一次性密碼生成的方法、裝置及認(rèn)證方法、認(rèn)證系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種一次性密碼生成的方法、裝置及認(rèn)證方法、認(rèn)證系統(tǒng)。其中該認(rèn)證方法包括如下步驟:接收用戶通過第一使用者界面輸入的交易信息及自設(shè)定的傳輸代碼;根據(jù)交易信息及傳輸代碼生成與傳輸信息對(duì)應(yīng)的一次性密碼(One?Time?Password,OTP);將一次性密碼傳輸?shù)接脩舻牡诙褂谜呓缑?,并顯示;接收用戶回傳的一次性密碼;通過判斷回傳的一次性密碼是否正確確定是否進(jìn)行交易授權(quán)。其生成的OTP具有銀行等驗(yàn)證端自身設(shè)定隨機(jī)數(shù)的同時(shí)包含用戶自身設(shè)定的非交易信息的傳輸代碼,避免網(wǎng)絡(luò)及銀行內(nèi)部對(duì)賬戶資料的盜取及對(duì)交易信息的篡改。且發(fā)送OTP可通過異于網(wǎng)際網(wǎng)絡(luò)通訊鏈路進(jìn)行,保證了網(wǎng)絡(luò)交易時(shí)用戶賬戶的安全性。
【專利說明】—次性密碼生成的方法、裝置及認(rèn)證方法、認(rèn)證系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)信息安全【技術(shù)領(lǐng)域】,尤其涉及一種一次性密碼認(rèn)證方法及認(rèn)證系統(tǒng)。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展及逐步普及,網(wǎng)絡(luò)購物和網(wǎng)絡(luò)交易已經(jīng)成為日常生活中不可缺少的部分。用戶可以通過電腦或者其他智能聯(lián)網(wǎng)設(shè)備通過購物網(wǎng)站或者網(wǎng)絡(luò)銀行進(jìn)行購物付款或者轉(zhuǎn)賬等交易。進(jìn)行交易的時(shí)候,用戶需要輸入一些個(gè)人資料,如銀行賬戶、用戶密碼等,同時(shí)再輸入交易信息,個(gè)人信息及交易信息經(jīng)銀行等部門確認(rèn)后即可完成交易。如此,通過網(wǎng)絡(luò)操作,免去了用戶必須親自去去柜臺(tái)辦理的麻煩,給用戶打帶來了極大的便利。但是通過網(wǎng)絡(luò)的資金流通也帶來了極大的用戶賬戶安全隱患。一旦有人使用網(wǎng)絡(luò)攔截了用戶的賬戶及密碼等信息,有可能造成用戶的資金損失。
[0003]因此,如何在為用戶提供使用便利的同時(shí),保障用戶賬戶資金的安全是一個(gè)亟待解決的問題。
【發(fā)明內(nèi)容】
[0004]基于此,有必要針對(duì)用戶賬戶資料信息由網(wǎng)絡(luò)泄漏后容易造成資金損失的問題,提供一種對(duì)交易進(jìn)行授權(quán)認(rèn)證的一次性密碼認(rèn)證方法及認(rèn)證系統(tǒng)。
[0005]為實(shí)現(xiàn)本發(fā)明目的提供的一種一次性密碼認(rèn)證方法,包括以下步驟:
[0006]接收用戶通過第一使用者界面輸入的交易信息及自設(shè)定的傳輸代碼;
[0007]根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼;
[0008]將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑?,并顯示;
[0009]接收所述用戶回傳的所述一次性密碼;
[0010]通過判斷回傳的所述一次性密碼是否正確確定是否進(jìn)行交易授權(quán)。
[0011]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,所述用戶使用網(wǎng)際網(wǎng)絡(luò)通過所述第一使用者界面?zhèn)鬏斝畔ⅲ?br>
[0012]通過移動(dòng)通信網(wǎng)絡(luò)傳輸所述一次性密碼到所述用戶的第二使用者界面。
[0013]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,通過短信、傳真或語音的非網(wǎng)際網(wǎng)絡(luò)傳輸所述一次性密碼到所述第二使用者界面。
[0014]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,所述傳輸代碼為數(shù)字、文字或數(shù)字與文字的組合。
[0015]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,所述用戶通過所述第一使用者界面回傳所述一次性密碼。
[0016]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,在所述步驟接收所述用戶回傳的所述一次性密碼之前,還包括傳輸所述交易信息及所述傳輸代碼到第三使用者界面的步驟;
[0017]所述用戶通過另一第三使用者界面回傳所述一次性密碼。
[0018]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,所述一次性密碼在預(yù)設(shè)時(shí)間內(nèi)有效。
[0019]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,通過短信傳輸所述一次性密碼到所述第二使用者界面。
[0020]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑娴耐瑫r(shí),也將所述傳輸代碼傳輸?shù)剿龅诙褂谜呓缑妫⒃谒龅诙褂谜呓缑骘@示。
