一次性密码生成的方法、装置及认证方法、认证系统的制作方法

一次性密码生成的方法、装置及认证方法、认证系统的制作方法
【专利摘要】本发明公开了一种一次性密码生成的方法、装置及认证方法、认证系统。其中该认证方法包括如下步骤：接收用户通过第一使用者界面输入的交易信息及自设定的传输代码；根据交易信息及传输代码生成与传输信息对应的一次性密码(One?Time?Password，OTP)；将一次性密码传输到用户的第二使用者界面，并显示；接收用户回传的一次性密码；通过判断回传的一次性密码是否正确确定是否进行交易授权。其生成的OTP具有银行等验证端自身设定随机数的同时包含用户自身设定的非交易信息的传输代码，避免网络及银行内部对账户资料的盗取及对交易信息的篡改。且发送OTP可通过异于网际网络通讯链路进行，保证了网络交易时用户账户的安全性。
【专利说明】—次性密码生成的方法、装置及认证方法、认证系统

【技术领域】
[0001]本发明涉及网络信息安全【技术领域】，尤其涉及一种一次性密码认证方法及认证系统。

【背景技术】
[0002]随着网络应用的发展及逐步普及，网络购物和网络交易已经成为日常生活中不可缺少的部分。用户可以通过电脑或者其他智能联网设备通过购物网站或者网络银行进行购物付款或者转账等交易。进行交易的时候，用户需要输入一些个人资料，如银行账户、用户密码等，同时再输入交易信息，个人信息及交易信息经银行等部门确认后即可完成交易。如此，通过网络操作，免去了用户必须亲自去去柜台办理的麻烦，给用户打带来了极大的便利。但是通过网络的资金流通也带来了极大的用户账户安全隐患。一旦有人使用网络拦截了用户的账户及密码等信息，有可能造成用户的资金损失。
[0003]因此，如何在为用户提供使用便利的同时，保障用户账户资金的安全是一个亟待解决的问题。


【发明内容】

[0004]基于此，有必要针对用户账户资料信息由网络泄漏后容易造成资金损失的问题，提供一种对交易进行授权认证的一次性密码认证方法及认证系统。
[0005]为实现本发明目的提供的一种一次性密码认证方法，包括以下步骤:
[0006]接收用户通过第一使用者界面输入的交易信息及自设定的传输代码；
[0007]根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码；
[0008]将所述一次性密码传输到所述用户的第二使用者界面，并显示；
[0009]接收所述用户回传的所述一次性密码；
[0010]通过判断回传的所述一次性密码是否正确确定是否进行交易授权。
[0011]作为一种一次性密码认证方法的可实施方式，所述用户使用网际网络通过所述第一使用者界面传输信息；
[0012]通过移动通信网络传输所述一次性密码到所述用户的第二使用者界面。
[0013]作为一种一次性密码认证方法的可实施方式，通过短信、传真或语音的非网际网络传输所述一次性密码到所述第二使用者界面。
[0014]作为一种一次性密码认证方法的可实施方式，所述传输代码为数字、文字或数字与文字的组合。
[0015]作为一种一次性密码认证方法的可实施方式，所述用户通过所述第一使用者界面回传所述一次性密码。
[0016]作为一种一次性密码认证方法的可实施方式，在所述步骤接收所述用户回传的所述一次性密码之前，还包括传输所述交易信息及所述传输代码到第三使用者界面的步骤；
[0017]所述用户通过另一第三使用者界面回传所述一次性密码。
[0018]作为一种一次性密码认证方法的可实施方式，所述一次性密码在预设时间内有效。
[0019]作为一种一次性密码认证方法的可实施方式，通过短信传输所述一次性密码到所述第二使用者界面。
[0020]作为一种一次性密码认证方法的可实施方式，将所述一次性密码传输到所述用户的第二使用者界面的同时，也将所述传输代码传输到所述第二使用者界面，并在所述第二使用者界面显示。
[0021]作为一种一次性密码认证方法的可实施方式，根据所述交易信息、所述传输代码及系统资料，通过逻辑运算生成与所述传输信息对应的一次性密码。
[0022]作为一种一次性密码认证方法的可实施方式，所述逻辑运算所依据的所述交易信息包括交易种类、交易账户、交易金额及交易时间中的一种或者两种以上的组合。
[0023]基于相同发明构思的一种一次性密码认证系统，包括依次网络连接的第一使用者界面、网络服务器、认证服务器及第二使用者界面；
[0024]还包括与所述认证服务器通讯连接的硬件安全模块；
[0025]所述认证服务器中包括信息接收模块，用于通过网络服务器接收用户通过第一使用者界面输入的交易信息及自设定的传输代码；
[0026]所述认证服务器或所述硬件安全模块包括密码生成模块，用于根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码；
[0027]所述认证服务器中还包括信息发送模块，用于将所述一次性密码传输到所述用户的第二使用者界面，并在所述第二使用者界面上进行显示；
[0028]所述硬件安全模块中还包括验证模块，用于判断回传的所述一次性密码是否正确，并将结果传输给认证服务器，由认证服务器根据所述结果确定是否进行交易授权。
[0029]作为一种一次性密码认证系统的可实施方式，所述用户通过所述第一使用者界面回传所述一次性密码到所述认证服务器。
[0030]作为一种一次性密码认证系统的可实施方式，还包括一第三使用者界面，所述用户通过所述第三使用者界面回传所述一次性密码到所述认证服务器。
[0031]作为一种一次性密码认证系统的可实施方式，所述认证服务器与移动通讯传输服务器连接，通过所述移动通讯传输服务器传输包含所述一次性密码的短信到所述第二使用者界面。
[0032]还提供一种一次性密码生成的方法，包括以下步骤:
[0033]接收用户的交易授权请求；
[0034]解析所述用户发送的交易授权请求，得到用户输入的交易信息及传输代码；
[0035]根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码。
[0036]作为一种一次性密码生成的方法的可实施方式，所述解析所述用户发送的交易授权请求，得到用户输入的交易信息及传输代码之前，还包括以下步骤:
[0037]判断所接收到的所述交易授权请求中是否包含传输代码；
[0038]若是，则进行下一步操作，解析所述交易授权请求；
[0039]若否，则返回请求授权失败信息。
[0040]作为一种一次性密码生成的方法的可实施方式,所述返回请求授权失败信息的步骤包括以下步骤:
[0041]保存所述交易信息；
[0042]发送输入传输代码请求到用户的客户端，并等待接收所述客户端的返回信息。
[0043]还提供一种一次性密码生成的装置，包括信息接收模块，解析模块和密码生成模块，其中:
[0044]所述信息接收模块，用于接收用户的交易授权请求；
[0045]所述解析模块，用于解析所述用户发送的交易授权请求，得到用户输入的交易信息及传输代码；
[0046]所述密码生成模块，用于根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码。
[0047]作为一种一次性密码生成的装置可实施方式，还包括传输代码判断模块和失败信息返回模块，其中:
[0048]所述判断模块，用于判断所接收到的所述交易授权请求中是否包含传输代码；
[0049]若是，则转执行所述解析模块，解析所述交易授权请求；
[0050]若否，则转执行所述失败信息返回模块，返回请求授权失败信息。
[0051 ] 本发明的有益效果包括:
[0052]本发明提供的一种一次性密码生成的方法、装置及认证方法、认证系统，其中生成方法使用交易信息结合用户个人自设定的传输代码作为一次性密码生成的信息来源，使生成的OTP具有银行等验证端自身设定随机数的同时包含用户自身设定的非交易信息的传输代码，避免网络及银行内部对账户资料的盗取及对交易信息的篡改。保证用户账户在网络端及验证端内部的安全。且在认证方法及认证系统中，根据用户输入的交易信息及其自设定的传输代码生成一次性密码(OTP)，并将OTP发送到用户的另一显示界面进行显示，由用户手动输入OTP进行交易验证。且发送OTP可通过异于网际网络通讯链路进行，保证了网络交易时用户账户的安全性。使非法分子不能通过网络通路直接获得用户交易的所有信息，从而不能进行未经用户授权的交易。

