动态口令身份认证专利技术分析

动态口令身份认证专利技术分析

动态口令能弥补静态口令技术的大部分安全缺陷，广泛应用于身份认证技术中。文章基于CPRSABS和DWPI数据库，对基于动态口令的身份认证技术相关专利进行了梳理和分析，对涉及动态口令技术的研发有较大帮助。

关鍵词：动态口令（OTP）；身份认证；技术演进；专利

Abstract：The one-time password （OTP）can make up for most of the security defects of static password technology，and is widely used in identity authentication technology. Based on the databases of CPRSABS and DWPI，this paper sorts out and analyzes the patents of identity authentication technology based on dynamic password，which is helpful to the research and development of OTP technology.

Keywords：one-time password （OTP）；identity authentication；technology evolution；patent

1 概述

本文以基于动态口令身份认证的专利申请作为分析对象，重点分析全球范围内关于动态口令身份认证专利的四个主要技术分支，研究动态口令身份验证技术的技术发展趋势。

2 技术发展概述

随着网络交易的猛增所带来的安全问题日益突出，动态口令身份认证技术开始受到越来越多人的青睐；美国的RSA公司最早开始本领域的专利申请，2001-2008年动态口令身份认证专利申请量增长显著，2009年其申请量达到一个小高峰，2009年至今整体呈现稳步上升的趋势。本文通过分析专利申请的趋势来梳理动态口令技术的技术发展脉络；总的来说，动态口令身份认证技术专利主要集中在以下几个方面：动态口令的产生、口令的下发、口令表现形式以及动态口令与其他认证方法结合的多重认证技术。

2.1 动态口令的产生

动态口令身份机制需要基于一种密码算法，将用户的身份和某种变动因子作为密码算法的输入参数，输出的结果即为动态口令，不同的变动因子构成了不同的动态口令产生技术。

90年代基于动态口令的身份验证技术开始萌芽，美国RSA公司成功研制了基于时间同步的动态口令认证系统RSA SecureID，RSA于1984年抢先进行了专利布局，申请了基于时间同步的动态口令相关专利（US4720860B），其提供一个用户身份唯一标识码以及动态变量，通过预定的算法生成一个不可预测的码，该

动态变量可以是该固定码被输入到算法中的时间，通过比较客户端和服务器端生成的这两个不可预测码是否相同来进行身份认证，该专利被引用次数高达487次，奠定了时间同步技术的基础。然而一直到2000年这期间时间同步技术发展缓慢，并未引起业界足够的重视，在2001年以前中国并未有动态口令相关申请；2001-2009年间，许多公司才开始跟随RSA的脚步开始了时间同步研究，由于时间同步的精确性极大地依赖于正确的时钟，这期间出现了大量对令牌时钟进行校正，提高时间因子的可靠性的专利，如：CN101854147A，飞天诚信公司，令牌根据温漂进行时钟偏差矫正，JP200819814A，服务器与令牌定时进行时钟同步。

同时，在这期间出现了基于事件同步的动态口令技术，原理是通过某一特定的事件次序（如通过计数器统计按键次数）及相同的种子值作为输入，在算法中运算出一致的密码，整个口令产生过程不受时钟影响，然而基于事件同步的令牌当电力耗尽，在更换电池时操作失误等均会导致失步，因此一系列防止失步的专利也应运而生（JP2001352324A，NEC公司，对事件类型令牌计数器的失步进行调整；CN104104517A 弗里塞恩公司，补偿事件计数器的同步缺失）。

此外，由于同步方式需要在服务器和令牌之间进行同步操作，为了增加系统的可靠性出现了异步方式的动态口令，服务器下发随机数作为挑战，令牌基于该挑战计算出响应作为动态口令发送给服务器（EP1919123A1 挑战/应答式动态口令）。挑战-应答方式中挑战码十分关键，相关专利很大一部分涉及挑战码传输的改进：由手动输入挑战码进化为通过有线或无线方式自动输入，其中利用NFC 技术从手机向令牌终端发送挑战码是主流技术，同时为了防止挑战码被截获后影响动态口令可靠性，各大公司申请了许多挑战码加密传输的相关专利；为了防止钓鱼，挑战码也从单向认证向双向认证演进（CN102281137A，挑战码中包含交易信息以便用户确认交易真实性）。

这三种口令产生方式中主流的动态令牌技术是时间同步和挑战/应答两种形式，这是因为事件同步型令牌可以预先知道今后的多个密码，丢失后存在较大安全风险。口令产生技术发展到后期，单一的动态因子已不能满足安全需求，2010-2014年出现了许多多因子认证方法，同时基于时间/事件/挑战码组合生成动态口令，多因子认证是动态口令必然发展趋势。

2.2 口令的下发

最先出现的是基于硬件的令牌技术，硬件中内置动态口令生成算法（US08944918A，SAMSUNG，硬件口令）；一方面，早期硬件口令不经过网络传输，生成的动态口令直接显示在显示屏上由用户手动输入到终端，为了免去用户手动输入动态口令的麻烦，在2001-2009年间陆续出现了许多将硬件口令自动输入终端的专利，自动传输的方式主要涉及：USB连接（EP1775673A3 ，硬件口令生成后经USB传输到客户端）、NFC传输、蓝牙传输、无线传输等；另一方面，硬件令牌中密钥种子以及加密算法的安全性大大影响动态口令的可靠度，相当一部分专利申请致力于对其进行改进，如：密钥种子由出厂时灌装改进为使用时由服务器动态灌装，硬件中封装的加密算法也由服务器动态选择，以提高动态口令安全性。同时，面对硬件令牌存在的密钥泄露风险，出现了令牌防拆除自