基于双动态口令的身份鉴别系统

1.一种基于双动态口令的身份鉴别系统，其特征在于由用户验证IC卡(1)， IC卡读写卡装置(2)，前端认证处理器(3)，后台认证控制器(4)和IC卡信息处 理器(5)，IC卡写卡装置(6)构成，用户验证IC卡(1)内存有IC卡标识(81)， 用户标识码(82)，并可依需要产生随机数(83)，所有的数据通过IC卡读写卡装 置(2)传输到前端认证处理器(3)，前端认证处理器(3)与键盘(37)连接并通 过端口(41)与后台认证控制器(4)的网卡(42)连接，后台认证控制器(4)的 网卡(42)通过端口(41)与IC卡信息处理器(5)连接，IC卡信息处理器(5) 与键盘(57)和IC卡写卡装置(6)连接，IC卡写卡装置(6)通过读写卡装置(2) 与用户验证IC卡(1)连接，用户注册信息(92)通过键盘(57)输入IC卡信息 处理器(5)的数据库(56)并将用户标识码(82)通过IC卡写卡装置写入用户验 证IC卡(1)中，用户将用户验证IC卡(1)插入IC卡读卡装置(2)时，经读卡 装置(2)读出卡内的IC卡标识(81)，用户标识码(82)和随机数(83)，前端认 证处理器(3)首先将用户标识码(82)传输到后台认证控制器(4)，后台认证控 制器(4)从IC卡信息处理器(5)的数据库(56)中检索与用户标识码(82)匹 配的用户并返回是否存在匹配用户的核对结果，存在匹配用户情形下由前端认证处 理器(3)读取用户通过键盘(37)输入的用户标识码(84)与用户验证IC卡(1) 中的用户标识码(82)作比较，若不一致，前端认证处理器(3)作出终止认证动 作；而当一致时，前端认证处理器(3)向后台认证控制器(4)发出动态器口令需 求申请(86)，后台认证控制器(4)产生一个公用的消息包(90)置于信息区(46) 中供外部访问使用，同时其随机数生成器(45)产生一随机数并经中央处理器CPU (43)加工为动态口令码(88)存储于可读存贮器RAM(44)内备用并通过端口(41) 传送给前端认证处理器(3)，前端认证处理器(3)从IC卡(1)中读取随机数(83) 转换加工为动态口令码(86)，并将动态口令码(86，88)显示于身份认证窗口作 为提示并接收用户通过键盘(37)输入的动态口令码合成码(85)，将合成码(85) 和动态口令码(86)传输到后台认证控制器(4)，后台认证控制器(4)从可读存 贮器RAM(44)中读取出动态口令码(88)和预存的动态口令合成规则码(87)，将 动态口令码(86、88)进行组合运算，其结果与合成码(85)比较，并将比较结果 传回前端认证处理器(3)，由其决定本次认证通过与否，如通过，后台认证控制器 (4)产生一个公用消息包(91)设置于消息区提供外部访问使用。
2.根据权利要求1所述的系统，其特征在于所说的动态口令合成规则码(87) 由动态口令码(86、88)按齿轮咬合状合成，即两个口令码的字符按单序号合成。
3.根据权利要求1所述的系统，其特征在于所说的动态口令合成规则码(87) 由动态口令码(86、88)接双齿轮啮合状合成，即两个口令码的字符按双序号合成。
4.根据权利要求1所述的系统，其特征在于所说的动态合成规则码(87)由 动态口令码(86、88)直接连接后再将首位字符移动到末位或将末位字符移动到首 位。
5.根据权利要求1所述的系统，其特征在于动态口令合成规则码(87)由动 态口令码(86、88)直接连接后再将位于首位的两字符移动末位或将位于到末位的 两字符移动到首位。
6.根据权利要求1所述的系统，其特征在于合成规则码(87)由代码表示。
7.根据权利要求1所述的系统，其特征在于用户标识码(82)由用户和个人 静态密码组成，IC卡标识(81)为字母串，随机数(83)为IC卡(1)的卡号，为 数字串，当IC卡(1)插入IC卡读写卡装置(2)内，IC卡信息处理器(5)经IC 卡写卡装置(6)将用户标识码(82)，IC卡标识(81)写入IC卡(1)，IC卡(1) 交用户保存使用。
