基于动态口令的身份认证方法、装置和动态令牌.pdf

《基于动态口令的身份认证方法、装置和动态令牌.pdf》由会员分享，可在线阅读，更多相关《基于动态口令的身份认证方法、装置和动态令牌.pdf（23页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010017764.7 (22)申请日 2020.01.08 (71)申请人 牛津 （海南） 区块链研究院有限公司 地址 571924 海南省澄迈县海南生态软件 园沃克公园8848 (72)发明人 曾庆非燕云陆晓 (74)专利代理机构 北京集佳知识产权代理有限 公司 11227 代理人 李慧引 (51)Int.Cl. G06K 17/00(2006.01) G06K 19/06(2006.01) (54)发明名称 基于动态口令的身份认证方法、 装置和动态 令牌 (57)摘要。

2、 本发明提供一种基于动态口令的身份认证 方法、 装置和动态令牌， 动态令牌基于事件同步 机制生成动态因子后， 用加密算法计算动态因子 和动态令牌的设备标识， 得到动态验证码， 再将 动态因子、 动态令牌的设备标识和动态验证码转 换为动态二维码， 最后显示动态二维码； 其中， 动 态二维码用于将动态因子， 动态令牌的设备标识 和动态验证码提供于服务器， 由服务器利用动态 因子和动态令牌的设备标识校验动态验证码。 本 方案中， 动态令牌将动态验证码、 动态因子和设 备标识通过动态二维码提供给服务器， 服务器利 用动态二维码中的信息就可以完成身份验证， 而 不需要保持和动态令牌一致的同步信息， 从而。

3、解 决了动态令牌和服务器失步导致的身份认证失 败的问题。 权利要求书3页 说明书14页 附图5页 CN 111126533 A 2020.05.08 CN 111126533 A 1.一种基于动态口令的身份认证方法， 其特征在于， 应用于动态令牌， 所述身份认证方 法包括： 基于事件同步机制生成动态因子； 利用加密算法计算所述动态因子和所述动态令牌的设备标识， 得到动态验证码； 将所述动态因子、 所述动态令牌的设备标识和所述动态验证码转换为动态二维码； 显示所述动态二维码； 其中， 所述动态二维码用于将所述动态因子， 所述动态令牌的设 备标识和所述动态验证码提供于服务器， 由所述服务器利用所述。

4、动态因子和所述动态令牌 的设备标识校验所述动态验证码。 2.根据权利要求1所述的身份认证方法， 其特征在于， 所述将所述动态因子、 所述动态 令牌的设备标识和所述动态验证码转换为动态二维码之前， 还包括： 利用签名算法计算所述动态令牌的设备标识， 得到所述动态令牌的设备签名； 其中， 所述将所述动态因子、 所述动态令牌的设备标识和所述动态验证码转换为动态 二维码， 包括： 将所述动态因子、 所述动态令牌的设备标识、 所述动态验证码以及所述动态令牌的设 备签名转换为动态二维码。 3.根据权利要求2所述的身份认证方法， 其特征在于， 所述将所述动态因子、 所述动态 令牌的设备标识、 所述动态验证码。

5、以及所述动态令牌的设备签名转换为动态二维码， 包括： 拼接所述动态因子、 所述动态令牌的设备标识、 所述动态验证码和所述动态令牌的设 备签名， 得到认证消息； 用二维码转换算法将所述认证消息转换为动态二维码。 4.根据权利要求1所述的身份认证方法， 其特征在于， 所述基于事件同步机制生成动态 因子， 包括： 将所述动态令牌的累计开机次数， 以及所述动态令牌的二维码生成按钮的累计被点击 次数确定为动态因子。 5.根据权利要求1至4中任意一项所述的身份认证方法， 其特征在于， 所述动态二维码 的编码格式为： hex编码格式。 6.一种基于动态口令的身份认证方法， 其特征在于， 应用于服务器， 所述。

6、身份认证方法 包括： 接收终端设备上传的动态二维码； 其中， 所述动态二维码由所述终端设备从动态令牌 获取； 从所述动态二维码中解析出动态因子、 所述动态令牌的设备标识和动态验证码； 其中， 所述动态因子由所述动态令牌基于事件同步机制生成， 所述动态验证码由所述动态令牌用 加密算法计算所述动态因子和所述动态令牌的设备标识得到； 利用所述动态因子和所述动态令牌的设备标识校验所述动态验证码； 若所述动态验证码未通过校验， 确定待认证用户未通过身份认证； 若所述动态验证码通过校验， 且所述待认证用户的用户信息和所述动态令牌的设备标 识匹配成功， 确定所述待认证用户通过身份认证。 7.根据权利要求6所。

