本发明专利技术实施例提供了基于一次性密码的身份认证方法、一次性密码电子装置和系统,方法为:电子装置根据用户触发按顺序在其上预存的一次性密码列表上输出一个有效一次性密码,该密码连同该电子装置的唯一标识或用户帐户标识将被输入到身份认证中心;身份认证中心再找到对应的一次性密码后台列表,然后根据该列表判断输入的一次性密码是否有效,若有效则确认身份认证成功,且将刚才输入的一次性密码成为无效,防止再次使用,体现了一次性的特点。该方法使用了异步式一次性密码技术,不像同步式技术需要高成本去部署运行环境。因此,采用本发明专利技术实施例技术方案,具有系统部署简单,成本低,安全可靠,方便使用等优点。
【技术实现步骤摘要】
身份认证方法、一次性密码电子装置和系统
本专利技术涉及信息安全认证
,特别涉及一种基于一次性密码进行身份认证的方法、一次性密码电子装置和系统。
技术介绍
目前,一次性密码(One-timePassword,简写OTP)技术被广泛应用在银行、证券、网游、网上购物、电子政务、大企业内部等场合,结合原来的静态密码,为用户的财产安全提供了更坚实的防护。在两种密码同时保护下,只有一个人既拿到你的一次性密码令牌或者口令卡,又知道你的静态密码,才有可能攻破你的帐户。一次性密码技术可以根据实现方式分成同步式和异步式。当前市场上我们用到的同步式令牌设备(SynchronousToken)是在令牌设备内保存有和验证服务器相同的一个基准值,如精确到微秒的时间,或用管理员设置的一个可变数值。基于时间同步的令牌设备称为时间同步令牌(Clock-basedToken),而基于可变数值计算的则称为计数同步令牌(Counter-basedToken)。它们生成一次性密码的方式大致相同,都是利用改令牌独有的密钥,加上令牌设备与服务器同步的变量作为两个参数,生成一个用于登录系统的一次性密码。而验证服务器端则会使用相同的变量及算法处理保存在数据库中的用户密码,如果用户提供的一次性密码和验证服务器计算的相同,就可以证明该用户是系统的合法用户。采用异步式的有异步式令牌设备(AsynchronousToken)、纸质的口令卡。由于同步式令牌设备需要和验证服务器相一致的时间或数值变量,所以同步式令牌设备的部署和维护并不轻松。异步式令牌设备则没有这个缺点,它不需要验证服务器维护和令牌设备之间的时间或变量同步。异步式令牌设备采取挑战-回答(Challenge-Response)的一次性密码生成方式,在用户提出登录请求后,验证服务器将根据用户输入的密码返回一个数字,用户再将这个数字输入到令牌设备中进行计算后,把计算结果返回给验证服务器,验证服务器也会进行相同的计算步骤并将结果和用户的输入进行比较,如两个值相同,则验证通过,用户可以登入系统。采用异步式的纸质的口令卡,是根据服务器提供的坐标值在该口令卡上找到相应的密码并返回给服务器,服务器根据返回值判断用户是否合法。从上可以看出,采用同步式的系统,对技术人员的技术水平、运行环境的软硬件要求,都是非常高的,甚至有些公司达不到这些要求,只好采用第三方公司的认证系统。更进一步地,随着系统的建设扩大,系统的不安全性、不稳定性、成本的不可控性将日益突出。而采用异步式的系统,存在着采用挑战-回答的话非常繁琐,容易出错,并且需要输入挑战信息而要求提供很多按键会使令牌体积很大;采用口令卡的话发现查找困难,并且纸张上密码数量总是太少,会重复使用而导致不安全。除了一次性密码技术,顺便说一下使用广泛的USBKEY设备存在的问题:需要安装驱动程序和相关用户端组件才能使用,存在兼容性、易用性问题,且目前只能适用于计算机终端,无法在手机、智能终端、电视等渠道使用;同时,此种方式由于上层应用和底层签名加密之间有诸多环节,仍存在篡改数据的风险和被远程控制,造成恶意利用用户证书的风险。因此怎样方便、安全、低成本地使用一次性密码就会显得非常重要。
技术实现思路