8.根据权利要求1所述的系统，其特征在于所述的用户验证IC卡(1)为CPU 型IC卡，该卡所产生的随机数(83)具有不同卡不同时间所产生的随机数的值均 不相同的特点，所说的IC卡读卡装置(2)和IC卡写卡装置(6)采用与IC卡(1) 配套的普通读卡设备，前端认证处理器(3)，后台认证控制器(4)和IC卡信息处 理器(5)为普通的个人计算机。

技术领域：\n本发明与计算机身份鉴别系统有关，尤其与基于双动态口令的IC卡身份鉴别 系统有关。\n背景技术：\n随着金融结算电子化，个人储蓄卡、个人信用卡、公路交费卡、企业缴税卡、 个人社会保险卡、IC电话卡、POS机的刷卡消费等金融电子结算服务产品已经得 到了非常广泛的应用。但因持卡人不慎泄露密码造成不同程度的经济损失的情况 时有发生，这在一定程度上引起人们对电子结算安全性的顾虑，也在一定程度上 影响到金融结算电子化更进一步的发展。究其原因，与这些电子结算系统采用的 是安全强度较低的传统口令认证技术不无关系。这种认证技术最大的弊端在于用 户口令是静态的，用户一旦确定其口令，就可保持不变而多次甚至长期使用，从 而容易被他人盗窃和冒用。\n另外，在许多涉密计算机系统场合，已经采用了比静态口令技术安全强度有 较大提高的动态口令技术，其典型代表为令牌式动态口令生成机制。这类身份认 证产品达到双因素口令认证的安全强度，符合大多数涉密场合安全强度要求，但 由于谁得到令牌谁就可得到动态口令码，仍然存在安全隐患。同时，由于金融电 子结算主要采用的是磁卡或IC卡作为用户凭证，令牌式动态口令的身份认证机制 在金融电子结算时凸显出其局限性。\n发明的内容：\n本发明的目的是提供一种安全性高，适用于各种IC卡的双动态口令的身份鉴 别系统。\n本发明是这样实现的：\n本发明基于双动态口令的身份鉴别系统，由用户验证IC卡1，IC卡读写卡装 置2，前端认证处理器3，后台认证控制器4和IC卡信息处理器5，IC卡写卡装 置6构成，用户验证IC卡1内存有IC卡标识81，用户标识82，并可依需要产生 随机数83，所有的数据通过IC卡读写卡装置2传输到前端认证处理器3，前端认 证处理器3与键盘37连接并通过端口41与后台认证控制器4的网卡42连接，后 台认证控制器4的网卡42通过端口41与IC卡信息处理器5连接，IC卡信息处 理器5与键盘57和IC卡写卡装置6连接，IC卡写卡装置6通过读写卡装置2与用 户验证IC卡1连接，用户注册信息92通过键盘57输入IC卡信息处理器5的数据 库56并将用户标识码82通过IC卡写卡装置写入用户验证IC卡1中，用户将用户 验证IC卡1插入IC卡读卡装置2时，经读卡装置2读出卡内的IC卡标识81，用 户标识82和随机数83，前端认证处理器3首先将用户标识码82传输到后台认证控 制器4，后台认证控制器4从IC卡信息处理器5的数据库56中检索与用户标识码 82匹配的用户并返回是否存在匹配用户的核对结果，存在匹配用户情形下由前端认 证处理器3读取用户通过键盘37输入的用户标识码84与用户验证IC卡1中的用 户标识码82作比较，若不一致，前端认证处理器3作出终止认证动作，而当一致 时，前端认证处理器3向后台认证控制器4发出动态器口令需求申请86，后台认证 控制器4产生一个公用的消息包90置于信息区46中供外部访问使用，同时其随机 数生成器45产生一随机数并经中央处理器CPU43加工为动态口令码88存储于可读 存贮器RAM44内备用并通过端口41传送给前端认证处理器3，前端认证处理器3从 IC卡1中读取随机数83转换加工为动态口令码86，并将动态口令码86，88显示 于身份认证窗口作为提示并接收用户通过键盘37输入的动态口令码合成码85，将 合成码85和动态口令码86传输到后台认证控制器4，后台认证控制器4从可读存 贮器RAM44中读取出动态口令码88和预存的动态口令合成规则码87，将动态口令 码86、88进行组合运算，其结果与合成码85比较，并将比较结果传回前端认证处 理器3，由其决定本次认证通过与否，如通过，后台认证控制器4产生一个公用消 息包91设置于消息区提供外部访问使用。