一种动态身份认证方法和系统

1、一种手机令牌动态身份认证方法，利用计算机技术和移动通信技术 实现，其步骤为：
(1)用户在用户终端输入用户信息，向身份认证服务器发送身份认证 请求；
(2)身份认证服务器接收到认证请求后，首先验证用户信息的合法性； 如果该用户是合法用户，身份认证服务器产生服务器端的当前动态身份认 证密码并暂存，并在用户终端提示用户输入用户端的当前动态身份认证密 码；
(3)用户输入手机令牌中的应用模块启动密码，通过手机令牌端的身 份验证；
(4)用户通过手机令牌产生用户端的当前动态身份认证密码，并通过 手机告知用户；
(5)用户将所告知的用户端的当前动态身份认证密码通过用户终端输 入并传送到身份认证服务器，等待身份认证；
(6)如果身份认证服务器接收到的用户端的当前动态身份认证密码与 服务器端的当前动态身份认证密码一致，则通过身份认证；否则，认证不 通过。
2、根据权利要求1所述的方法，其特征在于：进行上述步骤(2)时， 合法用户如果发现自己的帐户被锁定，可以通过手机令牌申请解锁，其步 骤为：
1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；
2)用户通过手机令牌向认证服务器发送“申请帐号解锁请求”信息；
3)认证服务器接收到“申请帐号解锁请求”信息后验证信息合法性；
4)认证服务器在用户信息数据库中将该用户的“用户状态”字段设置 为解锁状态，然后向用户发送“申请帐号解锁应答”信息；
5)手机令牌接收“申请帐号解锁应答”信息，提示用户解锁成功。
3、根据权利要求1或2所述的方法，其特征在于：在进行上述步骤(3) 时，如果用户发现尚未开启动态身份认证服务，则应开启动态身份认证服 务，其步骤为：
1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；
2)用户通过手机令牌向认证服务器发送“开启动态身份认证服务请求” 信息；
3)认证服务器接收到“开启动态身份认证服务请求”信息后验证信息 合法性；
4)认证服务器在用户数据库中将该用户的认证方式标记为动态身份认 证方式，然后向手机令牌发送“开启动态身份认证服务应答”信息；
5)手机令牌接收“开启动态身份认证服务应答”信息，提示动态身份 认证服务已经开启。
4、根据权利要求3所述的方法，其特征在于：在进行身份认证过程中， 如果合法用户发现通过正确的操作后无法通过认证，用户可以使用手机令 牌请求系统同步，其步骤为：
1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；
2)用户通过手机令牌向认证服务器发送“申请系统同步请求”信息；
3)认证服务器接收到“申请系统同步请求”信息后验证信息合法性；
4)认证服务器从用户信息数据库中取出服务器端的动态电子密码当前 工作密码；
5)认证服务器生成“申请系统同步应答”信息，将服务器端的动态电 子密码当前工作密码写入信息中的“服务方信息”字段，然后向用户发送 应答信息；
6)手机令牌接收“申请系统同步应答”信息后提取信息中的动态电子 密码当前工作密码，并将手机令牌端的动态电子密码当前工作密码值设置 为信息中所提取的当前工作密码，完成系统同步。
5、根据权利要求4所述的方法，其特征在于：在进行身份认证过程中， 如果要取消动态身份认证服务，其步骤为：
1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；
2)用户通过手机令牌向认证服务器发送“取消动态身份认证服务请求” 信息；
3)认证服务器接收到“取消动态身份认证服务请求”信息后验证信息 合法性；
4)认证服务器在用户信息数据库中将该用户的认证方式标记为固定密 码身份认证方式，然后向手机令牌发送“取消动态身份认证服务应答”信 息；
5)手机令牌接收“取消动态身份认证服务应答”信息，提示动态身份 认证服务已经取消。
6、根据权利要求5所述的方法，其特征在于：在进行身份认证过程中， 如果要中止动态身份认证过程，其步骤为：
1)用户输入手机令牌预定的中止指令，令牌系统中止认证过程；
2)用户通过用户终端输入并传送“中止动态身份认证服务请求”到身 份认证服务器；
3)认证服务器接收到“中止动态身份认证服务请求”后，中止服务 器端的认证过程。
