著录项信息
专利名称 | 基于动态口令进行身份认证的方法和系统 |
申请号 | CN200910081123.1 | 申请日期 | 2009-04-02 |
法律状态 | 授权 | 申报国家 | 中国 |
公开/公告日 | 2009-11-18 | 公开/公告号 | CN101582764 |
优先权 | 暂无 | 优先权号 | 暂无 |
主分类号 | H04L9/32 | IPC分类号 | H;0;4;L;9;/;3;2查看分类表>
|
申请人 | 北京飞天诚信科技有限公司 | 申请人地址 | 北京市海淀区学院路40号研7A楼5层
变更
专利地址、主体等相关变化,请及时变更,防止失效 |
权利人 | 北京飞天诚信科技有限公司 | 当前权利人 | 北京飞天诚信科技有限公司 |
发明人 | 陆舟;于华章 |
代理机构 | 北京三高永信知识产权代理有限责任公司 | 代理人 | 何文彬 |
摘要
本发明公开了一种基于动态口令进行身份认证的方法和系统,属于信息安全领域。该方法包括:绑定时,服务终端验证用户的账户和静态密码,第三方认证终端验证用户的动态口令,若正确则账户和动态口令令牌绑定成功,服务终端建立并保存个人信息、账户与动态口令令牌的编号对应关系,第三方认证终端建立并保存个人信息和动态口令令牌编号的对应关系;当用户登录服务终端时,服务终端验证用户的账户和静态密码,第三方认证终端对用户的个人信息和动态口令分别进行验证,若均验证通过则登录成功,否则登录失败。该系统包括:客户端、服务终端和第三方认证终端。本发明降低了成本和用户使用动态口令进行身份认证的复杂度,容易实现,方便操作,便于维护。
1.一种基于动态口令进行身份认证的方法,其特征在于,所述方法包括绑定过程和登录过程;
所述绑定过程包括:
服务终端接收用户输入的个人信息、静态密码、账户、动态口令令牌的编号和动态口令,对所述账户和静态密码进行验证,如果所述账户或静态密码错误,则绑定操作终止,如果所述账户和静态密码均正确,则向第三方认证终端发送所述动态口令令牌的编号和动态口令,请求对所述动态口令进行验证;
所述第三方认证终端收到后,根据所述动态口令令牌的编号对所述动态口令进行验证,返回验证结果给所述服务终端;
如果所述验证结果正确,所述服务终端建立并保存所述个人信息、账户与动态口令令牌的编号对应关系,将所述用户的个人信息发送给所述第三方认证终端,所述第三方认证终端收到后,建立并保存所述个人信息与动态口令令牌的编号对应关系,完成所述账户和动态口令令牌的绑定过程;
如果所述验证结果不正确,则所述账户和动态口令令牌绑定失败;
所述登录过程包括:
当所述用户在绑定成功后登录所述服务终端时,所述服务终端接收所述用户输入的所述账户的登录信息、静态密码和动态口令,验证所述账户和静态密码,如果所述账户或静态密码错误,则禁止所述用户登录,如果所述账户和静态密码均正确,则根据本地保存的对应关系查找与所述登录信息对应的个人信息和动态口令令牌的编号,将所述个人信息、动态口令令牌的编号和所述动态口令发送给所述第三方认证终端请求认证;
所述第三方认证终端收到后,根据所述动态口令令牌的编号以及本地保存的对应关系,对收到的所述个人信息和动态口令分别进行验证,返回验证结果给所述服务终端;
如果所述个人信息和动态口令均验证通过,则所述用户登录成功,否则,所述用户登录失败。
2.根据权利要求1所述的基于动态口令进行身份认证的方法,其特征在于,所述绑定过程之前,还包括:
所述第三方认证终端给所述动态口令令牌分配唯一的种子和唯一的编号;
所述用户申请并获得保存有所述种子和编号的所述动态口令令牌。
3.根据权利要求1所述的基于动态口令进行身份认证的方法,其特征在于,所述个人信息包括用户的姓名、身份证号、电话号码、地址和电子邮箱中的至少一种。
4.根据权利要求1所述的基于动态口令进行身份认证的方法,其特征在于,所述静态密码为所述用户在所述服务终端建立的与所述账户对应的服务密码。
