本發明公開一種基于動態口令進行離線認證的登錄方法及系統，該方法包括：當終端接收到登錄信息時，判斷認證服務器是否連接，是則將登錄信息發送給認證服務器，認證服務器根據登錄信息中的用戶信息查找到的種子信息和口令算法、動態因子生成驗證窗口，判斷登錄信息中的動態口令是否與驗證窗口中的動態口令匹配，是則通知終端允許用戶登錄，否則通知終端拒絕用戶登錄；否則當有合法設備插入時將登錄信息中的動態口令發送給離線設備；離線設備根據內部的種子信息、口令算法和動態因子生成驗證窗口，判斷登錄信息中的動態口令是否與驗證窗口中的動態口令匹配，是則通知終端允許用戶登錄，否則通知終端拒絕用戶登錄。本發明技術方案方便安全可靠。

技術領域

本發明涉及信息安全領域，尤其涉及一種基于動態口令進行離線認證的登錄方法及系統。

背景技術

目前OTP Server(動態口令認證服務器)對口令的認證都是在線進行認證的，且OTP Server基本上部署在企業內部，通過在Windows、Linux等操作系統中安裝OTP代理軟件來進行安全保護。如果操作系統不能正常聯網或者連接不到OTP Server，就不能正常登錄到系統。例如一組用戶在客戶端的操作系統中安裝了OTP代理軟件對系統進行保護，現在需要出差，出差期間連接不到公司內網，如果用戶需要使用客戶端，那么只能卸載OTP代理軟件，這樣又降低了客戶端的安全保護。

發明內容

本發明的目的是為了克服現有技術的不足，提供一種基于動態口令進行離線認證的登錄方法及系統。

本發明提供了一種基于動態口令進行離線認證的登錄方法，包括：

步驟S1：當終端接收到登錄信息時，判斷認證服務器是否連接，是則執行步驟S5，否則執行步驟S2；

步驟S2：所述終端判斷是否有合法的離線設備插入，是則執行步驟S3，否則報錯，結束；

步驟S3：所述終端將所述登錄信息中的動態口令發送給所述離線設備；

步驟S4：所述離線設備根據內部的種子信息、口令算法和動態因子生成驗證窗口，并判斷所述登錄信息中的動態口令是否與所述驗證窗口中的動態口令匹配，是則通知所述終端允許用戶登錄，否則通知所述終端拒絕用戶登錄；

步驟S5：所述終端將所述登錄信息發送給認證服務器；

步驟S6：所述認證服務器根據接收到的登錄信息中的用戶信息查找對應的種子信息和口令算法，如找到則執行步驟S7，如未找到則通知所述終端拒絕用戶登錄；

步驟S7：所述認證服務器根據所述找到的種子信息和口令算法、內部保存的動態因子生成驗證窗口，并判斷所述登錄信息中的動態口令是否與所述驗證窗口中的動態口令匹配，是則通知所述終端允許用戶登錄，否則通知所述終端拒絕用戶登錄。

進一步地，在所述步驟S1之前還包括：

步驟T1：所述認證服務器將生成的第一非對稱密鑰中的公鑰與所述離線設備生成的非第二對稱密鑰對中的公鑰進行交換；

步驟T2：所述認證服務器根據自身生成的第一非對稱密鑰中的公鑰、種子信息和口令算法生成第一簽名數據，并將所述第一簽名數據通過所述終端發送給所述離線設備進行保存。

進一步地，所述步驟T1包括：

步驟T11：當所述認證服務器接收到下載簽名數據請求時生成第一非對稱密鑰對并保存，通過所述終端給所述離線設備發送所述第一非對稱密鑰對中的公鑰；

步驟T12：所述離線設備接收到第一非對稱密鑰對中的公鑰后保存所述第一非對稱密鑰對中的公鑰，生成第二非對稱密鑰對并保存，將所述第二非對稱密鑰對中的公鑰通過所述終端發送給所述認證服務器；

步驟T13：所述認證服務器接收所述第二非對稱密鑰對中的公鑰并保存。