[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN102164141B - 保护账号安全的方法 - Google Patents

保护账号安全的方法 Download PDF

Info

Publication number
CN102164141B
CN102164141B CN201110102359.6A CN201110102359A CN102164141B CN 102164141 B CN102164141 B CN 102164141B CN 201110102359 A CN201110102359 A CN 201110102359A CN 102164141 B CN102164141 B CN 102164141B
Authority
CN
China
Prior art keywords
user
login
dynamic
password
dynamic password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201110102359.6A
Other languages
English (en)
Other versions
CN102164141A (zh
Inventor
陈珂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201110102359.6A priority Critical patent/CN102164141B/zh
Publication of CN102164141A publication Critical patent/CN102164141A/zh
Application granted granted Critical
Publication of CN102164141B publication Critical patent/CN102164141B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Telephonic Communication Services (AREA)

Abstract

本发明涉及短信传输和计算机数据库相结合的操作运用技术,具体为一种保护账号安全的方法。其特征在于:用户登录和服务器验证必须分别执行两次,且两次用户登录的密码均为动态密码,第一次登录输入动态密码A和用户账号,通过验证后动态密码A即时失效,在通过第一次登录验证后的登录界面中显示动态识别码,用户需对登录界面中显示的动态识别码与手机短信中收到的动态识别码进行比对,确认两组动态识别码显示完全相同后再进行输入动态密码B和静态密码的登录步骤,成功登录后动态识别码和动态密码B即时失效。本发明方法不但能够有效防范盗号木马病毒的攻击,并且能够防御钓鱼网站对用户实施的诈骗攻击,用户操作起来简单直观,易于上手。

