CN1481109A - 基于无线传输平台的动态密码身份认证系统 - Google Patents

基于无线传输平台的动态密码身份认证系统 Download PDF

Info

Publication number
CN1481109A
CN1481109A CNA021290946A CN02129094A CN1481109A CN 1481109 A CN1481109 A CN 1481109A CN A021290946 A CNA021290946 A CN A021290946A CN 02129094 A CN02129094 A CN 02129094A CN 1481109 A CN1481109 A CN 1481109A
Authority
CN
China
Prior art keywords
password
user
dynamic password
dynamic
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CNA021290946A
Other languages
English (en)
Inventor
裴泰宏
李洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
WANGTAI JIN'AN INFORMATION TECHNOLOGY Co Ltd
Original Assignee
WANGTAI JIN'AN INFORMATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by WANGTAI JIN'AN INFORMATION TECHNOLOGY Co Ltd filed Critical WANGTAI JIN'AN INFORMATION TECHNOLOGY Co Ltd
Priority to CNA021290946A priority Critical patent/CN1481109A/zh
Publication of CN1481109A publication Critical patent/CN1481109A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于无线传输平台的动态密码身份认证系统,由动态密码产生/认证服务器、动态密码产生/认证后备服务器、呼叫中心、管理工作站和用户端通讯装置组成。该系统对现有的动态密码认证体制进行了改造,把双边独立产生动态密码,服务器端进行认证的认证模式改造为只由认证中心单边产生密码,通过短信方式分发给申请用户,并对登录用户上传的密码进行验证的认证模式。改造后的认证系统有效解决了现有系统前文所列的缺陷,并保证了现有动态密码认证系统一次一密,密码动态变换的优点。

