WO2014079366A1

WO2014079366A1 - 一种结合拍照和条形码识别技术的otp设备和方法

Info

Publication number: WO2014079366A1
Application number: PCT/CN2013/087533
Authority: WO
Inventors: 陈国�
Original assignee: 北京握奇智能科技有限公司
Priority date: 2012-11-22
Filing date: 2013-11-20
Publication date: 2014-05-30
Also published as: CN103020574A

Abstract

本发明涉及一种结合拍照和条形码识别技术的OTP设备和方法，属于网络信息安全认证技术领域。本发明所述OTP设备包括CPU处理模块，及与CPU处理模块连接的拍照模块、显示模块和按键模块，及向上述模块提供电源的电源管理模块；其中，所述的拍照模块用于对条形码图像进行拍摄，并将拍摄的条形码图像数据传送给CPU处理模块，所述的CPU处理模块用于对条形码图像数据进行解析，及将交易信息数据发送到显示模块进行显示，及对按键的响应进行相应处理，及通过内置算法和种子密钥计算生成应答码等。采用本发明所述的设备和方法，提高了OTP的通用性，既可以用在PC上，亦可以用在移动智能设备，如手机、上网本、平板电脑上。

Description

一种结合拍照和条形码识别技术的 OTP设备和方法

技术领域本发明属于网络信息安全认证技术领域，具体涉及一种结合拍照和条形码识别技术的 OTP设备和方法。背景技术随着网上银行的发展，作为网上银行客户端的安全设备， OTP作为一款多平台通用的产品，包括 PC、手机、平板电脑、电话银行、 ATM机等，使用越来越普及。

动态口令令牌（OTP , One t ime pas sword) 采用动态口令的认证方式就是在每次用户登录时除了输入常规的静态口令外，还要再输入一个每次都会变化的动态口令。这个动态口令的获得方式有很多种，如刮刮卡式、二维矩阵卡式和电子令牌式，其中电子令牌就是我们所说的动态口令令牌，如

Ver i S i gn的动态令牌 VIP服务。刮刮卡和二维矩阵卡都是以纸质卡形式提供，但它们都存在着与生俱来的缺陷，刮刮卡有严格的使用次数限制，一般只能使用 30次，而二维矩阵卡虽然可以无限次使用但很容易被复制，同动态口令相比刮刮卡和二维矩阵卡式都不具备时效性。现在很多国外银行和少数国内银行在网上银行应用中采用这种使用动态口令进行强身份认证的方式。

采用动态口令牌方式的优点：

(a) 无须安装软件，操作筒单。与客户电脑无关，不需要安装其他任何程序即可直接使用网上银行服务。

(b) —次一密，用过即失效。解决了客户密码被盗的问题。这应该是动态口令牌在安全性方面带来的最大好处。

OTP产品经过了时间型和事件型 OTP的过渡，发展为安全性更高的挑战应答型 OTP , 为了提高挑战应答型 OTP的安全性，抵御钓鱼、中间人攻击等非法攻击手段，目前市场上的挑战应答型 OTP产品要求用户通过 OTP的数字键盘输入帐号、金额、挑战码等信息参与应答码的计算，由于输入的信息较多，用户的使用体验非常差。

目前市场上的挑战应答型 OTP没有拍照模块，对于帐号、金额、挑战码等信息需要用户手动输入，由于信息量大，用户手动输入较为繁瑣，并且容易输入错误；而有些银行为了减少用户的输入量，只输入帐号金额的部分数据，如只输入帐号的后 4位，而这又带来安全问题，攻击者如果有和用户后 4位相同的帐号，仍然可以进行攻击。

挑战应答型 OTP是一种安全认证设备， OTP通过每次交易的认证密码不同来保证交易的安全性，也就是每次交易时，需要将交易信息和挑战码等信息输入到 OTP中， OTP通过内置算法和种子密钥计算生成应答码，应答码数据量较小，一般为 6个字节，用户通过手动将信息输入到网页后提交给服务器；服务器同样对交易信息和挑战码生成应答码，并且和 OTP生成的应答码比对，比对一致，允许进行交易。

条形码包括一维条形码（筒称一维码）和二维条形码（筒称二维码），其中：

如图 1所示，一维码是将宽度不等的多个黑条和空白，按照一定的编码规则排列，用以表达一组信息的图形标识符。常见的条形码是由反射率相差很大的黑条（筒称条）和白条（筒称空）排成的平行线图案。条形码可以标出物品的生产国、制造厂家、商品名称、生产日期、图书分类号、邮件起止地点、类别、日期等许多信息，因而在商品流通、图书管理、邮政管理、银行系统等许多领域都得到广泛的应用。