\n动态口令合成规则码87由动态口令码86，88按齿轮咬合状合成，即两个口令 码的字符按单序号合成。\n动态口令合成规则码87由动态口令码86，88接双齿轮啮合状合成，即两个口 令码的字符按双序号合成。\n动态合成规则码87由动态口令码86，88直接连接后再将首位字符移动到末位 或将末位字符移动到首位。\n动态口令合成规则码87由动态口令码86，88直接连接后再将位于首位的两字 符移动末位或将位于到末位的两字符移动到首位。\n合成规则码87由代码表示。\n用户标识码82由用户和个人静态密码组成，IC卡标识81为字母串，随机数 83为新卡的内部IC卡号，为数字串，当空白用户验证IC卡1插入IC卡读写卡装 置2内，IC卡信息处理器5经IC卡写卡装置6将用户标识码82，IC卡标识81 写入IC卡1，新IC卡1交用户保存使用。\n用户验证IC卡1为CPU型IC卡，该卡所产生的随机数83具有不同卡不同时间所 产生的随机数的值均不相同的特点，所说的IC卡读卡装置2和IC卡写卡装置6 采用与IC卡1配套的普通读卡设备，前端认证处理器3，后台认证控制器4和IC 卡信息处理器5为普通的个人计算机。\n本发明具有以下优特点：\n一.所述系统和方法，其动态口令码由动态口令码88和动态口令码86两部份 组成，该两部份码分别由后台认证控制器4和IC卡1这两个不同的独立硬件产生， 并通过各自独立的传输通道进行传输。\n二.所述系统和方法，其动态口令最终的结果由认证控制器4、IC卡1和用户 个人三个方面共同决定，其中由认证控制器4决定动态口令码88，由IC卡1提供 动态口令码86的原始状态值并经前端认证处理器3加工生成动态口令码86，由用 户个人决定组合方法和最终的动态口令合成结果，仅当三者协同一致，才予以认 证通过。\n三.所述系统和方法，采用两阶段认证技术，第一阶段检验IC卡的系统标识、 用户标识等静态信息，谓之静态认证，第二阶段检验用户动态口令，谓之动态认 证。\n上述三个特点使本发明安全性有较大提高，可广泛用于各种金融结算IC卡。\n附图说明：\n图1为本发明系统框图\n图2为本发明处理逻辑流程示意图\n图3为本发明动态口令组合规则使用例描述表\n图4为本发明的系统后台认证控制处理流图\n图5为本发明的系统动态口令组合处理流程图\n图6为本发明的用户注册信息数据库中各数据表格定义说明\n图7为本发明的动态口令组合规则使用例描述表\n图8为单齿合成口令规则图。\n具体实施方式：\n基于IC卡的双动态口令身份鉴别方法和系统，其系统由用户验证IC卡1、IC 卡读写卡装置2、前端认证处理器3、后台认证控制器4和IC卡信息处理器5，IC 卡写卡装置6构成，用户验证IC卡1是本系统的用户身份识别卡，卡内存有IC 卡标识81，用户标识82，并可依需要产生随机数83，IC卡读写卡装置2的数据 输出线接入前端认证处理器3的COM口31，完成IC卡数据读取并传输到前端认证 处理器3的工作，前端认证处理器3完成IC卡读卡、接收键盘输入和前台验证， 其键盘插孔33与键盘37连接，通过内置网卡34的端口32与后台认证控制器4 进行网络连接，本处理器首先从COM口31读取用户验证IC卡1的IC卡标识81， 用户标识82，存储于RAM36中，在判断IC卡标识81属系统通行标识后，通过端 口32将用户标识82发送至后台认证控制器4，当接收到后台认证控制器4传回的 认证通过的标识信息后，读取用户通过键盘37输入的用户标识输入84，与从IC 卡读取的用户标识82比较，当二者相符时，向后台认证控制器4发出本阶段认证 