一種密鑰下發、動態口令生成及認證的方法和裝置的制造方法
【專利摘要】本發明公開了一種密鑰下發、動態口令生成及認證的方法和裝置,屬于信息安全領域。密鑰下發的方法包括客戶端向運營管理平臺發送包括用戶名的密鑰下發請求;客戶端接收來自運營管理平臺的密鑰生成因子和令牌標識;客戶端調用內置的計算種子密鑰的算法,根據密鑰生成因子和令牌標識生成種子密鑰,并對令牌標識進行保存;客戶端建立與安全域的安全通道,通過安全通道將種子密鑰和令牌標識寫入安全域。本發明提供的方法和裝置,客戶端從服務器平臺中下載密鑰生成因子,使用密鑰生成因子計算種子密鑰,在密鑰下發的流程上避免種子密鑰的外泄;計算動態口令時無需動態令牌,節省認證成本;操作方便、不易出錯,且安全性較好。
【專利說明】
一種密鑰下發、動態口令生成及認證的方法和裝置
技術領域
[0001]本發明涉及信息安全領域,尤其涉及一種密鑰下發、動態口令生成及認證的方法和裝置。
【背景技術】
[0002]隨著電子信息的快速發展,因移動設備(也稱為移動終端)具有攜帶方便、操作靈活等特點,使其在電子交易以及系統登錄方面的應用日漸普及。為了提高安全性,通常在使用移動終端進行電子交易或系統登錄時使用動態口令進行身份認證。動態口令的產生需要有一個固有的計算因子,稱之為種子密鑰。種子密鑰是否安全直接影響電子交易或系統登錄的安全性。現有技術中,密鑰下發的方式通常為移動終端直接從密鑰管理系統下載種子密鑰并將種子密鑰保存在自身文件數據庫(如SQLite文件數據庫)中,或者動態令牌從密鑰管理系統直接下載并保存種子密鑰。身份認證時生成動態口令的方式根據種子密鑰下發的方式而定,當移動終端下載并保存種子密鑰時,移動終端使用自身保存的種子密鑰計算動態口令,再由用戶將動態口令輸入到網頁或移動終端的客戶端;當動態令牌下載并保存種子密鑰時,需要移動終端與動態令牌結合使用,客戶端使用自身保存的種子密鑰計算動態口令,再由用戶將動態口令輸入到網頁或移動終端的客戶端。
[0003]現有技術中密鑰下發方法和身份認證時生成動態口令的方法存在以下弊端:移動終端或動態令牌從種子密鑰的管理系統中直接下載種子密鑰,在傳輸的過程中種子密鑰很容易被惡意程序截獲,存在種子密鑰外泄的風險;移動終端中的SQLite文件很容易被其他應用程序讀取,種子密鑰在存儲方式上存在外泄的風險;在身份認證時,在生成動態口令之后,需要由用戶將動態口令手動輸入到網頁或者移動終端的客戶端,操作不方便、容易出錯,且安全性較差;使用動態令牌下載并保存種子密鑰時,需要移動終端與動態令牌結合使用,與只使用移動終端相比認證成本較高,并且攜帶不方便。
【發明內容】
[0004]本發明為解決上述現有技術中存在的技術問題提供一種密鑰下發、動態口令生成及認證的方法和裝置。
[0005]本發明提供一種密鑰下發方法,以客戶端的操作步驟為主進行描述,包括以下步驟:
[0006]步驟S1:客戶端向運營管理平臺發送包括用戶名的密鑰下發請求;
[0007]步驟S2:所述客戶端接收來自所述運營管理平臺的密鑰生成因子和令牌標識;
[0008]步驟S3:所述客戶端調用內置的計算種子密鑰的算法,根據所述密鑰生成因子和所述令牌標識生成種子密鑰,并對所述令牌標識進行保存;
[0009]步驟S4:所述客戶端建立與安全域的安全通道,通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域。
[0010]本發明提供一種密鑰下發方法,應用于包括運用管理平臺和動態口令管理平臺的系統,包括以下步驟:
[0011]步驟Ml:運營管理平臺接收來自客戶端的包括用戶名的密鑰下發請求,并將所述密鑰下發請求發送給動態口令管理平臺;
[0012]步驟M2:所述動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子,并將所述密鑰生成因子、所述令牌標識發送給所述運營管理平臺;
[0013]步驟M3:所述運營管理平臺將所述令牌標識與所述用戶名建立對應關系,并將所述令牌標識和所述密鑰生成因子發送給所述客戶端。
[0014]本發明提供一種動態口令生成及認證的方法,應用于包括客戶端和安全域的移動終端,包括以下步驟:
[0015]步驟H1:客戶端建立與安全域的安全通道,通過所述安全通道向所述安全域發送包括令牌標識的生成動態口令的請求;
[0016]步驟H2:所述安全域根據所述令牌標識檢索到對應的種子密鑰,調用計算動態口令的算法,根據當前動態因子和所述種子密鑰計算動態口令,并將所述動態口令通過所述安全通道返回所述客戶端;
[0017]步驟H3:所述客戶端將所述動態口令和相關數據發送給運營管理平臺;
[0018]步驟H4:所述客戶端接收來自所述運營管理平臺的認證成功消息或認證失敗消息;
[0019]當客戶端登錄時:
[0020]在步驟Hl之前,還包括:所述客戶端獲取用戶名和密碼,并對用戶名進行保存;
[0021]步驟H3中的相關數據為所述用戶名和所述密碼;
[0022]當客戶端執行交易認證時:
[0023]在步驟Hl之前,還包括:所述客戶端獲取業務數據;
[0024]步驟Hl中所述客戶端通過所述安全通道向所述安全域發送的生成動態口令請求中還包括所述業務數據;
[0025]步驟H2中所述安全域根據當前動態因子和所述種子密鑰計算動態口令具體為:所述安全域根據當前動態因子、所述業務數據和所述種子密鑰計算動態口令;
[0026]步驟H3中的相關數據為所述業務數據和用戶名。
[0027]本發明提供一種動態口令的認證方法,應用于包括運用管理平臺和動態口令管理平臺的系統,包括以下步驟:
[0028]步驟LI:運營管理平臺接收來自客戶端的相關數據和動態口令,根據所述相關數據中的用戶名檢索到與所述用戶名建立對應關系的令牌標識,將所述令牌標識和所述動態口令發送給動態口令管理平臺;
[0029]步驟L2:所述動態口令管理平臺根據所述令牌標識檢索到對應的種子密鑰,調用自身保存的計算動態口令的算法,根據所述種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證,并將認證成功消息或認證失敗消息發送給運營管理平臺;
[0030]步驟L3:所述運營管理平臺向所述客戶端發送所述認證成功消息或所述認證失敗消息;
[0031]當運營管理平臺執行客戶端登錄認證時:
[0032]步驟LI中的相關數據包括用戶名和密碼;
[0033]步驟LI還包括:所述運營管理平臺對所述用戶名和密碼進行驗證,當驗證通過時,所述運營管理平臺根據所述用戶名檢索到與所述用戶名建立對應關系的令牌標識;
[0034]當運營管理平臺執行交易認證時:
[0035]步驟LI之前還包括:所述運營管理平臺向客戶端發送業務數據;
[0036]步驟LI中的相關數據包括用戶名和業務數據;
[0037]步驟LI中還包括:所述運營管理平臺將業務數據發送給所述動態口令管理平臺;
[0038]步驟L2中所述動態口令管理平臺根據所述種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證,具體為:所述動態口令管理平臺根據所述種子密鑰、所述業務數據和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證。
[0039]本發明還提供了一種密鑰下發的客戶端,包括:
[0040]第一發送模塊,用于向運營管理平臺發送包括用戶名的密鑰下發請求;
[0041 ]接收模塊,用于接收來自所述運營管理平臺的密鑰生成因子和令牌標識;
[0042]生成模塊,用于調用內置的計算種子密鑰的算法,根據所述密鑰生成因子和所述令牌標識生成種子密鑰;
[0043]保存模塊,用于對所述接收模塊接收的所述令牌標識進行保存;
[0044]第一創建模塊,用于所述生成模塊生成所述種子密鑰之后,建立與安全域的安全通道;
[0045]寫入模塊,用于通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域。
[0046]本發明還提供了一種密鑰下發的系統,包括運營管理平臺和動態口令管理平臺,
[0047]所述運營管理平臺包括:
[0048]第一接收模塊,用于接收來自客戶端的包括用戶名的密鑰下發請求;
[0049]第一發送模塊,用于將所述密鑰下發請求發送給動態口令管理平臺;
[0050]第二接收模塊,用于接收來自動態口令管理平臺的密鑰生成因子和令牌標識;
[0051]建立模塊,用于將所述令牌標識與所述用戶名建立對應關系;
[0052]第二發送模塊,用于當所述建立模塊將所述令牌標識與所述用戶名建立對應關系之后,將所述令牌標識和所述密鑰生成因子發送給所述客戶端;
[0053]所述動態口令管理平臺包括:
[0054]第三接收模塊,用于接收來自所述運營管理平臺的所述密鑰下發請求;
[0055]生成模塊,用于調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子;
[0056]第三發送模塊,用于將所述密鑰生成因子、所述令牌標識發送給所述運營管理平臺。
[0057]本發明還提供了一種動態口令生成及認證的移動終端,包括客戶端和安全域,
[0058]所述客戶端包括:
[0059]建立模塊,用于建立與安全域的安全通道;
[0060]第一發送模塊,用于通過所述安全通道向所述安全域發送包括令牌標識的生成動態口令的請求;
[0061 ]第一接收模塊,用于通過所述安全通道接收來自所述安全域的動態口令;
[0062]第二發送模塊,用于將所述動態口令和相關數據發送給運營管理平臺;
[0063]第二接收模塊,用于接收來自所述運營管理平臺的認證成功消息或認證失敗消息;
[0064]所述安全域包括:
[0065]第三接收模塊,用于接收來自所述客戶端的包括令牌標識的生成動態口令的請求;
[0066]檢索模塊,用于根據所述令牌標識檢索到對應的種子密鑰;
[0067]計算動態口令模塊,用于根據所述令牌標識調用計算動態口令的算法,根據當前動態因子和所述種子密鑰計算動態口令;
[0068]第三發送模塊,用于將所述動態口令通過所述安全通道返回所述客戶端;
[0069]所述客戶端還包括獲取模塊和保存模塊,
[0070]當所述客戶端登錄時:
[0071]所述獲取模塊用于,在所述建立模塊建立所述安全通道之前,獲取用戶名和密碼;
[0072]所述保存模塊,用于對所述用戶名進行保存;所述相關數據具體為所述獲取模塊獲取的所述用戶名和所述密碼;
[0073]當所述客戶端執行交易認證時:
[0074]所述獲取模塊,用于在所述建立模塊建立所述安全通道之前,獲取業務數據,所述第一發送模塊通過所述安全通道向所述安全域發送的生成動態口令請求中還包括所述業務數據;
[0075]所述第三接收模塊接收的來自所述客戶端的包括令牌標識的生成動態口令的請求中還包括所述業務數據;
[0076]所述計算動態口令模塊,具體用于根據當前動態因子、所述業務數據和所述種子密鑰計算動態口令;所述相關數據具體為所述獲取模塊獲取的所述業務數據和所述保存模塊保存的所述用戶名。
[0077]本發明還提供了一種動態口令認證的系統,包括運用管理平臺和動態口令管理平臺;
[0078]所述運營管理平臺包括:
[0079]第一接收模塊,用于接收來自客戶端的相關數據和動態口令;
[0080]建立模塊,用于根據所述相關數據中的用戶名檢索到與所述用戶名建立對應關系的令牌標識;
[0081 ]第一發送模塊,用于將所述令牌標識和所述動態口令發送給動態口令管理平臺;
[0082]第二接收模塊,用于接收來自所述動態口令管理平臺的認證成功消息或認證失敗消息;
[0083]第二發送模塊,用于向所述客戶端發送所述認證成功消息或所述認證失敗消息;
[0084]所述動態口令管理平臺包括:
[0085]第三接收模塊,用于接收來自所述運營管理平臺的令牌標識和所述動態口令;
[0086]檢索模塊,用于根據所述令牌標識檢索到對應的種子密鑰;
[0087]認證模塊,用于調用動態口令管理平臺保存的計算動態口令的算法,根據所述種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證;
[0088]第三發送模塊,用于將認證成功消息或認證失敗消息發送給運營管理平臺;
[0089 ]所述運營管理平臺還包括驗證模塊和第四發送模塊;
[0090]當運營管理平臺執行客戶端登錄認證時:
[0091 ]所述相關數據包括用戶名和密碼;
[0092]所述驗證模塊,用于對所述用戶名和密碼進行驗證;
[0093]所述建立模塊,具體用于當所述驗證模塊驗證所述用戶名和所述密碼通過時,根據所述用戶名檢索到與所述用戶名建立對應關系的令牌標識;
[0094]當運營管理平臺執行交易認證時:
[0095]所述第四發送模塊,用于當所述第一接收模塊接收來自客戶端的相關數據和動態口令之前,向所述客戶端發送業務數據;
[0096]所述相關數據包括用戶名和所述業務數據;
[0097]所述第一發送模塊,具體用于將所述令牌標識、所述業務數據和所述動態口令發送給所述動態口令管理平臺;
[0098]所述第三接收模塊,具體用于接收來自所述運營管理平臺的令牌標識、所述業務數據和所述動態口令;
