一键放行的手机令牌的实现方法
【技术领域】
[0001] 本发明涉及手机令牌的实现方式,尤其是一键放行的手机令牌的实现方法。
【背景技术】
[0002] 随着各类电商网站的激烈竞争如何保障账户安全成为当前网络中不可或缺的重 要课题,用户对此的关心度日益加深,而现如今第三方支付系统的竞争也越演越烈,网络银 行的概念已逐渐被接受,如何保障资金安全更是成为支付系统的重点推广功能。
[0003] 手机令牌是一种手机客户端软件,它是基于时间同步方式,每隔30或60秒产生一 个随机6位动态密码,口令生成过程不产生通信及费用,具有使用简单、安全性高、低成本、 无需携带额外设备、容易获取、无物流等优势,手机令牌是3G&4G时代动态密码身份认证发 展趋势。
[0004] 手机令牌可与任何互联网产品结合,为用户提供账户与资金的双重保障,让用户 在账户安全和购物的过程中无后顾之忧。
[0005] 手机令牌也可与企业应用进行结合,保证企业用户的安全登录,保障企业账户的 安全。
[0006]目前市场上的大多数的手机令牌多为显示6位数字,30秒跳变一次,在登录应用 系统时,输入6位跳变的数字,以实现双因素认证的功能。
【发明内容】
[0007] 本发明目的是实现手机令牌的快速放行,开启手机令牌功能的用户在应用系统 弹出手机令牌动态密令校验时,使用手机客户端中的一键放行即可实现快速校验,无需手 动填写6位动态口令,直接通过密码验证。提升了用户体验。
[0008] 本发明的技术解决方案是:手机令牌系统由手机令牌服务端程序、手机令牌客户 端程序(手机令牌APP)、手机令牌提供第三方应用系统调用的动态密码验证接口服务等3 个部件组成,3个部件的组成关系图参见如图1。
[0009] 1.手机令牌服务端程序
[0010] 手机令牌服务端程序部署在Tomcat&JBOSS上程序,采用MYSQL&0RALCE数据库作 为数据存储。提供动态密码验证、时间同步、用户与手机令牌绑定关系查询的功能。
[0011] 2.手机令牌客户端程序
[0012]手机令牌为一款基于时间同步的手机令牌软件,需要在每一个用户的安卓&苹果 手机上的安装移动APP软件---手机令牌。手机令牌动态密码跳变规则:动态密码根据算 法+密钥(算法种子)+时间计算得出,每30s重新计算一次得出新动态密码,跳变时间为 30s。手机令牌卡动态密码算法:遵循 RFC 6238 "TOTP:Time-Based One-Time Password Algorithm"规范,采用HMAC-SHA512散列算法,对当前时间(1970年至今秒数)进行加密。 密钥(算法种子)的生成方式:采用预定义(参考T0TP. java文件中Seed64)+当前时间 (1970年至今秒数/30),共计256Byte。具体算法参考可参考RFC 6238。
[0013] 在传统基于时间的手机令牌卡的基础上,开启了一键放行的手机令牌卡的实现方 式,手机令牌显示如图2手机令牌外观。包括有显示6位动态密令的密码显示区,同步服务 器时间的同步按钮以及30秒密令刷新的动态效果、一键放行按钮四部分组成。
[0014] 3. -键放行的手机令牌提供第三方应用系统调用的动态密码验证接口服务
[0015] 第三方系统在登录时,需要二次验证时,需要调用动态密码验证接口如下: 「00161
【主权项】
1. 一键放行的手机令牌卡的实现方法,其特征是;用户在登录第H方应用系统时,第 H方应用系统在登录环节弹出二次验证码的弹窗后,每3砂刷新一次一键放行检查接口, 检查用户是否用手机令牌发起一键放行;如果用户按一下手机令牌上的一键放行按键,即 用户通过手机令牌客户端发起向手机令牌服务端发起一键放行请求,手机令牌服务端接收 到请求后快速校验通过;如果用户不按下"一键放行"按键,则仍然需要输入6位动态密码, 才能登录第H方应用系统;实现步骤如下:步骤1 ;第H方应用系统在登录环节,用户名和 静态密码验证结束后,弹出动态密码二次输入框;步骤2 ;用户打开手机令牌APP应用,手 机令牌判断该手机令牌是否已经绑定用户帐号,是,则显示动态口令的主界面,转入步骤4; 否,转入步骤3 ;步骤3 ;用户需要进行手机令牌与第H方系统帐号的绑定流程,在手机令牌 手工输入用户名和密钥(密钥由手机令牌服务端生成),绑定成功后,显示手机动态口令的 主界面;步骤4 ;用户按下手机令牌APP上的"一键放行",则手机令牌客户端向手机令牌服 务端发起帐号与动态口令的验证请求;手机令牌服务端获取手机令牌客户端请求,解析验 证请求参数(帐号、动态口令),参数验证成功后,将结果返回给第H方系统二次密码验证, 用户登录第H方系统;否则,需要用户正确手工输入6位动态验证码,才能登录第H方系 统。
【专利摘要】本发明提供了一种在IOS和Android手机操作系统上的安装应用程序。使用和服务器时间同步的机制产生一次性动态口令,在一个有效的时间段内(30s/60s)有效,以满足短时间内多因素验证的需求。手机动态口令生成过程具有使用简单、安全性高、低成本、无需携带额外设备等优势。本发明是在手机令牌上增加一键放行按键,第三方应用系统在密码验证环节弹出二次验证码的弹窗后,每3秒刷新一次一键放行检查接口,检查用户是否用手机令牌发起一键放行,如果用户按一下手机令牌上的一键放行按键,即用户通过手机令牌客户端发起向手机令牌服务端发起一键放行请求,手机令牌服务端接收到请求后快速校验通过。
【IPC分类】H04M1-725, H04W12-06
【公开号】CN104539785
【申请号】CN201410415824
【发明人】王晓峻, 徐欢, 刘宏骏
【申请人】南京速帕信息科技有限公司
【公开日】2015年4月22日
【申请日】2014年8月22日