通过的标识信息，然后，接收后台认证控制器4传来的动态口令码一88，将存储 于RAM36中的随机数83按照一定规则加工转换为动态口令码二86，与动态口令码 二88一起提供用户参照，接收用户通过键盘37输入的合成动态口令输入码85， 将该码和动态口令码二86一起传输到后台认证控制器4进行后台认证处理，当接 收到后台认证控制器4反馈的认证通过标志89，且当该标志信息的值为“通过”   时准许用户进入系统，后台认证控制器4通过网卡42的端口41与前端认证处理 器3和IC卡信息处理器5进行网络连接，完成相互间的数据传输，在从端口41 接收到前端认证处理器3提供的用户标识82后，通过网络从卡信息处理器5的用 户注册信息数据库56中获得该用户的用户标识93、和预留的动态口令合成规则87 码，保存动态口令合成规则87于RAM44内备用，用该用户标识93与用户标识输 入84核对，将核对结果反馈给前端认证处理器3，当核对结果为正确时，产生一 标明该用户已经通过第一阶段认证的公用消息包90并将该消息包90放置于消息 区46中提供外部应用的访问使用，在接收到前端认证处理器3发出的动态口令码 申请信号时，其中的随机数生成器45产生一随机数并经CPU43加工处理为动态口 令码一88，保存该码于RAM44内备用并通过端口41传送至前端认证处理器3，此 后，在通过端口41接收到前端认证处理器3传送的动态口令码二86以及合成口 令输入85时，从RAM44中取出动态口令码一88和动态口令合成规则87码，将动 态口令码一88和动态口令码二86按照口令合成规则17所对应的合成方法进行组 合，该组合结果与合成口令输入85进行比较，并向前端认证处理器3反馈认证通 过标志89，当动态口令验证结果为通过时，产生一标明该用户已经通过第二阶段 认证的公用消息包91并将该消息包91放置于消息区46中提供外部应用的访问使 用，卡信息处理器5通过网卡54的端口53与后台认证控制器4进行网络连接， 通过键盘插孔52连接输入键盘57接收用户注册信息92的键盘输入，完成IC卡 信息处理，登录IC卡发卡信息，并将用户注册登记信息记入用户注册信息数据 库56中，其COM口51与IC卡写卡装置6连接，当新用户注册完成时，该用户的 用户标识82通过IC卡写卡装置6写入用户验证IC卡1，当后台认证控制器4发 来的数据查询请求信号95时从用户注册信息数据库56中查询并将查询结果用户 标识93、动态口令合成规则87通过网卡54的端口53发送给后台认证控制器4； 所述的用户验证IC卡1采用CPU型IC卡，该卡所产生的随机数83具有不同卡不 同时间所产生的随机数83的值均不相同的特点；\n所述的IC卡读卡装置2和IC卡写卡装置6采用与IC卡配套的普通读写卡设 备；\n所述的前端认证处理器3、后台认证控制器4和IC卡信息处理器5采用普通 的个人计算机PC结构。\n根据本发明系统构成，其系统处理流程如下：\n1，注册写卡：由所述的IC卡信息处理器5完成，其工作包括将用户提供的用 户名、编号、用户分类等相关信息和用户标识码以及选择确定的口令合成规则码 通过键盘录入，数据记录到用户注册信息数据库56中，然后经IC卡写卡装置6将 用户标识码82写入一新的IC卡1；\n2，登录读卡：由前端认证处理器3控制完成，在用户将用户验证IC卡1插入 IC卡读卡装置2时，经读卡装置2读出卡内的IC卡标识81和用户标识82；\n3，第一阶段验证-IC卡合法性验证：由前端认证处理器3、后台认证控制器 4、IC卡信息处理器5以及登录用户协同完成，其过程为：前端认证处理器3首先 对IC卡标识码81的合法性进行判断，然后将该卡中的用户标识码82传输到后台 认证控制器4，后台认证控制器4从IC卡信息处理器5的用户注册信息数据库56 中检索与用户标识匹配的用户，并返回是否存在匹配用户的核对结果，存在匹配 用户情形下由前端认证处理器3读取用户输入的用户标识码84，与IC卡中的用户 