基于双动态口令的身份鉴别系统.pdf

基于双动态口令的身份鉴别系统
    技术领域：

    本发明与计算机身份鉴别系统有关，尤其与基于双动态口令的IC卡身份鉴别系统有关。

    背景技术：

    随着金融结算电子化，个人储蓄卡、个人信用卡、公路交费卡、企业缴税卡、个人社会保险卡、IC电话卡、POS机的刷卡消费等金融电子结算服务产品已经得到了非常广泛的应用。但因持卡人不慎泄露密码造成不同程度的经济损失的情况时有发生，这在一定程度上引起人们对电子结算安全性的顾虑，也在一定程度上影响到金融结算电子化更进一步的发展。究其原因，与这些电子结算系统采用的是安全强度较低的传统口令认证技术不无关系。这种认证技术最大的弊端在于用户口令是静态的，用户一旦确定其口令，就可保持不变而多次甚至长期使用，从而容易被他人盗窃和冒用。

    另外，在许多涉密计算机系统场合，已经采用了比静态口令技术安全强度有较大提高的动态口令技术，其典型代表为令牌式动态口令生成机制。这类身份认证产品达到双因素口令认证的安全强度，符合大多数涉密场合安全强度要求，但由于谁得到令牌谁就可得到动态口令码，仍然存在安全隐患。同时，由于金融电子结算主要采用的是磁卡或IC卡作为用户凭证，令牌式动态口令的身份认证机制在金融电子结算时凸显出其局限性。

    发明的内容：

    本发明的目的是提供一种安全性高，适用于各种IC卡的双动态口令的身份鉴别系统。

    本发明是这样实现的：

    本发明基于双动态口令的身份鉴别系统，由用户验证IC卡1，IC卡读写卡装置2，前端认证处理器3，后台认证控制器4利IC卡信息处理器5，IC卡写卡装置6构成，用户验证IC卡1内存有IC卡标识81，用户标识82，并可依需要产生随机数83，所有的数据通过IC卡读写卡装置2传输到前端认证处理器3，前端认证处理器3与键盘37连接并通过端口41与后台认证控制器4的网卡42连接，后台认证控制器4的网卡42通过端口41与IC卡信息处理器5连接，IC卡信息处理器5与键盘57和IC卡写卡装置6连接，IC卡写卡装置6通过读写卡装置2与用户验证IC卡1连接，用户注册信息92通过键盘57输入IC卡信息处理器5的数据库56并将用户标识码82通过IC卡写卡装置写入用户验证IC卡1中，用户将用户验证IC卡1插入IC卡读卡装置2时，经读卡装置2读出卡内的IC卡标识81，用户标识82和随机数83，前端认证处理器3首先将用户标识码82传输到后台认证控制器4，后台认证控制器4从IC卡信息处理器5的数据库56中检索与用户标识码82匹配的用户并返回是否存在匹配用户地核对结果，存在匹配用户情形下由前端认证处理器3读取用户通过键盘37输入的用户标识码84与用户验证IC卡1中的用户标识码82作比较，若不一致，前端认证处理器3作出终止认证动作，一致，前端认证处理器3向后台认证控制器4发出动态器口令需求申请86，后台认证控制器4产生一个公用的消息包90置于信息区46中供外部访问使用，同时其随机数生成器45产生一随机数并经中央处理器CPU43加工为动态口令码88存储于可读存贮器RAM44内备用并通过端口41传送给前端认证处理器3，前端认证处理器3从IC卡1中读取随机数83转换加工为动态口令码86，并将动态口令码86，88显示于身份认证窗口作为提示并接收用户通过键盘37输入的动态口令码合成码85，将合成码85和动态口令码86传输到后台认证控制器4，后台认证控制器4从可读存贮器RAM44中读取出动态口令码88和预存的动态口令合成规则码87，将动态口令码86、88进行组合运算，其结果与合成码85比较，并将比较结果传回前端认证处理器3，由其决定本次认证通过与否，如通过，后台认证控制器4产生一个公用消息包91设置于消息区提供外部访问使用。

