技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，特別涉及一種多認(rèn)證服務(wù)器的動(dòng)態(tài)口令認(rèn)證方法、系統(tǒng)、運(yùn)營(yíng)服務(wù)器及認(rèn)證服務(wù)器。

背景技術(shù)

目前，動(dòng)態(tài)令牌因其適應(yīng)性強(qiáng)和易于使用的優(yōu)勢(shì)已經(jīng)在電子交易過(guò)程中被廣泛應(yīng)用，但是，大多安全工具（如動(dòng)態(tài)令牌）的密鑰產(chǎn)生是基于對(duì)稱密鑰或雜湊算法的，因而令牌內(nèi)的種子密鑰需要對(duì)應(yīng)于后端的認(rèn)證服務(wù)器中的種子密鑰。另外，每個(gè)機(jī)構(gòu)在向用戶發(fā)放上述安全工具（如動(dòng)態(tài)令牌）時(shí)，要求對(duì)用戶的身份進(jìn)行認(rèn)證，即要求用戶的身份與該安全工具進(jìn)行綁定，因而用戶必須使用單獨(dú)的安全工具訪問(wèn)每個(gè)機(jī)構(gòu)的電子渠道，在某些機(jī)構(gòu)甚至其不同的電子渠道要求使用不同的認(rèn)證工具。這就使得用戶需要分別管理多個(gè)種類(lèi)不同的安全工具，如記憶不同的安全工具的訪問(wèn)PIN碼，對(duì)不同的安全工具分別攜帶、存儲(chǔ)等，為用戶的使用造成不便，降低了用戶體驗(yàn)。

發(fā)明內(nèi)容

本發(fā)明的旨在至少解決上述技術(shù)缺陷之一。

為此，本發(fā)明第一個(gè)目的在于提出一種多認(rèn)證服務(wù)器的動(dòng)態(tài)口令認(rèn)證方法，該方法保證了種子密鑰的傳輸安全，并且使用戶能夠使用一個(gè)動(dòng)態(tài)令牌訪問(wèn)多個(gè)不同的認(rèn)證服務(wù)器進(jìn)行交易認(rèn)證，無(wú)需攜帶多個(gè)安全設(shè)備，方便、安全，提升用戶體驗(yàn)，有利于電子交易的推廣。

本發(fā)明第二個(gè)目的在于提出一種多認(rèn)證服務(wù)器的動(dòng)態(tài)口令認(rèn)證系統(tǒng)。

本發(fā)明第三個(gè)目的在于提出一種動(dòng)態(tài)令牌。

本發(fā)明第四個(gè)目的在于提出一種運(yùn)營(yíng)服務(wù)器。

本發(fā)明第五個(gè)目的在于提出一種認(rèn)證服務(wù)器。

為實(shí)現(xiàn)上述目的，根據(jù)本發(fā)明第一方面的實(shí)施例的多認(rèn)證服務(wù)器的動(dòng)態(tài)口令認(rèn)證方法包括以下步驟：動(dòng)態(tài)令牌生成配對(duì)的令牌公鑰和令牌私鑰，并將所述令牌公鑰注冊(cè)到運(yùn)營(yíng)服務(wù)器；所述運(yùn)營(yíng)服務(wù)器生成授權(quán)密鑰，并將所述授權(quán)密鑰注入到所述動(dòng)態(tài)令牌，以及根據(jù)所述授權(quán)密鑰為多個(gè)認(rèn)證服務(wù)器分別分配多個(gè)授權(quán)碼；每個(gè)認(rèn)證服務(wù)器接收所述運(yùn)營(yíng)服務(wù)器發(fā)送的所述令牌公鑰和相應(yīng)的授權(quán)碼，以及生成種子密鑰，并使用所述令牌公鑰加密所述種子密鑰，以及根據(jù)加密后的種子密鑰和所述相應(yīng)的授權(quán)碼生成種子密鑰分發(fā)報(bào)文，并將所述種子密鑰分發(fā)報(bào)文發(fā)送至所述動(dòng)態(tài)令牌；所述動(dòng)態(tài)令牌根據(jù)所述授權(quán)密鑰對(duì)所述種子密鑰分發(fā)報(bào)文進(jìn)行校驗(yàn)，并在校驗(yàn)通過(guò)后，使用所述令牌私鑰對(duì)所述種子密鑰分發(fā)報(bào)文中的所述加密后的種子密鑰進(jìn)行解密，以獲取并存儲(chǔ)所述種子密鑰；以及所述動(dòng)態(tài)令牌根據(jù)與用戶請(qǐng)求對(duì)應(yīng)的認(rèn)證服務(wù)器的種子密鑰生成動(dòng)態(tài)口令，并將所述動(dòng)態(tài)口令輸出至與所述用戶請(qǐng)求對(duì)應(yīng)的認(rèn)證服務(wù)器進(jìn)行認(rèn)證。