[0021]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,根據(jù)所述交易信息、所述傳輸代碼及系統(tǒng)資料,通過邏輯運(yùn)算生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。
[0022]作為一種一次性密碼認(rèn)證方法的可實(shí)施方式,所述邏輯運(yùn)算所依據(jù)的所述交易信息包括交易種類、交易賬戶、交易金額及交易時(shí)間中的一種或者兩種以上的組合。
[0023]基于相同發(fā)明構(gòu)思的一種一次性密碼認(rèn)證系統(tǒng),包括依次網(wǎng)絡(luò)連接的第一使用者界面、網(wǎng)絡(luò)服務(wù)器、認(rèn)證服務(wù)器及第二使用者界面;
[0024]還包括與所述認(rèn)證服務(wù)器通訊連接的硬件安全模塊;
[0025]所述認(rèn)證服務(wù)器中包括信息接收模塊,用于通過網(wǎng)絡(luò)服務(wù)器接收用戶通過第一使用者界面輸入的交易信息及自設(shè)定的傳輸代碼;
[0026]所述認(rèn)證服務(wù)器或所述硬件安全模塊包括密碼生成模塊,用于根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼;
[0027]所述認(rèn)證服務(wù)器中還包括信息發(fā)送模塊,用于將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑?,并在所述第二使用者界面上進(jìn)行顯示;
[0028]所述硬件安全模塊中還包括驗(yàn)證模塊,用于判斷回傳的所述一次性密碼是否正確,并將結(jié)果傳輸給認(rèn)證服務(wù)器,由認(rèn)證服務(wù)器根據(jù)所述結(jié)果確定是否進(jìn)行交易授權(quán)。
[0029]作為一種一次性密碼認(rèn)證系統(tǒng)的可實(shí)施方式,所述用戶通過所述第一使用者界面回傳所述一次性密碼到所述認(rèn)證服務(wù)器。
[0030]作為一種一次性密碼認(rèn)證系統(tǒng)的可實(shí)施方式,還包括一第三使用者界面,所述用戶通過所述第三使用者界面回傳所述一次性密碼到所述認(rèn)證服務(wù)器。
[0031]作為一種一次性密碼認(rèn)證系統(tǒng)的可實(shí)施方式,所述認(rèn)證服務(wù)器與移動(dòng)通訊傳輸服務(wù)器連接,通過所述移動(dòng)通訊傳輸服務(wù)器傳輸包含所述一次性密碼的短信到所述第二使用者界面。
[0032]還提供一種一次性密碼生成的方法,包括以下步驟:
[0033]接收用戶的交易授權(quán)請(qǐng)求;
[0034]解析所述用戶發(fā)送的交易授權(quán)請(qǐng)求,得到用戶輸入的交易信息及傳輸代碼;
[0035]根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。
[0036]作為一種一次性密碼生成的方法的可實(shí)施方式,所述解析所述用戶發(fā)送的交易授權(quán)請(qǐng)求,得到用戶輸入的交易信息及傳輸代碼之前,還包括以下步驟:
[0037]判斷所接收到的所述交易授權(quán)請(qǐng)求中是否包含傳輸代碼;
[0038]若是,則進(jìn)行下一步操作,解析所述交易授權(quán)請(qǐng)求;
[0039]若否,則返回請(qǐng)求授權(quán)失敗信息。
[0040]作為一種一次性密碼生成的方法的可實(shí)施方式,所述返回請(qǐng)求授權(quán)失敗信息的步驟包括以下步驟:
[0041]保存所述交易信息;
[0042]發(fā)送輸入傳輸代碼請(qǐng)求到用戶的客戶端,并等待接收所述客戶端的返回信息。
[0043]還提供一種一次性密碼生成的裝置,包括信息接收模塊,解析模塊和密碼生成模塊,其中:
[0044]所述信息接收模塊,用于接收用戶的交易授權(quán)請(qǐng)求;
[0045]所述解析模塊,用于解析所述用戶發(fā)送的交易授權(quán)請(qǐng)求,得到用戶輸入的交易信息及傳輸代碼;
[0046]所述密碼生成模塊,用于根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。
[0047]作為一種一次性密碼生成的裝置可實(shí)施方式,還包括傳輸代碼判斷模塊和失敗信息返回模塊,其中:
[0048]所述判斷模塊,用于判斷所接收到的所述交易授權(quán)請(qǐng)求中是否包含傳輸代碼;
[0049]若是,則轉(zhuǎn)執(zhí)行所述解析模塊,解析所述交易授權(quán)請(qǐng)求;
[0050]若否,則轉(zhuǎn)執(zhí)行所述失敗信息返回模塊,返回請(qǐng)求授權(quán)失敗信息。
[0051 ] 本發(fā)明的有益效果包括:
[0052]本發(fā)明提供的一種一次性密碼生成的方法、裝置及認(rèn)證方法、認(rèn)證系統(tǒng),其中生成方法使用交易信息結(jié)合用戶個(gè)人自設(shè)定的傳輸代碼作為一次性密碼生成的信息來源,使生成的OTP具有銀行等驗(yàn)證端自身設(shè)定隨機(jī)數(shù)的同時(shí)包含用戶自身設(shè)定的非交易信息的傳輸代碼,避免網(wǎng)絡(luò)及銀行內(nèi)部對(duì)賬戶資料的盜取及對(duì)交易信息的篡改。保證用戶賬戶在網(wǎng)絡(luò)端及驗(yàn)證端內(nèi)部的安全。且在認(rèn)證方法及認(rèn)證系統(tǒng)中,根據(jù)用戶輸入的交易信息及其自設(shè)定的傳輸代碼生成一次性密碼(OTP),并將OTP發(fā)送到用戶的另一顯示界面進(jìn)行顯示,由用戶手動(dòng)輸入OTP進(jìn)行交易驗(yàn)證。且發(fā)送OTP可通過異于網(wǎng)際網(wǎng)絡(luò)通訊鏈路進(jìn)行,保證了網(wǎng)絡(luò)交易時(shí)用戶賬戶的安全性。使非法分子不能通過網(wǎng)絡(luò)通路直接獲得用戶交易的所有信息,從而不能進(jìn)行未經(jīng)用戶授權(quán)的交易。
