专利名称:一种认证系统及方法
技术领域:
本发明涉及信息安全技术领域,具体地,涉及一种认证系统及方法。
背景技术:
认证技术对计算机信息系统(如电子邮件、网络游戏、即时通讯与电子商务等)的访问控制是十分重要的。用户需证明自己是该帐户的所有者之后,才能访问该账户所处的系统。目前,有许多身份验证技术应用在现有的信息系统中,如用户名和口令验证、基于PKI/CA的身份验证、以及指纹验证等,具体可参见图la、图2a和图3a。在现有的认证过程 中,存在的突出问题有2个(I)用户名和口令很容易被盗用户名和口令是一种较弱的身份验证方法,攻击者可以利用各种黑客手段(例如暴力猜解、键盘记录木马、SQL注入与社会工程等),破解受害者的口令;一旦口令被破解,攻击者将得到受害人在计算机信息系统中的一切权限;(2)PKI/CA复杂、且难于使用证书的承载有很多种类型,如USB key与IC卡等,但它们不容易使用;因为,在用户侧,用户必须安装特定的软件,并学习如何使用硬件和软件;在服务提供商侧,服务提供者必须购买许多昂贵的服务器,部署PKI/CA系统,并建立一套复杂的业务程序。目前,常见的基本身份验证方法有3种(1)你知道什么(用户名和口令等),(2)你有什么(你的USB key、IC卡、射频卡、动态口令令牌与手机等),(3)你是什么(你的指纹、掌纹、声纹与视网膜等)。另外,有许多基于上述基本方法及其组合而产生的解决方案。例如(I) 一次性动态口令令牌和用户名口令组合在一些计算机信息系统的登录过程中,用户必须同时正确地输入一次性动态口令和用户名口令。虽然攻击者可能通过技术手段破解或者窃取用户名口令,但是物理上窃取动态口令令牌是很困难的,也就不知道当前生效的一次性动态口令,也就无法登录该计算机信息系统。这是一个很好的解决方案,但也有一些不便,例如用户必须付出额外的金钱购买一个动态口令令牌,计算机信息系统的维护者必须购买昂贵的硬件和软件用于生成和维护动态口令,等等。(2) 一次性动态短消息口令和用户名口令组合在一些计算机信息系统的登录过程中,用户需要遵守下列程序登录系统首先,发起一个获取新的一次性动态短消息口令的要求,OA系统将动态口令发送到用户的手机上;其次,用户输入该动态口令;最后,用户输入用户名和口令登录系统。在该解决方案中,用户不需要购买额外的东西。但问题是,计算机信息系统的管理者需要承担每一次的短消息发送费。综上所述,在实现本发明的过程中,发明人发现现有技术中至少存在安全性弱、配置复杂、使用不方便与成本高等缺陷。
发明内容
本发明的目的在于,针对上述问题,提出一种认证系统,以实现安全性强、配置简单、使用方便与成本低的优点。为实现上述目的,本发明采用的技术方案是一种认证系统,包括在用户侧设有已与用户的用户名、或者用户名和口令绑定,且具有收发短消息功能的移动电话终端;以及,用于认证用户登录合法性的认证界面模块;在服务侧设有用于存储用户通过互联网设定的用户名及口令,以及与所述用户名及口令绑定的电话号码MSISDN的帐号数据库;用于设定时间窗口的时间窗管理模块;以 及短消息接收装置;所述短消息接收装置,用于接收用户通过移动通信网络发送、且包含用户名或者用户名及口令或者任何其他特定内容的短消息,调用帐号数据库中预存的记录,分析比对所述短消息的发送号码与/或内容,并根据所得分析比对结果,当所述短消息合法时激活认证界面模块相应用户的用户名或者用户名及口令、等待用户在预设的时间窗内登录,当所述短消息不合法时继续冻结相应用户的用户名及口令、等待接收用户重新发送的短消息、并进行分析比对及处理。进一步地,在服务侧,还设有计时模块;所述计时模块,用于在激活认证界面模块相应的用户的用户名或者用户名及口令时,进行计时,当预设的时间窗口到达时,通过时间窗管理模块冻结相应用户的用户名及口令。进一步地,所述短消息接收装置包括短消息处理模块,以及与所述短消息处理模块连接的短消息比对分析及处理模块;所述短消息比对分析及处理模块,分别与帐号数据库及认证界面模块连接;所述时间窗管理模块、计时模块与短消息比对分析及处理模块依次连接;其中所述短消息处理模块,用于接收用户通过移动通信网络发送、且包含用户名或者用户名及口令的短消息,还可用于发送类似提示、警示和宣示类的内容;所述短消息比对分析及处理模块,用于调用帐号数据库中预存的信息,分析比对所述短消息的内容,并根据所得分析比对结果,当所述短消息合法时激活认证界面模块相应用户的用户名或者用户名及口令、等待用户在预设的时间窗内登录,当所述短消息不合法时继续冻结相应用户的用户名及口令、等待接收用户重新发送的短消息、并进行分析比对及处理。进一步地,所述短消息比对分析及处理模块,包括短消息内容比对子模块与时间窗激活子模块;所述短消息内容比对子模块,分别与短消息处理模块及帐号数据库连接;所述时间窗激活子模块,分别与认证界面模块、计时模块及帐号数据库连接;其中所述短消息内容比对子模块,用于调用帐号数据库中预存的信息,分析比对所述短消息的内容;所述时间窗激活子模块,用于根据所得分析比对结果,当所述短消息合法时激活认证界面模块相应用户的用户名或者用户名及口令、等待用户在预设的时间窗内登录,当所述短消息不合法时继续冻结相应用户的用户名及口令、等待接收用户重新发送的短消息、并进行分析比对及处理。进一步地,所述认证界面模块包括用户名输入窗口、口令输入窗口、点击提交窗口与提示信息窗口,所述提示信息窗口可包括类似以下的提示信息在点击提交前请使用您的移动电话终端向指定号码发送一条短消息;短消息的内容为用户名、或者用户名及口令、或者任何特定内容;请在短消息发送完成后的预设时间窗口内,及时输入正确的用户名及口令,并点击提交。进一步地,所述帐号数据库包括一一对应的序号,用户名,口令,移动电话号码,以及在当前时间窗内是否激活的记录信息。
同时,本发明采用的另一技术方案是一种认证方法,包括以下步骤a、将用户名、或者用户名及口令,与固定的电话号码MSISDN绑定,并冻结相应的用户名及口令;b、接收用装有绑定电话号码MSISDN的移动电话终端、向指定号码发送的包含指定内容的短消息;C、根据短消息的内容及发送号码、结合帐号数据库,进行分析比对;d、根据步骤c所得分析比对结果,若短消息合法,则在预设的时间窗口内,激活相应的用户名、或者用户名及口令;并提示用户在时间窗口内,输入正确的用户名及口令,点击提交。进一步地,在步骤d之后还包括步骤若用户未在时间窗口内完成登录,则继续冻结相应的用户名及口令;并返回步骤b。进一步地,在步骤d中还包括骤若短消息不合法,则继续冻结相应的用户名及口令;并返回步骤b。本发明各实施例的认证系统及方法,由于该系统包括在用户侧设有移动电话终端与认证界面模块,在服务侧设有帐号数据库、时间窗管理模块与短消息接收装置,移动电话终端与短消息接收装置无线连接;认证界面模块、帐号数据库及时间窗管理模块,均与短消息接收装置连接;可以将任何计算机信息系统的帐户保持冻结状态,直到用户发送短消息激活该帐户;认证系统接收到短消息后,将该帐户在一个预设的时间窗口内激活;一旦时间窗口过期,帐户将回到冻结状态,这可以有效地防止攻击者暴力猜解;在准备阶段,用户需要绑定自己的手机(即移动电话终端)号码和帐户(该账户包含用户名、或者用户名及口令);从而可以克服现有技术中安全性弱、配置复杂、使用不方便与成本高的缺陷,以实现安全性强、配置简单、使用方便与成本低的优点。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中