7、述的身份认证方法， 其特征在于， 所述利用所述动态因子和所述动 态令牌的设备标识校验所述动态验证码之前， 还包括： 权利要求书 1/3 页 2 CN 111126533 A 2 从所述动态二维码中解析出所述动态令牌的设备签名； 其中， 所述动态令牌的设备签 名由所述动态令牌用签名算法计算所述动态令牌的设备标识得到； 其中， 所述利用所述动态因子和所述动态令牌的设备标识校验所述动态验证码， 包括： 利用所述动态令牌的设备标识校验所述动态令牌的设备签名； 若所述动态令牌的设备签名通过校验， 利用所述动态因子和所述动态令牌的设备标识 校验所述动态验证码。 8.一种基于动态口令的身份认证装置， 其特征。

8、在于， 应用于动态令牌， 所述身份认证装 置包括： 生成单元， 用于基于事件同步机制生成动态因子； 加密单元， 用于利用加密算法计算所述动态因子和所述动态令牌的设备标识， 得到动 态验证码； 转换单元， 用于将所述动态因子、 所述动态令牌的设备标识和所述动态验证码转换为 动态二维码； 显示单元， 用于显示所述动态二维码； 其中， 所述动态二维码用于将所述动态因子， 所 述动态令牌的设备标识和所述动态验证码提供于服务器， 由所述服务器利用所述动态因子 和所述动态令牌的设备标识校验所述动态验证码。 9.根据权利要求8所述的身份认证装置， 其特征在于， 所述加密单元还用于， 利用签名 算法计算所述动。

9、态令牌的设备标识， 得到所述动态令牌的设备签名； 其中， 所述转换单元将所述动态因子， 所述动态令牌的设备标识和所述动态验证码转 换为动态二维码时， 具体用于： 将所述动态因子、 所述动态令牌的设备标识、 所述动态验证码以及所述动态令牌的设 备签名转换为动态二维码。 10.根据权利要求9所述的身份认证装置， 其特征在于， 所述转换单元将所述动态因子、 所述动态令牌的设备标识、 所述动态验证码以及所述动态令牌的设备签名转换为动态二维 码时， 具体用于： 拼接所述动态因子、 所述动态令牌的设备标识、 所述动态验证码以及所述动态令牌的 设备签名， 得到认证消息； 用二维码转换算法将所述认证消息转换为。

10、动态二维码。 11.根据权利要求8所述的身份认证装置， 其特征在于， 所述生成单元基于事件同步机 制生成动态因子时， 具体用于： 将所述动态令牌的累计开机次数， 以及所述动态令牌的二维码生成按钮的累计被点击 次数确定为动态因子。 12.根据权利要求8至11中任意一项所述的身份认证装置， 其特征在于， 所述动态二维 码的编码格式为： hex编码格式。 13.一种基于动态口令的身份认证装置， 其特征在于， 应用于服务器， 所述身份认证装 置包括： 接收单元， 用于接收终端设备上传的动态二维码； 其中， 所述动态二维码由所述终端设 备从动态令牌获取； 解析单元， 用于从所述动态二维码中解析出动态因子。

11、、 所述动态令牌的设备标识和动 态验证码； 其中， 所述动态因子由所述动态令牌基于事件同步机制生成， 所述动态验证码由 权利要求书 2/3 页 3 CN 111126533 A 3 所述动态令牌用加密算法计算所述动态因子和所述动态令牌的设备标识得到； 校验单元， 用于利用所述动态因子和所述动态令牌的设备标识校验所述动态验证码； 确定单元， 用于若所述动态验证码未通过校验， 确定待认证用户未通过身份认证； 所述确定单元， 用于若所述动态验证码通过校验， 且所述待认证用户的用户信息和所 述动态令牌的设备标识匹配成功， 确定所述待认证用户通过身份认证。 14.根据权利要求13所述的身份认证装置， 其。

12、特征在于， 所述解析单元还用于： 从所述动态二维码中解析出所述动态令牌的设备签名； 其中， 所述动态令牌的设备签 名由所述动态令牌用签名算法计算所述动态令牌的设备标识得到； 其中， 所述校验单元利用所述动态因子和所述动态令牌的设备标识校验所述动态验证 码时， 具体用于： 利用所述动态令牌的设备标识校验所述动态令牌的设备签名； 若所述动态令牌的设备 签名通过校验， 利用所述动态因子和所述动态令牌的设备标识校验所述动态验证码。 15.一种动态令牌， 其特征在于， 包括： 主控芯片， 与所述主控芯片连接的安全芯片， 与所述主控芯片连接的显示屏， 控制按键 和电池； 其中： 所述主控芯片， 用于执行如。