5.根据权利要求1所述的基于动态口令进行身份认证的方法,其特征在于,所述登录信息包括动态密码,还包括用户姓名、动态口令令牌的编号、身份证号和电子邮箱中的至少一种。
6.根据权利要求1所述的基于动态口令进行身份认证的方法,其特征在于,在所述绑定过程中,所述验证结果正确之后,还包括:
所述第三方认证终端更新所述动态口令令牌的状态信息;
所述状态信息包括生成动态口令时所需要的动态参数。
7.根据权利要求1所述的基于动态口令进行身份认证的方法,其特征在于,在所述登录过程中,所述个人信息和动态口令均验证通过之后,还包括:
所述第三方认证终端更新所述动态口令令牌的状态信息;
所述状态信息包括生成动态口令时所需要的动态参数。
8.一种基于动态口令进行身份认证的系统,其特征在于,所述系统包括客户端、服务终端和第三方认证终端;
所述客户端包括:
输入模块,用于在绑定过程中,接收用户输入的个人信息、静态密码、账户、动态口令令牌的编号和动态口令,当所述用户在绑定成功后登录所述服务终端时,接收所述用户输入的所述账户的登录信息、静态密码和动态口令;
通信模块,用于将所述输入模块收到的所有信息发送给所述服务终端,接收所述服务终端返回的绑定结果和登录结果;
输出模块,用于在绑定过程中,输出所述绑定结果给用户,在用户登录过程中,提示用户输入登录信息、静态密码和动态口令,输出所述登录结果给用户;
所述服务终端包括:
通信模块,用于与所述客户端进行通信,接收所述用户在绑定和登录时输入的信息,还与所述第三方认证终端进行通信,接收所述第三方认证终端返回的绑定验证结果和登录验证结果;
绑定验证处理模块,用于对用户在绑定过程中输入的所述账户和静态密码进行验证,如果所述账户或静态密码错误,则终止绑定操作,如果所述账户和静态密码均正确,则通过所述服务终端的通信模块向所述第三方认证终端发送所述动态口令令牌的编号和动态口令,请求对所述动态口令进行验证;
绑定结果处理模块,用于通过当所述绑定验证结果正确时,建立并保存所述个人信息、账户与动态口令令牌的编号的对应关系,通过所述服务终端的通信模块通知所述客户端所述账户和动态口令令牌绑定成功,并通过所述服务终端的通信模块将所述用户的个人信息发送给所述第三方认证终端,还用于当所述绑定验证结果不正确时,通过所述服务终端的通信模块通知所述客户端所述账户和动态口令令牌绑定失败;
登录验证处理模块,用于对用户在登录过程中输入的所述账户和静态密码进行验证,如果所述账户或静态密码错误,则禁止所述用户登录,如果所述账户和静态密码均正确,则根据所述服务终端保存的对应关系查找与所述登录信息对应的个人信息和动态口令令牌的编号,通过所述服务终端的通信模块将所述个人信息、动态口令令牌的编号和所述动态口令发送给所述第三方认证终端请求认证,还用于当所述服务终端的通信模块收到的登录验证结果为所述个人信息和动态口令均验证通过时,通过所述服务终端的通信模块通知所述客户端所述用户登录成功,当所述登录验证结果不是所述个人信息和动态口令均验证通过时,通过所述服务终端的通信模块通知所述客户端所述用户登录失败;
所述第三方认证终端包括:
通信模块,用于与所述服务终端进行通信;
绑定验证模块,用于在所述第三方认证终端的通信模块收到所述动态口令令牌的编号和动态口令后,根据所述动态口令令牌的编号对所述动态口令进行验证,通过所述第三方认证终端的通信模块返回绑定验证结果给所述服务终端;
存储模块,用于在所述第三方认证终端的通信模块收到所述用户的个人信息后,建立并保存所述个人信息与动态口令令牌的编号的对应关系;
登录验证模块,用于在所述第三方认证终端的通信模块收到所述个人信息、动态口令令牌的编号和所述动态口令后,根据所述动态口令令牌的编号以及所述第三方认证终端保存的对应关系,对所述个人信息和动态口令分别进行验证,通过所述第三方认证终端的通信模块返回登录验证结果给所述服务终端。
9.根据权利要求8所述的基于动态口令进行身份认证的系统,其特征在于,所述动态口令令牌存储有所述第三方认证终端分配的唯一的种子和唯一的编号。
