本申请实施例公开了口令生成方法、口令验证方法、支付方法及装置。所述口令生成方法包括:终端将预先存储的令牌和当前时间值作为第一预设算法的输入值,计算得到动态口令;所述终端还预先存储与所述令牌对应的设备ID,所述令牌和所述设备ID是由服务端生成并向所述终端发送的;终端至少将包含所述动态口令的第一信息作为第二预设算法的输入值,计算得到第二信息;终端生成包含所述动态口令、所述第二信息及所述设备ID的认证口令。相较于现有技术,本申请实施例生成的认证口令被他人蛮力破解的风险得到有效降低。
【技术实现步骤摘要】
业务处理方法及装置本申请是申请号为″201610371868.1″、申请日为″2016年05月30日″、申请名称为″口令生成方法、口令验证方法、支付方法及装置″的专利申请的分案申请。
本申请涉及信息认证领域,特别涉及一种口令生成方法、口令验证方法、支付方法及装置。
技术介绍
目前,在诸多场景中均需要通过动态口令(One-timePassword,OTP)进行用户身份的认证。其应用场景包括线下扫码支付等。以线下扫码支付场景为例,一般地,支付应用的服务端可以预先为每个客户端生成唯一的令牌和与该令牌对应的设备ID,并将生成的令牌和设备ID发送至每个客户端,客户端可以将该令牌和设备ID存储于安全存储区。其中,服务端需要预先存储令牌与设备ID的对应关系。在用户需要通过上述支付应用的客户端进行扫码支付时,客户端可以根据预先存储的令牌和当前时间值,采用一定的预设算法(如:事件同步HOTP算法)计算得到一动态口令,将该动态口令(如:M位)与上述设备ID(如:N位)组成身份口令(如:M+N位)。随后,商户可以通过扫码装置对该身份口令进行扫描,并将扫描到的身份口令上传至上述支付应用的服务端进行校验。服务端可以根据上述身份口令得到设备ID,并查询得到与该设备ID对应的令牌,利用系统当前时间和令牌作为上述预设算法的输入值,计算得到可信动态口令列表,并利用该可信动态口令列表对所述动态口令进行校验;若动态口令校验通过,则表明当前用户的身份认证通过,可以执行支付事务。上述现有技术中的身份口令存在被″蛮力破解″的风险。所谓″蛮力破解″是指:由于客户端生成的上述身份口令为明文,可以在获取到该身份口令中的设备ID(如:N位)后,按照一定的方式(如:随机、穷举)生成上述动态口令(如:M位),并不断利用生成的动态口令和上述设备ID组成的身份认证口令(如:M+N位)来对用户身份进行认证,直至用户身份认证成功。举例来说,在某个时刻,客户端根据令牌和当前时间值计算得到的动态口令是:″123456″,则上述″蛮力破解″过程是:他人逐一从″000000″到″999999″生成动态口令,并对当前时刻的身份认证口令进行破解,直至碰撞到正确的动态口令″123456″为止。在上述现有技术中,假设上述M位的动态口令中的每一位是0~9,则上述用户身份被蛮力破解成功的概率大约为:1/10M。可见,现有技术中的身份认证口令存在一定的被他人蛮力破解的风险。
技术实现思路
本申请实施例的目的是提供一种口令生成方法、口令验证方法、支付方法及装置,以解决现有技术中的身份认证口令存在被他人蛮力破解的风险的问题。为解决上述技术问题,本申请实施例提供的口令生成方法、口令验证方法、支付方法及装置是这样实现的:一种口令生成方法,包括:终端将预先存储的令牌和当前时间值作为第一预设算法的输入值,计算得到动态口令;所述终端还预先存储与所述令牌对应的设备ID,所述令牌和所述设备ID是由服务端生成并向所述终端发送的;终端至少将包含所述动态口令的第一信息作为第二预设算法的输入值,计算得到第二信息;终端生成包含所述动态口令、所述第二信息及所述设备ID的认证口令。一种口令验证方法,包括:服务端接收由终端生成的包含动态口令、第二信息及设备ID的认证口令;所述动态口令是终端将预先存储的令牌和当前时间值作为第一预设算法的输入值计算得到的,所述第二信息是终端至少将包括动态口令的第一信息作为第二预设算法的输入值计算得到的,所述设备ID被预先存储于所述终端;服务端查询与所述设备ID对应的令牌;服务端利用该令牌和所述第一预设算法对所述动态口令进行校验;服务端至少利用所述第一信息和所述第二预设算法对所述第二信息进行校验;若所述动态口令校验通过且所述第二信息校验通过,则判定所述认证口令验证通过。一种支付方法,包括:服务端接收由终端生成的包含动态口令、第二信息及设备ID的认证口令;所述动态口令是终端将预先存储的令牌和当前时间值作为第一预设算法的输入值计算得到的,所述第二信息是终端至少将包括动态口令的第一信息作为第二预设算法的输入值计算得到的,所述设备ID被预先存储于所述终端;服务端查询与所述设备ID对应的令牌;服务端利用该令牌和所述第一预设算法对所述动态口令进行校验;服务端至少利用所述第一信息和所述第二预设算法对所述第二信息进行校验;若所述动态口令校验通过且所述第二信息校验通过,则执行与所述认证口令对应的支付事务。一种口令生成装置,包括:第一计算单元,用于将预先存储于终端中的令牌和当前时间值作为第一预设算法的输入值,计算得到动态口令;所述终端还预先存储与所述令牌对应的设备ID,所述令牌和所述设备ID是由服务端生成并向终端发送的;第二计算单元,用于至少将包含所述动态口令的第一信息作为第二预设算法的输入值,计算得到第二信息;口令生成单元,用于生成包含所述动态口令、所述第二信息及所述设备ID的认证口令。