一种基于物联同步的二次密码的装置的制作方法

本发明涉及用户与密码的管理及其应用等技术领域，具体来说，主要涉及需要识别用户身份与验证登陆密码的应用领域等所涉及的防假冒、防盗刷、防攻击以及防抵赖的基于物联同步的二次密码的装置。

背景技术

随着atm终端、pos机、电子商务、网上银行、网络游戏等领域采用一卡一密应用模式的日益广泛与普及提高，因为卡被克隆、密码泄露、盗取帐户等所引起的纠纷呈逐年上升趋势，同时给用户方和服务方带来巨大的经济利益损失。

当前，银行、保险、社保、电讯、电商和网游等行业涉及用户身份证明与密码验证等应用时普遍采用一卡一密的密码模式，或通过增加手机短信验证码、密保卡、将军令等环节来加强卡密的安全性；网络应用还鼓励用户使用一次一密的密码，试图增强网络应用的安全性。由于，手机短信验证码由服务方所发且不受用户控制和用户未参与，易受钓鱼或伪卡、伪基站攻击；基于事件同步的密保卡由固定的数码组成且排列组合集太小，易受木马截屏和复制攻击；而将军令属基于时间同步的动态密码，同样易受木马截码和在同步的时间内进行重放攻击；一次一密的本质仍然属于一卡一密的密码模式，易受钓鱼方式和重放方式的攻击。因此，一卡一密的密码模式，当服务方与用户方之间存在第三方时，始终存在安全隐患。

技术实现要素：

本发明实施例提供一种基于物联同步的二次密码的方法及其装置，用以解决一卡一密密码模式的安全问题。

本发明实施例提供一种基于物联同步的二次密码的方法，包括以下步骤：

系统根据用户信息，建立用户与用户密码之间的对应关系、用户密码与物保密码之间的对应关系、物保密码与物保设备之间的对应关系；

用户登陆系统，系统根据用户与系统之间的物联对应关系建立第一物联同步，并将第一物联同步编码成物联编码发送给用户；

用户的物保设备接收物联编码，在物保密码的控制下，使用物保设备将所接收的物联编码映射成登陆密码，并提交给系统；

系统接收登陆密码，并根据登陆密码与系统之间的物联对应关系建立第二物联同步；

该方法包括：

用户向系统提交用户密码；

系统接收用户密码，并根据用户密码与系统之间的物联对应关系建立第三物联同步；

该方法还包括：

系统根据第一物联同步和第二物联同步来识别登陆密码的用户身份，并根据所述对应关系验证登陆密码；

系统根据第一物联同步、第二物联同步、第三物联同步来识别用户密码的用户身份，并根据所述对应关系验证用户密码。

本发明实施例提供一种基于物联同步的二次密码的装置，包括以下模块：

存储模块，用于保存用户信息，包括但不限于帐户信息、用户密码、物保密码、物保设备、物保模块、物联同步、登陆密码及其之间的对应关系；

物联模块，用于根据用户与系统的物联关系、登陆密码与系统的物联关系、用户密码与系统之间的物联关系，分别建立对应的物联同步；

物保模块，用于①物联同步的发送与接收；②将物联同步编码成物联编码；③在物保密码的控制下，根据物联编码映射产生登陆密码；

该装置包括：

识别模块，用于根据用户与物联同步、登陆密码与物联同步、用户密码与物联同步之间的对应关系来识别用户身份；

该装置还包括：

验证模块，根据所述对应关系以及物联同步和物保信息，来验证登陆密码和用户密码。

本发明实施例所述，建立用户与用户密码之间的对应关系、用户密码与物保密码之间的对应关系，以及物保密码与物保设备之间的对应关系；其中，物保系指物联保护，物联系指物理联接，包括但不限于，①与用户有关的代码、卡、密码、设备或终端等等；②与系统有关的终端、设备、平台。用户的物保设备包括但不限于，移动设备、平板设备、台式设备、usb设备、卡式设备等等。在用户登陆系统过程中，①用户对应于系统终端，系统据此产生用户与系统终端之间的物联关系，并建立用户与系统终端之间的第一物联同步；②用户通过系统终端向系统提交登陆密码，系统据此产生登陆密码与系统终端之间的物联关系，并建立登陆密码与系统终端之间的第二物联同步；③用户通过系统终端向系统提交用户密码，系统据此产生用户密码与系统终端之间的物联关系，并建立用户密码与系统终端之间的第三物联同步；第一物联同步与第二物联同步与第三物联同步构成本次用户登陆系统的物联同步。本发明实施例包括，系统根据用户与物联同步、登陆密码与物联同步、用户密码与物联同步之间的对应关系来识别用户身份；用户通过登陆密码与物联同步的对应关系、用户密码与物联同步的对应关系，来建立用户与系统之间的防抵赖关系；从而能够有效防止盗刷、重放、钓鱼、木马等攻击行为，以及恶意串通刷卡的不法行为。本发明实施例还包括，系统根据所述的对应关系，通过逆向追踪用户与系统之间的物联同步，以及对应的用户信息、用户终端、物保设备、物保密码、登陆密码、用户密码等，系统能够有效识别登陆用户身份以及建立用户与系统之间的信赖关系。