标识码82作比较，若不一致，即告IC卡合法性验证未通过，前端认证处理器3作 出终止认证动作，在验证通过情况下，前端认证处理器3向后台认证控制器4发出 第一阶段验证已通过的标志信息，该标志信息同时作为向后台认证控制器4发出动 态口令需求申请被后台认证控制器4接收，后台认证控制器4将产生一个公用的消 息包90，指示该登录者通过了第一阶段验证，以提供相关应用使用；\n4，第二阶段验证-动态口令验证：由前端认证处理器3、后台认证控制器4 以及登录用户协同完成，其过程为：后台认证控制器4产生一随机数，转换加工为 动态口令子串一88，传输到前端认证处理器3，前端认证处理器3从IC卡中读取 一随机数83转换加工为动态口令子串二86，前端认证处理器3将该两个动态口 令子串显示于身份认证窗口，提示并接收用户通过键盘输入的动态口令码合成输 入85，将组合动态口令输入85和由动态口令子串二86传输到后台认证控制器4， 后台认证控制器4按照动态口令组合规则87将动态口令子串一88和动态口令子串 二86进行组合运算，其结果与前端认证处理器传输来的组合动态口令输入85比较， 并将比较结果传回前端认证处理器3，前端认证处理器3接收认证结果并依此决定 本次认证通过与否，同时后台认证控制器4将产生一个公用的消息包91，指示该 登录者通过了第二阶段验证，以提供相关应用使用。\n本发明的系统结构参见附图1。其中：\n1＝CPU型IC卡\n2＝IC卡读写卡装置\n3＝前端认证处理器\n4＝后台认证控制器\n5＝IC卡信息处理器\n6＝IC卡写卡装置\n31＝前端认证处理器3的COM通讯专用接口，用于与IC卡读写卡装置2连 接\n32＝前端认证处理器3的网络连接端口，即网卡34与外部的连接端口\n33＝前端认证处理器3的键盘接口\n34＝前端认证处理器3的内置网卡\n35＝前端认证处理器3的中央处理器(CPU)\n36＝前端认证处理器3的内部存储器(RAM)\n37＝前端认证处理器3的键盘\n41＝后台认证控制器4的网络连接端口，即网卡34与外部的连接端口\n42＝后台认证控制器4的内置网卡\n43＝后台认证控制器4的中央处理器(CPU)\n44＝后台认证控制器4的内部存储器(RAM)\n45＝后台认证控制器4的随机数发生器\n46＝后台认证控制器4的公共消息区，是本系统提供外部系统或应用的数据接 口\n51＝IC卡信息处理器5的COM通讯专用接口，用于与IC卡写卡装置6连接\n52＝IC卡信息处理器5的键盘接口\n53＝IC卡信息处理器5的网络连接端口，即网卡54与外部的连接端口\n54＝IC卡信息处理器5的内置网卡\n55＝IC卡信息处理器5的中央处理器(CPU)\n56＝IC卡信息处理器5的注册用户信息数据库\n57＝IC卡信息处理器5的键盘\n81＝IC卡标识码，系统静态认证要素之一，包括生产厂家标识码或系统专用 标识码以及IC卡序列号等，由生产厂家在IC卡制作时写入或经本系统新用户注册 时写入\n82＝用户标识码，系统静态认证要素之一，可以是系统确定的用户名称、用户 代码或帐号以及静态口令码，该码由IC卡信息处理器5在向新用户发卡时产生并 经IC卡写卡装置6写入\n83＝IC卡随机数，系统静态认证要素之一，由IC卡随机产生，是一串由0-9 的数字和A-Z的英文字母组成的字符串，各IC卡在不同时间所产生的随机数均互 不相同，具有系统唯一性\n84＝用户标识输入，系统静态认证要素之一，由用户输入的一字符串，用于与 IC卡中存储的用户标识码的对比\n85＝合成口令输入，系统动态认证要素，是一定长字符串，由用户根据系统提 供的两个动态口令子串以及该用户在注册时预留的合成规则组合后输入\n86＝动态口令码二，系统动态认证要素之一，是前端认证处理器根据IC卡产 生的随机数经特定转换处理后得到的一个定长字符串\n87＝动态口令合成规则，系统动态认证要素之一，是用户合成动态口令必须遵 