本发明涉及一种手机号码同一性验证方法。
背景技术:
当今在各种互联网应用中,短信验证已经作为一个非常普遍的验证手段,在各种互联网应用中广泛使用。短信验证的基本业务流程如下:
一)手机绑定过程:
步骤1:网络应用的使用者,在应用服务器初次登录进行注册时,使用者填写个人资料和手机号码。
步骤2:应用服务器向该手机号码发送验证短信,使用者填写验证短信,回传给应用服务器完成手机的绑定过程。
二)应用过程中的短信验证过程:
步骤1:应用服务器发验证短信给使用者的注册手机号码。
步骤2:使用者填写收到的验证短信中的验证码,回传给应用服务器,完成短信验证过程。
而这种短信验证方式,在一个小小的短信拦截病毒的攻击下,看似严密短信验证方式,则土崩瓦解,每每给被盗取了登录密码且被感染了短信拦截病毒网络应用的使用者,造成无尽的伤害。
互联网应用需要一种更为经济、高效、准确的验证方式。
本发明提供了一种更为经济、高效、准确的验证方式。本发明的技术方案可将被验证终端准确而精准的锁定在使用者在注册时所绑定的验证手机上。该方案具有1)一个短信绑定终身,2)手机失控自然脱离和一个电话快速脱离(脱离该手机上的APP同其所对应的应用服务器的业务关系),3)无法伪造等3大优点。从而从根本上彻底杜绝了现在业内普遍采用的以手机号码为绑定标的+短信验证的验证模式的安全漏洞。在今天手机号码已完成实名认证的情况下,本发明也可自然完成网络应用注册者的实名认证,而不再需要例如现在普遍采用的上传身份证等实名认证措施,这也自然堵住了公民身份被盗用的网络安全漏洞。
技术实现要素:
本发明的技术方案如下:
本方案以手机号码和手机SIM卡的ICCID码为唯一绑定标的。网络应用的使用者,在注册时,应用服务器向注册者登记的手机号码发送验证短信,APP读取验证短信,将验证短信中的验证码和读取到的SIM卡的ICCID码发送给应用服务器。应用服务器将手机号码、ICCID码同注册者的其他资料一起保存。绑定手机将读取的ICCID码本地保存,从而完成注册过程中的手机号码的绑定过程。完成注册的手机再后续的使用时,手机上的APP在启动时(或网络应用认为需要进行手机号码同一性认证时),首先读取本机SIM卡的ICCID码同本机保存的ICCID码进行比对,比对相同,则判定该手机目前使用手机号码是注册绑定的手机号码。不同则APP则将所读取到的ICCID发送到应用服务器,应用服务器启动手机号码同一性验证过程。应用服务器可采用以下两种方式中的一种或二种进行远程手机号码同一性验证过程:
方式1:
短信验证。
验证过程如下:
应用服务器向注册时绑定的手机号码发送验证短信。APP将读取到的验证短信中的验证码,返回给应用服务器。应用服务器对验证码进行验证,验证通过则更新服务器保存的ICCID码,并通知APP验证通过和更新ICCID码,完成手机号码同一性验证。如果应用服务器在多次发送验证短信且APP都没有收到验证短信的情况下,则终止手机号码同一性验证过程,并通知APP手机号码同一性验证失败。
方式2:
手机号码运行商处的查询性验证。
验证过程如下:
应用服务器将该手机号码和其收到的ICCID码,推送到该手机号码的移动运营商处,进行手机号码同一性的查询性验证。运行商返回此ICCID码是该手机号码的ICCID码,则应用服务器更新服务器保存的ICCID码,并通知APP验证通过并更新ICCID码;如果运行商返回的是该ICCID码不是该手机号码的ICCID码,则终止手机号码同一性验证过程,并通知APP手机号码同一性验证失败。
本发明的可靠性原理分析:
每个手机中,都安装有一个SIM卡,而每一个SIM卡都有一个全球唯一的ICCID码。该码具有可读不可写的特性。只要手机所有者不更换SIM卡,则该ICCID码就不会改变。手机所有者正常更换SIM卡,则手机号码不变,但ICCID码发生变化。