【專利附圖】
【附圖說明】
[0053]圖1為本發(fā)明一種一次性密碼認(rèn)證方法的一具體實(shí)施例的流程圖;
[0054]圖2為本發(fā)明一種一次性密碼認(rèn)證方法的另一具體實(shí)施例的流程圖;
[0055]圖3為本發(fā)明一種一次性密碼認(rèn)證系統(tǒng)的一具體實(shí)施例的系統(tǒng)結(jié)構(gòu)示意圖;
[0056]圖4為本發(fā)明一種一次性密碼認(rèn)證系統(tǒng)的另一具體實(shí)施例的系統(tǒng)結(jié)構(gòu)示意圖;
[0057]圖5為本發(fā)明一種一次性密碼認(rèn)證系統(tǒng)的再一具體實(shí)施例的系統(tǒng)結(jié)構(gòu)示意圖;
[0058]圖6為本發(fā)明一種一次性密碼認(rèn)證系統(tǒng)的一具體實(shí)施例的硬件連接示意圖;
[0059]圖7為本發(fā)明一種一次性密碼生成的方法的一具體實(shí)施例的流程圖;
[0060]圖8為本發(fā)明一種一次性密碼生成的裝置的一具體實(shí)施例的結(jié)構(gòu)示意圖;
[0061]圖9為本發(fā)明一種一次性密碼生成的裝置的另一具體實(shí)施例的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0062]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合附圖對(duì)本發(fā)明的一次性密碼認(rèn)證方法及認(rèn)證系統(tǒng)的【具體實(shí)施方式】進(jìn)行說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0063]本發(fā)明一實(shí)施例的一次性密碼(One Time Password,OTP)認(rèn)證方法,如圖1所示,包括以下步驟:
[0064]S100,接收用戶通過第一使用者界面輸入的交易信息及自設(shè)定的傳輸代碼。當(dāng)用戶通過電腦等通過網(wǎng)際網(wǎng)絡(luò)通訊的設(shè)備作為第一使用者界面輸入交易信息時(shí),提供授權(quán)驗(yàn)證的驗(yàn)證端接收用戶輸入的交易信息。所述交易信息包括但不限于交易種類、交易賬戶、交易金額、交易時(shí)間等信息。如在用戶在開始進(jìn)行注冊(cè)時(shí),所述的交易信息可以為用戶輸入的一些個(gè)人驗(yàn)證信息。
[0065]其中,用戶輸入的自設(shè)定的傳輸代碼由用戶在輸入交易信息前,或者交易信息后,作為一個(gè)單獨(dú)輸入信息由用戶輸入。此傳輸代碼由數(shù)字、字母或者兩者的結(jié)合構(gòu)成,如可以為123xyz。傳輸代碼的長度可根據(jù)需求設(shè)定,可設(shè)定為6個(gè)字符,也可設(shè)定為其他數(shù)量的字符。同時(shí),也可不對(duì)字符的長度進(jìn)行設(shè)定,由用戶根據(jù)自己的喜好隨機(jī)輸入。但是,需要說明的是,此傳輸代碼不能為空。其作為后續(xù)認(rèn)證的一個(gè)參照參數(shù)。
[0066]S200,根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。進(jìn)行交易授權(quán)驗(yàn)證的驗(yàn)證端在接收到用戶輸入的信息后,利用交易信息中的交易種類、交易賬戶、交易金額、交易時(shí)間等中的一種或者兩種以上的組合,以及用戶自設(shè)定的傳輸代碼生成對(duì)應(yīng)輸入的交易信息的唯一專屬的OTP。
[0067]此處需要說明的是,本發(fā)明實(shí)施例中生成的OTP結(jié)合的用戶賬戶信息、交易信息的同時(shí),還包含了結(jié)合用戶自設(shè)定的傳輸代碼的成分。由于用戶自設(shè)定的傳輸代碼由用戶自身隨機(jī)設(shè)定,增強(qiáng)了生成的OTP的隨機(jī)性,提高安全系數(shù)。且自設(shè)定的傳輸代碼便于用戶識(shí)別的同時(shí),無需驗(yàn)證端產(chǎn)生及傳回,減少驗(yàn)證端與用戶之間的信息傳輸量。
[0068]S300,將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑妫@示。其中,驗(yàn)證端通過網(wǎng)際網(wǎng)絡(luò)與第一使用者界面?zhèn)鬏斝畔?,通過不同于網(wǎng)際網(wǎng)絡(luò)的傳輸通路傳輸生成的OTP到第二使用者界面。如可通過短信、傳真或語音傳輸所述一次性密碼到所述第二使用者界面。
[0069]作為一種可實(shí)施方式,第二使用者界面可以為手機(jī)。驗(yàn)證端可通過短信的方式傳輸生成的驗(yàn)證碼到智能終端。此處需要說明的是,驗(yàn)證端通過連接移動(dòng)網(wǎng)絡(luò)運(yùn)營商(如移動(dòng)、聯(lián)通或電信)的服務(wù)器將OTP發(fā)送到運(yùn)營商的服務(wù)器,再由運(yùn)營商通過專屬網(wǎng)絡(luò)發(fā)送信息到用戶指定的手機(jī)。手機(jī)的號(hào)碼由用戶提前提供給驗(yàn)證端,并由驗(yàn)證端存儲(chǔ)到資料庫中作為系統(tǒng)信息。用戶可采用攜帶有效身份證件到柜臺(tái)辦理的方式存儲(chǔ)手機(jī)號(hào)碼到驗(yàn)證端,也可在驗(yàn)證端接受的前提下使用網(wǎng)絡(luò)預(yù)設(shè)的方式在注冊(cè)時(shí)設(shè)置手機(jī)號(hào)碼用于接收0ΤΡ。
[0070]較佳的,在通過短信的傳輸OTP的同時(shí)也發(fā)送傳輸代碼及一些交易信息到第二使用者界面。用戶根據(jù)傳輸代碼相應(yīng)的輸入0ΤΡ,避免多個(gè)交易時(shí)OTP的誤用。交易信息的發(fā)送使用戶可以再次核對(duì)交易信息,減少錯(cuò)誤概率。
[0071]較佳地,傳輸?shù)绞褂谜叩诙缑娴腛TP也可具有一定的時(shí)效,超過一定的時(shí)效后,則當(dāng)前的OTP失效,若需繼續(xù)進(jìn)行交易,需重新申請(qǐng)新的0ΤΡ。
[0072]S400,接收所述用戶通過第一使用者界面回傳的所述一次性密碼。用戶接收到驗(yàn)證端的OTP后,可通過輸入交易信息用的第一使用者界面輸入OTP后并傳輸?shù)津?yàn)證端申請(qǐng)授權(quán)。
[0073]S500,通過判斷回傳的所述一次性密碼是否正確確定是否進(jìn)行交易授權(quán)。驗(yàn)證端通過判斷回傳的OTP及傳輸代碼是否匹配、吻合,確定交易是否可繼續(xù)進(jìn)行。此處需要說明的是,生成OTP時(shí),對(duì)應(yīng)的交易已經(jīng)唯一確定,用戶傳回OTP時(shí),驗(yàn)證端可根據(jù)傳輸代碼查找已存儲(chǔ)的交易信息,并判斷OTP與前面存儲(chǔ)的傳輸代碼對(duì)應(yīng)的OTP是否一致,若是,則授權(quán)可繼續(xù)交易;若否,則返回交易失敗信息。所述交易失敗信息包括OTP錯(cuò)誤、OTP超時(shí)、交易超時(shí)等。
[0074]在其中一個(gè)實(shí)施例中,如圖2所示,包括以下步驟:
[0075]S101,接收用戶通過第一使用者界面輸入的交易信息及自設(shè)定的傳輸代碼。此步驟與前述的步驟S10基本相同,用戶通過一第一使用者界面輸入要進(jìn)行交易的交易信息,如轉(zhuǎn)賬到某一賬號(hào),則輸入的交易信息可包括到賬的賬號(hào),轉(zhuǎn)出的賬號(hào),轉(zhuǎn)賬金額等信息。并在單獨(dú)的輸入框中輸入自設(shè)定的傳輸代碼,也即自己設(shè)定的本次交易的交易代碼,此可作為交易的關(guān)鍵字。用戶在所述第一使用者界面輸入交易信息及傳輸代碼之后,可點(diǎn)擊第一使用者界面上的“獲取”一次性密碼的按鈕連接與驗(yàn)證端的通訊,向驗(yàn)證端獲取一次性密碼。
[0076]S102,備份所述交易信息、所述交易信息對(duì)應(yīng)的賬戶及所述自設(shè)定的傳輸代碼。驗(yàn)證端設(shè)置有存儲(chǔ)用戶資料的數(shù)據(jù)庫及數(shù)據(jù)存數(shù)單元,驗(yàn)證端接收到用戶發(fā)送的交易信息后,將信息進(jìn)行存儲(chǔ),以便后續(xù)驗(yàn)證即生成一次性密碼使用。
[0077]較佳的,在步驟S102之前還包括驗(yàn)證端判斷由用戶端,也即第一使用者界面接收的傳輸代碼是否為空的步驟,若傳輸代碼為空,則返回認(rèn)證失敗信息到第一使用者界面,提醒用戶輸入傳輸代碼。從而保證本發(fā)明實(shí)施例的一次性密碼認(rèn)證方法使用用戶自設(shè)定的傳輸代碼生成一次性密碼。
[0078]S103,根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。
[0079]S104,將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑?,并顯示。
[0080]S105,檢測(cè)到用戶使用第三使用者界面登錄所述賬戶時(shí),復(fù)制并傳輸所述交易信息及所述傳輸代碼發(fā)送到所述第三使用者界面。
[0081]S106,接收所述用戶使用第三使用者界面回傳的所述一次性密碼。用戶可以通過第一使用者界面回傳一次性密碼,也可采用另一第三使用者界面使用相同的賬戶或者賬號(hào)輸入OTP進(jìn)行驗(yàn)證,如使用電腦作為第一使用者界面,使用智能終端作為第三使用者界面。但是使用第三使用者界面時(shí),需要在步驟S104中由驗(yàn)證端根據(jù)賬戶信息同步交易操作到所述的第三使用者界面,使用戶可在第三使用者界面繼續(xù)用戶在第一使用者界面未完成的交易,如此,操作靈活,更能滿足用戶的需求。
[0082]S107,通過判斷回傳的所述一次性密碼是否正確確定是否進(jìn)行交易授權(quán)。若正確,則可繼續(xù)進(jìn)行交易操作,否則,則返回OTP驗(yàn)證失敗信息到第三使用者界面。提醒用戶重新獲取OTP進(jìn)行操作。
[0083]在其中一個(gè)一次性密碼認(rèn)證方法的實(shí)施例中,步驟S200,根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼,是根據(jù)所述交易信息、所述傳輸代碼及系統(tǒng)資料,通過邏輯運(yùn)算生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。其中,系統(tǒng)資料是指驗(yàn)證端自身用于生成一次性密碼的一些資料,如驗(yàn)證端利用系統(tǒng)亂數(shù)功能經(jīng)運(yùn)算產(chǎn)生的用于生成一次性密碼的變數(shù)。且所述的變數(shù)可根據(jù)需求依批次自動(dòng)調(diào)整。
[0084]基于同一發(fā)明構(gòu)思,本發(fā)明還提供一種一次性密碼認(rèn)證系統(tǒng),由于此系統(tǒng)解決問題的原理與前述一種一次性密碼認(rèn)證方法相似,因此,該系統(tǒng)的實(shí)施可以按照前述方法的具體步驟實(shí)現(xiàn),重復(fù)之處不再贅述。
[0085]在其中一個(gè)一次性密碼認(rèn)證系統(tǒng)的實(shí)施例中,如圖3所示,包括依次網(wǎng)絡(luò)連接的第一使用者界面100、網(wǎng)絡(luò)服務(wù)器200、認(rèn)證服務(wù)器300及第二使用者界面400,還包括與所述認(rèn)證服務(wù)器300通訊連接的硬件安全模塊500。
[0086]其中,認(rèn)證服務(wù)器300中包括信息接收模塊310、密碼生成模塊320和信息發(fā)送模塊330。信息接收模塊310,用于通過網(wǎng)絡(luò)服務(wù)器接收用戶通過第一使用者界面輸入的交易信息及自設(shè)定的傳輸代碼;密碼生成模塊320,用于根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼;信息發(fā)送模塊330,用于將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑?,并在所述第二使用者界面上進(jìn)行顯示。
[0087]硬件安全模塊500中包括驗(yàn)證模塊510,用于判斷回傳的所述一次性密碼是否正確,并將結(jié)果傳輸給認(rèn)證服務(wù)器,由認(rèn)證服務(wù)器根據(jù)所述結(jié)果確定是否進(jìn)行交易授權(quán)。需要說明的是,硬件安全模塊500中設(shè)置有與認(rèn)證服務(wù)器進(jìn)行信息傳遞的信息傳遞單元,用于傳輸OTP確認(rèn)信息及自身生成或者認(rèn)證服務(wù)器生成的0ΤΡ。與此相對(duì)應(yīng),在認(rèn)證服務(wù)器中也設(shè)置有與硬件安全模塊500中的信息傳遞單元相對(duì)應(yīng)的硬件安全模塊連接單元,用于與硬件安全模塊500進(jìn)行信息通訊。
[0088]本發(fā)明實(shí)施例的一次性密碼認(rèn)證系統(tǒng),根據(jù)用戶輸入的交易信息及其自設(shè)定的傳輸代碼生成一次性密碼(OTP),并將OTP發(fā)送到用戶的另一顯示界面進(jìn)行顯示,由用戶手動(dòng)輸入OTP進(jìn)行交易驗(yàn)證。且發(fā)送OTP可通過異于網(wǎng)際網(wǎng)絡(luò)通訊鏈路進(jìn)行,保證了網(wǎng)絡(luò)交易時(shí)用戶賬戶的安全性。使非法分子不能通過網(wǎng)絡(luò)通路直接獲得用戶交易的所有信息,從而不能進(jìn)行未經(jīng)用戶授權(quán)的交易。
[0089]在另一一次性密碼認(rèn)證系統(tǒng)的實(shí)施例中,如圖4所示,包括依次網(wǎng)絡(luò)連接的第一使用者界面100、網(wǎng)絡(luò)服務(wù)器200、認(rèn)證服務(wù)器300及第二使用者界面400,還包括與所述認(rèn)證服務(wù)器300通訊連接的硬件安全模塊500。
[0090]其中,認(rèn)證服務(wù)器300中包括信息接收模塊310和信息發(fā)送模塊330。信息接收模塊310,用于通過網(wǎng)絡(luò)服務(wù)器接收用戶通過第一使用者界面輸入的交易信息及自設(shè)定的傳輸代碼;信息發(fā)送模塊330,用于將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑?,并在所述第二使用者界面上進(jìn)行顯示。
[0091]硬件安全模塊500中包括密碼生成模塊520和驗(yàn)證模塊510。密碼生成模塊520,用于根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼;驗(yàn)證模塊510,用于判斷回傳的所述一次性密碼是否正確,并將結(jié)果傳輸給認(rèn)證服務(wù)器,由認(rèn)證服務(wù)器根據(jù)所述結(jié)果確定是否進(jìn)行交易授權(quán)。
[0092]本發(fā)明實(shí)施例中使用硬件安全模塊500中的密碼生成模塊520生成一次性密碼,此密碼生成模塊520與前述的密碼生成模塊320可采用相同的密碼生成邏輯運(yùn)算也可采用不同的密碼生成邏輯運(yùn)算。由硬件安全模塊500生成OTP可進(jìn)一步提高OTP的保密性。防止網(wǎng)絡(luò)盜取的同時(shí)也對(duì)銀行等驗(yàn)證端內(nèi)部OTP泄漏起到限制作用。
[0093]在其中一個(gè)實(shí)施例中,用戶通過所述第一使用者界面100回傳所述一次性密碼到認(rèn)證服務(wù)器300。
[0094]在其中一個(gè)實(shí)施例中,如圖5所示,還包括一第三使用者界面600,用戶通過所述第三使用者界面600回傳一次性密碼到認(rèn)證服務(wù)器300。
[0095]作為一種傳輸OTP的方式,認(rèn)證服務(wù)器400與移動(dòng)通訊傳輸服務(wù)器連接,通過所述移動(dòng)通訊傳輸服務(wù)器傳輸包含所述一次性密碼的短信到第二使用者界面400。如圖6所示,用戶通過第一使用者界面100發(fā)送交易及傳輸信息之后,交易信息通過網(wǎng)絡(luò)服務(wù)器200傳輸?shù)秸J(rèn)證服務(wù)器300,認(rèn)證服務(wù)器300生成0ΤΡ,或?qū)⒔灰仔畔⒑蛡鬏敶a傳輸?shù)接布踩K500,由硬件安全模塊生成0ΤΡ,硬件安全模塊(HSM) 500生成OTP后再將OTP傳輸回認(rèn)證服務(wù)器300,認(rèn)證服務(wù)器300連接移動(dòng)通訊服務(wù)器(未示出),最終將OTP通過移動(dòng)網(wǎng)絡(luò)發(fā)送終端600發(fā)送到第二使用者界面400,再有用戶手動(dòng)輸入OTP完成認(rèn)證。此為使用本一次性密碼認(rèn)證系統(tǒng)進(jìn)行認(rèn)證的完整過程。通過利用硬件安全模塊(HSM)生成0ΤΡ,其生成后直接封裝后由認(rèn)證服務(wù)器傳遞給客戶端用戶,除客戶端用戶外,其他人無從得知OTP信息,特別是防止第三方通過共享寬帶無線鏈接對(duì)信息進(jìn)行篡改和盜取,防止他們能夠獲得客戶端的賬戶與交易信息,并提供較好的保證,盡可能確保除了生成OTP的受信賴的HSM外,沒有人可以知道交易驗(yàn)證碼OTP信息,包括網(wǎng)絡(luò)和應(yīng)用服務(wù)器等中間層服務(wù)器在內(nèi),并可防止會(huì)話重放攻擊,以及防止利用GPUs技術(shù)來進(jìn)行密碼暴力破解。
[0096]下面詳細(xì)說明由HSM生成OTP的過程:
[0097]步驟Al,將OTP打包為R+S+P結(jié)構(gòu)的數(shù)據(jù)包;
[0098]其中:R就是HSM每次加密都會(huì)產(chǎn)生的一個(gè)固定長度的隨機(jī)數(shù);S就是在訪問的時(shí)候用到的一個(gè)訪問元素;p就是通過具體配置而指定的OTP本身或者散列中的0ΤΡ。
[0099]需要說明的是,所提到的訪問元素為用戶進(jìn)行交易訪問時(shí)所提交的交易信息中某個(gè)或者某些參量及自設(shè)定的傳輸代碼等信息的組合。所提到的散列算法為SHA256,或者SM3。
[0100]步驟BI,使用對(duì)稱的KEY的加密方法把R+S+P結(jié)構(gòu)的OTP進(jìn)行加密。這種加密方法使用256位AES key算法的,或者使用SMl或者SM4算法。
[0101]步驟Cl,把加密后的OTP保存到數(shù)據(jù)庫中。
[0102]當(dāng)認(rèn)證服務(wù)器將生成的OTP發(fā)送給用戶的第二使用者界面時(shí),首先對(duì)OTP進(jìn)行解密,解密之后再由移動(dòng)通信服務(wù)器通過專線將OTP發(fā)送到用戶指定的手機(jī)號(hào)碼。
[0103]基于相同的發(fā)明構(gòu)思,在驗(yàn)證端,一般為銀行的服務(wù)端,提供一種一次性密碼生成的方法,如圖7所示,包括以下步驟,且以下步驟都是在驗(yàn)證端的服務(wù)器上進(jìn)行的。
[0104]S201,接收用戶的交易授權(quán)請(qǐng)求。用戶在進(jìn)行交易前,會(huì)通過電腦等終端輸入交易授權(quán)請(qǐng)求,也即進(jìn)行輸入的交易信息的認(rèn)證。銀行等驗(yàn)證端接收用戶發(fā)送的交易授權(quán)請(qǐng)求后,對(duì)交易進(jìn)行授權(quán)認(rèn)證,只有經(jīng)過認(rèn)證后的交易才能繼續(xù)進(jìn)行,最終完成交易,實(shí)現(xiàn)轉(zhuǎn)賬付款等操作。沒有經(jīng)過認(rèn)證的任何可能使用戶賬戶資金產(chǎn)生變化的交易都不能進(jìn)行。
[0105]S202,解析所述用戶發(fā)送的交易授權(quán)請(qǐng)求,得到用戶輸入的交易信息及傳輸代碼。用戶發(fā)送的交易信息會(huì)與用戶的賬號(hào)信息、客戶端地址等一同作為一個(gè)數(shù)據(jù)包通過網(wǎng)絡(luò)服務(wù)器發(fā)送到銀行等的驗(yàn)證端。驗(yàn)證端收到用戶的數(shù)據(jù)包后,需要對(duì)數(shù)據(jù)包進(jìn)行解析,解析出生成OTP所需的數(shù)據(jù)信息及交易賬戶、交易時(shí)間等。此處的傳輸代碼由用戶在進(jìn)行交易時(shí)自定義輸入。其可以為數(shù)字、字母或者兩者的組合,且傳輸代碼的長度包括但不限于6個(gè)字符、4個(gè)字符或者8個(gè)字符。
[0106]更佳的,用戶在輸入交易信息的同時(shí)也可輸入用戶的個(gè)人資料,如密碼、身份證號(hào)碼、預(yù)留信息等作為輔助認(rèn)證信息。驗(yàn)證端根據(jù)用戶輸入的個(gè)人資料信息與驗(yàn)證端數(shù)據(jù)庫中存儲(chǔ)的賬戶信息進(jìn)行比對(duì),對(duì)賬戶信息進(jìn)行認(rèn)證,如果賬戶信息認(rèn)證失敗,則直接返回停止交易信息,提醒用戶重新進(jìn)行賬戶的認(rèn)證。
[0107]此處需要說明的是,驗(yàn)證端數(shù)據(jù)庫中的信息為用戶持有效身份證件,如身份證,到銀行柜臺(tái)辦理的預(yù)留賬戶認(rèn)證信息,或者通過其他銀行等認(rèn)證端承認(rèn)的途徑提供給驗(yàn)證端的預(yù)留賬戶認(rèn)證信息。
[0108]S203,根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。驗(yàn)證端根據(jù)解析出的傳輸代碼及交易信息采用邏輯運(yùn)算計(jì)算得到一個(gè)一次性密碼,并在后續(xù)作為交易授權(quán)認(rèn)證的一必須認(rèn)證條件發(fā)送給用戶供輸入認(rèn)證使用。
[0109]本發(fā)明實(shí)施例的一次性密碼生成的方法,使用交易信息結(jié)合用戶個(gè)人自設(shè)定的傳輸代碼作為一次性密碼生成的信息來源,使生成的OTP具有銀行等驗(yàn)證端自身設(shè)定隨機(jī)數(shù)的同時(shí)包含用戶自身設(shè)定的不定參數(shù),可有效防止網(wǎng)絡(luò)及銀行內(nèi)部對(duì)交易信息的篡改。保證用戶賬戶在網(wǎng)絡(luò)端及驗(yàn)證端內(nèi)部的安全。
