技術領域

本發明涉及網絡通信領域，尤其涉及一種動態口令驗證的方法及裝置。

背景技術

目前，在網絡身份認證技術中最常用的是口令認證，通常口令認證可以分為靜態口 令和動態口令。相對于靜態口令來說，動態口令具有“一次一密，一次有效”的特點， 因此其安全性高出許多。動態口令的載體通常可由硬件和軟件來實現，相對于個人移動 設備，例如筆記本電腦、手機或PDA等設備來說，由于具有用戶使用方便，安全性高等特 點，因此現有大多數軟件實現的動態口令都是基于個人移動設備的，但相應的通過硬件 設備來實現會有較高的成本。

基于個人移動設備的軟件動態口令的實現系統通常由令牌軟件與認證服務器組成， 而這類系統最重要的關健問題是：如何在令牌軟件與認證服務器之間安全共享令牌種 子，這里的令牌種子是由令牌軟件與認證服務器秘密共享，是使得令牌軟件與認證服務 器同步產生相同動態口令的關鍵所在。

在現有技術中，用戶可以首先在移動設備中安裝令牌軟件，然后再單獨獲取到一個 包含令牌種子的文件，導入到令牌軟件中；另一種方法是在每一個令牌軟件下載前都包 含一個惟一的令牌種子，用戶在下載后可以直接安裝使用令牌種子；或者是由移動設備 與認證服務器之間通過一系列實時的消息交互，以協商獲得令牌種子。

從上述現有技術的方案可以看出，現有技術的安全性得不到保障，如果在下載過程 中黑客獲取到該令牌軟件，就可以獲得相應的令牌種子，那么該用戶就毫無秘密可言； 同時，如果移動設備不支持聯網，那么其與認證服務器進行實時消息交互就相當困難， 而且移動設備在與認證服務器之間進行實時消息交互時，也會產生一系列的流量費用需 要用戶承擔，這樣也增加了用戶的負擔和認證成本。

發明內容

本發明實施例提供了一種動態口令驗證的方法及裝置，能夠提高身份認證的安全 性，而且簡單易用；移動設備與認證服務器之間也不會產生任何的消息交互，不會造成 額外的流量費用，降低了用戶負擔和認證成本。

本發明實施例提供了一種動態口令驗證的方法，所述方法包括：

移動設備利用令牌軟件產生初始碼，并將所產生的初始碼通過網頁頁面輸入傳遞到 認證服務器；

當所述初始碼驗證通過后，所述移動設備按照DH(Diffie-Hellman)算法來計算得 到當前的動態口令，并將所述當前的動態口令通過網頁頁面輸入傳遞到認證服務器；

所述認證服務器根據所接收到的初始碼，按照與所述移動設備相同的DH算法來計算 得到自身的動態口令；

所述認證服務器將自身所產生的動態口令與所述移動設備所產生的動態口令進行比 較，來驗證所述移動設備所產生的動態口令是否正確。

所述初始碼驗證的過程，具體包括：

所述認證服務器對所接收到的初始碼進行預設的算法處理，產生確認碼；

所述移動設備獲得所述認證服務器產生的確認碼，并按照與所述認證服務器相同的 算法根據其產生的初始碼計算得到所述移動設備自身的確認碼；

所述移動設備比較所得到的自身的確認碼和所述認證服務器所產生的確認碼，來驗 證所述移動設備輸入的初始碼是否正確。

所述移動設備按照DH算法來計算得到當前的動態口令，具體包括：

所述移動設備根據其自身的DH私鑰通過DH算法來計算得到其自身的DH密鑰；

對所得到的自身的DH密鑰通過哈希算法來得到令牌種子；

將所得到的令牌種子和當前時間值通過預設的算法處理后，得到當前的動態口令。

所述認證服務器根據所接收到的初始碼，按照與所述移動設備相同的DH算法來計算 得到自身的動態口令，具體包括：

所述認證服務器根據所接收到的初始碼解析得到所述移動設備的DH公鑰；

根據所得到的DH公鑰計算得到所述移動設備的DH密鑰，并根據所獲得的DH密鑰按照 與所述移動設備相同的DH算法來計算得到自身的動態口令。

在所述驗證所述移動設備所產生的動態口令是否正確的過程中，所述方法還包括：

若在指定的時間偏差范圍內，所述認證服務器產生的動態口令與所述移動設備所產 生的動態口令一致，則判斷驗證正確。

所述認證服務器對所接收到的初始碼進行預設的算法處理，產生確認碼，具體包 括：