[0099]所述認證模塊,具體用于根據所述種子密鑰、所述業務數據和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證。
[0100]本發明與現有技術相比的有益效果是:本發明在密鑰下發過程中,移動終端中的客戶端從服務器平臺中下載密鑰生成因子,根據密鑰生成因子生成種子密鑰,從而有效防止在傳輸的過程中種子密鑰被惡意程序截獲,在密鑰下發的流程上避免種子密鑰的外泄;客戶端根據密鑰生成因子生成種子密鑰之后,將種子密鑰寫入安全域中,在存儲方式上保證了種子密鑰的安全性,進而使用種子密鑰計算的動態口令具有很好的安全性;計算動態口令時無需動態令牌,節省認證成本;客戶端直接將生成的動態口令發送給運營管理平臺,不需要用戶將動態口令手動輸入到網頁或者移動終端的客戶端,操作方便、不易出錯,且安全性較好。
【附圖說明】
[0101]圖1所示為本發明實施例1中密鑰下發的方法流程;
[0102]圖2所示為本發明實施例2中密鑰下發的方法流程;
[0103]圖3所示為本發明實施例3中動態口令生成及認證的方法流程;
[0104]圖4所示為本發明實施例4中動態口令生成及認證的方法流程;
[0105]圖5所示為本發明實施例5中一種密鑰下發的客戶端的模塊組成框圖;
[0106]圖6所示為本發明實施例6中一種密鑰下發的系統的模塊組成框圖;
[0107]圖7所示為本發明實施例7中一種動態口令認證的系統的模塊組成框圖;
[0108]圖8所示為本發明實施例8中一種動態口令生成及認證的系統的模塊組成框圖。
【具體實施方式】
[0109]為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖對本發明實施方式作進一步地詳細描述。
[0110]實施例1
[0111]本實施例提供了一種密鑰下發的方法,如圖1所示,包括:
[0112]步驟101:客戶端獲取用戶名和密碼,將用戶名和密碼發送給運營管理平臺,并對用戶名進行保存。
[0113]具體地,客戶端獲取用戶輸入的用戶名和密碼,并將用戶名和密碼發送給運營管理平臺。
[0114]例如,當客戶端用戶打開移動終端中的客戶端時,客戶端顯示用戶名和密碼的輸入窗口,當用戶在對應的輸入窗口輸入用戶名和密碼,點擊登錄或確認按鍵后,客戶端獲取用戶名和密碼,并將用戶名和密碼發送給運營管理平臺。
[0115]在執行步驟101之前,還包括移動終端安裝客戶端。具體地,移動終端從運營管理平臺下載客戶端安裝文件之后進行安裝客戶端,或者移動終端從運營管理平臺直接下載已經安裝好的客戶端。
[0116]步驟102:運營管理平臺根據自身保存的用戶名和密碼對來自客戶端的用戶名和密碼進行驗證,驗證通過時執行步驟105;驗證未通過時執行步驟103。
[0117]在客戶端將用戶名和密碼發送給運營管理平臺之前,運營管理平臺中已經將用戶名和密碼進行注冊并保存注冊后的用戶名和密碼。
[0118]步驟103:運營管理平臺將驗證失敗消息發送給客戶端,執行步驟104。
[0119]步驟104:客戶端根據接收的驗證失敗消息,顯示驗證失敗的信息。
[0120]具體地,驗證失敗消息為用戶名錯誤或密碼錯誤的信息。例如,當運營管理平臺判斷自身沒有保存與來自客戶端對應的用戶名時,則客戶端顯示驗證失敗信息為“用戶名錯誤”;當運營管理平臺判斷自身保存與來自客戶端的用戶名,但沒有保存與來自客戶端的密碼時,則移動終端收到的信息為“密碼錯誤”。
[0121]可選地,上述步驟102中,還包括:
[0122]運營管理平臺判斷驗證用戶名的次數是否超過預設驗證次數;
[0123]相應地,當運營管理平臺驗證用戶名的次數沒有超過預設驗證次數時,上述步驟103之前,還包括:運營管理平臺將本次驗證失敗消息發送給客戶端,客戶端根據本次驗證失敗消息顯示本次驗證失敗信息,返回步驟101;
[0124]當運營管理平臺驗證用戶名的次數超過預設驗證次數時,執行步驟103。
[0125]步驟105:運營管理平臺將驗證成功消息發送給客戶端。
[0126]步驟106:客戶端根據接收的驗成功消息,顯示驗證成功的信息。
[0127]例如,客戶端顯示驗證成功的信息為“驗證通過”。
[0128]步驟107:客戶端判斷移動終端是否具有安全域,如果是,則執行步驟108,否則客戶端顯示沒有安全域,結束。
[0129]可選地,步驟107中,客戶端判斷移動終端是否具有安全域之前,還包括:客戶端建立與安全域的安全通道;
[0130]上述客戶端判斷移動終端是否具有安全域,具體為:客戶端通過安全通道判斷移動終端是否具有安全域。
[0131 ]客戶端建立與安全域的安全通道時,當客戶端建立與安全域的安全通道失敗時,客戶端顯示沒有安全域,結束;當客戶端建立與安全域的安全通道成功時,但是安全域空間不足,顯示安全域空間不足或顯示沒有安全域,結束。
[0132]具體地,安全域具體為SD卡或SIM卡或移動終端自帶的安全域,客戶端訪問安全域時需要建立安全通道,只有按照一定的規則才能建立客戶端和安全域的安全通道,其它控件、客戶端或程序沒有建立安全通道的規則時,就不能夠訪問安全域。
[0133]可選地,上述客戶端通過安全域判斷移動終端是否具有安全域之后,還包括:客戶端關閉安全通道。
[0134]步驟108:客戶端向運營管理平臺發送包括用戶名的密鑰下發請求。
[0135]步驟109:運營管理平臺將密鑰下發請求發送給動態口令管理平臺。
[0136]步驟110:動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子,并將密鑰生成因子、令牌標識發送給運營管理平臺。
[0137]具體地,動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子,具體包括:
[0138]步驟m2l:動態口令管理平臺讀取自身保存的令牌標識,得到激活密碼;
[0139]步驟m22:動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據激活密碼、令牌標識和自身保存的種子密鑰進行運算得到令牌激活碼;
[0140]密鑰生成因子包括激活密碼和令牌激活碼。
[0141]或者,動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子,具體為:
[0142]動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和令牌標識進行運算得到令牌激活碼;
[0143]密鑰生成因子具體為令牌激活碼。
[0144]步驟111:運營管理平臺將令牌標識與用戶名建立對應關系,將密鑰生成因子和令牌標識發送給客戶端。
[0145]步驟112:客戶端根據密鑰生成因子和內置的計算種子密鑰的算法生成種子密鑰。
[0146]客戶端中內置的計算種子密鑰的算法和動態口令管理平臺保存的計算種子密鑰的算法相同。
[0147]客戶端根據密鑰生成因子和內置的計算種子密鑰的算法生成的種子密鑰與動態口令管理平臺自身保存的種子密鑰相同。
[0148]步驟113:客戶端建立與安全域的安全通道,通過安全通道將種子密鑰和令牌標識寫入安全域。
[0149]可選地,步驟113還包括,安全域通過安全通道向客戶端發送寫入成功消息或寫入失敗消息。
[0150]進一步地,步驟113還包括,客戶端根據成功消息顯示寫入成功的信息,或根據寫入失敗消息顯示寫入失敗的信息。
[0151]步驟114:客戶端關閉安全通道,清除安全域之外的種子密鑰和密鑰生成因子。
[0152]可選地,步驟114之前還包括:客戶端向運營管理平臺發送下載計算動態口令的算法的請求,接收來自運營管理平臺的算法安裝文件,通過安全通道根據算法安裝文件安裝計算動態口令的算法,獲取并保存安全域返回的算法標識。
[0153]進一步地,步驟113中,還包括:
[0154]客戶端通過安全通道根據自身保存的上次安全域返回的算法標識判斷安全域中是否安裝計算動態口令的算法,是則通過安全通道將種子密鑰和令牌標識寫入安全域;否則向運營管理平臺發送下載計算動態口令的算法的請求,接收來自運營管理平臺的算法安裝文件,通過安全通道根據算法安裝文件安裝計算動態口令的算法,獲取并保存安全域返回的算法標識。
[0155]具體地,上述客戶端通過安全通道根據自身保存的上次安全域返回的算法標識判斷安全域中是否安裝計算動態口令的算法,具體為:
[0156]客戶端根據自身保存的上次安全域返回的算法標識組織指令,并通過安全通道將指令發送給安全域,當接收到安全域通過安全通道返回的成功響應時,安全域中安裝計算動態口令的算法;當接收到安全域通過安全通道返回的失敗響應時,安全域中沒有安裝計算動態口令的算法。
[0157]本實施例提供的密鑰下發的方法,在密鑰下發過程中移動終端中的客戶端接收來自運營管理平臺的密鑰生成因子,客戶端根據密鑰生成因子和自身保存的計算種子密鑰的算法生成種子密鑰,從而有效避免在傳輸的過程中種子密鑰被惡意程序截獲,在密鑰下發的流程上避免種子密鑰的外泄;客戶端計算生成種子密鑰之后將種子密鑰保存到移動終端的安全域中,種子密鑰存儲在安全域中很難被其他應用程序讀取,從而保證種子密鑰在存儲方式上的安全性。
[0158]實施例2
[0159]本實施例提供了一種密鑰下發方法,應用于包括移動終端、運營管理平臺、安全管理平臺和動態口令管理平臺組成的系統中,其中移動終端包括客戶端和安全域,如圖2所示,包括:
[0160]步驟201:客戶端獲取用戶名和密碼,并將用戶名和密碼發送給運營管理平臺。
[0161]具體地,客戶端獲取用戶輸入的用戶名和密碼,并將用戶名和密碼發送給運營管理平臺。
[0162]例如,當用戶打開移動終端中的客戶端,移動終端顯示用戶名和密碼的輸入窗口,當用戶在對應的輸入窗口輸入用戶名和密碼,點擊登錄或確認按鍵后,客戶端獲取用戶名和密碼,并將用戶名和密碼發送給運營管理平臺。
[0163]在執行步驟201之前,還包括移動終端安裝客戶端。具體地,移動終端從運營管理平臺下載客戶端安裝文件之后進行安裝客戶端,或者移動終端從運營管理平臺直接下載已經安裝好的客戶端。
[0164]步驟202:運營管理平臺根據自身保存的用戶名和密碼對來自客戶端用戶名和密碼進行驗證,驗證通過時執行步驟205;驗證未通過時執行步驟203。
[0165]可選地,步驟202具體包括:
[0166]步驟2021:運營管理平臺判斷自身保存的用戶名和密碼是否分別與來自客戶端的用戶名和密碼相等,是則執行步驟2021,否則執行步驟203;
[0167]步驟2022:運營管理平臺判斷來自客戶端的用戶名是否具有下載種子密鑰的標識,是則執行步驟205,否則執行步驟203。
[0168]可選地,步驟2022中,當運營管理平臺判斷來自客戶端的用戶名具有下載種子密鑰的標識時,還包括:運營管理平臺將用戶名具有允許下載種子密鑰的標識發送給安全管理平臺。
[0169]在移動終端中的客戶端將用戶名和密碼發送給運營管理平臺之前,運營管理平臺中已經將用戶名和密碼進行注冊并保存注冊后的用戶名和密碼。
[0170]步驟203:運營管理平臺將驗證失敗消息發送給客戶端,執行步驟204。
[0171]具體地,運營管理平臺發送給移動終端驗證失敗的信息可以包括用戶名錯誤消息、密碼錯誤消息、用戶名不具有下載種子密鑰標識消息中的至少一種。
[0172]步驟204:客戶端根據接收的驗證失敗消息,顯示驗證失敗的信息。
[0173]具體地,驗證失敗消息為用戶名錯誤或密碼錯誤的信息。例如,當運營管理平臺判斷自身沒有保存與來自客戶端對應的用戶名時,則客戶端顯示驗證失敗信息為“用戶名錯誤”;當運營管理平臺判斷自身保存與來自客戶端的用戶名,但沒有保存與來自客戶端的密碼時,則移動終端收到的信息為“密碼錯誤”。
[0174]可選地,上述步驟202中,還包括:
[0175]運營管理平臺判斷驗證用戶名的次數是否超過預設驗證次數;
[0176]相應地,當運營管理平臺驗證用戶名的次數沒有超過預設驗證次數時,上述步驟203之前,還包括:運營管理平臺將本次驗證失敗消息發送給客戶端,客戶端根據本次驗證失敗消息顯示本次驗證失敗信息,返回步驟201;
[0177]當運營管理平臺驗證用戶名的次數超過預設驗證次數時,執行步驟203。
[0178]步驟205:運營管理平臺將驗證成功消息發送給客戶端,并將用戶名具有允許下載種子密鑰的標識發送給安全管理平臺。
[0179]步驟206:客戶端根據接收的驗證成功消息,顯示驗證成功的信息,判斷移動終端是否安裝安全控件,如果是,則執行步驟210,否則執行步驟207。
[0180]具體地,客戶端通過調用安全控件接口,判斷是否存在安全控件。
[0181]步驟207:客戶端向運營管理平臺發送下載安全控件的請求。
[0182]步驟208:運營管理平臺將安全控件安裝文件發送給客戶端。
[0183]可選地,步驟208之前,還包括:運營管理平臺驗證請求是否通過,如果是,則執行步驟208;否則向移動終端返回驗證未通過的信息。
[0184]可選地,運營管理平臺驗證請求是否通過,具體為:
[0185]運營管理平臺判斷用戶名是否開通了使用動態口令的相關的業務。
[0186]例如,運營管理平臺判斷用戶名是否具有動態口令業務的屬性,如果有,則確定用戶名開通了使用動態口令的相關業務;否則,確定用戶名未開通使用動態口令的相關業務。
[0187]當運營管理平臺判斷用戶名未開通使用動態口令的相關的業務時,運營管理平臺將驗證未通過的信息返回客戶端。客戶端根據接收的驗證未通過的信息顯示相應信息,例如客戶端顯示“該用戶沒有下載種子密鑰的權限”。
[0188]當用戶名未開通使用動態口令的相關業務時,移動終端用戶需要到人工服務臺將客戶端用戶名開通動態口令業務。
[0189]步驟209:客戶端根據接收的安全控件安裝文件安裝安全控件。
[0190]本實施例中,安全管理平臺通過安全控件管理安全域中的應用及數據。
[0191]步驟210:客戶端調用安全控件判斷移動終端中是否具有安全域,如果是,則執行步驟211;否則,客戶端顯示沒有安全域,結束。
[0192]具體地,當客戶端調用安全控件判斷移動終端中沒有安全域時,客戶端顯示沒有安全域的信息。
[0193]可選地,步驟210中,客戶端通過安全控件判斷移動終端中是否具有安全域之前,還包括:客戶端通過安全控件建立與安全域的安全通道。
[0194]步驟210中,客戶端調用安全控件判斷移動終端中是否具有安全域,具體為:客戶端調用安全控件通過安全通道判斷移動終端中是否具有安全域。
[0195]上述客戶端調用安全控件通過安全通道判斷移動終端中是否具有安全域之后,還包括:客戶端調用安全控件關閉安全通道。
[0196]客戶端調用安全控件建立與安全域的安全通道時,當客戶端調用安全控件建立與安全域的安全通道失敗時,客戶端顯示沒有安全域,結束;當客戶端調用安全控件建立與安全域的安全通道成功時,但是安全域空間不足,顯示安全域空間不足或顯示沒有安全域,結束。
[0197]具體地,安全域具體為SD卡或SIM卡或移動終端自帶的安全域,安全控件訪問安全域時需要建立安全通道,只有按照一定的規則才能建立安全控件和安全域的安全通道,其它控件或程序沒有建立安全通道的規則時,就不能夠訪問安全域。
[0198]步驟211:客戶端調用安全控件向安全管理平臺發送包括用戶名的密鑰下發請求。
[0199]可選地,上述步驟208中,還包括,運營管理平臺將URL地址發送給客戶端。
[0200]URL地址為安全管理平臺的地址,安全控件可以根據URL地址訪問安全管理平臺。
[0201]相應地,步驟211具體為:客戶端調用安全控件根據URL地址向安全管理平臺發送包括用戶名的密鑰下發請求
[0202]步驟212:安全管理平臺判斷密鑰下發請求中的用戶名是否具有下載種子密鑰的條件,如果是,則執行步驟215,否則執行步驟213。
[0203]具體地,安全管理平臺判斷密鑰下發請求中的用戶名是否具有下載種子密鑰的條件,具體為:
[0204]安全管理平臺接收到安全控件的密鑰下發請求后,將用戶名與從運營管理平臺接收的用戶名進行比較,判斷來自安全控件的用戶名是否具有允許密鑰下發的標識,如果有,則具有下載種子密鑰的條件,否則,不具有下載種子密鑰的條件。
[0205]可選地,在安全管理平臺判斷用戶名是否具有允許密鑰下發的標識之前,還包括:安全管理平臺判斷密鑰下發請求中的用戶名是否與從運營管理平臺接收的用戶名相同,如果是,則判斷該用戶名是否具有下載種子密鑰的條件;否則執行步驟213。
[0206]步驟213:安全管理平臺通過安全控件向客戶端發送請求失敗消息。
[0207]步驟214:客戶端根據接收的請求失敗消息,顯示請求失敗的信息
[0208]步驟215:安全管理平臺向運營管理平臺發送包括用戶名的密鑰下發請求。
[0209]步驟216:運營管理平臺將密鑰下發請求發送給動態口令管理平臺。
[0210]步驟217:動態口令管理平臺根據自身保存的計算種子密鑰的算法、種子密鑰和令牌標識生成密鑰生成因子,并將密鑰生成因子和令牌標識發送給運營管理平臺。
[0211]具體地,動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子,具體包括:
[0212]步驟m2l:動態口令管理平臺讀取自身保存的令牌標識,得到激活密碼;
[0213]步驟m22:動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據激活密碼、令牌標識和自身保存的種子密鑰進行運算得到令牌激活碼;
[0214]密鑰生成因子包括激活密碼和令牌激活碼。
[0215]或者,動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子,具體為:
[0216]動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和令牌標識進行運算得到令牌激活碼;密鑰生成因子具體為令牌激活碼。
[0217]步驟218:運營管理平臺將令牌標識與用戶名建立對應關系,并將密鑰生成因子和令牌標識發送給安全管理平臺。
[0218]步驟219:安全管理平臺將密鑰生成因子和令牌標識通過安全控件發送給客戶端。
[0219]步驟220:客戶端根據密鑰生成因子和內置的計算種子密鑰的算法生成種子密鑰。
[0220]具體地,客戶端調用內置的計算種子密鑰的算法,根據激活密碼、令牌激活碼和令牌標識生成種子密鑰。
[0221]或者,客戶端調用內置的計算種子密鑰的算法,根據令牌激活碼和令牌標識生成種子密鑰。
[0222]步驟220中,客戶端內置的計算種子密鑰的算法與動態口令管理平臺自身保存的計算種子密鑰的算法相同。
[0223]客戶端生成的種子密鑰與動態口令管理平臺自身保存的種子密鑰相同。
[0224]步驟221:客戶端調用安全控件建立與安全域的安全通道,調用安全控件通過安全通道將種子密鑰和令牌標識寫入安全域。
[0225]可選地,步驟221還包括,安全域通過安全通道向客戶端發送寫入成功消息或寫入失敗消息。
[0226]進一步地,步驟221還包括,客戶端根據所述成功消息顯示寫入成功的信息,或根據所述寫入失敗消息顯示寫入失敗的信息。
[0227]步驟222:客戶端調用安全控件關閉安全通道,清除安全域之外的種子密鑰和密鑰生成因子。
[0228]可選地,步驟222之前還包括:客戶端向運營管理平臺發送下載計算動態口令的算法的請求,接收來自運營管理平臺的算法安裝文件,并調用安全控件通過安全通道根據算法安裝文件安裝計算動態口令的算法,獲取并保存安全域返回的算法標識。
[0229]進一步地,上述步驟221中,還包括:客戶端通過安全通道根據自身保存的上次安全域返回的算法標識判斷安全域中是否安裝計算動態口令的算法,是則通過安全通道將種子密鑰和令牌標識寫入安全域;否則向運營管理平臺發送下載計算動態口令的算法的請求,接收來自運營管理平臺的算法安裝文件,通過安全通道根據算法安裝文件安裝計算動態口令的算法,獲取并保存安全域返回的算法標識。
[0230]具體地,上述客戶端通過安全通道根據自身保存的上次安全域返回的算法標識判斷安全域中是否安裝計算動態口令的算法,具體為:客戶端調用安全控件,通過安全通道根據自身保存的上次安全域返回的算法標識判斷安全域中是否安裝計算動態口令的算法。[0231 ]相應地,上述客戶端通過安全通道將種子密鑰和令牌標識寫入安全域,具體為:客戶端調用安全控件,通過安全通道將種子密鑰和令牌標識寫入安全域;
[0232]上述客戶端通過安全通道根據算法安裝文件安裝計算動態口令的算法,獲取并保存安全域返回的算法標識,具體為:客戶端調用安全控件,通過安全通道根據算法安裝文件安裝計算動態口令的算法,獲取并保存安全域返回的算法標識。
[0233]具體地,客戶端調用安全控件,通過安全通道根據自身保存的上次安全域返回的算法標識判斷安全域中是否安裝計算動態口令的算法,具體為:
[0234]客戶端根據自身保存的上次安全域返回的算法標識組織指令,并調用安全控件通過安全通道將指令發送給安全域,當接收到安全域通過安全通道和安全控件返回的成功響應時,安全域中安裝計算動態口令的算法;當接收到安全域通過安全通道和安全控件返回的失敗響應時,安全域中沒有安裝計算動態口令的算法。
[0235]本實施例提供的密鑰下發的方法,在密鑰下發過程中移動終端中的客戶端接收來自運營管理平臺的密鑰生成因子,客戶端根據密鑰生成因子計算生成種子密鑰,從而有效避免在傳輸的過程中種子密鑰被惡意程序截獲,在密鑰下發的流程上避免種子密鑰的外泄;客戶端計算生成種子密鑰之后,將種子密鑰保存到移動終端的安全域中,種子密鑰存儲在安全域中可以保證不會被其他應用程序讀取,從而保證種子密鑰在存儲方式上的安全性。
[0236]實施例3
[0237]本發明提供一種動態口令生成及認證的方法,如圖3所示,為客戶端登錄時生成動態口令以及對生成的動態口令進行的認證方法流程圖,包括以下步驟:
[0238]步驟301:客戶端獲取用戶名和密碼,建立與安全域的安全通道,通過安全通道向安全域發送包括令牌標識的生成動態口令的請求。
[0239]具體地,步驟301具體包括:
[0240]步驟3011:用戶打開移動終端中的客戶端,移動終端上顯示客戶端應用界面,并在客戶端應用界面顯示出用戶名和密碼的輸入窗口。
[0241 ] 步驟3012:用戶通過用戶名輸入窗口和密碼輸入窗口分別輸入用戶名和密碼,點擊登錄按鈕,客戶端建立與安全域的安全通道,通過安全通道向安全域發送包括令牌標識的生成動態口令的請求。
[0242]步驟302:安全域根據令牌標識檢索到對應的種子密鑰,調用計算動態口令的算法,根據當前動態因子和種子密鑰計算動態口令,并將動態口令通過安全通道返回客戶端。
[0243]可選地,安全域調用計算動態口令的算法,根據動態因子和種子密鑰計算動態口令,具體為:調用計算動態口令的算法,獲取當前時間,根據當前時間和種子密鑰計算動態口令。
[0244]具體地,安全域獲取當前時間具體為:
[0245]安全域從自身的計時器獲取當前時間;
[0246]或者,安全域從客戶端獲取當前時間。
[0247]可選地,安全域調用計算動態口令的算法,根據動態因子和種子密鑰計算動態口令,具體為:安全域調用計算動態口令的算法,根據自身保存的當前事件因子和種子密鑰計算動態口令。
[0248]安全域根據自身保存的當前事件因子和種子密鑰計算動態口令之后,還包括:安全域更新自身保存的當前事件因子。
[0249]具體地,安全域更新自身保存的當前事件因子,具體為:安全域將自身保存的當前事件因子加一。
[0250]可選地,步驟301中,客戶端建立與安全域的安全通道,通過安全通道向安全域發送包括令牌標識的生成動態口令的請求,具體為:客戶端調用安全控件建立與安全域的安全通道,調用安全控件通過安全通道向安全域發送包括令牌標識的生成動態口令的請求。[0251 ]相應地,步驟302中,安全域將動態口令通過安全通道返回客戶端具體為:安全域通過安全控件和安全通道將動態口令返回客戶端。
[0252]步驟303:客戶端將動態口令、用戶名和密碼發送給運營管理平臺。
[0253]步驟304:運營管理平臺對用戶名和密碼進行驗證,驗證通過時執行步驟307,驗證未通過時執行步驟305。
[0254]具體地,運營管理平臺判斷用戶名和密碼是否分別與自身保存的用戶名和密碼相等,如果是,則驗證通過;否則驗證未通過。
[0255]步驟305:運營管理平臺向客戶端發送驗證失敗的消息。
[0256]步驟306:客戶端根據驗證失敗的消息顯示驗證失敗的信息。
[0257]步驟307:運營管理平臺根據用戶名檢索到與用戶名建立對應關系的令牌標識,將令牌標識和動態口令發送給動態口令管理平臺。
[0258]步驟308:動態口令管理平臺根據令牌標識檢索到對應的種子密鑰,調用自身保存的計算動態口令的算法,根據種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證,并將認證成功消息或認證失敗消息發送給運營管理平臺。
[0259]本實施例中,動態口令管理平臺自身保存的計算動態口令的算法與安全域中計算動態口令的算法相同,動態口令管理平臺自身保存的種子密鑰與安全域中保存的種子密鑰相同。
[0260]可選地,動態口令管理平臺調用自身保存的計算動態口令的算法,根據種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證,具體包括:
[0261]步驟L21:動態口令管理平臺調用自身保存的計算動態口令的算法,根據種子密鑰和自身保存的當前動態因子計算動態口令;
[0262]步驟L22:動態口令管理平臺判斷計算得到的動態口令是否與接收的動態口令相等,是則認證通過;否則執行步驟L23;
[0263]步驟L23:動態口令管理平臺判斷是否超過認證窗口,是則認證未通過;否則修改動態因子,將修改后的動態因子作為當前動態因子,執行步驟L21。
[0264]可選地,上述當前動態因子為時間因子時,步驟L23中,動態口令管理平臺修改動態因子,將修改后的動態因子作為當前動態因子,具體為:
[0265]動態口令管理平臺將當前時間因子加上或減去預設時間之后的值作為當前時間因子;例如,預設時間為I秒,或30秒,或I分鐘。
[0266]步驟L23中,動態口令管理平臺判斷是否超過認證窗口,具體為:動態口令管理平臺判斷加上或減去的預設時間總數是否超過認證窗口的認證時間范圍。例如,認證時間范圍為0-1小時,如果加上或減去的預設時間總數超過I小時,則超過認證時間范圍。
[0267]可選地,上述當前動態因子為事件因子時,步驟L23中,動態口令管理平臺修改動態因子,將修改后的動態因子作為當前動態因子,具體為:
[0268]動態口令管理平臺將當前事件因子加上預設次數之后的值作為當前事件因子;例如預設次數為I。
[0269]步驟L23中,動態口令管理平臺判斷是否超過認證窗口,具體為:
[0270]動態口令管理平臺判斷認證次數是否超過認證窗口的認證次數范圍。例如,當認證窗口的認證次數范圍為0-10次時,當認證次數為11次時則超過認證窗口的認證次數范圍。
[0271]可選地,上述當前動態因子為事件因子時,步驟308中動態口令管理平臺在認證窗口之內完成對接收的動態口令的認證之后,還包括:動態口令管理平臺更新當前事件因子,并保存更新之后的事件因子。具體地,動態口令管理平臺更新當前事件因子具體為:動態口令管理平臺在當前事件因子的基礎上加一。例如,當前事件因子為500次,更新后為501次。
[0272]需要說明的是,本實施例中上述動態口令管理平臺更新當前事件因子時,在當前事件因子的基礎上加一,這里的當前事件因子的基礎上是指上次認證完成后運營管理平臺保存的事件因子的基礎上加一。例如,上次完成認證后運營管理平臺保存的當前事件因子為500次,步驟308認證三次通過,則在500次的基礎上加一,而不是在503的基礎上加一。
[0273]步驟309:運營管理平臺將認證成功消息或認證失敗消息發送給客戶端。
[0274]步驟310:客戶端根據接收的認證成功消息顯示認證成功的信息,或根據認證失敗消息顯示認證失敗的信息。
[0275]本實施例中,步驟302中安全域計算動態口令時使用的種子密鑰是本發明實施例1或實施例2中密鑰下發方法中下發的種子密鑰。
[0276]本實施例提供的動態口令生成及認證的方法中,計算動態口令的種子密鑰保存在安全域中不會被其他應用程序讀取,因而能夠保證生成的動態口令的安全性;與現有技術中移動終端與動態令牌結合使用的方案相比,本發明成本較低,并且由客戶端將動態口令發送給運營管理平臺,不需要用戶在網頁或移動終端上輸入動態口令,操作方便、不易出錯;計算動態口令的種子密鑰在下發方式上比較安全,從而進一步保證動態口令的安全性。
[0277]實施例4
[0278]本發明提供一種動態口令的生成及認證的方法,如圖4所示,為執行交易認證時生成動態口令以及對生成的動態口令進行認證的方法流程圖,包括以下步驟:
[0279]步驟401:客戶端獲取業務數據,建立與安全域的安全通道,通過安全通道向安全域發送包括令牌標識和業務數據的生成動態口令的請求。
[0280]具體地,步驟401包括:
[0281]步驟4011:用戶打開移動終端中的客戶端,移動終端上顯示客戶端應用界面,并在客戶端應用界面顯示出業務數據的輸入窗口。
[0282]步驟4012:用戶通過業務數據的輸入窗口輸入業務數據,點擊確認按鈕,客戶端建立與安全域的安全通道,通過安全通道向安全域發送包括令牌標識和業務數據的生成動態口令的請求。
[0283]步驟402:安全域根據令牌標識檢索到對應的種子密鑰,調用計算動態口令的算法,根據當前動態因子、業務數據和種子密鑰計算動態口令,并將動態口令通過安全通道返回客戶端。
[0284]可選地,安全域調用計算動態口令的算法,根據動態因子和種子密鑰計算動態口令,具體為:安全域調用計算動態口令的算法,獲取當前時間,根據當前時間因子、業務數據和種子密鑰計算動態口令。
[0285]具體地,安全域獲取當前時間具體為:
[0286]安全域從自身的計時器獲取當前時間;
[0287]或者,安全域從客戶端獲取當前時間。
[0288]可選地,安全域調用計算動態口令的算法,根據動態因子、業務數據和種子密鑰計算動態口令,具體為:安全域調用計算動態口令的算法,根據自身保存的當前事件因子、業務數據和種子密鑰計算動態口令。
[0289]安全域根據自身保存的當前事件因子和種子密鑰計算動態口令之后,還包括:安全域更新自身保存的當前事件因子。
[0290]具體地,安全域更新自身保存的當前事件因子,具體為:安全域將自身保存的當前事件因子加一。
[0291 ]可選地,步驟401中,客戶端建立與安全域的安全通道,通過安全通道向安全域發送包括令牌標識的生成動態口令的請求,具體為:客戶端調用安全控件建立與安全域的安全通道,調用安全控件通過安全通道向安全域發送包括令牌標識和業務數據的生成動態口令的請求。
[0292]相應地,步驟402中,安全域將動態口令通過安全通道返回客戶端具體為:安全域通過安全控件和安全通道將動態口令返回客戶端。
[0293]步驟403:客戶端將動態口令、業務數據和用戶名發送給運營管理平臺。
[0294]步驟404:運營管理平臺根據用戶名檢索到與用戶名建立對應關系的令牌標識,將令牌標識、業務數據和動態口令發送給動態口令管理平臺。
[0295]步驟405:動態口令管理平臺根據令牌標識檢索到對應的種子密鑰,調用自身保存的計算動態口令的算法,根據種子密鑰、業務數據和自身保存的當前動態因子對接收的動態口令進行認證,并將認證成功消息或認證失敗消息發送給運營管理平臺。
[0296]本實施例中,動態口令管理平臺自身保存的計算動態口令的算法與安全域中計算動態口令的算法相同,動態口令管理平臺自身保存的種子密鑰與安全域中保存的種子密鑰相同。
[0297]可選地,動態口令管理平臺調用自身保存的計算動態口令的算法,根據種子密鑰、業務數據和自身保存的當前動態因子對接收的動態口令進行認證,具體包括:
[0298]步驟L21:動態口令管理平臺調用自身保存的計算動態口令的算法,根據種子密鑰、業務數據和自身保存的當前動態因子計算動態口令;
[0299]步驟L22:動態口令管理平臺判斷計算得到的動態口令是否與接收的動態口令相等,是則認證通過;否則執行步驟L23;
[0300]步驟L23:動態口令管理平臺判斷是否超過認證窗口,是則認證未通過;否則修改動態因子,將修改后的動態因子作為當前動態因子,執行步驟L21。
[0301]可選地,上述當前動態因子為時間因子時,步驟L23中,動態口令管理平臺修改動態因子,將修改后的動態因子作為當前動態因子,具體為:
[0302]動態口令管理平臺將當前時間因子加上或減去預設時間之后的值作為當前時間因子;例如,預設時間為I秒,或30秒,或I分鐘。
[0303]步驟L23中,動態口令管理平臺判斷是否超過認證窗口,具體為:動態口令管理平臺判斷加上或減去的預設時間總數是否超過認證窗口的認證時間范圍。例如,認證時間范圍為0-1小時,如果加上或減去的預設時間總數超過I小時,則超過認證時間范圍。
[0304]可選地,上述當前動態因子為事件因子時,步驟L23中,動態口令管理平臺修改動態因子,將修改后的動態因子作為當前動態因子,具體為:
[0305]動態口令管理平臺將當前事件因子加上預設次數之后的值作為當前事件因子;例如預設次數為I。
[0306]步驟L23中,動態口令管理平臺判斷是否超過認證窗口,具體為:
[0307]動態口令管理平臺判斷認證次數是否超過認證窗口的認證次數范圍;例如,認證窗口的認證次數范圍為0-10次時,當認證次數為11次時則超過認證窗口的認證次數范圍。
[0308]可選地,上述當前動態因子為事件因子時,步驟405中動態口令管理平臺在認證窗口之內完成對接收的動態口令的認證之后,還包括:動態口令管理平臺更新當前事件因子,并保存更新之后的事件因子。具體地,動態口令管理平臺更新當前事件因子具體為:動態口令管理平臺在當前事件因子的基礎上加一。例如,當前事件因子為500次,更新后為501次。
[0309]需要說明的是,本實施例中上述動態口令管理平臺更新當前事件因子時,在當前事件因子的基礎上加一,這里的當前事件因子的基礎上是指上次認證完成后運營管理平臺保存的事件因子的基礎上加一。例如,上次完成認證后運營管理平臺保存的當前事件因子為500次,步驟308認證三次通過,則在500次的基礎上加一,而不是在503的基礎上加一。
[0310]可選地,步驟401之前,還包括:運營管理平臺生成并顯示挑戰值,并將挑戰值發送給動態口令管理平臺;
[0311 ]相應地,上述步驟401具體為:客戶端獲取業務數據和挑戰值,建立與安全域的安全通道,通過安全通道向安全域發送包括令牌標識、挑戰值和業務數據的生成動態口令的請求。
[0312]上述步驟402中,安全域調用計算動態口令的算法,根據當前動態因子、業務數據和種子密鑰計算動態口令,并將動態口令通過安全通道返回客戶端,具體為:安全域調用計算動態口令的算法,根據當前動態因子、業務數據、挑戰值和種子密鑰計算動態口令,并將動態口令通過安全通道返回客戶端。
[0313]上述步驟405中動態口令管理平臺調用自身保存的計算動態口令的算法,根據種子密鑰、業務數據和自身保存的當前動態因子對接收的動態口令進行認證,具體為:動態口令管理平臺調用自身保存的計算動態口令的算法,根據種子密鑰、業務數據、挑戰值和自身保存的當前動態因子對接收的動態口令進行認證。
[0314]步驟406:運營管理平臺將認證成功消息或認證失敗消息發送給客戶端。
[0315]步驟407:客戶端根據接收的認證成功消息顯示認證成功的信息,或根據認證失敗消息顯示認證失敗的信息。
[0316]本實施例中,步驟402中安全域計算動態口令時使用的種子密鑰是本發明實施例1或實施例2中密鑰下發方法中下發的種子密鑰。
[0317]本實施例提供的動態口令生成及認證的方法中,計算動態口令的種子密鑰保存在安全域中不會被其他應用程序讀取,因而能夠保證生成的動態口令的安全性;與現有技術中移動終端與動態令牌結合使用的方案相比,本發明成本較低,并且由客戶端將動態口令發送給運營管理平臺,不需要用戶在網頁或移動終端上輸入動態口令,操作方便、不易出錯;計算動態口令的種子密鑰在下發方式上比較安全,從而進一步保證動態口令的安全性。
[0318]實施例5
[0319]本實施例提供一種密鑰下發的客戶端,如圖5所示,包括:
[0320]第一發送模塊51,用于向運營管理平臺發送包括用戶名的密鑰下發請求;
[0321]接收模塊52,用于接收來自運營管理平臺的密鑰生成因子和令牌標識;
[0322]生成模塊53,用于調用內置的計算種子密鑰的算法,根據密鑰生成因子和令牌標識生成種子密鑰;
[0323]保存模塊54,用于對接收模塊52接收的令牌標識進行保存;
[0324]第一創建模塊55,用于生成模塊53生成種子密鑰之后,建立與安全域的安全通道;
[0325]寫入模塊56,用于通過安全通道將種子密鑰和令牌標識寫入安全域。
[0326]可選地,上述客戶端還包括第一判斷模塊和顯示模塊;
[0327]第一判斷模塊,用于判斷移動終端中是否具有安全域;
[0328]第一發送模塊51,具體用于當第一判斷模塊判斷移動終端中具有安全域時,向運營管理平臺發送包括用戶名的密鑰下發請求;
[0329]顯示模塊,用于當第一判斷模塊判斷移動終端中沒有安全域時,顯示移動終端沒有安全域的信息。
[0330]進一步地,上述客戶端在包括第一判斷模塊和顯示模塊的基礎上,還包括第二判斷模塊,
[0331 ]第二判斷模塊,用于在第一判斷模塊判斷移動終端中是否具有安全域之前,判斷移動終端中是否具有安全控件;
[0332]第一判斷模塊,具體用于當第二判斷模塊判斷移動終端具有安全控件時,調用安全控件判斷移動終端中是否具有安全域;
[0333]第一創建模塊55,具體用于調用安全控件建立與安全域的安全通道;
[0334]寫入模塊56,具體用于生成模塊53生成種子密鑰之后,調用安全控件通過安全通道將種子密鑰和令牌標識寫入安全域。
[0335]進一步地,上述客戶端在包括第二判斷模塊的基礎之上,還包括第一安裝模塊,
[0336]第一發送模塊51,還用于當第二判斷模塊判斷移動終端中沒有安全控件時,在第一判斷模塊判斷移動終端中是否具有安全域之前,向運營管理平臺發送下載安全控件的請求;
[0337]接收模塊52,還用于接收來自運營管理平臺的安全控件的安裝文件;
[0338]第一安裝模塊,用于根據安全控件的安裝文件安裝安全控件。
[0339]進一步地,上述客戶端在包括第一安裝模塊的基礎上,還包括第二創建模塊,
[0340]第二創建模塊,用于當第一判斷模塊判斷移動終端中是否具有安全域之前、并且當第二判斷模塊判斷移動終端具有安全控件時,或當第一判斷模塊判斷移動終端中是否具有安全域之前、并且當第一安裝模塊通過安全控件的安裝文件安裝安全控件之后,調用安全控件建立與安全域的安全通道;
[0341]第一判斷模塊,具體用于調用安全控件,通過安全通道判斷移動終端中是否具有安全域。
[0342]可選地,上述客戶端在包括第一判斷模塊和顯示模塊的基礎上,還包括第二創建豐旲塊,
[0343]第二創建模塊,用于當第一判斷模塊判斷移動終端中是否具有安全域之前,建立與安全域的安全通道;
[0344]第一判斷模塊,具體用于通過安全通道判斷移動終端中是否具有安全域。
[0345]可選地,上述客戶端還包括第二安裝模塊,
[0346]第一發送模塊51,還用于當第一創建模塊55建立與安全域的安全通道之后,向運營管理平臺發送下載計算動態口令的算法的請求;