守以及系统动态口令校验用的规则，本系统中的动态口令合成规则在新用户注册 时由用户从系统提供的合成规则库中挑选确定，规则的使用例参见附图七中的《动 态口令组合规则使用例描述表》\n88＝动态口令码一，系统动态认证要素之一，是后台认证控制器随机产生并经 特定转换处理后得到的一个定长字符串\n89＝认证通过标志，由后台认证控制器在对登录用户经过静态认证和动态认证 后给出的一个该用户是否合法用户的标志信息\n90＝公用消息包1，由后台认证控制器在确认登录用户通过第一阶段的静态认 证后产生，包括登录用户的用户标识、登录主机地址、登录时间等信息，提供外 部应用\n91＝公用消息包2，由后台认证控制器在确认登录用户通过第二阶段的动态认 证后产生，包括登录用户的用户标识、登录主机地址、登录时间等信息，提供外 部应用\n92＝用户注册信息，在新用户注册登记时录入系统，包括用户名、编号、用户 分类等\n93＝由IC卡信息处理器提供的用户标识，可以是系统确定的用户名称、用户 代码或帐号以及静态口令码，该码在静态认证过程中由IC卡信息处理器提供给后 台认证控制器\n95＝信息查询请求信号，在用户登录系统时后台认证控制器发出给IC卡信 息处理器，以请求用户信息的查询。\n根据本发明系统和处理过程的身份认证方法如下：\n用户注册：\n在对注册用户作为系统或应用的合法使用者进行授权时，用户向系统提供相关 信息和用户标识码并选择确定一种口令合成规则，系统向一新的用户IC卡中写入 系统标识码和用户标识码，并将这些用户信息、用户标识码、用户选定的口令组 合规则码以及所授予IC卡的卡号信息记录到系统，新产生的IC卡交予用户保存使 用；\n用户身份认证：\n1.读卡：用户将个人IC卡插入IC卡读卡装置，卡内的IC卡标识和用户标 识经读卡装置读出并传输到前端认证处理器；\n2.第一阶段验证-IC卡合法性验证：\n①前端认证处理器首先判断IC卡标识码是否为本系统允许使用的标识 码，\n②然后将该卡中的用户标识码传输到后台认证控制器，后台认证控制器从 IC卡信息处理器的用户注册信息数据库中检索与用户标识匹配的用 户，并返回是否存在匹配用户的核对结果，\n③存在匹配时，由前端认证处理器读取用户键盘输入的用户标识码，与IC 卡中的用户标识码进行比较，若不一致，即告IC卡合法性验证未通过，\n④若一致，前端认证处理器向后台认证控制器发出动态口令一需求申请；\n3.第二阶段验证-动态口令验证：\n①后台认证控制器产生一随机数，转换加工为动态口令子串一，传输到前 端认证处理器，\n②前端认证处理器从IC卡中读取一随机数转换加工为动态口令子串二，\n③前端认证处理器将后台认证控制器传来的动态口令子串一和由IC卡产 生的动态口令子串二显示于身份认证窗口，并提示用户进行动态口令码 组合输入，\n④用户按照预留的组合规则完成由动态口令子串一和动态口令子串二组合 为动态口令的组合和输入，\n⑤前端认证处理器接收到用户输入的组合动态口令后，将组合动态口令和 由IC卡产生的动态口令子串二传输到后台认证控制器，\n⑥后台认证控制器按照用户预留的动态口令组合规则将动态口令子串一和 传输来的动态口令子串二进行组合运算，其结果与前端认证处理器传输 来的组合动态口令码比较，并将比较结果传回前端认证处理器，\n⑦前端认证处理器接收认证结果并依此决定本次认证通过与否。\n本发明的系统处理流程参见附图2。\n本发明的系统前端认证处理流程参见附图3。\n本发明的系统后台认证控制处理流图参见附图4。\n本发明的系统动态口令组合处理流程参见附图5。\n本发明的系统数据表格结构参见附图6。\n为进一步说明本发明，特举实施例如下。但本发明的内容不仅限于实施例中所 涉及的内容。