TW201601083A - 一次性密碼生成的方法、裝置及認證方法、認證系統 - Google Patents

一次性密碼生成的方法、裝置及認證方法、認證系統 Download PDF

Info

Publication number
TW201601083A
TW201601083A TW103130943A TW103130943A TW201601083A TW 201601083 A TW201601083 A TW 201601083A TW 103130943 A TW103130943 A TW 103130943A TW 103130943 A TW103130943 A TW 103130943A TW 201601083 A TW201601083 A TW 201601083A
Authority
TW
Taiwan
Prior art keywords
user
time password
information
transaction
user interface
Prior art date
Application number
TW103130943A
Other languages
English (en)
Other versions
TWI543092B (zh
Inventor
wei qiang Cheng
Original Assignee
Beijing Anxunben Science & Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Anxunben Science & Technology Co Ltd filed Critical Beijing Anxunben Science & Technology Co Ltd
Publication of TW201601083A publication Critical patent/TW201601083A/zh
Application granted granted Critical
Publication of TWI543092B publication Critical patent/TWI543092B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本發明公開了一種一次性密碼生成的方法、裝置及認證方法、認證系統。其中該認證方法包括如下步驟:接收使用者通過第一使用者介面輸入的交易資訊及自設定的傳輸代碼;根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼(One Time Password,OTP);將一次性密碼傳輸到使用者的第二使用者介面,並顯示;接收使用者回傳的一次性密碼;通過判斷回傳的一次性密碼是否正確確定是否進行交易授權。其生成的OTP具有銀行等驗證端自身設定亂數的同時包含用戶自身設定的非交易資訊的傳輸代碼,避免網路及銀行內部對帳戶資料的盜取及對交易資訊的篡改。且發送OTP可通過異於網際網路通訊鏈路進行,保證了網路交易時使用者帳戶的安全性。

