多通訊渠道認證授權平臺系統和方法
【技術領域】
[0001]本發(fā)明涉及網絡安全技術領域,特別是涉及一種多通訊渠道認證授權平臺系統和方法。
【背景技術】
[0002]在電子認證授權過程中,程序會生成電子化數據,用戶通過某些訪問渠道,例如用戶的電腦、電話、IVR (Interactive Voice Response,互動式語音應答)、資訊站(K1sk)等讀取這些數據,用戶信息必須通過認證和授權后,才能使用這些訪問渠道去獲取生成電子化數據。對于一些機密性比較高的電子化數據,認證授權時會要求用戶的電子交易使用數字簽章,以確保交易的真實性和可靠性。例如,通過簽章的解決方法,使用單一設備平臺,例如用戶的電腦、資訊站(K1sk),提交請求給認證授權平臺,并進行簽章。
[0003]另外一些安全的認證授權簽章解決方法,使用另外的設備來制作第一認證碼。例如,用戶使用某個認證授權平臺通過網絡連接啟動請求,回應過程中,認證授權平臺程序通過網絡連接,將信息傳送回用戶的電腦。在收到信息后,用戶將所要求的信息的部分,輸入到需要簽章的設備(該設備并不連接服務器/電腦),以制作電子簽章;用戶輸入電子簽章到電腦,并把電子簽章提交到認證授權平臺,來完成簽章過程。
[0004]若對于其他手動或基于電話的認證授權過程,使用上述的傳統方法,電子簽名是不能實現的。
[0005]傳統的認證授權解決方法,包括電子簽章解決方法,有以下各種不足之處:
[0006]I)對通過柜臺、已寫好的指令或電話的手動認證授權而言,不可能使用電子的認證授權解決方法,包括簽章設備解決方法實現。
[0007]2)對單一設備平臺而言,提交請求到某個認證授權平臺且制作簽章的單一設備平臺,容易受到惡意軟件、中間人網絡釣魚(Man-1n-the-Middle,MitM)的攻擊,且可修改數據來實施欺詐。
[0008]3)對不聯網的簽章設備而言,其雖然提供了更安全的認證授權解決方法,但是不聯網的簽章設備,僅支持單一服務提供商,而且一般要求用戶手動輸入重要的數據到客戶端。這個過程是容易出錯的;在簽章中,可包含數據量的限制,而且被簽章的數據可能還會有限制。此外,這種簽章設備,在制造、購買、分發(fā)和撤銷整個過程,成本都相對較高。同時,如果認證授權涉及一個或多個認證授權,那么這個認證授權過程將會變得復雜,同時也會花費更多時間。
【發(fā)明內容】
[0009]基于此,有必要針對現有技術的缺陷和不足,提供一種多通訊渠道認證授權平臺系統和方法,其安全、便捷,易操作,成本低,在網絡認證授權過程中有效防止各種惡意攻擊。
[0010]為實現本發(fā)明目的而提供的一種多通訊渠道認證授權平臺系統,包括令牌生成服務器STPM,注冊服務器??Μ,認證服務器TAM和授權終端TAD ;
[0011]其中:
[0012]所述令牌生成服務器,用于在注冊服務器向其發(fā)出注冊請求時,生成令牌組合,并將所述令牌組合提供給所述注冊服務器;
[0013]所述注冊服務器,用于在接到用戶的授權終端通過一個或者多個訪問通訊渠道向其發(fā)出注冊請求時,根據注冊請求向所述令牌生成服務器請求所述令牌組合;并在獲取所述令牌組合后,將所述令牌組合與授權終端信息對應;然后將令牌組合、加密解密軟件及認證代碼生成格式軟件,通過所述一個或者多個訪問渠道回饋給用戶的授權終端;同時將所述令牌組合與對應的授權終端信息、加密解密軟件及認證代碼生成格式軟件,通過不同于所述一個或者多個訪問渠道的另一訪問渠道發(fā)送到認證服務器;
[0014]所述認證服務器,用于在獲得所述令牌組合與對應的授權終端信息后,當接到授權終端請求進行授權認證時,利用令牌組合,以對應的授權設備信息生成第一密碼;并根據授權終端發(fā)送來的第二認證碼,利用加密解密軟件及認證代碼生成格式軟件,將所述第一密碼轉化與第二認證碼的格式相同的第一認證碼,進行認證比對;或者利用加密解密軟件及認證代碼生成格式軟件,對授權終端發(fā)送來的第二認證碼進行解析,得到授權終端發(fā)送來的第二密碼,與第一密碼進行認證比對,根據認證比對的結果進行認證授權;
[0015]所述授權終端,用于在接收到所述令牌組合后,在需要進行認證授權時,利用令牌組合,根據對應的授權設備信息生成第二密碼,并利用加密解密軟件及認證代碼生成格式軟件,將所述第二密碼轉換為第二認證碼后,發(fā)送給認證服務器進行認證授權。
[0016]在其中一個實施例中,所述授權終端信息是用戶通過授權終端輸入的個性化的聲音、圖像、指紋數據。