Description

保护账号安全的方法
技术领域
本发明涉及短信传输和计算机数据库相结合的操作运用技术,具体为保护账号安全的方法。
背景技术
目前,公知的账号保护主要有以下四种方式:
第一种,静态密码认证技术,其用用户的“账号名”和“密码”来认证和识别用户的合法性,其主要特点是用一个固定的密码去激活一个特定的账号,但由于密码和账号作为软性标识,静态不变,且在网络中传输,存在许多弊端和安全漏洞,针对它的破解技术在不断发展,产生了许多可以盗取账号密码的工具和方法,例如采用窃取、破译、偷窥、骗取等,此外对用户创建、记忆、修改口令的要求较高,口令设定太简单容易被破解,设得太复杂,就容易被遗忘。
第二种,动态密码认证技术,其包括用户的口令卡、认证服务器和管理工作站组成。管理工作站负责用户的注册、初始化、生成和发放密码卡、信息修改、卡的注销等。这种认证系统为每个用户配一块“动态口令卡”(即令牌)。口令卡中的专用芯片和服务器从同样的时间开始,依据相同的安全算法,每一定时间内生成一个口令,口令卡上的口令用一个液晶窗口显示出来。用户登录时,输入卡上显示的口令,由认证服务器进行比较认证,由于时间同步,口令卡和服务器生成的口令完全相同,所以能登录系统。由于口令随时间动态变化的,任何人没有口令卡就不可能知道口令,因此这种口令技术比静态口令安全得多,其优点是:不怕窃听、不怕偷窥,破解,也不需记忆,体积小,便于携带。其与第四种技术有个共同的缺点是无法防范新型木马(此木马的特征为:在用户登录时,造成客户端断线,或者反复出现登录框阻止用户顺利登录,与此同时截获用户密码并转发至木马传播者指定的电子信箱。)的攻击,由于此种类型木马的攻击方式是在用户登录客户端时采用阻止用户成功登录并同时截获用户的账号和密码,因为用户在客户端并没有完成登录,所以在一定时间段内动态口令卡或手机短信发送的动态密码不会变化,一旦与静态密码同时被盗取依旧不能完全保护账号的安全。
第三种,USB Key认证即ePass密码锁,ePass密码锁采用的是国际先进的USB技术和算法加密认证技术,其硬件包括CPU、安全存储器及运行在其上的智能微系统,只要把用户的账户和密码信息以密钥形式存入防盗锁中,在使用过程中密钥信息永不出锁,实现真正意义上的保护。这是因为用于身份认证的账户信息和密钥是设定为不可直接读取,外部应用只能送入计算所用的输入因子,而整个计算过程完全在ePass网游防盗锁内的CPU完成,只将计算的结果传到外部应用,这样密钥就绝对不可能被外部的黑客程序侦听到,并且密钥的计算是不可逆算法,也无法通过计算结构倒推出密钥的值,而传到ePass网游防盗锁外部的计算结果也会随着每次输入数据的不同而变化,即使记录每次认证将计算的值也无法达到冒用身份的目的,其优点是:不怕窃听、不怕偷窥,破解,也不需记忆,体积小,便于携带,本技术的缺陷:使用成本高,容易丢失,容易损坏,可靠性较低,不法分子可以通过计算机中的木马病毒破译出Ukey密码,另外用户使用U盾需要安装驱动,并不断升级驱动,操作繁琐。
第四种,手机短信发送动态密码+静态密码,其包括用户的手机,认证服务器,管理工作站和短信网关组成,管理工作站负责用户的注册,手机号码的绑定及取消绑定。用户登录时,发送一组激活指令,认证服务器随机生成一组动态密码通过短信网关发送到用户在注册时绑定的手机上,用户输入静态密码和这组动态密码,这组动态密码与认证服务器中的信息进行比较认证。由于这组动态密码是随机生成并且绑定用户手机所以更安全可靠一点。其优点是:不怕窃听、不怕偷窥,破解,也不需记忆,手机普及率较高便于实现。缺陷与第二种方法相同。
以上所述方法既无法防范盗号木马的攻击,同时用户也无法对登录界面的真伪进行验证,如果不法分子利用钓鱼网站对用户进行诈骗攻击,账号的安全无法得到保障:不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,骗取用户的账号、密码等私人资料,同时在极短的时间内使用用户的账号,密码登录真实网站,盗取用户的财物。
发明内容
针对上述几种密码保护技术的不足之处,本发明提供了保护账号安全的方法,系统的可靠性高,验证码信息传送保密度高,不但能够有效防范盗号木马病毒的攻击,并且能够防御钓鱼网站对用户实施的诈骗攻击,用户操作起来简单直观,易于上手。
其技术方案是这样的:
其包括以下步骤:(1)、注册,(2)、登录请求,(3)、服务器验证,(4)、发送动态密码和动态识别码,(5)、用户登录,(6)、服务器验证,(7)、用户识别,其特征在于:(5)和(6)这两个步骤必须分别执行两次,且两次用户登录的密码均为动态密码,第一次登录输入动态密码A和用户账号,通过验证后动态密码A即时失效,然后输入动态密码B进行第二次登录并验证登录,成功登录后动态密码B即时失效;
其进一步特征在于:在进行第二次登录时输入动态密码B的同时输入静态密码,成功登录后动态密码B即时失效;
其更进一步特征在于:在通过第一次登录验证后的登录界面中显示动态识别码,用户需对登录界面中显示的动态识别码与手机短信中收到的动态识别码进行比对,确认两组动态识别码显示完全相同后再进行输入动态密码B和静态密码的登录步骤,成功登录后动态识别码和动态密码B即时失效;
其更进一步特征在于:其包括以下步骤
(1)、注册,用户需向管理工作站提交用户的账号名、手机号码和静态密码,并约定与手机号码相互绑定的激活码;
(2)、登录请求:用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码;
(3)、服务器认证:系统短信平台在接收到用户的登录请求后提取用户短信中的激活码及用户的手机号码,并转送到系统认证服务器,认证服务器收到激活码和用户手机号码后在系统认证服务器的数据库中对其进行检索,如果用户登录请求中的激活码和手机号码与认证服务器内部信息相符,则验证通过,系统认证服务器临时生成三组随机字符串,随机字符串A和随机字符串B作为此用户的登录动态密码,随机字符串C作为用户判断登录界面真伪的识别码,此识别码显示在用户通过第一次登录验证后的登录界面中,如果用户手机号码、约定的激活码与系统内部绑定的信息不符,则通过系统短信平台提示用户验证失败;
(4)、发送验证码:所述步骤(3)验证通过后,由系统短信平台将步骤(3)产生的两组动态密码A与B和动态识别码以短信的方式通过短信网关传输到该用户手机,同时动态密码A、B和动态识别码被保存在认证服务器的数据库中;
(5)、用户登录1:用户收到步骤(4)发送的动态密码A、B和动态识别码后,在系统客户端登录,登录时先将账号名与动态密码A在系统的客户端输入; 
(6)、服务器认证1:认证服务器端对用户输入的账号名与动态密码A进行有效性验证,将用户输入的账号名与动态密码A和保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,则系统认证服务器数据库中的动态密码A即时注销,同时用户进入下一步骤,如果验证失败,则通过网络在客户端提示用户登录失败;
(7)、用户识别:通过步骤(6)的验证后,在登录界面中显示由步骤(3)所生成的动态识别码,用户比对登录界面中显示的动态识别码和步骤(4)收到的动态识别码两者是否一致,如果两组识别码信息显示不一致,用户可判定此登录界面不是由服务商提供的真实登录界面,从而放弃登录,如果两组识别码信息显示一致,用户可判定此登录界面为服务商提供的真实登录界面,用户进入下一步骤;
 (8)、用户登录2:通过步骤(7)的验证后,用户将静态密码和步骤(4)中得到的动态密码B在系统的客户端输入;
(9)、服务器认证2:认证服务器端对用户输入的静态密码和动态密码B进行有效性验证,对用户输入的静态密码和动态密码B与保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,用户可以成功登录,当用户登录成功后,系统认证服务器数据库中的动态识别码和动态密码B即时失效,如果验证失败,则通过网络在客户端提示用户登录失败;
(10)、当用户再次需要登录系统时,需重复(2)、(3)、(4)、(5)、(6)、(7)、(8)、(9)步骤;
其更进一步特征在于:其包括以下步骤
(1)、注册,用户需向管理工作站提交用户的账号名、手机号码和静态密码,并约定与手机号码相互绑定的激活码,获取服务商提供的动态口令卡并与用户的账号绑定;
(2)、登录请求:用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码;
(3)、服务器认证:系统短信平台在接收到用户的登录请求后提取用户短信中的激活码、手机号码,并转送到系统认证服务器,认证服务器收到激活码和用户手机号码后在系统认证服务器的数据库中对其进行检索,如果用户登录请求中的手机号码和约定的激活码与认证服务器内部信息相符,则验证通过,系统认证服务器临时生成两组随机字符串A和C,随机字符串A作为此用户的登录动态密码,随机字符串C作为用户判断登录界面真伪的识别码,此识别码显示在用户通过第一次登录验证后的登录界面中,如果用户手机号码、约定的激活码与系统内部绑定信息不符,则通过系统短信平台提示用户验证失败;