\n本例中先作以下假定：\n假定1：新用户××申请注册，系统采用用户名和个人静态密码为系统用户标 识，预留的用户名为“AAAAAA”，用户标识(静态密码)“66668888”，新卡的内部IC 卡号为987654321，IC卡的卡标识为“ZYXW”；\n假定2：系统的后台认证控制器对随机数转换为动态口令字串一的算法为：将 该随机数先由数字转换为字符串，然后截取使用该字符串的前4个字符作为动态 口令字串一；\n假定3：系统的前端认证处理器对从IC卡读取的随机数转换为动态口令字串二 的算法为：将该随机数先由数字转换为字符串，然后截取使用该字符串的前4个 字符作为动态口令字串二；\n假定4：本例中用户选定的动态口令合成规则为代码为‘A001’的单齿合规则， 该规则参见附图八的图示说明。\n新用户注册：\n1.本系统的IC卡信息处理器接收新用户的用户名AAAAAA、静态密码 66668888以及相关信息的键盘输入；\n2.IC卡信息处理器提供动态口令合成规则说明表信息供用户参考并接收用户 选用的动态口令合成规则编码信息，假定该用户选用代码为‘A001’的合成规则， 在本系统中该规则命名为‘单齿合规则’；\n3.IC卡信息处理器的CPU将该用户的储户名称、用户名AAAAAA、静态密 码66668888、IC卡内部卡号987654321及动态口令合成规则码A001等信息存入 注册用户注册信息数据库的用户登记表tet_usertable及IC卡登记表tet_ic中；\n4.操作人员将一空白IC卡插入IC卡写卡装置内，本系统的IC卡信息处理器 经IC卡写卡装置将用户名AAAAAA和静态密码66668888作为用户标识写入IC 卡；\n5.新卡交付用户保存使用。\n用户登录系统的身份认证：\n用户首先将个人IC卡插入IC卡读卡机，系统进入用户身份认证程序。其处理 流程如下：\n1.前端认证处理器首先读取IC卡中的IC卡标识信息，判断是否为“ZYXW”， 不是则提示错误并终止本次认证，若是，则继续处理；\n2.前端认证处理器首先读取IC卡中的用户标识，传输给后台认证控制器；\n3.后台认证控制器接收到用户标识信息后，检索用户注册信息数据库中的用 户登记表tet_usertable与用户标识相匹配的记录，并返回是否存在匹配用户的结果 报告；\n4.前端认证处理器显示数据处理窗口，提请用户输入用户名和静态密码，该 输入信息与IC卡中的用户名和静态密码比较，以此判断该用户对IC卡的使用合法 性，若一致，则向后台认证控制器发出静态验证通过的标志信息，否则重复一定 次数的输入和验证过程，在限定的次数内验证均告错误则退出认证处理；\n5.后台认证控制器在接收到前端认证处理器发来的作为第一阶段的静态验证 通过的标志信息后，产生公用消息包1，然后自动生成一随机数，假定为 ‘234567890123’，系统截取前四个字符，转换为动态口令子串一“2345”，传输 到前端认证处理器；\n6.前端认证处理器从IC卡中读取一随机数，假定为‘987654321’，系统截取 前四个字符，转换为动态口令子串二“9876”，和动态口令子串一“2345”显示于 身份认证窗口，并提示用户进行动态口令码组合输入；\n7.用户按照预留的组合规则A001组合方法完成由动态口令子串一和动态口令 子串二组合为动态口令的组合输入；\n8.前端认证处理器接收到用户输入的组合动态口令后，将组合动态口令和根 据IC卡产生的随机数加工生成的动态口令子串二传输到后台认证控制器；\n9.后台认证控制器按照用户预留的动态口令组合规则将动态口令子串一和传 输来的动态口令子串二进行组合运算，其结果与前端认证处理器传输来的组合动 态口令码比较，判断是否为“29384756”，并将比较结果传回前端认证处理器，并 在比较一致情况下产生公用消息包2，以此完成第二阶段的动态验证；\n10.前端认证处理器接收后台认证控制器发来的动态口令认证结果，如果其结 果为“通过”，则允许用户进入操作系统或特定应用，否则重复一定次数的上述步 骤7-9的动态口令输入和验证过程，在限定的次数内验证均告错误则拒绝进入。