[0017]在其中一個實施例中,所述授權終端信息還可以包括授權終端的唯一設備識別號。
[0018]在其中一個實施例中,所述訪問渠道為網絡/電話網絡、使用觸音和/或聲音指令的Phone IVR網絡、基于信息的系統、電子郵件系統、k1sks、通過影像掃描發(fā)送或者傳真紙件。
[0019]在其中一個實施例中,所述令牌組合包括以下一個或者多個數據的任意組合:
[0020]Al)含兩組密鑰對的數碼證書:一個用于簽章,一個用于加密;
[0021]A2)含唯一令牌序列號的數據簽章令牌種子文件;
[0022]A3)含唯一令牌序列號的OTP令牌生成軟件。
[0023]在其中一個實施例中,所述認證服務器配置有揚聲器、麥克風、照相機和/或指紋掃描儀,可讀取或者生成相應格式的第一認證碼。
[0024]在其中一個實施例中,所述第一認證碼為聲音代碼、圖像代碼、指紋代碼或者二維碼中的一種或者多種格式的代碼。
[0025]在其中一個實施例中,所述授權終端是手持設備、移動電話、平板電腦;
[0026]所述授權終端配置有揚聲器、麥克風、照相機和/或指紋掃描儀,可讀取或者生成相應格式的第二認證碼。
[0027]在其中一個實施例中,所述第二認證碼為聲音代碼、圖像代碼、指紋代碼或者二維碼中的一種或者多種格式的代碼。
[0028]在其中一個實施例中,所述含唯一令牌序列號的數據簽章令牌種子文件利用授權終端信息生成相應的第一密碼或者第二密碼。
[0029]在其中一個實施例中,所述令牌組合以及相對應的授權終端、加密解密軟件及認證代碼生成格式軟件,由注冊服務器發(fā)送到認證服務器和授權終端時,是使用RSA算法或者AES算法進行加密的。
[0030]在其中一個實施例中,所述RSA算法或者AES算法的加密密鑰存儲在防篡改設備中。
[0031]在其中一個實施例中,所述加密是使用私有密鑰的RSA加密方法進行加密的,和/或,使用服務提供商的公共密鑰,使用AES加密的隨機生成激活密碼,對令牌組合進行再進一步的加密。
[0032]在其中一個實施例中,所述注冊服務器,還用于生成一個用于下載令牌組合、加密解密軟件及認證代碼生成格式軟件的URL,由用戶的授權終端(TAD)下載得到。
[0033]為實現本發(fā)明目的還提供一種多通訊渠道認證授權方法,包括如下步驟:
[0034]步驟S100,注冊服務器在接到用戶的授權終端通過一個或者多個訪問通訊渠道向其發(fā)出注冊請求時,根據注冊請求向所述令牌生成服務器請求所述令牌組合;
[0035]步驟S200,令牌生成服務器在接到注冊服務器的請求后,令牌生成服務器生成令牌組合,并將所述令牌組合返回給注冊服務器;
[0036]步驟S300,注冊服務器在獲取所述令牌組合后,將所述令牌組合與授權終端信息對應;然后將令牌組合、加密解密軟件及認證代碼生成格式軟件,通過所述一個或者多個訪問渠道回饋給用戶的授權終端;同時將所述令牌組合與對應的授權終端信息、加密解密軟件及認證代碼生成格式軟件,通過不同于所述一個或者多個訪問渠道的另一訪問渠道發(fā)送到認證服務器;
[0037]步驟S400,授權終端向認證服務器發(fā)起認證授權請求,認證服務器響應;
[0038]步驟S500,在認證服務器響應后,授權終端通過利用令牌組合,根據對應的授權設備信息生成第二密碼,并利用加密解密軟件及認證代碼生成格式軟件,將所述第二密碼轉換為第二認證碼后,發(fā)送給認證服務器進行認證授權;
[0039]步驟S600,在認證服務器響應后,認證服務器利用令牌組合,以對應的授權設備信息生成第一密碼;并根據授權終端發(fā)送來的第二認證碼,利用加密解密軟件及認證代碼生成格式軟件,將所述第一密碼轉化與第二認證碼的格式相同的第一認證碼,進行認證比對;或者利用加密解密軟件及認證代碼生成格式軟件,對授權終端發(fā)送來的第二認證碼進行解析,得到授權終端發(fā)送來的第二密碼,與第一密碼進行認證比對,根據認證比對的結果進行認證授權。
[0040]在其中一個實施例中,所述認證代碼生成格式軟件為圖形、光代碼、音代碼或語音格式生成軟件。
[0041]在其中一個實施例中,所述步驟S300還包括如下步驟:
[0042]步驟S310,在收到注冊服務器回饋的令牌組件,加密軟件及認證代碼生成格式軟件后,使用預設設定解密密鑰在授權終端上解密URL信息,并要求用戶輸入令牌激活密碼安裝安全令牌組合及加密軟件和格式生成軟件。
[0043]在其中一個實施例中,所述加密為:
[0044]使用AE