专利名称::短信密码保护矩阵认证方法
技术领域:
:本发明涉及一种采用短信平台发放的短信密码保护矩阵身份认证方法。
背景技术:
:互联网网站传统上是通过账号名与密码进行身份认证,但在计算机病毒、木马泛滥的今天,简单的密码认证形同虚设。最近各大网络银行与大型网游公司开始推行密码保护卡认证方法。这种认证方法可以比较好的防止盗号现象,但却有实物产品的固有缺陷1、产生成本比较高;2、推广与销售困难,无法对偏远地区与国外进行覆盖;3、遗失后挂失麻烦。来电显示是公认的比较有前途的身份认证方法,但已经有公司推出了伪造来电显示的服务,电信运营商也推出了"主叫隐藏"的服务,故仅简单地利用来电显示进行身份认证无法唯一区别合法用户。短信认证也是比较流行的方法,每次使用时生成一次随机的认证码发到用户手机上。但短信接收的延时现象突出,并且企业还要为用户的每一次登录向运营商付费。
发明内容针对目前密码保护卡认证方式的不足,本发明采用短信平台进行密码保护矩阵的发放,克服了实卡的缺陷。并且由于手机用户众多、分布面广,国际短信可以互发,所以在中高端人群中可以比较方便地进行推广。本短信密码保护矩阵的使用分手机号绑定与登录认证,基本歩骤为1、用户在手机号绑定页面输入自定义的短信识别码和超级密码,系统生成与当甜用户账号关联的临时唯一数字串,用户用需绑定的手机发送此数字串到指定服务号码;2、系统提取临时唯一数字串和手机号与当前账号的记录进行比对,正确则将手机号与账号进行绑定;3、系统将所有矩阵坐标随机排列成串,并成生同长度的随机密码串一同保存到数据库中,将密码矩阵加上服务方代码和短信识别码,传化为可阅读的格式发送到用户手机,用户对照服务方代码和短信识别码得出是否信任短信来源;4、用户登录时输入用户名和密码,验证成功后系统从数据库中按次序取相应的坐标序列与坐标数码到会话中。界面提示相应坐标,用户手动输入短信中的数码,由系统将用户输入数码与会话中数码进行比较;5、当剩余坐标序列个数不足以进行下次认证时自动转第3步。本发明的特点为-1、不通过互联网传输密码保护卡,用户电脑中不存储,因此安全性比普通电子密码保护卡高;2、不用每次登录都重新获取,而是在密码矩阵使用完后自动发短信给绑定的用户进行换卡,极大地减少了短信发送数量,减小了服务成本。自动换卡克服了部分用户的惰性;3、针对不同运营商的短信最大字符数的不同,生成相适应的密码矩阵,尽量增加单条短信的有效信息量,以减小发送短信密码保护卡的频率;4、短信中的密码矩阵字符数量少,方便手抄备份;5、密码矩阵的每一个坐标最多只使用一次,黑客无法通过统计得到完整有效的密码矩阵;6、短信中包含服务方代码、用户自定义的短信识别码。企业用任意手机号用户都可以分辨来源的有效性,不受制于运营商;1、图1为短信密码保护矩阵的生成过程图2、图2为短信密码保护矩阵的认证过程图具体实施方案1、服务方将手机或GSM模块用数据线连接到服务器上,用串口编程等技术实现与移动设备通讯,进行短信的收发;2、进行数据库表设计与建表<table>tableseeoriginaldocumentpage5</column></row><table>表格1数据表字段说明3、用户注册后将账号与手机号进行绑定,假设相关值为:<table>tableseeoriginaldocumentpage5</column></row><table>表格2相关假设值4、依据假设,username设定短信识别码为0732,并发送345678到999999,服务方从收到的短信中提取手机号与临时唯一数字串,并将手机号与临时唯一数字串对应的账号进行绑定;5、用户可能会收到以下格式的短信<table>tableseeoriginaldocumentpage5</column></row><table>表格3短信格式示例6、而短信中密码矩阵的大小依据运营商设定的单条短信的最大长度而定。相关计算方法为<table>tableseeoriginaldocumentpage5</column></row><table><table>tableseeoriginaldocumentpage6</column></row><table>7、用户可通过收到短信中的服务方代码来区别是正使用哪个服务方提供的短信密码保护功能,通过短信识别码是否与自己在此服务方设定的识别码一样来区别此条短信是否来自于真实的服务方;8、假设短信中矩阵大小为4*2,表明密码矩阵坐标串长度为8,位置值从0至7。假设每次使用3个坐标,初始位置为O。第一次登录时取第0-2位置的坐标串和数码串,并且位置加3,当第二次时取第3-5位置,发现只有6、7两位置剩余,无法凑足一次认证。故开始生成新的密码矩阵,并发送给用户。即按第2条中定义的ZJ^Z^^256+尸as,当丄ew-尸o^3时需要重新生成矩阵密码。权利要求1、一种采用短信平台发放的短信密码保护矩阵身份认证方法,其步骤包括1-1、用户在手机号绑定页面输入自定义的短信识别码和超级密码,系统生成与当前用户账号关联的临时唯一数字串,用户用需绑定的手机发送此数字串到指定服务号码;1-2、系统提取临时唯一数字串和手机号与当前账号的记录进行比对,正确则将手机号与账号进行绑定;2、如权利要求l所述的方法,其特征在于绑定手机号时用户必须设定一个短信识别码。3、如权利要求1所述的方法,其特征在于用户收到的短息包含服务方代码、短信识别码和密码矩阵。4、如权利要求1所述的方法,其特征在于认证时要求输入的坐标序列次序已经在第一次矩阵生成时就已经确定,在其后的认证过程中依据当前位置标志来向用户输出指定的坐标。5、如权利要求1所述的方法,其特征在于剩余坐标序列个数不足以进行下次认证时自动生成新的密码矩阵并发送给用户。全文摘要一种采用短信平台发放的短信密码保护矩阵身份认证方法。通过短信中的服务方代码与短信识别码区别短信的有效性,通过随机的坐标序列串与位置记录标志辅助进行自动换卡。克服了互联网公司目前密码保护卡方式的高成本、难推广,而短信认证又受电信运营商限制的弊端。相比于密码保护卡认证方式,本方法在理论上更安全可靠。文档编号H04W88/18GK101534484SQ20081008647公开日2009年9月16日申请日期2008年3月14日优先权日2008年3月14日发明者侃伍申请人:侃伍