技術領域

本發明涉及以鑒別（Authentication）、授權（Authorization）和管理（Administration）為核心的AAA領域，具體來說，涉及一種基于組合公鑰（Combined?Public?Key，簡稱為CPK）的動態口令生成和驗證方法及裝置。

背景技術

OTP（全稱是one?time?password）也稱動態口令，是一種安全便捷的防盜技術，該技術是根據專門的算法生成的一個不可預測的隨機數字組合，一個密碼只能使用一次。采用動態口令就無需定期修改密碼，安全省心，對管理龐大的用戶非常的方便，目前被廣泛應用在網銀、網游、電子商務、企業等應用領域，例如，在網上交易中使用配套的動態口令可以有效的保護登陸和交易安全。

目前，動態口令普遍是基于動態口令令牌的形式存在，動態口令令牌是一種可以根據時間同步動態口令的裝置，其大小類似于U盤的大小，存在著體積小、易攜帶的特點，受到廣大用戶的喜愛，但是，現有的動態口令令牌是不具備PIN保護功能的，因此，當動態口令令牌丟失后，動態口令令牌生成的動態口令很容易被人竊取，從而就有可能導致非法登陸的危險，存在著一定的安全隱患。

針對現有相關技術中基于動態口令令牌的驗證方案存在安全隱患的問題，目前尚未提出有效的解決方案。

發明內容

針對相關技術中基于動態口令令牌的驗證方案存在安全隱患的問題，本發明提出一種基于CPK的動態口令生成和驗證方法及裝置，能夠避免動態口令在丟失后，出現非法登陸的情況，提高了動態口令驗證的安全性。

本發明的技術方案是這樣實現的：

根據本發明的一個方面，提供了一種基于CPK的動態口令生成方法。

該動態口令生成方法包括：

接收服務器發送的服務器標識和隨機數，其中，隨機數為服務器根據用戶發送的動態口令生成請求生成的隨機數；

根據服務器標識，確定與服務器標識對應的服務器的公鑰；

根據服務器的公鑰和預先配置的用戶的私鑰，生成第一會話密鑰；

利用第一會話密鑰，對隨機數進行加密，生成動態口令。

此外，該動態口令生成方法還包括：預先向服務器發送動態口令生成請求，促使服務器根據動態口令生成請求生成隨機數。

另外，該動態口令生成方法還包括：預先配置用戶的私鑰，其中，在預先配置用戶的私鑰時，可根據密鑰管理系統中的私鑰矩陣和組合公鑰算法，將用戶對應的名稱作為用戶標識，生成用戶的私鑰。

此外，該動態口令生成方法還包括：將用戶的私鑰存儲至預先配置的載體中，并將用戶的私鑰與載體進行綁定，促使用戶的私鑰與載體不可分離。

其中，上述載體可以為TransFLash卡。

根據本發明的另一方面，提供了一種基于CPK的動態口令生成裝置。

該動態口令生成裝置包括：

第一接收模塊，用于接收服務器發送的服務器標識和隨機數，其中，隨機數為服務器根據用戶發送的動態口令生成請求生成的隨機數；

第一公鑰確定模塊，用于根據服務器標識，確定與服務標識對應的服務器的公鑰；

第一密鑰生成模塊，用于根據服務器的公鑰和預先配置的用戶的私鑰，生成第一會話密鑰；

第一口令生成模塊，用于利用第一會話密鑰，對隨機數進行加密，生成動態口令。

此外，該動態口令生成裝置還包括請求模塊，用于預先向服務器發送動態口令生成請求，促使服務器根據動態口令生成請求生成隨機數。

另外，該動態口令生成裝置還包括配置模塊，用于預先配置用戶的私鑰，其中在預先配置用戶的私鑰時，可根據密鑰管理系統中的私鑰矩陣和組合公鑰算法，將用戶對應的名稱作為用戶標識，生成用戶的私鑰。

此外，該動態口令生成裝置還包括綁定模塊，用于將用戶的私鑰存儲至預先配置的載體中，并將用戶的私鑰與載體進行綁定，促使用戶的私鑰與載體不可分離。

其中，上述載體可以為TransFLash卡。

根據本發明的又一方面，提供了一種基于CPK的動態口令驗證方法。

該動態口令驗證方法包括：

接收用戶發送的用戶標識和動態口令；

根據用戶標識，確定用戶的公鑰；

根據用戶的公鑰和與服務器標識對應的服務器的私鑰，生成第二會話密鑰；

利用第二會話密鑰，對隨機數進行加密，生成驗證口令；

根據驗證口令，對接收的動態口令進行驗證，并將驗證的結果返回給用戶。