    动态口令合成规则码87由动态口令码86，88按齿轮咬合状合成，即两个口令码的字符按单序号合成。

    动态口令合成规则码87由动态口令码86，88接双齿轮啮合状合成，即两个口令码的字符按双序号合成。

    动态合成规则码87由动态口令码86，88直接连接后再将首位字符移动到末位或将末位字符移动到首位。

    动态口令合成规则码87由动态口令码86，88由动态口令码86，88直接连接后再将位于首位的两字符移动术位或将位于到末位的两字符移动到首位。

    合成规则码87由代码表示。

    用户标识码82由用户和个人静态密码组成，IC卡标识81为字母串，随机数83为新卡的内部IC卡号，为数字串，当空白用户验证IC卡1插入IC卡读写卡装置2内，IC卡信息处理器5经IC卡写卡装置6将用户标识码82， IC卡标识81写入IC卡1，新IC卡1交用户保存使用。

    用户验证IC卡1为CPU型IC卡，该卡所产生的随机数83具有不同卡不同时间所产生的随机数的值均不相同的特点，所说的IC卡读卡装置2和IC卡写卡装置6采用与IC卡1配套的普通读卡设备，前端认证处理器3，后台认证控制器4和IC卡信息处理器5为普通的个人计算机。

    本发明具有以下优特点：

    一.所述系统和方法，其动态口令码由动态口令码88和动态口令码86两部份组成，该两部份码分别由后台认证控制器4和IC卡1这两个不同的独立硬件产生，并通过各自独立的传输通道进行传输。

    二.所述系统和方法，其动态口令最终的结果由认证控制器4、IC卡1和用户个人三个方面共同决定，其中由认证控制器4决定动态口令码88，由IC卡1提供动态口令码86的原始状态值并经前端认证处理器3加工生成动态口令码86，由用户个人决定组合方法和最终的动态口令合成结果，仅当三者协同一致，才予以认证通过。