Description

基于无线传输平台的动态密码身份认证系统
技术领域
本发明涉及一种动态密码身份认证系统,尤指一种基于无线传输平台的动态密码身份认证系统。
背景技术
身份认证是保证系统安全、稳定运行不可缺少、至关重要的一步。用户在访问应用系统时,应该首先通过某种身份验证机制来验证用户的身份与所宣称的是否一致,身份验证成功后才能根据用户的身份和授权数据库决定用户是否能够访问系统的某个资源或进行某项操作,否则系统拒绝其访问。
目前,常用的身份认证技术主要有固定密码认证和动态密码认证两种方式。
固定密码认证方式采用“用户帐号+密码=某人的身份”的认证方式,密码由客户自设,记忆在脑子里,登录时先输入帐号(或通过刷卡输入帐号),再输入密码,两串数字与后台系统预留的一致即可确认为合法授权用户,反之则为非法用户,这种采用帐号加密码的方式对授权对象(如储蓄卡用户、企业内部人员等)的身份进行认证的技术因其极大的方便性一直以来是一项在很多领域被普遍采用的一种成熟技术。但这种认证方式的缺点在于:由于客户的帐号是固定的明文(一般是不加密的阿拉伯数字),密码又是静态的,客户在很长一段时间内不会修改,随着远程登录越来越频繁(如ATM机、POS机、电话银行、电话炒股、网上银行、网上炒股等),应用环境的变化和高科技犯罪手段的发展,窃取这两串数字后假冒合法授权用户进入其帐户进行恶意操作的案件越来越多。总之,用用户名加静态密码(固定密码)对客户的身份进行确认的安全强度已经远远不够。
动态密码认证是提高密码安全强度的一种有效手段。现有的动态密码认证系统主要由动态密码产生/认证服务器、动态密码产生/认证备份服务器、客户端令牌卡和管理工作站等组成。它是基于动态密码产生/认证服务器端软件和客户端令牌卡双边同时各产生一个相同的随机数列作为动态密码;在进行身份认证时,客户输入客户端的令牌卡产生的动态密码,管理工作站或其它客户终端将客户输入的动态密码上传给动态密码产生/认证服务器,服务器将收到的动态密码与服务器本身产生的动态密码进行比对;如果一致,系统认为是合法用户,反之则认为是非法客户,从而实现身份认证的目的。客户端令牌卡一般有以下几种载体:安装在电脑上的软体密码卡,自制的如信用卡大小的硬件卡,IC卡,PDA和移动电话。用户需要登陆系统时,取出携带的令牌卡即可获得随机产生的密码,而且动态密码一次一密,密码使用一次就作废,能很好的满足应用环境对身份验证的需求。但是,这种动态密码认证方式也有其不可避免的缺点:1)动态密码的产生是基于动态密码产生/认证服务器和客户端令牌卡双边产生的,客户必须随身携带令牌卡。2)令牌卡的互通性有问题,令牌卡的密码是靠芯片产生的,芯片的容量有限,只能容纳有限单位的密码,不便于客户在多家单位开户使用。3)要对令牌进行初始化,发卡工作管理难度大,更换电池的工作量也大。4)令牌易受电磁等环境的干扰和物理损坏,导致不能与服务器端同步而不能正常登陆。5)令牌卡的制造成本高。6)令牌卡的售后维护量大。
发明内容
为克服上述现有技术的缺点,本发明的目的是提供一种安全度高、对用户端透明应用的、基于无线传输平台的动态密码身份认证系统。
一种基于无线传输平台的动态密码身份认证系统,它对现有的动态密码认证体制进行了改造,把双边独立产生动态密码、服务器端进行认证的认证模式改造为只由认证中心单边产生动态密码,再通过无线传输平台将动态密码分发给申请用户,并对登录用户上传的密码进行验证的认证模式。
为实现上述目的,本发明采用以下技术方案:
本发明的系统包括认证中心、业务中心、和通讯终端,及连接专线DDN。其中认证中心包括:动态密码认证/产生服务器、认证备份服务器、管理工作站;业务中心包括SMS服务中心、短信网关、WEB服务器、呼叫中心;通讯终端包括用户终端(手机和计算机终端)和通信网络;其中动态密码产生/认证服务器、动态密码产生/认证后备服务器、呼叫中心和管理工作站组成动态密码认证中心,彼此间通过以太网进行连接、通讯、数据传输;动态密码认证中心和短信网关、行业应用服务器之间通过DDN/FRAME RELAY/INTERNET进行客户密码数据的传输。
本发明的基于无线传输平台的动态密码身份认证的方法包括步骤:
①、用户通过自己的手机或网络终端向指定的呼叫中心或短消息中心提交申请动态密码的申请,短信中心自动识别手机身份,即手机的SIM卡或SKD卡号;
②、短信中心或呼叫中心将密码申请请求和客户手机号通过DDN传送到动态密码产生/认证服务器,服务器查找该客户信息,利用其内部的密码生成函数产生当前的动态密码;
③、动态密码产生/认证服务器把动态密码通过专用网传送到移动通信网短信中心,通过短消息平台、移动网站等发送给请求用户;
④、用户通过用户端通信终端接收该动态密码;
⑤、用户在进入应用系统时,输入登录密码;
为保证密码的安全性,用户登录密码可由自设密码+动态密码组成,也可以仅为动态密码;
⑥、应用系统把用户输入的密码通过DDN专网上传给动态密码认证中心进行验证;
⑦、动态密码认证中心收到客户密码后,到动态密码产生/认证服务器数据库中查找该用户信息并进行动态密码校验;
⑧、认证中心把用户的身份认证结果通过无线通讯平台返回行业应用服务器;
⑨、应用服务器根据认证结果进行下一步操作,报告密码错误或允许用户操作。
