一种动态令牌工作方法及系统技术方案

本发明专利技术公开的动态令牌工作方法和系统，预先将用户的认证需求分为两种类别：登录认证需求及交易过程中(登录后)签名时的签名认证需求，且动态令牌预先在其激活成功后，分别为两种认证需求生成相应的登录秘钥及签名秘钥。后续在用户有业务交易需求，需进行登录或签名认证时，动态令牌可分别依据登录秘钥或签名秘钥并结合用户当时输入的挑战码为用户生成相应的登录应答码或签名应答码。可见，本发明专利技术针对用户不同的认证需求分别设置了不同的计算秘钥，使动态令牌的密钥不易被破解，且动态令牌的工作机制和流程更为安全，实现了用户交易时的双重认证，加大了不法分子反推导动态令牌工作原理的难度，保证了用户账户的安全性。

【技术实现步骤摘要】
一种动态令牌工作方法及系统
本专利技术属于银行系统的安全认证
，尤其涉及一种动态令牌工作方法及系统。
技术介绍
动态令牌是用来生成动态口令的终端，动态口令是一种安全便捷的账户防盗技术，可以有效保护交易时登录的认证安全。动态令牌从技术角度可分为三种类型，时间同步型、事件同步型和挑战/应答型。目前，挑战/应答型动态令牌的工作方法均基于OATH(誓约)算法标准，结合用户输入的挑战码及令牌内置的种子秘钥，计算出相应的应答码，以实现交易时的登录认证。可见，现有挑战/应答型动态令牌的工作机制和流程较为简单，导致了不法分子反推导动态令牌工作原理的难度较低，进而导致了用户账户的安全性较低。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种动态令牌工作方法及系统，以解决现有挑战/应答型动态令牌工作机制和流程较为简单的问题，加大不法分子反推导动态令牌工作原理的难度，进而保证用户账户的安全性。为此，本专利技术公开如下技术方案：一种动态令牌工作方法，包括：接收用户的登录应答码生成请求，所述登录应答码生成请求包括登录挑战码；对所述登录挑战码、动态令牌内预先生成的登录秘钥以及当前的实时时间进行处理，得到登录应答码，所述登录秘钥为动态令牌被激活时，依据其内置的种子秘钥、登录用途代码及认证服务器提供的激活码所生成的秘钥；接收用户的签名应答码生成请求，所述签名应答码生成请求包括签名挑战码；对所述签名挑战码、动态令牌内预先生成的签名秘钥以及当前的实时时间进行处理，得到签名应答码，所述签名秘钥为动态令牌被激活时，依据其内置的种子秘钥、签名用途代码及认证服务器提供的激活码所生成的秘钥。上述方法，优选的，在所述接收用户的登录应答码生成请求之前，还包括如下的预处理过程：对认证服务器提供的激活码进行验证，若验证通过则执行如下操作：利用国密SM3杂凑算法，并采用式Work_Seed＝SM3(Seed|ActiveCode)生成工作秘钥Work_Seed，其中，SM3表示国密SM3杂凑算法，Seed表示工作秘钥，ActiveCode表示激活码；利用国密SM3杂凑算法，并采用式Otp_Seed＝SM3(Work_Seed|alg_type_1)生成登录秘钥Otp_Seed，其中，alg_type_1表示登录用途代码；利用国密SM3杂凑算法，并采用式sign_Seed＝SM3(Work_Seed|alg_type_2)生成签名秘钥sign_Seed，其中，alg_type_2表示签名用途代码。上述方法，优选的，对所述登录挑战码、动态令牌内预先生成的登录秘钥以及当前的实时时间进行处理得到登录应答码，包括：利用国密SM3杂凑算法及SM3截位算法，并采用式OTP＝Truncate_SM3(SM3(Otp_Seed|UTC|ChallengeCode))生成登录应答码OTP；其中，Truncate_SM3表示SM3截位算法，ChallengeCode表示登录挑战码，UTC表示当前的世界统一时间。