本专利技术实施例提供基于一次性密码的身份认证方法、一次性密码电子装置和系统,使用了异步式一次性密码技术,大量的一次性密码保存在一次性密码电子装置内,该一次性密码电子装置被触发一下就输出一个新密码,不需要挑战-回答,方便使用,用以解决以解决上述
技术介绍
中提出的问题。为实现上述目的,本专利技术提供以下的技术方案。1.一种身份认证方法,包括步骤如下:步骤S110:一次性密码电子装置根据用户触发按顺序在其上预存的一次性密码列表上找到第一个状态为第一状态的一次性密码,并输出该一次性密码且改其状态为第二状态,该一次性密码将被输入到身份认证中心,一同被输入到身份认证中心的还有该一次性密码电子装置的唯一标识或用户帐户标识,前面所述的预存的一次性密码列表包含多个一次性密码,每个一次性密码由数字、字母、符号组成,在列表内唯一,对应的初始状态都为第一状态,前面所述的用户帐户标识是用来找到对应的唯一的用户帐户,其包括用户帐号、用户名称、身份证号、电话号码和电子邮箱中的至少一种,还可以包括用户帐户登录密码;步骤S120:所述身份认证中心根据输入的一次性密码电子装置唯一标识或用户帐户标识找到对应的一次性密码后台列表,若输入的用户帐户标识不正确或找不到一次性密码后台列表则确认身份认证失败,前面所述的一次性密码后台列表是预存在所述身份认证中心上,一个一次性密码后台列表对应着一个一次性密码电子装置上的一次性密码列表,它们之间有着相同的数量、密码值、顺序,该一次性密码后台列表的每个一次性密码对应的初始状态都为第三状态,所述身份认证中心存储着一次性密码电子装置唯一标识和一次性密码后台列表的对应关系,在用户帐户绑定一次性密码电子装置的情况下,所述身份认证中心也存储着用户帐户信息和一次性密码电子装置唯一标识的对应关系;步骤S130:所述身份认证中心根据所述一次性密码后台列表判断刚才输入的一次性密码是否有效,若有效则执行步骤S140和S150,若判断结果为无效则确认身份认证失败,前面所述的根据一个一次性密码后台列表判断一个一次性密码有效是指在该一次性密码后台列表上能找到该密码,并且其对应的状态为第三状态,前面所述的根据一个一次性密码后台列表判断一个一次性密码无效是指不能在该一次性密码后台列表上找到该密码,或者能在该一次性密码后台列表上找到该密码但其对应的状态不是第三状态;步骤S140:所述身份认证中心确认身份认证成功;步骤S150:所述身份认证中心在所述一次性密码后台列表上将刚才输入的一次性密码成为无效,所述的在一个一次性密码后台列表上将一个一次性密码成为无效是指将该密码在该一次性密码后台列表上对应的状态从第三状态改为第四状态,或者直接将该密码从该一次性密码后台列表上删除。优选地,在所述步骤5之后,还有步骤S160:所述身份认证中心把在所述一次性密码后台列表上顺序位于刚才输入的一次性密码之前的所有密码都成为无效。优选地,所述步骤S110中,所述一次性密码电子装置输出一个密码的具体方法为以下中的一种或多种组合:通过显示屏显示密码文本;通过显示屏显示密码条形码;通过显示屏显示密码二维码;通过USB连接输出;通过蓝牙连接输出;通过近场通信(NearFieldCommunication,NFC)输出;通过射频识别(RadioFrequencyIdentification,RFID)输出;通过语言输出。2.一种一次性密码电子装置,包括:一次性密码管理模块、输出模块、触发模块,其中:一次性密码管理模块,用于预存一次性密码列表,也用于接收到触发模块的触发信号后按顺序从一次性密码列表中找到第一个状态为第一状态的一次性密码通过输出模块输出并将该密码状态改为第二状态;输出模块,用于输出密码;触发模块,用于产生触发信号至一次性密码管理模块。优选地,所述电子装置还包括一次性密码电子装置唯一标识,用于标识在所属的系统内唯一。优选地,所述电子装置还包括生物特征认证模块,用于只有通过该模块生物特征认证后才能输出一次性密码,所谓生物特征指的是指纹、虹膜、本文档来自技高网...