【专利附图】

【附图说明】
[0053]图1为本发明一种一次性密码认证方法的一具体实施例的流程图；
[0054]图2为本发明一种一次性密码认证方法的另一具体实施例的流程图；
[0055]图3为本发明一种一次性密码认证系统的一具体实施例的系统结构示意图；
[0056]图4为本发明一种一次性密码认证系统的另一具体实施例的系统结构示意图；
[0057]图5为本发明一种一次性密码认证系统的再一具体实施例的系统结构示意图；
[0058]图6为本发明一种一次性密码认证系统的一具体实施例的硬件连接示意图；
[0059]图7为本发明一种一次性密码生成的方法的一具体实施例的流程图；
[0060]图8为本发明一种一次性密码生成的装置的一具体实施例的结构示意图；
[0061]图9为本发明一种一次性密码生成的装置的另一具体实施例的结构示意图。

【具体实施方式】
[0062]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图对本发明的一次性密码认证方法及认证系统的【具体实施方式】进行说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0063]本发明一实施例的一次性密码(One Time Password,OTP)认证方法,如图1所示，包括以下步骤:
[0064]S100，接收用户通过第一使用者界面输入的交易信息及自设定的传输代码。当用户通过电脑等通过网际网络通讯的设备作为第一使用者界面输入交易信息时，提供授权验证的验证端接收用户输入的交易信息。所述交易信息包括但不限于交易种类、交易账户、交易金额、交易时间等信息。如在用户在开始进行注册时，所述的交易信息可以为用户输入的一些个人验证信息。
[0065]其中，用户输入的自设定的传输代码由用户在输入交易信息前，或者交易信息后，作为一个单独输入信息由用户输入。此传输代码由数字、字母或者两者的结合构成，如可以为123xyz。传输代码的长度可根据需求设定，可设定为6个字符，也可设定为其他数量的字符。同时，也可不对字符的长度进行设定，由用户根据自己的喜好随机输入。但是，需要说明的是，此传输代码不能为空。其作为后续认证的一个参照参数。
[0066]S200，根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码。进行交易授权验证的验证端在接收到用户输入的信息后，利用交易信息中的交易种类、交易账户、交易金额、交易时间等中的一种或者两种以上的组合，以及用户自设定的传输代码生成对应输入的交易信息的唯一专属的OTP。
[0067]此处需要说明的是，本发明实施例中生成的OTP结合的用户账户信息、交易信息的同时，还包含了结合用户自设定的传输代码的成分。由于用户自设定的传输代码由用户自身随机设定，增强了生成的OTP的随机性，提高安全系数。且自设定的传输代码便于用户识别的同时，无需验证端产生及传回，减少验证端与用户之间的信息传输量。
[0068]S300，将所述一次性密码传输到所述用户的第二使用者界面，并显示。其中，验证端通过网际网络与第一使用者界面传输信息，通过不同于网际网络的传输通路传输生成的OTP到第二使用者界面。如可通过短信、传真或语音传输所述一次性密码到所述第二使用者界面。
[0069]作为一种可实施方式，第二使用者界面可以为手机。验证端可通过短信的方式传输生成的验证码到智能终端。此处需要说明的是，验证端通过连接移动网络运营商(如移动、联通或电信)的服务器将OTP发送到运营商的服务器，再由运营商通过专属网络发送信息到用户指定的手机。手机的号码由用户提前提供给验证端，并由验证端存储到资料库中作为系统信息。用户可采用携带有效身份证件到柜台办理的方式存储手机号码到验证端，也可在验证端接受的前提下使用网络预设的方式在注册时设置手机号码用于接收0ΤΡ。