7、根据权利要求6所述的方法，其特征在于：进行上述步骤(3)时， 如果用户发现自己的手机令牌被锁定，可以通过手机令牌解锁，其步骤为：
1)用户输入手机令牌预设的注册密码，通过手机令牌端的授权身份验 证：
2)手机令牌将其中的“用户状态”字段设置为解锁状态，然后通过手 机告知用户“解锁应答”信息。
8、一种实现上述权利要求1所述方法的系统，包括用户终端、用户信 息服务器、认证服务器和手机令牌；其中，
用户终端用于输入用户信息，它通过网络与身份认证服务器通信；
用户信息服务器用于存放按照身份认证协议所设定的表格，提供认证 过程中所需要的每一用户信息，并接收认证服务器的操作；
认证服务器负责接收和完成用户的服务请求，其中布置有认证服务器 端服务模块、密码产生模块和通信模块；认证服务器端服务模块用于网络 传输控制、认证系统安全协议处理、信息传输的加密和解密、用户信息访 问和动态密码获取与暂存；密码产生模块负责产生服务器端的当前动态身 份认证密码，它通过服务器的总线和认证服务器通信；通信模块负责认证 服务器端的信息发送和接收，它是手机令牌与认证服务器之间通信的中介；
手机令牌是在手机的SIM卡中设置有动态身份认证客户端应用模块的 用户手机，动态身份认证客户端应用模块和认证服务器中的密码产生模块 使用相同的动态密码产生算法和相同的当前工作密码，并独立产生同步的 当前动态身份认证密码。
9、根据权利要求8所述的系统，其特征在于：认证服务器端服务模块 包括用户信息管理模块(8)、动态密码访问模块(9)、协议处理模块(10)、 核心管理模块(11)、加密模块(12)和网络传输模块(13)；
用户信息管理模块(8)负责完成核心管理模块(11)的用户信息管理命 令，包括建立新帐户、修改已有帐户信息、删除过期帐户信息、锁定或解 锁用户帐号和控制用户访问权限；
动态密码访问模块(9)是上述密码产生模块的访问模块，它接收核心管 理模块(11)提供的用户密钥信息，产生认证过程中的动态密码，并将动态 密码交给核心管理模块(11)暂存；
协议处理模块(10)为动态身份认证系统安全协议的服务处理端，用于 接收核心管理模块(11)提供的安全协议信息，并将处理结果返回给核心管 理模块(11)；
加密模块(12)用于完成核心管理模块(11)的信息加解密请求；
网络传输模块(13)用于完成服务器端的信息传输任务，接收网络的信 息和认证服务器中通信模块的信息，并处理核心管理模块(11)的信息传输 请求，将不同类型的信息发送到不同的通信网络中；
核心管理模块(11)负责协调上述各模块之间的相互关系和信息传递。
10、根据权利要求8或9所述的系统，其特征在于：所述手机令牌中 的动态身份认证客户端应用模块包括动态密码产生器(14)、存储器(15)、 密码比较器(16)和控制器(17)；
存储器(15)用于存储用户ID、用户身份证号、注册密码Pr、加密密钥 Ke，并负责存储用于产生当前动态身份认证密码的当前工作密码Ks、客户 应用模块的启动密码或手机令牌口令Pt和在令牌上连续错误地输入令牌访 问密码的次数Nt；它与动态密码产生器(14)、密码比较器(16)和控制器(17) 相连；
动态密码产生器(14)用于由当前工作密码Ks产生用户当前认证密码， 该认证密码与服务器的当前认证密码相对应，并将该认证密码通过手机的 输出装置告知用户；
密码比较器(16)用来判断手机用户是否合法；
控制器(17)用于控制上述各模块的协调工作。

技术领域\n本发明属于信息安全认证技术，它综合利用电子计算机、信息编码及 移动通讯技术实现，可以应用于银行、证券等许多需要进行身份认证的系 统和领域。\n背景技术\n身份认证是实现网络安全的重要机制之一，在安全的网络通信中，涉 及的通信各方必须通过某种形式的身份认证机制来验证他们的身份与所宣 称的是否一致，然后才能实现对于不同用户的访问控制和记录。早在二十 世纪七十年代初期，国际银行卡片协会就遇到了如何对用户进行身份认证 以确保系统安全性的问题。随着信息技术的快速发展，窃听者可以采用低 级的窥视方法获取口令；利用“Password文件”系统的猜测口令、分析协 议和滤出口令(利用嗅控程序)；用TSR(终端驻留程序)监视和获得口令； 用特洛伊木马程序截获口令等方法突破计算机安全机制进行非法访问；用 电脑病毒(如：bugbear病毒)从电脑上盗取信用卡号码、网上银行的资 料和银行密码。