Description

一次性密碼生成的方法、裝置及認證方法、認證系統
本發明係關於一種網路資訊安全技術,尤其涉及一種一次性密碼認證方法及認證系統。
隨著網路應用的發展及逐步普及,網路購物和網路交易已經成為日常生活中不可缺少的部分。使用者可以通過電腦或者其他智慧聯網設備通過購物網站或者網路銀行進行購物付款或者轉帳等交易。進行交易的時候,使用者需要輸入一些個人資料,如銀行帳戶、使用者密碼等,同時再輸入交易資訊,個人資訊及交易資訊經銀行等部門確認後即可完成交易。如此,通過網路操作,免去了用戶必須親自去去櫃檯辦理的麻煩,給用戶打帶來了極大的便利。但是通過網路的資金流通也帶來了極大的用戶帳戶安全隱患。一旦有人使用網路攔截了使用者的帳戶及密碼等資訊,有可能造成使用者的資金損失。
因此,如何在為用戶提供使用便利的同時,保障用戶帳戶資金的安全是一個亟待解決的問題。
基於此,有必要針對使用者帳戶資料資訊由網路洩漏後容易造成資金損失的問題,提供一種對交易進行授權認證的一次性密碼認證方法及認證系統。
為實現本發明目的提供的一種一次性密碼認證方法,包括以下步驟:
接收使用者通過第一使用者介面輸入的交易資訊及自設定的傳輸代碼;
根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼;
將一次性密碼傳輸到使用者的第二使用者介面,並顯示;
接收使用者回傳的一次性密碼;
通過判斷回傳的一次性密碼是否正確確定是否進行交易授權。
作為一種一次性密碼認證方法的可實施方式,使用者使用網際網路通過第一使用者介面傳輸資訊;
通過行動通信網路傳輸一次性密碼到使用者的第二使用者介面。
作為一種一次性密碼認證方法的可實施方式,通過短信、傳真或語音的非網際網路傳輸一次性密碼到第二使用者介面。
作為一種一次性密碼認證方法的可實施方式,傳輸代碼為數位、文字或數位與文字的組合。
作為一種一次性密碼認證方法的可實施方式,使用者通過第一使用者介面回傳一次性密碼。
作為一種一次性密碼認證方法的可實施方式,在步驟接收使用者回傳的一次性密碼之前,還包括傳輸交易資訊及傳輸代碼到第三使用者介面的步驟;
使用者通過另一第三使用者介面回傳一次性密碼。
作為一種一次性密碼認證方法的可實施方式,一次性密碼在預設時間內有效。
作為一種一次性密碼認證方法的可實施方式,通過短信傳輸一次性密碼到第二使用者介面。
作為一種一次性密碼認證方法的可實施方式,將一次性密碼傳輸到使用者的第二使用者介面的同時,也將傳輸代碼傳輸到第二使用者介面,並在第二使用者介面顯示。
作為一種一次性密碼認證方法的可實施方式,根據交易資訊、傳輸代碼及系統資料,通過邏輯運算生成與傳輸資訊對應的一次性密碼。
作為一種一次性密碼認證方法的可實施方式,邏輯運算所依據的交易資訊包括交易種類、交易帳戶、交易金額及交易時間中的一種或者兩種以上的組合。
基於相同發明構思的一種一次性密碼認證系統,包括依次網路連接的第一使用者介面、網路伺服器、認證伺服器及第二使用者介面;
還包括與認證伺服器通訊連接的硬體安全模組;
認證伺服器中包括資訊接收模組,用於通過網路伺服器接收使用者通過第一使用者介面輸入的交易資訊及自設定的傳輸代碼;
認證伺服器或硬體安全模組包括密碼生成模組,用於根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼;
認證伺服器中還包括資訊發送模組,用於將一次性密碼傳輸到使用者的第二使用者介面,並在第二使用者介面上進行顯示;
硬體安全模組中還包括驗證模組,用於判斷回傳的一次性密碼是否正確,並將結果傳輸給認證伺服器,由認證伺服器根據結果確定是否進行交易授權。
作為一種一次性密碼認證系統的可實施方式,使用者通過第一使用者介面回傳一次性密碼到認證伺服器。
作為一種一次性密碼認證系統的可實施方式,還包括一第三使用者介面,使用者通過第三使用者介面回傳一次性密碼到認證伺服器。
作為一種一次性密碼認證系統的可實施方式,認證伺服器與行動通訊傳輸伺服器連接,通過行動通訊傳輸伺服器傳輸包含一次性密碼的短信到第二使用者介面。
還提供一種一次性密碼生成的方法,包括以下步驟:
接收使用者的交易授權請求;
解析使用者發送的交易授權請求,得到使用者輸入的交易資訊及傳輸代碼;
根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼。
作為一種一次性密碼生成的方法的可實施方式,解析使用者發送的交易授權請求,得到使用者輸入的交易資訊及傳輸代碼之前,還包括以下步驟:
判斷所接收到的交易授權請求中是否包含傳輸代碼;
若是,則進行下一步操作,解析交易授權請求;
若否,則返回請求授權失敗資訊。
作為一種一次性密碼生成的方法的可實施方式,返回請求授權失敗資訊的步驟包括以下步驟:
保存交易資訊;
發送輸入傳輸代碼請求到用戶的用戶端,並等待接收用戶端的返回資訊。
還提供一種一次性密碼生成的裝置,包括資訊接收模組,解析模組和密碼生成模組,其中:
