一种安全验证方法和装置的制造方法
【技术领域】
[0001]本发明属于计算机领域及机电电子产品领域,尤其涉及一种安全验证方法和装置。
【背景技术】
[0002]互联网已经渗透到人们生活的方方面面,而相关的诈骗、偷窃也延伸到互联网上,钓鱼网站如假冒银行等与资金账号、支付账号、个人信息有关的网站充斥其中,许多人上当受骗蒙受经济损失、信息泄露。随着移动互联网和移动支付的快速发展,网上诈骗、偷窃行为也拓展到移动终端上,恶意或有陷阱的链接或内容,让许多人同样上当受骗蒙受经济损失、信息泄露,有人在手机上一点甚至仅仅是查看一下,关联账号上的钱就被骗被偷。上述只是不慎落入陷阱的情形,只要稍加小心,很多损失还是可以避免的。但如果系统被侵入篡改,或是其他用户在系统的误操作、非法操作,这时系统还是表面上合法有效甚至完全合法有效的系统,但可能给用户带来无法预计的损失,而且对于用户来说再小心也不可能避免,钱被划走了取现了一点招也没有。
[0003]现有的安全认证机制都是系统对用户进行安全验证,验证通过就可以进行各种操作,而对于系统本身,用户则没有办法对其进行安全验证。目前还没有一种用户对系统进行安全验证的机制,只能系统验证用户,而用户无法验证系统,这实际上对于所述用户来说是不公的,用户也应该能够安全中发挥积极作用,而非仅仅被动接受系统的安全措施。如果用户也应该能够对系统进行安全验证,通过安全验证的用户才能进行有效的操作或相关的操作才能得到用户的认可,这样就能够更好的保护用户安全。
【发明内容】
[0004]本发明的目的在于弥补当前仅有系统可以对用户进行安全验证这种单向验证的不足,提供一种全新的安全验证方法和装置,使用户可以主动验证想要访问或正在访问的系统,从而避免上当受骗或访问已被侵入篡改的系统,这样就能够更好的保护用户。
[0005]安全验证方法的技术方案如下:
由所述用户对系统在线进行安全验证,或者同时所述系统也能在同一过程中对所述用户对进行安全验证;
所述系统是即将操作或正在操作或完成操作的系统,所述用户可在登录前、登录中或登录后或者操作前、操作中或操作后进行安全验证;
所述用户可通过专用客户端且无任何其它辅助执行安全验证或者通过专用客户端形式且有工具辅助或第三方系统辅助执行安全验证或者通过非专用客户端且无任何其它辅助执行安全验证或者通过非专用客户端形式且有工具辅助或第三方系统辅助执行安全验证;
对于安全验证所述用户可不提供任何信息或需要提供自身信息或需要提供所述用户在所述系统中预先定义的验证用户名或者验证口令; 所述用户可依据所述系统的反馈信息来判断所述系统是否通过安全验证,或同时所述系统也可依据所获取的所述用户提交信息判断所述用户是否通过安全验证。
[0006]所述专用客户端可是软件、硬件或包含软件的硬件;
所述自身信息可为用户名、口令、用户属性、电子化用户标识物和/或实体化用户标识物;
所述反馈信息可是所述用户在所述系统预先定义的或者可是所述系统预先准备好的或者可是所述系统动态计算出来的,或同时所述用户还在本地预先定义了可据此判断系统是否通过安全验证的反馈信息分析模型;
所述用户提交信息可是所述用户在响应所述系统反馈信息时通过本地操作提交的,或同时所述用户还在所述系统预先定义了可据此判断所述用户是否通过安全验证的所述用户提交信息分析模型;
通过所述用户安全验证的反馈信息和/或没有通过所述用户安全验证的反馈信息可被设置为确定一种信息或可被设置为超过一种信息中任意一种或者任意多种;
通过系统安全验证的所述用户提交信息和/或没有通过系统安全验证的所述用户提交信息可被设置为确定一种信息或可被设置为超过一种信息中任意一种或者任意多种。
[0007]所述反馈信息的类型可包括字符、图片、声音、视频、数据文件、本地执行功能和/或接受本地操作;
所述用户提交信息的类型可包括字符、图片、声音、视频、数据文件、本地执行功能和/或响应所述系统反馈信息的操作;
所述用户名可为用户名称、用户ID、用户别名或其它等价用户标识名;
所述电子化用户标识物可为文件形式的数字证书或其它身份文件;
所述实体化用户标识物可为U盘形式的数字证书、其它U盘形式或存储卡形式或其它扩展卡形式的用户标识物。
[0008]上述安全验证方法的安全验证结果可以按以下方法进行运用:
所述用户不为该用户在没有通过其采用上述安全验证方法所实施的安全验证的所述系统上的操作行为授权或完全授权;
所述用户不为没有通过其采用上述安全验证方法所实施的安全验证的所述系统的非该用户操作的但涉及该用户的行为授权或完全授权;
上述所述用户不授权或不完全授权的运用方法可不与没有通过安全验证挂钩而是所述用户根据安全需要主动为之;
上述操作行为可以是先前的操作行为、后续的操作行为、按其它方法选定的部分操作行为或全部操作行为,上述不完全授权是按操作行为种类部分种类不授权或设定限制条件的其它有限授权。
[0009]可以为上述安全验证方法配套采取更加严格的安全保护措施,其技术方案是: 为设置实施采用上述安全验证方法的安全验证所需要的权限提供独立的安全保护措施或提供累加的安全保护措施,如采用专门提供的专用用户、专用口令、专用用户属性、专用电子化用户标识物、专用实体化用户标识物、专用软件、专用硬件、包括专用软件的专用硬件和/或专用网络地址集合或单一专用网络地址等。
[0010]一种实现了上述安全验证方法及相关方法的软件系统,其技术方案是: 可以采用上述安全验证方法由所述用户对所述软件系统在线进行安全验证,或同时所述软件系统也能在同一过程中对所述用户对进行安全验证;
接受上述安全验证结果运用方法承认所述软件系统没有通过所述用户采用上述安全验证方法的安全认证时所述用户在其上的操作行为是没有得到所述用户授权的或是没有得到所述用户完全授权的,或者承认所述用户不与没有通过安全验证挂钩而是根据安全需要主动不授权或不完全授权的操作行为是没有得到所述用户授权的或是没有得到所述用户完全授权的;
采用了上述安全保护方法为设置实施采用上述安全验证方法的安全验证所需要的权限提供了独立的安全保护措施或提供了累加的安全保护措施。
[0011]一种实现了上述安全验证方法及相关方法的更为广泛的系统,其技术方案是包含了上述软件系统。
[0012]与上述安全验证方法相应的安全验证装置,其技术方案是:
由所述用户对系统在线进行安全验证,或者同时所述系统也能在同一过程中对所述用户对进行安全验证;
或者在前面基础上所述系统是即将操作或正在操作或完成操作的系统,和/或所述用户是在登录前、登录中或登录后或者操作前、操作中或操作后进行安全验证,和/或所述用户是通过专用客户端且无任何其它辅助执行安全验证或者通过专用客户端形式且有工具辅助或第三方系统辅助执行安全验证或者通过非专用客户端且无任何其它辅助执行安全验证或者通过非专用客户端形式且有工具辅助或第三方系统辅助执行安全验证,和/或对于安全验证所述用户不需提供任何信息或需要提供自身信息或需要提供所述用户在所述系统中预先定义的验证用户名或者验证口令,和/或所述用户是依据所述系统的反馈信息来判断所述系统是否通过安全验证或同时所述系统也依据所接收的所述用户提交信息判断所述用户是否通过安全验证;
所述专用客户端是软件、硬件或包含软件的硬件;
所述自身信息为用户名、口令、用户属性、电子化用户标识物和/或实体化用户标识物;
所述反馈信息的类型可包括字符、图片、声音、视频、数据文件、本地执行功能和/或接受本地操作;
所述用户提交信息的类型可包括字符、图片、声音、视频、数据文件、本地执行功能和/或响应所述系统反馈信息的操作;
所述用户名可为用户名称、用户ID、用户别名或其它等价用户标识名;
所述电子化用户标识物可为文件形式的数字证书或其它身份文件;
所述实体化用户标识物可为U盘形式的数字证书、其它U盘形式或存储卡形式或其它扩展卡形式的用户标识物。
[0013]上述方法和装置的技术方案详述如下:
本安全验证方法和装置最关键的创新就是用户可主动验证所述系统,包括验证系统真伪、验证