参数生成软令牌种子的方式,如图2所示,至少包括如下步骤:
S201,客户登录手机银行客户端,请求开通软令牌认证功能用于转账交易时用户身份认证;
S202,手机银行客户端调用SDK生成非对称算法的密钥ECC\RSA\SM2对,软令牌种子的加密密钥对(软令牌种子解密私钥和加密公钥),解密私钥手机客户端本地存储不经过互联网传输;
S203,手机客户端将加密公钥数据+客户身份标识数据组成种子密钥请求生成报文数据(本申请中的目标请求),并发送手机银行服务器;
S204,手机银行服务器接收到手机银行客户端发送的目标请求,解析并获取加密公钥+客户身份标识数据,同时验证客户身份标识,通过之后软令牌种子模块生成软令牌第一种子生成参数,并使用加密公钥加密软令牌第一种子参数+客户身份标识(本申请中的第一种子信息),将其发送给手机银行客户端;
S205,手机银行客户端SDK使用本地私钥解密软令牌第一种子参数+客户身份标识密文报文,验证客户身份标识,获取软令牌第一种子参数,手机银行客户端SDK生成6位随机第二种子参数;
S206,手机银行客户端请求通过目标帐号对应的用户绑定的目标电话帐号向手机银行短信服务号发送携带有第二种子参数的目标短息;目标用户复制6位第二种子参数,通过短信形式发送手机银行短信服务号,手机银行服务端接收短信服务号数据,通过手机号码识别验证目标用户身份;
S207,手机银行服务器通过客户标识+第一种子参数+6位第二种子参数,通过HASH算法生成第一软令牌种子,同时响应手机银行客户端生成种子密钥成功应答;
S208,手机银行客户端根据响应报文,调用SDK使用客户标识+第一种子参数+6位第二种子参数,通过HASH算法生成第二软令牌种字,并在手机银行客户端APP本地保存,实现软令牌种子安全生成以及安全传输。
图3是根据本申请实施例的一种可选的数据交互示意图,如图3所示,手机银行客户端安装在目标用户的移动终端上,并且在手机银行客户端行还部署了能够用于软令牌SDK,该软令牌SDK具有能够生成软令牌种子所需要第一种子参数,以及根据种子参数生成软令牌种子的功能,手机银行服务器部署了软令牌生成模块,该软令牌申城模块具有生成软令牌种子所需要的第二种子参数,以及根据种子参数生成软令牌种子的功能,手机银行客户端和手机银行服务器之间构建了用于传输数据的数据传输通道,可以通过该通道实现将第二种子参数传输给手机银行客户端的需求,同时,手机客户端生成的第一种子参数也可以通过手机银行服务器的短信服务通过手机短信的形式发送给手机银行服务器,从而实现手机银行客户端和手机银行服务器之间交互种子参数的功能,进而手机银行客户端和手机银行服务端各自根据获取到的种子参数和自身生成的种子参数从而生成各自的软令牌种子,从而避免了软令牌种子的传输对软令牌认证功能的安全性造成的影响。
作为一种可选的实施例,所述向目标服务器发送目标请求,包括:
使用非对称算法生成加密密钥对;
生成携带有所述加密密钥对中包括的加密公钥的所述目标请求,其中,所述目标请求用于指示所述目标服务器为所述目标帐号生成所述第一种子信息,并使用所述加密公钥对所述第一种子信息进行加密传输;
将所述目标请求发送至所述目标服务器。
可选地,在本实施例中,目标请求中除了携带有加密密钥之外,还可以携带用于表征所述目标帐号的帐号信息的目标帐号标识,通过该目标帐号标识指示目标服务器为目标帐号生成第一种子信息。
可选地,在本实施例中,非对称加密算法可以但不限与包括ECC(Elliptic CurveCryptography,椭圆曲线密码学)、RSA、SM2等等,本方案对此不做限定。
作为一种可选的实施例,所述生成与所述第一种子信息匹配的第二种子信息,包括:
获取所述第一种子信息中携带的参考身份标识,其中,所述参考身份标识用于表征与所述第一种子信息匹配的帐号的帐号信息;
在所述参考身份标识和所述目标帐号对应的目标身份标识匹配一致的情况下,调用第一生成脚本生成所述第二参数。
可选地,在本实施例中,身份标识是用于标识使用目标帐号的目标对象的对象身份,身份标识可以但不限于包括目标帐号的帐号密码信息、目标对象的相关证件信息等等,本方案对此不做限定。
可选地,在本实施例中,第一生成脚本可以但不限与是基于启动时间生成第二参数(比如,在启动第一生成脚本时,第一生成脚本获取当前时间戳,通过使用目标算法对当前时间戳进行计算,从而得到第二参数),或者第一生成脚本还可以是在被启动时随机生成第二参数,或者,第一生成脚本还可以是在被启动时通过对第一参数进行计算,从而生成第二参数,本方案对此不做限定。
可选地,在本实施例中,第一生成脚本可以是配置在目标应用上的,或者还可以是部署在目标应用外的,当需要生成第二参数时目标应用给该第一生成脚本发送相关调用指令,比如,将第一生成脚本可以是部署在目标应用部署的终端设备上,或者还可以是部署在与目标应用部署的终端设备具有通讯关系的第三方设备上,本方案对此不做限定。
作为一种可选的实施例,所述获取所述第一种子信息中携带的参考身份标识,包括:
获取加密密钥对中包括的解密私钥,其中,所述加密密钥对中包括具有对应关系的加密公钥和所述解密私钥,所述目标服务器用于使用所述加密公钥对所述第一种子信息进行加密传输;
使用所述解密私钥对所述第一种子信息进行解密,得到所述第一种子信息中携带的所述参考身份标识和所述第一参数。
