技術(shù)領(lǐng)域

本發(fā)明涉及動(dòng)態(tài)口令認(rèn)證技術(shù)，具體涉及一種挑戰(zhàn)類(lèi)型動(dòng)態(tài)口令認(rèn)證技術(shù)。

背景技術(shù)

動(dòng)態(tài)口令：是根據(jù)專(zhuān)門(mén)的算法生成一個(gè)不可預(yù)測(cè)的隨機(jī)數(shù)字組合，每個(gè)密碼只能使用一次，目前被廣泛運(yùn)用在網(wǎng)銀、網(wǎng)游、電信運(yùn)營(yíng)商、電子商務(wù)、企業(yè)等應(yīng)用領(lǐng)域。

目前動(dòng)態(tài)口令按技術(shù)主要分兩種：同步口令技術(shù)、異步口令技術(shù)。

步進(jìn)值：動(dòng)態(tài)口令包含一個(gè)步進(jìn)值參數(shù)，比如時(shí)間型動(dòng)態(tài)口令的步進(jìn)值，一般采用60秒；表示在每一個(gè)60秒內(nèi)的生成的動(dòng)態(tài)口令是相同的，而該動(dòng)態(tài)口令在認(rèn)證系統(tǒng)端進(jìn)行認(rèn)證時(shí)僅允許被認(rèn)證一次，在下一個(gè)60秒內(nèi)生成的動(dòng)態(tài)口令則變成了另一個(gè)不同的動(dòng)態(tài)口令。

種子密鑰：用于根據(jù)一些參數(shù)，來(lái)計(jì)算生成動(dòng)態(tài)口令的種子密鑰。

常見(jiàn)的挑戰(zhàn)應(yīng)答類(lèi)型的動(dòng)態(tài)口令，其屬于異步口令類(lèi)型的動(dòng)態(tài)口令，在生成動(dòng)態(tài)口令時(shí)，要求認(rèn)證系統(tǒng)在服務(wù)端生成一個(gè)挑戰(zhàn)值，然后將該挑戰(zhàn)值傳遞給持有支持動(dòng)態(tài)口令算法的硬件令牌的客戶(hù)，客戶(hù)在令牌上輸入該挑戰(zhàn)值，令牌會(huì)根據(jù)該挑戰(zhàn)值，計(jì)算出一個(gè)應(yīng)答，稱(chēng)之為挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令，然后將動(dòng)態(tài)口令傳遞給認(rèn)證系統(tǒng)服務(wù)端進(jìn)行認(rèn)證，服務(wù)端使用同樣的挑戰(zhàn)值來(lái)計(jì)算動(dòng)態(tài)口令，并與客戶(hù)傳遞過(guò)來(lái)的動(dòng)態(tài)口令進(jìn)行比對(duì)，若相同，則認(rèn)證成功，若不同則認(rèn)證失敗。

現(xiàn)有挑戰(zhàn)應(yīng)答口令計(jì)算認(rèn)證原理如圖1所示，現(xiàn)有的挑戰(zhàn)應(yīng)答類(lèi)型的動(dòng)態(tài)口令在認(rèn)證系統(tǒng)端產(chǎn)生挑戰(zhàn)值，并在硬件令牌端輸入該挑戰(zhàn)值，硬件令牌使用與認(rèn)證系統(tǒng)端相同的種子密鑰生成挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令，然后認(rèn)證系統(tǒng)端使用與硬件令牌里面相同的種子密鑰生成一個(gè)動(dòng)態(tài)口令，并于硬件令牌生成的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令進(jìn)行比對(duì)，進(jìn)行認(rèn)證。

如果在動(dòng)態(tài)口令的步進(jìn)值(比如時(shí)間型動(dòng)態(tài)庫(kù)步進(jìn)值為60秒的硬件令牌，則為在60秒的時(shí)間范圍內(nèi))范圍內(nèi)，每次生成相同的應(yīng)答值：即挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令均是一樣的。

如此的認(rèn)證方式，在一個(gè)動(dòng)態(tài)口令的步進(jìn)值內(nèi)，只能夠?qū)崿F(xiàn)一種業(yè)務(wù)的安全認(rèn)證。例如：

銀行系統(tǒng)在進(jìn)行“網(wǎng)上轉(zhuǎn)賬”功能時(shí)，要求使用挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令來(lái)認(rèn)證客戶(hù)，在60秒內(nèi)（即動(dòng)態(tài)口令的步進(jìn)值）網(wǎng)銀端的認(rèn)證系統(tǒng)會(huì)根據(jù)一定規(guī)則生成一個(gè)隨機(jī)挑戰(zhàn)值，并要求網(wǎng)銀客戶(hù)在持有的硬件令牌上輸入該隨機(jī)挑戰(zhàn)值，然后網(wǎng)銀客戶(hù)將在硬件令牌上計(jì)算出來(lái)的應(yīng)答動(dòng)態(tài)口令傳遞到網(wǎng)銀端的認(rèn)證系統(tǒng)進(jìn)行認(rèn)證。

而在該60秒內(nèi)（即同一步進(jìn)值范圍內(nèi)），該客戶(hù)若使用其它業(yè)務(wù)，比如“網(wǎng)上支付”功能時(shí)，如果使用相同的挑戰(zhàn)值，則可能生成相同的動(dòng)態(tài)口令，而服務(wù)端在認(rèn)證該口令時(shí)，將可能會(huì)認(rèn)為是重放攻擊，無(wú)法進(jìn)行認(rèn)證。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有挑戰(zhàn)應(yīng)答類(lèi)型的動(dòng)態(tài)口令在認(rèn)證過(guò)程中所存在的問(wèn)題，本發(fā)明的目的在于一種提供基于挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令實(shí)現(xiàn)多業(yè)務(wù)認(rèn)證的方法，該方法在挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令生成的過(guò)程中，在相同的挑戰(zhàn)值、同一個(gè)步進(jìn)值范圍內(nèi)，產(chǎn)生不同的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令。

為了達(dá)到上述目的，本發(fā)明采用如下的技術(shù)方案：

基于挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令實(shí)現(xiàn)多業(yè)務(wù)認(rèn)證的方法，所述方法分別在認(rèn)證系統(tǒng)以及硬件令牌兩端，在計(jì)算挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令時(shí)，根據(jù)不同的業(yè)務(wù)形成對(duì)應(yīng)的計(jì)算密鑰，并以此來(lái)生成對(duì)應(yīng)于不同業(yè)務(wù)的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令。

在優(yōu)選實(shí)例中，認(rèn)證系統(tǒng)端以及硬件令牌端根據(jù)不同的業(yè)務(wù)引入對(duì)應(yīng)的業(yè)務(wù)代碼參數(shù)，將原始的種子密鑰與對(duì)應(yīng)的業(yè)務(wù)代碼參數(shù)進(jìn)行運(yùn)算，得到對(duì)應(yīng)于不同業(yè)務(wù)的計(jì)算密鑰；再使用該計(jì)算密鑰結(jié)合對(duì)應(yīng)的計(jì)算參數(shù)計(jì)算得到對(duì)應(yīng)于不同業(yè)務(wù)的挑戰(zhàn)應(yīng)答動(dòng)態(tài)口令。

進(jìn)一步的，所述業(yè)務(wù)代碼參數(shù)為一個(gè)整形的數(shù)值，在令牌端顯示為功能菜單的序號(hào)。

再進(jìn)一步的，在交易過(guò)程中，認(rèn)證系統(tǒng)端會(huì)根據(jù)業(yè)務(wù)需要選擇指定業(yè)務(wù)代碼，并形成對(duì)應(yīng)的業(yè)務(wù)代碼要求提示，客戶(hù)在操作令牌時(shí)根據(jù)認(rèn)證系統(tǒng)端提示的要求，在令牌上選擇對(duì)應(yīng)的業(yè)務(wù)功能，以保持令牌與服務(wù)端的業(yè)務(wù)代碼一致。

進(jìn)一步的，所述認(rèn)證系統(tǒng)端以及硬件令牌端中使用分散算法計(jì)算得到計(jì)算密鑰。

再進(jìn)一步的，在利用分散算法計(jì)算密鑰時(shí)，由原始種子數(shù)據(jù)，根據(jù)業(yè)務(wù)代碼分散出計(jì)算密鑰，具體計(jì)算時(shí)由工作密鑰+業(yè)務(wù)代碼構(gòu)成消息，雜湊值作動(dòng)態(tài)口令的計(jì)算密鑰。

再進(jìn)一步的，所述計(jì)算密鑰的公式如下：

Calc_Seed=SM3(Work_Seed|alg_type_1)；

其中，Work_Seed(Byte)：原始工作密鑰，若令牌包含激活功能，則為激活后的工作密鑰；

alg_type_1(4Byte)：業(yè)務(wù)代碼，高位在前；