10.根据权利要求8所述的基于动态口令进行身份认证的系统,其特征在于,所述个人信息包括用户的姓名、身份证号、电话号码、地址和电子邮箱中的至少一种。
11.根据权利要求8所述的基于动态口令进行身份认证的系统,其特征在于,所述静态密码为所述用户在所述服务终端建立的与所述账户对应的服务密码。
12.根据权利要求8所述的基于动态口令进行身份认证的系统,其特征在于,所述登录信息包括动态密码,还包括用户姓名、动态口令令牌的编号、身份证号和电子邮箱中的至少一种。
基于动态口令进行身份认证的方法和系统\n技术领域\n[0001] 本发明涉及信息安全领域,特别涉及一种基于动态口令进行身份认证的方法和系统。\n背景技术\n[0002] 目前,为了提高网上银行、电话银行、网上证券、电话证券、网上购物、网络游戏等网络应用系统的身份认证安全性,各行业、各企业纷纷推出比传统静态密码具有更高安全性的动态口令身份认证系统。\n[0003] 采用动态口令身份认证系统进行身份认证,极大提高了网络应用系统的安全性。\n但是,由于当前不同网络应用系统之间所使用的动态口令令牌不同,认证服务器也不相同,因此会对最终用户和服务提供商带来不利的影响。\n[0004] 对最终用户而言,一个用户通常会使用多个网络应用系统,比如一个用户在3个不同的银行拥有银行账户,在两个不同的证券公司拥有两个证券账户,另外还拥有网上购物账户、网络游戏账户等。如果该用户希望采用安全性更高的动态口令来保护其账户的安全性,那么需要所有的服务提供商都能提供基于动态口令的身份认证系统,而且该用户还得为每个账户购买一个动态口令令牌,结果是用户为了得到一个更安全的网络应用环境,需要购买多个动态口令令牌,这样不但增加了用户的使用成本,而且给用户的使用、携带、维护等造成很大的不便。\n[0005] 对于服务提供商而言,如果不能提供满足用户需求的动态口令身份认证系统,则会降低其竞争力,这是每个服务提供商都不愿意看到的。\n[0006] 综上所述,当前基于动态口令身份认证技术的应用系统具有以下缺点:\n[0007] 1、大幅提高了用户使用动态口令身份认证系统的成本;\n[0008] 2、增加了用户使用动态口令身份认证系统的复杂性、繁琐性和不便性;\n[0009] 3、不利于服务提供商积极采取行动应用动态口令身份认证系统来提升其服务的安全性。\n发明内容\n[0010] 本发明提供了一种基于动态口令进行身份认证的方法和系统,降低了成本和用户使用动态口令进行身份认证的复杂度,容易实现,方便操作,便于维护。\n[0011] 所述技术方案如下:\n[0012] 一种基于动态口令进行身份认证的方法,所述方法包括绑定过程和登录过程;\n[0013] 所述绑定过程包括:\n[0014] 服务终端接收用户输入的个人信息、静态密码、账户、动态口令令牌的编号和动态口令,对所述账户和静态密码进行验证,如果所述账户或静态密码错误,则绑定操作终止,如果所述账户和静态密码均正确,则向第三方认证终端发送所述动态口令令牌的编号和动态口令,请求对所述动态口令进行验证;\n[0015] 所述第三方认证终端收到后,根据所述动态口令令牌的编号对所述动态口令进行验证,返回验证结果给所述服务终端;\n[0016] 如果所述验证结果正确,所述服务终端建立并保存所述个人信息、账户与动态口令令牌的编号对应关系,将所述用户的个人信息发送给所述第三方认证终端,所述第三方认证终端收到后,建立并保存所述个人信息与动态口令令牌的编号对应关系,完成所述账户和动态口令令牌的绑定过程;\n[0017] 如果所述验证结果不正确,则所述账户和动态口令令牌绑定失败;\n[0018] 所述登录过程包括:\n[0019] 当所述用户在绑定成功后登录所述服务终端时,所述服务终端接收所述用户输入的所述账户的登录信息、静态密码和动态口令,验证所述账户和静态密码,如果所述账户或静态密码错误,则禁止所述用户登录,如果所述账户和静态密码均正确,则根据本地保存的对应关系查找与所述登录信息对应的个人信息和动态口令令牌的编号,将所述个人信息、动态口令令牌的编号和所述动态口令发送给所述第三方认证终端请求认证;\n[0020] 所述第三方认证终端收到后,根据所述动态口令令牌的编号以及本地保存的对应关系,对收到的所述个人信息和动态口令分别进行验证,返回验证结果给所述服务终端;\n[0021] 如果所述个人信息和动态口令均验证通过,则所述用户登录成功,否则,所述用户登录失败。