資訊接收模組,用於接收使用者的交易授權請求;
解析模組,用於解析使用者發送的交易授權請求,得到使用者輸入的交易資訊及傳輸代碼;
密碼生成模組,用於根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼。
作為一種一次性密碼生成的裝置可實施方式,還包括傳輸代碼判斷模組和失敗資訊返回模組,其中:
判斷模組,用於判斷所接收到的交易授權請求中是否包含傳輸代碼;
若是,則轉執行解析模組,解析交易授權請求;
若否,則轉執行失敗資訊返回模組,返回請求授權失敗資訊。
本發明的有益效果包括:
本發明提供的一種一次性密碼生成的方法、裝置及認證方法、認證系統,其中生成方法使用交易資訊結合使用者個人自設定的傳輸代碼作為一次性密碼生成的資訊來源,使生成的OTP具有銀行等驗證端自身設定亂數的同時包含用戶自身設定的非交易資訊的傳輸代碼,避免網路及銀行內部對帳戶資料的盜取及對交易資訊的篡改。保證使用者帳戶在網路端及驗證端內部的安全。且在認證方法及認證系統中,根據使用者輸入的交易資訊及其自設定的傳輸代碼生成一次性密碼(OTP),並將OTP發送到使用者的另一顯示介面進行顯示,由使用者手動輸入OTP進行交易驗證。且發送OTP可通過異於網際網路通訊鏈路進行,保證了網路交易時使用者帳戶的安全性。使非法分子不能通過網路通路直接獲得使用者交易的所有資訊,從而不能進行未經使用者授權的交易。
為了使本發明的目的、技術方案及優點更加清楚明白,以下結合附圖對本發明的一次性密碼認證方法及認證系統的具體實施方式進行說明。應當理解的是:此處所描述的具體實施例僅僅用以解釋本發明,並不用於限定本發明。
本發明一實施例的一次性密碼(One Time Password,OTP)認證方法,如圖1所示,包括以下步驟:
S100,接收使用者通過第一使用者介面輸入的交易資訊及自設定的傳輸代碼。當使用者通過電腦等通過網際網路通訊的設備作為第一使用者介面輸入交易資訊時,提供授權驗證的驗證端接收使用者輸入的交易資訊。交易資訊包括但不限於交易種類、交易帳戶、交易金額、交易時間等資訊。如在使用者在開始進行註冊時,交易資訊可以為使用者輸入的一些個人驗證資訊。
其中,用戶輸入的自設定的傳輸代碼由使用者在輸入交易資訊前,或者交易資訊後,作為一個單獨輸入資訊由使用者輸入。此傳輸代碼由數字、字母或者兩者的結合構成,如可以為123xyz。傳輸代碼的長度可根據需求設定,可設定為6個字元,也可設定為其他數量的字元。同時,也可不對字元的長度進行設定,由使用者根據自己的喜好隨機輸入。但是,需要說明的是,此傳輸代碼不能為空。其作為後續認證的一個參照參數。
S200,根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼。進行交易授權驗證的驗證端在接收到使用者輸入的資訊後,利用交易資訊中的交易種類、交易帳戶、交易金額、交易時間等中的一種或者兩種以上的組合,以及使用者自設定的傳輸代碼生成對應輸入的交易資訊的唯一專屬的OTP。
此處需要說明的是,本發明實施例中生成的OTP結合的使用者帳戶資訊、交易資訊的同時,還包含了結合用戶自設定的傳輸代碼的成分。由於用戶自設定的傳輸代碼由用戶自身隨機設定,增強了生成的OTP的隨機性,提高安全係數。且自設定的傳輸代碼便於用戶識別的同時,無需驗證端產生及傳回,減少驗證端與使用者之間的資訊傳輸量。
S300,將一次性密碼傳輸到使用者的第二使用者介面,並顯示。其中,驗證端通過網際網路與第一使用者介面傳輸資訊,通過不同於網際網路的傳輸通路傳輸生成的OTP到第二使用者介面。如可通過短信、傳真或語音傳輸一次性密碼到第二使用者介面。
作為一種可實施方式,第二使用者介面可以為手機。驗證端可通過短信的方式傳輸生成的驗證碼到智慧終端機。此處需要說明的是,驗證端通過連接行動網路營運商(如移動、聯通或電信)的伺服器將OTP發送到營運商的伺服器,再由營運商通過專屬網路發送資訊到使用者指定的手機。手機的號碼由用戶提前提供給驗證端,並由驗證端存儲到資料庫中作為系統資訊。用戶可採用攜帶有效身份證件到櫃檯辦理的方式存儲手機號碼到驗證端,也可在驗證端接受的前提下使用網路預設的方式在註冊時設置手機號碼用於接收OTP。
較佳的,在通過短信的傳輸OTP的同時也發送傳輸代碼及一些交易資訊到第二使用者介面。使用者根據傳輸代碼相應的輸入OTP,避免多個交易時OTP的誤用。交易資訊的發送使使用者可以再次核對交易資訊,減少錯誤概率。
較佳地,傳輸到使用者第二介面的OTP也可具有一定的時效,超過一定的時效後,則當前的OTP失效,若需繼續進行交易,需重新申請新的OTP。
S400,接收使用者通過第一使用者介面回傳的一次性密碼。用戶接收到驗證端的OTP後,可通過輸入交易資訊用的第一使用者介面輸入OTP後並傳輸到驗證端申請授權。
