专利名称:一种网上在线令牌的互联网用户帐号密码保护方法
技术领域:
本发明涉及到互联网中需要输入用户帐号密码的各种服务,可以有效地防止用户帐号密码被盗取。
背景技术:
目前在保护互联网用户帐号密码常见的有RSA信息安全公司(Nasdaq: RSAS)和DynamiCode公司联合 推出(美国专利号4885778, 5097505, 5168520, 5657388)的双因素认证技术物理实体令牌,此物理实体 令牌会和用户的具体业务(如网上个人银行)帐号绑定,该令牌每60秒就能产生一个新的和独特的一次 性密码。该方法的最大优势是将需要用户帐号密码的业务终端和产生独特的一次性密码的终端有效分离, 使攻击老无法将两者的信息联系在一起,从而避免黑客的攻击。该方法存在的缺点是, 一是物理实体令牌 的成本问题,二是用户携带和使用不方便,当一个用户有多个业务绑定不同的令牌,该用户就需要携带多 个对应业务的物理实体令牌。
同时RSA信息安全公司还推出了软件令牌,该软件令牌可以安装在掌上型设备中,免去用户携带多余 设备的不H性。缺点是用户需要标准热同步过程安装该掌上型设备对应的应用软件,将种子记录在存贮在 掌上型设备中,当种子记录被删除或篡改,需重新安装这一过程,只有在正确安装了该应用软件和种子记 录的设备中才可以使用。
发明内容
本发明的目的是为了解决在不使用物理实体令牌的前提下,通过网上在线令牌实现和物理实体令牌相 同的互联网用户账号密码保护效果。
本发明的目的是通过如下步骤来达到
1、 用户通过登录互联网服务提供商提供的服务器进行注册,或通过电话注册,或到营业厅注册网上 在线令牌账号,注册的具体形式可以是用户名加密码的形式,同时将该网上在线令牌账号与该互联网服务 提供商提供的需保护的用户登录帐号服务器上该用户的账号(如网上个人银行账号)绑定。
2、 用户每次在登录互联网服务提供商提供的需保护的帐号服务器(如网上个人银行服务器)时,用 户先通过一个客户终端设备登录到互联网服务提供商提供的网上在线令牌服务器,获得一个新的、独特的、 有一定时效的一次性密码或和密码有相同功能的声音、图像、视频,将该一次性密码输入到互联网服务提 供商提供的需保护的帐号服务器(如网上个人银行服务)中,输入密码的方式可以是需保护的帐号服务器 用户账号的固定密码加一次性密码的组合方式或独立的一次性密码方式。
3、 网上在线令牌服务器的具体实现的方案不在本发明权利要求中。现提供一种可行方案,当网上在 线令牌服务器收到的是某用户登录请求时,首先通过后台注册数据库验证该用户输入的用户名和密码是否 合法,如果合法,则以该用户绑定的需保护的帐号服务器账号(如网上个人银行账号)作为关键索引值, 构建一个数据节点,该数据节点包括随机生成的指定长度的一次性密码,和该一次性密码有效时间剩余值, 将该节点插入到当前处于激活状态的关键索引数据节点列表中,同时将一次性密码和该一次性密码有效时 间剩余值通过WEB(World wide web)或WAP(Wireless Application Protocol)或电子邮件或其他互联网方式发送 给用户。服务器会定时更新所有处于激活状态的关键数据节点中的一次性密码有效时间剩余值,当某一数 据节点的有效时间剩余值减到零时,则将该数据节点从整个激活状态的数据节点列表中删除。当网上在线 令牌服务器收到的是需保护的帐号服务器(如网上个人银行服务器)请求时,通过提交的账号在当前处于 激活状态的关键索引数据节点列表中查询,如果不存在则返回错误消息,如果存在则将该账号对应的一次 性密码返回给需保护的帐号服务器(如网上个人银行服务器)。
4、 互联网服务提供商提供的需保护的帐号服务器(如网上个人银行服务器)验证账户合法的方案不 在本发明权利要求中。针对步骤3,需保护的帐号服务器(如网上个人银行服务器)可以首先判断该用户
账号是否有网上在线令牌保护,如果有则从网上在线令牌服务器取得该账号对应一次性密码,进行用户合 法性验证。
5、如权利要求6所述,互联网服务提供商提供的网上在线令牌服务器和需保护的帐号服务器(如网 上个人银行服务器)可以是分离的,也可以是同一服务器的不同功能模块,即互联网服务提供商提供的服 务器上包含两种功能,网上在线令的生成和一次性密码的验证。
本发明的优点是-
1、 实现原理简单,开发方便。
2、 使用网上在线令牌,无需物理实体令牌,节约成本,利于推广。
3、 如果互联网服务提供商提供的网上在线令牌服务器是WEB(World wide web)服务器或 WAP(Wireless Application Protocol)服务器时,用户使用的客户终端设备只需接入互联网,装有WEB页 面或WAP (Wireless Application Protocol)页面浏览应用软件就可以登录到网上在线令牌服务器获取一 次性密码,无须安装第三方的应用软件,无须安装种子记录信息,同时用户可以登录不同的互联网服务提 供商提供的网上在线令牌服务器,获取各自的一次性密码。
4、 目前随着掌上型设备无线接入互联网技术和设施的逐步普及和推广,以及该发明自身的易用性和 实用性,可广泛应用于互联网用户各种帐号财产安全的保护。
附图是客户终端和服务器端的交互过程示意图。图中(l)表示客户终端向网上在线令牌服务器发出登 录请求,图中(2)表示网上在线令牌服务器向返回客户终端一次性密码和该密码的有效时长,图中(3)表示 客户终端向需该一次性密码保护的用户登录服务器发出登录请求,图中(4)表示需该一次性密码保护的用 户登录服务器向客户终端返回登录结果。
具体实施例方式
一个示例,网上个人银行系统。首先用户到相应的银行营业厅办理个人银行业务时,注册网上在线令 牌服务器用户账号密码,并将网上在线令牌账号和该用户的银行卡帐号设置绑定。用户在个人电脑上登录 网上个人银行服务时,先用可接入互联网掌上型设备登录银行提供的网上在线令牌WEB (World wide web) 服务器或WAP (Wireless Application Protocol)服务器获得一次性密码。用户在个人电脑登录网上个人 银行服务的界面上,输入银行帐号,输入银行帐号固定密码加一次性密码的组合完成登录验证。
权利要求
1、一种网上在线令牌,其特征是互联网用户通过一个客户终端设备登录到互联网服务提供商提供的网上在线令牌服务器,获得一个新的、独特的、有一定时效的一次性密码或和密码有相同功能的声音、图像、视频,用户使用该一次性密码去登录互联网服务提供商提供的、需该一次性密码保护的用户登录帐号服务器。
2、 根据权利l所述的网上在线令牌,其特征是互联网用户使用的客户终端设备可以是个人电脑,掌 上型设备或其他可接入互联网的终端设备。
3、 根据权利1所述的网上在线令牌,其特征是互联网服务提供商提供的网上在线令牌服务器可以是 WEB(World wide web)月艮务器、WAP(Wireless Application Protocol)服务器、由互联网服务提供商自行开发的 服务器或其他形式的完成同样功能的互联网服务器。
4、 根据权利l所述的网上在线令牌,其特征是互联网服务提供商的提供的网上在线令牌服务器通知 用户一次性密码的方式可以是WEB(World wide web)页面方式、WAP(Wireless Application Protocol)页面方式、电子邮件方式、或其他形式的完成同样功能的互联网在线通知方式。
5、 根据权利1所述的网上在线令牌,其特征是用户查看回返的一次性密码的方式可以是通过 WEB(World wide web)页面浏览软件、WAP(Wireless Application Protocol)页面浏览软件、电子邮件浏览软件、 互联网服务提供商自行开发的客户终端软件或其他形式的完成同样功能的客户终端软件。
6、 根据权利1所述的网上在线令牌,其特征是网上在线令牌服务器与需该一次性密码保护的用户登 录帐号服务器可以是分离的也可以是同一服务器的不同功能模块。
全文摘要
网上在线令牌是一种互联网用户帐号密码安全的新型保护方法,用户通过登录网上在线令牌服务器,获得一个新的、独特的、有一定时效的一次性密码,从而免去物理实体令牌(用于产生一次性密码的物理设备)推广的高成本和用户携带物理实体令牌的不方便性。
文档编号H04L9/32GK101345620SQ20071007585
公开日2009年1月14日 申请日期2007年7月10日 优先权日2007年7月10日
发明者吕秀娥 申请人:吕秀娥