\n[0022] 所述绑定过程之前,还包括:\n[0023] 所述第三方认证终端给所述动态口令令牌分配唯一的种子和唯一的编号;\n[0024] 所述用户申请并获得保存有所述种子和编号的所述动态口令令牌。\n[0025] 所述个人信息包括用户的姓名、身份证号、电话号码、地址和电子邮箱中的至少一种。\n[0026] 所述静态密码为所述用户在所述服务终端建立的与所述账户对应的服务密码。\n[0027] 所述登录信息包括动态密码,还包括用户姓名、动态口令令牌的编号、身份证号和电子邮箱中的至少一种。\n[0028] 在所述绑定过程中,所述验证结果正确之后,还包括:\n[0029] 所述第三方认证终端更新所述动态口令令牌的状态信息;\n[0030] 所述状态信息包括生成动态口令时所需要的动态参数。\n[0031] 在所述登录过程中,所述个人信息和动态口令均验证通过之后,还包括:\n[0032] 所述第三方认证终端更新所述动态口令令牌的状态信息;\n[0033] 所述状态信息包括生成动态口令时所需要的动态参数。\n[0034] 一种基于动态口令进行身份认证的系统,所述系统包括客户端、服务终端和第三方认证终端;\n[0035] 所述客户端包括:\n[0036] 输入模块,用于在绑定过程中,接收用户输入的个人信息、静态密码、账户、动态口令令牌的编号和动态口令,当所述用户在绑定成功后登录所述服务终端时,接收所述用户输入的所述账户的登录信息、静态密码和动态口令;\n[0037] 通信模块,用于将所述输入模块收到的所有信息发送给所述服务终端,接收所述服务终端返回的绑定结果和登录结果;\n[0038] 输出模块,用于在绑定过程中,输出所述绑定结果给用户,在用户登录过程中,提示用户输入登录信息、静态密码和动态口令,输出所述登录结果给用户;\n[0039] 所述服务终端包括:\n[0040] 通信模块,用于与所述客户端进行通信,接收所述用户在绑定和登录时输入的信息,还与所述第三方认证终端进行通信,接收所述第三方认证终端返回的绑定验证结果和登录验证结果;\n[0041] 绑定验证处理模块,用于对用户在绑定过程中输入的所述账户和静态密码进行验证,如果所述账户或静态密码错误,则终止绑定操作,如果所述账户和静态密码均正确,则通过所述服务终端的通信模块向所述第三方认证终端发送所述动态口令令牌的编号和动态口令,请求对所述动态口令进行验证;\n[0042] 绑定结果处理模块,用于通过当所述绑定验证结果正确时,建立并保存所述个人信息、账户与动态口令令牌的编号的对应关系,通过所述服务终端的通信模块通知所述客户端所述账户和动态口令令牌绑定成功,并通过所述服务终端的通信模块将所述用户的个人信息发送给所述第三方认证终端,还用于当所述绑定验证结果不正确时,通过所述服务终端的通信模块通知所述客户端所述账户和动态口令令牌绑定失败;\n[0043] 登录验证处理模块,用于对用户在登录过程中输入的所述账户和静态密码进行验证,如果所述账户或静态密码错误,则禁止所述用户登录,如果所述账户和静态密码均正确,则根据所述服务终端保存的对应关系查找与所述登录信息对应的个人信息和动态口令令牌的编号,通过所述服务终端的通信模块将所述个人信息、动态口令令牌的编号和所述动态口令发送给所述第三方认证终端请求认证,还用于当所述服务终端的通信模块收到的登录验证结果为所述个人信息和动态口令均验证通过时,通过所述服务终端的通信模块通知所述客户端所述用户登录成功,当所述登录验证结果不是所述个人信息和动态口令均验证通过时,通过所述服务终端的通信模块通知所述客户端所述用户登录失败;\n[0044] 