(4)、发送动态密码:所述步骤(3)验证通过后,由系统短信平台将步骤(3)产生的动态密码A和动态识别码C以短信的方式通过短信网关传输到该用户手机,同时动态密码A和动态识别码被保存在认证服务器的数据库中;
(5)、用户登录1:用户收到步骤(4)发送的动态密码A和动态识别码后,在系统客户端登录,登录时先将账号名与动态密码A在系统的客户端输入;
(6)、服务器认证1:认证服务器端对用户输入的账号名与动态密码A进行有效性验证,将用户输入的账号名与动态密码A和保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,则系统认证服务器数据库中的动态密码A即时注销,同时用户进入下一步骤,如果验证失败,则通过网络在客户端提示用户登录失败;
(7)、用户识别:通过步骤(6)的验证后,在登录界面中显示由步骤(3)所生成的动态识别码,用户比对登录界面中显示的动态识别码和步骤(4)收到的动态识别码两者是否一致,如果两组识别码信息显示不一致,用户可判定此登录界面不是由服务商提供的真实登录界面,从而放弃登录,如果两组识别码信息显示一致,用户可判定此登录界面为服务商提供的真实登录界面,用户进入下一步骤;
(8)、用户登录2:通过步骤(7)的验证后,用户使用由服务商提供的动态口令卡在系统客户端登录,登录时将动态口令卡中生成的动态密码B和静态密码在系统的客户端输入; 
(9)、服务器认证2:认证服务器端对用户输入的静态密码和动态密码B进行有效性验证,对用户输入的静态密码和动态密码B与保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,用户可以成功登录,当用户登录成功后,系统认证服务器数据库中的动态识别码和动态密码B即时失效,如果验证失败,则通过网络在客户端提示用户登录失败;
(10)、当用户再次需要登录系统时,需重复(2)、(3)、(4)、(5)、(6)、(7)、(8)、(9)步骤。
本发明方法采取激活码、静态密码、两组动态密码和动态识别码的组合方式,用户与服务商之间采用双通道传送,双向验证,两组密码和一组识别码随机产生,临时生成,临时使用,用完自动清除,认证强度增强,系统的可靠性较高,能够抵抗现行的盗号攻击和钓鱼诈骗攻击,系统的成本较低。使用本发明方法,服务商通过激活码、动态密码A、静态密码和动态密码B三次分别对用户身份进行验证,如果盗号者通过木马病毒侦测到用户输入了动态密码A时只可能有两个选择,1、等用户输入动态密码B和静态密码后把两组动态密码和静态密码一起记录下来,并切断用户网络,但是当用户执行到输入动态密码B这个环节时由于动态密码A已经被用户输入验证过,动态密码A即时失效,盗号者使用盗取的动态密码A已经无法成功登录,2、盗号者截获动态密码A后切断用户网络,并抢先登录,那么由于盗号者先于用户使用动态密码A登录验证,验证通过后动态密码A即时失效,当用户输入动态密码A进行验证时系统反馈的就是错误信息,因为用户在第一次登录环节的验证没有通过,无法进行第二次登录验证操作,所以盗号者无法得到动态密码B。而在两次登录验证过程之间,用户通过动态识别码对登录界面进行真伪验证。所以本发明既能够有效防范盗号木马病毒的攻击,又能够有效防范钓鱼网站的诈骗攻击,操作起来简单直观,易于上手。
附图说明
图1为本发明中人机对话的流程图。
具体实施方式
下面结合附图描述采用本发明方法的操作过程:
实施例1、激活码、静态密码、识别码和手机短信传送两组动态密码四次验证方式
用户需向注册认证服务器系统提交用户的账号名、手机号码和静态密码,系统将用户的账号名和手机号码相互绑定,并约定与手机号码相互绑定的激活码(账号或者约定的激活指令);需登录时,用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码;系统短信平台在接收到用户的登录请求后提取用户短信中的激活码及用户的手机号码,并转送到系统认证服务器,认证服务器收到激活码和用户手机号码后在系统认证服务器的数据库中对其进行检索,如果用户登录请求中的激活码与手机号码和认证服务器内部信息相符,则验证通过,系统认证服务器临时生成三组随机字符串,随机字符串A和随机字符串B作为此用户的登录动态密码,随机字符串C作为用户判断登录界面真伪的识别码,此识别码显示在用户通过第一次登录验证后的登录界面中,动态密码A、B和动态识别码以短信的方式通过短信网关传输到该用户手机,同时这两组动态密码A、B和动态识别码被保存在认证服务器的数据库中;如果激活码和手机号码与系统内部绑定信息不符,则通过系统短信平台提示用户登录失败;用户收到动态密码A、B和动态识别码后,在系统客户端登录,登录时先将账号名与动态密码A在系统的客户端输入;认证服务器端对用户输入的账号名与动态密码A进行有效性验证,将用户输入的账号名与动态密码A和保存在认证服务器中的信息进行比对验证其是否合法,如果验证失败,则通过网络在客户端提示用户登录失败,如果验证通过,系统认证服务器数据库中的动态密码A即时失效,在用户通过第一次登录验证后的登录界面中显示有动态识别码,用户比对登录界面中显示的动态识别码和用户手机短信中收到的动态识别码两者是否一致,如果两组识别码信息显示不一致,用户可判定此登录界面不是由服务商提供的真实登录界面,从而放弃登录,如果两组识别码信息显示一致,用户可判定此登录界面为服务商提供的真实登录界面,用户进行第二次登录验证,将静态密码和动态密码B在系统的客户端输入;认证服务器端对用户输入静态密码和动态密码B进行有效性验证,将静态密码与动态密码B和保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,则用户成功登录,系统认证服务器数据库中的动态识别码和动态密码B即时失效,如果验证失败,则通过网络在客户端提示用户登录失败,当用户再次需要登录系统时,需重复登录请求的步骤。
实施例2、激活码、静态密码、识别码、动态口令卡和手机短信传送动态密码四次验证方式
用户需向注册认证服务器系统提交用户的账号名、手机号码和静态密码,系统将用户的账号和手机号码相互绑定,并约定与手机号码相互绑定的激活码(账号或者约定的激活指令),获取服务商提供的动态口令卡并与用户的账号绑定;需登录时用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码;系统短信平台在接收到用户的登录请求后提取用户短信中的激活码及用户的手机号码,并转送到系统认证服务器,认证服务器收到激活码和用户手机号码后在系统认证服务器的数据库中对其进行检索,如果用户登录请求中的激活码和手机号码与认证服务器内部信息相符,则验证通过,系统认证服务器临时生成两组随机字符串A和C,随机字符串A作为此用户的登录动态密码,随机字符串C作为用户判断登录界面真伪的识别码,此识别码显示在用户通过第一次登录验证后的登录界面中,动态密码A、动态识别码以短信的方式通过短信网关传输到该用户手机,同时动态密码A和动态识别码被保存在认证服务器的数据库中;如果激活码和手机号码与系统内部绑定信息不符,则通过系统短信平台提示用户登录失败;用户收到动态密码A和动态识别码后,在系统客户端登录,登录时先将账号名与服务商短信发送过来的动态密码A在系统的客户端输入;认证服务器端对用户账号名与输入的动态密码A进行有效性验证,将用户输入的账号名与动态密码A和保存在认证服务器中的信息进行比对验证其是否合法,如果验证失败,则通过网络在客户端提示用户登录失败,如果验证通过,系统认证服务器数据库中的动态密码A即时失效,在用户通过第一次登录验证后的登录界面中显示有动态识别码,用户比对登录界面中显示的动态识别码和用户手机短信中收到的动态识别码两者是否一致,如果两组识别码信息显示不一致,用户可判定此登录界面不是由服务商提供的真实登录界面,从而放弃登录,如果两组识别码信息显示一致,用户可判定此登录界面为服务商提供的真实登录界面,用户进行第二次登录验证,将静态密码与服务商提供的动态口令卡中的动态密码B在系统的客户端输入;认证服务器端对用户输入的静态密码与动态密码B进行有效性验证,将静态密码与动态密码B和保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,则用户成功登录,系统认证服务器数据库中的动态识别码和动态密码B即时失效,如果验证失败,则通过网络在客户端提示用户登录失败,当用户再次需要登录系统时,需重复登录请求的步骤。
本方法进行的账号保护技术使用户和服务商之间通过激活码、两组动态密码和动态识别码双向进行四次验证,完全消除了网络窃听、特洛伊木马及新型木马(此木马的特征为:在用户登录时,造成客户端断线,或者反复出现登录框阻止用户顺利登录,与此同时截获用户密码并转发至木马转播者指定的电子信箱。)攻击、口令文件攻击、服务器假冒攻击、人工攻击等传统隐患,有效阻止了钓鱼网站的诈骗攻击,安全强度极高,系统的可靠性提高,用户操作起来简单直观,与现有的口令技术相比具有明显的优越性。 

Claims (2)

1.保护账号安全的方法,其包括以下步骤:(1)、注册,(2)、登录请求,(3)、服务器验证,(4)、发送动态密码和动态识别码,(5)、用户登录,(6)、服务器验证,(7)、用户识别,其特征在于:(5)和(6)这两个步骤必须分别执行两次,且两次用户登录的密码均为动态密码,第一次登录输入动态密码A和用户账号,通过验证后动态密码A即时失效,然后输入动态密码B,进行第二次登录并验证登录,成功登录后动态密码B即时失效;在进行第二次登录时输入动态密码B和静态密码,成功登录后动态密码B即时失效;在通过第一次登录验证后的登录界面中显示动态识别码,用户需对登录界面中显示的动态识别码与手机短信中收到的动态识别码进行比对,确认两组动态识别码显示完全相同后再进行输入动态密码B和静态密码的登录步骤,成功登录后动态识别码和动态密码B即时失效;其具体操作为:
(1)、注册,用户需向管理工作站提交用户的账号名、手机号码和静态密码,并约定与手机号码相互绑定的激活码;
(2)、登录请求:用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码;
(3)、服务器认证:系统短信平台在接收到用户的登录请求后提取用户短信中的激活码及用户的手机号码,并转送到系统认证服务器,认证服务器收到激活码和用户手机号码后在系统认证服务器的数据库中对其进行检索,如果用户登录请求中的激活码和手机号码与认证服务器内部信息相符,则验证通过,系统认证服务器临时生成三组随机字符串,随机字符串A和随机字符串B作为此用户的登录动态密码,随机字符串C作为用户判断登录界面真伪的识别码,此识别码显示在用户通过第一次登录验证后的登录界面中,如果用户手机号码、约定的激活码与系统内部绑定的信息不符,则通过系统短信平台提示用户验证失败;
(4)、发送验证码:所述步骤(3)验证通过后,由系统短信平台将步骤(3)产生的两组动态密码A与B和动态识别码以短信的方式通过短信网关传输到该用户手机,同时动态密码A、B和动态识别码被保存在认证服务器的数据库中;
(5)、用户登录1:用户收到步骤(4)发送的动态密码A、B和动态识别码后,在系统客户端登录,登录时先将账号名与动态密码A在系统的客户端输入; 
(6)、服务器认证1:认证服务器端对用户输入的账号名与动态密码A进行有效性验证,将用户输入的账号名与动态密码A和保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,则系统认证服务器数据库中的动态密码A即时注销,同时用户进入下一步骤,如果验证失败,则通过网络在客户端提示用户登录失败;
(7)、用户识别:通过步骤(6)的验证后,在登录界面中显示由步骤(3)所生成的动态识别码,用户比对登录界面中显示的动态识别码和步骤(4)收到的动态识别码两者是否一致,如果两组识别码信息显示不一致,用户可判定此登录界面不是由服务商提供的真实登录界面,从而放弃登录,如果两组识别码信息显示一致,用户可判定此登录界面为服务商提供的真实登录界面,用户进入下一步骤;
 (8)、用户登录2:通过步骤(7)的验证后,用户将静态密码和步骤(4)中得到的动态密码B在系统的客户端输入;
(9)、服务器认证2:认证服务器端对用户输入的静态密码和动态密码B进行有效性验证,对用户输入的静态密码和动态密码B与保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,用户可以成功登录,当用户登录成功后,系统认证服务器数据库中的动态识别码和动态密码B即时失效,如果验证失败,则通过网络在客户端提示用户登录失败;
(10)、当用户再次需要登录系统时,需重复(2)、(3)、(4)、(5)、(6)、(7)、(8)、(9)步骤。
