一种动态二维码令牌及动态二维码口令认证方法技术

一种动态二维码口令认证方法，其中动态二维码令牌，包括采集模块、显示模块、认证模块、口令模块、管理模块、二维码模块、控制模块；所述控制模块、管理模块、认证模块、口令模块和二维码模块集成于同一微处理器中；所述采集模块与所述控制模块和二维码模块相连；所述显示模块与所述控制模块和二维码模块相连。动态二维码口令认证系统，是用于执行动态二维码口令认证、令牌同步以及令牌相关状态的管理及配置功能的服务程序的集合。本发明专利技术具有抗暴露、高强度、不可预测、抗重放、抗抵赖、免记忆、精确、高效、物理隔离和双向认证特性的动态二维码口令，显著提高身份认证的安全性。

【技术实现步骤摘要】
一种动态二维码令牌及动态二维码口令认证方法
本专利技术属于信息安全领域，涉及二维码技术以及动态令牌技术，具体涉及一种动态二维码令牌及动态二维码口令认证方法。
技术介绍
随着信息时代的到来，人们对信息系统的依赖程度越来越高，信息系统的安全越来越受到人们的重视。密码在信息系统中的安全要求最高，一旦密码被盗或者遗失，信息系统就可能被非授权访问，导致直接经济损失和间接名誉损失，损失是巨大的，甚至是致命的。根据美国某安全协会对数千名系统管理员的调查表明，绝大多数信息系统首先被攻击和突破的就是密码。现有大多数信息系统的密码记忆在人脑、存储在服务器端数据库中，在相对较长的时间内固定不变，每次登录认证时使用相同密码，称为静态密码，也叫静态口令。在传统的静态口令认证系统中，静态口令的重复使用增加了其丢失、泄露以及被破解的风险，降低了信息系统的安全系数。在网络环境下，黑客、木马和病毒的泛滥让静态口令显得更加脆弱。除此之外，静态口令还存在如下的安全隐患和缺陷：1)用户的密码在录入时可能被偷看或者被图像采集设备记录。2)用户的密码通常有一定的规律性且长度较短，容易被猜测和监听破解；3)用户的密码在相对较长的时间内固定不变，可能泄漏。4)用户的密码不包含抗抵赖信息，可能被恶意操作。5)用户因某种原因，将密码告诉他人，事后忘记修改造成遗失。6)用户忘记密码。7)用户的密码手动输入，可能出现录入错误。8)用户的密码无法被自动识别，录入效率低下。9)服务器端与客户端信息不对称，容易被钓鱼攻击。
技术实现思路
本专利技术的目的是为了解决现有认证技术存在的缺陷，提供一种动态二维码令牌及动态二维码口令认证方法。动态二维码口令具有抗暴露、高强度、不可预测、抗重放、抗抵赖、免记忆、精确、高效、物理隔离和双向认证特性，可显著提高身份认证的安全性。采用的技术方案是：动态二维码令牌，其特征在于：动态二维码令牌，是产生并显示动态二维码口令的用户终端设备。将预定义的外部程序存入智能设备（掌上电脑、智能手机、平板电脑、PDA或其他专用设备）的程序存储器中，当控制器收到相应指令后，根据预定义的程序可实现对服务器认证、动态二维码口令产生与显示功能。特别地，上述智能设备必须具备二维码采集功能。动态二维码令牌由采集模块、显示模块、控制模块、管理模块、二维码模块、认证模块、口令模块组成，如图3所示，各模块功能如下：采集模块，获取服务器端显示的二维码。实现设备包括但不限于二维码数据采集器、激光扫描器、摄像头。显示模块，显示产生的动态二维码口令，实现设备包括但不限于LCD、LED显示屏。采集模块和显示模块中，所涉及的采集设备和显示设备相应的控制电路已经相对成熟，故在此不再阐述。控制模块、管理模块、二维码模块、认证模块、口令模块集成于同一微处理器中，具体的：控制模块，对动态二维码令牌各模块调用，对动态二维码令牌进行运行管理。管理模块，负责验证动态二维码令牌状态、初始化、参数配置。二维码模块，实现二维码的编码和解码，二维码信息的加密和解密。认证模块，根据服务器鉴权信息对服务器进行认证。口令模块，产生动态二维码口令。动态二维码口令的产生方法是：是时间因子，是UTC(UniversalTimeCoordinated，协调世界时)时间，是口令变化周期。