WO2016107333A1

WO2016107333A1 - 一种在线激活移动终端令牌的设备和系统的工作方法

Info

Publication number: WO2016107333A1
Application number: PCT/CN2015/095278
Authority: WO
Inventors: 陆舟; 于华章
Original assignee: 飞天诚信科技股份有限公司
Priority date: 2014-12-29
Filing date: 2015-11-23
Publication date: 2016-07-07
Also published as: US10187381B2; CN104539701A; CN104539701B; US20180332472A1

Abstract

一种在线激活移动终端令牌的设备和系统的工作方法，属于信息安全领域，应用于包括云认证管理平台、云认证服务器、终端、移动终端令牌组成的系统中，所述方法包括：云认证服务器根据云认证管理平台发送的第一激活请求，生成第一激活响应并发送至云认证管理平台，云认证管理平台将第一激活响应发送至终端进行显示，当移动终端令牌获取到第一激活响应后，访问云认证服务器，并建立网络数据链路，移动终端令牌与云认证服务器通过该网络数据链路发送数据进行激活。本发明能够实现在移动终端令牌激活过程中，通过移动终端令牌与云认证服务器之间的安全交互，实现移动终端令牌的激活，提升激活过程的安全性。

Description

一种在线激活移动终端令牌的设备和系统的工作方法

技术领域

本发明涉及一种在线激活移动终端令牌的设备和系统的工作方法，属于信息安全技术领域，尤其应用于包括云认证管理平台、云认证服务器、终端、移动终端令牌组成的系统中。

背景技术

移动终端令牌，全称动态密码移动终端令牌，是用来生成动态口令的移动终端软件，移动终端令牌是由运行在移动终端上的程序产生动态口令，动态口令与移动终端绑定进行身份认证，口令的生成过程不产生通信及费用，具有使用简单、安全性高、低成本、无需携带额外设备、容易获取、无物流等优势，移动终端令牌是3G时代动态密码身份认证的发展趋势。

OTP云认证中心是基于SaaS模式的身份认证平台，部署在互联网上，为个人、家庭和企业提供可靠的身份认证基础设施，OTP云认证中心为网站提供独立的基于云的OTP服务，通过简单集成，使用免费的移动终端令牌，即可极大的增强网站登录的安全性。

二维码，又称二维条码，它是用特定的几何图形按照一定规律在平米上分布的黑白相间的图形，是所有信息数据的一把钥匙，应用相当广泛。

现有技术中，移动终端令牌在激活过程中，当扫描二维码时，会从二维码中直接获取到敏感信息，安全性低。

发明内容

本发明的目的提供了一种在线激活移动终端令牌的设备和系统的工作方法，其能够实现在移动终端令牌激活过程中，通过移动终端令牌与云认证服务器之间的安全交互，实现移动终端令牌的激活，提升激活过程的安全性。

为此，根据本发明的一个方面，提供了一种在线激活移动终端令牌的系统工作方法，所述方法包括：

步骤S1：所述云认证服务器接收来自所述云认证管理平台的第一激活请求，根据所述第一激活请求生成第一激活响应，并将其返回至所述云认证管理平台；

步骤S2：所述云认证管理平台将所述第一激活响应发送至所述终端；

步骤S3：当所述移动终端令牌从所述终端中获取到所述第一激活响应后，根据所述第一激活响应访问所述云认证服务器，并根据所述第一激活响应生成第二激活请求，将所述第二激活请求发送至所述云认证服务器；

步骤S4：所述云认证服务器接收到所述第二激活请求后，生成令牌序列号和种子生成因子，根据所述种子生成因子生成服务器种子密钥，保存所述令牌序列号与所述服务器种子密钥；

步骤S5：所述云认证服务器根据所述令牌序列号和所述种子生成因子生成第二激活响应，并将所述第二激活响应返回给所述移动终端令牌；

步骤S6：所述移动终端令牌从所述第二激活响应中获取所述种子生成因子和所述令牌序列号，根据所述种子生成因子生成令牌种子密钥，保存所述令牌序列号和所述令牌种子密钥；

步骤S7：所述移动终端令牌对所述令牌种子密钥和内置的动态因子进行计算，生成动态口令，根据所述动态口令生成第三激活请求，并将所述第三激活请求发送至所述云认证服务器；

步骤S8：所述云认证服务器从接收到的所述第三激活请求中获取动态口令，并获取保存的服务器种子密钥，对所述服务器种子密钥和内置的动态因子进行计算，生成动态口令，判断生成的动态口令与获取到的动态口令是否匹配，如果是，则执行步骤S10，否则向所述移动终端令牌返回激活失败的第三激活响应，结束；以及

步骤S9：所述云认证服务器生成激活成功的第三激活响应，并将所述第三激活响应返回至所述移动终端令牌，激活成功。

优选地，所述云认证管理平台与所述云认证服务器设置在同一设备中，或设置在不同的设备中。

优选地，所述步骤S1中，所述根据所述第一激活请求生成第一激活响应，具体包括：所述云认证服务器调用随机数生成函数，生成第一随机数，将所述第一随机数作为激活请求ID并保存，根据所述激活请求ID生成第一激活响应；

所述步骤S3中，所述根据所述第一激活响应生成第二激活请求，具体包括：所述移动终端令牌从所述第一激活响应中获取所述激活请求ID并保存，根据所述激活请求ID生成第二激活请求；

所述步骤S4中，所述接收到所述第二激活请求后还包括：所述云认证服务器从所述第二激活请求中获取所述激活请求ID，判断所述激活请求ID与保存的激活请求ID是否相同，如果是，则继续后续操作，否则报错，结束；

所述步骤S5中，所述根据所述令牌序列号和所述种子生成因子生成第二激活响应，具体包括：所述云认证服务器根据所述令牌序列号、所述种子生成因子和所述激活请求ID生成第二激活响应；

所述步骤S5与步骤S6之间还包括：所述移动终端令牌从第二激活响应中获取激活请求ID，判断激活请求ID与保存的激活请求ID是否相同，如果是，则执行步骤S6，否则报错，结束。

优选地，所述步骤S1中，所述根据所述第一激活请求生成第一激活响应，具体包括：

步骤a1：所述云认证服务器从所述第一激活请求中获取所述用户名；

步骤a2：所述云认证服务器根据所述用户名获取对应的企业标识，根据预设前缀标识、预设域名、所述企业标识和所述激活请求ID生成所述第一激活响应；

所述步骤S3中，所述根据所述第一激活响应访问云认证服务器，具体包括：所述移动终端令牌从所述第一激活响应中获取所述预设域名和所述企业标识，并获取终端端口号，根据所述预设域名、所述企业标识和所述终端端口号得到激活URL，通过所述激活URL访问所述云认证服务器，与所述云认证服务器建立网络数据链路。

优选地，所述步骤S1中，所述生成第一随机数之后还包括：所述云认证服务器获取并记录服务器系统时间；

所述步骤S4还包括：所述云认证服务器获取当前服务器系统时间，判断当前服务器系统时间与记录的所述服务器系统时间的差值是否在预设范围内，如果是，则继续后续操作，否则删除保存的所述激活请求ID。

优选地，所述步骤S3中，所述根据所述第一激活响应生成第二激活请求，具体包括：所述移动终端令牌获取保存的令牌标识码和令牌版本号，并调用获取系统类型函数，获取移动终端系统类型，根据所述令牌标识码、所述令牌版本号和所述移动终端系统类型生成第二激活请求；

所述步骤S4接收到所述第二激活请求后，还包括：所述云认证服务器从所述第二激活请求中获取所述令牌标识码、所述令牌版本号和所述移动终端系统类型，并获取保存的令牌标识码、令牌版本号和移动终端系统类型，判断是否匹配，如果是，则继续后续操作，否则报错，结束。