比较有效的预防方法就是采用动态电子密码技术。其实质 是按某种规律定时或每次使用之后更换密码，用户每次访问时输入的密码 都不相同，这就给电子盗窃增加了难度。\n利用上述技术的方法和系统我们已在“动态电子密码形成方法” (99116451.2)和“动态电子密码系统”(00114328.X)两项发明专利中提 出。但是，由于用户密码卡与主机系统的同步主要是采用非接触式时钟同 步技术，由此可能会导致时间上的误差积累，因此需要在一段时间之后校 正双方的时钟；此外，用户密码卡的使用增加了用户的使用负担；而且这 种带键盘和液晶显示屏的用户密码卡也会因使用不慎而损坏。为克服上述 缺点，我们又提出了“动态密码无线传输方法”(99116517.9)的发明专利。 但是，由于该方法中动态密码以明文方式传输，窃听者可以很方便的截获 身份认证密码。而且，该方法在无线网络通信拥挤时无法保证认证的实时 性。\n发明内容\n本发明的目的在于克服上述缺陷之处，提供一种动态身份认证方法， 该方法采用广泛使用的手机作为身份令牌，既可有效防范通过窥视或猜测 认证密码来进行的非法登录，又可有效防范通过截获传输数据来进行的非 法登录，可大幅度提高系统的安全性，而且认证过程中的动态密码不需要 使用无线网络传输，保证了认证的实时性。本发明的目的还在于提供上述 方法的实现系统。\n本发明一种手机令牌动态身份认证方法，利用计算机技术和移动通信 技术实现，其步骤为：\n(1).用户在用户终端输入用户信息，向身份认证服务器发送身份认证 请求；\n(2).身份认证服务器接收到认证请求后，首先验证用户信息的合法性。 如果该用户是合法用户，身份认证服务器产生服务器端动态身份认证密码 并暂存，并在用户终端提示用户输入用户端动态身份认证密码；\n(3).用户输入手机令牌中的应用模块启动密码，通过手机令牌端的身 份验证；\n(4).用户通过手机令牌产生用户端动态身份认证密码，并通过手机告 知用户；\n(5).用户将所告知的用户端动态身份认证密码通过用户终端输入并传 送到身份认证服务器，等待身份认证；\n(6).如果身份认证服务器接收到的用户端动态身份认证密码与服务器 端动态身份认证密码一致，则通过身份认证；否则，认证不通过。\n进行上述步骤(2)时，合法用户如果发现自己的帐户被锁定，可以通过 手机令牌申请解锁，其步骤为：\n1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；\n2)用户通过手机令牌向认证服务器发送“申请帐号解锁请求”信息；\n3)认证服务器接收到“申请帐号解锁请求”信息后验证信息合法性；\n4)认证服务器在用户信息数据库中将该用户的“用户状态”字段设置 为解锁状态，然后向用户发送“申请帐号解锁应答”信息；\n5)手机令牌接收“申请帐号解锁应答”信息，提示用户解锁成功。\n在进行上述步骤(3)时，如果用户发现尚未开启动态身份认证服务，则 应开启动态身份认证服务，其步骤为：\n1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；\n2)用户通过手机令牌向认证服务器发送“开启动态身份认证服务请求” 信息；\n3)认证服务器接收到“开启动态身份认证服务请求”信息后验证信息 合法性；\n4)认证服务器在用户数据库中将该用户的认证方式标记为动态身份认 证方式，然后向手机令牌发送“开启动态身份认证服务应答”信息；\n5)手机令牌接收“开启动态身份认证服务应答”信息，提示动态身份 认证服务已经开启。\n在进行身份认证过程中，如果合法用户发现通过正确的操作后无法通 过认证，用户可以使用手机令牌请求系统同步，其步骤为：\n1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；\n2)用户通过手机令牌向认证服务器发送“申请系统同步请求”信息；\n3)认证服务器接收到“申请系统同步请求”信息后验证信息合法性；\n4)认证服务器从用户数据库中取出服务器端的当前工作密码；\n5)认证服务器生成“申请系统同步应答”信息，将服务器端的当前工 作密码写入信息中的“服务方信息”字段，然后向用户发送应答信息；\n6)手机令牌接收“申请系统同步应答”信息后提取信息中的当前工作 密码，并将手机令牌端的当前工作密码设置为信息中所提取的当前工作密 码，完成系统同步。\n在进行身份认证过程中，如果要取消动态身份认证服务，其步骤为：\n1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；\n2)用户通过手机令牌向认证服务器发送“取消动态身份认证服务请求” 信息；\n3)认证服务器接收到“取消动态身份认证服务请求”信息后验证信息 合法性；\n4)认证服务器在用户信息数据库中将该用户的认证方式标记为固定密 码身份认证方式，然后向手机令牌发送“取消动态身份认证服务应答”信 息；\n5)手机令牌接收“取消动态身份认证服务应答”信息，提示动态身份 认证服务已经取消。\n在进行身份认证过程中，如果要中止动态身份认证过程，其步骤为：\n1)用户输入手机令牌预定的中止指令，令牌系统中止认证过程；\n2)用户通过用户终端输入并传送“中止动态身份认证服务请求”到身 份认证服务器；\n3)认证服务器接收到“中止动态身份认证服务请求”后，中止服务 器端的认证过程。\n在进行上述步骤(3)时，如果合法用户发现自己的手机令牌被锁定可以 通过手机令牌申请解锁，其步骤为：\n1)用户输入手机令牌注册密码，通过手机令牌端的授权身份验证；\n2)手机令牌将其中的“用户状态”字段设置为解锁状态，然后通过手 机告知用户“解锁应答”信息。\n一种实现上述方法的系统，包括用户终端、用户信息服务器、认证服 务器和手机令牌；其中，\n用户终端用于输入用户信息，它通过网络与身份认证服务器通信；\n用户信息服务器用于存放按照身份认证协议所设定的表格，提供认证 过程中所需要的每一用户信息，并接收认证服务器的操作；\n认证服务器负责接收和完成用户的服务请求，其中布置有认证服务器 端服务模块、密码产生模块和通信模块；认证服务器端服务模块用于网络 传输控制、认证系统安全协议处理、信息传输的加密和解密、用户信息访 问和动态密码获取与暂存；密码产生模块负责产生服务器端动态身份认证 密码，它通过服务器总线和认证服务器通信；通信模块负责认证服务器端 的信息发送和接收，它是手机令牌与认证服务器之间通信的中介；\n手机令牌是在手机的SIM卡中设置有动态身份认证客户端应用模块的 用户手机，动态身份认证客户端应用模块和认证服务器中的密码产生模块 使用相同的动态密码产生算法和相同的当前工作密码，并独立产生同步的 动态身份认证密码。\n认证服务器端服务模块包括用户信息管理模块、动态密码访问模块、 协议处理模块、核心管理模块、加密模块和网络传输模块；\n用户信息管理模块负责完成核心管理模块的用户信息管理命令，包括 建立新帐户、修改已有帐户信息、删除过期帐户信息、锁定或解锁用户帐 号和控制用户访问权限；\n动态密码访问模块是上述密码产生模块的访问模块，它接收核心管理 模块提供的用户密钥信息，产生认证过程中的动态密码，并将动态密码交 给核心管理模块暂存；\n协议处理模块为动态身份认证系统安全协议的服务处理端，用于接收 核心管理模块提供的安全协议信息，并将处理结果返回给核心管理模块；\n加密模块用于完成核心管理模块的信息加解密请求；\n网络传输模块用于完成服务器端的信息传输和接收任务，并处理核心 管理模块的信息传输请求，将不同类型的信息发送到不同的通信网络中；\n核心管理模块负责协调上述各模块之间的相互关系和信息传递。\n上述手机令牌中的动态身份认证客户端应用模块包括动态密码产生 器、存储器、密码比较器和控制器；\n存储器用于存储用户ID、用户身份证号、注册密码Pr、加密密钥Ke， 并负责存储用于产生动态身份认证密码的当前工作密码Ks、客户应用模块 的启动密码(或手机令牌口令)Pt和在令牌上连续错误地输入令牌访问密 码的次数Nt；它与动态密码产生器、密码比较器和控制器相连；\n动态密码产生器用于由当前工作密码Ks产生用户当前认证密码，该密 码与服务器认证密码相对应，并将该认证密码通过手机的输出装置告知用 户；\n密码比较器用来判断手机用户是否合法；\n控制器用于控制上述各模块的协调工作。\n本发明与发明专利“互连网上加寻呼系统保障钱款支付安全方法和响 应系统”(99123882.6)和“动态密码无线传输方法”(99116517.9)不同 在于，本发明用户端采用广泛使用的手机作为令牌，动态身份认证密码分 别在手机令牌端和身份认证服务器端独立产生，不需要依靠无线网络传输， 保证了认证的实时性而且外界根本无法截获密码，大大提高系统的安全性。 此外，在认证过程中不需要用户支付额外通信费用，从而与上两发明相比， 动态身份认证服务使用费用大大降低。\n附图说明\n图1为认证系统整体结构图；\n图2为认证服务器软件体系结构图；\n图3为手机令牌实现图；\n图4为动态身份认证过程图，其中图4.1是手机令牌端执行过程，图 4.2是认证服务器端执行过程；\n图5为启动动态身份认证服务过程图，其中图5.1是手机令牌端执行 过程，图5.2是认证服务器端执行过程；\n图6为申请系统同步过程图，其中图6.1是手机令牌端执行过程，图 6.2是认证服务器端执行过程；\n图7为申请用户帐号解锁过程图，其中图7.1是手机令牌端执行过程， 图7.2是认证服务器端执行过程；\n图8为取消动态身份认证服务过程图，其中图8.1是手机令牌端执行 过程，图8.2是认证服务器端执行过程；\n图9为安全协议信息格式说明图，其中图9.1是协议信息头格式，图 9.2是服务请求信息体格式，图9.3是服务应答信息体格式。\n具体实施方式\n下面以银行系统为例，结合附图对本发明作进一步详细的说明。\n一、系统结构说明\n图1是认证系统整体结构图，包括用户终端6、用户信息服务器1、认 证服务器2和手机令牌5。用户信息服务器1是系统中的数据服务器，使用 oracle9i数据库系统，其中存放按照身份认证协议所设定的表格，提供认 证过程中所需要的每一用户信息。它包括如下字段：身份证号、用户ID、 注册密码Pr、加、解密密钥Ke、当前工作密码Ks(与手机令牌中所存储当 前工作密码是相同的)、帐号正被使用的标志(防止竞争攻击)和手机号 等。用户信息服务器1接收认证服务器2的操作(查询和修改用户信息) 请求，该操作请求使用OLEDB数据接口。认证服务器2是整个认证系统的 Server端，负责接收和完成用户的服务请求。认证服务器中布置有认证服 务器端的服务模块、密码产生模块3、通信模块4。密码产生模块3负责产 生服务器端的动态身份认证密码，是“动态电子密码产生算法”的硬件实 现，它使用服务器总线和认证服务器2通信。通信模块4使用COM口和认 证服务器2通信，手机令牌5是能够完成认证令牌功能的用户手机，其SIM 卡具备JAVA程序运行环境。动态身份认证客户端的应用模块是使用JAVA 语言开发的嵌入式应用模块，它通过SIM卡写入设备TY311写入到手机令 牌5的SIM卡中。手机令牌5中的动态身份认证客户端的应用模块和认证 服务器中的密码产生模块3使用相同的动态密码产生算法，并独立产生同 步的动态身份认证密码。用户终端6(如ATM终端)通过银行内部网络7与身 份认证服务器2通信。认证时由用户向认证服务器提交手机令牌产生的用 户端动态身份认证密码，认证服务器将用户端动态身份认证密码和自己产 生的服务器端动态身份认证密码进行比较，并根据比较结果判断用户是否 通过身份认证。\n图2是认证服务器端服务模块结构图。认证服务器端服务模块是认证 系统的Server端软件，主要完成网络传输控制、认证系统安全协议处理、 信息传输的加密和解密、用户信息访问和动态密码获取与暂存等功能。认 证服务器端服务模块包括用户信息访问模块8、动态密码访问模块9、协议 处理模块10、核心管理模块11、加密模块12和网络传输模块13。用户信 息访问模块8是后端用户信息服务器的访问模块，负责完成核心管理模块 11的用户信息管理命令，包括建立新帐户、修改已有帐户信息、删除过期 帐户信息、锁定或解锁用户帐号和控制用户访问权限等。动态密码访问模 块9是认证服务中动态密码产生模块的访问模块，它接收核心管理模块11 提供的用户密钥信息，产生认证过程中的动态密码，并将动态密码交给核 心管理模块11暂存。协议处理模块10是动态身份认证系统安全协议的 Server处理端，它接收核心管理模块11提供的安全协议信息，并将处理结 果返回给核心管理模块11。核心管理模块11是整个认证服务器端软件的核 心，负责协调其他模块之间的相互关系和信息传递。加密模块12主要完成 核心管理模块11的信息加解密请求。网络传输模块13主要完成服务器端 的信息传输任务，它接收银行专有网络的信息和认证服务器中通信模块的 信息。它同时也处理核心管理模块的信息传输请求，将不同类型的信息发 送到不同的通信网络中。\n图3是手机令牌实现图，22是手机令牌中SIM卡部分结构图，23是手 机的接口部分结构图。手机令牌中的动态身份认证客户端应用模块包括动 态密码产生器14、存储器15、密码比较器16和控制器17。存储器15用于 存储用户ID、用户身份证号、注册密码Pr、加、解密密钥Ke，并负责存储 用于产生当前动态身份认证密码的当前工作密码Ks(与服务器中所存储当 前工作密码是相同的)、客户应用模块的启动密码(或手机令牌口令)Pt和 在令牌上连续错误地输入令牌访问密码的次数Nt。加密密钥Ke和当前工作 密码Ks是在用户申请服务时，认证服务器为用户手机令牌分配的；客户应 用模块的启动密码(或手机令牌口令)Pt由用户提供并写入SIM卡。存储 器15与动态密码产生器14、密码比较器16和控制器17相连。动态密码产 生器14用来由当前工作密码Ks产生用户当前认证密码，可以是RC4等流 密码算法，与服务器认证密码相对应。动态密码产生器14通过手机的显示 接口18与显示器20相连，将所产生的密码显示在显示屏上。密码比较器 16用来判断手机用户是否合法，它通过键盘接口19与键盘21相连，这样 用户通过键盘输入的密码与客户应用模块的启动密码(或手机令牌口令) Pt相比较。控制器17用来控制各个模块的协调工作。\n二、认证过程\n如图4所示，认证过程包括以下步骤：\n(1)用户在ATM终端插入银行卡，提交用户信息，并向身份认证服务 器发送身份认证请求；\n(2)身份认证服务器接收到认证请求后，首先验证用户信息的合法性。 如果该用户是合法用户(该用户的信息已经保存在用户信息数据库)，身 份认证服务器产生服务器端动态身份认证密码并暂存，并在用户终端提示 用户输入用户端动态身份认证密码。此步骤的详细处理过程如下：\n(2.1)身份认证服务器中的网络传输模块接收到认证请求后，向核心管 理模块提交用户请求。\n(2.2)核心管理模块通过用户信息访问模块查询用户信息数据库，如果 用户信息数据库中没有该用户的信息，核心管理模块生成错误报文，并通 过网络传输模块传输给ATM终端，终端收到该报文后向用户提示：用户信 息错误。如果用户信息数据库中有该用户的信息，那么用户信息管理模块 向核心管理模块返回该用户的用户信息，并查看其中的 Identification_Mode字段值(字段值为0表示用户使用静态密码认证，为 1则表示使用动态密码认证)。\n(2.3)如果Identification_Mode＝1，则核心管理模块查询此用户的 Lock_State字段(字段值为0表示用户为被锁定，为1表示用户已被锁定)， 如果Lock_State＝1，核心管理模块向ATM终端发送信息，提示该用户已被 锁定，并退出认证过程，否则核心管理模块向动态密码访问模块传递该用 户的当前工作密码，动态密码产生模块根据当前工作密码产生该用户此次 动态认证密码并返回给核心管理模块，核心管理模块将该用户的动态身份 认证密码暂存，并向ATM终端发送信息，提示用户输入用户端动态身份认 证密码。\n合法用户如果发现自己的帐户被锁定，则可以通过手机令牌申请解锁， 解锁的具体过程见动态身份认证安全协议的“用户申请解锁”部分。\n(3)用户通过手机令牌产生用户端动态身份认证密码，显示在手机屏幕 上。\n必须强调的是，用户在使用银行提供的动态身份认证服务之前必须完 成“手机令牌初始化”和“开启动态身份认证服务”两个过程。两个过程 的详细细节见动态身份认证安全协议的“手机令牌初始化”和“开启动态 身份认证服务”两部分。\n(4)用户将手机屏幕上所显示用户端动态身份认证密码通过用户终端 输入并传送到身份认证服务器，等待身份认证。\n(5)如果身份认证服务器接收到的用户端动态身份认证密码与服务器 端动态身份认证密码一致，则通过身份认证；否则，认证不通过。此步骤 的详细过程如下：\n(5.1)认证服务器的核心管理模块从网络传输模块得到该用户提交的 用户端动态身份认证密码；\n(5.2)核心管理模块比较用户端动态身份认证密码和暂存的服务器端 动态身份认证密码，如果两者一致，则核心管理模块通过网络传输模块向 ATM终端发送信息，提示用户认证成功，否则，核心管理模块通过用户信息 网络模块修改用户信息数据库中用户信息，将此用户信息中的 WrongPSW_Count字段加1(WrongPSW_Count达到临界值时该用户将被锁定)， 并通过网络传输模块向ATM终端发送行信息，要求用户重新开始认证过程；\n必须指出，如果合法用户发现通过正确的操作后无法通过认证，用户 可以使用手机令牌请求系统同步，同步过程见动态身份认证安全协议的“用 户申请系统同步”部分。