ID是动态因子，C是事件因子，Q是挑战因子。ID至少包含T、C、Q其中的一个参数，并按照T|C|Q的顺序进行数据组装。未包含的参数位置，由下一个参数进行补充。如ID由T、Q组成，则数据组装方式为T|Q。如ID由C、Q组成，则数据组装方式为C|Q。K是运算密钥，只有认证双方持有。F()是算法函数。S是算法函数输出结果。Truncate()是截位函数，OD是输出结果。N是动态口令的位数，不小于6。P是动态口令。M是多因素信息。D是二维码编码因子。D至少包含一个P参数，按照P|M的顺序进行数据组装。如D由P、M组成，则数据组装方式为P|M。如D只包含P参数，则D只对P参数进行数据组装。B()是二维码编码函数。BP是动态二维码口令。动态二维码口令认证平台（包括动态二维码口令认证系统、动态二维码口令管理系统）部署在服务器端。应用系统部署在客户端，通过认证协议与服务器端通讯。动态二维码口令认证系统，是用于执行动态二维码口令认证、令牌同步，以及令牌相关状态的管理及配置功能的服务程序的集合。动态二维码口令管理系统，负责动态因子的生成、传输和存储的安全管理。应用系统是指集成了将动态二维码口令按照认证协议发送至动态二维码口令认证系统进行认证的应用集合，为软件系统、硬件设备或者两者相结合。认证接口是认证系统提供的用于连接应用系统与认证服务器的接口集合。开发语言不限于C/C++、Java、php、ASP、ASP.NET、C#。应用接口通过调用接口，完成动态二维码口令认证、同步功能。认证协议是认证服务和应用系统进行通讯的标准的通讯协议，完成动态二维码口令的认证、同步功能。动态二维码口令认证流程图如图2所示，结合图2，具体的认证过程为：动态二维码令牌使用前，必须经管理员在服务器端激活并录入相关信息，激活成功后，令牌在用户终端和服务器端状态均为可用状态。用户启动动态二维码令牌，动态二维码令牌自动验证令牌状态，如果令牌状态为未激活，则提示不可用。令牌激活成功，用户使用令牌扫描服务器端向应用系统提供的二维码，服务器端提供的二维码信息包括服务器端鉴权信息和产生动态二维码口令的控制信息两部分。令牌二维码模块对服务器端提供的二维码信息解码，根据符合国密标准的安全算法，对解码后提取出信息进行解密。解密后，将服务器端鉴权信息和产生动态二维码口令的控制信息分离。令牌认证模块根据得到的服务器端鉴权信息对服务器进行认证，如果服务器端不能通过认证，则停止整个认证过程。服务器端认证成功，令牌管理模块初始化令牌。令牌口令模块根据由服务器端提供的二维码中分离出来的产生动态二维码口令的控制信息，确定动态二维码口令的生成方式（如时间模式、事件模式、挑战应答模式）、令牌算法及动态因子，产生动态口令。令牌二维码模块将动态口令与客户端标识信息及其他指定特征值分组封装加密，再生成二维码图像，令牌显示模块将二维码图像显示在智能设备的显示屏上。至此，动态二维码口令生成完成。服务器端通过二维码扫描设备捕获令牌生成的动态二维码口令，并解析动态二维码口令。解析过程具体为：服务器端对捕获的二维码图像解码，再根据指定的符合国密标准的安全算法，对解码后提取出的信息进行解密，得到封装的动态口令与客户端标识信息及其他指定特征值。将动态口令与客户端标识信息及其他指定特征值分离，根据认证规则进行口令认证。如果口令认证失败，拒绝对用户授权，整个认证过程失败。通过口令认证，则对用户授权，用户获得相应权限，认证成功。动态二维码令牌特性要求温度：-10℃-50℃；湿度：30℃±2℃下，相对湿度为93%±3℃；防尘防水满足IP44要求。振动：10-300HZ，振动幅值≥3.5mm；静电放电：外壳端口接触放电±6KV，空气放电±8KV。动态二维码口令认证平台：1、动态二维码口令认证平台构成动态二维码口令认证平台是为应用系统提供动态二维码口令认证及管理的服务系统，由两个部分构成：动态二维码口令认证系统、动态二维码口令管理系统。动态二维本文档来自技高网...