    三.所述系统和方法，采用两阶段认证技术，第一阶段检验IC卡的系统标识、用户标识等静态信息，谓之静态认证，第二阶段检验用户动态口令，谓之动态认证。

    上述三个特点使本发明安全性有较大提高，可广泛用于各种金融结算IC卡。

    附图说明：

    图1为本发明系统框图

    图2为本发明处理逻辑流程示意图

    图3为本发明动态口令组合规则使用例描述表

    图4为本发明的系统后台认证控制处理流图

    图5为本发明的系统动态口令组合处理流程图

    图6为本发明的用户注册信息数据库中各数据表格定义说明

    图7为本发明的动态口令组合规则使用例描述表

    图8为单齿合成口令规则图。

    具体实施方式：

    基于IC卡的双动态口令身份鉴别方法和系统，其系统由用户验证IC卡1、IC卡读写卡装置2、前端认证处理器3、后台认证控制器4和IC卡信息处理器5，IC卡写卡装置6构成，用户验证IC卡1是本系统的用户身份识别卡，卡内存有IC卡标识81，用户标识82，并可依需要产生随机数83，IC卡读写卡装置2的数据输出线接入前端认证处理器3的COM口31，完成IC卡数据读取并传输到前端认证处理器3的工作，前端认证处理器3完成IC卡读卡、接收键盘输入和前台验证，其键盘插孔33与键盘37连接，通过内置网卡34的端口32与后台认证控制器4进行网络连接，本处理器首先从COM口31读取用户验证IC卡1的IC卡标识81，用户标识82，存储于RAM36中，在判断IC卡标识81属系统通行标识后，通过端口32将用户标识82发送至后台认证控制器4，当接收到后台认证控制器4传回的认证通过的标识信息后，读取用户通过键盘37输入的用户标识输入84，与从IC卡读取的用户标识82比较，当二者相符时，向后台认证控制器4发出本阶段认证通过的标识信息，然后，接收后台认证控制器4传来的动态口令码一88，将存储于RAM36中的随机数83按照一定规则加工转换为动态口令码二86，与动态口令码二88一起提供用户参照，接收用户通过键盘37输入的合成动态口令输入码85，将该码和动态口令码二86一起传输到后台认证控制器4进行后台认证处理，当接收到后台认证控制器4反馈的认证通过标志89，且当该标志信息的值为“通过”时准许用户进入系统，后台认证控制器4通过网卡42的端口41与前端认证处理器3和IC卡信息处理器5进行网络连接，完成相互间的数据传输，在从端口41接收到前端认证处理器3提供的用户标识82后，通过网络从卡信息处理器5的用户注册信息数据库56中获得该用户的用户标识93、和预留的动态口令合成规则87码，保存动态口令合成规则87于RAM44内备用，用该用户标识93与用户标识输入84核对，将核对结果反馈给前端认证处理器3，当核对结果为正确时，产生一标明该用户已经通过第一阶段认证的公用消息包90并将该消息包90放置于消息区46中提供外部应用的访问使用，在接收到前端认证处理器3发出的动态口令码申请信号时，其中的随机数生成器45产生一随机数并经CPU43加工处理为动态口令码一88，保存该码于RAM44内备用并通过端口41传送至前端认证处理器3，此后，在通过端口41接收到前端认证处理器3传送的动态口令码二86以及合成口令输入85时，从RAM44中取出动态口令码一88和动态口令合成规则87码，将动态口令码一88和动态口令码二86按照口令合成规则17所对应的合成方法进行组合，该组合结果与合成口令输入85进行比较，并向前端认证处理器3反馈认证通过标志89，当动态口令验证结果为通过时，产生一标明该用户已经通过第二阶段认证的公用消息包91并将该消息包91放置于消息区46中提供外部应用的访问使用，卡信息处理器5通过网卡54的端口53与后台认证控制器4进行网络连接，通过键盘插孔52连接输入键盘57接收用户注册信息92的键盘输入，完成IC卡信息处理，登录IC卡发卡信息，并将用户注册登记信息记入用户注册信息数据库56中，其COM口51与IC卡写卡装置6连接，当新用户注册完成时，该用户的用户标识82通过IC卡写卡装置6写入用户验证IC卡1，当后台认证控制器4发来的数据查询请求信号95时从用户注册信息数据库56中查询并将查询结果用户标识93、动态口令合成规则87通过网卡54的端口53发送给后台认证控制器4；所述的用户验证IC卡1采用CPU型IC卡，该卡所产生的随机数83具有不同卡不同时间所产生的随机数83的值均不相同的特点；

    所述的IC卡读卡装置2和IC卡写卡装置6采用与IC卡配套的普通读写卡设备；

    所述的前端认证处理器3、后台认证控制器4和IC卡信息处理器5采用普通的个人计算机PC结构。

    根据本发明系统构成，其系统处理流程如下：

    1，注册写卡：由所述的IC卡信息处理器5完成，其工作包括将用户提供的用户名、编号、用户分类等相关信息和用户标识码以及选择确定的口令合成规则码通过键盘录入，数据记录到用户注册信息数据库56中，然后经IC卡写卡装置6将用户标识码82写入一新的IC卡1；

    2，登录读卡：由前端认证处理器3控制完成，在用户将用户验证IC卡1插入IC卡读卡装置2时，经读卡装置2读出卡内的IC卡标识81和用户标识82；

    3，第一阶段验证-IC卡合法性验证：由前端认证处理器3、后台认证控制器4、IC卡信息处理器5以及登录用户协同完成，其过程为：前端认证处理器3首先对IC卡标识码81的合法性进行判断，然后将该卡中的用户标识码82传输到后台认证控制器4，后台认证控制器4从IC卡信息处理器5的用户注册信息数据库56中检索与用户标识匹配的用户，并返回是否存在匹配用户的核对结果，存在匹配用户情形下由前端认证处理器3读取用户输入的用户标识码84，与IC卡中的用户标识码82作比较，若不一致，即告IC卡合法性验证未通过，前端认证处理器3作出终止认证动作，在验证通过情况下，前端认证处理器3向后台认证控制器4发出第一阶段验证已通过的标志信息，该标志信息同时作为向后台认证控制器4发出动态口令需求申请被后台认证控制器4接收，后台认证控制器4将产生一个公用的消息包90，指示该登录者通过了第一阶段验证，以提供相关应用使用；

