专利名称:一种基于移动终端的身份验证方法及装置的制作方法
一种基于移动终端的身份验证方法及装置技术领域
本申请涉及信息安全领域,特别是涉及一种基于移动终端的身份验证方法,以及, 一种基于移动终端的身份验证装置。
背景技术:
随着中国电子商务的快速发展,电子商务网站的账号的信息安全出现威胁,由于账号信息过于简单(用户名+密码),导致用户账号容易被窃取,窃取后非法分子利用账号的信用度发送违规商品、发送钓鱼链接或动用账号资金,这给用户和网站带来重大损失。
为提高安全性,目前已经出现了基于手机的OTP (One-time Password,一次一密的动态口令)产品,该产品是运行在手机上的程序,利用了手机的网络通信优势,通过网络将自己随机生成的“种子”推送给服务器端,以保证客户端与服务器端的种子一致,从而保证校验精准率。用户在使用该产品时,首先需要将手机与用户信息进行绑定,然后登录相应的网站,发出校验请求,此时,手机上的OTP软件会依据“种子”生成动态口令,当用户正确输入动态口令后,即可通过验证。
该产品主要应用在客户群体较大的行业,如网络游戏、网上银行、网上证券、SAAS 等的登录和支付场景。
上述现有技术主要存在以下的问题
首先、手机发送OTP进行验证时,只要OTP和服务器端计算的OTP —致,便可通过验证。而实际情况中,若用户账号被盗,并且在用户发送校验请求的同时,盗用者也发送了校验请求,那么在这极短的时间段内,在服务器端可能会存在两个验证请求,若OTP验证通过,这两个请求可能会都通过验证,或者只通过了盗用者发出的请求。这样即使用户账号被盗用了,OTP的二次验证也不能保护用户验证的安全性,校验准确率低。
其次,服务器端返回动态密码后,用户需要再手动输入动态密码,手动输入本身存在一定的危险,目前已有一些钓鱼软件可以通过这个操作获取用户的身份信息;其次,用户输入的过程,发送和接收短信都会耗费一定的时间,使得用户需要等待较长时间才能完成验证 的操作。
因此,目前需要本领域技术人员解决的一个技术问题就是,如何创造性地提出一种基于移动终端的身份验证机制,用以提高用户身份验证的准确率,提高身份验证的速度。发明内容
本申请所要解决的技术问题是,提供一种基于移动终端的身份验证方法,用以提高用户身份验证的准确率,提高身份验证的速度。
本申请还提供了一种基于移动终端的身份验证装置,用以保证上述方法在实际中的应用及实现。
为了解决上述问题,本申请公开了一种基于移动终端的身份验证方法,包括
获取浏览器端提交的身份验证请求,所述身份验证请求中包括用户信息和当前会话标识 Session ID ;
根据所述用户信息和当前会话标识Session ID,生成对应的校验标识符;
根据移动终端提交的校验标识符获取请求,返回相应的校验标识符;
获得移动终端提交的校验标识符的选取请求,提取相应校验标识符的会话标识 Session ID,并对所述会话标识Session ID添加验证通过标记;
依据所述会话标识Session ID的验证通过标记,判定用户身份验证通过。
优选地,所述方法还包括
在服务器端保存当前用户信息与对应的用户标识符的关联关系。
优选地,所述在服务器端保存当前用户信息与对应的用户标识符的关联关系的步骤包括
根据浏览器端提交的当前用户信息,生成对应的用户标识符,并展示在浏览器端;
获取移动终端采集的所述用户标识符;
判断移动终端采集的用户标识符与服务器端生成的用户标识符是否一致,若是, 则将用户标识符和当前用户信息进行关联,并保存该关联关系,并将所述用户标识符保存在移动终端。
优选地,所述根据移动终端提交的校验标识符获取请求,返回相应的校验标识符的步骤包括
接收移动终端提交的校验标识符获取请求,所述校验标识符获取请求中包括移动终端生成的第一动态口令和用户标识符;
验证所述第一动态口令是否合法,若是,则根据所述用户标识符提取对应的用户信息,并根据所述用户信息提取对应的校验标识符;
将所述用户信息按照预设格式转化为校验信息,并将所述校验信息及对应的校验标识符发送至移动终端。
优选地,所述根据移动终端提交的校验标识符获取请求,返回相应的校验标识符的步骤还包括
在移动终端展示所述校验信息。
优选地,所述获得移动终端提交的校验标识符的选取请求,提取相应校验标识符的会话标识Session ID,并对会话标识Session ID添加验证通过标记的步骤包括
根据所述移动终端提交的校验标识符的选取请求,验证所述第二动态口令是否合法;
若是,则根据所述校验标识符的选择信息提取对应的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记;
其中所述校验标识符的选取请求是通过如下方式生成的
由通过移动终端选择校验信息,并根据选择的校验信息生成对应校验标识符的选择信息,并产生第二动态口令;根据所述校验标识符的选择信息和第二动态口令生成校验标识符的选取请求。
优选地,所述服务器端保存有移动终端发送的时间种子;所述第一动态口令由移动终端存储的时间种子和第一相对时间生成,所述验证第一动态口令是否合法的步骤包括
依据服务器端存储的时间种子和第一相对时间,生成第一对比动态口令;
判断所述第一对比动态口令与第一动态口令的差值的绝对值是否小于预设阀值; 若是,则所述第一动态口令合法。
优选地,所述第二动态口令由移动终端存储的时间种子和第二相对时间生成,所述验证第二动态口令是否合法的步骤包括
依据服务器端存储的时间种子和第二相对时间,生成第二对比动态口令;
判断所述第二对比动态口令与第二动态口令的差值是否小于预设阀值。
若是,则所述第二动态口令合法。
优选地,所述验证第二动态口令是否合法的步骤还包括
根据所述第二动态口令调整服务器端的种子时间。
本申请还提供了一种基于移动终端的身份验证装置,包括
身份验证请求获取模块,用于获取浏览器端提交的身份验证请求,所述身份验证请求中包括用户信息和当前会话标识Session ID ;
校验标识符生成模块,用于根据所述用户信息和当前会话标识Session ID,生成对应的校验标识符;
校验标识符返回模块,用于根据移动终端提交的校验标识符获取请求,返回相应的校验标识符;
标记添加模块,用于获得移动终端提交的校验标识符的选取请求,提取相应校验标识符的会话标识Sessi on ID,并对所述会话标识Session ID添加验证通过标记;
判定通过模块,用于依据所述会话标识Session ID的验证通过标记,判定用户身份验证通过。
与现有技术相比,本申请具有以下优点
本申请根据有用户的身份验证请求生成对应的校验标识符,并将校验标识符所对应的用户请求的详细信息发送给用户,用户对校验请求进行选择后,才会将对应的校验请求通过,若用户账号被盗用后也发出了验证请求,用户便会在移动终端看到多个请求信息, 用户可以只选择自己认可的请求信息,从而提高了用户验证的准确率。
其次,用户在移动终端提交身份验证请求即可触发校验操作,用户无需进行输入密码,发送短信等操作,大大简化了用户进行验证的操作,相比于传统的OTP硬件产品,提高了身份验证的速度;无需用户手动输入密码也加强了用户验证的安全性。
另外,将移动终端与用户信息进行绑定时,直接在移动终端获取用户标识符的信息,不用用户输入繁琐的验证码,简单快捷。
图1是本申请的一种基于移动终端的身份验证方法实施例1的流程图2是本申请的一种基于移动终端的身份验证方法实施例2的流程图3是本申请的一种基于移动终端的身份验证装置实施例1的结构框图4是本申请的一种基于移动终端的身份验证装置实施例2的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式
对本申请作进一步详细的说明。
现有的用户信息安全技术主流以提高校验凭据安全性为基础,提出多次校验的方式,如证书校验、邮箱校验。但这些校验凭据自身的缺陷非常致命,如证书需要安装并仅局限于当前使用中的电脑,同时也容易受到操作系统环境的影响;而邮箱校验也存在邮箱帐号被盗的风险。
随着用户的应用场景的复杂,OTP产品逐渐获得了用户的青睐,并得到了广泛的应用。如“支付宝宝令”、“将军令”、“手机令牌”等。
“支付宝宝令”和“将军令”是属于基于硬件的OTP安全产品,其基本思路是,在硬件出厂时,为其设置一个初始值,本申请中称之为“种子”。随着时间的变化“种子”也逐渐长大;其表现形式为,若干短暂的时候后,随着“种子”的变化,显示在硬件屏幕上的OTP也随之变化,服务器端也同样存在一样的种子,只要时间保持同步,所计算出的OTP就能够保证是一致的,从而达到安全校验的效果。·
此类产品拥有易携带、高安全、易使用等诸多优点,但同时也存在易遗失、成本高 (硬件安全产品多数需要额外收费)、使用期限局限性等缺点。
“手机令牌”是将OTP产品做成软件,并与手机进行结合发挥作用,与硬件的OTP产品类似,基于同步时间种子算法来保证校验的准确率,但与之不同的地方是,其利用了手机的网络通信优势,通过网络将自己随机生成的“种子”推送给服务器端,以保证客户端与服务器端的种子一致,从而保证校验准确率。
由于手机是用户随身携带的,不易遗失,并且即使遗失后,也能被用户及时发觉, 可有效减轻OTP安全产品遗失所带来的问题。软件形式的OTP产品作为应用程序,其具有方便部署、易于维护的优点,并且其功能扩展能力也超过传统的硬件0ΤΡ。
但是,现有基于软件的OTP安全产品存在如下的问题首先若用户账号被盗用, OTP校验也可能会通过盗用者的验证请求,无法保证用户验证的安全性;其次校验过程复杂,需要进行手动输入、发送短信请求和输入校验码等多个操作,使得用户需要等待较长时间才能完成验证的操作。
本申请的核心构思之一在于,根据有用户的身份验证请求,生成对应的校验标识符,并将校验标识符所对应的用户请求的详细信息发送给用户,在用户核对校验请求并进行选择后,服务器端会将选择的校验标识符对应的会话标识Session ID标记为通过,从而判定验证通过。