[0110]在其中一個(gè)一次性密碼生成的方法的實(shí)施例中,在步驟S202,解析用戶發(fā)送的交易授權(quán)請(qǐng)求,得到用戶輸入的交易信息及傳輸代碼之前,還包括以下步驟:
[0111]S2021,判斷所接收到的所述交易授權(quán)請(qǐng)求中是否包含傳輸代碼,
[0112]若是,則執(zhí)行步驟S202,解析所述交易授權(quán)請(qǐng)求;
[0113]若否,則執(zhí)行步驟S2022,返回請(qǐng)求授權(quán)失敗信息。
[0114]本步驟中首先對(duì)交易授權(quán)請(qǐng)求中是否包含傳輸代碼進(jìn)行判斷,以便在使用傳輸代碼作為生成OTP的參數(shù)時(shí),保證傳輸代碼不為空。
[0115]較佳地,步驟S2022,返回請(qǐng)求授權(quán)失敗信息,具體可包含以下步驟:
[0116]首先保存從用戶端接收到的交易信息;然后再發(fā)送輸入傳輸代碼請(qǐng)求到用戶的客戶端,并等待接收所述客戶端的返回信息。采用此步驟可在一定時(shí)間內(nèi)給用戶重新輸入傳輸代碼的機(jī)會(huì)。并在接收到用戶再次輸入的傳輸代碼后與前面保存的交易信息進(jìn)行合并作為完整的賬戶交易數(shù)據(jù)用于生成0ΤΡ。
[0117]與前述的一次性密碼生成的方法相對(duì)應(yīng),本發(fā)明還提供一種一次性密碼生成的裝置。其如圖8所示,包括信息接收模塊101,解析模塊102和密碼生成模塊103。其中:信息接收模塊101,用于接收用戶的交易授權(quán)請(qǐng)求;解析模塊102,用于解析所述用戶發(fā)送的交易授權(quán)請(qǐng)求,得到用戶輸入的交易信息及傳輸代碼;密碼生成模塊103,用于根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。
[0118]本發(fā)明的一次性密碼生成的裝置主要應(yīng)用在銀行等交易驗(yàn)證端,前述的信息接收模塊101、解析模塊102和密碼生成模塊103可集中在驗(yàn)證端的一個(gè)服務(wù)器中,如認(rèn)證服務(wù)器中,也可分別在不同的驗(yàn)證端的硬件設(shè)備中。如信息接收模塊101和解析模塊102可集中在一個(gè)硬件中,而密碼生成模塊103可在另一硬件設(shè)備中。其生成的OTP中包含了用戶自設(shè)定的非交易信息的傳輸代碼,使代碼生成的參數(shù)中包含了除銀行端的隨機(jī)數(shù)以外,還包括用戶自設(shè)定的傳輸代碼隨機(jī)數(shù),避免網(wǎng)絡(luò)及銀行內(nèi)部對(duì)賬戶資料的盜取及對(duì)交易信息的篡改。
[0119]如圖9所示,在其中一個(gè)實(shí)施例中,還包括傳輸代碼判斷模塊104和失敗信息返回模塊105。其中:傳輸代碼判斷模塊104,用于判斷所接收到的所述交易授權(quán)請(qǐng)求中是否包含傳輸代碼;若是,則轉(zhuǎn)執(zhí)行所述解析模塊102,解析所述交易授權(quán)請(qǐng)求;若否,則轉(zhuǎn)執(zhí)行所述失敗信息返回模塊105,返回請(qǐng)求授權(quán)失敗信息。
[0120]以上所述實(shí)施例僅表達(dá)了本發(fā)明的幾種實(shí)施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對(duì)本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對(duì)于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
【權(quán)利要求】
1.一種一次性密碼認(rèn)證方法,其特征在于,包括以下步驟: 接收用戶通過第一使用者界面輸入的交易信息及自設(shè)定的傳輸代碼; 根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼; 將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑?,并顯示; 接收所述用戶回傳的所述一次性密碼; 通過判斷回傳的所述一次性密碼是否正確確定是否進(jìn)行交易授權(quán)。
2.根據(jù)權(quán)利要求1所述的一次性密碼認(rèn)證方法,其特征在于,所述用戶使用網(wǎng)際網(wǎng)絡(luò)通過所述第一使用者界面?zhèn)鬏斝畔ⅲ? 通過移動(dòng)通信網(wǎng)絡(luò)傳輸所述一次性密碼到所述用戶的第二使用者界面。
3.根據(jù)權(quán)利要求1所述的一次性密碼認(rèn)證方法,其特征在于,通過短信、傳真或語音的非網(wǎng)際網(wǎng)絡(luò)傳輸所述一次性密碼到所述第二使用者界面。
4.根據(jù)權(quán)利要求1所述的一次性密碼認(rèn)證方法,其特征在于,所述傳輸代碼為數(shù)字、文字或數(shù)字與文字的組合。
5.根據(jù)權(quán)利要求 1至4任一項(xiàng)所述的一次性密碼認(rèn)證方法,其特征在于,所述用戶通過所述第一使用者界面回傳所述一次性密碼。
6.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的一次性密碼認(rèn)證方法,其特征在于,在所述步驟接收所述用戶回傳的所述一次性密碼之前,還包括傳輸所述交易信息及所述傳輸代碼到第三使用者界面的步驟; 所述用戶通過另一第三使用者界面回傳所述一次性密碼。