可选地,在本实施例中,加密密钥对可以是目标应用生成的,在目标应用生成加密密钥对后,将加密密钥对中的加密公钥发送给目标服务器,并将解密私钥在目标应用上保存,从而避免了解密私钥的传输,从而使降低解密私钥被窃取的风险。
可选地,在本实施例中,加密密钥对还可以是与目标应用或者目标服务器具有数据传输关系的第三方设备生成的,第三方设备在生成加密密钥对后,将加密公钥发送给目标服务器,并将解密私钥发送给目标应用。图4是根据本申请实施例的一种可选的加密密钥对传输示意图,如图4所示,目标应用和目标服务器分别与第三方设备具有数据传输关系,第三方设备上部署了生成加密密钥对的算法程序,第三方设备生成了加密密钥对后,将加密公钥发送给目标服务器,并将解密私钥发送给目标应用。
作为一种可选的实施例,所述将所述第二种子信息发送至所述目标服务器,包括:
生成目标通知消息,其中,所述目标通知消息用于指示通过目标电话帐号向所述目标服务器发送携带有所述第二种子信息的目标短信,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号;
将所述目标通知消息发送至所述目标帐号。
可选地,在本实施例中,由于手机短信使用的是电话网络,而电话网络采用了一种称为“嵌入式加密”的技术,这种技术在信息传输过程中对数据进行加密并解密,并且手机短信的传输是点对点的,只能由发送者和接收者看到内容,并且难以被第三方窃取或拦截,因此,通过短信发送第二种子信息从而保证将第二种子信息传输至目标服务器上的安全性,避免了第二种子信息被窃取的风险。
图5是根据本申请实施例提供的软令牌种子的生成方法的流程图二,如图5所示,该方法包括如下步骤:
步骤S501,获取目标请求,其中,所述目标请求用于请求获取用于实现目标帐号的软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在目标应用上办理业务的业务权限进行认证;
步骤S502,响应所述目标请求,生成第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;
步骤S503,向所述目标应用发送所述第一种子信息;
步骤S504,接收所述目标应用响应所述第一种子信息生成的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;
步骤S505,根据所述第一参数和所述第二参数生成第二软令牌种子,其中,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
本申请实施例提供的软令牌种子的生成方法,目标服务器和目标应用之间相互传递的是生成软令牌种子所需要的参数,目标服务器能够向目标应用发送表征生成软令牌种子所需要的第一参数,同时目标应用能够向目标服务器发送表征生成软令牌种子所需要的第二参数,进而目标服务器能够根据目标应用传递来的第二参数和自身存储的第一参数生成软令牌种子,目标应用也能够根据目标服务器传递来的第一参数和自身的第二参数生成软令牌种子,避免直接通过服务器和目标应用之间传递软令牌种子造成的软令牌种子的泄露,进而保证软令牌认证功能的安全性,解决了相关技术中软令牌认证功能的安全性较低的问题。进而达到了提高了软令牌认证功能的安全性的效果。
在上述步骤S501提供的实施例中,目标请求中可以携带有目标帐号的帐号标识信息,该帐号标识信息用于表征目标帐号的身份,该帐号标识信息用于指示目标服务器开通软令牌认证功能的对象为目标帐号。
在上述步骤S502提供的实施例中,第一种子信息中可以是携带有第一参数,目标应用接收到第一种子信息后能够从第一种子信息中提取出第一参数,或者第一种子信息中还可以是携带的第一参数的生成方式,进而当目标应用接收到第一种子信息后,通过从第一种子信息中提取出第一参数的生成方式,进而使用该生成方式生成第一参数。
在上述步骤S503提供的实施例中,第一种子信息可以但不限于是被加密后传输到目标应用上的,对第一种子信息进行加密的密钥可以但不限于是通过非对称算法生成的加密密钥对中的加密公钥,该加密密钥对可以但不限与是目标应用生成的,进而通过将加密公钥传输给目标服务器用于对第一种子信息进行加密,目标应用将加密密钥对中的解密私钥保存用于对第一种子信息的解密。
在上述步骤S504提供的实施例中,第二种子信息中可以是携带有第二参数,或者第二种子信息中还可以是携带有第二参数的生成方式。
在上述步骤S505提供的实施例中,目标服务器可以但不限与是通过使用目标算法对第一参数和第二参数进行运算的方式从而得到第一软令牌种子,比如,将第一参数和第二参数相加,通过HASH算法对第一参数和第二参数相加得到的数值进行计算,从而得到第一软令牌种子,或者将第一参数和第二参数按照目标顺序排列,通过HASH算法对按照目标顺序排列的第一参数和第二参数进行运算,从而得到第一软令牌种子,或者还可以是将目标帐号的帐号标识+第一参数+第二参数,并使用HASH算法对帐号标识+第一参数+第二参数进行计算,从而得到第一软令牌种子,本方案对此不做限定。
可选地,在本实施例中,目标服务器根据第一种子参数和第二种子参数生成软令牌种子的方式与目标应用根据第一种子参数和第二种子参数生成软令牌种子的方式相同。
作为一种可选的实施例,所述响应所述目标请求,生成第一种子信息,包括:
将目标帐号标识与参考帐号标识进行匹配,其中,所述目标帐号标识为所述目标请求中携带用于表征所述目标帐号的帐号信息的帐号标识,所述参考帐号标识为所述目标服务器中存储的用于表征所述目标帐号的帐号信息的帐号标识;
在所述目标帐号标识与所述参考帐号标识匹配一致的情况下,调用第二生成脚本生成所述第一参数;
生成携带有所述参考帐号标识和所述第一参数的第一种子信息。
可选地,在本实施例中,第二生成脚本可以但不限与是基于启动时间生成第一参数(比如,在启动第二生成脚本时,第一生成脚本获取当前时间戳,通过使用目标算法对当前时间戳进行计算,从而得到第一参数),或者第二生成脚本还可以是在被启动时随机生成第一参数,或者,第二生成脚本还可以是在被启动时通过对目标帐号标识进行计算,从而生成第二参数,本方案对此不做限定。
作为一种可选的实施例,所述向所述目标应用发送所述第一种子信息,包括:
提取所述目标请求中携带的加密公钥;
使用所述加密公钥对所述第一种子信息进行加密;
将加密后的所述第一种子信息发送至所述目标应用。
可选地,在本实施例中,加密公钥是使用非对称加密算法生成的加密密钥对中的公钥,该加密密钥对中包括加密公钥和解密私钥,通过使用加密公钥对数据进行加密,并使用解密私钥对公钥加密后的数据进行解密。
作为一种可选的实施例,在所述根据所述第一参数和所述第二参数生成第二软令牌种子之前,所述方法还包括:
在所述第二种子信息为目标电话帐号通过目标短息发送至所述目标服务器的情况下,将所述目标电话帐号对应候选帐号标识与所述目标服务器中存储的所述目标帐号的参考帐号标识进行匹配,其中,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号,所述候选帐号标识用于表征所述目标电话帐号的帐号信息;
在所述候选帐号标识和所述参考帐号标识匹配一致的情况下,根据所述第一参数和所述第二参数生成第二软令牌种子。
可选地,在本实施例中,在候选帐号标识所对应的用户与参考帐号标识对应的用户为同一个用户的情况下,确定候选帐号标识和参考帐号标识匹配一致。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种软令牌种子的生成装置,需要说明的是,本申请实施例的软令牌种子的生成装置可以用于执行本申请实施例所提供的用于软令牌种子的生成方法。以下对本申请实施例提供的软令牌种子的生成装置进行介绍。
图6是根据本申请实施例的软令牌种子的生成装置的示意图一,应用于目标应用。如图6所示,该装置包括62:第一发送模块,用于在检测到目标帐号请求在所述目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求,其中,所述目标请求用于请求获取用于实现所述目标帐号的所述软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在所述目标应用上办理业务的业务权限进行认证;第一接收模块64,用于接收所述目标服务器响应所述目标请求生成的第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;第一生成模块66,用于生成与所述第一种子信息匹配的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;第二发送模块68,用于将所述第二种子信息发送至所述目标服务器,其中,所述目标服务器用于根据所述第一参数和所述第二参数生成第二软令牌种子,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
本申请实施例提供的软令牌种子的生成装置,目标服务器和目标应用之间相互传递的是生成软令牌种子所需要的参数,目标服务器能够向目标应用发送表征生成软令牌种子所需要的第一参数,同时目标应用能够向目标服务器发送表征生成软令牌种子所需要的第二参数,进而目标服务器能够根据目标应用传递来的第二参数和自身存储的第一参数生成软令牌种子,目标应用也能够根据目标服务器传递来的第一参数和自身的第二参数生成软令牌种子,避免直接通过服务器和目标应用之间传递软令牌种子造成的软令牌种子的泄露,进而保证软令牌认证功能的安全性,解决了相关技术中软令牌认证功能的安全性较低的问题。进而达到了提高了软令牌认证功能的安全性的效果。
可选的,所述第一发送模块,包括:第一生成单元,用于使用非对称算法生成加密密钥对;第二生成单元,用于生成携带有所述加密密钥对中包括的加密公钥的所述目标请求,其中,所述目标请求用于指示所述目标服务器为所述目标帐号生成所述第一种子信息,并使用所述加密公钥对所述第一种子信息进行加密传输;第一发送单元,用于将所述目标请求发送至所述目标服务器。
可选的,所述第一生成模块,包括:获取单元,用于获取所述第一种子信息中携带的参考身份标识,其中,所述参考身份标识用于表征与所述第一种子信息匹配的帐号的帐号信息;第三生成单元,用于在所述参考身份标识和所述目标帐号对应的目标身份标识匹配一致的情况下,调用第一生成脚本生成所述第二参数。
