技術領域

本發明屬于網絡信息安全認證技術領域，具體涉及一種結合拍照和條形碼識別技術的OTP設備和方法。

背景技術

隨著網上銀行的發展，作為網上銀行客戶端的安全設備，OTP作為一款多平臺通用的產品，包括PC、手機、平板電腦、電話銀行、ATM機等，使用越來越普及。

動態口令令牌(OTP，One?time?password)采用動態口令的認證方式就是在每次用戶登錄時除了輸入常規的靜態口令外，還要再輸入一個每次都會變化的動態口令。這個動態口令的獲得方式有很多種，如刮刮卡式、二維矩陣卡式和電子令牌式，其中電子令牌就是我們所說的動態口令令牌,如VeriSign的動態令牌VIP服務。刮刮卡和二維矩陣卡都是以紙質卡形式提供，但它們都存在著與生俱來的缺陷，刮刮卡有嚴格的使用次數限制，一般只能使用30次，而二維矩陣卡雖然可以無限次使用但很容易被復制，同動態口令相比刮刮卡和二維矩陣卡式都不具備時效性。現在很多國外銀行和少數國內銀行在網上銀行應用中采用這種使用動態口令進行強身份認證的方式。

采用動態口令牌方式的優點：

(a)無須安裝軟件，操作簡單。與客戶電腦無關，不需要安裝其他任何程序即可直接使用網上銀行服務。

(b)一次一密，用過即失效。解決了客戶密碼被盜的問題。這應該是動態口令牌在安全性方面帶來的最大好處。

OTP產品經過了時間型和事件型OTP的過渡，發展為安全性更高的挑戰應答型OTP，為了提高挑戰應答型OTP的安全性，抵御釣魚、中間人攻擊等非法攻擊手段，目前市場上的挑戰應答型OTP產品要求用戶通過OTP的數字鍵盤輸入帳號、金額、挑戰碼等信息參與應答碼的計算，由于輸入的信息較多，用戶的使用體驗非常差。

目前市場上的挑戰應答型OTP沒有拍照模塊，對于帳號、金額、挑戰碼等信息需要用戶手動輸入，由于信息量大，用戶手動輸入較為繁瑣，并且容易輸入錯誤；而有些銀行為了減少用戶的輸入量，只輸入帳號金額的部分數據，如只輸入帳號的后4位，而這又帶來安全問題，攻擊者如果有和用戶后4位相同的帳號，仍然可以進行攻擊。

挑戰應答型OTP是一種安全認證設備，OTP通過每次交易的認證密碼不同來保證交易的安全性，也就是每次交易時，需要將交易信息和挑戰碼等信息輸入到OTP中，OTP通過內置算法和種子密鑰計算生成應答碼，應答碼數據量較小，一般為6個字節，用戶通過手動將信息輸入到網頁后提交給服務器；服務器同樣對交易信息和挑戰碼生成應答碼，并且和OTP生成的應答碼比對，比對一致，允許進行交易。

條形碼包括一維條形碼（簡稱一維碼）和二維條形碼（簡稱二維碼），其中：

如圖1所示，一維碼是將寬度不等的多個黑條和空白，按照一定的編碼規則排列，用以表達一組信息的圖形標識符。常見的條形碼是由反射率相差很大的黑條（簡稱條）和白條（簡稱空）排成的平行線圖案。條形碼可以標出物品的生產國、制造廠家、商品名稱、生產日期、圖書分類號、郵件起止地點、類別、日期等許多信息，因而在商品流通、圖書管理、郵政管理、銀行系統等許多領域都得到廣泛的應用。

如圖2所示，二維碼是用某種特定的幾何圖形按一定規律在平面（二維方向上）分布的黑白相間的圖形記錄數據符號信息的，在代碼編制上巧妙地利用構成計算機內部邏輯基礎的“0”、“1”比特流的概念，使用若干個與二進制相對應的幾何形體來表示文字數值信息，通過圖象輸入設備或光電掃描設備自動識讀以實現信息自動處理。它具有條碼技術的一些共性：每種碼制有其特定的字符集；每個字符占有一定的寬度；具有一定的校驗功能等。同時還具有對不同行的信息自動識別功能、及處理圖形旋轉變化等特點。

為了提升用戶的用戶體驗，本發明提出了一種將拍照技術和條形碼識別技術應用在挑戰應答OTP產品上的方法，提高OTP產品的使用便利性。

發明內容

針對現有技術中存在的缺陷，本發明的目的是提供一種結合拍照和條形碼識別技術的OTP設備和方法。該設備和方法能夠在沒有USB接口的智能手機、上網本、平板電腦上使用。

為達到以上目的，本發明采用的技術方案是：一種結合拍照和條形碼識別技術的OTP方法，包括以下步驟：

(1)用戶在WEB頁面上輸入交易信息，并提交給遠程的網銀服務器；

(2)遠程的網銀服務器根據用戶輸入的交易信息和網銀服務器為本次交易生成的挑戰碼生成條形碼并在用戶終端的WEB頁面上顯示；