附图说明

图1是本发明实施例方法流程图；

图2是本发明实施例基于物联同步的物保流程图；

图3是本发明实施例基于物联同步的识别追踪流程图；

图4是本发明实施例系统结构图。

具体实施方式

在本发明实施例中，管理信息系统预先设置用户与用户密码的对应关系，以及建立用户密码与物保密码的对应关系、物保密码与物保设备的对应关系；如此，系统能够将物联同步所对应的物联编码提交给用户的物保设备，由用户使用物保密码将物联编码映射成登陆密码。本发明实施例还包括，系统根据用户、物保设备、登陆密码、用户密码等与物联同步之间的对应关系来识别用户身份与追踪非法用户，并根据登陆密码与物联同步的对应关系、用户密码与物联同步的对应关系来建立用户与系统之间的防抵赖关系。根据所述对应关系，系统建立可信赖的登陆密码与系统之间的一次密码关系，以及用户密码与系统之间的二次密码关系。

参见图1所示，本发明实施例的方法包含以下步骤：

步骤11，用户具备唯一性的代码以及对应的帐户、密码和设备等。

具体实现过程，如下：

用户开立帐户时，系统授于每位用户一组唯一性代码，该代码可以存储于卡或其他设备中。用户选择用户密码和物保密码并保存于系统建立的帐户中，用户选择和绑定物保设备。

步骤12，本发明实施例的管理信息系统，建立用户与用户密码之间的对应关系、用户密码与物保密码之间的对应关系，以及建立物保密码与物保设备之间的对应关系。

首先，系统建立用户与用户密码的第一对应关系，然后建立用户密码与物保密码的第二对应关系。物保设备包含物保模块并由系统预置于用户选择的设备，如移动设备、平板或手提或台式电脑、usb设备、卡式设备等等，系统据此建立物保设备与物保密码之间的第三对应关系。

步骤13，根据用户与系统之间的物联对应关系产生物联同步。

具体实现过程，可以如下：

首先，我们将①用户代码卡插入系统的终端，例如，atm机、pos机、柜台前端机等；或者是，②用户通过系统终端输入代码或密码；或者是，③用户登陆系统的网络平台等过程称为登陆过程。用户与登陆过程有关的代码及卡、密码、设备等称为用户或用户终端，系统与登陆过程有关的终端、柜台机、设备、平台等称为系统或系统终端，系统根据用户登陆系统过程中的物联对应关系，来建立用户与系统之间的物联同步，包括用户与系统终端之间的第一物联同步、登陆密码与系统终端之间的第二物联同步、用户密码与系统终端之间的第三物联同步。

步骤14，用户将物联同步映射成登陆密码，并提交系统。

实现过程包括但不限于，首先，用户登陆系统时，系统根据用户与系统终端之间的物联对应关系，建立用户与系统终端之间的第一物联同步；然后，系统将第一物联同步编码成物联编码a，并发送给用户的物保设备。

用户的物保设备接受系统发送的第一物联同步对应的物联编码a，使用物保密码a将物联编码a映射成登陆密码a，再由用户通过系统终端将登陆密码a提交给系统。

系统终端接收到用户提交的登陆密码a后发送给系统；系统根据登陆密码a与系统终端之间的物联对应关系，来建立登陆密码a与系统终端之间的第二物联同步。系统分别提取第一物联同步中与用户有关的要素和第二物联同步中与系统有关的要素构造第一验证物联同步；然后，系统根据第一物联同步所对应的用户代码获得对应的物保密码b，再使用该物保密码b将第一验证物联同步所对应的物联编码b映射成登陆密码b；当且仅当，登陆密码a等于登陆密码b时，本次用户、登陆密码a与系统之间所建立的物联同步对应成立，物保设备与物保密码之间的第三对应关系得到验证，登陆密码a与系统之间的一次密码关系成立。

