多通讯渠道认证授权平台系统和方法
【技术领域】
[0001]本发明涉及网络安全技术领域,特别是涉及一种多通讯渠道认证授权平台系统和方法。
【背景技术】
[0002]在电子认证授权过程中,程序会生成电子化数据,用户通过某些访问渠道,例如用户的电脑、电话、IVR (Interactive Voice Response,互动式语音应答)、资讯站(K1sk)等读取这些数据,用户信息必须通过认证和授权后,才能使用这些访问渠道去获取生成电子化数据。对于一些机密性比较高的电子化数据,认证授权时会要求用户的电子交易使用数字签章,以确保交易的真实性和可靠性。例如,通过签章的解决方法,使用单一设备平台,例如用户的电脑、资讯站(K1sk),提交请求给认证授权平台,并进行签章。
[0003]另外一些安全的认证授权签章解决方法,使用另外的设备来制作第一认证码。例如,用户使用某个认证授权平台通过网络连接启动请求,回应过程中,认证授权平台程序通过网络连接,将信息传送回用户的电脑。在收到信息后,用户将所要求的信息的部分,输入到需要签章的设备(该设备并不连接服务器/电脑),以制作电子签章;用户输入电子签章到电脑,并把电子签章提交到认证授权平台,来完成签章过程。
[0004]若对于其他手动或基于电话的认证授权过程,使用上述的传统方法,电子签名是不能实现的。
[0005]传统的认证授权解决方法,包括电子签章解决方法,有以下各种不足之处:
[0006]I)对通过柜台、已写好的指令或电话的手动认证授权而言,不可能使用电子的认证授权解决方法,包括签章设备解决方法实现。
[0007]2)对单一设备平台而言,提交请求到某个认证授权平台且制作签章的单一设备平台,容易受到恶意软件、中间人网络钓鱼(Man-1n-the-Middle,MitM)的攻击,且可修改数据来实施欺诈。
[0008]3)对不联网的签章设备而言,其虽然提供了更安全的认证授权解决方法,但是不联网的签章设备,仅支持单一服务提供商,而且一般要求用户手动输入重要的数据到客户端。这个过程是容易出错的;在签章中,可包含数据量的限制,而且被签章的数据可能还会有限制。此外,这种签章设备,在制造、购买、分发和撤销整个过程,成本都相对较高。同时,如果认证授权涉及一个或多个认证授权,那么这个认证授权过程将会变得复杂,同时也会花费更多时间。
【发明内容】
[0009]基于此,有必要针对现有技术的缺陷和不足,提供一种多通讯渠道认证授权平台系统和方法,其安全、便捷,易操作,成本低,在网络认证授权过程中有效防止各种恶意攻击。
[0010]为实现本发明目的而提供的一种多通讯渠道认证授权平台系统,包括令牌生成服务器STPM,注册服务器??Μ,认证服务器TAM和授权终端TAD ;
[0011]其中:
[0012]所述令牌生成服务器,用于在注册服务器向其发出注册请求时,生成令牌组合,并将所述令牌组合提供给所述注册服务器;
[0013]所述注册服务器,用于在接到用户的授权终端通过一个或者多个访问通讯渠道向其发出注册请求时,根据注册请求向所述令牌生成服务器请求所述令牌组合;并在获取所述令牌组合后,将所述令牌组合与授权终端信息对应;然后将令牌组合、加密解密软件及认证代码生成格式软件,通过所述一个或者多个访问渠道回馈给用户的授权终端;同时将所述令牌组合与对应的授权终端信息、加密解密软件及认证代码生成格式软件,通过不同于所述一个或者多个访问渠道的另一访问渠道发送到认证服务器;
[0014]所述认证服务器,用于在获得所述令牌组合与对应的授权终端信息后,当接到授权终端请求进行授权认证时,利用令牌组合,以对应的授权设备信息生成第一密码;并根据授权终端发送来的第二认证码,利用加密解密软件及认证代码生成格式软件,将所述第一密码转化与第二认证码的格式相同的第一认证码,进行认证比对;或者利用加密解密软件及认证代码生成格式软件,对授权终端发送来的第二认证码进行解析,得到授权终端发送来的第二密码,与第一密码进行认证比对,根据认证比对的结果进行认证授权;
[0015]所述授权终端,用于在接收到所述令牌组合后,在需要进行认证授权时,利用令牌组合,根据对应的授权设备信息生成第二密码,并利用加密解密软件及认证代码生成格式软件,将所述第二密码转换为第二认证码后,发送给认证服务器进行认证授权。
[0016]在其中一个实施例中,所述授权终端信息是用户通过授权终端输入的个性化的声音、图像、指纹数据。