可选的,所述获取单元,用于:获取加密密钥对中包括的解密私钥,其中,所述加密密钥对中包括具有对应关系的加密公钥和所述解密私钥,所述目标服务器用于使用所述加密公钥对所述第一种子信息进行加密传输;使用所述解密私钥对所述第一种子信息进行解密,得到所述第一种子信息中携带的所述参考身份标识和所述第一参数。
可选的,所述第二发送模块,包括:第四生成单元,用于生成目标通知消息,其中,所述目标通知消息用于指示通过目标电话帐号向所述目标服务器发送携带有所述第二种子信息的目标短信,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号;第二发送单元,用于将所述目标通知消息发送至所述目标帐号。
图7是根据本申请实施例的软令牌种子的生成装置的示意图二,应用于目标服务器。如图7所示,该装置包括:获取模块71,用于获取目标请求,其中,所述目标请求用于请求获取用于实现目标帐号的软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在目标应用上办理业务的业务权限进行认证;
第二生成模块72,用于响应所述目标请求,生成第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;
第三发送模块73,用于向所述目标应用发送所述第一种子信息;
第二接收模块74,用于接收所述目标应用响应所述第一种子信息生成的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;
第三生成模块75,用于根据所述第一参数和所述第二参数生成第二软令牌种子,其中,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
本申请实施例提供的软令牌种子的生成装置,目标服务器和目标应用之间相互传递的是生成软令牌种子所需要的参数,目标服务器能够向目标应用发送表征生成软令牌种子所需要的第一参数,同时目标应用能够向目标服务器发送表征生成软令牌种子所需要的第二参数,进而目标服务器能够根据目标应用传递来的第二参数和自身存储的第一参数生成软令牌种子,目标应用也能够根据目标服务器传递来的第一参数和自身的第二参数生成软令牌种子,避免直接通过服务器和目标应用之间传递软令牌种子造成的软令牌种子的泄露,进而保证软令牌认证功能的安全性,解决了相关技术中软令牌认证功能的安全性较低的问题。进而达到了提高了软令牌认证功能的安全性的效果。
可选的,所述第二生成模块,包括:匹配单元,用于将目标帐号标识与参考帐号标识进行匹配,其中,所述目标帐号标识为所述目标请求中携带用于表征所述目标帐号的帐号信息的帐号标识,所述参考帐号标识为所述目标服务器中存储的用于表征所述目标帐号的帐号信息的帐号标识;第五生成单元,用于在所述目标帐号标识与所述参考帐号标识匹配一致的情况下,调用第二生成脚本生成所述第一参数;第六生成单元,用于生成携带有所述参考帐号标识和所述第一参数的第一种子信息。
可选的,所述第二发送模块,包括:提取单元,用于提取所述目标请求中携带的加密公钥;加密单元,用于使用所述加密公钥对所述第一种子信息进行加密;第三发送单元,用于将加密后的所述第一种子信息发送至所述目标应用。
可选的,所述装置还包括:匹配模块,用于在所述根据所述第一参数和所述第二参数生成第二软令牌种子之前,在所述第二种子信息为目标电话帐号通过目标短息发送至所述目标服务器的情况下,将所述目标电话帐号对应候选帐号标识与所述目标服务器中存储的所述目标帐号的参考帐号标识进行匹配,其中,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号,所述候选帐号标识用于表征所述目标电话帐号的帐号信息;第四生成模块,用于在所述候选帐号标识和所述参考帐号标识匹配一致的情况下,根据所述第一参数和所述第二参数生成第二软令牌种子。
所述软令牌种子的生成装置包括处理器和存储器,上述单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决相关技术中软令牌认证功能的安全性较低的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现所述软令牌种子的生成方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述软令牌种子的生成方法。
图8是根据本申请实施例的一种可选的电子设备示意图,如图8所示,本发明实施例提供了一种电子设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:在检测到目标帐号请求在所述目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求,其中,所述目标请求用于请求获取用于实现所述目标帐号的所述软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在所述目标应用上办理业务的业务权限进行认证;
接收所述目标服务器响应所述目标请求生成的第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;
生成与所述第一种子信息匹配的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;