步骤15，用户向系统提交用户密码。

实现过程包括但不限于，用户提交的登陆密码得到系统验证后，系统终端允许并接受用户提交用户密码。

用户通过系统终端提交用户密码a，系统终端将用户密码a发送给系统；系统根据用户密码a与系统终端之间的物联对应关系，来建立用户密码a与系统终端之间的第三物联同步。首先，系统分别提取第一物联同步中与用户有关的要素、第二物联同步中与物保设备有关的要素和第三物一联同步中与系统有关的要素构造第二验证物联同步；然后，系统根据第一物联同步所对应的用户代码获得对应的物保密码c，再使用该物保密码c将第二验证物联同步所对应的物联编码c映射成登陆密码c；当且仅当，登陆密码c等于登陆密码a时，再根据所述对应关系得到第一物联同步对应的用户代码，并根据第一对应关系得到用户代码所对应的用户密码b；当且仅当，用户密码a等于用户密码b时，用户与用户密码之间的第一对应关系得到验证，用户密码a与系统之间的二次密码关系成立。

下面结合说明书附图对本发明实施例作进一步详细描述。

本发明实施例以物联同步中的一种，即用户通过银行atm机登陆银行管理信息系统进行账户操作为例，其中，用户代码存储在卡中，用户选择手机作为物保设备。参照图2，为本发明实施例基于物联同步的物保流程，具体执行步骤如下所示：

步骤201，在本发明实施例的银行管理信息系统中，每位用户都存在唯一的代码，通过此代码可以查询或验证用户的建档资料、帐户信息、帐户流水、用户密码、物保密码、物保设备、物联同步、登陆密码等，而这些用户信息都有对应的信息编码。在用户登陆系统的过程中，用户与物联同步有关的代码及卡、密码、终端、设备、平台、时间和地址等都有对应的信息编码。

步骤202，本发明实施例的银行管理信息系统，为每位用户建立对应的数据库，用于存储用户信息、物联同步及其之间的对应关系。在用户登陆系统的过程中，系统与物联同步有关的终端、设备、平台、时间和地址等亦都有对应的信息编码。

步骤203，根据用户登陆系统的物联过程，建立用户与系统之间的物联同步。

在本发明实施例用户登陆系统的物联过程中，系统建立①用户代码卡与atm机之间的第一物联同步；②登陆密码与atm机之间的第二物联同步；③用户密码与atm机之间的第三物联同步。

子步骤211，建立用户与登陆过程的物联关系。

本发明实施例假设，用户代码为4367423813130497633，用户插卡时间为20130820092857；则，系统使用用户代码和用户插卡时间，来建立该用户登陆atm机的物联关系。

子步骤221，建立系统与登陆过程的物联关系。

本发明实施例进一步假设，用户插卡登陆的atm机代码为86007551，atm机地址代码为6100410208，atm机接受用户插卡时间为20130820092857；则，系统使用atm机代码、atm机地址代码和atm机接受用户插卡时间，来建立系统与登陆过程的物联关系。

步骤204，获得需要物保的物联同步所对应的物联编码。

用户使用用户代码卡通过atm机登陆银行系统，系统根据用户代码卡与atm机之间的物联关系建立第一物联同步。其中，用户代码采用19位十进制编码；atm机代码采用8位十进制编码；物联时间采用年月日时分秒的14位十进制编码；用户地址与atm机地址相同，其代码由6位邮编+2位行号+2位编码组成，例如，atm机地址：四川成都人民南路四段21号的邮编是610041，建行行号为02，该atm机编码为08；根据上述对应关系，系统获得用户与atm机之间的第一物联同步所对应的物联编码，具体如下：

用户代码：4367423813130497633

用户地址：6100410208

物联时间：20130820092857

atm机代码：86007551

atm机地址：6100410208

子步骤222，系统建立用户与第一物联同步的对应关系。

系统提取用户登陆系统时的用户代码，例如，本发明实施例的用户代码假设为4367423813130497633，并据此建立用户代码与第一物联同步的对应关系。

子步骤212，用户设置物保密码。

用户选择一组数码作为物保密码并保存在系统中。本实施例假设，物保密码为100757。

子步骤213，用户选择物保设备。

系统预置并绑定物保模块于用户选择的物保设备中，每个物保模块都有对应的代码。在本实施例中，用户选择手机作为物保设备；假设，用户手机识别码为357683002201996，物保模块代码为0202800870219。