由于本发明采用了以上技术方案,故具有以下优点:1)本发明将动态密码认证技术、无线通讯技术、呼叫中心技术和网上短信发送技术进行了有机的整和,将传统的双边密码产生/认证模式变为单边密码产生/认证模式,从根本上解决了令牌卡携带的问题,减少了物理令牌的成本,降低了使用的投入和维护的费用。2)利用现有的通信平台和手持设备,避免了令牌卡由于受电磁环境的干扰和物理损坏不能与服务器端同步,从而不能正常登录的情况的发生。3)由双边密码产生变为单边产生,大大提高了系统的可靠性,有效避免了双边产生密码易失步的问题。4)同时提供了集中认证中心,解决了互联互通问题,认证单位的多少不再受物理容量的限制,大大简化了发卡管理的复杂程度,变分布管理为集中管理,减少了系统维护的工作量,更有利于系统的稳定,在用户的易用性和安全性之间找到了一个最佳的结合点。
附图说明
图1表示本发明认证系统结构框图;
图2表示本发明认证服务器组成框图;
图3表示本发明在银行交易中的应用
图4表示本发明在证券交易中的应用
图5表示本发明在企业内部网络身份认证的应用
图6申请注册短信密码服务流程
图7用户申请动态密码流程
图8用户交易身份认证流程
具体实施方式
由于无线短信平台可以快速可靠的传送各种文本信息,那么可以通过移动网络给需要使用密码的合法用户,如内部企业用户和证券及银行的客户等合法客户提供一个不断变化的动态密码。密码可以由用户自行申请及时获得,也可以由用户设定获取动态密码的频率和时间,如每天一次,12小时一次或几个小时一次,动态密码认证中心系统则根据用户的设定定时产生动态密码并通过短信平台下发到客户的手机上。这种新的基于无线通讯平台的认证系统可以有效地解决现有动态密码认证系统的缺陷,并保证了一次一密,密码动态变换的优点。
图1是本发明的认证系统结构方框图。
本发明的系统包括认证中心、业务中心、和通讯终端,及连接专线DDN。其中认证中心包括:动态密码认证/产生服务器、认证备份服务器、管理工作站;业务中心包括SMS服务中心、短信网关、WEB服务器、呼叫中心;通讯终端包括用户终端、通信网络;其中,动态密码产生/认证服务器、动态密码产生/认证后备服务器、呼叫中心和管理工作站,彼此间通过以太网连接,进行数据通讯和传输;动态密码认证中心和短信网关、行业应用服务器之间通过DDN/FRAME RELAY/INTERNET进行客户密码数据的传输。
动态密码产生/认证后备服务器是对认证服务器的实时完全备份,它能够在认证服务器发生故障或检修时及时接管认证工作。
管理工作站提供认证服务器的管理界面,通过管理工作站,网络管理员可以进行网络配置,添加、修改或删除用户信息,服务统计等操作
动态密码产生/认证服务器是系统的核心部分,它可以根据用户唯一的身份标志随机产生动态密码,并且对应用服务器上传的、用户输入的动态密码进行比对,进行严格的身份认证。动态密码产生/认证服务器包括以下模块:
1.用户信息注册处理模块;在用户登记注册短信动态密码服务时,用户信息注册处理模块使用硬件噪声源产生用户的特征参数,并把用户的手机号、帐号、静态密码和特征参数等信息写入数据库中。
2.动态密码生成模块;在用户申请动态密码时调用该模块根据手机号对应的用户信息和动态密码生成算法动态产生本次的动态密码,在密码生成模块内固化有密码生成函数,密码生成函数根据该用户的特征信息,计算出用户当前的密码。
3.动态密码认证模块;对用户的账号和密码合法性进行验证,包括静态密码和动态密码部分的认证。
4.通讯程序模块;包括数据接收模块和数据发送模块。接收程序完成从业务网关发送的用户身份认证数据和从短信网关、呼叫中心发送的动态密码申请和密码短信服务申请数据;发送程序把各个请求处理的结果安照双方的数据接口格式定义发送到相应的请求方。
5.数据库信息处理程序模块;完成向数据库中插入新的用户数据,查询用户数据和更新用户数据等功能;并完成审计数据的插入和查询。
6.日志审计模块;把各种数据处理请求和处理结果进行登记,存储到数据库中或日志文件中。
7.用户信息维护模块;完成对数据库中记录的用户信息的更新和查询。
8.加解密模块;处于各处理模块的最底层,完成用户信息关键字段的存储和传输的加解密工作;并完成对传输数据包完整性的保护。
本发明把动态密码认证技术和无线通讯技术、呼叫中心技术和网上短信发送技术进行了有机的整和,充分利用了各平台系统的优势,解决了现有各种身份认证系统的缺点,并充分体现了各认证系统的优点,组成了一个使用方便,安全可靠的身份认证系统,解决了客户忘记密码和泄密的困扰。可以方便地应用于银行交易、证券交易和企业内部网络的身份认证中。图3表示本发明在银行交易中的应用;图4表示本发明在证券交易中的应用;图5表示本发明在企业内部网络身份认证的应用;主要由以下几部分组成:1.认证中心
动态密码认证中心在客户申请时根据用户信息和定制的密码生成算法动态产生密码并向下分发给用户,并在客户交易时校验由应用网关传过来的用户登录密码。客户的密码可以由两部分组成,静态密码部分和动态密码部分,如3位的静态密码+5位的动态密码,静态密码部分可以在业务处理中心或认证中心进行验证,动态密码在认证中心进行验证,验证通过后把结果信息传回给业务网关,由业务中心根据客户的授权情况进行处理,同时修改客户动态密码的可用状态标志为不可用。
认证中心由两台服务器组成,两台服务器互为备份,并实现负载均衡。服务器的硬件配置可根据系统的预计总用户量进行设备选型。2.银行/其它行业业务处理中心
行业业务处理中心作为面向客户提供服务的平台,在客户请求服务如存取款、证券交易等服务时,为了保证请求者身份的合法性和有效性,必须对客户的账号/密码进行校验。在认证中心对客户的密码
认证通过时,根据授权情况对客户的请求进行处理。3.移动/联通短信处理中心