[0347]接收模塊52,還用于接收來自運營管理平臺的算法安裝文件;
[0348]第二安裝模塊,用于通過安全通道根據算法安裝文件在安全域中安裝計算動態口令的算法,獲取并保存安全域通過安全通道返回的算法標識。
[0349]可選地,上述客戶端還包第三判斷模塊和第二安裝模塊,
[0350]第三判斷模塊,用于當第一創建模塊55建立與安全域的安全通道之后,通過安全通道根據自身保存的上次安全域返回的算法標識判斷安全域中是否安裝計算動態口令的算法;
[0351]寫入模塊56,具體用于當第三判斷模塊判斷安全域中安裝計算動態口令的算法時,通過安全通道將種子密鑰和令牌標識寫入安全域;
[0352]第一發送模塊51,還用于當第三判斷模塊判斷安全域中沒有安裝計算動態口令的算法時,向運營管理平臺發送下載計算動口令的算法的請求;
[0353]接收模塊52,還用于接收來自運營管理平臺的算法安裝文件;
[0354]第二安裝模塊,用于通過安全通道根據算法安裝文件在安全域中安裝計算動態口令的算法,獲取并保存安全域通過安全通道返回的算法標識。
[0355]可選地,上述第一創建模塊55,具體用于調用安全控件建立與安全域的安全通道;
[0356]寫入模塊56,具體用于調用安全控件通過安全通道將種子密鑰和令牌標識寫入安全域。
[0357]進一步地,上述第一發送模塊51,具體用于調用安全控件向安全管理平臺發送密鑰下發請求,并通過安全管理平臺向運營管理平臺發送包括用戶名的密鑰下發請求;
[0358]上述接收模塊52,具體用于調用安全控件接收運營管理平臺通過安全管理平臺返回的密鑰生成因子和令牌標識。
[0359]可選地,上述客戶端還包括第二發送模塊,
[0360]第二發送模塊,用于向運營管理平臺發送用戶名和密碼;
[0361]接收模塊52,還用于接收來自運營管理平臺對用戶名和密碼的驗證成功消息或驗證失敗消息;
[0362]第一發送模塊51,具體用于當接收模塊52接收來自運營管理平臺對用戶名和密碼的驗證成功消息時,向運營管理平臺發送包括用戶名的密鑰下發請求。
[0363]進一步地,上述客戶端還包括顯示模塊,
[0364]顯示模塊,用于根據驗證成功消息顯示驗證成功的信息,或根據驗證失敗消息顯示驗證失敗的信息。
[0365]進一步地,上述客戶端還包括顯示模塊,
[0366]上述接收模塊52,還用于接收來自安全域返回的寫入成功消息或寫入失敗消息;
[0367]顯示模塊,用于根據寫入成功消息顯示寫入成功的信息,或根據寫入失敗消息顯示寫入失敗的信息。
[0368]可選地,上述第三判斷模塊,具體用于調用安全控件,通過安全通道根據自身保存的上次安全域返回的算法標識判斷安全域中是否安裝計算動態口令的算法;
[0369]上述寫入模塊56,具體用于調用安全控件,通過安全通道將種子密鑰和令牌標識寫入安全域;
[0370]上述第二安裝模塊,具體用于調用安全控件,通過安全通道根據算法安裝文件安裝計算動態口令的算法,獲取并保存安全域通過安全通道返回的算法標識。
[0371]可選地,上述客戶端還包括關閉模塊和清除模塊,
[0372]關閉模塊,用于當寫入模塊56通過安全通道將種子密鑰和令牌標識寫入安全域之后,關閉安全通道;
[0373]清除模塊,用于當寫入模塊通過安全通道將種子密鑰和令牌標識寫入安全域之后,清除安全域之外的種子密鑰和密鑰生成因子。
[0374]實施例6
[0375]本實施例提供一種密鑰下發的系統,如圖6所示,包括運營管理平臺61和動態口令管理平臺62,
[0376]運營管理平臺61包括:
[0377]第一接收模塊611,用于接收來自客戶端的包括用戶名的密鑰下發請求;
[0378]第一發送模塊612,用于將密鑰下發請求發送給動態口令管理平臺;
[0379]第二接收模塊613,用于接收來自動態口令管理平臺的密鑰生成因子和令牌標識;
[0380]建立模塊614,用于將令牌標識與用戶名建立對應關系;
[0381]第二發送模塊615,用于當建立模塊614將令牌標識與用戶名建立對應關系之后,將令牌標識和密鑰生成因子發送給客戶端;
[0382]動態口令管理平臺62包括:
[0383]第三接收模塊621,用于接收來自運營管理平臺的密鑰下發請求;
[0384]生成模塊622,用于調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子;
[0385]第三發送模塊623,用于將密鑰生成因子、令牌標識發送給運營管理平臺。
[0386]可選地,上述系統還包括安全管理平臺,安全管理平臺包括:
[0387]第四接收模塊,用于通過安全控件接收來自客戶端的包括用戶名的密鑰下發請求;
[0388]第四發送模塊,用于向運營管理平臺發送包括用戶名的密鑰下發請求;
[0389]第五接收模塊,用于接收來自是運營管理平臺的令牌標識和密鑰生成因子;
[0390]第五發送模塊,用于將令牌標識和密鑰生成因子通過安全控件發送給客戶端;
[0391]第一接收模塊611,具體用于通過安全管理平臺接收來自客戶端的包括用戶名的密鑰下發請求;
[0392]第二發送模塊613,具體用于通過安全管理平臺將令牌標識和密鑰生成因子發送給客戶端。
[0393]可選地,上述系統在包括安全管理平臺的基礎上,上述運營管理平臺還包括第六接收模塊、第六發送模塊、第七發送模塊和驗證模塊,
[0394]第六接收模塊,用于在第一接收模塊611接收來自客戶端的包括用戶名的密鑰下發請求之前,接收來自客戶端的用戶名和密碼;
[0395]驗證模塊,用于根據自身保存的用戶名和密碼對來自客戶端的用戶名和密碼進行驗證;
[0396]第六發送模塊,用于當驗證模塊對來自客戶端的用戶名和密碼驗證通過時,生成驗證成功消息,將驗證成功消息發送給客戶端;
[0397]第七發送模塊,當驗證模塊對來自客戶端的用戶名和密碼驗證通過時,生成驗證失敗消息,將驗證失敗消息發送給客戶端。
[0398]進一步地,上述系統中,安全管理平臺還包括判斷模塊和第八發送模塊,
[0399]上述第六發送模塊,還用于將用戶名具有允許下載種子密鑰的標識發送給安全管理平臺;
[0400]判斷模塊,用于在上述第四接收模塊通過安全控件接收來自客戶端的包括用戶名的密鑰下發請求之后、上述第四發送模塊向運營管理平臺發送包括用戶名的密鑰下發請求之前,判斷密鑰下發請求中的用戶名是否具有允許下載種子密鑰的標識;
[0401]上述第四發送模塊,具體用于當判斷模塊判斷密鑰下發請求中的用戶名具有允許下載種子密鑰的標識時,向運營管理平臺發送包括用戶名的密鑰下發請求;
[0402]第八發送模塊,用于當判斷模塊判斷密鑰下發請求中的用戶名具沒有允許下載種子密鑰的標識時,通過安全控件向客戶端發送請求失敗消息。
[0403]可選地,上述系統中,生成模塊622,具體用于讀取動態口令管理平臺保存的令牌標識,得到激活密碼;調用動態口令管理平臺保存的算法,根據激活密碼、令牌標識和自身保存的種子密鑰進行運算得到令牌激活碼;
[0404]密鑰生成因子包括激活密碼和令牌激活碼。
[0405]可選地,上述系統中,生成模塊622,具體用于調用動態口令管理平臺保存的計算種子密鑰的算法,根據動態口令管理平臺保存的種子密鑰和令牌標識進行運算得到令牌激活碼;
[0406]密鑰生成因子具體為令牌激活碼。
[0407]實施例7
[0408I本實施例提供一種動態口令生成及認證的移動終端,如圖7所示,包括客戶端71和安全域72,
[0409]客戶端71包括:
[0410]建立模塊711,用于建立與安全域72的安全通道;
[0411]第一發送模塊712,用于通過安全通道向安全域72發送包括令牌標識的生成動態口令的請求;
[0412]第一接收模塊713,用于通過安全通道接收來自安全域72的動態口令;
[0413]第二發送模塊714,用于將動態口令和相關數據發送給運營管理平臺;
[0414]第二接收模塊715,用于接收來自運營管理平臺的認證成功消息或認證失敗消息;
[0415]安全域7 2包括:
[0416]第三接收模塊721,用于接收來自客戶端71的包括令牌標識的生成動態口令的請求;
[0417]檢索模塊722,用于根據令牌標識檢索到對應的種子密鑰;
[0418]計算動態口令模塊723,用于根據令牌標識調用計算動態口令的算法,根據當前動態因子和種子密鑰計算動態口令;
[0419]第三發送模塊734,用于將動態口令通過安全通道返回客戶端;
[0420]客戶端還包括獲取模塊716和保存模塊717,
[0421]當客戶端71登錄時:
[0422 ]獲取模塊716用于,在建立模塊711建立安全通道之前,獲取用戶名和密碼;
[0423]保存模塊717,用于對用戶名進行保存;相關數據具體為獲取模塊獲取的用戶名和密碼;
[0424]當客戶端71執行交易認證時:
[0425]獲取模塊716,用于在建立模塊711建立安全通道之前,獲取業務數據,第一發送模塊712通過安全通道向安全域72發送的生成動態口令請求中還包括業務數據;
[0426]第三接收模塊721接收的來自客戶端71的包括令牌標識的生成動態口令的請求中還包括業務數據;
[0427]計算動態口令模塊723,具體用于根據當前動態因子、業務數據和種子密鑰計算動態口令;相關數據具體為獲取模塊獲取的業務數據和保存模塊保存的用戶名。
[0428]可選地,上述計算動態口令模塊723包括獲取子模塊、調用子模塊和計算子模塊;
[0429]調用子模塊,用于調用計算動態口令的算法;
[0430]獲取子模塊,用于獲取當前時間;
[0431]計算子模塊,用于根據當前時間和種子密鑰計算動態口令。
[0432]具體地,上述獲取子模塊,具體用于從安全域72的計時器獲取當前時間,或者從客戶端71獲取當前時間。
[0433]可選地,上述移動終端中,安全域72還包括更新模塊,
[0434]計算動態口令模塊723,具體用于根據令牌標識調用計算動態口令的算法,根據自身保存的當前事件因子和種子密鑰計算動態口令;
[0435]更新模塊,用于計算動態口令模塊723根據安全域保存的當前事件因子和種子密鑰計算動態口令之后,更新安全域中的當前事件因子。
[0436]具體地,上述更新模塊,具體用于將安全域保存的當前事件因子的加一。
[0437]可選地,上述建立模塊711,具體用于調用安全控件建立與安全域72的安全通道;
[0438]第一發送模塊712,具體用于調用安全控件通過安全通道向安全域發送包括令牌標識的生成動態口令的請求;
[0439]第一接收模塊713,具體用于調用安全控件,通過安全通道接收來自安全域的動態口令。
[0440]第三接收模塊721,具體用于通過安全通道和安全控件將動態口令返回客戶端71。
[0441]可選地,上述移動終端中,當客戶端71執行交易認證時,
[0442]獲取模塊716,還用于獲取挑戰值;
[0443]第一發送模塊712向安全域72發送的生成動態口令請求中還包括挑戰值;
[0444]計算動態口令模塊723,具體用于根據當前動態因子、業務數據、挑戰值和種子密鑰計算動態口令。
[0445]可選地,上述移動終端中,客戶端還包括顯示模塊,
[0446]顯示模塊,用于根據認證成功消息顯示認證成功的信息,或客戶端根據認證失敗消息顯示認證失敗的信息。
[0447]本實施例提供的動態口令生成及認證的移動終端,計算動態口令的種子密鑰保存在安全域中不會被其他應用程序讀取,因而能夠保證生成的動態口令的安全性;與現有技術中移動終端與動態令牌結合使用的方案相比,本發明成本較低,并且由客戶端將動態口令發送給運營管理平臺,不需要用戶在網頁或移動終端上輸入動態口令,操作方便、不易出錯,并且安全性較好。
[0448]實施例8
[0449]本實施例提供一種動態口令認證的系統,如圖8所示,包括運營管理平臺81和動態口令管理平臺82;
[0450]運營管理平臺81包括:
[0451 ]第一接收模塊811,用于接收來自客戶端的相關數據和動態口令;
[0452]建立模塊812,用于根據相關數據中的用戶名檢索到與用戶名建立對應關系的令牌標識;
[0453]第一發送模塊813,用于將令牌標識和動態口令發送給動態口令管理平臺;
[0454]第二接收模塊814,用于接收來自動態口令管理平臺82的認證成功消息或認證失敗消息;
[0455]第二發送模塊815,用于向客戶端發送認證成功消息或認證失敗消息;
[0456]動態口令管理平臺82包括:
[0457]第三接收模塊821,用于接收來自運營管理平臺81的令牌標識和動態口令;
[0458]檢索模塊822,用于根據令牌標識檢索到對應的種子密鑰;
[0459]認證模塊823,用于調用動態口令管理平臺82保存的計算動態口令的算法,根據種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證;
[0460]第三發送模塊824,用于將認證成功消息或認證失敗消息發送給運營管理平臺81;[0461 ]運營管理平臺還包括驗證模塊816和第四發送模塊817;
[0462]當運營管理平臺81執行客戶端登錄認證時:
[0463]相關數據包括用戶名和密碼;
[0464]驗證模塊816,用于對用戶名和密碼進行驗證;