[0070]较佳的，在通过短信的传输OTP的同时也发送传输代码及一些交易信息到第二使用者界面。用户根据传输代码相应的输入0ΤΡ，避免多个交易时OTP的误用。交易信息的发送使用户可以再次核对交易信息，减少错误概率。
[0071]较佳地，传输到使用者第二界面的OTP也可具有一定的时效，超过一定的时效后，则当前的OTP失效，若需继续进行交易，需重新申请新的0ΤΡ。
[0072]S400，接收所述用户通过第一使用者界面回传的所述一次性密码。用户接收到验证端的OTP后，可通过输入交易信息用的第一使用者界面输入OTP后并传输到验证端申请授权。
[0073]S500，通过判断回传的所述一次性密码是否正确确定是否进行交易授权。验证端通过判断回传的OTP及传输代码是否匹配、吻合，确定交易是否可继续进行。此处需要说明的是，生成OTP时，对应的交易已经唯一确定，用户传回OTP时，验证端可根据传输代码查找已存储的交易信息，并判断OTP与前面存储的传输代码对应的OTP是否一致，若是，则授权可继续交易；若否，则返回交易失败信息。所述交易失败信息包括OTP错误、OTP超时、交易超时等。
[0074]在其中一个实施例中，如图2所示，包括以下步骤:
[0075]S101，接收用户通过第一使用者界面输入的交易信息及自设定的传输代码。此步骤与前述的步骤S10基本相同，用户通过一第一使用者界面输入要进行交易的交易信息，如转账到某一账号，则输入的交易信息可包括到账的账号，转出的账号，转账金额等信息。并在单独的输入框中输入自设定的传输代码，也即自己设定的本次交易的交易代码，此可作为交易的关键字。用户在所述第一使用者界面输入交易信息及传输代码之后，可点击第一使用者界面上的“获取”一次性密码的按钮连接与验证端的通讯，向验证端获取一次性密码。
[0076]S102,备份所述交易信息、所述交易信息对应的账户及所述自设定的传输代码。验证端设置有存储用户资料的数据库及数据存数单元，验证端接收到用户发送的交易信息后，将信息进行存储，以便后续验证即生成一次性密码使用。
[0077]较佳的，在步骤S102之前还包括验证端判断由用户端，也即第一使用者界面接收的传输代码是否为空的步骤，若传输代码为空，则返回认证失败信息到第一使用者界面，提醒用户输入传输代码。从而保证本发明实施例的一次性密码认证方法使用用户自设定的传输代码生成一次性密码。
[0078]S103，根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码。
[0079]S104，将所述一次性密码传输到所述用户的第二使用者界面，并显示。
[0080]S105，检测到用户使用第三使用者界面登录所述账户时，复制并传输所述交易信息及所述传输代码发送到所述第三使用者界面。
[0081]S106，接收所述用户使用第三使用者界面回传的所述一次性密码。用户可以通过第一使用者界面回传一次性密码，也可采用另一第三使用者界面使用相同的账户或者账号输入OTP进行验证，如使用电脑作为第一使用者界面，使用智能终端作为第三使用者界面。但是使用第三使用者界面时，需要在步骤S104中由验证端根据账户信息同步交易操作到所述的第三使用者界面，使用户可在第三使用者界面继续用户在第一使用者界面未完成的交易，如此，操作灵活，更能满足用户的需求。
[0082]S107，通过判断回传的所述一次性密码是否正确确定是否进行交易授权。若正确，则可继续进行交易操作，否则，则返回OTP验证失败信息到第三使用者界面。提醒用户重新获取OTP进行操作。
[0083]在其中一个一次性密码认证方法的实施例中，步骤S200，根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码，是根据所述交易信息、所述传输代码及系统资料，通过逻辑运算生成与所述传输信息对应的一次性密码。其中，系统资料是指验证端自身用于生成一次性密码的一些资料，如验证端利用系统乱数功能经运算产生的用于生成一次性密码的变数。且所述的变数可根据需求依批次自动调整。
[0084]基于同一发明构思，本发明还提供一种一次性密码认证系统，由于此系统解决问题的原理与前述一种一次性密码认证方法相似，因此，该系统的实施可以按照前述方法的具体步骤实现，重复之处不再赘述。
[0085]在其中一个一次性密码认证系统的实施例中，如图3所示，包括依次网络连接的第一使用者界面100、网络服务器200、认证服务器300及第二使用者界面400，还包括与所述认证服务器300通讯连接的硬件安全模块500。
[0086]其中，认证服务器300中包括信息接收模块310、密码生成模块320和信息发送模块330。信息接收模块310，用于通过网络服务器接收用户通过第一使用者界面输入的交易信息及自设定的传输代码；密码生成模块320，用于根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码；信息发送模块330,用于将所述一次性密码传输到所述用户的第二使用者界面，并在所述第二使用者界面上进行显示。
[0087]硬件安全模块500中包括验证模块510，用于判断回传的所述一次性密码是否正确，并将结果传输给认证服务器，由认证服务器根据所述结果确定是否进行交易授权。需要说明的是，硬件安全模块500中设置有与认证服务器进行信息传递的信息传递单元，用于传输OTP确认信息及自身生成或者认证服务器生成的0ΤΡ。与此相对应，在认证服务器中也设置有与硬件安全模块500中的信息传递单元相对应的硬件安全模块连接单元，用于与硬件安全模块500进行信息通讯。
[0088]本发明实施例的一次性密码认证系统，根据用户输入的交易信息及其自设定的传输代码生成一次性密码(OTP)，并将OTP发送到用户的另一显示界面进行显示，由用户手动输入OTP进行交易验证。且发送OTP可通过异于网际网络通讯链路进行，保证了网络交易时用户账户的安全性。使非法分子不能通过网络通路直接获得用户交易的所有信息，从而不能进行未经用户授权的交易。
[0089]在另一一次性密码认证系统的实施例中，如图4所示，包括依次网络连接的第一使用者界面100、网络服务器200、认证服务器300及第二使用者界面400，还包括与所述认证服务器300通讯连接的硬件安全模块500。
[0090]其中，认证服务器300中包括信息接收模块310和信息发送模块330。信息接收模块310，用于通过网络服务器接收用户通过第一使用者界面输入的交易信息及自设定的传输代码；信息发送模块330，用于将所述一次性密码传输到所述用户的第二使用者界面，并在所述第二使用者界面上进行显示。
[0091]硬件安全模块500中包括密码生成模块520和验证模块510。密码生成模块520，用于根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码；验证模块510，用于判断回传的所述一次性密码是否正确，并将结果传输给认证服务器，由认证服务器根据所述结果确定是否进行交易授权。
[0092]本发明实施例中使用硬件安全模块500中的密码生成模块520生成一次性密码，此密码生成模块520与前述的密码生成模块320可采用相同的密码生成逻辑运算也可采用不同的密码生成逻辑运算。由硬件安全模块500生成OTP可进一步提高OTP的保密性。防止网络盗取的同时也对银行等验证端内部OTP泄漏起到限制作用。
[0093]在其中一个实施例中，用户通过所述第一使用者界面100回传所述一次性密码到认证服务器300。
[0094]在其中一个实施例中，如图5所示，还包括一第三使用者界面600，用户通过所述第三使用者界面600回传一次性密码到认证服务器300。
[0095]作为一种传输OTP的方式，认证服务器400与移动通讯传输服务器连接，通过所述移动通讯传输服务器传输包含所述一次性密码的短信到第二使用者界面400。如图6所示，用户通过第一使用者界面100发送交易及传输信息之后，交易信息通过网络服务器200传输到认证服务器300，认证服务器300生成0ΤΡ，或将交易信息和传输代码传输到硬件安全模块500，由硬件安全模块生成0ΤΡ，硬件安全模块(HSM) 500生成OTP后再将OTP传输回认证服务器300，认证服务器300连接移动通讯服务器(未示出)，最终将OTP通过移动网络发送终端600发送到第二使用者界面400，再有用户手动输入OTP完成认证。此为使用本一次性密码认证系统进行认证的完整过程。通过利用硬件安全模块(HSM)生成0ΤΡ，其生成后直接封装后由认证服务器传递给客户端用户，除客户端用户外，其他人无从得知OTP信息，特别是防止第三方通过共享宽带无线链接对信息进行篡改和盗取，防止他们能够获得客户端的账户与交易信息，并提供较好的保证，尽可能确保除了生成OTP的受信赖的HSM外，没有人可以知道交易验证码OTP信息，包括网络和应用服务器等中间层服务器在内，并可防止会话重放攻击，以及防止利用GPUs技术来进行密码暴力破解。
[0096]下面详细说明由HSM生成OTP的过程:
[0097]步骤Al，将OTP打包为R+S+P结构的数据包；
[0098]其中:R就是HSM每次加密都会产生的一个固定长度的随机数；S就是在访问的时候用到的一个访问元素；p就是通过具体配置而指定的OTP本身或者散列中的0ΤΡ。
[0099]需要说明的是，所提到的访问元素为用户进行交易访问时所提交的交易信息中某个或者某些参量及自设定的传输代码等信息的组合。所提到的散列算法为SHA256，或者SM3。
[0100]步骤BI，使用对称的KEY的加密方法把R+S+P结构的OTP进行加密。这种加密方法使用256位AES key算法的，或者使用SMl或者SM4算法。
[0101]步骤Cl，把加密后的OTP保存到数据库中。
[0102]当认证服务器将生成的OTP发送给用户的第二使用者界面时，首先对OTP进行解密，解密之后再由移动通信服务器通过专线将OTP发送到用户指定的手机号码。
[0103]基于相同的发明构思，在验证端，一般为银行的服务端，提供一种一次性密码生成的方法，如图7所示，包括以下步骤，且以下步骤都是在验证端的服务器上进行的。
[0104]S201，接收用户的交易授权请求。用户在进行交易前，会通过电脑等终端输入交易授权请求，也即进行输入的交易信息的认证。银行等验证端接收用户发送的交易授权请求后，对交易进行授权认证，只有经过认证后的交易才能继续进行，最终完成交易，实现转账付款等操作。没有经过认证的任何可能使用户账户资金产生变化的交易都不能进行。
[0105]S202，解析所述用户发送的交易授权请求，得到用户输入的交易信息及传输代码。用户发送的交易信息会与用户的账号信息、客户端地址等一同作为一个数据包通过网络服务器发送到银行等的验证端。验证端收到用户的数据包后，需要对数据包进行解析，解析出生成OTP所需的数据信息及交易账户、交易时间等。此处的传输代码由用户在进行交易时自定义输入。其可以为数字、字母或者两者的组合，且传输代码的长度包括但不限于6个字符、4个字符或者8个字符。
[0106]更佳的，用户在输入交易信息的同时也可输入用户的个人资料，如密码、身份证号码、预留信息等作为辅助认证信息。验证端根据用户输入的个人资料信息与验证端数据库中存储的账户信息进行比对，对账户信息进行认证，如果账户信息认证失败，则直接返回停止交易信息，提醒用户重新进行账户的认证。
[0107]此处需要说明的是，验证端数据库中的信息为用户持有效身份证件，如身份证，到银行柜台办理的预留账户认证信息，或者通过其他银行等认证端承认的途径提供给验证端的预留账户认证信息。
[0108]S203，根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码。验证端根据解析出的传输代码及交易信息采用逻辑运算计算得到一个一次性密码，并在后续作为交易授权认证的一必须认证条件发送给用户供输入认证使用。
[0109]本发明实施例的一次性密码生成的方法，使用交易信息结合用户个人自设定的传输代码作为一次性密码生成的信息来源，使生成的OTP具有银行等验证端自身设定随机数的同时包含用户自身设定的不定参数，可有效防止网络及银行内部对交易信息的篡改。保证用户账户在网络端及验证端内部的安全。
[0110]在其中一个一次性密码生成的方法的实施例中，在步骤S202，解析用户发送的交易授权请求，得到用户输入的交易信息及传输代码之前，还包括以下步骤:
[0111]S2021，判断所接收到的所述交易授权请求中是否包含传输代码，
[0112]若是，则执行步骤S202，解析所述交易授权请求；
[0113]若否，则执行步骤S2022，返回请求授权失败信息。
[0114]本步骤中首先对交易授权请求中是否包含传输代码进行判断，以便在使用传输代码作为生成OTP的参数时，保证传输代码不为空。
[0115]较佳地，步骤S2022，返回请求授权失败信息，具体可包含以下步骤:
[0116]首先保存从用户端接收到的交易信息；然后再发送输入传输代码请求到用户的客户端，并等待接收所述客户端的返回信息。采用此步骤可在一定时间内给用户重新输入传输代码的机会。并在接收到用户再次输入的传输代码后与前面保存的交易信息进行合并作为完整的账户交易数据用于生成0ΤΡ。
[0117]与前述的一次性密码生成的方法相对应，本发明还提供一种一次性密码生成的装置。其如图8所示，包括信息接收模块101，解析模块102和密码生成模块103。其中:信息接收模块101，用于接收用户的交易授权请求；解析模块102，用于解析所述用户发送的交易授权请求，得到用户输入的交易信息及传输代码；密码生成模块103，用于根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码。
[0118]本发明的一次性密码生成的装置主要应用在银行等交易验证端，前述的信息接收模块101、解析模块102和密码生成模块103可集中在验证端的一个服务器中，如认证服务器中，也可分别在不同的验证端的硬件设备中。如信息接收模块101和解析模块102可集中在一个硬件中，而密码生成模块103可在另一硬件设备中。其生成的OTP中包含了用户自设定的非交易信息的传输代码，使代码生成的参数中包含了除银行端的随机数以外，还包括用户自设定的传输代码随机数，避免网络及银行内部对账户资料的盗取及对交易信息的篡改。
[0119]如图9所示，在其中一个实施例中，还包括传输代码判断模块104和失败信息返回模块105。其中:传输代码判断模块104，用于判断所接收到的所述交易授权请求中是否包含传输代码；若是，则转执行所述解析模块102，解析所述交易授权请求；若否，则转执行所述失败信息返回模块105，返回请求授权失败信息。
[0120]以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种一次性密码认证方法，其特征在于，包括以下步骤: 接收用户通过第一使用者界面输入的交易信息及自设定的传输代码； 根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码； 将所述一次性密码传输到所述用户的第二使用者界面，并显示； 接收所述用户回传的所述一次性密码； 通过判断回传的所述一次性密码是否正确确定是否进行交易授权。
2.根据权利要求1所述的一次性密码认证方法，其特征在于，所述用户使用网际网络通过所述第一使用者界面传输信息； 通过移动通信网络传输所述一次性密码到所述用户的第二使用者界面。
3.根据权利要求1所述的一次性密码认证方法，其特征在于，通过短信、传真或语音的非网际网络传输所述一次性密码到所述第二使用者界面。
4.根据权利要求1所述的一次性密码认证方法，其特征在于，所述传输代码为数字、文字或数字与文字的组合。
5.根据权利要求 1至4任一项所述的一次性密码认证方法，其特征在于，所述用户通过所述第一使用者界面回传所述一次性密码。
6.根据权利要求1至4任一项所述的一次性密码认证方法，其特征在于，在所述步骤接收所述用户回传的所述一次性密码之前，还包括传输所述交易信息及所述传输代码到第三使用者界面的步骤； 所述用户通过另一第三使用者界面回传所述一次性密码。
7.根据权利要求1至4任一项所述的一次性密码认证方法，其特征在于，所述一次性密码在预设时间内有效。
8.根据权利要求2所述的一次性密码认证方法，其特征在于，通过短信传输所述一次性密码到所述第二使用者界面。
9.根据权利要求2所述的一次性密码认证方法，其特征在于，将所述一次性密码传输到所述用户的第二使用者界面的同时，也将所述传输代码传输到所述第二使用者界面，并在所述第二使用者界面显示。
10.根据权利要求1所述的一次性密码认证方法，其特征在于，根据所述交易信息、所述传输代码及系统资料，通过逻辑运算生成与所述传输信息对应的一次性密码。
11.根据权利要求10所述的一次性密码认证方法，其特征在于，所述逻辑运算所依据的所述交易信息包括交易种类、交易账户、交易金额及交易时间中的一种或者两种以上的组合。
12.—种一次性密码认证系统，其特征在于，包括依次网络连接的第一使用者界面、网络服务器、认证服务器及第二使用者界面； 还包括与所述认证服务器通讯连接的硬件安全模块(HSM)； 所述认证服务器中包括信息接收模块，用于通过网络服务器接收用户通过第一使用者界面输入的交易信息及自设定的传输代码； 所述认证服务器或所述硬件安全模块包括密码生成模块，用于根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码； 所述认证服务器中还包括信息发送模块，用于将所述一次性密码传输到所述用户的第二使用者界面，并在所述第二使用者界面上进行显示； 所述硬件安全模块中还包括验证模块，用于判断回传的所述一次性密码是否正确，并将结果传输给认证服务器，由认证服务器根据所述结果确定是否进行交易授权。
13.根据权利要求12所述的一次性密码认证系统，其特征在于，所述用户通过所述第一使用者界面回传所述一次性密码到所述认证服务器。
14.根据权利要求12所述的一次性密码认证系统，其特征在于，还包括一第三使用者界面，所述用户通过所述第三使用者界面回传所述一次性密码到所述认证服务器。
15.根据权利要求12至14任一项所述的一次性密码认证系统，其特征在于，所述认证服务器与移动通讯传输服务器连接，通过所述移动通讯传输服务器传输包含所述一次性密码的短信到所述第二使用者界面。
16.一种一次性密码生成的方法，其特征在于，包括以下步骤: 接收用户的交易授权请求； 解析所述用户发送的交易授权请求，得到用户输入的交易信息及传输代码； 根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码。
17.根据权利要求16所述的一次性密码生成的方法，其特征在于，所述解析所述用户发送的交易授权请求 ，得到用户输入的交易信息及传输代码之前，还包括以下步骤: 判断所接收到的所述交易授权请求中是否包含传输代码； 若是，则进行下一步操作，解析所述交易授权请求； 若否，则返回请求授权失败信息。
18.根据权利要求17所述的一次性密码生成的方法，其特征在于，所述返回请求授权失败信息的步骤包括以下步骤: 保存所述交易信息； 发送输入传输代码请求到用户的客户端，并等待接收所述客户端的返回信息。
19.一种一次性密码生成的装置，其特征在于，包括信息接收模块，解析模块和密码生成模块，其中: 所述信息接收模块，用于接收用户的交易授权请求； 所述解析模块，用于解析所述用户发送的交易授权请求，得到用户输入的交易信息及传输代码； 所述密码生成模块，用于根据所述交易信息及所述传输代码生成与所述传输信息对应的一次性密码。
20.根据权利要求19所述的一次性密码生成的装置，其特征在于，还包括传输代码判断模块和失败信息返回模块，其中: 所述判断模块，用于判断所接收到的所述交易授权请求中是否包含传输代码； 若是，则转执行所述解析模块，解析所述交易授权请求； 若否，则转执行所述失败信息返回模块，返回请求授权失败信息。
【文档编号】G06Q20/40GK104077690SQ201410287503
【公开日】2014年10月1日 申请日期:2014年6月24日 优先权日:2014年6月24日
【发明者】程伟强 申请人:北京安讯奔科技有限责任公司