短信处理中心由短信接入平台和短信网关组成。短信接入平台负责接收短信和转发短信,短信网关用于短消息中心与信息提供商之间的连接和协议转换。它通过SMPP协议与短消息中心进行通信,并通过CMPP协议连接信息提供商。短消息网关有帐号管理、路由转发、流量控制和计费等主要功能,可以同时管理多个短消息中心,并根据其负荷自动选择下行短消息的发送路由的功能。4.呼叫客户服务中心
客户可以通过手机拨入GALL CENTER申请交易密码。GALL CENTER收到用户的拨叫后,采集客户的手机号码并把客户申请提交到认证中心,认证中心检查手机号码合法性后,把产生的动态密码通过短信发送给用户。5.INTERNET短信接入平台
客户除可以通过手机短信和呼叫中心申请密码外,也可以通过INTERNET上的短信服务商提供的工具发送网上短信来申请密码,WEB服务器把客户的密码申请发送给相应的短信服务中心(移动、联通)等,短信服务中心通过短信网关把申请提交给认证中心,认证中心检查手机号码合法性后,把产生的动态密码通过手机短信发送给用户。6.动态密码认证系统的网站
作为内容提供商(ICP),网站提供密码短信业务的开办申请,密码短信申请、静态密码的设定和修改并代理其他增殖短信业务。
客户进行动态密码短信业务的开办申请时,网站将验证客户手机的身份合法性并请客户选择相应的启用动态密码认证的交易类型,把客户的身份连接到银行或其他客户帐户中心进行验证并建立帐号和手机号之间的关联。可以看出本发明有以下特点:
1)、由认证中心产生动态密码,利用无线通讯平台的短信服务分发给申请的合法用户,并对交易系统转发的登录用户上传的交易密码进行验证。
2)利用手机号的全球唯一性、手机通讯时带”验证“的特性,确认动态密码申请者身份的唯一性。
3)、动态密码的申请方式可为手机发送短信申请、手机拨打呼叫中心申请和INTERNET网上发送短消息申请以及通过WAP手机上网申请短信密码的模式。
4)、利用短信平台廉价、通用、可靠和目的确定性完成动态密码的回送。
5)、部署动态密码认证中心,以全国为单位或银行(总行/分行)为单位或以证券公司为单位,完成集中认证。
6)、支持银行、证券等行业用户的各种业务。
7)、密码动态变换,一次一密,抗重放攻击。申请成功的动态密码有一定的生存期(可为1天),若在生存期内未使用,则该密码自动失效,用户交易时必须申请新的密码。为了保证强安全性,动态密码的生存期不能太长。
8)、交易密码为静态密码和动态密码的组合,如3位自设的静态密码+5位动态密码,以增强安全性。为了提供更高的安全性,3位自设的静态密码可由客户随时自行修改。
9)、保证密码传输的安全性,对传输链路进行加密。
10)、兼容各种移动通讯网络,如GSM GPRS CDMA网络的手机用户的接入。
11)、利用手机支持STK服务的功能和STK卡可扩充性强的特点,对密码短信进行加密,保证动态密码下发的安全性。
12)、利用新一代手机支持J2ME开发的特性进行编程,对发送的短信进行加解密传输,达到对密码短信的传输安全进行保护的目的。
13)、银行/行业/企业业务中心和认证中心之间以及短信网关和认证中心之间铺设DDN/FRAMERELAY,建立密码数据传输的快速安全通道。对小型业务中心,为了节省投资,可以利用INTERNET加密传输客户的密码信息。
14)、产生的客户密码保存在认证中心的数据库中。为了防止内部人员作案,保证密码存储的安全性,必须对密码进行加密后再存放。加密可以采用HASH或PKI技术,保证加密的不可逆性。
接下来描述基于无线平台的动态密码认证的处理流程
1、用户登录动态密码认证中心网站、提供动态密码认证服务的客户(银行、证券)网站或提供动态密码认证服务的客户(银行、证券)柜台认证办理开通动态密码业务服务,如果用户的手机号码和账号均合法,则用户成功注册为认证中心系统的合法用户。
2、用户注册成功时认证中心使用硬件噪声源为该用户产生一串32byte的特征参数并保证该特征参数的唯一性,该特征参数将参与动态密码的运算。
3、用户通过手机短信、网上短信发请求到认证中心请求下载动态密码;用户可以使用GSM手机、GPRS手机或CDMA手机申请动态密码,用户的请求通过GSM网络、GPRS网络或CDMA网络被透明的传输到短信服务中心并被送达动态密码认证中心。
4、用户使用手机拨通动态密码认证中心的呼叫中心请求提供动态密码服务;用户使用WAP手机通过WAP网关申请动态密码,WAP手机下载密码可有效保证动态密码传输的安全保密性;
5、利用手机号的全球唯一性、手机通讯时带”验证“的特性,动态密码认证中心系统可以确认动态密码申请者身份的唯一性;
6、短信中心/呼叫中心网关收到用户的密码申请请求后,把密码请求转发给认证中心服务器。
7、认证中心检查该请求的手机号是否为合法的注册用户,若为合法注册用户,则为该用户产生一个随机的动态密码。
8、动态密码算法由密码算法授权单位之一的中科院DCS中心的密码专家研究实现,其随机性和保熵性可以得到理论保证。
9、因为每个用户特征参数的唯一性和动态密码算法的随机性,系统产生的每个动态密码将很无法预测并且即使在多个用户同时申请密码时也能保证产生的每个密码各不相同。动态密码的有效期由系统管理员设定,超过有效期的密码即使用户没有使用也将无效。
10、若用户是通过WAP网关申请动态密码,则认证中心把产生的密码和用户请求的手机号送给WAP网关,并通过WAP网关送达客户;否则,认证中心把产生的动态密码和用户的手机号发送给短信网关。
11、短信网关把产生的动态密码通过短信方式分发给申请的用户,因为手机通讯时带”验证“的特性,短信中心可以保证用户短信的送达和短信发送的正确性。
12、用户在登录业务系统或进行金融交易时,可使用短信中心发回的动态密码进行身份的认证。身份认证成功后用户可以根据应用系统的授权进行相应的操作。动态密码产生/认证服务器可以根据用户唯一的身份标志随机产生动态密码,并且对所述行业应用服务器上传的、用户输入的动态密码进行比对,进行严格的身份认证。
13、申请到的动态密码在一次使用后即失效,并且,动态密码有一定的生命期,超过生命期的密码,即使用户没有使用也将无效。图6表示用户申请注册短信密码的服务流程在用户申请短信密码服务时,要依次确认手机用户的身份、账号合法性,具体流程如下:
a)用户浏览认证中心网站或其它提供短信动态密码服务的应用网站(银行网站或证券网站);
b)用户选择申请开办短信密码服务;为了保证用户个人信息的安全,用户浏览器在选择开办短信密码服务时完成对WEB服务器的C A身份认证;认证成功后在用户浏览器和WEB服务器之间建立SSL数据安全传输通道;
c)用户根据系统要求填写个人资料并提交给服务器;
d)WEB服务器收到用户的请求后,初步判断用户的手机号和其它信息是否合法。非法时提示错误信息给用户;合法时则把用户请求提交到金融企业应用网关;
e)金融企业应用网关检查用户账号和密码的合法性并把处理结果返回WEB服务器;
f)用户账号和密码的合法性检查失败时WEB服务器把错误信息提交给用户并提请用户输入正确的账号和密码;否则把用户的请求提交给认证中心进行密码短信服务注册;
g)认证中心收到用户密码短信服务注册请求后,到数据库中检查该手机号和账号是否已登记,若查找到已存在的注册信息则返回WEB服务器,WEB服务器提示用户确认对注册信息的更新确认;否则密码认证/产生服务器调用短信服务注册模块进行用户信息注册;
h)用户确认对注册信息的更新后,密码认证/产生服务器调用短信服务注册模块进行用户信息的更新注册,短信服务注册模块在数据库中查找新的用户帐号并更新帐号对应的手机号码,更新成功后通知WEB服务器用户注册成功,WEB服务器同时把注册成功结果通知用户。;
i)短信服务注册模块调用硬件躁声源产生用户的特征参数,并把产生的特征参数、手机号、帐号、静态密码、注册时间等用户信息进行加密写入系统注册用户数据库中。写入成功后通知WEB服务器用户注册成功,WEB服务器同时把注册成功结果通知用户。图7表示用户在进行金融交易时的身份认证处理流程。具体过程是
a)用户通过金融终端(ATM POS或网上交易浏览器终端等)选择金融服务;
b)用户根据系统要求输入帐号和密码,密码包括手机短信收到的5位动态密码和注册时设定的3位静态密码;
c)交易应用服务器收到用户的请求后,检查用户帐号的合法性。帐号合法时提交认证中心进行客户密码的认证;否则提示用户帐号错误,拒绝交易;
d)认证中心收到客户密码的认证请求后,到用户数据库查询该用户信息。查询成功后检查用户的密码可用标识是否为可用状态,不可用状态时向金融应用网关返回密码错误信息;可用状态时则检查动态密码是否在生存期内,已过生存期时向金融应用网关返回密码错误信息;处于生存期内时则分别检查密码的动态部分和静态部分的加密处理结果是否和数据库中的存储结果一致,二者比较结果均一致时认为密码正确,身份认证成功,否则则认证失败。
e)业务主机根据认证结果进行下一步操作,报告密码错误或允许用户执行业务。图8表示用户申请动态密码的流程。具体过程是
a)用户通过自己的手机向指定的呼叫中心或短消息中心提交申请动态密码的申请,短信中心会自动识别手机身份,即手机的SIM卡或STK卡号;
b)短信中心将密码申请和客户手机号通过DDN/FRAME RELAY专用网传送到认证中心。
c)动态密码产生/认证服务器查找该手机号是否已注册,为注册合法用户时利用其内部的密码生成函数产生当前的动态密码;
d)动态密码产生/认证服务器把动态密码通过专用网传送到移动通信网短信中心(包括但不限于GSM GPRS CDMA、第三代3G等),通过短消息平台、移动网站等发送给请求用户;
e)用户用手机接收该动态密码;
以用手机申请密码,在ATM上取款为例,实现步骤如下:
1、手机用户用自己的手机向指定的呼叫中心或短消息中心发送密码申请,短信中心会自动识别手机身份,SIM卡或STK卡保证了用户的唯一性;
2、短信中心将密码申请和客户手机号通过DDN/FRAMERELAY专用网传送到认证服务器,服务器查找该客户信息,并通过专用算法产生的当前动态密码;
3、认证服务器把密码通过专用网传送到移动通信网短信中心(包括但不限于GSM GPRS CDMA第三代3G等),通过短消息平台、移动网站等发送给请求用户;
4、用户把信用卡插入ATM机,顺序输入自己记忆的三位静态密码和申请到的5位动态密码。
5、为保证密码的安全性,用户的登录密码由自设密码(如3位246)+动态密码(如5位35768)组成,24635768为客户当前的登录密码;
6 ATM机把用户的取款请求上送银行业务主机,主机受到请求后,把用户的帐号和上送的密码送往认证中心进行验证。
7认证中心收到请求,到数据库查找该用户信息并进行密码校验,若密码过期,则不进行密码校验,返回密码错误信息;验证成功后修改该用户密码的活动标志为FALSE。认证中心把用户的身份认证结果通过银行应用网关返回业务主机。
8、业务主机根据认证结果进行下一步操作,报告密码错误或把钱取给客户;
改造后的动态密码认证系统有效地解决了现有系统前文所列的缺陷,并保证了现有动态密码认证系统一次一密,密码动态变换的优点。
以上所述仅是本发明的具体实施例,任何基于本发明技术方案基础上的等效变换,均属于本发明保护范围之内。

Claims (16)

1一种基于无线传输平台的动态密码身份认证系统,其特征在于:该系统包括认证中心、业务中心、和通讯终端,及连接专线DDN,其中
认证中心包括:动态密码认证/产生服务器、认证备份服务器、管理工作站;
业务中心包括:SMS服务中心、短信网关、WEB服务器、呼叫中心;
通讯终端包括:用户终端、通信网络;
其中,动态密码产生/认证服务器、动态密码产生/认证后备服务器、呼叫中心和管理工作站彼此间通过以太网进行连接、通讯、数据传输;动态密码认证中心和短信网关、WEB服务器之间通过DDN/FRAME RELAY/INTERNET进行客户密码数据的传输。
2根据权利要求1所述的基于无线传输平台的动态密码身份认证系统,其特征在于:所述动态密码产生/认证服务器是系统的核心部分,它可以根据用户唯一的身份标志随机产生动态密码,并且对所述行业应用服务器上传的、用户输入的动态密码进行比对,进行严格的身份认证。
3根据权利要求2所述的基于无线传输平台的动态密码身份认证系统,其特征在于:在所述动态密码产生/认证服务器内,有一个密码生成模块,在密码生成模块内固化有密码生成函数,密码生成函数根据用户的手机号码利用系统当前的时钟,以及数据库中该用户的信息,计算出用户当前的密码。
4、根据权利要求2所述的基于无线传输平台的动态密码身份认证系统,其中动态密码产生/认证服务器包括以下模块:
用户信息注册处理模块:在用户登记注册短信动态密码服务时,用户信息注册处理模块
使用硬件噪声源产生用户的特征参数,并把用户的手机号、帐号静态密码和特征参数等信息写入数据库中;
动态密码生成模块:在用户申请动态密码时调用该模块使用手机号对应的用户信息和动态密码生成算法动态产生本次的动态密码;
动态密码认证模块:对用户的账号和密码合法性进行验证,包括静态密码和动态密码部分的认证;
通讯程序模块:包括数据接收模块和数据发送模块。接收程序完成从业务网关发送的用户身份认证数据和从短信网关、呼叫中心发送的动态密码申请和密码短信服务申请数据;发送程序把各个请求处理的结果安照双方的数据接口格式定义发送到相应的请求方;
数据库信息处理程序模块:完成向数据库中插入新的用户数据,查询用户数据和更新用户数据等功能;并完成审计数据的插入和查询;
日志审计模块:把各种数据处理请求和处理结果进行登记,存储到数据库中或日志文件中;
用户信息维护模块;完成对数据库中记录的用户信息的更新和查询;
加解密模块;处于各处理模块的最底层,完成用户信息关键字段的存储和传输的加解密工作;并完成对传输数据包完整性的保护。
5根据权利要求1所述的基于无线传输平台的动态密码身份认证系统,其特征在于:
所述动态密码产生/认证后备服务器是对认证服务器的完全备份,它能够在认证服务器发生故障或检修时及时接管认证工作。
6根据权利要求1所述的基于无线传输平台的动态密码身份认证系统,其特征在于:所述管理工作站提供认证服务器的管理界面,通过管理工作站,网络管理员可以进行网络配置,添加、修改或删除用户信息,服务统计等操作。
7、根据权利要求1所述的基于无线传输平台的动态密码身份认证系统,其特征在于:所述用户端的通讯装置既可以是手机也可以是网络终端。
8、包含权利要求书1所述的基于无线通讯平台的动态密码身份系统的银行交易系统。
9、包含权利要求书1所述的基于无线通讯平台的动态密码身份系统的证券交易系统。
10、包含权利要求书1所述的基于无线通讯平台的动态密码身份系统的企业内部网身份认证系统。
11、利用权利要求1所述的基于无线传输平台的动态密码身份认证系统进行动态密码身份认证的方法,其具体步骤是:
①、用户通过自己的手机或网络终端向指定的呼叫中心或短消息中心提交申请动态密码的申请,短信中心自动识别手机身份,即手机的SIM卡或SKD卡号;
②、短信中心将密码申请和客户手机号通过无线通讯平台传送到动态密码产生/认证服务器,服务器查找该客户信息,利用其内部的密码生成函数产生当前的动态密码;
③、动态密码产生/认证服务器把动态密码通过专用网传送到移动通信网短信中心,通过短消息平台、移动网站等发送给请求用户;
④、用户通过用户端通信终端接收该动态密码;
⑤、用户在进入应用系统时,输入登录密码;
为保证密码的安全性,用户登录密码可由自设密码+动态密码组成,也可以仅为动态密码;
⑥、应用系统把用户输入的密码通过无线通讯平台上传给动态密码认证中心进行验证;
⑦、动态密码认证中心收到动态密码后,到动态密码产生/认证服务器数据库中查找该用户信息并进行动态密码校验;
⑧、认证中心把用户的身份认证结果通过无线通讯平台返回行业应用服务器;
⑨、应用服务器根据认证结果进行下一步操作,报告密码错误或允许用户操作。
12  根据权利要求8所述的方法,其中用户登录密码可由自设密码加动态密码组成。
13、根据权利要求9所述的方法,自设密码可以是三位数字,动态密码可以为五位数字。
14、将权利要求1所述的基于无线传输平台的动态密码身份认证系统应用到银行交易中。
15、将权利要求1所述的基于无线传输平台的动态密码身份认证系统应用到证券交易中。
16、将权利要求1所述的基于无线传输平台的动态密码身份认证系统应用到企业内部网络身份认证系统中。
CNA021290946A 2002-09-03 2002-09-03 基于无线传输平台的动态密码身份认证系统 Pending CN1481109A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNA021290946A CN1481109A (zh) 2002-09-03 2002-09-03 基于无线传输平台的动态密码身份认证系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNA021290946A CN1481109A (zh) 2002-09-03 2002-09-03 基于无线传输平台的动态密码身份认证系统

Publications (1)

Publication Number Publication Date
CN1481109A true CN1481109A (zh) 2004-03-10

Family

ID=34143965

Family Applications (1)

Application Number Title Priority Date Filing Date
CNA021290946A Pending CN1481109A (zh) 2002-09-03 2002-09-03 基于无线传输平台的动态密码身份认证系统

Country Status (1)

Country Link
CN (1) CN1481109A (zh)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100344128C (zh) * 2004-09-10 2007-10-17 华为技术有限公司 实现异地容灾的方法及系统和aaa代理模块及服务器
CN100565419C (zh) * 2004-04-29 2009-12-02 西姆毕恩软件有限公司 在计算装置中备份并恢复数据的方法
CN101631305B (zh) * 2009-07-28 2011-12-07 交通银行股份有限公司 一种加密方法及系统
CN101350720B (zh) * 2007-07-18 2011-12-28 中国移动通信集团公司 一种动态密码认证系统及方法
CN101331788B (zh) * 2005-11-14 2012-03-21 Sk电信有限公司 无线因特网中业务服务器的认证和使用该认证的结算
CN102404157A (zh) * 2011-12-26 2012-04-04 苏州风采信息技术有限公司 系统管理员功能的实现方法
CN101626329B (zh) * 2008-07-07 2012-04-11 纬创资通股份有限公司 无线装置的通信系统及方法
CN102546408A (zh) * 2011-12-30 2012-07-04 重庆拉土拉现代农业有限公司 基地农产品远程可视方法
WO2013185278A1 (zh) * 2012-06-11 2013-12-19 Sun Hongming 一种动态授权码生成方法及装置、支付交易方法及系统
CN103763105A (zh) * 2014-01-07 2014-04-30 上海众人网络安全技术有限公司 一种Exchange企业电子邮件登陆加密方法及装置
CN103782564A (zh) * 2011-07-15 2014-05-07 瓦里德索弗特英国有限公司 认证系统及其方法
CN104954383A (zh) * 2015-06-24 2015-09-30 深圳市兰丁科技有限公司 一种应用程序登录方法及系统
CN107423975A (zh) * 2011-03-30 2017-12-01 欧诺银行 通过提交号码进行强认证
CN110376951A (zh) * 2019-08-14 2019-10-25 中车大连机车车辆有限公司 一种基于授权密码的机车维护方法及系统
CN111490980A (zh) * 2020-03-30 2020-08-04 贵阳块数据城市建设有限公司 一种工业互联网数据传输加密方法

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100565419C (zh) * 2004-04-29 2009-12-02 西姆毕恩软件有限公司 在计算装置中备份并恢复数据的方法
CN100344128C (zh) * 2004-09-10 2007-10-17 华为技术有限公司 实现异地容灾的方法及系统和aaa代理模块及服务器
CN101331788B (zh) * 2005-11-14 2012-03-21 Sk电信有限公司 无线因特网中业务服务器的认证和使用该认证的结算
CN101350720B (zh) * 2007-07-18 2011-12-28 中国移动通信集团公司 一种动态密码认证系统及方法
CN101626329B (zh) * 2008-07-07 2012-04-11 纬创资通股份有限公司 无线装置的通信系统及方法
CN101631305B (zh) * 2009-07-28 2011-12-07 交通银行股份有限公司 一种加密方法及系统
CN107423975A (zh) * 2011-03-30 2017-12-01 欧诺银行 通过提交号码进行强认证
CN103782564A (zh) * 2011-07-15 2014-05-07 瓦里德索弗特英国有限公司 认证系统及其方法
CN102404157A (zh) * 2011-12-26 2012-04-04 苏州风采信息技术有限公司 系统管理员功能的实现方法
CN102546408A (zh) * 2011-12-30 2012-07-04 重庆拉土拉现代农业有限公司 基地农产品远程可视方法
WO2013185278A1 (zh) * 2012-06-11 2013-12-19 Sun Hongming 一种动态授权码生成方法及装置、支付交易方法及系统
EP2860680A4 (en) * 2012-06-11 2016-09-14 Hongming Sun METHOD AND APPARATUS FOR GENERATING A DYNAMIC AUTHORIZATION CODE, AND PAYMENT TRANSACTION METHOD AND SYSTEM
CN103763105A (zh) * 2014-01-07 2014-04-30 上海众人网络安全技术有限公司 一种Exchange企业电子邮件登陆加密方法及装置
CN104954383A (zh) * 2015-06-24 2015-09-30 深圳市兰丁科技有限公司 一种应用程序登录方法及系统
CN110376951A (zh) * 2019-08-14 2019-10-25 中车大连机车车辆有限公司 一种基于授权密码的机车维护方法及系统
CN111490980A (zh) * 2020-03-30 2020-08-04 贵阳块数据城市建设有限公司 一种工业互联网数据传输加密方法
CN111490980B (zh) * 2020-03-30 2022-03-08 贵阳块数据城市建设有限公司 一种工业互联网数据传输加密方法

Similar Documents

Publication Publication Date Title
CN1224213C (zh) 发放电子身份证明的方法
US8819437B2 (en) Cryptographic device that binds an additional authentication factor to multiple identities
US9357384B2 (en) System and method to support identity theft protection as part of a distributed service oriented ecosystem
CN101803272B (zh) 认证系统和方法
CN101582762B (zh) 基于动态口令进行身份认证的方法和系统
US20040199768A1 (en) System and method for enabling enterprise application security
CN110535851A (zh) 一种基于oauth2协议的用户认证系统
CN1631001A (zh) 利用批量设备的身份凭证创建安全网络的系统和方法
US10298561B2 (en) Providing a single session experience across multiple applications
CN1756148A (zh) 用于网络访问的移动认证
CN101873333B (zh) 基于银行系统的企业数据维护方法、装置及系统
KR20220086580A (ko) 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴
CN1756155A (zh) 用于网络访问的移动认证
CN110856174B (zh) 一种接入认证系统、方法、装置、计算机设备和存储介质
CN1481109A (zh) 基于无线传输平台的动态密码身份认证系统
CN1731723A (zh) 电子/手机令牌动态口令认证系统
CN102694782A (zh) 基于互联网的安全性信息交互设备及方法
CN1588853A (zh) 一种基于网络的统一认证方法及系统
GB2384069A (en) Transferring user authentication for first to second web site
CN201733328U (zh) 基于银行系统的企业数据维护装置及系统
CN1510899A (zh) 基于移动通信平台的即取即用式动态随机密码手机身份认证系统
CN113259357A (zh) 一种基于OAuth2的单点登录方法
KR100639992B1 (ko) 클라이언트 모듈을 안전하게 배포하는 보안 장치 및 그방법
CN115766134A (zh) 一种api网关统一鉴权的方法和装置
Fugkeaw et al. Multi-Application Authentication based on Multi-Agent System.

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C57 Notification of unclear or unknown address
DD01 Delivery of document by public notice

Addressee: Li Jie

Document name: Notice of publication of application for patent for invention

C57 Notification of unclear or unknown address
DD01 Delivery of document by public notice

Addressee: Li Jie

Document name: Deemed as a notice of withdrawal

C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication