动态口令登录认证方法与系统及令牌装置

技术领域

本发明属于安全登录技术领域，尤其是涉及一种基于动态口令的登录认证方法与系统以及令牌装置。

背景技术

在对外网开放的设备后台管理系统中，为了便于记忆，用户常选择某些特征信息作为登录密码，这种静态口令登录极容易被猜测和破解。例如，如果是非加密方式传输静态密码，黑客可以从网络上轻易获取用户认证信息；内部工作人员可通过合法授权取得用户密码进而非法使用。而且，静态口令无法确定用户的身份，其结果就是，可以轻松地伪造一个假身份或者盗用一个合法身份进行非法登录，造成系统信息的泄露以及不可挽回的损失。

静态口令认证方式的不安全因素，虽然可以替换定时更换口令或增加口令长度等措施来从一定程度上避免，但如此则给用户带来了不必要的麻烦，影响工作效率。

因此，降低静态口令失密危险性的最好办法就是采用动态的口令，或称为一次性口令。一次性口令就是一个口令在认证过程中只使用一次，再次认证时则更换使用另一个口令。这样，即使黑客截获了正在使用的口令也无法重复使用，因为下一次认证的口令会发生变化。因此动态口令认证具有相对较高的安全性。

发明内容

基于上述背景，本发明旨在提出一种动态口令的安全登录认证方法与系统，以及一种生成动态口令令牌。本发明的具体技术方案如下所述：

第一方面，提出一种动态口令登录认证方法，包括：

用户发起登录认证申请，令牌对第五当前时间戳与用户对应的第一种子密钥进行加密运算，得到第五口令并上传至认证服务器；

收到认证申请时，认证服务器确认用户合法后，从数据库分别查询用户对应的第二种子密钥与令牌对应的加密算法，对第六当前时间戳与所述第二种子密钥进行加密运算，得到第六口令；

对比所述第五口令与第六口令，若一致则认证通过，否则认证失败。

较佳的，在上述的登录认证申请之前，先进行以下操作：

认证服务器为每个用户配置对应的种子密钥，为每个令牌配置对应的加密算法；

从认证服务器获取包括种子密钥的种子文件，并将种子文件导入令牌，导入成功后保存令牌信息；所述种子文件为XML格式，所述令牌信息包括序列号与基于时间的动态认证方式；

对令牌与认证服务器进行时间同步；

将令牌与用户进行绑定。

进一步的，上述的对令牌与认证服务器进行时间同步是在预设的周期内首次认证时进行，具体包括：

令牌对第一当前时间戳进行加密运算，得到第一口令并上传至认证服务器；

认证服务器根据令牌序列号查找对应加密算法，对第二当前时间戳进行加密运算得到第二口令，以及对所述第二当前时间戳前后特定时间区间内的时间戳进行加密计算得到对应的若干个口令；

若所述第一口令与第二口令一致则同步结束；

若所述第一口令与第二口令不一致，从所述若干个口令中取出与第一口令一致的口令对应的时间戳，计算该时间戳与所述第二当前时间戳的差值作为认证服务器与令牌的时钟偏移。

更进一步的，该方法还包括对上述的时钟偏移进行验证：

令牌对第三当前时间戳进行加密运算，得到第三口令并上传至认证服务器；

认证服务器根据令牌序列号查找对应加密算法，对第四当前时间戳按照所述时钟偏移后的时间戳进行加密运算得到第四口令；

若所述第三口令与第四口令一致则说明时钟偏移正确、时间同步结束；否则时钟偏移错误，重新进行同步操作。

较佳的，上述将令牌与用户绑定是在用户首次登录之前进行，包括将令牌序列号与用户id进行绑定并上报认证服务器。以及，令牌信息还包括生产时间与有效期间，认证服务器对令牌是否在有效期内进行验证，对用户与令牌绑定关系进行验证。

进一步的，认证服务器先对用户名与密码进行验证，再对动态口令进行认证。

第二方面，提出一种登录认证的令牌装置，包括：

存储单元，用于存储令牌信息与xml格式的种子文件，所述种子文件内包括种子密钥；

同步单元，用于定时的与认证服务器进行时间同步；

加密单元，用于对当前时间戳与种子密钥进行加密生成待认证的动态口令；

该装置通过将生成的动态口令发送至认证服务器并对比是否一致，以实现登录的安全认证。

最后，还提出一种登录认证系统，包括终端和认证服务器，所述终端包括如上所述的令牌装置；

该登录认证系统实现口令认证的过程，包括：

绑定用户与令牌；

终端输入用户名发起登录认证申请，同时令牌对当前时间戳与用户对应的种子密钥进行加密运算，得到待认证口令，将所述用户名、令牌序列号与待认证口令上传至认证服务器；

认证服务器确认用户合法后，从数据库分别查询用户对应的种子密钥与令牌对应的加密算法，对当前时间戳与存储的种子密钥进行加密运算，得到验证口令；

对比所述待认证口令与验证口令，若一致则认证通过，否则认证失败。

作为较佳的，该认证系统在预设的周期内首次认证时，对所述令牌与认证服务器进行时钟同步。

采用上述技术方案的本发明，至少具有以下有益效果：通过对时间戳与密钥进行加密得到动态口令，发送至认证服务器与服务器利用相同加密算法得到的口令进行比对，以确定动态口令是否合法；同时，将用户与令牌进行绑定，避免了用户或令牌被非法使用；而且定时的通过两次口令比对即可实现令牌与认证服务器的时钟同步，操作更便捷并且保证了口令认证的准确性，从而有效提高登录的安全性。

