CN101102194B - 一种otp设备及利用该设备进行身份认证的方法 - Google Patents
一种otp设备及利用该设备进行身份认证的方法 Download PDFInfo
- Publication number
- CN101102194B CN101102194B CN2007101197727A CN200710119772A CN101102194B CN 101102194 B CN101102194 B CN 101102194B CN 2007101197727 A CN2007101197727 A CN 2007101197727A CN 200710119772 A CN200710119772 A CN 200710119772A CN 101102194 B CN101102194 B CN 101102194B
- Authority
- CN
- China
- Prior art keywords
- otp
- disposal password
- key element
- equipment
- generation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004891 communication Methods 0.000 claims abstract description 31
- 238000004364 calculation method Methods 0.000 claims description 22
- 230000003993 interaction Effects 0.000 description 10
- 230000008676 import Effects 0.000 description 3
- 238000003825 pressing Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种OTP设备及利用该设备进行身份认证的方法,属于信息安全领域。所述OTP设备包括控制模块、OTP生成模块、显示模块、存储模块、触发模块、判断模块和通讯模块。本发明还提供了一种利用OTP设备进行身份认证的方法:OTP设备判断自身的工作状态;OTP设备处于联机工作状态,根据一次性密码生成要素生成一次性密码,并将一次性密码生成要素和一次性密码组成消息包发送给可连接设备;可连接设备根据从消息包中获得的一次性密码生成要素生成新的一次性密码,并比对一次性密码。本发明通过OTP设备将消息包作为最终密码发送给可连接设备,增加了密码破解难度,提高了安全性。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种OTP设备及利用该设备进行身份认证的方法。
背景技术
现在是网络的时代,网上密码安全问题已经成为目前最大的网络安全隐患,在网上银行、网络游戏、支付平台、网上证券交易等各方面,密码无处不在,带给人们更多的安全。但是密码在给人们必要的安全保障的同时,也存在一些问题,一旦密码丢失或被盗,则会带来很多的麻烦。现有技术中时常发生的网络密码被盗,木马病毒,自我保护意识差被网络钓鱼,或者密码被暴力破解等都是造成密码安全问题的因素,为此有必要采取一些密码安全的保障措施,为保护网上密码增设一道屏障。同时,在信息科技日益发达的今天,数据信息的安全性和保密性日益受到人们的重视,但伴随着互联网的发展,越来越多的数据信息和涉及个人隐私和商业秘密的信息通过网络传递,而机密信息在网络间传输容易被黑客截获,由此,无线传输也显得越来越重要,目前常用的无线传输有Bluetoot、Home/SWAP、IEEE802.11等。
在现有技术中,OTP(One Time Password-一次性密码)为表示只对单个会话有效的密码。在使用OTP进行身份认证的过程中,即使OTP被窃听,也无法再次使用OTP进行***登陆,是用户名/口令方式安全性的重要提高。产生OTP的OTP令牌通常的工作方式如下:将OTP(一次性密码)显示在OTP令牌上的内置显示器上;用户必须向主机提供当时显示在OTP令牌上的密码,这通常是通过连接到主机的键盘键入数据来执行的,主机在验证OTP(一次性密码)时,会在接收到OTP的当前时间的一定范围内不停计算,得到OTP(一次性密码),直到与用户输入的一次性密码相同为止,这样不但会增加主机负荷,而且还可能会因为OTP令牌与主机的时间误差,使主机认为OTP令牌失效。现在已存在的OTP设备需要用户手工输入OTP(一次性密码),而OTP(一次性密码)长度一般在6到8个数字,安全性缺少保障。
发明内容
为了兼容现有技术,并在一定条件下解决现有技术中存在的输入不方便及安全性不高的问题,本发明提供了一种OTP设备及利用该设备进行身份认证的方法。
本发明提供的OTP设备包括控制模块、OTP生成模块、显示模块、存储模块、触发模块、判断模块和通讯模块;
所述判断模块与所述控制模块相连,用于判断OTP设备的工作状态;
所述触发模块与所述控制模块相连,用于接收用户发送的触发信息,并根据所述触发信息触发所述OTP生成模块生成OTP;
所述OTP生成模块与所述控制模块相连,用于在接收到所述所述触发模块的触发后,通过所述控制模块获取所述存储模块中存储的OTP生成要素,并根据所述OTP生成要素生成OTP;
所述通讯模块与所述控制模块相连,用于当所述判断模块的判断结果为所述OTP设备处于联机工作状态时,向可连接设备发送含有所述OTP和所述OTP生成要素的消息包,所述消息包用于所述可连接设备根据所述消息包中的所述OTP生成要素生成新的一次性密码,并将所述新的一次性密码和从所述消息包中得到的OTP进行比对,如果相同,则所述OTP设备合法,并根据所述OTP生成要素更新自身存储的OTP生成要素,否则所述OTP设备非法;
所述显示模块与所述控制模块相连,用于当所述判断模块的判断结果为所述OTP设备处于脱机工作状态时,显示所述OTP,所述显示的OTP用于所述可连接设备接收用户通过所述可连接设备的键盘输入的用户个人信息和所述OTP,根据所述用户个人信息生成新的一次性密码,并将所述新的一次性密码和所述OTP进行比对,如果相同,则所述OTP设备合法,否则所述OTP设备非法。
所述触发模块具体为按键或数字键盘。
所述通讯模块具体为USB接口、红外接口、蓝牙接口、并口、串口、射频接口和eSATA接口中的至少一个。
本发明还提供了一种利用OTP设备进行身份认证的方法,所述方法包括:
OTP设备判断自身的工作状态;
如果所述OTP设备处于联机工作状态,用户向所述OTP设备发送触发信息,所述OTP设备收到所述触发信息后,根据自身存储的OTP生成要素生成一次性密码,并向可连接设备发送含有所述一次性密码和所述OTP生成要素的消息包;所述可连接设备根据所述消息包中的所述OTP生成要素生成新的一次性密码,并将所述新的一次性密码和从所述消息包中得到的一次性密码进行比对,如果相同,则所述OTP设备合法,并根据所述OTP生成要素更新自身存储的一次性密码生成要素,否则所述OTP设备非法;
如果所述OTP设备处于脱机工作状态,用户向所述OTP设备发送触发信息,所述OTP设备收到所述触发信息后,根据自身存储的OTP生成要素生成并显示一次性密码,用户通过可连接设备的键盘输入用户个人信息和所述一次性密码,所述可连接设备根据接收到的用户个人信息生成新的一次性密码,并将所述新的一次性密码和接收到的一次性密码进行比对,如果相同,则所述OTP设备合法,否则所述OTP设备非法。
所述根据自身存储的一次性密码生成要素生成一次性密码的步骤还包括:所述可连接设备验证所述OTP设备持有者的身份。
所述用户向所述OTP设备发送触发信息的步骤具体为:用户按下所述OTP设备上的触发按键。
所述用户向所述OTP设备发送触发信息的步骤具体为:用户通过所述OTP设备上的数字键盘输入多位数字。
所述根据自身存储的一次性密码生成要素生成一次性密码,并向可连接设备发送含有所述一次性密码的消息包的步骤具体为:所述OTP设备根据自身存储的一次性密码生成要素生成一次性密码,并将所述一次性密码生成要素和一次性密码组成消息包,向可连接设备发送所述消息包。
所述可连接设备根据所述消息包生成新的一次性密码的步骤具体为:所述可连接设备从所述消息包中解析出所述一次性密码生成要素和一次性密码,根据所述一次性密码生成要素生成新的一次性密码。
所述根据所述一次性密码生成要素生成新的一次性密码的步骤具体为:所述可连接设备将解析得到的一次性密码生成要素与当前自身存储的一次性密码生成要素进行比较,如果解析得到的一次性密码生成要素中的生成一次性密码的次数值或生成一次性密码的时间大于自身存储的生成一次性密码的次数值或生成一次性密码的时间,则所述可连接设备根据解析得到的一次性密码生成要素生成新的一次性密码,否则,所述可连接设备提示认证失败。
所述更新自身存储的一次性密码生成要素的步骤具体为:所述可连接设备用解析得到的一次性密码生成要素替换当前自身存储的一次性密码生成要素。
所述根据自身存储的一次性密码生成要素生成一次性密码,并向可连接设备发送含有所述一次性密码的消息包的步骤具体为:所述OTP设备根据自身存储的一次性密码生成要素生成一次性密码,并对所述一次性密码生成要素进行加密运算,将加密运算结果和所述一次性密码组成消息包,向可连接设备发送所述消息包。
所述可连接设备根据所述消息包生成新的一次性密码的步骤具体为:所述可连接设备从所述消息包中解析出所述一次性密码和加密运算结果,并对所述加密运算结果解密得到所述一次性密码生成要素,根据所述一次性密码生成要素生成新的一次性密码。
所述根据所述一次性密码生成要素生成新的一次性密码的步骤具体为:所述可连接设备将解密得到的一次性密码生成要素与当前自身存储的一次性密码生成要素进行比较,如果解密得到的一次性密码生成要素中的生成一次性密码的次数值或生成一次性密码的时间大于自身存储的生成一次性密码的次数值或生成一次性密码的时间,则所述可连接设备根据解密得到的一次性密码生成要素生成新的一次性密码,否则,所述可连接设备提示认证失败。
所述更新自身存储的一次性密码生成要素的步骤具体为:所述可连接设备用解密得到的一次性密码生成要素替换当前自身存储的一次性密码生成要素。
所述加密运算的算法为双向算法,所述双向算法包括DES、3DES或RC4。
所述可连接设备根据接收到的用户个人信息生成新的一次性密码的步骤具体为:所述可连接设备根据接收到的用户个人信息检索到一次性密码生成要素,并根据所述一次性密码生成要素生成新的一次性密码。
所述一次性密码生成要素包括生成一次性密码的次数值、生成一次性密码的时间或随机数。
所述OTP设备通过USB接口、红外接口、蓝牙接口、并口、串口、射频接口或eSATA接口与所述可连接设备连接。
有益效果:本发明提供的OTP设备产生的一次性密码不需要用户手工输入,直接传送给可连接设备,方便用户使用;本发明提供的OTP设备将加密的OTP生成要素和生成的OTP组合成消息包一同作为最终密码发送给可连接设备,这样增加了密码破解难度,提高了安全性;本发明提供的OTP设备与可连接设备生成OTP的次数值或生成OTP的时间自动同步,避免了主机盲目地一次次计算一次性密码,同时还可以阻止重放攻击。
附图说明
图1是本发明提供的OTP设备的结构图;
图2是本发明提供的无线式利用OTP设备进行身份认证的原理框图;
图3是本发明提供的无线式利用OTP设备进行身份认证的方法的流程图;
图4是本发明提供的有线式利用OTP设备进行身份认证的原理框图;
图5是本发明提供的有线式利用OTP设备进行身份认证的方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
如图1所示,本发明实施例提供的一种OTP设备108,该OTP设备108包括通讯模块102、存储模块101、控制模块103、OTP生成模块104、判断模块105、显示模块106和触发模块107;
通讯模块102与控制模块103相连,用于进行通讯协议的解析,建立并实现OTP设备108与外部可连接设备之间的连接及信息交互;通讯模块102可以为USB接口、红外接口、蓝牙接口、并口、串口、射频接口和eSATA接口中的至少一个;
存储模块101与控制模块103相连,用于存储OTP设备108生成OTP的次数值、生成OTP的时间或随机数;
OTP生成模块104与控制模块103相连,用于生成OTP;
判断模块105与控制模块103相连,用于在OTP设备108工作前,通过检测OTP设备108的收发信号,来判断OTP设备108是处于联机工作状态还是处于脱机工作状态;
显示模块106与控制模块103相连,用于在OTP设备108的内置显示器上显示OTP生成模块104生成的OTP;
触发模块107与控制模块103相连,用于通过控制模块103触发OTP生成模块104生成OTP;触发模块107可以采用按键来实现,用户通过按动按键来触发OTP设备108生成OTP;触发模块107还可以采用数字键盘来实现,用户通过数字键盘输入多个数字来触发OTP设备108生成OTP;
控制模块103用于控制通讯模块102、存储模块101、OTP生成模块104、判断模块105、显示模块106和触发模块107之间的信息交互,控制OTP设备108和可连接设备之间的信息交互。
在实际应用中,OTP设备可以通过无线方式或有线方式与可连接设备进行信息交互。OTP设备可以通过但不限于红外信号、蓝牙信号、无线USB信号、非接触智能卡通讯信号、光波信号或射频信号与可连接设备进行无线信息交互;OTP设备还可以通过但不限于USB接口、并口、串口、射频接口或eSATA接口与可连接设备进行信息交互。可连接设备可以但不限于是读卡器、通讯设备、数码相机、主机、主机外设、通过网络连接的服务器或其它专用设备。
下面分别以OTP设备通过无线方式和有线方式与可连接设备进行信息交互为例,可连接设备可以但不限于是读卡器、通讯设备、数码相机、主机、主机外设、通过网络连接的服务器或其它专用设备,来阐述本发明实施例提供的利用OTP设备进行身份认证的方法。
实施例一
OTP设备通过无线方式与可连接设备进行信息交互,其中,可连接设备为主机,OTP设备与无线信息读取设备连接,无线信息读取设备通过网络与远程主机连接,本发明实施例提供的利用OTP设备进行身份认证的方法具体包括以下步骤,如图2和图3所示:
步骤201:OTP设备发送查找主机的无线信号;
步骤202:OTP设备判断是否接收到来自主机的反馈信号,如果是,则执行步骤203,否则,执行步骤213;
如果OTP设备接收到来自主机的反馈信号,那么说明OTP设备处于联机工作状态;如果OTP设备没有接收到来自主机的反馈信号,那么说明OTP设备处于脱机工作状态;
步骤203:用户向OTP设备发送触发信息,OTP设备收到触发信息后,OTP生成模块通过控制模块获取存储模块中存储的OTP生成要素;
用户可以通过按下OTP设备上的触发按键来向OTP设备发送触发信息,还可以通过OTP设备上的数字键盘输入多位数字来向OTP设备发送触发信息;
OTP生成要素包括生成OTP的次数值、生成OTP的时间或随机数;本实施例OTP生成要素以生成OTP的次数值为例来说明;
步骤204:OTP生成模块对获取到的OTP生成要素中的生成OTP的次数值进行累加,得到新的生成OTP的次数值,并根据该新的生成OTP的次数值计算生成OTP;
步骤205:OTP生成模块将新的生成OTP的次数值和生成的OTP发送给控制模块;
步骤206:控制模块将新的生成OTP的次数值发送给存储模块,并对新的生成OTP的次数值进行加密运算;
加密运算的算法是双向算法,双向算法可以为但不限于DES、3DES或RC4等;
步骤207:控制模块将加密运算结果及生成的OTP组成消息包,并通过通讯模块将该消息包发送给无线信息读取设备;
通讯模块通过无线方式与无线信息读取设备进行通讯,通讯模块可以为但不限于红外接口、蓝牙接口等;
步骤208:无线信息读取设备接收到消息包后,将该消息包发送给主机;
步骤209:主机从收到的消息包中解析出加密运算结果和OTP,对加密运算结果解密,得到新的生成OTP的次数值,并将该新的生成OTP的次数值与自身存储的生成OTP的次数值进行比较,如果新的生成OTP的次数值大于自身存储的生成OTP的次数值,则执行步骤210,否则执行212;
步骤210:主机根据解密得到的新的生成OTP的次数值生成新的OTP,将新的OTP和从消息包中解析得到的OTP进行比对,如果两个OTP相同,则执行步骤211,否则执行步骤212;
步骤211:主机提示OTP正确,允许OTP设备持有者登录,并更新自身存储的OTP生成要素;
主机更新自身存储的OTP生成要素具体为:主机用解密得到的OTP生成要素替换当前自身存储的OTP生成要素,针对本实施例主机用解密得到的新的生成OTP的次数值替换自身存储的生成OTP的次数值;
步骤212:主机提示OTP出错,拒绝OTP设备持有者登录;
步骤213:OTP生成模块生成OTP;
步骤214:OTP设备持有者通过主机键盘输入OTP设备上的内置显示器显示出的OTP和用户个人信息;
步骤215:主机根据收到的用户个人信息生成新的OTP,并将该新的OTP和接收到的OTP进行比对,如果两个OTP相同,则执行步骤216,否则执行步骤212;
步骤216:主机提示OTP正确,允许OTP设备持有者登录。
另外,控制模块还可以直接将新的生成OTP的次数值和生成的OTP组成信息包,发送给主机,而不需要对新的生成OTP的次数值进行加密运算后,再和生成的OTP组成信息包。采用这种方案实现本发明利用OTP设备进行身份认证的方法与本实施例基本相同,只是步骤206、207、209、210和211有所不同,206、207、209、210和211相应变为:
步骤206′:控制模块将新的生成OTP的次数值发送给存储模块;
步骤207′:控制模块将新的生成OTP的次数值及生成的OTP组成消息包,并通过通讯模块将该消息包发送给无线信息读取设备;
通讯模块通过无线方式与无线信息读取设备进行通讯,通讯模块可以为但不限于红外接口、蓝牙接口等;
步骤209′:主机从收到的消息包中解析出新的生成OTP的次数值和OTP,并将该新的生成OTP的次数值与自身存储的生成OTP的次数值进行比较,如果新的生成OTP的次数值大于自身存储的生成OTP的次数值,则执行步骤210′,否则执行212;
步骤210′:主机根据解析得到的新的生成OTP的次数值生成新的OTP,将新的OTP和从消息包中解析得到的OTP进行比对,如果两个OTP相同,则执行步骤211′,否则执行步骤212;
步骤211′:主机提示OTP正确,允许OTP设备持有者登录,并更新自身存储的OTP生成要素;
主机更新自身存储的OTP生成要素具体为:主机用解析得到的OTP生成要素替换当前自身存储的OTP生成要素,针对本实施例主机用解析得到的新的生成OTP的次数值替换自身存储的生成OTP的次数值;
本实施例中的OTP生成要素是以生成OTP的次数值为例来进行说明的,在实际应用中,还可以用生成OTP的时间来作为OTP生成要素,采用生成OTP的时间作为OTP生成要素来实现本发明利用OTP设备进行身份认证的方法与本实施例完全一样,这里不再赘述。
实施例二
OTP设备通过有线方式与可连接设备进行信息交互,其中可连接设备为主机,OTP设备通过USB接口与主机进行信息交互,本发明实施例提供的利用OTP设备进行身份认证的方法具体包括以下步骤,如图4和图5所示:
步骤301:OTP设备发送查找主机的信号;
步骤302:OTP设备判断是否接收到来自主机的反馈信号,如果是,则执行步骤303,否则执行步骤312;
如果OTP设备接收到来自主机的反馈信号,那么说明OTP设备处于联机工作状态;如果OTP设备没有接收到来自主机的反馈信号,那么说明OTP设备处于脱机工作状态;
步骤303:用户向OTP设备发送触发信息,OTP设备收到触发信息后,OTP生成模块通过控制模块获取存储模块中存储的OTP生成要素;
用户可以通过按下OTP设备上的触发按键来向OTP设备发送触发信息,还可以通过OTP设备上的数字键盘输入多位数字来向OTP设备发送触发信息;
OTP生成要素包括生成OTP的次数值、生成OTP的时间或随机数;本实施例OTP生成要素以生成OTP的次数值为例来说明;
步骤304:OTP生成模块对获取到的OTP生成要素中的生成OTP的次数值进行累加,得到新的生成OTP的次数值,并根据该新的生成OTP的次数值计算生成OTP;
步骤305:OTP生成模块将新的生成OTP的次数值和生成的OTP发送给控制模块;
步骤306:控制模块将新的生成OTP的次数值发送给存储模块,并对新的生成OTP的次数值进行加密运算;
加密运算的算法是双向算法,双向算法可以为但不限于DES、3DES或RC4等;
步骤307:控制模块将加密运算结果及生成的OTP组成消息包,并通过通讯模块将该消息包发送给主机;
通讯模块通过有线方式与主机进行通讯,通讯模块可以为但不限于USB接口、并口、串口或eSATA接口等;
步骤308:主机从收到的消息包中解析出加密运算结果和OTP,对加密运算结果解密,得到新的生成OTP的次数值,并将新的生成OTP的次数值与自身存储的生成OTP的次数值进行比较,如果新的生成OTP的次数值大于自身存储的生成OTP的次数值,则执行步骤309,否则执行步骤311;
步骤309:主机根据解密得到的新的生成OTP的次数值生成新的OTP,将新的OTP和从消息包中解析得到的OTP进行比对,如果两个OTP相同,则执行步骤310,否则执行步骤311;
步骤310:主机提示OTP正确,允许OTP设备持有者登录,并更新自身存储的OTP生成要素;
主机更新自身存储的OTP生成要素具体为:主机用解密得到的OTP生成要素替换当前自身存储的OTP生成要素,针对本实施例主机用解密得到的新的生成OTP的次数值替换自身存储的生成OTP的次数值;
步骤311:主机提示OTP错误,拒绝OTP设备持有者登录;
步骤312:OTP生成模块生成OTP;
步骤313:OTP设备持有者通过主机键盘输入OTP设备上的内置显示器显示出的OTP和用户个人信息;
步骤314:主机根据收到的用户个人信息生成新的OTP,并将该新的OTP和接收到的OTP进行比对,如果两个OTP相同,则执行步骤315,否则执行步骤311;
步骤315:主机提示OTP正确,允许OTP设备持有者登录。
另外,控制模块还可以直接将新的生成OTP的次数值和生成的OTP组成信息包,发送给主机,而不需要对新的生成OTP的次数值进行加密运算后,再和生成的OTP组成信息包。采用这种方案实现本发明利用OTP设备进行身份认证的方法与本实施例基本相同,只是步骤306、307、308、309和310有所不同,306、307、308、309和310相应变为:
步骤306′:控制模块将新的生成OTP的次数值发送给存储模块;
步骤307′:控制模块将新的生成OTP的次数值及生成的OTP组成消息包,并通过通讯模块将该消息包发送给无线信息读取设备;
通讯模块通过无线方式与无线信息读取设备进行通讯,通讯模块可以为但不限于红外接口、蓝牙接口等;
步骤308′:主机从收到的消息包中解析出新的生成OTP的次数值和OTP,并将该新的生成OTP的次数值与自身存储的生成OTP的次数值进行比较,如果新的生成OTP的次数值大于自身存储的生成OTP的次数值,则执行步骤309′,否则执行311;
步骤309′:主机根据解析得到的新的生成OTP的次数值生成新的OTP,将新的OTP和从消息包中解析得到的OTP进行比对,如果两个OTP相同,则执行步骤310′,否则执行步骤311;
步骤310′:主机提示OTP正确,允许OTP设备持有者登录,并更新自身存储的OTP生成要素;
主机更新自身存储的OTP生成要素具体为:主机用解析得到的OTP生成要素替换当前自身存储的OTP生成要素,针对本实施例主机用解析得到的新的生成OTP的次数值替换自身存储的生成OTP的次数值;
本实施例中的OTP生成要素是以生成OTP的次数值为例来进行说明的,在实际应用中,还可以用生成OTP的时间来作为OTP生成要素,采用生成OTP的时间作为OTP生成要素来实现本发明利用OTP设备进行身份认证的方法与本实施例完全一样,这里不再赘述。
为了进一步增加身份认证的安全性,在OTP设备生成OTP之前,主机还可以验证OTP设备持有者的身份,验证方式可以为PIN码验证、指纹或虹膜验证等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (19)
1.一种OTP设备,其特征在于,所述设备包括控制模块、OTP生成模块、显示模块、存储模块、触发模块、判断模块和通讯模块;
所述判断模块与所述控制模块相连,用于判断OTP设备的工作状态;
所述触发模块与所述控制模块相连,用于接收用户发送的触发信息,并根据所述触发信息触发所述OTP生成模块生成OTP;
所述OTP生成模块与所述控制模块相连,用于在接收到所述所述触发模块的触发后,通过所述控制模块获取所述存储模块中存储的OTP生成要素,并根据所述OTP生成要素生成OTP;
所述通讯模块与所述控制模块相连,用于当所述判断模块的判断结果为所述OTP设备处于联机工作状态时,向可连接设备发送含有所述OTP和所述OTP生成要素的消息包,所述消息包用于所述可连接设备根据所述消息包中的所述OTP生成要素生成新的一次性密码,并将所述新的一次性密码和从所述消息包中得到的OTP进行比对,如果相同,则所述OTP设备合法,并根据所述OTP生成要素更新自身存储的OTP生成要素,否则所述OTP设备非法;
所述显示模块与所述控制模块相连,用于当所述判断模块的判断结果为所述OTP设备处于脱机工作状态时,显示所述OTP,所述显示的OTP用于所述可连接设备接收用户通过所述可连接设备的键盘输入的用户个人信息和所述OTP,根据所述用户个人信息生成新的一次性密码,并将所述新的一次性密码和所述OTP进行比对,如果相同,则所述OTP设备合法,否则所述OTP设备非法。
2.如权利要求1所述的OTP设备,其特征在于,所述触发模块具体为按键或数字键盘。
3.如权利要求1所述的OTP设备,其特征在于,所述通讯模块具体为USB接口、红外接口、蓝牙接口、并口、串口、射频接口和eSATA接口中的至少一个。
4.一种利用OTP设备进行身份认证的方法,其特征在于,所述方法包括:
OTP设备判断自身的工作状态;
如果所述OTP设备处于联机工作状态,用户向所述OTP设备发送触发信息,所述OTP设备收到所述触发信息后,根据自身存储的OTP生成要素生成一次性密码,并向可连接设备发送含有所述一次性密码和所述OTP生成要素的消息包;所述可连接设备根据所述消息包中的所述OTP生成要素生成新的一次性密码,并将所述新的一次性密码和从所述消息包中得到的一次性密码进行比对,如果相同,则所述OTP设备合法,并根据所述OTP生成要素更新自身存储的一次性密码生成要素,否则所述OTP设备非法;
如果所述OTP设备处于脱机工作状态,用户向所述OTP设备发送触发信息,所述OTP设备收到所述触发信息后,根据自身存储的OTP生成要素生成并显示一次性密码,用户通过可连接设备的键盘输入用户个人信息和所述一次性密码,所述可连接设备根据接收到的用户个人信息生成新的一次性密码,并将所述新的一次性密码和接收到的一次性密码进行比对,如果相同,则所述OTP设备合法,否则所述OTP设备非法。
5.如权利要求4所述的利用OTP设备进行身份认证的方法,其特征在于,所述根据自身存储的一次性密码生成要素生成一次性密码的步骤还包括:所述可连接设备验证所述OTP设备持有者的身份。
6.如权利要求4所述的利用OTP设备进行身份认证的方法,其特征在于,所述用户向所述OTP设备发送触发信息的步骤具体为:用户按下所述OTP设备上的触发按键。
7.如权利要求4所述的利用OTP设备进行身份认证的方法,其特征在于,所述用户向所述OTP设备发送触发信息的步骤具体为:用户通过所述OTP设备上的数字键盘输入多位数字。
8.如权利要求4所述的利用OTP设备进行身份认证的方法,其特征在于,所述根据自身存储的一次性密码生成要素生成一次性密码,并向可连接设备发送含有所述一次性密码的消息包的步骤具体为:所述OTP设备根据自身存储的一次性密码生成要素生成一次性密码,并将所述一次性密码生成要素和一次性密码组成消息包,向可连接设备发送所述消息包。
9.如权利要求8所述的利用OTP设备进行身份认证的方法,其特征在于,所述可连接设备根据所述消息包生成新的一次性密码的步骤具体为:所述可连接设备从所述消息包中解析出所述一次性密码生成要素和一次性密码,根据所述一次性密码生成要素生成新的一次性密码。
10.如权利要求9所述的利用OTP设备进行身份认证的方法,其特征在于,所述根据所述一次性密码生成要素生成新的一次性密码的步骤具体为:所述可连接设备将解析得到的一次性密码生成要素与当前自身存储的一次性密码生成要素进行比较,如果解析得到的一次性密码生成要素中的生成一次性密码的次数值或生成一次性密码的时间大于自身存储的生成一次性密码的次数值或生成一次性密码的时间,则所述可连接设备根据解析得到的一次性密码生成要素生成新的一次性密码,否则,所述可连接设备提示认证失败。
11.如权利要求10所述的利用OTP设备进行身份认证的方法,其特征在于,所述更新自身存储的一次性密码生成要素的步骤具体为:所述可连接设备用解析得到的一次性密码生成要素替换当前自身存储的一次性密码生成要素。
12.如权利要求4所述的利用OTP设备进行身份认证的方法,其特征在于,所述根据自身存储的一次性密码生成要素生成一次性密码,并向可连接设备发送含有所述一次性密码的消息包的步骤具体为:所述OTP设备根据自身存储的一次性密码生成要素生成一次性密码,并对所述一次性密码生成要素进行加密运算,将加密运算结果和所述一次性密码组成消息包,向可连接设备发送所述消息包。
13.如权利要求12所述的利用OTP设备进行身份认证的方法,其特征在于,所述可连接设备根据所述消息包生成新的一次性密码的步骤具体为:所述可连接设备从所述消息包中解析出所述一次性密码和加密运算结果,并对所述加密运算结果解密得到所述一次性密码生成要素,根据所述一次性密码生成要素生成新的一次性密码。
14.如权利要求13所述的利用OTP设备进行身份认证的方法,其特征在于,所述根据所述一次性密码生成要素生成新的一次性密码的步骤具体为:所述可连接设备将解密得到的一次性密码生成要素与当前自身存储的一次性密码生成要素进行比较,如果解密得到的一次性密码生成要素中的生成一次性密码的次数值或生成一次性密码的时间大于自身存储的生成一次性密码的次数值或生成一次性密码的时间,则所述可连接设备根据解密得到的一次性密码生成要素生成新的一次性密码,否则,所述可连接设备提示认证失败。
15.如权利要求14所述的利用OTP设备进行身份认证的方法,其特征在于,所述更新自身存储的一次性密码生成要素的步骤具体为:所述可连接设备用解密得到的一次性密码生成要素替换当前自身存储的一次性密码生成要素。
16.如权利要求12所述的利用OTP设备进行身份认证的方法,其特征在于,所述加密运算的算法为双向算法,所述双向算法包括DES、3DES或RC4。
17.如权利要求4所述的利用OTP设备进行身份认证的方法,其特征在于,所述可连接设备根据接收到的用户个人信息生成新的一次性密码的步骤具体为:所述可连接设备根据接收到的用户个人信息检索到一次性密码生成要素,并根据所述一次性密码生成要素生成新的一次性密码。
18.如权利要求4所述的利用OTP设备进行身份认证的方法,其特征在于,所述一次性密码生成要素包括生成一次性密码的次数值、生成一次性密码的时间或随机数。
19.如权利要求4所述的利用OTP设备进行身份认证的方法,其特征在于,所述OTP设备通过USB接口、红外接口、蓝牙接口、并口、串口、射频接口或eSATA接口与所述可连接设备连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101197727A CN101102194B (zh) | 2007-07-31 | 2007-07-31 | 一种otp设备及利用该设备进行身份认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101197727A CN101102194B (zh) | 2007-07-31 | 2007-07-31 | 一种otp设备及利用该设备进行身份认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101102194A CN101102194A (zh) | 2008-01-09 |
| CN101102194B true CN101102194B (zh) | 2010-06-09 |
Family
ID=39036303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101197727A Active CN101102194B (zh) | 2007-07-31 | 2007-07-31 | 一种otp设备及利用该设备进行身份认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101102194B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101576945B (zh) * | 2008-12-31 | 2012-12-12 | 飞天诚信科技股份有限公司 | 多功能读卡器及其实现方法 |
| CN101789864B (zh) * | 2010-02-05 | 2012-10-10 | 中国工商银行股份有限公司 | 一种网上银行后台身份认证方法、装置及*** |
| CN102130767B (zh) * | 2011-01-25 | 2013-02-13 | 飞天诚信科技股份有限公司 | 一种实现动态令牌通信的***及方法 |
| CN102521540A (zh) * | 2011-12-09 | 2012-06-27 | 上海华勤通讯技术有限公司 | 电子设备认证***及其认证方法 |
| CN104202299A (zh) * | 2014-08-06 | 2014-12-10 | 北京中金国信科技有限公司 | 基于蓝牙的身份认证***及其方法 |
| CN104168329A (zh) * | 2014-08-28 | 2014-11-26 | 尚春明 | 云计算及互联网中的用户二次认证方法、装置和*** |
| CN105357186B (zh) * | 2015-10-10 | 2018-10-19 | 江苏通付盾科技有限公司 | 一种基于带外验证和增强otp机制的二次认证方法 |
| CN106921498B (zh) * | 2015-12-28 | 2019-09-20 | 腾讯科技(深圳)有限公司 | 虚拟资源的安全处理方法、装置和*** |
| CN106530470A (zh) * | 2016-12-14 | 2017-03-22 | 余仁植 | 一种车辆解锁方法、锁定解锁装置、车辆及车辆*** |
| CN106789079A (zh) * | 2016-12-30 | 2017-05-31 | 余仁植 | 身份认证方法、一次性密码电子装置和*** |
| CN106953726A (zh) * | 2017-02-14 | 2017-07-14 | 上海林果实业股份有限公司 | 一种消息认证方法、消息认证装置和上位机 |
| CN107403486A (zh) * | 2017-06-28 | 2017-11-28 | 宁波久婵物联科技有限公司 | 一种电子锁的一次性密码验证方法 |
| US10542036B1 (en) * | 2018-10-02 | 2020-01-21 | Capital One Services, Llc | Systems and methods for signaling an attack on contactless cards |
| KR102499614B1 (ko) * | 2018-10-30 | 2023-02-13 | 삼성전자주식회사 | 호스트 장치, 저장 장치, 이들을 포함하는 vuc 인증 시스템 및 vuc 인증 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1427609A (zh) * | 2001-12-20 | 2003-07-02 | 西北工业大学 | 一次性口令及交易认证方法 |
| CN1610293A (zh) * | 2004-11-19 | 2005-04-27 | 陈智敏 | 手机应用程序进行一次性口令***登录口令计算的方法 |
-
2007
- 2007-07-31 CN CN2007101197727A patent/CN101102194B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1427609A (zh) * | 2001-12-20 | 2003-07-02 | 西北工业大学 | 一次性口令及交易认证方法 |
| CN1610293A (zh) * | 2004-11-19 | 2005-04-27 | 陈智敏 | 手机应用程序进行一次性口令***登录口令计算的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101102194A (zh) | 2008-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101102194B (zh) | 一种otp设备及利用该设备进行身份认证的方法 | |
| EP2220840B1 (en) | Method of authentication of users in data processing systems | |
| CN101340436B (zh) | 基于便携式存储设备实现远程访问控制的方法及装置 | |
| EP2424185B1 (en) | Method and device for challenge-response authentication | |
| CN102215221B (zh) | 从移动设备对计算机的安全远程唤醒、引导及登录的方法和*** | |
| US8214888B2 (en) | Two-factor USB authentication token | |
| EP2252961B1 (en) | A strong authentication token generating one-time passwords and signatures upon server credential verification | |
| US20120066749A1 (en) | Method and computer program for generation and verification of otp between server and mobile device using multiple channels | |
| CN102148685B (zh) | 一种由用户自定义多密码种子动态密码认证*** | |
| CN100590639C (zh) | 用于管理多个智能卡会话的***和方法 | |
| EP2932428B1 (en) | Method of allowing establishment of a secure session between a device and a server | |
| CN101815091A (zh) | 密码提供设备、密码认证***和密码认证方法 | |
| CN1977559B (zh) | 保护在用户之间进行通信期间交换的信息的方法和*** | |
| JP2009510644A (ja) | 安全な認証のための方法及び構成 | |
| CN101641976A (zh) | 认证方法 | |
| US20100223479A1 (en) | Method for Protection of A Chip Card From Unauthorized Use, Chip Card and Chip Card Terminal | |
| CN103036681B (zh) | 一种密码安全键盘装置及*** | |
| CN101488111A (zh) | 一种身份认证方法和*** | |
| CN101944216A (zh) | 双因子在线交易安全认证方法及*** | |
| US20120284787A1 (en) | Personal Secured Access Devices | |
| CN102025748A (zh) | 获取Kerberos认证方式的用户名的方法、装置和*** | |
| Khan et al. | Offline OTP based solution for secure internet banking access | |
| CN102227106A (zh) | 智能密钥设备与计算机进行通信的方法和*** | |
| CN107786978B (zh) | 基于量子加密的nfc认证*** | |
| CN201717885U (zh) | 密码提供设备和密码认证*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: FEITIAN TECHNOLOGIES CO., LTD. Free format text: FORMER NAME: BEIJING FEITIAN CHENGXIN SCIENCE + TECHNOLOGY CO. LTD. |
|
| CP03 | Change of name, title or address |
Address after: 100085 Beijing city Haidian District Xueqing Road No. 9 Ebizal building B block 17 layer Patentee after: Feitian Technologies Co.,Ltd. Address before: 100083, Haidian District, Xueyuan Road, No. 40 research, 7 floor, 5 floor, Beijing Patentee before: FEITIAN TECHNOLOGIES Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 17th floor, building B, Huizhi building, No.9, Xueqing Road, Haidian District, Beijing 100085 Patentee after: Feitian Technologies Co.,Ltd. Country or region after: China Address before: 100085 17th floor, block B, Huizhi building, No.9 Xueqing Road, Haidian District, Beijing Patentee before: Feitian Technologies Co.,Ltd. Country or region before: China |