[发明专利]电子密码生成方法、装置和设备以及电子密码认证系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种电子密码生成方法、装置和设备以及电子密码认证系统。

背景技术

近年来，伴随互联网以及金融信息化的快速发展，网上银行以其便利、高效等优点迅速得到用户和银行业界的普遍推崇。银行和各种大型电子商务网站为了克服基于静态口令的认证方式的安全缺陷，大多采用了动态口令令牌或动态口令卡来加强网络身份认证的安全性。

动态口令技术又称为一次性口令(One Time Password，简称OTP)技术，其特点是用户根据服务商提供的动态口令令牌的显示数字来输入电子密码，而动态口令技术根据密码生成方式的不同，可以分为基于时间的动态口令技术和基于挑战/应答的动态口令技术。

采用基于时间的动态口令技术时，电子密码生成装置与服务器在时间上同步，并且存储有相同的密钥种子；电子密码生成装置与服务器使用该密钥种子每隔一段时间(例如，60秒)生成一个电子密码；需要进行用户认证时，用户通过电子密码生成装置的显示屏获知当前的电子密码后，在交易终端输入该电子密码，交易终端将该电子密码以及用户名、静态密码等信息发送给服务器进行认证。

采用基于挑战/应答的动态口令技术时，电子密码生成装置与服务器存储有相同的密钥种子；需要进行用户认证时，服务器为用户生成一个挑战码，用户获得挑战码后，将挑战码输入电子密码生成装置；电子密码生成装置使用密钥种子和用户输入的挑战码生成应答码(即电子密码)，用户通过电子密码生成装置的显示屏获知当前的电子密码后，在交易终端输入该电子密码，交易终端将该电子密码以及用户名、静态密码等信息发送给服务器进行认证。

上述基于动态口令技术的身份验证方式很好地克服了静态密码验证中口令信息固定不变的缺陷，但也存在如下问题：

(1)采用基于时间的动态口令技术时，电子密码并不是使用一次即失效，而是在一定时间内有效，因此当该电子密码被截获后，黑客可以使用该电子密码与服务器进行交互；例如，黑客获取到用户的账户信息时，并截获了该用户的此时间段的电子密码，即可以进行后续的操作。即现有的采用基于时间的动态口令技术存在较大的安全隐患。

(2)采用基于挑战/应答的动态口令技术时，服务器一般是随机向用户的交易终端或手机发送挑战码的，随机挑战码与交易信息和用户信息(可以统称为用户交易信息)无关，用户无法得知是否是自身需要进行的真正的交易，也无法得知是哪一次的交易，当用户由于无法得知是否是自身需要进行的真正的交易时，而对非真正的交易进行了支付，会造成用户财产的损失，因此，服务器向用户的交易终端或手机发送随机挑战码可能会成为电子交易中一个不安全的因素。

采用基于挑战/应答的动态口令技术时，电子密码生成装置根据该挑战码生成电子密码，其中，即便挑战码采用了用户交易信息，例如账号和金额，一旦黑客获取到用户的账户信息，冒充银行给用户发送其账号和金额，并告知用户将其显示结果发送给“银行”，例如：黑客冒充银行给用户发送短信，告知其电子密码生成装置需要升级，需要用户将其发送给用户的信息输入至电子密码生成装置生成电子密码，并将电子密码反馈给黑客，通过此种方式，黑客即可以直接获得该用户的电子密码而进行后续操作，从而成为较大的安全隐患。

发明内容

本发明的目的是提供一种防止黑客进行钓鱼而导致用户损失财产的一种电子密码生成方法、装置和设备以及电子密码认证系统。

本发明的目的是通过以下技术方案实现的：

一种电子密码生成方法，包括如下步骤：通过提示信息提示用户输入挑战码，所述提示信息为用户知晓其要输入的挑战码所代表含义的信息；接收用户输入的挑战码；根据输入的所述挑战码及当前时间参数生成动态的电子密码。

此外，所述提示信息至少包括第一提示信息和第二提示信息。

此外，所述通过提示信息提示用户输入挑战码的步骤包括：通过第一提示信息提示用户输入挑战码的第一信息；通过第二提示信息提示用户输入挑战码的第二信息。

此外，所述第一提示信息为提示用户输入交易账号的信息，所述第二提示信息为提示用户输入交易金额的信息。

此外，所述挑战码至少包括挑战码的第一信息和挑战码的第二信息。

此外，所述接收用户输入的挑战码的步骤包括：依次接收用户输入的挑战码的第一信息和挑战码的第二信息。

此外，所述挑战码的第一信息为交易账号，所述挑战码的第二信息为交易金额。