2.保护账号安全的方法,其包括以下步骤:(1)、注册,(2)、登录请求,(3)、服务器验证,(4)、发送动态密码和动态识别码,(5)、用户登录,(6)、服务器验证,(7)、用户识别,其特征在于:(5)和(6)这两个步骤必须分别执行两次,且两次用户登录的密码均为动态密码,第一次登录输入动态密码A和用户账号,通过验证后动态密码A即时失效,然后输入动态密码B,进行第二次登录并验证登录,成功登录后动态密码B即时失效;在进行第二次登录时输入动态密码B和静态密码,成功登录后动态密码B即时失效;在通过第一次登录验证后的登录界面中显示动态识别码,用户需对登录界面中显示的动态识别码与手机短信中收到的动态识别码进行比对,确认两组动态识别码显示完全相同后再进行输入动态密码B和静态密码的登录步骤,成功登录后动态识别码和动态密码B即时失效;其具体操作为:
(1)、注册,用户需向管理工作站提交用户的账号名、手机号码和静态密码,并约定与手机号码相互绑定的激活码,获取服务商提供的动态口令卡并与用户的账号绑定;
(2)、登录请求:用户以手机短信的形式通过短信网关向系统短信平台提交自己的激活码;
(3)、服务器认证:系统短信平台在接收到用户的登录请求后提取用户短信中的激活码、手机号码,并转送到系统认证服务器,认证服务器收到激活码和用户手机号码后在系统认证服务器的数据库中对其进行检索,如果用户登录请求中的手机号码和约定的激活码与认证服务器内部信息相符,则验证通过,系统认证服务器临时生成两组随机字符串A和C,随机字符串A作为此用户的登录动态密码,随机字符串C作为用户判断登录界面真伪的识别码,此识别码显示在用户通过第一次登录验证后的登录界面中,如果用户手机号码、约定的激活码与系统内部绑定信息不符,则通过系统短信平台提示用户验证失败;
(4)、发送动态密码:所述步骤(3)验证通过后,由系统短信平台将步骤(3)产生的动态密码A和动态识别码C以短信的方式通过短信网关传输到该用户手机,同时动态密码A和动态识别码被保存在认证服务器的数据库中;
(5)、用户登录1:用户收到步骤(4)发送的动态密码A和动态识别码后,在系统客户端登录,登录时先将账号名与动态密码A在系统的客户端输入;
(6)、服务器认证1:认证服务器端对用户输入的账号名与动态密码A进行有效性验证,将用户输入的账号名与动态密码A和保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,则系统认证服务器数据库中的动态密码A即时注销,同时用户进入下一步骤,如果验证失败,则通过网络在客户端提示用户登录失败;
(7)、用户识别:通过步骤(6)的验证后,在登录界面中显示由步骤(3)所生成的动态识别码,用户比对登录界面中显示的动态识别码和步骤(4)收到的动态识别码两者是否一致,如果两组识别码信息显示不一致,用户可判定此登录界面不是由服务商提供的真实登录界面,从而放弃登录,如果两组识别码信息显示一致,用户可判定此登录界面为服务商提供的真实登录界面,用户进入下一步骤;
(8)、用户登录2:通过步骤(7)的验证后,用户使用由服务商提供的动态口令卡在系统客户端登录,登录时将动态口令卡中生成的动态密码B和静态密码在系统的客户端输入; 
(9)、服务器认证2:认证服务器端对用户输入的静态密码和动态密码B进行有效性验证,对用户输入的静态密码和动态密码B与保存在认证服务器中的信息进行比对验证其是否合法,如果验证通过,用户可以成功登录,当用户登录成功后,系统认证服务器数据库中的动态识别码和动态密码B即时失效,如果验证失败,则通过网络在客户端提示用户登录失败;
(10)、当用户再次需要登录系统时,需重复(2)、(3)、(4)、(5)、(6)、(7)、(8)、(9)步骤。
CN201110102359.6A 2011-04-24 2011-04-24 保护账号安全的方法 Active CN102164141B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110102359.6A CN102164141B (zh) 2011-04-24 2011-04-24 保护账号安全的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110102359.6A CN102164141B (zh) 2011-04-24 2011-04-24 保护账号安全的方法