【技术保护点】
动态二维码令牌，其特征在于：动态二维码令牌，是产生并显示动态二维码口令的用户终端设备，将预定义的外部程序存入智能设备，包括掌上电脑、智能手机、平板电脑、PDA或其他专用设备的程序存储器中，当控制器收到相应指令后，根据预定义的程序可实现对服务器认证、动态二维码口令产生与显示功能；特别地，上述智能设备必须具备二维码采集功能；动态二维码令牌由采集模块、显示模块、控制模块、管理模块、二维码模块、认证模块、口令模块组成；采集模块，获取服务器端显示的二维码，实现设备包括但不限于二维码数据采集器、激光扫描器、摄像头；显示模块，显示产生的动态二维码口令，实现设备包括LCD、LED显示屏；控制模块、管理模块、二维码模块、认证模块、口令模块集成于同一微处理器中，具体的：控制模块，对动态二维码令牌各模块调用，对动态二维码令牌进行运行管理；管理模块，负责验证动态二维码令牌状态、初始化、参数配置；二维码模块，实现二维码的编码和解码，二维码信息的加密和解密；认证模块，根据服务器鉴权信息对服务器进行认证；口令模块，产生动态二维码口令；动态二维码口令的产生方法是：???????是时间因子，是UTC(Universal?Time?Coordinated，协调世界时)时间，是口令变化周期，ID是动态因子，C是事件因子，Q是挑战因子，ID至少包含T、C、Q其中的一个参数，并按照T?|?C?|?Q的顺序进行数据组装，未包含的参数位置，由下一个参数进行补充，如ID由T、Q组成，则数据组装方式为T?|?Q，如ID由C、Q组成，则数据组装方式为C?|?Q，K是运算密钥，只有认证双方持有，F()是算法函数，S是算法函数输出结果，Truncate()是截位函数，OD是输出结果，N是动态口令的位数，不小于6，P是动态口令，M是多因素信息，D是二维码编码因子，D至少包含一个P参数，按照P?|?M的顺序进行数据组装，如D由P、M组成，则数据组装方式为P?|?M，如D只包含P参数，则D只对P参数进行数据组装，B()是二维码编码函数，BP是动态二维码口令。67427dest_path_image008.jpg,dest_path_image009.jpg,246736dest_path_image010.jpg...

【技术特征摘要】
1.动态二维码令牌，其特征在于：动态二维码令牌，是产生并显示动态二维码口令的智能设备，将预定义的外部程序存入智能设备的程序存储器中，其中智能设备，包括掌上电脑、智能手机、平板电脑、PDA或其他专用设备，当控制器收到相应指令后，根据预定义的程序可实现对服务器认证、动态二维码口令产生与显示功能；特别地，上述智能设备必须具备二维码采集功能；动态二维码令牌由采集模块、显示模块、控制模块、管理模块、二维码模块、认证模块、口令模块组成；采集模块，获取服务器端显示的二维码，所述采集模块包括二维码数据采集器、激光扫描器、摄像头；显示模块，显示产品的动态二维码口令，所述显示模块包括LCD、LED显示屏；控制模块、管理模块、二维码模块、认证模块、口令模块集成于同一微处理器中，具体的：控制模块，对动态二维码令牌各模块调用，对动态二维码令牌进行运行管理；管理模块，负责验证动态二维码令牌状态、初始化、参数配置；二维码模块，实现二维码的编码和解码，二维码信息的加密和解密；认证模块，根据服务器鉴权信息对服务器进行认证；口令模块，产生动态二维码口令；动态二维码口令的产生方法是：是时间因子，是UTC(UniversalTimeCoordinated，协调世界时)时间，是口令变化周期，ID是动态因子，C是事件因子，Q是挑战因子，ID至少包含T、C、Q其中的一个参数，并按照T|C|Q的顺序进行数据组装，未包含的参数位置，由下一个参数进行补充，如ID由T、Q组成，则数据组装方式为T|Q，如ID由C、Q组成，则数据组装方式为C|Q，K是运算密钥，只有认证双方持有，F()是算法函数，S是算法函数输出结果，Truncate()是截位函数，OD是输出结果，N是动态口令的位数，不小于6，P是动态口令，M是多因素信息，D是二维码编码因子，D至少包含一个P参数，按照P|M的顺序进行数据组装，如D由P、M组成，则数据组装方式为P|M，如D只包含P参数，则D只