一种安全身份验证方法和设备的制造方法
【技术领域】
[0001]本申请公开了一种安全身份验证方法和设备。
【背景技术】
[0002]通过手机进行身份等敏感信息的验证,可以方便快捷的确认用户身份,因而被广泛应于各种互联网应用中。但是若发生手机被盗、手机被植入木马、黑客攻击、手机号码被克隆、短信验证被拦截等安全问题时,目前常见的验证方法很难分辨出请求的验证信息是否真来自真正的所有者,而非不法分子,导致用户资金安全、个人信息泄露等安全隐患。
[0003]现有技术中验证客户端,是基于手机号来实现的,仅仅验证手机号码的正确性。
[0004]而现有技术中基于手机号来验证客户端存在一些安全隐患:在现有技术中当进行手机绑定时,需要人工输入手机号码,同时校验码也需要手工输入,容易导致输入错误,影响用户体验;且是通过短信明文的方式发送验证码,安全性、可靠性和即时性不能保证,而且服务提供商的运营成本较高;此外,由于用户注册时仅仅只是绑定手机号码,这样很容易由于手机号码泄漏,手机被盗或是手机号码被克隆,而导致基于手机号码的安全验证存在安全漏洞。
【发明内容】
[0005]本申请提供了一种安全身份验证方法和设备,用以防止手机被盗、手机号码被非法使用或克隆导致的安全隐患,保证进行身份验证时的安全性和可靠性,同时提高用户的体验。
[0006]本申请公开了一种安全身份验证方法,包括:
[0007]服务器接收用户的验证信息,所述验证消息包括用户的手机号,以及安全信息;
[0008]判断所述验证信息是否与预先存储的用户的绑定信息一致,对所述用户进行验证,所述预先存储的用户的绑定信息包括用户绑定的手机号以及安全信息。
[0009]其中,所述预先存储的用户的绑定信息,具体通过以下步骤获得:
[0010]所述服务器接收用户发送的安全绑定信息,所述安全绑定信息包括手机号和安全信息;
[0011]将所述安全绑定信息中手机号和安全信息作为绑定信息存储起来。
[0012]优选的,所述服务器接收用户发送的安全绑定信息,包括:
[0013]所述服务器确定用户进行安全绑定时,生成二维码;
[0014]所述服务器接收所述用户通过手机客户端扫描所述二维码后生成的安全绑定信肩、O
[0015]其中,所述安全信息包括:国际移动设置识别码MEI和国际移动用户识别码IMSI。
[0016]其中所述服务器接收用户的验证信息之前,还包括:
[0017]所述服务器接收到用户发送的用户身份验证请求时,向所述用户发送发送验证信息的验证发送请求;
[0018]所述服务器接收用户基于所述验证发送请求发送的验证信息。
[0019]优选的,所述验证发送请求具体为二维码;
[0020]所述用户通过手机客户端扫描二维码的方式,向所述服务器发送验证消息。
[0021]其中,所述用户通过手机客户端或个人计算机PC访问服务器;
[0022]所述服务器对所述用户进行验证之后,还包括:
[0023]当用户通过手机客户端访问服务器时,所述服务器将验证结果通过手机客户端通知给用户,并对所述手机客户端授权;
[0024]当用户通过个人计算机PC访问服务器时,所述服务器将验证结果通过PC通知给用户,并对所述PC授权。
[0025]本申请还公开了一种安全身份验证设备,包括:
[0026]第一接收模块,用于接收用户的验证信息,所述验证消息包括用户的手机号,以及安全信息;
[0027]判断模块,用于判断所述验证信息是否与预先存储的用户的绑定信息一致,对所述用户进行验证,所述预先存储的用户的绑定信息包括用户绑定的手机号以及安全信息。
[0028]其中,安全身份验证设备还包括:
[0029]第二接收模块,用于接收用户发送的安全绑定信息,所述安全绑定信息包括手机号和安全信息;
[0030]存储模块,用于将所述安全绑定信息中手机号和安全信息作为绑定信息存储起来。
[0031]优选的,所述安全信息包括:国际移动设置识别码頂EI和国际移动用户识别码IMSI。
[0032]优选的,所述第二接收模块,包括:
[0033]二维码生成模块,用于当确定用户进行安全绑定时,生成二维码;
[0034]第二接收子模块,用于接收所述用户通过手机客户端扫描所述二维码后生成的安全绑定信息。
[0035]其中,安全身份验证设备,还包括:
[0036]发送模块,用于在接收到用户发送的用户身份验证请求时,向所述用户发送发送验证信息的验证发送请求;
[0037]接收模块,用于用户基于所述验证发送请求发送的验证信息。
[0038]优选的,所述验证发送请求具体为二维码;
[0039]所述用户通过手机客户端扫描二维码的方式,向所述服务器发送验证消息。
[0040]其中,优选的,安全身份验证设备,还包括:
[0041]授权模块,用于当用户通过手机客户端访问服务器时,将验证结果通过手机客户端通知给用户,并对所述手机客户端授权;或
[0042]当用户通过个人计算机PC访问服务器时,将验证结果通过PC通知给用户,并对所述PC授权。
[0043]本申请通过服务器接收用户的验证信息,所述验证消息包括用户的手机号,以及安全信息;判断所述验证信息是否与预先存储的用户的绑定信息一致,对所述用户进行验证,以此可以有效防止手机被盗、手机号码被非法使用或克隆导致的安全隐患,提高身份验证的安全性和可靠性,同时提高用户的体验。
【附图说明】
[0044]图1为本申请实施例中的一种安全身份验证方法流程结构示意图;
[0045]图2为本申请实施例中的一种安全身份验证设备结构示意图。
【具体实施方式】
[0046]本申请的目的是提供一种安全身份验证方法,用以防止手机被盗、手机号码被非法使用或克隆导致的安全隐患,提高身份验证的安全性和可靠性。
[0047]为达到以上技术目的,如图1所示,本申请提供了一种安全身份验证方法,应用于用户注册、密码保护场景下,要求与手机绑定的情况(例如注册手机支付工具时、以及密码安全问题设置时),以及需要对用户身份进行验证的场景(例如:手机支付、网上支付等情况),具体包括以下步骤:
[0048]步骤101、服务器接收用户的验证信息,所述验证消息包括用户的手机号,以及安全信息;
[0049]其中,所述安全信息具体可包括:国际移动设置识别码IMEI和国际移动用户识别码MSI,当然该安全信息还可以根据需要进行调整,可以是根据需要进行验证的其他信息,并不仅限于MEI以及頂SI,只要能完成对应的验证即可。
[0050]而验证信息的获取可以有多种方法和途径,例如要获取手机号码、MSI和頂EI,以Android平台为例,具体可以通过以下方式来获得:
[0051]IMEI = TelephonyManager.getDeviceld();
[0052]IMSI = TelephonyManager.getSimSerialNumber();
[0053]手机号=TelephonyManager.getLine INumber O ;
[0054]不过需要注意的是,在该Android平台获取的过程中需要设置权限:也即需要设置 android, permiss1n.READ_PH0NE_STATEo
[0055]本申请实施例中,用户可通过手机客户端向服务器发送验证信息,其中的手机号、IMSI和/或頂EI等信息,可由手机客户端自身来获取,并将该些信息发送给服务器。手机客户端可通过用户在其上的操作,或者通过扫描二维码的方式,来向服务器发送验证信息。
[0056]步骤102、判断所述验证信息是否与预先存储的用户的绑定信息一致,对所述用户进行验证,所述预先存储的用户的绑定信息包括用户绑定的手机号以及安全信息;
[0057]其中,所述预先存储的用户的绑定信息,具体可以通过以下步骤获得:
[0058]所述服务器接收用户发送的安全绑定信息,所述安全绑定信息包括手机号和安全信息;将所述安全绑定信息中手机号和安全信息作为绑定信息存储起来。
[0059]具体的,根据需要,该预先存储的用户的绑定信息还可以包括安全绑定信息(包括用户绑定的手机号以及安全信息),预设的用户账户信息,以及该安全绑定信息与预设的用户账户信息之间的对应关系,若存储的信息为这样,在后续的查询过程中不仅可以确定是否被任何用户的账户所绑定,还可以确定是被具体的哪些账户所绑定。
[0060]而所述服务器接收用户发送的安全绑定信息,具体可包括:
[0061]一、当在PC (Personal Computer,个人计算机)端触发安全绑定事件,所述服务器确定用户进行安全绑定时,生成二维码;所述服务器接收所述用户通过手机客户端扫描所述二维码后生成的安全绑定信息。
[0062]其中,所述二维码的生成,具体可包括:确定需要传递的信息和二维码验证信息;其中该二维码验证信息包括:验证码、时间戳、功能码;对所述需要传递的信息和该二维码验证信息按照 ASCII (American Standard Code for Informat1n Interchange,美国信息交换标准代码)码进行排序;并在排序后进行加密,得到加密后的信息;使用QR(QuickResponse,快速反应)算法,同时基于所述加密后的信息生成二维码,这样,不需要手工输入相关验证的信息,大大提高了用户体验,同时也可以提高安全性。
[0063]二、当在手机客户端触发安全绑定事件时,所述服务器接收到所述手机客户端主动发送所述安全绑定信息。
[0064]其中,不管是通过扫描二维码还是直接发送的方式来传输安全绑定信息,也都可以对该安全绑定信息进行加密传输,以避免明文发送所带来的安全隐患,提高安全性;其中具体的加密的方式可包括:将需要加密的信息排序后,采用对称(Data Encrypt1nStandard, DES)或非对称(Message-Digest Algorithm5, MD5)的方法进行加密。
[0065]此外,在服务器接收用户发送的安全绑定信息之后,服务器会判断所述安全绑定信息是否被任何用户的账户绑定;
[0066]若判断结果为否,所述服务器将所述