[0465]建立模塊812,具體用于當驗證模塊816驗證用戶名和密碼通過時,根據用戶名檢索到與用戶名建立對應關系的令牌標識;
[0466]當運營管理平臺81執行交易認證時:
[0467]第四發送模塊,用于當第一接收模塊811接收來自客戶端的相關數據和動態口令之前,向客戶端發送業務數據;
[0468]相關數據包括用戶名和業務數據;
[0469]第一發送模塊813,具體用于將令牌標識、業務數據和動態口令發送給動態口令管理平臺;
[0470]第三接收824模塊,具體用于接收來自運營管理平臺的令牌標識、業務數據和動態口令;
[0471]認證模塊823,具體用于根據種子密鑰、業務數據和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證。
[0472]可選地,認證模塊823包括計算子模塊、第一判斷子模塊、第二判斷子模塊和修改子模塊;
[0473]計算子模塊,用于調用動態口令管理平臺82保存的計算動態口令的算法,根據種子密鑰和自身保存的當前動態因子計算動態口令;
[0474]第一判斷子模塊,用于判斷計算得到的動態口令是否與接收的動態口令相等,是則確認認證通過;
[0475]第二判斷子模塊,用于當第一判斷子模塊判斷計算得到的動態口令是否與接收的動態口令不相等時,判斷是否超過認證窗口,是則確認認證未通過;
[0476]修改子模塊,用于當第二判斷子模塊判斷沒有超過認證窗口時,修改動態因子,將修改后的動態因子作為當前動態因子;
[0477]計算子模塊,還用于當修改子模塊修改動態因子,將修改后的動態因子作為當前動態因子之后,調用動態口令管理平臺保存的計算動態口令的算法,根據種子密鑰和自身保存的當前動態因子計算動態口令。
[0478]具體地,當前動態因子為時間因子時,修改子模塊,具體用于將當前時間因子加上或減去預設時間之后的值作為當前時間因子;
[0479]第二判斷子模塊,具體用于判斷加上或減去的預設時間總數是否超過認證窗口的認證時間范圍。
[0480]當前動態因子為事件因子時,動態口令管理平臺還模塊更新模塊和保存模塊,修改子模塊,具體用于將當前事件因子加上預設次數之后的值作為當前事件因子;
[0481]第二判斷子模塊,具體用于判斷加上預設次數的總數是否超過認證窗口的認證次數范圍;
[0482]更新模塊,用于當認證模塊823在認證窗口范圍之內完成對所述第三接收模塊接收的動態口令的認證之后,更新當前事件因子;
[0483]保存模塊,用于保存更新模塊更新之后的事件因子。
[0484]可選地,上述系統中,運營管理平臺81還包括生成模塊和顯示模塊,
[0485]生成模塊,用于第一接收模塊811接收來自客戶端的相關數據和動態口令之前,生成挑戰值;
[0486]顯示模塊,用于顯示挑戰值;
[0487]第一發送模塊813,還用于將挑戰值發送給動態口令管理平臺82;
[0488]認證模塊823,具體用于調用動態口令管理平臺82保存的計算動態口令的算法,根據種子密鑰、業務數據、挑戰值和自身保存的當前動態因子對接收的動態口令進行認證。
[0489]以上所述,僅為本發明的【具體實施方式】,但本發明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內,可輕易想到變化或替換,都應涵蓋在本發明的保護范圍之內。因此,本發明的保護范圍應以權利要求的保護范圍為準。
【主權項】
1.一種密鑰下發的方法,其特征在于,包括以下步驟: 步驟S1:客戶端向運營管理平臺發送包括用戶名的密鑰下發請求; 步驟S2:所述客戶端接收來自所述運營管理平臺的密鑰生成因子和令牌標識; 步驟S3:所述客戶端調用內置的計算種子密鑰的算法,根據所述密鑰生成因子和所述令牌標識生成種子密鑰,并對所述令牌標識進行保存; 步驟S4:所述客戶端建立與安全域的安全通道,通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域。2.根據權利要求1所述的方法,其特征在于,所述步驟SI之前,還包括: 所述客戶端判斷移動終端中是否具有所述安全域,如果是,則執行所述步驟SI;否則顯示移動終端沒有所述安全域的信息。3.根據權利要求2所述的方法,其特征在于,所述客戶端判斷移動終端中是否具有所述安全域之前,還包括:所述客戶端判斷所述移動終端中是否具有安全控件; 所述客戶端判斷移動終端中是否具有所述安全域,具體為:當所述客戶端判斷所述移動終端具有安全控件時,所述客戶端調用所述安全控件判斷移動終端中是否具有所述安全域; 所述步驟S4具體為:所述客戶端調用所述安全控件建立與所述安全域的安全通道,并調用所述安全控件通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域。4.根據權利要求3所述的方法,其特征在于,當所述客戶端判斷所述移動終端中沒有安全控件時,所述客戶端判斷移動終端中是否具有所述安全域之前,還包括: 步驟11:所述客戶端向所述運營管理平臺發送下載所述安全控件的請求; 步驟12:所述客戶端接收來自所述運營管理平臺的安全控件的安裝文件,并根據所述安全控件的安裝文件安裝所述安全控件; 所述客戶端判斷移動終端中是否具有所述安全域,具體為: 當所述客戶端通過所述安全控件的安裝文件安裝所述安全控件之后,所述客戶端調用所述安全控件判斷所述移動終端中是否具有所述安全域。5.根據權利要求4所述的方法,其特征在于,所述客戶端判斷移動終端中是否具有所述安全域之前、并且當所述客戶端判斷所述移動終端具有安全控件時,或所述客戶端判斷移動終端中是否具有所述安全域之前、并且當所述客戶端通過所述安全控件的安裝文件安裝所述安全控件之后,還包括:所述客戶端調用所述安全控件建立與所述安全域的安全通道; 所述客戶端判斷移動終端中是否具有所述安全域,具體為:所述客戶端調用所述安全控件,通過所述安全通道判斷所述移動終端中是否具有所述安全域。6.根據權利要求2所述的方法,其特征在于,所述客戶端判斷移動終端中是否具有所述安全域之前,還包括:所述客戶端建立與所述安全域的安全通道; 所述客戶端判斷移動終端中是否具有所述安全域,具體為:所述客戶端通過所述安全通道判斷所述移動終端中是否具有所述安全域。7.根據權利要求1所述的方法,其特征在于,步驟S4中,所述客戶端建立與安全域的安全通道之后,還包括:所述客戶端向所述運營管理平臺發送下載計算動態口令的算法的請求,接收來自所述運營管理平臺的算法安裝文件,并通過所述安全通道根據所述算法安裝文件在所述安全域中安裝計算動態口令的算法,獲取并保存所述安全域通過所述安全通道返回的算法標識。8.根據權利要求1所述的方法,其特征在于,所述步驟S4中所述客戶端建立與安全域的安全通道之后,還包括: 所述客戶端通過所述安全通道根據自身保存的上次所述安全域返回的算法標識判斷所述安全域中是否安裝計算動態口令的算法,是則通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域;否則向運營管理平臺發送下載所述計算動口令的算法的請求,接收來自所述運營管理平臺的算法安裝文件,通過所述安全通道根據所述算法安裝文件在所述安全域中安裝所述計算動態口令的算法,獲取并保存所述安全域通過所述安全通道返回的算法標識。9.根據權利要求1所述的方法,其特征在于, 所述步驟S4具體為:所述客戶端調用安全控件建立與所述安全域的安全通道,并調用所述安全控件通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域。10.根據權利要求9所述的方法,其特征在于,所述步驟SI具體為: 所述客戶端調用安全控件向安全管理平臺發送密鑰下發請求,并通過所述安全管理平臺向所述運營管理平臺發送包括用戶名的密鑰下發請求; 所述步驟S2具體為:所述客戶端調用所述安全控件接收所述運營管理平臺通過所述安全管理平臺返回的所述密鑰生成因子和所述令牌標識。11.根據權利要求1所述的方法,其特征在于,所述步驟SI之前,還包括: 所述客戶端向所述運營管理平臺發送所述用戶名和密碼,并接收來自所述運營管理平臺對所述用戶名和所述密碼的驗證成功消息或驗證失敗消息; 所述步驟SI具體為:當所述客戶端接收來自所述運營管理平臺對所述用戶名和所述密碼的驗證成功消息時,執行所述步驟SI。12.根據權利要求11所述的方法,其特征在于,所述客戶端接收來自所述運營管理平臺對所述用戶名和所述密碼的驗證成功消息或驗證失敗消息之后,還包括:所述客戶端根據所述驗證成功消息顯示驗證成功的信息,或根據所述驗證失敗消息顯示驗證失敗的信息。13.根據權利要求1所述的方法,其特征在于,所述步驟S4還包括:所述客戶端接收所述安全域返回的寫入成功消息或寫入失敗消息,并根據所述寫入成功消息顯示寫入成功的信息,或根據所述寫入失敗消息顯示寫入失敗的信息。14.根據權利要求8所述的方法,其特征在于,所述客戶端通過所述安全通道根據自身保存的上次所述安全域返回的算法標識判斷所述安全域中是否安裝計算動態口令的算法,具體為:所述客戶端調用安全控件,通過所述安全通道根據自身保存的上次所述安全域返回的算法標識判斷所述安全域中是否安裝計算動態口令的算法; 所述客戶端通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域,具體為:所述客戶端調用所述安全控件,通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域; 所述客戶端通過所述安全通道根據所述算法安裝文件在所述安全域中安裝所述計算動態口令的算法,獲取并保存所述安全域通過所述安全通道返回的算法標識,具體為:所述客戶端調用所述安全控件,通過所述安全通道根據所述算法安裝文件安裝所述計算動態口令的算法,獲取并保存所述安全域通過所述安全通道返回的算法標識。15.根據權利要求1所述的方法,其特征在于,所述步驟S4之后,還包括: 步驟S5:所述客戶端關閉所述安全通道,清除所述安全域之外的所述種子密鑰和所述密鑰生成因子。16.一種密鑰下發的方法,其特征在于,包括以下步驟: 步驟Ml:運營管理平臺接收來自客戶端的包括用戶名的密鑰下發請求,并將所述密鑰下發請求發送給動態口令管理平臺; 步驟M2:所述動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子,并將所述密鑰生成因子、所述令牌標識發送給所述運營管理平臺; 步驟M3:所述運營管理平臺將所述令牌標識與所述用戶名建立對應關系,并將所述令牌標識和所述密鑰生成因子發送給所述客戶端。17.根據權利要求16所述的方法,其特征在于,所述步驟Ml中,所述運營管理平臺接收來自客戶端包括用戶名的密鑰下發請求,具體包括: 步驟mil:安全管理平臺通過安全控件接收來自客戶端的包括用戶名的密鑰下發請求; 步驟ml2:所述安全管理平臺向所述運營管理平臺發送包括用戶名的密鑰下發請求; 所述步驟M3中,所述運營管理平臺將所述令牌標識和所述密鑰生成因子發送給所述客戶端,具體包括: 步驟m31:所述運營管理平臺將所述令牌標識和所述密鑰生成因子發送給所述安全管理平臺; 步驟m32:所述安全管理平臺將所述令牌標識和所述密鑰生成因子通過所述安全控件發送給所述客戶端。18.根據權利要求17所述的方法,其特征在于,所述步驟Ml之前,還包括: 所述運營管理平臺接收來自所述客戶端的用戶名和密碼,并根據自身保存的用戶名和密碼對來自所述客戶端的用戶名和密碼進行驗證,當驗證通過時,生成驗證成功消息,將所述驗證成功消息發送給所述客戶端;當驗證未通過時,生成驗證失敗消息,將所述驗證失敗消息發送給所述客戶端。19.根據權利要求18所述的方法,其特征在于,當驗證通過時,還包括:所述運營管理平臺將所述用戶名具有允許下載種子密鑰的標識發送給所述安全管理平臺; 所述步驟mil之后、步驟ml2之前,還包括:所述安全管理平臺判斷所述密鑰下發請求中的用戶名是否具有允許下載種子密鑰的標識,是則執行步驟ml2;否則所述安全管理平臺通過所述安全控件向所述客戶端發送請求失敗消息。20.根據權利要求16所述的方法,其特征在于,所述步驟M2中,所述動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子,具體包括: 步驟m21:所述動態口令管理平臺讀取自身保存的令牌標識,得到激活密碼; 步驟m22:所述動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據所述激活密碼、所述令牌標識和自身保存的種子密鑰進行運算得到令牌激活碼; 所述密鑰生成因子包括所述激活密碼和所述令牌激活碼。21.根據權利要求16所述的方法,其特征在于,所述步驟M2中,所述動態口令管理平臺調用自身保存的計算種子密鑰的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子,具體為: 所述動態口令管理平臺調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和所述令牌標識進行運算得到令牌激活碼; 所述密鑰生成因子具體為所述令牌激活碼。22.