将所述第二种子信息发送至所述目标服务器,其中,所述目标服务器用于根据所述第一参数和所述第二参数生成第二软令牌种子,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
可选的,所述向目标服务器发送目标请求,包括:使用非对称算法生成加密密钥对;生成携带有所述加密密钥对中包括的加密公钥的所述目标请求,其中,所述目标请求用于指示所述目标服务器为所述目标帐号生成所述第一种子信息,并使用所述加密公钥对所述第一种子信息进行加密传输;将所述目标请求发送至所述目标服务器。
可选的,所述生成与所述第一种子信息匹配的第二种子信息,包括:获取所述第一种子信息中携带的参考身份标识,其中,所述参考身份标识用于表征与所述第一种子信息匹配的帐号的帐号信息;在所述参考身份标识和所述目标帐号对应的目标身份标识匹配一致的情况下,调用第一生成脚本生成所述第二参数。
可选的,所述获取所述第一种子信息中携带的参考身份标识,包括:获取加密密钥对中包括的解密私钥,其中,所述加密密钥对中包括具有对应关系的加密公钥和所述解密私钥,所述目标服务器用于使用所述加密公钥对所述第一种子信息进行加密传输;使用所述解密私钥对所述第一种子信息进行解密,得到所述第一种子信息中携带的所述参考身份标识和所述第一参数。
可选的,所述将所述第二种子信息发送至所述目标服务器,包括:生成目标通知消息,其中,所述目标通知消息用于指示通过目标电话帐号向所述目标服务器发送携带有所述第二种子信息的目标短信,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号;将所述目标通知消息发送至所述目标帐号。
处理器执行程序时实现以下步骤:获取目标请求,其中,所述目标请求用于请求获取用于实现目标帐号的软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在目标应用上办理业务的业务权限进行认证;响应所述目标请求,生成第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;向所述目标应用发送所述第一种子信息;接收所述目标应用响应所述第一种子信息生成的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;根据所述第一参数和所述第二参数生成第二软令牌种子,其中,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
可选的,所述响应所述目标请求,生成第一种子信息,包括:将目标帐号标识与参考帐号标识进行匹配,其中,所述目标帐号标识为所述目标请求中携带用于表征所述目标帐号的帐号信息的帐号标识,所述参考帐号标识为所述目标服务器中存储的用于表征所述目标帐号的帐号信息的帐号标识;在所述目标帐号标识与所述参考帐号标识匹配一致的情况下,调用第二生成脚本生成所述第一参数;生成携带有所述参考帐号标识和所述第一参数的第一种子信息。
可选的,所述向所述目标应用发送所述第一种子信息,包括:提取所述目标请求中携带的加密公钥;使用所述加密公钥对所述第一种子信息进行加密;将加密后的所述第一种子信息发送至所述目标应用。
可选的,在所述根据所述第一参数和所述第二参数生成第二软令牌种子之前,所述方法还包括:在所述第二种子信息为目标电话帐号通过目标短息发送至所述目标服务器的情况下,将所述目标电话帐号对应候选帐号标识与所述目标服务器中存储的所述目标帐号的参考帐号标识进行匹配,其中,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号,所述候选帐号标识用于表征所述目标电话帐号的帐号信息;在所述候选帐号标识和所述参考帐号标识匹配一致的情况下,根据所述第一参数和所述第二参数生成第二软令牌种子。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:在检测到目标帐号请求在所述目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求,其中,所述目标请求用于请求获取用于实现所述目标帐号的所述软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在所述目标应用上办理业务的业务权限进行认证;
接收所述目标服务器响应所述目标请求生成的第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;
生成与所述第一种子信息匹配的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;
将所述第二种子信息发送至所述目标服务器,其中,所述目标服务器用于根据所述第一参数和所述第二参数生成第二软令牌种子,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
可选的,所述向目标服务器发送目标请求,包括:使用非对称算法生成加密密钥对;生成携带有所述加密密钥对中包括的加密公钥的所述目标请求,其中,所述目标请求用于指示所述目标服务器为所述目标帐号生成所述第一种子信息,并使用所述加密公钥对所述第一种子信息进行加密传输;将所述目标请求发送至所述目标服务器。