13、权利要求1至5中任意一项所述的基于动态口令的身份认证 方法， 并将得到的动态二维码提供于所述显示屏进行显示； 所述安全芯片， 用于存储所述主控芯片生成的动态因子、 所述主控芯片生成动态验证 码时利用的加密算法、 以及所述主控芯片得到所述动态令牌的设备签名时利用的私钥。 16.根据权利要求15所述的动态令牌， 其特征在于， 所述动态令牌还包括： 通用串行总 线的接口和蓝牙通讯模组。 权利要求书 3/3 页 4 CN 111126533 A 4 基于动态口令的身份认证方法、 装置和动态令牌 技术领域 0001 本发明涉及身份认证技术领域， 特别涉及一种基于动态口令的身份认证方法、 装 置和动态令牌。

14、。 背景技术 0002 动态口令技术是一种常见的身份认证技术。 现有的一种动态口令技术是： 动态令 牌用加密算法计算动态令牌的同步信息(例如， 当前时间或者事件发生次数)得到验证码， 服务器获得验证码之后基于服务器的同步信息对验证码进行校验， 根据校验结果进行身份 认证。 0003 现有的这种动态口令技术的问题在于， 动态令牌的同步信息和服务器的同步信息 需要保持一致才能够实现有效的身份认证。 然而， 在实际使用过程中动态令牌和服务器之 间经常会出现失步(即同步信息不一致)情况， 导致身份认证失败。 发明内容 0004 基于上述现有技术的缺点， 本发明提供一种基于动态口令的身份认证方法、 装置。

15、 和动态令牌， 以避免由动态令牌和服务器失步引起的身份认证失败。 0005 本发明第一方面提供一种基于动态口令的身份认证方法， 应用于动态令牌， 所述 身份认证方法包括： 0006 基于事件同步机制生成动态因子； 0007 利用加密算法计算所述动态因子和所述动态令牌的设备标识， 得到动态验证码； 0008 将所述动态因子、 所述动态令牌的设备标识和所述动态验证码转换为动态二维 码； 0009 显示所述动态二维码； 其中， 所述动态二维码用于将所述动态因子， 所述动态令牌 的设备标识和所述动态验证码提供于服务器， 由所述服务器利用所述动态因子和所述动态 令牌的设备标识校验所述动态验证码。 001。

16、0 可选的， 所述将所述动态因子、 所述动态令牌的设备标识和所述动态验证码转换 为动态二维码之前， 还包括： 0011 利用签名算法计算所述动态令牌的设备标识， 得到所述动态令牌的设备签名； 0012 其中， 所述将所述动态因子、 所述动态令牌的设备标识和所述动态验证码转换为 动态二维码， 包括： 0013 将所述动态因子、 所述动态令牌的设备标识、 所述动态验证码以及所述动态令牌 的设备签名转换为动态二维码。 0014 可选的， 所述将所述动态因子、 所述动态令牌的设备标识和所述动态验证码转换 为动态二维码， 包括： 0015 拼接所述动态因子、 所述动态令牌的设备标识和所述动态验证码， 得。

17、到认证消息； 0016 用二维码转换算法将所述认证消息转换为动态二维码。 说明书 1/14 页 5 CN 111126533 A 5 0017 可选的， 所述基于事件同步机制生成动态因子， 包括： 0018 将所述动态令牌的累计开机次数， 以及所述动态令牌的二维码生成按钮的累计被 点击次数确定为动态因子。 0019 可选的， 所述动态二维码的编码格式为： hex编码格式。 0020 本发明第二方面提供一种基于动态口令的身份认证方法， 应用于服务器， 所述身 份认证方法包括： 0021 接收终端设备上传的动态二维码； 其中， 所述动态二维码由所述终端设备从动态 令牌获取； 0022 从所述动态二。

18、维码中解析出动态因子、 所述动态令牌的设备标识和动态验证码； 其中， 所述动态因子由所述动态令牌基于事件同步机制生成， 所述动态验证码由所述动态 令牌用加密算法计算所述动态因子和所述动态令牌的设备标识得到； 0023 利用所述动态因子和所述动态令牌的设备标识校验所述动态验证码； 0024 若所述动态验证码未通过校验， 确定待认证用户未通过身份认证； 0025 若所述动态验证码通过校验， 且所述待认证用户的用户信息和所述动态令牌的设 备标识匹配成功， 确定所述待认证用户通过身份认证。 0026 可选的， 所述利用所述动态因子和所述动态令牌的设备标识校验所述动态验证码 之前， 还包括： 0027 。