附图说明

图1为本发明的动态口令登录认证方法实施例，工作流程示意图。

图2为本发明的登录认证系统实施例，模块组成示意图。

具体实施方式

为使本发明实施例的技术目的、内容与效果更加清楚，以下结合附图，对本发明实施例中的技术方案进行详细描述。

首先，为便于理解，对本发明实施例中涉及的技术术语及背景进行简要说明：

动态口令身份认证，常见的有基于时间同步机制、基于事件同步机制的与基于挑战/应答（异步）机制三种技术模式。动态口令应用的基本特征是，用户必须持有一个用于产生动态口令的设备，用设备产生动态口令后，交给应用系统，再由应用系统转交认证系统认证。

动态口令的变化，是由于算法中变量的不同而不同，即时间同步机制是以时间作为变量，挑战/应答机制是以挑战数作为变量，而事件同步机制则是以事件（次数/序列数）作为变量。以此形成了三种不同的技术模式。

其中，时间同步机制，由于以时间做变量，因此客户端设备必须具有时钟，并且客户端与认证系统的时钟必须保持同步，从而对设备精度要求高。

基于上述背景，本发明的动态口令登录认证方法及系统提出以下基于时间同步的技术方案。

实施例一

如图1所示，一种动态口令登录认证方法，包括：

（1）认证服务器为每个用户配置对应的种子密钥，为每个令牌配置对应的加密算法。

（2）从认证服务器获取包括种子密钥的种子文件，并将种子文件导入令牌，导入成功后保存令牌信息；所述种子文件为XML格式，所述令牌信息包括序列号与基于时间的动态认证方式。

（3）对令牌与认证服务器进行时间同步。在预设的周期内首次认证时进行，具体包括：

令牌对第一当前时间戳进行加密运算，得到第一口令并上传至认证服务器；

认证服务器根据令牌序列号查找对应加密算法，对第二当前时间戳进行加密运算得到第二口令，以及对所述第二当前时间戳前后特定时间区间内的时间戳进行加密计算得到对应的若干个口令；

若所述第一口令与第二口令一致则同步结束；

若所述第一口令与第二口令不一致，从所述若干个口令中取出与第一口令一致的口令对应的时间戳，计算该时间戳与所述第二当前时间戳的差值作为认证服务器与令牌的时钟偏移。

作为较佳的实施方式，还包括对上述的时钟偏移进行验证：

令牌对第三当前时间戳进行加密运算，得到第三口令并上传至认证服务器；

认证服务器根据令牌序列号查找对应加密算法，对第四当前时间戳按照所述时钟偏移后的时间戳进行加密运算得到第四口令；

若所述第三口令与第四口令一致则说明时钟偏移正确、时间同步结束；否则时钟偏移错误，重新进行同步操作。

（4）将令牌与用户进行绑定。包括将令牌序列号与用户id进行绑定并上报认证服务器。

（5）用户发起登录认证申请，令牌对第五当前时间戳与用户对应的第一种子密钥进行加密运算，得到第五口令并上传至认证服务器；

收到认证申请时，认证服务器确认用户合法后，从数据库分别查询用户对应的第二种子密钥与令牌对应的加密算法，对第六当前时间戳与所述第二种子密钥进行加密运算，得到第六口令；

对比所述第五口令与第六口令，若一致则认证通过，否则认证失败。

作为较佳的实施方式，上述的令牌信息还包括生产时间与有效期间，认证服务器对令牌是否在有效期内进行验证，对用户与令牌绑定关系进行验证。

进一步的，认证服务器先对用户名与密码进行验证，再对动态口令进行认证。

实施例二

如图2所示，一种登录认证系统，包括终端和认证服务器。

终端包括令牌装置；而令牌装置包括：

存储单元，用于存储令牌信息与xml格式的种子文件，所述种子文件内包括种子密钥；

同步单元，用于定时的与认证服务器进行时间同步；

加密单元，用于对当前时间戳与种子密钥进行加密生成待认证的动态口令。

该登录认证系统实现口令认证的具体过程，包括：

（1）绑定用户与令牌；

（2）终端输入用户名发起登录认证申请，同时令牌对当前时间戳与用户对应的种子密钥进行加密运算，得到待认证口令，将所述用户名、令牌序列号与待认证口令上传至认证服务器；

（3）认证服务器确认用户合法后，从数据库分别查询用户对应的种子密钥与令牌对应的加密算法，对当前时间戳与存储的种子密钥进行加密运算，得到验证口令；

（4）对比所述待认证口令与验证口令，若一致则认证通过，否则认证失败。

作为一种较佳的实施方式， 该认证系统在预设的周期内首次认证时，对所述令牌与认证服务器进行时钟同步。同步的过程同实施例一所述，此处不再赘述。

如上所述的本发明实施例的技术方案，通过对时间戳与密钥进行加密得到动态口令，发送至认证服务器与服务器利用相同加密算法得到的口令进行比对，以确定动态口令是否合法；同时，将用户与令牌进行绑定，避免了用户或令牌被非法使用；而且定时的通过两次口令比对即可实现令牌与认证服务器的时钟同步，操作更便捷并且保证了口令认证的准确性，从而有效提高登录的安全性。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，所述的存储介质，如：ROM/RAM、磁碟、光盘等。

对上述公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和相一致的最宽的范围。