本發(fā)明實(shí)施例公開了一種動(dòng)態(tài)口令生成方法和系統(tǒng)，其中的方法包括：OTP CA向OTP TA發(fā)送OTP動(dòng)態(tài)口令生成申請，OTP TA通過TUI接收OTP許可口令并對OTP許可口令進(jìn)行驗(yàn)證，如果通過驗(yàn)證，則基于預(yù)設(shè)的口令生成規(guī)則生成OTP動(dòng)態(tài)口令，并通過TUI進(jìn)行顯示。本發(fā)明的方法、系統(tǒng)，提供基于TEE的移動(dòng)終端的OTP安全方案，在移動(dòng)終端上的REE環(huán)境中發(fā)起生成OTP動(dòng)態(tài)口令，進(jìn)入TEE環(huán)境中生成和顯示OTP動(dòng)態(tài)口令，生成口令所需的信息在安全執(zhí)行環(huán)境TEE中解密獲得，生成和顯示口令在TEE中實(shí)現(xiàn)，而且通過TUI與用戶交互，保證了業(yè)務(wù)數(shù)據(jù)的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種動(dòng)態(tài)口令生成方法和系統(tǒng)。

背景技術(shù)

移動(dòng)互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，給人們帶來方便、便捷的同時(shí)，也伴隨著諸多安全隱患。開發(fā)式的手機(jī)操作系統(tǒng)容易受到惡意的軟件，用戶的隱私和財(cái)產(chǎn)得不到保障。國際標(biāo)準(zhǔn)組織GP(Global Platform)制定了TEE(Trusted Execution Environment)的標(biāo)準(zhǔn)，TEE是一個(gè)移動(dòng)設(shè)備上的主處理器上一塊封閉式的安全區(qū)域，確保敏感數(shù)據(jù)的存儲(chǔ)、處理和保護(hù)安全可靠。TEE的軟件體系結(jié)構(gòu)目標(biāo)是使可使得TA(Trusted Applications)為服務(wù)提供商們提供隔離和可信能力，通過中間的CA(Client Applications)來使用TA的功能。

OTP(One-time Password，動(dòng)態(tài)口令)是一種安全快捷的賬號(hào)防盜技術(shù)，可以有效保護(hù)交易和登陸的認(rèn)證安全。OTP可根據(jù)專門的算法每60秒生成一個(gè)時(shí)間相關(guān)、不可預(yù)測的隨機(jī)數(shù)字串，只能用一次。OTP算法有2個(gè)輸入因子：密鑰和動(dòng)態(tài)因子。目前，最為普遍的OTP包括刮刮卡、短信驗(yàn)證碼、動(dòng)態(tài)令牌(包括硬件令牌和軟件令牌)等。手機(jī)令牌、短信驗(yàn)證碼都在開放式環(huán)境下生成、獲取、顯示和輸入，安全等級并不高，易受到木馬攔截、網(wǎng)絡(luò)釣魚、電信詐騙、信道竊聽等攻擊。動(dòng)態(tài)硬件令牌，需使用獨(dú)立的硬件設(shè)備。目前市場上提出一些在移動(dòng)終端的OTP方案，來替代硬件令牌，如短信驗(yàn)證碼、軟件手機(jī)令牌等。但移動(dòng)終端的OTP方案存在一定的安全風(fēng)險(xiǎn)，OTP動(dòng)態(tài)口令的生成和顯示暴露在開放的執(zhí)行環(huán)境下，十分容易被黑客獲取?？诹钤趧?dòng)態(tài)口令系統(tǒng)中生成后，發(fā)送給移動(dòng)終端，發(fā)送口令之后，信道傳輸、移動(dòng)終端接收、顯示OTP動(dòng)態(tài)口令時(shí)的安全風(fēng)險(xiǎn)都沒有解決。因此，需要一種新的動(dòng)態(tài)口令生成的技術(shù)方案。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明要解決的一個(gè)技術(shù)問題是提供一種動(dòng)態(tài)口令生成方法和系統(tǒng)。

根據(jù)本發(fā)明的一個(gè)方面，提供一種動(dòng)態(tài)口令生成方法，包括：運(yùn)行在富執(zhí)行環(huán)境REE中的動(dòng)態(tài)口令客戶應(yīng)用OTP CA向運(yùn)行在可信執(zhí)行環(huán)境TEE中的動(dòng)態(tài)口令可信應(yīng)用OTPTA發(fā)送OTP動(dòng)態(tài)口令生成申請；所述OTP TA通過可信用戶接口TUI接收OTP許可口令；所述OTP TA對所述OTP許可口令進(jìn)行驗(yàn)證，如果通過驗(yàn)證，則基于預(yù)設(shè)的口令生成規(guī)則生成OTP動(dòng)態(tài)口令，并通過所述TUI進(jìn)行顯示。

可選地，所述基于預(yù)設(shè)的口令生成規(guī)則生成OTP動(dòng)態(tài)口令包括：如果所述OTP許可口令通過驗(yàn)證，則所述OTP TA通過所述TUI接收OTP挑戰(zhàn)碼；所述OTP TA使用OTP挑戰(zhàn)碼并基于OTP動(dòng)態(tài)口令算法、密鑰生成所述OTP動(dòng)態(tài)口令。

可選地，所述基于預(yù)設(shè)的口令生成規(guī)則生成OTP動(dòng)態(tài)口令包括：動(dòng)態(tài)口令OTP服務(wù)器和所述TEE建立安全通道；如果所述OTP許可口令通過驗(yàn)證，所述OTP服務(wù)器通過所述安全通道向所述OTP TA發(fā)送用于生成OTP動(dòng)態(tài)口令的口令定制信息或所述OTP動(dòng)態(tài)口令；如果接收到口令定制信息，則所述OTP TA基于此口令定制信息生成所述OTP動(dòng)態(tài)口令。

可選地，如果所述OTP許可口令通過驗(yàn)證，則所述OTP CA向所述OTP服務(wù)器發(fā)送用戶請求信息；所述OTP服務(wù)器對所述用戶請求信息驗(yàn)證成功后，通過所述安全通道并經(jīng)由所述OTP CA向所述OTP TA發(fā)送所述口令定制信息以及定制類型；所述OTP TA根據(jù)所述口令定制信息以及定制類型并使用口令算法、密鑰生成所述OTP動(dòng)態(tài)口令。