优选地，所述步骤S5中，所述根据所述令牌序列号和所述种子生成因子生成第二激活响应，具体包括：所述云认证服务器根据所述令牌标识码对所述种子生成因子进行加密，得到加密种子生成因子，根据所述令牌标识码和所述加密种子生成因子生成第二激活响应；

所述步骤S6中，所述从所述第二激活响应中获取所述种子生成因子和所述令牌序列号，具体包括：所述云认证服务器从所述第二激活响应中获取令牌序列号和加密种子生成因子，根据所述令牌标识码对所述加密种子生成因子进行解密，得到种子生成因子。

优选地，所述步骤S1之前还包括：

步骤b1：所述云认证管理平台等待接收管理员选择的需要激活的用户记录；

步骤b2：所述云认证管理平台根据所述用户记录中的用户名，生成所述第一激活请求；

步骤b3：所述云认证管理平台将所述第一激活请求发送给所述云认证服务器。

优选地，所述步骤b1之前还包括：

步骤c0：所述云认证管理平台将验证密码失败次数置为初值；

步骤c1：所述云认证管理平台等待接收管理员输入管理员账号和密码；

步骤c2：所述云认证管理平台判断接收到的管理员输入的管理员账号和密码是否正确，如果是，则执行步骤c1，否则执行步骤c3；

步骤c3：所述云认证管理平台更新验证密码失败次数，判断更新后的验证密码失败次数是否达到预设次数，如果是，则报错，锁定所述云认证管理平台，否则返回步骤c1。

优选地，所述步骤b2之前还包括：所述云认证管理平台接收管理员点击的激活按钮，获取上次激活时间和当前系统时间，判断两者之差是否大于预设时长，如果是，则允许再次激活，执行步骤b2，否则返回已激活响应，结束；

所述步骤b2具体为：所述云认证管理平台根据所述用户记录中的用户名和重新激活标识，生成第一激活请求；

所述步骤S1还包括：所述云认证服务器记录所述重新激活标识；

所述步骤S4具体包括：所述云认证服务器判断是否记录有重新激活标识，如果是，则生成种子生成因子，否则生成令牌序列号和种子生成因子。

优选地，所述步骤S9还包括：获取当前系统时间，将当前系统时间作为上次激活时间保存。

优选地，所述步骤S2具体包括：

步骤S2-1：所述云认证管理平台接收到所述第一激活响应后，根据所述第一激活响应生成二维码图片；

步骤S2-2：所述云认证管理平台获取对应的邮箱账号，根据所述邮箱账号将所述二维码图片通过邮件方式发送至移动终端；

步骤S2-3：所述终端显示接收到的所述二维码图片；

所述步骤S3中，所述移动终端令牌获取到所述第一激活响应，具体为：所述移动终端接收对所述二维码图片的扫描，解析所述二维码图片，得到所述第一激活响应。

优选地，所述步骤S2具体包括：所述云认证管理平台获取终端号码，根据所述终端号码将所述第一激活响应通过短信方式发送至所述终端号码对应的终端；

所述步骤S3中，所述移动终端令牌获取到所述第一激活响应，具体为：所述移动终端令牌开启接收数据机制，接收所述第一激活响应。

优选地，所述步骤S4具体包括：

步骤d1：所述云认证服务器调用随机数生成函数，生成第二随机数，作为种子生成因子，并根据令牌序列号生成算法，产生一个令牌序列号并保存；

步骤d2：所述云认证服务器应用预设推导算法，对所述种子生成因子进行推导，得到服务器种子密钥；

步骤d3：所述云认证服务器获取企业密钥，应用所述企业密钥对所述服务器种子密钥进行加密，得到加密服务器种子密钥并保存。

优选地，所述步骤S8中，所述获取保存的服务器种子密钥，对所述服务器种子密钥进行计算，生成动态口令，具体为：

步骤e1：所述云认证服务器获取对应的所述企业密钥和所述加密服务器种子密钥；

步骤e2：所述云认证服务器根据所述企业密钥，应用预设解密算法对所述加密服务器种子密钥进行解密，得到服务器种子密钥；

步骤e3：所述云认证服务器应用口令生成算法，对所述服务器种子密钥和内置的动态因子进行计算，生成动态口令。

优选地，所述获取对应的所述企业密钥，之前还包括：

步骤f1：密钥运维平台接收密钥持有者的管理员密钥；

步骤f2：所述密钥运维平台对所述管理员密钥进行预设运算，得到主密钥，将所述主密钥保存；

步骤f3：所述云认证服务器定时向所述密钥运维平台获取主密钥，判断获取到的主密钥与保存的主密钥是否相同，如果是，则执行步骤f4，否则用获取到的主密钥更新保存的主密钥，执行步骤f4；

步骤f4：所述云认证服务器获取对应的企业ID，对所述主密钥和所述企业ID进行散列运算，得到企业密钥，将所述企业密钥保存。

优选地，所述步骤S6具体包括：

步骤S6-1：所述移动终端令牌从所述第二激活响应中获取种子生成因子和所述令牌序列号；

步骤S6-2：所述移动终端令牌根据所述种子生成因子生成令牌种子密钥；

步骤S6-3：所述移动终端令牌应用所述令牌序列号对所述令牌种子密钥进行加密，得到加密令牌种子密钥，将所述加密令牌种子密钥和所述令牌序列号保存。

优选地，所述步骤S7中，所述对所述令牌种子密钥进行计算，生成动态口令，具体为：

步骤S7-1：所述移动终端令牌应用所述令牌序列号对所述加密令牌种子密钥进行解密，得到令牌种子密钥；

步骤S7-2：所述移动终端令牌应用口令生成算法，对所述令牌种子密钥和内置的动态因子进行计算，生成动态口令。

优选地，所述步骤S9之后还包括：所述移动终端令牌接收到所述第三激活响应后，判断所述第三激活响应，如果是激活成功响应，则激活成功，结束，如果是激活失败响应，则删除所述令牌种子密钥，激活失败，结束。

根据本发明的另外一个方面，提供了一种在线激活移动终端令牌的系统中云认证服务器的工作方法，包括：

步骤T1：所述云认证服务器接收来自云认证管理平台的第一激活请求，根据所述第一激活请求生成第一激活响应，并将所述第一激活响应传送至移动终端令牌；

步骤T2：所述云认证服务器接收所述移动终端令牌发送的第二激活请求，生成令牌序列号和种子生成因子，根据所述种子生成因子生成服务器种子密钥，保存所述令牌序列号与所述服务器种子密钥；

步骤T3：所述云认证服务器根据所述令牌序列号和所述种子生成因子生成第二激活响应，并通过所述网络数据链路返回给所述移动终端令牌；

步骤T4：所述云认证服务器接收移动终端令牌发送的第三激活请求，从所述第三激活请求中获取动态口令，并获取保存的服务器种子密钥，对所述服务器种子密钥进行计算，生成动态口令；

步骤T5：所述云认证服务器判断生成的动态口令与获取到的动态口令是否匹配，如果是，则执行步骤T6，否则向所述移动终端令牌返回激活失败的第三激活响应，结束；

步骤T6：所述云认证服务器生成激活成功的第三激活响应并通过所述网络数据链路返回至所述移动终端令牌，激活成功。

优选地，所述步骤T1中，所述根据所述第一激活请求生成第一激活响应，并将所述第一激活响应传送至移动终端令牌，具体包括：

步骤T1-1：所述云认证服务器从所述第一激活请求中获取用户名；

步骤T1-2：所述云认证服务器根据所述用户名获取对应的预设前缀标识、预设域名和企业标识；

步骤T1-3：所述云认证服务器根据所述用户名、所述预设前缀标识、所述预设域名和所述企业标识生成第一激活响应，并将所述第一激活响应通过云认证管理平台和终端传送至所述移动终端令牌。

