技術(shù)領(lǐng)域

本發(fā)明關(guān)于身份鑒別和交易認(rèn)證技術(shù)，特別是關(guān)于網(wǎng)上銀行等金融交易 系統(tǒng)的身份鑒別和交易認(rèn)證技術(shù)，具體的講是一種身份認(rèn)證方法、裝置及系 統(tǒng)。

背景技術(shù)

在現(xiàn)有技術(shù)中，針對(duì)身份鑒別和交易授權(quán)認(rèn)證的方案有如下幾種：(一) 靜態(tài)密碼：用戶使用時(shí)常常設(shè)置弱密碼，如生日、電話號(hào)等；容易被竊取和 監(jiān)聽(tīng)，如通過(guò)木馬盜取和網(wǎng)絡(luò)嗅探等。(二)刮刮卡和動(dòng)態(tài)密碼卡：實(shí)現(xiàn)一次 一密，但無(wú)法保證交易數(shù)據(jù)的安全，存在交易數(shù)據(jù)被篡改的風(fēng)險(xiǎn)。(三)時(shí)間 型動(dòng)態(tài)令牌：基于時(shí)間的一次性密碼產(chǎn)生器，能夠保證一次一密，針對(duì)竊取 和嗅探風(fēng)險(xiǎn)有一定的安全提升，但也不能完全根除風(fēng)險(xiǎn)。同時(shí)，仍不能防范 數(shù)據(jù)被篡改。(四)USBKEY和軟證書(shū)：利用PKI體系，對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名 和加密，保證數(shù)據(jù)的完整、不可抵賴、機(jī)密性等；但此種方式實(shí)施成本較高， 需要后臺(tái)部署CA、RA、驗(yàn)簽組件等；用戶需要進(jìn)行證書(shū)的申請(qǐng)、更新、恢 復(fù)等管理操作，使用復(fù)雜。同時(shí)，軟證書(shū)容易被復(fù)制和盜取；USBKEY設(shè)備 需要安裝驅(qū)動(dòng)和相關(guān)用戶端組件才能使用，存在兼容性、易用性問(wèn)題，且目 前只能適用于計(jì)算機(jī)終端，無(wú)法在手機(jī)、電話、電視等渠道使用。同時(shí)，此 種方式由于上層應(yīng)用和底層簽名加密之間有諸多環(huán)節(jié)，仍存在篡改數(shù)據(jù)的風(fēng) 險(xiǎn)和被遠(yuǎn)程控制，造成惡意利用用戶證書(shū)的風(fēng)險(xiǎn)。

上述各種認(rèn)證方案，要么安全性不高，存在被竊取和嗅探風(fēng)險(xiǎn)，不能對(duì) 交易數(shù)據(jù)進(jìn)行保護(hù)等；要么易用性不高，后臺(tái)部署及用戶使用復(fù)雜、無(wú)法在 各種渠道廣泛使用。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種身份認(rèn)證方法、裝置及系統(tǒng)，用以解決網(wǎng)上銀 行等金融交易系統(tǒng)的身份鑒別和交易認(rèn)證的問(wèn)題。

本發(fā)明的目的之一是，提供一種身份認(rèn)證方法，該方法包括：接收用戶 根據(jù)外部交易頁(yè)面需求而通過(guò)鍵盤(pán)或觸摸屏輸入的多要素密碼生成指令；根 據(jù)多要素密碼生成指令向用戶提示個(gè)人識(shí)別碼(PIN)輸入請(qǐng)求；接收用戶通 過(guò)鍵盤(pán)或觸摸屏輸入的PIN；確定PIN正確后，向用戶提示多要素密碼生成 模式選擇請(qǐng)求；接收用戶通過(guò)鍵盤(pán)或觸摸屏輸入的多要素密碼生成模式；根 據(jù)多要素密碼生成模式獲取干擾因子、預(yù)存的用戶密鑰以及對(duì)應(yīng)的密碼算法， 并根據(jù)干擾因子、用戶密鑰和密碼算法生成多要素密碼；顯示多要素密碼； 將多要素密碼輸入外部交易頁(yè)面進(jìn)行身份認(rèn)證。

本發(fā)明的目的之一是，提供一種身份認(rèn)證裝置，該裝置包括：開(kāi)機(jī)指令 輸入單元，用于接收用戶根據(jù)外部交易頁(yè)面需求而輸入的為了生成多要素密 碼的開(kāi)機(jī)指令，并執(zhí)行開(kāi)機(jī)動(dòng)作；PIN輸入單元，用于向用戶提示PIN輸入 請(qǐng)求，接收用戶輸入的PIN；密碼模式選擇單元，用于確定PIN正確后，向 用戶提示多要素密碼生成模式選擇請(qǐng)求，接收用戶輸入的多要素密碼生成模 式；存儲(chǔ)單元，用于存儲(chǔ)用戶密鑰和密碼算法；干擾單元，用于獲取干擾因 子；密碼生成單元，用于根據(jù)用戶選擇的多要素密碼生成模式獲取所述的干 擾因子、用戶密鑰以及對(duì)應(yīng)的密碼算法，并根據(jù)所述的干擾因子、用戶密鑰 和對(duì)應(yīng)的密碼算法生成多要素密碼；顯示單元，用于顯示多要素密碼，以輸 入外部交易頁(yè)面。

本發(fā)明的目的之一是，提供一種身份認(rèn)證系統(tǒng)，該系統(tǒng)包括：身份認(rèn)證 裝置和交易終端；交易終端與后臺(tái)認(rèn)證服務(wù)器連接，用于通過(guò)交易頁(yè)面向用 戶提示多要素密碼輸入請(qǐng)求，并將用戶輸入的數(shù)據(jù)傳送給后臺(tái)認(rèn)證服務(wù)器； 身份認(rèn)證裝置包括：開(kāi)機(jī)指令輸入單元，用于接收用戶根據(jù)交易頁(yè)面提示而 輸入的為了生成多要素密碼的開(kāi)機(jī)指令，并執(zhí)行開(kāi)機(jī)動(dòng)作；PIN輸入單元，用 于向用戶提示PIN輸入請(qǐng)求，接收用戶輸入的PIN；密碼模式選擇單元，用 于確定PIN正確后，向用戶提示多要素密碼生成模式選擇請(qǐng)求，接收用戶輸 入的多要素密碼生成模式；存儲(chǔ)單元，用于存儲(chǔ)用戶密鑰和密碼算法；干擾 單元，用于獲取干擾因子；密碼生成單元，用于根據(jù)用戶選擇的多要素密碼 生成模式獲取干擾因子、用戶密鑰以及對(duì)應(yīng)的密碼算法，并根據(jù)干擾因子、 用戶密鑰和對(duì)應(yīng)的密碼算法生成多要素密碼；顯示單元，用于顯示多要素密 碼，以輸入外部交易頁(yè)面；外部交易頁(yè)面將接收的多要素密碼傳送給后臺(tái)認(rèn) 證服務(wù)器。