19、从所述动态二维码中解析出所述动态令牌的设备签名； 其中， 所述动态令牌的设 备签名由所述动态令牌用签名算法计算所述动态令牌的设备标识得到； 0028 其中， 所述利用所述动态因子和所述动态令牌的设备标识校验所述动态验证码， 包括： 0029 利用所述动态令牌的设备标识校验所述动态令牌的设备签名； 0030 若所述动态令牌的设备签名通过校验， 利用所述动态因子和所述动态令牌的设备 标识校验所述动态验证码。 0031 本发明第三方面提供一种基于动态口令的身份认证装置， 应用于动态令牌， 所述 身份认证装置包括： 0032 生成单元， 用于基于事件同步机制生成动态因子； 0033 加密单元， 用于利。

20、用加密算法计算所述动态因子和所述动态令牌的设备标识， 得 到动态验证码； 0034 转换单元， 用于将所述动态因子、 所述动态令牌的设备标识和所述动态验证码转 换为动态二维码； 0035 显示单元， 用于显示所述动态二维码； 其中， 所述动态二维码用于将所述动态因 子， 所述动态令牌的设备标识和所述动态验证码提供于服务器， 由所述服务器利用所述动 态因子和所述动态令牌的设备标识校验所述动态验证码。 0036 可选的， 所述加密单元还用于， 利用签名算法计算所述动态令牌的设备标识， 得到 所述动态令牌的设备签名； 0037 其中， 所述转换单元将所述动态因子， 所述动态令牌的设备标识和所述动态验。

21、证 码转换为动态二维码时， 具体用于： 0038 将所述动态因子、 所述动态令牌的设备标识、 所述动态验证码以及所述动态令牌 说明书 2/14 页 6 CN 111126533 A 6 的设备签名转换为动态二维码。 0039 可选的， 所述转换单元将所述动态因子、 所述动态令牌的设备标识和所述动态验 证码转换为动态二维码时， 具体用于： 0040 拼接所述动态因子、 所述动态令牌的设备标识和所述动态验证码， 得到认证消息； 用二维码转换算法将所述认证消息转换为动态二维码。 0041 可选的， 所述生成单元基于事件同步机制生成动态因子时， 具体用于： 0042 将所述动态令牌的累计开机次数， 以。

22、及所述动态令牌的二维码生成按钮的累计被 点击次数确定为动态因子。 0043 可选的， 所述动态二维码的编码格式为： hex编码格式。 0044 本发明第四方面提供一种基于动态口令的身份认证装置， 应用于服务器， 所述身 份认证装置包括： 0045 接收单元， 用于接收终端设备上传的动态二维码； 其中， 所述动态二维码由所述终 端设备从动态令牌获取； 0046 解析单元， 用于从所述动态二维码中解析出动态因子、 所述动态令牌的设备标识 和动态验证码； 其中， 所述动态因子由所述动态令牌基于事件同步机制生成， 所述动态验证 码由所述动态令牌用加密算法计算所述动态因子和所述动态令牌的设备标识得到； 。

23、0047 校验单元， 用于利用所述动态因子和所述动态令牌的设备标识校验所述动态验证 码； 0048 确定单元， 用于若所述动态验证码未通过校验， 确定待认证用户未通过身份认证； 0049 所述确定单元， 用于若所述动态验证码通过校验， 且所述待认证用户的用户信息 和所述动态令牌的设备标识匹配成功， 确定所述待认证用户通过身份认证。 0050 可选的， 所述解析单元还用于： 0051 从所述动态二维码中解析出所述动态令牌的设备签名； 其中， 所述动态令牌的设 备签名由所述动态令牌用签名算法计算所述动态令牌的设备标识得到； 0052 其中， 所述校验单元利用所述动态因子和所述动态令牌的设备标识校验。

24、所述动态 验证码时， 具体用于： 0053 利用所述动态令牌的设备标识校验所述动态令牌的设备签名； 若所述动态令牌的 设备签名通过校验， 利用所述动态因子和所述动态令牌的设备标识校验所述动态验证码。 0054 本发明第五方面提供一种动态令牌， 包括： 0055 主控芯片， 与所述主控芯片连接的安全芯片， 与所述主控芯片连接的显示屏， 控制 按键和电池； 其中： 0056 所述主控芯片， 用于执行如本申请第一方面任意一项提供的基于动态口令的身份 认证方法， 并将得到的动态二维码提供于所述显示屏进行显示； 0057 所述安全芯片， 用于存储所述主控芯片生成的动态因子、 所述主控芯片生成动态 验证码。

25、时利用的加密算法、 以及所述主控芯片得到所述动态令牌的设备签名时利用的私 钥。 0058 可选的， 所述动态令牌还包括： 通用串行总线的接口和蓝牙通讯模组。 0059 本发明提供一种基于动态口令的身份认证方法、 装置和动态令牌， 动态令牌基于 事件同步机制生成动态因子后， 用加密算法计算动态因子和动态令牌的设备标识， 得到动 说明书 3/14 页 7 CN 111126533 A 7 态验证码， 再将动态因子、 动态令牌的设备标识和动态验证码转换为动态二维码， 最后显示 动态二维码； 其中， 动态二维码用于将动态因子， 动态令牌的设备标识和动态验证码提供于 服务器， 由服务器利用动态因子和动态。

26、令牌的设备标识校验动态验证码。 本方案中， 动态令 牌将动态验证码、 动态因子和设备标识通过动态二维码提供给服务器， 服务器利用动态二 维码中的信息就可以完成身份验证， 而不需要保持和动态令牌一致的同步信息， 从而解决 了动态令牌和服务器失步导致的身份认证失败的问题。 附图说明 0060 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图仅仅是本 发明的实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据 提供的附图获得其他的附图。 0061 图1为本申请一个实施例提供。

27、的一种基于动态口令的身份认证方法的流程图； 0062 图2为本申请又一实施例提供的一种基于动态口令的身份认证方法的流程图； 0063 图3为本申请实施例提供的一种身份认证的应用场景的示意图； 0064 图4为本申请一个实施例提供的一种基于动态口令的身份认证装置的结构示意 图； 0065 图5为本申请又一实施例提供的一种基于动态口令的身份认证装置的结构示意 图； 0066 图6为本申请一个实施例提供的一种动态令牌的结构示意图。 具体实施方式 0067 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完 整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全。

28、部的实施例。 基于 本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例， 都属于本发明保护的范围。 0068 动态口令(Dynamic Password)是利用预设的加密算法对一个动态因子进行计算 后得到的随机数字串， 一定时间段内， 每个动态口令只能使用一次， 并且， 每次生成动态口 令时， 动态因子都会发生变化， 对应的生成的动态口令也与之前的动态口令不同。 基于上述 特性， 动态口令被广泛运用在网银、 网游、 电信运营商、 电子商务、 企业需要对用户进行身份 认证， 并且对安全性要求较高的领域。 0069 根据动态因子产生的方式， 现有的基于动态口令。

29、的身份认证技术可以分为同步和 异步两类。 同步技术中， 动态令牌(泛指用于生成动态口令的便携式电子设备， 主要包括芯 片和显示屏， 芯片用于执行加密算法以生成动态口令)可以将动态令牌自身所记录的当前 时间或者当前的累计动态口令生成次数作为第一动态因子， 生成的动态口令上传至服务器 后， 服务器将服务器所记录的当前时间或者累计用户登录次数作为第二动态因子， 基于第 二动态因子校验动态口令， 从而实现身份认证。 0070 其中， 以时间作为动态因子的技术称为基于时间同步的动态口令技术， 分别以累 计动态口令生成次数和累计用户登录次数作为动态因子的技术称为基于事件同步的动态 说明书 4/14 页 8。

30、 CN 111126533 A 8 口令技术。 0071 同步技术的问题在于， 服务器和动态令牌之间需要保持同步才能正常的进行身份 认证， 这里的同步是指， 服务器使用的第二动态因子和动态令牌使用的第一动态因子必须 保持一致。 然而， 不论是基于时间同步还是基于事件同步， 服务器和动态令牌之间均存在失 步(也就是可能会出现服务器使用的动态因子和动态令牌使用的动态因子不一致)的风险， 导致身份认证无法正常进行。 0072 具体的， 基于时间同步的动态口令技术中， 随着时间的推移， 动态令牌的计时器和 服务器的计时器之间可能存在一定的偏差， 具体的， 可能当前时刻动态令牌的计时器的读 数是10:0。

31、1:30， 而服务器的计时器的读数是10:02:00， 这种情况下， 服务器和动态令牌的动 态因子就会不一致， 导致身份认证无法正常进行。 0073 基于事件同步的动态口令技术中， 在需要登录系统的场合之外， 用户也可能会执 行多次无目的的动态口令生成操作， 换言之， 用户操作动态令牌生成动态口令的次数， 很可 能不等于用户登录的次数， 对应的， 动态令牌和服务器之间的动态因子就会不一致， 导致身 份认证失败。 0074 异步的动态口令技术中， 动态令牌需要先从服务器获取一个挑战码， 然后将这个 挑战码作为动态因子并基于该动态因子生成动态口令， 最后将动态口令提供给服务器进行 身份认证。 这种。

32、技术中， 由于动态令牌一般不接入网络， 因此每次生成动态口令时用户都需 要操作动态令牌与服务器进行交互(例如， 向动态令牌输入挑战码， 或者， 用动态令牌扫描 服务器提供的携带有挑战码的二维码等)， 身份认证过程较复杂， 用户体验较差。 0075 因此， 本申请提供一种新型的基于动态口令的身份认证方法以及相关设备， 以解 决上述现有技术的问题。 0076 请参考图1， 本申请第一个实施例提供一种基于动态口令的身份认证方法， 该方法 包括以下步骤： 0077 S101、 动态令牌基于事件同步机制生成动态因子。 0078 动态令牌是一种独立的便携式硬件设备， 动态令牌配置有处理器， 存储器以及其 。

33、他相关部件(如显示屏， 通信接口等)， 存储器存储有： 设备标识， 动态因子和加密算法， 处理 器则用于利用加密算法对动态因子进行计算， 从而生成动态口令。 0079 事件同步机制， 是指， 统计动态令牌中某些事件的累计发生次数， 每次需要产生动 态口令时， 将当前这些事件的累计发生次数确定为动态因子， 并利用这一动态因子执行后 续步骤。 0080 具体的， 上述事件可以是， 动态令牌的开机和点击动态令牌的二维码生成按钮两 者中的任意一种， 或者两者的组合。 0081 二维码生成按钮是本申请提供的动态令牌上配置的一个按钮， 每次用户点击该按 钮， 动态令牌就会执行本申请任一实施例所提供的方法中。

34、生成动态口令以及对应的二维码 的步骤， 从而生成并显示一个至少携带有动态令牌的设备标识， 本次生成的动态口令， 以及 本次使用的动态因子等信息的动态二维码。 0082 也就是说， 执行步骤S101时， 动态令牌可以直接将当前的累计开机次数确定为动 态因子， 也可以直接将当前二维码生成按钮的累计点击次数确定为动态因子， 还可以将当 前的累计开机次数和当前二维码生成按钮的累计点击次数合并为一个数字串， 将这个数字 说明书 5/14 页 9 CN 111126533 A 9 串确定为动态因子。 0083 具体的， 动态令牌的存储器中可以配置有用于记录开机次数的第一变量以及和用 于记录按钮点击次数的第。

35、二变量， 动态令牌出厂是上述变量被初始化为0， 出厂后， 每次开 机时第一变量的变量值自动加1， 并且， 每次二维码生成按钮被用户点击时， 第二变量的变 量值自动加1， 执行步骤S101时， 动态令牌的处理器直接从存储器读取第一变量和/或第二 变量的变量值， 将变量值确定为动态因子即可。 0084 根据上述生成动态因子的方法， 可以理解的， 本申请提供的方法中的动态因子是 单向递增的动态因子， 也就是说， 在动态令牌的整个生命周期内， 动态令牌每次执行本申请 任一实施例时所生成的动态因子， 均大于动态令牌前一次生成的动态因子。 0085 S102、 动态令牌利用加密算法计算动态因子和动态令牌的。

36、设备标识， 得到动态验 证码。 0086 步骤S102中的动态验证码， 就是前文所述的用于进行身份认证的动态口令。 0087 有多种现有的加密算法可以用于实现步骤S102， 例如： MD5(Message Digest Algorithm 5)算法， SHA(Secure Hash Algorithm)算法， MAC(Message Authentication Code)算法等， 这些算法均可以对任意长的输入字符串(在本申请中， 输入字符串就是动态 因子和动态令牌的设备标识)进行处理， 得到固定长度的输出字符串(在本申请中， 输出字 符串就是上述动态验证码)。 只要预先在动态令牌中配置现有的。

37、任意一种加密算法， 动态令 牌就可以利用该加密算法对动态因子和动态令牌进行计算， 得到对应的动态验证码。 0088 以输出长度为256位的安全散列(Secure Hash Algorithm)算法SHA-256为例， 动 态令牌的存储器中预先存储有用于实现SHA-256算法的加密程序， 执行步骤S102时， 处理器 将动态因子和动态令牌的设备标识拼接为一个输入字符串， 从存储器加载加密程序， 将输 入字符串作为加密程序的输入参数， 然后运行加密程序， 加密程序运行结束输出的字符串， 就是步骤S102所述的动态验证码。 0089 步骤S102所述的设备标识， 可以是动态令牌的存储器中保存的动态令。

38、牌的设备序 列号， 和动态令牌的设备私钥两者中的任意一种， 也可以是两者的组合， 当然， 也可以将其 他的能够唯一的标识一个动态令牌的信息作为设备标识。 0090 S103、 动态令牌将动态因子、 动态令牌的设备标识和动态验证码转换为动态二维 码。 0091 步骤S103的具体执行过程是： 0092 将动态因子、 动态令牌的设备标识和动态验证码拼接得到认证消息， 可以理解的， 这个认证消息是一个由前述信息组合成的字符串。 0093 用二维码转换算法将认证消息转换为动态二维码。 0094 可选的， 转换得到的动态二维码的编码格式可以是hex编码格式。 0095 相比于现在常见的ASC编码格式， 。

39、hex编码格式占用的字符数据更少。 例如， 对于 同样的信息量， 转换成ASC编码格式的二维码需要占用160Byte的数据， 而转换成hex编码 格式的二维码只需要占用96Byte的数据量， 进一步的， 由于占用的数据量较少， 在动态二维 码显示的环节， hex编码格式的二维码需要显示的二维码像素点会少于ASC编码格式的二 维码需要显示的二维码像素点， 从而解决动态令牌的显示屏较小时， 二维码像素点过密导 致的二维码扫描失败的问题。 说明书 6/14 页 10 CN 111126533 A 10 0096 另一方面， 目前常用的二维码扫描工具一般只能解析ASC编码格式的二维码， 而 不能解析h。

40、ex编码格式的二维码， 因此， 采用hex编码格式的二维码能够确保动态令牌显示 的二维码只能被特定的终端设备或服务器解析， 从而提高安全性， 避免动态二维码中携带 的信息泄露。 0097 S104、 动态令牌显示动态二维码。 0098 动态令牌配置有显示屏， 处理器生成动态二维码之后就可以控制显示屏显示上述 动态二维码。 0099 S105、 服务器从动态令牌获取动态二维码。 0100 需要说明的是， 为了确保安全性， 动态令牌一般不具有网络连接功能， 因此， 步骤 S105的具体实现过程是： 0101 本地的第一终端设备从动态令牌获取动态二维码， 将动态二维码通过网络上传至 服务器。 010。

41、2 上述第一终端设备可以是接入互联网的个人电脑、 平板电脑或智能手机等设备。 0103 可选的， 本地的第一终端设备可以通过下述任意一种方式从动态令牌获取上述动 态二维码： 0104 第一， 若第一终端设备具有二维码扫描功能， 用户可以直接用第一终端设备扫描 动态令牌的显示屏， 然后第一终端设备就可以读取动态令牌在显示屏上显示的动态二维 码。 0105 第二， 本申请提供的动态令牌可以配置有蓝牙通讯模组， 动态令牌可以通过蓝牙 通讯模组和同样具有蓝牙通信功能的第一终端设备进行通信， 然后在生成动态二维码后将 动态二维码通过蓝牙发送给第一终端设备， 然后第一终端设备将动态二维码上传至服务 器。 。

42、0106 第三， 本申请提供的动态令牌还可以配置通用串行总线(Universal Serial Bus， USB)接口， 用户可以用数据线连接动态令牌和第一终端设备， 然后第一终端设备通过动态 令牌的USB接口接收动态令牌的动态二维码， 并将动态二维码发送给服务器。 0107 S106、 服务器解析动态二维码。 0108 如前文所述， 动态二维码是动态令牌对动态因子、 动态令牌的设备标识和动态验 证码进行转换后得到的二维码， 因此， 服务器通过解析动态令牌提供的动态二维码， 就可以 提取出其中的动态因子、 动态令牌的设备标识和动态验证码。 0109 S107、 服务器校验动态验证码。 0110。

43、 若动态验证码通过校验， 则执行步骤S108， 若动态验证码未通过校验， 则执行步骤 S109。 0111 服务器对动态验证码的校验过程是： 0112 利用服务器中预先配置的加密算法对动态因子和动态令牌的设备标识进行计算， 得到校验码， 若校验码和动态令牌提供的动态验证码一致， 则认为动态令牌提供的动态验 证码， 反之， 若校验码和动态令牌提供的动态验证码不一致， 则认为动态验证码未通过校 验。 0113 需要说明的是， 服务器使用的加密算法和动态令牌中配置的加密算法是同一加密 算法， 例如， 若动态令牌使用SHA-256算法对动态因子和设备标识码进行计算从而生成动态 说明书 7/14 页 1。

44、1 CN 111126533 A 11 验证码， 那么， 上述服务器生成的校验码时也是用SHA-256对动态因子和设备标识码进行计 算得到。 对应的， 服务器用加密算法对动态因子和动态令牌的设备标识进行计算得到校验 码的过程和前述动态令牌计算得到动态验证码的过程一致， 此处不再赘述。 0114 也就是说， 本申请提供了配置有相同的加密算法的动态令牌和服务器， 当服务器 从动态二维码中解析得到动态因子、 动态令牌的设备标识和动态验证码， 并且动态验证码 通过校验之后， 就可以认为当前请求进行身份认证的用户(记为待认证用户)持有本申请提 供的可信的动态令牌， 因而可以进行后续的身份认证的步骤， 反。

