专利名称:一种基于即时通信的帐号安全管理系统及方法
技术领域:
本发明涉及互联网即时通信领域,具体来说,涉及一种基于即时通信的帐号安全管理系统及方法。
背景技术:
网络即时通信(Instant messenger,IM)工具可以用来交流、娱乐及获取资讯,其发展到现在,已经被越来越多的网民所接受与认可,渐渐成为广大网民生活中不可缺少的一部分。即时通信工具不但广泛的应用在用户的娱乐休闲生活中,而且也逐渐应用在广大用户的工作生活中。
随着即时通信用户数量的迅速增长,即时通信工具的安全问题也日益严重,并引起大众的高度重视。其中,通过即时通信工具传播病毒、用户帐号被盗等安全事故屡见不鲜。帐号被盗不仅影响了被盗用户的基本的即时通信,严重时,还会造成出现用户丢失虚拟财产,或用户的个人隐私被泄露等问题。
现有的即时通信工具一般提供诸如“密码保护系统”、“密码申诉系统”等服务给用户用来找回被盗或遗失的帐号。当用户在注册帐号时,需要填写密码提示问题和答案,以便当用户忘记密码时,通过回答密码提示问题和答案找回密码。
但是由于“密码保护资料”填写率低,容易忘记;且用户在填写密码提示问题和答案时,都是明文传输,很容易被木马明文截获;只允许用户填写一个问题和答案,不能够根据安全等级的强弱来决定了需回答的问题的数量和深度;故有时很难找回被盗或遗失的帐号。
而“密码申诉”存在证实率低等自身缺陷从而造成用户申诉门槛高,申诉成功的几率比较低。
而且由于现有的技术中,帐号本身和拥有者身份绑定性差、一个密码对应多项业务,使盗号者容易将被盗帐号易主,更容易加大被盗者的损失。
发明内容
本发明所要解决的技术问题在于,为克服现有技术的上述缺点,提供一种涉及一种基于即时通信的帐号安全管理系统及方法。
本发明为解决其技术问题所采用的技术方案为提供一种基于即时通信的帐号安全管理系统,包括有客户端、处理服务器及数据库服务器,所述处理服务器至少包括有登记模块及验证模块,所述登记模块用于接收来自客户端的帐号的强绑定信息的登记,并将该登记的强绑定信息传送给数据库服务器;数据库服务器中存储有与来自登记模块的每一帐号的所对应的强绑定信息,验证模块在接受客户端的业务请求时,调用该业务请求对应等级的强绑定信息,生成验证信息发送给客户端,以验证客户端使用者身份的合法性;该调用的强绑定信息在数据库服务器、处理服务器、客户端之间以图片的形式传递。
在本发明的基于即时通信的帐号安全管理系统中,所述登记模块传送给将数据库服务器的所述登记的强绑定信息为加密的数据。
在本发明的基于即时通信的帐号安全管理系统中,所述的数据库服务器中的强绑定信息包括每一帐号所对应的密码、帐号所有者选择的问题及答案、及与安全等级的对应关系。
在本发明的基于即时通信的帐号安全管理系统中,当客户端的验证答案与强绑定信息不符时,所述验证模块增加安全等级,对客户端再次验证。
本发明还提供了一种基于即时通信的帐号安全管理的方法,包括(a)客户端向处理服务器登记其帐号所对应的强绑定信息,处理服务器将该登记的强绑定信息发送给数据库服务器;(b)处理服务器接收来自客户端的业务请求;(c)处理服务器调用存储于数据库服务器中对应于该客户端帐号的强绑定信息,并根据业务请求的安全等级,生成验证信息;(d)处理服务器将该验证信息传送给客户端,并接收来自客户端的验证答案;(e)处理服务器根据该验证答案,判断是否接收该客户端的业务请求。
在本发明的基于即时通信的帐号安全管理的方法中,所述步骤(a)进一步包括,处理服务器将所述客户端登记的强绑定信息进行加密的步骤。
在本发明的基于即时通信的帐号安全管理的方法中,所述的数据库服务器中的强绑定信息包括每一帐号所对应的密码、帐号所有者选择的问题及答案、及与安全等级的对应关系。