优选地，所述步骤T2之前还包括：所述云认证服务器判断从所述第一激活请求中是否能够获取到重新激活标识，如果是，则记录所述重新激活标识，执行步骤T2，否则直接执行步骤T2；

所述步骤T2具体包括：所述云认证服务器接收所述移动终端令牌发送的第二激活请求，判断是否记录有所述重新激活标识，如果是，则生成种子生成因子，根据所述种子生成因子生成服务器种子密钥并保存，否则生成令牌序列号和种子生成因子，根据所述种子生成因子生成服务器种子密钥，保存所述令牌序列号与所述服务器种子密钥。

优选地，所述步骤T2具体为：

步骤T2-1：所述云认证服务器接收到移动终端令牌发送的第二激活请求，调用随机数生成函数，生成第二随机数，作为种子生成因子，并根据令牌序列号生成算法，产生一个令牌序列号并保存；

步骤T2-2：所述云认证服务器应用预设推导算法，对所述种子生成因子进行推导，得到服务器种子密钥；

步骤T2-3：所述云认证服务器获取企业密钥，应用所述企业密钥对所述服务器种子密钥进行加密，得到加密服务器种子密钥并保存。

优选地，所述步骤T4中，所述获取保存的服务器种子密钥，对所述服务器种子密钥进行计算，生成动态口令，具体为：

步骤T4-1：所述云认证服务器获取对应的所述企业密钥和所述加密服务器种子密钥；

步骤T4-2：所述云认证服务器根据所述企业密钥，应用预设解密算法对所述加密服务器种子密钥进行解密，得到服务器种子密钥；

步骤T4-3：所述云认证服务器应用口令生成算法，对所述服务器种子密钥和内置的动态因子进行计算，生成动态口令。

优选地，所述步骤T3中，所述根据所述令牌序列号和所述种子生成因子生成第二激活响应，具体为：所述云认证服务器获取保存的令牌标识码，根据所述令牌标识码对所述种子生成因子进行加密，得到加密种子生成因子，根据所述令牌标识码和所述加密种子生成因子生成第二激活响应。

根据本发明的另外一个方面，提供了一种在线激活移动终端令牌的系统中移动终端令牌的工作方法，包括：

步骤X1：所述移动终端令牌接收来自云认证服务器的第一激活响应，根据所述第一激活响应访问所述云认证服务器，与所述云认证服务器建立网络数据链路，并根据所述第一激活响应生成第二激活请求，通过所述网络数据链路发送至所述云认证服务器；

步骤X2：所述移动终端令牌接收云认证服务器发送的第二激活响应，从所述第二激活响应中获取种子生成因子和令牌序列号，根据所述种子生成因子生成令牌种子密钥，保存所述令牌序列号和所述令牌种子密钥；

步骤X3：所述移动终端令牌对所述令牌种子密钥进行计算，生成动态口令，根据所述动态口令生成第三激活请求，并通过所述网络数据链路发送至所述云认证服务器；

步骤X4：所述移动终端令牌接收所述云认证服务器返回的第三激活响应，判断所述第三激活响应，如果是失败响应，则删除所述令牌种子密钥，激活失败，结束，如果为成功响应，则激活成功，结束。

优选地，所述步骤X1中，所述根据所述第一激活响应访问所述云认证服务器，与所述云认证服务器建立网络数据链路，具体为：所述移动终端令牌从所述第一激活响应中获取预设域名和企业标识，并获取终端端口号，根据所述预设域名、所述企业标识和所述终端端口号得到激活URL，通过所述激活URL访问所述云认证服务器，与所述云认证服务器建立网络数据链路。

优选地，所述步骤X1中，所述移动终端令牌接收来自云认证服务器的第一激活响应，具体为：所述移动终端接收由第一激活响应生成的二维码图片，解析所述二维码图片，得到所述第一激活响应。

优选地，所述步骤X1中，所述移动终端令牌接收来自云认证服务器的第一激活响应，具体为：所述移动终端令牌开启接收数据机制，当检测接收的数据包含预设前缀标识时，接收所述第一激活响应。

优选地，所述根据所述第一激活响应生成第二激活请求，具体为：所述移动终端令牌获取保存的令牌标识码和令牌版本号，并调用获取系统类型函数，获取移动终端系统类型，根据所述令牌标识码、所述令牌版本号和所述移动终端系统类型生成第二激活请求。

优选地，所述步骤X2具体为：

步骤X2-1：所述移动终端令牌接收云认证服务器发送的第二激活响应，从所述第二激活响应中获取种子生成因子和所述令牌序列号；

步骤X2-2：所述移动终端令牌根据所述种子生成因子生成令牌种子密钥；

步骤X2-3：所述移动终端令牌应用所述令牌序列号对所述令牌种子密钥进行加密，得到加密令牌种子密钥，将所述加密令牌种子密钥和所述令牌序列号保存。

优选地，所述步骤X3中，所述对所述令牌种子密钥进行计算，生成动态口令，具体为：

步骤X3-1：所述移动终端令牌应用所述令牌序列号对所述加密令牌种子密钥进行解密，得到令牌种子密钥；

步骤X3-2：所述移动终端令牌应用口令生成算法，对所述令牌种子密钥和内置的动态因子进行计算，生成动态口令。

根据本发明，能够实现在移动终端令牌激活过程中，通过移动终端令牌与云认证服务器之间的安全交互，实现移动终端令牌的激活，提升激活过程的安全性。

附图说明

图1、图2和图3为根据本发明实施例1的一种在线激活移动终端令牌的系统工作方法流程图；

图4是根据本发明实施例2的一种在线激活移动终端令牌的系统中云认证服务器的工作方法流程图；

图5是根据本发明实施例3的一种在线激活移动终端令牌的系统中移动终端令牌的工作方法流程图。

具体实施方式

下面将结合附图，对本发明进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。本领域的技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明应用于包括云认证管理平台、云认证服务器、终端、移动终端令牌组成的系统中，其中，当采用二维码验证方法时，终端具体为pc机、ipad、手机(非装载所述移动终端令牌的终端设备)等能够接收邮件的终端设备，当采用短信验证方式时，终端具体为装载有所述移动终端令牌且能够接收短信的终端设备，如手机等。

本发明中，服务器种子密钥和令牌种子密钥可以为加密存储也可以直接存储，实施例1是以保存加密服务器种子密钥和加密令牌种子密钥的方式实现，实施例2和实施例3是以直接保存服务器种子密钥和令牌种子密钥的方式实现，其中对种子密钥进行加密的方式可以各设备单独使用，即服务器种子密钥直接保存，令牌种子密钥加密保存等。

实施例1

本发明实施例1提供了一种在线激活移动终端令牌的系统工作方法，如图1、图2和图3所示，包括：

步骤101：云认证管理平台接收管理员选择的需要激活的用户记录，根据用户记录，判断是否能够获取对应的移动终端号码、邮箱账号、用户名，如果是，则执行步骤102，否则提示信息不完整，结束；