[0017]在其中一个实施例中,所述授权终端信息还可以包括授权终端的唯一设备识别号。
[0018]在其中一个实施例中,所述访问渠道为网络/电话网络、使用触音和/或声音指令的Phone IVR网络、基于信息的系统、电子邮件系统、k1sks、通过影像扫描发送或者传真纸件。
[0019]在其中一个实施例中,所述令牌组合包括以下一个或者多个数据的任意组合:
[0020]Al)含两组密钥对的数码证书:一个用于签章,一个用于加密;
[0021]A2)含唯一令牌序列号的数据签章令牌种子文件;
[0022]A3)含唯一令牌序列号的OTP令牌生成软件。
[0023]在其中一个实施例中,所述认证服务器配置有扬声器、麦克风、照相机和/或指纹扫描仪,可读取或者生成相应格式的第一认证码。
[0024]在其中一个实施例中,所述第一认证码为声音代码、图像代码、指纹代码或者二维码中的一种或者多种格式的代码。
[0025]在其中一个实施例中,所述授权终端是手持设备、移动电话、平板电脑;
[0026]所述授权终端配置有扬声器、麦克风、照相机和/或指纹扫描仪,可读取或者生成相应格式的第二认证码。
[0027]在其中一个实施例中,所述第二认证码为声音代码、图像代码、指纹代码或者二维码中的一种或者多种格式的代码。
[0028]在其中一个实施例中,所述含唯一令牌序列号的数据签章令牌种子文件利用授权终端信息生成相应的第一密码或者第二密码。
[0029]在其中一个实施例中,所述令牌组合以及相对应的授权终端、加密解密软件及认证代码生成格式软件,由注册服务器发送到认证服务器和授权终端时,是使用RSA算法或者AES算法进行加密的。
[0030]在其中一个实施例中,所述RSA算法或者AES算法的加密密钥存储在防篡改设备中。
[0031]在其中一个实施例中,所述加密是使用私有密钥的RSA加密方法进行加密的,和/或,使用服务提供商的公共密钥,使用AES加密的随机生成激活密码,对令牌组合进行再进一步的加密。
[0032]在其中一个实施例中,所述注册服务器,还用于生成一个用于下载令牌组合、加密解密软件及认证代码生成格式软件的URL,由用户的授权终端(TAD)下载得到。
[0033]为实现本发明目的还提供一种多通讯渠道认证授权方法,包括如下步骤:
[0034]步骤S100,注册服务器在接到用户的授权终端通过一个或者多个访问通讯渠道向其发出注册请求时,根据注册请求向所述令牌生成服务器请求所述令牌组合;
[0035]步骤S200,令牌生成服务器在接到注册服务器的请求后,令牌生成服务器生成令牌组合,并将所述令牌组合返回给注册服务器;
[0036]步骤S300,注册服务器在获取所述令牌组合后,将所述令牌组合与授权终端信息对应;然后将令牌组合、加密解密软件及认证代码生成格式软件,通过所述一个或者多个访问渠道回馈给用户的授权终端;同时将所述令牌组合与对应的授权终端信息、加密解密软件及认证代码生成格式软件,通过不同于所述一个或者多个访问渠道的另一访问渠道发送到认证服务器;
[0037]步骤S400,授权终端向认证服务器发起认证授权请求,认证服务器响应;
[0038]步骤S500,在认证服务器响应后,授权终端通过利用令牌组合,根据对应的授权设备信息生成第二密码,并利用加密解密软件及认证代码生成格式软件,将所述第二密码转换为第二认证码后,发送给认证服务器进行认证授权;
[0039]步骤S600,在认证服务器响应后,认证服务器利用令牌组合,以对应的授权设备信息生成第一密码;并根据授权终端发送来的第二认证码,利用加密解密软件及认证代码生成格式软件,将所述第一密码转化与第二认证码的格式相同的第一认证码,进行认证比对;或者利用加密解密软件及认证代码生成格式软件,对授权终端发送来的第二认证码进行解析,得到授权终端发送来的第二密码,与第一密码进行认证比对,根据认证比对的结果进行认证授权。
[0040]在其中一个实施例中,所述认证代码生成格式软件为图形、光代码、音代码或语音格式生成软件。
[0041]在其中一个实施例中,所述步骤S300还包括如下步骤:
[0042]步骤S310,在收到注册服务器回馈的令牌组件,加密软件及认证代码生成格式软件后,使用预设设定解密密钥在授权终端上解密URL信息,并要求用户输入令牌激活密码安装安全令牌组合及加密软件和格式生成软件。
[0043]在其中一个实施例中,所述加密为:
[0044]使用AE