CN100454809C - 利用一次性口令进行交易认证的方法 - Google Patents
利用一次性口令进行交易认证的方法 Download PDFInfo
- Publication number
- CN100454809C CN100454809C CNB011318287A CN01131828A CN100454809C CN 100454809 C CN100454809 C CN 100454809C CN B011318287 A CNB011318287 A CN B011318287A CN 01131828 A CN01131828 A CN 01131828A CN 100454809 C CN100454809 C CN 100454809C
- Authority
- CN
- China
- Prior art keywords
- password
- user
- time password
- generator
- seed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及一种利用一次性口令进行交易认证的方法,其特点是包括下述步骤:在证券公司原有用户数据库中添加一个用户密钥字段,服务器接收到用户的呼入请求,读入用户的账号和用户开户时预留的密码,调用一次性口令种子的生成器,生成一个八位十进制数的口令种子,通过电话语音传送给用户,用户将收到的口令种子输入到手持口令发生器,口令发生器以用户密钥为参数进行加密运算,得到口令种子的加密结果,用户将手持口令发生器生成的一次性口令通过电话按键回传给服务器,服务器将收到的一次性口令与得到口令种子的加密结果进行比较,如果相同,则认证通过,用户可以进行交易,如果不相同,退出交易流程。
Description
技术领域:
本发明涉及一种利用一次性口令进行交易认证的方法。
背景技术:
证券公司或银行电话委托交易在现代社会是很普遍的,但是人们一直担心交易安全问题。对于使用电话委托交易的用户,当用户通过电话完成委托交易离开后,不法分子可以使用简单的“重拨”键就可以很容易地得到用户的股东代码或资金账号和口令等信息,假冒用户的身份进入电话委托***,对客户的个人财产造成威胁。
即使用户在家中或其它相对安全的环境中进行电话委托,由于电话的拨号脉冲在电话网中是明文传输,不法分子依然可以通过搭线监听的方法得到用户的账号和口令,假冒用户进行未经用户授权的交易行为,谋取非法利益。
对于使用柜台方法的用户,当用户使用自助终端输入个人信息时,攻击者利用与用户接近的机会,窥探用户输入口令的过程,以得到口令。
人民邮电出版社在2000年10月出版的《网络安全性设计》第一版,26~30页介绍了S/Key口令协议和令牌口令认证协议,但这两种方法有各自的的缺陷:
S/Key口令协议需要定期重新初始化用户口令的初始化字,不适合应用于证券和银行这类具有大量用户的业务中;该口令协议采用MD5生成一次性口令,口令长度为512位,口令太长,不适合应用于电话委托环境中。
令牌口令认证协议需要服务器和客户端在时间上同步,在脱离网络环境的电话委托中较难实现。
S/Key口令协议和令牌口令认证协议应用于计算机网络环境,生成的密码形式较为复杂,一般是字母密码或一段短文,不适于应用在证券公司或银行的电话委托业务中;这两种口令认证协议应用于用户登录阶段,在用户登录方法后,不法用户可以通过并线或其它手段攫取***控制权,由于已经通过了用户认证,不法用户可以冒充用户进行不法交易。
本发明目的是提供一种一次性口令及交易认证方法,本方法在对证券公司或银行的现有***不做大的改动的情况下,就能应用于证券公司或银行的电话委托业务中进行用户身份认证,实现在电话公网的不安全环境下的安全身份认证,避免由于电话公网的开放环境带来的安全隐患,确保用户电话委托的口令在登录和传输过程中不被窃取,使用户财产不受损失。
技术方案:一种利用一次性口令进行交易认证的方法,其特点是包括下述步骤:
(a)、在证券公司原有用户数据库中添加用户身份识别码字段,服务器在接收到用户的呼入请求,读入用户的账号和用户开户时预留的6位密码口令,将用户输入的账号和口令与数据库中用户的账号和口令进行比较,如果相同,则初步认证通过,交易过程进入下一步,如果不相同,退出交易流程;
(b)、服务器调用一次性口令种子的生成器,生成一个八位十进制数的口令种子,通过电话语音传送给用户;
(c)、用户将收到的口令种子输入到手持口令发生器,口令发生器以用户密钥为参数进行加密运算,得到口令种子的加密结果;
(d)用户将手持口令发生器生成的一次性口令通过电话按键回传给服务器,服务器在收到一次性口令后,以发送给用户的口令种子为输入,以用户的密钥为参数,执行与用户手持口令发生器相同的加密操作,将收到的一次性口令与得到口令种子的加密结果进行比较,如果相同,则一次性口令认证通过,用户可以进行交易,如果不相同,退出交易流程。
所述的加密运算,是对加密结果进行选位并转换为二进制数,选取其中的十六位,然后将这十六位二进制数转化为十进制数,作为一次性口令。
本发明相比现有技术的优点在于:在采用了一次性口令方法后,由于每次登录时的口令是随机变化的,每个口令只能使用一次,彻底防止了各种窃听、重放、假冒、猜测等攻击方式。而用户也省去了记忆各种口令的苦恼。为电话委托的股票交易提供一个安全的交易环境。而且该方法简单易行,不需要在券商的服务器端做过多改动,仅需在用户数据库增加一个密钥字段、简单修改语音卡的提示程序。另外,保留券商原有方法的用户账号和口令,用户用账号和口令登录方法,然后用本方法的一次性口令进行认证。这样做的好处有:首先,用户的交易有了双重保护,即使用户丢失口令发生器,由于捡到口令发生器的人不知道用户账号和口令,他也无法正常使用口令发生器;其次,一次性口令认证可以在交易的任何阶段进行,避免了前面提到的并线攻击,第三,不用对证券公司原有的交易***做大的改动,仅仅是多加一次校验,利于推广应用。
附图说明:
附图1为利用一次性口令进行交易认证的方法流程图。
具体实施方式:
参照附图,一种一次性口令及交易认证方法,本方法不对证券公司或银行的现有***做大的改动,就能应用于证券公司或银行的电话委托业务中进行用户身份认证,实现在电话公网的不安全环境下的安全身份认证,避免由于电话公网的开放环境带来的安全隐患,确保用户电话委托的口令在登录和传输过程中不被窃取,使用户财产不受损失。
本发明包括两大块——客户端及服务器端。
服务器端是这样工作的。首先,在证券公司原有用户数据库中添加用户密钥或称用户身份识别码字段,用户密钥设计成一个长度为128bit的二进制数;其次是进行口令IDEA加密运算,IDEA加密算法的密钥长度为128位,安全可靠。最后是一次性口令种子的生成,为了加强保密性,使得一次性口令种子的随机更强,不便于黑客猜测,在实际应用中是将服务器方法时间经过加密或压缩后的数字做为随机数发生器的种子。一次性口令种子的生成器每次生成一个八位十进制数作为口令种子。
客户端是本方法配套的一个用户手持口令发生器,它是一种类似于计算器的一种装置,该装置的核心部件是一个生成一次性口令的安全芯片和一个包含用户密钥的IC卡。安全芯片中的加密算法与认证服务器中使用的加密算法完全相同;用户密钥的IC卡中的内容与用户数据库中的用户密钥相同。通过安全芯片,以用户密钥IC卡为参数,以安全认证服务器随机产生并通过电话传给用户的“口令种子”为输入,产生一个一次性使用的“动态口令”。
一次性口令方法的认证流程如下:
第一步:服务器接收到用户的呼入请求,读入用户的账号或股东代号和用户开户时预留的6位密码口令,服务器将用户输入的账号和口令与数据库中用户的账号和口令进行比较,如果相同,则初步认证通过,交易过程进入下一步;如果不相同,退出交易流程。
第二步:服务器调用一次性口令种子的生成器,生成一个八位十进制数的口令种子,通过电话语音传送给用户。
第三步:用户将收到的口令种子输入到手持口令发生器,口令发生器以用户密钥为参数进行加密运算,得到口令种子的加密结果。加密结果是八个不规则的字符,不便于使用电话传输。为了解决这个问题,本方法对加密结果进行选位,将加密结果转换为二进制数,选取其中的的十六位,然后将这十六位二进制数转化为十进制数,作为一次性口令,转化结果最多为十位,可以用电话进行传输。对加密结果进行选位操作不但可以使网络环境中使用的一次性口令移植到电话委托方法中,而且每个用户的选位规则可以各不相同,选位结果与明文没有对应关系,增加了密码分析的难度,使方法更加安全。
第四步:用户将手持口令发生器生成的一次性口令通过电话按键回传给服务器。服务器在收到一次性口令后,以刚才发送给用户的口令种子为输入,以用户的密钥为参数,执行与用户手持口令发生器相同的加密操作。将收到的一次性口令与自己生成的结果进行比较,如果相同,则一次性口令认证通过,用户可以进行交易;如果不相同,退出交易流程。
为了避免认证通过后的并线攻击问题,可以将上述流程稍做改动,当用户输入正确的账号和口令就可以进入电话委托***,但只能执行查询等不威胁资金安全的操作。当需要进行股票买卖时再输入一次性口令,进行交易流程,或者下单后输入一次性口令进行用户身份确认。
用户端的手持口令发生器在用户开户时由券商供给,该装置的核心部件是一个生成一次性口令的安全芯片和一个包含用户密钥的IC卡。该装置是一个标准通用设备,除了用户密钥的IC卡外,其余部件均为通用部件,可以批量生产。用户密钥的IC卡与手持口令发生器的关系类似于SIM卡与手机的关系,该卡是用户身份的标识,可以避免由于传输过程的失密事件。通过安全芯片,以用户密钥IC卡为参数,以安全认证服务器随机产生并通过电话传给用户的“口令种子”为输入,产生一个一次性使用的“动态口令”。由于“口令种子”随机产生,所以口令无法预测和跟踪,这就使得用户口令既无法被窃取,而且又能解决常规口令频繁变换所带来的问题。
本方法还可以用作电话委托的数字签名。在用户完成股票交易后,用户可以将股票代码、数量和价格输入口令发生器,口令发生器生成一段数字,此数字可以作为用户股票交易的数字签名。因为该数字是由交易内容作为输入得到的输出,而且用户的密钥是保密的,其它人不可能生成同样的数字信息。券商服务器同样用用户交易的股票代码、数量和价格作为输入,计算出结果,与收到该数字签名进行比较,如果相同则数字签名认证通过。这样可以解决一直困扰券商的交易不可否认问题。
本方法还可以应用于对安全性要求较高的网络证券交易中,由于每次登录时的口令是随机变化的,每个口令只能使用一次,彻底防止了前面提到的各种窃听、重放、假冒、猜测等攻击方式。而用户也省去了记忆各种口令的苦恼。同时本方法在客户端是一个手持装置,与网络物理隔离,安全性大大提高。
本方法还可以将手机改造成数字身份证。将安全芯片集成到手机中,以手机的SIM卡作为用户密钥卡。这样用户的手机就是用户的数字身份证,用户可以利用手机从事各种需要身份认证的电子商务活动。
Claims (2)
1、一种利用一次性口令进行交易认证的方法,其特征在于包括下述步骤:
(a)、在证券公司原有用户数据库中添加用户身份识别码字段,服务器在接收到用户的呼入请求,读入用户的账号和用户开户时预留的6位密码口令,将用户输入的账号和口令与数据库中用户的账号和口令进行比较,如果相同,则初步认证通过,交易过程进入下一步,如果不相同,退出交易流程;
(b)、服务器调用一次性口令种子的生成器,生成一个八位十进制数的口令种子,通过电话语音传送给用户;
(c)、用户将收到的口令种子输入到手持口令发生器,口令发生器以用户密钥为参数进行加密运算,得到口令种子的加密结果,作为手持口令发生器生成的一次性口令;
(d)、用户将手持口令发生器生成的一次性口令通过电话按键回传给服务器,服务器在收到一次性口令后,以发送给用户的口令种子为输入,以用户的密钥为参数,执行与用户手持口令发生器相同的加密操作,得到服务器端的加密结果,将收到的手持口令发生器生成的一次性口令与得到服务器端的加密结果进行比较,如果相同,则一次性口令认证通过,用户可以进行交易,如果不相同,退出交易流程。
2、根据权利要求1所述的利用一次性口令进行交易认证的方法,其特征在于:所述的加密运算,是对加密结果进行选位并转换为二进制数,选取其中的十六位,然后将这十六位二进制数转化为十进制数,作为一次性口令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB011318287A CN100454809C (zh) | 2001-12-20 | 2001-12-20 | 利用一次性口令进行交易认证的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB011318287A CN100454809C (zh) | 2001-12-20 | 2001-12-20 | 利用一次性口令进行交易认证的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1427609A CN1427609A (zh) | 2003-07-02 |
CN100454809C true CN100454809C (zh) | 2009-01-21 |
Family
ID=4670901
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB011318287A Expired - Fee Related CN100454809C (zh) | 2001-12-20 | 2001-12-20 | 利用一次性口令进行交易认证的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100454809C (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100425018C (zh) * | 2004-09-08 | 2008-10-08 | 中国工商银行股份有限公司 | 一种网络中动态加密装置及其口令认证方法 |
CN104104517B (zh) * | 2004-10-15 | 2017-11-07 | 弗里塞恩公司 | 一次性密码验证的方法和*** |
CN101258507B (zh) * | 2005-07-08 | 2011-06-15 | 桑迪士克股份有限公司 | 具有自动化证书装载的大容量存储装置 |
CN101102194B (zh) * | 2007-07-31 | 2010-06-09 | 北京飞天诚信科技有限公司 | 一种otp设备及利用该设备进行身份认证的方法 |
CN101425897B (zh) | 2007-10-29 | 2011-05-18 | 上海交通大学 | 一种用户认证方法、***、服务器和用户节点 |
CN101217512B (zh) * | 2008-01-11 | 2010-08-18 | 腾讯科技(深圳)有限公司 | 客户端状态维护方法、***及应用服务器 |
CN101662458A (zh) * | 2008-08-28 | 2010-03-03 | 西门子(中国)有限公司 | 一种认证方法 |
CN101582763B (zh) * | 2009-04-02 | 2011-05-18 | 北京飞天诚信科技有限公司 | 基于动态口令进行身份认证的方法和*** |
CN101997849A (zh) | 2009-08-18 | 2011-03-30 | 阿里巴巴集团控股有限公司 | 一种互联网用户身份验证的方法、装置及*** |
CN101833625A (zh) * | 2010-05-11 | 2010-09-15 | 上海众烁信息科技有限公司 | 一种基于动态口令的文件及文件夹安全保护方法及*** |
CN103152172B (zh) * | 2011-12-07 | 2017-03-22 | 中国电信股份有限公司 | 一种手机令牌动态口令生成方法、客户端、服务器以及*** |
CN102402773A (zh) * | 2011-12-14 | 2012-04-04 | 王筱雨 | 一种金融交易验证的方法和*** |
CN105052072A (zh) * | 2012-12-28 | 2015-11-11 | 威斯科数据安全国际有限公司 | 远程认证和业务签名 |
US9258304B2 (en) * | 2014-06-27 | 2016-02-09 | Mcafee, Inc. | Methods and apparatus for using keys conveyed via physical contact |
CN104468581B (zh) * | 2014-12-10 | 2018-03-02 | 小米科技有限责任公司 | 登录应用程序的方法及装置 |
CN109104290A (zh) * | 2018-10-26 | 2018-12-28 | 南京航空航天大学 | 一种无需重注册并支持离线认证的动态口令认证方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1240961A (zh) * | 1999-04-29 | 2000-01-12 | 华中理工大学 | 动态电子密码形成方法 |
US6259789B1 (en) * | 1997-12-12 | 2001-07-10 | Safecourier Software, Inc. | Computer implemented secret object key block cipher encryption and digital signature device and method |
