基于二维码的otp令牌设备的身份认证装置及方法
【技术领域】
[0001]本发明涉及身份认证技术领域,具体涉及一种基于二维码的OTP令牌设备的身份认证装置及方法。
【背景技术】
[0002]OTP(One Time Password,一次性动态口令)是一种基于伪随机虚列的动态口令认证方法。OTP通常分为时间同步、事件同步和挑战/应答三种认证方式。OTP的基本原理是将时间或事件(次数)或挑战,结合一个自身保存的一个独一无二的种子(Seed),采用单向哈希算法生成一个动态口令。
[0003]基于OTP的硬件令牌有一个小液晶,用以显示动态口令,通常还会有一个按钮,以触发动态口令的显示,为了省电在一定时间后自动关闭显示。另外硬件令牌上还有以数字或者条码形式显示的标识或者序列号。
[0004]当前用户使用OTP硬件令牌进行认证的时候,需要手动输入硬件令牌上显示的动态口令,并且在帐号绑定硬件令牌时需要输入令牌的序列号或标识。另外,使用OTP硬件令牌时,用户也需要手动输入网站URL。在使用手机/Pad等设备时,输入URL和动态口令,过程比较麻烦,体验较差。
【发明内容】
[0005]针对现有技术中的缺陷,本发明提供了一种基于二维码的OTP令牌设备的身份认证装置及方法,该方法解决了手动输入动态口令验证过程复杂,用户体验差的问题。
[0006]第一方面,本发明提供一种基于二维码的OTP令牌设备的身份认证方法,包括:
[0007]终端通过扫描OTP令牌上的二维码获取认证URL ;
[0008]所述终端将所述认证URL发送至认证服务器进行认证;
[0009]所述终端在所述认证服务器认证通过后,访问支持认证URL的网站时,网站/应用服务器通过0penID、0Auth、FID0或SAML获取所述认证服务器中所述认证URL的认证记录;
[0010]所述网站/应用服务器根据所述认证服务器中所述认证URL的认证记录,向所述终端发送认证结果。
[0011]可选的,所述认证URL包括:所述认证服务器的网址、认证路径、令牌标识、动态口令和动态参数。
[0012]可选的,所述方法还包括:
[0013]在所述OTP令牌上设置切换按钮,通过所述按钮得到获取动态口令或认证URL的二维码。
[0014]可选的,所述方法还包括:
[0015]在所述OTP令牌上设置生成动态口令或认证URL的二维码的静态口令;
[0016]在所述终端输入所述静态口令后,获取所述OTP令牌中获取动态口令或认证URL
的二维码。
[0017]可选的,所述方法还包括:
[0018]所述认证服务器在认证所述认证URL认证后向所述终端发起静态口令认证。
[0019]可选的,所述静态口令包括用户名/ 口令认证、PIN认证、指纹认证或手势认证。
[0020]可选的,所述终端将所述认证URL发送至认证服务器进行认证包括:
[0021]所述认证服务器对所述终端发送的所述认证URL和所述静态口令进行认证;
[0022]在所述认证URL和所述静态口令均通过所述认证服务器的认证时,则认证成功;否则,所述认证服务器中断认证。
[0023]可选的,所述网站/应用服务器根据所述认证服务器中所述认证URL的认证记录,向所述终端发送认证结果,包括:
[0024]在所述认证服务器中存在所述认证URL的认证记录,且所述认证记录为认证通过时,向所述终端发送认证通过的认证结果;
[0025]在所述认证服务器中不存在所述认证URL的认证记录,或所述认证记录未认证通过时,向所述终端发送认证失败的认证结果。
[0026]第二方面,本发明还提供了一种基于二维码的OTP令牌设备的身份认证装置,包括:OTP令牌、终端、认证服务器和网站/应用服务器;
[0027]所述OTP令牌,用于生成动态口令或认证URL的二维码;
[0028]所述终端,用于通过所述OTP令牌上的显示的二维码,获取所述认证URL,并通过所述认证服务器对所述认证URL进行认证;
[0029]所述认证服务器,用于对所述认证URL进行认证,并保存所述认证URL的认证记录;
[0030]所述网站/应用服务器,用于接收所述终端在所述认证服务器认证通过后,访问支持认证URL的网站的信息,并通过OpenID、OAuth、FIDO或SAML获取所述认证服务器中所述认证URL的认证记录;
[0031]所述网站/应用服务器,还用于根据所述认证服务器中所述认证URL的认证记录,向所述终端发送认证结果。
[0032]由上述技术方案可知,本发明提供的一种基于二维码的OTP令牌设备的身份认证装置及方法,该方法通过扫描OTP令牌上的二维码获取认证URL,并且在认证服务器认证通过后,终端访问支持认证URL的网站时,也无需输入动态口令,网站/应用服务器通过0penID、0Auth、FID0或SAML获取所述认证服务器中所述认证URL的认证记录,并根据该认证记录向终端发送认证结果,该方法中的整个认证过程均无需人工输入动态口令等信息,解决了手动输入动态口令验证过程复杂,用户体验差的问题。
【附图说明】
[0033]图1为本发明一实施例提供的一种基于二维码的OTP令牌设备的身份认证方法的流程示意图;
[0034]图2为本发明一实施例提供的OTP令牌的显不不意图;
[0035]图3为本发明另一实施例提供的一种基于二维码的OTP令牌设备的身份认证方法的流程示意图;
[0036]图4为本发明一实施例提供的一种基于二维码的OTP令牌设备的身份认证装置的结构示意图。
【具体实施方式】
[0037]下面结合附图,对发明的【具体实施方式】作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
[0038]图1示出了本发明实施例提供的一种基于二维码的OTP令牌设备的身份认证方法的流程示意图,如图1所示,该方法包括如下步骤:
[0039]101、终端通过扫描OTP令牌上的二维码获取认证URL ;
[0040]具体的,所述认证URL包括:所述认证服务器的网址、认证路径、令牌标识、动态口令和动态参数。
[0041]OTP令牌还支持手机/Pad等扫描/读取设备通过NFC、蓝牙等读取认证URL,并完成后续认证。此时传输的数据格式可以是XML或其他非URL格式。
[0042]102、所述终端将所述认证URL发送至认证服务器进行认证;
[0043]103、所述终端在所述认证服务器认证通过后,访问支持认证URL的网站时,网站/应用服务器通过OpenID、OAuth> FIDO或SAML获取所述认证服务器中所述认证URL的认证记录;
[0044]104、所述网站/应用服务器根据所述认证服务器中所述认证URL的认证记录,向所述终端发送认证结果。
[0045]上述方法通过扫描OTP令牌上的二维码获取认证URL,并且在认证服务器认证通过后,终端访问支持认证URL的网站时,也无需输入动态口令,网站/应用服务器通过0penID、0Auth、FID0或SAML获取所述认证服务器中所述认证URL的认证记录,并根据该认证记录想终端发送认证结果,该方法整个认证过程均无需人工输入动态口令等信息,解决了手动输入动态口令验证过程复杂,用户体验差的问题。
[0046]在另一个可实现的方式中,所述方法还包括采用现有的OTP认证方式,在网站或者应用认证的过程中通过手动输入动态口令的方式完成OTP认证。
[0047]具体的如图2所示,在所述OTP令牌上设置切换按钮,通过所述按钮得到获取动态口令或认证URL的二维码,实现OTP令牌显示二维码或动态口令的切换。在显示二维码时,避免了人工输入,直接扫描二维码就可以获取认证URL。
[0048]图3示出了本发明实施例提供的一种基于二维码的OTP令牌设备的身份认证方法的流程示意图,如图3所示,该方法包括如下步骤:
[0049]301、OTP令牌基于OTP生成认证URL的二维码;
[0050]基于二维码的OTP令牌,是将二维码和OTP机制结合在一起,提供传统的OTP令牌功能的同时,支持二维码认证。如图2所示,令牌有一个液晶,可以显示传统的动态口令和序列号等信息,存在一个触发显示的按钮,为了省电在一定时间后自动关闭显示,同时可以通过按钮切换到二维码模式,也可以通过触摸或者滑动液晶屏的方式完成切换,本实施例不对其进行具体限定。
[0051]二维码模式下,显示的二维码对应一个认证URL,该认证URL包含认证服务器地址和端口等信息,认证URL还包含认证路径、硬件令牌的序列号和动态口令和其他必要信息。因为动态口令随时间或事件动态变化,因此该二维码也是动态变化的。
[0052]302、终端通过扫描OTP令牌上的二维码,获取认证URL。
[0053]OTP令牌在二维码模式下,终端通过扫描/读取OTP令牌上的二维码,获取指向认证服务器的认证URL,在认证服务器上完成认证。上述终端可以为手机/Pad等扫描/读取设备,本实施例不对其进行具体限定。
[0054]在具体实施过程中,为了增强认证安全性,在所述OTP令牌上设置生成动态口令或认证URL的二维码的静态口令,在所述终端输入所述静态口令后,获取所述OTP令牌中获取动态口令或认证URL的二维码;所述静态口令包括用户名/ 口令认证、PIN认证、指纹认证或手