自动随机一次性密码提高网络交易安全的认证方法

摘要

本发明涉及一种计算机网络加密技术，尤其是一种利用自动随机一次性密码提高网络交易安全的认证方法。它是在原有的ID密码登录认证的背后，又增加了自动随机一次性密码的认证系统以加强网上商务交易的安全防护；通过插接在用户端计算机USB接口上的密码安全装置、该密码安全装置对应的驱动程序、服务器端认证程序模块、下载到用户端的Applet程序模块及用户端应用程序实现网上商务交易的加密、防破译目的。本发明认证系统的密码与原有的ID登录密码无任何关系且每次访问上述认证系统的密码都在改变，具有即使ID登录密码泄露，本认证系统仍能防止非法者进入系统的特点。因几乎所有的个人计算机都有USB接口，故具有广泛的应用领域和使用价值。

说明书

技术领域

本发明涉及一种在计算机网络上进行商务交易的加密技术。尤其是一种通过自动随机一次性密码提高网络交易安全的认证方法。

背景技术

随着以互联网络(Internet)为媒介的电子商务技术的发展与进步，使应用在金融等领域的电子商务的安全性显得更为重要。目前采用的各种网络加密措施如SSL、PKI、双密码或多密码等技术手段，在使用中用户需牢记密码；人们为便于记忆通常设置一些具有联想性的数字、字母，因而其密码较易被他人猜译。使现行网络交易的安全性大大降低，影响电子商务网络技术在各应用领域的进一步普及和使用。

发明内容

本发明的目的是提供一种利用用户计算机已有的USB接口，自动发行及保存的随机一次性密码提高网络交易安全的认证方法。

为达到上述目的，本发明采用如下技术方案：它有网络服务器和用户计算机，由服务器端认证程序模块、下载到用户端的Applet程序模块、插接在用户端计算机USB接口上的密码安全装置、该密码安全装置对应的驱动程序及用户端应用程序模块组成；用户在ID密码登录方式认证后增加如下认证方法：

服务器端根据用户通常的ID-密码登录方式要求的用户ID，将对应的已在服务器端预先登录的永久性USB固有制造ID，用户ID，用途ID及Applet程序模块传送给用户端；其中用途ID可对应网上交易的多种用途使用。

传送至用户端的Applet程序模块与用户端应用程序模块进行通信，通过驱动程序取得插接在用户计算机USB接口上的密码安全装置内的原密码；

下载到用户端的Applet程序模块将该原密码发送给服务器端的认证程序模块；

认证程序模块对得到的原密码进行认证，如果是合法的，将发行新的密码；否则，通知用户端认证工作失败；

认证程序模块将新密码发送给用户端的Applet程序模块；用户端的Applet程序模块与用户端应用程序模块进行通信，将上述发行的新密码保存于插接在用户计算机USB接口上的密码安全装置内；

用户端的Applet程序模块通知服务器端的认证程序模块：插接在用户计算机USB接口上的密码安全装置内的新密码保存完毕；

服务器端的认证程序模块通知用户端的Applet程序模块，收到以上信息；

用户端的Applet程序模块与用户端应用程序模块进行通信，完成插接在用户计算机USB接口上的密码装置内新密码的更换；

用户端的Applet程序模块通知服务器端的认证程序模块：插接在用户计算机USB接口上的密码安全装置内的新密码更改完成；

服务器端的认证程序模块记忆新的密码；

进行具体的网上交易活动。

所述插接在用户端计算机USB接口上的密码安全装置内含有USB驱动设备、8-32M存储器及微处理器(MCU)等硬件。

采用上述技术方案，就是在通常的ID密码登录认证之后，又增加了这套自动随机一次性密码的认证系统。本认证系统采用128-1024或更长的密码，每次密码都发生随机改变且该密码保存在可移动的插接在用户计算机USB接口上的密码安全装置内。用户在使用中需要象钥匙一样地去使用该密码安全装置，才能进入网上用户进行交易。没有它，根本无法进入网上用户。因此，即使通常的登录密码被盗用，本发明的这套自动认证系统仍能防止非法者进入系统。本发明的所有密码的发行、保存以及通信都是自动进行的。也就是说，本发明在通常的ID密码登录认证之后，又加上了一层更加难以破解的密码认证系统。