    4，第二阶段验证—动态口令验证：由前端认证处理器3、后台认证控制器4以及登录用户协同完成，其过程为：后台认证控制器4产生一随机数，转换加工为动态口令子串一88，传输到前端认证处理器3，前端认证处理器3从IC卡中读取一随机数83转换加工为动态口令子串二86，前端认证处理器3将该两个动态口令子串显示于身份认证窗口，提示并接收用户通过键盘输入的动态口令码合成输入85，将组合动态口令输入85和由动态口令子串二86传输到后台认证控制器4，后台认证控制器4按照动态口令组合规则87将动态口令子串一88和动态口令子串二86进行组合运算，其结果与前端认证处理器传输来的组合动态口令输入85比较，并将比较结果传回前端认证处理器3，前端认证处理器3接收认证结果并依此决定本次认证通过与否，同时后台认证控制器4将产生一个公用的消息包91，指示该登录者通过了第二阶段验证，以提供相关应用使用。

    本发明的系统结构参见附图1。其中：

    1＝CPU型IC卡

    2＝IC卡读写卡装置

    3＝前端认证处理器

    4＝后台认证控制器

    5＝IC卡信息处理器

    6＝IC卡写卡装置

    31＝前端认证处理器3的COM通讯专用接口，用于与IC卡读写卡装置2连接

    32＝前端认证处理器3的网络连接端口，即网卡34与外部的连接端口

    33＝前端认证处理器3的键盘接口

    34＝前端认证处理器3的内置网卡

    35＝前端认证处理器3的中央处理器(CPU)

    36＝前端认证处理器3的内部存储器(RAM)

    37＝前端认证处理器3的键盘

    41＝后台认证控制器4的网络连接端口，即网卡34与外部的连接端口

    42＝后台认证控制器4的内置网卡

    43＝后台认证控制器4的中央处理器(CPU)

    44＝后台认证控制器4的内部存储器(RAM)

    45＝后台认证控制器4的随机数发生器

    46＝后台认证控制器4的公共消息区，是本系统提供外部系统或应用的数据接口

    51＝IC卡信息处理器5的COM通讯专用接口，用于与IC卡写卡装置6连接

    52＝IC卡信息处理器5的键盘接口

    53＝IC卡信息处理器5的网络连接端口，即网卡54与外部的连接端口

    54＝IC卡信息处理器5的内置网卡

    55＝IC卡信息处理器5的中央处理器(CPU)

    56＝IC卡信息处理器5的注册用户信息数据库

    57＝IC卡信息处理器5的键盘

    81＝IC卡标识码，系统静态认证要素之一，包括生产厂家标识码或系统专用标识码以及IC卡序列号等，由生产厂家在IC卡制作时写入或经本系统新用户注册时写入

    82＝用户标识码，系统静态认证要素之一，可以是系统确定的用户名称、用户代码或帐号以及静态口令码，该码由IC卡信息处理器5在向新用户发卡时产生并经IC卡写卡装置6写入

    83＝IC卡随机数，系统静态认证要素之一，由IC卡随机产生，是一串由0-9的数字和A-Z的英文字母组成的字符串，各IC卡在不同时间所产生的随机数均互不相同，具有系统唯一性

    84＝用户标识输入，系统静态认证要素之一，由用户输入的一字符串，用于与IC卡中存储的用户标识码的对比

    85＝合成口令输入，系统动态认证要素，是一定长字符串，由用户根据系统提供的两个动态口令子串以及该用户在注册时预留的合成规则组合后输入

    86＝动态口令码二，系统动态认证要素之一，是前端认证处理器根据IC卡产生的随机数经特定转换处理后得到的一个定长字符串

    87＝动态口令合成规则，系统动态认证要素之一，是用户合成动态口令必须遵守以及系统动态口令校验用的规则，本系统中的动态口令合成规则在新用户注册时由用户从系统提供的合成规则库中挑选确定，规则的使用例参见附图七中的《动态口令组合规则使用例描述表》