可选的,所述生成与所述第一种子信息匹配的第二种子信息,包括:获取所述第一种子信息中携带的参考身份标识,其中,所述参考身份标识用于表征与所述第一种子信息匹配的帐号的帐号信息;在所述参考身份标识和所述目标帐号对应的目标身份标识匹配一致的情况下,调用第一生成脚本生成所述第二参数。
可选的,所述获取所述第一种子信息中携带的参考身份标识,包括:获取加密密钥对中包括的解密私钥,其中,所述加密密钥对中包括具有对应关系的加密公钥和所述解密私钥,所述目标服务器用于使用所述加密公钥对所述第一种子信息进行加密传输;使用所述解密私钥对所述第一种子信息进行解密,得到所述第一种子信息中携带的所述参考身份标识和所述第一参数。
可选的,所述将所述第二种子信息发送至所述目标服务器,包括:生成目标通知消息,其中,所述目标通知消息用于指示通过目标电话帐号向所述目标服务器发送携带有所述第二种子信息的目标短信,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号;将所述目标通知消息发送至所述目标帐号。
当在数据处理设备上执行时,适于执行初始化还有如下方法步骤的程序:获取目标请求,其中,所述目标请求用于请求获取用于实现目标帐号的软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在目标应用上办理业务的业务权限进行认证;响应所述目标请求,生成第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;向所述目标应用发送所述第一种子信息;接收所述目标应用响应所述第一种子信息生成的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;根据所述第一参数和所述第二参数生成第二软令牌种子,其中,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
可选的,所述响应所述目标请求,生成第一种子信息,包括:将目标帐号标识与参考帐号标识进行匹配,其中,所述目标帐号标识为所述目标请求中携带用于表征所述目标帐号的帐号信息的帐号标识,所述参考帐号标识为所述目标服务器中存储的用于表征所述目标帐号的帐号信息的帐号标识;在所述目标帐号标识与所述参考帐号标识匹配一致的情况下,调用第二生成脚本生成所述第一参数;生成携带有所述参考帐号标识和所述第一参数的第一种子信息。
可选的,所述向所述目标应用发送所述第一种子信息,包括:提取所述目标请求中携带的加密公钥;使用所述加密公钥对所述第一种子信息进行加密;将加密后的所述第一种子信息发送至所述目标应用。
可选的,在所述根据所述第一参数和所述第二参数生成第二软令牌种子之前,所述方法还包括:在所述第二种子信息为目标电话帐号通过目标短息发送至所述目标服务器的情况下,将所述目标电话帐号对应候选帐号标识与所述目标服务器中存储的所述目标帐号的参考帐号标识进行匹配,其中,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号,所述候选帐号标识用于表征所述目标电话帐号的帐号信息;在所述候选帐号标识和所述参考帐号标识匹配一致的情况下,根据所述第一参数和所述第二参数生成第二软令牌种子。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (13)

1.一种软令牌种子的生成方法,其特征在于,应用于目标应用,包括:
在检测到目标帐号请求在所述目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求,其中,所述目标请求用于请求获取用于实现所述目标帐号的所述软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在所述目标应用上办理业务的业务权限进行认证;
接收所述目标服务器响应所述目标请求生成的第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;
生成与所述第一种子信息匹配的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;
将所述第二种子信息发送至所述目标服务器,其中,所述目标服务器用于根据所述第一参数和所述第二参数生成第二软令牌种子,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
2.根据权利要求1所述的方法,其特征在于,所述向目标服务器发送目标请求,包括:
使用非对称算法生成加密密钥对;
生成携带有所述加密密钥对中包括的加密公钥的所述目标请求,其中,所述目标请求用于指示所述目标服务器为所述目标帐号生成所述第一种子信息,并使用所述加密公钥对所述第一种子信息进行加密传输;
将所述目标请求发送至所述目标服务器。
3.根据权利要求1所述的方法,其特征在于,所述生成与所述第一种子信息匹配的第二种子信息,包括:
获取所述第一种子信息中携带的参考身份标识,其中,所述参考身份标识用于表征与所述第一种子信息匹配的帐号的帐号信息;
在所述参考身份标识和所述目标帐号对应的目标身份标识匹配一致的情况下,调用第一生成脚本生成所述第二参数。
4.根据权利要求3所述的方法,其特征在于,所述获取所述第一种子信息中携带的参考身份标识,包括:
获取加密密钥对中包括的解密私钥,其中,所述加密密钥对中包括具有对应关系的加密公钥和所述解密私钥,所述目标服务器用于使用所述加密公钥对所述第一种子信息进行加密传输;
使用所述解密私钥对所述第一种子信息进行解密,得到所述第一种子信息中携带的所述参考身份标识和所述第一参数。
5.根据权利要求1所述的方法,其特征在于,所述将所述第二种子信息发送至所述目标服务器,包括:
生成目标通知消息,其中,所述目标通知消息用于指示通过目标电话帐号向所述目标服务器发送携带有所述第二种子信息的目标短信,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号;
将所述目标通知消息发送至所述目标帐号。
6.一种软令牌种子的生成方法,其特征在于,应用于目标服务器,包括:
获取目标请求,其中,所述目标请求用于请求获取用于实现目标帐号的软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在目标应用上办理业务的业务权限进行认证;
响应所述目标请求,生成第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;
向所述目标应用发送所述第一种子信息;
接收所述目标应用响应所述第一种子信息生成的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;
根据所述第一参数和所述第二参数生成第二软令牌种子,其中,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
7.根据权利要求6所述的方法,其特征在于,所述响应所述目标请求,生成第一种子信息,包括:
将目标帐号标识与参考帐号标识进行匹配,其中,所述目标帐号标识为所述目标请求中携带用于表征所述目标帐号的帐号信息的帐号标识,所述参考帐号标识为所述目标服务器中存储的用于表征所述目标帐号的帐号信息的帐号标识;
在所述目标帐号标识与所述参考帐号标识匹配一致的情况下,调用第二生成脚本生成所述第一参数;
生成携带有所述参考帐号标识和所述第一参数的第一种子信息。
8.根据权利要求6所述的方法,其特征在于,所述向所述目标应用发送所述第一种子信息,包括:
提取所述目标请求中携带的加密公钥;
使用所述加密公钥对所述第一种子信息进行加密;
将加密后的所述第一种子信息发送至所述目标应用。
9.根据权利要求6所述的方法,其特征在于,在所述根据所述第一参数和所述第二参数生成第二软令牌种子之前,所述方法还包括:
在所述第二种子信息为目标电话帐号通过目标短息发送至所述目标服务器的情况下,将所述目标电话帐号对应候选帐号标识与所述目标服务器中存储的所述目标帐号的参考帐号标识进行匹配,其中,所述目标电话帐号为与使用所述目标帐号的目标对象具有绑定关系的电话帐号,所述候选帐号标识用于表征所述目标电话帐号的帐号信息;
在所述候选帐号标识和所述参考帐号标识匹配一致的情况下,根据所述第一参数和所述第二参数生成第二软令牌种子。
10.一种软令牌种子的生成装置,其特征在于,应用于目标应用,包括:
第一发送模块,用于在检测到目标帐号请求在所述目标应用上开通软令牌认证功能的情况下,向目标服务器发送目标请求,其中,所述目标请求用于请求获取用于实现所述目标帐号的所述软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在所述目标应用上办理业务的业务权限进行认证;
第一接收模块,用于接收所述目标服务器响应所述目标请求生成的第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;
第一生成模块,用于生成与所述第一种子信息匹配的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;
第二发送模块,用于将所述第二种子信息发送至所述目标服务器,其中,所述目标服务器用于根据所述第一参数和所述第二参数生成第二软令牌种子,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
11.一种软令牌种子的生成装置,其特征在于,应用于目标服务器,包括:
获取模块,用于获取目标请求,其中,所述目标请求用于请求获取用于实现目标帐号的软令牌认证功能的目标软令牌种子,所述软令牌认证功能用于对所述目标帐号在目标应用上办理业务的业务权限进行认证;
第二生成模块,用于响应所述目标请求,生成第一种子信息,其中,所述第一种子信息用于表征为所述目标帐号生成软令牌种子所需要的第一参数;
第三发送模块,用于向所述目标应用发送所述第一种子信息;
第二接收模块,用于接收所述目标应用响应所述第一种子信息生成的第二种子信息,其中,所述第二种子信息用于表征为所述目标帐号生成软令牌种子所需要的第二参数,所述目标应用用于根据所述第一参数和所述第二参数生成第一软令牌种子;
第三生成模块,用于根据所述第一参数和所述第二参数生成第二软令牌种子,其中,所述目标软令牌种子包括所述第一软令牌种子和所述第二软令牌种子。
12.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至9中任意一项所述的软令牌种子的生成方法。
13.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至9中任意一项所述的软令牌种子的生成方法。
CN202310646556.7A 2023-06-01 2023-06-01 软令牌种子的生成方法、装置、处理器和电子设备 Pending CN116527387A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310646556.7A CN116527387A (zh) 2023-06-01 2023-06-01 软令牌种子的生成方法、装置、处理器和电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310646556.7A CN116527387A (zh) 2023-06-01 2023-06-01 软令牌种子的生成方法、装置、处理器和电子设备

Publications (1)

Publication Number Publication Date
CN116527387A true CN116527387A (zh) 2023-08-01

Family

ID=87401241

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310646556.7A Pending CN116527387A (zh) 2023-06-01 2023-06-01 软令牌种子的生成方法、装置、处理器和电子设备

Country Status (1)

Country Link
CN (1) CN116527387A (zh)

Similar Documents

Publication Publication Date Title
JP7119040B2 (ja) データ伝送方法、装置およびシステム
CN111090875B (zh) 部署合约的方法及装置
EP3318043B1 (en) Mutual authentication of confidential communication
US11082224B2 (en) Location aware cryptography
US10326797B1 (en) Provisioning a secure connection using a pre-shared key
US9413754B2 (en) Authenticator device facilitating file security
CN109728914B (zh) 数字签名验证方法、系统、装置及计算机可读存储介质
US20170208049A1 (en) Key agreement method and device for verification information
CN110401615B (zh) 一种身份认证方法、装置、设备、系统及可读存储介质
CN107317677B (zh) 密钥存储及设备身份认证方法、装置
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
CN107342861B (zh) 一种数据处理方法、装置及系统
US11146554B2 (en) System, method, and apparatus for secure identity authentication
CN109450620B (zh) 一种移动终端中共享安全应用的方法及移动终端
CN110868291B (zh) 一种数据加密传输方法、装置、系统及存储介质
CN112688773A (zh) 一种令牌的生成和校验方法及装置
US10728232B2 (en) Method for authenticating client system, client device, and authentication server
WO2019129459A1 (en) Secure provisioning of keys
CN107026730B (zh) 数据处理方法、装置及系统
CN108965278B (zh) 交易请求处理方法及装置
US20240106633A1 (en) Account opening methods, systems, and apparatuses
CN115567200A (zh) http接口防刷方法、系统及相关设备
CN115459929A (zh) 安全验证方法、装置、电子设备、系统、介质和产品
CN116527387A (zh) 软令牌种子的生成方法、装置、处理器和电子设备
CN114285557A (zh) 通信加密方法、系统和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination