一種身份認證方法、裝置及系統(tǒng)的制作方法

文檔序號：7747587閱讀：122來源：國知局

專利名稱：一種身份認證方法、裝置及系統(tǒng)的制作方法
技術領域：
本發(fā)明涉及信息安全技術領域，特別涉及一種身份認證方法、裝置及系統(tǒng)。

背景技術：
傳統(tǒng)的銀行卡大多為磁條卡片或IC卡(接觸、非接觸)，卡片外觀為符合國際標準的長方形塑料卡片，用戶在進行交易時，需要在讀寫器上讀取卡片上磁條或IC卡內(nèi)芯片記錄的信息進行支付，同時需要用戶輸入靜態(tài)密碼進行身份認證。
隨著網(wǎng)絡支付、移動支付業(yè)務的快速增長，很多應用將智能卡嵌入帶有鍵盤、顯示屏幕的設備，實現(xiàn)了靈活多樣的支付方式。例如，目前一種很高頻率的射頻IC卡裝置，包括 IC器件、射頻接口器件、射頻天線、IC卡接口和射頻接口，將該裝置放置在移動設備中通過射頻進行通信。但是，由于不同移動設備的結構、外型均不相同，當該裝置放置在帶有金屬外殼的移動設備中時，由于金屬外殼的屏蔽作用，使得移動設備無法通過無線射頻信號與外界進行通信。
另有專利提供了一種利用移動通信終端進行費用支付的身份認證方法，移動支付平臺在移動通信終端用戶注冊時，為該移動通信終端用戶分配圖形標識信息并保存，商戶終端獲得要進行費用支付的移動通信終端用戶的圖形標識信息，并將該圖形標識信息發(fā)送給移動支付平臺進行身份認證，該方法雖然簡單易用，但是，隨著手機等移動平臺上病毒的泛濫，該方法并不能保證在安全的環(huán)境下進行支付；另外，該圖形標識信息只帶有靜態(tài)的認證信息，一旦圖形丟失將會造成用戶信息全部遺失，給用戶帶來經(jīng)濟損失。

發(fā)明內(nèi)容
為了克服現(xiàn)有技術中的缺陷，增強支付以及其他場合過程中認證的安全性，本發(fā)明提供了一種更加安全、便捷的身份認證方法、裝置及系統(tǒng)。
本發(fā)明提供了一種身份認證方法，所述方法包括將個人身份認證信息綁定；
根據(jù)第一認證因子和第一密鑰生成第一動態(tài)口令；將所述個人身份認證信息和第一動態(tài)口令轉換為認證圖形；從所述認證圖形中提取出所述個人身份認證信息和第一動態(tài)口令；驗證所述第一動態(tài)口令；根據(jù)驗證結果，確定所述個人身份認證信息是否通過認證。
在將所述個人身份認證信息和第一動態(tài)口令轉換為認證圖形的步驟之前還包括將所述個人身份認證信息和第一動態(tài)口令進行加密；
相應地，在從所述認證圖形中提取出所述個人身份認證信息和第一動態(tài)口令的步驟之后還包括將所述個人身份認證信息和第一動態(tài)口令進行解密。
所述驗證所述第一動態(tài)口令；根據(jù)驗證結果，確定所述個人身份認證信息是否通過認證的步驟具體包括
根據(jù)所述個人身份認證信息查找到與其相對應的第二密鑰和第二認證因子；所述第二密鑰與第一密鑰相同，所述第二認證因子與第一認證因子相同；根據(jù)所述第二密鑰和第二認證因子生成第二動態(tài)口令；
比對所述第一動態(tài)口令和第二動態(tài)口令是否匹配，如果匹配，則所述個人身份認證信息認證成功，否則認證失敗。
本發(fā)明提供了一種身份認證裝置，所述裝置包括
存儲模塊，用于存儲個人身份認證信息、第一認證因子、第一密鑰、動態(tài)口令生成算法和認證圖形編碼算法；
生成模塊，用于利用所述動態(tài)口令生成算法，根據(jù)所述存儲模塊中的第一認證因子和第一密鑰生成第一動態(tài)口令，發(fā)送所述第一動態(tài)口令；
轉換模塊，用于接收所述第一動態(tài)口令，并利用所述認證圖形編碼算法將所述存儲模塊中的個人身份認證信息和第一動態(tài)口令轉換為認證圖形。
所述存儲模塊還存儲加密密鑰和加密算法；所述轉換模塊包括
加密單元，用于接收所述第一動態(tài)口令，利用所述加密密鑰和加密算法對所述存儲模塊中的個人身份認證信息和第一動態(tài)口令加密，并發(fā)送加密后的個人身份認證信息和第一動態(tài)口令；
轉換單元，用于接收所述加密后的個人身份認證信息和第一動態(tài)口令，并利用所述認證圖形編碼算法將所述加密后的個人身份認證信息和第一動態(tài)口令轉換為認證圖形。
所述存儲模塊中的個人身份認證信息、第一密鑰和加密密鑰不能被外部讀取。
本發(fā)明還提供了一種身份認證系統(tǒng)，所述系統(tǒng)包括
安全芯片，用于存儲個人身份認證信息、第一認證因子、第一密鑰、動態(tài)口令生成算法和認證圖形編碼算法，利用所述動態(tài)口令生成算法，根據(jù)所述第一認證因子和第一密鑰生成第一動態(tài)口令，利用所述認證圖形編碼算法將所述個人身份認證信息和第一動態(tài)口令轉換為認證圖形，發(fā)送所述認證圖形；
終端設備，用于接收并顯示所述認證圖形；識別終端，用于識別并發(fā)送所述認證圖形；
認證服務器，用于接收所述認證圖形，并從所述認證圖形中提取出所述個人身份認證信息和第一動態(tài)口令，驗證所述第一動態(tài)口令；根據(jù)驗證結果，確定所述個人身份認證信息是否通過認證；
數(shù)據(jù)庫服務器，用于存儲與所述安全芯片端相同的個人身份認證信息、第一密鑰、第一認證因子和動態(tài)口令生成算法。
所述安全芯片采用內(nèi)置或外置配件方式與所述終端設備連接；所述認證服務器與數(shù)據(jù)庫服務器連接。
所述安全芯片還存儲加密密鑰和加密算法；所述數(shù)據(jù)庫服務器還存儲解密密鑰和解密算法；
所述安全芯片在利用所述認證圖形編碼算法將所述個人身份認證信息和第一動態(tài)口令轉換為認證圖形之前，利用所述加密密鑰和加密算法對所述個人身份認證信息和第一動態(tài)口令加密；
所述認證服務器在從所述認證圖形中提取出所述個人身份認證信息和第一動態(tài)口令之后，利用所述解密密鑰和解密算法對所述個人身份認證信息和第一動態(tài)口令解密。
所述安全芯片中的個人身份認證信息、第一密鑰和加密密鑰不能被外部讀取。
所述安全芯片應用在移動設備中，所述移動設備包括手機、個人掌上電腦、個人數(shù)字助理和便攜式電腦；或者，所述安全芯片應用在固定設備中，所述固定設備包括個人計算機和工控計算機。
與現(xiàn)有技術相比，本發(fā)明技術方案產(chǎn)生的有益效果如下
1、本發(fā)明將原來獨立存儲在磁條卡、IC卡上的用戶信息存儲在安全芯片上，并采用安全芯片內(nèi)部的存儲器和處理器進行認證圖形編碼，避免了設備上的病毒及其他惡意攻擊；
2、本發(fā)明在認證圖形中加入動態(tài)口令，使認證圖形具有時效性，有效地防止了認證圖形的盜用；
3、本發(fā)明采用認證圖形的交互方式進行通信，避免了原有接觸式或射頻方式的不足之處；
4、本發(fā)明由于動態(tài)口令的植入，解決了口令丟失及被破解的風險；同時用戶在支付或其他應用場合中可實現(xiàn)不需要手動輸入密碼就執(zhí)行身份認證。

圖1是利用本發(fā)明實施例提供的身份認證方法實現(xiàn)的手機支付方法流程圖；圖2是本發(fā)明實施例提供的身份認證裝置結構示意圖；
圖3是本發(fā)明實施例提供的身份認證系統(tǒng)結構示意圖。
具體實施例方式下面結合附圖和實施例，對本發(fā)明技術方案作進一步描述。
本發(fā)明實施例提供了一種身份認證方法，該方法是利用安全芯片的信息存儲及處理功能，將認證過程中所需的所有信息都存儲在安全芯片中，并在安全芯片內(nèi)部生成認證圖形，保證了信息的安全性；同時采用動態(tài)口令技術，使生成的認證圖形具有時效性，防止用戶信息的丟失。