    88＝动态口令码一，系统动态认证要素之一，是后台认证控制器随机产生并经特定转换处理后得到的一个定长字符串

    89＝认证通过标志，由后台认证控制器在对登录用户经过静态认证和动态认证后给出的一个该用户是否合法用户的标志信息

    90＝公用消息包1，由后台认证控制器在确认登录用户通过第一阶段的静态认证后产生，包括登录用户的用户标识、登录主机地址、登录时间等信息，提供外部应用

    91＝公用消息包2，由后台认证控制器在确认登录用户通过第二阶段的动态认证后产生，包括登录用户的用户标识、登录主机地址、登录时间等信息，提供外部应用

    92＝用户注册信息，在新用户注册登记时录入系统，包括用户名、编号、用户分类等

    93＝由IC卡信息处理器提供的用户标识，可以是系统确定的用户名称、用户代码或帐号以及静态口令码，该码在静态认证过程中由IC卡信息处理器提供给后台认证控制器

    95＝信息查询请求信号，在用户登录系统时后台认证控制器发出给IC卡信息处理器，以请求用户信息的查询。

    根据本发明系统和处理过程的身份认证方法如下：

    用户注册：

    在对注册用户作为系统或应用的合法使用者进行授权时，用户向系统提供相关信息和用户标识码并选择确定一种口令合成规则，系统向一新的用户IC卡中写入系统标识码和用户标识码，并将这些用户信息、用户标识码、用户选定的口令组合规则码以及所授予IC卡的卡号信息记录到系统，新产生的IC卡交予用户保存使用；

    用户身份认证：

    1.读卡：用户将个人IC卡插入IC卡读卡装置，卡内的IC卡标识和用户标识经读卡装置读出并传输到前端认证处理器；

    2.第一阶段验证-IC卡合法性验证：

    ①前端认证处理器首先判断IC卡标识码是否为本糸统允许使用的标识码，

    ②然后将该卡中的用户标识码传输到后台认证控制器，后台认证控制器从IC卡信息处理器的用户注册信息数据库中检索与用户标识匹配的用户，并返回是否存在匹配用户的核对结果，

    ③存在匹配时，由前端认证处理器读取用户键盘输入的用户标识码，与IC卡中的用户标识码进行比较，若不一致，即告IC卡合法性验证未通过，

    ④若一致，前端认证处理器向后台认证控制器发出动态口令一需求申请；

    3.第二阶段验证一动态口令验证：

    ①后台认证控制器产生一随机数，转换加工为动态口令子串一，传输到前端认证处理器，

    ②前端认证处理器从IC卡中读取一随机数转换加工为动态口令子串二，

    ③前端认证处理器将后台认证控制器传来的动态口令子串一和由IC卡产生的动态口令子串二显示于身份认证窗口，并提示用户进行动态口令码组合输入，

    ④用户按照预留的组合规则完成由动态口令子串一和动态口令子串二组合为动态口令的组合和输入，

    ⑤前端认证处理器接收到用户输入的组合动态口令后，将组合动态口令和由IC卡产生的动态口令子串二传输到后台认证控制器，

    ⑥后台认证控制器按照用户预留的动态口令组合规则将动态口令子串一和传输来的动态口令子串二进行组合运算，其结果与前端认证处理器传输来的组合动态口令码比较，并将比较结果传回前端认证处理器，

    ⑦前端认证处理器接收认证结果并依此决定本次认证通过与否。

    本发明的系统处理流程参见附图2。

    本发明的系统前端认证处理流程参见附图3。

    本发明的系统后台认证控制处理流图参见附图4。

    本发明的系统动态口令组合处理流程参见附图5。

    本发明的系统数据表格结构参见附图6。

    为进一步说明本发明，特举实施例如下。但本发明的内容不仅限于实施例中所涉及的内容。

    本例中先作以下假定：

    假定1：新用户××申请注册，系统采用用户名和个人静态密码为系统用户标识，预留的用户名为“AAAAAA”，用户标识(静态密码)“66668888”，新卡的内部IC卡号为987654321，IC卡的卡标识为“ZYXW”；