图Ia为现有技术中认证系统的工作原理示意图;图Ib与图Ic为根据本发明认证系统的工作原理示意图;图2a为现有技术中认证系统及方法中用户登录界面的示意图;图2b为根据本发明认证系统及方法中用户登录界面的示意图;图3a为现有技术中认证系统及方法中用户表的示意图;图3b为根据本发明认证系统及方法中用户表的示意图;图4为根据本发明认证方法的流程示意图。 结合附图,本发明实施例中附图标记如下I-短消息接收装置。
具体实施例方式以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。系统实施例根据本发明实施例,如图lb、图lc、图2b与图3b所示,提供了一种认证系统。本实施例包括在用户侧设有移动电话终端与认证界面模块,在服务侧设有帐号数据库、时间窗管理模块与短消息接收装置1,移动电话终端与短消息接收装置I无线连接;认证界面模块、帐号数据库及时间窗管理模块,均与短消息接收装置I连接。其中,上述移动电话终端,已与用户的用户名、或者用户名和口令绑定,且具有收发短消息功能的移动电话终端;上述认证界面模块,用于认证用户登录合法性;上述帐号数据库,用于存储用户通过互联网设定的用户名及口令、以及与用户名及口令绑定的电话号码MSISDN ;上述时间窗管理模块,用于设定时间窗口 ;上述短消息接收装置1,用于接收用户通过移动通信网络发送、且包含用户名或者用户名及口令的短消息,调用帐号数据库中预存的信息,分析比对所述短消息的内容,并根据所得分析比对结果,当所述短消息合法时激活认证界面模块相应用户的用户名或者用户名及口令、等待用户在预设的时间窗内登录,当所述短消息不合法时继续冻结相应用户的用户名及口令、等待接收用户重新发送的短消息、并进行分析比对及处理。具体地,上述短消息接收装置I包括短消息处理模块,以及与短消息处理模块连接的短消息比对分析及处理模块;短消息比对分析及处理模块,分别与帐号数据库及认证界面模块连接;时间窗管理模块、计时模块与短消息比对分析及处理模块依次连接。在上述实施例中,短消息接收装置I可能是一些较低级的解决方案(认证请求的容量是每分钟少于30次)中的工业SMS终端;也可能是一个虚拟的短消息终端(短消息网关接口),在一些高档的解决方案(认证请求的容量是每分钟超过30次)。这里,上述短消息处理模块,用于接收用户通过移动通信网络发送、且包含用户名或者用户名及口令或者任何其他特定内容的短消息,还可用于发送类似提示、警示和宣示类的内容;上述短消息比对分析及处理模块,用于调用帐号数据库中预存的信息,分析比对短消息的内容,并根据所得分析比对结果,当短消息合法时激活认证界面模块相应用户的用户名或者用户名及口令、等待用户在预设的时间窗内登录,当短消息不合法时继续冻结相应用户的用户名及口令、等待接收用户重新发送的短消息、并进行分析比对及处理。
更具体地,上述短消息比对分析及处理模块,包括短消息内容比对子模块与时间窗激活子模块;短消息内容比对子模块,分别与短消息处理模块及帐号数据库连接;时间窗激活子模块,分别与认证界面模块、计时模块及帐号数据库连接。这里,上述短消息内容比对子模块,用于调用帐号数据库中预存的信息,分析比对所述短消息的内容;时间窗激活子模块,用于根据所得分析比对结果,当短消息合法时激活认证界面模块相应用户的用户名或者用户名及口令、等待用户在预设的时间窗内登录,当短消息不合法时继续冻结相应用户的用户名及口令、等待接收用户重新发送的短消息、并进行分析比对及处理。进一步地,在上述实施例中,在服务侧,还设有计时模块;计时模块,用于在激活认证界面模块相应的用户的用户名或者用户名及口令时,进行计时,当预设的时间窗口到达时,通过短消息接收装置I冻结相应用户的用户名及口令。 进一步地,上述认证界面模块包括用户名输入窗口、口令输入窗口、点击提交窗口与提示信息窗口,提示信息窗口包括以下提示信息在点击提交前请使用您的移动电话终端向指定号码发送一条短消息;短消息的内容为用户名、或者用户名及口令;请在短消息发送完成后的预设时间窗口内,及时输入正确的用户名及口令,并点击提交。进一步地,上述帐号数据库包括一一对应的序号,用户名,口令,移动电话号码,以及在当前时间窗内是否激活的记录信息。这里,相比现有技术,在帐号数据库中插入了一些列,以支持时间窗口,例如手机号码(为字符串型变量)、激活状态(为布尔变量)等。方法实施例根据本发明实施例,提供了一种认证方法。如图4所示,本实施例包括以下步骤步骤100 :将用户名、或者用户名及口令,与固定的电话号码(即MSISDN)绑定,并冻结相应的用户名及口令,执行步骤101 ;步骤101 :接收用具有绑定MSISDN的移动电话终端、向指定号码发送的包含指定内容的短消息,执行步骤102 ;步骤102 :根据短消息的内容及发送号码、结合帐号数据库,进行分析比对,执行步骤103或步骤104 ;步骤103 :若短消息合法,则在预设的时间窗口内,激活相应的用户名、或者用户名及口令;并提示用户在时间窗口内,输入正确的用户名及口令,点击提交;步骤104 :若短消息不合法,则继续冻结相应的用户名及口令,返回步骤101 ;步骤105 :提示用户在时间窗口内,输入正确的用户名及口令,点击提交,执行步骤 106 ;步骤106 :若用户未在时间窗口内完成登录,则继续冻结相应的用户名及口令,返回步骤101。在上述系统与方法实施例中,认证系统及方法,由于具有发送短消息与设定时间窗口两个特征,任何计算机信息系统的帐户保持冻结状态,直到用户发送短消息激活该帐户;认证系统接收到短消息后,将该帐户在一个预设的时间窗口内激活;一旦时间窗口过期,帐户将回到冻结状态,这可以有效地防止攻击者暴力猜解。该认证系统及方法,具有以下特征(I)安全
在上述实施例的认证系统及方法中,使用了 2个因素你知道什么(用户名和口令),你有什么(手机);为了登录计算机信息系统,任何人必须同时知道口令和拥有自己的手机;攻击者甚至不能发动蛮力攻击,因为没有打开的时间窗口 ;(2)廉价在用户侧,用户不需要购买任何额外的设备(例如令牌);在服务侧(即SP),需要短消息处理模块和短消息比对分析及处理模块,并需要支持时间窗口,还需要一个工业的短消息终端(或逻辑上的一个短消息接收端口)作为短消息接收装置;(3)易于使用在用户侧,认证过程非常类似于传统的认证过程,与传统的登录方式是完全一致的用户界面;在服务侧,任何复杂的大系统,都可以在短时间内改造完成,因为软件和硬件的变化是非常小的。 在上述系统与方法实施例中,在准备阶段,用户需要绑定自己的手机号码和帐户。这里的手机号码就是指以SM卡为典型代表的手机号码,电信行业的术语为电话号码MSISDN。至于终端的形态,包括但不限于手机,泛指任何具有短消息功能的MS (即mobile station)。总之,手机号码是指短消息的最重要的三个字段发送者号码、接受者号码和内容中的发送者号码。当用户的手机号码需要更换时,可以在更换前登录系统,在界面内更换,则下一次登录需要使用新的手机号码。当手机丢失时,可以使用帐号初始化阶段设置的备用手机等任何方法。(还可以包括打电话到客服进行人工变更的方式。)例如,在电子邮件应用中,用户可以在登记阶段绑定手机号码和E-mail帐号;具体的认证过程如下(I)用户想登录自己的E-mail信箱。(2)用户通过 Web 浏览器访问 Enail 网站(如 http://mail, mycompany. com);(3)网站通知用户向特定的服务号码(如12345678),用自己的手机发送短消息(SMS);这里,特定的服务号码是网站或者游戏提供商的服务号码,例如1066XXXX,或者是一个普通的电话号码,例如139XXXXXXXX。(4)短消息的内容是用户的E-mail帐号或者是帐号与口令或者是某特定的信息(例如广告);(5)网站验证发件人的手机号码和用户的E-mail帐号的合法性;这里,相应的验证结果(即是否合法)可以不通过任何方式送达用户,也可以发送一个短信通知或者登陆界面的提示。(6)如果发件人的手机号码和用户的E-mail帐号相匹配,该网站将在一个时间窗口(如10分钟)内激活E-mail帐号;如果他们不匹配,该网站将拒绝访问请求(保持帐户处于非活动状态);(7)在时间窗口内,如果用户输入正确的用户名(即E-mail帐号)和口令,网站将允许用户访问他的E-mail信箱;时间窗口过期后,E-mail帐号将不能再访问,直到再次收到短消息激活;综上所述,本发明各实施例的认证系统及方法,由于该系统包括在用户侧设有移动电话终端与认证界面模块,在服务侧设有帐号数据库、时间窗管理模块与短消息接收装置,移动电话终端与短消息接收装置无线连接;认证界面模块、帐号数据库及时间窗管理模块,均与短消息接收装置连接;可以将任何计算机信息系统的帐户保持冻结状态,直到用户发送短消息激活该帐户;认证系统接收到短消息后,将该帐户在一个预设的时间窗口内激活;一旦时间窗口过期,帐户将回到冻结状态,这可以有效地防止攻击者暴力猜解;在准备阶段,用户需要绑定自己的手机(固定SM卡的移动电话终端)号码(固定SIM卡的相应号码)和帐户(包含用户名、或者用户名及口令);从而可以克服现有技术中安全性弱、配置复杂、使用不方便与成本高的缺陷,以实现安全性强、配置简单、使用方便与成本低的优点。最后应说明的是以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的·保护范围之内。
权利要求
1.一种认证系统,其特征在于,包括 在用户侧设有已与用户的用户名、或者用户名和口令绑定,且具有收发短消息功能的移动电话终端;以及,用于认证用户登录合法性的认证界面模块; 在服务侧设有用于存储用户通过互联网设定的用户名及口令,以及与所述用户名及口令绑定的电话号码MSISDN的帐号数据库;用于设定时间窗口的时间窗管理模块;以及短消息接收装置; 所述短消息接收装置,用于接收用户通过移动通信网络发送、且包含用户名或者用户名及口令的短消息,调用帐号数据库中预存的信息,分析比对所述短消息的内容,并根据所得分析比对结果,当所述短消息合法时激活认证界面模块相应用户的用户名或者用户名及口令、等待用户在预设的时间窗内登录,当所述短消息不合法时继续冻结相应用户的用户名及口令、等待接收用户重新发送的短消息、并进行分析比对及处理。
2.根据权利要求I所述的认证系统,其特征在于,在服务侧,还设有计时模块;所述计时模块,用于在激活认证界面模块相应的用户的用户名或者用户名及口令时,进行计时,当预设的时间窗口到达时,通过时间窗管理模块冻结相应用户的用户名及口令。
3.根据权利要求I或2所述的认证系统,其特征在于,所述短消息接收装置包括短消息处理模块,以及与所述短消息处理模块连接的短消息比对分析及处理模块;所述短消息比对分析及处理模块,分别与帐号数据库及认证界面模块连接;所述时间窗管理模块、计时模块与短消息比对分析及处理模块依次连接;其中 所述短消息处理模块,用于接收用户通过移动通信网络发送、且包含用户名或者用户名及口令或者任何其他特定内容的短消息,还可用于发送类似提示、警示和宣示类的内容; 所述短消息比对分析及处理模块,用于调用帐号数据库中预存的信息,分析比对所述短消息的内容,并根据所得分析比对结果,当所述短消息合法时激活认证界面模块相应用户的用户名或者用户名及口令、等待用户在预设的时间窗内登录,当所述短消息不合法时继续冻结相应用户的用户名及口令、等待接收用户重新发送的短消息、并进行分析比对及处理。
4.根据权利要求3所述的认证系统,其特征在于,所述短消息比对分析及处理模块,包括短消息内容比对子模块与时间窗激活子模块;所述短消息内容比对子模块,分别与短消息处理模块及帐号数据库连接;所述时间窗激活子模块,分别与认证界面模块、计时模块及帐号数据库连接;其中 所述短消息内容比对子模块,用于调用帐号数据库中预存的信息,分析比对所述短消息的内容; 所述时间窗激活子模块,用于根据所得分析比对结果,当所述短消息合法时激活认证界面模块相应用户的用户名或者用户名及口令、等待用户在预设的时间窗内登录,当所述短消息不合法时继续冻结相应用户的用户名及口令、等待接收用户重新发送的短消息、并进行分析比对及处理。
5.根据权利要求I或2所述的认证系统,其特征在于,所述认证界面模块包括用户名输入窗口、口令输入窗口、点击提交窗口与提示信息窗口,所述提示信息窗口包括以下提示信息在点击提交前请使用您的移动电话终端向指定号码发送一条短消息; 短消息的内容为用户名、或者用户名及口令、或者任何特定信息; 请在短消息发送完成后的预设时间窗口内,及时输入正确的用户名及口令,并点击提交。
6.根据权利要求I或2所述的认证系统,其特征在于,所述帐号数据库包括一一对应的序号,用户名,口令,移动电话号码,以及在当前时间窗内是否激活的记录信息。
7.—种认证方法,其特征在于,包括以下步骤 a、将用户名、或者用户名及口令,与固定的电话号码MSISDN绑定,并冻结相应的用户名及口令; b、接收用装有绑定电话号码MSISDN的移动电话终端、向指定号码发送的包含指定内容的短消息; C、根据短消息的内容及发送号码、结合帐号数据库,进行分析比对;d、根据步骤c所得分析比对结果,若短消息合法,则在预设的时间窗口内,激活相应的用户名、或者用户名及口令;并提示用户在时间窗口内,输入正确的用户名及口令,点击提交。
8.根据权利要求7所述的认证方法,其特征在于,在步骤d之后还包括步骤若用户未在时间窗口内完成登录,则继续冻结相应的用户名及口令;并返回步骤b。
9.根据权利要求7或8所述的认证方法,其特征在于,在步骤d中还包括骤若短消息不合法,则继续冻结相应的用户名及口令;并返回步骤b。
全文摘要
本发明公开了一种认证系统及方法,该系统包括在用户侧设有移动电话终端与认证界面模块,在服务侧设有帐号数据库、时间窗管理模块与短消息接收装置,所述移动电话终端与短消息接收装置无线连接;所述认证界面模块、帐号数据库及时间窗管理模块,均与短消息接收装置连接。本发明所述认证系统及方法,可以克服现有技术中安全性弱、配置复杂、使用不方便与成本高等缺陷,以实现安全性强、配置简单、使用方便与成本低的优点。
文档编号H04L9/32GK102970136SQ20111025596
公开日2013年3月13日 申请日期2011年9月1日 优先权日2011年9月1日
发明者王琼, 单春鸣 申请人:王琼, 单春鸣