本实施例1中，还包括：判断是否能够获取到对应的令牌标识码、移动终端系统版本，如果是，则执行步骤103，否则提示信息不完整，结束；

其中，云认证管理平台在用户注册时，要求用户输入令牌标识码和移动终端系统版本；

例如，云认证管理平台接收到管理员选择的用户记录为：

用户名：abc

用户邮箱：123456789@163.com

移动终端号：18912345678

令牌标识码：57987117827971672588

移动终端系统版本：1

进一步地，本实施例中，步骤101之前还包括：

A：云认证管理平台等待接收管理员输入管理员账号和密码；

B：云认证管理平台判断接收到的管理员输入的管理员账号和密码是否正确，如果是，则执行步骤101，否则执行C；

C：云认证管理平台更新验证密码失败次数，判断更新后的验证密码失败次数是否达到预设次数，如果是，则报错，锁定云认证管理平台，否则返回A；

进一步地，管理员认证方式可预先进行配置，即可采用验证账号密码方式，也可配置为双因素认证；

其中，双因素认证过程为：先进行账号密码验证，当账号密码匹配时，显示获取短信口令按钮和短信口令输入框，当管理员点击获取短信口令按钮后，等待管理员输入短信口令，当接收到短信口令后，判断短信口令是否正确，如果是，则登录成功，执行步骤103，否则累计短信口令验证次数，当达到预设次数(优选为10次)时，暂时锁定云认证管理平台，间隔预设时长(优选为30分钟)自动解锁；

步骤102：云认证管理平台根据用户记录中的用户名，生成第一激活请求；

本步骤之前还包括：

步骤102-1：云认证管理平台接收管理员点击的激活按钮；

步骤102-2：云认证管理平台判断是否能够获取到上次激活时间，如果是，则执行步骤102-3，否则执行步骤102；

步骤102-3：云认证管理平台获取当前系统时间，判断当前系统时间和上次激活时间之差是否大于预设时长，如果是，则执行步骤102-4，否则返回不可重复激活响应，结束；

步骤102-4：云认证管理平台根据用户名和重新激活标识生成第一激活请求，执行步骤103；

步骤103：云认证管理平台将第一激活请求发送给云认证服务器；

步骤104：云认证服务器接收到第一激活请求后，从第一激活请求中获取用户名；

步骤105：云认证服务器调用随机数生成函数，生成第一随机数，将第一随机数作为激活请求ID，将激活请求ID与用户名建立关联并保存至服务器存储区中；

本实施例1中，优选地，为了保证安全，要求二维码图片只能在预定时间内有效，因此，云认证服务器生成激活请求ID后，将激活请求ID保存至服务器存储区中，并记录服务器系统时间；

例如，生成的激活请求ID为fasdcvxvdsafdsfzcxcsdfsdafcxz，记录服务器系统时间为1417502570；

步骤106：云认证服务器根据用户名获取对应的企业标识，根据预设前缀标识、预设域名、企业标识和激活请求ID生成第一激活响应；

本实施例1中，预设前缀标识为yunxin://，预设域名为：api-6位企业标识.cloudentify.com；

生成的第一激活响应为：

yunxin://api-6位企业标识.cloudentify.com？reqid＝激活请求ID；

例如，云认证服务器根据预设前缀标识yunxin://、获取到的企业标识dfserv，预设域名api-6位企业标识.cloudentify.com和激活请求IDfasdcvxvdsafdsfzcxcsdfsdafcxz；

生成的第一激活响应为：

yunxin://api-dfserv.cloudentify.com？reqid＝fasdcvxvdsafdsfzcxcsdfsdafcxz；

步骤107：云认证服务器将第一激活响应返回给云认证管理平台；

步骤108：云认证管理平台接收管理员选择的激活方式，如果是邮件激活方式，则执行步骤109，如果是短信激活方式，则执行步骤115：

步骤109：云认证管理平台根据接收到的第一激活响应生成二维码图片；

具体地，云认证管理平台根据第一激活响应调用二维码图片生成函数，生成二维码图片；

步骤110：云认证管理平台从用户记录中获取邮箱账号；

步骤111：云认证管理平台根据邮箱账号将二维码图片通过邮件方式发送至终端；

本步骤中，终端可以为移动设备(如ipad、手机等)或PC机等；

步骤112：终端接收到邮件后，显示邮件中的二维码图片；

步骤113：移动终端令牌等待接收用户扫描二维码图片；

步骤114：当移动终端令牌接收到二维码图片后，根据所述二维码图片得到第一激活响应，执行步骤119；

步骤115：云认证管理平台从用户记录中获取终端号码；

步骤116：云认证管理平台根据终端号码将第一激活响应通过短信方式发送至终端号码对应的终端；

本步骤中，终端指能够接收短信且装置所述移动终端令牌的移动设备，如手机等；

步骤117：终端接收到短信后，显示短信中的第一激活响应；

步骤118：移动终端令牌启动接收数据机制，接收第一激活响应，当检测第一激活请求中包含预设前缀标识时，执行步骤119；

本实施例1中，当移动终端显示短信中的第一激活响应后，移动终端令牌接收用户对第一激活响应的点击触发并启动接收数据机制，若检测到接收的第一激活响应中包含预设前缀标识时，执行步骤119；

步骤119：移动终端令牌从第一激活响应中获取预设域名、企业标识和激活请求ID；

例如，移动终端令牌从第一激活响应中获取到的激活请求ID为fasdcvxvdsafdsfzcxcsdfsdafcxz；

步骤120：移动终端令牌获取终端端口号，根据预设域名、企业标识和终端端口号得到激活URL，通过激活URL访问云认证服务器，与云认证服务器建立网络数据链路，并根据激活请求ID生成第二激活请求；

例如，移动终端令牌获取到的终端端口号为1843，预设域名和企业标识api-dfserv.cloudentify.com；

得到的激活URL为：api-dfserv.cloudentify.com：1843；通过该激活URL访问云认证服务器，与云认证服务器建立网络数据链路，具体为TCP连接，传输数据优选采用JSON数据格式；

本实施例1中，本步骤还包括：移动终端令牌获取预设在线激活请求类型，获取保存的令牌标识码和令牌版本号、调用获取系统类型函数，获取移动终端系统类型，然后对预设在线激活请求类型、激活请求ID、令牌标识码、移动终端系统类型和令牌版本号进行mac校验，得到mac校验码；

例如，获取的终端端口号为1843，获取到的预设在线激活请求类型为6，即"reqtype":"6"；获取到的令牌标识码为57987117827971672588，即"udid":"57987117827971672588"；获取到的令牌版本号为2.5，即app_version":"2.5"；调用获取系统类型函数，获取到的移动终端系统类型为安卓系统，则将移动终端系统类型置为1(如果为IOS系统，则将移动终端系统类型置为2)，即"os":"1"；计算得到的mac校验码为e5326079df79129b8bd599301a1b9efb360b0cc6；则根据预设域名、企业标识、激活请求ID和终端端口号生成的第二激活请求为：

{"os":"1","reqid":"fasdcvxvdsafdsfzcxcsdfsdafcxz","reqtype":"6","udid":"57987117827971672588",app_version":"2.5","mac":"e5326079df79129b8bd599301a1b9efb360b0cc6"}；

步骤121：移动终端令牌通过网络数据链路将第二激活请求发送给云认证服务器；

步骤122：云认证服务器接收到第二激活请求数据后，从第二激活请求中获取激活请求ID，判断激活请求ID是否正确且有效，如果是，则执行步骤123，否则报错，结束；

本实施例1中，判断激活请求ID是否正确且有效，具体为：判断激活请求ID与服务器存储区中保存的激活请求ID是否相同，如果是，则激活请求ID正确，否则激活请求ID不正确；且判断服务器系统时间与服务器存储区中保存的系统时间的差值是否在预设范围(优选为120s)内，如果是，则激活请求ID有效，否则接收到的激活请求ID无效，删除服务器存储区中的激活请求ID；

本实施例中，还包括：云认证服务器从第二激活请求数据中获取令牌标识码和移动终端系统类型，并根据激活请求ID从服务器存储区中获取保存的终端设备标识码和移动终端系统类型，判断是否匹配，如果是，则执行步骤123，否则报错，结束；