上述方法，优选的，对所述签名挑战码、动态令牌内预先生成的签名秘钥以及当前的实时时间进行处理得到签名应答码，包括：利用国密SM3杂凑算法及SM3截位算法，并采用式Sign_OTP＝Truncate_SM3(SM3(Sign_Seed|UTC|SignCode))生成签名应答码Sign_OTP；其中，Truncate_SM3表示SM3截位算法，SignCode表示签名挑战码，UTC表示当前的世界统一时间。上述方法，优选的，在激活码通过验证时，所述预处理过程还包括：利用国密SM3杂凑算法，并采用式Puk_Seed＝SM3(Work_Seed|alg_type_3)生成解锁秘钥Puk_Seed，其中，alg_type_3表示解锁用途代码。上述方法，优选的，还包括：令牌开机后，接收用户输入的个人识别密码PIN码，并对输入的PIN码进行正确性验证，若PIN码错误输入的次数达到设定数值，则锁定令牌，并显示令牌已锁提示及解锁请求码；接收用户输入的解锁码并解锁，所述解锁码为认证服务器依据式PUK＝Truncate_SM3(SM3(Puk_Seed|Puk_Request))生成，其中，Truncate_SM3表示SM3截位算法，PUK表示解锁码，Puk_Request表示解锁请求码。一种动态令牌工作系统，包括：第一接收模块，用于接收用户的登录应答码生成请求，所述登录应答码生成请求包括登录挑战码；第一处理模块，用于对所述登录挑战码、动态令牌内预先生成的登录秘钥以及当前的实时时间进行处理，得到登录应答码，所述登录秘钥为动态令牌被激活时，依据其内置的种子秘钥、登录用途代码及认证服务器提供的激活码所生成的秘钥；第二接收模块，用于接收用户的签名应答码生成请求，所述签名应答码生成请求包括签名挑战码；第二处理模块，用于对所述签名挑战码、动态令牌内预先生成的签名秘钥以及当前的实时时间进行处理，得到签名应答码，所述签名秘钥为动态令牌被激活时，依据其内置的种子秘钥、签名用途代码及认证服务器提供的激活码所生成的秘钥。上述系统，优选的，还包括预处理模块，所述预处理模块包括：验证单元，用于对认证服务器提供的激活码进行验证，并在验证通过触发以下的工作秘钥生成单元；工作秘钥生成单元，用于利用国密SM3杂凑算法，并采用式Work_Seed＝SM3(Seed|ActiveCode)生成工作秘钥Work_Seed，其中，SM3表示国密SM3杂凑算法，Seed表示工作秘钥，ActiveCode表示激活码；登录秘钥生成单元，用于利用国密SM3杂凑算法，并采用式Otp_Seed＝SM3(Work_Seed|alg_type_1)生成登录秘钥Otp_Seed，其中，alg_type_1表示登录用途代码；签名秘钥生成单元，用于利用国密SM3杂凑算法，并采用式sign_Seed＝SM3(Work_Seed|alg_type_2)生成签名秘钥sign_Seed，其中，alg_type_2表示签名用途代码。上述系统，优选的，所述第一处理模块包括：登录应答码生成单元，用于利用国密SM3杂凑算法及SM3截位算法，并采用式OTP＝Truncate_SM3(SM3(Otp_Seed|UTC|ChallengeCode))生成登录应答码OTP；其中，Truncate_SM3表示SM3截位算法，ChallengeCode表示登录挑战码，UTC表示当前的世界统一时间。上述系统，优选的，所述第二处理模块包括：签名应答码生成单元，用于利用国密SM3杂凑算法及SM3截位算法，并采用式Sign_OTP＝Truncate_SM3(SM3(Sign_Seed|UTC|SignCode))生成签名应答码Sign_OTP；其中，Truncate_SM3表示SM3截位算法，SignCode表示签名挑战码，UTC表示当前的世界统一时间。上述系统，优选的，所述预处理模块还包括：解锁秘钥生成单元，用于利用国密SM3杂凑算法，并采用式Puk_Seed＝SM3(Work_Seed|alg_type_3)生成解锁秘钥Puk_Seed，其中，alg_type_3表示解锁用途代码。上述系统，优选的，还包括安全保护模块，所述安全保护模块包括：锁定单元，用于在令牌开机后，接收用户输入本文档来自技高网...

