技術領域

本發明屬于安全認證技術領域，更具體地，涉及一種使動態令牌時間同步的方法。

背景技術

隨著電子政務、電子商務等應用系統的飛速發展，動態密碼技術作為替換靜態密碼的有效方式，由于其使用簡便、能夠增強安全性，使得動態密碼系統得到了廣泛應用。

動態密碼是一次性密碼，每個密碼只能使用一次，它隨著時間或使用次數的變化而不斷變化。動態令牌是用于產生動態密碼的電子終端設備，該設備內置處理芯片、顯示屏，部分設備帶有按鍵裝置。動態令牌使用種子密鑰根據當前時間或事件計數器的值生成動態密碼。種子密鑰用于對輸入的時間或事件計數器進行加密或HMAC操作，通過變換運算（通常是模運算）后輸出6-8位數字到顯示屏，作為動態密碼。

現有使用硬件來產生動態密碼的方式主要是采用動態令牌，其中，基于時間同步（所謂“時間同步”是指用戶動態令牌和認證服務器所產生的動態密碼在時間上必須同步）的動態令牌目前被廣泛使用，其把時間作為變動因子，一般以60秒作為變化單位，。但由于動態令牌的工作環境不同，在磁場、高溫、高壓、震蕩、入水等情況下動態令牌易發生時鐘脈沖的不確定偏移和損壞。對于失去時間同步的動態令牌，往往需要返廠或送回服務器端進行處理，這樣影響動態令牌的使用壽命和用戶的使用體驗。

發明內容

針對現有技術的以上缺陷或改進需求，本發明提供了一種使動態令牌時間同步的方法，其目的在于，解決現有動態令牌在發生時鐘偏移后，需要返廠或送回服務器端進行處理，從而影響動態令牌使用壽命和用戶體驗的技術問題。

為實現上述目的，按照本發明的一個方面，提供了一種使動態令牌時間同步的方法，包括以下步驟：

（1）客戶端向動態令牌認證服務器發出動態令牌的時間同步請求，該時間同步請求中攜帶有該動態令牌或該動態令牌使用者的標識信息；

（2）動態令牌認證服務器根據時間同步請求中該動態令牌或該動態令牌使用者的標識信息在其數據庫中查找該動態令牌對應的種子密鑰；

（3）動態令牌認證服務器根據查找到的種子密鑰及該動態令牌認證服務器的當前時間并使用消息驗證算法計算校驗信息；

（4）動態令牌認證服務器將計算得到的校驗信息和動態令牌認證服務器的當前時間打包生成回應信息，并將該回應信息發送到客戶端；

（5）客戶端將收到的回應信息注入到動態令牌中，并根據動態令牌中的種子密鑰對注入的回應信息進行驗證。

優選地，動態令牌的標識信息為動態令牌的序列號，動態令牌使用者的標識信息為該令牌使用者的賬號，且該賬號與動態令牌的序列號綁定。

優選地，所使用的消息驗證算法包括哈希算法、MAC算法、以及HMAC算法。

優選地，打包方式可以采用動態令牌認證服務器的當前時間和校驗信息直接拼接的方式，或者采用將動態令牌認證服務器的當前時間和校驗信息按照一定格式編碼后拼接的方式，或者采用將動態令牌認證服務器的當前時間按照一定格式編碼后與校驗信息拼接的方式。

優選地，步驟（5）具體包括以下子步驟：

（5-1）客戶端將收到的回應信息注入到動態令牌中；

（5-2）動態令牌根據回應信息中動態令牌認證服務器的當前時間和該動態令牌中存儲的種子密鑰并使用消息驗證算法計算校驗信息，其中所使用的消息驗證算法與上述步驟（3）中對應的消息驗證算法完全相同。

（5-3）動態令牌將步驟（5-2）中得到的校驗信息與回應信息中包含的校驗信息進行比較，若二者相同，則用回應信息中包含的動態令牌認證服務器的當前時間更新動態令牌的當前時間，若二者不同，則過程結束。

優選地，步驟（5-1）中，注入回應信息的方式可以為聯機自動注入，也可以為脫機手動注入，在聯機自動注入過程中，動態令牌具有外部接口與客戶端相連，通過外部接口從客戶端上獲取回應信息，在脫機手動注入過程中，在動態令牌的脫機狀態下，由用戶查看客戶端，并將客戶端收到的回應信息手動輸入到動態令牌中。

按照本發明的另一方面，提供了一種使動態令牌時間同步的系統，包括：

第一模塊，其設置于客戶端中，用于向動態令牌認證服務器發出動態令牌的時間同步請求，該時間同步請求中攜帶有該動態令牌或該動態令牌使用者的標識信息；

第二模塊，其設置于動態令牌認證服務器中，用于根據時間同步請求中該動態令牌或該動態令牌使用者的標識信息在其數據庫中查找該動態令牌對應的種子密鑰；