如图 2所示，二维码是用某种特定的几何图形按一定规律在平面（二维方向上）分布的黑白相间的图形记录数据符号信息的，在代码编制上巧妙地利用构成计算机内部逻辑基础的 " 0 " 、 " 1 " 比特流的概念，使用若干个与二进制相对应的几何形体来表示文字数值信息，通过图象输入设备或光电扫描设备自动识读以实现信息自动处理。它具有条码技术的一些共性：每种码制有其特定的字符集；每个字符占有一定的宽度；具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化等特点。为了提升用户的用户体验，本发明提出了一种将拍照技术和条形码识别技术应用在挑战应答 OTP产品上的方法，提高 OTP产品的使用便利性。发明内容针对现有技术中存在的缺陷，本发明的目的是提供一种结合拍照和条形码识别技术的 OTP设备和方法。该设备和方法能够在没有 USB接口的智能手机、上网本、平板电脑上使用。为达到以上目的，本发明采用的技术方案是：一种结合拍照和条形码识别技术的 OTP方法，包括以下步骤：

(1)用户在 WEB页面上输入交易信息，并提交给远程的网银服务器；

(2)远程的网银服务器根据用户输入的交易信息和网银服务器为本次交易生成的挑战码生成条形码并在用户终端的 WEB页面上显示；

( 3)用户通过 OTP设备上的拍照装置拍摄下 WEB页面上的条形码，然后由 OTP设备上的 CPU处理条形码图像，并提取其中的交易信息，并将其显示在 OTP设备上的显示屏上；

(4)用户确认交易信息的正确性，如果不正确，用户通过取消按键取消本次交易，否则，用户通过确认按键确认进行交易， OTP设备使用交易信息和挑战码，并通过内置算法和种子密钥计算生成应答码；

(5)用户将应答码输入到 WEB页面上，确认交易后提交给后台远程的网银服务器；

(6)远程的网银服务器验证应答码是否正确，如果不正确，交易失败，否则，交易成功，交易结束。进一步，所述的用户终端包括 PC、智能手机、上网本、平板电脑。所述的条形码包括一维条形码和二维条形码，优选二维条形码。

所述的交易信息包括付款帐号、金额、收款单位和帐号。一种结合拍照和条形码识别技术的 OTP设备，包括以下模块：

CPU处理模块，及与 CPU处理模块连接的拍照模块、显示模块和按键模块，及向上述模块提供电源的电源管理模块；

其中，所述的 CPU处理模块用于对条形码图像进行解析，及将交易信息数据发送到显示模块进行显示，及对按键的响应进行相应处理，及进行应答码运算；

拍照模块，用于对条形码图像进行拍摄，并将拍摄的条形码图像数据传送给 CPU处理模块进行处理；

显示模块，用于显示交易信息，并提示用户核对交易信息的正确性；按键模块，包括确认按键、取消按键和拍照按键，确认按键和取消按键用于对交易信息的确认和取消，拍照按键用于拍摄条形码时的按鈕，还可以设置翻页按键，用于对显示的信息进行翻页；

电源管理模块，用于 OTP上电池的供电管理、低电压检测、电池充电和电压转换等工作。进一步，所述的拍照模块采用的感光器件是摄像头或其它感光器件。所述的条形码优选二维条形码。本发明的效果在于：采用本发明所述的方法，提高了 OTP的通用性，既可以用在 PC上，亦可以用在移动智能设备，如手机、上网本、平板电脑上。附图说明图 1是一维条形码示意图；

图 2是二维条形码示意图；

图 3是本发明所述方法一种具体实施方式的流程图；

图 4是本发明所述 OTP设备一种实施方式的结构图。具体实施方式下面结合附图和具体实施方式对本发明作进一步描述。

一种结合拍照和条形码识别技术的 OTP方法，包括以下步骤：

(4)用户确认交易信息的正确性，如果不正确，用户通过取消按键取消本次交易，否则，用户通过确认按键确认进行交易， OTP设备使用交易信息和挑战码，并通过内置算法计算生成应答码；

(6)远程的网银服务器验证应答码是否正确，如果不正确，交易失败，否则，交易成功，交易结束。如图 3所示，当用户采用本发明所述的方法进行一次网银交易时，流程如下：

步骤 S1 , 用户在用户终端上输入付款帐号、金额、收款单位和帐号等交易信息并发送给后台远程的网银服务器；

步骤 S2 , 后台远程的网银服务器生成本次交易的挑战码，并和交易信息组合后生成二维码在用户终端的 WEB页面上显示；

步骤 S 3 , 用户按下 OTP上的拍照按键，拍摄下显示在用户终端 WEB页面上的二维码；

步骤 S4 , OTP上的 CPU处理拍摄得到的二维码图像，并提取其中的付款帐号、金额、收款单位和帐号等交易信息，并将其显示在 OTP的显示屏上；步骤 S5 , 用户确认付款帐号、金额、收款单位和帐号等交易信息的正确性；

步骤 S6 , 如果显示的交易信息不正确，则用户通过取消按键取消本次交易；

步骤 S7 , 如果显示的交易信息正确，则用户通过确认按键确认进行本次交易， OTP使用种子密钥和付款帐号、金额、收款单位和帐号、挑战码计算生成应答码；

步骤 S8 , 用户将应答码输入到 WEB页面上，确认交易后提交给后台远程的网银服务器；

步骤 S9 , 后台远程的网银服务器验证应答码的正确性；

步骤 S10 , 如果应答码不正确，则交易失败；

步骤 S11 , 如果应答码正确，则交易成功，交易结束。本实施例中，所述的条形码为二维条形码，二维条形码可以存取的信息量非常大，可容纳多达 1 850个大写字母或 27 1 0个数字或 1 1 08个字节，或 500多个汉字，完全可以将帐号、金额、挑战码等信息放在一个二维码中。