参考图1,其示出了本申请的一种基于移动终端的身份验证方法实施例1的流程图,具体可以包括以下步骤
步骤101、获取浏览器端提交的身份验证请求,所述身份验证请求中包括用户信息和当前会话标识Session ID。
本申请中,用户在登录操作,即一次信息校验(口令加密码)后,还需要进行二次信息校验。二次信息校验可直观的理解为对第一次账号密码校验的补充操作,即根据先前输入的用户信息,由浏览器自动生成对应本次对话的一个标识符,即会话标识Session ID, 用于标识用户本次Session(会话)。然后向服务器端发送身份验证请求信息,请求信息中包括用户信息和Session ID。
其中,Session是一种WEB上有效的信息交互手段,是客户端浏览器与服务器端之间建立的互动信息状态,在用户进入网站时由服务器端自动产生,并在用户正常离开站点时释放,通过Session可以了解用户在网站上的活动。在使用Session时,可以将与用户相关的信息,例如用户的帐号、昵称等保存到Session中。在实际情况中,由于同一个用户账号有可能在同一时间段内有多个请求,这意味着在某个时间段可能存在多个不同的 Session ID,即一个用户信息可能会对应多个Session ID。
步骤102、根据所述用户信息和当前会话标识Session ID,生成对应的校验标识符。
服务器端接收到用户的身份验证请求后,可根据其中包含的用户信息和Session ID,生成对应当前验证请求的校验标识符,该标识符是唯一的,以与其他请求进行区分。
在用户有多个验证请求的情况下,由于一个用户信息会对应多个Session ID,所以一个用户信息会对应多个校验标识符。
步骤103、根据移动终端提交的校验标识符获取请求,返回相应的校验标识符。
在本申请的一种优选实施例中,所述步骤103可以包括
子步骤S11、接收移动终端提交的校验标识符获取请求,所述校验标识符获取请求中包括移动终端生成的第一动态口令和用户标识符。
用户登录后,需要通过移动终端查看提交的请求信息,对请求信息进行确认,从而保证校验的安全性。此时, 在确认后可以向服务器端提交校验标识符获取请求。服务器端受到该请求后,需要获取移动终端的用户信息才能提取相应的校验标识符。因此,校验标识符获取请求中需要包括用户相关信息。在具体的实现中,为保证安全,移动终端中可以不保存用户信息,而是保存有与用户信息对应的用户标识符,服务器端保存有当前用户信息与对应的用户标识符的关联关系。
校验标识符获取请求中还包括由移动终端生成的具有时效性的动态口令。用户每次使用某个应用都将发送动态口令到服务器端,只有动态口令被服务器端校验通过,针对该应用的操作才可生效;且用户必须在有效时间内用一个动态口令进行校验,有效时间超出,动态口令将会变动,并且一个动态口令只能使用一次,从而保证了用户校验的安全性。
在具体的实现中。所述第一动态口令可以由移动终端存储的时间种子和第一相对时间生成。时间种子一般是一个数值类型的变量,之所以称之为种子是因为其与时间变化有关系,通过时间的推移和固定的算法得到动态口令,但种子值永远不变。
子步骤S12、验证所述第一动态口令是否合法,若是,则执行子步骤S13。
在本申请的一种优选的实施例中,所述子步骤S12可以包括
子步骤S12-1、依据服务器端存储的时间种子和第一相对时间,生成第一对比动态口令。
子步骤S12-2、判断所述第一对比动态口令与第一动态口令的差值的绝对值是否小于预设阀值,若是,则所述第一动态口令合法。
在具体的实现中,所述方法还可以包括在服务器端保存当前用户信息与对应的用户标识符的关联关系,可以通过以下步骤实现
根据浏览器端提交的当前用户信息,生成对应的用户标识符,并展示在浏览器端;
获取移动终端采集的所述用户标识符;
判断移动终端采集的用户标识符与服务器端生成的用户标识符是否一致;
若是,则将用户标识符和当前用户信息进行关联,并保存该关联关系,并将所述用户标识符保存在移动终端。
用户利用移动终端进行验证前,需要先将移动终端与服务器端进行绑定,即服务器端指定一个序列号作为,和移动终端进行信息传递时替代用户信息的用户标识符。
在本实施例中,用户标识符可以采用二维码序列号(QRCODE),其类似条形码功能, 是基于图形并可读的一种矩阵二维码符号,它具有一维条码及二维条码所具有的信息容量大、可靠性高、可表示汉字及图象等,具有保密防伪性强等优点。
用户在浏览器端看到二维码序列号时,可以使用移动终端自带的图像采集功能, 如摄像头,采集该二维码序列号的图像信息,服务器端接收到二维码序列号的图像信息后, 判断其与生成的二维码序列号所包含的信息是否是一样的。此外,也可以通过移动终端识别出其中的二维码序列号然后发送到服务器端。该步骤是为了查看手机是否可用,同时也是获得用户许可的一种证明。