步骤123：云认证服务器根据令牌序列号生成方法，产生一个令牌序列号，将令牌序列号与用户名建立关联并保存至服务器存储区中；

本实施例1中，本步骤之前还包括：云认证服务器判断是否能够从第一激活请求中获取到重新激活标识，如果是，则不需要再重新生成令牌序列号，执行步骤124，否则执行步骤123；

本实施例1中，优选地，OTP云认证中心根据令牌序列号的生成顺序，生成一个长度为10位的令牌序列号，除此之外，还可以为：对用户名进行预设运算，生成令牌序列号；

其中，优选地，所述令牌序列号生成方法，具体为：根据令牌序列号的生成顺序，按照从0000000001开始每次增加1的顺序产生一个令牌序列号；

例如，已激活的令牌序列号为1000000009，则本次生成的令牌序列号为1000000010；

步骤124：云认证服务器调用随机数生成函数，生成第二随机数，将该第二随机数作为种子生成因子；

本实施例1中，优选地，OTP云认证中心调用随机数生成函数，Random.nextInt(10)，生成长度为10位十进制的第二随机数，作为种子生成因子；

例如，云认证服务器生成的第二随机数，即种子生成因子为30750849669824758444；

步骤125：云认证服务器应用预设推导算法，对种子生成因子进行推导，得到服务器种子密钥；

本实施例1中，优选地，云认证服务器应用PBKDF2推导算法，得到20个字节的服务器种子密钥，除此之外，还可以为BF推导算法等；

例如，云认证服务器生成的第二随机数，即种子生成因子为6595781253；

对种子生成因子进行推导，得到的服务器种子密钥为：

FB80ECDA5EDF464CF7715EE66A25ED079122D429；

步骤126：云认证服务器根据用户名获取对应的企业密钥，应用企业密钥对服务器种子密钥进行加密，得到加密服务器种子密钥，将加密服务器种子密钥与用户名建立关联并保存至服务器存储区中；

具体为：云认证服务器根据令牌序列号，使用预设加密算法对服务器种子密钥进行加密，得到二进制的加密服务器种子密钥，然后对二进制的加密服务器种子密钥进行Base64转换，得到字符串，优选地，预设加密算法为3DES算法，除此之外，还可以为SM3、RSA算法等；

例如，云认证服务器获取到的企业密钥为：

1F3D4E3A12459372B837193177913782；

应用企业密钥对服务器种子密钥加密且转换后得到的加密服务器种子密钥为：

PL96EUSWSdPP2gj8fr6m-YXBpLWE0OTJjN2Q3LmR1b3NlY3VyaXR5LmNvbQ；

本实施例1中，云认证服务器中保存的企业密钥的生成过程如下：

步骤1：密钥运维平台接收密钥持有者的管理员密钥；

其中，为保证管理员密钥的安全性，密钥持有者的管理员密钥需要定期更换；

步骤2：密钥运维平台对管理员密钥进行预设运算，得到主密钥，将主密钥保存至存储区中；

步骤3：云认证服务器定时向密钥运维平台获取主密钥，判断获取到的主密钥与服务器存储区中保存的主密钥是否相同，如果是，则执行步骤4，否则更新服务器存储区中的主密钥，执行步骤4；

本实施例1中，由于管理员密钥需要定期更换，因此优选地，云认证服务器每隔2分钟向密钥运维平台发送获取主密钥的请求，接收密钥运维平台返回的当前主密钥；

步骤4：云认证服务器根据用户名获取对应的企业ID，对主密钥和企业ID进行散列运算，得到企业密钥，将企业密钥保存至服务器存储区中；

其中，企业ID是在管理员注册时，云认证管理平台为该企业随机分配的企业ID，并与多个用户名建立关联并保存至服务器存储区中；

本实施例1中，由于服务器种子密钥是使用企业ID进行加密的，因此当某个服务器种子密钥被破解时，其他企业的服务器种子密钥也不能够被同时破解，安全性更佳；

步骤127：云认证服务器根据令牌序列号和种子生成因子，应用预设组成方式，生成第二激活响应；

本实施例1中，优选地，云认证服务器根据令牌标识码对种子生成因子进行加密，得到加密种子生成因子；

本步骤还包括：云认证服务器获取口令生成算法，根据获取到的口令生成算法，设置算法ID，获取当前系统时间；；

例如，云认证服务器得到的加密种子生成因子为30750849669824758444；获取到的口令生成算法为SM3口令生成算法，则将算法ID设置为00(如果获取到的口令生成算法为AUTH口令生成算法，则将算法ID设置为01)；对在线激活请求类型、激活请求ID、算法ID、令牌序列号、加密种子生成因子、用户名、企业标识和服务器系统时间进行mac校验，得到mac校验码；

进一步地，云认证服务器根据在线激活请求类型、激活请求ID、算法ID、令牌序列号、加密种子生成因子、用户名、企业标识、服务器系统时间和mac校验码组成响应数据，应用预设协商密钥对响应数据进行加密，得到第二激活响应；

例如，生成的响应数据为

{"data":"pushtype":"6","reqid":"fasdcvxvdsafdsfzcxcsdfsdafcxz","algid":"00","token":"1000000010","factor":"30750849669824758444","userid":"abc","compname":"dfserv","time":"1417502589"}；

应用预设协商密钥对响应数据加密后得到的第二激活响应为：

{"data":"591f86917938bb30066991c78f1e2b4c63a125ea90d8800418fa3e07dc2d1187f7c64bac023a34d7dc58dcf7c79e99fccc874de6fba79a0eb50614fe73624d69b95fd92d3cf83c1d2894355e790b2ff6dcce8892ed153681eb478521843eaf6f3a5623236754a7bb0b7d709be74d79cd57a20d4a9af495e9c84918920dc0d1f94d032fd8f2baa4e6d8c230b2802e7777a07e47fef374444b77412890c204fb729e6e10fd7fa658db115c32f713b53e1bbbba92d366c0b69e7b70a87eeb564c51","mac":"f09749aa775b9eb84c0931e7250c95ea84ec901a"}；

步骤128：云认证服务器通过网络数据链路将第二激活响应发送给移动终端令牌；

步骤129：移动终端令牌从第二激活响应中获取种子生成因子和令牌序列号；

本步骤具体包括：移动终端令牌应用预设协商密钥对第二激活响应数据进行解密，得到响应数据，从响应数据中获取种子生成因子和令牌序列号；

本实施例1中，还可以为：移动终端令牌从第二激活响应中获取加密种子生成因子，应用令牌标识码对加密种子生成因子进行解密，得到种子生成因子；

本步骤之前还包括：移动终端令牌从第二激活响应中获取激活请求ID，判断激活请求ID与令牌中保存的激活请求ID是否相同，如果是，则执行步骤129，否则报错，结束；

步骤130：移动终端令牌应用预设推导算法对种子生成因子进行推导，得到令牌种子密钥；

例如，手机移动终端令牌对种子生成因子进行推导，得到的令牌种子密钥为FB80ECDA5EDF464CF7715EE66A25ED079122D429；

步骤131：移动终端令牌根据令牌种子密钥生成动态口令，并应用令牌序列号对令牌种子密钥进行加密，得到加密令牌种子密钥，将加密令牌种子密钥和令牌序列号保存至令牌存储区中；

本步骤，还包括：移动终端令牌从第二激活响应中获取算法ID，根据算法ID获取对应的口令生成算法，从第二激活响应中获取服务器系统时间，根据服务器系统时间计算与移动终端时间的漂移值，根据该漂移值应用选择的口令生成算法对令牌种子密钥和内置的动态因子进行计算，生成动态口令；