S500,通過判斷回傳的一次性密碼是否正確確定是否進行交易授權。驗證端通過判斷回傳的OTP及傳輸代碼是否匹配、吻合,確定交易是否可繼續進行。此處需要說明的是,生成OTP時,對應的交易已經唯一確定,使用者傳回OTP時,驗證端可根據傳輸代碼查找已存儲的交易資訊,並判斷OTP與前面存儲的傳輸代碼對應的OTP是否一致,若是,則授權可繼續交易;若否,則返回交易失敗資訊。交易失敗資訊包括OTP錯誤、OTP超時、交易超時等。
在其中一個實施例中,如圖2所示,包括以下步驟:
S101,接收使用者通過第一使用者介面輸入的交易資訊及自設定的傳輸代碼。此步驟與前述的步驟S100基本相同,使用者通過一第一使用者介面輸入要進行交易的交易資訊,如轉帳到某一帳號,則輸入的交易資訊可包括到賬的帳號,轉出的帳號,轉帳金額等資訊。並在單獨的輸入框中輸入自設定的傳輸代碼,也即自己設定的本次交易的交易代碼,此可作為交易的關鍵字。使用者在第一使用者介面輸入交易資訊及傳輸代碼之後,可點擊第一使用者介面上的“獲取”一次性密碼的按鈕連接與驗證端的通訊,向驗證端獲取一次性密碼。
S102,備份交易資訊、交易資訊對應的帳戶及自設定的傳輸代碼。驗證端設置有存儲使用者資料的資料庫及資料存數單元,驗證端接收到使用者發送的交易資訊後,將資訊進行存儲,以便後續驗證即生成一次性密碼使用。
較佳的,在步驟S102之前還包括驗證端判斷由用戶端,也即第一使用者介面接收的傳輸代碼是否為空的步驟,若傳輸代碼為空,則返回認證失敗資訊到第一使用者介面,提醒使用者輸入傳輸代碼。從而保證本發明實施例的一次性密碼認證方法使用使用者自設定的傳輸代碼生成一次性密碼。
S103,根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼。
S104,將一次性密碼傳輸到使用者的第二使用者介面,並顯示。
S105,檢測到使用者使用第三使用者介面登錄帳戶時,複製並傳輸交易資訊及傳輸代碼發送到第三使用者介面。
S106,接收使用者使用第三使用者介面回傳的一次性密碼。使用者可以通過第一使用者介面回傳一次性密碼,也可採用另一第三使用者介面使用相同的帳戶或者帳號輸入OTP進行驗證,如使用電腦作為第一使用者介面,使用智慧終端機作為第三使用者介面。但是使用第三使用者介面時,需要在步驟S104中由驗證端根據帳號資訊同步交易操作到的第三使用者介面,使使用者可在第三使用者介面繼續使用者在第一使用者介面未完成的交易,如此,操作靈活,更能滿足用戶的需求。
S107,通過判斷回傳的一次性密碼是否正確確定是否進行交易授權。若正確,則可繼續進行交易操作,否則,則返回OTP驗證失敗資訊到第三使用者介面。提醒用戶重新獲取OTP進行操作。
在其中一個一次性密碼認證方法的實施例中,步驟S200,根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼,是根據交易資訊、傳輸代碼及系統資料,通過邏輯運算生成與傳輸資訊對應的一次性密碼。其中,系統資料是指驗證端自身用於生成一次性密碼的一些資料,如驗證端利用系統亂數功能經運算產生的用於生成一次性密碼的變數。且變數可根據需求依批次自動調整。
基於同一發明構思,本發明還提供一種一次性密碼認證系統,由於此系統解決問題的原理與前述一種一次性密碼認證方法相似,因此,該系統的實施可以按照前述方法的具體步驟實現,重複之處不再贅述。
在其中一個一次性密碼認證系統的實施例中,如圖3所示,包括依次網路連接的第一使用者介面100、網路服務器200、認證伺服器300及第二使用者介面400,還包括與認證伺服器300通訊連接的硬體安全模組500。
其中,認證伺服器300中包括資訊接收模組310、密碼生成模組320和資訊發送模組330。資訊接收模組310,用於通過網路服務器接收使用者通過第一使用者介面輸入的交易資訊及自設定的傳輸代碼;密碼生成模組320,用於根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼;資訊發送模組330,用於將一次性密碼傳輸到使用者的第二使用者介面,並在第二使用者介面上進行顯示。
硬體安全模組500中包括驗證模組510,用於判斷回傳的一次性密碼是否正確,並將結果傳輸給認證伺服器,由認證伺服器根據結果確定是否進行交易授權。需要說明的是,硬體安全模組500中設置有與認證伺服器進行資訊傳遞的資訊傳遞單元,用於傳輸OTP確認資訊及自身生成或者認證伺服器生成的OTP。與此相對應,在認證伺服器中也設置有與硬體安全模組500中的資訊傳遞單元相對應的硬體安全模組連接單元,用於與硬體安全模組500進行資訊通訊。
本發明實施例的一次性密碼認證系統,根據使用者輸入的交易資訊及其自設定的傳輸代碼生成一次性密碼(OTP),並將OTP發送到使用者的另一顯示介面進行顯示,由使用者手動輸入OTP進行交易驗證。且發送OTP可通過異於網際網路通訊鏈路進行,保證了網路交易時使用者帳戶的安全性。使非法分子不能通過網路通路直接獲得使用者交易的所有資訊,從而不能進行未經使用者授權的交易。