如图 4所示，一种结合拍照和条形码识别技术的 OTP设备，包括以下模块： CPU处理模块 1 , 及与 CPU处理模块连接的拍照模块 1、显示模块 3和按键模块 4 , 及向上述模块提供电源的电源管理模块 5；

CPU处理模块 1 , 用于对条形码图像进行解析，及将帐号、金额等交易信息数据发送到显示模块进行显示，及对按键的响应进行相应处理，及使用交易信息和挑战码，并通过内置算法和种子密钥计算生成应答码等；

拍照模块 2 , 用于对条形码图像进行拍摄，并将拍摄的条形码图像数据传送给 CPU处理模块进行处理；所述的拍照模块 2采用的感光器件可以是摄像头或其它感光器件，可以拍摄或提取一维条形码或二维码；

显示模块 3 , 用于显示交易信息，并提示用户核对交易信息的正确性；按键模块 4 , 包括确认按键、取消按键和拍照按键，确认按键和取消按键用于对交易信息的确认和取消，拍照按键用于拍摄条形码时的按鈕，还可以设置翻页按键，用于对显示的信息进行翻页；

电源管理模块 5 , 用于 OTP上电池的供电管理、低电压检测、电池充电和电压转换等工作。

本实施例中的拍照模块，亦可以采用其它的条形码识别模块，如光感二极管、激光扫描等光学处理模块。本实施例中，后台远程的网银服务器将用户终端输入的帐号、金额等交易信息组合生成一维条形码或二维码，由于输入的数据量较多，优选二维码。然后通过本发明所述的 OTP上面的摄像头等拍摄装置将二维码拍摄下来，通过 OTP中的 CPU处理模块 1将二维码中的帐号、金额等参与应答码计算的交易信息提取出来，并交易信息和挑战码，并通过内置算法和种子密钥计算生成应答码。

本发明结合了拍照和条形码识别技术，可以通过 OTP产品上的拍照模块将一个条形码拍摄下来，并通过提取算法，将其中的交易信息提取出来。不需要用户手动输入信息，提高了用户的使用体验。本发明所述的方法和系统并不限于具体实施方式中所述的实施例，本领域技术人员根据本发明的技术方案得出其他的实施方式，同样属于本发明的技术创新范围。本领域技术人员应该明白，上面的具体描述只是为了解释本发明的目的，并非用于限制本发明。本发明的保护范围由权利要求及其等同物限定。

Claims

权利要求

1. 一种结合拍照和条形码识别技术的 OTP方法，包括以下步骤：

(1)用户在 WEB页面上输入交易信息，并提交给远程的网银服务器； (2)远程的网银服务器根据用户输入的交易信息和网银服务器为本次交易生成的挑战码生成条形码并在用户终端的 WEB页面上显示；

(6)远程的网银服务器验证应答码是否正确，如果不正确，交易失败，否贝 |J , 交易成功，交易结束。

2. 如权利要求 1所述的一种结合拍照和条形码识别技术的 OTP方法，其特征是：所述的用户终端包括 PC、智能手机、上网本、平板电脑。

3. 如权利要求 1或 2所述的一种结合拍照和条形码识别技术的 OTP方法，其特征是：所述的条形码优选二维条形码。

4. 如权利要求 1或 2所述的一种结合拍照和条形码识别技术的 OTP方法，其特征是：所述的交易信息包括付款帐号、金额、收款单位和帐号。

5. —种结合拍照和条形码识别技术的 OTP设备，包括以下模块： CPU处理模块，及与 CPU处理模块连接的拍照模块、显示模块和按键模块，及向上述模块提供电源的电源管理模块；

其中，所述的 CPU处理模块用于对条形码图像进行解析，及将交易信息数据发送到显示模块进行显示，及对按键的响应进行相应处理，及使用交易信息和挑战码，并通过内置算法和种子密钥计算生成应答码等；

显示模块，用于显示交易信息，并提示用户核对交易信息的正确性；按键模块，用于对显示的交易信息的确认和取消，显示的信息翻页和拍照按鈕等；

电源管理模块，用于 OTP上电池的供电管理、低电压检测、电池充电和电压转换。

6. 如权利要求 5所述的一种结合拍照和条形码识别技术的 OTP设备，其特征在于：所述的拍照模块采用的感光器件是摄像头。

7. 如权利要求 5所述的一种结合拍照和条形码识别技术的 OTP设备，其特征在于：所述的条形码优选二维条形码。

8. 如权利要求 5、 6或 7所述的一种结合拍照和条形码识别技术的 OTP 设备，其特征在于：所述的按键模块包括确认按键、取消按键、翻页按键和拍照按键，分别用于对显示的交易信息确认和取消，及用于对显示的信息进行翻页，及用于拍摄条形码时的按鈕。