若是一样的,服务器端将用户标识符和用户信息进行关联,具体可以采用映射的形式,并将该映射关系保存在服务器端,将用户标识符保存在移动终端,以便用户验证的时候发送用户标识符到服务器端进行验证。
该绑定的步骤可以在用户进行校验之前完成。服务器端验证第一动态口令时,先由其保存的时间种子、第一相对时间和固定的算法得到动态口令。该动态口令与由移动终端生成的第一动态口令进行对比,确定是否一致,从而可以验证第一动态口令是否合法。
由于现实中移动终端的复杂性,有可能存在时间同步误差,从而影响到第一动态口令生成上有偏差。所以服务器端在每次校验都采用了一定的容错措施,即虽然第一动态口令和第一对比动态口令并不相同,但是,它们的差值只要是在一个误差区间内,就可以认为第一动态口令是合法的。
子步骤S13、根据所述用户标识符提取对应的用户信息,并根据所述用户信息提取对应的校验标识符。
若第一动态口令是合法的,服务器端会根据请求信息中的用户标识符找到相应的用户信息,并根据用户信息提取相应的校验标识符,此处校验标识符可能是一个,也可能是多个。
子步骤S14、将所述用户信息按照预设格式转化为校验信息,并将所述校验信息及对应的校验标识符发送至移动终端。
由于用户在浏览器终端进行登录后,服务器端获取的用户信息并非用户可读的形式,例如,用户信息中包含所在网络的IP地址,但用户查看根据IP地址并不知道具体的登录地址,无法判断请求信息的来源,从而无法进行确认。所以在此,需要将IP地址转换为用户可读的实际地址,如IP地址为192. 168.1. 189,转换后是北京市海淀区中关村南大街31 号。若实际中,用户并没有在该地址提出校验请求,说明用户的账号可能被盗用了,用户只要不确认该信息,那么接下来的验证就不能进行下去,该地址的验证请求就失败了,这样可保证用户校验的安全性。
在本申请的一种优选实施例中,所述步骤103还可以包括
子步骤S15、在移动终端展示所述校验信息。
在移动终端将所述校验信息在用户的移动终端进行展示,可以供用户选择自己需要继续验证的请求。
步骤104、获得移动终端提交的校验标识符的选取请求,提取相应校验标识符的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记。
在本申请的一种优选实施例中,所述步骤104可以包括
子步骤S21、用户通过移动终端选择校验信息,移动终端根据所述校验信息生成对应校验标识符的选择信息,并产生第二动态口令。
移动终端向服务器端进行信息传递的过程中,都会发送当前的动态口令,以确保用户验证的安全性。
子步骤S22、所述移动终端根据所述校验标识符的选择信息和第二动态口令,生成校验标识符的选取请求。
用户在移动终端对校验信息进行选择和确认,由于校验信息、用户信息和校验标识符存在着对应关系,所以也即是选择了对应的校验标识符,移动终端可以根据选择的校验信息,生成校验标识符的选择信息。选择信息和动态口令可以组成校验标识符的选取请求。
子步骤S23、根据所述移动终端提交的校验标识符的选取请求,验证所述第二动态口令是否合法,若是,则执行子步骤S24。
在具体的实现中,所述第二动态口令可以由移动终端存储的时间种子和第二相对时间生成,所述子步骤S23可以包括
子步骤S23-1、依据服务器端存储的时间种子和第二相对时间,生成第二对比动态口令。
动态口令根据当前时间和时间种子再加上一定的算法生成,由于时间在发生变化,此时的动态口令为本次校验的第二动态口令。
子步骤S23-2、判断所述第二对比动态口令与第二动态口令的差值是否小于预设阀值,若是,则所述第二动态口令合法。
和第一动态口令的判断相同,判断第二动态口令是否合法,就是判断其与第二对比动态口令的差值是否在预设区间,即差值的绝对值是否小于某个预设阀值。
在本申请的一种优选实施例中,所述子步骤S23还可以包括
子步骤S23-3、根据所述第二动态口令调整服务器端的种子时间。
若第一动态口令和第二对比动态口令并不相同,而是存在小于预设阀值的某个差值,在判断合法后,还需将服务器端的时间种子调整到和移动终端的时间种子保持一致,从而使得下次验证更加准确。这使得越是频繁使用,其验证误差越小。
子步骤S24、根据所述校验标识符的选择信息提取对应的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记。
根据校验标识符的选择信息可知用户确认的校验请求,服务器端根据校验标识符提取对应的会话标识Session ID,然后将Session ID添加验证通过的标记。
步骤105、依据所述会话标识Session ID的验证通过标记,判定用户身份验证通过。
会话标识符Session ID标记通过即表示本次对话已经通过验证了,用户的校验已经成功完成,浏览器端获知验证通过,可以通过服务器端向浏览器终端发送校验完成的提示,也可以由浏览器查询Session ID是否已经做了验证通过标记,本申请在此并不作限制。
参考图2,其示出了本申请的一种基于移动终端的身份验证方法实施例2的流程图,具体可以包括绑定步骤和一键校验步骤
一、绑定步骤
步骤201、根据浏览器端提交的当前用户信息,生成对应的用户标识符,并展示在浏览器端;
步骤202、获取移动终端采集的所述用户标识符;
步骤203、判断移动终端采集的用户标识符与服务器端生成的用户标识符是否一致,若是,则执行步骤204;
步骤204、将用户标识符和当前用户信息进行关联,并保存该关联关系,并将所述用户标识符保存在移动终端。
二、校验步骤
步骤205、获取浏览器端提交的身份验证请求,所述身份验证请求中包括用户信息和当前会话标识Session ID;
步骤206、根据所述用户信息和当前会话标识 Session ID,生成对应的校验标识符;
步骤207、接收移动终端提交的校验标识符获取请求,所述校验标识符获取请求中包括移动终端生成的第一动态口令和用户标识符;
步骤208、验证所述第一动态口令是否合法,若是,执行步骤209 ;
步骤209、根据所述用户标识符提取对应的用户信息,并根据所述用户信息提取对应的校验标识符;
步骤210、将所述用户信息按照预设格式转化为校验信息,并将所述校验信息及对应的校验标识符发送至移动终端;
步骤211、在移动终端展示所述校验信息;
步骤212、用户通过移动终端选择校验信息,移动终端根据所述校验信息生成对应校验标识符的选择信息,并产生第二动态口令;
步骤213、所述移动终端根据所述校验标识符的选择信息和第二动态口令生成校验标识符的选取请求;
步骤214、根据所述移动终端提交的校验标识符的选取请求,验证所述第二动态口令是否合法,若是,执行步骤215 ;
步骤215、根据所述校验标识符的选择信息提取对应的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记;
步骤216、依据所述会话标识Session ID的验证通过标记,判定用户身份验证通过。
为使本领域技术人员更好地理解本申请,以下通过一个具体的例子说明用户如何基于移动终端进行身份验证的。
某用户需要在一个购物网站上进行交易,使用本申请的方法进行身份验证,用户的移动终端为手机。
首先,用户将自己的信息与手机进行绑定。用户可通过浏览器在该购物网站上进行登录,登录信息包括用户名(User ID) Annie,密码123456,浏览器确认输入信息正确后, 页面上会出现“绑定手机”的选项,用户点击该选项后,浏览器将用户信息发送到服务器端。
服务器端根据用户信息会生成对应的用户标识符,此处简称UUID。然后将此用户标识符展示在浏览器端,表现为二维码序列号的形式。此处,服务器端会将二维码序列号与用户信息进行映射,以键对值形式保存在缓存中,如下所示
Key = UUID, Value = User ID
此时,用户可以启动手机自带的摄像头,将二维码序列号拍照成图片,并发送到服务器端,也可以通过手机识别出其中的二维码序列号然后发送到服务器端。
服务器端接收到二维码序列号的信息后,可在缓存中查找是否存在一样的二维码序列号,即UUID,若找到,提取UUID的Key对应的Value,将Value对应的User ID与UUID 进行映射,保存在数据库中,并将移动终端发送过来的随机生成的种子和该映射关系,当前相对时间保存在数据库中,将UUID保存在移动终端。如此,便完成了绑定的过程。
接下来,用户可以在该购物网站进行更为安全的交易。首先用户输入用户名和密码进行一次校验,一次校验通过后,网站上会弹出二次校验框,用户可以点击确认键确定进行二次校验。
确定后,浏览器会向服务器端发送身份校验请求,具体包括用户信息和本次对话的标识Session ID发送到服务器端,用户信息包括用户名、用户登录时间和用户登录IP, 如 User ID Annie, Login Time :2011-5-911:11:11,Login IP :211. 10. 185.1 。服务器端接收到身份校验请求后,根据本次请求生成一个校验标识符,简称Check ID。
此时,用户需要查看并确认自己提交的校验请求,具体通过手机向服务器端发送查看请求,这个查看请求包括了 手机根据时间种子和当前时间生成的第一动态口令,以及用户标识符UUID。
服务器端接收到了该请求后,先根据所存的时间种子和当前时间生成第一对比动态口令,然后计算其与第一动态口令的差值,取绝对值后,判断该绝对值是否小于预设的值。若小于,就根据UUID找到对应的UserID JfUser ID对应的校验标识符Check ID提取出来。此时,还可将UserID对应的用户信息转换为校验信息,即用户可读的形式
原用户信息为UserID Annie, Login Time :2011-5-9 11:11:11, LoginIP 211. 10. 185.1。
转换后的校验信息为Ann,2011-5-9 11:11:11,北京市北太平庄KFC。