在另一一次性密碼認證系統的實施例中,如圖4所示,包括依次網路連接的第一使用者介面100、網路服務器200、認證伺服器300及第二使用者介面400,還包括與認證伺服器300通訊連接的硬體安全模組500。
其中,認證伺服器300中包括資訊接收模組310和資訊發送模組330。資訊接收模組310,用於通過網路服務器接收使用者通過第一使用者介面輸入的交易資訊及自設定的傳輸代碼;資訊發送模組330,用於將一次性密碼傳輸到使用者的第二使用者介面,並在第二使用者介面上進行顯示。
硬體安全模組500中包括密碼生成模組520和驗證模組510。密碼生成模組520,用於根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼;驗證模組510,用於判斷回傳的一次性密碼是否正確,並將結果傳輸給認證伺服器,由認證伺服器根據結果確定是否進行交易授權。
本發明實施例中使用硬體安全模組500中的密碼生成模組520生成一次性密碼,此密碼生成模組520與前述的密碼生成模組320可採用相同的密碼生成邏輯運算也可採用不同的密碼生成邏輯運算。由硬體安全模組500生成OTP可進一步提高OTP的保密性。防止網路盜取的同時也對銀行等驗證端內部OTP洩漏起到限制作用。
在其中一個實施例中,使用者通過第一使用者介面100回傳一次性密碼到認證伺服器300。
在其中一個實施例中,如圖5所示,還包括一第三使用者介面600,使用者通過第三使用者介面600回傳一次性密碼到認證伺服器300。
作為一種傳輸OTP的方式,認證伺服器300與行動通訊傳輸伺服器連接,通過行動通訊傳輸伺服器傳輸包含一次性密碼的短信到第二使用者介面400。如圖6所示,使用者通過第一使用者介面100發送交易及傳輸資訊之後,交易資訊通過網路服務器200傳輸到認證伺服器300,認證伺服器300生成OTP,或將交易資訊和傳輸代碼傳輸到硬體安全模組500,由硬體安全模組生成OTP,硬體安全模組(HSM)500生成OTP後再將OTP傳輸回認證伺服器300,認證伺服器300連接行動通訊伺服器(未示出),最終將OTP通過行動網路發送終端700發送到第二使用者介面400,再有使用者手動輸入OTP完成認證。此為使用本一次性密碼認證系統進行認證的完整過程。通過利用硬體安全模組(HSM)生成OTP,其生成後直接封裝後由認證伺服器傳遞給用戶端用戶,除用戶端用戶外,其他人無從得知OTP資訊,特別是防止協力廠商通過共用寬頻無線連結對資訊進行篡改和盜取,防止他們能夠獲得用戶端的帳戶與交易資訊,並提供較好的保證,盡可能確保除了生成OTP的受信賴的HSM外,沒有人可以知道交易驗證碼OTP資訊,包括網路和應用伺服器等中間層伺服器在內,並可防止會話重放攻擊,以及防止利用GPUs技術來進行密碼暴力破解。
下面詳細說明由HSM生成OTP的過程:
步驟A1,將OTP打包為R+S+P結構的資料包;
其中:R就是HSM每次加密都會產生的一個固定長度的亂數;S就是在訪問的時候用到的一個訪問元素;P就是通過具體配置而指定的OTP本身或者散列中的OTP。
需要說明的是,所提到的訪問元素為使用者進行交易訪問時所提交的交易資訊中某個或者某些參量及自設定的傳輸代碼等資訊的組合。所提到的散列演算法為SHA256,或者SM3。
步驟B1,使用對稱的KEY的加密方法把R+S+P結構的OTP進行加密。這種加密方法使用256位元 AES key演算法的,或者使用SM1或者SM4演算法。
步驟C1,把加密後的OTP保存到資料庫中。
當認證伺服器將生成的OTP發送給使用者的第二使用者介面時,首先對OTP進行解密,解密之後再由行動通信伺服器通過專線將OTP發送到使用者指定的手機號碼。
基於相同的發明構思,在驗證端,一般為銀行的服務端,提供一種一次性密碼生成的方法,如圖7所示,包括以下步驟,且以下步驟都是在驗證端的伺服器上進行的。
S201,接收使用者的交易授權請求。使用者在進行交易前,會通過電腦等終端輸入交易授權請求,也即進行輸入的交易資訊的認證。銀行等驗證端接收使用者發送的交易授權請求後,對交易進行授權認證,只有經過認證後的交易才能繼續進行,最終完成交易,實現轉帳付款等操作。沒有經過認證的任何可能使使用者帳戶資金產生變化的交易都不能進行。
S202,解析使用者發送的交易授權請求,得到使用者輸入的交易資訊及傳輸代碼。使用者發送的交易資訊會與使用者的帳號資訊、用戶端位址等一同作為一個資料包通過網路服務器發送到銀行等的驗證端。驗證端收到使用者的資料包後,需要對資料包進行解析,解析出生成OTP所需的資料資訊及交易帳戶、交易時間等。此處的傳輸代碼由使用者在進行交易時自訂輸入。其可以為數位、字母或者兩者的組合,且傳輸代碼的長度包括但不限於6個字元、4個字元或者8個字元。
更佳的,使用者在輸入交易資訊的同時也可輸入使用者的個人資料,如密碼、身份證號碼、預留資訊等作為輔助認證資訊。驗證端根據使用者輸入的個人資料資訊與驗證端資料庫中存儲的帳號資訊進行比對,對帳號資訊進行認證,如果帳號資訊認證失敗,則直接返回停止交易資訊,提醒使用者重新進行帳戶的認證。
此處需要說明的是,驗證端資料庫中的資訊為使用者持有效身份證件,如身份證,到銀行櫃檯辦理的預留帳號憑證資訊,或者通過其他銀行等認證端承認的途徑提供給驗證端的預留帳號憑證資訊。
S203,根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼。驗證端根據解析出的傳輸代碼及交易資訊採用邏輯運算計算得到一個一次性密碼,並在後續作為交易授權認證的一必須認證條件發送給用戶供輸入認證使用。
本發明實施例的一次性密碼生成的方法,使用交易資訊結合使用者個人自設定的傳輸代碼作為一次性密碼生成的資訊來源,使生成的OTP具有銀行等驗證端自身設定亂數的同時包含用戶自身設定的不定參數,可有效防止網路及銀行內部對交易資訊的篡改。保證使用者帳戶在網路端及驗證端內部的安全。
在其中一個一次性密碼生成的方法的實施例中,在步驟S202,解析使用者發送的交易授權請求,得到使用者輸入的交易資訊及傳輸代碼之前,還包括以下步驟:
S2021,判斷所接收到的交易授權請求中是否包含傳輸代碼,
若是,則執行步驟S202,解析交易授權請求;
若否,則執行步驟S2022,返回請求授權失敗資訊。
本步驟中首先對交易授權請求中是否包含傳輸代碼進行判斷,以便在使用傳輸代碼作為生成OTP的參數時,保證傳輸代碼不為空。
較佳地,步驟S2022,返回請求授權失敗資訊,具體可包含以下步驟:
首先保存從使用者端接收到的交易資訊;然後再發送輸入傳輸代碼請求到用戶的用戶端,並等待接收用戶端的返回資訊。採用此步驟可在一定時間內給用戶重新輸入傳輸代碼的機會。並在接收到用戶再次輸入的傳輸代碼後與前面保存的交易資訊進行合併作為完整的帳戶交易資料用於生成OTP。
與前述的一次性密碼生成的方法相對應,本發明還提供一種一次性密碼生成的裝置。其如圖8所示,包括資訊接收模組101,解析模組102和密碼生成模組103。其中:資訊接收模組101,用於接收使用者的交易授權請求;解析模組102,用於解析使用者發送的交易授權請求,得到使用者輸入的交易資訊及傳輸代碼;密碼生成模組103,用於根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼。
本發明的一次性密碼生成的裝置主要應用在銀行等交易驗證端,前述的資訊接收模組101、解析模組102和密碼生成模組103可集中在驗證端的一個伺服器中,如認證伺服器中,也可分別在不同的驗證端的硬體設備中。如資訊接收模組101和解析模組102可集中在一個硬體中,而密碼生成模組103可在另一硬體設備中。其生成的OTP中包含了用戶自設定的非交易資訊的傳輸代碼,使代碼生成的參數中包含了除銀行端的亂數以外,還包括用戶自設定的傳輸代碼亂數,避免網路及銀行內部對帳戶資料的盜取及對交易資訊的篡改。
如圖9所示,在其中一個實施例中,還包括傳輸代碼判斷模組104和失敗資訊返回模組105。其中:傳輸代碼判斷模組104,用於判斷所接收到的交易授權請求中是否包含傳輸代碼;若是,則轉執行解析模組102,解析交易授權請求;若否,則轉執行失敗資訊返回模組105,返回請求授權失敗資訊。
以上實施例僅表達了本發明的幾種實施方式,其描述較為具體和詳細,但並不能因此而理解為對本發明專利範圍的限制。應當指出的是,對於本領域的普通技術人員來說,在不脫離本發明構思的前提下,還可以做出若干變形和改進,這些都屬於本發明的保護範圍。因此,本發明專利的保護範圍應以所附權利要求為准。
100‧‧‧第一使用者介面
101‧‧‧資訊接收模組
102‧‧‧解析模組
103‧‧‧密碼生成模組
104‧‧‧傳輸代碼判斷模組
105‧‧‧失敗資訊返回模組
200‧‧‧網路伺服器
300‧‧‧認證伺服器
310‧‧‧資訊接收模組
320‧‧‧密碼生成模組
330‧‧‧資訊發送模組
400‧‧‧第二使用者介面
500‧‧‧硬體安全模組
510‧‧‧驗證模組
520‧‧‧密碼生成模組
600‧‧‧第三使用者介面
700‧‧‧行動網路發送終端
圖1為本發明一種一次性密碼認證方法的一具體實施例的流程圖;         圖2為本發明一種一次性密碼認證方法的另一具體實施例的流程圖;         圖3為本發明一種一次性密碼認證系統的一具體實施例的系統結構示意圖;         圖4為本發明一種一次性密碼認證系統的另一具體實施例的系統結構示意圖;         圖5為本發明一種一次性密碼認證系統的再一具體實施例的系統結構示意圖;         圖6為本發明一種一次性密碼認證系統的一具體實施例的硬體連接示意圖;         圖7為本發明一種一次性密碼生成的方法的一具體實施例的流程圖;         圖8為本發明一種一次性密碼生成的裝置的一具體實施例的結構示意圖;         圖9為本發明一種一次性密碼生成的裝置的另一具體實施例的結構示意圖。
100‧‧‧第一使用者介面
200‧‧‧網路伺服器
300‧‧‧認證伺服器
400‧‧‧第二使用者介面
500‧‧‧硬體安全模組
700‧‧‧行動網路發送終端

