[发明专利]一种由用户自定义多密码种子动态密码认证方法及系统

说明书

技术领域

本发明涉及一种双因子动态密码身份认证方法及其系统，尤其涉及一种由用户自定义多密码种子动态密码认证方法及系统。

技术背景

随着互联网应用的快速发展，越来越多的商业活动在网络上发生，例如网络购物、网上银行、网络支付、网络游戏等，人们对网络信息安全要求也越来越高。在传统的网络商业活动过程中，用户从客户端通过输入固定的账号、密码进行身份认证。这样的系统有很多安全隐患，木马、偷窥、网络拦截都可能导致用户账号、密码泄露。

目前业界普遍采用双因子认证以提高身份认证的安全，其中以动态密码技术最为有效，成为国外网银、企业VPN普遍采用的方式。

但现有的动态密码认证方式存在下述问题：

1、用户端设备采用内置密码种子，在客户端设备生产、储存、分发过程都有密码种子泄密的可能。

2、用户遗失内置密码种子的客户端设备可能导致身份被冒认。

3、生成动态密码的密码种子由动态密码系统供应商提供，用户与运营商都必须绝对信任该第三方。

4、由于现有客户端设备都只是内置单一密码种子，基于安全理由，一个客户端设备只能绑定一个运营商服务。用户有多个安全认证需求时，就要多个客户端设备方可实现。

5、单一密码种子动态密码系统不能实现两次确认，对“中间人”式窃密手段，现有动态密码系统无能为力。

6、客户端设备与服务端系统时间难以完全同步，服务端系统以一个时间段内的口令都视为合法。该时间段设置过短难以解决异步问题；太长则存在安全漏洞。

因此，需要一种更为安全、易用、廉价的动态密码认证方法及其系统，解决上述所列问题。

发明内容

本发明的目的在于提供一种由用户多密码种子动态密码认证方法及系统，解决身份验证的问题。本发明可应用到如：网银操作、网络交易、网游登录等在线认证；也可应用到如：门禁系统、汽车防盗、保险柜等离线身份认证服务的领域。

本发明其特征在于及优点是它包括：

(1)客户端设备，该设备包括下述两个功能：

1、——可以通过在客户端设备上输入主、副密码以不可逆算法生成密码种子；

2、——可以通过可以输入主、副密码及认证时间以不可逆算法生成用户口令；

所述客户端设备包括下述五个部分：

1、——运算模块，用于以用户所输入主、副密码通过不可逆算法计算密码种子；以用户输入主、副密码及认证时间，通过不可逆算法计算用户口令；

2、——时钟模块，用于提供客户端基础时间；

3、——输入模块，该模块可以是键盘或指纹读取器等设备。用于让用户输入主、副密码及操作命令(包括：校正时间、计算密码种子、计算动态口令)；

4、——输出模块，该模块可以是显示屏或红外、蓝牙、无线发射等设备。用于显示客户端设备时间及计算结果(包括：密码种子及动态口令)或将结果直接传送至服务端系统；

5、——电源模块，用于供应客户端设备所需电源。

(2)服务端系统，该系统包括下述两个功能：

1、——存储用户所提交的账号、密码种子到系统数据库；

2、——认证操作，将服务端口令与用户口令对比，口令相同则验证通过。

所述服务端系统包括下述五个部分：

1、——用户界面，该模块可以是键盘、显示屏或红外、蓝牙、无线发射等设备。用于向用户发送服务端系统当前时间、认证请求、验证结果等相关信息；接收用户输入账号、用户口令；

2、——数据库，用于储存用户注册所提交帐号、密码种子信息；

3、——内部传输，用于向服务端口令生成设备发送密码种子及认证当前时间及接收服务端口令生成设备所返回的服务端口令；

4、——实时时钟，用于提供服务端当前时间；

5、——验证控制模块，用于控制系统操作；验证用户合法性，对比服务端口令与用户所提交客户端口令是否一致，口令相同则验证通过；

(3)服务端口令生成设备，该设备包括下述功能：

1、——根据服务端系统所发送密码种子和认证时间，通过与客户端设备相同的不可逆算法生成服务端口令返回服务端系统；

所述服务端口令生成设备包括下述两个部分：

1、——内部传输模块，用于接收服务端系统所提交密码种子及认证时间及向服务端系统返回服务端口令结果。

2、——运算模块，用于根据服务端系统提交的密码种子和认证时间计算服务端口令。

认证系统操作流程：

注册过程优点是：