【技术保护点】
一种身份认证方法,其特征在于,包括步骤如下:步骤S110:一次性密码电子装置根据用户触发按顺序在其上预存的一次性密码列表上找到第一个状态为第一状态的一次性密码,并输出该一次性密码且改其状态为第二状态,该一次性密码将被输入到身份认证中心,一同被输入到身份认证中心的还有该一次性密码电子装置的唯一标识或用户帐户标识,前面所述的预存的一次性密码列表包含多个一次性密码,每个一次性密码由数字、字母、符号组成,在列表内唯一,对应的初始状态都为第一状态,前面所述的用户帐户标识是用来找到对应的唯一的用户帐户,其包括用户帐号、用户名称、身份证号、电话号码和电子邮箱中的至少一种,还可以包括用户帐户登录密码;步骤S120:所述身份认证中心根据输入的一次性密码电子装置唯一标识或用户帐户标识找到对应的一次性密码后台列表,若输入的用户帐户标识不正确或找不到一次性密码后台列表则确认身份认证失败,前面所述的一次性密码后台列表是预存在所述身份认证中心上,一个一次性密码后台列表对应着一个一次性密码电子装置上的一次性密码列表,它们之间有着相同的数量、密码值、顺序,该一次性密码后台列表的每个一次性密码对应的初始状态都为第三状态,所述身份认证中心存储着一次性密码电子装置唯一标识和一次性密码后台列表的对应关系,在用户帐户绑定一次性密码电子装置的情况下,所述身份认证中心也存储着用户帐户信息和一次性密码电子装置唯一标识的对应关系;步骤S130:所述身份认证中心根据所述一次性密码后台列表判断刚才输入的一次性密码是否有效,若有效则执行步骤S140和S150,若判断结果为无效则确认身份认证失败,前面所述的根据一个一次性密码后台列表判断一个一次性密码有效是指在该一次性密码后台列表上能找到该密码,并且其对应的状态为第三状态,前面所述的根据一个一次性密码后台列表判断一个一次性密码无效是指不能在该一次性密码后台列表上找到该密码,或者能在该一次性密码后台列表上找到该密码但其对应的状态不是第三状态;步骤S140:所述身份认证中心确认身份认证成功;步骤S150:所述身份认证中心在所述一次性密码后台列表上将刚才输入的一次性密码成为无效,所述的在一个一次性密码后台列表上将一个一次性密码成为无效是指将该密码在该一次性密码后台列表上对应的状态从第三状态改为第四状态,或者直接将该密码从该一次性密码后台列表上删除。...
【技术特征摘要】
1.一种身份认证方法,其特征在于,包括步骤如下:步骤S110:一次性密码电子装置根据用户触发按顺序在其上预存的一次性密码列表上找到第一个状态为第一状态的一次性密码,并输出该一次性密码且改其状态为第二状态,该一次性密码将被输入到身份认证中心,一同被输入到身份认证中心的还有该一次性密码电子装置的唯一标识或用户帐户标识,前面所述的预存的一次性密码列表包含多个一次性密码,每个一次性密码由数字、字母、符号组成,在列表内唯一,对应的初始状态都为第一状态,前面所述的用户帐户标识是用来找到对应的唯一的用户帐户,其包括用户帐号、用户名称、身份证号、电话号码和电子邮箱中的至少一种,还可以包括用户帐户登录密码;步骤S120:所述身份认证中心根据输入的一次性密码电子装置唯一标识或用户帐户标识找到对应的一次性密码后台列表,若输入的用户帐户标识不正确或找不到一次性密码后台列表则确认身份认证失败,前面所述的一次性密码后台列表是预存在所述身份认证中心上,一个一次性密码后台列表对应着一个一次性密码电子装置上的一次性密码列表,它们之间有着相同的数量、密码值、顺序,该一次性密码后台列表的每个一次性密码对应的初始状态都为第三状态,所述身份认证中心存储着一次性密码电子装置唯一标识和一次性密码后台列表的对应关系,在用户帐户绑定一次性密码电子装置的情况下,所述身份认证中心也存储着用户帐户信息和一次性密码电子装置唯一标识的对应关系;步骤S130:所述身份认证中心根据所述一次性密码后台列表判断刚才输入的一次性密码是否有效,若有效则执行步骤S140和S150,若判断结果为无效则确认身份认证失败,前面所述的根据一个一次性密码后台列表判断一个一次性密码有效是指在该一次性密码后台列表上能找到该密码,并且其对应的状态为第三状态,前面所述的根据一个一次性密码后台列表判断一个一次性密码无效是指不能在该一次性密码后台列表上找到该密码,或者能在该一次性密码后台列表上找到该密码但其对应的状态不是第三状态;步骤S140:所述身份认证中心确认身份认证成功;步骤S150:所述身份认证中心在所述一次性密码后台列表上将刚才输入的一次性密码成为无效,所述的在一个一次性密码后台列表上将一个一次性密码成为无效是指将该密码在该一次性密码后台列表上对应的状态从第三状态改为第四状态,或者直接将该密码从该一次性密码后台列表上删除。2.根据权利要求1所述的方法,其特征在于,在所述步骤5之后,还有步骤S160:所述身份认证中心把在所述一次性密码后台列表上顺序位于刚才输入的一次性密码之前的所有密码都成为无效。3.根据权利要求1至2任一项所述的方法,其特征在于,所述步骤S110中,所述一次性密码电子装置输出一个密码的具体方法为以下中的一种或多种组合:通过显示屏显示密码文本;通过显示屏显示密码条形码;通过显示屏显示密码二维码;通过USB连接输出;通过蓝牙连接输出;通过近场通信(NearFieldCommunication,NFC)输出;通过射频识别(RadioFrequencyIdentification,RFID)输出;通过语...
【专利技术属性】
技术研发人员:余仁植,
申请(专利权)人:余仁植,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。