所述第三方认证终端包括:\n[0045] 通信模块,用于与所述服务终端进行通信;\n[0046] 绑定验证模块,用于在所述第三方认证终端的通信模块收到所述动态口令令牌的编号和动态口令后,根据所述动态口令令牌的编号对所述动态口令进行验证,通过所述第三方认证终端的通信模块返回绑定验证结果给所述服务终端;\n[0047] 存储模块,用于在所述第三方认证终端的通信模块收到所述用户的个人信息后,建立并保存所述个人信息与动态口令令牌的编号的对应关系;\n[0048] 登录验证模块,用于在所述第三方认证终端的通信模块收到所述个人信息、动态口令令牌的编号和所述动态口令后,根据所述动态口令令牌的编号以及所述第三方认证终端保存的对应关系,对所述个人信息和动态口令分别进行验证,通过所述第三方认证终端的通信模块返回登录验证结果给所述服务终端。\n[0049] 所述动态口令令牌存储有所述第三方认证终端分配的唯一的种子和唯一的编号。\n[0050] 所述个人信息包括用户的姓名、身份证号、电话号码、地址和电子邮箱中的至少一种。\n[0051] 所述静态密码为所述用户在所述服务终端建立的与所述账户对应的服务密码。\n[0052] 所述登录信息包括动态密码,还包括用户姓名、动态口令令牌的编号、身份证号和电子邮箱中的至少一种。\n[0053] 本发明提供的上述技术方案,降低了用户使用动态口令令牌进行身份认证的成本、复杂度和繁琐性,有利于服务终端提供推广动态口令认证系统的应用,提升服务的安全性,用户只需一个动态口令令牌就可以注册登录多个服务终端的身份认证系统,极大地方便用户使用,容易实现,操作简单,并且动态口令令牌的种子由第三方认证终端集中管理,便于维护。\n附图说明\n[0054] 图1是本发明实施例提供的基于动态口令进行身份认证的应用示意图;\n[0055] 图2是本发明实施例提供的基于动态口令进行身份认证的方法流程图;\n[0056] 图3是本发明实施例提供的基于动态口令进行身份认证的系统结构图。\n具体实施方式\n[0057] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。\n[0058] 本发明实施例提供了一种集中式的基于动态口令进行身份认证的方法,引入第三方认证终端对用户进行绑定过程和登录过程的认证,方便用户使用动态口令令牌登录服务终端,尤其是可以实现用户使用一个动态口令令牌,就可以登录多个服务终端进行身份认证,极大地方便了用户使用。\n[0059] 参见图1,为本发明实施例提供的用户使用一个动态口令令牌分别登录多个服务终端的应用示意图。第三方认证终端与第一服务终端、第二服务终端和第三服务终端进行通信,用户使用一个动态口令令牌可以分别登录该三个服务终端,该动态口令令牌中保存有种子和编号,该种子和编号是第三方认证终端分配的,通常在生成动态口令令牌时写入。\n而且,第三方认证终端给每个动态口令令牌分配的种子都是唯一的,分配的编号也是唯一的。第三方认证终端利用数据库保存已分配的所有种子和编号,以方便在认证时使用。图中的第三方认证终端认证服务器表示在用户登录服务终端时,第三方认证终端具体采用认证服务器来为服务终端提供身份认证服务。其中,用户也可以通过每个服务终端处的业务终端登录服务终端,服务终端具体地通过业务终端来为用户提供服务。当用户登录时,通过客户端来登录服务终端,并且使用用户已获得的动态口令令牌来进行登录,该客户端和动态口令令牌在图中未画出。下面以用户登录一个服务终端为例具体说明绑定过程和登录过程。\n[0060] 参见图2,本发明实施例提供了一种基于动态口令进行身份认证的方法,具体包括:\n[0061] 步骤201:用户申请获得动态口令令牌;\n[0062] 在本实施例中,用户可以在第三方认证终端处注册申请获得,如果第三方认证终端将动态口令令牌提供给服务终端,则用户也可以在服务终端处注册申请获得。