技術領域

本發明涉及信息安全領域，尤其涉及一種基于算法重構機制的口令認證方法及系統。

背景技術

隨著信息科技的發展，信息安全技術在各領域的應用更為廣泛和深入。在信息安全領域，身份認證往往是信息系統使用的第一把鑰匙，其安全性受到越來越多的重視。相應地，為了加強身份認證安全性的動態口令技術已經越來越多地應用于各個不同領域，尤其在網銀、網游、電信運營商、電子政務、企業服務器等應用領域。另外，動態口令在企業應用也是當前的熱點，越來越多的企業或實體采用動態口令保護其VPN、服務器、網絡設備等。

動態口令是根據專門的算法生成一個不可預測的隨機數字組合，一個密碼使用一次有效，目前被廣泛運用在網銀、網游、電信運營商、電子政務、企業等應用領域。動態口令是一種安全便捷的帳號防盜技術，可以有效保護交易和登錄的認證安全，采用動態口令就無需定期修改密碼，安全省心，從而在最基本的密碼認證這一環節保證了系統的安全性。解決因口令欺詐而導致的重大損失，防止惡意入侵者或人為破壞，解決由口令泄密導致的入侵問題。

為了進一步保障交易過程中的安全，目前較為常用的是使用實體硬件作為動態口令的載體，其內置電池、芯片和顯示屏，產生并顯示動態密碼，但是這種動態令牌有一定的體積和厚度，長時間攜帶會給用戶帶來不便；當然，也有體積和厚度較小的令牌形式，如卡片式令牌，這種令牌雖然攜帶方便，但按鍵手感普遍較差，用戶輸入也不方便，同時成本也比較高；另外，人們也嘗試在智能手機上開發軟件令牌產品，但是其安全性無法保證，這種軟件令牌只能用于安全性要求不是很高的場所。

無論是實體硬件動態令牌還是軟件動態令牌，都有一個共同的弱點，其所有令牌的算法都相同且公開的，只是通過密鑰來實現不同用戶的身份認證過 程，一旦密鑰被非法獲得，不法分子即可任意獲取動態密碼，動態令牌將不再安全。

發明內容

本發明為了解決現有動態口令在傳輸的過程中安全性能不高的問題，提供了一種全新的動態口令認證方法及系統，以提高使用動態口令認證過程中的安全性，避免安全隱患。

為了實現上述目的，本發明采用以下技術方案如下：

一種動態口令認證方法，包括以下步驟：

S1客戶端獲取用戶信息，同時將所述用戶信息發送至服務器，所述服務器根據所述用戶信息查找與所述用戶信息唯一關聯的密鑰參數；

S2所述服務器結合所述密鑰參數和一算法重構機制將所述服務器中存儲的第一算法進行重構生成第三算法；

S3所述客戶端結合用戶信息，在所述服務器中根據所述密鑰參數和所述算法重構機制重構所述第一算法生成的第二算法，以及挑戰值生成第二動態口令，同時將所述第二動態口令發送至所述服務器；；

S4所述服務器結合所述第三算法，用戶信息，以及挑戰值生成第一動態口令；

S5所述服務器比對所述第一動態口令和所述第二動態口令，完成動態口令的認證。

根據上述技術方案，由于客戶端獲取的用戶信息唯一性，且根據該用戶信息生成密鑰參數是唯一且不可預見的，這樣就確保了根據密鑰參數重構后的算法的唯一性，從而使得生成的動態口令復雜度大大提高；同時，由于算法的唯一性，即每個用戶對應的算法都不相同，算法同樣安全性能高，難以破譯，即使不法分子破解了一個用戶，也不會影響其他用戶，進而提高了使用動態口令進行認證的過程中的安全性，避免了安全隱患。

優選地，在完成所述動態口令認證之前，至少包括以下步驟：

S01所述客戶端獲取所述用戶信息，同時將所述用戶信息發送至所述服務器；

S02所述服務器獲取所述用戶信息，且根據所述用戶信息生成與所述用戶信息唯一關聯的密鑰參數，同時將所述密鑰參數進行存儲；

S03所述服務器結合所述密鑰參數和所述算法重構機制將所述服務器內部存儲的第一算法進行重構生成第二算法；

S04所述服務器將所述第二算法發送至所述客戶端進行存儲。

在動態口令實現認證之前，需要對每個用戶進行注冊操作，即服務器中根據每個不同的用戶信息將存儲在服務器中的第一算法進行重構，隨后將重構后的算法發送至客戶端中進行存儲，即在本發明中，客戶端和服務器中都不存放密鑰文件，而是存放于用戶信息唯一關聯的算法函數，通過這種方式即解決了客戶端密鑰安全存儲的問題，大大提高了動態口令認證過程中的安全性能。且在本發明中，密鑰文件只在服務器中運行，而不出現在客戶端中，同時解決了傳統的認證系統中密鑰文件傳輸過程中存在的安全問題。