45、之， 若动态验证码未通过校 验， 那么就认为待认证用户未持有本申请提供的可信的动态令牌， 这种情况下就可以直接 确定待认证用户为非法用户， 即执行步骤S109。 0115 S108、 服务器将设备标识和用户信息进行匹配。 0116 上述用户信息， 是待认证用户的用户信息， 具体的， 待认证用户的用户信息， 可以 是该用户的账号， 用户名或者可以唯一标识该用户的信息。 0117 若动态令牌的设备标识和待认证用户的用户信息匹配失败， 则执行步骤S109， 若 若动态令牌的设备标识和待认证用户的用户信息匹配失成功， 则执行步骤S110。 0118 具体的， 为用户发放动态令牌时， 可以在服务器的数据。

46、库中记录动态令牌的设备 标识， 以及持有该动态令牌的用户的用户信息之间的对应关系。 执行步骤S108时， 服务器直 接从数据库中查找出动态令牌携带的设备标识所对应的用户信息， 若查找得到的用户信息 和第二终端设备提供待认证用户的用户信息一致， 就认为动态令牌的设备标识和待认证用 户的用户信息匹配成功， 若查找得到的用户信息和第二终端设备提供待认证用户的用户信 息不一致， 就认为动态令牌的设备标识和待认证用户的用户信息匹配失败。 0119 S109、 服务器确定待认证用户未通过身份认证。 0120 S110、 服务器确定待认证用户通过身份认证。 0121 可选的， 若服务器确定待认证用户未通过身。

47、份认证， 可以向第二终端设备发送认 证失败信息， 若服务器确定待认证用户通过身份认证， 可以向第二终端设备发送认证成功 信息， 并授权执行后续操作。 0122 第二终端设备可以是接入互联网的个人电脑、 平板电脑或智能手机等设备。 0123 需要说明的是， 第二终端设备和前述第一终端设备可以是同一终端设备， 也可以 是不同终端设备。 0124 第一方面， 用户可以在移动终端(如智能手机)上请求执行需要授权的操作， 移动 终端提示用户提供动态二维码后， 用户触发动态令牌生成动态二维码， 然后用户用同一移 动终端扫描动态二维码， 该移动终端将动态二维码上传服务器， 服务器校验后， 确定用户是 否通过。

48、身份认证， 若用户通过身份认证， 则向该移动终端发送认证成功信息， 并提供授权该 移动终端执行后续操作， 若用户未通过身份认证， 则向该移动终端发送认证失败信息。 0125 第二方面， 用户可以在个人电脑上请求执行需要授权的操作， 然后在触发动态令 牌生成动态二维码后， 用手机扫描动态二维码并提供于服务器， 服务器校验后， 若用户通过 身份认证， 则向该电脑发送认证成功信息， 并授权该电脑执行后续操作， 若用户未通过身份 认证， 则向该电脑发送认证失败信息。 0126 本申请实施例提供一种基于动态口令的身份认证方法， 动态令牌基于事件同步机 制生成动态因子后， 将动态因子， 设备标识以及根据动。

49、态因子生成的动态验证码以动态二 说明书 8/14 页 12 CN 111126533 A 12 维码的形式提供于服务器， 服务器从动态二维码中解析出动态因子， 设备标识和动态验证 码， 然后基于这些解析得到的信息对用户进行身份认证。 0127 本发明第一方面能够解决现有的异步的动态口令技术中认证流程复杂的问题。 用 户需要进行身份认证时， 只需要点击动态令牌上对应的按钮， 然后用终端设备获取动态令 牌的动态二维码， 就可以实现身份认证的过程， 生成动态二维码之前不需要用户操作动态 令牌与服务器进行交互， 有效的简化身份认证流程， 改善用户体验。 0128 本发明第二方面能够解决现有的同步的动态。

50、口令技术中动态令牌和服务器之间 由于失步而引起的身份认证失败的问题。 现有的同步的动态口令技术中， 动态令牌用自身 的时钟或事件发生次数作为动态因子生成动态口令， 服务器又利用服务器自身的时钟或事 件发生次数作为动态因子校验动态口令， 一旦服务器和动态令牌两者的时钟或者事件发生 次数不一致， 服务器和动态令牌就会失步。 本方案中， 动态令牌以自身的事件发生次数作为 动态因子生成动态验证码后， 通过终端设备实现和服务器的交互， 直接将动态因子和动态 验证码一并提供于服务器， 使得服务器能够以动态令牌的事件发生次数作为动态因子进行 校验， 因此， 每次进行身份认证时动态令牌和服务器的动态因子均能够。