例如，根据算法ID获取到对应的口令生成算法为OATH时间型算法，除此之外还可以为国密时间型算法SM3算法等，生成的动态口令为179059；

步骤132：移动终端令牌根据动态口令、令牌序列号和激活请求ID生成第三激活请求；

本实施例1中，优选地，移动终端令牌根据预设在线激活请求类型、激活请求ID、激活成功或失败结果、令牌版本号、令牌序列号和动态口令，生成第三激活请求；

例如，生成的第三激活请求为：

{"result":"1","reqtype":"7","otp":"179059","token":"1000000010","reqid":"fasdcvxvdsafdsfzcxcsdfsdafcxz"}；

本实施例1中，由于一个手机可以安装有多个令牌程序，每个令牌程序对应一个令牌序列号，移动终端令牌将令牌序列号发送至云认证服务器后，云认证服务器获取与该令牌序列号对应的所有信息，除此之外，也可以不上送令牌序列号，则云认证服务器根据激活请求ID获取对应的所有信息；

步骤133：移动终端令牌通过网络数据链路将第三激活请求发送给云认证服务器；

步骤134：云认证服务器接收到第三激活请求后，从第三激活请求中获取激活请求ID，判断激活请求ID是否正确，如果是，则执行步骤135，否则报错，结束；

具体为：云认证服务器判断激活请求ID与服务器存储区中保存的激活请求ID是否相同，如果是，则激活请求ID正确，否则激活请求ID不正确；

步骤135：云认证服务器获取加密服务器种子密钥和企业密钥，应用企业密钥对加密服务器种子密钥进行解密，得到服务器种子密钥，根据服务器种子密钥生成动态口令；

例如，云认证服务器根据用户名ft获取到对应的加密种子服务器密钥为：

PL96EUSWSdPP2gj8fr6m-YXBpLWE0OTJjN2Q3LmR1b3NlY3VyaXR5LmNvbQ；

获取到的企业密钥为：

1F3D4E3A12459372B837193177913782；

解密得到服务器种子密钥为：

FB80ECDA5EDF464CF7715EE66A25ED079122D429；

生成的动态口令为179059；

步骤136：云认证服务器判断生成的动态口令和第三激活请求中的动态口令是否匹配，如果是，则执行步骤138，否则执行步骤137；

步骤137：云认证服务器生成激活失败的第三激活响应，执行步骤139；

步骤138：云认证服务器生成激活成功的第三激活响应，执行步骤139；

具体地，云认证服务器获取预设在线激活结果类型、激活时间，根据预设在线激活类型、激活请求ID、激活成功结果和激活时间生成第三激活响应；

例如，云认证服务器生成激活成功的第三激活响应为：

{"pushtype":"7","reqid":"fasdcvxvdsafdsfzcxcsdfsdafcxz","result":"1","time":"1417502590"}；

进一步地，本步骤还包括：云认证服务器获取当前系统时间，将当前系统时间作为上次激活时间保存；

步骤139：云认证服务器通过网络数据链路将第三激活响应发送至移动终端令牌；

步骤140：移动终端令牌接收到第三激活响应后，判断第三激活响应，如果是激活成功，则激活完成，结束，如果是失败响应，则将加密令牌种子密钥删除，激活失败，结束；

本步骤中，激活失败时还包括：显示激活失败信息；激活完成时还包括：移动终端令牌显示激活成功信息。

实施例2

本发明实施例2提供的一种在线激活移动终端令牌的系统中云认证服务器的工作方法，如图4所示，包括：

步骤201：云认证服务器接收来自云认证管理平台的第一激活请求，根据第一激活请求生成第一激活响应，并将第一激活响应传送至移动终端令牌；

具体地，根据所述第一激活请求生成第一激活响应，并将第一激活响应传送至移动终端令牌，具体包括：

步骤T1-1：云认证服务器从第一激活请求中获取用户名；

步骤T1-2：云认证服务器根据用户名获取对应的预设前缀标识、预设域名和企业标识；

步骤T1-3：云认证服务器根据用户名、预设前缀标识、预设域名和企业标识生成第一激活响应，并将第一激活响应通过云认证管理平台和终端传送至移动终端令牌；

步骤202：云认证服务器接收移动终端令牌发送的第二激活请求，生成令牌序列号和种子生成因子，根据种子生成因子生成服务器种子密钥，保存令牌序列号与服务器种子密钥；

本步骤之前还包括：云认证服务器判断从第一激活请求中是否能够获取到重新激活标识，如果是，则记录重新激活标识，执行步骤202，否则直接执行步骤202；

本步骤具体包括：云认证服务器接收移动终端令牌发送的第一激活请求，判断是否记录有重新激活标识，如果是，则生成种子生成因子，根据种子生成因子生成服务器种子密钥并保存，否则生成令牌序列号和种子生成因子，根据种子生成因子生成服务器种子密钥，保存令牌序列号与服务器种子密钥；

进一步地，本步骤还包括：

步骤T2-1：云认证服务器接收到移动终端令牌发送的第二激活请求，调用随机数生成函数，生成第二随机数，作为种子生成因子，并根据令牌序列号生成算法，产生一个令牌序列号并保存；

步骤T2-2：云认证服务器应用预设推导算法，对种子生成因子进行推导，得到服务器种子密钥；

步骤T2-3：云认证服务器获取企业密钥，应用企业密钥对服务器种子密钥进行加密，得到加密服务器种子密钥并保存；

步骤203：云认证服务器根据令牌序列号和种子生成因子生成第二激活响应，并通过网络数据链路返回给移动终端令牌；

本实施例2中，根据所述令牌序列号和所述种子生成因子生成第二激活响应，具体为：云认证服务器获取保存的令牌标识码，根据令牌标识码对种子生成因子进行加密，得到加密种子生成因子，根据令牌标识码和加密种子生成因子生成第二激活响应；

步骤204：云认证服务器接收移动终端令牌发送的第三激活请求，从第三激活请求中获取动态口令，并获取保存的服务器种子密钥，对服务器种子密钥进行计算，生成动态口令；

本步骤中，对所述服务器种子密钥进行计算，生成动态口令，具体为：

步骤T4-1：云认证服务器获取对应的企业密钥和加密服务器种子密钥；

步骤T4-2：云认证服务器根据所述企业密钥，应用预设解密算法对加密服务器种子密钥进行解密，得到服务器种子密钥；

步骤T4-3：云认证服务器应用口令生成算法，对服务器种子密钥和内置的动态因子进行计算，生成动态口令。

步骤205：云认证服务器判断生成的动态口令与获取到的动态口令是否匹配，如果是，则执行步骤206，否则生成激活失败的第三激活响应，并通过网络数据链路返回至移动终端令牌，结束；

步骤206：云认证服务器生成激活成功的第三激活响应并通过网络数据链路返回至移动终端令牌，激活成功。

实施例3

本发明实施例3提供了一种在线激活移动终端令牌的系统中移动终端令牌的工作方法，如图5所示，包括：

步骤301：移动终端令牌接收来自云认证服务器的第一激活响应，根据第一激活响应访问云认证服务器，与云认证服务器建立网络数据链路，并根据第一激活响应生成第二激活请求，通过网络数据链路发送至云认证服务器；

本实施例3中，根据第一激活响应访问云认证服务器，与云认证服务器建立网络数据链路，具体为：移动终端令牌从第一激活响应中获取预设域名和企业标识，并获取终端端口号，根据预设域名、企业标识和终端端口号得到激活URL，通过激活URL访问云认证服务器，与云认证服务器建立网络数据链路；