然后将校验信息和校验标识符发送给用户手机,在手机屏幕上进行展示。若此时, 该用户的一次登录信息已被盗用,也发出了一次校验请求,在服务器端,用户信息就会对应两个校验标识符,两个校验信息。服务器端会将这两组信息都发到用户手机上,显示如下
你的登录请求列表
用户名Ann请求登录
请求地点北京市北太平庄KFC
请求时间2011-5-911:11:11
用户名Ann请求登录
请求地点杭州市阿里巴巴集团
请求时间2011-5-911:10:11
用户看到请求信息列表时,会发现自己只发出了一个请求,实际上服务器端接收了两个请求,并且地址是自己并未去过的地方,由此,用户会发现自己的用户信息可能被盗用了,只确认了第一个请求信息,手机会把根据这个确认信息生成Check ID的选择信息,并将Check ID的选择信息和此时生成的第二动态口令组成选取请求发送给服务器端。
服务器端接收到选取请求后,生成当前第二对比动态口令,判断第二动态口令和第二对比动态口令的差值绝对值是否小于预设值,若小于,根据Check ID的选择信息提取所选Check ID对应的Session ID,添加验证通过标记。
与此同时利用AJAX技术,该购物网站每5秒就在服务器端查询该Session ID对应的验证状态,当查询到Session ID标记为放行后,网站就显示用户验证通过。
综上所述,本申请提供了一种基于移动终端的身份验证方法,根据有用户的身份验证请求生成对应的校验标识符,并将校验标识符所对应的用户请求的详细信息发送给用户,用户对校验请求进行选择后,才会将对应的校验请求通过,若用户账号被盗用后也发出了验证请求,用户便会在移动终端看到多个请求信息,用户可以只选择自己认可的请求信息,从而提高了用户验证的准确率。
其次,用户在移动终端提交身份验证请求即可触发校验操作,用户无需进行输入密码,发送短信等操作,大大简化了用户进行验证的操作,其身份验证的速度是输入动态密码的2-3倍,提高了身份验证的效率。另外,无需用户手动输入密码也加强了用户验证的安全性 。
此外,用户与移动终端进行绑定的时候,通过在服务器端生成用户标识符,用户可以直接在移动终端获取用户标识符的图像信息,绑定过程不到2秒,用户无需进行输入密码,发送短信等操作,大大简化了用户进行验证的操作,相比于传统的OTP硬件产品,本申请提高了身份验证的效率。
对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
参考图3,其示出了本申请的一种基于移动终端的身份验证装置实施例1的结构框图,具体可以包括以下模块
身份验证请求获取模块301,用于获取浏览器端提交的身份验证请求,所述身份验证请求中包括用户信息和当前会话标识Session ID ;
校验标识符生成模块302,用于根据所述用户信息和当前会话标识Session ID,生成对应的校验标识符;
校验标识符返回模块303,用于根据移动终端提交的校验标识符获取请求,返回相应的校验标识符;
标记添加模块304,用于获得移动终端提交的校验标识符的选取请求,提取相应校验标识符的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记;
判定通过模块305,用于依据所述会话标识Session ID的验证通过标记,判定用户身份验证通过。
在本申请的一种优选的实施例中,所述装置还可以包括
关联关系保存模块,用于在服务器端保存当前用户信息与对应的用户标识符的关联关系。在具体的实现中,包括以下子模块
用户标识符生成子模块,用于根据浏览器端提交的当前用户信息,生成对应的用户标识符,并展示在浏览器端;
用户标识符获取子模块,用于获取移动终端采集的所述用户标识符;
信息判断子模块,用于判断移动终端采集的用户标识符与服务器端生成的用户标识符是否一致;
信息保存子模块,用于若是,则将用户标识符和当前用户信息进行关联,并保存该关联关系,并将所述用户标识符保存在移动终端。
在本申请的一种优选的实施例中,所述校验标识符返回模块303可以包括
请求获取子模块,用于接收移动终端提交的校验标识符获取请求,所述校验标识符获取请求中包括移动终端生成的第一动态口令和用户标识符;
第一动态口令验证子模块,用于验证所述第一动态口令是否合法;
校验标识符提取子模块,用于若是,则根据所述用户标识符提取对应的用户信息, 并根据所述用户信息提取对应的校验标识符;
校验信息生成子模块,用于将所述用户信息按照预设格式转化为校验信息,并将所述校验信息及对应的校验标识符发送至移动终端。
在本申请的一种优选的实施例中,所述校验标识符返回模块303还可以包括
校验信息展示子模块,用于在移动终端展示所述校验信息。
在本申请的一种优选的实施例中,所述标记添加模块304可以包括
第二动态口令生成子模块,用于用户通过移动终端选择校验信息,移动终端根据所述校验信息生成对应校验标识符的选择信息,并产生第二动态口令;