7.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的一次性密碼認(rèn)證方法,其特征在于,所述一次性密碼在預(yù)設(shè)時(shí)間內(nèi)有效。
8.根據(jù)權(quán)利要求2所述的一次性密碼認(rèn)證方法,其特征在于,通過短信傳輸所述一次性密碼到所述第二使用者界面。
9.根據(jù)權(quán)利要求2所述的一次性密碼認(rèn)證方法,其特征在于,將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑娴耐瑫r(shí),也將所述傳輸代碼傳輸?shù)剿龅诙褂谜呓缑妫⒃谒龅诙褂谜呓缑骘@示。
10.根據(jù)權(quán)利要求1所述的一次性密碼認(rèn)證方法,其特征在于,根據(jù)所述交易信息、所述傳輸代碼及系統(tǒng)資料,通過邏輯運(yùn)算生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。
11.根據(jù)權(quán)利要求10所述的一次性密碼認(rèn)證方法,其特征在于,所述邏輯運(yùn)算所依據(jù)的所述交易信息包括交易種類、交易賬戶、交易金額及交易時(shí)間中的一種或者兩種以上的組合。
12.—種一次性密碼認(rèn)證系統(tǒng),其特征在于,包括依次網(wǎng)絡(luò)連接的第一使用者界面、網(wǎng)絡(luò)服務(wù)器、認(rèn)證服務(wù)器及第二使用者界面; 還包括與所述認(rèn)證服務(wù)器通訊連接的硬件安全模塊(HSM); 所述認(rèn)證服務(wù)器中包括信息接收模塊,用于通過網(wǎng)絡(luò)服務(wù)器接收用戶通過第一使用者界面輸入的交易信息及自設(shè)定的傳輸代碼; 所述認(rèn)證服務(wù)器或所述硬件安全模塊包括密碼生成模塊,用于根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼; 所述認(rèn)證服務(wù)器中還包括信息發(fā)送模塊,用于將所述一次性密碼傳輸?shù)剿鲇脩舻牡诙褂谜呓缑?,并在所述第二使用者界面上進(jìn)行顯示; 所述硬件安全模塊中還包括驗(yàn)證模塊,用于判斷回傳的所述一次性密碼是否正確,并將結(jié)果傳輸給認(rèn)證服務(wù)器,由認(rèn)證服務(wù)器根據(jù)所述結(jié)果確定是否進(jìn)行交易授權(quán)。
13.根據(jù)權(quán)利要求12所述的一次性密碼認(rèn)證系統(tǒng),其特征在于,所述用戶通過所述第一使用者界面回傳所述一次性密碼到所述認(rèn)證服務(wù)器。
14.根據(jù)權(quán)利要求12所述的一次性密碼認(rèn)證系統(tǒng),其特征在于,還包括一第三使用者界面,所述用戶通過所述第三使用者界面回傳所述一次性密碼到所述認(rèn)證服務(wù)器。
15.根據(jù)權(quán)利要求12至14任一項(xiàng)所述的一次性密碼認(rèn)證系統(tǒng),其特征在于,所述認(rèn)證服務(wù)器與移動(dòng)通訊傳輸服務(wù)器連接,通過所述移動(dòng)通訊傳輸服務(wù)器傳輸包含所述一次性密碼的短信到所述第二使用者界面。
16.一種一次性密碼生成的方法,其特征在于,包括以下步驟: 接收用戶的交易授權(quán)請(qǐng)求; 解析所述用戶發(fā)送的交易授權(quán)請(qǐng)求,得到用戶輸入的交易信息及傳輸代碼; 根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。
17.根據(jù)權(quán)利要求16所述的一次性密碼生成的方法,其特征在于,所述解析所述用戶發(fā)送的交易授權(quán)請(qǐng)求 ,得到用戶輸入的交易信息及傳輸代碼之前,還包括以下步驟: 判斷所接收到的所述交易授權(quán)請(qǐng)求中是否包含傳輸代碼; 若是,則進(jìn)行下一步操作,解析所述交易授權(quán)請(qǐng)求; 若否,則返回請(qǐng)求授權(quán)失敗信息。
18.根據(jù)權(quán)利要求17所述的一次性密碼生成的方法,其特征在于,所述返回請(qǐng)求授權(quán)失敗信息的步驟包括以下步驟: 保存所述交易信息; 發(fā)送輸入傳輸代碼請(qǐng)求到用戶的客戶端,并等待接收所述客戶端的返回信息。
19.一種一次性密碼生成的裝置,其特征在于,包括信息接收模塊,解析模塊和密碼生成模塊,其中: 所述信息接收模塊,用于接收用戶的交易授權(quán)請(qǐng)求; 所述解析模塊,用于解析所述用戶發(fā)送的交易授權(quán)請(qǐng)求,得到用戶輸入的交易信息及傳輸代碼; 所述密碼生成模塊,用于根據(jù)所述交易信息及所述傳輸代碼生成與所述傳輸信息對(duì)應(yīng)的一次性密碼。
20.根據(jù)權(quán)利要求19所述的一次性密碼生成的裝置,其特征在于,還包括傳輸代碼判斷模塊和失敗信息返回模塊,其中: 所述判斷模塊,用于判斷所接收到的所述交易授權(quán)請(qǐng)求中是否包含傳輸代碼; 若是,則轉(zhuǎn)執(zhí)行所述解析模塊,解析所述交易授權(quán)請(qǐng)求; 若否,則轉(zhuǎn)執(zhí)行所述失敗信息返回模塊,返回請(qǐng)求授權(quán)失敗信息。
【文檔編號(hào)】G06Q20/40GK104077690SQ201410287503
【公開日】2014年10月1日 申請(qǐng)日期:2014年6月24日 優(yōu)先權(quán)日:2014年6月24日
【發(fā)明者】程偉強(qiáng) 申請(qǐng)人:北京安訊奔科技有限責(zé)任公司