一種動態口令生成及認證的方法,其特征在于,應用于包括客戶端和安全域的移動終端,包括以下步驟: 步驟H1:客戶端建立與安全域的安全通道,通過所述安全通道向所述安全域發送包括令牌標識的生成動態口令的請求; 步驟H2:所述安全域根據所述令牌標識檢索到對應的種子密鑰,調用計算動態口令的算法,根據當前動態因子和所述種子密鑰計算動態口令,并將所述動態口令通過所述安全通道返回所述客戶端; 步驟H3:所述客戶端將所述動態口令和相關數據發送給運營管理平臺; 步驟H4:所述客戶端接收來自所述運營管理平臺的認證成功消息或認證失敗消息; 當客戶端登錄時: 在步驟Hl之前,還包括:所述客戶端獲取用戶名和密碼,并對用戶名進行保存;步驟H3中的相關數據為所述用戶名和所述密碼; 當客戶端執行交易認證時: 在步驟Hl之前,還包括:所述客戶端獲取業務數據; 步驟Hl中所述客戶端通過所述安全通道向所述安全域發送的生成動態口令請求中還包括所述業務數據; 步驟H2中所述安全域根據當前動態因子和所述種子密鑰計算動態口令具體為:所述安全域根據當前動態因子、所述業務數據和所述種子密鑰計算動態口令; 步驟H3中的相關數據為所述業務數據和用戶名。23.根據權利要求22所述的方法,其特征在于,所述安全域調用計算動態口令的算法,根據當前動態因子和所述種子密鑰計算動態口令,具體為:所述安全域調用計算動態口令的算法,獲取當前時間,根據所述當前時間和所述種子密鑰計算動態口令。24.根據權利要求23所述的方法,其特征在于,所述安全域獲取所述當前時間具體為: 所述安全域從自身的計時器獲取所述當前時間; 或者,所述安全域從所述客戶端獲取所述當前時間。25.根據權利要求22所述的方法,其特征在于,所述安全域調用計算動態口令的算法,根據當前動態因子和所述種子密鑰計算動態口令,具體為:所述安全域調用計算動態口令的算法,根據自身保存的當前事件因子和所述種子密鑰計算動態口令; 所述安全域根據自身保存的當前事件因子和所述種子密鑰計算動態口令之后,還包括:所述安全域更新自身保存的當前事件因子。26.根據權利要求25所述的方法,其特征在于,所述安全域更新自身保存的當前事件因子,具體為:所述安全域將自身保存的當前事件因子的加一。27.根據權利要求22所述的方法,其特征在于,步驟Hl具體為: 所述客戶端調用安全控件建立與所述安全域的安全通道,并調用所述安全控件通過所述安全通道向安全域發送包括令牌標識的生成動態口令的請求; 步驟H2中,所述安全域將所述動態口令通過所述安全通道返回所述客戶端,具體為:所述安全域通過所述安全通道和所述安全控件將所述動態口令返回所述客戶端。28.根據權利要求22所述的方法,其特征在于,當客戶端執行交易認證時,所述步驟Hl之前,還包括:所述客戶端獲取挑戰值; 所述步驟Hl中,所述客戶端向所述安全域發送的生成動態口令請求中還包括所述挑戰值; 所述步驟H2中,所述安全域根據當前動態因子、所述業務數據和所述種子密鑰計算動態口令:具體為: 所述安全域根據當前動態因子、所述業務數據、所述挑戰值和所述種子密鑰計算動態口令。29.根據權利要求22所述的方法,其特征在于,所述步驟H4還包括,所述客戶端根據所述認證成功消息顯示認證成功的信息,或所述客戶端根據所述認證失敗消息顯示認證失敗的信息。30.一種動態口令的認證方法,其特征在于,包括以下步驟: 步驟L1:運營管理平臺接收來自客戶端的相關數據和動態口令,根據所述相關數據中的用戶名檢索到與所述用戶名建立對應關系的令牌標識,將所述令牌標識和所述動態口令發送給動態口令管理平臺;步驟L2:所述動態口令管理平臺根據所述令牌標識檢索到對應的種子密鑰,調用自身保存的計算動態口令的算法,根據所述種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證,并將認證成功消息或認證失敗消息發送給運營管理平臺;步驟L3:所述運營管理平臺向所述客戶端發送所述認證成功消息或所述認證失敗消息; 當運營管理平臺執行客戶端登錄認證時: 步驟LI中的相關數據包括用戶名和密碼; 步驟LI還包括:所述運營管理平臺對所述用戶名和密碼進行驗證,當驗證通過時,所述運營管理平臺根據所述用戶名檢索到與所述用戶名建立對應關系的令牌標識; 當運營管理平臺執行交易認證時: 步驟LI之前還包括:所述運營管理平臺向客戶端發送業務數據; 步驟LI中的相關數據包括用戶名和業務數據; 步驟LI中還包括:所述運營管理平臺將業務數據發送給所述動態口令管理平臺; 步驟L2中所述動態口令管理平臺根據所述種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證,具體為:所述動態口令管理平臺根據所述種子密鑰、所述業務數據和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證。31.根據權利要求30所述的方法,其特征在于,所述步驟L2中,所述動態口令管理平臺調用自身保存的計算動態口令的算法,根據所述種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證,具體包括: 步驟L21:所述動態口令管理平臺調用自身保存的計算動態口令的算法,根據所述種子密鑰和自身保存的當前動態因子計算動態口令; 步驟L22:所述動態口令管理平臺判斷計算得到的動態口令是否與接收的動態口令相等,是則認證通過;否則執行步驟L23; 步驟L23:所述動態口令管理平臺判斷是否超過認證窗口,是則認證未通過;否則修改動態因子,將修改后的動態因子作為當前動態因子,執行步驟L21。32.根據權利要求31所述的方法,其特征在于,所述當前動態因子為時間因子時,所述步驟L23中,所述動態口令管理平臺修改動態因子,將修改后的動態因子作為當前動態因子,具體為: 所述動態口令管理平臺將當前時間因子加上或減去預設時間之后的值作為當前時間因子; 所述步驟L23中,所述動態口令管理平臺判斷是否超過認證窗口,具體為:所述動態口令管理平臺判斷加上或減去的預設時間總數是否超過認證窗口的認證時間范圍。33.根據權利要求31所述的方法,其特征在于,所述當前動態因子為事件因子時,所述步驟L23中,所述動態口令管理平臺修改動態因子,將修改后的動態因子作為當前動態因子,具體為: 所述動態口令管理平臺將當前事件因子加上預設次數之后的值作為當前事件因子; 所述步驟L23中,所述動態口令管理平臺判斷是否超過認證窗口,具體為: 所述動態口令管理平臺判斷認證次數是否超過認證窗口的認證次數范圍; 所述動態口令管理平臺在認證窗戶范圍之內完成對接收的動態口令的認證之后,還包括:所述動態口令管理平臺更新自身保存的當前事件因子,并保存更新之后的事件因子。34.根據權利要求30所述的方法,其特征在于,當運營管理平臺執行交易認證時,所述步驟LI之前還包括,所述運營管理平臺生成并顯示挑戰值,并將所述挑戰值發送給所述動態口令管理平臺; 所述動態口令管理平臺調用自身保存計算動態口令的算法,根據所述種子密鑰、所述業務數據和自身保存的當前動態因子對接收的動態口令進行認證,具體為:所述動態口令管理平臺調用自身保存的計算動態口令的算法,根據所述種子密鑰、所述業務數據、所述挑戰值和自身保存的當前動態因子對接收的動態口令進行認證。35.一種密鑰下發的客戶端,其特征在于,包括: 第一發送模塊,用于向運營管理平臺發送包括用戶名的密鑰下發請求; 接收模塊,用于接收來自所述運營管理平臺的密鑰生成因子和令牌標識; 生成模塊,用于調用內置的計算種子密鑰的算法,根據所述密鑰生成因子和所述令牌標識生成種子密鑰; 保存模塊,用于對所述接收模塊接收的所述令牌標識進行保存; 第一創建模塊,用于所述生成模塊生成所述種子密鑰之后,建立與安全域的安全通道; 寫入模塊,用于通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域。36.根據權利要求35所述的客戶端,其特征在于,還包括第一判斷模塊和顯示模塊; 所述第一判斷模塊,用于判斷移動終端中是否具有所述安全域; 所述第一發送模塊,具體用于當所述第一判斷模塊判斷所述移動終端中具有所述安全域時,向所述運營管理平臺發送包括用戶名的密鑰下發請求; 所述顯示模塊,用于當所述判斷模塊判斷所述移動終端中沒有所述安全域時,顯示移動終端沒有所述安全域的信息。37.根據權利要求36所述的客戶端,其特征在于,還包括第二判斷模塊, 所述第二判斷模塊,用于在所述第一判斷模塊判斷移動終端中是否具有所述安全域之前,判斷所述移動終端中是否具有安全控件; 所述第一判斷模塊,具體用于所述生成模塊生成所述種子密鑰之后,并且當所述第二判斷模塊判斷所述移動終端具有安全控件時,調用所述安全控件判斷移動終端中是否具有所述安全域; 所述第一創建模塊,具體用于調用所述安全控件建立與所述安全域的安全通道; 所述寫入模塊,具體用于調用所述安全控件通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域。38.根據權利要求37所述的客戶端,其特征在于,還包括第一安裝模塊, 所述第一發送模塊,還用于當所述第二判斷模塊判斷所述移動終端中沒有安全控件時,在所述第一判斷模塊判斷所述移動終端中是否具有所述安全域之前,向所述運營管理平臺發送下載所述安全控件的請求; 所述接收模塊,還用于接收來自所述運營管理平臺的安全控件的安裝文件; 所述第一安裝模塊,用于根據所述安全控件的安裝文件安裝所述安全控件。39.根據權利要求38所述的客戶端,其特征在于,還包括第二創建模塊, 所述第二創建模塊,用于當所述第一判斷模塊判斷移動終端中是否具有所述安全域之前、并且當所述第二判斷模塊判斷所述移動終端具有安全控件時,或當所述第一判斷模塊判斷移動終端中是否具有所述安全域之前、并且當所述第一安裝模塊通過所述安全控件的安裝文件安裝所述安全控件之后,調用所述安全控件建立與所述安全域的安全通道; 所述第一判斷模塊,具體用于調用所述安全控件,通過所述安全通道判斷所述移動終端中是否具有所述安全域。40.根據權利要求36所述的客戶端,其特征在于,還包括第二創建模塊, 所述第二創建模塊,用于當所述第一判斷模塊判斷移動終端中是否具有所述安全域之前,建立與所述安全域的安全通道; 所述第一判斷模塊,具體用于通過所述安全通道判斷所述移動終端中是否具有所述安全域。41.根據權利要求35所述的客戶端,其特征在于,還包括第二安裝模塊, 所述第一發送模塊,還用于當所述創建模塊建立與安全域的安全通道之后,向所述運營管理平臺發送下載計算動態口令的算法的請求; 所述接收模塊,還用于接收來自所述運營管理平臺的算法安裝文件; 所述第二安裝模塊,用于通過所述安全通道根據所述算法安裝文件在所述安全域中安裝計算動態口令的算法,獲取并保存所述安全域通過所述安全通道返回的算法標識。42.根據權利要求35所述的客戶端,其特征在于,還包括第三判斷模塊和第二安裝模塊, 所述第三判斷模塊,用于當所述第一創建模塊建立與安全域的安全通道之后,通過所述安全通道根據自身保存的上次所述安全域返回的算法標識判斷所述安全域中是否安裝計算動態口令的算法; 所述寫入模塊,具體用于當所述第三判斷模塊判斷所述安全域中安裝計算動態口令的算法時,通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域; 所述第一發送模塊,還用于當所述第三判斷模塊判斷所述安全域中沒有安裝計算動態口令的算法時,向運營管理平臺發送下載所述計算動口令的算法的請求; 所述接收模塊,還用于接收來自所述運營管理平臺的算法安裝文件; 所述第二安裝模塊,用于通過所述安全通道根據所述算法安裝文件在所述安全域中安裝所述計算動態口令的算法,獲取并保存所述安全域通過所述安全通道返回的算法標識。43.根據權利要求35所述的客戶端,其特征在于,所述第一創建模塊,具體用于調用安全控件建立與所述安全域的安全通道; 所述寫入模塊,具體用于調用所述安全控件通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域。44.根據權利要求43所述的客戶端,其特征在于,所述第一發送模塊,具體用于調用安全控件向安全管理平臺發送密鑰下發請求,并通過所述安全管理平臺向所述運營管理平臺發送包括用戶名的密鑰下發請求; 所述接收模塊,具體用于調用所述安全控件接收所述運營管理平臺通過所述安全管理平臺返回的所述密鑰生成因子和所述令牌標識。45.根據權利要求35所述的客戶端,其特征在于,還包括第二發送模塊, 所述第二發送模塊,用于向所述運營管理平臺發送所述用戶名和密碼; 所述接收模塊,還用于接收來自所述運營管理平臺對所述用戶名和所述密碼的驗證成功消息或驗證失敗消息; 所述第一發送模塊,具體用于當接收模塊接收來自所述運營管理平臺對所述用戶名和所述密碼的驗證成功消息時,向運營管理平臺發送包括用戶名的密鑰下發請求。46.根據權利要求45所述的客戶端,其特征在于,還包括顯示模塊, 所述顯示模塊,用于根據所述驗證成功消息顯示驗證成功的信息,或根據所述驗證失敗消息顯示驗證失敗的信息。47.根據權利要求35所述的客戶端,其特征在于,還包括顯示模塊, 所述接收模塊,還用于接收所述安全域返回的寫入成功消息或寫入失敗消息; 所述顯示模塊,用于根據所述寫入成功消息顯示寫入成功的信息,或根據所述寫入失敗消息顯示寫入失敗的信息。48.根據權利要求42所述的客戶端,其特征在于,所述第三判斷模塊,具體用于調用安全控件,通過所述安全通道根據自身保存的上次所述安全域返回的算法標識判斷所述安全域中是否安裝計算動態口令的算法; 所述寫入模塊,具體用于調用所述安全控件,通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域; 所述第二安裝文件,具體用于調用所述安全控件,通過所述安全通道根據所述算法安裝文件安裝所述計算動態口令的算法,獲取并保存所述安全域通過所述安全通道返回的算法標識。49.根據權利要求35所述的客戶端,其特征在于,還包括關閉模塊和清除模塊, 所述關閉模塊,用于當所述寫入模塊通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域之后,關閉所述安全通道; 所述清除模塊,用于當所述寫入模塊通過所述安全通道將所述種子密鑰和所述令牌標識寫入所述安全域之后,清除所述安全域之外的所述種子密鑰和所述密鑰生成因子。50.一種密鑰下發的系統,其特征在于,包括運營管理平臺和動態口令管理平臺, 所述運營管理平臺包括: 第一接收模塊,用于接收來自客戶端的包括用戶名的密鑰下發請求; 第一發送模塊,用于將所述密鑰下發請求發送給動態口令管理平臺; 第二接收模塊,用于接收來自動態口令管理平臺的密鑰生成因子和令牌標識; 建立模塊,用于將所述令牌標識與所述用戶名建立對應關系; 第二發送模塊,用于當所述建立模塊將所述令牌標識與所述用戶名建立對應關系之后,將所述令牌標識和所述密鑰生成因子發送給所述客戶端; 所述動態口令管理平臺包括: 第三接收模塊,用于接收來自所述運營管理平臺的所述密鑰下發請求; 生成模塊,用于調用自身保存的計算種子密鑰的算法,根據自身保存的種子密鑰和自身保存的令牌標識生成密鑰生成因子; 第三發送模塊,用于將所述密鑰生成因子、所述令牌標識發送給所述運營管理平臺。51.根據權利要求50所述的系統,其特征在于,還包括安全管理平臺,所述安全管理平臺包括: 第四接收模塊,用于通過安全控件接收來自客戶端的包括用戶名的密鑰下發請求; 第四發送模塊,用于向所述運營管理平臺發送包括用戶名的密鑰下發請求; 第五接收模塊,用于接收來自是運營管理平臺的令牌標識和所述密鑰生成因子; 第五發送模塊,用于將所述令牌標識和所述密鑰生成因子通過所述安全控件發送給所述客戶端; 所述第一接收模塊,具體用于通過所述安全管理平臺接收來自客戶端的包括用戶名的密鑰下發請求; 所述第二發送模塊,具體用于通過所述安全管理平臺將所述令牌標識和所述密鑰生成因子發送給所述客戶端。52.根據權利要求51所述的系統,其特征在于,所述運營管理平臺還包括第六接收模塊、第六發送模塊、第七發送模塊和驗證模塊, 所述第六接收模塊,用于在所述第一接收模塊接收來自客戶端的包括用戶名的密鑰下發請求之前,接收來自所述客戶端的用戶名和密碼; 所述驗證模塊,用于根據自身保存的用戶名和密碼對來自所述客戶端的用戶名和密碼進行驗證; 所述第六發送模塊,用于當所述驗證模塊對來自所述客戶端的用戶名和密碼驗證通過時,生成驗證成功消息,將所述驗證成功消息發送給所述客戶端; 所述第七發送模塊,當所述驗證模塊對來自所述客戶端的用戶名和密碼驗證通過時,生成驗證失敗消息,將所述驗證失敗消息發送給所述客戶端。53.根據權利要求52所述的系統,其特征在于,所述安全管理平臺還包括判斷模塊和第八發送模塊, 所述第六發送模塊,還用于將所述用戶名具有允許下載種子密鑰的標識發送給所述安全管理平臺; 所述判斷模塊,用于在所述第四接收模塊通過安全控件接收來自客戶端的包括用戶名的密鑰下發請求之后、所述第四發送模塊向所述運營管理平臺發送包括用戶名的密鑰下發請求之前,判斷所述密鑰下發請求中的用戶名是否具有允許下載種子密鑰的標識; 所述第四發送模塊,具體用于當所述判斷模塊判斷所述密鑰下發請求中的用戶名具有允許下載種子密鑰的標識時,向所述運營管理平臺發送包括用戶名的密鑰下發請求; 所述第八發送模塊,用于當所述判斷模塊判斷所述密鑰下發請求中的用戶名具沒有允許下載種子密鑰的標識時,通過所述安全控件向所述客戶端發送請求失敗消息。54.根據權利要求50所述的系統,其特征在于,所述生成模塊,具體用于讀取動態口令管理平臺保存的令牌標識,得到激活密碼;調用動態口令管理平臺保存的算法,根據所述激活密碼、所述令牌標識和自身保存的種子密鑰進行運算得到令牌激活碼; 所述密鑰生成因子包括所述激活密碼和所述令牌激活碼。55.根據權利要求50所述的系統,其特征在于,所述生成模塊,具體用于調用動態口令管理平臺保存的計算種子密鑰的算法,根據動態口令管理平臺保存的種子密鑰和所述令牌標識進行運算得到令牌激活碼; 所述密鑰生成因子具體為所述令牌激活碼。56.一種動態口令生成及認證的移動終端,其特征在于,包括客戶端和安全域, 所述客戶端包括: 建立模塊,用于建立與安全域的安全通道; 第一發送模塊,用于通過所述安全通道向所述安全域發送包括令牌標識的生成動態口令的請求; 第一接收模塊,用于通過所述安全通道接收來自所述安全域的動態口令; 第二發送模塊,用于將所述動態口令和相關數據發送給運營管理平臺; 第二接收模塊,用于接收來自所述運營管理平臺的認證成功消息或認證失敗消息; 所述安全域包括: 第三接收模塊,用于接收來自所述客戶端的包括令牌標識的生成動態口令的請求; 檢索模塊,用于根據所述令牌標識檢索到對應的種子密鑰; 計算動態口令模塊,用于根據所述令牌標識調用計算動態口令的算法,根據當前動態因子和所述種子密鑰計算動態口令; 第三發送模塊,用于將所述動態口令通過所述安全通道返回所述客戶端; 所述客戶端還包括獲取模塊和保存模塊, 當所述客戶端登錄時: 所述獲取模塊,用于在所述建立模塊建立所述安全通道之前,獲取用戶名和密碼;所述保存模塊,用于對所述用戶名進行保存;所述相關數據具體為所述獲取模塊獲取的所述用戶名和所述密碼; 當所述客戶端執行交易認證時: 所述獲取模塊,用于在所述建立模塊建立所述安全通道之前,獲取業務數據,所述第一發送模塊通過所述安全通道向所述安全域發送的生成動態口令請求中還包括所述業務數據; 所述第三接收模塊接收的來自所述客戶端的包括令牌標識的生成動態口令的請求中還包括所述業務數據; 所述計算動態口令模塊,具體用于根據當前動態因子、所述業務數據和所述種子密鑰計算動態口令;所述相關數據具體為所述獲取模塊獲取的所述業務數據和所述保存模塊保存的所述用戶名。57.根據權利要求56所述的移動終端,其特征在于,所述計算動態口令模塊包括獲取子模塊、調用子模塊和計算子模塊; 所述調用子模塊,用于調用計算動態口令的算法; 所述獲取子模塊,用于獲取當前時間; 所述計算子模塊,用于根據所述當前時間和所述種子密鑰計算動態口令。58.根據權利要求57所述的移動終端,其特征在于,所述獲取子模塊,具體用于從所述安全域的計時器獲取所述當前時間,或者從所述客戶端獲取所述當前時間。59.根據權利要求56所述的移動終端,其特征在于,所述安全域還包括更新模塊, 所述計算動態口令模塊,具體用于根據所述令牌標識調用計算動態口令的算法,根據安全域保存的當前事件因子和所述種子密鑰計算動態口令; 所述更新模塊,用于所述計算動態口令模塊根據自身保存的當前事件因子和所述種子密鑰計算動態口令之后,更新所述安全域中的當前事件因子。60.根據權利要求59所述的移動終端,其特征在于, 所述更新模塊,具體用于將所述安全域保存的當前事件因子加一。61.根據權利要求56所述的移動終端,其特征在于,所述建立模塊,具體用于調用安全控件建立與所述安全域的安全通道; 所述第一發送模塊,具體用于調用所述安全控件通過所述安全通道向安全域發送包括令牌標識的生成動態口令的請求; 所述第一接收模塊,具體用于調用所述安全控件,通過所述安全通道接收來自所述安全域的動態口令; 所述第三接收模塊,具體用于通過所述安全通道和所述安全控件將所述動態口令返回所述客戶端。62.根據權利要求56所述的移動終端,其特征在于,當客戶端執行交易認證時, 所述獲取模塊,還用于獲取挑戰值; 所述第一發送模塊向所述安全域發送的生成動態口令請求中還包括所述挑戰值; 所述計算動態口令模塊,具體用于根據當前動態因子、所述業務數據、所述挑戰值和所述種子密鑰計算動態口令。63.根據權利要求56所述的移動終端,其特征在于,所述客戶端還包括顯示模塊, 所述顯示模塊,用于根據所述認證成功消息顯示認證成功的信息,或所述客戶端根據所述認證失敗消息顯示認證失敗的信息。64.一種動態口令認證的系統,其特征在于,包括運營管理平臺和動態口令管理平臺; 所述運營管理平臺包括: 第一接收模塊,用于接收來自客戶端的相關數據和動態口令; 建立模塊,用于根據所述相關數據中的用戶名檢索到與所述用戶名建立對應關系的令牌標識; 第一發送模塊,用于將所述令牌標識和所述動態口令發送給動態口令管理平臺; 第二接收模塊,用于接收來自所述動態口令管理平臺的認證成功消息或認證失敗消息; 第二發送模塊,用于向所述客戶端發送所述認證成功消息或所述認證失敗消息; 所述動態口令管理平臺包括: 第三接收模塊,用于接收來自所述運營管理平臺的令牌標識和所述動態口令; 檢索模塊,用于根據所述令牌標識檢索到對應的種子密鑰; 認證模塊,用于調用動態口令管理平臺保存的計算動態口令的算法,根據所述種子密鑰和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證; 第三發送模塊,用于將認證成功消息或認證失敗消息發送給運營管理平臺;所述運營管理平臺還包括驗證模塊和第四發送模塊; 當運營管理平臺執行客戶端登錄認證時: 所述相關數據包括用戶名和密碼; 所述驗證模塊,用于對所述用戶名和密碼進行驗證; 所述建立模塊,具體用于當所述驗證模塊驗證所述用戶名和所述密碼通過時,根據所述用戶名檢索到與所述用戶名建立對應關系的令牌標識; 當運營管理平臺執行交易認證時: 所述第四發送模塊,用于當所述第一接收模塊接收來自客戶端的相關數據和動態口令之前,向所述客戶端發送業務數據; 所述相關數據包括用戶名和所述業務數據; 所述第一發送模塊,具體用于將所述令牌標識、所述業務數據和所述動態口令發送給所述動態口令管理平臺; 所述第三接收模塊,具體用于接收來自所述運營管理平臺的令牌標識、所述業務數據和所述動態口令; 所述認證模塊,具體用于根據所述種子密鑰、所述業務數據和自身保存的當前動態因子在認證窗口之內對接收的動態口令進行認證。65.根據權利要求64所述的系統,其特征在于,所述認證模塊包括計算子模塊、第一判斷子模塊、第二判斷子模塊和修改子模塊; 所述計算子模塊,用于調用動態口令管理平臺保存的計算動態口令的算法,根據所述種子密鑰和自身保存的當前動態因子計算動態口令; 所述第一判斷子模塊,用于判斷計算得到的動態口令是否與接收的動態口令相等,是則確認認證通過; 所述第二判斷子模塊,用于當所述第一判斷子模塊判斷計算得到的動態口令是否與接收的動態口令不相等時,判斷是否超過認證窗口,是則確認認證未通過; 所述修改子模塊,用于當所述第二判斷子模塊判斷沒有超過認證窗口時,修改動態因子,將修改后的動態因子作為當前動態因子; 所述計算子模塊,還用于當所述修改子模塊修改動態因子,將修改后的動態因子作為當前動態因子之后,調用動態口令管理平臺保存的計算動態口令的算法,根據所述種子密鑰和自身保存的當前動態因子計算動態口令。66.根據權利要求65所述的系統,其特征在于,所述當前動態因子為時間因子時,所述修改子模塊,具體用于將當前時間因子加上或減去預設時間之后的值作為當前時間因子; 所述第二判斷子模塊,具體用于判斷加上或減去的預設時間總數是否超過認證窗口的認證時間范圍。67.根據權利要求65所述的系統,其特征在于,所述當前動態因子為事件因子時,所述動態口令管理平臺還模塊更新模塊和保存模塊,所述修改子模塊,具體用于將當前事件因子加上預設次數之后的值作為當前事件因子; 所述第二判斷子模塊,具體用于判斷認證次數是否超過認證窗口的認證次數范圍; 所述更新模塊,用于當所述認證模塊在認證窗口范圍之內完成對所述第三接收模塊接收的動態口令的認證之后,更新當前事件因子; 所述保存模塊,用于保存所述更新模塊更新之后的事件因子。68.根據權利要求64所述的系統,其特征在于,所述運營管理平臺還包括生成模塊和顯不豐旲塊, 所述生成模塊,用于所述第一接收模塊接收來自客戶端的相關數據和動態口令之前,生成挑戰值; 所述顯示模塊,用于顯示所述挑戰值; 所述第一發送模塊,還用于將所述挑戰值發送給所述動態口令管理平臺; 所述認證模塊,具體用于調用動態口令管理平臺保存的計算動態口令的算法,根據所述種子密鑰、所述業務數據、所述挑戰值和自身保存的當前動態因子對接收的動態口令進行認證。
【文檔編號】H04L9/08GK106060069SQ201610510997
【公開日】2016年10月26日
【申請日】2016年6月30日
【發明人】陸舟, 于華章
【申請人】飛天誠信科技股份有限公司