移动终端令牌接收来自云认证服务器的第一激活响应，具体包括：接收由第一激活响应生成的二维码图片，解析二维码图片，得到第一激活响应或开启接收数据机制，当检测接收的数据包含预设前缀标识时，接收第一激活响应；

根据第一激活响应生成第二激活请求，具体为：移动终端令牌获取保存的令牌标识码和令牌版本号，并调用获取系统类型函数，获取移动终端系统类型，根据令牌标识码、令牌版本号和移动终端系统类型生成第二激活请求；

步骤302：移动终端令牌接收云认证服务器发送的第二激活响应，从第二激活响应中获取种子生成因子和令牌序列号，根据种子生成因子生成令牌种子密钥，保存令牌序列号和令牌种子密钥；

本步骤，具体为：

步骤X2-1：移动终端令牌接收云认证服务器发送的第二激活响应，从第二激活响应中获取种子生成因子和所述令牌序列号；

步骤X2-2：移动终端令牌根据种子生成因子生成令牌种子密钥；

步骤X2-3：移动终端令牌应用令牌序列号对令牌种子密钥进行加密，得到加密令牌种子密钥，将加密令牌种子密钥和令牌序列号保存；

步骤303：移动终端令牌对所述令牌种子密钥进行计算，生成动态口令，根据动态口令生成第三激活请求，并通过网络数据链路发送至云认证服务器；

本实施例3中，对令牌种子密钥进行计算，生成动态口令，具体为：

步骤X3-1：移动终端令牌应用令牌序列号对加密令牌种子密钥进行解密，得到令牌种子密钥；

步骤X3-2：移动终端令牌应用口令生成算法，对令牌种子密钥和内置的动态因子进行计算，生成动态口令；

步骤304：移动终端令牌接收云认证服务器返回的第三激活响应，判断第三激活响应，如果是失败响应，则删除令牌种子密钥，激活失败，结束，如果为成功响应，则激活成功，结束。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，本领域的技术人员在本发明公开的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以所附权利要求书的为准。

Claims

一种在线激活移动终端令牌的系统工作方法，其特征在于，所述方法包括：

步骤S1：所述云认证服务器接收来自所述云认证管理平台的第一激活请求，根据所述第一激活请求生成第一激活响应，并将其返回至所述云认证管理平台；

步骤S2：所述云认证管理平台将所述第一激活响应发送至所述终端；

步骤S3：当所述移动终端令牌从所述终端中获取到所述第一激活响应后，根据所述第一激活响应访问所述云认证服务器，并根据所述第一激活响应生成第二激活请求，将所述第二激活请求发送至所述云认证服务器；

步骤S4：所述云认证服务器接收到所述第二激活请求后，生成令牌序列号和种子生成因子，根据所述种子生成因子生成服务器种子密钥，保存所述令牌序列号与所述服务器种子密钥；

步骤S5：所述云认证服务器根据所述令牌序列号和所述种子生成因子生成第二激活响应，并将所述第二激活响应返回给所述移动终端令牌；

步骤S6：所述移动终端令牌从所述第二激活响应中获取所述种子生成因子和所述令牌序列号，根据所述种子生成因子生成令牌种子密钥，保存所述令牌序列号和所述令牌种子密钥；

步骤S7：所述移动终端令牌对所述令牌种子密钥和内置的动态因子进行计算，生成动态口令，根据所述动态口令生成第三激活请求，并将所述第三激活请求发送至所述云认证服务器；

步骤S8：所述云认证服务器从接收到的所述第三激活请求中获取动态口令，并获取保存的服务器种子密钥，对所述服务器种子密钥和内置的动态因子进行计算，生成动态口令，判断生成的动态口令与获取到的动态口令是否匹配，如果是，则执行步骤S10，否则向所述移动终端令牌返回激活失败的第三激活响应，结束；以及

步骤S9：所述云认证服务器生成激活成功的第三激活响应，并将所述第三激活响应返回至所述移动终端令牌，激活成功。
根据权利要求1所述的方法，其特征在于，所述云认证管理平台与所述云认证服务器设置在同一设备中，或设置在不同的设备中。
根据权利要求1所述的方法，其特征在于，

所述步骤S1中，所述根据所述第一激活请求生成第一激活响应，具体包括：所述云认证服务器调用随机数生成函数，生成第一随机数，将所述第一随机数作为激活请求ID并保存，根据所述激活请求ID生成第一激活响应；

所述步骤S3中，所述根据所述第一激活响应生成第二激活请求，具体包括：所述移动终端令牌从所述第一激活响应中获取所述激活请求ID并保存，根据所述激活请求ID生成第二激活请求；

所述步骤S4中，所述接收到所述第二激活请求后还包括：所述云认证服务器从所述第二激活请求中获取所述激活请求ID，判断所述激活请求ID与保存的激活请求ID是否相同，如果是，则继续后续操作，否则报错，结束；

所述步骤S5中，所述根据所述令牌序列号和所述种子生成因子生成第二激活响应，具体包括：所述云认证服务器根据所述令牌序列号、所述种子生成因子和所述激活请求ID生成第二激活响应；以及

所述步骤S5与步骤S6之间还包括：所述移动终端令牌从第二激活响应中获取激活请求ID，判断激活请求ID与保存的激活请求ID是否相同，如果是，则执行步骤S6，否则报错，结束。
根据权利要求1所述的方法，其特征在于，

所述步骤S3中，所述根据所述第一激活响应生成第二激活请求，具体包括：所述移动终端令牌获取保存的令牌标识码和令牌版本号，并调用获取系统类型函数，获取移动终端系统类型，根据所述令牌标识码、所述令牌版本号和所述移动终端系统类型生成第二激活请求；

所述步骤S4接收到所述第二激活请求后，还包括：所述云认证服务器从所述第二激活请求中获取所述令牌标识码、所述令牌版本号和所述移动终端系统类型，并获取保存的令牌标识码、令牌版本号和移动终端系统类型，判断是否匹配，如果是，则继续后续操作，否则报错，结束。
根据权利要求1所述的方法，其特征在于，所述步骤S1之前还包括：

步骤b1：所述云认证管理平台等待接收管理员选择的需要激活的用户记录；

步骤b2：所述云认证管理平台根据所述用户记录中的用户名，生成所述第一激活请求；

步骤b3：所述云认证管理平台将所述第一激活请求发送给所述云认证服务器。
根据权利要求1所述的方法，其特征在于，所述步骤S2具体包括：

步骤S2-1：所述云认证管理平台接收到所述第一激活响应后，根据所述第一激活响应生成二维码图片；

步骤S2-2：所述云认证管理平台获取对应的邮箱账号，根据所述邮箱账号将所述二维码图片通过邮件方式发送至移动终端；

步骤S2-3：所述终端显示接收到的所述二维码图片；

所述步骤S3中，所述移动终端令牌获取到所述第一激活响应，具体为：所述移动终端接收对所述二维码图片的扫描，解析所述二维码图片，得到所述第一激活响应。
根据权利要求1所述的方法，其特征在于，

所述步骤S2具体包括：所述云认证管理平台获取终端号码，根据所述终端号码将所述第一激活响应通过短信方式发送至所述终端号码对应的终端；

所述步骤S3中，所述移动终端令牌获取到所述第一激活响应，具体为：所述移动终端令牌开启接收数据机制，接收所述第一激活响应。
根据权利要求1所述的方法，其特征在于，所述步骤S4具体包括：

步骤d1：所述云认证服务器调用随机数生成函数，生成第二随机数，作为种子生成因子，并根据令牌序列号生成算法，产生一个令牌序列号并保存；

步骤d2：所述云认证服务器应用预设推导算法，对所述种子生成因子进行推导，得到服务器种子密钥；以及

步骤d3：所述云认证服务器获取企业密钥，应用所述企业密钥对所述服务器种子密钥进行加密，得到加密服务器种子密钥并保存。
根据权利要求1所述的方法，其特征在于，所述步骤S6具体包括：

