动态口令生成方法和系统技术方案

本发明专利技术实施例公开了一种动态口令生成方法和系统，其中的方法包括：OTP CA向OTP TA发送OTP动态口令生成申请，OTP TA通过TUI接收OTP许可口令并对OTP许可口令进行验证，如果通过验证，则基于预设的口令生成规则生成OTP动态口令，并通过TUI进行显示。本发明专利技术的方法、系统，提供基于TEE的移动终端的OTP安全方案，在移动终端上的REE环境中发起生成OTP动态口令，进入TEE环境中生成和显示OTP动态口令，生成口令所需的信息在安全执行环境TEE中解密获得，生成和显示口令在TEE中实现，而且通过TUI与用户交互，保证了业务数据的安全性。

【技术实现步骤摘要】
动态口令生成方法和系统
本专利技术涉及信息安全
，尤其涉及一种动态口令生成方法和系统。
技术介绍
移动互联网技术飞速发展，给人们带来方便、便捷的同时，也伴随着诸多安全隐患。开发式的手机操作系统容易受到恶意的软件，用户的隐私和财产得不到保障。国际标准组织GP(GlobalPlatform)制定了TEE(TrustedExecutionEnvironment)的标准，TEE是一个移动设备上的主处理器上一块封闭式的安全区域，确保敏感数据的存储、处理和保护安全可靠。TEE的软件体系结构目标是使可使得TA(TrustedApplications)为服务提供商们提供隔离和可信能力，通过中间的CA(ClientApplications)来使用TA的功能。OTP(One-timePassword，动态口令)是一种安全快捷的账号防盗技术，可以有效保护交易和登陆的认证安全。OTP可根据专门的算法每60秒生成一个时间相关、不可预测的随机数字串，只能用一次。OTP算法有2个输入因子：密钥和动态因子。目前，最为普遍的OTP包括刮刮卡、短信验证码、动态令牌(包括硬件令牌和软件令牌)等。手机令牌、短信验证码本文档来自技高网...

【技术保护点】
1.一种动态口令生成方法，其特征在于，包括：运行在富执行环境REE中的动态口令客户应用OTP CA向运行在可信执行环境TEE中的动态口令可信应用OTP TA发送OTP动态口令生成申请；所述OTP TA通过可信用户接口TUI接收OTP许可口令；所述OTP TA对所述OTP许可口令进行验证，如果通过验证，则基于预设的口令生成规则生成OTP动态口令，并通过所述TUI进行显示。

【技术特征摘要】
1.一种动态口令生成方法，其特征在于，包括：运行在富执行环境REE中的动态口令客户应用OTPCA向运行在可信执行环境TEE中的动态口令可信应用OTPTA发送OTP动态口令生成申请；所述OTPTA通过可信用户接口TUI接收OTP许可口令；所述OTPTA对所述OTP许可口令进行验证，如果通过验证，则基于预设的口令生成规则生成OTP动态口令，并通过所述TUI进行显示。2.如权利要求1所述的方法，其特征在于，所述基于预设的口令生成规则生成OTP动态口令包括：如果所述OTP许可口令通过验证，则所述OTPTA通过所述TUI接收OTP挑战码；所述OTPTA使用OTP挑战码并基于OTP动态口令算法、密钥生成所述OTP动态口令。3.如权利要求1所述的方法，其特征在于，所述基于预设的口令生成规则生成OTP动态口令包括：动态口令OTP服务器和所述TEE建立安全通道；如果所述OTP许可口令通过验证，所述OTP服务器通过所述安全通道向所述OTPTA发送用于生成OTP动态口令的口令定制信息或所述OTP动态口令；如果接收到口令定制信息，则所述OTPTA基于此口令定制信息生成所述OTP动态口令。4.如权利要求3所述的方法，其特征在于，还包括：如果所述OTP许可口令通过验证，则所述OTPCA向所述OTP服务器发送用户请求信息；所述OTP服务器对所述用户请求信息验证成功后，通过所述安全通道并经由所述OTPCA向所述OTPTA发送所述口令定制信息以及定制类型；所述OTPTA根据所述口令定制信息以及定制类型并使用口令算法、密钥生成所述OTP动态口令。5.如权利要求4所述的方法，其特征在于，还包括：所述OTP服务器对所述用户请求信息验证成功后，生成所述OTP动态口令；所述OTP服务器通过所述安全通道并经由所述OTPCA向所述OTPTA发送所述OTP动态口令。6.如权利要求4所述的方法，其特征在于，还包括：所述OTPCA向所述OTPTA发送OTP动态口令生成申请以及公钥证书；如果所述OTP许可口令通过验证，则所述OTPCA向所述OTP服务器发送用户请求信息以及所述公钥证书；所述OTP服务器通过CA服务器验证所述公钥证书，如果验证成功，则使用所述公钥证书中的公钥加密所述口令定制信息以及定制类型，并将加密后的所述口令定制信息以及定制类型通过所述OTPCA发送至所述OTPTA；所述OTPTA使用与所述公钥证书中的公钥相对应的私钥对加密后的所述口令定制信息以及定制类型进行解密处理。7.如权利要求6所示的方法，其特征在于，还包括：所述OTP服务器通过CA服务器验证所述公钥证书，如果验证成功，则使用所述公钥证书中的公钥加密通信密钥；将使用所述通信密钥加密后的所述口令定制信息以及定制类型、加密后的通信密钥通过所述OTPCA发送至所述OTPTA；所述OTPTA使用与所述公钥证书中的公钥相对应的私钥对加密后的通信密钥进行解密，获取通信密钥，并使用通信密钥对加密后的所述口令定制信息以及定制类型进行解密处理。8.如权利要求6所示的方法，其特征在于，还包括：所述OTPTA向TAM服务器申请数字证书个人化；所述OTPTA基于所述TAM服务器下发的指令生成公、私密钥对并向所述TAM服务器请求获得数字证书；所述TAM服务器将包含有公、私密钥对中公钥的证书下发请求发送给信任根服务器；所述信任根服务器生成证书并并通过TAM服务器下发给OTPTA；所述OTPTA将私钥和证书存储在TEE中。9.如权利要求8所述的方法，其特征在于，所述OTPCA向所述OTPTA发送REE系统时间；所述OTPTA计算TEE系统时间和REE系统时间的时间差值存储在TEE中；当在TEE中生成OTP动态口令时，所述OTPTA获得当前TEE系统时间，基于当前TEE系统时间和所述时间偏移获得当前REE系统时间，作为时间因子。10.如权利要求3所述的方法，其特征在于，所述口令定制信息包括：挑战码、挑战码与OTP动态口令密钥、加密算法中的至少一项。11.一种动态口令生成系统，其特征在于，包括：动态口令客户应用OTPCA、动态口令可信应用OTPTA；所述OTPCA，运行在富执行环境REE中，用于向运行在可信执行环...

【专利技术属性】
技术研发人员：陈胜，
申请(专利权)人：北京握奇智能科技有限公司，北京握奇数据股份有限公司，
类型：发明
国别省市：北京,11