选取请求生成子模块,用于所述移动终端根据所述校验标识符的选择信息和第二动态口令生成校验标识符的选取请求;
第二动态口令验证子模块,用于根据所述移动终端提交的校验标识符的选取请求,验证所述第二动态口令是否合法;
验证标记添加子模块,用于若是,则根据所述校验标识符的选择信息提取对应的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记。
在本申请的一种优选的实施例中,所述装置可以保存有移动终端发送的时间种子;所述第一动态口令可以由移动终端存储的时间种子和第一相对时间生成,所述第一动态口令验证子模块可以包括
第一对比动态口令生成子模块,用于依据所述装置中存储的时间种子和第一相对时间,生成第一对比动态 口令;
第一差值判断子模块,用于判断所述第一对比动态口令与第一动态口令的差值的绝对值是否小于预设阀值,若是,则所述第一动态口令合法。
在本申请的一种优选的实施例中,所述第二动态口令可以由移动终端存储的时间种子和第二相对时间生成,所述第二动态口令验证子模块可以包括
第二对比动态口令生成子模块,用于依据所述装置中存储的时间种子和第二相对时间,生成第二对比动态口令;
第二差值判断子模块,判断所述第二对比动态口令与第二动态口令的差值是否小于预设阀值,若是,则所述第二动态口令合法。
在本申请的一种优选的实施例中,所述第二动态口令验证子模块还可以包括
种子时间调整子模块,用于根据所述第二动态口令调整所述装置的种子时间。
参考图4,其示出了本申请的一种基于移动终端的身份验证装置实施例2的结构框图,具体可以包括绑定模块和一键校验模块
一、绑定模块
用户标识符生成模块401,用于根据浏览器端提交的当前用户信息,生成对应的用户标识符,并展示在浏览器端;
用户标识符获取模块402,用于获取移动终端采集的所述用户标识符;
信息判断模块403,用于判断移动终端采集的用户标识符与服务器端生成的用户标识符是否一致;
信息保存模块404,用于若是,则将用户标识符和当前用户信息进行关联,并保存该关联关系,并将所述用户标识符保存在移动终端。
二、一键校验模块
身份验证请求获取模块405,用于获取浏览器端提交的身份验证请求,所述身份验证请求中包括用户信息和当前会话标识Session ID ;
校验标识符生成模块406,用于根据所述用户信息和当前会话标识Session ID,生成对应的校验标识符 ;
请求获取模块407,用于接收移动终端提交的校验标识符获取请求,所述校验标识符获取请求中包括移动终端生成的第一动态口令和用户标识符;
第一动态口令验证模块408,用于验证所述第一动态口令是否合法;
校验标识符提取模块409,用于若是,则根据所述用户标识符提取对应的用户信息,并根据所述用户信息提取对应的校验标识符;
校验信息生成模块410,用于将所述用户信息按照预设格式转化为校验信息,并将所述校验信息及对应的校验标识符发送至移动终端。
校验信息展示模块411,用于在移动终端展示所述校验信息。
第二动态口令生成模块412,用于用户通过移动终端选择校验信息,移动终端根据所述校验信息生成对应校验标识符的选择信息,并产生第二动态口令;
选取请求生成模块413,用于所述移动终端根据所述校验标识符的选择信息和第二动态口令生成校验标识符的选取请求;
第二动态口令验证模块414,用于根据所述移动终端提交的校验标识符的选取请求,验证所述第二动态口令是否合法;
验证标记添加模块415,用于若是,则根据所述校验标识符的选择信息提取对应的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记。
判定通过模块416,用于依据所述会话标识Session ID的验证通过标记,判定用户身份验证通过。
由于所述装置实施例基本相应于前述图1和图2所示的方法实施例,故本实施例的描述中未详尽之处,可以参见前述实施例中的相关说明,在此就不赘述了。
本申请可用于众多通用或专用的计算系统环境或配置中。例如个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素, 并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种基于移动终端的身份验证方法,以及,一种基于移动终端的身份验证装置进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
权利要求
1.一种基于移动终端的身份验证方法,其特征在于,包括获取浏览器端提交的身份验证请求,所述身份验证请求中包括用户信息和当前会话标识 Session ID ;根据所述用户信息和当前会话标识Session ID,生成对应的校验标识符;根据移动终端提交的校验标识符获取请求,返回相应的校验标识符;获得移动终端提交的校验标识符的选取请求,提取相应校验标识符的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记;依据所述会话标识Session ID的验证通过标记,判定用户身份验证通过。