-
2001
- 2001-12-20 CN CNB011318287A patent/CN100454809C/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6259789B1 (en) * | 1997-12-12 | 2001-07-10 | Safecourier Software, Inc. | Computer implemented secret object key block cipher encryption and digital signature device and method |
CN1240961A (zh) * | 1999-04-29 | 2000-01-12 | 华中理工大学 | 动态电子密码形成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN1427609A (zh) | 2003-07-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10333721B2 (en) | Secure information transmitting system and method for personal identity authentication | |
CN100454809C (zh) | 利用一次性口令进行交易认证的方法 | |
US8132012B2 (en) | Method and apparatus for the secure identification of the owner of a portable device | |
RU2415470C2 (ru) | Способ создания безопасного кода, способы его использования и программируемое устройство для осуществления способа | |
US8407463B2 (en) | Method of authentication of users in data processing systems | |
US20070170247A1 (en) | Payment card authentication system and method | |
KR100436460B1 (ko) | 불안전한 입력 환경에서 안전한 데이타 전송 | |
US20100153276A1 (en) | Method and system for online payment and identity confirmation with self-setting authentication fomula | |
US20010056409A1 (en) | Offline one time credit card numbers for secure e-commerce | |
US6529886B1 (en) | Authenticating method for an access and/or payment control system | |
CN101216923A (zh) | 提高网上银行交易数据安全性的***及方法 | |
CN101589569A (zh) | 至网络中的客户端设备的安全口令分发 | |
CN102906776A (zh) | 一种用于用户和服务提供商之间双向认证的方法 | |
MX2011010300A (es) | Transacciones seguras utilizando comunicaciones no seguras. | |
CN1416073A (zh) | 自主身份认证方法 | |
CN1642078A (zh) | 一种音频智能卡身份验证***及验证方法 | |
EA016997B1 (ru) | Способ дистанционной аутентификации пользователя в компьютерных сетях для осуществления защищенных транзакций с использованием мобильного телефона | |
CN101179373A (zh) | 可视智能密码钥匙 | |
Vandenwauver et al. | Overview of authentication protocols | |
KR20010093576A (ko) | 인터넷 전자상거래시 신용카드의 일부 번호와 이동 통신단말기 번호를 이용하여 인증 및 지불거래를 하는 방법 | |
EP2862117B1 (en) | Method and system for authenticating messages | |
GB2360617A (en) | Identifying the owner of a card or code, eg credit card | |
KR20060019926A (ko) | 이미지를 이용한 인증시스템 및 인증방법 | |
Goyal et al. | Steganographic authentications in conjunction with face and voice recognition for mobile systems | |
CN102332977A (zh) | 使用服务提供者服务器和认证服务器认证使用者的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090121 Termination date: 20111220 |