步骤S6-1：所述移动终端令牌从所述第二激活响应中获取种子生成因子和所述令牌序列号；

步骤S6-2：所述移动终端令牌根据所述种子生成因子生成令牌种子密钥；以及

步骤S6-3：所述移动终端令牌应用所述令牌序列号对所述令牌种子密钥进行加密，得到加密令牌种子密钥，将所述加密令牌种子密钥和所述令牌序列号保存。
根据权利要求9所述的方法，其特征在于，所述步骤S7中，所述对所述令牌种子密钥进行计算，生成动态口令，具体为：

步骤S7-1：所述移动终端令牌应用所述令牌序列号对所述加密令牌种子密钥进行解密，得到令牌种子密钥；

步骤S7-2：所述移动终端令牌应用口令生成算法，对所述令牌种子密钥和内置的动态因子进行计算，生成动态口令。
根据权利要求1所述的方法，其特征在于，所述步骤S9之后还包括：所述移动终端令牌接收到所述第三激活响应后，判断所述第三激活响应，如果是激活成功响应，则激活成功，结束，如果是激活失败响应，则删除所述令牌种子密钥，激活失败，结束。
一种在线激活移动终端令牌的系统中云认证服务器的工作方法，其特征在于，包括：

步骤T1：所述云认证服务器接收来自云认证管理平台的第一激活请求，根据所述第一激活请求生成第一激活响应，并将所述第一激活响应传送至移动终端令牌；

步骤T2：所述云认证服务器接收所述移动终端令牌发送的第二激活请求，生成令牌序列号和种子生成因子，根据所述种子生成因子生成服务器种子密钥，保存所述令牌序列号与所述服务器种子密钥；

步骤T3：所述云认证服务器根据所述令牌序列号和所述种子生成因子生成第二激活响应，并通过所述网络数据链路返回给所述移动终端令牌；

步骤T4：所述云认证服务器接收移动终端令牌发送的第三激活请求，从所述第三激活请求中获取动态口令，并获取保存的服务器种子密钥，对所述服务器种子密钥进行计算，生成动态口令；

步骤T5：所述云认证服务器判断生成的动态口令与获取到的动态口令是否匹配，如果是，则执行步骤T6，否则向所述移动终端令牌返回激活失败的第三激活响应，结束；以及

步骤T6：所述云认证服务器生成激活成功的第三激活响应并通过所述网络数据链路返回至所述移动终端令牌，激活成功。
根据权利要求12所述的方法，其特征在于，所述步骤T1中，所述根据所述第一激活请求生成第一激活响应，并将所述第一激活响应传送至移动终端令牌，具体包括：

步骤T1-1：所述云认证服务器从所述第一激活请求中获取用户名；

步骤T1-2：所述云认证服务器根据所述用户名获取对应的预设前缀标识、预设域名和企业标识；以及

步骤T1-3：所述云认证服务器根据所述用户名、所述预设前缀标识、所述预设域名和所述企业标识生成第一激活响应，并将所述第一激活响应通过云认证管理平台和终端传送至所述移动终端令牌。
根据权利要求12所述的方法，其特征在于，

所述步骤T2之前还包括：所述云认证服务器判断从所述第一激活请求中是否能够获取到重新激活标识，如果是，则记录所述重新激活标识，执行步骤T2，否则直接执行步骤T2；

所述步骤T2具体包括：所述云认证服务器接收所述移动终端令牌发送的第二激活请求，判断是否记录有所述重新激活标识，如果是，则生成种子生成因子，根据所述种子生成因子生成服务器种子密钥并保存，否则生成令牌序列号和种子生成因子，根据所述种子生成因子生成服务器种子密钥，保存所述令牌序列号与所述服务器种子密钥。
根据权利要求12所述的方法，其特征在于，所述步骤T2具体为：

步骤T2-1：所述云认证服务器接收到移动终端令牌发送的第二激活请求，调用随机数生成函数，生成第二随机数，作为种子生成因子，并根据令牌序列号生成算法，产生一个令牌序列号并保存；

步骤T2-2：所述云认证服务器应用预设推导算法，对所述种子生成因子进行推导，得到服务器种子密钥；以及

步骤T2-3：所述云认证服务器获取企业密钥，应用所述企业密钥对所述服务器种子密钥进行加密，得到加密服务器种子密钥并保存。
根据权利要求12所述的方法，其特征在于，

所述步骤T3中，所述根据所述令牌序列号和所述种子生成因子生成第二激活响应，具体为：所述云认证服务器获取保存的令牌标识码，根据所述令牌标识码对所述种子生成因子进行加密，得到加密种子生成因子，根据所述令牌标识码和所述加密种子生成因子生成第二激活响应。
一种在线激活移动终端令牌的系统中移动终端令牌的工作方法，其特征在于，包括：

步骤X1：所述移动终端令牌接收来自云认证服务器的第一激活响应，根据所述第一激活响应访问所述云认证服务器，与所述云认证服务器建立网络数据链路，并根据所述第一激活响应生成第二激活请求，通过所述网络数据链路发送至所述云认证服务器；

步骤X2：所述移动终端令牌接收云认证服务器发送的第二激活响应，从所述第二激活响应中获取种子生成因子和令牌序列号，根据所述种子生成因子生成令牌种子密钥，保存所述令牌序列号和所述令牌种子密钥；

步骤X3：所述移动终端令牌对所述令牌种子密钥进行计算，生成动态口令，根据所述动态口令生成第三激活请求，并通过所述网络数据链路发送至所述云认证服务器；以及

步骤X4：所述移动终端令牌接收所述云认证服务器返回的第三激活响应，判断所述第三激活响应，如果是失败响应，则删除所述令牌种子密钥，激活失败，结束，如果为成功响应，则激活成功，结束。
根据权利要求17所述的方法，其特征在于，所述步骤X1中，所述根据所述第一激活响应访问所述云认证服务器，与所述云认证服务器建立网络数据链路，具体为：所述移动终端令牌从所述第一激活响应中获取预设域名和企业标识，并获取终端端口号，根据所述预设域名、所述企业标识和所述终端端口号得到激活URL，通过所述激活URL访问所述云认证服务器，与所述云认证服务器建立网络数据链路。
根据权利要求17所述的方法，其特征在于，

所述步骤X1中，所述移动终端令牌接收来自云认证服务器的第一激活响应，具体为：所述移动终端接收由第一激活响应生成的二维码图片，解析所述二维码图片，得到所述第一激活响应；或

所述移动终端令牌开启接收数据机制，当检测接收的数据包含预设前缀标识时，接收所述第一激活响应。
根据权利要求17所述的方法，其特征在于，所述根据所述第一激活响应生成第二激活请求，具体为：所述移动终端令牌获取保存的令牌标识码和令牌版本号，并调用获取系统类型函数，获取移动终端系统类型，根据所述令牌标识码、所述令牌版本号和所述移动终端系统类型生成第二激活请求。
根据权利要求17所述的方法，其特征在于，所述步骤X2具体为：

步骤X2-1：所述移动终端令牌接收云认证服务器发送的第二激活响应，从所述第二激活响应中获取种子生成因子和所述令牌序列号；

步骤X2-2：所述移动终端令牌根据所述种子生成因子生成令牌种子密钥；

步骤X2-3：所述移动终端令牌应用所述令牌序列号对所述令牌种子密钥进行加密，得到加密令牌种子密钥，将所述加密令牌种子密钥和所述令牌序列号保存。