\n三.动态身份认证安全协议\n基于手机令牌方式的动态身份认证方法是一种基于同步动态身份认证 密码的认证方法，在实施过程中需要保证手机令牌和认证服务器的系统同 步，本发明使用动态身份认证安全协议来实现该目的。动态身份认证安全 协议是基于手机令牌方式的动态身份认证方法的支撑协议。它是一种基于 短信的交互协议，定义了手机令牌和认证服务器之间交互的流程、交互的 信息格式以及保障交互过程安全性的安全机制(包括交互信息加密方法、 加密密钥管理方法以及交互信息的认证方法)。安全协议不但向用户提供 了手机令牌和认证服务器端的系统同步功能，而且也支持用户能够使用手 机令牌完成动态身份认证服务启动、用户解锁和用户取消动态身份认证服 务等功能。下面从协议过程、安全机制和信息格式几方面详细介绍安全协 议的基本原理。\n(一)协议过程\n1.手机令牌初始化\n手机令牌初始化过程分为客户端应用模块写入、客户端应用模块初始 化两个环节。客户端应用模块写入指使用SIM卡写入设备TY311在用户手 机SIM卡中写入基于JAVA嵌入式动态身份认证客户端应用模块。客户端应 用模块初始化主要是对SIM卡中的客户端应用模块进行参数设置，包括设 置用户身份信息、信息加、解密密钥、客户端的应用模块启动密码、当前 工作密码和用户注册密码等参数。客户端的应用模块启动密码和注册密码 由用户自己选定，并随时可以修改。客户端的应用模块启动密码用于保证 只有合法的手机令牌使用者才可以使用手机令牌完成动态身份认证过程。 注册密码用于保证只有合法用户才可以使用手机令牌完成“解锁”和“取 消动态身份认证服务”功能；当前工作密码和信息加、解密密钥分为手机 令牌端的当前工作密码和认证服务器端的当前工作密码，认证服务器端的 当前工作密码和信息加、解密密钥也是用户信息的一部分，两端应具有相 同的当前工作密码和信息加、解密密钥。在初始化时，由随机数产生器分 别产生初始的当前工作密码和信息加、解密密钥，并将手机令牌中的当前 工作密码、信息加、解密密钥和认证服务器端的当前工作密码、信息加、 解密密钥设置为该初始的当前工作密码和该信息加、解密密钥。\n2.用户开启动态身份认证服务\n用户开启动态身份认证服务过程是指用户使用手机令牌向认证服务器 端发出“开启动态身份认证服务请求”，认证服务器接到该请求后首先验 证该用户的用户信息的合法性并做相应的处理，然后向该用户发送“开启 动态身份认证服务应答”。详细过程如下：\n1)用户输入手机令牌客户应用模块启动密码(手机令牌初始化时设 定)，通过手机令牌端的身份验证；\n2)用户通过手机令牌向认证服务器发送“开启动态身份认证服务请求” 信息；\n3)认证服务器接收到“开启动态身份认证服务请求”信息后验证信息 合法性(验证信息中的用户ID和注册密码，该注册密码是在用户手机初始 化的时候确定)；\n4)认证服务器在用户信息库中将该用户的认证方式标记为动态身份认 证方式，然后向手机令牌发送“开启动态身份认证服务应答”信息；\n5)手机令牌接收“开启动态身份认证服务应答”信息，提示动态身份 认证服务已经开启。\n用户开启动态身份认证服务时手机令牌端和认证服务器端的处理过程 见图5。\n3.用户申请系统同步\n前面提到过，用户能够通过认证服务器认证的关键是手机令牌和认证服 务器保持系统同步。但由于存在使两端不同步的异常情况(例如用户认证 过程中手机突然断电等)，因此需要通过执行动态身份认证安全协议的“用 户申请系统同步”恢复两端的系统同步状态。详细过程如下：\n1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；\n2)用户通过手机令牌向认证服务器发送“申请系统同步请求”信息；\n3)认证服务器接收到“申请系统同步请求”信息后验证信息合法性(验 证信息中的用户ID和注册密码，该注册密码是在用户手机初始化的时候确 定)；\n4)认证服务器从用户信息库中取出服务器端的当前工作密码；\n5)认证服务器生成“申请系统同步应答”信息，将服务器端的当前工 作密码写入信息中的“服务方信息”字段，然后向用户发送应答信息；\n6)手机令牌接收“申请系统同步应答”信息后提取信息中的当前工作 密码，并将手机令牌端的动态电子密码当前工作密码设置为信息中所提取 的当前工作密码，完成系统同步。