Claims (20)

  1. 一種一次性密碼認證方法,包括以下步驟: 接收使用者通過第一使用者介面輸入的交易資訊及自設定的傳輸代碼; 根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼; 將一次性密碼傳輸到使用者的第二使用者介面,並顯示; 接收使用者回傳的一次性密碼; 通過判斷回傳的一次性密碼是否正確確定是否進行交易授權。
  2. 如請求項1所述的一次性密碼認證方法,其中:使用者使用網際網路通過第一使用者介面傳輸資訊; 通過行動通信網路傳輸一次性密碼到使用者的第二使用者介面。
  3. 如請求項1所述的一次性密碼認證方法,其中:通過短信、傳真或語音的非網際網路傳輸一次性密碼到第二使用者介面。
  4. 如請求項1所述的一次性密碼認證方法,其中:傳輸代碼為數位、文字或數位與文字的組合。
  5. 如請求項1至4任一項所述的一次性密碼認證方法,其中:使用者通過第一使用者介面回傳一次性密碼。
  6. 如請求項1至4任一項所述的一次性密碼認證方法,其中:在步驟接收使用者回傳的一次性密碼之前,還包括傳輸交易資訊及傳輸代碼到第三使用者介面的步驟; 使用者通過另一第三使用者介面回傳一次性密碼。
  7. 如請求項1至4任一項所述的一次性密碼認證方法,其中:一次性密碼在預設時間內有效。
  8. 如請求項2所述的一次性密碼認證方法,其中:通過短信傳輸一次性密碼到第二使用者介面。
  9. 如請求項2所述的一次性密碼認證方法,其中:將一次性密碼傳輸到使用者的第二使用者介面的同時,也將傳輸代碼傳輸到第二使用者介面,並在第二使用者介面顯示。
  10. 如請求項1所述的一次性密碼認證方法,其中:根據交易資訊、傳輸代碼及系統資料,通過邏輯運算生成與傳輸資訊對應的一次性密碼。
  11. 如請求項10所述的一次性密碼認證方法,其中:邏輯運算所依據的交易資訊包括交易種類、交易帳戶、交易金額及交易時間中的一種或者兩種以上的組合。
  12. 一種一次性密碼認證系統,包括依次網路連接的第一使用者介面、網路伺服器、認證伺服器及第二使用者介面; 還包括與認證伺服器通訊連接的硬體安全模組(HSM); 認證伺服器中包括資訊接收模組,用於通過網路伺服器接收使用者通過第一使用者介面輸入的交易資訊及自設定的傳輸代碼; 認證伺服器或硬體安全模組包括密碼生成模組,用於根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼; 認證伺服器中還包括資訊發送模組,用於將一次性密碼傳輸到使用者的第二使用者介面,並在第二使用者介面上進行顯示; 硬體安全模組中還包括驗證模組,用於判斷回傳的一次性密碼是否正確,並將結果傳輸給認證伺服器,由認證伺服器根據結果確定是否進行交易授權。
  13. 如請求項12所述的一次性密碼認證系統,其中:使用者通過第一使用者介面回傳一次性密碼到認證伺服器。
  14. 如請求項12所述的一次性密碼認證系統,其中還包括一第三使用者介面,使用者通過第三使用者介面回傳一次性密碼到認證伺服器。
  15. 如請求項12至14任一項所述的一次性密碼認證系統,其中:認證伺服器與行動通訊傳輸伺服器連接,通過行動通訊傳輸伺服器傳輸包含一次性密碼的短信到第二使用者介面。
  16. 一種一次性密碼生成的方法,包括以下步驟: 接收使用者的交易授權請求; 解析使用者發送的交易授權請求,得到使用者輸入的交易資訊及傳輸代碼; 根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼。
  17. 如請求項16所述的一次性密碼生成的方法,其中:解析使用者發送的交易授權請求,得到使用者輸入的交易資訊及傳輸代碼之前,還包括以下步驟: 判斷所接收到的交易授權請求中是否包含傳輸代碼; 若是,則進行下一步操作,解析交易授權請求; 若否,則返回請求授權失敗資訊。
  18. 如請求項17所述的一次性密碼生成的方法,其中:返回請求授權失敗資訊的步驟包括以下步驟: 保存交易資訊; 發送輸入傳輸代碼請求到用戶的用戶端,並等待接收用戶端的返回資訊。
  19. 一種一次性密碼生成的裝置,包括資訊接收模組,解析模組和密碼生成模組,其中: 資訊接收模組,用於接收使用者的交易授權請求; 解析模組,用於解析使用者發送的交易授權請求,得到使用者輸入的交易資訊及傳輸代碼; 密碼生成模組,用於根據交易資訊及傳輸代碼生成與傳輸資訊對應的一次性密碼。
  20. 如請求項19所述的一次性密碼生成的裝置,還包括傳輸代碼判斷模組和失敗資訊返回模組,其中: 判斷模組,用於判斷所接收到的交易授權請求中是否包含傳輸代碼; 若是,則轉執行解析模組,解析交易授權請求; 若否,則轉執行失敗資訊返回模組,返回請求授權失敗資訊
TW103130943A 2014-06-24 2014-09-09 一次性密碼生成的方法、裝置及認證方法、認證系統 TW201601083A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410287503.1A CN104077690B (zh) 2014-06-24 2014-06-24 一次性密码生成的方法、装置及认证方法、认证系统