\n[0063] 步骤202:用户通过客户端输入个人信息、静态密码、账户、动态口令令牌的编号和动态口令给服务终端,请求对该账户和动态口令令牌进行绑定;\n[0064] 其中,该个人信息具体包括用户的姓名、身份证号、电话号码、地址和电子邮箱中的至少一种。该静态密码为用户在服务终端建立的与上述输入的账户对应的服务密码。用户输入的动态口令为使用该动态口令令牌生成的。\n[0065] 步骤203:服务终端收到用户输入的个人信息、静态密码、账户、动态口令令牌的编号和动态口令后,对该账户和静态密码进行验证,如果账户或静态密码错误,则绑定操作终止,如果账户和静态密码均正确,则向第三方认证终端发送动态口令令牌的编号和动态口令,请求对动态口令进行验证;\n[0066] 步骤204:第三方认证终端收到该动态口令令牌的编号和动态口令后,根据动态口令令牌的编号在本地查找对应的种子和状态信息,根据查找到的种子和状态信息生成临时动态口令,比对收到的动态口令和生成的临时动态口令,进行绑定验证,并返回绑定的验证结果给服务终端;\n[0067] 其中,状态信息是指与动态口令令牌相关的一些参数,用于在验证或认证时参与生成动态口令的运算,该参数包括:时间因子、事件因子等等。例如,利用当前系统的时间作为时间因子进行生成动态口令的计算,或者利用生成动态口令的次数作为事件因子进行生成动态口令的计算。\n[0068] 步骤205:服务终端收到第三方认证终端返回的验证结果后,判断该验证结果是否为验证通过,如果是,服务终端建立并保存用户的账户与个人信息、动态口令令牌的编号的对应关系,并将用户的个人信息发送给第三方认证终端,如果验证结果为验证未通过,则用户的账户和动态口令令牌绑定失败。\n[0069] 服务终端可以通过客户端将绑定的结果通知给用户。\n[0070] 在本实施例中,当使用计次的方法生成动态口令时,如果第三方认证终端的验证结果为正确时还包括,第三方认证终端更新该动态口令令牌的状态信息,即生成动态口令的次数;\n[0071] 相应的,当使用计时的方法生成动态口令时,如果第三方认证终端的验证结果为正确,并且第三方认证终端与用户的动态口令令牌的时间因子产生漂移时,第三方认证终端根据用户的时间作为标准,调整时间因子。\n[0072] 步骤206:第三方认证终端收到服务终端发来的用户的个人信息后,在本地建立并保存该个人信息与动态口令令牌的编号的对应关系,如保存在数据库中,完成绑定流程。\n[0073] 进一步地,绑定过程中如果验证结果正确,第三方认证终端还可以更新上述动态口令令牌的状态信息,该状态信息包括生成动态口令时所需要的动态参数。\n[0074] 以上步骤为绑定的过程,当用户完成账户与动态口令令牌在服务终端的绑定后,后续可以利用该动态口令令牌登录该服务终端,执行登录的流程。\n[0075] 步骤207:当用户在绑定成功后登录服务终端时,服务终端接收用户通过客户端输入的账户的登录信息、静态密码和动态口令,该登录信息包括上述账户;\n[0076] 其中,用户输入的登录信息包括动态密码,还可以包括用户姓名、动态口令令牌的编号、身份证号和电子邮箱中的至少一种。用户输入的动态口令为用户利用动态口令令牌生成的。\n[0077] 步骤208:服务终端验证账户和该静态密码,如果该账户或静态密码错误,则禁止用户登录,如果该账号和静态密码均正确,则根据本地保存的用户的账户与个人信息、账户动态口令令牌的编号的对应关系,查找与该账户对应的个人信息和动态口令令牌的编号,并将查找到的个人信息和动态口令令牌的编号以及收到的动态口令,发送给第三方认证终端请求认证。\n[0078] 如果在本步骤中,服务终端在本地未查找到与该登录信息对应的个人信息和动态口令令牌的编号,则返回该登录信息对应的账户未绑定动态口令令牌的错误信息给客户端。\n[0079] 步骤209:第三方认证终端收到该个人信息、动态口令令牌的编号和动态口令后,根据动态口令令牌的编号以及本地保存的个人信息与动态口令令牌的编号的对应关系,对收到的个人信息和动态口令分别进行验证,返回登录的验证结果给服务终端。\n[0080] 其中,第三方认证终端对动态口令的验证过程同步骤204,如果动态口令验证正确,第三方认证终端还可以对状态信息进行更新。如果个人信息和动态口令均验证通过,则第三方认证终端还可以更新上述动态口令令牌的状态信息。\n[0081] 步骤210:服务终端收到登录的验证结果后,判断该验证结果是否为个人信息和动态口令均验证通过,如果是,则用户登录服务终端成功,登录流程结束,否则,用户登录服务终端失败,提示相应的错误,登录流程结束。\n[0082] 在本实施例中,步骤202~206的绑定过程中采用基于时间或事件的方式生成动态口令,该方式还可以由以下挑战应答的方式来替换:\n[0083] 用户通过客户端输入个人信息、静态密码、账户和动态口令令牌的编号给服务终端,服务终端验证该账户和静态密码,如果错误,则终止操作,如果正确,则向第三方认证终端发送动态口令令牌的编号,第三方认证终端返回一个挑战码,用户利用该挑战码和动态口令令牌生成动态口令并通过客户端输入给服务终端,服务终端将该动态口令发送给第三方认证终端,第三方认证终端根据动态口令令牌的编号查找对应的种子和状态信息,根据该种子、状态信息生成临时动态口令来验证用户输入的动态口令,并返回验证结果,如果用户输入的动态口令正确,服务终端建立并保存用户账户和个人信息、动态口令令牌编号的对应关系,第三方认证终端建立并保存用户的个人信息和动态口令令牌的编号的对应关系,用户账户和动态口令令牌绑定成功,如果用户输入的动态口令不正确,则绑定失败。\n[0084] 在本实施例步骤207中,用户使用动态口令令牌生成动态口令的方式还可以由以下方式来替换:\n[0085] 用户通过客户端向服务终端输入登录信息,服务终端根据保存的对应关系查找与该账户对应的动态口令令牌的编号,将该编号发送给第三方认证终端请求验证,第三方认证终端收到后生成挑战码并通过服务终端发送给客户端,用户在客户端得到该挑战码后,利用该挑战码生成动态口令,并利用该动态口令进行登录。\n[0086] 在本实施例步骤208中,进一步地,当服务终端根据保存的对应关系查找个人信息和动态口令令牌的编号时,还可以查找未对应有个人信息的动态口令令牌编号,并提示用户该动态口令令牌未进行绑定。\n[0087] 在本实施例中,第三方认证终端返回给服务终端的登录认证结果除了登录的动态口令正确、错误外,还可以是动态口令令牌处于锁定、挂失等状态,从而服务终端将这些状态信息发送给客户端,客户端提示相应的错误给用户。\n[0088] 在本实施例中,如果用户的动态口令令牌遗失,则用户可以在第三方认证终端或服务终端通过注册时的登记的关键身份信息对动态口令令牌进行挂失,第三方认证终端会将该动态口令令牌标记为挂失,在解除挂失之前该编号的动态口令令牌则不能使用。\n[0089] 上述流程是针对绑定并登录一个服务终端的情况进行说明的,当用户登录多个服务终端进行身份认证时,登录其中每个服务终端进行身份认证的过程均与上述流程相同,此处不再赘述。\n[0090] 参见图3,本发明实施例还提供了一种基于动态口令进行身份认证的系统,包括客户端1、服务终端2和第三方认证终端3;\n[0091] 客户端1包括:\n[0092] 输入模块11,用于在绑定过程中,接收用户输入的个人信息、静态密码、账户、动态口令令牌的编号和动态口令,当用户在绑定成功后登录服务终端2时,接收用户输入的账户的登录信息、静态密码和动态口令,该登录信息包括账户;\n[0093] 通信模块12,用于将输入模块11收到的所有信息发送给服务终端2,接收服务终端2返回的绑定结果和登录结果;\n[0094] 输出模块13,用于在绑定过程中,输出绑定结果给用户,在用户登录过程中,提示用户输入登录信息、静态密码和动态口令,输出登录结果给用户;\n[0095] 服务终端2包括:\n[0096] 通信模块21,用于与客户端1进行通信,接收用户在绑定和登录时输入的信息,还与第三方认证终端3进行通信,接收第三方认证终端3返回的绑定验证结果和登录验证结果;\n[0097] 