2.如权利要求1所述的方法,其特征在于,还包括在服务器端保存当前用户信息与对应的用户标识符的关联关系。
3.如权利要求2所述的方法,其特征在于,所述在服务器端保存当前用户信息与对应的用户标识符的关联关系的步骤包括根据浏览器端提交的当前用户信息,生成对应的用户标识符,并展示在浏览器端;获取移动终端采集的所述用户标识符;判断移动终端采集的用户标识符与服务器端生成的用户标识符是否一致,若是,则将用户标识符和当前用户信息进行关联,并保存该关联关系,并将所述用户标识符保存在移动终端。
4.如权利要求3所述的方法,其特征在于,所述根据移动终端提交的校验标识符获取请求,返回相应的校验标识符的步骤包括接收移动终端提交的校验标识符获取请求,所述校验标识符获取请求中包括移动终端生成的第一动态口令和用户标识符;验证所述第一动态口令是否合法,若是,则根据所述用户标识符提取对应的用户信息,并根据所述用户信息提取对应的校验标识符;将所述用户信息按照预设格式转化为校验信息,并将所述校验信息及对应的校验标识符发送至移动终端。
5.如权利要求4所述的方法,其特征在于,所述根据移动终端提交的校验标识符获取请求,返回相应的校验标识符的步骤还包括在移动终端展示所述校验信息。
6.如权利要求5所述的方法,其特征在于,所述获得移动终端提交的校验标识符的选取请求,提取相应校验标识符的会话标识Session ID,并对会话标识Session ID添加验证通过标记的步骤包括根据所述移动终端提交的校验标识符的选取请求,验证所述第二动态口令是否合法;若是,则根据所述校验标识符的选择信息提取对应的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记;其中所述校验标识符的选取请求是通过如下方式生成的由通过移动终端选择校验信息,并根据选择的校验信息生成对应校验标识符的选择信息,并产生第二动态口令;根据所述校验标识符的选择信息和第二动态口令生成校验标识符的选取请求。
7.如权利要求4所述的方法,其特征在于,所述服务器端保存有移动终端发送的时间种子;所述第一动态口令由移动终端存储的时间种子和第一相对时间生成,所述验证第一动态口令是否合法的步骤包括依据服务器端存储的时间种子和第一相对时间,生成第一对比动态口令;判断所述第一对比动态口令与第一动态口令的差值的绝对值是否小于预设阀值;若是,则所述第一动态口令合法。
8.如权利要求6所述的方法,其特征在于,所述第二动态口令由移动终端存储的时间种子和第二相对时间生成,所述验证第二动态口令是否合法的步骤包括依据服务器端存储的时间种子和第二相对时间,生成第二对比动态口令;判断所述第二对比动态口令与第二动态口令的差值是否小于预设阀值。若是,则所述第二动态口令合法。
9.如权利要求8所述的方法,其特征在于,所述验证第二动态口令是否合法的步骤还包括根据所述第二动态口令调整服务器端的种子时间。
10.一种基于移动终端的身份验证装置,其特征在于,包括身份验证请求获取模块,用于获取浏览器端提交的身份验证请求,所述身份验证请求中包括用户信息和当前会话标识Session ID ;校验标识符生成模块,用于根据所述用户信息和当前会话标识Session ID,生成对应的校验标识符;校验标识符返回模块,用于根据移动终端提交的校验标识符获取请求,返回相应的校验标识符;标记添加模块,用于获得移动终端提交的校验标识符的选取请求,提取相应校验标识符的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记;判定通过模块,用于依据所述会话标识Session ID的验证通过标记,判定用户身份验证通过。
全文摘要
本申请提供了一种基于移动终端的身份验证方法及装置。所述方法包括获取浏览器端提交的身份验证请求,所述身份验证请求中包括用户信息和当前会话标识Session ID;根据所述用户信息和当前会话标识Session ID,生成对应的校验标识符;根据移动终端提交的校验标识符获取请求,返回相应的校验标识符;获得移动终端提交的校验标识符的选取请求,提取相应校验标识符的会话标识Session ID,并对所述会话标识Session ID添加验证通过标记;依据所述会话标识Session ID的验证通过标记,判定用户身份验证通过。本申请可以提高用户身份验证的准确率,提高身份验证的速度。
文档编号H04L9/32GK103023638SQ20111028421
公开日2013年4月3日 申请日期2011年9月22日 优先权日2011年9月22日
发明者吴斌, 房长江, 李世峰 申请人:阿里巴巴集团控股有限公司