Publications (2)

Publication Number Publication Date
TW201601083A true TW201601083A (zh) 2016-01-01
TWI543092B TWI543092B (zh) 2016-07-21

Family

ID=51598935

Family Applications (1)

Application Number Title Priority Date Filing Date
TW103130943A TW201601083A (zh) 2014-06-24 2014-09-09 一次性密碼生成的方法、裝置及認證方法、認證系統

Country Status (2)

Country Link
CN (1) CN104077690B (zh)
TW (1) TW201601083A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI596556B (zh) * 2016-07-29 2017-08-21 臺灣集中保管結算所股份有限公司 使用通用一次性密碼以將一用戶與多個服務提供者進行認證之方法及系統
TWI675579B (zh) * 2017-09-30 2019-10-21 優仕達資訊股份有限公司 網路身份驗證系統與方法
TWI731924B (zh) * 2017-01-23 2021-07-01 香港商斑馬智行網絡(香港)有限公司 一種驗證資訊的處理方法及裝置

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6218184B2 (ja) * 2014-11-13 2017-10-25 日立オートモティブシステムズ株式会社 情報処理装置、メッセージ認証方法
CN106789079A (zh) * 2016-12-30 2017-05-31 余仁植 身份认证方法、一次性密码电子装置和系统
CN107911350B (zh) * 2017-02-27 2022-04-08 黄贤杰 一种电子设备双向匹配与认证系统
CN108683667B (zh) * 2018-05-16 2021-12-03 深圳市迅雷网络技术有限公司 账户保护方法、装置、系统和存储介质
US10542036B1 (en) * 2018-10-02 2020-01-21 Capital One Services, Llc Systems and methods for signaling an attack on contactless cards

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1922845B (zh) * 2004-02-23 2010-10-06 弗里塞恩公司 令牌验证系统和方法
CN101131759A (zh) * 2006-08-24 2008-02-27 中国信托商业银行股份有限公司 网路交易用一次性密码产生及应用方法及其执行该方法的系统
CN101651675B (zh) * 2009-08-27 2015-09-23 飞天诚信科技股份有限公司 通过认证码对客户端进行验证的方法和系统
CN101777158B (zh) * 2010-01-13 2012-05-23 飞天诚信科技股份有限公司 一种安全交易的方法和系统
CN102202300B (zh) * 2011-06-14 2016-01-20 上海众人网络安全技术有限公司 一种基于双通道的动态密码认证系统及方法
CN103139179A (zh) * 2011-12-01 2013-06-05 捷而思股份有限公司 多通道主动式网络身份验证系统及网络身份验证装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI596556B (zh) * 2016-07-29 2017-08-21 臺灣集中保管結算所股份有限公司 使用通用一次性密碼以將一用戶與多個服務提供者進行認證之方法及系統
TWI731924B (zh) * 2017-01-23 2021-07-01 香港商斑馬智行網絡(香港)有限公司 一種驗證資訊的處理方法及裝置
TWI675579B (zh) * 2017-09-30 2019-10-21 優仕達資訊股份有限公司 網路身份驗證系統與方法

Also Published As

Publication number Publication date
CN104077690A (zh) 2014-10-01
CN104077690B (zh) 2020-08-28
TWI543092B (zh) 2016-07-21

Similar Documents

Publication Publication Date Title
TW201601083A (zh) 一次性密碼生成的方法、裝置及認證方法、認證系統
CN101414909B (zh) 网络应用用户身份验证系统、方法和移动通信终端
US20180144114A1 (en) Securing Blockchain Transactions Against Cyberattacks
US8281375B2 (en) One time password authentication of websites
WO2015161699A1 (zh) 数据安全交互方法和系统
US7254705B2 (en) Service providing system in which services are provided from service provider apparatus to service user apparatus via network
CN101222333B (zh) 一种数据交易处理方法及设备
US8433914B1 (en) Multi-channel transaction signing
CN102148685B (zh) 一种由用户自定义多密码种子动态密码认证系统
US20110103586A1 (en) System, Method and Device To Authenticate Relationships By Electronic Means
US20080046988A1 (en) Authentication Method
WO2015161690A1 (zh) 数据安全交互方法和系统
WO2008004312A1 (fr) Dispositif d'aide au règlement net
WO2012142354A1 (en) Remote authentication and transaction signatures
US20120310840A1 (en) Authentication method, payment authorisation method and corresponding electronic equipments
CN101770619A (zh) 一种用于网上支付的多因子认证方法和认证系统
CN101216915B (zh) 安全移动支付方法
TWI591553B (zh) Systems and methods for mobile devices to trade financial documents
WO2007121631A1 (fr) Système et procédé de certification bancaire électronique sécurisée
US11949785B1 (en) Biometric authenticated biometric enrollment
WO2015055120A1 (zh) 用于安全性信息交互的装置
CN101478547A (zh) 对智能密码钥匙进行可信数字签名的装置及其工作方法
KR20120091618A (ko) 연쇄 해시에 의한 전자서명 시스템 및 방법
CN113852628A (zh) 一种去中心化的单点登录方法、装置及存储介质
TW201421393A (zh) 行動裝置互動式二維條碼交易資訊傳輸及驗證之系統及其方法