在本发明的基于即时通信的帐号安全管理的方法中,所述步骤(c)进一步包括(c1)验证模块向数据库服务器中获取该帐号把对应的强绑定信息,所述强绑定信息中包括有登记的问题、正确答案及备选答案,该强绑定信息为图片形式;(c2)验证模块根据客户端所请求的业务所对应的安全等级,随机选择对应于该安全等级的预定数量的问题、正确答案及备先答案,生成图片形式的验证信息。
在本发明的基于即时通信的帐号安全管理的方法中,所述步骤(e)进一步包括(e1)判断来自客户端的验证答案与该帐号中预登记的强绑定信息中的答案是否相同;(e2)如果步骤(e1)中两者相同,则表示该客户端为合法用户,接收该业务请求;(e3)如果步骤(e1)中两者不同,则验证模块增加安全等级,随机选择对应于该增加的安全等级的预定数量的问题、正确答案及备先答案,生成图片形式的验证信息,并转入步骤(d)。
在本发明的基于即时通信的帐号安全管理的方法中,所述业务请求至少包括有请求修改该帐号所对应的密码。
实施本发明的基于即时通信的帐号安全管理的系统及方法,具有如下有益效果通过每一即时通信帐号所对应的强绑定信息的设定,且在验证流程中,验证信息由处理服务器随机生成,并与业务请求的安全等级相关联,这样,提高了盗号者修改被盗帐号密码或敏感信息的门槛;同时,因为在验证时的问题中,包含了正确的答案,降低用户找回密码时的记忆门槛;且所有强绑定信息以加密或图片形式传输的,验证信息为图片传输,不是明文传输,可以确保验证信息不会被木马程序所截获。
图1是本发明的基于即时通信的帐号安全管理系统的示意图;图2是本发明的基于即时通信的帐号安全管理方法的流程用例示意图。
具体实施例方式
本发明提出一种基于即时通信的帐号安全管理系统及方法。将即时通信帐号与该帐号的拥有者密切相关的信息强绑定起来,以便在使用者修改帐号密码、或对其他敏感信息进行操作时对该帐号使用者的身份进行验证。
如图1所示,是本发明中基于即时通信的帐号安全管理系统的示意图。从中可以看出,该系统主要包括有数据库服务器3、处理服务器2及多个客户端1(图中只画出一个)。其中,客户端1通过网络与处理服务器2连接,客户端1上安装有即时通信工具的客户端软件。使用者可以藉之实现帐号申请、即时通信服务(如聊天游戏等)、帐号取回与申诉等功能。此处,处理服务器2至少包括有用于接收登记的登记模块20,用于接收来自客户端1的帐号的强绑定信息的登记,所述强绑定信息包括每一帐号所对应的密码、帐号所有者选择的问题及答案、及与安全等级的对应关系等等。处理服务器2至少还包括有验证模块21,验证模块21在接受客户端1的业务请求时,调用该业务请求对应等级的强绑定信息,生成验证信息发送给客户端1,以验证客户端1使用者身份的合法性;例如,其于可以用于接受使用者对帐号密码的修改请求、帐号取回与申诉请求,当客户端1的验证答案与强绑定信息不符时,所述验证模块21增加安全等级,对客户端1再次验证;在验证该使用者请求的合法性之后,将合法用户的请求传给登记模块20更动相应资料或获取相应资料,或直接拒绝该业务请求。数据库服务器3包含(或连接有)强绑定信息数据库,其中存储有与每一帐号相对应的用户的强绑定信息。所述数据库服务器3与处理服务器2之间的数据均是经过加密的数据或是图片形式的数据。且数据库服务器3可以将用户所申请成功的帐号分发给客户端1。
如图2所示,是本发明的基于即时通信的帐号安全管理方法的流程用例示意图。其包括登记和验证的步骤。
在登记步骤中,当新用户进行帐号申请,或者未登记强绑定信息的老用户使用该帐号时,处理服务器2均会要求他们进行强绑定信息登记;当新用户申请帐号时,处理服务器2会在申请帐号过程中要求该用户主动填写其强绑定信息。当未曾登记过强绑定信息的老用户登录后,处理服务器2也会通过安全警告的形式来提醒用户登记强绑定信息(即补充登记),此时进入登记流程(步骤S20)。
强绑定信息中包括有与帐号用户自身密切相关的问题与答案,例如,年龄、身高、最喜欢的事物、籍贯、毕业学校等等。在步骤S21中,当用户进入帐号强绑定信息登记流程后,处理服务器2首先会通过两种方式向用户收集这些问题。一种方式是由处理服务器2默认给出的固定数量的问题,这些问题是以图片方式从数据库服务器3获得的,这样可以确保在传输过程中不会轻易被木马截获。第二种方式是问题本身是由帐号拥有者根据自身情况给出的。如果用户认为处理服务器2默认给出的问题不易回答或不容易记忆时,就可以自己设定隐私问题,并给出答案。当拥有者设定好问题和答案后,在步骤S22中进行答案提交,且处理服务器2会将该问题和答案进行加密,并传输给数据库服务器3。在步骤S23中,数据库服务器3保存这些强绑定信息。
当一个强绑定信息被处理服务器2成功接收后,它将成为今后该用户操作敏感数据唯一的身份验证依据。在验证步骤中,当处理服务器2接收到来自客户端1(此时帐号用户不一定是合法用户)所发送业务请求(诸如,修改帐号密码请求、进行网上支付请求或对其他的该帐号敏感数据进行操作的请求)时,处理服务器2就会进入验证流程(步骤S24),需要验证该用户的合法性,对该用户事先登记的强绑定信息进行验证。
验证模块21向数据库服务器3中获取该帐号把对应的强绑定信息,即所存储的问题和答案,该存储的问题和答案以图片的形式传输给验证模块21。数据库服务器3根据该帐号所对应的问题的正确答案生成若干备选答案,所述备选答案与正确答案非常接近,会起到一定干扰作用。
随后,在步骤S25中,处理服务器2会根据客户端1所请求的业务的所对应的安全等级,随机选择对应于该安全等级的预定数量的问题、正确答案及备选答案,生成图片形式的验证信息。并将该验证信息发送给客户端1。其中,图片形式的传输和随机的显示顺序是保证问题和答案不会轻易被木马截获的关键。其中,该安全等级对应于客户端1的业务请求潜在的可能给帐号拥有者带来损失的程度来划分的。譬如,若使用者试图更改帐号密码,将可能会被系统判定为安全等级最强,则处理服务器2会对使用者询问登记过的所有问题;若使用者的操作被判定为等级较弱,则处理服务器2可能只询问较少的几条问题。
在步骤S26中,客户端1根据所接收到的验证信息中的问题进行回答,并将验证答案提交给处理服务器2。在步骤S27中,处理服务器2的验证模块21根据来自数据库服务器3中的正确答案判断该来自客户端1的验证答案是否正确;如果正确,则接收客户端1的业务请求。并根据业务请求的类型,将该业务请求发送给登记模块20或数据库服务器3。例如,当客户端1的业务请求为修改密码的请求,则该验证模块21将客户端1的修改密码请求发送给登记模块20,进行密码修改的流程。
如果来自客户端1的验证答案不正确。则验证模块21提高安全等级,重新随机选择更多的问题和答案(及备选项),生成图片形式的验证信息发送给客户端1。重复上述流程。在完成预定次数验证后,如果来自客户端1的验证答案仍然是错误的,则处理服务器2的验证模块21认为该用户为非法用户,拒绝该次业务请求。
在本发明中,通过将某一即时通信帐号与其拥用者密切相关的信息进行强绑定。当帐号使用者进行密码或敏感信息修改时对使用者的身份进行验证,以保证帐号安全性,避免非法用户的使用。
在本发明中,所有强绑定信息中的所有问题和答案(包括备选答案)都是以图片形式传输的;且在验证流程中,需要回答的问题是被处理服务器随机选中的,问题和备选答案的显示顺序也是随机生成的;且处理服务器会根据客户端的业务请求划分安全等级。安全等级的强弱,决定了需回答的问题的数量和深度也不同。
这样,因为帐号和拥有者身份强绑定,提高了盗号者修改被盗帐号密码或敏感信息的门槛;同时,因为在验证时的问题中,包含了正确的答案,降低用户找回密码时的记忆门槛;因为申请信息是通过加密或图片传输,验证信息为图片传输,不是明文传输,确保验证信息不会被木马程序所截获。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种基于即时通信的帐号安全管理系统,包括有客户端、处理服务器及数据库服务器,其特征在于所述处理服务器至少包括有登记模块及验证模块,所述登记模块用于接收来自客户端的帐号的强绑定信息的登记,并将该登记的强绑定信息传送给数据库服务器;数据库服务器中存储有与来自登记模块的每一帐号的所对应的强绑定信息,验证模块在接受客户端的业务请求时,调用该业务请求对应等级的强绑定信息,生成验证信息发送给客户端,以验证客户端使用者身份的合法性;该调用的强绑定信息在数据库服务器、处理服务器、客户端之间以图片的形式传递。
2.如权利要求1所述的基于即时通信的帐号安全管理系统,其特征在于,所述登记模块传送给将数据库服务器的所述登记的强绑定信息为加密的数据。
3.如权利要求1或2所述的基于即时通信的帐号安全管理系统,其特征在于,所述的数据库服务器中的强绑定信息包括每一帐号所对应的密码、帐号所有者选择的问题及答案、及与安全等级的对应关系。
4.如权利要求3所述的基于即时通信的帐号安全管理系统,其特征在于,当客户端的验证答案与强绑定信息不符时,所述验证模块增加安全等级,对客户端再次验证。
5.一种基于即时通信的帐号安全管理的方法,其特征在于,包括(a)客户端向处理服务器登记其帐号所对应的强绑定信息,处理服务器将该登记的强绑定信息发送给数据库服务器;(b)处理服务器接收来自客户端的业务请求;(c)处理服务器调用存储于数据库服务器中对应于该客户端帐号的强绑定信息,并根据业务请求的安全等级,生成验证信息;(d)处理服务器将该验证信息传送给客户端,并接收来自客户端的验证答案;(e)处理服务器根据该验证答案,判断是否接收该客户端的业务请求。
6.如权利要求5所述的基于即时通信的帐号安全管理的方法,其特征在于,所述步骤(a)进一步包括,处理服务器将所述客户端登记的强绑定信息进行加密的步骤。
7.如权利要求5所述的基于即时通信的帐号安全管理的方法,其特征在于,所述的数据库服务器中的强绑定信息包括每一帐号所对应的密码、帐号所有者选择的问题及答案、及与安全等级的对应关系。
8.如权利要求7所述的基于即时通信帐号安全管理的方法,其特征在于,所述步骤(c)进一步包括(c1)验证模块向数据库服务器中获取与该帐号对应的强绑定信息,所述强绑定信息中包括有登记的问题、正确答案及备选答案,该强绑定信息为图片形式;(c2)验证模块根据客户端所请求的业务所对应的安全等级,随机选择对应于该安全等级的预定数量的问题、正确答案及备选答案,生成图片形式的验证信息。
9.如权利要求8所述的基于即时通信帐号安全管理的方法,其特征在于,所述步骤(e)进一步包括(e1)判断来自客户端的验证答案与该帐号中预登记的强绑定信息中的答案是否相同;(e2)如果步骤(e1)中两者相同,则表示该客户端为合法用户,接收该业务请求;(e3)如果步骤(e1)中两者不同,则验证模块增加安全等级,随机选择对应于该增加的安全等级的预定数量的问题、正确答案及备先答案,生成图片形式的验证信息,并转入步骤(d)。
10.如权利要求5-9任一项所述的基于即时通信帐号安全管理的方法,其特征在于,所述业务请求至少包括有请求修改该帐号所对应的密码。
全文摘要
本发明公开了一种基于即时通信的帐号安全管理系统,包括有客户端、处理服务器及数据库服务器,所述处理服务器至少包括有登记模块及验证模块,所述登记模块用于接收来自客户端的帐号的强绑定信息的登记,并将该登记的强绑定信息传送给数据库服务器;数据库服务器中存储有与来自登记模块的每一帐号的所对应的强绑定信息,验证模块在接受客户端的业务请求时,调用该业务请求对应等级的强绑定信息,生成验证信息发送给客户端,以验证客户端使用者身份的合法性。本发明还提供了一种基于即时通信的帐号安全管理方法。本发明提高盗号者修改被盗帐号密码或敏感信息的门槛;同时,帐号拥有者更容易找回密码,验证信息不易被截获,安全性强。
文档编号H04L29/06GK101035116SQ200610034329
公开日2007年9月12日 申请日期2006年3月10日 优先权日2006年3月10日
发明者刘照, 王凡, 邵小波 申请人:腾讯科技(深圳)有限公司