技術領域

本發明涉及一種安全認證技術，具體涉及一種生成雙因數動態口令的方法。

背景技術

隨著Web應用的不斷發展，網絡在為人們的生活提供方便的同時，也帶來了巨大的信息安全隱患，網絡信息資源的安全訪問控制顯得愈來愈重要。雙因素動態密碼身份認證作為網絡應用系統的安全屏障，通過一次性密碼驗證通信雙方的真實身份，可以達到防止非法用戶假冒合法用戶竊取數據資料的目的。

動態密碼是一種一次性密碼，每個密碼只能使用一次。動態密碼可以隨時間、次數和挑戰信息而變化。動態密碼具有良好的安全性，廣泛適用于各類信息系統。

動態口令是一種安全便捷的帳號防盜技術，可以有效保護交易和登錄的認證安全，采用動態口令就無需定期密碼，安全省心，這是這項技術的一個額外價值，對企事業內部應用尤其有用。

動態令牌是一種密碼設備，用來生成動態口令終端，動態口令技術可以有效防止盜號，免除頻繁修改靜態密碼的煩惱。

但是目前VPN等設備或一些應用軟件上無法通過修改程序代碼來增加動態密碼輸入框，只能輸入靜態密碼或動態密碼，而僅僅輸入靜態密碼或動態密碼無法完成實際意義上的雙因素認證。

就目前技術而言，若要實現實際意義上的雙因素認證只有通過對設備進行整體改造，使其具有動態密碼輸入框和靜態密碼輸入框，以此實現同時輸入靜態密碼和動態密碼進行雙因素認證。但這就需要摒棄原有設備進行安裝新的設備，其費用非常的高，不具備可行性。

為此，如何在現有設備的基礎上實現真正的雙因素認證是本領域亟需解決的問題。

發明內容

本發明針對現有現有VPN等設備或一些應用軟件上無法實現真正意義上的雙因素認證，而提供一種生成雙因數動態口令的方法，其通過將動態密碼與靜態密碼結合后產生的密碼進行認證，以此實現真正的雙因素認證，保證系統和應用的安全。

為了達到上述目的，本發明采用如下的技術方案：

一種生成雙因數動態口令的方法，所述方法包括如下步驟：

(1)將靜態密碼輸入令牌；

(2)令牌根據種子密鑰以及時間信息進行動態密碼運算，得到一動態密碼；

(3)令牌再根據輸入的靜態密碼和生成的動態密碼信息進行加密運算得到一雙因素動態密碼。

在本發明的一實施例中，所述雙因素動態密碼采用HOTP算法，Hash函數采用SHA1，動態密碼的位數為6位。

本發明得到的動態密碼既與令牌自身相關，也與輸入的靜態密碼相關，是一個包含了上述兩個因素的密碼。

本發明特別適合用于由于設備或應用限制，只能輸入一個密碼的情況，通過本發明能夠在現有設備的基礎上實現真正意義上的雙因素認證，避免大規模的更換設備造成的資源和經濟浪費。

同時，本發明的應用可以使得在不改變應用或設備的程序的前提下，通過引入可輸入靜態密碼的動態令牌來實現雙因素身份認證，做到了易用性和安全性的有效平衡，減少了信息安全隱患。

附圖說明

以下結合附圖和具體實施方式來進一步說明本發明。

圖1為本發明的原理框圖。

圖2為本發明的實施流程圖。

具體實施方式

為了使本發明實現的技術手段、創作特征、達成目的與功效易于明白了解，下面結合具體圖示，進一步闡述本發明。

本發明采用一種動態密碼與靜態密碼混合的技術，實現只有一個輸入框的情況下可以同時結合靜態密碼和動態密碼認證。

基于上述原理，本發明的實現過程如下(參見圖1)：

首先，通過將靜態密碼輸入令牌。

接著，令牌根據種子密鑰以及時間因素進行動態密碼運算，得到一種動態密碼。

再者，令牌再根據輸入的靜態密碼和生成的動態密碼信息進行加密運算得到一雙因素動態密碼(及混合動態密碼)。該動態密碼既與令牌自身相關，也與輸入的靜態密碼相關，是一個包含了上述兩個因素的密碼。

本發明中采用的動態令牌算法完全符合OATH規范，通過該算法形成的產品特性如下：

1、種子長度為160it；

2、動態口令位數為6位；

3、動態口令變化周期為1分鐘；

動態密碼TOTP函數如下：

TOTP＝HOTP(K，T)＝Truncate(HMAC-SHA-1(K，T))

K為種子密鑰，在令牌中，K的長度為160bit；

T＝(當前Unix時間-T₀)/X，T的長度為64bit；

T₀為從1970年1月1日的Unix時間；