\n用户申请系统同步时手机令牌端和认证服务器端的处理过程见图6。\n4.用户申请解锁\n如果用户发现自己的帐号被银行锁定，用户可以通过手机令牌申请解 锁。详细过程如下：\n1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；\n2)用户通过手机令牌向认证服务器发送“申请帐号解锁请求”信息；\n3)认证服务器接收到“申请帐号解锁请求”信息后验证信息合法性(验 证信息中的用户ID和注册密码，该注册密码是在用户手机初始化的时候确 定)；\n4)认证服务器在用户信息数据库中将该用户的“用户状态”字段设置 为解锁状态，然后向用户发送“申请帐号解锁应答”信息；\n5)手机令牌接收“申请帐号解锁应答”信息，提示用户解锁成功。\n用户申请解锁时手机令牌端和认证服务器端的处理过程见图7。\n如果合法用户发现自己的手机令牌被锁定，可以通过手机令牌申请解 锁，其步骤为：\n1)用户输入手机令牌注册密码(一般该密码比启动密码长)，通过手 机令牌端的授权身份验证；\n2)手机令牌将其中的“用户状态”字段设置为解锁状态，然后通过手 机告知用户“解锁应答”信息。\n5.用户取消动态身份认证服务\n用户不但可以通过手机令牌开启动态身份认证服务，而且可以使用手 机令牌取消动态身份认证服务。详细过程如下：\n1)用户输入手机令牌客户应用模块启动密码，通过手机令牌端的身份 验证；\n2)用户通过手机令牌向认证服务器发送“取消动态身份认证服务请求” 信息；\n3)认证服务器接收到“取消动态身份认证服务请求”信息后验证信息 合法性(验证信息中的用户ID和注册密码，该注册密码是在用户手机初始 化的时候确定)；\n4)认证服务器在用户信息库中将该用户的认证方式标记为固定密码身 份认证方式，然后向手机令牌发送“取消动态身份认证服务应答”信息；\n5)手机令牌接收“取消动态身份认证服务应答”信息，提示动态身份 认证服务已经取消。\n用户取消动态身份认证服务时手机令牌端和认证服务器端的处理过程 见图8。\n6.用户中止动态身份认证服务\n在进行身份认证过程中，如果要中止动态身份认证过程，其步骤为：\n1)用户输入手机令牌预定的中止指令，令牌系统中止认证过程；\n2)用户通过用户终端输入并传送“中止动态身份认证服务请求”到身 份认证服务器；\n3)认证服务器接收到“中止动态身份认证服务请求”后，中止服务 器端的认证过程。\n(二)安全协议的安全机制\n安全协议根据加、解密密钥和DES(Data Encryption Standard)等分 组密码算法对交互信息进行加、解密。\n协议不但定义了交互信息的加、解密方法，也规定了相应的加、解密 密钥管理细节。协议规定：在手机令牌初始化时写入加、解密密钥；使用 基于信息使用次数的加、解密密钥更新方法，也即在用户手机端维护一个 信息计数器，统计手机令牌发送的请求信息个数，当计数器达到门限值时， 手机令牌自动在交互信息中设置密钥更新标志位，认证服务器接到该信息 后就在应答信息中携带新的信息加、解密密钥，手机令牌接到新的密钥后 就开始使用新的密钥对信息进行加、解密。\n(三)安全协议信息格式\n协议信息格式见图9。信息分为服务请求信息和服务应答信息两种， 每一信息又分为信息头和信息体两部分。具体格式说明如下：\n(1)协议信息头\n版本：协议的版本号；\n头部长度：协议信息头的长度；\n服务方ID：使用唯一ID标识每一个提供动态认证服务的服务方；\n总长度：信息的总长度，之所以设置该字段是因为考虑到以后信息体 的扩展；\n(2)服务请求信息体\n服务类型：第1bit指明信息类型；第2bit指明客户是否请求信息 加密密钥更新或者在应答信息中是否有携带更新的密钥；3-8比特是信息类 型比特；\n验证码：信息使用字节求和验证；\n序列号：标识每个请求信息，防止应答重放攻击；\n用户ID：用户认证帐号；\n注册码：用户手机令牌初始化是生成，用户的私有数据。服务器使用用 户ID和用户验证码对用户身份确认；\n(3)服务应答信息体\n服务类型：同上；\n验证码：同上；\n序列号：拷贝请求中的序列号，保证应答和请求的一一对应关系；\n新密钥：携带协议信息加密新密钥；\n服务方信息：服务方返回给用户的应答信息，例如算法当前工作密码；