【技术保护点】
一种动态令牌工作方法，其特征在于，包括：接收用户的登录应答码生成请求，所述登录应答码生成请求包括登录挑战码；对所述登录挑战码、动态令牌内预先生成的登录秘钥以及当前的实时时间进行处理，得到登录应答码，所述登录秘钥为动态令牌被激活时，依据其内置的种子秘钥、登录用途代码及认证服务器提供的激活码所生成的秘钥；接收用户的签名应答码生成请求，所述签名应答码生成请求包括签名挑战码；对所述签名挑战码、动态令牌内预先生成的签名秘钥以及当前的实时时间进行处理，得到签名应答码，所述签名秘钥为动态令牌被激活时，依据其内置的种子秘钥、签名用途代码及认证服务器提供的激活码所生成的秘钥。

【技术特征摘要】
1.一种动态令牌工作方法，其特征在于，包括：接收用户的登录应答码生成请求，所述登录应答码生成请求包括登录挑战码；对所述登录挑战码、动态令牌内预先生成的登录秘钥以及当前的实时时间进行处理，得到登录应答码，所述登录秘钥为动态令牌被激活时，依据其内置的种子秘钥、登录用途代码及认证服务器提供的激活码所生成的秘钥；接收用户的签名应答码生成请求，所述签名应答码生成请求包括签名挑战码；对所述签名挑战码、动态令牌内预先生成的签名秘钥以及当前的实时时间进行处理，得到签名应答码，所述签名秘钥为动态令牌被激活时，依据其内置的种子秘钥、签名用途代码及认证服务器提供的激活码所生成的秘钥。2.根据权利要求1所述的方法，其特征在于，在所述接收用户的登录应答码生成请求之前，还包括如下的预处理过程：对认证服务器提供的激活码进行验证，若验证通过则执行如下操作：利用国密SM3杂凑算法，并采用式Work_Seed＝SM3(Seed|ActiveCode)生成工作秘钥Work_Seed，其中，SM3表示国密SM3杂凑算法，Seed表示工作秘钥，ActiveCode表示激活码；利用国密SM3杂凑算法，并采用式Otp_Seed＝SM3(Work_Seed|alg_type_1)生成登录秘钥Otp_Seed，其中，alg_type_1表示登录用途代码；利用国密SM3杂凑算法，并采用式sign_Seed＝SM3(Work_Seed|alg_type_2)生成签名秘钥sign_Seed，其中，alg_type_2表示签名用途代码。3.根据权利要求2所述的方法，其特征在于，对所述登录挑战码、动态令牌内预先生成的登录秘钥以及当前的实时时间进行处理得到登录应答码，包括：利用国密SM3杂凑算法及SM3截位算法，并采用式OTP＝Truncate_SM3(SM3(Otp_Seed|UTC|ChallengeCode))生成登录应答码OTP；其中，Truncate_SM3表示SM3截位算法，ChallengeCode表示登录挑战码，UTC表示当前的世界统一时间。4.根据权利要求2所述的方法，其特征在于，对所述签名挑战码、动态令牌内预先生成的签名秘钥以及当前的实时时间进行处理得到签名应答码，包括：利用国密SM3杂凑算法及SM3截位算法，并采用式Sign_OTP＝Truncate_SM3(SM3(Sign_Seed|UTC|SignCode))生成签名应答码Sign_OTP；其中，Truncate_SM3表示SM3截位算法，SignCode表示签名挑战码，UTC表示当前的世界统一时间。5.根据权利要求2所述的方法，其特征在于，在激活码通过验证时，所述预处理过程还包括：利用国密SM3杂凑算法，并采用式Puk_Seed＝SM3(Work_Seed|alg_type_3)生成解锁秘钥Puk_Seed，其中，alg_type_3表示解锁用途代码。6.根据权利要求5所述的方法，其特征在于，还包括：令牌开机后，接收用户输入的个人识别密码PIN码，并对输入的PIN码进行正确性验证，若PIN码错误输入的次数达到设定数值，则锁定令牌，并显示令牌已锁提示及解锁请求码；接收用户输入的解锁码并解锁，所述解锁码为认证服务器依据式PUK＝Truncate_SM3(SM3(Puk_Seed|Puk_Request))生成，其中，Truncate_SM3表示SM3截位算法，PUK表示解锁码，Puk_Request表示解锁请求码。7.一种动态令牌工作系统，其特征在于，包括：第一接收模块，...

【专利技术属性】
技术研发人员：董思，廖敏飞，李文鹏，吴孟晴，刘丽娟，许腾，
申请(专利权)人：中国建设银行股份有限公司，
类型：发明
国别省市：北京;11