专利名称:一种保护帐号密码安全的方法
技术领域:
本发明涉及短信传输和计算机数据库相结合的操作运用技术,具体为一种保护帐号密码安全的方法。
背景技术:
目前,公知的帐号密码保护主要有以下三种方式第一种,静态密码认证技术,其用用户的“帐号名”和“密码”来认证和识别用户的合法性,其主要特点是用一个固定的密码去激活一个特定的帐号,但由于密码和帐号作为软性标识,静态不变,且在网络中传输,存在许多弊端和安全漏洞,针对它的破解技术在不断发展,产生了许多可以盗取帐号密码的工具和方法,例如采用窃取、破译、偷窥、骗取等,此外对用户创建、记忆、修改口令的要求较高,口令设定太简单容易被破解,设得太复杂,就容易被遗忘;第二种,动态密码认证技术,其包括用户的口令卡、认证服务器和管理工作站组成。管理工作站负责用户的注册、初始化、生成和发放密码卡、信息修改、卡的注销等。这种认证系统为每个用户配一块“动态口令卡”(即令牌)。口令卡中的专用芯片和服务器从同样的时间开始,依据相同的安全算法,每分钟生成一个口令,口令卡上的口令用一个液晶窗口显示出来。用户登陆时,输入卡上显示的口令,由认证服务器进行比较认证,由于时间同步,口令卡和服务器生成的口令完全相同,所以能登录系统。由于口令随时间动态变化的,任何人没有口令卡就不可能知道口令,因此这种口令技术比静态口令安全得多,其优点是不怕窃听、不怕偷窥,不怕木马、破解,也不需记忆,体积小,便于携带,本技术的缺陷使用成本高,容易丢失,容易损坏,可靠性较低,口令生成全靠时间同步,如果用户端和服务器端之间的时差很大,口令卡就会失效导致用户无法登陆系统;第三种,USB Key认证即ePass密码锁ePass密码锁采用的是国际先进的USB技术和算法加密认证技术,其硬件包括CPU、安全存储器及运行在其上的智能微系统,只要把用户的帐户和密码信息以密钥形式存入防盗锁中,在使用过程中密钥信息永不出锁,实现真正意义上的保护。这是因为用于身份认证的帐户信息和密钥是设定为不可直接读取,外部应用只能送入计算所用的输入因子,而整个计算过程完全在ePass网游防盗锁内的CPU完成,只将计算的结果传到外部应用,这样密钥就绝对不可能被外部的黑客程序侦听到,并且密钥的计算是不可逆算法,也无法通过计算结构倒推出密钥的值,而传到ePass网游防盗锁外部的计算结果也会随着每次输入数据的不同而变化,即使记录每次认证将计算的值也无法达到冒用身份的目的,其优点和缺点分别与“动态口令卡”相同。
发明内容针对上述几种密码保护技术的不足之处,本发明提供了一种保护帐号密码安全的方法,系统的可靠性高,验证码信息传送保密度高,不怕破解,也无需配备专用认证服务器和管理工作站,系统成本减少,用户能够承担。
其技术方案是这样的其特征在于其包括以下步骤a、注册用户需向注册认证服务器系统提交用户的帐号名以及手机号码,系统将用户的帐号名和手机号码相互绑定;b、登录请求用户以手机短信的形式通过短信网关向系统短信平台提交自己的帐号名,并向系统注明是否有时间的限制;c、服务器认证系统短信平台在接受到用户的登陆请求后提取用户短信中的帐号名及用户的手机号码,并转送到系统认证服务器,认证服务器收到帐号名和用户手机号码后在系统认证服务器的数据库中对其进行检索,如果用户登陆请求中的帐号名和手机号码与认证服务器内部信息相符,则验证通过,系统认证服务器临时生成一组随机字符串作为此用户的登录验证码,如果帐号名和手机号码与系统内部绑定信息不符,则通过系统短信平台提示用户登录失败;d、发送验证码所述c步骤验证通过后,由系统短信平台将c步骤产生的验证码以短信的方式通过短信网关传输到该用户手机,同时这组验证码被保存在认证服务器的验证表中;e、用户登陆用户收到d步骤发送的验证码后,在系统客户端登录,登录时将验证码和静态密码在系统的客户端输入;如果请求登录时提出限制时间的请求,则必须在系统规定的时间内登录,否则验证码失效;
f、服务器认证认证服务器端对用户输入的密码和验证码进行有效性验证,对用户输入的密码与验证码与保存在认证服务器中的信息进行对比验证其是否合法,如果验证通过,用户可以成功登录,当用户登录成功后,系统认证服务器验证表中的随机验证码信息即时失效,如果验证失败,则通过系统短信平台提示用户登录失败;g、当用户再次需要登陆系统时,需重复b、c、d、e、f步骤。
本发明方法中验证码采取动态随机生成,以短信的形式发送用户,再由用户在客户端输入,这样采用双通道传送、双密码(动态随机密码、静态密码)认证,认证强度增强,能够抵抗现行的攻击手段,而验证码临时生成,临时使用,用完自动清除,不依赖于任何同步因素,系统的可靠性较高,而系统也无需配备专用认证服务器和管理工作站,只要在认证服务器内加入一段生成随机代码的程序即可,系统的成本较低,从而可以避免现有口令技术的不足之处。
图1为本发明中人机对话的流程图。
具体实施方式
下面结合附图描述采用本发明方法的操作过程用户需向注册认证服务器系统提交用户的帐号名以及手机号码,系统将用户的帐号名和手机号码相互绑定;需登录时用户以手机短信的形式通过短信网关向系统短信平台提交自己的帐号名,并向系统注明是否有时间的限制;系统短信平台在接受到用户的登陆请求后提取用户短信中的帐号名及用户的手机号码,并转送到系统认证服务器,认证服务器收到帐号名和用户手机号码后在系统认证服务器的数据库中对其进行检索,如果用户登陆请求中的帐号名和手机号码与认证服务器内部信息相符,则验证通过,系统认证服务器临时生成一组随机字符串作为此用户的登录验证码,验证码以短信的方式通过短信网关传输到该用户手机,同时这组验证码被保存在认证服务器的验证表中;如果帐号名和手机号码与系统内部绑定信息不符,则通过系统短信平台提示用户登录失败;用户收到验证码后,在系统客户端登录,登录时将验证码和静态密码在系统的客户端输入;如果请求登录时提出限制时间的请求,则必须在系统规定的时间内登录,否则验证码失效;认证服务器端对用户输入的密码和验证码进行有效性验证,对用户输入的密码与验证码与保存在认证服务器中的信息进行对比验证其是否合法,如果验证通过,用户可以成功登录,当用户登录成功后,系统认证服务器验证表中的随机验证码信息即时失效,如果验证失败,则通过系统短信平台提示用户登录失败,当用户再次需要登陆系统时,需重复登录请求的步骤。本方法进行的帐号保护技术完全消除了网络窃听、特洛伊木马攻击、口令文件攻击、服务器假冒攻击、人工攻击等传统隐患,安全强度极高,系统的可靠性提高,用户的负担减轻,与现有的口令技术相比具有明显的优越性。
权利要求
1.一种保护帐号密码安全的方法,其特征在于其包括以下步骤a、注册用户需向注册认证服务器系统提交用户的帐号名以及手机号码,系统将用户的帐号名和手机号码相互绑定;b、登录请求用户以手机短信的形式通过短信网关向系统短信平台提交自己的帐号名,并向系统注明是否有时间的限制;c、服务器认证系统短信平台在接受到用户的登陆请求后提取用户短信中的帐号名及用户的手机号码,并转送到系统认证服务器,认证服务器收到帐号名和用户手机号码后在系统认证服务器的数据库中对其进行检索,如果用户登陆请求中的帐号名和手机号码与认证服务器内部信息相符,则验证通过,系统认证服务器临时生成一组随机字符串作为此用户的登录验证码,如果帐号名和手机号码与系统内部绑定信息不符,则通过系统短信平台提示用户登录失败;d、发送验证码所述c步骤验证通过后,由系统短信平台将c步骤产生的验证码以短信的方式通过短信网关传输到该用户手机,同时这组验证码被保存在认证服务器的验证表中;e、用户登陆用户收到d步骤发送的验证码后,在系统客户端登录,登录时将验证码和静态密码在系统的客户端输入;如果请求登录时提出限制时间的请求,则必须在系统规定的时间内登录,否则验证码失效;f、服务器认证认证服务器端对用户输入的密码和验证码进行有效性验证,对用户输入的密码与验证码与保存在认证服务器中的信息进行对比验证其是否合法,如果验证通过,用户可以成功登录,当用户登录成功后,系统认证服务器验证表中的随机验证码信息即时失效,如果验证失败,则通过系统短信平台提示用户登录失败;g、当用户再次需要登陆系统时,需重复上述b、c、d、e、f步骤。
全文摘要
本发明为一种保护帐号密码安全的方法。系统的可靠性高,验证码信息传送保密度高,不怕被破解,也无需配备专用认证服务器和管理工作站,系统成本较少,用户能够承担。其包括以下步骤注册,用户需向注册认证服务器系统提交用户的帐号名以及手机号码,系统将用户的帐号名和手机号码相互绑定;登录请求;服务器认证;发送验证码;用户登陆;服务器认证。
文档编号H04L9/14GK1832401SQ20061003974
公开日2006年9月13日 申请日期2006年4月6日 优先权日2006年4月6日
发明者陈珂 申请人:陈珂