本發(fā)明實施例所述的安全芯片是一種具有數(shù)據(jù)安全存儲及加解密功能的智能卡，包括IC卡、USB KEY芯片等，可以實現(xiàn)信息和密鑰的安全存儲；同時該安全芯片內(nèi)置認證圖形編碼算法，可以實現(xiàn)認證圖形的自動生成。本發(fā)明實施例中所述的安全芯片可以被封裝成多種形式，包括SD卡、MMC卡、SIM卡及外接配件等形式。本發(fā)明實施例中的安全芯片具有的安全存儲功能主要是指內(nèi)部存儲的部分關鍵數(shù)據(jù)，例如產(chǎn)生動態(tài)口令的種子密鑰、個人賬戶信息以及加密時用到的加密密鑰，這些數(shù)據(jù)不能被外部讀取，以此來保證產(chǎn)生的動態(tài)口令的安全性。本發(fā)明實施例中的安全芯片可以采用內(nèi)置方式與設備連接，包括以SD、 MMC.CF.Memory Stick等方式與設備連接通訊，還可以采用外置配件方式與設備連接，包括 USB、PCIE、串口等標準連接方式和自定義的連接方式。本發(fā)明實施例中的安全芯片可以應用在移動設備中，包括手機、個人掌上電腦、個人數(shù)字助理(PDA)和便攜式電腦等，還可以應用在固定設備中，包括個人計算機、工控計算機等固定終端設備實現(xiàn)身份認證功能。
實施例1
參見圖1，本發(fā)明實施例是將安全芯片封裝成SD KEY的形式，并將該SD KEY應用在手機中，從而利用SD KEY和手機替代銀行卡實現(xiàn)安全支付的方法，具體包括以下步驟步驟101 手機用戶在銀行柜臺申請開通手機支付功能，并設置手機支付保護密碼；手機用戶可以在多家銀行柜臺申請開通手機支付功能，以便手機用戶在支付過程中可以靈活地選擇用于結算的銀行個人賬戶；設置手機支付保護密碼，可以實現(xiàn)對手機支付功能的安全保護，以防止他人盜用；
步驟102 銀行工作人員將手機用戶在本行開設的個人賬戶信息與SD KEY進行綁定，并將該SD KEY交付給手機用戶；
手機用戶可以使用該SD KEY在多家銀行實現(xiàn)個人賬戶信息與SD KEY的綁定，這樣一個SD KEY中就存儲了手機用戶在多家銀行開設的個人賬戶信息，實現(xiàn)了一個SD KEY替代多張銀行卡的功能，省去了攜帶多張銀行卡的不便，例如手機用戶可以將工行、建行、中行、農(nóng)行等銀行的個人賬戶信息與一個SD KEY綁定；另外，SD KEY中還存儲有認證因子、與個人賬戶信息相對應的種子密鑰，同時內(nèi)置動態(tài)口令生成算法、認證圖形編碼算法，并將這些信息在銀行數(shù)據(jù)庫服務器中進行備份，以備認證過程中使用；
每個SD KEY在出廠前都有一個唯一的序列號作為標識，因此將個人賬戶信息與SD KEY 進行綁定也就使得每個賬戶信息都有唯一的一個序列號與之對應，同時該序列號也在銀行數(shù)據(jù)庫服務器中進行了相應的備份；
種子密鑰可以是由銀行在該步驟中直接下載到SD KEY中再交付給用戶，還可以由用戶自行完成下載，當用戶自行完成下載流程時，需要在SD KEY中預置或由用戶下載證書和私鑰并利用PKI技術實現(xiàn)對種子密鑰在線下載的保護；
認證因子可以為時間型因子或事件型因子等；本實施例中由SD KEY生成的認證因子為時間型因子，由手機供電產(chǎn)生，這同時要求銀行認證服務器端與SD KEY端的時間保持同止少；
動態(tài)口令生成算法具體包括DES、3DES、SMI、SSF33、哈希算法、哈希MAC ；當認證因子為時間型因子時，動態(tài)口令生成算法還可以是TOTP算法；當認證因子為事件型因子時，動態(tài)口令生成算法還可以是HOTP算法；
步驟103 手機用戶將SD KEY安裝在手機的SD擴展插槽中；
通常情況下，手機生產(chǎn)商為了增加手機的存儲容量，會在手機上增加各種不同接口形式的擴展插槽，例如SD,Micro SD/TF、MMC、CF、Memory Stick,Memory Stick Pro Duo 等，本實施例以帶有SD接口擴展插槽的手機為例來說明；
