[发明专利]动态令牌、具有该动态令牌的双向认证方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，特别涉及一种动态令牌及具有该动态令牌的双向认证方法及系统。

背景技术

身份认证是电子商务和电子政务等各种关键业务应用的安全基础。身份认证技术包括：静态口令认证、动态口令认证、生物技术认证、通过第三方发放的数字证书认证等。

静态口令认证存在的问题是，由于静态口令的静态特性和重复实用性，其容易被窃取、猜测或破解，这样黑客就可以冒充合法身份进入个人账户，盗取关键资料，对用户造成严重的损失。

其他的身份认证技术如生物认证、数字认证等，可以提供更高的安全强度，但是由于成本较高、使用难度大、环境要求复杂等问题，用户接受程度较低。

动态口令认证由于每次产生的口令是变化的，因此有效地避免了被猜测和破解等，成为主要的认证技术之一，广泛应用于电子商务、远程访问、内部系统访问等身份认证。

动态口令的技术实现包括软件方式(如安装在电脑、手机上)、短信方式、读卡器方式(将智能卡插入专用读卡器)、易携带的专用动态令牌等。由于动态令牌具有与携带、内部密钥不可读、使用方便等特性，成为当前主要的动态口令认证技术。

动态令牌存在的问题是，产生的口令需要通过服务器端的认证系统的验证，这个过程是单向的，也就是说只有服务器端验证令牌持有人的身份，但是由于现实网络的复杂环境，恶意的攻击者或者黑客等会冒充认证服务器，欺骗用户以获取令牌持有人的个人资料，从而降低了安全强度。

发明内容

本发明的目的旨在至少解决上述技术缺陷之一，特别是提出一种动态令牌、具有该动态令牌的双向认证方法及系统。

为达到上述目的，本发明一方面提出一种动态令牌，包括：输入模块，用于供用户输入由服务器端产生的指示所述服务器端身份的服务器认证码；输入控制模块，用于解析所述服务器认证码；动态口令控制模块，用于根据当前时间计算当前时间段内的认证码组，并判断所述服务器认证码是否与所述认证码组中的任一个匹配，如果判 断所述服务器认证码与所述认证码组中的任一个匹配，则输出认证通过的验证结果，并根据当前时间生成动态口令，如果判断所述服务器认证码未与所述认证码组中的任一个匹配，则输出认证未通过的验证结果；显示控制模块，用于对所述动态口令控制模块输出的验证结果及动态口令进行解析；以及显示模块，用于显示所述显示控制模块的解析后的验证结果及动态口令。

在本发明的一个实施例中，只有当判断所述服务器认证码与所述认证码组中的任一个匹配时，所述动态口令控制模块根据当前时间生成动态口令。

在本发明的一个实施例中，所述动态口令控制模块进一步包括：认证码生成子模块，用于根据所述当前时间计算当前时间段内的认证码组，以及根据当前时间生成动态口令；以及验证判断子模块，用于判断所述服务器认证码是否与所述认证码组中的任一个匹配，并输出相应的验证结果。

在本发明的一个实施例中，所述认证码组中包括当前时间对应的认证码，以及所述当前时间的前后各一时间点对应的认证码。

在本发明的一个实施例中，所述动态令牌还包括：同步模块，所述同步模块在所述服务器认证码与所述当前时间的前一时间点或后一时间点对应的认证码相同时，将所述动态令牌的时间向前或向后调整一个时间段。

在本发明的一个实施例中，所述动态令牌还包括：模式选择模块，用于提供服务器验证模式和动态口令生成模式供用户选择。

本发明另一方面还提出一种双向认证系统，包括：动态令牌，用于根据接收到的服务器认证码对服务器端的身份进行验证，并在所述服务器端通过身份验证后，根据当前时间生成动态口令；以及服务器端，用于根据当前时间生成一个指示服务器端身份的服务器认证码，以及根据所述动态令牌生成的动态口令对用户身份进行认证。其中，所述动态令牌与上述的动态令牌相同。

在发明的一个实例中，所述服务器端进一步包括：接收模块，用于接收所述动态令牌生成的动态口令；认证模块，用于根据当前时间计算当前时间段内的口令组，并判断所述动态口令是否与所述口令组中的任一个匹配，如果判断所述动态口令与所述口令组中的任一个匹配，则确认所述用户通过认证，如果判断所述动态口令未与所述口令组中的任一个匹配，则确认所述用户未通过认证；以及服务器认证码生成模块，用于根据当前时间生成指示所述服务器端身份的服务器认证码。

在本发明的一个实施例中，所述口令组中包括当前时间对应的口令，以及所述当前时间的前后各三个时间点对应的口令。