作为本发明的进一步改进，所述服务器端认证程序模块为嵌入服务器端Web系统中的一般应用程序。

所述下载到用户端的Applet程序模块为嵌入在HTML内的用JAVA语言写成的标准Applet程序。

所述插接在用户端计算机USB接口上的密码安全装置对应的驱动程序为使用C语言及汇编语言编写同时适于Windows2000，WindowsXP，WindowsME，Linux等操作系统中运行的程序。

所述用户端应用程序为保存在用户端计算机内系统程序。

作为本发明的更进一步改进，所述插接在用户端计算机USB接口上的密码安全装置还包括一显示器及该显示器的驱动设备。

本发明的认证方法同现行网上商务交易的安全防护措施相比具有如下优点：在进行通常的ID密码登录认证方式后，又增加了自动随机一次性密码的认证系统以加强网上商务交易的安全防护；因本发明认证系统在通常的密码登录认证的背后，其密码与通常的ID密码登录认证的密码无任何关系并且每次访问其密码都在改变，即使通常的ID密码登录认证方式的密码泄露也可不必担心；由于几乎所有的用户计算机都有USB接口，因此具有广泛的应用领域；例如网上股票证券交易、网上银行、网上拍卖、网上教学、网上购物包括利用信用卡或其他付款方式结算等各种网上商业行为；引入本发明是利用计算机串行总线接入的技术对用户端的计算机系统无任何影响，对服务器端的网上商务交易系统影响较小；不仅服务器端对用户端进行认证，反过来，用户端通过系统应用程序取得插接在USB接口上的密码安全装置的永久性固有制造ID，用户ID，用途ID与服务器传送来的对应数据进行比较，对服务器端进行认证，故具有可靠的安全性能；插接在USB接口上的密码安全装置体积较小，便于携带。

附图说明

图1为本发明自动随机一次性密码提高网络交易安全的认证方法技术方案结构示意图。

图2为本发明自动随机一次性密码提高网络交易安全的认证方法中插接在用户计算机USB接口上的密码安全装置的电路结构示意图。

图3为本发明用户端应用程序模块的概要程序流程图。

图4为本发明服务器端认证程序模块的概要程序流程图。

图5为本发明中Applet程序模块的概要程序流程图。

具体实施方式

如图1所示，包括：网络服务器、用户计算机，由服务器端认证程序模块4、下载到用户端的Applet程序模块5、插接在用户端计算机USB接口上的密码安全装置1、该密码安全装置对应的驱动程序2及用户端应用程序模块3组成；每次交易前用户先进行通常的ID密码登录认证方式，即输入用户名和密码；上述通常的认证通过后，将自动增加如下的认证方法：服务器端将该用户预先登录的永久性USB固有制造ID、用户ID、用途ID及Applet程序模块传送给用户端；其中用途ID可对应网上交易的多种用途。

传送至用户端的Applet程序模块5与用户端应用程序模块3进行通信，通过驱动程序2取得插接在USB接口上的密码安全装置1内的原密码即上次交易的随机一次性密码；

下载到用户端的Applet程序模块5将该原密码发送给服务器端的认证程序模块4；

认证程序模块4对得到的原密码进行认证，如果是合法的，将发行新的密码；如否，则通知用户端认证工作失败；

认证程序模块4将新密码发送给用户端的Applet程序模块5；用户端的Applet程序模块5与用户端应用程序模块3进行通信，将上述发行的新密码保存于插接在用户计算机USB接口上的密码安全装置1内；

用户端的Applet程序模块5通知服务器端的认证程序模块4：插接在用户计算机USB接口上的密码安全装置1内的新密码保存完毕；

服务器端的认证程序模块4通知用户端的Applet程序模块5收到以上信息后，用户端的Applet程序模块5与用户端应用程序模块3进行通信，完成插接在用户计算机USB接口上的密码安全装置1内新密码的更换工作；

用户端的Applet程序模块5通知服务器端的认证程序模块4：插接在用户计算机USB接口上的密码安全装置1内的新密码更改完成；  

服务器端的认证程序模块4记忆新的密码；

进行具体的网上交易活动。

所述插接在用户计算机USB接口上的密码安全装置1内含有USB驱动设备、8-32M存储器及微处理器(MCU)及小型液晶显示设备LCD、与液晶显示设备相连的液晶显示驱动设备(如图2所示)。插接在用户计算机USB接口上的密码安全装置1是一种基于计算机通用串行总线接口(USB接口)的计算机外围设备。主要用于保存随机一次性密码及与用户计算机进行通信。本设备有一个永久性固有制造ID，具有唯一性以用于区分及登录用户身份。

存储器内的一次性密码的长度为128-1024或更长。用户ID用于区分不同的用途，使一个设备用于多个目的。例如用户ID1用于某证券公司的网上交易帐户；用户ID2用于某银行的网上帐户；用户ID3用于某个网上教学帐户，用户ID4用于某软件的加密等(如表1示)。存储器内每一条记录，有当前及上一次两个密码，主要用于通信及系统发生障碍时的处理。

用途1ID用户ID1用途1一次性密码(上一次)用途1一次性密码(当前)用途1记述略语用途2ID用户ID2用途2一次性密码(上一次)用途2一次性密码(当前)用途2记述略语用途nID用户IDn用途n一次性密码(上一次)用途n一次性密码(当前)用途n记述略语

                           表1存储方式及内容

插接在用户端计算机USB接口上的密码安全装置对应的驱动程序为使用C语言及汇编语言编写的程序，以便计算机的软件访问插接在USB接口上的密码安全装置。本驱动程序的作用是根据客户端应用程序模块的要求，对插接在计算机USB接口上的密码安全装置进行读写操作。

如图3示，客户端应用程序模块是用户端计算机内的一种系统级程序，在系统启动时工作，在系统关闭时终止。在Windows操作系统下，它是一个服务器程序，在UNIX或Linux系统下，它是一个在系统启动Shell中被调用的程序。它的作用是与网页内Applet程序进行通信，根据要求访问插接在USB接口上密码安全装置对应的驱动程序以实现对该密码安全装置进行读写操作。从而使网页内Applet程序模块间接地对该密码安全装置进行读写操作，以达到取得和保存随机一次性密码的目的。

如图4示，服务器端的认证程序模块是嵌入在服务器端的Web系统内的一般应用程序；它的作用是与用户端进行通信以接收来自用户端的密码及必要的通信信息；访问用户登录表以对随机一次性密码进行认证；对于合法的用户发行新的随机一次性密码；在得到插接在USB接口上密码安全装置内的新密码更新成功信息后，更新用户登录表内的对应密码。

如图5示，用户端Applet程序模块是嵌入在HTML内的用JAVA语言编写的标准Applet程序。该Applet程序是在浏览器上可执行的嵌入在HTML内的JAVA程序。用户端的Applet程序模块与服务器端的认证程序模块、用户端应用程序模块进行通信，担当两者之间的通信代理作用。因为本发明的Applet程序模块要与客户端应用程序模块进行通信，故需要使用JAVA的安全与加密技术。

在实际使用中将密码安全装置插入用户计算机的USB接口，操作系统检测到一个新的外接硬件USB设备，操作系统查找已被安装的驱动程序；如果没有找到将提示用户安装驱动程序及用户端应用程序模块，安装驱动程序及用户端应用程序模块并将其启动；利用相应的服务(如网上股票证券交易)，拔下USB接口上的密码安全装置，利用结束。服务器端的Web系统导入认证程序模块；与认证有关的网页及嵌入本发明的Applet程序；建立用户登录表，分配及初始化用户ID；初始化并发行用户的USB密码安全装置。

本发明同现行网上商务交易的安全防护措施相比较具有如下优点：在通常的ID密码登录认证方式的背后，又增加了自动随机一次性密码的认证系统加强网上商务交易的安全防护；用户仍使用通常的ID密码方式登录，不会对前台操作的用户增加麻烦。因本发明的认证系统是在通常的ID登录认证背后，其密码与通常的ID密码登录认证方式的密码无任何关系且每次访问的认证密码都在改变，即使通常的ID密码登录认证方式的密码泄露也不必担心。插接在USB接口上的密码安全装置是便携设备与普通的门钥匙大小相当，故携带方便；因几乎所有的计算机都有USB接口，故具有广泛的应用领域；同时引入本发明对用户端的计算机系统无任何影响；对服务器端的网上商务交易系统的影响也很小。本发明的认证方法不仅服务器端对客户端进行认证，反过来，用户端也可通过系统应用程序取得插接在USB接口上的密码安全装置的永久性固有制造ID，用户ID，用途ID与服务器传送来的对应数据进行比较，对服务器端进行认证；故具有可靠的安全性能。