绑定验证处理模块22,用于对用户在绑定过程中输入的账户和静态密码进行验证,如果账户或静态密码错误,则终止绑定操作,如果账户和静态密码均正确,则通过服务终端2的通信模块21向第三方认证终端3发送动态口令令牌的编号和动态口令,请求对动态口令进行验证;\n[0098] 绑定结果处理模块23,用于通过当绑定验证结果正确时,建立并保存个人信息、账户与动态口令令牌的编号的对应关系,通过服务终端2的通信模块21通知客户端1账户和动态口令令牌绑定成功,并通过服务终端2的通信模块21将用户的个人信息发送给第三方认证终端3,还用于当绑定验证结果不正确时,通过服务终端2的通信模块21通知客户端1账户和动态口令令牌绑定失败;\n[0099] 登录验证处理模块24,用于对用户在登录过程中输入的账户和静态密码进行验证,如果账户或静态密码错误,则禁止用户登录,如果账户和静态密码均正确,则根据服务终端2保存的对应关系查找与登录信息对应的个人信息和动态口令令牌的编号,通过服务终端2的通信模块21将个人信息、动态口令令牌的编号和动态口令发送给第三方认证终端\n3请求认证,还用于当服务终端2的通信模块21收到的登录验证结果为个人信息和动态口令均验证通过时,通过服务终端2的通信模块21通知客户端用户登录成功,当登录验证结果不是个人信息和动态口令均验证通过时,通过服务终端2的通信模块21通知客户端1用户登录失败;\n[0100] 第三方认证终端3包括:\n[0101] 通信模块31,用于与服务终端2进行通信;\n[0102] 绑定验证模块32,用于在第三方认证终端3的通信模块31收到动态口令令牌的编号和动态口令后,根据动态口令令牌的编号对动态口令进行验证,通过第三方认证终端3的通信模块31返回绑定验证结果给服务终端2;\n[0103] 存储模块33,用于在第三方认证终端3的通信模块31收到用户的个人信息后,建立并保存个人信息与动态口令令牌的编号的对应关系;\n[0104] 登录验证模块34,用于在第三方认证终端3的通信模块31收到个人信息、动态口令令牌的编号和动态口令后,根据动态口令令牌的编号以及第三方认证终端3保存的对应关系,对个人信息和动态口令分别进行验证,通过第三方认证终端3的通信模块31返回登录验证结果给服务终端2。\n[0105] 本实施例中,动态口令令牌为用户在第三方认证终端或服务终端获取的,且该动态口令令牌中存储有第三方认证终端分配的唯一的种子和唯一的编号。\n[0106] 本实施例中,个人信息包括用户的姓名、身份证号、电话号码、地址和电子邮箱中的至少一种。静态密码为用户在服务终端建立的与账户对应的服务密码。登录信息包括动态密码,还包括用户姓名、动态口令令牌的编号、身份证号和电子邮箱中的至少一种。\n[0107] 本发明实施例提供的上述方法和系统均可以支持多个服务终端的场景,本发明对服务终端的个数不做具体限定。本发明实施例提供的上述方法和系统,降低了用户使用动态口令令牌进行身份认证的成本、复杂度和繁琐性,有利于服务终端提供推广动态口令认证系统的应用,提升服务的安全性,用户只需一个动态口令令牌就可以注册登录多个服务终端的身份认证系统,极大地方便用户使用,容易实现,操作简单,并且动态口令令牌的种子由第三方认证终端集中管理,便于维护。\n[0108] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
法律信息
- 2011-08-17
- 2010-01-13
- 2009-11-18
引用专利(该专利引用了哪些专利)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 |
1
| |
2008-10-29
|
2008-06-30
| | |
2
| |
2008-04-16
|
2007-11-30
| | |
被引用专利(该专利被哪些专利引用)
序号 | 公开(公告)号 | 公开(公告)日 | 申请日 | 专利名称 | 申请人 | 该专利没有被任何外部专利所引用! |