一种口令验证装置,包括:接收单元,用于接收由终端生成的包含动态口令、第二信息及设备ID的认证口令;所述动态口令是终端将预先存储的令牌和当前时间值作为第一预设算法的输入值计算得到的,所述第二信息是终端至少将包括动态口令的第一信息作为第二预设算法的输入值计算得到的,所述设备ID被预先存储于所述终端;查询单元,用于查询与所述设备ID对应的令牌;校验单元,用于利用该令牌和所述第一预设算法对所述动态口令进行校验,及用于至少利用所述第一信息和所述第二预设算法对所述第二信息进行校验;判定单元,用于在所述动态口令校验通过且所述第二信息校验通过时,判定所述认证口令验证通过。一种支付装置,包括:接收单元,用于接收由终端生成的包含动态口令、第二信息及设备ID的认证口令;所述动态口令是终端将预先存储的令牌和当前时间值作为第一预设算法的输入值计算得到的,所述第二信息是终端至少将包括动态口令的第一信息作为第二预设算法的输入值计算得到的,所述设备ID被预先存储于所述终端;查询单元,用于查询与所述设备ID对应的令牌;校验单元,用于利用该令牌和所述第一预设算法对所述动态口令进行校验,及用于至少利用所述第一信息和所述第二预设算法对所述第二信息进行校验;支付单元,用于在所述动态口令校验通过且所述第二信息校验通过时,执行与所述认证口令对应的支付事务。本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:在根据令牌和当前时间值计算得到动态口令后,还至少将包括所述动态口令的第一信息作为第二预设算法的输入值,计算得到第二信息,并最终生成包含动态口令、第二信息及所述设备ID的认证口令,可见,本申请实施例生成的认证口令,除包含动态口令和设备ID外,还包括上述第二信息。在对该认证口令进行验证的过程中,不但需要对上述动态口令进行验证,还需要对上述第二信息进行验证,并在上述动态口令和上述第二信息均验证通过后,判定当前的认本文档来自技高网...
【技术保护点】
1.一种业务处理方法,其特征在于,包括:/n服务端接收扫码装置发送的业务请求信息,所述业务请求信息是所述扫码装置通过扫描所述终端上显示的认证口令,并向所述服务端发送的与当前业务相对应的业务请求信息,所述业务请求信息中携带所述认证口令,所述认证口令包含动态口令、第二信息及设备ID,所述动态口令是终端将预先存储的令牌和当前时间值作为第一预设算法的输入值计算得到的,所述第二信息是终端至少将包括动态口令的第一信息作为第二预设算法的输入值计算得到的,所述设备ID被预先存储于所述终端;/n服务端根据所述认证口令中的设备ID,查询与所述设备ID对应的令牌;/n服务端利用该令牌和当前时间值对所述动态口令进行校验;/n服务端至少利用所述第一信息和所述第二预设算法对所述第二信息进行校验;/n若所述动态口令校验通过且所述第二信息校验通过,则基于所述当前业务执行与所述认证口令对应的事务。/n
【技术特征摘要】
1.一种业务处理方法,其特征在于,包括:
服务端接收扫码装置发送的业务请求信息,所述业务请求信息是所述扫码装置通过扫描所述终端上显示的认证口令,并向所述服务端发送的与当前业务相对应的业务请求信息,所述业务请求信息中携带所述认证口令,所述认证口令包含动态口令、第二信息及设备ID,所述动态口令是终端将预先存储的令牌和当前时间值作为第一预设算法的输入值计算得到的,所述第二信息是终端至少将包括动态口令的第一信息作为第二预设算法的输入值计算得到的,所述设备ID被预先存储于所述终端;
服务端根据所述认证口令中的设备ID,查询与所述设备ID对应的令牌;
服务端利用该令牌和当前时间值对所述动态口令进行校验;
服务端至少利用所述第一信息和所述第二预设算法对所述第二信息进行校验;
若所述动态口令校验通过且所述第二信息校验通过,则基于所述当前业务执行与所述认证口令对应的事务。
2.根据权利要求1所述的方法,其特征在于,服务端至少利用所述第一信息和所述第二预设算法对所述第二信息进行校验,包括:
服务端利用所述第一信息、所述令牌和所述第二预设算法对所述第二信息进行校验,所述第二信息是终端将所述令牌和所述第一信息作为第二预设算法的输入值计算得到的。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
服务端基于所述第二信息的校验结果和所述动态口令的校验结果,向所述扫码装置和/或所述终端发送所述认证口令的验证结果。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一信息包括下述任意一种:
动态口令;
动态口令和当前时间值的组合;
设备ID和动态口令的组合;
设备ID、动态口令及当前时间值的组合。
5.根据权利要求1至3中任一项所述的方法,其特征在于,所述第一预设算法为不可逆算法,...
【专利技术属性】
技术研发人员:邱鹏,
申请(专利权)人:创新先进技术有限公司,
类型:发明
国别省市:开曼群岛;KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。