对P参数进行数据组装，B()是二维码编码函数，BP是动态二维码口令；采用动态二维码口令进行认证，其中动态二维码口令认证方法如下：动态二维码口令认证平台，包括动态二维码口令认证系统、动态二维码口令管理系统，部署在服务器端，应用系统部署在客户端，通过认证协议与服务器端通讯；动态二维码口令认证系统，是用于执行动态二维码口令认证、令牌同步，以及令牌相关状态的管理及配置功能的服务程序的集合；动态二维码口令管理系统，负责动态因子的生成、传输和存储的安全管理；应用系统是指集成了将动态二维码口令按照认证协议发送至动态二维码口令认证系统进行认证的应用集合，为软件系统、硬件设备或者两者相结合；认证接口是认证系统提供的用于连接应用系统与认证服务器的接口集合，开发语言包括C/C++、Java、php、ASP、ASP.NET、C#，应用接口通过调用接口，完成动态二维码口令认证、同步功能；认证协议是认证服务和应用系统进行通讯的标准的通讯协议，完成动态二维码口令的认证、同步功能；具体的认证过程为：动态二维码令牌使用前，必须经管理员在服务器端激活并录入相关信息，激活成功后，令牌在用户终端和服务器端状态均为可用状态；用户启动动态二维码令牌，动态二维码令牌自动验证令牌状态，如果令牌状态为未激活，则提示不可用；令牌激活成功，用户使用令牌扫描服务器端向应用系统提供二维码，服务器端提供的二维码信息包括服务器端鉴权信息和产生动态二维码口令的控制信息两部分，二维码模块对服务器端提供的二维码信息解码，根据符合国密标准的安全算法，对解码后提取出信息进行解密，解密后，将服务器端鉴权信息和产生动态二维码口令的控制信息分离，认证模块根据得到的服务器端鉴权信息对服务器进行认证，如果服务器端不能通过认证，则停止整个认证过程；服务器端认证成功，管理模块初始化令牌；口令模块根据由服务器端提供的二维码中分离出来的产生动态二维码口令的控制信息，确定动态二维码口令的生成方式包括时间模式、事件模式、挑战应答模式、令牌算法及动态因子，产生动态口令；二维码模块将动态口令与客户端标识信息及其他指定特征值分组封装加密，再生成二维码图像，显示模块将二维码图像显示在智能设备的显示屏上；至此，动态二维码口令生成完成；服务器端通过二维码扫描设备捕获令牌生成的动态二维码口令，并解析动态二维码口令，解析过程具体为：服务器端对捕获的二维码图像解码，再根据指定的符合国密标准的安全算法，对解码后提取出的信息进行解密，得到封装的动态口令与客户端标识信息及其他指定特征值，将动态口令与客户端标识信息及其他指定特征值分离，根据认证规则进行口令认证；如果口令认证失败，拒绝对用户授权，整个认证过程失败；口令认证通过，则对用户授权，用户获得相应权限，认证成功；动态二维码令牌特性要求：温度：-10℃-50℃；湿度：30℃±2℃下，相对湿度为93%±3℃；防尘防水满足IP44要求；振动：10HZ-300HZ，振动幅值≥3.5mm；静电放电：外壳端口接触放电±6KV，空气放电±8KV；动态二维码口令认证平台：（1）、动态二维码口令认证平台构成动态二维码口令认证平台是为应用系统提供动态二维码口令认证及管理的服务系统，由两个部分构成：动态二维码口令认证系统、动态二维码口令管理系统；动态二维码口令认证系统对应用系统提供认证和管理服务；动态二维码口令管理系统对认证平台的运行进行管理；（2）、令牌的系统状态令牌的系统状态为认证系统内保存的令牌工作状态：1）未激活，本状态为不可用状态，成功激活后进入就绪状态，激活令牌验证动态二维码口令是否正确，未激活令牌不能提供正常的动态二维码口令认证；2）就绪，令牌为正常工作状态，此状态下令牌可用于动态二维码口令认证；3）锁定，令牌因连续错误、重放攻击、人工方式原因被锁定后处于锁定状态，锁定状态的令牌不能提供正常的动态二维码口令认证；4）挂起，令牌被人为挂起后，处于挂起状态，挂起状态的令牌不能提供正常的动态二维码口令认证；5）作废，令牌执行作废操作后，进入作废状态，作废的令牌不能提供正常的动态二维码口令认证；（3）、令牌的系统数据令牌的系统数据包括...

【专利技术属性】
技术研发人员：宋博韬，石秀英，张贵良，
申请(专利权)人：沈阳华矿新能源装备科技有限公司，
类型：发明
国别省市：