手机失控自然脱离和一个电话快速脱离是如何实现的。
手机更新和手机被盗、被抢是一个非常正常的生活现象。以人们最常使用的微信和手机银行为例,这些应用目前都采用的是以手机IMEI号(IMEI号的安全漏洞在于IMEI号的可更改的便利性。)为标的数据的绑定手机方式。这就带了两个安全漏洞。漏洞1:绑定手机在无卡状态下,一样可以完成这些应用的登录。漏洞2:攻击者在通过病毒获得了被攻击者手机上的某个应用的全部基础数据和IMEI号的情况下,完全可以通过克隆数据并更改手机上的IMEI号的方式,克隆出一台绑定手机。另外一个安全漏洞就是采用短信验证码人工输入的方式进行短信验证,这个漏洞,在无数的拦截短信病毒的攻击下,已经被得到充分的验证。这几个安全漏洞,则使得手机更新时,原机主如不采用例如卸载APP、格式化等额外的操作,则旧手机中的APP对旧手机的原机主而言,无疑都将陷入极大的风险之中。而一旦手机被盗、被抢,则该手机上的APP则都毫无例外的处于极大的风险之中。此时而脱离该手机中的APP同其对应的应用服务器的业务关系,又将是一个漫长和困难的过程。而这种以绑定IMEI号+验证短信的验证方式,无法抵抗盗取验证短信+克隆手机的方式的攻击。
本发明是如果解决该问题的。
采用本发明的应用系统,只要在手机号码同一性验证过程前,加入手机读取本手机的移动网的在网状态的动作就可以轻松完成手机失控自然脱离和一个电话快速脱离的功能。具体而言就是手机APP启动时,先读取本手机的移动网的在网状态,如果该状态显示本手机处于离网状态,则终止终止APP的后续流程。这样当手机是正常更换时,该手机的所有者无法实现无卡登录(这就堵住了现在业内普遍采用的以IMEI号为绑定标的数据的安全漏洞)。这样可实现了手机自然脱离(脱离旧手机上的APP同应用服务器的业务关系)。当手机被盗、被抢,原手机所有者在发现手机脱离其控制范围时,只要打一个到其运行商的客服电话,下达停机保号的工作指令,则该手机中所有采用本发明方案且在其关键的业务节点上都加设读取手机在网情况的工作动作的APP,都将脱离其所对应的应用服务器的业务关系。
具体实施方式
下面结合具体的实施例对本发明内容进行详细说明:
过程1:
手机号码短信验证。
验证过程如下:
应用服务器发验证短信到注册者提交的所绑定的手机号码。APP自动读取收到应用服务器发来的验证短信,并将验证短信中的验证码、读取到的ICCID码发回给应用服务器。服务器在收到APP发来的验证码且检验通过的条件下,将手机号码、ICCID码存入服务器,并通知APP验证通过,手机保持ICCID码,完成手机号码短信验证。
过程2:
手机号码运行商处的查询性验证。
验证过程如下:
手机APP读取该手机中的SIM卡的ICCID码,并将该ICCID码发送应用服务器,应用服务器将手机号码和其收到的ICCID码,推送到该手机号码的移动运营商处,进行手机号码同一性的查询性验证。运行商如果返回此ICCID码是该手机号码的ICCID码,则应用服务器保存ICCID码和手机号码,并通知APP验证通过,APP保存该ICCID码。运行商如果返回此ICCID码不是该手机号码的ICCID码,则应用服务器通知APP验证失败,终止查询性验证。
过程3:
手机号码同一性验证。
验证过程如下:
手机上的APP在启动时,首先读取本机SIM卡的ICCID码,并同本机保存的ICCID码进行比对,比对相同,则手机号码同一性验证通过,否则,APP启动远程验证流程。APP则将所读取到的ICCID发送到应用服务器,应用服务器启动手机号码短信验证流程或手机号码运行商处的查询性验证流程。应用服务器将验证结果通知APP,应用服务器和APP根据验证结果做相应的ICCID码后续处理。