步驟104 手機用戶進入手機支付功能界面，輸入手機支付保護密碼，激活手機支付功能；
步驟105 手機用戶選擇支付銀行賬戶；
步驟106 =SD KEY利用動態(tài)口令生成算法，根據(jù)認證因子和種子密鑰，生成第一動態(tài)口令；
步驟107 =SD KEY利用認證圖形編碼算法將選定的銀行個人賬戶信息和第一動態(tài)口令轉換為認證圖形，并顯示在手機屏幕上；
實際應用中，個人賬戶信息以及產(chǎn)生的第一動態(tài)口令可以通過事先約定的方式進行組合，如邏輯與、或、非等，然后再轉換為認證圖形；認證圖形可以為一維碼、二維碼或圖像等；
步驟108 消費商家在識別終端上輸入消費金額，并利用該識別終端掃描識讀手機屏幕上的認證圖形；
識別終端可以是具有識讀認證圖形功能的POS機；
步驟109 識別終端將認證圖形轉換為原始數(shù)據(jù)，并將原始數(shù)據(jù)和消費金額傳輸給銀行認證服務器；
步驟110 銀行認證服務器收到原始數(shù)據(jù)和消費金額后，從原始數(shù)據(jù)中提取出個人賬戶信息和第一動態(tài)口令，并在數(shù)據(jù)庫服務器中查找出與該個人賬戶信息對應的種子密鑰、動態(tài)口令生成算法以及認證因子；
通常情況下，銀行數(shù)據(jù)庫服務器中存儲了大量的個人賬戶信息和種子密鑰，每個個人賬戶信息在與SD KEY進行綁定后，SD KEY中所存儲的個人賬戶信息、種子密鑰和內(nèi)置的動態(tài)口令生成算法、認證因子以及SD KEY的序列號與銀行數(shù)據(jù)庫服務器中的個人賬戶信息、種子密鑰、動態(tài)口令生成算法、認證因子和SD KEY序列號都是一一對應的；
步驟111 銀行認證服務器根據(jù)個人賬戶信息或SD KEY序列號查找出的種子密鑰、認證因子以及動態(tài)口令生成算法，生成第二動態(tài)口令；
本發(fā)明實施例中認證因子為時間型因子，由于銀行數(shù)據(jù)庫服務器中產(chǎn)生的認證因子和 SD KEY內(nèi)部產(chǎn)生的認證因子是同步的，從而確保SD KEY生成的第一動態(tài)口令和銀行認證服務器生成的第二動態(tài)口令相同；
另外，當認證因子為事件型因子時，SD KEY中存儲的認證因子也應與銀行數(shù)據(jù)庫服務器中的認證因子保持一致；
步驟112 銀行認證服務器將內(nèi)部生成的第二動態(tài)口令與從原始數(shù)據(jù)中提取出的第一動態(tài)口令進行匹配，如果第一動態(tài)口令和第二動態(tài)口令相同，則執(zhí)行步驟113，否則執(zhí)行步驟 114 ；
步驟113 銀行認證服務器從個人賬戶中扣除消費金額，并向識別終端發(fā)送支付交易成功信息；
步驟114 銀行認證服務器向識別終端發(fā)送支付交易失敗信息。
實施例2
本實施例與實施例1的區(qū)別在于在SD KEY將選定的銀行個人賬戶信息和第一動態(tài)口令轉換為認證圖形之前，SD KEY利用與銀行數(shù)據(jù)庫服務器中預先約定的加密密鑰和加密算法，對個人賬戶信息和第一動態(tài)口令進行加密處理；并將加密后的密文以及SD KEY的序列號連同其他交易信息一起傳輸?shù)姐y行服務器，相應地，銀行認證服務器執(zhí)行認證時利用識別終端傳輸來的SD KEY的序列號查找數(shù)據(jù)庫服務器中與該SD KEY預先約定的解密密鑰和解密算法，并利用解密密鑰和解密算法對從原始數(shù)據(jù)中提取出的個人賬戶信息和第一動態(tài)口令進行解密處理。這樣可以更加安全地保護銀行個人賬戶信息，并且提高了支付交易的安全性。除此之外，本實施例的其他步驟與實施例1完全相同。
在實際應用中，本實施例所述的加密算法可以為DES、3DES、SMl或SSF33等。
本實施例與實施例1不同的步驟具體是
步驟107' =SD KEY將選定的銀行個人賬戶信息和第一動態(tài)口令，利用加密密鑰和加密算法進行加密處理，并利用認證圖形編碼算法將SD KEY序列號以及加密后的銀行個人賬戶信息和第一動態(tài)口令轉換為認證圖形，同時顯示在手機屏幕上；
步驟110'銀行認證服務器收到原始數(shù)據(jù)和消費金額后，從原始數(shù)據(jù)中提取出SD KEY 序列號以及加密后的個人賬戶信息和第一動態(tài)口令，并根據(jù)SD KEY序列號在數(shù)據(jù)庫服務器中查找出與該SD KEY序列號對應的解密密鑰和解密算法，對個人賬戶信息和第一動態(tài)口令進行解密處理。
實施例1和2是利用SD KEY和手機實現(xiàn)了一種虛擬銀行卡，SD KEY中存儲多個銀行的個人賬戶信息，從而利用SD KEY和手機實現(xiàn)消費支付。實施例1和2利用SD KEY和手機實現(xiàn)的虛擬銀行卡，具有如下特點
1、個人賬戶信息存儲在SD KEY中，由于SD KEY具有安全存儲的功能，這就很好的實現(xiàn)了對銀行帳戶信息的保護；同時由于認證中所需的其他數(shù)據(jù)如種子密鑰、認證因子等都存儲在SD KEY中，并且動態(tài)口令和認證圖形也是在SD KEY中生成的，手機只負責對轉換后的認證圖形進行顯示，這就有效地防止了手機中病毒以及其他的攻擊，安全系數(shù)大大提高。
2、為了加強對銀行賬戶信息的保護，實施例1和2在SD KEY中設置了動態(tài)口令以保護認證信息的時效性，如果在限定的時間內(nèi)不使用認證圖形，則該認證圖形就會失效。
3、實施例1和2在支付交易過程中可以不輸入靜態(tài)的支付密碼，并且由于在認證圖形中加入了動態(tài)口令，使SD KEY和手機同時又相當于動態(tài)令牌的功能，用動態(tài)口令代替銀行卡靜態(tài)口令實現(xiàn)支付更安全；同時由于現(xiàn)有的解決方案中手機短信或令牌的方式雖然能實現(xiàn)對銀行賬戶信息的保護，但是由于每次都需輸入不同的口令，比較繁瑣，也容易輸錯，給用戶帶來很大的不便，實施例1和2中動態(tài)口令的引入不但保證了認證圖形的時效性，而且還保護了個人賬戶信息，從而很好地解決了這一問題。
參見圖2，本發(fā)明實施例還提供了一種身份認證裝置，該裝置包括
存儲模塊，用于存儲個人身份認證信息、第一認證因子、第一密鑰、動態(tài)口令生成算法和認證圖形編碼算法；
生成模塊，用于利用動態(tài)口令生成算法，根據(jù)存儲模塊中的第一認證因子和第一密鑰生成第一動態(tài)口令，發(fā)送第一動態(tài)口令；
轉換模塊，用于接收第一動態(tài)口令，并利用認證圖形編碼算法將存儲模塊中的個人身份認證信息和第一動態(tài)口令轉換為認證圖形。
存儲模塊還可以存儲加密密鑰和加密算法，實現(xiàn)對個人身份認證信息以及第一動態(tài)口令的進一步保護；
轉換模塊包括
加密單元，用于接收第一動態(tài)口令，利用加密密鑰和加密算法對存儲模塊中的個人身份認證信息和第一動態(tài)口令加密，并發(fā)送加密后的個人身份認證信息和第一動態(tài)口令；
轉換單元，用于接收加密后的個人身份認證信息和第一動態(tài)口令，并利用認證圖形編碼算法將加密后的個人身份認證信息和第一動態(tài)口令轉換為認證圖形。
實際應用中，存儲模塊中的個人身份認證信息、第一密鑰和加密密鑰不能被外部讀取。
參見圖3，本發(fā)明實施例還提供了一種身份認證系統(tǒng)，該系統(tǒng)包括
安全芯片，用于存儲個人身份認證信息、第一認證因子、第一密鑰、動態(tài)口令生成算法和認證圖形編碼算法，利用動態(tài)口令生成算法，根據(jù)第一認證因子和第一密鑰生成第一動態(tài)口令，利用認證圖形編碼算法將個人身份認證信息和第一動態(tài)口令轉換為認證圖形，發(fā)送認證圖形；
終端設備，用于接收并顯示認證圖形；識別終端，用于識別并發(fā)送認證圖形；
認證服務器，用于接收認證圖形，并從認證圖形中提取出個人身份認證信息和第一動態(tài)口令，驗證第一動態(tài)口令；根據(jù)驗證結果，確定個人身份認證信息是否通過認證；
數(shù)據(jù)庫服務器，用于存儲與安全芯片端相同的個人身份認證信息、第一密鑰、第一認證因子和動態(tài)口令生成算法。
安全芯片采用內(nèi)置或外置配件方式與終端設備連接；認證服務器與數(shù)據(jù)庫服務器連接。
安全芯片還存儲加密密鑰和加密算法；數(shù)據(jù)庫服務器還存儲解密密鑰和解密算法；
安全芯片在利用認證圖形編碼算法將個人身份認證信息和第一動態(tài)口令轉換為認證圖形之前，利用加密密鑰和加密算法對個人身份認證信息和第一動態(tài)口令加密；
認證服務器在從認證圖形中提取出個人身份認證信息和第一動態(tài)口令之后，利用解密密鑰和解密算法對個人身份認證信息和第一動態(tài)口令解密。
實際應用中，安全芯片中的個人身份認證信息、第一密鑰和加密密鑰不能被外部讀取。
安全芯片應用在移動設備中，移動設備包括手機、個人掌上電腦、個人數(shù)字助理和便攜式電腦；或者，安全芯片應用在固定設備中，固定設備包括個人計算機和工控計算機。
同樣利用本發(fā)明的原理，安全芯片也可以應用在個人計算機、工控計算機等固定終端設備中，實現(xiàn)身份認證的功能。
以上所述的具體實施例，對本發(fā)明的目的、技術方案和有益效果進行了進一步詳細說明，所應理解的是，以上所述僅為本發(fā)明的具體實施例而已，并不用于限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。
權利要求
1.一種身份認證方法，其特征在于，所述方法包括將個人身份認證信息綁定；根據(jù)第一認證因子和第一密鑰生成第一動態(tài)口令；將所述個人身份認證信息和第一動態(tài)口令轉換為認證圖形；從所述認證圖形中提取出所述個人身份認證信息和第一動態(tài)口令；驗證所述第一動態(tài)口令；根據(jù)驗證結果，確定所述個人身份認證信息是否通過認證。
2.如權利要求1所述的身份認證方法，其特征在于，在將所述個人身份認證信息和第一動態(tài)口令轉換為認證圖形的步驟之前還包括將所述個人身份認證信息和第一動態(tài)口令進行加密；相應地，在從所述認證圖形中提取出所述個人身份認證信息和第一動態(tài)口令的步驟之后還包括將所述個人身份認證信息和第一動態(tài)口令進行解密。
3.如權利要求1或2所述的身份認證方法，其特征在于，所述驗證所述第一動態(tài)口令；根據(jù)驗證結果，確定所述個人身份認證信息是否通過認證的步驟具體包括根據(jù)所述個人身份認證信息查找到與其相對應的第二密鑰和第二認證因子；所述第二密鑰與第一密鑰相同，所述第二認證因子與第一認證因子相同；根據(jù)所述第二密鑰和第二認證因子生成第二動態(tài)口令；比對所述第一動態(tài)口令和第二動態(tài)口令是否匹配，如果匹配，則所述個人身份認證信息認證成功，否則認證失敗。
4.一種身份認證裝置，其特征在于，所述裝置包括存儲模塊，用于存儲個人身份認證信息、第一認證因子、第一密鑰、動態(tài)口令生成算法和認證圖形編碼算法；生成模塊，用于利用所述動態(tài)口令生成算法，根據(jù)所述存儲模塊中的第一認證因子和第一密鑰生成第一動態(tài)口令，發(fā)送所述第一動態(tài)口令；轉換模塊，用于接收所述第一動態(tài)口令，并利用所述認證圖形編碼算法將所述存儲模塊中的個人身份認證信息和第一動態(tài)口令轉換為認證圖形。
5.如權利要求4所述的身份認證裝置，其特征在于，所述存儲模塊還存儲加密密鑰和加密算法；所述轉換模塊包括加密單元，用于接收所述第一動態(tài)口令，利用所述加密密鑰和加密算法對所述存儲模塊中的個人身份認證信息和第一動態(tài)口令加密，并發(fā)送加密后的個人身份認證信息和第一動態(tài)口令；轉換單元，用于接收所述加密后的個人身份認證信息和第一動態(tài)口令，并利用所述認證圖形編碼算法將所述加密后的個人身份認證信息和第一動態(tài)口令轉換為認證圖形。
6.如權利要求5所述的身份認證裝置，其特征在于，所述存儲模塊中的個人身份認證信息、第一密鑰和加密密鑰不能被外部讀取。
7.一種身份認證系統(tǒng)，其特征在于，所述系統(tǒng)包括安全芯片，用于存儲個人身份認證信息、第一認證因子、第一密鑰、動態(tài)口令生成算法和認證圖形編碼算法，利用所述動態(tài)口令生成算法，根據(jù)所述第一認證因子和第一密鑰生成第一動態(tài)口令，利用所述認證圖形編碼算法將所述個人身份認證信息和第一動態(tài)口令轉換為認證圖形，發(fā)送所述認證圖形；終端設備，用于接收并顯示所述認證圖形；識別終端，用于識別并發(fā)送所述認證圖形；認證服務器，用于接收所述認證圖形，并從所述認證圖形中提取出所述個人身份認證信息和第一動態(tài)口令，驗證所述第一動態(tài)口令；根據(jù)驗證結果，確定所述個人身份認證信息是否通過認證；數(shù)據(jù)庫服務器，用于存儲與所述安全芯片端相同的個人身份認證信息、第一密鑰、第一認證因子和動態(tài)口令生成算法。所述安全芯片采用內(nèi)置或外置配件方式與所述終端設備連接；所述認證服務器與數(shù)據(jù)庫服務器連接。
8.如權利要求7所述的身份認證系統(tǒng)，其特征在于，所述安全芯片還存儲加密密鑰和加密算法；所述數(shù)據(jù)庫服務器還存儲解密密鑰和解密算法；所述安全芯片在利用所述認證圖形編碼算法將所述個人身份認證信息和第一動態(tài)口令轉換為認證圖形之前，利用所述加密密鑰和加密算法對所述個人身份認證信息和第一動態(tài)口令加密；所述認證服務器在從所述認證圖形中提取出所述個人身份認證信息和第一動態(tài)口令之后，利用所述解密密鑰和解密算法對所述個人身份認證信息和第一動態(tài)口令解密。
9.如權利要求8所述的身份認證系統(tǒng)，其特征在于，所述安全芯片中的個人身份認證信息、第一密鑰和加密密鑰不能被外部讀取。
10.如權利要求7或8所述的身份認證系統(tǒng)，其特征在于，所述安全芯片應用在移動設備中，所述移動設備包括手機、個人掌上電腦、個人數(shù)字助理和便攜式電腦；或者，所述安全芯片應用在固定設備中，所述固定設備包括個人計算機和工控計算機。
全文摘要
本發(fā)明公開了一種身份認證方法、裝置及系統(tǒng)，屬于信息安全技術領域。所述方法包括將個人身份認證信息綁定；根據(jù)第一認證因子和第一密鑰生成第一動態(tài)口令，并將個人身份認證信息和第一動態(tài)口令轉換為認證圖形；從認證圖形中提取出個人身份認證信息和第一動態(tài)口令，驗證第一動態(tài)口令；根據(jù)驗證結果，確定個人身份認證信息是否通過認證。所述裝置包括存儲模塊、生成模塊和轉換模塊。所述系統(tǒng)包括安全芯片、終端設備、識別終端、認證服務器和數(shù)據(jù)庫服務器。本發(fā)明采用安全芯片內(nèi)部的存儲器和處理器進行認證圖形編碼，避免了設備上的病毒及其他惡意攻擊，同時在認證圖形中加入動態(tài)口令，使認證圖形具有時效性，有效地防止了認證圖形的盜用。
文檔編號H04W12/04GK102186169SQ201010160618
公開日2011年9月14日申請日期2010年4月30日優(yōu)先權日2010年4月30日
發(fā)明者華燕翔, 廣忠海, 王建林, 張超, 張強, 張煒申請人:北京華大智寶電子系統(tǒng)有限公司

完整全部詳細技術資料下載