本發(fā)明實(shí)施例的多認(rèn)證服務(wù)器的動(dòng)態(tài)口令認(rèn)證方法，可通過(guò)動(dòng)態(tài)令牌對(duì)多個(gè)不同的認(rèn)證服務(wù)器的種子密鑰分發(fā)報(bào)文進(jìn)行校驗(yàn)，并在校驗(yàn)通過(guò)后存儲(chǔ)相應(yīng)的種子密鑰，并且種子密鑰都是以加密的形式傳輸，即使是運(yùn)營(yíng)服務(wù)器無(wú)法獲取種子密鑰，保證了種子密鑰的傳輸安全，由此，用戶能夠使用同一個(gè)動(dòng)態(tài)令牌根據(jù)相應(yīng)的種子密鑰生成針對(duì)多個(gè)不同的認(rèn)證服務(wù)器的不同的動(dòng)態(tài)口令進(jìn)行交易認(rèn)證，無(wú)需攜帶多個(gè)安全設(shè)備，安全、方便，提升用戶體驗(yàn)，有利于電子交易的推廣。

本發(fā)明實(shí)施例的多認(rèn)證服務(wù)器的動(dòng)態(tài)口令認(rèn)證方法，在所述運(yùn)營(yíng)服務(wù)器生成授權(quán)密鑰的步驟之后，還包括：所述運(yùn)營(yíng)服務(wù)器使用所述令牌公鑰對(duì)所述授權(quán)密鑰進(jìn)行加密，并將加密后的授權(quán)密鑰注入到所述動(dòng)態(tài)令牌，從而保證授權(quán)密鑰的安全。

本發(fā)明實(shí)施例的多認(rèn)證服務(wù)器的動(dòng)態(tài)口令認(rèn)證方法，還包括：所述運(yùn)營(yíng)服務(wù)器為所述多個(gè)認(rèn)證服務(wù)器分別分配唯一的標(biāo)識(shí)符；所述運(yùn)營(yíng)服務(wù)器根據(jù)所述授權(quán)密鑰和每個(gè)認(rèn)證服務(wù)器的標(biāo)識(shí)符生成與每個(gè)認(rèn)證服務(wù)器分別對(duì)應(yīng)的授權(quán)碼。

在本發(fā)明實(shí)施例的多認(rèn)證服務(wù)器的動(dòng)態(tài)口令認(rèn)證方法中，所述生成包括所述加密后的種子密鑰的種子密鑰分發(fā)報(bào)文的步驟具體包括：所述多個(gè)認(rèn)證服務(wù)器分別根據(jù)相應(yīng)的所述標(biāo)識(shí)符、所述授權(quán)碼和所述加密后的種子密鑰生成校驗(yàn)碼；所述多個(gè)認(rèn)證服務(wù)器分別根據(jù)相應(yīng)的所述標(biāo)識(shí)符、所述加密后的種子密鑰和所述校驗(yàn)碼生成種子密鑰分發(fā)報(bào)文。

在本發(fā)明實(shí)施例的多認(rèn)證服務(wù)器的動(dòng)態(tài)口令認(rèn)證方法中，所述動(dòng)態(tài)令牌根據(jù)所述授權(quán)密鑰對(duì)所述種子密鑰分發(fā)報(bào)文進(jìn)行校驗(yàn)的步驟具體包括：所述動(dòng)態(tài)令牌獲取所述種子密鑰分發(fā)報(bào)文中的所述標(biāo)識(shí)符、所述加密后的所述種子密鑰和所述校驗(yàn)碼；所述動(dòng)態(tài)令牌根據(jù)所述授權(quán)密鑰和所述種子密鑰分發(fā)報(bào)文中的所述標(biāo)識(shí)符生成所述種子密鑰分發(fā)報(bào)文對(duì)應(yīng)的授權(quán)碼；所述動(dòng)態(tài)令牌根據(jù)所述種子密鑰分發(fā)報(bào)文對(duì)應(yīng)的授權(quán)碼、所述標(biāo)識(shí)符和所述加密后的種子密鑰生成所述種子密鑰分發(fā)報(bào)文對(duì)應(yīng)的校驗(yàn)碼；如果所述種子密鑰分發(fā)報(bào)文對(duì)應(yīng)的校驗(yàn)碼與所述種子密鑰分發(fā)報(bào)文中的校驗(yàn)碼相同，則校驗(yàn)通過(guò)。