    假定2：系统的后台认证控制器对随机数转换为动态口令字串一的算法为：将该随机数先由数字转换为字符串，然后截取使用该字符串的前4个字符作为动态口令字串一；

    假定3：系统的前端认证处理器对从IC卡读取的随机数转换为动态口令字串二的算法为：将该随机数先由数字转换为字符串，然后截取使用该字符串的前4个字符作为动态口令字串二；

    假定4：本例中用户选定的动态口令合成规则为代码为‘A001’的单齿合规则，该规则参见附图八的图示说明。

    新用户注册：

    1.本系统的IC卡信息处理器接收新用户的用户名AAAAAA、静态密码66668888以及相关信息的键盘输入；

    2.IC卡信息处理器提供动态口令合成规则说明表信息供用户参考并接收用户选用的动态口令合成规则编码信息，假定该用户选用代码为‘A001’的合成规则，在本系统中该规则命名为‘单齿合规则’；

    3.IC卡信息处理器的CPU将该用户的储户名称、用户名AAAAAA、静态密码66668888、IC卡内部卡号987654321及动态口令合成规则码A001等信息存入注册用户注册信息数据库的用户登记表tet_usertable及IC卡登记表tet_ic中；

    4.操作人员将一空白IC卡插入IC卡写卡装置内，本系统的IC卡信息处理器经IC卡写卡装置将用户名AAAAAA和静态密码66668888作为用户标识写入IC卡；

    5.新卡交付用户保存使用。

    用户登录系统的身份认证：

    用户首先将个人IC卡插入IC卡读卡机，系统进入用户身份认证程序。其处理流程如下：

    1.前端认证处理器首先读取IC卡中的IC卡标识信息，判断是否为“ZYXW”，不是则提示错误并终止本次认证，若是，则继续处理；

    2.前端认证处理器首先读取IC卡中的用户标识，传输给后台认证控制器；

    3.后台认证控制器接收到用户标识信息后，检索用户注册信息数据库中的用户登记表tet_usertable与用户标识相匹配的记录，并返回是否存在匹配用户的结果报告；

    4.前端认证处理器显示数据处理窗口，提请用户输入用户名和静态密码，该输入信息与IC卡中的用户名和静态密码比较，以此判断该用户对IC卡的使用合法性，若一致，则向后台认证控制器发出静态验证通过的标志信息，否则重复一定次数的输入和验证过程，在限定的次数内验证均告错误则退出认证处理；

    5.后台认证控制器在接收到前端认证处理器发来的作为第一阶段的静态验证通过的标志信息后，产生公用消息包1，然后自动生成一随机数，假定为‘234567890123’，系统截取前四个字符，转换为动态口令子串一“2345”，传输到前端认证处理器；

    6.前端认证处理器从IC卡中读取一随机数，假定为‘987654321’，系统截取前四个字符，转换为动态口令子串二“9876”，和动态口令子串一“2345”显示于身份认证窗口，并提示用户进行动态口令码组合输入；

    7.用户按照预留的组合规则A001组合方法完成由动态口令子串一和动态口令子串二组合为动态口令的组合输入；

    8.前端认证处理器接收到用户输入的组合动态口令后，将组合动态口令和根据IC卡产生的随机数加工生成的动态口令子串二传输到后台认证控制器；

    9.后台认证控制器按照用户预留的动态口令组合规则将动态口令子串一和传输来的动态口令子串二进行组合运算，其结果与前端认证处理器传输来的组合动态口令码比较，判断是否为“29384756”，并将比较结果传回前端认证处理器，并在比较一致情况下产生公用消息包2，以此完成第二阶段的动态验证；

    10.前端认证处理器接收后台认证控制器发来的动态口令认证结果，如果其结果为“通过”，则允许用户进入操作系统或特定应用，否则重复一定次数的上述步骤7-9的动态口令输入和验证过程，在限定的次数内验证均告错误则拒绝进入。