步骤205，用户根据第一物联同步所对应的物联编码，映射产生登陆密码，并通过atm机窗口提交给系统。

登陆密码的产生包括但不限于下列方式：

本发明实施例中，登陆密码由6位十进制数组成，由用户使用物保模块并在物保密码的控制下映射产生；其中，物保密码由6位十进制数组成，为用户预先设置并存储于系统，例如，100757。系统预置于用户的物保设备中的物保模块编码，可以由银行代码+地区代码+设备序号组成，例如，0202800870219。物保模块可以采用单向函数算法，为方便说明，本实施例物保模块采用单向散列算法的md5算法，并使用映射规则和编码规则来产生登陆密码。编码规则可以是对按映射规则所得到的映射数码组合而成，例如，先将映射数码的1-8位与9-16位按位异或后，分别取前1和2位、中间8和9位、后15和16位映射数码，再分别对其按模10取余：

映射规则：md5(md5(md5((物联编码)+物保模块)+物保密码))

物联编码：4367423813130495633

6100410208

20130820092857

86007551

6100410208

物保模块：0202800870219

物保密码：100757

映射数码：3muaidrjedpifjxd

登陆密码：374908

子步骤223，系统根据登陆密码与atm机之间的物联关系建立第二物联同步。

用户代码：4367423813130495633

登陆密码：374908

用户地址：6100410208

物联时间：20130820092936

atm机代码：86007551

atm机地址：6100410208

子步骤214，建立用户与用户密码的对应关系。

用户选择一组数码作为用户密码并保存在系统中，本实施例假设，用户选择的用户密码为680820，系统根据用户代码建立与用户密码的对应关系。

步骤206，用户将用户密码通过atm机窗口提交给系统。

atm机接受到用户提交的用户密码后，连同atm机要素一起发送给系统。

子步骤224，系统根据用户密码与atm机之间的物联关系建立第三物联同步。

用户代码：4367423813130495633

用户密码：680820

用户地址：6100410208

物联时间：20130820093019

atm机代码：86007551

atm机地址：6100410208

本发明实施例包括，系统根据用户与系统之间的物联同步和物保来识别用户身份与追踪用户信息，参照图3，具体过程如下：

步骤301，用户建立帐户时，系统分配给该用户唯一的用户代码，并建立该用户代码对应的用户密码、物保密码和物保设备；具体如下：

用户代码：4367423813130495633

用户密码：680820

物保密码：100757

物保设备：357683002201996

步骤302，系统预置物保模块于用户的物保设备中，并进一步建立用户代码与用户密码、用户密码与物保密码、物保密码与物保模块之间的对应关系；物保模块代码如下：

物保模块：0202800870219

步骤303，用户登陆系统：系统根据用户与系统终端之间的物联对应关系，来建立第一物联同步。

子步骤311，系统根据步骤303建立用户与第一物联同步对应的物联关系。

用户代码：4367423813130495633

用户地址：6100410208

插卡时间：20130820092857

子步骤321，系统根据步骤303建立系统终端与第一物联同步对应的物联关系。

atm机代码：86007551

atm机地址：6100410208

步骤304，用户通过atm机窗口输入登陆密码；系统根据登陆密码与系统终端之间的物联对应关系，来建立第二物联同步。

如下所示，为第二物联同步对应的代码：

登陆密码：374908

用户地址：6100410208

物联时间：20130820092936

atm机代码：86007551

atm机地址：6100410208

子步骤312，系统根据物联信息与物保，来建立用户与系统之间的防抵赖关系。

①用户确认的物联信息：物联信息显示在用户的物保设备上，需要用户核查后确认。

用户代码：4367423813130495633

用户姓名：*振宁

用户地址：四川成都人民南路四段21号

插卡时间：20130820092857

atm机代码：86007551

atm机地址：四川成都人民南路四段21号

②用户产生的登陆密码所对应的物保信息：用户使用物保密码对物保信息进行物保签名。

用户代码：4367423813130495633

用户姓名：*振宁

用户手机：357683002201996

物保模块：0202800870219

物保时间：20130820092966

物保密码：100757

用户地址：6100410208

插卡时间：20130820092857

atm机代码：86007551

atm机地址：6100410208

子步骤322，系统根据登陆密码和物保来识别用户身份。

①第一物联同步要素：

用户代码：4367423813130495633

用户姓名：*振宁

atm机代码：86007551

②第二物联同步要素：

插卡时间：20130820092857

atm机地址：6100410208

③系统分别提取第一物联同步要素和第二物联同步要素进行物保签名的验证。

步骤305，用户通过atm机窗口输入用户密码；系统根据用户密码与系统终端之间的物联对应关系，来建立第三物联同步。

如下所示，为第三物联同步对应的代码：

用户密码：680820

用户地址：6100410208

物联时间：20130820093019；

atm机代码：86007551

atm机地址：6100410208

子步骤323，系统根据用户密码和物保来识别用户身份。

①第一物联同步要素：

用户代码：4367423813130495633

用户姓名：*振宁

atm机代码：86007551

②第二物联同步要素：

插卡时间：20130820092857

atm机地址：6100410208

③系统根据第一物联同步要素和第二物联同步要素来验证第三物联同步要素。

子步骤313，用户使用用户密码和物保密码，并通过确认物保信息来建立与系统之间的信赖关系。

根据本发明上述方法可以构建一种基于物联同步的二次密码的装置，参照图4，本发明实施例基于物联同步的二次密码的装置包括：存储模块451、物联模块452、物保模块453。

存储模块451，分别与物联模块452和物保模块453相连，用于保存：①用户信息及之间的对应关系；②用户与系统之间的物联同步；③用户与物联同步相关的代码、密码、设备等；④系统与物联同步相关的终端、柜台机、设备和平台等。

物联模块452，与存储模块451相连，用于在用户登陆系统过程中产生；①用户与系统之间的物联同步；②登陆密码与系统之间的物联同步；③用户密码与系统之间的物联同步。

物保模块453，与存储模块451相连，①用于将物联同步所对应的代码，按编码规则编码成物联编码；②用于将物联编码映射产生登陆密码。

本发明实施例所述的装置，还包含：识别模块461、追踪模块462和验证模块463。

识别模块461，与存储模块451相连，用于根据物联同步和物保信息来识别用户身份：①识别登陆密码的用户身份；②识别用户密码的用户身份。

追踪模块462，与识别模块461和存储模块451相连，用于根据存储模块451保存的用户和系统与物联同步的对应关系，追踪用户登陆系统过程中：①与用户相关的代码、密码、设备、地址和时间等；②与系统相关的终端、设备、平台、地址和时间等。

验证模块463，与识别模块461和存储模块451相连，用于①根据用户与系统之间的物联同步、登陆密码与系统之间的物联同步来验证登陆密码；②根据用户与系统之间的物联同步、登陆密码与系统之间的物联同步、用户密码与系统之间的物联同步来验证用户密码。

本发明实施例所述的装置，其中，存储模块451还包括第一存储模块、第二存储模块、第三存储模块、第四存储模块、第五存储模块、第六存储模块和第七存储模块：

第一存储模块，用于保存用户代码与用户密码之间的第一对应关系；

第二存储模块，用于保存用户密码与物保密码之间的第二对应关系；

第三存储模块，用于保存物保密码与物保模块之间的第三对应关系；

第四存储模块，用于保存物保模块与物联同步之间的第四对应关系；

第五存储模块，用于保存用户与系统之间的第一物联同步；

第六存储模块，用于保存登陆密码与系统之间的第二物联同步；

第七存储模块，用于保存用户密码与系统之间的第三物联同步。

本发明实施例所述的装置，其中，物保模块452还包含：

第一提取模块，用于提取第一物联同步中的代码；

第二提取模块，用于提取第二物联同步中的代码；

第三提取模块，用于提取第三物联同步中的代码。

本发明实施例所述的装置，其中，物保模块453更包含：

编码规则，系统设置代码的编码方法；

编码模块，根据编码规则将物联同步所对应的代码编码成物联编码；

发送模块，系统将物联同步或物联编码发送给用户的物保设备；

接收模块，用户使用物保设备接收系统所发送的物联编码；

映射模块，用户使用物保密码将物联编码映射成登陆密码。

防抵赖模块，系统以明文发送物联编码，用户据此核对物联同步：①确认时，用户使用物保模块映射产生本次登陆密码；或包含数字签名再映射产生本次登陆密码；②否定时，用户使用物保模块向系统提交拒绝信息；或中止本次登陆操作。

本发明实施例所述的装置，其中，存储模块451更包含：

密码密保模块，①系统采用单向散列函数对用户密码进行密码保护，使得用户密码在存储状态下，始终是密文；②系统将用户密码密文作为密钥或部分密钥对物保密码进行密码保护。

密码验证模块，系统采用单向散列函数对用户输入的用户密码进行散列运算成用户密码密文，再将该用户密码密文与存储的用户密码密文进行比对。