Publications (2)

Publication Number Publication Date
CN102164141A CN102164141A (zh) 2011-08-24
CN102164141B true CN102164141B (zh) 2014-11-05

Family

ID=44465115

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110102359.6A Active CN102164141B (zh) 2011-04-24 2011-04-24 保护账号安全的方法

Country Status (1)

Country Link
CN (1) CN102164141B (zh)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103051447A (zh) * 2011-10-11 2013-04-17 镇江精英软件科技有限公司 一种重要系统用户安全管理的方法
CN103812822B (zh) * 2012-11-06 2017-03-01 阿里巴巴集团控股有限公司 一种安全认证方法和系统
CN103856448A (zh) * 2012-11-30 2014-06-11 吴伟峰 一种安全网银的实施方法
CN103117854A (zh) * 2012-12-10 2013-05-22 涂国坚 一种安全网银的实施方法
SG11201510655RA (en) * 2013-07-05 2016-01-28 Chung-Yu Lin Network identity authentication using communication device identification code
CN104580270A (zh) * 2013-10-10 2015-04-29 李嘉辉 适用于移动终端的积分兑换方法
CN104580319B (zh) * 2013-10-24 2019-10-11 宋云波 无线安全信息门户方法
CN104639505B (zh) * 2013-11-11 2018-06-26 中国移动通信集团辽宁有限公司 一种短信双向安全身份验证方法及系统
CN103795724B (zh) * 2014-02-07 2017-01-25 陈珂 一种基于异步动态口令技术的保护账户安全的方法
CN104468581B (zh) * 2014-12-10 2018-03-02 小米科技有限责任公司 登录应用程序的方法及装置
CN111800396B (zh) * 2015-07-01 2022-05-17 创新先进技术有限公司 挂失账号的登录方法和装置
CN105471847B (zh) * 2015-11-16 2019-04-30 浙江宇视科技有限公司 一种用户信息的管理方法和装置
CN105915343B (zh) * 2016-04-08 2019-07-23 金蝶软件(中国)有限公司 一种注册用户离线激活方法和系统
CN107491670A (zh) * 2017-08-22 2017-12-19 深圳竹云科技有限公司 一种基于OTP算法的Windows系统安全登录方法
CN107846415A (zh) * 2017-12-11 2018-03-27 北京奇虎科技有限公司 一种服务器登录方法及装置
CN108629177A (zh) * 2018-04-24 2018-10-09 上海与德通讯技术有限公司 一种智能终端的解锁方法、智能终端以及可读存储介质
CN109450917B (zh) * 2018-11-28 2021-11-26 珠海金山网络游戏科技有限公司 账号登录方法、装置、计算设备及存储介质
CN110351261B (zh) * 2019-06-28 2021-10-08 深圳市永达电子信息股份有限公司 基于双因素认证管理设备连接安全服务器的方法和系统
CN110830446B (zh) * 2019-10-14 2022-07-12 云深互联(北京)科技有限公司 一种spa安全验证的方法和装置
CN111415734A (zh) * 2020-03-20 2020-07-14 四川南格尔生物科技有限公司 一种有源医疗器械的使用期限管理方法
CN117436051A (zh) * 2020-04-29 2024-01-23 支付宝(杭州)信息技术有限公司 一种账户登录验证方法及系统
CN112333154A (zh) * 2020-10-16 2021-02-05 四川九八村信息科技有限公司 一种基于动态密码进行权限控制方法及其血浆采集机
CN112348726A (zh) * 2020-12-02 2021-02-09 上海去森教育科技有限公司 一种高校志愿填报决策系统
CN112348727A (zh) * 2020-12-02 2021-02-09 上海去森教育科技有限公司 一种高中生分科辅助决策系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1832401A (zh) * 2006-04-06 2006-09-13 陈珂 一种保护帐号密码安全的方法
CN101257489A (zh) * 2008-03-20 2008-09-03 陈珂 一种保护账号安全的方法
CN101453458A (zh) * 2007-12-06 2009-06-10 北京唐桓科技发展有限公司 基于多变量的动态密码口令双向认证的身份识别方法技术

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1832401A (zh) * 2006-04-06 2006-09-13 陈珂 一种保护帐号密码安全的方法
CN101453458A (zh) * 2007-12-06 2009-06-10 北京唐桓科技发展有限公司 基于多变量的动态密码口令双向认证的身份识别方法技术
CN101257489A (zh) * 2008-03-20 2008-09-03 陈珂 一种保护账号安全的方法

Also Published As

Publication number Publication date
CN102164141A (zh) 2011-08-24

Similar Documents

Publication Publication Date Title
CN102164141B (zh) 保护账号安全的方法
CN101257489A (zh) 一种保护账号安全的方法
CN1832401A (zh) 一种保护帐号密码安全的方法
CN101192926B (zh) 帐号保护的方法及系统
CA2591968C (en) Authentication device and/or method
AU2005318933B2 (en) Authentication device and/or method
CN103795724B (zh) 一种基于异步动态口令技术的保护账户安全的方法
US20080148057A1 (en) Security token
US9055061B2 (en) Process of authentication for an access to a web site
US20080189772A1 (en) Method for generating digital fingerprint using pseudo random number code
RU2011153984A (ru) Доверенный администратор достоверности (tim)
CN102281138B (zh) 一种提高验证码安全性的方法和系统
CN103269270A (zh) 一种基于手机号码的实名认证安全登录的方法及系统
CN108259445B (zh) 基于智能手机的MS Windows桌面安全登录系统及其登录方法
CN104601602B (zh) 一种终端设备网络安全增强接入与认证方法
CN101420302A (zh) 安全认证方法和设备
CN110445805A (zh) 一种二维码的防伪认证系统及方法
JP2014106593A (ja) 取引認証方法、及びシステム
CN104618356A (zh) 身份验证方法及装置
KR101297118B1 (ko) 바이오메트릭 정보를 이용한 일회용 패스워드 기반 사용자 인증 방법
JP4334515B2 (ja) サービス提供サーバ、認証サーバ、および認証システム
JP4303952B2 (ja) 多重認証システム、コンピュータプログラムおよび多重認証方法
CN104601532A (zh) 一种登录账户的方法及装置
KR20180037168A (ko) Otp를 이용한 상호 인증 방법 및 시스템
KR101879842B1 (ko) Otp를 이용한 사용자 인증 방법 및 시스템

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant